■ 文/黃曉東 景懷民 李世紅 秦博 陳高輝

網(wǎng)絡(luò)安全支撐油田數(shù)字化

■ 文/黃曉東 景懷民 李世紅 秦博 陳高輝

在長(zhǎng)慶油田大力推進(jìn)油田數(shù)字化管理的過(guò)程中，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的承載能力和安全性提出了較高的要求。與油田大發(fā)展同步，計(jì)算機(jī)網(wǎng)絡(luò)得到快速發(fā)展。如何設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，如何保障內(nèi)部數(shù)據(jù)傳輸?shù)母咝О踩?，做好互?lián)網(wǎng)、主干網(wǎng)絡(luò)的核心層、匯聚層、接入層的暢通和安全；如何搞好網(wǎng)絡(luò)管理，確保網(wǎng)絡(luò)高效運(yùn)維，長(zhǎng)慶油田進(jìn)行了積極探索與實(shí)踐。

長(zhǎng)慶油田通信處確立了為油田生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)提供穩(wěn)定、安全、可靠、暢通的網(wǎng)絡(luò)服務(wù)目標(biāo)，把工作重心轉(zhuǎn)移到確保“數(shù)字化管理”的網(wǎng)絡(luò)需要上來(lái)，緊緊圍繞中國(guó)石油規(guī)劃的計(jì)算機(jī)局域網(wǎng)改進(jìn)項(xiàng)目實(shí)施，主要從計(jì)算機(jī)主干網(wǎng)絡(luò)、網(wǎng)絡(luò)安全體系、網(wǎng)絡(luò)數(shù)字化管理等方面，確保為“大油田管理、大規(guī)模建設(shè)”提供了強(qiáng)有力的通信信息服務(wù)保障。

網(wǎng)絡(luò)系統(tǒng)架構(gòu)

羅紅年/供圖

遵循中國(guó)石油局域網(wǎng)建設(shè)和運(yùn)維規(guī)范，結(jié)合長(zhǎng)慶油田實(shí)際，科學(xué)規(guī)劃，從網(wǎng)絡(luò)架構(gòu)、設(shè)備配置、系統(tǒng)承載能力、網(wǎng)絡(luò)帶寬等全面構(gòu)架網(wǎng)絡(luò)。

網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)。按照核心層、匯聚層、接入層三層架構(gòu)的設(shè)計(jì)原則，在主要油氣區(qū)設(shè)置網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，提高網(wǎng)絡(luò)覆蓋面，滿足油氣生產(chǎn)需要。設(shè)置西安網(wǎng)絡(luò)核心，西安、慶陽(yáng)、銀川、延安、靖邊、涇渭、烏審旗7個(gè)網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，吳起等10多個(gè)三級(jí)節(jié)點(diǎn)。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用雙星型結(jié)構(gòu)。自有電路與社會(huì)電路資源結(jié)合使用，在鏈路層面提高了油氣區(qū)網(wǎng)絡(luò)的可靠性和安全性。對(duì)于主要油氣區(qū)域的匯聚節(jié)點(diǎn)，采用網(wǎng)狀組網(wǎng)方式，增加到其他匯聚節(jié)點(diǎn)的千兆級(jí)電路，提高網(wǎng)絡(luò)冗余度。

設(shè)備配置。主干節(jié)點(diǎn)設(shè)備采用冗余配置。西安網(wǎng)絡(luò)核心、各網(wǎng)絡(luò)匯聚節(jié)點(diǎn)及重要三級(jí)節(jié)點(diǎn)的路由器、交換機(jī)，采用雙設(shè)備冗余配置。主用設(shè)備與備份設(shè)備雙機(jī)模式工作，在系統(tǒng)或者硬件故障時(shí)候應(yīng)用自動(dòng)切換，在硬件層面提高主干網(wǎng)絡(luò)的安全性、可靠性。

