前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全的概念主題范文,僅供參考,歡迎閱讀并收藏。
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補救,導致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經(jīng)越來越不適應(yīng)當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。
2企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。
2.2提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護設(shè)備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行,保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓,強化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。
2.3及時優(yōu)化更新企業(yè)信息安全防護技術(shù)
當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應(yīng)當考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達到企業(yè)敏感信息的安全保障。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護體系時,我們需要重點關(guān)注以下幾個方面:
3.1實施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護體系時,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護水平。
3.2建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機構(gòu)的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設(shè)備采購時,可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時,要面對多個部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護,真正實現(xiàn)OSI的L2~L7層的安全防護。
3.4實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4結(jié)束語
【關(guān)鍵詞】 企業(yè) 信息化建設(shè) 信息安全
前言
當前,信息化建設(shè)已經(jīng)成為了各類企業(yè)建設(shè)和發(fā)展的重點內(nèi)容,企業(yè)通過信息化建設(shè)的方式,讓自身生產(chǎn)與流通工作可以更順利地進行,并利用互聯(lián)網(wǎng),創(chuàng)造出現(xiàn)代企業(yè)新型發(fā)展模式。但是,就實際情況而言,企業(yè)的信息化建設(shè)并不是一直處于一個平穩(wěn)的發(fā)展狀態(tài),在其發(fā)展的過程中也會受到諸多內(nèi)部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業(yè)信息存在的安全問題比較嚴重,不僅會給企業(yè)信息化建設(shè)造成不利影響,還有可能會影響到企業(yè)的正常運營和發(fā)展。
一、造成企業(yè)信息化建設(shè)中的信息安全問題的原因
1.1內(nèi)部原因
①企業(yè)內(nèi)部的信息安全意識缺乏,目前,雖然很多的企業(yè)都提倡建設(shè)企業(yè)內(nèi)部信息化,但是大部分企業(yè)過于注重信息化建設(shè)過程中得到的利益和優(yōu)勢,卻忽略了信息化建設(shè)中信息的安全問題。
②軟件安裝的技術(shù)比較落后,黑客與病毒的發(fā)展速度比軟件技術(shù)更新速度快。
③管理操作不得當,在對信息系統(tǒng)進行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機會,對企業(yè)的信息安全造成威脅。
④專業(yè)的管理人才缺乏,沒有對企業(yè)的信息安全系統(tǒng)定制出合理的安全管理策略,且沒有讓專業(yè)的操作人員對統(tǒng)系統(tǒng)進行維護和升級,致使企業(yè)信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數(shù)企業(yè)而言,信息系統(tǒng)中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發(fā)展,信息建設(shè)在各類企業(yè)市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業(yè)的信息進行竊取和破壞,以此來獲得自身的利益。還有一部分企業(yè)為了得到競爭對手企業(yè)的各類商業(yè)信息,采用不正當?shù)氖侄纹茐幕蚴侨肭謱κ制髽I(yè)的信息系統(tǒng),竊取對方企業(yè)的商業(yè)機密,以此來打倒對方。
二、企業(yè)信息化建設(shè)中存在的信息安全問題
2.1企業(yè)不夠重視信息系統(tǒng)的安全問題
就目前而言,國內(nèi)的大部分企業(yè)都沒有給予信息系統(tǒng)安全問題足夠的重視,沒有意識到信息系統(tǒng)安全的重要性。近年來,雖然國內(nèi)信息化建設(shè)得到了快速的發(fā)展,國內(nèi)企業(yè)的信息安全程度也有所提高,但是大部分的企業(yè)還是沒有意識到信息安全問題對企業(yè)的重要性,只看到了信息化建設(shè)給企業(yè)創(chuàng)造的短暫利益,而忽視了信息化建設(shè)信息安全的長遠發(fā)展,未針對信息安全問題采取適當?shù)姆婪洞胧率蛊髽I(yè)信息化的發(fā)展存在較多的安全隱患。
2.2企業(yè)信息化操作管理不到位
在企業(yè)進行信息化建設(shè)的過程中,大多數(shù)的企業(yè)沒有認識到對企業(yè)信息進行科學管理和操作的重要性。相關(guān)的操作和管理人員在信息化建設(shè)的管理和操作中缺少合理性,導致黑客與入侵者有機可乘,造成企業(yè)信息外泄。企業(yè)的信息化建設(shè)是一個全新的的概念,其中的信息系統(tǒng)管理,信息安全系統(tǒng)的維護與升級都必須由專業(yè)的操作人員進行操作和管理,因此,專業(yè)技術(shù)人員專業(yè)技能的缺乏和個人的素質(zhì)對企業(yè)的信息安全有著直接的影響。
2.3可用于信息化建設(shè)的軟件較少
近年來,市場上各種類型的系統(tǒng)軟件越來越多,但是能夠真正用到企業(yè)信息化建設(shè)的系統(tǒng)軟件卻比較缺乏,特別是相較于國際市場,國內(nèi)的軟件無論是在適用范圍,還是技術(shù)水平方面都比較落后,這也是給企業(yè)數(shù)據(jù)安全帶來隱患的一大重要原因。
企業(yè)信息化建設(shè)使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業(yè)的信息安全造成威脅,雖然大部分的企業(yè)在商業(yè)機密信息方面設(shè)置了一定的操作權(quán)限,但是在企業(yè)的實際管理中,比較容易出現(xiàn)員工操作權(quán)限重復(fù)的情況,操作人員的責任不夠明確,從而導致企業(yè)信息外泄或是數(shù)據(jù)丟失[2]。
三、企業(yè)提高信息化建設(shè)中的信息安全性的對策
3.1企業(yè)需樹立正確安全意識
在企業(yè)信息化的發(fā)展進程中,企業(yè)應(yīng)該充分了解企業(yè)信息安全問題和企業(yè)發(fā)展之間的關(guān)系。意識到一旦企業(yè)的重要機密發(fā)生外泄或者是被竊取,將會給企業(yè)造成不可估量的損失,并給競爭對手提供有利的機會。
因此,企業(yè)應(yīng)該采取適當有效的措施,防止信息安全問題的產(chǎn)生,樹立正確的信息安全意識,以便為企業(yè)未來的信息化發(fā)展打下更好的基礎(chǔ)。
3.2加強企業(yè)內(nèi)部信息系統(tǒng)管理
①正常來說,企業(yè)信息的系統(tǒng)使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術(shù),管理對于企業(yè)的信息安全系統(tǒng)來說也非常重要,只有對企業(yè)的信息進行合理、規(guī)范的管理,才能更有效提升企業(yè)信息系統(tǒng)的安全性。因此,合理的對信息安全管理體系進行規(guī)范化建設(shè),對于企業(yè)的信息安全管理至關(guān)重要。
②完善企業(yè)安全的風險評估機制。企業(yè)信息系統(tǒng)的建設(shè),并非是利用一種技術(shù)在短時間內(nèi)能夠完成,在平常的操作與管理中,所有的系統(tǒng)都有自己的優(yōu)勢與缺點,因此,企業(yè)應(yīng)該針對本身信息系統(tǒng)的優(yōu)勢和缺點建立相關(guān)的安全風險評估機制,找到對信息系統(tǒng)安全造成影響的漏洞和原因,并及時地進行處理,以有效降低企業(yè)信息系統(tǒng)被攻擊的可能性。
3.3運用安全性較高的防護軟件
盡管所有的防護軟件都有辦法破解,但是安全性越高的防護軟件,破解的難度就越大,企業(yè)信息被竊取或是泄露的可能性也就越低。因此,企業(yè)在對安全防護軟件進行選擇時,不應(yīng)該為了節(jié)省企業(yè)的成本,而在信息系統(tǒng)中使用一些安全性較低的防護軟件,應(yīng)該選技安全系數(shù)較高的防護軟件,防止信息系統(tǒng)出現(xiàn)安全問題,給企業(yè)帶來更大的經(jīng)濟損失。
3.4加強企業(yè)的網(wǎng)絡(luò)管理
大多數(shù)的不法分子都是通過網(wǎng)絡(luò)對各個企業(yè)的信息進行竊取和破壞,因此,企業(yè)需要加強企業(yè)的網(wǎng)絡(luò)管理,以確保企業(yè)信息系統(tǒng)的運行可以在安全的狀態(tài)下進行。企業(yè)應(yīng)該依據(jù)信息安全的等級、種類制定出相關(guān)的防護措施和方案,并提前制定好信息安全事故發(fā)生之后,企業(yè)應(yīng)該采取的解決措施[3]。在企業(yè)的信息安全受到威脅時,企業(yè)應(yīng)該及時成立起危機處理小組,讓該小組依據(jù)信息安全危機處理的步驟與預(yù)案,進行危機處理,防止危機處理不當而出現(xiàn)更加嚴重的連鎖危機。此外,企業(yè)應(yīng)該對內(nèi)部的員工進行信息安全培訓與教育,提升員工信息安全管理意識和安全危機事件的處理能力,從而有效防止企業(yè)自身失誤而造成的信息安全問題。
四、結(jié)束語
總之,在這個信息化的時代,企業(yè)進行信息化建設(shè)是其發(fā)展和生存的重要途徑。但就目前而言,我國大部分的企業(yè)都只看到了信息化建設(shè)的優(yōu)勢,沒有意識到信息系統(tǒng)安全問題的重要性,信息系統(tǒng)還處在一個長期不設(shè)防的狀態(tài)當中,這一情況直接影響了企業(yè)信息系統(tǒng)的安全性。因此,為了提高現(xiàn)代企業(yè)信息系統(tǒng)的安全性,企業(yè)就應(yīng)該重視信息系統(tǒng)的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業(yè)的信息管理體系,在企業(yè)信息化建設(shè)過程中,對可能會影響信息系統(tǒng)安全的因素進行全面考慮,以確保企業(yè)信息系統(tǒng)建設(shè)的安全性。
參 考 文 獻
[1]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,9(3):101-102.
