關注石油企業內外網安全

隨著社會信息化建設進程的不斷深入，石油企業對信息系統與IT技術的依賴程度不斷加深，企業核心業務系統都已架構在IT平臺之上，IT基礎設施已經成為整個組織和業務的重要支撐。信息技術飛速發展為保障石油企業業務目標的實現奠定了堅實基礎，但與此同時，保障IT基礎設施的安全性，保障所承載業務的安全性，也日漸成為大家所關注的焦點問題。

國家特別重視信息系統安全保護工作，確立了信息安全等級保護的基本指導思想，明確要求“重點保護基礎信息網絡和關系國際安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。要重視信息安全風險評估工作。對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估。”

現實工作中，企業員工的違規使用行為往往會導致重要信息意外泄露，給企業生產帶來嚴重影響，造成巨大經濟損失。特別是對于國有石油企業而言，網絡安全的重要性不言而喻，其業務系統的穩定運行直接關系著社會秩序穩定，關系到國計民生的長遠發展。國有石油企業網絡安全建設在滿足自身業務安全需求的基礎上，必須遵循國家提出的等級保護等合規性工作要求。復雜的外部環境和來自于國家的合規性要求，這些使得石油企業都迫切需要提高信息安全保障能力，保證網絡基礎設施與業務系統的安全、可靠運行。

網絡安全防護技術與產品多種多樣，但是沒有一種獨立的解決方案能夠滿足石油企業信息安全上的需求，只有將多種安全防護技術緊密地結合在一起，才能充分發揮其各自作用。通過將各種安全防護技術統一、全盤考慮，能夠避免出現彼此之間相互抵觸，導致防護水平降低現象出現。實現1+1>2的防護效果，切實保障石油企業網絡信息安全。

“知己知彼，百戰不殆”，在石油企業網絡安全工作中，即要對所面臨的對手——安全威脅與挑戰有著深刻的理解，更要對自身業務系統脆弱性與安全需求有清晰的認識。為了明確問題范圍，深入理解企業當前面臨的安全風險與問題，明確自身安全需求，石油企業首先要對各個業務系統進行安全評估。評估方面應當涵蓋IT基礎設備的各個方面，包括網絡設備、服務器、應用系統、終端設備、互聯網出口、管理制度與規范等多個方面的內容。通過進行安全評估與風險分析，明確安全風險的范圍、內容與嚴重程度，確定工作目標與工作重點。在開展風險評估工作的同時，還應與有關部門合作，對已經定級應用系統開展等級保護測評工作，對新上線系統進行定級備案，滿足合規性要求。

網絡安全工作是一個系統工程，石油企業應以“統一標準、統一設計、統一建設、統一管理”作為工作指導思想，按照由外到內、層層深入、分區防護、縱深防御的思路進行網絡安全防護建設。

首先，應當明確不同工作內容的范圍。網絡安全工作紛繁蕪雜，涉及到各個方面的工作內容。對于主機安全、應用安全、數據安全與備份恢復等方面的工作內容，由各應用系統建設與維護人員考慮。對于物理安全、網絡安全等具有一定共性安全內容，進行統一規劃，按照統一的標準進行防護，制定標準的IT服務管理規范進行統一管理。石油企業網絡安全工作的第一步應當界定內部網絡與外部網絡邊界，對進入網絡內部的途徑進行梳理，對互聯網出口按照統一標準進行管理，按照統一標準進行安全防護。互聯網出口是外部用戶訪問企業信息系統的重要途徑，同時也是安全威脅進入企業網絡的重要途徑。出口越多，入侵者進入內部網絡的途徑就越多，安全隱患也越多，在運維過程中也難以統一管理。針對互聯網出口多、互聯網出口安全防護標準不一致，容易受到外部入侵等安全威脅的問題，可以采用統一互聯網出口的策略。石油企業應根據用戶及應用系統的使用需求，對互聯網出口進行統一規劃，制定統一的出口防護標準，并按照標準進行統一安全防護。通過對互聯網出口統一規劃、統一防護、統一管理，可以減少入侵者通過網絡接入企業內部網絡的途徑，提高企業網絡邊界安全防護能力。通過應用代理技術隱蔽企業網絡信息，通過網絡地址轉換技術改變IP地址內容，降低入侵者通過互聯網出口直接滲透進入內部網絡的可能性。

第二，對用戶訪問權限進行劃分。并非所有用戶都具有互聯網訪問權限，只有業務需求的用戶，經過審批后才能開通互聯網訪問權限。同時用戶使用USBkey進行身份認證，以USBkey作為用戶身份的唯一標識，實現用戶訪問行為實名制管理，避免用戶名口令方式存在的漏洞。傳統的安全違規事件定位方式是通過IP地址進行問題定位，這種方式進行事件處理費時費力，特別是在大規模復雜結構的網絡環境中，基本上很難實現及時、準確定位的目標。為了在違規事件發生后能實現問題來源快速準確定位，可以將用戶訪問行為信息與用戶身份標識進行綁定，一旦發生違規事件后，可以通過用戶信息而不是IP地址進行迅速定位與響應。

第三，規范用戶的互聯網使用行為，避免用戶訪問具有安全風險的內容給自身和企業帶來危害。通過行為審計技術對用戶的互聯網訪問內容進行記錄與審計，發生安全事件后可以根據審計記錄定位事件發生時間及來源。審計設備記錄了所有用戶訪問互聯網所有內容，部分信息中還包括違規發送的涉密信息。因此，在審計記錄訪問權限分配制過程中，要按照安全審計職責分離的要求設置不同權限的用戶，避免系統管理員處理過程中接觸涉密文件導致的二次泄密事件。

第四，制定和實施相關管理制度與規范。信息安全“三分技術、七分管理”，石油企業安全目標的實現，不但要以先進、成熟、可靠的技術作為支撐和保障，更需要制定相應管理辦法與規范作為依托，通過建立和健全完整的安全管理制度與規范對用戶使用行為進行管理。參照全球最佳安全管理實踐，建立標準和規范的IT服務運維管理流程。通過標準化流程，規范系統運維與管理工作。

第五，企業各級員工廣泛參與。網絡安全工作，不僅僅只是石油企業個別部門或個別人員的責任，需要各個部門、各級領導和廣大員工的廣泛參與、配合與支持。只有石油企業內部各級員工積極主動地在日常工作中按照要求合規使用，才能實現信息安全事半功倍的效果，預期的安全目標才能更快更好地實現。為了督促企業內部用戶自覺執行信息安全管理辦法與相關規范，石油企業應建立監督與考核機制，制定并執行相應的考核指標與考核管理辦法，建立通報表揚與批評制度。固定周期進行檢查與考核，對考核結果進行統一排名并通過通知或者公告方式在企業范圍內進行發布，對排名靠前的部門或員工進行獎勵，督促排名靠后的部門或員工及時進行改進，通過人力資源配合，將考核結果納入部門、個人年度工作績效考核中。

石油企業網絡安全建設涉及到方方面面，是一個系統工程，在實踐過程中，要充分考慮自身的業務特點與安全需求，深刻理解國家有關法律法規，滿足國家有關機關的合規性要求。石油企業安全目標的實現離不開各級領導與全體員工的廣泛參與和支持，員工的廣泛參與和幫助是實現組織安全目標的重要保障。新的技術不斷出現和應用，風險與威脅不斷變化，面對變化萬千的網絡虛擬世界，企業只有與時俱進，勇于創新，才能適應持續變化的信息安全風險與威脅，保障石油企業業務目標的實現。