【摘" 要】 計算機網(wǎng)絡(luò)具有復(fù)雜性，面對新技術(shù)、新應(yīng)用快速發(fā)展的現(xiàn)實狀況，網(wǎng)絡(luò)安全問題的防范工作刻不容緩。海上平臺網(wǎng)絡(luò)安全建設(shè)仍有不完善的部分，因此需要加強對海上平臺網(wǎng)絡(luò)安全規(guī)劃設(shè)計研究，以有效提高海上業(yè)務(wù)安全保障的實際效果。本文將從當(dāng)前海上平臺網(wǎng)絡(luò)遇到的安全挑戰(zhàn)問題出發(fā)，展開細致討論，嘗試提出優(yōu)化海上平臺網(wǎng)絡(luò)安全規(guī)劃設(shè)計的具體路徑。

【關(guān)鍵詞】 海上平臺網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全規(guī)劃；規(guī)劃設(shè)計

一、海上平臺網(wǎng)絡(luò)安全規(guī)劃設(shè)計目標

（一）網(wǎng)絡(luò)基礎(chǔ)設(shè)施提升與優(yōu)化

關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施提升與優(yōu)化，可根據(jù)實際情況做好規(guī)劃設(shè)計工作，可采取以下措施來實現(xiàn)企業(yè)訪問內(nèi)網(wǎng)、互聯(lián)網(wǎng)的需求，提高辦公體驗和效率。

1. 建立統(tǒng)一的網(wǎng)絡(luò)管理平臺，對辦公網(wǎng)絡(luò)中的各個平臺進行統(tǒng)一管理，包括網(wǎng)絡(luò)設(shè)備的配置、監(jiān)控、維護等。同時，優(yōu)化網(wǎng)絡(luò)互通的能力，提升平臺間的網(wǎng)絡(luò)帶寬，支持數(shù)字化和智能化應(yīng)用的承載，確保辦公網(wǎng)絡(luò)的連續(xù)性。

2. 對無人井口工控網(wǎng)進行光纖/微波熱備切換，提高工控網(wǎng)的穩(wěn)定性和可靠性。同時，建設(shè)波分復(fù)用系統(tǒng)，提升無人平臺海纜業(yè)務(wù)的承載能力，確保平臺的業(yè)務(wù)連續(xù)性。

3. 采用船舶微波自動接入平臺網(wǎng)絡(luò)的方式，為拖輪等移動船舶提供網(wǎng)絡(luò)接入和視頻監(jiān)控畫面回傳。建設(shè)船用微波主站和守護船舶微波從站，實現(xiàn)船舶網(wǎng)絡(luò)覆蓋，從無到有。

4. 通過使用合適的視頻壓縮技術(shù)，降低視頻數(shù)據(jù)的帶寬資源占用率，提高視頻監(jiān)控的效率和性能。如使用先進的視頻編碼標準、優(yōu)化視頻傳輸協(xié)議等。

5. 對老舊的程控交換系統(tǒng)改造，確保平臺及終端程控系統(tǒng)穩(wěn)定運行。如升級硬件設(shè)備、更新軟件系統(tǒng)、優(yōu)化通信協(xié)議等，提供穩(wěn)定可靠的語音通訊業(yè)務(wù)。

通過以上措施的高效實施，可以實現(xiàn)對基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的改造和視頻會議系統(tǒng)、程控交換系統(tǒng)的國產(chǎn)化升級優(yōu)化，提高辦公體驗和效率，滿足企業(yè)訪問內(nèi)網(wǎng)、互聯(lián)網(wǎng)的需求。同時，還需加強項目規(guī)劃和管理，確保項目順利實施，從而實現(xiàn)預(yù)期管理目標。

（二）網(wǎng)絡(luò)安全提升與優(yōu)化

根據(jù)國家信息安全等級保護相關(guān)要求，及分區(qū)分域防護原則和層次化縱深防御思想，建設(shè)油田辦公網(wǎng)絡(luò)縱深防御體系，主要措施包括：

1. 劃分安全分區(qū)：根據(jù)油田辦公網(wǎng)絡(luò)的不同功能和安全需求，將網(wǎng)絡(luò)劃分為多個安全分區(qū)。如內(nèi)部辦公區(qū)、生產(chǎn)區(qū)、供應(yīng)商區(qū)等，每個安全分區(qū)有明確的訪問控制策略和權(quán)限管理機制。

