石油企业信息安全问题与隐患及对策与建议

所属栏目:计算机信息安全论文 论文作者:/
论文摘要

  一、威胁与挑战

  在信息技术领域,信息安全和计算机系统安全是两个相互依赖而又很难分开的问题。保证信息安全的一个必要条件是实现计算机系统的安全。计算机固有的可访问性、聚生性和设防困难体现了计算机信息安全保密的脆弱性。网络的关联性以其“无国界性”和“超领土性”的虚拟存在,一定程度上已经成为整个社会赖以正常运转的神经系统。每个用户都可通过自己的计算机终端,充分利用各个计算机存储的大量文字、数据和图像资料。然而,由于计算机网络数据共享的需要,主机与用户之间、用户与用户之间要频繁的通过线路进行联络,这就存在许多泄密漏洞。

  从2010年开始,按照有关保密规定要求,国家机关和涉密单位互联网接入口数量大幅缩减,保密行政管理部门网络安全监控重心逐渐向中央企业偏移。纵观近年来我国发生的泄密案件,80%以上都是计算机网络泄密。深刻分析泄密的原因,石油企业计算机信息安全保密形势仍不容乐观。

  二、问题与隐患

  从2009年开始,根据国家保密要求和集团公司有关规定,石油企业大多数单位和机关部门先后配备了涉密计算机和安全U盘、安全移动硬盘等涉密移动存储介质,从整体运行和检查结果来看,基本上能够满足处理涉密信息的需要。但还存在以下问题和隐患:

  一是保密观念淡薄。少数人认为保密工作是保密部门的事情,与己无关。更有甚者,认为不产生秘密就无密可保,也就不需要保密。实际上,我们日常工作中的产生的文件以及工作秘密,也同样属于保密工作范畴,一旦泄露,会对国家和公司造成损失。另外,有些工作人员虽然具有一定保密意识,但缺乏基本的保密技能。例如,部分机关人员意识到企业文件应该保密,存储在自己的办公计算机上会设置密码,但却不知道在电子邮件中传输涉密文件也会造成泄密,更加不知道“涉密计算机不上网,上网计算机不涉密”的保密要求。

  二是管理制度落不到实处。在石油企业涉密计算机、涉密移动存储介质保密管理暂行规定中,都明确了连接互联网的计算机不得存储、处理、传递涉密信息等内容,处理涉密信息必须在涉密计算机上进行,但在实际中,仍有一些单位把这些“写在纸上、挂在墙上”的规定当做“摆设”,有令不行,有禁不止,在没有任何防范措施的情况下“一机两用”(一台计算机既当办公计算机用,又当涉密计算机用)。

  三是技术防范能力参差不齐。个别单位以成本紧张为由,不购买涉密计算机,用淘汰的计算机代替涉密计算机,人为制造泄密漏洞;有的部门涉密计算机设置的口令长度过短,使用周期过长,有的甚至不设口令,忽视了当前的“信息网络”防窃,任何人打开计算机就能进入系统,随意下载、拷贝存储的信息,造成了极大地泄密隐患;有些单位在计算机网络监控上舍不得投入,致使保密工作人员没有专业检测工具对计算机存储信息进行检查,计算机信息安全保密检查处于空白,即便发现问题也束手无策,保密工作难以深入有效开展。

  四是日常保密管理薄弱。计算机及其网络泄密根在网下。2011年11月某省出现的五家门户网站从互联网和其他网站转载秘密信息造成泄密事件,保密部门对五起泄密事件惊人一致的调查结论:单位领导对保密工作重视不够,管理不力;具体办事人员失职,对上网信息把关不严。

  根据这样的结论,同样的原因,也可能导致其他形式的泄密,比如编书、撰写论文、汇编资料,或向小贩卖文件等。有的机关工作人员计算机网络安全知识缺乏,总认为自己都在连接网络的办公计算机上处理文件、填写财务报表,已经无密可保,更谈不上采取防护措施等等。

  三、对策与建议

  强化宣传教育。保密管理最主要的还是提醒到位。一是必须加强普及性的保密宣传教育。在进行保密法律法规普及教育的同时,要紧密结合保密工作形势发展变化的需要,及时补充新的保密知识,包括秘密保护范围、涉密载体性能、计算机病毒防护和网络保护基本知识等。二是宣传教育要突出系统性和针对性。宣传教育内容要力求规范,具有可操作性。三是要加强涉密人员保密知识培训。要按照石油企业“六五”保密法制宣传教育规划,在抓好宣传教育的同时,扎扎实实搞好保密基础知识培训。

  加强日常管理。在现有的体制下,保密管理仍需要通过各级行政管理来具体实现。一是要强化领导干部保密责任制的落实。要通过定期的领导干部保密教育培训、责任书签订、形成保密工作记录等形式,切实落实领导干部保密责任制。要树立保密工作与信息公开、快速发展是相互促进的理念。二是要严格按照“控制源头、落实制度、加强检查、明确责任”的原则,重视计算机信息安全保密工作。三是要确保信息传输系统安全。生产数据传输,可根据业务需求和工作需要,统一申请使用集团公司VPN系统。

  加大投入力度。物防是保密工作的基础,是盾牌。做好计算机信息安全保密工作的关键,除过的人的第一因素外,设备是关键。一是要明确专项费用,购置相关保密技术设备和信息检查、清除工具,具备完善可靠的人防、物防、技防保障条件。二是加强技术培训,特别是新知识、新技术的跟踪培训。三是要加强基础防护设施建设。除安装“三铁一器”防盗设施外,业务部门要在计算机网络操作系统、密码加密、病毒防治、防火墙、监控检测等制约计算机信息安全保密工作发展的“瓶颈”技术上下功夫,确保基本技术防护不出问题。

  加强监督检查。要牢固树立“执行第一、落实为重”的理念,通过督促检查,不折不扣地把各项任务落到实处。一是要定期开展保密检查,通过健全机制、改进手段,真正实现“以查促管、以查促改、以查促教、以查促防”的目的,推动保密管理规范化运行。二是要加大违规行为和失泄密事件的查处力度,按照中保委提出的“重典治乱”要求,打破常规,小题大做,敢于上手抓住不放,敢于下手从重处理,从而震慑那些怀有侥幸心里、工作敷衍塞责、护短隐瞒问题的行为。三是要加大奖惩力度,完善落实保密工作责任制,定期检查考核,对不符合保密要求的要限期整改,逾期不改的要严肃处理。不断提高保密工作者的工作积极性,积极营造“风清气正”的工作环境。

'); })();