智能油田信息安全综合审计关键技术研究与应用

李伟

[摘 要]面对日益严峻的网络安全形势，智能油田建设与运营越来越重视信息安全防护。基于此，本文首先分析智能油田发展面临的信息安全风险，研究信息安全综合审计关键技术，然后提出智能油田信息安全综合审计平台建设及应用方案。通过平台推广应用，有效规避了黑客攻击、网络泄密以及违规上网等安全风险，取得了较好的实践应用效果，保障了智能油田核心数据安全与信息基础设施安全。

[关键词]智能油田;信息安全;综合审计;关联分析

doi：10.3969/j.issn.1673 - 0194.2020.22.028

[中图分类号]TP393.08;F239.4[文献标识码]A[文章编号]1673-0194（2020）22-00-02

1     智能油田信息安全风险

在数字化转型发展背景下，智能油田建设与应用进程逐渐加快，网络与信息系统的基础性、全局性作用不断增强，而保证核心数据资产的安全对油田业务的高质量发展至关重要。当前国内外网络安全形势严峻，境内外恶意分子以及被政治、经济利益裹挟的黑客组织，对能源行业加剧进行网络渗透，攻击关键信息基础设施、窃取商业机密等敏感信息，对油田信息安全构成了极大的外部威胁。此外，内部员工违规访问不良网站内容，使智能系统面临着严重法律风险，加上员工有意识或无意识的网络泄密事件与系统运维人员违规操作事件频发，严重威胁了智能油田发展。目前，我国油田信息安全建设思路已经从防外为主，逐步转为以内外兼顾的策略，信息安全审计成为纵深安全防御延伸和安全体系建设的重要环节。为遵循国家网络强国战略、达到网络安全合规要求，有效避免黑客攻击、网络泄密、违规上网、数据窃取等安全风险，我国急需建立智能油田信息安全综合审计平台，实现信息内容实时检查、网络行为全面监测、安全事件追溯取证，为油田高质量发展保驾护航。

2     信息安全综合审计关键技术

信息安全综合审计是企业内控管理、安全风险治理不可或缺的保障措施，主要指对网络运行过程中与安全有关的活动、数据、日志以及人员行为等关键要素进行识别、记录及分析，发现并评估安全风险。针对智能油田业务需求场景，重点解决3项技术难题：一是如何基于纵深防御理论通过大数据、云计算等技术，对油田不同防御层级的日志、流量等信息进行关联分析建模，有效预防黑客隐蔽型攻击;二是如何通过建立面向油田具体业务场景的敏感信息指纹库、安全策略库、行为特征库，构建覆盖敏感文件信息处理、存储、外发等关键环节的纵深防护与事件溯源取证机制;三是如何通过深度网络业务流量识别与数据建模分析技术，建立面向油田具体业务场景的员工上网行为监管审计机制，实現对员工违规网络行为的全面管控。

2.1   多源异构网络日志信息统一标准化方法与关联分析模型

设计多源异构网络日志信息格式标准化方法，利用基于大数据处理的日志过滤与关联分析建模技术，整合网络泄密、违规上网、黑客攻击等网络风险事件日志信息，建立油田信息安全风险关联分析模型。

2.2   信息安全审计敏感信息指纹库、行为特征库、审计策略库

结合油田具体业务需求场景，运用数据分类分级与指纹识别技术、深度业务流量识别与建模方法，建立满足国家合规要求及油田特有应用场景需求的敏感信息指纹库、网络行为特征库及安全审计策略库。

2.3   数据防泄露与敏感信息内容检查机制

基于操作系统底层驱动过滤的数据通道防护技术、基于智能语义分析的敏感信息内容审计技术，实现对员工通过云盘、邮件、即时通信、移动介质等方式外发涉密信息的实时检测与控制，彻底解决员工有意识或无意识地违规存储、处理、外发涉密信息问题。

3     智能油田信息安全综合审计平台建设及应用

信息安全综合审计平台是一个综合利用云计算、大数据、人工智能、数据指纹、异构数据采集等技术，实现网络行为监控、信息内容审计、数据库操作审计、网络异常流量监测预警的审计溯源系统，在满足网络合规性要求的同时，为信息安全管理与系统运维人员提供了网络安全监测、事件追溯取证的基本手段，提升了油田对敏感数据的监测预警和传输阻断能力，防止了敏感信息泄露，增强了对外部黑客隐蔽性网络攻击行为与内部运维人员违规业务操作的防御能力。其中，图1是智能油田信息安全综合审计平台总体架构。

