石油企業(yè)網(wǎng)絡(luò)與信息安全系統(tǒng)的設(shè)計(jì)

摘要：針對石油企業(yè)信息化建設(shè)現(xiàn)狀，為提高網(wǎng)絡(luò)和信息安全防護(hù)水平，按照相關(guān)法律法規(guī)的要求，設(shè)計(jì)了多層次的網(wǎng)絡(luò)與信息安全防護(hù)系統(tǒng)，主要設(shè)計(jì)內(nèi)容包括設(shè)備安全、網(wǎng)絡(luò)安全、云端和應(yīng)用安全等。系統(tǒng)能夠滿足網(wǎng)絡(luò)安全等級保護(hù)第三級的要求，全面提升石油企業(yè)的網(wǎng)絡(luò)和信息安全防護(hù)能力。

關(guān)鍵詞：網(wǎng)絡(luò)與信息安全;網(wǎng)絡(luò)安全等級保護(hù);石油企業(yè)

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）04-0044-02

目前各石油企業(yè)已基本建立了信息化基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)，包括有線無線網(wǎng)絡(luò)、數(shù)據(jù)中心、企業(yè)應(yīng)用軟件等，隨著設(shè)備數(shù)量和應(yīng)用系統(tǒng)的不斷增多以及云計(jì)算和物聯(lián)網(wǎng)技術(shù)的使用，傳統(tǒng)的安全防護(hù)模式需要不斷改變，特別是加強(qiáng)對云端設(shè)備和移動(dòng)終端、物聯(lián)網(wǎng)終端的防護(hù)。

1 概述

網(wǎng)絡(luò)與信息安全是國家能源安全的基礎(chǔ)，若是遭受攻擊或發(fā)生數(shù)據(jù)泄露會(huì)嚴(yán)重威脅國家安全和公共利益。近期，美國長達(dá)8700公里的輸油管道因勒索病毒攻擊而癱瘓，因此進(jìn)一步加強(qiáng)我國石油企業(yè)的網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)迫在眉睫。

根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999），等級保護(hù)對象受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害，應(yīng)定義為第三級（監(jiān)督保護(hù)級）。

根據(jù)《信息安全等級保護(hù)管理辦法》第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，并由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。

2 標(biāo)準(zhǔn)

2019年5月13日，公安部正式發(fā)布網(wǎng)絡(luò)安全等級保護(hù)2.0相關(guān)政策和標(biāo)準(zhǔn)，如表1所示。

等保2.0相關(guān)標(biāo)準(zhǔn)采用了統(tǒng)一的框架，如圖1所示，規(guī)定了系統(tǒng)定級、建設(shè)、測評、整改、備案、監(jiān)督檢查等環(huán)節(jié)的相關(guān)內(nèi)容。

石油企業(yè)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)應(yīng)參照等保2.0標(biāo)準(zhǔn)，注重全方位主動(dòng)防御、動(dòng)態(tài)感知和全面審計(jì)，實(shí)現(xiàn)對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等各類新技術(shù)應(yīng)用的覆蓋。

3 總體設(shè)計(jì)

企業(yè)需根據(jù)現(xiàn)有拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、終端設(shè)備、云端部署、應(yīng)用系統(tǒng)等信息化系統(tǒng)建設(shè)現(xiàn)狀，從設(shè)備安全、網(wǎng)絡(luò)安全、云端和應(yīng)用安全等多個(gè)層次進(jìn)行安全系統(tǒng)的設(shè)計(jì)，充分保障系統(tǒng)的安全性，如圖2所示。

3.1 設(shè)備安全

石油企業(yè)的終端設(shè)備類型繁多，主要包括電腦終端、嵌入式終端、移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備等，面臨的主要威脅是病毒和木馬程序。因此需要定期升級操作系統(tǒng)或給操作系統(tǒng)打補(bǔ)丁，關(guān)閉不需要使用的TCP/UDP端口，并安裝防毒軟件和防木馬軟件。除此之外，還需要防范非法設(shè)備接入，可采用身份認(rèn)證、MAC地址綁定等方式保障接入設(shè)備安全。并通過日志審計(jì)系統(tǒng)收集設(shè)備的工作日志，從而在出現(xiàn)問題時(shí)通過日志迅速定位。

3.2 網(wǎng)絡(luò)安全

局域網(wǎng)內(nèi)交換機(jī)應(yīng)進(jìn)行Vlan劃分實(shí)現(xiàn)邏輯隔離，配置Qos流量控制策略，重要網(wǎng)絡(luò)設(shè)備和服務(wù)器應(yīng)進(jìn)行IP/MAC綁定等。

