浅析数字油田网络安全管理

浅析数字油田网络安全管理

李伟

44080419880519xxxx

摘要：随着油田建设中网络的普及，网络安全成为一个潜在的大问题。主要通过对内网、外网和现在新兴的无线网络的安全隐患介绍，来探讨如何解决应对这些安全难题。根据油田实际情况制定网络安全对策来保证内部数据、人员信息、商业机密等数据的完整和安全。

关键词：数字化；油田；网络安全

引用

随着国家信息化建设的快速发展，信息网络安全问题日益突出，信息网络安全面临严峻考验。当前互联网络结构无序、网络行为不规范、通信路径不确定、IP地址结构无序、难以实现服务质量保证、网络安全难以保证。长庆油田网络同样存在以上问题，可靠性与安全性是长庆油田网络建设目标

一、网络现状

在油田信息化、数字化建设进程中，逐步完善了从井站、作业区、厂部到公司以及业务单位的网络覆盖，在此基础上应用RTX、布谷鸟、电子邮箱、QQ、视频会议、信息网站、冠林系统、A2系统、ERP系统、SAP系统、数字化生产指挥系统等，实现了办公同步、资源共享、信息录入访问及逻辑处理、生产远程监控、数据智能分析等功能，构成了庞大的数字化信息系统，极大的提高了生产、办公效率。但相应的，现代油田生产办公对网络、计算机的依赖也越来越高，如果出现网络安全问题，就有可能造成重大损失或灾难性的影响。

二、网络存在的安全隐患

按照中国石油统一规划，油田网络，对内与中国石油各级内部网络互联，对外，通过西安网络核心接入电信网，那么盘古梁油田的网络安全问题从结构上，可以从内网安全、外网安全来进行具体分析。

2.1内网的潜在危险

油田内网是整个数字化信息系统中最重要的基础组成部分，内网的高效运行首先要求网络系统架构（硬件）的合理稳定。包括网络三层结构（核心层、汇聚层、接入层）的油气区地理部署，各层级组网拓扑结构设计，交换及路由设备规划，网络带宽划分，系统承载能力设置，连接线路（光缆、无线网桥等）选择，计算机（服务器、客户端）配备等，只有有了合理的架构才能讨论解决相关的网络安全问题。

2.1.1油田局域网的开放性降低安全性

利用局域网的资源开放性，应用web服务器、FTP、映射等实现了油田内部资源高度共享，但同时也为数据丢失、篡改以及病毒的传播留下了安全隐患。

2.1.2无线技术的易侵入性

在油田数字化建设过程中，由于基层井站距离、地貌等问题，通过光缆连接网络不易实现，无线技术由于其终端可移动性、覆盖范围广、低成本、易施工等优点得到大量应用，但是在接入点AP范围内，使用加密破解程序或MAC地址欺骗等手段，任何一台无线设备都有可能接入该网络，占用网络带宽资源，对保存在网络终端电脑里的油水井生产数据等重要资料进行窃取，损害企业利益。

2.1.3使用人员操作不当

部分员工缺乏安全防范意识，未经杀毒处理就直接将U盘、储存卡、光盘等存储介质以及存在安全隐患的个人电脑、手机等终端接入内网，导致病毒、木马程序的快速传播，感染其他计算机，造成网络过载、数据破坏。

2.1.4运维人员监控难度大、手段不足

油区的范围广人员多，数字化的大规模建设和应用，使情况越发复杂，而且无法保证没有来自内部的攻击，内部人员对情况相对了解，破坏力更大；同时由于运维人员（网络管理员、数字化运维人员）技术手段的不足，寻找问题源点迟缓，常常不能及时处理修复。

2.2外网的威胁

2.2.1软件的漏洞攻击

软件分为系统软件和应用软件两大类，系统软件负责管理计算机系统中各种独立的硬件，使得它们可以协调工作，主要包括操作系统、程序设计语言（c语言）、解释和编译系统、数据库管理程序（ORACLE、MySQL、ACCESS、MSSQL）等；应用软件是指用户利用计算机及其提供的系统软件为解决各种实际问题而编制的电脑程序，常见的有OFFICE软件、Photoshop、建站代码、杀毒程序等。这些软件都不可能做到完美，通常或是故意存在一些漏洞（尤其是盗版软件），其存在的漏洞和缺陷传统安全工具难以防御，容易受到别有用心者的专门攻击，导致某个程序或者整个网络瘫痪，数据损坏和丢失。

2.2.2网络病毒破坏

网络病毒是一组能在计算机系统中通过自我复制进行快速传播的计算机指令或者程序代码，在侵入电脑后影响计算机功能或篡改破坏数据，危害性极大。目前，油田内网用户通过代理设置接入因特网，与外部网络交互，代理服务器的访问屏蔽功能和与之相连的入侵保护防火墙实现了一定的过滤清洗防护作用，但相对于外部泛滥的病毒问题，一次不经意的鼠标点击就有可能感染病毒从而危害到整个内网的安全，如盘古梁油田内部常见的有Arp病毒、首页劫持、AV终结者、宏病毒等。

