石油化工企業網絡安全管理存在的問題及對策探究

摘 要 伴隨著“互聯網+”的提出以及“兩化融合”不斷深入推進，石油化工企業信息化建設取得了一系列重大成果和重要進展，對企業提質增效、轉型升級起到了重要支撐作用。與此同時，石油化工企業也面臨著越來越嚴峻的網絡安全形勢，為提高企業網絡安全水平，筑牢安全發展基石，本文立足石油化工企業實際，深入分析了企業當前網絡安全管理中存在的問題，并結合實踐做了有針對性研究，提出了企業提升網絡安全水平的對策，構建了相對完善的網絡安全管理體系。

關鍵詞 石油化工;網絡安全;信息化建設;管理體系

近年來，石油化工企業信息化建設持續推進，取得了一系列重大成果和重要進展。在上中下游整個產業鏈以及油氣勘探與開發、儲運、煉制與化工、銷售、工程技術服務、工程建設、裝備制造各業務領域，信息化為推進發展方式轉變，提高生產管理水平和工作效率，提供了重要的支撐，發揮了重要的作用。但是科技是一把“雙刃劍”，信息網絡技術的迅猛發展，在對企業發展起到巨大促進作用的同時，網絡安全威脅也在不斷加大。

2010年伊朗“震網”病毒事件、2015年烏克蘭大面積斷電事件、2016年德國核電站計算機病毒感染事件、2017年勒索病毒爆發事件等一系列網絡安全事件表明，網絡沖突和攻擊正成為國家間對抗的主要形式[1-3]。石油化工企業是關系我國國計民生和社會穩定的關鍵性基礎行業[4]，其網絡基礎設施、重要業務系統和生產控制系統以及重要數據資源等一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益，必須引起高度重視。

1石油化工網絡安全管理存在的問題

1.1 網絡安全意識整體不強

當今網絡社會、數字化時代，網絡安全對一個企業而言是牽一發而動全身的。于個人而言，增強網絡安全意識是避免網絡不安全因素侵害的有效途徑;對企業而言，提升全員網絡安全意識對筑牢安全發展基石大有裨益。然而員工對網絡安全的認識不深，認識不到“網絡安全人人有責”，危機意識、緊迫意識、參與意識不強。在實際工作中，弱口令、釣魚郵件、病毒感染、私自設置代理服務器、私自搭接無線接入熱點、使用移動網絡熱點等私接互聯網等現象時有發生，給企業整體網絡安全帶來嚴重威脅[5]。

1.2 網絡安全管理制度建設相對滯后

石油化工企業雖然已經制定了相應的網絡信息安全管理制度，但由于網絡信息安全技術更新很快，加之國家層面也在不斷更新、出臺相關法律法規、標準規范，企業網絡信息安全管理制度往往跟不上相應技術更新換代的步伐，滯后于現實需求。另外，在制度實際執行的過程中也存在落地實效不高等現象。

1.3 網絡安全管理組織保障不夠有力

各企業在網絡安全責任落實方面存在壓力傳導遞減現象，在集團總部層面要求較高，但各下屬企業對于網絡安全的重視程度普遍的低于生產安全，這就導致各企業網絡安全管理組織機構設立和人員配備方面存在不足。有的企業只在本級設立網絡安全管理部門，在二級單位沒有指定責任落實部門及相應人員;有的企業網絡安全管理部門及管理人員仍采用兼職形式。另外，專業型、復合型網絡安全管理人才短缺，任用人員缺少崗前安全知識培訓、崗位操作規程培訓，以及持續的技術提升培訓。

1.4 網絡安全責任落實有差距

《中華人民共和國網絡安全法》等法律法規以及相關規范性文件規定了網絡等級保護的要求，但具體到各行業、各單位的信息化環境中，情況千差萬別，安全管理措施的設計和執行，還主要靠公司主管網絡安全工作的員工以及相關技術支撐單位的經驗和理解進行貫徹實施[6]，存在網絡安全責任界面不清、機制不順、運行不暢等問題。

1.5 供應鏈安全存在隱患

各企業自建系統往往由不同業務部門牽頭建設運維，為其提供軟、硬件產品的生產商和產品授權代理商以及提供咨詢、實施、工程、運行維護、軟件開發、系統集成等服務的信息技術服務商，整個供應商隊伍十分龐雜。供應商、承包商、技術供應商等經常需要直接訪問系統。對于身份認證和訪問控制管理不善，攻擊者可以能夠通過第三方賬戶很容易地利用過度擴展的憑證訪問企業網絡，并嘗試跳轉到更多的系統和網絡。多年來，許多組織也同樣遭遇到跨站攻擊。

