管道公司信息系統(tǒng)安全防護(hù)措施探討

董奕平

（中油國際管道公司中緬油氣管道項目，北京 100029）

0 引言

在信息技術(shù)迅猛發(fā)展和網(wǎng)絡(luò)普及的背景下，各行各業(yè)將自身重要業(yè)務(wù)與計算機技術(shù)相結(jié)合，給日常工作帶來了許多便利。但網(wǎng)絡(luò)及信息系統(tǒng)帶來的負(fù)面影響也逐漸凸顯出來，一旦處理不當(dāng)會給企業(yè)帶來不可估量的損失。信息化時代下，企業(yè)信息系統(tǒng)的安全是企業(yè)良好運轉(zhuǎn)的保障。所以，預(yù)防和消除信息系統(tǒng)的安全隱患，減少企業(yè)運營風(fēng)險，加強安全防護(hù)的重要性就日益凸顯出來。

1 管道公司信息系統(tǒng)安全現(xiàn)狀分析

管道公司在信息技術(shù)蓬勃發(fā)展的浪潮中已先后建立了現(xiàn)代化信息系統(tǒng)，如財務(wù)管理系統(tǒng)、審計信息系統(tǒng)、人力資源及辦公自動化系統(tǒng)等。這些系統(tǒng)的建立給管道公司的工作帶來了極大便利，提高了各個部門乃至公司整體的運作效率。同時，這些信息系統(tǒng)也或多或少遭受過計算機病毒的侵害，企業(yè)在信息安全防護(hù)工作方面還存在嚴(yán)重不足。根據(jù)國家相關(guān)信息安全管理條例及行業(yè)信息安全細(xì)則內(nèi)容排查，發(fā)現(xiàn)管道公司的信息系統(tǒng)存在以下問題。

1.1 基礎(chǔ)硬件設(shè)施沒有及時更新

基礎(chǔ)硬件設(shè)施是企業(yè)引入信息系統(tǒng)時，投入購買的用于機房建設(shè)的基本設(shè)備，這些設(shè)備極易受到物理環(huán)境、自然災(zāi)難以及人為操作失誤和惡意操作等影響，所以一直被存放在機房重地。由于機房和信息系統(tǒng)建立之初，一切都處于磨合階段，對于機房設(shè)備管理和維護(hù)經(jīng)驗還不是十分成熟，這些設(shè)備有的應(yīng)用多年沒有得到定期維護(hù)和更新，造成設(shè)備老化或損毀。

1.2 機房管理制度制定不完善及執(zhí)行缺乏力度

對于信息系統(tǒng)安全防護(hù)來說，機房的安全是信息系統(tǒng)安全的基礎(chǔ)。經(jīng)過實際工作經(jīng)驗的不斷累積，管道公司逐漸建立了完整的機房管理制度，并建立了專門的管理部門進(jìn)行管理。但隨著科技的發(fā)展和人員的變更，制度也應(yīng)該隨之不斷調(diào)整和變化。而實際工作中，管理制度不完善，工作人員對制度的執(zhí)行力度也不大。

1.3 缺乏對信息系統(tǒng)的科學(xué)分級，未實行分級防護(hù)

信息系統(tǒng)內(nèi)部的服務(wù)器種類很多，可以按照用途、功能、機箱結(jié)構(gòu)等不同因素劃分成不同類型。對于不同類型的服務(wù)器，應(yīng)按照其內(nèi)容進(jìn)行科學(xué)合理分級，有針對性、目的性地實行分級保護(hù)。目前，管道公司缺乏對信息系統(tǒng)的科學(xué)分級，也未實行分級防護(hù)。

1.4 操作管理和數(shù)據(jù)信息防護(hù)不到位

在信息系統(tǒng)日常操作應(yīng)用中，由于管理層措施不到位等，存在內(nèi)部人員無意或惡意篡改數(shù)據(jù)或出現(xiàn)信息泄露的情況。比如，由于未設(shè)置數(shù)據(jù)庫訪問權(quán)限，沒有根據(jù)工作人員崗位職責(zé)分配登錄及訪問權(quán)限，當(dāng)出現(xiàn)內(nèi)部工作人員惡意篡改數(shù)據(jù)時，無法通過監(jiān)測系統(tǒng)及時捕捉并追查；員工離職后其自身登錄系統(tǒng)口令并沒有被及時修改和刪除，有可能造成信息泄露和被被篡改的情況。

