海上平臺網絡安全規劃設計研究

【摘" 要】 計算機網絡具有復雜性，面對新技術、新應用快速發展的現實狀況，網絡安全問題的防范工作刻不容緩。海上平臺網絡安全建設仍有不完善的部分，因此需要加強對海上平臺網絡安全規劃設計研究，以有效提高海上業務安全保障的實際效果。本文將從當前海上平臺網絡遇到的安全挑戰問題出發，展開細致討論，嘗試提出優化海上平臺網絡安全規劃設計的具體路徑。

【關鍵詞】 海上平臺網絡；網絡安全；安全規劃；規劃設計

一、海上平臺網絡安全規劃設計目標

（一）網絡基礎設施提升與優化

關于網絡基礎設施提升與優化，可根據實際情況做好規劃設計工作，可采取以下措施來實現企業訪問內網、互聯網的需求，提高辦公體驗和效率。

1. 建立統一的網絡管理平臺，對辦公網絡中的各個平臺進行統一管理，包括網絡設備的配置、監控、維護等。同時，優化網絡互通的能力，提升平臺間的網絡帶寬，支持數字化和智能化應用的承載，確保辦公網絡的連續性。

2. 對無人井口工控網進行光纖/微波熱備切換，提高工控網的穩定性和可靠性。同時，建設波分復用系統，提升無人平臺海纜業務的承載能力，確保平臺的業務連續性。

3. 采用船舶微波自動接入平臺網絡的方式，為拖輪等移動船舶提供網絡接入和視頻監控畫面回傳。建設船用微波主站和守護船舶微波從站，實現船舶網絡覆蓋，從無到有。

4. 通過使用合適的視頻壓縮技術，降低視頻數據的帶寬資源占用率，提高視頻監控的效率和性能。如使用先進的視頻編碼標準、優化視頻傳輸協議等。

5. 對老舊的程控交換系統改造，確保平臺及終端程控系統穩定運行。如升級硬件設備、更新軟件系統、優化通信協議等，提供穩定可靠的語音通訊業務。

通過以上措施的高效實施，可以實現對基礎網絡系統的改造和視頻會議系統、程控交換系統的國產化升級優化，提高辦公體驗和效率，滿足企業訪問內網、互聯網的需求。同時，還需加強項目規劃和管理，確保項目順利實施，從而實現預期管理目標。

（二）網絡安全提升與優化

根據國家信息安全等級保護相關要求，及分區分域防護原則和層次化縱深防御思想，建設油田辦公網絡縱深防御體系，主要措施包括：

1. 劃分安全分區：根據油田辦公網絡的不同功能和安全需求，將網絡劃分為多個安全分區。如內部辦公區、生產區、供應商區等，每個安全分區有明確的訪問控制策略和權限管理機制。

2. 實施網絡隔離：在安全分區之間設置防火墻或安全設備，實現網絡隔離，阻止不同分區之間的直接通信，增加攻擊者的跨區域滲透難度。

3. 強化訪問控制：在每個安全分區內部設置訪問控制機制，包括網絡訪問控制列表（ACL）、用戶身份驗證和授權、應用程序訪問控制等，確保只有經過授權的用戶和設備能夠訪問相應資源。

4. 加強邊界防護：在辦公網絡的入口處設置防火墻、入侵檢測和防御系統（IDS/IPS）、反病毒、惡意軟件防護等設備，對外部攻擊進行檢測、阻斷、響應。

5. 強化內部安全：在每個安全分區內部采取內部安全措施，包括網絡流量監測和分析、異常行為檢測、安全事件響應等，及時發現和應對內部安全威脅。

6. 加強數據保護：采用數據加密、備份、恢復策略，保護重要數據的機密性、完整性、可用性，防止數據泄露、損壞或丟失。

7. 定期安全評估和演練：定期對油田辦公網絡的安全性進行評估和測試，發現和修復潛在的安全漏洞，并開展安全演練和培訓活動，增強員工的安全意識和應急響應能力。

通過以上措施，油田辦公網絡可以建立起一套縱深防御的體系，提高對外部和內部安全威脅的防護能力，保障辦公網絡的安全性和穩定運行。同時，還需根據實際情況和最新的安全技術發展，不斷優化和升級防御措施，應對不斷變化的安全威脅。

（三）通信建設

加密機的部署可以提高油田辦公網的網絡安全性，加密機符合國密局的技術規范，支持多種國內自主研制的硬件密碼算法，采用硬件密碼模塊進行密碼算法運算，可以保證數據傳輸的安全性。此外，《IPSec VPN技術規范》為用戶的數據提供了最大限度的安全保護，防止身份偽造、數據篡改、中間人攻擊等安全威脅。同時，采用國家的商用密碼算法增強系統安全性。其中，《IPSec VPN技術規范》的修正主要包括以下幾個方面：

