企業信息安全管理范文

時間:2023-10-17 17:25:35

導語:如何才能寫好一篇企業信息安全管理,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

企業信息安全管理

篇1

關鍵詞:石油企業;信息安全;管理手段

0引言

隨著信息化建設進程飛速發展,作為信息載體的計算機、互聯網已在企業生產、經營管理各個層面得到廣泛應用。計算機網絡的開放性、靈活性和廣泛性在全面數字化的今天給經營管理帶來了便捷、高效、有序的工作環境,同時也帶來了較大的安全管理隱患。黑客的出現、安全漏洞的增多、管理的交叉混亂、惡意的網絡攻擊使網絡安全管理遭受了較大的沖擊,成為信息化健康發展的絆腳石。網絡信息管理疏于安全的防范將危及到企業生產經濟的有序發展。石油企業在國民經濟中發揮著重要作用,任何風險都可能導致國家經濟受到重大影響。因此,提高石油企業信息安全意識,加強信息管理應以保瘴服務和應用為目標,強化安全意識、制定周密的安全手段從而構建完善的信息安全管理體系。

1加強企業信息管理的必要性

1.1企業信息管理概念

企業信息管理是通過現代化的信息技術和設備,以網絡技術和網絡設備實現企業管理的自動化,進而對企業進行全方位和多角度的管理,以此來促進企業生產、經營管理的優化配置,進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平,增強企業的核心競爭力。企業信息管理的主要內容,一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向,以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時,企業的信息管理也應當包括企業內部的信息資源,如財務管理信息、物資庫存、鉆井施工、職工檔案管理等多方面的內容,并且促進企業的全面發展。

1.2企業信息安全管理的必要性

企業信息的存在方式有著多樣性,而進行企業安全信息管理的主要目的,在于保護企業的信息安全,保證企業能夠順利的參與到市場經濟活動中,進而提高企業的經濟效益和社會效益,構筑起信息安全管理系統的保密性、完整性、可用性、可維護性、可驗證性的目標,使企業安全信息管理能夠通過有效的控制措施來實現。第一,企業管理的信息具有很強的保密性和完整性的特點,因此其對于企業的生產勢力、科技含量、資金流動、企業的綜合競爭力等多方面都有著重要的影響,同時對于企業的商業形象與合法經營也至關重要,因此加強企業信息安全管理是必要的。第二,由于網絡自身所具有的開放性特性,決定了企業信息管理也面臨著來自各方面的安全威脅,比如計算機病毒、黑客等,以及計算機詐騙、泄密等問題,也說明了加強企業信息安全管理勢在必行。第三,企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱,公共網絡與私人網絡的連接增強了信息的控制難度,使得信息在分散化的管理模式下,集中、專業控制的有效性大大減弱。另外,由于很多信息管理系統設計的缺陷,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度。基于此,對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。

2加強企業信息管理安全的防范措施

2.1不斷完善信息管理系統

隨著企業信息化的發展,目前應用的管理系統有PKI、郵箱、AD域、普OA、合同系統、A6、ERP、網絡、操作系統、A7、檔案系統、物采系統、OSC、視頻會議、企業微信、門戶網站、寶石花、數字營房、會議保障、E2、一體化、RTX、移動應用、短信平臺。信息系統的連續穩定運行越來越重要,一旦系統中斷,將會給企業的生產經營管理帶來混亂,而數據一旦丟失,后果是不可估量的。為此,信息管理系統的投入和使用,是建立在充分的實踐經驗的基礎上,通過一段時間的運行和觀察,才能夠投入使用。在不同的部門進行信息系統的引入時,應當按照部門的實際情況,通過多方引進,使用統一的信息管理系統。對于信息安全來說,首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權限,這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問,保證信息不會被盜用。同時,為保證信息系統的連續穩定運行,應采用雙機服務器和從服務器。一旦發生服務器故障,由從服務器自動接替主服務器工作。

2.2有效的設備管理

設備安全主要涉及到由于自然災害、人為因素造成的數據丟失。信息安全應建設完善的容災備份系統,容災備份系統一般由兩個數據中心構成,主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。同時,對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄,通過這些記錄,定期對設備進行維護,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況,對于設備的損壞或者是丟失情況都能夠及時地了解。

2.3加強對人員的監督與管理

企業信息安全不單純是技術問題,而是一個綜合性的問題。其中最重要的因素是人,人是設備的主要操作者,因此對于信息的安全管理,就需要加強對人的管理,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關的培訓,對于唯一的用戶名和密碼等信息要進行妥善保管,同時讓操作人員認識到泄密會導致的嚴重后果,增強責任意識。只有通過不斷地學習及意識的培養,管理人員才能養成定期維護、按時打補丁、及時更新的操作習慣,以不變應萬變的態度應對各種網絡攻擊手段。通過不斷的加強過程管理,通過對每個細節的嚴密審查,能夠有效減少人為出錯的現象,同時通過科學的評價機制和激勵機制,刺激人員工作的積極性,加強自身的責任意識。

2.4網絡傳輸安全

篇2

信息,同企業其他資產一樣是種資產,對企業的發展有很大作用。信息以各種形式存在,包括紙質的、電子的、圖像的等。我國信息專家鐘義信認為:“信息是該事物運動的狀態和狀態變化方式的自我表述/自我顯示。”顧名思義,信息安全既保障“信息”的“安全”。關于信息安全,國際標準化組織(ISO)認為:“信息安全是在技術上和管理上為數據處理系統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認為:“信息安全是保護信息和信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性”。

二、企業信息安全體系設計

2.1企業信息安全體系方案概述

2.1.1信息安全體系設計原則

企業信息安全體系的設計應遵從以下原則:

