郭 渝 胡畔寧 劉 歡

（1.中國石油西南油氣田公司川東北作業(yè)分公司，四川 成都 610051；2.中國石油西南油氣田公司通信與信息技術(shù)中心，四川 成都 610051）

0 引言

中國石油西南油氣田公司（以下簡稱西南油氣田公司）近年來通過在信息化建設(shè)方面引入新技術(shù)、構(gòu)建新服務(wù)，持續(xù)推進(jìn)兩化深度融合，協(xié)助推進(jìn)了公司實現(xiàn)高質(zhì)量發(fā)展。盡管如此，面對越來越復(fù)雜的信息化環(huán)境，信息安全風(fēng)險日益突出等問題，大力提升公司信息化安全防護(hù)能力成為公司信息化建設(shè)的重要舉措。為此，針對在網(wǎng)絡(luò)安全、桌面終端安全、服務(wù)器安全、數(shù)據(jù)安全等方面的短板，提出應(yīng)大力研發(fā)和引進(jìn)先進(jìn)的信息化技術(shù)，淘汰老舊設(shè)備，轉(zhuǎn)變管理理念，有針對性地建立較為可靠、統(tǒng)一的防護(hù)體系，形成獨有的、有較強可行性的安全策略，為公司兩化融合的深度推進(jìn)和天然氣安全、高效生產(chǎn)提供有力保障。

1 網(wǎng)絡(luò)安全防護(hù)體系

1.1 現(xiàn)狀及問題

西南油氣田公司內(nèi)部對網(wǎng)絡(luò)按等級、區(qū)域等進(jìn)行劃分。具體到網(wǎng)絡(luò)拓?fù)鋵用妫ㄟ^OSPF-RIP 和BGP 等內(nèi)部、外部網(wǎng)關(guān)協(xié)議對網(wǎng)絡(luò)劃分安全域，通過A-B 側(cè)雙鏈路進(jìn)行冗余傳輸，通過虛擬路由冗余協(xié)議（VRRP）［1］技術(shù)對核心網(wǎng)絡(luò)設(shè)備進(jìn)行冗余備份、鏈路聚合、負(fù)載均衡，網(wǎng)絡(luò)運行可靠。網(wǎng)絡(luò)安全防護(hù)方面以多重防護(hù)為核心，各層保護(hù)相互補充、協(xié)助。防護(hù)手段包括防火墻、入侵檢測系統(tǒng)（IDS）［2］、入侵防御系統(tǒng)（IPS）［3］、Web 應(yīng)用防護(hù)系統(tǒng)（WAF）、網(wǎng)絡(luò)非法接入檢查系統(tǒng)、日志服務(wù)器、日志分析系統(tǒng)、態(tài)勢感知平臺。

隨著網(wǎng)絡(luò)攻擊的日趨頻繁、復(fù)雜，公司現(xiàn)階段的網(wǎng)絡(luò)安全防護(hù)體系暴露出部分漏洞：目前西南油氣田公司至下屬二級單位之間網(wǎng)絡(luò)沒有完善的防護(hù)措施，有的缺少防火墻，有的缺少IDS 和IPS，網(wǎng)絡(luò)入侵事件不可控制；現(xiàn)有態(tài)勢感知平臺只實現(xiàn)了基礎(chǔ)的資產(chǎn)管理、日志分析等功能，缺少增強安全分析、高級安全分析、流安全分析等全方位態(tài)勢感知功能。

1.2 搭建新型網(wǎng)絡(luò)安全防護(hù)體系

針對發(fā)現(xiàn)的問題，公司應(yīng)在其二級單位網(wǎng)絡(luò)核心層加快補充部署防火墻、IDS、IPS 等防護(hù)設(shè)備。防火墻部署在網(wǎng)絡(luò)邊界，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行解析，最終實現(xiàn)對數(shù)據(jù)包訪問控制、流量分類、攻擊防護(hù)和服務(wù)質(zhì)量（QoS）等功能。針對當(dāng)今操作系統(tǒng)、應(yīng)用軟件、開發(fā)環(huán)境、基礎(chǔ)協(xié)議都存在安全漏洞，而防火墻對ISO／OSI 網(wǎng)絡(luò)模型4-7 層的檢測和防御能力薄弱，采用IDS、IPS 系統(tǒng)可側(cè)重分析和防御會話層、表示層、應(yīng)用層的網(wǎng)絡(luò)漏洞和攻擊。

