導(dǎo)語：如何才能寫好一篇企業(yè)安全信息化，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】企業(yè);信息化建設(shè);信息安全

伴隨著我國社會經(jīng)濟的發(fā)展，各個企業(yè)間的競爭也是非常的激烈。各企業(yè)發(fā)展的過程中重要工作就是加強信息化建設(shè)，在企業(yè)信息化建設(shè)發(fā)展的過程當(dāng)中，又顯現(xiàn)出來了信息安全的問題，加上有的不法分子會采取各種手段盜取企業(yè)的內(nèi)部信息以便達(dá)到自己的經(jīng)濟利益。所以說研究企業(yè)信息化當(dāng)中的信息安全問題是具有非常重要意義。

一、企業(yè)信息化建設(shè)過程中信息安全的問題

一般情況下能造成企業(yè)內(nèi)部信息安全問題的原因分為外部原因和內(nèi)部原因，可是不管是內(nèi)部原因還是外部原因都會對企業(yè)的信息系統(tǒng)的安全帶來隱患。

1.1企業(yè)內(nèi)部因素

第一個方面是企業(yè)的信息安全意識不強，雖然是現(xiàn)在有很多的企業(yè)加快企業(yè)內(nèi)部信息化建設(shè)的進(jìn)程，但是有些企業(yè)只是在表面上看到信息化建設(shè)所帶來的優(yōu)勢，而信息化建設(shè)當(dāng)中的安全問題并沒能夠引起企業(yè)的足夠重視，所以在信息化建設(shè)的過程中比較容易出現(xiàn)安全隱患。第二個方面就是我國的安全軟件還是比較落后，雖然國內(nèi)計算機軟件技術(shù)在快速的反戰(zhàn)，可是與一些發(fā)達(dá)的國家相比還是存在一定距離，第三個方面在管理操作方面存在問題，現(xiàn)在有很多的企業(yè)對于自己企業(yè)內(nèi)部的信息安全問題還存在不夠重視的問題，在企業(yè)信息系統(tǒng)的管理上不夠謹(jǐn)慎，這就會被不法分子和黑客進(jìn)入的機會，造成了企業(yè)的主要信息被盜取。第四個方面缺少優(yōu)秀的專業(yè)管理團(tuán)隊，企業(yè)信息的系統(tǒng)安全是前期的制定和日常系統(tǒng)安全的維護(hù)以及日后都是由專業(yè)的人員來進(jìn)行操作，所以相關(guān)的技術(shù)人員都必須具有很好的素養(yǎng)和賢能的技術(shù)，第五個方面法律法規(guī)的不全面。現(xiàn)在我國與企業(yè)信息安全問題的法律法規(guī)不全面這就造成企業(yè)內(nèi)部信息被盜取不能得到相關(guān)的賠償。

1.2企業(yè)外部因素

現(xiàn)在企業(yè)信息安全系統(tǒng)的威脅主要來自于外部的因素，隨著我國經(jīng)濟社會的飛速變化，在競爭激烈情況下信息是非常重要的，大昂仁會有很多的不法分子會利用各種手段來盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對手的競爭過程中使用不正當(dāng)?shù)氖侄蝸頁艨鍖κ直ＷC自己企業(yè)的利益。

二、企業(yè)信息化建設(shè)過程中的信息安全與對策

在我國社會經(jīng)濟快速發(fā)展的今天，企業(yè)信息安全對于一個企業(yè)的發(fā)展是非常具有意義的，企業(yè)的信息被盜取和泄露會給企業(yè)帶來很大的損失，所以說企業(yè)對信息安全問題必須要有足夠的重視。有的企業(yè)已經(jīng)做好了信息安全的必要工作就應(yīng)該更加注意安全軟件并不是時時刻刻都能做好安全的保護(hù)，做好安全保護(hù)還要加強管理。

2.1確保正確的安全意識

一個企業(yè)在信息化發(fā)展的過程中，應(yīng)該認(rèn)識到企業(yè)信息的安全問題和企業(yè)發(fā)展相互的關(guān)聯(lián)。如果企業(yè)的重要內(nèi)部信息被盜取或者泄露那么對于企業(yè)所造成的打擊是非常大的，而與此同時也是給了對手創(chuàng)造了很好機會。所以確保正確的安全信息意識對于一個企業(yè)來說是非常重要的，也是為了以后給企業(yè)的各項工作打下了很好基礎(chǔ)。

2.2選擇安全性能比較高的軟件

其實任何軟件都不是牢不可破的，可是對于安全性能比較高的軟件，如果說破解的話難度還是相當(dāng)高的，所以企業(yè)選擇安全軟件的時候要選擇安全性能高的，不要為了節(jié)省一點企業(yè)的支出而選擇使用安全性能差的保護(hù)軟件，一旦出現(xiàn)問題所造成的企業(yè)損失價值會大于軟件的價格。

2.3加強企業(yè)網(wǎng)路管理

很大一部分的企業(yè)信息被盜取都是不法分子通過網(wǎng)絡(luò)進(jìn)行的，所以說必須要對企業(yè)的網(wǎng)絡(luò)管理進(jìn)行加強，這樣才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)的情況下運行。對于信息安全的種類和等級的高低來進(jìn)行制定合理的方案，并且提前做出如果發(fā)生特殊情況下怎么進(jìn)行處理的方案。如果說企業(yè)的信息安全發(fā)生危機的時候，企業(yè)應(yīng)該快速的組建處理小組，針對信息安全危機的步驟處理并且做好危機處理的工作，還要避免出現(xiàn)由于處理不當(dāng)而產(chǎn)生的各種情況。

三、結(jié)語

以上所述是企業(yè)信息化建設(shè)過程中所必需要面對的問題，一個企業(yè)的信息安全建設(shè)應(yīng)該先從管理開始，必須做到以防范為主要，必需制定有效的安全防護(hù)把安全的風(fēng)險降至最低。在現(xiàn)在經(jīng)濟發(fā)展的快速時代，企業(yè)信息的安全問題決定著企業(yè)的安全運營。

參考文獻(xiàn)

[1]原黎.探析企業(yè)信息安全問題的成因及對策[J].現(xiàn)代工業(yè)經(jīng)濟和信息化.2011(08)

[2]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程.2013(14)

[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全問題研究[J].科技資訊.2013(31)

[4]葉瑞強.企業(yè)網(wǎng)絡(luò)信息安全存在的問題及對策[J].信息與電腦(理論版).2012(03)

篇2

關(guān)鍵詞：計算機系統(tǒng)結(jié)構(gòu)IRP；信息優(yōu)勢；主動預(yù)防

中圖分類號：TP309

企業(yè)要生存、發(fā)展，就必須面向市場，適應(yīng)市場、開拓市場，竭力捕捉市場信息。信息對于市場經(jīng)濟條件下的企業(yè)來說，具有生死攸關(guān)的巨大價值。沒有對大量準(zhǔn)確、及時、系統(tǒng)的市場信息資料的掌握，既不能弄清企業(yè)外部條件變化對企業(yè)生產(chǎn)經(jīng)營的影響，也無法了解企業(yè)內(nèi)部各環(huán)節(jié)、各部門、各經(jīng)營要素的狀況、聯(lián)系和變化。而在同行業(yè)之間的信息互通，也是至關(guān)重要的，將所有資源充分整合，才能形成綜合優(yōu)勢。

中國加入WTO后，國際競爭國內(nèi)化的趨勢將更加明顯。企業(yè)只有盡快實施信息化戰(zhàn)略與國際接軌，才能融入到經(jīng)濟全球化的大潮中去。這里特別要指出企業(yè)如何規(guī)劃有關(guān)信息。信息資源規(guī)劃（Information Resource Planning，簡稱IRP）是指對企業(yè)生產(chǎn)經(jīng)營所需要的信息，從采集、處理、傳輸?shù)绞褂玫娜嬉?guī)劃。在企業(yè)的生產(chǎn)經(jīng)營活動中，無時無刻不充滿著信息的產(chǎn)生、流動及使用。美國信息資源管理學(xué)家霍頓（F.W.Horton）和馬錢德（D.A.Marchand）等人指出：信息資源（Information Resources）與人、財、物資源一樣，都是企業(yè)的重要資源。目前，許多企業(yè)都已經(jīng)認(rèn)識到信息資源規(guī)劃的重要性，認(rèn)識到它是企業(yè)信息化建設(shè)的基礎(chǔ)工程。只有做好信息資源規(guī)劃工作，才能理清并規(guī)范企業(yè)的真正需求，貫徹信息化建設(shè)的“應(yīng)用主導(dǎo)”方針；才能消除因缺乏信息資源管理基礎(chǔ)標(biāo)準(zhǔn)而產(chǎn)生的“信息孤島”，從而整合信息資源，實現(xiàn)應(yīng)用系統(tǒng)集成；才能指導(dǎo)SCM、ERP、CRM等應(yīng)用軟件的選型并保證成功實施；才能應(yīng)用規(guī)劃的結(jié)果來保護(hù)我們所珍視的信息。應(yīng)該說信息資源規(guī)劃是我們要提供安全策略的前提。[1]

圖1是信息安全技術(shù)發(fā)展的四個階段，當(dāng)我們整合了相關(guān)信息資源，歷經(jīng)信息安全技術(shù)的各個階段，所缺少的元素便是對于人的信息化水平的要求。

可見，單從信息流向來看，其中的人為干預(yù)是必不可少的。因此，保障信息安全更要以人為本，注重網(wǎng)絡(luò)管理，加強制度化，形成標(biāo)準(zhǔn)的操作規(guī)范及流程。針對企業(yè)信息化安全問題，內(nèi)容應(yīng)當(dāng)包括：網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)（包括信息源、信息傳輸網(wǎng)絡(luò)的安全）、企業(yè)人員信息技術(shù)安全（如信息決策者、使用者）、網(wǎng)絡(luò)管理人員信息化安全（涵蓋了網(wǎng)絡(luò)管理、權(quán)限分配等安全管理內(nèi)容）。企業(yè)信息化安全的解決應(yīng)在立足于人員管理的基礎(chǔ)上，致力于整個企業(yè)網(wǎng)絡(luò)的管理，并以此為目標(biāo)規(guī)劃與建設(shè)安全、實用、高效的信息環(huán)境，為企業(yè)信息化帶動企業(yè)管理現(xiàn)代化保駕護(hù)航，推動企業(yè)的高速度、可持續(xù)發(fā)展。

1 網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)安全

本人所在單位的網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)是一個復(fù)雜體系，不可能精確地估計防御對象的規(guī)模與價值，無法簡單地對其加以標(biāo)定界限，只有將網(wǎng)絡(luò)管理安全保障工作分解，落實到人，采取主動防御方式、方法才是上策。眾說周知，網(wǎng)絡(luò)安全信息防御是一個以保證信息整體安全的可預(yù)見性、靈敏性、可靠性和連續(xù)性為目標(biāo)的工作，在面對網(wǎng)絡(luò)信息空間遭受可能的災(zāi)難時，我們站在網(wǎng)絡(luò)管理者的角度應(yīng)可以提供可靠的安全保障，同時作為各個信息安全的參與者能夠主動進(jìn)行預(yù)見性的操作。

因此，現(xiàn)代信息技術(shù)發(fā)展所提出的信息安全問題，比傳統(tǒng)信息安全問題更加錯綜復(fù)雜，涉及因素和領(lǐng)域也更加廣泛。計算機系統(tǒng)結(jié)構(gòu)安全的信息防御，注重的是以信息參與者的人作為主角的主動型安全防御。[2]

2 企業(yè)人員信息技術(shù)安全

企業(yè)信息化離不開人的參與，同樣企業(yè)信息化所帶來的安全問題也離不開人的關(guān)注?！捌髽I(yè)注重人才，人才注重管理?！碑?dāng)我們把員工培養(yǎng)成適應(yīng)企業(yè)快速發(fā)展、掌握信息技術(shù)的人才后，更需要加強信息安全管理，提高計算機應(yīng)用水平。因為“信息”是企業(yè)的重要財富，這一點是勿庸置疑的。信息系統(tǒng)的非安全因素有可能來自外部（以病毒、黑客攻擊的方式），或來自單位內(nèi)部（來自同事、受信任的客戶等等所有接觸系統(tǒng)的人），工作人員出于好奇心可能會造成更大的威脅。[3]

