网络安全法在石油网络安全管理中的深化应用

2019-12-24 13:24管冬平
网络安全技术与应用 2019年2期
关键词:网络空间信息安全石油

◆管冬平

网络安全法在石油网络安全管理中的深化应用

◆管冬平

(中国石油西南油气田分公司 四川 610051)

本文的研究以石油网络安全管理为核心,分析网络安全法的基本原则,提出网络安全法在石油网络安全管理中的深化应用,发挥网络安全法的作用和价值,提高石油网络安全管理水平,并为相关研究人员提供一定的借鉴和帮助。

网络安全法;石油网络安全管理;人员培训;应急措施

0 引言

随着石油企业的快速发展,先进的信息技术不断应用到石油企业内部系统建设中,网络安全问题也愈发复杂。早就从2008年起,石油企业加大了对网络安全和信息安全的重视程度,通过规范化的网络安全管理,促进石油企业的稳健发展。在这样的环境背景下,探究网络安全法在石油网络安全管理中的深化应用具有非常重要的现实意义。

1 《网络安全法》的主要原则

《网络安全法》作为一项规范网络空间安全管理的基础性法律规定,对我国网络空间法制建设具有重大作用,可以化解网络风险,进而推动互联网的法制建设和运行。针对石油网络安全管理工作,可以为各项安全管理制度的制定和完善,提供切实的法律保障,具体原则如下:

(1) 空间主权原则

《网络安全法》中明确指出,必须维护我国网络空间主权,这是国家主权在网络空间的综合表现,习近平主席在《联合国宪章》中强调了主权平等原则属于当代国家关系基本原则,其影响范围涉及到国与国间的交往领域,其精神与原则同样可以应用在网络空间中,其网络发展道路、管理模式以及公共政策,要享受到平等的网络空间治理权力。同时《网络安全法》也适用在我国境内网络和网络安全管理中。

(2) 信息化原则

网络安全是一切发展的基本条件基本保障,这就使得安全与发展必须同步进行。换句话说,网络安全与信息化发展必须同步进行,统一规划、部署、推进和实施。在《网络安全法》第三条中提出,我国必须坚持网络安全和信息共同发展的原则,依照积极利用、依法管理、科学发展的理念,加强网络基础建设,促进网络技术的创新与应用,并构建完善的网络安全保障体系,实现网络安全水平的提升。

(3) 共同治理原则

网络空间安全如果单纯依赖于政府机关是无法达到最佳的安全管理效果,所以需要政府机关、社会组织、相关企业以及社会群体的共同努力,将所有网络利益相关者整合起来,共同参与到网络安全管理中,根据自身角色承担网络安全治理责任,形成共同治理的局面。

2 网络安全法在石油网络安全管理中的深化应用

(1) 完善管理制度,规划安全方向

在石油网络安全管理工作中,要根据《网络安全法》中的相关规定,提炼出精华部分,应用到石油网络安全管理体系中,制定一套完整的石油网络安全管理制度,规范网络安全管理行为,并紧紧抓住网络安全管理的大方向,明确石油网络安全管理重点,进而有利于石油网络安全管理水平的提升。从石油网络安全管理本质上看,其属于一种信息安全管理模式,主要是为了加强石油企业安全管理能力,促进石油企业的持续性良好运作,为石油企业的信息资源提供基本保障。在制定网络安全管理制度中,围绕《网络安全法》,借助各种安全标准和参考标准,规范网络安全管理行为,避免违规操作造成的网络风险,进而促进石油网络安全管理工作的规范化和科学化。

(2) 加强日常检查,建设安全域

在石油网络安全管理中,根据《网络安全法》的核心原则,开展网络安全和合规性检查工作,利用日常检查的方式,对企业网络安全管理工作进行梳理和优化,对高危安全漏洞进行彻底的排查,有效识别工控系统中的各种安全风险,核对信息系统中的定级备案现状。同时,根据石油企业实际需求,开展信息系统常规安全检查、工业控制系统安全检查以及各个网络系统等级保护合规性检查,进而将网络风险扼杀在摇篮中。除此之外,石油企业要加强网络安全域建设,合理划分石油企业的网络安全域,把石油企业网络根据使用功能划分成内网、外网、专网和专线等部分,各个类型的网络必须配以对应的访问规则,实现石油网络的分区防护,建设统一的互联网出口,合理布设安全防护设备,提高网络访问的安全性。

