導(dǎo)語：如何才能寫好一篇企業(yè)信息安全管控，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

（1）適應(yīng)電力企業(yè)發(fā)展的需要，遵循現(xiàn)行電力企業(yè)管理體制；

（2）管控平臺(tái)涉及技術(shù)和管理，須對(duì)技術(shù)手段和管理手段的實(shí)現(xiàn)方式進(jìn)行決擇；

（3）須考慮不同級(jí)別單位以及不同使用對(duì)象需求的側(cè)重點(diǎn)；

（4）管控平臺(tái)自身須具有一定安全性；

（5）基于管控平臺(tái)的工具特性，須配套推出數(shù)據(jù)初始化等服務(wù)及制度來實(shí)現(xiàn)平臺(tái)的正常運(yùn)轉(zhuǎn)。

2管控平臺(tái)角色需求分析

管控平臺(tái)設(shè)置的用戶角色必須與電力企業(yè)現(xiàn)有信息安全相關(guān)組織架構(gòu)相匹配。一般來講，電力行業(yè)自身信息安全相關(guān)組織架構(gòu)包括上級(jí)信息安全主管單位、本地信息安全主管單位以及本地信息安全實(shí)施單位此外，電力行業(yè)在實(shí)際信息安全工作中，需要外部信息安全產(chǎn)品廠商、安全服務(wù)廠商、安全咨詢機(jī)構(gòu)、相關(guān)公共信息安全機(jī)構(gòu)以及科研機(jī)構(gòu)支持。管控平臺(tái)將外部信息安全產(chǎn)品廠商、安全服務(wù)廠商、安全咨詢機(jī)構(gòu)統(tǒng)一定義為外部信息安全支持單位，將相關(guān)公共信息安全機(jī)構(gòu)以及科研機(jī)構(gòu)定義為應(yīng)急聯(lián)動(dòng)及專家機(jī)構(gòu)。管控平臺(tái)各角色職能需求分析如下：

（1）上級(jí)信息安全主管單位上級(jí)信息安全主管單位負(fù)責(zé)企業(yè)整體信息安全保障，掌握整體信息安全態(tài)勢(shì)，評(píng)估網(wǎng)絡(luò)和信息系統(tǒng)安全機(jī)制的有效性情況。在信息安全突發(fā)事件發(fā)生時(shí)，負(fù)責(zé)事件決策、監(jiān)控、協(xié)調(diào)。

（2）本地信息安全主管單位本地信息安全主管單位負(fù)責(zé)本單位信息安全保障，掌握所轄網(wǎng)絡(luò)及其業(yè)務(wù)信息系統(tǒng)的安全態(tài)勢(shì)，協(xié)調(diào)安全事件的處理。

（3）本地信息安全實(shí)施單位本地信息安全實(shí)施單位負(fù)責(zé)本單位信息安全保障具體實(shí)施工作。在管控平臺(tái)中本地信息安全實(shí)施單位設(shè)置的角色包括負(fù)責(zé)人、安全主管、安全運(yùn)維人員等，如表1所示。負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估、實(shí)時(shí)監(jiān)控、應(yīng)急演練、安全預(yù)警以及信息安全突發(fā)事件處置各項(xiàng)工作的具體實(shí)施。

（4）外部信息安全支持單位外部信息安全支持單位承擔(dān)信息安全支撐服務(wù)職能，其職責(zé)包括外部信息安全事件預(yù)警監(jiān)控，風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練及應(yīng)急處置的外協(xié)支持等。

（5）應(yīng)急聯(lián)動(dòng)及專家機(jī)構(gòu)應(yīng)急聯(lián)動(dòng)及專家機(jī)構(gòu)由各相關(guān)公共信息安全機(jī)構(gòu)、科研機(jī)構(gòu)信息安全相關(guān)領(lǐng)域?qū)＜医M成，為電力企業(yè)信息安全保障提供技術(shù)支持和資源保障。應(yīng)急聯(lián)動(dòng)專家機(jī)構(gòu)人員在管控平臺(tái)中通過設(shè)置呼叫樹和專家角色，參與應(yīng)急等各項(xiàng)事務(wù)的處置。

3系統(tǒng)功能設(shè)計(jì)

通過管控平臺(tái)的定位以及上述角色需求分析，可明確管控平臺(tái)的功能模塊設(shè)置及關(guān)系如圖1所示，下面依次對(duì)關(guān)鍵模塊內(nèi)容進(jìn)行闡述。

3.1基礎(chǔ)安全數(shù)據(jù)管理

基礎(chǔ)安全數(shù)據(jù)管理模塊對(duì)企業(yè)信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、通用軟件等基本信息和策略配置信息，漏洞庫、事件特征庫、補(bǔ)丁庫、安全配置知識(shí)庫和應(yīng)急響應(yīng)知識(shí)庫，以及風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等工作中產(chǎn)生的過程數(shù)據(jù)進(jìn)行匯總存儲(chǔ)并詳細(xì)分類，支持多種查詢和修改。

3.2預(yù)案管理

預(yù)案管理模塊實(shí)現(xiàn)對(duì)各級(jí)單位信息安全應(yīng)急預(yù)案的編制、審批、、更新，以及預(yù)案的執(zhí)行（及演練）和事件處置等功能。其中應(yīng)急預(yù)案編制、審批在管控平臺(tái)上進(jìn)行統(tǒng)一規(guī)范，各單位人員在管控平臺(tái)上只需要參考應(yīng)急預(yù)案模板并調(diào)用本單位的實(shí)際數(shù)據(jù)內(nèi)容即可完成編制任務(wù)。預(yù)案管理模塊功能設(shè)計(jì)如圖2所示。在預(yù)案管理模塊中，應(yīng)急預(yù)案執(zhí)行是一種復(fù)雜的業(yè)務(wù)流程，通常基于工作流引擎來實(shí)現(xiàn)。這種實(shí)現(xiàn)方式可確保相應(yīng)的演練和事件處置活動(dòng)能夠全程可監(jiān)控、可記錄。圖3是基于工作流引擎實(shí)現(xiàn)應(yīng)急預(yù)案某一操作規(guī)程的實(shí)例。

3.3風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估模塊為各單位信息安全風(fēng)險(xiǎn)評(píng)估工作提供全過程支撐，并能夠根據(jù)評(píng)估過程和結(jié)果數(shù)據(jù)（例如將資產(chǎn)調(diào)研結(jié)果，威脅、漏洞分析等評(píng)估結(jié)果）通過內(nèi)定的矩陣型風(fēng)險(xiǎn)計(jì)算方式自動(dòng)計(jì)算得出各單位總體風(fēng)險(xiǎn)和高危風(fēng)險(xiǎn)狀況，為各單位編制應(yīng)急預(yù)案的方向提供依據(jù)。風(fēng)險(xiǎn)評(píng)估模塊功能設(shè)計(jì)如圖4所示。

3.4業(yè)務(wù)影響分析

業(yè)務(wù)影響分析模塊同樣是為編制應(yīng)急預(yù)案提供依據(jù)，與風(fēng)險(xiǎn)評(píng)估模塊類似。但考慮到信息系統(tǒng)業(yè)務(wù)的差異性，管控平臺(tái)不對(duì)業(yè)務(wù)影響分析進(jìn)行全過程管理和支撐。圖險(xiǎn)評(píng)估模塊功能設(shè)計(jì)示意圖

3.5公告管理

公告管理模塊向管控平臺(tái)各級(jí)角色提供通知信息、瀏覽、查閱、管理功能。公告從編制、審批、到反饋的整個(gè)流程均通過管控平臺(tái)來實(shí)現(xiàn)。公告的類別包括：

（1）企業(yè)發(fā)文：企業(yè)帶正式文號(hào)的信息安全類文檔的、管理、顯示；

（2）通知通報(bào)：企業(yè)不帶正式文號(hào)但須告知各級(jí)單位的信息安全相關(guān)文檔的、管理、顯示；

（3）企業(yè)動(dòng)態(tài)：企業(yè)各級(jí)單位參與的信息安全相關(guān)活動(dòng)、新聞的、管理、顯示；

（4）業(yè)界安全動(dòng)態(tài)：國內(nèi)外安全事件，尤其是電力行業(yè)安全相關(guān)動(dòng)態(tài)的、管理、顯示。

3.6預(yù)警管理

預(yù)警管理模塊包含漏洞預(yù)警和威脅預(yù)警兩類功能，級(jí)別分為高、中、低三級(jí)。預(yù)警信息來源分為兩類，一類是國內(nèi)外安全評(píng)測(cè)機(jī)構(gòu)、廠商的安全預(yù)警及漏洞，另一類是源自風(fēng)險(xiǎn)評(píng)估模塊和業(yè)務(wù)影響分析模塊的計(jì)算結(jié)果。與公告類似，預(yù)警管理的整個(gè)流程通過管控平臺(tái)來實(shí)現(xiàn)。各單位接收到管控平臺(tái)自動(dòng)發(fā)送的提示短信，登錄平臺(tái)，即可處理預(yù)警信息。

3.7安全事件管理

安全事件管理模塊對(duì)信息安全事件的分級(jí)分類以及事件響應(yīng)處理進(jìn)行管理。信息安全事件的分級(jí)分類基于國家有關(guān)標(biāo)準(zhǔn)與行業(yè)實(shí)際情況。安全事件響應(yīng)方式分為自動(dòng)響應(yīng)和事件工單管理兩類。自動(dòng)響應(yīng)包括屏幕、郵件、聲音、工單、對(duì)話框、設(shè)備控制、短信、腳本操作、SNMPTrap等響應(yīng)方式，并通過其設(shè)置實(shí)現(xiàn)自定義用戶響應(yīng)策略。事件工單管理則通過與第三方統(tǒng)/平臺(tái)的接口與例如IT服務(wù)管理平臺(tái)進(jìn)行聯(lián)動(dòng)來實(shí)現(xiàn)。

3.8信息安全狀況監(jiān)視（應(yīng)急值班室）

信息安全狀況監(jiān)視模塊可向各級(jí)人員提供不同的管理界面，分為宏觀態(tài)勢(shì)監(jiān)視與應(yīng)急監(jiān)視兩類。宏觀態(tài)勢(shì)監(jiān)視能夠根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、安全預(yù)警信息以及當(dāng)前安全狀況（是否有安全事件發(fā)生以及處理情況），對(duì)企業(yè)整體安全態(tài)勢(shì)進(jìn)行研判，為安全決策提供支持。應(yīng)急監(jiān)視能夠通過安全模型分析及人工比對(duì)分析，將安全事件、威脅、漏洞等數(shù)據(jù)與管控平臺(tái)中業(yè)務(wù)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，得出研判信息，并結(jié)合國家有關(guān)標(biāo)準(zhǔn)，為應(yīng)急人員提供應(yīng)急相應(yīng)實(shí)施依據(jù)。信息安全狀況監(jiān)視模塊功能設(shè)計(jì)如圖5所示。

4結(jié)語

篇2

企業(yè)經(jīng)營信息對(duì)于企業(yè)來說是一種資源，對(duì)于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項(xiàng)經(jīng)營活動(dòng)都逐漸開始通過計(jì)算機(jī)，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對(duì)于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來，這是一個(gè)正確的選擇，能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡(jiǎn)單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件，保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過包括4個(gè)指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理，其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以，怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估，并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)，從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度，明確企業(yè)信息安全管理的責(zé)任分配機(jī)制，明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問責(zé)機(jī)制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo)，對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí)，方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三，企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)，讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合，重視企業(yè)信息安全管理工作，通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來說，企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)，目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上，對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督，這無疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計(jì)算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對(duì)企業(yè)信息缺乏保護(hù)，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一，企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足，對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新，使用，甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)，認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動(dòng)機(jī)制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)，它的設(shè)計(jì)初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制來保障的。所以，安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分：響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn)，為安全管理提供管理途徑和保障手段。因此，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng)，防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認(rèn)證等方法，檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)，同時(shí)也是有力落實(shí)安全策略的實(shí)施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強(qiáng)調(diào)動(dòng)態(tài)管理，動(dòng)態(tài)監(jiān)督，對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個(gè)全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)，明確實(shí)施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合，實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個(gè)中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

（3）設(shè)計(jì)優(yōu)良的人機(jī)界面，通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道，對(duì)應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計(jì)，加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

（1）確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中，首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度，才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核，檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)，定性定量地企業(yè)信息安全管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的，因此，對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法，其中，不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此，企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營情況變化采取有針對(duì)性的辦法。

（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)

