序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們?yōu)槟鷾蕚淞瞬煌L格的5篇企業(yè)信息安全要求，期待它們能激發(fā)您的靈感。

篇1

 

1、前言

 

電力行業(yè)是國民經(jīng)濟的基礎產(chǎn)業(yè)，是保障人民生活生產(chǎn)秩序正常運行的基礎行業(yè)。電力行業(yè)的信息化從60-70年代開始的電廠自動化監(jiān)控開始，到現(xiàn)在已經(jīng)有近40年的歷史。隨著電力行業(yè)的不斷發(fā)展，電力的關鍵業(yè)務不斷增長，因此信息化應用在電力系統(tǒng)中也不斷增強。電力生產(chǎn)與調度基本實現(xiàn)全面的自動化控制，很多電力企業(yè)實現(xiàn)了生產(chǎn)過程無人值守或者少人值守，電力生產(chǎn)自動化監(jiān)控系統(tǒng)的廣泛應用大大提高了生產(chǎn)過程自動化水平。電廠、變電站減人增效，大量采用遠方控制，對電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。而另一方面，Internet技術已得到廣泛使用，E-mail、 Web和PC的應用也日益普及，但同時病毒和黑客也日益猖獗。目前有一些調度中心、發(fā)電廠、變電站在規(guī)劃、設計、建設及運行控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡時，對網(wǎng)絡安全問題重視不夠，在沒有進行有效安全防護的情況下與當?shù)氐腗IS系統(tǒng)互連，甚至存在與因特網(wǎng)直接互連的現(xiàn)象，形成了嚴重的安全隱患。

 

2、保障電力企業(yè)信息安全的目的

 

信息系統(tǒng)在電力生產(chǎn)、建設、經(jīng)營、管理、科研、設計等各個領域有著十分廣泛的應用，尤其在電網(wǎng)調度自動化、廠站自動控制、管理信息系統(tǒng)、電力市場技術支持系統(tǒng)、電力營銷系統(tǒng)、電力負荷管理、計算機輔助設計、科學計算以及教育培訓等方面取得了較好的應用效果，在安全生產(chǎn)、節(jié)能降耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和經(jīng)濟效益，因此保障電力企業(yè)信息安全顯得尤為重要。

 

3、電力企業(yè)信息系統(tǒng)中的安全現(xiàn)狀

 

(1)“信息孤島”解除，導致信息失控風險

 

我國的電力企業(yè)在長期計劃經(jīng)濟模式下，生產(chǎn)與管理部門、生產(chǎn)部門之間、管理部門之間條塊分割，各部門單位建立的信息系統(tǒng)相對獨立，致使信息閉塞，形成了電力企業(yè)有的“信息孤島”。造成了企業(yè)內部系統(tǒng)不能集成、資源不能共享的局面，嚴重制約企業(yè)信息化建設和應用。這種效率低下的企業(yè)管理體制已不能適應電力行業(yè)迅猛發(fā)展的需要。電力企業(yè)需要從企業(yè)發(fā)展戰(zhàn)略出發(fā)，實行業(yè)務調整、流程梳理與優(yōu)化，消除“信息孤島”現(xiàn)象，為企業(yè)發(fā)展整合內部信息資源，實現(xiàn)相關信息的共享。然而“信息孤島”的簡單解除，使共享交互的信息失去了有序控制，如何實現(xiàn)對信息的科學控制，如何才能防止對信息系統(tǒng)中數(shù)據(jù)信息的破壞，就成了新的信息控制風險。

 

(2)簡單安全產(chǎn)品堆砌風險

 

企業(yè)信息化需要專門的技術人才和管理機構才可能做到專業(yè)化，同樣保障信息化的穩(wěn)定有效運行，也需要相應技術人才和機構去實施、去完成保障運維層面的管理。非專業(yè)的技術或管理者，受所掌握知識面的影響或者一些產(chǎn)品廠商的誤導，在保障信息安全工作時，簡單采購幾款安全產(chǎn)品就以為完成了對電力企業(yè)信息系統(tǒng)的安全保障。正是這種單純的對幾款安全產(chǎn)品的依賴，會麻痹管理者和操作使用者的神經(jīng)，根據(jù)“木桶原理”，當這幾款安全產(chǎn)品中的一款產(chǎn)品失效時，卻不能及時發(fā)現(xiàn)并得到糾正，勢必會造成對信息系統(tǒng)的正常穩(wěn)定運行帶來巨大影響。

