導(dǎo)語：企業(yè)網(wǎng)絡(luò)信息安全思考一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著供電企業(yè)信息化建設(shè)不斷深入，特別是國網(wǎng)公司信息化“SG186”工程的實施，對計算機(jī)和網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來越強(qiáng)。因此使我們對目前供電企業(yè)信息系統(tǒng)面臨的安全風(fēng)險也愈加擔(dān)心。信息系統(tǒng)所面臨的安全風(fēng)險既有來自于外部，也有來自于內(nèi)部。來自外部的威脅包括網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、惡意軟件騷擾等造成數(shù)據(jù)丟失、機(jī)密數(shù)據(jù)的失密或系統(tǒng)不能正常地使用。來自內(nèi)部的威脅包括用戶安全意識不足，管理不到位，設(shè)備缺陷、網(wǎng)絡(luò)配置存在安全隱患，應(yīng)用系統(tǒng)安全控制不嚴(yán)，支撐平臺沒有進(jìn)行必要的安全配置等缺陷。據(jù)統(tǒng)計，在所有的計算機(jī)安全事件中，屬于人為因素比重高達(dá)70%以上，下面就目前基層供電企業(yè)信息安全管理中存在的問題和如何加強(qiáng)管理進(jìn)行闡述。

一、目前企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問題

目前各級供電企業(yè)對信息安全日趨重視，但主要側(cè)重于防備外來未授權(quán)用戶的非訪問，并過于注重如防火墻、入侵檢測等技術(shù)問題，忽略了信息安全中人的管理，造成了幾個突出問題：

1、人員安全意識淡薄

由于系統(tǒng)的專業(yè)教育與培訓(xùn)不足，許多專業(yè)技術(shù)人員仍然抱著“防火墻等于安全”的僥幸心理，缺乏“防黑防毒”的意識和內(nèi)部員工操作失誤或惡意攻擊的警惕性，對信息安全采取的防護(hù)措施非常簡單。大多數(shù)信息系統(tǒng)使用員工對信息安全知識和技能掌握不夠，認(rèn)為信息安全只是技術(shù)部門的事，安全防護(hù)意識不強(qiáng)。

2、網(wǎng)絡(luò)信息機(jī)構(gòu)不健全

有些供電企業(yè)沒有專門的信息技術(shù)運行機(jī)構(gòu)或沒有規(guī)范的建制和崗位，人員配置又偏少，而且信息系統(tǒng)架構(gòu)的分散也導(dǎo)致人力資源不集中，信息戰(zhàn)線拉得大長，幾乎沒有時間關(guān)注信息安全。由于IT技術(shù)發(fā)展很快，基層信息技術(shù)人員得不到相應(yīng)的培訓(xùn)，難以對日新月異的IT技術(shù)中有關(guān)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、存儲、安全等方面作全面的了解和掌握，運行維護(hù)能力低下，系統(tǒng)安全監(jiān)控不到位。

3、網(wǎng)絡(luò)信息安全管理專業(yè)化程度不夠

大多數(shù)基層供電公司缺乏專門的信息安全監(jiān)督管理機(jī)構(gòu)，或者沒有配備專業(yè)的信息安全監(jiān)督管理人員，或者只設(shè)兼職。由于缺乏信息安全管理專業(yè)知識和技能，對信息安全特殊性認(rèn)識不足，難于發(fā)揮有效的信息安全監(jiān)督管理，使信息安全管理工作處于一種似管非管或基本不管的真空狀態(tài)。

4、管理制度滯后且執(zhí)行不力

隨著國網(wǎng)公司集中集成工作的展開和信息網(wǎng)絡(luò)基礎(chǔ)建設(shè)不斷加強(qiáng)，原有的信息安全管理制度已相對滯后，而且有些制度不完全適合基層實際，個別條款操作性較差，難于執(zhí)行，這就造成制度執(zhí)行不力、有章不循、違規(guī)操作，這些都增加了信息安全風(fēng)險。

二、加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理的幾點建議

1、加強(qiáng)全員網(wǎng)絡(luò)信息安全意識教育

通過普及信息安全知識教育，提高企業(yè)員工網(wǎng)絡(luò)信息安全知識和安全意識，掌握發(fā)現(xiàn)、解決某些常見安全問題的能力。信息安全教育的具體內(nèi)容一般應(yīng)包括以下內(nèi)容：（1）信息安全所面臨的風(fēng)險；

