數(shù)字化油氣田網(wǎng)絡(luò)安全架構(gòu)研究

張弛，傅海濱，王柯

(中國石油西南油氣田公司 通信與信息技術(shù)中心，成都 610051)

?

數(shù)字化油氣田網(wǎng)絡(luò)安全架構(gòu)研究

張弛，傅海濱，王柯

(中國石油西南油氣田公司 通信與信息技術(shù)中心，成都 610051)

摘要：隨著工業(yè)與信息化的融合不斷深入，數(shù)字化油氣田的建設(shè)逐漸成為油氣行業(yè)新的趨勢，從數(shù)字化油氣田建設(shè)的需求出發(fā)，對網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)安全需求進(jìn)行了深入的分析，提出了一種基于功能性定義的網(wǎng)絡(luò)分區(qū)概念，根據(jù)相應(yīng)功能對網(wǎng)絡(luò)架構(gòu)進(jìn)行了區(qū)域劃分，并針對不同的功能分區(qū)提出了安全策略，使各區(qū)域的安全架構(gòu)針對性強，且具備較強的可擴展性。實際應(yīng)用表明，有效提高了數(shù)據(jù)傳輸?shù)恼_性、安全性和高效性，為類似大型油田企業(yè)的網(wǎng)絡(luò)搭建及安全部署提供了一種思路。

關(guān)鍵詞：網(wǎng)絡(luò)安全數(shù)字化油氣田網(wǎng)絡(luò)架構(gòu)

數(shù)字化油氣田企業(yè)由于作業(yè)的特殊性，在網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全方面與普通企業(yè)存在一定區(qū)別，在業(yè)務(wù)發(fā)展過程中也有一些較為獨特的需求[1]，主要表現(xiàn)在以下方面：

1) 動態(tài)生產(chǎn)數(shù)據(jù)。無論是前期的勘探、鉆井還是后期的生產(chǎn)階段，產(chǎn)生的數(shù)據(jù)呈動態(tài)變化，業(yè)務(wù)對數(shù)據(jù)傳輸?shù)膶崟r性、穩(wěn)定性、準(zhǔn)確性要求很高。

2) 業(yè)務(wù)靈活部署。油氣田企業(yè)的一線生產(chǎn)單位比較分散，所在地的環(huán)境有很大差別，野外作業(yè)的項目流動性較大[2]，因而網(wǎng)絡(luò)及安全架構(gòu)須具備較強靈活性。

3) 現(xiàn)場安全保障。由于作業(yè)存在一定危險性，同時作業(yè)區(qū)、井站、集輸管線等要害部位多而分散，要保證業(yè)務(wù)系統(tǒng)安全可靠地運行，需要充分運用信息化的工具和手段，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也需要保證數(shù)據(jù)的高可用性和傳輸?shù)陌踩浴?/p>

隨著信息化進(jìn)程的不斷發(fā)展，數(shù)字化油氣田正逐步成為一種新的發(fā)展趨勢，企業(yè)的業(yè)務(wù)開展、部署、決策均需要信息技術(shù)的支持。而數(shù)字化油氣田的構(gòu)建，很大程度上依賴安全可靠的網(wǎng)絡(luò)架構(gòu)搭建[3-4]。

1網(wǎng)絡(luò)架構(gòu)設(shè)計

結(jié)合各方面的需求，在網(wǎng)絡(luò)架構(gòu)的設(shè)計中按照相應(yīng)的功能對架構(gòu)進(jìn)行了區(qū)域劃分，如圖1所示。該方式有利于未來網(wǎng)絡(luò)的靈活擴展，且能更好地開展相關(guān)的網(wǎng)絡(luò)安全建設(shè)。通過制訂功能分區(qū)間的訪問控制策略，實現(xiàn)各功能分區(qū)之間的安全互訪。網(wǎng)絡(luò)功能區(qū)域劃分以及網(wǎng)絡(luò)安全域控制策略為網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等配置奠定了基礎(chǔ)。

