企业信息安全措施

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇企业信息安全措施范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

企业信息安全措施范文第1篇

关键词：MIS开发及应用　安全措施

随着企业信息化发展的强烈需要，企业开发及应用管理信息系统MIS(Management Information System)成为一种必然选择，企业信息安全事件的发生率也开始呈现出大幅度增长的态势。如何更有效地保护和管理自身的信息资产，如何保证和加强企业MIS的安全，已成为企业亟待解决的课题。

一、MIS存在的安全问题

(一)安全意识薄弱

在MIS的开发与应用过程中，经常出现领导部门对制定一个统一的信息安全系列标准不够重视，对指导MIS的管理和应用不够关心；各子系统管理人员没有管好自己的用户名和口令，外泄或借与他人使用；不重视MIS的硬件部分、软件部分、环境因素等现象，对于安全防范存在一种惰性和漠视，安全意识薄弱。

(二)投入经费不足

由于安全意识薄弱，企业往往对MIS安全经费投入不足，致使企业在应用MIS过程中，经常出现使用各种盗版软件，不能安装专业防火墙等现象。使得Intemet网上用户对MIS服务器可以直接攻击，外界病毒易于感染MIS服务器等现象，导致企业MIS安全问题频发。给企业带来巨大的经济损失。

(三)技术力量匮乏

信息安全从业人员不只纵向上要对各项工作有精深的理解，横向上还需要对信息系统的整体逻辑乃至企业的业务逻辑有丰富的认知，特别是在经验上往往有相当高的要求，这从很大程度上造成了企业很难具备足够的技术力量来保障信息安全设施的运转。

二、开发过程中的安全措施

管理信息系统作为一个庞大、复杂而严密的系统，在整个开发过程中需要投入大量的人力、物力和财力，系统的安全性往往被放在首要的位置，成为系统生存的关键因素。

(一)权限设计

根据对操作系统的用户、用户组及其访问权限作严格的规定，在数据表设计时将权限分为三类：数据库登录权限类、资源管理权限类和数据库管理员权限类。具有数据库登录权限的用户能进入数据库管理系统，使用数据库。具有资源管理权限的用户，除了拥有上一类用户权限外，可以在权限允许的范围内修改、查询数据库。具有数据库管理员权限的用户将具有数据库管理的一切权限，包括访问任何用户的任何数据，授予(或回收)用户的各种权限，完成数据库的备份、装入以及进行审计等工作。

(二)数据加密

数据加密技术是在发送方将要发送的保密信息进行加密处理，而在接收方通过特定的算法将收到的信息进行解密。在加密过程中使用加密函数和密钥生成密文数据后，传送出去。传送过程中即使有人得到了密文数据，知晓了加密函数或是解密函数是没有用的，没有密钥，依旧无法根据密文数据推算出明文数据，这就保证了数据的机密性。数据加、解密过程如下图1所示。

(三)数据认证 　 MIS的信息传送或存储还可以采用数据认证技术(如数字签名技术、Hash技术等)。数据认证技术是确保信息的真实性和完整性的一种技术，是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术，主要包括接收者能够核实发送者对报文的签名、发送者事后不能抵赖对报文的签名、接收者不能伪造对报文的签名等方面。

(四)密钥管理

一个密码系统的安全性取决于对关键信息即密钥的保护。密钥的保密和安全管理在数据安全系统中是极为重要的。在／diS中，可以采用证书机构(CA)来管理密钥。CA(cerfificateAuthority)保证颁发的数字证书的有效性，由它负责注册证书，分发证书以及当证书过期时宣布不再有效，因此可以保护密钥。

三、实施过程中安全措施

不管企业MIS采用C／S结构还是B／S结构，在实施过程中必须与Internet连接。在具体实施中应从企业网络内部、企业网络与Intemet的连接出口方面加强安全措施：

(一)企业局域网安全措施

1　局域网节点安全措施

在企业局域网应用中，只要在接人局域网上的任一节点进行侦听，就可以捕获发生在这个局域网上的所有数据包，从而窃取关键信息，这就是局域网固有的安全隐患。为了解决这个问题，可以采取以下措施：