上面的管理辦法便是從技術(shù)角度加強了人員的權(quán)限設(shè)置，其實最主要的人員信息化安全管理，還是對于配套制度的執(zhí)行。目前，有關(guān)企業(yè)信息化標(biāo)準(zhǔn)的爭論有很多，這種標(biāo)準(zhǔn)會隨著技術(shù)手段和管理要求的不斷發(fā)展而變化。面對變化，企業(yè)出臺針對本企業(yè)安全級別的管理辦法，結(jié)合自身需求進(jìn)行安全管理才是“以人為本”的上策。

3 網(wǎng)絡(luò)管理人員信息技術(shù)安全

信息技術(shù)安全是企業(yè)信息化安全管理的重中之重，這就給網(wǎng)管人員提出了更高的更全面的要求。在實際的網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理應(yīng)具有的功能非常廣泛，包括了很多方面。本人認(rèn)為，針對我們所面臨的企業(yè)信息技術(shù)安全，網(wǎng)絡(luò)管理應(yīng)包括四大功能：配置管理、性能管理、故障管理、安全管理。這四大功能是網(wǎng)絡(luò)管理的基本功能。事實上，網(wǎng)絡(luò)管理還應(yīng)該包括其他一些功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作規(guī)范等。其中：

配置管理：自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測網(wǎng)絡(luò)被管對象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查，配置自動生成和自動配置備份系統(tǒng)，對于配置的一致性進(jìn)行嚴(yán)格的檢驗。

故障管理；過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯建議與排錯工具，形成整套的故障發(fā)現(xiàn)、告警與處理機制。

性能管理：采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)，監(jiān)測網(wǎng)絡(luò)對象的性能，對網(wǎng)絡(luò)線路質(zhì)量進(jìn)行分析。同時，統(tǒng)計網(wǎng)絡(luò)運行狀態(tài)信息，對網(wǎng)絡(luò)的使用發(fā)展作出評測、估計，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。

安全管理：結(jié)合使用用戶認(rèn)證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機制，以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護(hù)系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對象的修改有據(jù)可查?？刂茖W(wǎng)絡(luò)資源的訪問。

舉例來說，本人所在單位為盡量減小安全上的漏洞，我們配置管理采用了 VLAN方式，即各個部門劃分為不同的虛擬網(wǎng)段，沒有權(quán)限的用戶無法訪問其他網(wǎng)段。

VLAN（虛擬局域網(wǎng)）就是一個計算機網(wǎng)絡(luò)，其中的計算機好像是被同一網(wǎng)線連接在一起，而實際上它們可能分處于局域網(wǎng)的不同區(qū)域。VLAN更多的是通過軟件而非硬件來實現(xiàn)，因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制，減少了相對日常管理開銷，提供了更大的配置靈活性。VLAN的這些特性包括：①當(dāng)用戶從一個地點移動到另一個地點時，簡化了配置操作和過程修改；②當(dāng)網(wǎng)絡(luò)阻塞時，可以重新調(diào)節(jié)流量分布；③提供流量與廣播行為的詳細(xì)報告，同時統(tǒng)計VLAN邏輯區(qū)域的規(guī)模與組成；④提供根據(jù)實際情況在VLAN中增加和減少用戶的靈活性。

還有就是：我們的網(wǎng)絡(luò)管理可以通過網(wǎng)關(guān)（即邊界路由器）控制外來用戶對網(wǎng)絡(luò)資源的訪問，以防止外來的攻擊；通過告警事件的分析處理，以發(fā)現(xiàn)正在進(jìn)行的可能的攻擊；通過安全漏洞檢擒來發(fā)現(xiàn)存在的安全隱患，以防患于未然。當(dāng)然，我們這些操作手段可以借助于相應(yīng)的網(wǎng)絡(luò)管理軟件，以提供給我們相關(guān)的技術(shù)保障。但在實際操作中，我也發(fā)現(xiàn)，單用一種軟件是無法實現(xiàn)的。比如IDS、基于SNMP技術(shù)的網(wǎng)絡(luò)拓?fù)?、資產(chǎn)管理等等，這些技術(shù)需要我們一步步加強。還有像加強域的管理，充分利用現(xiàn)有軟件的功能，都是提高我們網(wǎng)絡(luò)管理的方式、方法，而這些工作地展開都要基于網(wǎng)管人員的素質(zhì)和計算機應(yīng)用水平。

綜上所述，不論是從網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)框架，還是人員信息化以及網(wǎng)絡(luò)管理者自身來看，企業(yè)信息化安全重在網(wǎng)絡(luò)管理，而網(wǎng)絡(luò)管理的核心是人，是整個信息化安全的參與者，只有“硬制度、軟管理”相互依托，主動預(yù)防、預(yù)見網(wǎng)絡(luò)不安全因素，讓所有參與者都意識到網(wǎng)絡(luò)安全管理對于企業(yè)信息安全的重要性，才是我們網(wǎng)絡(luò)管理的最終目的和有效保障。

參考文獻(xiàn)：

[1]Steve Riley， Likes fearing occurs simultaneously the manager， Windows IT Pro Magazine， Microsoft Corp，2006（02）：30-32.

[2]Microsoft Corp，Microsoft Security Anthology，Microsoft Corp，2003（03）：1-20.

[3]侯炳輝，郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005（02）：76-89.

篇3

1.企業(yè)信息化建設(shè)的重要性

信息化發(fā)展對于企業(yè)人員日常的管理，相比較原來舊的方法而言更方便快捷、更高效；對于企業(yè)的整體發(fā)展的影響，相比較原來用人來發(fā)現(xiàn)風(fēng)險，信息化大數(shù)據(jù)管控更能提前預(yù)知風(fēng)險并幫助企業(yè)更好地解決問題；對于企業(yè)組織結(jié)構(gòu)和流程的影響，集成化的網(wǎng)絡(luò)信息系統(tǒng)是提高質(zhì)效的一把利器。但現(xiàn)實使用中，企業(yè)的信息化進(jìn)程存在安全度低、信息泄露嚴(yán)重和安全意識低等現(xiàn)象，導(dǎo)致企業(yè)和用戶損失大量人力物力，甚至受到巨大損失。由此可見，信息化建設(shè)對企業(yè)發(fā)展有著不可小覷的作用，能比原來的模式更有效處理問題、促進(jìn)企業(yè)發(fā)展，是所有企業(yè)在發(fā)展過程中不可或缺的一個環(huán)節(jié)。

2.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題

2.1網(wǎng)絡(luò)安全意識不強

科學(xué)技術(shù)的不斷發(fā)展進(jìn)步，對于企業(yè)發(fā)展的影響作用不言而喻，但是，相當(dāng)一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。

近年來，在技術(shù)、社會和政府等多方面的努力下，企業(yè)的信息化建設(shè)發(fā)展速度加快，取得很大的進(jìn)展，其重要作用毋庸置疑，各個企業(yè)都越來越重視信息化的進(jìn)步。但在新聞報道中，經(jīng)常見到有信息非法獲取、信息交易導(dǎo)致用戶信息泄露，這也是每個企業(yè)需要反思的問題。數(shù)據(jù)泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視，嚴(yán)重的不僅會導(dǎo)致用戶信息泄露，如果發(fā)生企業(yè)數(shù)據(jù)庫被篡改、網(wǎng)絡(luò)系統(tǒng)崩潰等事件，給企業(yè)帶來的名譽和財產(chǎn)損失不可估量。

2.2技術(shù)水平不高

世界范圍內(nèi)都存在一個不好處理的網(wǎng)絡(luò)難題———黑客。企業(yè)在信息化發(fā)展的過程中，免不了遇到技術(shù)問題，由于有關(guān)人員或團(tuán)隊自身的水平不夠和相關(guān)方面的經(jīng)驗的缺失，不可避免會存在某些漏洞和問題，這些漏洞和問題恰恰給了黑客絕佳的機會，讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到，對企業(yè)的安全構(gòu)成非常大的威脅。

2.3可使用的高水平軟件少

一方面是供研發(fā)企業(yè)使用的高水平軟件較少；另一方面是軟件安全度低，很多公司雖然看到信息化發(fā)展的好處，但卻貪圖低成本的小利益，花費小成本購買使用安全保護(hù)性低的工作軟件，結(jié)局只會帶來難以挽回的后果。

3.企業(yè)信息化建設(shè)提高網(wǎng)絡(luò)信息安全性的措施

3.1切實提高企業(yè)安全意識

科學(xué)技術(shù)的進(jìn)步，促進(jìn)企業(yè)重視信息安全，思考信息安全問題和公司發(fā)展之間不可分割的關(guān)系，因為信息泄露帶來損失還是小事，如果因此減少了企業(yè)競爭力，甚至阻礙了企業(yè)發(fā)展才是最可怕的結(jié)果。因此，企業(yè)應(yīng)當(dāng)提高安全意識，提前準(zhǔn)備對策、制定應(yīng)對突況的策略，防止信息泄露等潛在威脅，將威脅扼殺在搖籃之中。通過建立高技術(shù)水平的團(tuán)隊，運用專業(yè)知識和工作經(jīng)驗切實增強防火墻安全度，定期維護(hù)信息系統(tǒng)，從源頭的技術(shù)傳輸階段維護(hù)信息安全，建立完善的信息保護(hù)制度，以此來保護(hù)信息安全、促進(jìn)企業(yè)發(fā)展。

3.2提高信息系統(tǒng)的管理水平

雖然現(xiàn)在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護(hù)軟件，但是這些軟件也不能保證絕對的安全。改革舊的風(fēng)險評估模式，健全信息篩選管理安全體系，在一定程度上可以提高安全系統(tǒng)等級、減小信息被盜的風(fēng)險，在信息系統(tǒng)建立過程中，及早發(fā)現(xiàn)風(fēng)險并妥善處理對企業(yè)發(fā)展尤其重要。

3.3使用安全性高的軟件

歸根結(jié)底，所有的安全問題都是安全性低所導(dǎo)致的。雖然說沒有絕對安全的東西，但是相比于安全性低的軟件，安全性越高的軟件，保護(hù)能力也越強，能更好地保護(hù)信息安全。因此，企業(yè)千萬不能貪圖小利益使用低防護(hù)級軟件，保護(hù)信息安全，維護(hù)自身發(fā)展利益才是最重要的。

篇4

【關(guān)鍵詞】信息化建設(shè)；安全管理；授權(quán)

【中圖分類號】TU714 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672—5158（2012）08—0255-02

0.引言

隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈，企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑，杜絕信息泄露可以避免巨大的經(jīng)濟損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發(fā)，對于企業(yè)的經(jīng)營活動帶來巨大的損失。加強企業(yè)內(nèi)部的計算機管理，提高對于信息安全的認(rèn)識程度，保證信息數(shù)據(jù)庫的安全，避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。

1.企業(yè)信息化建設(shè)信息安全影響因素分析

（1）信息系統(tǒng)實體安全。信息實體主要包括用于企業(yè)信息化建設(shè)的計算機、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施，對于信息實體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞，從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。

（2）信息系統(tǒng)運行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全，采取各種措施對系統(tǒng)運行進(jìn)行安全保護(hù)。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅，因此確保信息系統(tǒng)運行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時時可用性。

（3）信息系統(tǒng)管理人員安全責(zé)任意識。管理人員在日常工作中的安全管理意識、專業(yè)操作水平以及法律意識等均會對企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法，對于保證信息數(shù)據(jù)庫的安全十分重要。

2.企業(yè)信息安全管理問題分析

目前由于管理制度以及軟硬件設(shè)施等一系列的問題，企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時有發(fā)生，嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動，通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面：