關(guān)鍵詞:電力企業(yè);信息安全;管理;探討
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-01
Electric Power Enterprise Information Security Risk Analysis and Prevention Measures
Cai Wenjian
(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)
Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.
Keywords:Electric Power;Information security;Management;Study
電力企業(yè)的信息化建設(shè)在生產(chǎn)自動化、管理信息化、營銷現(xiàn)代化等方面發(fā)揮了重要作用。然而,隨著網(wǎng)絡(luò)的延伸、應(yīng)用的普及和不斷深化,特別是隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,信息安全問題日益突出。研究電力系統(tǒng)信息安全問題、制定和實施電力系統(tǒng)信息安全戰(zhàn)略、建立全方位、動態(tài)的電力信息系統(tǒng)安全保障體系,己成為當前電力系統(tǒng)信息化工作的重要內(nèi)容。
一、電力信息安全的含義
電力信息安全是指電力主營業(yè)務(wù)系統(tǒng)及企業(yè)信息安全,保障不被未經(jīng)授權(quán)者訪問、利用和修改,為合法用戶提供安全、可信的信息服務(wù),保證信息和信息系統(tǒng)的機密性、完整性、可用性、真實性和不可否認性。
二、電力企業(yè)信息安全風險分析
(一)電力信息安全管理風險分析。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分,是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。由于近年計算機信息技術(shù)高速發(fā)展,計算機信息安全策略和技術(shù)也取得了非常大的進展,但在電力系統(tǒng)各種計算機應(yīng)用中,對信息安全的認識跟實際需要差距較大安全意識薄弱、責權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風險。
(二)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全風險分析。網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。目前電力企業(yè)在機房建設(shè)(包括水源、消防、門禁等)、重要設(shè)備的訪問管理方面都存在缺陷,亟待解決。如在網(wǎng)絡(luò)介質(zhì)的安全方面由于大都采用內(nèi)部專用網(wǎng)絡(luò),但樓層交換機的機柜位置不安全,非管理人員可以隨時接觸到,這給內(nèi)部的攻擊或竊密行為提供方便之門。
(三)電力企業(yè)信息網(wǎng)絡(luò)連接安全風險分析。電力企業(yè)的部分用戶由于工作需要連接了因特網(wǎng),同時沒有服務(wù)器供外部訪問,用戶連接因特網(wǎng)時沒有做到與內(nèi)網(wǎng)的物理隔離,這給網(wǎng)絡(luò)帶來危害;局域網(wǎng)內(nèi)部用戶有意或無意對系統(tǒng)進行了攻擊和竊密行為;內(nèi)部其它單位用戶對本網(wǎng)絡(luò)的攻擊行為,類似因特網(wǎng)外部連接風險等眾多因素也都對網(wǎng)絡(luò)安全構(gòu)成了威脅。此外,受人員水平、設(shè)備性能等方面因素制約,使整個電力信息網(wǎng)的外部邊界保護能力存在一定差異,必然降低整體邊界安全防護能力。
(四)支撐基礎(chǔ)設(shè)施的安全風險分析。許多電力企業(yè)沒有完整的備份策略,備份工作沒有計劃,備份不及時,沒有備份恢復(fù)預(yù)案;介質(zhì)管理不規(guī)范,沒有對備份介質(zhì)做庫存、領(lǐng)取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災(zāi)難恢復(fù)計劃要素的所處的水平較低,應(yīng)重點加快制定有關(guān)災(zāi)難恢復(fù)的管理制度,以及備份設(shè)備的更新。
三、電力企業(yè)信息安全防范措施
(一)電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門,至少應(yīng)配備2名安全專職管理人員,明確權(quán)利與責任,分別負責各系統(tǒng)的安全審計,并相互制約。2.完善信息安全管理制度。參照國際最佳實踐,建立一套完整的制度體系,形成省、地兩級安全管理體系。3.加強信息安全教育培訓。安全意識和相關(guān)技能的教育是企業(yè)安全管理中的重要內(nèi)容。高級管理部門應(yīng)當對全體員工,特別是中高級管理人員進行信息安全管理制度培訓,強化信息安全意識。
(二)電力信息安全技術(shù)措施。1.加強網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施建設(shè)。建立電力企業(yè)信息系統(tǒng)物理各環(huán)境的安全目標防止對企業(yè)工作場所和信息的非法訪問、破壞和干擾或避免造成資產(chǎn)的流失、受損。建立省電網(wǎng)級認證授權(quán)中心,提供目錄服務(wù)、身份管理、認證管理、訪問管理等功能,實現(xiàn)主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的統(tǒng)一身份認證管理。對電力企業(yè)重要網(wǎng)絡(luò)設(shè)備配置文件進行完整性檢查保護,防止主機系統(tǒng)及網(wǎng)絡(luò)設(shè)備配置文件的篡改,對系統(tǒng)文件遭到修改及破壞可以及時發(fā)現(xiàn)修復(fù)。2.網(wǎng)絡(luò)控制技術(shù)。網(wǎng)絡(luò)控制是網(wǎng)絡(luò)安全防范和保護的主要策略,主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。主要包括:(1)防火墻技術(shù)。(2)審計技術(shù)。(3)訪問控制技術(shù)。(4)安全協(xié)議。3.備份恢復(fù)技術(shù)。備份恢復(fù)技術(shù)主要包括備份技術(shù)、冗余技術(shù)、容錯技術(shù)和不間斷電源保護4個方面的內(nèi)容。備份恢復(fù)與容災(zāi)中心具有關(guān)聯(lián)性,建立容災(zāi)中心的單位應(yīng)每年至少進行一次災(zāi)備恢復(fù)的演練,沒有容災(zāi)中心的單位應(yīng)將營銷、生產(chǎn)、財務(wù)等核心數(shù)據(jù)定期進行異地備份,并定期進行備份恢復(fù)演練,提升應(yīng)對自然災(zāi)害的能力。