(1)性能平衡,合理劃分:提高整個系統的“安全低點”的性能,保證各層面能得到均衡防護;按照合理原則劃分為安全等級,分區域、分等級防護。

(2)標準一致,功能互補:在產品技術、產品設備選擇方面,盡可能遵循同一業界標準;充分考慮不同廠商、不同安全產品的功能互補,在進行多層防護時,考慮使用不同廠家的。

(3)統籌規劃,分步實施。

2.1.2信息安全體系框架

網絡安全的實現不是目標,是過程。其過程經歷了安全評估、制訂安全策略、安全培訓、安全技術實施、安全網絡檢測、應急響應和災難恢復等環節,并不斷地螺旋式提高發展,得以實現網絡安全。信息安全體系的三要素:管理、技術和運維。通過一系列的戰略、系統和機制的協調,明確技術實現方法與相關安全操作人員的職責,從而達到安全風險的發現和有效控制,從而改善的安全問題反應速度和恢復能力,增強整體網絡安全能力。管理方面,建立、健全安全組織結構;技術方面,建立分層網絡安全策略;運維方面,通過不同的安全機制,提高網絡安全的能力。

2.2企業信息安全技術體系

2.2.1信息安全技術體系概述

(l)設計原則

分析企業信息網絡安全面臨的主要威脅,實施有針對性的安全技術體系。安全技術體系的總體性要求如下:全面綜合:采用綜合解決方案,體系層次化,具有縱深性。集成統一:有效集成各類管理工具,集中化管理所有IT系統。開放適應:支持各種安全管理標準,能適應組織和環境的變化。

(2)信息安全技術體系框架

通過物理安全、網絡安全、系統安全、應用安全等方面進行建設。具體有以下措施:物理安全防護建設;統一容災備份中心建設;防火墻系統的部署;入侵防護系統的部署;系統安全防護建設;防病毒系統部署;漏洞掃描系統部署;信息審計系統防護。

2.2.2物理安全防護建設

(1)配套設備安全

采用多路供電(市電、動力電、UPS)的方法,多路電源同時接入企業信息系統大樓或主機房及重要信息存儲、收發等重要部門,當市電故障后自動切換至動力電,動力電故障后自動至UPS供電。并且,當下級電源恢復后,應立即自動切換回去。這樣,既保證了安全性,又降低了運行費用。形成一套完整的先進和完善的供電系統及緊急報警系統。供電系統中,會有尖峰、浪涌等不良現象發生,一旦發生,輕則斷電重啟,重則燒毀并引發火災。這種情況下,UPS也無濟于事。為避免對供電質量和造成不安全因素,可以使用電力凈化系統。電源凈化系統不僅保證電源質量,同時還可減少電磁污染,避免信息隨電纜外泄。用多路供電接入企業機房及重要部門,降低了運行成本,又保證了系統的安全。

(2)計算機場地安全

嚴格按照國家標準建設,如國標GB/T2887-2000《電子計算機場地通用規范》、GB9254-1998《信息技術設備的無線電騷擾限值和測量方法》等。《電子計算機場地通用規范》規定了站址選擇條件:計算機場地盡量建在電力、水源充足,自然環境清潔、通信、交通運輸方便的地方;應盡量避開強電磁場的干擾;應盡量遠離強振動源和強噪聲源;應盡量建在建筑物的高層及地下室以及用水設備的下層。規定了溫度、濕度條件并將它分成ABC三級;規定了照明、日志、電磁場干擾具體技術條件;規定了接地、供電、建筑結構條件等。

2.2.3統一容災備份中心建設

無論企業信息系統設計、維護得多科學合理,故障的發生都是不可避免的,因此在設計時都應考慮容災解決方案,即統一容災備份中心建設。基本思路是“數據冗余+異地分布”,即在異地建立和維護一份或多份數據冗余,利用數據的冗余性和地理分散性來提高對災難事件的抵御能力。企業數據容災,存儲是基礎,備份是核心,恢復是關鍵。信息網絡采用本地備份與異地備份的混合方式,以確保數據或系統的安全。通過各種層面的冗余技術,減少單點故障;使用合適的備份技術實現針對各個位置存放的數據的保護、隔離和嚴格訪問,保證數據的一致性、安全性和完整性。包括:存儲磁盤的冗余設計,對系統盤采用RAID1技術,對數據盤采用RAID5技術。數據的冗余備份設計:數據庫數據文件的存放采用基于SAN架構的存儲方案,在保證讀取速度的同時,利用遠程數據鏡像和數據復制技術進行冗余備份,在區域性空難發生時能更大限度保證數據完整和安全。對核心業務的數據庫數據,還可利用SQLServer自帶的數據備份工具進行數據庫文件備份,有效應對文件損壞或人為誤操作帶來的數據風險。對正常業務中關鍵數據或全業務數據進行保護,將主數據庫的數據以邏輯的方式在異地機房建設一個同樣的數據庫,并且實時更新數據,當主數據庫因災損壞或失去,異地數據庫可以及時接管業務,從而達到容災的目的。

三、結論及展望

篇3

【關鍵詞】企業,信息,安全

【中圖分類號】F270.7 【文獻標識碼】A 【文章編號】1672-5158(2012)11-0130-02

一、企業信息安全現狀

近年來,隨著企業信息化進程的不斷推進,許多企業都完成了涵蓋基礎自動化、過程控制、生產執行到專業管理的信息系統,內容覆蓋了硬件網絡平臺建設、辦公自動化(OA)、企業資源計劃(ERP)、對基礎網絡、過程自動化進行升級改造等,企業業務的關鍵流程如研發、生產與銷售對信息系統的依賴性非常高。企業日益復雜龐大的信息系統也無時無刻在面臨來自于內部和外部的威脅。

當前企業信息可能面臨的安全威脅、存在的安全隱患。

1.可能面臨的安全威脅

物理安全威脅主要表現在企業的軟件資產和硬件資產、面臨自然災害、環境事故及不法分子通過物理手段進行的違法犯罪等威脅;網絡安全威脅主要表現在黑客攻擊、垃圾郵件泛濫、病毒、木馬造成網絡擁塞與癱瘓,內部攻擊,沖突域造成網絡風暴,黑客的入侵或者使得不法員工可以通過網絡泄漏企業機密等。

數據安全威脅主要表現在:數據庫數據丟失,財務、客戶信息及訂單數據被破壞或刪除、竊取、備份數據被人惡意篡改、不可預測的災難導致數據庫的崩潰等。

內部網絡之間、內外網絡之間的連接安全——隨著企業的發展壯大,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。

