前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全措施范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全措施范文第1篇

關(guān)鍵詞：MIS開發(fā)及應(yīng)用　安全措施

隨著企業(yè)信息化發(fā)展的強(qiáng)烈需要，企業(yè)開發(fā)及應(yīng)用管理信息系統(tǒng)MIS(Management Information System)成為一種必然選擇，企業(yè)信息安全事件的發(fā)生率也開始呈現(xiàn)出大幅度增長的態(tài)勢。如何更有效地保護(hù)和管理自身的信息資產(chǎn)，如何保證和加強(qiáng)企業(yè)MIS的安全，已成為企業(yè)亟待解決的課題。

一、MIS存在的安全問題

(一)安全意識薄弱

在MIS的開發(fā)與應(yīng)用過程中，經(jīng)常出現(xiàn)領(lǐng)導(dǎo)部門對制定一個統(tǒng)一的信息安全系列標(biāo)準(zhǔn)不夠重視，對指導(dǎo)MIS的管理和應(yīng)用不夠關(guān)心；各子系統(tǒng)管理人員沒有管好自己的用戶名和口令，外泄或借與他人使用；不重視MIS的硬件部分、軟件部分、環(huán)境因素等現(xiàn)象，對于安全防范存在一種惰性和漠視，安全意識薄弱。

(二)投入經(jīng)費不足

由于安全意識薄弱，企業(yè)往往對MIS安全經(jīng)費投入不足，致使企業(yè)在應(yīng)用MIS過程中，經(jīng)常出現(xiàn)使用各種盜版軟件，不能安裝專業(yè)防火墻等現(xiàn)象。使得Intemet網(wǎng)上用戶對MIS服務(wù)器可以直接攻擊，外界病毒易于感染MIS服務(wù)器等現(xiàn)象，導(dǎo)致企業(yè)MIS安全問題頻發(fā)。給企業(yè)帶來巨大的經(jīng)濟(jì)損失。

(三)技術(shù)力量匱乏

信息安全從業(yè)人員不只縱向上要對各項工作有精深的理解，橫向上還需要對信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務(wù)邏輯有豐富的認(rèn)知，特別是在經(jīng)驗上往往有相當(dāng)高的要求，這從很大程度上造成了企業(yè)很難具備足夠的技術(shù)力量來保障信息安全設(shè)施的運轉(zhuǎn)。

二、開發(fā)過程中的安全措施

管理信息系統(tǒng)作為一個龐大、復(fù)雜而嚴(yán)密的系統(tǒng)，在整個開發(fā)過程中需要投入大量的人力、物力和財力，系統(tǒng)的安全性往往被放在首要的位置，成為系統(tǒng)生存的關(guān)鍵因素。

(一)權(quán)限設(shè)計

根據(jù)對操作系統(tǒng)的用戶、用戶組及其訪問權(quán)限作嚴(yán)格的規(guī)定，在數(shù)據(jù)表設(shè)計時將權(quán)限分為三類：數(shù)據(jù)庫登錄權(quán)限類、資源管理權(quán)限類和數(shù)據(jù)庫管理員權(quán)限類。具有數(shù)據(jù)庫登錄權(quán)限的用戶能進(jìn)入數(shù)據(jù)庫管理系統(tǒng)，使用數(shù)據(jù)庫。具有資源管理權(quán)限的用戶，除了擁有上一類用戶權(quán)限外，可以在權(quán)限允許的范圍內(nèi)修改、查詢數(shù)據(jù)庫。具有數(shù)據(jù)庫管理員權(quán)限的用戶將具有數(shù)據(jù)庫管理的一切權(quán)限，包括訪問任何用戶的任何數(shù)據(jù)，授予(或回收)用戶的各種權(quán)限，完成數(shù)據(jù)庫的備份、裝入以及進(jìn)行審計等工作。

(二)數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是在發(fā)送方將要發(fā)送的保密信息進(jìn)行加密處理，而在接收方通過特定的算法將收到的信息進(jìn)行解密。在加密過程中使用加密函數(shù)和密鑰生成密文數(shù)據(jù)后，傳送出去。傳送過程中即使有人得到了密文數(shù)據(jù)，知曉了加密函數(shù)或是解密函數(shù)是沒有用的，沒有密鑰，依舊無法根據(jù)密文數(shù)據(jù)推算出明文數(shù)據(jù)，這就保證了數(shù)據(jù)的機(jī)密性。數(shù)據(jù)加、解密過程如下圖1所示。

