首页 > 文章中心 > 网络安全考核责任制

网络安全考核责任制

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全考核责任制范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

网络安全考核责任制

网络安全考核责任制范文第1篇

关键词:信息 安全 现状分析 存在问题 防控措施

随着国家电网公司信息化战略的部署和资金、技术的投入,县级供电企业的信息化建设水平得到了很快的提升,供电企业的生产调度和经营管理对计算机和网络信息系统的依赖程度也越来越强,甚至,离开了信息系统的支撑,日常的生产、经营、管理活动已经不能顺利进行。但是,需要引起重视的是,县级供电企业在信息化跃进过程中,在人员、设备、技术和管理中的不足,使信息安全面临的风险也在日益突出。

一、信息安全风险

信息作为一种特殊资源与其它资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性。

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。

县级供电公司信息安全的风险有内部的,也有外部的。内部的表现为:网络故障、应用系统故障等;外部的表现为:网络入侵、外部泄密等。内、外部网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取商业秘密和机密信息,非法使用网络资源等,将给企业造成巨大的损失。

二、信息化网络及应用现状分析

在网络硬件方面,已经建成CISCO7603、CISCO4507R为主交换机,主干为千兆的以太网。上联网络连接升级为光纤通信为主,以太网2M为备用的方式。建成了覆盖全公司20多个乡镇供电所及变电所的农村信息网。实现百兆到桌面、三层交换、VLAN等技术普及使用。主要分为两类网络系统,一类是实时系统,有调度自动化系统、设备监控操作系统;另一类是非实时的办公自动化应用系统、电能量采集系统、集中抄表系统。两类网络系统是物理隔离,分网运行的。

在软件方面,各应用主要包括调度自动化系统、负荷监控系统等。计算机及信息网络系统在电力生产、建设等各个领域有着十分广泛的应用,为安全生产、降低成本等方面取得了明显的社会效益和经济效益。

三、信息安全现状分析

按照省、市公司信息化工作的统一部署,我公司信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行了物理隔离。按江苏省电力公司系统集成、数据集中要求,调度系统、电力营销等核心数据都集中在省市公司管理,对公司网站、NOTES、下属企业财务数据都建立了备份策略和容错措施。企业内网和互联网采取了严格的隔离措施,严防内外网机器混用造成信息外联。信息网络按业务划分了10个VLAN,设置了访问控制。采取了统一的域名管理,与市公司共享操作系统LiveUpdate系统,及时派发更新程序,堵塞操作系统漏洞。部署了symantec防病毒软件,通过派发的形式对整个网络部署查、杀毒。全面应用了国网桌面终端管理系统,实时监控客户端的异常情况。采用了国网移动存储介质管理系统,加强对移动存储介质的管理。

但是客观来说,县级供电企业在信息安全管理上人员、技术薄弱,职工信息安全意识不到位,管理流程上存在疏漏,给网络的安全埋伏了很多的不利因素。

四、信息安全存在的问题

1、操作系统及网络安全问题。

目前,电力企业信息网络中使用的硬件设备及操作系统的核心技术基本上来自国外,被认为是易窥视和易打击的“玻璃网”,网络安全处于被窃听、干扰等多种信息安全威胁的脆弱的状态。同时,县级供电企业的操作系统大部分缺乏正版保护,难以得到有效升级和修补,难免受到“木马”与“后门”的威胁;用户习惯于默认密码或管理者设置的初始密码,较容易被他人破解;操作系统不安全的默认设置、共享等都可能给非法入侵提供方便。对于网络设备,用户使用tracert等工具较容易获知核心交换机的IP地址,如果管理端口不加限制,使用空密码,明文密码或默认密码,交换设备有被恶意控制的可能。局域网络布点缺乏有效的规划和管理,对使用普通交换机随意串接,甚至使用无线路由串入,缺乏侦控手段,同时对计算机设备接入也缺乏有效的审查管理,内网外联风险比较突出。

2、应用系统用户身份认证和访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统之间没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。三是用户安全意识不强,习惯于默认密码或管理者设置的初始密码。应用系统人员变换后,延用以前的密码,疏于更换帐号与口令。习惯于使用“保存账号”、“保存密码”的方式登陆应用系统。

3、木马与病毒问题。

随着Internet技术的发展、企业网络环境的壮大和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。同时,黑客攻击的风险增大。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。非正版保护的操作系统和应用软件的使用,为木马与病毒的植入及黑客攻击提供了可能;部分客户机的操作系统和防病毒软件未能及时得到升级,系统用户在使用移动介质在外网和内网之间交换数据时,很容易携入木马与病毒,使之成为发动攻击的肉鸡。

