企業信息安全措施

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業信息安全措施范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

企業信息安全措施范文第1篇

關鍵詞：MIS開發及應用　安全措施

隨著企業信息化發展的強烈需要，企業開發及應用管理信息系統MIS(Management Information System)成為一種必然選擇，企業信息安全事件的發生率也開始呈現出大幅度增長的態勢。如何更有效地保護和管理自身的信息資產，如何保證和加強企業MIS的安全，已成為企業亟待解決的課題。

一、MIS存在的安全問題

(一)安全意識薄弱

在MIS的開發與應用過程中，經常出現領導部門對制定一個統一的信息安全系列標準不夠重視，對指導MIS的管理和應用不夠關心；各子系統管理人員沒有管好自己的用戶名和口令，外泄或借與他人使用；不重視MIS的硬件部分、軟件部分、環境因素等現象，對于安全防范存在一種惰性和漠視，安全意識薄弱。

(二)投入經費不足

由于安全意識薄弱，企業往往對MIS安全經費投入不足，致使企業在應用MIS過程中，經常出現使用各種盜版軟件，不能安裝專業防火墻等現象。使得Intemet網上用戶對MIS服務器可以直接攻擊，外界病毒易于感染MIS服務器等現象，導致企業MIS安全問題頻發。給企業帶來巨大的經濟損失。

(三)技術力量匱乏

信息安全從業人員不只縱向上要對各項工作有精深的理解，橫向上還需要對信息系統的整體邏輯乃至企業的業務邏輯有豐富的認知，特別是在經驗上往往有相當高的要求，這從很大程度上造成了企業很難具備足夠的技術力量來保障信息安全設施的運轉。

二、開發過程中的安全措施

管理信息系統作為一個龐大、復雜而嚴密的系統，在整個開發過程中需要投入大量的人力、物力和財力，系統的安全性往往被放在首要的位置，成為系統生存的關鍵因素。

(一)權限設計

根據對操作系統的用戶、用戶組及其訪問權限作嚴格的規定，在數據表設計時將權限分為三類：數據庫登錄權限類、資源管理權限類和數據庫管理員權限類。具有數據庫登錄權限的用戶能進入數據庫管理系統，使用數據庫。具有資源管理權限的用戶，除了擁有上一類用戶權限外，可以在權限允許的范圍內修改、查詢數據庫。具有數據庫管理員權限的用戶將具有數據庫管理的一切權限，包括訪問任何用戶的任何數據，授予(或回收)用戶的各種權限，完成數據庫的備份、裝入以及進行審計等工作。

(二)數據加密

數據加密技術是在發送方將要發送的保密信息進行加密處理，而在接收方通過特定的算法將收到的信息進行解密。在加密過程中使用加密函數和密鑰生成密文數據后，傳送出去。傳送過程中即使有人得到了密文數據，知曉了加密函數或是解密函數是沒有用的，沒有密鑰，依舊無法根據密文數據推算出明文數據，這就保證了數據的機密性。數據加、解密過程如下圖1所示。

(三)數據認證 　 MIS的信息傳送或存儲還可以采用數據認證技術(如數字簽名技術、Hash技術等)。數據認證技術是確保信息的真實性和完整性的一種技術，是解決網絡通信中發生否認、偽造、冒充、篡改等問題的安全技術，主要包括接收者能夠核實發送者對報文的簽名、發送者事后不能抵賴對報文的簽名、接收者不能偽造對報文的簽名等方面。

(四)密鑰管理

一個密碼系統的安全性取決于對關鍵信息即密鑰的保護。密鑰的保密和安全管理在數據安全系統中是極為重要的。在／diS中，可以采用證書機構(CA)來管理密鑰。CA(cerfificateAuthority)保證頒發的數字證書的有效性，由它負責注冊證書，分發證書以及當證書過期時宣布不再有效，因此可以保護密鑰。

三、實施過程中安全措施

不管企業MIS采用C／S結構還是B／S結構，在實施過程中必須與Internet連接。在具體實施中應從企業網絡內部、企業網絡與Intemet的連接出口方面加強安全措施：

(一)企業局域網安全措施

1　局域網節點安全措施

在企業局域網應用中，只要在接人局域網上的任一節點進行偵聽，就可以捕獲發生在這個局域網上的所有數據包，從而竊取關鍵信息，這就是局域網固有的安全隱患。為了解決這個問題，可以采取以下措施：

