中国石油天然气股份有限公司大港油田分公司第五采油厂科技信息管理部 天津市 300280
摘要:当前全球网络安全威胁和风险日益突出,并向政治、经济、文化、社会、生态、国防等领域传导渗透。石油领域的网络信息系统长期以来一直是网络攻击的重要目标,安全运营的要求高、责任大、任务重。
关键词:网络安全;信息;加密;石油;应用研究
1网络安全信息加密技术在石油领域应用分析
信息安全产生威胁的因素可以分为两方面:一方面是由于人为因素所引起的信息泄漏;另一方面是由于客观因素所引起的信息泄漏。人为因素主要是由于工作人员技术问题,使得高水平黑客有可乘之机侵入石油领域计算机,从而通过病毒文件窃取相关重要文件和数据;客观因素主要是由于地震灾害、水火灾害等自然灾害,使得相关数据丢失。
2常见的信息加密技术
2.1对称加密技术
对称机密技术又称为私钥加密技术,通常网络传输中的电子邮件传输常使用该种加密技术。对称加密技术的主要特点是其对数据信息进行加密和解密使用的密钥是相同的,换句话说,信息的加密密钥和解密密钥都可以从另一方推算出来,在对网络上传输的电子邮件进行加密时,信息输出方首先使用加密算法将邮件内容加密成为密文,被加密的密文通过网络传输输送至邮件接收方,邮件接收方得到文件后,利用解密算法将密文还原成为最初的明文,最终达到文件安全传输沟通的目的。总结来说,这种加密方法相对简单快捷,同时具有较高的安全度,因此得到了广泛的运用;但它也存在一定的缺陷,即无法对邮件发送人和接收人的身份加以验证,另外还存在邮件收发双发获知密钥困难的问题。
2.2非对称加密技术
非对称加密技术又称为公私钥加密技术,这种加密技术对于信息的加密和解密采取了不同的密钥,通常来说网络数字签名和身份认证更倾向于使用非对称加密技术。在这种加密技术处理中,密钥被分为私有密钥和公开密钥,其中公开密钥的作用是对信息进行加密处理,可以以一种非保密的方式向他人公开,而私有密钥作为解密密钥则必须由专人进行保管。在使用非对称加密技术对数据信息进行保护时,文件发出者使用公开密钥将明文进行加密处理后发送给文件接收方,文件接收者接到文件后必须使用私有密钥对文件进行解密,由于这种私有解密密钥是由专人进行保管的,因此在这种方式下计算机网络信息安全度得到了大幅度的提升。
2.3传输加密和储存加密技术
传输加密和储存加密是对计算机信息数据进行保护的最重要手段,这两种加密技术的主要目的是防范在数据信息在储存传递过程中被泄漏和篡改。首先,传输加密可以分为线路加密和端对端加密,传输加密的主要目的是对在网络中传输的信息进行保护处理,线路加密要对各个线路中传输数据进行加密,如果想停止加密保护则需要使用加密密钥;端对端加密是信息的发送端在进行信息传送时对信息进行自动加密,信息在互联网传递过程中是以一种不可阅读和不可辨认的状态传输的,当数据信息安全到达接收端时,将会发生自动重组,密码自动被解开同时转换成为可读取数据呈现在接收者面前。而对于储存加密来说,主要包括存取控制和密文储存两种方式,其中存取控制需要对用户资历、权限、合法性等进行审查和控制,防止非法用户进行数据访问以及合法用户进行越权访问。密文储存主要指的是将数据信息进行加密算法换算、加密模块以及附加密码加密等方式处理,使信息具备更高等级的安全。
3石油企业网络安全技术体系建设
3.1终端计算机安全管理策略
终端计算机安全主要面临操作系统漏洞和用户错误操作两方面网络安全威胁。针对操作系统漏洞,可以通过安装桌面安全管理软件,并通过软件定期为终端计算机安装系统补丁,设置强壮操作系统登录口令,有效保护局域网内终端计算机安全。
3.2局域网安全管理策略
