企業(yè)信息安全現(xiàn)狀范文

時間:2023-10-10 17:42:34

導(dǎo)語:如何才能寫好一篇企業(yè)信息安全現(xiàn)狀,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

企業(yè)信息安全現(xiàn)狀

篇1

關(guān)鍵詞:信息安全;現(xiàn)狀;策略

     信息安全管理已經(jīng)成為企業(yè)加強信息化進(jìn)程以及提高企業(yè)管理水平的一項重要內(nèi)容,它是確保企業(yè)信息管理系統(tǒng)高效運行,促進(jìn)企業(yè)健康、穩(wěn)定發(fā)展的一個重要前提。近幾年來,隨著ERP在企業(yè)中的投入使用,使企業(yè)的信息化工作內(nèi)容得以拓展,企業(yè)對信息系統(tǒng)的安全性也日益關(guān)注,怎樣保證信息系統(tǒng)的安全、高效,已經(jīng)成為擺在各個企業(yè)面前的一項重要課題。

1.信息安全管理意義

1.1信息安全是企業(yè)實現(xiàn)可持續(xù)發(fā)展的需要

隨著計算機網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,如何確保涉及到企業(yè)經(jīng)營發(fā)展的各種信息、資料的安全性,已經(jīng)成為企業(yè)必須要解決的一個問題?,F(xiàn)階段,大多數(shù)企業(yè)的數(shù)據(jù)信息,甚至是關(guān)系到企業(yè)戰(zhàn)略規(guī)劃的重要信息,都是以電子文件的形式進(jìn)行保存的,對于企業(yè)來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設(shè)想的。因此,企業(yè)必須要具有預(yù)見性與前瞻性,要站在戰(zhàn)略發(fā)展的高度來看待信息安全問題,必須建立起一套操作性強的防范機制,要從操作系統(tǒng)、芯片技術(shù)以及網(wǎng)絡(luò)建設(shè)等方面入手,就安全保障體系進(jìn)行積極構(gòu)建。

1.2信息安全是實現(xiàn)企業(yè)平穩(wěn)、健康發(fā)展的前提

現(xiàn)階段,我國企業(yè)的信息安全建設(shè),還沒有形成一個成熟,可供廣泛借鑒的安全體系,同時基礎(chǔ)也相對薄弱,這些問題都亟待解決。而且信息安全已經(jīng)成為關(guān)系企業(yè)未來發(fā)展的一個重要問題,我們必須要認(rèn)清加強企業(yè)信息安全建設(shè)的緊迫性,要從維護(hù)企業(yè)利益的角度來看待信息安全建設(shè)問題,做好基礎(chǔ)設(shè)施的建設(shè)工作,以及信息安全體系的構(gòu)建工作,實現(xiàn)企業(yè)的平穩(wěn)、健康發(fā)展。

1.3信息安全是知識經(jīng)濟時展的需要

計算機網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,使得企業(yè)內(nèi)部各部門之間的信息交換,以及企業(yè)對外部信息的獲取日益頻繁,這也令企業(yè)對網(wǎng)絡(luò)技術(shù)愈加依賴,計算機網(wǎng)絡(luò)技術(shù)對整個商業(yè)運作方式也帶來了巨大的影響,從而出現(xiàn)了電子商務(wù),也對企業(yè)生產(chǎn)方式、經(jīng)營理念,產(chǎn)生了巨大的沖擊,推動了企業(yè)發(fā)展以及現(xiàn)代經(jīng)營理念的構(gòu)建。但是,信息的安全問題也日益突出,比如信息在存儲、處理以及傳輸過程中經(jīng)常存在著被非法截取、惡意破壞以及篡改的現(xiàn)象。所以,信息安全是知識經(jīng)濟時代這一大背景下,企業(yè)發(fā)展必須要解決的問題。

2.信息安全管理的現(xiàn)狀

2.1信息管理的安全意識方面

人員、機器設(shè)備、原材料、制度是一個企業(yè)在進(jìn)行生產(chǎn)經(jīng)營時不可缺少的幾個基本要素,隨著知識經(jīng)濟的到來,信息的重要性日益受到企業(yè)管理界的認(rèn)同,信息也理所當(dāng)然的成為生產(chǎn)經(jīng)營過程中,不可或缺的一個非常重要的因素。但是就目前的企業(yè)對信息安全管理的重視程度來看,遠(yuǎn)遠(yuǎn)還不夠,忽視對企業(yè)內(nèi)部各種信息資產(chǎn)的保護(hù),其結(jié)果必然會為企業(yè)帶來無法估計的損失,因此,企業(yè)必須要提高對信息管理安全系統(tǒng)的認(rèn)識,積極構(gòu)建、完善這一系統(tǒng),保證企業(yè)信息的安全。

2.2網(wǎng)絡(luò)協(xié)議方面

我們在對計算機信息系統(tǒng)進(jìn)行安全維護(hù)時,保證網(wǎng)絡(luò)協(xié)議的安全是維護(hù)系統(tǒng)安全的一個重要問題,但是計算機系統(tǒng)的部分協(xié)議,比如TCP/IP 協(xié)議,這部分協(xié)議以及其構(gòu)架通常也是在因特網(wǎng)上進(jìn)行共享的,這樣必然會為系統(tǒng)的安全埋下隱患。而且這也是計算機信息系統(tǒng)安全構(gòu)成威脅的一個主要來源,而它對計算機系統(tǒng)的破壞是巨大的。所以,我們在對計算機信息系統(tǒng)進(jìn)行維護(hù)時,必須要關(guān)注到這一點,杜絕類似事件的發(fā)生。現(xiàn)階段,注意網(wǎng)絡(luò)不明信息、非法訪問以及網(wǎng)絡(luò)協(xié)議等對系統(tǒng)安全構(gòu)成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們在構(gòu)建企業(yè)信息網(wǎng)絡(luò)系統(tǒng)時,必須要考慮的問題。

