關(guān)于企業(yè)信息安全措施精選(五篇)

發(fā)布時間：2023-10-10 17:14:56

序言：作為思想的載體和知識的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇關(guān)于企業(yè)信息安全措施，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：企業(yè) 網(wǎng)絡(luò)信息安全防范措施

一、企業(yè)信息安全不穩(wěn)定的因素

計(jì)算機(jī)病毒在計(jì)算機(jī)領(lǐng)域非常的活躍，只要用過計(jì)算機(jī)的人都非常有可能碰到過病毒的危害。

1、網(wǎng)絡(luò)病毒的活躍

其實(shí)計(jì)算機(jī)病毒本身是一種程序，通俗易懂的方法來描述計(jì)算機(jī)病毒，它就像生物里的病毒一樣，和生物病毒有非常相似的特征，它的復(fù)制能力非常強(qiáng)，并且非常快速傳播，同時也很難去根除。生物病毒是依附在各種微生物和細(xì)胞中生活，而計(jì)算機(jī)病毒一般都依附在文件中，最可怕是，當(dāng)一臺計(jì)算機(jī)向另一臺計(jì)算機(jī)傳送文件時，進(jìn)行非法的拷貝。另外它有很強(qiáng)的自我復(fù)制能力，隱藏在程序內(nèi)部，只要人們操作計(jì)算機(jī)，它就不斷地自我復(fù)制。同時，計(jì)算機(jī)病毒還具有破壞性、隱蔽性，它常常被黑客利用用以攻擊他人的計(jì)算機(jī)，達(dá)到非法的目的，給企業(yè)信息基礎(chǔ)設(shè)施以及企業(yè)業(yè)務(wù)帶來不可估量的損失。

2、惡意病毒網(wǎng)頁的流動

每個比較正規(guī)并且有一定市場影響力的企業(yè)會擁有自己的網(wǎng)站，通過自己的網(wǎng)站向外界宣傳自己的公司，用于達(dá)到宣傳營銷的目的。使用電腦的人希望不斷的搜尋網(wǎng)頁來尋找自己需要的信息，可是很多電腦使用者不知道自己使用的網(wǎng)頁是否是安全無毒的。許多網(wǎng)頁容易被人利用達(dá)到自己的目的，如果企業(yè)的網(wǎng)頁被別人注入了木馬病毒，那么當(dāng)你打開網(wǎng)頁的時候，木馬病毒就已經(jīng)進(jìn)入你的電腦軟件中，到最后你的私人信息就會被泄露出去，其他會利用你的信息達(dá)到盈利或者傷害你的目的。

3、員工網(wǎng)絡(luò)信息安全意識淡薄和企業(yè)管理網(wǎng)絡(luò)的松懈

在很多企業(yè)中，企業(yè)員工使用電腦從來只關(guān)心工作、學(xué)習(xí)、娛樂而已，從來不會關(guān)心電腦安全問題，因?yàn)槠髽I(yè)員工會認(rèn)為網(wǎng)絡(luò)安全不需要重視，因?yàn)橛芯W(wǎng)絡(luò)管理員。有研究表明，在90%的企業(yè)電腦中有計(jì)算機(jī)病毒，因?yàn)閱T工在公司電腦上做一些與公司無關(guān)的事情，看電影和玩游戲是最容易中毒的，這些做法很容易導(dǎo)致企業(yè)的機(jī)密性文件和信息被泄露，從而使企業(yè)遭到巨大的損失。

4、黑客攻擊和計(jì)算機(jī)犯罪

導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全不穩(wěn)定的最大因素就是黑客攻擊和計(jì)算機(jī)犯罪。黑客攻擊一般情況是以各種方式有目的性有選擇性的盜取企業(yè)信息，這種是破壞了網(wǎng)絡(luò)的正常工作，另一種不影響網(wǎng)絡(luò)正常工作，它進(jìn)行破譯、竊取等手段獲得重要的機(jī)密文件。這都對企業(yè)機(jī)密文件產(chǎn)生重大的影響。所以企業(yè)的網(wǎng)絡(luò)安全形式非常嚴(yán)峻。還有計(jì)算機(jī)犯罪，計(jì)算機(jī)作為現(xiàn)代信息處理工具，在經(jīng)濟(jì)和社會生活中具有不可替代的重要作用。尤其是在企業(yè)網(wǎng)絡(luò)中，計(jì)算機(jī)犯罪已經(jīng)成為不可忽視的問題。

二、網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全隱患的防范措施

以上談?wù)摤F(xiàn)在在企業(yè)中比較常見的幾種網(wǎng)絡(luò)安全隱患，但是其實(shí)在現(xiàn)實(shí)社會中，企業(yè)面對的安全問題非常多并且非常雜。如果企業(yè)希望有一個安全完美的未來，那么企業(yè)必須要重視對網(wǎng)絡(luò)信息安全的重視，要增強(qiáng)全部成員包括自己的網(wǎng)絡(luò)安全防范意識，并且要采取有效可行的防范措施。

1、加密設(shè)置

在當(dāng)今世界，重要的信息幾乎全部都加密。密碼在網(wǎng)絡(luò)里更是具有無可代替的作用。所以唉企業(yè)的網(wǎng)絡(luò)信息安全管理中，認(rèn)證密碼技術(shù)和技術(shù)加密是企業(yè)網(wǎng)絡(luò)最有效最可靠的技術(shù)。加密信息不僅可以有效的保護(hù)網(wǎng)絡(luò)內(nèi)的文件和信息，還可以保護(hù)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。對企業(yè)信息加密不但可以防御無授權(quán)的用戶的入網(wǎng)及竊聽，還可以抵抗惡意軟件的損害。所以，加密設(shè)置對于企業(yè)網(wǎng)絡(luò)信息安全管理是最直接也是最有效的措施。

