導(dǎo)語：如何才能寫好一篇企業(yè)信息安全治理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：供電企業(yè)；信息安全；排查；治理

1引言

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息技術(shù)更是在各大企業(yè)得以應(yīng)用。可以說信息技術(shù)是一把雙刃劍，在給企業(yè)帶來巨大利益的同時也帶來了很大的風(fēng)險。而供電企業(yè)是國家的重要基礎(chǔ)設(shè)施的行業(yè)，它的安全更是關(guān)乎著整個國家的電力發(fā)展甚至說電力企業(yè)發(fā)生任何意外都會影響到我們整個國家的經(jīng)濟、國際地位等各方面的發(fā)展。因此說，供電企業(yè)的信息安全不容小覷。供電企業(yè)的信息安全隱患主要分為內(nèi)因和外因。供電企業(yè)在抵擋外來的信息侵略時會設(shè)置各種軟、硬件措施，這的確對于抵擋外來侵略起到了一定的作用。但是對于內(nèi)部來說這就毫無意義了。內(nèi)部信息安全得不到保障比外來侵略更加可怕。所以在處理供電企業(yè)的信息安全問題上一定要謹(jǐn)慎認(rèn)真。

2信息安全隱患

2.1信息安全的定義

信息安全總的來說是指信息在傳播過程中能夠不受外界的干擾，保證信息的安全、真實、可靠、保密以及完整性。并且能夠完好無損的傳輸?shù)侥康牡亍?/p>

2.2隱患的定義

隱患分為潛在隱患、動態(tài)隱患、靜態(tài)隱患等各種，主要是指事故發(fā)生的原因。

2.3隱患的影響

有的隱患并不會造成很大的影響，這種隱患危險性相對較低；有的隱患雖然不會導(dǎo)致很大的危險發(fā)生，但是仍然會對企業(yè)造成一定的不良影響：還有的隱患就相對危險了，會對企業(yè)造成相當(dāng)程度的損害，如果是信息安全得到破壞，企業(yè)的各種有效信息很有可能得到泄露；最為嚴(yán)重的一種就是會對企業(yè)造成不可挽回的嚴(yán)重破壞，甚至?xí)沟谜麄€企業(yè)系統(tǒng)癱瘓。

2.4信息安全隱患的形成

（1）通過對“物”的管理不善造成的各種影響：信息的傳播需要通信電路，而通信電路出現(xiàn)問題如果沒有及時發(fā)現(xiàn)并治理就會造成通信不便。在信息系統(tǒng)中不管是軟硬件的老化或者失效也會造成信息傳播不便。（2）通過對“人”的管理不善造成的各種影響：人是最難把握的一類高級生物，既然是人為操作就不可能一直不犯錯誤。而網(wǎng)絡(luò)這個大系統(tǒng)又是由多方面的人員共同完成。在信息傳輸過程中，有些操作人員可能并沒有很清楚自身的操作能力，那么在操作過程中就會出現(xiàn)各種各樣的問題。

3關(guān)于信息安全隱患的排查

3.1排查的目的

隱患如果沒有及時消除就會造成很嚴(yán)重的后果，如果是輕度隱患造成的影響還相對小一些，但是如果是重度隱患就會造成無法挽回的后果。所以說，排查隱患的存在是非常有必要的。排查隱患的目的主要是在于能夠及早發(fā)現(xiàn)各種嚴(yán)重隱患，在關(guān)鍵部位重點關(guān)注，不讓檢查工作浮于表面，認(rèn)真負(fù)責(zé)信息安全的檢查。排查隱患的工作做好有利于企業(yè)提高自身網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。供電企業(yè)的信息安全排查的第一步做好了才有機會更好地完成后邊的步驟，有利于供電企業(yè)持續(xù)正常的為國家社會和人民服務(wù)。

3.2排查的范圍

排查分為終端、系統(tǒng)排查，設(shè)備、網(wǎng)絡(luò)排查，人員、管理排查。排查過程中更是要認(rèn)真仔細(xì)，決不能放過任何可疑的細(xì)節(jié)，要做到全面、細(xì)致。

4關(guān)于隱患的治理

4.1排查方法

信息安全不是兒戲，需要專業(yè)的知識來對安全隱患進行排查。主要分為以下兩個方法：督查信息安全、排查信息隱患。我們重點來說一下督查信息安全。督查信息安全，顧名思義，就是對信息進行監(jiān)督和檢查。主要分為日常監(jiān)督、專項監(jiān)督、年度監(jiān)督。

4.2排查流程

根據(jù)國家的法律法規(guī)，在對信息安全隱患進行排查時，也要遵循一定的法規(guī)流程。信息安全的排查工作也是要由專業(yè)部門統(tǒng)一組織領(lǐng)導(dǎo)進行。由專門的信息監(jiān)督人員、檢查人員進行排查。由專門的技術(shù)人員對排查結(jié)果進行分析總結(jié)并且分類整理所得到的信息。

4.3隱患的治理

（1）國家相關(guān)法律部門制定相應(yīng)的法律法規(guī)，對信息安全提出明確的保護方案和違反這一法規(guī)所會受到的處罰。并對破壞供電企業(yè)信息安全的行為高度重視，重點處置。（2）在隱患發(fā)生前有專業(yè)技術(shù)人員對各個方面進行完美的檢查，并且制定出各種意外方案以備不時之需。（3）對于在信息傳播過程中由于設(shè)備問題所出現(xiàn)的問題要由專業(yè)的技術(shù)人員加以修正，而且在此之前，信息技術(shù)監(jiān)督小組成員應(yīng)當(dāng)提前預(yù)料到各種情況，這樣才能對在各種情況發(fā)生時臨危不亂。（4）定期檢查。不管是什么季節(jié)、什么時間都應(yīng)該有相關(guān)的技術(shù)人員對供電企業(yè)的各種信息、通信系統(tǒng)是否正常運行進行檢查維修。如有必要，還應(yīng)該開展各種演練活動，提高值班人員的素質(zhì)和應(yīng)變能力。（5）加強培訓(xùn)。要對供電企業(yè)內(nèi)部人員進行安全教育和技術(shù)培訓(xùn)，不僅提高理論水平還有實踐能力，加強安全意識。

5結(jié)束語

信息安全是現(xiàn)當(dāng)代各個企業(yè)必須面臨的重要問題，而供電企業(yè)作為國家的重點基礎(chǔ)設(shè)施企業(yè)更是要加以高度重視。信息安全不僅僅是信息部門的事情更是企業(yè)所有人的問題。供電企業(yè)要做到全員參與，制定更加合理的制度，不斷提高信息安全水平。

參考文獻

篇2

 

伴隨著企業(yè)對辦公應(yīng)用自動化、移動化、智能化需求的不斷增加，智能移動終端在企業(yè)中的應(yīng)用呈現(xiàn)快速增長態(tài)勢，越來越多的企業(yè)商業(yè)秘密在智能終端上進行傳輸和處理。在給企業(yè)用戶帶來巨大便利和經(jīng)濟、管理效益的同時，隨之而來的安全風(fēng)險和安全管理問題也日益凸現(xiàn)。

 

1 主流移動終端操作系統(tǒng)平臺

 

目前常見主流的智能移動終端操作系統(tǒng)平臺有Android、iPhone、Windows Phone三種。與傳統(tǒng)PC操作系統(tǒng)相比較，由于各廠商源代碼的開放程度不同，不同智能移動終端操作系統(tǒng)的自我安全防護措施差異很大，造成不同廠商的智能終端面臨的安全風(fēng)險截然不同。即使是同一種操作系統(tǒng)，不同ROM芯片安全加固程度的差異，都對移動終端的信息安全造成不同程度和方面的威脅。

 

1.1 Windows Phone平臺

 

Windows Phone沒有繼承前輩Windows Mobile的開放性，而是借鑒了iPhone的封閉性。應(yīng)用程序商店Marketplace被限定為Windows Phone移動終端安裝應(yīng)用程序的唯一方式和途徑，不支持通過其他方式來安裝程序包。這將在一定程度上杜絕了盜版軟件的風(fēng)險，保護了開發(fā)者的權(quán)益。

 

Windows Phone的應(yīng)用程序模型目前主要支持第三方應(yīng)用在前臺執(zhí)行，不完全支持后臺應(yīng)用，這樣能夠在一定程度上降低系統(tǒng)安全風(fēng)險，但存在第三方應(yīng)用如何攔截垃圾短信的問題。

 

1.2 iPhone平臺

 

iPhone是一個完全封閉的平臺，在一定程度上保證了平臺的安全性。如，iPhone缺省沒有讀取通話記錄、短信等的API，這保護了用戶的隱私;調(diào)用顯示用戶位置信息的API也會彈出提示信息。另外，iPhone也不允許使用API直接發(fā)短信和打電話，都需要用戶確認(rèn)，這樣間接減少了惡意訂購和惡意話費的風(fēng)險。但是面臨越獄用戶所帶來的系統(tǒng)更改問題，這使得本來封閉平臺的安全優(yōu)勢喪失了。越來越多的開發(fā)者制作針對越獄用戶的應(yīng)用程序，并以共享形式，越獄用戶的信息安全即使在將來也很難得到有效保障。

 

1.3 Android平臺

 

Windows Phone 7和iPhone平臺不提供程序直接發(fā)短信等功能的接口，避免了惡意訂購等行為的發(fā)生。相比之下，Android則把決定權(quán)交給了用戶，由用戶決定一個程序是否可以直接發(fā)短信。Android要求開發(fā)者在使用API時進行申明，稱為permission。這樣對一些敏感API的使用在安裝時就可以給用戶風(fēng)險提示，由用戶確定是否安裝。

 

例如，要監(jiān)控是否有短信到達(dá)，需要在Android Manifest文件中進行如下設(shè)置：

 

xmlns：android=http：//schemas.android.com/apk/res/android

 

package="com.google.android.app.myapp">

 

在下載和安裝軟件時，普通用戶缺乏專業(yè)知識，使得這個決定設(shè)置形同虛設(shè)。而且，僅靠這些permission信息確定軟件是否是惡意的，也沒有太多依據(jù)。更嚴(yán)重的問題是，Android安全軟件所需要的權(quán)限與惡意軟件類似，使得用戶難以分辨。[1-2]

 

2 移動終端面臨的安全隱患

 

隨著信息技術(shù)的不斷進步，制造和使用成本的不斷下降，近年來，智能移動終端市場得到了飛速發(fā)展和推廣。加之移動終端智能化的發(fā)展，使得其功能越來越多樣化，能夠存儲的信息量和種類都大大增多，越來越多地被應(yīng)用到涉及國計民生的各個領(lǐng)域之中。小到個人資料和隱私、中到企業(yè)商業(yè)秘密、大到涉及國家政府政策信息等數(shù)據(jù)資料都涵蓋其中。隨著WIFI、3G網(wǎng)絡(luò)等功能的引入，以及專門針對智能移動平臺的病毒、惡意程序的出現(xiàn)，加大了存儲在其中的資料被竊取、破壞、篡改的可能性，智能終端移動平臺的信息安全越來越重要，對其進行信息安全管理迫在眉睫。

 

