作者系HID Global 大中華區(qū)營銷總監(jiān)

保障石油天然氣的運(yùn)營和資產(chǎn)的安全管理是一項(xiàng)極其大的挑戰(zhàn)。石油行業(yè)的產(chǎn)業(yè)鏈長，生產(chǎn)、運(yùn)輸、銷售、服務(wù)過程中多與易燃易爆品打交道，安全事故風(fēng)險(xiǎn)和環(huán)境風(fēng)險(xiǎn)大，任何安全漏洞都會(huì)威脅到石油天然氣廠區(qū)的員工及附近人員的生命及財(cái)產(chǎn)安全，損害當(dāng)?shù)丨h(huán)境和中斷生產(chǎn)。

面臨的多重安全挑戰(zhàn)

除了原材料危險(xiǎn)，許多因素都會(huì)將石油及天然氣公司置于危險(xiǎn)的境地。地處偏遠(yuǎn)，以及本地基礎(chǔ)設(shè)施欠佳都會(huì)使得企業(yè)裝備容易受到惡意攻擊，而任何安全違規(guī)會(huì)對員工、當(dāng)?shù)丨h(huán)境甚至國家的能源網(wǎng)絡(luò)基礎(chǔ)設(shè)施穩(wěn)定性造成潛在的安全隱患。不僅如此，這類因素還會(huì)隨著運(yùn)營規(guī)模擴(kuò)大而有所增加。石油與天然氣田可能延伸數(shù)千公里，大型石油天然氣企業(yè)的員工人數(shù)可能高達(dá)30，000人，其中包括工人、維修隊(duì)伍、工程師，以及技術(shù)、醫(yī)護(hù)和后勤人員。企業(yè)不僅要切實(shí)保障這些員工能夠安全工作與生活，還要具備必要的基礎(chǔ)設(shè)施來快速有效確認(rèn)個(gè)人身份，向個(gè)人發(fā)放所需的憑證卡，根據(jù)個(gè)人職務(wù)及相應(yīng)憑證卡要求的門禁權(quán)限來限制其在場內(nèi)的活動(dòng)范圍。

在所有的政策、流程和程序中，管理、控制獲取信息和資源時(shí)需要考慮幾個(gè)重要方面：

現(xiàn)場門禁系統(tǒng)：門禁系統(tǒng)通過技防和人防相結(jié)合，謹(jǐn)慎從事，能確保所在區(qū)域的安全。這不僅包括公司員工的安全，還包括承包商、合作伙伴、來訪者以及公眾的安全。特別是，石油公司需要實(shí)時(shí)了解所在現(xiàn)場人員信息以及所處位置，并限制對高風(fēng)險(xiǎn)區(qū)域的訪問，以確保公眾不會(huì)意外闖入有害區(qū)域，例如危險(xiǎn)品存放室或機(jī)房。通過采用含OPIN接口的開放式系統(tǒng)架構(gòu)門禁系統(tǒng)，還能支持融合多維安防系統(tǒng)，通過強(qiáng)大的字定義規(guī)則引擎支持將系統(tǒng)硬件與常規(guī)應(yīng)用（例如，消防、視頻監(jiān)控和報(bào)警）進(jìn)行聯(lián)動(dòng)，提供安防能力。

訪客管理系統(tǒng)：電子化的訪客預(yù)登記系統(tǒng)，對即將到訪客進(jìn)行身份驗(yàn)證，防止危險(xiǎn)分子的混入。

計(jì)算機(jī)安全登錄：信息技術(shù)訪問控制程序，用于限制用戶訪問計(jì)算機(jī)及聯(lián)網(wǎng)的資源與數(shù)據(jù)。這些程序包括安全認(rèn)證、數(shù)據(jù)加密、單一登錄和遠(yuǎn)程虛擬專用網(wǎng)絡(luò)（VPN）訪問。

