企业信息安全措施范文

引言：寻求写作上的突破？我们特意为您精选了12篇企业信息安全措施范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）73-0192-02

随着信息系统与网络的快速发展，电力企业作为关乎国计民生的基础行业，企业内部各业务数据已基本在网络流转，企业对信息系统产生了巨大的依赖性。但是，企业在享受着信息系统所带来巨大经济效益的同时，也面临着高风险。一旦出现信息泄密或篡改数据的情况，将为国家造成难以估量的损失。尤其是近几年，全球范围内的病毒泛滥、黑客入侵、计算机犯罪等问题，信息安全防范已成重中之重。因此，企业必须重新面对当前的安全问题，从中找到行之有效的防范措施。

1 电力企业网络安全现状分析

1.1 网络安全措施不到位

电力数据网络信息化在电力系统中的应用已经成为不可或缺的基础设施。电力数据网需要同时承载着实时、准实时控制业务及管理信息业务，电力生产、经营很多环节完全依赖电力信息网的正常运行与否，随着网络技术和信息技术的发展，网络犯罪不断增加，电力企业虽然已初步建立了网络安全措施，但企业网络信息安全仍存在很多的安全隐患，职工安全意识、数据传输加密、身份认证、访问控制、防病毒系统、人员的管理等方面需要进一步加强，在整个电力信息网络中，很多单位之间的网络安全是不平衡的，主要是虽然网络利用率较高，但信息的安全问题较多，主要是安全级别较低的业务与安全，没有对网络安全做长远、统一的规划，网络中还存在很多问题。

1.2 职工安全意识有待加强

目前国内电力企业职工的安全意识参差不齐，相较之下，年轻的职工和管理人员其安全意识较高，中年以上的职工和一线职工仍然缺乏必要的安全意识，主要是工作年龄、所受教育、工作后的信息安全培训程度，从事的工作性质的原因造成的，这就为网络安全留下了隐患，加强电力企业信息安全的培训，全方位提高职工网络信息安全意识，避免信息安全防护工作出现高低不均的情况。

1.3 内部的网络威胁仍然存在

在这个科技技术日益发展的时代，网络信息的安全工作越来越重要，由此电力企业根据目前的状况出台了相关的网络安全规章制度，以保证其信息安全，但内部的网络威胁仍然存在，而且对管理人员的有效管理依然缺乏。如：办公计算机仍存在内外网混用情况、内外网逻辑隔离强度不够、企业内网安全隔离相对薄弱等情况，如果其中的一些漏洞被非法分子所利用，那么，电力企业的信息安全会受到严重的威胁，并会对电力企业的生产以及经营带来很大的困难。

2 电力企业网络安全的风险

随着网络技术的发展，电力企业信息系统越来越复杂，信息资源越来越庞大，不管是操作系统还是应用软件，都存在系统漏洞等安全风险，保证电力企业信息安全最重要的是保证信息数据的安全，目前电力企业的网络信息系统的主要隐患主要存在于以下几个方面。

2.1 恶意入侵

计算机系统本身并不具有一定的防御性，其通信设备也较为脆弱，因此，计算机网络中的潜在威胁对计算机来说是十分危险的。尤其是现在的信息网络公开化、信息利用自由化，这也造成了一些秘密的信息资源被共享，而这些信息也容易被不法分子所利用。而有极少数人利用网络进行恶意入侵进行非法操作，危机网络系统的安全，恶意入侵其实是由四个步骤构成的：首先扫描IP地址，寻找存活主机；然后确定IP地址，扫描主机端口和漏洞；接着通过漏洞和开放端口放置后门程序；最后通过客户端程序实施远程控制。由于系统被入侵，电力企业信息泄露会造成不良后果，更严重的是系统被恶意控制，不但会给电力企业本身造成严重的后果，还会给社会和用户带来重大的损失。

2.2 网络病毒的传播

计算机病毒对计算机来说是最普遍的一种威胁，伴随着因特网的发展，各个企业开始创建或发展企业网络应用，这无形也增加了病毒感染的可能性，病毒的危害十分巨大，它是通过数据的传输来传播的，其能够对计算机的软硬件造成破坏，同时它还能够进行自我复制，因此，一旦感染了病毒，其危害性是十分巨大的。

2.3 恶意网页的破坏

网络共享性与开放性使得人人都可以在互联网上所取和存放信息，由于信息的传递和反馈快速灵敏，网络资源的社会性和共享性，电力企业职工都在不断地点击各种网页，并在网络中寻找他们所需要的资源，网页中的病毒是挂靠在网页上的一种木马病毒，它的实质是一些不法分子通过编程来编写的恶意代码并植入IE漏洞而形成了网页病毒。当用户浏览过含有病毒的网站时，病毒会在无形中被激活，并通过因特网进如用户的计算机系统，当病毒进入计算机后会迅速的自我复制并到处传播病毒，使得用户的计算机系统崩溃，严重的会将用户的系统彻底格式化。

2.4 信息传递的安全不容忽视

在电力企业的计算机网络系统中，信息传输基本上是明文方式或采用低安全级别的加密进行传输，当这些企业信息在网络上传输时，其安全性就不能得到足够的保障，不具备网络信息安全所要求的机密性、数据完整性和身份认证。

2.5 软件源代码不能独立控制的隐患

篇2

一、网络系统信息安全存在问题分析

（一）计算机及信息网络安全意识不强

由于计算机信息技术高速发展，计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大，对新出现的信息安全问题认识不足。

（二）缺乏统一的信息安全管理规范

设计院虽然对计算机安全一直非常重视，但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。

（三）缺乏适应电力行业特点的计算机信息安全体系

近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广，但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行，应建立一套结合电力行业计算机应用特点的计算机信息安全体系。

（四）缺乏预防各种外部安全攻击的措施

计算机网络化使过去孤立的个人电脑在联成局域网后，面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了，但现在要面对国际互联网上各种安全攻击，如网络病毒和电脑“黑客”等。

二、保证网络系统信息安全的对策

（一）建立信息安全体系结构框架

实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况，及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际，建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。

按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度，确定计算机应用系统的安全等级，制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系，利用现代网络及信息安全最新技术，研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。

（二）建立网络系统信息安全身份认证体系

CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证，对系统中关键业务进行安全审计，并开展与银行之间，上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。

（三）建立数据备份中心

数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障，使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点，选择合理的备份设备和备份系统.在企业建立数据备份中心，根据其应用的特点，制定相应的备份策略。

（四）建立网络级计算机病毒防范体系

计算机病毒是一种进行自我复制、广泛传染，对计算机程序及其数据进行严重破坏的病毒，具有隐蔽性与随机性，使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制，在计算中心建立计算机病毒管理中心，按其信息网络管辖范围，分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。