四、結(jié)束語
a)IT技術(shù)應(yīng)用程度的評價。通過IT技術(shù)的評價,可以得知信息技術(shù)在多大程度上支持管理系統(tǒng)的功能,更多得熟悉系統(tǒng)采用的技術(shù)先進性和可靠性,在用戶體檢界面和系統(tǒng)運維等方面也可以有更多了解。b)數(shù)據(jù)應(yīng)用程度的評價。信息系統(tǒng)的運行要靠數(shù)據(jù)的開發(fā)和利用來支持,數(shù)據(jù)是信息系統(tǒng)的血液,對數(shù)據(jù)應(yīng)用程度的評價,主要包括評估數(shù)據(jù)應(yīng)用水平以及企業(yè)知識管理水平,主要通過數(shù)據(jù)的收集、加工、報表展示等方面進行評價。c)信息安全的評價。當前,利用相應(yīng)的信息系統(tǒng)竊取、擾亂信息系統(tǒng)中的信息內(nèi)容的惡意事件逐漸增多。2014年,國家成立網(wǎng)絡(luò)語信息安全工作領(lǐng)導小組,從國家層面高度功重視信息安全問題,企業(yè)也同樣面臨著嚴峻的信息安全形勢,因此,企業(yè)信息化安全的評價應(yīng)當作為信息化建設(shè)評價的重要組成部分,引起足夠的重視。d)人力資源的評價。系統(tǒng)需求方、系統(tǒng)開發(fā)商、系統(tǒng)運維團隊、系統(tǒng)用戶等都是信息化建設(shè)過程的重要參與者,是信息化建設(shè)和應(yīng)用的主體。人力資源評價,應(yīng)重點考察系統(tǒng)開發(fā)和運維人員的計算機軟件設(shè)計開發(fā)能力,以及軟件技術(shù)與應(yīng)用需求的結(jié)合能力;其他人員應(yīng)側(cè)重于員工執(zhí)行力的提高和員工參與信息化程度的評價。e)信息化組織和控制的評價。企業(yè)比如利用完善的制度體系、通過制定嚴格的信息化相關(guān)標準,頒布企業(yè)內(nèi)部控制制度,保障信息建設(shè)過程管控以及信息系統(tǒng)的正常運行。該項工作主要評價信息化規(guī)劃、組織與控制機制與企業(yè)日常管理的融合程度。f)效益的評價。信息化的本質(zhì)是投資,投資必須要有產(chǎn)出。信息化的效益評價包括管理效益和經(jīng)濟效益兩種。常見的如減少人工時、加速資金周轉(zhuǎn)、降低庫存等。通過效益評價,可以讓管理層對信息化的資本投入有清晰的概念,也是通常信息化項目立項時的重點考慮因素。
2某企業(yè)信息化評價整改措施及效果
筆者所在企業(yè),在近年開展以ERP為建設(shè)重點,覆蓋全產(chǎn)業(yè)鏈的大規(guī)模信息化建設(shè)后,采取專項工作,對企業(yè)信息化水平進行全面的評價,內(nèi)容涵蓋信息技術(shù)水平、信息\數(shù)據(jù)資源利用、信息安全、信息化隊伍建設(shè)、信息化組織和管控、信息化效益等主要方面。通過該項工作,筆者所在企業(yè)找到了制約其信息化建設(shè)發(fā)展和管理水平提升的嚴重問題,針對這些問題制定了如下具體改進措施:a)針對發(fā)現(xiàn)信息技術(shù)的問題,以公司發(fā)展戰(zhàn)略為基礎(chǔ),一是統(tǒng)一規(guī)劃了信息化建設(shè)藍圖,實施一個基礎(chǔ)網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)拓撲改造、應(yīng)用系統(tǒng)分層以及和一致的信息化管控體系,二是統(tǒng)一基礎(chǔ)設(shè)施標準和規(guī)范,三是拓寬網(wǎng)絡(luò)主鏈路、建設(shè)備份鏈路、保障通訊暢通。b)針對發(fā)現(xiàn)的信息資源問題,公司首先確立信息化愿景:一是建立健全信息共享平臺,確保公司信息安全,支持公司戰(zhàn)略目標的實現(xiàn);二是確立“統(tǒng)一規(guī)劃、統(tǒng)一管理、統(tǒng)一標準、統(tǒng)一建設(shè)”的四統(tǒng)一原則;三是確立“IT是技術(shù)的提供者、業(yè)務(wù)的支持者”的定位;四是加強信息化建設(shè)項目的立項論證和建設(shè)過程管控。c)針對發(fā)現(xiàn)的信息安全問題,公司首先建立信息安全管理制度和規(guī)范;其次,快速實施統(tǒng)一身份認證的準入控制系統(tǒng),實施強制密碼策略;第三,每年定期開展計網(wǎng)絡(luò)安全大檢查和培訓;第四,每年對網(wǎng)絡(luò)和信息系統(tǒng)進行安全測評和整改;第五,建設(shè)災(zāi)備中心。d)針對發(fā)現(xiàn)的人力資源問題,公司一是建立IT崗位序列,明確人員晉升標準;二是引進社會成品人才;三是組織技術(shù)交流、培訓和認證;四是加強信息化專、兼職機構(gòu)建設(shè)。e)針對發(fā)現(xiàn)的組織和控制問題,公司首先編制、頒布信息化規(guī)劃;其次,理順管理流程,明確以CIO制度為核心的信息化管理組織架構(gòu);第三,全面建立健全信息化內(nèi)控制度體系。f)針對發(fā)現(xiàn)的經(jīng)濟效益評價問題,公司建立了信息化立項論證和評價體系,頒布信息化后評價辦法和指標。對重點項目進行立項時的定量或定性效益評價,完工驗收滿一年后開展后評價。
【關(guān)鍵詞】 供電 網(wǎng)絡(luò)終端 計算機 信息安全
1 信息網(wǎng)絡(luò)安全面臨形勢
所謂信息安全是一個廣泛而抽象的概念,建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng),其安全定義較為明確,那就是:保護信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù),使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。
在電力企業(yè),信息安全主要強調(diào)的是消減并控制風險,保持電力生產(chǎn)經(jīng)營業(yè)務(wù)操作的連續(xù)性,并將風險造成的損失和影響降低到最低程度。
供電企業(yè)信息化的快速發(fā)展特別SG-ERP系統(tǒng)的實施,為工作帶來便利的同時也帶來了極大的安全風險,統(tǒng)一堅強智能電網(wǎng)的建設(shè)和“三集五大”體系的建設(shè)對信息安全提出了更高的要求。
2 信息網(wǎng)絡(luò)桌面終端存在的安全隱患和風險分析
供電企業(yè)經(jīng)過多年的信息安全建設(shè),已建成了“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的信息安全防護總體架構(gòu),網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)橫縱向邊界的信息安全防護措施已日趨完善。由于網(wǎng)絡(luò)用戶人員數(shù)量龐大、情況復(fù)雜、分布廣泛等問題的存在,信息安全的防護重點逐漸從網(wǎng)絡(luò)層面向終端用戶計算機層面轉(zhuǎn)移。
