数字油气田网络安全管理与防护对策研究
2022-12-06赵捷
◆赵捷
数字油气田网络安全管理与防护对策研究
◆赵捷
(大庆油田第十采油厂 黑龙江 163000)
本文在系统分析当前计算机网络信息安全发展现状的基础上,对威胁网络安全的主要因素进行全面梳理分析认为:在当前的网络环境下,企业应当从行业资源整合、信息安全人才培养、终端设备防护以及数据库应用安全四个维度制定符合自身建设与发展需求的安全防护策略与应对方法,才能确保各项生产运行活动在安全的网络环境下进行。最终得出结论,一是企业安全要从意识和技术进行加强,二是为企业量身打造网络安全平台,未来在企业网络安全方面将发挥重大作用,三是为企业配套硬件设施,制定安全防范策略,建立并完善企业互联网安全监管体系,提高网络环境信息安全的保障能力。
互联网;企业;信息安全;安全管理;防护对策
截至2020年12月,中国网民规模达9.89亿,相当于全球网民1/5;互联网普及率达70.4%,约高于全球平均水平5.9个百分点;网民中使用手机上网的比例为99.2%,入网门槛进一步降低[1]。随着互联网的普及和新技术、新业务的快速发展与应用,我国互联网安全业务需求也在快速地增长,在各方的共同努力下,网络安全防护和网络安全事件应急响应水平得到提升。当前,勒索软件对重要行业关键信息基础设施威胁加剧,拒绝服务攻击频次下降但峰值流量持续攀升,针对工业控制系统的定向性攻击趋势明显,虚假和仿冒移动应用增多且成为网络诈骗新渠道,云平台成为发生网络攻击重灾区等问题凸显[2]。因此,分析和总结企业互联网安全状况,提出企业互联网安全管理及技术解决方案,对全面提升石油石化行业信息技术创新发展能力,提高两化深度融合和网络安全管理水平,助力企业降本增效至关重要。
1 当前互联网安全状况
1.1 网络安全法律法规政策保障体系逐步健全
自《网络安全法》实施以来,网络安全相关法律法规及配套制度逐步健全,逐渐形成综合法律、监管规定、行业与技术标准的综合化、规范化体系,我国网络安全工作法律保障体系不断完善,网络安全执法力度持续加强[3]。
1.2 互联网安全威胁得到治理
互联网安全环境经过多年的持续治理效果显著,针对重要行业的木马僵尸恶意程序、网站安全、安全漏洞等传统网络安全事件大幅减少,网络安全环境得到明显改善,使网民财产安全得到保障。
1.3 云平台成为发生网络攻击的重灾区
云平台成为网络攻击的重要目标是因为大量系统部署到云上,涉及国计民生、企业运营的数据和用户个人信息,成为攻击者攫取经济利益的目标。网络流量的复杂性有利于攻击者隐藏真实身份,攻击者更多地利用云平台设备作为跳板机或控制端发起网络攻击。
1.4 数字油气田网络安全建设
油气田智慧化是一个系统工程,实现地面-井筒-油气藏的一体化分析功能是数字化和智能化的着眼点,除了监控数字化改造作为重要的数据来源保障外,如果立足智能化油气田的目标,则针对后台管控和数据采集后的开发分析深化应用将和采集监控一样重要,特别是“一井一策”和“专题化”的分析管理决策尤为重要,这样才能提升油气田开发的整体智能化水平[5]。
2 威胁互联网安全的主要因素分析
2.1 恶意程序
恶意代码的传播方式在迅速地演化,从引导区传播,到某种类型文件传播,到宏病毒传播,到邮件传播,到网络传播,发作和流行的时间越来越短[6]。
2.2 安全漏洞
安全漏洞是硬件软件或使用策略上的缺陷,他们会使计算机遭受病毒和黑客攻击。危害等级相当高。
2.3 网站安全
网站安全,是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作[8]。危害等级一般。
2.4 工业互联网安全
电力、燃气、供暖、煤炭、水务、智能楼宇六个重点行业的联网工控系统或平台都可以存在严重漏洞隐患,这些漏洞若被黑客恶意利用,可能造成相关系统生产停摆或大量生产、用户数据泄露。危害等级逐年上升。
2.5 其他黑客攻击
社会工程学。在如今的复杂形势下,从管理方面也要做到“技防人防”,近些年屡见不鲜的社会工程学攻击方式为人们敲响警钟,要制定谁使用谁维护,谁使用谁负责的安全防范制度,有效杜绝社会工程学攻击。
3 企业互联网安全防范对策
3.1 行业互联网安全防护策略整合共享
建议石油石化企业信息安全相关部门将各企业互联网信息安全防护策略进行整合、共享,共同提升石油石化企业互联网信息安全防护能力,提升信息安全工作效率和质量,营造安全、稳定的网络运行环境。
3.2 加大企业网络信息安全人才培养
2016年4月19日网络安全和信息化工作座谈会指出“网络空间的竞争,归根结底是人才的竞争”。我国对于网络安全人才的需求缺口超过50万人,预计到2025年此类岗位的需求将超过140万人。
3.3 加强企业互联网终端设备安全防范策略
(1)按照集团公司信息安全部门制定的“安全基线”配置终端计算机。
以公安部开展的2020“护网”行动为契机,严格执行集团公司下发的安全基线来配置终端计算机,提高网络安全性。
(2)优化磁盘格式来提升系统安全性
磁盘用NTFS格式,避免用FAT32格式,使其具有设置访问许可权限,进而提升系统安全性。
(3)避免安装Ghost系统
