前言:中文期刊网精心挑选了企业信息安全应急预案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全应急预案范文1
关键词:会计信息安全 组织环境 风险评估 监控反馈 制度安排
中图分类号:F23 文献标识码:A 文章编号:1002-5812(2016)03-0026-04
随着我国企业信息化的推进,会计信息化逐步由简单的单用户电算化应用向复杂的深层次网络化运用过渡,会计信息化系统也在一定程度上实现了由核算型向管理型的过渡。在企业会计信息化水平不断提高的同时,作为企业重要资产的会计信息,其完整性、可用性、保密性等方面却受到不同程度的挑战和冲击。如若企业会计信息安全不能得到有效保障,可能会引发相关商业机密的泄漏,严重的会导致企业失去客户、市场,乃至核心竞争力;即便是信息系统的故障也会造成企业的相关业务中断,给企业带来资产与声誉的损失。因此,为了使企业能持续不断的发展,会计信息安全成为了企业管理越来越关注的内容之一。
一、企业会计信息安全的影响因素
企业会计信息安全是指会计信息化环境下,会计信息处于完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。参照国际标准化组织和美国NSTISSC委员会对信息安全的阐述,本文认为企业会计信息安全就是为了使会计信息具有完整性、可用性、保密性和可靠性,而让企业的会计信息和会计信息系统处于必要的保护之下免于未经授权的访问、使用、泄漏、修改和破坏,并适当采取相应政策、培训和教育以及技术等必要手段,其实质就是扎根于企业经营实践活动并与企业战略密切联系的业务保障和管理问题。显然,影响企业会计信息安全的因素必然来源于企业的生产经营实践活动,并与企业的经营管理过程结合在一起。鉴于此,本文认为影响企业会计信息安全的因素不外乎组织环境、信息处理、风险评估、监控反馈、制度安排五个方面内容。
(一)组织环境。企业组织环境是指能对企业生产经营活动和决策产生直接影响并与企业战略目标实现密切相关的因素。企业会计信息安全及相关会计信息系统的运行都必须基于既有的企业组织环境。一般来说,企业组织环境包括企业愿景、企业战略、企业文化、组织结构、员工胜任能力以及管理者素质、管理风格、管理哲学等。企业组织环境对企业会计信息安全的影响作用在很大程度上取决于企业高层管理者。其原因在于,根据企业高层管理者的管理哲学与管理风格以及由其演绎而成的组织结构和企业文化形成了企业会计信息安全环境,并以此构建相应的会计信息安全管控框架,进而形成相应的会计信息安全策略。此外,相关的企业会计信息安全管控策略若要能在企业内部得到有效的持续的实施,也需要企业内所有管理者和员工的共同参与,更是与管理者和员工的安全意识和职业素养密切相关。高层管理者负责制订与企业组织发展方向相关以及影响整个企业战略的会计信息安全管控决策;中层管理者负责将高层管理者所制订的会计信息安全管控决策目标转换成为基层管理者可执行的会计信息安全管控具体目标;基层管理者则负责直接指挥从事具体业务的相关员工进行日常业务作业。
(二)信息处理。企业会计信息处理是一个比较复杂的系统,在这个系统中应该能完整、可靠、安全地采集与企业经营管理相关的各种会计信息,并使这些会计信息以适当的方式在企业有关层级及经过适当授权的客户之间进行有效传递和正确使用。因此,在会计信息化环境下为达到上述要求,企业需要为会计信息处理系统配置适当的软硬件资源。在这种情况下,企业会计信息安全问题就集中于物理硬件的可靠性和支持软件的有效性。物理硬件通常由系统主机、网络线路、终端电脑、附设周边、物化防护等组成,譬如给数据加密的专用设备,添加专用防火墙的服务器,具有加密算法和多数位加密的路由等。支持软件则主要由能实现会计信息采集、整理、加工、传送、使用等功能的会计信息管理软件构成,当然还包括操作系统、网络协议、压缩、加密算法、防病毒等相关软件。
(三)风险评估。风险评估就是分析、识别和控制相关影响会计信息安全目标实现的各种风险的过程,它主要由会计信息安全的目标设定、风险分析、风险识别和风险控制等方面构成。企业要确保其会计信息安全,则必须清楚且能应对各种可能对其会计信息安全产生影响的风险,在不断变化的企业经营环境中进行认真分析,识别并把握其变化规律,制订相关的应对措施,依据会计信息安全面临的问题适时调整企业会计信息安全管控策略和方法。这就要求企业的会计信息安全管控策略要有更长远的时间和更广阔的视野来关注风险,将风险意识贯穿于企业会计信息安全管控的始终,不断完善包括企业经营理念、管理方式、管理风格在内的控制风险环境。为此,企业还需要制订相关的会计信息安全目标,并将这一目标与企业的供应、生产、销售等经营活动进行整合。唯有如此,才能实现整个企业经营管理的协调一致。
