海上平臺(tái)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)研究

【摘" 要】 計(jì)算機(jī)網(wǎng)絡(luò)具有復(fù)雜性，面對(duì)新技術(shù)、新應(yīng)用快速發(fā)展的現(xiàn)實(shí)狀況，網(wǎng)絡(luò)安全問題的防范工作刻不容緩。海上平臺(tái)網(wǎng)絡(luò)安全建設(shè)仍有不完善的部分，因此需要加強(qiáng)對(duì)海上平臺(tái)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)研究，以有效提高海上業(yè)務(wù)安全保障的實(shí)際效果。本文將從當(dāng)前海上平臺(tái)網(wǎng)絡(luò)遇到的安全挑戰(zhàn)問題出發(fā)，展開細(xì)致討論，嘗試提出優(yōu)化海上平臺(tái)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)的具體路徑。

【關(guān)鍵詞】 海上平臺(tái)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全規(guī)劃；規(guī)劃設(shè)計(jì)

一、海上平臺(tái)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)目標(biāo)

（一）網(wǎng)絡(luò)基礎(chǔ)設(shè)施提升與優(yōu)化

關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施提升與優(yōu)化，可根據(jù)實(shí)際情況做好規(guī)劃設(shè)計(jì)工作，可采取以下措施來實(shí)現(xiàn)企業(yè)訪問內(nèi)網(wǎng)、互聯(lián)網(wǎng)的需求，提高辦公體驗(yàn)和效率。

1. 建立統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)，對(duì)辦公網(wǎng)絡(luò)中的各個(gè)平臺(tái)進(jìn)行統(tǒng)一管理，包括網(wǎng)絡(luò)設(shè)備的配置、監(jiān)控、維護(hù)等。同時(shí)，優(yōu)化網(wǎng)絡(luò)互通的能力，提升平臺(tái)間的網(wǎng)絡(luò)帶寬，支持?jǐn)?shù)字化和智能化應(yīng)用的承載，確保辦公網(wǎng)絡(luò)的連續(xù)性。

2. 對(duì)無人井口工控網(wǎng)進(jìn)行光纖/微波熱備切換，提高工控網(wǎng)的穩(wěn)定性和可靠性。同時(shí)，建設(shè)波分復(fù)用系統(tǒng)，提升無人平臺(tái)海纜業(yè)務(wù)的承載能力，確保平臺(tái)的業(yè)務(wù)連續(xù)性。

3. 采用船舶微波自動(dòng)接入平臺(tái)網(wǎng)絡(luò)的方式，為拖輪等移動(dòng)船舶提供網(wǎng)絡(luò)接入和視頻監(jiān)控畫面回傳。建設(shè)船用微波主站和守護(hù)船舶微波從站，實(shí)現(xiàn)船舶網(wǎng)絡(luò)覆蓋，從無到有。

4. 通過使用合適的視頻壓縮技術(shù)，降低視頻數(shù)據(jù)的帶寬資源占用率，提高視頻監(jiān)控的效率和性能。如使用先進(jìn)的視頻編碼標(biāo)準(zhǔn)、優(yōu)化視頻傳輸協(xié)議等。

5. 對(duì)老舊的程控交換系統(tǒng)改造，確保平臺(tái)及終端程控系統(tǒng)穩(wěn)定運(yùn)行。如升級(jí)硬件設(shè)備、更新軟件系統(tǒng)、優(yōu)化通信協(xié)議等，提供穩(wěn)定可靠的語音通訊業(yè)務(wù)。

通過以上措施的高效實(shí)施，可以實(shí)現(xiàn)對(duì)基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的改造和視頻會(huì)議系統(tǒng)、程控交換系統(tǒng)的國產(chǎn)化升級(jí)優(yōu)化，提高辦公體驗(yàn)和效率，滿足企業(yè)訪問內(nèi)網(wǎng)、互聯(lián)網(wǎng)的需求。同時(shí)，還需加強(qiáng)項(xiàng)目規(guī)劃和管理，確保項(xiàng)目順利實(shí)施，從而實(shí)現(xiàn)預(yù)期管理目標(biāo)。

