企業(yè)信息安全管理體系

時(shí)間：2023-10-10 10:43:46

開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)信息安全管理體系，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境企業(yè)信息安全管理

引言

隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。生產(chǎn)中的業(yè)務(wù)數(shù)據(jù)、管理中的重要信息，如果企業(yè)自身的信息安全管理有重大疏漏，也無法保證數(shù)據(jù)的安全可靠。當(dāng)前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡(luò)環(huán)境下不僅要保護(hù)自身信息的安全，還要保護(hù)業(yè)務(wù)數(shù)據(jù)的信息安全，因此有必要從體系管理的高度構(gòu)建企業(yè)信息安全。

一、企業(yè)信息安全的二維性

當(dāng)前，企業(yè)信息安全已涉及到與信息相關(guān)的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體（包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺，例如PC機(jī)、服務(wù)器等）的安全以及信息運(yùn)轉(zhuǎn)所處環(huán)境（包括硬環(huán)境和軟環(huán)境，例如員工素質(zhì)、室內(nèi)溫度等）的安全。資產(chǎn)如果不對影響信息安全的各個(gè)角度進(jìn)行全面的綜合分析，則難以實(shí)現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個(gè)環(huán)節(jié)，揚(yáng)長避短，采取多種措施共同維護(hù)企業(yè)信息安全。

1、技術(shù)維：技術(shù)發(fā)展是推動信息社會化的主要動力，企業(yè)通常需要借助于一項(xiàng)或多項(xiàng)技術(shù)才能充分利用信息，使信息收益最大化。然而，信息技術(shù)的使用具有雙面性，人們既可以利用技術(shù)手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內(nèi)容。為確保企業(yè)信息安全，必須合理的使用信息技術(shù)，因此，技術(shù)安全是實(shí)現(xiàn)企業(yè)信息安全的核心。

1）惡意代碼和未授權(quán)移動代碼的防范和檢測。網(wǎng)絡(luò)世界上存在著成千上萬的惡意代碼（如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和邏輯炸彈等）和未授權(quán)的移動代碼（如Javaseript腳本、Java小程序等）。這些代碼會給計(jì)算機(jī)等信息基礎(chǔ)設(shè)施及信息本身造成損害，需要加以防范和檢測。

2）信息備份。內(nèi)在的軟硬件產(chǎn)品目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權(quán)移動代碼的攻擊，也會造成應(yīng)用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術(shù)備份手段，定期備份。

3）訪問權(quán)限。不同的信息及其應(yīng)用信息系統(tǒng)應(yīng)有不同的訪問權(quán)限，低級別角色不應(yīng)能訪問高級別的信息及應(yīng)用信息系統(tǒng)。為此，可通過技術(shù)手段設(shè)定信息的訪問權(quán)限，限制用戶的訪問范圍。

4）網(wǎng)絡(luò)訪問。當(dāng)今，一個(gè)離開網(wǎng)絡(luò)的企業(yè)難以成功運(yùn)轉(zhuǎn)，員工通常需要從網(wǎng)絡(luò)中獲取各種信息。然而，網(wǎng)絡(luò)的暢通也給惡意者提供了訪問企業(yè)內(nèi)部信息的渠道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問。

2、管理維：企業(yè)信息安全不但需要依靠技術(shù)安全，而且與管理安全也息息相關(guān)。沒有管理安全，技術(shù)安全是難以在企業(yè)中真正貫徹落實(shí)的。管理安全在企業(yè)中的實(shí)施是企業(yè)信息得以安全的關(guān)鍵。企業(yè)應(yīng)建立健全相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部和外部的安全管理、安全審計(jì)和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實(shí)處。

l）信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應(yīng)適時(shí)對信息安全方針評審，以確保信息安全方針政策的適宜性、充分性和有效性。

2）構(gòu)建信息安全組織架構(gòu)。為在企業(yè)內(nèi)貫徹既定的信息安全方針和政策，確保整個(gè)企業(yè)信息安全控制措施的實(shí)施和協(xié)調(diào)，以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。

二、企業(yè)信息安全構(gòu)建原則

企業(yè)信息安全構(gòu)建原則為確保企業(yè)信息的可用性、完整性和機(jī)密性，企業(yè)在日常運(yùn)作時(shí)須遵守以下原則。

l）權(quán)限最小化。受保護(hù)的企業(yè)信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責(zé)而能訪問敏感信息的適當(dāng)權(quán)限。對企業(yè)敏感信息的獲知人員應(yīng)加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細(xì)分為知所必須和用所必須的原則，即給予員工的讀權(quán)限只限于員工為順利完成工作必須獲的信息內(nèi)容，給予員工的寫權(quán)限只限于員工所能夠表述的內(nèi)容。

2）分權(quán)制衡。對涉及到企業(yè)信息安全各維度的使用權(quán)限適當(dāng)?shù)貏澐郑姑總€(gè)授權(quán)主體只能擁有其中的部分權(quán)限，共同保證信息系統(tǒng)的安全。如果授權(quán)主體分配的權(quán)限過大，則難以對其進(jìn)行監(jiān)督和制約，會存在較大的信息安全風(fēng)險(xiǎn)。因此，在授權(quán)時(shí)要采取三權(quán)分立的原則，使各授權(quán)主體間相互制約、相互監(jiān)督，通過分權(quán)制衡確保企業(yè)信息安全。例如網(wǎng)絡(luò)管理員、系統(tǒng)管理員和日志審核員就不應(yīng)被授予同一員工。

三、企業(yè)信息安全管理體系的構(gòu)建

信息安全管理體系模型企業(yè)信息安全管理體系的構(gòu)建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術(shù)是構(gòu)建信息安全的基礎(chǔ)，員工的安全意識和企業(yè)資源的充分提供是有效保證安全體系正常運(yùn)作的關(guān)鍵，安全管理則是安全技術(shù)和安全意識恒久長效的保障，三者缺一不可。因此，在構(gòu)建企業(yè)信息安全管理體系時(shí)，要全面考慮各個(gè)維度的安全，做好各方面的平衡，各部門互相配合，共同打造企業(yè)信息安全管理平臺。科學(xué)的安全管理體系應(yīng)該包括以下主要環(huán)節(jié)：制定反映企業(yè)特色的安全方針、構(gòu)建強(qiáng)健有力的信息安全組織機(jī)構(gòu)、依法行事、選擇穩(wěn)定可靠的安全技術(shù)和安全產(chǎn)品、設(shè)計(jì)完善的安全評估標(biāo)準(zhǔn)、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業(yè)構(gòu)建的信息安全管理體系能適應(yīng)不斷變化的風(fēng)險(xiǎn)，必須要以構(gòu)建、執(zhí)行、評估、改進(jìn)、再構(gòu)建的方式持續(xù)地進(jìn)行，構(gòu)成一個(gè)P（計(jì)劃）、D（執(zhí)行）、C（檢查）、A（改進(jìn)）反饋循環(huán)鏈以使構(gòu)建的企業(yè)信息安全管理體系不斷地根據(jù)新的風(fēng)險(xiǎn)做出合理調(diào)整。

四、結(jié)論

信息安全管理體系的構(gòu)建對企業(yè)高效運(yùn)行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構(gòu)建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術(shù)、管理和資源是影響企業(yè)信息安全的3個(gè)角度。為此，應(yīng)從技術(shù)、管理和資源出發(fā)考慮信息安全管理體系的構(gòu)建原則和企業(yè)信息安全管理體系應(yīng)滿足的基本要求。同時(shí)，也應(yīng)注意到，信息安全管理體系的構(gòu)建不是一勞永逸而是不斷改進(jìn)的，企業(yè)的信息安全管理體系應(yīng)遵從PDCA的過程方法論持續(xù)改進(jìn)，才能確保企業(yè)信息的安全長效。

