企业信息安全预案范文

导语：如何才能写好一篇企业信息安全预案，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【关键词】企业 信息安全管理 对策

信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动，是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。

知识经济时代，企业内部各部门之间以及企业与外部之间的交流与合作日益频繁，且对计算机信息技术的依赖也日益明显，使得信息安全问题成为众多企业的关注焦点。

企业的许多信息，包括一些战略规划的重要信息，均以电子文件形式存储，而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改，损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制，如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等，就可以建立起完善的信息安全系统，促进企业在知识经济时代平稳、快速和健康的发展。

一　目前信息安全管理中存在的隐患

1．信息管理的安全意识方面

在传统的企业生产中，企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展，信息的重要性也日益突显，从而也成为企业发展的基本要素之一。根据以往经验来看，企业对信息安全的重视程度还远远不够，表现在对企业信息的安全保护很不到位，这无疑给企业带来了很大的损失。所以，企业必须要加强对信息安全的保护，建立起一套完善的信息安全体系来保证企业的信息安全。

2．缺乏统一的安全体系规划和安全防范机制

目前，“头痛医头、脚痛医脚”的现象十分普遍，原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备，却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务，后关注安全的策略，使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划，使得企业在问题已经出现时才去弥补，对于安全建设只能用“亡羊补牢”来形容。

3．信息安全产品本身存在的问题

大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了，因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外，人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题，也要重视系统的操作与应用过程。

4．资金投入不够，缺乏安全技术人才

要想建构起完善的信息安全体系，企业不仅要投入大量的资金，而且同时要引进一批高端的IT人才，组建一支专业建设信息安全的团队。但遗憾的是，很多企业并未意识到信息安全的重要性，所以在资金投入方面很是不足，比如说，使用的电子邮箱和杀毒软件等往往都是免费的，也没有构建防火墙，这使得企业的信息安全得不到充分地保障。此外，虽然一些企业投资引进了一些硬件设施，但对软件的重视不足，表现为投入的滞后性，从而阻碍了硬件设施发挥应有的功能。

还有一个问题，大部分企业在加强信息安全建设的过程中，通常都把注意力集中在搭建网络平台及硬件的选择上了，却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才，而相关专业人才更是不足。按照要求，一个信息系统的运作应该由几个技术人才相互配合、共同操作，但实际上却恰恰相反，企业中的一个信息管理人员往往负责大量的操作，不仅要负责配置系统，还要负责管理系统的安全，导致对安全的设置和监督由一个人负责，任务繁重。

二　加强企业信息安全管理的途径

1．注重人员安全管理，提升信息安全意识

具体的操作人员在信息系统的建设和运行过程中必不可少，人既是管理者又是被管理者，因为他们不仅要建设和应用计算机系统，而且也信息管理的对象。所以在信息安全系统的管理中，最重要的就是对人员的安全管理，做到这一点要从以下几个方面来进行：要建立一个安全的组织结构，对安全职能加以确认，审查人员的安全状况，和安全人员签订相关的保密合同，加强离职人员的安全管理等。

企业要对员工加强有关信息安全的教育，增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识，所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面，首先，加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力，使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等，使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。

2．建立、健全信息安全防范体系

对于企业中信息安全的管理机制及防护规范的发展和完善，可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行，可以极大地降低企业的损失。

第一，提高安全系统的应急能力，这就要求建立和完善相应的应急管理机制，并制定应急预案。

第二，企业要建立起一个网络和信息安全管理的平台，在网络内外部署相关的信息安全设施，比如要加强网络的安全性管理，在网络中设置一些控制访问的策略，并对网络的安全使用加以规范，具体来说就是要安装避免病毒入侵的软件，对网络经常进行检测，提高防火墙的性能等。

第三，建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理，前者可以做到自上而下的全面执行企业的安全防范策略，后者可以降低人为原因导致的数据安全的风险，并可以保证不与其他的加密策略发生冲突，实现兼容。

第四，企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计，因为这可以保障信息系统的安全运行。

第五，重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估，以提高企业抵御风险的能力。

3．健全用户权限和上网管理制度

企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计，并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。

首先，对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况，要将每个员工的权限加以明确并保证最小，减少他们对信息系统的操作从而在最大程度上保证系统的安全。

其次，要限制员工的上网行为。在信息化时代，要想控制众多员工上网的行为，就必须要从管理和技术两个方面来实现。此外，要严格检测和控制那些从外部传来的文件，防止它们给企业内部的网络带来病毒。

4．进一步健全、监管第三方服务体系

由于对信息安全的担忧和对服务质量的怀疑，大部分企业都不愿意采取第三方提供的服务体系。在企业中，信息安全工作至关重要，如果不小心泄露了企业的重要资料，就会给企业带来致命的打击。

政府应发挥作用加强有关第三方的法律法规建设并制定行业标准，排除企业对第三方的疑虑。企业应加强与第三方的合作，双方共同努力建设起符合企业特点的信息安全体系，使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位，主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色，可更加客观、公正对企业信息安全以及业务流程进行监察，及时发现信息安全隐患。

5．加大建设资金投入，完善软件硬件建设

要想顺利建成企业的信息安全体系，大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备，如相关软件和服务器等，同时企业也可以采取外包的形式。

首先，在加强硬件设施方面，企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型，即端点、节点和链路加密，企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制，从根本上预防信息安全隐患。

其次，加强软件建设，最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新，保证数据库和终端的操作系统的版本保持一致，这不仅有利于加强管理，而且可以提高系统的防御功能

此外，要做到经常性的数据备份，选用高强度口令保护账号安全，针对不同账号设定不同密令，经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙，并周期性的对文件进行排查，及时发现已感染病毒的文件以及信息丢失的现象。

企业的信息安全管理是一个动态的过程，要随时代的发展而不断加以创新。因此，我们必须不断探索加强信息安全管理的思路和方法，并对逐步构建起相对完善、高效、可靠的信息安全管理体系，定期对企业的信息安全风险和信息安全管理水平进行评估。

参考文献

篇2

关键词：电力企业；信息安全；管理；探讨

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

电力企业的信息化建设在生产自动化、管理信息化、营销现代化等方面发挥了重要作用。然而，随着网络的延伸、应用的普及和不断深化，特别是随着网络技术的迅速发展，信息安全问题日益突出。研究电力系统信息安全问题、制定和实施电力系统信息安全战略、建立全方位、动态的电力信息系统安全保障体系，己成为当前电力系统信息化工作的重要内容。

一、电力信息安全的含义

电力信息安全是指电力主营业务系统及企业信息安全，保障不被未经授权者访问、利用和修改，为合法用户提供安全、可信的信息服务，保证信息和信息系统的机密性、完整性、可用性、真实性和不可否认性。

二、电力企业信息安全风险分析

（一）电力信息安全管理风险分析。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。由于近年计算机信息技术高速发展，计算机信息安全策略和技术也取得了非常大的进展，但在电力系统各种计算机应用中，对信息安全的认识跟实际需要差距较大安全意识薄弱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。

（二）网络基础设施的安全风险分析。网络基础设施的安全是整个网络系统安全的前提。目前电力企业在机房建设（包括水源、消防、门禁等）、重要设备的访问管理方面都存在缺陷，亟待解决。如在网络介质的安全方面由于大都采用内部专用网络，但楼层交换机的机柜位置不安全，非管理人员可以随时接触到，这给内部的攻击或窃密行为提供方便之门。

（三）电力企业信息网络连接安全风险分析。电力企业的部分用户由于工作需要连接了因特网，同时没有服务器供外部访问，用户连接因特网时没有做到与内网的物理隔离，这给网络带来危害；局域网内部用户有意或无意对系统进行了攻击和窃密行为；内部其它单位用户对本网络的攻击行为，类似因特网外部连接风险等众多因素也都对网络安全构成了威胁。此外，受人员水平、设备性能等方面因素制约，使整个电力信息网的外部边界保护能力存在一定差异，必然降低整体边界安全防护能力。

（四）支撑基础设施的安全风险分析。许多电力企业没有完整的备份策略，备份工作没有计划，备份不及时，没有备份恢复预案；介质管理不规范，没有对备份介质做库存、领取、使用、借用、存放等方面的跟踪记录。需要特别指出的是灾难恢复计划要素的所处的水平较低，应重点加快制定有关灾难恢复的管理制度，以及备份设备的更新。

