許洪東?張春宇?楊帆

[摘 要]近年來，網(wǎng)絡(luò)安全事件頻出，攻擊手段層出不窮，面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，國家相關(guān)部門不斷加大網(wǎng)絡(luò)安全檢查力度，以查促改，補齊短板，初見成效。大型油氣生產(chǎn)企業(yè)的網(wǎng)絡(luò)主要服務(wù)于油田生產(chǎn)及運行，易遭受計算機病毒、木馬程序、釣魚郵件等網(wǎng)絡(luò)惡意行為的威脅，網(wǎng)絡(luò)安全事件造成的損失與日俱增。本文通過對油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全問題全面研究和分析，進(jìn)一步優(yōu)化油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)，不斷完善網(wǎng)絡(luò)安全體系，提高網(wǎng)絡(luò)安全防護(hù)能力。

[關(guān)鍵字]網(wǎng)絡(luò)安全;病毒防護(hù);工控安全;物聯(lián)網(wǎng)安全

doi：10.3969/j.issn.1673 - 0194.2019.22.030

[中圖分類號]D412.6[文獻(xiàn)標(biāo)識碼]A[文章編號]1673-0194（2019）22-00-02

1? ? ?網(wǎng)絡(luò)安全總體形勢

隨著信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用對人們生活的改變逐步深入，已經(jīng)成為影響國家經(jīng)濟(jì)發(fā)展的關(guān)鍵行業(yè)。企業(yè)對網(wǎng)絡(luò)的依賴也不斷增加，滲透到生產(chǎn)、加工、銷售等企業(yè)生產(chǎn)經(jīng)營的各個環(huán)節(jié)。與此同時，網(wǎng)絡(luò)安全問題也隨之而來，企業(yè)重要數(shù)據(jù)、商業(yè)機密、工業(yè)控制等系統(tǒng)都成了網(wǎng)絡(luò)攻擊的對象，網(wǎng)絡(luò)安全風(fēng)險與日俱增。

1.1? ?網(wǎng)絡(luò)安全事件層出不窮

2015年12月23日，烏克蘭電力部門遭受惡意代碼攻擊，攻擊者入侵了監(jiān)控管理系統(tǒng)，造成了嚴(yán)重的斷電事故;2017年5月12日，全球范圍爆發(fā)針對Windows操作系統(tǒng)的勒索軟件感染事件，國內(nèi)企業(yè)、學(xué)校、醫(yī)療、電力、能源、銀行和交通等多個行業(yè)均遭受不同程度的影響。

1.2? ?攻擊手段種類繁多

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊方式也在不斷增加，如破壞型攻擊方式：DDOS攻擊、勒索病毒等;竊取型攻擊方式：木馬、SQL注入等;詐騙型攻擊方式：釣魚郵件、網(wǎng)站、短信等。

1.3? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全形勢嚴(yán)峻

從最初的企業(yè)網(wǎng)、終端計算機、服務(wù)器、筆記本電腦等常用辦公設(shè)備，到數(shù)字油田建設(shè)所使用的數(shù)字儀表（RTU、無線壓力變送器、無線溫度變送器、數(shù)字流量計等）都成了攻擊方重點關(guān)注的對象，隨著設(shè)備增加，防御難度越來越大。

2? ? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)

隨著工業(yè)化與信息化深入融合，信息技術(shù)已經(jīng)在油氣生產(chǎn)過程中發(fā)揮著至關(guān)重要的支撐作用，計算機網(wǎng)絡(luò)已成為油田生產(chǎn)、經(jīng)營管理、信息溝通、數(shù)據(jù)共享的重要橋梁，也是建設(shè)數(shù)字油田、智能油田、智慧油田的基礎(chǔ)保障。然而，在油氣生產(chǎn)企業(yè)勘探開發(fā)、生產(chǎn)管理以及指揮調(diào)度等工作中，網(wǎng)絡(luò)安全攻擊風(fēng)險不斷增多，直接威脅企業(yè)正常生產(chǎn)運行。面對日益嚴(yán)峻的網(wǎng)絡(luò)安全問題，油氣生產(chǎn)企業(yè)必須制定一套健全的網(wǎng)絡(luò)安全體系，確保油田生產(chǎn)經(jīng)營有序進(jìn)行。因此，在認(rèn)真落實上級部門相關(guān)政策方針的同時，從管理和技術(shù)兩方面深度研究，構(gòu)建總體網(wǎng)絡(luò)安全體系架構(gòu)。

3? ? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全管理體系建設(shè)

3.1? ?組織體系建設(shè)

油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全管理組織體系應(yīng)具備安全建設(shè)、技術(shù)研究、分析保障、運維監(jiān)測、協(xié)調(diào)管理、監(jiān)督檢查和領(lǐng)導(dǎo)決策等7項職能。在油氣生產(chǎn)企業(yè)信息安全領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，可以分為監(jiān)測、保障、管理和決策等4個層級，建立各級信息安全管理組織體系，確保信息安全管理工作有效落實。

3.2? ?制度和標(biāo)準(zhǔn)建設(shè)

網(wǎng)絡(luò)安全“三分技術(shù)，七分管理”，在安全事件危害影響更大的油氣生產(chǎn)企業(yè)信息系統(tǒng)中，對安全管理提出了更高的要求。因此，建設(shè)完善的管理制度和標(biāo)準(zhǔn)也是網(wǎng)絡(luò)安全體系建設(shè)的重要內(nèi)容。建立信息安全制度和標(biāo)準(zhǔn)，提出解決突出問題的思路，不斷完善信息安全管理辦法和信息安全標(biāo)準(zhǔn)。

3.3? ?安全管理責(zé)任制建設(shè)

人在整個安全體系中處于核心地位，人員的網(wǎng)絡(luò)安全意識和基本技能在很大程度上決定了安全防護(hù)體系和措施的效果。因此，要按照“誰主管誰負(fù)責(zé)，誰建設(shè)誰負(fù)責(zé)，誰運維誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，統(tǒng)一領(lǐng)導(dǎo)、各司其職，推行安全管理責(zé)任制。

4? ? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系建設(shè)

網(wǎng)絡(luò)安全技術(shù)體系是以安全策略為指導(dǎo)，從終端計算機安全、局域網(wǎng)安全、物聯(lián)網(wǎng)安全、工控系統(tǒng)安全等多個方面開展安全防護(hù)工作，立足成熟的網(wǎng)絡(luò)安全技術(shù)和安全措施，建立多層次、多維度的油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系。

4.1? ?終端計算機安全管理策略

終端計算機安全主要面臨操作系統(tǒng)漏洞和用戶錯誤操作兩方面網(wǎng)絡(luò)安全威脅。針對操作系統(tǒng)漏洞，可以通過安裝桌面安全管理軟件，并通過軟件定期為終端計算機安裝系統(tǒng)補丁，設(shè)置強壯操作系統(tǒng)登錄口令，有效保護(hù)局域網(wǎng)內(nèi)終端計算機安全。針對用戶錯誤操作類問題，制定并落實《辦公計算機終端安全防護(hù)指南》，敦促所有計算機用戶遵守計算機用戶守則，降低桌面計算機風(fēng)險。

