企业信息安全现状范文

导语：如何才能写好一篇企业信息安全现状，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

企业信息安全现状

篇1

关键词：信息安全；现状；策略

信息安全管理已经成为企业加强信息化进程以及提高企业管理水平的一项重要内容，它是确保企业信息管理系统高效运行，促进企业健康、稳定发展的一个重要前提。近几年来，随着ERP在企业中的投入使用，使企业的信息化工作内容得以拓展，企业对信息系统的安全性也日益关注，怎样保证信息系统的安全、高效，已经成为摆在各个企业面前的一项重要课题。

1.信息安全管理意义

1.1信息安全是企业实现可持续发展的需要

随着计算机网络技术的普及应用，如何确保涉及到企业经营发展的各种信息、资料的安全性，已经成为企业必须要解决的一个问题。现阶段，大多数企业的数据信息，甚至是关系到企业战略规划的重要信息，都是以电子文件的形式进行保存的，对于企业来说，这些信息如果泄露、丢失或者遭到恶意破坏，其后果是不堪设想的。因此，企业必须要具有预见性与前瞻性，要站在战略发展的高度来看待信息安全问题，必须建立起一套操作性强的防范机制，要从操作系统、芯片技术以及网络建设等方面入手，就安全保障体系进行积极构建。

1.2信息安全是实现企业平稳、健康发展的前提

现阶段，我国企业的信息安全建设，还没有形成一个成熟，可供广泛借鉴的安全体系，同时基础也相对薄弱，这些问题都亟待解决。而且信息安全已经成为关系企业未来发展的一个重要问题，我们必须要认清加强企业信息安全建设的紧迫性，要从维护企业利益的角度来看待信息安全建设问题，做好基础设施的建设工作，以及信息安全体系的构建工作，实现企业的平稳、健康发展。

1.3信息安全是知识经济时展的需要

计算机网络技术的普及应用，使得企业内部各部门之间的信息交换，以及企业对外部信息的获取日益频繁，这也令企业对网络技术愈加依赖，计算机网络技术对整个商业运作方式也带来了巨大的影响，从而出现了电子商务，也对企业生产方式、经营理念，产生了巨大的冲击，推动了企业发展以及现代经营理念的构建。但是，信息的安全问题也日益突出，比如信息在存储、处理以及传输过程中经常存在着被非法截取、恶意破坏以及篡改的现象。所以，信息安全是知识经济时代这一大背景下，企业发展必须要解决的问题。

2.信息安全管理的现状

2.1信息管理的安全意识方面

人员、机器设备、原材料、制度是一个企业在进行生产经营时不可缺少的几个基本要素，随着知识经济的到来，信息的重要性日益受到企业管理界的认同，信息也理所当然的成为生产经营过程中，不可或缺的一个非常重要的因素。但是就目前的企业对信息安全管理的重视程度来看，远远还不够，忽视对企业内部各种信息资产的保护，其结果必然会为企业带来无法估计的损失，因此，企业必须要提高对信息管理安全系统的认识，积极构建、完善这一系统，保证企业信息的安全。

2.2网络协议方面

我们在对计算机信息系统进行安全维护时，保证网络协议的安全是维护系统安全的一个重要问题，但是计算机系统的部分协议，比如TCP/IP 协议，这部分协议以及其构架通常也是在因特网上进行共享的，这样必然会为系统的安全埋下隐患。而且这也是计算机信息系统安全构成威胁的一个主要来源，而它对计算机系统的破坏是巨大的。所以，我们在对计算机信息系统进行维护时，必须要关注到这一点，杜绝类似事件的发生。现阶段，注意网络不明信息、非法访问以及网络协议等对系统安全构成威胁的问题，是确保信息传送过程安全性的重要前提，是我们在构建企业信息网络系统时，必须要考虑的问题。

2.3信息安全产品本身存在的问题

通常情况下，多数企业在建设信息管理系统的同时，也采用了相关的信息安全产品。如果信息安全产品本身存在着漏洞的话，这必然会直接导致企业信息系统安全机制的失效。但是计算机系统的安全隐患绝不局限于产品本身存在的缺陷，如果信息安全产品本身是完善的，不存在着任何缺陷与隐患，但是我们在使用产品的过程中，会因为用户配置、操作上的失误，或者对产品安全性能不够了解，使其性能降低，而起不到保护系统安全的作用也是有可能的。

2.4资金投入不够

我国企业想要对信息安全系统进行构建，就必须投入大量的资金，同时还要吸引IT人才，加入到信息安全系统建设团队。但是就目前我国信息安全系统构建的现状来看，还有很多不如人意的在方，尤其是在资金投入方面，一个项目如果缺少资金投入，那么一切都是空谈。笔者在实际工作中发现，有些企业非常重视硬件设备的投入，但软件投入比较滞后，这就使硬件部分强大的功能无法得到充分发挥。

