司龙龙
14051119861105**** 山西太原 030000
摘要:信息技术在石油化工企业的管理与生产上起到了极强的助力作用。但因信息技术的虚拟性和开放性,在享受其带来的便利的同时也需要对企业的信息安全保持关注。本文以企业信息安全风险管理的重要性为基础,根据实际情况,对管控信息安全风险的措施进行介绍,以期对我国石油企业的信息安全建设提供参考。
关键词:石油化工企业;信息安全;风险管理
引言:为紧跟国内经济发展的步伐,实现与发展战略的接轨,石油化工企业需提高信息化水平,利用信息技术在企业管理与生产统筹上的高效与稳定,实现降低生产成本、抢占市场份额、提升核心竞争力的目的。在技术的应用中,企业信息安全风险的管理是其中极为重要的部分,对促进企业的健康发展有重要意
为与新的发展战略与国际形势接轨,我国石油化工企业在日常的管理统筹与生产工作中对信息技术已经广泛投入使用,这极大的便利了信息的收集、整理、传递等需要耗费大量人力的工作,但也带来了一定的信息安全隐患[1]。信息技术
-
因其实现形式所固有的虚拟性与开放性,导致在实际开展工作的过程中石油化工企业极易受到外部的攻击与恶意入侵。因化石资源相关问题在国际范围内日趋严峻,而石油化工企业因其在资源加工、储备与运输上的独占性,往往掌握着与国际资源形势相关的第一手机密材料,若这些机密材料泄露,必将对企业造成极大损失,对企业发展的不良影响不可估量。
当前,石油化工企业的信息安全风险管理工作虽已有一定的进步,但在应对复杂的网络环境的过程中,仍存在诸多问题:一是,体系建设问题,我国石油化工企业虽然已开展信息安全建设,但对具体实施中的相关制度与守则没有明确制定、对信息安全风险管理流程没有明确的标准,使得在实际工作过程中没有经验可循,信息化管理环节缺失,进而导致信息安全风险增加;二是,安全意识问题,具体体现在企业工作人员安全意识较为薄弱,常因内部因素如误操作等问题导致数据的泄露、篡改与删除,同时大量石油化工企业的的网络运行信息安全体系仍不规范,在实际生产工作的过程中存在极大的信息安全隐患;三是,安全理念问题,没有对企业信息安全状态进行相关模型的建立与维护,因而无法实现对隐含问题的趁早发现与及时解决。综合以上因素,我国石油化工企业的信息安全风险管理工作的加强迫在眉睫。
2石油化工企业信息安全风险管理实施措施
2.1健全信息安全风险管理流程
在企业信息安全风险管理的实际过程中,信息安全风险管理流程是需要优先确定的首要章程,其在整体的信息安全风险管理体系中处于指引与领导地位。信息安全风险管理流程在实际实行的过程中,需要时刻保持对企业信息系统进行监控分析,对于可能出现的风险隐患及时进行辨识与确认,根据其类型与规模对可能造成的危害进行评估预测,在敲定问题类型与问题范围后,根据企业系统的具体特点,按照措施备案对风险问题实施针对性的解决策略,从而保证企业的信息安全。在整个风险管理流程中风险预测处于较高的优先度,实际工作中及时的风险预测,意味着工作人员能趁早对问题种类进行分析,及时得出解决方案并将损失控制在最小,实现防患于未然。
信息风险管理流程一般需要搭配企业信息风险管理系统模型使用,这样才能根据模型发现系统中的风险问题,在解决问题后,再根据问题的具体信息完善模型,借助信息安全风险管理,实现企业信息安全管理体系的健康内循环。
2.2建设网络运行信息安全体系
网络信息技术在实现经济全球化、信息全球化上起着重要的作用。而石油化工企业作为与国家资源管理息息相关的重要企业,更应注意在网络信息安全风险管理这方面的建设。计算机网络相关的问题渗透了网络、服务器、计算机系统等各个环节,也是信息安全风险较高的区域。在对企业网络运行信息安全体系进行建立时,应安排有相关专业技术的人才按照企业实际环境进行设计,因网络问题多来自于外部,应在运用防火墙技术的基础上综合IDS、企业内加密技术等手段实现全面的网络运行系统[2]。防火墙技术通过在内网、外网之间构筑一道相对隔离的屏障,借以保护内部的用户信息与网络活动,借助采取不同安全策略的协议,防火墙可以实现对不同模式的入侵行为进行全面的防御。而IDS技术的高反应速率,可实现对问题的及时警报,配合安全加密技术,可将来自外部的网络信息安全风险管控在可控制范围。
2.3优化人为因素风险防范措施
除去因网络等外部因素的影响,信息安全管理人员也应注意到在工作过程中由人为因素引发的问题。严谨完善的信息安全管理体系不仅只包括理念与技术,对工作人员也提出了较高的要求。人为因素导致的误操作、信息泄露与篡改、数据清除等问题都会对使石油企业的信息安全风险系数出现极大的波动。为避免因人为因素导致的影响,应采取以下手段:第一,强化机构管理。与信息安全风险管理体系配套,应设立完善的信息安全管理机构,对机构内人员应进行严格的检查,确保其本身的安全性。第二,加强意识教育。应组织企业范围内的信息安全相关知识学习,因石油生产工作的特性,基层技术人员往往掌握相当的企业生产计划相关信息,应教育他们在日常生活中避免泄露相关知识。第三,严格制度实施。人为因素风险防范措施要求企业员工对信息安全相关制度严加遵守,对违反制度的个人或部门予以处罚,并对制度优化修正有贡献的个人或部门予以嘉奖,强化制度落实,推进信息安全风险的管理工作。
2.4建立脆弱性信息安全风险模型
为保证对企业信息安全风险进行管理控制,对信息安全问题进行监测、分析、发现、辨识,需要相关技术人员根据企业特点建立相应的模型,此处以脆弱性信息安全风险防护模型为例进行介绍。这一模型具体包括访问风险分析、入侵风险分析、敏感行为分析、加密安全分析等功能,而这些功能大多根据企业日常生产操作中可能出现的问题进行选用与添加。在实际运行过程中,脆弱性信息安全风险模型在对可能出现的问题进行综合分析后,搭配安全风险防护机制,可有效避免因外部恶意入侵造成的问题,同时,能对内部信息进行检测,进而提高企业内部信息系统的安全性。对脆弱性信息安全风险模型进行建立时,可结合相关异常访问日志库、病毒库与补丁库等,对模型中未录入的分析功能进行添加,对已录入的分析功能进行补强;技术人员也可通过具体的异常行为记录对模型进行维护调整,使其符合企业的实际使用需求,尽早识别信息系统中不安全因素,结合风险管理流程采取相应针对性措施对问题进行防范与解决。
结论:石油化工企业作为与能源相关的支柱产业,其发展进程在极大程度上影响了国家战略与国民生计等核心问题。只有做好在企业日常工作中对信息安全风险的管理与控制,才能让信息技术在管理与统筹工作中发挥作用,进而推动新时代新形势下我国石油产业在勘探、运输、加工、储备等方面的健康发展与稳定推进。
参考文献:
[1]于慧超.石油化工行业网络安全运营的探索与思考[J].石化技术,2020,27(03):222+225.
[2]谭学群.石油化工企业过程安全管理风险管控探析[J].中国化工贸易,2020,012(002):52-53.