关于企业信息安全措施范文

导语：如何才能写好一篇关于企业信息安全措施，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【关键词】信息化建设 信息安全 对策分析

在科技飞速发展的大环境下，信息化已经成为当今时代的发展趋势，企业信息化建设已经成为企业发展的必经之路，企业通过对信息化建设过程中的信息安全的探索，保证企业信息化建设过程中的信息安全与系统稳定，从而使企业在竞争中处于不败之地，让企业在工业化与信息化深度融合下，快速发展，与时俱进。

1 当前企业信息化建设中的信息安全问题

1.1 信息安全管理问题

目前企业的信息安全管理上存在的问题，首先，信息管理人员缺乏或者人员经验不足：计算机信息安全很大程度上取决于管理人才，调查显示，我国七成IT企业信息安全系统保障不足，主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程，需要不断对现有系统进行安全检查、评估，及时发现新的问题，跟踪最新安全技术，及时调整安全策略，增强企业信息安全性。其次，在企业的信息化建设中信息安全管理系统不完善，信息安全管理系统，如果没有一个很好的保障体系，会使得信息的管理错乱，无秩序，重复管理、漏管等现象发生，使得信息系统出现漏洞，安全性降低。最后，安全以人为本，如果管理不善，人为原因，造成的操作失误，误用或滥用关键、敏感数据或资源等导致信息丢失泄露，外部人员和硬件的商家等对于企业的系统有一定的了解，有权限合法访问，这也会造成信息的安全问题。

1.2 信息化建设中的硬件问题

近年来，由于信息化发展较快，企业信息化建设的成本也在不断提高，由于信息化建设投资大、回报慢，一些企业虽然有信息化建设的意愿，但是在实际投入上比较小，这就使得企业信息化建设过程中，企业的硬件设施跟不上时代的不发，导致企业信息化建设止步不前，计算机硬件设施的老化，对企业信息化建设过程中的安全问题存在这一定的隐患，而且，计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备（路由器、交换机、防火墙、通讯线路故障）等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。

1.3 信息化建设中的软件问题

（1）国内的软件水平与世界先进水平还存在较大的差距，更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。

（2）配置中存在的问题，很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口，而这些都容易造成信息的泄露。

（3）Web服务中的安全问题，www体系的主要特点是开放、共享、交互，这使得信息安全问题增加，安全漏洞多样，如果服务器的保密信息被窃取，信息系统就会受到攻击，获取Web主机信息，使机器暂时不能使用，使机器暂时不能使用，服务器和客户端之间的信息被监听等。

（4）路由器信息的不安全行为，路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。

2 企业信息化建设中信息安全的对策

信息安全是企业信息化建设中的重要问题，只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设，主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。

2.1 强化信息安全观念

在企业信息化建设中，一旦企业信息被盗取或丢失，对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性，强化信息安全的观念，提高信息安全意识，从思想上认识提高信息安全的必要性。

2.2 加强硬件建设安全防护

加强企业信息化建设过程中的硬件建设安全，首先要保证计算机的安全。企业的信息化建设离不开计算机，要保证计算机的安全就要对计算机进行定期的维护与保养，避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。

另外，企业的信息化建设中，要加强网络硬件的建设。目前，市场上应用比较广泛的企业网络协议就是TCP/IP协议，硬件组成有服务器、通信设备、网络安全设备，主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术，同时还有支持网络运行的支撑系统，整个硬件建设安全、稳定、可靠。

2.3 提升软件建设安全措施

要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施，要采用高性能的安全软件对系统进行防护，使用防护软件要使其发挥其价值所在，不要因小失大。目前，大多数企业的软件防护措施不到位，主要原因就在于软件防护措施不到位，例如企业在公共区域设置无密码的无线路由器，等于是向所有人公开企业的信息，安全无法保证。因此，企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。

3 小结

企业在信息化建O过程中的信息安全问题，有着很广泛的内容，企业信息化建设中信息安全的监控、维护等涉及的面比较广。在信息安全问题上主要应该以防护为主，从良好的管理开始，将信息安全风险扼杀在摇篮中，形成安全保障体系。信息时代，企业的信息化建设是企业发展和提高竞争力的基础，我国的企业信息系统长期处于不安全状态，没有足够认识到企业信息安全的重要性，希望通过本文的探索和论述，能够引起企业的关注，加强信息安全的防护。

参考文献

[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用，2015（03）.

[2]辛玉红.企业信息化建设中的信息安全问题[J].现代情报，2004（11）.

[3]马良.企业信息化建设中的信息安全问题[J].才智，2014（01）.

[4]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程，2013（14）.

[5]刘生堂.试论企业信息化建设中的信息安全问题[J].中国新通信，2015（22）.

篇2

it的岗位说明书范文一

1、负责公司网站的设计、建设及日常维护与更新;

2、对公司服务器、路由器等设备管理，以及网络平台的运行监控和维护;

3、进行办公设备的日常维护及管理;技术档案维护;

4、负责内部局域网络维护，病毒的查杀，维护局域网系统安全;

5、处理网络及计算机故障;

6、负责内部信息系统建设;进行域名、后台数据维护，it专员岗位说明书。

it的岗位说明书范文二

1. 拟定和执行企业信息化战略

负责制订公司信息化中长期战略规划、当年滚动实施计划，制定企业信息化管理制度、制定信息化标准规范;负责公司信息化网络规划、建设组织、制订it基础资源(硬、软件)运行流程、制定网络安全、信息安全措施并组织实施，实现it资源集约管理;负责公司集成信息系统总体构架，构建企业信息化实施组织，结合业务流程重组、项目管理实施企业集成信息系统。负责集团公司网站建设计及总体规划。

2. 企业信息资源开发

根据企业发展战略和信息化战略要求，负责企业内外部信息资源开发利用。导入知识管理，牵头组织建立企业产业政策信息资源、竞争对手信息资源、供应商信息资源、企业客户信息资源、企业基础数据资源五大信息资源库。

3. 建立信息化评价体系

根据公司信息化战略和企业实情，建立公司信息化评价体系和执行标准、制定全员信息化培训计划，范文《it专员岗位说明书》。

4. 信息处理

负责信息的收集、汇总、分析研究，定期编写信息分析报告报公司领导决策参考;参与公司专用管理标准和制度的制定和修改。

5. erp等信息平台的开发及实施

负责公司计算机开发应用计划，有步骤地开发使用应用管理软件，逐步实现企业管理现代化、信息化;负责公司erp系统项目的论证、引进(或开发)与实施，组织erp系统与企业状况之间关系的分析，确保公司erp系统的顺利运行。

6. 控制信息设备预算

负责控制部门预算，降低费用成本，组织公司计算机相关设备的维护、添置、验收、发放登记归档，以及管理软件的咨询、设计、采购、测试、验收、日常维护，并提出可行性方案等工作。

7. 协助其它部门管理

协助其它部门实施cad、pdm、capp等项目信息管理，协同其它管理部门实施设备管理、人事管理、客户关系管理等信息化管理的实现。

8. 日常管理

主持本部门日常全面工作，编制本部门年、月工作计划及资金计划，总结年、月度工作;负责本部门员工考核。

9. 企业文化宣传

负责企业文化的整理、宣传、实施，负责公司整体ci形象策划管理工作。认真做好策划整体构思和合理地编制广告投入计划等工作。

篇3

一、网络会计信息系统的安全风险主要表现

会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。

1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。

2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。

3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。

4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。

二、网络会计信息系统安全应考虑的一般原则

1.需求、风险、代价平衡分析的原则

任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。

2.综合性、整体性原则

应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

3.一致性原则

一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。

三、网络会计信息系统安全的几项措施

通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。

1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。

2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。

3.建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。

篇4

[关键词]信息化；安全；化工企业

[DOI]1013939/jcnkizgsc201643078

1安全要求越来越高

随着管理水平的提高和信息技术的发展，企业愈加重视信息化对企业管理的重要作用，进而投入更多的资源来促进企业信息化，通过信息化的不断推进，又帮助企业改进管理，促进企业发展。

在企I管理中，安全管理日益成为核心目标之一，尤其对于化工类企业，安全管理更是企业管理的重中之重。如何通过信息化的手段，有效提高安全管理水平，也成为化工类企业实施信息化的关注重点。

化工类物流企业主要的业务是仓储和运输服务。由于化学品其自身所具有的剧毒、爆炸、腐蚀等高危特性，使得整个业务操作过程，必须以安全为基本，所有操作和流程必须满足安全要求才能进行。

2化工物流业务基本情况调研及分析

21基本业务情况

化工类物流企业以危险化工产品的仓储、运输以及相关的增值服务为主要业务，主要业务部门为仓储部、运输部、安全部，按照国家、地区、行业以及企业的各项安全管理要求，完成业务操作。

仓储部负责危险化工产品的仓储管理，在仓储的入库、储存、出库过程中，增加对货物的安全性要求及操作流程，对于不符合安全要求、规定的货物，停止当前业务操作。

运输部负责危险化工产品的运输管理，在装车、运输、卸车过程中，增加对货物操作、运输的安全要求和管理规定，对于符合要求、规定的货物，按照安全要求进行操作。

安全部负责制定各项安全管理要求、安全操作规定、安全应急措施、业务安全评估、货物安全评估等工作，对不满足公司安全要求的业务，安全部有权行使一票否决权，以确保公司的安全运营。

22基本信息化情况

主要的信息系统包括业务系统、视频监控系统、现场监控系统、运输跟踪监控系统，覆盖了业务流程管理、安全管理、仓储安全监控、运输安全管理等内容，行业中普遍形成了一套比较完善的信息管理体系，以及安全管理和监控体系。

业务系统主要主要包括：接单、审核、仓储接单、入库、库存调整、出库、运输接单、装车、卸车、客户交接、合同管理、商务结算、安全管理等内容。从接单环节开始的安全审核，到业务操作过程中的具体安全操作规范，直至最后的出库和客户交接的整个业务过程中，都加入了安全管理的步骤，切实在系统中体现了业务的安全管理要求。

