关于石化销售企业信息安全体系建设研究

经济管理　关于石化销售企业信息安全体系建设研究　冯刚　（中石化１ｌＩ西忻州石油分公司，１ｌＩ西太原０３００００）　ｃ｝ｉ奄要】介绍了关于石化销售企业目前信息安全体系建设所存在的问题和评估安全信息的风险，提出了有效的系统结构和实践措施。　饫省枣ｉ司】企业信息安全体系；风险评估风险管理　随着信息技术的飞速发展，企业对信息技术的使用非常普遍，企　（一）物理存在的风险　业服务７Ｊ￣，Ｚｌｚ、业务刨新能力、核心竞争力等方面的提升都离不开企业的　信息化设立。石化销售ｅｍｉｌ＇信息安全体系为走一条新型发展道路，以此　满足人们的需求，不断传新发展。企业的经营管理和信息技术密切相　机房环境和硬件设备是主要的的物理风险。当前，部分企业存在　的风险有：１）企业机房使用年限过长，如早期的配电、布线等设计标　；隹陈旧，无法满足现在的需求：２）机房使用的装备年限太长、例如中　连，由此而引起的信息风险也变得愈加突出，对于企业而言，信息网　络、信息系统一旦出现漏洞，就会带来前所未有的影响。　因此，合理、全面的分析估算信息网络建设和信息安全系统对企　业具有具有重要性，为提高系统安全性，要求企业必须完善管理体系。　一央空调老化，制冷效果不佳导致温度不达标，ＵＰＳ电源续航能力下降　严重，门禁系统损坏等，存在风险：３）机房安全防护设施不齐全，存　在风险。　（二）网络和系统安全存在的风险　、安全管理的现状　石化访问系统的使用和操作大量存在安全风险，其中主要风险包　近年来，走一条“国际水平，国内领先，石化特色”新型道路一直　都是中国石化完善信息管理系统的目标。以六统一作为石化企业的实施　准则，刨建科学的信息管理平台，为国内石化行业信息化创建与应用树　立良好榜样。　（一）基础设施　括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患　等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期　更新网络系统软件、安装上网行为监控等，但因为系统漏洞数目不断增　多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的　安全机制不完善、也会产生安全隐患。　（三）系统安全风险　现阶段，各企业的中心机房采用双回路、ＵＰＳ供电系统保证核心　服务不问断，使用”双机热备”方法作为重要系统的核心服务器，保证　设备层面的持续性。在网络连接上，企业使用广域网来接收各省、各地　没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全　性。提供各类应用服务是企业信息系统的首要任务，而数据正是应用信　息系统的核心，因此，实际应用与系统安全风险密切联系。当前，信息　应用系统存储了大量的客户、交易等重要信息，一旦泄露，造成客户对　的信息，主要使用的方式是主、备双链路。网络的组成部分包括核心　层、汇聚层和接入层等，其连接方式普遍使用千兆光纤让核心设施之　间、核心层与汇聚层等模式进行。实现网络流量负载均衡。中心机房必　须设置防火墙软件以及入侵检测系统，以此实现安全防范的质量：大部　分的加油站和移动用户普遍使用ＳＳＬＶＰＮ方式进行访问公司内部网，　企业信任度影响的同时也会影响企业的市场竞争力。　（四）安全管理存在的风险　安全管理存在的主要指没有同体的风险安全管理手段，管理制度　不完善、管理标准没有统一，人员安全意识薄弱等等都存在管理风险，　以Ｉ比提升信息接收的安全性。在桌面系统上，企业统一安装防病毒软件　以及桌面管理软件进行终端联网，对个人ＰＣ电脑使用ＭＡＣ地址与ｌ　Ｐ　地址进行绑定。　（二）管理使用的系统　因此，需要设立完善的信息系统安全管理体系，从严管理，促使信息安　全系统正常运作。一方面要规范健全信息安全管理手段，有效较强内控　ｌＴ管理流程控制力度，狠抓落实管理体系的力度，杜绝局部管理不足　点；另一方面，由于信息安全管理主要以动态发展的形式存在，要不断　调整、完善制度，以符合信息安全的新环境需习之｛ｚ１０　ＥＲＰ、加油站账册、二次物流管理、加油卡、办公自动化以及企　业门户网站等系统是石化销售企业首要的应用系统。　应用系统有以下特征：一是系统应用范围广，全程参与企业的经　营、管理、对外服务等；二是系统用户众多，涵盖企业各阶层员工：三　是系统对持续运转要求高，因此对应用系统的安全运转要求较高。　对公司的经营管理而言，系统的安全稳定运行具有重大意义，系　统数据是否安全、保密性和供应商、企业利益有密切关系。　（三）安全管理　三、信息安全管理体系框架的主要构思　信息安全管理体系的框架主要由监管体系、组织体系和技术体系　形成，特点是系统化、程序化和文件化，而主要思想以预防控制为主，　以过程和动态控制为条件。完善安全管理体系，使石化销售企业信息系　统和信息网络能够安全可靠的运作，从机密性、完整性、不可否认性和　可用性等方面确保数据安全，提升系统的持续性，加强企业的竞争力。　（—）组织体系　随着我国经济水平不断提高，石化销售企业越来越离不开信息化　管理，世界各地的公司对内部成立一个信息化团队，根据内部的需要制　定出具有整体性的管理体系，并根据相关的信息安全规定对系统内部的　企业在完善管理体系过程中应设立信息安全委员会和相关管理部　门，设置相应的信息安全岗位，明确各级负责的信息安全和人员配置等　安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急　预案”以应付各类突发事件。　