導(dǎo)語(yǔ)：如何才能寫好一篇企業(yè)信息安全治理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：供電企業(yè)；信息安全；排查；治理

1引言

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息技術(shù)更是在各大企業(yè)得以應(yīng)用?？梢哉f信息技術(shù)是一把雙刃劍，在給企業(yè)帶來巨大利益的同時(shí)也帶來了很大的風(fēng)險(xiǎn)。而供電企業(yè)是國(guó)家的重要基礎(chǔ)設(shè)施的行業(yè)，它的安全更是關(guān)乎著整個(gè)國(guó)家的電力發(fā)展甚至說電力企業(yè)發(fā)生任何意外都會(huì)影響到我們整個(gè)國(guó)家的經(jīng)濟(jì)、國(guó)際地位等各方面的發(fā)展。因此說，供電企業(yè)的信息安全不容小覷。供電企業(yè)的信息安全隱患主要分為內(nèi)因和外因。供電企業(yè)在抵擋外來的信息侵略時(shí)會(huì)設(shè)置各種軟、硬件措施，這的確對(duì)于抵擋外來侵略起到了一定的作用。但是對(duì)于內(nèi)部來說這就毫無意義了。內(nèi)部信息安全得不到保障比外來侵略更加可怕。所以在處理供電企業(yè)的信息安全問題上一定要謹(jǐn)慎認(rèn)真。

2信息安全隱患

2.1信息安全的定義

信息安全總的來說是指信息在傳播過程中能夠不受外界的干擾，保證信息的安全、真實(shí)、可靠、保密以及完整性。并且能夠完好無損的傳輸?shù)侥康牡亍?/p>

2.2隱患的定義

隱患分為潛在隱患、動(dòng)態(tài)隱患、靜態(tài)隱患等各種，主要是指事故發(fā)生的原因。

2.3隱患的影響

有的隱患并不會(huì)造成很大的影響，這種隱患危險(xiǎn)性相對(duì)較低；有的隱患雖然不會(huì)導(dǎo)致很大的危險(xiǎn)發(fā)生，但是仍然會(huì)對(duì)企業(yè)造成一定的不良影響：還有的隱患就相對(duì)危險(xiǎn)了，會(huì)對(duì)企業(yè)造成相當(dāng)程度的損害，如果是信息安全得到破壞，企業(yè)的各種有效信息很有可能得到泄露；最為嚴(yán)重的一種就是會(huì)對(duì)企業(yè)造成不可挽回的嚴(yán)重破壞，甚至?xí)沟谜麄€(gè)企業(yè)系統(tǒng)癱瘓。

2.4信息安全隱患的形成

（1）通過對(duì)“物”的管理不善造成的各種影響：信息的傳播需要通信電路，而通信電路出現(xiàn)問題如果沒有及時(shí)發(fā)現(xiàn)并治理就會(huì)造成通信不便。在信息系統(tǒng)中不管是軟硬件的老化或者失效也會(huì)造成信息傳播不便。（2）通過對(duì)“人”的管理不善造成的各種影響：人是最難把握的一類高級(jí)生物，既然是人為操作就不可能一直不犯錯(cuò)誤。而網(wǎng)絡(luò)這個(gè)大系統(tǒng)又是由多方面的人員共同完成。在信息傳輸過程中，有些操作人員可能并沒有很清楚自身的操作能力，那么在操作過程中就會(huì)出現(xiàn)各種各樣的問題。

3關(guān)于信息安全隱患的排查

3.1排查的目的

隱患如果沒有及時(shí)消除就會(huì)造成很嚴(yán)重的后果，如果是輕度隱患造成的影響還相對(duì)小一些，但是如果是重度隱患就會(huì)造成無法挽回的后果。所以說，排查隱患的存在是非常有必要的。排查隱患的目的主要是在于能夠及早發(fā)現(xiàn)各種嚴(yán)重隱患，在關(guān)鍵部位重點(diǎn)關(guān)注，不讓檢查工作浮于表面，認(rèn)真負(fù)責(zé)信息安全的檢查。排查隱患的工作做好有利于企業(yè)提高自身網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。供電企業(yè)的信息安全排查的第一步做好了才有機(jī)會(huì)更好地完成后邊的步驟，有利于供電企業(yè)持續(xù)正常的為國(guó)家社會(huì)和人民服務(wù)。

3.2排查的范圍

排查分為終端、系統(tǒng)排查，設(shè)備、網(wǎng)絡(luò)排查，人員、管理排查。排查過程中更是要認(rèn)真仔細(xì)，決不能放過任何可疑的細(xì)節(jié)，要做到全面、細(xì)致。

4關(guān)于隱患的治理

4.1排查方法

信息安全不是兒戲，需要專業(yè)的知識(shí)來對(duì)安全隱患進(jìn)行排查。主要分為以下兩個(gè)方法：督查信息安全、排查信息隱患。我們重點(diǎn)來說一下督查信息安全。督查信息安全，顧名思義，就是對(duì)信息進(jìn)行監(jiān)督和檢查。主要分為日常監(jiān)督、專項(xiàng)監(jiān)督、年度監(jiān)督。

4.2排查流程

根據(jù)國(guó)家的法律法規(guī)，在對(duì)信息安全隱患進(jìn)行排查時(shí)，也要遵循一定的法規(guī)流程。信息安全的排查工作也是要由專業(yè)部門統(tǒng)一組織領(lǐng)導(dǎo)進(jìn)行。由專門的信息監(jiān)督人員、檢查人員進(jìn)行排查。由專門的技術(shù)人員對(duì)排查結(jié)果進(jìn)行分析總結(jié)并且分類整理所得到的信息。

4.3隱患的治理

（1）國(guó)家相關(guān)法律部門制定相應(yīng)的法律法規(guī)，對(duì)信息安全提出明確的保護(hù)方案和違反這一法規(guī)所會(huì)受到的處罰。并對(duì)破壞供電企業(yè)信息安全的行為高度重視，重點(diǎn)處置。（2）在隱患發(fā)生前有專業(yè)技術(shù)人員對(duì)各個(gè)方面進(jìn)行完美的檢查，并且制定出各種意外方案以備不時(shí)之需。（3）對(duì)于在信息傳播過程中由于設(shè)備問題所出現(xiàn)的問題要由專業(yè)的技術(shù)人員加以修正，而且在此之前，信息技術(shù)監(jiān)督小組成員應(yīng)當(dāng)提前預(yù)料到各種情況，這樣才能對(duì)在各種情況發(fā)生時(shí)臨危不亂。（4）定期檢查。不管是什么季節(jié)、什么時(shí)間都應(yīng)該有相關(guān)的技術(shù)人員對(duì)供電企業(yè)的各種信息、通信系統(tǒng)是否正常運(yùn)行進(jìn)行檢查維修。如有必要，還應(yīng)該開展各種演練活動(dòng)，提高值班人員的素質(zhì)和應(yīng)變能力。（5）加強(qiáng)培訓(xùn)。要對(duì)供電企業(yè)內(nèi)部人員進(jìn)行安全教育和技術(shù)培訓(xùn)，不僅提高理論水平還有實(shí)踐能力，加強(qiáng)安全意識(shí)。

5結(jié)束語(yǔ)

信息安全是現(xiàn)當(dāng)代各個(gè)企業(yè)必須面臨的重要問題，而供電企業(yè)作為國(guó)家的重點(diǎn)基礎(chǔ)設(shè)施企業(yè)更是要加以高度重視。信息安全不僅僅是信息部門的事情更是企業(yè)所有人的問題。供電企業(yè)要做到全員參與，制定更加合理的制度，不斷提高信息安全水平。

參考文獻(xiàn)

篇2

 

伴隨著企業(yè)對(duì)辦公應(yīng)用自動(dòng)化、移動(dòng)化、智能化需求的不斷增加，智能移動(dòng)終端在企業(yè)中的應(yīng)用呈現(xiàn)快速增長(zhǎng)態(tài)勢(shì)，越來越多的企業(yè)商業(yè)秘密在智能終端上進(jìn)行傳輸和處理。在給企業(yè)用戶帶來巨大便利和經(jīng)濟(jì)、管理效益的同時(shí)，隨之而來的安全風(fēng)險(xiǎn)和安全管理問題也日益凸現(xiàn)。

 

1 主流移動(dòng)終端操作系統(tǒng)平臺(tái)

 

目前常見主流的智能移動(dòng)終端操作系統(tǒng)平臺(tái)有Android、iPhone、Windows Phone三種。與傳統(tǒng)PC操作系統(tǒng)相比較，由于各廠商源代碼的開放程度不同，不同智能移動(dòng)終端操作系統(tǒng)的自我安全防護(hù)措施差異很大，造成不同廠商的智能終端面臨的安全風(fēng)險(xiǎn)截然不同。即使是同一種操作系統(tǒng)，不同ROM芯片安全加固程度的差異，都對(duì)移動(dòng)終端的信息安全造成不同程度和方面的威脅。

 

1.1 Windows Phone平臺(tái)

 

Windows Phone沒有繼承前輩Windows Mobile的開放性，而是借鑒了iPhone的封閉性。應(yīng)用程序商店Marketplace被限定為Windows Phone移動(dòng)終端安裝應(yīng)用程序的唯一方式和途徑，不支持通過其他方式來安裝程序包。這將在一定程度上杜絕了盜版軟件的風(fēng)險(xiǎn)，保護(hù)了開發(fā)者的權(quán)益。

 

Windows Phone的應(yīng)用程序模型目前主要支持第三方應(yīng)用在前臺(tái)執(zhí)行，不完全支持后臺(tái)應(yīng)用，這樣能夠在一定程度上降低系統(tǒng)安全風(fēng)險(xiǎn)，但存在第三方應(yīng)用如何攔截垃圾短信的問題。

 

1.2 iPhone平臺(tái)

 

iPhone是一個(gè)完全封閉的平臺(tái)，在一定程度上保證了平臺(tái)的安全性。如，iPhone缺省沒有讀取通話記錄、短信等的API，這保護(hù)了用戶的隱私;調(diào)用顯示用戶位置信息的API也會(huì)彈出提示信息。另外，iPhone也不允許使用API直接發(fā)短信和打電話，都需要用戶確認(rèn)，這樣間接減少了惡意訂購(gòu)和惡意話費(fèi)的風(fēng)險(xiǎn)。但是面臨越獄用戶所帶來的系統(tǒng)更改問題，這使得本來封閉平臺(tái)的安全優(yōu)勢(shì)喪失了。越來越多的開發(fā)者制作針對(duì)越獄用戶的應(yīng)用程序，并以共享形式，越獄用戶的信息安全即使在將來也很難得到有效保障。

 

1.3 Android平臺(tái)

 

Windows Phone 7和iPhone平臺(tái)不提供程序直接發(fā)短信等功能的接口，避免了惡意訂購(gòu)等行為的發(fā)生。相比之下，Android則把決定權(quán)交給了用戶，由用戶決定一個(gè)程序是否可以直接發(fā)短信。Android要求開發(fā)者在使用API時(shí)進(jìn)行申明，稱為permission。這樣對(duì)一些敏感API的使用在安裝時(shí)就可以給用戶風(fēng)險(xiǎn)提示，由用戶確定是否安裝。

 

例如，要監(jiān)控是否有短信到達(dá)，需要在Android Manifest文件中進(jìn)行如下設(shè)置：

 

xmlns：android=http：//schemas.android.com/apk/res/android

 

package="com.google.android.app.myapp">

 

在下載和安裝軟件時(shí)，普通用戶缺乏專業(yè)知識(shí)，使得這個(gè)決定設(shè)置形同虛設(shè)。而且，僅靠這些permission信息確定軟件是否是惡意的，也沒有太多依據(jù)。更嚴(yán)重的問題是，Android安全軟件所需要的權(quán)限與惡意軟件類似，使得用戶難以分辨。[1-2]

 

2 移動(dòng)終端面臨的安全隱患

 

隨著信息技術(shù)的不斷進(jìn)步，制造和使用成本的不斷下降，近年來，智能移動(dòng)終端市場(chǎng)得到了飛速發(fā)展和推廣。加之移動(dòng)終端智能化的發(fā)展，使得其功能越來越多樣化，能夠存儲(chǔ)的信息量和種類都大大增多，越來越多地被應(yīng)用到涉及國(guó)計(jì)民生的各個(gè)領(lǐng)域之中。小到個(gè)人資料和隱私、中到企業(yè)商業(yè)秘密、大到涉及國(guó)家政府政策信息等數(shù)據(jù)資料都涵蓋其中。隨著WIFI、3G網(wǎng)絡(luò)等功能的引入，以及專門針對(duì)智能移動(dòng)平臺(tái)的病毒、惡意程序的出現(xiàn)，加大了存儲(chǔ)在其中的資料被竊取、破壞、篡改的可能性，智能終端移動(dòng)平臺(tái)的信息安全越來越重要，對(duì)其進(jìn)行信息安全管理迫在眉睫。

 