（五）建立网络系统信息安全监测中心

计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞，使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置，消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流，当发现网络违规模式和未授权网络访问时，自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。

篇3

    随着信息技术迅猛发展，计算机及其网络、移动通信和办公自动化设备日益普及，国内大中型企业为了提高企业竞争力，都广泛使用信息技术，特别是网络技术。企业信息设施在提高企业效益的同时，给企业增加了风险隐患，网络安全问题也一直层出不穷，给企业所造成的损失不可估量。

1企业面临的网络安全威胁

1.1来自企业内部的攻击

    大量事实表明，在所有的网络攻击事件当中，来自企业内部的攻击占有相当大的比例，这包括了怀有恶意的，或者对网络安全有着强烈兴趣的员工的攻击尝试，以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部，常常最难于检测和防范。

1.2来自企业外部的恶意攻击

    随着黑客技术在互连网上的扩散，对一个既定目标的攻击变得越来越容易。一方面，对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列，另一方面商业竞争也在导致更多的恶意攻击事件的产生。

1.3网络病毒和恶意代码的袭击

    与前几年病毒和恶意代码传播情况相比，如今的病毒和恶意代码的传播能力与感染能力得到了极大提升，其破坏能力也在快速增强，所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序，特别是网络病毒与邮件病毒，是任何一个企业都不得不面对的一个挑战。

2企业网络安全常用的防护措施

    目前，不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战，从而要求我们的网络安全解决方案集成不同的产品与技术，来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施，建立完整的企业信息与网络系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定适度的安全策略，采用合适的安全技术，进行制度化的安全管理，保障企业信息与网络系统稳定可靠地运行，确保企业与网络资源受控合法地使用。

2.1部署统一的网络防病毒系统

    在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒，保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端，实现对系统、磁盘、光盘、邮件及internet的病毒防护。

2.2部署安全可靠的防火墙

    企业为了在互联网上信息，共享资源，就不得不将自己的内部网络在一定程度上对外开放，这就在无形中增加了安全隐患，使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统‘就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部，外部、dmz、数据中心)网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部和外部网，保护内部网络不受攻击。

2.3部署入侵检测系统

    作为防火墙的补充，入侵检测系统(工ds)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术，它试图发现入侵者或识别出对计算机的非法访问行为，并对其进行隔离。攻击者可能来自外部网络连接，如互联网、拨号连接，或来自内部网络。攻击目标通常是服务器，也可能是路由器和防火墙。

    入侵检测系统能发现其他安全措施无法发现的攻击行为，并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。

2.4配置漏洞扫描工具

    漏洞扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的漏洞描述和修补方案，形成系统安全性分析报告，从而为网络管理员来完善网络系统提供依据。通常，我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。

2.5部署综合审计系统

    通俗地说，网络安全审计就是在企业的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄，而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件，以便集中报警、分析、处理的一种技术手段。

    网络审计分为行为审计和内容审计，行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计，内容审计是在行为审计的基础上，不仅要知道用户的操作行为，而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。

2.6部署终端安全管理系统

    由于企业内部终端数量多，人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计，通过严格的内部行为审计和检查，来减少内部安全威胁，同时也是对内部员工的一种威慑，有效强化内部信息安全的管理，将企业的信息安全管理规定通过技术的手段得到落实。

    2.7建立企业身份认证系统

    传统的口令认证方式虽然简单，但是由于其易受到窃听、重放等攻击的安全缺陷，使其已无法满足当前复杂网络环境下的安全认证需求，因此涌现了诸如:数字证书、动态口令、智能卡、生物识别等多种认证方式。目前，基于pki (public  key  infrastructure)技术体系的身份

认证系统能够为企业的敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真实性和不可否认。确保企业信息资源的访问得到正式的授权，验证资源访问者的合法身份，将风险进一步细化，尽可能地减轻风险可能造成的损失。

2.8安全服务与培训

    任何安全策略的制定与实施、安全设备的安装配置与管理，其中最关键的因素还是人。因此根据相关的法律、法规、政策，制定出符合企业自身特点的安全战略并加以实施，对企业的网络安全人员进行相关的专业知识及安全意识的培训，是整个网络安全解决方案中重要的一个环节。

2.9完善安全管理制度

篇4

国有特大型企业的天然属性决定了档案信息工作的安全性极为重要

长城钻控有限公司致力于打造一流的国际工程总承包商业，所涉及的档案不同于一般信息，它记录着企业的重要信息。档案中有相当部分涉及企业机密，具有较强的保密性和利用限制性。这些信息被非法利用，将威胁到企业经营工作，甚至国家的能源安全，损害企业的利益，危及社会稳定。档案信息特有的原始性和凭证作用的不可替代性，也决定了对其在数字环境中存储传输的可靠性要求高于其他信息，如何提高档案信息的安全性，成为档案管理信息化时代必须面对的问题。

档案信息开放中所涉及的安全性范筹

档案信息的安全性包括三大范围：机密性：使非合法授权者不得使用；真实性：可确定档案来源的合法性；完整性：确保档案没有被有意或无意地篡改。

根据所归纳的安全性的范围，所有这些有关通信和信息传输过程中的各种安全需求可以进一步地被归纳为：保密性需求；真实性需求；完整性需求。为了满足这三个安全需求，需要为电子档案的管理设计一个较为完整的安全系统。

电子文件档案的管理过程完全是通过计算机来完成的。因此，在计算机网络的各个节点上进行文件数据的自由归档和档案资源的共享，实现电子档案的信息公开，就必须建立计算机网络系统。然而，电子档案在网络环境中传播和存储的过程中，每个步骤都可能存在安全漏洞，极易受到黑客攻击，造成档案泄密、信息被窃、被改写或被删除等严重后果，从而在很大程度上限制了档案信息的公开推广。因此，在电子档案安全系统中，应该准备好预防方案和紧急应对的方式，以确保档案信息公开的安全性。

档案信息的安全性保障措施

人员主体防范。档案信息安全系统，不论设计再如何周密，如果没有严格的人员控管，不论利用再复杂的加密技术亦是徒具形式。所以，档案信息操作过程中最有可能发生的安全问题，就是人为泄密。因此，在档案信息公开前，必须防范任何可能蓄意或者非蓄意的人为疏失，通过培训教育组织内成员，积极宣导信息安全的重要性，降低发生的几率。同时，严格执行任何人使用档案信息前，必须先确认使用者身份才能进入档案库房。此外，因为任何档案工作部门的成员，或多或少都会接触到不同程度的档案实体，因此人员异动，包括职位调动、离职、停职及退休等均可能造成信息外流，为避免档案信息意外流出，就必须对人员异动与权限有效期的控管进行管理。任何人员以电脑接触档案信息时，首先要取得区域内电脑的使用权，落实使用者权限的管控。根据不同职位的职权，给予一般使用、超级使用者或管理者权限。以固定的使用者账号命名逻辑，人工就可以加以初步的辨识，如果有入侵意图，使用不具有管理工作权限的代码，就可以立刻排除。严格要求同仁选用不会让别人轻易猜到或看到使用的通行密码，强制密码长度及组合复杂度（如强制必须英文、数字混杂），减少被“有心人”猜中的几率；在离开电脑座位时，启动屏幕保护程式的密码等。

