面向油氣勘探開發服務的信息安全體系建設

周樹理

（中國石化石油物探技術研究院 江蘇 211103）

0 引言

近年來，隨著全球油氣資源的日益緊張以及各個產業對石油資源的巨大需求，石化企業對上游勘探開發的力度逐步擴大。現代化的油氣勘探開發需要依托先進的信息技術來進行有力的支撐，高性能計算集群、圖形工作站、海量數據存儲設備以及各類專業應用軟件的大量部署，對信息系統的依賴程度不斷增強，對系統的安全穩定性要求越來越高。業務系統運行是否可靠、數據安全能否保障、用戶身份是否可信、能否保證業務的連續性，都會直接影響到企業的發展。本文在結合勘探開發業務自身特點的情況下，研究建立了一套以信息安全管理為保障，信息安全技術為支撐的安全體系架構。

1 信息安全管理體系建設

信息安全管理的主要目的是管理信息系統中各種角色的活動。本文中建立的信息安全管理體系主要以BS7799/ ISO17799規范為基礎，從安全組織機構、信息資產安全管理、人員安全管理、物理環境安全管理和業務連續性管理五個方面展開。

1.1 安全組織機構建設

安全組織機構的設置采用院領導牽頭－>部門領導負責－>信息安全專員管理－>全員參與的管理模式，建立三級管理機制，由兩個小組和一個歸口管理部門組成。信息化建設領導小組負責信息安全整體規劃和領導工作。下設信息安全工作小組由每個部門的信息安全專員組成，負責各部門信息安全的具體管理工作。專職的信息安全管理部門負責具體的信息安全管理和執行工作，部門內部設置云計算安全管理員、數據庫安全員、網絡安全員和機房安全員，做到崗位分離，職責分離。

1.2 信息資產安全管理

信息資產的保護是信息安全管理體系建設的一項重要工作，根據信息資產的價值、保密性、可用性、弱點和威脅，對信息資產及其風險進行賦值，確定保護的優先級和強度，制定相關的工作和審批流程、管理辦法，建立信息資產管理平臺，實現信息資產的統一管理、統一維護，使信息資產的保護和管理工作貫穿到整個信息系統規劃建設運維的全生命周期中。

1.3 人員安全管理

人員的安全管理不僅僅是依賴有效的控制手段，更重要的是提高人員的安全意識。首先對應用系統的所有人員進行統一的身份識別和授權管理，對第三方合作人員要嚴格授予相應的網絡訪問權限，簽署保密協議。對于內部職工要加強信息安全的宣傳、培訓，定期學習信息安全策略流程和規定。

1.4 物理環境安全管理

根據不同的功能將整個物理區域劃分為辦公區、云計算機房、網絡設備間、備份設備間等，以受管理區域的門禁系統和視頻監控系統配套相關的出入安全和申請審批等管理辦法對重點區域進行出入管控。通過溫感煙感設備實施監控重點區域的溫濕度變化情況。

1.5 業務連續性管理

主要根據各類信息系統的重要程度及優先級制訂災難恢復計劃，對勘探數據建立異地備份中心，對關鍵業務系統建立熱備份，定期檢查備份系統和設備，建立安全事故和災難恢復處理流程，制定應急恢復計劃，開展緊急事故響應演練。

圖1 業務連續性管理示意圖

2 信息安全技術防護體系建設

2.1 網絡安全

網絡安全架構以安全管理中心為核心，外網、企業內網、DMZ區與內網，內網與生產網均通過安全設備隔離，內外網出口配置防火墻、IPS、VPN、上網行為管理和Web防火墻，核心交換機配置內網防火墻、流量監控板卡，內網防火墻隔離辦公網和生產網，強化網絡安全策略，對網絡訪問進行監控審計。安全管理中心收集網絡安全事件，對安全事件進行綜合分析，并與交換機和網絡安全設備進行聯動。

圖2 網絡安全架構圖

2.2 部署PKI/CA身份認證系統

建設統一的身份管理系統，實現對所有員工電子身份的集中管理、統一管理。用戶身份認證系統將以企業現有的AD域/LDAP系統為基礎，與企業的信息系統集成，實現數字簽名、數據加密和電子簽章。用戶訪問系統需采用HTTPS協議，系統與系統間的通訊，采用SSL協議，提高用戶信息的一致性、完整性和準確性，提高應用系統的整體安全等級。

2.3 防病毒管理平臺建設

在系統重要網絡邊界部署防病毒網關，實時檢查和過濾進入內部網絡的各種病毒和惡意代碼，保護各系統服務器、網絡設備的安全。部署二級補丁服務器，存儲應用系統的各種設備補丁信息，為管理員和辦公終端人員提供補丁下載。

2.4 建立信息安全審計平臺

建立統一的事件日志采集、收集匯總存儲和關聯分析的監控和審計平臺，按照既定的安全策略識別非授權訪問、入侵等安全事件。平臺通過實時監控和分析來自于網絡設備、安全設備、操作系統、數據庫和應用系統中與安全相關的事件，通過關聯來自不同地點、不同層次和不同類型的安全事件，發現安全風險，并根據預先制定的策略快速作出響應。

3 結束語

目前油氣勘探開發業務正朝著規模化、精細化、協同化的方向發展，云計算的服務模式在勘探開發業務中得到了廣泛的應用，這對信息系統安全也提出了更高的要求，未來將根據系統的特殊性和復雜性對安全體系進行不斷的完善和擴充，利用虛擬化技術，實現傳統部署方式向云部署方式的遷移，建立一個多層次、全方位的信息安全體系。

[1] 彭珺，高珺. 計算機網絡信息安全及防護策略研究. 計算機與數字工程,2011，（01）

[2]張振強. 公司信息安全體系構建.電腦知識與技術，2009，(12)

[3]楊蘊石，王穎. 商業銀行安全保障體系設計.計算機技術與發展，2008，(03)