2.3信息安全產(chǎn)品本身存在的問題

通常情況下,多數(shù)企業(yè)在建設(shè)信息管理系統(tǒng)的同時,也采用了相關(guān)的信息安全產(chǎn)品。如果信息安全產(chǎn)品本身存在著漏洞的話,這必然會直接導(dǎo)致企業(yè)信息系統(tǒng)安全機制的失效。但是計算機系統(tǒng)的安全隱患絕不局限于產(chǎn)品本身存在的缺陷,如果信息安全產(chǎn)品本身是完善的,不存在著任何缺陷與隱患,但是我們在使用產(chǎn)品的過程中,會因為用戶配置、操作上的失誤,或者對產(chǎn)品安全性能不夠了解,使其性能降低,而起不到保護(hù)系統(tǒng)安全的作用也是有可能的。

2.4資金投入不夠

我國企業(yè)想要對信息安全系統(tǒng)進(jìn)行構(gòu)建,就必須投入大量的資金,同時還要吸引IT人才,加入到信息安全系統(tǒng)建設(shè)團隊。但是就目前我國信息安全系統(tǒng)構(gòu)建的現(xiàn)狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個項目如果缺少資金投入,那么一切都是空談。筆者在實際工作中發(fā)現(xiàn),有些企業(yè)非常重視硬件設(shè)備的投入,但軟件投入比較滯后,這就使硬件部分強大的功能無法得到充分發(fā)揮。

3.加強信息安全管理的策略

3.1提高信息管理的安全意識

隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)犯罪有逐年上升的趨勢,電腦病毒、網(wǎng)絡(luò)黑客對計算機系統(tǒng)的攻擊與日俱增,企業(yè)必須出于自身利益的考慮,來加強信息安全管理方面的建設(shè),首先要從加大宣傳,提高安全意識方面入手。企業(yè)可以定期舉行有關(guān)信息管理安全意識方面的講座、報告以及相關(guān)的培訓(xùn)教育工作,使領(lǐng)導(dǎo)干部、普通員工提高對信息管理安全的重視程度,使安全防范意識深入人心,這樣有利于加強信息安全管理工作的全面展開。

3.2設(shè)計加密體制對系統(tǒng)進(jìn)行保護(hù)

當(dāng)今社會是一個信息化程度高度發(fā)達(dá)的社會,人們利用互聯(lián)網(wǎng)對信息進(jìn)行收集、整理、分析、處理的程度越來越高,這樣必然會導(dǎo)致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發(fā)生問題,對企業(yè)造成的危害是無法想象的。針對網(wǎng)絡(luò)所存在的安全隱患,我們可以采用加密系統(tǒng)對網(wǎng)內(nèi)數(shù)據(jù)、文檔以及口令進(jìn)行保護(hù)。如此一來,我們在網(wǎng)上進(jìn)行數(shù)據(jù)傳送的過程,也更具針對性。加密管理過程,通常分為鏈路加密、節(jié)點加密與端點加密三個種類,我們可以根據(jù)企業(yè)的實際需求進(jìn)行選擇。

3.3加強系統(tǒng)軟件方面的建設(shè)

一般來說,計算機無論使用哪一種版本的操作系統(tǒng),都會存在著一定的安全隱患,這個世界沒有十全十美的東西,我們對操作系統(tǒng)也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統(tǒng)的安全性,以期對操作系統(tǒng)進(jìn)行很好的維護(hù)。比如對數(shù)據(jù)庫軟件、計算信息管理軟件進(jìn)行更新,終端操作系統(tǒng)要與數(shù)據(jù)庫操作系統(tǒng)在版本上要統(tǒng)一,這樣可以便于管理,提高信息管理系統(tǒng)的防御能力。

3.4增加企業(yè)信息安全建設(shè)的投入

信息化已經(jīng)成為社會發(fā)展的一個主流趨勢,企業(yè)必須要借助好這個“東風(fēng)”,來加強自身的信息安全建設(shè)。任何一個項目的啟動,都離不開資金的投入,企業(yè)必須為信息安全建設(shè)提供物質(zhì)基礎(chǔ),比如購置專用服務(wù)器、軟件以及將IT資產(chǎn)外包等等,保證信息安全建設(shè)的順利完成。

4.總結(jié):

綜上所述,信息安全對企業(yè)的發(fā)展有著非常重大的意義,它不但是企業(yè)自身實現(xiàn)可持續(xù)發(fā)展的需要,也是知識經(jīng)濟時代背景下,企業(yè)的必然選擇,我們可以從提高信息管理的安全意識;設(shè)計加密體制對系統(tǒng)進(jìn)行保護(hù);加強系統(tǒng)軟件方面的建設(shè);增加企業(yè)信息安全建設(shè)的投入等方面入手,加強企業(yè)信息安全管理方面的建設(shè)。

參考文獻(xiàn):

[1]姜樺,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報,2009,(01) .

篇2

關(guān)鍵詞:信息安全;威脅;管理模式;桌面終端

在當(dāng)今的信息時代,我們的生活和工作方式受到信息技術(shù)發(fā)展的巨大影響,時時刻刻都在發(fā)生著改變,而現(xiàn)行企事業(yè)單位的管理模式也在這種“大環(huán)境”下不斷地推陳出新。作為各大國有企事業(yè)信息管理部門,必須考慮到當(dāng)前技術(shù)的發(fā)展給我們的工作帶來的機遇和威脅。

一、當(dāng)前信息網(wǎng)絡(luò)的安全形勢

目前,幾乎所有企業(yè)、事業(yè)單位、行政部門都面臨著內(nèi)部信息泄漏的問題。FBI對484家公司調(diào)查顯示:85%的安全損失是由企業(yè)內(nèi)部原因造成的。面對來自于公司內(nèi)部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務(wù)器上重要文檔丟失;由于沒有設(shè)定員工在系統(tǒng)內(nèi)的訪問權(quán)限,使一些業(yè)務(wù)秘密出現(xiàn)在本不應(yīng)有查閱權(quán)的員工計算機上,并不小心將其泄露……對于這些來自公司內(nèi)部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網(wǎng)絡(luò)風(fēng)險”、“軟件風(fēng)險”日益嚴(yán)重的今天,都已經(jīng)不足以讓人信任和依賴。