網(wǎng)絡(luò)帶寬。長(zhǎng)慶油田的數(shù)字化管理全面展開(kāi)，計(jì)算機(jī)網(wǎng)絡(luò)的帶寬需要按照業(yè)務(wù)需求進(jìn)行規(guī)劃。將網(wǎng)絡(luò)業(yè)務(wù)分為生產(chǎn)、辦公、住宅三類，逐一預(yù)測(cè)帶寬。將主干網(wǎng)絡(luò)承載的主要業(yè)務(wù)生產(chǎn)數(shù)據(jù)按照其業(yè)務(wù)層級(jí)，從井站、作業(yè)區(qū)、廠部到公司，逐級(jí)分解，明確了主干網(wǎng)絡(luò)的帶寬需求，初步確定了西安網(wǎng)絡(luò)核心與各匯聚節(jié)點(diǎn)之間采用雙2.5Gbps鏈路互聯(lián)，三級(jí)節(jié)點(diǎn)至網(wǎng)絡(luò)匯聚節(jié)點(diǎn)采用1-2個(gè)1000Mbps互聯(lián)，核心網(wǎng)絡(luò)采用雙萬(wàn)兆互聯(lián)的鏈路方案。為確保鏈路的可靠性，主要節(jié)點(diǎn)之間采用雙鏈路互聯(lián)。

系統(tǒng)承載能力。系統(tǒng)承載能力：公司主干網(wǎng)絡(luò)在西安、慶陽(yáng)、銀川、延安、靖邊、涇渭、烏審旗設(shè)置有網(wǎng)絡(luò)匯聚節(jié)點(diǎn)。每個(gè)匯聚節(jié)點(diǎn)的設(shè)備路由及交換能力極大提高，三層路由轉(zhuǎn)發(fā)速率達(dá)到400Mpps以上，交換容量640Gbps/720bps以上，系統(tǒng)能滿足下一步萬(wàn)兆業(yè)務(wù)的擴(kuò)展。系統(tǒng)接入能力：按照各單位雙鏈路接入各匯聚節(jié)點(diǎn)交換機(jī)，視頻會(huì)議等關(guān)鍵業(yè)務(wù)接入各匯聚節(jié)點(diǎn)路由器的原則。每個(gè)匯聚節(jié)點(diǎn)可以同時(shí)提供48個(gè)單位雙千兆接入，24個(gè)關(guān)鍵應(yīng)用雙千兆接入。

網(wǎng)絡(luò)安全體系

如何規(guī)劃和設(shè)計(jì)好網(wǎng)絡(luò)安全體系，是油田數(shù)字化管理基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重中之重，也是支持各種信息化應(yīng)用系統(tǒng)運(yùn)行的關(guān)鍵所在。按照中國(guó)石油的統(tǒng)一規(guī)劃，各油田計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)上，與中國(guó)石油總部?jī)?nèi)部網(wǎng)絡(luò)互聯(lián)，對(duì)外，可以就地通過(guò)電信運(yùn)營(yíng)商接入Internet。這樣就可以從結(jié)構(gòu)上將網(wǎng)絡(luò)安全分為內(nèi)部安全、外部安全進(jìn)行考慮。

長(zhǎng)慶油田在打造暢通、可靠的油田計(jì)算機(jī)主干網(wǎng)絡(luò)的同時(shí)，同步做好網(wǎng)絡(luò)安全工作，從網(wǎng)絡(luò)的邊界層、核心層、接入層及安全體系等方面進(jìn)行統(tǒng)籌規(guī)劃，已初步形成了邊界嚴(yán)防護(hù)、核心重監(jiān)控、桌面勤補(bǔ)漏、全網(wǎng)建體系的網(wǎng)絡(luò)安全管理理念。網(wǎng)絡(luò)安全性得到加強(qiáng)，非正常應(yīng)用流量減少90%。