3.加强信息安全管理的策略

3.1提高信息管理的安全意识

随着计算机网络技术的快速发展，网络犯罪有逐年上升的趋势，电脑病毒、网络黑客对计算机系统的攻击与日俱增，企业必须出于自身利益的考虑，来加强信息安全管理方面的建设，首先要从加大宣传，提高安全意识方面入手。企业可以定期举行有关信息管理安全意识方面的讲座、报告以及相关的培训教育工作，使领导干部、普通员工提高对信息管理安全的重视程度，使安全防范意识深入人心，这样有利于加强信息安全管理工作的全面展开。

3.2设计加密体制对系统进行保护

当今社会是一个信息化程度高度发达的社会，人们利用互联网对信息进行收集、整理、分析、处理的程度越来越高，这样必然会导致信息安全方面存在着一定的隐患，如果我们不采取有效措施加以防范，一旦发生问题，对企业造成的危害是无法想象的。针对网络所存在的安全隐患，我们可以采用加密系统对网内数据、文档以及口令进行保护。如此一来，我们在网上进行数据传送的过程，也更具针对性。加密管理过程，通常分为链路加密、节点加密与端点加密三个种类，我们可以根据企业的实际需求进行选择。

3.3加强系统软件方面的建设

一般来说，计算机无论使用哪一种版本的操作系统，都会存在着一定的安全隐患，这个世界没有十全十美的东西，我们对操作系统也不能苛求太多。因此，这就需要我们采取积极、有效的措施来提高系统的安全性，以期对操作系统进行很好的维护。比如对数据库软件、计算信息管理软件进行更新，终端操作系统要与数据库操作系统在版本上要统一，这样可以便于管理，提高信息管理系统的防御能力。

3.4增加企业信息安全建设的投入

信息化已经成为社会发展的一个主流趋势，企业必须要借助好这个“东风”，来加强自身的信息安全建设。任何一个项目的启动，都离不开资金的投入，企业必须为信息安全建设提供物质基础，比如购置专用服务器、软件以及将IT资产外包等等，保证信息安全建设的顺利完成。

4.总结：

综上所述，信息安全对企业的发展有着非常重大的意义，它不但是企业自身实现可持续发展的需要，也是知识经济时代背景下，企业的必然选择，我们可以从提高信息管理的安全意识；设计加密体制对系统进行保护；加强系统软件方面的建设；增加企业信息安全建设的投入等方面入手，加强企业信息安全管理方面的建设。

参考文献：

[1]姜桦,郭永利.企业信息安全策略研究[J].焦作大学学报,2009,(01) .

篇2

关键词:信息安全;威胁;管理模式;桌面终端

在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。

一、当前信息网络的安全形势

目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBI对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。

据调查统计,90%以上的计算机终端用户使用的是windows2000,XP或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。

二、企事业单位网络终端计算机安全现状

大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占IP地址(ARP病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、BT、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。

这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。

现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装BT下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。

三、通过网络防护与终端防护共筑信息安全长城

以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。

近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。

四、建设桌面终端安全管理系统的意义

伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。

如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的IP/MAC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。

这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。

五、结语

企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部IT架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。

参考文献:

[1] 闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).

[2] 马国胜.桌面安全管理系统的应用[J].中国金融电脑,2009,(4).

篇3

企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析，许多企业虽然建立了企业信息安全管理制度，但是通常情况下，这些制度只能流于形式，企业信息安全管理工作缺少有效的制约和监督，企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全，企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一，企业员工对于信息安全管理的认识严重不足，对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关，认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二，企业内部信息安全管理制度并没有形成联动机制，企业信息安全管理工作仅仅由企业信息安全部门“一人包干”，企业信息安全反映的问题并没有得到积极的反馈，一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供给客户各种安全应用，安全应用必须依靠安全服务来实现，而安全服务又是由各种安全机制来保障的。所以，安全服务标志着一个安全系统的抗风险的能力，安全服务数量越多，系统就越安全。

2.P2DR模型

P2DR模型包含四个部分：响应、安全策略、检测、防护。安全策略是信息安全的重点，为安全管理提供管理途径和保障手段。因此，要想实施动态网络安全循环过程，必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态安全技术或者方法来突破的，比如有防火墙、访问控制、加密、认证等方法，检测是动态响应的判断依据，同时也是有力落实安全策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不安全因素；经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者，企业信息安全工作人员直接主导企业信息安全管理工作，企业信息安全工作人员不仅仅是企业信息安全的保障者，也是企业信息安全管理的威胁者。因此，HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心安全体系，信息安全技术防范的基础上，HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后，HTP强调动态管理，动态监督，对于企业信息安全管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（1）充分调查和分析企业的安全系统，建立一个全面合理的系统模型，安全系统被划分成各个子系统，明确实施步骤和功能摸块，将企业常规管理工作和安全管理联动协议相融合，实现信息安全监控的有效性和高效性。

