淺談石油企業(yè)信息安全策略及解決方略

王浪

[摘 要] 通過分析石油企業(yè)在信息化建設(shè)中所面臨的信息安全問題，提出了保障企業(yè)信息安全的策略及解決方案。分別從管理和技術(shù)的角度，通過對(duì)設(shè)備運(yùn)行環(huán)境安全、系統(tǒng)運(yùn)行安全、網(wǎng)絡(luò)安全、訪問控制安全、數(shù)據(jù)庫安全、存儲(chǔ)安全這幾個(gè)方面論述了影響企業(yè)信息安全的因素，同時(shí)提出企業(yè)應(yīng)采取的安全策略和解決措施，闡明了全面構(gòu)筑信息安全體系，消除網(wǎng)絡(luò)安全隱患，做到防患于未然。

[關(guān)鍵詞] 石油企業(yè)信息安全安全策略解決方案

石油企業(yè)要提高競爭力，信息化水平是一個(gè)重要因素。而信息安全的風(fēng)險(xiǎn)隨著企業(yè)信息化水平的不斷提高而增加。沒有可靠的信息安全保障，就沒有企業(yè)的安全生產(chǎn)運(yùn)營，就會(huì)極大地降低企業(yè)在石油行業(yè)內(nèi)的競爭優(yōu)勢(shì)和生存空間。要保證信息安全，就必須首先制定相應(yīng)的安全策略，然后依據(jù)該策略結(jié)合企業(yè)的實(shí)際需要選定具體的解決方案，全面構(gòu)筑企業(yè)的信息安全體系，防止各種不安全因素帶來的信息安全隱患，做到防患于未然。

所謂信息安全是指信息的保密性、完整性、實(shí)用性和可靠性，即在信息的使用和存儲(chǔ)過程中，防止因偶然事件或人為因素造成信息被破壞或泄露，也就是要保障信息的有效性。

一、石油企業(yè)預(yù)防人為因素的方案

企業(yè)信息安全的防范不單純是一個(gè)技術(shù)問題，而是一個(gè)綜合性的問題，其中最重要的因素就是人的因素。在人的因素中，有些是無意的：如信息管理員、操作員安全配置不當(dāng)造成的安全漏洞；企業(yè)內(nèi)部終端用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，或是將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等；也有些是黑客的惡意攻擊，如以各種方式破壞信息的有效性和完整性；或在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息等。這些攻擊均可對(duì)信息安全造成極大的危害。對(duì)于這類人為因素，必須首先建立石油信息安全領(lǐng)導(dǎo)小組，設(shè)立安全領(lǐng)導(dǎo)小組辦公室，由企業(yè)負(fù)責(zé)人直接擔(dān)任組長，并逐級(jí)確立信息安全責(zé)任人，并且對(duì)信息中心的管理員、操作員，進(jìn)行必要的定期的信息安全教育，明確崗位職責(zé)、權(quán)限，簽訂崗前責(zé)任狀，以提高全員信息安全防范意識(shí)。同時(shí)制定信息安全制度，并采取相應(yīng)的措施以防止信息安全漏洞。

二、石油企業(yè)內(nèi)部技術(shù)防范的方案

從技術(shù)角度看，信息安全的防范包括：

（一）設(shè)備及環(huán)境安全

設(shè)備和環(huán)境的安全主要涉及到由于自然災(zāi)害、人為因素造成的數(shù)據(jù)丟失，比如地震、電力故障、火災(zāi)、洪水、盜竊等。它們給企業(yè)的數(shù)據(jù)帶來潛在的威脅，因此對(duì)于信息安全級(jí)別較高的企業(yè)，應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)。容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成：主中心和備份中心。通過異地?cái)?shù)據(jù)備份，實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中，使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。這種在線備份出現(xiàn)故障后系統(tǒng)數(shù)據(jù)恢復(fù)時(shí)間短，安全性好，但對(duì)資源的占用率比較高，投入成本也大；還有一種離線備份，即把數(shù)據(jù)定期備份到移動(dòng)存儲(chǔ)器或光盤上，然后異地保存，離線備份方式恢復(fù)時(shí)間比較長，但投資較少。企業(yè)應(yīng)根據(jù)自身信息化建設(shè)的程度及企業(yè)對(duì)信息安全的要求以及資金投入情況，決定容災(zāi)備份系統(tǒng)的規(guī)模和等級(jí)。

