企业信息安全建设范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇企业信息安全建设范例，将为您的写作提供有力的支持和灵感！

篇1

在供电企业现代信息技术广泛运用生产经营、综合管理之中，实现资源和信息共享，为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程，木桶原理可以很好地诠释信息安全，一个企业安全不取决于最强项，而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设，才能有效提高企业信息安全，才能为企业生产、经营保驾护航。

1基层供电信息安全现状

基层供电企业信息安全建设方面，在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。

1.1管理制度不健全，制度多重化

信息安全制度建设方面较为被动，大多数都是现实之中出现某一问题，然后一个相关制度，制度修修补补。同一类问题有时出现不同管理规定里，处理办法不一，甚至发生冲突。原有信息安全管理制度宽泛，操作性较差。信息系统建设渠道不同，未提前进行信息安全方面考虑，管理职责不明，导致部分信息安全工作开始不顺畅。

1.2安全区域划分不明，网络架构不清晰

基层供电企业系统建设主要由上级推广系统和自建系统，系统建设时候相当部分系统未充分考虑系统，特别是业务部门自建系统更甚。网络建设需要什么就连接什么，存在服务器、终端、外联区域不明显，网络架构不清晰。

1.3未建立一体化安全防护体系

从近些年已经发生的各类信息安全事件来看，内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足，存在网络带宽滥用；终端接入没有相应准入控制，不满足网络安全需求用户接入办公网络，网络环境安全构成极大风险；内部人员对核心服务器和网络设备未建立统一内部控制机制；移动介质未实施注册制管理等问题。

1.4未建立行之有效设备基线标准

网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求，在设备和系统中常常保留有默认缺省安全配置项，这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时，没有统一基线标准，没有对设备和系统进行相应基线加固，企业存在潜在风险。1.5信息安全意识较差，技术水平参差不齐企业信息安全认识存在认识上误区，常常认为我们有较强信息安全保护设备，外部不易攻破内部，事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等，这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新，未取得专门信息安全专业人员资质，处理问题能力表现参差不齐。

2必要性

信息安全为国家安全重要组成部门，电力企业信息安全为国家信息安全的重要元素，电网安全事关国计民生。2014年2月，国家成立中央网络安全和信息化领导小组，将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件，前几年发生伊朗核电站“震网”病毒（Stuxnet病毒）网络攻击，其中一个关键问题就是利用移动介质摆渡来进行攻击，造成设备瘫痪，这一系列信息安全事件都事关国家安全，因此人人都要有信息安全意识。首先要防止企业机密数据（财务、人资、投资、客户等）泄漏；其次，保持数据真实性和完整性，错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失；最后，信息的可用性，防止由于人员、流程和技术服务的中断而影响业务的正常运作，业务赖以生存的关键系统如失效，不能得到及时有效恢复，会造成重大损失。建立严格的访问控制，前面数据分级时有制定数据的“所有者”及给敏感数据进行分级，按照分级的要求制定严格的访问控制策略，基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限；权限分离原则是将不同的工作职能分开，只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为，提高工作效率，保护企业有限网络资源应用于主要生产经营上来。

3特点探析

通过我们对基层供电企业在信息安全存在问题及必要性来看，主要是管理制度、网络信息安全技术、人员意识等方面存在问题，有以下特点。

3.1管理制度方面

常说信息安全“三方技术、七分管理”，制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度，基层供电企业遵照执行，可以根据各单位具体情况进一步细化，让管理制度落地。从企业总体信息安全方针到具体专业制度管理上，实现全网一体化，规范化。

3.2网络信息安全技术方面

上级专业主管部门，站在企业高度，制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划，分布实施，最终实现企业网络信息安全防控一体化。

3.3信息安全意识培养方面

企业员工信息安全意识培养是个长期的过程，不是通过一次两次培训就能解决的，采取形式多样化方式来培养员工安全意识，可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员，要让他们养成按照制度办事习惯，用户需要申请某项资源，严格按照制度执行，填写相应资源申请，有时候领导打招呼也要按照制度流程来执行。长此以往，人人都会知道自己该做什么，不该做什么，该怎么做，企业信息安全意识就会得到极大提高。

3.4专业技术人员水平方面

信息安全技术日新月异，不学习就落后，不断收集信息安全方面信息，共同讨论相关话题，建立相应培训机制，专业人员实行持证上岗，提升专业人员实际解决问题能力，有效提高人员专业素养，成为企业信息安全方面专家。

4实施和开展

从2009年开始，先后进行一系列信息安全建设，涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面，整体提高基层供电企业信息安全状况。

