石油企業(yè)網(wǎng)絡(luò)與信息安全系統(tǒng)的設(shè)計

摘要：針對石油企業(yè)信息化建設(shè)現(xiàn)狀，為提高網(wǎng)絡(luò)和信息安全防護水平，按照相關(guān)法律法規(guī)的要求，設(shè)計了多層次的網(wǎng)絡(luò)與信息安全防護系統(tǒng)，主要設(shè)計內(nèi)容包括設(shè)備安全、網(wǎng)絡(luò)安全、云端和應(yīng)用安全等。系統(tǒng)能夠滿足網(wǎng)絡(luò)安全等級保護第三級的要求，全面提升石油企業(yè)的網(wǎng)絡(luò)和信息安全防護能力。

關(guān)鍵詞：網(wǎng)絡(luò)與信息安全;網(wǎng)絡(luò)安全等級保護;石油企業(yè)

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）04-0044-02

目前各石油企業(yè)已基本建立了信息化基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)，包括有線無線網(wǎng)絡(luò)、數(shù)據(jù)中心、企業(yè)應(yīng)用軟件等，隨著設(shè)備數(shù)量和應(yīng)用系統(tǒng)的不斷增多以及云計算和物聯(lián)網(wǎng)技術(shù)的使用，傳統(tǒng)的安全防護模式需要不斷改變，特別是加強對云端設(shè)備和移動終端、物聯(lián)網(wǎng)終端的防護。

1 概述

網(wǎng)絡(luò)與信息安全是國家能源安全的基礎(chǔ)，若是遭受攻擊或發(fā)生數(shù)據(jù)泄露會嚴重威脅國家安全和公共利益。近期，美國長達8700公里的輸油管道因勒索病毒攻擊而癱瘓，因此進一步加強我國石油企業(yè)的網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)迫在眉睫。

根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999），等級保護對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，應(yīng)定義為第三級（監(jiān)督保護級）。

根據(jù)《信息安全等級保護管理辦法》第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，并由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

2 標準

2019年5月13日，公安部正式發(fā)布網(wǎng)絡(luò)安全等級保護2.0相關(guān)政策和標準，如表1所示。

等保2.0相關(guān)標準采用了統(tǒng)一的框架，如圖1所示，規(guī)定了系統(tǒng)定級、建設(shè)、測評、整改、備案、監(jiān)督檢查等環(huán)節(jié)的相關(guān)內(nèi)容。

石油企業(yè)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)應(yīng)參照等保2.0標準，注重全方位主動防御、動態(tài)感知和全面審計，實現(xiàn)對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等各類新技術(shù)應(yīng)用的覆蓋。

3 總體設(shè)計

企業(yè)需根據(jù)現(xiàn)有拓撲結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、終端設(shè)備、云端部署、應(yīng)用系統(tǒng)等信息化系統(tǒng)建設(shè)現(xiàn)狀，從設(shè)備安全、網(wǎng)絡(luò)安全、云端和應(yīng)用安全等多個層次進行安全系統(tǒng)的設(shè)計，充分保障系統(tǒng)的安全性，如圖2所示。

3.1 設(shè)備安全

石油企業(yè)的終端設(shè)備類型繁多，主要包括電腦終端、嵌入式終端、移動設(shè)備、物聯(lián)網(wǎng)設(shè)備等，面臨的主要威脅是病毒和木馬程序。因此需要定期升級操作系統(tǒng)或給操作系統(tǒng)打補丁，關(guān)閉不需要使用的TCP/UDP端口，并安裝防毒軟件和防木馬軟件。除此之外，還需要防范非法設(shè)備接入，可采用身份認證、MAC地址綁定等方式保障接入設(shè)備安全。并通過日志審計系統(tǒng)收集設(shè)備的工作日志，從而在出現(xiàn)問題時通過日志迅速定位。

3.2 網(wǎng)絡(luò)安全

局域網(wǎng)內(nèi)交換機應(yīng)進行Vlan劃分實現(xiàn)邏輯隔離，配置Qos流量控制策略，重要網(wǎng)絡(luò)設(shè)備和服務(wù)器應(yīng)進行IP/MAC綁定等。

