前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全措施范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全措施范文第1篇

關(guān)鍵詞：MIS開發(fā)及應(yīng)用　安全措施

隨著企業(yè)信息化發(fā)展的強(qiáng)烈需要，企業(yè)開發(fā)及應(yīng)用管理信息系統(tǒng)MIS(Management Information System)成為一種必然選擇，企業(yè)信息安全事件的發(fā)生率也開始呈現(xiàn)出大幅度增長(zhǎng)的態(tài)勢(shì)。如何更有效地保護(hù)和管理自身的信息資產(chǎn)，如何保證和加強(qiáng)企業(yè)MIS的安全，已成為企業(yè)亟待解決的課題。

一、MIS存在的安全問題

(一)安全意識(shí)薄弱

在MIS的開發(fā)與應(yīng)用過程中，經(jīng)常出現(xiàn)領(lǐng)導(dǎo)部門對(duì)制定一個(gè)統(tǒng)一的信息安全系列標(biāo)準(zhǔn)不夠重視，對(duì)指導(dǎo)MIS的管理和應(yīng)用不夠關(guān)心；各子系統(tǒng)管理人員沒有管好自己的用戶名和口令，外泄或借與他人使用；不重視MIS的硬件部分、軟件部分、環(huán)境因素等現(xiàn)象，對(duì)于安全防范存在一種惰性和漠視，安全意識(shí)薄弱。

(二)投入經(jīng)費(fèi)不足

由于安全意識(shí)薄弱，企業(yè)往往對(duì)MIS安全經(jīng)費(fèi)投入不足，致使企業(yè)在應(yīng)用MIS過程中，經(jīng)常出現(xiàn)使用各種盜版軟件，不能安裝專業(yè)防火墻等現(xiàn)象。使得Intemet網(wǎng)上用戶對(duì)MIS服務(wù)器可以直接攻擊，外界病毒易于感染MIS服務(wù)器等現(xiàn)象，導(dǎo)致企業(yè)MIS安全問題頻發(fā)。給企業(yè)帶來巨大的經(jīng)濟(jì)損失。

(三)技術(shù)力量匱乏

信息安全從業(yè)人員不只縱向上要對(duì)各項(xiàng)工作有精深的理解，橫向上還需要對(duì)信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務(wù)邏輯有豐富的認(rèn)知，特別是在經(jīng)驗(yàn)上往往有相當(dāng)高的要求，這從很大程度上造成了企業(yè)很難具備足夠的技術(shù)力量來保障信息安全設(shè)施的運(yùn)轉(zhuǎn)。

二、開發(fā)過程中的安全措施

管理信息系統(tǒng)作為一個(gè)龐大、復(fù)雜而嚴(yán)密的系統(tǒng)，在整個(gè)開發(fā)過程中需要投入大量的人力、物力和財(cái)力，系統(tǒng)的安全性往往被放在首要的位置，成為系統(tǒng)生存的關(guān)鍵因素。

(一)權(quán)限設(shè)計(jì)

根據(jù)對(duì)操作系統(tǒng)的用戶、用戶組及其訪問權(quán)限作嚴(yán)格的規(guī)定，在數(shù)據(jù)表設(shè)計(jì)時(shí)將權(quán)限分為三類：數(shù)據(jù)庫登錄權(quán)限類、資源管理權(quán)限類和數(shù)據(jù)庫管理員權(quán)限類。具有數(shù)據(jù)庫登錄權(quán)限的用戶能進(jìn)入數(shù)據(jù)庫管理系統(tǒng)，使用數(shù)據(jù)庫。具有資源管理權(quán)限的用戶，除了擁有上一類用戶權(quán)限外，可以在權(quán)限允許的范圍內(nèi)修改、查詢數(shù)據(jù)庫。具有數(shù)據(jù)庫管理員權(quán)限的用戶將具有數(shù)據(jù)庫管理的一切權(quán)限，包括訪問任何用戶的任何數(shù)據(jù)，授予(或回收)用戶的各種權(quán)限，完成數(shù)據(jù)庫的備份、裝入以及進(jìn)行審計(jì)等工作。

(二)數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是在發(fā)送方將要發(fā)送的保密信息進(jìn)行加密處理，而在接收方通過特定的算法將收到的信息進(jìn)行解密。在加密過程中使用加密函數(shù)和密鑰生成密文數(shù)據(jù)后，傳送出去。傳送過程中即使有人得到了密文數(shù)據(jù)，知曉了加密函數(shù)或是解密函數(shù)是沒有用的，沒有密鑰，依舊無法根據(jù)密文數(shù)據(jù)推算出明文數(shù)據(jù)，這就保證了數(shù)據(jù)的機(jī)密性。數(shù)據(jù)加、解密過程如下圖1所示。