2. 實施網(wǎng)絡(luò)隔離：在安全分區(qū)之間設(shè)置防火墻或安全設(shè)備，實現(xiàn)網(wǎng)絡(luò)隔離，阻止不同分區(qū)之間的直接通信，增加攻擊者的跨區(qū)域滲透難度。

3. 強化訪問控制：在每個安全分區(qū)內(nèi)部設(shè)置訪問控制機制，包括網(wǎng)絡(luò)訪問控制列表（ACL）、用戶身份驗證和授權(quán)、應(yīng)用程序訪問控制等，確保只有經(jīng)過授權(quán)的用戶和設(shè)備能夠訪問相應(yīng)資源。

4. 加強邊界防護：在辦公網(wǎng)絡(luò)的入口處設(shè)置防火墻、入侵檢測和防御系統(tǒng)（IDS/IPS）、反病毒、惡意軟件防護等設(shè)備，對外部攻擊進行檢測、阻斷、響應(yīng)。

5. 強化內(nèi)部安全：在每個安全分區(qū)內(nèi)部采取內(nèi)部安全措施，包括網(wǎng)絡(luò)流量監(jiān)測和分析、異常行為檢測、安全事件響應(yīng)等，及時發(fā)現(xiàn)和應(yīng)對內(nèi)部安全威脅。

6. 加強數(shù)據(jù)保護：采用數(shù)據(jù)加密、備份、恢復(fù)策略，保護重要數(shù)據(jù)的機密性、完整性、可用性，防止數(shù)據(jù)泄露、損壞或丟失。

7. 定期安全評估和演練：定期對油田辦公網(wǎng)絡(luò)的安全性進行評估和測試，發(fā)現(xiàn)和修復(fù)潛在的安全漏洞，并開展安全演練和培訓(xùn)活動，增強員工的安全意識和應(yīng)急響應(yīng)能力。

通過以上措施，油田辦公網(wǎng)絡(luò)可以建立起一套縱深防御的體系，提高對外部和內(nèi)部安全威脅的防護能力，保障辦公網(wǎng)絡(luò)的安全性和穩(wěn)定運行。同時，還需根據(jù)實際情況和最新的安全技術(shù)發(fā)展，不斷優(yōu)化和升級防御措施，應(yīng)對不斷變化的安全威脅。

（三）通信建設(shè)

加密機的部署可以提高油田辦公網(wǎng)的網(wǎng)絡(luò)安全性，加密機符合國密局的技術(shù)規(guī)范，支持多種國內(nèi)自主研制的硬件密碼算法，采用硬件密碼模塊進行密碼算法運算，可以保證數(shù)據(jù)傳輸?shù)陌踩?。此外，《IPSec VPN技術(shù)規(guī)范》為用戶的數(shù)據(jù)提供了最大限度的安全保護，防止身份偽造、數(shù)據(jù)篡改、中間人攻擊等安全威脅。同時，采用國家的商用密碼算法增強系統(tǒng)安全性。其中，《IPSec VPN技術(shù)規(guī)范》的修正主要包括以下幾個方面：

1. 使用數(shù)字信封認證方式：替代了預(yù)共享密鑰和簽名的認證方式。數(shù)字信封認證方式使用了公鑰加密算法，確保通信雙方身份認證和數(shù)據(jù)的完整性。

2. 棄用DH密鑰交換方式：采用公鑰加密的方式來進行密鑰交換，避免中間人攻擊的可能。公鑰加密算法使用了非對稱加密技術(shù)，確保密鑰的安全性。

3. 使用國家的商用密碼算法：替代公開的標準算法。國家的商用密碼算法經(jīng)過嚴格的安全審查和認證，提供了更高的安全性保護。

二、當(dāng)前海上平臺網(wǎng)絡(luò)面臨的安全挑戰(zhàn)

（一）信息安全建設(shè)不到位

凈化和保護海上平臺網(wǎng)絡(luò)環(huán)境安全，必須要做好網(wǎng)絡(luò)信息安全建設(shè)工作。信息化與網(wǎng)絡(luò)安全之間關(guān)系密切，在相互制約的同時，也為彼此的發(fā)展做出推動。因此，有關(guān)人員應(yīng)提升海上平臺信息網(wǎng)絡(luò)安全的重視程度，從戰(zhàn)略方面加強海上信息化建設(shè)。但從當(dāng)前海上平臺網(wǎng)絡(luò)建設(shè)的情況來看，信息安全同步建設(shè)不到位，安全防護和監(jiān)管存在許多漏洞。