2、防火墻設(shè)置

本人認(rèn)為凡是沒有安裝防火墻的計(jì)算機(jī)，一定要及時安裝防火墻，并且安裝防火墻也需要不定時的進(jìn)行升級，因?yàn)榉阑饓梢宰柚咕W(wǎng)絡(luò)黑客訪問某個企業(yè)網(wǎng)絡(luò)的大屏障，可以阻擋許多外部網(wǎng)絡(luò)的入侵。防火墻是一種最近幾年發(fā)展用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性的措施，企業(yè)應(yīng)該根據(jù)自己實(shí)際情況，安裝可靠性強(qiáng)、適應(yīng)企業(yè)、功能巨大的防火墻，用于抵抗黑客的攻擊和病毒的傳播，從而達(dá)到保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。企業(yè)安裝了防火墻也不能高枕無憂。企業(yè)管理員需要對企業(yè)的網(wǎng)絡(luò)信息和系統(tǒng)進(jìn)行備份，防止意外事件的發(fā)生導(dǎo)致網(wǎng)絡(luò)癱瘓及信息丟失，同時，需要定期檢測備份的有效性。配置防火墻是保證企業(yè)網(wǎng)絡(luò)信息安全的首選。因?yàn)榉阑饓Υ_保我們網(wǎng)絡(luò)連接的安全，更不會出現(xiàn)連接段口安全漏洞，所以每個企業(yè)每臺計(jì)算機(jī)必須要安裝防火墻來保護(hù)自己的網(wǎng)絡(luò)。

3、強(qiáng)化員工網(wǎng)絡(luò)安全意識和管理者的網(wǎng)絡(luò)憂患意識

企業(yè)員工使用計(jì)算機(jī)應(yīng)該根據(jù)自身的電腦實(shí)際情況，要不定期的進(jìn)行安全檢查，管理者也要根據(jù)企業(yè)計(jì)算機(jī)的自身硬件和網(wǎng)絡(luò)實(shí)際情況，培訓(xùn)員工，提高員工的保密意識和責(zé)任意識，不要因?yàn)槿藶榈囊蛩貙?dǎo)致企業(yè)承受巨大的損失。在必要的時候，可以利用密碼設(shè)置，對需要的設(shè)備設(shè)置密碼，從而達(dá)到外界人員和攻擊者不能破壞的目標(biāo)。應(yīng)該從全企業(yè)倡導(dǎo)保護(hù)網(wǎng)絡(luò)信息安全，使企業(yè)每個人都懂得網(wǎng)絡(luò)信息安全的重要性。最后，企業(yè)也需要加強(qiáng)計(jì)算機(jī)和系統(tǒng)的安全管理，一些計(jì)算機(jī)終端等地方需要防止火災(zāi)或者是意外事故的發(fā)生。

4、從法律方面保障企業(yè)網(wǎng)絡(luò)信息

企業(yè)網(wǎng)絡(luò)信息安全單單從計(jì)算機(jī)的軟件和硬件上保護(hù)還是遠(yuǎn)不夠的。每一個管理者需要加強(qiáng)法律意識，企業(yè)的網(wǎng)絡(luò)信息安全需要有相對應(yīng)的法律和法規(guī)作為后盾。要懂的使用法律的武器去打擊那些違反網(wǎng)絡(luò)竊取信息的犯罪分子。現(xiàn)在，在我國黑客攻擊是最普遍的網(wǎng)絡(luò)犯罪，所以我們需要對那些惡意侵害企業(yè)網(wǎng)絡(luò)信息安全的犯罪行為進(jìn)行堅(jiān)決的打擊，制止其犯罪行為并讓罰罪者付出代價。

總之，當(dāng)網(wǎng)絡(luò)與我們的生活越來越分不開的時候，我們更加需要注意網(wǎng)絡(luò)信息安全的防范，企業(yè)管理者不應(yīng)該僅僅只注意網(wǎng)絡(luò)的便捷，更需要注重企業(yè)網(wǎng)絡(luò)信息安全并強(qiáng)化信息安全意識的同時切實(shí)采取措施，確保企業(yè)電子網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)：

[1]岳劍梅、《信息系統(tǒng)的安全管理研究》、[J]、情報(bào)理論與實(shí)踐，2011、7

篇2

關(guān)鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號：TP309.2文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機(jī)構(gòu)Gartner 研究報(bào)告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因?yàn)樾畔踩枨蠛筒渴鹣鄬Ω訌?fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險；突出重點(diǎn)，分級保護(hù)；統(tǒng)籌安排，分步實(shí)施；分級管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個獨(dú)立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個 “信息安全運(yùn)維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺。

3.2 組織規(guī)劃實(shí)施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實(shí)現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財(cái)力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險監(jiān)管機(jī)制，一套信息安全績效考核指標(biāo)。“七套信息安全軟措施”關(guān)系如圖1所示。

4.2 信息安全管理設(shè)計(jì)

基于對管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護(hù)措施組成。

4.2.1 信息安全等級劃分指標(biāo)

信息安全等級保護(hù)是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險。

4.2.6 信息安全績效考核指標(biāo)

信息安全績效考核指標(biāo)是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)，提高企業(yè)人員的信息安全意識和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡言之是：給業(yè)務(wù)運(yùn)營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個中心（信息安全運(yùn)維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能，實(shí)現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運(yùn)維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患。基于此，綜合測試環(huán)境建設(shè)的內(nèi)容包括：安全測試網(wǎng)絡(luò)；測試系統(tǒng)設(shè)備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬；測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術(shù)語知識庫。

