呼　军

国际化能源企业在信息管理工作中，已经应用现代网络信息技术，基本完成了企业信息数据安全控制从“被动防御”到“主动控制”的转化，将企业重要的核心数据真正安全的保护起来。

近年来，国内各类企业在信息化建设过程中都很重视信息数据的安全管理，相关管理部门通过颁布制度和完善相关技术，不断提高信息安全工作的水平，并取得了较好的效果。但是，我国西部企业受到地域差别、行业水平、人员素质参差不齐的影响，造成目前信息数据安全管理和控制的水平不高，存在着安全管理技术与用户管理方面造成的隐患，尤其是西部的能源企业掌握着大量的地质、生产等涉及国家能源安全信息和机密资料，所以更应该将网络信息安全作为企业信息化建设的重中之重。

长北天然气开发项目（以下简称长北项目）是中国石油与英荷皇家壳牌石油公司（以下简称壳牌公司）合作的中国第一个陆地开发天然气项目，也是我国西部地区首个中外合作开发能源的项目。中国石油通过开放能源领域，采用对外合作的开发模式，在引进国外资金和先进技术以及管理理念的同时，推动国内能源开发走上了与国际合作的新的历程。在融合中外信息管理技术和理念后，展现出良好的信息安全工作局面，这在西部企业发展信息化建设工作中具有很好的借鉴意义。

实现控制信息数据安全的环节

长北项目网络通信建设先后为项目所在的壳牌公司北京办公室、榆林现场等十余个节点之间的数据传输和通信提供了通信链路，实现了钻井数据实时采集，并同步发送到马来西亚。在这个过程中，壳牌石油的信息数据安全控制工作开展得非常到位，各项管理措施和技术完善且全面，这些信息安全工作中的理念、措施和技术都非常值得国内企业学习。壳牌在实现控制企业信息数据安全方面，主要是从网络环境、用户管理、终端控制和输出记录4个环节着手。

网络环境。目前我国西部大型能源企业下属的采油、采气厂的生产作业现场通常位于经济比较落后、交通不发达的地区，与母公司距离比较远，为了加强上下级的沟通能力，加快信息传递的速度，几乎所有的能源企业的网络都延伸到了基层生产单位，需要建立安全的网络环境来保证数据传输的安全。

用户管理。人的因素是信息数据安全控制中最难管理的，人的自由程度可以决定其接触的企业信息有多大的可能性会被外传。所以在信息数据安全的控制中，严格限制企业中每个人的数据浏览权限，控制其能够接触的企业信息种类和数量，提供所有工作人员能够相互监督的环境，并在告知的前提下储存适当的工作记录，都会成为加强用户管理、减少人为泄露企业核心信息的有效手段。

终端控制。办公场所中的个人电脑是企业数据显示和开展日常办公的重要平台之一，由于微软视窗操作系统自身漏洞造成普通用户名与密码的设置不能保证计算机和本地数据的安全，甚至会威胁到局域网内其他设备。由此看来，应该采取更加严密的技术手段控制设备的使用人员，和人员使用的设备。

输出记录。随着企业自动化办公程度的不断提高，各类输出设备的数量也逐渐增多，但是很多企业对设备的管理和文件输出记录等没有给予足够重视。这类管理工作费时费力、内容琐碎，单纯依靠人工去完成这些管理和记录工作，容易产生遗漏和差错，往往会造成重要图纸和文档的丢失，还无从追查责任人。所以需要长期有效的解决方案，新建设备管理系统或添加具有自动管理和记录的软、硬件模块，实现每次输出的文件信息自动记录。

信息数据管理概况

壳牌公司非常重视企业的网络信息安全，不仅具备周密的企业信息安全策略，还拥有一大批从事信息网络技术和管理人员组成的优秀团队，为公司在全球的子公司、销售代表处等提供技术支持。通过大量采用综合安全技术和管理措施，最大限度地减少了网络的各类漏洞，防止计算机病毒入侵企业网络和在网络中传播，杜绝各种非认证的终端设备访问网络造成信息泄漏，避免了人为侵入计算机系统和窃取数据。

信息数据安全控制的具体办法

壳牌公司作为知名的国际能源公司，对企业核心数据的控制和管理，有一套完整的制度体系，通过在公司全球所有机构的使用和磨合，使得这一体系不断完善，并融入企业的文化理念，采用先进的信息网络技术加以实现，所以具有很强的人性化，最大限度地消除了员工在被管理时产生抵触情绪。长北项目在网络建设和管理过程中继续沿用了这一体系。

