关注石油企业内外网安全

　　随着社会信息化建设进程的不断深入，石油企业对信息系统与IT技术的依赖程度不断加深，企业核心业务系统都已架构在IT平台之上。IT基础设施已经成为是整个组织业务的重要支撑。信息技术飞速发展为保障石油企业业务目标的实现奠定了坚实基础，但与此同时，保障IT基础设施的安全性，保障所承载业务的业务的安全性，也日渐成为大家所关注的焦点问题。

　　国家特别重视信息系统安全保护工作，确立了信息安全等级保护的基本指导思想。在2008年8月发布的中办[2003]27号文件中明确要求“要重点保护基础信息网络和关系国际安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作。对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。”

　　企业员工的违规使用行为不但导致重要信息意外泄露，给企业生产带来严重影响，造成巨大经济损失。特别是对于国有石油企业而言，网络安全的重要性不言而喻，其业务系统的稳定运行直接关系着社会秩序稳定，关系到国计民生的长远发展。国有石油企业网络安全建设在满足自身业务安全需求的基础上，必须遵循国家提出的等级保护等合规性工作要求。复杂的外部环境和来自于国家的合规性要求，这些使得石油企业都迫切需要提高信息安全保障能力，保证网络基础设施与业务系统的安全、可靠运行。

　　网络安全防护技术与产品多种多样，比如：访问控制、入侵检测、行文审计、数据加密、身份认证、网络准入控制、应用代理、网络地址转换、协议分析、异常流量清洗、数据防泄露、防病毒检测、终端安全管理等。没有哪一种独立的解决方案能够满足石油企业安全需求，只要将安全防护技术解密的结合在一起，才能充分发挥各自作用。通过将各种安全防护技术统一、全盘考虑，能够避免出现彼此之间相互抵触，导致防护水平降低现象出现。实现1+1>2的防护效果，切实保障石油企业网络信息安全。

　　知己知彼，百战不殆，在石油企业网络安全工作中，即要对所面临的对手-安全威胁与挑战有着深刻的理解，更要对自身业务系统脆弱性与安全需求有着清晰地认识。为了明确问题范围，深入理解企业当前面临的安全风险与问题，明确自身安全需求，石油企业首先对各个业务系统进行了安全评估。评估方位应当涵盖IT基础设备的各个方面，包括网络设备、服务器、应用系统、终端设备、互联网出口、管理制度与规范等多个方面的内容。通过进行安全评估与风险分析，明确了安全风险的范围、内容与严重程度，确定了工作目标与工作重点。在开展风险评估工作的同时，还应与有关权威部门合作，对已经定级应用系统开展了等级保护测评工作，对新上线系统进行定级备案，满足国家公安机关的合规性要求。

　　网络安全工作是一个系统工程，石油企业应以“统一标准、统一设计、统一建设、统一管理”作为工作指导思想，按照由外到内、层层深入、分区防护、纵深防御的思路进行网络安全防护建设。

　　网络安全工作纷繁芜杂，涉及到各个方面的工作内容。首先，应当明确不同工作内容的范围。对于主机安全、应用安全、数据安全与备份恢复等方面的工作内容，由各应用系统建设与维护人员考虑。对于物理安全、网络安全等具有一定共性安全内容，进行统一规划，按照统一的标准进行防护，制定标准的IT服务管理规范进行统一管理。石油企业网络安全工作的第一步应当界定内部网络与外部网络边界，对进入网络内部的途径进行梳理，对互联网出口按照统一标准进行管理，按照统一标准进行安全防护。互联网出口是外部用户访问企业信息系统的重要途径，同时也是安全威胁进入企业网络的重要途径。多个出口存在重大安全隐患，出口越多，入侵者进入内部网络的途径就越多，在运维过程中也难以统一管理。针对互联网出口多，互联网出口安全防护标准不一致，容易受到外部入侵等安全威胁的问题，首先统一互联网出口。石油企业应根据用户及应用系统的使用需求，对互联网出口进行统一规划，制定了统一的出口防护标准，并按照标准进行了统一安全防护。通过对互联网出口统一规划、统一防护、统一管理，减少了入侵者通过网络接入企业内部网络的途径，提高了企业网络边界安全防护能力。通过应用代理技术隐蔽企业网络信息，通过网络地址转换技术改变IP地址内容，降低入侵者通过互联网出口直接渗透进入内部网络可能性。

　　第二，对用户访问权限进行了划分。并非所有用户都具有互联网访问权限，只有业务需求的用户，填写纸质申请表经过上级领导审批后才能开通互联网访问权限。用户使用Ukey进行身份认证，以Ukey作为用户身份的唯一标识，实现用户访问行为实名制管理，避免用户名口令方式存在的漏洞。传统的安全违规事件定位方式是通过IP地址进行问题定位，这种方式进行事件处理费时费力，特别是在大规模复杂结构的网络环境中，基本上很难实现及时、准确定位的目标。为了在违规事件发生后能实现问题来源快速准确定位，将用户访问行为信息与用户身份标识进行绑定，发生违规事件后，通过用户信息而不是IP地址进行迅速定位与响应。

　　第三，规范用户的互联网使用行为，避免用户访问具有安全风险的内容给自身和企业带来危害。通过行为审计技术对用户的互联网访问内容进行记录与审计。发生安全事件后可以根据审计记录定位事件发生时间及来源。审计设备记录了所有用户访问互联网所有内容，部分信息中还包括违规发送的涉密信息，因此，在审计记录访问权限分配制过程中，要按照安全审计职责分离的要求设置不同权限的用户，避免系统管理员处理过程中接触涉密文件导致的二次泄密事件。

　　第四，制定和实施相关管理制度与规范。信息安全“三分技术、七分管理”，石油企业安全目标的实现，不但要以先进、成熟、可靠的技术作为支撑和保障，更需要制定相应管理办法与规范作为依托，通过建立和健全完整的安全管理制度与规范对用户使用行为进行管理。参照全球最佳安全管理实践，建立标准和规范的IT服务运维管理流程。通过标准化流程，规范系统运维与管理工作，

　　第五，企业各级员工广泛参与。网络安全工作，不仅仅只是石油企业个别部门或个别人员的责任，需要各个部门，各级领导和广大员工的广泛参与、配合与支持。只有石油企业内部各级员工积极主动地在日常工作中按照要求合规使用，才能实现事半功倍的效果，预期的安全目标才能更快更好的实现。为了督促企业内部用户自觉执行信息安全管理办法与相关规范，石油企业应建立监督与考核机制，制定并执行相应的考核指标与考核管理办法，建立通报表扬与批评制度。以月，或者季度为周期进行检查与考核，对考核结果进行统一排名并通过通知或者公告方式在企业范围内进行发布，对排名靠前的部门或员工进行奖励，督促排名靠后的部门或员工及时进行改进，通过人力资源配合，将考核结果纳入部门、个人年度工作绩效考核中。

　　石油企业网络安全建设涉及到方方面面，是一个系统工程，在实践过程中，要充分考虑自身的业务特点与安全需求，深刻理解国家有关法律法规，满足国家有关机关的合规性要求。石油企业安全目标的实现离不开各级领导与全体员工的广泛参与和支持，员工的广泛参与和帮助是实现组织安全目标的重要保障。新的技术不断出现和应用，风险与威胁不断变化，面对变化万千的网络虚拟世界，企业只有与时俱进，勇于创新，才能适应持续变化的信息安全风险与威胁，保障石油企业业务目标的实现。

　　中国石油天然气集团公司 詹峰