5.4 安全平臺建設(shè)規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計(jì)如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是：以信息安全服務(wù)為切入點(diǎn)，充分發(fā)揮企業(yè)優(yōu)勢資源，引領(lǐng)信息安全市場，為企業(yè)轉(zhuǎn)型創(chuàng)造時機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運(yùn)維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)

服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險評估；信息安全規(guī)劃設(shè)計(jì)；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運(yùn)維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運(yùn)維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實(shí)際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運(yùn)營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

篇3

電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)，實(shí)現(xiàn)電力制造、管理等信息的收集、存儲、分析及傳輸?shù)木C合性的有機(jī)系統(tǒng)。［1］信息作為一種重要的企業(yè)資源必須要對其進(jìn)行全面的安全管理，企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險的互相協(xié)調(diào)的活動，即企業(yè)管理層對企業(yè)相關(guān)信息和活動安排進(jìn)行合理的規(guī)劃和協(xié)調(diào)。一直以來，很多人特別是對于信息行業(yè)出身的工作人員，都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中，即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上，他們認(rèn)為只要通過加密技術(shù)，任何信息安全問題都能夠解決。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生，我們又常聽到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)。經(jīng)此之后，入侵檢測、VPN等更多新的概念及技術(shù)紛至沓來，但無論技術(shù)怎樣變化，終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖。實(shí)際上，對企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分，它只是實(shí)現(xiàn)企業(yè)安全運(yùn)營的一個方法而己。大家之所以產(chǎn)生這樣的誤區(qū)，其原因是多方面的，站在企業(yè)安全技術(shù)提供商的角度來說，其側(cè)重點(diǎn)在于銷售，因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息。站在客戶角度來說，只有企業(yè)的產(chǎn)品才是真實(shí)的、有形的，對投資方來說，這是十分重要的。因此，正是對于企業(yè)信息系統(tǒng)的錯誤認(rèn)識，導(dǎo)致一些極端現(xiàn)象的產(chǎn)生，比如：許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù)，但卻沒有設(shè)定出一套以安全策略為核心的合理的安全管理方案，從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂，不能做到技術(shù)及相關(guān)產(chǎn)品的及時、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施，卻沒有使用有效的實(shí)施、監(jiān)督機(jī)制來執(zhí)行，這讓安全管理措施徒有其表，名存實(shí)亡。經(jīng)過研究及調(diào)查，現(xiàn)階段我國電力企業(yè)信息系統(tǒng)面臨的風(fēng)險主要有：（1）信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)也一直在不斷完善中，目前，我國的電力企業(yè)在設(shè)計(jì)、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險，比如來自軟硬件組件的安全隱患等，這些信息系統(tǒng)固有的缺陷對電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅。（2）信息系統(tǒng)安全管理不規(guī)范。現(xiàn)階段，我國電力企業(yè)對電力信息系統(tǒng)的安全愈來愈重視，很多電力企業(yè)都采取了各種風(fēng)險管理及預(yù)防措施，但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)，建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。（3）網(wǎng)絡(luò)安全意識薄弱。由于電力企業(yè)的安全宣傳力度不夠，相關(guān)技術(shù)人員的安全意識薄弱而導(dǎo)致的信息系統(tǒng)安全問題時有發(fā)生，比如不能及時修補(bǔ)信息系統(tǒng)漏洞及補(bǔ)丁，相關(guān)人員不正確的操作、或通過U盤導(dǎo)致重要信息泄露等，處理不好都很有可能造成整個電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。（4）惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高，我國的電力企業(yè)信息系統(tǒng)逐漸向開放型及共享型發(fā)展，這使得一些不法分子有機(jī)可乘，他們?yōu)榱俗约旱睦妫ㄟ^各種手段非法入侵電力企業(yè)的信息系統(tǒng)，如植入病毒、竊聽、干擾阻斷等，這對我國電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅。

