張弛，傅海濱，王柯

(中國石油西南油氣田公司 通信與信息技術中心，成都 610051)

?

數(shù)字化油氣田網(wǎng)絡安全架構研究

張弛，傅海濱，王柯

(中國石油西南油氣田公司 通信與信息技術中心，成都 610051)

摘要：隨著工業(yè)與信息化的融合不斷深入，數(shù)字化油氣田的建設逐漸成為油氣行業(yè)新的趨勢，從數(shù)字化油氣田建設的需求出發(fā)，對網(wǎng)絡架構及網(wǎng)絡安全需求進行了深入的分析，提出了一種基于功能性定義的網(wǎng)絡分區(qū)概念，根據(jù)相應功能對網(wǎng)絡架構進行了區(qū)域劃分，并針對不同的功能分區(qū)提出了安全策略，使各區(qū)域的安全架構針對性強，且具備較強的可擴展性。實際應用表明，有效提高了數(shù)據(jù)傳輸?shù)恼_性、安全性和高效性，為類似大型油田企業(yè)的網(wǎng)絡搭建及安全部署提供了一種思路。

關鍵詞：網(wǎng)絡安全數(shù)字化油氣田網(wǎng)絡架構

數(shù)字化油氣田企業(yè)由于作業(yè)的特殊性，在網(wǎng)絡架構和網(wǎng)絡安全方面與普通企業(yè)存在一定區(qū)別，在業(yè)務發(fā)展過程中也有一些較為獨特的需求[1]，主要表現(xiàn)在以下方面：

1) 動態(tài)生產(chǎn)數(shù)據(jù)。無論是前期的勘探、鉆井還是后期的生產(chǎn)階段，產(chǎn)生的數(shù)據(jù)呈動態(tài)變化，業(yè)務對數(shù)據(jù)傳輸?shù)膶崟r性、穩(wěn)定性、準確性要求很高。

2) 業(yè)務靈活部署。油氣田企業(yè)的一線生產(chǎn)單位比較分散，所在地的環(huán)境有很大差別，野外作業(yè)的項目流動性較大[2]，因而網(wǎng)絡及安全架構須具備較強靈活性。

3) 現(xiàn)場安全保障。由于作業(yè)存在一定危險性，同時作業(yè)區(qū)、井站、集輸管線等要害部位多而分散，要保證業(yè)務系統(tǒng)安全可靠地運行，需要充分運用信息化的工具和手段，網(wǎng)絡基礎架構也需要保證數(shù)據(jù)的高可用性和傳輸?shù)陌踩浴?/p>

隨著信息化進程的不斷發(fā)展，數(shù)字化油氣田正逐步成為一種新的發(fā)展趨勢，企業(yè)的業(yè)務開展、部署、決策均需要信息技術的支持。而數(shù)字化油氣田的構建，很大程度上依賴安全可靠的網(wǎng)絡架構搭建[3-4]。

1網(wǎng)絡架構設計

結合各方面的需求，在網(wǎng)絡架構的設計中按照相應的功能對架構進行了區(qū)域劃分，如圖1所示。該方式有利于未來網(wǎng)絡的靈活擴展，且能更好地開展相關的網(wǎng)絡安全建設。通過制訂功能分區(qū)間的訪問控制策略，實現(xiàn)各功能分區(qū)之間的安全互訪。網(wǎng)絡功能區(qū)域劃分以及網(wǎng)絡安全域控制策略為網(wǎng)絡設備、網(wǎng)絡安全設備等配置奠定了基礎。

圖1　網(wǎng)絡功能分區(qū)架構示意

該網(wǎng)絡架構共分為六大功能分區(qū)。

1) 交換核心區(qū)。連接上級單位和公司網(wǎng)絡的各功能分區(qū)，負責數(shù)據(jù)在各功能區(qū)間的高速轉發(fā)。

2) 服務器區(qū)。提供各組服務器群的網(wǎng)絡接入，在服務器區(qū)的邊界上部署安全防護措施，保護服務器區(qū)內的各服務器群。

3) 辦公接入?yún)^(qū)。提供辦公局域網(wǎng)和園區(qū)辦公局域網(wǎng)接入，在總部和各個園區(qū)辦公網(wǎng)接入?yún)^(qū)的邊界上部署安全防護措施。

