企业信息安全管理范文

时间:2023-10-17 17:25:35

导语:如何才能写好一篇企业信息安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全管理

篇1

关键词:石油企业;信息安全;管理手段

0引言

随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。

1加强企业信息管理的必要性

1.1企业信息管理概念

企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。

1.2企业信息安全管理的必要性

企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。

2加强企业信息管理安全的防范措施

2.1不断完善信息管理系统

随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。

2.2有效的设备管理

设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。

2.3加强对人员的监督与管理

企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。

2.4网络传输安全

篇2

信息,同企业其他资产一样是种资产,对企业的发展有很大作用。信息以各种形式存在,包括纸质的、电子的、图像的等。我国信息专家钟义信认为:“信息是该事物运动的状态和状态变化方式的自我表述/自我显示。”顾名思义,信息安全既保障“信息”的“安全”。关于信息安全,国际标准化组织(ISO)认为:“信息安全是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。我国信息安全专家沈昌祥院士则认为:“信息安全是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性”。

二、企业信息安全体系设计

2.1企业信息安全体系方案概述

2.1.1信息安全体系设计原则

企业信息安全体系的设计应遵从以下原则:

(1)性能平衡,合理划分:提高整个系统的“安全低点”的性能,保证各层面能得到均衡防护;按照合理原则划分为安全等级,分区域、分等级防护。

(2)标准一致,功能互补:在产品技术、产品设备选择方面,尽可能遵循同一业界标准;充分考虑不同厂商、不同安全产品的功能互补,在进行多层防护时,考虑使用不同厂家的。

(3)统筹规划,分步实施。

2.1.2信息安全体系框架

网络安全的实现不是目标,是过程。其过程经历了安全评估、制订安全策略、安全培训、安全技术实施、安全网络检测、应急响应和灾难恢复等环节,并不断地螺旋式提高发展,得以实现网络安全。信息安全体系的三要素:管理、技术和运维。通过一系列的战略、系统和机制的协调,明确技术实现方法与相关安全操作人员的职责,从而达到安全风险的发现和有效控制,从而改善的安全问题反应速度和恢复能力,增强整体网络安全能力。管理方面,建立、健全安全组织结构;技术方面,建立分层网络安全策略;运维方面,通过不同的安全机制,提高网络安全的能力。

2.2企业信息安全技术体系

2.2.1信息安全技术体系概述

(l)设计原则

分析企业信息网络安全面临的主要威胁,实施有针对性的安全技术体系。安全技术体系的总体性要求如下:全面综合:采用综合解决方案,体系层次化,具有纵深性。集成统一:有效集成各类管理工具,集中化管理所有IT系统。开放适应:支持各种安全管理标准,能适应组织和环境的变化。

(2)信息安全技术体系框架

通过物理安全、网络安全、系统安全、应用安全等方面进行建设。具体有以下措施:物理安全防护建设;统一容灾备份中心建设;防火墙系统的部署;入侵防护系统的部署;系统安全防护建设;防病毒系统部署;漏洞扫描系统部署;信息审计系统防护。

2.2.2物理安全防护建设

(1)配套设备安全

采用多路供电(市电、动力电、UPS)的方法,多路电源同时接入企业信息系统大楼或主机房及重要信息存储、收发等重要部门,当市电故障后自动切换至动力电,动力电故障后自动至UPS供电。并且,当下级电源恢复后,应立即自动切换回去。这样,既保证了安全性,又降低了运行费用。形成一套完整的先进和完善的供电系统及紧急报警系统。供电系统中,会有尖峰、浪涌等不良现象发生,一旦发生,轻则断电重启,重则烧毁并引发火灾。这种情况下,UPS也无济于事。为避免对供电质量和造成不安全因素,可以使用电力净化系统。电源净化系统不仅保证电源质量,同时还可减少电磁污染,避免信息随电缆外泄。用多路供电接入企业机房及重要部门,降低了运行成本,又保证了系统的安全。