（二）網(wǎng)絡(luò)安全提升與優(yōu)化

根據(jù)國家信息安全等級(jí)保護(hù)相關(guān)要求，及分區(qū)分域防護(hù)原則和層次化縱深防御思想，建設(shè)油田辦公網(wǎng)絡(luò)縱深防御體系，主要措施包括：

1. 劃分安全分區(qū)：根據(jù)油田辦公網(wǎng)絡(luò)的不同功能和安全需求，將網(wǎng)絡(luò)劃分為多個(gè)安全分區(qū)。如內(nèi)部辦公區(qū)、生產(chǎn)區(qū)、供應(yīng)商區(qū)等，每個(gè)安全分區(qū)有明確的訪問控制策略和權(quán)限管理機(jī)制。

2. 實(shí)施網(wǎng)絡(luò)隔離：在安全分區(qū)之間設(shè)置防火墻或安全設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)隔離，阻止不同分區(qū)之間的直接通信，增加攻擊者的跨區(qū)域滲透難度。

3. 強(qiáng)化訪問控制：在每個(gè)安全分區(qū)內(nèi)部設(shè)置訪問控制機(jī)制，包括網(wǎng)絡(luò)訪問控制列表（ACL）、用戶身份驗(yàn)證和授權(quán)、應(yīng)用程序訪問控制等，確保只有經(jīng)過授權(quán)的用戶和設(shè)備能夠訪問相應(yīng)資源。

4. 加強(qiáng)邊界防護(hù)：在辦公網(wǎng)絡(luò)的入口處設(shè)置防火墻、入侵檢測(cè)和防御系統(tǒng)（IDS/IPS）、反病毒、惡意軟件防護(hù)等設(shè)備，對(duì)外部攻擊進(jìn)行檢測(cè)、阻斷、響應(yīng)。

5. 強(qiáng)化內(nèi)部安全：在每個(gè)安全分區(qū)內(nèi)部采取內(nèi)部安全措施，包括網(wǎng)絡(luò)流量監(jiān)測(cè)和分析、異常行為檢測(cè)、安全事件響應(yīng)等，及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)內(nèi)部安全威脅。

6. 加強(qiáng)數(shù)據(jù)保護(hù)：采用數(shù)據(jù)加密、備份、恢復(fù)策略，保護(hù)重要數(shù)據(jù)的機(jī)密性、完整性、可用性，防止數(shù)據(jù)泄露、損壞或丟失。

7. 定期安全評(píng)估和演練：定期對(duì)油田辦公網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估和測(cè)試，發(fā)現(xiàn)和修復(fù)潛在的安全漏洞，并開展安全演練和培訓(xùn)活動(dòng)，增強(qiáng)員工的安全意識(shí)和應(yīng)急響應(yīng)能力。

通過以上措施，油田辦公網(wǎng)絡(luò)可以建立起一套縱深防御的體系，提高對(duì)外部和內(nèi)部安全威脅的防護(hù)能力，保障辦公網(wǎng)絡(luò)的安全性和穩(wěn)定運(yùn)行。同時(shí)，還需根據(jù)實(shí)際情況和最新的安全技術(shù)發(fā)展，不斷優(yōu)化和升級(jí)防御措施，應(yīng)對(duì)不斷變化的安全威脅。

（三）通信建設(shè)

加密機(jī)的部署可以提高油田辦公網(wǎng)的網(wǎng)絡(luò)安全性，加密機(jī)符合國密局的技術(shù)規(guī)范，支持多種國內(nèi)自主研制的硬件密碼算法，采用硬件密碼模塊進(jìn)行密碼算法運(yùn)算，可以保證數(shù)據(jù)傳輸?shù)陌踩?。此外，《IPSec VPN技術(shù)規(guī)范》為用戶的數(shù)據(jù)提供了最大限度的安全保護(hù)，防止身份偽造、數(shù)據(jù)篡改、中間人攻擊等安全威脅。同時(shí)，采用國家的商用密碼算法增強(qiáng)系統(tǒng)安全性。其中，《IPSec VPN技術(shù)規(guī)范》的修正主要包括以下幾個(gè)方面：

