石油企業網絡與信息安全系統的設計

摘要：針對石油企業信息化建設現狀，為提高網絡和信息安全防護水平，按照相關法律法規的要求，設計了多層次的網絡與信息安全防護系統，主要設計內容包括設備安全、網絡安全、云端和應用安全等。系統能夠滿足網絡安全等級保護第三級的要求，全面提升石油企業的網絡和信息安全防護能力。

關鍵詞：網絡與信息安全;網絡安全等級保護;石油企業

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）04-0044-02

目前各石油企業已基本建立了信息化基礎設施及應用系統，包括有線無線網絡、數據中心、企業應用軟件等，隨著設備數量和應用系統的不斷增多以及云計算和物聯網技術的使用，傳統的安全防護模式需要不斷改變，特別是加強對云端設備和移動終端、物聯網終端的防護。

1 概述

網絡與信息安全是國家能源安全的基礎，若是遭受攻擊或發生數據泄露會嚴重威脅國家安全和公共利益。近期，美國長達8700公里的輸油管道因勒索病毒攻擊而癱瘓，因此進一步加強我國石油企業的網絡與信息安全系統建設迫在眉睫。

根據《計算機信息系統安全保護等級劃分準則》（GB17859-1999），等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害，應定義為第三級（監督保護級）。

根據《信息安全等級保護管理辦法》第三級信息系統應當每年至少進行一次等級測評，并由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

2 標準

2019年5月13日，公安部正式發布網絡安全等級保護2.0相關政策和標準，如表1所示。

等保2.0相關標準采用了統一的框架，如圖1所示，規定了系統定級、建設、測評、整改、備案、監督檢查等環節的相關內容。

石油企業網絡安全系統建設應參照等保2.0標準，注重全方位主動防御、動態感知和全面審計，實現對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等各類新技術應用的覆蓋。

3 總體設計

企業需根據現有拓撲結構、網絡設備、終端設備、云端部署、應用系統等信息化系統建設現狀，從設備安全、網絡安全、云端和應用安全等多個層次進行安全系統的設計，充分保障系統的安全性，如圖2所示。

3.1 設備安全

石油企業的終端設備類型繁多，主要包括電腦終端、嵌入式終端、移動設備、物聯網設備等，面臨的主要威脅是病毒和木馬程序。因此需要定期升級操作系統或給操作系統打補丁，關閉不需要使用的TCP/UDP端口，并安裝防毒軟件和防木馬軟件。除此之外，還需要防范非法設備接入，可采用身份認證、MAC地址綁定等方式保障接入設備安全。并通過日志審計系統收集設備的工作日志，從而在出現問題時通過日志迅速定位。

3.2 網絡安全

局域網內交換機應進行Vlan劃分實現邏輯隔離，配置Qos流量控制策略，重要網絡設備和服務器應進行IP/MAC綁定等。

網絡出口應部署防火墻、入侵防御、身份認證等安全設備。在防火墻上配置訪問控制列表控制外網訪問權限，在入侵防御設備上可查看外網的攻擊行為并及時阻斷，在身份認證設備上配置內網合法用戶的賬戶信息從而阻止非法用戶數據通過網絡出口。

根據《網絡安全法》的要求，網絡運營者應當按照網絡安全等級保護制度的要求，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月。因此一般需配備運維堡壘機對網絡設備和服務器進行集中管控、身份認證、訪問控制、操作審計等，避免違規操作和誤操作;還需使用日志審計設備實時采集安全設備、網絡設備、主機等產生的日志信息，并進行規范化處理和保存。

3.3 云端和應用安全

目前，石油企業越來越多的服務器采用虛擬化部署方式，應用也逐漸遷移到云端，因此云端及應用的安全防護是整個系統的重點和難點。

云端服務器應部署虛擬化防護系統，實現虛擬機全面防護，包括防病毒、DPI（深度內容檢測）、虛擬補丁、虛擬防火墻、虛擬IPS等。

應用上線前應對應用系統及所在服務器進行漏洞掃描評估，掃描范圍包括windows系統漏洞、apache等中間件漏洞、數據庫漏洞、SQL注入、跨站腳本、網站掛馬、敏感信息泄露、弱口令等，一旦發現漏洞需及時通過補丁等方式修復。

目前針對網站類應用的攻擊日漸增多，可使用WEB防護系統（WAF）掃描網站漏洞，實現網頁監測與防護功能，提供篡改防護能力，維護企業形象。

各應用系統的數據可使用備份一體機通過網絡進行異地實時備份，可采用增量備份或全量備份策略，將多臺設備（包括虛擬機）的數據集中備份到異地，并在數據丟失時將數據及時恢復，從而提升數據安全。

4 結語

本文參照網絡安全等級保護相關制度第三級的相關要求，對石油企業網絡與信息安全系統進行整體規劃設計，增加必要的安全設備及措施，全面提升安全防護能力。當然還需要企業相關政策及配套的支持，將管理和技術相結合，才能保障系統的有效實施，并為我國的能源安全添磚加瓦。

參考文獻：

[1] 蔡麗琴.石油企業網絡信息安全管理淺析[J].江漢石油職工大學學報，2021，34（2）：52-53.

[2] 于佳妍.大數據時代石油企業網絡安全防護策略[J].電子技術與軟件工程，2019（23）：190-191.

[3] 段鵬.網絡安全在大型石油企業中的應用[J].中國石油和化工標準與質量，2019，39（7）：82-83.

[4] 熊楊.等級保護三級信息系統設計與實現[J].網絡安全技術與應用，2021（6）：21-22.

[5] 張永強.石油銷售企業自動化和信息化建設模式初探[J].化工設計通訊，2021，47（1）：155-156.

收稿日期：2021-07-17

作者簡介：吳桂萍（1982—），女，江蘇鹽城人，主要從事企業管理和業務運作工作。