油田企業(yè)網(wǎng)絡(luò)安全經(jīng)驗分享

【摘要】隨著油田企業(yè)網(wǎng)絡(luò)規(guī)模的擴大和網(wǎng)絡(luò)應(yīng)用范圍的擴展，做好網(wǎng)絡(luò)運維與安全管理工作已上升到促進油田生產(chǎn)建設(shè)的戰(zhàn)略性地位。為將網(wǎng)絡(luò)安全管理從單純的維護網(wǎng)絡(luò)運行暢通演變?yōu)樘岣叻?wù)能力，保障信息系統(tǒng)可用性、連續(xù)性、安全性，將人、技術(shù)、管理等有機的結(jié)合起來，形成技術(shù)有保障、管理有章法、人員守流程的綜合保障體系。

【關(guān)鍵詞】內(nèi)網(wǎng)安全；網(wǎng)絡(luò)安全域；信息安全體系；網(wǎng)絡(luò)終端行為控制

1、前言

近年來，網(wǎng)絡(luò)安全事件的頻頻發(fā)生，人們對外部入侵和Internet的安全日益重視，但來自內(nèi)部網(wǎng)絡(luò)的攻擊卻有愈演愈烈之勢，內(nèi)網(wǎng)安全成為企業(yè)管理的隱患。信息資料被非法泄露、拷貝、篡改，往往給各行業(yè)企事業(yè)單位造成重大損失。針對這些問題，本文以風(fēng)城油田作業(yè)區(qū)內(nèi)網(wǎng)安全管理手段為例，闡述油田內(nèi)網(wǎng)安全管理體系。風(fēng)城油田作業(yè)區(qū)信息管理部門建立了一套以技術(shù)體系及管理體系構(gòu)成的信息安全體系。由技術(shù)體系加強網(wǎng)絡(luò)管理力度、豐富網(wǎng)絡(luò)管理手段、降低網(wǎng)絡(luò)運維管理成本。由管理體系提高員工網(wǎng)絡(luò)安全風(fēng)險防范意識。

2、油田內(nèi)網(wǎng)安全體系

如何使內(nèi)部網(wǎng)絡(luò)始終處于安全、可靠、保密的環(huán)境下運行，幫助作業(yè)區(qū)各類業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務(wù)正常安全運行是目前作業(yè)區(qū)網(wǎng)絡(luò)管理一大難題。根據(jù)風(fēng)城作業(yè)區(qū)實際情況，信息管理部門將管理、技術(shù)和策略有機結(jié)合，構(gòu)成了一套信息安全體系（圖1）。

圖1：信息安全體系圖

3、油田內(nèi)網(wǎng)管理

根據(jù)油田網(wǎng)絡(luò)管理現(xiàn)狀，在加強技術(shù)防護手段的同時，整體規(guī)劃，運用內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)加強桌面計算機終端管理力度，通過劃分網(wǎng)絡(luò)安全域明確網(wǎng)絡(luò)邊界，加強網(wǎng)絡(luò)安全防護與管理，利用交換機聚合技術(shù)提高網(wǎng)絡(luò)傳輸能力，降低網(wǎng)絡(luò)運維管理成本，同時，完善網(wǎng)絡(luò)安全管理制度與流程，將人、技術(shù)、管理有機結(jié)合，提高網(wǎng)絡(luò)整體抗風(fēng)險能力。

3.1劃分內(nèi)部各子網(wǎng)安全域，明確各內(nèi)部網(wǎng)絡(luò)邊界

安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分不同邏輯區(qū)域，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全區(qū)域共享同樣的安全策略。

以業(yè)務(wù)角度為主，輔以安全角度，充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，以較小的代價完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。通過邏輯劃分VLAN和網(wǎng)絡(luò)隔離2種方式將網(wǎng)絡(luò)劃分為辦公域、接入域、服務(wù)（計算）域、管理域（運維與管理的主要區(qū)域）以及自動化生產(chǎn)域，不同的業(yè)務(wù)部門身份采用不同級別的安全防護機制，如采用VLAN技術(shù)隔離辦公域中各部門、單位；在服務(wù)（計算）域邊界部署防火墻，配置網(wǎng)絡(luò)安全策略，對處于不同安全級別域的用戶訪問進行審查控制；在自動化生產(chǎn)域部署隔離網(wǎng)閘，隔離自動化專網(wǎng)與辦公網(wǎng)絡(luò)。網(wǎng)閘的安全性體現(xiàn)在鏈路層斷開，直接處理應(yīng)用層數(shù)據(jù)，對應(yīng)用層數(shù)據(jù)進行內(nèi)容檢查和控制，在網(wǎng)絡(luò)之間交換的數(shù)據(jù)都是應(yīng)用層的數(shù)據(jù)。

3.2運用內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)加強網(wǎng)絡(luò)終端管理力度

