大中型石油企業(yè)網(wǎng)絡(luò)安全

大中型石油企業(yè)網(wǎng)絡(luò)安全1國(guó)內(nèi)大中型企業(yè)互聯(lián)網(wǎng)應(yīng)用現(xiàn)狀分析

在計(jì)算機(jī)網(wǎng)絡(luò)迅猛發(fā)展和廣泛普及的時(shí)代，企業(yè)的各種經(jīng)營(yíng)活動(dòng)都立足于計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)，因此網(wǎng)絡(luò)安全一旦受到威脅，企業(yè)將面臨直接的經(jīng)濟(jì)損失，更有可能給社會(huì)和整個(gè)國(guó)家?guī)?lái)巨大的安全隱患?，F(xiàn)階段，我國(guó)的大中型企業(yè)隨著業(yè)務(wù)的不斷壯大，網(wǎng)絡(luò)規(guī)模也不斷擴(kuò)充。有些企業(yè)各地都有分公司，在不同的區(qū)域都建有局域網(wǎng)，這樣一個(gè)分布全國(guó)各地的龐大的網(wǎng)絡(luò)體系就成為企業(yè)運(yùn)行的技術(shù)保障。這種企業(yè)的網(wǎng)絡(luò)安全更需要強(qiáng)有力的保障，否則一旦出現(xiàn)問(wèn)題便有可能帶來(lái)災(zāi)難性的后果。

1.1Internet的安全性

互聯(lián)網(wǎng)是把雙刃劍，在給企業(yè)帶來(lái)極大便利的同時(shí)，也不可避免地給企業(yè)的運(yùn)營(yíng)帶來(lái)了極大風(fēng)險(xiǎn)。因?yàn)楹诳团c病毒無(wú)孔不入，稍有疏漏，就可能使整個(gè)網(wǎng)絡(luò)遭受攻擊，并帶來(lái)不可逆轉(zhuǎn)的損害。因此，建立科學(xué)的網(wǎng)絡(luò)體系，保障系統(tǒng)網(wǎng)絡(luò)安全迫在眉睫。

1.2大中型企業(yè)內(nèi)網(wǎng)的安全性

ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)已經(jīng)在企業(yè)中得到普遍性應(yīng)用，隨之而來(lái)的就是企業(yè)對(duì)這些系統(tǒng)的高依賴性。這樣帶來(lái)的另一個(gè)問(wèn)題是內(nèi)網(wǎng)面臨的風(fēng)險(xiǎn)。內(nèi)網(wǎng)運(yùn)行穩(wěn)定、可靠、可控才能保障日常生產(chǎn)和辦公的進(jìn)行，一定程度上，將內(nèi)網(wǎng)信息網(wǎng)絡(luò)比作企業(yè)的生命線也不為過(guò)。這個(gè)內(nèi)網(wǎng)同時(shí)由大量終端設(shè)備，大中小型服務(wù)器，各種網(wǎng)絡(luò)設(shè)備構(gòu)成，這個(gè)其中每一個(gè)部分都要確保正常工作，否則一點(diǎn)小問(wèn)題都有可能引發(fā)網(wǎng)絡(luò)的停滯甚至癱瘓。但目前大中型企業(yè)的內(nèi)網(wǎng)安全依然存在很多安全隱患，主要表現(xiàn)為以下幾種情形：對(duì)外服務(wù)器缺少安全防護(hù)遭到黑客攻擊；員工上網(wǎng)過(guò)程缺乏有效監(jiān)管，一方面會(huì)造成網(wǎng)絡(luò)安全隱患，另一方面也影響工作效率；此外還有一些內(nèi)部的服務(wù)器被非法訪問(wèn)，造成企業(yè)信息的外泄。