篇3

【關(guān)鍵詞】信息資產(chǎn)；管理；流程；措施

【中圖分類號(hào)】F273.4

【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】1672—5158（2012）10-0130-01

1　引言

信息資源是指企業(yè)生產(chǎn)及管理過程中所涉及到的文檔、數(shù)據(jù)以及生產(chǎn)和承載數(shù)據(jù)的軟硬件系統(tǒng)（設(shè)備）的總和。國務(wù)院頒發(fā)的《2006-2020年國家信息化發(fā)展戰(zhàn)略》指出：“進(jìn)入21世紀(jì)，信息資源日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會(huì)財(cái)富”，正式明確信息是一種資產(chǎn)。

信息資產(chǎn)是指由企業(yè)擁有或者控制的、能夠?yàn)槠髽I(yè)帶來經(jīng)濟(jì)利益的信息資源，企業(yè)信息資產(chǎn)具有來源渠道多、更新周期快、分布范圍廣、流轉(zhuǎn)頻率高、公私通用性強(qiáng)、配件調(diào)換方便等特點(diǎn)，因此，企業(yè)信息資產(chǎn)管理，既有別于傳統(tǒng)意義上的固定資產(chǎn)管理，也不同于ERP（企業(yè)資源計(jì)劃）、EAM（企業(yè)資產(chǎn)管理）等系統(tǒng)中的資產(chǎn)管理概念，它在具備常規(guī)企業(yè)資產(chǎn)管理特征的同時(shí)，更注重于資產(chǎn)的識(shí)別及其動(dòng)態(tài)的管理，進(jìn)而為ISMS（信息安全管理體系）提供準(zhǔn)確、可靠的識(shí)別信息，為企業(yè)信息和承載信息的網(wǎng)絡(luò)環(huán)境、終端設(shè)備及業(yè)務(wù)應(yīng)用的安全穩(wěn)定運(yùn)行提供基本保障。

2　信息資產(chǎn)管理現(xiàn)狀分析

隨著企業(yè)信息化水平的不斷提高，信息資產(chǎn)管理對(duì)信息網(wǎng)絡(luò)安全管理與信息系統(tǒng)運(yùn)維管理的影響越來越大。為此，國家電網(wǎng)公司下發(fā)了“信息計(jì)劃（2008／37號(hào)文件”，將信息資產(chǎn)中的物理資產(chǎn)和軟件分為7大類31小類（不包括復(fù)印機(jī)、照相機(jī)、錄像機(jī)等辦公設(shè)備和移動(dòng)存儲(chǔ)介質(zhì)），要求建立包括設(shè)備序列號(hào)及各種性能參數(shù)的資產(chǎn)信息數(shù)據(jù)庫和設(shè)備臺(tái)賬，并定期統(tǒng)計(jì)、上傳信息資產(chǎn)報(bào)表，其目的是實(shí)現(xiàn)企業(yè)信息資產(chǎn)“賬、卡、物”一致和資產(chǎn)存在狀態(tài)“可控、在控、能控”，以滿足信息安全管理需要。

同時(shí)，國網(wǎng)公司還通過信息安全技術(shù)督查和信息網(wǎng)絡(luò)綜合運(yùn)維監(jiān)管系統(tǒng)，進(jìn)一步加強(qiáng)了企業(yè)信息資產(chǎn)監(jiān)管工作力度。盡管如此，我們的信息資產(chǎn)管理還是存在著制度不健全、臺(tái)賬不完整、存在狀態(tài)不清楚、報(bào)表數(shù)據(jù)不準(zhǔn)確等問題，不能滿足企業(yè)網(wǎng)絡(luò)及信息安全管理需要，主要原因是：

第一，信息資產(chǎn)的所有權(quán)與控制權(quán)分離，管理手段落后、監(jiān)管乏力。長期以來，企業(yè)信息資產(chǎn)一直是二級(jí)單位使用、信息部門統(tǒng)計(jì)、財(cái)務(wù)部門監(jiān)管，實(shí)際上是二級(jí)單位在行使常用信息資產(chǎn)的調(diào)配控制權(quán)。資產(chǎn)管理、統(tǒng)計(jì)報(bào)表、配置審批相互脫節(jié)，管配置的不掌握資產(chǎn)的配置情況和用戶需求，管資產(chǎn)的不知道資產(chǎn)的存量情況和存在狀態(tài)，信息管理部門則是無法全面掌握資產(chǎn)的來源、數(shù)量、配置及具體使用情況。

第二，信息資產(chǎn)來源渠道多、配置變化快，統(tǒng)計(jì)報(bào)表不能真實(shí)反映企業(yè)信息資產(chǎn)現(xiàn)狀。企業(yè)信息資產(chǎn)除正常計(jì)劃購置外，還有工程項(xiàng)目配套的、業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)附帶的、推廣應(yīng)用項(xiàng)目配備的、工作需要特批的、主管部門下發(fā)的、其它費(fèi)用變通的等等，由于沒有有效的歸口管理制度和專職信息資產(chǎn)管理人員，信息管理部門不能完全掌握資產(chǎn)來源情況，現(xiàn)有信息資產(chǎn)報(bào)表不能真實(shí)反映企業(yè)信息資產(chǎn)的實(shí)際情況，更不能為信息安全管理提供準(zhǔn)確、可靠的數(shù)據(jù)保證。

第三，信息（數(shù)據(jù)庫和數(shù)據(jù)文件）管理近乎空白，企業(yè)數(shù)據(jù)資源浪費(fèi)嚴(yán)重?，F(xiàn)行的信息資產(chǎn)管理還局限在物理資產(chǎn)（含軟件）管理的層面上，對(duì)其它資產(chǎn)，尤其是最為重要的資產(chǎn)——信息的管理，還沒有納入信息資產(chǎn)管理工作中。企業(yè)信息化過程中產(chǎn)生的大量運(yùn)行數(shù)據(jù)，大都是根據(jù)業(yè)務(wù)應(yīng)用情況分別存貯，作為歷史數(shù)據(jù)保存下來，并形成一個(gè)個(gè)信息孤島。業(yè)務(wù)系統(tǒng)升級(jí)或更新改造后，許多歷史數(shù)據(jù)沒有導(dǎo)入新系統(tǒng)，而是隨著原系統(tǒng)的報(bào)廢而被束之高閣，并將隨著業(yè)務(wù)管理人員的更新和時(shí)間的流逝而被遺棄。

3　規(guī)范管理信息資產(chǎn)的具體措施

規(guī)范信息資產(chǎn)管理流程、完善信息資產(chǎn)管理措施，是提高信息安全技術(shù)督查管理水平、提高企業(yè)信息網(wǎng)絡(luò)安全可靠性的基礎(chǔ)和保證。

3.1　健全制度、規(guī)范流程是信息資產(chǎn)“可控、在控、能控”的保證。

根據(jù)國網(wǎng)公司資產(chǎn)全壽命周期管理、信息系統(tǒng)運(yùn)行維護(hù)工作規(guī)范、信息資產(chǎn)統(tǒng)計(jì)報(bào)表、信息安全督查規(guī)范等文件要求，梳理工作內(nèi)容與管理流程、明確崗位職責(zé)與業(yè)務(wù)關(guān)系，建立以“信息資產(chǎn)數(shù)據(jù)庫”為核心、信息管理部門歸口負(fù)責(zé)、專人管理的企業(yè)信息資產(chǎn)管理與考核體系，明確相關(guān)部門的職責(zé)、權(quán)限和義務(wù)，確保信息資產(chǎn)管理部門與物資采購、財(cái)務(wù)核算、人力資源、系統(tǒng)運(yùn)維等部門齊抓共管、密切配合，實(shí)現(xiàn)企業(yè)信息資產(chǎn)管理與“人財(cái)物集約化”、“信息網(wǎng)絡(luò)綜合運(yùn)維監(jiān)管系統(tǒng)”的在線聯(lián)動(dòng)、信息共享。

3.2　集中管控、統(tǒng)一調(diào)配是信息資產(chǎn)臺(tái)賬準(zhǔn)確、“賬、卡、物”一致的關(guān)鍵。

企業(yè)信息資產(chǎn)集中管控、歸口管理、統(tǒng)一調(diào)配，二級(jí)單位或個(gè)人只有使用權(quán)沒有調(diào)配權(quán)，用戶對(duì)所用資產(chǎn)安全負(fù)全責(zé)。作為日常辦公工具，信息資產(chǎn)落到個(gè)人賬上，直至達(dá)到報(bào)廢年限、履行報(bào)廢程序后，再以舊換新；使用人調(diào)換工作崗位后，所用信息資產(chǎn)隨人同時(shí)調(diào)轉(zhuǎn)；特殊情況需要增減配置時(shí)，必須履行簽報(bào)審批程序并按規(guī)定調(diào)配；使用人退休或調(diào)離本企業(yè)前，必須履行信息資產(chǎn)移交簽字程序，否則人資管理部門不得辦理退休或調(diào)離手續(xù)。

新增加的信息資產(chǎn)嚴(yán)格履行申報(bào)登記制度，不管是那條渠道進(jìn)來的信息資產(chǎn)，到貨驗(yàn)收單和使用分配表均須到信息資產(chǎn)管理部門登記造冊(cè)，保證信息資產(chǎn)數(shù)據(jù)庫的完整性、信息資產(chǎn)臺(tái)賬的準(zhǔn)確性和“賬、卡、物”的一致性。

3.3　科學(xué)管理是降低信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、提高運(yùn)維水平的基礎(chǔ)。

信息網(wǎng)絡(luò)安全督察和信息系統(tǒng)運(yùn)維管理需求的日益增長，對(duì)信息資產(chǎn)的管理提出了更高的要求。信息資產(chǎn)管理除實(shí)現(xiàn)資產(chǎn)基本特性、物理位置、管理責(zé)任的登記造冊(cè)與統(tǒng)計(jì)查詢外，還應(yīng)該反映信息資產(chǎn)的邏輯位置、關(guān)聯(lián)關(guān)系、存在歷史、當(dāng)前狀態(tài)、最終去向等管理屬性。只有將常規(guī)的平面管理方式提升到現(xiàn)代的立體管理方式，才能使信息資產(chǎn)管理與信息網(wǎng)絡(luò)安全技術(shù)管理相輔相成，從而有效降低網(wǎng)絡(luò)及信息安全風(fēng)險(xiǎn)、提高信息網(wǎng)絡(luò)運(yùn)維管理水平。

3.4　數(shù)據(jù)應(yīng)用是企業(yè)信息化的根本目的、是信息資產(chǎn)管理的更高目標(biāo)。

有形資產(chǎn)的購置和維護(hù)需要成本，信息（數(shù)據(jù)）的獲取和存貯也需要成本。在加強(qiáng)物理信息資產(chǎn)管理的同時(shí)，加速研究、制定企業(yè)數(shù)據(jù)（數(shù)據(jù)庫和數(shù)據(jù)文件）資產(chǎn)的管控制度，將其與物理資產(chǎn)一樣管理，并通過對(duì)此類資產(chǎn)的開發(fā)利用，為企業(yè)創(chuàng)造效益。應(yīng)在完成企業(yè)數(shù)據(jù)總體規(guī)劃的基礎(chǔ)上，規(guī)范企業(yè)數(shù)據(jù)庫內(nèi)容及其管理措施；業(yè)務(wù)應(yīng)用系統(tǒng)投入運(yùn)行后，必須建立包括數(shù)據(jù)庫結(jié)構(gòu)、存貯格式等屬性在內(nèi)的數(shù)據(jù)管理檔案；業(yè)務(wù)應(yīng)用系統(tǒng)升級(jí)或更新改造后，必須將原系統(tǒng)運(yùn)行數(shù)據(jù)全部導(dǎo)入新系統(tǒng)中，保證企業(yè)數(shù)據(jù)的連續(xù)性和完整性；建立信息資產(chǎn)管理與企業(yè)數(shù)據(jù)的關(guān)聯(lián)關(guān)系，以提高數(shù)據(jù)檢索和查閱效率。企業(yè)數(shù)據(jù)的共享和有效利用，是企業(yè)信息化建設(shè)的根本目的，也是信息資產(chǎn)管理的更高目標(biāo)。

4　結(jié)語

隨著全球“數(shù)字化”及“物聯(lián)網(wǎng)”的快速發(fā)展，國家電網(wǎng)公司也加快了“數(shù)字電網(wǎng)”和“智能化電廠”的建設(shè)步伐，企業(yè)信息資產(chǎn)將再次急驟增加，相應(yīng)的信息安全管理和信息系統(tǒng)運(yùn)維任務(wù)也會(huì)更加繁重。因此，建立健全信息資產(chǎn)管控制度，明確信息資產(chǎn)管理流程，強(qiáng)化企業(yè)數(shù)據(jù)等無形資產(chǎn)的管理與利用，實(shí)現(xiàn)信息資產(chǎn)管理的制度化、程序化、規(guī)范化，既是企業(yè)信息網(wǎng)絡(luò)安全和信息系統(tǒng)運(yùn)維管理的需要，更是企業(yè)信息化發(fā)展和“數(shù)字電網(wǎng)”建設(shè)的必然。

