郭 渝 胡畔宁 刘 欢

（1.中国石油西南油气田公司川东北作业分公司，四川 成都 610051；2.中国石油西南油气田公司通信与信息技术中心，四川 成都 610051）

0 引言

中国石油西南油气田公司（以下简称西南油气田公司）近年来通过在信息化建设方面引入新技术、构建新服务，持续推进两化深度融合，协助推进了公司实现高质量发展。尽管如此，面对越来越复杂的信息化环境，信息安全风险日益突出等问题，大力提升公司信息化安全防护能力成为公司信息化建设的重要举措。为此，针对在网络安全、桌面终端安全、服务器安全、数据安全等方面的短板，提出应大力研发和引进先进的信息化技术，淘汰老旧设备，转变管理理念，有针对性地建立较为可靠、统一的防护体系，形成独有的、有较强可行性的安全策略，为公司两化融合的深度推进和天然气安全、高效生产提供有力保障。

1 网络安全防护体系

1.1 现状及问题

西南油气田公司内部对网络按等级、区域等进行划分。具体到网络拓扑层面，通过OSPF-RIP 和BGP 等内部、外部网关协议对网络划分安全域，通过A-B 侧双链路进行冗余传输，通过虚拟路由冗余协议（VRRP）［1］技术对核心网络设备进行冗余备份、链路聚合、负载均衡，网络运行可靠。网络安全防护方面以多重防护为核心，各层保护相互补充、协助。防护手段包括防火墙、入侵检测系统（IDS）［2］、入侵防御系统（IPS）［3］、Web 应用防护系统（WAF）、网络非法接入检查系统、日志服务器、日志分析系统、态势感知平台。

随着网络攻击的日趋频繁、复杂，公司现阶段的网络安全防护体系暴露出部分漏洞：目前西南油气田公司至下属二级单位之间网络没有完善的防护措施，有的缺少防火墙，有的缺少IDS 和IPS，网络入侵事件不可控制；现有态势感知平台只实现了基础的资产管理、日志分析等功能，缺少增强安全分析、高级安全分析、流安全分析等全方位态势感知功能。

1.2 搭建新型网络安全防护体系

针对发现的问题，公司应在其二级单位网络核心层加快补充部署防火墙、IDS、IPS 等防护设备。防火墙部署在网络边界，对进出网络的数据包进行解析，最终实现对数据包访问控制、流量分类、攻击防护和服务质量（QoS）等功能。针对当今操作系统、应用软件、开发环境、基础协议都存在安全漏洞，而防火墙对ISO／OSI 网络模型4-7 层的检测和防御能力薄弱，采用IDS、IPS 系统可侧重分析和防御会话层、表示层、应用层的网络漏洞和攻击。

IDS 侧重于风险管理，主要对深达7 层的网络流量或数据包进行采集，通过入侵检测技术进行数据检测。IDS 的方法主要分为特征检测和异常检测两种。当前单一技术各有利弊，对于提升入侵检测的有效性，需要多种技术融合，取长补短。表1为特征检测和异常检测优缺点分析。

IPS侧重于风险控制，进行主要对于检测到的入侵事件采取多种响应方式，通过从存储中提取检测异常的数据进行具体分析，包括回溯分析、蠕虫行为分析、IP 冲突检测、TCP 流重组、扫描行为分析、端口分析、域名分析、互联分析、协议分析等，同时记录事件日志、告警、原始报文记录等动作。IDS和IPS 功能的侧重点不同，所以应将二者搭配使用，使网络的防御能力显著提高。

表1 特征检测和异常检测优缺点分析表

为了防患于未然，还需引进大数据和人工智能的产物—— 态势感知平台［4］，平台对各项监控数据进行模拟分析，通过新型数据融合处理手段来对威胁和风险进行感知，同时平台可以实现安全需求以及业务特点的可视化呈现。态势感知平台可实现的具体功能见图1。