局域网安全主要面临交换机自身问题和用户违规操作等两个方面的问题。针对交换机自身问题,要做好交换机配置,关闭Telnet功能,关闭443、137、138、139等易被攻击的端口;在网络出口处架设硬件防火墙,定期更新特征库,防御1~4层网络协议攻击;在防火墙与核心交换机中间安装入侵防御系统(IPS),定期更新特征库(包括攻击库、病毒库、协议库),防御网络攻击。针对用户违规操作,通过核心交换机IP与MAC绑定减少非法占用IP问题,通过交换机VTP、STP协议配置减少环状网引发断网问题,运用防火墙软件过滤配置杜绝二级代理问题,通过VRV扫描实时监控私接宽带问题,同时加大检查力度,杜绝发生外网远程控制内网计算机事件。
3.3服务器安全管理策略
服务器作为整个网络的核心,经常成为攻击的首选目标。针对服务器安全,石油企业主要应进行以下几项工作。一是将所有服务器划分至一个单独的VLAN中,并单独设立网络防火墙,减少服务器受到的外部攻击。二是进行云数据迁移,将本地数据迁移至云数据中心,保证数据两地存储,防止数据损坏或丢失。三是应用虚拟服务器技术,提高数据容灾能力,单台虚拟服务器恢复时间在4 h以内,数据库恢复时间在10 min以内。
3.4物联网安全管理策略
随着石油生产物联网的建设与应用,大量生产数据将被采集存储,数据安全尤其重要,石油企业应针对数据采集安全与数据存储安全,提早介入研究,制订安全管理方案。一是统一传输协议,制定数据采集、存储标准,加装硬件防火墙,提高数据传输安全。二是运用分布式数据库技术,有效结合数据存储发布服务器与RTU采集服务器,提高数据存储安全性与时效性,同时运用光存储服务器实时存储采集到的数据。三是运用数据加密技术,传输数据不体现任何与油田相关的标识,确保数据即使被截获也无法被破解。四是RTU端与服务器端互相认证,实现数据“一对一”传输,降低被截获概率。
3.5工控系统安全管理策略
工控系统泛指联合站、中转站等站内控制系统,工控系统一旦受到黑客攻击、病毒植入等威胁,将带来极大损失。随着数字油田建设,油田站内数据又急需实时回传至采油厂,给网络安全工作带来了极大的挑战。针对物理隔离的站内工控系统,主要做好工控机补丁更新、防病毒软件安装,关闭USB口使用功能等。针对需要回传数据的站内工控系统,除做好上述工作外,需单独架设光纤,实现数据采集服务器“一对一”链接工控系统,同时实施以下安全防护策略。一是硬件防护策略。实现工控网络与生产网络间的单项阻截,阻止来自外部系统的非法访问、非法攻击,阻拦病毒、恶意软件攻击行为,保护控制系统安全运行。二是蜜罐防护系统。若非法攻击、恶意程序、病毒等伪装进入工控网络,通过建立的蜜罐系统,诱导非法攻击进入蜜罐机,并对其进行封锁,获取非法攻击相关资料。三是安全审计系统。在生产网与工控网旁路部署网络检测与审计设备,实时检测网络中的恶意攻击,详细记录网络流量,识别潜在风险,对恶意操作行为进行取证,便于维护人员管理。四是PLC安全系统。在PLC前端部署安全模块,实现智能终端设备安全,使PLC具有抵抗ARP、网络风暴、短链接、过滤非业务流量等攻击的能力,增强设备通信稳定性。
结束语
网络安全工作与时俱进。以现有的网络安全技术和管理手段,很难抵挡日新月异的网络攻击手段,石油企业网络安全需要添加诸如入侵监测系统、上网行为管理系统、安全态势感知系统等软硬件。在未来,运用大数据技术构建一个网络安全综合防御体系,进而提高整体网络安全管理水平。网络安全工作没有捷径,是一项综合性的工作,需要企业全员具有网络安全意识,让所有员工共同努力,严于律己,规范网络行为,从根源杜绝网络安全隐患。
参考文献:
[1]常晓伟.计算机网络安全应用信息加密技术在石油行业中的运用[J].科技创新与应用,2016,(24):116.
[2]荀月凤.密码学在网络信息安全技术中的应用研究[D].西南石油学院,2004.
[3]张义,彭科,王国银.计算机网络通信安全中数据加密技术的研究与应用[J].中国新通信,2015,17,(21):70.