（1）企業(yè)內(nèi)部移動存儲設(shè)備管理疏松，缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中，移動存儲設(shè)備使用較多，員工可以隨意對企業(yè)內(nèi)部的各種信息資料進(jìn)行備份，企業(yè)用于經(jīng)營活動的客戶信息、產(chǎn)品設(shè)計、財務(wù)管理等各項信息極易造成泄漏，帶來巨大的信息安全損失。部分企業(yè)由于對于信息安全管理認(rèn)識程度不足，企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度，安全管理職責(zé)權(quán)限不清，信息安全漏洞較多。

（2）對于內(nèi)部信息共享控制不嚴(yán)格，信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強企業(yè)內(nèi)部各部門之間的溝通聯(lián)系，對于一些設(shè)計企業(yè)銷售計劃、客戶信息以及生產(chǎn)計劃等文件采取共享的措施，因此企業(yè)員工的流動或者其他管理不當(dāng)均會造成企業(yè)信息的泄露。

（3）信息權(quán)限管理混亂，企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對于加密的授權(quán)訪問，權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂，操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對于部分中小企業(yè)由于信息化建設(shè)采取對外委托的方式，而中介第三方由于穩(wěn)定性難以保證，隨時更換或者退出的第三方極易造成企業(yè)有價值信息的泄漏，影響企業(yè)信息安全建設(shè)。

（4）信息管理安全防范體系不健全，缺乏針對信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識到信息化管理的重要性，并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機制，在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實措施。此外，由于大部分企業(yè)在信息安全管理工作中將重點放在軟硬件設(shè)施上，而忽略了對于信息安全技術(shù)人員的培養(yǎng)，而且為了減少人力資源支出成本，信息安全管理人員少工作任務(wù)重，管理權(quán)限集中化程度高，影響了信息化建設(shè)的安全管理。

3.企業(yè)信息建設(shè)信息安全管理措施

（1）加強對于信息庫硬件設(shè)備的保護(hù)管理。首先應(yīng)保證計算機等硬件設(shè)備具有安全的工作環(huán)境，做好計算機設(shè)備的防火、防潮、防盜措施，并避免強磁環(huán)境對信息數(shù)據(jù)可能造成的損壞。其次，在對各種硬件設(shè)備進(jìn)行檢修時，硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理，對于需要外送檢修的設(shè)備，則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理。

（2）提高企業(yè)內(nèi)部的信息安全管理意識。企業(yè)信息安全管理對于提高企業(yè)競爭力，避免企業(yè)經(jīng)濟損失具有重要的意義。在企業(yè)的正常管理過程中，加強信息安全宣傳工作，使員工充分認(rèn)識到企業(yè)信息安全管理的重要性，并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度，提高企業(yè)的整體信息安全防范水平。

（3）加強信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中，應(yīng)加強對于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán)，系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護(hù)過程中，必須通過授權(quán)進(jìn)行。系統(tǒng)管理人員離開工作崗位后，相關(guān)責(zé)任人應(yīng)及時更換管理員操作代碼。

（4）加強企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼，應(yīng)分別設(shè)置用戶密碼以及操作密碼，并提高密碼的安全程度，及時定期更換登陸操作密碼。對于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作，應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置。

（5）明確企業(yè)信息數(shù)據(jù)庫管理制度。對于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)，并采取異地存放的方式對備份數(shù)據(jù)庫進(jìn)行管理。對于廢棄或者需要銷毀的數(shù)據(jù)信息，應(yīng)嚴(yán)格依照程序采取逐級審批的方式，避免數(shù)據(jù)信息的泄露。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時，應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊，并對恢復(fù)的數(shù)據(jù)進(jìn)行驗證確認(rèn)數(shù)據(jù)的完整可用。

（6）加強企業(yè)信息數(shù)據(jù)機房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機房進(jìn)行數(shù)據(jù)查閱以及提取工作時，應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)，并登記進(jìn)入。在日常管理過程中，定期對硬件設(shè)備進(jìn)行保養(yǎng)，同時研究違章操作在信息數(shù)據(jù)機房安裝外部其他軟件。

參考文獻(xiàn)

[1]沈路鐵路信息系統(tǒng)安全風(fēng)險評估研究[J]-鐵路計算機應(yīng)用2011（6）

篇5

【關(guān)鍵詞】網(wǎng)絡(luò)安全；信息化建設(shè)；需求分析；解決方案

1、企業(yè)信息化建設(shè)概述

企業(yè)信息化建設(shè)就是利用先進(jìn)的科技手段把科學(xué)的管理思想融入到企業(yè)的日常經(jīng)營管理之中，在管理的過程中實現(xiàn)對成本、業(yè)務(wù)、物流、財務(wù)和客戶關(guān)系等各個環(huán)節(jié)的科學(xué)管理。目前，國內(nèi)企業(yè)信息化建設(shè)取得了一定的成績，積累了一定的經(jīng)驗，但是企業(yè)的信息集成優(yōu)勢建設(shè)還不完善，網(wǎng)絡(luò)技術(shù)的效率和便利性還沒有在企業(yè)信息化建設(shè)中體現(xiàn)出來。企業(yè)信息化是一個完善的、嚴(yán)密的信息系統(tǒng)，各個業(yè)務(wù)環(huán)節(jié)數(shù)據(jù)的完整性和準(zhǔn)確性影響著數(shù)據(jù)處理的及時性和可靠性，因此，企業(yè)信息化建設(shè)建立在準(zhǔn)確、完善的基礎(chǔ)數(shù)據(jù)之上。信息化建設(shè)的安全是一個綜合的系統(tǒng)工程，總體安全取決于系統(tǒng)中所有環(huán)節(jié)中最薄弱的環(huán)節(jié)，因此，信息化建設(shè)要全面考慮，不斷完善，同時還要對系統(tǒng)進(jìn)行安全評估，發(fā)現(xiàn)不安全的因素后及時調(diào)整安全策略。

2、企業(yè)信息化系統(tǒng)需求分析

2.1系統(tǒng)需求分析

企業(yè)信息化建設(shè)首先要分析企業(yè)原有的系統(tǒng)現(xiàn)狀，找出存在的問題，例如分析企業(yè)郵箱系統(tǒng)、門戶網(wǎng)站、人力資源管理系統(tǒng)、報表系統(tǒng)、財務(wù)管理系統(tǒng)、經(jīng)營分析系統(tǒng)和業(yè)務(wù)運營支撐系統(tǒng)等各個系統(tǒng)的現(xiàn)狀，找出網(wǎng)絡(luò)設(shè)備、監(jiān)控管理機制、認(rèn)證方式和病毒防護(hù)等各方面存在的問題，針對未來企業(yè)發(fā)展的需要，對企業(yè)信息化系統(tǒng)做出全面、詳細(xì)的需求分析。

2.2網(wǎng)絡(luò)需求分析

網(wǎng)絡(luò)需求分析要結(jié)合企業(yè)的IT現(xiàn)狀和本省的IT總體規(guī)劃需求，設(shè)計中心機房的位置和部署模式，一些大型的企業(yè)如果有分公司的話，還要考慮子公司到中心機房的網(wǎng)絡(luò)建設(shè)。在網(wǎng)絡(luò)需求分析中關(guān)鍵的點是IT基礎(chǔ)設(shè)施的建設(shè)，例如要明確信息系統(tǒng)的網(wǎng)絡(luò)帶寬需求、各種主機設(shè)備等硬件資源；考慮企業(yè)信息化網(wǎng)絡(luò)和Internet相連的方式和安全措施；機房的選址、設(shè)計和施工要點等；ADSL VPN線路、專線線路和樓內(nèi)線路的綜合布線和施工。特別是機房的空間要留有一定的余量，主機設(shè)備要留有一定的擴展空間，設(shè)備的選型要考慮到企業(yè)未來五年的性能需求增長。

2.3安全需求分析

安全需求分析包括以下三方面：

1、物理安全風(fēng)險分析。物理安全是企業(yè)信息化建設(shè)中網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全風(fēng)險主要包括火災(zāi)、地震、電源故障、設(shè)備被盜、電磁輻射和報警系統(tǒng)設(shè)計缺陷等導(dǎo)致的事故發(fā)生。

2、鏈路傳輸風(fēng)險分析。鏈路傳輸風(fēng)險和各個局域網(wǎng)中采用的布線方式有關(guān)，例如當(dāng)采用UTP非屏蔽布線時，就會存在網(wǎng)絡(luò)信息通過電磁輻射泄露的風(fēng)險。

3、網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險分析。網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險主要包括來自外部網(wǎng)絡(luò)的安全威脅、內(nèi)部局域網(wǎng)的安全威脅和網(wǎng)絡(luò)設(shè)備的安全隱患三方面。

3、企業(yè)信息化建設(shè)安全解決方案

3.1網(wǎng)絡(luò)邊界安全防護(hù)

對于簡單的安全控制，由路由器作網(wǎng)絡(luò)層的初步安全保障，通過配置路由器的訪問控制列表，過濾不要的信息流。對于復(fù)雜的信息網(wǎng)絡(luò)，安全控制要通過防火墻來實現(xiàn)。通過制定相應(yīng)的安全策略，防火墻控制用戶的訪問權(quán)限，通過開啟服務(wù)器需要使用的端口，關(guān)閉非法使用的端口，控制網(wǎng)絡(luò)安全。通過配置防火墻實現(xiàn)以下功能：

1、通過配置IP地址、端口、協(xié)議等參數(shù)，允許內(nèi)網(wǎng)中的部分用戶訪問外部網(wǎng)絡(luò)，其他用戶則無權(quán)通過防火墻訪問外網(wǎng)。

2、對一個端口、一組IP地址或應(yīng)用協(xié)議設(shè)置最小帶寬或最大帶寬，通過對網(wǎng)絡(luò)流量的控制實現(xiàn)網(wǎng)絡(luò)資源的優(yōu)化配置，從而提高網(wǎng)絡(luò)效率。

3、通過URL地址、不良關(guān)鍵詞和網(wǎng)頁分類過濾不良內(nèi)容。

3.2入侵檢測與防御

入侵檢測可以擴展管理人員的安全監(jiān)視、審計、攻擊識別等安全管理能力，幫助信息化系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，從而提高系統(tǒng)安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測是一種主動地安全防護(hù)技術(shù)，被認(rèn)為是在防火墻后的第二道安全門，它通過記錄事件、阻塞網(wǎng)絡(luò)連接和報警功能等，在網(wǎng)絡(luò)安全受到侵害前進(jìn)行攔截。

對于完善的入侵檢測系統(tǒng)而言，不僅能讓系統(tǒng)管理人員了解網(wǎng)絡(luò)系統(tǒng)的變化，還能為管理人員提供網(wǎng)絡(luò)安全策略，從而實現(xiàn)網(wǎng)絡(luò)的多層次、立體保護(hù)。通過實時檢測服務(wù)器服務(wù)的用戶信息、網(wǎng)絡(luò)數(shù)據(jù)流量、網(wǎng)絡(luò)負(fù)載容量等內(nèi)容，警告信息給管理人員、通過各種規(guī)則配置阻止黑客入侵，跟蹤并定位黑客的攻擊位置。入侵檢測與防御可以通過旁路IDS和在線IPS兩種方式實現(xiàn)。旁路IDS的缺點是阻斷效果差，線IPS會產(chǎn)生延遲，但是阻斷能力強，為了充分發(fā)揮二者的優(yōu)勢，可以進(jìn)行可以的配置，在安全和性能之間找到一個良好的平衡。

3.3安全漏洞掃描與評估

安全漏洞掃描最能全面和直接地找出企業(yè)范圍防火墻、數(shù)據(jù)庫服務(wù)器、網(wǎng)絡(luò)服務(wù)和應(yīng)用服務(wù)器等的安全現(xiàn)狀，通過找出安全漏洞，然后根據(jù)不用的風(fēng)險等級，制定出相應(yīng)的修補辦法。掃描器又分為漏洞掃描器、系統(tǒng)掃描器和數(shù)據(jù)庫掃描器三種，漏洞掃描器掃描的對象主要是服務(wù)器、網(wǎng)絡(luò)打印機、工作站、防火墻、路由交換機等網(wǎng)絡(luò)設(shè)備，通過找出網(wǎng)絡(luò)設(shè)備存在的弱點，及時制定安全策略；系統(tǒng)掃描器通過比較實際的主機配置，全面分析企業(yè)內(nèi)部操作系統(tǒng)的安全風(fēng)險，例如不適當(dāng)?shù)挠脩魴?quán)限，缺少安全補丁，不正確的登錄方式等；和數(shù)據(jù)庫掃描器通過定期地掃描數(shù)據(jù)庫，檢查數(shù)據(jù)庫中存在的安全漏洞，通過運行審核程序提供安全風(fēng)險報告。