(1)分段策略

分段策略包括物理分段和逻辑分段两种方式。物理分段是从物理层和数据链路层把网络分成若干网段，各网段无法直接通信；逻辑分段是在网络层根据IP地址将网络分成若干子网，各子网借助网关自身安全机制来控制各子网的相关访问。因此应综合应用物理分段与逻辑分段两种方法，将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

(2)交换式集线器策略

由于部分网络最终用户的接入是通过分支集线器而不是交换机，当用户与主机进行数据通信时，两台机器之间的数据包会被同一台集线器上的其他用户所侦听。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。

(3)VLAN(虚拟局域网)策略

在集中式网络环境下，将中心的所有主机系统集中到一个VLAN里，不允许任何用户节点接人，从而较好地保护敏感的主机资源。在分布式网络环境下，MIS应按机构或部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

2　局域网服务器安全措施

在局域网的服务器中。由于存在着大量的数据库实体及拥有不同操作权限的用户，用户可对数据库实体进行任意操作。针对这些严重的安全漏洞，可以采取如下安全措施：

(1)两级登录机制

为每个数据库用户只建立一个真正的数据库账号，它具有对系统应用所涉及的所有数据实体进行操作的全部权限；为每一位系统操作人员分别创建一个应用系统账号。用户先使用应用系统账号登录应用系统，应用系统再将应用级账号变换为数据库系统账号，然后应用系统用数据库系统账号登录数据库。仅在两级登录都成功的前提下，整个登录过程才算成功，数据库系统便能识别登录应用系统的用户身份。

(2)用户授权机制

将整个系统细分为若干个可分配的最小权限单元，这些权限具体表现在对数据库中所涉及的表、视图的数据操作的划分上。然后再运用角色或工作组的概念，结合各级系统使用人员的工作性质，为系统创建了4类基本等级：系统管理员、高级操作员、一般操作员及简单操作员，并相应地为每个等级赋予了不同的权限，以此来简化权限管理工作。

(3)日志检测机制

在MIS系统中。通过日志记录，可以审核执行某操作的用户，执行操作的机器m地址、操作类型、操作对象及操作执行时间等。这样不仅可以分类检索日志内容，系统还能根据已记录的日志内容，自动找出可能存在的不安全因素，并实时触发相应的警告，及时通知系统管理员及用户。

(4)备份及恢复机制

为了防止人为的失误或破坏，MIS系统中应建立强大的数据库触发器以备份重要数据的删除操作，甚至更新任务。具体而言，对于删除操作，作的记录全部存贮在备份库中。而对于更新操作，考虑到信息量过于庞大，可只备份所执行的SQL语　句。这样，既能查看到备份的内容，又能相当程度地减小备份库存贮容量。

(二)企业网络出口安全措施

1　VPN技术

VPN(VirtualPrivate Network)是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。VPN技术的核心是采用隧道技术，将企业专用网的数据加密封装后，透过虚拟的专用通道进行传输，保证传输内容仅被指定的发送者和接收者了解，从而防止敏感数据的被窃取。

2　防火墙技术

在Intemet和Inh'anet的连接部分，利用防火墙技术，使得通过外部拨号或其他方式访问企业网络部分功能时，可以很好的控制该用户的访问权限和操作级别，可以有效地防止恶意的外部用户的进攻。

3　技术

企业信息安全措施范文第2篇

供电企业在建设初期就已经考虑到了信息安全防护问题——将主要设备，例如服务器、路由器和核心交换机等统一管理，通信线路要尽可能架空、深埋或者穿线，并做出必要的标记，避免线路被损坏。在此过程中，供电企业不但要保护设备，实施必要的安全技术操作，同时，还要在实施基本策略的前提下，采取必要的网络安全管理技术，例如防毒技术和防火墙技术等，保证信息安全。入网规范管理设备属于硬件网络控制设备，在供电企业的机房中加入入网规范管理设备，能够检测出信息安全和一些违规行为。入网规范管理设备不会大规模地改变已经存在的网络结构，并且它的网络环境适应能力非常强，不需要安装客户端就能将其接入系统中，能够自动检测信息安全，主要包括注册、防病毒、更新、弱口令和违规外联等，进而修复存在风险的机器。因为供电企业内部从事信息工作的人员年纪差比较大，对信息技术的了解程度也不同，所以，这就为信息安全埋下了隐患。

