一、引言
在信息技术高速发展的今天,几乎社会的各行各业都在借助信息化的力量,不断提高其业务水平、加速业务创新、逐步提高自身的核心竞争力.特别是在石油销售领域,全球化的发展更加活跃、更加充分,已到达了"牵一发而动全局"的局面.但是,应当看到,虽然众多石油销售体系对信息技术的依赖程度越来越高,并且信息化、数字化发展模式给石油销售体系带来越来越多的机遇和便利,但同时,石油销售中信息安全也成为日益突出的重大问题;如果现有销售信息网络系统的安全性、完整性、保密性等潜在缺陷被利用,这将会给企业,甚至国家的石油战略带来难以估计的重大损失.因此,石油销售的信息安全成为石油销售体系中的重大经营风险之一,亟待对石油销售企业中的现有信息网络系统展开全面、系统、科学地分析,着力构建完善的石油销售信息安全管理体系.
二、石油销售系统的信息安全管理现状
1.销售系统设施建设.硬件方面,各石油销售企业都具有设施完善的中心计算机系统,供电采用UPS方式,采用"双机热备"的核心服务器工作模式,以确保整个硬件的可靠性和安全性;网络方面,采用SDH光纤接入广域网,包括接入层、汇聚层、核心层.核心层中路由器和交换机采用双机模式,设备之间,层层之间以光纤方式连接,以均衡网络负载.除了安装必备的防火墙,部分企业为进一步提高安全防范能力还安装了外网入侵检测系统;大多数加油站采用SSL VPN方式访问企业内部网,以保证网络接入的安全性.在PC系统方面,大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统,实现PC机的MAC地址绑定.
2.销售系统信息化建设.目前,企业的销售信息系统主要包括:加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等.信息系统具有如下特点:一是用户众多,几乎所有企业管理人员都是各系统用户;二是应用领域广,涉及企业经营、管理、对外服务诸多方面; 三是要求连续运转,如ERP系统必须满足7×24小时运转.由于信息系统的安全运转不仅关系到企业经营管理的可持续性,其数据的安全性和保密性更关系到广大客户的利益.所以,基于上述的原因,企业对销售信息系统的安全运转提出了更高的要求.
3.销售系统的信息安全现状.石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统,国家对其信息安全高度重视,并在《2006 - 2020年国家信息化发展战略》中强调,我国要全面加强国家信息安全保障体系的建设,大力增强国家信息安全保障能力,实现信息化建设与信息安全保障的协调发展.同时,国内石油销售企业也长期重视信息安全工作,逐步建立了相应的保障体系和规章制度,但还存在以下问题:
(1)范围涉及广泛.石油销售企业分支机构多,终端运营组织庞大且分散,以中石油集团为例,其截至2013年分布在全国的加油站已超过30000座.在如此庞大的销售系统中,信息网络承载着指导业务运行的重要功能.大量、分散部署的加油终端,必然会造成联网方式的多样化、网络环境的复杂化.
(2)设备系统众多.石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深,并且范围广泛,包括加油站、油库等大量的自动化控制系统.因此,业务管理流程复杂,安全风险增大.
(3)人员素质不齐.由于石油销售属于传统行业,因此企业人员年龄跨度较大,对信息安全管理的职业组织参差不齐;甚至对于企业管理人员,对于信息安全的认识也多停留在纸上谈兵;基层人员众多,且直接面对客户,流动性大,信息泄露风险极高.而且新生代的企业员工对计算机和网络接触早,应用水平高,日常使用频繁,在缺乏网络安全防护意识的情况下更易导致信息泄漏,甚至在好奇心理的鼓动下主动发起网络攻击行为,所以企业内网安全也成为一个突出的问题.
(4)资金投入有限.国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%,而我国企业基本都在2%以下.全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元,中国的损失也达到了一百亿美元以上,但是中国企业在这方面的投资只有几十亿美元.因此,我国企业整体信息化安全建设预算不足.石油企业信息化工程是一项繁重的任务,需要在信息安全方面有更大的投入.大型油企需要建立复杂庞大的数据库备份体系,建立并维护高效的网络杀毒系统、企业级防火墙、IDS、 IPS系统和完善的补丁更新及发放机制,以保证企业各方面的数据安全.建立这一复杂的系统需要大量的资金投入,而且其投入回报慢,因此石油企业普遍轻视这方面的投入和维护,信息安全建设相对于企业的发展整体滞后.
