摘要：針對(duì)石油企業(yè)信息化建設(shè)現(xiàn)狀，為提高網(wǎng)絡(luò)和信息安全防護(hù)水平，按照相關(guān)法律法規(guī)的要求，設(shè)計(jì)了多層次的網(wǎng)絡(luò)與信息安全防護(hù)系統(tǒng)，主要設(shè)計(jì)內(nèi)容包括設(shè)備安全、網(wǎng)絡(luò)安全、云端和應(yīng)用安全等。系統(tǒng)能夠滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)的要求，全面提升石油企業(yè)的網(wǎng)絡(luò)和信息安全防護(hù)能力。

關(guān)鍵詞：網(wǎng)絡(luò)與信息安全;網(wǎng)絡(luò)安全等級(jí)保護(hù);石油企業(yè)

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）04-0044-02

目前各石油企業(yè)已基本建立了信息化基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)，包括有線無(wú)線網(wǎng)絡(luò)、數(shù)據(jù)中心、企業(yè)應(yīng)用軟件等，隨著設(shè)備數(shù)量和應(yīng)用系統(tǒng)的不斷增多以及云計(jì)算和物聯(lián)網(wǎng)技術(shù)的使用，傳統(tǒng)的安全防護(hù)模式需要不斷改變，特別是加強(qiáng)對(duì)云端設(shè)備和移動(dòng)終端、物聯(lián)網(wǎng)終端的防護(hù)。

1 概述

網(wǎng)絡(luò)與信息安全是國(guó)家能源安全的基礎(chǔ)，若是遭受攻擊或發(fā)生數(shù)據(jù)泄露會(huì)嚴(yán)重威脅國(guó)家安全和公共利益。近期，美國(guó)長(zhǎng)達(dá)8700公里的輸油管道因勒索病毒攻擊而癱瘓，因此進(jìn)一步加強(qiáng)我國(guó)石油企業(yè)的網(wǎng)絡(luò)與信息安全系統(tǒng)建設(shè)迫在眉睫。

根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999），等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害，應(yīng)定義為第三級(jí)（監(jiān)督保護(hù)級(jí)）。

根據(jù)《信息安全等級(jí)保護(hù)管理辦法》第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，并由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

2 標(biāo)準(zhǔn)

2019年5月13日，公安部正式發(fā)布網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)政策和標(biāo)準(zhǔn)，如表1所示。

等保2.0相關(guān)標(biāo)準(zhǔn)采用了統(tǒng)一的框架，如圖1所示，規(guī)定了系統(tǒng)定級(jí)、建設(shè)、測(cè)評(píng)、整改、備案、監(jiān)督檢查等環(huán)節(jié)的相關(guān)內(nèi)容。

石油企業(yè)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)應(yīng)參照等保2.0標(biāo)準(zhǔn)，注重全方位主動(dòng)防御、動(dòng)態(tài)感知和全面審計(jì)，實(shí)現(xiàn)對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等各類(lèi)新技術(shù)應(yīng)用的覆蓋。

3 總體設(shè)計(jì)

企業(yè)需根據(jù)現(xiàn)有拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、終端設(shè)備、云端部署、應(yīng)用系統(tǒng)等信息化系統(tǒng)建設(shè)現(xiàn)狀，從設(shè)備安全、網(wǎng)絡(luò)安全、云端和應(yīng)用安全等多個(gè)層次進(jìn)行安全系統(tǒng)的設(shè)計(jì)，充分保障系統(tǒng)的安全性，如圖2所示。

3.1 設(shè)備安全

石油企業(yè)的終端設(shè)備類(lèi)型繁多，主要包括電腦終端、嵌入式終端、移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備等，面臨的主要威脅是病毒和木馬程序。因此需要定期升級(jí)操作系統(tǒng)或給操作系統(tǒng)打補(bǔ)丁，關(guān)閉不需要使用的TCP/UDP端口，并安裝防毒軟件和防木馬軟件。除此之外，還需要防范非法設(shè)備接入，可采用身份認(rèn)證、MAC地址綁定等方式保障接入設(shè)備安全。并通過(guò)日志審計(jì)系統(tǒng)收集設(shè)備的工作日志，從而在出現(xiàn)問(wèn)題時(shí)通過(guò)日志迅速定位。

3.2 網(wǎng)絡(luò)安全

局域網(wǎng)內(nèi)交換機(jī)應(yīng)進(jìn)行Vlan劃分實(shí)現(xiàn)邏輯隔離，配置Qos流量控制策略，重要網(wǎng)絡(luò)設(shè)備和服務(wù)器應(yīng)進(jìn)行IP/MAC綁定等。