安装入网规范管理设备的操作比较简单，不但会增强供电企业的安全防护能力，还为工作人员的工作带来了便利，减轻了工作人员的压力。当供电企业有人动时，就会出现网络接口不够用的情况，因此，很多人便利用集线器拓展网络，这便为公司的信息安全埋下了隐患，不但容易引发广播风暴，还会干扰公司整体网络的稳定性，让一些不法分子有机可乘——侵入公司内网，泄露公司机密。所以，针对这种情况，建议采取添加交换机的方式，并配置端口安全策略，即interfacefastethernet<number>；switchportport-securitymaximumvalue。对于公司信息外网，要检查私自连接无线路由器、随身wifi等情况，如果发现，要马上制止，防止信息被泄露，以确保供电企业的信息安全。随着供电企业内部网络的发展和壮大，需要加入新的网络设备、服务器设备、终端设备和存储设备等。当网络处于一个复杂的环境中时，就很难处理网络故障了。针对这类问题，可以在机房安装网络分析设备，对系统进行网络故障分析、应用分析和安全分析，获取网络流量，通过分析解码能够快速定位网络故障，进而有效维护网络安全。网络分析系统能够分析数据包网络，检测深度网络通讯，准确、快速地找到蠕虫、网络攻击或木马等，并对其进行诊断，快速定位将要发生问题的机器，帮助信息运行维护工作人员及时处理问题。

2管理策略

对于病毒防护的管理，要安排专业工作人员定期查看木马病毒的感染情况，及时处理受到感染的用户，并为每位工作人员发放设备安全说明，让工作人员从自身做起，保障信息安全。供电企业可以对工作人员进行安全意识培训和技能培训，尤其是管理信息系统的工作人员，不断提高其业务能力，补充更多的专业知识。在供电企业的每一个区域配备专门的信息安全负责人，并对其定时培训，加大信息安全的维护力度。针对一些特殊岗位的工作人员，要实施有针对性的培训，以不断提升各个岗位工作人员的管理能力和技术能力。

3总结

企业信息安全措施范文第3篇

关键词：电力企业；信息安全；管理；探讨

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

电力企业的信息化建设在生产自动化、管理信息化、营销现代化等方面发挥了重要作用。然而，随着网络的延伸、应用的普及和不断深化，特别是随着网络技术的迅速发展，信息安全问题日益突出。研究电力系统信息安全问题、制定和实施电力系统信息安全战略、建立全方位、动态的电力信息系统安全保障体系，己成为当前电力系统信息化工作的重要内容。

一、电力信息安全的含义

电力信息安全是指电力主营业务系统及企业信息安全，保障不被未经授权者访问、利用和修改，为合法用户提供安全、可信的信息服务，保证信息和信息系统的机密性、完整性、可用性、真实性和不可否认性。

二、电力企业信息安全风险分析

（一）电力信息安全管理风险分析。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。由于近年计算机信息技术高速发展，计算机信息安全策略和技术也取得了非常大的进展，但在电力系统各种计算机应用中，对信息安全的认识跟实际需要差距较大安全意识薄弱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。

（二）网络基础设施的安全风险分析。网络基础设施的安全是整个网络系统安全的前提。目前电力企业在机房建设（包括水源、消防、门禁等）、重要设备的访问管理方面都存在缺陷，亟待解决。如在网络介质的安全方面由于大都采用内部专用网络，但楼层交换机的机柜位置不安全，非管理人员可以随时接触到，这给内部的攻击或窃密行为提供方便之门。

（三）电力企业信息网络连接安全风险分析。电力企业的部分用户由于工作需要连接了因特网，同时没有服务器供外部访问，用户连接因特网时没有做到与内网的物理隔离，这给网络带来危害；局域网内部用户有意或无意对系统进行了攻击和窃密行为；内部其它单位用户对本网络的攻击行为，类似因特网外部连接风险等众多因素也都对网络安全构成了威胁。此外，受人员水平、设备性能等方面因素制约，使整个电力信息网的外部边界保护能力存在一定差异，必然降低整体边界安全防护能力。