參考文獻(xiàn)：

第2篇

1安全建設(shè)方法

長期以來，中國大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”，但實(shí)踐證明，在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷，很難實(shí)現(xiàn)“標(biāo)本兼治”。企業(yè)信息安全應(yīng)從安全策略、安全管理體系、安全技術(shù)體系和安全運(yùn)維體系四個(gè)方面建設(shè)一個(gè)完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護(hù)。整個(gè)安全體系以安全策略為核心，管理、技術(shù)、運(yùn)維三者有機(jī)結(jié)合，又相互支撐。三者之間的關(guān)系為“根據(jù)管理體系中的策略，由相關(guān)組織或人員，利用技術(shù)體系作為工具和手段，進(jìn)行操作來維持運(yùn)行體系”。在建立信息安全體系的過程中，可采用ISO27001：2005所述的“過程方法”，即將“規(guī)劃（Plan）－實(shí)施（Do）－檢查（Check）－處置（Act）”（PDCA）四個(gè)步驟。

2安全策略

信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求，結(jié)合企業(yè)實(shí)際情況和管理要求，制訂企業(yè)信息安全防護(hù)的建設(shè)方針和基本要求，對信息安全管理體系、技術(shù)體系和運(yùn)維體系中的各種安全控制措施和機(jī)制的部署提出目標(biāo)和原則，是信息化“建、管、用”各項(xiàng)工作和各個(gè)環(huán)節(jié)必須遵守的安全規(guī)則，也是針對每個(gè)系統(tǒng)和設(shè)備制訂分項(xiàng)安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實(shí)施與保持，達(dá)到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。管理體系架構(gòu)可分為四層，最高層為企業(yè)信息安全總體策略，為下面的各項(xiàng)分策略和具體的規(guī)章制度提供指導(dǎo)。第二層為企業(yè)信息安全組織體系，作用在于指導(dǎo)實(shí)施安全體系，制定安全的相關(guān)標(biāo)準(zhǔn)和方針，監(jiān)管安全事件等。組織體系須設(shè)立專門的管理機(jī)構(gòu)，配備相應(yīng)的安全管理人員，明確主管領(lǐng)導(dǎo)，落實(shí)部門責(zé)任，各盡其職。第三層為根據(jù)總策略，對信息安全涉及的各方面制定有針對性的分項(xiàng)策略，為安全的具體實(shí)施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度。

4安全技術(shù)

企業(yè)信息安全技術(shù)應(yīng)從網(wǎng)絡(luò)、軟件、主機(jī)、數(shù)據(jù)和應(yīng)用五個(gè)方面，通過使用安全產(chǎn)品和技術(shù)，支撐和實(shí)現(xiàn)安全策略，達(dá)到信息系統(tǒng)的保密、完整、可用等安全目標(biāo)。按照P2DR2模型，信息安全技術(shù)體系涉及信息安全防護(hù)、檢測、響應(yīng)和恢復(fù)四個(gè)方面的內(nèi)容。比如如何通過安全控制措施使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。如何采取檢測、審計(jì)等技術(shù)手段對信息系統(tǒng)運(yùn)行狀態(tài)和操作行為進(jìn)行監(jiān)控和記錄，及時(shí)發(fā)現(xiàn)安全隱患和入侵行為并發(fā)出告警。如何通過事件監(jiān)控在發(fā)現(xiàn)安全保護(hù)對象的安全狀態(tài)發(fā)生改變時(shí)，特別是由安全變?yōu)椴话踩扇〈胧ζ溥M(jìn)行響應(yīng)處理，直至恢復(fù)安全狀態(tài)，并在安全事件發(fā)生后能夠及時(shí)進(jìn)行分析、定位、跟蹤、排除和取證。如何建立信息系統(tǒng)應(yīng)用和數(shù)據(jù)備份和恢復(fù)機(jī)制，保證在發(fā)生安全事件發(fā)生后能夠及時(shí)有效地對信息系統(tǒng)的應(yīng)用和數(shù)據(jù)進(jìn)行恢復(fù).

作者：吳洪亮單位：龍巖煙草工業(yè)有限責(zé)任公司

第3篇

[關(guān)鍵詞]信息安全；管理；控制；構(gòu)建

中圖分類號：X922；F272 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2015）42-0081-01

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護(hù)理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補(bǔ)救，導(dǎo)致了企業(yè)信息防范的主動性和意識不高，信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護(hù)設(shè)備和防護(hù)策略只是其中的一部分，企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn)，強(qiáng)化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)，就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權(quán)限，達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí)，我們需要重點(diǎn)關(guān)注以下幾個(gè)方面：

3.1 實(shí)施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個(gè)人行為不規(guī)范，造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設(shè)安全防護(hù)體系時(shí)，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì)，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中，考慮總部和分支機(jī)構(gòu)的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí)，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù)，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)，要面對多個(gè)部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度，做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)，真正實(shí)現(xiàn)OSI的L2～L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系，重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)，企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃，實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界，2012，16：179-180.

[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè)，2011，08：69.

[3] 彭佩，張婕，李紅梅. 企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù)，2014，12：42-45+48.

[4] 劉小發(fā)，李良，嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計(jì)技術(shù)，2013，12：25-28.

[5] 白雪祺，張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察，2014，27：81-83.

第4篇

1.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對稱以及非對稱兩類，對稱的加密技術(shù)一般都是通過序列密碼或是分組機(jī)密的方式來實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對稱加密與對稱加密也存在一定的差異，非對稱加密必須要具備公開密鑰和私有密鑰兩個(gè)密鑰，同時(shí)，這兩種密鑰只有配對使用，這樣才能解密。因此加密技術(shù)對于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候，發(fā)送人是使用加密技術(shù)來發(fā)送郵件的，那么有人竊取信息的時(shí)候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評估測試。在安全評估方面，主要針對主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù)，評估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

1.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，雖然對于信息安全問題已經(jīng)不斷的得到加強(qiáng)，但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會極大的威脅到電子科技企業(yè)信息的安全。而針對這種情況，一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè)，建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺。重點(diǎn)開展等級保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評估、安全咨詢、安全測評、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù)；建設(shè)企業(yè)信息安全數(shù)據(jù)庫，為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù)，實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用，提高信息安全保障能力。

二、解決電子科技企業(yè)信息安全問題的方法

2.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全，除了要不斷的提高安全技術(shù)水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中，最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題，那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進(jìn)行下去。因此，嚴(yán)格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系，那么信息安全工作才能夠更加順利的進(jìn)行，同時(shí)也能夠大大的提升信息安全的系數(shù)。

2.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)

一般來說，電子科技企業(yè)都擁有自己的局域網(wǎng)，很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此，電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通，不僅能夠在這個(gè)平臺上及時(shí)的公布一些安全公告以及安全法規(guī)，同時(shí)還可以進(jìn)行一些安全軟件的下載，為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺，同時(shí)還能夠很好的保障企業(yè)信息安全。針對企業(yè)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù)，評估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

2.3定期對信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

第5篇

【關(guān)鍵詞】信息安全管理控制構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

2.1 建立企業(yè)完善的信息化安全管理體系

2.2 提高企業(yè)員工自身的信息安全防范意識

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

3 企業(yè)信息安全體系部署的建議

3.1 實(shí)施終端安全，規(guī)范終端用戶行為

3.2 建設(shè)安全完善的VPN接入平臺

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

4 結(jié)束語

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京：機(jī)械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

