企业网络信息安全思考

导语：企业网络信息安全思考一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

随着供电企业信息化建设不断深入，特别是国网公司信息化“SG186”工程的实施，对计算机和网络信息系统的依赖程度越来越强。因此使我们对目前供电企业信息系统面临的安全风险也愈加担心。信息系统所面临的安全风险既有来自于外部，也有来自于内部。来自外部的威胁包括网络入侵、黑客攻击、病毒传播、恶意软件骚扰等造成数据丢失、机密数据的失密或系统不能正常地使用。来自内部的威胁包括用户安全意识不足，管理不到位，设备缺陷、网络配置存在安全隐患，应用系统安全控制不严，支撑平台没有进行必要的安全配置等缺陷。据统计，在所有的计算机安全事件中，属于人为因素比重高达70%以上，下面就目前基层供电企业信息安全管理中存在的问题和如何加强管理进行阐述。

一、目前企业网络信息安全管理中存在的问题

目前各级供电企业对信息安全日趋重视，但主要侧重于防备外来未授权用户的非访问，并过于注重如防火墙、入侵检测等技术问题，忽略了信息安全中人的管理，造成了几个突出问题：

1、人员安全意识淡薄

由于系统的专业教育与培训不足，许多专业技术人员仍然抱着“防火墙等于安全”的侥幸心理，缺乏“防黑防毒”的意识和内部员工操作失误或恶意攻击的警惕性，对信息安全采取的防护措施非常简单。大多数信息系统使用员工对信息安全知识和技能掌握不够，认为信息安全只是技术部门的事，安全防护意识不强。

2、网络信息机构不健全

有些供电企业没有专门的信息技术运行机构或没有规范的建制和岗位，人员配置又偏少，而且信息系统架构的分散也导致人力资源不集中，信息战线拉得大长，几乎没有时间关注信息安全。由于IT技术发展很快，基层信息技术人员得不到相应的培训，难以对日新月异的IT技术中有关主机、操作系统、数据库、网络、存储、安全等方面作全面的了解和掌握，运行维护能力低下，系统安全监控不到位。

3、网络信息安全管理专业化程度不够

大多数基层供电公司缺乏专门的信息安全监督管理机构，或者没有配备专业的信息安全监督管理人员，或者只设兼职。由于缺乏信息安全管理专业知识和技能，对信息安全特殊性认识不足，难于发挥有效的信息安全监督管理，使信息安全管理工作处于一种似管非管或基本不管的真空状态。

4、管理制度滞后且执行不力

随着国网公司集中集成工作的展开和信息网络基础建设不断加强，原有的信息安全管理制度已相对滞后，而且有些制度不完全适合基层实际，个别条款操作性较差，难于执行，这就造成制度执行不力、有章不循、违规操作，这些都增加了信息安全风险。

二、加强企业网络信息安全管理的几点建议

1、加强全员网络信息安全意识教育

通过普及信息安全知识教育，提高企业员工网络信息安全知识和安全意识，掌握发现、解决某些常见安全问题的能力。信息安全教育的具体内容一般应包括以下内容：（1）信息安全所面临的风险；

（2）企业信息安全方针及目标；

（3）企业安全管理规章制度；

（4）与信息安全有关的其它内容。通过安全教育使所有员工增强整体信息系统的安全防护意识。

2、加强企业员工相应技能培训

为了确保企业员工在日常工作过程中具有保护企业信息安全方面的能力，应当加强对员工计算机安全技能培训，教育员工平时应做到所有操作应符合规定、不得向他人泄露自己的操作口令、不访问陌生的网站、不浏览或打开一些来历不明的邮件及附件、外来光盘、U盘等存储设备须先杀毒后使用、发现问题立即通知技术人员处理等基本的安全技能。

3、健全信息技术部门建设

根据需要合理配置信息技术人员，加强信息技术队伍建设，明确机房管理员、网络管理员、应用系统管理员、数据库管理员、防病毒管理员、运行维护员等岗位配置，重要岗位设置A、B岗，落实岗位职责具体到人。对技术人员应注重技术培训，可以定期或不定期参加各种针对性的技术培训，增强技术储备力度。

4、加强信息安全规章制度建设

建立健全适应企业实际的安全管理制度是信息安全管理的前提。标准化的安全管理，能够克服传统管理中个人的主观意志驱动的管理模式。应在对企业信息安全评估下，根据单位实际情况，遵照上级有关规定，制定出切实可行、全面的安全管理制度。如：保密制度、机房管理制度、网络运行管理制度、应用系统运行管理制度、设备维护工作制度、值班制度、计算机系统使用规范等，管理制度应明确描述所有信息技术人员以及信息系统使用人员的信息安全职责和信息系统日常使用规范，规范信息系统操作流程，减少人为失误。

5、建立安全监督保证体系

成立安全领导小组，由分管领导抓信息安全工作，并设置一个独立于信息技术部门的信息安全管理监督部门作为企业的信息安全日常管理机构，根据信息系统安全需要设定安全事务的职位，负责企业范围内信息安全监督管理工作。各部门应配备计算机技能较强的信息安全专兼职人员，负责所在部门信息安全制度的落实和执行，形成良好的信息安全监督保证体系。

6、加强信息安全考核力度

在建立规范的信息安全管理制度时，应加强信息安全考核力度，使规范和制度的制定不形同虚设，而是真正落到实处，从而使全体员工都积极投入到信息安全工作中。在检查到违反信息安全规章制度的事件或有安全事故发生之后，信息安全监督管理部门应对事件或事故的类型、严重程度、发生的原因、性质、产生的损失、责任人进行调查确认，形成分析评价资料，对责任人进行经济或行政处罚。总之，基层供电企业必须重视和加强信息安全管理，努力消除信息安全漏洞，全面提高企业信息安全管理水平，在员工中树立起牢固的信息安全企业文化，保证信息系统安全可靠地运行。

◆江苏海门市供电公司徐新件朱健华