（二）系統(tǒng)運(yùn)行安全

隨著企業(yè)信息化的發(fā)展，信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來越重要。一旦系統(tǒng)中斷，將會(huì)給企業(yè)的工作帶來混亂，而數(shù)據(jù)一旦丟失，后果將是災(zāi)難性的。為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，應(yīng)采用雙機(jī)熱備解決方案。這種系統(tǒng)有兩個(gè)服務(wù)器組成：主服務(wù)器和從服務(wù)器。主服務(wù)器將從服務(wù)器的硬盤視為自己的一個(gè)外部磁盤設(shè)備，由專用數(shù)據(jù)鏈路擔(dān)負(fù)著傳輸鏡像數(shù)據(jù)的任務(wù)，同時(shí)也為從服務(wù)器監(jiān)視主服務(wù)器提供了途徑。主服務(wù)器系統(tǒng)可以象對(duì)本地硬盤一樣訪問從服務(wù)器上的硬盤。從服務(wù)器不僅鏡像著主服務(wù)器的硬盤數(shù)據(jù)，而且還實(shí)時(shí)監(jiān)測(cè)主服務(wù)器，一旦發(fā)現(xiàn)主服務(wù)器故障，會(huì)自動(dòng)接替主服務(wù)器工作。

（三）數(shù)據(jù)庫安全

在數(shù)據(jù)庫系統(tǒng)中，由于數(shù)據(jù)大量集中存放，且為眾多用戶共享，安全性問題更為突出。解決數(shù)據(jù)庫安全的措施要從數(shù)據(jù)庫軟件本身和數(shù)據(jù)備份兩個(gè)方面考慮。

1、利用軟件本身所具有的性能進(jìn)行安全保護(hù)大型數(shù)據(jù)庫為開發(fā)者提供了有效的安全性控制策略，一般會(huì)在數(shù)據(jù)訪問的安全性和監(jiān)督用戶的登錄進(jìn)行有效的控制，同時(shí)又兼顧用戶在使用數(shù)據(jù)時(shí)對(duì)速度的要求。大型數(shù)據(jù)庫中的安全性是依靠分層解決的，它的安全措施是級(jí)級(jí)層層設(shè)置的，做到層層設(shè)防。第一層是注冊(cè)和用戶許可，保護(hù)對(duì)服務(wù)器的基本存??；第二層是存取控制，對(duì)不同用戶設(shè)定不同的權(quán)限，使數(shù)據(jù)庫得到最大限度的保護(hù)；第三層是增加限制數(shù)據(jù)存取的視圖和存儲(chǔ)過程，在數(shù)據(jù)庫與用戶之間建立一道屏障。

2、利用硬件備份系統(tǒng)進(jìn)行安全保護(hù)備份系統(tǒng)不僅是保證數(shù)據(jù)庫安全，同時(shí)也是保證網(wǎng)絡(luò)系統(tǒng)安全的一種重要手段，為了保證數(shù)據(jù)安全，需要對(duì)數(shù)據(jù)庫進(jìn)行及時(shí)快速的備份。備份系統(tǒng)的服務(wù)器的應(yīng)用較為簡單，配置不要求很高，甚至可以和其他一些應(yīng)用共用一臺(tái)服務(wù)器，而備份軟件和磁帶庫是備份系統(tǒng)的關(guān)鍵。