參考文獻(xiàn)

[1]《國家電網(wǎng)公司資產(chǎn)全壽命周期管理評(píng)估指標(biāo)體系》

[2]《關(guān)于開展國家電網(wǎng)公司信息系統(tǒng)設(shè)備（軟件）統(tǒng)計(jì)工作的通知》

篇4

一、企業(yè)信息安全風(fēng)險(xiǎn)主要內(nèi)容

隨著我國信息建設(shè)的推進(jìn)，如今互聯(lián)網(wǎng)的信息技術(shù)得到了越來越廣泛的應(yīng)用，信息技術(shù)在企業(yè)運(yùn)行中的作用越來越重要，為企業(yè)的發(fā)展帶來了新的機(jī)遇。但同時(shí)，信息安全的風(fēng)險(xiǎn)也逐漸顯露了出來。如何既能借助信息技術(shù)開放共享企業(yè)的信息資源，繼而達(dá)到高效辦公的目的，又能規(guī)避企業(yè)核心信息、商業(yè)機(jī)密等重要信息的泄露，逐漸成為擺在企業(yè)面前亟待解決的一大難題。

傳統(tǒng)的信息安全技術(shù)，包括防火墻的設(shè)置、入侵檢測(cè)、掃描漏洞、加密數(shù)據(jù)等對(duì)網(wǎng)絡(luò)底層數(shù)據(jù)的安全防護(hù)工作，但隨著電子科技水平的不斷提髙，這樣簡(jiǎn)單的防護(hù)措施已經(jīng)無法滿足當(dāng)今的信息安全需求。如何才能稱之為安全的信息，需要從以下幾方面來探討：

（1）完整性。首先要保證信息在收集與整理的過程中避免主觀上或者客觀上的“失真”。其次要保證數(shù)據(jù)儲(chǔ)存的安全性，不能出現(xiàn)缺漏、遺失、損壞等影響信息數(shù)據(jù)完整性的情況；最后要選擇科學(xué)合理的信息采集與加工方法，從而保證信息的完整性；

    （2）保密性。包括保障已被授權(quán)的用戶能夠訪問權(quán)限范圍內(nèi)的信息以及對(duì)于非權(quán)限范圍內(nèi)的信息的不可訪問，以及對(duì)特殊資料的不可復(fù)制、不可影印等權(quán)限的設(shè)置；

    （3）可用性。指在技術(shù)層面上保證用戶的順利訪問和對(duì)用戶的使用，即保證系統(tǒng)的穩(wěn)定性以及可用性。

二、企業(yè)信息安全風(fēng)險(xiǎn)控制分析

2.1電腦病毒、黑客入侵。企業(yè)信息處于開放的網(wǎng)絡(luò)環(huán)境下，暴露在眾多木馬病毒以及黑客攻擊的威脅之下。一旦感染惡意病毒或是被他人侵入企業(yè)信息系統(tǒng)內(nèi)部，可能會(huì)導(dǎo)致企業(yè)重要資料被竊取、商業(yè)信息丟失、內(nèi)部數(shù)據(jù)被篡改、通訊消息被竊聽、企業(yè)電子網(wǎng)絡(luò)系統(tǒng)癱瘓，無法正常運(yùn)作、加密措施失效、設(shè)備運(yùn)行發(fā)生錯(cuò)誤等惡劣影響、這些狀況都會(huì)給企業(yè)帶來無可估量的損失。

2.2企業(yè)信息安全管理工作疏漏。信息安全工作是一個(gè)長期性、持續(xù)性的工作，且除非出現(xiàn)大的紕漏否則無法直接感受到該工作的作用，這導(dǎo)致大部分企業(yè)難以在這方面的管理與經(jīng)費(fèi)支出上擁有足夠的自發(fā)性與主觀能動(dòng)性，這既是企業(yè)信息安全管理工作本身的性質(zhì)導(dǎo)致的，也是企業(yè)趨利的性質(zhì)導(dǎo)致的。

三、企業(yè)信息安全風(fēng)險(xiǎn)控制策略

3.1優(yōu)化企業(yè)網(wǎng)絡(luò)防火墻，提高外部威脅防范能力。鑒于當(dāng)前網(wǎng)絡(luò)病毒的盛行和黑客入侵行為的猖獗，企業(yè)應(yīng)將防止此類行為放到企業(yè)信息安全工作的首位。而強(qiáng)化防火墻設(shè)計(jì)則是對(duì)應(yīng)于此類威脅的強(qiáng)有力的手段之一，企業(yè)的網(wǎng)絡(luò)電子設(shè)備大多配置有防火墻，但存在版本過低、系統(tǒng)陳舊以及防火墻產(chǎn)品不夠安全等問題。另一方面，企業(yè)網(wǎng)絡(luò)系統(tǒng)中大多裝設(shè)了過多功能和品牌相異的電子安全產(chǎn)品，這些軟件之間無法兼容，反而會(huì)起到負(fù)面效果。

對(duì)于上述問題，企業(yè)可以聘請(qǐng)專業(yè)的IT技術(shù)人員檢查本企業(yè)的網(wǎng)絡(luò)防火墻狀況，并進(jìn)行改善和定期升級(jí)?；蚴且M(jìn)當(dāng)今較為先進(jìn)的企業(yè)信息安全風(fēng)險(xiǎn)防范體系，即統(tǒng)一系統(tǒng)平臺(tái)+獨(dú)立功能模塊。這一設(shè)計(jì)理念旨在提高企業(yè)信息安全防護(hù)水平，并且優(yōu)化企業(yè)信息系統(tǒng)運(yùn)行環(huán)境。

3.2提高員工信息安全意識(shí)，規(guī)范信息網(wǎng)絡(luò)操作行為。信息安全不僅要從硬件環(huán)境下功夫，還要重視企業(yè)員工的主觀能動(dòng)性。首先要建立科學(xué)嚴(yán)謹(jǐn)?shù)钠髽I(yè)信息安全規(guī)范守則，以此來強(qiáng)化企業(yè)中個(gè)人信息安全防護(hù)意識(shí)；使得信息安全工作落實(shí)到企業(yè)的每一個(gè)員工身上，落實(shí)到平日工作的方方面面中。

    四、結(jié)束語

篇5

[摘 要] 信息安全審計(jì)系統(tǒng)針對(duì)互聯(lián)網(wǎng)行為提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警、行為控制及相關(guān)審計(jì)功能。從管理層面提供互聯(lián)網(wǎng)的有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。滿足用戶對(duì)互聯(lián)網(wǎng)行為審計(jì)備案及安全保護(hù)措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。

[關(guān)鍵詞] 安全；信息系統(tǒng)；審計(jì)；虛擬化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號(hào)] F239.1 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2017）07- 0058- 04

1 引 言

隨著信息技術(shù)的高速發(fā)展，企業(yè)業(yè)務(wù)對(duì)于IT系統(tǒng)的依賴性不斷增強(qiáng)，信息和業(yè)務(wù)交付的靈活性與信息安全保護(hù)、防止泄露成為實(shí)際工作中的矛盾，企業(yè)IT運(yùn)營既要滿足業(yè)務(wù)發(fā)展對(duì)業(yè)務(wù)交付靈活性的要求，又要防止信息泄露，因?yàn)樾畔踩珕栴}關(guān)系到企業(yè)的聲譽(yù)，同時(shí)關(guān)系到企業(yè)的經(jīng)營風(fēng)險(xiǎn)，更關(guān)系到國家的機(jī)密信息安全。

2 目前化工行業(yè)信息安全風(fēng)險(xiǎn)分析

2.1 化工行業(yè)信息化發(fā)展趨勢(shì)

石油化學(xué)工業(yè)是基礎(chǔ)性產(chǎn)業(yè)，在國民經(jīng)濟(jì)中占有舉足輕重的地位，是我國的支柱產(chǎn)業(yè)部門之一，化工行業(yè)之所以重視信息化工作，首先與2015年總理提出的“互聯(lián)網(wǎng)+”的大發(fā)展背景密不可分，工藝流程的制定、化工裝置的運(yùn)行、化工產(chǎn)品的銷售都高度依賴于信息化、互聯(lián)網(wǎng)技術(shù)；其次是從化工行業(yè)的自身特點(diǎn)衍生出來的，其產(chǎn)品數(shù)量多、種類多，產(chǎn)品各個(gè)環(huán)節(jié)的各個(gè)控制點(diǎn)特別多，這就要求用信息化技術(shù)能夠?qū)どa(chǎn)中的各個(gè)環(huán)節(jié)產(chǎn)生積極和促進(jìn)作用。

2.2 化工行業(yè)信息安全管理的現(xiàn)狀和挑戰(zhàn)

因?yàn)樾畔踩芾淼囊?，在網(wǎng)絡(luò)管理層面，石油系統(tǒng)內(nèi)的企業(yè)已經(jīng)建立了完善的內(nèi)、外網(wǎng)隔離的管理平臺(tái)，兩個(gè)網(wǎng)絡(luò)完全物理隔離，不能互相訪問；石油系統(tǒng)內(nèi)還部署了病毒防御、主動(dòng)攻擊防御系統(tǒng)（Symantec Endpoint Protection），保密安全，漏洞防護(hù)等一系列安全防護(hù)系統(tǒng)，看似已經(jīng)建立了一個(gè)信息非常安全、固若金湯的基礎(chǔ)架構(gòu)。但在實(shí)際業(yè)務(wù)發(fā)展中，仍然存在一些隱患，不容忽視，面臨挑戰(zhàn)。

一方面企業(yè)的業(yè)務(wù)已經(jīng)非常依賴信息系統(tǒng)，因?yàn)闃I(yè)務(wù)發(fā)展需要急需把內(nèi)網(wǎng)系統(tǒng)交付到外網(wǎng)去，即人員在出差過程中能處理內(nèi)網(wǎng)的業(yè)務(wù)?，F(xiàn)有的內(nèi)外網(wǎng)隔離架構(gòu)，只有特權(quán)用戶能夠進(jìn)行辦公，為新的用戶授權(quán)又需要經(jīng)過一系列嚴(yán)格的程序，交付周期相對(duì)較長，因此不具備實(shí)現(xiàn)業(yè)務(wù)交付的靈活性。

另一方面，即使建立了內(nèi)外網(wǎng)隔離的架構(gòu)，也不能從根本阻止信息泄露，而且對(duì)于信息泄露事件也不能做到追本溯源，以避免類似事件發(fā)生。據(jù)全球權(quán)威的調(diào)查機(jī)構(gòu)報(bào)告顯示客戶發(fā)生的信息泄露75%來自系統(tǒng)內(nèi)部網(wǎng)絡(luò)，而且超過50%的信息泄露沒有找到信息泄露的源頭。外網(wǎng)通過入侵，只能獲得企業(yè)非關(guān)鍵信息；而對(duì)內(nèi)網(wǎng)進(jìn)行的各種違規(guī)操作，才是最致命的，給企業(yè)帶來巨大的經(jīng)營風(fēng)險(xiǎn)。所以即使進(jìn)行了完全隔離，也不能杜絕信息泄露，內(nèi)部網(wǎng)絡(luò)的信息泄露主要來自于以下三個(gè)方面（見圖1）：

（1）由外包服務(wù)公司員工引起信息泄露。伴隨著IT系統(tǒng)越來越復(fù)雜，客戶本身很難成為各種應(yīng)用系統(tǒng)、各種管理系統(tǒng)的專家，往往采用服務(wù)外包方式進(jìn)行管理，現(xiàn)實(shí)的問題在于，由于沒有一套完善的監(jiān)控、審計(jì)機(jī)制，外包服務(wù)公司人員究竟在管理平臺(tái)上修改了什么，平臺(tái)上的數(shù)據(jù)被是否被保存到了IT服務(wù)外包人員本地電腦上并被泄漏出去，是否有危及系統(tǒng)安全和數(shù)據(jù)保密的操作都不得而知，出現(xiàn)人為操作故障后，追溯問題根源存在爭(zhēng)執(zhí)，追究責(zé)任困難，這就成為了信息泄露的最大漏洞。

