淺談計算機信息安全管理技術的研究及應用

吳東 羅李黎 程新忠

摘 要 近年來，隨著我國經濟的飛速發(fā)展，社會的不斷進步，國內企業(yè)已經全面使用計算機管理服務于生產建設，越來越多的企業(yè)開始重視辦公計算機信息管理以及計算機所使用網絡的安全。計算機的安全管理規(guī)范和技術已成為越來越重要的生產要素。本文根據新疆油田公司準東采油廠的實際情況，對近年計算機信息安全管理的規(guī)范及采取的技術措施進行闡述與分析。

關鍵詞 計算機;網絡安全;桌面安全

引言

計算機的廣泛應用給油田生產、運行、經營、科研等方面帶來了極大的便利。隨著中石油集團公司及新疆油田公司各方面應用系統(tǒng)的推廣，辦公計算機的使用已涉及每個采油廠的各個環(huán)節(jié)。但是，網絡環(huán)境復雜多變，在網絡信息的傳輸、存儲等多個環(huán)節(jié)中，容易出現安全隱患，造成數據丟失或泄漏。信息系統(tǒng)管理部門根據現狀，采取了相應的技術及制定了統(tǒng)一的管理規(guī)范，在很大程度上提高了計算機信息安全管理水平。

1計算機網絡設備規(guī)范化管理

采油廠計算機網絡設備規(guī)范化管理是保證信息網絡正常運行的一項基礎性工作。信息部門根據集團公司對于信息安全的相關要求，對計算機網絡設備進行規(guī)范化管理，是提高采油廠信息網絡設備管理水平的重要保障，其主要目的及意義有兩點：

1.1 明晰信息網絡設備狀況

采油廠信息部門根據現狀，對計算機及網絡設備臺賬管理，建立健全各單位計算機信息設備資產明細。系統(tǒng)管理員使用內網客戶端安全管理系統(tǒng)及補丁分發(fā)系統(tǒng)隨時查詢本單位的計算機網絡設備運行情況，并要求入網計算機設備采取實名制注冊，做到規(guī)范管理，責任明確。采取合理的措施，確保了采油廠計算機網絡設備信息的安全和完整性，提升計算機網絡設備精細化管理水平。

1.2 提升了計算機數據安全

通過對信息網絡設備的規(guī)范化管理，可以有效控制上網的用戶終端，嚴格限制涉密計算機使用互聯網，使涉及采油廠辦公、生產、科研等計算機與上互聯網的計算機嚴格隔離，做到涉密信息不上網。另一方面，通過數據防泄漏客戶端的后臺推送，將安裝程序推送至每臺上網計算機，確保數據防泄漏客戶端的全部安裝，中石油統(tǒng)一部署終端安全工具箱也提供了文件加密、加固主機基線等功能，進一步確保了石油企業(yè)的數據安全[1]。

2計算機網絡設備管理

為了確保網絡系統(tǒng)的安全、平穩(wěn)運行，根據中石油集團公司信息安全工作的要求，結合采油廠的實際情況，從計算機設備網絡設備臺賬管理、網絡技術管理、防病毒客戶端的安裝、規(guī)范上網行為等方面采取了一系列技術措施，制定了相關的規(guī)章制度。

2.1 建立詳細的信息網絡設備臺賬

通過內網安全管理系統(tǒng)，對采油廠各單位所使用的計算機網絡設備進行規(guī)范化管理，按一定程序進行信息的數據錄入、數據核對和整改。信息部門對入網計算機設備采取用戶身份認證的方式進行檢測，并根據設備數據庫詳細記錄每臺設備的配置信息，對計算機網絡設備的基本配置及使用人員進行統(tǒng)計，接入設備必須實名制注冊。

2.2 技術上采取安全措施

（1）工控網和企業(yè)網物理隔離

工控網負責全廠重要的生產控制和數據采集傳輸，因此需要高度的安全性、穩(wěn)定性和保密性。目前工控網絡都已經接入油田局域網，生產數據通過局域網進行傳輸，工控網和辦公網之間存在數據傳輸和交換。當有生產數據向辦公網傳送，在接收和應答來自辦公網的請求時，這個過程可能會受到外部的病毒入侵。如受到網絡攻擊，就存在一定邊界安全隱患，對工控網的安全性帶來威脅，因此有必要在辦公網和工控網之間部署安全措施。