(1)分段策略

分段策略包括物理分段和邏輯分段兩種方式。物理分段是從物理層和數據鏈路層把網絡分成若干網段，各網段無法直接通信；邏輯分段是在網絡層根據IP地址將網絡分成若干子網，各子網借助網關自身安全機制來控制各子網的相關訪問。因此應綜合應用物理分段與邏輯分段兩種方法，將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽。

(2)交換式集線器策略

由于部分網絡最終用戶的接入是通過分支集線器而不是交換機，當用戶與主機進行數據通信時，兩臺機器之間的數據包會被同一臺集線器上的其他用戶所偵聽。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。

(3)VLAN(虛擬局域網)策略

在集中式網絡環境下，將中心的所有主機系統集中到一個VLAN里，不允許任何用戶節點接人，從而較好地保護敏感的主機資源。在分布式網絡環境下，MIS應按機構或部門的設置來劃分VLAN，各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。

2　局域網服務器安全措施

在局域網的服務器中。由于存在著大量的數據庫實體及擁有不同操作權限的用戶，用戶可對數據庫實體進行任意操作。針對這些嚴重的安全漏洞，可以采取如下安全措施：

(1)兩級登錄機制

為每個數據庫用戶只建立一個真正的數據庫賬號，它具有對系統應用所涉及的所有數據實體進行操作的全部權限；為每一位系統操作人員分別創建一個應用系統賬號。用戶先使用應用系統賬號登錄應用系統，應用系統再將應用級賬號變換為數據庫系統賬號，然后應用系統用數據庫系統賬號登錄數據庫。僅在兩級登錄都成功的前提下，整個登錄過程才算成功，數據庫系統便能識別登錄應用系統的用戶身份。

(2)用戶授權機制

將整個系統細分為若干個可分配的最小權限單元，這些權限具體表現在對數據庫中所涉及的表、視圖的數據操作的劃分上。然后再運用角色或工作組的概念，結合各級系統使用人員的工作性質，為系統創建了4類基本等級：系統管理員、高級操作員、一般操作員及簡單操作員，并相應地為每個等級賦予了不同的權限，以此來簡化權限管理工作。

(3)日志檢測機制

在MIS系統中。通過日志記錄，可以審核執行某操作的用戶，執行操作的機器m地址、操作類型、操作對象及操作執行時間等。這樣不僅可以分類檢索日志內容，系統還能根據已記錄的日志內容，自動找出可能存在的不安全因素，并實時觸發相應的警告，及時通知系統管理員及用戶。

(4)備份及恢復機制

為了防止人為的失誤或破壞，MIS系統中應建立強大的數據庫觸發器以備份重要數據的刪除操作，甚至更新任務。具體而言，對于刪除操作，作的記錄全部存貯在備份庫中。而對于更新操作，考慮到信息量過于龐大，可只備份所執行的SQL語　句。這樣，既能查看到備份的內容，又能相當程度地減小備份庫存貯容量。

(二)企業網絡出口安全措施

1　VPN技術

VPN(VirtualPrivate Network)是將物理分布在不同地點的網絡通過公用骨干網，尤其是Internet連接而成的邏輯上的虛擬子網。VPN技術的核心是采用隧道技術，將企業專用網的數據加密封裝后，透過虛擬的專用通道進行傳輸，保證傳輸內容僅被指定的發送者和接收者了解，從而防止敏感數據的被竊取。

2　防火墻技術

在Intemet和Inh'anet的連接部分，利用防火墻技術，使得通過外部撥號或其他方式訪問企業網絡部分功能時，可以很好的控制該用戶的訪問權限和操作級別，可以有效地防止惡意的外部用戶的進攻。

3　技術

企業信息安全措施范文第2篇

供電企業在建設初期就已經考慮到了信息安全防護問題——將主要設備，例如服務器、路由器和核心交換機等統一管理，通信線路要盡可能架空、深埋或者穿線，并做出必要的標記，避免線路被損壞。在此過程中，供電企業不但要保護設備，實施必要的安全技術操作，同時，還要在實施基本策略的前提下，采取必要的網絡安全管理技術，例如防毒技術和防火墻技術等，保證信息安全。入網規范管理設備屬于硬件網絡控制設備，在供電企業的機房中加入入網規范管理設備，能夠檢測出信息安全和一些違規行為。入網規范管理設備不會大規模地改變已經存在的網絡結構，并且它的網絡環境適應能力非常強，不需要安裝客戶端就能將其接入系統中，能夠自動檢測信息安全，主要包括注冊、防病毒、更新、弱口令和違規外聯等，進而修復存在風險的機器。因為供電企業內部從事信息工作的人員年紀差比較大，對信息技術的了解程度也不同，所以，這就為信息安全埋下了隱患。