2電力企業(yè)信息系統(tǒng)安全管理研究

信息安全是一個復(fù)雜的、不斷變化的動態(tài)過程，如果電力企業(yè)只根據(jù)一時需要而忽略了信息安全的動態(tài)性，只是主觀的來制定一些風(fēng)險管理措施，就會造成在企業(yè)信息管理中顧此失彼，進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗。［2］其正確的做法是，電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實(shí)踐總結(jié)，結(jié)合企業(yè)自身對信息系統(tǒng)安全的實(shí)際需求，在進(jìn)行完善的風(fēng)險分析及風(fēng)險管理的基礎(chǔ)上，通過一些合理的、可行的安全風(fēng)險管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)。除此之外，不斷更新的過程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點(diǎn)，該過程還應(yīng)該是動態(tài)的、變化的，即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善，堅(jiān)決拒絕一成不變，這可以將信息系統(tǒng)的風(fēng)險降到最低。［3］所以說，基于風(fēng)險的評估及控制角度來說，電力企業(yè)信息系統(tǒng)的安全風(fēng)險與其他領(lǐng)域的風(fēng)險具有相似性，與此同時，電力系統(tǒng)信息系統(tǒng)安全風(fēng)險又具有其獨(dú)特性。將其他領(lǐng)域內(nèi)的風(fēng)險控制過程引入電力企業(yè)的信息風(fēng)險管理領(lǐng)域，需要同時考慮到其共性和個性。安全管理主要分為網(wǎng)絡(luò)級、系統(tǒng)級和應(yīng)用級3個部分：（1）網(wǎng)絡(luò)級安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險問題，其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個方面采取安全管理措施。網(wǎng)絡(luò)防火墻對企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用，它可以有效預(yù)防潛在的破壞性入侵，同時可以對即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測，并對非法、錯誤的網(wǎng)絡(luò)信息進(jìn)行隔離，從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。對于網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)電力企業(yè)信息系統(tǒng)的實(shí)際情況，相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計(jì)出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)，該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯能力，從而對已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化。（2）系統(tǒng)級安全管理。在企業(yè)信息系統(tǒng)風(fēng)險管理中，系統(tǒng)級安全設(shè)計(jì)與用戶的具體應(yīng)用具有密切的聯(lián)系，具體而言，其分為操作系統(tǒng)與數(shù)據(jù)處理兩個方面。在操作系統(tǒng)方面，利用有效的網(wǎng)絡(luò)安全掃描對信息系統(tǒng)的安全風(fēng)險進(jìn)行合理評估，及時分析操作系統(tǒng)已有的漏洞，同時結(jié)合信息系統(tǒng)的漏洞自動修補(bǔ)技術(shù)，實(shí)現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患。在數(shù)據(jù)處理方面，企業(yè)要善于利用信息系統(tǒng)平臺再次對數(shù)據(jù)庫進(jìn)行數(shù)據(jù)安全加密，從而將信息系統(tǒng)的數(shù)據(jù)庫風(fēng)險降到最低。（3）應(yīng)用級安全管理。應(yīng)用級安全設(shè)計(jì)具有直觀、具體的特點(diǎn)，它是在設(shè)計(jì)電力企業(yè)的信息系統(tǒng)時，通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中，從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行。具體來說，電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同，分別進(jìn)行公開信息和私密信息的傳送、存儲及管理，從而實(shí)現(xiàn)在應(yīng)用層次上的訪問控制；而數(shù)字簽名技術(shù)可以通過對文件簽發(fā)者、日期等提供準(zhǔn)確的不可更改的歷史記錄，來保證系統(tǒng)所有文件的完整性。因此，我們得知，為了確保電力企業(yè)信息系統(tǒng)的安全，要采取合理、有效的管理手段來最大程度地降低風(fēng)險，即相關(guān)人員不僅要從技術(shù)層面來進(jìn)行安全管理的設(shè)計(jì)，還要從管理層面進(jìn)行安全管理設(shè)置。［4］具體來說可以從以下方面著手：（1）定期對企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育，增強(qiáng)其信息系統(tǒng)的安全意識；（2）保持相關(guān)人員特別是管理層的人員穩(wěn)定，若有人員調(diào)離，需及時更換系統(tǒng)密碼，避免企業(yè)機(jī)密泄露；（3）設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。

3結(jié)語

篇4

關(guān)鍵詞信息安全；企業(yè)；網(wǎng)絡(luò)

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2013）12-0129-02

1 網(wǎng)絡(luò)信息安全現(xiàn)狀

現(xiàn)代企業(yè)的發(fā)展離不開信息網(wǎng)絡(luò)，隨著Web2.0時代的到來，越來越多的應(yīng)用開始在互聯(lián)網(wǎng)上流行起來，信息網(wǎng)絡(luò)對提高企業(yè)生產(chǎn)效率、節(jié)約人員成本、獲得產(chǎn)品信息等方面做出了巨大貢獻(xiàn)，企業(yè)開始更為重視自身信息化的建設(shè)。然而，企業(yè)信息化速度的加快為企業(yè)信息安全工作提出了挑戰(zhàn)，在網(wǎng)絡(luò)發(fā)展的背后卻存在著一個永恒的話題――信息安全。隨著企業(yè)的安全生產(chǎn)、經(jīng)營管理等工作越來越依賴信息網(wǎng)絡(luò)，網(wǎng)絡(luò)上的病毒、黑客以及其他不可預(yù)見的因素都對企業(yè)信息安全帶來巨大威脅，在日趨多樣化、專業(yè)化的攻擊面前使得企業(yè)信息安全正面臨嚴(yán)峻的形式和挑戰(zhàn)。

近年來，網(wǎng)絡(luò)安全問題頻發(fā)，世界上每年遭受網(wǎng)絡(luò)攻擊的政府或者企業(yè)越來越多，2011年卡巴斯基實(shí)驗(yàn)室針對全球企業(yè)進(jìn)行的IT風(fēng)險調(diào)查顯示，全球至少61%的企業(yè)遭遇過惡意軟件的攻擊。在互聯(lián)網(wǎng)發(fā)源地―美國每年就有大約5萬多起黑客攻擊的事件，甚至信息安全工作防護(hù)嚴(yán)密的美國政府網(wǎng)站也不能幸免，更普通的企業(yè)。互聯(lián)網(wǎng)具有開放性和無國界的特點(diǎn)，這就使得對網(wǎng)絡(luò)攻擊事件具有全球普遍性，我國也不能幸免，據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心的統(tǒng)計(jì)報(bào)告顯示，我國每年有80%的企業(yè)、政府機(jī)關(guān)的網(wǎng)絡(luò)系統(tǒng)曾經(jīng)遭受過病毒或黑客的攻擊。瑞星公司在2012年的《中國信息安全報(bào)告》中指出，我國共有超過7億網(wǎng)民被病毒感染過，2009年上半年國內(nèi)被掛馬的網(wǎng)頁數(shù)量突破2億。例如2011年6月28日，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件，20：14，開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲；20：30，中的病毒頁面無法訪問；20：32，新浪微博中hellosamy用戶無法訪問。據(jù)統(tǒng)計(jì)，中國互聯(lián)網(wǎng)用戶每年因?yàn)榫W(wǎng)絡(luò)安全損失被“黑掉”的錢財(cái)高達(dá)76億。

上述網(wǎng)絡(luò)信息安全問題的出現(xiàn)為國企業(yè)敲響了警鐘，需要下大力氣加強(qiáng)網(wǎng)絡(luò)信息安全的防范和設(shè)計(jì)。

2 企業(yè)信息安全策略設(shè)計(jì)

