企业信息安全治理

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇企业信息安全治理范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

企业信息安全治理范文第1篇

【关键词】 电力企业；网络安全；管理机制

一、电力企业网络安全存在的问题

网络本身存在着脆弱性，导致电力企业网络安全存在一定的危险性。威胁手段也分为好多种，包括计算机网络病毒的传播、用户安全意识薄弱、黑客手段的恶意攻击等等方式，导致网络存在许多安全问题。

1、计算机网络病毒的传播

一般来说，计算机网络的基本构成包括网络服务器和网络节点站。计算机病毒一般首先通过有盘工作站到软盘和硬盘进入网络，然后开始在网上的传播。具体地说，其传播方式有：病毒直接从有盘站拷贝到服务器中；病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；如果远程工作站被病毒侵入，病毒也可以通过通讯中数据交换进入网络服务器中。计算机病毒具有感染速度快、扩散面广、传播的形式多样、难以彻底消除、破坏性大等特点。

2、用户安全意识的淡薄

目前，在网络安全问题上还存在不少认知盲区和制约因素，一部分用户认为只要在电脑上安装了杀毒软件，那么系统就是安全的，不会意外中毒。或者上网过程中无意点击一个网页链接就有可能中了别人的"套"，有的是木马，有的是病毒，这恶意程序一旦运行就会读取你本地计算机的信息，你的安全防护即被打破。更有甚者，直接获取你的IP地址后直接入侵你的个人计算机，从而远程在线读取你本地磁盘的文件和相关信息，你确丝毫没有发现已被入侵。这样的网络安全意识淡薄的朋友们一定要注意一些垃圾网站和恶意链接。最值得一提的就是大多是用户在系统安装完成后，由于个人的惰性，不设置密码直接进入系统，或者有的设置密码了，但都是弱口令，很容易就能被破解。

3、黑客技术的恶意入侵

黑客技术是对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。这里说的缺陷包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误等。黑客技术对网络具有破坏能力，导致了网络安全行业的产生。电力企业网络上有很多重要资料，包括机密度很高的资料。所以，想得到这些资料的人，会通过网络攻击人侵来达到目的。网络攻击人侵是一项系统性很强的工作，主要内容包括：目标分析、文档获取、密码破解、登陆系统、获取资料与日志清除等技术。一些常用的入侵方式有以下几种：口令入侵、特洛伊木马技术、监听法、e-mail技术、病毒技术、隐藏技术等。

二、电力企业网络安全的基本防范措施

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。一般来讲，计算机网络安全的功能主要体现在网络、系统、用户、应用程序、数据等方面，每一面都应该有不同的技术来达到相应的安全保护。针对电力系统网络的脆弱性，需要采取的策略机制有以下几点：

1、密码策略

我们生活在信息时代，密码对每个人来说，并不陌生。在电力企业的网络运行环境中，密码更是显得尤为重要。可以这样说，谁掌握了密码，谁就掌握了信息资源。密码的重要性体现在很多方面：用户认证、访问控制、安全保密、安全审计、安全恢复等。2

密码的形成也不尽相同，它具有不同的加密方式：RSA算法、四方密码、替换加密法、换位加密法、波雷费密码，不同的加密法有各自的有点和缺点。密码技术有加密技术、认证技术和秘钥管理技术。密码分析者攻击密码的方式有：穷举攻击、统计分析攻击、数学分析攻击等。

2、防火墙机制

防火墙是在内部网和外部网之间实施安全防范的系统，是由一个或一组网络设备组成。防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。防火墙是最近几年发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制逾出两个方向通信的门槛。35防火墙逻辑位置示意图如下图1所示：

3、入侵检测技术

入侵检测（Intrusion Detection）是对入侵行为的发觉，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实施保护。4Dennying于1987年提出了一个通用的入侵检测模型，如下图2所示：

4、虚拟局域网（VLAN）技术和虚拟专用网（VPN）技术

局域网的发展是VLAN产生的基础，每一个局域网都是一个单独的广播域，处于同一个子网的主机节点可以直接通信，而处于不同子网的设备主机之间要通信只能通过路由器或交换机进行。随着发展，局域网接入主机越来越多，网络结构也渐趋复杂，更多的主机和更多的路由器让整个网路时延增大，网路传输速率下降，因为数据包的从一个路由发到另一个路由，要查询路由表再选择最佳路径转发出去。

虚拟专用网络是企业网在因特网等公用网络上的延伸，通过一个私用的通道来创建一个安全的私有连接。虚拟专用网络通过安全的数据通道将远程用户、公司分支机构、公司的业务合作伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。VLAN用来在局域网内实施安全防范技术，而VPN则专用于企业内部网与Internet的安全互联。VPN不是一个独立的物理网络，他只是逻辑上的专用网，属于公网的一部分，是在一定的通信协议基础上，通过Internet在远程客户机与企业内网之间，建立一条秘密的、多协议的虚拟专线。

三、构建电力企业网络安全管理机制

一个完整的网络安全管理系统不只是依赖于高端的科技手段，还需要有优秀的管理模式，正所谓“三分技术，七分管理”。管理是企业发展中不可缺少的一部分，它直接影响到企业的生存和持续。只有建立完善的安全管理制度，才能使网络信息安全管理在企业中得到充分发挥，保证信息安全的完整性和可使用性。6

1、建立合理的管理措施

1.1、运行维护管理

建立信息机房管理制度，确保机房运行环境符合要求，机房出入进行严格控制并记录备案；加强信息化资产管理，建立信息化资产清单，并根据国家规定的资产标示规范对资产进行标识；对信息系统软硬件设备选型、采购、使用等实行规范化管理，建立相应操作规程，对终端计算机、工作站、便携机、系统和网络等设备操作实行标准化作业，强化存储介质存放、使用、维护和销毁等各项措施。定期开展运行日志和审计数据分析工作，及时发现异常行为并进行分析和总结。

