文/王永春

隨著社會的發(fā)展進步，石油企業(yè)作為國家能源企業(yè)，它的信息安全和保密管理直接影響著企業(yè)乃至國家安全和利益。文章分析了企業(yè)信息安全和保密管理工作中存在的問題，從五個方面提出了提升企業(yè)安全管理水平的策略。

隨著互聯(lián)網(wǎng)發(fā)展及大數(shù)據(jù)時代的到來，國家之間的競爭轉(zhuǎn)變成文化、經(jīng)濟、科技、政治、軍事及社會各領(lǐng)域等隱形的競爭。相關(guān)的信息已成為國家重要的戰(zhàn)略資源，其安全關(guān)系到國家的發(fā)展與戰(zhàn)略制定。而當(dāng)今的竊密手段也呈現(xiàn)出高科技化、多樣化、技術(shù)發(fā)展快、高隱蔽性、難以檢測等特點。石油行業(yè)作為國家能源企業(yè)，肩負著國家能源戰(zhàn)略安全的重任。保護好石油企業(yè)在國際中的核心競爭力，必須高度做好石油企業(yè)信息安全與保密工作，克服麻痹松懈情緒，堅決保守國家秘密和企業(yè)核心商業(yè)秘密。

企業(yè)信息安全與保密管理現(xiàn)狀

當(dāng)今社會信息技術(shù)快速發(fā)展，大數(shù)據(jù)、云計算、人工智能等廣泛應(yīng)用，信息存儲電子化、傳輸網(wǎng)絡(luò)化、介質(zhì)多樣化、載體數(shù)碼化，隱于無形、復(fù)制方便、傳遞迅捷，由此帶來的信息安全問題復(fù)雜多變。能源企業(yè)因自身機構(gòu)比較龐大且分散，具有點多面廣的特點，如果對信息安全和保密工作不引起足夠的重視，對自身的核心商業(yè)秘密不嚴加保護，勢必將給企業(yè)乃至國家?guī)黼y以估算的經(jīng)濟損失。

信息安全基礎(chǔ)設(shè)施落后。信息安全基礎(chǔ)設(shè)施是信息安全體系中用于支持信息安全應(yīng)用和信息安全管理的基礎(chǔ)平臺，它的可靠性、可用性是實現(xiàn)企業(yè)信息安全、保密管理的有力保障。雖然石油企業(yè)已建有專業(yè)的信息安全基礎(chǔ)平臺，信息自動化程度較高，但隨著信息技術(shù)的不斷發(fā)展，一些信息安全設(shè)備已落后，勢必出現(xiàn)技術(shù)漏洞，容易導(dǎo)致企業(yè)失密泄密事故發(fā)生。

信息安全管理體系不完善。信息安全屬于新興領(lǐng)域，企業(yè)在信息安全管理方面還處于摸索階段，普遍存在以下問題。一是信息資產(chǎn)管理不明確。信息與人們的切身利益息息相關(guān)，并以不同的形式存在于人們的工作、生活中，如數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)備、人員、客戶關(guān)系等，這些既包含有國家秘密，又包含有企業(yè)商業(yè)秘密或個人隱私等，大到影響國家利益，小到影響員工的切身利益。信息安全管理過程當(dāng)中，由于對需要保密的信息資產(chǎn)不明確、界限模糊，公開與保密難以界定清楚。特別是當(dāng)今社會要求企業(yè)信息公開化，如果企業(yè)需要保密的信息資產(chǎn)不確定、界定不明確、保密審核不嚴格，就會造成企業(yè)的信息泄漏。二是組織結(jié)構(gòu)不健全，人員職權(quán)不明確。企業(yè)信息安全管理組織結(jié)構(gòu)不健全，管理人員的職權(quán)及范圍不明確、防范意識低。在實際工作中，經(jīng)常會出現(xiàn)信息部門與保密管理部門相互推諉的現(xiàn)象，容易給竊密者可乘之機，造成失密泄密事件發(fā)生。三是信息安全宣傳教育形式單一。加強信息安全的宣傳和教育是提高安全意識和保密意識的有效手段。但在實際的宣傳教育過程中，宣教形式較為單一，僅僅對法律法規(guī)及企業(yè)內(nèi)部安全制度內(nèi)容進行講解或發(fā)放資料，難以激發(fā)員工的學(xué)習(xí)熱情，教育效果不佳，達不到預(yù)期目的。四是缺少合理的管理制度。信息化迅猛發(fā)展的時代背景進一步拓展了各種外泄渠道，給企業(yè)內(nèi)部信息的保護提出新的課題。智能手機、筆記本電腦等個人移動電子產(chǎn)品已成為人們?nèi)粘９ぷ魃畈豢苫蛉钡墓ぞ?，它們給人們的工作和生活帶來便利的同時，也存在極大的安全隱患。為便于工作，個人的電子產(chǎn)品里儲存有企業(yè)的各類信息、數(shù)據(jù)甚至是關(guān)乎企業(yè)生死存亡的敏感資料，而在企業(yè)里，對于這類個人電子產(chǎn)品的規(guī)范使用或接入無線網(wǎng)絡(luò)等行為缺乏相應(yīng)的管理制度，對企業(yè)來說，這猶如一顆隱形的定時炸彈，威脅著企業(yè)的信息安全。