图1 态势感知平台功能模块图

2 桌面终端安全防护体系

2.1 现状及问题

西南油气田公司采用桌面安全管理系统（2.0）实现桌面终端防护，后台管理为北信源公司提供的桌面安全管控平台，病毒防护软件已由“360天擎” 全面替代桌面安全管理系统（1.0）建设工程项目中所部署的 “赛门铁克” 软件。通过策略管理、补丁分发两种方式对安装北信源VRV 终端进行监控和审核。桌面安全管理系统（2.0）更加注重用户风险的管理，通过对用户计算机日志的审核，对违反安全策略的主机，尤其是敏感数据外泄的进行跟踪、阻断。西南油气田公司必须进一步扼制桌面安全管理系统存在的缺陷，有效限制终端用户不安全的操作行为，有效抵抗未知病毒实施入侵。

2.2 搭建新型桌面终端安全防护体系

新型桌面终端防护体系充分考虑终端用户的身份认证和权限的划分。因为终端用户角色的多样性和行为的不确定性导致公司的内网暴露在高安全风险中，故采用活动目录（AD）［5］服务技术有效地防范此类风险，同时AD 作用于公司基础设施底层技术，有机地分配和衔接网络和服务器资源，更加规范地管理计算机终端和用户群体。AD实现的效果如下：

1） 用户身份认证：可以使用双因子认证机制，智能卡和个人身份识别码（PIN），智能卡内存储员工的身份证书，待认证服务器验证通过后，终端用户输入4位数字PIN码，方能登录目标计算机。

2） 单点登录：用户通过双因子身份认证后，在AD 和认证服务器的作用下，访问支持AD 认证的网络资源的时候，不需要再次认证。

3） 用户访问权限控制：用户登陆办公系统后为最低权限，仅能访问局域网部分资源，专业应用访问权限必须申请，就连广域网访问权都要申请。这样最低权限管理有效地减小网络安全风险。域控制器为用户权限分配提供简便操作，只需将用户移到相应的权限控制组即可。

4） 磁盘资源共享：域控制器使用组策略为用户启动登陆脚本，结合微软公司的分布式文件系统技术，用户可供分配的网络磁盘（O）和个人网络磁盘（P）由此形成。

5） 用户定制桌面：域控制器采用组策略——漫游账户技术和文件夹重定向技术，实现了用户不论在哪台已经接入办公网络的计算机上登陆，都会呈现相同的用户自定义内容。

6） 组策略运用：微软提供了多个组策略，这些组策略影响计算机使用的方方面面。通过组策略域控制器对用户计算机的管理更加方便，如：禁用了向U盘写数据的权限。

7） 系统中心配置管理（SCCM）：域控制器剥夺了用户机管理员权限，用户无权安装软件和升级系统，可以采用微软SCCM处理软件集中存储、分发以及系统补丁升级。SCCM 与AD 配合部署，采用分层构架：中心站点、初级站点、次级站点、客户端，站点部署在域控制服务器上，有自己的数据库，为客户端进行软件分发和系统升级补丁分发和管理公司计算机资产。

3 服务器安全防护体系

3.1 现状及问题

西南油气田公司现有服务器280余台，分为物理机部署、虚拟机部署和私有云计算部署；拥有数据库40 余套，分为直接附加存储（DAS）、网络附加存储（NAS）［6］和分布存储［7］3 种存储构架。由于公司服务器、存储设备众多，分布在川、渝两地，资源整合、管理优化等都有提升的空间，必须探索适合西南油气田公司服务器、存储设备部署的方法。

3.2 搭建新型服务器安全防护体系

公司采用OpenStack［8］公司的云管理平台，部署涉及的主要功能模块有计算服务（Nova）和存储服务（Swift）。

1） 计算服务（Nova）：通过Nova-API模块初始化虚拟机变量；Nova-scheduler 通过过滤器、权重方式筛选计算节点挂载虚拟机；Nova-comput+Hypervisor管理虚拟机实例全生命周期；Nova-conductor 访问控制节点存储，四模块之间采用消息队列通信。Open-Stack 是开源产品，使用驱动化的理念封装了多种虚拟化实例。单独运行Nova完全可以实现虚拟机技术。