1.2、人员行为管理

加强个人计算机信息安全和保密管理，严格用户帐户口令管理，严格执行内外网终端使用要求，严禁泄漏、窃取企业保密信息、敏感信息，做到信息不上网，上网信息不；严禁利用信息化系统及资源从事与企业业务无关的事项。加强信息安全督查，定期对网络和信息系统进行全面信息安全检查，包括现有信息安全技术措施的有效性、安全配置与安全策略的一致性、信息安全管理制度的执行情况等。建立信息安全通报及考核机制，定期通报信息安全问题，信息安全执行情况将纳入企业信息化考核。

2、建立精湛的技术措施

坚持“分区分域、分级保护”的总体防护策略，内外网物理隔离，信息系统按照等级保护要求进行防护，对基础设施、网络、应用、数据等进行全面的安全技术手段。

2.1、基础设施安全

信息机房的新建、改建、扩建必须按照国家有关规定和技术规范进行。信息机房附近的施工工作不得危害信息系统的安全。制定信息机房管理规范，加强机房安全监控，确保机房运行环境符合要求。信息系统测试环境和信息系统正式运行环境要物理分离。

2.2、网络安全

网络核心交换机、路由器等网络设备要冗余配置，合理分配网络带宽；根据业务需求划分不同子网，建立业务终端与业务服务器之间的访问控制；对重要网段采取网络层地址与数据链路层地址绑定措施。信息内网禁止使用无线网络组网；采用防火墙或入侵防护设备对网络边界实施访问审查和控制；对进出网络信息内容实施过滤，对应用层常用协议命令进行控制，网关应限制网络最大流量数及网络连接数；加强网络安全审计工作，定期分析审计报表。

2.3、应用安全

加强系统用户帐户管理，要求对用户身份进行鉴别，删除示例帐户、测试帐户，禁止帐户存在弱口令；加强系统访问控制管理，保证操作系统与数据库特权用户权限分离；加强系统资源控制，控制用户会话数和并发连接数，及时监测系统故障；加强系统安全审计，应定期生成系统审计报表，审计记录应受到保护，避免删除、修改或破坏。

2.4、数据安全

重要和敏感信息实行加密传输和存储；对重要数据实行自动、定期备份；对外网站应具有防篡改机制和措施。

综合上述几方面的论述，企业必须充分重视和了解网络信息系统的安全威胁所在，制定保障网络安全的应对措施，落实严格的安全管理制度，才能使网络信息得以安全运行。由于网络信息安全的多样性和互连性，单一的信息技术往往解决不了信息安全问题，必须综合运用各种高科技手段和信息安全技术、采用多级安全措施才能保证整个信息体系的安全。要做到全面的网络安全，需要综合考虑各个方面，包括系统自身的硬件和软件安全，也包括完善的网络管理制度以及先进的网络安全技术等。

参考文献

[1] 刘凡馨，《黑客攻防》，清华大学出版社2011

[2] 刘晓辉，《网络安全技术》，化学工业出版社2010

[3] 孟洛明，《现代网络管理技术》，北京邮电大学出版社2001

[4] 唐正军，《入侵检测技术导论》，机械工业出版社2004

企业信息安全治理范文第2篇

一、人力资本与物质资本的契约关系:高新技术企业与传统企业的比较分析

与传统企业相比,高新技术企业人力资本与物质资本的关系发生了深刻变化,主要表现在以下三点:

1.从雇用关系到合作关系的转变

传统企业的最大特征是生产的资本化,即在企业的创立和发展过程中,物质资本投入比重非常大并远远超过人力资本投入比重;同时,从市场供求关系看,物质资本供应相对稀缺,而人力资本(主要是普通劳动力)相对充足。因此,传统企业的主人是物质资本所有者。人力资本在形式上隶属于物质资本,纳入到物质资本运动中并服从物质资本的需要,支配了物质资本也就支配了人力资本,产权的运作仅是物质资本的运动,即资本增值和创造利润的过程。这样,企业的契约关系表现为物质资本所有者雇用人力资本所有者的关系。即使是在“两权分离”的现代企业里,企业经营管理职责由人力资本所有者(企业家或职业经理人)承担,物质资本所有者(股东)投入的股本在公司中转化为公司的法人财产,这种安排仍没改变股东是企业的所有者、经营者是股东的被雇用者的状态,经营者仅被视为股东的人,股东通过董事会或股东会“用手投票”行使企业的控制权,或通过资本市场“用脚投票”制约管理者。

与传统企业相比,高新技术企业主要依赖于人力资本,这一重要特点决定了高新技术企业的创立主要有两种方式。第一种方式是既拥有高科技知识和创新成果又具有经营管理才能的人力资本所有者,通过自身的内部融资自己创立企业和组织生产经营活动,由此人力资本与物质资本融为一体;第二种方式是拥有创新知识和技术成果的人力资本所有者,与提供货币资本的物质资本所有者共同创立企业和经营管理企业。由于高新技术企业投资具有突出的风险性,传统的债务融资并不适用于企业的融资需要,因此高新技术企业的物质资本主要表现为风险资本,风险资本的突出特点是股权资本融资,其最终目的是赢利退出,而非长期控制企业,一旦创业成功风险投资者将在市场抛售股票以收回资本、获得巨额利润,并开始扶持新的高新技术企业。因此,高新技术企业是人力资本所有者和物质资本所有者在共同利益基础上创立和发展的,前者提供管理能力、创新知识和技术成果,后者提供物质资本,企业的契约关系从一开始就表现为合作关系,而不是雇用与被雇用关系。