三、电力企业信息安全防范措施

（一）电力信息安全管理措施。1.健全信息安全组织保证体系。成立信息安全管理部门，至少应配备2名安全专职管理人员，明确权利与责任，分别负责各系统的安全审计，并相互制约。2.完善信息安全管理制度。参照国际最佳实践，建立一套完整的制度体系，形成省、地两级安全管理体系。3.加强信息安全教育培训。安全意识和相关技能的教育是企业安全管理中的重要内容。高级管理部门应当对全体员工，特别是中高级管理人员进行信息安全管理制度培训，强化信息安全意识。

（二）电力信息安全技术措施。1.加强网络信息安全基础设施建设。建立电力企业信息系统物理各环境的安全目标防止对企业工作场所和信息的非法访问、破坏和干扰或避免造成资产的流失、受损。建立省电网级认证授权中心，提供目录服务、身份管理、认证管理、访问管理等功能，实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。对电力企业重要网络设备配置文件进行完整性检查保护，防止主机系统及网络设备配置文件的篡改，对系统文件遭到修改及破坏可以及时发现修复。2.网络控制技术。网络控制是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非法访问。主要包括：（1）防火墙技术。（2）审计技术。（3）访问控制技术。（4）安全协议。3.备份恢复技术。备份恢复技术主要包括备份技术、冗余技术、容错技术和不间断电源保护4个方面的内容。备份恢复与容灾中心具有关联性，建立容灾中心的单位应每年至少进行一次灾备恢复的演练，没有容灾中心的单位应将营销、生产、财务等核心数据定期进行异地备份，并定期进行备份恢复演练，提升应对自然灾害的能力。

四、结束语

篇3

【关键词】网络信息，完全，防护

一、网络信息安全的基本概念及组成

1.1网络信息安全

网络信息安全是指：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。网络信息安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密、完整和可用的保护，而网络安全的含义是信息安全的引申，即网络安全是对网络信息保密、完整和可用的保护。

1.2网络信息安全的基本组成

网络实体安全：如计算机的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等；

软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等；

数据安全：如保护网络信息的数据安全，不被非法存取，保护其完整、一致等。

1.3网络信息安全现状

控制安全以及信息安全属于网络信息安全中的两个重要组成部分，控制安全指的是实名认证、授权、访问控制等等。信息安全指的是信息的可使用性、完整性、保密性以及可靠性等等。

进入21世纪以来，网络环境不管是控制安全或者是信息安全，都遭受着来自各界的安全威胁。计算机和网络技术具有的复杂和多样，使得网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。

在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界。这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门（Back-doors）、DoS（Denia1ofServices）和Snifer（网路监听）是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，且有愈演愈烈之势。

这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次，从web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向通信企业用户的信息安全防范能力不断发起挑战。

1.4网络信息安全面临的问题

网络信息安全目前面临的主要问题是：1、电脑病毒感染。2、网络自身缺乏健全的防御能力。3.国内计算机研发技术落后。4、网络安全管理人才欠缺。

二、提升网络信息安全的措施

要想绝对的实现网络信息安全是不可能的，只能够做到一种相对安全的局面，尽可能的保证用户的数据安全不被外界干扰。

对于目前的通信企业网络中存在的各种不安全因素，使用针对性地应对方式以及保护方式，有效的提升计算机网络的安全性，从之前的工作经验上分析，单纯的安全保护方式不能够获得有效的安全保护效果，相对有效的方式就是借助各种层级的保护方式对计算机的网络数据做全面的保护。所以，需要有针对性地分析计算机遭遇到的各种安全威胁因素，订立一个相对全面的保护运行体系，其中包含了防火墙技术、数据加密技术及安全漏洞检测工具的全面提升和网络安全使用的各种制度办法等等。

2.1采用防火墙防火墙

采用防火墙防火墙是目前最为流行、使用最广泛的一种网络信息安全技术，它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制，限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。它具有以下特征：所有的从内部到外部或从外部到内部的通信都必须经过它；只有内部访问策略授权的通信才允许通过；使系统本身具有更高的可靠。

常见防火墙的体系结构有三种：

2.1.1双重宿主主机体系结构

它是丽绕具有双重宿主功能的主机而构筑的，是最基本的防火墙结构。主机充当路由器，是内外网络的接口，能够从一个网络向另一个网络发送数据包。这种类型的防火墙完全依赖于主机，因此该主机的负载般较大，容易成为网络瓶颈。对于只进行酬昙过滤的安全要求来说，只需在两块网卡之间转发的模块上插入对包的ACL控制即可。但是如果要对应用层进行控制，其就要设置到这台双宿主主机上，所有的应用要先于这个主机进行连接。这样每个人都需要有个登录账号，增加了联网的复杂。

2.1.2屏蔽主机体系结构

屏蔽主机体系结构，又称主机过滤结构，它使用个单独的路由器来提供内部网络主机之间的服务，在这种体系结构中，主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构，这种结构允许数据包，Internet上进人内部网络，因此对路由器的配置要求较高。

2.1.3屏蔽子网体系结构

它是在屏蔽主机体系结构基础上添加额外的安全层，并通过添加周边网络更进一步把内部网络和Intemet隔离开。为此这种结构需要两个路由器，一个位于周边网络和内部网络之间，另一个在周边网络和外部网络之间，这样黑客即使攻破了堡垒主机，也不能直接入侵内部网络，因为他还需要攻破另外一个路由器。

2.2数据加密

数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储，数据传输、数据完整的鉴别，以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的，可分为密文存储和存取两种，数据传输加密技术的目的是对传输中的数据流加密。数据完整鉴别是对介入信息的传送、存取，处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

2.3网络信息安全的审计和跟踪

审计和跟踪机制一般情况下并不干涉和直接影响主业务流程，而是通过对主业务进行记录、检查、监控等来完成以审计、完整等要求为主的安全功能。

审计和跟踪所包括的典型技术有：漏洞扫描系统、入侵检测系统（IDS）、安全审计系统等。我们以IDs为例，IDs是作为防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整。入侵检测是一种主动保护网络和系统安全的技术，它从计算机系统或网络中采集、分析数据，查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象，并采取适当的响应措施来阻挡攻击，降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。

由于计算机网络系统应用范围的不断扩大，人们对网络系统依赖的程度增大，因而对计算机网络系统信息的安全保护提出了更高的要求。现在，计算机网络系统的安全已经成为关系到国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。因此，充分认识到网络的脆弱和潜在威胁并采取强有力的安全防范措施，对于提高网络的安全能将显得十分重要。

篇4

【关键词】企业环境信息；银行信贷；安全

一、前 言

中国当前的严峻环境形势表明，少数专业部门的污染减排手段有限，必须与更多宏观经济部门联合起来，进行制度创新。国际经验表明，越来越多的政府和国际组织倾向于运用经济杠杆来引导环境保护目标的实现。它实质上就是政府利用税收、价格、信贷等经济手段来迫使排污企业将污染成本内部化，从而达到事前自愿减少污染，而不是事后再对污染进行治理。在新形势下，环境经济手段如绿色信贷、绿色财政、绿色保险和绿色证券都将会陆续加以运用。{1}从2007年4月1日起，国家环保总局将把环境执法信息纳入人民银行征信管理系统，与人民银行形成信息联动，借助金融等部门力量加强环境监管。在此基础上，2007年7月12日，国家环保总局、中国人民银行以及中国银行业监督管理委员会联合《关于落实环保政策法规防范信贷风险的意见》（环发[2007]108号）（以下简称《意见》）。此前，国家环保总局与中国人民银行的“共享企业环保信息”，主要是整治违法排污企业，保障群众健康环保专项行动形成的企业环境违法信息，而此次纳入企业信用信息基础数据库的环保信息，其范围得到扩大，形成了更为完整的环境信息系统。为了保障该项制度能够贯彻落实，《意见》还明确提出了部门合作的工作机制，即建立环保部门和金融监管部门的联席会议制度，定期召开协调会交换信息。尽管《意见》出台的大背景主要是遏制日益严重的环境污染和生态破坏，但是，由环保部门提供的权威企业环境信息，对于银行信贷安全同样也会发挥重要的影响。

二、银企环境信息不对称对信贷安全的消极影响

（一）环境问题的严重与企业环境风险的产生

目前，中国正处于环境问题最严峻时期，而通常正是在这个时期，企业的环境风险也将更加显著。这里所说的企业环境风险是指：企业因为其内外环境因素变化直接或间接使企业承担的风险。这种环境风险至少表现在以下几个方面：