(三)數(shù)據(jù)認(rèn)證 　 MIS的信息傳送或存儲(chǔ)還可以采用數(shù)據(jù)認(rèn)證技術(shù)(如數(shù)字簽名技術(shù)、Hash技術(shù)等)。數(shù)據(jù)認(rèn)證技術(shù)是確保信息的真實(shí)性和完整性的一種技術(shù)，是解決網(wǎng)絡(luò)通信中發(fā)生否認(rèn)、偽造、冒充、篡改等問題的安全技術(shù)，主要包括接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名、發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名、接收者不能偽造對(duì)報(bào)文的簽名等方面。

(四)密鑰管理

一個(gè)密碼系統(tǒng)的安全性取決于對(duì)關(guān)鍵信息即密鑰的保護(hù)。密鑰的保密和安全管理在數(shù)據(jù)安全系統(tǒng)中是極為重要的。在／diS中，可以采用證書機(jī)構(gòu)(CA)來管理密鑰。CA(cerfificateAuthority)保證頒發(fā)的數(shù)字證書的有效性，由它負(fù)責(zé)注冊(cè)證書，分發(fā)證書以及當(dāng)證書過期時(shí)宣布不再有效，因此可以保護(hù)密鑰。

三、實(shí)施過程中安全措施

不管企業(yè)MIS采用C／S結(jié)構(gòu)還是B／S結(jié)構(gòu)，在實(shí)施過程中必須與Internet連接。在具體實(shí)施中應(yīng)從企業(yè)網(wǎng)絡(luò)內(nèi)部、企業(yè)網(wǎng)絡(luò)與Intemet的連接出口方面加強(qiáng)安全措施：

(一)企業(yè)局域網(wǎng)安全措施

1　局域網(wǎng)節(jié)點(diǎn)安全措施

在企業(yè)局域網(wǎng)應(yīng)用中，只要在接人局域網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)局域網(wǎng)上的所有數(shù)據(jù)包，從而竊取關(guān)鍵信息，這就是局域網(wǎng)固有的安全隱患。為了解決這個(gè)問題，可以采取以下措施：

(1)分段策略

分段策略包括物理分段和邏輯分段兩種方式。物理分段是從物理層和數(shù)據(jù)鏈路層把網(wǎng)絡(luò)分成若干網(wǎng)段，各網(wǎng)段無法直接通信；邏輯分段是在網(wǎng)絡(luò)層根據(jù)IP地址將網(wǎng)絡(luò)分成若干子網(wǎng)，各子網(wǎng)借助網(wǎng)關(guān)自身安全機(jī)制來控制各子網(wǎng)的相關(guān)訪問。因此應(yīng)綜合應(yīng)用物理分段與邏輯分段兩種方法，將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。

(2)交換式集線器策略

由于部分網(wǎng)絡(luò)最終用戶的接入是通過分支集線器而不是交換機(jī)，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽。

(3)VLAN(虛擬局域網(wǎng))策略

在集中式網(wǎng)絡(luò)環(huán)境下，將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，不允許任何用戶節(jié)點(diǎn)接人，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，MIS應(yīng)按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。

2　局域網(wǎng)服務(wù)器安全措施

在局域網(wǎng)的服務(wù)器中。由于存在著大量的數(shù)據(jù)庫實(shí)體及擁有不同操作權(quán)限的用戶，用戶可對(duì)數(shù)據(jù)庫實(shí)體進(jìn)行任意操作。針對(duì)這些嚴(yán)重的安全漏洞，可以采取如下安全措施：

(1)兩級(jí)登錄機(jī)制

為每個(gè)數(shù)據(jù)庫用戶只建立一個(gè)真正的數(shù)據(jù)庫賬號(hào)，它具有對(duì)系統(tǒng)應(yīng)用所涉及的所有數(shù)據(jù)實(shí)體進(jìn)行操作的全部權(quán)限；為每一位系統(tǒng)操作人員分別創(chuàng)建一個(gè)應(yīng)用系統(tǒng)賬號(hào)。用戶先使用應(yīng)用系統(tǒng)賬號(hào)登錄應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)再將應(yīng)用級(jí)賬號(hào)變換為數(shù)據(jù)庫系統(tǒng)賬號(hào)，然后應(yīng)用系統(tǒng)用數(shù)據(jù)庫系統(tǒng)賬號(hào)登錄數(shù)據(jù)庫。僅在兩級(jí)登錄都成功的前提下，整個(gè)登錄過程才算成功，數(shù)據(jù)庫系統(tǒng)便能識(shí)別登錄應(yīng)用系統(tǒng)的用戶身份。