在石油天然氣行業(yè)沒有“一勞永逸”的萬能身份及門禁管理策略，各種風(fēng)險(xiǎn)漏洞、層出不窮的威脅以及周邊的實(shí)際環(huán)境都是需要考慮的因素。例如，上游地區(qū)會(huì)面對高溫、灰塵和爆炸風(fēng)險(xiǎn)等諸多環(huán)境挑戰(zhàn)，需要使用IP門禁管理解決方案解決布線難問題。在生產(chǎn)區(qū)域內(nèi)，傳統(tǒng)的巡更方式無法滿足對現(xiàn)場情況的實(shí)施監(jiān)控，因此可以借助門禁控制系統(tǒng)，使用在線式的巡更方案，實(shí)現(xiàn)對各種異常情況的快速處置。在辦公室環(huán)境中，實(shí)體攻擊或事故的風(fēng)險(xiǎn)幾率可能較低，但信息安全的風(fēng)險(xiǎn)卻相應(yīng)增加，因此需要使用物理憑證卡作計(jì)算機(jī)登錄。將物理和邏輯門禁結(jié)合在一張智能卡，并部署多項(xiàng)用途，可大幅度節(jié)約成本。因此，要提供切實(shí)有效的提高安全管理，需要包括以下幾個(gè)方面：

門禁系統(tǒng)的開放性和智能化設(shè)計(jì)

采用開放式架構(gòu)，支持IP 的智能化門禁系統(tǒng)平臺(tái)，具備全面的安全管理及故障排除機(jī)制，并通過安全防范，預(yù)警和報(bào)警的安全流程，提高石油天然氣企業(yè)的安全指數(shù)。在功能上，智能化設(shè)計(jì)的門禁解決方案包括實(shí)時(shí)監(jiān)控，功能全面的離線操作和基于IP 的遠(yuǎn)程管理，不僅實(shí)現(xiàn)了門的智能化，而且優(yōu)化了安全管理，授權(quán)管理人員能直接在管理中心進(jìn)行授權(quán)區(qū)域的分級限時(shí)權(quán)限設(shè)置。

例如：HID Global為中電福溪電廠設(shè)計(jì)的門禁系統(tǒng)，采用集成福溪電廠網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和設(shè)施管理的整體方法。實(shí)現(xiàn)了遠(yuǎn)程門禁控制、員工分級授權(quán)及訪客出入管理，確保福溪發(fā)電廠廣大生產(chǎn)和設(shè)施區(qū)域的安全，有效地避免因用戶計(jì)算機(jī)故障、通信連接失敗，或部分門禁設(shè)備故障而影響整個(gè)門禁系統(tǒng)正常運(yùn)行的情況發(fā)生。通過中央管理中心進(jìn)行分級限時(shí)管理，擁有權(quán)限的管理人員可以通過電子地圖對各門點(diǎn)進(jìn)行直接的開/閉控制，直接了解各個(gè)門禁點(diǎn)的開關(guān)狀態(tài)，當(dāng)發(fā)生開門超時(shí)或強(qiáng)行開門等報(bào)警事件時(shí)，門圖標(biāo)將發(fā)生變化并出現(xiàn)報(bào)警提示框。通過遠(yuǎn)程的電子地圖管理，減少了人員巡邏的投入并提高了管理效率。

另外，OPIN?開放平臺(tái)是影響門禁系統(tǒng)靈活性和適應(yīng)性的重要方面。OPIN?為客戶提供了更多的個(gè)人性安全管理應(yīng)用，采用OPIN?接口的門禁系統(tǒng)平臺(tái)，客戶能夠自由的根據(jù)需要選擇或自定義開放軟件，并能通過OPIN?平臺(tái)，將能源系統(tǒng)接入智慧城市的整個(gè)管理平臺(tái)中。