(四)监控反馈。企业必须制定监控反馈的政策与程序,才能确保既定会计信息安全目标和必要改进措施的有效实施。一方面,企业经营环境是不断发生变化的,企业经营活动也随之不断变化。在这种情况下,唯有对企业会计信息安全管控系统进行必要的监控,并在必要时加以修订与调整,管控系统及相关的政策与程序才能反应自如。另一方面,企业会计信息处理系统自身也会由于物理硬件或支持软件方面的不确定因素而导致会计信息处理的延误或失效。这样,企业也需适时地对企业会计信息处理系统进行监控,排除不确定因素,维护会计信息处理系统的有效和安全。此外,还应考虑制定怎样的监控反馈政策与程序。通常,过于集权的监控政策会导致因信息缺乏而引起的成本,过于分权的监控政策则会出现因目标不一致而引起的成本。鉴于此,企业对会计信息安全的监控反馈政策与程序的选择应该是权衡这两类成本,使成本之和最小。
(五)制度安排。企业会计信息安全还与企业制度安排密切相关。好的政策制度,能有效协调和激励合意的行为,约束和惩罚不合意的行为,从而带来良好的经济绩效;差的政策制度,则会产生相反的结果。因此,企业在进行会计信息安全方面的制度安排时,需要依据会计信息安全的目标,设计出良好的管控制度,做到能有效地协调和激励符合企业会计信息安全的行为,并能够约束和惩罚不符合企业会计信息安全的行为,进而为企业带来良好的会计信息安全管控效果。需要关注的是,制度安排的效果,还要与其实施的环境密切关联。因为制度实施的环境发生了变化,就有可能使得原先实施效果很好的制度不再那么有效,甚至失效。
二、企业会计信息安全的主要风险问题
通过上文的分析可知,企业会计信息安全受到冲击和挑战的原因很多,具体表现出来的风险问题也是多样的。但是,具体到企业管理实践中,会计信息安全的风险问题基本上集中于员工的会计信息安全认知、会计信息处理系统、风险评估与监控反馈的认识以及对会计信息安全管控制度的执行等几个方面。
(一)员工的会计信息安全认知不足。基于组织环境方面的会计信息安全风险问题多源于企业的员工对会计信息安全认知的不足。其原因在于,与安全有关的问题都离不开“人”这个主体因素。一方面,许多企业管理者的会计信息安全意识、安全知识和安全管理等方面存在不足。譬如,在确定企业会计信息安全管控方案时没有对企业进行全面的自我诊断,仅是对企业的基本状况做了一个大概了解,就直接在企业内部实施现有的标准或者其他企业或组织的成功方案。由于企业既没有充分挖掘会计信息安全现状和对会计信息安全的内在需求,也没有全面考虑利益相关者的利益安全需求,必然会导致企业对会计信息安全的实际需求与其能提供的安全管控之间存在差距。更有甚者,企业管理者对会计信息安全的支持和重视不足,导致企业内部会计信息安全文化缺失和普通员工会计信息安全意识淡薄。另一方面,企业信息化的发展,使得越来越多的非财会相关岗位的普通员工也被包含到企业会计信息安全体系之中。这些员工,甚至一些财会岗位的员工,要么不完全理解会计信息安全的重要性,要么过度信赖企业会计信息安全管控方案,而不愿意把自己的精力和资源放在会计信息安全防护上,或者从根本上就认为即便对会计信息不采取安全防护措施也不一定会造成损失。当然,也存在一些员工由于缺少必要的会计信息安全教育和培训,根本不知道自己不遵守和执行相关的会计信息安全管控方案会对企业带来怎样的不利影响。
(二)会计信息处理系统安全技术滞后。企业会计信息安全需求是随着企业的生产经营活动和企业所处的内外部环境的变化而变化的。但是,很多企业并没有意识到企业会计信息安全需求的动态变化规律,对会计信息安全管控方案依然秉承“投资一次,受用终身”的观念,抱陈守旧。这种投资观直接导致企业会计信息处理系统安全技术跟不上企业生产经营活动和企业所处的内外部环境的变化。具体体现在企业使用的会计信息处理软件本身设计存在缺陷或技术漏洞得不到及时的完善以及杀毒软件、防火墙等相关支持软件不能得到及时更新;没有随着企业业务和环境的变化更新会计信息处理系统导致业务流程描述错误或漏洞、数据访问权限设置不当、关键数据备份不足等问题;以及系统主机、网络线路、终端电脑、附设周边、物化防护等老化损毁等。
(三)会计信息安全风险意识薄弱与风险评估体系缺失。当前,不少企业员工,包括部分企业管理者,其会计信息安全风险意识淡薄,认识不到企业会计信息安全风险的客观性。实际上,企业生产经营活动中,风险是客观存在的,它是无处不在的,也是无时不在的。通常状况下,企业所面临的会计信息安全风险,也与威胁企业实现其战略目标的相关事件密切相关。因此,企业会计信息安全风险的评估,要求企业所有员工能对贯穿于企业方方面面的会计信息安全风险有一个清晰的认知。尤为突出的是,很多企业并没有形成一套有效的会计信息安全风险评估体系来对会计信息处理系统进行风险评估。会计信息安全风险评估体系可以确定各种会计信息采集、整理、处置、披露和使用等行为的边界,明确什么行为是可以做的,什么行为是不可以做的。如果发现有越界的行为,能够及时发现并对其进行控制,进而使得这些越界行为造成的损失降至最低。
