付 杰

（大慶油田有限責(zé)任公司第二采油廠信息中心，黑龍江 大慶 163000）

0 引言

油田信息化建設(shè)速度不斷加快，信息技術(shù)服務(wù)已經(jīng)融入各個部門，采油廠網(wǎng)絡(luò)的覆蓋面積越來越大，計(jì)算機(jī)總量也不斷增多，隨之出現(xiàn)的網(wǎng)絡(luò)信息安全問題越來越多。采油廠如果只通過增加管理人員的方式來保障信息安全，很難取得理想的效果，急需對計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)工作展開研究，提升采油廠計(jì)算機(jī)網(wǎng)絡(luò)的可靠性、穩(wěn)定性和安全性。

1 采油廠計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理內(nèi)容

采油廠計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理離不開信息技術(shù)的應(yīng)用，采油廠在計(jì)算機(jī)網(wǎng)絡(luò)管理方面要做好服務(wù)器、網(wǎng)絡(luò)和計(jì)算機(jī)的定期維護(hù)，以此保障采油廠信息安全。采油廠油氣進(jìn)井過程中，監(jiān)控設(shè)備發(fā)揮著重要作用，如果只采用人工監(jiān)控的方式，不僅費(fèi)時費(fèi)力，效率還很低，而采取自動監(jiān)控的模式，效率可以得到很大提升，還可實(shí)現(xiàn)對配水間、注水井以及油井工作狀態(tài)的實(shí)時監(jiān)控，出現(xiàn)問題時可以及時發(fā)現(xiàn)并解決。

計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中的關(guān)鍵環(huán)節(jié)是應(yīng)用信息安全管理平臺。利用先進(jìn)的信息技術(shù)，配置先進(jìn)的設(shè)備儀器，制定科學(xué)合理的措施，實(shí)現(xiàn)當(dāng)前技術(shù)的更新和創(chuàng)新，使采油廠信息安全工作管理模式能與時俱進(jìn)，更好地滿足采油廠工作需求。要積極引入先進(jìn)的信息技術(shù)，開展相關(guān)人員信息安全管理知識與技能培訓(xùn)，保證工作人員能更好地認(rèn)知信息安全管理，了解系統(tǒng)工作流程，便于后期維護(hù)管理。

采油廠要對計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理模式進(jìn)行分析，首先要充分了解采油廠工作人員結(jié)構(gòu)、基礎(chǔ)設(shè)備以及重要信息等內(nèi)容，掌握采油廠信息安全具體需求，從每個構(gòu)成部分的需求出發(fā)進(jìn)行設(shè)計(jì)，制定科學(xué)的計(jì)算機(jī)網(wǎng)絡(luò)安全管理措施、管理制度并切實(shí)落實(shí)，實(shí)際執(zhí)行過程中還需要結(jié)合具體情況適當(dāng)修改管理措施，以提升采油廠信息安全管理平臺的運(yùn)行效率，使其能更大限度滿足采油廠的信息安全需求。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理問題研究背景

當(dāng)前，采油廠計(jì)算機(jī)數(shù)量達(dá)到了幾千臺，網(wǎng)絡(luò)布局面積在不斷擴(kuò)增，病毒攻擊的風(fēng)險也隨之增大，對防范工作提出了更大的挑戰(zhàn)。因此，基于計(jì)算機(jī)技術(shù)制定有效防護(hù)措施是目前采油廠急需解決的問題。采油廠的網(wǎng)絡(luò)線路規(guī)模擴(kuò)增速度不斷提升，而且生產(chǎn)網(wǎng)、辦公網(wǎng)和變電所專網(wǎng)等網(wǎng)絡(luò)混合應(yīng)用，還有部分正處于建設(shè)中。建設(shè)完工后，光纜長度以及接入終端需求都會增加。因此，網(wǎng)絡(luò)安全和穩(wěn)定顯得尤為重要。

大慶油田第二采油廠將高危終端自動化隔離以及攻擊入侵的主動防御作為信息安全工作管理中的主要課題展開研究，在保證網(wǎng)絡(luò)安全的基礎(chǔ)上，深入研究采油廠主干網(wǎng)、工控機(jī)設(shè)備、物聯(lián)網(wǎng)傳感器以及應(yīng)用系統(tǒng)間聯(lián)通技術(shù)，進(jìn)一步加大采油廠網(wǎng)絡(luò)安全預(yù)防和保護(hù)力度。