3.4防病毒系統(tǒng)

在企業(yè)信息化建設(shè)中防病毒系統(tǒng)應(yīng)該采取預(yù)防為主、全面防護(hù)的對策，要采用多平臺多方位的防病毒產(chǎn)品，滿足安全系統(tǒng)全面防范的目的。防病毒系統(tǒng)主要采用的方式有：

1、單機病毒防火墻。該方式主要適用于沒有聯(lián)網(wǎng)的單個計算機。

2、服務(wù)器病毒防火墻。由于服務(wù)器為所有工作站提供數(shù)據(jù)共享，因而會成為病毒攻擊的理想場所，因此服務(wù)器病毒防火墻為企業(yè)網(wǎng)絡(luò)中最為常見的。

3、電子郵件服務(wù)器病毒防火墻。通過對郵件進(jìn)行病毒掃描工作，防止服務(wù)器不受病毒侵害，同時也防止郵件交叉感染病毒。

4、網(wǎng)絡(luò)殺毒服務(wù)器。該方式是基于Web的、實時的、可集中控制的反病毒解決方法，在病毒爆發(fā)期，管理人員首先更新病毒庫，然后對整個企業(yè)進(jìn)行病毒掃描。

篇6

關(guān)鍵詞：新形勢；石化企業(yè)；安全管理

近年來隨著國際局勢的不斷惡化，國際油價也產(chǎn)生了劇烈的變化，這對我國石油化工企業(yè)的正常經(jīng)營與發(fā)展帶來了很不利的影響。在市場經(jīng)濟下，我國的石油化工企業(yè)以利益的最大化為指導(dǎo)思想，這就對石油化工企業(yè)的安全管理提出了更高層次的要求。為了石油化工企業(yè)在新形勢下正常生產(chǎn)的展開，石油化工企業(yè)必須防范于未然，采取新的手段保證石油化工企業(yè)在安全生產(chǎn)中獲得更多的經(jīng)濟效益。

1新形勢下石化企業(yè)安全管理的指導(dǎo)思想

在我國國內(nèi)石油化工企業(yè)生產(chǎn)中，安全是居于一切之上的頭等大事，為了在新形勢下進(jìn)一步推進(jìn)我國石油化工企業(yè)安全化程度的提高，我國石油化工企業(yè)應(yīng)以過去的成熟理論與成功經(jīng)驗為基礎(chǔ)，參考國際上較為成熟的安全生產(chǎn)標(biāo)準(zhǔn)，用以促進(jìn)我國石油化工企業(yè)安全化程度的提高。在這個過程中，石油化工企業(yè)需要提出符合國際慣例、標(biāo)準(zhǔn)運作，符合中國國情并以創(chuàng)造最大化生產(chǎn)效益為目標(biāo)的相關(guān)石油化工企業(yè)安全管理的指導(dǎo)思想，只有這樣才能保證新形勢下石油化工企業(yè)的安全管理及正常發(fā)展的有序開展，促進(jìn)我國石油化工相關(guān)行業(yè)的再次進(jìn)步。在石油化工企業(yè)加強自身安全管理的過程中，要正確處理好實際國情與國際慣例之間的矛盾，不能在安全管理的加強中全盤西化，認(rèn)為國際上規(guī)定的就是符合中國的。石油化工企業(yè)在安全管理的加強中需要明確我國實際國情，盡可能在國家可以接受的范圍內(nèi)與世界接軌，提高我國石油化工行業(yè)的國際化程度。

2新形勢下石化企業(yè)安全管理的具體措施

2.1建立安全生產(chǎn)風(fēng)險評估與控制相關(guān)組織想要在新形勢下提升我國石油化工企業(yè)的安全管理，這份工作不是一兩個人拍拍腦子就能解決的，而是必須由一支專業(yè)的安全生產(chǎn)風(fēng)險評估與控制的團(tuán)隊進(jìn)行全面的研究、系統(tǒng)的協(xié)作。如果石油化工企業(yè)只靠幾個人就妄想提高石油化工的安全管理程度，很容易出現(xiàn)風(fēng)險辨識不全不準(zhǔn)、評估結(jié)果不符合實際、風(fēng)險控制措施使用不當(dāng)?shù)惹闆r的發(fā)生，對我國石油化工安全化程度的提高將帶來很不利的影響。我國的三家石油公司：“中石油、中石化、中國海洋石油”在安全管理方面存在很大的共性，雖然它們之間既有合作也有競爭，但事關(guān)國家石油安全生產(chǎn)方面的重大問題，國家有必要派出相關(guān)部門的專業(yè)人員督促三大石油企業(yè)共同組織石油化工安全管理風(fēng)險評估與控制的相關(guān)組織，各個石油公司在組織中分享彼此的安全管理經(jīng)驗，共同商討石油市場中的相關(guān)安全對策，通過取長補短，各個石油公司能夠在不斷交流中提高自身石油化工生產(chǎn)中的安全化程度，這些在不創(chuàng)建三大石油企業(yè)聯(lián)合的相關(guān)組織前是很難做到的。

2.2建立一支專業(yè)化高素質(zhì)的安全管理隊伍想要提高石油化工企業(yè)的安全管理程度，保證石油化工企業(yè)各安全工作的落實到位，就必須擁有一支高素質(zhì)的安全管理團(tuán)隊。在對自身安全管理程度的提高中，石油化工企業(yè)必須轉(zhuǎn)變自身的傳統(tǒng)觀念，運用先進(jìn)的國際石油生產(chǎn)安全理論與成果進(jìn)行自身企業(yè)的安全管理創(chuàng)新。在這個過程中，一些文化水平較低、缺乏相關(guān)安全生產(chǎn)觀念的管理人員很難適應(yīng)企業(yè)安全化程度的提升，這就需要企業(yè)對相關(guān)員工進(jìn)行安全教育培訓(xùn)，將對相關(guān)員工安全素質(zhì)的培養(yǎng)放在企業(yè)運營的重點環(huán)節(jié)，只有通過安全教育，培訓(xùn)出高素質(zhì)的安全管理團(tuán)隊，才能從根本上提高石油化工企業(yè)的安全管理水平。

2.3對員工進(jìn)行更全面專業(yè)的員工安全培訓(xùn)只有讓企業(yè)中每一名員工清楚認(rèn)識到我國石油化工企業(yè)遭受的國際、國內(nèi)形勢沖擊，認(rèn)清當(dāng)前新形勢下石油化工企業(yè)面臨的機遇和挑戰(zhàn)，才能從根本上提高員工的危機意識，并以此提高我國石油化工企業(yè)的安全管理程度。石油化工企業(yè)在培養(yǎng)員工危機意識中，可以采取印發(fā)相關(guān)資料、召開專題講座、外出培訓(xùn)等多種形式，將國內(nèi)新形勢下國家倡導(dǎo)的法制觀念、生命價值觀念灌輸?shù)矫恳幻麊T工的腦海中，將國際中流行的HSE體系的理念和方法落實到實處，以此杜絕石油化工企業(yè)生產(chǎn)中重大惡性事故的發(fā)生。

2.4堅持走可持續(xù)發(fā)展的社會主義發(fā)展道路石油化工企業(yè)在自身發(fā)展中，必須走在國家規(guī)定的可持續(xù)發(fā)展的道路上，實現(xiàn)石油化工企業(yè)創(chuàng)造的經(jīng)濟效益與社會效益相協(xié)調(diào)、相均衡的發(fā)展，并在發(fā)展中注重資源配置與投入產(chǎn)出之間的最大效益，以質(zhì)量為長遠(yuǎn)發(fā)展的重點關(guān)注對象。石油化工企業(yè)在具體生產(chǎn)中，不可以只追求生產(chǎn)速度，而忽視了對生產(chǎn)安全的相關(guān)要求，石油化工企業(yè)應(yīng)該加大對企業(yè)生產(chǎn)中的安全、衛(wèi)生等設(shè)施的資金投入力度，雖然這會造成企業(yè)生產(chǎn)成品的增加，但從長遠(yuǎn)角度考慮，相關(guān)建設(shè)能夠大大降低石油化工企業(yè)生產(chǎn)中出現(xiàn)重大惡性事故的幾率，使員工工作的安全性大大提高，員工工作安全有了保障，自然就會提升其勞動效率，石油化工企業(yè)也能因此得到進(jìn)一步發(fā)展。

3結(jié)語

在新形勢下，國家對石油化工企業(yè)的安全管理提出了新的要求，石油化工企業(yè)必須通過對自身安全化程度的全面提升，才能適應(yīng)如今國際、國內(nèi)市場競爭的加劇，促進(jìn)我國石油化工行業(yè)的可持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]高貢林.新形勢下石油化工企業(yè)安全管理新舉措[J].石油天然氣學(xué)報,2009,04:412~414.

[2]常云海.石油化工企業(yè)安全文化建設(shè)體系構(gòu)建與應(yīng)用研究[D].首都經(jīng)濟貿(mào)易大學(xué),2014.

篇7

[摘 要] 信息安全審計系統(tǒng)針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關(guān)審計功能。從管理層面提供互聯(lián)網(wǎng)的有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護(hù)措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險防范。

[關(guān)鍵詞] 安全；信息系統(tǒng)；審計；虛擬化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號] F239.1 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2017）07- 0058- 04

1 引 言

隨著信息技術(shù)的高速發(fā)展，企業(yè)業(yè)務(wù)對于IT系統(tǒng)的依賴性不斷增強，信息和業(yè)務(wù)交付的靈活性與信息安全保護(hù)、防止泄露成為實際工作中的矛盾，企業(yè)IT運營既要滿足業(yè)務(wù)發(fā)展對業(yè)務(wù)交付靈活性的要求，又要防止信息泄露，因為信息安全問題關(guān)系到企業(yè)的聲譽，同時關(guān)系到企業(yè)的經(jīng)營風(fēng)險，更關(guān)系到國家的機密信息安全。

2 目前化工行業(yè)信息安全風(fēng)險分析

2.1 化工行業(yè)信息化發(fā)展趨勢

石油化學(xué)工業(yè)是基礎(chǔ)性產(chǎn)業(yè)，在國民經(jīng)濟中占有舉足輕重的地位，是我國的支柱產(chǎn)業(yè)部門之一，化工行業(yè)之所以重視信息化工作，首先與2015年總理提出的“互聯(lián)網(wǎng)+”的大發(fā)展背景密不可分，工藝流程的制定、化工裝置的運行、化工產(chǎn)品的銷售都高度依賴于信息化、互聯(lián)網(wǎng)技術(shù)；其次是從化工行業(yè)的自身特點衍生出來的，其產(chǎn)品數(shù)量多、種類多，產(chǎn)品各個環(huán)節(jié)的各個控制點特別多，這就要求用信息化技術(shù)能夠?qū)どa(chǎn)中的各個環(huán)節(jié)產(chǎn)生積極和促進(jìn)作用。

2.2 化工行業(yè)信息安全管理的現(xiàn)狀和挑戰(zhàn)

因為信息安全管理的要求，在網(wǎng)絡(luò)管理層面，石油系統(tǒng)內(nèi)的企業(yè)已經(jīng)建立了完善的內(nèi)、外網(wǎng)隔離的管理平臺，兩個網(wǎng)絡(luò)完全物理隔離，不能互相訪問；石油系統(tǒng)內(nèi)還部署了病毒防御、主動攻擊防御系統(tǒng)（Symantec Endpoint Protection），保密安全，漏洞防護(hù)等一系列安全防護(hù)系統(tǒng)，看似已經(jīng)建立了一個信息非常安全、固若金湯的基礎(chǔ)架構(gòu)。但在實際業(yè)務(wù)發(fā)展中，仍然存在一些隱患，不容忽視，面臨挑戰(zhàn)。