網(wǎng)絡(luò)出口應(yīng)部署防火墻、入侵防御、身份認(rèn)證等安全設(shè)備。在防火墻上配置訪問(wèn)控制列表控制外網(wǎng)訪問(wèn)權(quán)限，在入侵防御設(shè)備上可查看外網(wǎng)的攻擊行為并及時(shí)阻斷，在身份認(rèn)證設(shè)備上配置內(nèi)網(wǎng)合法用戶的賬戶信息從而阻止非法用戶數(shù)據(jù)通過(guò)網(wǎng)絡(luò)出口。

根據(jù)《網(wǎng)絡(luò)安全法》的要求，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。因此一般需配備運(yùn)維堡壘機(jī)對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行集中管控、身份認(rèn)證、訪問(wèn)控制、操作審計(jì)等，避免違規(guī)操作和誤操作;還需使用日志審計(jì)設(shè)備實(shí)時(shí)采集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)等產(chǎn)生的日志信息，并進(jìn)行規(guī)范化處理和保存。

3.3 云端和應(yīng)用安全

目前，石油企業(yè)越來(lái)越多的服務(wù)器采用虛擬化部署方式，應(yīng)用也逐漸遷移到云端，因此云端及應(yīng)用的安全防護(hù)是整個(gè)系統(tǒng)的重點(diǎn)和難點(diǎn)。

云端服務(wù)器應(yīng)部署虛擬化防護(hù)系統(tǒng)，實(shí)現(xiàn)虛擬機(jī)全面防護(hù)，包括防病毒、DPI（深度內(nèi)容檢測(cè)）、虛擬補(bǔ)丁、虛擬防火墻、虛擬IPS等。

應(yīng)用上線前應(yīng)對(duì)應(yīng)用系統(tǒng)及所在服務(wù)器進(jìn)行漏洞掃描評(píng)估，掃描范圍包括windows系統(tǒng)漏洞、apache等中間件漏洞、數(shù)據(jù)庫(kù)漏洞、SQL注入、跨站腳本、網(wǎng)站掛馬、敏感信息泄露、弱口令等，一旦發(fā)現(xiàn)漏洞需及時(shí)通過(guò)補(bǔ)丁等方式修復(fù)。

目前針對(duì)網(wǎng)站類(lèi)應(yīng)用的攻擊日漸增多，可使用WEB防護(hù)系統(tǒng)（WAF）掃描網(wǎng)站漏洞，實(shí)現(xiàn)網(wǎng)頁(yè)監(jiān)測(cè)與防護(hù)功能，提供篡改防護(hù)能力，維護(hù)企業(yè)形象。

各應(yīng)用系統(tǒng)的數(shù)據(jù)可使用備份一體機(jī)通過(guò)網(wǎng)絡(luò)進(jìn)行異地實(shí)時(shí)備份，可采用增量備份或全量備份策略，將多臺(tái)設(shè)備（包括虛擬機(jī)）的數(shù)據(jù)集中備份到異地，并在數(shù)據(jù)丟失時(shí)將數(shù)據(jù)及時(shí)恢復(fù)，從而提升數(shù)據(jù)安全。

4 結(jié)語(yǔ)

本文參照網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)制度第三級(jí)的相關(guān)要求，對(duì)石油企業(yè)網(wǎng)絡(luò)與信息安全系統(tǒng)進(jìn)行整體規(guī)劃設(shè)計(jì)，增加必要的安全設(shè)備及措施，全面提升安全防護(hù)能力。當(dāng)然還需要企業(yè)相關(guān)政策及配套的支持，將管理和技術(shù)相結(jié)合，才能保障系統(tǒng)的有效實(shí)施，并為我國(guó)的能源安全添磚加瓦。

參考文獻(xiàn)：

[1] 蔡麗琴.石油企業(yè)網(wǎng)絡(luò)信息安全管理淺析[J].江漢石油職工大學(xué)學(xué)報(bào)，2021，34（2）：52-53.

[2] 于佳妍.大數(shù)據(jù)時(shí)代石油企業(yè)網(wǎng)絡(luò)安全防護(hù)策略[J].電子技術(shù)與軟件工程，2019（23）：190-191.

[3] 段鵬.網(wǎng)絡(luò)安全在大型石油企業(yè)中的應(yīng)用[J].中國(guó)石油和化工標(biāo)準(zhǔn)與質(zhì)量，2019，39（7）：82-83.

[4] 熊楊.等級(jí)保護(hù)三級(jí)信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（6）：21-22.

[5] 張永強(qiáng).石油銷(xiāo)售企業(yè)自動(dòng)化和信息化建設(shè)模式初探[J].化工設(shè)計(jì)通訊，2021，47（1）：155-156.

收稿日期：2021-07-17

作者簡(jiǎn)介：吳桂萍（1982—），女，江蘇鹽城人，主要從事企業(yè)管理和業(yè)務(wù)運(yùn)作工作。