隨著我國信息化建設的不斷深入，信息化已經成為企業(yè)發(fā)展的重要推動力量，國外石化企業(yè)信息化建設和應用已經走在我們前面，加入WTO更對石化企業(yè)提出了新的挑戰(zhàn)，就石化企業(yè)而言，信息化是生存和發(fā)展的必由之路。

 

　　信息化是一項系統工程，任何一方面都不能偏廢，信息化安全也是信息化建設的關鍵環(huán)節(jié)。如果信息化網絡不安全，人們使用網絡的積極性會喪失，開放的網絡最終會走向封閉，信息化就失去意義。隨著互聯網日益蓬勃的發(fā)展和企業(yè)集團信息化整合的加強，企業(yè)網絡應用的范圍在不斷擴大，如通過互聯網獲取信息、展現企業(yè)形象、開展電子商務等，通過廣域網實現集團內部資源共享、統一集團管理等，企業(yè)信息化網絡不再是單純意義上的Intranet，而更多的則是基于Internet的網絡和應用。網絡開放了，安全問題就更加嚴峻，特別是某些安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。信息化安全是一個普遍問題，但是，不同行業(yè)信息化有自己的特點，信息化安全的重點和所采取的對策也不盡相同，因此，針對石化企業(yè)信息化的特點，系統地分析安全問題并提出適合行業(yè)特點的安全對策是有必要的。

 

　　2 石化企業(yè)信息化特點

 

　　石化企業(yè)信息化當前主要有四個突出特點：信息化重點是管控一體化、追求高性能和高可靠性、統一信息化平臺基本建成、網絡應用日益加強。這四個特點是由石化行業(yè)自身的特點決定的，并具有一定的時代特點。信息化重點是管控一體化。石化企業(yè)是典型的資金和技術密集型企業(yè)，生產的連續(xù)性很強，裝置和重要設備的意外停產都會導致巨大的經濟損失，因此生產過程控制大多采用DCS等先進的控制系統，生產管理上也更注重安全和平穩(wěn)運行。通過加強生產管理，可以實現管理與生產過程控制的融合，通過優(yōu)化調度、先進控制和優(yōu)化控制等手段，在保證生產平穩(wěn)的基礎上獲取更大的經濟效益，因此，石化企業(yè)信息化的重點是管控一體化。管控一體化的關鍵是生產數據采集，核心是基于實時數據庫的生產調度管理。追求高性能和高可靠性。由于石化企業(yè)具有雄厚的資金支持，并且信息化建設的投資一般只占企業(yè)的整個投資的一小部分，所以，在信息化建設資金保證上相對其他一些企業(yè)要好。石化企業(yè)是連續(xù)生產企業(yè)，并且信息化建設的規(guī)模也比較大，因此對信息化設備和系統的性能和可靠性要求也很高，信息化設備大多采用國外進口設備，系統應用的開發(fā)也更傾向于與國內或國際知名公司合作。統一信息化平臺基本建成。隨著我國加入WTO，競爭全球化更加激烈，國內三大石油集團都在不斷地加強內部整合，向著成為主業(yè)突出、核心競爭力強的大型跨國企業(yè)集團的目標而努力，以增強國際競爭力。為了加強集團內部管理，一個重要舉措就是建立統一的信息化平臺，實現集團內部信息無縫流通、資源共享，從而強化對集團內部各企業(yè)的統一管理。目前，國內三大石油集團的信息化基礎網絡已經基本建成，中石油有CNPCnet（石油計算機網），并于去年開始啟動了“石油計算機網絡二期工程”建設項目，以打造更加完善的統一的信息化平臺，中石化和中海油也都建成連接下屬企業(yè)單位的互聯網絡。網絡應用日益加強。隨著集團內部統一信息化平臺的建成，網絡應用也越來越廣泛。中石油的中油財務系統就是最典型的網絡應用，它通過廣域網實現總公司對各子公司的財務管理和監(jiān)督。中石油的“能源一號”電子商務網站和中石化的電子商務網站都保持了良好的運營狀態(tài)，在集團設備和貨物的銷售與采購中的作用也越來越大。在石化企業(yè)內部，絕大部分應用都已經脫離了單機環(huán)境，基于互聯網的應用也得到進一步推廣。

 

　　3  信息化安全分析

 

