| 标题 | 石油企业网络安全形势及对策探析 |
| 范文 | 王旭 摘要:该文对我国当前的网络安全问题进行了详细分析,以此为依据来分析石油企业在网络安全方面的实际形式和问题,同时提出了对于工业控制系统测试床、人员培训、石油网络靶场方面的问题,通过解决这些问题促进石油企业的发展。 关键词:石油企业;网络安全责任;网络安全建设 中图分类号:TP393? ? ? ? 文献标识码:A? ? ? ? 文章编号:1009-3044(2019)03-0056-03 1 石油企业的网络安全责任 石油工业的业务要求也在逐渐变高,因为它是一个国家的重要的基础设施,依据我国现状的工业控制系统和网络信息系统的使用使得石油企业的整体水平有了很大的进步。石油企业在网络安全方面的主要责任有[1]: 1)工业控制系统的可控运行 因为石油工业的工艺手段较为复杂,且具有高压、高温、易燃、易爆等特性,因此在石油工业中要大量的使用工业控制系统,同时随着我国政策的完善,石油工业将会向着网络化、数字化、开放化和集成化的工业化的互联网发展。同时保障这个工业控制系统的稳定运行是石油工业的重要责任。 2)信息系统的可靠运行 石油行业在利用成熟的信息系统后在管理上有了很大的提升,对于加油站的管理生产管理系统、油气水井管理系统等很多的专业信息系统建设完成之后,信息化的建设逐渐脱离了集中建设,向着集中应用转变。随着时间的流逝,信息系统中会有越来越多的关键信息,因此网络数据是各个企业最注意的一方面,保证网络数据安全对于企业的发展甚至是生存都是尤为重要的[2]。 3)信息安全人员队伍建设 选拔专业的专职的人员进行对于网络安全管理机构的工作,同时定期对这些人员进行培训和考核。 2 石油企业面临的网络安全形势 1)工控信息安全形势严峻 现在的工业系统的设计更多采用了通用协议和软件通用硬件,通过各种的方法和互联网等其他的公共网络相连接,因此信息技术的安全问题也越来越值得重视,工业控制系统的安全事件受到了几次的威胁,近些年相继爆发的病毒在一定程度上影响了工业控制系统的安全。这些事件所带来的影响已经让国家将工业控制系统的安全问题放到了战略层面。 2)信息系统安全环境不容乐观 近年来重大的泄密事件,使得网络安全环境令人担忧,尤其是最近些年石油行业大量的信息系统的广泛使用,同时这些问题和社会民众的生活密切相关。一家专业的调研公司公开了石油企业因为新闻中心的运营不当导致的安全问题,企业对这些问题越来越重视。这也表明信息安全问题已经到了不可忽视的地步[3]。 3)信息安全人员实战技能较弱 目前我国安群管理人员的技能大多都只是理论知识,几乎没有实践和实战能力。在实际的工作中,太过于依靠专业的安全设备,而不重视对于自己专业的技能学习。目前已知的维护信息网络安全的方式都需要专业人员的操作,因为如此更加专业性的多层次的信息安全人才的培养,这是企业必须解决的重要的问题,这需要设立一种实践和理论基础结合起来的培训方式,将工作中将会面临的问题添加到培训中。 3 石油企业网络安全的影响因素 对于石油企业安全的隐患问题有很多,但根据总体看来可以将这些隐患分为客观因素和主观因素。客观因素是因为自然因素和设备问题引起的安全问题,主管因素是因为人员问题所引发的安全隐患。 1)主观因素方面 站在网络使用者的方面而言,对于系统的操作人员的安全防范意识过度缺乏,更甚至一大部分人对于网络安全问题毫不在意,没有一点重视【4】。有很大一部分工作人员在进行网络设置的时候没有设置用户口令甚至多人使用一个口令,不仅只有工作人员可以登录网络,其他与这份工作无关的人员都可以通过公司内部的网络登录到这里面来,并且毫不在意的在计算机上使用移动储存设备,这都给病毒的入侵创作了很大的机会,给公司的网络安全问题带来了巨大的影响。 就目前而言,对于网络安全问题最大的问题是黑客的存在,他们会恶意的破坏他们能捕捉到的计算机,通过将病毒放到游戏等软件中,进行钓鱼,一旦有人下载了这些软件,黑客就可以通过网络连接对计算机上的信息进行窥探,这就可能造成机密的泄露。更恶意的黑客可能会使计算机的系统崩溃从而造成一些重要数据的丢失,这就给网络安全的稳定带来了巨大的威胁[5]。 