通過對當(dāng)前常見移動終端惡意軟件的調(diào)查與分析，通常有以下幾種特點：(1)聯(lián)網(wǎng)、發(fā)短信，實施惡意訂購：例如下載軟件、產(chǎn)生額外流量、盜打電話(如悄悄撥打聲訊電話)、惡意訂購SP業(yè)務(wù)，群發(fā)彩信等等。這是目前最主要、高發(fā)率的一種惡意行為，同時也是其它惡意行為的基礎(chǔ)?？梢灾苯訛閻阂廛浖闹谱髡邘砭揞~的非法收益;(2)獲取本地信息：如獲取存儲在終端之中的通訊錄、通話記錄、短信內(nèi)容、本地文件、地理位置等信息。通過獲取和利用、販賣終端用戶信息以間接的獲得利益，動機類似于在個人計算機盜取信息的行為;(3)竊取賬戶：通過盜號軟件，對網(wǎng)絡(luò)虛擬社區(qū)或網(wǎng)絡(luò)游戲等軟件的用戶資料，通過盜取信息獲得收益;(4)消耗資源類：如不斷地尋找藍(lán)牙設(shè)備去傳播惡意軟件。這也是惡意軟件的一種傳播方式;(5)破壞應(yīng)用：刪除本地文件、通訊錄、恢復(fù)出廠設(shè)置。如破壞SD卡上安裝的應(yīng)用程序，導(dǎo)致應(yīng)用無法啟動;(6)卸載安全軟件、自啟動、難刪除、隱藏：隨著移動平臺惡意軟件的增多，移動平臺上的安全軟件也應(yīng)運而生，惡意軟件制作者為了更穩(wěn)定的傳播惡意程序，往往在代碼中加入了自我保護的功能，使得惡意軟件難以有效刪除，或自動卸載主流安全軟件以保護自身程序。

 

綜上所述，在API方面開放程度越高的智能移動終端平臺，其受到外部安全攻擊的可能性就越大，面臨的安全風(fēng)險越高;而采用非開源系統(tǒng)的移動終端平臺使得中低端用戶趨向于尋求各種破解的方式來獲取免費應(yīng)用，這實際上也加大了安全保護的難度。

 

另外，智能終端安全防護軟件必須取得操作系統(tǒng)內(nèi)核的較高權(quán)限，才能對應(yīng)用實施訪問控制，但是權(quán)限往往得不到滿足。對于封閉式操作系統(tǒng)，第三方安全防護軟件根本無法獲取內(nèi)核較高權(quán)限，也就沒有辦法實現(xiàn)對應(yīng)用的訪問控制。即使是開源式操作系統(tǒng)，由于操作系統(tǒng)內(nèi)核權(quán)限獲取困難，往往需要將第三方安全防護軟件集成到操作系統(tǒng)內(nèi)部。操作系統(tǒng)內(nèi)核權(quán)限獲取問題限制了第三方應(yīng)用軟件的防護能力。

 

3 企業(yè)智能移動終端安全管理

 

隨著個人移動終端的普及及其在企業(yè)日常生產(chǎn)經(jīng)營工作領(lǐng)域中的廣泛應(yīng)用，作為信息系統(tǒng)重要組成部分的移動終端的安全性對企業(yè)信息系統(tǒng)總體安全性的影響逐漸不容忽視。有鑒于此，將移動終端安全納入到企業(yè)信息安全管理體系之中，是很有必要的。

 

針對企業(yè)智能移動終端的信息安全管理工作可以從以下幾個層面逐步展開：

 

3.1 網(wǎng)絡(luò)安全

 

隨著無線網(wǎng)絡(luò)(IEEE802.11系列標(biāo)準(zhǔn)及其應(yīng)用，如WIFI)概念的引入和無線設(shè)備的普及，智能移動終端已經(jīng)逐漸成為企業(yè)無線網(wǎng)絡(luò)的主要使用者。由于無線網(wǎng)絡(luò)本身的技術(shù)特點，以及用戶使用無線網(wǎng)絡(luò)時安全意識的淡薄，通過無線網(wǎng)絡(luò)滲透并威脅企業(yè)用戶信息安全的案例正在逐年增多。另外，智能移動終端與個人計算機之間的數(shù)據(jù)傳輸也是未來可能被惡意攻擊者利用的一個隱患點?？紤]到信息系統(tǒng)的實際情況和信息安全保護的相關(guān)標(biāo)準(zhǔn)，企業(yè)可以考慮對網(wǎng)絡(luò)設(shè)備實施如下安全措施。

 

例如：禁止大規(guī)模布設(shè)具有無線接入功能的路由器或其他網(wǎng)絡(luò)設(shè)備，已布設(shè)的無線接入設(shè)備必須采取可靠技術(shù)手段，實現(xiàn)與信息系統(tǒng)重要服務(wù)器和網(wǎng)絡(luò)設(shè)備隔離，不允許使用WIFI熱點網(wǎng)絡(luò)接入涉及敏感信息的企業(yè)網(wǎng)絡(luò)和接入互聯(lián)網(wǎng)，防止由互聯(lián)網(wǎng)反向滲透至智能終端。[3][4]

 

3.2 主機安全

 

智能終端操作系統(tǒng)開放程度的不統(tǒng)一使得移動終端領(lǐng)域難以有一個統(tǒng)一的安全防范技術(shù)標(biāo)準(zhǔn)。在企業(yè)信息安全管理中，涉及某些敏感領(lǐng)域時，信息系統(tǒng)相關(guān)人員所持有的智能移動終端是一個可能的隱患點，有必要將移動終端作為主機安全部分納入到企業(yè)信息安全管理體系之中。

 

在定制主機應(yīng)用開發(fā)時，可限制OS的種類，禁止使用不安全的OS或者不安全的定制OEM或必須經(jīng)過合規(guī)性檢查，限制安裝某些軟件等;企業(yè)智能終端中存儲有大量涉及公司用戶隱私及利益的重要數(shù)據(jù)信息，為了提高主機安全性，可以考慮密碼保護、授權(quán)訪問、加密、備份等安全措施的應(yīng)用。另外，企業(yè)還要考慮對內(nèi)部使用的各型智能移動終端統(tǒng)一安裝防護軟件并定期進行更新。[5]

 

3.3 管理安全

 

由于目前智能化移動終端(如智能手機、平板電腦)越來越多的應(yīng)用在工作中，或被企業(yè)各級員工帶入企業(yè)工作場所，有必要對智能化移動終端的使用范圍、功能及方法進行規(guī)范。在企業(yè)信息安全管理體系中考慮添加相關(guān)移動終端管理安全要求：(1)對移動設(shè)備(包括但不限于：便攜式計算機、智能手機、平板電腦)的使用范圍、操作及允許使用的功能進行規(guī)范;(2)進行移動終端專題安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于以下內(nèi)容：移動終端安全性、移動終端使用范圍、禁止使用的移動終端功能等;(3)對企業(yè)移動終端設(shè)備進行統(tǒng)一登記管理;(4)禁止在企業(yè)重要工作場所(會議室、科研機構(gòu))打開智能移動終端的拍照、錄音等功能;(5)禁止在某些場合開啟藍(lán)牙、紅外、WIFI、無線上網(wǎng)和NFC等功能。

 

4 結(jié)束語

 

在本文中，首先對常見主流移動終端操作系統(tǒng)進行了介紹，并按操作系統(tǒng)種類分別對其安全現(xiàn)狀進行了簡要敘述;然后分析了目前移動終端普遍面臨的安全風(fēng)險;最后提出了對企業(yè)移動終端進行信息安全管理過程中要注意的幾個層面及安全措施。

 

智能移動終端近年來發(fā)展較快，并朝向易用性、系統(tǒng)復(fù)雜性同步提高的方向發(fā)展，這給企業(yè)信息安全管理提出了不小的挑戰(zhàn)。如何在保證企業(yè)移動終端用戶使用方便的前提下最大限度的保障企業(yè)信息安全成為了當(dāng)前企業(yè)必須認(rèn)真面對的課題。應(yīng)盡快參照國家信息安全等級保護制度，對于建立企業(yè)智能終端等級保護制度進行前沿探討，相關(guān)安全專業(yè)廠商也應(yīng)盡快制定和開發(fā)針對企業(yè)移動智能終端操作系統(tǒng)的安全評估方法和產(chǎn)品，并投入市場以解企業(yè)燃眉之急。

 

隨著信息攻防技術(shù)的不斷更新，企業(yè)智能終端應(yīng)用還將不斷面臨新的安全挑戰(zhàn)，解決企業(yè)智能終端安全問題任重而道遠(yuǎn)。

篇3

【關(guān)鍵詞】信息安全；防火墻；煙草

1.煙草行業(yè)信息安全發(fā)展背景

隨著國內(nèi)煙草行業(yè)的不斷發(fā)展，煙草信息化建設(shè)的步伐也不斷加快，建立在網(wǎng)絡(luò)架構(gòu)上的跨部門、跨企業(yè)、跨地區(qū)的行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)絡(luò)逐步建立健全，信息化各類應(yīng)用不斷深化，而另一方面，行業(yè)信息安全形勢不容樂觀，影響系統(tǒng)穩(wěn)定運行的因素不斷凸顯，因此，需要通過管理、技術(shù)等層面入手，采用先進可行的技術(shù)手段和管理理念，剪建成全面有效的一套信息安全體系，為整個工業(yè)公司業(yè)務(wù)的正常運行提供強有力的支持和保障。

2.構(gòu)建企業(yè)信息安全系統(tǒng)體系架構(gòu)

2.1企業(yè)信息安全系統(tǒng)體系架構(gòu)的定義

在各種風(fēng)險日趨復(fù)雜化的今天，企業(yè)的決策層希望能夠獲得有效的手段來管理和控制其責(zé)任范圍內(nèi)的各種風(fēng)險。他們需要了解安全風(fēng)險對信息系統(tǒng)以及相關(guān)業(yè)務(wù)所產(chǎn)生的潛在影響；需要獲得應(yīng)對這些風(fēng)險的快速有效的措施來保障相關(guān)業(yè)務(wù)的可用性和穩(wěn)定性。

企業(yè)信息安全系統(tǒng)體系架構(gòu)

企業(yè)信息安全系統(tǒng)體系架構(gòu)從上到下由安全治理、風(fēng)險管理及合規(guī)層，安全運維層和基礎(chǔ)安全服務(wù)和架構(gòu)層三個層次構(gòu)成。安全治理、風(fēng)險和合規(guī)作為企業(yè)信息安全系統(tǒng)體系架構(gòu)頂層的核心內(nèi)容，是第二層安全運維的服務(wù)對象，同時，它們也是企業(yè)信息安全策略制定的基礎(chǔ)和依據(jù)。基礎(chǔ)安全服務(wù)和架構(gòu)層是企業(yè)信息安全建設(shè)技術(shù)需求和功能的實現(xiàn)者。是企業(yè)信息安全建設(shè)的重要支柱。

中間的安全運維層則通過對信息安全基礎(chǔ)服務(wù)所提供的功能，結(jié)合安全運維管理的流程，來實現(xiàn)安全治理、風(fēng)險管理和合規(guī)的要求。

2.2企業(yè)信息安全系統(tǒng)體系架構(gòu)所遵從的安全標(biāo)準(zhǔn)和法規(guī)

符合信息安全管理體系（ISO/IEC27001）。

符合信息安全管理實施細(xì)則（ISO/IEC27002）。

符合內(nèi)控框架（如BS17799或COBIT）。

提供符合薩班斯（Sox）法案的支持。

符合GB/T 20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架。

符合GB/T 20282-2006 信息安全技術(shù)信息系統(tǒng)安全工程管理要求。

GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則。

GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型。

GB/T 19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全。

GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求。

GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。

3.項目實施前準(zhǔn)備

3.1機房環(huán)境要求

機房環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時。

相對濕度：40%～60%。

相對濕度變化率：2%/小時。

機房內(nèi)使用高架地板，必須滿足堅硬、防靜電等要求。

地板載重量必須大于500kg/m2。

海拔高度：

機房的裝修應(yīng)選擇防火材料，并應(yīng)有防塵措施。

3.2機房所需附加設(shè)備

溫度/濕度記錄儀、除塵器。

吸塵器、除濕器、冷氣機。

在有腐蝕性氣體的場所中加裝空氣過濾器。

拖鞋。

滅火器。

緊急停電照明設(shè)備。

不間斷電源，請參考本設(shè)計提供的設(shè)備耗電量選擇品質(zhì)優(yōu)良的產(chǎn)品。

3.3接地系統(tǒng)