在邊界層，采用防火墻及IPS技術(shù)，實(shí)現(xiàn)對(duì)來(lái)自外網(wǎng)的安全第一級(jí)防護(hù)；在網(wǎng)絡(luò)核心層，首次在企業(yè)網(wǎng)應(yīng)用了流量清洗技術(shù)，不僅實(shí)現(xiàn)了外網(wǎng)第二級(jí)安全防護(hù)，還實(shí)現(xiàn)企業(yè)內(nèi)部各個(gè)重要業(yè)務(wù)及用戶之間的流量監(jiān)測(cè)及攻擊性數(shù)據(jù)清洗；在接入層，采用漏洞掃描系統(tǒng)，不定期對(duì)敏感業(yè)務(wù)系統(tǒng)進(jìn)行掃描和加固，及時(shí)發(fā)現(xiàn)安全隱患并予以消除；在主干網(wǎng)方面，以建立網(wǎng)絡(luò)安全體系為核心，加強(qiáng)網(wǎng)絡(luò)安全管理，初步建立起了主干網(wǎng)的安全評(píng)估體系。

互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。在與互聯(lián)網(wǎng)的接入部分，按照安全區(qū)、信息交換區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)三個(gè)安全區(qū)進(jìn)行建設(shè)，規(guī)劃兩臺(tái)防火墻，考慮到出口網(wǎng)絡(luò)萬(wàn)兆升級(jí)以及防火墻處理能力，同時(shí)為了降低出口網(wǎng)絡(luò)復(fù)雜度，選擇自帶IPS功能的防火墻，通過(guò)防火墻設(shè)備完成出口網(wǎng)絡(luò)的安全防護(hù)和入侵防護(hù)功能。防火墻選型上既考慮國(guó)內(nèi)產(chǎn)品自主知識(shí)產(chǎn)權(quán)的優(yōu)勢(shì)、又兼顧國(guó)外產(chǎn)品高性能及穩(wěn)定性好的特點(diǎn)。

內(nèi)網(wǎng)安全。通過(guò)對(duì)目前業(yè)界各類安全技術(shù)的跟蹤和研究，重點(diǎn)按照核心層做清洗、桌面做漏洞掃描及加固、全網(wǎng)進(jìn)行安全體系建設(shè)三方面強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全建設(shè)。

核心網(wǎng)絡(luò)流量監(jiān)控及清洗。一方面，通過(guò)建立流量模型，保障主要業(yè)務(wù)。在網(wǎng)絡(luò)核心，采用相對(duì)串接、鏡像等方式先進(jìn)的分光技術(shù)，部署旁路流量分析監(jiān)管設(shè)備，通過(guò)分析網(wǎng)絡(luò)核心、互聯(lián)網(wǎng)出口等流量情況，提煉重要業(yè)務(wù)的特性，建立全網(wǎng)主要業(yè)務(wù)流量模型，為網(wǎng)絡(luò)規(guī)劃建設(shè)提供依據(jù)。對(duì)于P2P等對(duì)于網(wǎng)絡(luò)帶寬消耗較大的業(yè)務(wù)，設(shè)定閥值及流量管理規(guī)則，使P2P等業(yè)務(wù)對(duì)用戶網(wǎng)絡(luò)訪問(wèn)影響降到最低。另一方面，通過(guò)對(duì)異常流量的清洗，保障核心業(yè)務(wù)及網(wǎng)絡(luò)的安全。針對(duì)目前在網(wǎng)絡(luò)中頻繁發(fā)生的病毒攻擊等行為，選擇旁路部署的網(wǎng)絡(luò)異常流量清洗設(shè)備，通過(guò)采用策略路由和BGP引流方式實(shí)現(xiàn)流量監(jiān)控與異常流量的清洗，使得網(wǎng)絡(luò)安全管理變被動(dòng)為主動(dòng)、由事后分析到事前防范、由未知到可視。據(jù)統(tǒng)計(jì)，2010年3月份就成功消除安全事件1600多起，較大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠性。各類安全策略及規(guī)則庫(kù)的及時(shí)更新升級(jí)，也使得系統(tǒng)能應(yīng)對(duì)各類新的攻擊。

