淺析石化銷售企業(yè)信息安全體系建設(shè)

    石化銷售企業(yè)信息安全的風(fēng)險(xiǎn)來(lái)源主要有：

    1．自然災(zāi)害。例如水災(zāi)、火災(zāi)、地震等天災(zāi)，會(huì)造成信息基礎(chǔ)設(shè)施的損害，進(jìn)而影響企業(yè)信息本身。

    2．技術(shù)災(zāi)害。一旦發(fā)生軟硬件故障或網(wǎng)絡(luò)入侵等行為，可能對(duì)企業(yè)信息安全造成嚴(yán)重?fù)p害。

    3．人為災(zāi)害。內(nèi)部員工故意或無(wú)意間泄漏企業(yè)信息造成的損失常常是難以估量的，外部人員的惡意人侵也會(huì)使企業(yè)遭受風(fēng)險(xiǎn)。

    經(jīng)過多年的信息化建設(shè)，公司的經(jīng)營(yíng)、管理對(duì)信息技術(shù)的依賴程度越來(lái)越高，目前在石化銷售企業(yè)應(yīng)用的信息系統(tǒng)主要有：

    ERP系統(tǒng)、ERP報(bào)表管理系統(tǒng)、EHR人力資源系統(tǒng)、加油卡系統(tǒng)、零售管理系統(tǒng)、便利店管理系統(tǒng)、電子提油卡系統(tǒng)、物流信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)等等。隨著公司的不斷發(fā)展，信息化建設(shè)對(duì)公司發(fā)展的作用越來(lái)越重要，對(duì)信息數(shù)據(jù)的安全、完整和可用性要求也越來(lái)越高，因此信息化建設(shè)中及時(shí)構(gòu)建信息安全體系對(duì)企業(yè)的穩(wěn)定發(fā)展意義重大。

一、石化銷售企業(yè)信息安全建設(shè)中存在的主要問題

    1．沒有信息安全的標(biāo)準(zhǔn)和規(guī)范，建設(shè)沒有依據(jù)，信息安全建設(shè)還處于摸索中。

    2．公司信息安全設(shè)備和系統(tǒng)建設(shè)嚴(yán)重不足，目前只應(yīng)用了低端的億陽(yáng)防火墻，入侵檢測(cè)系統(tǒng)、行為管理系統(tǒng)、網(wǎng)管系統(tǒng)、數(shù)據(jù)備份系統(tǒng)等都沒有使用。

    3．實(shí)施安全系統(tǒng)和技術(shù)后，會(huì)使網(wǎng)絡(luò)行為受到一定的約束和限制，給日常工作帶來(lái)不便，個(gè)別員工存在抵觸心理或不支持。

    4．通過操作系統(tǒng)管理或桌面安全管理系統(tǒng)可以很好控制USB設(shè)備和網(wǎng)絡(luò)行為的開放，為數(shù)據(jù)安全提供一定保障，但以工作不便等為由，通過審批，導(dǎo)致開放數(shù)量越來(lái)越多。加密系統(tǒng)建設(shè)方面，考慮可能會(huì)給大家的工作帶來(lái)更多不便，將會(huì)受到更多和更嚴(yán)重的用戶抵制和不支持，導(dǎo)致無(wú)法實(shí)施。

    5．企業(yè)信息安全與工作方便是一對(duì)矛盾體，日常工作中不重視或忽視安全的重要性，只考慮方便性，將會(huì)影響信息安全建設(shè)的效果，給信息安全帶來(lái)一定隱患，同時(shí)會(huì)嚴(yán)重影響整個(gè)體系建設(shè)。

    6．信息安全技術(shù)人員數(shù)量嚴(yán)重不足，缺少對(duì)應(yīng)的組織機(jī)構(gòu)，缺乏激勵(lì)機(jī)制吸引人才。

    7．個(gè)別領(lǐng)導(dǎo)或員工對(duì)信息安全的重視不夠，信息安全意識(shí)急需加強(qiáng)。

    8．信息安全投資效益不能直接顯現(xiàn)，很難評(píng)估，不容易引起領(lǐng)導(dǎo)重視，人員價(jià)值也很難體現(xiàn)。

二、石化銷售企業(yè)信息安全建設(shè)的基本原則

    信息安全建設(shè)的思路應(yīng)該遵循“以應(yīng)用為龍頭，以管理為核心，以技術(shù)和產(chǎn)品為手段”的基本原則。做到統(tǒng)一規(guī)劃，分步實(shí)施，按照信息系統(tǒng)的安全需求統(tǒng)一規(guī)劃，有重點(diǎn)，分步實(shí)施，最終建立一個(gè)全面的信息安全體系；對(duì)于重要的信息系統(tǒng)，不應(yīng)僅僅依靠一項(xiàng)預(yù)防措施， 而應(yīng)建立一個(gè)多層次的積極主動(dòng)的防范體系；由于石化銷售企業(yè)信息系統(tǒng)的嚴(yán)密性、等級(jí)性，系統(tǒng)劃分的復(fù)雜性，權(quán)限設(shè)置的全面性，信息安全建設(shè)也要體現(xiàn)多層次、多等級(jí)的原則；信息技術(shù)飛速發(fā)展，因此為確保安全技術(shù)的先進(jìn)性，信息安全的措施必須及時(shí)更新，以適應(yīng)不斷變化的威脅環(huán)境；信息安全技術(shù)和管理手段應(yīng)相結(jié)合，任何信息系統(tǒng)的應(yīng)用都離不開人和物，所以信息系統(tǒng)的安全方案必須充分考慮對(duì)人和物的約束和監(jiān)管，單靠技術(shù)或單靠管理都不能真正解決安全問題；應(yīng)實(shí)現(xiàn)先進(jìn)性和可行性相結(jié)合，任何安全措施我們既要保持它的系統(tǒng)先進(jìn)性，同時(shí)還要確保它的可操作性。