2大中型石油企業(yè)信息網(wǎng)絡(luò)安全威脅及安全體系構(gòu)建

2.1大中型石油企業(yè)面臨的信息網(wǎng)絡(luò)安全威脅

進(jìn)入21世紀(jì)以來(lái)，大中型石油企業(yè)對(duì)數(shù)字化信息網(wǎng)絡(luò)建設(shè)可謂不遺余力，軟硬件的建設(shè)開(kāi)發(fā)中，信息網(wǎng)絡(luò)的安全性卻未得到足夠的重視。由于對(duì)網(wǎng)絡(luò)安全防護(hù)重視程度不夠，我國(guó)的大中型石油企業(yè)長(zhǎng)期飽受網(wǎng)絡(luò)安全的困擾。有相關(guān)調(diào)查顯示，我國(guó)企業(yè)中，約有41%經(jīng)常受到惡意軟件和間諜的入侵，63%的企業(yè)經(jīng)常遭受病毒或蠕蟲攻擊。而就大中型石油企業(yè)而言，不僅面臨著外部病毒的攻擊，同時(shí)內(nèi)部人員的信息泄露也考驗(yàn)著企業(yè)的網(wǎng)絡(luò)安全。由于員工信息安全意識(shí)淡薄，上網(wǎng)過(guò)程又缺乏有效監(jiān)管，在員工無(wú)意識(shí)的情況下，就可能引起發(fā)一系列問(wèn)題。比如，企業(yè)機(jī)密信息的泄露，各種垃圾郵件的充斥，各種網(wǎng)絡(luò)病毒的侵襲，黑客的攻擊等等，這些問(wèn)題隨著信息化的發(fā)展進(jìn)程和企業(yè)經(jīng)濟(jì)發(fā)展利益競(jìng)爭(zhēng)白熱化，成為大中型石油企業(yè)最為棘手的問(wèn)題。

2.2大中型石油企業(yè)網(wǎng)絡(luò)安全體系的全方位構(gòu)建

隨著網(wǎng)絡(luò)攻擊的多元化，攻擊方式也是五花八門。傳統(tǒng)的只針對(duì)網(wǎng)絡(luò)層面以下的安全對(duì)策已經(jīng)不足以應(yīng)對(duì)如今復(fù)雜的網(wǎng)絡(luò)安全情況，企業(yè)必須要建立起多層次多元化的安全體系才能有效提升企業(yè)網(wǎng)絡(luò)信息安全指數(shù)。大中型石油企業(yè)信息網(wǎng)絡(luò)安全的五個(gè)重要組成：物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全。

1）物理安全。物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全旨在為企業(yè)提供一個(gè)安全可靠的物理運(yùn)行環(huán)境，這個(gè)更多指對(duì)企業(yè)相應(yīng)硬件設(shè)施的安全防護(hù)，比如，企業(yè)服務(wù)器、數(shù)據(jù)介質(zhì)、數(shù)據(jù)庫(kù)等、

2）鏈路安全。鏈路安全指的是信息輸送通道。數(shù)據(jù)傳輸過(guò)程中能夠確保內(nèi)容安全、可靠、可控、能有效抵御攻擊。常見(jiàn)的幾種數(shù)據(jù)鏈路層安全攻擊有MAC地址擴(kuò)散、ARP攻擊與欺騙、DHCP服務(wù)器欺騙與DHCP地址耗盡、IP地址欺騙。

3）網(wǎng)絡(luò)安全。這主要針對(duì)于系統(tǒng)信息方面。這個(gè)是涵蓋范圍相對(duì)廣泛的一個(gè)方面。比如，用戶口令鑒別，計(jì)算機(jī)病毒防治，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限，數(shù)據(jù)加密等都屬于網(wǎng)絡(luò)安全范疇。

4）系統(tǒng)安全。系統(tǒng)的正常運(yùn)行是企業(yè)日常生產(chǎn)和運(yùn)行的根本保障。但是，系統(tǒng)出現(xiàn)崩潰、損壞的風(fēng)險(xiǎn)依然存在，這就需要能夠有一套有效的風(fēng)險(xiǎn)預(yù)防機(jī)制和辦法。能夠確保系統(tǒng)崩潰時(shí)對(duì)相關(guān)信息實(shí)現(xiàn)最大化備份，同時(shí)能夠具備保密功能，防止系統(tǒng)崩潰后的信息外漏。