1. 使用數(shù)字信封認(rèn)證方式：替代了預(yù)共享密鑰和簽名的認(rèn)證方式。數(shù)字信封認(rèn)證方式使用了公鑰加密算法，確保通信雙方身份認(rèn)證和數(shù)據(jù)的完整性。

2. 棄用DH密鑰交換方式：采用公鑰加密的方式來進(jìn)行密鑰交換，避免中間人攻擊的可能。公鑰加密算法使用了非對(duì)稱加密技術(shù)，確保密鑰的安全性。

3. 使用國家的商用密碼算法：替代公開的標(biāo)準(zhǔn)算法。國家的商用密碼算法經(jīng)過嚴(yán)格的安全審查和認(rèn)證，提供了更高的安全性保護(hù)。

二、當(dāng)前海上平臺(tái)網(wǎng)絡(luò)面臨的安全挑戰(zhàn)

（一）信息安全建設(shè)不到位

凈化和保護(hù)海上平臺(tái)網(wǎng)絡(luò)環(huán)境安全，必須要做好網(wǎng)絡(luò)信息安全建設(shè)工作。信息化與網(wǎng)絡(luò)安全之間關(guān)系密切，在相互制約的同時(shí)，也為彼此的發(fā)展做出推動(dòng)。因此，有關(guān)人員應(yīng)提升海上平臺(tái)信息網(wǎng)絡(luò)安全的重視程度，從戰(zhàn)略方面加強(qiáng)海上信息化建設(shè)。但從當(dāng)前海上平臺(tái)網(wǎng)絡(luò)建設(shè)的情況來看，信息安全同步建設(shè)不到位，安全防護(hù)和監(jiān)管存在許多漏洞。

（二）頂層規(guī)劃設(shè)計(jì)不夠全面

海上平臺(tái)數(shù)字化轉(zhuǎn)型的過程中，因資金、管理、網(wǎng)絡(luò)規(guī)模等多方面因素的影響，目前海上平臺(tái)網(wǎng)絡(luò)存在內(nèi)外網(wǎng)邊界不清、業(yè)務(wù)流量混跑等一系列問題，可以發(fā)現(xiàn)海上平臺(tái)網(wǎng)絡(luò)頂層規(guī)劃設(shè)計(jì)不夠科學(xué)和全面，目前在海上平臺(tái)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)前瞻性不足，缺乏可持續(xù)性。

（三）網(wǎng)絡(luò)攻擊安全威脅嚴(yán)峻

云計(jì)算、大數(shù)據(jù)等相關(guān)技術(shù)的發(fā)展，帶來有利一面的同時(shí)，也為網(wǎng)絡(luò)攻擊手段的更新和升級(jí)提供了便利。網(wǎng)絡(luò)攻擊事件頻發(fā)，海上安全網(wǎng)絡(luò)面對(duì)的安全威脅類型更加多樣，也更為嚴(yán)峻。只有盡快做好安全建設(shè)，才能夠更好地規(guī)避潛在風(fēng)險(xiǎn)，抵御網(wǎng)絡(luò)安全威脅。

三、優(yōu)化和提升海上平臺(tái)網(wǎng)絡(luò)安全的具體規(guī)劃設(shè)計(jì)