2.1 病毒防護(hù)和查殺策略

病毒是信息安全的殺手，從病毒發(fā)作的情況來看，病毒的攻擊目標(biāo)沒有特定性，而且越來越隱蔽。從個人網(wǎng)站到企業(yè)網(wǎng)絡(luò)，無不受其所害，曾經(jīng)有網(wǎng)絡(luò)公司的防火墻被不明身份的黑客攻破了，牽扯到大量的用戶信息，用戶在該支付平臺注冊的電子郵箱以及登錄密碼面臨極大風(fēng)險。面對各式各樣且不斷發(fā)展演變中的病毒，企業(yè)對信息系統(tǒng)的日常維護(hù)和管理就顯得尤為

重要。

企業(yè)網(wǎng)絡(luò)部門工作人員要定期給辦公司電腦操作系統(tǒng)存在的安全漏洞打補(bǔ)丁，還要給每個客戶端都設(shè)置可靠的防毒軟件、防火墻、漏洞掃描系統(tǒng)、日志系統(tǒng)，加強(qiáng)入侵檢測和補(bǔ)丁管理，對企業(yè)遭受到的病毒攻擊進(jìn)行集中分析，掌握企業(yè)計(jì)算機(jī)系統(tǒng)中存在的安全隱患，采取有效的措施和方法防范由于病毒感染導(dǎo)致企業(yè)重要信息出現(xiàn)泄漏或者破壞。同時網(wǎng)絡(luò)技術(shù)人員也要對公司所有電腦進(jìn)行防病毒軟件升級工作，確保網(wǎng)絡(luò)內(nèi)所有服務(wù)器和終端計(jì)算機(jī)都安裝防病毒軟件，將殺病毒軟件設(shè)置成為自動升級狀態(tài)，及時更新病毒特征碼和系統(tǒng)補(bǔ)丁，防止由于個人疏忽造成沒有及時升級帶來病毒庫的安全威脅，保證企業(yè)信息系統(tǒng)的正常運(yùn)行。

另外對于企業(yè)而言，無論是服務(wù)器還是終端計(jì)算機(jī)都要加強(qiáng)防火墻設(shè)置，對外部入侵行為或者其他不安全的行為進(jìn)行攔截，實(shí)際運(yùn)行時，可以根據(jù)企業(yè)信息系統(tǒng)的需要，將一些服務(wù)器中不使用的端口關(guān)閉，盡量避免進(jìn)行一些具有安全隱患的服務(wù)，防止利用這些端口或者服務(wù)進(jìn)行外部攻擊的行為發(fā)生。當(dāng)然，網(wǎng)絡(luò)技術(shù)人員要對不同端口的作用十分清楚，避免將企業(yè)信息系統(tǒng)正常運(yùn)行的關(guān)閉，造成企業(yè)信息系統(tǒng)不能正常運(yùn)行。

2.2 保證企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行

保護(hù)企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是現(xiàn)代企業(yè)網(wǎng)絡(luò)信息安全的基本要求。企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行包括多個方面，有操作登記的分配、用戶賬戶與口令的保護(hù)、個人訪問權(quán)限、用戶身份驗(yàn)證等多個方面。我們需要做好以下工作。

1）做好重要資料備份工作。當(dāng)服務(wù)器或者硬盤發(fā)生故障時，重要的企業(yè)數(shù)據(jù)會受到嚴(yán)重威脅，但往往公司簡單的數(shù)據(jù)安全、信息安全體系對企業(yè)數(shù)據(jù)恢復(fù)、服務(wù)器數(shù)據(jù)恢復(fù)束手無策。為了保證信息系統(tǒng)的正常運(yùn)行和業(yè)務(wù)的正常開展，專業(yè)的企業(yè)數(shù)據(jù)恢復(fù)、服務(wù)器數(shù)據(jù)恢復(fù)格外重要。大多數(shù)企業(yè)采用備份手段來解決日常的數(shù)據(jù)安全問題，企業(yè)在購買安裝和配置服務(wù)器時，通常采用常見的兩臺服務(wù)器“一用一備”。企業(yè)網(wǎng)絡(luò)技術(shù)人員將重要信息備份在一些光盤、U盤或者移動硬盤上，然后將其放置在不同的地方，避免同時受損害或者丟失，最大限度的保障企業(yè)信息安全和數(shù)據(jù)的完整性。

2）加強(qiáng)對關(guān)鍵業(yè)務(wù)系統(tǒng)的管理。關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，其安全需求主要包括：訪問控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問，保證數(shù)據(jù)不被網(wǎng)絡(luò)內(nèi)部破壞，安全預(yù)警，對于破壞關(guān)鍵業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤等。2011年，韓國現(xiàn)代資本、韓國農(nóng)協(xié)銀行都遭受電腦黑客襲擊，電腦網(wǎng)絡(luò)癱瘓了三天，數(shù)以萬計(jì)的客戶受影響。這次攻擊事件就是以IT運(yùn)維部門的用戶機(jī)位跳板實(shí)施的，背后原因是因?yàn)檫@些銀行對最高級別權(quán)限管理不足，也沒有基本的隔離安全機(jī)制，筆記本都可以直接連入外網(wǎng)，黑客通過竊取內(nèi)部合法用戶的權(quán)限進(jìn)行非法活動。可見，企業(yè)應(yīng)該加強(qiáng)對用戶權(quán)限的管理；另外，在必要時進(jìn)行網(wǎng)絡(luò)隔離甚至物理隔離是必然的要求。同時，也要加強(qiáng)平時對于合法用戶的行為審計(jì)，防范合法權(quán)限被濫用或被利用等情況的發(fā)生。