2.从单一委托关系到多重委托关系的转变

企业是委托人和人之间围绕风险分配所做的一种契约安排,委托权的本质是承担风险,因此成为委托人所需的根本条件是承担风险。在传统企业,企业的风险主要表现在物质资本的风险上,物质资本所有者几乎承担着企业的全部风险,所以传统企业的委托—关系是以物质资本为核心要素构建的单一委托关系,即物质所有者是委托人,人力资本所有者是人。但是,在高新技术企业里,物质资本所有者(即风险资本投资者)通常将风险资本委托或投资于风险投资公司,由风险投资公司再投资于高新技术企业,由于风险投资公司的最大优势是资本经营与运作而非企业管理与运行,因此他们一般担任董事会建设者的角色,这样,风险资本投资者不仅不参与高新技术企业的创立,而且不参与企业经营管理,而人力资本所有者成为高新技术企业创立的主要角色。此时,在现代市场经济条件下,物质资本投资者的风险日益社会化,风险资本不能承担企业全部风险,而只是对自己的投资承担风险,而人力资本在高新技术企业的专用性和团队化日益提高,一旦退出企业或企业失败,其价值将大大降低,人力资本投资者,特别是创业企业家和核心技术人员也成为高新技术企业风险的承担者。显然,风险资本投资者、风险投资家、企业家和技术创新者形成了风险共担、收益共享的格局,这种格局打破了只有物质资本所有者是惟一的委托人,而其他人只能做人的产权配置态势,传统的单一的委托关系发生了质的变化,变成多重委托关系。在这种新型委托关系中,每一个所有者在凭借对自己拥有的生产要素产权行使委托人权利时,也同时是其他生产要素所有者的人,每一个要素所有者都有资格管理他人,同时也接受他人的管理。如拥有技术创新能力的人力资本所有者在委托风险投资者和企业家人力资本所有者把自己的创新知识、创新技术和创新设计商品化、产业化时,也他们行使技术创新的职能。这种新型委托关系为高新技术企业产权关系和治理结构优化、最大限度降低风险创造了条件。

3.从天然对立关系到有效合作关系的转变

长期以来,传统企业的所有权被认为是物质资本的企业所有权,在企业治理结构中只存在一种所有权,即物质资本所有权,这种所有权能够量化、价值化和资本化;相反,人力资本的企业所有权表现为非价值化和非资本化,两种资本的企业所有权是非对称的。同时,传统企业的委托关系特征决定了人的行为目标应该与委托人(股东)的目标一致,即企业的惟一目标是股东利益的最大化。企业所有权主体的惟一性和企业目标的惟一性导致传统企业中物质资本所有者和人力资本所有者的天然对立。但是,高新技术企业人力资本所有者和物质资本所有者的合作性质和新型委托关系,决定了企业所有权主体是多元的,企业的目标既是物质资本所有者(股东)利益的最大化,也是人力资本所有者利益的最大化,这有效地实现了两者利益目标取向的一致性,使两者的对立关系转变为有效合作关系。

二、高新技术企业产权结构特征

1.高新技术企业产权多元化

与传统企业相比,高新技术企业的产权结构是多元化的,由两种主要的产权形式构成,即物质资本产权和人力资本产权。前者的人格化代表是风险资本投资者,其投资主体也是多元化的,主要包括三者:一是政府,如美国政府建立了中小企业投资公司,为每一美元风险投资提供四美元的低息贷款;二是资本市场上的各种金融中介机构,如证券公司、投资银行、

保险公司和各种基金组织等,由这些组织组成的各种形式的风险投资基金;三是风险投资公司,它通常是由一些大公司设立的。后者的人格化代表是拥有管理能力和技术创新能力的创业者(企业家)和核心技术人员。高新技术企业的高风险性,对其创业者提出了很高的要求,要求他不仅要有全面的专业知识、丰富的市场经验,而且要有处险不惊、果敢刚毅的人格魅力。在一定意义上可以说,创业者决定着风险企业是成功还是失败。因此,创业者作为企业创始人以及他的知识和经验作为企业专用的资产,其往往拥有较多的股权。同时,技术创新对高新技术企业的决定性意义远胜于一般企业,技术的复杂性和不确定性决定了技术的定价非常困难,甚至无法定价,而且技术创新过程是一种创造性的智力活动,对技术创新人员的工作过程和结果进行监督并不能导致效率最大化,因此高新技术企业不是采用传统企业中将技术人员置于被雇用者地位的做法,而是将核心技术以股权等形式进入企业的产权结构安排中。 由物质资本产权和人力资本产权为主体构成的风险资本投资者、创业者和核心技术人员,一开始就进入高新技术企业的产权结构中。这种产权结构既强调物质资本产权的实现,也强调人力资本产权的实现,对两种产权的权利、责任和利益进行了明确界定:对风险资本产权而言,风险资本所占股份为多少,风险资本退出的周期多长以及如何实现成功退出,风险资本如何进行风险控制管理,等等;对人力资本产权而言,技术创新的周期多长,技术创新成果的市场经济价值多大,值多少股份,创业者在创业过程中的权利、责任与利益如何安排,等等。高新技术企业产权多元化,既激励约束了风险资本投资者,也激励约束了人力资本所有者,体现了高科技时代企业增长和经济发展的创新模式。物质资本产权和人力资本产权的结合构成了高新技术企业产权的全部内涵。

2.人力资本产权的独立性、股份化和可交易性

在传统企业里,人力资本所有者虽然参与了企业的剩余索取权和控制权,但这种权利并不是以所有者的身份获得的,而是物质资本所有者对人力资本所有者的奖励或激励,因此,在企业产权结构中,两种产权是不对等的,物质资本产权统治和支配着人力资本产权,人力资本产权从属于物质资本产权,人力资本剩余索取权仅仅表现为一定量的利润分享,并没有股份化和市场化,由此人力资本产权不能在资本市场进行交易。在高新技术企业里,由于人力资本所有者是企业的合作者之一,因而人力资本产权是以所有者身份获取的,是一种独立的、与物质资本产权对等的产权形式。