　　信息化安全是一個很廣泛的概念，許多安全問題如設備損壞、病毒危害、惡意攻擊和入侵、電子商務安全等都屬于信息化安全范疇，概括地講，信息化安全問題主要分為四大類：物理安全、網絡安全、信息安全、管理安全。物理安全。物理安全主要指信息化系統、設備、工作環(huán)境等在物理上采取的保護措施。物理安全是信息化安全的基礎，典型的物理安全主要包括以下幾方面的問題：設備故障和意外災難等導致信息化網絡暫時不可用和數據丟失等；骨干網絡采用單獨的核心交換設備，核心交換設備的故障會使整個網絡的不可用；關鍵服務器存儲設備的失效導致存儲數據的丟失和服務中止；信息化設備運行環(huán)境質量問題引起設備故障。網絡安全 。網絡安全主要是指網絡訪問、使用、操作的安全，它是信息化安全中最普遍的內容。網絡安全問題主要包括：病毒危害和訪問安全。病毒危害。在開放網絡環(huán)境下，計算機病毒的危害比以往要大得多，特別是近幾年，通過互聯網進行傳播的病毒數量急劇增長，危害范圍也不斷擴大，由于計算機病毒帶來的經濟損失數量是巨大的。對付計算機病毒的最好的方法是安裝防病毒軟件，企業(yè)用戶需要網絡版的防病毒軟件，網絡版防病毒軟件至少應具備以下特點：實時查殺病毒、智能安裝、快速方便地升級、系統兼容性強、管理方便、系統恢復容易。訪問安全。訪問安全是指對設備、資源、信息和服務訪問權限的安全控制。訪問安全也是最常見的安全問題，它的范圍是極為廣泛的，在企業(yè)中許多敏感的數據如財務數據和人事管理檔案等，它的訪問限制應該很嚴格的，只有部門相關業(yè)務人員或部分領導才有權查看；個人計算機上的文件如果不共享別人也不能查看；企業(yè)中生產控制網絡與管理網絡之間一般也通過防火墻隔離；重要計算設備也只對部分單位和人員公開；網管人員可能會限制你瀏覽互聯網的權限和時間；有人可能會嘗試登錄路由器管理環(huán)境等，你的防火墻可能受到外部攻擊等等，諸多訪問安全問題常常會呈現在網絡管理員面前。信息安全。信息安全主要是指信息交換安全。遠程辦公和電子商務的發(fā)展推動了信息安全需求。遠程辦公要求企業(yè)局域網具備遠程接入設備，一般通過撥號或互聯網實現遠程接入，這兩種情況都需要對連接者身份進行嚴格驗證，防止非法用戶的進入，為了防止傳輸過程中的信息被竊聽，要求登錄用戶名和密碼以及數據在傳輸過程中進行有效的加密。電子商務網站的信息安全更加重要，它是能否實現電子商務的前提，只有保證交易的安全，人們才會有信心去使用它，否則就談不上電子商務。要做到電子商務的信息安全首先要保證網站自身的安全，網站必須要有切實有效的安全措施，否則用戶的重要信息一旦丟失或被竊取將會造成不可挽回的損失。交易是雙方的事情，所以必須對交易雙方進行身份驗證，還要保證交易的不可否認性，避免事后抵賴，交易過程中的所有信息的傳輸都要求經過驗證和加密，保證數據的完整性和保密性。為了增強信息安全，需要對登錄信息和交易信息進行安全審計記錄，從而可以對非法入侵進行跟蹤，并分析系統的安全狀況。管理安全。管理安全是指通過加強安全管理來保證物理安全、網絡安全和信息安全措施的實現。信息化安全是一項系統工程，如果沒有有效的安全管理，其他的任何努力都形同虛設。信息化安全需要一個完善的安全管理體系，從安全管理組織、制度、措施上都要制定一整套相應的規(guī)范。

 

　　4  信息化安全對策

 