安裝入網規范管理設備的操作比較簡單，不但會增強供電企業的安全防護能力，還為工作人員的工作帶來了便利，減輕了工作人員的壓力。當供電企業有人動時，就會出現網絡接口不夠用的情況，因此，很多人便利用集線器拓展網絡，這便為公司的信息安全埋下了隱患，不但容易引發廣播風暴，還會干擾公司整體網絡的穩定性，讓一些不法分子有機可乘——侵入公司內網，泄露公司機密。所以，針對這種情況，建議采取添加交換機的方式，并配置端口安全策略，即interfacefastethernet<number>；switchportport-securitymaximumvalue。對于公司信息外網，要檢查私自連接無線路由器、隨身wifi等情況，如果發現，要馬上制止，防止信息被泄露，以確保供電企業的信息安全。隨著供電企業內部網絡的發展和壯大，需要加入新的網絡設備、服務器設備、終端設備和存儲設備等。當網絡處于一個復雜的環境中時，就很難處理網絡故障了。針對這類問題，可以在機房安裝網絡分析設備，對系統進行網絡故障分析、應用分析和安全分析，獲取網絡流量，通過分析解碼能夠快速定位網絡故障，進而有效維護網絡安全。網絡分析系統能夠分析數據包網絡，檢測深度網絡通訊，準確、快速地找到蠕蟲、網絡攻擊或木馬等，并對其進行診斷，快速定位將要發生問題的機器，幫助信息運行維護工作人員及時處理問題。

2管理策略

對于病毒防護的管理，要安排專業工作人員定期查看木馬病毒的感染情況，及時處理受到感染的用戶，并為每位工作人員發放設備安全說明，讓工作人員從自身做起，保障信息安全。供電企業可以對工作人員進行安全意識培訓和技能培訓，尤其是管理信息系統的工作人員，不斷提高其業務能力，補充更多的專業知識。在供電企業的每一個區域配備專門的信息安全負責人，并對其定時培訓，加大信息安全的維護力度。針對一些特殊崗位的工作人員，要實施有針對性的培訓，以不斷提升各個崗位工作人員的管理能力和技術能力。

3總結

企業信息安全措施范文第3篇

關鍵詞：電力企業；信息安全；管理；探討

中圖分類號：TP393 文獻標識碼：A文章編號：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

電力企業的信息化建設在生產自動化、管理信息化、營銷現代化等方面發揮了重要作用。然而，隨著網絡的延伸、應用的普及和不斷深化，特別是隨著網絡技術的迅速發展，信息安全問題日益突出。研究電力系統信息安全問題、制定和實施電力系統信息安全戰略、建立全方位、動態的電力信息系統安全保障體系，己成為當前電力系統信息化工作的重要內容。

一、電力信息安全的含義

電力信息安全是指電力主營業務系統及企業信息安全，保障不被未經授權者訪問、利用和修改，為合法用戶提供安全、可信的信息服務，保證信息和信息系統的機密性、完整性、可用性、真實性和不可否認性。

二、電力企業信息安全風險分析

（一）電力信息安全管理風險分析。管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵必須的部分。由于近年計算機信息技術高速發展，計算機信息安全策略和技術也取得了非常大的進展，但在電力系統各種計算機應用中，對信息安全的認識跟實際需要差距較大安全意識薄弱、責權不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風險。

（二）網絡基礎設施的安全風險分析。網絡基礎設施的安全是整個網絡系統安全的前提。目前電力企業在機房建設（包括水源、消防、門禁等）、重要設備的訪問管理方面都存在缺陷，亟待解決。如在網絡介質的安全方面由于大都采用內部專用網絡，但樓層交換機的機柜位置不安全，非管理人員可以隨時接觸到，這給內部的攻擊或竊密行為提供方便之門。

（三）電力企業信息網絡連接安全風險分析。電力企業的部分用戶由于工作需要連接了因特網，同時沒有服務器供外部訪問，用戶連接因特網時沒有做到與內網的物理隔離，這給網絡帶來危害；局域網內部用戶有意或無意對系統進行了攻擊和竊密行為；內部其它單位用戶對本網絡的攻擊行為，類似因特網外部連接風險等眾多因素也都對網絡安全構成了威脅。此外，受人員水平、設備性能等方面因素制約，使整個電力信息網的外部邊界保護能力存在一定差異，必然降低整體邊界安全防護能力。