第6篇

信息安全準(zhǔn)則是風(fēng)險(xiǎn)評估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理；有組織的確定員工角色和責(zé)任；對用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計(jì)劃和開發(fā)過程中就考慮安全防護(hù)的問題；在應(yīng)用中實(shí)施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計(jì)和快速反應(yīng)結(jié)合為一體。良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對風(fēng)險(xiǎn)進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患。控制此類風(fēng)險(xiǎn)的手段主要有：對用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍，而近年來移動辦公的興起更是推動了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測到可疑傳輸行為時(shí)報(bào)警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對無線網(wǎng)絡(luò)的訪問控制。

2.2訪問控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時(shí)間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期，要便捷有效地在這個(gè)生命周期中對員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺，從而實(shí)現(xiàn)授權(quán)流程的自動化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊，無線網(wǎng)絡(luò)訪問授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計(jì)

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險(xiǎn)。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時(shí)，終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評估打分，通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關(guān)；郵件過濾網(wǎng)關(guān)；惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。

（3）安全事件記錄和審計(jì)。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，收集信息安全事件，產(chǎn)生審計(jì)記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳提高企業(yè)管理層和員工的信息安全意識，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會支持信息安全管理建設(shè)，用戶才會配合信息管理部門工作。利用定期培訓(xùn)，宣傳海報(bào)，郵件等方式定期反復(fù)對企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

第7篇

關(guān)鍵詞：供電企業(yè);信息安全;電力;網(wǎng)絡(luò)信息化

DOI：10.16640/ki.37-1222/t.2015.21.131

0 引言

在我國能源行業(yè)中，供電企業(yè)占有十分重要的地位。目前，供電企業(yè)體制改革正在逐步走向信息智能化，網(wǎng)絡(luò)信息系統(tǒng)在供電企業(yè)中的構(gòu)建也變得日益完善[1-3]。這也使得供電企業(yè)對信息化的依賴程度越來越強(qiáng)，隨之而來的信息安全問題也日益突出[4-6]。因此，構(gòu)建完善合理的信息安全管理系統(tǒng)已成為供電企業(yè)亟需解決的問題。本文以國家電網(wǎng)遼寧省遼陽縣供電公司為例，分析了目前存在的信息安全問題，并提出了一些改進(jìn)措施。

1 信息安全存在的問題

供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)面臨的安全問題越來越多，歸結(jié)起來主要表現(xiàn)在：系統(tǒng)漏洞;病毒感染;企業(yè)信息安全維護(hù)人員不足;人員信息安全意識薄弱;信息安全制度管理不完善等幾個(gè)方面。

（1）系統(tǒng)安全漏洞。任何軟件和系統(tǒng)都會存在一定的安全漏洞，所以說絕對安全的系統(tǒng)實(shí)際上是不存在的，供電企業(yè)的網(wǎng)絡(luò)系統(tǒng)也同樣如此。由于漏洞的存在，病毒、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業(yè)的網(wǎng)絡(luò)，甚至可以獲得計(jì)算機(jī)的管理權(quán)限。顯然，這對于供電企業(yè)來說是非常危險(xiǎn)的，會導(dǎo)致嚴(yán)重的安全問題。

（2）病毒感染。計(jì)算機(jī)病毒（Computer Virus）是一種編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，具有很強(qiáng)的寄生性、破壞性和傳染性，被稱為計(jì)算機(jī)系統(tǒng)的頭號敵人。一旦侵入計(jì)算機(jī)，引發(fā)的危害相當(dāng)嚴(yán)重，會破壞系統(tǒng)文件，偷盜計(jì)算機(jī)中有用信息，導(dǎo)致系統(tǒng)無法正常運(yùn)行。在供電企業(yè)中使用信息網(wǎng)絡(luò)技術(shù)時(shí)，由于大量的企業(yè)重要機(jī)密和客戶信息儲存在計(jì)算機(jī)系統(tǒng)中，計(jì)算機(jī)病毒一旦入侵并破壞計(jì)算機(jī)系統(tǒng)，系統(tǒng)中收集的重要資料將會丟失，損失是災(zāi)難性的。

（3）缺乏足夠的系統(tǒng)維護(hù)人員。供電企業(yè)信息安全需要一定的專業(yè)技術(shù)技術(shù)人員來維護(hù)，但是在大部分供電企業(yè)中，以作者所在遼陽縣供電公司為例，專門從事網(wǎng)絡(luò)信息系統(tǒng)安全維護(hù)工作的專業(yè)技術(shù)人員僅有5位，這么少的專業(yè)技術(shù)人員承擔(dān)不了繁重的電力網(wǎng)絡(luò)信息安全工作，所以當(dāng)企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)發(fā)生故障時(shí)，維護(hù)工作得不到有效的實(shí)施，進(jìn)而影響供電企業(yè)的信息安全。

（4）人員信息安全意識薄弱。在供電企業(yè)中應(yīng)用計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)時(shí)，由于相關(guān)電力工作人員安全意識薄弱而導(dǎo)致的企業(yè)信息安全問題時(shí)有發(fā)生，大大減弱了供電企業(yè)信息安全防御能力。例如相關(guān)技術(shù)人員的不認(rèn)真導(dǎo)致誤操作、未及時(shí)修復(fù)系統(tǒng)漏洞或者通過外接儲存設(shè)備導(dǎo)致機(jī)密信息和重要文件的泄露等，這些由工作人員人為因素導(dǎo)致的安全問題將會在很大程度上影響供電企業(yè)的信息安全。

（5）信息安全管理制度不完善。多數(shù)供電企業(yè)的安全制度制定不夠完善，沒有高度重視和落實(shí)企業(yè)信息安全制度。經(jīng)常會出現(xiàn)機(jī)密文件隨處放、系統(tǒng)口令不設(shè)置、打印設(shè)備及網(wǎng)絡(luò)共享等問題。這些問題的存在同樣也會危害到供電企業(yè)的信息安全。

2 針對供電企業(yè)信息安全問題的相應(yīng)措施

針對以上所述的信息安全問題，為了有效提高供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全性，我們提出了以下幾個(gè)方面的改進(jìn)措施。

（1）漏洞掃描和彌補(bǔ)漏洞缺陷。漏洞掃描包括基于主機(jī)的漏洞掃描和基于網(wǎng)絡(luò)的漏洞掃描，是一項(xiàng)既經(jīng)濟(jì)又實(shí)用的安全策略，及時(shí)發(fā)現(xiàn)漏洞并修補(bǔ)，可以防止安全隱患向安全事件的轉(zhuǎn)變。可針對我公司計(jì)算機(jī)中的數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用服務(wù)等進(jìn)行漏洞掃描并修補(bǔ)，做到未雨綢繆，進(jìn)一步保證網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行。

（2）防止病毒侵入計(jì)算機(jī)。隨著全球智能電網(wǎng)的推進(jìn)，供電公司的網(wǎng)絡(luò)和辦公也越來越智能信息化，這就給計(jì)算機(jī)病毒的傳播提供了一個(gè)重要的傳播途徑。因此，供電企業(yè)各部門必須建設(shè)標(biāo)準(zhǔn)化的個(gè)人終端，對病毒軟件做到不間斷的更新，完善補(bǔ)丁。另外需要特別注意的是要嚴(yán)格控制盜版軟件的使用，掌握更多的安全措施來防范木馬病毒，嚴(yán)格控制用戶訪問權(quán)限。

（3）增強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)管理。針對作者所在供電公司，現(xiàn)在尚沒有獨(dú)立的部門進(jìn)行信息系統(tǒng)運(yùn)行維護(hù)，所以首先需要建立獨(dú)立的運(yùn)維部門，并增設(shè)足夠的專業(yè)技術(shù)人員進(jìn)行網(wǎng)絡(luò)信息運(yùn)行維護(hù);并對技術(shù)人員進(jìn)行部門內(nèi)分工，制定相應(yīng)的管理措施，完善整個(gè)網(wǎng)絡(luò)信息維護(hù)流程;另外，需要對專業(yè)技術(shù)人員進(jìn)行定期職業(yè)培訓(xùn)，提高他們的操作管理水平。