（2）由內(nèi)部IT人員引起信息泄露。在IT系統(tǒng)管理過程中，IT管理人員通常有非常大的權(quán)限，如何管理和評(píng)估這些人員在日常工作中是否有超過權(quán)限的操作，怎么清晰地知道哪個(gè)IT人員什么時(shí)間做過什么操作，都是擺在企業(yè)面前的現(xiàn)實(shí)問題。

（3）由內(nèi)部業(yè)務(wù)人員引起信息泄露。業(yè)務(wù)人員因?yàn)橹苯诱莆樟似髽I(yè)財(cái)務(wù)、設(shè)備、銷售、物料、物流等各個(gè)方面的數(shù)據(jù)，也是信息泄露的關(guān)鍵因素之一。

3 建設(shè)審計(jì)系統(tǒng)的意義

由于企業(yè)信息安全管理存在外包服務(wù)公司員工引起信息泄露、炔IT人員引起信息泄露、內(nèi)部業(yè)務(wù)人員引起信息泄露的情況，因此圍繞業(yè)務(wù)系統(tǒng)需要建立可控的、有序的安全架構(gòu)，以防止和杜絕任何企業(yè)數(shù)據(jù)泄漏的隱患，通過使用信息內(nèi)容審計(jì)系統(tǒng)能夠在已建立起的網(wǎng)絡(luò)安全平臺(tái)上再增加一道安全防護(hù)屏障，從而實(shí)現(xiàn)真正完善的信息安全防護(hù)體系，這對(duì)企業(yè)的信息化發(fā)展具有重要意義，使用信息內(nèi)容審計(jì)系統(tǒng)的具體價(jià)值體現(xiàn)在以下幾點(diǎn)：

（1）審計(jì)敏感信息接觸者，如IT管理員、業(yè)務(wù)人員、外包公司員工，他們都需要通過審計(jì)管控平臺(tái)，才能獲得信息系統(tǒng)的訪問、管理權(quán)限，獲得其需要的應(yīng)用和數(shù)據(jù)，如此便可實(shí)現(xiàn)從源頭上防范信息數(shù)據(jù)的泄露。

（2）IT管理員、業(yè)務(wù)人員、外包公司員工的所有操作行為可以通過回放錄像的方式進(jìn)行檢索，從而捕捉到關(guān)鍵行為、操作，對(duì)于出現(xiàn)的信息泄露等重大問題，責(zé)任范圍可追溯，做到有依可循、有據(jù)可查。

（3）對(duì)于系統(tǒng)故障，誤刪除等操作造成的數(shù)據(jù)丟失可以通過操作行為錄像回放，找出故障原因，找回丟失的重要數(shù)據(jù)，從而保證企業(yè)的財(cái)產(chǎn)不受損失，保證企業(yè)的名譽(yù)不受損失。

4 審計(jì)的方法、特點(diǎn)

審計(jì)系統(tǒng)綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能，從技術(shù)實(shí)現(xiàn)上講，通過切斷終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而采用協(xié)議的方式，接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問。目前普遍采用的審計(jì)方式有兩種，一種采用一體堡壘機(jī)的方法，一種采用服務(wù)器、審計(jì)軟件兩層架構(gòu)的方法。

4.1 一體堡壘機(jī)功能

（1）單點(diǎn)登錄功能：支持對(duì)Windows、LINUX、UNIX、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號(hào)進(jìn)行密碼的自動(dòng)化周期更改，簡(jiǎn)化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實(shí)現(xiàn)自動(dòng)登錄目標(biāo)設(shè)備，便捷安全。

（2）統(tǒng)一的賬號(hào)管理：能夠?qū)λ蟹?wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號(hào)進(jìn)行集中管理，化繁為簡(jiǎn)，實(shí)現(xiàn)對(duì)維護(hù)管理員的統(tǒng)一審核。

（3）資源授權(quán)：設(shè)備提供基于用戶、目標(biāo)設(shè)備、時(shí)間、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的安全。

（4）訪問控制：設(shè)備支持對(duì)不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。

（5）操作審計(jì)：能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計(jì)；通過設(shè)備錄像方式實(shí)時(shí)監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作，對(duì)違規(guī)行為進(jìn)行事中控制。對(duì)終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。

4.2 審計(jì)軟件功能

新一代的審計(jì)軟件克服了傳統(tǒng)堡壘機(jī)的很多不足，如專用硬件不易維修、升級(jí)困難、不能實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)管控、不能對(duì)圖像操作進(jìn)行檢索等，在繼承了傳統(tǒng)堡壘機(jī)的基礎(chǔ)上又具備以下優(yōu)點(diǎn)：

（1）應(yīng)用管控。實(shí)現(xiàn)獨(dú)立管控，不同人員獲得使用不同應(yīng)用程序的權(quán)限。

（2）數(shù)據(jù)管控。無論局域網(wǎng)操作者還是廣域網(wǎng)遠(yuǎn)程操作者，在審計(jì)環(huán)境下可以看到數(shù)據(jù)，使用數(shù)據(jù)，但無法下載數(shù)據(jù)。

（3）高安全性。以客戶端/服務(wù)器方式運(yùn)行，將用戶行為變?yōu)榭梢暋⒖筛?、可鑒定，保護(hù)重要數(shù)據(jù)的安全。

（4）集中審計(jì)，審計(jì)無盲點(diǎn)。實(shí)現(xiàn)集中審計(jì)、集中訪問控制，對(duì)于企業(yè)重要系統(tǒng)和數(shù)據(jù)的管理，有非常重要的價(jià)值；

（5）準(zhǔn)確追溯歷史。在服務(wù)器上部署審計(jì)軟件的科學(xué)方式能夠?qū)碓L人員的行為完整的記錄，并保存在服務(wù)器上，審計(jì)人員能夠按照其想調(diào)查的時(shí)間點(diǎn)、調(diào)查的操作人、調(diào)查的內(nèi)容進(jìn)行選擇，通過清晰的視頻回放準(zhǔn)確的定位操作行為。

（6）行為分析報(bào)表。能夠提供準(zhǔn)確、詳細(xì)的審計(jì)報(bào)表，直觀的展現(xiàn)歷史過程。

此外，新一代的審計(jì)軟件還具備更為可靠、先進(jìn)的核心業(yè)務(wù)非法訪問監(jiān)測(cè)、惡意程序篡改進(jìn)程、關(guān)鍵數(shù)據(jù)的訪問監(jiān)測(cè)、多維度的行為分析和查詢、云終端用戶操作等行為審計(jì)等功能。

5 審計(jì)系統(tǒng)的建設(shè)

鑒于石油化工系統(tǒng)的信息安全、數(shù)據(jù)保密的重要性，在設(shè)計(jì)企業(yè)信息安全防護(hù)系統(tǒng)時(shí)要充分考慮到架構(gòu)是否能夠有效的起到安全防護(hù)作用、規(guī)范作用，是否能夠?yàn)槠髽I(yè)運(yùn)營節(jié)省成本、提升企業(yè)運(yùn)營效率等因素，因此在設(shè)計(jì)架構(gòu)時(shí)要打破傳統(tǒng)安全防護(hù)的壁壘，在創(chuàng)新發(fā)展與嚴(yán)密管控之間找到平衡點(diǎn)，充分發(fā)揮出架構(gòu)的優(yōu)勢(shì)。

5.1 架構(gòu)組成

架構(gòu)由三個(gè)部分組成，分別是客戶部分、集中訪問控制部分、信息系統(tǒng)部分（見圖2）。

（1）客戶部分，包括IT管理人員、IT運(yùn)維人員、IT外包人員、審計(jì)人員等。

（2）集中訪問控制部分，這里是審計(jì)系統(tǒng)的核心控制區(qū)，包括行為審計(jì)應(yīng)用產(chǎn)品、審計(jì)數(shù)據(jù)存儲(chǔ)產(chǎn)品、訪問控制程序區(qū)（SSH、Putty、SecureCRT、遠(yuǎn)程桌面等）。

（3）信息系統(tǒng)部分，包含企業(yè)的各個(gè)生產(chǎn)、銷售、物料等信息系統(tǒng)。

5.2 架構(gòu)設(shè)計(jì)

方案采用應(yīng)用虛擬化技術(shù)+智能審計(jì)解決方案，采用行業(yè)中技術(shù)領(lǐng)先的CitrixXenapp+AuditSys審計(jì)產(chǎn)品，構(gòu)建一個(gè)安全的集中訪問平臺(tái)，將用戶與信息系統(tǒng)分隔開。

首先建立XenApp平臺(tái)，將遠(yuǎn)程服務(wù)器和客戶機(jī)上的應(yīng)用程序部署到XenApp平臺(tái)上，客戶端設(shè)備只需通過IE就可以運(yùn)行應(yīng)用系統(tǒng)，多用戶同時(shí)訪問時(shí)，由XenApp管理應(yīng)用客戶端軟件的多進(jìn)程訪問，并控制向不同用戶的權(quán)限，服務(wù)器與客戶端之間的數(shù)據(jù)傳輸只是屏幕變化和鼠標(biāo)鍵盤的指令信息，而不傳輸任何實(shí)際操作數(shù)據(jù)，真實(shí)的數(shù)據(jù)傳輸發(fā)生在XenApp平臺(tái)與信息系統(tǒng)部分之間，從安全性角度分析，這種安全性接近于物理環(huán)境隔離。

然后在XenApp平臺(tái)上部署AuditSys產(chǎn)品，實(shí)現(xiàn)審計(jì)任何通過Xenapp平臺(tái)訪問的用戶會(huì)話，也可以審計(jì)任何通過遠(yuǎn)程桌面、終端服務(wù)、PCANYWHERE等遠(yuǎn)程協(xié)議訪問過來的會(huì)話，也可以審計(jì)通過KVM或者通過本地登的用戶會(huì)話，通過與Citrix XenApp的無縫集成，不僅可以構(gòu)建一個(gè)安全的遠(yuǎn)程集中訪問平臺(tái)，還可以對(duì)所有的用戶會(huì)話，管理員維護(hù)操作等用戶行為進(jìn)行審計(jì)。

所有的行為審計(jì)過程需要完整的記錄并保存，這里部署了Auditsys App Server，保存了Auditsys記錄的完整的行為過程，為檢查人員、審核人員的安全檢查提供可靠依據(jù)。

5.3 架構(gòu)優(yōu)勢(shì)

XenApp集中化方法將所有應(yīng)用程序和數(shù)據(jù)存儲(chǔ)都集中在數(shù)據(jù)中心服務(wù)器上，并把數(shù)據(jù)的管理嚴(yán)格控制在數(shù)據(jù)中心。

該方法從安全角度和先進(jìn)角度出發(fā)，在安全防護(hù)方面做到了數(shù)據(jù)的不可復(fù)制，在該架構(gòu)下，只有用戶界面、鍵盤敲擊和鼠標(biāo)操作等小量交互信息通過網(wǎng)絡(luò)傳輸，且都是經(jīng)過加密處理的。

XenApp上的應(yīng)用程序需要上層管理者授權(quán)才能使用，保證了應(yīng)用的管控和規(guī)范使用。

客戶部分使用計(jì)算機(jī)在完成數(shù)據(jù)操作時(shí)，只能夠看到所使用的數(shù)據(jù)，真正的數(shù)據(jù)依然存放在集中訪問控制部分和信息系統(tǒng)中，充分做到了數(shù)據(jù)的安全防護(hù)。

AuditSys具備功能強(qiáng)大的數(shù)據(jù)搜索引擎，支持細(xì)化的組合查詢、多條件選擇查詢，幫助用戶快速完成記錄搜索。

6 總 結(jié)

信息化是企業(yè)工業(yè)生產(chǎn)的重要驅(qū)動(dòng)力，是企業(yè)可持續(xù)發(fā)展的重要因素，互聯(lián)網(wǎng)+工業(yè)是未來工業(yè)發(fā)展的方向，且工業(yè)信息化發(fā)展的前提又是信息安全，因此，企業(yè)信息安全防護(hù)系統(tǒng)做的好不好，企業(yè)信息安全管理規(guī)范，直接作用于企業(yè)的工業(yè)信息化發(fā)展，進(jìn)而影響企業(yè)的發(fā)展動(dòng)力、產(chǎn)品創(chuàng)新、技術(shù)產(chǎn)品等多個(gè)方面。而信息安全體系中，人員的管控的是最復(fù)雜、最困難的，信息工作中，能否通過有效的安全系統(tǒng)及時(shí)有效的發(fā)現(xiàn)、制止信息泄密事件，做到未雨綢繆；能否在發(fā)生泄密事件后，準(zhǔn)確的查出泄密原因，找出泄密人員，亡羊補(bǔ)牢，這尤其需要企業(yè)在信息安全工作中重點(diǎn)考慮，以保證企業(yè)的信息安全防護(hù)系統(tǒng)堅(jiān)固、夯實(shí)，以保證企業(yè)的信息化發(fā)展健康、穩(wěn)步。

主要參考文獻(xiàn)

[1]鄧小榕，陳龍.安全審計(jì)數(shù)據(jù)的綜合審計(jì)分析方法[J].重慶郵電學(xué)院學(xué)報(bào)：自然科學(xué)版，2005（5）.

