大型油气生产企业网络安全管理实践

大型油气生产企业网络安全管理实践

王海燕

中原石油工程有限公司钻井二公司河南濮阳457000

摘要：大型油气生产企业的网络主要服务于生产，网络级别要求非常高，一旦遭到攻击，可能会造成生产数据丢失、商业机密泄露等重大安全事故。为了减少企业网络中病毒入侵、木马程序、系统漏洞等不安全因素的影响，文章介绍了大型油气生产企业网络安全管理平台的建设与应用，旨在进一步提升企业的网络安全管理效果。

关键词：油气生产企业；网络风险；安全管理

1大型油气生产企业网络信息安全风险分析

1.1计算机自身问题

为了实现各种数据信息的交换共享，计算机网络通常具有一定的开放性，这种开放的状态必然会面临各种安全隐患和威胁。大数据背景下，计算机的有限存储空间中要存储大量的数据信息，容易产生垃圾信息，造成数据冗余，一些垃圾信息会潜伏着不可预知的威胁。同时，计算机中删除的信息保存在回收站中，回收站的本身安全性不高，容易被不法分子所利用。

1.2人为问题

1.2.1人为操作方面的问题

大数据背景下，工作人员所使用到的大部门信息都来自于互联网，必须通过互联网技术来实现，部分信息的实现、数据的提取都将主要依靠计算机技术，而计算机技术的操作者为人，工作人员在操作过程中难免会受到主观意识的影响，也有可能因为失误或操作不当而引发不必要的安全问题。同时，在计算机网络密码、口令使用过程中，由于缺乏安全防范意识，密码、口令设置过于简单，将会留下人为的安全漏洞。大数据背景下，人为操作不当也将极有可能造成信息数据的丢失，甚至被不法分子所窃取，进而造成巨大的经济损失。

1.2.2病毒攻击、黑客入侵等方面的问题

信息化时代背景下，计算机网络无时无刻不面临着病毒攻击、黑客入侵等的威胁。通常情况下，黑客通过利用非法手段窥探、窃取计算机内部存储的各种数据，并会破坏或泄露一些重要信息，给用户带来不可弥补的损失。同时，由于计算机网络系统具有一定的开放性，在运行过程中，难免会遭受一些恶意病毒、木马等的攻击，由于计算机病毒的潜伏能力较强，一般不易被察觉，当某些程序受到病毒的攻击后，会对整个计算机网络形成威胁，甚至会造成计算机网络系统瘫痪、重要数据信息丢失。因此，病毒攻击、黑客入侵都将会给计算机网络安全形成威胁。

2大型油气生产企业网络安全管理平台关键技术

2.1多源数据接入技术

在平台设计中，安全要素提取层负责采集与安全相关的海量异构数据，为提高管理平台安全识别能力，需完整收集安全相关要素的数据。可将安全要素数据分为三种类型：

（1）高频数据：也就是通常所说的大数据，以海量、高速、异构为特征，主要有外部流、运行状态和性能数据、日志和事件、原始流量镜像包和Flow流数据等，通过高速数据总线采集；

（2）中频数据：通过在网络关键位置部署相应的探测器采集引擎，对全网安全威胁包括业务系统漏洞、应用配置问题、安全事件、病毒木马等安全威胁进行监测；

（3）低频数据：包括常见的资产信息、配置信息、弱点信息、身份信息和威胁情报等，通过低频数据总线进行采集。

针对每种类型的数据需采取不同的数据采集技术进行数据收集，平台提出全要素数据适应性采集技术，用于实现高频、中频、低频数据的汇集接入。

2.2基于机器学习的日志模式识别与可视化范化技术

网络安全管理平台接入了多种异构安全设备，如防火墙、入侵检测系统、漏洞扫描系统、操作系统日志等，各类安全设备大都采用自定义的告警传输及交换格式，这给告警信息处理带来实现难度。

