企業(yè)信息安全現(xiàn)狀范文

時間:2023-10-10 17:42:34

導語:如何才能寫好一篇企業(yè)信息安全現(xiàn)狀,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

企業(yè)信息安全現(xiàn)狀

篇1

關鍵詞:信息安全;現(xiàn)狀;策略

     信息安全管理已經成為企業(yè)加強信息化進程以及提高企業(yè)管理水平的一項重要內容,它是確保企業(yè)信息管理系統(tǒng)高效運行,促進企業(yè)健康、穩(wěn)定發(fā)展的一個重要前提。近幾年來,隨著ERP在企業(yè)中的投入使用,使企業(yè)的信息化工作內容得以拓展,企業(yè)對信息系統(tǒng)的安全性也日益關注,怎樣保證信息系統(tǒng)的安全、高效,已經成為擺在各個企業(yè)面前的一項重要課題。

1.信息安全管理意義

1.1信息安全是企業(yè)實現(xiàn)可持續(xù)發(fā)展的需要

隨著計算機網(wǎng)絡技術的普及應用,如何確保涉及到企業(yè)經營發(fā)展的各種信息、資料的安全性,已經成為企業(yè)必須要解決的一個問題。現(xiàn)階段,大多數(shù)企業(yè)的數(shù)據(jù)信息,甚至是關系到企業(yè)戰(zhàn)略規(guī)劃的重要信息,都是以電子文件的形式進行保存的,對于企業(yè)來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設想的。因此,企業(yè)必須要具有預見性與前瞻性,要站在戰(zhàn)略發(fā)展的高度來看待信息安全問題,必須建立起一套操作性強的防范機制,要從操作系統(tǒng)、芯片技術以及網(wǎng)絡建設等方面入手,就安全保障體系進行積極構建。

1.2信息安全是實現(xiàn)企業(yè)平穩(wěn)、健康發(fā)展的前提

現(xiàn)階段,我國企業(yè)的信息安全建設,還沒有形成一個成熟,可供廣泛借鑒的安全體系,同時基礎也相對薄弱,這些問題都亟待解決。而且信息安全已經成為關系企業(yè)未來發(fā)展的一個重要問題,我們必須要認清加強企業(yè)信息安全建設的緊迫性,要從維護企業(yè)利益的角度來看待信息安全建設問題,做好基礎設施的建設工作,以及信息安全體系的構建工作,實現(xiàn)企業(yè)的平穩(wěn)、健康發(fā)展。

1.3信息安全是知識經濟時展的需要

計算機網(wǎng)絡技術的普及應用,使得企業(yè)內部各部門之間的信息交換,以及企業(yè)對外部信息的獲取日益頻繁,這也令企業(yè)對網(wǎng)絡技術愈加依賴,計算機網(wǎng)絡技術對整個商業(yè)運作方式也帶來了巨大的影響,從而出現(xiàn)了電子商務,也對企業(yè)生產方式、經營理念,產生了巨大的沖擊,推動了企業(yè)發(fā)展以及現(xiàn)代經營理念的構建。但是,信息的安全問題也日益突出,比如信息在存儲、處理以及傳輸過程中經常存在著被非法截取、惡意破壞以及篡改的現(xiàn)象。所以,信息安全是知識經濟時代這一大背景下,企業(yè)發(fā)展必須要解決的問題。

2.信息安全管理的現(xiàn)狀

2.1信息管理的安全意識方面

人員、機器設備、原材料、制度是一個企業(yè)在進行生產經營時不可缺少的幾個基本要素,隨著知識經濟的到來,信息的重要性日益受到企業(yè)管理界的認同,信息也理所當然的成為生產經營過程中,不可或缺的一個非常重要的因素。但是就目前的企業(yè)對信息安全管理的重視程度來看,遠遠還不夠,忽視對企業(yè)內部各種信息資產的保護,其結果必然會為企業(yè)帶來無法估計的損失,因此,企業(yè)必須要提高對信息管理安全系統(tǒng)的認識,積極構建、完善這一系統(tǒng),保證企業(yè)信息的安全。

2.2網(wǎng)絡協(xié)議方面

我們在對計算機信息系統(tǒng)進行安全維護時,保證網(wǎng)絡協(xié)議的安全是維護系統(tǒng)安全的一個重要問題,但是計算機系統(tǒng)的部分協(xié)議,比如TCP/IP 協(xié)議,這部分協(xié)議以及其構架通常也是在因特網(wǎng)上進行共享的,這樣必然會為系統(tǒng)的安全埋下隱患。而且這也是計算機信息系統(tǒng)安全構成威脅的一個主要來源,而它對計算機系統(tǒng)的破壞是巨大的。所以,我們在對計算機信息系統(tǒng)進行維護時,必須要關注到這一點,杜絕類似事件的發(fā)生?,F(xiàn)階段,注意網(wǎng)絡不明信息、非法訪問以及網(wǎng)絡協(xié)議等對系統(tǒng)安全構成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們在構建企業(yè)信息網(wǎng)絡系統(tǒng)時,必須要考慮的問題。

2.3信息安全產品本身存在的問題

通常情況下,多數(shù)企業(yè)在建設信息管理系統(tǒng)的同時,也采用了相關的信息安全產品。如果信息安全產品本身存在著漏洞的話,這必然會直接導致企業(yè)信息系統(tǒng)安全機制的失效。但是計算機系統(tǒng)的安全隱患絕不局限于產品本身存在的缺陷,如果信息安全產品本身是完善的,不存在著任何缺陷與隱患,但是我們在使用產品的過程中,會因為用戶配置、操作上的失誤,或者對產品安全性能不夠了解,使其性能降低,而起不到保護系統(tǒng)安全的作用也是有可能的。

2.4資金投入不夠

我國企業(yè)想要對信息安全系統(tǒng)進行構建,就必須投入大量的資金,同時還要吸引IT人才,加入到信息安全系統(tǒng)建設團隊。但是就目前我國信息安全系統(tǒng)構建的現(xiàn)狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個項目如果缺少資金投入,那么一切都是空談。筆者在實際工作中發(fā)現(xiàn),有些企業(yè)非常重視硬件設備的投入,但軟件投入比較滯后,這就使硬件部分強大的功能無法得到充分發(fā)揮。