[2]許霆，袁萌，史美林.網(wǎng)絡(luò)監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2002（18）.

[3]鄧瑛，常國岑.網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]，計(jì)算機(jī)工程，2002（12）.

[4]張俊良.基于信息過濾的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究與實(shí)現(xiàn)[D].西安：西北大學(xué)，2009.

[5]曹暉，王青青.新型數(shù)據(jù)庫安全審計(jì)系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（5）：163-165.

[6]王淵，馬駿.一種基于入侵檢測(cè)的數(shù)據(jù)庫安全審計(jì)[J].計(jì)算機(jī)仿真，2007，24（2）：33-36.

[7]高彩容.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計(jì)技術(shù)研究[D].西安：西安電子科技大學(xué)，2008.

[8]韋猛，程克非.基于主機(jī)信息內(nèi)容審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào)，2008，20（6）：725-728.

[9]范紅，邵華.應(yīng)用系統(tǒng)安全審計(jì)檢測(cè)研究[J].信息網(wǎng)絡(luò)安全，2012（8）：170-172.

篇6

“十三五”期間，中國集團(tuán)企業(yè)將從應(yīng)用、技術(shù)、信息資源、安全、IT管控五個(gè)方面完善和優(yōu)化信息化戰(zhàn)略。

構(gòu)建以“四鏈融合”為核心的信息平臺(tái)

在國家強(qiáng)化“兩化”深度融合、工業(yè)4.0的大背景下，構(gòu)建以生產(chǎn)精益、供應(yīng)協(xié)同、產(chǎn)融倍增、決策靈活為特點(diǎn)的“四鏈融合”信息平臺(tái)，優(yōu)化原有的橫向到邊、縱向到底的一體化應(yīng)用系統(tǒng)，將成為“十三五”期間集團(tuán)企業(yè)信息化建設(shè)的一大重點(diǎn)。

所謂“四鏈融合”指的是通過智慧決策信息平臺(tái)、智慧營運(yùn)信息平臺(tái)、智慧金融信息平臺(tái)和智慧物流信息平臺(tái)的有機(jī)結(jié)合，實(shí)現(xiàn)管控鏈、生產(chǎn)鏈、價(jià)值鏈和供應(yīng)鏈的融合，有效創(chuàng)新商業(yè)模式，大幅提升集團(tuán)的競(jìng)爭(zhēng)力。

通過智慧決策信息平臺(tái)實(shí)現(xiàn)管控鏈的協(xié)同化、高效化、智慧化管理，通過管控鏈將企業(yè)戰(zhàn)略有機(jī)融合到物流、生產(chǎn)、金融等各環(huán)節(jié)，發(fā)揮總部在企業(yè)整體運(yùn)營中的服務(wù)、指導(dǎo)、管控等作用;通過智慧營運(yùn)信息平臺(tái)實(shí)現(xiàn)生產(chǎn)鏈的一體化、可控化、智能化管理，打通營銷、生產(chǎn)、供應(yīng)、物流的信息命脈，支撐高效、安全、環(huán)保的生產(chǎn)經(jīng)營，發(fā)揮生產(chǎn)在戰(zhàn)略中的主體作用;通過智慧金融信息平臺(tái)實(shí)現(xiàn)價(jià)值鏈的感知化、智能化、高端化管理，對(duì)內(nèi)實(shí)現(xiàn)成本的有效控制，對(duì)外發(fā)揮金融資產(chǎn)的價(jià)值最大化，體現(xiàn)金融在戰(zhàn)略中的重要作用;通過智慧物流信息平臺(tái)實(shí)現(xiàn)集團(tuán)供應(yīng)鏈的可視化、動(dòng)態(tài)化、智能化管理，打通營銷、商貿(mào)、物流、生產(chǎn)、金融的信息命脈，創(chuàng)新商業(yè)模式，發(fā)揮物流在戰(zhàn)略中的重要作用。

以“大云平移”為核心構(gòu)建全新基礎(chǔ)設(shè)施

在技術(shù)方面，“十三五”期間，集團(tuán)企業(yè)要以“大（數(shù)據(jù)）云（計(jì)算）平（臺(tái)）移（動(dòng)互聯(lián)網(wǎng)）”為核心的現(xiàn)代信息技術(shù)，構(gòu)建全新基礎(chǔ)設(shè)施。

在大數(shù)據(jù)方面，將實(shí)現(xiàn)“大量數(shù)據(jù)”向“大數(shù)據(jù)”的轉(zhuǎn)變。大數(shù)據(jù)全生命周期管理包括大數(shù)據(jù)獲取、存儲(chǔ)、組織、分析和決策四個(gè)階段。

大數(shù)據(jù)平臺(tái)的建設(shè)可以圍繞結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)管理兩個(gè)方面進(jìn)行規(guī)劃。實(shí)現(xiàn)傳統(tǒng)結(jié)構(gòu)化數(shù)據(jù)管理模式與非結(jié)構(gòu)化數(shù)據(jù)管理模式的有機(jī)結(jié)合，是大數(shù)據(jù)管理平臺(tái)得以發(fā)展和推廣應(yīng)用的關(guān)鍵因素。要充分利用高度可擴(kuò)展的Hadoop大數(shù)據(jù)處理系統(tǒng)和MapReduce技術(shù)，實(shí)現(xiàn)新舊數(shù)據(jù)、新舊信息系統(tǒng)、新舊軟硬件資源的有效利用，實(shí)現(xiàn)大數(shù)據(jù)的深度分析應(yīng)用和新知識(shí)的發(fā)現(xiàn)。

在云計(jì)算方面，構(gòu)筑更為靈活的混合云架構(gòu)支撐應(yīng)用融合。企業(yè)新業(yè)務(wù)的拓展很大程度上依靠靈活的IT架構(gòu)來作為支撐，使得混合云應(yīng)用更加廣泛。為了在周期性的IT能力需求波動(dòng)和業(yè)務(wù)安全之間取得平衡，集團(tuán)企業(yè)應(yīng)該為核心業(yè)務(wù)打造私有云平臺(tái)，而將支撐邊緣性業(yè)務(wù)和新業(yè)務(wù)的系統(tǒng)遷移到公有云平臺(tái)。在此背景下，如何實(shí)現(xiàn)公有云和私有云之間的整合將成為一大挑戰(zhàn)。私有云和公有云的集成需要從服務(wù)器點(diǎn)對(duì)點(diǎn)連接、底層存儲(chǔ)集成、數(shù)據(jù)同步、消息同步等方面實(shí)現(xiàn)。

在平臺(tái)方面，要利用電商平臺(tái)優(yōu)化企業(yè)管理模式，提高生產(chǎn)率，降低經(jīng)營成本，優(yōu)化資源配置。電商并不是簡(jiǎn)單地將傳統(tǒng)商業(yè)模式復(fù)制到互聯(lián)網(wǎng)上，而要結(jié)合企業(yè)自身優(yōu)勢(shì)與特點(diǎn)，充分考慮銷售、渠道等多方面因素，構(gòu)建多主體共享的商業(yè)生態(tài)體系，借助網(wǎng)絡(luò)效應(yīng)實(shí)現(xiàn)多主體的商業(yè)共贏。電商的應(yīng)用可以實(shí)現(xiàn)信息共享，對(duì)市場(chǎng)需求做出快速反應(yīng)，拉近與終端消費(fèi)者的距離，縮短供應(yīng)鏈，實(shí)現(xiàn)按需生產(chǎn)，驅(qū)動(dòng)產(chǎn)品創(chuàng)新，實(shí)現(xiàn)全球采購和營銷，促進(jìn)組織的扁平化。

移動(dòng)應(yīng)用+互聯(lián)網(wǎng)

深度推廣企業(yè)移動(dòng)應(yīng)用建設(shè)。通過移動(dòng)辦公和掌上運(yùn)維等傳統(tǒng)業(yè)務(wù)運(yùn)營支撐類移動(dòng)應(yīng)用，實(shí)現(xiàn)涉及企業(yè)內(nèi)部計(jì)劃、組織、領(lǐng)導(dǎo)和控制過程的內(nèi)部管理的移動(dòng)應(yīng)用，提升決策水平，降低管理成本，強(qiáng)化精細(xì)化管理。在內(nèi)部應(yīng)用建設(shè)完善的基礎(chǔ)上，充分利用移動(dòng)應(yīng)用覆蓋面廣、到達(dá)率高優(yōu)勢(shì)，創(chuàng)新業(yè)務(wù)服務(wù)模式，將業(yè)務(wù)模式從傳統(tǒng)營銷模式向移動(dòng)終端營銷轉(zhuǎn)移，實(shí)現(xiàn)精準(zhǔn)營銷。

企業(yè)互聯(lián)網(wǎng)時(shí)代正式開啟，企業(yè)聚力互聯(lián)網(wǎng)轉(zhuǎn)型，搶占未來產(chǎn)業(yè)高地?！笆濉逼陂g，互聯(lián)網(wǎng)將發(fā)生重大變化，移動(dòng)互聯(lián)網(wǎng)應(yīng)用將全面深入，在企業(yè)生產(chǎn)、經(jīng)營、管理等各環(huán)節(jié)的應(yīng)用將普及，產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代將正式開啟。大批企業(yè)將通過“十三五”信息化規(guī)劃，著力將互聯(lián)網(wǎng)融入企業(yè)生產(chǎn)、經(jīng)營、管理的各個(gè)環(huán)節(jié)，實(shí)現(xiàn)互聯(lián)網(wǎng)轉(zhuǎn)型。

當(dāng)前以互聯(lián)網(wǎng)金融、O2O、P2P等為主要形式的網(wǎng)絡(luò)經(jīng)濟(jì)對(duì)傳統(tǒng)經(jīng)濟(jì)的沖擊越來越大，這就要求處在爬坡過坎、結(jié)構(gòu)調(diào)整關(guān)鍵時(shí)期的集團(tuán)公司，必須高度重視和盡快融入信息化帶來的第三次工業(yè)革命浪潮中。隨著集團(tuán)公司創(chuàng)新戰(zhàn)略的深入實(shí)施，產(chǎn)業(yè)鏈的延長和拓展，相應(yīng)的管理面將不斷擴(kuò)大，這就要求集團(tuán)企業(yè)盡快建立適合集團(tuán)戰(zhàn)略轉(zhuǎn)型和產(chǎn)業(yè)發(fā)展的信息化系統(tǒng)。

集團(tuán)編碼落地和信息資源整合

以集團(tuán)主數(shù)據(jù)項(xiàng)目為抓手，實(shí)現(xiàn)集團(tuán)編碼落地和信息資源整合。在集團(tuán)范圍內(nèi)建立統(tǒng)一的信息資源編碼體系，落實(shí)集團(tuán)統(tǒng)一的信息編碼規(guī)則，實(shí)現(xiàn)信息的唯一性、統(tǒng)一性，避免數(shù)出多源、信息失真、信息缺失，促進(jìn)公共信息資源共享，并支持集團(tuán)財(cái)務(wù)穿透查詢、人力資源綜合統(tǒng)計(jì)等業(yè)務(wù)的開展。

集團(tuán)企業(yè)應(yīng)該通過主數(shù)據(jù)管理系統(tǒng)的建設(shè)，統(tǒng)一管理整個(gè)集團(tuán)的重要信息，如人員、產(chǎn)品、組織、崗位職責(zé)等信息，確保重要信息在跨板塊、跨公司、跨業(yè)務(wù)系時(shí)的一致性，實(shí)現(xiàn)重復(fù)應(yīng)用和信息共享。

以生態(tài)圈安全為出發(fā)點(diǎn)設(shè)計(jì)安全架構(gòu)

信息安全環(huán)境與信息技術(shù)突破帶來信息安全架構(gòu)設(shè)計(jì)理念的變革。隨著國家對(duì)信息安全重視程度的提高，企業(yè)面臨越來越多來自政府、行業(yè)組織和自身戰(zhàn)略的合規(guī)性要求。同時(shí)，信息安全的建設(shè)要適應(yīng)云計(jì)算、社交網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)的普遍應(yīng)用。信息安全已經(jīng)成為企業(yè)參與市場(chǎng)競(jìng)爭(zhēng)的基礎(chǔ)能力，企業(yè)需要從架構(gòu)層面考慮如何應(yīng)對(duì)安全管理與安全技術(shù)方面的挑戰(zhàn)。

