吳東 羅李黎 程新忠

摘 要 近年來，隨著我國經(jīng)濟(jì)的飛速發(fā)展，社會的不斷進(jìn)步，國內(nèi)企業(yè)已經(jīng)全面使用計(jì)算機(jī)管理服務(wù)于生產(chǎn)建設(shè)，越來越多的企業(yè)開始重視辦公計(jì)算機(jī)信息管理以及計(jì)算機(jī)所使用網(wǎng)絡(luò)的安全。計(jì)算機(jī)的安全管理規(guī)范和技術(shù)已成為越來越重要的生產(chǎn)要素。本文根據(jù)新疆油田公司準(zhǔn)東采油廠的實(shí)際情況，對近年計(jì)算機(jī)信息安全管理的規(guī)范及采取的技術(shù)措施進(jìn)行闡述與分析。

關(guān)鍵詞 計(jì)算機(jī);網(wǎng)絡(luò)安全;桌面安全

引言

計(jì)算機(jī)的廣泛應(yīng)用給油田生產(chǎn)、運(yùn)行、經(jīng)營、科研等方面帶來了極大的便利。隨著中石油集團(tuán)公司及新疆油田公司各方面應(yīng)用系統(tǒng)的推廣，辦公計(jì)算機(jī)的使用已涉及每個(gè)采油廠的各個(gè)環(huán)節(jié)。但是，網(wǎng)絡(luò)環(huán)境復(fù)雜多變，在網(wǎng)絡(luò)信息的傳輸、存儲等多個(gè)環(huán)節(jié)中，容易出現(xiàn)安全隱患，造成數(shù)據(jù)丟失或泄漏。信息系統(tǒng)管理部門根據(jù)現(xiàn)狀，采取了相應(yīng)的技術(shù)及制定了統(tǒng)一的管理規(guī)范，在很大程度上提高了計(jì)算機(jī)信息安全管理水平。

1計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備規(guī)范化管理

采油廠計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備規(guī)范化管理是保證信息網(wǎng)絡(luò)正常運(yùn)行的一項(xiàng)基礎(chǔ)性工作。信息部門根據(jù)集團(tuán)公司對于信息安全的相關(guān)要求，對計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行規(guī)范化管理，是提高采油廠信息網(wǎng)絡(luò)設(shè)備管理水平的重要保障，其主要目的及意義有兩點(diǎn)：

1.1 明晰信息網(wǎng)絡(luò)設(shè)備狀況

采油廠信息部門根據(jù)現(xiàn)狀，對計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備臺賬管理，建立健全各單位計(jì)算機(jī)信息設(shè)備資產(chǎn)明細(xì)。系統(tǒng)管理員使用內(nèi)網(wǎng)客戶端安全管理系統(tǒng)及補(bǔ)丁分發(fā)系統(tǒng)隨時(shí)查詢本單位的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備運(yùn)行情況，并要求入網(wǎng)計(jì)算機(jī)設(shè)備采取實(shí)名制注冊，做到規(guī)范管理，責(zé)任明確。采取合理的措施，確保了采油廠計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備信息的安全和完整性，提升計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備精細(xì)化管理水平。

1.2 提升了計(jì)算機(jī)數(shù)據(jù)安全

通過對信息網(wǎng)絡(luò)設(shè)備的規(guī)范化管理，可以有效控制上網(wǎng)的用戶終端，嚴(yán)格限制涉密計(jì)算機(jī)使用互聯(lián)網(wǎng)，使涉及采油廠辦公、生產(chǎn)、科研等計(jì)算機(jī)與上互聯(lián)網(wǎng)的計(jì)算機(jī)嚴(yán)格隔離，做到涉密信息不上網(wǎng)。另一方面，通過數(shù)據(jù)防泄漏客戶端的后臺推送，將安裝程序推送至每臺上網(wǎng)計(jì)算機(jī)，確保數(shù)據(jù)防泄漏客戶端的全部安裝，中石油統(tǒng)一部署終端安全工具箱也提供了文件加密、加固主機(jī)基線等功能，進(jìn)一步確保了石油企業(yè)的數(shù)據(jù)安全[1]。

2計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備管理

為了確保網(wǎng)絡(luò)系統(tǒng)的安全、平穩(wěn)運(yùn)行，根據(jù)中石油集團(tuán)公司信息安全工作的要求，結(jié)合采油廠的實(shí)際情況，從計(jì)算機(jī)設(shè)備網(wǎng)絡(luò)設(shè)備臺賬管理、網(wǎng)絡(luò)技術(shù)管理、防病毒客戶端的安裝、規(guī)范上網(wǎng)行為等方面采取了一系列技術(shù)措施，制定了相關(guān)的規(guī)章制度。