 

(3)安全意識與技能不足的風險

 

企業(yè)管理者與運維人員，只是對業(yè)務比較熟悉，在遇到信息安全問題時卻表現(xiàn)得束手無策，甚至在日常運維操作過程中，根本就不清楚或者無意識在安全模式下進行操作。這主要反映了主持信息化工作的人員和機構對信息安全保障的意識比較淡薄，在遇到信息安全問題時，所掌握的安全技能又達不到解決問題的水平，電力企業(yè)從生產(chǎn)的過程控制到電力的調度，各過程環(huán)節(jié)上一旦出現(xiàn)了非可控因素，帶來的損失將是致命性的。

 

4、信息安全保障對電力企業(yè)的重要技術要求

 

(1)通過安全評估發(fā)現(xiàn)和預見信息系統(tǒng)中存在的安全風險

 

安全評估是發(fā)現(xiàn)電力企業(yè)現(xiàn)有信息系統(tǒng)中存在的安全隱患，找出面臨的安全威脅，識別現(xiàn)存安全風險的必要技術手段和過程，是制定電力企業(yè)信息安全防護策略的前提，還是信息安全體系建設中，有針對性采取技術措施的基礎。安全評估需要聘請經(jīng)過國家有關機構認證，具有安全評估服務資質的國內單位來完成對企業(yè)的安全評估工作，安全評估工作主要內容包括：信息資產(chǎn)識別、風險評估、滲透測試、漏洞掃描、安全體系的評估、安全設備的部署及性能評估等。安全評估為安全體系架構的搭建提供了科學依據(jù)。

 

(2)搭建縱深防御安全保障體系

 

整個安全體系可以規(guī)劃為三個部分，分別是組織體系、管理體系和技術體系，全面涵蓋了一個組織信息系統(tǒng)規(guī)劃和建設的安全要求。在已經(jīng)有一定安全基礎的情況下，也可以單獨考慮為信息系統(tǒng)某個部分進行強化設計。在體系框架中，安全組織體系主要包括機構建設和人員管理兩方面內容，對電力企業(yè)內部的安全組織建設和安全崗位、安全培訓等方面進行了要求。安全管理體系主要包括制度管理、資產(chǎn)管理、物理管理、技術管理和風險管理等方面內容。上述兩體系部分嚴格依據(jù)了國際信息安全管理標準ISO 17799的要求，涵蓋了該標準中的每一類規(guī)范。安全技術體系方面主要包括安全評估、安全防護、入侵檢測、應急恢復四部分內容，這部分是對社會公認的 PDR安全模型的又一最新應用，從技術角度對信息系統(tǒng)的這四種技術能力提出了要求。而該體系的安全防護模塊，在國際標準ISO7498-2安全體系結構理論的指導下，又分別從鑒別認證、訪問控制、數(shù)據(jù)加密、完整性保護、抗抵賴等五個角度提出了具體的技術性要求。

 

(3)信息安全保障中不可缺少的技術層措施

 

本地訪問控制技術

 

防火墻是一種網(wǎng)關級的安全過濾檢測技術，部署在內外網(wǎng)之間、不同重要網(wǎng)段之間，實現(xiàn)對訪問行為的嚴格控制。電力企業(yè)的生產(chǎn)、計量、營銷、調度管理等系統(tǒng)之間，信息的共享、整合與調用，都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，攔截攻擊破壞嘗試，分權限合理享用信息資源。

 

遠程訪問控制技術

 

電力企業(yè)員工在外出差，因為業(yè)務需要獲授權遠程登錄企業(yè)內部信息系統(tǒng)，這屬于正常的遠程訪問，然而攻擊者在企業(yè)外部非授權展開的攻擊，屬于非正常遠程訪問。對遠程訪問行為，通過雙因素動態(tài)身份認證實現(xiàn)VPN虛擬專用網(wǎng)絡連接系統(tǒng)，完成在Internet上搭建虛擬專網(wǎng)訪問企業(yè)內部資源的目的，同時可以嚴格識別和區(qū)分授權用戶的權限，完全可以控制企業(yè)內部信息讀取的安全性。

