呼　軍

國際化能源企業(yè)在信息管理工作中，已經(jīng)應(yīng)用現(xiàn)代網(wǎng)絡(luò)信息技術(shù)，基本完成了企業(yè)信息數(shù)據(jù)安全控制從“被動(dòng)防御”到“主動(dòng)控制”的轉(zhuǎn)化，將企業(yè)重要的核心數(shù)據(jù)真正安全的保護(hù)起來。

近年來，國內(nèi)各類企業(yè)在信息化建設(shè)過程中都很重視信息數(shù)據(jù)的安全管理，相關(guān)管理部門通過頒布制度和完善相關(guān)技術(shù)，不斷提高信息安全工作的水平，并取得了較好的效果。但是，我國西部企業(yè)受到地域差別、行業(yè)水平、人員素質(zhì)參差不齊的影響，造成目前信息數(shù)據(jù)安全管理和控制的水平不高，存在著安全管理技術(shù)與用戶管理方面造成的隱患，尤其是西部的能源企業(yè)掌握著大量的地質(zhì)、生產(chǎn)等涉及國家能源安全信息和機(jī)密資料，所以更應(yīng)該將網(wǎng)絡(luò)信息安全作為企業(yè)信息化建設(shè)的重中之重。

長北天然氣開發(fā)項(xiàng)目（以下簡稱長北項(xiàng)目）是中國石油與英荷皇家殼牌石油公司（以下簡稱殼牌公司）合作的中國第一個(gè)陸地開發(fā)天然氣項(xiàng)目，也是我國西部地區(qū)首個(gè)中外合作開發(fā)能源的項(xiàng)目。中國石油通過開放能源領(lǐng)域，采用對(duì)外合作的開發(fā)模式，在引進(jìn)國外資金和先進(jìn)技術(shù)以及管理理念的同時(shí)，推動(dòng)國內(nèi)能源開發(fā)走上了與國際合作的新的歷程。在融合中外信息管理技術(shù)和理念后，展現(xiàn)出良好的信息安全工作局面，這在西部企業(yè)發(fā)展信息化建設(shè)工作中具有很好的借鑒意義。

實(shí)現(xiàn)控制信息數(shù)據(jù)安全的環(huán)節(jié)

長北項(xiàng)目網(wǎng)絡(luò)通信建設(shè)先后為項(xiàng)目所在的殼牌公司北京辦公室、榆林現(xiàn)場等十余個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)傳輸和通信提供了通信鏈路，實(shí)現(xiàn)了鉆井?dāng)?shù)據(jù)實(shí)時(shí)采集，并同步發(fā)送到馬來西亞。在這個(gè)過程中，殼牌石油的信息數(shù)據(jù)安全控制工作開展得非常到位，各項(xiàng)管理措施和技術(shù)完善且全面，這些信息安全工作中的理念、措施和技術(shù)都非常值得國內(nèi)企業(yè)學(xué)習(xí)。殼牌在實(shí)現(xiàn)控制企業(yè)信息數(shù)據(jù)安全方面，主要是從網(wǎng)絡(luò)環(huán)境、用戶管理、終端控制和輸出記錄4個(gè)環(huán)節(jié)著手。

網(wǎng)絡(luò)環(huán)境。目前我國西部大型能源企業(yè)下屬的采油、采氣廠的生產(chǎn)作業(yè)現(xiàn)場通常位于經(jīng)濟(jì)比較落后、交通不發(fā)達(dá)的地區(qū)，與母公司距離比較遠(yuǎn)，為了加強(qiáng)上下級(jí)的溝通能力，加快信息傳遞的速度，幾乎所有的能源企業(yè)的網(wǎng)絡(luò)都延伸到了基層生產(chǎn)單位，需要建立安全的網(wǎng)絡(luò)環(huán)境來保證數(shù)據(jù)傳輸?shù)陌踩?/p>

用戶管理。人的因素是信息數(shù)據(jù)安全控制中最難管理的，人的自由程度可以決定其接觸的企業(yè)信息有多大的可能性會(huì)被外傳。所以在信息數(shù)據(jù)安全的控制中，嚴(yán)格限制企業(yè)中每個(gè)人的數(shù)據(jù)瀏覽權(quán)限，控制其能夠接觸的企業(yè)信息種類和數(shù)量，提供所有工作人員能夠相互監(jiān)督的環(huán)境，并在告知的前提下儲(chǔ)存適當(dāng)?shù)墓ぷ饔涗?，都?huì)成為加強(qiáng)用戶管理、減少人為泄露企業(yè)核心信息的有效手段。

終端控制。辦公場所中的個(gè)人電腦是企業(yè)數(shù)據(jù)顯示和開展日常辦公的重要平臺(tái)之一，由于微軟視窗操作系統(tǒng)自身漏洞造成普通用戶名與密碼的設(shè)置不能保證計(jì)算機(jī)和本地?cái)?shù)據(jù)的安全，甚至?xí){到局域網(wǎng)內(nèi)其他設(shè)備。由此看來，應(yīng)該采取更加嚴(yán)密的技術(shù)手段控制設(shè)備的使用人員，和人員使用的設(shè)備。