高新技术企业人力资本产权的另一个重要特征是人力资本产权的股份化和可交易性。人力资本产权部分是以创业者身份和技术创新成果获得的股份,部分是以企业家人力资本和技术型人力资本获得的股票期权。随着高新技术企业成长到一定阶段,它已积累了一定资产,并向有限公司转变,这不仅为人力资本转化为货币资本提供了条件,而且为人力资本所有者从对企业承担无限责任向承担有限责任转变提供了条件。在高新技术企业公开招股上市,完成由封闭公司向公众公司转变时,人力资本产权的最终实现是产权的股份化,人力资本所有者本身就成为企业股份的所有者,真正成为拥有剩余索取权和剩余控制权的股东,人力资本所有者的人力资本彻底向货币资本转化,并可在资本市场进行交易。因此,在高新技术企业发展过程中,逐步实现人力资本产权资本化、股份化,并可以在资本市场交易和变现,这既能促进人力资本产权价值的真正实现,又对高新技术企业发展和产权结构调整具有重要意义。

3.高新技术企业产权高度流动性

高新技术企业流动性快,增长性也快,面临很大的不确定性,风险资本投资者投资于高新技术企业的目的是为了获得高额回报,为了控制和避免风险,获取高额收益,无论是风险资本投资者还是创业者,都要求高新技术企业的产权具有高流动性,都要求产权能迅速变现。首先,高新技术企业能根据企业发展阶段和经营状况调整企业的产权结构。在高新技术企业创立初期,创业者和风险资本投资者根据出资量和估算的技术成果市场价值来确定双方的股权结构,但创业者一般持有普通股,风险资本投资者持有可转换优先股或可换股债券等复合金融工具。可转换优先股的优势:一是转换价格和转股比例可以依据企业发展状况而灵活变化;二是具有优先清偿权;三是附加有股息率和支付条款。这种优势可以保证风险资本投资者在企业发展的不同阶段选取对自己最有利的股权方式。因此,创业者收益与企业经营业绩紧密联系,企业业绩越好,创业者可获得更多的股票份额和更高的股票价值;当企业经营不善时,风险资本投资者的优先股转股比例提高,创业者持股比例下降,而且在支付优先股利息之后,普通股已经大大贬值了。这种产权结构流动既激励约束了创业者,也保护了风险资本投资者的产权利益。

其次,高新技术企业发展到成熟阶段,风险资本投资者能适时将手中的高新技术企业产权转让变现,通过产权流动实现风险资本和人力资本产权回报。高新技术企业产权流动的主要形式有:一是技术转让,即通过将新研发的技术卖出,收回风险资本投资本金并实现技术创新者的人力资本价值。二是经营运作,一方面通过产品的持续销售获得利润,逐步收回投资本金;另一方面通过确认人力资本的股权和持续的利润分配,实现各类人力资本产权的价值。三是资产转让,即将企业资产连同新技术一并卖出,收回风险资本投资本金并同时实现各类核心人员的价值。四是股权转让,即将一部分或全部股权转让给其他投资者,从而收回风险资本投资本金和实现人力资本产权价值。五是公司上市,即通过公司股份在证券交易场所上市流通,卖出股份,收回投资本金和实现人力资本产权价值。这五种产权流动形式虽各有优势和不足,但从功能从较角度来看,“公司上市”最为重要。通过提供多元化的风险资本退出渠道和建立多层次的资本市场体系促进产权流动,风险资本投资者和人力资本所有者获得产权回报,也使企业获得进一步发展。美国通过纽约证券交易所、NASDAQ全国市场及小型市场、各类场外交易市场等多层次资本市场,为风险资本提供良好的退出通道,同时为其他投资主体进入高新技术企业产权结构中提供了通道,这就保证高新技术企业产权能迅速、顺畅地流动,从而确保了风险资本和人力资本产权的实现,也保证了高新技术企业持续稳定发展。

4.高新技术企业创业阶段一般采取有限合伙制的产权制度安排

有限合伙制在产权结构上具有以下特征:

(1)人力资本产权的无限责任与风险资本产权的有限责任统一。高新技术企业创业阶段由有限合伙人和普通合伙人组成,有限合伙人是风险资本投资者,其投资量一般占总投资的99%,并以其所投资本承担有限责任,企业成功后可分得75~85%的资本利润;普通合伙人是风险资本家和创业者,他们是企业的管理者和决策层,其投资量仅为总投资的1%,但对企业的经营承担连带无限责任,成功后可分得15~25%的利润。人力资本产权的无限责任将人力资本与企业发展紧密地联系在一起,既是一种股份激励制度,也是一种企业治理的约束制度,风险资本产权的有限责任有利于吸纳高新技术企业所需的资金,因此人力资本产权的无限责任和风险资本产权的有限责任的产权制度安排,促进了高新技术企业的技术创新和科技成果转化,充分实现了两种资本的高效配置。

(2)有限期限的封闭式风险资本和强制分配条款。风险资本投资的主要功能在于向高新技术企业提供长期融资,由于高新技术企业还未上市,因此风险资本投资一般采用封闭式,有限合伙人一般不能撤资,风险资本流动性较差,且投资周期有限,通常为7~10年。为了保护有限合伙人的利益,产权契约规定投资期满后,除非2/3的有限合伙人同意延长一年,否则风险资本家和创业者必须退还本金和分配收益。