第一，企业因为违反环境法律，造成环境污染或者生态破坏而受到严厉的环境行政处罚，或者高额的环境损害民事赔偿。对于严重违反环境法律的行为，环保部门可以责令企业停产整顿，而政府可以责令企业停业或关闭。另外，环境污染或生态破坏带来的财产损失或者人身损害赔偿往往足以导致一个企业消亡。

第二，区域环境污染和生态破坏带来的环境风险。企业所在区域环境质量恶化，一方面会限制企业的生存发展空间，另一方面会导致区域环保法律法规及政策日趋严厉。例如，为了遏制区域严重环境污染，国家环保总局自2006年开始，实行“区域限批”{2}和“流域限批”{3}措施，这对于在限批区域内的企业无疑加大了其环境风险。另外，中国政府重点治理的“三湖”、“四江”区域，随着环境治理力度的进一步加强，一些企业将可能面临被关、停、并、转的命运。

第三，环境法律法规及其相关政策拓宽、趋严带来的风险。环境法律法规以及相关政策的每一次变动，都可能会对某一区域或某一行业的企业带来较大冲击。如1991年，《全面禁止象牙国际交易公约》在中国生效，一百多家象牙雕刻厂全部倒闭，被工艺界称为“黑色星期五”。 1993年，国务院发出的《关于禁止犀牛角和虎骨贸易的通知》，同样给中成药行业带来沉重的打击。{4}另外，我国环境法律对于企业环境行为的规范也日趋严厉。例如，江苏省将在太湖流域制定实施更加严格的环境准入制度，全面禁止新上不符合产业政策和新增氮磷排放的项目。同时，在太湖流域实行更高水平、更加严格的水污染防治标准，以提高排放标准倒逼企业完善治污设施，降低排放强度，从总量上控制污染物排放。在2008年年底前依法淘汰2150家小化工企业。{5}

第四，国际贸易中的绿色贸易壁垒给企业带来的环境风险。绿色贸易壁垒是一国以保护有限的资源、环境和人体健康为名，通过制定一系列苛刻的环保标准，对来自其他国家或地区的产品、服务直接或间接加以限制的贸易手段和措施。{6}如2003年1月27日，欧盟通过了关于在电子电气设备中限制使用某些有害物质的指令。该指令规定：从2006年7月1日开始，进人欧盟市场的电子产品中含有的铅、汞、镉等6种有害物质不得超出指定标准。我国将有3000多家整机生产厂和上万家的机电零部件的生产厂会受到这个指令的影响，涉及出口企业约2000家，产品20多万种，涉及的机电产品总值达317亿美元。{7}

（二）银企环境风险信息的不对称对信贷安全的影响

众所周知，以上企业存在的各类环境风险对于一个企业的生存发展将不可避免地带来重大影响，在一定程度上也同样影响到一个企业清偿债务的能力。现代企业的生产经营离不开商业银行，没有银行的信贷支持，企业生产经营活动无法开展。但是，不可否认的事实是，近年来，我国商业银行不良贷款比率一直居高不下，严重威胁着整个金融体系的安全。特别是企业面临的日益加大的环境风险，也直接威胁着商业银行信贷安全。

常识告诉人们，如果银行知道企业面临着不利的环境风险就不可能冒很大风险进行贷款。但事实上，尽管银行在主观上并不想将资金借贷给存在严重环境风险的企业，然而致命的问题是，银行并不能在现实中准确地区分哪些企业环境风险小，哪些企业环境风险大，这主要取决于银行能否真实而准确地获知企业与环境风险等有关的企业环境信息。问题是，目前在制度框架下，我国商业银行具有这方面的能力吗？

在银企信贷关系中，企业由于环境风险而承担的不利益将可能转嫁给银行，从而导致银行的信贷安全受到极大威胁，而这种风险的转嫁恰恰是建立在银行与企业之间环境信息不对称的基础之上。根据信息经济学原理，在市场交易过程中，交易双方难以拥有等量同质的信息，信息不对称由此产生。这种信息不对称从发生的时间上看，可能发生在银行与企业借贷关系形成之前，也可能存在于借贷关系形成之后。但无论是发生在何时，对于银行来说，都面临着企业由于存在环境风险而产生的道德风险。这至少表现在以下两个方面：第一，借款企业为了取得贷款，可能会刻意隐瞒甚至伪造企业相关环境信息，从而诱使银行发放贷款，即使银行在贷款后了解到借款企业的真实环境信息，但所能采取的措施最多也就是亡羊补牢。{8}第二，当企业获得银行贷款之后，银行只能观测到企业的行动结果，而不能观测到企业行动本身，或者说，只能观测到企业的行为，但不能观测到企业的行动效果，或不能准确评价企业的行动效果，从而使得企业有机会利用信息优势来损害银行的利益。{9}如由于银行对企业的经营行为无法完全彻底了解，企业通过擅自改变贷款用途，将资金挪用于环境风险非常高的高污染类项目，从而把经营风险转嫁给银行。

（三）企业环境信息披露的缺失

很显然，对于这种银行与企业在环境信息上的不对称状态，由于直接对银行信贷安全构成威胁，消除这种不对称也是银行之所求。但靠银行一己之力无法消除这种不对称。如果要改变这种状况至少需要企业和银行两方面的努力。客观地说，银行与企业信贷关系中的环境信息不对称可以通过作为借款人的企业诚实行为与作为贷款人的银行努力调查获得改善，但是不可能根本消除。{10}对于企业来说，在环境信息的收集、处理以及披露上都存在一定的成本；同时，对于某些环境信息，尤其是环境风险信息，从企业自身利益最大化角度并不希望让银行获得，因为那样可能导致银行对其环境行为的监督和制约，除非法律明确规定，企业需要披露其环境信息。对于银行来说，加强对借贷企业的信息收集是克服信息不对称的重要举措。但是，由于银行信息收集能力不高，尤其是我国银行长期缺乏企业信贷环境风险意识，因此往往难以获取需要的企业环境信息。

事实上，近几年来，我国环境法律也开始注意企业环境信息公开问题，而且这种公开往往是强制性的，构成了企业的一项环境义务。从法律规定看，对于企业环境信息强制性公开的主体范围也不好作统一界定，因为环境问题涉及的范围非常广泛，不同的企业对环境的影响程度不同；同时，企业的环境状况对不同的公众也存在不同的影响，导致不同的法律可能基于不同的目的对企业环境信息公开会有不同的要求。目前以下几类企业负有强制公开相关环境信息的义务：

第一，需要在项目建设过程中编制环境影响评价报告书的企业。2006年2月，国家环保总局出台《环境影响评价公众参与暂行办法》，要求建设单位在编制环境影响评价报告书的时候，采用便于公众知悉的方式，向公众公开有关的环境影响评价的信息。要注意的是，不是所有的建设项目在环境影响评价时都需要公开环境信息，只有对环境可能造成重大影响的建设项目才需要编制环境影响报告书。因此，对于那些对周围环境可能产生轻度环境影响或产生很小环境影响的建设项目，其建设单位在目前的法律框架下就没有强制公开环境信息的义务。

第二，造成污染物排放超标或严重污染环境的企业。实践中，往往都是那些平时超过国家污染物排放标准排放污染物的企业对周围的环境危害最大，也是直接威胁周围公众生命健康安全的主要因素。因此，在强制环境信息公开的主体中它们理所当然地成为主要对象。2003年，国家环保总局根据《清洁生产促进法》的规定，出台规范性文件《关于企业环境信息公开的公告》（环发[2003]156号）（以下简称《公告》）。这是我国目前对企业环境信息公开专门进行规定的规范性文件。根据《公告》规定，对于超标准排放污染物或者超过污染物排放总量规定限额的污染严重的企业，其相关的环境信息必须在当地主要媒体以及环保部门官方网站上进行公开。

对污染严重企业强制性公开环境信息，主要是想通过公众的压力和监督迫使企业治理污染。因为公众可以通过选用企业产品来体现对一个企业环境行为好坏的认可，这将直接影响企业在市场上的形象。投资者也将根据企业环境信息，审慎决策投资方向。{11}

