第六采氣廠數(shù)據(jù)安全防護(hù)對策研究

李瑩

摘 要：本文針對氣田單井?dāng)?shù)傳現(xiàn)狀、站點分散、數(shù)據(jù)來源龐雜、信息安全管理壓力大等問題，通過地址管理、安全域映射、網(wǎng)絡(luò)邏輯隔離、探針監(jiān)測等技術(shù)，形成了相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)措施，實現(xiàn)了無重大網(wǎng)絡(luò)安全事件發(fā)生的目標(biāo)。

關(guān)鍵詞：信息網(wǎng)絡(luò)；數(shù)據(jù)安全；防護(hù)對策

1 我廠數(shù)據(jù)網(wǎng)絡(luò)特點

我廠物聯(lián)網(wǎng)系統(tǒng)按照公司數(shù)字化理論體系，構(gòu)建了“三端五系統(tǒng)三輔助”的數(shù)字化框架，形成了較為完善的有線為主、無線為輔的網(wǎng)絡(luò)體系，實現(xiàn)了現(xiàn)場數(shù)據(jù)采集傳輸至平臺集中監(jiān)控體系，完成了集氣站社區(qū)網(wǎng)無線建設(shè)，開發(fā)了探針監(jiān)測體系等，該類體系平臺已經(jīng)應(yīng)用到實際之中，并為數(shù)據(jù)管理、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)策略管理起到了重要的支撐作用。海量的數(shù)據(jù)需要完善的數(shù)據(jù)防護(hù)體系，完善的數(shù)據(jù)防護(hù)體系是氣田數(shù)字化安全的基本保障。

2 數(shù)據(jù)安全常見問題分析

2.1 終端的安全威脅

大量的計算機(jī)、工控機(jī)等終端廣泛應(yīng)用到日常辦公、場站監(jiān)控等領(lǐng)域，眾多的終端存儲著重要的生產(chǎn)和辦公數(shù)據(jù)，易受到各類網(wǎng)絡(luò)病毒的入侵和破壞。另外，終端放置分散且分處不同的位置中，時常存在非法接入的現(xiàn)象，無法保證數(shù)據(jù)安全。

2.2 第三方網(wǎng)絡(luò)存在風(fēng)險

為了實現(xiàn)氣井的數(shù)字化管理，我廠使用運營商網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)乃悸?。氣井的?shù)據(jù)通過GPRS網(wǎng)絡(luò)傳輸?shù)教囟ǖ募瘓F(tuán)公司安全域上，油田公司內(nèi)網(wǎng)終端通過訪問安全域來實現(xiàn)對氣井的數(shù)據(jù)管理，生產(chǎn)數(shù)據(jù)暴露在了互聯(lián)網(wǎng)上，存在風(fēng)險。

2.3 身份認(rèn)證及訪問控制的威脅

企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)，也只對一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設(shè)計了用戶管理功能，在系統(tǒng)中建立用戶、設(shè)置權(quán)限，管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強(qiáng)系統(tǒng)的安全性，但在實際應(yīng)用中仍然存在弱口令易破解、非法接入等問題。

2.4 日常應(yīng)用管理的威脅

相對于技術(shù)防范手段，安全管理制度與實際執(zhí)行情況等常常成為整個安全體系的薄弱環(huán)節(jié)，缺乏完善的針對全體員工的信息化安全管理機(jī)制，缺乏定期對操作管理人員和使用人員進(jìn)行安全培訓(xùn)，缺少及時獲知安全狀態(tài)及最新安全漏洞的途徑，缺少完整的應(yīng)急處理流程應(yīng)對可能出現(xiàn)的安全問題等都給企業(yè)帶來安全威脅。

3 數(shù)據(jù)安全防護(hù)技術(shù)對策

針對我廠網(wǎng)絡(luò)的運行現(xiàn)狀，按照集團(tuán)公司、油田公司的統(tǒng)一規(guī)劃，結(jié)合我廠網(wǎng)絡(luò)運行實際，主要通過以下技術(shù)手段來提高數(shù)據(jù)傳輸?shù)倪\行安全：

3.1 計算機(jī)等終端的安全防護(hù)