一方面企業(yè)的業(yè)務(wù)已經(jīng)非常依賴信息系統(tǒng)，因為業(yè)務(wù)發(fā)展需要急需把內(nèi)網(wǎng)系統(tǒng)交付到外網(wǎng)去，即人員在出差過程中能處理內(nèi)網(wǎng)的業(yè)務(wù)?，F(xiàn)有的內(nèi)外網(wǎng)隔離架構(gòu)，只有特權(quán)用戶能夠進(jìn)行辦公，為新的用戶授權(quán)又需要經(jīng)過一系列嚴(yán)格的程序，交付周期相對較長，因此不具備實現(xiàn)業(yè)務(wù)交付的靈活性。

另一方面，即使建立了內(nèi)外網(wǎng)隔離的架構(gòu)，也不能從根本阻止信息泄露，而且對于信息泄露事件也不能做到追本溯源，以避免類似事件發(fā)生。據(jù)全球權(quán)威的調(diào)查機構(gòu)報告顯示客戶發(fā)生的信息泄露75%來自系統(tǒng)內(nèi)部網(wǎng)絡(luò)，而且超過50%的信息泄露沒有找到信息泄露的源頭。外網(wǎng)通過入侵，只能獲得企業(yè)非關(guān)鍵信息；而對內(nèi)網(wǎng)進(jìn)行的各種違規(guī)操作，才是最致命的，給企業(yè)帶來巨大的經(jīng)營風(fēng)險。所以即使進(jìn)行了完全隔離，也不能杜絕信息泄露，內(nèi)部網(wǎng)絡(luò)的信息泄露主要來自于以下三個方面（見圖1）：

（1）由外包服務(wù)公司員工引起信息泄露。伴隨著IT系統(tǒng)越來越復(fù)雜，客戶本身很難成為各種應(yīng)用系統(tǒng)、各種管理系統(tǒng)的專家，往往采用服務(wù)外包方式進(jìn)行管理，現(xiàn)實的問題在于，由于沒有一套完善的監(jiān)控、審計機制，外包服務(wù)公司人員究竟在管理平臺上修改了什么，平臺上的數(shù)據(jù)被是否被保存到了IT服務(wù)外包人員本地電腦上并被泄漏出去，是否有危及系統(tǒng)安全和數(shù)據(jù)保密的操作都不得而知，出現(xiàn)人為操作故障后，追溯問題根源存在爭執(zhí)，追究責(zé)任困難，這就成為了信息泄露的最大漏洞。

（2）由內(nèi)部IT人員引起信息泄露。在IT系統(tǒng)管理過程中，IT管理人員通常有非常大的權(quán)限，如何管理和評估這些人員在日常工作中是否有超過權(quán)限的操作，怎么清晰地知道哪個IT人員什么時間做過什么操作，都是擺在企業(yè)面前的現(xiàn)實問題。

（3）由內(nèi)部業(yè)務(wù)人員引起信息泄露。業(yè)務(wù)人員因為直接掌握了企業(yè)財務(wù)、設(shè)備、銷售、物料、物流等各個方面的數(shù)據(jù)，也是信息泄露的關(guān)鍵因素之一。

3 建設(shè)審計系統(tǒng)的意義

由于企業(yè)信息安全管理存在外包服務(wù)公司員工引起信息泄露、炔IT人員引起信息泄露、內(nèi)部業(yè)務(wù)人員引起信息泄露的情況，因此圍繞業(yè)務(wù)系統(tǒng)需要建立可控的、有序的安全架構(gòu)，以防止和杜絕任何企業(yè)數(shù)據(jù)泄漏的隱患，通過使用信息內(nèi)容審計系統(tǒng)能夠在已建立起的網(wǎng)絡(luò)安全平臺上再增加一道安全防護(hù)屏障，從而實現(xiàn)真正完善的信息安全防護(hù)體系，這對企業(yè)的信息化發(fā)展具有重要意義，使用信息內(nèi)容審計系統(tǒng)的具體價值體現(xiàn)在以下幾點：

（1）審計敏感信息接觸者，如IT管理員、業(yè)務(wù)人員、外包公司員工，他們都需要通過審計管控平臺，才能獲得信息系統(tǒng)的訪問、管理權(quán)限，獲得其需要的應(yīng)用和數(shù)據(jù)，如此便可實現(xiàn)從源頭上防范信息數(shù)據(jù)的泄露。

（2）IT管理員、業(yè)務(wù)人員、外包公司員工的所有操作行為可以通過回放錄像的方式進(jìn)行檢索，從而捕捉到關(guān)鍵行為、操作，對于出現(xiàn)的信息泄露等重大問題，責(zé)任范圍可追溯，做到有依可循、有據(jù)可查。

（3）對于系統(tǒng)故障，誤刪除等操作造成的數(shù)據(jù)丟失可以通過操作行為錄像回放，找出故障原因，找回丟失的重要數(shù)據(jù)，從而保證企業(yè)的財產(chǎn)不受損失，保證企業(yè)的名譽不受損失。

4 審計的方法、特點

審計系統(tǒng)綜合了核心系統(tǒng)運維和安全審計管控兩大主干功能，從技術(shù)實現(xiàn)上講，通過切斷終端計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而采用協(xié)議的方式，接管了終端計算機對網(wǎng)絡(luò)和服務(wù)器的訪問。目前普遍采用的審計方式有兩種，一種采用一體堡壘機的方法，一種采用服務(wù)器、審計軟件兩層架構(gòu)的方法。

4.1 一體堡壘機功能

（1）單點登錄功能：支持對Windows、LINUX、UNIX、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實現(xiàn)自動登錄目標(biāo)設(shè)備，便捷安全。

（2）統(tǒng)一的賬號管理：能夠?qū)λ蟹?wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號進(jìn)行集中管理，化繁為簡，實現(xiàn)對維護(hù)管理員的統(tǒng)一審核。

（3）資源授權(quán)：設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型IP、行為等要素實現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的安全。

（4）訪問控制：設(shè)備支持對不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。

（5）操作審計：能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計；通過設(shè)備錄像方式實時監(jiān)控運維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作，對違規(guī)行為進(jìn)行事中控制。對終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。

4.2 審計軟件功能

新一代的審計軟件克服了傳統(tǒng)堡壘機的很多不足，如專用硬件不易維修、升級困難、不能實現(xiàn)應(yīng)用和數(shù)據(jù)管控、不能對圖像操作進(jìn)行檢索等，在繼承了傳統(tǒng)堡壘機的基礎(chǔ)上又具備以下優(yōu)點：

（1）應(yīng)用管控。實現(xiàn)獨立管控，不同人員獲得使用不同應(yīng)用程序的權(quán)限。

（2）數(shù)據(jù)管控。無論局域網(wǎng)操作者還是廣域網(wǎng)遠(yuǎn)程操作者，在審計環(huán)境下可以看到數(shù)據(jù)，使用數(shù)據(jù)，但無法下載數(shù)據(jù)。

（3）高安全性。以客戶端/服務(wù)器方式運行，將用戶行為變?yōu)榭梢?、可跟蹤、可鑒定，保護(hù)重要數(shù)據(jù)的安全。

（4）集中審計，審計無盲點。實現(xiàn)集中審計、集中訪問控制，對于企業(yè)重要系統(tǒng)和數(shù)據(jù)的管理，有非常重要的價值；

（5）準(zhǔn)確追溯歷史。在服務(wù)器上部署審計軟件的科學(xué)方式能夠?qū)碓L人員的行為完整的記錄，并保存在服務(wù)器上，審計人員能夠按照其想調(diào)查的時間點、調(diào)查的操作人、調(diào)查的內(nèi)容進(jìn)行選擇，通過清晰的視頻回放準(zhǔn)確的定位操作行為。

（6）行為分析報表。能夠提供準(zhǔn)確、詳細(xì)的審計報表，直觀的展現(xiàn)歷史過程。

此外，新一代的審計軟件還具備更為可靠、先進(jìn)的核心業(yè)務(wù)非法訪問監(jiān)測、惡意程序篡改進(jìn)程、關(guān)鍵數(shù)據(jù)的訪問監(jiān)測、多維度的行為分析和查詢、云終端用戶操作等行為審計等功能。

5 審計系統(tǒng)的建設(shè)

鑒于石油化工系統(tǒng)的信息安全、數(shù)據(jù)保密的重要性，在設(shè)計企業(yè)信息安全防護(hù)系統(tǒng)時要充分考慮到架構(gòu)是否能夠有效的起到安全防護(hù)作用、規(guī)范作用，是否能夠為企業(yè)運營節(jié)省成本、提升企業(yè)運營效率等因素，因此在設(shè)計架構(gòu)時要打破傳統(tǒng)安全防護(hù)的壁壘，在創(chuàng)新發(fā)展與嚴(yán)密管控之間找到平衡點，充分發(fā)揮出架構(gòu)的優(yōu)勢。

5.1 架構(gòu)組成

架構(gòu)由三個部分組成，分別是客戶部分、集中訪問控制部分、信息系統(tǒng)部分（見圖2）。

（1）客戶部分，包括IT管理人員、IT運維人員、IT外包人員、審計人員等。

（2）集中訪問控制部分，這里是審計系統(tǒng)的核心控制區(qū)，包括行為審計應(yīng)用產(chǎn)品、審計數(shù)據(jù)存儲產(chǎn)品、訪問控制程序區(qū)（SSH、Putty、SecureCRT、遠(yuǎn)程桌面等）。

（3）信息系統(tǒng)部分，包含企業(yè)的各個生產(chǎn)、銷售、物料等信息系統(tǒng)。

5.2 架構(gòu)設(shè)計

方案采用應(yīng)用虛擬化技術(shù)+智能審計解決方案，采用行業(yè)中技術(shù)領(lǐng)先的CitrixXenapp+AuditSys審計產(chǎn)品，構(gòu)建一個安全的集中訪問平臺，將用戶與信息系統(tǒng)分隔開。

首先建立XenApp平臺，將遠(yuǎn)程服務(wù)器和客戶機上的應(yīng)用程序部署到XenApp平臺上，客戶端設(shè)備只需通過IE就可以運行應(yīng)用系統(tǒng)，多用戶同時訪問時，由XenApp管理應(yīng)用客戶端軟件的多進(jìn)程訪問，并控制向不同用戶的權(quán)限，服務(wù)器與客戶端之間的數(shù)據(jù)傳輸只是屏幕變化和鼠標(biāo)鍵盤的指令信息，而不傳輸任何實際操作數(shù)據(jù)，真實的數(shù)據(jù)傳輸發(fā)生在XenApp平臺與信息系統(tǒng)部分之間，從安全性角度分析，這種安全性接近于物理環(huán)境隔離。

然后在XenApp平臺上部署AuditSys產(chǎn)品，實現(xiàn)審計任何通過Xenapp平臺訪問的用戶會話，也可以審計任何通過遠(yuǎn)程桌面、終端服務(wù)、PCANYWHERE等遠(yuǎn)程協(xié)議訪問過來的會話，也可以審計通過KVM或者通過本地登的用戶會話，通過與Citrix XenApp的無縫集成，不僅可以構(gòu)建一個安全的遠(yuǎn)程集中訪問平臺，還可以對所有的用戶會話，管理員維護(hù)操作等用戶行為進(jìn)行審計。

所有的行為審計過程需要完整的記錄并保存，這里部署了Auditsys App Server，保存了Auditsys記錄的完整的行為過程，為檢查人員、審核人員的安全檢查提供可靠依據(jù)。

5.3 架構(gòu)優(yōu)勢

XenApp集中化方法將所有應(yīng)用程序和數(shù)據(jù)存儲都集中在數(shù)據(jù)中心服務(wù)器上，并把數(shù)據(jù)的管理嚴(yán)格控制在數(shù)據(jù)中心。