(2)用戶授權(quán)機(jī)制

將整個(gè)系統(tǒng)細(xì)分為若干個(gè)可分配的最小權(quán)限單元，這些權(quán)限具體表現(xiàn)在對(duì)數(shù)據(jù)庫中所涉及的表、視圖的數(shù)據(jù)操作的劃分上。然后再運(yùn)用角色或工作組的概念，結(jié)合各級(jí)系統(tǒng)使用人員的工作性質(zhì)，為系統(tǒng)創(chuàng)建了4類基本等級(jí)：系統(tǒng)管理員、高級(jí)操作員、一般操作員及簡(jiǎn)單操作員，并相應(yīng)地為每個(gè)等級(jí)賦予了不同的權(quán)限，以此來簡(jiǎn)化權(quán)限管理工作。

(3)日志檢測(cè)機(jī)制

在MIS系統(tǒng)中。通過日志記錄，可以審核執(zhí)行某操作的用戶，執(zhí)行操作的機(jī)器m地址、操作類型、操作對(duì)象及操作執(zhí)行時(shí)間等。這樣不僅可以分類檢索日志內(nèi)容，系統(tǒng)還能根據(jù)已記錄的日志內(nèi)容，自動(dòng)找出可能存在的不安全因素，并實(shí)時(shí)觸發(fā)相應(yīng)的警告，及時(shí)通知系統(tǒng)管理員及用戶。

(4)備份及恢復(fù)機(jī)制

為了防止人為的失誤或破壞，MIS系統(tǒng)中應(yīng)建立強(qiáng)大的數(shù)據(jù)庫觸發(fā)器以備份重要數(shù)據(jù)的刪除操作，甚至更新任務(wù)。具體而言，對(duì)于刪除操作，作的記錄全部存貯在備份庫中。而對(duì)于更新操作，考慮到信息量過于龐大，可只備份所執(zhí)行的SQL語　句。這樣，既能查看到備份的內(nèi)容，又能相當(dāng)程度地減小備份庫存貯容量。

(二)企業(yè)網(wǎng)絡(luò)出口安全措施

1　VPN技術(shù)

VPN(VirtualPrivate Network)是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。VPN技術(shù)的核心是采用隧道技術(shù)，將企業(yè)專用網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的專用通道進(jìn)行傳輸，保證傳輸內(nèi)容僅被指定的發(fā)送者和接收者了解，從而防止敏感數(shù)據(jù)的被竊取。

2　防火墻技術(shù)

在Intemet和Inh'anet的連接部分，利用防火墻技術(shù)，使得通過外部撥號(hào)或其他方式訪問企業(yè)網(wǎng)絡(luò)部分功能時(shí)，可以很好的控制該用戶的訪問權(quán)限和操作級(jí)別，可以有效地防止惡意的外部用戶的進(jìn)攻。

3　技術(shù)

企業(yè)信息安全措施范文第2篇

供電企業(yè)在建設(shè)初期就已經(jīng)考慮到了信息安全防護(hù)問題——將主要設(shè)備，例如服務(wù)器、路由器和核心交換機(jī)等統(tǒng)一管理，通信線路要盡可能架空、深埋或者穿線，并做出必要的標(biāo)記，避免線路被損壞。在此過程中，供電企業(yè)不但要保護(hù)設(shè)備，實(shí)施必要的安全技術(shù)操作，同時(shí)，還要在實(shí)施基本策略的前提下，采取必要的網(wǎng)絡(luò)安全管理技術(shù)，例如防毒技術(shù)和防火墻技術(shù)等，保證信息安全。入網(wǎng)規(guī)范管理設(shè)備屬于硬件網(wǎng)絡(luò)控制設(shè)備，在供電企業(yè)的機(jī)房中加入入網(wǎng)規(guī)范管理設(shè)備，能夠檢測(cè)出信息安全和一些違規(guī)行為。入網(wǎng)規(guī)范管理設(shè)備不會(huì)大規(guī)模地改變已經(jīng)存在的網(wǎng)絡(luò)結(jié)構(gòu)，并且它的網(wǎng)絡(luò)環(huán)境適應(yīng)能力非常強(qiáng)，不需要安裝客戶端就能將其接入系統(tǒng)中，能夠自動(dòng)檢測(cè)信息安全，主要包括注冊(cè)、防病毒、更新、弱口令和違規(guī)外聯(lián)等，進(jìn)而修復(fù)存在風(fēng)險(xiǎn)的機(jī)器。因?yàn)楣╇娖髽I(yè)內(nèi)部從事信息工作的人員年紀(jì)差比較大，對(duì)信息技術(shù)的了解程度也不同，所以，這就為信息安全埋下了隱患。