 

防病毒及入侵檢測技術

 

病毒是一種進行自我復制、廣泛傳染，對計算機及其數(shù)據(jù)進行嚴重破壞的計算機程序。電力企業(yè)信息系統(tǒng)已經(jīng)覆蓋了企業(yè)各個生產(chǎn)、經(jīng)營和管理崗位，上網(wǎng)用戶在進行多種數(shù)據(jù)交換時，隨時可能受到病毒的攻擊，隨著電力工業(yè)走向市場，與外界網(wǎng)上交流越來越多，通過電子郵件聯(lián)系業(yè)務、交換數(shù)據(jù)等都有可能感染病毒，并在企業(yè)內部網(wǎng)絡上不斷擴散。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面防病毒策略，建立計算機病毒管理中心，按其信息網(wǎng)絡管轄范圍，分級防范計算機病毒，在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

 

身份認證技術

 

電力交易系統(tǒng)就其實質來說，是一個典型的電子商務系統(tǒng)，它必須保證交易數(shù)據(jù)的安全性。在電力市場技術支持系統(tǒng)中，作為市場成員交易各方的身份確認、物流控制、財務結算、實時數(shù)據(jù)交換系統(tǒng)中，均需要權威且安全的身份認證系統(tǒng)。在電力企業(yè)中，電子商務也逐步擴展到電力營銷系統(tǒng)、電力物質采購系統(tǒng)、電力燃料供應系統(tǒng)等多方面的應用。因此，建立對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證，對系統(tǒng)中間鍵業(yè)務進行安全審計，并開展與銀行之間，上下級身份認證機構之間進行認證，同時與其他需要身份認證機構之間實現(xiàn)交叉認證的技術研究和技術實現(xiàn)也是非常重要的。

 

安全隔離技術

 

安全隔離設備也是一種訪問控制技術，但是工作原理有別于防火墻，部署在重要網(wǎng)絡之間，在設備內部加載系統(tǒng)內部協(xié)議，排除掉TCP/IP協(xié)議干擾，分析檢測數(shù)據(jù)信息的安全性，然后再加載TCP/IP協(xié)議通過隔離設備，并可以實現(xiàn)正向和反向的訪問通訊。使用安全隔離設備，實現(xiàn)重要網(wǎng)段之間、內外網(wǎng)之間正向和反向的訪問隔離控制，完成信息的單向讀取或單向寫入，達到不同重要信息擴散范圍合理控制的目的。

篇2

1 企業(yè)信息安全管理的失誤因素分析

1.1 信息安全組織臨時化

通常，企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時，才會臨時從信息技術部和業(yè)務部門抽調人手處理和解決信息安全事件。出現(xiàn)新的信息安全要求時，才會臨時組建項目小組，根據(jù)新的信息安全要求制定解決方案并實施計劃，項目完成后，臨時小組就會解散，沒有人會繼續(xù)跟進和執(zhí)行解決方案。由于沒有定期的信息安全評估，安全計劃不斷地重復開始和結束，帶來大量的人財物重復投入，這將導致安全計劃成本不斷增加，企業(yè)的工作效率不斷降低，信息安全防護也未得到有效提升。

1.2 員工上網(wǎng)無限制

雖然企業(yè)為員工上網(wǎng)提供了用戶名及密碼，并且對其登錄的網(wǎng)站進行了監(jiān)測，但是員工在工作時間還是可以無設防地利用外網(wǎng)進行網(wǎng)頁游覽、網(wǎng)絡社交等行為，并且使用一些網(wǎng)站的免費郵箱隨意地接收和發(fā)送電子郵件，這些給黑客、病毒、釣魚軟件等創(chuàng)造了對企業(yè)內部網(wǎng)絡攻擊的機會。于是，員工在不了解原因的情況下，使得企業(yè)的信息被泄露或者內部網(wǎng)絡癱瘓，從而影響企業(yè)的正常工作，造成企業(yè)資產(chǎn)的損失。