該方法從安全角度和先進(jìn)角度出發(fā)，在安全防護(hù)方面做到了數(shù)據(jù)的不可復(fù)制，在該架構(gòu)下，只有用戶界面、鍵盤敲擊和鼠標(biāo)操作等小量交互信息通過網(wǎng)絡(luò)傳輸，且都是經(jīng)過加密處理的。

XenApp上的應(yīng)用程序需要上層管理者授權(quán)才能使用，保證了應(yīng)用的管控和規(guī)范使用。

客戶部分使用計算機在完成數(shù)據(jù)操作時，只能夠看到所使用的數(shù)據(jù)，真正的數(shù)據(jù)依然存放在集中訪問控制部分和信息系統(tǒng)中，充分做到了數(shù)據(jù)的安全防護(hù)。

AuditSys具備功能強大的數(shù)據(jù)搜索引擎，支持細(xì)化的組合查詢、多條件選擇查詢，幫助用戶快速完成記錄搜索。

6 總 結(jié)

信息化是企業(yè)工業(yè)生產(chǎn)的重要驅(qū)動力，是企業(yè)可持續(xù)發(fā)展的重要因素，互聯(lián)網(wǎng)+工業(yè)是未來工業(yè)發(fā)展的方向，且工業(yè)信息化發(fā)展的前提又是信息安全，因此，企業(yè)信息安全防護(hù)系統(tǒng)做的好不好，企業(yè)信息安全管理規(guī)范，直接作用于企業(yè)的工業(yè)信息化發(fā)展，進(jìn)而影響企業(yè)的發(fā)展動力、產(chǎn)品創(chuàng)新、技術(shù)產(chǎn)品等多個方面。而信息安全體系中，人員的管控的是最復(fù)雜、最困難的，信息工作中，能否通過有效的安全系統(tǒng)及時有效的發(fā)現(xiàn)、制止信息泄密事件，做到未雨綢繆；能否在發(fā)生泄密事件后，準(zhǔn)確的查出泄密原因，找出泄密人員，亡羊補牢，這尤其需要企業(yè)在信息安全工作中重點考慮，以保證企業(yè)的信息安全防護(hù)系統(tǒng)堅固、夯實，以保證企業(yè)的信息化發(fā)展健康、穩(wěn)步。

主要參考文獻(xiàn)

[1]鄧小榕，陳龍.安全審計數(shù)據(jù)的綜合審計分析方法[J].重慶郵電學(xué)院學(xué)報：自然科學(xué)版，2005（5）.

[2]許霆，袁萌，史美林.網(wǎng)絡(luò)監(jiān)控審計系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用，2002（18）.

[3]鄧瑛，常國岑.網(wǎng)絡(luò)安全監(jiān)控與審計系統(tǒng)的設(shè)計與實現(xiàn)[J]，計算機工程，2002（12）.

[4]張俊良.基于信息過濾的網(wǎng)絡(luò)安全審計系統(tǒng)的研究與實現(xiàn)[D].西安：西北大學(xué)，2009.

[5]曹暉，王青青.新型數(shù)據(jù)庫安全審計系統(tǒng)[J].計算機工程與應(yīng)用，2007，43（5）：163-165.

[6]王淵，馬駿.一種基于入侵檢測的數(shù)據(jù)庫安全審計[J].計算機仿真，2007，24（2）：33-36.

[7]高彩容.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計技術(shù)研究[D].西安：西安電子科技大學(xué)，2008.

[8]韋猛，程克非.基于主機信息內(nèi)容審計系統(tǒng)的設(shè)計與實現(xiàn)[J].重慶郵電大學(xué)學(xué)報，2008，20（6）：725-728.

[9]范紅，邵華.應(yīng)用系統(tǒng)安全審計檢測研究[J].信息網(wǎng)絡(luò)安全，2012（8）：170-172.

篇8

［關(guān)鍵詞］網(wǎng)絡(luò)安全；信息化；數(shù)據(jù)信息

1企業(yè)信息化建設(shè)集成的重要性

首先，在企業(yè)管理上具有重要現(xiàn)實意義。在企業(yè)的經(jīng)營和發(fā)展過程中經(jīng)營的業(yè)務(wù)越來越多，區(qū)域越來越廣泛，導(dǎo)致企業(yè)管理任務(wù)越來越復(fù)雜和多樣，企業(yè)內(nèi)部的組織結(jié)構(gòu)和流程控制體系越來越完善，這都是因為信息化建設(shè)集成發(fā)揮了重要作用，其還促進(jìn)管理服務(wù)和觀念朝著信息化的方向發(fā)展。其次，企業(yè)信息化建設(shè)符合時展的潮流。如果想讓集成化效率達(dá)到最高水平，就需要對傳統(tǒng)的管理模式進(jìn)行創(chuàng)新和發(fā)展，避免在集成化效率提高的同時帶來一些嚴(yán)重的問題和風(fēng)險，例如：現(xiàn)場安全管理和對管理人員的裁減等，企業(yè)必須在網(wǎng)絡(luò)信息技術(shù)和計算機技術(shù)發(fā)展飛速的今天，對內(nèi)部管理體系進(jìn)行創(chuàng)新和改革，挖掘各組織和員工內(nèi)在潛能和上升空間，在激烈的市場競爭中提升企業(yè)自身的活力與優(yōu)勢，從而將企業(yè)的經(jīng)濟收益上升到最高峰。第三，信息化建設(shè)集成具有自身獨特的優(yōu)勢。大型公司集團(tuán)會運用最新的互聯(lián)網(wǎng)數(shù)據(jù)和先進(jìn)的計算機技術(shù)創(chuàng)建一個管理信息平臺，通過這個平臺將在生產(chǎn)和管理方面的數(shù)據(jù)信息進(jìn)行共享和聯(lián)動，利用相關(guān)軟件和系統(tǒng)將公司管理朝著集成化、信息化方向發(fā)展，有效地為公司的管理層提供決策理論支持，避免公司集團(tuán)內(nèi)部組織結(jié)構(gòu)和人員冗雜，有效提高運營各環(huán)節(jié)的工作效率，以提供高質(zhì)量、高效的服務(wù)。

2企業(yè)信息化建設(shè)集成中存在的網(wǎng)絡(luò)安全問題

在利用現(xiàn)代網(wǎng)絡(luò)信息平臺對企業(yè)相關(guān)數(shù)據(jù)進(jìn)行優(yōu)化整合時，網(wǎng)絡(luò)安全方面還存在一定的問題，企業(yè)相關(guān)信息和資料很容易受到網(wǎng)絡(luò)攻擊，系統(tǒng)很容易被黑客入侵，導(dǎo)致數(shù)據(jù)和信息被竊取或者丟失，這些問題都不利于企業(yè)的現(xiàn)代信息化建設(shè)集成和正常的運營發(fā)展。從外部環(huán)境來看，日益競爭的市場環(huán)境是造成網(wǎng)絡(luò)安全管理的大環(huán)境因素，隨著時代快速的發(fā)展和科學(xué)技術(shù)的進(jìn)步，一些不法分子會利用黑客技術(shù)和網(wǎng)絡(luò)病毒竊取企業(yè)內(nèi)部的數(shù)據(jù)資料，并通過出售來牟取巨額利潤，這種情況若得不到有效控制和整改，會導(dǎo)致企業(yè)網(wǎng)絡(luò)安全環(huán)境日益惡化。其次，從企業(yè)的內(nèi)部因素出發(fā)，企業(yè)信息化建設(shè)集成出現(xiàn)網(wǎng)絡(luò)安全問題是因為企業(yè)自身沒具備成熟的網(wǎng)絡(luò)信息安全理念，沒有采取相關(guān)的措施保證自身的網(wǎng)絡(luò)信息安全，所以企業(yè)相關(guān)意識的缺乏使黑客有機可乘，他們簡單操作就能獲得企業(yè)內(nèi)部的數(shù)據(jù)信息?？傊?，缺乏一定的網(wǎng)絡(luò)信息防護(hù)手段和對員工的網(wǎng)絡(luò)信息安全培訓(xùn)，會導(dǎo)致企業(yè)在信息化建設(shè)集成中受到更大的網(wǎng)絡(luò)信息安全威脅。

3保障企業(yè)信息化建設(shè)集成中網(wǎng)絡(luò)安全的措施

3.1創(chuàng)建企業(yè)信息安全標(biāo)準(zhǔn)

針對企業(yè)信息化建設(shè)集成中可能會出現(xiàn)的病毒入侵、非法訪問和信息竊取等問題，筆者提出了一些加強網(wǎng)絡(luò)安全的措施。首先，要建設(shè)一個信息化安全相關(guān)標(biāo)準(zhǔn)。當(dāng)企業(yè)應(yīng)用現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)，尤其是計算機集成制造系統(tǒng)時，要創(chuàng)建一個高效、高質(zhì)量的企業(yè)信息化機制和信息安全標(biāo)準(zhǔn)，保證所有信息工作都具備標(biāo)準(zhǔn)流程，例如：我國現(xiàn)已存在的信息安全管理度量機制和測量措施，能夠促使企業(yè)在運用網(wǎng)絡(luò)信息平臺時，提高自身的信息管理水平，從而保證企業(yè)在日常運用中能夠順利、安全地開展相關(guān)信息交流和信息傳遞工作。

3.2運用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)

要引入現(xiàn)代網(wǎng)絡(luò)安全技術(shù)，包括防火墻技術(shù)、入侵檢測技術(shù)信息加密技術(shù)、訪問控制技術(shù)等。防火墻技術(shù)是指將計算機與外部建立一道隔墻，防火墻技術(shù)包括網(wǎng)絡(luò)級防火墻與應(yīng)用級防火墻兩種，網(wǎng)絡(luò)級能夠有效防止網(wǎng)絡(luò)中的非法入侵，應(yīng)用級防火墻技術(shù)是全方位地防護(hù)相關(guān)應(yīng)用程序，使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護(hù)能力與防護(hù)范圍不同，因此在使用過程中需要將兩者融合發(fā)揮作用，在動態(tài)防護(hù)、屏蔽路由和包過濾的基礎(chǔ)上，更好地發(fā)揮防火墻防護(hù)技術(shù)。入侵檢測技術(shù)是一種辨別網(wǎng)絡(luò)系統(tǒng)的使用是否是惡意行為的技術(shù)，其在動態(tài)中對網(wǎng)絡(luò)進(jìn)行相關(guān)檢測，及時發(fā)現(xiàn)非法訪問行為和未授權(quán)的活動并反映給計算機用戶，將軟件與硬件融合起來共同對數(shù)據(jù)進(jìn)行分析和作用，在瑣碎和繁雜的數(shù)據(jù)處理方面不再需要人工操作，減少人力和資源的浪費和管理成本。但從整體來看，效果不如防火墻技術(shù)，也不能夠完全代替防火墻技術(shù)。信息加密技術(shù)包括對稱加密與非對成加密兩種，且隨著時代的發(fā)展不斷優(yōu)化升級。該技術(shù)主要是為了避免數(shù)據(jù)被非法竊取，對相關(guān)重要的信息資料進(jìn)行加密處理，降低數(shù)據(jù)資料丟失和泄露的概率，從而在數(shù)據(jù)傳遞和資料存儲中保證數(shù)據(jù)資料的完整性和安全性。訪問控制技術(shù)是指通過檢測訪問者的信息在網(wǎng)絡(luò)中保證網(wǎng)絡(luò)資源的安全，包括高層和底層訪問控制兩種訪問模式，前者是檢測資源種類、用戶權(quán)限和用戶口令，后者是指通過通信協(xié)議中的信息判斷訪問者是否合法，并作出相關(guān)反應(yīng)。