安裝入網(wǎng)規(guī)范管理設(shè)備的操作比較簡(jiǎn)單，不但會(huì)增強(qiáng)供電企業(yè)的安全防護(hù)能力，還為工作人員的工作帶來了便利，減輕了工作人員的壓力。當(dāng)供電企業(yè)有人動(dòng)時(shí)，就會(huì)出現(xiàn)網(wǎng)絡(luò)接口不夠用的情況，因此，很多人便利用集線器拓展網(wǎng)絡(luò)，這便為公司的信息安全埋下了隱患，不但容易引發(fā)廣播風(fēng)暴，還會(huì)干擾公司整體網(wǎng)絡(luò)的穩(wěn)定性，讓一些不法分子有機(jī)可乘——侵入公司內(nèi)網(wǎng)，泄露公司機(jī)密。所以，針對(duì)這種情況，建議采取添加交換機(jī)的方式，并配置端口安全策略，即interfacefastethernet<number>；switchportport-securitymaximumvalue。對(duì)于公司信息外網(wǎng)，要檢查私自連接無線路由器、隨身wifi等情況，如果發(fā)現(xiàn)，要馬上制止，防止信息被泄露，以確保供電企業(yè)的信息安全。隨著供電企業(yè)內(nèi)部網(wǎng)絡(luò)的發(fā)展和壯大，需要加入新的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、終端設(shè)備和存儲(chǔ)設(shè)備等。當(dāng)網(wǎng)絡(luò)處于一個(gè)復(fù)雜的環(huán)境中時(shí)，就很難處理網(wǎng)絡(luò)故障了。針對(duì)這類問題，可以在機(jī)房安裝網(wǎng)絡(luò)分析設(shè)備，對(duì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)故障分析、應(yīng)用分析和安全分析，獲取網(wǎng)絡(luò)流量，通過分析解碼能夠快速定位網(wǎng)絡(luò)故障，進(jìn)而有效維護(hù)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)分析系統(tǒng)能夠分析數(shù)據(jù)包網(wǎng)絡(luò)，檢測(cè)深度網(wǎng)絡(luò)通訊，準(zhǔn)確、快速地找到蠕蟲、網(wǎng)絡(luò)攻擊或木馬等，并對(duì)其進(jìn)行診斷，快速定位將要發(fā)生問題的機(jī)器，幫助信息運(yùn)行維護(hù)工作人員及時(shí)處理問題。

2管理策略

對(duì)于病毒防護(hù)的管理，要安排專業(yè)工作人員定期查看木馬病毒的感染情況，及時(shí)處理受到感染的用戶，并為每位工作人員發(fā)放設(shè)備安全說明，讓工作人員從自身做起，保障信息安全。供電企業(yè)可以對(duì)工作人員進(jìn)行安全意識(shí)培訓(xùn)和技能培訓(xùn)，尤其是管理信息系統(tǒng)的工作人員，不斷提高其業(yè)務(wù)能力，補(bǔ)充更多的專業(yè)知識(shí)。在供電企業(yè)的每一個(gè)區(qū)域配備專門的信息安全負(fù)責(zé)人，并對(duì)其定時(shí)培訓(xùn)，加大信息安全的維護(hù)力度。針對(duì)一些特殊崗位的工作人員，要實(shí)施有針對(duì)性的培訓(xùn)，以不斷提升各個(gè)崗位工作人員的管理能力和技術(shù)能力。

3總結(jié)

企業(yè)信息安全措施范文第3篇

關(guān)鍵詞：電力企業(yè)；信息安全；管理；探討

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

電力企業(yè)的信息化建設(shè)在生產(chǎn)自動(dòng)化、管理信息化、營(yíng)銷現(xiàn)代化等方面發(fā)揮了重要作用。然而，隨著網(wǎng)絡(luò)的延伸、應(yīng)用的普及和不斷深化，特別是隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，信息安全問題日益突出。研究電力系統(tǒng)信息安全問題、制定和實(shí)施電力系統(tǒng)信息安全戰(zhàn)略、建立全方位、動(dòng)態(tài)的電力信息系統(tǒng)安全保障體系，己成為當(dāng)前電力系統(tǒng)信息化工作的重要內(nèi)容。