圖1　網(wǎng)絡(luò)功能分區(qū)架構(gòu)示意

該網(wǎng)絡(luò)架構(gòu)共分為六大功能分區(qū)。

1) 交換核心區(qū)。連接上級單位和公司網(wǎng)絡(luò)的各功能分區(qū)，負(fù)責(zé)數(shù)據(jù)在各功能區(qū)間的高速轉(zhuǎn)發(fā)。

2) 服務(wù)器區(qū)。提供各組服務(wù)器群的網(wǎng)絡(luò)接入，在服務(wù)器區(qū)的邊界上部署安全防護措施，保護服務(wù)器區(qū)內(nèi)的各服務(wù)器群。

3) 辦公接入?yún)^(qū)。提供辦公局域網(wǎng)和園區(qū)辦公局域網(wǎng)接入，在總部和各個園區(qū)辦公網(wǎng)接入?yún)^(qū)的邊界上部署安全防護措施。

4) 外網(wǎng)區(qū)。提供公司網(wǎng)絡(luò)與互聯(lián)網(wǎng)和外聯(lián)網(wǎng)(如銀行、社保、稅務(wù)等外部單位的網(wǎng)絡(luò))的互聯(lián)[5]，在外網(wǎng)區(qū)的因特網(wǎng)和外聯(lián)網(wǎng)的線路出口，以及交換核心區(qū)的邊界上分別設(shè)置安全防護措施。

5) 網(wǎng)管區(qū)。提供以太網(wǎng)和Console方式的網(wǎng)絡(luò)管理終端接入，在網(wǎng)管區(qū)的邊界上設(shè)置安全防護措施。

6) 廣域網(wǎng)區(qū)。提供公司下屬二、三級單位和一線生產(chǎn)單位局域網(wǎng)的接入，并在與下屬二、三級單位和一線生產(chǎn)單位局域網(wǎng)的邊界上分別設(shè)置安全防護措施。

2分區(qū)安全設(shè)計

針對網(wǎng)絡(luò)架構(gòu)的設(shè)計采用了功能分區(qū)的方式，與之相配合網(wǎng)絡(luò)安全架構(gòu)的設(shè)計也采用了分區(qū)的方式，針對不同的功能分區(qū)，提出與之對應(yīng)的安全策略，使各區(qū)域的安全架構(gòu)針對性強，且具備較強的可擴展性。

2.1交換核心區(qū)

交換核心區(qū)連接各個安全分區(qū)，主要設(shè)備有核心交換機，負(fù)責(zé)各安全區(qū)之間的高速數(shù)據(jù)轉(zhuǎn)發(fā)，核心交換設(shè)備無需設(shè)置安全訪問控制措施。在設(shè)備的物理安全方面，參照相關(guān)規(guī)范并充分考慮運行維護人員的操作習(xí)慣。

2.2服務(wù)器區(qū)

服務(wù)器區(qū)提供各應(yīng)用系統(tǒng)的安全接入和保護，其架構(gòu)如圖2所示。服務(wù)器區(qū)的設(shè)備主要包括服務(wù)器接入交換設(shè)備和匯聚交換設(shè)備。匯聚交換機旁接服務(wù)器區(qū)的服務(wù)單元，為服務(wù)器區(qū)提供相應(yīng)支撐，主要包括： 防火墻、入侵檢測系統(tǒng)(IDS)、應(yīng)用負(fù)載均衡設(shè)備、SSL卸載等。對于油氣田企業(yè)而言，服務(wù)器區(qū)中的生產(chǎn)服務(wù)器涉及各個站場的實時生產(chǎn)數(shù)據(jù)和核心業(yè)務(wù)，安全需求相對于辦公及其他應(yīng)用服務(wù)器要更為苛刻。

