趙偉 馬麗濤 張琴

摘要：近年來，隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)在企業(yè)發(fā)展中顯示著越來越重要的作用，該文以油田網(wǎng)絡(luò)為例，分析了網(wǎng)絡(luò)與信息化管理構(gòu)成了企業(yè)的安全建設(shè)的重要內(nèi)容。

關(guān)鍵詞：網(wǎng)絡(luò)；信息；安全；油田；數(shù)字化

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)24-5789-02

近年來，國家下發(fā)了多個文件，要求加強信息系統(tǒng)安全管理工作。近期，在《我國國民經(jīng)濟和社會發(fā)展十二五規(guī)劃綱要》第十三章就多次提到了信息安全，其中第一節(jié)《構(gòu)建下一代信息基礎(chǔ)設(shè)施》、第二節(jié)《加快經(jīng)濟社會信息化》、第三節(jié)《加強網(wǎng)絡(luò)與信息安全保障》均涉及信息安全方面的內(nèi)容。特別是第三條，專門提出了信息安全保障，決定要構(gòu)建信息安全保密防護體系、加強網(wǎng)絡(luò)管理，確保國家信息安全等。

1建設(shè)目標

按照國家、集團公司對網(wǎng)絡(luò)與信息安全的要求和規(guī)范，結(jié)合油田網(wǎng)絡(luò)與信息安全現(xiàn)狀，著力完善油田網(wǎng)絡(luò)與信息安全體系建設(shè)，從計算機桌面、網(wǎng)絡(luò)傳輸、互聯(lián)網(wǎng)出口等環(huán)節(jié)，對油田辦公網(wǎng)和社區(qū)網(wǎng)進行全面的安全升級，為油田數(shù)字化管理提供一個安全、可靠、穩(wěn)定的網(wǎng)絡(luò)基礎(chǔ)平臺。

2網(wǎng)絡(luò)與信息安全現(xiàn)狀

油田網(wǎng)絡(luò)經(jīng)過不斷的改造和完善，目前已具有西安等七個主要匯聚節(jié)點，已經(jīng)覆蓋了全部油氣田生產(chǎn)區(qū)域。

油田辦公網(wǎng)絡(luò)和社區(qū)網(wǎng)絡(luò)已實現(xiàn)物理隔離。辦公網(wǎng)計算機用戶自行進行計算機病毒等防護操作；操作系統(tǒng)補丁升級也用戶自行完成。社區(qū)網(wǎng)網(wǎng)絡(luò)單獨運行，在網(wǎng)絡(luò)出口采用防火墻進行安全防護。

近年來，隨著油氣藏地質(zhì)數(shù)據(jù)庫和科研生產(chǎn)數(shù)據(jù)庫安全系統(tǒng)的建設(shè)，在互聯(lián)網(wǎng)出口防火墻、流量監(jiān)測和流量清洗等設(shè)備的安裝上線，油田網(wǎng)絡(luò)基本具備了一定的安全管理架構(gòu)，但是在計算機終端、大型應(yīng)用系統(tǒng)的訪問控制、數(shù)據(jù)庫安全防護等方面，網(wǎng)絡(luò)與信息精細化管理等方面還存在著一定的風(fēng)險。

3全面加強企業(yè)網(wǎng)絡(luò)與信息安全建設(shè)

隨著油田數(shù)字化管理的大力推廣和建設(shè)，為了保障公司辦公網(wǎng)和社區(qū)網(wǎng)的網(wǎng)絡(luò)及信息安全，桌面安全系統(tǒng)、身份管理與認證系統(tǒng)、網(wǎng)絡(luò)與信息安全系統(tǒng)三大系統(tǒng)先后上線。

3.1桌面安全系統(tǒng)

系統(tǒng)是保障桌面計算機安全的合規(guī)性及可用性；降低桌面計算機病毒和木馬發(fā)生機率；提升桌面計算機抵御安全威脅的能力；提高桌面安全管理水平；在桌面計算機層面上保障總部統(tǒng)一建設(shè)信息系統(tǒng)的安全；制定與桌面計算機安全相關(guān)的制度、標準和規(guī)范，從管理和技術(shù)兩個方面滿足國家等級保護要求和企業(yè)對計算機安全的總體需求，不斷提升桌面安全管理水平。

3.2身份管理與認證系統(tǒng)

系統(tǒng)以統(tǒng)一的強認證技術(shù)為基礎(chǔ)，集中的帳號、口令管理為機制，不僅能夠有效解決當(dāng)前存在的弱口令、孤兒帳號等“老大難”問題，而且通過集中、統(tǒng)一的實現(xiàn)方式為總部信息技術(shù)應(yīng)用環(huán)境建立起安全可靠的信息安全“基準線”。

1）PKI公共密鑰體系

可以對用戶電子證書的加密密鑰進行更新、備份，并存放在數(shù)據(jù)庫中進行統(tǒng)一的管理；可以對用戶的電子證書進行更新、補辦、吊銷等。

2）IAM身份管理與訪問控制

系統(tǒng)為用戶制作電子證書，在符合國家相關(guān)標準的公共密鑰體系基礎(chǔ)設(shè)施（PKI）的支撐下，基于嚴謹?shù)募用芩惴ㄅc密鑰管理機制，實現(xiàn)高安全性的USBKey數(shù)字證書認證方式；用戶經(jīng)過統(tǒng)一身份認證之后，即可訪問該用戶擁有訪問權(quán)限的全部應(yīng)用系統(tǒng)。實現(xiàn)了電子簽名、安全巡檢和審計追蹤等功能，確保用戶帳號操作的可稽核性，身份與帳號信息的完整性，能夠及時發(fā)現(xiàn)對于用戶帳號屬性的非法篡改。