通過對(duì)當(dāng)前常見移動(dòng)終端惡意軟件的調(diào)查與分析，通常有以下幾種特點(diǎn)：(1)聯(lián)網(wǎng)、發(fā)短信，實(shí)施惡意訂購(gòu)：例如下載軟件、產(chǎn)生額外流量、盜打電話(如悄悄撥打聲訊電話)、惡意訂購(gòu)SP業(yè)務(wù)，群發(fā)彩信等等。這是目前最主要、高發(fā)率的一種惡意行為，同時(shí)也是其它惡意行為的基礎(chǔ)。可以直接為惡意軟件的制作者帶來巨額的非法收益;(2)獲取本地信息：如獲取存儲(chǔ)在終端之中的通訊錄、通話記錄、短信內(nèi)容、本地文件、地理位置等信息。通過獲取和利用、販賣終端用戶信息以間接的獲得利益，動(dòng)機(jī)類似于在個(gè)人計(jì)算機(jī)盜取信息的行為;(3)竊取賬戶：通過盜號(hào)軟件，對(duì)網(wǎng)絡(luò)虛擬社區(qū)或網(wǎng)絡(luò)游戲等軟件的用戶資料，通過盜取信息獲得收益;(4)消耗資源類：如不斷地尋找藍(lán)牙設(shè)備去傳播惡意軟件。這也是惡意軟件的一種傳播方式;(5)破壞應(yīng)用：刪除本地文件、通訊錄、恢復(fù)出廠設(shè)置。如破壞SD卡上安裝的應(yīng)用程序，導(dǎo)致應(yīng)用無法啟動(dòng);(6)卸載安全軟件、自啟動(dòng)、難刪除、隱藏：隨著移動(dòng)平臺(tái)惡意軟件的增多，移動(dòng)平臺(tái)上的安全軟件也應(yīng)運(yùn)而生，惡意軟件制作者為了更穩(wěn)定的傳播惡意程序，往往在代碼中加入了自我保護(hù)的功能，使得惡意軟件難以有效刪除，或自動(dòng)卸載主流安全軟件以保護(hù)自身程序。

 

綜上所述，在API方面開放程度越高的智能移動(dòng)終端平臺(tái)，其受到外部安全攻擊的可能性就越大，面臨的安全風(fēng)險(xiǎn)越高;而采用非開源系統(tǒng)的移動(dòng)終端平臺(tái)使得中低端用戶趨向于尋求各種破解的方式來獲取免費(fèi)應(yīng)用，這實(shí)際上也加大了安全保護(hù)的難度。

 

另外，智能終端安全防護(hù)軟件必須取得操作系統(tǒng)內(nèi)核的較高權(quán)限，才能對(duì)應(yīng)用實(shí)施訪問控制，但是權(quán)限往往得不到滿足。對(duì)于封閉式操作系統(tǒng)，第三方安全防護(hù)軟件根本無法獲取內(nèi)核較高權(quán)限，也就沒有辦法實(shí)現(xiàn)對(duì)應(yīng)用的訪問控制。即使是開源式操作系統(tǒng)，由于操作系統(tǒng)內(nèi)核權(quán)限獲取困難，往往需要將第三方安全防護(hù)軟件集成到操作系統(tǒng)內(nèi)部。操作系統(tǒng)內(nèi)核權(quán)限獲取問題限制了第三方應(yīng)用軟件的防護(hù)能力。

 

3 企業(yè)智能移動(dòng)終端安全管理

 

隨著個(gè)人移動(dòng)終端的普及及其在企業(yè)日常生產(chǎn)經(jīng)營(yíng)工作領(lǐng)域中的廣泛應(yīng)用，作為信息系統(tǒng)重要組成部分的移動(dòng)終端的安全性對(duì)企業(yè)信息系統(tǒng)總體安全性的影響逐漸不容忽視。有鑒于此，將移動(dòng)終端安全納入到企業(yè)信息安全管理體系之中，是很有必要的。

 

針對(duì)企業(yè)智能移動(dòng)終端的信息安全管理工作可以從以下幾個(gè)層面逐步展開：

 

3.1 網(wǎng)絡(luò)安全

 

隨著無線網(wǎng)絡(luò)(IEEE802.11系列標(biāo)準(zhǔn)及其應(yīng)用，如WIFI)概念的引入和無線設(shè)備的普及，智能移動(dòng)終端已經(jīng)逐漸成為企業(yè)無線網(wǎng)絡(luò)的主要使用者。由于無線網(wǎng)絡(luò)本身的技術(shù)特點(diǎn)，以及用戶使用無線網(wǎng)絡(luò)時(shí)安全意識(shí)的淡薄，通過無線網(wǎng)絡(luò)滲透并威脅企業(yè)用戶信息安全的案例正在逐年增多。另外，智能移動(dòng)終端與個(gè)人計(jì)算機(jī)之間的數(shù)據(jù)傳輸也是未來可能被惡意攻擊者利用的一個(gè)隱患點(diǎn)?？紤]到信息系統(tǒng)的實(shí)際情況和信息安全保護(hù)的相關(guān)標(biāo)準(zhǔn)，企業(yè)可以考慮對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施如下安全措施。

 

例如：禁止大規(guī)模布設(shè)具有無線接入功能的路由器或其他網(wǎng)絡(luò)設(shè)備，已布設(shè)的無線接入設(shè)備必須采取可靠技術(shù)手段，實(shí)現(xiàn)與信息系統(tǒng)重要服務(wù)器和網(wǎng)絡(luò)設(shè)備隔離，不允許使用WIFI熱點(diǎn)網(wǎng)絡(luò)接入涉及敏感信息的企業(yè)網(wǎng)絡(luò)和接入互聯(lián)網(wǎng)，防止由互聯(lián)網(wǎng)反向滲透至智能終端。[3][4]

 

3.2 主機(jī)安全

 

智能終端操作系統(tǒng)開放程度的不統(tǒng)一使得移動(dòng)終端領(lǐng)域難以有一個(gè)統(tǒng)一的安全防范技術(shù)標(biāo)準(zhǔn)。在企業(yè)信息安全管理中，涉及某些敏感領(lǐng)域時(shí)，信息系統(tǒng)相關(guān)人員所持有的智能移動(dòng)終端是一個(gè)可能的隱患點(diǎn)，有必要將移動(dòng)終端作為主機(jī)安全部分納入到企業(yè)信息安全管理體系之中。

 

在定制主機(jī)應(yīng)用開發(fā)時(shí)，可限制OS的種類，禁止使用不安全的OS或者不安全的定制OEM或必須經(jīng)過合規(guī)性檢查，限制安裝某些軟件等;企業(yè)智能終端中存儲(chǔ)有大量涉及公司用戶隱私及利益的重要數(shù)據(jù)信息，為了提高主機(jī)安全性，可以考慮密碼保護(hù)、授權(quán)訪問、加密、備份等安全措施的應(yīng)用。另外，企業(yè)還要考慮對(duì)內(nèi)部使用的各型智能移動(dòng)終端統(tǒng)一安裝防護(hù)軟件并定期進(jìn)行更新。[5]

 

3.3 管理安全

 

由于目前智能化移動(dòng)終端(如智能手機(jī)、平板電腦)越來越多的應(yīng)用在工作中，或被企業(yè)各級(jí)員工帶入企業(yè)工作場(chǎng)所，有必要對(duì)智能化移動(dòng)終端的使用范圍、功能及方法進(jìn)行規(guī)范。在企業(yè)信息安全管理體系中考慮添加相關(guān)移動(dòng)終端管理安全要求：(1)對(duì)移動(dòng)設(shè)備(包括但不限于：便攜式計(jì)算機(jī)、智能手機(jī)、平板電腦)的使用范圍、操作及允許使用的功能進(jìn)行規(guī)范;(2)進(jìn)行移動(dòng)終端專題安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于以下內(nèi)容：移動(dòng)終端安全性、移動(dòng)終端使用范圍、禁止使用的移動(dòng)終端功能等;(3)對(duì)企業(yè)移動(dòng)終端設(shè)備進(jìn)行統(tǒng)一登記管理;(4)禁止在企業(yè)重要工作場(chǎng)所(會(huì)議室、科研機(jī)構(gòu))打開智能移動(dòng)終端的拍照、錄音等功能;(5)禁止在某些場(chǎng)合開啟藍(lán)牙、紅外、WIFI、無線上網(wǎng)和NFC等功能。

 

4 結(jié)束語(yǔ)

 

在本文中，首先對(duì)常見主流移動(dòng)終端操作系統(tǒng)進(jìn)行了介紹，并按操作系統(tǒng)種類分別對(duì)其安全現(xiàn)狀進(jìn)行了簡(jiǎn)要敘述;然后分析了目前移動(dòng)終端普遍面臨的安全風(fēng)險(xiǎn);最后提出了對(duì)企業(yè)移動(dòng)終端進(jìn)行信息安全管理過程中要注意的幾個(gè)層面及安全措施。

 

智能移動(dòng)終端近年來發(fā)展較快，并朝向易用性、系統(tǒng)復(fù)雜性同步提高的方向發(fā)展，這給企業(yè)信息安全管理提出了不小的挑戰(zhàn)。如何在保證企業(yè)移動(dòng)終端用戶使用方便的前提下最大限度的保障企業(yè)信息安全成為了當(dāng)前企業(yè)必須認(rèn)真面對(duì)的課題。應(yīng)盡快參照國(guó)家信息安全等級(jí)保護(hù)制度，對(duì)于建立企業(yè)智能終端等級(jí)保護(hù)制度進(jìn)行前沿探討，相關(guān)安全專業(yè)廠商也應(yīng)盡快制定和開發(fā)針對(duì)企業(yè)移動(dòng)智能終端操作系統(tǒng)的安全評(píng)估方法和產(chǎn)品，并投入市場(chǎng)以解企業(yè)燃眉之急。

 

隨著信息攻防技術(shù)的不斷更新，企業(yè)智能終端應(yīng)用還將不斷面臨新的安全挑戰(zhàn)，解決企業(yè)智能終端安全問題任重而道遠(yuǎn)。

篇3

【關(guān)鍵詞】信息安全；防火墻；煙草

1.煙草行業(yè)信息安全發(fā)展背景

隨著國(guó)內(nèi)煙草行業(yè)的不斷發(fā)展，煙草信息化建設(shè)的步伐也不斷加快，建立在網(wǎng)絡(luò)架構(gòu)上的跨部門、跨企業(yè)、跨地區(qū)的行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)絡(luò)逐步建立健全，信息化各類應(yīng)用不斷深化，而另一方面，行業(yè)信息安全形勢(shì)不容樂觀，影響系統(tǒng)穩(wěn)定運(yùn)行的因素不斷凸顯，因此，需要通過管理、技術(shù)等層面入手，采用先進(jìn)可行的技術(shù)手段和管理理念，剪建成全面有效的一套信息安全體系，為整個(gè)工業(yè)公司業(yè)務(wù)的正常運(yùn)行提供強(qiáng)有力的支持和保障。

2.構(gòu)建企業(yè)信息安全系統(tǒng)體系架構(gòu)

2.1企業(yè)信息安全系統(tǒng)體系架構(gòu)的定義

在各種風(fēng)險(xiǎn)日趨復(fù)雜化的今天，企業(yè)的決策層希望能夠獲得有效的手段來管理和控制其責(zé)任范圍內(nèi)的各種風(fēng)險(xiǎn)。他們需要了解安全風(fēng)險(xiǎn)對(duì)信息系統(tǒng)以及相關(guān)業(yè)務(wù)所產(chǎn)生的潛在影響；需要獲得應(yīng)對(duì)這些風(fēng)險(xiǎn)的快速有效的措施來保障相關(guān)業(yè)務(wù)的可用性和穩(wěn)定性。

企業(yè)信息安全系統(tǒng)體系架構(gòu)

企業(yè)信息安全系統(tǒng)體系架構(gòu)從上到下由安全治理、風(fēng)險(xiǎn)管理及合規(guī)層，安全運(yùn)維層和基礎(chǔ)安全服務(wù)和架構(gòu)層三個(gè)層次構(gòu)成。安全治理、風(fēng)險(xiǎn)和合規(guī)作為企業(yè)信息安全系統(tǒng)體系架構(gòu)頂層的核心內(nèi)容，是第二層安全運(yùn)維的服務(wù)對(duì)象，同時(shí)，它們也是企業(yè)信息安全策略制定的基礎(chǔ)和依據(jù)?；A(chǔ)安全服務(wù)和架構(gòu)層是企業(yè)信息安全建設(shè)技術(shù)需求和功能的實(shí)現(xiàn)者。是企業(yè)信息安全建設(shè)的重要支柱。

中間的安全運(yùn)維層則通過對(duì)信息安全基礎(chǔ)服務(wù)所提供的功能，結(jié)合安全運(yùn)維管理的流程，來實(shí)現(xiàn)安全治理、風(fēng)險(xiǎn)管理和合規(guī)的要求。

2.2企業(yè)信息安全系統(tǒng)體系架構(gòu)所遵從的安全標(biāo)準(zhǔn)和法規(guī)

符合信息安全管理體系（ISO/IEC27001）。

符合信息安全管理實(shí)施細(xì)則（ISO/IEC27002）。

符合內(nèi)控框架（如BS17799或COBIT）。

提供符合薩班斯（Sox）法案的支持。

符合GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架。

符合GB/T 20282-2006 信息安全技術(shù)信息系統(tǒng)安全工程管理要求。

GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。

GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型。

GB/T 19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全。

GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求。

GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。

3.項(xiàng)目實(shí)施前準(zhǔn)備

3.1機(jī)房環(huán)境要求

機(jī)房環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時(shí)。

相對(duì)濕度：40%～60%。

相對(duì)濕度變化率：2%/小時(shí)。

機(jī)房?jī)?nèi)使用高架地板，必須滿足堅(jiān)硬、防靜電等要求。

地板載重量必須大于500kg/m2。

海拔高度：

機(jī)房的裝修應(yīng)選擇防火材料，并應(yīng)有防塵措施。

3.2機(jī)房所需附加設(shè)備

溫度/濕度記錄儀、除塵器。

吸塵器、除濕器、冷氣機(jī)。

在有腐蝕性氣體的場(chǎng)所中加裝空氣過濾器。

拖鞋。

滅火器。

緊急停電照明設(shè)備。

不間斷電源，請(qǐng)參考本設(shè)計(jì)提供的設(shè)備耗電量選擇品質(zhì)優(yōu)良的產(chǎn)品。

3.3接地系統(tǒng)