（四）支撑基础设施的安全风险分析。许多电力企业没有完整的备份策略，备份工作没有计划，备份不及时，没有备份恢复预案；介质管理不规范，没有对备份介质做库存、领取、使用、借用、存放等方面的跟踪记录。需要特别指出的是灾难恢复计划要素的所处的水平较低，应重点加快制定有关灾难恢复的管理制度，以及备份设备的更新。

三、电力企业信息安全防范措施

（一）电力信息安全管理措施。1.健全信息安全组织保证体系。成立信息安全管理部门，至少应配备2名安全专职管理人员，明确权利与责任，分别负责各系统的安全审计，并相互制约。2.完善信息安全管理制度。参照国际最佳实践，建立一套完整的制度体系，形成省、地两级安全管理体系。3.加强信息安全教育培训。安全意识和相关技能的教育是企业安全管理中的重要内容。高级管理部门应当对全体员工，特别是中高级管理人员进行信息安全管理制度培训，强化信息安全意识。

（二）电力信息安全技术措施。1.加强网络信息安全基础设施建设。建立电力企业信息系统物理各环境的安全目标防止对企业工作场所和信息的非法访问、破坏和干扰或避免造成资产的流失、受损。建立省电网级认证授权中心，提供目录服务、身份管理、认证管理、访问管理等功能，实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。对电力企业重要网络设备配置文件进行完整性检查保护，防止主机系统及网络设备配置文件的篡改，对系统文件遭到修改及破坏可以及时发现修复。2.网络控制技术。网络控制是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非法访问。主要包括：（1）防火墙技术。（2）审计技术。（3）访问控制技术。（4）安全协议。3.备份恢复技术。备份恢复技术主要包括备份技术、冗余技术、容错技术和不间断电源保护4个方面的内容。备份恢复与容灾中心具有关联性，建立容灾中心的单位应每年至少进行一次灾备恢复的演练，没有容灾中心的单位应将营销、生产、财务等核心数据定期进行异地备份，并定期进行备份恢复演练，提升应对自然灾害的能力。

四、结束语

企业信息安全措施范文第4篇

关键词：分布式；信息安全；规划；方案

中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息，市场研究机构Gartner 研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证，信息安全组织的目标是：

1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求；

2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务；

3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面，是属于一个企业信息安全规划的上层建筑，需要用一种由上而下的方法来实现，其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言，需要主导部门从上层着手，建章立制，强化安全教育，加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是，完善和形成“七套信息安全软措施”，具体包括：一套等级划分指标，一套信息安全策略，一套信息安全制度，一套信息安全流程规范，一套信息安全教育培训体系，一套信息安全风险监管机制，一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析，信息安全管理的原则以风险管理为主，集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求，在信息安全规范方面，根据调查，建立信息安全管理规范、信息安全技术规范。其中，安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则；信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序，其目的是减少安全隐患，降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据，其目的是增强信息安全责任意识，提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制，做到“安全第一，预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设，提高企业人员的信息安全意识和技能，增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是：给业务运营提供信息安全环境，为企业转型提供契机，构建信息安全服务支撑系统。具体目标如下：

1）打造信息安全基础环境，调整和优化IT基础设施，建立安全专网，设置两个中心（信息安全运维中心、灾备中心）；

2）建立一体化信息安全平台，综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能，实现的集中安全管理控制，快速安全事件响应，高可信的安全防护，拓展企业业务，开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作，SOC 承载用于监控第一生产网的安全专网核心基础设施，提供信息安全中心技术人员的办公场所，提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务，SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外，SOC 的技术性工作还要做以下几个方面：

1）硬件基础建设，主要内容是SOC 的选址、布局、布线、系统集成，实现SOC 自身的防火、防潮、防电、防尘、安全监控功能；

2）软件基础建设，包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深，需要部署到大量IT 产品和应用系统，为了保障安全，必须对这些IT 系统和产品做入网前安全检查，消除安全隐患。基于此，综合测试环境建设的内容包括：安全测试网络；测试系统设备；安全测试工具；安全测试分析系统；安全测试知识库。