(三)數(shù)據(jù)認(rèn)證 　 MIS的信息傳送或存儲還可以采用數(shù)據(jù)認(rèn)證技術(shù)(如數(shù)字簽名技術(shù)、Hash技術(shù)等)。數(shù)據(jù)認(rèn)證技術(shù)是確保信息的真實性和完整性的一種技術(shù)，是解決網(wǎng)絡(luò)通信中發(fā)生否認(rèn)、偽造、冒充、篡改等問題的安全技術(shù)，主要包括接收者能夠核實發(fā)送者對報文的簽名、發(fā)送者事后不能抵賴對報文的簽名、接收者不能偽造對報文的簽名等方面。

(四)密鑰管理

一個密碼系統(tǒng)的安全性取決于對關(guān)鍵信息即密鑰的保護(hù)。密鑰的保密和安全管理在數(shù)據(jù)安全系統(tǒng)中是極為重要的。在／diS中，可以采用證書機(jī)構(gòu)(CA)來管理密鑰。CA(cerfificateAuthority)保證頒發(fā)的數(shù)字證書的有效性，由它負(fù)責(zé)注冊證書，分發(fā)證書以及當(dāng)證書過期時宣布不再有效，因此可以保護(hù)密鑰。

三、實施過程中安全措施

不管企業(yè)MIS采用C／S結(jié)構(gòu)還是B／S結(jié)構(gòu)，在實施過程中必須與Internet連接。在具體實施中應(yīng)從企業(yè)網(wǎng)絡(luò)內(nèi)部、企業(yè)網(wǎng)絡(luò)與Intemet的連接出口方面加強(qiáng)安全措施：

(一)企業(yè)局域網(wǎng)安全措施

1　局域網(wǎng)節(jié)點安全措施

在企業(yè)局域網(wǎng)應(yīng)用中，只要在接人局域網(wǎng)上的任一節(jié)點進(jìn)行偵聽，就可以捕獲發(fā)生在這個局域網(wǎng)上的所有數(shù)據(jù)包，從而竊取關(guān)鍵信息，這就是局域網(wǎng)固有的安全隱患。為了解決這個問題，可以采取以下措施：

(1)分段策略

分段策略包括物理分段和邏輯分段兩種方式。物理分段是從物理層和數(shù)據(jù)鏈路層把網(wǎng)絡(luò)分成若干網(wǎng)段，各網(wǎng)段無法直接通信；邏輯分段是在網(wǎng)絡(luò)層根據(jù)IP地址將網(wǎng)絡(luò)分成若干子網(wǎng)，各子網(wǎng)借助網(wǎng)關(guān)自身安全機(jī)制來控制各子網(wǎng)的相關(guān)訪問。因此應(yīng)綜合應(yīng)用物理分段與邏輯分段兩種方法，將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。

(2)交換式集線器策略

由于部分網(wǎng)絡(luò)最終用戶的接入是通過分支集線器而不是交換機(jī)，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包會被同一臺集線器上的其他用戶所偵聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。

(3)VLAN(虛擬局域網(wǎng))策略

在集中式網(wǎng)絡(luò)環(huán)境下，將中心的所有主機(jī)系統(tǒng)集中到一個VLAN里，不允許任何用戶節(jié)點接人，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，MIS應(yīng)按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點都在各自的VLAN內(nèi)，互不侵?jǐn)_。

2　局域網(wǎng)服務(wù)器安全措施

在局域網(wǎng)的服務(wù)器中。由于存在著大量的數(shù)據(jù)庫實體及擁有不同操作權(quán)限的用戶，用戶可對數(shù)據(jù)庫實體進(jìn)行任意操作。針對這些嚴(yán)重的安全漏洞，可以采取如下安全措施：

