资源描述:
第 5 1卷第 6 期 2 0 1 5 年 1 2月 油化上自动化 AUT M ATI ON I N PE r R CHEM I CAI I NDUS TRY 、 , 0 I . 5 1 .No . 6 No v e m b e r 。2 Ol 5 数字化油气 田网络安全架构研究 张弛, 傅海滨 , 王柯 中国石油西南油气 田公口] 通信 与信息技术中心, 成都 6 1 0 0 5 1 摘要 随着工业与信息化的融合不断深入, 数字化油气 的建设逐渐成为油气干 t 业新的趋势, 从数字化油气 建没的需求 发 , 埘网络架构及网络安全需求进 干 亍 了深 入的分析 , 提 出 r一种基于功能性定 义的网络分 区概念 , 根据桕膻功 能对 网络架构进 干 了r区域划分 , 针对不同的功能分区提出了安全策 略, 使各 区域 的安 全架构 针对忡强 , 且具 备较强 的可扩腱性 。实际应 用表 明, 有效提高了数据传输的正确性、 安伞 ICf li 高效性, 为类似火型油田企业的网络搭建及安全部署提供 _r 一种思路。 关键 词I橱络安全数字化油气田 网络架构 中图分类 号 T E 9 3 8 文献标 志码 B 文章编号 1 0 0 7 7 3 2 4 2 0 1 5 0 6 0 0 6 2 0 4 Re s e a r c h O i l Ne t wo r k S e c u r i t y Ar c hi t e c t u r e of Di g i t a l Oi l a n d Ga s Fi e l d Z h a n g Ch i ,Fu Ha i b i n,W a n g Ke Co mmu n i c a t i o n a n d I n f o r ma t i o n Te c h n o l o g y Ce n t e r ,P e t r o c h i n a S o u t h we s t Oi l a n d Ga s F i e l d Co mp a n y,Ch e n g d u, 6 1 0 0 5 1 ,Ch i n a Ab s t r a c t s W i t h c o n t i n u o u s d e v e l o p me n t o f i n t e g r a t i o n o f i n f o r ma t i o n t e c h n o l o g y a n d i n d u s t r y 。 c o n s t r u c t i o n o f d i g i t a l o i l a n d g a s f i e l d i s b e c o mi n g t h e n e w t r e n d o f o i l a n d g a s i n d u s t r v . S t a r t i n g f r o m u n i q u e n e e d s o f d i g i t a l o i l a n d g a s f i e l d c o n s t r u c t i o n,t h e n e e d s f r o m n e t wo r k a r c h i t e c t u r e a n d s e c u r i t y a r e d e e p l y i n v e s t i g a t e d wi t h a n a p p r o a c h o f n e t wo r k s u b r e g i o n c o n c e p t b a s e d o n f u n c t i o n d e f i n i t i o n .Th e n e t wo r k a r c h i t e c t u r e i s r e g i o n a l i z e d b a s e d o n r e l a t i v e f u n c t i o n s .S e c u r i t y p o l i c y i s p r o p o s e d a i mi n g a t d i f f e r e n t f u n c t i o n s t o 1 T I