（四）支撐基礎設施的安全風險分析。許多電力企業沒有完整的備份策略，備份工作沒有計劃，備份不及時，沒有備份恢復預案；介質管理不規范，沒有對備份介質做庫存、領取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災難恢復計劃要素的所處的水平較低，應重點加快制定有關災難恢復的管理制度，以及備份設備的更新。

三、電力企業信息安全防范措施

（一）電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門，至少應配備2名安全專職管理人員，明確權利與責任，分別負責各系統的安全審計，并相互制約。2.完善信息安全管理制度。參照國際最佳實踐，建立一套完整的制度體系，形成省、地兩級安全管理體系。3.加強信息安全教育培訓。安全意識和相關技能的教育是企業安全管理中的重要內容。高級管理部門應當對全體員工，特別是中高級管理人員進行信息安全管理制度培訓，強化信息安全意識。

（二）電力信息安全技術措施。1.加強網絡信息安全基礎設施建設。建立電力企業信息系統物理各環境的安全目標防止對企業工作場所和信息的非法訪問、破壞和干擾或避免造成資產的流失、受損。建立省電網級認證授權中心，提供目錄服務、身份管理、認證管理、訪問管理等功能，實現主機系統、網絡設備、安全設備、應用系統等的統一身份認證管理。對電力企業重要網絡設備配置文件進行完整性檢查保護，防止主機系統及網絡設備配置文件的篡改，對系統文件遭到修改及破壞可以及時發現修復。2.網絡控制技術。網絡控制是網絡安全防范和保護的主要策略，主要任務是保證網絡資源不被非法使用和非法訪問。主要包括：（1）防火墻技術。（2）審計技術。（3）訪問控制技術。（4）安全協議。3.備份恢復技術。備份恢復技術主要包括備份技術、冗余技術、容錯技術和不間斷電源保護4個方面的內容。備份恢復與容災中心具有關聯性，建立容災中心的單位應每年至少進行一次災備恢復的演練，沒有容災中心的單位應將營銷、生產、財務等核心數據定期進行異地備份，并定期進行備份恢復演練，提升應對自然災害的能力。

四、結束語

企業信息安全措施范文第4篇

關鍵詞：分布式；信息安全；規劃；方案

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據來自eWeek 的消息，市場研究機構Gartner 研究報告稱，很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規的約束和商業業務的壓力為主，因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業的信息安全規劃就更加缺乏。

本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。

2 總體規劃原則和目標

2.1 總體規劃原則

對于分布式企業的信息安全規劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統籌安排，分步實施；分級管理，責任到崗；資源優化，注重效益。

這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。

2.2 總體規劃目標

信息系統安全規劃的方法可以不同、側重點可以不同，但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上，下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃，對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的，而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規劃

3.1 組織規劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構，達到國際國內標準的要求；

2）打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全，對外可以向社會提供高品質的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統，能夠對外提供安全服務平臺。

3.2 組織規劃實施

對于組織規劃這個方面，是屬于一個企業信息安全規劃的上層建筑，需要用一種由上而下的方法來實現，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎人力、財力和物力的投入。

4 信息安全管理規劃

4.1 管理規劃目標

信息安全管理規劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規范，一套信息安全教育培訓體系，一套信息安全風險監管機制，一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化健康發展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產的安全而制定的行為約束規則。

4.2.4 信息安全規范

信息安全規范是關于信息安全工作應達到的要求，在信息安全規范方面，根據調查，建立信息安全管理規范、信息安全技術規范。其中，安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據，其目的是增強信息安全責任意識，提高信息安全工作質量。

4.2.7 信息安全監管機制

信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業人員的信息安全意識和技能，增強企業信息安全能力。

5 信息安全技術規劃

5.1 技術規劃目標

信息安全技術規劃目標簡言之是：給業務運營提供信息安全環境，為企業轉型提供契機，構建信息安全服務支撐系統。具體目標如下：

1）打造信息安全基礎環境，調整和優化IT基礎設施，建立安全專網，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業業務，開辟信息安全服務新領域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎性工作，SOC 承載用于監控第一生產網的安全專網核心基礎設施，提供信息安全中心技術人員的辦公場所，提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外，SOC 的技術性工作還要做以下幾個方面：

