信息網絡安全等保建設的思考

摘要：闡述了玉門油田信息等級保護建設的要求和必要性，從設計思路、建設范圍、實現目標方面分析網絡系統及信息安全的基本需求，著重考慮數據運行環境、區域邊界防護、通信網絡安全防護、網絡管理平臺、物理環境和信息安全管理體系等內容，使其符合集團公司等保建設要求的可行性總體設計，并按照安全域劃分原則和具體劃分方式提出網絡安全域的實際應用，從而提升油田網絡安全保障能力，滿足等級保護2.0的技術要求，為信息化健康發展提供可靠保障。

關鍵詞：信息安全；等級保護；體系建設

一、玉門油田信息網絡安全等保建設的意義

（一）網絡安全合規性要求

信息安全等級保護制度是維護國家信息安全和保障信息化建設的基本制度，根據《網絡安全法》和《關鍵信息基礎設施安全保護條例》規定，保障關鍵信息基礎設施安全是網絡運營者義不容辭的責任，作為央企的中石油玉門油田應率先完善信息系統及網絡安全防護技術措施，有效保障維護員工和企業的合法權益，滿足網絡安全等級保護2.0合規要求[1-2]。

（二）油田信息業務發展的要求

玉門油田的信息系統及相關基礎設施雖已初具規模，主要運行的6個信息業務系統缺乏基本的網絡安全防護技術措施，業務系統受到內外部多個區域的黑客訪問，近期有三個子系統服務器被僵尸網絡攻擊。同時，集團公司網絡安全檢查和HW行動中，油田多套應用系統存在多種安全問題受到通報，要求限時整改。結合油田信息化系統應用現狀，通過體系化的網絡安全建設，加強信息網安全防護能力，有效保障各業務系統應用能夠安全平穩地運行。

（三）油田網絡安全建設的必要性

油田目前存在網絡安全方面的問題主要包括弱口令和默認口令，網絡合規性建設能力不足、信息數據保護能力脆弱、寬帶數據傳輸覆蓋面窄、主機層防護能力不足等。網絡安全建設整體處于初級階段，兄弟油田早已處在網絡安全建設成果期。因此，需要加快建設步伐，促進油田信息安全風險控制水平上新臺階。

二、可行性研究內容

（一）設計思路

通過基于油田信息網絡實際應用的安全設計，考慮網絡基礎設施和應用基礎設施對信息安全的發展需要，建設安全保障體系充分符合等級保護2.0標準。

建設體系標準、安全可靠的信息網絡，加強全網安全防護能力，有效保障公司的網絡的穩定性及連續性，避免網絡安全事件的發生[3]。

（二）建設范圍

玉門油田信息安全保障體系可以從技術、管理、運維等方面進行全面的安全設計和建設，涵蓋組織、業務和功能范圍，其中組織范圍為油田一二級辦公網網絡安全建設；業務主要包含辦公網絡的物理環境升級、通信網絡改造、區域邊界防護、數據加密處理、監控管理中心建設；功能主要建設物理機房身份鑒別、安全記錄滿足物理環境建設要求。

（三）實現目標

玉門油田信息業務正常運營。從外部到內部全方位地保護業務系統的網絡安全，做到對系統進行全面網絡安全防護、安全事件應急處理。能夠滿足油氣生產數據高效傳輸和辦公自動化業務發展需求，構建智能化網絡平臺，促進油田生產科研、經營管理等業務目標的順利實現，為油田數字化和智能化轉型提供堅實的網絡基礎。

玉門油田信息安全管理水平提高。通過網絡安全建設和管理制度的制定，以及完善的安全服務來保障業務系統正常穩定運行。提升油田信息系統管理運行效率，提高隊伍的信息管理水平，滿足公司智能油田建設水平需要。

三、安全需求分析

（一）辦公網絡調整優化，滿足網絡安全建設的需求

一是服務器群集網絡架構調整：目前A11項目以及部分服務器直接連接到核心交換機，如果受到攻擊，容易將油田重要數據暴露和損壞；同時，辦公網與各業務系統的服務器混雜，給安全管理帶來極大不便，從信息安全管理角度出發，必須分區分域，將服務器群集單獨成立區域（業界稱為數據中心）重點防護。

二是自用業務系統調整：將自用業務系統與辦公網業務物理分開，自用系統安全防護大部分采用利舊設備，增加部分必需的設備，重新規劃搭建為獨立運營區域。

（二）建設等級保護的需求

根據集團公司商業信息保護目錄和等級保護要求，目前A11系統集團定級為三級，因此辦公網的等級保護建設確定為三級。對油田其他未完成等保的業務系統升級改造，不重復建設，對未來將要實施的業務系統嚴格按照信息系統與網絡安全“三同步”原則同步到位。

四、總體安全設計

依據集團公司信息網絡安全總體規劃，遵從“三分技術、七分管理”的安全理念，從信息控制、技術和管理三方面規劃，涵蓋物理、網絡、身份認證、審計平臺、安全檢查、桌面、加密、業務連續性與災難恢復等多個層面、一體化立體防護體系[4]。主要有：

