浅析油田企业网络信息安全及其防护对策

浅析油田企业网络信息安全及其防护对策

田源

（ 长庆油田分公司第二输油处 甘肃省庆阳市 745000 ）

摘 要: 随着我国信息产业的不断发展，以及油田企业数字化建设的迅速发展，做好网络运维和安全管理工作已上升到促进油田生产建设的战略性地位。为了更好的提升油田企业网络信息的安全性，使计算机网络更好的服务于企业发展，本文首先探讨了当前油田企业网络安全的主要风险，其次分别从技术层面和管理层面两方面，提出几点强化油田企业网络信息安全防护的对策。

关键词: 油田企业；网络安全；信息安全；防护对策

引言

在网络化信息化快速发展的今天，企业生产运行、办公管理也越来越依赖网络，网络风险变得更加严重和复杂。我国近年来相继制定了一系列信息安全管理的法规制度，包括《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机病毒防治管理办法》、《信息安全等记保护管理办法》等，并将计算机犯罪纳入刑事立法体系。

随着油田企业数字化建设的迅速发展，网络安全问题已成为油田企业必须面对的现实问题。由于油田企业的网络大多具有数量大、分布广、节点多的特点，因此它对网络的安全性、稳定性以及可延伸性提出了更高的要求。

1 当前油田企业网络中存在的主要安全风险分析

1.1 物理硬件的安全风险

计算机信息系统，简单地说，就是一个智能的机器，在运行以及操作过程中，它会受到各种各样的外界环境影响，比如温度、湿度、振动、断电以及雷击等，这些问题的存在，很大程度上影响了系统的正常运行。目前，很多的油田企业都没有做好网络设备及机房相应的防振、防潮、防火、防雷、防高温、防断电等措施，这使得网络设备及机房抵御外界事故的能力变得很差。

系统设备物理安全是整个网络系统安全的前提。在机房内安装UPS电源、空调、温湿度计、感温感烟火灾报警等硬件设施，且制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，可降低此类风险的发生。

1.2 软件系统的安全风险

在油田企业正常生产运行过程中，需应用各种应用软件及操作系统。各类软件和操作系统都是人为编写和调试的，其自身的设计和结构都有存在漏洞和缺陷的可能，可以这样讲：没有完全安全的操作系统和应用软件。若软件漏洞被计算机病毒和恶意程序所利用，这就使计算机处于非常危险的境地，一旦接入互联网，危险就悄然而至。

网络安全管理员要不断跟踪有关操作系统及应用软件漏洞的发布，及时下载补丁来进行防范，提高系统的安全性。除服务器、工作站等需要操作系统升级外，各种网络设备，也均需及时升级并打上最新的系统补丁，严防网络恶意工具和黑客利用漏洞进行入侵。

1.3 服务器数据的安全风险

油田企业的服务器是作为生产工控、通信联络、数据存储、信息发布等功能的重要职能平台。每天，黑客都在试图闯入Internet节点，这些节点如果不保持警惕，可能悄无声息中就被网络入侵，造成网络崩溃、联络中断、设备异常、信息泄密、数据损毁、生产瘫痪等严重后果。

将内部网络与外部网络隔离，避免网络结构信息外泄；同时对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝，这样可以大大提高服务器的运行安全。

1.4 计算机病毒和恶意程序的安全风险

在目前网络普遍应用和高速发展的时代，病毒传播的主要途径是网络。油田企业的内部网络很容易被蠕虫、病毒侵入，其特点是范围广、变化快、种类多、传播速度快、破坏性大。计算机病毒和恶意程序主要是通过复制、传送数据包以及运行程序等操作进行传播。它的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。

在网络安全领域，病毒问题一直难以从根本上解决，原因总结为两点：其一，杀毒软件总是在病毒出现后给用户或是企业造成巨大损失后才进行更新，滞后性和被动型不言而喻；其二，用户的安全防范意识不高，对病毒的了解不够，不主动安装杀毒软件，或是不及时升级杀毒软件，给传播病毒提供了机会，严重地威胁网络安全。

1.5 网络入侵的安全风险

网络入侵是指网络攻击者在非授权的情况下获得非法的权限，并通过这些非法的权限对用户进行非法的操作，获得网络资源或是文件访问，入侵企业内部网络，极大地危害计算机网络和信息安全，给社会带来巨大财产或是信息损失。