(1)兩級登錄機(jī)制

為每個數(shù)據(jù)庫用戶只建立一個真正的數(shù)據(jù)庫賬號，它具有對系統(tǒng)應(yīng)用所涉及的所有數(shù)據(jù)實體進(jìn)行操作的全部權(quán)限；為每一位系統(tǒng)操作人員分別創(chuàng)建一個應(yīng)用系統(tǒng)賬號。用戶先使用應(yīng)用系統(tǒng)賬號登錄應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)再將應(yīng)用級賬號變換為數(shù)據(jù)庫系統(tǒng)賬號，然后應(yīng)用系統(tǒng)用數(shù)據(jù)庫系統(tǒng)賬號登錄數(shù)據(jù)庫。僅在兩級登錄都成功的前提下，整個登錄過程才算成功，數(shù)據(jù)庫系統(tǒng)便能識別登錄應(yīng)用系統(tǒng)的用戶身份。

(2)用戶授權(quán)機(jī)制

將整個系統(tǒng)細(xì)分為若干個可分配的最小權(quán)限單元，這些權(quán)限具體表現(xiàn)在對數(shù)據(jù)庫中所涉及的表、視圖的數(shù)據(jù)操作的劃分上。然后再運用角色或工作組的概念，結(jié)合各級系統(tǒng)使用人員的工作性質(zhì)，為系統(tǒng)創(chuàng)建了4類基本等級：系統(tǒng)管理員、高級操作員、一般操作員及簡單操作員，并相應(yīng)地為每個等級賦予了不同的權(quán)限，以此來簡化權(quán)限管理工作。

(3)日志檢測機(jī)制

在MIS系統(tǒng)中。通過日志記錄，可以審核執(zhí)行某操作的用戶，執(zhí)行操作的機(jī)器m地址、操作類型、操作對象及操作執(zhí)行時間等。這樣不僅可以分類檢索日志內(nèi)容，系統(tǒng)還能根據(jù)已記錄的日志內(nèi)容，自動找出可能存在的不安全因素，并實時觸發(fā)相應(yīng)的警告，及時通知系統(tǒng)管理員及用戶。

(4)備份及恢復(fù)機(jī)制

為了防止人為的失誤或破壞，MIS系統(tǒng)中應(yīng)建立強(qiáng)大的數(shù)據(jù)庫觸發(fā)器以備份重要數(shù)據(jù)的刪除操作，甚至更新任務(wù)。具體而言，對于刪除操作，作的記錄全部存貯在備份庫中。而對于更新操作，考慮到信息量過于龐大，可只備份所執(zhí)行的SQL語　句。這樣，既能查看到備份的內(nèi)容，又能相當(dāng)程度地減小備份庫存貯容量。

(二)企業(yè)網(wǎng)絡(luò)出口安全措施

1　VPN技術(shù)

VPN(VirtualPrivate Network)是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。VPN技術(shù)的核心是采用隧道技術(shù)，將企業(yè)專用網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的專用通道進(jìn)行傳輸，保證傳輸內(nèi)容僅被指定的發(fā)送者和接收者了解，從而防止敏感數(shù)據(jù)的被竊取。

2　防火墻技術(shù)

在Intemet和Inh'anet的連接部分，利用防火墻技術(shù)，使得通過外部撥號或其他方式訪問企業(yè)網(wǎng)絡(luò)部分功能時，可以很好的控制該用戶的訪問權(quán)限和操作級別，可以有效地防止惡意的外部用戶的進(jìn)攻。

3　技術(shù)