涉及信息網(wǎng)絡(luò)終端計算機的常見威脅、隱患和風險主要包括:惡意訪問、信息泄露、破壞信息的完整性、非法使用、竊聽、業(yè)務(wù)流分析、內(nèi)部攻擊、特洛伊木馬、陷阱門、抵賴、電腦病毒、業(yè)務(wù)欺騙等。
上述風險對于供電企業(yè)信息安全產(chǎn)生巨大威脅,任何一臺網(wǎng)絡(luò)終端計算機出現(xiàn)信息風險漏洞,將直接波及到整個網(wǎng)絡(luò)的信息安全,已經(jīng)采取的網(wǎng)絡(luò)邊界、數(shù)據(jù)審計等防護措施將形同虛設(shè),黑客或惡意破壞者就能輕而易舉繞過所有安全防護、長驅(qū)直入、大肆破壞,對供電企業(yè)內(nèi)部應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和生產(chǎn)經(jīng)營業(yè)務(wù)造成不可估量的損失。
3 網(wǎng)絡(luò)桌面終端信息安全防范措施
3.1 信息安全防范重在管理
由于網(wǎng)絡(luò)終端計算機分布的復(fù)雜性可知,在當前的新形勢下,信息安全并不僅僅是信息專業(yè)管理部門和運行維護單位要面對的問題,因此,全面加強信息安全管理是確保信息安全的首要解決措施。
(1)建章立制,規(guī)范信息安全全過程管理。針對信息網(wǎng)絡(luò)和終端安全風險,針對性地制定《信息安全管理規(guī)定》等規(guī)章制度,固化信息安全管理工作流程,建立網(wǎng)絡(luò)終端接入-調(diào)整-拆除-報廢的全過程控制體系,遵循“誰主管誰負責、誰運行誰負責、誰使用誰負責”原則,將信息安全責任和壓力層層下放,可以有效促進信息安全標準要求的貫徹落實。
(2)強化信息網(wǎng)絡(luò)運行維護。采取對信息內(nèi)外網(wǎng)終端計算機的人工抽檢和技術(shù)巡檢方式,定期開展對網(wǎng)絡(luò)的全面核查,以及時發(fā)現(xiàn)安全隱患。高密度檢查路由器、交換機等信息網(wǎng)絡(luò)設(shè)備和防火墻、IPS等安全設(shè)備的策略配置,確保與業(yè)務(wù)需求相匹配。
(3)開展信息安全風險評估。作為信息安全保障基礎(chǔ)性工作,針對信息系統(tǒng)的潛在威脅、薄弱環(huán)節(jié)、等級化防護措施、信息內(nèi)外網(wǎng)隔離措施等進行綜合評估分析,有效指導各單位系統(tǒng)地開展信息安全防護體系建設(shè)和安全整改加固工作。
(4)嚴防網(wǎng)絡(luò)終端計算機違規(guī)外聯(lián)。違規(guī)外聯(lián)是指信息網(wǎng)絡(luò)及終端計算機設(shè)備違反相關(guān)規(guī)定連接了包括互聯(lián)網(wǎng)在內(nèi)的其他網(wǎng)絡(luò)。具體措施包括:計算機不得使用雙網(wǎng)卡、嚴禁“一機雙網(wǎng)”、內(nèi)網(wǎng)計算機嚴禁外借、內(nèi)部計算機統(tǒng)一外修出口、內(nèi)部網(wǎng)絡(luò)嚴禁私設(shè)路由器、嚴禁使用無線上網(wǎng)卡、手機、無線路由器等方式私自接入互聯(lián)網(wǎng)、嚴禁任何單位和個人私設(shè)任何形式的互聯(lián)網(wǎng)出口、嚴禁外來人員使用內(nèi)部計算機等。
(5)加強宣傳培訓,將信息安全要求傳達到每位終端用戶。信息安全并不僅是信息專業(yè)部門要面對的問題,如果大家不嚴格遵守相關(guān)的信息安全要求,信息安全事件就可能發(fā)生在每個人身上??紤]到網(wǎng)絡(luò)用戶的參培時間不可控的因素,可以采取分層級、多批次培訓的方式,將信息安全知識和相關(guān)要求層層傳達到每位用戶。
3.2 充分利用信息安全技術(shù)手段
(1)部署桌面終端安全管理軟件。桌面終端管理系統(tǒng)是確保桌面終端計算機安全的最有效的技術(shù)手段之一,基本功能應(yīng)包括:內(nèi)網(wǎng)計算機資產(chǎn)管理、運維管理、非法外聯(lián)監(jiān)控、注冊基本管理、安全管理、安全監(jiān)控強審計、網(wǎng)絡(luò)接入控制、補丁管理、文件分發(fā)管理等。通過桌面終端管理系統(tǒng)的部署,可以全面掌控網(wǎng)絡(luò)終端計算機的安全運行狀況,有效提升信息安全管理效率。
(2)實行網(wǎng)絡(luò)安全準入。綜合采用設(shè)備監(jiān)控、隔離檢查、網(wǎng)絡(luò)協(xié)議檢測等多種技術(shù),通過入網(wǎng)安全審核、賬號弱口令檢測、桌面管理系統(tǒng)客戶端和防病毒軟件安裝更新檢查等,及時保證終端達到安全入網(wǎng)要求。
(3)架設(shè)網(wǎng)絡(luò)版殺毒軟件和補丁更新。為了確保殺毒軟件安裝率100%,確保病毒庫和操作系統(tǒng)補丁隨時更新,在網(wǎng)絡(luò)內(nèi)部架設(shè)網(wǎng)絡(luò)版殺毒軟件和補丁更新服務(wù)器,以服務(wù)器-客戶端的方式主動推送病毒庫和操作系統(tǒng)、應(yīng)用系統(tǒng)補丁,及時封堵終端計算機安全漏洞。
(4)利用安全移動存儲介質(zhì)交換數(shù)據(jù)。應(yīng)用實施范圍界定為接入信息網(wǎng)絡(luò)的所有計算機設(shè)備,在終端計算機上安裝安全移動介質(zhì)系統(tǒng)客戶端,通過服務(wù)器端平臺進行安全策略配置,使終端計算機上的移動介質(zhì)使用符合相關(guān)安全要求,最大程度地封堵通過移動介質(zhì)非法外傳或?qū)胄畔⒌穆┒础?/p>
(5)加強網(wǎng)絡(luò)邊界處防火墻、IPS、上網(wǎng)行為審計等系統(tǒng)防護。一方面防范外部網(wǎng)絡(luò)對于信息內(nèi)網(wǎng)的安全攻擊和惡意入侵,另一方面可以全面核查內(nèi)網(wǎng)計算機的上網(wǎng)行為,對于敏感信息、發(fā)送敏感郵件等違規(guī)行為予以自動阻斷。
4 結(jié)語
隨著信息技術(shù)的飛速發(fā)展,影響網(wǎng)絡(luò)安全的各種因素也會不斷變化,網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時也是一個安全管理問題,是一個動態(tài)發(fā)展變化的過程,不是一勞永逸的,也不可能一蹴而就,這就要求每位終端計算機設(shè)備使用人員要在日常工作中時刻牢記信息安全,杜絕安全隱患,嚴格遵守信息安全規(guī)定,共同維護信息網(wǎng)絡(luò)和終端計算機的安全穩(wěn)定運行。
參考文獻:
[1]邵波,王其和.計算機網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京:電子工業(yè)出版社,2005.
