数字化油气田网络安全架构研究.pdf

第 5 1卷第 6 期 2 0 1 5 年 1 2月 油化上自动化 AUT M ATI ON I N PE r R CHEM I CAI I NDUS TRY 、 ， 0 I ． 5 1 ．No ． 6 No v e m b e r 。2 Ol 5 数字化油气 田网络安全架构研究 张弛， 傅海滨 ， 王柯 中国石油西南油气 田公口] 通信 与信息技术中心， 成都 6 1 0 0 5 1 摘要 随着工业与信息化的融合不断深入， 数字化油气 的建设逐渐成为油气干 t 业新的趋势， 从数字化油气 建没的需求 发 ， 埘网络架构及网络安全需求进 干 亍 了深 入的分析 ， 提 出 r一种基于功能性定 义的网络分 区概念 ， 根据桕膻功 能对 网络架构进 干 了r区域划分 ， 针对不同的功能分区提出了安全策 略， 使各 区域 的安 全架构 针对忡强 ， 且具 备较强 的可扩腱性 。实际应 用表 明， 有效提高了数据传输的正确性、 安伞 ICf li 高效性， 为类似火型油田企业的网络搭建及安全部署提供 _r 一种思路。 关键 词I橱络安全数字化油气田 网络架构 中图分类 号 T E 9 3 8 文献标 志码 B 文章编号 1 0 0 7 7 3 2 4 2 0 1 5 0 6 0 0 6 2 0 4 Re s e a r c h O i l Ne t wo r k S e c u r i t y Ar c hi t e c t u r e of Di g i t a l Oi l a n d Ga s Fi e l d Z h a n g Ch i ，Fu Ha i b i n，W a n g Ke Co mmu n i c a t i o n a n d I n f o r ma t i o n Te c h n o l o g y Ce n t e r ，P e t r o c h i n a S o u t h we s t Oi l a n d Ga s F i e l d Co mp a n y，Ch e n g d u， 6 1 0 0 5 1 ，Ch i n a Ab s t r a c t s W i t h c o n t i n u o u s d e v e l o p me n t o f i n t e g r a t i o n o f i n f o r ma t i o n t e c h n o l o g y a n d i n d u s t r y 。 c o n s t r u c t i o n o f d i g i t a l o i l a n d g a s f i e l d i s b e c o mi n g t h e n e w t r e n d o f o i l a n d g a s i n d u s t r v ． S t a r t i n g f r o m u n i q u e n e e d s o f d i g i t a l o i l a n d g a s f i e l d c o n s t r u c t i o n，t h e n e e d s f r o m n e t wo r k a r c h i t e c t u r e a n d s e c u r i t y a r e d e e p l y i n v e s t i g a t e d wi t h a n a p p r o a c h o f n e t wo r k s u b r e g i o n c o n c e p t b a s e d o n f u n c t i o n d e f i n i t i o n ．Th e n e t wo r k a r c h i t e c t u r e i s r e g i o n a l i z e d b a s e d o n r e l a t i v e f u n c t i o n s ．