（一）數據運行環境

數據運行環境的安全，應確保網絡內部各類數據在存儲、獲取、傳遞和處理過程中保持安全、完整、真實、可用和不被非法泄露。管理內容包括信息系統、鏈路、終端、數據傳輸，通過防病毒、加密認證、訪問控制、入侵檢測、流量審計等手段，達到關鍵數據和業務隔離、數據傳輸符合安全要求。

同時，全面構建面向網絡實名制的接入控制與網絡準入系統，打造“人”與“物”的入網管控，提升網絡內生安全。對所有入網用戶和終端的網絡接入、網絡行為，進行感知識別、認證授權等全過程管理。在油田各二級單位辦公網中，辦公電腦等終端可通過桌面管理系統集中部署認證和準入。

（二）區域邊界防護

主要通過基于地址、協議、服務端口的訪問控制策略；包括防護惡意代碼、防御入侵威脅、對數據庫和應用系統的深層攻擊檢測、重要網絡節點和安全事件的安全審計等多種區域邊界防護機制綜合應用。

1.安全區域邊界。在環慶、酒東、油田礦區、人臉識別邊界區域部署防火墻，滿足安全區域邊界防護要求。

2.A11網絡區域。服務器存儲區承載核心系統，是網絡環境中最重要的區域，邊界處部署防火墻系統進行隔離，開啟IPS入侵防御、AV防病毒、Web應用防護功能，設置包過濾策略進行嚴格的訪問控制。

（三）通信網絡防護

通過現有網絡架構升級、通信傳輸擴容、網絡接入高速互聯、網絡故障的快速收斂等機制實現，滿足帶寬的高利用率和覆蓋面廣的需求。

1.網絡架構升級

針對接入層網絡，采用匯聚層、接入層二層結構，整網基于SDN和VXLAN虛擬化技術，用戶可以自定義網絡路由和業務策略，由SDN控制器自動下發配置到設備，實現網絡和業務發放自動化。

主干網包括核心層、匯聚層，用于就近接入油田下屬二級單位和作業區，新增核心層交換機和匯聚設備部署在酒泉中心機房。匯聚節點設備按照新增替換的原則進行建設，并考慮匯聚能力冗余；匯聚層到核心層線路帶寬至少為10G，二級和三級匯聚節點交換機應支持雙主控，2個交換網板，4個以上業務槽位，支持IPv6、SDN等。

2.通信傳輸和網絡接入

擴容光纖通信傳輸鏈路，無線WLAN網絡覆蓋辦公區域，部署全覆蓋AP和分布式AC控制器，實現無線網絡的接入認證、流量審計等功能。對二級單位和作業區的接入單元就近接入主干網的匯聚節點；采用基于VxLAN 的新型自動化網絡和基于Wi-Fi6的無線網絡等多種接入模式，構建物理層和虛擬層融合的核心層“根”網絡結構。

因油田下屬二級單位數量較多，業務流量較大，通信組網采用本地轉發方式，管理層面使用多管理域進行控制?？紤]辦公區域接入密度較高，無線AP采用雙頻、三頻，以及雙頻+獨立掃描射頻三種模式間切換，以滿足高干擾或高密接入場景的需要。無線AP的管理根據網絡規模可以分為單管理域、多管理域，可以基于樓棟、區域或者AP規模劃分域，并在對應的匯聚節點使能管理VLAN自協商及DHCP功能。

（四）網絡系統準入設計

對所有入網用戶和終端的網絡接入、網絡行為，進行感知識別、認證授權等全過程管理。核心層采用認證服務器，通過信息過濾、鏈路認證、數據安全以及接入認證等措施，實現所有網絡終端設備的準入管理和統一數據運維。

在核心交換機旁路部署入侵檢測、日志審計、殺毒軟件等實現安全通信區域的等保要求。

（五）網絡管理平臺設計

搭建基于統一監控、統一分析、統一標準、統一運管的“三統一管”綜合網絡管理平臺，為油田網絡資源量化、全網狀態可視、網絡運維協同、網絡優化分析等提供技術手段。

平臺以數據為基礎，將監控、分析、管理、運維等多項功能集中管理，通過態勢感知實現資產管理、漏洞管理、關聯分析、動態防御，快速發現與控制異常行為，確保業務高效穩定運行。

（六）安全物理環境設計

通過改造升級門禁、規劃物理訪問措施、嚴格控制機房出入人員等方面整改，包括標準化機柜、電源系統、空調、動環監控及綜合布線等。按照Q/SY 10335-2020《局域網建設與運行維護規范》和Q/SY 1437-2019 《網絡設備間建設與運行維護規范》要求，對現有核心機房和二級網絡節點設備間升級改造，實現機房供配電、照明系統，防靜電、防雷系統、環境監測系統的智能化，滿足網絡設備運行環境的需求。