網(wǎng)絡(luò)安全是一個較為系統(tǒng)的概念,網(wǎng)絡(luò)安全解決方案的可靠性是建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)之上,由于受到各種各樣因素的影響而對眾多供電企業(yè)的網(wǎng)絡(luò)安全構(gòu)成威脅。隨著現(xiàn)代科學技術(shù)水平的不斷提高,電網(wǎng)安全生產(chǎn)系統(tǒng)、電力調(diào)度監(jiān)控系統(tǒng)以及用電營銷系統(tǒng)等已廣泛應(yīng)用于供電企業(yè)中。應(yīng)用信息網(wǎng)絡(luò)安全技術(shù)可確保各應(yīng)用系統(tǒng)穩(wěn)定可靠運行,有效提高各系統(tǒng)數(shù)據(jù)傳輸?shù)男剩瑢崿F(xiàn)數(shù)據(jù)集中和數(shù)據(jù)資源共享[1]。但是,網(wǎng)絡(luò)信息中仍然存在較多安全問題,需要對其給予重視,提高計算機網(wǎng)絡(luò)信息的安全性并加強防護對供電企業(yè)的正常運行以及發(fā)展均具有非常重要的意義。
1地級市供電企業(yè)信息網(wǎng)絡(luò)存在的安全問題
1.1內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全
現(xiàn)今,地級市供電企業(yè)的內(nèi)網(wǎng)結(jié)構(gòu)未能達到企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)信息化的良好狀態(tài),其結(jié)構(gòu)還不夠健全。地級市供電企業(yè)由于條件有限,對信息安全工作的投入并不多,使其存在較大的安全隱患,加上各項安全保障措施不到位,使得內(nèi)網(wǎng)網(wǎng)絡(luò)缺乏健全性。但是,隨著營銷、生產(chǎn)、財務(wù)等各個專業(yè)的信息系統(tǒng)的上線投運,使得整個信息管理模式中較為薄弱的網(wǎng)絡(luò)安全系統(tǒng)成為最短板。
1.2職工安全防范意識不夠
要使網(wǎng)絡(luò)信息安全得到保障,就要提高地級市供電企業(yè)的工作人員的綜合素質(zhì)。目前,地級市供電企業(yè)的工作人員具有技術(shù)水平參差不齊、缺乏安全防范意識的特點。年輕職員的操作能力不夠高,對突發(fā)事件的應(yīng)對措施等相關(guān)知識沒有足夠的積累;而老齡職工又難以完全掌握網(wǎng)絡(luò)信息安全,跟不上信息化的更新腳步,對新型網(wǎng)絡(luò)技術(shù)的了解不全面等[2]。這也是地級市供電企業(yè)信息網(wǎng)絡(luò)安全中存在的問題,應(yīng)當給予重視。
1.3網(wǎng)絡(luò)信息化機構(gòu)漏洞較多
當前地級市供電企業(yè)的網(wǎng)絡(luò)信息化管理還不是一個完整的體系,其中各類系統(tǒng)的數(shù)據(jù)存儲、關(guān)鍵流程流轉(zhuǎn)等都是非常重要的環(huán)節(jié),不能出現(xiàn)任何問題,但由于安全管理的漏洞較多,所承載的網(wǎng)絡(luò)平臺的安全性也較低,使信息管理的發(fā)展不具平衡性。針對現(xiàn)狀來看,計算機病毒、黑客攻擊等所導致的關(guān)鍵保密數(shù)據(jù)外泄是對地級市供電企業(yè)最具威脅性的安全隱患。雖然應(yīng)用各種計算機準入技術(shù)和可移動存儲介質(zhì)的加密技術(shù)可保障企業(yè)信息網(wǎng)絡(luò)安全,但是還存在操作系統(tǒng)正版化程度嚴重不足的情況[3]。由于被廣泛使用的XP操作系統(tǒng)在企業(yè)內(nèi)已停止更新,導致操作系統(tǒng)的針對性攻擊越來越頻繁。一旦出現(xiàn)計算機網(wǎng)絡(luò)病毒,就會在企業(yè)內(nèi)部的計算機中進行大規(guī)模傳播,從而為相對公開化的網(wǎng)絡(luò)提供了機會,導致計算機系統(tǒng)遭到惡意破壞,甚至系統(tǒng)崩潰。不法分子就會趁機盜取企業(yè)的機密文件,對供電系統(tǒng)的相關(guān)數(shù)據(jù)進行篡改,毀滅性地攻擊供電系統(tǒng),嚴重時還會導致整個供電系統(tǒng)的大面積癱瘓。
2對地級市供電企業(yè)信息網(wǎng)絡(luò)安全的防范措施
2.1加強對網(wǎng)絡(luò)設(shè)備的管理
采用內(nèi)外網(wǎng)物理隔離,在內(nèi)網(wǎng)邊界設(shè)置入侵監(jiān)測系統(tǒng);在內(nèi)外網(wǎng)邊界同時設(shè)置千兆硬件防火墻。對VLAN裝置進行優(yōu)化,對局域網(wǎng)合理分割安全區(qū)域;對于VLAN之間的信息交換進行嚴格規(guī)劃,訪問控制列表須詳細規(guī)劃,對VLAN的合法訪問給予授權(quán),對非法訪問則進行隔離,同時還要運用VACL優(yōu)化訪問控制列表,使其安全性得到保障。入侵監(jiān)測系統(tǒng)的配置可對利用常用端口的漏洞所實施的攻擊以及病毒進行防范。
2.2加強對服務(wù)器的管理
專用業(yè)務(wù)服務(wù)器的訪問權(quán)限較嚴格,其訪問精度須達到“終端級別”;采用VACL隔離無需相互訪問的服務(wù)器。仔細認真地整理和統(tǒng)計服務(wù)器中應(yīng)用系統(tǒng)的使用對象及需開放的服務(wù)端口,并根據(jù)實際情況進行調(diào)整。逐一匹配IDS到開通的服務(wù)端口中,并對同一源地址、目的地址的連接次數(shù)進行限制,控制數(shù)據(jù)包的大小,監(jiān)控對主機提供服務(wù)的端口,如果發(fā)現(xiàn)有攻擊行為就會自動連接到防火墻模塊。
2.3加強對終端設(shè)備的管理
設(shè)置北信源內(nèi)網(wǎng)安全管理系統(tǒng)可對終端設(shè)備管理進行強化,從而保護內(nèi)部資源與網(wǎng)絡(luò)的安全。這個系統(tǒng)是由移動存儲管理、文件保密管理、補丁管理和終端管理構(gòu)成,終端管理系統(tǒng)可使桌面行為監(jiān)管、準入控制、外設(shè)與接口管理、終端資產(chǎn)管理等功能得以實現(xiàn)。補丁管理系統(tǒng)是分析系統(tǒng)漏洞以及對流量進行控制,而文件保密管理和移動存儲管理是對文件、目錄、U盤、磁盤盒等進行保密管理。
2.4防火墻的攔截
防火墻被稱為控制逾出兩個方向通信的門檻,是對計算機網(wǎng)絡(luò)安全進行保護的一種技術(shù)措施,也是對網(wǎng)絡(luò)中的黑客入侵進行阻止的有力屏障。在電力系統(tǒng)殺毒軟件的基礎(chǔ)上再對防火墻軟件系統(tǒng)進行配置是安全性較高的措施,并且可以預(yù)防黑客或不法分子的入侵,對計算機網(wǎng)絡(luò)信息和系統(tǒng)的備份都具有重要意義,另外還可定期檢查備份,使其有效性得到保證[4]。防火墻系統(tǒng)由過濾防火墻、防火墻和雙穴防火墻組成。過濾防火墻是設(shè)置于網(wǎng)絡(luò)層的,它能夠?qū)崿F(xiàn)路由器上的過濾。防火墻又稱應(yīng)用層網(wǎng)管級防火墻,由服務(wù)器和過濾路由器組成,是目前最流行的防火墻。雙穴防火墻主要是對一個網(wǎng)路的數(shù)據(jù)進行搜集,并選擇性地將數(shù)據(jù)發(fā)送至另一個網(wǎng)絡(luò)中。在電力系統(tǒng)中合理、科學地配置防火墻可保障計算機信息網(wǎng)絡(luò)的安全性,同時對網(wǎng)絡(luò)之間連接的可靠性和安全性也具有重要意義。
2.5使用正版化的操作系統(tǒng)和應(yīng)用軟件,并及時升級
使用正版化的操作系統(tǒng)和應(yīng)用軟件具有專業(yè)有效的售后服務(wù)支持,可隨時請專業(yè)人員對電腦所出現(xiàn)的問題進行解決。另外,隨著人們對軟件功能要求和硬件升級的不斷提高,使用正版化的操作系統(tǒng)和應(yīng)用軟件可隨時獲得安全升級,避免盜版軟件所帶來的安全隱患,有效防范企業(yè)隱私信息外泄。因此,地級市供電企業(yè)應(yīng)使用正版化的操作系統(tǒng)和應(yīng)用軟件,并及時進行升級,以使信息網(wǎng)絡(luò)的安全性得到提高。
