石油化工行业中网络安全运营的探索与思考

摘要：虽然信息技术的飞速发展为我们的生活带来了诸多便利，但在推进信息化建设的同时必须对信息安全问题加以重视。石油化工企业属于国家能源行业的重点企业，必须对其加强安全管理，只有将安全管理措施落实到每个环节，才可为行业信息安全建设提供有力保障。

关键词：石油化工;信息安全;运营

中图法分类号：TP393

文献标识码：A

Exploration and reflection on network security operation inpetrochemical industry

QLN Zeyuan

（Armed Department of Security Department （Division） of Southwest Petroleum University， Chengdu 610500. China）

Abstract： Although the rapid development of information technology has brought a lot of convenienceto our life， we must pay attention to the issue of information security while promoting theconstruction of information technology. Petrochemical enterprises are key enterprises in the nationalenergy industry and must strengthen their safety management. Only by implementing safetymanagement measures in every link can they provide a strong guarantee for the construction ofindustry information security.

Key words： petrochemical industry， information security， operate

目前，我国石油化工行业不断发展，我们应当关注其安全性和可靠性。由于信息安全事故频发，相关企业受到了不小的损失。而信息技术的发展为石油化工行业的信息安全奠定了良好的基础。

1 网络安全的发展背景

网络安全是在信息系统的应用和业务量持续增大的基础上发展起来的。信息系统与网络安全相互依存，期间经历了由局部到整体、由表及里、由外到内的发展历程。网络威胁主体从个人逐渐发展到组织，其对单位和个人的影响较大。由于病毒以代码形式对系统造成破坏，因此网络安全防护逐渐发展成为对信息的系统性、整体性、立体防护等方面，网络安全也更加受到人们的重视。网络安全運营作为网络安全常规保障建设的一项重要内容，必须坚持网络安全的整体性、动态性、开放性、相对性、共同性原则。随着业务需求变化、业界技术发展、国家安全应对措施的调整，我们需要对网络安全进行同步谋划、部署、推进与实施。

2 网络安全运营的基本模式

2.1 网络安全运营架构

网络安全运营架构主要以人、流程、信息系统的安全为要素，从而制定出科学的防护措施，建立起网络安全防御系统，同时要符合国家安全等级的相关标准要求。利用信息安全体系的框架，遵循安全目标、安全制度、安全方针、规范流程等方面进行合理约束，可以对石油化工行业的管理范围、程序及职责进行有效界定，确保网络信息安全工作能高效、有序地进行。从技术的层面而言，采取偶从网络链接层面、物理层面的安全防护技术措施，创建从物理环境到安全技术的管理体系，可以对网络安全区域进行合理规划。将防火墙、防病毒、垃圾邮件过滤等防护类技术从物理层部署到应用层，可以创建完整的网络安全防御管理体系[1]。

2.2 网络安全管理目标

石油化工行业的网络安全管理目标是对企业的内部信息资源进行有效保护。网络安全运营活动包含四个方面的内容：第一，安全信息监控管理。首先基于网络风险管理对系统内的安全报警行为进行初步判断，然后通过判断结果提交安全事件任务，再与历史监控情况做比较，对安全监控的策略进行合理调整，从而对安全行为自然形成分析日志，进而提前介入和预判安全状态;第二，消除与阻隔安全威胁。落实安全事件的事前、事中、事后处理责任，追溯安全事件本源，并查找发生安全事件的相关原因，总结相关的经验，制定安全事件的处理预案，科学调整安全技术策略;第三，对网络操作行为进行合规性安全审计。调整企业网络的安全管理制度标准，并对安全技术策略进行有效落实，将相关制度与流程调整到最佳状态;第四，评估安全风险。利用人工检查和合理的技术方法对信息系统的弱点与短板进行评估，不断地提升技术优化策略。其中，包含企业网络运营安全的全部内容，即在安全技术得到保障的前提下，建立全面统一的安全管理中心，并围绕相关的安全管理资源，获得安全数据和安全产品。在进行安全态势感知的同时，需要对日常安全管理进行统一指挥与调度，并对安全事件进行安全检测与应急处理。利用安全中心对企业网络持续进行监测、监控、整改、评估、指挥、调度等，可以形成网络安全运营的闭环管理。

3 石油化工行业网络安全管理的重点

在信息化技术水平的持续提升下，如何保障网络信息安全已经成为一个社会性难题。石化企业作为国家重要的能源企业，十分容易成为网络攻击的对象。冈此，石油化工企业的信息安全管理特别重要，其巾要注意以下三个方面。

