◆趙捷

數(shù)字油氣田網(wǎng)絡(luò)安全管理與防護(hù)對(duì)策研究

◆趙捷

（大慶油田第十采油廠 黑龍江 163000）

本文在系統(tǒng)分析當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全發(fā)展現(xiàn)狀的基礎(chǔ)上，對(duì)威脅網(wǎng)絡(luò)安全的主要因素進(jìn)行全面梳理分析認(rèn)為：在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，企業(yè)應(yīng)當(dāng)從行業(yè)資源整合、信息安全人才培養(yǎng)、終端設(shè)備防護(hù)以及數(shù)據(jù)庫(kù)應(yīng)用安全四個(gè)維度制定符合自身建設(shè)與發(fā)展需求的安全防護(hù)策略與應(yīng)對(duì)方法，才能確保各項(xiàng)生產(chǎn)運(yùn)行活動(dòng)在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行。最終得出結(jié)論，一是企業(yè)安全要從意識(shí)和技術(shù)進(jìn)行加強(qiáng)，二是為企業(yè)量身打造網(wǎng)絡(luò)安全平臺(tái)，未來(lái)在企業(yè)網(wǎng)絡(luò)安全方面將發(fā)揮重大作用，三是為企業(yè)配套硬件設(shè)施，制定安全防范策略，建立并完善企業(yè)互聯(lián)網(wǎng)安全監(jiān)管體系，提高網(wǎng)絡(luò)環(huán)境信息安全的保障能力。

互聯(lián)網(wǎng)；企業(yè)；信息安全；安全管理；防護(hù)對(duì)策

截至2020年12月，中國(guó)網(wǎng)民規(guī)模達(dá)9.89億，相當(dāng)于全球網(wǎng)民1/5；互聯(lián)網(wǎng)普及率達(dá)70.4%，約高于全球平均水平5.9個(gè)百分點(diǎn)；網(wǎng)民中使用手機(jī)上網(wǎng)的比例為99.2%，入網(wǎng)門檻進(jìn)一步降低[1]。隨著互聯(lián)網(wǎng)的普及和新技術(shù)、新業(yè)務(wù)的快速發(fā)展與應(yīng)用，我國(guó)互聯(lián)網(wǎng)安全業(yè)務(wù)需求也在快速地增長(zhǎng)，在各方的共同努力下，網(wǎng)絡(luò)安全防護(hù)和網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)水平得到提升。當(dāng)前，勒索軟件對(duì)重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施威脅加劇，拒絕服務(wù)攻擊頻次下降但峰值流量持續(xù)攀升，針對(duì)工業(yè)控制系統(tǒng)的定向性攻擊趨勢(shì)明顯，虛假和仿冒移動(dòng)應(yīng)用增多且成為網(wǎng)絡(luò)詐騙新渠道，云平臺(tái)成為發(fā)生網(wǎng)絡(luò)攻擊重災(zāi)區(qū)等問(wèn)題凸顯[2]。因此，分析和總結(jié)企業(yè)互聯(lián)網(wǎng)安全狀況，提出企業(yè)互聯(lián)網(wǎng)安全管理及技術(shù)解決方案，對(duì)全面提升石油石化行業(yè)信息技術(shù)創(chuàng)新發(fā)展能力，提高兩化深度融合和網(wǎng)絡(luò)安全管理水平，助力企業(yè)降本增效至關(guān)重要。

1 當(dāng)前互聯(lián)網(wǎng)安全狀況

1.1 網(wǎng)絡(luò)安全法律法規(guī)政策保障體系逐步健全

自《網(wǎng)絡(luò)安全法》實(shí)施以來(lái)，網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及配套制度逐步健全，逐漸形成綜合法律、監(jiān)管規(guī)定、行業(yè)與技術(shù)標(biāo)準(zhǔn)的綜合化、規(guī)范化體系，我國(guó)網(wǎng)絡(luò)安全工作法律保障體系不斷完善，網(wǎng)絡(luò)安全執(zhí)法力度持續(xù)加強(qiáng)[3]。

