淺析管道企業(yè)網(wǎng)絡(luò)安全存在的問題與對(duì)策

張穎

【摘 ?要】隨著信息技術(shù)發(fā)展，我國各行各業(yè)遭受網(wǎng)絡(luò)攻擊頻次越來越多，且難度越來越大。我國作為能源生產(chǎn)和消耗大國，油氣管道里程已達(dá)16.5萬公里，已基本形成油氣管道網(wǎng)絡(luò)。龐大的管道網(wǎng)絡(luò)就需要更加復(fù)雜和可靠的網(wǎng)絡(luò)安全信息系統(tǒng)來作為支撐，特別是企業(yè)對(duì)網(wǎng)絡(luò)安全重視程度也不夠、管理體系不完善、對(duì)網(wǎng)絡(luò)安全管理不嚴(yán)且缺乏相應(yīng)的技術(shù)措施，就很容易造成網(wǎng)絡(luò)遭受攻擊，從而導(dǎo)致網(wǎng)絡(luò)安全事件的發(fā)生。為提高油氣管道企業(yè)網(wǎng)絡(luò)安全水平，本文立足現(xiàn)有管道企業(yè)網(wǎng)絡(luò)安全管理實(shí)際，針對(duì)當(dāng)前存在的問題淺要分析了管道企業(yè)網(wǎng)絡(luò)安全問題的對(duì)策，要重視管道企業(yè)網(wǎng)絡(luò)安全、建立完善網(wǎng)絡(luò)安全管理規(guī)定、加強(qiáng)網(wǎng)絡(luò)安全管理、強(qiáng)化網(wǎng)絡(luò)安全技術(shù)防護(hù)，保障管道企業(yè)網(wǎng)絡(luò)信息系統(tǒng)能夠安全平穩(wěn)運(yùn)行。

【關(guān)鍵詞】管道企業(yè);網(wǎng)絡(luò)安全;問題;對(duì)策

隨著我國信息技術(shù)快速且迅猛的發(fā)展，遭受到網(wǎng)絡(luò)攻擊的頻次越來越多，而且難度越來越大，網(wǎng)絡(luò)攻擊已經(jīng)嚴(yán)重威脅到了國家和各個(gè)企業(yè)的安全。近年來，各國國家和相關(guān)企業(yè)都長期遭受網(wǎng)絡(luò)攻擊的困擾。2018年，臺(tái)積電遭受到勒索病毒的入侵，造成了約17.6億元的損失;2019年，孟加拉國、印度和斯里蘭卡等地區(qū)的銀行持續(xù)遭受黑客Silence的攻擊，盜走了約數(shù)百萬美元的財(cái)產(chǎn);特別是2020年美國最大燃油運(yùn)輸商克羅尼爾公司受到了一次強(qiáng)有力的網(wǎng)絡(luò)攻擊，導(dǎo)致該公司被迫關(guān)停了壓縮設(shè)施，停運(yùn)了5050公里的管道，給經(jīng)濟(jì)造成了巨大損失，美國宣布國家進(jìn)入緊急狀態(tài)。網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻，特別需要我國各行各業(yè)在網(wǎng)絡(luò)安全領(lǐng)域能夠有自己保護(hù)自己的能力，而國家油氣管網(wǎng)作為一家剛成立不久的新單位，面臨的壓力就更大巨大。我國是世界上最大的能源生產(chǎn)和消耗國家，截至2020年底我國又新建了5081公里管道，油氣管道總長度達(dá)16.5萬公里。管道總長度排名全球第四，其中天然氣管道達(dá)到10.2萬公里，成品油管線達(dá)到3.2萬公里，原油管線達(dá)到3.1萬公里，已基本形成油氣管道網(wǎng)絡(luò)。如此龐大的管道網(wǎng)絡(luò)就需要更加復(fù)雜和可靠的網(wǎng)絡(luò)安全信息系統(tǒng)來作為支撐，就會(huì)造成國家管道網(wǎng)絡(luò)運(yùn)營存在更大的危險(xiǎn)因素，特別是部分下級(jí)企業(yè)和基層站隊(duì)對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)缺失、重視程度也不夠，就很容易造成網(wǎng)絡(luò)遭受攻擊，從而導(dǎo)致網(wǎng)絡(luò)安全事件的發(fā)生，使管道企業(yè)受到威脅或勒索[1]。在數(shù)字時(shí)代，特別需要企業(yè)自身具備較強(qiáng)的網(wǎng)絡(luò)安全意識(shí)，做好制度體系建設(shè)和網(wǎng)絡(luò)安全管理，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)措施。

