前言:中文期刊网精心挑选了企业信息安全措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全措施范文1
电力信息的迅猛发展使得电力系统及数据信息网络迎来了前所未有的挑战。本文分析研究了网络系统信息安全存在的问题,全面规划了网络安全系统,提出了合理有效的安全措施、方法,大大提升了电力企业信息网络安全工作的效率。
一、网络系统信息安全存在问题分析
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
(六)建立完备信息网络系统监控中心
企业信息安全措施范文2
关键词:电力企业;信息安全;防护
1电力企业信息安全防护存在的一些问题
1.1没有严格的划分不同网络之间的等级
一方面,电力企业在纵向上需要对各个系统之间的联系进行实时的监控,基于各个自动化和低调系统之间的数据都是依靠载波进行单向转发,但是少数基层企业数据的网络化传输尚没有完整的实现,主站和厂站之间尚没有形成有效的光纤载波双通道。另一方面,按照相关的要求必须将实时与非实时监控系统有机的连接起来,但是基于当下互联网和通信的现状,连接的过程中存在众多的问题,使得连接很难真正的实现。
1.2网络安全防护能力的严重不足
随着我国社会经济的高速发展,信息技术和电网信息化建设获得了不断的发展,信息技术在整个电力系统中逐渐得到了广泛地应用,人们越来越重视网络安全,然而现有网络在安全防护方面的能力严重不足,管控手段的严重不足,管理水平相对比较低,并且缺乏一套相对比较完整的病毒防护系统,不少企业甚至还在使用单机版的防病毒软件或者是省公司统一所部属的杀毒软件。当系统受到攻击时,瘫痪的情况时常出现。同时,一套健全的数据备份恢复机制尚未建立起来,当数据受到破坏时,损失惨重。另外,相应的网管软件也没有建立起来,进而便不能有效的监控和管理某些行为过激的内部用户。
1.3电力企业的服务器本身存在着一定的安全隐患
服务器在整个电力企业中的数量众多。随着科学技术的不断进步,网络攻击技术和攻击手段的更新速度越来越快,相应的便加快了对于服务器的攻击,为此电力系统本身拥有的众多的服务器,自然而然的便成为网络攻击的重要对象,而服务器本身存在着一定的安全隐患,具体如下:尽管在电力企业的网络中每个服务器所拥有的认证系统都是独立的,但是管理权限却缺乏统一的管理策略,进而增加了管理人员的工作难度;Web和流媒体服务器会不断的受到各种病毒和互联网DDoS的攻击;由于不明确的权限划分,导致服务器极易受到外界黑客的攻击。
2强化电力企业信息安全防护的重要措施
2.1科学的评估网络安全风险
电力企业在对各种网络问题进行有效的解决过程中,需要从技术和管理两方面进行综合的考虑,尽管技术在一定程度上是一种安全的主体存在的,但管理才是保证安全的关键。网络安全与实施各种安全技术和部署安全产品有着非常紧密的联系,然而目前市面上所存在的、与安全有关的技术和产品众多,具体选择使用哪一种有一定的难度,此时便需要科学的评估网络安全风险。通过分析,有助于最大限度的促进问题的解决或者可以将风险降到最低,还可以比较付出和收益之间的关系,从中选出一种产品和技术可以让企业用最小的成本获得最大的安全需求,另外还需要权衡安全和效率之间的关系。
2.2防火墙的构建
防火墙作为一种重要的技术性措施在一定程度上可以通过网络中各种非法访问的有效阻止来将一道相对比较安全的屏障构建起来,实现对计算机网络安全的有效保护,并且还能够有效的控制各种信息的输入与输出,如图1所示。一方面,借助访问控制列表本身的调节作用有助于路由器实现对数据包的科学选择,在此基础上通过增加和删除列表来实现对网络的有效控制,过滤路由器流入和流出的数据包,以此部分防火墙良好效果能够得到有效的实现。另一方面,硬件防火请的科学配置,电力企业中本身所使用的硬件防火墙数量众多,然而能够将作用真正发挥出来的则少之又少,为此在硬件防火墙的使用前,需要科学的配置整个企业的网络和防火墙。除此以外,电力企业还可以通过强化对计算机病毒的预防和控制、在企业内部定期或者不定期的展开各种信息安全的宣传教育和培训活动,以此来为电力企业信息网络的安全提供重要的保障。
3结束语
信息化在一定程度上作为社会生产方式和生产力发展到一定阶段的重要产物,是我国进行文明建设的重要标志。通过信息化建设将有助于大幅度的提高我国电力企业的生产效能与管理方面的水平,作为一种重要的资源,信息资源自身的重要性逐渐开始被越来越多的人认识。
参考文献
企业信息安全措施范文3
【关键词】企业IT网络 信息安全 影响因素 技术措施