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（3）设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，根本上提高信息数据的管理水平。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中，首要工作是设计企业信息安全风险评估的目标，只有明确了企业信息安全管理的目标，明确了企业信息安全管理的要求和工作能容，才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息安全管理的风险，定性定量地企业信息安全管理工作进行分析，找准企业信息安全管理的工作办法。

（2）确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的，因此，对于不同的企业的特殊性应该采取不同的风险控制办法，其中，不同企业对于能够承受的信息安全风范围有所不同，企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此，企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇4

企业经营信息对于企业来说是一种资源，对于企业自身来说具有重要意义，企业需要妥善管理自身企业的信息。近年来，企业的各项经营活动都逐渐开始通过计算机，网络开展，因此，企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革，把更多的注意力放在企业内部的信息安全管理工作，同时将企业信息安全管理与风险控制结合起来，这是一个正确的选择，能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义，因此，本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

2.企业信息安全管理技术不过关

3.企业信息安全管理制度不健全

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

2.P2DR模型

3.HTP模型

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

（2）确定信息安全风险评估的范围

（3）组建适当的评估管理与实施团队

篇5

1.1信息化机构建设不健全

电力企业很少为信息管理部门专门设置机构，因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下，甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程，没有专门的部门负责是不能满足现代企业信息化安全的需求的。

1.2企业管理阻碍信息化发展

有些电力企业管理办法革新缓慢，大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备，也只能受落后的企业管理模式所制约，无法发挥其应有的作用。

1.3网络结构不合理

电力企业大多将公司网络分为外网和内网，两种网络之间实行物理隔离措施，但很多企业的网络交换机是一台二层交换机，决定了内网和外网用户在网络中地位是平等的，导致安全问题只能靠完善管理系统去解决，给系统编写带来很多不必要的困难。

1.4身份认证缺陷

电力企业一般只建立内部使用的信息系统，而企业内部不同管理部门、不同层次员工有不同等级的授权，根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制，但在当前的企业身份认证系统中大多存在缺陷和漏洞，给信息安全留下隐患。

1.5软件系统安全风险较大

软件系统安全风险指两方面，一是编写的各种应用系统可能有漏洞造成安全风险，二是操作系统本身风险，随着近期微软停止对windowsXP系统的服务支持，大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补，这无疑会给信息安全带来极大风险。

1.6管理人员意识不足

很多电力企业员工网络安全意识参差不齐，一方面是时代的迅速发展导致较年轻的管理人员安全意识较高，而对网络接触较少的中老年员工网络安全意识较为缺乏；另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下，如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。

2、电力企业网络信息安全管理措施

要建立完善合理的网络信息安全管理体系，需要各企业认清企业现状，根据实际进行统一规划，分部建设，保证建设内容能科学有效的运行。

2.1加强信息安全教育培训

不论计算机程序有多么先进多么完善，如果操作管理人员素质和意识不足，那也不能保证企业信息化的安全。因此，实现企业网络信息安全管理的根本在人，可以根据员工职责分层次进行培训，一方面提高安全管理员工的专业知识水平及安全管理意识，另一方面加强对一线工作人员的安全意识教育，将网络信息安全变为企业文化和精神支柱的一部分。

2.2完善管理制度建设

电力企业要把网络信息安全管理视为一个系统工程来考虑，必须在企业内部建立起合理而完善的管理制度，比如：加强网络日志管理；对安全审计数据严格管理；在企业网络上安装病毒防护软件；规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。

2.3不断更新完善信息安全管理系统

大力推进信息安全新技术的探索和应用，建立信息安全防护体系，可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系，从而提高信息系统安全防护能力，确保企业信息安全可靠。

3、总结

篇6

网络信息资源是生活中普遍应用的一种资源，其自身的重要性逐渐凸显，尤其在各大电力企业中，网络信息安全管理成为企业发展的基本条件。但是由于我国电力企业起步比较晚，在现代化信息管理方面的研究尚浅，经验缺乏，因此需要在企业管理中不断改良信息管理模式，加强网络化信息安全管理，提高电力企业信息安全度。