a k e s e c u r i t v f r a me wi t h s p e c i f i e d s t r o n g p e r t i n e n c e a n d e x p a n d a b i l i t y f o r e a c h r e g i o n .Th e p r a c t i c a l a p p l i c a t i o n i n d i c a t e s a c c u r a c y ,s a f e t y a n d h i g h e f f i c i e n c y o f d a t a t r a n s mi s s i o n h a v e b e e n i mp r o v e d o b v i o u s l v .I t p r o v i d e s a n e w i d e a f o r l a r g e o i l e n t e r p r i s e s t o b u i l d n e t wo r k a n d s e c u r i t v d e p l o v . Ke y wo r d s n e t wo r k s e c u r i t y ;d i g i t a l o i l a n d g a s f i e l d;n e t wo r k a r c h i t e c t u r e 数字化油气 田 业由于作业的特殊性 , 在 网络 架构和网络安全方面与普通企业存在一定 区别 , 在 业务发展过程 中也有一些较为独特的需求 , 主要 表现在以下方面 1 动态生产数据 。无论足前期 的勘探 、 钻井 还是后期的牛产 阶段 , 产生 的数据呈动态变化 , 业 务对数据传输的实时性 、 稳定性、 准确性要求很高。 2 业务灵活部署。油气 田企业 的一线生产 单 位 比较分散 , 所在地 的环境有很大差别 , 野外作业 的项 目流动性较大 l2, 因而网络及安全架构须具备 较强灵活性。 3 现场安 全保 障。由于作业 存 在一定危 险 性 , 同时作业区、 井站、 集输管线等要害部位多而分 散 , 要保证业务系统安全可靠地运行 , 需要充分运 用信息化的工具和手段 , 网络基础架构也需要保证 数据的高可用性和传输 的安全性 。 随着信息化进程的不断发展 , 数字化油气 田正 逐步成为一种新的发展趋势 , 企业 的业务开展 、 部 署、 决策均需要信息技术的支持。而数字化油气田 的构 建, 很 大程 度上 依 赖 安 全可靠 的 网络架 构 搭建 j 。 1 网络架 构设 计 结合各方面的需求 , 在 网络架构的设计 中按照 相应的功能对架构进行 了区域划分 , 如图 1 所示 。 该方式有利于未来 网络的灵活扩展 , 且能更好地开 展相关的网络安全建设。通过制订功能分区问的 访问控制策略 , 实现各功能分 区之 间的安全互访。 网络功能区域划分 以及 网络安全域控制策略为 网 络设备 、 网络安全设备等配置奠定了基础。 陔网络架构共分为六大功能分区。 稿件收到 日期 2 0 1 5 0 7 0 7 。 作者简介 张弛 1 9 i , 男 。 现就职于中N 45 t NNi W f I ] 公 司, 主要研究力‘ 向为视频 会议技 术、 网络安 全等, 任 工程 IJl Ij 。 学兔兔 w w w .x u e t u t u .c o m 第 6期 张弛等.数字化油气田网络安全架构研究 r丽 ⋯ r 砸 一 I 服 务l l 总 部】 f园 区 单 l ; ⋯~ l 器 群 Ⅳl 『 接人 j l 位接入I 一 上 级 外网区 ; 路 由 图 1 网络功 能 分 区架构 示意 1 交换核心区。连接上级单位和公司网络的 各功能分区, 负责数据在各功能区间的高速转发 。 2 服务器 区。提供各 组服 务器群 的 网络 接 入 , 在服务器区的边界上部署安全防护措施 , 保护 服务器区内的各服务器群。 3 办公接入区。提供办公局域 网和园区办公 局域网接入 , 在总部和各个园区办公网接人区的边 界上部署安全防护措施 。 4 外 网区。提供公 司网络与互联 网和外联 网 如银行、 社保 、 税务等外部单位的网络 的互联_ 5 , 在外网区的因特网和外联网的线路出口, 以及交换 核心区的边界上分别设置安全 防护措施 。 