圖2　服務(wù)器區(qū)架構(gòu)示意

服務(wù)器區(qū)的安全設(shè)計要點主要包括：

1) 流量隔離。根據(jù)應(yīng)用架構(gòu)對服務(wù)器進(jìn)行分層部署(如Web展現(xiàn)層、應(yīng)用服務(wù)層、數(shù)據(jù)庫服務(wù)層)，通過劃分不同的VLAN隔離各層之間的流量，在以應(yīng)用架構(gòu)層次劃分的同一VLAN中，再通過劃分不同的PVLAN隔離不同應(yīng)用之間的流量[6]。由匯聚層交換機對各VLAN的服務(wù)器之間的數(shù)據(jù)交換進(jìn)行轉(zhuǎn)發(fā)，同時在匯聚層交換機上部署共用的服務(wù)模塊，提供訪問控制、安全過濾、消息路由等服務(wù)。

2) 策略部署。在匯聚交換設(shè)備層面設(shè)置網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)進(jìn)行安全監(jiān)控，提供有可能未被防火墻過濾掉的重要安全警報信息，提高對攻擊類型的識別能力，在服務(wù)器的接入交換設(shè)備層面設(shè)置相應(yīng)的安全措施如端口安全，防止非授權(quán)主機或網(wǎng)絡(luò)設(shè)備接入。

3) 安全冗余。重要的服務(wù)器應(yīng)該通過2塊網(wǎng)卡分別連接到2臺接入交換機，以消除單點故障，接入交換設(shè)備應(yīng)該具有劃分VLAN，PVLAN和子網(wǎng)之間隔離的基本功能。匯聚交換設(shè)備在匯聚接入交換設(shè)備的同時，提供服務(wù)器到核心路由區(qū)的連接，并且應(yīng)有冗余機制確保在1臺匯聚交換設(shè)備無法提供網(wǎng)絡(luò)服務(wù)的情況下，能夠有另外1臺匯聚交換設(shè)備繼續(xù)提供網(wǎng)絡(luò)服務(wù)。另外，在冗余的匯聚交換設(shè)備之間應(yīng)啟用二層連接，以連接跨不同接入交換機的VLAN。

2.3辦公接入?yún)^(qū)

辦公接入?yún)^(qū)中，各單位均通過標(biāo)準(zhǔn)化的方式接入交換核心區(qū)域。為避免對交換核心造成影響，故園區(qū)辦公網(wǎng)都需采用三層方式接入，并且將總部與在園區(qū)內(nèi)本地二級單位的辦公接入分離，以保證各部門業(yè)務(wù)的安全性[7]。辦公接入?yún)^(qū)的安全性考慮主要體現(xiàn)在對內(nèi)部訪問的權(quán)限控制上，如允許哪些用戶訪問哪些網(wǎng)絡(luò)節(jié)點及哪些應(yīng)用等。辦公接入?yún)^(qū)架構(gòu)如圖3所示。

圖3　辦公接入?yún)^(qū)架構(gòu)示意

辦公接入?yún)^(qū)的安全設(shè)計要點主要包括：

1) 身份識別。接入交換設(shè)備連接用戶終端，直接將各種用戶接入到公司網(wǎng)絡(luò)，能夠主動向接入設(shè)備發(fā)出識別用戶身份的請求，并能將用戶的身份信息正確無誤地轉(zhuǎn)發(fā)給后面的鑒權(quán)服務(wù)器，對于能夠識別其身份的終端，應(yīng)該根據(jù)用戶身份，將其分配到合適的接入網(wǎng)段。用戶對網(wǎng)絡(luò)的訪問可以按照時間進(jìn)行限制，對于不能識別其身份的終端，應(yīng)該禁止其接入到公司網(wǎng)絡(luò)。

2) 日志記錄。提供用戶訪問網(wǎng)絡(luò)的詳細(xì)記錄，如何時連接、何時退出、連接時間、連接交換機的端口號等信息，在網(wǎng)絡(luò)發(fā)生安全問題時，能夠提供線索以供審核。