三、石化銷售企業(yè)信息安全體系建設(shè)要素

    1．在企業(yè)信息安全行為中，對(duì)所有信息系統(tǒng)、信息數(shù)據(jù)應(yīng)采用分級(jí)管理、多重防護(hù)的管理原則，根據(jù)不同的業(yè)務(wù)重要性，設(shè)定不同的信息安全等級(jí)，實(shí)施信息安全保護(hù)。

    2．管理安全在企業(yè)中的實(shí)施是企業(yè)信息得以安全的關(guān)鍵，應(yīng)建立健全規(guī)范化的信息安全管理辦法、法律法規(guī)制度，加強(qiáng)內(nèi)部和外部的安全管理、安全審計(jì)和信息跟蹤。同時(shí)為在企業(yè)內(nèi)貫徹制定的信息安全方針和政策，確保整個(gè)企業(yè)信息安全控制措施的實(shí)施，需要構(gòu)建有效的信息安全組織架構(gòu)。

    3．企業(yè)信息的安全離不開人，如果相關(guān)人員的安全意識(shí)薄弱，則比其他任何安全不足帶來(lái)的損失會(huì)更大。安全意識(shí)和安全技能的培訓(xùn)是安全管理的重要組成部分，培訓(xùn)效果將直接影響信息安全的執(zhí)行結(jié)果，因此需要不斷開展企業(yè)員工的信息安全意識(shí)、信息安全技能和職業(yè)道德培訓(xùn)。

    4．信息的使用需要借助于一定的物理資源，所以信息安全的保護(hù)也離不開各種物理資源(如移動(dòng)硬盤、光盤)的管理。因此，需要對(duì)各種物理資源加以控制，落到實(shí)處。

    5．制定信息安全應(yīng)急制度，完善應(yīng)急體系。成立由領(lǐng)導(dǎo)者、管理者、應(yīng)用者以及各方面專家為成員的信息安全應(yīng)急團(tuán)隊(duì)，定期組織信息安全培訓(xùn)，制定嚴(yán)格的、準(zhǔn)確的、可操作的應(yīng)急響應(yīng)辦法，對(duì)信息安全事故做出快速、及時(shí)、準(zhǔn)確、合理的響應(yīng)，將企業(yè)的風(fēng)險(xiǎn)和損失降到最低點(diǎn)。

    6．為確保信息安全，必須合理的應(yīng)用信息安全技術(shù)，因?yàn)椋�信息技術(shù)安全是實(shí)現(xiàn)企業(yè)信息安全的核心。必須應(yīng)用成熟的防火墻技術(shù)，控制訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)集中管理，實(shí)施網(wǎng)絡(luò)準(zhǔn)入，拒絕或限制任何不符合安全策略的設(shè)備或信息進(jìn)入內(nèi)部網(wǎng)絡(luò)；應(yīng)用網(wǎng)絡(luò)行為管理系統(tǒng)，強(qiáng)化員工網(wǎng)上行為管理，避免人為的信息安全隱患；為了保證網(wǎng)絡(luò)不會(huì)受到外來(lái)人侵的攻擊，應(yīng)規(guī)劃部署網(wǎng)絡(luò)入侵防御系統(tǒng)和漏洞掃描系統(tǒng)；加強(qiáng)桌面安全管理系統(tǒng)和補(bǔ)丁管理系統(tǒng)的推廣使用；強(qiáng)化網(wǎng)絡(luò)防病毒系統(tǒng)的管理、應(yīng)用；構(gòu)建、應(yīng)用一套強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)；部署信息安全審計(jì)及日志管理系統(tǒng)；創(chuàng)建企業(yè)內(nèi)部虛擬專用網(wǎng)(VPN)。

    7．完善備份策略，建立可靠的災(zāi)備系統(tǒng)。按照數(shù)據(jù)重要程度制定不同的備份策略，該策略應(yīng)包含詳細(xì)的數(shù)據(jù)備份和恢復(fù)的操作程序和制度。目前公司對(duì)員工的個(gè)人資料和信息還沒有進(jìn)行統(tǒng)一的備份，當(dāng)出現(xiàn)計(jì)算機(jī)軟硬件故障時(shí)，往往會(huì)導(dǎo)致許多重要信息和數(shù)據(jù)丟失，因此，必須建立統(tǒng)一的個(gè)人數(shù)據(jù)備份管理系統(tǒng)，對(duì)個(gè)人數(shù)據(jù)進(jìn)行統(tǒng)一管理和集中備份。

    總的來(lái)說(shuō)，沒有絕對(duì)的安全技術(shù)、標(biāo)準(zhǔn)和規(guī)范，石化銷售企業(yè)信息安全是一個(gè)動(dòng)態(tài)的概念，需要不斷改進(jìn)，要靠“三分技術(shù)，七分管理”。建立企業(yè)信息安全整體架構(gòu)，必須以技術(shù)作支撐，管理為手段，管理與技術(shù)并重；必須以企業(yè)具體需求為前提，選擇適合企業(yè)的技術(shù)產(chǎn)品；必須成立一個(gè)健全的管理機(jī)構(gòu)，制定完善的管理制度，并嚴(yán)格執(zhí)行；必須不斷修正信息安全體系，才能真；正保障企業(yè)的信息安全。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：淺析石化銷售企業(yè)信息安全體系建設(shè)

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/1083959372.html