浅述油田内网安全管理.docVIP

浅述油田内网安全管理 　　［摘要］ 随着风城油田作业区网络规模的扩大和网络应用范围的扩展，转网络运维与安全管理工作已成为保障、促进油田发展建设的战略性工作。网络安全管理的目标，已从单纯的维护网络运行畅通转变为提高服务能力，保障信息系统可用性、连续性、安全性，将人、技术、管理等有机结合起来，形成技术有保障、管理有章法、人员守流程的综合保障体系。 　　［关键词］ 内网；安全管理；终端；控制 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 13. 030 　　［中图分类号］ TP393.1［文献标识码］A［文章编号］1673 - 0194（2014）13- 0044- 02 　　１前言 　　近年来，网络安全事件频频发生，人们对外部网络入侵和Ｉｎｔｅｒｎｅｔ的安全性日益重视，但来自内部网络的攻击却有愈演愈烈之势，内网安全成为企业管理的隐患。信息资料被非法泄露、拷贝、篡改，往往给各行业企事业单位造成重大损失。而如何使内部网络始终在安全、可靠、保密的环境下运行，帮助企业各类业务统一优化、规范管理，保障各类业务系统正常安全运行等一系列问题一直困扰着企事业单位的ＩＴ部门。 　　针对这些问题，风城油田作业区信息管理部门建立了一套由技术体系与管理体系构成的信息安全体系。通过技术体系加强网络管理力度、丰富网络管理手段、降低网络运维管理成本。通过管理体系提高员工网络安全风险防范意识。 　　２风城油田作业区网络概况 　　风城油田作业区下辖夏子街油田、风城油田及乌尔禾油田，作业区管辖面积１５３平方千米，战线达百余千米。作业区拥有的两大生产办公网络汇聚点，分布在克拉玛依市机关、乌尔禾前线基地办公楼，地理位置最远相距１７０多千米。目前，作业区共有１０个独立办公地点，各类交换机６０余台，ＰＣ终端千余台。 　　作业区网络具有接入点多、分布面广等特点，随着作业区的网络应用日益增多，信息管理部门应有效地进行网络资源管理，为作业区的信息化、自动化建设保驾护航，确保生产的正常进行。 　　随着风城油田作业区网络规模的扩大和网络应用范围的扩展，如何使内部网络始终处于安全、可靠、保密的环境下运行，帮助作业区各类业务统一优化、规范管理，保障各类业务系统正常安全运行是目前作业区网络管理一大难题。根据作业区实际情况，信息管理部门将管理、技术和策略有机结合，构建了一套信息安全体系（如图１所示）。 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　３风城油田作业区网络管理 　　根据油田网络管理现状，我们在加强技术防护手段的同时，整体规划，运用内网安全管理及补丁分发系统加强桌面计算机终端管理力度，通过划分网络安全域明确网络边界，加强网络安全防护与管理，利用交换机聚合技术提高网络传输能力，降低网络运维管理成本，同时，完善网络安全管理制度与流程，将人，技术、管理有机结合，提高网络整体抗风险能力，为作业区建设信息化、自动化油田打造一个坚实、稳定、高效的网络平台。 　　３．１ 划分内部各子网安全域，明确各内部网络边界 　　作业区下属单位数量繁多，按业务类型与办公区域划分网络安全域，有利于构筑企业内网安全基础。根据实际情况，我们通过逻辑划分ＶＬＡＮ和物理隔离两种方式将网络划分为办公域、接入域、服务（计算）域、管理域（运维与管理的主要区域）和自动化生产域，不同的业务部门采用不同级别的安全防护机制，如采用三层交换机，建立ＶＬＡＮ，使用防火墙、隔离网闸等（见图２）。 　　在服务（计算）域部署各类服务器，在上游设立防火墙，部署网络安全策略，对处于不同安全级别域的用户访问进行审查控制。在自动化生产域，我们采用物理隔离方式在自动化专网上游部署隔离网闸，隔离自动化专网与办公网络。网闸的安全性体现在链路层断开，直接处理应用层数据，对应用层数据进行内容检查和控制，在网络之间交换的数据都是应用层的数据。 　　３．２ 运用内网安全管理及补丁分发系统加强网络终端管理力度 　　内网是网络应用中的一个主要组成部分，其安全性也受到越来越多的重视。风城油田作业区办公网络作为新疆油田公司下级网络构成，它的安全与否直接决定了新疆油田公司整体网络安全级别。经调查分析，企业内网主要面临的安全威胁有如下几条： 　　（１）资产管理失控：网络中终端用户随意增减调换终端硬件配备、操作系统等。 　　（２）网络资源滥用：ＩＰ地址、流量滥用，影响网络正常使用。 　　（３）病毒蠕虫入侵：导致网络阻塞、数据损坏丢失，而且无法找到灾难的源头以迅速采取隔离等处理措施，从而为正常业务带来灾难性的持续的影响。 　　（４）重要信息泄密：因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要