2.6提高員工的綜合素質(zhì)
地級市供電企業(yè)應(yīng)提高全體工作人員的計算機網(wǎng)絡(luò)信息安全知識水平和技術(shù)水平,提高其計算機網(wǎng)絡(luò)信息竊密泄密的防護水平以及綜合能力。嚴禁將泄密的計算機和互聯(lián)網(wǎng)或其他公共信息網(wǎng)進行連接,在非泄密計算機或者互聯(lián)網(wǎng)中對機密文件進行處理,落實計算機網(wǎng)絡(luò)信息安全保密責任制,提高員工對網(wǎng)絡(luò)安全的認識[5]。還可設(shè)立安全保密管理系統(tǒng),簽署保密協(xié)議,對供電企業(yè)的計算機網(wǎng)絡(luò)安全的管理與監(jiān)督進行加強,定期對其安全性進行檢查。做好文件的登記、存檔和銷毀工作,對系統(tǒng)中的網(wǎng)絡(luò)信息安全隱患能夠及時發(fā)現(xiàn)并處理,從而保證地級市供電企業(yè)網(wǎng)絡(luò)信息的安全。另外,企業(yè)也應(yīng)嚴格遵循相關(guān)的信息保密工作文件要求,防止外部侵害和網(wǎng)絡(luò)化所造成的機密泄露。
3結(jié)束語
關(guān)鍵詞:云會計;會計信息;安全
1云會計的基本概念及其優(yōu)勢介紹
1.1云會計的概念
云會計的概念主要來源于“云計算”,2006年云計算概念被Schmidt首次提出。所謂云計算,是一種用戶按使用量付費的模式,在這種模式下,網(wǎng)絡(luò)訪問變得便捷,同時也逐漸符合每個人的需要,網(wǎng)絡(luò)資源能夠得到迅速充分的應(yīng)用。云會計概念是基于云計算演變而來的,云會計是基于互聯(lián)網(wǎng)網(wǎng)絡(luò)的前提下,運用云計算技術(shù)構(gòu)建出一個會計核算管理決策于一體的網(wǎng)絡(luò)會計信息服務(wù)系統(tǒng)。
1.2云會計的優(yōu)勢介紹
云會計在某種程度上而言,是一種企業(yè)的私人訂制手段。他能夠根據(jù)企業(yè)的實際發(fā)展需要,以及企業(yè)未來的發(fā)展走向,為企業(yè)提供有針對性的會計軟件功能和會計模板。這樣的方式首先滿足了不同的企業(yè)、不同的操作員對會計信息的不同需求;其次這樣的方式在很大程度上節(jié)約了企業(yè)的成本,讓企業(yè)有更多的資金可以進行日常運營;最后云會計的效率相比人工有一定的優(yōu)勢,為企業(yè)的發(fā)展提供了更多有用的信息,從而提高了企業(yè)的經(jīng)濟效益。換句話說,就是企業(yè)用最低的成本獲取了最大的價值。
2當前我國云會計背景下面臨的信息安全隱患
2.1宏觀層面
云會計在我國的推廣和運用正在逐步進行,但由于我國在云計算技術(shù)方面相較于發(fā)達國家起步較低,發(fā)展水平還未完全達到社會與實踐的要求,很多技術(shù)和產(chǎn)品還處于研發(fā)階段,不管是在云會計的平臺中還是對企業(yè)的服務(wù)水平上都還有待完善。因此,從宏觀層面上來講,我國相對于云會計安全的法律法規(guī)還未成形,對云會計技術(shù)下的一些潛在的信息安全隱患也沒有一個科學合理的衡量指標,國家和政府相關(guān)部門也缺乏對云會計的監(jiān)督管理,會計協(xié)會對云計算會計人員的進入和退出機制不健全,從業(yè)的門檻偏低,企業(yè)和相關(guān)部門也不明白對云會計人員的培訓應(yīng)當如何進行,從而導致市場中云會計服務(wù)的人員水平參差不齊,市場中漏洞擴大,很多不法分子趁此機會偷取公司機密,為企業(yè)帶來巨大的損失,同時也破壞了市場經(jīng)濟秩序。
2.2微觀層面
由于云會計技術(shù)尚在研發(fā)階段,加之網(wǎng)絡(luò)信息技術(shù)難以對用戶隱私進行保密,導致云會計的使用具有一定的局限性。根據(jù)實踐我們可以看出,云會計是指會計信息在云計算網(wǎng)絡(luò)服務(wù)平臺中實現(xiàn)數(shù)據(jù)傳輸、分析、存貯以及信息數(shù)據(jù)的備份,每一個環(huán)節(jié)都是非常重要的,一旦泄露相關(guān)信息,對企業(yè)的危害是難以估計的。同時,當前很多云會計服務(wù)供應(yīng)商都是采取一個平臺對應(yīng)多個用戶的模式,這樣加大了平臺的使用彈性,節(jié)約了成本,但是也將企業(yè)信息安全暴露在其他企業(yè)面前。
3提高我國云會計環(huán)境下企業(yè)會計信息安全的策略和措施
3.1基于國家監(jiān)管的角度
(1)不斷完善和健全云會計相關(guān)法律法規(guī)。上文中提到,缺乏法律法規(guī)和政府部門監(jiān)管的云會計平臺會影響經(jīng)濟市場的平穩(wěn),打破市場秩序。因此,我國應(yīng)當不斷完善和健全與云會計相關(guān)的法律法規(guī),眾所周知,法律具有強制性和約束性,也是維護市場和用戶權(quán)益的根本保障。如果將與云會計相關(guān)的行為和信息安全以法律條文的形式公布,不管是對用戶還是平臺供應(yīng)商而言,都是極為有利的,市場環(huán)境也會逐漸趨于良好,將云會計行為進行硬性規(guī)范,才能杜絕不法分子的骯臟手段,維護市場平穩(wěn),保護企業(yè)利益。(2)對平臺供應(yīng)商進行合理科學的評估。平臺供應(yīng)商的信用直接影響著云會計的信息安全。因此,相關(guān)部門和會計協(xié)會應(yīng)當提高會計準入的壁壘,對平臺供應(yīng)商進行全面的安全檢查,并且公開于企業(yè)用戶手中,用戶可以根據(jù)相關(guān)信息自由選擇平臺供應(yīng)商,同時,用戶也能夠行使監(jiān)督管理的職責,對于安全系數(shù)不達標的供應(yīng)商及時向相關(guān)部門舉報,從而保證會計市場的正常競爭。
3.2基于平臺供應(yīng)商的角度
平臺供應(yīng)商應(yīng)當不斷提高自身專業(yè)能力和綜合素質(zhì),完善云會計的使用需求和相關(guān)技術(shù),提高服務(wù)的質(zhì)量和水平。首先,供應(yīng)商應(yīng)當定期對平臺進行檢查,發(fā)現(xiàn)安全漏洞要及時打上補丁,確保用戶的信息安全;其次,供應(yīng)商的想關(guān)人員要簽訂保密協(xié)議,保證相關(guān)機密和用戶信息不從中流出,積極關(guān)注當前國際中先進的云會計技術(shù),立足我國的實際需要,不斷完善和改進相關(guān)技術(shù);再次,供應(yīng)商要提高服務(wù)水平和服務(wù)質(zhì)量,與客戶進行有效的溝通,樹立自身形象,打造自身價值品牌;最后,供應(yīng)商應(yīng)當制定應(yīng)急預(yù)案,面對突發(fā)事件才能保持鎮(zhèn)定,最大限度地保護用戶的利益。
3.3基于企業(yè)管理層的角度
雖然云會計的技術(shù)很大程度上取決于平臺供應(yīng)商,但是企業(yè)管理層也應(yīng)當引起足夠的重視,加強企業(yè)內(nèi)部的信息化建設(shè)。首先,企業(yè)管理層應(yīng)當建立完善的責任制度,每一個模塊的會計人員應(yīng)當將自己的操作信息進行記錄,確保責任落實到個人頭上;其次,在內(nèi)部設(shè)立監(jiān)管崗位,對相關(guān)人員的行為進行規(guī)范和監(jiān)管,從而確保流程的規(guī)范性;最后,加強對相關(guān)人員的培訓,不斷提高其專業(yè)能力和綜合素養(yǎng)。
4結(jié)語
綜上所述,雖然云會計為企業(yè)提供了便利,但是企業(yè)會計信息安全仍面臨著諸多問題,只有不斷完善會計相關(guān)法律法規(guī),嚴格審查供應(yīng)商資質(zhì)和信用,不斷提高企業(yè)內(nèi)部信息化管理建設(shè)水平,才能確保會計信息的安全性,保證企業(yè)效益。
參考文獻
[1]高碧蕓,趙旭.淺談云會計背景下中小企業(yè)會計信息安全的提升[J].現(xiàn)代營銷,2017(4).