據(jù)調(diào)查統(tǒng)計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統(tǒng),而這些系統(tǒng)的安全漏洞及系統(tǒng)缺陷非常多。雖然微軟公司會通過定期在網(wǎng)站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發(fā)的軟件進(jìn)行不斷地更新和升級,但由于終端用戶缺乏相關(guān)知識,導(dǎo)致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內(nèi)部網(wǎng)絡(luò)安全。

二、企事業(yè)單位網(wǎng)絡(luò)終端計算機安全現(xiàn)狀

大中型企事業(yè)單位、政府辦公網(wǎng)絡(luò),桌面終端計算機數(shù)量隨著辦公的需要不斷增多,而出現(xiàn)的網(wǎng)絡(luò)問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網(wǎng)段,使該網(wǎng)段用戶都不能上網(wǎng)。除此以外,部分員工使用公司辦公電腦私自從網(wǎng)絡(luò)上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網(wǎng)絡(luò)通道,這樣就導(dǎo)致了其他一些用戶使用辦公電腦辦公時網(wǎng)速非常低,嚴(yán)重時網(wǎng)頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。

這種問題在當(dāng)下的網(wǎng)絡(luò)時代普遍存在于現(xiàn)有的企事業(yè)單位,尤其是一些已經(jīng)擺脫了紙張,進(jìn)入“無紙化”辦公的先進(jìn)單位更為明顯。由于難于發(fā)現(xiàn)高危計算機,并對其進(jìn)行定位,因此一旦問題發(fā)生,就需要大量的故障排查時間。如果同時有多臺計算機感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作,就會造成網(wǎng)絡(luò)癱瘓,從而致使其他正常網(wǎng)絡(luò)業(yè)務(wù)無法使用。

現(xiàn)階段,所有企業(yè)都在努力尋找一種有效的手段來扭轉(zhuǎn)這種嚴(yán)峻的局面,并盡可能地出臺大量的信息網(wǎng)絡(luò)管理規(guī)定。例如:禁止在辦公計算機內(nèi)安裝BT下載軟件,禁止在個人終端設(shè)備中安裝網(wǎng)絡(luò)游戲軟件,禁止私自更改電腦的安全設(shè)置,禁止將外部的電腦接入單位的內(nèi)部網(wǎng)絡(luò)等行為。但是,由于缺乏技術(shù)和管理手段、考核制度、使用標(biāo)準(zhǔn)、用機規(guī)范等,都不能夠有效切實地執(zhí)行,這樣就使企業(yè)內(nèi)部的信息網(wǎng)絡(luò)安全水平很低,衍生了諸多不可控制的安全隱患。

三、通過網(wǎng)絡(luò)防護(hù)與終端防護(hù)共筑信息安全長城

以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網(wǎng)御設(shè)備、網(wǎng)絡(luò)交換設(shè)備的管理上,卻忽略了對網(wǎng)絡(luò)環(huán)境中的計算單元――服務(wù)器、臺式機乃至便攜機的管理。

近兩年的安全防御調(diào)查表明,政府、企事業(yè)單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環(huán)節(jié)。因此,隨著信息技術(shù)的不斷進(jìn)步,網(wǎng)絡(luò)安全防護(hù)的工作重點開始發(fā)生轉(zhuǎn)移,安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護(hù),轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個終端。網(wǎng)絡(luò)管理員已經(jīng)不是信息安全的唯一負(fù)責(zé)人,計算機終端用戶才是信息安全的第一責(zé)任人。

四、建設(shè)桌面終端安全管理系統(tǒng)的意義

伴隨著網(wǎng)絡(luò)管理業(yè)務(wù)密集度的增加,在信息安全防護(hù)領(lǐng)域興起了終端桌面安全管理技術(shù)。作為網(wǎng)絡(luò)管理技術(shù)衍生的邊緣產(chǎn)物,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián),是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補充,也是未來網(wǎng)絡(luò)安全防范體系的重要組成部分。由此看來,終端桌面管理的發(fā)展趨勢和技術(shù)特點,才是信息安全防護(hù)趨勢的導(dǎo)向。在進(jìn)行桌面終端安全防護(hù)部署時,必須把提升信息安全的關(guān)鍵放在提升計算機終端安全水平上。

如何有效地管理計算機終端成了當(dāng)前的熱點話題,而桌面計算機安全管理系統(tǒng)的應(yīng)運而生就顯得尤為重要了。第一可以通過批量設(shè)置計算機的安全保護(hù)措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現(xiàn)動態(tài)安全評估,實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定,比如說,評估計算機的網(wǎng)絡(luò)流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設(shè)置是否合理等;第三,通過系統(tǒng)中進(jìn)行策略的配置,對計算機終端進(jìn)行批量的軟件安裝、批量的安全設(shè)置等,防止外來電腦非法接入,避免網(wǎng)絡(luò)安全遭受破壞或者信息泄密;第四,利用桌面系統(tǒng)的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網(wǎng),禁止使用外部郵箱,禁止訪問非法網(wǎng)站,禁止將單位機密文件復(fù)制、發(fā)送到外部”等這一系列管理措施得以貫徹和執(zhí)行;第五,在網(wǎng)絡(luò)出現(xiàn)安全問題后,桌面終端系統(tǒng)可以對有問題的IP/MAC/主機名等進(jìn)行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統(tǒng)的“增值服務(wù)”,在保證信息網(wǎng)絡(luò)安全的同時,還能對計算機的資產(chǎn)進(jìn)行有效地管理和控制。

這些功能的實現(xiàn),淺表地說能夠持續(xù)有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業(yè)內(nèi)部各種管理規(guī)定有效地執(zhí)行。如今憑借這些高科技手段,全面提升企事業(yè)單位內(nèi)部信息化工作水平已經(jīng)不再是紙上談兵。

五、結(jié)語

企事業(yè)單位要在信息技術(shù)高速發(fā)展的今天立于不敗之地,就必須結(jié)合自身客戶的網(wǎng)絡(luò)結(jié)構(gòu)、終端特點和管理模式,搭建安全、穩(wěn)固的內(nèi)部IT架構(gòu)。而桌面終端安全管理的應(yīng)用,將極大地提高信息安全系數(shù),使企業(yè)信息風(fēng)險降到最低。

參考文獻(xiàn):

[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統(tǒng)及其應(yīng)用[J].電力信息化,2009,(7).