（4）提升員工信息安全防患意識。在適應(yīng)網(wǎng)絡(luò)信息技術(shù)潛在的快速發(fā)展要求的基礎(chǔ)上，通過對全體員工采取信息安全培訓(xùn)與考核等有力措施，使得企業(yè)決策、管理、操作等各個(gè)層面的信息安全防范意識得到有效增強(qiáng)，企業(yè)信息安全管理經(jīng)驗(yàn)也得到大量積累。如此，整個(gè)供電企業(yè)的信息安全水平會因?yàn)槿w員工顯著地信息安全防患意識而得到提升。

（5）改進(jìn)信息安全管理制度體系。加快三級信息安全管理體系（信息安全管理部門、網(wǎng)絡(luò)技術(shù)部門以及相關(guān)其他職能部門、基層單位）的建設(shè)步伐;具體落實(shí)針對主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、機(jī)房其他設(shè)施設(shè)備（例如防靜電地板、電源、空調(diào)、其他附屬設(shè)施等）以及員工管理的相應(yīng)管理制度的制定完善工作;明確管理人員、網(wǎng)絡(luò)維護(hù)人員、外來人員的職責(zé)范圍，確立身份認(rèn)證制度，涉及機(jī)密文件的員工要簽署保密協(xié)議，對外來人員的進(jìn)出要登記等。

3 結(jié)束語

為保障供電企業(yè)的快速可持續(xù)發(fā)展，就要確保企業(yè)信息系統(tǒng)的安全穩(wěn)定，就要在發(fā)現(xiàn)信息安全問題的基礎(chǔ)上不斷改進(jìn)安全策略，促進(jìn)合理完善的信息安全管理體系的構(gòu)建。供電企業(yè)要完善信息安全管理制度，提高員工的信息安全防患意識，增強(qiáng)信息系統(tǒng)的運(yùn)行維護(hù)管理，加強(qiáng)網(wǎng)絡(luò)信息的安全監(jiān)控，進(jìn)而保證供電企業(yè)信息安全。

參考文獻(xiàn)：

[1]吳金文，程麗琴.淺析供電企業(yè)信息安全管理[J].科技與創(chuàng)新，2015（11）：50.

[2]洪杰，段成鐸.電力企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)與安全管理研究[J].科技與創(chuàng)新，2015，18（13）：89-90.

第8篇

【關(guān)鍵詞】等級保護(hù)；虛擬專網(wǎng)；VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí)，我國現(xiàn)行的“計(jì)算機(jī)安全等級保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對于信息安全管理問題，在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國家的注意，并投入大量的資金和人力進(jìn)行分析和研究。英國分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，是一個(gè)全面信息安全管理體系評估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國際標(biāo)準(zhǔn)化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系要求》，并向全世界推廣。中國國家標(biāo)準(zhǔn)化管理委員會（SAC）于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》標(biāo)準(zhǔn)，把信息安全管理劃分為五個(gè)等級，分別針對不同組織性質(zhì)和對社會、國家危害程度大小進(jìn)行了不同等級的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應(yīng)的GBT 22081-2008《信息安全管理體系實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系要求》。

3.信息系統(tǒng)安全的等級

為加快推進(jìn)信息安全等級保護(hù)，規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合了《信息安全等級保護(hù)管理辦法》，就全國機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題，進(jìn)行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護(hù)定級工作。同時(shí)，制訂了《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》和《信息系統(tǒng)安全等級保護(hù)定級指南》等相應(yīng)技術(shù)規(guī)范（國家標(biāo)準(zhǔn)審批稿），來指導(dǎo)國內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

在《信息系統(tǒng)安全等級保護(hù)基本要求》中，要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對信息流進(jìn)行不同等級的劃分，從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級分為五級：第一級為自主保護(hù)級，第二級指導(dǎo)保護(hù)級，第三級為監(jiān)督保護(hù)級，第四級為強(qiáng)制保護(hù)級，第五級為專控保護(hù)級。

針對政府、企業(yè)常用的三級安全保護(hù)設(shè)計(jì)中，主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機(jī)制和服務(wù)支持下，實(shí)現(xiàn)三級安全計(jì)算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護(hù)和三級安全管理中心的設(shè)計(jì)。

圖1 三級系統(tǒng)安全保護(hù)示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢

VPN即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄浴Ｍㄟ^采用加密封裝技術(shù)，對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個(gè)VPN通信過程可以簡化為以下4個(gè)步驟：

（1）客戶機(jī)向VPN服務(wù)器發(fā)出連接請求。

（2）VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份認(rèn)證的請求，客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對方的身份，這種身份確認(rèn)是雙向的。

（3）VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

（4）最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密，然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》（中華人民共和國國務(wù)院第273號令，1999年10月7日）第四章第十四條規(guī)定：任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級保護(hù)中的應(yīng)用

在三級防護(hù)四大方面的設(shè)計(jì)要求中，VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用：

在安全計(jì)算環(huán)境的設(shè)計(jì)要求中：首先在實(shí)現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng)；其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計(jì)要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn)，在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù)，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計(jì)要求中：系統(tǒng)管理中，VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù)，對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制，確保重要信息安全可控，滿足對主機(jī)的安全監(jiān)管需要。

在信息系統(tǒng)安全等級保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。

第9篇

關(guān)鍵詞：信息安全；防護(hù)體系

隨著企業(yè)各個(gè)業(yè)務(wù)系統(tǒng)的深化應(yīng)用，企業(yè)的日常運(yùn)作管理越來越倚重信息化，越來越多的數(shù)據(jù)都存儲在計(jì)算機(jī)上。信息安全防護(hù)變得日益重要，信息安全就是要保證信息系統(tǒng)安全、可靠、持續(xù)運(yùn)行，防范企業(yè)機(jī)密泄露。信息安全包括的內(nèi)容很多，包括主機(jī)系統(tǒng)安全、網(wǎng)絡(luò)安全、防病毒、安全加密、應(yīng)用軟件安全等方面。其中任何一個(gè)安全漏洞便可以威脅全局。隨著信息化建設(shè)地不斷深入和發(fā)展，數(shù)據(jù)通信網(wǎng)改造后，市縣信息網(wǎng)絡(luò)一體化相互融合，安全防護(hù)工作尤顯重要。如何保障縣公司信息網(wǎng)絡(luò)安全成為重要課題。信息安全健康率主要由兩方面體現(xiàn)，一是提升安全防護(hù)技術(shù)手段，二是完善安全管理體系。安全防護(hù)技術(shù)手段主要側(cè)重于安全設(shè)備的應(yīng)用、防病毒軟件的部署、安全策略的制定、桌面終端的監(jiān)管、安全移動介質(zhì)、主機(jī)加固和雙網(wǎng)雙機(jī)等方面，安全管理則側(cè)重于信息安全目標(biāo)的建立、制度的建設(shè)、人員及崗位的規(guī)范、標(biāo)準(zhǔn)流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此，企業(yè)要提升信息安全，必須從管理機(jī)制、技術(shù)防護(hù)、監(jiān)督檢查、風(fēng)險(xiǎn)管控等方面入手，并行采取多種措施，嚴(yán)密部署縣公司信息安全防護(hù)體系，確保企業(yè)信息系統(tǒng)及網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，主要體現(xiàn)在以下幾方面：