4) 外網(wǎng)區(qū)。提供公司網(wǎng)絡與互聯(lián)網(wǎng)和外聯(lián)網(wǎng)(如銀行、社保、稅務等外部單位的網(wǎng)絡)的互聯(lián)[5]，在外網(wǎng)區(qū)的因特網(wǎng)和外聯(lián)網(wǎng)的線路出口，以及交換核心區(qū)的邊界上分別設置安全防護措施。

5) 網(wǎng)管區(qū)。提供以太網(wǎng)和Console方式的網(wǎng)絡管理終端接入，在網(wǎng)管區(qū)的邊界上設置安全防護措施。

6) 廣域網(wǎng)區(qū)。提供公司下屬二、三級單位和一線生產(chǎn)單位局域網(wǎng)的接入，并在與下屬二、三級單位和一線生產(chǎn)單位局域網(wǎng)的邊界上分別設置安全防護措施。

2分區(qū)安全設計

針對網(wǎng)絡架構的設計采用了功能分區(qū)的方式，與之相配合網(wǎng)絡安全架構的設計也采用了分區(qū)的方式，針對不同的功能分區(qū)，提出與之對應的安全策略，使各區(qū)域的安全架構針對性強，且具備較強的可擴展性。

2.1交換核心區(qū)

交換核心區(qū)連接各個安全分區(qū)，主要設備有核心交換機，負責各安全區(qū)之間的高速數(shù)據(jù)轉發(fā)，核心交換設備無需設置安全訪問控制措施。在設備的物理安全方面，參照相關規(guī)范并充分考慮運行維護人員的操作習慣。

2.2服務器區(qū)

服務器區(qū)提供各應用系統(tǒng)的安全接入和保護，其架構如圖2所示。服務器區(qū)的設備主要包括服務器接入交換設備和匯聚交換設備。匯聚交換機旁接服務器區(qū)的服務單元，為服務器區(qū)提供相應支撐，主要包括： 防火墻、入侵檢測系統(tǒng)(IDS)、應用負載均衡設備、SSL卸載等。對于油氣田企業(yè)而言，服務器區(qū)中的生產(chǎn)服務器涉及各個站場的實時生產(chǎn)數(shù)據(jù)和核心業(yè)務，安全需求相對于辦公及其他應用服務器要更為苛刻。

圖2　服務器區(qū)架構示意

服務器區(qū)的安全設計要點主要包括：

1) 流量隔離。根據(jù)應用架構對服務器進行分層部署(如Web展現(xiàn)層、應用服務層、數(shù)據(jù)庫服務層)，通過劃分不同的VLAN隔離各層之間的流量，在以應用架構層次劃分的同一VLAN中，再通過劃分不同的PVLAN隔離不同應用之間的流量[6]。由匯聚層交換機對各VLAN的服務器之間的數(shù)據(jù)交換進行轉發(fā)，同時在匯聚層交換機上部署共用的服務模塊，提供訪問控制、安全過濾、消息路由等服務。

2) 策略部署。在匯聚交換設備層面設置網(wǎng)絡入侵檢測系統(tǒng)(NIDS)進行安全監(jiān)控，提供有可能未被防火墻過濾掉的重要安全警報信息，提高對攻擊類型的識別能力，在服務器的接入交換設備層面設置相應的安全措施如端口安全，防止非授權主機或網(wǎng)絡設備接入。

3) 安全冗余。重要的服務器應該通過2塊網(wǎng)卡分別連接到2臺接入交換機，以消除單點故障，接入交換設備應該具有劃分VLAN，PVLAN和子網(wǎng)之間隔離的基本功能。匯聚交換設備在匯聚接入交換設備的同時，提供服務器到核心路由區(qū)的連接，并且應有冗余機制確保在1臺匯聚交換設備無法提供網(wǎng)絡服務的情況下，能夠有另外1臺匯聚交換設備繼續(xù)提供網(wǎng)絡服務。另外，在冗余的匯聚交換設備之間應啟用二層連接，以連接跨不同接入交換機的VLAN。

