管道公司信息系统安全防护措施探讨

董奕平

（中油国际管道公司中缅油气管道项目，北京 100029）

0 引言

在信息技术迅猛发展和网络普及的背景下，各行各业将自身重要业务与计算机技术相结合，给日常工作带来了许多便利。但网络及信息系统带来的负面影响也逐渐凸显出来，一旦处理不当会给企业带来不可估量的损失。信息化时代下，企业信息系统的安全是企业良好运转的保障。所以，预防和消除信息系统的安全隐患，减少企业运营风险，加强安全防护的重要性就日益凸显出来。

1 管道公司信息系统安全现状分析

管道公司在信息技术蓬勃发展的浪潮中已先后建立了现代化信息系统，如财务管理系统、审计信息系统、人力资源及办公自动化系统等。这些系统的建立给管道公司的工作带来了极大便利，提高了各个部门乃至公司整体的运作效率。同时，这些信息系统也或多或少遭受过计算机病毒的侵害，企业在信息安全防护工作方面还存在严重不足。根据国家相关信息安全管理条例及行业信息安全细则内容排查，发现管道公司的信息系统存在以下问题。

1.1 基础硬件设施没有及时更新

基础硬件设施是企业引入信息系统时，投入购买的用于机房建设的基本设备，这些设备极易受到物理环境、自然灾难以及人为操作失误和恶意操作等影响，所以一直被存放在机房重地。由于机房和信息系统建立之初，一切都处于磨合阶段，对于机房设备管理和维护经验还不是十分成熟，这些设备有的应用多年没有得到定期维护和更新，造成设备老化或损毁。

1.2 机房管理制度制定不完善及执行缺乏力度

对于信息系统安全防护来说，机房的安全是信息系统安全的基础。经过实际工作经验的不断累积，管道公司逐渐建立了完整的机房管理制度，并建立了专门的管理部门进行管理。但随着科技的发展和人员的变更，制度也应该随之不断调整和变化。而实际工作中，管理制度不完善，工作人员对制度的执行力度也不大。

1.3 缺乏对信息系统的科学分级，未实行分级防护

信息系统内部的服务器种类很多，可以按照用途、功能、机箱结构等不同因素划分成不同类型。对于不同类型的服务器，应按照其内容进行科学合理分级，有针对性、目的性地实行分级保护。目前，管道公司缺乏对信息系统的科学分级，也未实行分级防护。

1.4 操作管理和数据信息防护不到位

在信息系统日常操作应用中，由于管理层措施不到位等，存在内部人员无意或恶意篡改数据或出现信息泄露的情况。比如，由于未设置数据库访问权限，没有根据工作人员岗位职责分配登录及访问权限，当出现内部工作人员恶意篡改数据时，无法通过监测系统及时捕捉并追查；员工离职后其自身登录系统口令并没有被及时修改和删除，有可能造成信息泄露和被被篡改的情况。

1.5 机房环境管理不到位

室内相对湿度过低时，在空气干燥的环境下，部分组件的运转和摩擦会产生静电，影响组件正常运行甚至造成损坏；反之湿度过高时，会增加组件接头电阻，使组件运转发生错误，造成组件被击穿。灰尘落到服务器组件的表面时，可能会造成运行障碍、短路等问题，增加组件故障率，导致服务器宕机。

2 加强信息安全防护的有效措施

2.1 建立信息安全管理体系

2.1.1 创建安全管理制度

在企业安全管理中，信息技术和人员是不稳定因素。企业除不断更新信息技术外，还要加强对人员及其行为的科学管理。安全管理制度对所有管理人员及操作人员日常操作行为进行规范，与信息系统管理有着同等重要的地位。它不仅能够调动全体员工参与信息安全防护工作的积极性，还能避免由于管理及操作不当给信息系统安全造成的损害。建立完善的安全管理制度对于信息管理工作的有序进行可以起到重要的指导作用。

2.1.2 成立安全管理机构或部门

成立专门机构对安全管理工作进行统一规划和处理，这是信息安全管理工作得以有效实施和进行的基础。通过构建自上而下的有关信息安全管理的决策、构建从管理到执行的完整组织层级，明确各个层级和每个岗位的安全职责，能够为安全管理工作提供组织保障。