采用集團(tuán)公司桌面安全2.0管理系統(tǒng)，對未安裝桌面安全2.0的終端禁止訪問網(wǎng)絡(luò)，同時按照中石油操作系統(tǒng)安全基線配置要求定期對終端進(jìn)行病毒查殺、補(bǔ)丁更新及賬號弱口令提醒，及時消除隱患。為了實現(xiàn)對計算機(jī)等終端的精準(zhǔn)管理，全廠實行“一人一地址”的管理策略，通過部署探針監(jiān)測管理系統(tǒng)，對各終端的地址進(jìn)行監(jiān)測，在一個輪詢周期內(nèi)，如果上述綁定信息發(fā)生變動，將彈出告警信息，有效解決了非法接入問題，確保了終端數(shù)據(jù)安全。

3.2 信息網(wǎng)絡(luò)安全的防護(hù)

我廠信息網(wǎng)絡(luò)在構(gòu)建之初形成了生產(chǎn)辦公網(wǎng)的邏輯隔離，隨著對網(wǎng)絡(luò)管理的要求也越來越高，各網(wǎng)之間的物理隔離成為了新的趨勢。在隨后建設(shè)的社區(qū)網(wǎng)就與生產(chǎn)辦公網(wǎng)進(jìn)行了物理隔離，既滿足了員工對網(wǎng)絡(luò)的使用需求又確保了生產(chǎn)辦公網(wǎng)數(shù)據(jù)的安全。實現(xiàn)生產(chǎn)辦公網(wǎng)的物理隔離，需要在數(shù)據(jù)訪問交匯節(jié)點引入網(wǎng)閘，通過網(wǎng)閘實現(xiàn)對DMZ區(qū)數(shù)據(jù)的訪問，最終形成的業(yè)務(wù)訪問數(shù)據(jù)流。

3.3 第三方網(wǎng)絡(luò)安全的防護(hù)

使用運營商網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，是實現(xiàn)氣井?dāng)?shù)字化管理全覆蓋的一種有效的選擇。為了解決使用運營商網(wǎng)絡(luò)存在的安全威脅，采用了安全域映射的方式進(jìn)行轉(zhuǎn)傳輸，保證了數(shù)據(jù)的安全。

3.4 身份認(rèn)證與訪問控制防護(hù)

對于日常所涉及到的財務(wù)、物資、人力資源等信息系統(tǒng)的相關(guān)崗位人員實行賬號與U-KEY一對一綁定，在登錄相應(yīng)系統(tǒng)時需插入U-KEY進(jìn)行身份確認(rèn)，確認(rèn)無誤后方可進(jìn)入相應(yīng)系統(tǒng)進(jìn)行數(shù)據(jù)加密操作管理。同時，通過探針監(jiān)測檢查等手段，整改交換機(jī)、服務(wù)器、數(shù)據(jù)庫以及計算機(jī)終端帳號弱口令問題。

3.5 日常應(yīng)用防護(hù)

首先，根據(jù)崗位組織多種形式的信息安全知識培訓(xùn)，涉密崗位及網(wǎng)絡(luò)管理崗注重體系介紹及日常管理，一般人員側(cè)重常見故障的判斷及處理，并針對性的宣講網(wǎng)絡(luò)安全法規(guī)及最新安全漏洞的途徑等，建立良好的日常網(wǎng)絡(luò)運維管理機(jī)制。其次，定期進(jìn)行現(xiàn)場網(wǎng)絡(luò)安全檢查，對相關(guān)部門的辦公電腦、服務(wù)器等設(shè)備按照信息安全基線要求進(jìn)行逐項檢測，并將檢查結(jié)果進(jìn)行通報考核。

4 應(yīng)用效果評價

通過開展以上方面有效的網(wǎng)絡(luò)安全防護(hù)措施，使我廠未出現(xiàn)任何網(wǎng)絡(luò)安全及數(shù)據(jù)防護(hù)問題，確保了企業(yè)信息的安全性，實現(xiàn)了有效的控制和管理，促進(jìn)日常生產(chǎn)的安全、可靠運行。

5 結(jié)論及建議

基于IP地址管理、安全域映射、網(wǎng)絡(luò)邏輯隔離、探針監(jiān)測等技術(shù)，實現(xiàn)我廠信息安全保障。數(shù)據(jù)安全同生產(chǎn)安全一樣，需要硬件提升、意識培養(yǎng)及管理制度的同時跟進(jìn)才能有效保障數(shù)據(jù)安全。統(tǒng)一合理地規(guī)劃部署數(shù)據(jù)傳輸，能有效降低網(wǎng)絡(luò)安全風(fēng)險，對提高單位管理效果，具有很重要的現(xiàn)實意義。