操作安全。对员工进行信息安全的教育，是确保信息安全政策有效性的重要措施。除了宣导信息安全的观念外，应着重于档案信息操作过程的安全概念，包括个人电脑的防毒措施，以及资料备份的观念；避免档案信息公开的过程中，无意间夹带电脑病毒送出，形成感染，而造成使用者档案信息资料毁损或被篡改。档案部门除了在档案服务器中安装杀毒工具之外，同时也应在邮件服务器上安装邮件杀毒软件，建立基本的防毒安全环境。现在的电脑病毒防不胜防，因此，还应养成重要资料备份的习惯，将重要档案信息备份于服务器中，并备份于光碟或磁盘中，以减少还原失败的可能性。另外，更重要的是建立异地备份的观念，使备份工作法制化。此处，制定信息安全防护计划及紧急情况应对计划，并定期对所拟定的信息安全相关条文调整及检讨，以保证信息安全计划的可行性，让安全意外的通报程序成为档案部门成员所了解的常识，使得电子档案的安全操作有具体的依据规范。

档案信息内容安全。档案部门能够提供的公开档案信息，主要以电子邮件及网页浏览等方式来操作。为了确保公开的档案信息使用安全，档案信息以电子邮件方式发出前，应用防毒软件、电子邮件扫描软件进行杀毒；以网页方式发出时，应用内容过滤系统以及阻隔浏览网页系统来确保发送资料的安全，并阻止可能发后的攻击事件。

目前的档案全文是以影像为主，影像扫描的过程，可能会遇到人为安全问题或者资料输入大致相同的问题。因此，对提取原卷的过程应加以重视，扫描前与扫描后务必保持原件的数量一致，并确保原件并未受到破坏、恶意删改及盗用。

篇5

1电力企业信息安全防护存在的一些问题

1.1没有严格的划分不同网络之间的等级

一方面，电力企业在纵向上需要对各个系统之间的联系进行实时的监控，基于各个自动化和低调系统之间的数据都是依靠载波进行单向转发，但是少数基层企业数据的网络化传输尚没有完整的实现，主站和厂站之间尚没有形成有效的光纤载波双通道。另一方面，按照相关的要求必须将实时与非实时监控系统有机的连接起来，但是基于当下互联网和通信的现状，连接的过程中存在众多的问题，使得连接很难真正的实现。

1.2网络安全防护能力的严重不足

随着我国社会经济的高速发展，信息技术和电网信息化建设获得了不断的发展，信息技术在整个电力系统中逐渐得到了广泛地应用，人们越来越重视网络安全，然而现有网络在安全防护方面的能力严重不足，管控手段的严重不足，管理水平相对比较低，并且缺乏一套相对比较完整的病毒防护系统，不少企业甚至还在使用单机版的防病毒软件或者是省公司统一所部属的杀毒软件。当系统受到攻击时，瘫痪的情况时常出现。同时，一套健全的数据备份恢复机制尚未建立起来，当数据受到破坏时，损失惨重。另外，相应的网管软件也没有建立起来，进而便不能有效的监控和管理某些行为过激的内部用户。

1.3电力企业的服务器本身存在着一定的安全隐患

服务器在整个电力企业中的数量众多。随着科学技术的不断进步，网络攻击技术和攻击手段的更新速度越来越快，相应的便加快了对于服务器的攻击，为此电力系统本身拥有的众多的服务器，自然而然的便成为网络攻击的重要对象，而服务器本身存在着一定的安全隐患，具体如下：尽管在电力企业的网络中每个服务器所拥有的认证系统都是独立的，但是管理权限却缺乏统一的管理策略，进而增加了管理人员的工作难度；Web和流媒体服务器会不断的受到各种病毒和互联网DDoS的攻击；由于不明确的权限划分，导致服务器极易受到外界黑客的攻击。

2强化电力企业信息安全防护的重要措施

2.1科学的评估网络安全风险

电力企业在对各种网络问题进行有效的解决过程中，需要从技术和管理两方面进行综合的考虑，尽管技术在一定程度上是一种安全的主体存在的，但管理才是保证安全的关键。网络安全与实施各种安全技术和部署安全产品有着非常紧密的联系，然而目前市面上所存在的、与安全有关的技术和产品众多，具体选择使用哪一种有一定的难度，此时便需要科学的评估网络安全风险。通过分析，有助于最大限度的促进问题的解决或者可以将风险降到最低，还可以比较付出和收益之间的关系，从中选出一种产品和技术可以让企业用最小的成本获得最大的安全需求，另外还需要权衡安全和效率之间的关系。

2.2防火墙的构建

防火墙作为一种重要的技术性措施在一定程度上可以通过网络中各种非法访问的有效阻止来将一道相对比较安全的屏障构建起来，实现对计算机网络安全的有效保护，并且还能够有效的控制各种信息的输入与输出，如图1所示。一方面，借助访问控制列表本身的调节作用有助于路由器实现对数据包的科学选择，在此基础上通过增加和删除列表来实现对网络的有效控制，过滤路由器流入和流出的数据包，以此部分防火墙良好效果能够得到有效的实现。另一方面，硬件防火请的科学配置，电力企业中本身所使用的硬件防火墙数量众多，然而能够将作用真正发挥出来的则少之又少，为此在硬件防火墙的使用前，需要科学的配置整个企业的网络和防火墙。除此以外，电力企业还可以通过强化对计算机病毒的预防和控制、在企业内部定期或者不定期的展开各种信息安全的宣传教育和培训活动，以此来为电力企业信息网络的安全提供重要的保障。

3结束语

信息化在一定程度上作为社会生产方式和生产力发展到一定阶段的重要产物，是我国进行文明建设的重要标志。通过信息化建设将有助于大幅度的提高我国电力企业的生产效能与管理方面的水平，作为一种重要的资源，信息资源自身的重要性逐渐开始被越来越多的人认识。

篇6

中图分类号：U223文献标识码： A

1、引言

网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，比如系统认证、建立IP地址登记、数据库登录权限和各类服务的授权、加密及备份，访问及操作的控制等。

