前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的石化銷售企業(yè)信息安全論文，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

一、安全管理的現(xiàn)狀

（一）管理使用的系統(tǒng)

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)有以下特征：一是系統(tǒng)應(yīng)用范圍廣，全程參與企業(yè)的經(jīng)營、管理、對外服務(wù)等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對持續(xù)運轉(zhuǎn)要求高，因此對應(yīng)用系統(tǒng)的安全運轉(zhuǎn)要求較高。對公司的經(jīng)營管理而言，系統(tǒng)的安全穩(wěn)定運行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應(yīng)商、企業(yè)利益有密切關(guān)系。

（二）安全管理

隨著我國經(jīng)濟水平不斷提高，石化銷售企業(yè)越來越離不開信息化管理，世界各地的公司對內(nèi)部成立一個信息化團隊，根據(jù)內(nèi)部的需要制定出具有整體性的管理體系，并根據(jù)相關(guān)的信息安全規(guī)定對系統(tǒng)內(nèi)部的安全等級做好評估保護工作。各企業(yè)制定了詳細有效的“信息系統(tǒng)應(yīng)急預(yù)案”以應(yīng)付各類突發(fā)事件。近幾年，中國石化內(nèi)控體系在建設(shè)過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優(yōu)勢。當(dāng)前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡(luò)信息系統(tǒng)的安全性。

二、信息安全風(fēng)險的評估

衡量安全管理體系的風(fēng)險主要方法是進行信息安全風(fēng)險的評估，以此保障信息資產(chǎn)清單和風(fēng)險級別，進而確定相應(yīng)的防控措施。在石化銷售企業(yè)進行信息安全風(fēng)險的評估過程中，主要通過資金、威脅、安全性等識別美容對風(fēng)險進行安全檢測，同時結(jié)合企業(yè)自身的實際情況，擬定風(fēng)險控制相應(yīng)的對策，把企業(yè)內(nèi)的信息安全風(fēng)險竟可能下降到最低水平。

（一）物理存在的風(fēng)險

機房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險。當(dāng)前，部分企業(yè)存在的風(fēng)險有：1）企業(yè)機房使用年限過長，如早期的配電、布線等設(shè)計標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險；3）機房安全防護設(shè)施不齊全，存在風(fēng)險。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險

石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險，其中主要風(fēng)險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險

沒有經(jīng)過許可進行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實際應(yīng)用與系統(tǒng)安全風(fēng)險密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風(fēng)險

安全管理存在的主要指沒有同體的風(fēng)險安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風(fēng)險，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段，有效較強內(nèi)控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求。

三、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強企業(yè)的競爭力。

（一）組織體系

企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級負責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進行信息安全知識的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識，實現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系

操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險，提升應(yīng)急能力，以此加強信息安全的管理體系。

（三）技術(shù)體系

管理技術(shù)、防護技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會在最短的時間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺，以實現(xiàn)信息安全技術(shù)的有效控制。管理體系的核心是技術(shù)手段，先進的加密算法和強化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象，加強了管理員的安全管理技術(shù)（包括審計工作、監(jiān)視、進攻識別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強安全管理能力。

近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗，這時“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)。“云安全”技術(shù)主要使用分部式運算功能進行防御，而“云安全”技術(shù)對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術(shù)是未來安全防護技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點和實際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結(jié)論

現(xiàn)代企業(yè)管理與信息安全技術(shù)的發(fā)展要求我們對信息安全技術(shù)和產(chǎn)品本身不能完全的依賴，因為即使企業(yè)投入了巨大的人力、物理、財力，現(xiàn)實中也很難做到百分百的安全。信息安全標(biāo)準(zhǔn)越高，企業(yè)投放就越大，所以需要在信息安全標(biāo)準(zhǔn)與企業(yè)效益之間尋求一個平衡點。另外，企業(yè)要保持信息安全管理體系長久有效運行，最主要的是設(shè)立信息安全獎懲機制、連續(xù)改進機制和內(nèi)部信息安全審計機制。在信息安全管理體系建設(shè)全過程中，更要注重專業(yè)人才的建設(shè)和培養(yǎng)。要廣泛的開展信息安全宣傳、教育不斷提升全體員工的安全意識，使“要我安全”向“我要安全”的意識轉(zhuǎn)變。

作者：馮剛 單位：中石化山西忻州石油分公司