安全評(píng)估建設(shè)及桌面漏洞掃描。在網(wǎng)絡(luò)核心部署漏洞掃描系統(tǒng)，不定期對(duì)相關(guān)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)漏洞，及時(shí)進(jìn)行系統(tǒng)加固，減少安全事件的發(fā)生，提高網(wǎng)絡(luò)穩(wěn)定性。在此基礎(chǔ)上，與國(guó)家有安全資質(zhì)的第三方公司合作，開(kāi)展安全體系建設(shè)，逐步建立較為完善的網(wǎng)絡(luò)安全管理體系。

網(wǎng)絡(luò)管理

經(jīng)過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的大規(guī)模建設(shè)和發(fā)展，網(wǎng)絡(luò)運(yùn)維工作量規(guī)模成倍增長(zhǎng)，而網(wǎng)絡(luò)運(yùn)維人員沒(méi)有增加，如何高效運(yùn)維已經(jīng)成了迫在眉睫的問(wèn)題，通過(guò)不斷的調(diào)研和測(cè)試，我們認(rèn)為目前的網(wǎng)絡(luò)廠家的專業(yè)化網(wǎng)管軟件、第三方網(wǎng)管軟件、國(guó)內(nèi)的網(wǎng)絡(luò)軟件之中，第三方的較為實(shí)用，縱觀C A、H P等廠家的系統(tǒng)，Solarwinds成為目前比較適合長(zhǎng)慶實(shí)際，能快速高效部署和運(yùn)維的一套經(jīng)濟(jì)實(shí)用的系統(tǒng)。主要實(shí)現(xiàn)了以下幾個(gè)方面的開(kāi)發(fā)和應(yīng)用：實(shí)現(xiàn)對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、防火墻、服務(wù)器等的實(shí)時(shí)監(jiān)測(cè)，涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個(gè)廠家的產(chǎn)品，監(jiān)測(cè)參數(shù)包括C P U、內(nèi)存、帶寬、會(huì)話數(shù)等；實(shí)現(xiàn)對(duì)各類故障的實(shí)時(shí)告警和管理，以短信等方式及時(shí)提醒運(yùn)維人員；實(shí)時(shí)展現(xiàn)全網(wǎng)拓?fù)浣Y(jié)構(gòu)，以圖形化界面友好展示網(wǎng)絡(luò)暢通情況；實(shí)現(xiàn)對(duì)全網(wǎng)設(shè)備的配置自動(dòng)備份，能進(jìn)行配置比對(duì)，方便技術(shù)人員分析設(shè)備運(yùn)行情況；量化統(tǒng)計(jì)分析網(wǎng)絡(luò)及設(shè)備的可用性等指標(biāo)；靈活定制各類報(bào)表，方便決策分析和統(tǒng)計(jì)。

通過(guò)自定義方式建立起來(lái)的資源管理，極大方便了網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)和資料的管理。

在近一年多的實(shí)際運(yùn)維中，主干網(wǎng)絡(luò)未出現(xiàn)中斷、出口通暢，網(wǎng)絡(luò)可用性達(dá)到100%。網(wǎng)絡(luò)整體服務(wù)能力的各項(xiàng)指標(biāo)明顯提高：網(wǎng)頁(yè)平均打開(kāi)時(shí)間由15m s降低到7m s；主干帶寬利用率保持<13%；安全設(shè)備主要性能指標(biāo)利用率<10%；網(wǎng)絡(luò)交換路由設(shè)備關(guān)鍵指標(biāo)利用率<12%；P2P流量降低60%；流量性攻擊有效防御，今年5-8月份，發(fā)生的11480次攻擊事件均被有效清洗；其中各類業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)安全性明顯提高，未發(fā)生1次被攻擊事件，異常事件僅占全網(wǎng)異常事件總數(shù)的0.45%。

作者單位：中國(guó)石油長(zhǎng)慶油田公司通信處信息中心