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個主要組成部分，其安全性也受到越來越多的重視。油田辦公網(wǎng)絡(luò)作為油田公司下級網(wǎng)絡(luò)構(gòu)成，它的安全與否直接決定了油田公司整體網(wǎng)絡(luò)安全級別。經(jīng)調(diào)查分析，油田企業(yè)內(nèi)網(wǎng)主要面臨的安全威脅有：資產(chǎn)管理失控、網(wǎng)絡(luò)資源濫用、病毒蠕蟲入侵、重要信息泄密、補丁管理混亂等，針對常見內(nèi)網(wǎng)隱患，風(fēng)城油田作業(yè)區(qū)信息檔案管理站利用油田公司部署的內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)（VRV EDP）管理工具對作業(yè)區(qū)網(wǎng)絡(luò)客戶端進行定時檢查與梳理。檢查客戶端安裝補丁情況、核實硬件變更情況等檢查手段，有效的降低了內(nèi)網(wǎng)安全風(fēng)險級別。

3.3充分利用交換機提供的技術(shù)手段，降低網(wǎng)絡(luò)建設(shè)與運維成本

隨著風(fēng)城作業(yè)區(qū)信息化、自動化程度的飛速發(fā)展，對更高帶寬需求的不斷增長。在大多數(shù)情況下，雖然可以使用以太網(wǎng)設(shè)備中更高帶寬的端口類型作為增加網(wǎng)絡(luò)帶寬的方法，但因為需要增加更多的成本，所以它并不總是可行的。進而采用另一種擴展帶寬的方法，該方法通過聚合（也就是捆綁）平行連接來實現(xiàn)，可以將多條鏈路捆綁起來形成一條鏈路。捆綁之后多條鏈路將從邏輯上視為一條網(wǎng)絡(luò)鏈路，傳輸數(shù)據(jù)量也相應(yīng)得到提升。從而極大的提高了數(shù)據(jù)傳輸速度。

3.4建立信息安全管理體系

嚴(yán)密、完整的管理體制，不但可以最大限度的在確保信息安全的前提下實現(xiàn)信息資源共享，而且可以彌補技術(shù)性安全隱患的部分弱點。管理體系的建立和實施能為網(wǎng)絡(luò)的管理和長期監(jiān)控提供有理可依的指導(dǎo)性理論。管理體系的組成可分為法律、制度和培訓(xùn)三部分。

與安全有關(guān)的法律法規(guī)是信息系統(tǒng)安全的最高行為準(zhǔn)則，是制定管理制度參考的標(biāo)準(zhǔn)。依照安全需求制定一系列內(nèi)部規(guī)章制度，從責(zé)任、人員、部位、行為等多方面對需要保護什么、為什么需要保護以及怎樣保護涉密信息系統(tǒng)的安全進行具體規(guī)定，并通過全面推行，使之貫穿到日常具體工作當(dāng)中。風(fēng)城油田作業(yè)區(qū)成立了計算機兼職管理員小組進行安全培訓(xùn)。培訓(xùn)的內(nèi)容包括法律法規(guī)、內(nèi)部制度、安全意識和與崗位相關(guān)的重點安全防范技能等。加強了各科室單位與前線基層單位員工的計算機基礎(chǔ)知識與網(wǎng)絡(luò)安全知識。使員工能主動規(guī)避各類違規(guī)行為，從而降低了網(wǎng)絡(luò)安全隱患。

4、結(jié)束語

一種管理體系的建立涉及到管理理念、管理模式的變革，信息安全體系在風(fēng)城油田作業(yè)區(qū)的推廣應(yīng)用，既是對作業(yè)區(qū)網(wǎng)絡(luò)安全管理工作的加強，也有益于用戶網(wǎng)絡(luò)行為的引導(dǎo)和規(guī)范。從實際推廣效果看， 風(fēng)城作業(yè)區(qū)內(nèi)網(wǎng)管理模式適合作業(yè)區(qū)現(xiàn)狀， 減少了網(wǎng)絡(luò)安全方面的威脅， 增強了計算機網(wǎng)絡(luò)的安全等級。

筆者認為要真正確保計算機網(wǎng)絡(luò)及其相關(guān)信息的安全，除了一些必要的技術(shù)手段外。最重要的是信息安全管理體系的建立和實施，只有建立并切實實施信息安全管理體系，通過人、技術(shù)、管理等多方面的手段多管齊下。調(diào)動各方積極性，引起領(lǐng)導(dǎo)重視，明確三方責(zé)任，使網(wǎng)絡(luò)安全管理日常化、常態(tài)化。只有這樣才能真正做到內(nèi)網(wǎng)安全。

參考文獻

[1]曾朝蓉.內(nèi)網(wǎng)安全管理方案探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009年11月

[2]金波，張兵，王志海.內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討[J].信息安全與通信保密，2007.

[3]甄保社.解放軍醫(yī)學(xué)圖書館內(nèi)網(wǎng)安全管理系統(tǒng)[J].中華醫(yī)學(xué)圖書情報雜志，2009年18

[4]蔣蘋.計算機信息系統(tǒng)安全體系設(shè)計[J].計算機工程與科學(xué)，2003年25