配電箱與最終接地端應(yīng)以單獨(dú)絕緣導(dǎo)線相連；其線徑至少需與輸入端電源。

線路徑相同，接地電阻應(yīng)小于4Ω。

地線與零線之間所測(cè)的交流電應(yīng)小于1伏特。

3.4電源系統(tǒng)

電壓：220 V（190～240）。

頻率：47～63Hz。

其他單一諧波不得高于3%。

3.5不間斷電源

UPS系統(tǒng)容量應(yīng)>=1.3倍設(shè)備總耗電量。

勿將機(jī)房電源與下列設(shè)備共用同一電源或同一電線，以避免受到干擾，例如大型電梯、升降機(jī)、窗型冷氣機(jī)、復(fù)印機(jī)等。

請(qǐng)?jiān)跈C(jī)房使用適當(dāng)數(shù)量的普通維護(hù)插座，以提供維修人員使用，且此維護(hù)插座不能與電源系統(tǒng)共用電源。

配電箱的位置應(yīng)盡量靠近機(jī)房且便于操作。

3.6空調(diào)系統(tǒng)

3.6.1環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時(shí)。

相對(duì)濕度：40%～60%（不結(jié)霜）。

相對(duì)濕度變化率：2%/小時(shí)。

3.6.2機(jī)房冷卻系統(tǒng)容量計(jì)算：

總安全量=（設(shè)備散熱量+環(huán)境散熱量）*130%（未包括未來擴(kuò)充設(shè)備容量）。

環(huán)境散熱量，簡(jiǎn)單的以每平方米600BTU/小時(shí)預(yù)估（不含操作員）。

所需冷氣量=總安全量（BTU/小時(shí)÷8500BTU/小時(shí)）。

3.7機(jī)房防火要求

安裝本設(shè)備的機(jī)房應(yīng)符合國(guó)家二級(jí)防火標(biāo)準(zhǔn)的建筑物。

3.8機(jī)房安全

機(jī)房安全關(guān)系到國(guó)家財(cái)產(chǎn)和保證通信系統(tǒng)正常運(yùn)行，應(yīng)有現(xiàn)代化的監(jiān)控技術(shù)對(duì)機(jī)房進(jìn)行自動(dòng)化監(jiān)視；它可同時(shí)監(jiān)視機(jī)房的溫度、濕度、煙霧、門窗和可遙控空調(diào)機(jī)等功能。

4.工程進(jìn)度表 （下轉(zhuǎn)第428頁(yè)）

（上接第403頁(yè)）4.1工程進(jìn)度表

按照本公司信息安全工程的需求以及結(jié)合公司信息安全系統(tǒng)的工程實(shí)施情況，從充分保證信息安全工程質(zhì)量的角度出發(fā)考慮，制定出工程進(jìn)度安排。

4.2項(xiàng)目組織結(jié)構(gòu)

項(xiàng)目經(jīng)理：項(xiàng)目質(zhì)量控制組、項(xiàng)目籌備組、技術(shù)實(shí)施團(tuán)隊(duì)、技術(shù)支持團(tuán)隊(duì)和項(xiàng)目驗(yàn)收組。

4.3項(xiàng)目實(shí)施工作方法

4.3.1決策制度，決策包括以下幾個(gè)原則

（1）項(xiàng)目經(jīng)理首先決策原則。

對(duì)于項(xiàng)目實(shí)施過程中的日常工作，一般由項(xiàng)目經(jīng)理加以決策，然后提交給用戶項(xiàng)目領(lǐng)導(dǎo)小組、黑龍江煙草工業(yè)有限責(zé)任公司信息安全項(xiàng)目項(xiàng)目經(jīng)理部，一般在2天之內(nèi)，如果沒有任何一方提出異議，則該決定生效，此異議應(yīng)以書面方式表達(dá)。

（2）最高權(quán)力機(jī)構(gòu)準(zhǔn)則。

領(lǐng)導(dǎo)決策組是項(xiàng)目實(shí)施過程中的最高決策機(jī)構(gòu)，對(duì)重大問題具有決策權(quán)。

（3）決策書面準(zhǔn)則。

一切決策均應(yīng)有書面文件，并且在項(xiàng)目文檔管理組備案。

4.3.2交流制度

（1）問題及早提出準(zhǔn)則。

（2）及時(shí)澄清準(zhǔn)則。

（3）提醒道義準(zhǔn)則。

還有例會(huì)制度以及問題與爭(zhēng)議管理方法等具體措施。

5.根據(jù)企業(yè)實(shí)際情況來制定信息安全規(guī)劃的實(shí)施

5.1企業(yè)網(wǎng)絡(luò)邊界和主干設(shè)備威脅控制（網(wǎng)絡(luò)安全）的實(shí)施

分為：多功能安全網(wǎng)關(guān)系統(tǒng)的實(shí)施、網(wǎng)絡(luò)攻擊阻斷防護(hù)系統(tǒng)的實(shí)施和準(zhǔn)入控制系統(tǒng)的實(shí)施。

5.2企業(yè)網(wǎng)內(nèi)部安全監(jiān)控和服務(wù)器區(qū)安全防御（主機(jī)安全）的實(shí)施

5.2.1網(wǎng)頁(yè)防篡改系統(tǒng)的實(shí)施

目前，大部分網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（CMS）來管理網(wǎng)頁(yè)產(chǎn)生的全過程，包括網(wǎng)頁(yè)的編輯、審核、簽發(fā)和合成等。

5.2.2運(yùn)維審核系統(tǒng)的實(shí)施

運(yùn)維安全審計(jì)系統(tǒng)采用協(xié)議方式對(duì)各種維護(hù)協(xié)議進(jìn)行轉(zhuǎn)發(fā)，并在轉(zhuǎn)發(fā)的過程中分別模擬了協(xié)議的客戶端與服務(wù)端。

6.實(shí)施情況及后續(xù)工作計(jì)劃

其實(shí)對(duì)于企業(yè)來說，一次性完成所有的工作是不現(xiàn)實(shí)的，信息安全系統(tǒng)的建立投入較大，對(duì)人員素質(zhì)和技術(shù)要求較高，企業(yè)員工也無法立刻適應(yīng)規(guī)范的工作流程，信息安全系統(tǒng)的建立是一個(gè)長(zhǎng)期而漫長(zhǎng)的過程，我們應(yīng)逐步完善自己的信息安全系統(tǒng)，更好完成企業(yè)目標(biāo)。針對(duì)這種狀況，我們認(rèn)為較為科學(xué)和現(xiàn)實(shí)的實(shí)現(xiàn)企業(yè)信息安全系統(tǒng)應(yīng)該分步，分級(jí)逐步完善，先從基礎(chǔ)安全服務(wù)和構(gòu)架入手，逐步完善企業(yè)信息安全系統(tǒng)，在完成基礎(chǔ)安全服務(wù)和構(gòu)架后實(shí)現(xiàn)安全運(yùn)維系統(tǒng)的建立，通過培訓(xùn)和自我學(xué)習(xí)，最終配合完成安全治理、風(fēng)險(xiǎn)管理和合規(guī)建設(shè)任務(wù)，爭(zhēng)取在兩到三年內(nèi)達(dá)成最終目標(biāo)。

【參考文獻(xiàn)】

[1]劉潤(rùn)平，萬佩真.企業(yè)網(wǎng)絡(luò)安全問題與對(duì)策[J].企業(yè)經(jīng)濟(jì)，2010，（7）：53-55.

篇4

【關(guān)鍵詞】信息安全管理；保險(xiǎn)企業(yè)；體系構(gòu)建

0.引言

保險(xiǎn)企業(yè)的計(jì)算機(jī)信息安全管理給企業(yè)自身的發(fā)展帶來了非常多的好處，不僅能夠?qū)崿F(xiàn)企業(yè)辦公的自動(dòng)化和信息化，同時(shí)也提高了企業(yè)的運(yùn)營(yíng)效率。保險(xiǎn)企業(yè)的信息化主要是保險(xiǎn)企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ)，在一定的深度和廣度上利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫(kù)技術(shù)，控制和集成化管理企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中的各種信息，實(shí)現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用，以提高企業(yè)的經(jīng)濟(jì)效益和市場(chǎng)競(jìng)爭(zhēng)力。從目前的保險(xiǎn)企業(yè)來看，很多企業(yè)都已經(jīng)開發(fā)了適合自己企業(yè)的計(jì)算機(jī)信息系統(tǒng)來滿足企業(yè)的運(yùn)轉(zhuǎn)，企業(yè)通過開發(fā)計(jì)算機(jī)信息系統(tǒng)平臺(tái)，提高了自身產(chǎn)品、經(jīng)營(yíng)、管理、決策的效率和水平，進(jìn)而提高了企業(yè)的經(jīng)濟(jì)效益和競(jìng)爭(zhēng)力。同時(shí)，我們也要注意到，保險(xiǎn)企業(yè)開發(fā)計(jì)算機(jī)信息系統(tǒng)是好事情，但是如果忽略了對(duì)計(jì)算機(jī)信息安全的管理，就將是個(gè)大問題。在如今，計(jì)算機(jī)信息安全性對(duì)于保險(xiǎn)企業(yè)來說比開發(fā)系統(tǒng)更為重要，企業(yè)一旦出現(xiàn)信息安全問題，后果不堪設(shè)想。有最新的數(shù)據(jù)表明，計(jì)算機(jī)病毒和黑客攻擊已經(jīng)給國(guó)民經(jīng)濟(jì)和企業(yè)造成了難以估量的損失。所以，保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建迫在眉睫，必須要引起高度重視。

1.保險(xiǎn)企業(yè)信息安全管理的現(xiàn)狀

計(jì)算機(jī)信息安全問題不是保險(xiǎn)企業(yè)才存在的問題，是全球企業(yè)都存在的普遍問題，越發(fā)達(dá)的地區(qū)，信息安全存在的隱患越多。一方面，現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非常快，信息技術(shù)的日趨完善，出現(xiàn)了很多的惡意攻擊工具，再加上信息系統(tǒng)本身的漏洞，讓一些破壞分子更是有機(jī)可乘；從另外一個(gè)角度來看，企業(yè)自身對(duì)信息安全管理不重視，也是導(dǎo)致出現(xiàn)信息安全問題的首要原因之一。近年來，保險(xiǎn)行業(yè)處于高速發(fā)展的時(shí)期，暴露出的問題也相對(duì)比較多，我們應(yīng)該重視起來。下面列出了當(dāng)前的保險(xiǎn)企業(yè)在信息安全管理上存在的主要幾點(diǎn)問題：

1.1沒有相關(guān)的法規(guī)來約束

與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多，但尚未形成一個(gè)較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時(shí)現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行。因此，保險(xiǎn)行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無體系化，導(dǎo)致保險(xiǎn)企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2沒有引起足夠的重視

很多保險(xiǎn)企業(yè)的管理層對(duì)信息安全管理不太關(guān)注，不夠重視，沒有投入足夠的人力、物力和財(cái)力去管理。大部分保險(xiǎn)企業(yè)在公司治理上重點(diǎn)關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展，銷售策略調(diào)整，組織結(jié)構(gòu)和運(yùn)營(yíng)流程的優(yōu)化等，對(duì)信息安全管理不太重視，不太相信信息安全問題能給企業(yè)會(huì)帶來嚴(yán)重危機(jī)，直到發(fā)生了信息安全事件后之后才開始重視。因此，保險(xiǎn)企業(yè)必須在公司日常治理中投入足夠的時(shí)間和精力去完善企業(yè)的信息安全管理體系。

1.3對(duì)存在的風(fēng)險(xiǎn)評(píng)估不夠

很多保險(xiǎn)企業(yè)在設(shè)計(jì)搭建相關(guān)信息系統(tǒng)的時(shí)候?qū)Υ嬖诘娘L(fēng)險(xiǎn)評(píng)估不夠，沒有充分考慮到信息化所帶來的安全風(fēng)險(xiǎn)，通常只是考慮到信息技術(shù)問題，對(duì)于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問題欠缺考慮。其實(shí)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)不做評(píng)估或評(píng)估不充分，都會(huì)帶來嚴(yán)重的后果，一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時(shí)，系統(tǒng)受到破壞，正常的業(yè)務(wù)操作無法進(jìn)行，嚴(yán)重的可能會(huì)導(dǎo)致企業(yè)內(nèi)部機(jī)密、客戶個(gè)人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以，保險(xiǎn)企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來的安全問題的。

1.4沒有制定相應(yīng)的安全管理?xiàng)l例，無明確責(zé)任劃分

保險(xiǎn)企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問題，和企業(yè)沒有制定相應(yīng)的安全管理制度，沒有明確責(zé)任劃分等有很大的關(guān)系。沒有相關(guān)的信息安全管理制度去制約，出了信息安全問題以后的責(zé)任劃分不清晰，長(zhǎng)此以往，信息安全問題的監(jiān)管就會(huì)出很大的漏洞，也很難形成一個(gè)可控的信息安全管理體系。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該是整個(gè)企業(yè)員工共同面對(duì)的問題，而不是企業(yè)某個(gè)部門或者某些個(gè)人能夠決定的事情。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分，每個(gè)部門都應(yīng)該有信息安全的負(fù)責(zé)人，出了問題要做到有人承擔(dān)，如果不這樣的話就會(huì)影響到信息安全管理體系的構(gòu)建，成為企業(yè)信息安全管理的絆腳石。