当今时代是一个信息时代,计算机网络技术被应用到了方方面面,整个世界正在逐渐发展为一个整体,各个国家各种职业的人们生活、工作、学习的联系会越来越紧密。企业经营管理过程中,IT系统是不可或缺的,该系统能够为企业提供更加便捷的办公平台,同时进行更方便的内部通讯。
1 企业IT网络信息安全的重要性
企业实现信息化的过程中,保证IT系统的信息安全是必要的保障,企业管理人员和系统使用人员都要求IT系统的安全性能够进一步提升。考虑到企业IT系统与其他类型系统的不同性质,企业IT系统更需要保证的是能够保持稳定的持续运行。针对这一要求,企业信息系统管理人员应当加强安全管理,对企业网络管理进行必要的优化,引进先进的安全技术提升系统的安全性。
2 影响企业IT网络信息安全的主要因素
2.1 自然因素
自然界存在着的一些辐射、雷电问题可能会对露天传输线路造成影响,进而导致网络传输不稳,这是可能会导致IT网络信息安全受到不良影响的自然因素。
2.2 人为因素
2.2.1 管理人员不重视
企业IT网络需要企业的专门负责人员进行管理,但是管理人员对于该项工作不够重视,就有可能导致信息安全受到不良影响。例如:针对比较重要的信息资料,没有进行加密保护;计算机开机密码过于简单;机房工作人员行为不当,没有定期进行网络维护等等。
2.2.2 不法分子恶意破坏
非法访问。有些技术人员针对系统中的漏洞进行破解,获取企业内部资料导致信息泄露,进而获取利益。
病毒入侵。人为创造破坏性的病毒,对企业信息网络进行破坏,造成企业内部信息丢失、泄露,整个系统瘫痪。
黑客入侵。有些高技术水平的黑客会为了某种目的越过企业的防火墙对IT系统进行破坏攻击,造成系统瘫痪,影响企业的正常运转。
3 提升企业IT网络信息安全性的关键技术
针对企业IT系统普遍存在的安全隐患,应当采取合适的安全技术提升系统的安全性,保证系统的正常运行,提升企业的经济效益。下面笔者针对几种提升IT系统网络信息安全的技术展开分析:
3.1 入侵检测
结合长久以来的信息管理经验来看,单纯进行系统安全保护并不足够,因为系统本身不可避免的会存在一些漏洞,而不法分子往往就是利用这类漏洞进行非法入侵。同时,企业内部也有可能出现非法入侵操作。针对非法入侵问题,可以设计专业性质的监测系统对系统中的信息进行定期检测,其作用是保证系统能够及时发现入侵,在断开连接的同时对入侵人员进行追踪。其工作原理为对IT系统进行关键点设置,并进行取样分析,若是发现分析结果中存在疑似入侵的现象,就马上进行有效处理。
3.2 数据加密
数据加密技术的应用时间较长,自信息技术诞生以来,加密技术就同步出现了。企业信息系统想要利用数据加密技术提供安全保障,就要结合大量的加密解密算法经验以及经典数据进行。对于需要加密的数据来说,只有通过特定的解密算法或是设定好的密钥才能进行信息读取,若是没有该类信息就无法读取,即便被不法分子所窃取,也不会发生信息泄露。数据加密技术在企业IT系统中的应用不仅可以保护商业信息,同时还能提升系统的安全稳定性。
3.3 防火墙
为了保证企业IT网络系统的安全,应当针对企业系统特点设计高水平的防火墙。若是没有防火墙,单纯依靠系统本身自带的安全配置并不可靠,必须保证整个系统中的主系统和子系统都在安全保护的范围之内,但是企业网络中的子网若是相对较大,那么同步性就会比较难。所以,为了保证网络同步安全,应当设置防火墙。防火墙的作用并不是对系统中所有的终端都进行保护,而是保护信息交换点,同时保证整个系统中只有信息交换点能够与外界进行联系。也就是说,防火墙的基本作用是保证企业IT系统和外界信息之间存在一道屏障,能够通过屏障的安全管理策略对交换信息流进行保护。
3.4 网络访问保护
企业IT系统在设计的过程中,会对访问权限加以设置,对于不同的操作人员权限设计不同。信息系统遭到非法入侵时,其访问权限很容易受到影响,导致访问权限混乱,进而权限不足的用户也能访问越权信息,对企业IT系统的安全性造成威胁。针对这一问题,需要在进行IT网络信息系统设计的过程中进行网络访问保护设计,例如WINDOWS VISTA系统中的NAP模块,就是对访问权限进行有效管理的重要模块。该模块能够阻止由于非法入侵导致的权限混乱问题快速恢复,进而保证正常的健康用户能够顺利访问系统。
4 结语
企业IT网络信息系统若是想要保证能够安全稳定的运行,必须从技术层面上实现安全管理控制,为企业运营提供安全稳定的信息环境,进而提升企业的管理效率、工作效率以及经济效益。
参考文献:
[1]胡心远.企业IT系统的信息安全研究[J].计算机光盘软件与应用,2012(14).