信息网络自身的脆弱性主要包括：在信息输入、处理、传输、存储、输出过程中存在的信息容易被篡改、伪造、破坏、窃取、泄漏等不安全因素；信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素；在其他方面如磁盘高密度存储受到损坏造成大量信息的丢失，存储介质中的残留信息泄密，计算机设备工作时产生的辐射电磁波造成的信息泄密，等等这些不安全因素导致了众多威胁供电企业网络安全的行为。

1.1非法登录式的入侵

在电力企业信息数据库，能够找到很多我们需要的资料和数据，其中包括机密度很高的资料。所以，没有权限而又想得到这些资料的人，会采用网络攻击侵入的方式来达到系统登录。网络攻击式的入侵是一项系统性、程序非正常性的行为，主要内容包括：目标分析；文档、资料；破解密码；登陆系统、日志清除、数据篡改、消除痕迹等技术。供电企业网络安全形势存在恶意入侵的可能，系统破坏、信息泄密和数据篡改等方面需要进行技术性的防范。

1.2非正常的软件应用

随着网络技术的发展，计算机安全技术也得到了广泛、深入性的研究与应用，各种应用类型的安全软件随处可见。包括功能强大且完全免费的网络性的安全软件。在供电企业内部计算机使用的人员中，很多的人没有接受过系统的安全知识的学习；不经过信息管理人员的授权或同意，在局域网上应用此类非正式的软件，给系统的正常性、安全性带来了危害。

1.3网络病毒的传播伴随型病毒，

这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播。

诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是将一段混有无关指令的解码算法和被变化过的病毒体组合而成。

1.4恶意网页

网页病毒是利用网页来进行破坏的病毒，它使用一些SCRIPT语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。

1.5各种软件本身的漏洞涌现

软件本身的特点和软件开发者开发软件时的疏忽，或者是编程语言的局限性，比如c家族比java效率高但漏洞也多，电脑系统几乎就是用c编的，所以常常要打补丁。 软件漏洞有时是作者日后检查的时候发现的，然后出补丁修改；还有一些人专门找别人的漏洞以从中做些非法的事，当作者知道自己的漏洞被他人利用的时候就会想办法补救。

2供电企业网络安全基本防范措施

针对电力网络脆弱性，需要加强的网络安全配置和策略应该有以下几个方面。

2.1防火墙拦截

防火墙是最近几年发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制逾出两个方向通信的门槛。在网络边界上通过建立起相应的网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵人；针对电力企业的实际，我个人认为“防火墙十杀毒软件”的配置手段是比较合适的，但定期的升级工作是必须的，否则也只能是一种摆设。

即便企业有了各种各样防火墙和杀毒软件的保护，企业系统管理员也不能够高枕无忧。为了预防意外的破坏造成信息丢失和网络瘫痪，必须要事先做好网络信息和系统的备份。当然，定期检验备份的有效性也非常重要。同时也是对信息管理人员数据恢复技术操作的演练，做到遇到问题不慌乱，从容应付，提供有保障的网络访问服务。

合理的配置防火墙，是确保我们电力企业网络安全的首要选项。保证我们的网络之间的连接安全，不会在连接端口出现安全漏洞。

2.2用户管理机制

计算机在网络中的应用，存在两种身份:一种是作为本地计算机，用户可以对本地的计算机资源进行管理和使用；另一种是作为网络中的一份子。高级的操作系统，都支持多用户模式，可以给使用同一台计算机的不同人员分配不同的帐户，并在本地分配不同的权限。在网络的服务器中安装的网络操作系统，更是存在严格的用户管理模式。微软的WINDOWS系列操作系统，从WINNT开始，到WIN2000 SERVER的用户管理日趋完善，从单纯的域管理，发展到活动目录的集成管理。在应用服务器上我门可以详细规定用户的权限，有效地防止非法用户的登陆和恶意人侵。

2.3系统升级

随着硬件的升级和对软件功能要求的不断提高，软件漏洞的不断出现，我们必须要不断的对自己使用的软件升级。我们所使用的操作系统和应用软件，随着使用频率的提高和使用条件的多样化，需要采用系统软硬件升级的方式来提高信息网络的安全性。

篇7

中图分类号： TP393.08 文献标识码：A 文章编号：1009-914X（2015）45-0047-01

在我国社会经济快速发展的背景下，对电力企业的要求日益严格。随着电力企业的改革不断深入，信息网络安全成为企业发展的重要内容，传统的计划体制发展被现有的市场体制所代替[1]，在提升企业管理水平和生产效率的前提下，电力企业建立起信息网络系统，将电力企业发展的有效信息通过系统化的整合，使其发挥了更大的作用，服务于电力企业的生产、经营与管理，促进了电力企业的发展。

一、电力企业信息网络系统简述

在网络技术快速发展的背景下，计算机网络被广泛应用于各个领域，电力企业的发展也离不开网络技术的支持。在电力企业深化改革的过程中，计算机网络已经被应用于电力企业的管理中，电力企业的信息网络安全可能会影响到电力系统的安全稳定运行，对数字化电力系统的发展产生不良的影响。

信息网络系统是一个以网络为载体的管理系统，能为企业或个人提供完整、高效的综合管理服务[2]。电力企业在深化改革的进程中，建立完整的信息网络系统，使电力企业的生产、传输以及配供等关键的环节实现信息化。这样的信息网络化系统涵盖整个电力企业的管理范围，包括用电营业所，以及变电所。信息网络系统承载了企业的财务、物资、用电以及生产、人事、安全检查等分支系统的综合信息的查询。在电网自动化、厂站制动化以及管理信息系统都有非常好的应用，能有效控制安全生产、节能降耗，提高劳动生产率，帮助企业获得最大的经济效益，促进电力企业的发展。

二、电力企业信息网络安全发展的现状及存在的问题

（一）信息网络安全的现状

近年来，在电力企业的发展中，信息网络系统的逐步建立对企业的发展有一定的促进作用，提高了电力企业的生产运行和经营管理水平。然而电力企业的信息网络系统采用全网统一的调度，进行有限的分级管理。安全防护系统一般是指二次的控制系统和电力市场的监控系统，帮助其完成控制、调节和监测管理的信息系统[3]。实时的控制区、非控制区以及生产管理区、信息管理区是电力企业信息网络系统的四大主要区域。

电力企业的信息网络安全运行过程中，企业员工是安全隐患存在的集中人群，员工的不合理操作会影响到企业的信息网络安全，员工在工作时对网络信息的过度使用，会降低工作的效率，严重的将会造成计算机的病毒感染，进而导致整个信息网络系统的瘫痪，因此安全性将无从谈起。一般情况下，电力企业都会有完全属于自己的网站，并与外部的网络连接在一起，企业的内部人员会利用网络来搜索一些信息，但在互联网中的网页存在很大的不安全隐患，使其电力企业的信息网络系统容易受到恶意的破坏。