Ghost版系统存在着很多安全隐患,系统内置账户Administrator密码为空,默认开启3389等服务端口,系统稳定性低。
(4)安装并及时更新企业终端计算机查杀毒软件
系统安装并及时升级查杀毒软件,避免被黑客侵入后变为跳板机。安装企业内部定制查杀软件,针对性强,安全性更高。
(5)禁用系统自动播放功能
关闭系统的自动驱动服务,避免因为可移动存储媒体、闪存媒体、外部热插USB或1394固定驱动器内的病毒、木马程序,在设备连接计算机时自动运行,造成病毒的介质入侵攻击。
(6)使用定制收发邮件
收发邮件尽量使用专业软件进行办公,一是防止进入被篡改的邮箱登录页面被钓鱼,二是专业软件具有邮件加密功能,提高收发邮件的安全性。
3.4 加强企业服务器端数据库应用安全防范策略
(1)服务器端添加防火墙
为保护企业网络环境的安全,应添加服务器防火墙,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来提高网络的安全性。
(2)添加日志服务器
在服务器系统中,添加专门的服务器来记录服务器日志,并外接实时打印机、刻录机,确保安全恢复服务器的安全、系统、应用程序三种日志。
(3)最小化安装系统
将服务器中的不需要服务禁用,不使用的端口关闭,进行系统最小化安装。
(4)核心交换机配置白名单及端口
按照集团公司要求,将企业网核心交换进行白名单配置,开启、关闭规定端口,有效阻断外网侵入行为,并配合防火墙及日志服务器,保护内网安全运行。
(5)组建一支在非常时期对网络进行实时监控的技术队伍
例如在2020“护网”行动期间,组织专业技术人员7✕24小时对责任范围内设备网络进行监控。发现可疑行为立即阻断访问,并上报网络安全中心。将这支信息安全队伍的人员和设备,写入应急方案。在非常时期能够随时应对企业网络信息安全任务。
(6)开发应用《智能控制网络安全管理平台》有效解决企业网络安全问题
通过开展科研项目,为企业单位量身定做网络安全管理系统。实现对网内使用的HUB及下接设备进行自动发现和管理,且能够通过Web页面统一、直观展示,为提升技术人员工作效率,降低网络安全风险,和更好地为油田持续开发提供技术支持。
4 安全解决方案
(1)工业互联网安全解决方案
建立纵深防御核心思想:垂直分层、水平分区、便捷控制、内部监测、集中展现。第1防线,IT与OT通信隔离;第2防线,操作层与监控层访问控制;第3防线,操作及加固、恶意防护;第4防线,监控组态对控制器入侵防御。
(2)云安全解决方案
按需灵活划分安全区域,划分内网与DMZ区。
云主机防护层面,hypervisor层(无代理)和虚机轻代理。无代理防护模式重点关注进出虚机的流量检测与防护,虚机轻代理防护模式重点关注虚机系统层面的安全检测与防护。云主机防护建立统一的控制器来协调和调度。
(3)数据采集安全解决方案
方案设计理念与原则:纵深防御,纵向分层、横向分区,高度融合,将安全思想和安全措施有机融合到工业设备中,包括物理层面和操作系统层面。工业态势感知,在地图上实时展示所有RTU的安全状态和事件,可在调度中心查看所有井间站的整体安全态势。
5 结语
随着物联网、云计算、大数据、移动应用、人工智能等新兴技术高速发展,石油工业正面临着新一轮的产业升级和向数字化、智能化转型发展的重大机遇和挑战。建立纵深防御工业信息安全体系,是保障油田稳定发展的前提,要做到几下几点:
(1)网络应用的多样性和其强大的功能正不断地增强,企业办公系统逐渐形成网络系统、门户系统以及邮件系统,互联网安全是一个综合性课题,有效加强网络自身建设、安全防范意识,强化软、硬件配套设施,制定安全防范策略,提升企业信息化应用与安全技术保障能力,保护好企业的信息安全,才能在科技不断进步的时代,安全、稳定地进行生产和生活。
(2)基于云服务技术的《智能控制网络安全管理平台》的设计与应用实现已具有良好的技术条件,未来在企业网络安全方面将发挥重大作用,具有较好的应用建设前景。系统设计了《智能控制网络安全管理平台》的逻辑架构、物理架构、操作系统及数据库结构,并对其进行了应用模拟测试,证明整个设计方案是符合应用设计要求的。
(3)企业办公系统逐渐形成网络系统、门户系统以及邮件系统,互联网安全是一个综合性课题,涉及立法、技术、管理、使用等多方面,应有效加强网络自身建设、安全防范意识,强化软、硬件配套设施,制定安全防范策略,建立企业互联网安全监管系统,提高网络环境信息安全保障能力。
[1]高志亮,高倩,等. 数字油田在中国—数据科学与数据工程[M].北京:科学出版社,2015.10.
[2]黄光.计算机网络信息安全及防范对策研究[J].企业科技与发展,2017(1).
[3]卞丽情,赵志俊.计算机网络信息安全及防护策略研究[J].无线互联科技,2017(3).
[4]吴一凡,秦志刚.计算机网络信息安全及防护策略研究[J].科技传播,2016(1).
[5]王如海.内部网系统的网络信息安全管理[J].计算机安全,2017(7).
[6]安源,周霖,邓坤.企业信息安全的新问题及对策[J].天然气与石油,2006(5).
[7]李培培.大数据与计算机网络的信息安全策略分析[J].电子技术,2021(5).
[8]曹建.基于互联网的信息安全分析.电子技术[J],2021(5).