3）加強(qiáng)企業(yè)網(wǎng)絡(luò)安全平臺建設(shè)。目前很多公司推出的安全平臺，就是依靠安全芯片為載體，通過軟硬件的結(jié)合，可以為用戶提供更加私密的加密存儲空間，這樣就可以將客戶信息、賬戶信息等高度機(jī)密的信息安全存放起來。根據(jù)不同的場景需求，還可以通過安全平臺搭建內(nèi)部機(jī)密信息共享平臺或工作組，比如某公司在進(jìn)行專項(xiàng)會議時或者涉及商業(yè)機(jī)密文件共享時，可以建立起相對封閉的局域工作網(wǎng)絡(luò)，讓各部門的總監(jiān)或管理層在同一局域網(wǎng)內(nèi)共享機(jī)密信息，其他員工則沒有查看服務(wù)器或者重要信息的權(quán)限。同時，還能夠避免通過郵件、病毒、木馬等非法手段盜取數(shù)據(jù)，造成不必要的損失。

2.3 健全有效的信息安全管理制度

沒有安全管理，就沒有信息安全。真正的網(wǎng)絡(luò)安全實(shí)際上靠的不是這個或那個安全產(chǎn)品，而是自身固有的安全意識。尋求解決安全問題的根本方法在于不僅要具備安全可信的辦公電腦，也要建立更加完善的數(shù)據(jù)安全管理制度。真正實(shí)現(xiàn)企業(yè)的信息安全管理僅僅依靠技術(shù)手段是不夠的，必須對規(guī)章制度上加強(qiáng)企業(yè)人員的信息安全防范意識。

1）做好員工的培訓(xùn)的管理。信息只是一種編碼形式，人才是信息的操作者，每個環(huán)節(jié)中安全隱患的最終來源都是人。為了能夠加強(qiáng)企業(yè)工作人員的信息安全防范意識，企業(yè)要加強(qiáng)對公司員工的系統(tǒng)培訓(xùn)，從計(jì)算機(jī)基本知識到信息安全防范的具體方法都要進(jìn)行細(xì)致講解，針對一些員工在日常使用計(jì)算機(jī)過程中不規(guī)范行為進(jìn)行及時矯正，針對一些年紀(jì)較大的、對計(jì)算機(jī)不是十分熟悉的老員工，企業(yè)網(wǎng)絡(luò)技術(shù)人員要現(xiàn)場演示操作，讓員工養(yǎng)成良好的使用習(xí)慣。同時要甄選出有豐富計(jì)算機(jī)操作經(jīng)驗(yàn)的人員負(fù)責(zé)每個部分電腦的日常清潔、維護(hù)和管理，負(fù)責(zé)對部門電腦病毒庫的升級、電腦的內(nèi)部清理等工作，確保企業(yè)信息安全。

2）加強(qiáng)系統(tǒng)運(yùn)行環(huán)境和維護(hù)管理，要加強(qiáng)對機(jī)房電源、空調(diào)系統(tǒng)、消防系統(tǒng)、監(jiān)控系統(tǒng)、門禁裝置等基礎(chǔ)設(shè)施的維護(hù)和管理，確保其可靠、正常的運(yùn)行。嚴(yán)禁非系統(tǒng)管理人員隨意進(jìn)入機(jī)房，嚴(yán)禁在機(jī)房內(nèi)抽煙。嚴(yán)格落實(shí)機(jī)房巡視、系統(tǒng)巡檢、運(yùn)行測試、操作審批、機(jī)房出入登記、信息安全故障上報(bào)等工作制度。嚴(yán)禁在機(jī)房的服務(wù)器上瀏覽網(wǎng)頁、隨意下載軟件、打游戲等。

3 結(jié)束語

總之，對于現(xiàn)代企業(yè)而言，信息技術(shù)的發(fā)展給企業(yè)信息安全帶來巨大隱患，企業(yè)的信息安全也越來越受到信息安全部門和企業(yè)管理者的重視。信息安全工作是一個全方位的系統(tǒng)工程，每個企業(yè)面臨的信息安全環(huán)境不同，企業(yè)應(yīng)該結(jié)合自己實(shí)際情況，從思想上、技術(shù)上、管理上多管齊下，采取有針對性的信息安全策略，才能最大限度的降低信息安全威脅、保證企業(yè)信息安全，為企業(yè)健康長遠(yuǎn)發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1]陳澤徐.淺析企業(yè)網(wǎng)絡(luò)安全策略[J].電腦知識與技術(shù)，2009（09）.

[2]沈傳案，王吉偉.企業(yè)網(wǎng)絡(luò)安全解決方案[J].計(jì)算機(jī)與信息技術(shù)，2008（06）.

[3]冼沛勇.企業(yè)網(wǎng)絡(luò)安全解決方案[J].石油工業(yè)計(jì)算機(jī)應(yīng)用，2004（02）.

[4]牛金才.企業(yè)網(wǎng)絡(luò)安全解決方案淺析[J].煤，2003（02）.

[5]石亦歌.企業(yè)網(wǎng)絡(luò)安全解決方案[J].安防科技，2003（03）.

[6]王鋒.關(guān)于企業(yè)網(wǎng)絡(luò)安全問題的探討[J].電腦知識與技術(shù)，2009（36）.