(3)有限合伙人虽没有管理权,但在关键问题上有投票的权利,如有限合伙协议的修订,合伙关系的提前解除,基金寿命的延长,风险资本家的撤换等。

三、新技术企业治理结构特征

1.强化人力资本治理结构

传统的公司理论是以“股东资本本位”理论构建的,公司被理解为是一个由物质资本所有者组织起来的联合体

,在股东的资本和管理者、生产者的劳动这两个生产要素中,为公司提供物质资本的“资本家”对企业拥有绝对的所有权,管理者或生产者只是股东资本的雇佣者。因此,公司治理结构所要解决的问题是,在公司所有权与经营权分离的条件下,如何确保物质资本所有者获得投资回报,即物质资本所有者通过什么机制迫使经营者将公司的利润作为投资回报返还给自己;如何约束经营者的行为并使其在物质资本所有者的利益范围内从事经营活动。但是,在知识经济的模式下,一方面,高新技术企业核心价值掌握在人力资本所有者手里,人力资本已经成为企业生存和发展的决定性生产要素;另一方面,高新技术企业的生产、经营活动已经高度专业化,分工也越来越细。生产者、经营者对专有知识、专有信息独占性越来越强,与物质资本所有者的“信息不对称”现象也越来越严重,并且也越来越不可逾越。在这种情况下,传统的企业制度和治理结构形式显然无法容纳人力资本的作用,为了解决上述问题,适应高新技术企业发展的需要,高新技术企业公司治理结构的重心产生了重大变化,发生了从“以资为本”向“以人为本”的转变。即企业已从过去那种以物质资本为基础,以物质资本的所有者和经营者的关系如何界定为中心的治理结构。转向了以物质资本和人力资本为基础,以这两种资本的权利关系如何界定为中心的治理结构,企业治理结构主要围绕如何激励以调动人力资本的积极性和如何适当约束人力资本的短期行为,激励机制可以保证人力资本应有的地位及利益,而约束机制则可以防止人力资本侵犯物质资本的利益,从而维护物质资本的地位及利益,通过建立激励与约束兼容的机制来实现两种资本双赢。因此,高新技术企业的人力资本成为企业治理结构安排的重要要素,强化人力资本治理结构成为知识经济条件下高新技术企业最典型的企业治理结构形态。 高新技术企业人力资本治理结构主要表现为:首先,人力资本股权激励成为高新技术企业治理机制的重要组成部分。为了激励人力资本,高新技术企业在股权安排方面往往通过股权激励制度安排使人力资本所有者拥有股权。股权激励采取的形式一般有两种,一种是将企业的一部分股权作为人力资本所有者的非现金收入或直接发放给他们作为管理股和技术股,人力资本所有者直接成为企业所有者;另一种是实行人力资本所有者股票期权,股票期权是规定人力资本所有者在某一段时期内按照某一约定的较低价格买进股票的权利,其实质是让经营者能够分享企业长期发展之后的价值增值,将人力资本所有者的收益与企业的利益紧密结合在一起。这种内在的联系使得经营者克服了决策和规划的短期效应,在公司的经营管理和发展战略问题上考虑的是企业的长期赢利能力。在高新技术企业治理中,一方面,股权激励使人力资本成为企业的所有者之一,增大了人力资本所有者经济实力,增强了人力资本所有者对企业的控制能力,从而强化了人力资本在企业治理结构中的作用;另一方面,股权激励使人力资本既分享企业增长所带来的收益,也承担企业风险所带来的损失,从而人力资本与企业的发展休戚相关,同时,人力资本所有者与物质资本所有者形成利益共同体,双方共同分担风险,相互制约,相互促进,降低了成本。

其次,董事会作用的弱化和首席执行官(CEO)制度的形成。CEO拥有远远大于以往总经理的权利,不仅正常的经营管理,而且在公司战略、重大投资、财务安排等方面拥有很大权力,还具有提名内部董事的资格,因此一般认为CEO拥有相当于50~60%的董事长权力。董事会的决策作用和监督作用都开始弱化,董事会的权力只局限于挑选一位合格CEO,当公司战略出现重大失误或者业绩出现严重问题时选择新的CEO代替前任。与此相对应的是,为保证权力巨大的CEO不滥用权力,CEO常常以管理层收购或者购买期权的形式拥有相当数量的企业股权,不再是单纯的公司雇员。CEO制度的产生实际上表明了高新技术企业治理结构的全面调整,一方面对人力资本和物质资本的地位和权利做重新的界定,主要是提高了人力资本在企业中的地位,增大了人力资本在企业中的权利,而物质资本的权利大多表现在产权的利益回报上,而不是其他方面,不再强调物质资本对企业的控制;另一方面对人力资本和物质资本进行功能性分工,经营活动已由CEO来独立进行,董事长不再进行重大经营决策。

最后,高新技术企业风险投资制度的发展更强化了人力资本治理。虽然风险资本投资者持有公司相当一部分股权,甚至持有大部分股权,但风险投资的持股期限是有限的,对经营管理的介入也是有限的,这使得风险资本具有某种“借贷资本”的性质,较多注重收益而较少注重管理。

2.风险资本的相机治理

风险资本在高新技术企业中一般采取相机治理的方式参与企业治理。风险资本在高新技术企业投资过程中,通常采用的投资工具有可转换优先股、可转换债券和附购股权债券等。其中可转换优先股是最普遍的一种形式,其优势在于:其一,持有优先股可优先获得固定的股息,并可以在企业经营状况良好时通过转换为普通股而分享企业利润增长的利益;其二,可转换优先股一般附有赎回条款,在投资者对企业前景信心不足时,持有人可要求企业赎回股票,从而避免更大的损失,同时也对企业创业者形成更大的压力和约束;其三,可转换优先股通过转换为普通股可加强持有人对企业的监督控制。一般企业的优先股意味着优先分配利润和没有表决权,放弃对企业重大决策的参与。而在高新技术企业里风险资本投资者在投入风险资本时,投资者和创业者双方要签订契约,把大量防范风险、确保回报的条款列入契约,风险投资虽持有优先股,却享有参加董事会并参与重大决策的权利,享有对某些重大事项如企业产权转让、出售、上市等的完全否决权或超股权比例的否决权。可转换债券是持有人能以约定期限和约定价格转换为企业股份的债券,选择可转换债券使风险投资者在取得稳定收益的基础上,通过债权转股的方式获得参与企业经营管理并分享成长潜力的机会。附购股权债券是指风险资本以债权形式进入高新技术企业时可获得一项认股权,即能够在未来按某一特定价格买进既定数量的股票,这使得投资者未来可能以较低价格获得企业股份,从而加强对企业的监控地位。