(四)会计信息安全监控反馈欠佳。一般来说,企业会计信息安全监控反馈机制可以分为三个步骤。一是对实际会计信息安全的衡量与评估;二是将实际衡量与评估的结果与企业设定的或标准的安全目标进行比较;三是采取必要的管控行动来纠正比较后得出的偏差与不足。显然,会计信息安全监控反馈过程是一个连续行动的过程,其有效性归根结蒂取决于以上的衡量、比较与纠偏三个步骤,其中任何一个步骤或者几个步骤低效率或不作为就会影响企业会计信息安全监控反馈机制的有效性。但是,在现实的企业经营管理实际中,由于企业员工认识不到会计信息安全监控反馈机制是一个衡量、比较与纠偏的连续行动过程,而是过度强调这个监控反馈机制中的某一个步骤或某几个步骤,没有从整个会计信息安全监控反馈机制的全局上考虑,导致企业会计信息安全监控反馈机制运行不畅,监控反馈效果大打折扣,最终使该机制的有效性受到质疑,动摇该机制在企业会计信息安全管控体系中的地位。
(五)会计信息安全管控制度低效。会计信息化依然是个新生事物,企业对会计信息安全管控的认知还处于初级阶段,相关的制度建设尚不完善,有的还处于草创阶段,导致企业日常会计事务的工作制度依然处于缺失状态,会计信息处理系统的使用和维护行为缺乏合理的引导,会计信息处理设备的滥用和误用、会计信息的不当使用等现象时有发生,严重危害企业的会计信息安全。即便企业有相对健全的会计信息安全管控制度,若不能对相关执行人进行必要的激励,也难以使相关制度得到有效执行。其原因在于任何制度都是由人来执行的,要保证制度的执行效果,就必须对执行人进行激励。激励的目的就是当个人的行为能促进企业目标的实现时,能得到企业提供给其相应的价值回报,把企业员工的个人行为动机与企业目标的实现密切关联起来。事实上,很多企业在信息安全管控制度的执行过程中,并没有设立相应的激励指标来推动企业员工为企业信息安全目标的实现而工作。
三、企业会计信息安全的管控建议
针对以上风险问题,企业应该在影响会计信息安全因素的组织环境、信息处理、风险评估、监控反馈、制度安排等方面强化作为。
(一)加强会计信息安全管控组织环境建设。一方面,要强化企业会计信息安全文化建设,在企业内部形成全体员工共同遵循的会计信息安全的信念、价值、意识以及经营哲学等,以此为基础设计相应的企业会计信息安全管控制度,并提供理念支持。还可以在企业文化建设过程中,不断强化企业会计信息安全的重要性和相关会计信息安全管制制度设计的员工参与度,以实现更加公平透明和执行有效的企业会计信息安全管控文化。另一方面,要充分重视人的因素,加强企业员工的职业道德教育和业务素质培养,提高全体员工的职业胜任能力,充分发挥每个员工在完善企业会计信息安全管控制度方面的主观能动性。企业还可以依据员工的工作性质和职位安排,适宜安排企业会计信息安全教育与培训。对企业管理者,强化会计信息安全核心知识、技术手段、风险管理等方面的教育与培训;对企业普通员工,则结合其所在部门的业务特点加强会计信息安全技术手段、风险意识等方面的教育与培训。这样,就可以在企业内部营造企业会计信息安全文化氛围,最大程度地减少人为因素对企业会计信息安全的危害。
(二)适时更新会计信息处理系统安全技术。企业要遵循会计信息安全需求的动态变化规律,对会计信息安全管控方案放弃“投资一次,受用终身”的观念,适时更新会计信息系统处理安全技术,按照“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线。首先,适时更新会计信息处理的安全技术。在企业会计信息处理系统中提供包括用户名、口令等在内的多种身份验证机制,必要时还需嵌入支持双因素认证和具备登录控制模块,同时在会计信息处理的日常作业不受影响的情况下,控制相应员工的访问权限,减少可能的越权操作,保障会计信息处理系统的安全。其次,适时更新会计数据的安全技术。企业应通过适时更新加密等技术手段保护会计信息处理系统中数据的保密性和完整性,提高会计信息数据访问的抗依赖性。此外,还需加强相关会计信息数据的异地崩溃或者灾难恢复机制,通过实现本地会计信息数据能够异地备份和复制,避免本地会计信息处理系统由于崩溃或者灾难等而导致会计信息数据遗失。再次,适时更新网络安全技术。不但要适时更新系统扫描技术并对会计信息处理系统和操作系统层设备进行智能化检测,帮助企业网络管理人员高效完成定期检测和操作系统的漏洞修复,还要适时更新系统实时入侵探测技术来监控主机系统事件,检测可疑特征并给予响应和处置。此外,还要适时更新在企业内外部部署的网络和信息安全设施,强化会计信息处理系统的物理实体管理,同时加强对漏洞扫描系统和入侵检测系统的更新,以实现会计信息处理系统受到内外部误操作或各种攻击时的实时保护。最后,适时完善物理设备的安全防护技术。不但要采取全面可靠的防火墙技术和防病毒系统,还要针对环境的物理灾害、人为蓄意破坏甚至自然灾害采取有效的物化防护技术,保障相关物理设备的安全。