2） 存储服务（Swift）［9］：为OpenStack 集群提供跨节点大规模分布式对象存储。对象存储是将相应的数据存储为二进制对象，特别适合存储大卷的数据如：镜像、视频文件等，不适合存储频繁写操作的对象，如：虚拟机等。Swift 采用环（Ring）、一致性哈希算法以及最终一致性等先进理念。

西南油气田公司大胆尝试私有云计算，重新构造服务器、存储构架，通过私有云计算的统一性、完整性、扩展性进一步提升公司在服务器、存储方面的安全防护体系，为更快、更好、更经济的部署服务器、存储奠定了基础。

4 数据安全防护体系

4.1 现状及问题

西南油气田公司数据安全防护方面存在的问题主要表现在数据备份策略部分缺失，数据备份工程资金投入不足，数据备份环境搭建无法跟上企业发展等。同时还存在数据备份对象不全面、备份方案单一、重复备份不足等问题。缺乏备份处理的数据存在安全隐患，所以完善的数据备份机制是企业数据安全防护体系的重要环节。

4.2 搭建新型数据安全防护体系

公司应采用多种产品和技术实现多种方式的数据备份，以此满足所有应用场景和不同用户的多种数据备份和恢复需求。备份体系分为在线备份、离线备份和异地灾备3层数据保护。

在线磁盘备份是数据存储的第一层保护。此类备份的优势在于备份数据存放于在线设备上（存储或服务器），可以随时检索或调取，大大减少复原目标时间（RTO）和复原目标时间点（RPO），满足公司对关键性、时效性要求高的数据的恢复需求。但是备份数据和原始数据在同一设备上，造成备份和恢复过程会消耗生产环境的计算、存储和网络资源，备份成本高，另备份数据保存周期短。

采用离线磁带备份可以弥补在线磁盘备份的不足，将不同平台、不同应用的所有数据进行统一备份和管理。方案的总体流程是将所有需要备份的数据，先缓存到磁盘存储设备（DD）上，然后将DD 上的数据依次写入物理磁带。对于离线的磁带，每天会转存到第三方仓库保存。这一方案的好处在于：延长备份数据周期；统一管理备份和恢复；数据重复性删除；备份数据的快速上线。

异地的数据备份和灾难恢复不仅涉及存储和备份本身，更离不开网络、应用程序的支持。考虑到成本因素，公司只需对极少关键性数据做异地灾备。将两个城市的关键业务数据卷做异地克隆，每两小时做一次数据同步，为了不影响正常的业务，公司需要采用备份网络线路做克隆与数据同步。当本地的关键数据故障而无法工作时，修改DNS，引导关键业务流量访问异地存储，保证关键业务的连续性。当本地数据中心或者存储数据卷重新上线后，异地数据卷将数据再次克隆回本地，修改DNS，将关键业务流量再次引回本地。

5 结论和建议

1） 国内油气田公司在网络安全方面管理方面正迎头赶上国际先进企业，以中国石油西南油气田公司为例，其态势感知平台的部署加强了公司网络防护体系。建议在技术合作方面更多地倾向国内先进企业，尤其是核心层、汇聚层的网络和防护设备，这样既能满足统一性、安全性，又能提高伸缩性。

2） 在桌面终端安全体系建设方面存在治标不治本的现象，活动目录服务器的搭建能从源头阻止终端用户的不安全行为。

3） 在服务器安全体系建设方面，正在实现跨越式的发展，私有云计算的实施落地不但提高了服务器运维的安全性，还大幅降低了企业投资成本，对企业高效部署服务器、存储设备扫清了障碍，大幅提高桌面终端和用户群体的管理水平。

4） 在数据安全体系建设方面，还需加大投入和研发力度，特别是核心数据的备份以及异地灾备方面，还需进一步的规划部署，面对潜在的数据安全风险既要管理又要控制，两只脚走路才能更稳定。