5 网管区。提供 以太网和 C o n s o l e 方式 的网 络管理终端接入, 在 网管 区的边界上设置安全防护 措施 。 6 广域 网区。提供公 司下属二 、 三级单位和 一 线生产单位局域 网的接人 , 并在与下属二、 三级 单位和一线生产单位局域 网的边界上分别设置安 全防护措施 。 2分 区安全 设计 针对网络架构的设计采用了功能分区的方式 , 与之相配合网络安全架构 的设计也采 用了分 区的 方式 , 针对不同的功能分区 , 提出与之对应 的安全 策略 , 使各 区域的安全架构针对性强 , 且具备较强 的可 扩展 性 。 2 . 1 交换 核 心 区 交换核心区连接各个安全分区, 主要设备有核 心交换机 , 负责各安全 区之间的高速数据转发 , 核 心交换设备无需设置安全访问控制措施 。在设备 的物理安全方面, 参照相关规范并充分考虑运行维 护人员 的操作习惯。 2 . 2 服务 器 区 服务器区提供各应用系统的安全接入和保护 , 其架构如图 2所示 。服务 器区的设备主要包括服 务器接入交换 设备和汇聚交换设备 。汇聚交换机 旁接服务器区的服务单元, 为服务器区提供相应支 撑 , 主要包括 防火墙、 入侵检测 系统 I D S 、 应用 负载均衡设备 、 S S L卸载等 。对 于油气 田企 业而 言 , 服务器区中的生产服务器涉及各个站场的实时 生产数据和核心业务 , 安全需求相对于办公及其他 应用服务器要更为苛刻。 r 上联路 由 办公服务器 } 生产服务器 财务服务器 图 2 服务 器区架构示意 服务器 区的安全设计要点主要包括 1 流量隔离。根据应用架构对服务器进行分 层部署 如 We b展现层 、 应用服务层 、 数据库服务 层 , 通过划分不 同的 VL AN 隔离各层 之间 的流 量 , 在 以应用架构层次划分的同一 VL AN 中, 再通 过划分不 同 的 P VI AN 隔离 不 同应用 之 间 的流 量_ 6 J 。由汇聚层交换机对各 VL AN的服务器之间 的数据交换进行转发, 同时在汇聚层交换机上部署 共用的服务模块 , 提供访 问控制、 安全过滤、 消息路 由等服务 。 2 策略部署 。在汇聚交换设备层面设置 网络 入侵检测系统 NI D S 进 行安全监控 , 提供有可能 未被防火墙过滤掉的重要安全警报信息, 提高对攻 击类型的识别能力 , 在服务器的接人交换设备层面 设置相应 的安全措施如端 口安全 , 防止非授权主机 或网络设备接入 。 学兔兔 w w w .x u e t u t u .c o m 6 4 石油化工 自动化 第 5 1 卷 3 安全冗余。重要 的服务器应该通过 2 块 网 卡分别连接到 2台接入交换机 , 以消除单点故障 , 接入交换设备应该具有划分 VL AN, P VL AN和子 网之间隔离的基本功能 。汇 聚交换设备在 汇聚接 入交换设备的同时, 提供服务器到核心路 由区的连 接 , 并且应有冗余机制确保在 1台汇聚交换设备无 法提供 网络服务的情况下 , 能够有另外 l台汇聚交 换设备继续提供网络服务 。另外 , 在冗余的汇聚交 换设备之间应启用二层连接 , 以连接跨不 同接入交 换机的 VL AN。 2 . 3 办公 接入 区 办公接入区中, 各单位均通过标准化 的方式接 入交换核心 区域 。为避免对交换核心造成影响, 故 园区办公网都需采用三层方式接入 , 并且将总部与 在 园区内本地二级单位的办公接人分离 , 以保证各 部 门业务的安全性L 。办公接人区的安全性考虑 主要体现在对内部访问的权 限控制上 , 如允许哪些 用户访问哪些网络节点及哪些应用 等。办公接入 区架构如图 3所示 。 总部各部门 园区二级单位 图 3办公接 入 区架构 示意 办公接人区的安全设计要点主要包括 1 身份识别。接人交换设备连接用户终端 , 直接将各种用户接人到公司网络 , 能够主动向接人 设备发出识别用户身份的请求, 并能将用户的身份 信息正确无误地转发给后面的鉴权服务器, 对于能 够识别其身份的终端 , 应该根据用户身份 , 将 其分 配到合适 的接入网段 。