(三)形成会计信息安全风险评估体系。任何企业管理机制的构建都是一个系统工程,能否构建成功且在以后的运行中有效,关键是相关风险的评估。正如管理大师德鲁克所说,没有评估就没有管理。同样的道理,没有评估就不可能实现管理机制的构建与施行。对会计信息安全管制机制的构建亦是如此。为此,企业为了构建有效的会计信息安全管理机制,就需对可能的损害企业会计信息安全的风险进行归集与分类,形成会计信息安全风险评估体系。具体做法,可以采用以下三步。第一步,构建适应企业经营实践和企业会计信息安全要求的会计信息安全风险评估目标体系。既要根据会计信息的完整性、可用性、保密性和可靠性设置会计信息安全的一般目标,又要根据会计信息安全管控环节设置具体目标,譬如会计信息安全管控业务执行的有效性、及时性、正确性等。第二步,按照会计信息处理的授权管理、岗位牵制、资源接触等安全管控类型,分析并得出会计信息处理业务流程和各部门的关键风险控制点和一般风险控制点。最后,根据上述风险控制点设置相应的会计信息安全管控评估指标,并对每个指标进行具体说明,且给出这些指标的评估方法和评分标准。
(四)推行企业全面信息安全监控反馈机制。会计信息安全管控不应该仅仅是涉及到会计信息这样一个狭小的范畴,而应该是一个综合的概念,要把企业的经营环境、愿景理念、组织领导、战略计划等综合起来考虑。既要认识到现代企业中会计信息安全管控的重要性,也要能从会计信息安全的管控上升到企业信息安全管控,推行企业全面信息安全监控反馈机制,实现企业全面信息安全管控,并使之成为企业的管理哲学。首先,要做到内容方式的全面性。不仅要着眼于会计信息安全的管控,还要能从企业战略的高度审视和评估会计信息安全管控,更要注重各种安全技术和方法的综合使用,确保能实现从单纯的会计信息安全管控向企业全面信息安全管控转变。其次,要做到管控过程的全面性。要把会计信息安全管控作为核心贯穿到整个企业经营过程中,即从市场调查、产品开发、生产销售等环节延续到产品售后都要实行相应的会计信息安全管控,确保会计信息从静态安全管控向动态安全管控转变,进而实现会计信息的保护、检测、反应和恢复协调一致。最后,要做到管控人员的全面性。即要求包括企业高管、其他管理人员、工程技术人员和普通员工在内的全体员工都要参与到全面信息安全管控中,各司其职,对会计信息安全负责。
(五)强化会计信息安全管控制度安排。强化企业会计信息安全管控制度建设,不外乎制度本身的完善和既有制度的有效执行。会计信息安全管控制度的完善,就是建立一套完善的会计信息安全管控制度。这既是会计信息本身安全的基础,也是会计信息安全管控的前提。完善的会计信息安全管控制度至少应该包括会计信息处理系统的开发或选购、使用、维护和应急制度,以及机房和终端等会计信息处理系统物理实体管理制度、会计信息数据的使用制度、会计信息数据备份制度、会计信息安全风险评估制度、会计信息安全审计制度等,实现从会计信息数据采集整理到会计信息数据使用备份的会计信息处理全程制度无缝构建,并随着企业经营环境的变化适时更新和完善。而既有会计信息安全管控制度的有效执行,则需充分重视企业员工绩效考核制度。恰当在企业员工的绩效考核中纳入企业会计信息安全评估的内容,使其获得报酬的变量和风险密切关联于企业会计信息安全。这样就可以保证企业员工在会计信息安全管控制度的执行方面上,能够基于企业的长期利益,而不是其个人利益,进而实现既有会计信息安全制度的有效执行。
四、结束语
企业会计信息安全对企业生产经营活动的可持续发展以及对市场经济的建立健全等方面的作用是不容置疑的。但是,也要看到我国关于企业会计信息安全乃至整个企业信息安全管控实践和研究的起步较晚,与发达市场经济国家在初始条件和实践能力方面还存在一定程度的差距。这是我国企业在进行会计信息安全管控时所必须要考虑到的一个基本现实。因此,本文认为企业会计信息化安全管控,既是一个不断发现问题和解决问题的过程,也是一个不断迎接挑战和接受冲击的过程。
参考文献:
[1]张红旗,王新昌,杨英杰等.信息安全管理[M].北京:人民邮电出版社,2007.