1.3 個人移動設備（BYOD）使用泛濫

在企業(yè)的辦公場合，員工會攜帶個人移動設備（BYOD）如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公。企業(yè)員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝，并且可以使用移動設備接入企業(yè)內網(wǎng)的無線Wi-Fi，并擁有一定程度的內網(wǎng)數(shù)據(jù)讀取權限，這樣做雖然節(jié)約了企業(yè)的辦公成本，提高了辦公的效率，但是也增加了企業(yè)內網(wǎng)病毒感染及遭受黑客惡意入侵的風險。

1.4 信息安全防護水平有限

出于性能、技術等因素的考慮，加之國內自主研發(fā)的信息安全產(chǎn)品較少，目前進口的信息安全產(chǎn)品受到許多企業(yè)的廣泛采用。盡管這些企業(yè)的信息安全需求以此得到了滿足，但近幾年來，進口產(chǎn)品設備故障的頻繁發(fā)生也對企業(yè)的業(yè)務帶來了不同程度的影響。同時，進口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關鍵節(jié)點，這使得企業(yè)的商業(yè)機密時刻處于高危狀態(tài)。不僅如此，部分企業(yè)仍舊停留在使用免費的個人版殺毒軟件階段，而這些軟件不僅無法解決病毒交叉感染的問題，也沒有統(tǒng)一的管理平臺對企業(yè)內網(wǎng)的安全系統(tǒng)進行統(tǒng)一的升級與維護。

1.5 信息安全事件處理不及時

企業(yè)在發(fā)生信息安全事件時，即使有相關的信息安全管理產(chǎn)品，但無法迅速定位安全事件，更無法快速進行安全事件響應處理，常處于混亂、無序的運維管理狀態(tài)。由于企業(yè)的安全管理人員無法全面了解整個企業(yè)網(wǎng)絡中正在發(fā)生的內部越權訪問和外部攻擊，出現(xiàn)問題時，他們多表現(xiàn)得無從下手或者手忙腳亂。而且，企業(yè)各部門各自為政，對發(fā)生信息安全事件無法進行統(tǒng)一規(guī)范的快速處理。

2 改進企業(yè)信息安全管理的對策

2.1 建立健全的信息安全組織層級結構

企業(yè)信息安全組織架構的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標，對企業(yè)的信息資源、人力資源、安全技術產(chǎn)品等進行合理安排和配置，構成相互協(xié)作的有機整體，使企業(yè)的信息安全活動協(xié)調有效地運行。企業(yè)通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執(zhí)行部層級結構，不僅能在企業(yè)中形成一張網(wǎng)，覆蓋企業(yè)的各個部門，有利于信息安全措施的實施和針對信息安全事件的快速響應，而且還能為后續(xù)建立信息安全管理體系提供組織上的保證。信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協(xié)調各部門實施信息安全控制措施以及信息安全活動的實施等。

2.2 加強人員教育培訓和規(guī)范管理

信息安全最大的威脅不是來自于企業(yè)外部的攻擊或是企業(yè)信息安全技術的缺陷，而是企業(yè)人員缺乏信息安全意識。為了能夠有效地提高企業(yè)員工的信息安全意識，企業(yè)需要對員工進行完善的信息安全教育培訓，這不僅能提高員工的信息安全保護技能，還能更好地保護企業(yè)的信息安全。企業(yè)在制定信息安全教育培訓內容時，可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質的不同有針對性地制定。對于企業(yè)管理者而言，教育培訓以信息安全核心知識、風險管理、信息安全政策等為主；企業(yè)的信息技術人員，則是以信息安全技術教育培訓為主；一般員工結合所在部門的業(yè)務特點以信息安全意識培訓為主。除了對企業(yè)的人員進行教育培訓，還需對其進行規(guī)范化管理。對掌握產(chǎn)品生產(chǎn)、原材料采購等核心信息的管理者實施更加嚴格的信息安全監(jiān)督管理制度；對負責計算機系統(tǒng)及日常維護的人員界定其工作權限；規(guī)范化管理員工的上網(wǎng)行為，合理利用網(wǎng)絡資源，避免人為的網(wǎng)絡安全隱患。