1. 使用數字信封認證方式：替代了預共享密鑰和簽名的認證方式。數字信封認證方式使用了公鑰加密算法，確保通信雙方身份認證和數據的完整性。

2. 棄用DH密鑰交換方式：采用公鑰加密的方式來進行密鑰交換，避免中間人攻擊的可能。公鑰加密算法使用了非對稱加密技術，確保密鑰的安全性。

3. 使用國家的商用密碼算法：替代公開的標準算法。國家的商用密碼算法經過嚴格的安全審查和認證，提供了更高的安全性保護。

二、當前海上平臺網絡面臨的安全挑戰

（一）信息安全建設不到位

凈化和保護海上平臺網絡環境安全，必須要做好網絡信息安全建設工作。信息化與網絡安全之間關系密切，在相互制約的同時，也為彼此的發展做出推動。因此，有關人員應提升海上平臺信息網絡安全的重視程度，從戰略方面加強海上信息化建設。但從當前海上平臺網絡建設的情況來看，信息安全同步建設不到位，安全防護和監管存在許多漏洞。

（二）頂層規劃設計不夠全面

海上平臺數字化轉型的過程中，因資金、管理、網絡規模等多方面因素的影響，目前海上平臺網絡存在內外網邊界不清、業務流量混跑等一系列問題，可以發現海上平臺網絡頂層規劃設計不夠科學和全面，目前在海上平臺網絡安全規劃設計前瞻性不足，缺乏可持續性。

（三）網絡攻擊安全威脅嚴峻

云計算、大數據等相關技術的發展，帶來有利一面的同時，也為網絡攻擊手段的更新和升級提供了便利。網絡攻擊事件頻發，海上安全網絡面對的安全威脅類型更加多樣，也更為嚴峻。只有盡快做好安全建設，才能夠更好地規避潛在風險，抵御網絡安全威脅。

三、優化和提升海上平臺網絡安全的具體規劃設計

（一）通信傳輸方面

大數據技術代表的信息時代的快速發展，推動了數據類型和數據量的發展，數據信息成為當今時代至關重要的發展要素。海上平臺網絡主要是通過衛星、微波等方式實現向陸地的信號傳輸。衛星鏈路的傳輸距離較遠，能夠將數據信息傳遞到核心機房中，鏈路兩端是內網，默認衛星鏈路的安全性。相比之下，微波的傳輸距離更短。還有一種傳輸方式是利用海底光纜將信息傳回陸地。但海底光纜鋪設的成本更高、范圍有限，仍然需要租用運營商鏈路，才能夠傳遞回核心機房，因此需要考慮運營商鏈路段數據信息傳輸的安全性。想要對海上平臺傳輸網絡中敏感數據、重要數據做好安全保障，避免出現竊取數據、篡改數據的行為，就必須要做好數據加密工作。租用運營上鏈路存在潛在數據隱患，為了更好地保證傳輸數據的安全、完整和真實，應當對租用的運營商鏈路應用試用虛擬網技術，提升通信網絡傳輸的安全性。虛擬網技術一項專用網絡技術，該網絡技術利用防火墻、VPN建立起一個安全隧道，實現信息的安全互通和傳輸。通過對安全隧道的加密認證，能夠大幅提升隧道傳輸數據的機密性。

（二）平臺端方面

海上平臺內部安全問題時有發生，如信息系統安全加固不夠徹底、難以準確定位問題終端、網絡設備遭到了非法入侵等等。這些內容均成為目前海上網絡安全建設的關鍵點。加強平臺端網絡安全建設，需要首先做好信息系統安全建設工作。信息系統中包含很多生產數據信息，因此做好信息系統安全建設工作至關重要。安全資源池是在虛擬化技術的基礎之上建立起來的，通過對入侵防護、內容過濾、防火墻等一系列安全能力池化，能有效擴展安全資源池組件，實現其安全能力的有效提升，為用戶提供更具有針對性和彈性的安全服務。其次，還要做好辦公終端安全建設工作。在日常網絡運營的全過程中，需要對平臺端做好相應的安全防護，對上網人員進行統一安全管理，完善審計和追溯工作。平臺內部的各個電腦終端均要布置好防病毒系統，加強終端管理，對所有接入端實施防病毒安全管理，還要設置上網行為管理系統，對每一個用戶的安全行為和事件進行全面細致的審計。當發現存在問題時，第一時間展開定位追蹤，及時斷開終端網絡，以免引發更大范圍、更嚴重的安全事件。最后，還要做好網絡設備安全管理工作。