2.1 建立詳細(xì)的信息網(wǎng)絡(luò)設(shè)備臺賬

通過內(nèi)網(wǎng)安全管理系統(tǒng)，對采油廠各單位所使用的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行規(guī)范化管理，按一定程序進(jìn)行信息的數(shù)據(jù)錄入、數(shù)據(jù)核對和整改。信息部門對入網(wǎng)計(jì)算機(jī)設(shè)備采取用戶身份認(rèn)證的方式進(jìn)行檢測，并根據(jù)設(shè)備數(shù)據(jù)庫詳細(xì)記錄每臺設(shè)備的配置信息，對計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的基本配置及使用人員進(jìn)行統(tǒng)計(jì)，接入設(shè)備必須實(shí)名制注冊。

2.2 技術(shù)上采取安全措施

（1）工控網(wǎng)和企業(yè)網(wǎng)物理隔離

工控網(wǎng)負(fù)責(zé)全廠重要的生產(chǎn)控制和數(shù)據(jù)采集傳輸，因此需要高度的安全性、穩(wěn)定性和保密性。目前工控網(wǎng)絡(luò)都已經(jīng)接入油田局域網(wǎng)，生產(chǎn)數(shù)據(jù)通過局域網(wǎng)進(jìn)行傳輸，工控網(wǎng)和辦公網(wǎng)之間存在數(shù)據(jù)傳輸和交換。當(dāng)有生產(chǎn)數(shù)據(jù)向辦公網(wǎng)傳送，在接收和應(yīng)答來自辦公網(wǎng)的請求時(shí)，這個(gè)過程可能會受到外部的病毒入侵。如受到網(wǎng)絡(luò)攻擊，就存在一定邊界安全隱患，對工控網(wǎng)的安全性帶來威脅，因此有必要在辦公網(wǎng)和工控網(wǎng)之間部署安全措施。

我們通過對網(wǎng)絡(luò)設(shè)備采用VLAN物理隔離、邏輯隔離的方式，以及架設(shè)防火墻等措施有效防止病毒威脅，確保采油廠工控網(wǎng)的絕對安全。按照統(tǒng)一的技術(shù)措施安排，分步實(shí)現(xiàn)工控網(wǎng)與辦公網(wǎng)、視頻網(wǎng)的物理隔離。這個(gè)過程從底層設(shè)備、線路完全物理隔離，并且部署網(wǎng)閘，實(shí)現(xiàn)了三網(wǎng)隔離，確保三網(wǎng)的網(wǎng)絡(luò)安全，采取方式如下：

單向隔離網(wǎng)閘：因?yàn)閱蜗蚓W(wǎng)閘只允許單向數(shù)據(jù)流動，且沒有反向的數(shù)據(jù)通道，所以對黑客入侵起到了一定的效果，比較符合現(xiàn)場實(shí)際需求。采油廠信息部門在工控網(wǎng)和辦公網(wǎng)之間部署單向隔離網(wǎng)閘，保障工控網(wǎng)邊界安全，實(shí)現(xiàn)在網(wǎng)絡(luò)模型各層的斷開。

無線信道加密：無線通信是通過無線電磁波作為傳輸介質(zhì)，此種方式比較容易受到物理層攻擊。采取通過無線加密算法的策略，可以抵御外網(wǎng)用戶通過對工控網(wǎng)惡意入侵和數(shù)據(jù)竊取。一方面可以大大減少數(shù)據(jù)包在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)次數(shù)，有效提高了整個(gè)網(wǎng)絡(luò)穩(wěn)定性;另一方面可以更好地控制對工控網(wǎng)的訪問，提高了工控網(wǎng)傳輸數(shù)據(jù)及網(wǎng)絡(luò)設(shè)備的安全性。

防火墻：防火墻是有效結(jié)合各類用于安全管理的軟件和硬件設(shè)備，有助于計(jì)算機(jī)網(wǎng)絡(luò)對其內(nèi)外網(wǎng)構(gòu)建了一道相對隔絕的保護(hù)屏障。管理員可以根據(jù)實(shí)際情況，針對有必要的區(qū)域架設(shè)防火墻設(shè)備，部署在工控網(wǎng)交換機(jī)或無線傳輸鏈路之間，對數(shù)據(jù)進(jìn)行有效過濾 ，防止黑客利用通道入侵工控網(wǎng)。在設(shè)置過程中，除了允許的數(shù)據(jù)傳輸之外，屏蔽其他潛在的訪問可能性，以此保證工控網(wǎng)數(shù)據(jù)和設(shè)備的安全[2]。

