香瑋
中國石油西北化工銷售公司 甘肅蘭州 730070
化工銷售企業(yè)信息安全體系要走一條新型發(fā)展道路,以此滿足人們的需求,不斷傳新發(fā)展。企業(yè)的經(jīng)營管理和信息技術密切相連,由此而引起的信息風險也變得愈加突出,對于企業(yè)而言,信息網(wǎng)絡、信息系統(tǒng)一旦出現(xiàn)漏洞,就會帶來前所未有的影響。
保障化工銷售企業(yè)的信息安全,就是要保證石油石化行業(yè)的信息在提取、存儲、分析處理、信息傳輸?shù)倪^程中始終保證保密性、完整性和可使用性。信息安全包括信息本身的安全,同時也包括信息系統(tǒng)的安全。其中,信息本身的安全就是指防止信息的丟失、竊取、篡改,信息系統(tǒng)安全就是要保證系統(tǒng)有序穩(wěn)定運行,確保權利者能夠順利使用信息系統(tǒng),無權利者沒有資格使用信息系統(tǒng),跟無法對信息系統(tǒng)進行破壞。當下這個階段,我國“三桶油”等石油石化企業(yè)都已經(jīng)建立了一定程度上適應企業(yè)發(fā)展以及形式變化的信息安全管理系統(tǒng),并且設置了信息安全領導核心、信息安全專門管理機構、信息安全管理專員等專門機構和崗位。通過明確崗位設置以及崗位責任,將石油石化企業(yè)信息安全管理責任分解到每一個個人,責任到人,落到實地。同時,各大石油石化企業(yè)也都頒布實施了各項管理規(guī)定以及管理辦法。
石油石化行業(yè)關乎我國能源命脈,同時也就關乎我國經(jīng)濟總體運行穩(wěn)定與安全,對于我國的國民經(jīng)濟發(fā)展有著至關重要的作用。目前,化工銷售企業(yè)信息安全系統(tǒng)缺乏足夠的重視與技術支持,存在很多的問題。雖然我國已經(jīng)在石油石化行業(yè)信息安全建設取得了一定的建設成果,但是還是面臨著很多的風險與挑戰(zhàn)[1]。
目前,由于我國信息安全行業(yè)仍然處在發(fā)展期,而石油石化行業(yè)要求的保密性又特別高,因此國產(chǎn)設備無法滿足石油石化行業(yè)的要求,設備使用只能依靠進口。目前,硅谷的微軟集團幾乎壟斷我國全部的電腦操作系統(tǒng)市場,離開了微軟的視窗系統(tǒng),很多的國產(chǎn)軟件都會失去操作平臺。數(shù)據(jù)分析軟件也是如此,來自美國的數(shù)據(jù)分析軟件壟斷了市場,這些因素都會導致信息安全風險。不僅僅是軟件,硬件設備也因為我國相關行業(yè)發(fā)展不足,而嚴重依賴國外,關鍵設備諸如核心處理器,芯片,傳感器等都依賴進口,這些設備上很容易被別有用心的人做手腳。
信息系統(tǒng)的開放性,就是指公司內(nèi)部的人員只要具有一定的權限就可以訪問信息系統(tǒng),包括經(jīng)營人員、管理人員、生產(chǎn)人員與控制人員。這些人員具有不同的目的,有的是銷售,有的是控制,有的是管理,都有不同的管理系統(tǒng),為了管理的便利性,這些系統(tǒng)都是相連的,因此某一個系統(tǒng)出現(xiàn)了安全問題,就有可能波及全部系統(tǒng)。
各大石油石化公司都在海外進行了大量投資與建設,同時也就產(chǎn)生了很多與國內(nèi)企業(yè)的溝通連接,這就給很多海外不法分子以可乘之機,在這些領域對石油石化行業(yè)的信息系統(tǒng)發(fā)動攻擊,竊取信息。
2.3.1 遭遇黑客攻擊
黑客的惡意攻擊或用戶的不當操作都會在某種程度上破壞網(wǎng)絡信息安全系統(tǒng)。特別是黑客的惡意攻擊行為更是對網(wǎng)絡系統(tǒng)有著極大的破壞力。這種惡意攻擊行為主要包括兩種情況:其一是出于主觀故意的攻擊行為,其攻擊目標是對重要數(shù)據(jù)予以破壞,其摧毀性非常大。其二種是被動攻擊,其目的是為了獲取某些重要數(shù)據(jù)而在不破壞網(wǎng)絡系統(tǒng)安全的基礎上實施的攻擊行為。
2.3.2 計算機網(wǎng)絡病毒
病毒具備一定的隱蔽性,較難被計算機系統(tǒng)所識別,并且病毒對計算機網(wǎng)絡的破壞性是非常大的。當病毒侵入計算機系統(tǒng),便會利用正常程序來計算機系統(tǒng)中極速蔓延和傳播,很在較大程度上威脅到系統(tǒng)的安全性。倘若病毒尚未造成較大影響,用戶能夠借助專業(yè)的殺毒軟件進行處理,消除病毒隱患。但是倘若病毒侵入到計算機系統(tǒng)里,在用戶訪問網(wǎng)絡時產(chǎn)生病毒,那么病毒對網(wǎng)絡信息安全的破壞力是難以估計的,該病毒會在嚴重破壞計算機軟硬件系統(tǒng),更會對網(wǎng)絡信息安全造成非常嚴重的破壞。
化工銷售企業(yè)信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術體系形成,特點是系統(tǒng)化、程序化和文件化,而主要思想以預防控制為主,以過程和動態(tài)控制為條件。完善安全管理體系,使化工銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡能夠安全可的運作,從機密性、完整性、不可否認性和可用性等方面確保數(shù)據(jù)安全,提升系統(tǒng)的持續(xù)性,加強企業(yè)的競爭力
企業(yè)在完善管理體系過程中應設立信息安全委員會和相關管理部門。設置相應的信息安全崗位,明確各級負責的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進行信息安全知識的相關培訓,使工作人員提高信息安全管理意識,實現(xiàn)信息安全管理工作人人有責。
操作規(guī)范、安全策略、應急預案等各項管理制度經(jīng)過計戈和下發(fā),讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進一步優(yōu)化業(yè)務流程,規(guī)范操作行為,降低事故風險,提升應急能力,以此加強信息安全的管理體系。
管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網(wǎng)絡安全技術、主機安全技術、終端安全技術、數(shù)據(jù)安全、應用安全技木等。一旦出現(xiàn)信息安全事件,技術體系會在最短時間內(nèi)降低安全隱患,采用先進的加密算法和強化密鑰管理等數(shù)據(jù)加密方式進行全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲。
為了應對愈演愈烈的信息安全問題,保障化工銷售企業(yè)信息安全,各大化工銷售企業(yè)都在不斷進行信息安全保障建設,通過各種手段強化信息安全保護措施以及危機處理手段,以達到最低化信息安全風險的目的。