3.加強信息安全管理的策略

3.1提高信息管理的安全意識

隨著計算機網(wǎng)絡技術的快速發(fā)展,網(wǎng)絡犯罪有逐年上升的趨勢,電腦病毒、網(wǎng)絡黑客對計算機系統(tǒng)的攻擊與日俱增,企業(yè)必須出于自身利益的考慮,來加強信息安全管理方面的建設,首先要從加大宣傳,提高安全意識方面入手。企業(yè)可以定期舉行有關信息管理安全意識方面的講座、報告以及相關的培訓教育工作,使領導干部、普通員工提高對信息管理安全的重視程度,使安全防范意識深入人心,這樣有利于加強信息安全管理工作的全面展開。

3.2設計加密體制對系統(tǒng)進行保護

當今社會是一個信息化程度高度發(fā)達的社會,人們利用互聯(lián)網(wǎng)對信息進行收集、整理、分析、處理的程度越來越高,這樣必然會導致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發(fā)生問題,對企業(yè)造成的危害是無法想象的。針對網(wǎng)絡所存在的安全隱患,我們可以采用加密系統(tǒng)對網(wǎng)內數(shù)據(jù)、文檔以及口令進行保護。如此一來,我們在網(wǎng)上進行數(shù)據(jù)傳送的過程,也更具針對性。加密管理過程,通常分為鏈路加密、節(jié)點加密與端點加密三個種類,我們可以根據(jù)企業(yè)的實際需求進行選擇。

3.3加強系統(tǒng)軟件方面的建設

一般來說,計算機無論使用哪一種版本的操作系統(tǒng),都會存在著一定的安全隱患,這個世界沒有十全十美的東西,我們對操作系統(tǒng)也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統(tǒng)的安全性,以期對操作系統(tǒng)進行很好的維護。比如對數(shù)據(jù)庫軟件、計算信息管理軟件進行更新,終端操作系統(tǒng)要與數(shù)據(jù)庫操作系統(tǒng)在版本上要統(tǒng)一,這樣可以便于管理,提高信息管理系統(tǒng)的防御能力。

3.4增加企業(yè)信息安全建設的投入

信息化已經成為社會發(fā)展的一個主流趨勢,企業(yè)必須要借助好這個“東風”,來加強自身的信息安全建設。任何一個項目的啟動,都離不開資金的投入,企業(yè)必須為信息安全建設提供物質基礎,比如購置專用服務器、軟件以及將IT資產外包等等,保證信息安全建設的順利完成。

4.總結:

綜上所述,信息安全對企業(yè)的發(fā)展有著非常重大的意義,它不但是企業(yè)自身實現(xiàn)可持續(xù)發(fā)展的需要,也是知識經濟時代背景下,企業(yè)的必然選擇,我們可以從提高信息管理的安全意識;設計加密體制對系統(tǒng)進行保護;加強系統(tǒng)軟件方面的建設;增加企業(yè)信息安全建設的投入等方面入手,加強企業(yè)信息安全管理方面的建設。

參考文獻:

[1]姜樺,郭永利.企業(yè)信息安全策略研究[J].焦作大學學報,2009,(01) .

篇2

關鍵詞:信息安全;威脅;管理模式;桌面終端

在當今的信息時代,我們的生活和工作方式受到信息技術發(fā)展的巨大影響,時時刻刻都在發(fā)生著改變,而現(xiàn)行企事業(yè)單位的管理模式也在這種“大環(huán)境”下不斷地推陳出新。作為各大國有企事業(yè)信息管理部門,必須考慮到當前技術的發(fā)展給我們的工作帶來的機遇和威脅。

一、當前信息網(wǎng)絡的安全形勢

目前,幾乎所有企業(yè)、事業(yè)單位、行政部門都面臨著內部信息泄漏的問題。FBI對484家公司調查顯示:85%的安全損失是由企業(yè)內部原因造成的。面對來自于公司內部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務器上重要文檔丟失;由于沒有設定員工在系統(tǒng)內的訪問權限,使一些業(yè)務秘密出現(xiàn)在本不應有查閱權的員工計算機上,并不小心將其泄露……對于這些來自公司內部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網(wǎng)絡風險”、“軟件風險”日益嚴重的今天,都已經不足以讓人信任和依賴。

據(jù)調查統(tǒng)計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統(tǒng),而這些系統(tǒng)的安全漏洞及系統(tǒng)缺陷非常多。雖然微軟公司會通過定期在網(wǎng)站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發(fā)的軟件進行不斷地更新和升級,但由于終端用戶缺乏相關知識,導致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內部網(wǎng)絡安全。

二、企事業(yè)單位網(wǎng)絡終端計算機安全現(xiàn)狀

大中型企事業(yè)單位、政府辦公網(wǎng)絡,桌面終端計算機數(shù)量隨著辦公的需要不斷增多,而出現(xiàn)的網(wǎng)絡問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網(wǎng)段,使該網(wǎng)段用戶都不能上網(wǎng)。除此以外,部分員工使用公司辦公電腦私自從網(wǎng)絡上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網(wǎng)絡通道,這樣就導致了其他一些用戶使用辦公電腦辦公時網(wǎng)速非常低,嚴重時網(wǎng)頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。

這種問題在當下的網(wǎng)絡時代普遍存在于現(xiàn)有的企事業(yè)單位,尤其是一些已經擺脫了紙張,進入“無紙化”辦公的先進單位更為明顯。由于難于發(fā)現(xiàn)高危計算機,并對其進行定位,因此一旦問題發(fā)生,就需要大量的故障排查時間。如果同時有多臺計算機感染網(wǎng)絡病毒或者進行非法操作,就會造成網(wǎng)絡癱瘓,從而致使其他正常網(wǎng)絡業(yè)務無法使用。

現(xiàn)階段,所有企業(yè)都在努力尋找一種有效的手段來扭轉這種嚴峻的局面,并盡可能地出臺大量的信息網(wǎng)絡管理規(guī)定。例如:禁止在辦公計算機內安裝BT下載軟件,禁止在個人終端設備中安裝網(wǎng)絡游戲軟件,禁止私自更改電腦的安全設置,禁止將外部的電腦接入單位的內部網(wǎng)絡等行為。但是,由于缺乏技術和管理手段、考核制度、使用標準、用機規(guī)范等,都不能夠有效切實地執(zhí)行,這樣就使企業(yè)內部的信息網(wǎng)絡安全水平很低,衍生了諸多不可控制的安全隱患。

三、通過網(wǎng)絡防護與終端防護共筑信息安全長城

以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網(wǎng)御設備、網(wǎng)絡交換設備的管理上,卻忽略了對網(wǎng)絡環(huán)境中的計算單元――服務器、臺式機乃至便攜機的管理。