篇5

【關(guān)鍵詞】供電企業(yè)；信息系統(tǒng)安全；強(qiáng)化措施

面對當(dāng)代信息技術(shù)的發(fā)展與社會電力工作的要求，信息技術(shù)已經(jīng)逐漸覆蓋到電力系統(tǒng)的每個方面，同時也帶來了許多的安全隱患，時時威脅著供電企業(yè)的信息安全。電力是一個國家的基礎(chǔ)產(chǎn)業(yè)，關(guān)乎每一個領(lǐng)域，對全國經(jīng)濟(jì)建設(shè)發(fā)展起著決定性的作用。因此，供電企業(yè)的信息技術(shù)安全就顯的尤為重要。本文針對近些年來信息技術(shù)在供電企業(yè)應(yīng)用時所出現(xiàn)的安全問題進(jìn)行細(xì)致的探究，并且提出了相應(yīng)的防范措施。

1 供電企業(yè)信息化現(xiàn)狀

近些年來，以網(wǎng)絡(luò)、數(shù)據(jù)庫為代表的信息系統(tǒng)技術(shù)已經(jīng)滲透進(jìn)電力生產(chǎn)的每個環(huán)節(jié)，供電企業(yè)信息化現(xiàn)狀大致可以總結(jié)成以下五個方面：

（1）電力信息系統(tǒng)基礎(chǔ)設(shè)施已基本完成。電力信息系統(tǒng)以高速電力通訊網(wǎng)為基礎(chǔ)，覆蓋了各個供電企業(yè)和國家電網(wǎng)。電力信息系統(tǒng)通過發(fā)、輸、配三個環(huán)節(jié)，以光纖，衛(wèi)星等多種手段代替原有的通信網(wǎng)，覆蓋整個網(wǎng)絡(luò)。供電企業(yè)還在基礎(chǔ)設(shè)施上不斷創(chuàng)新和完善，用通訊網(wǎng)將各個公司、區(qū)域的信息系統(tǒng)相互聯(lián)系起來，形成共享網(wǎng)絡(luò)，有利于各個企業(yè)單位之間的聯(lián)系與資源共享。

（2）處于自主研發(fā)階段。原有的供電企業(yè)信息系統(tǒng)是單純引進(jìn)國際技術(shù)，隨著我國科學(xué)技術(shù)的發(fā)展，我國電力信息技術(shù)已經(jīng)逐漸達(dá)到國際現(xiàn)有的水平。我國自主研發(fā)的系統(tǒng)――能量管理，已經(jīng)在我國供電企業(yè)信息系統(tǒng)中得到了廣泛應(yīng)用。并且不斷推陳出新，為以后的電力信息系統(tǒng)提供基礎(chǔ)。

（3）供電企業(yè)信息安全工作進(jìn)展快速。我國建成了信息系統(tǒng)安全和供電企業(yè)電力系統(tǒng)網(wǎng)絡(luò)管理體系，保證了電力信息安全；建立了相應(yīng)的法律法規(guī)，為供電企業(yè)信息化發(fā)展提供了法律保障；國家大力支持電力信息系統(tǒng)，加快了電力信息系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)；我國電力信息技術(shù)人才的培養(yǎng)，為供電企業(yè)信息系統(tǒng)的進(jìn)步提供了條件。

（4）電力信息系統(tǒng)出現(xiàn)重大轉(zhuǎn)變，為供電企業(yè)信息系統(tǒng)安全風(fēng)險與防范提供最要的技術(shù)來源和保障。電力信息系統(tǒng)從出現(xiàn)以來，實(shí)現(xiàn)了從自動化向信息化，從信息資源整合向信息資源利用，從協(xié)助管理向大力發(fā)展生產(chǎn)力三個方面的轉(zhuǎn)變。

（5）供電企業(yè)與電網(wǎng)企業(yè)共同發(fā)展。電網(wǎng)企業(yè)先實(shí)施了國家的信息化工程，初見成效，這為供電企業(yè)實(shí)施企業(yè)信息系統(tǒng)提供了方向指導(dǎo)。之后，供電企業(yè)與電網(wǎng)企業(yè)共同發(fā)展，在保證供電系統(tǒng)順利的運(yùn)作下，提高效率，降低成本，從而達(dá)到經(jīng)濟(jì)利益最大化，為整個行業(yè)的發(fā)展，奠定了堅(jiān)實(shí)的基礎(chǔ)。

2 供電企業(yè)信息系統(tǒng)安全的影響因素

隨著網(wǎng)絡(luò)、通信技術(shù)的發(fā)展，供電企業(yè)中信息技術(shù)處理的應(yīng)用系統(tǒng)越來越復(fù)雜，面臨的挑戰(zhàn)也越來越多，類似供電控制系統(tǒng)和網(wǎng)絡(luò)信息的安全性、保險性、實(shí)時型都面臨著巨大的考驗(yàn)。以下舉出了供電企業(yè)信息系統(tǒng)安全的幾個重要的影響因素。

（1）自然及不可抗力因素。自然及不可抗力因素指的是自然災(zāi)害或者突發(fā)事件不可預(yù)期的因素。類似火災(zāi)、地震、雷電等，都會對供電信息系統(tǒng)造成破壞，導(dǎo)致供電系統(tǒng)工作的終止和信息系統(tǒng)數(shù)據(jù)的丟失。

（2）物理方面的風(fēng)險。物理方面的風(fēng)險指的是在信息系統(tǒng)技術(shù)應(yīng)用的過程中所使用的設(shè)備的風(fēng)險。供電企業(yè)在信息系統(tǒng)運(yùn)行的過程中，需要用到交換機(jī)，路由器，工作站等設(shè)備，而這些設(shè)備在人為因素或者自然因素的條件下，很容易損壞或者報(bào)廢，斷電或者使原有的信息丟失，從而導(dǎo)致整個信息系統(tǒng)的癱瘓，會對供電企業(yè)造成不可預(yù)計(jì)的影響和損失。

（3）數(shù)據(jù)庫安全。供電企業(yè)的信息系統(tǒng)需要用到各種設(shè)備和應(yīng)用軟件系統(tǒng)，而這些設(shè)備和軟件系統(tǒng)在信息系統(tǒng)不完善的條件下，肯定會存在一定的漏洞，這將會導(dǎo)致供電企業(yè)內(nèi)部信息資料安全受到威脅。企業(yè)如果放松警惕，不法分子就會通過漏洞傳播病毒并且盜取企業(yè)的重要文件資料，這將導(dǎo)致供電企業(yè)無法正常供電，并且威脅著整個企業(yè)的內(nèi)部安全。

