隨著社會信息化建設(shè)進(jìn)程的不斷深入，石油企業(yè)對信息系統(tǒng)與IT技術(shù)的依賴程度不斷加深，企業(yè)核心業(yè)務(wù)系統(tǒng)都已架構(gòu)在IT平臺之上，IT基礎(chǔ)設(shè)施已經(jīng)成為整個組織和業(yè)務(wù)的重要支撐。信息技術(shù)飛速發(fā)展為保障石油企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)奠定了堅(jiān)實(shí)基礎(chǔ)，但與此同時，保障IT基礎(chǔ)設(shè)施的安全性，保障所承載業(yè)務(wù)的安全性，也日漸成為大家所關(guān)注的焦點(diǎn)問題。

國家特別重視信息系統(tǒng)安全保護(hù)工作，確立了信息安全等級保護(hù)的基本指導(dǎo)思想，明確要求“重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國際安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南。要重視信息安全風(fēng)險評估工作。對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估?！?/p>

現(xiàn)實(shí)工作中，企業(yè)員工的違規(guī)使用行為往往會導(dǎo)致重要信息意外泄露，給企業(yè)生產(chǎn)帶來嚴(yán)重影響，造成巨大經(jīng)濟(jì)損失。特別是對于國有石油企業(yè)而言，網(wǎng)絡(luò)安全的重要性不言而喻，其業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行直接關(guān)系著社會秩序穩(wěn)定，關(guān)系到國計(jì)民生的長遠(yuǎn)發(fā)展。國有石油企業(yè)網(wǎng)絡(luò)安全建設(shè)在滿足自身業(yè)務(wù)安全需求的基礎(chǔ)上，必須遵循國家提出的等級保護(hù)等合規(guī)性工作要求。復(fù)雜的外部環(huán)境和來自于國家的合規(guī)性要求，這些使得石油企業(yè)都迫切需要提高信息安全保障能力，保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施與業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。

網(wǎng)絡(luò)安全防護(hù)技術(shù)與產(chǎn)品多種多樣，但是沒有一種獨(dú)立的解決方案能夠滿足石油企業(yè)信息安全上的需求，只有將多種安全防護(hù)技術(shù)緊密地結(jié)合在一起，才能充分發(fā)揮其各自作用。通過將各種安全防護(hù)技術(shù)統(tǒng)一、全盤考慮，能夠避免出現(xiàn)彼此之間相互抵觸，導(dǎo)致防護(hù)水平降低現(xiàn)象出現(xiàn)。實(shí)現(xiàn)1+1>2的防護(hù)效果，切實(shí)保障石油企業(yè)網(wǎng)絡(luò)信息安全。

“知己知彼，百戰(zhàn)不殆”，在石油企業(yè)網(wǎng)絡(luò)安全工作中，即要對所面臨的對手——安全威脅與挑戰(zhàn)有著深刻的理解，更要對自身業(yè)務(wù)系統(tǒng)脆弱性與安全需求有清晰的認(rèn)識。為了明確問題范圍，深入理解企業(yè)當(dāng)前面臨的安全風(fēng)險與問題，明確自身安全需求，石油企業(yè)首先要對各個業(yè)務(wù)系統(tǒng)進(jìn)行安全評估。評估方面應(yīng)當(dāng)涵蓋IT基礎(chǔ)設(shè)備的各個方面，包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、終端設(shè)備、互聯(lián)網(wǎng)出口、管理制度與規(guī)范等多個方面的內(nèi)容。通過進(jìn)行安全評估與風(fēng)險分析，明確安全風(fēng)險的范圍、內(nèi)容與嚴(yán)重程度，確定工作目標(biāo)與工作重點(diǎn)。在開展風(fēng)險評估工作的同時，還應(yīng)與有關(guān)部門合作，對已經(jīng)定級應(yīng)用系統(tǒng)開展等級保護(hù)測評工作，對新上線系統(tǒng)進(jìn)行定級備案，滿足合規(guī)性要求。

網(wǎng)絡(luò)安全工作是一個系統(tǒng)工程，石油企業(yè)應(yīng)以“統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)、統(tǒng)一管理”作為工作指導(dǎo)思想，按照由外到內(nèi)、層層深入、分區(qū)防護(hù)、縱深防御的思路進(jìn)行網(wǎng)絡(luò)安全防護(hù)建設(shè)。