（一）通信傳輸方面

大數(shù)據(jù)技術(shù)代表的信息時(shí)代的快速發(fā)展，推動(dòng)了數(shù)據(jù)類型和數(shù)據(jù)量的發(fā)展，數(shù)據(jù)信息成為當(dāng)今時(shí)代至關(guān)重要的發(fā)展要素。海上平臺(tái)網(wǎng)絡(luò)主要是通過衛(wèi)星、微波等方式實(shí)現(xiàn)向陸地的信號(hào)傳輸。衛(wèi)星鏈路的傳輸距離較遠(yuǎn)，能夠?qū)?shù)據(jù)信息傳遞到核心機(jī)房中，鏈路兩端是內(nèi)網(wǎng)，默認(rèn)衛(wèi)星鏈路的安全性。相比之下，微波的傳輸距離更短。還有一種傳輸方式是利用海底光纜將信息傳回陸地。但海底光纜鋪設(shè)的成本更高、范圍有限，仍然需要租用運(yùn)營商鏈路，才能夠傳遞回核心機(jī)房，因此需要考慮運(yùn)營商鏈路段數(shù)據(jù)信息傳輸?shù)陌踩浴Ｏ胍獙?duì)海上平臺(tái)傳輸網(wǎng)絡(luò)中敏感數(shù)據(jù)、重要數(shù)據(jù)做好安全保障，避免出現(xiàn)竊取數(shù)據(jù)、篡改數(shù)據(jù)的行為，就必須要做好數(shù)據(jù)加密工作。租用運(yùn)營上鏈路存在潛在數(shù)據(jù)隱患，為了更好地保證傳輸數(shù)據(jù)的安全、完整和真實(shí)，應(yīng)當(dāng)對(duì)租用的運(yùn)營商鏈路應(yīng)用試用虛擬網(wǎng)技術(shù)，提升通信網(wǎng)絡(luò)傳輸?shù)陌踩?。虛擬網(wǎng)技術(shù)一項(xiàng)專用網(wǎng)絡(luò)技術(shù)，該網(wǎng)絡(luò)技術(shù)利用防火墻、VPN建立起一個(gè)安全隧道，實(shí)現(xiàn)信息的安全互通和傳輸。通過對(duì)安全隧道的加密認(rèn)證，能夠大幅提升隧道傳輸數(shù)據(jù)的機(jī)密性。

（二）平臺(tái)端方面

海上平臺(tái)內(nèi)部安全問題時(shí)有發(fā)生，如信息系統(tǒng)安全加固不夠徹底、難以準(zhǔn)確定位問題終端、網(wǎng)絡(luò)設(shè)備遭到了非法入侵等等。這些內(nèi)容均成為目前海上網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵點(diǎn)。加強(qiáng)平臺(tái)端網(wǎng)絡(luò)安全建設(shè)，需要首先做好信息系統(tǒng)安全建設(shè)工作。信息系統(tǒng)中包含很多生產(chǎn)數(shù)據(jù)信息，因此做好信息系統(tǒng)安全建設(shè)工作至關(guān)重要。安全資源池是在虛擬化技術(shù)的基礎(chǔ)之上建立起來的，通過對(duì)入侵防護(hù)、內(nèi)容過濾、防火墻等一系列安全能力池化，能有效擴(kuò)展安全資源池組件，實(shí)現(xiàn)其安全能力的有效提升，為用戶提供更具有針對(duì)性和彈性的安全服務(wù)。其次，還要做好辦公終端安全建設(shè)工作。在日常網(wǎng)絡(luò)運(yùn)營的全過程中，需要對(duì)平臺(tái)端做好相應(yīng)的安全防護(hù)，對(duì)上網(wǎng)人員進(jìn)行統(tǒng)一安全管理，完善審計(jì)和追溯工作。平臺(tái)內(nèi)部的各個(gè)電腦終端均要布置好防病毒系統(tǒng)，加強(qiáng)終端管理，對(duì)所有接入端實(shí)施防病毒安全管理，還要設(shè)置上網(wǎng)行為管理系統(tǒng)，對(duì)每一個(gè)用戶的安全行為和事件進(jìn)行全面細(xì)致的審計(jì)。當(dāng)發(fā)現(xiàn)存在問題時(shí)，第一時(shí)間展開定位追蹤，及時(shí)斷開終端網(wǎng)絡(luò)，以免引發(fā)更大范圍、更嚴(yán)重的安全事件。最后，還要做好網(wǎng)絡(luò)設(shè)備安全管理工作。