3.以高度发达的人力资本市场和资本市场为主导的外部治理机制

人力资本需要经过市场的洗礼,需要在企业经营中证实与不断证实,如果人力资本所有者的经营绩效不好,就会失去在人力资本市场中的“声誉”,很难再有机会成为风险资本投资者搜寻的对象。因此,人力资本市场实际上是满足市场基本门槛、对学历、背景、业绩与失误详细记载的动态人群,通过这个市场,作为一种资本的人力资本能不断流动,把真正具有价值的人力资本留下来,这对企业中的人力资本形成强大外部压力,从而对人力资本起到了重要的约束作用。管理者更替是美国高新技术企业治理的重要组成部分,这依赖于高度发达的人力资本市场。在美国高新技术企业中大多实行驻守企业家制度,即风险资本投资者通过人力资本市场物色有成功创业经历的优秀企业家,让他们在风险基金中任职,参与组建高新技术企业,在必要时担任新组建的高新技术企业的管理者。

企业信息安全治理范文第3篇

关键词：信息安全；防护体系

随着企业各个业务系统的深化应用，企业的日常运作管理越来越倚重信息化，越来越多的数据都存储在计算机上。信息安全防护变得日益重要，信息安全就是要保证信息系统安全、可靠、持续运行，防范企业机密泄露。信息安全包括的内容很多，包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展，数据通信网改造后，市县信息网络一体化相互融合，安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现，一是提升安全防护技术手段，二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面，安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此，企业要提升信息安全，必须从管理机制、技术防护、监督检查、风险管控等方面入手，并行采取多种措施，严密部署县公司信息安全防护体系，确保企业信息系统及网络的安全稳定运行，主要体现在以下几方面：

1机制建立是关键

企业信息安全防护“七分靠管理，三分靠技术”，没有严谨的管理机制，安全工作是一纸空谈，因此，做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下，设立县公司数据通信网安全防护工作组，由信通管理部门归口负责日常工作，落实信息安全各级责任。将信息安全纳入县公司安全生产体系，进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度，加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究，企业最大信息安全的威胁来自于内部，因此，企业应以“时时讲信息安全，人人重信息安全，人人懂信息安全”为目标，开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作，为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介，充实信息安全内容，营造信息安全氛围，进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制，修订完善县公司数据网现场应急处置预案，加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度，进一步畅通安全事件通报渠道，规范信息安全事件通报程序，做好应急抢修人员、物资和车辆准备工作，及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施，确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。

2技术防护是基础

技术防护要从基础管理、边界防护、安全加固等方面入手[2]。（1）基础管理方面。一是技术资料由专人负责组织归类、整理，设备或接线如有变化，其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定，并设置明显的不易除去的标识，屏（柜）前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案，有月度及年度检修计划并按计划进行检修，检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作，都按有关程序严格执行，并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告，确保系统缺陷和异常及时发现，及时消除。（2）安全隔离方面。安全隔离与信息交换系统（网闸）由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡，从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略，既可以实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。（3）边界防护方面。一是部署防火墙，做好网络隔离。在路由器与核心交换机之间配置防火墙，并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略（即整体禁止，根据需要开放白名单中地址）。将内部区域（下联口）权限设置为禁止、外部区域（上联口）权限设置为允许。定义防火墙管理地址范围，针对PING、Webui、Gui三种服务进行设置：只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序，需要进行策略调整的相关单位，必须填写申请单，且必须符合相关安全要求，经审批后进行策略调整。三是严禁无线设备接入。（4）安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限，删除系统多余用户，避免使用弱口令。二是安装系统安全补丁，对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务，确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中，认真分析网络与信息系统安全潜在威胁、薄弱环节，综合运用评估工具，在常规评估内容基础上，加强渗透性验证测试和密码脆弱性测试，重视对系统结构与配置的安全评估。根据评估结果，及时提出并落实整改方案，实施安全加固措施。

3监督检查是保障

全面落实“按制度办事，让标准说话”的信息安全管理准则，在企业指导下，由县公司信通专业牵头，业务部门主导，分工协作建立督查机制，加强过程安全管控与全方位安全监测，推进安全督查队伍一体化管理，完善督查流程和标准，开展好安全督查工作，以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平，加强督查队伍建设。二是完善督查机制，对督查中发现的问题督促落实整改，并开展分析总结，通报相关情况。三是开展常态督查，通过软件扫描、终端监测等手段，确保监测全方位。四是加强考核，开展指标评价。保障督查管理水平和工作质量。

险管控是对策

为确保公司信息化网络安全，公司要将被动的事件驱动型管理模式转变为主动的风险管控模式，主动地对威胁和风险进行评估，主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法，进行动态的控制和治理，通过治理的流程控制措施进行资源的调配，实现对关键项目、关键技术、关键措施的扶持，对非关键活动的控制，确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域，同时，对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节，提出了安全防护经验的措施，从管理机制、技术防护、监督检查、风险管控等方面入手，提高了县公司全体人员信息化安全意识，极大地保障了企业系统（含县公司）信息网络系统的安全、稳定运行，完善了县公司信息安全策略及总体防护体系，密织信息安全防护网，保障数据网不失密、不泄密，不发生信息安全事件。公司下一步将加强信息化常态安全巡检，加强信息化相关资料的管理，加强单位干部员工的信息化安全培训力度，进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识，保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程，涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全，必须加强安全意识培训，制定明确的规章制度，综合各项信息安全技术，建立完善的信息安全管理体系，并将信息安全管理始终贯彻落实于企业各项活动的方方面面，做到管理和技术并重，形成一套完善的信息安全防护体系。

参考文献：

[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).