1油氣管道網(wǎng)絡(luò)安全的意義

網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件、電腦和系統(tǒng)中的相關(guān)工作數(shù)據(jù)受到保護(hù)，避免在遭受到偶然或故意攻擊時(shí)系統(tǒng)軟件遭到破壞、數(shù)據(jù)遭到損毀或竊取，保障網(wǎng)絡(luò)能夠正常運(yùn)行，確保系統(tǒng)處于連續(xù)穩(wěn)定可靠運(yùn)行的狀態(tài)。我國是能源生產(chǎn)和消耗大國，在成立國家管網(wǎng)以后，國內(nèi)的油氣管道運(yùn)輸企業(yè)得到了迅速發(fā)展，在社會(huì)主義現(xiàn)代化進(jìn)程下，管道運(yùn)輸企業(yè)的網(wǎng)絡(luò)安全問題不僅影響了企業(yè)的安全平穩(wěn)運(yùn)行，而且對(duì)企業(yè)市場(chǎng)的開拓等方面都有很大的關(guān)系。隨著信息技術(shù)的發(fā)展，信息系統(tǒng)和網(wǎng)絡(luò)在管道企業(yè)的應(yīng)用也越來越廣，涉及采購、規(guī)劃計(jì)劃、生產(chǎn)運(yùn)行、銷售、財(cái)務(wù)、人員績效管理等多個(gè)方面。在管道生產(chǎn)運(yùn)行環(huán)節(jié)，信息系統(tǒng)會(huì)控制設(shè)備啟停、閥門開關(guān)等實(shí)現(xiàn)油氣輸送自動(dòng)化運(yùn)行;在銷售環(huán)節(jié)，員工會(huì)利用信息系統(tǒng)對(duì)各項(xiàng)管輸信息進(jìn)行錄入和核對(duì)，來實(shí)現(xiàn)油氣銷售交接等工作;在管道巡護(hù)環(huán)節(jié)，管道保護(hù)工會(huì)利用管道巡護(hù)系統(tǒng)、無人機(jī)、攝像頭等設(shè)備實(shí)現(xiàn)無法進(jìn)入地區(qū)遠(yuǎn)程監(jiān)控;在管道維護(hù)保養(yǎng)環(huán)節(jié)，會(huì)利用管道清管信息系統(tǒng)收集管壁變形、清理雜質(zhì)等數(shù)據(jù);甚至在企業(yè)內(nèi)部后勤和辦公都與信息系統(tǒng)緊密相關(guān)，工作管理中會(huì)利用公文系統(tǒng)進(jìn)行文件接收、發(fā)布和信息錄入等，可以說信息系統(tǒng)貫穿了企業(yè)的每一個(gè)環(huán)節(jié)和角落。管道企業(yè)的網(wǎng)絡(luò)安全對(duì)管道企業(yè)發(fā)展有著重要意義，如果說在網(wǎng)絡(luò)安全方面造成問題，就有可能造成網(wǎng)絡(luò)受到黑客攻擊或勒索，影響油氣管道輸送正常運(yùn)營，導(dǎo)致其他生產(chǎn)行業(yè)停滯，造成不可估量的損失。

2油氣管道網(wǎng)絡(luò)安全存在的問題

2.1 對(duì)網(wǎng)絡(luò)安全不夠重視

隨著科學(xué)技術(shù)和信息網(wǎng)絡(luò)的迅猛發(fā)展，部分管道企業(yè)管理人員自身就缺少網(wǎng)絡(luò)安全管理相關(guān)知識(shí)，接觸的網(wǎng)絡(luò)安全培訓(xùn)較少，其管理思想和意識(shí)等都逐步與企業(yè)信息現(xiàn)代化需求出現(xiàn)差異。正如部分管道企業(yè)管理者對(duì)于信息戰(zhàn)略和黑客攻擊接觸和了解較少，對(duì)網(wǎng)絡(luò)安全重要性存在欠缺[2]，對(duì)網(wǎng)絡(luò)安全當(dāng)前面臨的危險(xiǎn)形勢(shì)認(rèn)識(shí)不夠，僅僅是認(rèn)為有網(wǎng)絡(luò)維保單位就能保障企業(yè)網(wǎng)絡(luò)安全，并沒有認(rèn)識(shí)到傳統(tǒng)的網(wǎng)絡(luò)維保依靠網(wǎng)絡(luò)軟件輔助人工進(jìn)行維護(hù)，運(yùn)行效率低下，無法對(duì)現(xiàn)有的高速網(wǎng)絡(luò)攻擊進(jìn)行應(yīng)對(duì)。管道企業(yè)部分分公司甚至沒有網(wǎng)絡(luò)安全管理相關(guān)部門，沒有專人負(fù)責(zé)網(wǎng)絡(luò)安全管理。特別是管道企業(yè)在信息系統(tǒng)建設(shè)過程中，對(duì)網(wǎng)絡(luò)安全考慮得較少，對(duì)網(wǎng)絡(luò)安全保障資金投入較少，網(wǎng)絡(luò)安全專業(yè)管理人才更是缺失等問題，就很可能導(dǎo)致發(fā)生網(wǎng)絡(luò)安全問題，影響企業(yè)安全平穩(wěn)發(fā)展。