安全统一的网络环境。壳牌公司拥有自己的网络信息构架设计部门STO（Shell Technology Organization），公司在全球的企业网络都是由STO提出设计方案，长北项目也不例外。设计方案中采用壳牌公司统一的设计标准，杜绝了系统集成是不同方案之间的差异性所带来的误差。

网络建设过程大体可以分为传输链路、机房建设、网络设备调试和综合布线4个方面。其中机房作为局域网的设备安装核心地点，除了为网络设备提供安全可靠的工作环境之外，就是严格控制进入人员并使用了门禁系统，每位进入机房的人员姓名和出入时间都有详细的记录，出现问题时也有记录可以查询。

调试工作包括STO工程师对新建网络设备进行1周的远程监测，调整设备配置，修改访问与管理密码。之后，现场工程师和其他人员无法登录设备、查看网络结构中2端设备的信息，杜绝非法接入的隐患。网络投入使用后，由指定的维护部门对网络设备和端口状态等进行远程监控，当设备发生故障或者出现异常情况时，远程维护人员都会在第一时间通知现场工程师，及时查看设备工作环境或者更换受损设备。

壳牌公司的所有网络设备都有统一的编号，与设备使用人或者部门绑定，像身份证明一样。这些信息在公司的区域服务器中都有记录，只有获得许可的设备接入网络时才能获得IP地址和相应的浏览权限。如果是非认证设备侵入网络，即使获得了IP地址，也不能访问网络中的数据，或者浏览任何网页，而且会被记录和留下相关的设备信息，便于管理员查找相关责任人。

严格规范的用户管理。壳牌对于信息管理的制度比较完善，具体措施也非常明确。从制度上来说，首先让员工认识到信息安全的重要性，并且帮助树立良好的安全意识，最后还要签订公司的保密协议，从法律上约束员工的行为，从而保护公司信息数据的安全和相关利益。

从技术上来说，公司各部门员工信息数据传递和使用的安全性，主要依靠壳牌GI-D部门研发和认证的计算机操作系统来完成，这套系统是在Windows2000操作系统的基础上，嵌入壳牌信息安全管理要求和制度的模块，保障严格规范信息安全和用户管理。在传统的口令登录操作系统的基础上，增加了插卡式的用户管理方式，没有这张个人信息卡的确认，即便拥有正确的密码也不能登录计算机，而且输入3次无效或错误的口令后系统会自动锁死，只有启用密码恢复流程，才能由指定用户继续使用设备。这无疑是给每位员工的系统账号设置了双保险，将密码遗失而造成对个人或企业数据泄漏的隐患降到了最低限度。

同时在计算机操作系统中严格规定了用户的权限。公司内几乎所有员工只拥有普通用户的权限，仅能访问和管理自己的文档，即使多用户使用同一台电脑，用户之间的数据也无法相互访问。但是为了便于普通数据的共享，系统设计人员增加了一个可以共同访问的文件目录，如果有可以共享或者同事必须访问的资料，可以保存在此目录下；通过规范用户对操作系统的使用权限，可以防止员工在计算机中任意安装未经授权使用的软件，避免给公司的数据信息管理带来不确定因素的干扰，甚至是破坏性的影响。

人性化的终端控制和输出记录。壳牌公司在共享数据服务器中安装了大容量硬盘，为员工提供备份数据的空间。

在设备服务器的应用方面，壳牌公司的打印服务器系统使用非常方便，每位员工可以按照自己工位的位置，通过打印服务器中每一台打印机的地理信息，查询到距离自己最近的打印设备，不但便于集中维护和降低打印成本，而且每个打印任务的文件名信息都会自动记录在服务器中。类似的管理系统在语音通信和其他输出终端设备上也得到了应用。

长北项目信息数据安全控制的作用

通过壳牌采用先进、细致的管理制度和措施，到目前为止，长北项目中所涉及的网络及信息安全的问题，都得到了充分的控制和解决。统一的网络构建标准，一致的安全防护规则，及时控制和记录非法入侵网络的功能，实时监控保证网络正常运行，对壳牌这些基础的信息管理理念和严格、细致的安全措施的学习，到逐步掌握核心技术，这种对于控制网络和信息安全制度和措施的模式，不仅适合长北项目的建设中使用，其先进和优秀的部分对于西部能源行业中同类企业的网络信息管理都有一定的借鉴意义。

(作者单位：长北天然气开发项目经理部)