其中，安全测试网络要求能够模拟企业网络真实的带宽；测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟；安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等，并提供使用说明、漏洞扫描、应用安全分析；安全测试分析系统能够提供统计分析、图表展现功能；安全知识库包含以下内容：漏洞知识库，补丁信息库，安全标准知识库，威胁场景视频库，攻击特征知识库，信息安全解决案例库，安全产品知识库，安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范，建议信息安全总体框架设计如图2所示。

主要目的，以资产为核心，通过安全组织实现资产保护，以安全管理来约束组织的行为，以技术手段辅助安全管理。其中，资产、组织、管理、安全措施的关系如图3所示，核心为资产，围绕资产是组织，组织是管理，最外层是安全措施。

在平台中集成十个安全机制，它们分别是：信息安全集中管理；信息安全巡检；信息安全认证授权；信息安全防护；信息安全监控；信息安全测试；信息安全审核；信息安全应急响应；信息安全教育培训；信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是：以信息安全服务为切入点，充分发挥企业优势资源，引领信息安全市场，为企业转型创造时机。具体目标如下：

1）推出面向客户安全（检查、教育、配置）产品；2）推出面向大型企业的信息安全咨询产品；3）推出面向家庭安全上网产品；4）推出面向企业安全运维产品；5）推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言，在此列举信息类分布式企业业务作为示例：

1）信息安全咨询类产品，其服务功能主要有：信息安全风险评估；信息安全规划设计；信息安全产品顾问。

2）信息安全教育培训类产品，其服务功能主要有：提供信息安全操作环境；提供信息安全知识教育；提供信息安全运维教育。

3）家庭类安全服务产品，其服务功能主要有：推出“家庭绿色上网”安全服务；家庭上网防病毒服务；家庭上网机器安全检查服务；家庭上网机数据备份服务。

4）企业类安全服务产品，其服务功能主要有：企业安全上网控制服务；企业安全专网服务；安全信息通告；企业运维服务。

5）容灾类安全服务产品，其服务功能主要有：面向政府数据灾备服务；面向政府信息系统灾备服务；面向企业数据灾备服务；面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际，按照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献：

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报，2006,23,(1):25～28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技术安全评估的系列标准[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列标准[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41～41,45～45.

企业信息安全措施范文第5篇

关键词：供电企业;信息安全;电力;网络信息化

DOI：10.16640/ki.37-1222/t.2015.21.131

0 引言

在我国能源行业中，供电企业占有十分重要的地位。目前，供电企业体制改革正在逐步走向信息智能化，网络信息系统在供电企业中的构建也变得日益完善[1-3]。这也使得供电企业对信息化的依赖程度越来越强，随之而来的信息安全问题也日益突出[4-6]。因此，构建完善合理的信息安全管理系统已成为供电企业亟需解决的问题。本文以国家电网辽宁省辽阳县供电公司为例，分析了目前存在的信息安全问题，并提出了一些改进措施。

1 信息安全存在的问题

供电企业网络信息系统面临的安全问题越来越多，归结起来主要表现在：系统漏洞;病毒感染;企业信息安全维护人员不足;人员信息安全意识薄弱;信息安全制度管理不完善等几个方面。

（1）系统安全漏洞。任何软件和系统都会存在一定的安全漏洞，所以说绝对安全的系统实际上是不存在的，供电企业的网络系统也同样如此。由于漏洞的存在，病毒、木马和黑客等一些攻击者可以利用这些“缺陷”攻击供电企业的网络，甚至可以获得计算机的管理权限。显然，这对于供电企业来说是非常危险的，会导致严重的安全问题。

（2）病毒感染。计算机病毒（Computer Virus）是一种编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，具有很强的寄生性、破坏性和传染性，被称为计算机系统的头号敌人。一旦侵入计算机，引发的危害相当严重，会破坏系统文件，偷盗计算机中有用信息，导致系统无法正常运行。在供电企业中使用信息网络技术时，由于大量的企业重要机密和客户信息储存在计算机系统中，计算机病毒一旦入侵并破坏计算机系统，系统中收集的重要资料将会丢失，损失是灾难性的。