所以，針對(duì)以上種種問題和現(xiàn)狀，保險(xiǎn)企業(yè)必須要形成一個(gè)良好的信息安全管理體系，這樣才能從根本上解決問題，發(fā)揮信息化建設(shè)的作用，保障企業(yè)的計(jì)算機(jī)信息安全。

2.保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建

2.1掌握安全管理標(biāo)準(zhǔn)，構(gòu)建安全管理基本框架

要熟悉掌握信息安全管理標(biāo)準(zhǔn)，對(duì)信息技術(shù)的安全管理標(biāo)準(zhǔn)要進(jìn)行不斷深入的理解，不能僅僅考慮到信息技術(shù)，而忽視了信息安全管理。國(guó)際上對(duì)安全管理研究已經(jīng)取得了一定的成果，推出了信息安全標(biāo)準(zhǔn)，成立了信息安全標(biāo)準(zhǔn)化組織，搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國(guó)，雖然信息安全的研究起步比較晚，但是也在不斷的完善中，已經(jīng)制定了適合我國(guó)國(guó)情的信息安全管理標(biāo)準(zhǔn)。我國(guó)提出的關(guān)于《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn)，主要把信息安全劃分成自主保護(hù)級(jí)、系統(tǒng)審核保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)等五個(gè)安全程度不同的安全等級(jí)，根據(jù)這五級(jí)標(biāo)準(zhǔn)，也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以，保險(xiǎn)企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn)，構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架，這對(duì)于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。

2.2實(shí)現(xiàn)科學(xué)的信息安全管理

保險(xiǎn)企業(yè)要實(shí)現(xiàn)科學(xué)的信息安全管理，不能不考慮信息安全影響而隨意的進(jìn)行信息管理。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該要包括對(duì)機(jī)構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場(chǎng)地設(shè)施安全管理。保險(xiǎn)企業(yè)需要采用一些科學(xué)的方法，如科學(xué)化企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型等，建立科學(xué)的可實(shí)施的計(jì)算機(jī)系統(tǒng)安全策略，采取規(guī)范的安全防范措施，選用可靠穩(wěn)定的安全產(chǎn)品，設(shè)計(jì)完善的安全評(píng)估標(biāo)準(zhǔn)和等級(jí)，實(shí)施有效的審核措施等來實(shí)現(xiàn)對(duì)信息的安全管理。

2.3進(jìn)行有效的安全風(fēng)險(xiǎn)評(píng)估

保險(xiǎn)企業(yè)在搭建信息化平臺(tái)的時(shí)候，必須要進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估，沒有風(fēng)險(xiǎn)的評(píng)估是很難實(shí)現(xiàn)信息安全管理的。同時(shí)，還需要在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估中制定出風(fēng)險(xiǎn)的應(yīng)對(duì)方案，便于應(yīng)對(duì)突發(fā)問題，從最大程度上保證信息的安全。

2.4合理配置安全產(chǎn)品

對(duì)于評(píng)估出來的風(fēng)險(xiǎn)，保險(xiǎn)企業(yè)可以對(duì)信息系統(tǒng)配置一些安全產(chǎn)品來規(guī)避信息安全風(fēng)險(xiǎn)。比如說系統(tǒng)存在一些漏洞，這些漏洞很容易受病毒的攻擊，那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來防止病毒的侵入。在配置產(chǎn)品的時(shí)候需要注意配置的合理性，不能什么安全產(chǎn)品都去配置，要通過最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。

【參考文獻(xiàn)】

[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷，2011（06）.

[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護(hù)方案的研究[J].鐵道運(yùn)輸與經(jīng)濟(jì)，2006（11）.

[3]苗亮.計(jì)算機(jī)網(wǎng)絡(luò)可靠性的研究[J].機(jī)械工程與自動(dòng)化，2010（03）.

篇5

關(guān)鍵詞：安全文化；電力信息；信息安全；人員崗位調(diào)動(dòng)；存儲(chǔ)介質(zhì)；計(jì)算機(jī)互聯(lián)網(wǎng)

中圖分類號(hào)：F273 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-2374（2013）04-0152-03

伴隨信息技術(shù)的發(fā)展，電力企業(yè)的信息化程度越來越高。網(wǎng)絡(luò)與信息系統(tǒng)有效支撐了公司各項(xiàng)業(yè)務(wù)的開展，全面提高了電網(wǎng)安全、生產(chǎn)效率和服務(wù)質(zhì)量，其基礎(chǔ)性、全局性、全員性作用日益增強(qiáng)。信息安全作為信息化深入推進(jìn)的重要保障，與電網(wǎng)安全生產(chǎn)密切相關(guān)，對(duì)公司生產(chǎn)、經(jīng)營(yíng)、管理工作有重要意義，對(duì)電網(wǎng)安全有著重大影響，面臨的形勢(shì)嚴(yán)峻。

培育全員安全文化，要堅(jiān)持“安全第一，預(yù)防為主，綜合治理”的方針，牢固樹立安全發(fā)展、健康發(fā)展的理念。在信息安全管理中要堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”原則，堅(jiān)決執(zhí)行各項(xiàng)規(guī)章制度，不斷提升人員信息安全和保密意識(shí)，全面保障電力企業(yè)信息安全。

1 影響信息安全的人為因素分析

1.1 員工崗位調(diào)動(dòng)帶來的信息安全風(fēng)險(xiǎn)

由于工作需要，經(jīng)常發(fā)生人員崗位調(diào)動(dòng)的情況，尤其是在“三集五大”體系建設(shè)過程中，員工崗位調(diào)動(dòng)較多。一方面，崗位的調(diào)動(dòng)必然帶來相關(guān)信息系統(tǒng)權(quán)限的變更，但在實(shí)際操作中，往往是信息系統(tǒng)權(quán)限的變更遠(yuǎn)遠(yuǎn)滯后于崗位變動(dòng)，給信息系統(tǒng)帶來安全風(fēng)險(xiǎn)。另一方面，崗位交接過程如不嚴(yán)格把關(guān)，會(huì)產(chǎn)生企業(yè)生產(chǎn)、管理等信息丟失的風(fēng)險(xiǎn)。

1.2 未嚴(yán)格執(zhí)行信息安全規(guī)章制度

企業(yè)員工信息安全意識(shí)淡薄、疏于防范，對(duì)已知的信息安全風(fēng)險(xiǎn)存在僥幸的心理，一些人員不遵循企業(yè)的信息安全規(guī)章制度，出現(xiàn)如計(jì)算機(jī)弱口令、無屏?；蚱帘r(shí)間過長(zhǎng)、未關(guān)閉不必要的服務(wù)等現(xiàn)象，信息安全保密意識(shí)淡薄，對(duì)違規(guī)操作明知故犯。

1.3 員工抵觸情緒產(chǎn)生的計(jì)算機(jī)“裸奔”隱患

企業(yè)要求必須安裝指定的防病毒軟件和桌面管控系統(tǒng)，因此會(huì)造成計(jì)算機(jī)運(yùn)行速度變慢，使用性能下降，部分員工主觀上不愿接受技術(shù)防范安全管理，造成部分安全產(chǎn)品客戶端軟件安裝不全，甚至出現(xiàn)沒有安裝的現(xiàn)象，使得計(jì)算機(jī)出現(xiàn)“裸奔”現(xiàn)象，成為計(jì)算機(jī)病毒、木馬等各種黑客軟件攻擊的對(duì)象。更為嚴(yán)重的是，這會(huì)給整個(gè)電力系統(tǒng)內(nèi)網(wǎng)帶來安全威脅。

1.4 內(nèi)網(wǎng)計(jì)算機(jī)存在違規(guī)外聯(lián)隱患

部分員工通過USB接口將手機(jī)接入內(nèi)網(wǎng)計(jì)算機(jī)，給手機(jī)充電或?qū)⑹謾C(jī)上的照片導(dǎo)入計(jì)算機(jī)，導(dǎo)致違規(guī)外聯(lián)；還有極個(gè)別員工企圖用內(nèi)網(wǎng)計(jì)算機(jī)插入無線網(wǎng)卡或直接接入互聯(lián)網(wǎng)下載資料、升級(jí)軟件等，同樣導(dǎo)致違規(guī)外聯(lián)。目前還存在對(duì)外來人員和新進(jìn)人員的宣傳教育不足，造成這些人員使用內(nèi)網(wǎng)計(jì)算機(jī)時(shí)構(gòu)成違規(guī)外聯(lián)的安全隱患。

1.5 安全移動(dòng)存儲(chǔ)介質(zhì)使用中的安全隱患

部分員工在使用安全移動(dòng)存儲(chǔ)介質(zhì)時(shí)，未按要求進(jìn)行注冊(cè)或未修改初始密碼，在企業(yè)信息內(nèi)外網(wǎng)間及因特網(wǎng)數(shù)據(jù)交換的過程中，未將涉及企業(yè)秘密的信息放在保密區(qū)。同時(shí)還存在將安全移動(dòng)存儲(chǔ)介質(zhì)隨意亂放，安全移動(dòng)存儲(chǔ)介質(zhì)的維修工作由非專業(yè)技術(shù)人員負(fù)責(zé)，出現(xiàn)故障報(bào)廢的存儲(chǔ)介質(zhì)未及時(shí)銷毀等現(xiàn)象。

1.6 筆記本電腦使用中的安全隱患

部分員工由于工作需要在筆記本電腦上處理、存儲(chǔ)工作信息，在用完后未及時(shí)刪除重要信息，造成信息泄露，或筆記本電腦故障外送維修時(shí)，未考慮到是否存有或工作信息，忽略監(jiān)督維修過程，從而構(gòu)成了泄密隱患。

1.7 員工的無意失誤

人為的無意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)、用戶口令選擇不慎、用戶將自己的帳號(hào)密碼隨意轉(zhuǎn)借他人等都會(huì)給網(wǎng)絡(luò)信息安全帶來威脅。

2 培育全員安全文化的途徑

2.1 加強(qiáng)機(jī)構(gòu)變動(dòng)及人員崗位調(diào)動(dòng)后信息安全管理

嚴(yán)格做好機(jī)構(gòu)變動(dòng)、人員崗位調(diào)動(dòng)后的信息安全管理工作，確保信息網(wǎng)絡(luò)設(shè)備安全運(yùn)行。一方面加強(qiáng)對(duì)制度的宣貫。機(jī)構(gòu)變動(dòng)后要及時(shí)組織全員學(xué)習(xí)相關(guān)信息網(wǎng)絡(luò)安全管理制度，要求全員嚴(yán)格遵守信息安全相關(guān)規(guī)定。另一方面及時(shí)梳理更新用戶。根據(jù)人員調(diào)動(dòng)情況，對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)用戶進(jìn)行排查，及時(shí)增加新用戶，刪除崗位調(diào)離的用戶，在新計(jì)算機(jī)入網(wǎng)前，要按照計(jì)算機(jī)管理辦法履行接入申請(qǐng)手續(xù)后方可接入信息內(nèi)網(wǎng)，并按照計(jì)算機(jī)管理辦法和計(jì)算機(jī)加固指南，對(duì)原有用戶或原計(jì)算機(jī)先進(jìn)行注銷，后進(jìn)行注冊(cè)，確保信息安全管理規(guī)范、有序進(jìn)行。

2.2 加強(qiáng)安全組織管理，提高全員信息安全意識(shí)

要切實(shí)提高對(duì)信息安全管理工作的認(rèn)識(shí)，充分發(fā)揮安全組織機(jī)構(gòu)的管理作用，進(jìn)一步強(qiáng)化三級(jí)安全生產(chǎn)責(zé)任制度，安全生產(chǎn)工作做到逐級(jí)負(fù)責(zé)、落實(shí)到人，提高全員信息安全意識(shí)。首先，要成立信息安全領(lǐng)導(dǎo)小組，根據(jù)工作需要及崗位的變化，適時(shí)調(diào)整小組成員，定期召開領(lǐng)導(dǎo)小組會(huì)議，解決信息安全工作中遇到的問題。其次，要設(shè)立信息安全專職管理員，規(guī)定相應(yīng)的崗位職責(zé)，明確信息安全工作要求，為信息安全管理提供制度保障。最后，要明確各級(jí)員工的信息安全職責(zé)，并由信息部門定期開展信息安全檢查，促使其規(guī)范地使用計(jì)算機(jī)。

2.3 重視信息安全管理制度的完善與落實(shí)

企業(yè)管理制度是基于企業(yè)組織結(jié)構(gòu)之下的，企業(yè)為求得利益最大化，在生產(chǎn)與經(jīng)營(yíng)實(shí)踐活動(dòng)中制定的強(qiáng)制性規(guī)范。信息安全管理制度是電力企業(yè)管理制度的重要組成部分，是實(shí)現(xiàn)企業(yè)安全目標(biāo)的強(qiáng)制性措施，是員工從事安全生產(chǎn)的行為規(guī)范。重視企業(yè)信息安全文化建設(shè)就要重視信息安全管理制度的完善與落實(shí)。

2.4 定期開展信息安全檢查，促進(jìn)企業(yè)信息安全

定期開展信息安全檢查是促進(jìn)企業(yè)信息安全管理的有效途徑之一。在信息安全管理中要加強(qiáng)日常檢查和指導(dǎo)，并定期地開展各項(xiàng)綜合檢查和專項(xiàng)檢查，使各項(xiàng)規(guī)章制度滲透到日常的工作中，從而強(qiáng)化規(guī)章制度的約束力。通過檢查，及時(shí)發(fā)現(xiàn)信息安全隱患，積極采取有效措施，及時(shí)清除安全隱患，促使員工不斷提高信息安全的意識(shí)，自覺有效地降低人為的信息安全風(fēng)險(xiǎn)，將可能出現(xiàn)的信息安全事件消滅在萌芽狀態(tài)。