（l）石油化工企业的内部相关应用非常复杂，包含工程、施工、销售等相关的石油化工业务，其业务内容也非常烦琐。近年来，计算机信息技术与信息存储技术快速发展，若要确保企业内部的业务系统可应对变幻莫测的市场竞争与变化，企业内部的相关信息结构需要从分层架构转变为微服务敏捷架构。在市场供给方面，工艺云转变为工业互联网。随着时间的推移，我国石油化工企业的信息化质量还会持续提升，甚至成为世界网络运营的安全标杆。

（2）石油化工企业的网络覆盖范围非常广，涵盖的大数据终端数日繁多。当前，石油化工企业的网络已经覆盖全球五大洲，涉及30多个国家。当然，其在我国范围内基本实现全覆盖，总用户数高达60万。石油化工企业的网络是一个非常庞大的网络信息系统，不仅网络终端服务器数量繁多，其信息量也呈爆炸式增长[2]。

（3）石油化工企业的供应链非常复杂，虽然相关企业对主体运营建设非常熟悉，并获得共享服务公司的技术支持，但极度复杂的信息化系统容易导致海量的供应商出现混乱的情况。比如，某石油化工企业的信息软件服务商多达20家，为其提供网络技术服务的单位有10多家，因此对庞大的软件供应链进行科学约束是保障石油化工企业的网络安全的重要手段。

（4）企业内部出现了大量新的业态应用，很多石油化工企业开通了智能工厂、智能油气山、智能研究院等内部应用系统，多数重点应用支持100多个国家的企业经营管理，提供了基础设施、网络安全中间层、主机安全、计算节点等各种相关信息资源。在物联网与互联网的相关网络应用中，出现了支付安全、应用安全、平台安全、交易安全等众多的安全威胁因素，对网络信息安全的维护带来了前所未有的挑战。

4 网络安全管理的现状

4.1 网络安全管理的现状分析

现阶段，虽然很多企业都设置了VLAN对外网进行隔离，但其却无法控制网络的访问权限，因此所有的终端用户通过互联网的IP地址和MAC地址都可对企业内网进行访问。究其原因有两个方面：一是网络未按照安全域的保护标准等级进行访问加密控制，由于很多关键网络设备只设置了非常简单的密码来对其进行保护，因此任何计算机在不同的网段都可以进行登录访问，这对网络信息安全带来了很大威胁;二是路由器没有资动屏蔽不需要的服务，如SNMP控制因素等，以致不能有效识别DDOS 高具。一旦SNMP设置不规范，黑客就能攻击计算机网络漏洞，并以此文件为基础，破解相应的软件，从而在短时间内攻破密码，对网络设备进行控制。虽然一部分网络设备设置了加密密码，但黑客也可以通过LOS文件清除密码，即无须输入密码即可登录，这就给网络安全带来了极大威胁。

4.2 信息安全形势分析

企业内部信息安全的威胁因素可分为两个方面：一是企业内部下载了恶意软件，有很多的企业发生过这样的网络安全事件：二是部分企业的内部职工缺乏网络安全意识，进行不当操作致使网络信息遭到泄漏。此外，部分企业购买了不合法的计算机软件，导致企业内部信息遭到泄漏。而企业外部信息安全的威胁因素主要是恶意软件侵入和黑客入侵，其中包括APT和DDOS方面的因素。石油化工企业在进行管理的过程中，一定要重视网络安全的相关因素，这可以在很大程度上预防网络攻击，维护企业的信息安全，同时为企业的经济效益最大化提供保障。

5 构建企业网络信息安全系统

为构建企业网络安全系统，应当从企业网络信息安全风险的相关因素展开分析，据此为企业的网络信息安全奠定基础，从而在技术的持续提升中维护企业的信息安全。如今，石油化工企业都非常重视网络安全的工作方面，因为其处于复杂的外部环境中。为了满足网络安全的可持续发展要求，企业必须遵循国家相关的网络安全指示，即提高网络安全的思想意识，如果企业的信息系统遭到破坏，那么会给企业带来不可估量的损失。为了将企业的网络安全维护工作提升全局规划中，需要为企业配置一个标准更高、要求更严的网络安全维护系统。在企业管理部门的引领下，企业内部需要投入大量的人力和物力，从而不断强化企业信息安全的维护工作。

