数字化油气田网络安全架构探讨

数字化油气田网络安全架构探讨

任利萍 陈慧萍

中国石油新疆油田公司油气储运分公司 831100

摘要：进入21世纪，我国各个领域都发生了一定的改变，科学技术的进步使得各个行业的发展有了更多样化的可能。随着信息化技术与网络技术应用发展，数字化油气田逐渐成为了油气行业发展的主体，以数字化油气田为基础，对网络安全架构进行深度分析，通过性能优势的差异定义了分区网络，不同的分区其内部框架不同，所采取的安全策略也不一样，要合理调控安全架构，提高数据传输的正确性和稳定性。基于此，本文对数字化油气田网络安全架构的相关内容进行了一个较为详细的说明。

关键词：数字化油气田；网络安全；网络架构

引言：

数字化油气田涉及的内容比较广泛，在实际的工作过程中，与其他的油气田有明显的差异性，主要表现在动态生产数据、业务灵活部署、现场安全保障三个方面。动态生产数据是一个综合性的过程，它包含了油田前期的勘探、钻井，还有后期的生产采集等，在这个过程中，会产生很多的数据，这些数据都是动态可视化的，在传输数据的时候，需要保证数据的准确性和稳定性。业务灵活部署， 油气田企业的单位结构分布较为散乱，不同的地区其环境特点不同，工作流动性强，这就不得不提高网络安全架构的灵活性。现场安全保障，油气田作业存在一定危险系数，工作区域分布较为广泛，作业区、井站、集输管线等都是风险系数较高的区域，为了业务工作开展的安全性，需要综合考虑各个方面的影响因素，以信息化手段保证数据传输的高效性，在网络安全构架中，要充分考虑数据传输过程中存在的不可控因素。数字化油田的构建是一个循序渐进的过程，涉及的流程比较多，网络安全架构是数字化油田的重要组成部分，可以最大程度上保证数字化油田运行的稳定性。

一、网络架构设计

网络架构的设计需要根据功能性质的不同进行区域划分，通过功能性分区架构，可以使其他网络得到有效的拓展，提高网络运行的安全性，而且有利于网络与网络之间的交互，网络安全建设更稳定。每个功能分区之间的访问权限不同，通过对访问控制权限的合理调控，可以实现功能区之间的安全访问，目前数字化油气田网络安全架构主要有六个功能分区，分别是：交换核心区、服务器区、办公接入区、外网区、网管区、广域网区。交换核心区主要起到一个连接作用，它可以将上级单位与公司网络分区进行数据提取，然后将提取的数据传输到各个功能分区，且传输效率快，稳定性高；服务器区主要负责管理服务器群的接入，一般在服务器的外围设置安全防护措施，避免服务器集群受到伤害；办公接入区主要提供一个网络接口，便于办公局域网的接入，安全防护主要设置在办公接入区的边界；外网区，提供一种网络互连权利，使公司网络能够与互联网和外联网进行连接，外网区的网络比较稳定，安全防护主要设置在交换核心区的边界位置上；网管区，主要负责以太网和Console网络管理终端的接入，同样是在网管区边界设置安全防护。广域网区包含的结构层次比较深，它涉及了公司主体结构的分化，包含了二级单位、三级单位、生产单位的局域网接入，安全防护设置在二级单位、三级单位、生产单位局域网的边界上。

二、分区安全设计

网络架构的稳定性受功能分区的影响，不同的功能分区采用的安全策略不一样，交换核心区的主要作用是连接每个安全分区，要运用的设备并不多，当然核心交换机是必不可少的，该交换机可以实现数据之间的高速转发传送，基于核心交换机的特殊性，不需要对核心交换机设置相应的安全控制措施，物理层面上的安全防护，参照设备操作说明进行维护即可。