網(wǎng)絡(luò)出口應(yīng)部署防火墻、入侵防御、身份認(rèn)證等安全設(shè)備。在防火墻上配置訪問控制列表控制外網(wǎng)訪問權(quán)限，在入侵防御設(shè)備上可查看外網(wǎng)的攻擊行為并及時(shí)阻斷，在身份認(rèn)證設(shè)備上配置內(nèi)網(wǎng)合法用戶的賬戶信息從而阻止非法用戶數(shù)據(jù)通過網(wǎng)絡(luò)出口。

根據(jù)《網(wǎng)絡(luò)安全法》的要求，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。因此一般需配備運(yùn)維堡壘機(jī)對網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行集中管控、身份認(rèn)證、訪問控制、操作審計(jì)等，避免違規(guī)操作和誤操作;還需使用日志審計(jì)設(shè)備實(shí)時(shí)采集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)等產(chǎn)生的日志信息，并進(jìn)行規(guī)范化處理和保存。

3.3 云端和應(yīng)用安全

目前，石油企業(yè)越來越多的服務(wù)器采用虛擬化部署方式，應(yīng)用也逐漸遷移到云端，因此云端及應(yīng)用的安全防護(hù)是整個(gè)系統(tǒng)的重點(diǎn)和難點(diǎn)。

云端服務(wù)器應(yīng)部署虛擬化防護(hù)系統(tǒng)，實(shí)現(xiàn)虛擬機(jī)全面防護(hù)，包括防病毒、DPI（深度內(nèi)容檢測）、虛擬補(bǔ)丁、虛擬防火墻、虛擬IPS等。

應(yīng)用上線前應(yīng)對應(yīng)用系統(tǒng)及所在服務(wù)器進(jìn)行漏洞掃描評估，掃描范圍包括windows系統(tǒng)漏洞、apache等中間件漏洞、數(shù)據(jù)庫漏洞、SQL注入、跨站腳本、網(wǎng)站掛馬、敏感信息泄露、弱口令等，一旦發(fā)現(xiàn)漏洞需及時(shí)通過補(bǔ)丁等方式修復(fù)。

目前針對網(wǎng)站類應(yīng)用的攻擊日漸增多，可使用WEB防護(hù)系統(tǒng)（WAF）掃描網(wǎng)站漏洞，實(shí)現(xiàn)網(wǎng)頁監(jiān)測與防護(hù)功能，提供篡改防護(hù)能力，維護(hù)企業(yè)形象。

各應(yīng)用系統(tǒng)的數(shù)據(jù)可使用備份一體機(jī)通過網(wǎng)絡(luò)進(jìn)行異地實(shí)時(shí)備份，可采用增量備份或全量備份策略，將多臺設(shè)備（包括虛擬機(jī)）的數(shù)據(jù)集中備份到異地，并在數(shù)據(jù)丟失時(shí)將數(shù)據(jù)及時(shí)恢復(fù)，從而提升數(shù)據(jù)安全。

4 結(jié)語

本文參照網(wǎng)絡(luò)安全等級保護(hù)相關(guān)制度第三級的相關(guān)要求，對石油企業(yè)網(wǎng)絡(luò)與信息安全系統(tǒng)進(jìn)行整體規(guī)劃設(shè)計(jì)，增加必要的安全設(shè)備及措施，全面提升安全防護(hù)能力。當(dāng)然還需要企業(yè)相關(guān)政策及配套的支持，將管理和技術(shù)相結(jié)合，才能保障系統(tǒng)的有效實(shí)施，并為我國的能源安全添磚加瓦。

參考文獻(xiàn)：

[1] 蔡麗琴.石油企業(yè)網(wǎng)絡(luò)信息安全管理淺析[J].江漢石油職工大學(xué)學(xué)報(bào)，2021，34（2）：52-53.

[2] 于佳妍.大數(shù)據(jù)時(shí)代石油企業(yè)網(wǎng)絡(luò)安全防護(hù)策略[J].電子技術(shù)與軟件工程，2019（23）：190-191.

[3] 段鵬.網(wǎng)絡(luò)安全在大型石油企業(yè)中的應(yīng)用[J].中國石油和化工標(biāo)準(zhǔn)與質(zhì)量，2019，39（7）：82-83.

[4] 熊楊.等級保護(hù)三級信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（6）：21-22.

[5] 張永強(qiáng).石油銷售企業(yè)自動(dòng)化和信息化建設(shè)模式初探[J].化工設(shè)計(jì)通訊，2021，47（1）：155-156.

收稿日期：2021-07-17

作者簡介：吳桂萍（1982—），女，江蘇鹽城人，主要從事企業(yè)管理和業(yè)務(wù)運(yùn)作工作。