三、石油销售系统的信息安全管理系统设计
石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系,以预防控制为主,强调动态全过程控制.建立相应的信息安全管理系统,需要从物理、信息、网络、系统、管理等多方面保证整体安全;建立综合防范机制,确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行,保障整体信息网络的安全、高效、可靠运转,规避潜在风险,供系统的可靠性和安全性.因此,石油销售系统的信息安全管理系统构架分为以下组成:
(1)组织层面.石油销售部门应建立责任明确的各级信息安全管理组织,包括信息安全委员会、信息安全管理部门,并通过设立信息安全员,指定专人专项负责.通过这些部门和负责人开展信息安全认知宣传和培训,提高企业员工对信息安全重要性的认识.
(2)制度层面.制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程,经科学性审核和测试后下发各级部门,提升企业的信息安全管理的效能,减少事故发生风险,提高应急响应能力.
(3)执行层面.信息安全管理部门应当定期检查和随机抽查相结合,监督安全制度在各级部门的执行情况,评估安全风险,负责PDCA的循环控制.
(4)技术层面.信息安全管理部门要提供安全管理、防护、控制所需的技术支持,全面保障企业整体信息安全管理系统建设.通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面,主要包括监控与审核跟踪,数据备份与恢复,访问管理与身份认证,信息加密与加固等具体技术措施.通过有效的信息安全管理平台和运作平台,在最短时间内对信息安全事件进行响应处理,保障信息安全管控措施的落实,实现信息安全管理的目标.
总而言之,建立信息安全管理体系,保障信息安全是目前石油销售中的重要环节,要在战略上侧重管理,在战术上侧重技术,保持信息安全管理体系能够有效长久运行.
参考文献:
[1]都骏.石油企业信息安全评价方法的研究[J].科技管理研究,2012(18):208.
[2]苗园.现代企业信息安全风险的防范[J].信息技术与信息化,2013(5):21.
1、引言物联网的本质是传感、通信和IT技术在各行业的应用,它包含终端、网络、应用三个部分。物联网本身不是新事物,目前国外尤其欧美地区发展M2M已经有6、7年的时间,形成了比较成熟的产业链,并应用到了各行各业中。物联网已经在在各行各业得到广泛应...
加强中小企业的信息化建设,能引导和促进中小企业加快发展方式的转变,有利于创新和完善中小企业内部管理体系建设.在中小企业的运行管理中,合同管理问题尤为突出.1系统设计的背景和目标目前,大多数中小企业的合同管理还依赖人工来进行,通过Word、Excel等办...
1引言房屋安全管理是政府赋予房地产行政管理部门的重要职责,关系到国计民生与社会稳定。它是指房地产行政管理部门依法对农村危破房、城镇建成区已经投入使用的房屋,通过房屋安全检查、房屋安全鉴定等手段有效排除危险房屋及其他房屋不安全因素...
1引言近年来,随着数字化技术的迅猛发展和网络技术的日益成熟,医院信息管理系统(hospitalinformationsystem,HIS)得到飞速的发展,将远程(网络)心电图诊断系统应用于临床已成为可能[1].心电信息平台使社区卫生服务机构得到了优质医疗资源的保证和技术支...
1前言对于制药企业而言,产品质量始终是一把悬在头顶的达摩克利斯之剑。从原材料进厂到产品生产出来并经检验合格,中间牵涉到生产工艺及质量检验的诸多环节,只要其中有一个环节出现疏漏,都可能给药品质量造成严重影响。制药企业产品质量的保证依赖于...
第2章系统可行性研究可行性研究的目的是用最少的时间和最小的费用确定问题能否得到解决[14]。通过问题的描述和分析,从技术、经济和操作三方面对所要开发的系统进行可行性分析和研究。可行性研究的重点是确定所要的系统是否值得研发,并确定通过现有的条...
经过几年的工作总结, LIMS管理系统在制药企业中的应用不仅方便了企业对实验室相关数据的提出、查询, 还能有效的将这些数据通过网络传输给业界同仁, 实现数据贡献和实时传递, 为药品生产、查询提供可靠的数据支撑, 更为实验室、检测部门及生产部门日常工作提供...
4基于大数据云平台的森林资源信息管理系统设计4.1需求分析。目前用于揭示林业生产管理的内在规律,发现数据之间的关联关系,反映林业生产活动的变化规律和生产经营的发展方向,分析部门之间的相关性,数据的合理性,林业生产经营与经济发展及产业结构之...
结论本文主要针对管理信息系统的整合研究,提出构建中信渤铝管理信息系统整合的设计方案。文中介绍了管理信息系统的发展及应用现状,归纳总结了相关理论,分析了管理信息系统建设中的关键点和亟待解决的问题,重点以中信渤铝公司为例,详细介绍了该公司当...
第4章中信渤铝管理信息系统整合方案设计及实施路径4.1管理信息系统整合方案设计。4.1.1信息系统设计的原则。中信渤铝公司的信息系统整合建设应该遵循一条务实有效的信息化路线,在资金有限的条件下,对信息化项目按照轻重缓急、由简到繁、根据流程和...