S e c u r i t y p o l i c y i s p r o p o s e d a i mi n g a t d i f f e r e n t f u n c t i o n s t o 1 T I a k e s e c u r i t v f r a me wi t h s p e c i f i e d s t r o n g p e r t i n e n c e a n d e x p a n d a b i l i t y f o r e a c h r e g i o n ．Th e p r a c t i c a l a p p l i c a t i o n i n d i c a t e s a c c u r a c y ，s a f e t y a n d h i g h e f f i c i e n c y o f d a t a t r a n s mi s s i o n h a v e b e e n i mp r o v e d o b v i o u s l v ．I t p r o v i d e s a n e w i d e a f o r l a r g e o i l e n t e r p r i s e s t o b u i l d n e t wo r k a n d s e c u r i t v d e p l o v ． Ke y wo r d s n e t wo r k s e c u r i t y ；d i g i t a l o i l a n d g a s f i e l d；n e t wo r k a r c h i t e c t u r e 数字化油气 田 业由于作业的特殊性 ， 在 网络 架构和网络安全方面与普通企业存在一定 区别 ， 在 业务发展过程 中也有一些较为独特的需求 ， 主要 表现在以下方面 1 动态生产数据 。无论足前期 的勘探 、 钻井 还是后期的牛产 阶段 ， 产生 的数据呈动态变化 ， 业 务对数据传输的实时性 、 稳定性、 准确性要求很高。 2 业务灵活部署。油气 田企业 的一线生产 单 位 比较分散 ， 所在地 的环境有很大差别 ， 野外作业 的项 目流动性较大 l2， 因而网络及安全架构须具备 较强灵活性。 3 现场安 全保 障。由于作业 存 在一定危 险 性 ， 同时作业区、 井站、 集输管线等要害部位多而分 散 ， 要保证业务系统安全可靠地运行 ， 需要充分运 用信息化的工具和手段 ， 网络基础架构也需要保证 数据的高可用性和传输 的安全性 。 随着信息化进程的不断发展 ， 数字化油气 田正 逐步成为一种新的发展趋势 ， 企业 的业务开展 、 部 署、 决策均需要信息技术的支持。而数字化油气田 的构 建， 很 大程 度上 依 赖 安 全可靠 的 网络架 构 搭建 j 。 1 网络架 构设 计 结合各方面的需求 ， 在 网络架构的设计 中按照 相应的功能对架构进行 了区域划分 ， 如图 1 所示 。 该方式有利于未来 网络的灵活扩展 ， 且能更好地开 展相关的网络安全建设。通过制订功能分区问的 访问控制策略 ， 实现各功能分 区之 间的安全互访。 网络功能区域划分 以及 网络安全域控制策略为 网 络设备 、 网络安全设备等配置奠定了基础。 陔网络架构共分为六大功能分区。 稿件收到 日期 2 0 1 5 0 7 0 7 。 作者简介 张弛 1 9 i ， 男 。 现就职于中N 45 t NNi W f I ] 公 司， 主要研究力‘ 向为视频 会议技 术、 网络安 全等， 任 工程 IJl Ij 。 学兔兔 w w w .x u e t u t u .c o m 第 6期 张弛等．数字化油气田网络安全架构研究 r丽 ⋯ r 砸 一 I 服 务l l 总 部】 f园 区 单 l ； ⋯～ l 器 群 Ⅳl 『 接人 j l 位接入I 一 上 级 外网区 ； 路 由 图 1 网络功 能 分 区架构 示意 1 交换核心区。连接上级单位和公司网络的 各功能分区， 负责数据在各功能区间的高速转发 。 2 服务器 区。提供各 组服 务器群 的 网络 接 入 ， 在服务器区的边界上部署安全防护措施 ， 保护 服务器区内的各服务器群。 3 办公接入区。提供办公局域 网和园区办公 局域网接入 ， 在总部和各个园区办公网接人区的边 界上部署安全防护措施 。 4 外 网区。