關(guān)鍵詞:企業(yè)信息化水平;體系和方法
中圖分類號:TP391
評價指標體系設(shè)計應(yīng)遵循完備性、科學性、可行性、重點性、動態(tài)性等原則。指標內(nèi)容應(yīng)該覆蓋企業(yè)信息化體系的所有要素,反映企業(yè)信息化過程的各個環(huán)節(jié),并且重點突出,適應(yīng)變化,易懂、易用。指標數(shù)據(jù)應(yīng)該便于采集、分析和比較,從而有利于企業(yè)改進自身信息化建設(shè)。
作為專門從事信息化評價的機構(gòu),國家信息化測評中心經(jīng)過多年的研究與實踐,提出并了企業(yè)信息化評價的指標體系及其計算方法,并被廣泛應(yīng)用于企業(yè)信息化評價,影響很大,幾乎成為我國企業(yè)信息化水平評價的基礎(chǔ)。它包括3大類指標:基本指標、補充(效能)指標和評議指標。所謂基本指標是指能體現(xiàn)企業(yè)信息化基本狀況的統(tǒng)計指標,其反應(yīng)的是企業(yè)基本發(fā)展情況,實踐中多用來社會統(tǒng)計調(diào)查和政府監(jiān)測。所謂補充指標是指以企業(yè)在基本指標的基礎(chǔ)上,從企業(yè)自身特征出發(fā),結(jié)合整個行業(yè)特點,參考相關(guān)的標準,對企業(yè)信息化的實效性客觀評價的指標。它具有定量分析的特點。其主要通過適宜度和靈敏度兩大指標構(gòu)成,適宜度指標主要包括:戰(zhàn)略適宜度、投資適宜度、應(yīng)用適宜度、資源匹配適宜度和組織與文化適宜度。靈敏度指標主要包括:信息靈敏度、對外反應(yīng)靈敏度和管理效率靈敏度。適宜度和靈敏度兩項指標的得分總和即為效能指標的得分。多用來對企業(yè)信息化水平評價進行定級。所謂評議指標是由第三方的專業(yè)評價機構(gòu),組成專家組對影響企業(yè)信息化實效的特殊因素展開判斷的評價指標,從而形成對企業(yè)信息化評價的定性分析結(jié)論。
企業(yè)信息化基本指標對所有企業(yè)都具有指導評價效用,從企業(yè)化信息化戰(zhàn)略規(guī)劃、企業(yè)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用狀況、人力資源管理、信息安全、企業(yè)效益等6個方面(準則或一級指標),用21個指標定量而客觀地描述了企業(yè)信息化狀況,便于認識企業(yè)信息化基本狀況和進行初步的橫向行為對比分析。
企業(yè)信息化基本指標值(總指數(shù))I反映了企業(yè)信息化的基本狀況(水平),其計算如下所示:
I表示指標體系的總得分,表示第i類準則(―級指標)的得分。表示第i個準則的權(quán)重,所有指標權(quán)重的和為l00%。權(quán)重表將基本指標劃分成6個大類,每―類的權(quán)重設(shè)計如下:戰(zhàn)略地位:10%:基礎(chǔ)建設(shè):20%;應(yīng)用狀況:20%;人力資源:15%;安全:5%;效益指數(shù):30%。而如果評價指標體系是多層次的,即準則下面還有子準則,則可以通過下式計算得到:
其中,是第i個準則下屬的個子準則的指標值;是相應(yīng)指標的權(quán)重系數(shù),具體可根據(jù)層次分析法等,結(jié)合政策導向確定。j=1,2,…,,i=1,2,…,n。,各基本指標簡述如下:
(1)信息化重視度(分)。從三方面評價:主抓信息化工作領(lǐng)導者的地位;CIO職位的級別設(shè)置;企業(yè)信息化的規(guī)劃和預(yù)算。
(2)信息化投入總額占固定資產(chǎn)投資比重(%)。企業(yè)進行信息化建設(shè)的投入包括:軟件、硬件、培訓、專業(yè)IT人員的聘用費用、維護費用。其在企業(yè)固定資產(chǎn)投資中所占的比例。
(3)每百人計算機擁有量(臺)。
(4)網(wǎng)絡(luò)性能水平(分)。
(5)計算機連網(wǎng)率(%)。
(6)信息采集的信息化手段覆蓋率(%)。信息化手段在企業(yè)進行日常生產(chǎn)管理、市場調(diào)查、銷售數(shù)據(jù)分析、企業(yè)人力資源管理、企業(yè)員工培訓等領(lǐng)域的運用覆蓋率。
(7)辦公自動化系統(tǒng)應(yīng)用程度(分)。主要包括:信息流程的監(jiān)控、電子公文交換、文檔共享、收發(fā)文管理、會議管理、信息、信息集成、業(yè)務(wù)學習、企業(yè)員工個人數(shù)據(jù)管理、企業(yè)檔案管理、企業(yè)人力資源管理、企業(yè)日程安排等全方位的企業(yè)辦公自動化應(yīng)用。
(8)決策信息化水平(分)。根據(jù)初級水平、中級水平和高級水平3個級別定性評價。其中級別劃分標準如下:
初級水平:依據(jù)廣泛的信息資源,經(jīng)過采集、初步分析處理后為企業(yè)決策提供初步參考。
中級水平:對采集的數(shù)據(jù)資源進行較為詳細的處理,然后優(yōu)先出可靠的決策執(zhí)行方案,從而更進一步地支持政策的制訂和執(zhí)行。
高級水平:開發(fā)出人工智能分析系統(tǒng),依據(jù)系統(tǒng)分析,來智能化進行決策。
(9)核心、業(yè)務(wù)流程信息化水平。根據(jù)初級水平、中級水平和高級水平3個級別定性評價。其中級別劃分標準如下:
初級水平:企業(yè)主要業(yè)務(wù)流程信進行息化管理,缺點是容易造成部分主要業(yè)務(wù)流程出現(xiàn)信息孤立現(xiàn)象。
中級水平:企業(yè)絕大部分(80%)的主要業(yè)務(wù)流程進行信息化管理,并且可以各流程間可以充分共享數(shù)據(jù)信息。
高級水平:信息化水平涵蓋企業(yè)全部主要業(yè)務(wù)流程,實現(xiàn)管理最優(yōu)化控制。
(10)企業(yè)門戶網(wǎng)站建設(shè)水平(分)。這部分通過以下兩大類進行評價:服務(wù)對象列表和服務(wù)功能列表情況。其中:服務(wù)對象列表包括企業(yè)員工管理、管理決策者、企業(yè)終端客戶、供應(yīng)商、其他合作伙伴。服務(wù)功能列表包括信息、網(wǎng)上采購、網(wǎng)上銷售、客戶網(wǎng)上自助服務(wù)、員工入口、移動商務(wù)、消息自動傳送、業(yè)務(wù)報警功能等。
(11)網(wǎng)絡(luò)營銷應(yīng)用率(%)。企業(yè)整個營銷收入中,通過電子商務(wù)成交的部分所占的比例。
(12)管理信息化的應(yīng)用水平(分)。企業(yè)管理中信息化技術(shù)的覆蓋率以及信息化數(shù)據(jù)的整合效能和水平。其應(yīng)用領(lǐng)域包括:電子商務(wù)、人力資源管理、商業(yè)智能、購銷存管理、生產(chǎn)制造管理、分銷管理、財務(wù)管理、客戶關(guān)系管理等。
(13)人力資源指數(shù)(分)企業(yè)員工大專(含)以上學歷的人數(shù)占員工總數(shù)的百分比。
(14)信息化技能普及率(分)。包括:企業(yè)員工掌握IT技術(shù)的人數(shù)占總員工的比例;管理層非專業(yè)IT技術(shù)員對信息化技術(shù)學習掌握的水平。
(15)用于信息安全的費用占全部信息化投入的比例(%)。為維護企業(yè)信息安全所投入的費用:軟件、硬件、安全培訓、信息安全人力資源支出等。
(16)信息化安全措施應(yīng)用率(%)。為強化企業(yè)信息安全,企業(yè)對員工信息安全意識的培養(yǎng),企業(yè)信息安全制度的制定,保護企業(yè)高層信息安全的措施,其它一些有關(guān)信息化防范安全措施,如,企業(yè)信息實時和定時備份;企業(yè)要具備2個以上的ISP;企業(yè)級殺毒軟件安裝,并及時升級程序;單機版殺毒軟件安裝,并保證及時升級;郵件加密保護;建立企業(yè)內(nèi)部局域網(wǎng),并有專業(yè)IT人員維護;企業(yè)檔案、員工信息服務(wù)器、網(wǎng)絡(luò)服務(wù)器等網(wǎng)絡(luò)流量相關(guān)設(shè)備要有備份。
(17)庫存資金占用率(%)。庫存資金占用率=庫存平均占用的資金/全部流動資金
(18)資金運轉(zhuǎn)效率(次/年)。企業(yè)流動資金每年的周轉(zhuǎn)次數(shù)增長幅度的計算方法:
(19)增長指數(shù)。通過企業(yè)自身的調(diào)查報表,計算出企業(yè)某一時期的銷售收入和營利利潤的增長比率,并與同行業(yè)平均銷售收入和營利利潤增長比率,進行縱向和橫向?qū)Ρ取⒎治?,準確分析企業(yè)自身的發(fā)展,確定企業(yè)在整個行業(yè)中所處的層次,判斷企業(yè)信息化在相關(guān)方面帶來的影響。
總之,20世紀90年代隨著信息化的概念在國內(nèi)普及,特別是互聯(lián)網(wǎng)帶動了國家信息化全面建設(shè),人們開始從國家、地區(qū)和企業(yè)等多個層面開展信息化水平或績效方面評估。信息化評價是伴隨著信息化的發(fā)展而出現(xiàn)的新生事物,我國信息化評價的發(fā)展歷程比較短暫,涉足研究、開發(fā)和應(yīng)用的單位尚不多,還需大家共同努力。
參考文獻:
[1]孫素華.論企業(yè)信息資源管理[J].商業(yè)時代,2007,22.
[2]蔡荃.企業(yè)信息系統(tǒng)資源與績效關(guān)系研究[D].浙江大學,2006.
關(guān)鍵詞:電力;信息安全;解決方案;技術(shù)手段
一、電力信息化應(yīng)用和發(fā)展
