探究網(wǎng)絡(luò )安全法在石油網(wǎng)絡(luò )安全管理中的深化應用發(fā)布者：本站     時(shí)間：2020-05-02 15:05:59

隨著(zhù)石油企業(yè)的快速發(fā)展， 先進(jìn)的信息技術(shù)不斷應用到石油企業(yè)內部系統建設中， 網(wǎng)絡(luò )安全問(wèn)題也愈發(fā)復雜。早就從2008年起， 石油企業(yè)加大了對網(wǎng)絡(luò )安全和信息安全的重視程度， 通過(guò)規范化的網(wǎng)絡(luò )安全管理， 促進(jìn)石油企業(yè)的穩健發(fā)展。在這樣的環(huán)境背景下， 探究網(wǎng)絡(luò )安全法在石油網(wǎng)絡(luò )安全管理中的深化應用具有非常重要的現實(shí)意義。

1《網(wǎng)絡(luò )安全法》的主要原則

《網(wǎng)絡(luò )安全法》作為一項規范網(wǎng)絡(luò )空間安全管理的基礎性法律規定， 對我國網(wǎng)絡(luò )空間法制建設具有重大作用， 可以化解網(wǎng)絡(luò )風(fēng)險， 進(jìn)而推動(dòng)互聯(lián)網(wǎng)的法制建設和運行。針對石油網(wǎng)絡(luò )安全管理工作， 可以為各項安全管理制度的制定和完善， 提供切實(shí)的法律保障， 具體原則如下：

（1） 空間主權原則

《網(wǎng)絡(luò )安全法》中明確指出， 必須維護我國網(wǎng)絡(luò )空間主權， 這是國家主權在網(wǎng)絡(luò )空間的綜合表現， 習近平主席在《聯(lián)合國憲章》中強調了主權平等原則屬于當代國家關(guān)系基本原則， 其影響范圍涉及到國與國間的交往領(lǐng)域， 其精神與原則同樣可以應用在網(wǎng)絡(luò )空間中， 其網(wǎng)絡(luò )發(fā)展道路、管理模式以及公共政策， 要享受到平等的網(wǎng)絡(luò )空間治理權力。同時(shí)《網(wǎng)絡(luò )安全法》也適用在我國境內網(wǎng)絡(luò )和網(wǎng)絡(luò )安全管理中。

（2） 信息化原則

網(wǎng)絡(luò )安全是一切發(fā)展的基本條件基本保障， 這就使得安全與發(fā)展必須同步進(jìn)行。換句話(huà)說(shuō)， 網(wǎng)絡(luò )安全與信息化發(fā)展必須同步進(jìn)行， 統一規劃、部署、推進(jìn)和實(shí)施。在《網(wǎng)絡(luò )安全法》第三條中提出， 我國必須堅持網(wǎng)絡(luò )安全和信息共同發(fā)展的原則， 依照積極利用、依法管理、科學(xué)發(fā)展的理念， 加強網(wǎng)絡(luò )基礎建設， 促進(jìn)網(wǎng)絡(luò )技術(shù)的創(chuàng )新與應用， 并構建完善的網(wǎng)絡(luò )安全保障體系， 實(shí)現網(wǎng)絡(luò )安全水平的提升。

（3） 共同治理原則

網(wǎng)絡(luò )空間安全如果單純依賴(lài)于政府機關(guān)是無(wú)法達到最佳的安全管理效果， 所以需要政府機關(guān)、社會(huì )組織、相關(guān)企業(yè)以及社會(huì )群體的共同努力， 將所有網(wǎng)絡(luò )利益相關(guān)者整合起來(lái)， 共同參與到網(wǎng)絡(luò )安全管理中， 根據自身角色承擔網(wǎng)絡(luò )安全治理責任， 形成共同治理的局面。