1 电力企业网络信息安全管理的现状及存在的问题

1.1电力企业信息服务器安全不能保障

电力企业信息管理系统结构比较复杂，它包含众多信息服务器，主要有企业数据库资源服务器、Web服务器、银电联网服务器和基本应用服务器等众多复杂服务器。这些服务器担负着电力企业网络运行与发展，一旦电力企业的服务器受损，企业信息管理将瘫痪。而近年来网络信息安全受到威胁，网络攻击手段不断更新，电力系统服务器成为被攻击的第一对象。在电力企业网络信息管理中，管理人员不能对所有服务器进行系统管理，服务器经常受到网络病毒袭击，使得服务器工作受到干扰，公司信息机密没有进行加密处理，容易被窃取。

1.2电力企业信息管理人员整体素质较差

在我国很多电力企业管理中，都存在重视企业团队建设、重视技术养成、重视企业经济效益，轻视企业信息组成和信息安全管理的现象。这也从另一方面说明了企业管理体制不完善，信息管理观念差。由于电力企业信息管理制度的不完善，对信息管理人员的要求没有明确规定，因而导致信息管理人员工作素质不高，对信息安全基本技能不能熟练掌握。例如简单的SQL注入、脚本注入以及服务器防窃听加密等操作，信息管理人员在在工作中疏忽将导致整个信息管理系统不能正常运行。

1.3电力企业信息管理网络运用技术不成熟

按照有关规定，电力企业一般将信息网络划分为企业内网和企业外网，而来自内部网络的信息风险不容忽视，主要是内部员工信息安全出现的问题，由于网络管理人员对网络结构和企业应用系统比较熟悉，在生活中或者工作中将信息外流，对企业网络信息系统造成难以修复的伤害。内网与外网之间进行物理隔离，由于信息网络结构存在着核心交换机选择不合理的现象，导致信息安全问题不能及时解决，只能通过其他系统进行故障排查并解决。

2电力企业网络信息安全管理存在问题的解决对策

2.1建立入侵保护系统IPS，提高网络信息安全系数

在电力企业网络管理系统中建立网络入侵保护系统IPS，IPS能够为信息网络提供一种主动而实时的信息防御。它的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测，一旦发现可疑数据，IPS将发挥网络安全防御功能，阻止网络数据入侵电力企业网络信息系统。对带有攻击性的流量进行主动拦截，避免对信息造成阻碍。它与常规的网络防火墙相比具有更加高端的性能，它不仅能对网络恶意数据流量进行检测还能够及时消除隐患，而不是简单的对系统进行报警，IPS在功能上更加完善。在网络系统中，IPS直接串联到网络中，它能够为电力企业提供虚拟补丁，预先对黑客攻击和网络病毒进行拦截，使得外部攻击不能进行，信息系统即使没有最新安装的补丁，由于IPS的防御也能保证网络不受损害。此外IPS还能够对电力企业网络进行流量净化处理，例如对蠕虫和病毒造成的网络系统瘫痪，电驴下载造成的宽带资源被占用等现象，IPS都能够对其进行清理，提高网络环境利用率。信息系统中IPS的设计主要侧重于访问的控制，注重对外来干扰进行主动的防御，而不仅仅是检测和日志记录，为企业提供了全新的入侵保护解决方案。

2.2电力企业网络信息安全管理引用PKI数字认证技术

PKI技术是公开密钥理论和技术基础上发展起来的一种综合安全台。CA基础设施是数字认证系统面向其内部用户的基础服务系统，为数字认证提供管理服务。CA系统主要包括根CA、CA签发系统、RA注册管理系统、KM系统和LDAP目录服务系统。其中，CA签发系统是CA认证系统的核心服务，负责数字签发。RA注册管理系统主要负责提供用户证书业务服务，对录入及审核进行处理，如图1所示。

篇7

随着信息系统在企业中的广泛应用，信息安全的问题逐渐突出和严峻，这就体现了进行现安全有效性管理的重要性。实现信息安全管理的有效性测量是对企业进行信息安全运行的风险问题进行评估，进而得出企业的信息安全系统能否同企业信息安全的控制水平相一致，体现了对于整体性提高企业信息安全管理水平的重要性。

【关键词】

信息安全管理;有效性测量;方法

在21世纪的社会发展新时代，网络、计算机、信息技术被大量的企业纳入到自身的生产经营管理之中，在基本运行中会涉及到企业众多的机密文件和信息，直接关系的企业的发展运行，所以，一旦出现安全问题就会对企业产生重要的影响。所以，在不断深化的应用中，企业开始注重对信息安全的管理，并通过多样化的技术手段和方式来进行强化，但是这样的方式决定了对安全管理的有效性不能进行合理的把握和控制，并且对整体的安全水准也没有实现准确的衡量。所以，如果企业只是强化了信息安全在技术方面的建设，而并没有开展有效的安全管理评估工作，就会使信息安全系统在整体的规划中存在缺陷和漏洞，所以，进行信息安全管理的有效性测量是极为重要的。企业也逐渐认识到其重要性，使得近年来，我国企业对于信息安全有效性的测量需求不断增多，但是，在这方面我国起步较晚，存在着很多不足和缺陷，这就需要在有效的研究中寻找适当的方法来提升测量的整体有效性。