1）硬件基礎建設，主要內容是SOC 的選址、布局、布線、系統集成，實現SOC 自身的防火、防潮、防電、防塵、安全監控功能；

2）軟件基礎建設，包括SSS 系統、機房監控子系統、功能小組及中心組劃分。

圖1 信息安全軟措施關系

圖2 信息安全總體框架

圖3 資產、組織、管理和安全措施的關系

5.3 信息安全綜合測試環境

隨著分布式企業信息化程度的日也加深，需要部署到大量IT 產品和應用系統，為了保障安全，必須對這些IT 系統和產品做入網前安全檢查，消除安全隱患。基于此，綜合測試環境建設的內容包括：安全測試網絡；測試系統設備；安全測試工具；安全測試分析系統；安全測試知識庫。

其中，安全測試網絡要求能夠模擬企業網絡真實的帶寬；測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統能夠提供統計分析、圖表展現功能；安全知識庫包含以下內容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產品知識庫，安全概念和術語知識庫。

5.4 安全平臺建設規劃

參照國際上PDRR 模型和國家信息安全方面規范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產為核心，通過安全組織實現資產保護，以安全管理來約束組織的行為，以技術手段輔助安全管理。其中，資產、組織、管理、安全措施的關系如圖3所示，核心為資產，圍繞資產是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權；信息安全防護；信息安全監控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業務規劃

6.1 服務業務規劃目標

信息安全服務業務規劃目標簡言之是：以信息安全服務為切入點，充分發揮企業優勢資源，引領信息安全市場，為企業轉型創造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產品；2）推出面向大型企業的信息安全咨詢產品；3）推出面向家庭安全上網產品；4）推出面向企業安全運維產品；5）推出面向企業災害恢復產品。

6.2 服務業務規劃設計

服務業務規劃主要針對具體業務而言，在此列舉信息類分布式企業業務作為示例：

1）信息安全咨詢類產品，其服務功能主要有：信息安全風險評估；信息安全規劃設計；信息安全產品顧問。

2）信息安全教育培訓類產品，其服務功能主要有：提供信息安全操作環境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產品，其服務功能主要有：推出“家庭綠色上網”安全服務；家庭上網防病毒服務；家庭上網機器安全檢查服務；家庭上網機數據備份服務。

4）企業類安全服務產品，其服務功能主要有：企業安全上網控制服務；企業安全專網服務；安全信息通告；企業運維服務。

5）容災類安全服務產品，其服務功能主要有：面向政府數據災備服務；面向政府信息系統災備服務；面向企業數據災備服務；面向企業信息系統災備服務。

7 結束語

通過結合分布式企業的具體實際，按照信息安全體系結構相關標準，提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標，按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后，依據服務規劃目標，提出了信息類分布式企業的信息安全服務規劃設計實例。

參考文獻：

[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

企業信息安全措施范文第5篇

關鍵詞：供電企業;信息安全;電力;網絡信息化

DOI：10.16640/ki.37-1222/t.2015.21.131

0 引言

在我國能源行業中，供電企業占有十分重要的地位。目前，供電企業體制改革正在逐步走向信息智能化，網絡信息系統在供電企業中的構建也變得日益完善[1-3]。這也使得供電企業對信息化的依賴程度越來越強，隨之而來的信息安全問題也日益突出[4-6]。因此，構建完善合理的信息安全管理系統已成為供電企業亟需解決的問題。本文以國家電網遼寧省遼陽縣供電公司為例，分析了目前存在的信息安全問題，并提出了一些改進措施。

1 信息安全存在的問題

供電企業網絡信息系統面臨的安全問題越來越多，歸結起來主要表現在：系統漏洞;病毒感染;企業信息安全維護人員不足;人員信息安全意識薄弱;信息安全制度管理不完善等幾個方面。

（1）系統安全漏洞。任何軟件和系統都會存在一定的安全漏洞，所以說絕對安全的系統實際上是不存在的，供電企業的網絡系統也同樣如此。由于漏洞的存在，病毒、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業的網絡，甚至可以獲得計算機的管理權限。顯然，這對于供電企業來說是非常危險的，會導致嚴重的安全問題。

（2）病毒感染。計算機病毒（Computer Virus）是一種編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，具有很強的寄生性、破壞性和傳染性，被稱為計算機系統的頭號敵人。一旦侵入計算機，引發的危害相當嚴重，會破壞系統文件，偷盜計算機中有用信息，導致系統無法正常運行。在供電企業中使用信息網絡技術時，由于大量的企業重要機密和客戶信息儲存在計算機系統中，計算機病毒一旦入侵并破壞計算機系統，系統中收集的重要資料將會丟失，損失是災難性的。