2)客观因素方面 我国的石油企业在近些年对于信息化的高度重视和快速发展,已经有了自己的较为独立的网络系统,因此威胁我国石油企业网络信息安全的重要原因就是操作系统和一些应用软件的漏洞。世界上没有绝对安全的操作系统和软件,也正是因为这些漏洞的存在使得黑客有了可乘之机。黑客入侵网络的案件屡见不鲜,这主要原因都是操作系统和软件的漏洞的存在所造成的。但是大多数的软件和操作系统的漏洞等都是由设计人员为了自身的方便而设立的,通常情况下这些漏洞是没有影响的,但是这些漏洞一旦被有心人利用就会给企业带来很大的损失,引发的后果也是不能想象的。 4 石油企业网络安全建设 网络空间对于现代社会的重要性已经是不言而喻,在未来的发展中网络建设网络安全将是非常重要的一项,经过我们对于石油企业的观察研究,提出了以下三点建议[6]。 4.1 工业控制系统测试床建设 通过石化裂解加氢控制系统测試床为例子,来进行具体分析。 在这项工艺中, 原料油在进入到加氢裂化反应器之前要经过反应料加热炉加热到发生反应所需要的温度。在反应之后减小了碳氢比例,同时除去了氯、硫和氧化物等其他杂质,加氢裂化反应是一个典型的放热反应,在反应进行的时间会放出大量的热,因此要用氢气压缩机供应急冷氢来掌握反应的温度,调节阀控制急冷氢流量的大小。 单回路PID是用来控制测试床,被控制的是加氢裂化反应装置,控制粮食反应装置的温度,预设温度和反应温度之间的误差就要通过PID来进行调节。这项技术的主要由控制系统和工艺设备构成。 4.2 基于虚拟化的石油网络靶场建设 相关的石油企业涉及的业务系统特别多,与此同时,网络分布以及地域的跨度都特别大。因此会产生很多的网络威胁,对于新型的威胁,已经上线的业务系统以及网络的系统,并没有办法实现大规模的检测,所以需要通过建设相关的石油网络靶场。在建立石油网络靶场以后,相关的业务系统,能够完整地进行相关的网络安全评估,新型的产品检测以及攻防对抗的活动[7]。与此同时,可以进行一系列检测设计过程,主机安全以及数据等方面,这样的话就可以大大提高了关键的安全工程过程的能力。并且,针对未知领域出现的新型安全问题,可以为其提供相应的安全测试环境,除此之外,还可以利用现有的资源,对相应的信息环境进行模拟,对相关的安全人员的工作提供了帮助,大大提高了重要安全技术的能力。 石油网络靶场软件分为四层,分别是资源层、数据层、接口层、业务层。其中: 1)资源层 可以为企业提供虚拟化技术的虚拟主机,该虚拟主机可以和真实的物理设备共同存在,这样的话就可以实现虚实结合的目标。并且,也提供了相应的虚拟业务仿真模块以及物理设备管理模块。该软件将实体机以及虚拟机进行了相互的结合,对于基础层次的管理,都可以精确的模拟相关的业务场景。与此同时,资源层也可以为其他的应用提供相应的管理功能。 2)数据层 数据层可以提供相应的情报库,课程库,工具库,场景配置库等相关的资源。并且数据层可以为快速的演练,快速的验证以及快速的部署提供相应的数据保障。平台库的存在就是为了存放相关的管理数据。课程库主要是为相关的培训人员提供课程信息。任务库存放的主要是相关的历史训练人员以及过程等数据。网络攻击库主要包括的是相关的渗透工具以及技术。 3)接口层 接口层主要是将相应的数据层以及资源层提供的相应数据和对象进行相应的隐藏数据和数据的属性。结果从只对业务层进行连接,并且会对相应的数据以及资源的访问权限进行控制。相关的接口层主要包括任务库接口,培训试题库接口,课程库接口。平台库接口,主机虚拟化接口,网络设备虚拟化接口,攻防行为库接口等等。另外,相关的业务层会提供对抗演练信息,系统仿真实验以及网络安全实训等业务。 4.3 基于实战的人员培训体系 相关的平台主要是由网络靶场以及相关的工业控制床组成的,并且通过定制预设持续等方式,建立并且完善相关的知识培训体系。该平台会制定一系列的模拟演练,目的主要是为实现人才只是获取,熟悉相关的工具以及训练相应的技能等,与此同时,该平台还会制定一套相关的评价系统,会对相关的人才素质进行全面的评估。