石化企業(yè)信息化安全分析及對(duì)策
作者:李德湘 董永卿 李智敏
評(píng)論: 更新日期:2011年11月28日
1石化企業(yè)信息化需求
隨著我國(guó)信息化建設(shè)的不斷深入����,信息化已經(jīng)成為企業(yè)發(fā)展的重要推動(dòng)力量,國(guó)外石化企業(yè)信息化建設(shè)和應(yīng)用已經(jīng)走在我們前面���,加入WTO更對(duì)石化企業(yè)提出了新的挑戰(zhàn)���,就石化企業(yè)而言��,信息化是生存和發(fā)展的必由之路��。
信息化是一項(xiàng)系統(tǒng)工程��,任何一方面都不能偏廢��,信息化安全也是信息化建設(shè)的關(guān)鍵環(huán)節(jié)�����。如果信息化網(wǎng)絡(luò)不安全��,人們使用網(wǎng)絡(luò)的積極性會(huì)喪失����,開放的網(wǎng)絡(luò)最終會(huì)走向封閉�,信息化就失去意義。
隨著互聯(lián)網(wǎng)日益蓬勃的發(fā)展和企業(yè)集團(tuán)信息化整合的加強(qiáng)�����,企業(yè)網(wǎng)絡(luò)應(yīng)用的范圍在不斷擴(kuò)大��,如通過互聯(lián)網(wǎng)獲取信息����、展現(xiàn)企業(yè)形象、開展電子商務(wù)等�����,通過廣域網(wǎng)實(shí)現(xiàn)集團(tuán)內(nèi)部資源共享�、統(tǒng)一集團(tuán)管理等,企業(yè)信息化網(wǎng)絡(luò)不再是單純意義上的Intranet�����,而更多的則是基于Internet的網(wǎng)絡(luò)和應(yīng)用���。
網(wǎng)絡(luò)開放了����,安全問題就更加嚴(yán)峻�,特別是某些安全問題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視����。信息化安全是一個(gè)普遍問題��,但是�,不同行業(yè)信息化有自己的特點(diǎn)�,信息化安全的重點(diǎn)和所采取的對(duì)策也不盡相同,因此���,針對(duì)石化企業(yè)信息化的特點(diǎn)�,系統(tǒng)地分析安全問題并提出適合行業(yè)特點(diǎn)的安全對(duì)策是有必要的����。
2 石化企業(yè)信息化特點(diǎn)
石化企業(yè)信息化當(dāng)前主要有四個(gè)突出特點(diǎn):信息化重點(diǎn)是管控一體化、追求高性能和高可靠性�、統(tǒng)一信息化平臺(tái)基本建成、網(wǎng)絡(luò)應(yīng)用日益加強(qiáng)�����。這四個(gè)特點(diǎn)是由石化行業(yè)自身的特點(diǎn)決定的�����,并具有一定的時(shí)代特點(diǎn)�����。
信息化重點(diǎn)是管控一體化
石化企業(yè)是典型的資金和技術(shù)密集型企業(yè)�,生產(chǎn)的連續(xù)性很強(qiáng),裝置和重要設(shè)備的意外停產(chǎn)都會(huì)導(dǎo)致巨大的經(jīng)濟(jì)損失��,因此生產(chǎn)過程控制大多采用DCS等先進(jìn)的控制系統(tǒng)�,生產(chǎn)管理上也更注重安全和平穩(wěn)運(yùn)行。通過加強(qiáng)生產(chǎn)管理�,可以實(shí)現(xiàn)管理與生產(chǎn)過程控制的融合,通過優(yōu)化調(diào)度����、先進(jìn)控制和優(yōu)化控制等手段,在保證生產(chǎn)平穩(wěn)的基礎(chǔ)上獲取更大的經(jīng)濟(jì)效益����,因此,石化企業(yè)信息化的重點(diǎn)是管控一體化���。管控一體化的關(guān)鍵是生產(chǎn)數(shù)據(jù)采集�,核心是基于實(shí)時(shí)數(shù)據(jù)庫的生產(chǎn)調(diào)度管理����。
追求高性能和高可靠性