第三，证券市场的上市公司。根据公司的社会责任理论，现代公司需要承担环境和社会受托责任，其中环境受托责任要求公司必须对环境资源承担保护责任，如增加对环境保护的投入，治理环境污染，为社会提供无污染的食品等，并将履行情况全面及时地向委托人报告。{12}我国证券市场建立时间不长，但是在证监会的证券信息公开的监管规范中也很注重企业的环境信息公开。1997年，证监会了《公开发行证券公司信息披露内容与格式准则第1号（招股说明书）》，要求上市公司阐述投资项目环保方面的风险。2001年在《公开发行证券公司信息披露内容与格式准则第9号—首次公开发行股票申请文件》、《公开发行证券公司信息披露的编报规则第12号—上市公司发行可转换公司债券申请文件》中明确要求，股票发行人对其业务及募股资金拟投资项目是否符合环境保护要求进行说明，如三年内是否违反环境保护方面的法规等。2001年，国家环保总局了《关于做好上市公司环保情况核查工作的通知》，2003年将其修改为《关于对申请上市的企业和申请再融资的上市企业进行环境保护核查的规定》，在规定中要求，对申请上市的企业和申请再融资的上市企业的环境保护情况进行核查，并将核查结果进行公示。比如，在1993年到2003年间，江苏省在深、沪上市的78家上市公司中，对环境信息进行披露的具体情况是：在招股说明书中进行披露的有50家，占64.1%;在2001年年报中进行披露的有15家，占25%；在2002年年报中进行披露的有24家，占35%；在2003年年报中进行披露的有30家，占38%。{13}

尽管，在我国现有法律框架下，企业也存在强制性环境信息的主动公开，但是，对于银行来说，其不足是很明显的，因为在前面提及的几类企业范围极其有限，而且其披露的环境信息也并不是涉及企业整个生产经营活动中的所有环境信息，其环境信息公开的目的同样也并不是直接针对银行信贷安全的。当然，这并不是说，这些环境信息对于银行没有任何价值。事实上，无论是企业环境影响评价信息，还是企业严重超标、造成严重环境污染的信息往往都构成企业的环境风险信息，银行积极而主动地收集并加以运用，对于防范信贷风险将产生积极影响。

三、公权力的干预与银企信息不对称的克服

（一）银企环境信息的不对称克服与公权力的干预

银行与企业之间的环境信息不对称，无论是对于银行信贷安全，还是对于环境保护目标的实现都不利。那么，如何克服银行与企业之间环境信息不对称困境就不仅仅是银行一方面要考虑解决的问题，它也是环境保护行政机关要关注的对象。正如笔者在前面分析所得出的结论，对于环境信息不对称的克服，单纯依靠企业自主的环境信息公开，或者是银行的独自收集都难以达到理想的效果。通过环境公权力的干预就是一种必然的选择。其理由如下：

第一，银行与企业之间的环境信息不对称问题不可能在市场框架内通过私力自身得到解决。之所以如此认为，是因为在银行与企业信贷交易过程中，占环境信息优势的企业不会主动提供环境信息给银行，这种信息的提供对其而言不仅无利可图，反而会使其丧失因为信息优势而可能获取的超额利益。对于环境信息劣势者而言，既然不能通过环境信息优势者的告知而获取环境信息，其就会自行收集环境信息，但这种环境信息的收集不仅会使其承受过多的信息成本，还会存在信息能力不足的问题，所以环境信息劣势者自己收集环境信息的行为不可能普遍成功。因此，我们不难看到，现实生活中，在银行与企业之间的信贷交易前和信贷交易过程中，企业往往能够主动提供环境信息，银行也可能主动收集企业的环境信息，但这种环境信息的提供行为和环境信息的收集行为都是以促成信贷关系形成为目的的，只要信贷关系已经形成，环境信息优势方的企业就可能会减少甚至停止环境信息的提供，而银行受到信息收集能力以及成本的约束也可能会停止环境信息的进一步收集行为。{14}

第二，政府在解决银企环境信息不对称问题中具有先天的优势。首先，政府作为公权力的行使者，其公权的强制力可以强制性地赋予企业对自身环境信息的说明义务，而银行作为私权主体是不能够强迫企业告知环境信息的。其次，一般来说，政府作为一种超越于私人主体之上的公共组织对于环境信息的收集能力以及处理能力要强于银行，这使得政府向银行提供企业环境信息成为可能。特别是与私人主体往往注重追求个人利益最大化不同，政府作为一种代表公共利益的组织，使其无偿提供环境信息成为可能。再次，政府具有组织优势，其直接向银行提供企业环境信息，使得银行无需再去收集、处理环境信息，因而极大地降低了环境信息成本。最后，政府权威的存在使其提供的环境信息具有公信力。{15}

（二）银行获取企业环境信息的现实路径与信贷安全的保障

也正是政府在环境信息公开上具有的先天优势，使得从2007年上半年开始，在政府环境信息公开制度确立的基础上，由国家环保总局与中国人民银行以及银监会联合发文，通过环保部门对企业环境信息公开，达到建立绿色信贷机制，既有利于环境保护，又有利于银行信贷安全。那么，银行又如何获取企业相关环境信息以及如何能够实现其信贷安全目标呢？

1．环保部门对企业环境信息的收集与提供

环境问题大多是由于企业的排污及开发利用自然资源活动带来的，因此，环境信息主要包括这些污染源的排污情况的信息。根据各国现有的环境立法，大多规定排污单位要向当地环保部门进行排污申报登记。{16}另外，环境保护部门还可以通过现场检查制度、环境监测制度等方式主动收集排污企事业单位的环境信息。因此，对于企业的环境信息，当地的环境保护部门一般都已拥有，只要环境保护部门承担环境信息的公开义务，银行可以通过环境信息的公开而获得其需要的某一企业的环境信息。

根据《意见》规定，环保部门在收集企业环境信息时，尽管基于环境保护需要应全面完整收集企业所有环境信息，但是对于向银行提供的企业环境信息是有一定范围的，具体包括八个方面的环境信息：(1)受理的环境影响评价文件的审批结果和建设项目竣工环境保护验收结果；(2)污染物排放超过国家或者地方排放标准，或者污染物排放总量超过地方人民政府核定的排放总量控制指标的污染严重的企业名单；(3)发生重大、特大环境污染事故或者事件的企业名单；(4）拒不执行已生效的环境行政处罚决定的企业名单；(5)挂牌督办企业、限期治理企业、关停企业的名单；(6)环境友好企业名单；(7）企业环境行为评价信息；(8)其他有必要通报金融机构的环境监管信息。

从总体上看，这些环境信息可以分为两大类：企业环境风险信息与非环境风险信息。对于企业污染物排放超过国家或者地方排放标准，或者污染物排放总量超过地方人民政府核定的排放总量控制指标的污染严重的，企业发生重大、特大环境污染事故或者事件的；企业拒不执行已生效的环境行政处罚决定的；企业已经被环保部门挂牌督办、限期治理、关停企业的等环境信息，这些明显属于环境风险信息。对于环境信息表明该企业为环境友好型的，则说明该企业环境风险很小。至于涉及环境影响评价文件的审批结果和建设项目竣工环境保护验收结果以及企业环境行为的评价信息，是否属于环境风险信息，则要看其环境信息的具体内容进行判断。如企业新建项目由于存在很大的环境污染的可能性，其环境影响评价报告书未通过环保部门审批的环境信息，就应该列为企业环境风险信息。企业环境行为评价信息，主要揭示不同企业的环境信誉等级，通常用不同色彩表示，是一个企业环境信息的综合指标，包括：企业基本情况指标、污染行为指标、环境一项指标、环境管理指标、清洁生产指标以及信任度指标。{17}企业环境行为评价可以根据其等级来判断该企业在生产经营活动中是否存在环境风险。

由于《政府信息公开条例》以及《环境信息公开办法（试行）》于2008年5月1日实施，环保部门可以根据环境信息公开的法定程序将依法收集到的企业相关环境信息提供给金融监管机构和商业银行。

2.企业环境信息对银行信贷安全的促进

环保部门对于企业环境信息的提供，使得银行对于贷款企业的环境信息能够真实、准确和全面地掌握，从而大大缓解了银行与企业间的信息不对称矛盾，其对银行信贷安全的促进作用也很明显。

第一，减少银行因为担心企业的环境风险而导致的逆向选择。由于银行通过市场难以获得其信贷所需要的环境信息，只能将潜在的企业借款人分为有限的几个风险等级，对每一个等级的借款人给予平均的贷款利率。在这种情况下，较低环境风险的企业由于贷款利率高于其预期的利率水平而退出，而高环境风险的企业则会接受贷款条件，从而使得银行的风险加大。{18}在绿色信贷机制下，由于企业的环境行为优劣评价信息银行都能够通过环保部门而获取，使得银行有能力区分不同环境风险的企业，也使得那些环境友好型企业在获得银行信贷方面处于优势地位。对于银行来说，将资金借贷给环境友好型企业，不仅获取利益，而且其信贷资金的安全性也会有很大提高。