2.2對(duì)網(wǎng)絡(luò)安全管理體系不完善

管道企業(yè)信息管理需要建立一個(gè)專門的網(wǎng)絡(luò)安全管理制度來保障信息網(wǎng)絡(luò)運(yùn)行安全平穩(wěn)。部分分公司常常忽略了網(wǎng)絡(luò)安全管理，不僅沒有專職的網(wǎng)絡(luò)安全管理部門，而且網(wǎng)絡(luò)安全管理制度直接引用上級(jí)網(wǎng)絡(luò)安全管理制度，并沒有根據(jù)自身網(wǎng)絡(luò)實(shí)際情況進(jìn)行修訂，使得制度不完善。部分企業(yè)雖然建立了網(wǎng)絡(luò)安全相關(guān)制度，但是并沒有針對(duì)制度內(nèi)容進(jìn)行細(xì)致安排部署，也沒有組織培訓(xùn)對(duì)員工進(jìn)行宣傳學(xué)習(xí)，使得網(wǎng)絡(luò)安全制度并沒有起到安全效果。在信息系統(tǒng)建設(shè)的同時(shí)就應(yīng)該考慮信息系統(tǒng)安全防護(hù)措施和管理制度。有的企業(yè)在信息系統(tǒng)建設(shè)的時(shí)候，往往只考慮企業(yè)生產(chǎn)運(yùn)營所需要的的功能，往往忽略了系統(tǒng)的安全管理要求，使得系統(tǒng)容易存在安全漏洞，甚至有可能在信息設(shè)計(jì)的時(shí)候就帶有病毒，對(duì)企業(yè)網(wǎng)絡(luò)安全形成了嚴(yán)重的隱患[3]。在系統(tǒng)投入運(yùn)行以后，需要定期對(duì)系統(tǒng)進(jìn)行維護(hù)保養(yǎng)，特別是要根據(jù)現(xiàn)行網(wǎng)絡(luò)狀況進(jìn)行安全檢查和升級(jí)，而部分企業(yè)忽略了維護(hù)保養(yǎng)，多數(shù)系統(tǒng)從建立至今沒有針對(duì)網(wǎng)絡(luò)進(jìn)行過一次更新，更沒有對(duì)漏洞進(jìn)行修復(fù)，安全隱患非常大，極易造成網(wǎng)絡(luò)安全事故的發(fā)生。所以有必要隨信息系統(tǒng)開發(fā)、建設(shè)、運(yùn)行、維護(hù)周期，建立一套網(wǎng)絡(luò)安全系統(tǒng)全生命周期管理制度，保障信息系統(tǒng)及時(shí)更新。

2.3 對(duì)網(wǎng)絡(luò)安全管理不嚴(yán)

網(wǎng)絡(luò)安全管理是為了保證網(wǎng)絡(luò)安全，保障信息系統(tǒng)能安全平穩(wěn)運(yùn)行。但是在管道企業(yè)里，部分單位存在重視網(wǎng)絡(luò)信息系統(tǒng)建立卻輕視了信息系統(tǒng)管理，重視信息系統(tǒng)應(yīng)用卻輕視了網(wǎng)絡(luò)安全的現(xiàn)象。在信息系統(tǒng)網(wǎng)絡(luò)管理和運(yùn)行維護(hù)等方面存在問題，特別是部分單位在人員進(jìn)出管理上不嚴(yán)格，沒有實(shí)行嚴(yán)格進(jìn)出及事項(xiàng)登記工作，同時(shí)員工在進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)缺少明確的IP準(zhǔn)入、信息系統(tǒng)賬號(hào)存在紊亂，針對(duì)信息系統(tǒng)漏洞的問題沒有定期進(jìn)行安全檢查和更新，在問題發(fā)現(xiàn)以后也沒有進(jìn)行任何處理，導(dǎo)致網(wǎng)絡(luò)安全問題整改閉環(huán)不嚴(yán)格。在第三方維保公司進(jìn)入單位后，沒有針對(duì)性進(jìn)行安全教育，對(duì)運(yùn)行維保人員管理不嚴(yán)格、把工作任務(wù)交給維保人員時(shí)沒有全程跟蹤和陪同，容易對(duì)網(wǎng)絡(luò)安全形成隱患。這些問題通常就是導(dǎo)致網(wǎng)絡(luò)安全受到攻擊的重要因素，而且在發(fā)生網(wǎng)絡(luò)安全事故后又無法及時(shí)信息上報(bào)和對(duì)事故進(jìn)行處置，導(dǎo)致更加嚴(yán)重的損失發(fā)生。