近兩年的安全防御調查表明,政府、企事業(yè)單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環(huán)節(jié)。因此,隨著信息技術的不斷進步,網(wǎng)絡安全防護的工作重點開始發(fā)生轉移,安全戰(zhàn)場已經逐步由核心與主干的防護,轉向網(wǎng)絡邊緣的每一個終端。網(wǎng)絡管理員已經不是信息安全的唯一負責人,計算機終端用戶才是信息安全的第一責任人。

四、建設桌面終端安全管理系統(tǒng)的意義

伴隨著網(wǎng)絡管理業(yè)務密集度的增加,在信息安全防護領域興起了終端桌面安全管理技術。作為網(wǎng)絡管理技術衍生的邊緣產物,它同傳統(tǒng)安全防御體系的缺陷相關聯(lián),是傳統(tǒng)網(wǎng)絡安全防范體系的補充,也是未來網(wǎng)絡安全防范體系的重要組成部分。由此看來,終端桌面管理的發(fā)展趨勢和技術特點,才是信息安全防護趨勢的導向。在進行桌面終端安全防護部署時,必須把提升信息安全的關鍵放在提升計算機終端安全水平上。

如何有效地管理計算機終端成了當前的熱點話題,而桌面計算機安全管理系統(tǒng)的應運而生就顯得尤為重要了。第一可以通過批量設置計算機的安全保護措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現(xiàn)動態(tài)安全評估,實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定,比如說,評估計算機的網(wǎng)絡流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設置是否合理等;第三,通過系統(tǒng)中進行策略的配置,對計算機終端進行批量的軟件安裝、批量的安全設置等,防止外來電腦非法接入,避免網(wǎng)絡安全遭受破壞或者信息泄密;第四,利用桌面系統(tǒng)的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網(wǎng),禁止使用外部郵箱,禁止訪問非法網(wǎng)站,禁止將單位機密文件復制、發(fā)送到外部”等這一系列管理措施得以貫徹和執(zhí)行;第五,在網(wǎng)絡出現(xiàn)安全問題后,桌面終端系統(tǒng)可以對有問題的IP/MAC/主機名等進行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統(tǒng)的“增值服務”,在保證信息網(wǎng)絡安全的同時,還能對計算機的資產進行有效地管理和控制。

這些功能的實現(xiàn),淺表地說能夠持續(xù)有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業(yè)內部各種管理規(guī)定有效地執(zhí)行。如今憑借這些高科技手段,全面提升企事業(yè)單位內部信息化工作水平已經不再是紙上談兵。

五、結語

企事業(yè)單位要在信息技術高速發(fā)展的今天立于不敗之地,就必須結合自身客戶的網(wǎng)絡結構、終端特點和管理模式,搭建安全、穩(wěn)固的內部IT架構。而桌面終端安全管理的應用,將極大地提高信息安全系數(shù),使企業(yè)信息風險降到最低。

參考文獻:

[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統(tǒng)及其應用[J].電力信息化,2009,(7).

[2] 馬國勝.桌面安全管理系統(tǒng)的應用[J].中國金融電腦,2009,(4).

篇3

企業(yè)經營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經營活動都逐漸開始通過計算機,網(wǎng)絡開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術手段以及制度改革,把更多的注意力放在企業(yè)內部的信息安全管理工作,同時將企業(yè)信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡安全技術、計算機技術、密碼技術、通信技術。從企業(yè)的信息安全管理來講,最為關鍵的一項工作時保護企業(yè)內部經營信息數(shù)據(jù)的完整。經過近十年來的企業(yè)信息安全管理工作經驗總結,企業(yè)信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。

所以,怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風險預估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業(yè)信息安全風險管理制度,明確企業(yè)信息安全管理的責任分配機制,明確企業(yè)各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規(guī)范的企業(yè)信息安全風險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓,提高企業(yè)信息安全管理工作人員的風險意識,讓企業(yè)內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責的重要性。第四,將企業(yè)信息安全管理與風險控制有效融合,重視企業(yè)信息安全管理工作,通過風險控制對企業(yè)內部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質要求。但是根據(jù)調查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風險意識并沒有嚴格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術不過關

企業(yè)信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網(wǎng)絡應用技術等等,應當說成熟的計算機應用技術是做好企業(yè)信息安全管理的基礎,但是,現(xiàn)實是許多企業(yè)的信息安全管理技術并不過關,一方面企業(yè)的信息安全管理硬件并不過關,在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導致企業(yè)的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡病毒的傳播越來越猖狂,很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內部設備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關,認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現(xiàn),而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統(tǒng)的抗風險的能力,安全服務數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網(wǎng)絡不安全因素;經過不斷地監(jiān)測網(wǎng)絡和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關鍵的參與者,企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業(yè)的信息安全。最后,HTP強調動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設企業(yè)信息安全管理系統(tǒng)

(1)充分調查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領導及時提供各種信息,為企業(yè)領導的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內部的信息傳輸通道,對應用程序和數(shù)據(jù)庫進行程序化設計,加強對提高企業(yè)內部信息處理的規(guī)范性和準確性。

2.設計企業(yè)信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設計過程中,首要工作是設計企業(yè)信息安全風險評估的目標,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業(yè)信息安全管理的風險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風范圍有所不同,企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經營情況變化采取有針對性的辦法。

篇4

企業(yè)經營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經營活動都逐漸開始通過計算機,網(wǎng)絡開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術手段以及制度改革,把更多的注意力放在企業(yè)內部的信息安全管理工作,同時將企業(yè)信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。企業(yè)的信息安全管理包含十分豐富的內容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡安全技術、計算機技術、密碼技術、通信技術。從企業(yè)的信息安全管理來講,最為關鍵的一項工作時保護企業(yè)內部經營信息數(shù)據(jù)的完整。經過近十年來的企業(yè)信息安全管理工作經驗總結,企業(yè)信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。所以,怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風險預估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業(yè)信息安全風險管理制度,明確企業(yè)信息安全管理的責任分配機制,明確企業(yè)各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規(guī)范的企業(yè)信息安全風險管理指標,對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓,提高企業(yè)信息安全管理工作人員的風險意識,讓企業(yè)內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業(yè)內部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責的重要性。第四,將企業(yè)信息安全管理與風險控制有效融合,重視企業(yè)信息安全管理工作,通過風險控制對企業(yè)內部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質要求。但是根據(jù)調查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風險意識并沒有嚴格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術不過關