提供公 司网络与互联 网和外联 网 如银行、 社保 、 税务等外部单位的网络 的互联_ 5 ， 在外网区的因特网和外联网的线路出口， 以及交换 核心区的边界上分别设置安全 防护措施 。 5 网管区。提供 以太网和 C o n s o l e 方式 的网 络管理终端接入， 在 网管 区的边界上设置安全防护 措施 。 6 广域 网区。提供公 司下属二 、 三级单位和 一 线生产单位局域 网的接人 ， 并在与下属二、 三级 单位和一线生产单位局域 网的边界上分别设置安 全防护措施 。 2分 区安全 设计 针对网络架构的设计采用了功能分区的方式 ， 与之相配合网络安全架构 的设计也采 用了分 区的 方式 ， 针对不同的功能分区 ， 提出与之对应 的安全 策略 ， 使各 区域的安全架构针对性强 ， 且具备较强 的可 扩展 性 。 2 ． 1 交换 核 心 区 交换核心区连接各个安全分区， 主要设备有核 心交换机 ， 负责各安全 区之间的高速数据转发 ， 核 心交换设备无需设置安全访问控制措施 。在设备 的物理安全方面， 参照相关规范并充分考虑运行维 护人员 的操作习惯。 2 ． 2 服务 器 区 服务器区提供各应用系统的安全接入和保护 ， 其架构如图 2所示 。服务 器区的设备主要包括服 务器接入交换 设备和汇聚交换设备 。汇聚交换机 旁接服务器区的服务单元， 为服务器区提供相应支 撑 ， 主要包括 防火墙、 入侵检测 系统 I D S 、 应用 负载均衡设备 、 S S L卸载等 。对 于油气 田企 业而 言 ， 服务器区中的生产服务器涉及各个站场的实时 生产数据和核心业务 ， 安全需求相对于办公及其他 应用服务器要更为苛刻。 r 上联路 由 办公服务器 } 生产服务器 财务服务器 图 2 服务 器区架构示意 服务器 区的安全设计要点主要包括 1 流量隔离。根据应用架构对服务器进行分 层部署 如 We b展现层 、 应用服务层 、 数据库服务 层 ， 通过划分不 同的 VL AN 隔离各层 之间 的流 量 ， 在 以应用架构层次划分的同一 VL AN 中， 再通 过划分不 同 的 P VI AN 隔离 不 同应用 之 间 的流 量_ 6 J 。由汇聚层交换机对各 VL AN的服务器之间 的数据交换进行转发， 同时在汇聚层交换机上部署 共用的服务模块 ， 提供访 问控制、 安全过滤、 消息路 由等服务 。 2 策略部署 。在汇聚交换设备层面设置 网络 入侵检测系统 NI D S 进 行安全监控 ， 提供有可能 未被防火墙过滤掉的重要安全警报信息， 提高对攻 击类型的识别能力 ， 在服务器的接人交换设备层面 设置相应 的安全措施如端 口安全 ， 防止非授权主机 或网络设备接入 。 学兔兔 w w w .x u e t u t u .c o m 6 4 石油化工 自动化 第 5 1 卷 3 安全冗余。重要 的服务器应该通过 2 块 网 卡分别连接到 2台接入交换机 ， 以消除单点故障 ， 接入交换设备应该具有划分 VL AN， P VL AN和子 网之间隔离的基本功能 。汇 聚交换设备在 汇聚接 入交换设备的同时， 提供服务器到核心路 由区的连 接 ， 并且应有冗余机制确保在 1台汇聚交换设备无 法提供 网络服务的情况下 ， 能够有另外 l台汇聚交 换设备继续提供网络服务 。另外 ， 在冗余的汇聚交 换设备之间应启用二层连接 ， 以连接跨不 同接入交 换机的 VL AN。 2 ． 3 办公 接入 区 办公接入区中， 各单位均通过标准化 的方式接 入交换核心 区域 。为避免对交换核心造成影响， 故 园区办公网都需采用三层方式接入 ， 并且将总部与 在 园区内本地二级单位的办公接人分离 ， 以保证各 部 门业务的安全性L 。办公接人区的安全性考虑 主要体现在对内部访问的权 限控制上 ， 如允许哪些 用户访问哪些网络节点及哪些应用 等。办公接入 区架构如图 3所示 。 总部各部门 园区二级单位 图 3办公接 入 区架构 示意 办公接人区的安全设计要点主要包括 1 身份识别。接人交换设备连接用户终端 ， 直接将各种用户接人到公司网络 ， 能够主动向接人 设备发出识别用户身份的请求， 并能将用户的身份 信息正确无误地转发给后面的鉴权服务器， 对于能 够识别其身份的终端 ， 应该根据用户身份 ， 将 其分 配到合适 的接入网段 。