石油企業(yè)信息安全與保密管理策略分析

文/王永春

隨著社會(huì)的發(fā)展進(jìn)步，石油企業(yè)作為國(guó)家能源企業(yè)，它的信息安全和保密管理直接影響著企業(yè)乃至國(guó)家安全和利益。文章分析了企業(yè)信息安全和保密管理工作中存在的問(wèn)題，從五個(gè)方面提出了提升企業(yè)安全管理水平的策略。

隨著互聯(lián)網(wǎng)發(fā)展及大數(shù)據(jù)時(shí)代的到來(lái)，國(guó)家之間的競(jìng)爭(zhēng)轉(zhuǎn)變成文化、經(jīng)濟(jì)、科技、政治、軍事及社會(huì)各領(lǐng)域等隱形的競(jìng)爭(zhēng)。相關(guān)的信息已成為國(guó)家重要的戰(zhàn)略資源，其安全關(guān)系到國(guó)家的發(fā)展與戰(zhàn)略制定。而當(dāng)今的竊密手段也呈現(xiàn)出高科技化、多樣化、技術(shù)發(fā)展快、高隱蔽性、難以檢測(cè)等特點(diǎn)。石油行業(yè)作為國(guó)家能源企業(yè)，肩負(fù)著國(guó)家能源戰(zhàn)略安全的重任。保護(hù)好石油企業(yè)在國(guó)際中的核心競(jìng)爭(zhēng)力，必須高度做好石油企業(yè)信息安全與保密工作，克服麻痹松懈情緒，堅(jiān)決保守國(guó)家秘密和企業(yè)核心商業(yè)秘密。

企業(yè)信息安全與保密管理現(xiàn)狀

當(dāng)今社會(huì)信息技術(shù)快速發(fā)展，大數(shù)據(jù)、云計(jì)算、人工智能等廣泛應(yīng)用，信息存儲(chǔ)電子化、傳輸網(wǎng)絡(luò)化、介質(zhì)多樣化、載體數(shù)碼化，隱于無(wú)形、復(fù)制方便、傳遞迅捷，由此帶來(lái)的信息安全問(wèn)題復(fù)雜多變。能源企業(yè)因自身機(jī)構(gòu)比較龐大且分散，具有點(diǎn)多面廣的特點(diǎn)，如果對(duì)信息安全和保密工作不引起足夠的重視，對(duì)自身的核心商業(yè)秘密不嚴(yán)加保護(hù)，勢(shì)必將給企業(yè)乃至國(guó)家?guī)?lái)難以估算的經(jīng)濟(jì)損失。

信息安全基礎(chǔ)設(shè)施落后。信息安全基礎(chǔ)設(shè)施是信息安全體系中用于支持信息安全應(yīng)用和信息安全管理的基礎(chǔ)平臺(tái)，它的可靠性、可用性是實(shí)現(xiàn)企業(yè)信息安全、保密管理的有力保障。雖然石油企業(yè)已建有專業(yè)的信息安全基礎(chǔ)平臺(tái)，信息自動(dòng)化程度較高，但隨著信息技術(shù)的不斷發(fā)展，一些信息安全設(shè)備已落后，勢(shì)必出現(xiàn)技術(shù)漏洞，容易導(dǎo)致企業(yè)失密泄密事故發(fā)生。

