石油企業(yè)信息安全與保密管理策略分析

文/王永春

隨著社會的發(fā)展進步，石油企業(yè)作為國家能源企業(yè)，它的信息安全和保密管理直接影響著企業(yè)乃至國家安全和利益。文章分析了企業(yè)信息安全和保密管理工作中存在的問題，從五個方面提出了提升企業(yè)安全管理水平的策略。

隨著互聯(lián)網發(fā)展及大數(shù)據(jù)時代的到來，國家之間的競爭轉變成文化、經濟、科技、政治、軍事及社會各領域等隱形的競爭。相關的信息已成為國家重要的戰(zhàn)略資源，其安全關系到國家的發(fā)展與戰(zhàn)略制定。而當今的竊密手段也呈現(xiàn)出高科技化、多樣化、技術發(fā)展快、高隱蔽性、難以檢測等特點。石油行業(yè)作為國家能源企業(yè)，肩負著國家能源戰(zhàn)略安全的重任。保護好石油企業(yè)在國際中的核心競爭力，必須高度做好石油企業(yè)信息安全與保密工作，克服麻痹松懈情緒，堅決保守國家秘密和企業(yè)核心商業(yè)秘密。

企業(yè)信息安全與保密管理現(xiàn)狀

當今社會信息技術快速發(fā)展，大數(shù)據(jù)、云計算、人工智能等廣泛應用，信息存儲電子化、傳輸網絡化、介質多樣化、載體數(shù)碼化，隱于無形、復制方便、傳遞迅捷，由此帶來的信息安全問題復雜多變。能源企業(yè)因自身機構比較龐大且分散，具有點多面廣的特點，如果對信息安全和保密工作不引起足夠的重視，對自身的核心商業(yè)秘密不嚴加保護，勢必將給企業(yè)乃至國家?guī)黼y以估算的經濟損失。

信息安全基礎設施落后。信息安全基礎設施是信息安全體系中用于支持信息安全應用和信息安全管理的基礎平臺，它的可靠性、可用性是實現(xiàn)企業(yè)信息安全、保密管理的有力保障。雖然石油企業(yè)已建有專業(yè)的信息安全基礎平臺，信息自動化程度較高，但隨著信息技術的不斷發(fā)展，一些信息安全設備已落后，勢必出現(xiàn)技術漏洞，容易導致企業(yè)失密泄密事故發(fā)生。

信息安全管理體系不完善。信息安全屬于新興領域，企業(yè)在信息安全管理方面還處于摸索階段，普遍存在以下問題。一是信息資產管理不明確。信息與人們的切身利益息息相關，并以不同的形式存在于人們的工作、生活中，如數(shù)據(jù)、軟件、硬件、服務、文檔、設備、人員、客戶關系等，這些既包含有國家秘密，又包含有企業(yè)商業(yè)秘密或個人隱私等，大到影響國家利益，小到影響員工的切身利益。信息安全管理過程當中，由于對需要保密的信息資產不明確、界限模糊，公開與保密難以界定清楚。特別是當今社會要求企業(yè)信息公開化，如果企業(yè)需要保密的信息資產不確定、界定不明確、保密審核不嚴格，就會造成企業(yè)的信息泄漏。二是組織結構不健全，人員職權不明確。企業(yè)信息安全管理組織結構不健全，管理人員的職權及范圍不明確、防范意識低。在實際工作中，經常會出現(xiàn)信息部門與保密管理部門相互推諉的現(xiàn)象，容易給竊密者可乘之機，造成失密泄密事件發(fā)生。三是信息安全宣傳教育形式單一。加強信息安全的宣傳和教育是提高安全意識和保密意識的有效手段。但在實際的宣傳教育過程中，宣教形式較為單一，僅僅對法律法規(guī)及企業(yè)內部安全制度內容進行講解或發(fā)放資料，難以激發(fā)員工的學習熱情，教育效果不佳，達不到預期目的。四是缺少合理的管理制度。信息化迅猛發(fā)展的時代背景進一步拓展了各種外泄渠道，給企業(yè)內部信息的保護提出新的課題。智能手機、筆記本電腦等個人移動電子產品已成為人們日常工作生活不可或缺的工具，它們給人們的工作和生活帶來便利的同時，也存在極大的安全隱患。為便于工作，個人的電子產品里儲存有企業(yè)的各類信息、數(shù)據(jù)甚至是關乎企業(yè)生死存亡的敏感資料，而在企業(yè)里，對于這類個人電子產品的規(guī)范使用或接入無線網絡等行為缺乏相應的管理制度，對企業(yè)來說，這猶如一顆隱形的定時炸彈，威脅著企業(yè)的信息安全。

信息安全和保密意識亟待加強。有的企業(yè)負責人和員工對信息安全重視程度不夠，認為“說起來重要，做起來沒必要”，沒有從思想深處認識到作為企業(yè)不僅有密要保，而且對企業(yè)的相關負責人和員工來說，要保的密還不少，尤其是國有大型能源企業(yè)，更是如此。如果沒有充分認識到保密就在身邊，那違規(guī)行為和泄密隱患的存在就具有必然性，勢必會對企業(yè)信息安全造成影響。

企業(yè)信息安全與保密管理策略

做好保密工作是保障企業(yè)信息安全的前提，保密工作管理水平的高低直接關系到企業(yè)信息安全程度的高低。信息安全管理和控制范圍覆蓋安全技術體系中涉及的各種安全管理機制、安全基礎設施建設和設備管理，以及人員管理和教育等。要為企業(yè)提供有效的安全保護，就要引入國際信息安全ISO2700-1 標準，結合企業(yè)的實際情況和長期發(fā)展需要，采用循環(huán)上升管理模式PDCA（計劃、執(zhí)行、檢查、處理），并從以下幾方面對企業(yè)信息安全和保密管理進行長期、系統(tǒng)規(guī)劃和完善。