3 計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理方案

3.1 制定安全管理方案

安全性檢測是連接企業(yè)網(wǎng)與計(jì)算機(jī)終端的前提和基礎(chǔ)，首先，要確定好具體的安全管理方案和措施，具體包括病毒檢測、軟件安裝檢查、因特網(wǎng)瀏覽器（Internet Explorer，IE）代理檢查、違規(guī)外聯(lián)檢查、Guest 用戶檢查、進(jìn)程以及弱口令檢查。

3.2 推送安全管理方案

采油廠推送安全管理方案采取統(tǒng)一模式，通過端點(diǎn)準(zhǔn)入控制系統(tǒng)向采油廠計(jì)算機(jī)終端推送安全管理方案。部署和推送的安全管理方案經(jīng)計(jì)算機(jī)檢測合格之后，才能將安全管理方案接入網(wǎng)絡(luò)，已經(jīng)入網(wǎng)的計(jì)算機(jī)如果出現(xiàn)違規(guī)操作，采油廠信息安全管理平臺會反饋違規(guī)信息，同時對計(jì)算機(jī)用戶進(jìn)行在線警示。

3.3 服務(wù)器接入方案

采油廠在本地服務(wù)器部署小部分應(yīng)用數(shù)據(jù)信息，其余大部分信息都部署在云數(shù)據(jù)中心服務(wù)器內(nèi)。本地服務(wù)器的缺陷主要在于操作系統(tǒng)兼容性較差，端點(diǎn)準(zhǔn)入客戶端以及終端安全客戶端都不能直接完成安裝，無法推送安全準(zhǔn)入方案。所以，首先要采取人工方式配置安全管理方案，設(shè)置防火墻隔離，阻止其與外部網(wǎng)絡(luò)通信，再完成本地服務(wù)器的入網(wǎng)操作。在采油廠內(nèi)部網(wǎng)絡(luò)中，通過漏洞掃描系統(tǒng)來完成掃描工作，如果發(fā)現(xiàn)存在中高危漏洞需要及時修復(fù)，經(jīng)掃描確認(rèn)通過以后，才能與外網(wǎng)進(jìn)行通信。系統(tǒng)管理員負(fù)責(zé)向云數(shù)據(jù)中心服務(wù)器申請資源，申請通過后數(shù)據(jù)中心管理員將資源傳輸給系統(tǒng)管理員，系統(tǒng)管理員完成安全配置工作。安全配置工作以《中國石油天然氣集團(tuán)公司服務(wù)器安全配置指南》為標(biāo)準(zhǔn)，保證安全配置符合標(biāo)準(zhǔn)后再部署相關(guān)應(yīng)用，然后掃描漏洞，完成掃描之后才可以應(yīng)用。此外，還要利用Windows update 補(bǔ)丁進(jìn)行不定時更新。

3.4 非計(jì)算機(jī)終端的安全接入方案

非計(jì)算機(jī)終端包括網(wǎng)絡(luò)攝像頭、打印機(jī)等，使用過程中應(yīng)將非計(jì)算機(jī)終端等級升級到最新版，升級完成以后設(shè)置防火墻隔離，阻止其與外網(wǎng)通信，在采油廠內(nèi)部網(wǎng)絡(luò)中掃描漏洞如果發(fā)現(xiàn)中高危漏洞需要及時修復(fù)，待掃描順利通過以后才能與外網(wǎng)進(jìn)行通信。

3.5 工控系統(tǒng)接入企業(yè)網(wǎng)方案

工業(yè)控制系統(tǒng)和采油廠內(nèi)部其他系統(tǒng)之間應(yīng)保持相互獨(dú)立，兩個獨(dú)立區(qū)域之間要通過技術(shù)方式實(shí)現(xiàn)隔離，不允許文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）、Telnet、E-Mail 等網(wǎng)絡(luò)服務(wù)穿越兩個區(qū)域邊界，以全面提升生產(chǎn)網(wǎng)和管理網(wǎng)信息傳遞的安全性。此外，還應(yīng)優(yōu)化技術(shù)隔離手段，利用工業(yè)網(wǎng)閘實(shí)現(xiàn)和企業(yè)間的信息傳遞，信息數(shù)據(jù)若符合控制網(wǎng)傳輸協(xié)議則可以反饋給控制網(wǎng)，除此之外，其他數(shù)據(jù)無法反饋到控制網(wǎng)。同時，過濾信息內(nèi)容和協(xié)議格式，對其進(jìn)行嚴(yán)格審查，保障生產(chǎn)網(wǎng)和管理網(wǎng)通信的安全性。