4.1信息安全制度建设

2010年开始信息安全体系ISO27001、27002建设，结合企业情况，形成30个信息安全相关文件，涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平，先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设，基层供电企业有章可循，全网信息安全依据统一，明确短板情况。

4.2建设一体化网络与信息安全防控

首先依据电监会5号文件要求，网络架构按照三层四区原则进行部署建设，生产实时控制大区（Ⅰ、Ⅱ区）与信息管理大区（Ⅲ、Ⅳ区）之间采用国家强制认证单向数据隔离装置进行强制隔离，网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区，在综合数据网上，利用MPLSVPN，根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统，构建企业员工在企业数字身份认证系统，已建成系统进行未采用PKI登陆系统，进行相应改造结合PKI/CA系统，采用PKI登陆，在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求，进行互联网统一出口，部署统一互联网防控设备，建立统一上网行为管理策略，规范员工上网行为，合理使用有限互联网资源，审计员工上网日志，以备不时之需。建立企业统一病毒防护系统，实现病毒软件统一安装，病毒库自动更新，防护策略统一下发，定期统计病毒分布情况，同时作为终端接入内网必备选项，对终端病毒态势比较严重用户进行督促整改，有效防止病毒在企业内部蔓延，进一步进化内网环境。建立统一网络边界安全防护，在企业内网边界合理部署防火墙、IPS、UTM，并将其产生日志发送到统一安全管理平台，进行日志管理分析，展现企业内部信息安全态势，预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证，建设统一桌面管理，所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网，系统启用强制安全策略，终端采用采用DHCP，用户不能自动修改IP地址，在DHCP服务器上实现IP与MAC地址及人员绑定，杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行，不满足要求用户，自动重定向到指定网站进行安全合规性检查，满足要求后自动接入内网，强制所有用户采用统一网络安全准入规则。实行移动介质注册制，极大提高终端安全性，有效保护企业信息资产。建立内部运维控制机制，实现4A统一安全管理，认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池，按照用户需求，提交相应申请材料，授权访问特定设备和资源，并对用户访问行为全程记录审计。

篇2

1.1现状分析

县级供电企业在原有的局域网络，由于没有外网进行隔离，管理制度不健全，且管理比较混乱，在局域网内的计算机终端可以随意联网，缺乏桌面管理的相关软件，个人私自换机与路由器的情况也时有发生，这已经严重的威胁县级供电企业内部网络信息安全并且影响企业的经济效益。

1.2工作思路

为了加强县级信息安全的管理，强化企业日常信息安全的监督与应急处理能力，防范信息安全问题的发生，提高县级供电企业整体信息安全建设水平，企业应该重新制定与规划信息安全的监管制度，以及企业内部计算机使用规范，与一定的惩罚措施等。指定企业内部信息安全的负责人，对造成企业信息安全问题的人员给予严重的处罚。在企业内部的局域网增加防火墙，企业局域网内的所有终端设备统一安装由省供电企业统一部署的桌面管理系统与趋势杀毒软件，再配备高质量的移动存储介质用来备份重要的信息资源，最大限度的降低信息安全所带来的隐患，确保企业的信息安全。

2主要做法

2.1加快组织机构和制度的建设

县级供电企业应该成立主管信息安全工作的组织，以企业中层信息管理者为组长，建立一整套企业信息安全管理体系，实行统一领导，分级管理，各个部门主要负责本单位内部信息安全的管理工作。企业信息安全管理小组主要负责本企业信息安全的重大事项的决策与企业内部的协调工作。企业领导者与各部门签订信息安全责任书，且企业全体员工签订安全保密工作承诺书，并对企业的全体员工进行“八不准、三个不发生”信息安全宣传，明确谁使用，谁负责的信息安全原则。将信息安全管理纳入企业的战略管理层面上来，实行专业化管理与监督，企业的信息部门负责管理企业信息安全保障工作，并负责指导、检查与协调企业各部门的信息安全工作，组织落实企业信息安全工作的制度，对企业的信息系统的安全性进行评估。组织企业信息系统安全的宣传与对企业员工进行信息安全基本常识的培训。

2.2全企业信息系统的管理体系

完善信息安全管理的制度，主要包括：企业各级信息安全岗位职责与巡视制度。建立健全信息流程控制，员工进行数据录用之前，首先要保证信息系统数据的合理性与合法性以及安全性，更为重要的是进行信息系统的安全管理，于此时同时，引进与强化计算机自动控制系统，以确保计算机系统与数据的安全性和数据处理的可靠性。