由于石化企業(yè)具有雄厚的資金支持����,并且信息化建設(shè)的投資一般只占企業(yè)的整個(gè)投資的一小部分�,所以,在信息化建設(shè)資金保證上相對(duì)其他一些企業(yè)要好��。石化企業(yè)是連續(xù)生產(chǎn)企業(yè)��,并且信息化建設(shè)的規(guī)模也比較大�����,因此對(duì)信息化設(shè)備和系統(tǒng)的性能和可靠性要求也很高����,信息化設(shè)備大多采用國(guó)外進(jìn)口設(shè)備,系統(tǒng)應(yīng)用的開發(fā)也更傾向于與國(guó)內(nèi)或國(guó)際知名公司合作�����。
統(tǒng)一信息化平臺(tái)基本建成
隨著我國(guó)加入WTO����,競(jìng)爭(zhēng)全球化更加激烈,國(guó)內(nèi)三大石油集團(tuán)都在不斷地加強(qiáng)內(nèi)部整合��,向著成為主業(yè)突出、核心競(jìng)爭(zhēng)力強(qiáng)的大型跨國(guó)企業(yè)集團(tuán)的目標(biāo)而努力�,以增強(qiáng)國(guó)際競(jìng)爭(zhēng)力。為了加強(qiáng)集團(tuán)內(nèi)部管理���,一個(gè)重要舉措就是建立統(tǒng)一的信息化平臺(tái),實(shí)現(xiàn)集團(tuán)內(nèi)部信息無縫流通�、資源共享,從而強(qiáng)化對(duì)集團(tuán)內(nèi)部各企業(yè)的統(tǒng)一管理�。目前,國(guó)內(nèi)三大石油集團(tuán)的信息化基礎(chǔ)網(wǎng)絡(luò)已經(jīng)基本建成��,中石油有CNPCnet(石油計(jì)算機(jī)網(wǎng))����,并于去年開始啟動(dòng)了“石油計(jì)算機(jī)網(wǎng)絡(luò)二期工程”建設(shè)項(xiàng)目,以打造更加完善的統(tǒng)一的信息化平臺(tái)���,中石化和中海油也都建成連接下屬企業(yè)單位的互聯(lián)網(wǎng)絡(luò)���。
網(wǎng)絡(luò)應(yīng)用日益加強(qiáng)
隨著集團(tuán)內(nèi)部統(tǒng)一信息化平臺(tái)的建成,網(wǎng)絡(luò)應(yīng)用也越來越廣泛����。中石油的中油財(cái)務(wù)系統(tǒng)就是最典型的網(wǎng)絡(luò)應(yīng)用�����,它通過廣域網(wǎng)實(shí)現(xiàn)總公司對(duì)各子公司的財(cái)務(wù)管理和監(jiān)督��。中石油的“能源一號(hào)”電子商務(wù)網(wǎng)站和中石化的電子商務(wù)網(wǎng)站都保持了良好的運(yùn)營(yíng)狀態(tài)��,在集團(tuán)設(shè)備和貨物的銷售與采購(gòu)中的作用也越來越大��。在石化企業(yè)內(nèi)部���,絕大部分應(yīng)用都已經(jīng)脫離了單機(jī)環(huán)境,基于互聯(lián)網(wǎng)的應(yīng)用也得到進(jìn)一步推廣���。
3? 信息化安全分析
信息化安全是一個(gè)很廣泛的概念�,許多安全問題如設(shè)備損壞�����、病毒危害��、惡意攻擊和入侵�����、電子商務(wù)安全等都屬于信息化安全范疇,概括地講�,信息化安全問題主要分為四大類:物理安全、網(wǎng)絡(luò)安全���、信息安全�、管理安全�。
物理安全
物理安全主要指信息化系統(tǒng)、設(shè)備��、工作環(huán)境等在物理上采取的保護(hù)措施��。
物理安全是信息化安全的基礎(chǔ)�����,典型的物理安全主要包括以下幾方面的問題:設(shè)備故障和意外災(zāi)難等導(dǎo)致信息化網(wǎng)絡(luò)暫時(shí)不可用和數(shù)據(jù)丟失等�;骨干網(wǎng)絡(luò)采用單獨(dú)的核心交換設(shè)備����,核心交換設(shè)備的故障會(huì)使整個(gè)網(wǎng)絡(luò)的不可用;關(guān)鍵服務(wù)器存儲(chǔ)設(shè)備的失效導(dǎo)致存儲(chǔ)數(shù)據(jù)的丟失和服務(wù)中止�;信息化設(shè)備運(yùn)行環(huán)境質(zhì)量問題引起設(shè)備故障。
網(wǎng)絡(luò)安全?
