淺談?dòng)蜌馍a(chǎn)企業(yè)網(wǎng)絡(luò)安全體系研究與建設(shè)

許洪東?張春宇?楊帆

[摘 要]近年來，網(wǎng)絡(luò)安全事件頻出，攻擊手段層出不窮，面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，國(guó)家相關(guān)部門不斷加大網(wǎng)絡(luò)安全檢查力度，以查促改，補(bǔ)齊短板，初見成效。大型油氣生產(chǎn)企業(yè)的網(wǎng)絡(luò)主要服務(wù)于油田生產(chǎn)及運(yùn)行，易遭受計(jì)算機(jī)病毒、木馬程序、釣魚郵件等網(wǎng)絡(luò)惡意行為的威脅，網(wǎng)絡(luò)安全事件造成的損失與日俱增。本文通過對(duì)油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全問題全面研究和分析，進(jìn)一步優(yōu)化油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)，不斷完善網(wǎng)絡(luò)安全體系，提高網(wǎng)絡(luò)安全防護(hù)能力。

[關(guān)鍵字]網(wǎng)絡(luò)安全;病毒防護(hù);工控安全;物聯(lián)網(wǎng)安全

doi：10.3969/j.issn.1673 - 0194.2019.22.030

[中圖分類號(hào)]D412.6[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673-0194（2019）22-00-02

1? ? ?網(wǎng)絡(luò)安全總體形勢(shì)

隨著信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用對(duì)人們生活的改變逐步深入，已經(jīng)成為影響國(guó)家經(jīng)濟(jì)發(fā)展的關(guān)鍵行業(yè)。企業(yè)對(duì)網(wǎng)絡(luò)的依賴也不斷增加，滲透到生產(chǎn)、加工、銷售等企業(yè)生產(chǎn)經(jīng)營(yíng)的各個(gè)環(huán)節(jié)。與此同時(shí)，網(wǎng)絡(luò)安全問題也隨之而來，企業(yè)重要數(shù)據(jù)、商業(yè)機(jī)密、工業(yè)控制等系統(tǒng)都成了網(wǎng)絡(luò)攻擊的對(duì)象，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增。

1.1? ?網(wǎng)絡(luò)安全事件層出不窮

2015年12月23日，烏克蘭電力部門遭受惡意代碼攻擊，攻擊者入侵了監(jiān)控管理系統(tǒng)，造成了嚴(yán)重的斷電事故;2017年5月12日，全球范圍爆發(fā)針對(duì)Windows操作系統(tǒng)的勒索軟件感染事件，國(guó)內(nèi)企業(yè)、學(xué)校、醫(yī)療、電力、能源、銀行和交通等多個(gè)行業(yè)均遭受不同程度的影響。

1.2? ?攻擊手段種類繁多

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊方式也在不斷增加，如破壞型攻擊方式：DDOS攻擊、勒索病毒等;竊取型攻擊方式：木馬、SQL注入等;詐騙型攻擊方式：釣魚郵件、網(wǎng)站、短信等。

1.3? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻

從最初的企業(yè)網(wǎng)、終端計(jì)算機(jī)、服務(wù)器、筆記本電腦等常用辦公設(shè)備，到數(shù)字油田建設(shè)所使用的數(shù)字儀表（RTU、無線壓力變送器、無線溫度變送器、數(shù)字流量計(jì)等）都成了攻擊方重點(diǎn)關(guān)注的對(duì)象，隨著設(shè)備增加，防御難度越來越大。

2? ? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)

隨著工業(yè)化與信息化深入融合，信息技術(shù)已經(jīng)在油氣生產(chǎn)過程中發(fā)揮著至關(guān)重要的支撐作用，計(jì)算機(jī)網(wǎng)絡(luò)已成為油田生產(chǎn)、經(jīng)營(yíng)管理、信息溝通、數(shù)據(jù)共享的重要橋梁，也是建設(shè)數(shù)字油田、智能油田、智慧油田的基礎(chǔ)保障。然而，在油氣生產(chǎn)企業(yè)勘探開發(fā)、生產(chǎn)管理以及指揮調(diào)度等工作中，網(wǎng)絡(luò)安全攻擊風(fēng)險(xiǎn)不斷增多，直接威脅企業(yè)正常生產(chǎn)運(yùn)行。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全問題，油氣生產(chǎn)企業(yè)必須制定一套健全的網(wǎng)絡(luò)安全體系，確保油田生產(chǎn)經(jīng)營(yíng)有序進(jìn)行。因此，在認(rèn)真落實(shí)上級(jí)部門相關(guān)政策方針的同時(shí)，從管理和技術(shù)兩方面深度研究，構(gòu)建總體網(wǎng)絡(luò)安全體系架構(gòu)。

3? ? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全管理體系建設(shè)

3.1? ?組織體系建設(shè)

油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全管理組織體系應(yīng)具備安全建設(shè)、技術(shù)研究、分析保障、運(yùn)維監(jiān)測(cè)、協(xié)調(diào)管理、監(jiān)督檢查和領(lǐng)導(dǎo)決策等7項(xiàng)職能。在油氣生產(chǎn)企業(yè)信息安全領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，可以分為監(jiān)測(cè)、保障、管理和決策等4個(gè)層級(jí)，建立各級(jí)信息安全管理組織體系，確保信息安全管理工作有效落實(shí)。

3.2? ?制度和標(biāo)準(zhǔn)建設(shè)

網(wǎng)絡(luò)安全“三分技術(shù)，七分管理”，在安全事件危害影響更大的油氣生產(chǎn)企業(yè)信息系統(tǒng)中，對(duì)安全管理提出了更高的要求。因此，建設(shè)完善的管理制度和標(biāo)準(zhǔn)也是網(wǎng)絡(luò)安全體系建設(shè)的重要內(nèi)容。建立信息安全制度和標(biāo)準(zhǔn)，提出解決突出問題的思路，不斷完善信息安全管理辦法和信息安全標(biāo)準(zhǔn)。

3.3? ?安全管理責(zé)任制建設(shè)

人在整個(gè)安全體系中處于核心地位，人員的網(wǎng)絡(luò)安全意識(shí)和基本技能在很大程度上決定了安全防護(hù)體系和措施的效果。因此，要按照“誰主管誰負(fù)責(zé)，誰建設(shè)誰負(fù)責(zé)，誰運(yùn)維誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，統(tǒng)一領(lǐng)導(dǎo)、各司其職，推行安全管理責(zé)任制。

4? ? ?油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系建設(shè)

網(wǎng)絡(luò)安全技術(shù)體系是以安全策略為指導(dǎo)，從終端計(jì)算機(jī)安全、局域網(wǎng)安全、物聯(lián)網(wǎng)安全、工控系統(tǒng)安全等多個(gè)方面開展安全防護(hù)工作，立足成熟的網(wǎng)絡(luò)安全技術(shù)和安全措施，建立多層次、多維度的油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系。

4.1? ?終端計(jì)算機(jī)安全管理策略

終端計(jì)算機(jī)安全主要面臨操作系統(tǒng)漏洞和用戶錯(cuò)誤操作兩方面網(wǎng)絡(luò)安全威脅。針對(duì)操作系統(tǒng)漏洞，可以通過安裝桌面安全管理軟件，并通過軟件定期為終端計(jì)算機(jī)安裝系統(tǒng)補(bǔ)丁，設(shè)置強(qiáng)壯操作系統(tǒng)登錄口令，有效保護(hù)局域網(wǎng)內(nèi)終端計(jì)算機(jī)安全。針對(duì)用戶錯(cuò)誤操作類問題，制定并落實(shí)《辦公計(jì)算機(jī)終端安全防護(hù)指南》，敦促所有計(jì)算機(jī)用戶遵守計(jì)算機(jī)用戶守則，降低桌面計(jì)算機(jī)風(fēng)險(xiǎn)。

4.2? ?局域網(wǎng)安全管理策略

局域網(wǎng)安全主要面臨交換機(jī)自身問題和用戶違規(guī)操作等兩個(gè)方面的問題。針對(duì)交換機(jī)自身問題，要做好交換機(jī)配置，關(guān)閉Telnet功能，關(guān)閉443、137、138、139等易被攻擊的端口;在網(wǎng)絡(luò)出口處架設(shè)硬件防火墻，定期更新特征庫，防御1～4層網(wǎng)絡(luò)協(xié)議攻擊;在防火墻與核心交換機(jī)中間安裝入侵防御系統(tǒng)（IPS），定期更新特征庫（包括攻擊庫、病毒庫、協(xié)議庫），防御網(wǎng)絡(luò)攻擊。針對(duì)用戶違規(guī)操作，通過核心交換機(jī)IP與MAC綁定減少非法占用IP問題，通過交換機(jī)VTP、STP協(xié)議配置減少環(huán)狀網(wǎng)引發(fā)斷網(wǎng)問題，運(yùn)用防火墻軟件過濾配置杜絕二級(jí)代理問題，通過VRV掃描實(shí)時(shí)監(jiān)控私接寬帶問題，同時(shí)加大檢查力度，杜絕發(fā)生外網(wǎng)遠(yuǎn)程控制內(nèi)網(wǎng)計(jì)算機(jī)事件。