我們通過對網絡設備采用VLAN物理隔離、邏輯隔離的方式，以及架設防火墻等措施有效防止病毒威脅，確保采油廠工控網的絕對安全。按照統(tǒng)一的技術措施安排，分步實現工控網與辦公網、視頻網的物理隔離。這個過程從底層設備、線路完全物理隔離，并且部署網閘，實現了三網隔離，確保三網的網絡安全，采取方式如下：

單向隔離網閘：因為單向網閘只允許單向數據流動，且沒有反向的數據通道，所以對黑客入侵起到了一定的效果，比較符合現場實際需求。采油廠信息部門在工控網和辦公網之間部署單向隔離網閘，保障工控網邊界安全，實現在網絡模型各層的斷開。

無線信道加密：無線通信是通過無線電磁波作為傳輸介質，此種方式比較容易受到物理層攻擊。采取通過無線加密算法的策略，可以抵御外網用戶通過對工控網惡意入侵和數據竊取。一方面可以大大減少數據包在網絡中的轉發(fā)次數，有效提高了整個網絡穩(wěn)定性;另一方面可以更好地控制對工控網的訪問，提高了工控網傳輸數據及網絡設備的安全性。

防火墻：防火墻是有效結合各類用于安全管理的軟件和硬件設備，有助于計算機網絡對其內外網構建了一道相對隔絕的保護屏障。管理員可以根據實際情況，針對有必要的區(qū)域架設防火墻設備，部署在工控網交換機或無線傳輸鏈路之間，對數據進行有效過濾 ，防止黑客利用通道入侵工控網。在設置過程中，除了允許的數據傳輸之外，屏蔽其他潛在的訪問可能性，以此保證工控網數據和設備的安全[2]。

（2）防病毒軟件客戶端的安裝

通過集團推廣使用防病毒軟件，可以對計算機設備進行良好的防護，并且能夠有效防治及查殺病毒，適用于采油廠的計算機管理應用現狀。防病毒系統(tǒng)可以及時更新最新的病毒庫，同時下發(fā)至各個客戶端;可以及時檢測系統(tǒng)漏洞，協(xié)助終端用戶進行漏洞修復。信息部門嚴格要求所有可以上網的計算機安裝防病毒軟件，沒有安裝及注冊的用戶計算機不能接入辦公網絡，設置軟件卸載密碼，運行的網絡設備不得隨意卸載防病毒客戶端。

（3）規(guī)范IP地址管理

采用防火墻的IP地址與物理地址綁定管理方法，對采油廠使用計算機的命名規(guī)則和IP分配做進一步的限制。對辦公網每臺上網計算機的物理地址進行登記，分配指定的IP地址，從而可以更有效地對計算機進行管理。如突發(fā)計算機中病毒情況，管理員可以第一時間掌握中毒計算機的使用者及聯系方式，防止病毒的攻擊行為及擴散。依靠防火墻、核心交換機以及網管軟件的功能，對局域網計算機進行分級管理，控制網絡訪問的權限，從而限制不安全網絡資源的訪問。

3加強網絡知識教育，樹立計算機安全意識

近年來，隨著油田安全生產的需要，HSE管理體系建設已經落實到每個員工的崗位職責上。與此同時，對于網絡信息安全，各單位根據集團公司、油田公司的統(tǒng)一要求，也提升到了前所未有的高度。準東采油廠采取了部署桌面安全管理系統(tǒng)、采取相應的網絡安全技術，通過計算機弱口令檢測、主機安全基線配置等一系列措施，確保計算機網絡設備的安全。并在門戶網站設置信息安全專欄，以提升全員計算機信息安全管理水平[3]。

4結束語

隨著采油廠生產和科研等方面作越來越依靠計算機網絡設備，提高了企業(yè)的生產工作效率，但是信息安全的問題也越來越多。信息部門采取符合實際的信息安全技術措施，不斷提升抵御網絡風險的能力，通過制定完善信息網絡設備規(guī)范化管理，采取相應的信息安全措施，提高信息安全管理水平，實現為企業(yè)提質增效的效果。

參考文獻

[1] 謝世春，倪培耘，寶磊.基于網絡信息安全技術管理的計算機應用探討[J].計算機產品與流通，2019（12）：40.

[2] 王惠媛.計算機應用技術與信息管理的整合[J].計算機產品與流通，2020（4）：8.

[3] 王捷，王峰.計算機信息管理技術在維護網絡安全中的應用策略探究[J].電腦知識與技術，2020，16（4）：15-16.

作者簡介

吳東（1977-），男，甘肅永昌人;學歷：大學本科，職稱：工程師，現就職單位：新疆油田公司準東采油廠信息管理站，研究方向：計算機系統(tǒng)及網絡安全等方面。