一、電力信息安全的含義

電力信息安全是指電力主營(yíng)業(yè)務(wù)系統(tǒng)及企業(yè)信息安全，保障不被未經(jīng)授權(quán)者訪問、利用和修改，為合法用戶提供安全、可信的信息服務(wù)，保證信息和信息系統(tǒng)的機(jī)密性、完整性、可用性、真實(shí)性和不可否認(rèn)性。

二、電力企業(yè)信息安全風(fēng)險(xiǎn)分析

（一）電力信息安全管理風(fēng)險(xiǎn)分析。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。由于近年計(jì)算機(jī)信息技術(shù)高速發(fā)展，計(jì)算機(jī)信息安全策略和技術(shù)也取得了非常大的進(jìn)展，但在電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用中，對(duì)信息安全的認(rèn)識(shí)跟實(shí)際需要差距較大安全意識(shí)薄弱、責(zé)權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風(fēng)險(xiǎn)。

（二）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)分析。網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。目前電力企業(yè)在機(jī)房建設(shè)（包括水源、消防、門禁等）、重要設(shè)備的訪問管理方面都存在缺陷，亟待解決。如在網(wǎng)絡(luò)介質(zhì)的安全方面由于大都采用內(nèi)部專用網(wǎng)絡(luò)，但樓層交換機(jī)的機(jī)柜位置不安全，非管理人員可以隨時(shí)接觸到，這給內(nèi)部的攻擊或竊密行為提供方便之門。

（三）電力企業(yè)信息網(wǎng)絡(luò)連接安全風(fēng)險(xiǎn)分析。電力企業(yè)的部分用戶由于工作需要連接了因特網(wǎng)，同時(shí)沒有服務(wù)器供外部訪問，用戶連接因特網(wǎng)時(shí)沒有做到與內(nèi)網(wǎng)的物理隔離，這給網(wǎng)絡(luò)帶來危害；局域網(wǎng)內(nèi)部用戶有意或無意對(duì)系統(tǒng)進(jìn)行了攻擊和竊密行為；內(nèi)部其它單位用戶對(duì)本網(wǎng)絡(luò)的攻擊行為，類似因特網(wǎng)外部連接風(fēng)險(xiǎn)等眾多因素也都對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。此外，受人員水平、設(shè)備性能等方面因素制約，使整個(gè)電力信息網(wǎng)的外部邊界保護(hù)能力存在一定差異，必然降低整體邊界安全防護(hù)能力。

（四）支撐基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)分析。許多電力企業(yè)沒有完整的備份策略，備份工作沒有計(jì)劃，備份不及時(shí)，沒有備份恢復(fù)預(yù)案；介質(zhì)管理不規(guī)范，沒有對(duì)備份介質(zhì)做庫存、領(lǐng)取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災(zāi)難恢復(fù)計(jì)劃要素的所處的水平較低，應(yīng)重點(diǎn)加快制定有關(guān)災(zāi)難恢復(fù)的管理制度，以及備份設(shè)備的更新。

三、電力企業(yè)信息安全防范措施

（一）電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門，至少應(yīng)配備2名安全專職管理人員，明確權(quán)利與責(zé)任，分別負(fù)責(zé)各系統(tǒng)的安全審計(jì)，并相互制約。2.完善信息安全管理制度。參照國(guó)際最佳實(shí)踐，建立一套完整的制度體系，形成省、地兩級(jí)安全管理體系。3.加強(qiáng)信息安全教育培訓(xùn)。安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中的重要內(nèi)容。高級(jí)管理部門應(yīng)當(dāng)對(duì)全體員工，特別是中高級(jí)管理人員進(jìn)行信息安全管理制度培訓(xùn)，強(qiáng)化信息安全意識(shí)。