1機(jī)制建立是關(guān)鍵

企業(yè)信息安全防護(hù)“七分靠管理，三分靠技術(shù)”，沒有嚴(yán)謹(jǐn)?shù)墓芾頇C(jī)制，安全工作是一紙空談，因此，做好防護(hù)工作必須先建立管理體系。一是完善組織機(jī)制。在企業(yè)信息安全工作領(lǐng)導(dǎo)小組之下，設(shè)立縣公司數(shù)據(jù)通信網(wǎng)安全防護(hù)工作組，由信通管理部門歸口負(fù)責(zé)日常工作，落實(shí)信息安全各級責(zé)任。將信息安全納入縣公司安全生產(chǎn)體系，進(jìn)而明確信息安全保障管理和監(jiān)督部門的職責(zé)。建立健全信息安全管理等規(guī)章制度，加強(qiáng)信息安全規(guī)范化管理。二是強(qiáng)化培訓(xùn)機(jī)制。根據(jù)近年來信息安全的研究，企業(yè)最大信息安全的威脅來自于內(nèi)部，因此，企業(yè)應(yīng)以“時(shí)時(shí)講信息安全，人人重信息安全，人人懂信息安全”為目標(biāo)，開展“教育培訓(xùn)常態(tài)化、形式內(nèi)容多樣化、培訓(xùn)范圍全員化、內(nèi)容難度層次化”培訓(xùn)工作，為信息安全工作開展提供充分的智力保障。企業(yè)應(yīng)充分利用網(wǎng)絡(luò)大學(xué)、企業(yè)門戶、即時(shí)通訊等媒介，充實(shí)信息安全內(nèi)容，營造信息安全氛圍，進(jìn)而強(qiáng)化全員信息安全意識。三是建立應(yīng)急機(jī)制。完善反應(yīng)靈敏、協(xié)調(diào)有力的信息安全應(yīng)急協(xié)調(diào)機(jī)制，修訂完善縣公司數(shù)據(jù)網(wǎng)現(xiàn)場應(yīng)急處置預(yù)案，加強(qiáng)演練。嚴(yán)格執(zhí)行特殊時(shí)期領(lǐng)導(dǎo)帶班和骨干技術(shù)人員值班制度，進(jìn)一步暢通安全事件通報(bào)渠道，規(guī)范信息安全事件通報(bào)程序，做好應(yīng)急搶修人員、物資和車輛準(zhǔn)備工作，及時(shí)響應(yīng)和處理縣公司信息安全事件。重點(diǎn)落實(shí)應(yīng)對光纜中斷、電源失去、設(shè)備故障應(yīng)急保障措施，確保應(yīng)急處置及時(shí)有效。杜絕應(yīng)急預(yù)案編制后束之高閣和敷衍應(yīng)付的行為。

2技術(shù)防護(hù)是基礎(chǔ)

技術(shù)防護(hù)要從基礎(chǔ)管理、邊界防護(hù)、安全加固等方面入手[2]。（1）基礎(chǔ)管理方面。一是技術(shù)資料由專人負(fù)責(zé)組織歸類、整理，設(shè)備或接線如有變化，其圖紙、模擬圖板、設(shè)備臺帳和技術(shù)檔案等均應(yīng)及時(shí)進(jìn)行修正。二是將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識，屏（柜）前后屏眉有信息專業(yè)統(tǒng)一規(guī)范的名稱。三是設(shè)備自安裝運(yùn)行之日起建立單獨(dú)的設(shè)備檔案，有月度及年度檢修計(jì)劃并按計(jì)劃進(jìn)行檢修，檢修記錄完整。所有設(shè)備的調(diào)試、修復(fù)、移動及任一信息線或網(wǎng)絡(luò)線的拔插和所有設(shè)備的開關(guān)動作，都按有關(guān)程序嚴(yán)格執(zhí)行，并在相應(yīng)的設(shè)備檔案中做好記錄。四是加強(qiáng)運(yùn)行值班監(jiān)視和即時(shí)報(bào)告，確保系統(tǒng)缺陷和異常及時(shí)發(fā)現(xiàn)，及時(shí)消除。（2）安全隔離方面。安全隔離與信息交換系統(tǒng)（網(wǎng)閘）由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機(jī)間按照指定的周期進(jìn)行安全數(shù)據(jù)的擺渡，從而在保證內(nèi)外網(wǎng)隔離的情況下，實(shí)現(xiàn)可靠、高效的安全數(shù)據(jù)交換，而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動完成，用戶只需依據(jù)自身業(yè)務(wù)特點(diǎn)定制合適的安全策略，既可以實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)通信，在保障用戶信息系統(tǒng)安全性的同時(shí)，最大限度保證客戶應(yīng)用的方便性。（3）邊界防護(hù)方面。一是部署防火墻，做好網(wǎng)絡(luò)隔離。在路由器與核心交換機(jī)之間配置防火墻，并設(shè)置詳細(xì)的安全防護(hù)策略。防火墻總體策略應(yīng)是白名單防護(hù)策略（即整體禁止，根據(jù)需要開放白名單中地址）。將內(nèi)部區(qū)域（下聯(lián)口）權(quán)限設(shè)置為禁止、外部區(qū)域（上聯(lián)口）權(quán)限設(shè)置為允許。定義防火墻管理地址范圍，針對PING、Webui、Gui三種服務(wù)進(jìn)行設(shè)置：只允許特定管理員地址遠(yuǎn)程管理。二是嚴(yán)格執(zhí)行防火墻策略調(diào)整審批程序，需要進(jìn)行策略調(diào)整的相關(guān)單位，必須填寫申請單，且必須符合相關(guān)安全要求，經(jīng)審批后進(jìn)行策略調(diào)整。三是嚴(yán)禁無線設(shè)備接入。（4）安全加固方面。一是應(yīng)以最小權(quán)限原則為每個(gè)帳號分配其必須的角色、系統(tǒng)權(quán)限、對象權(quán)限和語句權(quán)限，刪除系統(tǒng)多余用戶，避免使用弱口令。二是安裝系統(tǒng)安全補(bǔ)丁，對掃描或手工檢查發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)。三是關(guān)閉網(wǎng)絡(luò)設(shè)備中不安全的服務(wù)，確保網(wǎng)絡(luò)設(shè)備只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)。四是配置網(wǎng)絡(luò)設(shè)備的安全審計(jì)功能和訪問控制策略。五是開展風(fēng)險(xiǎn)評估工作中，認(rèn)真分析網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、薄弱環(huán)節(jié)，綜合運(yùn)用評估工具，在常規(guī)評估內(nèi)容基礎(chǔ)上，加強(qiáng)滲透性驗(yàn)證測試和密碼脆弱性測試，重視對系統(tǒng)結(jié)構(gòu)與配置的安全評估。根據(jù)評估結(jié)果，及時(shí)提出并落實(shí)整改方案，實(shí)施安全加固措施。

3監(jiān)督檢查是保障

全面落實(shí)“按制度辦事，讓標(biāo)準(zhǔn)說話”的信息安全管理準(zhǔn)則，在企業(yè)指導(dǎo)下，由縣公司信通專業(yè)牽頭，業(yè)務(wù)部門主導(dǎo)，分工協(xié)作建立督查機(jī)制，加強(qiáng)過程安全管控與全方位安全監(jiān)測，推進(jìn)安全督查隊(duì)伍一體化管理，完善督查流程和標(biāo)準(zhǔn)，開展好安全督查工作，以監(jiān)督促進(jìn)安全提升。一是全面提升責(zé)任部門安全人員專業(yè)技術(shù)水平，加強(qiáng)督查隊(duì)伍建設(shè)。二是完善督查機(jī)制，對督查中發(fā)現(xiàn)的問題督促落實(shí)整改，并開展分析總結(jié)，通報(bào)相關(guān)情況。三是開展常態(tài)督查，通過軟件掃描、終端監(jiān)測等手段，確保監(jiān)測全方位。四是加強(qiáng)考核，開展指標(biāo)評價(jià)。保障督查管理水平和工作質(zhì)量。