视频监控和现场监控系统组成了仓库现场安全管理体系，视频监控对仓库库内、库门、库外等主要地点进行24小时监控，辅助完成防火、防盗、车辆识别等安全管理，监控视频信息长期保留。库内安置的大量温度、烟雾、液体、气体等传感器，基于物联网技术，组成了第一线的安全预警、报警系统，及时提示仓库内可能出现及已经出现的险情。

运输跟踪监控系统，通过车载移动计算平台，连接运输车辆的CAN系统，及时获得运输车辆的各种运行状态，进行及时的提示、预警和远程管理。在此基础上，结合成熟的GIS系统，对运输车辆的线路、位置、道路视频进行实施监控，确保车辆按照规定的线路、速度进行运输，减少运输安全隐患。

3信息化安全情况分析

31安全法规

为了加强和规范信息系统的安全建设，我国先后出台了《保守国家秘密法》《计算机信息系统安全保护条例》《关于维护互联网安全的决定》《国家信息化领导小组关于加强信息安全保障工作的意见》等信息系统安全方面的法律法规，同时，还出台了《中华人民共和国安全生产法》《危险化学品安全管理条例》《危险化学品目录》等危险化学品安全生产方面的法律法规，以及各个地方出台的地方性安全法规，从不同层次、角度，对危险化学品的生产、储存、使用、经营、运输等方面进行了详细、全面的规定。

32业务需求

业务需要尽量满足客户需求，为客户提供满意的服务。在接受客户的储存、运输业务时，需要对货物安全相关的信息进行审核；在业务具体操作中，分为存储和运输两部分。

（1）存储

存储前要根据对仓库的用途、储存能力、安全级别、安全措施等内容进行分类；在实际操作中，危险化学品货物的存放，要满足仓库定品定量和禁忌性要求。

（2）运输

运输包括装载、卸载、运输三个过程，装、卸过程中，要注意遵守相关操作规范，对运输资质、运输线路、时间、区域进行审核，同时运输的货物要满足定品定量和禁忌性要求。

33风险评估

风险评估主要对风险出现的影响和可能性进行分析。影响可以分为：可以忽略、较小、中等、较大、灾难性等5个级别，可能性分为：几乎肯定、很可能、可能、不太可能、罕见等各级别。

根据风险的级别分别对其进行赋值，并计算出该风险的风险值，如表1所示。

风险分析主要是应对2～4级的风险，制定相应的应对措施，以减小风险发生时的损失。化工类物流企业的风险主要来自：货物、人员、仓库、车辆、容器。

危险化学品货物天生具有各自不同的危险属性，需要针对业务范围内的每一类危险化学品分析其风险点，制定具体的安全及应急措施；人员要有相应的资质证书，防止由于操作失误而引发的风险发生的情况；仓库、车辆要严格执行定品定量和禁忌性规则，按照安全操作流程进行操作；容器需要避免容器中同时出现多种危险化学品，并确认容器的完整性，防止泄漏、腐蚀、污染等事故发生。

4信息化安全方案制订

41总体方针

安全是化工类物流企业的第一关键因素，确保生产各个环节的安全、可控；同时，在确保业务操作的安全性的前提下，保证业务顺利进行。

42安全策略

安全以预防为主，加强过程管控，做好充分的应急措施。在业务起点、交接点、操作过程中，增加安全管控环节，作为业务是否继续进行关键管理环节。如果遇到业务与安全发生冲突的情况，需要进行全面安全评估，安全具有决定权。

系统改进实施中，先梳理安全管理流程，再结合现有业务系统流程，确定安全管理点的取舍、位置、要求。

43信息化安全对象

信息化主要是对业务操作过程中出现的各种设备、设施、操作流程进行监控、管理、规范。

431仓库

所有的仓库操作必须通过系统进行管理，并进行下列安全方面的增强。

（1）为仓库增加安全信息属性，记录仓库存储的危险化工品种类、数量、安全应多措施、安全设备、安全设施等内容。

（2）在入库操作过程中，增加入库危险品货物信息的审核、批准过程，与仓库中已有货物信息进行核对校验，并满足仓库对储存货物的种类、数量要求。

（3）库存期间，增加仓库巡检功能；业务系统连接仓库的现场传感器，及时获取传感器上传的预警、报警信息，并依次进行后续操作。

（4）在出库操作过程中，增加对危险化学品的复核环节，复核满足安全、委托要求后，记录实际出库的货物信息。

432车辆

车辆承担这危险化学品的具体运输工作，运输过程中的道路情况、车辆状况、驾驶员状况等复杂多变，出现风险的概率很高，从以下几个方面加强对运输过程的管理。

（1）增加车辆运载能力的信息，在装车前进行货物车车辆信息的审验，确保危险化学品有正确的车辆来承担运输任务。

（2）增加车辆监控，实时监控把车辆状态、位置信息、监控视频等内容，确保车辆状态完好，按照规定的时间、线路、区域进行运输。

（3）交货时，与客户进行运输单证和客户委托信息的审验，确认货物正确交接，客户及时对签收单进行签字确认。

433人员

人员是最重要的参与者，也是各项安全措施所要保护的目标，因此，从以下几个方面加强对人员的管理、监督、保护。

（1）增加人T安全相关信息，记录具体人员的安全资质情况，能够承担的业务操作内容等，确保正确的人做正确的事。

（2）在入库、库内巡检、出库、装车、卸车等操作中，增加移动设备及应用，提示操作人员相关操作信息、要求，并实施审核待进行操作是否执行，操作结果是否符合要求，并对操作过程中可能出现的风险及应对措施进行提示。

5信息化方案实施

51安全人员

安全管理规定和信息系统的顺畅运行，需要相应的组织机构进行推动、管理，因此需要建立信息化安全组，由公司领导作为组长，安全部领导作为副组长，领导小组成员包括：仓储部、运输部的领导，小组成员包括各相关部门的核心业务管理、操作人员。

信息化安全组，负责推动整个信息系统安全升级项目，并对实施过程中遇到的问题，基于安全因素进行判断。

52安全技术

在技术选择上，以先进、成熟、稳定为标准，选择了移动计算、物联网、GIS等技术，实现仓库、车辆、人员、系统的有效互通、互联、互动。

实施中先以仓库、车辆、移动计算设备为点进行实施，单点实施成功后，再进行各点与业务系统的联网，形成最终的信息安全网络。

53安全管理

在信息系统安全升级项目调研、开发、实施、后续支持及改进等各阶段，除了对信息系统的改造，还要对现有的安全管理制度、操作流程、应急措施等进行相应的改进，以配合信息系统的改造，并以新修改的各项安全规定，对管理人员、操作人员进行多轮次、全面的安全管理讲解、培训。

6结论

化工类物流企业信息系统的安全升级迫在眉睫，需要进一步加深对企业业务、信息系统和安全的需求了解，采用可靠的技术，通过信息系统来完成企业安全管理的提升。

安全管理是一个不断完善、改进的循环过程，不存在一次完全解决的方案，需要在一次改进、升级后，进行新一轮的观察、分析、建设、实施的安全升级过程，形安全不断提升的良好往复过程。可以成立信息化安全组，作为一个长期性组织存在，对信息系统的安全性问题进行管理，并推动信息系统不断进行改进。

参考文献：

篇5

电力作为国民经济的基础设施行业，在国内较早开始了信息化建设工作。随着电力信息化建设和应用的到来，信息安全问题已日益突出，并成为国家安全战略的重要组成部分。

特别是近年来，电力企业信息化管理的网络平台在不断的整合提高应用的效能，电力ERP管理的信息化建设投入日益加大的同时，电力企业也相继在各级网络投入了大量的安全防护措施，期望能够进一步提升安全防护等级，以保障电力企业的信息化管理建设平台的安全性。但是，在信息化的安全保护方面，普遍地看来，目前的有关全建设工作，主要还只是集中在防火墙部署、入侵检测、防病毒等网络基础安全防御方面，企业尚缺乏一个完整的、强有力的信息安全保障体系。“十一五”期间是电力企业的加速发展期，对此，我们认为：――信息安全管理保障体系建设也应该是“十一五”期间电力信息化工作的一个重点。电力企业需要进一步提升信息安全的管控力度，优化信息安全运营流程、规范信息安全管理制度，加强信息安全技术应用，提高信息安全防护能力，从技术的各个层面提供对信息安全的技术支撑并对信息安全的运行进行全方位监控。同时，尤其要注意到必须对实施ERP管理的电力企业，要加强对信息化管理平台的安全保障工作，以确保ERP管理平台的安全运行。总之，随着国家电力事业的发展，电力信息安全管理的应用需求将更加全面地显示出来。

因此，更好地研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略，这也是当前和今后一个时期中电力信息化工作的一个重要内容。特别是在电力企业的综合信息管理系统中――比如在ERP信息管理平台中，必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。

本文从电力信息系统的整体架构着手，并在此基础上提出了一整套先进、完整、实用，完全满足电力行业需求的系统安全解决方案，主要包括网络安全方案，数据安全方案，容错技术方案和病毒防范方案等，提供给广大电力企业作为应用参考。

2　电力行业信息化总体架构

总体架构由信息系统集成平台、安全服务支撑平台、业务支撑平台、业务处理平台、业务受理平台、信息交换平台等六大部分组成。

其中，信息系统集成平台、业务受理平台、信息安全平台是整个业务系统的基础平台：信息系统集成平台提供网上行政办公、工作流程定制、业务集成等功能，信息安全平台提供基于数字证书的身份认证、数字签名等服务，业务受理平台提供统一业务受理、跟踪、督办等手段，从而实现“一站式服务”；业务处理平台是电力行业常用的一些业务系统，业务支撑平台为业务系统提供一些重要的理论分析或计算工具，从而帮助业务人员在业务过程中进行辅助决策。