2網絡安全管理對策研究

2.1 深入開展網絡安全意識教育

每年開展一次全員網絡安全意識教育，結合當前國內外信息安全態勢、個人面臨的網絡安全威脅，對常見網絡攻擊手段以及日常防范方法進行詳細普及。同時，以學促選，開發在線教育視頻課程，納入全員學習課程范圍。另外，每年開展一次“網絡安全宣傳周”活動，通過視頻宣傳、平面展覽、新媒體宣傳等多種形式開展網絡安全知識技能的宣傳普及，提高全員網絡安全意識，營造良好的網絡安全環境，打造正確的網絡安全觀。

2.2 完善網絡安全制度體系

根據國家法律法規、標準規范以及國際ISO27001標準等，結合實際，逐步建立起主體責任清晰、業務流程健全的網絡安全制度，包括總體信息安全管理、信息安全責任制、等級保護、機房管理、網絡管理等方面，內容覆蓋物理安全、網絡安全、主機安全、數據安全、應用安全、系統建設和運維安全等層面。另外，要逐步建立以文檔化為基準的多層次網絡安全管理制度體系。持續跟蹤網絡安全發展動態，定時對制度進行修訂、評估。

2.3 加強網絡安全組織機構建設

企業層面成立一把手任組長、各部門主要負責人為成員的網絡安全與信息化領導小組，統一籌劃網絡安全工作。明確網絡安全工作的歸口管理部門以及部門職責。另外，將網絡安全管理納入企業HSSE管理體系，成立網絡安全專業分委會，由分管領導任分委會主任，定期召開月度、季度例會，研究部署網絡安全工作，協調解決實際問題。

2.4 強化網絡安全管理隊伍

設立網絡安全管理崗位，配備網絡安全專職管理人員，牽頭負責企業網絡安全管理工作，各部門、二級單位配備專（兼）職網絡安全管理員，協助開展、落實有關工作，形成 “橫向到邊、縱向到底、直線貫通”的網絡安全隊伍保障體系。另外，定期通過邀請講師、選送外派等方式開展網絡安全技術培訓，逐步打造具有較強實踐能力和創新能力的專業網絡安全團隊，不斷提升網絡信息安全創新能力和保障能力。

2.5 嚴格落實網絡安全責任

按照“誰主管誰負責、誰建設誰負責、誰運維誰負責、誰使用誰負責”和“屬地化”原則，分解落實網絡安全責任。信息管理部門、系統使用部門、系統建設單位、系統運維單位的網絡安全責任逐一細化落實，不留安全死角。通過強化績效考核、建立問責追責機制等有效措施，壓緊壓實各級網絡安全責任，切實做到守土有責、守土負責、守土盡責。另外，與全體員工簽訂《網絡安全承諾書》，驅動全員參與網絡安全建設構筑網絡安全屏障。

2.6 確保供應鏈安全

企業須與服務商簽訂網絡安全保密協議，確保敏感信息不外泄。針對系統建設服務應簽訂協議或合同，外包軟件開發的，在軟件交付前檢測其中可能存在的惡意代碼并保證開發單位提供軟件設計文檔和使用指南，保證開發單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道;針對運維服務應簽訂協議或合同，明確所有相關的安全要求，如可能涉及對敏感信息的訪問、處理、存儲要求，IT基礎設施中斷服務的應急保障要求。另外，細致篩查為供應商、運維廠商等開啟的VPN、遠程桌面、SSH、系統特權賬號密碼，關閉過期或無用的服務和賬號。

3結束語

對于石油化工企業來說，互聯網和信息系統幾乎承載了所有的生產經營管理和對外服務，一旦發生重大網絡和信息安全問題，后果不堪設想。本文在深入分析企業網絡安全管理中存在問題的基礎上，圍繞全員網絡安全意識、組織機構建設、人員隊伍建設、制度體系建設、安全責任落實、供應鏈安全等方面，研究提出了提升網絡安全管理的對策，構建了相對完善的網絡安全管理體系，對于充分發揮信息技術在企業“轉方式”、“提質量”、“增效益”中的作用提供了保障。另外，本文提出的對策具有極強的擴展性和復制性，為其他組織網絡安全管理水平提升提供了有益的思路與參考。

參考文獻

[1] Piggin R. Cyber security trends： What should keep CEOs awake at night[J]. International Journal of Critical Infrastructure Protection，2016（13）：36-38.

[2] Chen T M. Stuxnet， the real start of cyber warfare？ [J]. IEEE Network，2010，24（6）：2-3.

[3] 張揚.工業控制系統入侵檢測技術研究[D].成都：電子科技大學，2018.

[4] 溫哲.石油化工企業的信息安全風險管理研究[D].北京：北京理工大學，2016.

[5] 孫明. 國有企業中的信息安全管理和應用分析[J].信息與電腦，2019（13）：208-209.

[6] 何洪峰，張穗強.企業落實網絡安全責任思考與實踐[J].廣大公安科技，2018（2）：47-49.

作者簡介

陳勇（1989-），男;畢業院校：東華大學，專業：機械制造及其自動化，學歷：碩士研究生，職稱：工程師，現就職單位：中國石化銷售股份有限公司華東分公司，研究方向：網絡安全與兩化融合管理。