基于复杂国际形势下重要能源企业信息安全管理思路探索

郭嘉

现代化的信息技术和大数据理念正在愈发深入地影响着能源企业的发展，使得能源企业对自身信息安全更加关注，这是因为能源企业中信息化系统的应用规模和应用水平在逐渐加深，其日常运作及管理活动已与信息系统产生了大规模的深度融合，信息安全管理工作愈发成为能源企业的强化要点。信息安全成为了企业之间、国家之间的安全基石，特别是当今世界贸易保护主义、逆全球化的思潮抬头趋势明显，全球公共卫生危机蔓延，大国军力对抗加剧等都为国家能源安全造成了一定的负面影响，也对重要能源企业的信息安全工作提出了更高的要求。在复杂的国际形势下，国内的重要能源企业必须要明确信息安全管理的重大意义，并调整思路以加强信息安全管理。

一、当前国际能源形势现状分析

由于中美博弈的存在，国际能源形势也在发生较大改变。从原油贸易来看，随着贸易博弈的开始，2018年我国从美国进口的原油占其原油出口总量的11.27%，较前一年下降了近8%，2019年更是暴跌至4.48%，2020年3月仅为3.04%。而两国的液化天然气贸易波动也较为巨大，中国在2018年将美国液化天然气列入到600亿美元制裁商品名单中，甚至自2019年3月开始的12个月内，中国从美国进口的液化天然气归零。虽然今年一月中旬中美两国签署经贸协议，中方做出了未来两年内将从美国增购524亿美元石化、原油等能源产品的承诺，为世界经济带来利好。但是，能源前景依然不明朗。

（一）国际能源形势变数增多

“页岩革命”帮助美国打破数十年来对进口石油的持续依赖，油气产业迎来了“新生”，补齐了其能源权力中的短板，也由此促使能源大国俄罗斯和沙特共同建立“欧佩克+”机制以寻求联合，目前的国际能源市场形成了三级体系，其石油产量达到总产量的40%。今年初的公共卫生危机，带来了全球性经济休克，能源需求尤其是石油需求急剧下降，加之“欧佩克+”减产会谈破裂，沙特增产且发动能源价格战，导致国际油价暴跌，并波及美股数次触发熔断机制，这与美国及俄罗斯的利益发生冲突，而且石油业务盈利空间萎缩，中国能源企业在2020年第一季度出现了经营亏损。能源的不稳定性导致了世界能源局势的变数增加，对于国家的经济健康发展形成了重大隐患。我国的能源企业在面对当前复杂多变的能源新局势时，必须积极采取措施有效应对，方能维护我国能源领域的安全，为国家经济发展提供充足的动力。

二、加强能源企业信息安全管理的重要意义

（一）保障企业发展的战略要求

能源企业近年来力图通过信息化促进转型升级，构建高效、安全、可持续发展的现代能源体系。如今企业的发展和运作与信息化的融合已愈发紧密，办公系统、生产管理系统、采购预算计划、销售管理规划、核心数据及業务管理系统等关键流程高度依赖信息系统的可靠运行，因此保障信息安全已成为现代能源企业的基础战略要求，对业务的良好开展、敏感信息有效保护等均具有关键作用。如果信息安全存有漏洞，不仅可能导致经济损失，造成能源企业的经营计划、知识产权等核心数据的流失，破坏企业正常工作的开展，损害能源企业安全可靠的企业形象，甚至有可能损害其核心竞争力，信息安全管理故而成为了能源企业可持续性发展的重要课题。另外，信息安全管理有助于提高重大决策的可靠性，因为重大决策往往是依据已有的数据和数据分析来制定的，若企业的信息安全出现问题，其原始数据的准确性和真实性就难以得到保障，重大决策的制定就可能出现偏差。建立符合能源企业高要求、严标准的信息安全管理体系并不断完善，已经上升到企业的战略层面。

（二）保障国家能源安全的必然选择

身处能源时代，应该清楚地认识到能源是经济和社会发展的命脉，特别是在当今国际风云变幻莫测的复杂形势下，只有牢牢把握住能源安全，国家的安全发展才能真正处于主动地位。能源企业不仅是国家经济发展的核心和支柱，更是保障国家能源安全的“排头兵”。