企業(yè)信息安全措施范文第2篇

供電企業(yè)在建設(shè)初期就已經(jīng)考慮到了信息安全防護(hù)問題——將主要設(shè)備，例如服務(wù)器、路由器和核心交換機(jī)等統(tǒng)一管理，通信線路要盡可能架空、深埋或者穿線，并做出必要的標(biāo)記，避免線路被損壞。在此過程中，供電企業(yè)不但要保護(hù)設(shè)備，實施必要的安全技術(shù)操作，同時，還要在實施基本策略的前提下，采取必要的網(wǎng)絡(luò)安全管理技術(shù)，例如防毒技術(shù)和防火墻技術(shù)等，保證信息安全。入網(wǎng)規(guī)范管理設(shè)備屬于硬件網(wǎng)絡(luò)控制設(shè)備，在供電企業(yè)的機(jī)房中加入入網(wǎng)規(guī)范管理設(shè)備，能夠檢測出信息安全和一些違規(guī)行為。入網(wǎng)規(guī)范管理設(shè)備不會大規(guī)模地改變已經(jīng)存在的網(wǎng)絡(luò)結(jié)構(gòu)，并且它的網(wǎng)絡(luò)環(huán)境適應(yīng)能力非常強(qiáng)，不需要安裝客戶端就能將其接入系統(tǒng)中，能夠自動檢測信息安全，主要包括注冊、防病毒、更新、弱口令和違規(guī)外聯(lián)等，進(jìn)而修復(fù)存在風(fēng)險的機(jī)器。因為供電企業(yè)內(nèi)部從事信息工作的人員年紀(jì)差比較大，對信息技術(shù)的了解程度也不同，所以，這就為信息安全埋下了隱患。

安裝入網(wǎng)規(guī)范管理設(shè)備的操作比較簡單，不但會增強(qiáng)供電企業(yè)的安全防護(hù)能力，還為工作人員的工作帶來了便利，減輕了工作人員的壓力。當(dāng)供電企業(yè)有人動時，就會出現(xiàn)網(wǎng)絡(luò)接口不夠用的情況，因此，很多人便利用集線器拓展網(wǎng)絡(luò)，這便為公司的信息安全埋下了隱患，不但容易引發(fā)廣播風(fēng)暴，還會干擾公司整體網(wǎng)絡(luò)的穩(wěn)定性，讓一些不法分子有機(jī)可乘——侵入公司內(nèi)網(wǎng)，泄露公司機(jī)密。所以，針對這種情況，建議采取添加交換機(jī)的方式，并配置端口安全策略，即interfacefastethernet<number>；switchportport-securitymaximumvalue。對于公司信息外網(wǎng)，要檢查私自連接無線路由器、隨身wifi等情況，如果發(fā)現(xiàn)，要馬上制止，防止信息被泄露，以確保供電企業(yè)的信息安全。隨著供電企業(yè)內(nèi)部網(wǎng)絡(luò)的發(fā)展和壯大，需要加入新的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、終端設(shè)備和存儲設(shè)備等。當(dāng)網(wǎng)絡(luò)處于一個復(fù)雜的環(huán)境中時，就很難處理網(wǎng)絡(luò)故障了。針對這類問題，可以在機(jī)房安裝網(wǎng)絡(luò)分析設(shè)備，對系統(tǒng)進(jìn)行網(wǎng)絡(luò)故障分析、應(yīng)用分析和安全分析，獲取網(wǎng)絡(luò)流量，通過分析解碼能夠快速定位網(wǎng)絡(luò)故障，進(jìn)而有效維護(hù)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)分析系統(tǒng)能夠分析數(shù)據(jù)包網(wǎng)絡(luò)，檢測深度網(wǎng)絡(luò)通訊，準(zhǔn)確、快速地找到蠕蟲、網(wǎng)絡(luò)攻擊或木馬等，并對其進(jìn)行診斷，快速定位將要發(fā)生問題的機(jī)器，幫助信息運行維護(hù)工作人員及時處理問題。

2管理策略

對于病毒防護(hù)的管理，要安排專業(yè)工作人員定期查看木馬病毒的感染情況，及時處理受到感染的用戶，并為每位工作人員發(fā)放設(shè)備安全說明，讓工作人員從自身做起，保障信息安全。供電企業(yè)可以對工作人員進(jìn)行安全意識培訓(xùn)和技能培訓(xùn)，尤其是管理信息系統(tǒng)的工作人員，不斷提高其業(yè)務(wù)能力，補(bǔ)充更多的專業(yè)知識。在供電企業(yè)的每一個區(qū)域配備專門的信息安全負(fù)責(zé)人，并對其定時培訓(xùn)，加大信息安全的維護(hù)力度。針對一些特殊崗位的工作人員，要實施有針對性的培訓(xùn)，以不斷提升各個崗位工作人員的管理能力和技術(shù)能力。