IDS 側(cè)重于風(fēng)險管理，主要對深達(dá)7 層的網(wǎng)絡(luò)流量或數(shù)據(jù)包進(jìn)行采集，通過入侵檢測技術(shù)進(jìn)行數(shù)據(jù)檢測。IDS 的方法主要分為特征檢測和異常檢測兩種。當(dāng)前單一技術(shù)各有利弊，對于提升入侵檢測的有效性，需要多種技術(shù)融合，取長補短。表1為特征檢測和異常檢測優(yōu)缺點分析。

IPS側(cè)重于風(fēng)險控制，進(jìn)行主要對于檢測到的入侵事件采取多種響應(yīng)方式，通過從存儲中提取檢測異常的數(shù)據(jù)進(jìn)行具體分析，包括回溯分析、蠕蟲行為分析、IP 沖突檢測、TCP 流重組、掃描行為分析、端口分析、域名分析、互聯(lián)分析、協(xié)議分析等，同時記錄事件日志、告警、原始報文記錄等動作。IDS和IPS 功能的側(cè)重點不同，所以應(yīng)將二者搭配使用，使網(wǎng)絡(luò)的防御能力顯著提高。

表1 特征檢測和異常檢測優(yōu)缺點分析表

為了防患于未然，還需引進(jìn)大數(shù)據(jù)和人工智能的產(chǎn)物—— 態(tài)勢感知平臺［4］，平臺對各項監(jiān)控數(shù)據(jù)進(jìn)行模擬分析，通過新型數(shù)據(jù)融合處理手段來對威脅和風(fēng)險進(jìn)行感知，同時平臺可以實現(xiàn)安全需求以及業(yè)務(wù)特點的可視化呈現(xiàn)。態(tài)勢感知平臺可實現(xiàn)的具體功能見圖1。

圖1 態(tài)勢感知平臺功能模塊圖

2 桌面終端安全防護(hù)體系

2.1 現(xiàn)狀及問題

西南油氣田公司采用桌面安全管理系統(tǒng)（2.0）實現(xiàn)桌面終端防護(hù)，后臺管理為北信源公司提供的桌面安全管控平臺，病毒防護(hù)軟件已由“360天擎” 全面替代桌面安全管理系統(tǒng)（1.0）建設(shè)工程項目中所部署的 “賽門鐵克” 軟件。通過策略管理、補丁分發(fā)兩種方式對安裝北信源VRV 終端進(jìn)行監(jiān)控和審核。桌面安全管理系統(tǒng)（2.0）更加注重用戶風(fēng)險的管理，通過對用戶計算機日志的審核，對違反安全策略的主機，尤其是敏感數(shù)據(jù)外泄的進(jìn)行跟蹤、阻斷。西南油氣田公司必須進(jìn)一步扼制桌面安全管理系統(tǒng)存在的缺陷，有效限制終端用戶不安全的操作行為，有效抵抗未知病毒實施入侵。

2.2 搭建新型桌面終端安全防護(hù)體系

新型桌面終端防護(hù)體系充分考慮終端用戶的身份認(rèn)證和權(quán)限的劃分。因為終端用戶角色的多樣性和行為的不確定性導(dǎo)致公司的內(nèi)網(wǎng)暴露在高安全風(fēng)險中，故采用活動目錄（AD）［5］服務(wù)技術(shù)有效地防范此類風(fēng)險，同時AD 作用于公司基礎(chǔ)設(shè)施底層技術(shù)，有機地分配和銜接網(wǎng)絡(luò)和服務(wù)器資源，更加規(guī)范地管理計算機終端和用戶群體。AD實現(xiàn)的效果如下：

1） 用戶身份認(rèn)證：可以使用雙因子認(rèn)證機制，智能卡和個人身份識別碼（PIN），智能卡內(nèi)存儲員工的身份證書，待認(rèn)證服務(wù)器驗證通過后，終端用戶輸入4位數(shù)字PIN碼，方能登錄目標(biāo)計算機。

2） 單點登錄：用戶通過雙因子身份認(rèn)證后，在AD 和認(rèn)證服務(wù)器的作用下，訪問支持AD 認(rèn)證的網(wǎng)絡(luò)資源的時候，不需要再次認(rèn)證。

3） 用戶訪問權(quán)限控制：用戶登陸辦公系統(tǒng)后為最低權(quán)限，僅能訪問局域網(wǎng)部分資源，專業(yè)應(yīng)用訪問權(quán)限必須申請，就連廣域網(wǎng)訪問權(quán)都要申請。這樣最低權(quán)限管理有效地減小網(wǎng)絡(luò)安全風(fēng)險。域控制器為用戶權(quán)限分配提供簡便操作，只需將用戶移到相應(yīng)的權(quán)限控制組即可。