2.5 建立信息安全培訓(xùn)長(zhǎng)效機(jī)制

信息安全管理應(yīng)建立信息安全培訓(xùn)的長(zhǎng)效機(jī)制，保證信息安全管理的動(dòng)態(tài)推進(jìn)和持續(xù)改進(jìn)。每年要制定切合實(shí)際的信息安全培訓(xùn)計(jì)劃，并把安全培訓(xùn)與技能培訓(xùn)結(jié)合起來，以安全培訓(xùn)為契機(jī)，提高員工隊(duì)伍的整體安全文化意識(shí)。培訓(xùn)內(nèi)容除有關(guān)安全知識(shí)和技能外，還應(yīng)包括對(duì)嚴(yán)格遵守安全規(guī)范的理解以及個(gè)人安全職責(zé)的重要意義等。

2.6 加強(qiáng)宣傳，營(yíng)造“保障信息安全人人有責(zé)”的良好氛圍

信息運(yùn)維人員在日常運(yùn)維工作中，要堅(jiān)持服務(wù)與傳授計(jì)算機(jī)應(yīng)用知識(shí)相結(jié)合，不斷提高全員計(jì)算機(jī)操作水平。另外還可以利用公告、網(wǎng)站、協(xié)同辦公平臺(tái)、手機(jī)短信等多種方式加強(qiáng)宣傳，有針對(duì)性地宣傳上級(jí)有關(guān)信息安全的工作方針、政策；有選擇性地公告一些安全技術(shù)、安全常識(shí)、事故案例等，供企業(yè)員工討論學(xué)習(xí)，使員工真正認(rèn)識(shí)到信息安全的重要性，努力營(yíng)造“保障信息安全人人有責(zé)”的良好氛圍，讓全員為信息安全風(fēng)險(xiǎn)防范構(gòu)筑一道堅(jiān)實(shí)的職業(yè)道德防護(hù)屏障。

2.7 加強(qiáng)計(jì)算機(jī)實(shí)體安全管理

加強(qiáng)對(duì)計(jì)算機(jī)實(shí)體的管理，防止信息資料的泄露。加強(qiáng)密碼與口令管理，密碼設(shè)置必須符合安全要求并定期更換，確保口令、密碼的有效性。注重計(jì)算機(jī)病毒的檢測(cè)與防治，及時(shí)安裝操作系統(tǒng)和應(yīng)用程序漏洞補(bǔ)丁程序，安裝桌面管控、防病毒等必需的信息安全產(chǎn)品，堅(jiān)決杜絕內(nèi)網(wǎng)計(jì)算機(jī)以任何形式的違規(guī)外聯(lián)。

3 結(jié)語(yǔ)

建立信息安全文化意味著每一個(gè)員工都是保證安全的重要執(zhí)行者，要增強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)的安全，知道相關(guān)的安全風(fēng)險(xiǎn)和防范措施，并承擔(dān)責(zé)任和采取措施。不能僅僅把信息安全視為技術(shù)層面的概念，而應(yīng)當(dāng)把它深化到全員意識(shí)中，將信息安全文化融入到員工的日常工作中，全面普及信息安全文化，只有這樣才能為電力安全文化建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1] 劉燕輝，李南陽(yáng).全員安全文化是保障信息安全的有效手段[J].金融科技時(shí)代，2011，（10）：72-74.

[2] 王淑英.加強(qiáng)安全文化建設(shè) 提升安全管理水平[J].企業(yè)研究，2011，（8）：61-63.

篇6

關(guān)鍵詞：信息 安全 現(xiàn)狀分析 存在問題 防控措施

隨著國(guó)家電網(wǎng)公司信息化戰(zhàn)略的部署和資金、技術(shù)的投入，縣級(jí)供電企業(yè)的信息化建設(shè)水平得到了很快的提升，供電企業(yè)的生產(chǎn)調(diào)度和經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)信息系統(tǒng)的依賴程度也越來越強(qiáng)，甚至，離開了信息系統(tǒng)的支撐，日常的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)已經(jīng)不能順利進(jìn)行。但是，需要引起重視的是，縣級(jí)供電企業(yè)在信息化躍進(jìn)過程中，在人員、設(shè)備、技術(shù)和管理中的不足，使信息安全面臨的風(fēng)險(xiǎn)也在日益突出。

一、信息安全風(fēng)險(xiǎn)

信息作為一種特殊資源與其它資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識(shí)性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導(dǎo)致信息系統(tǒng)的不安全性。

信息安全包括以下內(nèi)容：真實(shí)性，保證信息的來源真實(shí)可靠；機(jī)密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會(huì)被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對(duì)信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對(duì)其行為不能進(jìn)行否認(rèn)；可審查性，對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

縣級(jí)供電公司信息安全的風(fēng)險(xiǎn)有內(nèi)部的，也有外部的。內(nèi)部的表現(xiàn)為：網(wǎng)絡(luò)故障、應(yīng)用系統(tǒng)故障等；外部的表現(xiàn)為：網(wǎng)絡(luò)入侵、外部泄密等。內(nèi)、外部網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動(dòng)機(jī)，對(duì)電力企業(yè)網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取商業(yè)秘密和機(jī)密信息，非法使用網(wǎng)絡(luò)資源等，將給企業(yè)造成巨大的損失。

二、信息化網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀分析

在網(wǎng)絡(luò)硬件方面，已經(jīng)建成CISCO7603、CISCO4507R為主交換機(jī)，主干為千兆的以太網(wǎng)。上聯(lián)網(wǎng)絡(luò)連接升級(jí)為光纖通信為主，以太網(wǎng)2M為備用的方式。建成了覆蓋全公司20多個(gè)鄉(xiāng)鎮(zhèn)供電所及變電所的農(nóng)村信息網(wǎng)。實(shí)現(xiàn)百兆到桌面、三層交換、VLAN等技術(shù)普及使用。主要分為兩類網(wǎng)絡(luò)系統(tǒng)，一類是實(shí)時(shí)系統(tǒng)，有調(diào)度自動(dòng)化系統(tǒng)、設(shè)備監(jiān)控操作系統(tǒng)；另一類是非實(shí)時(shí)的辦公自動(dòng)化應(yīng)用系統(tǒng)、電能量采集系統(tǒng)、集中抄表系統(tǒng)。兩類網(wǎng)絡(luò)系統(tǒng)是物理隔離，分網(wǎng)運(yùn)行的。

在軟件方面，各應(yīng)用主要包括調(diào)度自動(dòng)化系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)等。計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用，為安全生產(chǎn)、降低成本等方面取得了明顯的社會(huì)效益和經(jīng)濟(jì)效益。

三、信息安全現(xiàn)狀分析

按照省、市公司信息化工作的統(tǒng)一部署，我公司信息系統(tǒng)已經(jīng)初步建立其安全體系，將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)進(jìn)行了物理隔離。按江蘇省電力公司系統(tǒng)集成、數(shù)據(jù)集中要求，調(diào)度系統(tǒng)、電力營(yíng)銷等核心數(shù)據(jù)都集中在省市公司管理，對(duì)公司網(wǎng)站、NOTES、下屬企業(yè)財(cái)務(wù)數(shù)據(jù)都建立了備份策略和容錯(cuò)措施。企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)采取了嚴(yán)格的隔離措施，嚴(yán)防內(nèi)外網(wǎng)機(jī)器混用造成信息外聯(lián)。信息網(wǎng)絡(luò)按業(yè)務(wù)劃分了10個(gè)VLAN，設(shè)置了訪問控制。采取了統(tǒng)一的域名管理，與市公司共享操作系統(tǒng)LiveUpdate系統(tǒng)，及時(shí)派發(fā)更新程序，堵塞操作系統(tǒng)漏洞。部署了symantec防病毒軟件，通過派發(fā)的形式對(duì)整個(gè)網(wǎng)絡(luò)部署查、殺毒。全面應(yīng)用了國(guó)網(wǎng)桌面終端管理系統(tǒng)，實(shí)時(shí)監(jiān)控客戶端的異常情況。采用了國(guó)網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)，加強(qiáng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管理。

但是客觀來說，縣級(jí)供電企業(yè)在信息安全管理上人員、技術(shù)薄弱，職工信息安全意識(shí)不到位，管理流程上存在疏漏，給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。

四、信息安全存在的問題

1、操作系統(tǒng)及網(wǎng)絡(luò)安全問題。

目前，電力企業(yè)信息網(wǎng)絡(luò)中使用的硬件設(shè)備及操作系統(tǒng)的核心技術(shù)基本上來自國(guó)外，被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”，網(wǎng)絡(luò)安全處于被竊聽、干擾等多種信息安全威脅的脆弱的狀態(tài)。同時(shí)，縣級(jí)供電企業(yè)的操作系統(tǒng)大部分缺乏正版保護(hù)，難以得到有效升級(jí)和修補(bǔ)，難免受到“木馬”與“后門”的威脅；用戶習(xí)慣于默認(rèn)密碼或管理者設(shè)置的初始密碼，較容易被他人破解；操作系統(tǒng)不安全的默認(rèn)設(shè)置、共享等都可能給非法入侵提供方便。對(duì)于網(wǎng)絡(luò)設(shè)備，用戶使用tracert等工具較容易獲知核心交換機(jī)的IP地址，如果管理端口不加限制，使用空密碼，明文密碼或默認(rèn)密碼，交換設(shè)備有被惡意控制的可能。局域網(wǎng)絡(luò)布點(diǎn)缺乏有效的規(guī)劃和管理，對(duì)使用普通交換機(jī)隨意串接，甚至使用無線路由串入，缺乏偵控手段，同時(shí)對(duì)計(jì)算機(jī)設(shè)備接入也缺乏有效的審查管理,內(nèi)網(wǎng)外聯(lián)風(fēng)險(xiǎn)比較突出。

2、應(yīng)用系統(tǒng)用戶身份認(rèn)證和訪問控制急需加強(qiáng)。企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，包含的信息和數(shù)據(jù)，也只對(duì)一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能，在系統(tǒng)中建立用戶，設(shè)置權(quán)限，管理和控制用戶對(duì)信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問題。

一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡(jiǎn)單，不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制。二是各應(yīng)用系統(tǒng)之間沒有一個(gè)統(tǒng)一的用戶管理，使用起來非常不方便，更不用說賬號(hào)的有效管理和安全了。三是用戶安全意識(shí)不強(qiáng)，習(xí)慣于默認(rèn)密碼或管理者設(shè)置的初始密碼。應(yīng)用系統(tǒng)人員變換后，延用以前的密碼，疏于更換帳號(hào)與口令。習(xí)慣于使用“保存賬號(hào)”、“保存密碼”的方式登陸應(yīng)用系統(tǒng)。

3、木馬與病毒問題。

隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡(luò)環(huán)境的壯大和企業(yè)網(wǎng)絡(luò)應(yīng)用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡(jiǎn)單變得復(fù)雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡(luò)環(huán)境為病毒傳播、生存提供了環(huán)境。同時(shí)，黑客攻擊的風(fēng)險(xiǎn)增大。黑客利用計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫(kù)等方面的漏洞和缺陷，采用破解口令、天窗等于段侵入計(jì)算機(jī)系統(tǒng)，進(jìn)行信息破壞或占用系統(tǒng)資源，使得用戶無法使用自己的機(jī)器。非正版保護(hù)的操作系統(tǒng)和應(yīng)用軟件的使用，為木馬與病毒的植入及黑客攻擊提供了可能；部分客戶機(jī)的操作系統(tǒng)和防病毒軟件未能及時(shí)得到升級(jí)，系統(tǒng)用戶在使用移動(dòng)介質(zhì)在外網(wǎng)和內(nèi)網(wǎng)之間交換數(shù)據(jù)時(shí)，很容易攜入木馬與病毒，使之成為發(fā)動(dòng)攻擊的肉雞。

4、存儲(chǔ)介質(zhì)管理問題。

目前，縣級(jí)供電公司雖然推廣使用了國(guó)家電網(wǎng)移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)，但是在使用中仍存在三種信息失密可能：一是用戶習(xí)慣使用注冊(cè)時(shí)的默認(rèn)密碼，不加以個(gè)性化更改，這樣移動(dòng)介質(zhì)被他人獲取后很容易被破解，使數(shù)據(jù)泄密。二是部分用戶在移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)時(shí)，為圖使用方便，劃分出自由區(qū)域，在實(shí)際使用時(shí)，繞過保密區(qū)登陸使用，將工作文檔存儲(chǔ)在自由區(qū)，如此使用移動(dòng)介質(zhì)，毫無保密可言，極易形成信息外泄；移動(dòng)存儲(chǔ)介質(zhì)的交叉使用，也可能造成信息內(nèi)部失密。另外，機(jī)器維修也需加強(qiáng)管理，目前，縣級(jí)供電公司基本上計(jì)算機(jī)專職配置為1人，需要管理300臺(tái)左右的機(jī)器和龐大的局域網(wǎng)絡(luò)，基本上是疲于應(yīng)付，計(jì)算機(jī)故障處理、系統(tǒng)重裝等一般外包給社會(huì)電腦門市，將單機(jī)信息保密工作寄托于維修商的良知，風(fēng)險(xiǎn)極大。

5、數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)。

電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫(kù)管理系統(tǒng)維護(hù)的數(shù)據(jù)庫(kù)中或操作系統(tǒng)文件中。以明文形式存儲(chǔ)的信息存在泄漏的可能，拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息；黑客可以繞過應(yīng)用系統(tǒng)，數(shù)據(jù)庫(kù)管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。