4.2? ?局域網(wǎng)安全管理策略

局域網(wǎng)安全主要面臨交換機自身問題和用戶違規(guī)操作等兩個方面的問題。針對交換機自身問題，要做好交換機配置，關(guān)閉Telnet功能，關(guān)閉443、137、138、139等易被攻擊的端口;在網(wǎng)絡(luò)出口處架設(shè)硬件防火墻，定期更新特征庫，防御1～4層網(wǎng)絡(luò)協(xié)議攻擊;在防火墻與核心交換機中間安裝入侵防御系統(tǒng)（IPS），定期更新特征庫（包括攻擊庫、病毒庫、協(xié)議庫），防御網(wǎng)絡(luò)攻擊。針對用戶違規(guī)操作，通過核心交換機IP與MAC綁定減少非法占用IP問題，通過交換機VTP、STP協(xié)議配置減少環(huán)狀網(wǎng)引發(fā)斷網(wǎng)問題，運用防火墻軟件過濾配置杜絕二級代理問題，通過VRV掃描實時監(jiān)控私接寬帶問題，同時加大檢查力度，杜絕發(fā)生外網(wǎng)遠(yuǎn)程控制內(nèi)網(wǎng)計算機事件。

4.3? ?服務(wù)器安全管理策略

服務(wù)器作為整個網(wǎng)絡(luò)的核心，經(jīng)常成為攻擊的首選目標(biāo)。針對服務(wù)器安全，油氣生產(chǎn)企業(yè)主要應(yīng)進(jìn)行以下幾項工作。一是將所有服務(wù)器劃分至一個單獨的VLAN中，并單獨設(shè)立網(wǎng)絡(luò)防火墻，減少服務(wù)器受到的外部攻擊。二是進(jìn)行云數(shù)據(jù)遷移，將本地數(shù)據(jù)遷移至云數(shù)據(jù)中心，保證數(shù)據(jù)兩地存儲，防止數(shù)據(jù)損壞或丟失。三是應(yīng)用虛擬服務(wù)器技術(shù)，提高數(shù)據(jù)容災(zāi)能力，單臺虛擬服務(wù)器恢復(fù)時間在4 h以內(nèi)，數(shù)據(jù)庫恢復(fù)時間在10 min

以內(nèi)。

4.4? ?物聯(lián)網(wǎng)安全管理策略

隨著油氣生產(chǎn)物聯(lián)網(wǎng)的建設(shè)與應(yīng)用，大量生產(chǎn)數(shù)據(jù)將被采集存儲，數(shù)據(jù)安全尤其重要，油氣生產(chǎn)企業(yè)應(yīng)針對數(shù)據(jù)采集安全與數(shù)據(jù)存儲安全，提早介入研究，制訂安全管理方案。一是統(tǒng)一傳輸協(xié)議，制定數(shù)據(jù)采集、存儲標(biāo)準(zhǔn)，加裝硬件防火墻，提高數(shù)據(jù)傳輸安全。二是運用分布式數(shù)據(jù)庫技術(shù)，有效結(jié)合數(shù)據(jù)存儲發(fā)布服務(wù)器與RTU采集服務(wù)器，提高數(shù)據(jù)存儲安全性與時效性，同時運用光存儲服務(wù)器實時存儲采集到的數(shù)據(jù)。三是運用數(shù)據(jù)加密技術(shù)，傳輸數(shù)據(jù)不體現(xiàn)任何與油田相關(guān)的標(biāo)識，確保數(shù)據(jù)即使被截獲也無法被破解。四是RTU端與服務(wù)器端互相認(rèn)證，實現(xiàn)數(shù)據(jù)“一對一”傳輸，降低被截獲概率。