3) 訪問控制。通過辦公接入?yún)^(qū)訪問公司網(wǎng)絡(luò)的用戶主要分為公司員工、外包維護人員、外包工作人員、外來項目人員。對用戶能夠訪問的內(nèi)部網(wǎng)絡(luò)資源，需在匯聚交換設(shè)備上進(jìn)行嚴(yán)格的訪問控制，并且應(yīng)嚴(yán)格控制不同用戶之間的訪問，如有需要也應(yīng)對于同一VLAN和子網(wǎng)用戶之間的訪問進(jìn)行安全控制。

4) 接入控制。在終端接入到網(wǎng)絡(luò)之前，應(yīng)判斷其是否安裝了防病毒軟件，是否運行要求的防病毒技術(shù)，是否帶有最新的系列簽名文件。其次應(yīng)判斷是否已安裝并正確配置了個人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件。最后應(yīng)檢查接入設(shè)備的定制鏡像是否已被修改或篡改。

2.4外網(wǎng)區(qū)

外網(wǎng)區(qū)保護公司內(nèi)部網(wǎng)絡(luò)資源，防止受到外部攻擊和濫用的同時，也為所有通過公司網(wǎng)絡(luò)訪問外網(wǎng)的用戶提供安全保護。在外網(wǎng)區(qū)的設(shè)計中加入了非軍事區(qū)(DMZ)，其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問服務(wù)的網(wǎng)絡(luò)分開，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全。

外網(wǎng)區(qū)的安全設(shè)計要點主要包括：

1) 防火墻設(shè)置。針對不同類型防火墻的優(yōu)缺點，在外網(wǎng)區(qū)設(shè)置雙層的防火墻設(shè)備，加強對內(nèi)網(wǎng)的保護。在內(nèi)外防火墻之間以及防火墻內(nèi)部應(yīng)設(shè)置入侵檢測設(shè)備進(jìn)行安全監(jiān)控[8]，提高對攻擊類型的識別能力。限制對等(P2P)和即時消息等惡意流量的傳輸，部署防火墻功能，對URL和內(nèi)容進(jìn)行過濾，有效防御間諜軟件、病毒、垃圾郵件和與業(yè)務(wù)無關(guān)的內(nèi)容。在阻擋不受歡迎的來訪流量的同時，允許合法業(yè)務(wù)流量進(jìn)入。訪問外網(wǎng)時需通過具備行為監(jiān)控功能的代理服務(wù)器，并嚴(yán)格限制不同用戶的外網(wǎng)訪問時間。關(guān)閉所有防火墻的默認(rèn)服務(wù)，開啟必要的服務(wù)以確保防火墻設(shè)備自身的安全防護，如NTP，SYSLOG，SNMP等。通過NAT進(jìn)行內(nèi)、外網(wǎng)地址轉(zhuǎn)換，防止公司內(nèi)部IP地址被外部人員獲取。

2) DMZ安全策略。對各DMZ內(nèi)互相不需要連接的服務(wù)器進(jìn)行PVLAN劃分[9]，盡可能限制不同服務(wù)器之間互相訪問，確保相互之間不會受到廣播的影響，實現(xiàn)安全隔離。通過設(shè)置內(nèi)部的防火墻，實現(xiàn)內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，內(nèi)網(wǎng)也可以訪問DMZ，以確保內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器，但是除了通過無線接入和遠(yuǎn)程VPN接入的內(nèi)部用戶以及一些特定應(yīng)用外，DMZ區(qū)不能訪問內(nèi)網(wǎng)。設(shè)置外部的防火墻，實現(xiàn)外網(wǎng)不能直接訪問內(nèi)網(wǎng)，但外網(wǎng)可以訪問DMZ區(qū)內(nèi)的服務(wù)器和應(yīng)用。

2.5網(wǎng)絡(luò)管理區(qū)

網(wǎng)絡(luò)管理區(qū)為公司所有設(shè)備和主機提供安全管理、日志記錄和報告[10]。收集的網(wǎng)絡(luò)管理信息從各個設(shè)備送到網(wǎng)絡(luò)管理區(qū)內(nèi)部的管理節(jié)點，設(shè)備的配置以及新的軟件從網(wǎng)絡(luò)管理區(qū)內(nèi)部的管理節(jié)點加載到每臺設(shè)備。