[2]胡英松.信息化会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83-85.
[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.
[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf
[5]梅雨.企业财务监控问题解析[J].中国管理信息化,2009,(9):48-50.
[6]Schultz E.The Human Factor in Security[J].Computers and Security,2005,24(6):425-426.
企业信息安全应急预案范文2
关键词 电力企业;信息系统;信息安全
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2011)122-0116-01
电力作为国民经济的基础设施行业,在国内较早开始了信息化建设工作。企业门户、安全生产、营销管理、协同办公、电力负荷控制、客户服务等信息网络技术已经成功应用到各级电力企业。随着电力信息化建没和应用的快速发展,信息安全问题已日益突出,并成为国家安全战略的重要组成部分。
研究信息安全技术,建立电力信息系统的安全防护体系和安全模型,对确保电力系统安全稳定、经济优质运行,加速实现“数字电力系统”的进程具有重要的现实意义。
1 电力信息系统安全需求
一个全面、合理的电力信息系统安全体系和模型,应该满足下列安全需求。
1)机密性。即确保信息仅对被授权者可用。信息的保护通过确保数据被限制于授权者(这里通过可审性来配合)使用,另外还应考虑信息所在的形式和状态,是物理的纸面形式、电子文档形式,还是传输中的介质形式。
2)完整性。是指数据不以未经授权方式进行改变或损坏的特性。电力企业的许多开放系统应用都有依赖于数据完整性的安全需求。完整性同样应考虑信息所在的形式和形态。
3)可用性。指确保被授权用户在需要时可以访问系统中的信息和相关资产,不会因自然或人为原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏、被拒绝达到不能容忍的程度。
4)可控性。指授权机构对信息的内容及传播具有控制能力,可以控制授权访问内的信息流向以及方式。
5)不可抵赖性。也称信息的可确认性,是传统社会的不可否认需求在信息社会的延伸。不可抵赖性包括:证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。
6)可审性。可审性不是信息自身的安全需求,不能针对攻击提供保护,但具有信息的责任需求,和他安全需求相结合使之更加有效。虽然可审性需求会增加系统的复杂性,降低系统的使用能力。但是其事后可追查这一特性,在电力信息系统安全中是重要的。
以上六个方面是保证信息系统的信息安全最基本的需求,它们互不能蕴含。
2 电力信息系统面临的威胁和安全风险
电力信息系统安全在过去几年虽然已经取得了长足发展,但是在信息系统的规划、建设和运行维护过程中需要研究和解决的问题还很多。
1)面临的威胁电力信息系统面临的威胁来自各个方面。归结起来主要包括以下几个方面:①电力信息系统组件固有的脆弱性和缺陷;②地震、雷击、洪灾和火灾等自然威胁;③意外人为威胁;④恶意人为威胁。
2)电力信息系统存在的安全风险。信息安全风险和信息化应用情况及采用的信息技术密切相关,电力企业信息系统面临的主要风险存在于以下几个方面:①计算机病毒的威胁最为广泛;②网络中服务器被黑客攻击的事件层出不穷;③网络安全问题日益突出,这是电力企业面临的一个非常突出的问题;④电力企业与外单位信息传递的安全不容忽视;⑤电力企业用户身份认证和信息系统的访问控制急需加强。
3 电力信息系统安全的建设
为加强和规范信息安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,结合电力企业自身的特点,坚持“安全第一,防御为主”方针,有目的、合理地设计电力信息系统安全体系和模型,建立健全与信息化相适应的信息安全保障、监督体系,积极防御和综合防范信息技术风险。
1)建立信息安全工作机制。信息系统实行统一领导、分级管理,明确各单位主要负责人是本单位信息系统安全第一责任人。将信息系统安全纳入公司安全管理体系,实行专业管理、归口监督,明确责任人员,提高各级人员的信息安全意识,实现信息系统安全管理和防御措施落实到位。