(2)计算机场地安全

严格按照国家标准建设,如国标GB/T2887-2000《电子计算机场地通用规范》、GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》等。《电子计算机场地通用规范》规定了站址选择条件:计算机场地尽量建在电力、水源充足,自然环境清洁、通信、交通运输方便的地方;应尽量避开强电磁场的干扰;应尽量远离强振动源和强噪声源;应尽量建在建筑物的高层及地下室以及用水设备的下层。规定了温度、湿度条件并将它分成ABC三级;规定了照明、日志、电磁场干扰具体技术条件;规定了接地、供电、建筑结构条件等。

2.2.3统一容灾备份中心建设

无论企业信息系统设计、维护得多科学合理,故障的发生都是不可避免的,因此在设计时都应考虑容灾解决方案,即统一容灾备份中心建设。基本思路是“数据冗余+异地分布”,即在异地建立和维护一份或多份数据冗余,利用数据的冗余性和地理分散性来提高对灾难事件的抵御能力。企业数据容灾,存储是基础,备份是核心,恢复是关键。信息网络采用本地备份与异地备份的混合方式,以确保数据或系统的安全。通过各种层面的冗余技术,减少单点故障;使用合适的备份技术实现针对各个位置存放的数据的保护、隔离和严格访问,保证数据的一致性、安全性和完整性。包括:存储磁盘的冗余设计,对系统盘采用RAID1技术,对数据盘采用RAID5技术。数据的冗余备份设计:数据库数据文件的存放采用基于SAN架构的存储方案,在保证读取速度的同时,利用远程数据镜像和数据复制技术进行冗余备份,在区域性空难发生时能更大限度保证数据完整和安全。对核心业务的数据库数据,还可利用SQLServer自带的数据备份工具进行数据库文件备份,有效应对文件损坏或人为误操作带来的数据风险。对正常业务中关键数据或全业务数据进行保护,将主数据库的数据以逻辑的方式在异地机房建设一个同样的数据库,并且实时更新数据,当主数据库因灾损坏或失去,异地数据库可以及时接管业务,从而达到容灾的目的。

三、结论及展望

篇3

【关键词】企业,信息,安全

【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158(2012)11-0130-02

一、企业信息安全现状

近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(OA)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。

当前企业信息可能面临的安全威胁、存在的安全隐患。

1.可能面临的安全威胁

物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。

数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。

内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。

2.可能存在的安全隐患

网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。

技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。

为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。

针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。

二、加强信息安全工作的途径

1.建立安全体系结构框架

俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。

2.通过实施信息安全管理体系提升管理水平

信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。

2.1 准备现状调研阶段

现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查,以了解组织业务,挖掘组织中存在的安全问题,分析组织内可能存在的信息安全风险,参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。

2.2 风险评估阶段

在准备阶段工作的基础上,根据IS027001标准的要求,对企业目前的信息安全现状进行风险评估,通过风险评估确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。

2.3 架构设计阶段

架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。

2.4 实施阶段

实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。同时,将已有的操作规程、规范文件整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施,最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。

2.5 运行阶段

运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式评审企业信息安全管理体系运行的符合性。

2.6 持续改进阶段

项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动,使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。

3.实施、运行ISMS需要注意的问题

4.1 提高风险意识,加强安全组织建设工作;以风险评估为基础,提高风险管理的有效性;队总体经营目标为核心,制定科学的安全管理策略;通过对企业安全管理流程及标准的建立,完善企业的安全运维体系及响应机制。

4.2 提高行业信息化管理水平,信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。

4.3 循序渐进,动态管理。信息安全体系建设并不是一蹴而就的,是分步实施、循序渐进的过程。定期进行相关的安全评估,注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。

篇4

 

在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在长期的发展过程中,人们将网络比喻成了一把双刃剑,虽然存在着较大的优势,但是其问题也不容小觑。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。

 

1 企业中信息安全的重要性

 

企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展[1]。

 

2 做好企业信息安全建设的措施

 

对于企业信息安全来说,是一项系统性的工程,并需要在技术与管理上做好相关工作,这样才能保证信息的安全。因此,在实际中就要认识到技术在信息安全管理中的重要性,同时还要完善系统的管理工作,发挥出应有的作用与效果,同时还要做好风险评估与技术创新等工作,以此来保证企业中信息的安全。