輸出記錄。隨著企業(yè)自動(dòng)化辦公程度的不斷提高，各類輸出設(shè)備的數(shù)量也逐漸增多，但是很多企業(yè)對(duì)設(shè)備的管理和文件輸出記錄等沒有給予足夠重視。這類管理工作費(fèi)時(shí)費(fèi)力、內(nèi)容瑣碎，單純依靠人工去完成這些管理和記錄工作，容易產(chǎn)生遺漏和差錯(cuò)，往往會(huì)造成重要圖紙和文檔的丟失，還無從追查責(zé)任人。所以需要長期有效的解決方案，新建設(shè)備管理系統(tǒng)或添加具有自動(dòng)管理和記錄的軟、硬件模塊，實(shí)現(xiàn)每次輸出的文件信息自動(dòng)記錄。

信息數(shù)據(jù)管理概況

殼牌公司非常重視企業(yè)的網(wǎng)絡(luò)信息安全，不僅具備周密的企業(yè)信息安全策略，還擁有一大批從事信息網(wǎng)絡(luò)技術(shù)和管理人員組成的優(yōu)秀團(tuán)隊(duì)，為公司在全球的子公司、銷售代表處等提供技術(shù)支持。通過大量采用綜合安全技術(shù)和管理措施，最大限度地減少了網(wǎng)絡(luò)的各類漏洞，防止計(jì)算機(jī)病毒入侵企業(yè)網(wǎng)絡(luò)和在網(wǎng)絡(luò)中傳播，杜絕各種非認(rèn)證的終端設(shè)備訪問網(wǎng)絡(luò)造成信息泄漏，避免了人為侵入計(jì)算機(jī)系統(tǒng)和竊取數(shù)據(jù)。

信息數(shù)據(jù)安全控制的具體辦法

殼牌公司作為知名的國際能源公司，對(duì)企業(yè)核心數(shù)據(jù)的控制和管理，有一套完整的制度體系，通過在公司全球所有機(jī)構(gòu)的使用和磨合，使得這一體系不斷完善，并融入企業(yè)的文化理念，采用先進(jìn)的信息網(wǎng)絡(luò)技術(shù)加以實(shí)現(xiàn)，所以具有很強(qiáng)的人性化，最大限度地消除了員工在被管理時(shí)產(chǎn)生抵觸情緒。長北項(xiàng)目在網(wǎng)絡(luò)建設(shè)和管理過程中繼續(xù)沿用了這一體系。

安全統(tǒng)一的網(wǎng)絡(luò)環(huán)境。殼牌公司擁有自己的網(wǎng)絡(luò)信息構(gòu)架設(shè)計(jì)部門STO（Shell Technology Organization），公司在全球的企業(yè)網(wǎng)絡(luò)都是由STO提出設(shè)計(jì)方案，長北項(xiàng)目也不例外。設(shè)計(jì)方案中采用殼牌公司統(tǒng)一的設(shè)計(jì)標(biāo)準(zhǔn)，杜絕了系統(tǒng)集成是不同方案之間的差異性所帶來的誤差。

網(wǎng)絡(luò)建設(shè)過程大體可以分為傳輸鏈路、機(jī)房建設(shè)、網(wǎng)絡(luò)設(shè)備調(diào)試和綜合布線4個(gè)方面。其中機(jī)房作為局域網(wǎng)的設(shè)備安裝核心地點(diǎn)，除了為網(wǎng)絡(luò)設(shè)備提供安全可靠的工作環(huán)境之外，就是嚴(yán)格控制進(jìn)入人員并使用了門禁系統(tǒng)，每位進(jìn)入機(jī)房的人員姓名和出入時(shí)間都有詳細(xì)的記錄，出現(xiàn)問題時(shí)也有記錄可以查詢。

調(diào)試工作包括STO工程師對(duì)新建網(wǎng)絡(luò)設(shè)備進(jìn)行1周的遠(yuǎn)程監(jiān)測(cè)，調(diào)整設(shè)備配置，修改訪問與管理密碼。之后，現(xiàn)場工程師和其他人員無法登錄設(shè)備、查看網(wǎng)絡(luò)結(jié)構(gòu)中2端設(shè)備的信息，杜絕非法接入的隱患。網(wǎng)絡(luò)投入使用后，由指定的維護(hù)部門對(duì)網(wǎng)絡(luò)設(shè)備和端口狀態(tài)等進(jìn)行遠(yuǎn)程監(jiān)控，當(dāng)設(shè)備發(fā)生故障或者出現(xiàn)異常情況時(shí)，遠(yuǎn)程維護(hù)人員都會(huì)在第一時(shí)間通知現(xiàn)場工程師，及時(shí)查看設(shè)備工作環(huán)境或者更換受損設(shè)備。