4.3? ?服務(wù)器安全管理策略

服務(wù)器作為整個(gè)網(wǎng)絡(luò)的核心，經(jīng)常成為攻擊的首選目標(biāo)。針對(duì)服務(wù)器安全，油氣生產(chǎn)企業(yè)主要應(yīng)進(jìn)行以下幾項(xiàng)工作。一是將所有服務(wù)器劃分至一個(gè)單獨(dú)的VLAN中，并單獨(dú)設(shè)立網(wǎng)絡(luò)防火墻，減少服務(wù)器受到的外部攻擊。二是進(jìn)行云數(shù)據(jù)遷移，將本地?cái)?shù)據(jù)遷移至云數(shù)據(jù)中心，保證數(shù)據(jù)兩地存儲(chǔ)，防止數(shù)據(jù)損壞或丟失。三是應(yīng)用虛擬服務(wù)器技術(shù)，提高數(shù)據(jù)容災(zāi)能力，單臺(tái)虛擬服務(wù)器恢復(fù)時(shí)間在4 h以內(nèi)，數(shù)據(jù)庫恢復(fù)時(shí)間在10 min

以內(nèi)。

4.4? ?物聯(lián)網(wǎng)安全管理策略

隨著油氣生產(chǎn)物聯(lián)網(wǎng)的建設(shè)與應(yīng)用，大量生產(chǎn)數(shù)據(jù)將被采集存儲(chǔ)，數(shù)據(jù)安全尤其重要，油氣生產(chǎn)企業(yè)應(yīng)針對(duì)數(shù)據(jù)采集安全與數(shù)據(jù)存儲(chǔ)安全，提早介入研究，制訂安全管理方案。一是統(tǒng)一傳輸協(xié)議，制定數(shù)據(jù)采集、存儲(chǔ)標(biāo)準(zhǔn)，加裝硬件防火墻，提高數(shù)據(jù)傳輸安全。二是運(yùn)用分布式數(shù)據(jù)庫技術(shù)，有效結(jié)合數(shù)據(jù)存儲(chǔ)發(fā)布服務(wù)器與RTU采集服務(wù)器，提高數(shù)據(jù)存儲(chǔ)安全性與時(shí)效性，同時(shí)運(yùn)用光存儲(chǔ)服務(wù)器實(shí)時(shí)存儲(chǔ)采集到的數(shù)據(jù)。三是運(yùn)用數(shù)據(jù)加密技術(shù)，傳輸數(shù)據(jù)不體現(xiàn)任何與油田相關(guān)的標(biāo)識(shí)，確保數(shù)據(jù)即使被截獲也無法被破解。四是RTU端與服務(wù)器端互相認(rèn)證，實(shí)現(xiàn)數(shù)據(jù)“一對(duì)一”傳輸，降低被截獲概率。

