趙偉 馬麗濤 張琴

摘要：近年來(lái)，隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)在企業(yè)發(fā)展中顯示著越來(lái)越重要的作用，該文以油田網(wǎng)絡(luò)為例，分析了網(wǎng)絡(luò)與信息化管理構(gòu)成了企業(yè)的安全建設(shè)的重要內(nèi)容。

關(guān)鍵詞：網(wǎng)絡(luò)；信息；安全；油田；數(shù)字化

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)24-5789-02

近年來(lái)，國(guó)家下發(fā)了多個(gè)文件，要求加強(qiáng)信息系統(tǒng)安全管理工作。近期，在《我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展十二五規(guī)劃綱要》第十三章就多次提到了信息安全，其中第一節(jié)《構(gòu)建下一代信息基礎(chǔ)設(shè)施》、第二節(jié)《加快經(jīng)濟(jì)社會(huì)信息化》、第三節(jié)《加強(qiáng)網(wǎng)絡(luò)與信息安全保障》均涉及信息安全方面的內(nèi)容。特別是第三條，專門提出了信息安全保障，決定要構(gòu)建信息安全保密防護(hù)體系、加強(qiáng)網(wǎng)絡(luò)管理，確保國(guó)家信息安全等。

1建設(shè)目標(biāo)

按照國(guó)家、集團(tuán)公司對(duì)網(wǎng)絡(luò)與信息安全的要求和規(guī)范，結(jié)合油田網(wǎng)絡(luò)與信息安全現(xiàn)狀，著力完善油田網(wǎng)絡(luò)與信息安全體系建設(shè)，從計(jì)算機(jī)桌面、網(wǎng)絡(luò)傳輸、互聯(lián)網(wǎng)出口等環(huán)節(jié)，對(duì)油田辦公網(wǎng)和社區(qū)網(wǎng)進(jìn)行全面的安全升級(jí)，為油田數(shù)字化管理提供一個(gè)安全、可靠、穩(wěn)定的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。

2網(wǎng)絡(luò)與信息安全現(xiàn)狀

油田網(wǎng)絡(luò)經(jīng)過(guò)不斷的改造和完善，目前已具有西安等七個(gè)主要匯聚節(jié)點(diǎn)，已經(jīng)覆蓋了全部油氣田生產(chǎn)區(qū)域。

油田辦公網(wǎng)絡(luò)和社區(qū)網(wǎng)絡(luò)已實(shí)現(xiàn)物理隔離。辦公網(wǎng)計(jì)算機(jī)用戶自行進(jìn)行計(jì)算機(jī)病毒等防護(hù)操作；操作系統(tǒng)補(bǔ)丁升級(jí)也用戶自行完成。社區(qū)網(wǎng)網(wǎng)絡(luò)單獨(dú)運(yùn)行，在網(wǎng)絡(luò)出口采用防火墻進(jìn)行安全防護(hù)。

近年來(lái)，隨著油氣藏地質(zhì)數(shù)據(jù)庫(kù)和科研生產(chǎn)數(shù)據(jù)庫(kù)安全系統(tǒng)的建設(shè)，在互聯(lián)網(wǎng)出口防火墻、流量監(jiān)測(cè)和流量清洗等設(shè)備的安裝上線，油田網(wǎng)絡(luò)基本具備了一定的安全管理架構(gòu)，但是在計(jì)算機(jī)終端、大型應(yīng)用系統(tǒng)的訪問(wèn)控制、數(shù)據(jù)庫(kù)安全防護(hù)等方面，網(wǎng)絡(luò)與信息精細(xì)化管理等方面還存在著一定的風(fēng)險(xiǎn)。

3全面加強(qiáng)企業(yè)網(wǎng)絡(luò)與信息安全建設(shè)

隨著油田數(shù)字化管理的大力推廣和建設(shè)，為了保障公司辦公網(wǎng)和社區(qū)網(wǎng)的網(wǎng)絡(luò)及信息安全，桌面安全系統(tǒng)、身份管理與認(rèn)證系統(tǒng)、網(wǎng)絡(luò)與信息安全系統(tǒng)三大系統(tǒng)先后上線。