1.2 互聯(lián)網(wǎng)安全威脅得到治理

互聯(lián)網(wǎng)安全環(huán)境經(jīng)過(guò)多年的持續(xù)治理效果顯著，針對(duì)重要行業(yè)的木馬僵尸惡意程序、網(wǎng)站安全、安全漏洞等傳統(tǒng)網(wǎng)絡(luò)安全事件大幅減少，網(wǎng)絡(luò)安全環(huán)境得到明顯改善，使網(wǎng)民財(cái)產(chǎn)安全得到保障。

1.3 云平臺(tái)成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)

云平臺(tái)成為網(wǎng)絡(luò)攻擊的重要目標(biāo)是因?yàn)榇罅肯到y(tǒng)部署到云上，涉及國(guó)計(jì)民生、企業(yè)運(yùn)營(yíng)的數(shù)據(jù)和用戶個(gè)人信息，成為攻擊者攫取經(jīng)濟(jì)利益的目標(biāo)。網(wǎng)絡(luò)流量的復(fù)雜性有利于攻擊者隱藏真實(shí)身份，攻擊者更多地利用云平臺(tái)設(shè)備作為跳板機(jī)或控制端發(fā)起網(wǎng)絡(luò)攻擊。

1.4 數(shù)字油氣田網(wǎng)絡(luò)安全建設(shè)

油氣田智慧化是一個(gè)系統(tǒng)工程，實(shí)現(xiàn)地面-井筒-油氣藏的一體化分析功能是數(shù)字化和智能化的著眼點(diǎn)，除了監(jiān)控?cái)?shù)字化改造作為重要的數(shù)據(jù)來(lái)源保障外，如果立足智能化油氣田的目標(biāo)，則針對(duì)后臺(tái)管控和數(shù)據(jù)采集后的開發(fā)分析深化應(yīng)用將和采集監(jiān)控一樣重要，特別是“一井一策”和“專題化”的分析管理決策尤為重要，這樣才能提升油氣田開發(fā)的整體智能化水平[5]。

2 威脅互聯(lián)網(wǎng)安全的主要因素分析

2.1 惡意程序

惡意代碼的傳播方式在迅速地演化，從引導(dǎo)區(qū)傳播，到某種類型文件傳播，到宏病毒傳播，到郵件傳播，到網(wǎng)絡(luò)傳播，發(fā)作和流行的時(shí)間越來(lái)越短[6]。

2.2 安全漏洞

安全漏洞是硬件軟件或使用策略上的缺陷，他們會(huì)使計(jì)算機(jī)遭受病毒和黑客攻擊。危害等級(jí)相當(dāng)高。

2.3 網(wǎng)站安全

網(wǎng)站安全，是指出于防止網(wǎng)站受到外來(lái)電腦入侵者對(duì)其網(wǎng)站進(jìn)行掛馬，篡改網(wǎng)頁(yè)等行為而做出一系列的防御工作[8]。危害等級(jí)一般。

2.4 工業(yè)互聯(lián)網(wǎng)安全

電力、燃?xì)?、供暖、煤炭、水?wù)、智能樓宇六個(gè)重點(diǎn)行業(yè)的聯(lián)網(wǎng)工控系統(tǒng)或平臺(tái)都可以存在嚴(yán)重漏洞隱患，這些漏洞若被黑客惡意利用，可能造成相關(guān)系統(tǒng)生產(chǎn)停擺或大量生產(chǎn)、用戶數(shù)據(jù)泄露。危害等級(jí)逐年上升。

2.5 其他黑客攻擊

社會(huì)工程學(xué)。在如今的復(fù)雜形勢(shì)下，從管理方面也要做到“技防人防”，近些年屢見不鮮的社會(huì)工程學(xué)攻擊方式為人們敲響警鐘，要制定誰(shuí)使用誰(shuí)維護(hù)，誰(shuí)使用誰(shuí)負(fù)責(zé)的安全防范制度，有效杜絕社會(huì)工程學(xué)攻擊。

