丁玲玲 淄博職業(yè)學(xué)院

石油企業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全機(jī)制

丁玲玲 淄博職業(yè)學(xué)院

油田物聯(lián)網(wǎng)是通過虛擬主機(jī)將系統(tǒng)參數(shù)轉(zhuǎn)變?yōu)橹鳈C(jī)系統(tǒng)可以識別的代碼?，F(xiàn)代物聯(lián)網(wǎng)主要通過劃分不同的頻段的端口號來組建不同的網(wǎng)絡(luò)，其中主要有基于計算機(jī)網(wǎng)絡(luò)端口的劃分、基于物理地址的局域網(wǎng)的劃分、基于設(shè)備終端網(wǎng)絡(luò)層的劃分、基于策略局域網(wǎng)的劃分四種劃分方式。物聯(lián)網(wǎng)可以控制油田網(wǎng)絡(luò)維護(hù)系統(tǒng)，并且讓主機(jī)部分和操作系統(tǒng)隔離，這主要是為了避免油井正常運(yùn)行過程中受到外界病毒的襲擊。

油田物聯(lián)網(wǎng)；計算機(jī)網(wǎng)絡(luò)安全；端口劃分；應(yīng)用

網(wǎng)絡(luò)安全這方面一直受著病毒的攻擊，使得油田的生產(chǎn)受到阻礙。傳統(tǒng)的物聯(lián)網(wǎng)很容易遭受到外界病毒的攻擊，病毒竊取內(nèi)部數(shù)據(jù)資料，嚴(yán)重時會導(dǎo)致整個運(yùn)行網(wǎng)絡(luò)系統(tǒng)癱瘓。為了進(jìn)一步提高石油企業(yè)的網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)防護(hù)方面應(yīng)做進(jìn)一步的研究。

1 油田物聯(lián)網(wǎng)的組成

油田物聯(lián)網(wǎng)是通過虛擬主機(jī)將系統(tǒng)參數(shù)轉(zhuǎn)變?yōu)橹鳈C(jī)系統(tǒng)可以識別的代碼，其中代碼包括很多種，如正交振幅調(diào)制代碼、高斯最小頻移鍵控代碼、正交頻分復(fù)用代碼，所得到的代碼都是原系統(tǒng)參數(shù)經(jīng)過抽樣、量化、編碼得到的。油田物聯(lián)網(wǎng)的硬件設(shè)施包括CPU、芯片、傳感器、硬盤、傳輸網(wǎng)絡(luò)、數(shù)據(jù)接收終端；軟件系統(tǒng)包括ACCESS、VF、C語言編程、數(shù)據(jù)庫編程等；人員包括網(wǎng)絡(luò)維護(hù)管理人員、系統(tǒng)后臺操作人員、軟件開發(fā)人員等。

2 端口劃分的依據(jù)

現(xiàn)代物聯(lián)網(wǎng)主要通過劃分不同的頻段的端口號來組建不同的網(wǎng)絡(luò)，其中主要有四種劃分方式，并且每種方法都有特定的防護(hù)依據(jù)。

2.1 基于計算機(jī)網(wǎng)絡(luò)端口的劃分

這種劃分的方法是根據(jù)網(wǎng)絡(luò)終端設(shè)備的端口進(jìn)行的，由編程操作員自行決定，在網(wǎng)絡(luò)維護(hù)系統(tǒng)設(shè)備中共有24個端口，見表1。在進(jìn)行配置時處于同一網(wǎng)絡(luò)端口號的設(shè)備可以跨越多個以太網(wǎng)交換機(jī)，來組建更大的維護(hù)網(wǎng)絡(luò)。

表1 網(wǎng)絡(luò)端口的劃分

2.2 基于物理地址的局域網(wǎng)的劃分

這種基于MAC劃分局域網(wǎng)的方法和端口劃分局域網(wǎng)的方法在一定程度上有小小的區(qū)別，將要劃分在同一局域網(wǎng)的設(shè)備的MAC處于同一個網(wǎng)段內(nèi)，即子網(wǎng)掩碼和網(wǎng)絡(luò)地址的網(wǎng)絡(luò)號處于同一類IP地址上，其中IP地址是根據(jù)數(shù)據(jù)段劃分的。

2.3 基于設(shè)備終端網(wǎng)絡(luò)層的劃分

這種基于劃分局域網(wǎng)的方法有兩種。其中一種是根據(jù)每個網(wǎng)絡(luò)終端用戶的網(wǎng)絡(luò)地址來劃分的，另一種是基于協(xié)議類型來劃分的。若兩個設(shè)備劃分到同一局域網(wǎng)中，必須保證屬于同一個協(xié)議類型，如TCP/IP、RIP、MGCP、OSPF等。

