采油厂计算机网络信息安全管理方案分析
2021-11-22付杰
付 杰
(大庆油田有限责任公司第二采油厂信息中心,黑龙江 大庆 163000)
0 引言
油田信息化建设速度不断加快,信息技术服务已经融入各个部门,采油厂网络的覆盖面积越来越大,计算机总量也不断增多,随之出现的网络信息安全问题越来越多。采油厂如果只通过增加管理人员的方式来保障信息安全,很难取得理想的效果,急需对计算机网络信息安全防护工作展开研究,提升采油厂计算机网络的可靠性、稳定性和安全性。
1 采油厂计算机网络信息安全管理内容
采油厂计算机网络信息安全管理离不开信息技术的应用,采油厂在计算机网络管理方面要做好服务器、网络和计算机的定期维护,以此保障采油厂信息安全。采油厂油气进井过程中,监控设备发挥着重要作用,如果只采用人工监控的方式,不仅费时费力,效率还很低,而采取自动监控的模式,效率可以得到很大提升,还可实现对配水间、注水井以及油井工作状态的实时监控,出现问题时可以及时发现并解决。
计算机网络信息安全管理中的关键环节是应用信息安全管理平台。利用先进的信息技术,配置先进的设备仪器,制定科学合理的措施,实现当前技术的更新和创新,使采油厂信息安全工作管理模式能与时俱进,更好地满足采油厂工作需求。要积极引入先进的信息技术,开展相关人员信息安全管理知识与技能培训,保证工作人员能更好地认知信息安全管理,了解系统工作流程,便于后期维护管理。
采油厂要对计算机网络信息安全管理模式进行分析,首先要充分了解采油厂工作人员结构、基础设备以及重要信息等内容,掌握采油厂信息安全具体需求,从每个构成部分的需求出发进行设计,制定科学的计算机网络安全管理措施、管理制度并切实落实,实际执行过程中还需要结合具体情况适当修改管理措施,以提升采油厂信息安全管理平台的运行效率,使其能更大限度满足采油厂的信息安全需求。
2 计算机网络信息安全管理问题研究背景
当前,采油厂计算机数量达到了几千台,网络布局面积在不断扩增,病毒攻击的风险也随之增大,对防范工作提出了更大的挑战。因此,基于计算机技术制定有效防护措施是目前采油厂急需解决的问题。采油厂的网络线路规模扩增速度不断提升,而且生产网、办公网和变电所专网等网络混合应用,还有部分正处于建设中。建设完工后,光缆长度以及接入终端需求都会增加。因此,网络安全和稳定显得尤为重要。
大庆油田第二采油厂将高危终端自动化隔离以及攻击入侵的主动防御作为信息安全工作管理中的主要课题展开研究,在保证网络安全的基础上,深入研究采油厂主干网、工控机设备、物联网传感器以及应用系统间联通技术,进一步加大采油厂网络安全预防和保护力度。
3 计算机网络信息安全管理方案
3.1 制定安全管理方案
安全性检测是连接企业网与计算机终端的前提和基础,首先,要确定好具体的安全管理方案和措施,具体包括病毒检测、软件安装检查、因特网浏览器(Internet Explorer,IE)代理检查、违规外联检查、Guest 用户检查、进程以及弱口令检查。
3.2 推送安全管理方案
采油厂推送安全管理方案采取统一模式,通过端点准入控制系统向采油厂计算机终端推送安全管理方案。部署和推送的安全管理方案经计算机检测合格之后,才能将安全管理方案接入网络,已经入网的计算机如果出现违规操作,采油厂信息安全管理平台会反馈违规信息,同时对计算机用户进行在线警示。
3.3 服务器接入方案
采油厂在本地服务器部署小部分应用数据信息,其余大部分信息都部署在云数据中心服务器内。本地服务器的缺陷主要在于操作系统兼容性较差,端点准入客户端以及终端安全客户端都不能直接完成安装,无法推送安全准入方案。所以,首先要采取人工方式配置安全管理方案,设置防火墙隔离,阻止其与外部网络通信,再完成本地服务器的入网操作。在采油厂内部网络中,通过漏洞扫描系统来完成扫描工作,如果发现存在中高危漏洞需要及时修复,经扫描确认通过以后,才能与外网进行通信。系统管理员负责向云数据中心服务器申请资源,申请通过后数据中心管理员将资源传输给系统管理员,系统管理员完成安全配置工作。安全配置工作以《中国石油天然气集团公司服务器安全配置指南》为标准,保证安全配置符合标准后再部署相关应用,然后扫描漏洞,完成扫描之后才可以应用。此外,还要利用Windows update 补丁进行不定时更新。
