浅析石化销售企业信息安全体系建设

石化销售企业信息安全的风险来源主要有：

1．自然灾害。例如水灾、火灾、地震等天灾，会造成信息基础设施的损害，进而影响企业信息本身。

2．技术灾害。一旦发生软硬件故障或网络入侵等行为，可能对企业信息安全造成严重损害。

3．人为灾害。内部员工故意或无意间泄漏企业信息造成的损失常常是难以估量的，外部人员的恶意人侵也会使企业遭受风险。

经过多年的信息化建设，公司的经营、管理对信息技术的依赖程度越来越高，目前在石化销售企业应用的信息系统主要有：

ERP系统、ERP报表管理系统、EHR人力资源系统、加油卡系统、零售管理系统、便利店管理系统、电子提油卡系统、物流信息系统、办公自动化系统等等。随着公司的不断发展，信息化建设对公司发展的作用越来越重要，对信息数据的安全、完整和可用性要求也越来越高，因此信息化建设中及时构建信息安全体系对企业的稳定发展意义重大。

一、石化销售企业信息安全建设中存在的主要问题

1．没有信息安全的标准和规范，建设没有依据，信息安全建设还处于摸索中。

2．公司信息安全设备和系统建设严重不足，目前只应用了低端的亿阳防火墙，入侵检测系统、行为管理系统、网管系统、数据备份系统等都没有使用。

3．实施安全系统和技术后，会使网络行为受到一定的约束和限制，给日常工作带来不便，个别员工存在抵触心理或不支持。

4．通过操作系统管理或桌面安全管理系统可以很好控制USB设备和网络行为的开放，为数据安全提供一定保障，但以工作不便等为由，通过审批，导致开放数量越来越多。加密系统建设方面，考虑可能会给大家的工作带来更多不便，将会受到更多和更严重的用户抵制和不支持，导致无法实施。

5．企业信息安全与工作方便是一对矛盾体，日常工作中不重视或忽视安全的重要性，只考虑方便性，将会影响信息安全建设的效果，给信息安全带来一定隐患，同时会严重影响整个体系建设。

6．信息安全技术人员数量严重不足，缺少对应的组织机构，缺乏激励机制吸引人才。

7．个别领导或员工对信息安全的重视不够，信息安全意识急需加强。

8．信息安全投资效益不能直接显现，很难评估，不容易引起领导重视，人员价值也很难体现。

二、石化销售企业信息安全建设的基本原则

信息安全建设的思路应该遵循“以应用为龙头，以管理为核心，以技术和产品为手段”的基本原则。做到统一规划，分步实施，按照信息系统的安全需求统一规划，有重点，分步实施，最终建立一个全面的信息安全体系；对于重要的信息系统，不应仅仅依靠一项预防措施， 而应建立一个多层次的积极主动的防范体系；由于石化销售企业信息系统的严密性、等级性，系统划分的复杂性，权限设置的全面性，信息安全建设也要体现多层次、多等级的原则；信息技术飞速发展，因此为确保安全技术的先进性，信息安全的措施必须及时更新，以适应不断变化的威胁环境；信息安全技术和管理手段应相结合，任何信息系统的应用都离不开人和物，所以信息系统的安全方案必须充分考虑对人和物的约束和监管，单靠技术或单靠管理都不能真正解决安全问题；应实现先进性和可行性相结合，任何安全措施我们既要保持它的系统先进性，同时还要确保它的可操作性。

三、石化销售企业信息安全体系建设要素

1．在企业信息安全行为中，对所有信息系统、信息数据应采用分级管理、多重防护的管理原则，根据不同的业务重要性，设定不同的信息安全等级，实施信息安全保护。

2．管理安全在企业中的实施是企业信息得以安全的关键，应建立健全规范化的信息安全管理办法、法律法规制度，加强内部和外部的安全管理、安全审计和信息跟踪。同时为在企业内贯彻制定的信息安全方针和政策，确保整个企业信息安全控制措施的实施，需要构建有效的信息安全组织架构。

3．企业信息的安全离不开人，如果相关人员的安全意识薄弱，则比其他任何安全不足带来的损失会更大。安全意识和安全技能的培训是安全管理的重要组成部分，培训效果将直接影响信息安全的执行结果，因此需要不断开展企业员工的信息安全意识、信息安全技能和职业道德培训。

4．信息的使用需要借助于一定的物理资源，所以信息安全的保护也离不开各种物理资源(如移动硬盘、光盘)的管理。因此，需要对各种物理资源加以控制，落到实处。

5．制定信息安全应急制度，完善应急体系。成立由领导者、管理者、应用者以及各方面专家为成员的信息安全应急团队，定期组织信息安全培训，制定严格的、准确的、可操作的应急响应办法，对信息安全事故做出快速、及时、准确、合理的响应，将企业的风险和损失降到最低点。

6．为确保信息安全，必须合理的应用信息安全技术，因为，信息技术安全是实现企业信息安全的核心。必须应用成熟的防火墙技术，控制访问权限，实现网络集中管理，实施网络准入，拒绝或限制任何不符合安全策略的设备或信息进入内部网络；应用网络行为管理系统，强化员工网上行为管理，避免人为的信息安全隐患；为了保证网络不会受到外来人侵的攻击，应规划部署网络入侵防御系统和漏洞扫描系统；加强桌面安全管理系统和补丁管理系统的推广使用；强化网络防病毒系统的管理、应用；构建、应用一套强大的网络管理系统；部署信息安全审计及日志管理系统；创建企业内部虚拟专用网(VPN)。

7．完善备份策略，建立可靠的灾备系统。按照数据重要程度制定不同的备份策略，该策略应包含详细的数据备份和恢复的操作程序和制度。目前公司对员工的个人资料和信息还没有进行统一的备份，当出现计算机软硬件故障时，往往会导致许多重要信息和数据丢失，因此，必须建立统一的个人数据备份管理系统，对个人数据进行统一管理和集中备份。

总的来说，没有绝对的安全技术、标准和规范，石化销售企业信息安全是一个动态的概念，需要不断改进，要靠“三分技术，七分管理”。建立企业信息安全整体架构，必须以技术作支撑，管理为手段，管理与技术并重；必须以企业具体需求为前提，选择适合企业的技术产品；必须成立一个健全的管理机构，制定完善的管理制度，并严格执行；必须不断修正信息安全体系，才能真；正保障企业的信息安全。