信息安全管理體系不完善。信息安全屬于新興領(lǐng)域，企業(yè)在信息安全管理方面還處于摸索階段，普遍存在以下問(wèn)題。一是信息資產(chǎn)管理不明確。信息與人們的切身利益息息相關(guān)，并以不同的形式存在于人們的工作、生活中，如數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)備、人員、客戶關(guān)系等，這些既包含有國(guó)家秘密，又包含有企業(yè)商業(yè)秘密或個(gè)人隱私等，大到影響國(guó)家利益，小到影響員工的切身利益。信息安全管理過(guò)程當(dāng)中，由于對(duì)需要保密的信息資產(chǎn)不明確、界限模糊，公開(kāi)與保密難以界定清楚。特別是當(dāng)今社會(huì)要求企業(yè)信息公開(kāi)化，如果企業(yè)需要保密的信息資產(chǎn)不確定、界定不明確、保密審核不嚴(yán)格，就會(huì)造成企業(yè)的信息泄漏。二是組織結(jié)構(gòu)不健全，人員職權(quán)不明確。企業(yè)信息安全管理組織結(jié)構(gòu)不健全，管理人員的職權(quán)及范圍不明確、防范意識(shí)低。在實(shí)際工作中，經(jīng)常會(huì)出現(xiàn)信息部門(mén)與保密管理部門(mén)相互推諉的現(xiàn)象，容易給竊密者可乘之機(jī)，造成失密泄密事件發(fā)生。三是信息安全宣傳教育形式單一。加強(qiáng)信息安全的宣傳和教育是提高安全意識(shí)和保密意識(shí)的有效手段。但在實(shí)際的宣傳教育過(guò)程中，宣教形式較為單一，僅僅對(duì)法律法規(guī)及企業(yè)內(nèi)部安全制度內(nèi)容進(jìn)行講解或發(fā)放資料，難以激發(fā)員工的學(xué)習(xí)熱情，教育效果不佳，達(dá)不到預(yù)期目的。四是缺少合理的管理制度。信息化迅猛發(fā)展的時(shí)代背景進(jìn)一步拓展了各種外泄渠道，給企業(yè)內(nèi)部信息的保護(hù)提出新的課題。智能手機(jī)、筆記本電腦等個(gè)人移動(dòng)電子產(chǎn)品已成為人們?nèi)粘９ぷ魃畈豢苫蛉钡墓ぞ撸鼈兘o人們的工作和生活帶來(lái)便利的同時(shí)，也存在極大的安全隱患。為便于工作，個(gè)人的電子產(chǎn)品里儲(chǔ)存有企業(yè)的各類(lèi)信息、數(shù)據(jù)甚至是關(guān)乎企業(yè)生死存亡的敏感資料，而在企業(yè)里，對(duì)于這類(lèi)個(gè)人電子產(chǎn)品的規(guī)范使用或接入無(wú)線網(wǎng)絡(luò)等行為缺乏相應(yīng)的管理制度，對(duì)企業(yè)來(lái)說(shuō)，這猶如一顆隱形的定時(shí)炸彈，威脅著企業(yè)的信息安全。

信息安全和保密意識(shí)亟待加強(qiáng)。有的企業(yè)負(fù)責(zé)人和員工對(duì)信息安全重視程度不夠，認(rèn)為“說(shuō)起來(lái)重要，做起來(lái)沒(méi)必要”，沒(méi)有從思想深處認(rèn)識(shí)到作為企業(yè)不僅有密要保，而且對(duì)企業(yè)的相關(guān)負(fù)責(zé)人和員工來(lái)說(shuō)，要保的密還不少，尤其是國(guó)有大型能源企業(yè)，更是如此。如果沒(méi)有充分認(rèn)識(shí)到保密就在身邊，那違規(guī)行為和泄密隱患的存在就具有必然性，勢(shì)必會(huì)對(duì)企業(yè)信息安全造成影響。

企業(yè)信息安全與保密管理策略

做好保密工作是保障企業(yè)信息安全的前提，保密工作管理水平的高低直接關(guān)系到企業(yè)信息安全程度的高低。信息安全管理和控制范圍覆蓋安全技術(shù)體系中涉及的各種安全管理機(jī)制、安全基礎(chǔ)設(shè)施建設(shè)和設(shè)備管理，以及人員管理和教育等。要為企業(yè)提供有效的安全保護(hù)，就要引入國(guó)際信息安全I(xiàn)SO2700-1 標(biāo)準(zhǔn)，結(jié)合企業(yè)的實(shí)際情況和長(zhǎng)期發(fā)展需要，采用循環(huán)上升管理模式PDCA（計(jì)劃、執(zhí)行、檢查、處理），并從以下幾方面對(duì)企業(yè)信息安全和保密管理進(jìn)行長(zhǎng)期、系統(tǒng)規(guī)劃和完善。