企業(yè)信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網(wǎng)絡應用技術等等,應當說成熟的計算機應用技術是做好企業(yè)信息安全管理的基礎,但是,現(xiàn)實是許多企業(yè)的信息安全管理技術并不過關,一方面企業(yè)的信息安全管理硬件并不過關,在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導致企業(yè)的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡病毒的傳播越來越猖狂,很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內部設備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認識嚴重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關,認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現(xiàn),而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統(tǒng)的抗風險的能力,安全服務數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態(tài)響應的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網(wǎng)絡不安全因素;經過不斷地監(jiān)測網(wǎng)絡和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關鍵的參與者,企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業(yè)的信息安全。最后,HTP強調動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設企業(yè)信息安全管理系統(tǒng)

(1)充分調查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領導及時提供各種信息,為企業(yè)領導的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內部的信息傳輸通道,對應用程序和數(shù)據(jù)庫進行程序化設計,加強對提高企業(yè)內部信息處理的規(guī)范性和準確性。

2.設計企業(yè)信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設計過程中,首要工作是設計企業(yè)信息安全風險評估的目標,只有明確了企業(yè)信息安全管理的目標,明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業(yè)信息安全管理的風險,定性定量地企業(yè)信息安全管理工作進行分析,找準企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風范圍有所不同,企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經營情況變化采取有針對性的辦法。

(3)組建適當?shù)脑u估管理與實施團隊

篇5

1.1信息化機構建設不健全

電力企業(yè)很少為信息管理部門專門設置機構,因而缺乏應有的規(guī)范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統(tǒng)性的工程,沒有專門的部門負責是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2企業(yè)管理阻礙信息化發(fā)展

有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進的信息化設備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應有的作用。

1.3網(wǎng)絡結構不合理

電力企業(yè)大多將公司網(wǎng)絡分為外網(wǎng)和內網(wǎng),兩種網(wǎng)絡之間實行物理隔離措施,但很多企業(yè)的網(wǎng)絡交換機是一臺二層交換機,決定了內網(wǎng)和外網(wǎng)用戶在網(wǎng)絡中地位是平等的,導致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。

1.4身份認證缺陷

電力企業(yè)一般只建立內部使用的信息系統(tǒng),而企業(yè)內部不同管理部門、不同層次員工有不同等級的授權,根據(jù)授權等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業(yè)身份認證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。

1.5軟件系統(tǒng)安全風險較大

軟件系統(tǒng)安全風險指兩方面,一是編寫的各種應用系統(tǒng)可能有漏洞造成安全風險,二是操作系統(tǒng)本身風險,隨著近期微軟停止對windowsXP系統(tǒng)的服務支持,大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補,這無疑會給信息安全帶來極大風險。

1.6管理人員意識不足

很多電力企業(yè)員工網(wǎng)絡安全意識參差不齊,一方面是時代的迅速發(fā)展導致較年輕的管理人員安全意識較高,而對網(wǎng)絡接觸較少的中老年員工網(wǎng)絡安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統(tǒng)設置不合理都會給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡信息安全管理措施

要建立完善合理的網(wǎng)絡信息安全管理體系,需要各企業(yè)認清企業(yè)現(xiàn)狀,根據(jù)實際進行統(tǒng)一規(guī)劃,分部建設,保證建設內容能科學有效的運行。

2.1加強信息安全教育培訓

不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業(yè)信息化的安全。因此,實現(xiàn)企業(yè)網(wǎng)絡信息安全管理的根本在人,可以根據(jù)員工職責分層次進行培訓,一方面提高安全管理員工的專業(yè)知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網(wǎng)絡信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設

電力企業(yè)要把網(wǎng)絡信息安全管理視為一個系統(tǒng)工程來考慮,必須在企業(yè)內部建立起合理而完善的管理制度,比如:加強網(wǎng)絡日志管理;對安全審計數(shù)據(jù)嚴格管理;在企業(yè)網(wǎng)絡上安裝病毒防護軟件;規(guī)定不能隨意在內網(wǎng)主機上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內網(wǎng)計算機上隨意使用來歷不明的移動存儲設備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復、網(wǎng)絡服務完全、病毒防護系統(tǒng)的應用、數(shù)據(jù)加密技術及數(shù)據(jù)傳輸安全等方面建立一個多方面多層次聯(lián)合的技術安全體系,從而提高信息系統(tǒng)安全防護能力,確保企業(yè)信息安全可靠。

3、總結

篇6

網(wǎng)絡信息資源是生活中普遍應用的一種資源,其自身的重要性逐漸凸顯,尤其在各大電力企業(yè)中,網(wǎng)絡信息安全管理成為企業(yè)發(fā)展的基本條件。但是由于我國電力企業(yè)起步比較晚,在現(xiàn)代化信息管理方面的研究尚淺,經驗缺乏,因此需要在企業(yè)管理中不斷改良信息管理模式,加強網(wǎng)絡化信息安全管理,提高電力企業(yè)信息安全度。

1 電力企業(yè)網(wǎng)絡信息安全管理的現(xiàn)狀及存在的問題

1.1電力企業(yè)信息服務器安全不能保障

電力企業(yè)信息管理系統(tǒng)結構比較復雜,它包含眾多信息服務器,主要有企業(yè)數(shù)據(jù)庫資源服務器、Web服務器、銀電聯(lián)網(wǎng)服務器和基本應用服務器等眾多復雜服務器。這些服務器擔負著電力企業(yè)網(wǎng)絡運行與發(fā)展,一旦電力企業(yè)的服務器受損,企業(yè)信息管理將癱瘓。而近年來網(wǎng)絡信息安全受到威脅,網(wǎng)絡攻擊手段不斷更新,電力系統(tǒng)服務器成為被攻擊的第一對象。在電力企業(yè)網(wǎng)絡信息管理中,管理人員不能對所有服務器進行系統(tǒng)管理,服務器經常受到網(wǎng)絡病毒襲擊,使得服務器工作受到干擾,公司信息機密沒有進行加密處理,容易被竊取。

1.2電力企業(yè)信息管理人員整體素質較差

在我國很多電力企業(yè)管理中,都存在重視企業(yè)團隊建設、重視技術養(yǎng)成、重視企業(yè)經濟效益,輕視企業(yè)信息組成和信息安全管理的現(xiàn)象。這也從另一方面說明了企業(yè)管理體制不完善,信息管理觀念差。由于電力企業(yè)信息管理制度的不完善,對信息管理人員的要求沒有明確規(guī)定,因而導致信息管理人員工作素質不高,對信息安全基本技能不能熟練掌握。例如簡單的SQL注入、腳本注入以及服務器防竊聽加密等操作,信息管理人員在在工作中疏忽將導致整個信息管理系統(tǒng)不能正常運行。