用户对 网络 的访问可以按 照时间进行限制 ， 对 于不能识别其身份的终端 ， 应 该禁止其接人到公司网络 。 2 日志记 录。提供用 户访 问网络 的详细记 录， 如何时连接、 何时退 出、 连接时间、 连接交换机 的端 口号等信息 ， 在 网络发生安全 问题时 ， 能够提 供线索以供 审核。 3 访问控制 。通过办公接人区访 问公司网络 的用户主要分为公 司员工 、 外包维护人员、 外包工 作人员、 外来项 目人员 。对用户能够访问的内部 网 络资源 ， 需在 汇聚交换设备上 进行严格 的访 问控 制 ， 并且应严格控制不同用户之 间的访 问， 如有需 要也应对于同一 VL AN和子网用户之间的访 问进 行安全控制。 4 接入控制 。在终端接人 到网络之前 ， 应判 断其是否安装 了防病毒软件 ， 是否运行要求的防病 毒技术 ， 是否带有最新的系列签名文件 。其次应判 断是否已安装并正确配置了个人防火墙 、 入侵防御 或其他桌面系统安全软件。最后应检查接人设备 的定制镜像是否已被修改或篡改。 2 ． 4 外网区 外网区保护公司内部网络资源 ， 防止受到外部 攻击和滥用的同时， 也为所有通过公司网络访问外 网的用户提供安全保护。在外 网区的设计 中加入 了非军事区 D MZ ， 其 目的是把 敏感 的内部 网络 和其他提供访问服务的网络分开， 阻止内网和外网 直接通信 ， 以保证内网安全 。 外网区的安全设计要点主要包括 1 防火墙设置。针对不同类型防火墙的优缺 点 ， 在外网区设置双层的防火墙设备 ， 加强对 内网 的保护。在 内外防火墙之 间以及防火墙 内部应设 置入侵检测设备进行安全监控l 8， 提高对攻击类型 的识别能力。限制对等 P 2 P 和即时消息等恶意 流量的传输 ， 部署 防火墙功能 ， 对 URI 和 内容进 行过滤， 有效防御间谍软件、 病毒 、 垃圾邮件和与业 务无关的内容。在阻挡不受欢迎 的来访流量 的同 时， 允许合法业务流量进入。访问外网时需通过具 备行为监控功能的代理服务器 ， 并严格限制不同用 户 的外 网访问时间。关闭所有防火墙的默认服务 ， 开启必要的服务 以确保防火墙设备 自身 的安全防 护 ， 如 NTP， S Y S I OG， S NMP等。通 过 NAT 进 行 内、 外 网地址转换 ， 防止公 司内部 I P地址被外部 人 员获 取 。 2 D MZ安全策略。对各 D MZ内互相不需要 连接的服务器进行 P VL AN划分 ， 尽可能限制不 同服务器之间互相访问 ， 确保相互之间不会受到广 播的影 响， 实现安全 隔离。通过设 置 内部 的防火 墙 ， 实现 内网用户可 以访 问外 网， 内网也可 以访 问 D MZ ， 以确保 内网用户使用和管理 DMZ中的服务 器 ， 但是除了通过无线接入和远程 VP N接人的 内 学兔兔 w w w .x u e t u t u .c o m 第 6 期 张弛等．数字化油气田网络安全架构研究 部用户以及一些 特定应用外 ， D MZ区不 能访 问内 网。设置外部 的防火墙 ， 实现外 网不能直接访 问内 网， 但外 网可 以访问 D MZ区内的服务器和应用。 2 ． 5网络管理区 网络管理 区为公司所有设备和主机提供安全 管理 、 日志记录和报告 。收集的 网络管理信息 从各个设备送到网络管理区内部 的管理节点 ， 设备 的配置以及新 的软件从 网络管理 区内部的管理节 点加载到每台设备。 网络管理 区的安全设计要点主要包括 1 安全 防护。在 网络管理区与 网络接 口的防 火墙处 ， 设置安全访 问控制 ， 过滤和阻止任何方 向 上与网络管理无关 的非授权访问。比如 ， 在防火墙 上配置允许 S y s l o g和 S NMP信 息进 入 网络管理 区 ， 同样也允许从 网络管理区 内部发起 的 Te l n e t ， S S H和 S NMP的应用 。在 网络管 理 区内部 的管 理数据需要采取安全防护手段 ， 防止实施中问人攻 击 ， 比如在 L 2交换 机上 针对管理终端 、 网络管理 主机等实施 P VL AN， P o r t S e c u r i t y等配置 ， 使 中 间人攻击非常困难 。 2 设置访问控制服务器 。