目前,電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成,硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好,無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實現(xiàn)了信息化,企業(yè)信息化已經(jīng)成為新世紀開局階段的潮流。在網(wǎng)絡(luò)硬件方面,基本上已經(jīng)實現(xiàn)千兆骨干網(wǎng);百兆到桌面,三層交換;VLAN,MPLS等技術(shù)也普及使用。在軟件方面,各應(yīng)用十要包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)的應(yīng)用子系統(tǒng)等。計算機及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)、經(jīng)營、管理、科研、設(shè)計等各個領(lǐng)域有著十分廣泛的應(yīng)用,安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和經(jīng)濟效益,同時也逐步健全和完善了信息化管理機制,培養(yǎng)和建立了一支強有力的技術(shù)隊伍,有利促進了電力工業(yè)的發(fā)展。
二、電力信息網(wǎng)安全現(xiàn)狀分析
結(jié)合電力生產(chǎn)特點,從電力信息系統(tǒng)和電力運行實時控制系統(tǒng)2個方面,分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運行實時控制網(wǎng)絡(luò)進行隔離,網(wǎng)絡(luò)間設(shè)置了防火墻,購買了網(wǎng)絡(luò)防病毒軟件,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的,很多單位沒有網(wǎng)絡(luò)防火墻,沒有數(shù)據(jù)備份的概念,更沒有對網(wǎng)絡(luò)安全做統(tǒng)一,長遠的規(guī)劃,網(wǎng)絡(luò)中有許多的安全隱患。**供電公司嚴格按照省公司的要求,對網(wǎng)絡(luò)安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網(wǎng)管軟件的安裝、VerJtas備份系統(tǒng)的使用,確保了信息的安全,為生產(chǎn)、營業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善,管理起來還是很吃力,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
三、電力信息網(wǎng)安全風險分析
計算機及信息網(wǎng)絡(luò)安全意識亟待提高。電力系統(tǒng)各種計算機應(yīng)用對信息安全的認識距離實際需要差距較大,對新出現(xiàn)的信息安全問題認識不足。
缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網(wǎng)絡(luò)系統(tǒng)安全運行的管理規(guī)范。
急需建立同電力行業(yè)特點相適應(yīng)的計算機信息安全體系。相對來說,在計算機安全策略、安全技術(shù)和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運行,應(yīng)建立一套結(jié)合電力計算機應(yīng)用特點的計算機信息安全體系。
計算機網(wǎng)絡(luò)化使過去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后,面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計算機系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。
數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。電力系統(tǒng)計算機網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質(zhì)的人可以讀出這些信息;黑客可以饒過操作系統(tǒng),數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認證。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計和開發(fā),用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中,這種脆弱的安全控制措施在操作人員計算機應(yīng)用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事,沒有完善的數(shù)據(jù)備份設(shè)備、沒有數(shù)據(jù)備份策略、沒有備份的管理制度,沒有對數(shù)據(jù)備份的介質(zhì)進行妥善保管。
四、電力信息網(wǎng)安全防護方案
4.1加強電力信息網(wǎng)安全教育
安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效,高級管理部門應(yīng)當對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓。所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應(yīng)該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術(shù)的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應(yīng)當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。
4.2電力信息髓安全防護技術(shù)措旌
(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。DMZ區(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器,既能夠保證提供正常的服務(wù),又能夠有效地保護服務(wù)器不受攻擊。設(shè)置防火墻的訪問策略,遵循“缺省全部關(guān)閉,按需求開通的原則”,拒絕除明確許可證外的任何服務(wù)。
(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統(tǒng):部署先進的分布式入侵檢測構(gòu)架,最大限度地、全天候地實施監(jiān)控,提供企業(yè)級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網(wǎng)絡(luò)管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識別率、規(guī)則更新迅速等特點。
(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進行掃描。
掃描結(jié)束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網(wǎng)絡(luò)防病毒:為保護電力信息網(wǎng)絡(luò)受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心,對整個網(wǎng)絡(luò)部署查、殺毒,服務(wù)器通Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應(yīng)用軟件。
(6)數(shù)據(jù)加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?,實現(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術(shù),提高實時的信息傳播中的保密性和安全性。
(7)數(shù)據(jù)備份:對于企業(yè)來說,最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實際的數(shù)據(jù)備份策略。
(8)數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。
4.3電力信息網(wǎng)安全防護管理措施
技術(shù)是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定,防止網(wǎng)路機密泄露,特別是注意人員調(diào)離時的網(wǎng)絡(luò)機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調(diào)離時密碼一定要更新。
(3)技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路由器的安全策略要切合實際。
(4)數(shù)據(jù)的備份策略要合理,備份要及時,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。
(5)加強信息設(shè)備的物理安全,注意服務(wù)器、計算機、交換機、路由器、存儲介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜。報廢的介質(zhì)要及時清除和銷毀,特別要注意送出修理的設(shè)備上存儲的信息的安全。
五、電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問題
(1)理順技術(shù)與管理的關(guān)系。
解決信息安全問題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經(jīng)濟合理的關(guān)系。安全方案要能適應(yīng)長遠的發(fā)展和今后的局部調(diào)整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國際上通行的一些標準來實現(xiàn)。
(4)網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題,網(wǎng)絡(luò)上的任何一個漏洞,都會導致全網(wǎng)的安全問題,應(yīng)該用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全及具體措施。