險(xiǎn)管控是對策

為確保公司信息化網(wǎng)絡(luò)安全，公司要將被動的事件驅(qū)動型管理模式轉(zhuǎn)變?yōu)橹鲃拥娘L(fēng)險(xiǎn)管控模式，主動地對威脅和風(fēng)險(xiǎn)進(jìn)行評估，主動地采取風(fēng)險(xiǎn)處置措施。通過資源的調(diào)控實(shí)現(xiàn)對信息安全工作的調(diào)控。公司應(yīng)在信息安全治理過程中大量借鑒管理學(xué)方法，進(jìn)行動態(tài)的控制和治理，通過治理的流程控制措施進(jìn)行資源的調(diào)配，實(shí)現(xiàn)對關(guān)鍵項(xiàng)目、關(guān)鍵技術(shù)、關(guān)鍵措施的扶持，對非關(guān)鍵活動的控制，確保公司信息化網(wǎng)絡(luò)安全。數(shù)據(jù)通信網(wǎng)升級改造為企業(yè)信息化發(fā)展擴(kuò)展了領(lǐng)域，同時(shí)，對信息安全工作提出了新的課題和更高的要求。本文通過分析企業(yè)信息化安全管理過程中的一些薄弱環(huán)節(jié)，提出了安全防護(hù)經(jīng)驗(yàn)的措施，從管理機(jī)制、技術(shù)防護(hù)、監(jiān)督檢查、風(fēng)險(xiǎn)管控等方面入手，提高了縣公司全體人員信息化安全意識，極大地保障了企業(yè)系統(tǒng)（含縣公司）信息網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行，完善了縣公司信息安全策略及總體防護(hù)體系，密織信息安全防護(hù)網(wǎng)，保障數(shù)據(jù)網(wǎng)不失密、不泄密，不發(fā)生信息安全事件。公司下一步將加強(qiáng)信息化常態(tài)安全巡檢，加強(qiáng)信息化相關(guān)資料的管理，加強(qiáng)單位干部員工的信息化安全培訓(xùn)力度，進(jìn)一步完善信息安全策略及總體防護(hù)體系。提高全體人員信息化安全意識，保障信息化網(wǎng)絡(luò)安全。企業(yè)信息安全建設(shè)是一項(xiàng)復(fù)雜的綜合系統(tǒng)工程，涵蓋了公司員工、技術(shù)、管理等多方面因素。企業(yè)要實(shí)現(xiàn)信息安全，必須加強(qiáng)安全意識培訓(xùn)，制定明確的規(guī)章制度，綜合各項(xiàng)信息安全技術(shù)，建立完善的信息安全管理體系，并將信息安全管理始終貫徹落實(shí)于企業(yè)各項(xiàng)活動的方方面面，做到管理和技術(shù)并重，形成一套完善的信息安全防護(hù)體系。

參考文獻(xiàn)：

[1]馬貴峰,馬巨革.構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系的思路及方法——淺談網(wǎng)絡(luò)信息安全的重要發(fā)展方向[J].信息系統(tǒng)工程,2010(6).

第10篇

信息安全管理系統(tǒng)作為信息安全的支撐體系以及實(shí)施信息安全維護(hù)的落腳點(diǎn)，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統(tǒng)還尚未完善，其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進(jìn)行儲存，從而導(dǎo)致大量文檔的丟失；其次，如果信息安全管理系統(tǒng)不完善，就不能降低資產(chǎn)等的風(fēng)險(xiǎn)評估以及對資產(chǎn)進(jìn)行集中式的管理；最后，由于信息安全系統(tǒng)中各個(gè)報(bào)表功能的不完善，文檔信息就無法快速、準(zhǔn)確地透露出信息安全的實(shí)際狀況，從而起到有效地保護(hù)作用。信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實(shí)行定性和定量分析，從而得出資產(chǎn)的精確風(fēng)險(xiǎn)值，識別系統(tǒng)中存在的重要因患資產(chǎn)，并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉頊p少隱患事件的發(fā)生，通過科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險(xiǎn)。由此可見，完善的信息安全管理系統(tǒng)是不可或缺的，它一方面決定著信息安全管理體系的具體實(shí)施，另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護(hù)與建設(shè)。

2信息安全管理系統(tǒng)標(biāo)準(zhǔn)

科學(xué)統(tǒng)一的國家信息安全標(biāo)準(zhǔn)，有利于協(xié)調(diào)與融合各個(gè)信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級保護(hù)標(biāo)準(zhǔn)兩個(gè)部分。

2.1ISO/IEC27000系列標(biāo)準(zhǔn)

1995年，英國標(biāo)準(zhǔn)協(xié)會(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn)，隨著時(shí)代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個(gè)部分，并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實(shí)施以及測量的科學(xué)信息安全管理慣例，并作為一種通用框架來促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善，這一過程實(shí)質(zhì)上就是在宏觀的角度上來指導(dǎo)整個(gè)項(xiàng)目的有效實(shí)施。它意在風(fēng)險(xiǎn)管理的基礎(chǔ)之上，用風(fēng)險(xiǎn)分析的途徑，把發(fā)生信息風(fēng)險(xiǎn)的概率降到最低程度，同時(shí)采取適當(dāng)?shù)卮胧﹣肀Ｕ现黧w業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項(xiàng)控制細(xì)則，以及11項(xiàng)需要有效控制的項(xiàng)目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險(xiǎn)評估與控制。

2.2信息安全等級保護(hù)

1994年國務(wù)院出臺了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，該項(xiàng)基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展，從而進(jìn)一步維護(hù)國家安全、社會發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是在TCSEC的分級保護(hù)思想基礎(chǔ)之上，針對我國信息安全的發(fā)展實(shí)際進(jìn)行改善，最終把安全等級縮減成更具可操作性的5個(gè)級別。《GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類，其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)和人員安全管理；后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機(jī)安全以及數(shù)據(jù)安全與備份恢復(fù)。此外，信息安全等級保護(hù)的系列標(biāo)準(zhǔn)里還包括《GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護(hù)細(xì)則的具體操作要求。

3信息安全管理系統(tǒng)的模型設(shè)計(jì)

根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn)，結(jié)合以往的信息安全管理系統(tǒng)設(shè)計(jì)，提出一種新型的四層信息安全管理系統(tǒng)：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護(hù)對象的漏洞與安全事件。第二層是數(shù)據(jù)庫層：包括日志、資產(chǎn)庫、異常日志以及資產(chǎn)弱點(diǎn)庫和資產(chǎn)風(fēng)險(xiǎn)庫等。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲。第三層為功能模塊層：包括資產(chǎn)管理、風(fēng)險(xiǎn)管理、弱點(diǎn)管理、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補(bǔ)管理以及日志分析。最后一層為展示層：它包含某個(gè)具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補(bǔ)以及異常安全事件等相關(guān)部分。上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點(diǎn)創(chuàng)新之處：

（1）業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn)，可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起，由此，整個(gè)信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個(gè)具體業(yè)務(wù)系統(tǒng)環(huán)境下，其單獨(dú)資產(chǎn)的具體安全狀況；另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn)，反應(yīng)出整個(gè)資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。

（2）所設(shè)計(jì)的風(fēng)險(xiǎn)模塊管理可以把風(fēng)險(xiǎn)評估常態(tài)化、主動化，使其對整個(gè)業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險(xiǎn)進(jìn)行動態(tài)的跟蹤與準(zhǔn)確分析；另外，該信息安全系統(tǒng)的日志審計(jì)功能也可以實(shí)現(xiàn)被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合。