4） 磁盤資源共享：域控制器使用組策略為用戶啟動登陸腳本，結(jié)合微軟公司的分布式文件系統(tǒng)技術(shù)，用戶可供分配的網(wǎng)絡(luò)磁盤（O）和個人網(wǎng)絡(luò)磁盤（P）由此形成。

5） 用戶定制桌面：域控制器采用組策略——漫游賬戶技術(shù)和文件夾重定向技術(shù)，實現(xiàn)了用戶不論在哪臺已經(jīng)接入辦公網(wǎng)絡(luò)的計算機上登陸，都會呈現(xiàn)相同的用戶自定義內(nèi)容。

6） 組策略運用：微軟提供了多個組策略，這些組策略影響計算機使用的方方面面。通過組策略域控制器對用戶計算機的管理更加方便，如：禁用了向U盤寫數(shù)據(jù)的權(quán)限。

7） 系統(tǒng)中心配置管理（SCCM）：域控制器剝奪了用戶機管理員權(quán)限，用戶無權(quán)安裝軟件和升級系統(tǒng)，可以采用微軟SCCM處理軟件集中存儲、分發(fā)以及系統(tǒng)補丁升級。SCCM 與AD 配合部署，采用分層構(gòu)架：中心站點、初級站點、次級站點、客戶端，站點部署在域控制服務(wù)器上，有自己的數(shù)據(jù)庫，為客戶端進(jìn)行軟件分發(fā)和系統(tǒng)升級補丁分發(fā)和管理公司計算機資產(chǎn)。

3 服務(wù)器安全防護(hù)體系

3.1 現(xiàn)狀及問題

西南油氣田公司現(xiàn)有服務(wù)器280余臺，分為物理機部署、虛擬機部署和私有云計算部署；擁有數(shù)據(jù)庫40 余套，分為直接附加存儲（DAS）、網(wǎng)絡(luò)附加存儲（NAS）［6］和分布存儲［7］3 種存儲構(gòu)架。由于公司服務(wù)器、存儲設(shè)備眾多，分布在川、渝兩地，資源整合、管理優(yōu)化等都有提升的空間，必須探索適合西南油氣田公司服務(wù)器、存儲設(shè)備部署的方法。

3.2 搭建新型服務(wù)器安全防護(hù)體系

公司采用OpenStack［8］公司的云管理平臺，部署涉及的主要功能模塊有計算服務(wù)（Nova）和存儲服務(wù)（Swift）。

1） 計算服務(wù)（Nova）：通過Nova-API模塊初始化虛擬機變量；Nova-scheduler 通過過濾器、權(quán)重方式篩選計算節(jié)點掛載虛擬機；Nova-comput+Hypervisor管理虛擬機實例全生命周期；Nova-conductor 訪問控制節(jié)點存儲，四模塊之間采用消息隊列通信。Open-Stack 是開源產(chǎn)品，使用驅(qū)動化的理念封裝了多種虛擬化實例。單獨運行Nova完全可以實現(xiàn)虛擬機技術(shù)。

2） 存儲服務(wù)（Swift）［9］：為OpenStack 集群提供跨節(jié)點大規(guī)模分布式對象存儲。對象存儲是將相應(yīng)的數(shù)據(jù)存儲為二進(jìn)制對象，特別適合存儲大卷的數(shù)據(jù)如：鏡像、視頻文件等，不適合存儲頻繁寫操作的對象，如：虛擬機等。Swift 采用環(huán)（Ring）、一致性哈希算法以及最終一致性等先進(jìn)理念。

西南油氣田公司大膽嘗試私有云計算，重新構(gòu)造服務(wù)器、存儲構(gòu)架，通過私有云計算的統(tǒng)一性、完整性、擴(kuò)展性進(jìn)一步提升公司在服務(wù)器、存儲方面的安全防護(hù)體系，為更快、更好、更經(jīng)濟(jì)的部署服務(wù)器、存儲奠定了基礎(chǔ)。

4 數(shù)據(jù)安全防護(hù)體系

4.1 現(xiàn)狀及問題

西南油氣田公司數(shù)據(jù)安全防護(hù)方面存在的問題主要表現(xiàn)在數(shù)據(jù)備份策略部分缺失，數(shù)據(jù)備份工程資金投入不足，數(shù)據(jù)備份環(huán)境搭建無法跟上企業(yè)發(fā)展等。同時還存在數(shù)據(jù)備份對象不全面、備份方案單一、重復(fù)備份不足等問題。缺乏備份處理的數(shù)據(jù)存在安全隱患，所以完善的數(shù)據(jù)備份機制是企業(yè)數(shù)據(jù)安全防護(hù)體系的重要環(huán)節(jié)。