（二）信息网络安全存在的问题分析

1、恶意的入侵

在电力企业的信息网络系统中，存在高机密性的网络信息，这些信息关系着整个电力企业的发展，是其发展的灵魂。但恶意的入侵使相关的机密性信息被盗，获得这些信息的人用网络技术恶意入侵电力企业的电脑，达到一定的目的。这种带有恶意性质的入侵会对电力企业的管理及生产进行分析，获取一定的机密文件，解除密码，登入企业的信息网络系统，获取有效的材料，这样的行为使信息网络系统存在很大的安全隐患。带有恶意性质的入侵会使电力企业的网络信息安全保护工作变得薄弱，恶意的入侵使得企业的资料被获取，而不留任何痕迹，这样的安全隐患严重影响企业的发展。

2、未知性的软件病毒侵害

随着计算机技术在生活中的广泛应用，各种类型的软件也随之出现，而且这些软件一般情况下都可以免费使用，最致命的是有些软件带有一定的病毒，而使用者根本不知道软件中存在病毒，一旦员工在电力企业的信息网络系统中使用这些软件，就会有泄露企业机密的危险，对企业的发展产生极大的影响。

3、扩张性的病毒传播

计算机的病毒有很多种类，一般主要是通过程序来实现对网络信息的破坏。病毒一般都具有非常强的复制性和蔓延性，依附文件而进行扩散[4]。另外，病毒还具有一定的隐蔽性和传播性。在具体的电力企业的信息网络系统中，这样的病毒很容易对整个系统产生影响。

4、软件本身的漏洞

在电力企业的信息网络系统中，会使用一些软件来维持整个系统的正常运转。不同的软件在编写和开发时会存在一定的漏洞，具体的开发人员需要在软件不断的测试使用中来不断完善软件的性能，使其更加完善。软件漏洞不可避免对电力企业的信息网络系统有着极大的威胁，不是每一个使用者都能很好的发现这样的漏洞，因此，在电力企业的信息网络系统中这样的漏洞也不可避免。

三、电力企业信息网络安全的有效防范措施

针对电力企业信息网络安全中存在的问题，提出以下四点防范措施，力求为电力企业的发展提供有效的参考。

（一）建立完善的防火墙保护系统

电力企业信息网络的安全发展，要在完善的防火墙保护体系上进行。网络上常用的防火墙保护体系一般有三种，分组过滤式的防火墙、复合型的防火墙以及应用性的防火墙。每一个类型的防火墙的功能都有所不同，但都能禁止外部的非安全信息的侵入，同时可以对外部的信息进行有效的检测[5]。在电力企业的发展中，防火墙的建立是确保企业信息网络安全的重要举措，能有效保障企业的信息完全。

（二）采用用户机制

一般情况下的计算机都能实行多个用户的同时操作，通过不同的账号实现多个人的操作，可以在本地区内设置不同的权限，完成信息网络系统的筹建。电力企业可以通过用户的管理机制，减少非法用户登入，获取机密的信息，或者抑制恶意性质的侵入。

（三）设置有效的密码

在具体的电力企业的信息网络管理中，管理人员要设置可靠性较强的系统登入密码。这样的密码设置要基于整个系统的有效管理，根据系统的特点和管理的需要，或设置一个或多个密码，防治恶意的入侵和蓄意的密码破解，保障信息网络系统的安全性。

（四）对信息网络系统中的软件进行升级

企业的信息网络系统随着企业的发展而不断变化，因此，要及时对信息网络系统进行有效的升级，这样的升级一般都是对系统中的各种软件进行升级，在不断的更新换代中完善整个系统的性能，使其信息网络系统的安全性得到有效的保障。

结语

在电力企业深化改革的进程中，企业的信息网络系统也逐渐走向科学化的发展。在网络技术日新月异的背景下，了解电力企业信息网络系统的特点，分析其发展的现状及存在的问题，积极寻找其信息网络安全的防范措施，优化电力企业的信息网络系统，保障其安全稳定的运行，为电力企业的发展提供有力的支撑。

参考文献：

[1]宋扬.电力企业信息网络的安全分析与防范措施[J].管理观察，2010，（28）：82-83.

[2]韩荣杰.浅谈电力系统信息网络安全分析及措施[J].城市建设，2012，（24）.

篇8

当今时代是一个信息时代，计算机网络技术被应用到了方方面面，整个世界正在逐渐发展为一个整体，各个国家各种职业的人们生活、工作、学习的联系会越来越紧密。企业经营管理过程中，IT系统是不可或缺的，该系统能够为企业提供更加便捷的办公平台，同时进行更方便的内部通讯。

1 企业IT网络信息安全的重要性

企业实现信息化的过程中，保证IT系统的信息安全是必要的保障，企业管理人员和系统使用人员都要求IT系统的安全性能够进一步提升。考虑到企业IT系统与其他类型系统的不同性质，企业IT系统更需要保证的是能够保持稳定的持续运行。针对这一要求，企业信息系统管理人员应当加强安全管理，对企业网络管理进行必要的优化，引进先进的安全技术提升系统的安全性。

2 影响企业IT网络信息安全的主要因素

2.1 自然因素

自然界存在着的一些辐射、雷电问题可能会对露天传输线路造成影响，进而导致网络传输不稳，这是可能会导致IT网络信息安全受到不良影响的自然因素。

2.2 人为因素

2.2.1 管理人员不重视

企业IT网络需要企业的专门负责人员进行管理，但是管理人员对于该项工作不够重视，就有可能导致信息安全受到不良影响。例如：针对比较重要的信息资料，没有进行加密保护；计算机开机密码过于简单；机房工作人员行为不当，没有定期进行网络维护等等。

2.2.2 不法分子恶意破坏

非法访问。有些技术人员针对系统中的漏洞进行破解，获取企业内部资料导致信息泄露，进而获取利益。

病毒入侵。人为创造破坏性的病毒，对企业信息网络进行破坏，造成企业内部信息丢失、泄露，整个系统瘫痪。

黑客入侵。有些高技术水平的黑客会为了某种目的越过企业的防火墙对IT系统进行破坏攻击，造成系统瘫痪，影响企业的正常运转。

3 提升企业IT网络信息安全性的关键技术

针对企业IT系统普遍存在的安全隐患，应当采取合适的安全技术提升系统的安全性，保证系统的正常运行，提升企业的经济效益。下面笔者针对几种提升IT系统网络信息安全的技术展开分析：