安全架構(gòu)設(shè)計(jì)的重點(diǎn)從自有封閉系統(tǒng)安全向安全生態(tài)圈建設(shè)轉(zhuǎn)變。企業(yè)需要與上下游企業(yè)，以及安全管理機(jī)構(gòu)和評(píng)測(cè)機(jī)構(gòu)等第三方機(jī)構(gòu)開展廣泛的合作，在管理制度、流程、技術(shù)手段等方面進(jìn)行協(xié)作，確保企業(yè)安全目標(biāo)的實(shí)現(xiàn)。

從被動(dòng)式服務(wù)向主動(dòng)式服務(wù)轉(zhuǎn)變

篇7

    隨著我國通信業(yè)和信息化的發(fā)展,通信網(wǎng)絡(luò)作為傳遞信息的一種重要載體為大家所熟知。在全球信息化進(jìn)程中,通信網(wǎng)絡(luò)的普及和演進(jìn)也潛移默化地改變著企業(yè)的信息溝通方式。因此,通信網(wǎng)絡(luò)在企業(yè)發(fā)展中起到至關(guān)重要的作用,而電力企業(yè)作為我國經(jīng)濟(jì)發(fā)展的領(lǐng)跑者,通信網(wǎng)絡(luò)技術(shù)的發(fā)展也勢(shì)在必行。但是,電力企業(yè)在發(fā)展的過程中也面臨著巨大的潛在危險(xiǎn)—企業(yè)信息安全問題。通信網(wǎng)絡(luò)安全是指最大限度地減少數(shù)據(jù)和資源被攻擊的可能性。對(duì)于電力企業(yè)來說,這些數(shù)據(jù)和資源是企業(yè)的命脈,通信網(wǎng)絡(luò)一旦發(fā)生中斷、癱瘓或擁塞,或者數(shù)據(jù)信息丟失、泄露或被非法篡改,將對(duì)企業(yè)和社會(huì)的經(jīng)濟(jì)生活造成嚴(yán)重影響。因此,通信網(wǎng)絡(luò)的信息安全是電力企業(yè)發(fā)展的重中之重,如何做到通信網(wǎng)絡(luò)與信息安全有效的結(jié)合、共同發(fā)展是我們需要考慮的問題。 

    二、通信網(wǎng)絡(luò)與信息安全息息相關(guān)

    電力企業(yè)信息安全與通信網(wǎng)路的安全息息相關(guān),也是國家信息安全的重要組成部分。在電力工業(yè)信息化進(jìn)程中,通信網(wǎng)絡(luò)承擔(dān)著三種角色:

    1.信息通信網(wǎng)絡(luò)公共平臺(tái)提供者,對(duì)不同性質(zhì)的計(jì)算機(jī)應(yīng)用系統(tǒng)可以提供不同的網(wǎng)絡(luò)服務(wù)質(zhì)量和優(yōu)先等級(jí)。

    2.與業(yè)務(wù)管理有關(guān)的計(jì)算機(jī)應(yīng)用系統(tǒng)的建設(shè)、管理和使用者,其中的計(jì)算機(jī)應(yīng)用系統(tǒng)包括通信監(jiān)控與網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)規(guī)劃與企業(yè)管理系統(tǒng)和客戶服務(wù)系統(tǒng)等。

    3.與通信技術(shù)相關(guān)的信息資源的開發(fā)、維護(hù)和使用者。

    因此,通信網(wǎng)絡(luò)承載著電力企業(yè)生產(chǎn)、運(yùn)行、管理、經(jīng)營業(yè)務(wù)系統(tǒng),內(nèi)聯(lián)著電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),對(duì)外與Internet連接,它的安全是電力企業(yè)信息安全的第一道技術(shù)防線,電力企業(yè)信息安全直接關(guān)系著電力企業(yè)的運(yùn)行與管理,也直接或間接地影響著電力生產(chǎn)控制系統(tǒng)的安全。電網(wǎng)企業(yè)應(yīng)全面開展綠色通信網(wǎng)絡(luò)安全防護(hù)體系建設(shè),統(tǒng)籌部署等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和災(zāi)難備份工作;著力提升通信網(wǎng)絡(luò)安全保障水平和應(yīng)對(duì)突發(fā)事件的能力;要通過通信網(wǎng)絡(luò)與信息安全管理能力的增強(qiáng),更好地為電網(wǎng)企業(yè)的發(fā)展提供有力的技術(shù)支撐,為促進(jìn)社會(huì)和諧與穩(wěn)定做出積極的貢獻(xiàn)。 

    三、新形勢(shì)下的綠色電力通信網(wǎng)絡(luò)

    目前,大部分企業(yè)部門間依靠普通的網(wǎng)絡(luò)來完成信息傳輸,雖然也具有一定的防護(hù)措施和技術(shù),但還是容易被竊取信息。這是由以下三個(gè)方面原因共同決定的:

    1.計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性、共享性等特點(diǎn);

    2.通信系統(tǒng)大量使用商用軟件,其源代碼、源程序完全或部分公開化,使企業(yè)存在安全問題;

    3.計(jì)算機(jī)病毒的層出不窮及其大范圍的惡意傳播。

    這三方面原因都對(duì)當(dāng)今企業(yè)和社會(huì)網(wǎng)絡(luò)通信安全產(chǎn)生不可估量的威脅。由于當(dāng)今通信網(wǎng)絡(luò)功能越來越強(qiáng)大,我們采取何種有效措施,最大限度地化解這種潛在危險(xiǎn),把網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低限度是電力企業(yè)需要面對(duì)的重大問題。

    在電力企業(yè)發(fā)展的新形勢(shì)下,構(gòu)建綠色通信網(wǎng)絡(luò)成為解決電力企業(yè)信息安全的重要手段。綠色通信網(wǎng)絡(luò)構(gòu)建主要包括,一方面要建立健全企業(yè)的安全機(jī)制,強(qiáng)化安全管理;另一方面,技術(shù)創(chuàng)新也是當(dāng)務(wù)之急。

    在技術(shù)層方面,首先是建立一個(gè)層次化的安全管控體系。為了從技術(shù)上提高通信網(wǎng)絡(luò)的安全性,電力企業(yè)應(yīng)整合現(xiàn)有資源,提高企業(yè)通信網(wǎng)絡(luò)的預(yù)防水平、網(wǎng)絡(luò)的修復(fù)能力和備份能力。具體內(nèi)容包括:網(wǎng)絡(luò)安全漏洞的自動(dòng)發(fā)現(xiàn)與治愈、全網(wǎng)聯(lián)動(dòng)的事件監(jiān)控和分析、網(wǎng)絡(luò)安全配置的集中化和管控、安全態(tài)勢(shì)的綜合分析以及高效運(yùn)作網(wǎng)絡(luò)安全管理等方面。這是一個(gè)涉及體系架構(gòu)設(shè)計(jì)、資源配置和局部解決方案在內(nèi)的系統(tǒng)解決方案,需要建立相應(yīng)的安全技術(shù)體系;其次是對(duì)電力企業(yè)的IP承載網(wǎng)進(jìn)行安全的設(shè)計(jì)和優(yōu)化,然后通過安全管理中心的建設(shè)來完善綠色通信網(wǎng)絡(luò)的安全能力。

    在管理層方面,針對(duì)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性、易損性等特點(diǎn),我們應(yīng)加強(qiáng)網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平,將固有條件下存在的安全隱患降到最低。在通信網(wǎng)絡(luò)管理和使用中,要大力加強(qiáng)管理人員的安全保密意識(shí)。在管理層面上主要包括安全組織的建設(shè)和人員的保障,各種安全策略制度和流程的配套建設(shè),以及完善安全評(píng)估、應(yīng)急響應(yīng)等安全保障機(jī)制。其中在應(yīng)急響應(yīng)方面,需要建立健全信息安全應(yīng)急處理的協(xié)調(diào)機(jī)制,進(jìn)一步完善各類突發(fā)事件的應(yīng)急預(yù)案,健全應(yīng)急指揮體系,落實(shí)應(yīng)急隊(duì)伍和保障條件。尤其是高度重視基礎(chǔ)信息網(wǎng)絡(luò),包括電信網(wǎng)絡(luò)和重要信息系統(tǒng)的應(yīng)急處理工作和備份建設(shè),充分做到了事件有預(yù)案、處置有流程、應(yīng)急有措施,最大限度地化解信息安全風(fēng)險(xiǎn)。 

    四、綠色通信網(wǎng)絡(luò)規(guī)劃助力電力企業(yè)信息化安全

    規(guī)劃綠色通信網(wǎng)絡(luò)是電力企業(yè)通信建設(shè)的基礎(chǔ)和安全保障,具有十分重要的作用。綠色電力通信網(wǎng)絡(luò)的規(guī)劃除了要遵從電力系統(tǒng)的有關(guān)規(guī)定之外,還必須遵循通信專業(yè)規(guī)劃的技術(shù)方法。因此,綠色通信網(wǎng)絡(luò)應(yīng)該包括傳送網(wǎng)絡(luò)層和業(yè)務(wù)網(wǎng)絡(luò)層等,而電力企業(yè)中綠色通信網(wǎng)絡(luò)的規(guī)劃和構(gòu)建大致包括以下三個(gè)步驟:

    第一步:業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃。業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃主要是對(duì)提供不同信息服務(wù)的,包括數(shù)據(jù)網(wǎng)、計(jì)算機(jī)網(wǎng)和移動(dòng)通信網(wǎng)等類型豐富的網(wǎng)絡(luò)進(jìn)行規(guī)劃,它與具體的業(yè)務(wù)有關(guān)。在電力企業(yè)中,業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃尤為重要,而如何構(gòu)建綠色移動(dòng)通信網(wǎng)絡(luò)也是企業(yè)發(fā)展的重中之重。電力企業(yè)在原有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上,構(gòu)建網(wǎng)絡(luò)安全體系,通過宣傳和培訓(xùn)等手段,對(duì)網(wǎng)絡(luò)管理人員進(jìn)行安全操作和管理知識(shí)的培訓(xùn),提高各業(yè)務(wù)系統(tǒng)的安全意識(shí),使各業(yè)務(wù)系統(tǒng)能夠正常穩(wěn)定的運(yùn)行。

    第二步:傳送網(wǎng)絡(luò)規(guī)劃。傳送網(wǎng)絡(luò)規(guī)劃是為業(yè)務(wù)網(wǎng)絡(luò)提供支撐的涵蓋交換機(jī)、服務(wù)器、數(shù)據(jù)傳輸?shù)臒o線和移動(dòng)網(wǎng)絡(luò)等進(jìn)行規(guī)劃。在“十二五”規(guī)劃中強(qiáng)調(diào)了電力企業(yè)信息系統(tǒng)的安全管理和網(wǎng)絡(luò)安全傳輸問題,其中電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全更是被提上日程,如何更好的規(guī)范和規(guī)劃傳輸網(wǎng)絡(luò)層是我們研究的重點(diǎn)問題之一。按照信息系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中安全性和保密性的要求,完善監(jiān)控設(shè)施做到實(shí)時(shí)監(jiān)控,并確保管理人員不將保密文件傳到外網(wǎng),不能利用內(nèi)網(wǎng)機(jī)器上外網(wǎng)進(jìn)行查資料等操作,確保信息系統(tǒng)在數(shù)據(jù)傳輸過程中的安全性。

    第三步:基礎(chǔ)設(shè)施規(guī)劃?；A(chǔ)設(shè)施規(guī)劃主要是對(duì)信息系統(tǒng)中計(jì)算機(jī)、服務(wù)器等硬件基礎(chǔ)設(shè)施進(jìn)行規(guī)劃管理,而這部分是保障信息系統(tǒng)正常運(yùn)行的基礎(chǔ)。在電力企業(yè)中,服務(wù)器的承載量是相當(dāng)大的,在信息傳輸?shù)倪^程中數(shù)據(jù)的提取和錄入也是呈倍增長的,只有實(shí)時(shí)監(jiān)控路由器的異常情況,定期更新路由器設(shè)備,完善基礎(chǔ)設(shè)施,才能保證整個(gè)系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定性。

    綠色通信網(wǎng)絡(luò)規(guī)劃中還需要考慮網(wǎng)絡(luò)綜合化與安全防護(hù)、災(zāi)難預(yù)防等問題,在滿足通信網(wǎng)絡(luò)規(guī)劃中多需求的前提下,采取災(zāi)難預(yù)防措施,做好企業(yè)信息安全防護(hù),保障電力企業(yè)綠色通信網(wǎng)絡(luò)的順利構(gòu)建,實(shí)現(xiàn)綠色電網(wǎng)企業(yè)的發(fā)展要求。 

