第二，對用戶訪問權限進行劃分。並非所有用戶都具有互聯網訪問權限，隻有業務需求的用戶，經過審批後才能開通互聯網訪問權限。同時用戶使用USBkey進行身份認證，以USBkey作為用戶身份的唯一標識，實現用戶訪問行為實名製管理，避免用戶名口令方式存在的漏洞。傳統的安全違規事件定位方式是通過IP地址進行問題定位，這種方式進行事件處理費時費力，特別是在大規模複雜結構的網絡環境中，基本上很難實現及時、準確定位的目標。為了在違規事件發生後能實現問題來源快速準確定位，可以將用戶訪問行為信息與用戶身份標識進行綁定，一旦發生違規事件後，可以通過用戶信息而不是IP地址進行迅速定位與響應。

第三，規範用戶的互聯網使用行為，避免用戶訪問具有安全風險的內容給自身和企業帶來危害。通過行為審計技術對用戶的互聯網訪問內容進行記錄與審計，發生安全事件後可以根據審計記錄定位事件發生時間及來源。審計設備記錄了所有用戶訪問互聯網所有內容，部分信息中還包括違規發送的涉密信息。因此，在審計記錄訪問權限分配製過程中，要按照安全審計職責分離的要求設置不同權限的用戶，避免係統管理員處理過程中接觸涉密文件導致的二次泄密事件。

第四，製定和實施相關管理製度與規範。信息安全“三分技術、七分管理”，石油企業安全目標的實現，不但要以先進、成熟、可靠的技術作為支撐和保障，更需要製定相應管理辦法與規範作為依托，通過建立和健全完整的安全管理製度與規範對用戶使用行為進行管理。參照全球最佳安全管理實踐，建立標準和規範的IT服務運維管理流程。通過標準化流程，規範係統運維與管理工作。

第五，企業各級員工廣泛參與。網絡安全工作，不僅僅隻是石油企業個別部門或個別人員的責任，需要各個部門、各級領導和廣大員工的廣泛參與、配合與支持。隻有石油企業內部各級員工積極主動地在日常工作中按照要求合規使用，才能實現信息安全事半功倍的效果，預期的安全目標才能更快更好地實現。為了督促企業內部用戶自覺執行信息安全管理辦法與相關規範，石油企業應建立監督與考核機製，製定並執行相應的考核指標與考核管理辦法，建立通報表揚與批評製度。固定周期進行檢查與考核，對考核結果進行統一排名並通過通知或者公告方式在企業範圍內進行發布，對排名靠前的部門或員工進行獎勵，督促排名靠後的部門或員工及時進行改進，通過人力資源配合，將考核結果納入部門、個人年度工作績效考核中。

石油企業網絡安全建設涉及到方方麵麵，是一個係統工程，在實踐過程中，要充分考慮自身的業務特點與安全需求，深刻理解國家有關法律法規，滿足國家有關機關的合規性要求。石油企業安全目標的實現離不開各級領導與全體員工的廣泛參與和支持，員工的廣泛參與和幫助是實現組織安全目標的重要保障。新的技術不斷出現和應用，風險與威脅不斷變化，麵對變化萬千的網絡虛擬世界，企業隻有與時俱進，勇於創新，才能適應持續變化的信息安全風險與威脅，保障石油企業業務目標的實現。