[2] 馬國勝.桌面安全管理系統(tǒng)的應(yīng)用[J].中國金融電腦,2009,(4).

篇3

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認(rèn)定通過包括4個指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護(hù)信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。

所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進(jìn)行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護(hù)。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進(jìn)行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計企業(yè)信息安全管理風(fēng)險體系

(1)確定信息安全風(fēng)險評估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險評估的范圍

不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

篇4

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認(rèn)定通過包括4個指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護(hù)信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進(jìn)行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護(hù)。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進(jìn)行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計企業(yè)信息安全管理風(fēng)險體系

(1)確定信息安全風(fēng)險評估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險評估的范圍

不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

(3)組建適當(dāng)?shù)脑u估管理與實施團隊

篇5

1.1信息化機構(gòu)建設(shè)不健全

電力企業(yè)很少為信息管理部門專門設(shè)置機構(gòu),因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下,甚至僅設(shè)置一個專責(zé)人員負(fù)責(zé)。信息化管理是一項系統(tǒng)性的工程,沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2企業(yè)管理阻礙信息化發(fā)展

有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應(yīng)有的作用。

1.3網(wǎng)絡(luò)結(jié)構(gòu)不合理

電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng),兩種網(wǎng)絡(luò)之間實行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機是一臺二層交換機,決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的,導(dǎo)致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。

1.4身份認(rèn)證缺陷

電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng),而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級的授權(quán),根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制,但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。

1.5軟件系統(tǒng)安全風(fēng)險較大

軟件系統(tǒng)安全風(fēng)險指兩方面,一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險,二是操作系統(tǒng)本身風(fēng)險,隨著近期微軟停止對windowsXP系統(tǒng)的服務(wù)支持,大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補,這無疑會給信息安全帶來極大風(fēng)險。

1.6管理人員意識不足

很多電力企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊,一方面是時代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識較高,而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進(jìn)行及時培訓(xùn)的原因。在這種人員背景下,如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施

要建立完善合理的網(wǎng)絡(luò)信息安全管理體系,需要各企業(yè)認(rèn)清企業(yè)現(xiàn)狀,根據(jù)實際進(jìn)行統(tǒng)一規(guī)劃,分部建設(shè),保證建設(shè)內(nèi)容能科學(xué)有效的運行。

2.1加強信息安全教育培訓(xùn)

不論計算機程序有多么先進(jìn)多么完善,如果操作管理人員素質(zhì)和意識不足,那也不能保證企業(yè)信息化的安全。因此,實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人,可以根據(jù)員工職責(zé)分層次進(jìn)行培訓(xùn),一方面提高安全管理員工的專業(yè)知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設(shè)

電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個系統(tǒng)工程來考慮,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度,比如:加強網(wǎng)絡(luò)日志管理;對安全審計數(shù)據(jù)嚴(yán)格管理;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護(hù)軟件;規(guī)定不能隨意在內(nèi)網(wǎng)主機上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內(nèi)網(wǎng)計算機上隨意使用來歷不明的移動存儲設(shè)備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進(jìn)信息安全新技術(shù)的探索和應(yīng)用,建立信息安全防護(hù)體系,可以圍繞數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)服務(wù)完全、病毒防護(hù)系統(tǒng)的應(yīng)用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個多方面多層次聯(lián)合的技術(shù)安全體系,從而提高信息系統(tǒng)安全防護(hù)能力,確保企業(yè)信息安全可靠。

3、總結(jié)

篇6

網(wǎng)絡(luò)信息資源是生活中普遍應(yīng)用的一種資源,其自身的重要性逐漸凸顯,尤其在各大電力企業(yè)中,網(wǎng)絡(luò)信息安全管理成為企業(yè)發(fā)展的基本條件。但是由于我國電力企業(yè)起步比較晚,在現(xiàn)代化信息管理方面的研究尚淺,經(jīng)驗缺乏,因此需要在企業(yè)管理中不斷改良信息管理模式,加強網(wǎng)絡(luò)化信息安全管理,提高電力企業(yè)信息安全度。

1 電力企業(yè)網(wǎng)絡(luò)信息安全管理的現(xiàn)狀及存在的問題

1.1電力企業(yè)信息服務(wù)器安全不能保障

電力企業(yè)信息管理系統(tǒng)結(jié)構(gòu)比較復(fù)雜,它包含眾多信息服務(wù)器,主要有企業(yè)數(shù)據(jù)庫資源服務(wù)器、Web服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器和基本應(yīng)用服務(wù)器等眾多復(fù)雜服務(wù)器。這些服務(wù)器擔(dān)負(fù)著電力企業(yè)網(wǎng)絡(luò)運行與發(fā)展,一旦電力企業(yè)的服務(wù)器受損,企業(yè)信息管理將癱瘓。而近年來網(wǎng)絡(luò)信息安全受到威脅,網(wǎng)絡(luò)攻擊手段不斷更新,電力系統(tǒng)服務(wù)器成為被攻擊的第一對象。在電力企業(yè)網(wǎng)絡(luò)信息管理中,管理人員不能對所有服務(wù)器進(jìn)行系統(tǒng)管理,服務(wù)器經(jīng)常受到網(wǎng)絡(luò)病毒襲擊,使得服務(wù)器工作受到干擾,公司信息機密沒有進(jìn)行加密處理,容易被竊取。

1.2電力企業(yè)信息管理人員整體素質(zhì)較差

在我國很多電力企業(yè)管理中,都存在重視企業(yè)團隊建設(shè)、重視技術(shù)養(yǎng)成、重視企業(yè)經(jīng)濟效益,輕視企業(yè)信息組成和信息安全管理的現(xiàn)象。這也從另一方面說明了企業(yè)管理體制不完善,信息管理觀念差。由于電力企業(yè)信息管理制度的不完善,對信息管理人員的要求沒有明確規(guī)定,因而導(dǎo)致信息管理人員工作素質(zhì)不高,對信息安全基本技能不能熟練掌握。例如簡單的SQL注入、腳本注入以及服務(wù)器防竊聽加密等操作,信息管理人員在在工作中疏忽將導(dǎo)致整個信息管理系統(tǒng)不能正常運行。

