導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇企業(yè)信息安全管理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:石油企業(yè);信息安全;管理手段

0引言

隨著信息化建設(shè)進(jìn)程飛速發(fā)展，作為信息載體的計(jì)算機(jī)、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營(yíng)管理各個(gè)層面得到廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營(yíng)管理帶來(lái)了便捷、高效、有序的工作環(huán)境，同時(shí)也帶來(lái)了較大的安全管理隱患。黑客的出現(xiàn)、安全漏洞的增多、管理的交叉混亂、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊，成為信息化健康發(fā)展的絆腳石。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展。石油企業(yè)在國(guó)民經(jīng)濟(jì)中發(fā)揮著重要作用，任何風(fēng)險(xiǎn)都可能導(dǎo)致國(guó)家經(jīng)濟(jì)受到重大影響。因此，提高石油企業(yè)信息安全意識(shí)，加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo)，強(qiáng)化安全意識(shí)、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系。

1加強(qiáng)企業(yè)信息管理的必要性

1．1企業(yè)信息管理概念

企業(yè)信息管理是通過(guò)現(xiàn)代化的信息技術(shù)和設(shè)備，以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化，進(jìn)而對(duì)企業(yè)進(jìn)行全方位和多角度的管理，以此來(lái)促進(jìn)企業(yè)生產(chǎn)、經(jīng)營(yíng)管理的優(yōu)化配置，進(jìn)而通過(guò)企業(yè)資源的開(kāi)發(fā)和信息技術(shù)的有效利用來(lái)提高企業(yè)的管理水平，增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。企業(yè)信息管理的主要內(nèi)容，一般包括企業(yè)未來(lái)的經(jīng)濟(jì)形勢(shì)分析、預(yù)測(cè)資料、資源的可獲量、市場(chǎng)和競(jìng)爭(zhēng)對(duì)手的發(fā)展動(dòng)向，以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略、制訂規(guī)劃、合理地分配資源是密切相關(guān)的。同時(shí)，企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源，如財(cái)務(wù)管理信息、物資庫(kù)存、鉆井施工、職工檔案管理等多方面的內(nèi)容，并且促進(jìn)企業(yè)的全面發(fā)展。

1．2企業(yè)信息安全管理的必要性

企業(yè)信息的存在方式有著多樣性，而進(jìn)行企業(yè)安全信息管理的主要目的，在于保護(hù)企業(yè)的信息安全，保證企業(yè)能夠順利的參與到市場(chǎng)經(jīng)濟(jì)活動(dòng)中，進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益，構(gòu)筑起信息安全管理系統(tǒng)的保密性、完整性、可用性、可維護(hù)性、可驗(yàn)證性的目標(biāo)，使企業(yè)安全信息管理能夠通過(guò)有效的控制措施來(lái)實(shí)現(xiàn)。第一，企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)，因此其對(duì)于企業(yè)的生產(chǎn)勢(shì)力、科技含量、資金流動(dòng)、企業(yè)的綜合競(jìng)爭(zhēng)力等多方面都有著重要的影響，同時(shí)對(duì)于企業(yè)的商業(yè)形象與合法經(jīng)營(yíng)也至關(guān)重要，因此加強(qiáng)企業(yè)信息安全管理是必要的。第二，由于網(wǎng)絡(luò)自身所具有的開(kāi)放性特性，決定了企業(yè)信息管理也面臨著來(lái)自各方面的安全威脅，比如計(jì)算機(jī)病毒、黑客等，以及計(jì)算機(jī)詐騙、泄密等問(wèn)題，也說(shuō)明了加強(qiáng)企業(yè)信息安全管理勢(shì)在必行。第三，企業(yè)對(duì)于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱，公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度，使得信息在分散化的管理模式下，集中、專業(yè)控制的有效性大大減弱。另外，由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷，其自身就存在著不合理之處，這對(duì)于信息安全管理也帶來(lái)了一定的難度?；诖耍瑢?duì)于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題。

2加強(qiáng)企業(yè)信息管理安全的防范措施

2．1不斷完善信息管理系統(tǒng)

隨著企業(yè)信息化的發(fā)展，目前應(yīng)用的管理系統(tǒng)有PKI、郵箱、AD域、普OA、合同系統(tǒng)、A6、ERP、網(wǎng)絡(luò)、操作系統(tǒng)、A7、檔案系統(tǒng)、物采系統(tǒng)、OSC、視頻會(huì)議、企業(yè)微信、門戶網(wǎng)站、寶石花、數(shù)字營(yíng)房、會(huì)議保障、E2、一體化、RTX、移動(dòng)應(yīng)用、短信平臺(tái)。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來(lái)越重要，一旦系統(tǒng)中斷，將會(huì)給企業(yè)的生產(chǎn)經(jīng)營(yíng)管理帶來(lái)混亂，而數(shù)據(jù)一旦丟失，后果是不可估量的。為此，信息管理系統(tǒng)的投入和使用，是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，通過(guò)一段時(shí)間的運(yùn)行和觀察，才能夠投入使用。在不同的部門進(jìn)行信息系統(tǒng)的引入時(shí)，應(yīng)當(dāng)按照部門的實(shí)際情況，通過(guò)多方引進(jìn)，使用統(tǒng)一的信息管理系統(tǒng)。對(duì)于信息安全來(lái)說(shuō)，首先要解決的就是系統(tǒng)是否能夠通過(guò)安全驗(yàn)證對(duì)用戶進(jìn)行有效的管理，并且賦予不同等級(jí)的用戶不同的使用權(quán)限，這樣則能夠有效的防止無(wú)權(quán)訪問(wèn)信息的用戶對(duì)核心區(qū)域的訪問(wèn)，保證信息不會(huì)被盜用。同時(shí)，為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器。一旦發(fā)生服務(wù)器故障，由從服務(wù)器自動(dòng)接替主服務(wù)器工作。

2．2有效的設(shè)備管理

設(shè)備安全主要涉及到由于自然災(zāi)害、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)，容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成，主中心和備份中心。通過(guò)異地?cái)?shù)據(jù)備份，實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中，使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。同時(shí)，對(duì)于管理系統(tǒng)中使用的設(shè)備品牌、機(jī)型、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專門的記錄，通過(guò)這些記錄，定期對(duì)設(shè)備進(jìn)行維護(hù)，同時(shí)也能夠通過(guò)這些信息判斷出信息的使用效率以及運(yùn)行情況，對(duì)于設(shè)備的損壞或者是丟失情況都能夠及時(shí)地了解。

2．3加強(qiáng)對(duì)人員的監(jiān)督與管理

企業(yè)信息安全不單純是技術(shù)問(wèn)題，而是一個(gè)綜合性的問(wèn)題。其中最重要的因素是人，人是設(shè)備的主要操作者，因此對(duì)于信息的安全管理，就需要加強(qiáng)對(duì)人的管理，需要操作人員具有足夠的安全意識(shí)，對(duì)于每一位操作人員進(jìn)行相關(guān)的培訓(xùn)，對(duì)于唯一的用戶名和密碼等信息要進(jìn)行妥善保管，同時(shí)讓操作人員認(rèn)識(shí)到泄密會(huì)導(dǎo)致的嚴(yán)重后果，增強(qiáng)責(zé)任意識(shí)。只有通過(guò)不斷地學(xué)習(xí)及意識(shí)的培養(yǎng)，管理人員才能養(yǎng)成定期維護(hù)、按時(shí)打補(bǔ)丁、及時(shí)更新的操作習(xí)慣，以不變應(yīng)萬(wàn)變的態(tài)度應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊手段。通過(guò)不斷的加強(qiáng)過(guò)程管理，通過(guò)對(duì)每個(gè)細(xì)節(jié)的嚴(yán)密審查，能夠有效減少人為出錯(cuò)的現(xiàn)象，同時(shí)通過(guò)科學(xué)的評(píng)價(jià)機(jī)制和激勵(lì)機(jī)制，刺激人員工作的積極性，加強(qiáng)自身的責(zé)任意識(shí)。

2．4網(wǎng)絡(luò)傳輸安全

篇2

信息，同企業(yè)其他資產(chǎn)一樣是種資產(chǎn)，對(duì)企業(yè)的發(fā)展有很大作用。信息以各種形式存在，包括紙質(zhì)的、電子的、圖像的等。我國(guó)信息專家鐘義信認(rèn)為：“信息是該事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示?！鳖櫭剂x，信息安全既保障“信息”的“安全”。關(guān)于信息安全，國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)為：“信息安全是在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國(guó)信息安全專家沈昌祥院士則認(rèn)為：“信息安全是保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性”。

二、企業(yè)信息安全體系設(shè)計(jì)

2.1企業(yè)信息安全體系方案概述

2.1.1信息安全體系設(shè)計(jì)原則

企業(yè)信息安全體系的設(shè)計(jì)應(yīng)遵從以下原則：

（1）性能平衡，合理劃分：提高整個(gè)系統(tǒng)的“安全低點(diǎn)”的性能，保證各層面能得到均衡防護(hù)；按照合理原則劃分為安全等級(jí)，分區(qū)域、分等級(jí)防護(hù)。

（2）標(biāo)準(zhǔn)一致，功能互補(bǔ)：在產(chǎn)品技術(shù)、產(chǎn)品設(shè)備選擇方面，盡可能遵循同一業(yè)界標(biāo)準(zhǔn)；充分考慮不同廠商、不同安全產(chǎn)品的功能互補(bǔ)，在進(jìn)行多層防護(hù)時(shí)，考慮使用不同廠家的。

（3）統(tǒng)籌規(guī)劃，分步實(shí)施。

2.1.2信息安全體系框架

網(wǎng)絡(luò)安全的實(shí)現(xiàn)不是目標(biāo)，是過(guò)程。其過(guò)程經(jīng)歷了安全評(píng)估、制訂安全策略、安全培訓(xùn)、安全技術(shù)實(shí)施、安全網(wǎng)絡(luò)檢測(cè)、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等環(huán)節(jié)，并不斷地螺旋式提高發(fā)展，得以實(shí)現(xiàn)網(wǎng)絡(luò)安全。信息安全體系的三要素：管理、技術(shù)和運(yùn)維。通過(guò)一系列的戰(zhàn)略、系統(tǒng)和機(jī)制的協(xié)調(diào)，明確技術(shù)實(shí)現(xiàn)方法與相關(guān)安全操作人員的職責(zé)，從而達(dá)到安全風(fēng)險(xiǎn)的發(fā)現(xiàn)和有效控制，從而改善的安全問(wèn)題反應(yīng)速度和恢復(fù)能力，增強(qiáng)整體網(wǎng)絡(luò)安全能力。管理方面，建立、健全安全組織結(jié)構(gòu)；技術(shù)方面，建立分層網(wǎng)絡(luò)安全策略；運(yùn)維方面，通過(guò)不同的安全機(jī)制，提高網(wǎng)絡(luò)安全的能力。