信息安全和保密意識亟待加強。有的企業(yè)負責(zé)人和員工對信息安全重視程度不夠，認為“說起來重要，做起來沒必要”，沒有從思想深處認識到作為企業(yè)不僅有密要保，而且對企業(yè)的相關(guān)負責(zé)人和員工來說，要保的密還不少，尤其是國有大型能源企業(yè)，更是如此。如果沒有充分認識到保密就在身邊，那違規(guī)行為和泄密隱患的存在就具有必然性，勢必會對企業(yè)信息安全造成影響。

企業(yè)信息安全與保密管理策略

做好保密工作是保障企業(yè)信息安全的前提，保密工作管理水平的高低直接關(guān)系到企業(yè)信息安全程度的高低。信息安全管理和控制范圍覆蓋安全技術(shù)體系中涉及的各種安全管理機制、安全基礎(chǔ)設(shè)施建設(shè)和設(shè)備管理，以及人員管理和教育等。要為企業(yè)提供有效的安全保護，就要引入國際信息安全ISO2700-1 標準，結(jié)合企業(yè)的實際情況和長期發(fā)展需要，采用循環(huán)上升管理模式PDCA（計劃、執(zhí)行、檢查、處理），并從以下幾方面對企業(yè)信息安全和保密管理進行長期、系統(tǒng)規(guī)劃和完善。

建立完善的信息安全管理體系。單純依靠提升基礎(chǔ)設(shè)施平臺從技術(shù)層面去解決安全問題，是無法有效地達到保障企業(yè)信息安全的目的。需建立完善的安全管理制度，結(jié)合安全基礎(chǔ)設(shè)施，對整個安全系統(tǒng)進行全面管理、監(jiān)控和維護。企業(yè)相關(guān)負責(zé)人應(yīng)該根據(jù)企業(yè)的發(fā)展需求明確信息安全目標、技術(shù)標準，搭建合理的安全組織機構(gòu)，完善管理制度，明確信息安全管理權(quán)限和職責(zé)，確定管理規(guī)范和步驟，加強資金投入，確保信息安全保障的正常運作。

完善企業(yè)信息安全和保密制度。隨著信息技術(shù)的不斷發(fā)展，信息保密工作也面臨著嚴峻的挑戰(zhàn)。企業(yè)要建立一套較為完善的信息安全和保密管理制度，如規(guī)范員工上網(wǎng)行為、企業(yè)內(nèi)外網(wǎng)互聯(lián)互接行為、辦公信息化設(shè)備保管使用、企業(yè)內(nèi)部員工統(tǒng)一身份管理、企業(yè)信息公開與保密審查工作之間的聯(lián)系、企業(yè)定密及涉密人員管理等，以嚴明的制度來約束員工行為，為企業(yè)的安全和發(fā)展提供有力的保障。

采取多元教育模式，提升干部職工信息安全和保密意識。

無論是信息安全還是保密工作，重點在于“防”,即繃緊安全防線，提升安全和保密意識。在宣傳教育過程中，要結(jié)合時代發(fā)展特點和宣傳教育對象特點，采取多元化的模式進行宣傳教育。例如，通過企業(yè)微信公眾號在全系統(tǒng)開展安全、保密內(nèi)容有獎答題活動，邀請員工共同查找企業(yè)信息安全和保密工作中存在的漏洞，用信息安全案例開展警示教育，通過企業(yè)內(nèi)部桌面安全系統(tǒng)推送信息安全知識和保密法律法規(guī)，定期舉行信息安全防范演練等。通過多種宣傳教育渠道，切實提升企業(yè)干部職工的信息安全和保密意識，杜絕因為“無知”造成的失密泄密，減少因利竊密，從思想上建立堡壘，防患于未然，共同筑牢安全防線。