五、針對(duì)信息安全漏洞的防控措施

1、加強(qiáng)信息安全教育。應(yīng)該將信息納入到供電企業(yè)安全管理中，并與生產(chǎn)安全置于同等重要的位置，長(zhǎng)效管理，常抓常新。為了保證安全的成功和有效，信息主管部門應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)。特別是對(duì)基層班組和供電所信息用戶，應(yīng)用能力相對(duì)薄弱，亟需開展定期的應(yīng)用能力培訓(xùn)和考核。所有的職工必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略，明確其對(duì)企業(yè)信息安全所承擔(dān)的職責(zé)和義務(wù)，要求能夠保證自己的計(jì)算機(jī)和相關(guān)應(yīng)用的安全。

2、加強(qiáng)密碼管理工作。對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等各類密碼要妥善治理，杜絕默認(rèn)密碼，出廠密碼，無密碼和容易猜測(cè)的密碼，防止非法用戶入侵使用。密碼要及時(shí)更新，特別是有職員調(diào)離時(shí)密碼一定要及時(shí)更新。減少應(yīng)用系統(tǒng)的賬號(hào)共用、通用。

3、加強(qiáng)信息介質(zhì)的管理。備份的介質(zhì)要防止丟失和被盜。移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)時(shí)要限制使用自由存儲(chǔ)區(qū)域，減少使用通用密碼。建立報(bào)廢的介質(zhì)的清除和銷毀制度，加強(qiáng)報(bào)廢介質(zhì)管理。增加計(jì)算機(jī)管理人員配備和加強(qiáng)計(jì)算機(jī)管理網(wǎng)絡(luò)建立，逐步減少外送維修，防范外修過程中存儲(chǔ)介質(zhì)信息的泄密。

4、加強(qiáng)設(shè)備技術(shù)投入。應(yīng)用先進(jìn)的加密技術(shù)和訪問控制等安全措施，來實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋Ｃ芎屯暾砸?。引進(jìn)進(jìn)侵檢測(cè)系統(tǒng)提供企業(yè)級(jí)的安全檢測(cè)手段，最大限度地、全天候地實(shí)施網(wǎng)絡(luò)監(jiān)控。在事后分析的時(shí)候，可以清楚地界定責(zé)任人和責(zé)任事件，為網(wǎng)絡(luò)治理提供強(qiáng)有力的保障。建議取消DHCP服務(wù)，在交換設(shè)備上使用MAC地址與IP地址的綁定，加強(qiáng)接入內(nèi)網(wǎng)設(shè)備的有序管理。

5、加強(qiáng)內(nèi)網(wǎng)外聯(lián)治理。在管理上，加強(qiáng)內(nèi)網(wǎng)外聯(lián)知識(shí)與危害性的廣泛宣傳，對(duì)發(fā)生內(nèi)網(wǎng)外聯(lián)事件的人要嚴(yán)肅處理，捆綁考核。在技術(shù)上，內(nèi)、外網(wǎng)的設(shè)備接入要有明顯的物理隔離和標(biāo)志，防止誤操作的發(fā)生；杜絕計(jì)算機(jī)內(nèi)外網(wǎng)混用；嚴(yán)格防范ADSL等設(shè)備接入內(nèi)網(wǎng)終端。

6、加強(qiáng)信息責(zé)任制考核。要強(qiáng)化信息安全考核機(jī)制的執(zhí)行，對(duì)發(fā)生的信息安全事故或隱患，要通過技術(shù)手段追蹤到責(zé)任人，并按照四不放過的要求，組織分析調(diào)查，落實(shí)考核、落實(shí)整改措施，并舉一反三，深化對(duì)全體職工信息安全養(yǎng)成教育。

六、結(jié)束語(yǔ)

綜上所述，技術(shù)是信息安全的主體，管理是安全的靈魂，信息安全，三分技術(shù)，七分管理。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全工作當(dāng)中，信息安全的長(zhǎng)期性和穩(wěn)定性才能有所保證。

參考文獻(xiàn)：

[1]劉立兵．淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的應(yīng)用及安全性

篇7

創(chuàng)旗總部位于上海，目前在山東、北京、廣州等均設(shè)有分公司，并擁有30多項(xiàng)完全自主知識(shí)產(chǎn)權(quán)和專利。公司作為上海市、山東省通信管理局系統(tǒng)合作開發(fā)單位，連續(xù)多年來為通信管理局開發(fā)部署網(wǎng)站備案業(yè)務(wù)管理系統(tǒng)，互聯(lián)網(wǎng)發(fā)展行業(yè)報(bào)告系統(tǒng)、互聯(lián)網(wǎng)行業(yè)監(jiān)管系統(tǒng)等，并獲得“上海市電信行業(yè)先進(jìn)集體”榮譽(yù)稱號(hào)。

創(chuàng)旗秉承“應(yīng)用產(chǎn)生價(jià)值”的理念，為全國(guó)云服務(wù)商提供完善的互聯(lián)網(wǎng)信息安全解決方案，主要產(chǎn)品包括ICP/IP域名備案系統(tǒng)、 IDC信息安全管理系統(tǒng)、接入資源管理系統(tǒng)、IDC/ISP信息安全系統(tǒng)等。核心團(tuán)隊(duì)已擁有15年云計(jì)算領(lǐng)域運(yùn)營(yíng)經(jīng)驗(yàn)，并結(jié)合云計(jì)算實(shí)際業(yè)務(wù)流程對(duì)備案管理系統(tǒng)進(jìn)行需求擴(kuò)展，精簡(jiǎn)優(yōu)化，成功應(yīng)用在各項(xiàng)業(yè)務(wù)運(yùn)營(yíng)中，大大提高了業(yè)務(wù)管理效率，極大地節(jié)約了運(yùn)營(yíng)成本。

創(chuàng)旗已經(jīng)為上千家IDC/ISP企業(yè)提供了多年的專業(yè)技術(shù)服務(wù)，客戶涵蓋政府、國(guó)企、上市公司、民營(yíng)企業(yè)。其中知名客戶有：上海市通信管理局、山東省通信管理局、中國(guó)長(zhǎng)城互聯(lián)網(wǎng)、中國(guó)電信、中國(guó)石油、中國(guó)石化、奇虎360、百度、騰訊、網(wǎng)宿科技、七牛、青云、金山云、寶信軟件、銀聯(lián)商務(wù)、世紀(jì)互聯(lián)、鵬博士、賽爾新技術(shù)、太平洋電信、高升控股等。

據(jù)CNNIC統(tǒng)計(jì)，截至2016年6月，中國(guó)網(wǎng)民數(shù)量已經(jīng)達(dá)7.1億人。移動(dòng)互聯(lián)網(wǎng)用戶接近5 億，擁有全球最大的互聯(lián)網(wǎng)用戶基礎(chǔ)。電子商務(wù)、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等主要的商業(yè)模式都保持35%以上的行業(yè)增速，手游、移動(dòng)廣告等主要的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)都保持50%以上的增速。互聯(lián)網(wǎng)正在滲透到各個(gè)行業(yè)，餐飲、零售、理財(cái)、商品、服務(wù)等各領(lǐng)域都在受到互聯(lián)網(wǎng)的影響，中國(guó)已經(jīng)成為一個(gè)實(shí)際的互聯(lián)網(wǎng)大國(guó)。

信息爆炸，加上垂直門戶、移動(dòng)社區(qū)、社交平臺(tái)、短視頻等越來越豐富的網(wǎng)絡(luò)產(chǎn)品形態(tài)，產(chǎn)出的海量UGC內(nèi)容使得互聯(lián)網(wǎng)垃圾、有害信息空前增多，網(wǎng)絡(luò)內(nèi)容監(jiān)管形勢(shì)異常嚴(yán)峻。

網(wǎng)絡(luò)空間是億萬民眾共同的精神家園，應(yīng)加強(qiáng)網(wǎng)絡(luò)空間治理和網(wǎng)絡(luò)內(nèi)容建設(shè)，創(chuàng)旗使用先進(jìn)的網(wǎng)絡(luò)技術(shù)手段及時(shí)檢測(cè)、識(shí)別大量的不良信息，對(duì)凈化網(wǎng)絡(luò)，還網(wǎng)絡(luò)空間“天朗氣清、生態(tài)良好”的氛圍將具有積極作用。另一個(gè)方面IT環(huán)境日趨復(fù)雜和新技術(shù)的不斷涌現(xiàn)對(duì)信息安全提出了更高的要求。

大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等新興技術(shù)不斷發(fā)展和應(yīng)用，使得信息的獲取方式、存儲(chǔ)形態(tài)、傳輸渠道和處理方式都發(fā)生了質(zhì)的變化。與此同時(shí)，用戶數(shù)量爆炸性增長(zhǎng)、數(shù)據(jù)的快速海量膨脹。

針對(duì)以上復(fù)雜情況，創(chuàng)旗信息安全產(chǎn)品具備更強(qiáng)的數(shù)據(jù)采集、處理與分析能力、更高的智能化水平甚至學(xué)習(xí)能力。創(chuàng)旗信息安全即服務(wù)的理念，將促使企業(yè)信息安全產(chǎn)品的形態(tài)不斷變化，信息安全產(chǎn)品和設(shè)備之間加快融合。

篇8

【關(guān)鍵詞】　電信；數(shù)據(jù)倉(cāng)庫(kù)；數(shù)據(jù)審計(jì)；內(nèi)部安全

近年來，隨著信息技術(shù)的大規(guī)模使用，國(guó)內(nèi)電信企業(yè)信息安全問題凸顯，移動(dòng)充值卡破解、電信計(jì)費(fèi)數(shù)據(jù)庫(kù)清零等各類事件，使我們認(rèn)識(shí)到，電信行業(yè)內(nèi)業(yè)務(wù)系統(tǒng)的信息安全治理問題已經(jīng)成為了當(dāng)前的一道難題。從這個(gè)角度來看，本文對(duì)電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)以及內(nèi)部安全問題進(jìn)行研究具有一定的現(xiàn)實(shí)意義。

1電信企業(yè)數(shù)據(jù)庫(kù)安全現(xiàn)狀

電信行業(yè)的信息化提高了企業(yè)的工作效率，也提升了電信企業(yè)的服務(wù)質(zhì)量。但是，由于當(dāng)前電信企業(yè)的數(shù)據(jù)庫(kù)普遍采用的是傳統(tǒng)的安全防范技術(shù)，過分強(qiáng)調(diào)單個(gè)安全產(chǎn)品的重要性，比如對(duì)防火墻的性能以及功能過分的信賴，導(dǎo)致對(duì)其數(shù)據(jù)庫(kù)信息安全缺乏一個(gè)系統(tǒng)、完整的解決方案。同時(shí)，由于我國(guó)的電信企業(yè)業(yè)務(wù)發(fā)展非?？?，用戶數(shù)量快速增長(zhǎng)的同時(shí)也導(dǎo)致數(shù)據(jù)劇增， 在這個(gè)過程中，電信企業(yè)也面臨著需要更多的數(shù)據(jù)訪問的威脅、內(nèi)部人員威脅、軟件開發(fā)商等外部人員的威脅以及防火墻內(nèi)部黑客攻擊的威脅等等。這些威脅的客觀存在在實(shí)踐中也造成了不少的電信企業(yè)數(shù)據(jù)庫(kù)安全事故。總之，電信企業(yè)數(shù)據(jù)庫(kù)安全問題不容樂觀。

2電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)與內(nèi)部安全系統(tǒng)的設(shè)計(jì)

2.1電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)與內(nèi)部安全系統(tǒng)所需實(shí)現(xiàn)的功能

根據(jù)電信行業(yè)的特殊性，以及當(dāng)前我國(guó)電信企業(yè)在數(shù)據(jù)庫(kù)審計(jì)以及內(nèi)部安全方面的現(xiàn)狀，我們認(rèn)為，電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)與內(nèi)部安全系統(tǒng)所需實(shí)現(xiàn)的功能有如下幾個(gè)方面：（1）能夠?qū)崟r(shí)的進(jìn)行審計(jì)，通過對(duì)電信企業(yè)的各項(xiàng)業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)收集，審理各業(yè)務(wù)系統(tǒng)的安全審計(jì)日志；（2）對(duì)數(shù)據(jù)庫(kù)審計(jì)策略進(jìn)行管理，如果電信企業(yè)數(shù)據(jù)庫(kù)是Oracle數(shù)據(jù)庫(kù)，則需要能實(shí)現(xiàn)對(duì)細(xì)粒度審計(jì)信息的收集；（3）監(jiān)控多種數(shù)據(jù)平臺(tái)，保證良好的擴(kuò)展性；（4）支持多業(yè)務(wù)系統(tǒng)的審計(jì)日志統(tǒng)一管理，保障信息化系統(tǒng)數(shù)據(jù)的安全性與合規(guī)性；（5）對(duì)審計(jì)信息進(jìn)行良好的展現(xiàn)與分析，并且實(shí)時(shí)觀察電信企業(yè)核心業(yè)務(wù)的安全性。

2.2電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)與內(nèi)部安全系統(tǒng)的架構(gòu)設(shè)計(jì)

本次設(shè)計(jì)的電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)與內(nèi)部安全系統(tǒng)的架構(gòu)包括了四個(gè)核心部分，即審計(jì)數(shù)據(jù)源、審計(jì)信息的采集、審計(jì)信息的匯總以及分主題的展現(xiàn)，詳情如下圖所示：

圖1電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)與內(nèi)部安全系統(tǒng)的架構(gòu)設(shè)計(jì)

2.3系統(tǒng)的實(shí)現(xiàn)