（七）信息安全管理體系設計

1.安全管理制度設計

應結合中石油安全管理相關配套規章制度，制定油田信息安全保護的工作流程和管理體系。包括信息設備管理、日常資料管理、保密、運維管理制度等，涵蓋網絡設備、密碼權限、數據備份、信息資料、機房安全、應急響應等安全管理方面內容。

2.安全管理機構和人員設計

安全管理機構包括成立網絡安全領導小組及其職能機構，負責協調、指導及管理信息安全的授權審批、網絡安全問題處理等工作，配備專職安全管理員并明確其職責。同時，對核心網絡設備和服務器、數據庫等，需要加強與相關服務商的溝通聯系，確保發生故障時及時獲取外部資源的技術支持。信息安全管理人員需具備較高的專業技能、技術背景，并確定保密和崗位責任協議。

3.安全管理內容設計

按PDCA法首先需對現有信息系統進行安全定級，確定安全保護級別；其次開展風險評估，并根據評估結果，從安全體系、安全管理、安全控制、安全技術等方面進行整改與加固；然后進行再次評估確定剩余風險是否消除，并隨安全形勢的改變與發展不斷地評估、改進、再評估。主要有：

一是每年對各業務單位的信息系統進行檢查與考核；二是對信息安全人員進行培訓，增強員工信息安全意識，減少信息安全事故發生；三是對信息安全管理體系進行審查及變更；四是建立信息安全檢查平臺，采用專用網絡、運維安全管理審計等技術措施。

在信息化項目實施方面：一是按項目啟動、需求分析、方案設計、配置與測試、數據準備、系統上線和驗收七個階段開展實施；二是做好系統建設與運行的銜接，更好地服務于生產運營和管理；三是建立信息安全風險評估機制，定期或在重大事件、特殊需要時組織開展信息安全風險評估；四是為了確保信息化項目管理成效，定期開展信息化項目管理檢查。

在信息設施運維管理方面：一是做好定期的運維管理檢查考核，包括網絡接入（網絡通斷率、響應時間）、基礎設施（巡檢率、設備故障率及處理時效）、問題處理（處理量、處理率、處理時效）、知識庫更新（更新量、文檔質量、利用率）等；二是針對運維管理人員開展技術培訓和應急演練；三是定期對運維管理體系進行審查及變更。

五、信息等級保護安全域應用

（一）安全域劃分原則

根據油田信息網絡系統現狀及等保要求，將網絡管理安全域劃分四個子域，分別是：核心業務域、核心交換域、安全管理與運維域、安全接入域。辦公外網安全域中主要為互聯網業務與辦公業務提供可信的接入平臺。

（二）安全域具體劃分

1.核心業務域。油田辦公網是核心業務網絡和重點保障區域，其安全性至關重要，故將核心業務域劃分為二級業務子域與三級業務子域。

一是通過防火墻將業務部署在核心區域邊界、安全管理域邊界、安全接入域以及互聯網業務區域邊界。

二是采用服務器虛擬化的方式部署應用，通過虛擬化和云計算技術，快速靈活部署服務，避免購置、管理大量服務器硬件設備的資源消耗，從而提高資源的利用率，簡化系統管理，實現服務器整合。

2.核心交換域。承擔全網數據交換的重要工作，主要由雙核心交換機組成，包括安全檢測子域、數字認證中心、業務負載均衡系統。其中安全檢測子域，主要承擔全網流量安全檢測、病毒檢測、漏洞管理；數字認證中心提供接入認證服務；業務負載均衡系統為業務可靠性提供安全保障。

3.安全管理平臺。主要由網絡管理平臺、防病毒系統、日志審計系統、終端安全管理系統組成。提供全網統一管理、日志分析等可視化管理服務。

4.安全接入平臺。主要為總部接入、油井站點接入、視頻會議系統接入提供可信的安全接入服務。

5.互聯網業務域。主要為互聯網辦公業務、移動辦公業務提供可信接入平臺。由網閘形成與業務內網的邏輯隔離；多鏈路負載均衡系統接入負載；由上網行為管理與流量控制系統保障與安全審計，最終通過VPN系統提供可靠的接入服務。

六、結語

油田信息業務系統整改加固實施后，由等級保護測評機構進行安全技術體系與安全管理體系的符合性測評，并出具等級測評報告。玉門油田網絡與信息安全既需要完善的安全技術保障體系，也需要完善的運維管理來支撐。因此，需要進一步提升網絡安全管理體系防護水平和防護能力，增強網絡安全保護意識，切實履行網絡安全保障責任，為玉門油田數智化發展提供安全可靠保障。

參考文獻

[1] GB 17859-1999，計算機信息系統按保護等級劃分準則.

[2]GB/T22239- 2019，信息安全技術網絡安全等級保護基本要求.

[3]郭啟全.國家信息安全等級保護工作的開展與實施[J].警察技術，2007（05）：9-12.

[4]張大偉，沈昌祥，劉吉強，等.基于主動防御的網絡安全基礎設施可信技術保障體系[J].中國工程科學，2016，18（06）：58-61.

（作者單位：吳寶琦，中國石油玉門油田公司共享中心；李若琛，上海嗶哩嗶哩科技有限公司）