（2）防病毒軟件客戶端的安裝

通過集團(tuán)推廣使用防病毒軟件，可以對計(jì)算機(jī)設(shè)備進(jìn)行良好的防護(hù)，并且能夠有效防治及查殺病毒，適用于采油廠的計(jì)算機(jī)管理應(yīng)用現(xiàn)狀。防病毒系統(tǒng)可以及時(shí)更新最新的病毒庫，同時(shí)下發(fā)至各個(gè)客戶端;可以及時(shí)檢測系統(tǒng)漏洞，協(xié)助終端用戶進(jìn)行漏洞修復(fù)。信息部門嚴(yán)格要求所有可以上網(wǎng)的計(jì)算機(jī)安裝防病毒軟件，沒有安裝及注冊的用戶計(jì)算機(jī)不能接入辦公網(wǎng)絡(luò)，設(shè)置軟件卸載密碼，運(yùn)行的網(wǎng)絡(luò)設(shè)備不得隨意卸載防病毒客戶端。

（3）規(guī)范IP地址管理

采用防火墻的IP地址與物理地址綁定管理方法，對采油廠使用計(jì)算機(jī)的命名規(guī)則和IP分配做進(jìn)一步的限制。對辦公網(wǎng)每臺上網(wǎng)計(jì)算機(jī)的物理地址進(jìn)行登記，分配指定的IP地址，從而可以更有效地對計(jì)算機(jī)進(jìn)行管理。如突發(fā)計(jì)算機(jī)中病毒情況，管理員可以第一時(shí)間掌握中毒計(jì)算機(jī)的使用者及聯(lián)系方式，防止病毒的攻擊行為及擴(kuò)散。依靠防火墻、核心交換機(jī)以及網(wǎng)管軟件的功能，對局域網(wǎng)計(jì)算機(jī)進(jìn)行分級管理，控制網(wǎng)絡(luò)訪問的權(quán)限，從而限制不安全網(wǎng)絡(luò)資源的訪問。

3加強(qiáng)網(wǎng)絡(luò)知識教育，樹立計(jì)算機(jī)安全意識

近年來，隨著油田安全生產(chǎn)的需要，HSE管理體系建設(shè)已經(jīng)落實(shí)到每個(gè)員工的崗位職責(zé)上。與此同時(shí)，對于網(wǎng)絡(luò)信息安全，各單位根據(jù)集團(tuán)公司、油田公司的統(tǒng)一要求，也提升到了前所未有的高度。準(zhǔn)東采油廠采取了部署桌面安全管理系統(tǒng)、采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)，通過計(jì)算機(jī)弱口令檢測、主機(jī)安全基線配置等一系列措施，確保計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全。并在門戶網(wǎng)站設(shè)置信息安全專欄，以提升全員計(jì)算機(jī)信息安全管理水平[3]。

4結(jié)束語

隨著采油廠生產(chǎn)和科研等方面作越來越依靠計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，提高了企業(yè)的生產(chǎn)工作效率，但是信息安全的問題也越來越多。信息部門采取符合實(shí)際的信息安全技術(shù)措施，不斷提升抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力，通過制定完善信息網(wǎng)絡(luò)設(shè)備規(guī)范化管理，采取相應(yīng)的信息安全措施，提高信息安全管理水平，實(shí)現(xiàn)為企業(yè)提質(zhì)增效的效果。

參考文獻(xiàn)

[1] 謝世春，倪培耘，寶磊.基于網(wǎng)絡(luò)信息安全技術(shù)管理的計(jì)算機(jī)應(yīng)用探討[J].計(jì)算機(jī)產(chǎn)品與流通，2019（12）：40.

[2] 王惠媛.計(jì)算機(jī)應(yīng)用技術(shù)與信息管理的整合[J].計(jì)算機(jī)產(chǎn)品與流通，2020（4）：8.

[3] 王捷，王峰.計(jì)算機(jī)信息管理技術(shù)在維護(hù)網(wǎng)絡(luò)安全中的應(yīng)用策略探究[J].電腦知識與技術(shù)，2020，16（4）：15-16.

作者簡介

吳東（1977-），男，甘肅永昌人;學(xué)歷：大學(xué)本科，職稱：工程師，現(xiàn)就職單位：新疆油田公司準(zhǔn)東采油廠信息管理站，研究方向：計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)安全等方面。