3.3提高企業(yè)網(wǎng)絡(luò)安全管理水平

現(xiàn)代化企業(yè)集團(tuán)在發(fā)展信息化建設(shè)集成過程中還存在很多網(wǎng)絡(luò)安全隱患，但是傳統(tǒng)管理模式已經(jīng)明顯不適用于目前的發(fā)展情況，網(wǎng)絡(luò)安全受到了更大的威脅，造成的經(jīng)濟損失也較多，所以必須提高企業(yè)的網(wǎng)絡(luò)安全管理水平。首先，要提高企業(yè)網(wǎng)絡(luò)信息化系統(tǒng)管理水平和管理效率，要讓企業(yè)內(nèi)部包括員工和管理層都建立起網(wǎng)絡(luò)安全管理的觀念，創(chuàng)建一個成熟、完善的網(wǎng)絡(luò)安全管理平臺，樹立現(xiàn)代化的網(wǎng)絡(luò)安全管理意識，從而能夠及時解決企業(yè)運營和發(fā)展過程中存在的問題，將企業(yè)發(fā)展中重要的資料信息利用網(wǎng)絡(luò)技術(shù)實行集中性存儲。另外，要對所有員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和再教育，提高員工的綜合素質(zhì)水平，以規(guī)范員工對信息化系統(tǒng)的具體操作，將企業(yè)重要數(shù)據(jù)信息進(jìn)行加密處理和備份處理，企業(yè)要營造一個安全、穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境，防止網(wǎng)絡(luò)病毒和黑客的入侵。其次，企業(yè)要使用有效、實用的安全防護(hù)軟件，例如，目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用，企業(yè)要根據(jù)自身具體情況選擇一個有效的防護(hù)軟件抵制外部非法入侵，設(shè)置好相關(guān)的安全管理權(quán)限，創(chuàng)建一個完善、嚴(yán)密、分層的安全管理權(quán)限體系，在用戶登錄和用戶訪問環(huán)節(jié)都要設(shè)置權(quán)限和密碼，從而保證企業(yè)的信息安全。最后，要對企業(yè)信息化建設(shè)集成中的防火墻系統(tǒng)和訪問控制模式進(jìn)行完善的配置，安排一個較為專業(yè)的訪問控制模式，避免網(wǎng)絡(luò)環(huán)境中出現(xiàn)各種意外或者病毒入侵的情況，保證企業(yè)內(nèi)部局域網(wǎng)絡(luò)信息的安全，選擇信息隱藏模式提高網(wǎng)絡(luò)信息安全性。這種信息隱藏模式一般是運用高效的編碼將數(shù)據(jù)修改方法嵌入，包括擴頻嵌入和矩陣編碼，將編碼過程變得更加專業(yè)和復(fù)雜，網(wǎng)絡(luò)黑客一般破譯不了，有利于企業(yè)抵御網(wǎng)絡(luò)黑客入侵和系統(tǒng)漏洞，保證企業(yè)信息化建設(shè)集成的健康發(fā)展，提高企業(yè)的經(jīng)濟收益。

4運用虛擬化的云計算平臺創(chuàng)建相關(guān)安全機制

在運用虛擬化的云計算平臺時，要具備更加安全和穩(wěn)定的機制和系統(tǒng)，如行為約束機制、CHAOS系統(tǒng)和Shepherd系統(tǒng)，及時監(jiān)控計算機中的相關(guān)進(jìn)程、避免用戶錯誤操作，防止非法進(jìn)程對云計算平臺的破壞，將異常進(jìn)程進(jìn)行數(shù)據(jù)安全隔離，從而保證企業(yè)信息化建設(shè)集成中的網(wǎng)絡(luò)安全。

主要參考文獻(xiàn)

［1］王然.企業(yè)信息化建設(shè)集成與網(wǎng)絡(luò)安全措施探究［J］.數(shù)字技術(shù)與應(yīng)用,2017(1).

篇9

【關(guān)鍵詞】 企業(yè) 信息化建設(shè) 信息安全

前言

當(dāng)前，信息化建設(shè)已經(jīng)成為了各類企業(yè)建設(shè)和發(fā)展的重點內(nèi)容，企業(yè)通過信息化建設(shè)的方式，讓自身生產(chǎn)與流通工作可以更順利地進(jìn)行，并利用互聯(lián)網(wǎng)，創(chuàng)造出現(xiàn)代企業(yè)新型發(fā)展模式。但是，就實際情況而言，企業(yè)的信息化建設(shè)并不是一直處于一個平穩(wěn)的發(fā)展?fàn)顟B(tài)，在其發(fā)展的過程中也會受到諸多內(nèi)部或外部因素的影響和束縛，在信息的安全方面也存在許多的問題，如黑客入侵或是病毒入侵。如果企業(yè)信息存在的安全問題比較嚴(yán)重，不僅會給企業(yè)信息化建設(shè)造成不利影響，還有可能會影響到企業(yè)的正常運營和發(fā)展。

一、造成企業(yè)信息化建設(shè)中的信息安全問題的原因

1.1內(nèi)部原因

①企業(yè)內(nèi)部的信息安全意識缺乏，目前，雖然很多的企業(yè)都提倡建設(shè)企業(yè)內(nèi)部信息化，但是大部分企業(yè)過于注重信息化建設(shè)過程中得到的利益和優(yōu)勢，卻忽略了信息化建設(shè)中信息的安全問題。

②軟件安裝的技術(shù)比較落后，黑客與病毒的發(fā)展速度比軟件技術(shù)更新速度快。

③管理操作不得當(dāng)，在對信息系統(tǒng)進(jìn)行管理與操作的過程中過于粗心大意，給黑客與不法分子和黑客制造了入侵的機會，對企業(yè)的信息安全造成威脅。

④專業(yè)的管理人才缺乏，沒有對企業(yè)的信息安全系統(tǒng)定制出合理的安全管理策略，且沒有讓專業(yè)的操作人員對統(tǒng)系統(tǒng)進(jìn)行維護(hù)和升級，致使企業(yè)信息系存在信息安全隱患[1]。

1.2外部原因

對于大多數(shù)企業(yè)而言，信息系統(tǒng)中存在的安全威脅大部分來自于外部因素，隨著社會的不斷發(fā)展，信息建設(shè)在各類企業(yè)市場競爭中的地位和作用日益提高，許多的不法分子想盡辦法對各類企業(yè)的信息進(jìn)行竊取和破壞，以此來獲得自身的利益。還有一部分企業(yè)為了得到競爭對手企業(yè)的各類商業(yè)信息，采用不正當(dāng)?shù)氖侄纹茐幕蚴侨肭謱κ制髽I(yè)的信息系統(tǒng)，竊取對方企業(yè)的商業(yè)機密，以此來打倒對方。

二、企業(yè)信息化建設(shè)中存在的信息安全問題

2.1企業(yè)不夠重視信息系統(tǒng)的安全問題

就目前而言，國內(nèi)的大部分企業(yè)都沒有給予信息系統(tǒng)安全問題足夠的重視，沒有意識到信息系統(tǒng)安全的重要性。近年來，雖然國內(nèi)信息化建設(shè)得到了快速的發(fā)展，國內(nèi)企業(yè)的信息安全程度也有所提高，但是大部分的企業(yè)還是沒有意識到信息安全問題對企業(yè)的重要性，只看到了信息化建設(shè)給企業(yè)創(chuàng)造的短暫利益，而忽視了信息化建設(shè)信息安全的長遠(yuǎn)發(fā)展，未針對信息安全問題采取適當(dāng)?shù)姆婪洞胧率蛊髽I(yè)信息化的發(fā)展存在較多的安全隱患。

2.2企業(yè)信息化操作管理不到位

在企業(yè)進(jìn)行信息化建設(shè)的過程中，大多數(shù)的企業(yè)沒有認(rèn)識到對企業(yè)信息進(jìn)行科學(xué)管理和操作的重要性。相關(guān)的操作和管理人員在信息化建設(shè)的管理和操作中缺少合理性，導(dǎo)致黑客與入侵者有機可乘，造成企業(yè)信息外泄。企業(yè)的信息化建設(shè)是一個全新的的概念，其中的信息系統(tǒng)管理，信息安全系統(tǒng)的維護(hù)與升級都必須由專業(yè)的操作人員進(jìn)行操作和管理，因此，專業(yè)技術(shù)人員專業(yè)技能的缺乏和個人的素質(zhì)對企業(yè)的信息安全有著直接的影響。

2.3可用于信息化建設(shè)的軟件較少

近年來，市場上各種類型的系統(tǒng)軟件越來越多，但是能夠真正用到企業(yè)信息化建設(shè)的系統(tǒng)軟件卻比較缺乏，特別是相較于國際市場，國內(nèi)的軟件無論是在適用范圍，還是技術(shù)水平方面都比較落后，這也是給企業(yè)數(shù)據(jù)安全帶來隱患的一大重要原因。

企業(yè)信息化建設(shè)使用的軟件安全性能較低，很容易被病毒或是黑客入侵，從而對企業(yè)的信息安全造成威脅，雖然大部分的企業(yè)在商業(yè)機密信息方面設(shè)置了一定的操作權(quán)限，但是在企業(yè)的實際管理中，比較容易出現(xiàn)員工操作權(quán)限重復(fù)的情況，操作人員的責(zé)任不夠明確，從而導(dǎo)致企業(yè)信息外泄或是數(shù)據(jù)丟失[2]。

三、企業(yè)提高信息化建設(shè)中的信息安全性的對策

3.1企業(yè)需樹立正確安全意識

在企業(yè)信息化的發(fā)展進(jìn)程中，企業(yè)應(yīng)該充分了解企業(yè)信息安全問題和企業(yè)發(fā)展之間的關(guān)系。意識到一旦企業(yè)的重要機密發(fā)生外泄或者是被竊取，將會給企業(yè)造成不可估量的損失，并給競爭對手提供有利的機會。

因此，企業(yè)應(yīng)該采取適當(dāng)有效的措施，防止信息安全問題的產(chǎn)生，樹立正確的信息安全意識，以便為企業(yè)未來的信息化發(fā)展打下更好的基礎(chǔ)。

3.2加強企業(yè)內(nèi)部信息系統(tǒng)管理

①正常來說，企業(yè)信息的系統(tǒng)使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中，最重要的并不只是信息技術(shù)，管理對于企業(yè)的信息安全系統(tǒng)來說也非常重要，只有對企業(yè)的信息進(jìn)行合理、規(guī)范的管理，才能更有效提升企業(yè)信息系統(tǒng)的安全性。因此，合理的對信息安全管理體系進(jìn)行規(guī)范化建設(shè)，對于企業(yè)的信息安全管理至關(guān)重要。

②完善企業(yè)安全的風(fēng)險評估機制。企業(yè)信息系統(tǒng)的建設(shè)，并非是利用一種技術(shù)在短時間內(nèi)能夠完成，在平常的操作與管理中，所有的系統(tǒng)都有自己的優(yōu)勢與缺點，因此，企業(yè)應(yīng)該針對本身信息系統(tǒng)的優(yōu)勢和缺點建立相關(guān)的安全風(fēng)險評估機制，找到對信息系統(tǒng)安全造成影響的漏洞和原因，并及時地進(jìn)行處理，以有效降低企業(yè)信息系統(tǒng)被攻擊的可能性。

3.3運用安全性較高的防護(hù)軟件

盡管所有的防護(hù)軟件都有辦法破解，但是安全性越高的防護(hù)軟件，破解的難度就越大，企業(yè)信息被竊取或是泄露的可能性也就越低。因此，企業(yè)在對安全防護(hù)軟件進(jìn)行選擇時，不應(yīng)該為了節(jié)省企業(yè)的成本，而在信息系統(tǒng)中使用一些安全性較低的防護(hù)軟件，應(yīng)該選技安全系數(shù)較高的防護(hù)軟件，防止信息系統(tǒng)出現(xiàn)安全問題，給企業(yè)帶來更大的經(jīng)濟損失。

3.4加強企業(yè)的網(wǎng)絡(luò)管理

大多數(shù)的不法分子都是通過網(wǎng)絡(luò)對各個企業(yè)的信息進(jìn)行竊取和破壞，因此，企業(yè)需要加強企業(yè)的網(wǎng)絡(luò)管理，以確保企業(yè)信息系統(tǒng)的運行可以在安全的狀態(tài)下進(jìn)行。企業(yè)應(yīng)該依據(jù)信息安全的等級、種類制定出相關(guān)的防護(hù)措施和方案，并提前制定好信息安全事故發(fā)生之后，企業(yè)應(yīng)該采取的解決措施[3]。在企業(yè)的信息安全受到威脅時，企業(yè)應(yīng)該及時成立起危機處理小組，讓該小組依據(jù)信息安全危機處理的步驟與預(yù)案，進(jìn)行危機處理，防止危機處理不當(dāng)而出現(xiàn)更加嚴(yán)重的連鎖危機。此外，企業(yè)應(yīng)該對內(nèi)部的員工進(jìn)行信息安全培訓(xùn)與教育，提升員工信息安全管理意識和安全危機事件的處理能力，從而有效防止企業(yè)自身失誤而造成的信息安全問題。

四、結(jié)束語

總之，在這個信息化的時代，企業(yè)進(jìn)行信息化建設(shè)是其發(fā)展和生存的重要途徑。但就目前而言，我國大部分的企業(yè)都只看到了信息化建設(shè)的優(yōu)勢，沒有意識到信息系統(tǒng)安全問題的重要性，信息系統(tǒng)還處在一個長期不設(shè)防的狀態(tài)當(dāng)中，這一情況直接影響了企業(yè)信息系統(tǒng)的安全性。因此，為了提高現(xiàn)代企業(yè)信息系統(tǒng)的安全性，企業(yè)就應(yīng)該重視信息系統(tǒng)的安全問題，樹立正確的信息安全意識，采取有效的防范措施、不斷完善企業(yè)的信息管理體系，在企業(yè)信息化建設(shè)過程中，對可能會影響信息系統(tǒng)安全的因素進(jìn)行全面考慮，以確保企業(yè)信息系統(tǒng)建設(shè)的安全性。

參 考 文 獻(xiàn)

[1]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，9（3）：101-102.