4.2 搭建新型數(shù)據(jù)安全防護(hù)體系

公司應(yīng)采用多種產(chǎn)品和技術(shù)實現(xiàn)多種方式的數(shù)據(jù)備份，以此滿足所有應(yīng)用場景和不同用戶的多種數(shù)據(jù)備份和恢復(fù)需求。備份體系分為在線備份、離線備份和異地災(zāi)備3層數(shù)據(jù)保護(hù)。

在線磁盤備份是數(shù)據(jù)存儲的第一層保護(hù)。此類備份的優(yōu)勢在于備份數(shù)據(jù)存放于在線設(shè)備上（存儲或服務(wù)器），可以隨時檢索或調(diào)取，大大減少復(fù)原目標(biāo)時間（RTO）和復(fù)原目標(biāo)時間點（RPO），滿足公司對關(guān)鍵性、時效性要求高的數(shù)據(jù)的恢復(fù)需求。但是備份數(shù)據(jù)和原始數(shù)據(jù)在同一設(shè)備上，造成備份和恢復(fù)過程會消耗生產(chǎn)環(huán)境的計算、存儲和網(wǎng)絡(luò)資源，備份成本高，另備份數(shù)據(jù)保存周期短。

采用離線磁帶備份可以彌補在線磁盤備份的不足，將不同平臺、不同應(yīng)用的所有數(shù)據(jù)進(jìn)行統(tǒng)一備份和管理。方案的總體流程是將所有需要備份的數(shù)據(jù)，先緩存到磁盤存儲設(shè)備（DD）上，然后將DD 上的數(shù)據(jù)依次寫入物理磁帶。對于離線的磁帶，每天會轉(zhuǎn)存到第三方倉庫保存。這一方案的好處在于：延長備份數(shù)據(jù)周期；統(tǒng)一管理備份和恢復(fù)；數(shù)據(jù)重復(fù)性刪除；備份數(shù)據(jù)的快速上線。

異地的數(shù)據(jù)備份和災(zāi)難恢復(fù)不僅涉及存儲和備份本身，更離不開網(wǎng)絡(luò)、應(yīng)用程序的支持?？紤]到成本因素，公司只需對極少關(guān)鍵性數(shù)據(jù)做異地災(zāi)備。將兩個城市的關(guān)鍵業(yè)務(wù)數(shù)據(jù)卷做異地克隆，每兩小時做一次數(shù)據(jù)同步，為了不影響正常的業(yè)務(wù)，公司需要采用備份網(wǎng)絡(luò)線路做克隆與數(shù)據(jù)同步。當(dāng)本地的關(guān)鍵數(shù)據(jù)故障而無法工作時，修改DNS，引導(dǎo)關(guān)鍵業(yè)務(wù)流量訪問異地存儲，保證關(guān)鍵業(yè)務(wù)的連續(xù)性。當(dāng)本地數(shù)據(jù)中心或者存儲數(shù)據(jù)卷重新上線后，異地數(shù)據(jù)卷將數(shù)據(jù)再次克隆回本地，修改DNS，將關(guān)鍵業(yè)務(wù)流量再次引回本地。

5 結(jié)論和建議

1） 國內(nèi)油氣田公司在網(wǎng)絡(luò)安全方面管理方面正迎頭趕上國際先進(jìn)企業(yè)，以中國石油西南油氣田公司為例，其態(tài)勢感知平臺的部署加強了公司網(wǎng)絡(luò)防護(hù)體系。建議在技術(shù)合作方面更多地傾向國內(nèi)先進(jìn)企業(yè)，尤其是核心層、匯聚層的網(wǎng)絡(luò)和防護(hù)設(shè)備，這樣既能滿足統(tǒng)一性、安全性，又能提高伸縮性。

2） 在桌面終端安全體系建設(shè)方面存在治標(biāo)不治本的現(xiàn)象，活動目錄服務(wù)器的搭建能從源頭阻止終端用戶的不安全行為。

3） 在服務(wù)器安全體系建設(shè)方面，正在實現(xiàn)跨越式的發(fā)展，私有云計算的實施落地不但提高了服務(wù)器運維的安全性，還大幅降低了企業(yè)投資成本，對企業(yè)高效部署服務(wù)器、存儲設(shè)備掃清了障礙，大幅提高桌面終端和用戶群體的管理水平。

4） 在數(shù)據(jù)安全體系建設(shè)方面，還需加大投入和研發(fā)力度，特別是核心數(shù)據(jù)的備份以及異地災(zāi)備方面，還需進(jìn)一步的規(guī)劃部署，面對潛在的數(shù)據(jù)安全風(fēng)險既要管理又要控制，兩只腳走路才能更穩(wěn)定。