5.1 创建与完善信息网络安全体系

究其本质，构建网络信息安全体系是一种企业管理模式，是为了提升企业的管理水平，同时提升企业内部的数据信息安全，并有效降低企业的负面影响，据此促进企业得到更为长远的发展。将网络信息安全管理制度与企业的内部控制策略相结合，制定出企业内部职员操作网络的參考标准，在以强有力的企业内部控制为基础的网络安全管理模式中，可以对企业的安全管理提供保证，为企业管理指明方向。信息安全管理以信息技术为基础，在信息爆炸式增长的时代环境中，有价值的信息资源非常珍贵，因其很可能带来非常高的经济效益。若要提升网络信息安全工作的质量和水平，必须完善企业内部信息安全的保障体系。在确保企业信息系统平稳运行的前提下，企业的各个管理部门应当积极利用先进的现代管理方法，参考企业的实际发展情况制定出科学、系统的解决方案。

5.2打造高素养运营团队

为了提高企业的安全运营效率，首先要以企业内部的人力资源为基础，因为员工是企业发展的“第一生产力”。我们可以将网络攻击看成使人与人之间的攻击与防守，现阶段我国缺乏高素质的网络人才，网络人才不仅需要具备超高的网络技术，更要求有良好的道德品质。因此，我们应当大力培养网络科技人才，充分结合世界上最先进的网络安全经验，引进国际先进的网络技术，利用先进的管理理念与技术，为石油化工企业输送“德才兼备”的网络安全管理人才。

另外，企业内部也要注重对员工的培养，为企业内部员工提供持续学习与发展的平台。只有坚持内外结合，才能为石油化工企业提供人才保障，为我国的信息安全管理打下坚实的基础。同时，我们要对日常安全运营进行科学评估，为企业内部配备高质量的核心人才团队。企业内部应当设立综合管理中心，据此对其管理进行全面、有效控制，确保企业安全管理建立信息一体化模式，从而提升企业网络信息安全管理的应急处理水平。

5.3 企业内部全面布局，提升自动化的信息安全检测能力

在石油化工企业的资产管理方面来看，由于其资产规模庞大，安全防护水平不均，网络攻击者通过疏于管理的老旧资产为主要突破口，对网络系统进行迂回突破。利用资产测绘对互联网与物联网的主干网等边界信息进行核查，对企业资产的归属进行明确划分，并做好相应的登记台账，然后对无主系统进行及时下线或废除。另外，在资产管理方面，有必要对互联网企业的敏感信息进行关注，其内容包括邮箱明文的存储账号、登录系统的口令、系统源代码等，避免将一些重要的企业信息暴露在攻击者的面前，应该对企业的敏感信息进行持续清理。在情态感知方面，对企业总部的主干网、互联网出口、区域中心互联网的出口等关键的部位的网络流量进行重点监控。

通过对企业网络攻击者的攻击路线、攻击方法进行提炼与分析，可以形成网络安全的策略方案。同时，我们要对网络黑客的扫描踩点、权限提升、信息横向渗透等方面进行精准识别。另外，在企业总部的互联网出口部署网络攻击打击系统，即利用大数据分析、融合采集网络信息情报源、情报关联分析、对恶意的IP访问地址进行阻止等多项技术，对恶意入侵进行打击，从而迁移网络防护窗口，达到“关口检测，全面阻隔”的效果。另外，利用日志审计技术对系统攻击者进行探测与控制，并制定关联分析预警规则，可以对关联纵深数据进行深度挖掘[3]。

5.4 形成分层次信息安全防御网络

为构建全方位的网络防御体系，需要逐渐形成网络的横向隔离、纵向加深分层次预防体系。在网络防御方面，主要有三道防线：第一是企业总部和区域中心加强边界部署，对来自互联网的攻击采取高强度的防护措施：第二是各下属企业的主干网启用白名单的访问策略，对侵入者进行横向渗透：第三是在数据中心的取暖器边界启用双向的白名单控制策略，以阻断侵入者的纵向入侵。在网络信息的主机方面，监控人员可以利用大数据分析技术对入侵者的行为进行感知、辨识、取证与追溯，从而全面提升石油化工企业的网络信息安全水平。

参考文献：

[1]黄步余.石油化工集成自动化系统网络安全策略[J].电气时代，2011（4）：56-59.

[2]桂宁.石油化工企业网络信息系统的安全策略[J].石油化工设计，2005（2）：68-70+72.

[3]朱彬.浅析石油化工集成自动化系统网络安全策略[J].化工设计通讯，2017，43（ 2）：201-202.

作者简介：

秦泽渊（1985-），研究方向：安全保卫。