2.2.3黑客入侵

在油田网络的运行中也有黑客的入侵（盘古梁油田较少见），黑客对数据库系统、客户端电脑等的入侵主要有前期的ping扫描、端口扫描、sniffer，以及后门程序（植入木马）、信息炸弹、拒绝服务（DOoS））、IP欺骗、UDP攻击等，导致计算机、网络过载或账号密码、机密资料丢失。

三、网络安全管理措施

解决以上网络安全问题，主要从用户、制度、技术三个方面进行管理防护。

3.1强化网络用户安全意识和防范能力

基层员工是网络最基础也是最主要的接触者，运维人员只有做好员工的培训管理，提高安全素质，普及安全知识、小窍门，如及时安装更新杀毒软件，定期对计算机进行木马病毒扫描，使用安全软件扫描修复系统、软件漏洞；用户登陆密码设置尽可能复杂，采用数字、字母、符号相互交互组合的方式，取消各系统密码保存选项；ftp、共享文件夹等资源共享方式，需对允许用户的权限进行设置，只有指定账号、特定机器才能访问，对重要文件及文件夹取消删除、修改权限并做好数据备份；谨慎登陆不明网址，谨慎打开QQ、电子邮件中出现的不明链接、应用程序等，从而从根本上消减问题。3.2完善网络安全管理制度对无线、有线连接的电脑及设备进行备案，明文指定IP地址，进行MAC绑定认证，严禁使用人更改分配的固定IP地址；在设备硬件管理上执行严格的安全规章制度，如不得私自拆卸安装硬盘、更换网卡等配件，不许随意在原有线路上添加更换交换机、路由设备，不得将私人储存设备与办公电脑及服务器连接，禁止无关人员进入机房等。要提高保密意识、完善相关规章制度才能最大限度的提升安全及保密效果。

3.3应用技术强化网络安全建设

3.3.1业务系统网站访问限制，严格认证

控制内网用户访问网上办公系统、信息网站涉密内容、ftp-server涉密资料等众多网络资源的权限，加强内部认证工作。由各级单位对访问系统用户信息进行上报，经相关部门、系统管理员层层核实认证后，得到仅属于访问用户的唯一帐户、密码授权，由管理员按照工作级别和工作性质设定不同分组和权限，并对操作进行全程的监督。如ERP系统、SAP系统等的以usbkey用户工具为核心的中国石油集中身份管理与统一认证服务平台，公文、合同系统的中油邮箱绑定认证，盘古梁公事审批系统的层级审批权限划分，盘古网以IP认证的版块权限分配等。

3.3.2应用完善的数据备份措施

网络安全管理就是要保障数据、数据库的完整和网络的稳定运行。数据及数据库时时刻刻都在进行变动，在数据的上传下载、数据修改和网络交换过程中都可能造成丢失、破坏。我们要做的就是要尽量避免出现此类情况，或是在最快时间内恢复，使数据的丢失最少。但是，最妥善的方法是做好数据备份，当面对系统硬件故障、人为操作失误或是黑客的攻击时，依然能切实保证数据的完整性。比如，对盘古梁油田web服务器、ftp服务器等应用磁盘阵列RAID1或RAID5技术，通过磁盘数据镜像或奇偶校验，提高数据安全性和服务器的可用性，同时应用Filegee、DiskWin等专业软件将数据实时备份至数据储存服务器。

3.3.3建立统一的防毒体系

在油区建立统一防病毒网，机房服务器系统安装控制中心（服务器端），用户安装杀软客户端，实现远程控制管理、共同升级、远程统一报警、分开杀毒、详细记录病毒攻击及查杀情况等多种功能。在运行中，网络病毒库更新后，服务器自动检索服务商站点进行下载，之后将更新包共享至用户电脑，保证了内网病毒库的及时更新，尤其可将数字化生产指挥系统无外网终端纳入了防毒体系，消减隐患。而且通过管理员控制台，管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理，清楚的掌握全网的安全状况，提升处理效率，有效保障网络系统安全。目前，盘古梁油田采用金山毒霸企业版2012部署运行。

结束语

油田的信息化、数字化是不可阻挡的趋势，而面对随之而来的网络安全隐患，我们必须切实增强涉密人员的安全防范意识，提升运维人员水平，强化网络监管力度，实践应用好新技术，如网络加密、数字签名、防火墙、vpn、数据库加密等，保证油田生产的安全平稳进行。

参考文献：

[1]李宇宁.大庆数字油田网络安全化分析.2017

[2]郑爱萍.关于局域网安全管理问题的分析和探讨.2016

[3]黄辉.网络安全支撑油田数字化.2017