配電箱與最終接地端應(yīng)以單獨絕緣導(dǎo)線相連；其線徑至少需與輸入端電源。

線路徑相同，接地電阻應(yīng)小于4Ω。

地線與零線之間所測的交流電應(yīng)小于1伏特。

3.4電源系統(tǒng)

電壓：220 V（190～240）。

頻率：47～63Hz。

其他單一諧波不得高于3%。

3.5不間斷電源

UPS系統(tǒng)容量應(yīng)>=1.3倍設(shè)備總耗電量。

勿將機房電源與下列設(shè)備共用同一電源或同一電線，以避免受到干擾，例如大型電梯、升降機、窗型冷氣機、復(fù)印機等。

請在機房使用適當(dāng)數(shù)量的普通維護插座，以提供維修人員使用，且此維護插座不能與電源系統(tǒng)共用電源。

配電箱的位置應(yīng)盡量靠近機房且便于操作。

3.6空調(diào)系統(tǒng)

3.6.1環(huán)境溫濕度的要求如下：

溫度：18°C～24°C。

溫度變化率：2°C/小時。

相對濕度：40%～60%（不結(jié)霜）。

相對濕度變化率：2%/小時。

3.6.2機房冷卻系統(tǒng)容量計算：

總安全量=（設(shè)備散熱量+環(huán)境散熱量）*130%（未包括未來擴充設(shè)備容量）。

環(huán)境散熱量，簡單的以每平方米600BTU/小時預(yù)估（不含操作員）。

所需冷氣量=總安全量（BTU/小時÷8500BTU/小時）。

3.7機房防火要求

安裝本設(shè)備的機房應(yīng)符合國家二級防火標(biāo)準(zhǔn)的建筑物。

3.8機房安全

機房安全關(guān)系到國家財產(chǎn)和保證通信系統(tǒng)正常運行，應(yīng)有現(xiàn)代化的監(jiān)控技術(shù)對機房進行自動化監(jiān)視；它可同時監(jiān)視機房的溫度、濕度、煙霧、門窗和可遙控空調(diào)機等功能。

4.工程進度表 （下轉(zhuǎn)第428頁）

（上接第403頁）4.1工程進度表

按照本公司信息安全工程的需求以及結(jié)合公司信息安全系統(tǒng)的工程實施情況，從充分保證信息安全工程質(zhì)量的角度出發(fā)考慮，制定出工程進度安排。

4.2項目組織結(jié)構(gòu)

項目經(jīng)理：項目質(zhì)量控制組、項目籌備組、技術(shù)實施團隊、技術(shù)支持團隊和項目驗收組。

4.3項目實施工作方法

4.3.1決策制度，決策包括以下幾個原則

（1）項目經(jīng)理首先決策原則。

對于項目實施過程中的日常工作，一般由項目經(jīng)理加以決策，然后提交給用戶項目領(lǐng)導(dǎo)小組、黑龍江煙草工業(yè)有限責(zé)任公司信息安全項目項目經(jīng)理部，一般在2天之內(nèi)，如果沒有任何一方提出異議，則該決定生效，此異議應(yīng)以書面方式表達(dá)。

（2）最高權(quán)力機構(gòu)準(zhǔn)則。

領(lǐng)導(dǎo)決策組是項目實施過程中的最高決策機構(gòu)，對重大問題具有決策權(quán)。

（3）決策書面準(zhǔn)則。

一切決策均應(yīng)有書面文件，并且在項目文檔管理組備案。

4.3.2交流制度

（1）問題及早提出準(zhǔn)則。

（2）及時澄清準(zhǔn)則。

（3）提醒道義準(zhǔn)則。

還有例會制度以及問題與爭議管理方法等具體措施。

5.根據(jù)企業(yè)實際情況來制定信息安全規(guī)劃的實施

5.1企業(yè)網(wǎng)絡(luò)邊界和主干設(shè)備威脅控制（網(wǎng)絡(luò)安全）的實施

分為：多功能安全網(wǎng)關(guān)系統(tǒng)的實施、網(wǎng)絡(luò)攻擊阻斷防護系統(tǒng)的實施和準(zhǔn)入控制系統(tǒng)的實施。

5.2企業(yè)網(wǎng)內(nèi)部安全監(jiān)控和服務(wù)器區(qū)安全防御（主機安全）的實施

5.2.1網(wǎng)頁防篡改系統(tǒng)的實施

目前，大部分網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（CMS）來管理網(wǎng)頁產(chǎn)生的全過程，包括網(wǎng)頁的編輯、審核、簽發(fā)和合成等。

5.2.2運維審核系統(tǒng)的實施

運維安全審計系統(tǒng)采用協(xié)議方式對各種維護協(xié)議進行轉(zhuǎn)發(fā)，并在轉(zhuǎn)發(fā)的過程中分別模擬了協(xié)議的客戶端與服務(wù)端。

6.實施情況及后續(xù)工作計劃

其實對于企業(yè)來說，一次性完成所有的工作是不現(xiàn)實的，信息安全系統(tǒng)的建立投入較大，對人員素質(zhì)和技術(shù)要求較高，企業(yè)員工也無法立刻適應(yīng)規(guī)范的工作流程，信息安全系統(tǒng)的建立是一個長期而漫長的過程，我們應(yīng)逐步完善自己的信息安全系統(tǒng)，更好完成企業(yè)目標(biāo)。針對這種狀況，我們認(rèn)為較為科學(xué)和現(xiàn)實的實現(xiàn)企業(yè)信息安全系統(tǒng)應(yīng)該分步，分級逐步完善，先從基礎(chǔ)安全服務(wù)和構(gòu)架入手，逐步完善企業(yè)信息安全系統(tǒng)，在完成基礎(chǔ)安全服務(wù)和構(gòu)架后實現(xiàn)安全運維系統(tǒng)的建立，通過培訓(xùn)和自我學(xué)習(xí)，最終配合完成安全治理、風(fēng)險管理和合規(guī)建設(shè)任務(wù)，爭取在兩到三年內(nèi)達(dá)成最終目標(biāo)。

【參考文獻】

[1]劉潤平，萬佩真.企業(yè)網(wǎng)絡(luò)安全問題與對策[J].企業(yè)經(jīng)濟，2010，（7）：53-55.

篇4

【關(guān)鍵詞】信息安全管理；保險企業(yè)；體系構(gòu)建

0.引言

保險企業(yè)的計算機信息安全管理給企業(yè)自身的發(fā)展帶來了非常多的好處，不僅能夠?qū)崿F(xiàn)企業(yè)辦公的自動化和信息化，同時也提高了企業(yè)的運營效率。保險企業(yè)的信息化主要是保險企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ)，在一定的深度和廣度上利用計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫技術(shù)，控制和集成化管理企業(yè)生產(chǎn)經(jīng)營活動中的各種信息，實現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用，以提高企業(yè)的經(jīng)濟效益和市場競爭力。從目前的保險企業(yè)來看，很多企業(yè)都已經(jīng)開發(fā)了適合自己企業(yè)的計算機信息系統(tǒng)來滿足企業(yè)的運轉(zhuǎn)，企業(yè)通過開發(fā)計算機信息系統(tǒng)平臺，提高了自身產(chǎn)品、經(jīng)營、管理、決策的效率和水平，進而提高了企業(yè)的經(jīng)濟效益和競爭力。同時，我們也要注意到，保險企業(yè)開發(fā)計算機信息系統(tǒng)是好事情，但是如果忽略了對計算機信息安全的管理，就將是個大問題。在如今，計算機信息安全性對于保險企業(yè)來說比開發(fā)系統(tǒng)更為重要，企業(yè)一旦出現(xiàn)信息安全問題，后果不堪設(shè)想。有最新的數(shù)據(jù)表明，計算機病毒和黑客攻擊已經(jīng)給國民經(jīng)濟和企業(yè)造成了難以估量的損失。所以，保險企業(yè)計算機信息安全管理的體系構(gòu)建迫在眉睫，必須要引起高度重視。

1.保險企業(yè)信息安全管理的現(xiàn)狀

計算機信息安全問題不是保險企業(yè)才存在的問題，是全球企業(yè)都存在的普遍問題，越發(fā)達(dá)的地區(qū)，信息安全存在的隱患越多。一方面，現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非?？?，信息技術(shù)的日趨完善，出現(xiàn)了很多的惡意攻擊工具，再加上信息系統(tǒng)本身的漏洞，讓一些破壞分子更是有機可乘；從另外一個角度來看，企業(yè)自身對信息安全管理不重視，也是導(dǎo)致出現(xiàn)信息安全問題的首要原因之一。近年來，保險行業(yè)處于高速發(fā)展的時期，暴露出的問題也相對比較多，我們應(yīng)該重視起來。下面列出了當(dāng)前的保險企業(yè)在信息安全管理上存在的主要幾點問題：

1.1沒有相關(guān)的法規(guī)來約束

與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多，但尚未形成一個較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行。因此，保險行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無體系化，導(dǎo)致保險企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2沒有引起足夠的重視

很多保險企業(yè)的管理層對信息安全管理不太關(guān)注，不夠重視，沒有投入足夠的人力、物力和財力去管理。大部分保險企業(yè)在公司治理上重點關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展，銷售策略調(diào)整，組織結(jié)構(gòu)和運營流程的優(yōu)化等，對信息安全管理不太重視，不太相信信息安全問題能給企業(yè)會帶來嚴(yán)重危機，直到發(fā)生了信息安全事件后之后才開始重視。因此，保險企業(yè)必須在公司日常治理中投入足夠的時間和精力去完善企業(yè)的信息安全管理體系。

1.3對存在的風(fēng)險評估不夠

很多保險企業(yè)在設(shè)計搭建相關(guān)信息系統(tǒng)的時候?qū)Υ嬖诘娘L(fēng)險評估不夠，沒有充分考慮到信息化所帶來的安全風(fēng)險，通常只是考慮到信息技術(shù)問題，對于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問題欠缺考慮。其實對信息系統(tǒng)安全風(fēng)險不做評估或評估不充分，都會帶來嚴(yán)重的后果，一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時，系統(tǒng)受到破壞，正常的業(yè)務(wù)操作無法進行，嚴(yán)重的可能會導(dǎo)致企業(yè)內(nèi)部機密、客戶個人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以，保險企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來的安全問題的。

1.4沒有制定相應(yīng)的安全管理條例，無明確責(zé)任劃分

保險企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問題，和企業(yè)沒有制定相應(yīng)的安全管理制度，沒有明確責(zé)任劃分等有很大的關(guān)系。沒有相關(guān)的信息安全管理制度去制約，出了信息安全問題以后的責(zé)任劃分不清晰，長此以往，信息安全問題的監(jiān)管就會出很大的漏洞，也很難形成一個可控的信息安全管理體系。保險企業(yè)的信息安全管理應(yīng)該是整個企業(yè)員工共同面對的問題，而不是企業(yè)某個部門或者某些個人能夠決定的事情。保險企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分，每個部門都應(yīng)該有信息安全的負(fù)責(zé)人，出了問題要做到有人承擔(dān)，如果不這樣的話就會影響到信息安全管理體系的構(gòu)建，成為企業(yè)信息安全管理的絆腳石。

所以，針對以上種種問題和現(xiàn)狀，保險企業(yè)必須要形成一個良好的信息安全管理體系，這樣才能從根本上解決問題，發(fā)揮信息化建設(shè)的作用，保障企業(yè)的計算機信息安全。

