導(dǎo)語(yǔ)：企業(yè)網(wǎng)絡(luò)信息安全思考一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

隨著供電企業(yè)信息化建設(shè)不斷深入，特別是國(guó)網(wǎng)公司信息化“SG186”工程的實(shí)施，對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)信息系統(tǒng)的依賴(lài)程度越來(lái)越強(qiáng)。因此使我們對(duì)目前供電企業(yè)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)也愈加擔(dān)心。信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)既有來(lái)自于外部，也有來(lái)自于內(nèi)部。來(lái)自外部的威脅包括網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、惡意軟件騷擾等造成數(shù)據(jù)丟失、機(jī)密數(shù)據(jù)的失密或系統(tǒng)不能正常地使用。來(lái)自?xún)?nèi)部的威脅包括用戶(hù)安全意識(shí)不足，管理不到位，設(shè)備缺陷、網(wǎng)絡(luò)配置存在安全隱患，應(yīng)用系統(tǒng)安全控制不嚴(yán)，支撐平臺(tái)沒(méi)有進(jìn)行必要的安全配置等缺陷。據(jù)統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，屬于人為因素比重高達(dá)70%以上，下面就目前基層供電企業(yè)信息安全管理中存在的問(wèn)題和如何加強(qiáng)管理進(jìn)行闡述。

一、目前企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題

目前各級(jí)供電企業(yè)對(duì)信息安全日趨重視，但主要側(cè)重于防備外來(lái)未授權(quán)用戶(hù)的非訪問(wèn)，并過(guò)于注重如防火墻、入侵檢測(cè)等技術(shù)問(wèn)題，忽略了信息安全中人的管理，造成了幾個(gè)突出問(wèn)題：

1、人員安全意識(shí)淡薄

由于系統(tǒng)的專(zhuān)業(yè)教育與培訓(xùn)不足，許多專(zhuān)業(yè)技術(shù)人員仍然抱著“防火墻等于安全”的僥幸心理，缺乏“防黑防毒”的意識(shí)和內(nèi)部員工操作失誤或惡意攻擊的警惕性，對(duì)信息安全采取的防護(hù)措施非常簡(jiǎn)單。大多數(shù)信息系統(tǒng)使用員工對(duì)信息安全知識(shí)和技能掌握不夠，認(rèn)為信息安全只是技術(shù)部門(mén)的事，安全防護(hù)意識(shí)不強(qiáng)。

2、網(wǎng)絡(luò)信息機(jī)構(gòu)不健全

有些供電企業(yè)沒(méi)有專(zhuān)門(mén)的信息技術(shù)運(yùn)行機(jī)構(gòu)或沒(méi)有規(guī)范的建制和崗位，人員配置又偏少，而且信息系統(tǒng)架構(gòu)的分散也導(dǎo)致人力資源不集中，信息戰(zhàn)線拉得大長(zhǎng)，幾乎沒(méi)有時(shí)間關(guān)注信息安全。由于IT技術(shù)發(fā)展很快，基層信息技術(shù)人員得不到相應(yīng)的培訓(xùn)，難以對(duì)日新月異的IT技術(shù)中有關(guān)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、存儲(chǔ)、安全等方面作全面的了解和掌握，運(yùn)行維護(hù)能力低下，系統(tǒng)安全監(jiān)控不到位。

3、網(wǎng)絡(luò)信息安全管理專(zhuān)業(yè)化程度不夠

大多數(shù)基層供電公司缺乏專(zhuān)門(mén)的信息安全監(jiān)督管理機(jī)構(gòu)，或者沒(méi)有配備專(zhuān)業(yè)的信息安全監(jiān)督管理人員，或者只設(shè)兼職。由于缺乏信息安全管理專(zhuān)業(yè)知識(shí)和技能，對(duì)信息安全特殊性認(rèn)識(shí)不足，難于發(fā)揮有效的信息安全監(jiān)督管理，使信息安全管理工作處于一種似管非管或基本不管的真空狀態(tài)。

4、管理制度滯后且執(zhí)行不力

隨著國(guó)網(wǎng)公司集中集成工作的展開(kāi)和信息網(wǎng)絡(luò)基礎(chǔ)建設(shè)不斷加強(qiáng)，原有的信息安全管理制度已相對(duì)滯后，而且有些制度不完全適合基層實(shí)際，個(gè)別條款操作性較差，難于執(zhí)行，這就造成制度執(zhí)行不力、有章不循、違規(guī)操作，這些都增加了信息安全風(fēng)險(xiǎn)。

二、加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理的幾點(diǎn)建議

1、加強(qiáng)全員網(wǎng)絡(luò)信息安全意識(shí)教育

通過(guò)普及信息安全知識(shí)教育，提高企業(yè)員工網(wǎng)絡(luò)信息安全知識(shí)和安全意識(shí)，掌握發(fā)現(xiàn)、解決某些常見(jiàn)安全問(wèn)題的能力。信息安全教育的具體內(nèi)容一般應(yīng)包括以下內(nèi)容：（1）信息安全所面臨的風(fēng)險(xiǎn)；