系统采用浏览器／服务器(B／S)工作方式，统一使用WEB工作界面，便于用户学习、操作、培训。

3　电力行业信息安全解决方案

3.1网络层安全方案

网络层安全方案重点加强了系统的保密管理功能。硬件上它将保密与非保密办公系统进行了严格的物理隔离，创造了良好的保密办公环境。软件上它将保密管理工作，作为数字化办公的重要基础环节，纳入到办公系统中，强化了保密管理工作，提高了保密管理效率。

系统的硬件设置如下：

系统采用了无盘网络技术，使网络数据存贮介质集中放置，网络软件系统集中控制，并可实现多网络物理隔离切换。

系统部署在位于保密室的办公系统服务器，系统软件及数据均在服务器上。用户只是使用无盘工作站上的浏览器进行办公业务处理。

3.2应用层安全方案

在网络的应用层上，采用严格的身份认证，不同粒度的访问控制，数据完整性、保密性和非否认性检测以及安全审计记录等技术。其中身份认证可以支持基于对称密钥的Kerberos V5和基于公钥的X，509证书等在内的各种身份认证技术。而不同粒度的访问控制则可以根据不同网络应用提供文件、页面或端口级的访问控制。而在数据完整性、保密性和非否认性检测中，采用了高强度加密算法，数字签名、时间戳和会话密钥等技术。该网络安全解决方案的另一个突出优点是除了能进行入侵检测和漏洞扫描外，还能无缝地集成到第三方应用系统的安全机制中，做到统一管理。

信息安全解决方案应该全面考虑信息存储、传输、处理和访问等各环节的安全要求，使信息安全方案没有攻击者可以利用的安全薄弱环节。

按照信息安全全面性要求原则，信息安全方案必须包括如下组成部分安全的身份认证安全的身份认证是安全的第一步，不安全的身份认证可能造成用户假冒，使其它安全措施失去作用。

通信安全：采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。

文件安全通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。

数据库安全：通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。

安全审计：通过记录审计信息来为信息安全问题的分析和处理提供线索。

安鼎公司针对信息安全的要求，结合自身技术特点开发出了有关身份认证、通信安全、文件安全、数据库安全等的信息安全产品，并在这些产品中集成了审计功能。

3.3数据安全及容错方案

对于企业来说，最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备，而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说，数据备份和容错方案是必不可少的。华工安鼎应用信息系统本部对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案，包括磁带机、备份管理软件和存储区域网络在内的各种技术，具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构，使其可以支持包括SAN在内的各种网络备份技术，支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统，支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略，备份过程中，支持各种数据校验技术。另外，华工安鼎应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能，实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性，可根据电力企业业务的扩大，平滑扩展，保护已有投资。关于容错，该解决方案中的容错方案可实行实时监控，能自动后援切换，支持双机热备份和双机互备援等各种规划 方式，具有伸缩能力强，对现有系统影响小，管理简单方便等特点。

病毒防范方案针对在Internet上，病毒肆虐，企业信息系统每天都有面临预测的可能，华工安鼎应用信息系统本部对电力行业系统安全解决方案提供了病毒防范方案，其技术特点是企业级网络防毒：病毒库网络自动更新：管理简单有效。

4　结束语

电力企业的信息安全工作，是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、上作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。需要强调一点的是，在电力企业信息化管理建设走向更加深入的时候，象ERP信息化管理平台这样的需要巨大人力物力和资金代价的投入建设会越来越多，因此我们更加需要提升信息化安全保障的程度，以确保电力企业的信息化建设的应用成果的运用的安全性!

北京亿高科技术有限公司在分析电力行业计算机网络系统中信息安全需求的基础上，结合自身技术特点，针对信息存储、传输和处理过程中的安全隐患开发了相应安全产品，并形成了信息安全整体解决方案。该方案对电，J行业信息的存储、处理、传输、访问等各环节实施安全保护和控制，构筑了一个全面、开放而不可绕过的信息安全保密平台。可以相信，这样一个平台的出现，会给电力企业的信息化安全建设带来良好的启发，这样的平台会有益于完善电力企业的ERP信息化管理平台的全面建设和安全的运行。

第三章：激励

领导者工作的一个重要内容就是激发并保持参与者的动力，所以优秀的领导者还需要进一步深入研究如何激励。实际上，你无法确认每个参与者内在的动机是什么，但是你能够使用某些技巧帮助参与者形成动机并且激励其内在的动力。

激励组织成员的技巧就是经常给成员积极反馈，使成员感到能够取得成功，实现虽然高远但很现实的期望。同时，给成员提供成功的机遇，帮助组织成员发现活动中体现出的个人意义和价值，这样有利于建立一个积极的开放的组织氛围，使个人对团队有强烈的归属感，并觉得自己能够给团队提供价值，从而形成个人的内在动力。

在组织中，要注意那些可能会影响活动中的激励效果的因素。如活动组织得如何，是否帮助组织成员清楚了解为获得成功需要做些什么?领导者是否对活动表现出热情?是否对组织成员以及为什么来参加活动表示很感兴趣，以及是否注意活动中组织成员的需要。

激励的技能是释放成员的潜能，包括活跃气氛、授权、以多种形式支持参与者。

一　活跃气氛

在组织活动或者开会的时候，人们经常会不自觉溜号或者干脆游离当时的环境，这并不仅仅是一种精神上的背离。人身体中的荷尔蒙、葡萄糖以及血压大约每九十分钟下降一次，如果不能及时恢复，超越身体的紧张一松弛循环状态，精力就会消失。通过短暂的休息、喝点水、吃些东西等方式，使大家恢复循环状态，恢复能量、释放潜能、甚至使能量最大化。

无论内容有多精彩，也不能使人一直都处于兴奋状态。优秀的领导者对团队的需求很敏感，如果大家的活力减退，就要使用各种活跃气氛的手段来维持一个积极氛围，如让参与者站起来走动、组成小组开展讨论以及小组解决问题等团队活动、使用破冰技术――即使在相互介绍之后、使用文字游戏在小组之间展开竞争活动。

二　授权

当领导的要无所不知，但什么都不能管，这是很奥妙的。你大小事都知道，但什么都不管。因为要管是管不完的，要管就会一头栽进去，就会顾此失彼。什么都不管，眼看六路，耳听八方，看看左右手还在不在，就足够了。所以如何授权是关键。

领导把总务部门经理找来说：“今后20万以下的你批好了，20万以上的你给我看。”而且时间告诉他很清楚，从今天就开始，这是最明确的授权。其实，授权是非常容易的事情，问题是权一旦授出去，领导就没有权了。得到权的人刚开始会战战兢兢，好好地把这个权用得很正当，但是不久以后他就开始。比如，经理被他的下属所唆使，下属会告诉他，“这件事情是50万，超过你授权的范围，但是你如果给老总看的话，他会问你很多问题。你看你没有鬼我也没有鬼，我们都正正当当，只不过你给老总批，你还要请示半天，你干脆自己批掉算了。”他说：“我怎么可以批呀?我授权就20万。”

下属说：“这个你放心，把它一笔分成三笔，统统在授权之内，你批掉算了。”经理说：“不行不行”。下属就说：“没有关系，我已经分好了。”中国社会要改变帐目，要改变数字，是非常简单的。

所以，授权的一个可怕的后果，就是被授权的人。

中国人的授权行动是非常奥妙的。

有一位领导者是很节俭的，他的干部到外面请人家吃饭，一请就是一万块。这位领导非常生气，拿起笔来就写“大吃一餐”，就是告诫干部以后必须少吃。干部看“大吃一餐”后，就知道领导不高兴了，不能请那么多。但是事实上花了那么多怎么办，那就请一餐报三次，一次三千多，加起来还是一万多。这位领导也知道，哪有那么密集的请客，分明是把一万块变三个三千多块，所以他就又批了“天天吃”。

除了批“大吃一餐”、“天天吃”，这位领导真的没有办法，因为领导把权授出去了。

领导者靠什么，靠平常的互动，让干部了解：我是很相信你的，你就是我，我就是你。你开一万我不会反对，但是能省我们还是省一点吧!因为今后我们还有很多花销。所以，领导一定要大小事情都知道，你才知道请一万是合理不合理，否则你永远不知道。

领导把一个干部叫来，领导问他什么他就答什么，没有问的，他就不说。领导搜集情报要讲究技巧，把他叫来站在那里，领导就开始摸桌子，东摸摸西摸摸的，他就站不住了，他就知道领导要问什么了，就开始讲“对不起，我昨天去打麻将了，只打四圈。”这时才知道原来他又去打麻将了，其实领导之前完全不知道，就是领导一摸桌子他就紧张了，他以为领导知道他去打麻将了，想叫来骂的，只是没有骂，他不如干脆招了算了，他会讲很多。

领导要照顾全局，到每一个部门去要求每个部门大小事情都报告，叫做走动式 管理。领导公开跑到某一个部门，问部门经理很多问题，是得不到什么情报的，因为他就会防备，会隐瞒，会东拉西凑，所以得到的永远不是最真的东西。

凡事不是领导叫，也没有人敢摆明地跑到领导办公室去，因为中国人怀疑心重，自己跑去准是打小报告。出来就会有人问“你去讲什么事?”他说：“没有”，“没有，没有就是讲我的事，不然怎么没有。”

会当领导的人，大部分时间是在安全的地方搜集情报。假如是你在洗手间里面东摸西摸，有一个人进来你就问：“哎!那件事情怎么样?”千万不要表示你不知道，中国人就是，你套他一句话你就不讲了，他就以为你都知道了。然后他出去第二个人又进来，你就把刚才那一部分再套给他，他又给你更多东西，他出去又以为你都知道了。然后第三位一来，你就把前面讲得比较仔细，现在怎么样，他统统告诉你，你就全盘掌握了。然后出去以后就把他的主管叫来，“你们部门最近有什么事啊?”他就吓出一身冷汗了，就从头到尾都告诉你。你说：“其实也不必告诉我了，你知道就好了。”他下次就更加努力告诉你。