第二，限制商业银行向环境风险大的企业进行信贷。根据环保部门提供的企业环境信息，各商业银行要将控制对污染企业的信贷作为履行社会责任的主要内容，严格限制污染企业的贷款，及时调整信贷管理，防范企业和建设项目因环保要求发生变化带来的信贷风险；在向企业或个人发放贷款时，应查询企业和个人信用信息基础数据库，并将企业环保守法情况作为审批贷款的必备条件之一。对于未通过环境影响评价或者环保设施验收的项目，不得新增任何形式的信贷支持。在国家产业政策的引导下，分类给予信贷：对鼓励类项目在风险可控的前提下，积极给予信贷支持；对限制和淘汰类新建项目不得提供信贷支持；对属于限制类的现有生产能力，且股价允许企业在一定期限内采取措施升级的，可按信贷原则继续给予信贷支持；对于淘汰类项目，应停止各类形式的新增信贷支持，并采取措施收回已经发放的贷款。

第三，监管机构的积极作为是绿色信贷机制发挥作用的保障。企业环境信息对于银行信贷安全的促进作用已经明了，但要使其能够落到实处，《意见》还对监管机构的积极作为提出了要求。对于环保部门来说，在新建项目的环境监管中，对于未批先建或越级审批、环保设施未与主体工程同时建成、未经环保验收即擅自投产的违法项目，要依法查处，查处所形成的环境信息要及时公开，并通报银行监管机构以及商业银行。同时，在对现有企业的环境监管中，对于超标排污、超总量排污、未依法取得许可证排污或不按许可证规定排污、未完成限期治理任务的企业，要依法查处，并将获得的企业环境信息及时通报银行监管机构以及商业银行。《意见》对人民银行和银行监管机构也提出了明确要求：人民银行及各分支行要引导和督促商业银行将环境信息纳入企业和个人信用信息基础数据库。各级银行监管部门要督促商业银行将企业环保守法信息作为信贷时差条件，将商业银行配合环保部门执法、控制污染企业信贷风险的有关情况，纳入监督检查范围。

【参考文献】

{1}参见《环保总局首度联手人民银行银监会，以绿色信贷遏制高耗能高污染行业扩张》，载zhb.gov.cn/xcj y/zwhb/200707/t20070730_107365. htm。

{2}为了遏制高耗能高污染行业的盲目扩张，根据《国务院关于落实科学发展观加强环境保护的决定》的第13条和第21条规定，环保总局首次动用“区域限批”政策来惩罚严重违规的行政区域、行业和大型企业，即自2007年1月10日起，停止审批其境内或所属的除循环经济类项目外的所有项目，直到它们的违规项目彻底整改为止。这是环保部门成立近30年来首次启用这一行政惩罚手段。此次“区域限批”的行政区域包括河北省唐山市、山西省吕梁市、贵州省六盘水市、山东省莱芜市；企业集团包括大唐国际、华能、华电、国电等四大电力集团。参见《环保总局通报1123亿严重环境违法项目，首次使用“区域限批”遏制高污染产业》，载zhb.gov.cn/xcjy/zwhb/200701/t2OO7OllO-99415.htm。

{3}针对中国当前严峻的水污染形势，环保总局自2007年7月3日起，对长江、黄河、淮河、海河四大流域部分水污染严重、环境违法问题突出的6市2县5个工业园区实行“流域限批”。此次限批地区包括：长江安徽段的巢湖市和芜湖经济技术开发区；黄河流域的甘肃白银市与兰州高新技术产业开发区、内蒙古巴彦淖尔市、陕西渭南市、山西河津市（县级）与襄汾县；淮河流域的河南周口市、安徽蚌埠市；海河流域的河北邯郸经济技术开发区、河南濮阳经济开发区、山东萃县工业园区。并从即日起，环保总局停止这些地区除污染防治和循环经济类外所有建设项目的环评审批。参见《环保总局：长黄淮海重污染水域进行“流域限批”应建立统一治水机制及新环境经济政策体系》，载zhb.gov.cn/xcjy/zwhb/200707/t2OO7O7O3-lO6O35.htm。

{4}藏立：《绿色浪潮》，广东人民出版社1998年版，第2-4页。

{5}参见《太湖地区明年底前淘汰2150家小化工，江苏省7月起提高排污费征收标准》，《人民日报》2007年7月8日，第二版。

{6}钟筱红等：《绿色贸易壁垒法律问题及其对策研究》，中国社会科学出版社2006年版，第33页。

{7}杨逍、张倩：《论政府对企业环境风险的规制》，《广西政法管理干部学院学报》2005年第6期，第99页。

{8}赵明：《我国商业银行信贷管理中的信息不对称问题探析》，《延安大学学报（社会科学版）》2005年第4期，第64页。

{9}徐菲菲：《信息不对称与银行信贷风险的防范》，《科技情报开发与经济》2006年第5期，第90页。

{10}赵宗俊等：《基于不对称信息理论的商业银行信贷风险管理》，《现代管理科学》 2005年第3期，第102页。

{11}王华等：《环境信息公开：理念与实践》，中国环境科学出版社2002年版，第16页。

{12}曲冬梅：《环境信息披露中的矛盾与选择》，《法学杂志》2005年第6期，第69页。

{13}印丹榕：《江苏省上市公司环境信息披露研究》，《生态经济》2006年第5期，第118页。

{14}应飞虎：《信息失灵的制度克服研究》，法律出版社2004年版，第28-29页。

{15}但政府在公开环境信息方面也会存在失灵。因为政府虽然是为实现公共利益而存在，但组成政府的自然人是经济人，他们要追求自身利益的最大化，只不过由于制度的约束使其经济人特性表现得不是太明显，但这也会导致政府在公开环境信息方面的失灵。如政府及其官员为了自身的利益而故意不公开应该公开的环境信息，甚至制造虚假的信息。这方面事例以2005年发生的松花江环境污染事故为典型，具体内容参见朱谦：《突发性重大环境污染事件中环境信息公开问题研究》，《法律科学》2007年第3期。

{16}如我国《环境保护法》第27条规定：“排放污染物的企业事业单位，必须依照国务院环境保护行政主管部门的规定申报登记。”同时，1992年国家环境保护局了《排放污染物申报登记管理规定》，对排污申报登记的适用对象、内容和程序等作了明确的规定。

篇5

电力企业信息系统是基于电脑和网络，实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。［1］信息作为一种重要的企业资源必须要对其进行全面的安全管理，企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动，即企业管理层对企业相关信息和活动安排进行合理的规划和协调。一直以来，很多人特别是对于信息行业出身的工作人员，都受环境影响而陷入“技术就是一切”的误区中，即人们把企业信息安全的全部希望都寄托在加密技术上，他们认为只要通过加密技术，任何信息安全问题都能够解决。随着网络防火墙技术的诞生，我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后，入侵检测、VPN等更多新的概念及技术纷至沓来，但无论技术怎样变化，终究还是突破不了技术统领信息安全的枷锁。实际上，对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分，它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区，其原因是多方面的，站在企业安全技术提供商的角度来说，其侧重点在于销售，因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说，只有企业的产品才是真实的、有形的，对投资方来说，这是十分重要的。因此，正是对于企业信息系统的错误认识，导致一些极端现象的产生，比如：许多企业的信息化设备使用了防火墙、网络云扫描等技术，但却没有设定出一套以安全策略为核心的合理的安全管理方案，从而造成安全技术及企业的产品生产十分混乱，不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施，却没有使用有效的实施、监督机制来执行，这让安全管理措施徒有其表，名存实亡。经过研究及调查，现阶段我国电力企业信息系统面临的风险主要有：（1）信息系统缺陷。随着信息化的不断发展，电力企业信息系统也一直在不断完善中，目前，我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险，比如来自软硬件组件的安全隐患等，这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。（2）信息系统安全管理不规范。现阶段，我国电力企业对电力信息系统的安全愈来愈重视，很多电力企业都采取了各种风险管理及预防措施，但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现，建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。（3）网络安全意识薄弱。由于电力企业的安全宣传力度不够，相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生，比如不能及时修补信息系统漏洞及补丁，相关人员不正确的操作、或通过U盘导致重要信息泄露等，处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。（4）恶意人为破坏。随着网络共享度的提高，我国的电力企业信息系统逐渐向开放型及共享型发展，这使得一些不法分子有机可乘，他们为了自己的利益，通过各种手段非法入侵电力企业的信息系统，如植入病毒、窃听、干扰阻断等，这对我国电力企业信息系统的安全构成了极大的威胁。