[2]高云伟.企业网络信息技术平台安全性与稳定性探析[J].信息系统工程,2014(03).
[3]李海红.计算机网络安全技术的影响因素与防范措施[J].电子技术与软件工程,2014(14).
企业信息安全措施范文4
随着信息化进程的发展,信息技术与网络技术的高度融合,现代企业对信息系统的依赖性与信息系统本身的动态性、脆弱性、复杂性、高投入性之间的矛盾日趋突显,如何有效防护信息安全成为了企业亟待解决的问题之一。目前国内企业在信息安全方面仍侧重于技术防护和基于传统模式下的静态被动管理,尚未形成与动态持续的信息安全问题相适应的信息安全防护模式,企业信息安全管理效益低下;另一方面,资源约束性使企业更加关注信息安全防护的投入产出效应,最大程度上预防信息安全风险的同时节省企业安全建设、维护成本,需要从管理角度上更深入地整合和分配资源。
本文针对现阶段企业信息安全出现的问题,结合项目管理领域的一般过程模型,从时间、任务、逻辑方面界定了系统的霍尔三维结构,构建了标准化的ISM结构模型及动态运行框架,为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护,并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。
1 企业信息安全立体防护体系概述
1.1 企业信息安全立体防护体系概念
信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性,提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。
1.2 企业信息安全立体防护体系环境分析
系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变,同时,多样性的防护需求要求有相适应的环境与之配套。
企业信息安全立体防护体系的运行环境主要包括三个方面,即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。
1.3 企业信息安全立体防护体系霍尔三维结构
为平衡信息安全防护过程中的时间性、复杂性和主观性,本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构,如图1所示。
时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程,由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成,并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序,包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容,如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开,形成分层次的树状体系。
2 企业信息安全立体防护体系解释结构模型
2.1 ISM模型简介
ISM(Interpretation Structural Model)技术,是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素,并利用矩阵等工具进行逻辑运算,明确其间的相互关系和层次结构,使复杂系统转化成多级递阶形式。
2.2 企业信息安全立体防护体系要素分析
本文根据企业信息安全的基本内容,将立体防护体系划分为如下15个构成要素:
(1) 网络安全:网络平台实现和访问模式的安全;
(2) 系统安全:操作系统自身的安全;
(3) 数据安全:数据在存储和应用过程中不被非授权用户有意破坏或无意破坏;
(4) 应用安全:应用接入、应用系统、应用程序的控制安全;
(5) 物理安全:物理设备不受物理损坏或损坏时能及时修复或替换;
(6) 用户安全:用户被正确授权,不存在越权访问或多业务系统的授权矛盾;
(7) 终端安全:防病毒、补丁升级、桌面终端管理系统、终端边界等的安全;
(8) 信息安全风险管理:涉及安全风险的评估、安全代价的评估等;
(9) 信息安全策略管理:包括安全措施的制定、实施、评估、改进;
(10) 信息安全日常管理:巡视、巡检、监控、日志管理等;
(11) 标准规范体系:安全技术、安全产品、安全措施、安全操作等规范化条例;
(12) 管理制度体系:包括配套规章制度,如培训制度、上岗制度;
(13) 评价考核体系:指评价指标、安全测评;
(14) 组织保障:包括安全管理员、安全组织机构的配备;
(15) 资金保障:指建设、运维费用的投入。
2.3 ISM模型计算
根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析,可得要素关系如表1所示。
对可达矩阵进行区域划分和级位划分,确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R(Si),前因集A(Si)以及可达集R(Si)与前因集A(Si)的交集R(Si)∩A(Si),得到第一级的可达集与前因集(见表2)。
2.4 企业信息安全立体防护结构