（二）頂層規(guī)劃設(shè)計不夠全面

海上平臺數(shù)字化轉(zhuǎn)型的過程中，因資金、管理、網(wǎng)絡(luò)規(guī)模等多方面因素的影響，目前海上平臺網(wǎng)絡(luò)存在內(nèi)外網(wǎng)邊界不清、業(yè)務(wù)流量混跑等一系列問題，可以發(fā)現(xiàn)海上平臺網(wǎng)絡(luò)頂層規(guī)劃設(shè)計不夠科學(xué)和全面，目前在海上平臺網(wǎng)絡(luò)安全規(guī)劃設(shè)計前瞻性不足，缺乏可持續(xù)性。

（三）網(wǎng)絡(luò)攻擊安全威脅嚴峻

云計算、大數(shù)據(jù)等相關(guān)技術(shù)的發(fā)展，帶來有利一面的同時，也為網(wǎng)絡(luò)攻擊手段的更新和升級提供了便利。網(wǎng)絡(luò)攻擊事件頻發(fā)，海上安全網(wǎng)絡(luò)面對的安全威脅類型更加多樣，也更為嚴峻。只有盡快做好安全建設(shè)，才能夠更好地規(guī)避潛在風(fēng)險，抵御網(wǎng)絡(luò)安全威脅。

三、優(yōu)化和提升海上平臺網(wǎng)絡(luò)安全的具體規(guī)劃設(shè)計

（一）通信傳輸方面

大數(shù)據(jù)技術(shù)代表的信息時代的快速發(fā)展，推動了數(shù)據(jù)類型和數(shù)據(jù)量的發(fā)展，數(shù)據(jù)信息成為當(dāng)今時代至關(guān)重要的發(fā)展要素。海上平臺網(wǎng)絡(luò)主要是通過衛(wèi)星、微波等方式實現(xiàn)向陸地的信號傳輸。衛(wèi)星鏈路的傳輸距離較遠，能夠?qū)?shù)據(jù)信息傳遞到核心機房中，鏈路兩端是內(nèi)網(wǎng)，默認衛(wèi)星鏈路的安全性。相比之下，微波的傳輸距離更短。還有一種傳輸方式是利用海底光纜將信息傳回陸地。但海底光纜鋪設(shè)的成本更高、范圍有限，仍然需要租用運營商鏈路，才能夠傳遞回核心機房，因此需要考慮運營商鏈路段數(shù)據(jù)信息傳輸?shù)陌踩?。想要對海上平臺傳輸網(wǎng)絡(luò)中敏感數(shù)據(jù)、重要數(shù)據(jù)做好安全保障，避免出現(xiàn)竊取數(shù)據(jù)、篡改數(shù)據(jù)的行為，就必須要做好數(shù)據(jù)加密工作。租用運營上鏈路存在潛在數(shù)據(jù)隱患，為了更好地保證傳輸數(shù)據(jù)的安全、完整和真實，應(yīng)當(dāng)對租用的運營商鏈路應(yīng)用試用虛擬網(wǎng)技術(shù)，提升通信網(wǎng)絡(luò)傳輸?shù)陌踩?。虛擬網(wǎng)技術(shù)一項專用網(wǎng)絡(luò)技術(shù)，該網(wǎng)絡(luò)技術(shù)利用防火墻、VPN建立起一個安全隧道，實現(xiàn)信息的安全互通和傳輸。通過對安全隧道的加密認證，能夠大幅提升隧道傳輸數(shù)據(jù)的機密性。