2.可能存在的安全隱患

網絡規劃不完善。信息網絡建設的初期,沒有把構建信息安全體系作為主要的功能來實現。雖然以后采取了一些安全措施,缺乏整體性和系統性。目前從便攜設備到可移動存儲,再到智能手機、PDA,以及無線網絡等。每一項新技術,每一類新產品的推廣伴隨著新的問題。企業在面臨著日趨復雜的威脅的同時,遭受的攻擊次數也日益增多。

技術設計不完善。隨著電腦技術的不斷發展,一些技術上的漏洞和設計方面的缺陷也就隨之而來。如操作系統、數據庫、網絡軟件及應用軟件等各個層次及網絡設備本身存在的技術安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或貫徹落實不夠;員工的安全防范意識不強;構建安全體系的資金投入與運維現狀需求存在矛盾等因素,導致安全管理層面的安全措施及安全技術難以有效實施。

為了防止信息安全事件的發生,通行的做法是通過部署防火墻、入侵檢測、入侵防范系統、防病毒系統、數據備份、數據加密、漏洞掃描、上網行為管理系統等進行防范。然而,此類技術手段,卻無法阻止人為因素導致的破壞。

針對上述分析,筆者認為,構建一個規范的信息安全保障體系必須從管理、技術兩方面著手,通過建立企業內部信息安全管理體系的有效措施把可能面臨的安全威脅最大限度地弱化,同時針對信息系統的“弱點”進行改進,以此降低潛在的安全危險。

二、加強信息安全工作的途徑

1.建立安全體系結構框架

俗話說“三分技術,七分管理”,任何技術措施只能起到增強信息安全防范的作用。為此,管理部門首先需借助相應的行政手段制定適合本單位的信息安全管理制度,建立一個長期有效的安全管理機制。加強安全技術的管理和人員的培訓,提高員工的信息化應用水平。其次,技術部門要加強物理場所的安全管理,制定相應的訪問控制策略規范網絡應用安全,整合現有資源實現能夠支撐邊界安全和訪問控制的要件,同時實現從終端行為一主機全過程的完整安全,實現公司業務正常有序的運行。

2.通過實施信息安全管理體系提升管理水平

信息安全管理體系是系統地對組織敏感信息進行管理,涉及到人、程序和信息技術系統,其依據是信息安全管理體系標準-IS027001。IS027001清晰地定義了ISMS是什么,并對企業主要安全管理過程進行了詳細的描述。通過對企業信息系統的信息安全方針,信息安全組織,資產管理、人力資源安全、物理和環境安全管理、通信學術研究和操作管理、訪問控制、信息系統獲取開發和維護,信息安全事故管理、業務連續性,符合性(IS027002要求的各個控制域)11個方面的處置,來建立企業信息安全管理體系。ISMS建設分為五個階段,有準備階段、風險評估階段、實施階段,運行階段和持續改進階段。

2.1 準備現狀調研階段

現狀調研階段的主要工作是對組織的信息安全管理相關政策、制度和規范、業務特征或服務、現有的組織情況、網絡信息與配置、日常操作與管理等內容進行調查,以了解組織業務,挖掘組織中存在的安全問題,分析組織內可能存在的信息安全風險,參照相關標準給出差距分析報告。可以采用文件審核、問卷調查、技術工具評估及現場訪談等方式進行。

2.2 風險評估階段

在準備階段工作的基礎上,根據IS027001標準的要求,對企業目前的信息安全現狀進行風險評估,通過風險評估確定風險管理計劃以及需要采取的控制措施。此外,通過風險評估,還可以了解到目前企業信息安全管理的現狀,為下一步編寫ISMS文件準備基礎資料。

2.3 架構設計階段

架構設計階段可以考慮從安全策略保障體系、安全組織保障體系、安全運行保障體系、安全技術保障體系、應急恢復保障體系、保密體系等方面構建組織的信息安全總體架構。

2.4 實施階段

實施階段將進行ISMS文件體系的策劃和編寫,確定需要編寫的文件數量以及各文件需要包括的控制措施。同時,將已有的操作規程、規范文件整理為具體操作手冊,作為三級文件,以指導信息安全管理體系項目的后繼實施,最終形成一整套符合企業信息安全管理現狀的、可實施的.文件化的信息安全管理體系。

2.5 運行階段

運行階段將依據建立的ISMS進行實施。主要的活動有認證機構的預審、對企業信息安全專員培訓、全員培訓和意識教育整改活動、記錄系統運行等各項活動。在體系運行一段時間以后,將通過內部審核的方式評審企業信息安全管理體系運行的符合性。

2.6 持續改進階段

項目的完成只是企業ISMS建立和完善的一個首要步驟。要通過內審與管理評審等持續改進活動,使企業的信息安全管理工作得到不斷的完善和提高。信息安全的最大挑戰在于必須面對各種各樣的威脅源、不斷更新和不可預知的方法、在不確定的時間對企業重要信息資產產生破壞,所以必須要有能夠進行持續改善的績效管理。

3.實施、運行ISMS需要注意的問題

4.1 提高風險意識,加強安全組織建設工作;以風險評估為基礎,提高風險管理的有效性;隊總體經營目標為核心,制定科學的安全管理策略;通過對企業安全管理流程及標準的建立,完善企業的安全運維體系及響應機制。

4.2 提高行業信息化管理水平,信息安全體系框架構建是關鍵。而信息安全體系框架構建必須管理、技術兩者雙管齊下。

4.3 循序漸進,動態管理。信息安全體系建設并不是一蹴而就的,是分步實施、循序漸進的過程。定期進行相關的安全評估,注重各層次、各方面、各時期的相互協調、匹配和銜接。根據當前的技術環境和安全意識的深化及時排查、修改、調整相關的安全策略。

篇4

 