網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)訪問、使用�、操作的安全,它是信息化安全中最普遍的內(nèi)容�����。
網(wǎng)絡(luò)安全問題主要包括:病毒危害和訪問安全�����。
病毒危害
在開放網(wǎng)絡(luò)環(huán)境下���,計(jì)算機(jī)病毒的危害比以往要大得多�����,特別是近幾年�����,通過互聯(lián)網(wǎng)進(jìn)行傳播的病毒數(shù)量急劇增長(zhǎng)����,危害范圍也不斷擴(kuò)大����,由于計(jì)算機(jī)病毒帶來的經(jīng)濟(jì)損失數(shù)量是巨大的����。
對(duì)付計(jì)算機(jī)病毒的最好的方法是安裝防病毒軟件���,企業(yè)用戶需要網(wǎng)絡(luò)版的防病毒軟件�,網(wǎng)絡(luò)版防病毒軟件至少應(yīng)具備以下特點(diǎn):實(shí)時(shí)查殺病毒����、智能安裝、快速方便地升級(jí)���、系統(tǒng)兼容性強(qiáng)����、管理方便����、系統(tǒng)恢復(fù)容易�����。
訪問安全
訪問安全是指對(duì)設(shè)備、資源���、信息和服務(wù)訪問權(quán)限的安全控制���。
訪問安全也是最常見的安全問題,它的范圍是極為廣泛的�����,在企業(yè)中許多敏感的數(shù)據(jù)如財(cái)務(wù)數(shù)據(jù)和人事管理檔案等�,它的訪問限制應(yīng)該很嚴(yán)格的,只有部門相關(guān)業(yè)務(wù)人員或部分領(lǐng)導(dǎo)才有權(quán)查看�����;個(gè)人計(jì)算機(jī)上的文件如果不共享別人也不能查看����;企業(yè)中生產(chǎn)控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間一般也通過防火墻隔離;重要計(jì)算設(shè)備也只對(duì)部分單位和人員公開����;網(wǎng)管人員可能會(huì)限制你瀏覽互聯(lián)網(wǎng)的權(quán)限和時(shí)間;有人可能會(huì)嘗試登錄路由器管理環(huán)境等����,你的防火墻可能受到外部攻擊等等���,諸多訪問安全問題常常會(huì)呈現(xiàn)在網(wǎng)絡(luò)管理員面前。
信息安全
信息安全主要是指信息交換安全����。
遠(yuǎn)程辦公和電子商務(wù)的發(fā)展推動(dòng)了信息安全需求。遠(yuǎn)程辦公要求企業(yè)局域網(wǎng)具備遠(yuǎn)程接入設(shè)備�����,一般通過撥號(hào)或互聯(lián)網(wǎng)實(shí)現(xiàn)遠(yuǎn)程接入���,這兩種情況都需要對(duì)連接者身份進(jìn)行嚴(yán)格驗(yàn)證���,防止非法用戶的進(jìn)入,為了防止傳輸過程中的信息被竊聽�,要求登錄用戶名和密碼以及數(shù)據(jù)在傳輸過程中進(jìn)行有效的加密����。
電子商務(wù)網(wǎng)站的信息安全更加重要,它是能否實(shí)現(xiàn)電子商務(wù)的前提��,只有保證交易的安全,人們才會(huì)有信心去使用它����,否則就談不上電子商務(wù)。要做到電子商務(wù)的信息安全首先要保證網(wǎng)站自身的安全����,網(wǎng)站必須要有切實(shí)有效的安全措施,否則用戶的重要信息一旦丟失或被竊取將會(huì)造成不可挽回的損失����。交易是雙方的事情,所以必須對(duì)交易雙方進(jìn)行身份驗(yàn)證�����,還要保證交易的不可否認(rèn)性�����,避免事后抵賴�,交易過程中的所有信息的傳輸都要求經(jīng)過驗(yàn)證和加密,保證數(shù)據(jù)的完整性和保密性�����。
為了增強(qiáng)信息安全,需要對(duì)登錄信息和交易信息進(jìn)行安全審計(jì)記錄��,從而可以對(duì)非法入侵進(jìn)行跟蹤��,并分析系統(tǒng)的安全狀況�����。
管理安全