篇10

關(guān)鍵詞：信息化 網(wǎng)絡(luò)安全防范措施

中圖分類號：TN711 文獻(xiàn)標(biāo)識碼：A 文章編號：

隨著縣級供電企業(yè)的信息化建設(shè)全面推進(jìn)，信息化已經(jīng)成長為增強供電企業(yè)競爭力的重要驅(qū)動力。目前，“SGl86”信息化工程不斷完善，國家電網(wǎng)資源計劃系統(tǒng)(ERP)上線運行，相繼接入企業(yè)信息網(wǎng)絡(luò)平臺的應(yīng)用系統(tǒng)越來越多，電網(wǎng)安全、生產(chǎn)管理、營銷管理等關(guān)鍵應(yīng)用全部實現(xiàn)了信息化，各應(yīng)用系統(tǒng)間的數(shù)據(jù)交換日益頻繁。因此確保供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運行，適應(yīng)當(dāng)前建設(shè)智能電網(wǎng)和“三集五大”體系建設(shè)新的工作要求，成為擺在我們面前的一個艱巨任務(wù)。

一、目前網(wǎng)絡(luò)信息安全的特點

1.1 網(wǎng)絡(luò)威脅發(fā)展趨勢

目前的網(wǎng)絡(luò)攻擊呈現(xiàn)組織嚴(yán)密化、行為趨利化、目標(biāo)直接化的趨勢。網(wǎng)絡(luò)欺騙手段進(jìn)一步升級，黑客不光利用電子郵件和網(wǎng)站進(jìn)行詐騙勒索，軟件、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)銀行盜號木馬等具有“網(wǎng)絡(luò)釣魚”性質(zhì)的病毒也已成為不法分子的手段。

1.2 安全漏洞是最大的安全隱患

安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤，攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡(luò)系統(tǒng)進(jìn)行非授權(quán)的訪問或破壞。不法分子利用漏洞對網(wǎng)絡(luò)發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。

1.3 病毒傳播形式多元化

網(wǎng)站、移動存儲設(shè)備成為病毒傳播的新渠道。電子郵件不再是病毒傳播的主要途徑，黑客們越來越多地通過網(wǎng)站對用戶進(jìn)行攻擊。此外，通過移動存儲設(shè)備傳播病毒使很多電腦用戶飽受其害。

1.4 惡意軟件擾亂辦公秩序

“惡意軟件”是介于病毒和正規(guī)軟件之間的軟件，同時具備正常功能(下載、媒體播放、利用中文名稱訪問Internet等)。它們往往采用特殊手段頻繁彈出廣告窗口，危及用戶隱私，嚴(yán)重干擾用戶的日常工作和數(shù)據(jù)安全，嚴(yán)重的可以導(dǎo)致機器的癱瘓。惡意軟件其危害還不僅止于計算機操作系統(tǒng)，對應(yīng)用系統(tǒng)如目前企業(yè)普及的OA(辦公自動化)系統(tǒng)，在一機雙網(wǎng)的情況下的使用造成很多問題。

1.5 網(wǎng)絡(luò)電子犯罪影響變大

隨著計算機、互聯(lián)網(wǎng)絡(luò)的發(fā)展和普及，網(wǎng)絡(luò)電子犯罪的手段、形式呈現(xiàn)多樣化，且影響越來越大。這些犯罪事件對政治、經(jīng)濟和企業(yè)運營造成的影響呈上升趨勢，對企事業(yè)單位的聲譽造成了損害。

二、縣級供電企業(yè)網(wǎng)絡(luò)安全問題存在的主要原因

近幾年，供電企業(yè)不斷加大信息化建設(shè)投入，城鄉(xiāng)一體化營銷MIS系統(tǒng)、調(diào)度自動化系統(tǒng)、辦公自動化系統(tǒng)、財務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)等已成功接入縣級供電企業(yè)，這些應(yīng)用系統(tǒng)在縣級供電企業(yè)生產(chǎn)經(jīng)營中越來越發(fā)揮重要作用，且成為縣級供電企業(yè)日益重要的技術(shù)支持系統(tǒng)，一旦其受到威脅,網(wǎng)頁被篡改，信息被破壞，后果將不堪設(shè)想。然而目前，信息安全仍然存在多方面影響因素。

2.1 技術(shù)水平有限

在縣級供電企業(yè)中，精通專業(yè)技術(shù)的網(wǎng)絡(luò)管理員寥寥無幾，在網(wǎng)絡(luò)日常管理維護(hù)中，一些管理員缺乏必備的安全防護(hù)技術(shù)，比如，不會屏蔽不需要的系統(tǒng)服務(wù)、不知道對敏感信息進(jìn)行訪問控制或者不能安全地配置和管理網(wǎng)絡(luò)，發(fā)現(xiàn)和處理已經(jīng)存在或者隨時可能出現(xiàn)的問題并不及時等，這些因素都會對網(wǎng)絡(luò)信息安全帶來嚴(yán)重隱患。

2.2 管理因素

（1）管理規(guī)章制度不完善。

目前，企業(yè)網(wǎng)絡(luò)信息安全管理存在的缺陷主要是管理機制不夠完善，同時缺乏有效的監(jiān)督防范措施，這些因素都使得管理無章可循，分工不明確，權(quán)責(zé)不明晰，以至于出現(xiàn)問題時無人負(fù)責(zé)的現(xiàn)象時有發(fā)生。

（2）經(jīng)費投入有限。

由于資金技術(shù)有限，縣級供電企業(yè)在網(wǎng)絡(luò)信息安全管理和維護(hù)方面力度小且人員經(jīng)費投入不足，是網(wǎng)絡(luò)信息安全的一個瓶頸。很多縣級供電企業(yè)信息中心服務(wù)管理隊伍明顯不足，他們通常只能維護(hù)企業(yè)網(wǎng)絡(luò)的正常運行，無暇管理和維護(hù)企業(yè)數(shù)百臺計算機的安全。這都嚴(yán)重影響縣級供電企業(yè)網(wǎng)絡(luò)信息安全的質(zhì)量與進(jìn)程。

三、縣級供電企業(yè)網(wǎng)絡(luò)安全防范措施

3.1 統(tǒng)一部署、雙網(wǎng)雙機

按照國家電網(wǎng)公司要求和省、市公司統(tǒng)一部署安排，實行信息外網(wǎng)統(tǒng)一出口。信息內(nèi)外網(wǎng)實現(xiàn)物理分開，雙網(wǎng)雙機，網(wǎng)絡(luò)專用。嚴(yán)禁辦公終端計算機私自使用撥號、移動無線連接等任何方式接人因特網(wǎng)。在信息外網(wǎng)出口安裝IPs入侵防御設(shè)備，保護(hù)信息網(wǎng)絡(luò)架構(gòu)免受侵害，降低不安全因素。

信息內(nèi)網(wǎng)統(tǒng)一安裝桌面管理系統(tǒng)，能有效控制內(nèi)網(wǎng)計算機；計算機實名注冊并進(jìn)行IP地址和MAC地址綁定；啟用移動存儲審計策略和違規(guī)外聯(lián)策略，嚴(yán)格控制內(nèi)網(wǎng)設(shè)備違規(guī)外聯(lián)，對企業(yè)的移動存儲分質(zhì)進(jìn)行實名注冊，嚴(yán)格控制信息的流入流出。

3.2 注重口令設(shè)置和數(shù)據(jù)備份

口令設(shè)置是信息安全管理中重要的一環(huán)。要求所有的服務(wù)器和每一臺辦公計算機都要設(shè)置開機密碼，密碼長度不小于8位，并且是字母和數(shù)字或特殊字符混合而成。另外要求每臺計算機都要設(shè)屏幕保護(hù)，并開啟恢復(fù)時使用密碼功能；關(guān)閉遠(yuǎn)程桌面，這樣可以有效防止外來人員訪問他人電腦。計算機管理員必須定期對重要的數(shù)據(jù)進(jìn)行備份。個人辦公計算機中重要的文件資料可以加密存放，并形成備份。

3.3 加強防病毒軟件部署及管理

根據(jù)企業(yè)的計算機數(shù)量．統(tǒng)一購買安裝企業(yè)版殺毒軟件。為避免防病毒軟件之間的沖突導(dǎo)致的計算機使用異常，要求一臺機器只能安裝一款防病毒軟件．禁止使用任何規(guī)定之外的防病毒軟件。企業(yè)設(shè)專人負(fù)責(zé)定期進(jìn)行病毒庫的更新，并通過桌面管理系統(tǒng)統(tǒng)一發(fā)放病毒庫升級通知，對機器病毒庫自動進(jìn)行升級，能有效防范網(wǎng)絡(luò)病毒、木馬。

3.4 漏洞掃描和隱患排查

漏洞掃描系統(tǒng)是一個自動化的安全風(fēng)險評估工具，對企業(yè)的信息系統(tǒng)進(jìn)行定期、全面、系統(tǒng)的信息安全風(fēng)險評估，發(fā)現(xiàn)和分析信息系統(tǒng)中存在的漏洞，并及時進(jìn)行整改。定期開展自測評與整改。

3.5 物理安全和主機安全

企業(yè)每位職工都有保護(hù)自己辦公電腦的義務(wù)，要求下班后關(guān)閉主機和顯示器，特別是雷雨天氣，最好拔掉電源開關(guān)。

對于網(wǎng)絡(luò)機房，要嚴(yán)格網(wǎng)絡(luò)機房的建設(shè)要求，建成后的機房環(huán)境滿足計算機等各種電子設(shè)備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保衛(wèi)、防漏、電源質(zhì)量、振動、防雷和接地等的要求。

3.6 應(yīng)急響應(yīng)和災(zāi)難恢復(fù)

建立切實可行的應(yīng)急預(yù)案和災(zāi)難恢復(fù)預(yù)案，可有效預(yù)防和正確、快速應(yīng)對網(wǎng)絡(luò)及信息安全突發(fā)事件，最大限度地減少影響和損失。確保網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運行。

3.7 完善和落實規(guī)章制度

制定和完善網(wǎng)絡(luò)信息安全相應(yīng)管理制度及措施。與部室及員工簽訂信息安全責(zé)任書，確保責(zé)任落到實處。通過組織職工收看信息安全方面的教育片和邀請專家做安全報告，提高員工對信息安全的認(rèn)知和增強員工遵守信息安全各項規(guī)章制度的自覺性。