在信息全球化的影響下,網絡已經對人們的生活產生出了極為深刻的影響。因此,人們對網絡環境下的信息安全問題也開始更加關注。在長期的發展過程中,人們將網絡比喻成了一把雙刃劍,雖然存在著較大的優勢,但是其問題也不容小覷。在企業中運用網絡,在促進企業發展的同時,也很容易造成企業中的信息出現泄漏的現象,且一旦信息泄漏,就會造成嚴重的影響。

 

1 企業中信息安全的重要性

 

企業想要實現長遠的發展,就要保證自身信息上的安全,同時還要認識到信息安全的重要性,從長遠的角度上出發來保護好信息。企業想要實現發展,就要做好基礎性的工作,完善基礎設施建設,建立出完善的信息安全保障系統,在健康的網絡環境下來實現長遠的發展。隨著科學技術的不斷發展,云計算、大數據以及互聯網等將引領著未來IT的發展[1]。

 

2 做好企業信息安全建設的措施

 

對于企業信息安全來說,是一項系統性的工程,并需要在技術與管理上做好相關工作,這樣才能保證信息的安全。因此,在實際中就要認識到技術在信息安全管理中的重要性,同時還要完善系統的管理工作,發揮出應有的作用與效果,同時還要做好風險評估與技術創新等工作,以此來保證企業中信息的安全。

 

2.1 安全風險評估

 

隨著網絡的不斷發展,信息的種類也開始逐漸增多,這樣所產生的問題也在不斷的增多,并呈現出了越來越厲害的趨勢,所以也就使得人們開始思考籌劃信息系統的過程中,為了保證系統的健康營運而建造出全面的安全保障系統。通過對目前的應用系統進行分析與評估等工作是實際可行的辦法。因此,在實際中企業中的信息系統根據風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析,以風險評估為最終結果來選擇出適當的措施,應對好可能出現的風險。企業只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析,采取有效的措施避免風險出現。

 

2.2 實際技術上的創新與管理

 

時代的發展是建立在創新基礎之上的,只有實現不斷的創新,才能實現更好的發展。因此,在技術不斷創新的影響下,就要提高其質量,保證效益,建立出以市場發展為基礎的創新機制。對于企業來說,想要在行業市場競爭中占據一席之地,就要做好創新工作,全面實現創新理念,認識到制度創新是技術創新的基礎,構建出完善的管理體系,提高程序以及方法上的科學性,同時還要保證財力上的支持,實現技術的改進與創新[2]。

 

首先,要做好技術上的創新。想要保證信息的安全,就要制定出信息的搶救措施,如進行數據恢復、備份以及銷毀等安全預防措施。普遍采用的恢復技術有HD Doctor等。對于網絡的正常運行來說,安全是最基礎的,想要保證網絡的安全,就要從多個層面上出發來進行立體保護。同時還要明確怎樣進行防護,掌握風險的來源。因此,在實際中就要對網絡安全風險進行評估,并將重點放在安全測試評估技術上。其目標是要掌握好相關的技術,完善的測評流程,健全風險評估的體系。

 

其次,完善管理措施。在長期的發展過程中,企業中的信息化建設開始從戰術地位向著戰略地位的方向發展了。因此,就要從經營戰略的層面上出發,將信息化建設與企業中的經營戰略結合在一起,在環境分析的基礎上來制定出發展戰略,及時對企業中的信息化綱領進行調整。同時還要明確的是要在滿足企業發展戰略的基礎上來明確企業中的信息化愿景。第一,建立出完善的管理制度,明確管理的方案,以及安全服務等方面的內容,從企業自身的實際情況上出發沒離開選擇可以保證企業自身信息安全的產品。第二,建立出運維管理制度。在這一制度中要包含安全監控、設備設施的安全以及應急預案的處理等方面。第三,將監督檢查機制落實到實際中去。通過對各項制度的實際情況進行檢查,可以保證企業中信息的安全[3]。

 

2.3 充分運用防火墻技術

 

在網絡信息安全的管理中,防火墻技術屬于一項較為有效的安全技術,能夠按照特定的規則,從而來允許以及限制數據的通過。現今很多企業都廣泛應用防火墻技術,以此來保證自身企業的信息安全。并且防火墻自身具有很強的抗攻擊性,不會被病毒所控制。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全。同時防火墻技術能夠將內部的網絡進行劃分,從而來將重點的網段進行隔離,以此來對其進行保護。另外,一些防火墻技術也會支持互聯網服務特性的企業內部構建網絡技術體系,也即是所謂的VPN,VPN會將全球的LAN以及電子網進行整合,從而來專用通信線路,實現資源的共享。

 

3 結語

 

總的來說,想要保證企業中的信息安全,就要堅持從信息安全技術與做好內部管理工作上出發,通過安全技術的支撐來提高內部管理工作的效果,同時還要落實管理與監控工作,加強信息安全教育,建立出完善的管理制度,提高安全管理的水平。

篇5

【關鍵詞】信息安全 管理 控制 構建

1 企業信息安全的現狀

隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。

2 企業信息系統安全防護的構建原則

企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:

2.1 建立企業完善的信息化安全管理體系

企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。

2.2 提高企業員工自身的信息安全防范意識

在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。

2.3 及時優化更新企業信息安全防護技術

當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。

3 企業信息安全體系部署的建議

根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:

3.1 實施終端安全,規范終端用戶行為

在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。

3.2 建設安全完善的VPN接入平臺

企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。

3.3 優化企業網絡的隔離性和控制性

在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。

3.4 實現企業信息安全防護體系的統一管理

為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。

4 結束語

信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。

參考文獻

[1]郝宏志.企業信息管理師[M].北京:機械工業出版社,2005.

[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡,2008(7):48-49.