各位，这个招数是最高明的，中国人不会去问任何事情，套你几句话，套他几句话，然后加起来问当事人。如果你把一个干部叫来名正言顺地问他，他就很不高兴，那就表示你不相信他嘛，你这样拷问他，因此，不能去问。你不问问题，可以得到更多的答案。

在中国，就算领导授权给干部，干部也不可以因为得到授权，所做的事情就不让领导知道。领导要求每个部门大小事情都要报告，这是领导授权非常好的一个艺术。领导将二十万以下财权授予干部决定。但过一个礼拜他就开始问了，“最近有什么开支是在20万以下”，当发现有开支时他就问，“为什么这批款我不知道”，干部说：“这在授权范围之内啊，没有错啊”，“是授权了，但是你为什么不让我知道一下呢?你让我知道一下又怎么样呢?我授权给你，你至少让我知道一下啊。”

领导者为什么一定要了解?因为领导者要做决定，如果对整个现状不了解，是无法去做决定的。只有掌握全盘的信息，不能有一点点遗漏，才有可能做出正确的决定。客户打电话来说：“老总，我现在很需要一批货，你能不能两个月之内交给我。”老总说：“没问题呀。”但是去一问，这条生产线被占用了，里面订单危机很多，根本不可能，那就很糟糕了，因为他不了解。

所以，一个干部千万记住，要让领导者相信你，就得要及时地向领导者汇报，这样上下就配合得非常好。即领导者授权给下属，同时，下属统统给领导者报告，这样，领导就安心了。不然授权以后，领导就对这个部门完全不了解，就要失控了。三支持

干部最喜欢听的一句话，就是当年讲的一句话，“你办事我放心。”意思是说，我支持你好好干。但支持不是没有条件的，这句话只讲到一半，另一半是说，你干不好，我手一伸回来你就摔死了。完整的一句话就合理了，你要好好干，你越好好干我就越支持你，你不好好干，我会累呀!累了，我手一缩回来，后果如何你自己去承受。这叫做领导者的两手策略，彼此彼此，心照不宣。但是后半句话不要说出来，说了伤感情，话讲得太清楚的时候，只有伤感情，没有好处，只讲一半，你好好干，其它的不用讲了。

当他人参与的时候，通过提供积极的反馈给他人以支持。支持性的表达方式包括：

“这个观察角度很好，你在这个问题上给我们展示了一个新的视角。”

“非常感谢你提出这个观点。这是一个思考的新路子”

“我很高兴你提出这个问题，因为……”

“这是一个很有趣的想法，因为……”高效的领导者并不以专家自居，相反，他们常常鼓励参与者相互学习。

领导者在引言中要定下基调――“积极参与、相互学习”，这也是开展领导活动要遵循的一个基本原则。告诉参与者如果每个人都共享信息，每个人的知识和经验将得到提升，而领导者的工作之一就是为他们创造这种环境和氛围。如向问每个参与者的工作经验，领导者把这些年数记录下来，然后加总。假如团队一共有88年的管理经验，而领导者的管理经验只有7年。显然，帮助在座的各位成为更高效的领导者需要依靠我们88年的经验，为此，大家要毫无保留地把自己的经验拿出来分享。

参与者的经验水平各有不同，优秀的领导者会巧妙的利用这些差异，让经验丰富的参与者帮助其他人更快地成长。支持参与者相互学习的途径有：

(1)鼓励互帮互学

为了鼓励互帮互学，领导者总是不失时机地主动提问，或者在参与者提出问题的基础上进一步追问和展开，或者询问其他人的意见。这种转移回答的目的就在于借此创造一个参与者互相学习的平台。领导者可以在其他参与者充分发表自己的观点之后，再作出评论。

(2)小组活动

采用小组活动和讨论的形式，使参与者互相关注。参与者交流得越多，分享观点和经验的机会就越多。

(3)合作伙伴

有时领导者会为参与者搭配合作伙伴，不仅在活动过程中相互合作，一起将所学知识与实际工作相关联，而且这种合作可以延续到活动之后，从而大大增加知识和技能迁移的可能性。

第四章：行为反馈

反馈是以一种批判性的眼光，将观察到的行为反馈给参与者本人。反馈是根据既定目标或期望结果进行的行为评价或测度，它提供的评价信息包括进程、行为、表现等方面。

每个人都希望了解自己的表现，当被告知某些方面做得很好可以继续加强时，一般都会做积极的响应。因此，积极正面的行为越被认可，其保持和继续发扬的可能性越大。

有经验的领导者非常清楚为什么、什么时机应给予反馈。他们可能出于两方面的考虑：

+积极反馈――强化和激励

针对个人或团队的良好表现，积极反馈能增强自信、鼓舞士气、引导参与者继续保持良好表现。举例：

“很好。每一组都在这么短的时间内都给出方案。现在我们坐在一起互相借鉴。”

“感谢大家准时回到课堂，下面我们继续。”

+建设性反馈――改善或改变

如果个人或团队表现不佳或行为不当，建设性反馈可以帮助他们认识自己的行为及其所产生的影响，帮助他们改善。举例：

“在上一个活动中，我发现只有几个参与者贡献了想法，所以我们得到的信息很有限。我想如果其他人也能发表自己的意见，会给我们很大的帮助。”

“大家的课间休息超时5min，所以课程进度受到了影响。有什么办法确保大家休息后都能按时回来呢?”

一　有效反馈的四步骤

有效的反馈必须是具体的、针对行为的，这样参与者才能确切了解自己哪做得好，哪里还需要改善。虽然反馈总是先针对已经发生的行为，但结束时还应着眼于将来――如何吸取教训改善行为。

优秀的领导者在组织活动过程中，能够一对一地针对每个人给出反馈意见。如果反馈意见着眼于具体事实，并且是通过一种鼓励参与者接受的方式提出来，会很有价值，因此，灵活地应用互动技能尤为重要。

反馈不仅仅是“告知”，用提问的方式也可以以帮助参与者明白自己的行为产生了怎样的效果，认识到自己哪些方面需要提高。

开展有效反馈有四个步骤：情境―行为―影响―教训。

第一步，界定并说明情境。根据需要，可以联系参与者所理解的任务、目标和成功的标准等交换信息，谈谈你的理解。详细说明对于情境中所知道的和不知道的内容，重点是要弄清楚挑战或问题(包括可能的障碍)所面临的具体情况。举例：

―你对于 的理解是什么?

―我对此情景的理解是

+遇到了什么样的困难?

+哪些事情进行得不是很好?从什么时候开始的?

有没有机会寻求帮助或者从他人处获得有利的信息?

第二步，说出具体观察到的行为或语言，清楚说明谁做了什么。提供关于计划和所采取行动的信息：方法、准备、采取的步骤、他人的参与、中途修正。举例

+参与者做了什么?

+他是怎样完成任务的?

+他是如何准备的?

+采用了哪些步骤?

+他让谁参与进来了?

是否做了改变或者修正?

第三步，指出以上行为带来的结果和意外后果，对参与者、团队、目标、成果、资源、机会及其他重要方面产生的影响。举例

+积极的效果是什么?

+是否有消极后果?

+是否产生任何意料之外的后果――是积极的还是消极的?

指出对人、资源、机会、商业、组织、客户以及其他重要方面的影响。

将这些成果与最初的目标相比会如何?

第四步，从经历中能够学到什么。我们可以从中吸取什么经验教训，如何在以后的行为中发扬或改进。举例：

+哪些做得很好，并且将来可以继续发扬?

+犯了什么样的错误，以及导致错误发生的原因是什么?

+将来如何避免再犯类似错误7

+哪些方面可以提高?怎样提高'

反馈应尽可能具体并且可操作。并且要着眼于将来，这样所学到的经验和教训才有利于提高。

+训练或者练习会有帮助吗?

如果重新开始领导活动，问问参与者会在哪些方面有所改变?

四步骤法举例：

(1)情境

小张，会计学培训课程进度比计划的要慢。我知道你遇到了一些预想不到的具有挑战性的问题，尽管最后这些问题都得到了解决。你对这种情况如何看，是什么问题导致了进程滞后?

(2)行为

你是怎样努力掌控这些耗费时间的问题的?你考虑过其它哪些选择?

尽管你几乎或根本没有经验，但在其他人意识到你的困难之前，你还是尝试了几种方法独立解决问题。

(3)影响

我很高兴你表现得积极。你觉得试着独立解决问题怎么样?

在没有他人帮助或指导下尝试解决问题确实花费了很多时间，并且最终耗费了额外的资源。所以，我们现在不得不商议迟一点对经理们开展会计学培训。希望这不会使他们对我们的培训失去信心。

(4)教训

为了保证项目进度，你觉得在哪些方面做一些改进?

在将来的项目中，你将如何应用这次得到的经验和教训?

分析下边陈述，判断例句是否使用了所有4个关键步骤，或是不完整的。如果不完整，缺少哪一步?

+在上次市场会议期间，我们讨论了下个季度的广告，我注意到你经常往窗外看。晓东拿出新的广告建议稿给大家看的时候，你没有看完就传给了李娜。你觉得你的行为会对团队其他成员造成什么影响?

+你早早乘飞机去了上海，留下了年多没有完成的工作，给其他人增加了负担。查理和丹尼斯不得不重新安排进度并晚走才保证按期完成任务。

+新产品分步上市的财务分析项目对于我们的整个计划来说非常关键。四个不同团队都使用了报告的最终数据预测他们的决策将带来的长期影响。所以你的报告可作为许多重要的商业决策的参考。

+你连续两天迟到，不能再这样下去了。你自什么打算吗?

