石化銷售企業信息安全的風險來源主要有：

    1．自然災害。例如水災、火災、地震等天災，會造成信息基礎設施的損害，進而影響企業信息本身。

    2．技術災害。一旦發生軟硬件故障或網絡入侵等行為，可能對企業信息安全造成嚴重損害。

    3．人為災害。內部員工故意或無意間泄漏企業信息造成的損失常常是難以估量的，外部人員的惡意人侵也會使企業遭受風險。

    經過多年的信息化建設，公司的經營、管理對信息技術的依賴程度越來越高，目前在石化銷售企業應用的信息系統主要有：

    ERP系統、ERP報表管理系統、EHR人力資源系統、加油卡系統、零售管理系統、便利店管理系統、電子提油卡系統、物流信息系統、辦公自動化系統等等。隨著公司的不斷發展，信息化建設對公司發展的作用越來越重要，對信息數據的安全、完整和可用性要求也越來越高，因此信息化建設中及時構建信息安全體系對企業的穩定發展意義重大。

一、石化銷售企業信息安全建設中存在的主要問題

    1．沒有信息安全的標準和規范，建設沒有依據，信息安全建設還處于摸索中。

    2．公司信息安全設備和系統建設嚴重不足，目前只應用了低端的億陽防火墻，入侵檢測系統、行為管理系統、網管系統、數據備份系統等都沒有使用。

    3．實施安全系統和技術后，會使網絡行為受到一定的約束和限制，給日常工作帶來不便，個別員工存在抵觸心理或不支持。

    4．通過操作系統管理或桌面安全管理系統可以很好控制USB設備和網絡行為的開放，為數據安全提供一定保障，但以工作不便等為由，通過審批，導致開放數量越來越多。加密系統建設方面，考慮可能會給大家的工作帶來更多不便，將會受到更多和更嚴重的用戶抵制和不支持，導致無法實施。

    5．企業信息安全與工作方便是一對矛盾體，日常工作中不重視或忽視安全的重要性，只考慮方便性，將會影響信息安全建設的效果，給信息安全帶來一定隱患，同時會嚴重影響整個體系建設。

    6．信息安全技術人員數量嚴重不足，缺少對應的組織機構，缺乏激勵機制吸引人才。

    7．個別領導或員工對信息安全的重視不夠，信息安全意識急需加強。

    8．信息安全投資效益不能直接顯現，很難評估，不容易引起領導重視，人員價值也很難體現。

二、石化銷售企業信息安全建設的基本原則

    信息安全建設的思路應該遵循“以應用為龍頭，以管理為核心，以技術和產品為手段”的基本原則。做到統一規劃，分步實施，按照信息系統的安全需求統一規劃，有重點，分步實施，最終建立一個全面的信息安全體系；對于重要的信息系統，不應僅僅依靠一項預防措施， 而應建立一個多層次的積極主動的防范體系；由于石化銷售企業信息系統的嚴密性、等級性，系統劃分的復雜性，權限設置的全面性，信息安全建設也要體現多層次、多等級的原則；信息技術飛速發展，因此為確保安全技術的先進性，信息安全的措施必須及時更新，以適應不斷變化的威脅環境；信息安全技術和管理手段應相結合，任何信息系統的應用都離不開人和物，所以信息系統的安全方案必須充分考慮對人和物的約束和監管，單靠技術或單靠管理都不能真正解決安全問題；應實現先進性和可行性相結合，任何安全措施我們既要保持它的系統先進性，同時還要確保它的可操作性。

三、石化銷售企業信息安全體系建設要素

    1．在企業信息安全行為中，對所有信息系統、信息數據應采用分級管理、多重防護的管理原則，根據不同的業務重要性，設定不同的信息安全等級，實施信息安全保護。

    2．管理安全在企業中的實施是企業信息得以安全的關鍵，應建立健全規范化的信息安全管理辦法、法律法規制度，加強內部和外部的安全管理、安全審計和信息跟蹤。同時為在企業內貫徹制定的信息安全方針和政策，確保整個企業信息安全控制措施的實施，需要構建有效的信息安全組織架構。

    3．企業信息的安全離不開人，如果相關人員的安全意識薄弱，則比其他任何安全不足帶來的損失會更大。安全意識和安全技能的培訓是安全管理的重要組成部分，培訓效果將直接影響信息安全的執行結果，因此需要不斷開展企業員工的信息安全意識、信息安全技能和職業道德培訓。

    4．信息的使用需要借助于一定的物理資源，所以信息安全的保護也離不開各種物理資源(如移動硬盤、光盤)的管理。因此，需要對各種物理資源加以控制，落到實處。

    5．制定信息安全應急制度，完善應急體系。成立由領導者、管理者、應用者以及各方面專家為成員的信息安全應急團隊，定期組織信息安全培訓，制定嚴格的、準確的、可操作的應急響應辦法，對信息安全事故做出快速、及時、準確、合理的響應，將企業的風險和損失降到最低點。

    6．為確保信息安全，必須合理的應用信息安全技術，因為，信息技術安全是實現企業信息安全的核心。必須應用成熟的防火墻技術，控制訪問權限，實現網絡集中管理，實施網絡準入，拒絕或限制任何不符合安全策略的設備或信息進入內部網絡；應用網絡行為管理系統，強化員工網上行為管理，避免人為的信息安全隱患；為了保證網絡不會受到外來人侵的攻擊，應規劃部署網絡入侵防御系統和漏洞掃描系統；加強桌面安全管理系統和補丁管理系統的推廣使用；強化網絡防病毒系統的管理、應用；構建、應用一套強大的網絡管理系統；部署信息安全審計及日志管理系統；創建企業內部虛擬專用網(VPN)。

    7．完善備份策略，建立可靠的災備系統。按照數據重要程度制定不同的備份策略，該策略應包含詳細的數據備份和恢復的操作程序和制度。目前公司對員工的個人資料和信息還沒有進行統一的備份，當出現計算機軟硬件故障時，往往會導致許多重要信息和數據丟失，因此，必須建立統一的個人數據備份管理系統，對個人數據進行統一管理和集中備份。

    總的來說，沒有絕對的安全技術、標準和規范，石化銷售企業信息安全是一個動態的概念，需要不斷改進，要靠“三分技術，七分管理”。建立企業信息安全整體架構，必須以技術作支撐，管理為手段，管理與技術并重；必須以企業具體需求為前提，選擇適合企業的技術產品；必須成立一個健全的管理機構，制定完善的管理制度，并嚴格執行；必須不斷修正信息安全體系，才能真；正保障企業的信息安全。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：淺析石化銷售企業信息安全體系建設

本文網址：http://www.guhuozai8.cn/html/consultation/1083959372.html