浅谈石油企业信息安全策略及解决方略.pdf

浅谈石油企业信息安全策略及解决方略 中国石油新疆喀什销售公司 王浪 【摘 要】通过分析石油企业在信息化建设中所面临的信息安全问题，提出了保障企业信息安全的策略及解决方案。 分别从管理和技术的角度，通过对设备运行环境安全、系统运行安全、网络安全、访问控制安全、数据库安全、存 储安全这几个方面论述了影响企业信息安全的因素，同时提出企业应采取的安全策略和解决措施，阐明了全面构筑 信息安全体系，消除网络安全隐患，做到防患于未然。 【关键词】石油企业；信息安全；安全策略；解决方案 石油企业要提高竞争力，信息化水平是一个重要因素。而信息安全的风险随着企业信息化水平的不断提高而增 加。没有可靠的信息安全保障，就没有企业的安全生产运营，就会极大地降低企业在石油行业内的竞争优势和生存 空间。要保证信息安全，就必须首先制定相应的安全策略，然后依据该策略结合企业的实际需要选定具体的解决方 案，全面构筑企业的信息安全体系，防止各种不安全因素带来的信息安全隐患，做到防患于未然。 所谓信息安全是指信息的必威体育官网网址性、完整性、实用性和可靠性，即在信息的使用和存储过程中，防止因偶然事件 或人为因素造成信息被破坏或泄露，也就是要保障信息的有效性。 一、石油企业预防人为因素的方案 企业信息安全的防范不单纯是一个技术问题，而是一个综合性的问题，其中最重要的因素就是人的因素。在 人的因素中，有些是无意的：如信息管理员、操作员安全配置不当造成的安全漏洞；企业内部终端用户安全意识不 强，用户口令选择不慎，或是将 自己的帐号随意转借他人或与别人共享等；也有些是黑客的恶意攻击，如以各种方 式破坏信息的有效性和完整性；或在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息等。 这些攻击均可对信息安全造成极大的危害。对于这类人为因素，必须首先建立石油信息安全领导小组，设立安全领 导小组办公室，由企业负责人直接担任组长，并逐级确立信息安全责任人，并且对信息中心的管理员、操作员，进 行必要的定期的信息安全教育，明确岗位职责、权限，签订岗前责任状，以提高全员信息安全防范意识。同时制定 信息安全制度，并采取相应的措施以防止信息安全漏洞。 二、石油企业内部技术防范的方案 从技术角度看，信息安全的防范包括： （一）设备及环境安全 设备和环境的安全主要涉及到由于自然灾害、人为因素造成的数据丢失，比如地震、电力故障、火灾、洪水、 盗窃等。它们给企业的数据带来潜在的威胁，因此对于信息安全级别较高的企业，应建设完善的容灾备份系统。容 灾备份系统一般由两个数据中心构成：主中心和备份中心。通过异地数据备份，实时地将主中心数据拷贝至备份中 心存储系统中，使主中心存储数据与备份中心数据完全保持一致。这种在线备份出现故障后系统数据恢复时间短， 安全性好，但对资源的占用率比较高，投入成本也大；还有一种离线备份，即把数据定期备份到移动存储器或光盘 上，然后异地保存，离线备份方式恢复时间比较长，但投资较少。企业应根据自身信息化建设的程度及企业对信息 安全的要求以及资金投入情况，决定容灾备份系统的规模和等级。 （二）系统运行安全 随着企业信息化的发展，信息系统的连续稳定运行越来越重要。一旦系统中断，将会给企业的工作带来混乱， 而数据一旦丢失，后果将是灾难性的。为保证信息系统的连续稳定运行，应采用双机热备解决方案。这种系统有两 个服务器组成：主服务器和从服务器。主服务器将从服务器的硬盘视为自己的一个外部磁盘设备，由专用数据链路 担负着传输镜像数据的任务，同时也为从服务器监视主服务器提供了途径。主服务器系统可以象对本地硬盘一样访 问从服务器上的硬盘。从服务器不仅镜像着主服务器的硬盘数据，而且还实时监测主服务器，一旦发现主服务器故 障，会自动接替主服务器工作。 （三）数据库安全 在数据库系统中，由于数据大量集中存放，且为众多用户共享，安全性问题更为突出。解决数据库安全的措施 要从数据库软件本身和数据备份两个方面考虑。 1、利用软件本身所具有的性能进行安全保护大型数据库为开发者提供了有效的安全性控制策略，一般会在 数据访问的安全性和监督用户的登录进行有效的控制，同时又兼顾用户在使用数据时对速度的要求。大型数据库中 的安全性是依靠分层解决的，它的安全措施是级级层层设置的，做到层层设防。第一