淺談石油企業信息安全策略及解決方略

王浪

[摘 要] 通過分析石油企業在信息化建設中所面臨的信息安全問題，提出了保障企業信息安全的策略及解決方案。分別從管理和技術的角度，通過對設備運行環境安全、系統運行安全、網絡安全、訪問控制安全、數據庫安全、存儲安全這幾個方面論述了影響企業信息安全的因素，同時提出企業應采取的安全策略和解決措施，闡明了全面構筑信息安全體系，消除網絡安全隱患，做到防患于未然。

[關鍵詞] 石油企業信息安全安全策略解決方案

石油企業要提高競爭力，信息化水平是一個重要因素。而信息安全的風險隨著企業信息化水平的不斷提高而增加。沒有可靠的信息安全保障，就沒有企業的安全生產運營，就會極大地降低企業在石油行業內的競爭優勢和生存空間。要保證信息安全，就必須首先制定相應的安全策略，然后依據該策略結合企業的實際需要選定具體的解決方案，全面構筑企業的信息安全體系，防止各種不安全因素帶來的信息安全隱患，做到防患于未然。

所謂信息安全是指信息的保密性、完整性、實用性和可靠性，即在信息的使用和存儲過程中，防止因偶然事件或人為因素造成信息被破壞或泄露，也就是要保障信息的有效性。

一、石油企業預防人為因素的方案

企業信息安全的防范不單純是一個技術問題，而是一個綜合性的問題，其中最重要的因素就是人的因素。在人的因素中，有些是無意的：如信息管理員、操作員安全配置不當造成的安全漏洞；企業內部終端用戶安全意識不強，用戶口令選擇不慎，或是將自己的帳號隨意轉借他人或與別人共享等；也有些是黑客的惡意攻擊，如以各種方式破壞信息的有效性和完整性；或在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息等。這些攻擊均可對信息安全造成極大的危害。對于這類人為因素，必須首先建立石油信息安全領導小組，設立安全領導小組辦公室，由企業負責人直接擔任組長，并逐級確立信息安全責任人，并且對信息中心的管理員、操作員，進行必要的定期的信息安全教育，明確崗位職責、權限，簽訂崗前責任狀，以提高全員信息安全防范意識。同時制定信息安全制度，并采取相應的措施以防止信息安全漏洞。

二、石油企業內部技術防范的方案

從技術角度看，信息安全的防范包括：

（一）設備及環境安全

設備和環境的安全主要涉及到由于自然災害、人為因素造成的數據丟失，比如地震、電力故障、火災、洪水、盜竊等。它們給企業的數據帶來潛在的威脅，因此對于信息安全級別較高的企業，應建設完善的容災備份系統。容災備份系統一般由兩個數據中心構成：主中心和備份中心。通過異地數據備份，實時地將主中心數據拷貝至備份中心存儲系統中，使主中心存儲數據與備份中心數據完全保持一致。這種在線備份出現故障后系統數據恢復時間短，安全性好，但對資源的占用率比較高，投入成本也大；還有一種離線備份，即把數據定期備份到移動存儲器或光盤上，然后異地保存，離線備份方式恢復時間比較長，但投資較少。企業應根據自身信息化建設的程度及企業對信息安全的要求以及資金投入情況，決定容災備份系統的規模和等級。

（二）系統運行安全

隨著企業信息化的發展，信息系統的連續穩定運行越來越重要。一旦系統中斷，將會給企業的工作帶來混亂，而數據一旦丟失，后果將是災難性的。為保證信息系統的連續穩定運行，應采用雙機熱備解決方案。這種系統有兩個服務器組成：主服務器和從服務器。主服務器將從服務器的硬盤視為自己的一個外部磁盤設備，由專用數據鏈路擔負著傳輸鏡像數據的任務，同時也為從服務器監視主服務器提供了途徑。主服務器系統可以象對本地硬盤一樣訪問從服務器上的硬盤。從服務器不僅鏡像著主服務器的硬盤數據，而且還實時監測主服務器，一旦發現主服務器故障，會自動接替主服務器工作。

（三）數據庫安全

在數據庫系統中，由于數據大量集中存放，且為眾多用戶共享，安全性問題更為突出。解決數據庫安全的措施要從數據庫軟件本身和數據備份兩個方面考慮。

1、利用軟件本身所具有的性能進行安全保護大型數據庫為開發者提供了有效的安全性控制策略，一般會在數據訪問的安全性和監督用戶的登錄進行有效的控制，同時又兼顧用戶在使用數據時對速度的要求。大型數據庫中的安全性是依靠分層解決的，它的安全措施是級級層層設置的，做到層層設防。第一層是注冊和用戶許可，保護對服務器的基本存取；第二層是存取控制，對不同用戶設定不同的權限，使數據庫得到最大限度的保護；第三層是增加限制數據存取的視圖和存儲過程，在數據庫與用戶之間建立一道屏障。