3.3網(wǎng)絡(luò)與信息安全系統(tǒng)

通過在辦公網(wǎng)和社區(qū)網(wǎng)互聯(lián)網(wǎng)出口部署安全網(wǎng)關(guān)、代理服務(wù)器、防火墻等設(shè)備，在網(wǎng)內(nèi)關(guān)鍵路徑部署上網(wǎng)行為管理設(shè)備，滿足企業(yè)關(guān)于網(wǎng)絡(luò)防攻擊、數(shù)據(jù)防泄漏、上網(wǎng)行為管理和網(wǎng)絡(luò)信息管理等需求。

4三大系統(tǒng)全面提升企業(yè)網(wǎng)絡(luò)與信息安全保障能力

隨著信息化技術(shù)的發(fā)展，數(shù)字化建設(shè)在油田的推廣，網(wǎng)絡(luò)正逐漸改變著我們的生活。網(wǎng)絡(luò)不單是提供收發(fā)郵件、聊天、看電影等一般性服務(wù)，它已經(jīng)是油田實現(xiàn)數(shù)字化管理，建設(shè)數(shù)字化油氣田的基礎(chǔ)。正因為如此，網(wǎng)絡(luò)的安全，網(wǎng)上信息的安全更顯得關(guān)鍵。隨著桌面安全系統(tǒng)、身份管理與認證系統(tǒng)、網(wǎng)絡(luò)與信息安全系統(tǒng)的應(yīng)用，從數(shù)據(jù)源（計算機桌面）---傳輸通道---互聯(lián)網(wǎng)、總部網(wǎng)絡(luò)出口，油田網(wǎng)絡(luò)和信息的安全防護能力、網(wǎng)內(nèi)用戶網(wǎng)絡(luò)行為的審計和追溯能力、大型應(yīng)用系統(tǒng)的用戶安全防護能力等得到了全面的提升，油田的網(wǎng)絡(luò)和信息安全體系得到了極大的完善。

1）從數(shù)據(jù)源頭提升網(wǎng)絡(luò)安全防護能力，提供工作效率。隨著桌面安全系統(tǒng)的安裝部署，企業(yè)內(nèi)所有計算機將接受系統(tǒng)管理，計算機防病毒、操作系統(tǒng)補丁等重要防護手段將定期的、自動的得到升級和維護，使得計算機的利用率、網(wǎng)絡(luò)正常運行率等得到了保障，減少了因為計算機系統(tǒng)和軟件故障、網(wǎng)絡(luò)故障等導(dǎo)致的無法辦公等時間，提高了工作的效率。

2）嚴格管理網(wǎng)絡(luò)應(yīng)用，凈化網(wǎng)絡(luò)行為，提高網(wǎng)絡(luò)利用率。網(wǎng)絡(luò)與信息安全系統(tǒng)的應(yīng)用，將幫助網(wǎng)絡(luò)管理員凈化網(wǎng)絡(luò)行為，對和辦公無關(guān)的、非法的網(wǎng)絡(luò)行為可以監(jiān)控和阻斷，保證將有限的網(wǎng)絡(luò)資源充分利用到辦公業(yè)務(wù)中。

3）網(wǎng)絡(luò)事件的監(jiān)管和審計。網(wǎng)絡(luò)與信息安全系統(tǒng)可以對網(wǎng)內(nèi)的網(wǎng)絡(luò)事件進行追蹤和定位。

4）對重點應(yīng)用系統(tǒng)實行集中化管理。身份管理與認證系統(tǒng)保證了重點應(yīng)用系統(tǒng)的用戶訪問安全，同時對系統(tǒng)數(shù)據(jù)庫有著重要的防護作用，減小了非法用戶、非授權(quán)用戶等對應(yīng)用系統(tǒng)和數(shù)據(jù)庫進行攻擊和破壞，從而影響正常的辦公業(yè)務(wù)的風(fēng)險。

5）防止科研等重要數(shù)據(jù)泄漏，確保信息安全。網(wǎng)絡(luò)與信息安全系統(tǒng)對網(wǎng)絡(luò)內(nèi)部重要計算機的數(shù)據(jù)進行重點看護，防止計算機因人為或木馬病毒等導(dǎo)致的重要數(shù)據(jù)泄漏。

6）實施互聯(lián)網(wǎng)出口的全面防護，防止網(wǎng)絡(luò)受到外部攻擊。網(wǎng)絡(luò)與信息安全系統(tǒng)在互聯(lián)網(wǎng)出口通過代理服務(wù)器，“切斷”了網(wǎng)內(nèi)計算機和外網(wǎng)的直接訪問，所有內(nèi)網(wǎng)計算機“穿著”代理服務(wù)器的外衣進行互聯(lián)網(wǎng)訪問，將可能存在的外部攻擊等威脅和風(fēng)險轉(zhuǎn)嫁到了代理服務(wù)器上，避免了用戶主機遭受到破壞。