三、石油企業(yè)網(wǎng)絡(luò)運(yùn)行安全的方案

網(wǎng)絡(luò)安全問題是信息安全問題的核心，應(yīng)采取全方位的、動(dòng)態(tài)和靜態(tài)相結(jié)合的方案解決網(wǎng)絡(luò)安全問題。影響網(wǎng)絡(luò)安全的要素包括：網(wǎng)絡(luò)邊界安全，操作系統(tǒng)安全，應(yīng)用服務(wù)器安全，內(nèi)部網(wǎng)安全，網(wǎng)絡(luò)防病毒。影響網(wǎng)絡(luò)安全的因素可以通過以下安全產(chǎn)品來防范：

（一）防火墻的應(yīng)用

防火墻在企業(yè)內(nèi)部網(wǎng)和外網(wǎng)之間設(shè)置了一道有效屏障，保護(hù)網(wǎng)絡(luò)邊界并防止黑客入侵。防火墻作為單一的關(guān)口，在此關(guān)口能檢查、審核、加解密和認(rèn)證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)。

（二）漏洞檢測(cè)系統(tǒng)的應(yīng)用

漏洞檢測(cè)系統(tǒng)又稱系統(tǒng)掃描、風(fēng)險(xiǎn)評(píng)估。漏洞檢測(cè)就是模擬黑客的攻擊手段對(duì)被檢測(cè)系統(tǒng)(包括各種操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用服務(wù)器)進(jìn)行掃描，然后提交安全漏洞報(bào)告，并給出解決漏洞的方法，從而保證網(wǎng)絡(luò)邊界安全、操作系統(tǒng)安全、應(yīng)用服務(wù)器安全和內(nèi)部網(wǎng)安全。

（三）網(wǎng)絡(luò)防病毒產(chǎn)品的應(yīng)用

隨著網(wǎng)絡(luò)的不斷發(fā)展，信息共享、信息交換越來越多，因此感染病毒的機(jī)會(huì)更大。在企業(yè)網(wǎng)絡(luò)內(nèi)一旦有一臺(tái)主機(jī)感染病毒很快就會(huì)傳播到整個(gè)網(wǎng)絡(luò)，甚至對(duì)企業(yè)造成很大的經(jīng)濟(jì)損失。因此防病毒已成為網(wǎng)絡(luò)安全的重要課題。對(duì)于可以登錄外網(wǎng)的終端計(jì)算機(jī)可以采用購買網(wǎng)絡(luò)版殺毒軟件，提前預(yù)防、實(shí)時(shí)監(jiān)控和殺毒。對(duì)于僅能登錄內(nèi)網(wǎng)的終端計(jì)算機(jī)，企業(yè)應(yīng)當(dāng)購買專業(yè)單機(jī)版殺毒軟件，并在內(nèi)網(wǎng)定期發(fā)布單機(jī)版殺毒軟件的離線更新包。

以上是動(dòng)態(tài)的網(wǎng)絡(luò)安全策略，對(duì)于靜態(tài)的網(wǎng)絡(luò)安全策略，可以從網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)方面提高網(wǎng)絡(luò)的安全性。對(duì)于一些安全要求比較高的部門，如財(cái)務(wù)部門，可以建立專門的局域網(wǎng)與互聯(lián)網(wǎng)及企業(yè)內(nèi)部網(wǎng)進(jìn)行物理隔離；還可以通過冗余設(shè)計(jì)來提高網(wǎng)絡(luò)的可靠性，例如：鏈路冗余、模塊冗余、設(shè)備冗余及路由冗余。

（四）訪問控制安全的應(yīng)用

訪問控制功能是對(duì)企業(yè)綜合信息系統(tǒng)的內(nèi)容進(jìn)行訪問權(quán)限的限制。對(duì)于有些只對(duì)企業(yè)內(nèi)部或合作單位開放的信息，應(yīng)該設(shè)置訪問控制，只有得到用戶名和密碼的用戶才能訪問這些內(nèi)容?？梢酝ㄟ^配置路由器來實(shí)現(xiàn)這部分的功能。