1.5 機房環(huán)境管理不到位

室內(nèi)相對濕度過低時，在空氣干燥的環(huán)境下，部分組件的運轉(zhuǎn)和摩擦?xí)a(chǎn)生靜電，影響組件正常運行甚至造成損壞；反之濕度過高時，會增加組件接頭電阻，使組件運轉(zhuǎn)發(fā)生錯誤，造成組件被擊穿。灰塵落到服務(wù)器組件的表面時，可能會造成運行障礙、短路等問題，增加組件故障率，導(dǎo)致服務(wù)器宕機。

2 加強信息安全防護(hù)的有效措施

2.1 建立信息安全管理體系

2.1.1 創(chuàng)建安全管理制度

在企業(yè)安全管理中，信息技術(shù)和人員是不穩(wěn)定因素。企業(yè)除不斷更新信息技術(shù)外，還要加強對人員及其行為的科學(xué)管理。安全管理制度對所有管理人員及操作人員日常操作行為進(jìn)行規(guī)范，與信息系統(tǒng)管理有著同等重要的地位。它不僅能夠調(diào)動全體員工參與信息安全防護(hù)工作的積極性，還能避免由于管理及操作不當(dāng)給信息系統(tǒng)安全造成的損害。建立完善的安全管理制度對于信息管理工作的有序進(jìn)行可以起到重要的指導(dǎo)作用。

2.1.2 成立安全管理機構(gòu)或部門

成立專門機構(gòu)對安全管理工作進(jìn)行統(tǒng)一規(guī)劃和處理，這是信息安全管理工作得以有效實施和進(jìn)行的基礎(chǔ)。通過構(gòu)建自上而下的有關(guān)信息安全管理的決策、構(gòu)建從管理到執(zhí)行的完整組織層級，明確各個層級和每個崗位的安全職責(zé)，能夠為安全管理工作提供組織保障。

2.1.3 加強信息系統(tǒng)后期運維管理

信息系統(tǒng)建設(shè)和投入使用之后，后期運維管理工作占據(jù)著相當(dāng)重要的地位。系統(tǒng)運維內(nèi)容復(fù)雜煩瑣，比如，對操作系統(tǒng)運行環(huán)境需要進(jìn)行日常和定期的檢測和維護(hù)；對機房基礎(chǔ)硬件設(shè)施及各個組件要進(jìn)行定期維護(hù)、網(wǎng)絡(luò)安全環(huán)境檢測管理、惡意代碼防入侵管理以及應(yīng)急響應(yīng)管理等。同時，還要在系統(tǒng)出現(xiàn)意外情況時及時采取應(yīng)對措施，以保證系統(tǒng)始終處于安全保護(hù)的狀態(tài)。

2.2 加強機房基礎(chǔ)設(shè)施建設(shè)

機房是服務(wù)器、數(shù)據(jù)存儲設(shè)備、網(wǎng)絡(luò)通信設(shè)備等基本硬件設(shè)施存放和安裝的重要場所，必須安裝相應(yīng)的配合基礎(chǔ)設(shè)施正常運行的必要設(shè)備。在實際工作中，要根據(jù)機房實際情況做出相應(yīng)調(diào)整。比如，根據(jù)機房設(shè)備運行情況對設(shè)備進(jìn)行擴容；關(guān)注機房溫度變化，當(dāng)運行設(shè)備過多導(dǎo)致機房溫度上升時，就需要相應(yīng)增加降溫設(shè)備。

管道公司機房普遍存在機柜、動力設(shè)備和網(wǎng)線、光纖布線等設(shè)備不斷增加的情況，說明機房在最初建設(shè)時沒有充分考慮到實際運行中產(chǎn)生的變化和需求；建設(shè)人員缺乏對機房長期運行的科學(xué)判斷，導(dǎo)致機房的設(shè)計方面存在缺陷。管道公司對于機房的空間延展性并沒有做出合理規(guī)劃，導(dǎo)致機房性能無法滿足當(dāng)下的需求。管道公司機房在最初規(guī)劃時，就要認(rèn)真研究機房設(shè)計，以保證機房使用的長期性和空間延展性，避免因為機房改造給企業(yè)帶來額外的經(jīng)濟投入。