5）信息安全。這就要分信息的傳播安全和信息的內(nèi)容安全。很大程度上是對(duì)不良信息的有效過(guò)濾和攔截。側(cè)重于對(duì)非法、有害信息可能造成的不良后果的有效遏止。信息內(nèi)容角度更側(cè)重于對(duì)信息保密性、真實(shí)和完整的保護(hù)，防止網(wǎng)絡(luò)黑客對(duì)信息的截留、篡改和刪除等手段來(lái)達(dá)到損害企業(yè)利益的行為，本質(zhì)上是對(duì)企業(yè)利益和隱私的保護(hù)。

2.3大中型石油企業(yè)安全設(shè)計(jì)的基本原則

信息保密性、真實(shí)性、完整性、未授權(quán)拷貝、寄生系統(tǒng)的安全性等五個(gè)方面的內(nèi)容構(gòu)成了信息安全的整體統(tǒng)一。信息安全的原則也就指明了大中型石油企業(yè)“數(shù)字化”網(wǎng)絡(luò)建設(shè)安全設(shè)計(jì)的基本原則。

1）保密性：對(duì)授權(quán)用戶的保護(hù)和對(duì)非授權(quán)用戶的防止，信息利用的用戶、實(shí)體的專屬性。

2）完整性：信息的輸入和傳輸要確保完整，防止非法的篡改或者破壞，保證數(shù)據(jù)的穩(wěn)定和一致。

3）可用性：針對(duì)授權(quán)用戶而言要確保其合理使用的特性。

4）可控性：信息能夠在處理、傳遞、存儲(chǔ)、輸入、輸出等環(huán)節(jié)中有可控能力。

3大中型石油企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)漏洞的成因及一些防范措施

網(wǎng)絡(luò)信息流量幾何式增長(zhǎng)，大中型石油企業(yè)信息資源對(duì)系統(tǒng)的應(yīng)用也日漸成熟，生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)也日益增多。與此同時(shí)，國(guó)內(nèi)大中型石油企業(yè)信息系統(tǒng)安全問(wèn)題日益突出。因而，如何保障大中型石油企業(yè)信息數(shù)據(jù)安全，全面建立安全保障體系，這就顯得愈發(fā)重要。應(yīng)從內(nèi)因和外因上進(jìn)行分析和預(yù)防。內(nèi)因上，處于方向性決策的管理層對(duì)網(wǎng)絡(luò)信息安全的防護(hù)意識(shí)不強(qiáng)，不夠重視。這類人群往往關(guān)注的是信息化進(jìn)程給企業(yè)帶來(lái)的收益，對(duì)于安全隱患和潛在的威脅卻往往忽視。此外，在信息化發(fā)展進(jìn)程中，大中型石油企業(yè)在數(shù)據(jù)化硬件建設(shè)中容易競(jìng)爭(zhēng)對(duì)比，但是對(duì)于數(shù)據(jù)的管理安全性建設(shè)要求不高。其次，網(wǎng)絡(luò)信息安全建設(shè)不是一蹴而就的，相反是一個(gè)長(zhǎng)期過(guò)程，需要不斷進(jìn)行系統(tǒng)補(bǔ)丁的更新。其一，信息系統(tǒng)連接于因特網(wǎng)，開(kāi)放的網(wǎng)絡(luò)環(huán)境帶來(lái)的是企業(yè)信息安全的脆弱。其二，大中型石油企業(yè)信息化建設(shè)往往求新不求穩(wěn)。云計(jì)算，物聯(lián)網(wǎng)，只要是當(dāng)下發(fā)展流行技術(shù)都會(huì)上馬，而不充分考慮技術(shù)的實(shí)際應(yīng)用于企業(yè)的現(xiàn)實(shí)貼合。多系統(tǒng)的復(fù)雜應(yīng)用帶來(lái)的是更多、更高的系統(tǒng)漏洞風(fēng)險(xiǎn)。