單一智能卡集成多種應(yīng)用

智能卡已成為石油天然氣行業(yè)解決方案的重要部分。因?yàn)橹悄芸梢员ＷC較高級別的機(jī)密性和安全性，而通過采用單一智能卡解決方案除了能做到中央管理外，還能使員工無需隨身攜帶不同類卡完成各類應(yīng)用，例如門禁、電腦登錄，考勤和安全打印管理系統(tǒng)及小額電子支付。在用戶更可在智能卡嵌入其他應(yīng)用，包括生物識(shí)別技術(shù)，這需要擴(kuò)展智能卡的數(shù)據(jù)存儲(chǔ)容量以容納生物識(shí)別模板。在理想的情況下，智能卡還應(yīng)內(nèi)置視覺防偽技術(shù)及其他用于提高整體安全性的元件。

更重要的是，智能卡能在各種應(yīng)用中采用多層安全保護(hù)，包括門禁、云端和設(shè)備上的數(shù)據(jù)保護(hù)。其中，最佳的身份驗(yàn)證方式應(yīng)超越簡易的密碼驗(yàn)證，從而確保了個(gè)人信息的真實(shí)性。大部分企業(yè)通常集中保護(hù)網(wǎng)絡(luò)周邊的的安全，依靠靜態(tài)密碼來驗(yàn)證防火墻內(nèi)的用戶身份。然而，這種認(rèn)證方式不足以應(yīng)付對于如今五花八門的高級持續(xù)性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設(shè)備 (Bring Your Own Device, BYOD) 模式的相關(guān)風(fēng)險(xiǎn)。靜態(tài)密碼勢必進(jìn)行擴(kuò)展，并且應(yīng)該納入其他多因子身份驗(yàn)證方式。這種手段一直被視為免受攻擊的主要安全戰(zhàn)略，加上用戶仍然不愿意接受隨身攜帶一個(gè)單獨(dú)專用的動(dòng)態(tài)密碼裝置。如今，非接觸式一次性密碼登錄解決方案解決了這個(gè)問題，它通過為用戶提供一張智能卡而得以實(shí)現(xiàn)的，用戶可以使用這些卡，輕松地拍卡執(zhí)行電腦登錄和注銷操作，同時(shí)設(shè)置了一道較強(qiáng)身份驗(yàn)證的安全防線。

其他多層安全保護(hù)策略包括設(shè)備身份驗(yàn)證（包括在企業(yè)網(wǎng)絡(luò)上或在云端上應(yīng)用的個(gè)人設(shè)備）、瀏覽器保護(hù)、交易身份驗(yàn)證/基于模式的智能及應(yīng)用層安全性。這要求集成式多層身份驗(yàn)證機(jī)制和實(shí)時(shí)的威脅檢測平臺(tái)的使用。欺詐檢測技術(shù)早已應(yīng)用在網(wǎng)上銀行和電子商務(wù)中。目前，該技術(shù)有望應(yīng)用于企業(yè)，為遠(yuǎn)程訪問（如VPN或虛擬桌面）提供額外的安全保護(hù)。與此同時(shí)，對于雙因子身份驗(yàn)證策略，它通常僅局限于動(dòng)態(tài)密碼 (OTP Token)、顯示卡和其他設(shè)備，但市場上也推出了用于手機(jī)、平板電腦和瀏覽器令牌等用戶設(shè)備的“軟件令牌”(Soft token)。通過手機(jī)應(yīng)用程序產(chǎn)生一次性密碼，或者通過短信將一次性密碼發(fā)送至手機(jī)。

智能卡進(jìn)行云端的身份識(shí)別管理。隨著機(jī)構(gòu)越來越多地利用軟件即服務(wù) (Software as a Service,SaaS) 模式和移動(dòng)身份識(shí)別解決方案。將數(shù)據(jù)遷移至云端不僅可以使用SaaS應(yīng)用系統(tǒng)，也可以通過存儲(chǔ)在別處的內(nèi)部應(yīng)用系統(tǒng)來完成，但最有效的方法可能是聯(lián)合身份識(shí)別管理，這可以讓用戶通過中央身份驗(yàn)證后登錄多個(gè)應(yīng)用程序。聯(lián)合 ID 管理支持多種身份驗(yàn)證方式，通過中央管理審計(jì)記錄來滿足法規(guī)要求，而無需變更終端用戶設(shè)備。此外，聯(lián)合身份識(shí)別管理還用來保護(hù)系統(tǒng)免受高級持續(xù)性威脅、點(diǎn)對點(diǎn)黑客(ad hoc hacking)、員工惡意行為及內(nèi)部威脅（如員工欺詐）的攻擊，確保在卡片和智能手機(jī)上進(jìn)行身份識(shí)別管理。

