化工销售企业信息安全存在问题及对策研究
2019-11-28香玮
香玮
中国石油西北化工销售公司 甘肃兰州 730070
化工销售企业信息安全体系要走一条新型发展道路,以此满足人们的需求,不断传新发展。企业的经营管理和信息技术密切相连,由此而引起的信息风险也变得愈加突出,对于企业而言,信息网络、信息系统一旦出现漏洞,就会带来前所未有的影响。
1 化工销售企业信息安全现状
保障化工销售企业的信息安全,就是要保证石油石化行业的信息在提取、存储、分析处理、信息传输的过程中始终保证保密性、完整性和可使用性。信息安全包括信息本身的安全,同时也包括信息系统的安全。其中,信息本身的安全就是指防止信息的丢失、窃取、篡改,信息系统安全就是要保证系统有序稳定运行,确保权利者能够顺利使用信息系统,无权利者没有资格使用信息系统,跟无法对信息系统进行破坏。当下这个阶段,我国“三桶油”等石油石化企业都已经建立了一定程度上适应企业发展以及形式变化的信息安全管理系统,并且设置了信息安全领导核心、信息安全专门管理机构、信息安全管理专员等专门机构和岗位。通过明确岗位设置以及岗位责任,将石油石化企业信息安全管理责任分解到每一个个人,责任到人,落到实地。同时,各大石油石化企业也都颁布实施了各项管理规定以及管理办法。
2 化工销售企业信息安全存在的问题
石油石化行业关乎我国能源命脉,同时也就关乎我国经济总体运行稳定与安全,对于我国的国民经济发展有着至关重要的作用。目前,化工销售企业信息安全系统缺乏足够的重视与技术支持,存在很多的问题。虽然我国已经在石油石化行业信息安全建设取得了一定的建设成果,但是还是面临着很多的风险与挑战[1]。
2.1 信息安全基础设备严重依赖国外企业
目前,由于我国信息安全行业仍然处在发展期,而石油石化行业要求的保密性又特别高,因此国产设备无法满足石油石化行业的要求,设备使用只能依靠进口。目前,硅谷的微软集团几乎垄断我国全部的电脑操作系统市场,离开了微软的视窗系统,很多的国产软件都会失去操作平台。数据分析软件也是如此,来自美国的数据分析软件垄断了市场,这些因素都会导致信息安全风险。不仅仅是软件,硬件设备也因为我国相关行业发展不足,而严重依赖国外,关键设备诸如核心处理器,芯片,传感器等都依赖进口,这些设备上很容易被别有用心的人做手脚。
2.2 信息系统开放性导致的信息安全风险
信息系统的开放性,就是指公司内部的人员只要具有一定的权限就可以访问信息系统,包括经营人员、管理人员、生产人员与控制人员。这些人员具有不同的目的,有的是销售,有的是控制,有的是管理,都有不同的管理系统,为了管理的便利性,这些系统都是相连的,因此某一个系统出现了安全问题,就有可能波及全部系统。
2.3 海外网络威胁
各大石油石化公司都在海外进行了大量投资与建设,同时也就产生了很多与国内企业的沟通连接,这就给很多海外不法分子以可乘之机,在这些领域对石油石化行业的信息系统发动攻击,窃取信息。
2.3.1 遭遇黑客攻击
黑客的恶意攻击或用户的不当操作都会在某种程度上破坏网络信息安全系统。特别是黑客的恶意攻击行为更是对网络系统有着极大的破坏力。这种恶意攻击行为主要包括两种情况:其一是出于主观故意的攻击行为,其攻击目标是对重要数据予以破坏,其摧毁性非常大。其二种是被动攻击,其目的是为了获取某些重要数据而在不破坏网络系统安全的基础上实施的攻击行为。
2.3.2 计算机网络病毒
病毒具备一定的隐蔽性,较难被计算机系统所识别,并且病毒对计算机网络的破坏性是非常大的。当病毒侵入计算机系统,便会利用正常程序来计算机系统中极速蔓延和传播,很在较大程度上威胁到系统的安全性。倘若病毒尚未造成较大影响,用户能够借助专业的杀毒软件进行处理,消除病毒隐患。但是倘若病毒侵入到计算机系统里,在用户访问网络时产生病毒,那么病毒对网络信息安全的破坏力是难以估计的,该病毒会在严重破坏计算机软硬件系统,更会对网络信息安全造成非常严重的破坏。
3 化工销售企业信息安全管理对策
化工销售企业信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使化工销售企业信息系统和信息网络能够安全可的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力
3.1 组织体系方面
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门。设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
3.2 制度体系方面
操作规范、安全策略、应急预案等各项管理制度经过计戈和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
3.3 技术体系方面
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技木等。一旦出现信息安全事件,技术体系会在最短时间内降低安全隐患,采用先进的加密算法和强化密钥管理等数据加密方式进行全程控制数据传输和数据存储。
4 结语
为了应对愈演愈烈的信息安全问题,保障化工销售企业信息安全,各大化工销售企业都在不断进行信息安全保障建设,通过各种手段强化信息安全保护措施以及危机处理手段,以达到最低化信息安全风险的目的。