 

2.1 安全风险评估

 

随着网络的不断发展,信息的种类也开始逐渐增多,这样所产生的问题也在不断的增多,并呈现出了越来越厉害的趋势,所以也就使得人们开始思考筹划信息系统的过程中,为了保证系统的健康营运而建造出全面的安全保障系统。通过对目前的应用系统进行分析与评估等工作是实际可行的办法。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。

 

2.2 实际技术上的创新与管理

 

时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。对于企业来说,想要在行业市场竞争中占据一席之地,就要做好创新工作,全面实现创新理念,认识到制度创新是技术创新的基础,构建出完善的管理体系,提高程序以及方法上的科学性,同时还要保证财力上的支持,实现技术的改进与创新[2]。

 

首先,要做好技术上的创新。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。普遍采用的恢复技术有HD Doctor等。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。同时还要明确怎样进行防护,掌握风险的来源。因此,在实际中就要对网络安全风险进行评估,并将重点放在安全测试评估技术上。其目标是要掌握好相关的技术,完善的测评流程,健全风险评估的体系。

 

其次,完善管理措施。在长期的发展过程中,企业中的信息化建设开始从战术地位向着战略地位的方向发展了。因此,就要从经营战略的层面上出发,将信息化建设与企业中的经营战略结合在一起,在环境分析的基础上来制定出发展战略,及时对企业中的信息化纲领进行调整。同时还要明确的是要在满足企业发展战略的基础上来明确企业中的信息化愿景。第一,建立出完善的管理制度,明确管理的方案,以及安全服务等方面的内容,从企业自身的实际情况上出发没离开选择可以保证企业自身信息安全的产品。第二,建立出运维管理制度。在这一制度中要包含安全监控、设备设施的安全以及应急预案的处理等方面。第三,将监督检查机制落实到实际中去。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全[3]。

 

2.3 充分运用防火墙技术

 

在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。另外,一些防火墙技术也会支持互联网服务特性的企业内部构建网络技术体系,也即是所谓的VPN,VPN会将全球的LAN以及电子网进行整合,从而来专用通信线路,实现资源的共享。

 

3 结语

 

总的来说,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。

篇5

【关键词】信息安全 管理 控制 构建

1 企业信息安全的现状

随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2 企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:

2.1 建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2 提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3 及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。

3 企业信息安全体系部署的建议

根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:

3.1 实施终端安全,规范终端用户行为

在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。

3.2 建设安全完善的VPN接入平台

企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。

3.3 优化企业网络的隔离性和控制性

在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。

3.4 实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4 结束语

信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。

参考文献

[1]郝宏志.企业信息管理师[M].北京:机械工业出版社,2005.

[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络,2008(7):48-49.

作者简介

常胜(1982-),男,回族,天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。

篇6

【关键词】 信息技术 电网企业 网络信息 安全管理

一、我国电网企业网络信息发展现状

近几年来,我国电网企业网络信息发展迅猛,电网企业信息化基础设施较为完善,电网企业和其他企业相比信息化程度相对较高,电网企业各部门人员都使用计算机进行办公。电网企业营销管理系统应用广泛,我国各地区电网企业都建立了网络信息管理系统,电网企业业务受理都呈现出信息化特征。随着信息技术的不断提高,我国电网企业网络管理信息系统逐渐建立起来,并在一定程度上得到推广,国家电网企业大力开展网络管理信息系统建设,在电力生产、电力设备使用、安全监督和电力营销等方面都应用到网络管理信息系统,电网企业的网络化和信息化增强,电网企业将网络信息建设和管理放到首位,旨在通过信息技术推动电网企业的可持续发展。