2.2企業(yè)信息安全技術(shù)體系

2.2.1信息安全技術(shù)體系概述

（l）設(shè)計(jì)原則

分析企業(yè)信息網(wǎng)絡(luò)安全面臨的主要威脅，實(shí)施有針對(duì)性的安全技術(shù)體系。安全技術(shù)體系的總體性要求如下：全面綜合：采用綜合解決方案，體系層次化，具有縱深性。集成統(tǒng)一：有效集成各類管理工具，集中化管理所有IT系統(tǒng)。開(kāi)放適應(yīng)：支持各種安全管理標(biāo)準(zhǔn)，能適應(yīng)組織和環(huán)境的變化。

（2）信息安全技術(shù)體系框架

通過(guò)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等方面進(jìn)行建設(shè)。具體有以下措施：物理安全防護(hù)建設(shè)；統(tǒng)一容災(zāi)備份中心建設(shè)；防火墻系統(tǒng)的部署；入侵防護(hù)系統(tǒng)的部署；系統(tǒng)安全防護(hù)建設(shè)；防病毒系統(tǒng)部署；漏洞掃描系統(tǒng)部署；信息審計(jì)系統(tǒng)防護(hù)。

2.2.2物理安全防護(hù)建設(shè)

（1）配套設(shè)備安全

采用多路供電（市電、動(dòng)力電、UPS）的方法，多路電源同時(shí)接入企業(yè)信息系統(tǒng)大樓或主機(jī)房及重要信息存儲(chǔ)、收發(fā)等重要部門，當(dāng)市電故障后自動(dòng)切換至動(dòng)力電，動(dòng)力電故障后自動(dòng)至UPS供電。并且，當(dāng)下級(jí)電源恢復(fù)后，應(yīng)立即自動(dòng)切換回去。這樣，既保證了安全性，又降低了運(yùn)行費(fèi)用。形成一套完整的先進(jìn)和完善的供電系統(tǒng)及緊急報(bào)警系統(tǒng)。供電系統(tǒng)中，會(huì)有尖峰、浪涌等不良現(xiàn)象發(fā)生，一旦發(fā)生，輕則斷電重啟，重則燒毀并引發(fā)火災(zāi)。這種情況下，UPS也無(wú)濟(jì)于事。為避免對(duì)供電質(zhì)量和造成不安全因素，可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質(zhì)量，同時(shí)還可減少電磁污染，避免信息隨電纜外泄。用多路供電接入企業(yè)機(jī)房及重要部門，降低了運(yùn)行成本，又保證了系統(tǒng)的安全。

（2）計(jì)算機(jī)場(chǎng)地安全

嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)建設(shè)，如國(guó)標(biāo)GB/T2887-2000《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》、GB9254-1998《信息技術(shù)設(shè)備的無(wú)線電騷擾限值和測(cè)量方法》等?！峨娮佑?jì)算機(jī)場(chǎng)地通用規(guī)范》規(guī)定了站址選擇條件：計(jì)算機(jī)場(chǎng)地盡量建在電力、水源充足，自然環(huán)境清潔、通信、交通運(yùn)輸方便的地方；應(yīng)盡量避開(kāi)強(qiáng)電磁場(chǎng)的干擾；應(yīng)盡量遠(yuǎn)離強(qiáng)振動(dòng)源和強(qiáng)噪聲源；應(yīng)盡量建在建筑物的高層及地下室以及用水設(shè)備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級(jí)；規(guī)定了照明、日志、電磁場(chǎng)干擾具體技術(shù)條件；規(guī)定了接地、供電、建筑結(jié)構(gòu)條件等。

2.2.3統(tǒng)一容災(zāi)備份中心建設(shè)

無(wú)論企業(yè)信息系統(tǒng)設(shè)計(jì)、維護(hù)得多科學(xué)合理，故障的發(fā)生都是不可避免的，因此在設(shè)計(jì)時(shí)都應(yīng)考慮容災(zāi)解決方案，即統(tǒng)一容災(zāi)備份中心建設(shè)?；舅悸肥恰皵?shù)據(jù)冗余+異地分布”，即在異地建立和維護(hù)一份或多份數(shù)據(jù)冗余，利用數(shù)據(jù)的冗余性和地理分散性來(lái)提高對(duì)災(zāi)難事件的抵御能力。企業(yè)數(shù)據(jù)容災(zāi)，存儲(chǔ)是基礎(chǔ)，備份是核心，恢復(fù)是關(guān)鍵。信息網(wǎng)絡(luò)采用本地備份與異地備份的混合方式，以確保數(shù)據(jù)或系統(tǒng)的安全。通過(guò)各種層面的冗余技術(shù)，減少單點(diǎn)故障；使用合適的備份技術(shù)實(shí)現(xiàn)針對(duì)各個(gè)位置存放的數(shù)據(jù)的保護(hù)、隔離和嚴(yán)格訪問(wèn)，保證數(shù)據(jù)的一致性、安全性和完整性。包括：存儲(chǔ)磁盤(pán)的冗余設(shè)計(jì)，對(duì)系統(tǒng)盤(pán)采用RAID1技術(shù)，對(duì)數(shù)據(jù)盤(pán)采用RAID5技術(shù)。數(shù)據(jù)的冗余備份設(shè)計(jì)：數(shù)據(jù)庫(kù)數(shù)據(jù)文件的存放采用基于SAN架構(gòu)的存儲(chǔ)方案，在保證讀取速度的同時(shí)，利用遠(yuǎn)程數(shù)據(jù)鏡像和數(shù)據(jù)復(fù)制技術(shù)進(jìn)行冗余備份，在區(qū)域性空難發(fā)生時(shí)能更大限度保證數(shù)據(jù)完整和安全。對(duì)核心業(yè)務(wù)的數(shù)據(jù)庫(kù)數(shù)據(jù)，還可利用SQLServer自帶的數(shù)據(jù)備份工具進(jìn)行數(shù)據(jù)庫(kù)文件備份，有效應(yīng)對(duì)文件損壞或人為誤操作帶來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)。對(duì)正常業(yè)務(wù)中關(guān)鍵數(shù)據(jù)或全業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù)，將主數(shù)據(jù)庫(kù)的數(shù)據(jù)以邏輯的方式在異地機(jī)房建設(shè)一個(gè)同樣的數(shù)據(jù)庫(kù)，并且實(shí)時(shí)更新數(shù)據(jù)，當(dāng)主數(shù)據(jù)庫(kù)因?yàn)?zāi)損壞或失去，異地?cái)?shù)據(jù)庫(kù)可以及時(shí)接管業(yè)務(wù)，從而達(dá)到容災(zāi)的目的。

三、結(jié)論及展望

篇3

【關(guān)鍵詞】企業(yè)，信息，安全

【中圖分類號(hào)】F270.7 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2012）11-0130-02

一、企業(yè)信息安全現(xiàn)狀

近年來(lái)，隨著企業(yè)信息化進(jìn)程的不斷推進(jìn)，許多企業(yè)都完成了涵蓋基礎(chǔ)自動(dòng)化、過(guò)程控制、生產(chǎn)執(zhí)行到專業(yè)管理的信息系統(tǒng)，內(nèi)容覆蓋了硬件網(wǎng)絡(luò)平臺(tái)建設(shè)、辦公自動(dòng)化（OA）、企業(yè)資源計(jì)劃（ERP）、對(duì)基礎(chǔ)網(wǎng)絡(luò)、過(guò)程自動(dòng)化進(jìn)行升級(jí)改造等，企業(yè)業(yè)務(wù)的關(guān)鍵流程如研發(fā)、生產(chǎn)與銷售對(duì)信息系統(tǒng)的依賴性非常高。企業(yè)日益復(fù)雜龐大的信息系統(tǒng)也無(wú)時(shí)無(wú)刻在面臨來(lái)自于內(nèi)部和外部的威脅。

當(dāng)前企業(yè)信息可能面臨的安全威脅、存在的安全隱患。

1.可能面臨的安全威脅

物理安全威脅主要表現(xiàn)在企業(yè)的軟件資產(chǎn)和硬件資產(chǎn)、面臨自然災(zāi)害、環(huán)境事故及不法分子通過(guò)物理手段進(jìn)行的違法犯罪等威脅；網(wǎng)絡(luò)安全威脅主要表現(xiàn)在黑客攻擊、垃圾郵件泛濫、病毒、木馬造成網(wǎng)絡(luò)擁塞與癱瘓，內(nèi)部攻擊，沖突域造成網(wǎng)絡(luò)風(fēng)暴，黑客的入侵或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密等。

數(shù)據(jù)安全威脅主要表現(xiàn)在：數(shù)據(jù)庫(kù)數(shù)據(jù)丟失，財(cái)務(wù)、客戶信息及訂單數(shù)據(jù)被破壞或刪除、竊取、備份數(shù)據(jù)被人惡意篡改、不可預(yù)測(cè)的災(zāi)難導(dǎo)致數(shù)據(jù)庫(kù)的崩潰等。

內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全——隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。

2.可能存在的安全隱患

網(wǎng)絡(luò)規(guī)劃不完善。信息網(wǎng)絡(luò)建設(shè)的初期，沒(méi)有把構(gòu)建信息安全體系作為主要的功能來(lái)實(shí)現(xiàn)。雖然以后采取了一些安全措施，缺乏整體性和系統(tǒng)性。目前從便攜設(shè)備到可移動(dòng)存儲(chǔ)，再到智能手機(jī)、PDA，以及無(wú)線網(wǎng)絡(luò)等。每一項(xiàng)新技術(shù)，每一類新產(chǎn)品的推廣伴隨著新的問(wèn)題。企業(yè)在面臨著日趨復(fù)雜的威脅的同時(shí)，遭受的攻擊次數(shù)也日益增多。

