摘要:针对石油企业信息化建设现状,为提高网络和信息安全防护水平,按照相关法律法规的要求,设计了多层次的网络与信息安全防护系统,主要设计内容包括设备安全、网络安全、云端和应用安全等。系统能够满足网络安全等级保护第三级的要求,全面提升石油企业的网络和信息安全防护能力。

关键词:网络与信息安全;网络安全等级保护;石油企业

中图分类号:TP393        文献标识码:A

文章编号:1009-3044(2022)04-0044-02

目前各石油企业已基本建立了信息化基础设施及应用系统,包括有线无线网络、数据中心、企业应用软件等,随着设备数量和应用系统的不断增多以及云计算和物联网技术的使用,传统的安全防护模式需要不断改变,特别是加强对云端设备和移动终端、物联网终端的防护。

1 概述

网络与信息安全是国家能源安全的基础,若是遭受攻击或发生数据泄露会严重威胁国家安全和公共利益。近期,美国长达8700公里的输油管道因勒索病毒攻击而瘫痪,因此进一步加强我国石油企业的网络与信息安全系统建设迫在眉睫。

根据《计算机信息系统安全保护等级划分准则》(GB17859-1999),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,应定义为第三级(监督保护级)。

根据《信息安全等级保护管理办法》第三级信息系统应当每年至少进行一次等级测评,并由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

2 标准

2019年5月13日,公安部正式发布网络安全等级保护2.0相关政策和标准,如表1所示。

等保2.0相关标准采用了统一的框架,如图1所示,规定了系统定级、建设、测评、整改、备案、监督检查等环节的相关内容。

石油企业网络安全系统建设应参照等保2.0标准,注重全方位主动防御、动态感知和全面审计,实现对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等各类新技术应用的覆盖。

3 总体设计

企业需根据现有拓扑结构、网络设备、终端设备、云端部署、应用系统等信息化系统建设现状,从设备安全、网络安全、云端和应用安全等多个层次进行安全系统的设计,充分保障系统的安全性,如图2所示。

3.1 设备安全

石油企业的终端设备类型繁多,主要包括电脑终端、嵌入式终端、移动设备、物联网设备等,面临的主要威胁是病毒和木马程序。因此需要定期升级操作系统或给操作系统打补丁,关闭不需要使用的TCP/UDP端口,并安装防毒软件和防木马软件。除此之外,还需要防范非法设备接入,可采用身份认证、MAC地址绑定等方式保障接入设备安全。并通过日志审计系统收集设备的工作日志,从而在出现问题时通过日志迅速定位。

3.2 网络安全

局域网内交换机应进行Vlan划分实现逻辑隔离,配置Qos流量控制策略,重要网络设备和服务器应进行IP/MAC绑定等。

网络出口应部署防火墙、入侵防御、身份认证等安全设备。在防火墙上配置访问控制列表控制外网访问权限,在入侵防御设备上可查看外网的攻击行为并及时阻断,在身份认证设备上配置内网合法用户的账户信息从而阻止非法用户数据通过网络出口。

根据《网络安全法》的要求,网络运营者应当按照网络安全等级保护制度的要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。因此一般需配备运维堡垒机对网络设备和服务器进行集中管控、身份认证、访问控制、操作审计等,避免违规操作和误操作;还需使用日志审计设备实时采集安全设备、网络设备、主机等产生的日志信息,并进行规范化处理和保存。

3.3 云端和应用安全

目前,石油企业越来越多的服务器采用虚拟化部署方式,应用也逐渐迁移到云端,因此云端及应用的安全防护是整个系统的重点和难点。

云端服务器应部署虚拟化防护系统,实现虚拟机全面防护,包括防病毒、DPI(深度内容检测)、虚拟补丁、虚拟防火墙、虚拟IPS等。

应用上线前应对应用系统及所在服务器进行漏洞扫描评估,扫描范围包括windows系统漏洞、apache等中间件漏洞、数据库漏洞、SQL注入、跨站脚本、网站挂马、敏感信息泄露、弱口令等,一旦发现漏洞需及时通过补丁等方式修复。

目前针对网站类应用的攻击日渐增多,可使用WEB防护系统(WAF)扫描网站漏洞,实现网页监测与防护功能,提供篡改防护能力,维护企业形象。

各应用系统的数据可使用备份一体机通过网络进行异地实时备份,可采用增量备份或全量备份策略,将多台设备(包括虚拟机)的数据集中备份到异地,并在数据丢失时将数据及时恢复,从而提升数据安全。

4 结语

本文参照网络安全等级保护相关制度第三级的相关要求,对石油企业网络与信息安全系统进行整体规划设计,增加必要的安全设备及措施,全面提升安全防护能力。当然还需要企业相关政策及配套的支持,将管理和技术相结合,才能保障系统的有效实施,并为我国的能源安全添砖加瓦。

参考文献:

[1] 蔡丽琴.石油企业网络信息安全管理浅析[J].江汉石油职工大学学报,2021,34(2):52-53.

[2] 于佳妍.大数据时代石油企业网络安全防护策略[J].电子技术与软件工程,2019(23):190-191.

[3] 段鹏.网络安全在大型石油企业中的应用[J].中国石油和化工标准与质量,2019,39(7):82-83.

[4] 熊杨.等级保护三级信息系统设计与实现[J].网络安全技术与应用,2021(6):21-22.

[5] 张永强.石油销售企业自动化和信息化建设模式初探[J].化工设计通讯,2021,47(1):155-156.

收稿日期:2021-07-17

作者简介:吴桂萍(1982—),女,江苏盐城人,主要从事企业管理和业务运作工作。