1.3電力企業(yè)信息管理網(wǎng)絡(luò)運用技術(shù)不成熟

按照有關(guān)規(guī)定,電力企業(yè)一般將信息網(wǎng)絡(luò)劃分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng),而來自內(nèi)部網(wǎng)絡(luò)的信息風(fēng)險不容忽視,主要是內(nèi)部員工信息安全出現(xiàn)的問題,由于網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)結(jié)構(gòu)和企業(yè)應(yīng)用系統(tǒng)比較熟悉,在生活中或者工作中將信息外流,對企業(yè)網(wǎng)絡(luò)信息系統(tǒng)造成難以修復(fù)的傷害。內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行物理隔離,由于信息網(wǎng)絡(luò)結(jié)構(gòu)存在著核心交換機選擇不合理的現(xiàn)象,導(dǎo)致信息安全問題不能及時解決,只能通過其他系統(tǒng)進(jìn)行故障排查并解決。

2電力企業(yè)網(wǎng)絡(luò)信息安全管理存在問題的解決對策

2.1建立入侵保護(hù)系統(tǒng)IPS,提高網(wǎng)絡(luò)信息安全系數(shù)

在電力企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)IPS,IPS能夠為信息網(wǎng)絡(luò)提供一種主動而實時的信息防御。它的設(shè)計理念是對常規(guī)網(wǎng)絡(luò)流量中攜帶的惡意數(shù)據(jù)包進(jìn)行數(shù)據(jù)安全檢測,一旦發(fā)現(xiàn)可疑數(shù)據(jù),IPS將發(fā)揮網(wǎng)絡(luò)安全防御功能,阻止網(wǎng)絡(luò)數(shù)據(jù)入侵電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)。對帶有攻擊性的流量進(jìn)行主動攔截,避免對信息造成阻礙。它與常規(guī)的網(wǎng)絡(luò)防火墻相比具有更加高端的性能,它不僅能對網(wǎng)絡(luò)惡意數(shù)據(jù)流量進(jìn)行檢測還能夠及時消除隱患,而不是簡單的對系統(tǒng)進(jìn)行報警,IPS在功能上更加完善。在網(wǎng)絡(luò)系統(tǒng)中,IPS直接串聯(lián)到網(wǎng)絡(luò)中,它能夠為電力企業(yè)提供虛擬補丁,預(yù)先對黑客攻擊和網(wǎng)絡(luò)病毒進(jìn)行攔截,使得外部攻擊不能進(jìn)行,信息系統(tǒng)即使沒有最新安裝的補丁,由于IPS的防御也能保證網(wǎng)絡(luò)不受損害。此外IPS還能夠?qū)﹄娏ζ髽I(yè)網(wǎng)絡(luò)進(jìn)行流量凈化處理,例如對蠕蟲和病毒造成的網(wǎng)絡(luò)系統(tǒng)癱瘓,電驢下載造成的寬帶資源被占用等現(xiàn)象,IPS都能夠?qū)ζ溥M(jìn)行清理,提高網(wǎng)絡(luò)環(huán)境利用率。信息系統(tǒng)中IPS的設(shè)計主要側(cè)重于訪問的控制,注重對外來干擾進(jìn)行主動的防御,而不僅僅是檢測和日志記錄,為企業(yè)提供了全新的入侵保護(hù)解決方案。

2.2電力企業(yè)網(wǎng)絡(luò)信息安全管理引用PKI數(shù)字認(rèn)證技術(shù)

PKI技術(shù)是公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來的一種綜合安全臺。CA基礎(chǔ)設(shè)施是數(shù)字認(rèn)證系統(tǒng)面向其內(nèi)部用戶的基礎(chǔ)服務(wù)系統(tǒng),為數(shù)字認(rèn)證提供管理服務(wù)。CA系統(tǒng)主要包括根CA、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)。其中,CA簽發(fā)系統(tǒng)是CA認(rèn)證系統(tǒng)的核心服務(wù),負(fù)責(zé)數(shù)字簽發(fā)。RA注冊管理系統(tǒng)主要負(fù)責(zé)提供用戶證書業(yè)務(wù)服務(wù),對錄入及審核進(jìn)行處理,如圖1所示。

篇7

隨著信息系統(tǒng)在企業(yè)中的廣泛應(yīng)用,信息安全的問題逐漸突出和嚴(yán)峻,這就體現(xiàn)了進(jìn)行現(xiàn)安全有效性管理的重要性。實現(xiàn)信息安全管理的有效性測量是對企業(yè)進(jìn)行信息安全運行的風(fēng)險問題進(jìn)行評估,進(jìn)而得出企業(yè)的信息安全系統(tǒng)能否同企業(yè)信息安全的控制水平相一致,體現(xiàn)了對于整體性提高企業(yè)信息安全管理水平的重要性。

【關(guān)鍵詞】

信息安全管理;有效性測量;方法

在21世紀(jì)的社會發(fā)展新時代,網(wǎng)絡(luò)、計算機、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營管理之中,在基本運行中會涉及到企業(yè)眾多的機密文件和信息,直接關(guān)系的企業(yè)的發(fā)展運行,所以,一旦出現(xiàn)安全問題就會對企業(yè)產(chǎn)生重要的影響。所以,在不斷深化的應(yīng)用中,企業(yè)開始注重對信息安全的管理,并通過多樣化的技術(shù)手段和方式來進(jìn)行強化,但是這樣的方式?jīng)Q定了對安全管理的有效性不能進(jìn)行合理的把握和控制,并且對整體的安全水準(zhǔn)也沒有實現(xiàn)準(zhǔn)確的衡量。所以,如果企業(yè)只是強化了信息安全在技術(shù)方面的建設(shè),而并沒有開展有效的安全管理評估工作,就會使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞,所以,進(jìn)行信息安全管理的有效性測量是極為重要的。企業(yè)也逐漸認(rèn)識到其重要性,使得近年來,我國企業(yè)對于信息安全有效性的測量需求不斷增多,但是,在這方面我國起步較晚,存在著很多不足和缺陷,這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉硖嵘郎y量的整體有效性。

