文/王永春
隨著社會的發(fā)展進步,石油企業(yè)作為國家能源企業(yè),它的信息安全和保密管理直接影響著企業(yè)乃至國家安全和利益。文章分析了企業(yè)信息安全和保密管理工作中存在的問題,從五個方面提出了提升企業(yè)安全管理水平的策略。
隨著互聯(lián)網(wǎng)發(fā)展及大數(shù)據(jù)時代的到來,國家之間的競爭轉(zhuǎn)變成文化、經(jīng)濟、科技、政治、軍事及社會各領(lǐng)域等隱形的競爭。相關(guān)的信息已成為國家重要的戰(zhàn)略資源,其安全關(guān)系到國家的發(fā)展與戰(zhàn)略制定。而當(dāng)今的竊密手段也呈現(xiàn)出高科技化、多樣化、技術(shù)發(fā)展快、高隱蔽性、難以檢測等特點。石油行業(yè)作為國家能源企業(yè),肩負著國家能源戰(zhàn)略安全的重任。保護好石油企業(yè)在國際中的核心競爭力,必須高度做好石油企業(yè)信息安全與保密工作,克服麻痹松懈情緒,堅決保守國家秘密和企業(yè)核心商業(yè)秘密。
當(dāng)今社會信息技術(shù)快速發(fā)展,大數(shù)據(jù)、云計算、人工智能等廣泛應(yīng)用,信息存儲電子化、傳輸網(wǎng)絡(luò)化、介質(zhì)多樣化、載體數(shù)碼化,隱于無形、復(fù)制方便、傳遞迅捷,由此帶來的信息安全問題復(fù)雜多變。能源企業(yè)因自身機構(gòu)比較龐大且分散,具有點多面廣的特點,如果對信息安全和保密工作不引起足夠的重視,對自身的核心商業(yè)秘密不嚴加保護,勢必將給企業(yè)乃至國家?guī)黼y以估算的經(jīng)濟損失。
信息安全基礎(chǔ)設(shè)施落后。信息安全基礎(chǔ)設(shè)施是信息安全體系中用于支持信息安全應(yīng)用和信息安全管理的基礎(chǔ)平臺,它的可靠性、可用性是實現(xiàn)企業(yè)信息安全、保密管理的有力保障。雖然石油企業(yè)已建有專業(yè)的信息安全基礎(chǔ)平臺,信息自動化程度較高,但隨著信息技術(shù)的不斷發(fā)展,一些信息安全設(shè)備已落后,勢必出現(xiàn)技術(shù)漏洞,容易導(dǎo)致企業(yè)失密泄密事故發(fā)生。
信息安全管理體系不完善。信息安全屬于新興領(lǐng)域,企業(yè)在信息安全管理方面還處于摸索階段,普遍存在以下問題。一是信息資產(chǎn)管理不明確。信息與人們的切身利益息息相關(guān),并以不同的形式存在于人們的工作、生活中,如數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)備、人員、客戶關(guān)系等,這些既包含有國家秘密,又包含有企業(yè)商業(yè)秘密或個人隱私等,大到影響國家利益,小到影響員工的切身利益。信息安全管理過程當(dāng)中,由于對需要保密的信息資產(chǎn)不明確、界限模糊,公開與保密難以界定清楚。特別是當(dāng)今社會要求企業(yè)信息公開化,如果企業(yè)需要保密的信息資產(chǎn)不確定、界定不明確、保密審核不嚴格,就會造成企業(yè)的信息泄漏。二是組織結(jié)構(gòu)不健全,人員職權(quán)不明確。企業(yè)信息安全管理組織結(jié)構(gòu)不健全,管理人員的職權(quán)及范圍不明確、防范意識低。在實際工作中,經(jīng)常會出現(xiàn)信息部門與保密管理部門相互推諉的現(xiàn)象,容易給竊密者可乘之機,造成失密泄密事件發(fā)生。三是信息安全宣傳教育形式單一。加強信息安全的宣傳和教育是提高安全意識和保密意識的有效手段。但在實際的宣傳教育過程中,宣教形式較為單一,僅僅對法律法規(guī)及企業(yè)內(nèi)部安全制度內(nèi)容進行講解或發(fā)放資料,難以激發(fā)員工的學(xué)習(xí)熱情,教育效果不佳,達不到預(yù)期目的。