3 企業(yè)互聯(lián)網(wǎng)安全防范對(duì)策

3.1 行業(yè)互聯(lián)網(wǎng)安全防護(hù)策略整合共享

建議石油石化企業(yè)信息安全相關(guān)部門將各企業(yè)互聯(lián)網(wǎng)信息安全防護(hù)策略進(jìn)行整合、共享，共同提升石油石化企業(yè)互聯(lián)網(wǎng)信息安全防護(hù)能力，提升信息安全工作效率和質(zhì)量，營(yíng)造安全、穩(wěn)定的網(wǎng)絡(luò)運(yùn)行環(huán)境。

3.2 加大企業(yè)網(wǎng)絡(luò)信息安全人才培養(yǎng)

2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會(huì)指出“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才的競(jìng)爭(zhēng)”。我國(guó)對(duì)于網(wǎng)絡(luò)安全人才的需求缺口超過(guò)50萬(wàn)人，預(yù)計(jì)到2025年此類崗位的需求將超過(guò)140萬(wàn)人。

3.3 加強(qiáng)企業(yè)互聯(lián)網(wǎng)終端設(shè)備安全防范策略

（1）按照集團(tuán)公司信息安全部門制定的“安全基線”配置終端計(jì)算機(jī)。

以公安部開展的2020“護(hù)網(wǎng)”行動(dòng)為契機(jī)，嚴(yán)格執(zhí)行集團(tuán)公司下發(fā)的安全基線來(lái)配置終端計(jì)算機(jī)，提高網(wǎng)絡(luò)安全性。

（2）優(yōu)化磁盤格式來(lái)提升系統(tǒng)安全性

磁盤用NTFS格式，避免用FAT32格式，使其具有設(shè)置訪問(wèn)許可權(quán)限，進(jìn)而提升系統(tǒng)安全性。

（3）避免安裝Ghost系統(tǒng)

Ghost版系統(tǒng)存在著很多安全隱患，系統(tǒng)內(nèi)置賬戶Administrator密碼為空，默認(rèn)開啟3389等服務(wù)端口，系統(tǒng)穩(wěn)定性低。

（4）安裝并及時(shí)更新企業(yè)終端計(jì)算機(jī)查殺毒軟件

系統(tǒng)安裝并及時(shí)升級(jí)查殺毒軟件，避免被黑客侵入后變?yōu)樘鍣C(jī)。安裝企業(yè)內(nèi)部定制查殺軟件，針對(duì)性強(qiáng)，安全性更高。

（5）禁用系統(tǒng)自動(dòng)播放功能

關(guān)閉系統(tǒng)的自動(dòng)驅(qū)動(dòng)服務(wù)，避免因?yàn)榭梢苿?dòng)存儲(chǔ)媒體、閃存媒體、外部熱插USB或1394固定驅(qū)動(dòng)器內(nèi)的病毒、木馬程序，在設(shè)備連接計(jì)算機(jī)時(shí)自動(dòng)運(yùn)行，造成病毒的介質(zhì)入侵攻擊。

（6）使用定制收發(fā)郵件

收發(fā)郵件盡量使用專業(yè)軟件進(jìn)行辦公，一是防止進(jìn)入被篡改的郵箱登錄頁(yè)面被釣魚，二是專業(yè)軟件具有郵件加密功能，提高收發(fā)郵件的安全性。

3.4 加強(qiáng)企業(yè)服務(wù)器端數(shù)據(jù)庫(kù)應(yīng)用安全防范策略

（1）服務(wù)器端添加防火墻

為保護(hù)企業(yè)網(wǎng)絡(luò)環(huán)境的安全，應(yīng)添加服務(wù)器防火墻，它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)提高網(wǎng)絡(luò)的安全性。