（4）管理系統(tǒng)安全。現(xiàn)在處于信息系統(tǒng)在供電企業(yè)發(fā)展過程中的初級階段，還沒有形成一整套針對供電企業(yè)信息系統(tǒng)安全的管理措施。這樣在信息系統(tǒng)的運(yùn)作過程中，將會出現(xiàn)很多不完善的地方，時刻威脅著供電企業(yè)生產(chǎn)的安全性，影響整個企業(yè)的正常供電。

（5）電磁干擾的影響。信息系統(tǒng)在各個領(lǐng)域中的應(yīng)用并未完善，而信息在傳輸?shù)倪^程中很容易被電磁干擾，導(dǎo)致信息的丟失。

3 信息系統(tǒng)安全的防范措施

強(qiáng)化員工的整體素質(zhì)與基礎(chǔ)知識的水平。供電企業(yè)的信息系統(tǒng)安全防范，不僅僅是相關(guān)部門的事情，而是整個供電企業(yè)內(nèi)部人員的事情。供電企業(yè)內(nèi)的每一個突發(fā)事件，都位于生產(chǎn)的細(xì)微環(huán)節(jié)，這就要求企業(yè)的員工需要有較高的知識水平與應(yīng)變能力，面對安全隱患及時做出相應(yīng)的防范措施，應(yīng)對自如。所以應(yīng)該提高全體員工的信息安全知識的學(xué)習(xí)以及必要的防范意識。在有條件的情況下可以開設(shè)信息安全相關(guān)的培訓(xùn)，以逢培必考方式，提高培訓(xùn)效果并落實(shí)一定的考核制度，有利于全體員工對信息安全知識的學(xué)習(xí)，也確保了供電企業(yè)安全穩(wěn)定的發(fā)展。

轉(zhuǎn)變傳統(tǒng)的管理制度，由傳統(tǒng)的硬性管理轉(zhuǎn)變成為適應(yīng)當(dāng)今企業(yè)發(fā)展的分區(qū)分域管理。分區(qū)管理就是對不同級別的信息進(jìn)行分區(qū)，建立網(wǎng)絡(luò)隔離系統(tǒng)；分域就是在分區(qū)管理的基礎(chǔ)上，針對生產(chǎn)域、營銷域、人資域、辦公域、財(cái)務(wù)域等，各專業(yè)信息系統(tǒng)的要求進(jìn)行更加細(xì)致的劃分。這樣有利于擺脫傳統(tǒng)管理模式中的漏洞，增加管理的靈活性、全面性。將知識管理與安全管理相結(jié)合，為供電企業(yè)信息系統(tǒng)的正常運(yùn)行提供基礎(chǔ)保障。

將電力通信及自動化的網(wǎng)絡(luò)與供電企業(yè)的內(nèi)部綜合數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行物理隔離，這有益于防止信息系統(tǒng)安全過程中產(chǎn)生的漏洞導(dǎo)致的病毒入侵現(xiàn)象，保護(hù)內(nèi)部資料的安全性。在建立最基本的管理制度的同時，從工作出發(fā)，對發(fā)現(xiàn)的問題及時匯報(bào)處理并且統(tǒng)計(jì)，建立特有的數(shù)據(jù)庫，為以后工作信息系統(tǒng)的防范提供基礎(chǔ)。

預(yù)防計(jì)算機(jī)病毒，防止病毒破壞。這是供電企業(yè)信息系統(tǒng)安全措施中最重要的一個環(huán)節(jié)。供電企業(yè)中，辦公最重要的一個內(nèi)容就是企業(yè)郵件的收發(fā)，這也是感染病毒最多的環(huán)節(jié)。必須加大對系統(tǒng)的升級和修復(fù)，建立和完善防病毒系統(tǒng)，實(shí)時對計(jì)算機(jī)進(jìn)行監(jiān)控，對用戶訪問進(jìn)行嚴(yán)格防控。

電力信息系統(tǒng)還處于發(fā)展階段，必須加強(qiáng)對信息技術(shù)安全的監(jiān)控，并且及時匯報(bào)，完善信息系統(tǒng)的應(yīng)急預(yù)案。這要求企業(yè)必須真實(shí)的對待每一個信息事件，及時通報(bào)，不得隱瞞。不斷改善原有的應(yīng)急措施，并且監(jiān)督每一次應(yīng)急措施的實(shí)施，提高整個供電企業(yè)面對信息系統(tǒng)的應(yīng)對能力。

提高供電企業(yè)信息系統(tǒng)的保密措施。在對信息系統(tǒng)網(wǎng)絡(luò)安全加強(qiáng)的同時，也要完善人為因素導(dǎo)致的信息泄露。嚴(yán)禁外部人員對計(jì)算機(jī)網(wǎng)絡(luò)的訪問，嚴(yán)格控制外來U盤等移動介質(zhì)的使用，對信息系統(tǒng)的安全進(jìn)行嚴(yán)格監(jiān)管，定期開展對保密工作的檢查，不放過任何一個中間環(huán)節(jié)。

4 總結(jié)

供電企業(yè)的信息系統(tǒng)安全涉及到企業(yè)的方方面面，包括自然因素，人為因素，物理因素等等。所以為供電企業(yè)信息系統(tǒng)制定防范措施就要從這些因素出發(fā)，全面分析，多重角度看待，才能制定有效的防范措施，保護(hù)整個供電企業(yè)的安全。

參考文獻(xiàn)：

[1]Christopher.信息安全管理[J].北京：清華大學(xué)出版社，2005.