A7配套项目系统即是工程技术生产运行管理系统,是中石油集团公司信息技术总体规划中A类系统的重点项目,本系统以集团公司油气田工程技术服务的生产运行管理为核心,为工程技术板块生产过程管理提供全面信息化服务。
一、项目概述
(一)配套项目建设必要性
A7配套项目系统是集团公司信息技术总体规划中A类系统的重点项目,该项目得到了集团公司、板块公司的高度重视,目前已确定项目年内完成在川庆公司的推广实施。结合试点单位的一些经验,需在项目进入实施阶段前完成相关基础设施的配套建设,以确保项目的顺利上线。因此,加强川庆公司配套设施建设工作,建设针对公司和基层作业单位的集成化和标准化井场网络及通信系统,对于A7系统的建设和实施至关重要。本项目并是涉及到远程通信、数据传输、信息安全、存储计算、组织实施、运行维护等多个环节的大型系统集成项目,是川庆钻探工程有限公司进行生产现场信息化管理、远程应急通信指挥、现场数据实时上报、数据集中运算和存储的一个庞大的系统工程,具有环境较特殊、通信条件差、应用复杂、服务要求高等特点。
(二)项目系统定位
围绕集团公司主营业务,是集团公司整体规划的公司业务链中各环节对应支持的8类48个项目之一,是集团公司利用信息技术提升传统产业、全面支撑主营业务发展的系统解决方案。
(三)项目实施目的
1、为物探、钻井、录井、测井、井下作业五个专业提供现场数据采集、数据传输、生产调度、生产运行统计等技术支持。
2、为生产安全管理、勘探开发专业数据管理等其他业务管理内容提供所需的数据支持。
3、提高工程技术服务业务的管理效率与水平。
(四)项目设计基础
通过应用数据仓库技术把存储在不同类型媒体或数据库中的现场数据抽取出来,进行分析和研究;应用商务智能,帮助高级管理人员进行战略决策,帮助工程管理人员优化生产。
(五)项目实施内容
充分依据对新兴信息技术的应用。通过实时数据采集、网络传输能力、高性能计算能力以及协作性可视化工作环境,实现生产运行的实时操作控制 (RTO-Real Time Operartion)。
二、项目实施难点
(一)地域分布广
地域分布广(七省区、150余县),井场战线长,总行程里程数达30W公里。为保证本项目的顺利实施,在川庆公司项目组指导和协调下,在地理位置偏远、环境恶劣的宜宾市兴文县、长宁县山区各选择了一个井队作为选点测试性安装。2010年12月14日~15日分别在西钻40648队、东钻40652队安装了一套设备,在两个井队经过紧张的安装、调试,都与中心建立了连接。经过测试,数据传输稳定。经过本次试点安装,我们改进了一些安装方式,比如:网线带到现场定制;3G路由联通和电信设备都要带上备份;安装的流程固定成模式;为保障安装顺利准备2辆越野车等。通过选点测试性安装,效果明显,既对安装、调试、联调、协调工作做了全面摸底,又为以后的大规模全面展开打下坚实基础。
(二)运输条件差
整装公路运输条件差,大部分道路崎岖或泥泞。无法做到沿公路或行政区域部署或实施,导致回头路较多,涉及道路里程20万余公里,装车次数60车次。从2011年1月6日到5月10日期间,A7系统井场安装全面展开。分别由各项目实施经验丰富的5名同志任项目小组长率队进行实施,人员最多时近20人,动用了越野车、商务车、货车等各型车辆6台,涉及到川、渝、陕、甘、宁、蒙、青海省地区的共205支井队,其中由于2010年12月,长庆片区由于受到严冬气候的影响进入冬修,工程实施被迫拖延到2011年第一季度进行的。在川庆科技信息处的关怀和指导下、在川庆东钻、西钻和长庆钻井公司等的大力协助下、在各井队的紧密配合下,经过3个多月的艰苦奋战,顺利地完成了全部井队的安装,并投入A7 系统运行中。
(三)井场通信条件差
井场通信条件差,通信信号不稳定,导致通信设备更换率高。由于本项目前端设备安装地域广、安装数量多,无法一次同时开展试运行,所以上线试运行是与安装同时进行的,在2010年12月14日试安装的2套A7配套设备时,试运行已经同时进行。直至全部设备安装到位,试运行一直在进行。试运行期间根据数据中心监控反映的数据显示,川渝片区117支井队全部都有上线记录。其中长期在线井队数量在60支左右,其余50多支井队分时间段选择性上线;陕、甘、宁、蒙片区105支井队全部都有上线记录。其中长期在线井队数量在70支左右,其余30多支井队分时间段选择性上线。试运行期间我公司硬件技术工程师平均每天都要接到10个以上A7系统硬件技术咨询电话。目前通过远程协助方式已经解决井场技术问题130余起,其中咨询问题100余起、误操作导致设备故障问题10余起、通过返修维护解决硬件问题7起、3G接入信号问题10余起。