3總結(jié)

企業(yè)信息安全措施范文第3篇

關(guān)鍵詞：電力企業(yè)；信息安全；管理；探討

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

電力企業(yè)的信息化建設(shè)在生產(chǎn)自動化、管理信息化、營銷現(xiàn)代化等方面發(fā)揮了重要作用。然而，隨著網(wǎng)絡(luò)的延伸、應(yīng)用的普及和不斷深化，特別是隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，信息安全問題日益突出。研究電力系統(tǒng)信息安全問題、制定和實施電力系統(tǒng)信息安全戰(zhàn)略、建立全方位、動態(tài)的電力信息系統(tǒng)安全保障體系，己成為當(dāng)前電力系統(tǒng)信息化工作的重要內(nèi)容。

一、電力信息安全的含義

電力信息安全是指電力主營業(yè)務(wù)系統(tǒng)及企業(yè)信息安全，保障不被未經(jīng)授權(quán)者訪問、利用和修改，為合法用戶提供安全、可信的信息服務(wù)，保證信息和信息系統(tǒng)的機(jī)密性、完整性、可用性、真實性和不可否認(rèn)性。

二、電力企業(yè)信息安全風(fēng)險分析

（一）電力信息安全管理風(fēng)險分析。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。由于近年計算機(jī)信息技術(shù)高速發(fā)展，計算機(jī)信息安全策略和技術(shù)也取得了非常大的進(jìn)展，但在電力系統(tǒng)各種計算機(jī)應(yīng)用中，對信息安全的認(rèn)識跟實際需要差距較大安全意識薄弱、責(zé)權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風(fēng)險。

（二）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全風(fēng)險分析。網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。目前電力企業(yè)在機(jī)房建設(shè)（包括水源、消防、門禁等）、重要設(shè)備的訪問管理方面都存在缺陷，亟待解決。如在網(wǎng)絡(luò)介質(zhì)的安全方面由于大都采用內(nèi)部專用網(wǎng)絡(luò)，但樓層交換機(jī)的機(jī)柜位置不安全，非管理人員可以隨時接觸到，這給內(nèi)部的攻擊或竊密行為提供方便之門。

（三）電力企業(yè)信息網(wǎng)絡(luò)連接安全風(fēng)險分析。電力企業(yè)的部分用戶由于工作需要連接了因特網(wǎng)，同時沒有服務(wù)器供外部訪問，用戶連接因特網(wǎng)時沒有做到與內(nèi)網(wǎng)的物理隔離，這給網(wǎng)絡(luò)帶來危害；局域網(wǎng)內(nèi)部用戶有意或無意對系統(tǒng)進(jìn)行了攻擊和竊密行為；內(nèi)部其它單位用戶對本網(wǎng)絡(luò)的攻擊行為，類似因特網(wǎng)外部連接風(fēng)險等眾多因素也都對網(wǎng)絡(luò)安全構(gòu)成了威脅。此外，受人員水平、設(shè)備性能等方面因素制約，使整個電力信息網(wǎng)的外部邊界保護(hù)能力存在一定差異，必然降低整體邊界安全防護(hù)能力。

（四）支撐基礎(chǔ)設(shè)施的安全風(fēng)險分析。許多電力企業(yè)沒有完整的備份策略，備份工作沒有計劃，備份不及時，沒有備份恢復(fù)預(yù)案；介質(zhì)管理不規(guī)范，沒有對備份介質(zhì)做庫存、領(lǐng)取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災(zāi)難恢復(fù)計劃要素的所處的水平較低，應(yīng)重點加快制定有關(guān)災(zāi)難恢復(fù)的管理制度，以及備份設(shè)備的更新。

三、電力企業(yè)信息安全防范措施

（一）電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門，至少應(yīng)配備2名安全專職管理人員，明確權(quán)利與責(zé)任，分別負(fù)責(zé)各系統(tǒng)的安全審計，并相互制約。2.完善信息安全管理制度。參照國際最佳實踐，建立一套完整的制度體系，形成省、地兩級安全管理體系。3.加強(qiáng)信息安全教育培訓(xùn)。安全意識和相關(guān)技能的教育是企業(yè)安全管理中的重要內(nèi)容。高級管理部門應(yīng)當(dāng)對全體員工，特別是中高級管理人員進(jìn)行信息安全管理制度培訓(xùn)，強(qiáng)化信息安全意識。