1.3電力企業(yè)信息管理網(wǎng)絡運用技術不成熟

按照有關規(guī)定,電力企業(yè)一般將信息網(wǎng)絡劃分為企業(yè)內網(wǎng)和企業(yè)外網(wǎng),而來自內部網(wǎng)絡的信息風險不容忽視,主要是內部員工信息安全出現(xiàn)的問題,由于網(wǎng)絡管理人員對網(wǎng)絡結構和企業(yè)應用系統(tǒng)比較熟悉,在生活中或者工作中將信息外流,對企業(yè)網(wǎng)絡信息系統(tǒng)造成難以修復的傷害。內網(wǎng)與外網(wǎng)之間進行物理隔離,由于信息網(wǎng)絡結構存在著核心交換機選擇不合理的現(xiàn)象,導致信息安全問題不能及時解決,只能通過其他系統(tǒng)進行故障排查并解決。

2電力企業(yè)網(wǎng)絡信息安全管理存在問題的解決對策

2.1建立入侵保護系統(tǒng)IPS,提高網(wǎng)絡信息安全系數(shù)

在電力企業(yè)網(wǎng)絡管理系統(tǒng)中建立網(wǎng)絡入侵保護系統(tǒng)IPS,IPS能夠為信息網(wǎng)絡提供一種主動而實時的信息防御。它的設計理念是對常規(guī)網(wǎng)絡流量中攜帶的惡意數(shù)據(jù)包進行數(shù)據(jù)安全檢測,一旦發(fā)現(xiàn)可疑數(shù)據(jù),IPS將發(fā)揮網(wǎng)絡安全防御功能,阻止網(wǎng)絡數(shù)據(jù)入侵電力企業(yè)網(wǎng)絡信息系統(tǒng)。對帶有攻擊性的流量進行主動攔截,避免對信息造成阻礙。它與常規(guī)的網(wǎng)絡防火墻相比具有更加高端的性能,它不僅能對網(wǎng)絡惡意數(shù)據(jù)流量進行檢測還能夠及時消除隱患,而不是簡單的對系統(tǒng)進行報警,IPS在功能上更加完善。在網(wǎng)絡系統(tǒng)中,IPS直接串聯(lián)到網(wǎng)絡中,它能夠為電力企業(yè)提供虛擬補丁,預先對黑客攻擊和網(wǎng)絡病毒進行攔截,使得外部攻擊不能進行,信息系統(tǒng)即使沒有最新安裝的補丁,由于IPS的防御也能保證網(wǎng)絡不受損害。此外IPS還能夠對電力企業(yè)網(wǎng)絡進行流量凈化處理,例如對蠕蟲和病毒造成的網(wǎng)絡系統(tǒng)癱瘓,電驢下載造成的寬帶資源被占用等現(xiàn)象,IPS都能夠對其進行清理,提高網(wǎng)絡環(huán)境利用率。信息系統(tǒng)中IPS的設計主要側重于訪問的控制,注重對外來干擾進行主動的防御,而不僅僅是檢測和日志記錄,為企業(yè)提供了全新的入侵保護解決方案。

2.2電力企業(yè)網(wǎng)絡信息安全管理引用PKI數(shù)字認證技術

PKI技術是公開密鑰理論和技術基礎上發(fā)展起來的一種綜合安全臺。CA基礎設施是數(shù)字認證系統(tǒng)面向其內部用戶的基礎服務系統(tǒng),為數(shù)字認證提供管理服務。CA系統(tǒng)主要包括根CA、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)和LDAP目錄服務系統(tǒng)。其中,CA簽發(fā)系統(tǒng)是CA認證系統(tǒng)的核心服務,負責數(shù)字簽發(fā)。RA注冊管理系統(tǒng)主要負責提供用戶證書業(yè)務服務,對錄入及審核進行處理,如圖1所示。

篇7

隨著信息系統(tǒng)在企業(yè)中的廣泛應用,信息安全的問題逐漸突出和嚴峻,這就體現(xiàn)了進行現(xiàn)安全有效性管理的重要性。實現(xiàn)信息安全管理的有效性測量是對企業(yè)進行信息安全運行的風險問題進行評估,進而得出企業(yè)的信息安全系統(tǒng)能否同企業(yè)信息安全的控制水平相一致,體現(xiàn)了對于整體性提高企業(yè)信息安全管理水平的重要性。

【關鍵詞】

信息安全管理;有效性測量;方法

在21世紀的社會發(fā)展新時代,網(wǎng)絡、計算機、信息技術被大量的企業(yè)納入到自身的生產經營管理之中,在基本運行中會涉及到企業(yè)眾多的機密文件和信息,直接關系的企業(yè)的發(fā)展運行,所以,一旦出現(xiàn)安全問題就會對企業(yè)產生重要的影響。所以,在不斷深化的應用中,企業(yè)開始注重對信息安全的管理,并通過多樣化的技術手段和方式來進行強化,但是這樣的方式決定了對安全管理的有效性不能進行合理的把握和控制,并且對整體的安全水準也沒有實現(xiàn)準確的衡量。所以,如果企業(yè)只是強化了信息安全在技術方面的建設,而并沒有開展有效的安全管理評估工作,就會使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞,所以,進行信息安全管理的有效性測量是極為重要的。企業(yè)也逐漸認識到其重要性,使得近年來,我國企業(yè)對于信息安全有效性的測量需求不斷增多,但是,在這方面我國起步較晚,存在著很多不足和缺陷,這就需要在有效的研究中尋找適當?shù)姆椒▉硖嵘郎y量的整體有效性。