建立完善的信息安全管理體系。單純依靠提升基礎(chǔ)設(shè)施平臺(tái)從技術(shù)層面去解決安全問(wèn)題，是無(wú)法有效地達(dá)到保障企業(yè)信息安全的目的。需建立完善的安全管理制度，結(jié)合安全基礎(chǔ)設(shè)施，對(duì)整個(gè)安全系統(tǒng)進(jìn)行全面管理、監(jiān)控和維護(hù)。企業(yè)相關(guān)負(fù)責(zé)人應(yīng)該根據(jù)企業(yè)的發(fā)展需求明確信息安全目標(biāo)、技術(shù)標(biāo)準(zhǔn)，搭建合理的安全組織機(jī)構(gòu)，完善管理制度，明確信息安全管理權(quán)限和職責(zé)，確定管理規(guī)范和步驟，加強(qiáng)資金投入，確保信息安全保障的正常運(yùn)作。

完善企業(yè)信息安全和保密制度。隨著信息技術(shù)的不斷發(fā)展，信息保密工作也面臨著嚴(yán)峻的挑戰(zhàn)。企業(yè)要建立一套較為完善的信息安全和保密管理制度，如規(guī)范員工上網(wǎng)行為、企業(yè)內(nèi)外網(wǎng)互聯(lián)互接行為、辦公信息化設(shè)備保管使用、企業(yè)內(nèi)部員工統(tǒng)一身份管理、企業(yè)信息公開(kāi)與保密審查工作之間的聯(lián)系、企業(yè)定密及涉密人員管理等，以嚴(yán)明的制度來(lái)約束員工行為，為企業(yè)的安全和發(fā)展提供有力的保障。

采取多元教育模式，提升干部職工信息安全和保密意識(shí)。

無(wú)論是信息安全還是保密工作，重點(diǎn)在于“防”,即繃緊安全防線，提升安全和保密意識(shí)。在宣傳教育過(guò)程中，要結(jié)合時(shí)代發(fā)展特點(diǎn)和宣傳教育對(duì)象特點(diǎn)，采取多元化的模式進(jìn)行宣傳教育。例如，通過(guò)企業(yè)微信公眾號(hào)在全系統(tǒng)開(kāi)展安全、保密內(nèi)容有獎(jiǎng)答題活動(dòng)，邀請(qǐng)員工共同查找企業(yè)信息安全和保密工作中存在的漏洞，用信息安全案例開(kāi)展警示教育，通過(guò)企業(yè)內(nèi)部桌面安全系統(tǒng)推送信息安全知識(shí)和保密法律法規(guī)，定期舉行信息安全防范演練等。通過(guò)多種宣傳教育渠道，切實(shí)提升企業(yè)干部職工的信息安全和保密意識(shí)，杜絕因?yàn)椤盁o(wú)知”造成的失密泄密，減少因利竊密，從思想上建立堡壘，防患于未然，共同筑牢安全防線。

