信息化出現安全漏洞一般是內虛外患造成的。
從內因上看,首先是管理層對于信息安全的意識不強。企業管理層往往只關注企業在信息化過程中的收益,而忽視其潛在的安全隱患;在整個社會的信息化進程中,企業容易追進,而對于數據的管理、系統的安全性、網絡的堅固性等要求不高。其次是信息技術自身的缺陷和信息系統自身復雜性的提高。一方面,信息系統紛紛與因特網相連,常常使網絡安全成為企業信息安全的脆弱一環。另一方面,如今企業信息化旨在充分利用云計算、物聯網等先進技術,將企業的生產、經營及管理流程在線實現,使不同企業的信息能更好的共享和集成,從而提供各種增值服務和提高企業效益。這使信息系統的復雜性越來越高。在這種高復雜性的系統中,存在缺陷和問題是很難避免的。再次是缺乏專業的信息安全技術團隊。要使已建立的信息系統安全運作需要一支強大的技術團隊的支撐。企業在信息化建設過程中如果為了追求投入產出比,削減了對于信息安全維護費用的必要支出,一旦信息安全問題暴露,企業將得不償失。一支操作熟練、掌握了必要的信息安全技術的專業團隊對于企業的信息化建設的安全保障是十分必要的。
從外因來看,除了由于不可抗力因素造成的硬件設備的損壞,還包括外部攻擊者越來越多,對于信息安全的法律保障力度不夠等方面的原因。
因此,加強石油企業信息化中的安全防范,應該從以下四個層面著手。
在制度和管理層面,首先,管理層應該意識到信息安全的重要性。其次,要在企業中樹立起信息安全意識。建立信息安全管理體制,及信息安全監控體系。在應對不可抗力因素造成的數據災害問題上,應該做好災難應急備份系統的準備和建設。
在技術層面,企業要想從內因上解決企業信息安全問題,技術是關鍵。提高技術水平能夠從內因上防范信息安全問題。企業要應對信息化建設中的安全問題,首先應該加大對信息安全技術水平的投資。
在加強信息系統安全性方面,企業應該在信息系統設計之初,就充分考慮到其安全體系設計,根據企業自身需要設計合適的信息系統安全保護等級,安全體系結構,并在后續階段做好信息系統安全風險的分析與控制。
在提高企業人員技術素養方面,企業要想從以上技術層面來保障信息安全,必須有一批素質良好的工作人員,從操作到運維都要求員工具有較高的技術素養。對于專業的網絡管理技術人員,應該定期組織他們學習最先進的網絡技術,使技術團隊能夠跟上信息技術發展的步伐。對于非專業的信息技術人員,也應該定期組織培訓,提高其系統操作能力。減少因人工操作失誤而造成的信息安全問題。
總之,石油企業應將信息安全工作放在與生產安全同樣的高度上進行重視,完善信息安全責任體制以及信息資源管理體制,加強信息安全性能檢查機制,及時消除信息泄露隱患,進而避免重特大信息系統事故的發生。企業應該進一步建立和完善信息資源管理系統安全應急處理機制,加強信息資源安全隱患的識別、防范和控制,提高信息資源管理系統的事故預警和恢復能力。按照國家信息安全等級保護要求,完善企業信息安全保障體系。把日常信息資源管理、技術手段和應急機制結合起來,強化信息資源管理體系安全、正常地運行,確保重要數據的安全和信息資源管理系統穩定的運行。
(作者王茂光 為中央財經大學信息學院副教授,中國計算機學會軟件工程專委委員)