首先，應(yīng)當(dāng)明確不同工作內(nèi)容的范圍。網(wǎng)絡(luò)安全工作紛繁蕪雜，涉及到各個方面的工作內(nèi)容。對于主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)等方面的工作內(nèi)容，由各應(yīng)用系統(tǒng)建設(shè)與維護(hù)人員考慮。對于物理安全、網(wǎng)絡(luò)安全等具有一定共性安全內(nèi)容，進(jìn)行統(tǒng)一規(guī)劃，按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行防護(hù)，制定標(biāo)準(zhǔn)的IT服務(wù)管理規(guī)范進(jìn)行統(tǒng)一管理。石油企業(yè)網(wǎng)絡(luò)安全工作的第一步應(yīng)當(dāng)界定內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界，對進(jìn)入網(wǎng)絡(luò)內(nèi)部的途徑進(jìn)行梳理，對互聯(lián)網(wǎng)出口按照統(tǒng)一標(biāo)準(zhǔn)進(jìn)行管理，按照統(tǒng)一標(biāo)準(zhǔn)進(jìn)行安全防護(hù)。互聯(lián)網(wǎng)出口是外部用戶訪問企業(yè)信息系統(tǒng)的重要途徑，同時也是安全威脅進(jìn)入企業(yè)網(wǎng)絡(luò)的重要途徑。出口越多，入侵者進(jìn)入內(nèi)部網(wǎng)絡(luò)的途徑就越多，安全隱患也越多，在運(yùn)維過程中也難以統(tǒng)一管理。針對互聯(lián)網(wǎng)出口多、互聯(lián)網(wǎng)出口安全防護(hù)標(biāo)準(zhǔn)不一致，容易受到外部入侵等安全威脅的問題，可以采用統(tǒng)一互聯(lián)網(wǎng)出口的策略。石油企業(yè)應(yīng)根據(jù)用戶及應(yīng)用系統(tǒng)的使用需求，對互聯(lián)網(wǎng)出口進(jìn)行統(tǒng)一規(guī)劃，制定統(tǒng)一的出口防護(hù)標(biāo)準(zhǔn)，并按照標(biāo)準(zhǔn)進(jìn)行統(tǒng)一安全防護(hù)。通過對互聯(lián)網(wǎng)出口統(tǒng)一規(guī)劃、統(tǒng)一防護(hù)、統(tǒng)一管理，可以減少入侵者通過網(wǎng)絡(luò)接入企業(yè)內(nèi)部網(wǎng)絡(luò)的途徑，提高企業(yè)網(wǎng)絡(luò)邊界安全防護(hù)能力。通過應(yīng)用代理技術(shù)隱蔽企業(yè)網(wǎng)絡(luò)信息，通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)改變IP地址內(nèi)容，降低入侵者通過互聯(lián)網(wǎng)出口直接滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性。

第二，對用戶訪問權(quán)限進(jìn)行劃分。并非所有用戶都具有互聯(lián)網(wǎng)訪問權(quán)限，只有業(yè)務(wù)需求的用戶，經(jīng)過審批后才能開通互聯(lián)網(wǎng)訪問權(quán)限。同時用戶使用USBkey進(jìn)行身份認(rèn)證，以USBkey作為用戶身份的唯一標(biāo)識，實(shí)現(xiàn)用戶訪問行為實(shí)名制管理，避免用戶名口令方式存在的漏洞。傳統(tǒng)的安全違規(guī)事件定位方式是通過IP地址進(jìn)行問題定位，這種方式進(jìn)行事件處理費(fèi)時費(fèi)力，特別是在大規(guī)模復(fù)雜結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境中，基本上很難實(shí)現(xiàn)及時、準(zhǔn)確定位的目標(biāo)。為了在違規(guī)事件發(fā)生后能實(shí)現(xiàn)問題來源快速準(zhǔn)確定位，可以將用戶訪問行為信息與用戶身份標(biāo)識進(jìn)行綁定，一旦發(fā)生違規(guī)事件后，可以通過用戶信息而不是IP地址進(jìn)行迅速定位與響應(yīng)。