（2）企業(yè)信息安全方針及目標(biāo)；

（3）企業(yè)安全管理規(guī)章制度；

（4）與信息安全有關(guān)的其它內(nèi)容。通過安全教育使所有員工增強(qiáng)整體信息系統(tǒng)的安全防護(hù)意識。

2、加強(qiáng)企業(yè)員工相應(yīng)技能培訓(xùn)

為了確保企業(yè)員工在日常工作過程中具有保護(hù)企業(yè)信息安全方面的能力，應(yīng)當(dāng)加強(qiáng)對員工計算機(jī)安全技能培訓(xùn)，教育員工平時應(yīng)做到所有操作應(yīng)符合規(guī)定、不得向他人泄露自己的操作口令、不訪問陌生的網(wǎng)站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設(shè)備須先殺毒后使用、發(fā)現(xiàn)問題立即通知技術(shù)人員處理等基本的安全技能。

3、健全信息技術(shù)部門建設(shè)

根據(jù)需要合理配置信息技術(shù)人員，加強(qiáng)信息技術(shù)隊伍建設(shè)，明確機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員、防病毒管理員、運行維護(hù)員等崗位配置，重要崗位設(shè)置A、B崗，落實崗位職責(zé)具體到人。對技術(shù)人員應(yīng)注重技術(shù)培訓(xùn)，可以定期或不定期參加各種針對性的技術(shù)培訓(xùn)，增強(qiáng)技術(shù)儲備力度。

4、加強(qiáng)信息安全規(guī)章制度建設(shè)

建立健全適應(yīng)企業(yè)實際的安全管理制度是信息安全管理的前提。標(biāo)準(zhǔn)化的安全管理，能夠克服傳統(tǒng)管理中個人的主觀意志驅(qū)動的管理模式。應(yīng)在對企業(yè)信息安全評估下，根據(jù)單位實際情況，遵照上級有關(guān)規(guī)定，制定出切實可行、全面的安全管理制度。如：保密制度、機(jī)房管理制度、網(wǎng)絡(luò)運行管理制度、應(yīng)用系統(tǒng)運行管理制度、設(shè)備維護(hù)工作制度、值班制度、計算機(jī)系統(tǒng)使用規(guī)范等，管理制度應(yīng)明確描述所有信息技術(shù)人員以及信息系統(tǒng)使用人員的信息安全職責(zé)和信息系統(tǒng)日常使用規(guī)范，規(guī)范信息系統(tǒng)操作流程，減少人為失誤。

5、建立安全監(jiān)督保證體系

成立安全領(lǐng)導(dǎo)小組，由分管領(lǐng)導(dǎo)抓信息安全工作，并設(shè)置一個獨立于信息技術(shù)部門的信息安全管理監(jiān)督部門作為企業(yè)的信息安全日常管理機(jī)構(gòu)，根據(jù)信息系統(tǒng)安全需要設(shè)定安全事務(wù)的職位，負(fù)責(zé)企業(yè)范圍內(nèi)信息安全監(jiān)督管理工作。各部門應(yīng)配備計算機(jī)技能較強(qiáng)的信息安全專兼職人員，負(fù)責(zé)所在部門信息安全制度的落實和執(zhí)行，形成良好的信息安全監(jiān)督保證體系。

6、加強(qiáng)信息安全考核力度

在建立規(guī)范的信息安全管理制度時，應(yīng)加強(qiáng)信息安全考核力度，使規(guī)范和制度的制定不形同虛設(shè)，而是真正落到實處，從而使全體員工都積極投入到信息安全工作中。在檢查到違反信息安全規(guī)章制度的事件或有安全事故發(fā)生之后，信息安全監(jiān)督管理部門應(yīng)對事件或事故的類型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成分析評價資料，對責(zé)任人進(jìn)行經(jīng)濟(jì)或行政處罰?？傊鶎庸╇娖髽I(yè)必須重視和加強(qiáng)信息安全管理，努力消除信息安全漏洞，全面提高企業(yè)信息安全管理水平，在員工中樹立起牢固的信息安全企業(yè)文化，保證信息系統(tǒng)安全可靠地運行。

◆江蘇海門市供電公司徐新件朱健華