一、信息安全管理有效性測量的目的

通過實現(xiàn)有效性的測量,能夠真實評估和反映企業(yè)信息安全管理的整體水平,以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時,往往會依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行,進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。通過對企業(yè)的信息安全管理進(jìn)行有效性的測量,可以在技術(shù)的管理支撐下客觀真實的反映企業(yè)信息管理的整體性評估,會能實現(xiàn)對企業(yè)信息安全管理目標(biāo)的運行程度進(jìn)行說明,并能對企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評測,為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。就企業(yè)的整體發(fā)展實際來看,如果不開展信息安全管理的有效性測量,會使企業(yè)的整體管理水平只依賴于基本測評狀態(tài)下的運行管理水平,難以同真實的信息安全運行環(huán)境相脫離,造成企業(yè)在安全管理過程中的漏洞和誤差,使得企業(yè)在正常的運營和發(fā)展中的實際需求同所進(jìn)行信息安全管理的整體水平不相一致,并且在對基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時,并不能發(fā)現(xiàn)運行中的不足和缺陷,更遑論進(jìn)行有效合理的解決,極大化的為企業(yè)的發(fā)展運行埋下了信息安全的運行隱患。而通過有效性的測量活動,能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位,并且還能夠有效指導(dǎo)基本的解決策略,有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

二、信息安全管理有效性的測量方法

在開展信息安全管理有效性的測量時,需要對進(jìn)行測量的指標(biāo)進(jìn)行量化的處理,并最終形成具有實際可行性的量化測量指標(biāo)。在測量中,不同的指標(biāo)則需要不同的測量方法來進(jìn)行,一般而言,具有風(fēng)險分析、問卷調(diào)查、內(nèi)部審核、滲透性測試、個人訪談、內(nèi)外對比、風(fēng)險評估、報表統(tǒng)計等不同的方法。通過不同指標(biāo)的不同測量之后,能夠得得出各個指標(biāo)的測度結(jié)果,在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對結(jié)果進(jìn)行科學(xué)有效的取值管理,給各個指標(biāo)賦予不同的安全分險權(quán)重,然后綜合計算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運行的有效性測量時,在對基本技術(shù)要求進(jìn)行測量評估時,還需要對企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識、事件管理等開展管理有效性的評估,以保障最終結(jié)果的綜合有效性。在信息安全管理有效性的測量發(fā)展中,相關(guān)專業(yè)機構(gòu)提出了同通過整體的系統(tǒng)模型來實現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測量模型的建立,將信息系統(tǒng)運行中需要進(jìn)行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后,得出最后的測量結(jié)果,其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應(yīng)用不同的測量方法之后就能夠得到基本測度,而基本測量方法的獲取是通過多樣化的數(shù)據(jù)資源進(jìn)行測量對象的數(shù)據(jù)獲取,比如風(fēng)險評估結(jié)果、日志報表統(tǒng)計記錄、調(diào)查表、測量結(jié)果等途徑。就我國當(dāng)前進(jìn)行信息安全管理有效性測量的方式而言,在設(shè)定環(huán)節(jié)相對復(fù)雜和冗余,但在基本的項目實踐中得出如下的基本運行方法:

2.1審計監(jiān)控系統(tǒng)回顧

在進(jìn)行檢測時,需要盡可能的發(fā)現(xiàn)各個環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件,以實現(xiàn)有效的防治,實現(xiàn)影響的最小化[3]。

2.2糾正預(yù)防措施驗證

對已經(jīng)納入整體有效性測量計劃的糾正預(yù)防措施,在開展檢測時進(jìn)行檢查和回顧,以保證檢驗過程中對于信息安全管理系統(tǒng)所采取的各項措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

2.3信息安全事故統(tǒng)計

主要是對已經(jīng)發(fā)生過的安全事件進(jìn)行統(tǒng)計和分析,以為檢測的有效性提供更加高效合理的方法指引,以實現(xiàn)進(jìn)行更高角度的評估以及在控制措施方面的有效性。這樣的方式是將基本的計劃和檢測方式實現(xiàn)了有效的結(jié)合,并在各種方法的支撐下,實現(xiàn)綜合型的檢測,做到有效的預(yù)防和糾正,從不同的層面反應(yīng)了進(jìn)行信息安全檢測的有效性,并保障整體運行體系的完整有效性,進(jìn)而形成一個有效的良性循環(huán)。

三、結(jié)束語

就我國的整體實際而言,信息安全管理有效性的測量方法,還處于基礎(chǔ)的起步階段,而且相關(guān)的各項理論研究和測量指標(biāo)等也均沒有達(dá)到完善的階段,這就需要進(jìn)行不斷的發(fā)展和探索,而且實踐證明,進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的,在保障整體信息運行管理的安全性基礎(chǔ)上,能夠使企業(yè)提升整體的競爭力和自身生存能力,并且能夠?qū)y量中發(fā)現(xiàn)的問題和相關(guān)數(shù)據(jù)進(jìn)行分析,然后具有針對性的使企業(yè)所存在的風(fēng)險得到最大化的控制,最終達(dá)到基本業(yè)務(wù)的正常有效運行。

作者:薛擁華 鄧沖 陳宇 劉板浩 黃剛 單位:精誠瑞寶計算機系統(tǒng)有限公司

參考文獻(xiàn)

[1]朱英菊,劉紅麗,陳長松.信息安全管理有效性的測量研究[J].情報雜志,2010,01:73-76+41.