(四)专业人员缺乏
井场无专业通信或信息设施管理人员,导致沟通效率和培训效率不高。A7配套设备的硬件故障发生率并不高,占反馈问题量不足1%。其主要原因还是来自操作人员的操作欠熟练。为保障各井队技术人员顺利的使用设备,编写了全套的《A7硬件设备操作手册》,电子文档已发送给各井队技术人员。
(五)施工受时间限制
多数井场冬季施工条件不具备。由于项目实施范围地域较广,涉及川渝、陕、甘、宁、蒙、新及青海省十多个城市,各地区的气候各不相同,项目在实施期间又遇上长庆片区所有钻井队冬休,九龙山片区暴雪,下川东地区路面凝冻,路况极为恶劣和危险,尤其是青海格尔木、西昌普格县、重庆奉节县等距离较远的井队,鉴于安全原因,部分井队只能等到4月后实施
(六)工作条件较差
井场条件较差,食宿不能保障。本项目实施的井队分布地域较广,涉及川、渝、陕、甘、宁、蒙及青海七个省、直辖市、自治区,整个行程达到20余万公里;井队大多数在交通困难的山区,如:九龙山、青海格尔木的戈壁、西昌的螺髻山等;实施期间正好面临冬季的到来,气候恶劣,更加大了实施的难度;井队数量众多,达到222支,这对路线安排、井队协调、队伍管理提出了很高的要求;同时井队缺乏相关专业技术人员、人员更换也较频繁,在培训上、后期的远程维护上业也提出了更高的要求。
虽然项目的实施过程中面临了众多的困难,但是在川庆科技信息处的关怀和指导下、在川庆东钻、西钻、长庆项目部的大力协助下、在各井队的紧密配合下,我带领公司技术、管理人员的施工队伍经过不懈努力,在环境恶劣的情况下,坚持在本职岗位上努力把本职工作干好,切实让同志们放心,让亲人们放心,让党放心,让公司和组织放心的理念,历时近六个月的艰苦劳动付出,我们终于按时按质完成了项目的施工。
三、项目技术的先进性和信息的安全性
(一)项目技术的先进性
根据长城钻探(国内)、大庆钻探试点建设情况,生产运行管理系统能较好地为物探、钻井、录井、测井、井下作业五个专业提供现场数据采集、数据传输、生产调度、生产运行统计等技术支持,不仅提高了工程技术服务业务的本身的管理效率与水平,而且为生产安全管理、勘探开发专业数据管理等其他业务管理内容提供所需的数据支持。风险管理的过程中,如何有效地消除威胁、降低风险是关键,因此,我们首先应该建立全面的系统和网络防御体系。川庆钻探目前已经建立了一套比较系统的终端安全防御措施,而McAfee提供的先进的IPS检测产品,可以帮助客户对抗未知的和将来出现的安全威胁,通过McAfee NSP在骨干链路中实时准确的检测各种恶意流量,包括僵木蠕,完善整个网络安全建设。
本项目采用 Juniper SSG-20-SH-W作为IPsec 用户端安全网关,同时该网关设备具备全面的UTM 特性及WiFi 特性,在少数井场采用SSG-5-SH-W作为井场端安全网关,其具有与SSG20相同的业务功能特性。
SSG20 及SSG5是一个专用、模块化安全平台,提供160 Mbps状态化防火墙流量和40 Mbps IPsec VPN吞吐量,适用于小型分支办事处、远程工作人员和企业部署,其中SSG20 支持更多的广域网连接,例如在有条件接入ADSL 的井场,可以通过在SSG20上配置ADSL 2+PIM模块连接至。
Juniper网络公司的安全业务网关5(SSG 5)和安全业务网关20(SSG 20)系列是新型的专用安全设备,将高性能、安全性和局域网/广域网连接性完美地结合起来,可以用于小型分支办事处和单独的企业部署。产品提供一套全面的统一威胁管理(UTM)安全特性,包括状态防火墙、IPSec VPN、IPS、防病毒(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件和 Web 过滤等,可防止出入分支办事处的流量免遭蠕虫、间谍软件、特洛伊木马和恶意软件等安全攻击。
这套丰富的 UTM 安全特性允许您将SSG 5 和 SSG 20 部署成单独的网络防护产品。强韧的路由引擎还允许您将SSG 5 和 SSG 20部署成传统的分支办事处路由器,或部署成防火墙和路由的综合产品,以降低前期 IT 购置和后期运行成本。