2.1.3 加强信息系统后期运维管理

信息系统建设和投入使用之后，后期运维管理工作占据着相当重要的地位。系统运维内容复杂烦琐，比如，对操作系统运行环境需要进行日常和定期的检测和维护；对机房基础硬件设施及各个组件要进行定期维护、网络安全环境检测管理、恶意代码防入侵管理以及应急响应管理等。同时，还要在系统出现意外情况时及时采取应对措施，以保证系统始终处于安全保护的状态。

2.2 加强机房基础设施建设

机房是服务器、数据存储设备、网络通信设备等基本硬件设施存放和安装的重要场所，必须安装相应的配合基础设施正常运行的必要设备。在实际工作中，要根据机房实际情况做出相应调整。比如，根据机房设备运行情况对设备进行扩容；关注机房温度变化，当运行设备过多导致机房温度上升时，就需要相应增加降温设备。

管道公司机房普遍存在机柜、动力设备和网线、光纤布线等设备不断增加的情况，说明机房在最初建设时没有充分考虑到实际运行中产生的变化和需求；建设人员缺乏对机房长期运行的科学判断，导致机房的设计方面存在缺陷。管道公司对于机房的空间延展性并没有做出合理规划，导致机房性能无法满足当下的需求。管道公司机房在最初规划时，就要认真研究机房设计，以保证机房使用的长期性和空间延展性，避免因为机房改造给企业带来额外的经济投入。

2.3 严格执行机房管理制度

管道公司信息管理部门要根据实际工作需要，对工作人员进出机房和日常巡检制定相应管理条例与管理表单，并对工作人员实际执行过程通过机房监控系统进行有效监督，以保证机房的正常稳定运转，具体如下。

（1）合理设计《机房出入登记表》，保证登记信息完整、及时。

（2）禁止工作人员在机房内接打电话。建议严禁工作人员携带手机进入机房，避免被不良人员利用管理漏洞将机房重要资料和数据信息携带出去，造成企业信息泄露。

（3）对进入机房的维护人员全程跟踪，避免由于维护人员错误操作情况而造成事故，以及行为疏忽大意而造成计算机感染病毒的情况发生。

（4）注意机房的温度和湿度，将温度和湿度有效控制在适宜范围内，并应该密切关注机房环境卫生，做好灰尘的清理工作。

2.4 对信息系统进行分级防护

《信息安全等级保护管理办法》是为规范信息安全等级保护管理，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。企业必须认真学习《信息安全等级保护管理办法》，对信息系统进行分级保护。

2.4.1 确定信息系统安全定级

管道公司依据各个信息系统的情况及专业标准，将企业内部各部门运行系统及企业宣传信息和内部即时消息的安全保护等级定为二级，把关系到整个信息系统运行的各类型服务器的安全保护等级定为一级。

2.4.2 信息系统按照保护级别进行保护

首先，对各级别保护区域和测试服务器区域进行相应划分，在各个等级保护区域内安装相应信息安全保护设备，以有效保护信息安全。测试服务器则放在相应测试区域，避免各区域相互感染，影响系统正常运行。

2.5 严格执行操作系统和数据库信息安全防护措施

对操作系统的保护要根据其自身构成和特点有针对性地进行。数据库信息安全的防护专业且复杂，需严格执行相关防护措施。比如，对于系统账号和密码的设置，不能为了日常使用方便而设置过于简单的密码，这样会提高黑客破解的概率，极易造成企业生产经营信息被窃取。密码的设置，越复杂安全性越高，并且必须定期更新密码。对于数据库存在的漏洞问题，应及时打上数据库补丁，避免黑客利用漏洞入侵信息系统。对于服务器端口容易被黑客入侵传播病毒的情况，企业要加强保护，以降低信息系统被攻破的概率。

3 结语

目前，信息安全防护方面还存在许多问题，仍有很多工作需要开展。企业在实际工作中需要不断更新迭代信息技术，还要重视信息安全方面管理经验的累积，通过增加对信息系统数据备份和恢复工作的管理及对信息系统编码的规范，不断提高信息安全的综合防护能力，确保信息系统安全运行。