(3) 创新安全技术,深化应用价值

基于《网络安全法》的核心原则,在石油网络安全管理中,要对网络安全技术进行创新和优化,特别是在网络安全设施逐渐开放化背景下,在传统网络安全管理中,物理隔离技术、加密隔离技术和内外网隔离技术只能对传统网络框架进行安全防护。随着科学技术的不断发展,以隔离为核心的安全体系得到了新的升级,涌现出一些以硬件销售为主营业务的网络安全公司,主要涉及到防火墙、入侵防御系统、入侵检测系统、威胁管理系统、SSL网管等技术,无需提供商的参与,通过总集成应用和信息安全建立连接,形成相对独立的安全防护体系。传统网络安全技术具备分散割据化、对应用的封闭化、硬件盒子化等特征,封闭化的安全设备从某种意义上维护了传统安全厂商的利益, 但是却损害了用户的利益。而从用户的角度来看,未来安全设备的开放化、可编程化是需要用户去推动的趋势。

3 网络安全法在石油网络安全管理中的应用实践成效

某石油企业为了贯彻《网络安全法》和“两会”、“十九大”网络安全保障要求,构建信息安全责任机制,加强全员安全意识,狠抓风险识别和整改,逐步提高网络安全管控能力,切实保障信息系统安全稳定运行。

(1) 落实网络安全责任机制

在网络安全管理中,遵循“谁主管谁负责、谁使用谁负责”的原则,落实网络安全责任制,各个部门紧密合作,形成联动协作系统,由各部门负责人签署网络安全保障责任承诺书,信息系统建设商、运维商签署网络安全责任书,落实相关责任,带动网络安全管理工作的开展。

(2) 强化安全整治迎检工作

结合石油信息安全现状,实行87个检查项目,对420多个控制点进行安全规划部署,特别是针对安全管理和各个网络系统开展全面自查活动,建设风险点台账,进而实现石油网络安全整治,解决油库工控网与办公网中的安全防护问题,并针对移动应用、账户权限、密码管控以及互联网应用等问题进行专项治理,加强终端管理系统的推广和部署,联合防护机制,以符合网络安全控制要求。

(3) 做好监测预警与应急工作

石油企业在“两会”和“十九大”会议期间,针对勒索病毒的入侵,实行24小时轮岗值守机制,组织技术人员针对石油企业网络边界设备与服务器等网络设备进行安全防护,而对企业内部WIN桌面终端实行拉网式紧急防护措施,预防各种网络安全事件的发生,从根源处消除安全隐患,并在数据中心机房开展火灾、停电、漏水、网络、服务器故障等信息基础设施损坏应急预案演练和ERP等,重要信息系统故障后业务应急演练,有效保障信息安全。

(4) 开展《网络安全法》培训宣传活动

石油企业以“增强网络安全意识,共筑安全发展基石”目标,在全体员工中组织开展网络安全宣传活动,在石油企业官方网站组织网络安全知识有奖答题活动,并对信息部门、基层信息综合运维岗、信息关键用户等进行安全技能培训,使IT人员熟练掌握安全攻防技能、运维、日志审计系统的日常使用。在培训中,介绍我国互联网的发展状况、网络安全面临的形势以及《网络安全法》中与工作、生活相关的重要法律法规等内容,还要结合公司实际讲解公司网络基本架构、安全防范措施等等,表明网络安全的重要地位,让企业内部员了解《网络安全法》,认识到网络安全,形成自觉意识,积极参与到石油企业网络安全管理中,提高石油企业网络安全管理的综合水平。

4 结束语

综上所述,网络安全法是一项面向网络空间安全管理的法律体系,在石油网络安全管理中,要遵循网络安全法的相关规定和原则,为石油网络安全管理工作提供依据,保证各项网络安全管理工作的顺利开展,提高综合管理水平。

[1]孟庆军.如何提升石油化工企业网络安全管理现状[J].中国信息化,2017.

[2]刘剑.石油企业IT风险管理体系研究[D].西南石油大学,2016.

[3]温哲.石油化工企业的信息安全风险管理研究[D].北京理工大学,2016.

猜你喜欢
网络空间信息安全石油
信息安全不止单纯的技术问题
计算机网络信息安全技术研究
网络空间攻防对联合作战体系支援度评估指标体系构建
《网络空间安全》订阅单
《网络空间安全》订阅单
《网络空间安全》订阅单
延长石油:奋力追赶超越 再铸百年辉煌
石油PK太阳能
2014第十五届中国信息安全大会奖项
假如地狱里发现了石油