殼牌公司的所有網(wǎng)絡(luò)設(shè)備都有統(tǒng)一的編號(hào)，與設(shè)備使用人或者部門綁定，像身份證明一樣。這些信息在公司的區(qū)域服務(wù)器中都有記錄，只有獲得許可的設(shè)備接入網(wǎng)絡(luò)時(shí)才能獲得IP地址和相應(yīng)的瀏覽權(quán)限。如果是非認(rèn)證設(shè)備侵入網(wǎng)絡(luò)，即使獲得了IP地址，也不能訪問網(wǎng)絡(luò)中的數(shù)據(jù)，或者瀏覽任何網(wǎng)頁，而且會(huì)被記錄和留下相關(guān)的設(shè)備信息，便于管理員查找相關(guān)責(zé)任人。

嚴(yán)格規(guī)范的用戶管理。殼牌對(duì)于信息管理的制度比較完善，具體措施也非常明確。從制度上來說，首先讓員工認(rèn)識(shí)到信息安全的重要性，并且?guī)椭鷺淞⒘己玫陌踩庾R(shí)，最后還要簽訂公司的保密協(xié)議，從法律上約束員工的行為，從而保護(hù)公司信息數(shù)據(jù)的安全和相關(guān)利益。

從技術(shù)上來說，公司各部門員工信息數(shù)據(jù)傳遞和使用的安全性，主要依靠殼牌GI-D部門研發(fā)和認(rèn)證的計(jì)算機(jī)操作系統(tǒng)來完成，這套系統(tǒng)是在Windows2000操作系統(tǒng)的基礎(chǔ)上，嵌入殼牌信息安全管理要求和制度的模塊，保障嚴(yán)格規(guī)范信息安全和用戶管理。在傳統(tǒng)的口令登錄操作系統(tǒng)的基礎(chǔ)上，增加了插卡式的用戶管理方式，沒有這張個(gè)人信息卡的確認(rèn)，即便擁有正確的密碼也不能登錄計(jì)算機(jī)，而且輸入3次無效或錯(cuò)誤的口令后系統(tǒng)會(huì)自動(dòng)鎖死，只有啟用密碼恢復(fù)流程，才能由指定用戶繼續(xù)使用設(shè)備。這無疑是給每位員工的系統(tǒng)賬號(hào)設(shè)置了雙保險(xiǎn)，將密碼遺失而造成對(duì)個(gè)人或企業(yè)數(shù)據(jù)泄漏的隱患降到了最低限度。

同時(shí)在計(jì)算機(jī)操作系統(tǒng)中嚴(yán)格規(guī)定了用戶的權(quán)限。公司內(nèi)幾乎所有員工只擁有普通用戶的權(quán)限，僅能訪問和管理自己的文檔，即使多用戶使用同一臺(tái)電腦，用戶之間的數(shù)據(jù)也無法相互訪問。但是為了便于普通數(shù)據(jù)的共享，系統(tǒng)設(shè)計(jì)人員增加了一個(gè)可以共同訪問的文件目錄，如果有可以共享或者同事必須訪問的資料，可以保存在此目錄下；通過規(guī)范用戶對(duì)操作系統(tǒng)的使用權(quán)限，可以防止員工在計(jì)算機(jī)中任意安裝未經(jīng)授權(quán)使用的軟件，避免給公司的數(shù)據(jù)信息管理帶來不確定因素的干擾，甚至是破壞性的影響。

人性化的終端控制和輸出記錄。殼牌公司在共享數(shù)據(jù)服務(wù)器中安裝了大容量硬盤，為員工提供備份數(shù)據(jù)的空間。

在設(shè)備服務(wù)器的應(yīng)用方面，殼牌公司的打印服務(wù)器系統(tǒng)使用非常方便，每位員工可以按照自己工位的位置，通過打印服務(wù)器中每一臺(tái)打印機(jī)的地理信息，查詢到距離自己最近的打印設(shè)備，不但便于集中維護(hù)和降低打印成本，而且每個(gè)打印任務(wù)的文件名信息都會(huì)自動(dòng)記錄在服務(wù)器中。類似的管理系統(tǒng)在語音通信和其他輸出終端設(shè)備上也得到了應(yīng)用。

長北項(xiàng)目信息數(shù)據(jù)安全控制的作用

通過殼牌采用先進(jìn)、細(xì)致的管理制度和措施，到目前為止，長北項(xiàng)目中所涉及的網(wǎng)絡(luò)及信息安全的問題，都得到了充分的控制和解決。統(tǒng)一的網(wǎng)絡(luò)構(gòu)建標(biāo)準(zhǔn)，一致的安全防護(hù)規(guī)則，及時(shí)控制和記錄非法入侵網(wǎng)絡(luò)的功能，實(shí)時(shí)監(jiān)控保證網(wǎng)絡(luò)正常運(yùn)行，對(duì)殼牌這些基礎(chǔ)的信息管理理念和嚴(yán)格、細(xì)致的安全措施的學(xué)習(xí)，到逐步掌握核心技術(shù)，這種對(duì)于控制網(wǎng)絡(luò)和信息安全制度和措施的模式，不僅適合長北項(xiàng)目的建設(shè)中使用，其先進(jìn)和優(yōu)秀的部分對(duì)于西部能源行業(yè)中同類企業(yè)的網(wǎng)絡(luò)信息管理都有一定的借鑒意義。

(作者單位：長北天然氣開發(fā)項(xiàng)目經(jīng)理部)