2、利用硬件備份系統進行安全保護備份系統不僅是保證數據庫安全，同時也是保證網絡系統安全的一種重要手段，為了保證數據安全，需要對數據庫進行及時快速的備份。備份系統的服務器的應用較為簡單，配置不要求很高，甚至可以和其他一些應用共用一臺服務器，而備份軟件和磁帶庫是備份系統的關鍵。

三、石油企業網絡運行安全的方案

網絡安全問題是信息安全問題的核心，應采取全方位的、動態和靜態相結合的方案解決網絡安全問題。影響網絡安全的要素包括：網絡邊界安全，操作系統安全，應用服務器安全，內部網安全，網絡防病毒。影響網絡安全的因素可以通過以下安全產品來防范：

（一）防火墻的應用

防火墻在企業內部網和外網之間設置了一道有效屏障，保護網絡邊界并防止黑客入侵。防火墻作為單一的關口，在此關口能檢查、審核、加解密和認證進入網絡的數據。

（二）漏洞檢測系統的應用

漏洞檢測系統又稱系統掃描、風險評估。漏洞檢測就是模擬黑客的攻擊手段對被檢測系統(包括各種操作系統、網絡和應用服務器)進行掃描，然后提交安全漏洞報告，并給出解決漏洞的方法，從而保證網絡邊界安全、操作系統安全、應用服務器安全和內部網安全。

（三）網絡防病毒產品的應用

隨著網絡的不斷發展，信息共享、信息交換越來越多，因此感染病毒的機會更大。在企業網絡內一旦有一臺主機感染病毒很快就會傳播到整個網絡，甚至對企業造成很大的經濟損失。因此防病毒已成為網絡安全的重要課題。對于可以登錄外網的終端計算機可以采用購買網絡版殺毒軟件，提前預防、實時監控和殺毒。對于僅能登錄內網的終端計算機，企業應當購買專業單機版殺毒軟件，并在內網定期發布單機版殺毒軟件的離線更新包。

以上是動態的網絡安全策略，對于靜態的網絡安全策略，可以從網絡的結構設計方面提高網絡的安全性。對于一些安全要求比較高的部門，如財務部門，可以建立專門的局域網與互聯網及企業內部網進行物理隔離；還可以通過冗余設計來提高網絡的可靠性，例如：鏈路冗余、模塊冗余、設備冗余及路由冗余。

（四）訪問控制安全的應用

訪問控制功能是對企業綜合信息系統的內容進行訪問權限的限制。對于有些只對企業內部或合作單位開放的信息，應該設置訪問控制，只有得到用戶名和密碼的用戶才能訪問這些內容。可以通過配置路由器來實現這部分的功能。

另一方面，是企業不同部門對網絡權限要求不同的問題。各應用系統設計和選購時應該考慮如何保障各部門的安全，保證安全保密性級別高的部門在網絡上運行的各類業務不受未授權員工的損害。在構建網絡時應用VLAN技術和第三層交換技術，可在同一個基礎物理網絡上實現員工網絡、財務網絡、領導網絡和部門網絡的邏輯分隔，從而提高整個信息系統的安全性。

（五）信息存儲安全

網絡的發展，加上多媒體應用，使得數據呈幾何級數激增。傳統的以服務器為中心的存儲網絡架構面對源源不斷的數據流已顯得力不從心，嚴重的會導致數據崩潰。為了存儲安全，以服務器為中心的數據存儲模式必須向以數據為中心的數據存儲模式轉化。為了解決這個實際問題，可以采用網絡存儲技術，網絡存儲技術是一種特殊的專用數據存儲服務器，內嵌系統軟件，可提供跨平臺文件共享功能，完全以數據為中心，將存儲設備與服務器徹底分離，集中管理數據，從而有效釋放帶寬，大大提高了網絡整體性能，也可有效降低成本，保護企業的投入，將數據崩潰降低到最低限度。

四、結語

安全只是相對的，沒有絕對的安全，在處理石油企業內部特殊部門的時候還要采取特殊的措施，必要時在網絡規劃時候可考慮為其設立單獨子網，在信息傳輸上可以采用較為傳統的加密移動硬盤傳遞，將網絡安全隱患減少到最低程度。企業信息安全的重點在于防范，應該在企業信息化建設之初、危害發生之前對信息安全作出規劃，建立全面的信息安全防范體系。從信息安全的角度來說，當然是防范得越嚴密越好，但任何事情都具有正反兩個方面，過度追求安全，不僅投資成本太高，而且影響系統運行效率，也影響使用的方便性。所以應根據石油企業內部的實際情況，對信息系統面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后確定信息系統的安全策略和解決方案，使企業既能保證信息的安全，又能獲得高效的運行效率。