2.3建立信息系统的管理模型

信息主要体现三个方面的属性：信息的可行性、信息的保密性以及信息的完整性。在信息安全管理工作中者三个属性都是非常重要，对于县级供电企业而言，保障信息安全的直接原因是确保企业信息的保密性。县级供电企业信息的完整性与信息的可用性在从一方面来讲是信息安全属性中的附属属性，因此信息的保密性对于县级供电企业来讲显得尤为重要。由此，而提出了有针对性的管理方法与管理模型。管理模型具体内容“执行力”、“堵”、“护”是信息安全管理简化的总结。

2.3.1执行力：县级供电企业建设企业文化与信息安全相互适应的体系县级供电企业的信息安全系统必须能够适应县级供电企业文化。信息安全的管理方法不能与企业文化相互冲突，信息安全要有与之相适应的技术支持、监督管理方法等都会有效的提高县级供电企业的信息安全水平。如果信息安全系统不能适应企业文化，企业的信息安全工作就不能有效的进行。

2.3.2堵：信息传播途径的管理“堵”针对的是信息传递的途径管理，研究分析信息传输的各个途径，禁止非法信息的访问及传递。“堵”的工作在信息安全管理中是一个长期的工作，并且会随着技术水平的进步，信息传播的途径也会越来越多，传播的方法也会不断的更新。“堵”的方法主要是由技术人员在信息的安全管理和计算机系统以及通信管理等方面进行。人员的安全管理是“堵”的核心内容，电力企业的信息资料都是由人来控制与管理的。对于人的管理也就是信息资料的管理，对于人的管理也是信息安全管理体系中最难的一部分。其中有这样一句话“在企业中信息安全最大的风险在于一些心怀不测的员工可能带来的风险”。即使这样我们依旧可以使用一些有效的措施，对供电企业核心人员的管理，进而提升信息安全管理的水平。物力安全管理也是信息安全管理的重要一部分，对于县级供电企业的机房等核心区域，要加强其管理力度，可以建立门禁系统，在此方面来减少信息安全的一些漏洞。网络安全和计算机系统如今是发展最快的内容。市面上已经有非常多的安全产品用来解决一些安全方面的问题。对于安全产品的选择应结合县级供电企业现有系统，选择的产品要能与现有系统相互兼容，有效的提高信息安全管理的水平。

2.3.3护：信息资源的保护信息安全的保护工作的根本目的是针对县级供电企业重要且价值巨大的信息资料进行保护，这样县级供电公司信息安全工作可以有效的提高工作效率。一个县级供电企业来说企业的投入的资源总是有限的，对于信息安全投入也是同样的道理，怎样才能在有限的投入为企业来取得最大的经济效益，才是最明智的选择。对于县级供电企业来讲重要的、价值巨大的信息资料的保护才是企业领导最应该关心的问题。核心信息资产的保护主要是通过核心流程梳理、容灾和备份、文档安全管理、数据保密、资产分级管理等一系列方法与手段对企业的核心信息进行管理保护。核心流程梳理：主要是由企业核心的业务流程，对其进行有效梳理，对于企业核心流程产生的信息进行分权与分级管理，这种管理是对企业核心信息在企业的整个生命周期进行管理。主要是由一些专业人员来主导进行的。容灾和备份：对一些重要的信息，应该定期的进行备份，这样可以在发生信息资源丢失或者损坏的情况下可以避免企业的损失。文档安全管理：主要是对于企业比较重要的纸质文档通过人工手段采取保护的手段，确保企业核心文档资料的保密性。可以借助于文档安全类的产品来实现。数据保密：数据的保密工作可以采用多种形式进行，以防止第三方盗取数据。县级供电企业的大多数信息是存放在应用系统和数据库中，对于数据库的安全保护线的尤为重要。可以采取数据加密，数据备份等形式加以保护。

3结束语

执行力、堵、护在县级供电企业的信息安全管理特别是在县级供电企业信息安全管理的起步阶段，会起到非常不错的指导效果。随着县级供电企业信息安全管理的不断完善，信息安安管理体系的建设可以这对企业所处不同的环境做进一步具体内容。信息安全管理水平的提高可以有效地提升县级供电企业的市场竞争力，提高企业的经济效益。

作者:马远 李恒 单位:国网河南省电力公司荥阳市供电公司

参考文献:

[1]王凯丽.加强县级供电企业信息安全建设和管理[J].科技与企业，2013（10）：77~79.