四是缺少合理的管理制度。信息化迅猛發(fā)展的時代背景進一步拓展了各種外泄渠道,給企業(yè)內(nèi)部信息的保護提出新的課題。智能手機、筆記本電腦等個人移動電子產(chǎn)品已成為人們?nèi)粘9ぷ魃畈豢苫蛉钡墓ぞ?,它們給人們的工作和生活帶來便利的同時,也存在極大的安全隱患。為便于工作,個人的電子產(chǎn)品里儲存有企業(yè)的各類信息、數(shù)據(jù)甚至是關(guān)乎企業(yè)生死存亡的敏感資料,而在企業(yè)里,對于這類個人電子產(chǎn)品的規(guī)范使用或接入無線網(wǎng)絡(luò)等行為缺乏相應(yīng)的管理制度,對企業(yè)來說,這猶如一顆隱形的定時炸彈,威脅著企業(yè)的信息安全。
信息安全和保密意識亟待加強。有的企業(yè)負責(zé)人和員工對信息安全重視程度不夠,認為“說起來重要,做起來沒必要”,沒有從思想深處認識到作為企業(yè)不僅有密要保,而且對企業(yè)的相關(guān)負責(zé)人和員工來說,要保的密還不少,尤其是國有大型能源企業(yè),更是如此。如果沒有充分認識到保密就在身邊,那違規(guī)行為和泄密隱患的存在就具有必然性,勢必會對企業(yè)信息安全造成影響。
做好保密工作是保障企業(yè)信息安全的前提,保密工作管理水平的高低直接關(guān)系到企業(yè)信息安全程度的高低。信息安全管理和控制范圍覆蓋安全技術(shù)體系中涉及的各種安全管理機制、安全基礎(chǔ)設(shè)施建設(shè)和設(shè)備管理,以及人員管理和教育等。要為企業(yè)提供有效的安全保護,就要引入國際信息安全ISO2700-1 標準,結(jié)合企業(yè)的實際情況和長期發(fā)展需要,采用循環(huán)上升管理模式PDCA(計劃、執(zhí)行、檢查、處理),并從以下幾方面對企業(yè)信息安全和保密管理進行長期、系統(tǒng)規(guī)劃和完善。
建立完善的信息安全管理體系。單純依靠提升基礎(chǔ)設(shè)施平臺從技術(shù)層面去解決安全問題,是無法有效地達到保障企業(yè)信息安全的目的。需建立完善的安全管理制度,結(jié)合安全基礎(chǔ)設(shè)施,對整個安全系統(tǒng)進行全面管理、監(jiān)控和維護。企業(yè)相關(guān)負責(zé)人應(yīng)該根據(jù)企業(yè)的發(fā)展需求明確信息安全目標、技術(shù)標準,搭建合理的安全組織機構(gòu),完善管理制度,明確信息安全管理權(quán)限和職責(zé),確定管理規(guī)范和步驟,加強資金投入,確保信息安全保障的正常運作。
完善企業(yè)信息安全和保密制度。隨著信息技術(shù)的不斷發(fā)展,信息保密工作也面臨著嚴峻的挑戰(zhàn)。企業(yè)要建立一套較為完善的信息安全和保密管理制度,如規(guī)范員工上網(wǎng)行為、企業(yè)內(nèi)外網(wǎng)互聯(lián)互接行為、辦公信息化設(shè)備保管使用、企業(yè)內(nèi)部員工統(tǒng)一身份管理、企業(yè)信息公開與保密審查工作之間的聯(lián)系、企業(yè)定密及涉密人員管理等,以嚴明的制度來約束員工行為,為企業(yè)的安全和發(fā)展提供有力的保障。
采取多元教育模式,提升干部職工信息安全和保密意識。
無論是信息安全還是保密工作,重點在于“防”,即繃緊安全防線,提升安全和保密意識。在宣傳教育過程中,要結(jié)合時代發(fā)展特點和宣傳教育對象特點,采取多元化的模式進行宣傳教育。例如,通過企業(yè)微信公眾號在全系統(tǒng)開展安全、保密內(nèi)容有獎答題活動,邀請員工共同查找企業(yè)信息安全和保密工作中存在的漏洞,用信息安全案例開展警示教育,通過企業(yè)內(nèi)部桌面安全系統(tǒng)推送信息安全知識和保密法律法規(guī),定期舉行信息安全防范演練等。通過多種宣傳教育渠道,切實提升企業(yè)干部職工的信息安全和保密意識,杜絕因為“無知”造成的失密泄密,減少因利竊密,從思想上建立堡壘,防患于未然,共同筑牢安全防線。