结合信息安全防护的特点,企业信息安全立体防护体系15个要素相互联系、相互作用,有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素,双向箭头表示同级影响。
从图2可以看出,企业信息安全防护体系内容为四级递阶结构。从下往上,第一层因素从制度层面阐述了企业信息安全防护,该层的五个因素处于ISM结构的最基层且相互独立,构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下,确定了企业为确保信息安全进行管理活动,是进行立体防护的方法和手段;第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点,其中物理安全是控制基础。第四层要素是企业信息安全的直接需求,作为信息的直接表现形式,数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。
图2 企业信息安全防护解释结构模型
2.5 企业信息安全立体防护过程
企业信息安全立体防护是一个多层次的动态过程,它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展,构建了整体运行框架(见图3)。
从图3 中可以看出,企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行,充分体现出时间维度上的动态性。具体步骤如下:
(1) 综合分析现行的行业标准规范体系,企业内部管理流程、人员组织结构和企业资金实力,建立企业信息安全防护目标,并根据需要将安全防护内容进行等级划分。
(2) 对防护内容进行日常监测(包括统计分析其他公司近期发生的安全事故),形成预警,进而对公司信息系统进行入侵监测,判断其是否潜在威胁。
(3) 若存在威胁,则进一步确定威胁来源,并对危险性进行评估,判断其是否能通过现有措施解决。
(4) 平衡控制成本和实效性,采取防范措施,并分析其效用,最终形成内部信息防护手册。
3 分析及对策
3.1 企业层面
(1) 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域,在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全,就必须遵循一切从整体目标出发的原则,加强信息安全防护的整体布局,在对原有产品升级和重新部署时,应统一规划,统筹安排,追求整体效能和投入产出效应。
(2) 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护,三个层面互相依存、互相作用,其中制度和保障是基础,策略是支撑,技术是手段。要有效维护企业信息安全,企业就必须正确处理好体系间的纵向关系,在寻求技术支撑的同时,更要立足于管理,加强工作间的协调,避免重复投入、重复建设。
(3) 降低系统交互性。在企业信息安全防护体系同级之间,相关要素呈现出了强连接关系,这种交互式的影响,使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设,界定好每个工作环节的边界,准确定位风险源,并确保信息安全策略得到恰当的理解和有效执行,防止在循环状态下风险的交叉影响使防范难度加大。
(4) 关注系统动态性。信息安全防护是一个动态循环的过程,它随着信息技术发展而不断发展。因此,企业在进行信息安全防护时,应在时间维度上对信息安全有一个质的认识,准确定位企业信息安全防护所处的工作阶段,限定处理信息安全风险的时间界限,重视不同时间段上的延续性,并运用恰当的工具方法来对风险加以识别,辨别风险可能所带来的危险及其危害程度,做出防范措施,实现企业信息安全的全过程动态管理。
3.2 政府层面
企业信息安全防护不是一个孤立的系统,它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高,有力的政策是推动企业信息安全防护发展的前提和条件,高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外,还必须借助于政府建立一个积极的环境。
(1) 加强信息安全防护方面的文化建设。一方面,政府应大力宣传信息安全的重要性及相关政策,提高全民信息安全素质,从道德层面上防止信息安全事故的发生;另一方面,政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育,从思想上、理论上提高和强化社会信息安全防护意识和自律意识。
(2) 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准,建立多元监管模式和长效监管机制,保证各项法律、法规和标准得到公平、公正、有效的实施,为企业信息安全创造有力的支持。
(3) 加大信息安全产业投入。政府应高度重视技术人才的培养,加快信息安全产品核心技术的自主研发和生产,支持信息安全服务行业的发展。
4 结 语
本文从企业信息安全防护的实际需求出发,构建企业信息安全防护基本模型,为企业信息安全防护工作的落实提供有效指导,节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。
参考文献
[1] 中国信息安全产品测评认证中心.信息安全理论与技术[M].北京:人民邮电出版社,2003.