（3）該新安全管理系統(tǒng)增加并促進(jìn)了拓補(bǔ)管理功能的發(fā)揮。

第11篇

信息安全防護(hù)要考慮不同層次的問題。例如網(wǎng)絡(luò)平臺就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制；應(yīng)用平臺則需要有針對各個(gè)用戶的認(rèn)證以及訪問控制，這就需要保證每一個(gè)數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄裕?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級保護(hù)

信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個(gè)階段。要積極參與信息安全等級定級評定，及時(shí)在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案，然后根據(jù)對應(yīng)等級要求，組織好評測，然后開展針對性的防護(hù)，從而提供全面的保障。

1.2網(wǎng)絡(luò)分區(qū)和隔離

運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個(gè)區(qū)域，通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對區(qū)域的防護(hù)，保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常，保障業(yè)務(wù)信息安全。

1.3終端安全防護(hù)

需要部署（實(shí)施）防病毒系統(tǒng)、上網(wǎng)行為管理、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒；可以對互聯(lián)網(wǎng)訪問行為監(jiān)管，為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障；可以自動下發(fā)操作系統(tǒng)補(bǔ)丁，提高終端的安全性。

2.構(gòu)建信息安全防護(hù)體系

電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果，在此基礎(chǔ)上在設(shè)計(jì)出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術(shù)以及運(yùn)行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學(xué)合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則，所涉及的基本要素包括信息管理和信息技術(shù)這兩方面，其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面、物理層面、系統(tǒng)層面以及應(yīng)用層面這四大層面。

2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系

結(jié)合電力企業(yè)的特點(diǎn)，在企業(yè)內(nèi)部形成分區(qū)、分域、分級、分層的網(wǎng)絡(luò)環(huán)境，然后充分運(yùn)用防火墻、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級保護(hù)的業(yè)務(wù)系統(tǒng)分級防護(hù)，避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)。同時(shí)，還要結(jié)合信息機(jī)房物流防護(hù)、網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁管理、PKI基礎(chǔ)設(shè)施、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施，形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系。

2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系

在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”原則，實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成，工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員，并分配相關(guān)安全責(zé)任，使信息安全在組織內(nèi)得以有效管理。

2.4構(gòu)建全面完善的信息安全管理體系

對于電力企業(yè)的信息安全防范來說，單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的，只有配合管理才能提供有效運(yùn)營的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系。安全方針是信息安全指導(dǎo)性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導(dǎo)和支持；安全管理辦法是對信息安全各方面內(nèi)容進(jìn)行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程；安全規(guī)范和操作手冊則是為用戶提供詳細(xì)使用文檔。人是信息安全最活躍的因素，人的行為會直接影響到信息安全保障。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責(zé)任和義務(wù)，避免人為風(fēng)險(xiǎn)。

2.4.3建設(shè)時(shí)就考慮信息安全

在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時(shí)，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設(shè)“三同步”原則，即“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。

2.4.4實(shí)施信息安全運(yùn)行保障

主要是以資產(chǎn)管理為基礎(chǔ)，風(fēng)險(xiǎn)管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應(yīng)功能，構(gòu)建動態(tài)的可信安全運(yùn)行保障。同時(shí)，還需要不斷完善應(yīng)急預(yù)案，做好預(yù)案演練，可以對信息安全事件進(jìn)行及時(shí)的應(yīng)急響應(yīng)和處置。

3.總結(jié)

第12篇

【關(guān)鍵詞】信息化；安全問題；電力企業(yè)

目前，信息技術(shù)日益廣泛的應(yīng)用使得“信息化”已成為各行各業(yè)的流行詞。在電力企業(yè)的信息安全保障工作中仍然存在管理制度不夠健全、管理目的不夠明確，管理責(zé)任不能落實(shí)、管理效果缺乏監(jiān)督等問題。因此，信息化建設(shè)的工作勢必應(yīng)從簡單應(yīng)用向管理和分析轉(zhuǎn)變，在這個(gè)轉(zhuǎn)變過程中一定會存在一些問題。

1 電力企業(yè)信息化建設(shè)安全常見問題及原因

1.1 電力企業(yè)信息化建設(shè)常見問題

根據(jù)相關(guān)調(diào)查結(jié)果和數(shù)據(jù)資料顯示，當(dāng)前電力企業(yè)信息化建設(shè)安全的比較突出的問題有五個(gè)方面：首先，計(jì)算機(jī)病毒的泛濫，木馬程序的不斷變種和形式的不斷變化；第二，缺乏重要系統(tǒng)備份恢復(fù)應(yīng)用經(jīng)驗(yàn)；第三，黑客有目的的洪流攻擊；第四，缺乏必要信息安全防范管理和技術(shù)保障手段；第五，流氓軟件和惡意插件對用戶數(shù)據(jù)信息的收集和更改。這一系列信息化建設(shè)安全問題在電力企業(yè)中更為突出，如何強(qiáng)化信息網(wǎng)絡(luò)安全，建立健全的網(wǎng)絡(luò)安全保障體系已經(jīng)成為我國信息化建設(shè)的當(dāng)務(wù)之急。

1.2 造成電力企業(yè)信息化建設(shè)安全問題的原因

1.2.1 重應(yīng)用，輕管理的思想意識根深蒂固

電力企業(yè)信息化建設(shè)開展和實(shí)施以來，許多工作人員并沒有在思想上轉(zhuǎn)變傳統(tǒng)的工作模式，依然只是將信息化建設(shè)和管理作為一項(xiàng)應(yīng)用型工具，以為就是簡單的計(jì)算機(jī)應(yīng)用工作，缺乏必備的網(wǎng)絡(luò)和信息數(shù)據(jù)安全管理知識。即便有些人了解到信息化建設(shè)安全的重要性，但是對于如何防范的措施卻一知半解。還有大部分人存在僥幸心理，認(rèn)為一切從簡，密碼簡單、不開啟防火墻、不備份數(shù)據(jù)文件、對于共享和可見性以及遠(yuǎn)程操作等關(guān)鍵環(huán)節(jié)更是隨心所欲，造成電力企業(yè)信息化建設(shè)安全危機(jī)重重。

1.2.2 專業(yè)技術(shù)人員儲備不足

信息化建設(shè)安全的管理工作是一項(xiàng)專業(yè)性較強(qiáng)，技術(shù)要求較高的工作，目前規(guī)模較大或者一些大城市的電力企業(yè)的專業(yè)信息化安全技術(shù)人員的配置相對比較完善。但是，一些中小城市或者縣級電力企業(yè)的電力企業(yè)專業(yè)信息化建設(shè)技術(shù)人員的儲備卻不盡如人意，甚至一些縣級電力企業(yè)沒有信息化建設(shè)專業(yè)技術(shù)人員。另外，中小城市電力企業(yè)的專業(yè)技術(shù)人員的配備往往是一人多崗，對于網(wǎng)絡(luò)安全管理知識具有管理職責(zé)，卻無法實(shí)現(xiàn)專職，做不到全天候的信息安全監(jiān)控，不能及時(shí)發(fā)現(xiàn)和應(yīng)對非法入侵帶來的安全事故；加上這些基層技術(shù)人員參與外出培訓(xùn)的機(jī)會相對較少，無法及時(shí)補(bǔ)充新的信息安全管理知識，對于信息系統(tǒng)出現(xiàn)的安全問題技術(shù)人員有時(shí)候也只能是只能做到表面問題的處理，無法根除實(shí)際的安全隱患。