（1）定义方式缺乏规范性，各系统定义的事件格式仅在各自系统内部有效，系统间缺乏互操作性；

（2）对同一类事件，各系统采用的表达和描述方式不一致，从而导致一个系统内定义的事件，在没有人工参与的情况下，不被其它系统理解。

传统的日志范式化技术一般采用正则表达式来编写，日志格式稍一改变，正则表达式可能就会失效，造成无法识别和范化。而采用机器学习技术对海量日志进行学习和识别，通过分析日志语法结构和聚类算法，自动化对日志进行聚类合并，形成一个个包含相似数据内容的日志集。另外，采用可视化范化技术，针对范化需求，运维人员可在页面编写正则表达式后直接显示提取结果，并可将提取内容通过鼠标将内容拖曳至相应的范化字段，直接完成字段对应，系统会根据运维人员的操作自动生成范式化解析脚本并开始生效工作，可视化范化技术大幅降低范化工作复杂度，提升日志范化的效率，使平台变得更易用高效。

2.3海量数据融合技术

按信息抽象程度的高低，可将数据融合从低到高分为三个层次：数据级融合、特征级融合与决策级融合。数据级融合是对采集的、未经处理的数据进行综合分析；特征级融合是对采集到的原始数据进行预处理，然后对预处理后的数据提取特征信息的一种综合分析和处理过程；决策级融合是对不同类型的传感器进行本地化处理，包括预处理、特征抽取、识别或判决，以建立对所观察目标的初步结论，然后通过关联过程做出决策层融合，最终获得联合推断结果。决策级融合相比其它两种融合方法，是基于一定的准则和决策可信度做最优决策，具有良好的实时性和容错性。

目前，在大规模网络中，网络安全数据和日志数据由多种类、大量设备或应用系统产生，且这些安全数据和日志数据缺乏统一标准与关联；另外异构安全设备输出的告警事件往往存在很大的冗余，表现在同一安全设备对同一事件的重复告警，不同安全设备对同一事件的告警。因此网络安全管理平台综合分析所有安全要素数据时，要打破传统的单一模式，打破表与表、行与行之间的孤立特性，把数据融合成一个整体，从整体上进行全局的关联分析，对数据整体进行高性能的处理，以互动的形式对数据进行多维度的裁剪和可视化。

2.4多层次智能安全分析技术

随着信息化的发展，网络安全形势越来越严峻，网络攻击的形式多样，有显式的破坏性行为，如DDoS攻击、暴力破解等；也有针对特定政府或企业的高级持续性威胁（AdvancedPersistentThreat，APT），发动APT攻击的黑客或组织不为短时间获利，而是把被控主机或系统当成跳板，持续隐蔽攻击，攻击周期可以持续长达数年。针对复杂的网络安全环境，网络安全管理平台应提供多层次的安全事件分析技术。对于已知安全风险，通过对安全事件的分析，在系统内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，关联分析引擎实时分析采集的安全日志和流量元数据，结合各类情境数据，及时发现已知的攻击和威胁；针对未知威胁，平台采用基于机器学习的异常行为检测方法，从海量日志和流量元数据中选择属性特征进行学习，构建实体的行为基线模型，通过实际值与预测值的偏差分析识别异常行为，并通过对置信度的进一步计算，超出置信度阈值的将被判断为安全事件；针对攻击链行为，采取深度分析技术，探索整个攻击链过程中的不同阶段的攻击，构建攻击行为链和影响性分析。

结语

综上所述，信息化的运用使企业得到了快速的发展，然而，部分企业只看到了利忽视了弊，却忽视了信息的安全直接影响企业的发展。所以，油气生产企业若想进一步发展，就必须对网络信息安全进行严格的管理。企业应不断强化对网络安全风险的分析，并应用相应的技术进行安全管理，保证企业的网络信息安全。

参考文献：

[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用，2015（3）：100.

[2]潘爱萍，于连峰，周仕良.浅谈企业信息化建设中的信息安全问题[J].消费电子，2014（20）：169.