2.3 完善信息安全技術體系

一是保障并完善數(shù)據(jù)安全，企業(yè)需通過加密的手段保護企業(yè)系統(tǒng)中數(shù)據(jù)的機密性和完整性，從而提高數(shù)據(jù)訪問的抗抵賴性，同時加強數(shù)據(jù)的異地災難恢復機制，實現(xiàn)本地數(shù)據(jù)的實時遠程復制與備份，避免本地系統(tǒng)遭受災難性破壞導致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失。

二是保障并完善終端安全，企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術外，還需制定嚴格的移動終端設備使用制度，一方面是為了避免內部員工利用移動終端設備隨意拷貝企業(yè)內部文件，導致企業(yè)內部信息向外泄露，另一方面是為了防止移動終端設備攜帶的病毒漏過企業(yè)系統(tǒng)設置的防火墻而直接在系統(tǒng)內部傳播。

三是保障和完善應用安全，除了提供用戶名和口令外其他身份驗證機制，必要時還需支持雙因素認證和具備登錄控制模塊，同時在日常工作不受影響的情況下，控制員工訪問權限，減少越權操作的現(xiàn)象，最大限度地保障個人系統(tǒng)的安全。

四是保障和完善網(wǎng)絡安全，企業(yè)還需通過內外部署相應的網(wǎng)絡與信息安全設施使計算機設備的物理管理得到加強，并對入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)進行內外部攻擊和誤操作的實時保護的安全設計，使系統(tǒng)免于網(wǎng)絡攻擊的同時，也提升了系統(tǒng)管理人員的安全管理水平。

篇3

【關鍵詞】信息安全 管理 控制 構建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理、內網(wǎng)安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構建原則

企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構建企業(yè)信息安全體系時應該遵循以下幾個原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網(wǎng)絡隔離、網(wǎng)絡安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權限，達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設架構，在滿足終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關注以下幾個方面：

3.1 實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應該當用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2 建設安全完善的VPN接入平臺

企業(yè)在信息化建設中，考慮總部和分支機構的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡安全邊際時，要面對多個部門和分支結構，合理的規(guī)劃安全網(wǎng)絡邊際將是關鍵。企業(yè)的網(wǎng)絡體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應防護設備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志，如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時，就必須要考慮安全設備日志之間的統(tǒng)一化，設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結束語

信息安全的主要內容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃，實施過程中根據(jù)不斷出現(xiàn)的情況及時調整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡安全意識[J].中國教育網(wǎng)絡，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國市政工程華北設計研究總院有限公司工程師。研究方向為網(wǎng)絡安全與服務器規(guī)劃部署。

篇4

信息安全防護要考慮不同層次的問題。例如網(wǎng)絡平臺就需要擁有網(wǎng)絡節(jié)點之間的相互認證以及訪問控制；應用平臺則需要有針對各個用戶的認證以及訪問控制，這就需要保證每一個數(shù)據(jù)的傳輸?shù)耐暾院捅Ｃ苄裕斎灰残枰ＷC應用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有：

1.1信息安全等級保護

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定，及時在當?shù)毓矙C關進行備案，然后根據(jù)對應等級要求，組織好評測，然后開展針對性的防護，從而提供全面的保障。

1.2網(wǎng)絡分區(qū)和隔離

運用網(wǎng)絡設備和網(wǎng)絡安全設備將企業(yè)網(wǎng)絡劃分為若干個區(qū)域，通過在不同區(qū)域實施特定的安全策略實現(xiàn)對區(qū)域的防護，保證網(wǎng)絡及基礎設置穩(wěn)定正常，保障業(yè)務信息安全。

1.3終端安全防護

需要部署（實施）防病毒系統(tǒng)、上網(wǎng)行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網(wǎng)絡內的終端可以防御各種惡意代碼和病毒；可以對互聯(lián)網(wǎng)訪問行為監(jiān)管，為網(wǎng)絡的安全防護管理提供安全保障；可以自動下發(fā)操作系統(tǒng)補丁，提高終端的安全性。

2.構建信息安全防護體系

電力企業(yè)應充分利用已經(jīng)成熟的信息安全理論成果，在此基礎上在設計出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規(guī)范和多方面的細則，所涉及的基本要素包括信息管理和信息技術這兩方面，其覆蓋了信息系統(tǒng)的網(wǎng)絡層面、物理層面、系統(tǒng)層面以及應用層面這四大層面。