（二）電力信息安全技術(shù)措施。1.加強(qiáng)網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施建設(shè)。建立電力企業(yè)信息系統(tǒng)物理各環(huán)境的安全目標(biāo)防止對(duì)企業(yè)工作場(chǎng)所和信息的非法訪問、破壞和干擾或避免造成資產(chǎn)的流失、受損。建立省電網(wǎng)級(jí)認(rèn)證授權(quán)中心，提供目錄服務(wù)、身份管理、認(rèn)證管理、訪問管理等功能，實(shí)現(xiàn)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的統(tǒng)一身份認(rèn)證管理。對(duì)電力企業(yè)重要網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行完整性檢查保護(hù)，防止主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備配置文件的篡改，對(duì)系統(tǒng)文件遭到修改及破壞可以及時(shí)發(fā)現(xiàn)修復(fù)。2.網(wǎng)絡(luò)控制技術(shù)。網(wǎng)絡(luò)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。主要包括：（1）防火墻技術(shù)。（2）審計(jì)技術(shù)。（3）訪問控制技術(shù)。（4）安全協(xié)議。3.備份恢復(fù)技術(shù)。備份恢復(fù)技術(shù)主要包括備份技術(shù)、冗余技術(shù)、容錯(cuò)技術(shù)和不間斷電源保護(hù)4個(gè)方面的內(nèi)容。備份恢復(fù)與容災(zāi)中心具有關(guān)聯(lián)性，建立容災(zāi)中心的單位應(yīng)每年至少進(jìn)行一次災(zāi)備恢復(fù)的演練，沒有容災(zāi)中心的單位應(yīng)將營(yíng)銷、生產(chǎn)、財(cái)務(wù)等核心數(shù)據(jù)定期進(jìn)行異地備份，并定期進(jìn)行備份恢復(fù)演練，提升應(yīng)對(duì)自然災(zāi)害的能力。

四、結(jié)束語

企業(yè)信息安全措施范文第4篇

關(guān)鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號(hào)：TP309.2文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱，很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長(zhǎng)，但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對(duì)于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險(xiǎn)；突出重點(diǎn)，分級(jí)保護(hù)；統(tǒng)籌安排，分步實(shí)施；分級(jí)管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個(gè)獨(dú)立的、完整的、動(dòng)態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個(gè) “信息安全運(yùn)維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺(tái)。

3.2 組織規(guī)劃實(shí)施

對(duì)于組織規(guī)劃這個(gè)方面，是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實(shí)現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對(duì)于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財(cái)力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級(jí)劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制，一套信息安全績(jī)效考核指標(biāo)。“七套信息安全軟措施”關(guān)系如圖1所示。

4.2 信息安全管理設(shè)計(jì)

基于對(duì)管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險(xiǎn)管理為主，集中安全控制。管理要素由管理對(duì)象、安全威脅、脆弱性、風(fēng)險(xiǎn)、保護(hù)措施組成。

4.2.1 信息安全等級(jí)劃分指標(biāo)

信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對(duì)象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險(xiǎn)。

4.2.6 信息安全績(jī)效考核指標(biāo)

信息安全績(jī)效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識(shí)，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)，提高企業(yè)人員的信息安全意識(shí)和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是：給業(yè)務(wù)運(yùn)營(yíng)提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個(gè)中心（信息安全運(yùn)維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺(tái)，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測(cè)試、安全培訓(xùn)等功能，實(shí)現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運(yùn)維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場(chǎng)所，提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級(jí)等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個(gè)方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測(cè)試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患?；诖?，綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括：安全測(cè)試網(wǎng)絡(luò)；測(cè)試系統(tǒng)設(shè)備；安全測(cè)試工具；安全測(cè)試分析系統(tǒng)；安全測(cè)試知識(shí)庫。

其中，安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬；測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測(cè)試工具覆蓋防范類、檢測(cè)類、評(píng)估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能；安全知識(shí)庫包含以下內(nèi)容：漏洞知識(shí)庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識(shí)庫，威脅場(chǎng)景視頻庫，攻擊特征知識(shí)庫，信息安全解決案例庫，安全產(chǎn)品知識(shí)庫，安全概念和術(shù)語知識(shí)庫。

5.4 安全平臺(tái)建設(shè)規(guī)劃

參照國(guó)際上PDRR 模型和國(guó)家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計(jì)如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺(tái)中集成十個(gè)安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測(cè)試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是：以信息安全服務(wù)為切入點(diǎn)，充分發(fā)揮企業(yè)優(yōu)勢(shì)資源，引領(lǐng)信息安全市場(chǎng)，為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運(yùn)維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)

服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險(xiǎn)評(píng)估；信息安全規(guī)劃設(shè)計(jì)；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識(shí)教育；提供信息安全運(yùn)維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運(yùn)維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實(shí)際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運(yùn)營(yíng)商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