一、信息安全管理有效性測量的目的

通過實現(xiàn)有效性的測量,能夠真實評估和反映企業(yè)信息安全管理的整體水平,以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標和整體方向。企業(yè)進行信息系統(tǒng)的建立時,往往會依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標準、組織結構、利益關系等方面的需求進行,進而構筑相應的信息安全的整體體系和相關模型。通過對企業(yè)的信息安全管理進行有效性的測量,可以在技術的管理支撐下客觀真實的反映企業(yè)信息管理的整體性評估,會能實現(xiàn)對企業(yè)信息安全管理目標的運行程度進行說明,并能對企業(yè)信息安全管理的系統(tǒng)效能開展準確科學的評測,為企業(yè)提供進行信息安全管理考核的基本依據(jù)[1]。就企業(yè)的整體發(fā)展實際來看,如果不開展信息安全管理的有效性測量,會使企業(yè)的整體管理水平只依賴于基本測評狀態(tài)下的運行管理水平,難以同真實的信息安全運行環(huán)境相脫離,造成企業(yè)在安全管理過程中的漏洞和誤差,使得企業(yè)在正常的運營和發(fā)展中的實際需求同所進行信息安全管理的整體水平不相一致,并且在對基礎環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時,并不能發(fā)現(xiàn)運行中的不足和缺陷,更遑論進行有效合理的解決,極大化的為企業(yè)的發(fā)展運行埋下了信息安全的運行隱患。而通過有效性的測量活動,能夠準確的將企業(yè)在信息安全方面的漏洞進行定位,并且還能夠有效指導基本的解決策略,有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

二、信息安全管理有效性的測量方法

在開展信息安全管理有效性的測量時,需要對進行測量的指標進行量化的處理,并最終形成具有實際可行性的量化測量指標。在測量中,不同的指標則需要不同的測量方法來進行,一般而言,具有風險分析、問卷調查、內部審核、滲透性測試、個人訪談、內外對比、風險評估、報表統(tǒng)計等不同的方法。通過不同指標的不同測量之后,能夠得得出各個指標的測度結果,在此基礎上再根據(jù)不同的技術需要對結果進行科學有效的取值管理,給各個指標賦予不同的安全分險權重,然后綜合計算企業(yè)信息安全管理有效性的整體水平[2]。比如在進行信息安全管理整體運行的有效性測量時,在對基本技術要求進行測量評估時,還需要對企業(yè)的環(huán)境安全、人員安全、業(yè)務聯(lián)系、安全意識、事件管理等開展管理有效性的評估,以保障最終結果的綜合有效性。在信息安全管理有效性的測量發(fā)展中,相關專業(yè)機構提出了同通過整體的系統(tǒng)模型來實現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測量模型的建立,將信息系統(tǒng)運行中需要進行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后,得出最后的測量結果,其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應用不同的測量方法之后就能夠得到基本測度,而基本測量方法的獲取是通過多樣化的數(shù)據(jù)資源進行測量對象的數(shù)據(jù)獲取,比如風險評估結果、日志報表統(tǒng)計記錄、調查表、測量結果等途徑。就我國當前進行信息安全管理有效性測量的方式而言,在設定環(huán)節(jié)相對復雜和冗余,但在基本的項目實踐中得出如下的基本運行方法:

2.1審計監(jiān)控系統(tǒng)回顧

在進行檢測時,需要盡可能的發(fā)現(xiàn)各個環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件,以實現(xiàn)有效的防治,實現(xiàn)影響的最小化[3]。

2.2糾正預防措施驗證

對已經納入整體有效性測量計劃的糾正預防措施,在開展檢測時進行檢查和回顧,以保證檢驗過程中對于信息安全管理系統(tǒng)所采取的各項措施是否合乎當下的現(xiàn)狀和企業(yè)具體要求。

2.3信息安全事故統(tǒng)計

主要是對已經發(fā)生過的安全事件進行統(tǒng)計和分析,以為檢測的有效性提供更加高效合理的方法指引,以實現(xiàn)進行更高角度的評估以及在控制措施方面的有效性。這樣的方式是將基本的計劃和檢測方式實現(xiàn)了有效的結合,并在各種方法的支撐下,實現(xiàn)綜合型的檢測,做到有效的預防和糾正,從不同的層面反應了進行信息安全檢測的有效性,并保障整體運行體系的完整有效性,進而形成一個有效的良性循環(huán)。

三、結束語

就我國的整體實際而言,信息安全管理有效性的測量方法,還處于基礎的起步階段,而且相關的各項理論研究和測量指標等也均沒有達到完善的階段,這就需要進行不斷的發(fā)展和探索,而且實踐證明,進行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的,在保障整體信息運行管理的安全性基礎上,能夠使企業(yè)提升整體的競爭力和自身生存能力,并且能夠將測量中發(fā)現(xiàn)的問題和相關數(shù)據(jù)進行分析,然后具有針對性的使企業(yè)所存在的風險得到最大化的控制,最終達到基本業(yè)務的正常有效運行。

作者:薛擁華 鄧沖 陳宇 劉板浩 黃剛 單位:精誠瑞寶計算機系統(tǒng)有限公司

參考文獻

[1]朱英菊,劉紅麗,陳長松.信息安全管理有效性的測量研究[J].情報雜志,2010,01:73-76+41.

篇8

(1)內網(wǎng)網(wǎng)絡結構不健全。

現(xiàn)階段,我國的供電企業(yè)內網(wǎng)網(wǎng)絡結構不夠健全,未能達成建立在供電企業(yè)內部網(wǎng)絡信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網(wǎng)網(wǎng)絡系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運,財務、營銷、生產各專業(yè)都有相關的信息系統(tǒng)投入應用,相對薄弱的網(wǎng)絡系統(tǒng)必將成為整個信息管理模式的最短板。

(2)存在于網(wǎng)絡信息化機構漏洞較多。

目前在我國供電企業(yè)中,網(wǎng)絡信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡的各類系統(tǒng)對于關鍵流程流轉、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責執(zhí)行和管理。網(wǎng)絡信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業(yè)信息網(wǎng)絡安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡病毒的出現(xiàn),就會對企業(yè)內部計算機進行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡一個有機可乘的機會,對計算機系統(tǒng)進行惡意破壞,導致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關文件,篡改供電系統(tǒng)相關數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。

(3)職工安全防范意識不夠。

想要保證我國網(wǎng)絡信息的安全,就必須要提高供電企業(yè)員工的綜合素質,目前國內供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應對突發(fā)事件應對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡技術相脫軌。

2網(wǎng)絡信息安全管理在供電企業(yè)中的應用

造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設備上的信息安全威脅,另一方面就是外界網(wǎng)絡惡意的攻擊其中以外界攻擊的方式存在的較多?,F(xiàn)階段我國供電企業(yè)的相關部門都在使用計算機對網(wǎng)絡安全進行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系,及時更新網(wǎng)絡防病毒軟件,針對性地引進遠程協(xié)助設備,提高警報設備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術的操控,國家相關部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡技術促使安全策略、安全服務和安全機制的相結合,大力開發(fā)信息網(wǎng)絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。