（三）網(wǎng)絡(luò)架構(gòu)方面

所謂網(wǎng)絡(luò)架構(gòu)，指的是為了實(shí)現(xiàn)業(yè)務(wù)方面的各種需要，對(duì)各種軟硬件設(shè)施以及互聯(lián)設(shè)備等進(jìn)行聯(lián)結(jié)，構(gòu)建起完整的網(wǎng)絡(luò)結(jié)構(gòu)，更高效地實(shí)現(xiàn)信息數(shù)據(jù)的傳輸。業(yè)務(wù)運(yùn)行中，網(wǎng)絡(luò)架構(gòu)的作用十分關(guān)鍵，因此必須要保證網(wǎng)絡(luò)架構(gòu)安全，在此基礎(chǔ)上設(shè)置相應(yīng)的安全技術(shù)措施，才能夠有效提升通信網(wǎng)絡(luò)安全保護(hù)的效果。因各種歷史原因的影響，海上平臺(tái)網(wǎng)絡(luò)的組網(wǎng)方式缺乏統(tǒng)一性，在網(wǎng)絡(luò)層次、邊界控制方面存在不清晰的部分，很多業(yè)務(wù)中斷采用就近接入方式，未能對(duì)業(yè)務(wù)類型、重要性進(jìn)行分析，未能展開科學(xué)劃分和隔離，這也就造成一個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)可能存在生產(chǎn)、辦公等各種流量。對(duì)此，必須嚴(yán)格按照海上網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的安全需要、業(yè)務(wù)特點(diǎn)等相關(guān)因素，做好對(duì)海上平臺(tái)網(wǎng)絡(luò)的區(qū)域劃分，提升其防御局部威脅的能力，也避免造成整網(wǎng)崩潰。應(yīng)結(jié)合海上平臺(tái)網(wǎng)絡(luò)的實(shí)際情況，堅(jiān)持按照不同類型特點(diǎn)，按照不同安全等級(jí)分區(qū)隔離的方式，對(duì)海上網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行重新梳理和劃分，加以改造，構(gòu)建起不同級(jí)別的安全區(qū)域。可以將海上平臺(tái)網(wǎng)絡(luò)劃分為三個(gè)區(qū)域，分別是辦公網(wǎng)、生產(chǎn)網(wǎng)、工控網(wǎng)，辦公網(wǎng)主要業(yè)務(wù)是對(duì)日常辦公內(nèi)網(wǎng)數(shù)據(jù)進(jìn)行傳輸，安全級(jí)別最低；生產(chǎn)網(wǎng)主要業(yè)務(wù)是對(duì)非控制類工控?cái)?shù)據(jù)加以傳輸，安全級(jí)別較高；工控網(wǎng)對(duì)各類控制信號(hào)進(jìn)行傳輸，安全級(jí)別最高。

（四）區(qū)域邊界安全建設(shè)方面

網(wǎng)絡(luò)資源共享的同時(shí)，也留下了潛在的隱患和風(fēng)險(xiǎn)。海上平臺(tái)網(wǎng)絡(luò)系統(tǒng)根據(jù)業(yè)務(wù)特點(diǎn)、安全級(jí)別劃分成不同的區(qū)域之后，相應(yīng)地還要進(jìn)一步建設(shè)起分等級(jí)的保護(hù)對(duì)象，確定網(wǎng)絡(luò)區(qū)域邊界，通過對(duì)區(qū)域邊界進(jìn)行安全建設(shè)和有效規(guī)劃，進(jìn)一步提升海上平臺(tái)網(wǎng)絡(luò)的安全性，以免發(fā)展出新的網(wǎng)絡(luò)攻擊對(duì)象。相關(guān)人員應(yīng)結(jié)合各安全區(qū)域間實(shí)際的互訪需求，合理確定邊界，并制訂相適應(yīng)的便捷安全防范措施，對(duì)內(nèi)部網(wǎng)絡(luò)加以高效的安全保護(hù)?？梢詫?duì)各個(gè)安全區(qū)域海陸鏈路間邊界設(shè)置防火墻，采用全新軟硬件架構(gòu)，全面支持IPv6+和下一代互聯(lián)網(wǎng)的自主IP網(wǎng)絡(luò)創(chuàng)新體系。支持基于硬件的NP加速引擎，IPv4/IPv6轉(zhuǎn)發(fā)性能大幅提升。防火墻支持IPSec VPN功能，支持SM2/3/4國密算法，更安全。在此基礎(chǔ)上，為海上平臺(tái)網(wǎng)絡(luò)進(jìn)出數(shù)據(jù)的安全性、穩(wěn)定性提供可靠依據(jù)，并設(shè)置針對(duì)性的安全保障策略，還可以與陸地上的態(tài)勢(shì)感知系統(tǒng)連接起來，實(shí)現(xiàn)安全聯(lián)動(dòng)，打造更為全面高效的防御體系機(jī)制。盡管各個(gè)安全區(qū)域間存在隔離，但是還要考慮到區(qū)域間數(shù)據(jù)交換、信息資源共享的實(shí)際需要，在邊界處設(shè)置相應(yīng)的網(wǎng)閘，滿足數(shù)據(jù)交互的現(xiàn)實(shí)需求。