2.2建設先進可靠的信息安全技術防護體系

結合電力企業(yè)的特點，在企業(yè)內部形成分區(qū)、分域、分級、分層的網(wǎng)絡環(huán)境，然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區(qū)域邊界防護。通過統(tǒng)一規(guī)劃，解決系統(tǒng)之間、系統(tǒng)內部網(wǎng)段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級保護的業(yè)務系統(tǒng)分級防護，避免安全要求低的業(yè)務系統(tǒng)的威脅影響到安全要求高的業(yè)務系統(tǒng)，實現(xiàn)全方位的技術安全防護。同時，還要結合信息機房物流防護、網(wǎng)絡準入控制、補丁管理、PKI基礎設施、病毒防護、數(shù)據(jù)庫安全防護、終端安全管理和電子文檔安全防護等細化的措施，形成覆蓋企業(yè)全領域的技術防護體系。

2.3設置責權統(tǒng)一的信息安全組織體系

在企業(yè)內部設置網(wǎng)絡與信息安全領導機構和工作機構，按照“誰主管誰負責，誰運營誰負責”原則，實行統(tǒng)一領導、分級管理。信息安全領導機構由決策層組成，工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門，包含安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員和應用管理員，并分配相關安全責任，使信息安全在組織內得以有效管理。

2.4構建全面完善的信息安全管理體系

對于電力企業(yè)的信息安全防范來說，單純的使用技術手段是遠遠不夠的，只有配合管理才能提供有效運營的保障。

2.4.1用制度保證信息安全

企業(yè)要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件，指明信息安全的發(fā)展方向，為信息安全提供管理指導和支持；安全管理辦法是對信息安全各方面內容進行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎上描述各控制流程；安全規(guī)范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素，人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現(xiàn)企業(yè)工作人員的規(guī)范管理，明確員工信息安全責任和義務，避免人為風險。

2.4.3建設時就考慮信息安全

在網(wǎng)絡和應用系統(tǒng)建設時，就從生命周期的各階段統(tǒng)籌考慮信息安全，遵照信息安全和信息化建設“三同步”原則，即“同步規(guī)劃、同步建設、同步投入運行”。

2.4.4實施信息安全運行保障

主要是以資產(chǎn)管理為基礎，風險管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應功能，構建動態(tài)的可信安全運行保障。同時，還需要不斷完善應急預案，做好預案演練，可以對信息安全事件進行及時的應急響應和處置。

3.總結

篇5

(一)信息安全組織臨時化

通常,制造型企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時,才會臨時從信息技術部和業(yè)務部門抽調人手處理和解決信息安全事件.出現(xiàn)新的信息安全要求時,才會臨時組建項目小組,根據(jù)新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續(xù)跟進和執(zhí)行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業(yè)的工作效率不斷降低,信息安全防護也未得到有效提升.

(二)員工上網(wǎng)無限制

雖然制造型企業(yè)為員工上網(wǎng)提供了用戶名及密碼,并且對其登錄的網(wǎng)站進行了監(jiān)測,但是員工在工作時間還是可以無設防地利用外網(wǎng)進行網(wǎng)頁游覽、網(wǎng)絡社交等行為,并且使用一些網(wǎng)站的免費郵箱隨意地接收和發(fā)送電子郵件,這些給黑客、病毒、釣魚軟件等創(chuàng)造了對企業(yè)內部網(wǎng)絡攻擊的機會.于是,員工在不了解原因的情況下,使得企業(yè)的信息被泄露或者內部網(wǎng)絡癱瘓,從而影響企業(yè)的正常工作,造成企業(yè)資產(chǎn)的損失.

(三)個人移動設備(BYOD)使用泛濫

在制造型企業(yè)的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業(yè)員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業(yè)內網(wǎng)的無線WiGFi,并擁有一定程度的內網(wǎng)數(shù)據(jù)讀取權限,這樣做雖然節(jié)約了企業(yè)的辦公成本,提高了辦公的效率,但是也增加了企業(yè)內網(wǎng)病毒感染及遭受黑客惡意入侵的風險.