4、存储介质管理问题。

目前,县级供电公司虽然推广使用了国家电网移动存储介质管理系统,但是在使用中仍存在三种信息失密可能:一是用户习惯使用注册时的默认密码,不加以个性化更改,这样移动介质被他人获取后很容易被破解,使数据泄密。二是部分用户在移动存储介质注册时,为图使用方便,划分出自由区域,在实际使用时,绕过保密区登陆使用,将工作文档存储在自由区,如此使用移动介质,毫无保密可言,极易形成信息外泄;移动存储介质的交叉使用,也可能造成信息内部失密。另外,机器维修也需加强管理,目前,县级供电公司基本上计算机专职配置为1人,需要管理300台左右的机器和庞大的局域网络,基本上是疲于应付,计算机故障处理、系统重装等一般外包给社会电脑门市,将单机信息保密工作寄托于维修商的良知,风险极大。

5、数据库数据和文件的明文存储。

电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以绕过应用系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。

五、针对信息安全漏洞的防控措施

1、加强信息安全教育。应该将信息纳入到供电企业安全管理中,并与生产安全置于同等重要的位置,长效管理,常抓常新。为了保证安全的成功和有效,信息主管部门应当对企业各级管理人员、用户、技术人员进行安全培训。特别是对基层班组和供电所信息用户,应用能力相对薄弱,亟需开展定期的应用能力培训和考核。所有的职工必须了解并严格执行企业安全策略,明确其对企业信息安全所承担的职责和义务,要求能够保证自己的计算机和相关应用的安全。

2、加强密码管理工作。对网络设备、操作系统等各类密码要妥善治理,杜绝默认密码,出厂密码,无密码和容易猜测的密码,防止非法用户入侵使用。密码要及时更新,特别是有职员调离时密码一定要及时更新。减少应用系统的账号共用、通用。

3、加强信息介质的管理。备份的介质要防止丢失和被盗。移动存储介质注册时要限制使用自由存储区域,减少使用通用密码。建立报废的介质的清除和销毁制度,加强报废介质管理。增加计算机管理人员配备和加强计算机管理网络建立,逐步减少外送维修,防范外修过程中存储介质信息的泄密。

4、加强设备技术投入。应用先进的加密技术和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求。引进进侵检测系统提供企业级的安全检测手段,最大限度地、全天候地实施网络监控。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络治理提供强有力的保障。建议取消DHCP服务,在交换设备上使用MAC地址与IP地址的绑定,加强接入内网设备的有序管理。

5、加强内网外联治理。在管理上,加强内网外联知识与危害性的广泛宣传,对发生内网外联事件的人要严肃处理,捆绑考核。在技术上,内、外网的设备接入要有明显的物理隔离和标志,防止误操作的发生;杜绝计算机内外网混用;严格防范ADSL等设备接入内网终端。

6、加强信息责任制考核。要强化信息安全考核机制的执行,对发生的信息安全事故或隐患,要通过技术手段追踪到责任人,并按照四不放过的要求,组织分析调查,落实考核、落实整改措施,并举一反三,深化对全体职工信息安全养成教育。

六、结束语

综上所述,技术是信息安全的主体,管理是安全的灵魂,信息安全,三分技术,七分管理。只有将有效的安全管理实践自始至终贯彻落实于信息安全工作当中,信息安全的长期性和稳定性才能有所保证。

参考文献:

[1]刘立兵.浅谈计算机网络在电力系统的应用及安全性

网络安全考核责任制范文第2篇

[关键词]电力技术;生产安全管理;安全文化

中图分类号:TU226 文献标识码:A 文章编号:1009-914X(2016)10-0104-01

随着电力技术的逐步发展完善,人们日常生活对于电力资源的依赖性也越来越强,并实现了我国社会经济的快速发展。作为一种具有经济性质的商品,电力技术已经在社会经济发展的多个领域中得到了广泛的应用,然而,随着电力技术的飞速发展,其中所表现出的种种问题也引起了人们的关注,为了适应快速发展的经济市场,电力企业应从自身经营发展的实际出发,对电力安全生产问题加以关注。