2.保險企業(yè)計算機信息安全管理的體系構(gòu)建

2.1掌握安全管理標(biāo)準(zhǔn)，構(gòu)建安全管理基本框架

要熟悉掌握信息安全管理標(biāo)準(zhǔn)，對信息技術(shù)的安全管理標(biāo)準(zhǔn)要進行不斷深入的理解，不能僅僅考慮到信息技術(shù)，而忽視了信息安全管理。國際上對安全管理研究已經(jīng)取得了一定的成果，推出了信息安全標(biāo)準(zhǔn)，成立了信息安全標(biāo)準(zhǔn)化組織，搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國，雖然信息安全的研究起步比較晚，但是也在不斷的完善中，已經(jīng)制定了適合我國國情的信息安全管理標(biāo)準(zhǔn)。我國提出的關(guān)于《計算機信息安全保護等級劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn)，主要把信息安全劃分成自主保護級、系統(tǒng)審核保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級等五個安全程度不同的安全等級，根據(jù)這五級標(biāo)準(zhǔn)，也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以，保險企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn)，構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架，這對于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。

2.2實現(xiàn)科學(xué)的信息安全管理

保險企業(yè)要實現(xiàn)科學(xué)的信息安全管理，不能不考慮信息安全影響而隨意的進行信息管理。保險企業(yè)的信息安全管理應(yīng)該要包括對機構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場地設(shè)施安全管理。保險企業(yè)需要采用一些科學(xué)的方法，如科學(xué)化企業(yè)信息資產(chǎn)評估和風(fēng)險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型等，建立科學(xué)的可實施的計算機系統(tǒng)安全策略，采取規(guī)范的安全防范措施，選用可靠穩(wěn)定的安全產(chǎn)品，設(shè)計完善的安全評估標(biāo)準(zhǔn)和等級，實施有效的審核措施等來實現(xiàn)對信息的安全管理。

2.3進行有效的安全風(fēng)險評估

保險企業(yè)在搭建信息化平臺的時候，必須要進行安全風(fēng)險的評估，沒有風(fēng)險的評估是很難實現(xiàn)信息安全管理的。同時，還需要在對信息安全風(fēng)險的評估中制定出風(fēng)險的應(yīng)對方案，便于應(yīng)對突發(fā)問題，從最大程度上保證信息的安全。

2.4合理配置安全產(chǎn)品

對于評估出來的風(fēng)險，保險企業(yè)可以對信息系統(tǒng)配置一些安全產(chǎn)品來規(guī)避信息安全風(fēng)險。比如說系統(tǒng)存在一些漏洞，這些漏洞很容易受病毒的攻擊，那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來防止病毒的侵入。在配置產(chǎn)品的時候需要注意配置的合理性，不能什么安全產(chǎn)品都去配置，要通過最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。

【參考文獻】

[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷，2011（06）.

[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護方案的研究[J].鐵道運輸與經(jīng)濟，2006（11）.

[3]苗亮.計算機網(wǎng)絡(luò)可靠性的研究[J].機械工程與自動化，2010（03）.

篇5

關(guān)鍵詞：安全文化；電力信息；信息安全；人員崗位調(diào)動；存儲介質(zhì)；計算機互聯(lián)網(wǎng)

中圖分類號：F273 文獻標(biāo)識碼：A 文章編號：1009-2374（2013）04-0152-03

伴隨信息技術(shù)的發(fā)展，電力企業(yè)的信息化程度越來越高。網(wǎng)絡(luò)與信息系統(tǒng)有效支撐了公司各項業(yè)務(wù)的開展，全面提高了電網(wǎng)安全、生產(chǎn)效率和服務(wù)質(zhì)量，其基礎(chǔ)性、全局性、全員性作用日益增強。信息安全作為信息化深入推進的重要保障，與電網(wǎng)安全生產(chǎn)密切相關(guān)，對公司生產(chǎn)、經(jīng)營、管理工作有重要意義，對電網(wǎng)安全有著重大影響，面臨的形勢嚴(yán)峻。

培育全員安全文化，要堅持“安全第一，預(yù)防為主，綜合治理”的方針，牢固樹立安全發(fā)展、健康發(fā)展的理念。在信息安全管理中要堅持“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”原則，堅決執(zhí)行各項規(guī)章制度，不斷提升人員信息安全和保密意識，全面保障電力企業(yè)信息安全。

1 影響信息安全的人為因素分析

1.1 員工崗位調(diào)動帶來的信息安全風(fēng)險

由于工作需要，經(jīng)常發(fā)生人員崗位調(diào)動的情況，尤其是在“三集五大”體系建設(shè)過程中，員工崗位調(diào)動較多。一方面，崗位的調(diào)動必然帶來相關(guān)信息系統(tǒng)權(quán)限的變更，但在實際操作中，往往是信息系統(tǒng)權(quán)限的變更遠(yuǎn)遠(yuǎn)滯后于崗位變動，給信息系統(tǒng)帶來安全風(fēng)險。另一方面，崗位交接過程如不嚴(yán)格把關(guān)，會產(chǎn)生企業(yè)生產(chǎn)、管理等信息丟失的風(fēng)險。

1.2 未嚴(yán)格執(zhí)行信息安全規(guī)章制度

企業(yè)員工信息安全意識淡薄、疏于防范，對已知的信息安全風(fēng)險存在僥幸的心理，一些人員不遵循企業(yè)的信息安全規(guī)章制度，出現(xiàn)如計算機弱口令、無屏?；蚱帘r間過長、未關(guān)閉不必要的服務(wù)等現(xiàn)象，信息安全保密意識淡薄，對違規(guī)操作明知故犯。

1.3 員工抵觸情緒產(chǎn)生的計算機“裸奔”隱患

企業(yè)要求必須安裝指定的防病毒軟件和桌面管控系統(tǒng)，因此會造成計算機運行速度變慢，使用性能下降，部分員工主觀上不愿接受技術(shù)防范安全管理，造成部分安全產(chǎn)品客戶端軟件安裝不全，甚至出現(xiàn)沒有安裝的現(xiàn)象，使得計算機出現(xiàn)“裸奔”現(xiàn)象，成為計算機病毒、木馬等各種黑客軟件攻擊的對象。更為嚴(yán)重的是，這會給整個電力系統(tǒng)內(nèi)網(wǎng)帶來安全威脅。

1.4 內(nèi)網(wǎng)計算機存在違規(guī)外聯(lián)隱患

部分員工通過USB接口將手機接入內(nèi)網(wǎng)計算機，給手機充電或?qū)⑹謾C上的照片導(dǎo)入計算機，導(dǎo)致違規(guī)外聯(lián)；還有極個別員工企圖用內(nèi)網(wǎng)計算機插入無線網(wǎng)卡或直接接入互聯(lián)網(wǎng)下載資料、升級軟件等，同樣導(dǎo)致違規(guī)外聯(lián)。目前還存在對外來人員和新進人員的宣傳教育不足，造成這些人員使用內(nèi)網(wǎng)計算機時構(gòu)成違規(guī)外聯(lián)的安全隱患。

1.5 安全移動存儲介質(zhì)使用中的安全隱患

部分員工在使用安全移動存儲介質(zhì)時，未按要求進行注冊或未修改初始密碼，在企業(yè)信息內(nèi)外網(wǎng)間及因特網(wǎng)數(shù)據(jù)交換的過程中，未將涉及企業(yè)秘密的信息放在保密區(qū)。同時還存在將安全移動存儲介質(zhì)隨意亂放，安全移動存儲介質(zhì)的維修工作由非專業(yè)技術(shù)人員負(fù)責(zé)，出現(xiàn)故障報廢的存儲介質(zhì)未及時銷毀等現(xiàn)象。

1.6 筆記本電腦使用中的安全隱患

部分員工由于工作需要在筆記本電腦上處理、存儲工作信息，在用完后未及時刪除重要信息，造成信息泄露，或筆記本電腦故障外送維修時，未考慮到是否存有或工作信息，忽略監(jiān)督維修過程，從而構(gòu)成了泄密隱患。

1.7 員工的無意失誤

人為的無意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強、用戶口令選擇不慎、用戶將自己的帳號密碼隨意轉(zhuǎn)借他人等都會給網(wǎng)絡(luò)信息安全帶來威脅。

2 培育全員安全文化的途徑

2.1 加強機構(gòu)變動及人員崗位調(diào)動后信息安全管理

嚴(yán)格做好機構(gòu)變動、人員崗位調(diào)動后的信息安全管理工作，確保信息網(wǎng)絡(luò)設(shè)備安全運行。一方面加強對制度的宣貫。機構(gòu)變動后要及時組織全員學(xué)習(xí)相關(guān)信息網(wǎng)絡(luò)安全管理制度，要求全員嚴(yán)格遵守信息安全相關(guān)規(guī)定。另一方面及時梳理更新用戶。根據(jù)人員調(diào)動情況，對內(nèi)網(wǎng)終端計算機用戶進行排查，及時增加新用戶，刪除崗位調(diào)離的用戶，在新計算機入網(wǎng)前，要按照計算機管理辦法履行接入申請手續(xù)后方可接入信息內(nèi)網(wǎng)，并按照計算機管理辦法和計算機加固指南，對原有用戶或原計算機先進行注銷，后進行注冊，確保信息安全管理規(guī)范、有序進行。

2.2 加強安全組織管理，提高全員信息安全意識

要切實提高對信息安全管理工作的認(rèn)識，充分發(fā)揮安全組織機構(gòu)的管理作用，進一步強化三級安全生產(chǎn)責(zé)任制度，安全生產(chǎn)工作做到逐級負(fù)責(zé)、落實到人，提高全員信息安全意識。首先，要成立信息安全領(lǐng)導(dǎo)小組，根據(jù)工作需要及崗位的變化，適時調(diào)整小組成員，定期召開領(lǐng)導(dǎo)小組會議，解決信息安全工作中遇到的問題。其次，要設(shè)立信息安全專職管理員，規(guī)定相應(yīng)的崗位職責(zé)，明確信息安全工作要求，為信息安全管理提供制度保障。最后，要明確各級員工的信息安全職責(zé)，并由信息部門定期開展信息安全檢查，促使其規(guī)范地使用計算機。

2.3 重視信息安全管理制度的完善與落實

企業(yè)管理制度是基于企業(yè)組織結(jié)構(gòu)之下的，企業(yè)為求得利益最大化，在生產(chǎn)與經(jīng)營實踐活動中制定的強制性規(guī)范。信息安全管理制度是電力企業(yè)管理制度的重要組成部分，是實現(xiàn)企業(yè)安全目標(biāo)的強制性措施，是員工從事安全生產(chǎn)的行為規(guī)范。重視企業(yè)信息安全文化建設(shè)就要重視信息安全管理制度的完善與落實。

2.4 定期開展信息安全檢查，促進企業(yè)信息安全

定期開展信息安全檢查是促進企業(yè)信息安全管理的有效途徑之一。在信息安全管理中要加強日常檢查和指導(dǎo)，并定期地開展各項綜合檢查和專項檢查，使各項規(guī)章制度滲透到日常的工作中，從而強化規(guī)章制度的約束力。通過檢查，及時發(fā)現(xiàn)信息安全隱患，積極采取有效措施，及時清除安全隱患，促使員工不斷提高信息安全的意識，自覺有效地降低人為的信息安全風(fēng)險，將可能出現(xiàn)的信息安全事件消滅在萌芽狀態(tài)。

2.5 建立信息安全培訓(xùn)長效機制

信息安全管理應(yīng)建立信息安全培訓(xùn)的長效機制，保證信息安全管理的動態(tài)推進和持續(xù)改進。每年要制定切合實際的信息安全培訓(xùn)計劃，并把安全培訓(xùn)與技能培訓(xùn)結(jié)合起來，以安全培訓(xùn)為契機，提高員工隊伍的整體安全文化意識。培訓(xùn)內(nèi)容除有關(guān)安全知識和技能外，還應(yīng)包括對嚴(yán)格遵守安全規(guī)范的理解以及個人安全職責(zé)的重要意義等。