技術(shù)設(shè)計(jì)不完善。隨著電腦技術(shù)的不斷發(fā)展，一些技術(shù)上的漏洞和設(shè)計(jì)方面的缺陷也就隨之而來(lái)。如操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)軟件及應(yīng)用軟件等各個(gè)層次及網(wǎng)絡(luò)設(shè)備本身存在的技術(shù)安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或貫徹落實(shí)不夠；員工的安全防范意識(shí)不強(qiáng)；構(gòu)建安全體系的資金投入與運(yùn)維現(xiàn)狀需求存在矛盾等因素，導(dǎo)致安全管理層面的安全措施及安全技術(shù)難以有效實(shí)施。

為了防止信息安全事件的發(fā)生，通行的做法是通過(guò)部署防火墻、入侵檢測(cè)、入侵防范系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份、數(shù)據(jù)加密、漏洞掃描、上網(wǎng)行為管理系統(tǒng)等進(jìn)行防范。然而，此類技術(shù)手段，卻無(wú)法阻止人為因素導(dǎo)致的破壞。

針對(duì)上述分析，筆者認(rèn)為，構(gòu)建一個(gè)規(guī)范的信息安全保障體系必須從管理、技術(shù)兩方面著手，通過(guò)建立企業(yè)內(nèi)部信息安全管理體系的有效措施把可能面臨的安全威脅最大限度地弱化，同時(shí)針對(duì)信息系統(tǒng)的“弱點(diǎn)”進(jìn)行改進(jìn)，以此降低潛在的安全危險(xiǎn)。

二、加強(qiáng)信息安全工作的途徑

1.建立安全體系結(jié)構(gòu)框架

俗話說(shuō)“三分技術(shù)，七分管理”，任何技術(shù)措施只能起到增強(qiáng)信息安全防范的作用。為此，管理部門首先需借助相應(yīng)的行政手段制定適合本單位的信息安全管理制度，建立一個(gè)長(zhǎng)期有效的安全管理機(jī)制。加強(qiáng)安全技術(shù)的管理和人員的培訓(xùn)，提高員工的信息化應(yīng)用水平。其次，技術(shù)部門要加強(qiáng)物理場(chǎng)所的安全管理，制定相應(yīng)的訪問(wèn)控制策略規(guī)范網(wǎng)絡(luò)應(yīng)用安全，整合現(xiàn)有資源實(shí)現(xiàn)能夠支撐邊界安全和訪問(wèn)控制的要件，同時(shí)實(shí)現(xiàn)從終端行為一主機(jī)全過(guò)程的完整安全，實(shí)現(xiàn)公司業(yè)務(wù)正常有序的運(yùn)行。

2.通過(guò)實(shí)施信息安全管理體系提升管理水平

信息安全管理體系是系統(tǒng)地對(duì)組織敏感信息進(jìn)行管理，涉及到人、程序和信息技術(shù)系統(tǒng)，其依據(jù)是信息安全管理體系標(biāo)準(zhǔn)-IS027001。IS027001清晰地定義了ISMS是什么，并對(duì)企業(yè)主要安全管理過(guò)程進(jìn)行了詳細(xì)的描述。通過(guò)對(duì)企業(yè)信息系統(tǒng)的信息安全方針，信息安全組織，資產(chǎn)管理、人力資源安全、物理和環(huán)境安全管理、通信學(xué)術(shù)研究和操作管理、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)，信息安全事故管理、業(yè)務(wù)連續(xù)性，符合性（IS027002要求的各個(gè)控制域）11個(gè)方面的處置，來(lái)建立企業(yè)信息安全管理體系。ISMS建設(shè)分為五個(gè)階段，有準(zhǔn)備階段、風(fēng)險(xiǎn)評(píng)估階段、實(shí)施階段，運(yùn)行階段和持續(xù)改進(jìn)階段。

2.1 準(zhǔn)備現(xiàn)狀調(diào)研階段

現(xiàn)狀調(diào)研階段的主要工作是對(duì)組織的信息安全管理相關(guān)政策、制度和規(guī)范、業(yè)務(wù)特征或服務(wù)、現(xiàn)有的組織情況、網(wǎng)絡(luò)信息與配置、日常操作與管理等內(nèi)容進(jìn)行調(diào)查，以了解組織業(yè)務(wù)，挖掘組織中存在的安全問(wèn)題，分析組織內(nèi)可能存在的信息安全風(fēng)險(xiǎn)，參照相關(guān)標(biāo)準(zhǔn)給出差距分析報(bào)告?？梢圆捎梦募徍?、問(wèn)卷調(diào)查、技術(shù)工具評(píng)估及現(xiàn)場(chǎng)訪談等方式進(jìn)行。

2.2 風(fēng)險(xiǎn)評(píng)估階段

在準(zhǔn)備階段工作的基礎(chǔ)上，根據(jù)IS027001標(biāo)準(zhǔn)的要求，對(duì)企業(yè)目前的信息安全現(xiàn)狀進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過(guò)風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)管理計(jì)劃以及需要采取的控制措施。此外，通過(guò)風(fēng)險(xiǎn)評(píng)估，還可以了解到目前企業(yè)信息安全管理的現(xiàn)狀，為下一步編寫(xiě)ISMS文件準(zhǔn)備基礎(chǔ)資料。

2.3 架構(gòu)設(shè)計(jì)階段

架構(gòu)設(shè)計(jì)階段可以考慮從安全策略保障體系、安全組織保障體系、安全運(yùn)行保障體系、安全技術(shù)保障體系、應(yīng)急恢復(fù)保障體系、保密體系等方面構(gòu)建組織的信息安全總體架構(gòu)。

2.4 實(shí)施階段

實(shí)施階段將進(jìn)行ISMS文件體系的策劃和編寫(xiě)，確定需要編寫(xiě)的文件數(shù)量以及各文件需要包括的控制措施。同時(shí)，將已有的操作規(guī)程、規(guī)范文件整理為具體操作手冊(cè)，作為三級(jí)文件，以指導(dǎo)信息安全管理體系項(xiàng)目的后繼實(shí)施，最終形成一整套符合企業(yè)信息安全管理現(xiàn)狀的、可實(shí)施的.文件化的信息安全管理體系。

2.5 運(yùn)行階段

運(yùn)行階段將依據(jù)建立的ISMS進(jìn)行實(shí)施。主要的活動(dòng)有認(rèn)證機(jī)構(gòu)的預(yù)審、對(duì)企業(yè)信息安全專員培訓(xùn)、全員培訓(xùn)和意識(shí)教育整改活動(dòng)、記錄系統(tǒng)運(yùn)行等各項(xiàng)活動(dòng)。在體系運(yùn)行一段時(shí)間以后，將通過(guò)內(nèi)部審核的方式評(píng)審企業(yè)信息安全管理體系運(yùn)行的符合性。

2.6 持續(xù)改進(jìn)階段

項(xiàng)目的完成只是企業(yè)ISMS建立和完善的一個(gè)首要步驟。要通過(guò)內(nèi)審與管理評(píng)審等持續(xù)改進(jìn)活動(dòng)，使企業(yè)的信息安全管理工作得到不斷的完善和提高。信息安全的最大挑戰(zhàn)在于必須面對(duì)各種各樣的威脅源、不斷更新和不可預(yù)知的方法、在不確定的時(shí)間對(duì)企業(yè)重要信息資產(chǎn)產(chǎn)生破壞，所以必須要有能夠進(jìn)行持續(xù)改善的績(jī)效管理。

3.實(shí)施、運(yùn)行ISMS需要注意的問(wèn)題

4.1 提高風(fēng)險(xiǎn)意識(shí)，加強(qiáng)安全組織建設(shè)工作；以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，提高風(fēng)險(xiǎn)管理的有效性；隊(duì)總體經(jīng)營(yíng)目標(biāo)為核心，制定科學(xué)的安全管理策略；通過(guò)對(duì)企業(yè)安全管理流程及標(biāo)準(zhǔn)的建立，完善企業(yè)的安全運(yùn)維體系及響應(yīng)機(jī)制。

4.2 提高行業(yè)信息化管理水平，信息安全體系框架構(gòu)建是關(guān)鍵。而信息安全體系框架構(gòu)建必須管理、技術(shù)兩者雙管齊下。

4.3 循序漸進(jìn)，動(dòng)態(tài)管理。信息安全體系建設(shè)并不是一蹴而就的，是分步實(shí)施、循序漸進(jìn)的過(guò)程。定期進(jìn)行相關(guān)的安全評(píng)估，注重各層次、各方面、各時(shí)期的相互協(xié)調(diào)、匹配和銜接。根據(jù)當(dāng)前的技術(shù)環(huán)境和安全意識(shí)的深化及時(shí)排查、修改、調(diào)整相關(guān)的安全策略。

篇4

 

在信息全球化的影響下，網(wǎng)絡(luò)已經(jīng)對(duì)人們的生活產(chǎn)生出了極為深刻的影響。因此，人們對(duì)網(wǎng)絡(luò)環(huán)境下的信息安全問(wèn)題也開(kāi)始更加關(guān)注。在長(zhǎng)期的發(fā)展過(guò)程中，人們將網(wǎng)絡(luò)比喻成了一把雙刃劍，雖然存在著較大的優(yōu)勢(shì)，但是其問(wèn)題也不容小覷。在企業(yè)中運(yùn)用網(wǎng)絡(luò)，在促進(jìn)企業(yè)發(fā)展的同時(shí)，也很容易造成企業(yè)中的信息出現(xiàn)泄漏的現(xiàn)象，且一旦信息泄漏，就會(huì)造成嚴(yán)重的影響。

 

1 企業(yè)中信息安全的重要性

 

企業(yè)想要實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的發(fā)展，就要保證自身信息上的安全，同時(shí)還要認(rèn)識(shí)到信息安全的重要性，從長(zhǎng)遠(yuǎn)的角度上出發(fā)來(lái)保護(hù)好信息。企業(yè)想要實(shí)現(xiàn)發(fā)展，就要做好基礎(chǔ)性的工作，完善基礎(chǔ)設(shè)施建設(shè)，建立出完善的信息安全保障系統(tǒng)，在健康的網(wǎng)絡(luò)環(huán)境下來(lái)實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的發(fā)展。隨著科學(xué)技術(shù)的不斷發(fā)展，云計(jì)算、大數(shù)據(jù)以及互聯(lián)網(wǎng)等將引領(lǐng)著未來(lái)IT的發(fā)展[1]。