　　信息化安全問題不存在一勞永逸的解決方案，提出的任何安全對策也只能是更好地預防安全問題，盡量減少安全問題對正常業(yè)務的影響。針對石化企業(yè)信息化建設的特點和安全問題的分析，石化企業(yè)信息化安全的對策可以歸納為“三大對策”，即建設高可用性網絡、部署安全防護系統和建立安全保障體系。建設高可用性網絡。信息化網絡的可用性是指網絡能長時間連續(xù)運行、使用方便、可靠可信。建設高可用性網絡就是要建設具有高性能和高可靠性的信息化基礎網絡設施，實現信息化物理安全和網絡安全。建設高可用性網絡的主要措施含蓋信息化硬件和軟件以及需要重點考慮的災難恢復。信息化硬件 。信息化設備包括網絡設備、服務器、布線、機房設備等，要保證信息化網絡的高可用性，在設備選擇上必須堅持高性能和高可靠性，在系統設計上也要充分考慮網絡和設備的冗余備份，盡量避免網絡單點故障，服務器等關鍵設備的可靠性也要給予充分的重視。信息化軟件。信系化軟件主要包括操作系統、數據庫、應用程序等。應盡量選用性能好安全性高的操作系統，個人計算機操作系統可以選用Windows2000，服務器操作系統應優(yōu)先選用UNIX系統。數據庫主要包括實時數據庫和關系數據庫，在選型上應盡量選擇知名公司的產品，如中石油在應用ORACLE數據庫方面積累了豐富的經驗。應用程序可以采用商品化的軟件也可以與其他公司合作，合作開發(fā)伙伴要選擇熟悉行業(yè)應用，有豐富經驗的知名公司。災難恢復 。災難恢復是指當信息設備發(fā)生災難時對數據和服務的恢復，完整的災難恢復策略應包括備份硬件、備份軟件、備份制度和災難恢復計劃等。對企業(yè)而言，最珍貴的不是信息化設備或系統，而是存儲的各種文檔和數據庫信息，隨著信息化進程的深入，企業(yè)對計算機設備的依賴也越來越多。網絡的可用性也是極為重要的，如果網絡總是有問題，誰還有信心去用它？所以災難恢復是信息化安全中很重要的一個組成部分，必須想法保證數據存儲的可靠性，保證網絡服務和應用在故障時能盡快恢復。對石化企業(yè)而言，災難恢復保護的地方主要是企業(yè)關鍵數據庫和文件服務器。企業(yè)關鍵數據庫一般是指存儲企業(yè)生產管理數據的基礎數據庫，文件服務器主要是指辦公自動化所依賴的服務器，它存儲企業(yè)管理過程中所需的重要文檔和資料。先進的典型災難恢復系統是由集群服務器、存儲設備和相關軟件組成，當系統部分設備發(fā)生災難時可以保持服務的連續(xù)性并自動恢復或盡可能恢復最近的數據。典型災難恢復系統的一個重要特點就是災難恢復系統里的設備要做到地理分散，才能真正應對災難的發(fā)生。采用網絡備份來實現災難恢復也是一種通用的可行方案，成本相對低一些，但是對服務的恢復時間會比較長，數據恢復的程度也取決于備份策略和采用的設備，所以，網絡備份方案的關鍵是要制定有效的備份策略并選擇良好的備份硬件設備和備份軟件。

 

　　部署安全防護系統

 