篇3

【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158（2012）08—0255-02

0.引言

随着信息技术的不断发展以及市场竞争的不断激烈，企业信息安全建设已经成为提高企业竞争力的重要途径，杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施，但是信息安全问题仍然频发，对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理，提高对于信息安全的认识程度，保证信息数据库的安全，避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。

1.企业信息化建设信息安全影响因素分析

（1）信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施，对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏，从而造成企业信息库数据安全出现问题。

（2）信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全，采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁，因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。

（3）信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法，对于保证信息数据库的安全十分重要。

2.企业信息安全管理问题分析

目前由于管理制度以及软硬件设施等一系列的问题，企业数据库破坏以及重要数据信息泄漏的现象时有发生，严重影响了企业的正常生产经营活动，通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面：

（1）企业内部移动存储设备管理疏松，缺乏安全保密管理制度。由于许多企业在日常管理过程中，移动存储设备使用较多，员工可以随意对企业内部的各种信息资料进行备份，企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏，带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足，企业内部信息安全管理缺乏必要的规章制度，安全管理职责权限不清，信息安全漏洞较多。

（2）对于内部信息共享控制不严格，信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系，对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施，因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。

（3）信息权限管理混乱，企业的中介服务体系稳定性较差。对于加密的授权访问，权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱，操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式，而中介第三方由于稳定性难以保证，随时更换或者退出的第三方极易造成企业有价值信息的泄漏，影响企业信息安全建设。

（4）信息管理安全防范体系不健全，缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性，并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制，在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外，由于大部分企业在信息安全管理工作中将重点放在软硬件设施上，而忽略了对于信息安全技术人员的培养，而且为了减少人力资源支出成本，信息安全管理人员少工作任务重，管理权限集中化程度高，影响了信息化建设的安全管理。

3.企业信息建设信息安全管理措施

（1）加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境，做好计算机设备的防火、防潮、防盗措施，并避免强磁环境对信息数据可能造成的损坏。其次，在对各种硬件设备进行检修时，硬组织企业内部相关技术人员进行监督管理，对于需要外送检修的设备，则应提前进行数据加密处理。

（2）提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力，避免企业经济损失具有重要的意义。在企业的正常管理过程中，加强信息安全宣传工作，使员工充分认识到企业信息安全管理的重要性，并熟悉企业相关信息数据保密的规则制度，提高企业的整体信息安全防范水平。

（3）加强信息安全操作管理人员的管理。在企业信息日常管理过程中，应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权，系统管理人员在进行企业相关信息数据库的整理以及维护过程中，必须通过授权进行。系统管理人员离开工作岗位后，相关责任人应及时更换管理员操作代码。

（4）加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码，应分别设置用户密码以及操作密码，并提高密码的安全程度，及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作，应严格按照相关管理规定进行设置。

（5）明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据，并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息，应严格依照程序采取逐级审批的方式，避免数据信息的泄露。需要进行数据恢复工作时，应严格按照相关技术手册，并对恢复的数据进行验证确认数据的完整可用。

（6）加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时，应经由相关主管人员的授权，并登记进入。在日常管理过程中，定期对硬件设备进行保养，同时研究违章操作在信息数据机房安装外部其他软件。

参考文献

篇4

一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因，可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。 

1.1企业内部因素 

第一个方面是企业的信息安全意识不强，虽然是现在有很多的企业加快企业内部信息化建设的进程，但是有些企业只是在表面上看到信息化建设所带来的优势，而信息化建设当中的安全问题并没能够引起企业的足够重视，所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后，虽然国内计算机软件技术在快速的反战，可是与一些发达的国家相比还是存在一定距离，第三个方面在管理操作方面存在问题，现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题，在企业信息系统的管理上不够谨慎，这就会被不法分子和黑客进入的机会，造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队，企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作，所以相关的技术人员都必须具有很好的素养和贤能的技术，第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。 

1.2企业外部因素 

现在企业信息安全系统的威胁主要来自于外部的因素，随着我国经济社会的飞速变化，在竞争激烈情况下信息是非常重要的，大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。 

二、企业信息化建设过程中的信息安全与对策 

在我国社会经济快速发展的今天，企业信息安全对于一个企业的发展是非常具有意义的，企业的信息被盗取和泄露会给企业带来很大的损失，所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护，做好安全保护还要加强管理。 

2.1确保正确的安全意识 

一个企業在信息化发展的过程中，应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的，而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的，也是为了以后给企业的各项工作打下了很好基础。 

2.2选择安全性能比较高的软件 

其实任何软件都不是牢不可破的，可是对于安全性能比较高的软件，如果说破解的话难度还是相当高的，所以企业选择安全软件的时候要选择安全性能高的，不要为了节省一点企业的支出而选择使用安全性能差的保护软件，一旦出现问题所造成的企业损失价值会大于软件的价格。 

