石油化工企業(yè)網(wǎng)絡(luò)安全管理存在的問題及對策探究

摘 要 伴隨著“互聯(lián)網(wǎng)+”的提出以及“兩化融合”不斷深入推進(jìn)，石油化工企業(yè)信息化建設(shè)取得了一系列重大成果和重要進(jìn)展，對企業(yè)提質(zhì)增效、轉(zhuǎn)型升級起到了重要支撐作用。與此同時(shí)，石油化工企業(yè)也面臨著越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢，為提高企業(yè)網(wǎng)絡(luò)安全水平，筑牢安全發(fā)展基石，本文立足石油化工企業(yè)實(shí)際，深入分析了企業(yè)當(dāng)前網(wǎng)絡(luò)安全管理中存在的問題，并結(jié)合實(shí)踐做了有針對性研究，提出了企業(yè)提升網(wǎng)絡(luò)安全水平的對策，構(gòu)建了相對完善的網(wǎng)絡(luò)安全管理體系。

關(guān)鍵詞 石油化工;網(wǎng)絡(luò)安全;信息化建設(shè);管理體系

近年來，石油化工企業(yè)信息化建設(shè)持續(xù)推進(jìn)，取得了一系列重大成果和重要進(jìn)展。在上中下游整個(gè)產(chǎn)業(yè)鏈以及油氣勘探與開發(fā)、儲運(yùn)、煉制與化工、銷售、工程技術(shù)服務(wù)、工程建設(shè)、裝備制造各業(yè)務(wù)領(lǐng)域，信息化為推進(jìn)發(fā)展方式轉(zhuǎn)變，提高生產(chǎn)管理水平和工作效率，提供了重要的支撐，發(fā)揮了重要的作用。但是科技是一把“雙刃劍”，信息網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，在對企業(yè)發(fā)展起到巨大促進(jìn)作用的同時(shí)，網(wǎng)絡(luò)安全威脅也在不斷加大。

2010年伊朗“震網(wǎng)”病毒事件、2015年烏克蘭大面積斷電事件、2016年德國核電站計(jì)算機(jī)病毒感染事件、2017年勒索病毒爆發(fā)事件等一系列網(wǎng)絡(luò)安全事件表明，網(wǎng)絡(luò)沖突和攻擊正成為國家間對抗的主要形式[1-3]。石油化工企業(yè)是關(guān)系我國國計(jì)民生和社會穩(wěn)定的關(guān)鍵性基礎(chǔ)行業(yè)[4]，其網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要業(yè)務(wù)系統(tǒng)和生產(chǎn)控制系統(tǒng)以及重要數(shù)據(jù)資源等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益，必須引起高度重視。

1石油化工網(wǎng)絡(luò)安全管理存在的問題

1.1 網(wǎng)絡(luò)安全意識整體不強(qiáng)

當(dāng)今網(wǎng)絡(luò)社會、數(shù)字化時(shí)代，網(wǎng)絡(luò)安全對一個(gè)企業(yè)而言是牽一發(fā)而動全身的。于個(gè)人而言，增強(qiáng)網(wǎng)絡(luò)安全意識是避免網(wǎng)絡(luò)不安全因素侵害的有效途徑;對企業(yè)而言，提升全員網(wǎng)絡(luò)安全意識對筑牢安全發(fā)展基石大有裨益。然而員工對網(wǎng)絡(luò)安全的認(rèn)識不深，認(rèn)識不到“網(wǎng)絡(luò)安全人人有責(zé)”，危機(jī)意識、緊迫意識、參與意識不強(qiáng)。在實(shí)際工作中，弱口令、釣魚郵件、病毒感染、私自設(shè)置代理服務(wù)器、私自搭接無線接入熱點(diǎn)、使用移動網(wǎng)絡(luò)熱點(diǎn)等私接互聯(lián)網(wǎng)等現(xiàn)象時(shí)有發(fā)生，給企業(yè)整體網(wǎng)絡(luò)安全帶來嚴(yán)重威脅[5]。

1.2 網(wǎng)絡(luò)安全管理制度建設(shè)相對滯后

石油化工企業(yè)雖然已經(jīng)制定了相應(yīng)的網(wǎng)絡(luò)信息安全管理制度，但由于網(wǎng)絡(luò)信息安全技術(shù)更新很快，加之國家層面也在不斷更新、出臺相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，企業(yè)網(wǎng)絡(luò)信息安全管理制度往往跟不上相應(yīng)技術(shù)更新?lián)Q代的步伐，滯后于現(xiàn)實(shí)需求。另外，在制度實(shí)際執(zhí)行的過程中也存在落地實(shí)效不高等現(xiàn)象。