2.4 基于策略局域網(wǎng)的劃分

這是最靈活的局域網(wǎng)的劃分方法，具有自動配置功能。能夠把相關(guān)的用戶練成一體，形成一個整體的防火墻，使之之間的漏洞互相彌補(bǔ)，在邏輯上劃分稱為“關(guān)系網(wǎng)絡(luò)”。油田網(wǎng)絡(luò)維護(hù)管理員只需在網(wǎng)管軟件中確定劃分局域網(wǎng)的規(guī)則，當(dāng)一個站點(diǎn)加入網(wǎng)絡(luò)中時，將會被“感知”，并被自動地包含到正確的局域網(wǎng)中；同時，對破壞油井站點(diǎn)的不法分子的IP地址自動識別和跟蹤，大大提高了系統(tǒng)安全防護(hù)的能力。

3 網(wǎng)絡(luò)安全技術(shù)在油田中的應(yīng)用

3.1 網(wǎng)絡(luò)控制

首先，物聯(lián)網(wǎng)可以控制油田網(wǎng)絡(luò)維護(hù)系統(tǒng)，并且讓主機(jī)部分和操作系統(tǒng)隔離，這主要是為了避免在油井正常運(yùn)行過程中受到外界病毒的襲擊。病毒侵入后，便會控制住整個主機(jī)部分，又因?yàn)橹鳈C(jī)部分控制著油井的整個核心，一旦和操作系統(tǒng)相連接，便會更改設(shè)備的變換參數(shù)，使其失去自動控制能力。

其次，建立了專門的公用網(wǎng)絡(luò)，在建立小型的局域網(wǎng)中，內(nèi)部人員可以共用一個網(wǎng)絡(luò)資源，并且頻帶已在防火墻的保護(hù)范圍之內(nèi)，所以不會受到外界病毒的攻擊。

最后，在網(wǎng)絡(luò)控制方式上采取了監(jiān)視和操作記錄的形式，對油井內(nèi)部的管理人員來說，每訪問一個對話框，網(wǎng)絡(luò)安全系統(tǒng)都會進(jìn)行探測，是否含有可疑的腳本，對有安全隱患的對話框系統(tǒng)會給與相關(guān)的警示。

3.2 網(wǎng)絡(luò)服務(wù)安全

油田物聯(lián)網(wǎng)在規(guī)劃初期早已明確服務(wù)范圍的對象，按照對象的服務(wù)級別大致可分為油田內(nèi)部私有網(wǎng)絡(luò)服務(wù)、油田業(yè)務(wù)增值服務(wù)以及油田廣域網(wǎng)受控服務(wù)。油田內(nèi)部私有網(wǎng)絡(luò)屬于組建的小型局域網(wǎng)，只能供給油井內(nèi)部人員共享的網(wǎng)絡(luò)，并且安全性早已在防火墻的保護(hù)范圍之內(nèi)；增值業(yè)務(wù)屬于第三方業(yè)務(wù)，比如傳輸業(yè)務(wù)數(shù)據(jù)時，信道的帶寬達(dá)不到所要求的范圍標(biāo)準(zhǔn)時，可以向上級申請增加業(yè)務(wù)帶寬等功能，這便屬于第三方業(yè)務(wù)；油田廣域網(wǎng)受控服務(wù)的廣域網(wǎng)為連接外部的網(wǎng)絡(luò)，可根據(jù)授權(quán)訪問網(wǎng)頁的形式，進(jìn)行有限制地瀏覽，對于訪問外界的瀏覽器需要在日志上面做記錄，以確保網(wǎng)站的安全性。

3.3 對惡意代碼的阻止

油井管理系統(tǒng)經(jīng)常會受到遠(yuǎn)程惡意代碼的攻擊，如果電腦系統(tǒng)沒有安裝防火墻之類的軟件，計算機(jī)主機(jī)就會受到病毒的感染，病毒會篡改主機(jī)的注冊表，使其屏幕顯示的運(yùn)行程序的圖標(biāo)無法正常工作，并且在程序盤中會添加一些不明確的運(yùn)行軟件，使其受到外界的控制。目前在油田網(wǎng)絡(luò)安全上采用了物聯(lián)網(wǎng)安全技術(shù)，使得被外界惡意代碼攻克的可能性逐漸降低。

3.4 信息備份

對油田系統(tǒng)所存儲的數(shù)據(jù)量進(jìn)行信息備份是十分有必要的。企業(yè)要求油田物聯(lián)網(wǎng)系統(tǒng)有足夠的儲存空間和更高的兼容性，儲存空間可以根據(jù)油田業(yè)務(wù)量的大小以及運(yùn)行軟件操作平臺所占的內(nèi)存空間而定。對于一些相對大型的油田企業(yè)中的系統(tǒng)信息備份不光只是100 G、200 G的內(nèi)存空間，因?yàn)槊刻觳粌H只是石油開采量的數(shù)據(jù)，還有開采設(shè)備正常運(yùn)行的數(shù)據(jù)參數(shù)都要進(jìn)行相關(guān)的備份，因此系統(tǒng)兼容性和存儲空間要根據(jù)實(shí)際需要而定。

（欄目主持 關(guān)梅君）

10.3969/j.issn.1006-6896.2014.1.042