2.3辦公接入?yún)^(qū)

辦公接入?yún)^(qū)中，各單位均通過標準化的方式接入交換核心區(qū)域。為避免對交換核心造成影響，故園區(qū)辦公網(wǎng)都需采用三層方式接入，并且將總部與在園區(qū)內本地二級單位的辦公接入分離，以保證各部門業(yè)務的安全性[7]。辦公接入?yún)^(qū)的安全性考慮主要體現(xiàn)在對內部訪問的權限控制上，如允許哪些用戶訪問哪些網(wǎng)絡節(jié)點及哪些應用等。辦公接入?yún)^(qū)架構如圖3所示。

圖3　辦公接入?yún)^(qū)架構示意

辦公接入?yún)^(qū)的安全設計要點主要包括：

1) 身份識別。接入交換設備連接用戶終端，直接將各種用戶接入到公司網(wǎng)絡，能夠主動向接入設備發(fā)出識別用戶身份的請求，并能將用戶的身份信息正確無誤地轉發(fā)給后面的鑒權服務器，對于能夠識別其身份的終端，應該根據(jù)用戶身份，將其分配到合適的接入網(wǎng)段。用戶對網(wǎng)絡的訪問可以按照時間進行限制，對于不能識別其身份的終端，應該禁止其接入到公司網(wǎng)絡。

2) 日志記錄。提供用戶訪問網(wǎng)絡的詳細記錄，如何時連接、何時退出、連接時間、連接交換機的端口號等信息，在網(wǎng)絡發(fā)生安全問題時，能夠提供線索以供審核。

3) 訪問控制。通過辦公接入?yún)^(qū)訪問公司網(wǎng)絡的用戶主要分為公司員工、外包維護人員、外包工作人員、外來項目人員。對用戶能夠訪問的內部網(wǎng)絡資源，需在匯聚交換設備上進行嚴格的訪問控制，并且應嚴格控制不同用戶之間的訪問，如有需要也應對于同一VLAN和子網(wǎng)用戶之間的訪問進行安全控制。

4) 接入控制。在終端接入到網(wǎng)絡之前，應判斷其是否安裝了防病毒軟件，是否運行要求的防病毒技術，是否帶有最新的系列簽名文件。其次應判斷是否已安裝并正確配置了個人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件。最后應檢查接入設備的定制鏡像是否已被修改或篡改。

2.4外網(wǎng)區(qū)

外網(wǎng)區(qū)保護公司內部網(wǎng)絡資源，防止受到外部攻擊和濫用的同時，也為所有通過公司網(wǎng)絡訪問外網(wǎng)的用戶提供安全保護。在外網(wǎng)區(qū)的設計中加入了非軍事區(qū)(DMZ)，其目的是把敏感的內部網(wǎng)絡和其他提供訪問服務的網(wǎng)絡分開，阻止內網(wǎng)和外網(wǎng)直接通信，以保證內網(wǎng)安全。

外網(wǎng)區(qū)的安全設計要點主要包括：

1) 防火墻設置。針對不同類型防火墻的優(yōu)缺點，在外網(wǎng)區(qū)設置雙層的防火墻設備，加強對內網(wǎng)的保護。在內外防火墻之間以及防火墻內部應設置入侵檢測設備進行安全監(jiān)控[8]，提高對攻擊類型的識別能力。限制對等(P2P)和即時消息等惡意流量的傳輸，部署防火墻功能，對URL和內容進行過濾，有效防御間諜軟件、病毒、垃圾郵件和與業(yè)務無關的內容。在阻擋不受歡迎的來訪流量的同時，允許合法業(yè)務流量進入。訪問外網(wǎng)時需通過具備行為監(jiān)控功能的代理服務器，并嚴格限制不同用戶的外網(wǎng)訪問時間。關閉所有防火墻的默認服務，開啟必要的服務以確保防火墻設備自身的安全防護，如NTP，SYSLOG，SNMP等。通過NAT進行內、外網(wǎng)地址轉換，防止公司內部IP地址被外部人員獲取。