管理安全是指通過加強(qiáng)安全管理來保證物理安全��、網(wǎng)絡(luò)安全和信息安全措施的實(shí)現(xiàn)�。信息化安全是一項(xiàng)系統(tǒng)工程,如果沒有有效的安全管理����,其他的任何努力都形同虛設(shè)。信息化安全需要一個(gè)完善的安全管理體系����,從安全管理組織、制度����、措施上都要制定一整套相應(yīng)的規(guī)范。
4? 信息化安全對(duì)策
信息化安全問題不存在一勞永逸的解決方案����,提出的任何安全對(duì)策也只能是更好地預(yù)防安全問題,盡量減少安全問題對(duì)正常業(yè)務(wù)的影響����。
針對(duì)石化企業(yè)信息化建設(shè)的特點(diǎn)和安全問題的分析,石化企業(yè)信息化安全的對(duì)策可以歸納為“三大對(duì)策”���,即建設(shè)高可用性網(wǎng)絡(luò)���、部署安全防護(hù)系統(tǒng)和建立安全保障體系。
建設(shè)高可用性網(wǎng)絡(luò)
信息化網(wǎng)絡(luò)的可用性是指網(wǎng)絡(luò)能長(zhǎng)時(shí)間連續(xù)運(yùn)行�����、使用方便���、可靠可信����。
建設(shè)高可用性網(wǎng)絡(luò)就是要建設(shè)具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡(luò)設(shè)施���,實(shí)現(xiàn)信息化物理安全和網(wǎng)絡(luò)安全�����。建設(shè)高可用性網(wǎng)絡(luò)的主要措施含蓋信息化硬件和軟件以及需要重點(diǎn)考慮的災(zāi)難恢復(fù)��。
信息化硬件
信息化設(shè)備包括網(wǎng)絡(luò)設(shè)備��、服務(wù)器����、布線、機(jī)房設(shè)備等�����,要保證信息化網(wǎng)絡(luò)的高可用性���,在設(shè)備選擇上必須堅(jiān)持高性能和高可靠性�����,在系統(tǒng)設(shè)計(jì)上也要充分考慮網(wǎng)絡(luò)和設(shè)備的冗余備份�,盡量避免網(wǎng)絡(luò)單點(diǎn)故障�����,服務(wù)器等關(guān)鍵設(shè)備的可靠性也要給予充分的重視。
信息化軟件
信系化軟件主要包括操作系統(tǒng)���、數(shù)據(jù)庫、應(yīng)用程序等��。
應(yīng)盡量選用性能好安全性高的操作系統(tǒng)����,個(gè)人計(jì)算機(jī)操作系統(tǒng)可以選用Windows2000,服務(wù)器操作系統(tǒng)應(yīng)優(yōu)先選用UNIX系統(tǒng)����。
數(shù)據(jù)庫主要包括實(shí)時(shí)數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫,在選型上應(yīng)盡量選擇知名公司的產(chǎn)品�,如中石油在應(yīng)用ORACLE數(shù)據(jù)庫方面積累了豐富的經(jīng)驗(yàn)。
應(yīng)用程序可以采用商品化的軟件也可以與其他公司合作�����,合作開發(fā)伙伴要選擇熟悉行業(yè)應(yīng)用�,有豐富經(jīng)驗(yàn)的知名公司。
災(zāi)難恢復(fù)
災(zāi)難恢復(fù)是指當(dāng)信息設(shè)備發(fā)生災(zāi)難時(shí)對(duì)數(shù)據(jù)和服務(wù)的恢復(fù)����,完整的災(zāi)難恢復(fù)策略應(yīng)包括備份硬件���、備份軟件、備份制度和災(zāi)難恢復(fù)計(jì)劃等�����。
對(duì)企業(yè)而言����,最珍貴的不是信息化設(shè)備或系統(tǒng),而是存儲(chǔ)的各種文檔和數(shù)據(jù)庫信息�����,隨著信息化進(jìn)程的深入����,企業(yè)對(duì)計(jì)算機(jī)設(shè)備的依賴也越來越多。網(wǎng)絡(luò)的可用性也是極為重要的�����,如果網(wǎng)絡(luò)總是有問題���,誰還有信心去用它���?所以災(zāi)難恢復(fù)是信息化安全中很重要的一個(gè)組成部分��,必須想法保證數(shù)據(jù)存儲(chǔ)的可靠性�����,保證網(wǎng)絡(luò)服務(wù)和應(yīng)用在故障時(shí)能盡快恢復(fù)。