网络入侵分为网络攻击和网络侦查两种。网络攻击以各种方式入侵工作计算机或企业服务器等网络设备，有选择性的破坏对方信息的有效性和完整性，常见的攻击手段分为非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒等；网络侦查是在不影响网络正常工作的情况下，以截取、窃取、破译等方式获得重要的机密信息。这两种网络入侵均可对网络造成极大的危害，导致机密数据的泄漏。

1.6 网络管理的安全风险

　　据有关分析报告指出，在企业的整个网络安全工作中，管理要素所占分量高达60%，实体安全要素占20%，法律和技术要素各占10%。安全管理不完善是网络安全的重要隐患，多数企业对网络安全往往只注重对外部入侵者的防范，而对内部管理重视不足。

责任不明，管理混乱，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。制定相应的制度限制非管理员的人员进入机房重地，并约束员工泄漏重要信息，当网络出现攻击行为或网络受到其它一些安全威胁时，及时进行实时的监测、监控、报告与预警。

2 技术层面分析实施安全防护对策

　　　为了使油田企业网络信息保持安全状态，企业网络的安全防护措施必须与其具体需求相结合，整合各种安全方案，创立一个多层次、完整的企业网络防护体系。在油田企业网络中，主要有以下几种安全防护对策：

2.1 内外网的隔离及访问控制

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种获取安全性方法的形象说法，采用计算机硬件和软件的结合，使外网与内网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

设置防火墙实现内外网的隔离和访问控制，是保护内网安全的最主要，同时也是最有效的措施之一。防火墙安全策略在很大程度上就是执行严格的访问控制策略。在防火墙设置访问控制列表时，根据油田企业自身情况，明确对内对外的服务需求，根据这些需求来开放相应的服务和端口，其余的端口关闭，有利于防止外部网络用户通过非法手段进入内部网络，最终保护内部网络操作环境的安全，增强信息访问的安全性。

2.2 办公网、工控网及视频监控网分离

目前油田企业的数据一般分为两大块：工控数据和办公数据。两块数据如果在同一个网络平台上运行，不仅会影响网络带宽，而且对网络安全性也留有一定的隐患。如果办公网络遭到网络入侵或计算机病毒感染，势必会影响工控网络的运行安全。另外，随着工业电视监控点数的增加，它对网络带宽以及稳定性的要求也就越来越高。

因此，在SDH、工业交换机空余端口上划分不同的VLAN（虚拟局域网），配置独立的VLAN号，划分独立带宽，开通独立的办公、工控、视频传输电路，规划办公、工控、视频监控系统专网IP地址，配置独立的IP地址段，实现办公网络、工控网络和视频监控网络隔离，提高网络运行安全。

2.3 划分子网、绑定IP及MAC地址

对油田企业办公网IP地址进行子网划分，将原网络分割成多个小的物理网段，防止影响一个网段的问题穿过整个网络传播。内部子网之间的访问控制，可以通过在三层交换机上设置访问控制列表来实现，从而起到降低流量、隐藏网络、物理隔离、访问控制，提高网络安全性能的作用。

对油田企业各单位计算机全部实施IP地址与MAC地址绑定，并进行实名登记，合理分配各单位网络带宽。通过办公网络结构优化，使办公网络资源得到了充分利用，速度全面提升，避免IP地址冲突和外部人员盗用IP实施网络入侵，办公网实现整体远程管理，性能得到大幅提升。

2.4 桌面安全管理

堡垒往往总是从内部攻破的，对油田企业内部单机的保护是一件非常重要而且最基本的安全工作。通过使用终端安全工具和防病毒软件，油田企业不仅能有效地实现桌面计算机与使用人的身份鉴别、桌面计算机的安全合理性鉴别、移动存储介质的统一加密管理、文件加密授权管理、桌面终端标准化应用、防止病毒侵袭等功能，还可帮助安全管理员全面审计内网计算机终端的安全状况，提供全面而有效的信息安全监控技术手段，快速定位安全风险隐患，提高安全配置管理效率，从而提高油田企业桌面计算机的信息安全管理水平。实现了从网络中心到底层用户的层层监管、层层防御，全面净化上网环境，使网络运行的安全性、稳定性得到全面提高。