2电力企业信息系统安全管理研究

信息安全是一个复杂的、不断变化的动态过程，如果电力企业只根据一时需要而忽略了信息安全的动态性，只是主观的来制定一些风险管理措施，就会造成在企业信息管理中顾此失彼，进而导致企业的安全管理水平止步不前甚至有失偏颇。［2］其正确的做法是，电力企业要遵守相关信息安全标准及实践总结，结合企业自身对信息系统安全的实际需求，在进行完善的风险分析及风险管理的基础上，通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。除此之外，不断更新的过程是电力企业进行信息安全管理的最基本出发点，该过程还应该是动态的、变化的，即安全措施要随着环境的变化及信息技术的提高而不断改进和完善，坚决拒绝一成不变，这可以将信息系统的风险降到最低。［3］所以说，基于风险的评估及控制角度来说，电力企业信息系统的安全风险与其他领域的风险具有相似性，与此同时，电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域，需要同时考虑到其共性和个性。安全管理主要分为网络级、系统级和应用级3个部分：（1）网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题，其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用，它可以有效预防潜在的破坏性入侵，同时可以对即将进入企业内部网络的数据进行严格的检测，并对非法、错误的网络信息进行隔离，从而保护电力企业内部网络的安全。对于网络结构，根据电力企业信息系统的实际情况，相关技术人员结合网络结构，设计出一种介于混合型和网状型结构之间的分布式网络结构，该分布式网络系统具有较高的可靠性及容错能力，从而对已有的网络结构进行了优化。（2）系统级安全管理。在企业信息系统风险管理中，系统级安全设计与用户的具体应用具有密切的联系，具体而言，其分为操作系统与数据处理两个方面。在操作系统方面，利用有效的网络安全扫描对信息系统的安全风险进行合理评估，及时分析操作系统已有的漏洞，同时结合信息系统的漏洞自动修补技术，实现定期为相关用户消除网络中的安全隐患。在数据处理方面，企业要善于利用信息系统平台再次对数据库进行数据安全加密，从而将信息系统的数据库风险降到最低。（3）应用级安全管理。应用级安全设计具有直观、具体的特点，它是在设计电力企业的信息系统时，通过技术手段将相应的安全技术加入到信息系统中，从而有效保证系统的安全稳定运行。具体来说，电力企业信息系统的应用系统访问控制是根据访问信息性质的不同，分别进行公开信息和私密信息的传送、存储及管理，从而实现在应用层次上的访问控制；而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录，来保证系统所有文件的完整性。因此，我们得知，为了确保电力企业信息系统的安全，要采取合理、有效的管理手段来最大程度地降低风险，即相关人员不仅要从技术层面来进行安全管理的设计，还要从管理层面进行安全管理设置。［4］具体来说可以从以下方面着手：（1）定期对企业系统的技术人员进行安全教育，增强其信息系统的安全意识；（2）保持相关人员特别是管理层的人员稳定，若有人员调离，需及时更换系统密码，避免企业机密泄露；（3）设置合理的电力企业信息系统安全标准及企业制度等。

3结语

篇6

[关键词]防火墙木马网络隔离

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110071-01

2008年上半年《中国互联网网络安全报告》指出国家互联网应急中心(CNCERT)接收和自主监测的各种网络安全事件数量与2007年上半年同期相比有较为显著的增加。网络攻击的频次、种类和复杂性均比往年大幅增加,遭入侵和受控计算机数量巨大,潜在威胁和攻击力继续增长,信息数据安全问题日益突出,网络安全形势依旧严峻。

一、一般企业的网络安全措施及现状

企业一般为了自己的应用需要建立了很多的网络,由企业内部局域网组成,我们通常叫做内网。另一个是现在我们普遍使用的互联网,它是一个全球性的网络,通常被叫做外网。网络安全是从外网安全和内网安全两部分来讲,企业更关注的还是内网的安全,因为内网里有企业的信息,内网信息一旦泄露了,那么重要的企业信息也就泄露了,这对企业来说是很危险的。

企业一般通过ADSL或光纤等接入外网,然后通过路由器与内网相连,其主要安全措施是防火墙。使用的防火墙大体分为3种:包过滤防火墙、状态检测包过滤防火墙、应用层防火墙。防火墙在网络安全方面确实能起到一定的保护作用,但仍有不少缺陷。主要表现为:包过滤防火墙不能防御IP欺骗攻击、D0S拒绝服务攻击、分片攻击、木马攻击;状态检测包过滤防火墙不能防御协议隧道攻击和绕过防火墙认证的攻击;应用层防火墙只能防御已知病毒的攻击,而对新的攻击无法及时预防。

二、网络隔离的发展与不足

网络隔离的思想是绝对的隔离就有绝对的安全(这排除内部“间谍”和电磁分析等),是指把两个或两个以上可路由网络(如TCP/IP网络)的直接连接从物理上断开,通过隔离保护内部网络的安全,使信息不致外泄或免受外部网络的攻击。隔离概念的出现,是为了保护高安全度的网络环境。网络隔离产品发展至今共经历了五代:

第一代隔离技术:完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络,做到了完全的物理隔离,但需要多套网络和系统,建设和维护成本较高。

第二代隔离技术:硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,它仍然存在使用不便、可用性差等问题,有的设计上还存在较大的安全隐患。

第三代隔离技术:数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。

第四代隔离技术:空气开关隔离。该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。

第五代隔离技术:安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。

虽然第五代隔离技术是当前的发展方向,但它还存在应用协议的模块不能适应更多的应用环境、各模块算法实现的效率较低、系统的性能瓶颈、对木马和僵尸网络的防御能力不足等问题。想达到更安全的效果还是需要第一代隔离技术。

三、第一代隔离技术实用化的改进

第一代隔离技术因为实现了物理上的完全隔离,所以其安全性能要比其它的高很多,病毒、网络攻击等都被网络隔离而无法在内网实施破坏。其实用性不强主要表现在需要多套独立的设备和多套独立布线,所以对其进行改进从而达到实用化是技术的关键。以下是具体改进方案:

通过在终端上插一块网络隔离卡以及两块硬盘,通过选用不同的硬盘和网络接口,使一台终端拆分出两台终端。在两台终端分别安装操作系统,设定不同的IP地址,通过重启系统切换到不同的网络,从而实现网络隔离的目的。这样只使用了一套终端,而实现了2套独立终端的功能,实用性大大加强。

也可以通过修改隔离卡支持单块硬盘切分技术,实现类似两块硬盘的功能。通过使用DM等硬盘工具来划分硬盘分区,不同的网络使用不同的分区,使用内网时外网分区是隐藏的,内网无法通过操作系统访问到外网分区,反之亦然。连接隔离卡的跳线开关,使其变为可记忆状态,隔离卡记录了分区信息后,断开跳线开关。启动时选择不同的网络就选择了与之对应的分区和操作系统,进一步降低了硬件成本。

篇7

【关键词】电力企业；通信网；安全

背景

电力通信网的作用是确保电力系统的安全稳定运行而建立的。电力系统安全稳定运行的三大要素分别是调度自动化系统、安全稳定控制系统、电力通信网安全系统。在电力系统中有了通信安全的基础就可以实现管理现代化、电网调度自动化和电网络运营市场化。一个稳定的、安全的电力通信网可以保证电网的安全性、稳定性、经济性的运行，电力企业通信网的运行维护通常包含电力系统的继电保护、能量管理系统、输配电线路、调度自动化系统、营销服务平台以及办公自动化系统等多专业子系统，也是电力系统稳定运行的基础，而电力企业通信网对通信的可靠性、保护控制信息传送的准确性和迅速性具有及严格的要求，而电力部门是关系到国家命脉的企业，具有发展通信的特殊资源优势，只有确保这些系统的正常运行，才能提高的就是电力系统通信网络稳定的可靠性和效率性，保障电网的安全运行。