建立完善的信息安全管理體系。單純依靠提升基礎設施平臺從技術層面去解決安全問題，是無法有效地達到保障企業(yè)信息安全的目的。需建立完善的安全管理制度，結合安全基礎設施，對整個安全系統(tǒng)進行全面管理、監(jiān)控和維護。企業(yè)相關負責人應該根據(jù)企業(yè)的發(fā)展需求明確信息安全目標、技術標準，搭建合理的安全組織機構，完善管理制度，明確信息安全管理權限和職責，確定管理規(guī)范和步驟，加強資金投入，確保信息安全保障的正常運作。

完善企業(yè)信息安全和保密制度。隨著信息技術的不斷發(fā)展，信息保密工作也面臨著嚴峻的挑戰(zhàn)。企業(yè)要建立一套較為完善的信息安全和保密管理制度，如規(guī)范員工上網行為、企業(yè)內外網互聯(lián)互接行為、辦公信息化設備保管使用、企業(yè)內部員工統(tǒng)一身份管理、企業(yè)信息公開與保密審查工作之間的聯(lián)系、企業(yè)定密及涉密人員管理等，以嚴明的制度來約束員工行為，為企業(yè)的安全和發(fā)展提供有力的保障。

采取多元教育模式，提升干部職工信息安全和保密意識。

無論是信息安全還是保密工作，重點在于“防”,即繃緊安全防線，提升安全和保密意識。在宣傳教育過程中，要結合時代發(fā)展特點和宣傳教育對象特點，采取多元化的模式進行宣傳教育。例如，通過企業(yè)微信公眾號在全系統(tǒng)開展安全、保密內容有獎答題活動，邀請員工共同查找企業(yè)信息安全和保密工作中存在的漏洞，用信息安全案例開展警示教育，通過企業(yè)內部桌面安全系統(tǒng)推送信息安全知識和保密法律法規(guī)，定期舉行信息安全防范演練等。通過多種宣傳教育渠道，切實提升企業(yè)干部職工的信息安全和保密意識，杜絕因為“無知”造成的失密泄密，減少因利竊密，從思想上建立堡壘，防患于未然，共同筑牢安全防線。

提升防范技術手段。防范是企業(yè)安全防御環(huán)節(jié)中防止非法入侵和非法訪問系統(tǒng)的關鍵一環(huán)，可采用以下技術提高防范手段。一是數(shù)據(jù)加密技術。數(shù)據(jù)加密技術是指將需要加密的數(shù)據(jù)經過加密密鑰和密碼算法變成不能閱讀的無意義數(shù)據(jù)，在接收方使用解碼密鑰和密碼算法后還原成原數(shù)據(jù)。這種方式只有通信雙方才能識別信息，竊密者無法識別也很難破解和修改，從而提高了保密性。同時根據(jù)加密密鑰和解密密鑰是否相同，可分為對稱密碼技術和非對稱密碼技術，分別有各自的特點，企業(yè)應該根據(jù)自身需求進行選用。二是設置網絡準入權限。企業(yè)可以通過使用用戶名、口令密碼等設置確定企業(yè)內部網絡的準入權限，按員工接觸企業(yè)信息的級別進行分權分級訪問網絡資源。對于通過無線網絡通信技術使用個人電子產品接入企業(yè)內部網訪問也應有相應的防范監(jiān)控措施。三是防火墻技術。防火墻是保護計算機網絡安全的一種技術，它在外部網和內部網之間建立屏障，通過過濾和隔離防范來自外部的各種攻擊入侵。四是入侵檢測技術。入侵檢測技術是對入侵行為的檢測，是一種積極主動的安全防護技術，是防火墻技術的補充。通過收集和分析網絡行為，及時發(fā)現(xiàn)入侵行為和攻擊跡象，及時阻攔入侵危害。五是病毒庫技術。企業(yè)應安裝先進的病毒庫系統(tǒng)，積極做好防毒殺毒防范。同時進行技術創(chuàng)新，形成自己的病毒庫，從而提高防毒殺毒能力。六是強化計算機網絡安全。計算機信息系統(tǒng)及網絡已經成為泄密事件的主要途徑。企業(yè)要加強計算機和內部辦公網絡、企業(yè)門戶網站的保密管理，實行內外網物理分離，內部辦公電腦禁止連接互聯(lián)網，堅持“誰上網，誰負責”的工作原則，嚴格落實“上網不涉密，涉密不上網”的保密要求。

加強涉密人員的管理。企業(yè)的重要和關鍵信息一般都掌握在關鍵少數(shù)人手里，確保企業(yè)信息安全要從關鍵少數(shù)著手。抓好企業(yè)涉密人員的管理，常態(tài)化進行保密法律法規(guī)，尤其是保密專業(yè)技術的培訓，還要經常性進行警示教育，使企業(yè)涉密人員具有專業(yè)的保密技能。對涉密人員在上崗、在崗、離崗等各個環(huán)節(jié)進行閉環(huán)管理，做到環(huán)環(huán)相扣，保障企業(yè)保密工作順利進行。

總之，企業(yè)在經營過程中要重視信息安全的管理工作，要系統(tǒng)、規(guī)范地總結和分析安全及保密管理工作中的問題，加強保密意識，建立規(guī)范化和完善的信息安全管理體系，有效地解決企業(yè)所面臨的信息安全問題，讓企業(yè)信息安全有保障。