我知道你的手头上有很多项目，还有几个人在求你帮忙。我也注意到你有两个周报告没完成。你认为这些会不会影响到别人?你是清楚的，这会给那些依靠你的数据完成工作的人造成麻烦的。你的工作量有什么问题吗?你认为我们怎样才能解决这些问题?

二　接受反馈的原则

如果能够确效地给予他人反馈并建设性地接受反馈，你将能够更大程度地帮助他人，这一“予”一“取”两方面是学习过程至关重要的一环。

你的表现如何?你给他人留下了怎样的印象?带来了什么影响?接受反馈是一个让你了解自己的不叫多得的机会。要想很好地利用这个特殊机会，你必须敞开胸怀，从善如流。在你接受反馈的时候，请遵循以下原则：持开放态度，不要争辩、反诘，接受所有信息，鼓励反馈者说出你当时的具体动作或用词，记住这是他人的理解，或许并不是你的本意，将好的与需改进的方面一一记录，对反馈者表示感谢。

三　辅导行为改善的四步骤

辅导是帮助参与者将个人表现提升到一个新的水平，或帮助参与者应用概念并构建新技能的方法。进行辅导的最佳时机

+帮助某人第一次做一件事情

+使某人做好未来接受某项任务的准备

+某人要做一件以前他曾经获得过建设性意见的事情。

辅导是通过观察行为表现、提供今后实践或者应用中使用的建设性反馈来指导行为改善、增强个人能力。辅导执行过程采用有效反馈4步骤如下：

情境寻求信息帮助参与者清晰掌握情境，讨论任务的目标和面临的挑战。

行为 索要参与者的有关计划及拟采取步骤相关的信息，通过提出问题帮助他们将整个过程思考清楚，并对所使用的技术或者技巧提出建议，帮助参与者做好准备过程。

影响 寻求参与者如何将所希望实现的影响最大化、如何将不想发生的后果最小化的看法和观点，帮助参与者确认想要取得的成果以及潜在的无法预料的结果。

篇6

Abstract： Computer network security technology refers to the network management and control and measures in technology for protecting the secret and complete data transmission. The computer network security includes two aspects， one is the physical security， and the other is logical security. Physical security refers to physical facilities was not damaged， and does not influence its security protection performance. Logic security refers to the information integrity， confidentiality and usability. According to the information system security theory knowledge and combining network security development， through analyzing the network security vulnerability of electric power enterprise， and then puts forward a series of relevant electric power enterprise network security safety risk， and guide the enterprise security risk demand. We can use the limited resources and equipment， establish and improve an effective， integral and multi-level power enterprise network security model.

关键词： 网络安全技术；电力企业网络安全；解决方案

Key words： network security technology；electric power enterprise network security；solutions

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2012）30-0175-02

0 引言

随着社会科技的不断发展，计算机网络领域也在飞速发展，信息化社会时代即将到来。尽管网络具有多层次、高效率、范围广等种种特点，但仍然存在着一些严重的问题，首当其冲的是网络信息安全问题，本文也集中注意力来讨论如何解决网络信息安全问题。目前，计算机网络的多联性造成了信息能够被多渠道的客户端所接收，再加上一些企业在传送信息时缺乏信息安全的防护意识，这也造成了网络信息容易遭受一些非法黑客以及计算机病毒的侵害，因此，计算机网络信息的安全性和保密性是目前所需要攻克的一大重要难题。计算机网络的开放性造就了网络信息安全隐患的存在，同时，我们在面对危机重重的计算机网络，如何将信息安全、秘密地传输是摆在目前计算机网络安全研究者们眼前的问题。据此，我们应针对企业的网络结构体系来设计出一套适合的、先进的网络安全防护方案，并搭配合适的网络防护软件，为电力企业营造一个安全的网络空间。

1 电力企业网络安全隐患分析

电力企业既可以从因特网中获取重要信息，同时也能够向因特网中发送信息，但由于因特网的开放性，信息的安全问题得不到保证，而根据公安部门的网络调查来说，有将近半数的企业受到过网络安全的侵害，而受到侵害的企业大部分都受到过病毒和黑客的攻击，且受到了一定的损失。

根据上面的信息可以很明确的得出网络安全防护的重要性，而影响计算机网络安全的因素有很多种，其主要可以大致分成三种：一是人为无意中的失误而导致出现安全危机；二是人为方面的恶意攻击，也就是黑客袭击；三是网络软件的漏洞。这三个方面的因素可以基本涵盖网络安全所受到的威胁行为并将之归纳如下：

1.1 病毒 病毒对于计算机来说就如同老鼠对于人类来说。“老鼠过街，人人喊打”，而病毒过街，人人避而趋之，它会破坏电脑中的数据以及计算机功能，且它对于硬件的伤害是十分大的，而且它还能够进行自我复制，这也让病毒的生存能力大大加强，由此可以得出其破坏性可见一斑。

1.2 人为防护意识 网络入侵的目的是为了取得访问的权限和储存、读写的权限，以便其随意的读取修改计算机内的信息，并恶意地破坏整个系统，使其丧失服务的能力。而有一些程序被恶意捆绑了流氓软件，当程序启动时，与其捆绑的软件也会被启动，与此同时，许多安全缺口被捆绑软件所打开，这也大大降低了入侵网络的难度。除非用户能够禁止该程序的运行或者将相关软件进行正确配置，否则安全问题永远也解决不了。

1.3 应用系统与软件的漏洞 网络服务器和浏览器的编程原理都是应用了CGI程序，很多人在对CGI程序进行编程时只是对其进行适当的修改，并没有彻底的修改，因此这也造成了一个问题，CGI程序的安全漏洞方面都大同小异，因此，每个操作系统以及网络软件都不可能十全十美的出现，其网络安全仍然不能得到完全解决，一旦与网络进行连接，就有可能会受到来自各方面的攻击。

1.4 后门与木马程序 后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序，它受控于黑客，黑客可以对其进行远程控制，一但木马程序感染了电脑，黑客就可以利用木马程序来控制电脑，并从电脑中窃取黑客想要的信息。

1.5 安全配置的正确设置 一些软件需要人为进行调试配置，而如果一些软件的配置不正确，那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大，其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员，他们通常是程序设计人员，因此他们对于程序的编程和操作都十分了解，一旦有一丝安全漏洞出现，黑客便能够侵入其中，并对电脑造成严重的危害，可以说黑客的危害比电脑病毒的危害要大得多。

2 常用的网络安全技术

2.1 杀毒软件 杀毒软件是我们最常用的软件，全世界几乎每台电脑都装有杀毒软件，利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案，它的安装简单、功能便捷使得其普遍被人们所使用，但杀毒软件顾名思义是用来杀毒的，功能方面比较局限，一旦有商务方面的需要其功能就不能满足商务需求了，但随着网络的发展，杀毒技术也不断地提升，主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。

2.2 防火墙 防火墙是与网络连接间进行一种预定义的安全策略，对于内外网通信施行访问控制的一种安全防护措施。防火墙从防护措施上来说可以分成两种，一种是软件防火墙，软件防火墙是利用软件来在内部形成一个防火墙，价格较为低廉，其功能比较少，仅仅是依靠自定的规则来限制非法用户进行访问；第二种是硬件防火墙，硬件防火墙通过硬件和软件的结合来讲内外部网络进行隔离，其效果较好，但价格较高，难以普及。但防火墙并没有想象中的那样难以破解，拥有先进的技术仍然能够破解或者绕过防火墙对内部数据进行访问，因此想要保证网络信息安全还必须采取其他的措施来避免信息被窃取或篡改，如：数据加密、入侵检测和安全扫描等等措施。值得一提的是防火墙只能够防护住来自外部的侵袭，而内部网络的安全则无法保护，因此想要对电力企业内部网络安全进行保护还需要对内部网络的控制和保护来实现。

2.3 数据加密 数据加密技术可以与防火墙相互配合，它的出现意味着信息系统的保密性和安全性进一步得到提高，秘密数据被盗窃，侦听和破坏的可能性大大降低。数据加密技术还衍生出文件加密和数字签名技术。这两种技术可以分为四种不同的作用，为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。数据传输加密主要针对数据在传输中的加密作用，主要可以分成线路加密和端口加密这两种基本方法；数据储存加密技术是在数据储存时对其进行加密行为，使数据在储存时不被窃取；数据完整性判别技术是在数据的传输、存取时所表现出来的一切行为的验证，是否达到保密要求，通过对比所输入的特征值是否与预先设定好的参数相符来实现数据的安全防护；数据加密在外所表现出来的应用主要为密钥，密钥管理技术是为了保证数据的使用效率。

数据加密技术是将在网络中传输的数据进行加密从而保证其在网络传输中的安全性，能够在一定程度上防止机密信息的泄漏。同时，数据加密技术所应用的地方很广泛，有信息鉴别、数字签名和文件加密等技术，它能够有效的阻止任何对信息安全能够造成危害的行为。

2.4 入侵检测技术 网络入侵检测技术是一种对网络进行实时监控的技术，它能够通过软、硬件来对网络中的数据进行实时地检测，并将之与入侵数据库进行比较，一旦其被判定为入侵行为，它能够立即根据用户所设定的参数来进行防护，如切断网络连接、过滤入侵数据包等等。因此，我们可以将入侵检测技术当做是防火墙的坚强后盾，它能够在不影响网络性能的情况下对齐进行监听，并对网络提供实时保护，使得网络的安全性能大大提升。

2.5 网络安全扫描技术 网络安全扫描技术是检测网络安全脆弱性的一项安全技术，它通过对网络的扫描能够及时的将网络中的安全漏洞反映给网络管理员，并客观的评估网络风险。利用网络完全扫描技术能够对局域网、互联网、操作系统以及安全漏洞等进行服务，并且可以检测出操作系统中存在的安全漏洞，同时还能够检测出计算机中是否被安装了窃听程序，以及防火墙可能存在的安全漏洞。