1、首先要培养电力通信企业安全文化建设

电力企业通信企业安全文化的含义是电力企业在从事电力通信生产和运行的实践活动中，为了确保电力生产正常进行，为了确保护职工免受意外伤害，经过企业自己的长期积淀、不断从失败中总结经验，同时与国家的市场经济制度相结合所形成的一种安全管理思想和理论，同时也要在不断的创新中完善自己的技术。这种文化理念也是电力企业员工对安全工作形成的一种广泛的共识，只有把通信安全的文化建设落实到每个职工的心中，同时采用规范化的管理，才能把电力企业通信安全作为企业长治久安有力的支撑，因此，在电力企业中培养安全文化意识对通信安全管理有着极其重要的意义。

2、我国的电网的通信现状

经过数十年艰苦的建设我国电力企业通信网已经形成了一定的规模，通过采用微波、卫星、光缆等多种通信手段构建形成了一个以北京总部为中心的，能够覆盖全国30多个省、市的立体交叉通信网。我国电力企业通信的发展从简单到复杂，从电力线载波技术和电缆通信网到目前的卫星和光纤的通信网，从模拟信号到数字信号，体现出了电力通信发展的光辉历程。随着通信技术的不断发展，电力企业的通信网的业务不仅仅是以前的语音控制调度，调度指令控制发展为需要时时传送地理信息系统、营销系统、视频会议、客户服务系统、办公自动化系统等多种数据传输业务等，这就对电力企业的通信安全提出了更高的要求，为了确保电力系统的发电、送电、变电、配电、用电等方方面面的安全的运行，才能保证电网安全、可靠、稳定、经济的运行，而电力系统的安全运行能确保线路自动装置、继电保护、电力生产、防汛、抗旱水库调度、电网调度等的稳定运行，这样电力通信的自身经济效益就可以从这些行业中发挥出来，隐含在电力生产及管理中的巨大经济效益也能体现出来。

3、影响电力通信系统安全可靠性的因素

在电力系统中有大量的通信设备，尤其是近年来超大规模集成电路和高性能CPU技术的推广和应用，使得单片机集成的大规模集成电路得到了应用，加上模块化的设计理念和分区功能的设计，并且采用数字化的建模方式对CPU进行编程控制，优点是增加了CPU的功能，能够完成更多的任务，能应对各种复杂的事件，提高了分析和处理的能力，但是缺点是同时也进一步的增加了电路的复杂度，很多内容由于专利法的保护等原因也不会对用户公开其内部的设计和构造，用户只能使用，而不能去首先详细的了解内部电路图的构造和架构方式，也就不会有对设备的专业的检测仪器，及相应的检测模块电路。一旦电网通讯出现故障，不管是用户端还是电网控制运行人员能难，精确的分析是什么地方或者是什么原因出现了故障，只能借助现成的检测设备来分析和判断，依赖设备厂商的技术，由其对设备做详细的检测和处理，首先就大大的增加了处理故障的时间，同时由于设备厂商对电网的通信技术的细节不了解，在沟通和协作方面也会出现一定的问题，最后往往只有由设备厂商做技术上最后的判断，这样就使电网通信系统的可靠性和安全运行率受到影响，同时由于电网中也有很多关键性的保密的技术和信息资料，这样再和设备厂商沟通的时候也会造成很多的壁垒和问题，延误问题处理的时间，对电网通信和安全造成影响。电力部门需要花大力气来研发和掌握核心的技术。而高技术的电子产品对环境以及温度等都有比较严格的要求，如何在各种恶劣的露天环境下都能保证通信的可靠性，这对电力系统也是一个严峻的考验。

4、提高电力企业通信安建设的步骤

4.1制订电力企业通信安全规划

建设电力通信企业安全文化要有总体规划，行动要有计划，并要定期对计划和规划的执行情况进行检查。制订规划时要做到：对安全文化所涉内容的现状进行调查与评价，并根据电力企业的安全生产和经营管理对通信专业的基本要求，对企业的安全文化理念进行定格设计。定出科学的时间表。实施计划时要讲效率和效果，而且对实施情况要定期检查。这里还要特别注意的是：通信企业必须学会与时俱进，根据电力企业的不断发展对通信专业提出的新的要求，创新文化理念，及时修订安全文化的建设规划，使之适应这种新发展、新变化。

4.2宣传电力企业通信安全教育

宣传、教育、激励、感化是传播安全文化、促进精神文明的重要手段。通过各种文化活动模式，如宣传激励、教育培训、文学艺术、科技创新、范例展示等模式来推动安全文化建设的逐步深入。这里有几点需要强调：一是要及时传达上级主管部门在不同阶段有关安全生产的重要指示精神，特别是对通信专业的要求，做到深刻领会思想，增强抓好安全生产的责任感和紧迫感；二是利用开展“安全月”、“安全隐患排查”等专项安全生产活动，积极做好安全文化的宣传，营造安全文化氛围；三是抓住由于管理违章造成重大通信故障的典型事例，按照“四不放过”的原则严肃认真对待，“举一反三”，提高员工的安全意识和执行规程、规定的自觉性。

篇8

企业经营信息对于企业来说是一种资源，对于企业自身来说具有重要意义，企业需要妥善管理自身企业的信息。近年来，企业的各项经营活动都逐渐开始通过计算机，网络开展，因此，企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革，把更多的注意力放在企业内部的信息安全管理工作，同时将企业信息安全管理与风险控制结合起来，这是一个正确的选择，能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义，因此，本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析，许多企业虽然建立了企业信息安全管理制度，但是通常情况下，这些制度只能流于形式，企业信息安全管理工作缺少有效的制约和监督，企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全，企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一，企业员工对于信息安全管理的认识严重不足，对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关，认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二，企业内部信息安全管理制度并没有形成联动机制，企业信息安全管理工作仅仅由企业信息安全部门“一人包干”，企业信息安全反映的问题并没有得到积极的反馈，一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供给客户各种安全应用，安全应用必须依靠安全服务来实现，而安全服务又是由各种安全机制来保障的。所以，安全服务标志着一个安全系统的抗风险的能力，安全服务数量越多，系统就越安全。

2.P2DR模型

P2DR模型包含四个部分：响应、安全策略、检测、防护。安全策略是信息安全的重点，为安全管理提供管理途径和保障手段。因此，要想实施动态网络安全循环过程，必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态安全技术或者方法来突破的，比如有防火墙、访问控制、加密、认证等方法，检测是动态响应的判断依据，同时也是有力落实安全策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不安全因素；经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者，企业信息安全工作人员直接主导企业信息安全管理工作，企业信息安全工作人员不仅仅是企业信息安全的保障者，也是企业信息安全管理的威胁者。因此，HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心安全体系，信息安全技术防范的基础上，HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后，HTP强调动态管理，动态监督，对于企业信息安全管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（1）充分调查和分析企业的安全系统，建立一个全面合理的系统模型，安全系统被划分成各个子系统，明确实施步骤和功能摸块，将企业常规管理工作和安全管理联动协议相融合，实现信息安全监控的有效性和高效性。

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（3）设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，根本上提高信息数据的管理水平。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中，首要工作是设计企业信息安全风险评估的目标，只有明确了企业信息安全管理的目标，明确了企业信息安全管理的要求和工作能容，才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息安全管理的风险，定性定量地企业信息安全管理工作进行分析，找准企业信息安全管理的工作办法。

（2）确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的，因此，对于不同的企业的特殊性应该采取不同的风险控制办法，其中，不同企业对于能够承受的信息安全风范围有所不同，企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此，企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

（3）组建适当的评估管理与实施团队

篇9

关键词：军工企业；网络信息；安全问题

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 17-0000-01

Study on Military Enterprise Information Security Issues

Su Bin,Sun Hailong

(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)

Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.

