信息化出现安全漏洞一般是内虚外患造成的。
从内因上看,首先是管理层对于信息安全的意识不强。企业管理层往往只关注企业在信息化过程中的收益,而忽视其潜在的安全隐患;在整个社会的信息化进程中,企业容易追进,而对于数据的管理、系统的安全性、网络的坚固性等要求不高。其次是信息技术自身的缺陷和信息系统自身复杂性的提高。一方面,信息系统纷纷与因特网相连,常常使网络安全成为企业信息安全的脆弱一环。另一方面,如今企业信息化旨在充分利用云计算、物联网等先进技术,将企业的生产、经营及管理流程在线实现,使不同企业的信息能更好的共享和集成,从而提供各种增值服务和提高企业效益。这使信息系统的复杂性越来越高。在这种高复杂性的系统中,存在缺陷和问题是很难避免的。再次是缺乏专业的信息安全技术团队。要使已建立的信息系统安全运作需要一支强大的技术团队的支撑。企业在信息化建设过程中如果为了追求投入产出比,削减了对于信息安全维护费用的必要支出,一旦信息安全问题暴露,企业将得不偿失。一支操作熟练、掌握了必要的信息安全技术的专业团队对于企业的信息化建设的安全保障是十分必要的。
从外因来看,除了由于不可抗力因素造成的硬件设备的损坏,还包括外部攻击者越来越多,对于信息安全的法律保障力度不够等方面的原因。
因此,加强石油企业信息化中的安全防范,应该从以下四个层面着手。
在制度和管理层面,首先,管理层应该意识到信息安全的重要性。其次,要在企业中树立起信息安全意识。建立信息安全管理体制,及信息安全监控体系。在应对不可抗力因素造成的数据灾害问题上,应该做好灾难应急备份系统的准备和建设。
在技术层面,企业要想从内因上解决企业信息安全问题,技术是关键。提高技术水平能够从内因上防范信息安全问题。企业要应对信息化建设中的安全问题,首先应该加大对信息安全技术水平的投资。
在加强信息系统安全性方面,企业应该在信息系统设计之初,就充分考虑到其安全体系设计,根据企业自身需要设计合适的信息系统安全保护等级,安全体系结构,并在后续阶段做好信息系统安全风险的分析与控制。
在提高企业人员技术素养方面,企业要想从以上技术层面来保障信息安全,必须有一批素质良好的工作人员,从操作到运维都要求员工具有较高的技术素养。对于专业的网络管理技术人员,应该定期组织他们学习最先进的网络技术,使技术团队能够跟上信息技术发展的步伐。对于非专业的信息技术人员,也应该定期组织培训,提高其系统操作能力。减少因人工操作失误而造成的信息安全问题。
总之,石油企业应将信息安全工作放在与生产安全同样的高度上进行重视,完善信息安全责任体制以及信息资源管理体制,加强信息安全性能检查机制,及时消除信息泄露隐患,进而避免重特大信息系统事故的发生。企业应该进一步建立和完善信息资源管理系统安全应急处理机制,加强信息资源安全隐患的识别、防范和控制,提高信息资源管理系统的事故预警和恢复能力。按照国家信息安全等级保护要求,完善企业信息安全保障体系。把日常信息资源管理、技术手段和应急机制结合起来,强化信息资源管理体系安全、正常地运行,确保重要数据的安全和信息资源管理系统稳定的运行。
(作者王茂光 为中央财经大学信息学院副教授,中国计算机学会软件工程专委委员)