二、电网企业网络信息安全管理中存在的问题

1.信息化机构建设尚不完善。电网企业网络信息部门没有受到足够的重视,电网企业信息管理部门没有在企业内部设置专门的信息化机构,电网企业没有科学合理的信息管理岗位,电网企业信息管理部门建设落后,信息化机构建设尚不完善,电网企业缺乏专业技能良好、综合素质较高的复合型人才。2.电网企业网络信息化管理水平低下。和我国信息技术的发展和应用相比,国家电网企业网络信息化管理水平相对较低,电网企业没有对网络信息化管理进行不断优化和革新,虽然我国很多电网企业都将先进的信息系统和网络管理系统运用到企业运营中,但是并没有及时对电网企业的网络信息管理模式进行革新和完善,这就导致网络信息系统不能达到预期的使用效果。

三、加强电网企业网络安全管理的有效措施

1.重视电网企业网络信息安全规划。对我国电网企业网络信息进行规划的主要目的是提升网络信息系统的安全性,对电网企业网络信息系统的安全问题进行全面考虑,对电网企业网络信息安全进行科学合理的规划,建立全面统一的网络信息安全管理体系,能在一定程度上提高电网企业网络信息的安全性。

2.合理划分网络安全区域。要对电网企业网络安全区域进行合理划分,根据电网企业各部分网络信息的安全密级和安全规划对网络安全区域进行科学合理的划分,通常情况下可以将电网企业网络安全区域划分为三部分,即重点防范区域、一般防范区域和完全开放区域,这样才能实现电网企业网络信息的安全管理,使得个网络区域的工作能够顺利开展。

3.加强网络信息安全管理和制度建设。为确保电网企业网络信息的安全性良好,电网企业应该将网络信息安全管理和相关制度建设当做重点内容,对电网企业网络信息日志进行严格管理和安全审计,充分利用防火墙和入侵检测系统的审计功能,对电网企业网络信息日志进行准确记录。重视并加强电网企业网络信息管理制度建设,明确电网企业从业人员的职责和义务,制定网络信息安全事故应急处理程序,加强电网企业网络信息管理基础设施建设,确保网络信息系统运行环境良好,电网企业应该做好防火防水设计,确保电网企业网络信息系统安全性能良好,运行可靠。

4.加强电网企业网络信息管理人员的综合培训。电网企业网络信息管理人员的专业水平和综合素质对网络信息安全具有极大的影响,电网企业必须重视并加强网络信息管理人员的综合培训,提高网络信息高级管理人员的综合能力,使其了解网络信息安全管理的策略及目标,制定科学合理的电网企业网络安全管理制度。加强网络信息系统安全运行管理和维护人员综合能力的培训,使其能够充分理解电网企业网络信息安全管理策略,掌握网络信息系统安全操作和维护技术。让网络信息管理人员充分了解网络信息安全操作流程,获得全面的电网企业网络信息安全知识,提高网络信息管理人员的安全意识和技能,确保网络信息管理人员专业水平较高,综合素质良好,使其在电网企业网络信息系统运行、管理和维护上充分发挥自己的职能。

总结:随着信息技术的快速发展,电网企业信息化成为一种必然的发展趋势,电网企业在电力生产和运营的过程中只有做好网络信息安全管理工作,在不断的实践过程中发现电网企业网络安全管理中存在的问题,探索出加强电网企业网络信息安全管理的有效措施,才能实现电网企业的可持续发展。

参 考 文 献

[1]朱贵强.论企业网络信息安全管理[J].中国科教博览,2005,(6).

[2]闫斌,曲俊华,齐林海.电力企业网络信息安全系统建设方案的研究[J].现代电力,2003,(1).

篇7

【关键词】电力企业;网络;信息安全管理;研究;建议

当下时代,网络信息技术应用十分广泛而且方便,而作为各种行业之中最为重要的电力企业同样也需要网络信息技术,运用网络信息技术,可以给电力企业带来快速,高额的经济效益,但是一旦发生网络信息泄露,或者是信息数据被别人盗取或者修改,经济效益将会受到很大的损失。所以说当务之急是所有的电力企业,都应该仔细地面对和研究现在网络信息安全的问题,然后提出合理的措施来预防事故的发生,保护保护我国电力企业网络信息安全刻不容缓。