企业信息安全治理范文第4篇

1.论信息安全、网络安全、网络空间安全

2.用户参与对信息安全管理有效性的影响——多重中介方法

3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程

4.论电子档案开放利用中信息安全保障存在的问题与对策

5.美国网络信息安全治理机制及其对我国之启示

6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究

7.“棱镜”折射下的网络信息安全挑战及其战略思考

8.再论信息安全、网络安全、网络空间安全

9.“云计算”时代的法律意义及网络信息安全法律对策研究

10.计算机网络信息安全及其防护对策

11.网络信息安全防范与Web数据挖掘技术的整合研究

12.现代信息技术环境中的信息安全问题及其对策

13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角

14.论国民信息安全素养的培养

15.国民信息安全素养评价指标体系构建研究

16.高校信息安全风险分析与保障策略研究

17.大数据信息安全风险框架及应对策略研究

18.信息安全学科体系结构研究

19.档案信息安全保障体系框架研究

20.美国关键基础设施信息安全监测预警机制演进与启示

21.美国政府采购信息安全法律制度及其借鉴

22.“5432战略”:国家信息安全保障体系框架研究

23.智慧城市建设对城市信息安全的强化与冲击分析

24.信息安全技术体系研究

25.电力系统信息安全研究综述

26.美国电力行业信息安全工作现状与特点分析

27.国家信息安全协同治理:美国的经验与启示

28.论大数据时代信息安全的新特点与新要求

29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究

30.工业控制系统信息安全研究进展

31.电子文件信息安全管理评估体系研究

32.社交网络中用户个人信息安全保护研究

33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述

34.三网融合下的信息安全问题

35.云计算环境下信息安全分析

36.信息安全风险评估研究综述

37.浅谈网络信息安全技术

38.云计算时代的数字图书馆信息安全思考

39.“互联网+金融”模式下的信息安全风险防范研究

40.故障树分析法在信息安全风险评估中的应用

41.信息安全风险评估风险分析方法浅谈

42.计算机网络的信息安全体系结构

43.用户信息安全行为研究述评

44.数字化校园信息安全立体防御体系的探索与实践

45.大数据时代面临的信息安全机遇和挑战

46.企业信息化建设中的信息安全问题

47.基于管理因素的企业信息安全事故分析

48.借鉴国际经验 完善我国电子政务信息安全立法

49.美国信息安全法律体系考察及其对我国的启示

50.论网络信息安全合作的国际规则制定  

51.国外依法保障网络信息安全措施比较与启示

52.云计算下的信息安全问题研究

53.云计算信息安全分析与实践

54.新一代电力信息网络安全架构的思考

55.欧盟信息安全法律框架之解读

56.组织信息安全文化的角色与建构研究

57.国家治理体系现代化视域下地理信息安全组织管理体制的重构

58.信息安全本科专业的人才培养与课程体系

59.美国电力行业信息安全运作机制和策略分析

60.信息安全人因风险研究进展综述

61.信息安全:意义、挑战与策略

62.工业控制系统信息安全新趋势

63.基于MOOC理念的网络信息安全系列课程教学改革

64.信息安全风险综合评价指标体系构建和评价方法

65.企业群体间信息安全知识共享的演化博弈分析

66.智能电网信息安全及其对电力系统生存性的影响

67.中文版信息安全自我效能量表的修订与校验

68.智慧城市环境下个人信息安全保护问题分析及立法建议

69.基于决策树的智能信息安全风险评估方法

70.互动用电方式下的信息安全风险与安全需求分析

71.高校信息化建设进程中信息安全问题成因及对策探析

72.高校图书馆网络信息安全问题及解决方案

73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析

74.云会计下会计信息安全问题探析

75.智慧城市信息安全风险评估模型构建与实证研究

76.试论信息安全与信息时代的国家安全观

77.IEC 62443工控网络与系统信息安全标准综述

78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义

79.浅谈网络信息安全现状

80.大学生信息安全素养分析与形成

81.车联网环境下车载电控系统信息安全综述

82.组织控制与信息安全制度遵守:面子倾向的调节效应

83.信息安全管理领域研究现状的统计分析与评价

84.网络信息安全及网络立法探讨

85.神经网络在信息安全风险评估中应用研究

86.信息安全风险评估模型的定性与定量对比研究

87.美国信息安全战略综述

88.信息安全风险评估的综合评估方法综述

89.信息安全产业与信息安全经济分析

90.信息安全政策体系构建研究

91.智能电网物联网技术架构及信息安全防护体系研究

92.我国网络信息安全立法研究

93.电力信息安全的监控与分析

94.从复杂网络视角评述智能电网信息安全研究现状及若干展望

95.情报素养:信息安全理论的核心要素

96.信息安全的发展综述研究

97.俄罗斯联邦信息安全立法体系及对我国的启示

98.国家信息安全战略的思考

企业信息安全治理范文第5篇

关键词：信息系统；安全防护；安全域；边界安全

中图分类号：TP393.08

随着电网企业信息化建设的逐步推进，大批信息系统相继投入运行，信息系统几乎贯穿于电网企业的各项工作环节，信息化建设对于提高国家电网公司经营生产管理水平、支撑集团化运作、集约化发展发挥了重要作用。但同时，若信息系统存在信息安全方面的问题，就会影响电力系统的安全、稳定运行，进而影响电网的可靠供电。因此，信息系统安全成为电网企业信息化工作的重中之重。

1 电网企业信息安全防护总体思路

电网企业信息系统安全防护要贯彻国家有关信息安全防护政策，全面落实国家电网公司信息安全相关的各项政策和制度，平衡信息安全风险和防护成本之间的关系，优化资源配置，在有限的成本下，使风险最小化，最大程度地保障信息系统的安全稳定运行，同时根据信息安全等级保护制度的相关要求，着重加强与公司重大利益相关的重要系统的安全防护。电网企业信息安全防护应遵循“分区分域、安全接入、动态感知、精益管理、全面防护”的安全策略，完善防护机制，健全信息安全管理措施和安全技术手段，完善信息安全基础支撑平台，提升信息安全综合治理水平，满足公司智能电网建设和“三集五大”对信息安全的需求。