2.3 嚴(yán)格執(zhí)行機房管理制度

管道公司信息管理部門要根據(jù)實際工作需要，對工作人員進(jìn)出機房和日常巡檢制定相應(yīng)管理條例與管理表單，并對工作人員實際執(zhí)行過程通過機房監(jiān)控系統(tǒng)進(jìn)行有效監(jiān)督，以保證機房的正常穩(wěn)定運轉(zhuǎn)，具體如下。

（1）合理設(shè)計《機房出入登記表》，保證登記信息完整、及時。

（2）禁止工作人員在機房內(nèi)接打電話。建議嚴(yán)禁工作人員攜帶手機進(jìn)入機房，避免被不良人員利用管理漏洞將機房重要資料和數(shù)據(jù)信息攜帶出去，造成企業(yè)信息泄露。

（3）對進(jìn)入機房的維護(hù)人員全程跟蹤，避免由于維護(hù)人員錯誤操作情況而造成事故，以及行為疏忽大意而造成計算機感染病毒的情況發(fā)生。

（4）注意機房的溫度和濕度，將溫度和濕度有效控制在適宜范圍內(nèi)，并應(yīng)該密切關(guān)注機房環(huán)境衛(wèi)生，做好灰塵的清理工作。

2.4 對信息系統(tǒng)進(jìn)行分級防護(hù)

《信息安全等級保護(hù)管理辦法》是為規(guī)范信息安全等級保護(hù)管理，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。企業(yè)必須認(rèn)真學(xué)習(xí)《信息安全等級保護(hù)管理辦法》，對信息系統(tǒng)進(jìn)行分級保護(hù)。

2.4.1 確定信息系統(tǒng)安全定級

管道公司依據(jù)各個信息系統(tǒng)的情況及專業(yè)標(biāo)準(zhǔn)，將企業(yè)內(nèi)部各部門運行系統(tǒng)及企業(yè)宣傳信息和內(nèi)部即時消息的安全保護(hù)等級定為二級，把關(guān)系到整個信息系統(tǒng)運行的各類型服務(wù)器的安全保護(hù)等級定為一級。

2.4.2 信息系統(tǒng)按照保護(hù)級別進(jìn)行保護(hù)

首先，對各級別保護(hù)區(qū)域和測試服務(wù)器區(qū)域進(jìn)行相應(yīng)劃分，在各個等級保護(hù)區(qū)域內(nèi)安裝相應(yīng)信息安全保護(hù)設(shè)備，以有效保護(hù)信息安全。測試服務(wù)器則放在相應(yīng)測試區(qū)域，避免各區(qū)域相互感染，影響系統(tǒng)正常運行。

2.5 嚴(yán)格執(zhí)行操作系統(tǒng)和數(shù)據(jù)庫信息安全防護(hù)措施

對操作系統(tǒng)的保護(hù)要根據(jù)其自身構(gòu)成和特點有針對性地進(jìn)行。數(shù)據(jù)庫信息安全的防護(hù)專業(yè)且復(fù)雜，需嚴(yán)格執(zhí)行相關(guān)防護(hù)措施。比如，對于系統(tǒng)賬號和密碼的設(shè)置，不能為了日常使用方便而設(shè)置過于簡單的密碼，這樣會提高黑客破解的概率，極易造成企業(yè)生產(chǎn)經(jīng)營信息被竊取。密碼的設(shè)置，越復(fù)雜安全性越高，并且必須定期更新密碼。對于數(shù)據(jù)庫存在的漏洞問題，應(yīng)及時打上數(shù)據(jù)庫補丁，避免黑客利用漏洞入侵信息系統(tǒng)。對于服務(wù)器端口容易被黑客入侵傳播病毒的情況，企業(yè)要加強保護(hù)，以降低信息系統(tǒng)被攻破的概率。

3 結(jié)語

目前，信息安全防護(hù)方面還存在許多問題，仍有很多工作需要開展。企業(yè)在實際工作中需要不斷更新迭代信息技術(shù)，還要重視信息安全方面管理經(jīng)驗的累積，通過增加對信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)工作的管理及對信息系統(tǒng)編碼的規(guī)范，不斷提高信息安全的綜合防護(hù)能力，確保信息系統(tǒng)安全運行。