（2）企業(yè)信息安全方針及目標(biāo)；

（3）企業(yè)安全管理規(guī)章制度；

（4）與信息安全有關(guān)的其它內(nèi)容。通過(guò)安全教育使所有員工增強(qiáng)整體信息系統(tǒng)的安全防護(hù)意識(shí)。

2、加強(qiáng)企業(yè)員工相應(yīng)技能培訓(xùn)

為了確保企業(yè)員工在日常工作過(guò)程中具有保護(hù)企業(yè)信息安全方面的能力，應(yīng)當(dāng)加強(qiáng)對(duì)員工計(jì)算機(jī)安全技能培訓(xùn)，教育員工平時(shí)應(yīng)做到所有操作應(yīng)符合規(guī)定、不得向他人泄露自己的操作口令、不訪問(wèn)陌生的網(wǎng)站、不瀏覽或打開(kāi)一些來(lái)歷不明的郵件及附件、外來(lái)光盤(pán)、U盤(pán)等存儲(chǔ)設(shè)備須先殺毒后使用、發(fā)現(xiàn)問(wèn)題立即通知技術(shù)人員處理等基本的安全技能。

3、健全信息技術(shù)部門(mén)建設(shè)

根據(jù)需要合理配置信息技術(shù)人員，加強(qiáng)信息技術(shù)隊(duì)伍建設(shè)，明確機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、防病毒管理員、運(yùn)行維護(hù)員等崗位配置，重要崗位設(shè)置A、B崗，落實(shí)崗位職責(zé)具體到人。對(duì)技術(shù)人員應(yīng)注重技術(shù)培訓(xùn)，可以定期或不定期參加各種針對(duì)性的技術(shù)培訓(xùn)，增強(qiáng)技術(shù)儲(chǔ)備力度。

4、加強(qiáng)信息安全規(guī)章制度建設(shè)

建立健全適應(yīng)企業(yè)實(shí)際的安全管理制度是信息安全管理的前提。標(biāo)準(zhǔn)化的安全管理，能夠克服傳統(tǒng)管理中個(gè)人的主觀意志驅(qū)動(dòng)的管理模式。應(yīng)在對(duì)企業(yè)信息安全評(píng)估下，根據(jù)單位實(shí)際情況，遵照上級(jí)有關(guān)規(guī)定，制定出切實(shí)可行、全面的安全管理制度。如：保密制度、機(jī)房管理制度、網(wǎng)絡(luò)運(yùn)行管理制度、應(yīng)用系統(tǒng)運(yùn)行管理制度、設(shè)備維護(hù)工作制度、值班制度、計(jì)算機(jī)系統(tǒng)使用規(guī)范等，管理制度應(yīng)明確描述所有信息技術(shù)人員以及信息系統(tǒng)使用人員的信息安全職責(zé)和信息系統(tǒng)日常使用規(guī)范，規(guī)范信息系統(tǒng)操作流程，減少人為失誤。

5、建立安全監(jiān)督保證體系

成立安全領(lǐng)導(dǎo)小組，由分管領(lǐng)導(dǎo)抓信息安全工作，并設(shè)置一個(gè)獨(dú)立于信息技術(shù)部門(mén)的信息安全管理監(jiān)督部門(mén)作為企業(yè)的信息安全日常管理機(jī)構(gòu)，根據(jù)信息系統(tǒng)安全需要設(shè)定安全事務(wù)的職位，負(fù)責(zé)企業(yè)范圍內(nèi)信息安全監(jiān)督管理工作。各部門(mén)應(yīng)配備計(jì)算機(jī)技能較強(qiáng)的信息安全專(zhuān)兼職人員，負(fù)責(zé)所在部門(mén)信息安全制度的落實(shí)和執(zhí)行，形成良好的信息安全監(jiān)督保證體系。

6、加強(qiáng)信息安全考核力度

在建立規(guī)范的信息安全管理制度時(shí)，應(yīng)加強(qiáng)信息安全考核力度，使規(guī)范和制度的制定不形同虛設(shè)，而是真正落到實(shí)處，從而使全體員工都積極投入到信息安全工作中。在檢查到違反信息安全規(guī)章制度的事件或有安全事故發(fā)生之后，信息安全監(jiān)督管理部門(mén)應(yīng)對(duì)事件或事故的類(lèi)型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成分析評(píng)價(jià)資料，對(duì)責(zé)任人進(jìn)行經(jīng)濟(jì)或行政處罰?？傊鶎庸╇娖髽I(yè)必須重視和加強(qiáng)信息安全管理，努力消除信息安全漏洞，全面提高企業(yè)信息安全管理水平，在員工中樹(shù)立起牢固的信息安全企業(yè)文化，保證信息系統(tǒng)安全可靠地運(yùn)行。

◆江蘇海門(mén)市供電公司徐新件朱健華