作者簡介

常勝(1982-),男,回族,天津市人。現為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規劃部署。

篇6

【關鍵詞】 信息技術 電網企業 網絡信息 安全管理

一、我國電網企業網絡信息發展現狀

近幾年來,我國電網企業網絡信息發展迅猛,電網企業信息化基礎設施較為完善,電網企業和其他企業相比信息化程度相對較高,電網企業各部門人員都使用計算機進行辦公。電網企業營銷管理系統應用廣泛,我國各地區電網企業都建立了網絡信息管理系統,電網企業業務受理都呈現出信息化特征。隨著信息技術的不斷提高,我國電網企業網絡管理信息系統逐漸建立起來,并在一定程度上得到推廣,國家電網企業大力開展網絡管理信息系統建設,在電力生產、電力設備使用、安全監督和電力營銷等方面都應用到網絡管理信息系統,電網企業的網絡化和信息化增強,電網企業將網絡信息建設和管理放到首位,旨在通過信息技術推動電網企業的可持續發展。

二、電網企業網絡信息安全管理中存在的問題

1.信息化機構建設尚不完善。電網企業網絡信息部門沒有受到足夠的重視,電網企業信息管理部門沒有在企業內部設置專門的信息化機構,電網企業沒有科學合理的信息管理崗位,電網企業信息管理部門建設落后,信息化機構建設尚不完善,電網企業缺乏專業技能良好、綜合素質較高的復合型人才。2.電網企業網絡信息化管理水平低下。和我國信息技術的發展和應用相比,國家電網企業網絡信息化管理水平相對較低,電網企業沒有對網絡信息化管理進行不斷優化和革新,雖然我國很多電網企業都將先進的信息系統和網絡管理系統運用到企業運營中,但是并沒有及時對電網企業的網絡信息管理模式進行革新和完善,這就導致網絡信息系統不能達到預期的使用效果。

三、加強電網企業網絡安全管理的有效措施

1.重視電網企業網絡信息安全規劃。對我國電網企業網絡信息進行規劃的主要目的是提升網絡信息系統的安全性,對電網企業網絡信息系統的安全問題進行全面考慮,對電網企業網絡信息安全進行科學合理的規劃,建立全面統一的網絡信息安全管理體系,能在一定程度上提高電網企業網絡信息的安全性。

2.合理劃分網絡安全區域。要對電網企業網絡安全區域進行合理劃分,根據電網企業各部分網絡信息的安全密級和安全規劃對網絡安全區域進行科學合理的劃分,通常情況下可以將電網企業網絡安全區域劃分為三部分,即重點防范區域、一般防范區域和完全開放區域,這樣才能實現電網企業網絡信息的安全管理,使得個網絡區域的工作能夠順利開展。

3.加強網絡信息安全管理和制度建設。為確保電網企業網絡信息的安全性良好,電網企業應該將網絡信息安全管理和相關制度建設當做重點內容,對電網企業網絡信息日志進行嚴格管理和安全審計,充分利用防火墻和入侵檢測系統的審計功能,對電網企業網絡信息日志進行準確記錄。重視并加強電網企業網絡信息管理制度建設,明確電網企業從業人員的職責和義務,制定網絡信息安全事故應急處理程序,加強電網企業網絡信息管理基礎設施建設,確保網絡信息系統運行環境良好,電網企業應該做好防火防水設計,確保電網企業網絡信息系統安全性能良好,運行可靠。

4.加強電網企業網絡信息管理人員的綜合培訓。電網企業網絡信息管理人員的專業水平和綜合素質對網絡信息安全具有極大的影響,電網企業必須重視并加強網絡信息管理人員的綜合培訓,提高網絡信息高級管理人員的綜合能力,使其了解網絡信息安全管理的策略及目標,制定科學合理的電網企業網絡安全管理制度。加強網絡信息系統安全運行管理和維護人員綜合能力的培訓,使其能夠充分理解電網企業網絡信息安全管理策略,掌握網絡信息系統安全操作和維護技術。讓網絡信息管理人員充分了解網絡信息安全操作流程,獲得全面的電網企業網絡信息安全知識,提高網絡信息管理人員的安全意識和技能,確保網絡信息管理人員專業水平較高,綜合素質良好,使其在電網企業網絡信息系統運行、管理和維護上充分發揮自己的職能。

總結:隨著信息技術的快速發展,電網企業信息化成為一種必然的發展趨勢,電網企業在電力生產和運營的過程中只有做好網絡信息安全管理工作,在不斷的實踐過程中發現電網企業網絡安全管理中存在的問題,探索出加強電網企業網絡信息安全管理的有效措施,才能實現電網企業的可持續發展。

參 考 文 獻

[1]朱貴強.論企業網絡信息安全管理[J].中國科教博覽,2005,(6).

[2]閆斌,曲俊華,齊林海.電力企業網絡信息安全系統建設方案的研究[J].現代電力,2003,(1).

篇7

【關鍵詞】電力企業;網絡;信息安全管理;研究;建議

當下時代,網絡信息技術應用十分廣泛而且方便,而作為各種行業之中最為重要的電力企業同樣也需要網絡信息技術,運用網絡信息技術,可以給電力企業帶來快速,高額的經濟效益,但是一旦發生網絡信息泄露,或者是信息數據被別人盜取或者修改,經濟效益將會受到很大的損失。所以說當務之急是所有的電力企業,都應該仔細地面對和研究現在網絡信息安全的問題,然后提出合理的措施來預防事故的發生,保護保護我國電力企業網絡信息安全刻不容緩。

1當下中國電力企業網絡信息安全的問題與現狀

1.1網絡信息技術對于電力企業的重要性

如今是21世紀,網絡信息技術迅速發展,作為國家重中之重的電力企業對于網絡技術的應用更是十分完善,而具體到各個部門各個機關,也會有他們自己相應的局域網進行日常的工作和管理,網絡信息技術,可以說是,電力企業的燃料,一種不可缺失的依靠。據資料顯示,電力企業的各大崗位對于,網絡的使用率將近達到了百分之百,例如,發電生產自動化監控系統,就是利用網絡信息技術與電力企業的結合,很大的提高了生產過程和電力調度的自動化水平,而我國各大電力企業,都在,盡快地規劃企業信息化發展,全力建設我們的企業信息化工程,從而實現電力工業現代化,信息化。