篇8

“云”化安全產(chǎn)品

更可靠

“我認(rèn)為，云計(jì)算時(shí)代的到來有助于改善信息安全的狀況，更利于企業(yè)保證信息的安全。” 賽門鐵克首席信息安全技術(shù)顧問林育民說。

林育民認(rèn)為，在云時(shí)代，數(shù)據(jù)和應(yīng)用程序都保存在“云”端，由云服務(wù)供應(yīng)商或內(nèi)部私有云管理部門提供技術(shù)支持，這種集中管控對(duì)信息的安全是有利的。內(nèi)部私有云比多個(gè)業(yè)務(wù)部門自行運(yùn)維系統(tǒng)，來得更安全、經(jīng)濟(jì)且有效率；此外，云服務(wù)提供商往往比大多數(shù)企業(yè)自己更有能力做好企業(yè)信息安全的保障工作。這是因?yàn)樵品?wù)商更有資金實(shí)力去請(qǐng)有足夠經(jīng)驗(yàn)的安全人員，來提供7×24小時(shí)的安全保護(hù)；而且由云服務(wù)商提供安全服務(wù)更經(jīng)濟(jì)。另外，云服務(wù)商為展現(xiàn)自身的信息安全管理能力，大多主動(dòng)遵循相關(guān)規(guī)范（如ISO 270001、SAS 70 Type2等）并積極通過國際標(biāo)準(zhǔn)組織認(rèn)可的獨(dú)立第三方認(rèn)證，且有獨(dú)立第三方對(duì)云服務(wù)商進(jìn)行審計(jì)和監(jiān)管，這客觀上也促進(jìn)了云服務(wù)提供商改進(jìn)自己的安全及服務(wù)水平。

“不管是技術(shù)實(shí)力還是資金實(shí)力，云服務(wù)商的云環(huán)境其安全水平都要好于企業(yè)自己的IT環(huán)境；而且云服務(wù)商業(yè)務(wù)持續(xù)增長與永續(xù)經(jīng)營中重要的關(guān)鍵就是信任二字。”林育民說。

當(dāng)然，用戶對(duì)數(shù)據(jù)安全和隱私方面的擔(dān)心也并不是多余的。要消除用戶的擔(dān)心，首先是云服務(wù)商要提升自己的品牌信任度，進(jìn)而提升用戶的信心，讓用戶愿意將信息交付給第三方。林育民解釋說，已有許多全球500強(qiáng)公司開始采用各類SaaS云服務(wù)，因?yàn)檫@些云服務(wù)商已建立完善的安全制度及品牌形象，取得了用戶信任。比如，賽門鐵克的CRM就選用了公司的云服務(wù)。在中國市場(chǎng)，云服務(wù)提供商仍在完善云環(huán)境的安全防護(hù)與建立可信的品牌形象，中國用戶還不太放心將自己的敏感信息保存在第三方，所以國內(nèi)目前仍著重于私有云的建設(shè)；但隨著安全制度與法規(guī)逐步的完善、安全技術(shù)的進(jìn)步，用戶對(duì)公有云服務(wù)的疑慮將逐漸降低，未來公有云服務(wù)將在國內(nèi)逐步興起。

另外，安全產(chǎn)品的“云”化也會(huì)提升安全產(chǎn)品的功能。根據(jù)賽門鐵克的統(tǒng)計(jì)，2009年新發(fā)現(xiàn)的惡意代碼中，有57%僅出現(xiàn)在單一計(jì)算機(jī)中。這意味著傳統(tǒng)被動(dòng)式病毒簽名掃描已無法有效應(yīng)對(duì)新興的安全威脅；而近年來新提出的主動(dòng)式防御概念，對(duì)于采用社交工程技術(shù)的欺詐軟件也無法有效應(yīng)對(duì)。隨著云計(jì)算技術(shù)的出現(xiàn)，安全防御不只從被動(dòng)轉(zhuǎn)為主動(dòng)，更是從主動(dòng)轉(zhuǎn)為預(yù)測(cè)式防御，安全防護(hù)廠商不需要分析惡意代碼樣本即可預(yù)測(cè)其是否可能為惡意代碼，大幅縮短了用戶的防護(hù)空窗。此外，由于云安全服務(wù)廠商通過云計(jì)算技術(shù)對(duì)流量做實(shí)時(shí)分析，可提供前所未有的安全防護(hù)能力。以賽門鐵克云端信息安全服務(wù)為例，該服務(wù)可對(duì)用戶做出100%防護(hù)已知與未知的承諾，若是違反服務(wù)水平協(xié)議，將對(duì)用戶做出賠償。

應(yīng)對(duì)虛擬化挑戰(zhàn)

云時(shí)代的到來雖然為企業(yè)信息安全水平的提高提供了更為有利的條件，但并不意味著云計(jì)算就沒有給企業(yè)安全帶來挑戰(zhàn)。事實(shí)上，云計(jì)算時(shí)代，信息安全面臨著一些新的威脅，其中最為突出的就是虛擬化。

據(jù)林育民介紹，作為云計(jì)算基礎(chǔ)的虛擬化的確給安全帶來很大的挑戰(zhàn)：因?yàn)榘踩珡S商傳統(tǒng)的產(chǎn)品都是針對(duì)物理服務(wù)器，可是到了虛擬化環(huán)境中，很多狀況發(fā)生了改變。這些挑戰(zhàn)主要體現(xiàn)在以下幾個(gè)方面：在虛擬化的世界里，服務(wù)器就是一個(gè)個(gè)文件、而不再是一個(gè)獨(dú)立的服務(wù)器，這個(gè)服務(wù)器（或者說文件）很容易被別人帶走，風(fēng)險(xiǎn)更高了；當(dāng)很多虛擬機(jī)運(yùn)行在物理服務(wù)器上時(shí)，這些虛擬服務(wù)器的管理員的工作往往也接手了虛擬化網(wǎng)絡(luò)環(huán)境的管理，這就意味著管理員的權(quán)限增加了，需要重新規(guī)范管理員的權(quán)限；虛擬化平臺(tái)（Hypervisor）的引入可能成為新的安全漏洞，一旦黑客攻破了它，就意味著黑客將掌控虛擬化平臺(tái)上運(yùn)行的所有虛擬機(jī)；此外，虛擬機(jī)的鏡像管理也可能成為新的安全漏洞。比如，在兩次快照之間升級(jí)了系統(tǒng)后，由于某些原因可能需要退回到前一個(gè)沒有進(jìn)行系統(tǒng)升級(jí)的快照，此時(shí)，系統(tǒng)升級(jí)就可能被疏忽掉。

實(shí)際上，保護(hù)虛擬化環(huán)境的安全已經(jīng)成為了不少安全廠商的市場(chǎng)重點(diǎn)。比如，賽門鐵克就圍繞虛擬化環(huán)境的安全推出了很多安全產(chǎn)品，包括對(duì)管理員在虛擬化環(huán)境中的權(quán)限進(jìn)行管控與審計(jì)的工具，以及通過部署專門的安全虛擬機(jī)來保護(hù)各個(gè)虛擬機(jī)的安全，從而避免在每個(gè)虛擬機(jī)上都部署一套安全產(chǎn)品，減少防護(hù)空窗并提升虛擬環(huán)境運(yùn)作效率。另外，還有幫助企業(yè)對(duì)虛擬化環(huán)境進(jìn)行合規(guī)性檢查的各種工具等。

篇9

近日，有媒體報(bào)道每年有數(shù)萬個(gè)境外IP地址作為木馬，參與控制了我國境內(nèi)近千萬臺(tái)主機(jī)，如此龐大的數(shù)據(jù)讓我們觸目驚心。而最近眾多“泄密門”“后門”事件的發(fā)生，更讓我們看到企業(yè)的信息安全狀況不容樂觀。很多企業(yè)都意識(shí)到解決企業(yè)信息安全問題迫在眉睫，有的企業(yè)在大力加強(qiáng)企業(yè)信息安全體系的建設(shè)，針對(duì)信息安全設(shè)備進(jìn)行全面檢查，并且做出了相應(yīng)的措施。2005年中國昆侖工程公司信息管理部為保障數(shù)據(jù)安全曾對(duì)某重點(diǎn)專業(yè)部門的臺(tái)式電腦進(jìn)行改造，全部升級(jí)為無盤工作站，拆除了所有個(gè)人用戶電腦中的硬盤，電腦系統(tǒng)以及所有數(shù)據(jù)都在數(shù)據(jù)中心的服務(wù)器中運(yùn)行和存儲(chǔ)，從而保證數(shù)據(jù)的安全性，獲得較好效果，并且獲得省部級(jí)獎(jiǎng)項(xiàng)。無盤工作站的工作方式就是在數(shù)據(jù)中心部署一臺(tái)服務(wù)器，這臺(tái)服務(wù)器作為系統(tǒng)搭建的平臺(tái)，個(gè)人終端通過網(wǎng)絡(luò)連接到服務(wù)器上。個(gè)人終端只有如主板、內(nèi)存、電源等必備硬件卻沒有硬盤，網(wǎng)卡必須帶有可引導(dǎo)芯片。在無盤工作站啟動(dòng)時(shí)網(wǎng)卡上的可引導(dǎo)芯片從系統(tǒng)服務(wù)器中取回所需數(shù)據(jù)供用戶使用。所以，無盤工作站其實(shí)就是把硬盤和主機(jī)分離，無盤工作站只執(zhí)行操作不執(zhí)行存儲(chǔ)，故不會(huì)對(duì)文件造成竊取或者遺失。由于無盤工作站不需要硬盤等存儲(chǔ)設(shè)備，減少了硬件的投入與維護(hù)，啟動(dòng)和運(yùn)行速度快，系統(tǒng)不被破壞、能自動(dòng)還原、無需重裝系統(tǒng)。但是無盤工作站則完全依賴網(wǎng)絡(luò)和服務(wù)器的支持，一旦網(wǎng)絡(luò)或服務(wù)器中毒或因?yàn)槟承┰驘o法運(yùn)行，將會(huì)導(dǎo)致全網(wǎng)癱瘓。并且存在個(gè)人隱私得不到保障、服務(wù)器成本投入過高、對(duì)網(wǎng)絡(luò)質(zhì)量要求高、占用過多網(wǎng)絡(luò)帶寬等缺點(diǎn)。

2文件加密技術(shù)在企業(yè)中的應(yīng)用

為了避免企業(yè)局域網(wǎng)出現(xiàn)信息泄密，造成嚴(yán)重的損失。很多企業(yè)都對(duì)文件做出了嚴(yán)格的管理制度以及多種監(jiān)控手段，其中對(duì)數(shù)據(jù)傳輸與載體的管控成為最廣泛最簡(jiǎn)單的措施。近年來一直使用的包括無盤工作站，封鎖USB口，封鎖光驅(qū)，網(wǎng)絡(luò)控制等等方式都是以切斷數(shù)據(jù)傳輸以及管控?cái)?shù)據(jù)載體為手段的技術(shù)辦法，但是這種物理隔絕的信息保護(hù)機(jī)制非常落后，“一刀切”的方式不僅改變了用戶操作習(xí)慣，還嚴(yán)重影響了非機(jī)密數(shù)據(jù)的傳輸，導(dǎo)致工作流程繁瑣。在這種情況下我們決定嘗試采取特定文件全自動(dòng)加密技術(shù)，這種加密方式不會(huì)改變用戶的操作習(xí)慣，并且能夠做到強(qiáng)制性加密。當(dāng)用戶打開或編輯指定文件時(shí)，系統(tǒng)將自動(dòng)對(duì)未加密的文件進(jìn)行加密，對(duì)已加密的文件自動(dòng)解密。不需要對(duì)文件的傳輸做任何限制，也不用擔(dān)心文件通過任何方式被復(fù)制到別的地方。因?yàn)槲募谌魏屋d體上都是以密文的形式存在，只有在加密系統(tǒng)的硬件內(nèi)存中是明文形式，所以一旦離開終端用戶的電腦系統(tǒng)，加密文件無法得到自動(dòng)解密的服務(wù)而無法打開，起到保護(hù)文件的效果。全自動(dòng)文件加密系統(tǒng)主要分為服務(wù)器端和客戶端，服務(wù)器端主要是記錄用戶資料、給用戶分配權(quán)限以及管理用戶文件的密鑰信息等。客戶端主要負(fù)責(zé)與服務(wù)器進(jìn)行交互，對(duì)登錄系統(tǒng)的用戶進(jìn)行身份認(rèn)證、獲取文件加/解密密鑰及生成控制文件等，同時(shí)將客戶端處理的信息交給服務(wù)器。全自動(dòng)文件加密系統(tǒng)能夠自動(dòng)識(shí)別每一個(gè)登錄到局域網(wǎng)內(nèi)部的用戶并進(jìn)行身份驗(yàn)證，只有具有權(quán)限的用戶才能操作文件。因?yàn)闄C(jī)密文件在電腦的硬盤上是以密文形式存在的，只有用戶擁有操作文件的權(quán)限才可以看到明文信息，否則將會(huì)是亂碼。該系統(tǒng)具有加密制定程序生成的文件、泄密控制、審批管理、離線文檔管理、外發(fā)文檔管理、用戶/鑒權(quán)管理、審計(jì)管理、自我保護(hù)等功能。2013年10月已在某專業(yè)設(shè)計(jì)部小網(wǎng)中部署了該文件加密系統(tǒng)并已使用，今年計(jì)劃在全網(wǎng)部署該系統(tǒng)。目前的加密策略為自動(dòng)加密+全盤掃描，加密的文件類型為CAD，Word，PDF，Excel。即后臺(tái)掃描該電腦部署文檔機(jī)密系統(tǒng)前的所有歷史相關(guān)類型文件并進(jìn)行強(qiáng)制自動(dòng)加密，對(duì)于新文件，打開相關(guān)類型的文件也會(huì)自動(dòng)加密，有效實(shí)現(xiàn)了公司數(shù)據(jù)的保密，增強(qiáng)了信息系統(tǒng)的數(shù)據(jù)安全性。