再次，大中型石油企業(yè)在信息安全技術(shù)團(tuán)隊(duì)建設(shè)上海相對(duì)滯后，缺乏強(qiáng)有力的信息安全維護(hù)團(tuán)隊(duì)帶來(lái)的是企業(yè)信息安全的高風(fēng)險(xiǎn)。這往往是因?yàn)榇笾行褪推髽I(yè)往往將預(yù)算優(yōu)先分配于能夠直接帶來(lái)經(jīng)濟(jì)效益的生產(chǎn)方面，對(duì)于見(jiàn)不到短期回報(bào)的信息安全防護(hù)支出是能少則少。然而，一旦企業(yè)信息泄露帶來(lái)的可能是災(zāi)難性的后果，因而，有水平有業(yè)務(wù)能力的專業(yè)信息安全維護(hù)隊(duì)伍建設(shè)至關(guān)重要。外因上，一些不可抗力造成的硬件設(shè)備損壞，外部對(duì)企業(yè)信息的攻擊，相關(guān)法律法規(guī)還不夠健全等等因素都是影響企業(yè)信息安全的外因。因而，加強(qiáng)大中型石油企業(yè)的安全防范可從四個(gè)方面著手。在機(jī)制層面，第一，管理層要對(duì)信息安全有強(qiáng)意識(shí)，第二，信息安全意識(shí)要滲透到整個(gè)企業(yè)。進(jìn)而建立企業(yè)信息安全管理、運(yùn)行、檢測(cè)體系。另外，在面對(duì)一些風(fēng)險(xiǎn)來(lái)臨之時(shí)，能夠有有效的應(yīng)急機(jī)制加以應(yīng)對(duì)。在技術(shù)面，技術(shù)指標(biāo)相對(duì)可量化，過(guò)硬的技術(shù)實(shí)力是保證大中型石油企業(yè)信息安全的關(guān)鍵，所以說(shuō)，提高對(duì)信息安全水平的投資力度，建設(shè)高水平，高素質(zhì)的技術(shù)隊(duì)伍顯得尤為重要。在系統(tǒng)安全性建設(shè)層面，大中型石油企業(yè)在信息系統(tǒng)安全性建設(shè)之初就要結(jié)合企業(yè)實(shí)際充分考慮信息系統(tǒng)需要的安全保護(hù)等級(jí)以及架構(gòu)建設(shè)，對(duì)后期風(fēng)險(xiǎn)能夠有科學(xué)的分析與控制建議。在企業(yè)人員素養(yǎng)層面，大中型石油企業(yè)能夠在技術(shù)層面實(shí)現(xiàn)對(duì)企業(yè)信息安全的保障，就需要企業(yè)能夠有具備專業(yè)技術(shù)業(yè)務(wù)水準(zhǔn)的網(wǎng)絡(luò)信息技術(shù)安全人員隊(duì)伍。從設(shè)計(jì)到操作到運(yùn)維都離不開(kāi)專業(yè)的技術(shù)人員。這些網(wǎng)絡(luò)管理技術(shù)人員還要能夠在后期不斷得到組織和學(xué)習(xí)，不斷得到新的知識(shí)補(bǔ)充，能夠讓這些技術(shù)人員時(shí)刻與最前沿的IT科技接軌。

4結(jié)束語(yǔ)

信息爆炸時(shí)代，大中型石油企業(yè)信息在發(fā)展進(jìn)程和互聯(lián)網(wǎng)快速發(fā)展的影響下，網(wǎng)絡(luò)化、數(shù)字化已經(jīng)成為企業(yè)信息化的發(fā)展大勢(shì)。隨之而來(lái)的是針對(duì)企業(yè)信息網(wǎng)絡(luò)的各種攻擊和破壞也成為常態(tài)化，為此企業(yè)付出了巨大的人力物力。信息化的深入發(fā)展伴隨的網(wǎng)絡(luò)安全問(wèn)題不僅是大中型石油企業(yè)面臨的問(wèn)題也是全人類面臨的挑戰(zhàn)。大中型石油企業(yè)應(yīng)兩條腿走路，一方面強(qiáng)化網(wǎng)絡(luò)信息化建設(shè)，另一方面強(qiáng)化網(wǎng)絡(luò)安全防護(hù)能力提升。同時(shí)注重安全預(yù)防機(jī)制，建立科