2)明确信息安全管理范围和任务。全面加强一体化企业级信息集成平台和业务应用的安全管理,确保信息系统持续、稳定、可靠运行。坚持“分区、分级、分域”总体防护策略,实行“双网双机”,按照 “三同步”原则,与信息系统建设同步规划、同步建设、同步投入
运行。
3)完善信息安全管理制度体系。统筹规划,突出重点,加快信息安全管理制度和标准规范建设步伐,强化信息安全规章制度落实工作。严格遵守“不上网、上网不”纪律,开展网络与信息系统定级、审批、备案工作。加强信息系统运行维护全过程管理,不断完善应急预案。建立备份与恢复管理相关安全管理制度。
4)严格执行电力二次系统安全防护规定。要切实贯彻落实电力二次系统安全防护总体方案及各级调度中心二次系统安全防护方案,切实将其纳入电力安全生产管理体系,建立健全电力二次系统安全联合防护和应急机制,制定并完善应急预案。按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,加强调度数据网络的建设和安全符理。
5)加快信息安全管控手段建设。全面推进个人终端标准化建设工作,实现个人终端补丁程序、病毒软件自动更新、升级,强化防木马病毒等安全措施。增加信息安全监控措施,加快建立信息安全监控手段,实现对防火墙、入侵检测等安全防护设施的集中监视和事件预警。
6)强化信息安全应急与通报工作。不断完善信息安全应急机制,制定预案,加强演练。规范信息安全事件通报程序,及时传达国家和企业信息安全运行动态,及时响应和处理信息安全事件,加强事件分析,实时安全通告。
7)高度重视信息安全保密工作。严格做到“计算机不上网,上网计算机不”,禁止内容在互联网上存储和交叉使用,加强安全保密管理,严格人员审批,及时开展信息系统安全保密检查,做好文档的登记、存档、销毁、定密、解密等各环节工作,及时发现泄密隐患。
8)提高全员信息安全意识。开展全员信息安全培训,全面树立决策层、管理层、操作层信息安全风险意识,不断积累信息安全管理经验。开展不同层面的安全教育和培训工作,适应信息技术发展的潜在
要求。
参考文献
[1]计算机网络技术[M].西安电子科技大学出版社,2006.
企业信息安全应急预案范文3
关键词:信息安全;防护体系
随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:
1机制建立是关键
企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。
2技术防护是基础
技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。
3监督检查是保障
全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。
险管控是对策
为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。
参考文献:
[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).
企业信息安全应急预案范文4
(一)信息安全组织临时化
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
(四)建立信息安全事件应急响应机制
企业信息安全应急预案范文5
关键词:电力;信息;安全;风险;研究
一、电力信息安全风险分析
信息安全风险不仅和信息化应用情况有密切关系,和采用的信息技术也密切相关。目前电力生产、经营管理等活动已经离不开信息系统,但高技术在带来便利与效率的同时,也带来了新的安全风险和问题。图一所列的就是电力信息安全所面临的主要威胁:
图一 信息安全威胁归类
1.计算机病毒的威胁
计算机病毒是目前信息安全中最严重的威胁,它发生的频度大,影响的面广,并且能对信息网络造成极大的破坏。在当前的网络条件下,计算机病毒的传播迅速,若一台计算机感染病毒,在一两天甚至几小时内可以感染到系统内所有的计算机,使网络通信阻塞,系统数据和文件系统破坏,最后导致系统根本无法提供服务。
2.各个信息系统之间的互联以及外联的安全隐患
电力信息系统有发电信息网、供电信息网、电网调度自动化系统、管理信息系统(MIS)、办公自动化系统、财务管理信息系统、客户服务支持系统、远程教育培训系统、ERP系统等应用信息系统。他们之间的互联是必不可少的。
3.来自身份鉴别的安全隐患