 

2 做好企業(yè)信息安全建設(shè)的措施

 

對(duì)于企業(yè)信息安全來(lái)說(shuō)，是一項(xiàng)系統(tǒng)性的工程，并需要在技術(shù)與管理上做好相關(guān)工作，這樣才能保證信息的安全。因此，在實(shí)際中就要認(rèn)識(shí)到技術(shù)在信息安全管理中的重要性，同時(shí)還要完善系統(tǒng)的管理工作，發(fā)揮出應(yīng)有的作用與效果，同時(shí)還要做好風(fēng)險(xiǎn)評(píng)估與技術(shù)創(chuàng)新等工作，以此來(lái)保證企業(yè)中信息的安全。

 

2.1 安全風(fēng)險(xiǎn)評(píng)估

 

隨著網(wǎng)絡(luò)的不斷發(fā)展，信息的種類也開(kāi)始逐漸增多，這樣所產(chǎn)生的問(wèn)題也在不斷的增多，并呈現(xiàn)出了越來(lái)越厲害的趨勢(shì)，所以也就使得人們開(kāi)始思考籌劃信息系統(tǒng)的過(guò)程中，為了保證系統(tǒng)的健康營(yíng)運(yùn)而建造出全面的安全保障系統(tǒng)。通過(guò)對(duì)目前的應(yīng)用系統(tǒng)進(jìn)行分析與評(píng)估等工作是實(shí)際可行的辦法。因此，在實(shí)際中企業(yè)中的信息系統(tǒng)根據(jù)風(fēng)險(xiǎn)管理的方法來(lái)對(duì)可能存在的風(fēng)險(xiǎn)以及需要進(jìn)行保護(hù)的信息進(jìn)行分析，以風(fēng)險(xiǎn)評(píng)估為最終結(jié)果來(lái)選擇出適當(dāng)?shù)拇胧?，?yīng)對(duì)好可能出現(xiàn)的風(fēng)險(xiǎn)。企業(yè)只有對(duì)安全風(fēng)險(xiǎn)進(jìn)行有效的評(píng)估，才能夠結(jié)合實(shí)際問(wèn)題進(jìn)行科學(xué)合理的分析，采取有效的措施避免風(fēng)險(xiǎn)出現(xiàn)。

 

2.2 實(shí)際技術(shù)上的創(chuàng)新與管理

 

時(shí)代的發(fā)展是建立在創(chuàng)新基礎(chǔ)之上的，只有實(shí)現(xiàn)不斷的創(chuàng)新，才能實(shí)現(xiàn)更好的發(fā)展。因此，在技術(shù)不斷創(chuàng)新的影響下，就要提高其質(zhì)量，保證效益，建立出以市場(chǎng)發(fā)展為基礎(chǔ)的創(chuàng)新機(jī)制。對(duì)于企業(yè)來(lái)說(shuō)，想要在行業(yè)市場(chǎng)競(jìng)爭(zhēng)中占據(jù)一席之地，就要做好創(chuàng)新工作，全面實(shí)現(xiàn)創(chuàng)新理念，認(rèn)識(shí)到制度創(chuàng)新是技術(shù)創(chuàng)新的基礎(chǔ)，構(gòu)建出完善的管理體系，提高程序以及方法上的科學(xué)性，同時(shí)還要保證財(cái)力上的支持，實(shí)現(xiàn)技術(shù)的改進(jìn)與創(chuàng)新[2]。

 

首先，要做好技術(shù)上的創(chuàng)新。想要保證信息的安全，就要制定出信息的搶救措施，如進(jìn)行數(shù)據(jù)恢復(fù)、備份以及銷毀等安全預(yù)防措施。普遍采用的恢復(fù)技術(shù)有HD Doctor等。對(duì)于網(wǎng)絡(luò)的正常運(yùn)行來(lái)說(shuō)，安全是最基礎(chǔ)的，想要保證網(wǎng)絡(luò)的安全，就要從多個(gè)層面上出發(fā)來(lái)進(jìn)行立體保護(hù)。同時(shí)還要明確怎樣進(jìn)行防護(hù)，掌握風(fēng)險(xiǎn)的來(lái)源。因此，在實(shí)際中就要對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并將重點(diǎn)放在安全測(cè)試評(píng)估技術(shù)上。其目標(biāo)是要掌握好相關(guān)的技術(shù)，完善的測(cè)評(píng)流程，健全風(fēng)險(xiǎn)評(píng)估的體系。

 

其次，完善管理措施。在長(zhǎng)期的發(fā)展過(guò)程中，企業(yè)中的信息化建設(shè)開(kāi)始從戰(zhàn)術(shù)地位向著戰(zhàn)略地位的方向發(fā)展了。因此，就要從經(jīng)營(yíng)戰(zhàn)略的層面上出發(fā)，將信息化建設(shè)與企業(yè)中的經(jīng)營(yíng)戰(zhàn)略結(jié)合在一起，在環(huán)境分析的基礎(chǔ)上來(lái)制定出發(fā)展戰(zhàn)略，及時(shí)對(duì)企業(yè)中的信息化綱領(lǐng)進(jìn)行調(diào)整。同時(shí)還要明確的是要在滿足企業(yè)發(fā)展戰(zhàn)略的基礎(chǔ)上來(lái)明確企業(yè)中的信息化愿景。第一，建立出完善的管理制度，明確管理的方案，以及安全服務(wù)等方面的內(nèi)容，從企業(yè)自身的實(shí)際情況上出發(fā)沒(méi)離開(kāi)選擇可以保證企業(yè)自身信息安全的產(chǎn)品。第二，建立出運(yùn)維管理制度。在這一制度中要包含安全監(jiān)控、設(shè)備設(shè)施的安全以及應(yīng)急預(yù)案的處理等方面。第三，將監(jiān)督檢查機(jī)制落實(shí)到實(shí)際中去。通過(guò)對(duì)各項(xiàng)制度的實(shí)際情況進(jìn)行檢查，可以保證企業(yè)中信息的安全[3]。

 

2.3 充分運(yùn)用防火墻技術(shù)

 

在網(wǎng)絡(luò)信息安全的管理中，防火墻技術(shù)屬于一項(xiàng)較為有效的安全技術(shù)，能夠按照特定的規(guī)則，從而來(lái)允許以及限制數(shù)據(jù)的通過(guò)?，F(xiàn)今很多企業(yè)都廣泛應(yīng)用防火墻技術(shù)，以此來(lái)保證自身企業(yè)的信息安全。并且防火墻自身具有很強(qiáng)的抗攻擊性，不會(huì)被病毒所控制。防火墻能夠有效防止黑客訪問(wèn)用戶的及其，以此來(lái)組織黑客拷貝篡改用戶的信息，以此來(lái)保證信息的安全。同時(shí)防火墻技術(shù)能夠?qū)?nèi)部的網(wǎng)絡(luò)進(jìn)行劃分，從而來(lái)將重點(diǎn)的網(wǎng)段進(jìn)行隔離，以此來(lái)對(duì)其進(jìn)行保護(hù)。另外，一些防火墻技術(shù)也會(huì)支持互聯(lián)網(wǎng)服務(wù)特性的企業(yè)內(nèi)部構(gòu)建網(wǎng)絡(luò)技術(shù)體系，也即是所謂的VPN，VPN會(huì)將全球的LAN以及電子網(wǎng)進(jìn)行整合，從而來(lái)專用通信線路，實(shí)現(xiàn)資源的共享。

 

3 結(jié)語(yǔ)

 

總的來(lái)說(shuō)，想要保證企業(yè)中的信息安全，就要堅(jiān)持從信息安全技術(shù)與做好內(nèi)部管理工作上出發(fā)，通過(guò)安全技術(shù)的支撐來(lái)提高內(nèi)部管理工作的效果，同時(shí)還要落實(shí)管理與監(jiān)控工作，加強(qiáng)信息安全教育，建立出完善的管理制度，提高安全管理的水平。

篇5

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護(hù)理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補(bǔ)救，導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高，信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過(guò)程包括：分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識(shí)

在企業(yè)信息化系統(tǒng)安全管理中，防護(hù)設(shè)備和防護(hù)策略只是其中的一部分，企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)，絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)，強(qiáng)化企業(yè)員工對(duì)信息安全的概念，提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)，就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源，并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限，達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí)，我們需要重點(diǎn)關(guān)注以下幾個(gè)方面：

3.1 實(shí)施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范，造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏。比如通過(guò)U盤(pán)等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類高危的行為，我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前，就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺(tái)

企業(yè)在信息化建設(shè)中，考慮總部和分支機(jī)構(gòu)的信息化需要，必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接，這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù)，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)，要面對(duì)多個(gè)部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會(huì)話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度，做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)，真正實(shí)現(xiàn)OSI的L2～L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系，重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)，企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語(yǔ)

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過(guò)程中是一個(gè)長(zhǎng)期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃，實(shí)施過(guò)程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問(wèn)控制，保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京：機(jī)械工業(yè)出版社，2005.