（二）電力信息安全技術(shù)措施。1.加強(qiáng)網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施建設(shè)。建立電力企業(yè)信息系統(tǒng)物理各環(huán)境的安全目標(biāo)防止對企業(yè)工作場所和信息的非法訪問、破壞和干擾或避免造成資產(chǎn)的流失、受損。建立省電網(wǎng)級認(rèn)證授權(quán)中心，提供目錄服務(wù)、身份管理、認(rèn)證管理、訪問管理等功能，實現(xiàn)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的統(tǒng)一身份認(rèn)證管理。對電力企業(yè)重要網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行完整性檢查保護(hù)，防止主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備配置文件的篡改，對系統(tǒng)文件遭到修改及破壞可以及時發(fā)現(xiàn)修復(fù)。2.網(wǎng)絡(luò)控制技術(shù)。網(wǎng)絡(luò)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。主要包括：（1）防火墻技術(shù)。（2）審計技術(shù)。（3）訪問控制技術(shù)。（4）安全協(xié)議。3.備份恢復(fù)技術(shù)。備份恢復(fù)技術(shù)主要包括備份技術(shù)、冗余技術(shù)、容錯技術(shù)和不間斷電源保護(hù)4個方面的內(nèi)容。備份恢復(fù)與容災(zāi)中心具有關(guān)聯(lián)性，建立容災(zāi)中心的單位應(yīng)每年至少進(jìn)行一次災(zāi)備恢復(fù)的演練，沒有容災(zāi)中心的單位應(yīng)將營銷、生產(chǎn)、財務(wù)等核心數(shù)據(jù)定期進(jìn)行異地備份，并定期進(jìn)行備份恢復(fù)演練，提升應(yīng)對自然災(zāi)害的能力。

四、結(jié)束語

企業(yè)信息安全措施范文第4篇

關(guān)鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號：TP309.2文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機(jī)構(gòu)Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復(fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險；突出重點，分級保護(hù)；統(tǒng)籌安排，分步實施；分級管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個 “信息安全運維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險監(jiān)管機(jī)制，一套信息安全績效考核指標(biāo)。“七套信息安全軟措施”關(guān)系如圖1所示。

4.2 信息安全管理設(shè)計

基于對管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護(hù)措施組成。

4.2.1 信息安全等級劃分指標(biāo)

信息安全等級保護(hù)是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對人員、團(tuán)隊、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對安全設(shè)計、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險。

4.2.6 信息安全績效考核指標(biāo)

信息安全績效考核指標(biāo)是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊伍的建設(shè)，提高企業(yè)人員的信息安全意識和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡言之是：給業(yè)務(wù)運營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個中心（信息安全運維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能，實現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實時監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患。基于此，綜合測試環(huán)境建設(shè)的內(nèi)容包括：安全測試網(wǎng)絡(luò)；測試系統(tǒng)設(shè)備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實的帶寬；測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術(shù)語知識庫。

5.4 安全平臺建設(shè)規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是：以信息安全服務(wù)為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領(lǐng)信息安全市場，為企業(yè)轉(zhuǎn)型創(chuàng)造時機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計

服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險評估；信息安全規(guī)劃設(shè)計；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設(shè)計規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計實例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

企業(yè)信息安全措施范文第5篇

關(guān)鍵詞：供電企業(yè);信息安全;電力;網(wǎng)絡(luò)信息化

DOI：10.16640/ki.37-1222/t.2015.21.131

0 引言

在我國能源行業(yè)中，供電企業(yè)占有十分重要的地位。目前，供電企業(yè)體制改革正在逐步走向信息智能化，網(wǎng)絡(luò)信息系統(tǒng)在供電企業(yè)中的構(gòu)建也變得日益完善[1-3]。這也使得供電企業(yè)對信息化的依賴程度越來越強(qiáng)，隨之而來的信息安全問題也日益突出[4-6]。因此，構(gòu)建完善合理的信息安全管理系統(tǒng)已成為供電企業(yè)亟需解決的問題。本文以國家電網(wǎng)遼寧省遼陽縣供電公司為例，分析了目前存在的信息安全問題，并提出了一些改進(jìn)措施。

