石油企业网络安全形势及对策探析

石油企业网络安全形势及对策探析

于晨

中国石油天然气股份有限公司大港油田分公司第五采油厂科技信息管理部 300280

摘要：该文对我国当前的网络安全问题进行了详细分析，以此为依据来分析石油企业在网络安全方面的实际形式和问题，同时提出了对于工业控制系统测试床、人员培训、石油网络靶场方面的问题，通过解决这些问题促进石油企业的发展。

关键词：石油企业；网络安全责任；网络安全建设

1石油企业的网络安全责任

1.1工业控制系统的可控运行

因为石油工业的工艺手段较为复杂，且具有高压、高温、易燃、易爆等特性，因此在石油工业中要大量的使用工业控制系统，同时随着我国政策的完善，石油工业将会向着网络化、数字化、开放化和集成化的工业化的互联网发展。同时保障这个工业控制系统的稳定运行是石油工业的重要责任。

1.2信息系统的可靠运行

石油行业在利用成熟的信息系统后在管理上有了很大的提升，对于加油站的管理生产管理系统、油气水井管理系统等很多的专业信息系统建设完成之后，信息化的建设逐渐脱离了集中建设，向着集中应用转变。随着时间的流逝，信息系统中会有越来越多的关键信息，因此网络数据是各个企业最注意的一方面，保证网络数据安全对于企业的发展甚至是生存都是尤为重要的。

2石油企业面临的网络安全形势

2.1工控信息安全形势严峻

现在的工业系统的设计更多采用了通用协议和软件通用硬件，通过各种的方法和互联网等其他的公共网络相连接，因此信息技术的安全问题也越来越值得重视，工业控制系统的安全事件受到了几次的威胁，近些年相继爆发的病毒在一定程度上影响了工业控制系统的安全。这些事件所带来的影响已经让国家将工业控制系统的安全问题放到了战略层面。

2.2信息系统安全环境不容乐观

近年来重大的泄密事件，使得网络安全环境令人担忧，尤其是最近些年石油行业大量的信息系统的广泛使用，同时这些问题和社会民众的生活密切相关。一家专业的调研公司公开了石油企业因为新闻中心的运营不当导致的安全问题，企业对这些问题越来越重视。这也表明信息安全问题已经到了不可忽视的地步。

2.3信息安全人员实战技能较弱

目前我国安群管理人员的技能大多都只是理论知识，几乎没有实践和实战能力。在实际的工作中，太过于依靠专业的安全设备，而不重视对于自己专业的技能学习。目前已知的维护信息网络安全的方式都需要专业人员的操作，因为如此更加专业性的多层次的信息安全人才的培养，这是企业必须解决的重要的问题，这需要设立一种实践和理论基础结合起来的培训方式，将工作中将会面临的问题添加到培训中。

3石油企业网络安全建设

3.1工业控制系统测试床建设

通过石化裂解加氢控制系统测试床为例子，来进行具体分析。在这项工艺中,原料油在进入到加氢裂化反应器之前要经过反应料加热炉加热到发生反应所需要的温度。在反应之后减小了碳氢比例，同时除去了氯、硫和氧化物等其他杂质，加氢裂化反应是一个典型的放热反应，在反应进行的时间会放出大量的热，因此要用氢气压缩机供应急冷氢来掌握反应的温度，调节阀控制急冷氢流量的大小。

单回路PID是用来控制测试床，被控制的是加氢裂化反应装置，控制粮食反应装置的温度，预设温度和反应温度之间的误差就要通过PID来进行调节。这项技术的主要由控制系统和工艺设备构成。

3.2基于虚拟化的石油网络靶场建设

相关的石油企业涉及的业务系统特别多，与此同时，网络分布以及地域的跨度都特别大。因此会产生很多的网络威胁，对于新型的威胁，已经上线的业务系统以及网络的系统，并没有办法实现大规模的检测，所以需要通过建设相关的石油网络靶场。石油网络靶场软件分为四层，分别是资源层、数据层、接口层、业务层。

