導語：企業(yè)網(wǎng)絡信息安全思考一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著供電企業(yè)信息化建設不斷深入，特別是國網(wǎng)公司信息化“SG186”工程的實施，對計算機和網(wǎng)絡信息系統(tǒng)的依賴程度越來越強。因此使我們對目前供電企業(yè)信息系統(tǒng)面臨的安全風險也愈加擔心。信息系統(tǒng)所面臨的安全風險既有來自于外部，也有來自于內(nèi)部。來自外部的威脅包括網(wǎng)絡入侵、黑客攻擊、病毒傳播、惡意軟件騷擾等造成數(shù)據(jù)丟失、機密數(shù)據(jù)的失密或系統(tǒng)不能正常地使用。來自內(nèi)部的威脅包括用戶安全意識不足，管理不到位，設備缺陷、網(wǎng)絡配置存在安全隱患，應用系統(tǒng)安全控制不嚴，支撐平臺沒有進行必要的安全配置等缺陷。據(jù)統(tǒng)計，在所有的計算機安全事件中，屬于人為因素比重高達70%以上，下面就目前基層供電企業(yè)信息安全管理中存在的問題和如何加強管理進行闡述。

一、目前企業(yè)網(wǎng)絡信息安全管理中存在的問題

目前各級供電企業(yè)對信息安全日趨重視，但主要側重于防備外來未授權用戶的非訪問，并過于注重如防火墻、入侵檢測等技術問題，忽略了信息安全中人的管理，造成了幾個突出問題：

1、人員安全意識淡薄

由于系統(tǒng)的專業(yè)教育與培訓不足，許多專業(yè)技術人員仍然抱著“防火墻等于安全”的僥幸心理，缺乏“防黑防毒”的意識和內(nèi)部員工操作失誤或惡意攻擊的警惕性，對信息安全采取的防護措施非常簡單。大多數(shù)信息系統(tǒng)使用員工對信息安全知識和技能掌握不夠，認為信息安全只是技術部門的事，安全防護意識不強。

2、網(wǎng)絡信息機構不健全

有些供電企業(yè)沒有專門的信息技術運行機構或沒有規(guī)范的建制和崗位，人員配置又偏少，而且信息系統(tǒng)架構的分散也導致人力資源不集中，信息戰(zhàn)線拉得大長，幾乎沒有時間關注信息安全。由于IT技術發(fā)展很快，基層信息技術人員得不到相應的培訓，難以對日新月異的IT技術中有關主機、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡、存儲、安全等方面作全面的了解和掌握，運行維護能力低下，系統(tǒng)安全監(jiān)控不到位。

3、網(wǎng)絡信息安全管理專業(yè)化程度不夠

大多數(shù)基層供電公司缺乏專門的信息安全監(jiān)督管理機構，或者沒有配備專業(yè)的信息安全監(jiān)督管理人員，或者只設兼職。由于缺乏信息安全管理專業(yè)知識和技能，對信息安全特殊性認識不足，難于發(fā)揮有效的信息安全監(jiān)督管理，使信息安全管理工作處于一種似管非管或基本不管的真空狀態(tài)。

4、管理制度滯后且執(zhí)行不力

隨著國網(wǎng)公司集中集成工作的展開和信息網(wǎng)絡基礎建設不斷加強，原有的信息安全管理制度已相對滯后，而且有些制度不完全適合基層實際，個別條款操作性較差，難于執(zhí)行，這就造成制度執(zhí)行不力、有章不循、違規(guī)操作，這些都增加了信息安全風險。

二、加強企業(yè)網(wǎng)絡信息安全管理的幾點建議

1、加強全員網(wǎng)絡信息安全意識教育

通過普及信息安全知識教育，提高企業(yè)員工網(wǎng)絡信息安全知識和安全意識，掌握發(fā)現(xiàn)、解決某些常見安全問題的能力。信息安全教育的具體內(nèi)容一般應包括以下內(nèi)容：（1）信息安全所面臨的風險；

（2）企業(yè)信息安全方針及目標；

（3）企業(yè)安全管理規(guī)章制度；

（4）與信息安全有關的其它內(nèi)容。通過安全教育使所有員工增強整體信息系統(tǒng)的安全防護意識。

2、加強企業(yè)員工相應技能培訓

為了確保企業(yè)員工在日常工作過程中具有保護企業(yè)信息安全方面的能力，應當加強對員工計算機安全技能培訓，教育員工平時應做到所有操作應符合規(guī)定、不得向他人泄露自己的操作口令、不訪問陌生的網(wǎng)站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設備須先殺毒后使用、發(fā)現(xiàn)問題立即通知技術人員處理等基本的安全技能。

3、健全信息技術部門建設

根據(jù)需要合理配置信息技術人員，加強信息技術隊伍建設，明確機房管理員、網(wǎng)絡管理員、應用系統(tǒng)管理員、數(shù)據(jù)庫管理員、防病毒管理員、運行維護員等崗位配置，重要崗位設置A、B崗，落實崗位職責具體到人。對技術人員應注重技術培訓，可以定期或不定期參加各種針對性的技術培訓，增強技術儲備力度。

4、加強信息安全規(guī)章制度建設

建立健全適應企業(yè)實際的安全管理制度是信息安全管理的前提。標準化的安全管理，能夠克服傳統(tǒng)管理中個人的主觀意志驅動的管理模式。應在對企業(yè)信息安全評估下，根據(jù)單位實際情況，遵照上級有關規(guī)定，制定出切實可行、全面的安全管理制度。如：保密制度、機房管理制度、網(wǎng)絡運行管理制度、應用系統(tǒng)運行管理制度、設備維護工作制度、值班制度、計算機系統(tǒng)使用規(guī)范等，管理制度應明確描述所有信息技術人員以及信息系統(tǒng)使用人員的信息安全職責和信息系統(tǒng)日常使用規(guī)范，規(guī)范信息系統(tǒng)操作流程，減少人為失誤。

5、建立安全監(jiān)督保證體系

成立安全領導小組，由分管領導抓信息安全工作，并設置一個獨立于信息技術部門的信息安全管理監(jiān)督部門作為企業(yè)的信息安全日常管理機構，根據(jù)信息系統(tǒng)安全需要設定安全事務的職位，負責企業(yè)范圍內(nèi)信息安全監(jiān)督管理工作。各部門應配備計算機技能較強的信息安全專兼職人員，負責所在部門信息安全制度的落實和執(zhí)行，形成良好的信息安全監(jiān)督保證體系。

6、加強信息安全考核力度

在建立規(guī)范的信息安全管理制度時，應加強信息安全考核力度，使規(guī)范和制度的制定不形同虛設，而是真正落到實處，從而使全體員工都積極投入到信息安全工作中。在檢查到違反信息安全規(guī)章制度的事件或有安全事故發(fā)生之后，信息安全監(jiān)督管理部門應對事件或事故的類型、嚴重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責任人進行調(diào)查確認，形成分析評價資料，對責任人進行經(jīng)濟或行政處罰。總之，基層供電企業(yè)必須重視和加強信息安全管理，努力消除信息安全漏洞，全面提高企業(yè)信息安全管理水平，在員工中樹立起牢固的信息安全企業(yè)文化，保證信息系統(tǒng)安全可靠地運行。

◆江蘇海門市供電公司徐新件朱健華