用户对 网络 的访问可以按 照时间进行限制 , 对 于不能识别其身份的终端 , 应 该禁止其接人到公司网络 。 2 日志记 录。提供用 户访 问网络 的详细记 录, 如何时连接、 何时退 出、 连接时间、 连接交换机 的端 口号等信息 , 在 网络发生安全 问题时 , 能够提 供线索以供 审核。 3 访问控制 。通过办公接人区访 问公司网络 的用户主要分为公 司员工 、 外包维护人员、 外包工 作人员、 外来项 目人员 。对用户能够访问的内部 网 络资源 , 需在 汇聚交换设备上 进行严格 的访 问控 制 , 并且应严格控制不同用户之 间的访 问, 如有需 要也应对于同一 VL AN和子网用户之间的访 问进 行安全控制。 4 接入控制 。在终端接人 到网络之前 , 应判 断其是否安装 了防病毒软件 , 是否运行要求的防病 毒技术 , 是否带有最新的系列签名文件 。其次应判 断是否已安装并正确配置了个人防火墙 、 入侵防御 或其他桌面系统安全软件。最后应检查接人设备 的定制镜像是否已被修改或篡改。 2 . 4 外网区 外网区保护公司内部网络资源 , 防止受到外部 攻击和滥用的同时, 也为所有通过公司网络访问外 网的用户提供安全保护。在外 网区的设计 中加入 了非军事区 D MZ , 其 目的是把 敏感 的内部 网络 和其他提供访问服务的网络分开, 阻止内网和外网 直接通信 , 以保证内网安全 。 外网区的安全设计要点主要包括 1 防火墙设置。针对不同类型防火墙的优缺 点 , 在外网区设置双层的防火墙设备 , 加强对 内网 的保护。在 内外防火墙之 间以及防火墙 内部应设 置入侵检测设备进行安全监控l 8, 提高对攻击类型 的识别能力。限制对等 P 2 P 和即时消息等恶意 流量的传输 , 部署 防火墙功能 , 对 URI 和 内容进 行过滤, 有效防御间谍软件、 病毒 、 垃圾邮件和与业 务无关的内容。在阻挡不受欢迎 的来访流量 的同 时, 允许合法业务流量进入。访问外网时需通过具 备行为监控功能的代理服务器 , 并严格限制不同用 户 的外 网访问时间。关闭所有防火墙的默认服务 , 开启必要的服务 以确保防火墙设备 自身 的安全防 护 , 如 NTP, S Y S I OG, S NMP等。通 过 NAT 进 行 内、 外 网地址转换 , 防止公 司内部 I P地址被外部 人 员获 取 。 2 D MZ安全策略。对各 D MZ内互相不需要 连接的服务器进行 P VL AN划分 , 尽可能限制不 同服务器之间互相访问 , 确保相互之间不会受到广 播的影 响, 实现安全 隔离。通过设 置 内部 的防火 墙 , 实现 内网用户可 以访 问外 网, 内网也可 以访 问 D MZ , 以确保 内网用户使用和管理 DMZ中的服务 器 , 但是除了通过无线接入和远程 VP N接人的 内 学兔兔 w w w .x u e t u t u .c o m 第 6 期 张弛等.数字化油气田网络安全架构研究 部用户以及一些 特定应用外 , D MZ区不 能访 问内 网。设置外部 的防火墙 , 实现外 网不能直接访 问内 网, 但外 网可 以访问 D MZ区内的服务器和应用。 2 . 5网络管理区 网络管理 区为公司所有设备和主机提供安全 管理 、 日志记录和报告 。收集的 网络管理信息 从各个设备送到网络管理区内部 的管理节点 , 设备 的配置以及新 的软件从 网络管理 区内部的管理节 点加载到每台设备。 网络管理 区的安全设计要点主要包括 1 安全 防护。在 网络管理区与 网络接 口的防 火墙处 , 设置安全访 问控制 , 过滤和阻止任何方 向 上与网络管理无关 的非授权访问。比如 , 在防火墙 上配置允许 S y s l o g和 S NMP信 息进 入 网络管理 区 , 同样也允许从 网络管理区 内部发起 的 Te l n e t , S S H和 S NMP的应用 。在 网络管 理 区内部 的管 理数据需要采取安全防护手段 , 防止实施中问人攻 击 , 比如在 L 2交换 机上 针对管理终端 、 网络管理 主机等实施 P VL AN, P o r t S e c u r i t y等配置 , 使 中 间人攻击非常困难 。 2 设置访问控制服务器 。