（二）平臺端方面

海上平臺內(nèi)部安全問題時有發(fā)生，如信息系統(tǒng)安全加固不夠徹底、難以準確定位問題終端、網(wǎng)絡(luò)設(shè)備遭到了非法入侵等等。這些內(nèi)容均成為目前海上網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵點。加強平臺端網(wǎng)絡(luò)安全建設(shè)，需要首先做好信息系統(tǒng)安全建設(shè)工作。信息系統(tǒng)中包含很多生產(chǎn)數(shù)據(jù)信息，因此做好信息系統(tǒng)安全建設(shè)工作至關(guān)重要。安全資源池是在虛擬化技術(shù)的基礎(chǔ)之上建立起來的，通過對入侵防護、內(nèi)容過濾、防火墻等一系列安全能力池化，能有效擴展安全資源池組件，實現(xiàn)其安全能力的有效提升，為用戶提供更具有針對性和彈性的安全服務(wù)。其次，還要做好辦公終端安全建設(shè)工作。在日常網(wǎng)絡(luò)運營的全過程中，需要對平臺端做好相應(yīng)的安全防護，對上網(wǎng)人員進行統(tǒng)一安全管理，完善審計和追溯工作。平臺內(nèi)部的各個電腦終端均要布置好防病毒系統(tǒng)，加強終端管理，對所有接入端實施防病毒安全管理，還要設(shè)置上網(wǎng)行為管理系統(tǒng)，對每一個用戶的安全行為和事件進行全面細致的審計。當(dāng)發(fā)現(xiàn)存在問題時，第一時間展開定位追蹤，及時斷開終端網(wǎng)絡(luò)，以免引發(fā)更大范圍、更嚴重的安全事件。最后，還要做好網(wǎng)絡(luò)設(shè)備安全管理工作。

（三）網(wǎng)絡(luò)架構(gòu)方面

所謂網(wǎng)絡(luò)架構(gòu)，指的是為了實現(xiàn)業(yè)務(wù)方面的各種需要，對各種軟硬件設(shè)施以及互聯(lián)設(shè)備等進行聯(lián)結(jié)，構(gòu)建起完整的網(wǎng)絡(luò)結(jié)構(gòu)，更高效地實現(xiàn)信息數(shù)據(jù)的傳輸。業(yè)務(wù)運行中，網(wǎng)絡(luò)架構(gòu)的作用十分關(guān)鍵，因此必須要保證網(wǎng)絡(luò)架構(gòu)安全，在此基礎(chǔ)上設(shè)置相應(yīng)的安全技術(shù)措施，才能夠有效提升通信網(wǎng)絡(luò)安全保護的效果。因各種歷史原因的影響，海上平臺網(wǎng)絡(luò)的組網(wǎng)方式缺乏統(tǒng)一性，在網(wǎng)絡(luò)層次、邊界控制方面存在不清晰的部分，很多業(yè)務(wù)中斷采用就近接入方式，未能對業(yè)務(wù)類型、重要性進行分析，未能展開科學(xué)劃分和隔離，這也就造成一個網(wǎng)絡(luò)區(qū)域內(nèi)可能存在生產(chǎn)、辦公等各種流量。對此，必須嚴格按照海上網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的安全需要、業(yè)務(wù)特點等相關(guān)因素，做好對海上平臺網(wǎng)絡(luò)的區(qū)域劃分，提升其防御局部威脅的能力，也避免造成整網(wǎng)崩潰。應(yīng)結(jié)合海上平臺網(wǎng)絡(luò)的實際情況，堅持按照不同類型特點，按照不同安全等級分區(qū)隔離的方式，對海上網(wǎng)絡(luò)結(jié)構(gòu)進行重新梳理和劃分，加以改造，構(gòu)建起不同級別的安全區(qū)域?？梢詫⒑Ｉ掀脚_網(wǎng)絡(luò)劃分為三個區(qū)域，分別是辦公網(wǎng)、生產(chǎn)網(wǎng)、工控網(wǎng)，辦公網(wǎng)主要業(yè)務(wù)是對日常辦公內(nèi)網(wǎng)數(shù)據(jù)進行傳輸，安全級別最低；生產(chǎn)網(wǎng)主要業(yè)務(wù)是對非控制類工控數(shù)據(jù)加以傳輸，安全級別較高；工控網(wǎng)對各類控制信號進行傳輸，安全級別最高。