[2]蔣培靜.歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡(jiǎn)介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

篇6

【關(guān)鍵詞】 信息技術(shù) 電網(wǎng)企業(yè) 網(wǎng)絡(luò)信息 安全管理

一、我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息發(fā)展現(xiàn)狀

近幾年來(lái)，我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息發(fā)展迅猛，電網(wǎng)企業(yè)信息化基礎(chǔ)設(shè)施較為完善，電網(wǎng)企業(yè)和其他企業(yè)相比信息化程度相對(duì)較高，電網(wǎng)企業(yè)各部門人員都使用計(jì)算機(jī)進(jìn)行辦公。電網(wǎng)企業(yè)營(yíng)銷管理系統(tǒng)應(yīng)用廣泛，我國(guó)各地區(qū)電網(wǎng)企業(yè)都建立了網(wǎng)絡(luò)信息管理系統(tǒng)，電網(wǎng)企業(yè)業(yè)務(wù)受理都呈現(xiàn)出信息化特征。隨著信息技術(shù)的不斷提高，我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)管理信息系統(tǒng)逐漸建立起來(lái)，并在一定程度上得到推廣，國(guó)家電網(wǎng)企業(yè)大力開(kāi)展網(wǎng)絡(luò)管理信息系統(tǒng)建設(shè)，在電力生產(chǎn)、電力設(shè)備使用、安全監(jiān)督和電力營(yíng)銷等方面都應(yīng)用到網(wǎng)絡(luò)管理信息系統(tǒng)，電網(wǎng)企業(yè)的網(wǎng)絡(luò)化和信息化增強(qiáng)，電網(wǎng)企業(yè)將網(wǎng)絡(luò)信息建設(shè)和管理放到首位，旨在通過(guò)信息技術(shù)推動(dòng)電網(wǎng)企業(yè)的可持續(xù)發(fā)展。

二、電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題

1.信息化機(jī)構(gòu)建設(shè)尚不完善。電網(wǎng)企業(yè)網(wǎng)絡(luò)信息部門沒(méi)有受到足夠的重視，電網(wǎng)企業(yè)信息管理部門沒(méi)有在企業(yè)內(nèi)部設(shè)置專門的信息化機(jī)構(gòu)，電網(wǎng)企業(yè)沒(méi)有科學(xué)合理的信息管理崗位，電網(wǎng)企業(yè)信息管理部門建設(shè)落后，信息化機(jī)構(gòu)建設(shè)尚不完善，電網(wǎng)企業(yè)缺乏專業(yè)技能良好、綜合素質(zhì)較高的復(fù)合型人才。2.電網(wǎng)企業(yè)網(wǎng)絡(luò)信息化管理水平低下。和我國(guó)信息技術(shù)的發(fā)展和應(yīng)用相比，國(guó)家電網(wǎng)企業(yè)網(wǎng)絡(luò)信息化管理水平相對(duì)較低，電網(wǎng)企業(yè)沒(méi)有對(duì)網(wǎng)絡(luò)信息化管理進(jìn)行不斷優(yōu)化和革新，雖然我國(guó)很多電網(wǎng)企業(yè)都將先進(jìn)的信息系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)運(yùn)用到企業(yè)運(yùn)營(yíng)中，但是并沒(méi)有及時(shí)對(duì)電網(wǎng)企業(yè)的網(wǎng)絡(luò)信息管理模式進(jìn)行革新和完善，這就導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)不能達(dá)到預(yù)期的使用效果。

三、加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理的有效措施

1.重視電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全規(guī)劃。對(duì)我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息進(jìn)行規(guī)劃的主要目的是提升網(wǎng)絡(luò)信息系統(tǒng)的安全性，對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題進(jìn)行全面考慮，對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全進(jìn)行科學(xué)合理的規(guī)劃，建立全面統(tǒng)一的網(wǎng)絡(luò)信息安全管理體系，能在一定程度上提高電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全性。

2.合理劃分網(wǎng)絡(luò)安全區(qū)域。要對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行合理劃分，根據(jù)電網(wǎng)企業(yè)各部分網(wǎng)絡(luò)信息的安全密級(jí)和安全規(guī)劃對(duì)網(wǎng)絡(luò)安全區(qū)域進(jìn)行科學(xué)合理的劃分，通常情況下可以將電網(wǎng)企業(yè)網(wǎng)絡(luò)安全區(qū)域劃分為三部分，即重點(diǎn)防范區(qū)域、一般防范區(qū)域和完全開(kāi)放區(qū)域，這樣才能實(shí)現(xiàn)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全管理，使得個(gè)網(wǎng)絡(luò)區(qū)域的工作能夠順利開(kāi)展。

3.加強(qiáng)網(wǎng)絡(luò)信息安全管理和制度建設(shè)。為確保電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全性良好，電網(wǎng)企業(yè)應(yīng)該將網(wǎng)絡(luò)信息安全管理和相關(guān)制度建設(shè)當(dāng)做重點(diǎn)內(nèi)容，對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息日志進(jìn)行嚴(yán)格管理和安全審計(jì)，充分利用防火墻和入侵檢測(cè)系統(tǒng)的審計(jì)功能，對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息日志進(jìn)行準(zhǔn)確記錄。重視并加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理制度建設(shè)，明確電網(wǎng)企業(yè)從業(yè)人員的職責(zé)和義務(wù)，制定網(wǎng)絡(luò)信息安全事故應(yīng)急處理程序，加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理基礎(chǔ)設(shè)施建設(shè)，確保網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行環(huán)境良好，電網(wǎng)企業(yè)應(yīng)該做好防火防水設(shè)計(jì)，確保電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全性能良好，運(yùn)行可靠。

4.加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理人員的綜合培訓(xùn)。電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理人員的專業(yè)水平和綜合素質(zhì)對(duì)網(wǎng)絡(luò)信息安全具有極大的影響，電網(wǎng)企業(yè)必須重視并加強(qiáng)網(wǎng)絡(luò)信息管理人員的綜合培訓(xùn)，提高網(wǎng)絡(luò)信息高級(jí)管理人員的綜合能力，使其了解網(wǎng)絡(luò)信息安全管理的策略及目標(biāo)，制定科學(xué)合理的電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理制度。加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)行管理和維護(hù)人員綜合能力的培訓(xùn)，使其能夠充分理解電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理策略，掌握網(wǎng)絡(luò)信息系統(tǒng)安全操作和維護(hù)技術(shù)。讓網(wǎng)絡(luò)信息管理人員充分了解網(wǎng)絡(luò)信息安全操作流程，獲得全面的電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全知識(shí)，提高網(wǎng)絡(luò)信息管理人員的安全意識(shí)和技能，確保網(wǎng)絡(luò)信息管理人員專業(yè)水平較高，綜合素質(zhì)良好，使其在電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行、管理和維護(hù)上充分發(fā)揮自己的職能。

總結(jié)：隨著信息技術(shù)的快速發(fā)展，電網(wǎng)企業(yè)信息化成為一種必然的發(fā)展趨勢(shì)，電網(wǎng)企業(yè)在電力生產(chǎn)和運(yùn)營(yíng)的過(guò)程中只有做好網(wǎng)絡(luò)信息安全管理工作，在不斷的實(shí)踐過(guò)程中發(fā)現(xiàn)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理中存在的問(wèn)題，探索出加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理的有效措施，才能實(shí)現(xiàn)電網(wǎng)企業(yè)的可持續(xù)發(fā)展。

參 考 文 獻(xiàn)

[1]朱貴強(qiáng).論企業(yè)網(wǎng)絡(luò)信息安全管理[J].中國(guó)科教博覽，2005，（6）.

[2]閆斌，曲俊華，齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].現(xiàn)代電力，2003，（1）.

篇7

【關(guān)鍵詞】電力企業(yè)；網(wǎng)絡(luò)；信息安全管理；研究；建議

當(dāng)下時(shí)代，網(wǎng)絡(luò)信息技術(shù)應(yīng)用十分廣泛而且方便，而作為各種行業(yè)之中最為重要的電力企業(yè)同樣也需要網(wǎng)絡(luò)信息技術(shù)，運(yùn)用網(wǎng)絡(luò)信息技術(shù)，可以給電力企業(yè)帶來(lái)快速，高額的經(jīng)濟(jì)效益，但是一旦發(fā)生網(wǎng)絡(luò)信息泄露，或者是信息數(shù)據(jù)被別人盜取或者修改，經(jīng)濟(jì)效益將會(huì)受到很大的損失。所以說(shuō)當(dāng)務(wù)之急是所有的電力企業(yè)，都應(yīng)該仔細(xì)地面對(duì)和研究現(xiàn)在網(wǎng)絡(luò)信息安全的問(wèn)題，然后提出合理的措施來(lái)預(yù)防事故的發(fā)生，保護(hù)保護(hù)我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全刻不容緩。

1當(dāng)下中國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全的問(wèn)題與現(xiàn)狀

1.1網(wǎng)絡(luò)信息技術(shù)對(duì)于電力企業(yè)的重要性

如今是21世紀(jì)，網(wǎng)絡(luò)信息技術(shù)迅速發(fā)展，作為國(guó)家重中之重的電力企業(yè)對(duì)于網(wǎng)絡(luò)技術(shù)的應(yīng)用更是十分完善，而具體到各個(gè)部門各個(gè)機(jī)關(guān)，也會(huì)有他們自己相應(yīng)的局域網(wǎng)進(jìn)行日常的工作和管理，網(wǎng)絡(luò)信息技術(shù)，可以說(shuō)是，電力企業(yè)的燃料，一種不可缺失的依靠。據(jù)資料顯示，電力企業(yè)的各大崗位對(duì)于，網(wǎng)絡(luò)的使用率將近達(dá)到了百分之百，例如，發(fā)電生產(chǎn)自動(dòng)化監(jiān)控系統(tǒng)，就是利用網(wǎng)絡(luò)信息技術(shù)與電力企業(yè)的結(jié)合，很大的提高了生產(chǎn)過(guò)程和電力調(diào)度的自動(dòng)化水平，而我國(guó)各大電力企業(yè)，都在，盡快地規(guī)劃企業(yè)信息化發(fā)展，全力建設(shè)我們的企業(yè)信息化工程，從而實(shí)現(xiàn)電力工業(yè)現(xiàn)代化，信息化。

1.2目前我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全的現(xiàn)狀

以時(shí)間為線，我們可以發(fā)現(xiàn)全球那計(jì)算機(jī)犯罪，屢發(fā)不止，雖然為了維護(hù)網(wǎng)絡(luò)信息安全，都在努力升級(jí)和維護(hù)防衛(wèi)系統(tǒng)，但是黑客們的電腦病毒，也是隨著時(shí)代的發(fā)展而不斷更新，我們電力企業(yè)對(duì)于網(wǎng)絡(luò)信息安全的維護(hù)，是一個(gè)長(zhǎng)久的計(jì)劃，1分1秒都不能松懈，然而近年來(lái)經(jīng)常發(fā)生的信息安全受損事件可以充分證明，我們對(duì)于硬件和軟件的更新，還未能做到完善，對(duì)于網(wǎng)絡(luò)信息的安全管理措施落實(shí)的還不到位，我們電力企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力還沒(méi)有跟得上時(shí)代與技術(shù)的發(fā)展，維護(hù)工作并沒(méi)有做好。