一、信息安全管理有效性测量的目的

通过实现有效性的测量，能够真实评估和反映企业信息安全管理的整体水平，以使企业在后续的信息安全管理中有明确的发展目标和整体方向。企业进行信息系统的建立时，往往会依据企业自身的发展需求、信息组成、安全标准、组织结构、利益关系等方面的需求进行，进而构筑相应的信息安全的整体体系和相关模型。通过对企业的信息安全管理进行有效性的测量，可以在技术的管理支撑下客观真实的反映企业信息管理的整体性评估，会能实现对企业信息安全管理目标的运行程度进行说明，并能对企业信息安全管理的系统效能开展准确科学的评测，为企业提供进行信息安全管理考核的基本依据[1]。就企业的整体发展实际来看，如果不开展信息安全管理的有效性测量，会使企业的整体管理水平只依赖于基本测评状态下的运行管理水平，难以同真实的信息安全运行环境相脱离，造成企业在安全管理过程中的漏洞和误差，使得企业在正常的运营和发展中的实际需求同所进行信息安全管理的整体水平不相一致，并且在对基础环节下的表面数据有所依赖时，并不能发现运行中的不足和缺陷，更遑论进行有效合理的解决，极大化的为企业的发展运行埋下了信息安全的运行隐患。而通过有效性的测量活动，能够准确的将企业在信息安全方面的漏洞进行定位，并且还能够有效指导基本的解决策略，有效保障企业信息管理系统的整体安全和有效。

二、信息安全管理有效性的测量方法

在开展信息安全管理有效性的测量时，需要对进行测量的指标进行量化的处理，并最终形成具有实际可行性的量化测量指标。在测量中，不同的指标则需要不同的测量方法来进行，一般而言，具有风险分析、问卷调查、内部审核、渗透性测试、个人访谈、内外对比、风险评估、报表统计等不同的方法。通过不同指标的不同测量之后，能够得得出各个指标的测度结果，在此基础上再根据不同的技术需要对结果进行科学有效的取值管理，给各个指标赋予不同的安全分险权重，然后综合计算企业信息安全管理有效性的整体水平[2]。比如在进行信息安全管理整体运行的有效性测量时，在对基本技术要求进行测量评估时，还需要对企业的环境安全、人员安全、业务联系、安全意识、事件管理等开展管理有效性的评估，以保障最终结果的综合有效性。在信息安全管理有效性的测量发展中，相关专业机构提出了同通过整体的系统模型来实现信息系统的整体安全性的方法。通过信息安全测量模型的建立，将信息系统运行中需要进行安全检测的对象中的某一些属性在通过一系列的检测管理过程之后，得出最后的测量结果，其中最为重要的就是测量方法和基本测度。将测量对象的多个属性应用不同的测量方法之后就能够得到基本测度，而基本测量方法的获取是通过多样化的数据资源进行测量对象的数据获取，比如风险评估结果、日志报表统计记录、调查表、测量结果等途径。就我国当前进行信息安全管理有效性测量的方式而言，在设定环节相对复杂和冗余，但在基本的项目实践中得出如下的基本运行方法：

2.1审计监控系统回顾

在进行检测时，需要尽可能的发现各个环节所存在违反和潜在信息安全的现象和事件，以实现有效的防治，实现影响的最小化[3]。

2.2纠正预防措施验证

对已经纳入整体有效性测量计划的纠正预防措施，在开展检测时进行检查和回顾，以保证检验过程中对于信息安全管理系统所采取的各项措施是否合乎当下的现状和企业具体要求。

2.3信息安全事故统计

主要是对已经发生过的安全事件进行统计和分析，以为检测的有效性提供更加高效合理的方法指引，以实现进行更高角度的评估以及在控制措施方面的有效性。这样的方式是将基本的计划和检测方式实现了有效的结合，并在各种方法的支撑下，实现综合型的检测，做到有效的预防和纠正，从不同的层面反应了进行信息安全检测的有效性，并保障整体运行体系的完整有效性，进而形成一个有效的良性循环。

三、结束语

就我国的整体实际而言，信息安全管理有效性的测量方法，还处于基础的起步阶段，而且相关的各项理论研究和测量指标等也均没有达到完善的阶段，这就需要进行不断的发展和探索，而且实践证明，进行信息安全管理有效性的研究是有着极为广阔的发展前景的，在保障整体信息运行管理的安全性基础上，能够使企业提升整体的竞争力和自身生存能力，并且能够将测量中发现的问题和相关数据进行分析，然后具有针对性的使企业所存在的风险得到最大化的控制，最终达到基本业务的正常有效运行。

作者：薛拥华邓冲陈宇刘板浩黄刚单位：精诚瑞宝计算机系统有限公司

参考文献

[1]朱英菊,刘红丽,陈长松.信息安全管理有效性的测量研究[J].情报杂志,2010,01:73-76+41.