企業(yè)信息安全措施范文第5篇

關(guān)鍵詞：供電企業(yè);信息安全;電力;網(wǎng)絡(luò)信息化

DOI：10.16640/ki.37-1222/t.2015.21.131

0 引言

在我國(guó)能源行業(yè)中，供電企業(yè)占有十分重要的地位。目前，供電企業(yè)體制改革正在逐步走向信息智能化，網(wǎng)絡(luò)信息系統(tǒng)在供電企業(yè)中的構(gòu)建也變得日益完善[1-3]。這也使得供電企業(yè)對(duì)信息化的依賴程度越來越強(qiáng)，隨之而來的信息安全問題也日益突出[4-6]。因此，構(gòu)建完善合理的信息安全管理系統(tǒng)已成為供電企業(yè)亟需解決的問題。本文以國(guó)家電網(wǎng)遼寧省遼陽縣供電公司為例，分析了目前存在的信息安全問題，并提出了一些改進(jìn)措施。

1 信息安全存在的問題

供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)面臨的安全問題越來越多，歸結(jié)起來主要表現(xiàn)在：系統(tǒng)漏洞;病毒感染;企業(yè)信息安全維護(hù)人員不足;人員信息安全意識(shí)薄弱;信息安全制度管理不完善等幾個(gè)方面。

（1）系統(tǒng)安全漏洞。任何軟件和系統(tǒng)都會(huì)存在一定的安全漏洞，所以說絕對(duì)安全的系統(tǒng)實(shí)際上是不存在的，供電企業(yè)的網(wǎng)絡(luò)系統(tǒng)也同樣如此。由于漏洞的存在，病毒、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業(yè)的網(wǎng)絡(luò)，甚至可以獲得計(jì)算機(jī)的管理權(quán)限。顯然，這對(duì)于供電企業(yè)來說是非常危險(xiǎn)的，會(huì)導(dǎo)致嚴(yán)重的安全問題。

（2）病毒感染。計(jì)算機(jī)病毒（Computer Virus）是一種編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，具有很強(qiáng)的寄生性、破壞性和傳染性，被稱為計(jì)算機(jī)系統(tǒng)的頭號(hào)敵人。一旦侵入計(jì)算機(jī)，引發(fā)的危害相當(dāng)嚴(yán)重，會(huì)破壞系統(tǒng)文件，偷盜計(jì)算機(jī)中有用信息，導(dǎo)致系統(tǒng)無法正常運(yùn)行。在供電企業(yè)中使用信息網(wǎng)絡(luò)技術(shù)時(shí)，由于大量的企業(yè)重要機(jī)密和客戶信息儲(chǔ)存在計(jì)算機(jī)系統(tǒng)中，計(jì)算機(jī)病毒一旦入侵并破壞計(jì)算機(jī)系統(tǒng)，系統(tǒng)中收集的重要資料將會(huì)丟失，損失是災(zāi)難性的。

（3）缺乏足夠的系統(tǒng)維護(hù)人員。供電企業(yè)信息安全需要一定的專業(yè)技術(shù)技術(shù)人員來維護(hù)，但是在大部分供電企業(yè)中，以作者所在遼陽縣供電公司為例，專門從事網(wǎng)絡(luò)信息系統(tǒng)安全維護(hù)工作的專業(yè)技術(shù)人員僅有5位，這么少的專業(yè)技術(shù)人員承擔(dān)不了繁重的電力網(wǎng)絡(luò)信息安全工作，所以當(dāng)企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)發(fā)生故障時(shí)，維護(hù)工作得不到有效的實(shí)施，進(jìn)而影響供電企業(yè)的信息安全。

（4）人員信息安全意識(shí)薄弱。在供電企業(yè)中應(yīng)用計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)時(shí)，由于相關(guān)電力工作人員安全意識(shí)薄弱而導(dǎo)致的企業(yè)信息安全問題時(shí)有發(fā)生，大大減弱了供電企業(yè)信息安全防御能力。例如相關(guān)技術(shù)人員的不認(rèn)真導(dǎo)致誤操作、未及時(shí)修復(fù)系統(tǒng)漏洞或者通過外接儲(chǔ)存設(shè)備導(dǎo)致機(jī)密信息和重要文件的泄露等，這些由工作人員人為因素導(dǎo)致的安全問題將會(huì)在很大程度上影響供電企業(yè)的信息安全。

（5）信息安全管理制度不完善。多數(shù)供電企業(yè)的安全制度制定不夠完善，沒有高度重視和落實(shí)企業(yè)信息安全制度。經(jīng)常會(huì)出現(xiàn)機(jī)密文件隨處放、系統(tǒng)口令不設(shè)置、打印設(shè)備及網(wǎng)絡(luò)共享等問題。這些問題的存在同樣也會(huì)危害到供電企業(yè)的信息安全。

2 針對(duì)供電企業(yè)信息安全問題的相應(yīng)措施

針對(duì)以上所述的信息安全問題，為了有效提高供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全性，我們提出了以下幾個(gè)方面的改進(jìn)措施。