篇8

(1)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。

現(xiàn)階段,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全,未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運,財務(wù)、營銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用,相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個信息管理模式的最短板。

(2)存在于網(wǎng)絡(luò)信息化機構(gòu)漏洞較多。

目前在我國供電企業(yè)中,網(wǎng)絡(luò)信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計算機準(zhǔn)入技術(shù),可移動存儲介質(zhì)加密技術(shù)的應(yīng)用,給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡(luò)病毒的出現(xiàn),就會對企業(yè)內(nèi)部計算機進(jìn)行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡(luò)一個有機可乘的機會,對計算機系統(tǒng)進(jìn)行惡意破壞,導(dǎo)致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關(guān)文件,篡改供電系統(tǒng)相關(guān)數(shù)據(jù),對國家供電系統(tǒng)進(jìn)行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。

(3)職工安全防范意識不夠。

想要保證我國網(wǎng)絡(luò)信息的安全,就必須要提高供電企業(yè)員工的綜合素質(zhì),目前國內(nèi)供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅,另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計算機對網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進(jìn)行安全的管理,建立病毒防護(hù)體系,及時更新網(wǎng)絡(luò)防病毒軟件,針對性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備,提高警報設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風(fēng)險也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險,對經(jīng)歷的風(fēng)險進(jìn)行剖析,制定針對性的風(fēng)險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險評估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應(yīng)該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控,國家相關(guān)部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機制的相結(jié)合,大力開發(fā)信息網(wǎng)絡(luò),促進(jìn)科技管理水平的快速提高,以保證我國供電信息管理的安全。

3結(jié)語

篇9

關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線

在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運用生產(chǎn)經(jīng)營、綜合管理之中,實現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個企業(yè)安全不取決于最強項,而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護(hù)航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。

1.1管理制度不健全,制度多重化

信息安全制度建設(shè)方面較為被動,大多數(shù)都是現(xiàn)實之中出現(xiàn)某一問題,然后一個相關(guān)制度,制度修修補補。同一類問題有時出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進(jìn)行信息安全方面考慮,管理職責(zé)不明,導(dǎo)致部分信息安全工作開始不順暢。

1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰

基層供電企業(yè)系統(tǒng)建設(shè)主要由上級推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。

1.3未建立一體化安全防護(hù)體系

從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準(zhǔn)入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險;內(nèi)部人員對核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機制;移動介質(zhì)未實施注冊制管理等問題。

1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項,這些恰恰是別人利用漏洞?;鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時,沒有統(tǒng)一基線標(biāo)準(zhǔn),沒有對設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固,企業(yè)存在潛在風(fēng)險。1.5信息安全意識較差,技術(shù)水平參差不齊企業(yè)信息安全認(rèn)識存在認(rèn)識上誤區(qū),常常認(rèn)為我們有較強信息安全保護(hù)設(shè)備,外部不易攻破內(nèi)部,事實上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識主動更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。

2必要性

信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關(guān)國計民生。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個關(guān)鍵問題就是利用移動介質(zhì)擺渡來進(jìn)行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國家安全,因此人人都要有信息安全意識。首先要防止企業(yè)機密數(shù)據(jù)(財務(wù)、人資、投資、客戶等)泄漏;其次,保持?jǐn)?shù)據(jù)真實性和完整性,錯誤的或被篡改的不當(dāng)信息可能會導(dǎo)致錯誤的決策或商業(yè)機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時有效恢復(fù),會造成重大損失。建立嚴(yán)格的訪問控制,前面數(shù)據(jù)分級時有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級,按照分級的要求制定嚴(yán)格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。

3特點探析

通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識等方面存在問題,有以下特點。

3.1管理制度方面

常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照執(zhí)行,可以根據(jù)各單位具體情況進(jìn)一步細(xì)化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實現(xiàn)全網(wǎng)一體化,規(guī)范化。

3.2網(wǎng)絡(luò)信息安全技術(shù)方面

上級專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃,分布實施,最終實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。

3.3信息安全意識培養(yǎng)方面

企業(yè)員工信息安全意識培養(yǎng)是個長期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識,可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進(jìn)行。針對專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習(xí)慣,用戶需要申請某項資源,嚴(yán)格按照制度執(zhí)行,填寫相應(yīng)資源申請,有時候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識就會得到極大提高。

3.4專業(yè)技術(shù)人員水平方面

信息安全技術(shù)日新月異,不學(xué)習(xí)就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機制,專業(yè)人員實行持證上崗,提升專業(yè)人員實際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。

4實施和開展

從2009年開始,先后進(jìn)行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。

4.1信息安全制度建設(shè)

2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級保護(hù)、人員管理、機房管理、網(wǎng)絡(luò)信息系統(tǒng)運行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細(xì)則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。

4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控

首先依據(jù)電監(jiān)會5號文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè),生產(chǎn)實時控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng),已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng),進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計員工上網(wǎng)日志,以備不時之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng),實現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動更新,防護(hù)策略統(tǒng)一下發(fā),定期統(tǒng)計病毒分布情況,同時作為終端接入內(nèi)網(wǎng)必備選項,對終端病毒態(tài)勢比較嚴(yán)重用戶進(jìn)行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù),在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺,進(jìn)行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢,預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務(wù)器上實現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機802.1x方式進(jìn)行,不滿足要求用戶,自動重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查,滿足要求后自動接入內(nèi)網(wǎng),強制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實行移動介質(zhì)注冊制,極大提高終端安全性,有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運維控制機制,實現(xiàn)4A統(tǒng)一安全管理,認(rèn)證、賬號、授權(quán)、審計集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請材料,授權(quán)訪問特定設(shè)備和資源,并對用戶訪問行為全程記錄審計。

5結(jié)語

篇10

【關(guān)鍵詞】電力企業(yè);網(wǎng)絡(luò)信息安全;管理

新時代是網(wǎng)絡(luò)信息時代,全世界信息網(wǎng)絡(luò)系統(tǒng)都在迅猛發(fā)展中。電力企業(yè)作為各行業(yè)中重中之重的國家基礎(chǔ)行業(yè),整個行業(yè)都對網(wǎng)絡(luò)信息系統(tǒng)有著極大的依賴性,網(wǎng)絡(luò)信息系統(tǒng)也以它快速、全面、及時的優(yōu)點給電力企業(yè)帶來了極大的經(jīng)濟效益。但是網(wǎng)絡(luò)信息系統(tǒng)所帶來的不僅是經(jīng)濟效益,同樣還有信息泄露的巨大風(fēng)險,一旦發(fā)生信息泄露或信息數(shù)據(jù)遭篡改,將為國家造成不可估計的經(jīng)濟損失。