訪客管理改進(jìn)安全和效率

訪客管理系統(tǒng)在石油行業(yè)的應(yīng)用可極大地改善安全性和運(yùn)營效率，同時(shí)提高以前使用紙質(zhì)解決方案企業(yè)的專業(yè)水平。訪客管理技術(shù)將越來越多地整合到門禁系統(tǒng)中，以提供完整的安全解決方案，保護(hù)員工和臨時(shí)來訪人員的安全，防止擅自闖入的人員造成損害。訪客管理系統(tǒng)與門禁系統(tǒng)的整合使前臺(tái)服務(wù)人員能簡便、安全地通過訪客管理系統(tǒng)、而不是門禁系統(tǒng)為來賓提供臨時(shí)感應(yīng)卡。在辦理進(jìn)入手續(xù)時(shí)輸入到訪客管理系統(tǒng)中的信息被傳送到門禁系統(tǒng)中，以便激活發(fā)給訪客的感應(yīng)卡。當(dāng)訪客通過前廳訪客系統(tǒng)辦理離開手續(xù)時(shí)，該卡片被自動(dòng)撤銷，過期日期和時(shí)間都自動(dòng)傳送到門禁系統(tǒng)中，從而確保丟失或被盜的卡片不會(huì)再被使用。整合訪客管理系統(tǒng)和門禁系統(tǒng)還消除了一些問題，例如在前臺(tái)存放有效卡片以防員工忘記攜帶身份卡這種問題。訪客系統(tǒng)還記錄了所有接受過門禁卡的訪客信息，因此留下了完整的審計(jì)線索，包括卡片處于有效狀態(tài)的日期和時(shí)間。

此外，可視化安全管理對石油天然氣內(nèi)外部人員的安全發(fā)行及的卡片安全的的應(yīng)用。石油天然氣企業(yè)的員工人數(shù)可能高達(dá) 30,000 人，其中包括工人、維修隊(duì)伍、工程師，以及技術(shù)、醫(yī)護(hù)和后勤人員。采用更高安全性與性能的發(fā)卡系統(tǒng)，能快速制作高清晰的安全證卡，防止卡片偽造。

HID Global FARGO?HDP5000打印機(jī)/編碼器的特殊性能使其能夠滿足大型賽事中，政府發(fā)卡的安防要求。HDP5000采用熱轉(zhuǎn)印打印技術(shù)熱轉(zhuǎn)印技術(shù)，并不直接將信息打印到證卡上，而是將打印圖像打印到覆膜上，然后將覆膜貼到證卡表面，使卡片更為耐用持久。此類卡片還具有防篡改功能，如有偽造者試圖撕開保護(hù)層，圖像基本上就會(huì)自行損壞。此外，HDP5000可增添壓膜模塊，提高卡片的視覺安全，例如全息覆膜；同時(shí)，該打印機(jī)支持磁條卡、感應(yīng)卡和接觸式及非接觸式智能卡的編碼功能，可將員工的資料直接寫入卡片，方便核實(shí)身份。

結(jié)束語

石油天然氣公司安全的考慮因素包括：門禁系統(tǒng)的安全性，靈活性；智能卡的多功能應(yīng)用，以及其他安全（如防偽造）功能等。對于石油天然氣行業(yè)的用戶而言，考慮到存儲(chǔ)數(shù)據(jù)的價(jià)值和敏感區(qū)域所需的物理門禁安全保護(hù)，安全的重要性將會(huì)越來越高。但是，方便與效率對管理數(shù)千員工的公司而言也同樣非常重要，因此集成了智能卡策略的門禁管理、電腦安全管理可以有效地解決這一難題。