3 单利企业网络安全解决方案

3.1 物理隔离 物理隔离指的是从物理上将网络上的潜在威胁隔离掉。其主要表现为没有连接、没有包转发等等。

3.2 网络系统安全解决方案 网络服务器的操作系统是一个比较重要的部分，网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源，其充当着计算机与用户间的桥梁作用。因此，我们一般可以采用以下设置来对网络系统安全进行保障：

①将不必要的服务关闭。②为之制定一个严格的账户系统。③将账户权限科学分配，不能滥放权利。④对网络系统进行严谨科学的安全配置。

3.3 入侵检测方案 目前，电力企业网络防护体系中，仅仅是配置了传统的防火墙进行防护。但由于传统防火墙的功能并不强大，再加上操作系统中可能存在的安全漏洞，这两点为网络信息安全带来了很大的风险。根据对电力企业的详细网络应用分析，电力企业对外应用的服务器应当受到重点关注。并在这个区域置放入侵检测系统，这样可以与防火墙形成交叉防护，相得益彰。

3.4 安全管理解决方案 信息系统安全主要是针对日常防护工作，应当根据国家法律来建立健全日常安全措施和安全目标，并根据电力企业的实际安全要求来部署安全措施，并严格的实施贯彻下去。

4 结束语

“魔高一尺，道高一丈”。不管攻击方式多么新奇，总有相应的安全措施的出现。而网络安全是一个综合的、交叉的科学领域，其对多学科的应用可以说是十分苛刻的，它更强调自主性和创新性。因此，网络安全体系建设是一个长期的、艰苦的工程，且任何一个网络安全方案都不可能解决所有的安全问题。电力企业的网络安全问题要从技术实践上、理论上、管理实践上不断地深化、加强。

参考文献：

[1]杜胜男.浅析电力企业网络安全组建方案[J].民营科技.2010（12）.

篇7

【 关键词 】 内蒙古电力公司信息系统；信息安全；风险评估；探索与思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面，缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略，文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论，但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容；文献[8]讨论了一种基于模糊数学的电力信息安全评估模型，这种模型本质上依赖于专家的经验，带有主观性；文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法，但是并未对安全风险的评估模型进行具体分析。

本文介绍了内蒙古电力信息系统风险评估的相关工作，并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。

2 内蒙古电力信息安全风险评估工作

随着电网规模的日益扩大，内蒙古电力信息系统日益复杂，电网运行对信息系统的依赖性不断增加，对电力系统信息安全的要求也越来越高。因此，在电力行业开展信息安全风险评估工作，研究电力信息安全问题，显得尤为必要。

根据国家关于信息安全的相关标准与政策，并根据实际业务情况，内蒙古电力公司委托北京数字认证股份有限公司（BJCA）对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面，以解决电力信息系统面临的的安全风险。

3 电力系统信息安全风险评估的解决方案

通过对内蒙古电力信息系统的风险评估工作，我们可以总结出电力信息系统风险评估的解决方案。

4 电力信息系统风险评估的流程

电力信息系统风险评估的一般流程。

（1） 前期准备阶段。本阶段为风险评估实施之前的必需准备工作，包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。

（2） 现场调查阶段：实施人员对评估信息系统进行详细调查，收集数据信息，包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。

（3） 风险分析阶段：根据现场调查阶段获得的相关数据，选择适当的分析方法对目标信息系统的风险状况进行综合分析。

（4） 策略制定阶段：根据风险分析结果，结合目标信息系统的安全需求制定相应的安全策略，包括安全管理策略、安全运行策略和安全体系规划。

5 数据采集

在风险评估实践中经常使用的数据采集方式主要有三类。

（1） 调查表格。根据一定的采集目的而专门设计的表格，根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。

（2） 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性，并确认已有安全技术措施是否发挥作用。

（3） 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如：系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。

a） 分析方法

风险评估的关键在于根据所收集的资料，采取一定的分析方法，得出信息系统安全风险的结论，因此，分析方法的正确选择是风险评估的核心。

结合内蒙电力信息系统风险评估工作的实践，我们认为电力行业信息安全风险分析的方法可以分为三类。

定量分析方法是指运用数量指标来对风险进行评估，在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。

定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中，可以通过调查表和合作讨论会的形式进行风险分析，分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。

综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法，而在其他情况下定性的评估方法更能满足组织需求。

表1概括介绍了定量和定性方法的优点与缺点。

b） 质量保证

鉴于风险评估项目具有一定的复杂性和主观性，只有进行完善的质量控制和严格的流程管理，才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性，质量保障活动需要在评估项目实施中提供足够的可见性，确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中，设立质量监督员（或聘请独立的项目监理担任）是一个有效的方法。质量监督员依照相应各阶段的实施标准，通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。

6 内蒙古电力信息安全风险评估的启示

为了更好地开展风险评估工作，可以采取以下安全措施及管理办法。

6.1 建立定期风险评估制度

信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度，适时开展风险评估工作，或建立风险评估的长效机制，将风险评估工作与信息系统的生命周期和安全建设联系起来，让风险评估成为信息安全保障工作运行机制的基石。

6.2 编制电力信息系统风险评估实施细则

由于所有的信息安全风险评估标准给出的都是指导性文件，并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等，因此建议在国标《信息安全风险评估指南》的框架下，编制适合电力公司业务特色的实施细则，根据选用的或自定义的风险计算方法，，制各种模板，以在电力信息系统实现评估过程和方法的统一。

6.3 加强风险评估基础设施建设，统一选配风险评估工具

风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法，选择配套的专业风险评估工具，向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具，及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。

6.4 统一组织实施核心业务系统的评估

由于评估过程本身的风险性，对于重要的实时性强、社会影响大的核心业务系统的评估，由电力公司统一制定评估方案、组织实施、指导加固整改工作。

6.5 以自评估为主，自评估和检查评估相结合

自评估和检查评估各有优缺点，要发挥各自优势，配合实施，使评估的过程、方法和风险控制措施更科学合理。自评估时，通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析，得出风险判断。

6.6 风险评估与信息系统等级保护应结合起来

信息系统等级保护若与风险评估结合起来，则可相互促进，相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义，而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后，根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考，检验网络与信息系统的防护水平是否符合等级保护的要求。

参考文献

[1] 魏晓菁， 柳英楠， 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全，2004，6.

[2] 魏晓菁，柳英楠，来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化，2004，2（1）.

[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化，2004，2（7）.

[4] 梁运华，李明，谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化，2003，2（1）.

[5] 周亮，刘开培，李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术，2004，28（23）.

[6] 陈其，陈铁，姚林等. 电力系统信息安全风险评估策略研究. 计算机安全，2007，6.

[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全，2003（4）.

[8] 丛林，李志民，潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化，2004，28（12）.

[9] 胡炎，谢小荣，辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化，2005，29（10）.

作者简介：

篇8

根据最新的国家计算机网络应急技术处理协调中心的报告，目前网络攻击的动机逐渐从技术炫耀型转向利益驱动型，网络攻击的组织性、趋利性、专业性和定向性继续加强，从而导致为获得经济利益的恶意代码和在线身份窃取成为网络攻击的主流，瞄准特定用户群体的定向化信息窃取和勒索成为网络攻击的新趋势。此外我国被篡改的网站数量居高不下，尤其是政府网站被篡改的比例呈现上升趋势。图1显示了我国仅在2006上半年统计的网络安全事件数; 图2则显示了当前我们所面对的网络安全威胁种类的复杂性和多样性。由此可见，我国的信息安全面临严峻考验。

从图1和图2我们不难看出，当前的网络攻击和威胁的最大特点是趋利化，那么对于企业来说，如果没有一套较好的安全防范架构，那就不可避免地会在纷繁复杂的网络中遭受大量的乃至致命的打击。因此，建立企业安全防范架构势在必行。

安全架构模型

从当前的理论研究以及实践经验来看，面向企业安全的防范架构并未有一个成型的模型，各企业均按照自身的经验和组织管理体系来进行企业网络安全的防范工作。然而，在实践中急需有一套具有指导性意义的方法和手段来对其工作进行指导，才能做到有备无患。我们看到，关于网络安全的相关标准及模型的研究已经日趋成熟和理论化，并在实践中广泛应用。因此，我们不妨借用这些模型和标准来构建一套较为有效和具有普遍意义的企业安全防范体系。

ITU-T X.800 Security architecture标准将我们常说的“网络安全(Network Security)”进行逻辑上的分别定义，即安全攻击(Security Attack)是指损害机构所拥有信息的安全的任何行为;安全机制(Security Mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制; 安全服务(Security Service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。

为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图3给出了DISSP安全框架三维模型。第一维是安全服务，给出了八种安全属性。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的七层开放系统互联(OSI)模型。

框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。

安全架构的层次结构

作为全方位的、整体的网络安全防范架构是分层次的，不同层次反映了不同的安全问题。我们可以将企业安全防范架构的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理（如图3）。由于层次的不同，我们也需要采用不同的安全技术来针对每层的安全问题进行应对和防护，因而也就产生了如图4中所列的种类繁多的安全技术。

物理层

保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。因此，该层的安全防护技术具体体现在设备和系统的管理层面和电气工程相关技术的层面上。

网络层

该层的安全及安全技术问题是当前企业面临的最大问题，其安全防护技术主要是针对各种类型的DoS和DDoS攻击进行防护和抑制。

管理层

管理层安全是最重要而且最容易被忽视的一个问题。它直接关系到上述安全问题和安全技术是否能够收到较好的成效，也是贯穿整个企业安全防范架构的一条重要主线。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。

网络防护两大趋势

随着攻击技术的不断发展和演化，我们需要对企业网络防护技术的未来发展趋势进行把握，可以做出如下两个层面的归纳和预测。

首先是在网络应用层中，风险分析的重点将放在安全测评评估技术上。它的战略目标是掌握网络、信息系统安全测试及风险评估技术，建立完整的、面向等级保护的测评流程及风险评估体系。这一点和过去不一样，过去做测评是没有强调等级保护的。