1当下中国电力企业网络信息安全的问题与现状

1.1网络信息技术对于电力企业的重要性

如今是21世纪,网络信息技术迅速发展,作为国家重中之重的电力企业对于网络技术的应用更是十分完善,而具体到各个部门各个机关,也会有他们自己相应的局域网进行日常的工作和管理,网络信息技术,可以说是,电力企业的燃料,一种不可缺失的依靠。据资料显示,电力企业的各大岗位对于,网络的使用率将近达到了百分之百,例如,发电生产自动化监控系统,就是利用网络信息技术与电力企业的结合,很大的提高了生产过程和电力调度的自动化水平,而我国各大电力企业,都在,尽快地规划企业信息化发展,全力建设我们的企业信息化工程,从而实现电力工业现代化,信息化。

1.2目前我国电力企业网络信息安全的现状

以时间为线,我们可以发现全球那计算机犯罪,屡发不止,虽然为了维护网络信息安全,都在努力升级和维护防卫系统,但是黑客们的电脑病毒,也是随着时代的发展而不断更新,我们电力企业对于网络信息安全的维护,是一个长久的计划,1分1秒都不能松懈,然而近年来经常发生的信息安全受损事件可以充分证明,我们对于硬件和软件的更新,还未能做到完善,对于网络信息的安全管理措施落实的还不到位,我们电力企业的网络安全防护能力还没有跟得上时代与技术的发展,维护工作并没有做好。

1.3目前我国电力企业网络信息安全的问题

首先最明显的一点问题,就是我国电力企业对于网络安全的意识不高,极度缺少负责网络安全的人才,网络信息安全问题未能在员工们之间得到重视,员工只注重网络系统是否方便快捷,认为信息安全隐患不会发生在自己的身边,于是让计算机犯罪有了可乘之机。还有我们电力企业内的硬件设施,和软件,看似性能配置都极佳,但是还有可能有一部分设备本身,就有着缺陷和安全漏洞的存在,部分技术先进的黑客轻而易举的就能入侵到我们的电力企业内部之中,黑客技术娴熟的网络黑客常常最先攻击涉及国计民生的电力企业系统。最后一点问题就是我们的网络安全防护能力虽然日益增强,但是还不能完全防止网络安全信息事故的发生,一旦受到黑客的攻击,电力企业内部的数据损失,或者被盗窃,很难找回这些数据,因为我们没有一个完善的系统来备份或者恢复数据。

1.4电力企业网络信息安全问题出现的原因

对于企业内部信息系统的访问应该局限于内部员工,身份认证这一关没有把好关就会带来漏洞。众所周知微软已经停止了对WindowsXP的技术服务,所以系统本身的漏洞无法修补,然而我们国内很多电力企业的计算机应用着这个系统,风险自然会增加。另一方面我国电力企业管理层人员的网络安全意识极度贫乏,虽然部分岁数较小的管理员工具有一定的网络安全意识,但是由于缺乏电力企业网络信息安全方面的知识,也无法保证企业信息的安全,管理层尚且如此,员工们得不到企业的管理和培训,更无法有效地保护好企业信息。最重要的是电力企业很少专门的为信息安全部门设置机构,缺乏信息安全管理机制,部分电力企业甚至只让一名相关人员负责。这样是远远无法满足一个企业信息安全的需要。

2管理电力企业信息安全的措施

2.1加强网络信息安全意识的宣传和培训

电力企业信息安全管理应以人为本,把网络信息安全的重要性落实到每个人,切实加强各个层次员工的信息安全意识,同时培训提高工作在信息安全管理一线的员工的技能水平,只有提高了工作人员的意识,下一步计算机程序的完善才有了意义。网络信息安全意识应该被写入电力企业文化之中。尤其是专业做电力企业网络数据安全的更为稀少,所以还应加强对于此类人才的招聘与培养,为长久的安全防护工作埋下种子。

2.2建立完善的信息安全管理制度

为了维护电力企业信息网络安全,必须建立完善的网络信息安全管理制度,企业中每个部门的领导都应重视起来,向自己属下的各个部门施压,促使各个部门重视并落实网络信息安全的有关工作。管理层应严格要求员工做好自己相应的工作。企业内部还应设立一个专门的网络小组,能够全天候地进行网络信息安全的检查和管理,及时的做出反应维护网络信息安全。还应设置专门的人员对设备进行定期的统计和检查,电力企业内部的数据还应该有专人进行备份。各个部门各司其职才能安全的维护好企业内部的数据安全。