3.4 非计算机终端的安全接入方案
非计算机终端包括网络摄像头、打印机等,使用过程中应将非计算机终端等级升级到最新版,升级完成以后设置防火墙隔离,阻止其与外网通信,在采油厂内部网络中扫描漏洞如果发现中高危漏洞需要及时修复,待扫描顺利通过以后才能与外网进行通信。
3.5 工控系统接入企业网方案
工业控制系统和采油厂内部其他系统之间应保持相互独立,两个独立区域之间要通过技术方式实现隔离,不允许文件传输协议(File Transfer Protocol,FTP)、Telnet、E-Mail 等网络服务穿越两个区域边界,以全面提升生产网和管理网信息传递的安全性。此外,还应优化技术隔离手段,利用工业网闸实现和企业间的信息传递,信息数据若符合控制网传输协议则可以反馈给控制网,除此之外,其他数据无法反馈到控制网。同时,过滤信息内容和协议格式,对其进行严格审查,保障生产网和管理网通信的安全性。
工控设备与网络连通之后,厂级网络服务器通过工业安全隔离网闸与生产管理层进行数据同步。生产管理层的制造执行系统(Manufacturing Execution Systems,MES)通过工业安全隔离网闸实现客户端对应用于过程控制的OLE(OLE for Process Control,OPC)服务器的访问,并完成数据采集,使用OPC 应用数据传输功能。管理协同层通用网闸可实现客户端和服务器的数据同步功能。
4 计算机网络信息安全管理方案的实现
4.1 进程检查方案
进程检查方案部署在端点准入控制系统终端,必须安装桌面安全管理软件,确保计算机新入网时能进行安全进程检查,检查通过以后才能入网,已经入网的计算若进程无效,则会有修复提醒。
4.2 弱口令检查方案
弱口令检查方案部署在端点准入控制系统终端,根据集团密码复杂程度的要求来进行检测,密码长度至少12 位,不能含有用户名,不能含有用户真实姓名中2 个以上连续字符,至少包括数字、英文大写字母、英文小写字母和特殊字符中的3类,无论是否入网,只要检查未通过,都会将违规信息反馈给变冷媒流量多联系(Variable Refrigerant Volume,VRV)管理平台,用户在下一次开机后必须进行修改。
4.3 Guest 用户检查方案
Guest 用户检查方案部署在端点准入控制系统终端,默认状态为禁用账号,如果启用就必须保证其符合集团密码设定要求,无论是否入网,只要没有通过检查,都会将违规信息反馈给信息安全管理平台,用户在下一次开机后必须进行修改。
4.4 违规外联检查方案和IE 代理检查方案
违规联网监督控制是利用探头嗅探万网地址实现的,周期为一分钟,如果计算机终端存在违规外联现象,就会将相应信息反馈到信息安全管理平台,计算机端则会有提醒非法网络连接断开的提醒。IE 代理检查方案中只有集团建立的互联网代理地址为正规,其余地址均为违规代理,基于这种方式,反馈违规信息后,计算机终端会有网络连接断开提醒。
4.5 安装软件检查方案
桌面安全管理系统设定为必须安装的软件,Virtual Network Console、Teamview 等设定为违规软件,推送提醒并将违规信息反馈给信息安全管理平台。
4.6 防病毒检查方案
完成进程检查方案和安装软件检查方案的推送之后,将杀毒软件的状态设定为有效,而且是一直有效。采油厂计算机数量较多,统一或是自动进行病毒查杀和漏洞修复,服务器宕机发生率会很高,因此,通常会采取分段定期扫描和查杀病毒的方式。
5 结语
采油厂高度重视计算机网络信息安全管理,其信息安全管理水平的提高需要从管理力度和技术水平两方面同时加强。制定有效的信息安全总体解决措施,保证其高效落实,建立信息安全防护系统,为信息网络运行的稳定性、可靠性和安全性提供保障;制定信息安全应急预案要从采油厂具体情况出发,及时、高效处理突发事件,保证采油厂信息系统正常运行。