采用集中管理的方 式 ， 以保护用户 口令安全 ， 在公 司网管区配置安全 访 问控制服务器 ， 所有设备的用户名 、 口令 、 权限控 制都统一管理 ， 避免因分散式管理带来的安全漏洞 和管理的复杂性 。在安全访 问控制服务器上可将 进入到设备的管理用户分为多个级别 ， 对不同级别 的用户分配不 同级别 的访问权限。所有设 备的管 理用户均需通过访 问控制服务器 的身份验证 ， 并结 合一次性密码系统， 为每台设备提供更严格的身份 认证控制 ， 仅当访 问控制服务器不可用 时， 方可通 过设备本地认证的方式管理设备。 3 操作控制 。大部分 的网络管理功能如软件 升级 、 日志记 录和 S NMP管理需要通过 网络管理 区内专门的终端来进行操作 ， 如果需要在 网络管理 区外进行 网络维护时 ， 网络管理员终端必须与网络 管理区的防火墙建立起基 于 I P S e c的 VP N， 确保 所有的网络管理流量都采用加密的方式进行传输 ， 以防止网管数据被截取 。 2 ． 6 广 域 网区 广域网区主要负责异地 的二级单位及三级单 位的网络接人 ， 通过核心路 由器进行各地 区间的广 域流量的转发 。由于广域网设计覆盖范围较大 ， 文 中所提出的安全设计要点只涉及总部层面。 广域网区的安全设计要点主要包括 1 核心路 由安全控制。核心路 由设备提供各 地区之间的高速数据转发 ， 可在核心路 由设备上适 当设置安全访 问控制 。在核心路 由设备上对各地 的路 由信息进行认证和加密 ， 并通过访问控制， 严 格限制不必要的路由信息进入到本地的核心路 由区。 2 核心交换安全控制 。与核心交换机连接的 所有物理链路应具有主备的连接， 并采用收敛快速 的 O S P F作为核心骨干区的路由协议 ， 确保核心网 络的路由快速收敛能力和高可用性 。如果条件许 可 ， 可在核心交换设备和核 tL , 路由设备之间加设防 火墙 ， 加强各地之间流量的访问控制力度。 3 结束语 数字化油气田概念不仅是信息传递， 更重要的 是运用一系列手段汇集和分析各类数据， 为业务的 发展和决策提供支撑 ， 而在该过程 中， 健康安全的 网络架构对于保证数据传输的正确性 、 安全性和高 效性尤为重要 。文中提 出的分区安全保障架构有 效提升了网络架构的安全I 生， 在保证架构可扩展性 的基础上 ， 兼顾 了高可用性 和安全性需求 ， 为油气 田的信息化进程提供了强有力的支撑 。 参考文献 [ 1 ] 李哲． 油田企业信息化发展的趋势一数字油田的构建[ J ] ． 价值工程 ， 2 0 1 0 1 6 1 5 3 1 5 5 ． [2] 张军华 ， 钟磊 ， 王新红 ， 等． 数字 油 田要 素分析 、 建 没现 状及 发展展 望_ J ] ． 勘探地球 物理进展 ， 2 0 0 7 0 1 2 5 3 0 ． [3] 刘韵洁． 三 网融 合与未 来 网络 的发展 F- J ] ． 重 庆邮 电大 学学 报 自然科学 版 ， 2 0 1 0 0 6 6 9 3 6 9 7 ． [4] 李涛． 网络 安全 概论 [ M] ． 北京 电子 工业 出版社 ， 2 0 0 4 3 54 0 ． [5] 朱建江 ， 朱正 江， 彭龙． 企 业园 区三层 网络架 构的设计 与实 现口] ． 计算机与现代 化 ， 2 0 0 9 0 9 7 0 7 6 ． [6] 刘成文 ， 田雨 ， 章 瑞． 利用 先进通 信技术 建设数 字化油 气 田 E J 3 ． 信息通信 ， 2 0 0 9 0 1 7 88 0 ． [7] 李莉， 邓睿． 论 局域 网建设架 构与 安全策 略I- J ] ． 企业 导报 ， 2 O l 1 2 O 2 8 52 8 7 ． [8] 王铁方 ， 李涛． 蜜 网与防火 墙及入侵检测的无缝结合 的研究 与实现E J ] ． 四川 I师范 大 学学 报 自然科 学 版 ， 2 0 0 5 O 1 1 1 9 1 2 2 ． [9] i J l , 玲． P VI AN技术及其在局域 网中的应用 [ J ] ． 电脑开 发 与直 ， 2 0 1 4 0 3 ； 2 83 1 ． E l 0 ] 钱羽 中 ． 企业数据中心网络架构研究 和设计 [ D] ．上海 上 海 交通大学 ， 2 O 1 3 ． 学兔兔 w w w .x u e t u t u .c o m