数字化油田的网络安全管理.docVIP

数字化油田的网络安全管理 摘要 随着长庆油田大力推进油田数字化建设，对网络的承载能力和安全性提出了更高要求。如何保障数据传输的高效稳定，做好内网（无线网、有线网）、外网（电信网）安全成为一个重要课题。本文根据盘古梁油田实际情况，来分析如何应对安全隐患，保证内部重要数据、资料的完整和安全。 关键词 数字化；油田；网络安全 中图分类号TE4 文献标识码A 文章编号 1674-6708（2013）86-0025-02 1 网络现状 在长庆油田信息化、数字化建设进程中，逐步完善了从井站、作业区、厂部到公司以及业务单位的网络覆盖，在此基础上应用RTX、布谷鸟、电子邮箱、QQ、视频会议、信息网站、冠林系统、A2系统、ERP系统、SAP系统、数字化生产指挥系统等，实现了办公同步、资源共享、信息录入访问及逻辑处理、生产远程监控、数据智能分析等功能，构成了庞大的数字化信息系统，极大的提高了生产、办公效率。但相应的，现代油田生产办公对网络、计算机的依赖也越来越高，如果出现网络安全问题，就有可能造成重大损失或灾难性的影响。 2 网络存在的安全隐患 按照中国石油统一规划，长庆油田网络，对内与中国石油各级内部网络互联，对外，通过西安网络核心接入电信网，那么盘古梁油田的网络安全问题从结构上，可以从内网安全、外网安全来进行具体分析。 2.1 内网的潜在危险 油田内网是整个数字化信息系统中最重要的基础组成部分，内网的高效运行首先要求网络系统架构（硬件）的合理稳定。包括网络三层结构（核心层、汇聚层、接入层）的油气区地理部署，各层级组网拓扑结构设计，交换及路由设备规划，网络带宽划分，系统承载能力设置，连接线路（光缆、无线网桥等）选择，计算机（服务器、客户端）配备等，只有有了合理的架构才能讨论解决相关的网络安全问题。 2.1.1 油田局域网的开放性降低安全性 利用局域网的资源开放性，应用web服务器、FTP、映射等实现了油田内部资源高度共享，但同时也为数据丢失、篡改以及病毒的传播留下了安全隐患。 2.1.2 无线技术的易侵入性 在油田数字化建设过程中，由于基层井站距离、地貌等问题，通过光缆连接网络不易实现，无线技术由于其终端可移动性、覆盖范围广、低成本、易施工等优点得到大量应用，但是在接入点AP范围内，使用加密破解程序或MAC地址欺骗等手段，任何一台无线设备都有可能接入该网络，占用网络带宽资源，对保存在网络终端电脑里的油水井生产数据等重要资料进行窃取，损害企业利益。 2.1.3 使用人员操作不当 部分员工缺乏安全防范意识，未经杀毒处理就直接将U盘、储存卡、光盘等存储介质以及存在安全隐患的个人电脑、手机等终端接入内网，导致病毒、木马程序的快速传播，感染其他计算机，造成网络过载、数据破坏。 2.1.4 运维人员监控难度大、手段不足 油区的范围广人员多，数字化的大规模建设和应用，使情况越发复杂，而且无法保证没有来自内部的攻击，内部人员对情况相对了解，破坏力更大；同时由于运维人员（网络管理员、数字化运维人员）技术手段的不足，寻找问题源点迟缓，常常不能及时处理修复。 2.2 外网的威胁 2.2.1 软件的漏洞攻击 软件分为系统软件和应用软件两大类，系统软件负责管理计算机系统中各种独立的硬件，使得它们可以协调工作，主要包括操作系统、程序设计语言（c语言）、解释和编译系统、数据库管理程序（ORACLE、MySQL、ACCESS、MS SQL）等；应用软件是指用户利用计算机及其提供的系统软件为解决各种实际问题而编制的电脑程序，常见的有OFFICE软件、Photoshop、建站代码、杀毒程序等。这些软件都不可能做到完美，通常或是故意存在一些漏洞（尤其是盗版软件），其存在的漏洞和缺陷传统安全工具难以防御，容易受到别有用心者的专门攻击，导致某个程序或者整个网络瘫痪，数据损坏和丢失。 2.2.2 网络病毒破坏 网络病毒是一组能在计算机系统中通过自我复制进行快速传播的计算机指令或者程序代码，在侵入电脑后影响计算机功能或篡改破坏数据，危害性极大。目前，油田内网用户通过代理设置接入因特网，与外部网络交互，代理服务器的访问屏蔽功能和与之相连的入侵保护防火墙实现了一定的过滤清洗防护作用，但相对于外部泛滥的病毒问题，一次不经意的鼠标点击就有可能感染病毒从而危害到整个内网的安全，如盘古梁油田内部常见的有Arp病毒、首页劫持、AV终结者、宏病毒等。 2.2.3 黑客入侵 在油田网络的运行中也有黑客的入侵（盘古梁油田较少见），黑客对数据库系统、客户端电脑等的入侵主要有前期的ping扫描、端口扫描、sniffer，以及后门程序（植入木马）、信息炸弹、拒绝服务（DOoS））、IP欺骗、UDP攻击等，导致计算机、网络过载或账号密码、机密资料丢失。 3 网络安全管理措施 解决以上网络安全问题，主要从用户、制度、技