3結語

篇9

關鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線

在供電企業(yè)現(xiàn)代信息技術廣泛運用生產經營、綜合管理之中,實現(xiàn)資源和信息共享,為領導提供相關輔助決策。保障企業(yè)信息安全是企業(yè)領導層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個企業(yè)安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業(yè)人員技術水平等多方面共同建設,才能有效提高企業(yè)信息安全,才能為企業(yè)生產、經營保駕護航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設方面,在制度建設、安全分區(qū)、網(wǎng)絡架構、一體化防護、人員意識、專業(yè)人員技術水平等多方面存在不同程度問題。

1.1管理制度不健全,制度多重化

信息安全制度建設方面較為被動,大多數(shù)都是現(xiàn)實之中出現(xiàn)某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。

1.2安全區(qū)域劃分不明,網(wǎng)絡架構不清晰

基層供電企業(yè)系統(tǒng)建設主要由上級推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設時候相當部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務部門自建系統(tǒng)更甚。網(wǎng)絡建設需要什么就連接什么,存在服務器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡架構不清晰。

1.3未建立一體化安全防護體系

從近些年已經發(fā)生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網(wǎng)絡行為控制不足,存在網(wǎng)絡帶寬濫用;終端接入沒有相應準入控制,不滿足網(wǎng)絡安全需求用戶接入辦公網(wǎng)絡,網(wǎng)絡環(huán)境安全構成極大風險;內部人員對核心服務器和網(wǎng)絡設備未建立統(tǒng)一內部控制機制;移動介質未實施注冊制管理等問題。

1.4未建立行之有效設備基線標準

網(wǎng)絡安全設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用系統(tǒng)等廠家為了某種方便需求,在設備和系統(tǒng)中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞?;鶎庸╇娖髽I(yè)在部署設備和系統(tǒng)時,沒有統(tǒng)一基線標準,沒有對設備和系統(tǒng)進行相應基線加固,企業(yè)存在潛在風險。1.5信息安全意識較差,技術水平參差不齊企業(yè)信息安全認識存在認識上誤區(qū),常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)。專業(yè)技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業(yè)人員資質,處理問題能力表現(xiàn)參差不齊。

2必要性

信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關國計民生。2014年2月,國家成立中央網(wǎng)絡安全和信息化領導小組,將網(wǎng)絡信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業(yè)機密數(shù)據(jù)(財務、人資、投資、客戶等)泄漏;其次,保持數(shù)據(jù)真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業(yè)機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業(yè)務的正常運作,業(yè)務賴以生存的關鍵系統(tǒng)如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數(shù)據(jù)分級時有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網(wǎng)絡行為的監(jiān)控可以規(guī)范內部的上網(wǎng)行為,提高工作效率,保護企業(yè)有限網(wǎng)絡資源應用于主要生產經營上來。

3特點探析

通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡信息安全技術、人員意識等方面存在問題,有以下特點。

3.1管理制度方面

常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照執(zhí)行,可以根據(jù)各單位具體情況進一步細化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實現(xiàn)全網(wǎng)一體化,規(guī)范化。

3.2網(wǎng)絡信息安全技術方面

上級專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術標準和技術細則。從網(wǎng)絡安全分區(qū)、網(wǎng)絡技術架構、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡準入控制等方面統(tǒng)一規(guī)劃,分布實施,最終實現(xiàn)企業(yè)網(wǎng)絡信息安全防控一體化。

3.3信息安全意識培養(yǎng)方面

企業(yè)員工信息安全意識培養(yǎng)是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執(zhí)行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識就會得到極大提高。

3.4專業(yè)技術人員水平方面

信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業(yè)人員實行持證上崗,提升專業(yè)人員實際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。

4實施和開展

從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網(wǎng)絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業(yè)信息安全狀況。

4.1信息安全制度建設

2010年開始信息安全體系ISO27001、27002建設,結合企業(yè)情況,形成30個信息安全相關文件,涵蓋企業(yè)信息安全方針、等級保護、人員管理、機房管理、網(wǎng)絡信息系統(tǒng)運行維護管理、終端安全、病毒防護、介質管理、數(shù)據(jù)管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。

4.2建設一體化網(wǎng)絡與信息安全防控

首先依據(jù)電監(jiān)會5號文件要求,網(wǎng)絡架構按照三層四區(qū)原則進行部署建設,生產實時控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強制認證單向數(shù)據(jù)隔離裝置進行強制隔離,網(wǎng)絡架構采用核心、匯聚、接入部署。網(wǎng)絡接入按照功能劃分服務器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構建企業(yè)員工在企業(yè)數(shù)字身份認證系統(tǒng),已建成系統(tǒng)進行未采用PKI登陸系統(tǒng),進行相應改造結合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計員工上網(wǎng)日志,以備不時之需。建立企業(yè)統(tǒng)一病毒防護系統(tǒng),實現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動更新,防護策略統(tǒng)一下發(fā),定期統(tǒng)計病毒分布情況,同時作為終端接入內網(wǎng)必備選項,對終端病毒態(tài)勢比較嚴重用戶進行督促整改,有效防止病毒在企業(yè)內部蔓延,進一步進化內網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡邊界安全防護,在企業(yè)內網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產生日志發(fā)送到統(tǒng)一安全管理平臺,進行日志管理分析,展現(xiàn)企業(yè)內部信息安全態(tài)勢,預警企業(yè)內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統(tǒng)一桌面管理,所有內網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內網(wǎng),系統(tǒng)啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網(wǎng)站進行安全合規(guī)性檢查,滿足要求后自動接入內網(wǎng),強制所有用戶采用統(tǒng)一網(wǎng)絡安全準入規(guī)則。實行移動介質注冊制,極大提高終端安全性,有效保護企業(yè)信息資產。建立內部運維控制機制,實現(xiàn)4A統(tǒng)一安全管理,認證、賬號、授權、審計集中管控。規(guī)劃統(tǒng)一服務器、網(wǎng)絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。

