周樹理

（中國石化石油物探技術(shù)研究院 江蘇 211103）

0 引言

近年來，隨著全球油氣資源的日益緊張以及各個產(chǎn)業(yè)對石油資源的巨大需求，石化企業(yè)對上游勘探開發(fā)的力度逐步擴(kuò)大。現(xiàn)代化的油氣勘探開發(fā)需要依托先進(jìn)的信息技術(shù)來進(jìn)行有力的支撐，高性能計算集群、圖形工作站、海量數(shù)據(jù)存儲設(shè)備以及各類專業(yè)應(yīng)用軟件的大量部署，對信息系統(tǒng)的依賴程度不斷增強(qiáng)，對系統(tǒng)的安全穩(wěn)定性要求越來越高。業(yè)務(wù)系統(tǒng)運行是否可靠、數(shù)據(jù)安全能否保障、用戶身份是否可信、能否保證業(yè)務(wù)的連續(xù)性，都會直接影響到企業(yè)的發(fā)展。本文在結(jié)合勘探開發(fā)業(yè)務(wù)自身特點的情況下，研究建立了一套以信息安全管理為保障，信息安全技術(shù)為支撐的安全體系架構(gòu)。

1 信息安全管理體系建設(shè)

信息安全管理的主要目的是管理信息系統(tǒng)中各種角色的活動。本文中建立的信息安全管理體系主要以BS7799/ ISO17799規(guī)范為基礎(chǔ)，從安全組織機(jī)構(gòu)、信息資產(chǎn)安全管理、人員安全管理、物理環(huán)境安全管理和業(yè)務(wù)連續(xù)性管理五個方面展開。

1.1 安全組織機(jī)構(gòu)建設(shè)

安全組織機(jī)構(gòu)的設(shè)置采用院領(lǐng)導(dǎo)牽頭－>部門領(lǐng)導(dǎo)負(fù)責(zé)－>信息安全專員管理－>全員參與的管理模式，建立三級管理機(jī)制，由兩個小組和一個歸口管理部門組成。信息化建設(shè)領(lǐng)導(dǎo)小組負(fù)責(zé)信息安全整體規(guī)劃和領(lǐng)導(dǎo)工作。下設(shè)信息安全工作小組由每個部門的信息安全專員組成，負(fù)責(zé)各部門信息安全的具體管理工作。專職的信息安全管理部門負(fù)責(zé)具體的信息安全管理和執(zhí)行工作，部門內(nèi)部設(shè)置云計算安全管理員、數(shù)據(jù)庫安全員、網(wǎng)絡(luò)安全員和機(jī)房安全員，做到崗位分離，職責(zé)分離。

1.2 信息資產(chǎn)安全管理

信息資產(chǎn)的保護(hù)是信息安全管理體系建設(shè)的一項重要工作，根據(jù)信息資產(chǎn)的價值、保密性、可用性、弱點和威脅，對信息資產(chǎn)及其風(fēng)險進(jìn)行賦值，確定保護(hù)的優(yōu)先級和強(qiáng)度，制定相關(guān)的工作和審批流程、管理辦法，建立信息資產(chǎn)管理平臺，實現(xiàn)信息資產(chǎn)的統(tǒng)一管理、統(tǒng)一維護(hù)，使信息資產(chǎn)的保護(hù)和管理工作貫穿到整個信息系統(tǒng)規(guī)劃建設(shè)運維的全生命周期中。

1.3 人員安全管理

人員的安全管理不僅僅是依賴有效的控制手段，更重要的是提高人員的安全意識。首先對應(yīng)用系統(tǒng)的所有人員進(jìn)行統(tǒng)一的身份識別和授權(quán)管理，對第三方合作人員要嚴(yán)格授予相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，簽署保密協(xié)議。對于內(nèi)部職工要加強(qiáng)信息安全的宣傳、培訓(xùn)，定期學(xué)習(xí)信息安全策略流程和規(guī)定。

1.4 物理環(huán)境安全管理

根據(jù)不同的功能將整個物理區(qū)域劃分為辦公區(qū)、云計算機(jī)房、網(wǎng)絡(luò)設(shè)備間、備份設(shè)備間等，以受管理區(qū)域的門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)配套相關(guān)的出入安全和申請審批等管理辦法對重點區(qū)域進(jìn)行出入管控。通過溫感煙感設(shè)備實施監(jiān)控重點區(qū)域的溫濕度變化情況。