2 电网企业信息安全防护措施

2.1 安全域划分

2.1.1 安全域的定义

安全域是由一组具有相同安全保障需求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。安全域是一组具有安全防护共性的系统的逻辑集合，一个安全域可以包括一个或多个物理或逻辑网段。分域防护的目标不仅是为了实现边界防护，而且是一组在网络、主机、应用等多个层次上深层防护措施的体现。

2.1.2 安全域的划分

安全域的划分应依据总体防护方案中定义的“二级系统统一成域，三级系统独立成域”的方法进行，结合某省电力公司的应用系统使用情况，将整个信息系统共计分为8个安全域。

2.1.3 安全域的实现

安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。

2.2 信息系统边界安全

边界安全防护是检测出入边界的数据信息，并对其进行有效控制的防护措施。根据边界类型的不同，需采取不同的防护措施。

信息系统边界主要分为信息外网边界和信息内网边界两大类，其中信息外网边界主要包括纵向边界和横向域间边界；信息内网边界主要包括纵向边界、横向域间边界和第三方边界。

2.2.1 信息外网域及边界安全

根据电网企业安全域的划分，外网包含外网桌面终端系统域、外网应用系统域和二级系统域共3个区域，对其防护主要从边界网络访问控制方面考虑。

（1）实施边界网络访问控制：在外网边界部署防火墙，对进出内部网络的数据流制定访问控制策略；在外网系统域的边界处部署防火墙，对进出内部网络的数据流制定访问控制策略；（2）外网桌面终端病毒防护：通过部署杀毒软件，实现对外网桌面终端的防病毒管理；（3）入侵防护系统：在互联网出口处，部署入侵防护系统（Intrusion Prevention System，IPS），同时在IPS上开启针对蠕虫病毒、网络病毒的入侵防护功能，主动发现主要的攻击行为和恶意信息的传输；（4）外网网络、数据库审计：在网络核心处部署网络审计、数据库审计系统，通过网络审计系统可以对信息外网进行监控，分析主机负载，发现网络瓶颈，并绘制出直观的流量曲线图、柱状图，有效发现网上出现的异常流量。

通过数据库审计可以主动收集各类对数据库的访问，进行记录和分析的措施，弥补数据库日志审计对实际活动记录的不足，有效保护重要的数据库系统，审计的结果有助于系统管理人员分析各类服务器被访问的情况，并通过访问还原技术，清楚地看到对数据库系统进行访问的过程情况。

2.2.2 信息内网域及边界安全

信息内网边界安全防护主要从边界网络访问控制、入侵检测、终端安全防护、链路冗余等方面考虑。

（1）边界网络访问控制：建立各应用系统汇聚层，不同应用系统之间采用VLAN技术逻辑隔离，禁止直接互访，并在汇聚交换机与核心交换机之间部署防火墙，检测经过的所有数据，对进出内部网络的数据流制定访问控制策略。在信息内网纵向向上边界处部署防火墙，对进出内部网络的数据流制定访问控制策略。在信息内网第三方边界处部署防火墙，对进出第三方边界的数据流制定访问控制策略。在信通网络接入边界部署防火墙，对进出信通网络的数据流制定访问控制策略；（2）实施入侵检测：采用入侵检测系统（Intrusion DetectionSystems，IDS）对于流经内网边界和重要信息系统的信息流进行入侵检测，通过入侵检测系统发现主要的攻击行为和各种恶意信息的传输。因此，在安全域的建设中，在核心交换机上旁路和三级系统汇聚层部署入侵检测系统，同时对主、备核心交换机进行检测；（3）外网网络、数据库审计：部署网络审计、数据库审计系统，通过网络审计系统可以对信息外网进行监控，分析主机负载，发现网络瓶颈，并绘制出直观的流量曲线图、柱状图，有效发现网上出现的异常流量。通过数据库审计可以主动收集各类对数据库的访问，进行记录和分析的措施，弥补数据库日志审计对实际活动记录的不足，有效保护重要的数据库系统，审计的结果有助于系统管理人员分析各类服务器被访问的情况，并通过访问还原技术，清楚地看到对数据库系统进行访问的过程情况。

2.3 主机系统安全

（1）主机安全加固：采取调整主机的系统、网络、服务等配置的措施来提升主机的安全性，主要加固措施包括补丁加载、账户及口令的设置、登录控制、关闭无用的服务、文件和目录权限控制等；（2）进行补丁管理：各种操作系统均存在安全漏洞，应定时安装、加载操作系统补丁，避免安全漏洞造成的主机风险。但针对不同的应用系统，安装操作系统补丁可能会对其造成不同程度的影响，因此，应在测试环境中先行测试安装操作系统补丁是否会对应用系统造成不良影响，确保安全无误后，方可应用于正式环境中；（3）加强防病毒管理：实时监控防病毒软件的运行情况，对未安装防病毒软件或未及时升级更新病毒库的主机，确认其位置和未安装或未及时更新的原因，及时解决问题，并采取措施确保不再发生。

3 结束语

信息安全防护是国家电网公司“十二五”期间信息化保障体系的重要组成部分，也是未来信息发展的趋势。本文对信息系统电网企业信息系统安全防护思路及措施开展了研究与探讨，提出了安全域划分、信息系统边界安全、主机系统安全的防护方案和实现方法，能够有效提高电网企业信息系统的可靠性和安全性，具备较好的可行性和应用价值。

参考文献：

[1]王谦.电力企业信息系统安全等级保护的研究[J].硅谷，2011（23）.