1.2目前我國電力企業網絡信息安全的現狀

以時間為線,我們可以發現全球那計算機犯罪,屢發不止,雖然為了維護網絡信息安全,都在努力升級和維護防衛系統,但是黑客們的電腦病毒,也是隨著時代的發展而不斷更新,我們電力企業對于網絡信息安全的維護,是一個長久的計劃,1分1秒都不能松懈,然而近年來經常發生的信息安全受損事件可以充分證明,我們對于硬件和軟件的更新,還未能做到完善,對于網絡信息的安全管理措施落實的還不到位,我們電力企業的網絡安全防護能力還沒有跟得上時代與技術的發展,維護工作并沒有做好。

1.3目前我國電力企業網絡信息安全的問題

首先最明顯的一點問題,就是我國電力企業對于網絡安全的意識不高,極度缺少負責網絡安全的人才,網絡信息安全問題未能在員工們之間得到重視,員工只注重網絡系統是否方便快捷,認為信息安全隱患不會發生在自己的身邊,于是讓計算機犯罪有了可乘之機。還有我們電力企業內的硬件設施,和軟件,看似性能配置都極佳,但是還有可能有一部分設備本身,就有著缺陷和安全漏洞的存在,部分技術先進的黑客輕而易舉的就能入侵到我們的電力企業內部之中,黑客技術嫻熟的網絡黑客常常最先攻擊涉及國計民生的電力企業系統。最后一點問題就是我們的網絡安全防護能力雖然日益增強,但是還不能完全防止網絡安全信息事故的發生,一旦受到黑客的攻擊,電力企業內部的數據損失,或者被盜竊,很難找回這些數據,因為我們沒有一個完善的系統來備份或者恢復數據。

1.4電力企業網絡信息安全問題出現的原因

對于企業內部信息系統的訪問應該局限于內部員工,身份認證這一關沒有把好關就會帶來漏洞。眾所周知微軟已經停止了對WindowsXP的技術服務,所以系統本身的漏洞無法修補,然而我們國內很多電力企業的計算機應用著這個系統,風險自然會增加。另一方面我國電力企業管理層人員的網絡安全意識極度貧乏,雖然部分歲數較小的管理員工具有一定的網絡安全意識,但是由于缺乏電力企業網絡信息安全方面的知識,也無法保證企業信息的安全,管理層尚且如此,員工們得不到企業的管理和培訓,更無法有效地保護好企業信息。最重要的是電力企業很少專門的為信息安全部門設置機構,缺乏信息安全管理機制,部分電力企業甚至只讓一名相關人員負責。這樣是遠遠無法滿足一個企業信息安全的需要。

2管理電力企業信息安全的措施

2.1加強網絡信息安全意識的宣傳和培訓

電力企業信息安全管理應以人為本,把網絡信息安全的重要性落實到每個人,切實加強各個層次員工的信息安全意識,同時培訓提高工作在信息安全管理一線的員工的技能水平,只有提高了工作人員的意識,下一步計算機程序的完善才有了意義。網絡信息安全意識應該被寫入電力企業文化之中。尤其是專業做電力企業網絡數據安全的更為稀少,所以還應加強對于此類人才的招聘與培養,為長久的安全防護工作埋下種子。

2.2建立完善的信息安全管理制度

為了維護電力企業信息網絡安全,必須建立完善的網絡信息安全管理制度,企業中每個部門的領導都應重視起來,向自己屬下的各個部門施壓,促使各個部門重視并落實網絡信息安全的有關工作。管理層應嚴格要求員工做好自己相應的工作。企業內部還應設立一個專門的網絡小組,能夠全天候地進行網絡信息安全的檢查和管理,及時的做出反應維護網絡信息安全。還應設置專門的人員對設備進行定期的統計和檢查,電力企業內部的數據還應該有專人進行備份。各個部門各司其職才能安全的維護好企業內部的數據安全。

2.3做好規劃和分區管理

解決網絡安全問題不能治標不治本,要從根本上解決問題就需要從長遠的角度出發,做好詳細的全面的規劃,系統地去調研和思考怎樣能夠有效維護企業網絡信息安全,因此建立一套完善的網絡企業信息安全管理系統是尤為重要的。信息安全管理體系建立好以后就需要著手于分區的工作了,規劃是以時間為線,而分區是以部門為線。據資料顯示,當下電力企業內部的網絡安全系統,對于安全區域的劃分是分為三個重點劃分對象,分別為防范區域重點區域和開放區域,這三個重點劃分對象,應該要進行嚴格的措施來進行防護,應該設置嚴格的規則來限制訪問,提高安全級別,另外對于一些非常重要的數據服務器還有數據庫,更要加強管理并放置在安全區域。

2.4做好定期更新和檢查工作

制定的管理制度要求員工必須要嚴格遵守,管理人員本身也應該嚴格的按照工作制定計劃進行,電力企業方面也應該組織專門的小組,來進行定期的檢查,用高頻的更新工作來更好地進行防范。對于網絡信息安全管理系統也應該定時的進行更新完善,不斷地加強信息安全的技術和應用,對于工作工資工作中出現的問題進行定點定時的解決,例如數據的恢復與備份,病毒防御的應用,訪問權限的限制等方面,都需要不斷的探索進行技術更新才能增加企業內部網絡信息安全系統的防御力,為企業的運行打下堅實的基礎。只有這樣才能使電力企業的網絡信息安全管理系統持續煥發活力,持續地為企業的運行保駕護航。

3結束語

根據上文,要想有效地維護好電力企業網絡的信息安全,系統完善地做好安全管理工作,使我國的電力企業可持續發展,首先應該了解到網絡信息技術對于電力企業的重要性,以及目前我國電力企業網絡信息安全的現狀,和我國電力企業網絡信息安全面對的問題,對于上文提到的電力企業網絡信息安全問題出現的原因,對癥下藥,通過加強網絡信息安全意識的宣傳和培訓,建立完善的信息安全管理制度,做好規劃與分區管理,以及定期的更新和檢查工作,治標且治本的,使網絡信息安全管理系統持續地為維護電力企業網絡信息安全工作。電力企業管理層與各部門協同合作,不斷地發展和更新技術,從而有效地落實網絡和信息安全管理工作。

參考文獻

[1]楊天坤.發電企業網絡信息安全管理分析[J].電子制作,2013(10):102.