1.2.3 缺乏有效的病毒防治管理

網(wǎng)絡(luò)病毒是信息化建設(shè)安全的最大威脅之一，對于電力企業(yè)信息化建設(shè)安全來講，重點(diǎn)就在于對網(wǎng)絡(luò)病毒的防治和管理。網(wǎng)絡(luò)病毒的防治和管理是一項(xiàng)長期且艱巨的任務(wù)，目前沒有任何系統(tǒng)可以對所有病毒都具有防護(hù)的功能。而電力企業(yè)的基層單位對于病毒的防治大多數(shù)也只是安裝單一的網(wǎng)絡(luò)殺毒軟件，再無其他的病毒防治預(yù)案。管理工作也通常比較簡單和疏松，當(dāng)殺毒軟件無法識別或者根除一些病毒或者木馬時(shí)，相應(yīng)的技術(shù)人員也只是自己通過其他途徑尋找解決方案，一旦實(shí)在無法解決就要面臨重裝系統(tǒng)，丟失所有當(dāng)前數(shù)據(jù)文件信息的風(fēng)險(xiǎn)；更為嚴(yán)重的甚至?xí)斐蓸I(yè)務(wù)系統(tǒng)的崩潰，導(dǎo)致正常的工作難以進(jìn)行。

1.2.4 移動存儲介質(zhì)的無控制使用

當(dāng)前網(wǎng)絡(luò)木馬和病毒的主要傳播途徑已經(jīng)由傳統(tǒng)的網(wǎng)絡(luò)文件或者應(yīng)用偽裝轉(zhuǎn)變?yōu)橐苿咏橘|(zhì)存儲的入侵和感染。尤其是近年來，移動存儲介質(zhì)的靈巧和易用的特點(diǎn)在電力企業(yè)系統(tǒng)的各個(gè)部門工作中得到了廣泛的運(yùn)用。而大部分的木馬和病毒也就借助于移動介質(zhì)對計(jì)算機(jī)內(nèi)部的數(shù)據(jù)和信息進(jìn)行感染和利用。導(dǎo)致一些先進(jìn)的“內(nèi)外網(wǎng)隔離”和“雙機(jī)雙網(wǎng)”病毒防控技術(shù)完全失去其實(shí)際安全意義。

2 電力企業(yè)信息化建設(shè)安全常見問題的對策研究

2.1 建立健全信息化建設(shè)安全管理和考核機(jī)制

電力企業(yè)信息化建設(shè)安全管理是一項(xiàng)動態(tài)的、靈活的工作，不僅僅是引進(jìn)了新的技術(shù)或者新的安全體系就能馬上見效的，還要靠平時(shí)的管理和監(jiān)測。技術(shù)所能起到的作用就是預(yù)防更多的已知的安全隱患；而管理則是靈活的，實(shí)施的主體以人為主，可以通過建立各種安全管理制度，用技術(shù)來對人進(jìn)行約束和管理，真正發(fā)揮人的靈活性和主動性，在安全威脅來臨之前就發(fā)揮防控作用，不給安全威脅發(fā)生的機(jī)會。同時(shí)，還要針對電力企業(yè)信息建設(shè)安全的特點(diǎn)建立一套涵蓋引進(jìn)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)性評估和技術(shù)應(yīng)用規(guī)范的安全管理體系。落實(shí)安全崗位職責(zé)，推行責(zé)任制，嚴(yán)格按著相關(guān)法律法規(guī)的標(biāo)準(zhǔn)結(jié)合企業(yè)實(shí)際的安全等級要求進(jìn)行信息安全管理系統(tǒng)的建設(shè)和管理。將安全管理融入到信息系統(tǒng)的各個(gè)環(huán)節(jié)當(dāng)中，實(shí)現(xiàn)每個(gè)環(huán)節(jié)的自管、自查和自評，再通過不定期的崗位臨檢，來考核信息化建設(shè)安全的各個(gè)環(huán)節(jié)是否達(dá)到規(guī)定的標(biāo)準(zhǔn)，提高信息化建設(shè)安全的重視程度，強(qiáng)化信息化建設(shè)安全意識。

2.2 做好電力企業(yè)信息化建設(shè)安全的教育培訓(xùn)工作

電力企業(yè)信息化建設(shè)安全工作還是一項(xiàng)長期的工作，隨著信息化建設(shè)的不斷創(chuàng)新，一些新的安全隱患和威脅就會隨之產(chǎn)生，如何保持電力企業(yè)信息化建設(shè)安全工作的與時(shí)俱進(jìn)，就要從加強(qiáng)信息化建設(shè)安全教育培訓(xùn)方面做起，也是安全管理中最為重要的內(nèi)容。這項(xiàng)工作的落實(shí)，直接關(guān)系到信息化建設(shè)中安全策略的被應(yīng)用和理解程度以及執(zhí)行后的實(shí)際效果。在實(shí)際的教育培訓(xùn)中，不單單要相關(guān)的信息安全工作主要責(zé)任人的參與，還應(yīng)該盡量做到所有人員的參與和學(xué)習(xí)。既包括電力安全的管理人員和技術(shù)人員，還要包括前臺的營業(yè)人員，因?yàn)樾畔⒒ㄔO(shè)安全的工作是一項(xiàng)綜合性的工作，并非是一個(gè)人或者一個(gè)部門的事情，是關(guān)系到整個(gè)企業(yè)中每一個(gè)人的工作。并且，這種教育培訓(xùn)工作要做到持續(xù)有效，借鑒和引進(jìn)領(lǐng)先的信息安全管理體系和管理技術(shù)，全面提高電力企業(yè)人員的整體信息安全意識和技能。

2.3 加強(qiáng)移動存儲介質(zhì)的控制和管理

鑒于移動存儲介質(zhì)的廣泛應(yīng)用和其實(shí)際應(yīng)用中的便攜性、靈活性，電力企業(yè)信息化建設(shè)安全部門應(yīng)該根據(jù)行業(yè)的實(shí)際情況制定一些有效的移動存儲介質(zhì)使用標(biāo)準(zhǔn)和規(guī)范，并進(jìn)行全員的教育和培訓(xùn)。其內(nèi)容可以從移動存儲設(shè)備的插拔使用、讀寫開關(guān)應(yīng)用、加密設(shè)置和定期殺毒要領(lǐng)等基礎(chǔ)知識展開。使企業(yè)內(nèi)部的人員熟練掌握移動存儲介質(zhì)的基礎(chǔ)知識和安全使用方法，逐步提高安全防范意識，養(yǎng)成良好的移動存儲介質(zhì)使用習(xí)慣。移動存儲介質(zhì)使用的具體安全管理工作可以從以下幾個(gè)方面做起：一是妥善保管防止遺失；二是專職專用，嚴(yán)禁外借；三是定期殺毒；四是采取“雙備份”原則；五是杜絕任何形式的非法外聯(lián)操作。

3 結(jié)束語

綜上所述，電力企業(yè)信息化建設(shè)安全保障工作是一項(xiàng)以管理和技術(shù)為主要內(nèi)容的工作。電力企業(yè)信息系統(tǒng)的安全管理工作是一項(xiàng)綜合性很強(qiáng)的課題，不僅僅涉及應(yīng)用、技術(shù)和管理，還包括信息系統(tǒng)自身的安全性能以及物理和邏輯方面的計(jì)算措施，技術(shù)層次上來講一種技術(shù)也只能解決一方面的問題。因此，電力企業(yè)信息化安全建設(shè)是一項(xiàng)長期的、靈活的，需要電力企業(yè)全體人員共同參與的工作，還需要我們不斷的努力學(xué)習(xí)和創(chuàng)新。

參考文獻(xiàn)：

優(yōu)秀范文