1.3目前我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全的問(wèn)題

首先最明顯的一點(diǎn)問(wèn)題，就是我國(guó)電力企業(yè)對(duì)于網(wǎng)絡(luò)安全的意識(shí)不高，極度缺少負(fù)責(zé)網(wǎng)絡(luò)安全的人才，網(wǎng)絡(luò)信息安全問(wèn)題未能在員工們之間得到重視，員工只注重網(wǎng)絡(luò)系統(tǒng)是否方便快捷，認(rèn)為信息安全隱患不會(huì)發(fā)生在自己的身邊，于是讓計(jì)算機(jī)犯罪有了可乘之機(jī)。還有我們電力企業(yè)內(nèi)的硬件設(shè)施，和軟件，看似性能配置都極佳，但是還有可能有一部分設(shè)備本身，就有著缺陷和安全漏洞的存在，部分技術(shù)先進(jìn)的黑客輕而易舉的就能入侵到我們的電力企業(yè)內(nèi)部之中，黑客技術(shù)嫻熟的網(wǎng)絡(luò)黑客常常最先攻擊涉及國(guó)計(jì)民生的電力企業(yè)系統(tǒng)。最后一點(diǎn)問(wèn)題就是我們的網(wǎng)絡(luò)安全防護(hù)能力雖然日益增強(qiáng)，但是還不能完全防止網(wǎng)絡(luò)安全信息事故的發(fā)生，一旦受到黑客的攻擊，電力企業(yè)內(nèi)部的數(shù)據(jù)損失，或者被盜竊，很難找回這些數(shù)據(jù)，因?yàn)槲覀儧](méi)有一個(gè)完善的系統(tǒng)來(lái)備份或者恢復(fù)數(shù)據(jù)。

1.4電力企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題出現(xiàn)的原因

對(duì)于企業(yè)內(nèi)部信息系統(tǒng)的訪問(wèn)應(yīng)該局限于內(nèi)部員工，身份認(rèn)證這一關(guān)沒(méi)有把好關(guān)就會(huì)帶來(lái)漏洞。眾所周知微軟已經(jīng)停止了對(duì)WindowsXP的技術(shù)服務(wù)，所以系統(tǒng)本身的漏洞無(wú)法修補(bǔ)，然而我們國(guó)內(nèi)很多電力企業(yè)的計(jì)算機(jī)應(yīng)用著這個(gè)系統(tǒng)，風(fēng)險(xiǎn)自然會(huì)增加。另一方面我國(guó)電力企業(yè)管理層人員的網(wǎng)絡(luò)安全意識(shí)極度貧乏，雖然部分歲數(shù)較小的管理員工具有一定的網(wǎng)絡(luò)安全意識(shí)，但是由于缺乏電力企業(yè)網(wǎng)絡(luò)信息安全方面的知識(shí)，也無(wú)法保證企業(yè)信息的安全，管理層尚且如此，員工們得不到企業(yè)的管理和培訓(xùn)，更無(wú)法有效地保護(hù)好企業(yè)信息。最重要的是電力企業(yè)很少專門的為信息安全部門設(shè)置機(jī)構(gòu)，缺乏信息安全管理機(jī)制，部分電力企業(yè)甚至只讓一名相關(guān)人員負(fù)責(zé)。這樣是遠(yuǎn)遠(yuǎn)無(wú)法滿足一個(gè)企業(yè)信息安全的需要。

2管理電力企業(yè)信息安全的措施

2.1加強(qiáng)網(wǎng)絡(luò)信息安全意識(shí)的宣傳和培訓(xùn)

電力企業(yè)信息安全管理應(yīng)以人為本，把網(wǎng)絡(luò)信息安全的重要性落實(shí)到每個(gè)人，切實(shí)加強(qiáng)各個(gè)層次員工的信息安全意識(shí)，同時(shí)培訓(xùn)提高工作在信息安全管理一線的員工的技能水平，只有提高了工作人員的意識(shí)，下一步計(jì)算機(jī)程序的完善才有了意義。網(wǎng)絡(luò)信息安全意識(shí)應(yīng)該被寫(xiě)入電力企業(yè)文化之中。尤其是專業(yè)做電力企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全的更為稀少，所以還應(yīng)加強(qiáng)對(duì)于此類人才的招聘與培養(yǎng)，為長(zhǎng)久的安全防護(hù)工作埋下種子。

2.2建立完善的信息安全管理制度

為了維護(hù)電力企業(yè)信息網(wǎng)絡(luò)安全，必須建立完善的網(wǎng)絡(luò)信息安全管理制度，企業(yè)中每個(gè)部門的領(lǐng)導(dǎo)都應(yīng)重視起來(lái)，向自己屬下的各個(gè)部門施壓，促使各個(gè)部門重視并落實(shí)網(wǎng)絡(luò)信息安全的有關(guān)工作。管理層應(yīng)嚴(yán)格要求員工做好自己相應(yīng)的工作。企業(yè)內(nèi)部還應(yīng)設(shè)立一個(gè)專門的網(wǎng)絡(luò)小組，能夠全天候地進(jìn)行網(wǎng)絡(luò)信息安全的檢查和管理，及時(shí)的做出反應(yīng)維護(hù)網(wǎng)絡(luò)信息安全。還應(yīng)設(shè)置專門的人員對(duì)設(shè)備進(jìn)行定期的統(tǒng)計(jì)和檢查，電力企業(yè)內(nèi)部的數(shù)據(jù)還應(yīng)該有專人進(jìn)行備份。各個(gè)部門各司其職才能安全的維護(hù)好企業(yè)內(nèi)部的數(shù)據(jù)安全。

2.3做好規(guī)劃和分區(qū)管理

解決網(wǎng)絡(luò)安全問(wèn)題不能治標(biāo)不治本，要從根本上解決問(wèn)題就需要從長(zhǎng)遠(yuǎn)的角度出發(fā)，做好詳細(xì)的全面的規(guī)劃，系統(tǒng)地去調(diào)研和思考怎樣能夠有效維護(hù)企業(yè)網(wǎng)絡(luò)信息安全，因此建立一套完善的網(wǎng)絡(luò)企業(yè)信息安全管理系統(tǒng)是尤為重要的。信息安全管理體系建立好以后就需要著手于分區(qū)的工作了，規(guī)劃是以時(shí)間為線，而分區(qū)是以部門為線。據(jù)資料顯示，當(dāng)下電力企業(yè)內(nèi)部的網(wǎng)絡(luò)安全系統(tǒng)，對(duì)于安全區(qū)域的劃分是分為三個(gè)重點(diǎn)劃分對(duì)象，分別為防范區(qū)域重點(diǎn)區(qū)域和開(kāi)放區(qū)域，這三個(gè)重點(diǎn)劃分對(duì)象，應(yīng)該要進(jìn)行嚴(yán)格的措施來(lái)進(jìn)行防護(hù)，應(yīng)該設(shè)置嚴(yán)格的規(guī)則來(lái)限制訪問(wèn)，提高安全級(jí)別，另外對(duì)于一些非常重要的數(shù)據(jù)服務(wù)器還有數(shù)據(jù)庫(kù)，更要加強(qiáng)管理并放置在安全區(qū)域。

2.4做好定期更新和檢查工作

制定的管理制度要求員工必須要嚴(yán)格遵守，管理人員本身也應(yīng)該嚴(yán)格的按照工作制定計(jì)劃進(jìn)行，電力企業(yè)方面也應(yīng)該組織專門的小組，來(lái)進(jìn)行定期的檢查，用高頻的更新工作來(lái)更好地進(jìn)行防范。對(duì)于網(wǎng)絡(luò)信息安全管理系統(tǒng)也應(yīng)該定時(shí)的進(jìn)行更新完善，不斷地加強(qiáng)信息安全的技術(shù)和應(yīng)用，對(duì)于工作工資工作中出現(xiàn)的問(wèn)題進(jìn)行定點(diǎn)定時(shí)的解決，例如數(shù)據(jù)的恢復(fù)與備份，病毒防御的應(yīng)用，訪問(wèn)權(quán)限的限制等方面，都需要不斷的探索進(jìn)行技術(shù)更新才能增加企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全系統(tǒng)的防御力，為企業(yè)的運(yùn)行打下堅(jiān)實(shí)的基礎(chǔ)。只有這樣才能使電力企業(yè)的網(wǎng)絡(luò)信息安全管理系統(tǒng)持續(xù)煥發(fā)活力，持續(xù)地為企業(yè)的運(yùn)行保駕護(hù)航。

3結(jié)束語(yǔ)

根據(jù)上文，要想有效地維護(hù)好電力企業(yè)網(wǎng)絡(luò)的信息安全，系統(tǒng)完善地做好安全管理工作，使我國(guó)的電力企業(yè)可持續(xù)發(fā)展，首先應(yīng)該了解到網(wǎng)絡(luò)信息技術(shù)對(duì)于電力企業(yè)的重要性，以及目前我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全的現(xiàn)狀，和我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全面對(duì)的問(wèn)題，對(duì)于上文提到的電力企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題出現(xiàn)的原因，對(duì)癥下藥，通過(guò)加強(qiáng)網(wǎng)絡(luò)信息安全意識(shí)的宣傳和培訓(xùn)，建立完善的信息安全管理制度，做好規(guī)劃與分區(qū)管理，以及定期的更新和檢查工作，治標(biāo)且治本的，使網(wǎng)絡(luò)信息安全管理系統(tǒng)持續(xù)地為維護(hù)電力企業(yè)網(wǎng)絡(luò)信息安全工作。電力企業(yè)管理層與各部門協(xié)同合作，不斷地發(fā)展和更新技術(shù)，從而有效地落實(shí)網(wǎng)絡(luò)和信息安全管理工作。

參考文獻(xiàn)

[1]楊天坤.發(fā)電企業(yè)網(wǎng)絡(luò)信息安全管理分析[J].電子制作，2013（10）：102.

[2]朱琳娜，盛海港.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國(guó)電力教育，2010，S2：132~136.