2) DMZ安全策略。對各DMZ內互相不需要連接的服務器進行PVLAN劃分[9]，盡可能限制不同服務器之間互相訪問，確保相互之間不會受到廣播的影響，實現(xiàn)安全隔離。通過設置內部的防火墻，實現(xiàn)內網(wǎng)用戶可以訪問外網(wǎng)，內網(wǎng)也可以訪問DMZ，以確保內網(wǎng)用戶使用和管理DMZ中的服務器，但是除了通過無線接入和遠程VPN接入的內部用戶以及一些特定應用外，DMZ區(qū)不能訪問內網(wǎng)。設置外部的防火墻，實現(xiàn)外網(wǎng)不能直接訪問內網(wǎng)，但外網(wǎng)可以訪問DMZ區(qū)內的服務器和應用。

2.5網(wǎng)絡管理區(qū)

網(wǎng)絡管理區(qū)為公司所有設備和主機提供安全管理、日志記錄和報告[10]。收集的網(wǎng)絡管理信息從各個設備送到網(wǎng)絡管理區(qū)內部的管理節(jié)點，設備的配置以及新的軟件從網(wǎng)絡管理區(qū)內部的管理節(jié)點加載到每臺設備。

網(wǎng)絡管理區(qū)的安全設計要點主要包括：

1) 安全防護。在網(wǎng)絡管理區(qū)與網(wǎng)絡接口的防火墻處，設置安全訪問控制，過濾和阻止任何方向上與網(wǎng)絡管理無關的非授權訪問。比如，在防火墻上配置允許Syslog和SNMP信息進入網(wǎng)絡管理區(qū)，同樣也允許從網(wǎng)絡管理區(qū)內部發(fā)起的Telnet，SSH和SNMP的應用。在網(wǎng)絡管理區(qū)內部的管理數(shù)據(jù)需要采取安全防護手段，防止實施中間人攻擊，比如在L2交換機上針對管理終端、網(wǎng)絡管理主機等實施PVLAN，Port Security等配置，使中間人攻擊非常困難。

2) 設置訪問控制服務器。采用集中管理的方式，以保護用戶口令安全，在公司網(wǎng)管區(qū)配置安全訪問控制服務器，所有設備的用戶名、口令、權限控制都統(tǒng)一管理，避免因分散式管理帶來的安全漏洞和管理的復雜性。在安全訪問控制服務器上可將進入到設備的管理用戶分為多個級別，對不同級別的用戶分配不同級別的訪問權限。所有設備的管理用戶均需通過訪問控制服務器的身份驗證，并結合一次性密碼系統(tǒng)，為每臺設備提供更嚴格的身份認證控制，僅當訪問控制服務器不可用時，方可通過設備本地認證的方式管理設備。

3) 操作控制。大部分的網(wǎng)絡管理功能如軟件升級、日志記錄和SNMP管理需要通過網(wǎng)絡管理區(qū)內專門的終端來進行操作，如果需要在網(wǎng)絡管理區(qū)外進行網(wǎng)絡維護時，網(wǎng)絡管理員終端必須與網(wǎng)絡管理區(qū)的防火墻建立起基于IPSec的VPN，確保所有的網(wǎng)絡管理流量都采用加密的方式進行傳輸，以防止網(wǎng)管數(shù)據(jù)被截取。

2.6廣域網(wǎng)區(qū)

廣域網(wǎng)區(qū)主要負責異地的二級單位及三級單位的網(wǎng)絡接入，通過核心路由器進行各地區(qū)間的廣域流量的轉發(fā)。由于廣域網(wǎng)設計覆蓋范圍較大，文

中所提出的安全設計要點只涉及總部層面。

廣域網(wǎng)區(qū)的安全設計要點主要包括：

1) 核心路由安全控制。核心路由設備提供各地區(qū)之間的高速數(shù)據(jù)轉發(fā)，可在核心路由設備上適當設置安全訪問控制。在核心路由設備上對各地的路由信息進行認證和加密，并通過訪問控制，嚴格限制不必要的路由信息進入到本地的核心路由區(qū)。