通过这样的方式,可以大大提高技术人员的安全操作能力。 5 石油企业网络安全的防护措施及技术措施 目前为止,出现了大量的石油企业在网络安全方面的问题,因此相关的网络使用者加大对网络安全的重视。因此一定要采取相应的措施来针对网络安全问题,通过这样的方式来为企业提供一个相对安全的网络管理平台。 5.1 石油企业建立健全企业规章制度 企业要想确保企业网络安全的问题,首先就是要加大对网络安全的重视程度,其次必须要建立相对完善的安全系统。除此之外,还要制定相应的惩罚制度,凡是出现网络事故的人员,一并进行记录。 5.2 石油企业应对网络数据采取加密技术 在石油企业当中,必须要对重要的文件进行加密之后,再投入到外部网络当中。同时,还要采用防火墙技术,通过这样的方式,可以大大提高石油企业内部数据的安全性。在很大程度上降低了企业的损失。 5.3 石油企业应加强员工网络安全知识的培训 石油企业的网络执行者就是员工,因此要加大员工对网络的安全意识培训,员工只有从根本上认识到网络安全危害的重要性,才能从根本上解决网络问题发生的情况。所以相关的石油企业,要定期对员工进行网络安全信息的培训,从根本上提高员工的网络安全意识。 5.4 石油企业应加强系统平台与漏洞的处理 相关的网络管理人员,可以利用系统漏洞的相关扫描技术来对相关网络应用过程中的漏洞进行提前的预防。对于存在的漏洞,可以及时地进行修复。 5.5 其他防护技术 1)访问控制技术 同时,你也可以根据自身的发展需要,设置不同的安全级别防护措施,在不同的区域中设置相应的防火墙技术进行相关的访问控制。防火墙技术可以对企业相关的数据信息进行过滤以及分析,这样的话大大降低了存在网络安全问题的可能性。 2)入侵行为检测技术 所谓的入侵检测,主要是说在相关的石油企业网络当中安装相应的检测软件,针对入侵的行为进行相关的分析以及检测,对于危险的信息可以进行提前的预报,并且采用相应的措施进行处理。 3)异常流量分析与处理技术 网络的管理人员,需要对业务系统进行深度的检测,避免相关的服务性攻击行为,只有这样才能保证供应服务的稳定性。当网络流量存在问题的时候,服务系统就会对恶意数据进行删除,大大提高了网络安全的可能性。 4)终端安全防护与管理技术 在石油企业当中,相关的安全防护措施,决定了整个企业的信息安全水平。因此相关的管理人员,一定要加大对网络以及相关应用系统的重视程度。与此同时,是由企业需要对相关的管理技术以及相关的计算機系统进行一致的保护,通过这样的方式来保证企业信息的安全。 6 结束语 石油企业代表了现代工业的发展程度,因此石油企业的发展和我国的国民经济有着不可分割的联系。所以,石油企业的相关网络安全问题就变得十分重要了。相关的企业管理人员除了要保证企业的生产安全以外,还需要建立一套完善的安全管理体系。针对石油企业的网络安全问题,相关的管理人员只有采用先进的防护措施,建立完善的保护措施,才能保证石油企业的稳定进步和发展。 参考文献: [1] 肖广荣,尹虎.网络安全在大型石油企业中的应用[J].石化技术,2015(4):216-216,218. [2] 任力.浅谈加强石油企业网络信息安全管理体系重要性[J].当代化工研究,2016(5):1-2. [3] 张弛,傅海滨,王柯.数字化油气田网络安全架构研究[J].石油化工自动化,2015(6):62-65. [4] 路坤桥,王金和,邓涛,等.石油企业内网安全隐患及控制策略分析[J].计算机科学,2015(z1):451-452,478. [5] 刘冬梅.浅谈大型石油企业网络安全防护体系建设[J].中国新通信,2015(1):10. [6] 李双成,武法东,于海洋, 等.网络安全防范技术在石油企业应用[J].福建电脑,2006(11):62-63. [7] 黄步余,范宗海.石油化工企业自动化和信息化集成网络安全[C].//2012年电气工业发展高峰论坛论文集.中国石化工程建设公司,2012:118-120. 【通联编辑:朱宝贵】 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。