2.3做好规划和分区管理

解决网络安全问题不能治标不治本,要从根本上解决问题就需要从长远的角度出发,做好详细的全面的规划,系统地去调研和思考怎样能够有效维护企业网络信息安全,因此建立一套完善的网络企业信息安全管理系统是尤为重要的。信息安全管理体系建立好以后就需要着手于分区的工作了,规划是以时间为线,而分区是以部门为线。据资料显示,当下电力企业内部的网络安全系统,对于安全区域的划分是分为三个重点划分对象,分别为防范区域重点区域和开放区域,这三个重点划分对象,应该要进行严格的措施来进行防护,应该设置严格的规则来限制访问,提高安全级别,另外对于一些非常重要的数据服务器还有数据库,更要加强管理并放置在安全区域。

2.4做好定期更新和检查工作

制定的管理制度要求员工必须要严格遵守,管理人员本身也应该严格的按照工作制定计划进行,电力企业方面也应该组织专门的小组,来进行定期的检查,用高频的更新工作来更好地进行防范。对于网络信息安全管理系统也应该定时的进行更新完善,不断地加强信息安全的技术和应用,对于工作工资工作中出现的问题进行定点定时的解决,例如数据的恢复与备份,病毒防御的应用,访问权限的限制等方面,都需要不断的探索进行技术更新才能增加企业内部网络信息安全系统的防御力,为企业的运行打下坚实的基础。只有这样才能使电力企业的网络信息安全管理系统持续焕发活力,持续地为企业的运行保驾护航。

3结束语

根据上文,要想有效地维护好电力企业网络的信息安全,系统完善地做好安全管理工作,使我国的电力企业可持续发展,首先应该了解到网络信息技术对于电力企业的重要性,以及目前我国电力企业网络信息安全的现状,和我国电力企业网络信息安全面对的问题,对于上文提到的电力企业网络信息安全问题出现的原因,对症下药,通过加强网络信息安全意识的宣传和培训,建立完善的信息安全管理制度,做好规划与分区管理,以及定期的更新和检查工作,治标且治本的,使网络信息安全管理系统持续地为维护电力企业网络信息安全工作。电力企业管理层与各部门协同合作,不断地发展和更新技术,从而有效地落实网络和信息安全管理工作。

参考文献

[1]杨天坤.发电企业网络信息安全管理分析[J].电子制作,2013(10):102.

[2]朱琳娜,盛海港.网络信息安全管理在电力企业中的应用[J].中国电力教育,2010,S2:132~136.

篇8

【关键词】电力企业;网络信息;安全管理

【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0144-02

随着网络和计算机技术的不断发展,人们越来越离不开网络,网络不但给用户带来便利,还带来了信息安全问题。本文分析了电力企业网络信息安全管理存在的问题,并提出了相应的完善措施。

一、电力企业网络信息安全管理存在的问题

(一)电脑病毒的威胁

对所有的电脑用户来说,不得不面临的主要问题就是电脑病毒的威胁,电力企业也是如此,计算机病毒会从各种渠道传播到计算机中,使电力企业的网络系统出现问题。电脑病毒不但会影响计算机的运算速度,还会破坏计算机的硬件和软件,并且电脑病毒的感染速度极快,只要计算机连接一个含有电脑病毒的移动存储设备,就可以使计算机感染电脑病毒,并且企业网络环境的变化也会导致计算机感染病毒。

(二)信息的安全问题

在网络信息的存储和传递中,不可避免都会出现相应的网络安全问题。在电力企业存储信息的时候,通过介入外部的互联网,会导致企业内部一些商业机密被网络黑客盗取,从而给企业带来相应的损失。在信息的传输过程中,也会造成企业内部信息被非法截取,使得商业机密泄露,除此之外,一些黑客人员还会运用非法手段来篡改企业的信息,使得企业的数据出现错误,造成信息混乱,给企业员工的工作带来巨大的影响。因此,如果不有效的解决电力企业的信息安全问题,就会给企业带来严重的损失和破坏,严重的甚至会危机国家和社会的财产安全。