另一方面，是企業(yè)不同部門對(duì)網(wǎng)絡(luò)權(quán)限要求不同的問題。各應(yīng)用系統(tǒng)設(shè)計(jì)和選購時(shí)應(yīng)該考慮如何保障各部門的安全，保證安全保密性級(jí)別高的部門在網(wǎng)絡(luò)上運(yùn)行的各類業(yè)務(wù)不受未授權(quán)員工的損害。在構(gòu)建網(wǎng)絡(luò)時(shí)應(yīng)用VLAN技術(shù)和第三層交換技術(shù)，可在同一個(gè)基礎(chǔ)物理網(wǎng)絡(luò)上實(shí)現(xiàn)員工網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)、領(lǐng)導(dǎo)網(wǎng)絡(luò)和部門網(wǎng)絡(luò)的邏輯分隔，從而提高整個(gè)信息系統(tǒng)的安全性。

（五）信息存儲(chǔ)安全

網(wǎng)絡(luò)的發(fā)展，加上多媒體應(yīng)用，使得數(shù)據(jù)呈幾何級(jí)數(shù)激增。傳統(tǒng)的以服務(wù)器為中心的存儲(chǔ)網(wǎng)絡(luò)架構(gòu)面對(duì)源源不斷的數(shù)據(jù)流已顯得力不從心，嚴(yán)重的會(huì)導(dǎo)致數(shù)據(jù)崩潰。為了存儲(chǔ)安全，以服務(wù)器為中心的數(shù)據(jù)存儲(chǔ)模式必須向以數(shù)據(jù)為中心的數(shù)據(jù)存儲(chǔ)模式轉(zhuǎn)化。為了解決這個(gè)實(shí)際問題，可以采用網(wǎng)絡(luò)存儲(chǔ)技術(shù)，網(wǎng)絡(luò)存儲(chǔ)技術(shù)是一種特殊的專用數(shù)據(jù)存儲(chǔ)服務(wù)器，內(nèi)嵌系統(tǒng)軟件，可提供跨平臺(tái)文件共享功能，完全以數(shù)據(jù)為中心，將存儲(chǔ)設(shè)備與服務(wù)器徹底分離，集中管理數(shù)據(jù)，從而有效釋放帶寬，大大提高了網(wǎng)絡(luò)整體性能，也可有效降低成本，保護(hù)企業(yè)的投入，將數(shù)據(jù)崩潰降低到最低限度。

四、結(jié)語

安全只是相對(duì)的，沒有絕對(duì)的安全，在處理石油企業(yè)內(nèi)部特殊部門的時(shí)候還要采取特殊的措施，必要時(shí)在網(wǎng)絡(luò)規(guī)劃時(shí)候可考慮為其設(shè)立單獨(dú)子網(wǎng)，在信息傳輸上可以采用較為傳統(tǒng)的加密移動(dòng)硬盤傳遞，將網(wǎng)絡(luò)安全隱患減少到最低程度。企業(yè)信息安全的重點(diǎn)在于防范，應(yīng)該在企業(yè)信息化建設(shè)之初、危害發(fā)生之前對(duì)信息安全作出規(guī)劃，建立全面的信息安全防范體系。從信息安全的角度來說，當(dāng)然是防范得越嚴(yán)密越好，但任何事情都具有正反兩個(gè)方面，過度追求安全，不僅投資成本太高，而且影響系統(tǒng)運(yùn)行效率，也影響使用的方便性。所以應(yīng)根據(jù)石油企業(yè)內(nèi)部的實(shí)際情況，對(duì)信息系統(tǒng)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后確定信息系統(tǒng)的安全策略和解決方案，使企業(yè)既能保證信息的安全，又能獲得高效的運(yùn)行效率。