網(wǎng)絡(luò)管理區(qū)的安全設(shè)計要點主要包括：

1) 安全防護。在網(wǎng)絡(luò)管理區(qū)與網(wǎng)絡(luò)接口的防火墻處，設(shè)置安全訪問控制，過濾和阻止任何方向上與網(wǎng)絡(luò)管理無關(guān)的非授權(quán)訪問。比如，在防火墻上配置允許Syslog和SNMP信息進(jìn)入網(wǎng)絡(luò)管理區(qū)，同樣也允許從網(wǎng)絡(luò)管理區(qū)內(nèi)部發(fā)起的Telnet，SSH和SNMP的應(yīng)用。在網(wǎng)絡(luò)管理區(qū)內(nèi)部的管理數(shù)據(jù)需要采取安全防護手段，防止實施中間人攻擊，比如在L2交換機上針對管理終端、網(wǎng)絡(luò)管理主機等實施PVLAN，Port Security等配置，使中間人攻擊非常困難。

2) 設(shè)置訪問控制服務(wù)器。采用集中管理的方式，以保護用戶口令安全，在公司網(wǎng)管區(qū)配置安全訪問控制服務(wù)器，所有設(shè)備的用戶名、口令、權(quán)限控制都統(tǒng)一管理，避免因分散式管理帶來的安全漏洞和管理的復(fù)雜性。在安全訪問控制服務(wù)器上可將進(jìn)入到設(shè)備的管理用戶分為多個級別，對不同級別的用戶分配不同級別的訪問權(quán)限。所有設(shè)備的管理用戶均需通過訪問控制服務(wù)器的身份驗證，并結(jié)合一次性密碼系統(tǒng)，為每臺設(shè)備提供更嚴(yán)格的身份認(rèn)證控制，僅當(dāng)訪問控制服務(wù)器不可用時，方可通過設(shè)備本地認(rèn)證的方式管理設(shè)備。

3) 操作控制。大部分的網(wǎng)絡(luò)管理功能如軟件升級、日志記錄和SNMP管理需要通過網(wǎng)絡(luò)管理區(qū)內(nèi)專門的終端來進(jìn)行操作，如果需要在網(wǎng)絡(luò)管理區(qū)外進(jìn)行網(wǎng)絡(luò)維護時，網(wǎng)絡(luò)管理員終端必須與網(wǎng)絡(luò)管理區(qū)的防火墻建立起基于IPSec的VPN，確保所有的網(wǎng)絡(luò)管理流量都采用加密的方式進(jìn)行傳輸，以防止網(wǎng)管數(shù)據(jù)被截取。

2.6廣域網(wǎng)區(qū)

廣域網(wǎng)區(qū)主要負(fù)責(zé)異地的二級單位及三級單位的網(wǎng)絡(luò)接入，通過核心路由器進(jìn)行各地區(qū)間的廣域流量的轉(zhuǎn)發(fā)。由于廣域網(wǎng)設(shè)計覆蓋范圍較大，文

中所提出的安全設(shè)計要點只涉及總部層面。

廣域網(wǎng)區(qū)的安全設(shè)計要點主要包括：

1) 核心路由安全控制。核心路由設(shè)備提供各地區(qū)之間的高速數(shù)據(jù)轉(zhuǎn)發(fā)，可在核心路由設(shè)備上適當(dāng)設(shè)置安全訪問控制。在核心路由設(shè)備上對各地的路由信息進(jìn)行認(rèn)證和加密，并通過訪問控制，嚴(yán)格限制不必要的路由信息進(jìn)入到本地的核心路由區(qū)。

2) 核心交換安全控制。與核心交換機連接的所有物理鏈路應(yīng)具有主備的連接，并采用收斂快速的OSPF作為核心骨干區(qū)的路由協(xié)議，確保核心網(wǎng)絡(luò)的路由快速收斂能力和高可用性。如果條件許可，可在核心交換設(shè)備和核心路由設(shè)備之間加設(shè)防火墻，加強各地之間流量的訪問控制力度。