3.1 入侵检测

结合长久以来的信息管理经验来看，单纯进行系统安全保护并不足够，因为系统本身不可避免的会存在一些漏洞，而不法分子往往就是利用这类漏洞进行非法入侵。同时，企业内部也有可能出现非法入侵操作。针对非法入侵问题，可以设计专业性质的监测系统对系统中的信息进行定期检测，其作用是保证系统能够及时发现入侵，在断开连接的同时对入侵人员进行追踪。其工作原理为对IT系统进行关键点设置，并进行取样分析，若是发现分析结果中存在疑似入侵的现象，就马上进行有效处理。

3.2 数据加密

数据加密技术的应用时间较长，自信息技术诞生以来，加密技术就同步出现了。企业信息系统想要利用数据加密技术提供安全保障，就要结合大量的加密解密算法经验以及经典数据进行。对于需要加密的数据来说，只有通过特定的解密算法或是设定好的密钥才能进行信息读取，若是没有该类信息就无法读取，即便被不法分子所窃取，也不会发生信息泄露。数据加密技术在企业IT系统中的应用不仅可以保护商业信息，同时还能提升系统的安全稳定性。

3.3 防火墙

为了保证企业IT网络系统的安全，应当针对企业系统特点设计高水平的防火墙。若是没有防火墙，单纯依靠系统本身自带的安全配置并不可靠，必须保证整个系统中的主系统和子系统都在安全保护的范围之内，但是企业网络中的子网若是相对较大，那么同步性就会比较难。所以，为了保证网络同步安全，应当设置防火墙。防火墙的作用并不是对系统中所有的终端都进行保护，而是保护信息交换点，同时保证整个系统中只有信息交换点能够与外界进行联系。也就是说，防火墙的基本作用是保证企业IT系统和外界信息之间存在一道屏障，能够通过屏障的安全管理策略对交换信息流进行保护。

3.4 网络访问保护

企业IT系统在设计的过程中，会对访问权限加以设置，对于不同的操作人员权限设计不同。信息系统遭到非法入侵时，其访问权限很容易受到影响，导致访问权限混乱，进而权限不足的用户也能访问越权信息，对企业IT系统的安全性造成威胁。针对这一问题，需要在进行IT网络信息系统设计的过程中进行网络访问保护设计，例如WINDOWS VISTA系统中的NAP模块，就是对访问权限进行有效管理的重要模块。该模块能够阻止由于非法入侵导致的权限混乱问题快速恢复，进而保证正常的健康用户能够顺利访问系统。

4 结语

企业IT网络信息系统若是想要保证能够安全稳定的运行，必须从技术层面上实现安全管理控制，为企业运营提供安全稳定的信息环境，进而提升企业的管理效率、工作效率以及经济效益。

参考文献：

[1]胡心远.企业IT系统的信息安全研究[J].计算机光盘软件与应用，2012（14）.

[2]高云伟.企业网络信息技术平台安全性与稳定性探析[J].信息系统工程，2014（03）.

篇9

一、企业信息安全不稳定的因素

计算机病毒在计算机领域非常的活跃，只要用过计算机的人都非常有可能碰到过病毒的危害。

1、网络病毒的活跃

其实计算机病毒本身是一种程序，通俗易懂的方法来描述计算机病毒，它就像生物里的病毒一样，和生物病毒有非常相似的特征，它的复制能力非常强，并且非常快速传播，同时也很难去根除。生物病毒是依附在各种微生物和细胞中生活，而计算机病毒一般都依附在文件中，最可怕是，当一台计算机向另一台计算机传送文件时，进行非法的拷贝。另外它有很强的自我复制能力，隐藏在程序内部，只要人们操作计算机，它就不断地自我复制。同时，计算机病毒还具有破坏性、隐蔽性，它常常被黑客利用用以攻击他人的计算机，达到非法的目的，给企业信息基础设施以及企业业务带来不可估量的损失。

2、恶意病毒网页的流动

每个比较正规并且有一定市场影响力的企业会拥有自己的网站，通过自己的网站向外界宣传自己的公司，用于达到宣传营销的目的。使用电脑的人希望不断的搜寻网页来寻找自己需要的信息，可是很多电脑使用者不知道自己使用的网页是否是安全无毒的。许多网页容易被人利用达到自己的目的，如果企业的网页被别人注入了木马病毒，那么当你打开网页的时候，木马病毒就已经进入你的电脑软件中，到最后你的私人信息就会被泄露出去，其他会利用你的信息达到盈利或者伤害你的目的。

3、员工网络信息安全意识淡薄和企业管理网络的松懈

在很多企业中，企业员工使用电脑从来只关心工作、学习、娱乐而已，从来不会关心电脑安全问题，因为企业员工会认为网络安全不需要重视，因为有网络管理员。有研究表明，在90%的企业电脑中有计算机病毒，因为员工在公司电脑上做一些与公司无关的事情，看电影和玩游戏是最容易中毒的，这些做法很容易导致企业的机密性文件和信息被泄露，从而使企业遭到巨大的损失。

4、黑客攻击和计算机犯罪

导致企业网络信息安全不稳定的最大因素就是黑客攻击和计算机犯罪。黑客攻击一般情况是以各种方式有目的性有选择性的盗取企业信息，这种是破坏了网络的正常工作，另一种不影响网络正常工作，它进行破译、窃取等手段获得重要的机密文件。这都对企业机密文件产生重大的影响。所以企业的网络安全形式非常严峻。还有计算机犯罪，计算机作为现代信息处理工具，在经济和社会生活中具有不可替代的重要作用。尤其是在企业网络中，计算机犯罪已经成为不可忽视的问题。

二、网络环境下的企业信息安全隐患的防范措施

以上谈论现在在企业中比较常见的几种网络安全隐患，但是其实在现实社会中，企业面对的安全问题非常多并且非常杂。如果企业希望有一个安全完美的未来，那么企业必须要重视对网络信息安全的重视，要增强全部成员包括自己的网络安全防范意识，并且要采取有效可行的防范措施。

1、加密设置

在当今世界，重要的信息几乎全部都加密。密码在网络里更是具有无可代替的作用。所以唉企业的网络信息安全管理中，认证密码技术和技术加密是企业网络最有效最可靠的技术。加密信息不仅可以有效的保护网络内的文件和信息，还可以保护网络传输的数据。对企业信息加密不但可以防御无授权的用户的入网及窃听，还可以抵抗恶意软件的损害。所以，加密设置对于企业网络信息安全管理是最直接也是最有效的措施。