2.6 加強宣傳，營造“保障信息安全人人有責(zé)”的良好氛圍

信息運維人員在日常運維工作中，要堅持服務(wù)與傳授計算機應(yīng)用知識相結(jié)合，不斷提高全員計算機操作水平。另外還可以利用公告、網(wǎng)站、協(xié)同辦公平臺、手機短信等多種方式加強宣傳，有針對性地宣傳上級有關(guān)信息安全的工作方針、政策；有選擇性地公告一些安全技術(shù)、安全常識、事故案例等，供企業(yè)員工討論學(xué)習(xí)，使員工真正認(rèn)識到信息安全的重要性，努力營造“保障信息安全人人有責(zé)”的良好氛圍，讓全員為信息安全風(fēng)險防范構(gòu)筑一道堅實的職業(yè)道德防護屏障。

2.7 加強計算機實體安全管理

加強對計算機實體的管理，防止信息資料的泄露。加強密碼與口令管理，密碼設(shè)置必須符合安全要求并定期更換，確保口令、密碼的有效性。注重計算機病毒的檢測與防治，及時安裝操作系統(tǒng)和應(yīng)用程序漏洞補丁程序，安裝桌面管控、防病毒等必需的信息安全產(chǎn)品，堅決杜絕內(nèi)網(wǎng)計算機以任何形式的違規(guī)外聯(lián)。

3 結(jié)語

建立信息安全文化意味著每一個員工都是保證安全的重要執(zhí)行者，要增強網(wǎng)絡(luò)與信息系統(tǒng)的安全，知道相關(guān)的安全風(fēng)險和防范措施，并承擔(dān)責(zé)任和采取措施。不能僅僅把信息安全視為技術(shù)層面的概念，而應(yīng)當(dāng)把它深化到全員意識中，將信息安全文化融入到員工的日常工作中，全面普及信息安全文化，只有這樣才能為電力安全文化建設(shè)打下堅實的基礎(chǔ)。

參考文獻

[1] 劉燕輝，李南陽.全員安全文化是保障信息安全的有效手段[J].金融科技時代，2011，（10）：72-74.

[2] 王淑英.加強安全文化建設(shè) 提升安全管理水平[J].企業(yè)研究，2011，（8）：61-63.

篇6

關(guān)鍵詞：信息 安全 現(xiàn)狀分析 存在問題 防控措施

隨著國家電網(wǎng)公司信息化戰(zhàn)略的部署和資金、技術(shù)的投入，縣級供電企業(yè)的信息化建設(shè)水平得到了很快的提升，供電企業(yè)的生產(chǎn)調(diào)度和經(jīng)營管理對計算機和網(wǎng)絡(luò)信息系統(tǒng)的依賴程度也越來越強，甚至，離開了信息系統(tǒng)的支撐，日常的生產(chǎn)、經(jīng)營、管理活動已經(jīng)不能順利進行。但是，需要引起重視的是，縣級供電企業(yè)在信息化躍進過程中，在人員、設(shè)備、技術(shù)和管理中的不足，使信息安全面臨的風(fēng)險也在日益突出。

一、信息安全風(fēng)險

信息作為一種特殊資源與其它資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導(dǎo)致信息系統(tǒng)的不安全性。

信息安全包括以下內(nèi)容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進行否認(rèn)；可審查性，對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

縣級供電公司信息安全的風(fēng)險有內(nèi)部的，也有外部的。內(nèi)部的表現(xiàn)為：網(wǎng)絡(luò)故障、應(yīng)用系統(tǒng)故障等；外部的表現(xiàn)為：網(wǎng)絡(luò)入侵、外部泄密等。內(nèi)、外部網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動機，對電力企業(yè)網(wǎng)絡(luò)上連接的計算機系統(tǒng)和設(shè)備進行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取商業(yè)秘密和機密信息，非法使用網(wǎng)絡(luò)資源等，將給企業(yè)造成巨大的損失。

二、信息化網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀分析

在網(wǎng)絡(luò)硬件方面，已經(jīng)建成CISCO7603、CISCO4507R為主交換機，主干為千兆的以太網(wǎng)。上聯(lián)網(wǎng)絡(luò)連接升級為光纖通信為主，以太網(wǎng)2M為備用的方式。建成了覆蓋全公司20多個鄉(xiāng)鎮(zhèn)供電所及變電所的農(nóng)村信息網(wǎng)。實現(xiàn)百兆到桌面、三層交換、VLAN等技術(shù)普及使用。主要分為兩類網(wǎng)絡(luò)系統(tǒng)，一類是實時系統(tǒng)，有調(diào)度自動化系統(tǒng)、設(shè)備監(jiān)控操作系統(tǒng)；另一類是非實時的辦公自動化應(yīng)用系統(tǒng)、電能量采集系統(tǒng)、集中抄表系統(tǒng)。兩類網(wǎng)絡(luò)系統(tǒng)是物理隔離，分網(wǎng)運行的。

在軟件方面，各應(yīng)用主要包括調(diào)度自動化系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)等。計算機及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)等各個領(lǐng)域有著十分廣泛的應(yīng)用，為安全生產(chǎn)、降低成本等方面取得了明顯的社會效益和經(jīng)濟效益。

三、信息安全現(xiàn)狀分析

按照省、市公司信息化工作的統(tǒng)一部署，我公司信息系統(tǒng)已經(jīng)初步建立其安全體系，將電力信息網(wǎng)絡(luò)和電力運行實時控制網(wǎng)絡(luò)進行了物理隔離。按江蘇省電力公司系統(tǒng)集成、數(shù)據(jù)集中要求，調(diào)度系統(tǒng)、電力營銷等核心數(shù)據(jù)都集中在省市公司管理，對公司網(wǎng)站、NOTES、下屬企業(yè)財務(wù)數(shù)據(jù)都建立了備份策略和容錯措施。企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)采取了嚴(yán)格的隔離措施，嚴(yán)防內(nèi)外網(wǎng)機器混用造成信息外聯(lián)。信息網(wǎng)絡(luò)按業(yè)務(wù)劃分了10個VLAN，設(shè)置了訪問控制。采取了統(tǒng)一的域名管理，與市公司共享操作系統(tǒng)LiveUpdate系統(tǒng)，及時派發(fā)更新程序，堵塞操作系統(tǒng)漏洞。部署了symantec防病毒軟件，通過派發(fā)的形式對整個網(wǎng)絡(luò)部署查、殺毒。全面應(yīng)用了國網(wǎng)桌面終端管理系統(tǒng)，實時監(jiān)控客戶端的異常情況。采用了國網(wǎng)移動存儲介質(zhì)管理系統(tǒng)，加強對移動存儲介質(zhì)的管理。

但是客觀來說，縣級供電企業(yè)在信息安全管理上人員、技術(shù)薄弱，職工信息安全意識不到位，管理流程上存在疏漏，給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。

四、信息安全存在的問題

1、操作系統(tǒng)及網(wǎng)絡(luò)安全問題。

目前，電力企業(yè)信息網(wǎng)絡(luò)中使用的硬件設(shè)備及操作系統(tǒng)的核心技術(shù)基本上來自國外，被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”，網(wǎng)絡(luò)安全處于被竊聽、干擾等多種信息安全威脅的脆弱的狀態(tài)。同時，縣級供電企業(yè)的操作系統(tǒng)大部分缺乏正版保護，難以得到有效升級和修補，難免受到“木馬”與“后門”的威脅；用戶習(xí)慣于默認(rèn)密碼或管理者設(shè)置的初始密碼，較容易被他人破解；操作系統(tǒng)不安全的默認(rèn)設(shè)置、共享等都可能給非法入侵提供方便。對于網(wǎng)絡(luò)設(shè)備，用戶使用tracert等工具較容易獲知核心交換機的IP地址，如果管理端口不加限制，使用空密碼，明文密碼或默認(rèn)密碼，交換設(shè)備有被惡意控制的可能。局域網(wǎng)絡(luò)布點缺乏有效的規(guī)劃和管理，對使用普通交換機隨意串接，甚至使用無線路由串入，缺乏偵控手段，同時對計算機設(shè)備接入也缺乏有效的審查管理,內(nèi)網(wǎng)外聯(lián)風(fēng)險比較突出。

2、應(yīng)用系統(tǒng)用戶身份認(rèn)證和訪問控制急需加強。企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，包含的信息和數(shù)據(jù)，也只對一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設(shè)計了用戶管理功能，在系統(tǒng)中建立用戶，設(shè)置權(quán)限，管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強系統(tǒng)的安全性。但在實際應(yīng)用中仍然存在一些問題。

一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單，不能靈活實現(xiàn)更細(xì)的權(quán)限控制。二是各應(yīng)用系統(tǒng)之間沒有一個統(tǒng)一的用戶管理，使用起來非常不方便，更不用說賬號的有效管理和安全了。三是用戶安全意識不強，習(xí)慣于默認(rèn)密碼或管理者設(shè)置的初始密碼。應(yīng)用系統(tǒng)人員變換后，延用以前的密碼，疏于更換帳號與口令。習(xí)慣于使用“保存賬號”、“保存密碼”的方式登陸應(yīng)用系統(tǒng)。

3、木馬與病毒問題。

隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡(luò)環(huán)境的壯大和企業(yè)網(wǎng)絡(luò)應(yīng)用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復(fù)雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡(luò)環(huán)境為病毒傳播、生存提供了環(huán)境。同時，黑客攻擊的風(fēng)險增大。黑客利用計算機系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫等方面的漏洞和缺陷，采用破解口令、天窗等于段侵入計算機系統(tǒng)，進行信息破壞或占用系統(tǒng)資源，使得用戶無法使用自己的機器。非正版保護的操作系統(tǒng)和應(yīng)用軟件的使用，為木馬與病毒的植入及黑客攻擊提供了可能；部分客戶機的操作系統(tǒng)和防病毒軟件未能及時得到升級，系統(tǒng)用戶在使用移動介質(zhì)在外網(wǎng)和內(nèi)網(wǎng)之間交換數(shù)據(jù)時，很容易攜入木馬與病毒，使之成為發(fā)動攻擊的肉雞。

4、存儲介質(zhì)管理問題。

目前，縣級供電公司雖然推廣使用了國家電網(wǎng)移動存儲介質(zhì)管理系統(tǒng)，但是在使用中仍存在三種信息失密可能：一是用戶習(xí)慣使用注冊時的默認(rèn)密碼，不加以個性化更改，這樣移動介質(zhì)被他人獲取后很容易被破解，使數(shù)據(jù)泄密。二是部分用戶在移動存儲介質(zhì)注冊時，為圖使用方便，劃分出自由區(qū)域，在實際使用時，繞過保密區(qū)登陸使用，將工作文檔存儲在自由區(qū)，如此使用移動介質(zhì)，毫無保密可言，極易形成信息外泄；移動存儲介質(zhì)的交叉使用，也可能造成信息內(nèi)部失密。另外，機器維修也需加強管理，目前，縣級供電公司基本上計算機專職配置為1人，需要管理300臺左右的機器和龐大的局域網(wǎng)絡(luò)，基本上是疲于應(yīng)付，計算機故障處理、系統(tǒng)重裝等一般外包給社會電腦門市，將單機信息保密工作寄托于維修商的良知，風(fēng)險極大。

5、數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。

電力系統(tǒng)計算機網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質(zhì)的人可以讀出這些信息；黑客可以繞過應(yīng)用系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。