提升防范技術(shù)手段。防范是企業(yè)安全防御環(huán)節(jié)中防止非法入侵和非法訪問系統(tǒng)的關(guān)鍵一環(huán)，可采用以下技術(shù)提高防范手段。一是數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是指將需要加密的數(shù)據(jù)經(jīng)過加密密鑰和密碼算法變成不能閱讀的無意義數(shù)據(jù)，在接收方使用解碼密鑰和密碼算法后還原成原數(shù)據(jù)。這種方式只有通信雙方才能識別信息，竊密者無法識別也很難破解和修改，從而提高了保密性。同時根據(jù)加密密鑰和解密密鑰是否相同，可分為對稱密碼技術(shù)和非對稱密碼技術(shù)，分別有各自的特點，企業(yè)應(yīng)該根據(jù)自身需求進行選用。二是設(shè)置網(wǎng)絡(luò)準入權(quán)限。企業(yè)可以通過使用用戶名、口令密碼等設(shè)置確定企業(yè)內(nèi)部網(wǎng)絡(luò)的準入權(quán)限，按員工接觸企業(yè)信息的級別進行分權(quán)分級訪問網(wǎng)絡(luò)資源。對于通過無線網(wǎng)絡(luò)通信技術(shù)使用個人電子產(chǎn)品接入企業(yè)內(nèi)部網(wǎng)訪問也應(yīng)有相應(yīng)的防范監(jiān)控措施。三是防火墻技術(shù)。防火墻是保護計算機網(wǎng)絡(luò)安全的一種技術(shù)，它在外部網(wǎng)和內(nèi)部網(wǎng)之間建立屏障，通過過濾和隔離防范來自外部的各種攻擊入侵。四是入侵檢測技術(shù)。入侵檢測技術(shù)是對入侵行為的檢測，是一種積極主動的安全防護技術(shù)，是防火墻技術(shù)的補充。通過收集和分析網(wǎng)絡(luò)行為，及時發(fā)現(xiàn)入侵行為和攻擊跡象，及時阻攔入侵危害。五是病毒庫技術(shù)。企業(yè)應(yīng)安裝先進的病毒庫系統(tǒng)，積極做好防毒殺毒防范。同時進行技術(shù)創(chuàng)新，形成自己的病毒庫，從而提高防毒殺毒能力。六是強化計算機網(wǎng)絡(luò)安全。計算機信息系統(tǒng)及網(wǎng)絡(luò)已經(jīng)成為泄密事件的主要途徑。企業(yè)要加強計算機和內(nèi)部辦公網(wǎng)絡(luò)、企業(yè)門戶網(wǎng)站的保密管理，實行內(nèi)外網(wǎng)物理分離，內(nèi)部辦公電腦禁止連接互聯(lián)網(wǎng)，堅持“誰上網(wǎng)，誰負責(zé)”的工作原則，嚴格落實“上網(wǎng)不涉密，涉密不上網(wǎng)”的保密要求。

加強涉密人員的管理。企業(yè)的重要和關(guān)鍵信息一般都掌握在關(guān)鍵少數(shù)人手里，確保企業(yè)信息安全要從關(guān)鍵少數(shù)著手。抓好企業(yè)涉密人員的管理，常態(tài)化進行保密法律法規(guī)，尤其是保密專業(yè)技術(shù)的培訓(xùn)，還要經(jīng)常性進行警示教育，使企業(yè)涉密人員具有專業(yè)的保密技能。對涉密人員在上崗、在崗、離崗等各個環(huán)節(jié)進行閉環(huán)管理，做到環(huán)環(huán)相扣，保障企業(yè)保密工作順利進行。

總之，企業(yè)在經(jīng)營過程中要重視信息安全的管理工作，要系統(tǒng)、規(guī)范地總結(jié)和分析安全及保密管理工作中的問題，加強保密意識，建立規(guī)范化和完善的信息安全管理體系，有效地解決企業(yè)所面臨的信息安全問題，讓企業(yè)信息安全有保障。