提升防范技術(shù)手段。防范是企業(yè)安全防御環(huán)節(jié)中防止非法入侵和非法訪問系統(tǒng)的關(guān)鍵一環(huán),可采用以下技術(shù)提高防范手段。一是數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是指將需要加密的數(shù)據(jù)經(jīng)過加密密鑰和密碼算法變成不能閱讀的無意義數(shù)據(jù),在接收方使用解碼密鑰和密碼算法后還原成原數(shù)據(jù)。這種方式只有通信雙方才能識別信息,竊密者無法識別也很難破解和修改,從而提高了保密性。同時根據(jù)加密密鑰和解密密鑰是否相同,可分為對稱密碼技術(shù)和非對稱密碼技術(shù),分別有各自的特點,企業(yè)應(yīng)該根據(jù)自身需求進行選用。二是設(shè)置網(wǎng)絡(luò)準入權(quán)限。企業(yè)可以通過使用用戶名、口令密碼等設(shè)置確定企業(yè)內(nèi)部網(wǎng)絡(luò)的準入權(quán)限,按員工接觸企業(yè)信息的級別進行分權(quán)分級訪問網(wǎng)絡(luò)資源。對于通過無線網(wǎng)絡(luò)通信技術(shù)使用個人電子產(chǎn)品接入企業(yè)內(nèi)部網(wǎng)訪問也應(yīng)有相應(yīng)的防范監(jiān)控措施。三是防火墻技術(shù)。防火墻是保護計算機網(wǎng)絡(luò)安全的一種技術(shù),它在外部網(wǎng)和內(nèi)部網(wǎng)之間建立屏障,通過過濾和隔離防范來自外部的各種攻擊入侵。四是入侵檢測技術(shù)。入侵檢測技術(shù)是對入侵行為的檢測,是一種積極主動的安全防護技術(shù),是防火墻技術(shù)的補充。通過收集和分析網(wǎng)絡(luò)行為,及時發(fā)現(xiàn)入侵行為和攻擊跡象,及時阻攔入侵危害。五是病毒庫技術(shù)。企業(yè)應(yīng)安裝先進的病毒庫系統(tǒng),積極做好防毒殺毒防范。同時進行技術(shù)創(chuàng)新,形成自己的病毒庫,從而提高防毒殺毒能力。六是強化計算機網(wǎng)絡(luò)安全。計算機信息系統(tǒng)及網(wǎng)絡(luò)已經(jīng)成為泄密事件的主要途徑。企業(yè)要加強計算機和內(nèi)部辦公網(wǎng)絡(luò)、企業(yè)門戶網(wǎng)站的保密管理,實行內(nèi)外網(wǎng)物理分離,內(nèi)部辦公電腦禁止連接互聯(lián)網(wǎng),堅持“誰上網(wǎng),誰負責(zé)”的工作原則,嚴格落實“上網(wǎng)不涉密,涉密不上網(wǎng)”的保密要求。
加強涉密人員的管理。企業(yè)的重要和關(guān)鍵信息一般都掌握在關(guān)鍵少數(shù)人手里,確保企業(yè)信息安全要從關(guān)鍵少數(shù)著手。抓好企業(yè)涉密人員的管理,常態(tài)化進行保密法律法規(guī),尤其是保密專業(yè)技術(shù)的培訓(xùn),還要經(jīng)常性進行警示教育,使企業(yè)涉密人員具有專業(yè)的保密技能。對涉密人員在上崗、在崗、離崗等各個環(huán)節(jié)進行閉環(huán)管理,做到環(huán)環(huán)相扣,保障企業(yè)保密工作順利進行。
總之,企業(yè)在經(jīng)營過程中要重視信息安全的管理工作,要系統(tǒng)、規(guī)范地總結(jié)和分析安全及保密管理工作中的問題,加強保密意識,建立規(guī)范化和完善的信息安全管理體系,有效地解決企業(yè)所面臨的信息安全問題,讓企業(yè)信息安全有保障。