1.5 業(yè)務(wù)連續(xù)性管理

主要根據(jù)各類信息系統(tǒng)的重要程度及優(yōu)先級制訂災(zāi)難恢復(fù)計劃，對勘探數(shù)據(jù)建立異地備份中心，對關(guān)鍵業(yè)務(wù)系統(tǒng)建立熱備份，定期檢查備份系統(tǒng)和設(shè)備，建立安全事故和災(zāi)難恢復(fù)處理流程，制定應(yīng)急恢復(fù)計劃，開展緊急事故響應(yīng)演練。

圖1 業(yè)務(wù)連續(xù)性管理示意圖

2 信息安全技術(shù)防護(hù)體系建設(shè)

2.1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全架構(gòu)以安全管理中心為核心，外網(wǎng)、企業(yè)內(nèi)網(wǎng)、DMZ區(qū)與內(nèi)網(wǎng)，內(nèi)網(wǎng)與生產(chǎn)網(wǎng)均通過安全設(shè)備隔離，內(nèi)外網(wǎng)出口配置防火墻、IPS、VPN、上網(wǎng)行為管理和Web防火墻，核心交換機(jī)配置內(nèi)網(wǎng)防火墻、流量監(jiān)控板卡，內(nèi)網(wǎng)防火墻隔離辦公網(wǎng)和生產(chǎn)網(wǎng)，強(qiáng)化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)訪問進(jìn)行監(jiān)控審計。安全管理中心收集網(wǎng)絡(luò)安全事件，對安全事件進(jìn)行綜合分析，并與交換機(jī)和網(wǎng)絡(luò)安全設(shè)備進(jìn)行聯(lián)動。

圖2 網(wǎng)絡(luò)安全架構(gòu)圖

2.2 部署PKI/CA身份認(rèn)證系統(tǒng)

建設(shè)統(tǒng)一的身份管理系統(tǒng)，實現(xiàn)對所有員工電子身份的集中管理、統(tǒng)一管理。用戶身份認(rèn)證系統(tǒng)將以企業(yè)現(xiàn)有的AD域/LDAP系統(tǒng)為基礎(chǔ)，與企業(yè)的信息系統(tǒng)集成，實現(xiàn)數(shù)字簽名、數(shù)據(jù)加密和電子簽章。用戶訪問系統(tǒng)需采用HTTPS協(xié)議，系統(tǒng)與系統(tǒng)間的通訊，采用SSL協(xié)議，提高用戶信息的一致性、完整性和準(zhǔn)確性，提高應(yīng)用系統(tǒng)的整體安全等級。

2.3 防病毒管理平臺建設(shè)

在系統(tǒng)重要網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)，實時檢查和過濾進(jìn)入內(nèi)部網(wǎng)絡(luò)的各種病毒和惡意代碼，保護(hù)各系統(tǒng)服務(wù)器、網(wǎng)絡(luò)設(shè)備的安全。部署二級補(bǔ)丁服務(wù)器，存儲應(yīng)用系統(tǒng)的各種設(shè)備補(bǔ)丁信息，為管理員和辦公終端人員提供補(bǔ)丁下載。

2.4 建立信息安全審計平臺

建立統(tǒng)一的事件日志采集、收集匯總存儲和關(guān)聯(lián)分析的監(jiān)控和審計平臺，按照既定的安全策略識別非授權(quán)訪問、入侵等安全事件。平臺通過實時監(jiān)控和分析來自于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)中與安全相關(guān)的事件，通過關(guān)聯(lián)來自不同地點、不同層次和不同類型的安全事件，發(fā)現(xiàn)安全風(fēng)險，并根據(jù)預(yù)先制定的策略快速作出響應(yīng)。

3 結(jié)束語

目前油氣勘探開發(fā)業(yè)務(wù)正朝著規(guī)?；?、精細(xì)化、協(xié)同化的方向發(fā)展，云計算的服務(wù)模式在勘探開發(fā)業(yè)務(wù)中得到了廣泛的應(yīng)用，這對信息系統(tǒng)安全也提出了更高的要求，未來將根據(jù)系統(tǒng)的特殊性和復(fù)雜性對安全體系進(jìn)行不斷的完善和擴(kuò)充，利用虛擬化技術(shù)，實現(xiàn)傳統(tǒng)部署方式向云部署方式的遷移，建立一個多層次、全方位的信息安全體系。

[1] 彭珺，高珺. 計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究. 計算機(jī)與數(shù)字工程,2011，（01）

[2]張振強(qiáng). 公司信息安全體系構(gòu)建.電腦知識與技術(shù)，2009，(12)

[3]楊蘊(yùn)石，王穎. 商業(yè)銀行安全保障體系設(shè)計.計算機(jī)技術(shù)與發(fā)展，2008，(03)