3.1桌面安全系統(tǒng)

系統(tǒng)是保障桌面計(jì)算機(jī)安全的合規(guī)性及可用性；降低桌面計(jì)算機(jī)病毒和木馬發(fā)生機(jī)率；提升桌面計(jì)算機(jī)抵御安全威脅的能力；提高桌面安全管理水平；在桌面計(jì)算機(jī)層面上保障總部統(tǒng)一建設(shè)信息系統(tǒng)的安全；制定與桌面計(jì)算機(jī)安全相關(guān)的制度、標(biāo)準(zhǔn)和規(guī)范，從管理和技術(shù)兩個(gè)方面滿足國(guó)家等級(jí)保護(hù)要求和企業(yè)對(duì)計(jì)算機(jī)安全的總體需求，不斷提升桌面安全管理水平。

3.2身份管理與認(rèn)證系統(tǒng)

系統(tǒng)以統(tǒng)一的強(qiáng)認(rèn)證技術(shù)為基礎(chǔ)，集中的帳號(hào)、口令管理為機(jī)制，不僅能夠有效解決當(dāng)前存在的弱口令、孤兒帳號(hào)等“老大難”問(wèn)題，而且通過(guò)集中、統(tǒng)一的實(shí)現(xiàn)方式為總部信息技術(shù)應(yīng)用環(huán)境建立起安全可靠的信息安全“基準(zhǔn)線”。

1）PKI公共密鑰體系

可以對(duì)用戶電子證書的加密密鑰進(jìn)行更新、備份，并存放在數(shù)據(jù)庫(kù)中進(jìn)行統(tǒng)一的管理；可以對(duì)用戶的電子證書進(jìn)行更新、補(bǔ)辦、吊銷等。

2）IAM身份管理與訪問(wèn)控制

系統(tǒng)為用戶制作電子證書，在符合國(guó)家相關(guān)標(biāo)準(zhǔn)的公共密鑰體系基礎(chǔ)設(shè)施（PKI）的支撐下，基于嚴(yán)謹(jǐn)?shù)募用芩惴ㄅc密鑰管理機(jī)制，實(shí)現(xiàn)高安全性的USBKey數(shù)字證書認(rèn)證方式；用戶經(jīng)過(guò)統(tǒng)一身份認(rèn)證之后，即可訪問(wèn)該用戶擁有訪問(wèn)權(quán)限的全部應(yīng)用系統(tǒng)。實(shí)現(xiàn)了電子簽名、安全巡檢和審計(jì)追蹤等功能，確保用戶帳號(hào)操作的可稽核性，身份與帳號(hào)信息的完整性，能夠及時(shí)發(fā)現(xiàn)對(duì)于用戶帳號(hào)屬性的非法篡改。

3.3網(wǎng)絡(luò)與信息安全系統(tǒng)

通過(guò)在辦公網(wǎng)和社區(qū)網(wǎng)互聯(lián)網(wǎng)出口部署安全網(wǎng)關(guān)、代理服務(wù)器、防火墻等設(shè)備，在網(wǎng)內(nèi)關(guān)鍵路徑部署上網(wǎng)行為管理設(shè)備，滿足企業(yè)關(guān)于網(wǎng)絡(luò)防攻擊、數(shù)據(jù)防泄漏、上網(wǎng)行為管理和網(wǎng)絡(luò)信息管理等需求。

4三大系統(tǒng)全面提升企業(yè)網(wǎng)絡(luò)與信息安全保障能力

隨著信息化技術(shù)的發(fā)展，數(shù)字化建設(shè)在油田的推廣，網(wǎng)絡(luò)正逐漸改變著我們的生活。網(wǎng)絡(luò)不單是提供收發(fā)郵件、聊天、看電影等一般性服務(wù)，它已經(jīng)是油田實(shí)現(xiàn)數(shù)字化管理，建設(shè)數(shù)字化油氣田的基礎(chǔ)。正因?yàn)槿绱?，網(wǎng)絡(luò)的安全，網(wǎng)上信息的安全更顯得關(guān)鍵。隨著桌面安全系統(tǒng)、身份管理與認(rèn)證系統(tǒng)、網(wǎng)絡(luò)與信息安全系統(tǒng)的應(yīng)用，從數(shù)據(jù)源（計(jì)算機(jī)桌面）---傳輸通道---互聯(lián)網(wǎng)、總部網(wǎng)絡(luò)出口，油田網(wǎng)絡(luò)和信息的安全防護(hù)能力、網(wǎng)內(nèi)用戶網(wǎng)絡(luò)行為的審計(jì)和追溯能力、大型應(yīng)用系統(tǒng)的用戶安全防護(hù)能力等得到了全面的提升，油田的網(wǎng)絡(luò)和信息安全體系得到了極大的完善。

