张颖

【摘  要】随着信息技术发展，我国各行各业遭受网络攻击频次越来越多，且难度越来越大。我国作为能源生产和消耗大国，油气管道里程已达16.5万公里，已基本形成油气管道网络。庞大的管道网络就需要更加复杂和可靠的网络安全信息系统来作为支撑，特别是企业对网络安全重视程度也不够、管理体系不完善、对网络安全管理不严且缺乏相应的技术措施，就很容易造成网络遭受攻击，从而导致网络安全事件的发生。为提高油气管道企业网络安全水平，本文立足现有管道企业网络安全管理实际，针对当前存在的问题浅要分析了管道企业网络安全问题的对策，要重视管道企业网络安全、建立完善网络安全管理规定、加强网络安全管理、强化网络安全技术防护，保障管道企业网络信息系统能够安全平稳运行。

【关键词】管道企业;网络安全;问题;对策

随着我国信息技术快速且迅猛的发展，遭受到网络攻击的频次越来越多，而且难度越来越大，网络攻击已经严重威胁到了国家和各个企业的安全。近年来，各国国家和相关企业都长期遭受网络攻击的困扰。2018年，台积电遭受到勒索病毒的入侵，造成了约17.6亿元的损失;2019年，孟加拉国、印度和斯里兰卡等地区的银行持续遭受黑客Silence的攻击，盗走了约数百万美元的财产;特别是2020年美国最大燃油运输商克罗尼尔公司受到了一次强有力的网络攻击，导致该公司被迫关停了压缩设施，停运了5050公里的管道，给经济造成了巨大损失，美国宣布国家进入紧急状态。网络安全形势非常严峻，特别需要我国各行各业在网络安全领域能够有自己保护自己的能力，而国家油气管网作为一家刚成立不久的新单位，面临的压力就更大巨大。我国是世界上最大的能源生产和消耗国家，截至2020年底我国又新建了5081公里管道，油气管道总长度达16.5万公里。管道总长度排名全球第四，其中天然气管道达到10.2万公里，成品油管线达到3.2万公里，原油管线达到3.1万公里，已基本形成油气管道网络。如此庞大的管道网络就需要更加复杂和可靠的网络安全信息系统来作为支撑，就会造成国家管道网络运营存在更大的危险因素，特别是部分下级企业和基层站队对网络安全的认识缺失、重视程度也不够，就很容易造成网络遭受攻击，从而导致网络安全事件的发生，使管道企业受到威胁或勒索[1]。在数字时代，特别需要企业自身具备较强的网络安全意识，做好制度体系建设和网络安全管理，强化网络安全防护措施。

1油气管道网络安全的意义

网络安全主要是指网络系统中的硬件、软件、电脑和系统中的相关工作数据受到保护，避免在遭受到偶然或故意攻击时系统软件遭到破坏、数据遭到损毁或窃取，保障网络能够正常运行，确保系统处于连续稳定可靠运行的状态。我国是能源生产和消耗大国，在成立国家管网以后，国内的油气管道运输企业得到了迅速发展，在社会主义现代化进程下，管道运输企业的网络安全问题不仅影响了企业的安全平稳运行，而且对企业市场的开拓等方面都有很大的关系。随着信息技术的发展，信息系统和网络在管道企业的应用也越来越广，涉及采购、规划计划、生产运行、销售、财务、人员绩效管理等多个方面。在管道生产运行环节，信息系统会控制设备启停、阀门开关等实现油气输送自动化运行;在销售环节，员工会利用信息系统对各项管输信息进行录入和核对，来实现油气销售交接等工作;在管道巡护环节，管道保护工会利用管道巡护系统、无人机、摄像头等设备实现无法进入地区远程监控;在管道维护保养环节，会利用管道清管信息系统收集管壁变形、清理杂质等数据;甚至在企业内部后勤和办公都与信息系统紧密相关，工作管理中会利用公文系统进行文件接收、发布和信息录入等，可以说信息系统贯穿了企业的每一个环节和角落。管道企业的网络安全对管道企业发展有着重要意义，如果说在网络安全方面造成问题，就有可能造成网络受到黑客攻击或勒索，影响油气管道输送正常运营，导致其他生产行业停滞，造成不可估量的损失。