内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全　知识的相关培训，使工作人员提高信息安全管理意识，实现信息安全管　理工作人人有责。　（二）制度体系　近几年，中国石化内控体系在建设过程中不断加强、完善自身管　理体系，也在ＩＴ控制方面占有一定的优势。当前，石化销售企业已基　本形成一套完整的信息安全防御和管理体系，从而确保了网络信息系统　的安全　操作规范、安全策略、应急预案等各项管理制度经过计划和下发，　让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业　务流程，规范操作行为，　氏事故风险，提升应急能力，以此加强信息　安全的管理体系。　（三）技术体系　二、信息安全风险的评估　衡量安全管理体系的风险主要方法是进行信息安全风险的评估，以　此保障信息资产清单和风险级别，进而确定相应的防控措施。在石化销　售企业进行信息安全风险的评估过程中，主要通过资金、威胁、安全性　管理技术、防护技术、控制技术是信息安全管理体系的主要技术　基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终　端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件，技　’　等识别美容对风险进行安全检测，同时结合企业自身的实际情况，拟定　风险控制相应的对策，把企业内的信息安全风险竞可能下降到最１氐水平。　Ｋ（ｕｊ　一　２１　５　科披风　术体系会在最短的时间内　氐事件的不良影响，依靠相关的信息安全管　理技术平台，以实现信息安全技术的有效控制［３】。管理体系的核心是技　术手段，先进的加密算法和强化密钥管理构成的数据加密方式全程控制　数据传输和数据存储，可以保证数据的安全性。采用堡垒机、防火墙等　安全系统可以过滤掉不安全的服务和非法用户，防止入侵者接近防御设　备。ＩＤＳ作为防火墙的重要功能之一，能够帮助网络系统快速检测出攻　击的对象，加强了管理员的安全管理技术（包括审计工作、监视、进攻　识别等技术），提高了信息安全体系的防范性。企业数据备份这一块可　以采用双机热本地集群网、异地集群网等各种形式进行网络备份，利用　重要目标：２）管理体系的主要范畴：３）管理体系现状考察与风险估　量：４）完善管理体系的制度；５）整理管理体系的文档；６）管理体系　的运行方式：７）信息安全管理体系考核　１ｏ　五、结论　现代企业管理与信息安全技术的发展要求我们对信息安全技术和　产品本身不能完全的依赖，因为即使企业投入了巨大的人力、物理、财　力，现实中也很难做到百分百的安全。信息安全标准越高，企业投放就　越大，所以需要在信息安全标准与企业效益之间寻求一个平衡点。另　外，企业要保持信息安全管理体系长久有效运行，最主要的是设立信息　安全奖惩机制、连续改进机制和内部信息安全审计机制。在信息安全管　理体系建设全过程中，更要注重专业人才的建设和培养。要广泛的开展　信息安全宣传、教育不断提升全体员工的安全意识，使“要我安全”向　“我要安全”的意识转变。　体统的可用性和容灾性加强安全管理能力。近年来各个企业的恶意软　件、攻击行为手法变化多端很难防御，在各种压力下，传统的的安全防　预技术受到了严峻的考验，这时“云安全”技术当之无愧成为当今最热　的安全技术。“云安全”技术主要使用分部式运算功能进行防御，而　”云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及　氏客户端维护量。“云安全”技术是未来安全防护技术发展的必由之　路，且今后”云安全”作为企业安全管理的核心内容为企业的数据、服　务器群组以及端点提供强制的安全防御能力。”　四、信息安全管理体系相关步骤　．２０１２．　由于管理体系具有灵活性，企业可依据自身的特点和实际情况，　使用最优方案，结合石化销售的特征，提出以下步骤：１）管理体系的　（上接第２１４页）　而要进一步推广此方法，必须结合我国城市垃圾特性进行焚烧技术、系　统设备、工艺研究，尤其要加强国内化技术研究，同时，发挥政府、焚　督垃圾焚烧：强调环保部门、垃圾管理部门、监督检查部门的职责，改　变多头管理、多头分杈、多头管理效率低的局面，进而保证垃圾焚烧规　范进行。垃圾焚烧厂应端正自身行为，严格按照环卫行业许可、国家环　保柿佳等选择合理地垃圾焚烧设备、技术等，以保证垃圾焚烧实现最大　化效益。另一方面，加强宣传教育。以社区、电台、媒体等路径，向民　烧厂、公众等多方面力量，以推动焚烧法推广，最终推动城市和谐、持　续发展。　众介绍宣传垃圾焚烧、填埋、堆肥等垃圾处理方式，使民众了解垃圾焚　烧的综合效应ｉ以社区活动、环保竞赛、垃圾焚烧知识问答等方式，促　使民众参与到垃圾焚烧处理活动中，并以此刺激民众形成垃圾分类放　【参考文献］　【１１陈红霞＿关　＿大科技ｌ２ｏｌ４．　黑龙江科技信息，２ｅｌ　３．　解海卫，张艳Ｉ张于峰．城市生活垃圾焚烧处理工艺的研究田可再生能源，　．置、减少垃圾排放等日常行为习惯，进而减少垃圾污染与治理。　五、结语　焚烧法适应了城市垃圾构成特点，且具有环保、经济、社会效益，　２０１０．　２１６面