石化銷售企業(yè)信息安全論文

1、石化銷售企業(yè)信息安全論文 一、安全管理的現(xiàn)狀 （一）管理使用的系統(tǒng) erp、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)有以下特征：一是系統(tǒng)應(yīng)用范圍廣，全程參與企業(yè)的經(jīng)營、管理、對外服務(wù)等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對持續(xù)運(yùn)轉(zhuǎn)要求高，因此對應(yīng)用系統(tǒng)的安全運(yùn)轉(zhuǎn)要求較高。對公司的經(jīng)營管理而言，系統(tǒng)的安全穩(wěn)定運(yùn)行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應(yīng)商、企業(yè)利益有密切關(guān)系。 （二）安全管理 隨著我國經(jīng)濟(jì)水平不斷提高，石化銷售企業(yè)越來越離不開信息化管理，世界各地的公司對內(nèi)部成立一個信息化團(tuán)隊(duì)，根據(jù)內(nèi)部的需要制定出具有

2、整體性的管理體系，并根據(jù)相關(guān)的信息安全規(guī)定對系統(tǒng)內(nèi)部的安全等級做好評估保護(hù)工作。各企業(yè)制定了詳細(xì)有效的信息系統(tǒng)應(yīng)急預(yù)案以應(yīng)付各類突發(fā)事件。近幾年，中國石化內(nèi)控體系在建設(shè)過程中不斷加強(qiáng)、完善自身管理體系，也在it控制方面占有一定的優(yōu)勢。當(dāng)前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡(luò)信息系統(tǒng)的安全性。 二、信息安全風(fēng)險的評估 衡量安全管理體系的風(fēng)險主要方法是進(jìn)行信息安全風(fēng)險的評估，以此保障信息資產(chǎn)清單和風(fēng)險級別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險的評估過程中，主要通過資金、威脅、安全性等識別美容對風(fēng)險進(jìn)行安全檢測，同時結(jié)合企業(yè)自身的實(shí)際情況，擬定風(fēng)

3、險控制相應(yīng)的對策，把企業(yè)內(nèi)的信息安全風(fēng)險竟可能下降到最低水平。 （一）物理存在的風(fēng)險 機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險。當(dāng)前，部分企業(yè)存在的風(fēng)險有：1）企業(yè)機(jī)房使用年限過長，如早期的配電、布線等設(shè)計標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機(jī)房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，ups電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險；3）機(jī)房安全防護(hù)設(shè)施不齊全，存在風(fēng)險。 （二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險 石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險，其中主要風(fēng)險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件

4、防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會產(chǎn)生安全隱患。 （三）系統(tǒng)安全風(fēng)險 沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。 （四）安全管理存在的風(fēng)險 安全管理存在的主要指沒有同體的風(fēng)險安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意

5、識薄弱等等都存在管理風(fēng)險，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運(yùn)作。一方面要規(guī)范健全信息安全管理手段，有效較強(qiáng)內(nèi)控it管理流程控制力度，狠抓落實(shí)管理體系的力度，杜絕局部管理不足點(diǎn)；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求。 三、信息安全管理體系框架的主要構(gòu)思 信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點(diǎn)是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作，從機(jī)密性、完整性、不可否認(rèn)性和可

6、用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強(qiáng)企業(yè)的競爭力。 （一）組織體系 企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進(jìn)行信息安全知識的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識，實(shí)現(xiàn)信息安全管理工作人人有責(zé)。 （二）制度體系 操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險，提升應(yīng)急能力，以此加強(qiáng)信息安全的管理體系。 （三）技術(shù)體系 管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是

7、信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會在最短的時間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺，以實(shí)現(xiàn)信息安全技術(shù)的有效控制。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。ids作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象，加強(qiáng)了管理員的安全管理技術(shù)（包括審計工作、監(jiān)視、進(jìn)攻識別等技術(shù)），提

8、高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。 近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn)，這時云安全技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)。云安全技術(shù)主要使用分部式運(yùn)算功能進(jìn)行防御，而云安全技術(shù)對于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量。云安全技術(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路，且今后云安全作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力。 四、信息安全管理體系相關(guān)步驟 由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運(yùn)行方式；7）信息安全管理體系考核。 五、結(jié)論 現(xiàn)代企業(yè)管理與信息安全技術(shù)的發(fā)展要求我們對信息安全技術(shù)和產(chǎn)品本身不能完全的依賴，因?yàn)榧词蛊髽I(yè)投入了巨大的人力、物理、財力，現(xiàn)實(shí)中也很難做到百分百的安全。信息安全標(biāo)準(zhǔn)越高，企業(yè)投放就越大，所以需要在信息安全標(biāo)準(zhǔn)與企業(yè)效益之間尋求一個平衡點(diǎn)。另外，企業(yè)要保持信息安全管理體系長久有效運(yùn)行，最主