2.3加强企业网路管理 

很大一部分的企业信息被盗取都是不法分子通过网络进行的，所以说必须要对企业的网络管理进行加强，这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案，并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候，企业应该快速的组建处理小组，针对信息安全危机的步骤处理并且做好危机处理的工作，还要避免出现由于处理不当而产生的各种情况。 

结语：以上所述是企业信息化建设过程中所必需要面对的问题，一个企业的信息安全建设应该先从管理开始，必须做到以防范为主要，必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代，企业信息的安全问题决定着企业的安全运营。 

参 考 文 献 

[1] 原黎. 探析企业信息安全问题的成因及对策[J]. 现代工业经济和信息化. 2011（08） 

[2] 张耀辉. 关于企业信息化建设中的信息安全探讨[J]. 电子技术与软件工程. 2013（14）

篇5

中图分类号：C29 文献标识码：A 文章编号：

前言

随着电力信息网的互联和完全溶进Internet，电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变，各级供电企业纷纷建立信息系统和基于Internet的管理应用，以提高劳动生产率，提高管理水平，加强信息反馈，提高决策的科学性和准确性，提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡，总体来看，存在以下薄弱环节。因此，必须采取更加科学有效的方法和思路，加快县级供电企业网络建设及网络安全建设的步伐。

1 县级供电企业信息网络安全防范体系概述

1.1 安全策略

总的来说，其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。

1.2 安全技术

从技术的层面上，则是通过采用包括建设安全的主机系统和安全的网络系统，同时配备适当的安全产品的方法来实现，其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。

1.3 安全培训

通过在线模拟考试功能和题库，实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理，并对培训结果进行在线统计分析。

2 县级供电企业信息网络整体安全建设

2.1 物理层安全建设

物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上，可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。

2.2 网络层安全建设

网络层安全建设所指的是网络方面的安全性建设，它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。

2.3 系统层安全建设

系统层安全建设所指的是在进行网络使用时，关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。

2.4 用户层安全建设

用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。

2.5 管理层安全建设

管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设，包括对Web服务、电子邮件系统、DNS等方面进行优化。此外，还包括病毒对系统的威胁。

2.6 数据层安全建设

首先应考虑对应用系统和数据进行备份和恢复措施，应用系统的安全涉及到数据库系统的安全，数据库系统的安全性很大程度上依赖于数据库管理系统，如果数据管理系统安全机制非常强大，则数据库系统的安全性就较好。

在以上的各个层面上，每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。

表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设

3 县级供电企业如何有效进行信息网络安全体系建设

（1）整合现有系统，实现生产实时信息与管理信息的集成，建立电网信息一体化平台。看似简单的数据交换和信息共享，由于没有统一的信息平台，形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统，搭建统一的运行平台，规范、整理、合并各种基础数据，逐步建立集中、统一、开放式中心数据库，实现各信息系统的无缝连接。对县级供电企业网络来讲，网络整体稳定性要求非常高，网络应该提供多种冗余备份的方式，确保业务的连续。在县局网络平台搭建好之后，这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程，只有以企业效益为核心，通过构建统一的信息化基础平台，部署企业一体化应用系统，才能适应县域经济发展，满足人民群众对电力的需要，才能提高企业的核心竞争力，才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革，实现机制创新、管理创新、技术创新，努力发挥信息化对企业可持续发展的支撑作用。

（2）运用现代网络技术，构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平，都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化，计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此，保障计算机网络信息系统安全、稳定运行至关重要，通常可以采取新的技术，如桌面安全管理系统等对终端行为进行管理，从而保证整个内网的可信任和可控制。目前，大部分病毒是通过计算机系统的漏洞来进行肆意的传播，为此，对于计算机系统的供应商而言，应该要对大部分的漏洞进行及时地提供相应的补丁系统，而对于使用者而言，则需要通过不断地更新服务的系统来进行对系统的更新。

（3）加强技术和应用培训，为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求，推行信息化建设不但要有“科技兴企、人才先行”的观念，而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为，对待信息化建设要有长远眼光，动态地考虑和评价信息化建设问题，不能只看到眼前利益，急于求成。

（4）加强信息制度和信息化安全建设，为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析，从而提出各个层面的安全保障，为此，信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候，需要从技术的层面以及管理的良好配合才得以实现，从而才能为县级供电企业信息化的建设提供根本性的保证。

4、结束语

电力企业的各个业务对网络的依赖性越来越强，对信息网络安全性的要求也越来越高，电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术，加强信息制度和信息化安全建设，确保信息系统的安全运行，为企业的安全生产提供有力的保证，从而打造更加稳固坚强的管理技术支撑平台。

参考文献：

[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007