SSG 5:SSG 5是固定规格的平台,提供160 Mbps的状态防火墙流量和40 Mbps 的IPSec VPN 吞吐量。
SSG 20:SSG 20 是模块化平台,提供160 Mbps 的状态防火墙流量和40 Mbps的IPSec VPN 吞吐量。
对分支办事处、中小型企业和服务供应商来说,如果他们希望拥有一个安全平台,能够保护他们的广域网和高速内部网络,而同时还要通过高级别的系统和接口模块化扩展该平台的投资回报,那么,SSG 5和 SSG 20是理想选择。
(二)项目信息的安全性
随着川庆钻探客户信息系统的不断发展壮大,中心网络的规模和节点数量也在不断增加。在网络的发展过程中,川庆钻探一直非常重视信息安全系统的规划和建设,已经建成了非常全面的安全防御体系。本方案根据川庆钻探客户目前的信息安全建设状况,借助McAfee在信息安全领域的先进技术和解决方案,以动态安全风险管理为基础,提出了全面的信息安全解决方案及实施步骤。
Juniper网络公司 SSG 5和SSG 20系列解决方案的关键特性与优势包括:
1、高性能专用平台,提供广域网连接性与安全性,还可以保护高速局域网免受内部网络层和应用层攻击。
2、公认的安全性和局域网/广域网路由功能,可以提供合并设备并降低IT成本。
3、一套全面的统一威胁管理(UTM)安全特性,可防止网络和应用层攻击,同时阻断基于内容的攻击。UTM安全特性包括:
4、状态检测防火墙,可进行接入控制并阻断网络层攻击;
5、IPS (深层检测防火墙),可阻断应用层攻击;
6、基于卡巴斯基实验室扫描引擎的最佳防病毒特性,包括网页仿冒、间谍软件和广告软件防护等功能,可在病毒、特洛伊木马和其他恶意软件损害网络之前阻断它们;
7、与赛门铁克合作阻断已知的垃圾邮件和网页仿冒攻击的发送方,提供防垃圾邮件功能;
通过SurfControl 提供Web 过滤,阻止访问已知的恶意下载网站或其他不适当的 web 内容;
站点间 IPSec VPN,可在办事处之间建立安全通信;
拒绝服务(DoS) 攻击牵制功能;
面向H.323、SIP、SCCP 和 MGCP 的应用层网关,用于检测并保护VoIP 流量;
固定的局域网接口和广域网接口选项,包括RS-232 Serial/AUX、V.92、T1、E1、ISDN BRI S/T 和ADSL 2+;
接口与路由灵活性,应对不断变化的网络连接性需求和未来的增长需求;
多种高可用性选项,可以在一秒钟之内在接口或设备之间进行故障切换;
可自定义的安全区,能够在不增加额外的硬件开销的情况下提高接口密度,降低策略创建成本,控制未经验证的用户和攻击,并简化防火墙/VPN的管理;
通过图形Web UI、CLI或NetScreen-Security Manager 集中管理系统进行管理;
基于策略的管理,允许集中的端到端生命周期管理;
采取安全措施
(1) 加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;
(2) 能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击;
(3) 能够探测出已知和未知的蠕虫、病毒及IPS,准确定位传染源,并能够阻断蠕虫通过网络进行传播;
(4) 能够检测异常网络流量,有效阻断DoS/DDoS攻击;
(5) 能够对整个客户网络进行实时、准确、全面的入侵防护;
(6) 通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建议;
(7) 发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的安全;
(8) 需要依照全面的安全策略和管理策略,部署先进高效的网络入侵防护产品,并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;
NSP基于完善的攻击分析方法,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务检测技术,除了可以探测攻击,还可以探测已知未知蠕虫和后门程序。以全面的量化安全风险为基础,在系统和网络层面构建全面的安全威胁防御体系,完善健全安全措施,当安全风险等级变化时,风险管理管理系统提供详细的安全风险变化原因和补救措施,同时,调整系统和网络层面的防御策略,真正的做到全面防御,有的放矢。