[2] 汪应洛.系统工程[M].3版.北京:高等教育出版社,2003.
[3] 齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282?285.
[4] 肖馄.浅议网络环境下的企业信息安全管理[J].标准科学,2010(8):20?23.
企业信息安全措施范文5
关键词:电力;信息化;安全问题
中图分类号:[TM622]文献标识码:A
一、电力系统信息安全概念和保护现状
电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙。有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患。因此急需建立同电力行业特点相适应的计算机信息安全体系。
二、目前电力企业网络信息安全管理存在的主要问题
电力企业在网络信息安全管理方面存在以下问题。
(一)信息化机构建设尚需进一步健全
信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,这种状况势必不能适应信息化对人才、机构的要求。
(二) 企业管理革新滞后于信息化发展进程
相对于信息技术的发展与应用,电力企业管理革新处于落后状况,最终导致了信息系统未能发挥预期的、应有的作用。
(三)网络信息安全管理需要成为企业安全文化的重要组成部分
目前,在电力企业安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。
(四)网络信息安全风险的存在
电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面:
1、网络结构不合理
2、来自互联网的风险
3、来自企业内部的风险
4 、病毒的侵害
5 、管理人员素质风险
6、 系统的安全风险
三、电力企业网络信息安全管理问题的成因分析
(一)安全意识淡薄是网络信息安全的瓶颈
技术人员往往对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。
(二) 运行管理机制的缺陷和不足制约了安全防范的力度
从目前的运行管理机制来看,有以下几方面的缺陷和不足:
1、 网络安全管理方面人才匮乏
2、 安全措施不到位
3、缺乏综合性的解决方案
四、 网络信息安全管理的内容
(一) 风险管理
识别企业的信息资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式,来协助管理部门制定企业信息安全策略。
(二)安全策略
信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档,广泛到企业所有员工手中。
(三)安全教育
信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。
五、 加强电力企业网络信息安全管理的建议
(一)重视安全规划
企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。
(二)合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心。
(三) 加强安全管理。重视制度建设
1、加强日志管理与安全审计
2、建立内网的统一认证系统
3、建立病毒防护体系
4、重视网络管理制度建设
严格的管理制度,是保证企业信息网络安全的重要措施之一。
(1)领导应当高度重视网络信息安全问题。
(2)加强基础设施和运行环境的管理建设。
(3)建立必要的安全管理制度。
(4)坚持安全管理原则、多人负责原则。
(5)定期督导检查制度。
(四)加强企业员工和网络管理人员安全意识教育
对于网络信息安全,企业员工和网络管理人员的素质非常重要。
1、在安全教育具体实施过程中应该有一定的层次性。
(1)对主管信息安全工作的高级负责人或各级管理人员,重点掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
(2)对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略、安全评估基本方法、安全操作和维护技术运用等。
2、对于特定人员的安全培训
对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。
六、总 论
电力网络安全是一个系统的,全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业措施。解决网络信息安全问题,技术是安全的主体,管理是安全的灵魂。加强信息安全管理,建立安全长效机制才能有效的解决电力系统网络安全问题,只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化,并将网络信息安全管理贯彻到整个企业文化体系中才是最根本的解决办法。
参考文献:
[1] 周冰.电力信息化切入核心[J].《信息系统工程》,2003年.