2油气管道网络安全存在的问题

2.1 对网络安全不够重视

随着科学技术和信息网络的迅猛发展，部分管道企业管理人员自身就缺少网络安全管理相关知识，接触的网络安全培训较少，其管理思想和意識等都逐步与企业信息现代化需求出现差异。正如部分管道企业管理者对于信息战略和黑客攻击接触和了解较少，对网络安全重要性存在欠缺[2]，对网络安全当前面临的危险形势认识不够，仅仅是认为有网络维保单位就能保障企业网络安全，并没有认识到传统的网络维保依靠网络软件辅助人工进行维护，运行效率低下，无法对现有的高速网络攻击进行应对。管道企业部分分公司甚至没有网络安全管理相关部门，没有专人负责网络安全管理。特别是管道企业在信息系统建设过程中，对网络安全考虑得较少，对网络安全保障资金投入较少，网络安全专业管理人才更是缺失等问题，就很可能导致发生网络安全问题，影响企业安全平稳发展。

2.2对网络安全管理体系不完善

管道企业信息管理需要建立一个专门的网络安全管理制度来保障信息网络运行安全平稳。部分分公司常常忽略了网络安全管理，不仅没有专职的网络安全管理部门，而且网络安全管理制度直接引用上级网络安全管理制度，并没有根据自身网络实际情况进行修订，使得制度不完善。部分企业虽然建立了网络安全相关制度，但是并没有针对制度内容进行细致安排部署，也没有组织培训对员工进行宣传学习，使得网络安全制度并没有起到安全效果。在信息系统建设的同时就应该考虑信息系统安全防护措施和管理制度。有的企业在信息系统建设的时候，往往只考虑企业生产运营所需要的的功能，往往忽略了系统的安全管理要求，使得系统容易存在安全漏洞，甚至有可能在信息设计的时候就带有病毒，对企业网络安全形成了严重的隐患[3]。在系统投入运行以后，需要定期对系统进行维护保养，特别是要根据现行网络状况进行安全检查和升级，而部分企业忽略了维护保养，多数系统从建立至今没有针对网络进行过一次更新，更没有对漏洞进行修复，安全隐患非常大，极易造成网络安全事故的发生。所以有必要随信息系统开发、建设、运行、维护周期，建立一套网络安全系统全生命周期管理制度，保障信息系统及时更新。

2.3 对网络安全管理不严

网络安全管理是为了保证网络安全，保障信息系统能安全平稳运行。但是在管道企业里，部分单位存在重视网络信息系统建立却轻视了信息系统管理，重视信息系统应用却轻视了网络安全的现象。在信息系统网络管理和运行维护等方面存在问题，特别是部分单位在人员进出管理上不严格，没有实行严格进出及事项登记工作，同时员工在进入企业内部网络时缺少明确的IP准入、信息系统账号存在紊乱，针对信息系统漏洞的问题没有定期进行安全检查和更新，在问题发现以后也没有进行任何处理，导致网络安全问题整改闭环不严格。在第三方维保公司进入单位后，没有针对性进行安全教育，对运行维保人员管理不严格、把工作任务交给维保人员时没有全程跟踪和陪同，容易对网络安全形成隐患。这些问题通常就是导致网络安全受到攻击的重要因素，而且在发生网络安全事故后又无法及时信息上报和对事故进行处置，导致更加严重的损失发生。