(三)管理人员素质风险

现今,许多企业存在重技术、轻管理的情况,没有完善的安全管理制度,并且管理人员普遍信息安全意识不强,这也就在一定程度上提高了网络风险,并且企业网络管理员配备不当也是造成企业信息安全问题的主要原因。除此之外,对于电力企业来说,来自内部的风险是非常主要的安全风险,特别是网络管理人员,不经意间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。

(四)设备本身与系统软件存在漏洞

由于电力企业的信息化发展较为缓慢,所以这就很可能造成电力企业很多设备和软件存在安全漏洞,给电力企业带来许多不良的安全问题。电力企业信息网络的操作系统、数据库存在安全漏洞,并且信息存储的介质受到损坏,就会造成大量的信息泄露或者丢失。除此之外,由于计算机设备工作时产生的辐射电磁波也会使电力企业网络信息存在安全问题,一些电力企业没有按照相关的要求及时的升级和修复防范软件,这就给网络信息安全带来一定的威胁。

二、完善电力企业网络信息安全管理的措施

(一)提高企业内全体员工的安全意识

目前,造成电力企业网络信息存在安全问题的其中一个主要问题就是用户的安全意识淡薄,对网络信息的安全不够重视,并且缺乏相应的防范措施。这些问题主要是因为电力企业网络信息管理不完善,缺乏相应的安全管理责任制,因此,必须提高用户的安全意识,使他们自觉的修补计算机的操作系统和安全漏洞,并且及时的升级防毒软件和防火墙,掌握安全评估的基本方法,对安全操作和维护技术的合理运用,使电力企业的网络信息处于安全的环境当中,只有这样才可以做好电力企业网络信息安全管理,减少网络的威胁。

(二)进行网络安全风险评估

电力企业想要从根本上解决网络安全问题,除了要从技术上面考虑以外,还应该做好网络安全风险评估工作。网络的安全离不开各种安全技术的实施,现在市面上有各种安全技术产品,想要选择合适的安全技术产品,首先应该进行可行性的分析,对电力企业存在的网络信息风险进行分析,并且对收益与付出进行比较,了解安全技术产品在电力企业中使用的效率,看下哪一个产品更加适合电力企业降低网络信息安全的需求。对电力企业来说,弄清楚网络信息存在的风险,并且评估这种风险带来的威胁和影响,只有这样才可以制定相应的安全管理策略,从而有效的提高电力企业网络信息的安全。

(三)完善网络防病毒体系

由于计算机病毒会广泛的传播,并且对网络用户的数据具有严重的破坏力,随着网络技术的不断发展,计算机病毒给网络用户带来的损失也越来越大,严重影响了电力企业网络系统的运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。

(四)建立企业网络信息安全文化

作为电力企业网络管理人员,应该建立企业网络信息安全文化,重点掌握企业信息安全的整体策略和目标,安全体系的建立和网络信息安全管理制度的制订。负责信息安全运行和维护的技术人员,应该对信息安全管理有一个充分的了解,并且掌握安全评估的基本方法,能够合理的运用安全操作和维护技术,提高安全管理人员的综合素质,使他们具备承担安全职责的能力,只有这样才可以降低电力企业网络信息安全风险,使电力企业免遭黑客和病毒的入侵,确保网络信息的安全。

(五)开展电力企业内部的全员信息安全教育和培训活动

在电力企业发展中,信息安全不但是整个信息网络部门的事情,还是企业内所有员工的职责,因此,为了提高电力企业网络信息安全管理的力度,就应该对企业内所有的员工进行信息安全教育,并开展相应的培训活动,以此来有效的避免由于失误造成企业内部出现安全风险。电力企业应该做好宣传工作,提高企业内所有员工对网络信息安全的认识,向每一位员工普及网络安全操作流程,使他们掌握基本的安全管理策略。除此之外,主管部门和各级管理人员,应该清楚掌握信息安全体系的构成情况,建立相应的管理责任制,每个部门每个员工都应该从自己做起,完善自己所用计算机的病毒软件和防火墙,防止网络病毒有机可乘。