基于信息安全综合审计关键技术研究与集成创新，相关单位研发建立了智能油田信息安全综合审计平台，以纵深防御理论为指导，通过网络层面的行为和流量审计、信息系统层面日志和数据库审计、终端层面的信息内容审计等，实现对网络风险事件的事前防范、事中告警、事后追溯，形成上网行为全面管控、网络保密实时防护、网络攻击深度发现的主动治理新模式。贯穿数据信息的产生、存储、传输、应用全生命周期的关键过程，自主建立油田敏感信息指纹库，构建基于涉密违规存储远程检查、终端违规外发自动阻断、网络敏感信息识别告警功能的数据安全纵深防护与事件追溯取证机制，为网络保密主动治理提供技术手段。通过设计跨平台、多协议网络信息采集接口机制与多源异构日志标准化数据模型，结合云计算与大数据处理技术，建立适应油田海量非结构化日志信息的存储云中心，且基于深度学习算法建立关联模型，通过日志信息纵向聚合与横向关联实现网络行为与信息内容全面审计。

为保障智能油田核心数据安全与网络系统运行安全，将平台成功应用于油田网络安全保障与网络攻防实战演练、网络保密治理与数据安全保护、员工上网行为管理与审计、IT基础设施运维操作审计等，有效提升智能油田精细化管理水平。通过平台网络安全审计功能，将网络层面防火墙、入侵检测、高级威胁检测、蜜罐入侵诱捕、Web应用防火墙、流量溯源分析、漏洞扫描等网络安全监测防护设备提供的黑客网络攻击行为日志信息，应用系统层面服务器操作系统、中间件、数据库等产生的系统日志信息以及终端计算机层面产生的病毒防护、主机漏洞、基线配置等日志信息进行集中统一标准化处理，通过提取关键要素信息进行关联建模分析，实现对黑客隐蔽性网络攻击行为的深度发现与事件追踪溯源，为油田网络安全日常防御保障提供监测分析技术手段，为油田网络攻防对抗实战演习统一决策指挥提供平台支撑。通过信息安全综合审计平台的信息内容审计功能，实现对内部员工通过电子邮件、即时通信、网络云盘、网站上传等方式外发敏感数据信息的实时监测，结合平台数据防泄露功能，实现对员工办公终端计算机违规存储、处理、外发敏感数据信息文件行为的实时告警提示与阻断控制，同时针对油田不同业务场景，制定开发科研、生产、经营、管理等不同业务敏感数据信息审计策略，实现对内部员工有意识或无意识网络泄密行为的事前告警提示、事中监测阻断、事后追溯取证，为网络保密治理提供有效的技术手段，保障智能油田核心数据安全。通过信息安全综合审计平台的上网行为审计功能，实现对油田内部员工上网行为的有效管理，对员工通过油田网络进行网站访问、网络应用等行为进行实时监测审计，防止员工因访问不良网站给企业带来的法律风险，同时避免因访问恶意网站给企业带来木马病毒等网络安全风险，满足网络安全管理合规要求。利用信息安全综合审计平台提供的运维操作行为审计功能，对运维管理人员的操作日志进行集中监测分析，整合利用日志数据价值，实现对网络设备、安全设备、服务器、数据库等信息基础设施运维操作活动的实时监控、记录及告警，有效规避运维操作过程中产生的网络安全风险。

4     结 语

通过建设应用信息安全综合审计关键技术研究与平台，实现对智能油田全网行为活动与数据信息的集中监控和关联分析，有效规避外部黑客攻击、内部网络泄密、违规网络操作等安全风险，为智能油田开展网络攻防对抗、网络保密治理、数据安全保护、网络行为管理提供了有效的技术手段，有助于油田高质量发展与数字化转型。后续将进一步研究信息安全风险自动化主动阻断技术，实现信息安全综合审计平台与其他防护设备的联动响应。

主要参考文献

[1]唐志斌.网络数据采集及安全审计技术研究综述[J].网络新媒体技术，2020（1）：11-20.

[2]赵艳铎.关联规则算法研究及其在网络安全审计系统中的应用[D].北京：清华大学，2005.