提升防范技術(shù)手段。防范是企業(yè)安全防御環(huán)節(jié)中防止非法入侵和非法訪問(wèn)系統(tǒng)的關(guān)鍵一環(huán)，可采用以下技術(shù)提高防范手段。一是數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是指將需要加密的數(shù)據(jù)經(jīng)過(guò)加密密鑰和密碼算法變成不能閱讀的無(wú)意義數(shù)據(jù)，在接收方使用解碼密鑰和密碼算法后還原成原數(shù)據(jù)。這種方式只有通信雙方才能識(shí)別信息，竊密者無(wú)法識(shí)別也很難破解和修改，從而提高了保密性。同時(shí)根據(jù)加密密鑰和解密密鑰是否相同，可分為對(duì)稱密碼技術(shù)和非對(duì)稱密碼技術(shù)，分別有各自的特點(diǎn)，企業(yè)應(yīng)該根據(jù)自身需求進(jìn)行選用。二是設(shè)置網(wǎng)絡(luò)準(zhǔn)入權(quán)限。企業(yè)可以通過(guò)使用用戶名、口令密碼等設(shè)置確定企業(yè)內(nèi)部網(wǎng)絡(luò)的準(zhǔn)入權(quán)限，按員工接觸企業(yè)信息的級(jí)別進(jìn)行分權(quán)分級(jí)訪問(wèn)網(wǎng)絡(luò)資源。對(duì)于通過(guò)無(wú)線網(wǎng)絡(luò)通信技術(shù)使用個(gè)人電子產(chǎn)品接入企業(yè)內(nèi)部網(wǎng)訪問(wèn)也應(yīng)有相應(yīng)的防范監(jiān)控措施。三是防火墻技術(shù)。防火墻是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的一種技術(shù)，它在外部網(wǎng)和內(nèi)部網(wǎng)之間建立屏障，通過(guò)過(guò)濾和隔離防范來(lái)自外部的各種攻擊入侵。四是入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是對(duì)入侵行為的檢測(cè)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，是防火墻技術(shù)的補(bǔ)充。通過(guò)收集和分析網(wǎng)絡(luò)行為，及時(shí)發(fā)現(xiàn)入侵行為和攻擊跡象，及時(shí)阻攔入侵危害。五是病毒庫(kù)技術(shù)。企業(yè)應(yīng)安裝先進(jìn)的病毒庫(kù)系統(tǒng)，積極做好防毒殺毒防范。同時(shí)進(jìn)行技術(shù)創(chuàng)新，形成自己的病毒庫(kù)，從而提高防毒殺毒能力。六是強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)安全。計(jì)算機(jī)信息系統(tǒng)及網(wǎng)絡(luò)已經(jīng)成為泄密事件的主要途徑。企業(yè)要加強(qiáng)計(jì)算機(jī)和內(nèi)部辦公網(wǎng)絡(luò)、企業(yè)門(mén)戶網(wǎng)站的保密管理，實(shí)行內(nèi)外網(wǎng)物理分離，內(nèi)部辦公電腦禁止連接互聯(lián)網(wǎng)，堅(jiān)持“誰(shuí)上網(wǎng)，誰(shuí)負(fù)責(zé)”的工作原則，嚴(yán)格落實(shí)“上網(wǎng)不涉密，涉密不上網(wǎng)”的保密要求。

加強(qiáng)涉密人員的管理。企業(yè)的重要和關(guān)鍵信息一般都掌握在關(guān)鍵少數(shù)人手里，確保企業(yè)信息安全要從關(guān)鍵少數(shù)著手。抓好企業(yè)涉密人員的管理，常態(tài)化進(jìn)行保密法律法規(guī)，尤其是保密專業(yè)技術(shù)的培訓(xùn)，還要經(jīng)常性進(jìn)行警示教育，使企業(yè)涉密人員具有專業(yè)的保密技能。對(duì)涉密人員在上崗、在崗、離崗等各個(gè)環(huán)節(jié)進(jìn)行閉環(huán)管理，做到環(huán)環(huán)相扣，保障企業(yè)保密工作順利進(jìn)行。

總之，企業(yè)在經(jīng)營(yíng)過(guò)程中要重視信息安全的管理工作，要系統(tǒng)、規(guī)范地總結(jié)和分析安全及保密管理工作中的問(wèn)題，加強(qiáng)保密意識(shí)，建立規(guī)范化和完善的信息安全管理體系，有效地解決企業(yè)所面臨的信息安全問(wèn)題，讓企業(yè)信息安全有保障。