第三，規(guī)范用戶的互聯(lián)網(wǎng)使用行為，避免用戶訪問具有安全風(fēng)險的內(nèi)容給自身和企業(yè)帶來危害。通過行為審計(jì)技術(shù)對用戶的互聯(lián)網(wǎng)訪問內(nèi)容進(jìn)行記錄與審計(jì)，發(fā)生安全事件后可以根據(jù)審計(jì)記錄定位事件發(fā)生時間及來源。審計(jì)設(shè)備記錄了所有用戶訪問互聯(lián)網(wǎng)所有內(nèi)容，部分信息中還包括違規(guī)發(fā)送的涉密信息。因此，在審計(jì)記錄訪問權(quán)限分配制過程中，要按照安全審計(jì)職責(zé)分離的要求設(shè)置不同權(quán)限的用戶，避免系統(tǒng)管理員處理過程中接觸涉密文件導(dǎo)致的二次泄密事件。

第四，制定和實(shí)施相關(guān)管理制度與規(guī)范。信息安全“三分技術(shù)、七分管理”，石油企業(yè)安全目標(biāo)的實(shí)現(xiàn)，不但要以先進(jìn)、成熟、可靠的技術(shù)作為支撐和保障，更需要制定相應(yīng)管理辦法與規(guī)范作為依托，通過建立和健全完整的安全管理制度與規(guī)范對用戶使用行為進(jìn)行管理。參照全球最佳安全管理實(shí)踐，建立標(biāo)準(zhǔn)和規(guī)范的IT服務(wù)運(yùn)維管理流程。通過標(biāo)準(zhǔn)化流程，規(guī)范系統(tǒng)運(yùn)維與管理工作。

第五，企業(yè)各級員工廣泛參與。網(wǎng)絡(luò)安全工作，不僅僅只是石油企業(yè)個別部門或個別人員的責(zé)任，需要各個部門、各級領(lǐng)導(dǎo)和廣大員工的廣泛參與、配合與支持。只有石油企業(yè)內(nèi)部各級員工積極主動地在日常工作中按照要求合規(guī)使用，才能實(shí)現(xiàn)信息安全事半功倍的效果，預(yù)期的安全目標(biāo)才能更快更好地實(shí)現(xiàn)。為了督促企業(yè)內(nèi)部用戶自覺執(zhí)行信息安全管理辦法與相關(guān)規(guī)范，石油企業(yè)應(yīng)建立監(jiān)督與考核機(jī)制，制定并執(zhí)行相應(yīng)的考核指標(biāo)與考核管理辦法，建立通報(bào)表揚(yáng)與批評制度。固定周期進(jìn)行檢查與考核，對考核結(jié)果進(jìn)行統(tǒng)一排名并通過通知或者公告方式在企業(yè)范圍內(nèi)進(jìn)行發(fā)布，對排名靠前的部門或員工進(jìn)行獎勵，督促排名靠后的部門或員工及時進(jìn)行改進(jìn)，通過人力資源配合，將考核結(jié)果納入部門、個人年度工作績效考核中。

石油企業(yè)網(wǎng)絡(luò)安全建設(shè)涉及到方方面面，是一個系統(tǒng)工程，在實(shí)踐過程中，要充分考慮自身的業(yè)務(wù)特點(diǎn)與安全需求，深刻理解國家有關(guān)法律法規(guī)，滿足國家有關(guān)機(jī)關(guān)的合規(guī)性要求。石油企業(yè)安全目標(biāo)的實(shí)現(xiàn)離不開各級領(lǐng)導(dǎo)與全體員工的廣泛參與和支持，員工的廣泛參與和幫助是實(shí)現(xiàn)組織安全目標(biāo)的重要保障。新的技術(shù)不斷出現(xiàn)和應(yīng)用，風(fēng)險與威脅不斷變化，面對變化萬千的網(wǎng)絡(luò)虛擬世界，企業(yè)只有與時俱進(jìn)，勇于創(chuàng)新，才能適應(yīng)持續(xù)變化的信息安全風(fēng)險與威脅，保障石油企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。