3淺析管道企業(yè)網(wǎng)絡(luò)安全問題的對(duì)策

3.1 要重視管道企業(yè)網(wǎng)絡(luò)安全

管道企業(yè)要清晰認(rèn)識(shí)到當(dāng)前的國家網(wǎng)絡(luò)安全形勢(shì)確實(shí)非常嚴(yán)峻，要提高全體員工網(wǎng)絡(luò)安全防范意識(shí)，嚴(yán)格落實(shí)國家相關(guān)網(wǎng)絡(luò)安全法律法規(guī)相關(guān)要求。嚴(yán)格落實(shí)管道行業(yè)網(wǎng)絡(luò)安全職責(zé)，成立企業(yè)信息化工作領(lǐng)導(dǎo)小組，企業(yè)主要同志作為網(wǎng)絡(luò)安全第一責(zé)任人，負(fù)責(zé)落實(shí)國家網(wǎng)絡(luò)安全政策、法規(guī)和相關(guān)部署，制定公司網(wǎng)絡(luò)安全工作政策。把網(wǎng)絡(luò)安全責(zé)任細(xì)化到責(zé)任部門，負(fù)責(zé)組織制定企業(yè)網(wǎng)絡(luò)安全解決方案、規(guī)章制度和技術(shù)規(guī)范，并監(jiān)督落實(shí)。安排具體的崗位負(fù)責(zé)組織開展公司網(wǎng)絡(luò)安全檢查、演練、通報(bào)、問題整改、考核和培訓(xùn)等工作，組織開展企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作。企業(yè)一定要保障網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行，加大網(wǎng)絡(luò)安全經(jīng)費(fèi)投入。各分公司要組織員工配齊專職網(wǎng)絡(luò)安全管理隊(duì)伍，定期開展公司網(wǎng)絡(luò)安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估工作。強(qiáng)化對(duì)全體員工網(wǎng)絡(luò)安全管理培訓(xùn)，同時(shí)要定期組織網(wǎng)絡(luò)安全應(yīng)急預(yù)案演練。若有網(wǎng)絡(luò)安全突發(fā)事件的發(fā)生，各級(jí)員工一定要熟悉信息安全事件上報(bào)的流程，并采取相應(yīng)的前期處置措施。

3.2 建立完善網(wǎng)絡(luò)安全管理規(guī)定

為規(guī)范和加強(qiáng)管道企業(yè)網(wǎng)絡(luò)安全管理工作，切實(shí)提高網(wǎng)絡(luò)安全管理水平和技術(shù)防護(hù)能力，有效控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障信息化基礎(chǔ)設(shè)施和信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行，建立完善網(wǎng)絡(luò)安全管理規(guī)定。規(guī)定應(yīng)覆蓋網(wǎng)絡(luò)安全建設(shè)管理全范圍，要包括管理領(lǐng)導(dǎo)小組和負(fù)責(zé)人、購置固定資產(chǎn)管理、開發(fā)建設(shè)管理、運(yùn)行與維護(hù)管理、網(wǎng)絡(luò)安全檢查、安全風(fēng)險(xiǎn)評(píng)估、員工教育培訓(xùn)等多個(gè)方面。制定細(xì)致的安全管理操作規(guī)程，針對(duì)不同的管理層次劃分不同的管理責(zé)任，明確網(wǎng)絡(luò)安全管理總的方針和安全管理制度，細(xì)化具體的日常網(wǎng)路管理操作規(guī)程，保障網(wǎng)絡(luò)始終處于一個(gè)安全平穩(wěn)受控的狀態(tài)。針對(duì)信息系統(tǒng)建設(shè)，項(xiàng)目的承擔(dān)單位應(yīng)該按照網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，保證信息系統(tǒng)與安全防護(hù)措施同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投入使用，采取相應(yīng)的管理措施及技術(shù)防范措施履行網(wǎng)絡(luò)安全義務(wù)。立項(xiàng)階段，可行性研究報(bào)告應(yīng)明確信息系統(tǒng)和數(shù)據(jù)的等級(jí)保護(hù)級(jí)別、涉密級(jí)別及災(zāi)難恢復(fù)級(jí)別，并根據(jù)相應(yīng)的級(jí)別編寫網(wǎng)絡(luò)安全保護(hù)方案和投資估算。建設(shè)階段，項(xiàng)目承擔(dān)單位要加強(qiáng)防護(hù)，組織人員對(duì)代碼安全定期進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)和修補(bǔ)系統(tǒng)存在的漏洞;開發(fā)測(cè)試環(huán)境與運(yùn)行環(huán)境隔離，進(jìn)行測(cè)試時(shí)不得使用企業(yè)中真實(shí)生產(chǎn)數(shù)據(jù)，保障網(wǎng)絡(luò)安全。信息系統(tǒng)建設(shè)單位應(yīng)與供應(yīng)商和服務(wù)提供商簽訂網(wǎng)絡(luò)安全保密協(xié)議，明確網(wǎng)絡(luò)安全保密責(zé)任與義務(wù)，審核產(chǎn)品供應(yīng)商和服務(wù)商提供相關(guān)資質(zhì)。外圍單位提供維保時(shí)服務(wù)時(shí)，要有內(nèi)部人員全程陪同，禁止其接觸企業(yè)核心數(shù)據(jù)和關(guān)鍵操作業(yè)務(wù)，保障各個(gè)環(huán)節(jié)全生命周期網(wǎng)絡(luò)安全。