五、針對信息安全漏洞的防控措施

1、加強信息安全教育。應(yīng)該將信息納入到供電企業(yè)安全管理中，并與生產(chǎn)安全置于同等重要的位置，長效管理，常抓常新。為了保證安全的成功和有效，信息主管部門應(yīng)當(dāng)對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓(xùn)。特別是對基層班組和供電所信息用戶，應(yīng)用能力相對薄弱，亟需開展定期的應(yīng)用能力培訓(xùn)和考核。所有的職工必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略，明確其對企業(yè)信息安全所承擔(dān)的職責(zé)和義務(wù)，要求能夠保證自己的計算機和相關(guān)應(yīng)用的安全。

2、加強密碼管理工作。對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等各類密碼要妥善治理，杜絕默認(rèn)密碼，出廠密碼，無密碼和容易猜測的密碼，防止非法用戶入侵使用。密碼要及時更新，特別是有職員調(diào)離時密碼一定要及時更新。減少應(yīng)用系統(tǒng)的賬號共用、通用。

3、加強信息介質(zhì)的管理。備份的介質(zhì)要防止丟失和被盜。移動存儲介質(zhì)注冊時要限制使用自由存儲區(qū)域，減少使用通用密碼。建立報廢的介質(zhì)的清除和銷毀制度，加強報廢介質(zhì)管理。增加計算機管理人員配備和加強計算機管理網(wǎng)絡(luò)建立，逐步減少外送維修，防范外修過程中存儲介質(zhì)信息的泄密。

4、加強設(shè)備技術(shù)投入。應(yīng)用先進的加密技術(shù)和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸?。引進進侵檢測系統(tǒng)提供企業(yè)級的安全檢測手段，最大限度地、全天候地實施網(wǎng)絡(luò)監(jiān)控。在事后分析的時候，可以清楚地界定責(zé)任人和責(zé)任事件，為網(wǎng)絡(luò)治理提供強有力的保障。建議取消DHCP服務(wù)，在交換設(shè)備上使用MAC地址與IP地址的綁定，加強接入內(nèi)網(wǎng)設(shè)備的有序管理。

5、加強內(nèi)網(wǎng)外聯(lián)治理。在管理上，加強內(nèi)網(wǎng)外聯(lián)知識與危害性的廣泛宣傳，對發(fā)生內(nèi)網(wǎng)外聯(lián)事件的人要嚴(yán)肅處理，捆綁考核。在技術(shù)上，內(nèi)、外網(wǎng)的設(shè)備接入要有明顯的物理隔離和標(biāo)志，防止誤操作的發(fā)生；杜絕計算機內(nèi)外網(wǎng)混用；嚴(yán)格防范ADSL等設(shè)備接入內(nèi)網(wǎng)終端。

6、加強信息責(zé)任制考核。要強化信息安全考核機制的執(zhí)行，對發(fā)生的信息安全事故或隱患，要通過技術(shù)手段追蹤到責(zé)任人，并按照四不放過的要求，組織分析調(diào)查，落實考核、落實整改措施，并舉一反三，深化對全體職工信息安全養(yǎng)成教育。

六、結(jié)束語

綜上所述，技術(shù)是信息安全的主體，管理是安全的靈魂，信息安全，三分技術(shù)，七分管理。只有將有效的安全管理實踐自始至終貫徹落實于信息安全工作當(dāng)中，信息安全的長期性和穩(wěn)定性才能有所保證。

參考文獻：

[1]劉立兵．淺談計算機網(wǎng)絡(luò)在電力系統(tǒng)的應(yīng)用及安全性

篇7

創(chuàng)旗總部位于上海，目前在山東、北京、廣州等均設(shè)有分公司，并擁有30多項完全自主知識產(chǎn)權(quán)和專利。公司作為上海市、山東省通信管理局系統(tǒng)合作開發(fā)單位，連續(xù)多年來為通信管理局開發(fā)部署網(wǎng)站備案業(yè)務(wù)管理系統(tǒng)，互聯(lián)網(wǎng)發(fā)展行業(yè)報告系統(tǒng)、互聯(lián)網(wǎng)行業(yè)監(jiān)管系統(tǒng)等，并獲得“上海市電信行業(yè)先進集體”榮譽稱號。

創(chuàng)旗秉承“應(yīng)用產(chǎn)生價值”的理念，為全國云服務(wù)商提供完善的互聯(lián)網(wǎng)信息安全解決方案，主要產(chǎn)品包括ICP/IP域名備案系統(tǒng)、 IDC信息安全管理系統(tǒng)、接入資源管理系統(tǒng)、IDC/ISP信息安全系統(tǒng)等。核心團隊已擁有15年云計算領(lǐng)域運營經(jīng)驗，并結(jié)合云計算實際業(yè)務(wù)流程對備案管理系統(tǒng)進行需求擴展，精簡優(yōu)化，成功應(yīng)用在各項業(yè)務(wù)運營中，大大提高了業(yè)務(wù)管理效率，極大地節(jié)約了運營成本。

創(chuàng)旗已經(jīng)為上千家IDC/ISP企業(yè)提供了多年的專業(yè)技術(shù)服務(wù)，客戶涵蓋政府、國企、上市公司、民營企業(yè)。其中知名客戶有：上海市通信管理局、山東省通信管理局、中國長城互聯(lián)網(wǎng)、中國電信、中國石油、中國石化、奇虎360、百度、騰訊、網(wǎng)宿科技、七牛、青云、金山云、寶信軟件、銀聯(lián)商務(wù)、世紀(jì)互聯(lián)、鵬博士、賽爾新技術(shù)、太平洋電信、高升控股等。

據(jù)CNNIC統(tǒng)計，截至2016年6月，中國網(wǎng)民數(shù)量已經(jīng)達(dá)7.1億人。移動互聯(lián)網(wǎng)用戶接近5 億，擁有全球最大的互聯(lián)網(wǎng)用戶基礎(chǔ)。電子商務(wù)、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等主要的商業(yè)模式都保持35%以上的行業(yè)增速，手游、移動廣告等主要的移動互聯(lián)網(wǎng)業(yè)務(wù)都保持50%以上的增速。互聯(lián)網(wǎng)正在滲透到各個行業(yè)，餐飲、零售、理財、商品、服務(wù)等各領(lǐng)域都在受到互聯(lián)網(wǎng)的影響，中國已經(jīng)成為一個實際的互聯(lián)網(wǎng)大國。

信息爆炸，加上垂直門戶、移動社區(qū)、社交平臺、短視頻等越來越豐富的網(wǎng)絡(luò)產(chǎn)品形態(tài)，產(chǎn)出的海量UGC內(nèi)容使得互聯(lián)網(wǎng)垃圾、有害信息空前增多，網(wǎng)絡(luò)內(nèi)容監(jiān)管形勢異常嚴(yán)峻。

網(wǎng)絡(luò)空間是億萬民眾共同的精神家園，應(yīng)加強網(wǎng)絡(luò)空間治理和網(wǎng)絡(luò)內(nèi)容建設(shè)，創(chuàng)旗使用先進的網(wǎng)絡(luò)技術(shù)手段及時檢測、識別大量的不良信息，對凈化網(wǎng)絡(luò)，還網(wǎng)絡(luò)空間“天朗氣清、生態(tài)良好”的氛圍將具有積極作用。另一個方面IT環(huán)境日趨復(fù)雜和新技術(shù)的不斷涌現(xiàn)對信息安全提出了更高的要求。

大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等新興技術(shù)不斷發(fā)展和應(yīng)用，使得信息的獲取方式、存儲形態(tài)、傳輸渠道和處理方式都發(fā)生了質(zhì)的變化。與此同時，用戶數(shù)量爆炸性增長、數(shù)據(jù)的快速海量膨脹。

針對以上復(fù)雜情況，創(chuàng)旗信息安全產(chǎn)品具備更強的數(shù)據(jù)采集、處理與分析能力、更高的智能化水平甚至學(xué)習(xí)能力。創(chuàng)旗信息安全即服務(wù)的理念，將促使企業(yè)信息安全產(chǎn)品的形態(tài)不斷變化，信息安全產(chǎn)品和設(shè)備之間加快融合。

篇8

【關(guān)鍵詞】　電信；數(shù)據(jù)倉庫；數(shù)據(jù)審計；內(nèi)部安全

近年來，隨著信息技術(shù)的大規(guī)模使用，國內(nèi)電信企業(yè)信息安全問題凸顯，移動充值卡破解、電信計費數(shù)據(jù)庫清零等各類事件，使我們認(rèn)識到，電信行業(yè)內(nèi)業(yè)務(wù)系統(tǒng)的信息安全治理問題已經(jīng)成為了當(dāng)前的一道難題。從這個角度來看，本文對電信企業(yè)數(shù)據(jù)庫審計以及內(nèi)部安全問題進行研究具有一定的現(xiàn)實意義。

1電信企業(yè)數(shù)據(jù)庫安全現(xiàn)狀

電信行業(yè)的信息化提高了企業(yè)的工作效率，也提升了電信企業(yè)的服務(wù)質(zhì)量。但是，由于當(dāng)前電信企業(yè)的數(shù)據(jù)庫普遍采用的是傳統(tǒng)的安全防范技術(shù)，過分強調(diào)單個安全產(chǎn)品的重要性，比如對防火墻的性能以及功能過分的信賴，導(dǎo)致對其數(shù)據(jù)庫信息安全缺乏一個系統(tǒng)、完整的解決方案。同時，由于我國的電信企業(yè)業(yè)務(wù)發(fā)展非?？欤脩魯?shù)量快速增長的同時也導(dǎo)致數(shù)據(jù)劇增， 在這個過程中，電信企業(yè)也面臨著需要更多的數(shù)據(jù)訪問的威脅、內(nèi)部人員威脅、軟件開發(fā)商等外部人員的威脅以及防火墻內(nèi)部黑客攻擊的威脅等等。這些威脅的客觀存在在實踐中也造成了不少的電信企業(yè)數(shù)據(jù)庫安全事故?？傊?，電信企業(yè)數(shù)據(jù)庫安全問題不容樂觀。

2電信企業(yè)數(shù)據(jù)庫審計與內(nèi)部安全系統(tǒng)的設(shè)計

2.1電信企業(yè)數(shù)據(jù)庫審計與內(nèi)部安全系統(tǒng)所需實現(xiàn)的功能

根據(jù)電信行業(yè)的特殊性，以及當(dāng)前我國電信企業(yè)在數(shù)據(jù)庫審計以及內(nèi)部安全方面的現(xiàn)狀，我們認(rèn)為，電信企業(yè)數(shù)據(jù)庫審計與內(nèi)部安全系統(tǒng)所需實現(xiàn)的功能有如下幾個方面：（1）能夠?qū)崟r的進行審計，通過對電信企業(yè)的各項業(yè)務(wù)數(shù)據(jù)的實時收集，審理各業(yè)務(wù)系統(tǒng)的安全審計日志；（2）對數(shù)據(jù)庫審計策略進行管理，如果電信企業(yè)數(shù)據(jù)庫是Oracle數(shù)據(jù)庫，則需要能實現(xiàn)對細(xì)粒度審計信息的收集；（3）監(jiān)控多種數(shù)據(jù)平臺，保證良好的擴展性；（4）支持多業(yè)務(wù)系統(tǒng)的審計日志統(tǒng)一管理，保障信息化系統(tǒng)數(shù)據(jù)的安全性與合規(guī)性；（5）對審計信息進行良好的展現(xiàn)與分析，并且實時觀察電信企業(yè)核心業(yè)務(wù)的安全性。

2.2電信企業(yè)數(shù)據(jù)庫審計與內(nèi)部安全系統(tǒng)的架構(gòu)設(shè)計

本次設(shè)計的電信企業(yè)數(shù)據(jù)庫審計與內(nèi)部安全系統(tǒng)的架構(gòu)包括了四個核心部分，即審計數(shù)據(jù)源、審計信息的采集、審計信息的匯總以及分主題的展現(xiàn)，詳情如下圖所示：