三、结束语

综上所述,想要提高电力企业网络信息安全管理,首先应该提高企业内全体员工的安全意识,建立企业网络信息安全文化,并且完善网络防病毒体系和进行网络安全风险评估,开展电力企业内部的全员信息安全教育和培训活动,只有这样才可以确保电力企业的网络信息安全,避免网络安全风险的产生。

参考文献

[1]林世溪,林小迪.电力企业网络信息安全防护体系的建立[J].华东电力,2010,(05)

[2]朱琳娜,盛海港.网络信息安全管理在电力企业中的应用[J].中国电力教育,2010,(s2)

[3]汪洁,易予江.电力企业信息网络安全分析与对策[J].电力信息化,2008,(10)

篇9

(1)内网网络结构不健全。

现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。

(2)存在于网络信息化机构漏洞较多。

目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。

(3)职工安全防范意识不够。

想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。

2网络信息安全管理在供电企业中的应用

造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。

3结语

篇10

开放、互联的信息技术与信息安全就像一把双刃剑。一方面,企业需要借助信息技术或信息系统集中信息并开放共享;另一方面,企业的核心信息资产又在不断外泄,引发无数信息安全问题。一谈到信息安全,首先想到的是网络安全,比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲,随着信息化建设的不断深入,企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下,根据市场竞争的需要,企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等,企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性,即完整性、保密性和可用性。(1)信息完整性风险管理。一方面,要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等;另一方面,也常为人忽视的是加工过程本身的科学性,需要防范因不恰当的加工方式而导致的数据失效或结果错误。(2)信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统,访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。(3)信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产,保障信息系统稳定性和可用性。以上三个特性,同时也是信息安全风险管理的主要内容,管理过程包括风险识别、风险评估和风险控制三个步骤。

2企业信息安全风险识别

由于涉及企业的核心信息资产,所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因,目前国内企业对信息安全风险管理的认识仍不到位。总体来说,有以下主要问题,也是常见的信息安全风险管理的风险点。(1)信息安全组织和制度保障不足。没有有效的信息安全管理组织机构,就无法有效地制定、执行安全管理策略,更无法进行有效的信息安全协作。信息安全管理制度通常都有,但很少有单位能够严格执行,信息安全的政策制定也常常不符合标准,导致可操作性比较差或者达不到控制的目的。(2)信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度,但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识,安全事件报告不及时;对各自岗位相关的信息资产职责了解不清,对信息系统的错误操作导致信息泄密的事件屡有发生;部门单位还存在因人员流动导致的信息资产不连续等问题。(3)传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题,一旦受到网络入侵、病毒攻击,或者发生硬件及性能问题,会导致信息资产大量泄漏或损坏。(4)访问控制及用户权限管理存在漏洞。在信息系统的实施阶段,为了便于用户测试或其他目的,部分用户权往往限过大。随着系统正式上线及应用,相应权限又由于种种原因没有调整,对信息安全也留下了比较大的隐患。(5)软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立,大量企业选择自行开发软件系统,由于软件开发技术而导致软件本身存在一定漏洞,相应的开发质量存在隐患,连带的如运维、业务持续性风险均应相应考虑。

3企业信息安全风险评估和控制

考虑到每个企业均有自身特点,面临的信息安全风险点也不同。按照通常的信息安全风险管理理论,在完成上节所述的风险识别之后,需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程,主要是要借用适当的风险评估工具和模型,包括定量的或者定性的方法,对信息安全风险点造成的影响进行评估,以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化,从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上,其有效性体现在当企业面临信息安全风险时对风险控制的有效程度,换句话说,在信息安全风险评估的基础上,考验控制力度的有效性就是损失的程度,损失的越少越有效。反之,则控制无效。另一方面,信息安全风险控制也是需要成本的,控制力度大小与成本通常成正比关系,而且在达到一定程度之后,控制力度增长比例较小可能带来成本大幅增加。因此,信息安全风险控制的总体目标,是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。

4结语