（四）區(qū)域邊界安全建設(shè)方面

網(wǎng)絡(luò)資源共享的同時，也留下了潛在的隱患和風(fēng)險。海上平臺網(wǎng)絡(luò)系統(tǒng)根據(jù)業(yè)務(wù)特點、安全級別劃分成不同的區(qū)域之后，相應(yīng)地還要進一步建設(shè)起分等級的保護對象，確定網(wǎng)絡(luò)區(qū)域邊界，通過對區(qū)域邊界進行安全建設(shè)和有效規(guī)劃，進一步提升海上平臺網(wǎng)絡(luò)的安全性，以免發(fā)展出新的網(wǎng)絡(luò)攻擊對象。相關(guān)人員應(yīng)結(jié)合各安全區(qū)域間實際的互訪需求，合理確定邊界，并制訂相適應(yīng)的便捷安全防范措施，對內(nèi)部網(wǎng)絡(luò)加以高效的安全保護?？梢詫Ω鱾€安全區(qū)域海陸鏈路間邊界設(shè)置防火墻，采用全新軟硬件架構(gòu)，全面支持IPv6+和下一代互聯(lián)網(wǎng)的自主IP網(wǎng)絡(luò)創(chuàng)新體系。支持基于硬件的NP加速引擎，IPv4/IPv6轉(zhuǎn)發(fā)性能大幅提升。防火墻支持IPSec VPN功能，支持SM2/3/4國密算法，更安全。在此基礎(chǔ)上，為海上平臺網(wǎng)絡(luò)進出數(shù)據(jù)的安全性、穩(wěn)定性提供可靠依據(jù)，并設(shè)置針對性的安全保障策略，還可以與陸地上的態(tài)勢感知系統(tǒng)連接起來，實現(xiàn)安全聯(lián)動，打造更為全面高效的防御體系機制。盡管各個安全區(qū)域間存在隔離，但是還要考慮到區(qū)域間數(shù)據(jù)交換、信息資源共享的實際需要，在邊界處設(shè)置相應(yīng)的網(wǎng)閘，滿足數(shù)據(jù)交互的現(xiàn)實需求。

比如計算環(huán)境安全建設(shè)?？紤]每個中心平臺用于存放油田日常辦公需要的文件的終端基本上都不具備有效的數(shù)據(jù)備份和恢復(fù)能力，一旦出現(xiàn)硬件損壞或者發(fā)生勒索病毒事件，將造成文件數(shù)據(jù)丟失，對海上油田日常辦公及生產(chǎn)活動造成較大影響。對此問題的處理，建議做好計算環(huán)境安全建設(shè)及管理工作，采用備份一體機，該機是一種集成了備份軟件和存儲設(shè)備的設(shè)備，用于定期備份重要數(shù)據(jù)并存儲備份數(shù)據(jù)。同時，備份一體機的使用還具備數(shù)據(jù)備份和恢復(fù)功能，確保海上油田日常辦公及生產(chǎn)活動的數(shù)據(jù)安全，在備份一體機的作用下能自動備份、增量備份、容災(zāi)恢復(fù)、加密和壓縮、定期檢查和驗證等，通過部署備份一體機，可以在出現(xiàn)硬件損壞、勒索病毒攻擊或人為誤刪除等情況下及時恢復(fù)數(shù)據(jù)，最大程度地減少數(shù)據(jù)丟失和對日常辦公及生產(chǎn)活動的影響。

四、結(jié)束語

新技術(shù)水平的提高以及各類新技術(shù)的應(yīng)用范圍更加廣泛，使信息安全威脅也在不斷升級和更新，給海上平臺信息網(wǎng)絡(luò)安全埋下了各種各樣的隱患。相關(guān)人員要結(jié)合實際需要，優(yōu)化海上平臺網(wǎng)絡(luò)系統(tǒng)安全設(shè)計和規(guī)劃工作，建設(shè)更為完善、全面的安全防護體系，提升防護體系抵御安全隱患的能力和水平，更高效、精準地抵御和防范網(wǎng)絡(luò)攻擊，最大限度地減少安全事故、安全問題發(fā)生的可能性。

參考文獻：

［1］ 沈文建，孫源，李暢，等. 智能視頻監(jiān)控技術(shù)在海上平臺安全生產(chǎn)領(lǐng)域的應(yīng)用研究與思考［J］. 信息系統(tǒng)工程，2022（08）：73-76.

［2］ 劉紅霞. 深海海洋平臺控制系統(tǒng)智能化研究［J］. 海洋工程裝備與技術(shù)，2019，6（S1）：404-408.

［3］ 林忍. 海油海上平臺提升網(wǎng)絡(luò)性能與安全分析［J］. 化工設(shè)計通訊，2018，44（07）：30.