当前电力系统拥有的众多信息系统一般为特定范围的用户使用,所包含的信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。各个信息系统中都设计了用户管理模块,该模块具有建立用户、设置权限、管理和控制用户对本信息系统资源的访问的功能。这些措施在一定程度上能够加强系统的安全性,但在实际应用中仍然存在拨号号码、用户名和密码等资料有可能外泄;静态用户名和密码容易被黑客试探猜出的隐患。
4.企业内系统漏洞和使用非法工具的安全隐患
目前电力信息系统拥有大量用户,其中个别用户出于好奇的心理或者蓄意破坏的动机,利用系统漏洞和非法工具,对网络上连接的计算机系统和设备进行入侵、攻击等行为,影响网络上信息的传输,破坏软件系统和数据等。因此如何杜绝系统漏洞和防止使用非法工具,保护网上的信息系统和信息资源的安全,保证对网络和信息资源的合法使用,是电力面临的另一个非常突出的安全性问题。
二、信息安全事件发生原因分析
针对电力系统以往发生的信息安全事件,分析发生原因,主要有以下几方面因素:
1.信息安全防护意识不强,思想麻痹,没有重视内外黑客入侵将造成的严重后果而舍不得或不知道要投入必要的人力、物力、财力来加强信息的安全防护。
2.信息技术人员总体业务水平较低,缺少必要的技术培训,跟不上信息技术快速发展的要求。
3.缺乏先进可靠的信息安全技术、工具和产品。
4.对重要系统缺少应急预案,并缺乏防事故演练;大多数县局缺乏可靠的系统备份、恢复技术和工具。
5.重信息化建设,轻信息化管理。
三、加强电力信息安全的对策
1.针对计算机防病毒的安全对策
计算机防病毒系统是发展时间最长的信息安全技术,技术成熟且应用效果非常明显。电力目前已统一安装了企业版Norton防病毒系统,架设了微软SUS打补丁服务系统,能够提供系统集中管理、服务器自动升级、客户端自动更新等功能。
2.对各个信息系统之间的互联以及外联网络安全对策
目前电力信息网络在与外单位、系统单位间、重要服务器等关键关口处设置了防火墙,下一步将考虑逐步实施漏洞扫描、入侵检测、网站保护等安全措施。
3.开展全员信息安全教育和培训活动
开展安全教育和培训应该注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。
参考文献:
[1] 潘明惠,偏瑞琪,李志民,陈学允. 电力系统信息安全应用研究[J]中国电力, 2001,(S1) .
[2] 李文武,王先培,孟波,贺鹏. 电力行业信息安全体系结构初探[J]中国电力, 2002,(05) .
企业信息安全应急预案范文6
【关键词】供电企业;信息系统安全;强化措施
面对当代信息技术的发展与社会电力工作的要求,信息技术已经逐渐覆盖到电力系统的每个方面,同时也带来了许多的安全隐患,时时威胁着供电企业的信息安全。电力是一个国家的基础产业,关乎每一个领域,对全国经济建设发展起着决定性的作用。因此,供电企业的信息技术安全就显的尤为重要。本文针对近些年来信息技术在供电企业应用时所出现的安全问题进行细致的探究,并且提出了相应的防范措施。
1 供电企业信息化现状
近些年来,以网络、数据库为代表的信息系统技术已经渗透进电力生产的每个环节,供电企业信息化现状大致可以总结成以下五个方面:
(1)电力信息系统基础设施已基本完成。电力信息系统以高速电力通讯网为基础,覆盖了各个供电企业和国家电网。电力信息系统通过发、输、配三个环节,以光纤,卫星等多种手段代替原有的通信网,覆盖整个网络。供电企业还在基础设施上不断创新和完善,用通讯网将各个公司、区域的信息系统相互联系起来,形成共享网络,有利于各个企业单位之间的联系与资源共享。
(2)处于自主研发阶段。原有的供电企业信息系统是单纯引进国际技术,随着我国科学技术的发展,我国电力信息技术已经逐渐达到国际现有的水平。我国自主研发的系统――能量管理,已经在我国供电企业信息系统中得到了广泛应用。并且不断推陈出新,为以后的电力信息系统提供基础。
(3)供电企业信息安全工作进展快速。我国建成了信息系统安全和供电企业电力系统网络管理体系,保证了电力信息安全;建立了相应的法律法规,为供电企业信息化发展提供了法律保障;国家大力支持电力信息系统,加快了电力信息系统基础设施的建设;我国电力信息技术人才的培养,为供电企业信息系统的进步提供了条件。
(4)电力信息系统出现重大转变,为供电企业信息系统安全风险与防范提供最要的技术来源和保障。电力信息系统从出现以来,实现了从自动化向信息化,从信息资源整合向信息资源利用,从协助管理向大力发展生产力三个方面的转变。