篇8

（1）内网网络结构不健全。

现阶段，我国的供电企业内网网络结构不够健全，未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限，信息安全工作相对投入较少，安全隐患较大，各种安全保障措施较为薄弱，未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运，财务、营销、生产各专业都有相关的信息系统投入应用，相对薄弱的网络系统必将成为整个信息管理模式的最短板。

（2）存在于网络信息化机构漏洞较多。

目前在我国供电企业中，网络信息化管理并未建立一个完整系统的体系，供电网络的各类系统对于关键流程流转、数据存储等都非常的重要，不能出现丝毫的问题，但是所承载网络平台的可靠性却不高，安全管理漏洞也较多，使得信息管理发展极不平衡。信息化作为一项系统的工程，未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分，针对现今我国供电企业网络安全管理的现状来看，计算机病毒，黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术，可移动存储介质加密技术的应用，给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是：操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新，针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现，就会对企业内部计算机进行大规模的传播，给目前相对公开化的网络一个有机可乘的机会，对计算机系统进行恶意破坏，导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件，篡改供电系统相关数据，对国家供电系统进行毁灭性的攻击，甚至致使整个供电系统出现大面积瘫痪。

（3）职工安全防范意识不够。

想要保证我国网络信息的安全，就必须要提高供电企业员工的综合素质，目前国内供电企业职员的安全防范意识不强，水平参差不齐，多数为年轻职员，实际操作的能力较低，缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握，跟不上信息化更新状态，与新型网络技术相脱轨。

2网络信息安全管理在供电企业中的应用

造成供电企业的信息安全的威胁主要来自两个方面，一方面是国家供电企业本身设备上的信息安全威胁，另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理，难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的，这就需要加强我国供电企业进行安全的管理，建立病毒防护体系，及时更新网络防病毒软件，针对性地引进远程协助设备，提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统，在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险，对经历的风险进行剖析，制定针对性的风险评估政策，确立供电企业信息系统安全是以制定针对性风险评估政策为前提的，根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语，还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控，国家相关部门就必须实行自主研发信息安全管理体系，有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合，大力开发信息网络，促进科技管理水平的快速提高，以保证我国供电信息管理的安全。

3结语

篇9

关键词：信息安全；管理体系；PKI/CA；MPLSVPN；基线

在供电企业现代信息技术广泛运用生产经营、综合管理之中，实现资源和信息共享，为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程，木桶原理可以很好地诠释信息安全，一个企业安全不取决于最强项，而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设，才能有效提高企业信息安全，才能为企业生产、经营保驾护航。

1基层供电信息安全现状

基层供电企业信息安全建设方面，在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。

1.1管理制度不健全，制度多重化

信息安全制度建设方面较为被动，大多数都是现实之中出现某一问题，然后一个相关制度，制度修修补补。同一类问题有时出现不同管理规定里，处理办法不一，甚至发生冲突。原有信息安全管理制度宽泛，操作性较差。信息系统建设渠道不同，未提前进行信息安全方面考虑，管理职责不明，导致部分信息安全工作开始不顺畅。

1.2安全区域划分不明，网络架构不清晰

基层供电企业系统建设主要由上级推广系统和自建系统，系统建设时候相当部分系统未充分考虑系统，特别是业务部门自建系统更甚。网络建设需要什么就连接什么，存在服务器、终端、外联区域不明显，网络架构不清晰。

1.3未建立一体化安全防护体系

从近些年已经发生的各类信息安全事件来看，内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足，存在网络带宽滥用；终端接入没有相应准入控制，不满足网络安全需求用户接入办公网络，网络环境安全构成极大风险；内部人员对核心服务器和网络设备未建立统一内部控制机制；移动介质未实施注册制管理等问题。

1.4未建立行之有效设备基线标准

网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求，在设备和系统中常常保留有默认缺省安全配置项，这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时，没有统一基线标准，没有对设备和系统进行相应基线加固，企业存在潜在风险。1.5信息安全意识较差，技术水平参差不齐企业信息安全认识存在认识上误区，常常认为我们有较强信息安全保护设备，外部不易攻破内部，事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等，这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新，未取得专门信息安全专业人员资质，处理问题能力表现参差不齐。