2、防火墙设置

本人认为凡是没有安装防火墙的计算机，一定要及时安装防火墙，并且安装防火墙也需要不定时的进行升级，因为防火墙可以阻止网络黑客访问某个企业网络的大屏障，可以阻挡许多外部网络的入侵。防火墙是一种最近几年发展用于保护计算机网络安全的技术性的措施，企业应该根据自己实际情况，安装可靠性强、适应企业、功能巨大的防火墙，用于抵抗黑客的攻击和病毒的传播，从而达到保护网络系统的安全。企业安装了防火墙也不能高枕无忧。企业管理员需要对企业的网络信息和系统进行备份，防止意外事件的发生导致网络瘫痪及信息丢失，同时，需要定期检测备份的有效性。配置防火墙是保证企业网络信息安全的首选。因为防火墙确保我们网络连接的安全，更不会出现连接段口安全漏洞，所以每个企业每台计算机必须要安装防火墙来保护自己的网络。

3、强化员工网络安全意识和管理者的网络忧患意识

企业员工使用计算机应该根据自身的电脑实际情况，要不定期的进行安全检查，管理者也要根据企业计算机的自身硬件和网络实际情况，培训员工，提高员工的保密意识和责任意识，不要因为人为的因素导致企业承受巨大的损失。在必要的时候，可以利用密码设置，对需要的设备设置密码，从而达到外界人员和攻击者不能破坏的目标。应该从全企业倡导保护网络信息安全，使企业每个人都懂得网络信息安全的重要性。最后，企业也需要加强计算机和系统的安全管理，一些计算机终端等地方需要防止火灾或者是意外事故的发生。

4、从法律方面保障企业网络信息

企业网络信息安全单单从计算机的软件和硬件上保护还是远不够的。每一个管理者需要加强法律意识，企业的网络信息安全需要有相对应的法律和法规作为后盾。要懂的使用法律的武器去打击那些违反网络窃取信息的犯罪分子。现在，在我国黑客攻击是最普遍的网络犯罪，所以我们需要对那些恶意侵害企业网络信息安全的犯罪行为进行坚决的打击，制止其犯罪行为并让罚罪者付出代价。

总之，当网络与我们的生活越来越分不开的时候，我们更加需要注意网络信息安全的防范，企业管理者不应该仅仅只注意网络的便捷，更需要注重企业网络信息安全并强化信息安全意识的同时切实采取措施，确保企业电子网络信息安全。

参考文献：

篇10

中图分类号：F270.7 文献标志码：A 文章编号：1674-9324（2014）21-0018-02

做好企业信息安全管控工作，首先要结合所在企业的实际情况，了解来自内部和外部环境的主要威胁，抓住工作重点，发现解决难点问题。下面就信息安全管控的一些重点和难点问题，谈一点看法。

一、信息安全管控的重点

我们常说，“信息安全控制三分靠技术、七分靠管理”，尤其是对非IT行业来说，它首先是信息系统的使用者，其次才是运行和维护者。它的内部信息网络运行人员，可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用，维持信息网络安全稳定运行，最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口，都装有防火墙和入侵检测系统，理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作，难度很大。

二、信息安全管控的难点

随着企业各项业务的信息化，其信息资产的价值也在迅速提升，这势必会吸引一些有目的性的内部或外部威胁，从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标，系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中，这就需要我们关注更广的范围，监控更多的节点，进入更多的层面。

同时我们必须认识到，在某些方面，信息安全性的提高是以降低应用的便利性为代价的。例如：一些员工为了避免一系列限制，不使用企业统一的外网出口，而是自己利用3G上网，虽然有很强的自由性，也能提高访问速度，但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口，一旦外部有影响恶劣的新型病毒爆发，病毒就可以在信息管理人员做好准备之前入侵内部网络，造成较大的安全事故。安全性和便利性的这种冲突，需要我们针对网络和信息系统重要程度，划分级别，寻找一个两者之间的平衡，在达到安全标准的前提下，提高应用的便利性。

三、安全管控的实施原则

基于以上理解，在企业内部信息网络中进行安全管控措施规划、实施时，可以遵循以下原则。

1.整体性原则。从应用系统的视角，分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果，只有从系统综合整体的角度去看待、分析，才能选取有效可行的措施，着重加以落实。

2.平衡性原则。对于一个计算机网络，绝对的安全很难达到，也不一定非要达到不可。应结合企业实际，对其内部网络的性能结构进行研究，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后选取急需落实执行的规范和措施，确定当前一个时间段的重点安全策略。

3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设的开始就有前瞻性的考虑到网络安全问题，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。

4.容易性原则。安全制度需要人去遵守，安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

5.动态性原则。企业信息系统的应用范围将越来越广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展，不断完善现有网络安全体系结构，适时增加或减少应该重点落实的安全措施。

6.多重性原则。任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，采取多项安全措施进行多层防护，各层防护相互补充，当一层保护出现漏洞时，其他层仍可保护信息网络的安全。

四、安全管控的重点措施

信息安全的保障，还要靠制度细则的执行，具体措施的落实。近几年来，在电力行业内部，各级单位制定了一系列的安全管理措施，来保障内部信息网络的安全可靠。

1.“不上网、上网不”，切实避免将的计算机、存储设备与信息网络连接，避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。

2.计算机接入信息内网必须严格执行审批登记制度，使用规范的计算机名称，实现IP和MAC绑定。必须纳入企业统一的域安全管理，接受统一的监管。

3.执行统一的互联网出口策略，禁止单位和个人私自设置互联网出口。

4.接入企业信息内网的计算机设备，应严禁配置、使用无线上网卡等无线设备，严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。

5.在计算机的运行使用中，所涉及到的用户帐户应执行口令强度的要求与定期更换的规定，采取有效措施监控、发现、并及时修改弱口令，防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密，擅自利用他人业务系统权限获取企业电子商密信息。

6.应使用企业集中统一的内外网邮件系统，接受统一的内容审计管理。对于在外部网络和互联网上传输的内容，也要采用加密压缩方式进行传输。

篇11

本文针对现阶段企业信息安全出现的问题，结合项目管理领域的一般过程模型，从时间、任务、逻辑方面界定了系统的霍尔三维结构，构建了标准化的ISM结构模型及动态运行框架，为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护，并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。

1 企业信息安全立体防护体系概述

1.1 企业信息安全立体防护体系概念

信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性，提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。

1.2 企业信息安全立体防护体系环境分析

系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变，同时，多样性的防护需求要求有相适应的环境与之配套。

企业信息安全立体防护体系的运行环境主要包括三个方面，即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。

1.3 企业信息安全立体防护体系霍尔三维结构

为平衡信息安全防护过程中的时间性、复杂性和主观性，本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构，如图1所示。

时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程，由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成，并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序，包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容，如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开，形成分层次的树状体系。

2 企业信息安全立体防护体系解释结构模型

2.1 ISM模型简介

ISM（Interpretation Structural Model）技术，是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素，并利用矩阵等工具进行逻辑运算，明确其间的相互关系和层次结构，使复杂系统转化成多级递阶形式。

