關注石油企業內外網安全

行業應用

作者：詹峰

隨著社會信息化建設進程的不斷深入，石油企業對信息係統與IT技術的依賴程度不斷加深，企業核心業務係統都已架構在IT平台之上，IT基礎設施已經成為整個組織和業務的重要支撐。信息技術飛速發展為保障石油企業業務目標的實現奠定了堅實基礎，但與此同時，保障IT基礎設施的安全性，保障所承載業務的安全性，也日漸成為大家所關注的焦點問題。

國家特別重視信息係統安全保護工作，確立了信息安全等級保護的基本指導思想，明確要求“重點保護基礎信息網絡和關係國際安全、經濟命脈、社會穩定等方麵的重要信息係統，抓緊建立信息安全等級保護製度，製定信息安全等級保護的管理辦法和技術指南。要重視信息安全風險評估工作。對網絡與信息係統安全的潛在威脅、薄弱環節、防護措施等進行分析評估。”

現實工作中，企業員工的違規使用行為往往會導致重要信息意外泄露，給企業生產帶來嚴重影響，造成巨大經濟損失。特別是對於國有石油企業而言，網絡安全的重要性不言而喻，其業務係統的穩定運行直接關係著社會秩序穩定，關係到國計民生的長遠發展。國有石油企業網絡安全建設在滿足自身業務安全需求的基礎上，必須遵循國家提出的等級保護等合規性工作要求。複雜的外部環境和來自於國家的合規性要求，這些使得石油企業都迫切需要提高信息安全保障能力，保證網絡基礎設施與業務係統的安全、可靠運行。

網絡安全防護技術與產品多種多樣，但是沒有一種獨立的解決方案能夠滿足石油企業信息安全上的需求，隻有將多種安全防護技術緊密地結合在一起，才能充分發揮其各自作用。通過將各種安全防護技術統一、全盤考慮，能夠避免出現彼此之間相互抵觸，導致防護水平降低現象出現。實現1+1>2的防護效果，切實保障石油企業網絡信息安全。

“知己知彼，百戰不殆”，在石油企業網絡安全工作中，即要對所麵臨的對手——安全威脅與挑戰有著深刻的理解，更要對自身業務係統脆弱性與安全需求有清晰的認識。為了明確問題範圍，深入理解企業當前麵臨的安全風險與問題，明確自身安全需求，石油企業首先要對各個業務係統進行安全評估。評估方麵應當涵蓋IT基礎設備的各個方麵，包括網絡設備、服務器、應用係統、終端設備、互聯網出口、管理製度與規範等多個方麵的內容。通過進行安全評估與風險分析，明確安全風險的範圍、內容與嚴重程度，確定工作目標與工作重點。在開展風險評估工作的同時，還應與有關部門合作，對已經定級應用係統開展等級保護測評工作，對新上線係統進行定級備案，滿足合規性要求。

網絡安全工作是一個係統工程，石油企業應以“統一標準、統一設計、統一建設、統一管理”作為工作指導思想，按照由外到內、層層深入、分區防護、縱深防禦的思路進行網絡安全防護建設。

首先，應當明確不同工作內容的範圍。網絡安全工作紛繁蕪雜，涉及到各個方麵的工作內容。對於主機安全、應用安全、數據安全與備份恢複等方麵的工作內容，由各應用係統建設與維護人員考慮。對於物理安全、網絡安全等具有一定共性安全內容，進行統一規劃，按照統一的標準進行防護，製定標準的IT服務管理規範進行統一管理。石油企業網絡安全工作的第一步應當界定內部網絡與外部網絡邊界，對進入網絡內部的途徑進行梳理，對互聯網出口按照統一標準進行管理，按照統一標準進行安全防護。互聯網出口是外部用戶訪問企業信息係統的重要途徑，同時也是安全威脅進入企業網絡的重要途徑。出口越多，入侵者進入內部網絡的途徑就越多，安全隱患也越多，在運維過程中也難以統一管理。針對互聯網出口多、互聯網出口安全防護標準不一致，容易受到外部入侵等安全威脅的問題，可以采用統一互聯網出口的策略。石油企業應根據用戶及應用係統的使用需求，對互聯網出口進行統一規劃，製定統一的出口防護標準，並按照標準進行統一安全防護。通過對互聯網出口統一規劃、統一防護、統一管理，可以減少入侵者通過網絡接入企業內部網絡的途徑，提高企業網絡邊界安全防護能力。通過應用代理技術隱蔽企業網絡信息，通過網絡地址轉換技術改變IP地址內容，降低入侵者通過互聯網出口直接滲透進入內部網絡的可能性。