（1）漏洞掃描和彌補(bǔ)漏洞缺陷。漏洞掃描包括基于主機(jī)的漏洞掃描和基于網(wǎng)絡(luò)的漏洞掃描，是一項(xiàng)既經(jīng)濟(jì)又實(shí)用的安全策略，及時(shí)發(fā)現(xiàn)漏洞并修補(bǔ)，可以防止安全隱患向安全事件的轉(zhuǎn)變?？舍槍?duì)我公司計(jì)算機(jī)中的數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用服務(wù)等進(jìn)行漏洞掃描并修補(bǔ)，做到未雨綢繆，進(jìn)一步保證網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行。

（2）防止病毒侵入計(jì)算機(jī)。隨著全球智能電網(wǎng)的推進(jìn)，供電公司的網(wǎng)絡(luò)和辦公也越來越智能信息化，這就給計(jì)算機(jī)病毒的傳播提供了一個(gè)重要的傳播途徑。因此，供電企業(yè)各部門必須建設(shè)標(biāo)準(zhǔn)化的個(gè)人終端，對(duì)病毒軟件做到不間斷的更新，完善補(bǔ)丁。另外需要特別注意的是要嚴(yán)格控制盜版軟件的使用，掌握更多的安全措施來防范木馬病毒，嚴(yán)格控制用戶訪問權(quán)限。

（3）增強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)管理。針對(duì)作者所在供電公司，現(xiàn)在尚沒有獨(dú)立的部門進(jìn)行信息系統(tǒng)運(yùn)行維護(hù)，所以首先需要建立獨(dú)立的運(yùn)維部門，并增設(shè)足夠的專業(yè)技術(shù)人員進(jìn)行網(wǎng)絡(luò)信息運(yùn)行維護(hù);并對(duì)技術(shù)人員進(jìn)行部門內(nèi)分工，制定相應(yīng)的管理措施，完善整個(gè)網(wǎng)絡(luò)信息維護(hù)流程;另外，需要對(duì)專業(yè)技術(shù)人員進(jìn)行定期職業(yè)培訓(xùn)，提高他們的操作管理水平。

（4）提升員工信息安全防患意識(shí)。在適應(yīng)網(wǎng)絡(luò)信息技術(shù)潛在的快速發(fā)展要求的基礎(chǔ)上，通過對(duì)全體員工采取信息安全培訓(xùn)與考核等有力措施，使得企業(yè)決策、管理、操作等各個(gè)層面的信息安全防范意識(shí)得到有效增強(qiáng)，企業(yè)信息安全管理經(jīng)驗(yàn)也得到大量積累。如此，整個(gè)供電企業(yè)的信息安全水平會(huì)因?yàn)槿w員工顯著地信息安全防患意識(shí)而得到提升。

（5）改進(jìn)信息安全管理制度體系。加快三級(jí)信息安全管理體系（信息安全管理部門、網(wǎng)絡(luò)技術(shù)部門以及相關(guān)其他職能部門、基層單位）的建設(shè)步伐;具體落實(shí)針對(duì)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、機(jī)房其他設(shè)施設(shè)備（例如防靜電地板、電源、空調(diào)、其他附屬設(shè)施等）以及員工管理的相應(yīng)管理制度的制定完善工作;明確管理人員、網(wǎng)絡(luò)維護(hù)人員、外來人員的職責(zé)范圍，確立身份認(rèn)證制度，涉及機(jī)密文件的員工要簽署保密協(xié)議，對(duì)外來人員的進(jìn)出要登記等。

3 結(jié)束語

為保障供電企業(yè)的快速可持續(xù)發(fā)展，就要確保企業(yè)信息系統(tǒng)的安全穩(wěn)定，就要在發(fā)現(xiàn)信息安全問題的基礎(chǔ)上不斷改進(jìn)安全策略，促進(jìn)合理完善的信息安全管理體系的構(gòu)建。供電企業(yè)要完善信息安全管理制度，提高員工的信息安全防患意識(shí)，增強(qiáng)信息系統(tǒng)的運(yùn)行維護(hù)管理，加強(qiáng)網(wǎng)絡(luò)信息的安全監(jiān)控，進(jìn)而保證供電企業(yè)信息安全。

參考文獻(xiàn)：

[1]吳金文，程麗琴.淺析供電企業(yè)信息安全管理[J].科技與創(chuàng)新，2015（11）：50.

[2]洪杰，段成鐸.電力企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)與安全管理研究[J].科技與創(chuàng)新，2015，18（13）：89-90.