比如計(jì)算環(huán)境安全建設(shè)。考慮每個(gè)中心平臺(tái)用于存放油田日常辦公需要的文件的終端基本上都不具備有效的數(shù)據(jù)備份和恢復(fù)能力，一旦出現(xiàn)硬件損壞或者發(fā)生勒索病毒事件，將造成文件數(shù)據(jù)丟失，對(duì)海上油田日常辦公及生產(chǎn)活動(dòng)造成較大影響。對(duì)此問題的處理，建議做好計(jì)算環(huán)境安全建設(shè)及管理工作，采用備份一體機(jī)，該機(jī)是一種集成了備份軟件和存儲(chǔ)設(shè)備的設(shè)備，用于定期備份重要數(shù)據(jù)并存儲(chǔ)備份數(shù)據(jù)。同時(shí)，備份一體機(jī)的使用還具備數(shù)據(jù)備份和恢復(fù)功能，確保海上油田日常辦公及生產(chǎn)活動(dòng)的數(shù)據(jù)安全，在備份一體機(jī)的作用下能自動(dòng)備份、增量備份、容災(zāi)恢復(fù)、加密和壓縮、定期檢查和驗(yàn)證等，通過部署備份一體機(jī)，可以在出現(xiàn)硬件損壞、勒索病毒攻擊或人為誤刪除等情況下及時(shí)恢復(fù)數(shù)據(jù)，最大程度地減少數(shù)據(jù)丟失和對(duì)日常辦公及生產(chǎn)活動(dòng)的影響。

四、結(jié)束語

新技術(shù)水平的提高以及各類新技術(shù)的應(yīng)用范圍更加廣泛，使信息安全威脅也在不斷升級(jí)和更新，給海上平臺(tái)信息網(wǎng)絡(luò)安全埋下了各種各樣的隱患。相關(guān)人員要結(jié)合實(shí)際需要，優(yōu)化海上平臺(tái)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)和規(guī)劃工作，建設(shè)更為完善、全面的安全防護(hù)體系，提升防護(hù)體系抵御安全隱患的能力和水平，更高效、精準(zhǔn)地抵御和防范網(wǎng)絡(luò)攻擊，最大限度地減少安全事故、安全問題發(fā)生的可能性。

參考文獻(xiàn)：

［1］ 沈文建，孫源，李暢，等. 智能視頻監(jiān)控技術(shù)在海上平臺(tái)安全生產(chǎn)領(lǐng)域的應(yīng)用研究與思考［J］. 信息系統(tǒng)工程，2022（08）：73-76.

［2］ 劉紅霞. 深海海洋平臺(tái)控制系統(tǒng)智能化研究［J］. 海洋工程裝備與技術(shù)，2019，6（S1）：404-408.

［3］ 林忍. 海油海上平臺(tái)提升網(wǎng)絡(luò)性能與安全分析［J］. 化工設(shè)計(jì)通訊，2018，44（07）：30.