近年來全球范圍內(nèi)計算機犯罪活動猖獗,不斷發(fā)生黑客入侵、電腦病毒肆虐事件,給電力企業(yè)敲響了警鐘,網(wǎng)絡(luò)安全防范刻不容緩。很多受害者的網(wǎng)絡(luò)硬件及軟件技術(shù)都處于時展的主流,然而依然發(fā)生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網(wǎng)絡(luò)信息安全水平的,除了安裝網(wǎng)絡(luò)安全產(chǎn)品,同樣重要的還有網(wǎng)絡(luò)信息的安全管理措施。所以,各電力企業(yè)都必須認(rèn)真面對和研究當(dāng)前網(wǎng)絡(luò)信息安全問題,及時采取合理有效的防范措施。

1、我國電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀

1.1電力企業(yè)信息化的優(yōu)勢

進(jìn)入二十一世紀(jì)以來,隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,我國電力企業(yè)的信息化也有著很大的進(jìn)步:電力行業(yè)信息化設(shè)施較其他行業(yè)更完善,各電力企業(yè)主要崗位使用計算機工作的比率已經(jīng)基本達(dá)到100%,而且90%以上都建立起了覆蓋本部機關(guān)工作的局域網(wǎng);電力生產(chǎn)、調(diào)度自動化系統(tǒng)廣泛應(yīng)用,已經(jīng)形成了較成熟的管理模式。其中發(fā)電生產(chǎn)自動化監(jiān)控系統(tǒng)、電力調(diào)度SCADA系統(tǒng)等,大大提高了生產(chǎn)過程和電力調(diào)度的自動化水平;電力營銷管理系統(tǒng)在全國各大電力企業(yè)廣泛應(yīng)用,各地(市)級電力企業(yè)都已實現(xiàn)業(yè)務(wù)受理計算機化。同時各地也在大力建設(shè)客戶服務(wù)中心,已經(jīng)有一批服務(wù)中心先行初步建立起來;國家電網(wǎng)公司及其下各級子公司開發(fā)應(yīng)用了電力生產(chǎn)、設(shè)備安檢、電力負(fù)荷及營銷管理的企業(yè)管理信息系統(tǒng),各大電力企業(yè)也在積極規(guī)劃企業(yè)信息化發(fā)展藍(lán)圖,大力進(jìn)行企業(yè)信息化建設(shè),推動實現(xiàn)電力工業(yè)現(xiàn)代化進(jìn)程。

1.2當(dāng)前存在的問題

上述信息化優(yōu)勢證明我國電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果,給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ),但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題。

1.2.1信息化機構(gòu)建設(shè)不健全。電力企業(yè)很少為信息管理部門專門設(shè)置機構(gòu),因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下,甚至僅設(shè)置一個專責(zé)人員負(fù)責(zé)。信息化管理是一項系統(tǒng)性的工程,沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2.2企業(yè)管理阻礙信息化發(fā)展。有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應(yīng)有的作用。

1.2.3網(wǎng)絡(luò)結(jié)構(gòu)不合理。電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng),兩種網(wǎng)絡(luò)之間實行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機是一臺二層交換機,決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的,導(dǎo)致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。

1.2.4身份認(rèn)證缺陷。電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng),而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級的授權(quán),根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制,但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。

1.2.5軟件系統(tǒng)安全風(fēng)險較大。軟件系統(tǒng)安全風(fēng)險指兩方面,一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險,二是操作系統(tǒng)本身風(fēng)險,隨著近期微軟停止對windows XP系統(tǒng)的服務(wù)支持,大量使用windows XP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補,這無疑會給信息安全帶來極大風(fēng)險。

1.2.6管理人員意識不足。很多電力企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊,一方面是時代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識較高,而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進(jìn)行及時培訓(xùn)的原因。在這種人員背景下,如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施

要建立完善合理的網(wǎng)絡(luò)信息安全管理體系,需要各企業(yè)認(rèn)清企業(yè)現(xiàn)狀,根據(jù)實際進(jìn)行統(tǒng)一規(guī)劃,分部建設(shè),保證建設(shè)內(nèi)容能科學(xué)有效的運行。

2.1加強信息安全教育培訓(xùn)

不論計算機程序有多么先進(jìn)多么完善,如果操作管理人員素質(zhì)和意識不足,那也不能保證企業(yè)信息化的安全。因此,實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人,可以根據(jù)員工職責(zé)分層次進(jìn)行培訓(xùn),一方面提高安全管理員工的專業(yè)知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設(shè)

電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個系統(tǒng)工程來考慮,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度,比如:加強網(wǎng)絡(luò)日志管理;對安全審計數(shù)據(jù)嚴(yán)格管理;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護(hù)軟件;規(guī)定不能隨意在內(nèi)網(wǎng)主機上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內(nèi)網(wǎng)計算機上隨意使用來歷不明的移動存儲設(shè)備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進(jìn)信息安全新技術(shù)的探索和應(yīng)用,建立信息安全防護(hù)體系,可以圍繞數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)服務(wù)完全、病毒防護(hù)系統(tǒng)的應(yīng)用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個多方面多層次聯(lián)合的技術(shù)安全體系,從而提高信息系統(tǒng)安全防護(hù)能力,確保企業(yè)信息安全可靠。

3、總結(jié)

電力企業(yè)信息化是不可避免的發(fā)展趨勢,因此要實現(xiàn)企業(yè)的可持續(xù)發(fā)展就必須做好企業(yè)信息網(wǎng)絡(luò)安全的管理,電力企業(yè)要在不斷的探索實踐中,摸索新時期網(wǎng)絡(luò)信息安全管理措施,不斷完善和健全網(wǎng)絡(luò)信息安全建設(shè)。

參考文獻(xiàn)

[1]王雋.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].信息與電腦(理論版),2012,07:22-23.