(四)信息安全防護水平有限

出于性能、技術等因素的考慮,加之國內自主研發(fā)的信息安全產(chǎn)品較少,目前進口的信息安全產(chǎn)品受到許多制造型企業(yè)的廣泛采用.盡管這些企業(yè)的信息安全需求以此得到了滿足,但近幾年來,進口產(chǎn)品設備故障的頻繁發(fā)生也對制造型企業(yè)的業(yè)務帶來了不同程度的影響.同時,進口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關鍵節(jié)點,這使得企業(yè)的商業(yè)機密時刻處于高危狀態(tài).不僅如此,部分制造型企業(yè)仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統(tǒng)一的管理平臺對企業(yè)內網(wǎng)的安全系統(tǒng)進行統(tǒng)一的升級與維護.另外,信息安全產(chǎn)品在企業(yè)內的無序堆疊不僅使得各安全產(chǎn)品存在兼容性問題,同時也使得各產(chǎn)品廠商只能提供與自己產(chǎn)品有關的技術支持,導致企業(yè)對問題很難進行跟蹤和排查.最后,企業(yè)電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統(tǒng)漏洞修補的不及時都造成了多病毒大面積入侵企業(yè)內網(wǎng).

(五)信息安全事件處理不及時

制造型企業(yè)在發(fā)生信息安全事件時,即使有相關的信息安全管理產(chǎn)品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態(tài).由于企業(yè)的安全管理人員無法全面了解整個企業(yè)網(wǎng)絡中正在發(fā)生的內部越權訪問和外部攻擊,出現(xiàn)問題時,他們多表現(xiàn)得無從下手或者手忙腳亂.而且,企業(yè)各部門各自為政,對發(fā)生信息安全事件無法進行統(tǒng)一規(guī)范的快速處理.

二、制造型企業(yè)信息安全薄弱的原因

(一)員工信息安全意識淡薄

制造型企業(yè)員工信息安全意識比較淡薄,主要表現(xiàn)為企業(yè)管理層沒有充分認識到信息安全的重要性,沒有將信息安全管理工作與企業(yè)生產(chǎn)安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業(yè)帶來經(jīng)濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業(yè)績壓力和資源限制的業(yè)務部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認為不采取安全防護措施不一定會造成損失.普通員工則表現(xiàn)在他們不了解什么信息安全,不知道遵守和執(zhí)行信息安全制度對自己及企業(yè)帶來的影響,缺少必要的信息安全教育與培訓,有意或無意地導致信息安全事件的發(fā)生.

(二)信息安全技術體系不完善

信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數(shù)據(jù)安全相統(tǒng)一的信息安全技術體系,具體體現(xiàn)在企業(yè)使用的軟件設計存在缺陷或者技術漏洞、殺毒軟件不及時更新;信息系統(tǒng)設計沒有以風險評估為基礎、業(yè)務流程描述錯誤或漏洞、數(shù)據(jù)訪問權限設置不清晰、關鍵數(shù)據(jù)沒有備份等因素;物理安全邊界不明確、設備或存儲介質缺乏安全措施、電纜損壞、不可抗力的自然災害等.

(三)信息安全事件應急響應機制缺失

信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應急響應機制.制造型企業(yè)沒有對信息安全事件進行分級響應與處置,也沒有結合企業(yè)的實際情況通過預測、評估和分析安全事件對企業(yè)造成的后果程度進行等級劃分,并針對不同的安全事件制定相應的應急預案.同時,大部分制造型企業(yè)在處理信息安全事件時更多依靠的是人的經(jīng)驗和責任心,缺少標準化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進制造型企業(yè)信息安全的對策

通過上述分析可知,信息安全問題不僅出現(xiàn)在技術方面,還更多地出現(xiàn)在管理方面.因此,為了保障企業(yè)的業(yè)務持續(xù)運行,加強企業(yè)的股東、客戶以及服務提供商對企業(yè)信息安全的信任,增強企業(yè)的核心競爭能力,制造型企業(yè)可以將管理、技術和運維三方面有效地結合起來,促進企業(yè)的可持續(xù)發(fā)展.