圖1電信企業(yè)數(shù)據(jù)庫審計與內(nèi)部安全系統(tǒng)的架構(gòu)設(shè)計

2.3系統(tǒng)的實現(xiàn)

數(shù)據(jù)源部分，主要包括了與客戶經(jīng)營活動相關(guān)的各種數(shù)據(jù)，首先確保系統(tǒng)具有較強的可擴展性，使其能夠支持各種數(shù)據(jù)源的接口，包括CRM數(shù)據(jù)系統(tǒng)、綜合計費賬務(wù)系統(tǒng)、綜合結(jié)算系統(tǒng)、客戶服務(wù)系統(tǒng)以及財務(wù)系統(tǒng)等。

數(shù)據(jù)采集部分，主要是采集如下幾個方面的數(shù)據(jù)：（1）各類業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫審計策略；（2）根據(jù)審計策略定時從需要監(jiān)控和審計的業(yè)務(wù)系統(tǒng)中獲取審計結(jié)果。

審計信息匯總部分，實際上就是一個數(shù)據(jù)倉庫，通過將各類數(shù)據(jù)進行分析，建立自動數(shù)據(jù)處理機制，為數(shù)據(jù)庫的審計以及內(nèi)部監(jiān)控信息的分析提供一個完整的、可靠地、統(tǒng)一的數(shù)據(jù)存儲。

分類主體展現(xiàn)方面，實際上就是通過配合不同的數(shù)據(jù)分析應(yīng)用，通過客戶機或者瀏覽器的方式，對數(shù)據(jù)進行可視化的呈現(xiàn)，使得數(shù)據(jù)能夠更好的被用戶所接受和理解，實現(xiàn)數(shù)據(jù)庫審計以及內(nèi)部信息監(jiān)控的價值，從而有效的提高決策準(zhǔn)確性與決策的效率。要實現(xiàn)這些功能，實現(xiàn)要通過前端分析工具對數(shù)據(jù)倉庫進行OLAP分析，由于其具有內(nèi)置的開發(fā)空間，是一種所見即所得的開發(fā)方式，能夠通過數(shù)據(jù)表、交叉表、曲線圖等各種不同的形式或者組合形式來表現(xiàn)分析結(jié)果，對數(shù)據(jù)進行多維分析、趨勢分析、意外分析、排名分析、比較分析、原因和影響分析以及What-If分析，從而實現(xiàn)數(shù)據(jù)庫的審計和內(nèi)部信息監(jiān)管。

3結(jié)語

當(dāng)前，電信行業(yè)內(nèi)的業(yè)務(wù)信息系統(tǒng)的安全治理是電信企業(yè)面臨的一道難題。這既有來自于電信企業(yè)外部的層出不窮的入侵和攻擊，也有來自于電信企業(yè)內(nèi)部的違規(guī)和泄漏。由于電信業(yè)務(wù)系統(tǒng)眾多(如：OSS、BSS、MSS、銷賬、EIP、OCS、財務(wù)、營銷支撐、計費結(jié)算等)，數(shù)據(jù)庫用戶較多，涉及數(shù)據(jù)庫管理員、內(nèi)部員工、營業(yè)廳及合作方人員等，因此網(wǎng)絡(luò)管理更加復(fù)雜文章對當(dāng)前我國的電信企業(yè)數(shù)據(jù)庫安全現(xiàn)狀進行了大致的分析，信息技術(shù)的飛速發(fā)展和普及，改變了現(xiàn)代企業(yè)的經(jīng)營方式，越來越多的企業(yè)在正常的生產(chǎn)經(jīng)營過程中，已經(jīng)離不開IT系統(tǒng)的支持。在此基礎(chǔ)上針對電信企業(yè)的業(yè)務(wù)開展特點和現(xiàn)狀，提出了電信企業(yè)數(shù)據(jù)庫審計及內(nèi)部信息安全系統(tǒng)的基本需求，構(gòu)建了系統(tǒng)的基本架構(gòu)，并且對主要功能模塊的實現(xiàn)進行了大致的探討。希望本文的研究對于改善我國的電信企業(yè)信息安全現(xiàn)狀能夠有一定的推動和促進作用。

參考文獻

[1] 劉暢. 構(gòu)建基于數(shù)據(jù)倉庫的勞動力服務(wù)決策系統(tǒng)[J]. 現(xiàn)代計算機. 2003(09)

[2] 張摘月,王峰. 數(shù)據(jù)倉庫技術(shù)在基層人民銀行的應(yīng)用研究[J]. 中國金融電腦. 2001(08)

[3] 朱義軍,王乘. 應(yīng)用在電力系統(tǒng)中的數(shù)據(jù)倉庫及其設(shè)計[J]. 廣西電力. 2003(03)

[4] 王姝華,仲華,呂明. 移動通信企業(yè)數(shù)據(jù)倉庫系統(tǒng)設(shè)計初探[J]. 江蘇通信技術(shù). 2004(02)

篇9

石油石化是影響國計民生的行業(yè)，承擔(dān)著沉重的社會責(zé)任。2009年的新年鐘聲余音尚在，面對風(fēng)云變幻的世界經(jīng)濟形勢、疲軟的市場、繃緊的資金鏈和與國外大型跨國石油石化企業(yè)在信息化方面的差距，如何有效利用信息技術(shù)削減金融危機的不利影響，保證企業(yè)又好又快發(fā)展，石油石化行業(yè)信息化在新一年的走向值得關(guān)注。

與國外石油石化行業(yè)跨國公司比較，在信息化發(fā)展和信息技術(shù)應(yīng)用方面，我們還存在明顯的差距。國外石油石化行業(yè)信息化的主要特點是信息系統(tǒng)功能涵蓋企業(yè)生產(chǎn)與經(jīng)營管理的各個層次，范圍包括生產(chǎn)操作與控制層、生產(chǎn)執(zhí)行層、業(yè)務(wù)營運層和集團企業(yè)管控層。原油調(diào)合、先進控制和優(yōu)化控制、計劃優(yōu)化和生產(chǎn)優(yōu)化、成品油調(diào)合、配送優(yōu)化、裝置設(shè)計優(yōu)化、設(shè)備狀態(tài)監(jiān)控等先進的技術(shù)都得到廣泛、穩(wěn)定的應(yīng)用。大型跨國石油石化企業(yè)信息技術(shù)應(yīng)用的發(fā)展趨勢是注重建立集中統(tǒng)一的企業(yè)運行管理和生產(chǎn)指揮系統(tǒng)。國外大型石油公司大多已建立集中統(tǒng)一、實時、可視化的企業(yè)營運管控平臺和生產(chǎn)指揮平臺。各大石油石化公司在單項應(yīng)用日趨完善的基礎(chǔ)上，重視各種應(yīng)用系統(tǒng)的集成應(yīng)用。不僅完成了ERP與MES、ERP與電子商務(wù)的集成，還在致力于ERP等系統(tǒng)在全球范圍的整合和優(yōu)化。不僅實現(xiàn)了下屬企業(yè)內(nèi)信息系統(tǒng)的整體集成和關(guān)聯(lián)企業(yè)間的橫向集成，還致力于企業(yè)與總部的縱向集成。國外油公司IT基礎(chǔ)架構(gòu)的共同趨向是集中，不僅在實現(xiàn)服務(wù)器和存儲集中、數(shù)據(jù)集中、應(yīng)用集中，也在實現(xiàn)IT基礎(chǔ)設(shè)施的控制集中和管理集中。各大石油石化公司非常重視信息系統(tǒng)的長期持久效益，非常重視系統(tǒng)的持續(xù)優(yōu)化改進和安全保障。普遍建立了規(guī)范化的IT服務(wù)管理架構(gòu)，有完善的技術(shù)支持體系，有健全的信息系統(tǒng)運行保障制度和規(guī)范的崗位責(zé)任，能夠象保證生產(chǎn)裝置平穩(wěn)安全運行一樣保證信息系統(tǒng)的穩(wěn)定運行，能及時有效的預(yù)防和處理系統(tǒng)的各種問題，通過定期維護保證其功能正常。

國外同行信息化的發(fā)展趨勢、我們的現(xiàn)狀和面臨的形勢表明，與業(yè)務(wù)高層次深度融和、深化應(yīng)用仍將是石油石化行業(yè)今年信息化工作的主旋律。2009年石油石化行業(yè)信息化工作會特別關(guān)注以信息技術(shù)支持強化集團管控，更加重視信息系統(tǒng)的整合與優(yōu)化，將進一步優(yōu)化IT資源配置，進一步加強企業(yè)信息化隊伍的建設(shè)、完善IT治理架構(gòu)，繼續(xù)探索、研究石油石化行業(yè)信息化和信息技術(shù)應(yīng)用的規(guī)律。

嚴(yán)峻的經(jīng)濟形勢將使石油石化行業(yè)更加重視集團企業(yè)的集中管控，重視建立集中管控系統(tǒng)需要的實時統(tǒng)一的企業(yè)生產(chǎn)營運數(shù)據(jù)視圖，重視與自動化操作平臺一體化的，提供及時、準(zhǔn)確、完整的生產(chǎn)營運數(shù)據(jù)的自動化數(shù)據(jù)采集平臺建設(shè)，以支持集團的集中管控為目標(biāo)，建設(shè)和優(yōu)化下屬企業(yè)的信息系統(tǒng)。將更加關(guān)注利用集成的上下統(tǒng)一的信息化集中管控平臺，提高信息上傳下達(dá)的實時性、完整性和一致性，加強集團管控能力，強化集團總部的指揮、協(xié)調(diào)和監(jiān)控能力，提高集團總部對日常運行和重大事件的處理、監(jiān)督、控制的能力和水平。

企業(yè)信息系統(tǒng)建設(shè)從分散到集中，在整合中優(yōu)化，在石油石化行業(yè)已被看作是企業(yè)信息化的一條發(fā)展規(guī)律。石油石化企業(yè)將更加重視從數(shù)據(jù)集成、應(yīng)用集成和展現(xiàn)集成三個層次實施下屬企業(yè)內(nèi)部的信息系統(tǒng)集成、總部與企業(yè)的縱向信息系統(tǒng)集成和以企業(yè)價值鏈為主線的橫向信息系統(tǒng)集成。通過深化應(yīng)用和集成，使ERP、MES等系統(tǒng)在監(jiān)控企業(yè)運作，掌控企業(yè)動態(tài)方面的作用得到顯現(xiàn)。

石油石化行業(yè)將圍繞對集中管控相關(guān)信息系統(tǒng)的應(yīng)用保障，進一步優(yōu)化IT資源配置，完善信息技術(shù)基礎(chǔ)設(shè)施，更有效的發(fā)揮IT資產(chǎn)的作用。為了應(yīng)對數(shù)據(jù)集中帶來的風(fēng)險集中，石油石化行業(yè)將繼續(xù)建立和完善同城和/或異地的，集中和/或分散的數(shù)據(jù)備份和災(zāi)難恢復(fù)中心。將完善和優(yōu)化以統(tǒng)一用戶身份管理、鑒別與認(rèn)證、訪問控制、審計和跟蹤、響應(yīng)與恢復(fù)和內(nèi)容安全為主的應(yīng)用安全基礎(chǔ)設(shè)施，保證信息系統(tǒng)的安全可靠運行。將更廣泛的采用松耦合的面向服務(wù)（SOA）的技術(shù)架構(gòu)，構(gòu)建有彈性的、即插即用的，應(yīng)用系統(tǒng)構(gòu)建、運行與管理的基礎(chǔ)設(shè)施，使企業(yè)的信息系統(tǒng)對企業(yè)組織架構(gòu)、管理架構(gòu)和各種應(yīng)用條件、業(yè)務(wù)需求的變化有更好的適應(yīng)性，以更有效的利用企業(yè)在信息系統(tǒng)上的投入。在信息技術(shù)基礎(chǔ)設(shè)施建設(shè)中，對IT自身的綠色環(huán)保、節(jié)能減排以及虛擬化等技術(shù)的發(fā)展走向?qū)⒔o予更多的關(guān)注。