數(shù)據(jù)源部分，主要包括了與客戶經(jīng)營(yíng)活動(dòng)相關(guān)的各種數(shù)據(jù)，首先確保系統(tǒng)具有較強(qiáng)的可擴(kuò)展性，使其能夠支持各種數(shù)據(jù)源的接口，包括CRM數(shù)據(jù)系統(tǒng)、綜合計(jì)費(fèi)賬務(wù)系統(tǒng)、綜合結(jié)算系統(tǒng)、客戶服務(wù)系統(tǒng)以及財(cái)務(wù)系統(tǒng)等。

數(shù)據(jù)采集部分，主要是采集如下幾個(gè)方面的數(shù)據(jù)：（1）各類業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)策略；（2）根據(jù)審計(jì)策略定時(shí)從需要監(jiān)控和審計(jì)的業(yè)務(wù)系統(tǒng)中獲取審計(jì)結(jié)果。

審計(jì)信息匯總部分，實(shí)際上就是一個(gè)數(shù)據(jù)倉(cāng)庫(kù)，通過將各類數(shù)據(jù)進(jìn)行分析，建立自動(dòng)數(shù)據(jù)處理機(jī)制，為數(shù)據(jù)庫(kù)的審計(jì)以及內(nèi)部監(jiān)控信息的分析提供一個(gè)完整的、可靠地、統(tǒng)一的數(shù)據(jù)存儲(chǔ)。

分類主體展現(xiàn)方面，實(shí)際上就是通過配合不同的數(shù)據(jù)分析應(yīng)用，通過客戶機(jī)或者瀏覽器的方式，對(duì)數(shù)據(jù)進(jìn)行可視化的呈現(xiàn)，使得數(shù)據(jù)能夠更好的被用戶所接受和理解，實(shí)現(xiàn)數(shù)據(jù)庫(kù)審計(jì)以及內(nèi)部信息監(jiān)控的價(jià)值，從而有效的提高決策準(zhǔn)確性與決策的效率。要實(shí)現(xiàn)這些功能，實(shí)現(xiàn)要通過前端分析工具對(duì)數(shù)據(jù)倉(cāng)庫(kù)進(jìn)行OLAP分析，由于其具有內(nèi)置的開發(fā)空間，是一種所見即所得的開發(fā)方式，能夠通過數(shù)據(jù)表、交叉表、曲線圖等各種不同的形式或者組合形式來表現(xiàn)分析結(jié)果，對(duì)數(shù)據(jù)進(jìn)行多維分析、趨勢(shì)分析、意外分析、排名分析、比較分析、原因和影響分析以及What-If分析，從而實(shí)現(xiàn)數(shù)據(jù)庫(kù)的審計(jì)和內(nèi)部信息監(jiān)管。

3結(jié)語(yǔ)

當(dāng)前，電信行業(yè)內(nèi)的業(yè)務(wù)信息系統(tǒng)的安全治理是電信企業(yè)面臨的一道難題。這既有來自于電信企業(yè)外部的層出不窮的入侵和攻擊，也有來自于電信企業(yè)內(nèi)部的違規(guī)和泄漏。由于電信業(yè)務(wù)系統(tǒng)眾多(如：OSS、BSS、MSS、銷賬、EIP、OCS、財(cái)務(wù)、營(yíng)銷支撐、計(jì)費(fèi)結(jié)算等)，數(shù)據(jù)庫(kù)用戶較多，涉及數(shù)據(jù)庫(kù)管理員、內(nèi)部員工、營(yíng)業(yè)廳及合作方人員等，因此網(wǎng)絡(luò)管理更加復(fù)雜文章對(duì)當(dāng)前我國(guó)的電信企業(yè)數(shù)據(jù)庫(kù)安全現(xiàn)狀進(jìn)行了大致的分析，信息技術(shù)的飛速發(fā)展和普及，改變了現(xiàn)代企業(yè)的經(jīng)營(yíng)方式，越來越多的企業(yè)在正常的生產(chǎn)經(jīng)營(yíng)過程中，已經(jīng)離不開IT系統(tǒng)的支持。在此基礎(chǔ)上針對(duì)電信企業(yè)的業(yè)務(wù)開展特點(diǎn)和現(xiàn)狀，提出了電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)及內(nèi)部信息安全系統(tǒng)的基本需求，構(gòu)建了系統(tǒng)的基本架構(gòu)，并且對(duì)主要功能模塊的實(shí)現(xiàn)進(jìn)行了大致的探討。希望本文的研究對(duì)于改善我國(guó)的電信企業(yè)信息安全現(xiàn)狀能夠有一定的推動(dòng)和促進(jìn)作用。

參考文獻(xiàn)

[1] 劉暢. 構(gòu)建基于數(shù)據(jù)倉(cāng)庫(kù)的勞動(dòng)力服務(wù)決策系統(tǒng)[J]. 現(xiàn)代計(jì)算機(jī). 2003(09)

[2] 張摘月,王峰. 數(shù)據(jù)倉(cāng)庫(kù)技術(shù)在基層人民銀行的應(yīng)用研究[J]. 中國(guó)金融電腦. 2001(08)

[3] 朱義軍,王乘. 應(yīng)用在電力系統(tǒng)中的數(shù)據(jù)倉(cāng)庫(kù)及其設(shè)計(jì)[J]. 廣西電力. 2003(03)

[4] 王姝華,仲華,呂明. 移動(dòng)通信企業(yè)數(shù)據(jù)倉(cāng)庫(kù)系統(tǒng)設(shè)計(jì)初探[J]. 江蘇通信技術(shù). 2004(02)

篇9

石油石化是影響國(guó)計(jì)民生的行業(yè)，承擔(dān)著沉重的社會(huì)責(zé)任。2009年的新年鐘聲余音尚在，面對(duì)風(fēng)云變幻的世界經(jīng)濟(jì)形勢(shì)、疲軟的市場(chǎng)、繃緊的資金鏈和與國(guó)外大型跨國(guó)石油石化企業(yè)在信息化方面的差距，如何有效利用信息技術(shù)削減金融危機(jī)的不利影響，保證企業(yè)又好又快發(fā)展，石油石化行業(yè)信息化在新一年的走向值得關(guān)注。

與國(guó)外石油石化行業(yè)跨國(guó)公司比較，在信息化發(fā)展和信息技術(shù)應(yīng)用方面，我們還存在明顯的差距。國(guó)外石油石化行業(yè)信息化的主要特點(diǎn)是信息系統(tǒng)功能涵蓋企業(yè)生產(chǎn)與經(jīng)營(yíng)管理的各個(gè)層次，范圍包括生產(chǎn)操作與控制層、生產(chǎn)執(zhí)行層、業(yè)務(wù)營(yíng)運(yùn)層和集團(tuán)企業(yè)管控層。原油調(diào)合、先進(jìn)控制和優(yōu)化控制、計(jì)劃優(yōu)化和生產(chǎn)優(yōu)化、成品油調(diào)合、配送優(yōu)化、裝置設(shè)計(jì)優(yōu)化、設(shè)備狀態(tài)監(jiān)控等先進(jìn)的技術(shù)都得到廣泛、穩(wěn)定的應(yīng)用。大型跨國(guó)石油石化企業(yè)信息技術(shù)應(yīng)用的發(fā)展趨勢(shì)是注重建立集中統(tǒng)一的企業(yè)運(yùn)行管理和生產(chǎn)指揮系統(tǒng)。國(guó)外大型石油公司大多已建立集中統(tǒng)一、實(shí)時(shí)、可視化的企業(yè)營(yíng)運(yùn)管控平臺(tái)和生產(chǎn)指揮平臺(tái)。各大石油石化公司在單項(xiàng)應(yīng)用日趨完善的基礎(chǔ)上，重視各種應(yīng)用系統(tǒng)的集成應(yīng)用。不僅完成了ERP與MES、ERP與電子商務(wù)的集成，還在致力于ERP等系統(tǒng)在全球范圍的整合和優(yōu)化。不僅實(shí)現(xiàn)了下屬企業(yè)內(nèi)信息系統(tǒng)的整體集成和關(guān)聯(lián)企業(yè)間的橫向集成，還致力于企業(yè)與總部的縱向集成。國(guó)外油公司IT基礎(chǔ)架構(gòu)的共同趨向是集中，不僅在實(shí)現(xiàn)服務(wù)器和存儲(chǔ)集中、數(shù)據(jù)集中、應(yīng)用集中，也在實(shí)現(xiàn)IT基礎(chǔ)設(shè)施的控制集中和管理集中。各大石油石化公司非常重視信息系統(tǒng)的長(zhǎng)期持久效益，非常重視系統(tǒng)的持續(xù)優(yōu)化改進(jìn)和安全保障。普遍建立了規(guī)范化的IT服務(wù)管理架構(gòu)，有完善的技術(shù)支持體系，有健全的信息系統(tǒng)運(yùn)行保障制度和規(guī)范的崗位責(zé)任，能夠象保證生產(chǎn)裝置平穩(wěn)安全運(yùn)行一樣保證信息系統(tǒng)的穩(wěn)定運(yùn)行，能及時(shí)有效的預(yù)防和處理系統(tǒng)的各種問題，通過定期維護(hù)保證其功能正常。

國(guó)外同行信息化的發(fā)展趨勢(shì)、我們的現(xiàn)狀和面臨的形勢(shì)表明，與業(yè)務(wù)高層次深度融和、深化應(yīng)用仍將是石油石化行業(yè)今年信息化工作的主旋律。2009年石油石化行業(yè)信息化工作會(huì)特別關(guān)注以信息技術(shù)支持強(qiáng)化集團(tuán)管控，更加重視信息系統(tǒng)的整合與優(yōu)化，將進(jìn)一步優(yōu)化IT資源配置，進(jìn)一步加強(qiáng)企業(yè)信息化隊(duì)伍的建設(shè)、完善IT治理架構(gòu)，繼續(xù)探索、研究石油石化行業(yè)信息化和信息技術(shù)應(yīng)用的規(guī)律。

嚴(yán)峻的經(jīng)濟(jì)形勢(shì)將使石油石化行業(yè)更加重視集團(tuán)企業(yè)的集中管控，重視建立集中管控系統(tǒng)需要的實(shí)時(shí)統(tǒng)一的企業(yè)生產(chǎn)營(yíng)運(yùn)數(shù)據(jù)視圖，重視與自動(dòng)化操作平臺(tái)一體化的，提供及時(shí)、準(zhǔn)確、完整的生產(chǎn)營(yíng)運(yùn)數(shù)據(jù)的自動(dòng)化數(shù)據(jù)采集平臺(tái)建設(shè)，以支持集團(tuán)的集中管控為目標(biāo)，建設(shè)和優(yōu)化下屬企業(yè)的信息系統(tǒng)。將更加關(guān)注利用集成的上下統(tǒng)一的信息化集中管控平臺(tái)，提高信息上傳下達(dá)的實(shí)時(shí)性、完整性和一致性，加強(qiáng)集團(tuán)管控能力，強(qiáng)化集團(tuán)總部的指揮、協(xié)調(diào)和監(jiān)控能力，提高集團(tuán)總部對(duì)日常運(yùn)行和重大事件的處理、監(jiān)督、控制的能力和水平。

企業(yè)信息系統(tǒng)建設(shè)從分散到集中，在整合中優(yōu)化，在石油石化行業(yè)已被看作是企業(yè)信息化的一條發(fā)展規(guī)律。石油石化企業(yè)將更加重視從數(shù)據(jù)集成、應(yīng)用集成和展現(xiàn)集成三個(gè)層次實(shí)施下屬企業(yè)內(nèi)部的信息系統(tǒng)集成、總部與企業(yè)的縱向信息系統(tǒng)集成和以企業(yè)價(jià)值鏈為主線的橫向信息系統(tǒng)集成。通過深化應(yīng)用和集成，使ERP、MES等系統(tǒng)在監(jiān)控企業(yè)運(yùn)作，掌控企業(yè)動(dòng)態(tài)方面的作用得到顯現(xiàn)。

石油石化行業(yè)將圍繞對(duì)集中管控相關(guān)信息系統(tǒng)的應(yīng)用保障，進(jìn)一步優(yōu)化IT資源配置，完善信息技術(shù)基礎(chǔ)設(shè)施，更有效的發(fā)揮IT資產(chǎn)的作用。為了應(yīng)對(duì)數(shù)據(jù)集中帶來的風(fēng)險(xiǎn)集中，石油石化行業(yè)將繼續(xù)建立和完善同城和/或異地的，集中和/或分散的數(shù)據(jù)備份和災(zāi)難恢復(fù)中心。將完善和優(yōu)化以統(tǒng)一用戶身份管理、鑒別與認(rèn)證、訪問控制、審計(jì)和跟蹤、響應(yīng)與恢復(fù)和內(nèi)容安全為主的應(yīng)用安全基礎(chǔ)設(shè)施，保證信息系統(tǒng)的安全可靠運(yùn)行。將更廣泛的采用松耦合的面向服務(wù)（SOA）的技術(shù)架構(gòu)，構(gòu)建有彈性的、即插即用的，應(yīng)用系統(tǒng)構(gòu)建、運(yùn)行與管理的基礎(chǔ)設(shè)施，使企業(yè)的信息系統(tǒng)對(duì)企業(yè)組織架構(gòu)、管理架構(gòu)和各種應(yīng)用條件、業(yè)務(wù)需求的變化有更好的適應(yīng)性，以更有效的利用企業(yè)在信息系統(tǒng)上的投入。在信息技術(shù)基礎(chǔ)設(shè)施建設(shè)中，對(duì)IT自身的綠色環(huán)保、節(jié)能減排以及虛擬化等技術(shù)的發(fā)展走向?qū)⒔o予更多的關(guān)注。