1 建立和完善安全文化体系,强化安全制度建设

电力企业应从多方面出发对安全制度和安全文化进行改进,而这两项也是电力行业顺应社会主义市场经济发展潮流的主要表现。另一方面,电力用户自身原因也是诱发电力安全事故的常见危险因素,这就要求电力企业需要针对其用户,开展用电安全的思想教育。因此,电力企业需从自身的特征和发展现状出发,制定和实施系统化的电力安全制度和安全体系,通过特定的措施进行企业安全文化宣传。同时,电力企业还应建立健全特定的安全机制,提高企业工作人员对于安全问题的关注和认识,定期组织员工接受安全培训,培训的内容主要针对电力技术的安全使用上。只有这样才能够从电力企业的内部和外部共同强化电力安全管理,创造一个保证电力网络安全运行的内外部环境,提高电力行业运行的规范性,保证电力企业获得社会效益和经济效益的双丰收。

2 落实安全制度,强化安全管理,逐步完善安全保证机制

首先,建立和完全安全责任制度,保证责任落实到人。其次,应用安全管理制度,创新安全管理体系,按照员工的日常表现,制定和实施针对性的奖惩措施,完善电力企业员工安全考核制度,从而促进电力企业安全管理力度的逐步增强[1]。最后,在电力企业日常运行和发展过程中,设定相应的安全管理联动机制,保证各个管理层级和各个职能部门之间的工作人员做到互相管理、互相监督、相互促进、共同安全,需要管理人员关注的是,在电力企业经营管理工作中,各项安全隐患是无法完全避免的,但工作人员不应出现恐惧心理,而应从各项安全事故的发生原因和主要特征出发,制定和实施针对性的解决措施,强化电力企业安全文化建设和员工的安全教育,在日常工作中主动发挥自身能动性,在员工和企业之间建立一种联系,从而保证各项电力安全技术落到实处[2]。

另一方面,企业员工的情绪和精神状态也会对企业生产,质量产生直接的影响,因此,企业管理人员在日常管理过程中,需要充分关注员工的情绪变化,加强企业日常管理工作中的人文关怀,充分重视员工需求,从而最大限度降低员工情绪问题诱发的安全生产事故。电力企业可建立专门的人文关怀小组,对员工的精神和心态变化进行观察和指导,及时发现和疏导员工的不良情绪,主动与员工进行交流,最大限度满足员工需求,并给予适当帮助[3]。

3 深化安全意识,加强安全宣导

电力安全以人为本,内在因素对于电力企业运行安全中起到了至关重要的作用,因此,加强人员的安全宣导和管理,对于保证电力生产全管理具有积极意义。安全是由人保持和创造的,而安全事故也通常是人为因素造成的,在事故发生后,人员也会付出极大的代价,因此,关注员工的生命权,保证员工的合法权益,也应该作为电力企业生产安全管理的主要内容,并得到管理者的重视。员工关怀的首要目标就在企业内部建立安全文化,加强电力企业的安全生产管理,在满足员工社会和家庭需求和愿望的基础上,提高员工的安全生产意识,从而最大限度体现企业对于员工的关爱和关心[4]。

安全工作能否得到有效执行的核心就在于人,只有员工建立自我防护能力、安全操作技能、工作责任感和安全意识,才能够提高企业的生产安全管理力度。其中,最为核心的就是员工的安全意识,安全意识的强弱会直接决定企业的安全生产水平。安全意识较强的员工,能够在生产过程中严格执行安全规程和操作规范,而安全意识较差的员工,则容易在工作中违章操作、忽视安全,进而提高安全事故发生率,因此,电力企业需要强化员工的安全意识,重点关注企业安全文化建设。同时,应严格贯彻落实“安全第一,预防为主”的基本原则,加强员工的安全教育,根据电力行业风险性、系统性、技术性特征,制定系统的值得规范,并定期进行考核[5]。

4 总结

综上所述,随着电力企业和电力安全生产技术的日渐发展完善,员工和生产的安全问题也成为了电力企业管理人员关注的焦点,并为电力企业的发展强大奠定了良好的基础。为了保证电力企业在行业竞争中占据领先地位,就需要建立和应用系统科学的生产安全管理技术和模式,增加对于电力供应网设备的投入量,探索和开发新的管理方式,从而避免自身落后于行业和技术的发展。电力技术的应用和生产安全管理,需要从硬件和软件两个方面着手,其中,硬件指的是及时更换老化、坏掉的设备,对各项设备进行定期检查,而软件指的是作为生产主体的员工,需要逐步增强自身技能,为电力企业安全生产提供保障。

参考文献

[1] 陈玉.加强电力技术监督管理 提高生产安全水平[J].传播经纬,2015,1(1):266-267.

[2] 王兰英,代宗锋.风险管理在电力安全生产管理中的应用探究[J].通讯世界,2014,2(11):122-123.

[3] 蔡曙涛.电力企业安全生产技术与风险管理体系的思考[J].电子技术与软件工程,2014,1(1):64-65.