[2]朱琳娜,盛海港.網絡信息安全管理在電力企業中的應用[J].中國電力教育,2010,S2:132~136.

篇8

【關鍵詞】電力企業;網絡信息;安全管理

【中圖分類號】TU714 【文獻標識碼】A 【文章編號】1672—5158(2012)08—0144-02

隨著網絡和計算機技術的不斷發展,人們越來越離不開網絡,網絡不但給用戶帶來便利,還帶來了信息安全問題。本文分析了電力企業網絡信息安全管理存在的問題,并提出了相應的完善措施。

一、電力企業網絡信息安全管理存在的問題

(一)電腦病毒的威脅

對所有的電腦用戶來說,不得不面臨的主要問題就是電腦病毒的威脅,電力企業也是如此,計算機病毒會從各種渠道傳播到計算機中,使電力企業的網絡系統出現問題。電腦病毒不但會影響計算機的運算速度,還會破壞計算機的硬件和軟件,并且電腦病毒的感染速度極快,只要計算機連接一個含有電腦病毒的移動存儲設備,就可以使計算機感染電腦病毒,并且企業網絡環境的變化也會導致計算機感染病毒。

(二)信息的安全問題

在網絡信息的存儲和傳遞中,不可避免都會出現相應的網絡安全問題。在電力企業存儲信息的時候,通過介入外部的互聯網,會導致企業內部一些商業機密被網絡黑客盜取,從而給企業帶來相應的損失。在信息的傳輸過程中,也會造成企業內部信息被非法截取,使得商業機密泄露,除此之外,一些黑客人員還會運用非法手段來篡改企業的信息,使得企業的數據出現錯誤,造成信息混亂,給企業員工的工作帶來巨大的影響。因此,如果不有效的解決電力企業的信息安全問題,就會給企業帶來嚴重的損失和破壞,嚴重的甚至會危機國家和社會的財產安全。

(三)管理人員素質風險

現今,許多企業存在重技術、輕管理的情況,沒有完善的安全管理制度,并且管理人員普遍信息安全意識不強,這也就在一定程度上提高了網絡風險,并且企業網絡管理員配備不當也是造成企業信息安全問題的主要原因。除此之外,對于電力企業來說,來自內部的風險是非常主要的安全風險,特別是網絡管理人員,不經意間泄露的重要信息,都將可能成為導致系統受攻擊的最致命的安全威脅。

(四)設備本身與系統軟件存在漏洞

由于電力企業的信息化發展較為緩慢,所以這就很可能造成電力企業很多設備和軟件存在安全漏洞,給電力企業帶來許多不良的安全問題。電力企業信息網絡的操作系統、數據庫存在安全漏洞,并且信息存儲的介質受到損壞,就會造成大量的信息泄露或者丟失。除此之外,由于計算機設備工作時產生的輻射電磁波也會使電力企業網絡信息存在安全問題,一些電力企業沒有按照相關的要求及時的升級和修復防范軟件,這就給網絡信息安全帶來一定的威脅。

二、完善電力企業網絡信息安全管理的措施

(一)提高企業內全體員工的安全意識

目前,造成電力企業網絡信息存在安全問題的其中一個主要問題就是用戶的安全意識淡薄,對網絡信息的安全不夠重視,并且缺乏相應的防范措施。這些問題主要是因為電力企業網絡信息管理不完善,缺乏相應的安全管理責任制,因此,必須提高用戶的安全意識,使他們自覺的修補計算機的操作系統和安全漏洞,并且及時的升級防毒軟件和防火墻,掌握安全評估的基本方法,對安全操作和維護技術的合理運用,使電力企業的網絡信息處于安全的環境當中,只有這樣才可以做好電力企業網絡信息安全管理,減少網絡的威脅。

(二)進行網絡安全風險評估

電力企業想要從根本上解決網絡安全問題,除了要從技術上面考慮以外,還應該做好網絡安全風險評估工作。網絡的安全離不開各種安全技術的實施,現在市面上有各種安全技術產品,想要選擇合適的安全技術產品,首先應該進行可行性的分析,對電力企業存在的網絡信息風險進行分析,并且對收益與付出進行比較,了解安全技術產品在電力企業中使用的效率,看下哪一個產品更加適合電力企業降低網絡信息安全的需求。對電力企業來說,弄清楚網絡信息存在的風險,并且評估這種風險帶來的威脅和影響,只有這樣才可以制定相應的安全管理策略,從而有效的提高電力企業網絡信息的安全。

(三)完善網絡防病毒體系

由于計算機病毒會廣泛的傳播,并且對網絡用戶的數據具有嚴重的破壞力,隨著網絡技術的不斷發展,計算機病毒給網絡用戶帶來的損失也越來越大,嚴重影響了電力企業網絡系統的運行。因此,為了使電力企業免受病毒的侵害,作為網絡管理人員應該建立從主機到服務器的完善的防病毒體系,建立健全的網絡信息管理制定,以此來有效的提高電力企業網絡信息的安全管理。

(四)建立企業網絡信息安全文化

作為電力企業網絡管理人員,應該建立企業網絡信息安全文化,重點掌握企業信息安全的整體策略和目標,安全體系的建立和網絡信息安全管理制度的制訂。負責信息安全運行和維護的技術人員,應該對信息安全管理有一個充分的了解,并且掌握安全評估的基本方法,能夠合理的運用安全操作和維護技術,提高安全管理人員的綜合素質,使他們具備承擔安全職責的能力,只有這樣才可以降低電力企業網絡信息安全風險,使電力企業免遭黑客和病毒的入侵,確保網絡信息的安全。