1）從數(shù)據(jù)源頭提升網(wǎng)絡(luò)安全防護(hù)能力，提供工作效率。隨著桌面安全系統(tǒng)的安裝部署，企業(yè)內(nèi)所有計(jì)算機(jī)將接受系統(tǒng)管理，計(jì)算機(jī)防病毒、操作系統(tǒng)補(bǔ)丁等重要防護(hù)手段將定期的、自動(dòng)的得到升級(jí)和維護(hù)，使得計(jì)算機(jī)的利用率、網(wǎng)絡(luò)正常運(yùn)行率等得到了保障，減少了因?yàn)橛?jì)算機(jī)系統(tǒng)和軟件故障、網(wǎng)絡(luò)故障等導(dǎo)致的無(wú)法辦公等時(shí)間，提高了工作的效率。

2）嚴(yán)格管理網(wǎng)絡(luò)應(yīng)用，凈化網(wǎng)絡(luò)行為，提高網(wǎng)絡(luò)利用率。網(wǎng)絡(luò)與信息安全系統(tǒng)的應(yīng)用，將幫助網(wǎng)絡(luò)管理員凈化網(wǎng)絡(luò)行為，對(duì)和辦公無(wú)關(guān)的、非法的網(wǎng)絡(luò)行為可以監(jiān)控和阻斷，保證將有限的網(wǎng)絡(luò)資源充分利用到辦公業(yè)務(wù)中。

3）網(wǎng)絡(luò)事件的監(jiān)管和審計(jì)。網(wǎng)絡(luò)與信息安全系統(tǒng)可以對(duì)網(wǎng)內(nèi)的網(wǎng)絡(luò)事件進(jìn)行追蹤和定位。

4）對(duì)重點(diǎn)應(yīng)用系統(tǒng)實(shí)行集中化管理。身份管理與認(rèn)證系統(tǒng)保證了重點(diǎn)應(yīng)用系統(tǒng)的用戶訪問(wèn)安全，同時(shí)對(duì)系統(tǒng)數(shù)據(jù)庫(kù)有著重要的防護(hù)作用，減小了非法用戶、非授權(quán)用戶等對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行攻擊和破壞，從而影響正常的辦公業(yè)務(wù)的風(fēng)險(xiǎn)。

5）防止科研等重要數(shù)據(jù)泄漏，確保信息安全。網(wǎng)絡(luò)與信息安全系統(tǒng)對(duì)網(wǎng)絡(luò)內(nèi)部重要計(jì)算機(jī)的數(shù)據(jù)進(jìn)行重點(diǎn)看護(hù)，防止計(jì)算機(jī)因人為或木馬病毒等導(dǎo)致的重要數(shù)據(jù)泄漏。

6）實(shí)施互聯(lián)網(wǎng)出口的全面防護(hù)，防止網(wǎng)絡(luò)受到外部攻擊。網(wǎng)絡(luò)與信息安全系統(tǒng)在互聯(lián)網(wǎng)出口通過(guò)代理服務(wù)器，“切斷”了網(wǎng)內(nèi)計(jì)算機(jī)和外網(wǎng)的直接訪問(wèn)，所有內(nèi)網(wǎng)計(jì)算機(jī)“穿著”代理服務(wù)器的外衣進(jìn)行互聯(lián)網(wǎng)訪問(wèn)，將可能存在的外部攻擊等威脅和風(fēng)險(xiǎn)轉(zhuǎn)嫁到了代理服務(wù)器上，避免了用戶主機(jī)遭受到破壞。