此外，网络应用层的网络安全事件监控技术的战略目标应重点放在整个企业的层面进行考虑，要掌握保障基础信息网络与重要信息系统安全运行的能力，提高网络安全危机处理的能力。响应的重点应该放在恶意代码防范与应急响应技术上，其战略目标是掌握有效的恶意代码防范与反击策略。一旦发现恶意代码，要迅速提出针对这个恶意代码的遏制手段，要提供国家层面的网络安全事件应急响应支撑技术。其主要创新点在于，提出对蠕虫、病毒、木马、僵尸网络、垃圾邮件等恶意代码的控制机理。

此外国际产业界还提出了UTM。它的目标主要针对安全防护技术一体化、集成化的趋势，提出了UTM与网络安全管理的有效模型、关键算法，提出了相应的行业标准及其实现方式。UTM可以提高效果、降低投资，通过综合管理提高防护能力。

有明显发展新趋势的第二个层面是系统与物理层，在这一层安全存储系统产品很多，从安全角度来看，它的发展趋势有两点: 一个是机密性，企业要掌握海量数据的加密存储和检索技术，保障存储数据的机密性和安全访问能力; 另一个是安全存储系统自身要可靠，企业要掌握高可靠海量存储技术，保障海量存储系统中数据的可靠性。创新点在于，应提出海量分布式数据存储设备的高性能加密与存储访问方法，提出数据自毁机理数据备份与可生存性技术是围绕灾难恢复来做的。这主要是用于第三方实施数据灾难备份的模型与方法，为建设通用灾难备份中心提供理论依据与技术手段，建立网络与信息系统生存性和抗毁性，提高网络与信息系统的可靠性。对网络安全模型提出一个技术性模型，应该要有一个可信计算平台做整体的支撑。业界的战略目标是掌握基于自主专利与标准的可信平台模块、硬件、软件支撑、应用安全软件、测评等一批核心技术，主导我国可信计算平台的跨越式发展，为可信的企业计算提供操作平台和可靠保障。

链接

企业安全防范架构设计准则

根据安全防范架构的多个层面的问题，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，企业网络安全防范架构在整体设计过程中需要遵循以下几项准则，以切实全面地做好企业安全防范工作:

1．做好整体规划

企业信息安全系统应该包括安全防护机制、安全检测机制和安全响应机制和安全策略。这主要来源于经典的信息安全领域的P2DR模型（见右下图）。P2DR模型包含四个主要部分: Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。

06

具体到企业安全防范架构上，我们也要很好地考虑这些要点，而不能光为了防范而防范，要整体规划和部署。也就是说，安全防护机制是根据具体系统存在的各种安全威胁采取的相应防护措施，避免非法攻击。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全响应机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

2．做好层次性防范

层次性防范是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域)，对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

3．突出重点，合理平衡

网络信息安全的木桶原理是指对信息均衡、全面地进行保护。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。

4．技术与管理，两手都要硬

安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。切忌只重视其中一种而忽视另一种的情况出现，要明白好的技术是管理的基础，而高效地管理则是技术强有力的保证。

篇9

（1）对会计电算化的认知不足

①管理层大多数中小型企业的高层管理者都很看重会计电算化的工作，甚至将其化作重点议事日程。正因如此，我国的管账电算化才得以发展。但由于管帐电算化的专业性特色，期望一切管理层对管帐电算化都有全部、深化的了解又是过于理想化的。不少的高层管理者都认为，只要在财务工作中提供完整的计算机硬件设施以及自己开发和购入一套软件就完成了。但是这远远不足，对于管账电算化工作的后期管理、软件的更新、全面推广等都没有一个长远的计划，无论是策略的计划、安排、设置还是落实方面，都没有一个详细的计划。

②会计人员关于管帐电算化，许多管帐人员本身也存在着很大的知道误区。在实施电算化的前期，最为浅显的说法就是完成管帐上机操作，这从很大意义上阐明仅仅将管帐电算化视作了由手艺记账演的方法化为计算机记账的方法，仅仅是记账方法的转变，从而使管帐电算化作业的起点不高，这种知道上的误区导致了对管帐电算化作业浅尝辄止，没有充分利用管帐电算化的优势表现管帐手艺处理方法下无法比拟的效果和功用。

（2）缺乏进行会计电算化操作的专业人才管帐电算化是计算机在管帐范畴的充分运用，是计算机常识与管帐常识的高度交融，这就需求管帐人员一并具有适当的计算机常识和管帐专业特长，但在目前的管帐电算化实践中，管帐人员兼具这些常识的份额还适当低。管帐电算化除触及计算机和管帐知识以外，还很多触及法令、外语、经济、金融、行政管理等多个范畴方面的知识，某些经过管账电算化教育的人，即使在计算机以及管账工作都很熟悉，但在其他方面都存在很大的差距，因此，这也限制了管账电算化的发展，使得它在计划中不能发挥太大的作用。

（3）会计电算化下的财务信息存在安全问题随着我国经济的不断发展，以及网络的大范围普及。为企业带来的商机逐渐增多，但在网络财务方面还是以数据安全问题为核心。管账电算化里有相关规定，即相应部门必须要每日备份两层数据，且分配给不同的人来管理。可是，在实际生活当中，一些单位并没有按规定将其落实在工作中，也没有及时打印并按规则保管凭据和账簿，致使电脑一旦呈现毛病或磁性介质损坏时，有些管帐材料就会丢掉，造成无法挽回的结果。

（4）会计电算化重视账务处理忽视管理应用管帐电算化的运用能够极大地表现电子核算机的核算与剖析功用，但是，由于受中国传统的手工管帐工作的影响，主要是过后核算的影响，中国实施管帐电算化的单位大多存在着注重报账功用忽略办理功用的现象。通过对如今的中小型企业的管账电算化的情况的观察和分析得出，管账电算化仅仅只进行记账和算账工作，而没有将它使用在活动的各个方面，也没有起到以下作用1、办理猜测；2、剖析功用。

（5）中小企业购买的软件不能满足自身的需要如今，不少的企业都在使用友、金蝶、安易软件，对其他企业的通用软件提出了疑问，有大量的中小型企业十分重视软件功能的强大以及界面的华丽因素，使得企业投入了大量的软件购买成本和经历，而有些功能又是企业根本用不到的，这就造成了一定的浪费。而某些通用软件的安装以及调整的方式都十分杂乱，使得在日常工作中经常出现一系列繁琐和延误等问题。

二、解决会计电算化存在问题的对策

企业高层管理者的介入与否都能够对管账电算化工作造成一定的影响，即使管账工作被管理者视为重点，但是，由于他们的的对电算化工作的认知程度不高以及理解不足等，使得工作无法顺利开展。随着新时代的到来，管账电算化正逐步向信息化和数字化发展，管账电算化的技术的革新以及现代化的趋势都是为了适应新时代的潮流，也是管账工作的必然方向。管帐人员是管帐电算化作业的主体。直接影响着管帐电算化作业展开作用的好坏，需求我们尤其注重，并作好充沛的思想准备。管帐电算化完成后，需求财政部分进行全部财政核算，加大参加单位内部运营管理的力度，由曩昔管帐部分仅仅反映财政状况、供给财政信息，转化为推进运营和参加决议计划。这就需求财政部分能够全部、及时、精确地供给管帐信息，进步管帐人员的素质，推进管帐作业的规范化。尤其是目前新制度、新原则不断地推出，愈加需求广人管帐人员加强学习、承受训练、更新常识，坚守原则，变成一支高素质的管帐团队。所以，中小企业的不管是管理者还是工作者都应该紧随时代步伐，强化对电算化的认识，以便更好地适应企业发展。

1.提高会计人员计算机操作水平和业务素质

要对会计人员的计算机的操作水平进行有效提高，有必要大力加强人才训练的力度。特别是要训练必定数量的复合型人才，即在财政以及计算机方面都有一定基础的人，重点关注这一方面的问题，让管账工作者按时进行培训，传授相关知识和经验，顺应数字化新时代的潮流。无论是自选开发或许采购软件，都需要装备既懂计算机又了解财会事务的专门人才，他们既要可以参与体系规划的开发，又要负责体系运转的一些保护作业，使电算化管帐信息体系的一般保护作业可以由企业自己处置，确保管帐电算化作业的顺利进行。

2.建立健全完善的会计电算化管理制度

（1）加强会计基础治理工作管理的基础主要指有一套相对全部、标准的管理准则和办法，以及较完好的标准化的数据。管帐根底作业主要指管帐准则是不是健全，核算规程是不是标准，根底数据是不是准确、完好等，这是搞好电算化作业的重要确保。

（2）分工明确，落实岗位受会计电算化功能的集中，有必要拟定相应的安排和管理操控准则，明确责任分工，点击操控进行加强。管帐工作岗位可分为根本管帐岗位和电算化管帐岗位。根本管帐岗位与原手艺体系根本坚持不变。电算化岗位通常可分为体系管理、体系操作、凭据审阅、体系维护等，这些岗位也能够由根本管帐岗位的管帐职工来兼任，但有必要对职权不相容的岗位进行明确分工，不得兼任，以确保各岗位职工要坚持相对安稳。

（3）强化电算化会计档案的管理工作公司应根据电算化管帐档案的特点，做好管帐材料的搜集、保留和调用等方面的作业。财政部分关于已输出的磁性介质上的管帐材料必须及时在其表面粘贴标签，制定工作人员进行保存和按时检查、拷贝，无论是记账档案的借出还是归还都要有完整的办理手续。