1.3 網(wǎng)絡(luò)安全管理組織保障不夠有力

各企業(yè)在網(wǎng)絡(luò)安全責(zé)任落實(shí)方面存在壓力傳導(dǎo)遞減現(xiàn)象，在集團(tuán)總部層面要求較高，但各下屬企業(yè)對于網(wǎng)絡(luò)安全的重視程度普遍的低于生產(chǎn)安全，這就導(dǎo)致各企業(yè)網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)設(shè)立和人員配備方面存在不足。有的企業(yè)只在本級設(shè)立網(wǎng)絡(luò)安全管理部門，在二級單位沒有指定責(zé)任落實(shí)部門及相應(yīng)人員;有的企業(yè)網(wǎng)絡(luò)安全管理部門及管理人員仍采用兼職形式。另外，專業(yè)型、復(fù)合型網(wǎng)絡(luò)安全管理人才短缺，任用人員缺少崗前安全知識培訓(xùn)、崗位操作規(guī)程培訓(xùn)，以及持續(xù)的技術(shù)提升培訓(xùn)。

1.4 網(wǎng)絡(luò)安全責(zé)任落實(shí)有差距

《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)以及相關(guān)規(guī)范性文件規(guī)定了網(wǎng)絡(luò)等級保護(hù)的要求，但具體到各行業(yè)、各單位的信息化環(huán)境中，情況千差萬別，安全管理措施的設(shè)計(jì)和執(zhí)行，還主要靠公司主管網(wǎng)絡(luò)安全工作的員工以及相關(guān)技術(shù)支撐單位的經(jīng)驗(yàn)和理解進(jìn)行貫徹實(shí)施[6]，存在網(wǎng)絡(luò)安全責(zé)任界面不清、機(jī)制不順、運(yùn)行不暢等問題。

1.5 供應(yīng)鏈安全存在隱患

各企業(yè)自建系統(tǒng)往往由不同業(yè)務(wù)部門牽頭建設(shè)運(yùn)維，為其提供軟、硬件產(chǎn)品的生產(chǎn)商和產(chǎn)品授權(quán)代理商以及提供咨詢、實(shí)施、工程、運(yùn)行維護(hù)、軟件開發(fā)、系統(tǒng)集成等服務(wù)的信息技術(shù)服務(wù)商，整個(gè)供應(yīng)商隊(duì)伍十分龐雜。供應(yīng)商、承包商、技術(shù)供應(yīng)商等經(jīng)常需要直接訪問系統(tǒng)。對于身份認(rèn)證和訪問控制管理不善，攻擊者可以能夠通過第三方賬戶很容易地利用過度擴(kuò)展的憑證訪問企業(yè)網(wǎng)絡(luò)，并嘗試跳轉(zhuǎn)到更多的系統(tǒng)和網(wǎng)絡(luò)。多年來，許多組織也同樣遭遇到跨站攻擊。

2網(wǎng)絡(luò)安全管理對策研究

2.1 深入開展網(wǎng)絡(luò)安全意識教育

每年開展一次全員網(wǎng)絡(luò)安全意識教育，結(jié)合當(dāng)前國內(nèi)外信息安全態(tài)勢、個(gè)人面臨的網(wǎng)絡(luò)安全威脅，對常見網(wǎng)絡(luò)攻擊手段以及日常防范方法進(jìn)行詳細(xì)普及。同時(shí)，以學(xué)促選，開發(fā)在線教育視頻課程，納入全員學(xué)習(xí)課程范圍。另外，每年開展一次“網(wǎng)絡(luò)安全宣傳周”活動，通過視頻宣傳、平面展覽、新媒體宣傳等多種形式開展網(wǎng)絡(luò)安全知識技能的宣傳普及，提高全員網(wǎng)絡(luò)安全意識，營造良好的網(wǎng)絡(luò)安全環(huán)境，打造正確的網(wǎng)絡(luò)安全觀。

2.2 完善網(wǎng)絡(luò)安全制度體系

根據(jù)國家法律法規(guī)、標(biāo)準(zhǔn)規(guī)范以及國際ISO27001標(biāo)準(zhǔn)等，結(jié)合實(shí)際，逐步建立起主體責(zé)任清晰、業(yè)務(wù)流程健全的網(wǎng)絡(luò)安全制度，包括總體信息安全管理、信息安全責(zé)任制、等級保護(hù)、機(jī)房管理、網(wǎng)絡(luò)管理等方面，內(nèi)容覆蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全、系統(tǒng)建設(shè)和運(yùn)維安全等層面。另外，要逐步建立以文檔化為基準(zhǔn)的多層次網(wǎng)絡(luò)安全管理制度體系。持續(xù)跟蹤網(wǎng)絡(luò)安全發(fā)展動態(tài)，定時(shí)對制度進(jìn)行修訂、評估。

2.3 加強(qiáng)網(wǎng)絡(luò)安全組織機(jī)構(gòu)建設(shè)

企業(yè)層面成立一把手任組長、各部門主要負(fù)責(zé)人為成員的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，統(tǒng)一籌劃網(wǎng)絡(luò)安全工作。明確網(wǎng)絡(luò)安全工作的歸口管理部門以及部門職責(zé)。另外，將網(wǎng)絡(luò)安全管理納入企業(yè)HSSE管理體系，成立網(wǎng)絡(luò)安全專業(yè)分委會，由分管領(lǐng)導(dǎo)任分委會主任，定期召開月度、季度例會，研究部署網(wǎng)絡(luò)安全工作，協(xié)調(diào)解決實(shí)際問題。