（三）網絡架構方面

所謂網絡架構，指的是為了實現業務方面的各種需要，對各種軟硬件設施以及互聯設備等進行聯結，構建起完整的網絡結構，更高效地實現信息數據的傳輸。業務運行中，網絡架構的作用十分關鍵，因此必須要保證網絡架構安全，在此基礎上設置相應的安全技術措施，才能夠有效提升通信網絡安全保護的效果。因各種歷史原因的影響，海上平臺網絡的組網方式缺乏統一性，在網絡層次、邊界控制方面存在不清晰的部分，很多業務中斷采用就近接入方式，未能對業務類型、重要性進行分析，未能展開科學劃分和隔離，這也就造成一個網絡區域內可能存在生產、辦公等各種流量。對此，必須嚴格按照海上網絡業務系統的安全需要、業務特點等相關因素，做好對海上平臺網絡的區域劃分，提升其防御局部威脅的能力，也避免造成整網崩潰。應結合海上平臺網絡的實際情況，堅持按照不同類型特點，按照不同安全等級分區隔離的方式，對海上網絡結構進行重新梳理和劃分，加以改造，構建起不同級別的安全區域。可以將海上平臺網絡劃分為三個區域，分別是辦公網、生產網、工控網，辦公網主要業務是對日常辦公內網數據進行傳輸，安全級別最低；生產網主要業務是對非控制類工控數據加以傳輸，安全級別較高；工控網對各類控制信號進行傳輸，安全級別最高。

（四）區域邊界安全建設方面

網絡資源共享的同時，也留下了潛在的隱患和風險。海上平臺網絡系統根據業務特點、安全級別劃分成不同的區域之后，相應地還要進一步建設起分等級的保護對象，確定網絡區域邊界，通過對區域邊界進行安全建設和有效規劃，進一步提升海上平臺網絡的安全性，以免發展出新的網絡攻擊對象。相關人員應結合各安全區域間實際的互訪需求，合理確定邊界，并制訂相適應的便捷安全防范措施，對內部網絡加以高效的安全保護。可以對各個安全區域海陸鏈路間邊界設置防火墻，采用全新軟硬件架構，全面支持IPv6+和下一代互聯網的自主IP網絡創新體系。支持基于硬件的NP加速引擎，IPv4/IPv6轉發性能大幅提升。防火墻支持IPSec VPN功能，支持SM2/3/4國密算法，更安全。在此基礎上，為海上平臺網絡進出數據的安全性、穩定性提供可靠依據，并設置針對性的安全保障策略，還可以與陸地上的態勢感知系統連接起來，實現安全聯動，打造更為全面高效的防御體系機制。盡管各個安全區域間存在隔離，但是還要考慮到區域間數據交換、信息資源共享的實際需要，在邊界處設置相應的網閘，滿足數據交互的現實需求。

比如計算環境安全建設。考慮每個中心平臺用于存放油田日常辦公需要的文件的終端基本上都不具備有效的數據備份和恢復能力，一旦出現硬件損壞或者發生勒索病毒事件，將造成文件數據丟失，對海上油田日常辦公及生產活動造成較大影響。對此問題的處理，建議做好計算環境安全建設及管理工作，采用備份一體機，該機是一種集成了備份軟件和存儲設備的設備，用于定期備份重要數據并存儲備份數據。同時，備份一體機的使用還具備數據備份和恢復功能，確保海上油田日常辦公及生產活動的數據安全，在備份一體機的作用下能自動備份、增量備份、容災恢復、加密和壓縮、定期檢查和驗證等，通過部署備份一體機，可以在出現硬件損壞、勒索病毒攻擊或人為誤刪除等情況下及時恢復數據，最大程度地減少數據丟失和對日常辦公及生產活動的影響。

四、結束語

新技術水平的提高以及各類新技術的應用范圍更加廣泛，使信息安全威脅也在不斷升級和更新，給海上平臺信息網絡安全埋下了各種各樣的隱患。相關人員要結合實際需要，優化海上平臺網絡系統安全設計和規劃工作，建設更為完善、全面的安全防護體系，提升防護體系抵御安全隱患的能力和水平，更高效、精準地抵御和防范網絡攻擊，最大限度地減少安全事故、安全問題發生的可能性。

參考文獻：

［1］ 沈文建，孫源，李暢，等. 智能視頻監控技術在海上平臺安全生產領域的應用研究與思考［J］. 信息系統工程，2022（08）：73-76.

［2］ 劉紅霞. 深海海洋平臺控制系統智能化研究［J］. 海洋工程裝備與技術，2019，6（S1）：404-408.

［3］ 林忍. 海油海上平臺提升網絡性能與安全分析［J］. 化工設計通訊，2018，44（07）：30.