工控設(shè)備與網(wǎng)絡(luò)連通之后，廠級網(wǎng)絡(luò)服務(wù)器通過工業(yè)安全隔離網(wǎng)閘與生產(chǎn)管理層進(jìn)行數(shù)據(jù)同步。生產(chǎn)管理層的制造執(zhí)行系統(tǒng)（Manufacturing Execution Systems，MES）通過工業(yè)安全隔離網(wǎng)閘實(shí)現(xiàn)客戶端對應(yīng)用于過程控制的OLE（OLE for Process Control，OPC）服務(wù)器的訪問，并完成數(shù)據(jù)采集，使用OPC 應(yīng)用數(shù)據(jù)傳輸功能。管理協(xié)同層通用網(wǎng)閘可實(shí)現(xiàn)客戶端和服務(wù)器的數(shù)據(jù)同步功能。

4 計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理方案的實(shí)現(xiàn)

4.1 進(jìn)程檢查方案

進(jìn)程檢查方案部署在端點(diǎn)準(zhǔn)入控制系統(tǒng)終端，必須安裝桌面安全管理軟件，確保計(jì)算機(jī)新入網(wǎng)時能進(jìn)行安全進(jìn)程檢查，檢查通過以后才能入網(wǎng)，已經(jīng)入網(wǎng)的計(jì)算若進(jìn)程無效，則會有修復(fù)提醒。

4.2 弱口令檢查方案

弱口令檢查方案部署在端點(diǎn)準(zhǔn)入控制系統(tǒng)終端，根據(jù)集團(tuán)密碼復(fù)雜程度的要求來進(jìn)行檢測，密碼長度至少12 位，不能含有用戶名，不能含有用戶真實(shí)姓名中2 個以上連續(xù)字符，至少包括數(shù)字、英文大寫字母、英文小寫字母和特殊字符中的3類，無論是否入網(wǎng)，只要檢查未通過，都會將違規(guī)信息反饋給變冷媒流量多聯(lián)系（Variable Refrigerant Volume，VRV）管理平臺，用戶在下一次開機(jī)后必須進(jìn)行修改。

4.3 Guest 用戶檢查方案

Guest 用戶檢查方案部署在端點(diǎn)準(zhǔn)入控制系統(tǒng)終端，默認(rèn)狀態(tài)為禁用賬號，如果啟用就必須保證其符合集團(tuán)密碼設(shè)定要求，無論是否入網(wǎng)，只要沒有通過檢查，都會將違規(guī)信息反饋給信息安全管理平臺，用戶在下一次開機(jī)后必須進(jìn)行修改。

4.4 違規(guī)外聯(lián)檢查方案和IE 代理檢查方案

違規(guī)聯(lián)網(wǎng)監(jiān)督控制是利用探頭嗅探萬網(wǎng)地址實(shí)現(xiàn)的，周期為一分鐘，如果計(jì)算機(jī)終端存在違規(guī)外聯(lián)現(xiàn)象，就會將相應(yīng)信息反饋到信息安全管理平臺，計(jì)算機(jī)端則會有提醒非法網(wǎng)絡(luò)連接斷開的提醒。IE 代理檢查方案中只有集團(tuán)建立的互聯(lián)網(wǎng)代理地址為正規(guī)，其余地址均為違規(guī)代理，基于這種方式，反饋違規(guī)信息后，計(jì)算機(jī)終端會有網(wǎng)絡(luò)連接斷開提醒。

4.5 安裝軟件檢查方案

桌面安全管理系統(tǒng)設(shè)定為必須安裝的軟件，Virtual Network Console、Teamview 等設(shè)定為違規(guī)軟件，推送提醒并將違規(guī)信息反饋給信息安全管理平臺。

4.6 防病毒檢查方案

完成進(jìn)程檢查方案和安裝軟件檢查方案的推送之后，將殺毒軟件的狀態(tài)設(shè)定為有效，而且是一直有效。采油廠計(jì)算機(jī)數(shù)量較多，統(tǒng)一或是自動進(jìn)行病毒查殺和漏洞修復(fù)，服務(wù)器宕機(jī)發(fā)生率會很高，因此，通常會采取分段定期掃描和查殺病毒的方式。

5 結(jié)語

采油廠高度重視計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理，其信息安全管理水平的提高需要從管理力度和技術(shù)水平兩方面同時加強(qiáng)。制定有效的信息安全總體解決措施，保證其高效落實(shí)，建立信息安全防護(hù)系統(tǒng)，為信息網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、可靠性和安全性提供保障；制定信息安全應(yīng)急預(yù)案要從采油廠具體情況出發(fā)，及時、高效處理突發(fā)事件，保證采油廠信息系統(tǒng)正常運(yùn)行。