(5)供电企业与电网企业共同发展。电网企业先实施了国家的信息化工程,初见成效,这为供电企业实施企业信息系统提供了方向指导。之后,供电企业与电网企业共同发展,在保证供电系统顺利的运作下,提高效率,降低成本,从而达到经济利益最大化,为整个行业的发展,奠定了坚实的基础。
2 供电企业信息系统安全的影响因素
随着网络、通信技术的发展,供电企业中信息技术处理的应用系统越来越复杂,面临的挑战也越来越多,类似供电控制系统和网络信息的安全性、保险性、实时型都面临着巨大的考验。以下举出了供电企业信息系统安全的几个重要的影响因素。
(1)自然及不可抗力因素。自然及不可抗力因素指的是自然灾害或者突发事件不可预期的因素。类似火灾、地震、雷电等,都会对供电信息系统造成破坏,导致供电系统工作的终止和信息系统数据的丢失。
(2)物理方面的风险。物理方面的风险指的是在信息系统技术应用的过程中所使用的设备的风险。供电企业在信息系统运行的过程中,需要用到交换机,路由器,工作站等设备,而这些设备在人为因素或者自然因素的条件下,很容易损坏或者报废,断电或者使原有的信息丢失,从而导致整个信息系统的瘫痪,会对供电企业造成不可预计的影响和损失。
(3)数据库安全。供电企业的信息系统需要用到各种设备和应用软件系统,而这些设备和软件系统在信息系统不完善的条件下,肯定会存在一定的漏洞,这将会导致供电企业内部信息资料安全受到威胁。企业如果放松警惕,不法分子就会通过漏洞传播病毒并且盗取企业的重要文件资料,这将导致供电企业无法正常供电,并且威胁着整个企业的内部安全。
(4)管理系统安全。现在处于信息系统在供电企业发展过程中的初级阶段,还没有形成一整套针对供电企业信息系统安全的管理措施。这样在信息系统的运作过程中,将会出现很多不完善的地方,时刻威胁着供电企业生产的安全性,影响整个企业的正常供电。
(5)电磁干扰的影响。信息系统在各个领域中的应用并未完善,而信息在传输的过程中很容易被电磁干扰,导致信息的丢失。
3 信息系统安全的防范措施
强化员工的整体素质与基础知识的水平。供电企业的信息系统安全防范,不仅仅是相关部门的事情,而是整个供电企业内部人员的事情。供电企业内的每一个突发事件,都位于生产的细微环节,这就要求企业的员工需要有较高的知识水平与应变能力,面对安全隐患及时做出相应的防范措施,应对自如。所以应该提高全体员工的信息安全知识的学习以及必要的防范意识。在有条件的情况下可以开设信息安全相关的培训,以逢培必考方式,提高培训效果并落实一定的考核制度,有利于全体员工对信息安全知识的学习,也确保了供电企业安全稳定的发展。
转变传统的管理制度,由传统的硬性管理转变成为适应当今企业发展的分区分域管理。分区管理就是对不同级别的信息进行分区,建立网络隔离系统;分域就是在分区管理的基础上,针对生产域、营销域、人资域、办公域、财务域等,各专业信息系统的要求进行更加细致的划分。这样有利于摆脱传统管理模式中的漏洞,增加管理的灵活性、全面性。将知识管理与安全管理相结合,为供电企业信息系统的正常运行提供基础保障。
将电力通信及自动化的网络与供电企业的内部综合数据网络进行物理隔离,这有益于防止信息系统安全过程中产生的漏洞导致的病毒入侵现象,保护内部资料的安全性。在建立最基本的管理制度的同时,从工作出发,对发现的问题及时汇报处理并且统计,建立特有的数据库,为以后工作信息系统的防范提供基础。
预防计算机病毒,防止病毒破坏。这是供电企业信息系统安全措施中最重要的一个环节。供电企业中,办公最重要的一个内容就是企业邮件的收发,这也是感染病毒最多的环节。必须加大对系统的升级和修复,建立和完善防病毒系统,实时对计算机进行监控,对用户访问进行严格防控。
电力信息系统还处于发展阶段,必须加强对信息技术安全的监控,并且及时汇报,完善信息系统的应急预案。这要求企业必须真实的对待每一个信息事件,及时通报,不得隐瞒。不断改善原有的应急措施,并且监督每一次应急措施的实施,提高整个供电企业面对信息系统的应对能力。
提高供电企业信息系统的保密措施。在对信息系统网络安全加强的同时,也要完善人为因素导致的信息泄露。严禁外部人员对计算机网络的访问,严格控制外来U盘等移动介质的使用,对信息系统的安全进行严格监管,定期开展对保密工作的检查,不放过任何一个中间环节。
4 总结
供电企业的信息系统安全涉及到企业的方方面面,包括自然因素,人为因素,物理因素等等。所以为供电企业信息系统制定防范措施就要从这些因素出发,全面分析,多重角度看待,才能制定有效的防范措施,保护整个供电企业的安全。
参考文献:
[1]Christopher.信息安全管理[J].北京:清华大学出版社,2005.