　　部署安全防護系統主要指通過操作系統安全使用和部署安全防護軟件，實現信息化網絡安全和信息安全。 防病毒系統 。常見的計算機病毒主要是針對微軟的操作系統，如果你使用其他操作系統如UNIX或LINUX，基本可以不用擔心受感染，但是仍可能成為病毒傳播源和感染對象。企業(yè)用戶網絡節(jié)點多，如果采用單機防病毒軟件，成本高，維護起來也不方便，防病毒的效果也不理想，所以對企業(yè)而言，對付病毒的重要手段是部署網絡防病毒系統。網絡防病毒系統由防病毒主程序和客戶端以及其他輔助應用組成，它可以通過管理平臺監(jiān)測、分發(fā)部署防病毒客戶端，這種功能意味著可以統一并實施全企業(yè)內的反病毒策略，并封鎖整個系統內病毒的所有入口點。因為計算機病毒是動態(tài)發(fā)展的，到目前為止尚未發(fā)現“萬能”防病毒系統，所以你能做到只能是及時地更新病毒庫。目前，國內和國外的防病毒廠商都有能力提供企業(yè)級防病毒系統。要有效地對付計算機病毒，除了部署防病毒系統外，還要配合其他手段維護系統安全，做好數據備份是關鍵，并且要及時升級殺毒軟件的病毒庫，還要做好災難恢復。防火墻 。防火墻是目前最重要的信息安全產品，它可以提供實質上的網絡安全，它承擔著對外防御來自互聯網的各種攻擊，對內輔助企業(yè)安全策略實施的重任，是企業(yè)保護信息安全的第一道屏障，在信息化安全中應給予高度重視。防火墻從結構上分為軟件防火墻和硬件防火墻。硬件防火墻基于專門設計的硬件和系統，自身安全有保證、效率高、穩(wěn)定性好，但是功能單一，升級困難；軟件防火墻基于現有的操作系統如Windows，功能強大，但是自身安全性受限于操作系統。大部分軟件防火墻基于Windows平臺，也部分基于Linux平臺，基于Linux平臺的防火墻成本低，但是維護使用要相對困難一些。通過配置安全策略，防火墻主要承擔以下作用：禁止外部網絡對企業(yè)內部網絡的訪問，保護企業(yè)網絡安全；滿足內部員工訪問互聯網的需求；對員工訪問互聯網進行審計和限制。　現在的防火墻在功能上不斷加強，如可以實現流量控制、病毒檢測、VPN功能等，但是防火墻的主要功能仍然是通過包過濾來實現訪問控制。防火墻的使用通常并不能避免來自內部的攻擊，而且由于數據包都要通過防火墻的過濾，增加了網延遲，降低了網絡性能，要想充分發(fā)揮防火墻的作用，還要與其他安全產品配合使用。入侵檢測 。如果對系統的安全性要求較高，如為了保護電子商務網站和企業(yè)互聯網接口等，有必要采用入侵檢測產品，對重點主機或設備加強安全防護。 大部分入侵檢測系統主要采用基于包特征的檢測技術來實現，它們的基本原理是：對網絡上的數據包進行復制，與內部的攻擊特征數據庫進行匹配比較，如果相符即產生報警或響應。檢測到入侵事件后，產生報警，并把報警事件計入日志，日后可以通過日志分析確定網絡的安全狀態(tài)，發(fā)現系統漏洞等。如果它與防火墻等其他安全產品配合使用，可以在入侵發(fā)生時，使防火墻聯動，暫時阻斷非法連接，保護網絡不受侵害。在部署此類產品時要注意進行性能優(yōu)化，盡量避免屏蔽沒有價值的檢測規(guī)則。認證加密 。應用系統的安全同樣是不可缺少的，在企業(yè)內部，可以通過部署認證加密系統保障辦公自動化流程、控制敏感信息的訪問，特別是對電子商務，如何確認交易各方的身份，確保交易信息的保密性、完整性和不可否認性是交易正常進行的基本保證。認證加密是保證應用安全的有效手段，它主要是通過數字證書來實現的。數字證書是一個經證書授權中心數字簽名并包含客戶的公鑰等與客戶身份相關的信息數字證書，是網絡通訊中標志通訊各方身份信息的數據，它提供了一種公開承認的在互聯網上驗證身份的方式，一般由權威機構-CA（Certificate Authority）中心發(fā)行。數字證書可以存儲在IC卡、硬盤或磁盤等介質中，在基于數字證書的通過過程中，數字證書是合法身份的憑證，是建立保密通訊的基礎。

 

操作系統安全使用 。在信息化網絡中，操作系統的安全使用是保證網絡安全的重要環(huán)節(jié)，試想如果你打算與同事共享一個文件夾，可是你又沒有加密碼，共享的文件就會變成公開的文件！操作系統安全使用主要包括以下幾方面內容：用戶密碼管理、系統漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是企業(yè)都是很重要的。用戶密碼管理有許多的原則要遵守，最重要的就是不要使用空密碼，如當你使用Windows NT/2000時，如果不幸你使用空密碼，局域網中的任何人都可以隨意訪問你的計算機資源。如果你是系統管理員，制定嚴謹的用戶密碼策略是首要任務之一。漏洞檢測對關鍵服務器的操作系統是極為重要的，特別是對電子商務網站。任何操作系統都不可避免地存在安全漏洞，操作系統的漏洞總是不斷地被發(fā)現并公布在互聯網上，爭取在黑客沒有攻擊你的主機之前及時發(fā)現并修補漏洞是極為關鍵的。另外一種類型的漏洞并不是系統固有的，而是由于系統安裝配置缺陷造成的，同樣應引起足夠重視，對服務器而言，關閉不需要的服務或端口也是必要的。即使網絡很安全了，需要保密的信息在存儲介質上的加密仍然是必要的，因為任何網絡不能保證百分之百的安全。使用WindowsNT/2000等操作系統時，盡量使用NTFS分區(qū)，對重要信息起用加密保護功能，這樣就是信息意外泄露，也無法破解。操作系統的易用性和安全總是難以兼得，安裝操作系統時盡量不要使用默認值，在微軟尚未做出策略性調整之前，根據微軟現在的理念，系統的易用性仍然是首先考慮的，所以默認安裝會自動安全一些你并不熟悉且根本無用的服務和應用，并打開了許多特殊端口，這些服務、應用和端口很可能成為別人入侵你的跳板。