1 信息安全存在的問題

供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)面臨的安全問題越來越多，歸結(jié)起來主要表現(xiàn)在：系統(tǒng)漏洞;病毒感染;企業(yè)信息安全維護(hù)人員不足;人員信息安全意識薄弱;信息安全制度管理不完善等幾個方面。

（1）系統(tǒng)安全漏洞。任何軟件和系統(tǒng)都會存在一定的安全漏洞，所以說絕對安全的系統(tǒng)實際上是不存在的，供電企業(yè)的網(wǎng)絡(luò)系統(tǒng)也同樣如此。由于漏洞的存在，病毒、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業(yè)的網(wǎng)絡(luò)，甚至可以獲得計算機(jī)的管理權(quán)限。顯然，這對于供電企業(yè)來說是非常危險的，會導(dǎo)致嚴(yán)重的安全問題。

（2）病毒感染。計算機(jī)病毒（Computer Virus）是一種編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼，具有很強(qiáng)的寄生性、破壞性和傳染性，被稱為計算機(jī)系統(tǒng)的頭號敵人。一旦侵入計算機(jī)，引發(fā)的危害相當(dāng)嚴(yán)重，會破壞系統(tǒng)文件，偷盜計算機(jī)中有用信息，導(dǎo)致系統(tǒng)無法正常運行。在供電企業(yè)中使用信息網(wǎng)絡(luò)技術(shù)時，由于大量的企業(yè)重要機(jī)密和客戶信息儲存在計算機(jī)系統(tǒng)中，計算機(jī)病毒一旦入侵并破壞計算機(jī)系統(tǒng)，系統(tǒng)中收集的重要資料將會丟失，損失是災(zāi)難性的。

（3）缺乏足夠的系統(tǒng)維護(hù)人員。供電企業(yè)信息安全需要一定的專業(yè)技術(shù)技術(shù)人員來維護(hù)，但是在大部分供電企業(yè)中，以作者所在遼陽縣供電公司為例，專門從事網(wǎng)絡(luò)信息系統(tǒng)安全維護(hù)工作的專業(yè)技術(shù)人員僅有5位，這么少的專業(yè)技術(shù)人員承擔(dān)不了繁重的電力網(wǎng)絡(luò)信息安全工作，所以當(dāng)企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)發(fā)生故障時，維護(hù)工作得不到有效的實施，進(jìn)而影響供電企業(yè)的信息安全。

（4）人員信息安全意識薄弱。在供電企業(yè)中應(yīng)用計算機(jī)信息網(wǎng)絡(luò)技術(shù)時，由于相關(guān)電力工作人員安全意識薄弱而導(dǎo)致的企業(yè)信息安全問題時有發(fā)生，大大減弱了供電企業(yè)信息安全防御能力。例如相關(guān)技術(shù)人員的不認(rèn)真導(dǎo)致誤操作、未及時修復(fù)系統(tǒng)漏洞或者通過外接儲存設(shè)備導(dǎo)致機(jī)密信息和重要文件的泄露等，這些由工作人員人為因素導(dǎo)致的安全問題將會在很大程度上影響供電企業(yè)的信息安全。

（5）信息安全管理制度不完善。多數(shù)供電企業(yè)的安全制度制定不夠完善，沒有高度重視和落實企業(yè)信息安全制度。經(jīng)常會出現(xiàn)機(jī)密文件隨處放、系統(tǒng)口令不設(shè)置、打印設(shè)備及網(wǎng)絡(luò)共享等問題。這些問題的存在同樣也會危害到供電企業(yè)的信息安全。

2 針對供電企業(yè)信息安全問題的相應(yīng)措施

針對以上所述的信息安全問題，為了有效提高供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全性，我們提出了以下幾個方面的改進(jìn)措施。