3結(jié)束語

數(shù)字化油氣田概念不僅是信息傳遞，更重要的是運用一系列手段匯集和分析各類數(shù)據(jù)，為業(yè)務(wù)的發(fā)展和決策提供支撐，而在該過程中，健康安全的網(wǎng)絡(luò)架構(gòu)對于保證數(shù)據(jù)傳輸?shù)恼_性、安全性和高效性尤為重要。文中提出的分區(qū)安全保障架構(gòu)有效提升了網(wǎng)絡(luò)架構(gòu)的安全性，在保證架構(gòu)可擴展性的基礎(chǔ)上，兼顧了高可用性和安全性需求，為油氣田的信息化進(jìn)程提供了強有力的支撐。

參考文獻(xiàn)：

[1]李哲.油田企業(yè)信息化發(fā)展的趨勢—數(shù)字油田的構(gòu)建[J].價值工程，2010(16)： 153-155.

[2]張軍華，鐘磊，王新紅，等.數(shù)字油田要素分析、建設(shè)現(xiàn)狀及發(fā)展展望[J].勘探地球物理進(jìn)展，2007(01)： 25-30.

[3]劉韻潔.三網(wǎng)融合與未來網(wǎng)絡(luò)的發(fā)展[J].重慶郵電大學(xué)學(xué)報(自然科學(xué)版)，2010(06)： 693-697.

[4]李濤.網(wǎng)絡(luò)安全概論[M].北京： 電子工業(yè)出版社，2004： 35-40.

[5]朱建江，朱正江，彭龍.企業(yè)園區(qū)三層網(wǎng)絡(luò)架構(gòu)的設(shè)計與實現(xiàn)[J].計算機與現(xiàn)代化，2009(09)： 70-76.

[6]劉成文，田雨，章瑞.利用先進(jìn)通信技術(shù)建設(shè)數(shù)字化油氣田[J].信息通信，2009(01)： 78-80.

[7]李莉，鄧睿.論局域網(wǎng)建設(shè)架構(gòu)與安全策略[J].企業(yè)導(dǎo)報，2011(20)： 285-287.

[8]王鐵方，李濤.蜜網(wǎng)與防火墻及入侵檢測的無縫結(jié)合的研究與實現(xiàn)[J].四川師范大學(xué)學(xué)報(自然科學(xué)版)，2005(01)： 119-122.

[9]王小玲.PVLAN技術(shù)及其在局域網(wǎng)中的應(yīng)用[J].電腦開發(fā)與應(yīng)用，2014(03)： 28-31.

[10]錢翀.企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)研究和設(shè)計[D]. 上海： 上海交通大學(xué)，2013.

Research on Network Security Architecture of Digital Oil and Gas Field

Zhang Chi, Fu Haibin, Wang Ke

(Communication and Information Technology Center, Petrochina Southwest Oil

and Gas Field Company, Chengdu,610051, China)

Abstracts： With continuous development of integration of information technology and industry, construction of digital oil and gas field is becoming the new trend of oil and gas industry. Starting from unique needs of digital oil and gas field construction, the needs from network architecture and security are deeply investigated with an approach of network sub-region concept based on function definition. The network architecture is regionalized based on relative functions. Security policy is proposed aiming at different functions to make security frame with specified strong pertinence and expandability for each region. The practical application indicates accuracy, safety and high efficiency of data transmission have been improved obviously. It provides a new idea for large oil enterprises to build network and security deploy.

Key words：network security; digital oil and gas field; network architecture

中圖分類號：TE938

文獻(xiàn)標(biāo)志碼：B

文章編號：1007-7324(2015)06-0062-04

作者簡介：張弛(1984—)，男，現(xiàn)就職于中國石油西南油氣田公司，主要研究方向為視頻會議技術(shù)、網(wǎng)絡(luò)安全等，任工程師。

稿件收到日期： 2015-07-07。