網(wǎng)絡(luò)出口應(yīng)部署防火墻、入侵防御、身份認證等安全設(shè)備。在防火墻上配置訪問控制列表控制外網(wǎng)訪問權(quán)限，在入侵防御設(shè)備上可查看外網(wǎng)的攻擊行為并及時阻斷，在身份認證設(shè)備上配置內(nèi)網(wǎng)合法用戶的賬戶信息從而阻止非法用戶數(shù)據(jù)通過網(wǎng)絡(luò)出口。

根據(jù)《網(wǎng)絡(luò)安全法》的要求，網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。因此一般需配備運維堡壘機對網(wǎng)絡(luò)設(shè)備和服務(wù)器進行集中管控、身份認證、訪問控制、操作審計等，避免違規(guī)操作和誤操作;還需使用日志審計設(shè)備實時采集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機等產(chǎn)生的日志信息，并進行規(guī)范化處理和保存。

3.3 云端和應(yīng)用安全

目前，石油企業(yè)越來越多的服務(wù)器采用虛擬化部署方式，應(yīng)用也逐漸遷移到云端，因此云端及應(yīng)用的安全防護是整個系統(tǒng)的重點和難點。

云端服務(wù)器應(yīng)部署虛擬化防護系統(tǒng)，實現(xiàn)虛擬機全面防護，包括防病毒、DPI（深度內(nèi)容檢測）、虛擬補丁、虛擬防火墻、虛擬IPS等。

應(yīng)用上線前應(yīng)對應(yīng)用系統(tǒng)及所在服務(wù)器進行漏洞掃描評估，掃描范圍包括windows系統(tǒng)漏洞、apache等中間件漏洞、數(shù)據(jù)庫漏洞、SQL注入、跨站腳本、網(wǎng)站掛馬、敏感信息泄露、弱口令等，一旦發(fā)現(xiàn)漏洞需及時通過補丁等方式修復(fù)。

目前針對網(wǎng)站類應(yīng)用的攻擊日漸增多，可使用WEB防護系統(tǒng)（WAF）掃描網(wǎng)站漏洞，實現(xiàn)網(wǎng)頁監(jiān)測與防護功能，提供篡改防護能力，維護企業(yè)形象。

各應(yīng)用系統(tǒng)的數(shù)據(jù)可使用備份一體機通過網(wǎng)絡(luò)進行異地實時備份，可采用增量備份或全量備份策略，將多臺設(shè)備（包括虛擬機）的數(shù)據(jù)集中備份到異地，并在數(shù)據(jù)丟失時將數(shù)據(jù)及時恢復(fù)，從而提升數(shù)據(jù)安全。

4 結(jié)語

本文參照網(wǎng)絡(luò)安全等級保護相關(guān)制度第三級的相關(guān)要求，對石油企業(yè)網(wǎng)絡(luò)與信息安全系統(tǒng)進行整體規(guī)劃設(shè)計，增加必要的安全設(shè)備及措施，全面提升安全防護能力。當然還需要企業(yè)相關(guān)政策及配套的支持，將管理和技術(shù)相結(jié)合，才能保障系統(tǒng)的有效實施，并為我國的能源安全添磚加瓦。

參考文獻：

[1] 蔡麗琴.石油企業(yè)網(wǎng)絡(luò)信息安全管理淺析[J].江漢石油職工大學學報，2021，34（2）：52-53.

[2] 于佳妍.大數(shù)據(jù)時代石油企業(yè)網(wǎng)絡(luò)安全防護策略[J].電子技術(shù)與軟件工程，2019（23）：190-191.

[3] 段鵬.網(wǎng)絡(luò)安全在大型石油企業(yè)中的應(yīng)用[J].中國石油和化工標準與質(zhì)量，2019，39（7）：82-83.

[4] 熊楊.等級保護三級信息系統(tǒng)設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（6）：21-22.

[5] 張永強.石油銷售企業(yè)自動化和信息化建設(shè)模式初探[J].化工設(shè)計通訊，2021，47（1）：155-156.

收稿日期：2021-07-17

作者簡介：吳桂萍（1982—），女，江蘇鹽城人，主要從事企業(yè)管理和業(yè)務(wù)運作工作。