关注石油企业内外网安全.docVIP

关注石油企业内外网安全 　　随着社会信息化建设进程的不断深入，石油企业对信息系统与IT技术的依赖程度不断加深，企业核心业务系统都已架构在IT平台之上，IT基础设施已经成为整个组织和业务的重要支撑。信息技术飞速发展为保障石油企业业务目标的实现奠定了坚实基础，但与此同时，保障IT基础设施的安全性，保障所承载业务的安全性，也日渐成为大家所关注的焦点问题。 　　国家特别重视信息系统安全保护工作，确立了信息安全等级保护的基本指导思想，明确要求“重点保护基础信息网络和关系国际安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作。对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。” 　　现实工作中，企业员工的违规使用行为往往会导致重要信息意外泄露，给企业生产带来严重影响，造成巨大经济损失。特别是对于国有石油企业而言，网络安全的重要性不言而喻，其业务系统的稳定运行直接关系着社会秩序稳定，关系到国计民生的长远发展。国有石油企业网络安全建设在满足自身业务安全需求的基础上，必须遵循国家提出的等级保护等合规性工作要求。复杂的外部环境和来自于国家的合规性要求，这些使得石油企业都迫切需要提高信息安全保障能力，保证网络基础设施与业务系统的安全、可靠运行。 　　网络安全防护技术与产品多种多样，但是没有一种独立的解决方案能够满足石油企业信息安全上的需求，只有将多种安全防护技术紧密地结合在一起，才能充分发挥其各自作用。通过将各种安全防护技术统一、全盘考虑，能够避免出现彼此之间相互抵触，导致防护水平降低现象出现。实现1+12的防护效果，切实保障石油企业网络信息安全。 　　“知己知彼，百战不殆”，在石油企业网络安全工作中，即要对所面临的对手——安全威胁与挑战有着深刻的理解，更要对自身业务系统脆弱性与安全需求有清晰的认识。为了明确问题范围，深入理解企业当前面临的安全风险与问题，明确自身安全需求，石油企业首先要对各个业务系统进行安全评估。评估方面应当涵盖IT基础设备的各个方面，包括网络设备、服务器、应用系统、终端设备、互联网出口、管理制度与规范等多个方面的内容。通过进行安全评估与风险分析，明确安全风险的范围、内容与严重程度，确定工作目标与工作重点。在开展风险评估工作的同时，还应与有关部门合作，对已经定级应用系统开展等级保护测评工作，对新上线系统进行定级备案，满足合规性要求。 　　网络安全工作是一个系统工程，石油企业应以“统一标准、统一设计、统一建设、统一管理”作为工作指导思想，按照由外到内、层层深入、分区防护、纵深防御的思路进行网络安全防护建设。 　　首先，应当明确不同工作内容的范围。网络安全工作纷繁芜杂，涉及到各个方面的工作内容。对于主机安全、应用安全、数据安全与备份恢复等方面的工作内容，由各应用系统建设与维护人员考虑。对于物理安全、网络安全等具有一定共性安全内容，进行统一规划，按照统一的标准进行防护，制定标准的IT服务管理规范进行统一管理。石油企业网络安全工作的第一步应当界定内部网络与外部网络边界，对进入网络内部的途径进行梳理，对互联网出口按照统一标准进行管理，按照统一标准进行安全防护。互联网出口是外部用户访问企业信息系统的重要途径，同时也是安全威胁进入企业网络的重要途径。出口越多，入侵者进入内部网络的途径就越多，安全隐患也越多，在运维过程中也难以统一管理。针对互联网出口多、互联网出口安全防护标准不一致，容易受到外部入侵等安全威胁的问题，可以采用统一互联网出口的策略。石油企业应根据用户及应用系统的使用需求，对互联网出口进行统一规划，制定统一的出口防护标准，并按照标准进行统一安全防护。通过对互联网出口统一规划、统一防护、统一管理，可以减少入侵者通过网络接入企业内部网络的途径，提高企业网络边界安全防护能力。通过应用代理技术隐蔽企业网络信息，通过网络地址转换技术改变IP地址内容，降低入侵者通过互联网出口直接渗透进入内部网络的可能性。 　　第二，对用户访问权限进行划分。并非所有用户都具有互联网访问权限，只有业务需求的用户，经过审批后才能开通互联网访问权限。同时用户使用USBkey进行身份认证，以USBkey作为用户身份的唯一标识，实现用户访问行为实名制管理，避免用户名口令方式存在的漏洞。传统的安全违规事件定位方式是通过IP地址进行问题定位，这种方式进行事件处理费时费力，特别是在大规模复杂结构的网络环境中，基本上很难实现及时、准确定位的目标。为了在违规事件发生后能实现问题来源快速准确定位，可以将用户访问行为信息与用户身份标识进行绑定，一旦发生违规事件后，可以通过用户信息而不是IP地址进行迅速定位与响应。 　　第三，规范用户的互联网使用行为，避免用户访问具