2必要性

信息安全为国家安全重要组成部门，电力企业信息安全为国家信息安全的重要元素，电网安全事关国计民生。2014年2月，国家成立中央网络安全和信息化领导小组，将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件，前几年发生伊朗核电站“震网”病毒（Stuxnet病毒）网络攻击，其中一个关键问题就是利用移动介质摆渡来进行攻击，造成设备瘫痪，这一系列信息安全事件都事关国家安全，因此人人都要有信息安全意识。首先要防止企业机密数据（财务、人资、投资、客户等）泄漏；其次，保持数据真实性和完整性，错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失；最后，信息的可用性，防止由于人员、流程和技术服务的中断而影响业务的正常运作，业务赖以生存的关键系统如失效，不能得到及时有效恢复，会造成重大损失。建立严格的访问控制，前面数据分级时有制定数据的“所有者”及给敏感数据进行分级，按照分级的要求制定严格的访问控制策略，基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限；权限分离原则是将不同的工作职能分开，只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为，提高工作效率，保护企业有限网络资源应用于主要生产经营上来。

3特点探析

通过我们对基层供电企业在信息安全存在问题及必要性来看，主要是管理制度、网络信息安全技术、人员意识等方面存在问题，有以下特点。

3.1管理制度方面

常说信息安全“三方技术、七分管理”，制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度，基层供电企业遵照执行，可以根据各单位具体情况进一步细化，让管理制度落地。从企业总体信息安全方针到具体专业制度管理上，实现全网一体化，规范化。

3.2网络信息安全技术方面

上级专业主管部门，站在企业高度，制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划，分布实施，最终实现企业网络信息安全防控一体化。

3.3信息安全意识培养方面

企业员工信息安全意识培养是个长期的过程，不是通过一次两次培训就能解决的，采取形式多样化方式来培养员工安全意识，可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员，要让他们养成按照制度办事习惯，用户需要申请某项资源，严格按照制度执行，填写相应资源申请，有时候领导打招呼也要按照制度流程来执行。长此以往，人人都会知道自己该做什么，不该做什么，该怎么做，企业信息安全意识就会得到极大提高。

3.4专业技术人员水平方面

信息安全技术日新月异，不学习就落后，不断收集信息安全方面信息，共同讨论相关话题，建立相应培训机制，专业人员实行持证上岗，提升专业人员实际解决问题能力，有效提高人员专业素养，成为企业信息安全方面专家。

4实施和开展

从2009年开始，先后进行一系列信息安全建设，涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面，整体提高基层供电企业信息安全状况。

4.1信息安全制度建设

2010年开始信息安全体系ISO27001、27002建设，结合企业情况，形成30个信息安全相关文件，涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平，先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设，基层供电企业有章可循，全网信息安全依据统一，明确短板情况。

4.2建设一体化网络与信息安全防控

首先依据电监会5号文件要求，网络架构按照三层四区原则进行部署建设，生产实时控制大区（Ⅰ、Ⅱ区）与信息管理大区（Ⅲ、Ⅳ区）之间采用国家强制认证单向数据隔离装置进行强制隔离，网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区，在综合数据网上，利用MPLSVPN，根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统，构建企业员工在企业数字身份认证系统，已建成系统进行未采用PKI登陆系统，进行相应改造结合PKI/CA系统，采用PKI登陆，在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求，进行互联网统一出口，部署统一互联网防控设备，建立统一上网行为管理策略，规范员工上网行为，合理使用有限互联网资源，审计员工上网日志，以备不时之需。建立企业统一病毒防护系统，实现病毒软件统一安装，病毒库自动更新，防护策略统一下发，定期统计病毒分布情况，同时作为终端接入内网必备选项，对终端病毒态势比较严重用户进行督促整改，有效防止病毒在企业内部蔓延，进一步进化内网环境。建立统一网络边界安全防护，在企业内网边界合理部署防火墙、IPS、UTM，并将其产生日志发送到统一安全管理平台，进行日志管理分析，展现企业内部信息安全态势，预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证，建设统一桌面管理，所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网，系统启用强制安全策略，终端采用采用DHCP，用户不能自动修改IP地址，在DHCP服务器上实现IP与MAC地址及人员绑定，杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行，不满足要求用户，自动重定向到指定网站进行安全合规性检查，满足要求后自动接入内网，强制所有用户采用统一网络安全准入规则。实行移动介质注册制，极大提高终端安全性，有效保护企业信息资产。建立内部运维控制机制，实现4A统一安全管理，认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池，按照用户需求，提交相应申请材料，授权访问特定设备和资源，并对用户访问行为全程记录审计。