2.4 強(qiáng)化網(wǎng)絡(luò)安全管理隊(duì)伍

設(shè)立網(wǎng)絡(luò)安全管理崗位，配備網(wǎng)絡(luò)安全專職管理人員，牽頭負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全管理工作，各部門、二級單位配備專（兼）職網(wǎng)絡(luò)安全管理員，協(xié)助開展、落實(shí)有關(guān)工作，形成 “橫向到邊、縱向到底、直線貫通”的網(wǎng)絡(luò)安全隊(duì)伍保障體系。另外，定期通過邀請講師、選送外派等方式開展網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，逐步打造具有較強(qiáng)實(shí)踐能力和創(chuàng)新能力的專業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)，不斷提升網(wǎng)絡(luò)信息安全創(chuàng)新能力和保障能力。

2.5 嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任

按照“誰主管誰負(fù)責(zé)、誰建設(shè)誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”和“屬地化”原則，分解落實(shí)網(wǎng)絡(luò)安全責(zé)任。信息管理部門、系統(tǒng)使用部門、系統(tǒng)建設(shè)單位、系統(tǒng)運(yùn)維單位的網(wǎng)絡(luò)安全責(zé)任逐一細(xì)化落實(shí)，不留安全死角。通過強(qiáng)化績效考核、建立問責(zé)追責(zé)機(jī)制等有效措施，壓緊壓實(shí)各級網(wǎng)絡(luò)安全責(zé)任，切實(shí)做到守土有責(zé)、守土負(fù)責(zé)、守土盡責(zé)。另外，與全體員工簽訂《網(wǎng)絡(luò)安全承諾書》，驅(qū)動全員參與網(wǎng)絡(luò)安全建設(shè)構(gòu)筑網(wǎng)絡(luò)安全屏障。

2.6 確保供應(yīng)鏈安全

企業(yè)須與服務(wù)商簽訂網(wǎng)絡(luò)安全保密協(xié)議，確保敏感信息不外泄。針對系統(tǒng)建設(shè)服務(wù)應(yīng)簽訂協(xié)議或合同，外包軟件開發(fā)的，在軟件交付前檢測其中可能存在的惡意代碼并保證開發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南，保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道;針對運(yùn)維服務(wù)應(yīng)簽訂協(xié)議或合同，明確所有相關(guān)的安全要求，如可能涉及對敏感信息的訪問、處理、存儲要求，IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求。另外，細(xì)致篩查為供應(yīng)商、運(yùn)維廠商等開啟的VPN、遠(yuǎn)程桌面、SSH、系統(tǒng)特權(quán)賬號密碼，關(guān)閉過期或無用的服務(wù)和賬號。

3結(jié)束語

對于石油化工企業(yè)來說，互聯(lián)網(wǎng)和信息系統(tǒng)幾乎承載了所有的生產(chǎn)經(jīng)營管理和對外服務(wù)，一旦發(fā)生重大網(wǎng)絡(luò)和信息安全問題，后果不堪設(shè)想。本文在深入分析企業(yè)網(wǎng)絡(luò)安全管理中存在問題的基礎(chǔ)上，圍繞全員網(wǎng)絡(luò)安全意識、組織機(jī)構(gòu)建設(shè)、人員隊(duì)伍建設(shè)、制度體系建設(shè)、安全責(zé)任落實(shí)、供應(yīng)鏈安全等方面，研究提出了提升網(wǎng)絡(luò)安全管理的對策，構(gòu)建了相對完善的網(wǎng)絡(luò)安全管理體系，對于充分發(fā)揮信息技術(shù)在企業(yè)“轉(zhuǎn)方式”、“提質(zhì)量”、“增效益”中的作用提供了保障。另外，本文提出的對策具有極強(qiáng)的擴(kuò)展性和復(fù)制性，為其他組織網(wǎng)絡(luò)安全管理水平提升提供了有益的思路與參考。

參考文獻(xiàn)

[1] Piggin R. Cyber security trends： What should keep CEOs awake at night[J]. International Journal of Critical Infrastructure Protection，2016（13）：36-38.

[2] Chen T M. Stuxnet， the real start of cyber warfare？ [J]. IEEE Network，2010，24（6）：2-3.

[3] 張揚(yáng).工業(yè)控制系統(tǒng)入侵檢測技術(shù)研究[D].成都：電子科技大學(xué)，2018.

[4] 溫哲.石油化工企業(yè)的信息安全風(fēng)險(xiǎn)管理研究[D].北京：北京理工大學(xué)，2016.

[5] 孫明. 國有企業(yè)中的信息安全管理和應(yīng)用分析[J].信息與電腦，2019（13）：208-209.

[6] 何洪峰，張穗強(qiáng).企業(yè)落實(shí)網(wǎng)絡(luò)安全責(zé)任思考與實(shí)踐[J].廣大公安科技，2018（2）：47-49.

作者簡介

陳勇（1989-），男;畢業(yè)院校：東華大學(xué)，專業(yè)：機(jī)械制造及其自動化，學(xué)歷：碩士研究生，職稱：工程師，現(xiàn)就職單位：中國石化銷售股份有限公司華東分公司，研究方向：網(wǎng)絡(luò)安全與兩化融合管理。