企业信息安全措施范文6
关键词:信息安全;安全防范;黑客;病毒
1 引言
信息就是财富,安全才有价值。企业信息安全决定企业存亡,是市场竞争的利器。企业信息安全涉及到多个方面,如信息网络的硬件、软件及其系统中的数据等。安全防护包括四个方面,如实体安全,是指物理安全,包括环境、设备和介质等企业硬件设施的安全;运行安全,是为保证计算机网络信息系统连续不断地运行所应采取的一系列安全措施,包括风险分析、检测、监控与审计跟踪、应急计划和应急措施、计算机病毒检测与预防等;信息安全,是指对企业信息系统中以各种形式存在的信息提供有效的保护,保证信息的准确性,使其不会因为企业内部或外部的原因而遭到泄露、破坏、删除或篡改;管理安全,主要是指在实现信息安全管理的整个过程中,人应该做什么,如何做,主要是对人的管理。通常把实体安全看作是企业信息安全的基础,把运行安全看作是对企业信息安全强有力的支持,对信息本身的保护则是信息安全的核心和最终目标,而管理安全则是贯穿整个信息安全工作的生命线。
2 企业信息安全问题分析
今天,信息已成为企业的重要资源之一,随着计算机技术应用的普及,各个组织机构的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。企业信息系统作为信息化程度高、与外界联络广泛的一个特殊系统,其业务也同样越来越依赖于计算机网络,企业信息安全随之面临严峻的考验。
2009年以来,我国对发生网络安全事件的调查得出以下数据:从可能的攻击来源来看,来自外部的攻击约占40.2%,来自内部的攻击约占6.6%,内外均有的攻击约占24.8%,还有28.3%的攻击来历不明。[1]可见,过半的攻击来自企业外部,企业信息安全建设重点应放在外部攻击的防御上,同时也应加强企业内部信息安全管理以及对其他因素进行控制。
威胁企业信息安全的外部因素很多,包括黑客攻击、病毒传播、技术缺陷及突发事件如停电、自然灾害等不可抗因素。
在常见的内部安全威胁中,一些是由工作人员不慎造成的,如安全配置不当造成安全漏洞,以及员工某些不经意行为对企业信息资产造成破坏而引起安全问题;另一些信息安全问题是由于被授权人员为了某种利益,将企业信息泄露给非授权人或企业争竞对手。
造成企业内部信息安全问题的因素,主要包括:员工缺乏安全意识,企业管理人员对信息安全的认知和管理决策水平不高;缺乏一套完善的安全管理制度,更缺乏对安全制度执行的严格管理;缺乏既懂技术又精通信息安全的专业人才,也缺乏合适的信息安全防护设施;企业对信息安全领域的资金和人员投入不够。
3 企业信息安全问题的防范
3.1 技术防范
2009年公安部的调查结果显示,在网络安全产品的使用上,防火墙约占30.8%,防病毒约占28.5%,入侵检测和漏洞扫描约占18.2%,信息内容和垃圾邮件约占9.2%,安全审计约占7.4%,其他约占6.0%。综合运用这些手段,防范效果更佳。
(1) 防火墙技术
防火墙技术是通过对网络拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。目前,防火墙产品主要有如下几种:
包过滤防火墙:通常安装在路由器上,根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址、IP目标地址、封装协议(如TCP/IP等)和端口号等进行筛选。
服务器防火墙:包过滤技术可以通过对IP地址的封锁来禁止未经授权者的访问。服务器通常由服务端程序和客户端程序两部分构成,客户端程序与中间节点(Proxy Server)连接,这样,从外部网络就只能看到服务器而看不到任何的内部资源。
状态监视防火墙:通过检测模块(一个能够在网关上执行网络安全策略的软件引擎)对相关数据的监测后,从中抽取部分数据(即状态信息),并将其动态地保存起来作为以后制定安全决策的参考。采用状态监视器技术后,当用户的访问到达网关操作系统之前,状态监视器要对访问请求抽取有关数据结合网络配置和安全规定进行分析,以做出接纳、拒绝鉴定或给该通信加密等的决定。一旦某个访问违反了上述安全规定,安全报警器就会拒绝该访问,并向系统管理器报告网络状态。
(2) 病毒防范技术
计算机病毒实际上是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。互联网已经得到广泛应用的今天,一个新型的病毒能通过网络迅速传遍世界。为有效保护企业的信息资源,要求杀毒软件能支持所有企业可能用到的互联网协议及邮件系统,能适应并及时跟上瞬息万变的时代步伐。
(3) 加密型技术
以数据加密为基础的网络安全系统的特征是:通过对网络数据的可靠加密来保护网络系统中(包括用户数据在内)的所有数据流,从而在不对网络环境作任何特殊要求的前提下,从根本上解决了网络安全的两大要求(即网络服务的可用性和信息的完整性)。加密技术按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络传输中,加密技术是一种效率高而又灵活的安全手段。
(4) 入侵检测技术
入侵检测技术主要分成异常和误用两大类型。