信息技術(shù)與業(yè)務(wù)的融和，以信息化支持集團(tuán)管控，對(duì)石油石化行業(yè)的信息化管理、建設(shè)和運(yùn)維隊(duì)伍都將提出更高的要求。集團(tuán)管控要求信息系統(tǒng)的服務(wù)對(duì)象由基層員工提升到集團(tuán)和企業(yè)的高管，信息化工作者對(duì)業(yè)務(wù)理解的層次由業(yè)務(wù)操作層提升到企業(yè)管控層，項(xiàng)目管理的規(guī)模由單個(gè)項(xiàng)目實(shí)施的管理，提升到以項(xiàng)目群、項(xiàng)目組合為主的組織級(jí)項(xiàng)目管理。集團(tuán)管控對(duì)信息化隊(duì)伍的技能和知識(shí)結(jié)構(gòu)提出了更高的要求。其掌握的知識(shí)，要由以信息技術(shù)為主，擴(kuò)展到管理、治理和對(duì)業(yè)務(wù)與集團(tuán)企業(yè)管控的深刻理解。新形勢(shì)下的信息化管理和信息系統(tǒng)的建設(shè)、運(yùn)維，都需要能夠融和信息技術(shù)與業(yè)務(wù)的復(fù)合人才，需要從信息系統(tǒng)的規(guī)劃、設(shè)計(jì)階段就有能力考慮信息系統(tǒng)集成、信息系統(tǒng)安全和IT服務(wù)管理的復(fù)合人才。

IT是集團(tuán)企業(yè)管控的重要手段，集團(tuán)企業(yè)的IT也需要強(qiáng)有力的管控。隨著石油石化行業(yè)信息化工作的不斷深化，將繼續(xù)加大集中建設(shè)、統(tǒng)一管理的力度，將更加重視信息安全、信息系統(tǒng)運(yùn)維、IT治理和完善內(nèi)控制度等方面的工作，更加重視對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)防范。石油石化行業(yè)將根據(jù)強(qiáng)化集團(tuán)管控的要求，繼續(xù)加強(qiáng)對(duì)IT的管控，將會(huì)更加關(guān)注IT治理，不斷優(yōu)化、完善信息化管理的架構(gòu)、流程和規(guī)則。

篇10

1保險(xiǎn)企業(yè)信息安全管理的現(xiàn)狀

當(dāng)前的很多保險(xiǎn)企業(yè)當(dāng)中仍然存在

的問題就是計(jì)算機(jī)信息安全管理問題，而且這個(gè)問題也是各國(guó)企業(yè)比較常見的問題，亟待采取有效的解決措施。在一些相對(duì)比較發(fā)達(dá)的企業(yè)，就可能會(huì)存在更多的信息安全隱患。首先，當(dāng)前的互聯(lián)網(wǎng)正在快速地發(fā)展和進(jìn)步，并加大了對(duì)信息技術(shù)的改革與創(chuàng)新，與此同時(shí)也衍生出很多的惡意項(xiàng)目工具，甚至信息系統(tǒng)本身也存在一定程度的漏洞，這些就可能會(huì)促使一部分的不法分子有機(jī)可乘；其次，保險(xiǎn)企業(yè)本身并未對(duì)信息安全的管理工作給予高度的重視，從而導(dǎo)致信息安全問題層出不窮。如今，我國(guó)保險(xiǎn)行業(yè)得到了快速的發(fā)展，加之外界環(huán)境因素的影響，從而暴露出越來越多的問題，此時(shí)就需要對(duì)這些問題進(jìn)行全面、系統(tǒng)的分析。

1.1缺乏完善的法律法規(guī)

如今，雖然現(xiàn)在與計(jì)算機(jī)信息安全管理有關(guān)的條文比較多，但是他們被分散于各種標(biāo)準(zhǔn)、管理辦法、法律、法規(guī)及道德規(guī)范等多個(gè)方面，然而，當(dāng)前并不具備一套系統(tǒng)、完善的法律法規(guī)來更進(jìn)一步地保障信息的安全問題。同時(shí)，當(dāng)前現(xiàn)有的一些法律法規(guī)，可能是因?yàn)槿匀挥泻艽笠徊糠值南嚓P(guān)安全技術(shù)和手段還沒有達(dá)到足夠的成熟和標(biāo)準(zhǔn)化，這樣就更加不容易去執(zhí)行一些相關(guān)的法律法規(guī)。因此，如果缺少一些與保險(xiǎn)行業(yè)相匹配的信息安全管理法律法規(guī)，從而導(dǎo)致保險(xiǎn)企業(yè)無法順利的開展相關(guān)工作，不利于計(jì)算機(jī)信息安全管理體系的構(gòu)建。

1.2缺乏足夠的重視

當(dāng)前仍然有很大一部分的保險(xiǎn)企業(yè)的管理層不是非常注重和關(guān)注一些相關(guān)的信息安全管理工作，而且他們并沒有在進(jìn)行管理工作的過程中投入足夠的人力、物力以及財(cái)力等。有很大一部分的保險(xiǎn)企業(yè)在治理公司過程中，只會(huì)對(duì)保險(xiǎn)企業(yè)的適當(dāng)?shù)卣{(diào)整銷售策略、業(yè)務(wù)規(guī)模發(fā)展問題、優(yōu)化組織結(jié)構(gòu)、相關(guān)運(yùn)營(yíng)流程等給予關(guān)注，這些公司都不是足夠重視對(duì)信息安全管理問題的處理，他們都忽視了信息安全問題會(huì)影響保險(xiǎn)企業(yè)的發(fā)展。實(shí)際上，在市場(chǎng)經(jīng)濟(jì)體系下，大多數(shù)保險(xiǎn)企業(yè)只有在遇到信息安全事件后才會(huì)對(duì)計(jì)算機(jī)信息安全管理體系給予重視。此時(shí)，就需要保險(xiǎn)企業(yè)在公司平時(shí)進(jìn)行治理工作的過程中，他們能夠投入更多的時(shí)間和精力來對(duì)現(xiàn)有的信息安全管理體系進(jìn)行補(bǔ)充和完善，并給予高度的重視，從而有效提高信息安全管理體系建設(shè)效率。

1.3對(duì)風(fēng)險(xiǎn)評(píng)估力度不夠

在信息安全管理體系建設(shè)過程中，大多數(shù)保險(xiǎn)企業(yè)不能夠準(zhǔn)確地評(píng)估對(duì)于該過程中可能會(huì)存在的風(fēng)險(xiǎn)，并未對(duì)信息化過程中可能出現(xiàn)的安全風(fēng)險(xiǎn)問題給予綜合考慮。一般情況下，他們可能只會(huì)考慮到一些相應(yīng)的信息技術(shù)問題，但是并沒有認(rèn)真地思考在運(yùn)用信息系統(tǒng)之后可能會(huì)顯現(xiàn)出來的信息安全問題。實(shí)際上，保險(xiǎn)企業(yè)不管是否對(duì)信息安全管理系統(tǒng)中所存在的安全風(fēng)險(xiǎn)問題進(jìn)行評(píng)估，從而給保險(xiǎn)企業(yè)的發(fā)展帶來不利影響。一旦信息安全管理體系出現(xiàn)比較嚴(yán)重的問題，不僅會(huì)造成無法彌補(bǔ)的損失，而且也不能夠?qū)嵭幸恍┱５臉I(yè)務(wù)操作，甚至還可能會(huì)造成一些非常嚴(yán)重的后果，比如是企業(yè)內(nèi)部機(jī)密泄露、重要數(shù)據(jù)被盜或被篡改、客戶個(gè)人信息泄露等問題。因此，越來越多的保險(xiǎn)企業(yè)由于對(duì)風(fēng)險(xiǎn)評(píng)估力度不夠，從而導(dǎo)致系統(tǒng)本身存在操作失誤、缺陷等原因而誘發(fā)的一系列安全問題。

1.4未明確安全管理責(zé)任劃分

對(duì)保險(xiǎn)企業(yè)來說，雖然對(duì)信息安全管理體系的建設(shè)給予了高度的重視，但是他們?nèi)狈σ惶着c企業(yè)發(fā)展相匹配的安全管理制度，未明確安全管理責(zé)任的劃分，從而在一定程度上影響了保險(xiǎn)企業(yè)的發(fā)展。如果這些企業(yè)現(xiàn)在還沒有制定出一些相關(guān)的信息安全管理制度并能夠堅(jiān)持執(zhí)行，而且企業(yè)在出現(xiàn)相應(yīng)的信息安全問題之后，并不能夠非常清晰地劃分出具體的責(zé)任人，這樣時(shí)間越來越長(zhǎng)，就會(huì)在信息安全問題的監(jiān)管方面出現(xiàn)越來越大的漏洞，自然而然地，也更加不容易去形成一個(gè)可以控制的信息安全管理體系。對(duì)于一個(gè)保險(xiǎn)企業(yè)而言，在他們公司所出現(xiàn)的一些信息安全管理問題，需要每一位企業(yè)員工給予重視，而不能依靠企業(yè)當(dāng)中的某一個(gè)人或某一個(gè)部門單獨(dú)負(fù)責(zé)來對(duì)安全管理問題進(jìn)行處理。對(duì)于保險(xiǎn)企業(yè)而言，他們必須制定出相應(yīng)的制度并劃分出比較明確的責(zé)任，而且每個(gè)部門都應(yīng)該有一個(gè)負(fù)責(zé)人來負(fù)責(zé)信息安全問題，以確保問題發(fā)生時(shí)能夠有人給予立即處理。如果不設(shè)置一個(gè)負(fù)責(zé)人的話，就可能對(duì)信息安全管理體系的構(gòu)建問題產(chǎn)生一定的影響，還會(huì)阻礙一個(gè)企業(yè)的信息安全管理工作和任務(wù)的完成。因此，對(duì)于保險(xiǎn)企業(yè)而言，在處理這些現(xiàn)實(shí)狀況以及各種各樣問題的時(shí)候，則需要結(jié)合實(shí)際情況構(gòu)建一套系統(tǒng)、完善的信息安全管理體系，從而使安全風(fēng)險(xiǎn)問題得到有效解決，更好的發(fā)揮信息安全管理體系建設(shè)的優(yōu)勢(shì)，確保保險(xiǎn)企業(yè)的健康、可持續(xù)發(fā)展。

2保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理體系構(gòu)建的對(duì)策

2.1健全和完善安全管理標(biāo)準(zhǔn)

對(duì)于保險(xiǎn)企業(yè)而言，要想更好的推動(dòng)信息安全管理體系構(gòu)建，就需要對(duì)現(xiàn)有的信息安全管理標(biāo)準(zhǔn)進(jìn)行健全和完善，并更加深入的分析和歸納信息安全管理標(biāo)準(zhǔn)內(nèi)容，不僅需要考慮信息技術(shù)相關(guān)的問題，而且還不能夠忽略信息安全管理問題。在進(jìn)行計(jì)算機(jī)安全管理研究過程中，為了獲取比較良好的研究成果，則需要進(jìn)一步健全信息安全管理標(biāo)準(zhǔn)，并創(chuàng)建信息安全標(biāo)準(zhǔn)化組織和信息安全管理標(biāo)準(zhǔn)框架，以確保信息安全管理體系構(gòu)建工作有條不紊的進(jìn)行。在我們國(guó)家，雖然在研究信息安全的時(shí)候，不是很早，但是經(jīng)過當(dāng)前不斷的完善過程，我們國(guó)家也制定出了一個(gè)更加符合我們國(guó)家基本國(guó)情的信息安全管理標(biāo)準(zhǔn)。

2.2實(shí)現(xiàn)科學(xué)的信息安全管理

對(duì)于保險(xiǎn)企業(yè)而言，他們?nèi)绻胍玫貙?shí)現(xiàn)比較科學(xué)的信息安全管理，就必須要充分地考慮到信息安全問題可能誘發(fā)的不利影響。對(duì)于保險(xiǎn)企業(yè)而言，在信息安全管理方面，不僅需要有效地管理機(jī)構(gòu)安全和人員安全的管理，而且要做好場(chǎng)地設(shè)施和技術(shù)安全的管理工作。同時(shí)，保險(xiǎn)企業(yè)還需要采取比較科學(xué)的方式，從而可以有效地構(gòu)建一套可實(shí)施的、科學(xué)合理的計(jì)算機(jī)系統(tǒng)安全管理體系，并結(jié)合實(shí)際情況制定一套規(guī)范、完善的安全防范措施，選擇一些可靠性比較大的、比較穩(wěn)定的、比較安全的產(chǎn)品，并對(duì)現(xiàn)有的安全評(píng)估標(biāo)準(zhǔn)和等級(jí)進(jìn)行細(xì)化和完善，以便能夠進(jìn)行一些有效的檢查策略，從而可以更好地開展信息安全管理工作，為保險(xiǎn)企業(yè)的發(fā)展奠定良好的基礎(chǔ)。

2.3重視安全風(fēng)險(xiǎn)評(píng)估工作

對(duì)保險(xiǎn)企業(yè)而言，在進(jìn)行信息化平臺(tái)建設(shè)過程中，就需要適當(dāng)?shù)剡M(jìn)行對(duì)安全風(fēng)險(xiǎn)的評(píng)估，如果缺乏相應(yīng)的風(fēng)險(xiǎn)評(píng)估工作，將會(huì)導(dǎo)致信息安全管理工作無法順利進(jìn)行。同時(shí)，在信息安全風(fēng)險(xiǎn)評(píng)估過程中，還需要制定一套能夠有效應(yīng)對(duì)風(fēng)險(xiǎn)的措施和方案，這樣可以有效地防止和解決一些突發(fā)狀況，并確保信息的安全性、有效性。