 

　　采用VPN（虛擬專用網） 。VPN是當前實現遠程辦公和電子商務合作伙伴間通訊的重要方法，它可以有效地降低廣域網通訊費用，并實現從任何位置安全地訪問企業(yè)內部網絡，它也可以作為企業(yè)內部重要資源訪問控制的一種手段。VPN通過Internet或其他公用IP網絡實現，可以滿足遠程通訊安全的基本需求，它將通訊信息進行加密和認證傳輸，從而保證了信息傳輸的保密性、數據完整性和信息源的可靠性，實現安全的遠程端到端連接。

 

      　VPN的實現主要基于以下技術：IPSec，IETF（Internet工程師任務組）制定的IP安全標準。通過認證機構發(fā)放數字證書和進行第三方認證。使用共享密鑰認證用于小規(guī)模的VPN網絡。VPN一般采用專用的設備實現，在選用VPN產品時應主要考慮幾點：可管理性、可擴展性、可靠性、兼容性和價格。建立安全保障體系。安全保障體系主要是指：對信息化安全管理的整套體制，包括管理組織、制度、措施等，通過安全管理，保證物理安全、網絡安全和信息安全措施的實現。建立安全管理組織。建立安全管理組織是安全保障體系的關鍵，對企業(yè)而言，應成立以主管領導、網絡管理員、安全操作員、安全專家等人員組成的多級安全管理體系，主管領導負責安全體系的建設和實施以及部門間協調工作，網絡管理員負責指定安全策略和組織技術實施，安全操作員負責安全措施的具體實施，安全專家參與重大安全問題決策和緊急情況下安全問題處理。建立安全管理制度。把安全策略執(zhí)行制度化，可以方便實施和管理。安全管理制度主要是指信息化設備和系統的使用、運行、管理和維護的有關規(guī)定以及其他相關安全策略的實施。制定安全應急方案。在企業(yè)中，小的安全問題可能比較容易解決，但是嚴重的安全問題對生產的影響是很大的，如系統設備故障或大范圍病毒感染等，這時的問題處理起來會特別復雜，有必要針對特定的安全問題制定安全應急方案。安全應急方案主要確定安全應急處理時的領導組織結構，解決問題的思路、方法和步驟，做好事前準備，不至于遇到問題時慌了手腳。加強網絡管理。加強網絡管理是信息化安全的重要環(huán)節(jié)，網絡管理的內容主要包括：操作系統安全策略的維護和檢查、系統和數據的備份、防火墻路由器等的安全檢查、審計分析網絡安全事件日志、設備和系統的日常維護等。只有加強網絡管理，才能保證網絡的安全可靠運行。加強安全宣傳。安全問題很多時候都出在內部，許多典型的網絡入侵事件都是借助于內部人員才得以實現的，而且嚴格的安全策略大多是針對外部的，所以應高度重視內部安全。除了從技術上盡量保證安全以外，通過加強宣傳，增加職工的安全和遵紀守法意識，讓廣大職工自覺地參與到安全保護中來，認真執(zhí)行安全策略，減少安全漏洞，信息化安全才有保證。

 

　　5  總結

 

　　信息化安全問題是一個嚴峻的問題，特別是隨著廣域網和互聯網應用的發(fā)展，安全問題變得更加突出。安全問題是融入到信息化建設的整個過程中的，它是一項系統工程，因此，僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的。對石化企業(yè)而言，針對行業(yè)特點，通過“建設高可用性網絡，部署安全防護系統，建立安全保障體系”，信息化安全才能得到最好保證。