（3）缺乏足够的系统维护人员。供电企业信息安全需要一定的专业技术技术人员来维护，但是在大部分供电企业中，以作者所在辽阳县供电公司为例，专门从事网络信息系统安全维护工作的专业技术人员仅有5位，这么少的专业技术人员承担不了繁重的电力网络信息安全工作，所以当企业的网络信息系统发生故障时，维护工作得不到有效的实施，进而影响供电企业的信息安全。

（4）人员信息安全意识薄弱。在供电企业中应用计算机信息网络技术时，由于相关电力工作人员安全意识薄弱而导致的企业信息安全问题时有发生，大大减弱了供电企业信息安全防御能力。例如相关技术人员的不认真导致误操作、未及时修复系统漏洞或者通过外接储存设备导致机密信息和重要文件的泄露等，这些由工作人员人为因素导致的安全问题将会在很大程度上影响供电企业的信息安全。

（5）信息安全管理制度不完善。多数供电企业的安全制度制定不够完善，没有高度重视和落实企业信息安全制度。经常会出现机密文件随处放、系统口令不设置、打印设备及网络共享等问题。这些问题的存在同样也会危害到供电企业的信息安全。

2 针对供电企业信息安全问题的相应措施

针对以上所述的信息安全问题，为了有效提高供电企业网络信息系统的安全性，我们提出了以下几个方面的改进措施。

（1）漏洞扫描和弥补漏洞缺陷。漏洞扫描包括基于主机的漏洞扫描和基于网络的漏洞扫描，是一项既经济又实用的安全策略，及时发现漏洞并修补，可以防止安全隐患向安全事件的转变。可针对我公司计算机中的数据库、操作系统及应用服务等进行漏洞扫描并修补，做到未雨绸缪，进一步保证网络信息系统的安全运行。

（2）防止病毒侵入计算机。随着全球智能电网的推进，供电公司的网络和办公也越来越智能信息化，这就给计算机病毒的传播提供了一个重要的传播途径。因此，供电企业各部门必须建设标准化的个人终端，对病毒软件做到不间断的更新，完善补丁。另外需要特别注意的是要严格控制盗版软件的使用，掌握更多的安全措施来防范木马病毒，严格控制用户访问权限。

（3）增强信息系统运行维护管理。针对作者所在供电公司，现在尚没有独立的部门进行信息系统运行维护，所以首先需要建立独立的运维部门，并增设足够的专业技术人员进行网络信息运行维护;并对技术人员进行部门内分工，制定相应的管理措施，完善整个网络信息维护流程;另外，需要对专业技术人员进行定期职业培训，提高他们的操作管理水平。

（4）提升员工信息安全防患意识。在适应网络信息技术潜在的快速发展要求的基础上，通过对全体员工采取信息安全培训与考核等有力措施，使得企业决策、管理、操作等各个层面的信息安全防范意识得到有效增强，企业信息安全管理经验也得到大量积累。如此，整个供电企业的信息安全水平会因为全体员工显著地信息安全防患意识而得到提升。

（5）改进信息安全管理制度体系。加快三级信息安全管理体系（信息安全管理部门、网络技术部门以及相关其他职能部门、基层单位）的建设步伐;具体落实针对主机设备、网络设备、机房其他设施设备（例如防静电地板、电源、空调、其他附属设施等）以及员工管理的相应管理制度的制定完善工作;明确管理人员、网络维护人员、外来人员的职责范围，确立身份认证制度，涉及机密文件的员工要签署保密协议，对外来人员的进出要登记等。

3 结束语

为保障供电企业的快速可持续发展，就要确保企业信息系统的安全稳定，就要在发现信息安全问题的基础上不断改进安全策略，促进合理完善的信息安全管理体系的构建。供电企业要完善信息安全管理制度，提高员工的信息安全防患意识，增强信息系统的运行维护管理，加强网络信息的安全监控，进而保证供电企业信息安全。

参考文献：

[1]吴金文，程丽琴.浅析供电企业信息安全管理[J].科技与创新，2015（11）：50.

[2]洪杰，段成铎.电力企业信息系统风险与安全管理研究[J].科技与创新，2015，18（13）：89-90.