(一)建立健全的信息安全組織層級結構

企業(yè)信息安全組織架構的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標,對企業(yè)的信息資源、人力資源、安全技術產(chǎn)品等進行合理安排和配置,構成相互協(xié)作的有機整體,使企業(yè)的信息安全活動協(xié)調有效地運行.制造型企業(yè)通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執(zhí)行部的層級結構,不僅能在企業(yè)中形成一張網(wǎng),覆蓋企業(yè)的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續(xù)建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協(xié)調各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責信息安全管理的工作人員構成,實施決策委員會制定的信息安全策略、制度和方針,并負責各部門的信息安全管理工作.信息安全執(zhí)行部具體有三個部門,即信息安全規(guī)劃部、信息安全監(jiān)督審計部、信息安全運行保障部,并且由各部門進行業(yè)務支撐。

(二)加強人員教育培訓和規(guī)范管理

信息安全最大的威脅不是來自于企業(yè)外部的攻擊或是企業(yè)信息安全技術的缺陷,而是企業(yè)人員缺乏信息安全意識.為了能夠有效地提高企業(yè)員工的信息安全意識,企業(yè)需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業(yè)的信息安全.制造型企業(yè)在制定信息安全教育培訓內容時,可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質的不同有針對性地制定.對于企業(yè)管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業(yè)的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業(yè)務特點以信息安全意識培訓為主.除了對企業(yè)的人員進行教育培訓,還需對其進行規(guī)范化管理.對掌握產(chǎn)品生產(chǎn)、原材料采購等核心信息的管理者實施更加嚴格的信息安全監(jiān)督管理制度;對負責計算機系統(tǒng)及日常維護的人員界定其工作權限;規(guī)范化管理員工的上網(wǎng)行為,合理利用網(wǎng)絡資源,避免人為的網(wǎng)絡安全隱患.同時在規(guī)范管理中引入績效考核機制,這樣不僅使信息安全管理的指標量化,而且,通過信息安全監(jiān)督審計工作組對員工信息安全工作進行考核,使員工更加重視企業(yè)信息安全.因此,加強企業(yè)員工的教育培訓和規(guī)范化管理,不僅可以營造企業(yè)信息安全文化氛圍,還可以約束員工的行為,減少人為因素導致的信息安全事件發(fā)生.

(三)完善信息安全技術體系

信息安全技術是企業(yè)信息安全的保障,完善的信息安全技術體系可以防止由于技術因素導致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術因素導致的信息安全事件發(fā)生.制造型企業(yè)需從以下六個方面去建立完善的信息安全技術體系,并采用“適度防御”的原則,選擇合適的安全技術與產(chǎn)品,形成企業(yè)適用的安全技術防線.一是保障并完善數(shù)據(jù)安全,制造型企業(yè)需通過加密的手段保護企業(yè)系統(tǒng)中數(shù)據(jù)的機密性和完整性,從而提高數(shù)據(jù)訪問的抗抵賴性,同時加強數(shù)據(jù)的異地災難恢復機制,實現(xiàn)本地數(shù)據(jù)的實時遠程復制與備份,避免本地系統(tǒng)遭受災難性破壞導致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失.二是保障并完善終端安全,制造型企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業(yè)內部文件,導致企業(yè)內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業(yè)系統(tǒng)設置的防火墻而直接在系統(tǒng)內部傳播.三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現(xiàn)象,最大限度地保障個人系統(tǒng)的安全.四是保障和完善網(wǎng)絡安全,制造型企業(yè)還需通過內外部署相應的網(wǎng)絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)進行內外部攻擊和誤操作的實時保護的安全設計,使系統(tǒng)免于網(wǎng)絡攻擊的同時,也提升了系統(tǒng)管理人員的安全管理水平.五是保障主機安全,除了采用系統(tǒng)掃描技術對操作系統(tǒng)層設備和系統(tǒng)進行智能化檢測來幫助網(wǎng)絡管理人員高效地完成定期檢測和操作系統(tǒng)安全漏洞修復的工作,還應采用系統(tǒng)實時入侵探測技術來監(jiān)控主機系統(tǒng)事件,檢測攻擊的可疑特征,并給予響應和處理.六是保證物理安全,制造型企業(yè)需要保證機房與設施的安全,針對環(huán)境的物理災害、自然災害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設備的安全.

(四)建立信息安全事件應急響應機制