2 網(wǎng)絡(luò )安全法在石油網(wǎng)絡(luò )安全管理中的深化應用

（1） 完善管理制度， 規劃安全方向

在石油網(wǎng)絡(luò )安全管理工作中， 要根據《網(wǎng)絡(luò )安全法》中的相關(guān)規定， 提煉出精華部分， 應用到石油網(wǎng)絡(luò )安全管理體系中， 制定一套完整的石油網(wǎng)絡(luò )安全管理制度， 規范網(wǎng)絡(luò )安全管理行為， 并緊緊抓住網(wǎng)絡(luò )安全管理的大方向， 明確石油網(wǎng)絡(luò )安全管理重點(diǎn)， 進(jìn)而有利于石油網(wǎng)絡(luò )安全管理水平的提升。從石油網(wǎng)絡(luò )安全管理本質(zhì)上看， 其屬于一種信息安全管理模式， 主要是為了加強石油企業(yè)安全管理能力， 促進(jìn)石油企業(yè)的持續性良好運作， 為石油企業(yè)的信息資源提供基本保障。在制定網(wǎng)絡(luò )安全管理制度中， 圍繞《網(wǎng)絡(luò )安全法》， 借助各種安全標準和參考標準， 規范網(wǎng)絡(luò )安全管理行為， 避免違規操作造成的網(wǎng)絡(luò )風(fēng)險， 進(jìn)而促進(jìn)石油網(wǎng)絡(luò )安全管理工作的規范化和科學(xué)化。

（2） 加強日常檢查， 建設安全域

在石油網(wǎng)絡(luò )安全管理中， 根據《網(wǎng)絡(luò )安全法》的核心原則， 開(kāi)展網(wǎng)絡(luò )安全和合規性檢查工作， 利用日常檢查的方式， 對企業(yè)網(wǎng)絡(luò )安全管理工作進(jìn)行梳理和優(yōu)化， 對高危安全漏洞進(jìn)行徹底的排查， 有效識別工控系統中的各種安全風(fēng)險， 核對信息系統中的定級備案現狀。同時(shí)， 根據石油企業(yè)實(shí)際需求， 開(kāi)展信息系統常規安全檢查、工業(yè)控制系統安全檢查以及各個(gè)網(wǎng)絡(luò )系統等級保護合規性檢查， 進(jìn)而將網(wǎng)絡(luò )風(fēng)險扼殺在搖籃中。除此之外， 石油企業(yè)要加強網(wǎng)絡(luò )安全域建設， 合理劃分石油企業(yè)的網(wǎng)絡(luò )安全域， 把石油企業(yè)網(wǎng)絡(luò )根據使用功能劃分成內網(wǎng)、外網(wǎng)、專(zhuān)網(wǎng)和專(zhuān)線(xiàn)等部分， 各個(gè)類(lèi)型的網(wǎng)絡(luò )必須配以對應的訪(fǎng)問(wèn)規則， 實(shí)現石油網(wǎng)絡(luò )的分區防護， 建設統一的互聯(lián)網(wǎng)出口， 合理布設安全防護設備， 提高網(wǎng)絡(luò )訪(fǎng)問(wèn)的安全性。

（3） 創(chuàng )新安全技術(shù)， 深化應用價(jià)值

基于《網(wǎng)絡(luò )安全法》的核心原則， 在石油網(wǎng)絡(luò )安全管理中， 要對網(wǎng)絡(luò )安全技術(shù)進(jìn)行創(chuàng )新和優(yōu)化， 特別是在網(wǎng)絡(luò )安全設施逐漸開(kāi)放化背景下， 在傳統網(wǎng)絡(luò )安全管理中， 物理隔離技術(shù)、加密隔離技術(shù)和內外網(wǎng)隔離技術(shù)只能對傳統網(wǎng)絡(luò )框架進(jìn)行安全防護。隨著(zhù)科學(xué)技術(shù)的不斷發(fā)展， 以隔離為核心的安全體系得到了新的升級， 涌現出一些以硬件銷(xiāo)售為主營(yíng)業(yè)務(wù)的網(wǎng)絡(luò )安全公司， 主要涉及到防火墻、入侵防御系統、入侵檢測系統、威脅管理系統、SSL網(wǎng)管等技術(shù)， 無(wú)需提供商的參與， 通過(guò)總集成應用和信息安全建立連接， 形成相對獨立的安全防護體系。傳統網(wǎng)絡(luò )安全技術(shù)具備分散割據化、對應用的封閉化、硬件盒子化等特征， 封閉化的安全設備從某種意義上維護了傳統安全廠(chǎng)商的利益， 但是卻損害了用戶(hù)的利益。而從用戶(hù)的角度來(lái)看， 未來(lái)安全設備的開(kāi)放化、可編程化是需要用戶(hù)去推動(dòng)的趨勢。