2) 核心交換安全控制。與核心交換機連接的所有物理鏈路應具有主備的連接，并采用收斂快速的OSPF作為核心骨干區(qū)的路由協(xié)議，確保核心網(wǎng)絡的路由快速收斂能力和高可用性。如果條件許可，可在核心交換設備和核心路由設備之間加設防火墻，加強各地之間流量的訪問控制力度。

3結束語

數(shù)字化油氣田概念不僅是信息傳遞，更重要的是運用一系列手段匯集和分析各類數(shù)據(jù)，為業(yè)務的發(fā)展和決策提供支撐，而在該過程中，健康安全的網(wǎng)絡架構對于保證數(shù)據(jù)傳輸?shù)恼_性、安全性和高效性尤為重要。文中提出的分區(qū)安全保障架構有效提升了網(wǎng)絡架構的安全性，在保證架構可擴展性的基礎上，兼顧了高可用性和安全性需求，為油氣田的信息化進程提供了強有力的支撐。

參考文獻：

[1]李哲.油田企業(yè)信息化發(fā)展的趨勢—數(shù)字油田的構建[J].價值工程，2010(16)： 153-155.

[2]張軍華，鐘磊，王新紅，等.數(shù)字油田要素分析、建設現(xiàn)狀及發(fā)展展望[J].勘探地球物理進展，2007(01)： 25-30.

[3]劉韻潔.三網(wǎng)融合與未來網(wǎng)絡的發(fā)展[J].重慶郵電大學學報(自然科學版)，2010(06)： 693-697.

[4]李濤.網(wǎng)絡安全概論[M].北京： 電子工業(yè)出版社，2004： 35-40.

[5]朱建江，朱正江，彭龍.企業(yè)園區(qū)三層網(wǎng)絡架構的設計與實現(xiàn)[J].計算機與現(xiàn)代化，2009(09)： 70-76.

[6]劉成文，田雨，章瑞.利用先進通信技術建設數(shù)字化油氣田[J].信息通信，2009(01)： 78-80.

[7]李莉，鄧睿.論局域網(wǎng)建設架構與安全策略[J].企業(yè)導報，2011(20)： 285-287.

[8]王鐵方，李濤.蜜網(wǎng)與防火墻及入侵檢測的無縫結合的研究與實現(xiàn)[J].四川師范大學學報(自然科學版)，2005(01)： 119-122.

[9]王小玲.PVLAN技術及其在局域網(wǎng)中的應用[J].電腦開發(fā)與應用，2014(03)： 28-31.

[10]錢翀.企業(yè)數(shù)據(jù)中心網(wǎng)絡架構研究和設計[D]. 上海： 上海交通大學，2013.

Research on Network Security Architecture of Digital Oil and Gas Field

Zhang Chi, Fu Haibin, Wang Ke

(Communication and Information Technology Center, Petrochina Southwest Oil

and Gas Field Company, Chengdu,610051, China)

Abstracts： With continuous development of integration of information technology and industry, construction of digital oil and gas field is becoming the new trend of oil and gas industry. Starting from unique needs of digital oil and gas field construction, the needs from network architecture and security are deeply investigated with an approach of network sub-region concept based on function definition. The network architecture is regionalized based on relative functions. Security policy is proposed aiming at different functions to make security frame with specified strong pertinence and expandability for each region. The practical application indicates accuracy, safety and high efficiency of data transmission have been improved obviously. It provides a new idea for large oil enterprises to build network and security deploy.

Key words：network security; digital oil and gas field; network architecture

中圖分類號：TE938

文獻標志碼：B

文章編號：1007-7324(2015)06-0062-04

作者簡介：張弛(1984—)，男，現(xiàn)就職于中國石油西南油氣田公司，主要研究方向為視頻會議技術、網(wǎng)絡安全等，任工程師。

稿件收到日期： 2015-07-07。