（1）漏洞掃描和彌補(bǔ)漏洞缺陷。漏洞掃描包括基于主機(jī)的漏洞掃描和基于網(wǎng)絡(luò)的漏洞掃描，是一項既經(jīng)濟(jì)又實用的安全策略，及時發(fā)現(xiàn)漏洞并修補(bǔ)，可以防止安全隱患向安全事件的轉(zhuǎn)變。可針對我公司計算機(jī)中的數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用服務(wù)等進(jìn)行漏洞掃描并修補(bǔ)，做到未雨綢繆，進(jìn)一步保證網(wǎng)絡(luò)信息系統(tǒng)的安全運行。

（2）防止病毒侵入計算機(jī)。隨著全球智能電網(wǎng)的推進(jìn)，供電公司的網(wǎng)絡(luò)和辦公也越來越智能信息化，這就給計算機(jī)病毒的傳播提供了一個重要的傳播途徑。因此，供電企業(yè)各部門必須建設(shè)標(biāo)準(zhǔn)化的個人終端，對病毒軟件做到不間斷的更新，完善補(bǔ)丁。另外需要特別注意的是要嚴(yán)格控制盜版軟件的使用，掌握更多的安全措施來防范木馬病毒，嚴(yán)格控制用戶訪問權(quán)限。

（3）增強(qiáng)信息系統(tǒng)運行維護(hù)管理。針對作者所在供電公司，現(xiàn)在尚沒有獨立的部門進(jìn)行信息系統(tǒng)運行維護(hù)，所以首先需要建立獨立的運維部門，并增設(shè)足夠的專業(yè)技術(shù)人員進(jìn)行網(wǎng)絡(luò)信息運行維護(hù);并對技術(shù)人員進(jìn)行部門內(nèi)分工，制定相應(yīng)的管理措施，完善整個網(wǎng)絡(luò)信息維護(hù)流程;另外，需要對專業(yè)技術(shù)人員進(jìn)行定期職業(yè)培訓(xùn)，提高他們的操作管理水平。

（4）提升員工信息安全防患意識。在適應(yīng)網(wǎng)絡(luò)信息技術(shù)潛在的快速發(fā)展要求的基礎(chǔ)上，通過對全體員工采取信息安全培訓(xùn)與考核等有力措施，使得企業(yè)決策、管理、操作等各個層面的信息安全防范意識得到有效增強(qiáng)，企業(yè)信息安全管理經(jīng)驗也得到大量積累。如此，整個供電企業(yè)的信息安全水平會因為全體員工顯著地信息安全防患意識而得到提升。

（5）改進(jìn)信息安全管理制度體系。加快三級信息安全管理體系（信息安全管理部門、網(wǎng)絡(luò)技術(shù)部門以及相關(guān)其他職能部門、基層單位）的建設(shè)步伐;具體落實針對主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、機(jī)房其他設(shè)施設(shè)備（例如防靜電地板、電源、空調(diào)、其他附屬設(shè)施等）以及員工管理的相應(yīng)管理制度的制定完善工作;明確管理人員、網(wǎng)絡(luò)維護(hù)人員、外來人員的職責(zé)范圍，確立身份認(rèn)證制度，涉及機(jī)密文件的員工要簽署保密協(xié)議，對外來人員的進(jìn)出要登記等。

3 結(jié)束語

為保障供電企業(yè)的快速可持續(xù)發(fā)展，就要確保企業(yè)信息系統(tǒng)的安全穩(wěn)定，就要在發(fā)現(xiàn)信息安全問題的基礎(chǔ)上不斷改進(jìn)安全策略，促進(jìn)合理完善的信息安全管理體系的構(gòu)建。供電企業(yè)要完善信息安全管理制度，提高員工的信息安全防患意識，增強(qiáng)信息系統(tǒng)的運行維護(hù)管理，加強(qiáng)網(wǎng)絡(luò)信息的安全監(jiān)控，進(jìn)而保證供電企業(yè)信息安全。

參考文獻(xiàn)：

[1]吳金文，程麗琴.淺析供電企業(yè)信息安全管理[J].科技與創(chuàng)新，2015（11）：50.

[2]洪杰，段成鐸.電力企業(yè)信息系統(tǒng)風(fēng)險與安全管理研究[J].科技與創(chuàng)新，2015，18（13）：89-90.