5结语

篇10

【关键词】电力企业；网络信息安全；管理

新时代是网络信息时代，全世界信息网络系统都在迅猛发展中。电力企业作为各行业中重中之重的国家基础行业，整个行业都对网络信息系统有着极大的依赖性，网络信息系统也以它快速、全面、及时的优点给电力企业带来了极大的经济效益。但是网络信息系统所带来的不仅是经济效益，同样还有信息泄露的巨大风险，一旦发生信息泄露或信息数据遭篡改，将为国家造成不可估计的经济损失。

近年来全球范围内计算机犯罪活动猖獗，不断发生黑客入侵、电脑病毒肆虐事件，给电力企业敲响了警钟，网络安全防范刻不容缓。很多受害者的网络硬件及软件技术都处于时展的主流，然而依然发生信息安全受损事件，这充分证明，仅仅依靠软硬件的更新是不能很好的提升网络信息安全水平的，除了安装网络安全产品，同样重要的还有网络信息的安全管理措施。所以，各电力企业都必须认真面对和研究当前网络信息安全问题，及时采取合理有效的防范措施。

1、我国电力企业网络信息安全现状

1.1电力企业信息化的优势

进入二十一世纪以来，随着网络技术的迅速发展，我国电力企业的信息化也有着很大的进步：电力行业信息化设施较其他行业更完善，各电力企业主要岗位使用计算机工作的比率已经基本达到100%，而且90%以上都建立起了覆盖本部机关工作的局域网；电力生产、调度自动化系统广泛应用，已经形成了较成熟的管理模式。其中发电生产自动化监控系统、电力调度SCADA系统等，大大提高了生产过程和电力调度的自动化水平；电力营销管理系统在全国各大电力企业广泛应用，各地（市）级电力企业都已实现业务受理计算机化。同时各地也在大力建设客户服务中心，已经有一批服务中心先行初步建立起来；国家电网公司及其下各级子公司开发应用了电力生产、设备安检、电力负荷及营销管理的企业管理信息系统，各大电力企业也在积极规划企业信息化发展蓝图，大力进行企业信息化建设，推动实现电力工业现代化进程。

1.2当前存在的问题

上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果，给行业信息化建设打下了良好的基础，但在网络信息安全管理方面仍普遍存在较多问题。

1.2.1信息化机构建设不健全。电力企业很少为信息管理部门专门设置机构，因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下，甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程，没有专门的部门负责是不能满足现代企业信息化安全的需求的。

1.2.2企业管理阻碍信息化发展。有些电力企业管理办法革新缓慢，大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备，也只能受落后的企业管理模式所制约，无法发挥其应有的作用。

1.2.3网络结构不合理。电力企业大多将公司网络分为外网和内网，两种网络之间实行物理隔离措施，但很多企业的网络交换机是一台二层交换机，决定了内网和外网用户在网络中地位是平等的，导致安全问题只能靠完善管理系统去解决，给系统编写带来很多不必要的困难。

1.2.4身份认证缺陷。电力企业一般只建立内部使用的信息系统，而企业内部不同管理部门、不同层次员工有不同等级的授权，根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制，但在当前的企业身份认证系统中大多存在缺陷和漏洞，给信息安全留下隐患。

1.2.5软件系统安全风险较大。软件系统安全风险指两方面，一是编写的各种应用系统可能有漏洞造成安全风险，二是操作系统本身风险，随着近期微软停止对windows XP系统的服务支持，大量使用windows XP系统的信息管理软件都将得不到系统漏洞的修补，这无疑会给信息安全带来极大风险。

1.2.6管理人员意识不足。很多电力企业员工网络安全意识参差不齐，一方面是时代的迅速发展导致较年轻的管理人员安全意识较高，而对网络接触较少的中老年员工网络安全意识较为缺乏；另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下，如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。

2、电力企业网络信息安全管理措施

要建立完善合理的网络信息安全管理体系，需要各企业认清企业现状，根据实际进行统一规划，分部建设，保证建设内容能科学有效的运行。

2.1加强信息安全教育培训

2.2完善管理制度建设

2.3不断更新完善信息安全管理系统

3、总结

电力企业信息化是不可避免的发展趋势，因此要实现企业的可持续发展就必须做好企业信息网络安全的管理，电力企业要在不断的探索实践中，摸索新时期网络信息安全管理措施，不断完善和健全网络信息安全建设。

参考文献

[1]王隽.电力企业网络信息安全防护体系的建立[J].信息与电脑（理论版），2012，07：22-23.

企业信息安全现状范文

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

热门标签

相关文章

相关期刊

企业文化

上海企业

企业活力

企业家

精品范文