3結(jié)語

篇10

[關(guān)鍵詞]企業(yè)安全；信息管理；設(shè)計(jì)；實(shí)現(xiàn)

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號(hào)]TP311.52 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）08-0075-02

近年來，企業(yè)安全事故層出不窮，信息安全引起了越來越多企業(yè)管理者的重視，成為各個(gè)企業(yè)不容忽視的關(guān)鍵問題。為了加強(qiáng)企業(yè)信息安全，不少企業(yè)開始設(shè)立獨(dú)立部門對(duì)企業(yè)的信息安全進(jìn)行專業(yè)管理，并開始培養(yǎng)專業(yè)的信息安全管理人才。

1 企業(yè)安全信息管理平臺(tái)的問題

1.1 安全意識(shí)不強(qiáng)

企業(yè)要重視信息安全并實(shí)施管控，信息安全管理的成敗取決于員工的安全意識(shí)。人員安全意識(shí)欠缺，導(dǎo)致政令不通，監(jiān)督不力，執(zhí)行不暢，往往導(dǎo)致信息外泄、系統(tǒng)故障等安全事故。只有樹立直接執(zhí)行人員牢固的信息安全意識(shí)，形成企業(yè)安全文化，企業(yè)信息安全才能真正長治久安。員工信息安全意識(shí)的提升并非一日之功，也不是通過簡(jiǎn)單的一兩次培訓(xùn)就能奏效，而是一項(xiàng)持續(xù)的、長期的、有計(jì)劃的、多種方式并用的綜合性工作。信息安全意識(shí)提升面向企業(yè)廣泛的受眾，其內(nèi)容涵蓋信息安全相關(guān)各個(gè)領(lǐng)域，重點(diǎn)針對(duì)員工日常工作和個(gè)人行為，關(guān)注各種可能因個(gè)人行為不當(dāng)或警惕性不強(qiáng)而引發(fā)的信息安全隱患和事故。由于目標(biāo)對(duì)象的不同，信息安全意識(shí)提升內(nèi)容會(huì)呈現(xiàn)出不同的形式、程度，從簡(jiǎn)潔明了的宣傳語，到淺顯易懂的安全提示，再到全面具體的安全手冊(cè)，建立企業(yè)專門的信息安全知識(shí)庫，滿足不同方面和不同層次的需要。

1.2 缺乏專業(yè)人才

隨著經(jīng)濟(jì)社會(huì)的不斷發(fā)展，企業(yè)對(duì)于信息安全管理人才的需求也越來越大。任何組織都是由人組成的，沒有人才，組織就不能取得長遠(yuǎn)發(fā)展，更談不上不斷進(jìn)步和自我完善。企業(yè)的發(fā)展需要不斷補(bǔ)充新的人才。對(duì)于多數(shù)企業(yè)來說，信息安全管理人員的素質(zhì)決定了單位能否長遠(yuǎn)發(fā)展。信息安全管理是最近幾年才興起的，很多企業(yè)還沒有配備相關(guān)人才，不少高校也尚未開展相關(guān)專業(yè)，培養(yǎng)信息安全管理方面的人才，國家對(duì)于信息安全管理專業(yè)的投入也不夠。社會(huì)整體尚未形成重視信息安全管理的氛圍。目前，不少企業(yè)的信息安全管理人員十分匱乏，很多企業(yè)沒有專門的信息安全管理機(jī)構(gòu)，因此也沒有配備相應(yīng)的信息安全管理人員。只有少數(shù)企業(yè)認(rèn)識(shí)到信息安全管理的重要性，設(shè)立了相應(yīng)的信息安全管理機(jī)構(gòu)。但在這些企業(yè)當(dāng)中，多數(shù)企業(yè)的信息安全管理機(jī)構(gòu)十分簡(jiǎn)陋，相關(guān)設(shè)備也不夠健全，專業(yè)人員的配備也存在缺失，有的企業(yè)雖然配備有信息安全管理人員，但這些人員多數(shù)沒有接受過系統(tǒng)的知識(shí)培訓(xùn)，經(jīng)驗(yàn)不夠豐富，責(zé)任心不強(qiáng)，不能履行信息安全管理人員的基本職責(zé)。信息安全管理人員素質(zhì)不高和專業(yè)人才的缺失，是企業(yè)的發(fā)展的阻礙，嚴(yán)重影響了企業(yè)的長遠(yuǎn)發(fā)展。

1.3 監(jiān)管制度缺失

完善、科學(xué)的信息安全監(jiān)管制度對(duì)于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導(dǎo)工作人員進(jìn)行相關(guān)操作的準(zhǔn)則和辦法，只有建立一套系統(tǒng)的信息安全監(jiān)管制度，才能規(guī)范信息安全管理人員的行為，使操作有據(jù)可依，信息安全管理人員對(duì)自身行為負(fù)起責(zé)任。目前我國信息安全管理制度仍不健全，不少企業(yè)沒有建立起一套完善的內(nèi)部控制制度，使得很多行為沒有操作依據(jù)，信息安全管理人員的行為無法有效約束，出現(xiàn)了許多不負(fù)責(zé)任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展，也影響了企業(yè)的聲譽(yù)，不利于后續(xù)工作的開展。因此，必須建立健全企業(yè)信息安全監(jiān)管制度，為企業(yè)后續(xù)活動(dòng)的開展提供保障。

1.4 管理技術(shù)落后

信息安全管理需要先進(jìn)的管理技術(shù)和安全技術(shù)，為信息安全管理提供有力的技術(shù)支持。企業(yè)在發(fā)展過程中，開發(fā)了一系列信息安全管理技術(shù)和管理技巧，發(fā)揮了一定的作用。但隨著經(jīng)濟(jì)社會(huì)的發(fā)展和科技的日新月異，不少技術(shù)已經(jīng)無法跟上時(shí)代步伐，很多技術(shù)面臨淘汰。這些管理技巧不但不能給企業(yè)帶來益處，反而有可能影響企業(yè)的信息安全。因此必須緊跟時(shí)代步伐，了解最新的信息安全管理技巧，結(jié)合企業(yè)實(shí)際情況，開發(fā)符合時(shí)代要求的管理技巧。同時(shí)，積極了解最新科技動(dòng)態(tài)，將適合于本企業(yè)的技術(shù)運(yùn)用到企業(yè)的信息安全管理過程中。

2 如何完善企業(yè)安全信息管理平臺(tái)設(shè)計(jì)

2.1 增強(qiáng)信息安全管理意識(shí)

提高信息安全管理意識(shí)是完善企業(yè)信息安全管理的重要前提和關(guān)鍵因素。只要具備良好的內(nèi)部安全控制意識(shí)，才能順利開展后續(xù)工作。企業(yè)管理者必須深切意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性和必要性，加大投資力度，及時(shí)發(fā)現(xiàn)企業(yè)信息安全管理中存在的問題和不足。必須加強(qiáng)對(duì)企業(yè)信息安全管理的重視，切實(shí)意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性，加大資金投入，確保企業(yè)信息安全管理良好運(yùn)作。

2.2 加強(qiáng)人員的素質(zhì)培訓(xùn)

人才對(duì)于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競(jìng)爭(zhēng)歸根結(jié)底是人才的競(jìng)爭(zhēng)。信息安全管理人員的素質(zhì)對(duì)于企業(yè)的發(fā)展具有重要作用，具有良好素質(zhì)的信息安全管理人員可以促進(jìn)企業(yè)的快速發(fā)展。企業(yè)必須重視對(duì)信息安全管理人員的培訓(xùn)和投資。信息安全管理人員的投資包括設(shè)備的更新，資金的投入和專業(yè)教育的提升。同時(shí)，要鼓勵(lì)信息安全管理人員學(xué)習(xí)最新的信息安全知識(shí)，不斷更新已有知識(shí)，緊跟時(shí)代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專業(yè)素養(yǎng)，也要重視對(duì)企業(yè)信息安全管理人員的道德培養(yǎng)。只有專業(yè)知識(shí)而缺乏道德素養(yǎng)的工作人員，不僅不能給企業(yè)帶來效益，反而會(huì)危害企業(yè)發(fā)展，因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，切實(shí)全面提高信息安全管理人員素質(zhì)，增強(qiáng)信息安全管理人員靈活處理各項(xiàng)事務(wù)的能力，不斷鞏固自身基礎(chǔ)知識(shí)，培養(yǎng)信息安全管理人員的責(zé)任心和創(chuàng)新精神，真正做到與時(shí)俱進(jìn)。只有不斷提升企業(yè)的信息安全管理人員素質(zhì)，才能從整體上提升企事業(yè)單位的安全管理工作效率，促進(jìn)企業(yè)的長遠(yuǎn)發(fā)展。

2.3 強(qiáng)化信息安全監(jiān)督管理

監(jiān)督工作對(duì)于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正?；顒?dòng)的前提。沒有完善的監(jiān)督體系，企事業(yè)單位很難確保業(yè)務(wù)的正常開展。企事業(yè)單位應(yīng)強(qiáng)化信息安全監(jiān)督工作，建立相應(yīng)的監(jiān)督管理機(jī)構(gòu)，對(duì)企業(yè)內(nèi)部各項(xiàng)經(jīng)濟(jì)活動(dòng)進(jìn)行有計(jì)劃地控制，及時(shí)發(fā)現(xiàn)企事業(yè)單位存在的問題，同時(shí)應(yīng)加強(qiáng)信息安全管理工作，不斷提升工作效率。凡事預(yù)則立，不預(yù)則廢。除了做好信息安全管理的內(nèi)部監(jiān)督工作外，不斷加強(qiáng)信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會(huì)大眾監(jiān)督。企事業(yè)單位管理者要認(rèn)識(shí)到內(nèi)部管理的不足之處，認(rèn)真改正有缺陷的地方，不斷完善內(nèi)部控制建設(shè)。同時(shí)，也要不斷加強(qiáng)新聞媒體的監(jiān)督作用，發(fā)揮輿論的監(jiān)督作用。內(nèi)部控制是一項(xiàng)巨大的完整的工程，具有完善的體系和結(jié)構(gòu)，必須保證每個(gè)環(huán)節(jié)落實(shí)到位，才能確保整個(gè)體系的良性運(yùn)行，從而發(fā)揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對(duì)于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位，也會(huì)產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內(nèi)部控制技巧，可以提高企事業(yè)單位的行政效率。隨著時(shí)代的發(fā)展和進(jìn)步，傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此，企業(yè)必須根據(jù)時(shí)代的發(fā)展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實(shí)施信息安全管理技巧時(shí)，必須考慮到事業(yè)單位的實(shí)際運(yùn)作情況，切忌生搬硬套。應(yīng)根據(jù)企事業(yè)單位的具體情況，有針對(duì)性地提高信息安全管理的技巧，逐步解決企事業(yè)單位在實(shí)施信息安全管理時(shí)遇到的難題。

主要參考文獻(xiàn)

[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對(duì)策[J].科技信息：科學(xué)教研，2007（28）.

[2]王超，林峰.高校校園網(wǎng)絡(luò)安全管理策略[J].科技資訊，2007（20）.