4.5? ?工控系統(tǒng)安全管理策略

工控系統(tǒng)泛指聯(lián)合站、中轉(zhuǎn)站等站內(nèi)控制系統(tǒng)，工控系統(tǒng)一旦受到黑客攻擊、病毒植入等威脅，將帶來極大損失。隨著數(shù)字油田建設(shè)，油田站內(nèi)數(shù)據(jù)又急需實(shí)時(shí)回傳至采油廠，給網(wǎng)絡(luò)安全工作帶來了極大的挑戰(zhàn)。針對(duì)物理隔離的站內(nèi)工控系統(tǒng)，主要做好工控機(jī)補(bǔ)丁更新、防病毒軟件安裝，關(guān)閉USB口使用功能等。針對(duì)需要回傳數(shù)據(jù)的站內(nèi)工控系統(tǒng)，除做好上述工作外，需單獨(dú)架設(shè)光纖，實(shí)現(xiàn)數(shù)據(jù)采集服務(wù)器“一對(duì)一”鏈接工控系統(tǒng)，同時(shí)實(shí)施以下安全防護(hù)策略。一是硬件防護(hù)策略。實(shí)現(xiàn)工控網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)間的單項(xiàng)阻截，阻止來自外部系統(tǒng)的非法訪問、非法攻擊，阻攔病毒、惡意軟件攻擊行為，保護(hù)控制系統(tǒng)安全運(yùn)行。二是蜜罐防護(hù)系統(tǒng)。若非法攻擊、惡意程序、病毒等偽裝進(jìn)入工控網(wǎng)絡(luò)，通過建立的蜜罐系統(tǒng)，誘導(dǎo)非法攻擊進(jìn)入蜜罐機(jī)，并對(duì)其進(jìn)行封鎖，獲取非法攻擊相關(guān)資料。三是安全審計(jì)系統(tǒng)。在生產(chǎn)網(wǎng)與工控網(wǎng)旁路部署網(wǎng)絡(luò)檢測(cè)與審計(jì)設(shè)備，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中的惡意攻擊，詳細(xì)記錄網(wǎng)絡(luò)流量，識(shí)別潛在風(fēng)險(xiǎn)，對(duì)惡意操作行為進(jìn)行取證，便于維護(hù)人員管理。四是PLC安全系統(tǒng)。在PLC前端部署安全模塊，實(shí)現(xiàn)智能終端設(shè)備安全，使PLC具有抵抗ARP、網(wǎng)絡(luò)風(fēng)暴、短鏈接、過濾非業(yè)務(wù)流量等攻擊的能力，增強(qiáng)設(shè)備通信穩(wěn)定性。

5? ? ?結(jié) 語

網(wǎng)絡(luò)安全工作與時(shí)俱進(jìn)。以現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)和管理手段，很難抵擋日新月異的網(wǎng)絡(luò)攻擊手段，油氣生產(chǎn)企業(yè)網(wǎng)絡(luò)安全需要添加諸如入侵監(jiān)測(cè)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、安全態(tài)勢(shì)感知系統(tǒng)等軟硬件。在未來，運(yùn)用大數(shù)據(jù)技術(shù)構(gòu)建一個(gè)網(wǎng)絡(luò)安全綜合防御體系，進(jìn)而提高整體網(wǎng)絡(luò)安全管理水平。網(wǎng)絡(luò)安全工作沒有捷徑，是一項(xiàng)綜合性的工作，需要企業(yè)全員具有網(wǎng)絡(luò)安全意識(shí)，讓所有員工共同努力，嚴(yán)于律己，規(guī)范網(wǎng)絡(luò)行為，從根源杜絕網(wǎng)絡(luò)安全隱患。同時(shí)，以網(wǎng)絡(luò)安全體系為根本，加強(qiáng)技術(shù)跟蹤和研究，提高網(wǎng)絡(luò)安全防護(hù)與追蹤能力，構(gòu)建強(qiáng)壯的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。網(wǎng)絡(luò)安全工作任重道遠(yuǎn)。在油氣企業(yè)網(wǎng)絡(luò)安全體系建設(shè)中，主要從管理和技術(shù)兩方面開展工作，以加強(qiáng)終端、網(wǎng)絡(luò)、軟件、數(shù)據(jù)的安全管理為目標(biāo)，以安全入網(wǎng)、分區(qū)隔離、縱深防御、統(tǒng)一監(jiān)控、實(shí)時(shí)預(yù)警為總體策略，強(qiáng)化綜合防護(hù)能力，落實(shí)安全管理要求，實(shí)現(xiàn)網(wǎng)絡(luò)安全工作在油氣生產(chǎn)企業(yè)實(shí)現(xiàn)常態(tài)化發(fā)展。

主要參考文獻(xiàn)

[1]馬義.大數(shù)據(jù)時(shí)代背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)研討[J].電腦知識(shí)與技術(shù)，2017（25）.

[2]王忠.大數(shù)據(jù)時(shí)代下計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題研究[J].信息與電腦：理論版，2017（15）.

[3]王菲.關(guān)于大數(shù)據(jù)時(shí)代的計(jì)算機(jī)網(wǎng)絡(luò)安全及防范措施探討[J].電腦知識(shí)與技術(shù)，2017（17）.