3浅析管道企业网络安全问题的对策

3.1 要重视管道企业网络安全

管道企业要清晰认识到当前的国家网络安全形势确实非常嚴峻，要提高全体员工网络安全防范意识，严格落实国家相关网络安全法律法规相关要求。严格落实管道行业网络安全职责，成立企业信息化工作领导小组，企业主要同志作为网络安全第一责任人，负责落实国家网络安全政策、法规和相关部署，制定公司网络安全工作政策。把网络安全责任细化到责任部门，负责组织制定企业网络安全解决方案、规章制度和技术规范，并监督落实。安排具体的岗位负责组织开展公司网络安全检查、演练、通报、问题整改、考核和培训等工作，组织开展企业信息系统安全等级保护、风险评估等工作。企业一定要保障网络安全平稳运行，加大网络安全经费投入。各分公司要组织员工配齐专职网络安全管理队伍，定期开展公司网络安全等级保护、风险评估工作。强化对全体员工网络安全管理培训，同时要定期组织网络安全应急预案演练。若有网络安全突发事件的发生，各级员工一定要熟悉信息安全事件上报的流程，并采取相应的前期处置措施。

3.2 建立完善网络安全管理规定

为规范和加强管道企业网络安全管理工作，切实提高网络安全管理水平和技术防护能力，有效控制网络安全风险，保障信息化基础设施和信息系统安全、可靠、稳定运行，建立完善网络安全管理规定。规定应覆盖网络安全建设管理全范围，要包括管理领导小组和负责人、购置固定资产管理、开发建设管理、运行与维护管理、网络安全检查、安全风险评估、员工教育培训等多个方面。制定细致的安全管理操作规程，针对不同的管理层次划分不同的管理责任，明确网络安全管理总的方针和安全管理制度，细化具体的日常网路管理操作规程，保障网络始终处于一个安全平稳受控的状态。针对信息系统建设，项目的承担单位应该按照网络安全等级保护要求，保证信息系统与安全防护措施同时设计、同时施工、同时投入使用，采取相应的管理措施及技术防范措施履行网络安全义务。立项阶段，可行性研究报告应明确信息系统和数据的等级保护级别、涉密级别及灾难恢复级别，并根据相应的级别编写网络安全保护方案和投资估算。建设阶段，项目承担单位要加强防护，组织人员对代码安全定期进行检测，及时发现和修补系统存在的漏洞;开发测试环境与运行环境隔离，进行测试时不得使用企业中真实生产数据，保障网络安全。信息系统建设单位应与供应商和服务提供商签订网络安全保密协议，明确网络安全保密责任与义务，审核产品供应商和服务商提供相关资质。外围单位提供维保时服务时，要有内部人员全程陪同，禁止其接触企业核心数据和关键操作业务，保障各个环节全生命周期网络安全。

3.3 加强网络安全管理

管道企业要加强网络安全管理，从部门及员工职责、网络安全管理内容、IP地址管理、终端计算机安全管理、网络设施安全管理、信息系统安全管理、数据安全管理等多个方面明确网络安全管理要求，做好过程管理和记录，全方位把控网络安全。强化部门和员工职责就是明确科技信息处负责公司网络安全管理，各部门负责安全自查和问题整改工作。强化IP地址管理，就是统一由管道企业技术中心分配IP，单位和个人应严格使用自己的IP，严禁用他人IP登录内部网络，严禁私自乱设IP地址。强化终端计算机安全管理，就是要实行实名注册，设置强密码口令进行保护，安装管道企业统一的安全防护软件和认证系统，实现端点准入和文档安全防护功能。强化网络设施安全管理，采用网络安全技术与设备，如加密技术、访问控制技术、防火墙设备、网络设备与链路的冗余系统等实现网络安全域的保障与防护。强化信息系统安全管理，遵从当地公安机关网络安全等级保护要求开展定级、备案、检查和测评等工作，项目承担单位须委托有资质的评估机构对信息系统进行测评，测评中发现的问题应及时制定相应的措施进行整改。强化数据安全管理，规范数据分类、存储、备份、传输、销毁及涉密数据保密等工作。

参考文献：

[1]贾君君，屈忆欣.石油企业网络安全形势及对策研究[J].信息技术与标准化，2016（03）：64-66+70.

[2]徐慧敏.石油企业网络信息安全监控技术研究[J].信息通信，2016（06）：146-147

[3]赵洪涛.石油企业网络信息安全现状及对策[J].信息化建设，2016（06）：22.