3.3 加強(qiáng)網(wǎng)絡(luò)安全管理

管道企業(yè)要加強(qiáng)網(wǎng)絡(luò)安全管理，從部門及員工職責(zé)、網(wǎng)絡(luò)安全管理內(nèi)容、IP地址管理、終端計(jì)算機(jī)安全管理、網(wǎng)絡(luò)設(shè)施安全管理、信息系統(tǒng)安全管理、數(shù)據(jù)安全管理等多個(gè)方面明確網(wǎng)絡(luò)安全管理要求，做好過程管理和記錄，全方位把控網(wǎng)絡(luò)安全。強(qiáng)化部門和員工職責(zé)就是明確科技信息處負(fù)責(zé)公司網(wǎng)絡(luò)安全管理，各部門負(fù)責(zé)安全自查和問題整改工作。強(qiáng)化IP地址管理，就是統(tǒng)一由管道企業(yè)技術(shù)中心分配IP，單位和個(gè)人應(yīng)嚴(yán)格使用自己的IP，嚴(yán)禁用他人IP登錄內(nèi)部網(wǎng)絡(luò)，嚴(yán)禁私自亂設(shè)IP地址。強(qiáng)化終端計(jì)算機(jī)安全管理，就是要實(shí)行實(shí)名注冊(cè)，設(shè)置強(qiáng)密碼口令進(jìn)行保護(hù)，安裝管道企業(yè)統(tǒng)一的安全防護(hù)軟件和認(rèn)證系統(tǒng)，實(shí)現(xiàn)端點(diǎn)準(zhǔn)入和文檔安全防護(hù)功能。強(qiáng)化網(wǎng)絡(luò)設(shè)施安全管理，采用網(wǎng)絡(luò)安全技術(shù)與設(shè)備，如加密技術(shù)、訪問控制技術(shù)、防火墻設(shè)備、網(wǎng)絡(luò)設(shè)備與鏈路的冗余系統(tǒng)等實(shí)現(xiàn)網(wǎng)絡(luò)安全域的保障與防護(hù)。強(qiáng)化信息系統(tǒng)安全管理，遵從當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求開展定級(jí)、備案、檢查和測(cè)評(píng)等工作，項(xiàng)目承擔(dān)單位須委托有資質(zhì)的評(píng)估機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，測(cè)評(píng)中發(fā)現(xiàn)的問題應(yīng)及時(shí)制定相應(yīng)的措施進(jìn)行整改。強(qiáng)化數(shù)據(jù)安全管理，規(guī)范數(shù)據(jù)分類、存儲(chǔ)、備份、傳輸、銷毀及涉密數(shù)據(jù)保密等工作。

參考文獻(xiàn)：

[1]賈君君，屈憶欣.石油企業(yè)網(wǎng)絡(luò)安全形勢(shì)及對(duì)策研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2016（03）：64-66+70.

[2]徐慧敏.石油企業(yè)網(wǎng)絡(luò)信息安全監(jiān)控技術(shù)研究[J].信息通信，2016（06）：146-147

[3]趙洪濤.石油企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀及對(duì)策[J].信息化建設(shè)，2016（06）：22.