Keywords:Military enterprises;Network information;Security issues

随着社会信息化建设进程加快，军工企业对计算机网络信息安全的威胁，需要不断采取自动化的方法，来提高计算机网络信息的安全性。密码编码学技术给计算机网络信息安全带来了新的革命，在网络的各个层面上实现信息安全，提高保密性和认证的密码编码算法显得更为重要，确保计算机网络信息的安全已经成为社会所关注的热点问题。

一、军工企业信息安全问题分析

（一）设备中的漏洞问题

当前，软硬件的漏洞无处不在。众所周知，计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞，极易给病毒、隐蔽信道和可恢复密码等开辟捷径，极易为他人利用。每当发现新的漏洞，就会在短短的几分钟内传遍整个网络，攻击者就可以利用这些漏洞对网络进行攻击，网络信息处于被窃听、监视等多种安全威胁中，信息安全极度脆弱。

（二）计算机病毒问题

互连互通的网络给人们传输信息和共享信息带来了极大的方便，但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高，使网络用户防不慎防，给企业带来巨大的损失。境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标，无时不在对我进行情报窃密活动，黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞，经过一些非法手段访问企业内部网络和数据资源，可以删除、复制、修改甚至毁坏一些重要数据，从而给企业和个人用户带来意想不到的损失。

（三）隔离墙问题

大部分军工企业没有做到非的内外部网络的物理隔离，或逻辑隔离强度不够；另外存在一机多用的情况，在内外网之间随意转换使用。致使病毒在多个网络中流传，存在一点突破全网尽失的现象。一些单位内部文件共享情况比较普遍，缺乏有效的授权访问机制，对内不设防的情况比较多。对于一些物理隔离较好的内外部网络，因移动存储介质能够在两个网络之间能交叉使用，致使病毒仍能在网络之间流转，甚至能通过接入互联网的计算机把信息传输出去，致使内外网的隔离失去实际意义。

二、密码学解决信息安全的方法

经过加密处理后的信息在网络中传输，将很大的程度上避免了数据信息泄漏，即使黑客或病毒截取了相关信息，也要通过花大量的功失解密才能获知明文。密码编码学是解决网络信息安全问题的核心技术，保证了数据信息的可控性、保密性完整性、不可否认性和可用性。

（一）数据信息采取加密保存

首选的是运用数据信息加密技术，加密方法有对称加密和非对称加密，通过设置对文件设置密码保存，提高数据信息的安全性，加密的算法有AES密码算法，DES算法、三重DES算法、RSA算法等。只有解密后才能访问和理解原始数据信息。可以采用可靠的加密软件对文件进行加密保护，如电子邮件、口令等数据，通过Outlook发送邮件，自带有加密和数字签名等安全设置功能，可以使用安全设置后再发送，达到数据信息安全的目的，即使被截取后，黑客也要耗时间去解密，达到数据信息时效安全性。

（二）链路和端对端加密相结合传输

数据信息在网络传输过程中，采取链路加密还是端对端的加密都是有一定的缺陷的，只有把两种方法结合起来应用，才能使数据信息保护更加安全，主机使用端对端加密密钥来加密用户数据，整个分组则使用链路加密，分组在网络中传输是，每个结点用链路加密密钥来解密它，读取信息头，然后在对它加密，发送到下一条链路上，这样除了在分组交换结点的存储器逗留的时间里信息头是明文外，整个分组一直都是安全的。

三、军工企业信息安全的策略

解决网络信息安全的对策和措施的遵旨是技术与管理相结合：技术和管理不是相互孤立的。对于任何一个企业来说，网络信息的安全不仅是技术方面的问题，更是管理的问题。制定完善的安全管理制度，精确到细节，从企业高管到部门负责人以及普通员工，确定每个用户在网络中扮演的角色和承担的安全责任义务，职责分明。企业应将网络安全管理工作作为一项重要指标纳入年度考核，营造“网络安全，人人有责”的全体动员的氛围。同时应制定详细的安全管理策略，并每年定时或不定时的对非网络的服务器和计算机进行抽查，根据检查结果，对不符合要求的要实事求是的下发整改通知，并在公司网络安全管理会议上进行通报。军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到，安全不是技术，而是技术与管理的结合，任何先进的安全技术都需要严谨的管理作为后盾，否则，只是一堆软硬件的组合。我们必须从自身做起，坚持不懈，确保军工企业的网络信息安全。

参考文献：

篇10

近年来，许多企业内网数据信息泄露事件频繁出现，这预示企业内容数据信息泄露防御工作存在严重的缺陷。并且随着各种新型技术、热门应用的应用，增加了对企业内网的攻击频率和针对性，造成大量的数据信息泄露，这对于企业的健康、稳定以及长足发展是非常不利的。十之后，信息安全作为重大战略，上升到国家高度，加强并构筑企业信息防御能力显得更为重要和迫切。因此，文章针对信息泄露防御模型在企业内网安全中应用的研究具有一定的现实意义。

2企业内网安全现状分析

目前，黑客间谍、木马等在不停的给企业内网制造安全麻烦，并且利用各种新型技术、热门应用等，增加了对企业内网的攻击频率，并且攻击目标越来越具有针对性，盗取了企业内网中的众多重要数据信息，给企业内网安全埋下严重的隐患。同时，对企业内网数据信息泄露事件进行分析，影响企业内网信息安全的因素，不仅仅是黑客间谍、木马的攻击，还有一部分是由于企业并没有创建科学、有效的信息防御模型，再加上企业内网安全维护人员自身疏忽、操作不当或者其他原因可能引发内网数据信息的泄露。正是由于上述众多原因，并且企业在运行的过程中的业务流程以及数据信息量的不断的增多，加上泄露防御系统、员工失误等导致的信息泄露事件逐渐的增多，因此亟待采取有效的措施进行安全控制和处理。目前，企业针对内网信息泄露的防御措施包括以下几个方面：禁止使用打印机、光驱、软驱等；禁止使用可移动储存器；禁止使用网络连接等，上述“人治”的方式虽然组织了敏感信息进入到企业内网，但是却降低了系统的可用性，实用性不强。

3信息泄露防御模型在企业内网安全中的应用分析

3.1信息泄漏防御模型原理

本文提出了基于密码隔离的信息泄露防御模型，利用密码以及访问控制的方式，在企业内网中创建一个虚拟网，以此解决企业内网敏感信息泄露的问题。文章给出一个科学的秘钥管理协议，结合对称加密算法，赋予了该信息泄露防御模型一人加密指定多人解密的功能，即企业中的任何用户对敏感信息进行加密后，能够指定一个或者多个解密者，以此控制敏感信息的传播途径与范围。该信息泄露防御模型在企业内网安全中应用的最大特点在于拥有者与使用者不分离，例如，企业内部人员在不改变终端的前提下，同时不影响其任何权限，具有访问终端上的所有客体的权限，这样很容易导致企业内网的敏感信息外泄，但是这样必须控制用户的行为，因此，文章提出的基于密码隔离的信息泄露防御模型，将系统的主体、客体进行分级，即低安全级与高安全级，其中高安全级储存以及传递的信息需要受到保护，不能泄露到企业外部。因此，该模型的核心思想表现为：当模型判断信息为敏感信息时，将信息的安全等级提升为高安全级，如果高安全级的信息被传递至外部网络或者设备时，会对信息进行加密，然后将敏感信息相对应的数据文件标记成高安全级，在应用环境中形成一个密码隔离的虚拟网络，在该虚拟网络中敏感信息以密文的形式存在，即使黑客或者恶意用户将信息通过移动储存器、网络等传递到企业外部，但是得不到相应的解密密钥，也不会导致企业信息被泄露。

3.2CIBSM模型的应用

近年来，企业内网信息系统规模不断的扩大，覆盖范围越来越广，因此信息系统的组成也逐渐的向复杂化方向发展，威胁信息系统安全的因素不断的增多，如果仅仅提出保证企业内网信息安全的理论，并不能够保证企业内网信息安全，还需要给出科学、合理、可行的实施方法，基于此创建了OM/AM框架，即O-objective（目标）、M-model（模型）、A-architecture（架构）、M-mechanism（机制），该架构实现了“做什么”到“怎样做”的转变，即将CIBSM模型从理论到实践，从工程上给出可行的实施方法，有效的解决了企业内网信息外泄的隐患。CIBSM模型的工程实现采用安全内核方式，通过控制文件读写以及进程的方式防止信息泄露，在实际应用的过程中应该注意以下两个方面：3.2.1密钥管理协议方面密钥管理机制在一定程度上决定了CIBSM模型的实用性以及安全性，因此密钥管理机制应该保证企业内网的所有合法终端都能够对敏感信息进行加密，并且在企业的应用环境中对加密的敏感信息进行解密，并且保证非法终端部能够解密加密的敏感信息。同时，还应该保证解密秘钥的透明性，防止用户将密钥带到企业外部环境。基于此，CIBSM模型采用基于身份的密钥管理机制，便于实现企业内网信息的安全传递与储存。3.2.2可信终端引入方面通过引入可信终端，能够实现对敏感信息的降级处理，实现对企业内部敏感信息的正确管理，并且所有的敏感信息都需要经过可信终端的降级处理，即用户需要将敏感信息通过外部储存装置或者打印带至企业应用环境以外时，可信终端会对所有的敏感信息进行降级处理，以此保证企业内网敏感信息的安全性。可信终端的引入，在不降低系统可用性的基础上，提高了企业内网敏感信息的安全性。

4结束语