（2）添加日志服務(wù)器

在服務(wù)器系統(tǒng)中，添加專門的服務(wù)器來(lái)記錄服務(wù)器日志，并外接實(shí)時(shí)打印機(jī)、刻錄機(jī)，確保安全恢復(fù)服務(wù)器的安全、系統(tǒng)、應(yīng)用程序三種日志。

（3）最小化安裝系統(tǒng)

將服務(wù)器中的不需要服務(wù)禁用，不使用的端口關(guān)閉，進(jìn)行系統(tǒng)最小化安裝。

（4）核心交換機(jī)配置白名單及端口

按照集團(tuán)公司要求，將企業(yè)網(wǎng)核心交換進(jìn)行白名單配置，開啟、關(guān)閉規(guī)定端口，有效阻斷外網(wǎng)侵入行為，并配合防火墻及日志服務(wù)器，保護(hù)內(nèi)網(wǎng)安全運(yùn)行。

（5）組建一支在非常時(shí)期對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控的技術(shù)隊(duì)伍

例如在2020“護(hù)網(wǎng)”行動(dòng)期間，組織專業(yè)技術(shù)人員7?24小時(shí)對(duì)責(zé)任范圍內(nèi)設(shè)備網(wǎng)絡(luò)進(jìn)行監(jiān)控。發(fā)現(xiàn)可疑行為立即阻斷訪問(wèn)，并上報(bào)網(wǎng)絡(luò)安全中心。將這支信息安全隊(duì)伍的人員和設(shè)備，寫入應(yīng)急方案。在非常時(shí)期能夠隨時(shí)應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)信息安全任務(wù)。

（6）開發(fā)應(yīng)用《智能控制網(wǎng)絡(luò)安全管理平臺(tái)》有效解決企業(yè)網(wǎng)絡(luò)安全問(wèn)題

通過(guò)開展科研項(xiàng)目，為企業(yè)單位量身定做網(wǎng)絡(luò)安全管理系統(tǒng)。實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)使用的HUB及下接設(shè)備進(jìn)行自動(dòng)發(fā)現(xiàn)和管理，且能夠通過(guò)Web頁(yè)面統(tǒng)一、直觀展示，為提升技術(shù)人員工作效率，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，和更好地為油田持續(xù)開發(fā)提供技術(shù)支持。

4 安全解決方案

（1）工業(yè)互聯(lián)網(wǎng)安全解決方案

建立縱深防御核心思想：垂直分層、水平分區(qū)、便捷控制、內(nèi)部監(jiān)測(cè)、集中展現(xiàn)。第1防線，IT與OT通信隔離；第2防線，操作層與監(jiān)控層訪問(wèn)控制；第3防線，操作及加固、惡意防護(hù)；第4防線，監(jiān)控組態(tài)對(duì)控制器入侵防御。

（2）云安全解決方案

按需靈活劃分安全區(qū)域，劃分內(nèi)網(wǎng)與DMZ區(qū)。

云主機(jī)防護(hù)層面，hypervisor層（無(wú)代理）和虛機(jī)輕代理。無(wú)代理防護(hù)模式重點(diǎn)關(guān)注進(jìn)出虛機(jī)的流量檢測(cè)與防護(hù)，虛機(jī)輕代理防護(hù)模式重點(diǎn)關(guān)注虛機(jī)系統(tǒng)層面的安全檢測(cè)與防護(hù)。云主機(jī)防護(hù)建立統(tǒng)一的控制器來(lái)協(xié)調(diào)和調(diào)度。

（3）數(shù)據(jù)采集安全解決方案

方案設(shè)計(jì)理念與原則：縱深防御，縱向分層、橫向分區(qū)，高度融合，將安全思想和安全措施有機(jī)融合到工業(yè)設(shè)備中，包括物理層面和操作系統(tǒng)層面。工業(yè)態(tài)勢(shì)感知，在地圖上實(shí)時(shí)展示所有RTU的安全狀態(tài)和事件，可在調(diào)度中心查看所有井間站的整體安全態(tài)勢(shì)。