（3）缺乏足夠的系統維護人員。供電企業信息安全需要一定的專業技術技術人員來維護，但是在大部分供電企業中，以作者所在遼陽縣供電公司為例，專門從事網絡信息系統安全維護工作的專業技術人員僅有5位，這么少的專業技術人員承擔不了繁重的電力網絡信息安全工作，所以當企業的網絡信息系統發生故障時，維護工作得不到有效的實施，進而影響供電企業的信息安全。

（4）人員信息安全意識薄弱。在供電企業中應用計算機信息網絡技術時，由于相關電力工作人員安全意識薄弱而導致的企業信息安全問題時有發生，大大減弱了供電企業信息安全防御能力。例如相關技術人員的不認真導致誤操作、未及時修復系統漏洞或者通過外接儲存設備導致機密信息和重要文件的泄露等，這些由工作人員人為因素導致的安全問題將會在很大程度上影響供電企業的信息安全。

（5）信息安全管理制度不完善。多數供電企業的安全制度制定不夠完善，沒有高度重視和落實企業信息安全制度。經常會出現機密文件隨處放、系統口令不設置、打印設備及網絡共享等問題。這些問題的存在同樣也會危害到供電企業的信息安全。

2 針對供電企業信息安全問題的相應措施

針對以上所述的信息安全問題，為了有效提高供電企業網絡信息系統的安全性，我們提出了以下幾個方面的改進措施。

（1）漏洞掃描和彌補漏洞缺陷。漏洞掃描包括基于主機的漏洞掃描和基于網絡的漏洞掃描，是一項既經濟又實用的安全策略，及時發現漏洞并修補，可以防止安全隱患向安全事件的轉變。可針對我公司計算機中的數據庫、操作系統及應用服務等進行漏洞掃描并修補，做到未雨綢繆，進一步保證網絡信息系統的安全運行。

（2）防止病毒侵入計算機。隨著全球智能電網的推進，供電公司的網絡和辦公也越來越智能信息化，這就給計算機病毒的傳播提供了一個重要的傳播途徑。因此，供電企業各部門必須建設標準化的個人終端，對病毒軟件做到不間斷的更新，完善補丁。另外需要特別注意的是要嚴格控制盜版軟件的使用，掌握更多的安全措施來防范木馬病毒，嚴格控制用戶訪問權限。

（3）增強信息系統運行維護管理。針對作者所在供電公司，現在尚沒有獨立的部門進行信息系統運行維護，所以首先需要建立獨立的運維部門，并增設足夠的專業技術人員進行網絡信息運行維護;并對技術人員進行部門內分工，制定相應的管理措施，完善整個網絡信息維護流程;另外，需要對專業技術人員進行定期職業培訓，提高他們的操作管理水平。

（4）提升員工信息安全防患意識。在適應網絡信息技術潛在的快速發展要求的基礎上，通過對全體員工采取信息安全培訓與考核等有力措施，使得企業決策、管理、操作等各個層面的信息安全防范意識得到有效增強，企業信息安全管理經驗也得到大量積累。如此，整個供電企業的信息安全水平會因為全體員工顯著地信息安全防患意識而得到提升。

（5）改進信息安全管理制度體系。加快三級信息安全管理體系（信息安全管理部門、網絡技術部門以及相關其他職能部門、基層單位）的建設步伐;具體落實針對主機設備、網絡設備、機房其他設施設備（例如防靜電地板、電源、空調、其他附屬設施等）以及員工管理的相應管理制度的制定完善工作;明確管理人員、網絡維護人員、外來人員的職責范圍，確立身份認證制度，涉及機密文件的員工要簽署保密協議，對外來人員的進出要登記等。

3 結束語

為保障供電企業的快速可持續發展，就要確保企業信息系統的安全穩定，就要在發現信息安全問題的基礎上不斷改進安全策略，促進合理完善的信息安全管理體系的構建。供電企業要完善信息安全管理制度，提高員工的信息安全防患意識，增強信息系統的運行維護管理，加強網絡信息的安全監控，進而保證供電企業信息安全。

參考文獻：

[1]吳金文，程麗琴.淺析供電企業信息安全管理[J].科技與創新，2015（11）：50.

[2]洪杰，段成鐸.電力企業信息系統風險與安全管理研究[J].科技與創新，2015，18（13）：89-90.