能源企业信息安全面临的挑战愈发严峻，系统的安全漏洞、病毒感染、信息安全管理制度不完善都有可能造成能源信息的泄露，且近年来信息安全导致的能源安全问题频发，针对能源公司攻击再创新高，例如，病毒Havex成功入侵多家国际知名能源公司的数千个工控系统，造成水电大坝甚至区域电网的瘫痪，经济损失巨大；勒索病毒Petya攻击了包括俄罗斯石油巨头、乌克兰国家电力公司等机构，损坏其内部数据；齐鲁石化、大庆石化炼油厂也曾受到病毒攻击，造成控制系统服务器与控制器通讯中断。据统计，能源企业位于易受攻击的前五名。由此可以看出，信息安全是国家能源安全的基础，若是遭受攻击或发生数据泄露会严重威胁国家安全和公共利益。筑牢能源企业的信息安全管理防线，增强其防范能力建设是保障国家能源安全的必然选择。

三、能源企业加强信息安全管理的思路

（一）加强信息化设备的管护

信息安全离不开对相关设备的良好管护。我国能源企业信息化设备的管护工作依然存在着不足和薄弱环节，关键基础设备仍然存在较大的风险和隐患，这是因为信息化设备繁杂且更新换代快，从购买到维护需要大量资金和人力投入，而就整体而言，我国企业信息化安全预算普遍不足。信息安全管理工作不仅要有规划地完善企业所需的信息安全设备，而且需要培养建立设备管护团队，细化管护责任并落实到人，确保信息化设备从硬件到软件再到数据保护等各个环节的安全稳定，做到按需更新老旧设备，定期或根据实际应用情况查找操作系统和信息平台系统的安全漏洞，加强信息安全设备的防雷、防火、防水等，还可以通过加装机房专用空调、稳压器等维持信息安全设备的稳定运行。

（二）强化人员的安全防范意识

企业信息安全管理依靠于所有企业人员安全防范意识的增强。首先是信息技术人员要提升自身的责任心和工作主动性，不能仅在信息安全问题出现后才着手处理，而是应该主动开展信息化系统的隐患排查和软硬件提升工作，以帮助企业的信息安全系统能防范流行木马及病毒的攻击，要主动宣传和普及信息安全知识，以减少其他员工不规范操作的风险，为企业信息安全筑牢防范基础。其次是要全面提升企业普通员工素质，明确其安全操作底线。能源企业的员工要在思想中树立信息安全的红线，要明确公司在信息安全方面的规定和要求，不随意存放密级资料，对敏感数据要及时分类加密，密码设置不能简单随意，专机专用，涉密信息切忌上网，对移动存储介质使用必须谨慎等。另外要使企业管理人员关心信息、重视安全。管理人员对信息安全的重视程度，是决定企业信息安全状况的主要因素。只有各级管理人员重视信息安全，才能加大对信息安全事件的考核力度，才能为信息技术人员和普通员工的信息安全工作开展提供空间。

（三）完善信息安全管理体系

能源企业信息安全管理需要完善的组织管理体系和制度管理体系与之配合。完善组织管理体系要求以信息安全目标和方针为核心，建立信息安全决策、管理、执行以及监管的机构，且明确各级组织的职责范围、配合流程等，优化信息安全管理结构。完善信息安全制度管理体系要求完善纲领性、管理性、标准性和操作性文件体系，制定信息安全预案、安全操作流程和突发事件应急处理预案等一系列章程，同时考虑标准化信息安全奖惩机制，从而使信息安全管理系统化、规范化。

四、结语

综上所述，重要能源企业要想在国际能源形势变数增多的境遇中，实现企业快速稳定发展、保障国家能源安全，就必须要加强信息安全管理，调整管理思路，加强信息化设备的管护，强化企业人员的信息安全防范意识，完善信息安全管理体系，从而有效提高信息安全管理水平，保障能源企业的信息安全。

作者单位：朔黄铁路发展有限责任公司