5 結(jié)語(yǔ)

隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用、人工智能等新興技術(shù)高速發(fā)展，石油工業(yè)正面臨著新一輪的產(chǎn)業(yè)升級(jí)和向數(shù)字化、智能化轉(zhuǎn)型發(fā)展的重大機(jī)遇和挑戰(zhàn)。建立縱深防御工業(yè)信息安全體系，是保障油田穩(wěn)定發(fā)展的前提，要做到幾下幾點(diǎn)：

（1）網(wǎng)絡(luò)應(yīng)用的多樣性和其強(qiáng)大的功能正不斷地增強(qiáng)，企業(yè)辦公系統(tǒng)逐漸形成網(wǎng)絡(luò)系統(tǒng)、門戶系統(tǒng)以及郵件系統(tǒng)，互聯(lián)網(wǎng)安全是一個(gè)綜合性課題，有效加強(qiáng)網(wǎng)絡(luò)自身建設(shè)、安全防范意識(shí)，強(qiáng)化軟、硬件配套設(shè)施，制定安全防范策略，提升企業(yè)信息化應(yīng)用與安全技術(shù)保障能力，保護(hù)好企業(yè)的信息安全，才能在科技不斷進(jìn)步的時(shí)代，安全、穩(wěn)定地進(jìn)行生產(chǎn)和生活。

（2）基于云服務(wù)技術(shù)的《智能控制網(wǎng)絡(luò)安全管理平臺(tái)》的設(shè)計(jì)與應(yīng)用實(shí)現(xiàn)已具有良好的技術(shù)條件，未來(lái)在企業(yè)網(wǎng)絡(luò)安全方面將發(fā)揮重大作用，具有較好的應(yīng)用建設(shè)前景。系統(tǒng)設(shè)計(jì)了《智能控制網(wǎng)絡(luò)安全管理平臺(tái)》的邏輯架構(gòu)、物理架構(gòu)、操作系統(tǒng)及數(shù)據(jù)庫(kù)結(jié)構(gòu)，并對(duì)其進(jìn)行了應(yīng)用模擬測(cè)試，證明整個(gè)設(shè)計(jì)方案是符合應(yīng)用設(shè)計(jì)要求的。

（3）企業(yè)辦公系統(tǒng)逐漸形成網(wǎng)絡(luò)系統(tǒng)、門戶系統(tǒng)以及郵件系統(tǒng)，互聯(lián)網(wǎng)安全是一個(gè)綜合性課題，涉及立法、技術(shù)、管理、使用等多方面，應(yīng)有效加強(qiáng)網(wǎng)絡(luò)自身建設(shè)、安全防范意識(shí)，強(qiáng)化軟、硬件配套設(shè)施，制定安全防范策略，建立企業(yè)互聯(lián)網(wǎng)安全監(jiān)管系統(tǒng)，提高網(wǎng)絡(luò)環(huán)境信息安全保障能力。

[1]高志亮，高倩，等. 數(shù)字油田在中國(guó)—數(shù)據(jù)科學(xué)與數(shù)據(jù)工程[M].北京：科學(xué)出版社，2015.10.

[2]黃光.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防范對(duì)策研究[J].企業(yè)科技與發(fā)展，2017（1）.

[3]卞麗情，趙志俊.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].無(wú)線互聯(lián)科技，2017（3）.

[4]吳一凡，秦志剛.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].科技傳播，2016（1）.

[5]王如海.內(nèi)部網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全管理[J].計(jì)算機(jī)安全，2017（7）.

[6]安源，周霖，鄧?yán)?企業(yè)信息安全的新問(wèn)題及對(duì)策[J].天然氣與石油，2006（5）.

[7]李培培.大數(shù)據(jù)與計(jì)算機(jī)網(wǎng)絡(luò)的信息安全策略分析[J].電子技術(shù)，2021（5）.

[8]曹建.基于互聯(lián)網(wǎng)的信息安全分析.電子技術(shù)[J]，2021（5）.