3 網(wǎng)絡(luò )安全法在石油網(wǎng)絡(luò )安全管理中的應用實(shí)踐成效

某石油企業(yè)為了貫徹《網(wǎng)絡(luò )安全法》和"兩會(huì )"、"十九大"網(wǎng)絡(luò )安全保障要求， 構建信息安全責任機制， 加強全員安全意識， 狠抓風(fēng)險識別和整改， 逐步提高網(wǎng)絡(luò )安全管控能力， 切實(shí)保障信息系統安全穩定運行。

（1） 落實(shí)網(wǎng)絡(luò )安全責任機制

在網(wǎng)絡(luò )安全管理中， 遵循"誰(shuí)主管誰(shuí)負責、誰(shuí)使用誰(shuí)負責"的原則， 落實(shí)網(wǎng)絡(luò )安全責任制， 各個(gè)部門(mén)緊密合作， 形成聯(lián)動(dòng)協(xié)作系統， 由各部門(mén)負責人簽署網(wǎng)絡(luò )安全保障責任承諾書(shū)， 信息系統建設商、運維商簽署網(wǎng)絡(luò )安全責任書(shū)， 落實(shí)相關(guān)責任， 帶動(dòng)網(wǎng)絡(luò )安全管理工作的開(kāi)展。

（2） 強化安全整治迎檢工作

結合石油信息安全現狀， 實(shí)行87個(gè)檢查項目， 對420多個(gè)控制點(diǎn)進(jìn)行安全規劃部署， 特別是針對安全管理和各個(gè)網(wǎng)絡(luò )系統開(kāi)展全面自查活動(dòng)， 建設風(fēng)險點(diǎn)臺賬， 進(jìn)而實(shí)現石油網(wǎng)絡(luò )安全整治， 解決油庫工控網(wǎng)與辦公網(wǎng)中的安全防護問(wèn)題， 并針對移動(dòng)應用、賬戶(hù)權限、密碼管控以及互聯(lián)網(wǎng)應用等問(wèn)題進(jìn)行專(zhuān)項治理， 加強終端管理系統的推廣和部署， 聯(lián)合防護機制， 以符合網(wǎng)絡(luò )安全控制要求。

（3） 做好監測預警與應急工作

石油企業(yè)在"兩會(huì )"和"十九大"會(huì )議期間， 針對勒索病毒的入侵， 實(shí)行24小時(shí)輪崗值守機制， 組織技術(shù)人員針對石油企業(yè)網(wǎng)絡(luò )邊界設備與服務(wù)器等網(wǎng)絡(luò )設備進(jìn)行安全防護， 而對企業(yè)內部WIN桌面終端實(shí)行拉網(wǎng)式緊急防護措施， 預防各種網(wǎng)絡(luò )安全事件的發(fā)生， 從根源處消除安全隱患， 并在數據中心機房開(kāi)展火災、停電、漏水、網(wǎng)絡(luò )、服務(wù)器故障等信息基礎設施損壞應急預案演練和ERP等， 重要信息系統故障后業(yè)務(wù)應急演練， 有效保障信息安全。

（4） 開(kāi)展《網(wǎng)絡(luò )安全法》培訓宣傳活動(dòng)

石油企業(yè)以"增強網(wǎng)絡(luò )安全意識， 共筑安全發(fā)展基石"目標， 在全體員工中組織開(kāi)展網(wǎng)絡(luò )安全宣傳活動(dòng)， 在石油企業(yè)官方網(wǎng)站組織網(wǎng)絡(luò )安全知識有獎答題活動(dòng)， 并對信息部門(mén)、基層信息綜合運維崗、信息關(guān)鍵用戶(hù)等進(jìn)行安全技能培訓， 使IT人員熟練掌握安全攻防技能、運維、日志審計系統的日常使用。在培訓中， 介紹我國互聯(lián)網(wǎng)的發(fā)展狀況、網(wǎng)絡(luò )安全面臨的形勢以及《網(wǎng)絡(luò )安全法》中與工作、生活相關(guān)的重要法律法規等內容， 還要結合公司實(shí)際講解公司網(wǎng)絡(luò )基本架構、安全防范措施等等， 表明網(wǎng)絡(luò )安全的重要地位， 讓企業(yè)內部員了解《網(wǎng)絡(luò )安全法》， 認識到網(wǎng)絡(luò )安全， 形成自覺(jué)意識， 積極參與到石油企業(yè)網(wǎng)絡(luò )安全管理中， 提高石油企業(yè)網(wǎng)絡(luò )安全管理的綜合水平。