篇8

【關(guān)鍵詞】電力企業(yè)；網(wǎng)絡(luò)信息；安全管理

【中圖分類號(hào)】TU714 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672—5158（2012）08—0144-02

隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的不斷發(fā)展，人們?cè)絹?lái)越離不開(kāi)網(wǎng)絡(luò)，網(wǎng)絡(luò)不但給用戶帶來(lái)便利，還帶來(lái)了信息安全問(wèn)題。本文分析了電力企業(yè)網(wǎng)絡(luò)信息安全管理存在的問(wèn)題，并提出了相應(yīng)的完善措施。

一、電力企業(yè)網(wǎng)絡(luò)信息安全管理存在的問(wèn)題

（一）電腦病毒的威脅

對(duì)所有的電腦用戶來(lái)說(shuō)，不得不面臨的主要問(wèn)題就是電腦病毒的威脅，電力企業(yè)也是如此，計(jì)算機(jī)病毒會(huì)從各種渠道傳播到計(jì)算機(jī)中，使電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題。電腦病毒不但會(huì)影響計(jì)算機(jī)的運(yùn)算速度，還會(huì)破壞計(jì)算機(jī)的硬件和軟件，并且電腦病毒的感染速度極快，只要計(jì)算機(jī)連接一個(gè)含有電腦病毒的移動(dòng)存儲(chǔ)設(shè)備，就可以使計(jì)算機(jī)感染電腦病毒，并且企業(yè)網(wǎng)絡(luò)環(huán)境的變化也會(huì)導(dǎo)致計(jì)算機(jī)感染病毒。

（二）信息的安全問(wèn)題

在網(wǎng)絡(luò)信息的存儲(chǔ)和傳遞中，不可避免都會(huì)出現(xiàn)相應(yīng)的網(wǎng)絡(luò)安全問(wèn)題。在電力企業(yè)存儲(chǔ)信息的時(shí)候，通過(guò)介入外部的互聯(lián)網(wǎng)，會(huì)導(dǎo)致企業(yè)內(nèi)部一些商業(yè)機(jī)密被網(wǎng)絡(luò)黑客盜取，從而給企業(yè)帶來(lái)相應(yīng)的損失。在信息的傳輸過(guò)程中，也會(huì)造成企業(yè)內(nèi)部信息被非法截取，使得商業(yè)機(jī)密泄露，除此之外，一些黑客人員還會(huì)運(yùn)用非法手段來(lái)篡改企業(yè)的信息，使得企業(yè)的數(shù)據(jù)出現(xiàn)錯(cuò)誤，造成信息混亂，給企業(yè)員工的工作帶來(lái)巨大的影響。因此，如果不有效的解決電力企業(yè)的信息安全問(wèn)題，就會(huì)給企業(yè)帶來(lái)嚴(yán)重的損失和破壞，嚴(yán)重的甚至?xí)C(jī)國(guó)家和社會(huì)的財(cái)產(chǎn)安全。

（三）管理人員素質(zhì)風(fēng)險(xiǎn)

現(xiàn)今，許多企業(yè)存在重技術(shù)、輕管理的情況，沒(méi)有完善的安全管理制度，并且管理人員普遍信息安全意識(shí)不強(qiáng)，這也就在一定程度上提高了網(wǎng)絡(luò)風(fēng)險(xiǎn)，并且企業(yè)網(wǎng)絡(luò)管理員配備不當(dāng)也是造成企業(yè)信息安全問(wèn)題的主要原因。除此之外，對(duì)于電力企業(yè)來(lái)說(shuō)，來(lái)自內(nèi)部的風(fēng)險(xiǎn)是非常主要的安全風(fēng)險(xiǎn)，特別是網(wǎng)絡(luò)管理人員，不經(jīng)意間泄露的重要信息，都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命的安全威脅。

（四）設(shè)備本身與系統(tǒng)軟件存在漏洞

由于電力企業(yè)的信息化發(fā)展較為緩慢，所以這就很可能造成電力企業(yè)很多設(shè)備和軟件存在安全漏洞，給電力企業(yè)帶來(lái)許多不良的安全問(wèn)題。電力企業(yè)信息網(wǎng)絡(luò)的操作系統(tǒng)、數(shù)據(jù)庫(kù)存在安全漏洞，并且信息存儲(chǔ)的介質(zhì)受到損壞，就會(huì)造成大量的信息泄露或者丟失。除此之外，由于計(jì)算機(jī)設(shè)備工作時(shí)產(chǎn)生的輻射電磁波也會(huì)使電力企業(yè)網(wǎng)絡(luò)信息存在安全問(wèn)題，一些電力企業(yè)沒(méi)有按照相關(guān)的要求及時(shí)的升級(jí)和修復(fù)防范軟件，這就給網(wǎng)絡(luò)信息安全帶來(lái)一定的威脅。

二、完善電力企業(yè)網(wǎng)絡(luò)信息安全管理的措施

（一）提高企業(yè)內(nèi)全體員工的安全意識(shí)

目前，造成電力企業(yè)網(wǎng)絡(luò)信息存在安全問(wèn)題的其中一個(gè)主要問(wèn)題就是用戶的安全意識(shí)淡薄，對(duì)網(wǎng)絡(luò)信息的安全不夠重視，并且缺乏相應(yīng)的防范措施。這些問(wèn)題主要是因?yàn)殡娏ζ髽I(yè)網(wǎng)絡(luò)信息管理不完善，缺乏相應(yīng)的安全管理責(zé)任制，因此，必須提高用戶的安全意識(shí)，使他們自覺(jué)的修補(bǔ)計(jì)算機(jī)的操作系統(tǒng)和安全漏洞，并且及時(shí)的升級(jí)防毒軟件和防火墻，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用，使電力企業(yè)的網(wǎng)絡(luò)信息處于安全的環(huán)境當(dāng)中，只有這樣才可以做好電力企業(yè)網(wǎng)絡(luò)信息安全管理，減少網(wǎng)絡(luò)的威脅。

（二）進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

電力企業(yè)想要從根本上解決網(wǎng)絡(luò)安全問(wèn)題，除了要從技術(shù)上面考慮以外，還應(yīng)該做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。網(wǎng)絡(luò)的安全離不開(kāi)各種安全技術(shù)的實(shí)施，現(xiàn)在市面上有各種安全技術(shù)產(chǎn)品，想要選擇合適的安全技術(shù)產(chǎn)品，首先應(yīng)該進(jìn)行可行性的分析，對(duì)電力企業(yè)存在的網(wǎng)絡(luò)信息風(fēng)險(xiǎn)進(jìn)行分析，并且對(duì)收益與付出進(jìn)行比較，了解安全技術(shù)產(chǎn)品在電力企業(yè)中使用的效率，看下哪一個(gè)產(chǎn)品更加適合電力企業(yè)降低網(wǎng)絡(luò)信息安全的需求。對(duì)電力企業(yè)來(lái)說(shuō)，弄清楚網(wǎng)絡(luò)信息存在的風(fēng)險(xiǎn)，并且評(píng)估這種風(fēng)險(xiǎn)帶來(lái)的威脅和影響，只有這樣才可以制定相應(yīng)的安全管理策略，從而有效的提高電力企業(yè)網(wǎng)絡(luò)信息的安全。

（三）完善網(wǎng)絡(luò)防病毒體系

由于計(jì)算機(jī)病毒會(huì)廣泛的傳播，并且對(duì)網(wǎng)絡(luò)用戶的數(shù)據(jù)具有嚴(yán)重的破壞力，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒給網(wǎng)絡(luò)用戶帶來(lái)的損失也越來(lái)越大，嚴(yán)重影響了電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。因此，為了使電力企業(yè)免受病毒的侵害，作為網(wǎng)絡(luò)管理人員應(yīng)該建立從主機(jī)到服務(wù)器的完善的防病毒體系，建立健全的網(wǎng)絡(luò)信息管理制定，以此來(lái)有效的提高電力企業(yè)網(wǎng)絡(luò)信息的安全管理。

（四）建立企業(yè)網(wǎng)絡(luò)信息安全文化

作為電力企業(yè)網(wǎng)絡(luò)管理人員，應(yīng)該建立企業(yè)網(wǎng)絡(luò)信息安全文化，重點(diǎn)掌握企業(yè)信息安全的整體策略和目標(biāo)，安全體系的建立和網(wǎng)絡(luò)信息安全管理制度的制訂。負(fù)責(zé)信息安全運(yùn)行和維護(hù)的技術(shù)人員，應(yīng)該對(duì)信息安全管理有一個(gè)充分的了解，并且掌握安全評(píng)估的基本方法，能夠合理的運(yùn)用安全操作和維護(hù)技術(shù)，提高安全管理人員的綜合素質(zhì)，使他們具備承擔(dān)安全職責(zé)的能力，只有這樣才可以降低電力企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，使電力企業(yè)免遭黑客和病毒的入侵，確保網(wǎng)絡(luò)信息的安全。

（五）開(kāi)展電力企業(yè)內(nèi)部的全員信息安全教育和培訓(xùn)活動(dòng)

在電力企業(yè)發(fā)展中，信息安全不但是整個(gè)信息網(wǎng)絡(luò)部門的事情，還是企業(yè)內(nèi)所有員工的職責(zé)，因此，為了提高電力企業(yè)網(wǎng)絡(luò)信息安全管理的力度，就應(yīng)該對(duì)企業(yè)內(nèi)所有的員工進(jìn)行信息安全教育，并開(kāi)展相應(yīng)的培訓(xùn)活動(dòng)，以此來(lái)有效的避免由于失誤造成企業(yè)內(nèi)部出現(xiàn)安全風(fēng)險(xiǎn)。電力企業(yè)應(yīng)該做好宣傳工作，提高企業(yè)內(nèi)所有員工對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)，向每一位員工普及網(wǎng)絡(luò)安全操作流程，使他們掌握基本的安全管理策略。除此之外，主管部門和各級(jí)管理人員，應(yīng)該清楚掌握信息安全體系的構(gòu)成情況，建立相應(yīng)的管理責(zé)任制，每個(gè)部門每個(gè)員工都應(yīng)該從自己做起，完善自己所用計(jì)算機(jī)的病毒軟件和防火墻，防止網(wǎng)絡(luò)病毒有機(jī)可乘。

三、結(jié)束語(yǔ)

綜上所述，想要提高電力企業(yè)網(wǎng)絡(luò)信息安全管理，首先應(yīng)該提高企業(yè)內(nèi)全體員工的安全意識(shí)，建立企業(yè)網(wǎng)絡(luò)信息安全文化，并且完善網(wǎng)絡(luò)防病毒體系和進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，開(kāi)展電力企業(yè)內(nèi)部的全員信息安全教育和培訓(xùn)活動(dòng)，只有這樣才可以確保電力企業(yè)的網(wǎng)絡(luò)信息安全，避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的產(chǎn)生。

參考文獻(xiàn)

[1]林世溪，林小迪.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].華東電力，2010，（05）

[2]朱琳娜，盛海港.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國(guó)電力教育，2010，（s2）