2.2 企业信息安全立体防护体系要素分析

本文根据企业信息安全的基本内容，将立体防护体系划分为如下15个构成要素：

（1） 网络安全：网络平台实现和访问模式的安全；

（2） 系统安全：操作系统自身的安全；

（3） 数据安全：数据在存储和应用过程中不被非授权用户有意破坏或无意破坏；

（4） 应用安全：应用接入、应用系统、应用程序的控制安全；

（5） 物理安全：物理设备不受物理损坏或损坏时能及时修复或替换；

（6） 用户安全：用户被正确授权，不存在越权访问或多业务系统的授权矛盾；

（7） 终端安全：防病毒、补丁升级、桌面终端管理系统、终端边界等的安全；

（8） 信息安全风险管理：涉及安全风险的评估、安全代价的评估等；

（9） 信息安全策略管理：包括安全措施的制定、实施、评估、改进；

（10） 信息安全日常管理：巡视、巡检、监控、日志管理等；

（11） 标准规范体系：安全技术、安全产品、安全措施、安全操作等规范化条例；

（12） 管理制度体系：包括配套规章制度，如培训制度、上岗制度；

（13） 评价考核体系：指评价指标、安全测评；

（14） 组织保障：包括安全管理员、安全组织机构的配备；

（15） 资金保障：指建设、运维费用的投入。

2.3 ISM模型计算

根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析，可得要素关系如表1所示。

对可达矩阵进行区域划分和级位划分，确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R（Si），前因集A（Si）以及可达集R（Si）与前因集A（Si）的交集R（Si）∩A（Si），得到第一级的可达集与前因集（见表2）。

2.4 企业信息安全立体防护结构

结合信息安全防护的特点，企业信息安全立体防护体系15个要素相互联系、相互作用，有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素，双向箭头表示同级影响。

从图2可以看出，企业信息安全防护体系内容为四级递阶结构。从下往上，第一层因素从制度层面阐述了企业信息安全防护，该层的五个因素处于ISM结构的最基层且相互独立，构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下，确定了企业为确保信息安全进行管理活动，是进行立体防护的方法和手段；第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点，其中物理安全是控制基础。第四层要素是企业信息安全的直接需求，作为信息的直接表现形式，数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。

图2 企业信息安全防护解释结构模型

2.5 企业信息安全立体防护过程

企业信息安全立体防护是一个多层次的动态过程，它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展，构建了整体运行框架（见图3）。

从图3 中可以看出，企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行，充分体现出时间维度上的动态性。具体步骤如下：

（1） 综合分析现行的行业标准规范体系，企业内部管理流程、人员组织结构和企业资金实力，建立企业信息安全防护目标，并根据需要将安全防护内容进行等级划分。

（2） 对防护内容进行日常监测（包括统计分析其他公司近期发生的安全事故），形成预警，进而对公司信息系统进行入侵监测，判断其是否潜在威胁。

（3） 若存在威胁，则进一步确定威胁来源，并对危险性进行评估，判断其是否能通过现有措施解决。

（4） 平衡控制成本和实效性，采取防范措施，并分析其效用，最终形成内部信息防护手册。

3 分析及对策

3.1 企业层面

（1） 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域，在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全，就必须遵循一切从整体目标出发的原则，加强信息安全防护的整体布局，在对原有产品升级和重新部署时，应统一规划，统筹安排，追求整体效能和投入产出效应。

（2） 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护，三个层面互相依存、互相作用，其中制度和保障是基础，策略是支撑，技术是手段。要有效维护企业信息安全，企业就必须正确处理好体系间的纵向关系，在寻求技术支撑的同时，更要立足于管理，加强工作间的协调，避免重复投入、重复建设。

（3） 降低系统交互性。在企业信息安全防护体系同级之间，相关要素呈现出了强连接关系，这种交互式的影响，使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设，界定好每个工作环节的边界，准确定位风险源，并确保信息安全策略得到恰当的理解和有效执行，防止在循环状态下风险的交叉影响使防范难度加大。

（4） 关注系统动态性。信息安全防护是一个动态循环的过程，它随着信息技术发展而不断发展。因此，企业在进行信息安全防护时，应在时间维度上对信息安全有一个质的认识，准确定位企业信息安全防护所处的工作阶段，限定处理信息安全风险的时间界限，重视不同时间段上的延续性，并运用恰当的工具方法来对风险加以识别，辨别风险可能所带来的危险及其危害程度，做出防范措施，实现企业信息安全的全过程动态管理。

3.2 政府层面

企业信息安全防护不是一个孤立的系统，它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高，有力的政策是推动企业信息安全防护发展的前提和条件，高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外，还必须借助于政府建立一个积极的环境。

（1） 加强信息安全防护方面的文化建设。一方面，政府应大力宣传信息安全的重要性及相关政策，提高全民信息安全素质，从道德层面上防止信息安全事故的发生；另一方面，政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育，从思想上、理论上提高和强化社会信息安全防护意识和自律意识。

（2） 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准，建立多元监管模式和长效监管机制，保证各项法律、法规和标准得到公平、公正、有效的实施，为企业信息安全创造有力的支持。

（3） 加大信息安全产业投入。政府应高度重视技术人才的培养，加快信息安全产品核心技术的自主研发和生产，支持信息安全服务行业的发展。

4 结 语

本文从企业信息安全防护的实际需求出发，构建企业信息安全防护基本模型，为企业信息安全防护工作的落实提供有效指导，节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。

参考文献

[1] 中国信息安全产品测评认证中心.信息安全理论与技术[M].北京：人民邮电出版社，2003.

[2] 汪应洛.系统工程[M].3版.北京：高等教育出版社，2003.

[3] 齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件，2009，26（10）：282?285.

篇12

二、缺乏相关技术人才

大部分中小企业由于对信息安全管理重视程度不够，投入力度较轻，导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够，企业内部缺少专门的技术人才对安全管理盲区予以修复，进而导致信息泄露。

三、中小企业信息化安全管理完善措施

（一）强化信息安全意识。企业信息安全是企业健康平稳发展的基础，由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识，相比于技术安全更值得重视[2]。所以，企业内部必须强化员工信息安全意识，营造内部良好的安全意识氛围，提升员工信息安全防护能力。

（二）完善安全管理制度。有效地安全措施离不开科学的安全管理制度，企业需要强化制度建设力度，做到安全管理有章可循，对于企业内部用户相关信息权限予以限制，明确，减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中，制度应随着企业发展而创新升级，以满足企业发展的需要。

（三）重点培养信息安全管理人才。任何一个企业发展的根本动力都是人才的支持，优秀的人才能够促进企业内部稳定，工作效率提升，企业发展收益增强[3]。在企业发展过程中，安全管理盲区需要相应的技术人员进行定期检查，维护，针对存在的安全隐患及时有效地解决，规避风险的发生。