采用集中管理的方 式 , 以保护用户 口令安全 , 在公 司网管区配置安全 访 问控制服务器 , 所有设备的用户名 、 口令 、 权限控 制都统一管理 , 避免因分散式管理带来的安全漏洞 和管理的复杂性 。在安全访 问控制服务器上可将 进入到设备的管理用户分为多个级别 , 对不同级别 的用户分配不 同级别 的访问权限。所有设 备的管 理用户均需通过访 问控制服务器 的身份验证 , 并结 合一次性密码系统, 为每台设备提供更严格的身份 认证控制 , 仅当访 问控制服务器不可用 时, 方可通 过设备本地认证的方式管理设备。 3 操作控制 。大部分 的网络管理功能如软件 升级 、 日志记 录和 S NMP管理需要通过 网络管理 区内专门的终端来进行操作 , 如果需要在 网络管理 区外进行 网络维护时 , 网络管理员终端必须与网络 管理区的防火墙建立起基 于 I P S e c的 VP N, 确保 所有的网络管理流量都采用加密的方式进行传输 , 以防止网管数据被截取 。 2 . 6 广 域 网区 广域网区主要负责异地 的二级单位及三级单 位的网络接人 , 通过核心路 由器进行各地 区间的广 域流量的转发 。由于广域网设计覆盖范围较大 , 文 中所提出的安全设计要点只涉及总部层面。 广域网区的安全设计要点主要包括 1 核心路 由安全控制。核心路 由设备提供各 地区之间的高速数据转发 , 可在核心路 由设备上适 当设置安全访 问控制 。在核心路 由设备上对各地 的路 由信息进行认证和加密 , 并通过访问控制, 严 格限制不必要的路由信息进入到本地的核心路 由区。 2 核心交换安全控制 。与核心交换机连接的 所有物理链路应具有主备的连接, 并采用收敛快速 的 O S P F作为核心骨干区的路由协议 , 确保核心网 络的路由快速收敛能力和高可用性 。如果条件许 可 , 可在核心交换设备和核 tL , 路由设备之间加设防 火墙 , 加强各地之间流量的访问控制力度。 3 结束语 数字化油气田概念不仅是信息传递, 更重要的 是运用一系列手段汇集和分析各类数据, 为业务的 发展和决策提供支撑 , 而在该过程 中, 健康安全的 网络架构对于保证数据传输的正确性 、 安全性和高 效性尤为重要 。文中提 出的分区安全保障架构有 效提升了网络架构的安全I 生, 在保证架构可扩展性 的基础上 , 兼顾 了高可用性 和安全性需求 , 为油气 田的信息化进程提供了强有力的支撑 。 参考文献 [ 1 ] 李哲. 油田企业信息化发展的趋势一数字油田的构建[ J ] . 价值工程 , 2 0 1 0 1 6 1 5 3 1 5 5 . [2] 张军华 , 钟磊 , 王新红 , 等. 数字 油 田要 素分析 、 建 没现 状及 发展展 望_ J ] . 勘探地球 物理进展 , 2 0 0 7 0 1 2 5 3 0 . [3] 刘韵洁. 三 网融 合与未 来 网络 的发展 F- J ] . 重 庆邮 电大 学学 报 自然科学 版 , 2 0 1 0 0 6 6 9 3 6 9 7 . [4] 李涛. 网络 安全 概论 [ M] . 北京 电子 工业 出版社 , 2 0 0 4 3 54 0 . [5] 朱建江 , 朱正 江, 彭龙. 企 业园 区三层 网络架 构的设计 与实 现口] . 计算机与现代 化 , 2 0 0 9 0 9 7 0 7 6 . [6] 刘成文 , 田雨 , 章 瑞. 利用 先进通 信技术 建设数 字化油 气 田 E J 3 . 信息通信 , 2 0 0 9 0 1 7 88 0 . [7] 李莉, 邓睿. 论 局域 网建设架 构与 安全策 略I- J ] . 企业 导报 , 2 O l 1 2 O 2 8 52 8 7 . [8] 王铁方 , 李涛. 蜜 网与防火 墙及入侵检测的无缝结合 的研究 与实现E J ] . 四川 I师范 大 学学 报 自然科 学 版 , 2 0 0 5 O 1 1 1 9 1 2 2 . [9] i J l , 玲. P VI AN技术及其在局域 网中的应用 [ J ] . 电脑开 发 与直 , 2 0 1 4 0 3 ; 2 83 1 . E l 0 ] 钱羽 中 . 企业数据中心网络架构研究 和设计 [ D] .上海 上 海 交通大学 , 2 O 1 3 . 学兔兔 w w w .x u e t u t u .c o m
展开阅读全文