[3]汪潔，易予江.電力企業(yè)信息網(wǎng)絡(luò)安全分析與對(duì)策[J].電力信息化，2008，（10）

篇9

（1）內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。

現(xiàn)階段，我國(guó)的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級(jí)供電公司因?yàn)闂l件有限，信息安全工作相對(duì)投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn)，財(cái)務(wù)、營(yíng)銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對(duì)薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國(guó)供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類系統(tǒng)對(duì)于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)等都非常的重要，不能出現(xiàn)絲毫的問(wèn)題，但是所承載網(wǎng)絡(luò)平臺(tái)的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程，未能有專門的部門來(lái)負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國(guó)供電企業(yè)安全文化的重要組成部分，針對(duì)現(xiàn)今我國(guó)供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來(lái)看，計(jì)算機(jī)病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù)，可移動(dòng)存儲(chǔ)介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來(lái)了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是：操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對(duì)操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)，就會(huì)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播，給目前相對(duì)公開(kāi)化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會(huì)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞，導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國(guó)家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對(duì)國(guó)家供電系統(tǒng)進(jìn)行毀滅性的攻擊，甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識(shí)不夠。

想要保證我國(guó)網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國(guó)內(nèi)供電企業(yè)職員的安全防范意識(shí)不強(qiáng)，水平參差不齊，多數(shù)為年輕職員，實(shí)際操作的能力較低，缺少應(yīng)對(duì)突發(fā)事件應(yīng)對(duì)措施知識(shí)的積累。且多數(shù)老齡職工難以對(duì)網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新?tīng)顟B(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來(lái)自兩個(gè)方面，一方面是國(guó)家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多?，F(xiàn)階段我國(guó)供電企業(yè)的相關(guān)部門都在使用計(jì)算機(jī)對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理，難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺(tái)計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺(jué)的，這就需要加強(qiáng)我國(guó)供電企業(yè)進(jìn)行安全的管理，建立病毒防護(hù)體系，及時(shí)更新網(wǎng)絡(luò)防病毒軟件，針對(duì)性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備，提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng)，在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn)，對(duì)經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析，制定針對(duì)性的風(fēng)險(xiǎn)評(píng)估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對(duì)性風(fēng)險(xiǎn)評(píng)估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評(píng)估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡(jiǎn)單的廣告詞語(yǔ)，還是國(guó)家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對(duì)我國(guó)供電企業(yè)信息技術(shù)的操控，國(guó)家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系，有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合，大力開(kāi)發(fā)信息網(wǎng)絡(luò)，促進(jìn)科技管理水平的快速提高，以保證我國(guó)供電信息管理的安全。

3結(jié)語(yǔ)

篇10

開(kāi)放、互聯(lián)的信息技術(shù)與信息安全就像一把雙刃劍。一方面，企業(yè)需要借助信息技術(shù)或信息系統(tǒng)集中信息并開(kāi)放共享；另一方面，企業(yè)的核心信息資產(chǎn)又在不斷外泄，引發(fā)無(wú)數(shù)信息安全問(wèn)題。一談到信息安全，首先想到的是網(wǎng)絡(luò)安全，比如防火墻、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等傳統(tǒng)意義上的網(wǎng)絡(luò)底層安全防護(hù)。但從廣義上來(lái)講，隨著信息化建設(shè)的不斷深入，企業(yè)的信息資產(chǎn)對(duì)經(jīng)營(yíng)的貢獻(xiàn)比重越來(lái)越大。尤其在信息訪問(wèn)越加便捷的前提下，根據(jù)市場(chǎng)競(jìng)爭(zhēng)的需要，企業(yè)需要源源不斷地將信息不同程度地開(kāi)放給客戶、供應(yīng)商、員工等，企業(yè)的信息資產(chǎn)也越來(lái)越暴露在更多的威脅之中。信息的三個(gè)安全特性，即完整性、保密性和可用性。（1）信息完整性風(fēng)險(xiǎn)管理。一方面，要保證信息在收集、加工過(guò)程中不能被惡意篡改、不能丟失、被竊取、損壞等；另一方面，也常為人忽視的是加工過(guò)程本身的科學(xué)性，需要防范因不恰當(dāng)?shù)募庸し绞蕉鴮?dǎo)致的數(shù)據(jù)失效或結(jié)果錯(cuò)誤。（2）信息保密性風(fēng)險(xiǎn)管理。主要是指要保障沒(méi)有被授權(quán)的用戶無(wú)法使用信息系統(tǒng)，訪問(wèn)相應(yīng)的資源。防止該類用戶訪問(wèn)、通過(guò)非法手段攻擊破壞企業(yè)信息資產(chǎn)。（3）信息可用性風(fēng)險(xiǎn)管理。主要是指保障被授權(quán)用戶可以順利、快速訪問(wèn)信息資產(chǎn)，保障信息系統(tǒng)穩(wěn)定性和可用性。以上三個(gè)特性，同時(shí)也是信息安全風(fēng)險(xiǎn)管理的主要內(nèi)容，管理過(guò)程包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制三個(gè)步驟。

2企業(yè)信息安全風(fēng)險(xiǎn)識(shí)別

由于涉及企業(yè)的核心信息資產(chǎn)，所以相應(yīng)的信息安全風(fēng)險(xiǎn)點(diǎn)分布在企業(yè)管理的各個(gè)環(huán)節(jié)和層面。但是由于種種原因，目前國(guó)內(nèi)企業(yè)對(duì)信息安全風(fēng)險(xiǎn)管理的認(rèn)識(shí)仍不到位?？傮w來(lái)說(shuō)，有以下主要問(wèn)題，也是常見(jiàn)的信息安全風(fēng)險(xiǎn)管理的風(fēng)險(xiǎn)點(diǎn)。（1）信息安全組織和制度保障不足。沒(méi)有有效的信息安全管理組織機(jī)構(gòu)，就無(wú)法有效地制定、執(zhí)行安全管理策略，更無(wú)法進(jìn)行有效的信息安全協(xié)作。信息安全管理制度通常都有，但很少有單位能夠嚴(yán)格執(zhí)行，信息安全的政策制定也常常不符合標(biāo)準(zhǔn)，導(dǎo)致可操作性比較差或者達(dá)不到控制的目的。（2）信息安全相關(guān)人員意識(shí)不足。信息安全雖然已經(jīng)被很多企業(yè)提到戰(zhàn)略高度，但更多停留在口頭上和管理層。大部分企業(yè)人員比較缺乏信息安全意識(shí)，安全事件報(bào)告不及時(shí)；對(duì)各自崗位相關(guān)的信息資產(chǎn)職責(zé)了解不清，對(duì)信息系統(tǒng)的錯(cuò)誤操作導(dǎo)致信息泄密的事件屢有發(fā)生；部門單位還存在因人員流動(dòng)導(dǎo)致的信息資產(chǎn)不連續(xù)等問(wèn)題。（3）傳輸、存儲(chǔ)信息資產(chǎn)的設(shè)備與網(wǎng)絡(luò)存在安全隱患。部分企業(yè)存在網(wǎng)絡(luò)有安全漏洞、存儲(chǔ)設(shè)備老舊、數(shù)據(jù)資產(chǎn)缺乏備份機(jī)制等常見(jiàn)問(wèn)題，一旦受到網(wǎng)絡(luò)入侵、病毒攻擊，或者發(fā)生硬件及性能問(wèn)題，會(huì)導(dǎo)致信息資產(chǎn)大量泄漏或損壞。（4）訪問(wèn)控制及用戶權(quán)限管理存在漏洞。在信息系統(tǒng)的實(shí)施階段，為了便于用戶測(cè)試或其他目的，部分用戶權(quán)往往限過(guò)大。隨著系統(tǒng)正式上線及應(yīng)用，相應(yīng)權(quán)限又由于種種原因沒(méi)有調(diào)整，對(duì)信息安全也留下了比較大的隱患。（5）軟件系統(tǒng)及業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn)。因?yàn)閲?guó)產(chǎn)化和自主開(kāi)發(fā)的趨勢(shì)逐漸確立，大量企業(yè)選擇自行開(kāi)發(fā)軟件系統(tǒng)，由于軟件開(kāi)發(fā)技術(shù)而導(dǎo)致軟件本身存在一定漏洞，相應(yīng)的開(kāi)發(fā)質(zhì)量存在隱患，連帶的如運(yùn)維、業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn)均應(yīng)相應(yīng)考慮。

3企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估和控制

考慮到每個(gè)企業(yè)均有自身特點(diǎn)，面臨的信息安全風(fēng)險(xiǎn)點(diǎn)也不同。按照通常的信息安全風(fēng)險(xiǎn)管理理論，在完成上節(jié)所述的風(fēng)險(xiǎn)識(shí)別之后，需要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制。信息安全風(fēng)險(xiǎn)評(píng)估是指確認(rèn)風(fēng)險(xiǎn)大小程度的過(guò)程，主要是要借用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具和模型，包括定量的或者定性的方法，對(duì)信息安全風(fēng)險(xiǎn)點(diǎn)造成的影響進(jìn)行評(píng)估，以確定風(fēng)險(xiǎn)的大小和控制方式。其主要目的是為了確定風(fēng)險(xiǎn)的大小并量化，從而可以采取適當(dāng)?shù)目刂颇繕?biāo)和控制方式開(kāi)展風(fēng)險(xiǎn)控制工作。信息安全風(fēng)險(xiǎn)控制的作用體現(xiàn)在對(duì)組織信息安全的保障上，其有效性體現(xiàn)在當(dāng)企業(yè)面臨信息安全風(fēng)險(xiǎn)時(shí)對(duì)風(fēng)險(xiǎn)控制的有效程度，換句話說(shuō)，在信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，考驗(yàn)控制力度的有效性就是損失的程度，損失的越少越有效。反之，則控制無(wú)效。另一方面，信息安全風(fēng)險(xiǎn)控制也是需要成本的，控制力度大小與成本通常成正比關(guān)系，而且在達(dá)到一定程度之后，控制力度增長(zhǎng)比例較小可能帶來(lái)成本大幅增加。因此，信息安全風(fēng)險(xiǎn)控制的總體目標(biāo)，是以最小的投入將信息安全面臨的風(fēng)險(xiǎn)控制在組織可接受的范圍內(nèi)。

4結(jié)語(yǔ)