5結語

篇10

【關鍵詞】電力企業(yè);網(wǎng)絡信息安全;管理

新時代是網(wǎng)絡信息時代,全世界信息網(wǎng)絡系統(tǒng)都在迅猛發(fā)展中。電力企業(yè)作為各行業(yè)中重中之重的國家基礎行業(yè),整個行業(yè)都對網(wǎng)絡信息系統(tǒng)有著極大的依賴性,網(wǎng)絡信息系統(tǒng)也以它快速、全面、及時的優(yōu)點給電力企業(yè)帶來了極大的經濟效益。但是網(wǎng)絡信息系統(tǒng)所帶來的不僅是經濟效益,同樣還有信息泄露的巨大風險,一旦發(fā)生信息泄露或信息數(shù)據(jù)遭篡改,將為國家造成不可估計的經濟損失。

近年來全球范圍內計算機犯罪活動猖獗,不斷發(fā)生黑客入侵、電腦病毒肆虐事件,給電力企業(yè)敲響了警鐘,網(wǎng)絡安全防范刻不容緩。很多受害者的網(wǎng)絡硬件及軟件技術都處于時展的主流,然而依然發(fā)生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網(wǎng)絡信息安全水平的,除了安裝網(wǎng)絡安全產品,同樣重要的還有網(wǎng)絡信息的安全管理措施。所以,各電力企業(yè)都必須認真面對和研究當前網(wǎng)絡信息安全問題,及時采取合理有效的防范措施。

1、我國電力企業(yè)網(wǎng)絡信息安全現(xiàn)狀

1.1電力企業(yè)信息化的優(yōu)勢

進入二十一世紀以來,隨著網(wǎng)絡技術的迅速發(fā)展,我國電力企業(yè)的信息化也有著很大的進步:電力行業(yè)信息化設施較其他行業(yè)更完善,各電力企業(yè)主要崗位使用計算機工作的比率已經基本達到100%,而且90%以上都建立起了覆蓋本部機關工作的局域網(wǎng);電力生產、調度自動化系統(tǒng)廣泛應用,已經形成了較成熟的管理模式。其中發(fā)電生產自動化監(jiān)控系統(tǒng)、電力調度SCADA系統(tǒng)等,大大提高了生產過程和電力調度的自動化水平;電力營銷管理系統(tǒng)在全國各大電力企業(yè)廣泛應用,各地(市)級電力企業(yè)都已實現(xiàn)業(yè)務受理計算機化。同時各地也在大力建設客戶服務中心,已經有一批服務中心先行初步建立起來;國家電網(wǎng)公司及其下各級子公司開發(fā)應用了電力生產、設備安檢、電力負荷及營銷管理的企業(yè)管理信息系統(tǒng),各大電力企業(yè)也在積極規(guī)劃企業(yè)信息化發(fā)展藍圖,大力進行企業(yè)信息化建設,推動實現(xiàn)電力工業(yè)現(xiàn)代化進程。

1.2當前存在的問題

上述信息化優(yōu)勢證明我國電力企業(yè)近年來關于網(wǎng)絡信息化建設取得了一些成果,給行業(yè)信息化建設打下了良好的基礎,但在網(wǎng)絡信息安全管理方面仍普遍存在較多問題。

1.2.1信息化機構建設不健全。電力企業(yè)很少為信息管理部門專門設置機構,因而缺乏應有的規(guī)范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統(tǒng)性的工程,沒有專門的部門負責是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2.2企業(yè)管理阻礙信息化發(fā)展。有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進的信息化設備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應有的作用。

1.2.3網(wǎng)絡結構不合理。電力企業(yè)大多將公司網(wǎng)絡分為外網(wǎng)和內網(wǎng),兩種網(wǎng)絡之間實行物理隔離措施,但很多企業(yè)的網(wǎng)絡交換機是一臺二層交換機,決定了內網(wǎng)和外網(wǎng)用戶在網(wǎng)絡中地位是平等的,導致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。

1.2.4身份認證缺陷。電力企業(yè)一般只建立內部使用的信息系統(tǒng),而企業(yè)內部不同管理部門、不同層次員工有不同等級的授權,根據(jù)授權等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業(yè)身份認證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。

1.2.5軟件系統(tǒng)安全風險較大。軟件系統(tǒng)安全風險指兩方面,一是編寫的各種應用系統(tǒng)可能有漏洞造成安全風險,二是操作系統(tǒng)本身風險,隨著近期微軟停止對windows XP系統(tǒng)的服務支持,大量使用windows XP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補,這無疑會給信息安全帶來極大風險。

1.2.6管理人員意識不足。很多電力企業(yè)員工網(wǎng)絡安全意識參差不齊,一方面是時代的迅速發(fā)展導致較年輕的管理人員安全意識較高,而對網(wǎng)絡接觸較少的中老年員工網(wǎng)絡安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統(tǒng)設置不合理都會給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡信息安全管理措施

要建立完善合理的網(wǎng)絡信息安全管理體系,需要各企業(yè)認清企業(yè)現(xiàn)狀,根據(jù)實際進行統(tǒng)一規(guī)劃,分部建設,保證建設內容能科學有效的運行。

2.1加強信息安全教育培訓

不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業(yè)信息化的安全。因此,實現(xiàn)企業(yè)網(wǎng)絡信息安全管理的根本在人,可以根據(jù)員工職責分層次進行培訓,一方面提高安全管理員工的專業(yè)知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網(wǎng)絡信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設

電力企業(yè)要把網(wǎng)絡信息安全管理視為一個系統(tǒng)工程來考慮,必須在企業(yè)內部建立起合理而完善的管理制度,比如:加強網(wǎng)絡日志管理;對安全審計數(shù)據(jù)嚴格管理;在企業(yè)網(wǎng)絡上安裝病毒防護軟件;規(guī)定不能隨意在內網(wǎng)主機上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內網(wǎng)計算機上隨意使用來歷不明的移動存儲設備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復、網(wǎng)絡服務完全、病毒防護系統(tǒng)的應用、數(shù)據(jù)加密技術及數(shù)據(jù)傳輸安全等方面建立一個多方面多層次聯(lián)合的技術安全體系,從而提高信息系統(tǒng)安全防護能力,確保企業(yè)信息安全可靠。

3、總結

電力企業(yè)信息化是不可避免的發(fā)展趨勢,因此要實現(xiàn)企業(yè)的可持續(xù)發(fā)展就必須做好企業(yè)信息網(wǎng)絡安全的管理,電力企業(yè)要在不斷的探索實踐中,摸索新時期網(wǎng)絡信息安全管理措施,不斷完善和健全網(wǎng)絡信息安全建設。

參考文獻

[1]王雋.電力企業(yè)網(wǎng)絡信息安全防護體系的建立[J].信息與電腦(理論版),2012,07:22-23.