(五)開展電力企業內部的全員信息安全教育和培訓活動

在電力企業發展中,信息安全不但是整個信息網絡部門的事情,還是企業內所有員工的職責,因此,為了提高電力企業網絡信息安全管理的力度,就應該對企業內所有的員工進行信息安全教育,并開展相應的培訓活動,以此來有效的避免由于失誤造成企業內部出現安全風險。電力企業應該做好宣傳工作,提高企業內所有員工對網絡信息安全的認識,向每一位員工普及網絡安全操作流程,使他們掌握基本的安全管理策略。除此之外,主管部門和各級管理人員,應該清楚掌握信息安全體系的構成情況,建立相應的管理責任制,每個部門每個員工都應該從自己做起,完善自己所用計算機的病毒軟件和防火墻,防止網絡病毒有機可乘。

三、結束語

綜上所述,想要提高電力企業網絡信息安全管理,首先應該提高企業內全體員工的安全意識,建立企業網絡信息安全文化,并且完善網絡防病毒體系和進行網絡安全風險評估,開展電力企業內部的全員信息安全教育和培訓活動,只有這樣才可以確保電力企業的網絡信息安全,避免網絡安全風險的產生。

參考文獻

[1]林世溪,林小迪.電力企業網絡信息安全防護體系的建立[J].華東電力,2010,(05)

[2]朱琳娜,盛海港.網絡信息安全管理在電力企業中的應用[J].中國電力教育,2010,(s2)

[3]汪潔,易予江.電力企業信息網絡安全分析與對策[J].電力信息化,2008,(10)

篇9

(1)內網網絡結構不健全。

現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。

(2)存在于網絡信息化機構漏洞較多。

目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。

(3)職工安全防范意識不夠。

想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。

2網絡信息安全管理在供電企業中的應用

造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。

3結語

篇10

開放、互聯的信息技術與信息安全就像一把雙刃劍。一方面,企業需要借助信息技術或信息系統集中信息并開放共享;另一方面,企業的核心信息資產又在不斷外泄,引發無數信息安全問題。一談到信息安全,首先想到的是網絡安全,比如防火墻、入侵檢測、漏洞掃描、數據加密等傳統意義上的網絡底層安全防護。但從廣義上來講,隨著信息化建設的不斷深入,企業的信息資產對經營的貢獻比重越來越大。尤其在信息訪問越加便捷的前提下,根據市場競爭的需要,企業需要源源不斷地將信息不同程度地開放給客戶、供應商、員工等,企業的信息資產也越來越暴露在更多的威脅之中。信息的三個安全特性,即完整性、保密性和可用性。(1)信息完整性風險管理。一方面,要保證信息在收集、加工過程中不能被惡意篡改、不能丟失、被竊取、損壞等;另一方面,也常為人忽視的是加工過程本身的科學性,需要防范因不恰當的加工方式而導致的數據失效或結果錯誤。(2)信息保密性風險管理。主要是指要保障沒有被授權的用戶無法使用信息系統,訪問相應的資源。防止該類用戶訪問、通過非法手段攻擊破壞企業信息資產。(3)信息可用性風險管理。主要是指保障被授權用戶可以順利、快速訪問信息資產,保障信息系統穩定性和可用性。以上三個特性,同時也是信息安全風險管理的主要內容,管理過程包括風險識別、風險評估和風險控制三個步驟。

2企業信息安全風險識別

由于涉及企業的核心信息資產,所以相應的信息安全風險點分布在企業管理的各個環節和層面。但是由于種種原因,目前國內企業對信息安全風險管理的認識仍不到位。總體來說,有以下主要問題,也是常見的信息安全風險管理的風險點。(1)信息安全組織和制度保障不足。沒有有效的信息安全管理組織機構,就無法有效地制定、執行安全管理策略,更無法進行有效的信息安全協作。信息安全管理制度通常都有,但很少有單位能夠嚴格執行,信息安全的政策制定也常常不符合標準,導致可操作性比較差或者達不到控制的目的。(2)信息安全相關人員意識不足。信息安全雖然已經被很多企業提到戰略高度,但更多停留在口頭上和管理層。大部分企業人員比較缺乏信息安全意識,安全事件報告不及時;對各自崗位相關的信息資產職責了解不清,對信息系統的錯誤操作導致信息泄密的事件屢有發生;部門單位還存在因人員流動導致的信息資產不連續等問題。(3)傳輸、存儲信息資產的設備與網絡存在安全隱患。部分企業存在網絡有安全漏洞、存儲設備老舊、數據資產缺乏備份機制等常見問題,一旦受到網絡入侵、病毒攻擊,或者發生硬件及性能問題,會導致信息資產大量泄漏或損壞。(4)訪問控制及用戶權限管理存在漏洞。在信息系統的實施階段,為了便于用戶測試或其他目的,部分用戶權往往限過大。隨著系統正式上線及應用,相應權限又由于種種原因沒有調整,對信息安全也留下了比較大的隱患。(5)軟件系統及業務持續性風險。因為國產化和自主開發的趨勢逐漸確立,大量企業選擇自行開發軟件系統,由于軟件開發技術而導致軟件本身存在一定漏洞,相應的開發質量存在隱患,連帶的如運維、業務持續性風險均應相應考慮。

3企業信息安全風險評估和控制

考慮到每個企業均有自身特點,面臨的信息安全風險點也不同。按照通常的信息安全風險管理理論,在完成上節所述的風險識別之后,需要進行詳細的風險評估和風險控制。信息安全風險評估是指確認風險大小程度的過程,主要是要借用適當的風險評估工具和模型,包括定量的或者定性的方法,對信息安全風險點造成的影響進行評估,以確定風險的大小和控制方式。其主要目的是為了確定風險的大小并量化,從而可以采取適當的控制目標和控制方式開展風險控制工作。信息安全風險控制的作用體現在對組織信息安全的保障上,其有效性體現在當企業面臨信息安全風險時對風險控制的有效程度,換句話說,在信息安全風險評估的基礎上,考驗控制力度的有效性就是損失的程度,損失的越少越有效。反之,則控制無效。另一方面,信息安全風險控制也是需要成本的,控制力度大小與成本通常成正比關系,而且在達到一定程度之后,控制力度增長比例較小可能帶來成本大幅增加。因此,信息安全風險控制的總體目標,是以最小的投入將信息安全面臨的風險控制在組織可接受的范圍內。

4結語