信息技術(shù)與業(yè)務(wù)的融和，以信息化支持集團管控，對石油石化行業(yè)的信息化管理、建設(shè)和運維隊伍都將提出更高的要求。集團管控要求信息系統(tǒng)的服務(wù)對象由基層員工提升到集團和企業(yè)的高管，信息化工作者對業(yè)務(wù)理解的層次由業(yè)務(wù)操作層提升到企業(yè)管控層，項目管理的規(guī)模由單個項目實施的管理，提升到以項目群、項目組合為主的組織級項目管理。集團管控對信息化隊伍的技能和知識結(jié)構(gòu)提出了更高的要求。其掌握的知識，要由以信息技術(shù)為主，擴展到管理、治理和對業(yè)務(wù)與集團企業(yè)管控的深刻理解。新形勢下的信息化管理和信息系統(tǒng)的建設(shè)、運維，都需要能夠融和信息技術(shù)與業(yè)務(wù)的復(fù)合人才，需要從信息系統(tǒng)的規(guī)劃、設(shè)計階段就有能力考慮信息系統(tǒng)集成、信息系統(tǒng)安全和IT服務(wù)管理的復(fù)合人才。

IT是集團企業(yè)管控的重要手段，集團企業(yè)的IT也需要強有力的管控。隨著石油石化行業(yè)信息化工作的不斷深化，將繼續(xù)加大集中建設(shè)、統(tǒng)一管理的力度，將更加重視信息安全、信息系統(tǒng)運維、IT治理和完善內(nèi)控制度等方面的工作，更加重視對信息系統(tǒng)的風(fēng)險防范。石油石化行業(yè)將根據(jù)強化集團管控的要求，繼續(xù)加強對IT的管控，將會更加關(guān)注IT治理，不斷優(yōu)化、完善信息化管理的架構(gòu)、流程和規(guī)則。

篇10

1保險企業(yè)信息安全管理的現(xiàn)狀

當(dāng)前的很多保險企業(yè)當(dāng)中仍然存在

的問題就是計算機信息安全管理問題，而且這個問題也是各國企業(yè)比較常見的問題，亟待采取有效的解決措施。在一些相對比較發(fā)達(dá)的企業(yè)，就可能會存在更多的信息安全隱患。首先，當(dāng)前的互聯(lián)網(wǎng)正在快速地發(fā)展和進步，并加大了對信息技術(shù)的改革與創(chuàng)新，與此同時也衍生出很多的惡意項目工具，甚至信息系統(tǒng)本身也存在一定程度的漏洞，這些就可能會促使一部分的不法分子有機可乘；其次，保險企業(yè)本身并未對信息安全的管理工作給予高度的重視，從而導(dǎo)致信息安全問題層出不窮。如今，我國保險行業(yè)得到了快速的發(fā)展，加之外界環(huán)境因素的影響，從而暴露出越來越多的問題，此時就需要對這些問題進行全面、系統(tǒng)的分析。

1.1缺乏完善的法律法規(guī)

如今，雖然現(xiàn)在與計算機信息安全管理有關(guān)的條文比較多，但是他們被分散于各種標(biāo)準(zhǔn)、管理辦法、法律、法規(guī)及道德規(guī)范等多個方面，然而，當(dāng)前并不具備一套系統(tǒng)、完善的法律法規(guī)來更進一步地保障信息的安全問題。同時，當(dāng)前現(xiàn)有的一些法律法規(guī)，可能是因為仍然有很大一部分的相關(guān)安全技術(shù)和手段還沒有達(dá)到足夠的成熟和標(biāo)準(zhǔn)化，這樣就更加不容易去執(zhí)行一些相關(guān)的法律法規(guī)。因此，如果缺少一些與保險行業(yè)相匹配的信息安全管理法律法規(guī)，從而導(dǎo)致保險企業(yè)無法順利的開展相關(guān)工作，不利于計算機信息安全管理體系的構(gòu)建。

1.2缺乏足夠的重視

當(dāng)前仍然有很大一部分的保險企業(yè)的管理層不是非常注重和關(guān)注一些相關(guān)的信息安全管理工作，而且他們并沒有在進行管理工作的過程中投入足夠的人力、物力以及財力等。有很大一部分的保險企業(yè)在治理公司過程中，只會對保險企業(yè)的適當(dāng)?shù)卣{(diào)整銷售策略、業(yè)務(wù)規(guī)模發(fā)展問題、優(yōu)化組織結(jié)構(gòu)、相關(guān)運營流程等給予關(guān)注，這些公司都不是足夠重視對信息安全管理問題的處理，他們都忽視了信息安全問題會影響保險企業(yè)的發(fā)展。實際上，在市場經(jīng)濟體系下，大多數(shù)保險企業(yè)只有在遇到信息安全事件后才會對計算機信息安全管理體系給予重視。此時，就需要保險企業(yè)在公司平時進行治理工作的過程中，他們能夠投入更多的時間和精力來對現(xiàn)有的信息安全管理體系進行補充和完善，并給予高度的重視，從而有效提高信息安全管理體系建設(shè)效率。

1.3對風(fēng)險評估力度不夠

在信息安全管理體系建設(shè)過程中，大多數(shù)保險企業(yè)不能夠準(zhǔn)確地評估對于該過程中可能會存在的風(fēng)險，并未對信息化過程中可能出現(xiàn)的安全風(fēng)險問題給予綜合考慮。一般情況下，他們可能只會考慮到一些相應(yīng)的信息技術(shù)問題，但是并沒有認(rèn)真地思考在運用信息系統(tǒng)之后可能會顯現(xiàn)出來的信息安全問題。實際上，保險企業(yè)不管是否對信息安全管理系統(tǒng)中所存在的安全風(fēng)險問題進行評估，從而給保險企業(yè)的發(fā)展帶來不利影響。一旦信息安全管理體系出現(xiàn)比較嚴(yán)重的問題，不僅會造成無法彌補的損失，而且也不能夠?qū)嵭幸恍┱５臉I(yè)務(wù)操作，甚至還可能會造成一些非常嚴(yán)重的后果，比如是企業(yè)內(nèi)部機密泄露、重要數(shù)據(jù)被盜或被篡改、客戶個人信息泄露等問題。因此，越來越多的保險企業(yè)由于對風(fēng)險評估力度不夠，從而導(dǎo)致系統(tǒng)本身存在操作失誤、缺陷等原因而誘發(fā)的一系列安全問題。

1.4未明確安全管理責(zé)任劃分

對保險企業(yè)來說，雖然對信息安全管理體系的建設(shè)給予了高度的重視，但是他們?nèi)狈σ惶着c企業(yè)發(fā)展相匹配的安全管理制度，未明確安全管理責(zé)任的劃分，從而在一定程度上影響了保險企業(yè)的發(fā)展。如果這些企業(yè)現(xiàn)在還沒有制定出一些相關(guān)的信息安全管理制度并能夠堅持執(zhí)行，而且企業(yè)在出現(xiàn)相應(yīng)的信息安全問題之后，并不能夠非常清晰地劃分出具體的責(zé)任人，這樣時間越來越長，就會在信息安全問題的監(jiān)管方面出現(xiàn)越來越大的漏洞，自然而然地，也更加不容易去形成一個可以控制的信息安全管理體系。對于一個保險企業(yè)而言，在他們公司所出現(xiàn)的一些信息安全管理問題，需要每一位企業(yè)員工給予重視，而不能依靠企業(yè)當(dāng)中的某一個人或某一個部門單獨負(fù)責(zé)來對安全管理問題進行處理。對于保險企業(yè)而言，他們必須制定出相應(yīng)的制度并劃分出比較明確的責(zé)任，而且每個部門都應(yīng)該有一個負(fù)責(zé)人來負(fù)責(zé)信息安全問題，以確保問題發(fā)生時能夠有人給予立即處理。如果不設(shè)置一個負(fù)責(zé)人的話，就可能對信息安全管理體系的構(gòu)建問題產(chǎn)生一定的影響，還會阻礙一個企業(yè)的信息安全管理工作和任務(wù)的完成。因此，對于保險企業(yè)而言，在處理這些現(xiàn)實狀況以及各種各樣問題的時候，則需要結(jié)合實際情況構(gòu)建一套系統(tǒng)、完善的信息安全管理體系，從而使安全風(fēng)險問題得到有效解決，更好的發(fā)揮信息安全管理體系建設(shè)的優(yōu)勢，確保保險企業(yè)的健康、可持續(xù)發(fā)展。

2保險企業(yè)計算機信息安全管理體系構(gòu)建的對策

2.1健全和完善安全管理標(biāo)準(zhǔn)

對于保險企業(yè)而言，要想更好的推動信息安全管理體系構(gòu)建，就需要對現(xiàn)有的信息安全管理標(biāo)準(zhǔn)進行健全和完善，并更加深入的分析和歸納信息安全管理標(biāo)準(zhǔn)內(nèi)容，不僅需要考慮信息技術(shù)相關(guān)的問題，而且還不能夠忽略信息安全管理問題。在進行計算機安全管理研究過程中，為了獲取比較良好的研究成果，則需要進一步健全信息安全管理標(biāo)準(zhǔn)，并創(chuàng)建信息安全標(biāo)準(zhǔn)化組織和信息安全管理標(biāo)準(zhǔn)框架，以確保信息安全管理體系構(gòu)建工作有條不紊的進行。在我們國家，雖然在研究信息安全的時候，不是很早，但是經(jīng)過當(dāng)前不斷的完善過程，我們國家也制定出了一個更加符合我們國家基本國情的信息安全管理標(biāo)準(zhǔn)。

2.2實現(xiàn)科學(xué)的信息安全管理

對于保險企業(yè)而言，他們?nèi)绻胍玫貙崿F(xiàn)比較科學(xué)的信息安全管理，就必須要充分地考慮到信息安全問題可能誘發(fā)的不利影響。對于保險企業(yè)而言，在信息安全管理方面，不僅需要有效地管理機構(gòu)安全和人員安全的管理，而且要做好場地設(shè)施和技術(shù)安全的管理工作。同時，保險企業(yè)還需要采取比較科學(xué)的方式，從而可以有效地構(gòu)建一套可實施的、科學(xué)合理的計算機系統(tǒng)安全管理體系，并結(jié)合實際情況制定一套規(guī)范、完善的安全防范措施，選擇一些可靠性比較大的、比較穩(wěn)定的、比較安全的產(chǎn)品，并對現(xiàn)有的安全評估標(biāo)準(zhǔn)和等級進行細(xì)化和完善，以便能夠進行一些有效的檢查策略，從而可以更好地開展信息安全管理工作，為保險企業(yè)的發(fā)展奠定良好的基礎(chǔ)。

2.3重視安全風(fēng)險評估工作

對保險企業(yè)而言，在進行信息化平臺建設(shè)過程中，就需要適當(dāng)?shù)剡M行對安全風(fēng)險的評估，如果缺乏相應(yīng)的風(fēng)險評估工作，將會導(dǎo)致信息安全管理工作無法順利進行。同時，在信息安全風(fēng)險評估過程中，還需要制定一套能夠有效應(yīng)對風(fēng)險的措施和方案，這樣可以有效地防止和解決一些突發(fā)狀況，并確保信息的安全性、有效性。