3.组织岗位培训，取得技术支持

（1）要成为会计和计算机知识复合型人才企业在电算化方面的工作人员一般仅仅只会计算机的开启和财务软件的控制，但在计算机的软硬件方面，他们的掌握程度并不高，当计算机发生故障或界面发生改变的时候，他们就束手无策。因此，管帐电算化应从各方面需求管帐人员进一步提高本身本质，更新常识结构，一方面是为了参加企业的管理，要更多地运营管理常识，另一方面还必须把握电子计算机的有关常识，确保运营管理过程中的顺利进行。各个企业要对管账工作人员的管账电算化知识进行普及，掌握计算机领先的技术，培养复合型人才，为企业的高效率管账工作打下坚实的基础。

（2）要成为会计和管理复合型人才大力培养复合型人才，在各大专科院校设立管帐电算化专业以及在财会专业当中附加计算机编程和维护等课程，使财务、会计工作人员进行计算机课程的学习，也对会计电算化工作人员的培训计划进行合理制定，注重效率，按照不同的需求以及内容来对各类工作人员进行培训。

4.开发适应于中小企业的会计软件

管帐信息数据的安全性直接关系到公司经营管理活动的科学性，以及相关体系资源、资金、产业物资等各方面的安全。管帐信息的安全更是电子商务安全交易的关键，是管帐信息体系安全的中心，是管帐监督的安全保证。因而数据的安全性是至关重要的，为了防止虚假信息的出现，这当中也会涉及到有密算法以及密钥等，最基础的就是对数据的保密工作。备份不仅在网络体系硬件毛病或人为失误时起到维护效果，也在入侵者非授权拜访或对网络进犯及损坏数据完整性时起到维护效果。

（1）硬件的风险防范建立比较完善的办公环境，一方面可以防止发生自然灾害时的损害，另一方面也可以消除因为企业的用水系统出现问题产生的后果;计算机机房必须要保证清洁、干燥以及防火、防辐射等恒温需求；计算机机房的进出门口都要设立报警措施，如条件允许，则设置更高一级的保安密码锁。

（2）完善会计软件的功能IT部门应该对软件工作进行强化，开发能够满足公司需求的通用会计软件，这样，才能让企业的会计工作得到更好的发展。管帐办理软件开发人员应该细心研讨国外优异的财政办理软件，吸收并消化其领先的办理思维和设计思路，从而进行对办公软件的开发。对于现已使用中的管帐软件，存在的经过数据库体系直接删改数据这一疑问，一个有用的解决方法就是在使用体系中设置文件修正查看机制，另一个解决方法是采取对比安全的数据库体系开发渠道，充分利用体系自身供给的安全措施对数据加以维护。对于比较安全的会计管理计软件而言，应该对软件系统的数据文件进行加密，可以分别对整个数据库加密、某组记录加密、甚至是某些字段或者某些重要数据进行加密。

篇10

就全国而言，全社会对电子政务建设的认识更加深刻、理性，特别是2006年上半年，全国召开电子政务工作座谈会，国务院总理、国家信息化领导小组组长同志在会上指示，要加快电子政务建设、推进行政管理体制改革，提高政府工作效率和公共服务水平，为公众参与经济社会活动创造条件。国家信息化领导小组也相继出台了《国家电子政务总体框架》（国信[2006]2号），该文件清晰地描绘了我国电子政务总体框架结构，指明了我国电子政务在未来一个阶段信息化建设的发展方向。在总体框架的指引下，电子政务的基础设施、应用系统、信息资源、法律法规标准和管理体制等各方面的整体性和协调性将显著提高，电子政务将在科学发展的道路上稳步前进。中央办公厅和国务院办公厅联合转发了《国家信息化领导小组关于推进国家电子政务网络建设的意见》（中办发[2006]18号），该文件对今后国家电子政务建设作出了具体规划，提出了明确的任务和要求。文件规定了今后一段时间电子政务建设的4项具体任务：

1．统一国家电子政务传输骨干网；

2．推进电子政务内网和外网建设；

3．保障国家电子政务网络和信息安全；

4．推进业务应用系统建设。

同时，文件还明确了电子政务建设的管理机制。这是国家首次将电子政务统筹部署并切实落实的一个重要标志性文件，同时该文件首次将电子政务应用系统建设和安全系统建设列为重点投入的领域，这将对我国电子政务建设具有重要的意义。

当今，天津滨海新区开发开放已纳入了国家整体发展战略，天津市的经济建设进入了一个高速增长期，于此天津市的电子政务建设可以说到了一个新的发展机遇期，也是一个关键的考验期。为此，下面我代表天津市信息化办，依据国信办和天津市委、市政府信息化建设的总体框架和要求，对天津市电子政务专网建设和应用工作讲几点意见。

一、要充分重视电子政务专网建设工作，精心组织、认真实施、按照设计规模建成电子政务专网。

市电子政务专网自2004年启动建设以来，根据天津市委、市政府的统一部署，经过一期、一期扩容和二期启动三个工程的建设，建设规模覆盖已达到218家，基本上覆盖了天津市委、市人大、市政府、市政协四大机关的市区两级部门及高检、高法，为相关政府部门提供了业务办公的高速、宽带的互联互通的信息通道。开通以来，专网在正常运行的基础上，相继开发了市委办公系统、市政府办公系统、市统计业务、五局联网、市人大常委会、市政府、市政协的建议提案管理系统、市委组织系统、市复议系统和市审计系统在专网上的应用，启动了企业基础信息共享系统建设，依托专网，实现工商、地税、国税、质监等15个政府工作部门的企业信息共享，今年，还将有政协提案（党群口）系统、市金融系统、市投资建设系统等应用业务的接入。目前专网专项应用业务单位数量约120个，占全网节点总数56%，专网终端用户数量已超过2 300个，电子政务专网已经为全市党政部门认可并在电子政务建设中发挥重要作用。去年，天津市还依托专网圆满完成了国信办政务信息目录体系原型试点项目和电子政务信息安全试点项目两项试点工作，试点工作获得了国信办和有关专家的高度评价。国信办之所以把全国试点工作交给天津，也是看好天津具有了一定规模完整的电子政务网络平台，具备了完成试点工作的条件，是从另一个侧面对我市工作的肯定。在此，我也代表市信息化办对参与国信办试点建设的试点单位和有关工作人员给予表彰和感谢，这些成效的取得与大家的努力和支持是分不开的。

今年天津市电子政务专网建设将按照设计规模增设近170个接入点，基本建成全市党政机关电子政务专网，服务于全市电子政务建设。该项目建设时间紧，任务重，责任大，各单位要站在落实国家和市委、市政府信息化建设相关文件和指示精神的高度，共同努力，克服困难，全力抓好专网二期建设。专网建设单位要成立专门组织，周密计划、统筹安排、精心组织，要严格按照天津市信息化大型工程项目管理要求和网络工程技术规范组织施工，确保工程质量；相关单位要密切配合，予以必要的人员、场地、环境保障，确保专网二期工程任务的完成。

二、要充分重视专网资源开发利用，不断提高电子政务专网应用水平。

经过几年建设，国家目录体系原型试点和安全试点已基于专网建成，部分应用业务系统在专网上运行稳定，到今年年底，天津市将建成一个规模完整的电子政务网络平台。如何充分利用专网资源，提高我市电子政务专网应用水平已成为我们面临的一个急切的问题。为此我市相关部门要积极推进基于专网的信息共享与业务协同应用：一是要进一步深化目录体系与交换体系的建设和应用，在目录体系原型试点的基础上，推广目录体系的建设应用规模，探索服务于应用的目录交换一体化试点；二是要加强数据共享与交换平台建设，进一步扩展企业基础信息交换系统的应用范围；三是要搭建基于地理信息系统的政务信息服务平台，为政府部门提供地理信息服务；四是要推动依托于电子政务专网的宏观经济数据库建设，服务支持宏观经济决策；五是要进一步加强专网门户网站建设，整合不同行业和部门的各类政务信息资源，推动部门信息资源共享。

三、要充分重视专网网络与信息的安全工作，确保电子政务专网稳定运行。

专网在过去两年进行了安全一期和国信办安全试点建设，综合部署了安全基础设施，基本建立了专网安全保障体系，在平衡风险与成本的基础上做到了适度安全，满足了专网基本的安全需求。但是，随着专网覆盖范围、应用系统的不断发展以及专网延伸试点工作的展开，专网已由过去党政机关单一PC接入的简单结构向多网共存的形势发展。这些都对专网在安全管理和安全防护措施上提出了新的、更高的要求。为此，专网在安全建设方面要做好以下三方面的工作：一是要推广安全试点工作成果。继续完善专网安全保障体系，做好专网安全等级保护工作，充分认识风险评估在专网建设工作中的重要性。二是要建立专网安全工作的长效机制。适应专网接入范围不断扩大、业务系统不断扩展、原有安全措施不断更新等需求，从组织保障，安全规划、资金支持等方面建立长效机制。三是要提高专网管理人员的安全意识。通过不断宣传、培训和学习，克服客观困难，发挥主观能动性，全面提高专网管理人员的安全意识，缩小各部门之间的安全管理水平差距。

四、要充分发挥市电子政务中心在专网建设、维护和资源开发应用中的作用。

天津市电子政务专网建设是个系统工程，涉及方方面面，市信息化办负责总体规划、专业指导，是组织者；市里的各部门、各业务单位根据需要提出应用的需求，是参与者和使用者；四大机关是专网应用的顶层业务流程平台，各区县是专网运维和业务延伸的依靠力量，市电子政务中心是专网的主要管理者和技术保障者，是在专网上开展电子政务服务项目的实施主体，同时也是和各节点联系最紧密的单位。近年来天津电子政务中心在专网建设中积极发挥作用，摸索出了一些专网建设、维护、资源开发应用的路子，已基本建立起一支适应天津市电子政务专网建设的人才队伍，取得了比较好的成效，所承担的一些重点工程建设项目也得到了国信办和市级领导的认可，发挥了助手作用。天津市电子政务中心还要主动增强与各节点单位的联系，大力推广利用专网开展各业务应用系统的建设模式，发现新的问题、推广好的做法，更好地为大家服务。