2.5 代理服务器

　　为保证内网的数据安全，除了在各个对外接口均安装防火墙外，对内网的计算机要求使用代理服务方式上网。严禁私自搭建代理服务器。同时严格限制办公网计算机（台式机、笔记本电脑）仅允许在办公网使用，不允许在家庭互联网及其它任何互联网使用。

2.7 定期扫描网络、升级系统

为保障信息系统和工控系统安全运行，需定期利用专业的漏扫工具对油田企业的服务器、计算机、交换机、办公电脑等基础设施的安全配置进行了检查扫描，对发现的高危风险开展人工修复，并搭建漏洞补丁服务器，持续不断的提供漏洞修复和病毒查杀工作。同时定期对机房环境安全、存在隐患情况进行细致摸排，有效的降低遭受网络入侵的风险，建立漏洞扫描长效机制，提升网络信息安全防控水平。

3 管理层面分析实施安全防护对策

建立严密完整的网络安全管理体制，不但可以最大限度的在确保信息安全的前提下实现信息资源共享，而且可以弥补技术性安全隐患的部分弱点。管理体系的建立和实施能为网络的管理和长期监控提供有理可依的指导性理论。

3.1 树立员工网络安全意识

　　网络安全工作要想做好，树立企业工作人员的信息安全意识是首要任务，只有员工切身真正认识到信息安全对企业发展和前进的重要性，才能切实在实际工作中重视起来。油田企业要加强做好员工的信息安全知识培训、经验分享活动，采用多种形式来增强员工的网络安全意识，促使员工养成健康的使用计算机的习惯。

3.2 合理安排网络信息安全岗位职责

在油田企业大中型局域网中，网络管理人员不但需要保证重要服务器、存储设备、门户网站等的网络畅通，而且还需要担负IP地址规划、员工及其网络故障处理、网络系统升级改造、设备维护管理、机房环境管理等诸多事项，所以一般无法做到单人单岗，人员的职责划分难免出现重叠区域。对于这种情况，应该按照重要程度对各岗位职责进行重点划分，制定多人协作，重点负责，并把分工合作方面的职责划分以制度的形式确定下来。

3.3 加强管理层的重视和支持工作

网络安全问题的暴露都具有滞后性，安全管理的投入不足造成的影响短期内并不一定能够显现出来，但是长期持续下去必然导致安全问题的发生。管理层应对网络安全建设常抓不懈，并于制度的方式予以保证。目前网络安全很多威胁不是来自外部，而是源自内部人员对网络安全知识的缺乏和对安全制度、措施的漠视。所以应该指定领导专门负责网络安全的实施和监督，配合网络安全部门技术人员完成安全措施的部署落实，做好网络安全的定期检查工作。

3.4 建立健全企业规章制度

要保证网络的相对安全，就必须制定详细系统的网络信息安全管理制度。为了做到切实保证企业的机密不泄漏，还要建立对应的详细的安全保密制度。同时，领导层要经常检查制度的实施情况，记录违规的人员及情况、相应处罚情况、检查的结果报告，做到今后有据可循，为以后出现类似情况提供管理依据。

建立健全的油田企业网络信息安全制度应重点包含以下几点内容：

1. 根据工作的重要程度，确定网络安全管理等级和安全管理范围；

2. 明确网络安全管理人员的岗位职责及分工。

3. 制定严格的机房管理制度。

4. 制定严格的系统及计算机操作规程；

5. 明确网络设备定期杀毒升级、服务器数据定期备份的强制要求；

6. 对使用电子邮箱传输文件要有明确的行为规范；

关于网络信息安全管理监管的力度落实相关责任制，对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范和技术防范相结合”的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理的科学化、规范化。

5 结论

网络信息安全是一个系统的、全局的管理问题，网络上任何一个漏洞，都会导致全网的安全事故。网络信息安全不能简单的通过一系列网络安全设备来解决，必须把网络信息安全的建设融入到基础网络平台建设中，多层面考虑网络安全问题。在整个网络运行中，最重要的还是日常的管理、维护。建立好的管理制度、方法，是维持网络正常运行的一贴良药，但只有认真执行才能使良药发挥作用。

参考文献：

[1]张志榛. 计算机应用信息系统安全设计[M]. 北京：中国石化出版社2002.

[2]刘利军,宋慧,王克江. 浅析油田网络安全的对策及应用[J]. 硅谷,2009(9).

[3]苏华,刘文奇,浅析计算机网络安全[J].网络与信息,2010(3).

[4]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(1).

- -