服务器区所需要运用的设备有两种，分别是接入交换设备和汇聚交换设备，服务器区涉及的中转数据非常多，相应的安全要求也比较高。服务器区的安全设计包括了流量隔离和策略部署，流量隔离以应用架构为基础，对服务器进行层级规划，将应用服务层、数据库服务层划分到不同的VLAN隔离层，再以架构层的节点监控将它们划分到同一个VLAN中，从而实现流量分化。汇聚层交换机主要收集VLAN服务器产生的数据，并将接收的数据通过服务模块进行安全分析、消息检测、访问控制等服务。策略部署包括了对网络层面和设备层面的安全监控，将安全检测系统部署在汇聚交换机中，可以检测出未被防火墙过滤的危险信息，在服务器设备上，可以设置端口命令，防止外部设备的接入。

办公接入区以层级架构为主，其安全设计更多的是从内部访问权限入手，安全设计要点包括身份识别、日志记录、访问控制等。身份识别是当设备接入用户端或者公司网络端口时，自动弹出的一种身份识别请求，并且可以快速的将识别的信息传输到鉴别服务器中，身份识别具有差异性，在设计过程中，应该根据身份层级的不同接入到合适的网段。日志记录，主要提供访问者的具体信息，包括访问时间、访问方式、访问权限等，当网络终端出现问题时，可以根据日志记录提供的信息进行审查。访问控制，办公接入区涉及的访问人员比较多，当外来访问人员需要访问内部资源时，根据访问用户的权限等级合理调控访问内容，规划好不同用户之间的访问权限。

外网区的主要作用是保护公司内部资源的完整性，免受外部网络攻击造成内部资源的损害，对于外网区的安全设计包括防火墙设置和DMZ安全策略。防火墙设置，不同的防火墙其性能优势不同，在外网区，可以设置双重防火墙提高公司网络访问的安全性，不管是外部的防火墙还是内部的防火墙，都可以部署入侵检测系统对网络访问进行监控，限制企业内部数据的传输，对URL和内容进行全面的筛选和过滤，阻挡非法内容的流入。DMZ安全策略，通过DMZ连接的服务器都需进行PVLAN划分，限制不同服务器之间的访问，降低广播的影响，在内部防火墙的调控下，内网用户可以单项访问DMZ。

网络管理区实现了对数据的可视化处理，包含的数据量非常庞大，对网络管理区的安全设计包括安全防护和设置访问控制服务器。安全防护，对网络接口进行限制性访问，阻止超出访问权限的请求或与管理内容无关的非授权访问。设置访问控制服务器，通过访问控制服务器，可以对公司所有的访问命令、访问权限进行统一的管理，避免了因访问的重复性造成安全漏洞，在访问控制服务器中设置用户权限等级访问命令，根据用户级别开放对应的访问资源。

广域网区负责下级单位的网络接入，对于广域网区的安全设计包括核心路由安全控制和核心交换安全控制。核心路由安全控制，在网络设备上对接入信息进行认证和加密，控制访问信息的速率，规避无关信息的接入。核心交换安全控制，将物理链路与主备进行连接，以OSPF作为路由接入协议，最大程度上保证路由传输的高可用性。

三、结语

数字化油气田是时代发展的必然趋势，它通过对数据的整合分析，实现了对油田的可视化管理。网络安全架构在数字化油气田中有着重要的作用，它可以最大程度上保证数据传输的高可靠性。

参考文献：

[1]李慧君.油田企业信息化发展的趋势—数字化油田的构建[J].价值工程，2018，37（10）：78-79.

[2]张海兰，牛万达，曹永哲.数字油田要素分析、建设现状及发展展望[J].勘探地球物理进展，2018，44（07）：63.

[3]梁嵩.三网融合于未来网络的发展[D].重庆邮电大学学报（自然科学报），2018.

作者简介：任利萍， 出生年月:1975年11月16日，性别:女，籍贯: 河南，毕业院校: 北京石油大学，职称:工程师，目前从事工作: 门户网站建设与运维，专业方向：网络安全、信息技术.