①资源层

可以为企业提供虚拟化技术的虚拟主机，该虚拟主机可以和真实的物理设备共同存在，这样的话就可以实现虚实结合的目标。并且，也提供了相应的虚拟业务仿真模块以及物理设备管理模块。该软件将实体机以及虚拟机进行了相互的结合，对于基础层次的管理，都可以精确的模拟相关的业务场景。与此同时，资源层也可以为其他的应用提供相应的管理功能。

②数据层

数据层可以提供相应的情报库，课程库，工具库，场景配置库等相关的资源。并且数据层可以为快速的演练，快速的验证以及快速的部署提供相应的数据保障。平台库的存在就是为了存放相关的管理数据。课程库主要是为相关的培训人员提供课程信息。任务库存放的主要是相关的历史训练人员以及过程等数据。网络攻击库主要包括的是相关的渗透工具以及技术。

③接口层

接口层主要是将相应的数据层以及资源层提供的相应数据和对象进行相应的隐藏数据和数据的属性。结果从只对业务层进行连接，并且会对相应的数据以及资源的访问权限进行控制。相关的接口层主要包括任务库接口，培训试题库接口，课程库接口。平台库接口，主机虚拟化接口，网络设备虚拟化接口，攻防行为库接口等等。另外，相关的业务层会提供对抗演练信息，系统仿真实验以及网络安全实训等业务。

3.3基于实战的人员培训体系

相关的平台主要是由网络靶场以及相关的工业控制床组成的，并且通过定制预设持续等方式，建立并且完善相关的知识培训体系。该平台会制定一系列的模拟演练，目的主要是为实现人才只是获取，熟悉相关的工具以及训练相应的技能等，与此同时，该平台还会制定一套相关的评价系统，会对相关的人才素质进行全面的评估。通过这样的方式，可以大大提高技术人员的安全操作能力。

4石油企业网络安全的防护措施及技术措施

4.1石油企业建立健全企业规章制度

企业要想确保企业网络安全的问题，首先就是要加大对网络安全的重视程度，其次必须要建立相对完善的安全系统。除此之外，还要制定相应的惩罚制度，凡是出现网络事故的人员，一并进行记录。

4.2石油企业应对网络数据采取加密技术

在石油企业当中，必须要对重要的文件进行加密之后，再投入到外部网络当中。同时，还要采用防火墙技术，通过这样的方式，可以大大提高石油企业内部数据的安全性。在很大程度上降低了企业的损失。

4.3石油企业应加强员工网络安全知识的培训

石油企业的网络执行者就是员工，因此要加大员工对网络的安全意识培训，员工只有从根本上认识到网络安全危害的重要性，才能从根本上解决网络问题发生的情况。所以相关的石油企业，要定期对员工进行网络安全信息的培训，从根本上提高员工的网络安全意识。

4.4石油企业应加强系统平台与漏洞的处理

相关的网络管理人员，可以利用系统漏洞的相关扫描技术来对相关网络应用过程中的漏洞进行提前的预防。对于存在的漏洞，可以及时地进行修复。

结语：

石油企业代表了现代工业的发展程度，因此石油企业的发展和我国的国民经济有着不可分割的联系。所以，石油企业的相关网络安全问题就变得十分重要了。相关的企业管理人员除了要保证企业的生产安全以外，还需要建立一套完善的安全管理体系。针对石油企业的网络安全问题，相关的管理人员只有采用先进的防护措施，建立完善的保护措施，才能保证石油企业的稳定进步和发展。

参考文献：

[1]肖广荣,尹虎.网络安全在大型石油企业中的应用[J].石化技术,2015(4):216-216,218.

[2]任力.浅谈加强石油企业网络信息安全管理体系重要性[J].当代化工研究,2016(5):1-2.

[3]张弛,傅海滨,王柯.数字化油气田网络安全架构研究[J].石油化工自动化,2015(6):62-65.

[4]路坤桥,王金和,邓涛,等.石油企业内网安全隐患及控制策略分析[J].计算机科学,2015(z1):451-452,478.