4.5? ?工控系統(tǒng)安全管理策略

工控系統(tǒng)泛指聯(lián)合站、中轉(zhuǎn)站等站內(nèi)控制系統(tǒng)，工控系統(tǒng)一旦受到黑客攻擊、病毒植入等威脅，將帶來極大損失。隨著數(shù)字油田建設(shè)，油田站內(nèi)數(shù)據(jù)又急需實時回傳至采油廠，給網(wǎng)絡(luò)安全工作帶來了極大的挑戰(zhàn)。針對物理隔離的站內(nèi)工控系統(tǒng)，主要做好工控機補丁更新、防病毒軟件安裝，關(guān)閉USB口使用功能等。針對需要回傳數(shù)據(jù)的站內(nèi)工控系統(tǒng)，除做好上述工作外，需單獨架設(shè)光纖，實現(xiàn)數(shù)據(jù)采集服務(wù)器“一對一”鏈接工控系統(tǒng)，同時實施以下安全防護(hù)策略。一是硬件防護(hù)策略。實現(xiàn)工控網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)間的單項阻截，阻止來自外部系統(tǒng)的非法訪問、非法攻擊，阻攔病毒、惡意軟件攻擊行為，保護(hù)控制系統(tǒng)安全運行。二是蜜罐防護(hù)系統(tǒng)。若非法攻擊、惡意程序、病毒等偽裝進(jìn)入工控網(wǎng)絡(luò)，通過建立的蜜罐系統(tǒng)，誘導(dǎo)非法攻擊進(jìn)入蜜罐機，并對其進(jìn)行封鎖，獲取非法攻擊相關(guān)資料。三是安全審計系統(tǒng)。在生產(chǎn)網(wǎng)與工控網(wǎng)旁路部署網(wǎng)絡(luò)檢測與審計設(shè)備，實時檢測網(wǎng)絡(luò)中的惡意攻擊，詳細(xì)記錄網(wǎng)絡(luò)流量，識別潛在風(fēng)險，對惡意操作行為進(jìn)行取證，便于維護(hù)人員管理。四是PLC安全系統(tǒng)。在PLC前端部署安全模塊，實現(xiàn)智能終端設(shè)備安全，使PLC具有抵抗ARP、網(wǎng)絡(luò)風(fēng)暴、短鏈接、過濾非業(yè)務(wù)流量等攻擊的能力，增強設(shè)備通信穩(wěn)定性。

5? ? ?結(jié) 語

網(wǎng)絡(luò)安全工作與時俱進(jìn)。以現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)和管理手段，很難抵擋日新月異的網(wǎng)絡(luò)攻擊手段，油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全需要添加諸如入侵監(jiān)測系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、安全態(tài)勢感知系統(tǒng)等軟硬件。在未來，運用大數(shù)據(jù)技術(shù)構(gòu)建一個網(wǎng)絡(luò)安全綜合防御體系，進(jìn)而提高整體網(wǎng)絡(luò)安全管理水平。網(wǎng)絡(luò)安全工作沒有捷徑，是一項綜合性的工作，需要企業(yè)全員具有網(wǎng)絡(luò)安全意識，讓所有員工共同努力，嚴(yán)于律己，規(guī)范網(wǎng)絡(luò)行為，從根源杜絕網(wǎng)絡(luò)安全隱患。同時，以網(wǎng)絡(luò)安全體系為根本，加強技術(shù)跟蹤和研究，提高網(wǎng)絡(luò)安全防護(hù)與追蹤能力，構(gòu)建強壯的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。網(wǎng)絡(luò)安全工作任重道遠(yuǎn)。在油氣企業(yè)網(wǎng)絡(luò)安全體系建設(shè)中，主要從管理和技術(shù)兩方面開展工作，以加強終端、網(wǎng)絡(luò)、軟件、數(shù)據(jù)的安全管理為目標(biāo)，以安全入網(wǎng)、分區(qū)隔離、縱深防御、統(tǒng)一監(jiān)控、實時預(yù)警為總體策略，強化綜合防護(hù)能力，落實安全管理要求，實現(xiàn)網(wǎng)絡(luò)安全工作在油氣生產(chǎn)企業(yè)實現(xiàn)常態(tài)化發(fā)展。

主要參考文獻(xiàn)

[1]馬義.大數(shù)據(jù)時代背景下計算機網(wǎng)絡(luò)信息安全防護(hù)技術(shù)研討[J].電腦知識與技術(shù)，2017（25）.

[2]王忠.大數(shù)據(jù)時代下計算機網(wǎng)絡(luò)信息安全問題研究[J].信息與電腦：理論版，2017（15）.

[3]王菲.關(guān)于大數(shù)據(jù)時代的計算機網(wǎng)絡(luò)安全及防范措施探討[J].電腦知識與技術(shù)，2017（17）.