企业信息安全防护体系范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的13篇企业信息安全防护体系范例，将为您的写作提供有力的支持和灵感！

篇1

【中图分类号】TP309【文献标识码】A【文章编号】1672-5158（2013）07-0498-02

引言

随着电力企业不断发展，信息化已广泛应用于生产运营管理过程中的各个环节，信息化在为企业带来高效率的同时，也为企业带来了安全风险。一方面企业对信息化依赖性越来越强，尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产；另一方面黑客技术发展迅速，今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此，建设信息安全防护体系建设工作是刻不容缓的。

1 信息安全防护体系的核心思想

电力企业信息安全防护体系的核心思想是“分级、分区、分域”（如图1所示）。分级是将各系统分别确定安全保护级别实现等级化防护；分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护；分域是依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。

2 信息安全防护系统建设方针

2.1整体规划：在全面调研的基础上，分析信息安全的风险和差距，制订安全目标、安全策略，形成安全整体架构。

2.2分步实施：制定信息安全防护系统建设计划，分阶段组织项目实施。

2.3分级分区分域：根据信息系统的重要程度，确定该系统的安全等级，省级公司的信息系统分为二级和三级系统；根据生产控制大区和管理信息大区，划分为控制区（安全I区）、非控制区（安全II区）、管理信息大区（III区）；依据业务系统类型进行安全域划分，二级系统统一成域，三级系统独立成域。

2.4等级防护：按照国家和电力行业等级保护基本要求，进行安全防护措施设计，合理分配资源，做好重点保护和适度保护。

2.5多层防御：在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计，以实现纵深防御。

2.6持续改进：定期对信息系统进行安全检测，发现潜在的问题和系统可能的脆弱性并进行修正；检查防护系统的运行及安全审计日志，通过策略调整及时防患于未然；定期对信息系统进行安全风险评估，修补安全漏洞、改进安全防护体系。

3 信息安全防护体系建设探索

一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下，构建起来并发挥作用的。

3.1 建立信息安全管理体系

安全管理体系是整个信息安全防护体系的基石，它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面，信息安全组织机构的建立尤为重要。

3.1.1建立信息安全管理小组

建立具有管理权的信息安全小组，负责整体信息安全管理工作，审批信息安全方针，分配安全管理职责，支持和推动组织内部信息安全工作的实施，对信息安全重大事项进行决策。处置信息安全事件，对安全管理体系进行评审。

3.1.2分配管理者权限

按照管理者的责、权、利一致的原则，对信息管理人员作级别上的限制；根据管理者的角色分配权限，实现特权用户的权限分离。对工作调动和离职人员及时调整授权，根据管理职责确定使用对象，明确某一设备配置、使用、授权信息的划分，制订相应管理制度。

3.1.3职责明确，层层把关

制订操作规程要根据职责分离和多人负责的原则各负其责，不能超越自己的管辖范围。系统维护时要经信息管理部门审批，有信息安全管理员在场，对故障原因、维护内容和维护前后情况做详细记录。

（1）多人负责制度 每一项与安全有关的活动必须有2人以上在场，签署工作情况记录，以证明安全工作已得到保障。

（2）重要岗位定期轮换制度 应建立重要岗位应定期轮换制度，在工作交接期间必须更换口令，重要技术文件或数据必须移交清楚，明确泄密责任。

（3）在信息管理中实行问责制，各信息系统专人专管。

3.1.5系统应急处理

制定信息安全应急响应管理办法，按照严重性和紧急程度及危害影响的大小来确定全事件的等级，采取措施，防止破坏的蔓延与扩展，使危害降到最低，通过对事件或行为的分析结果，查找事件根源，彻底消除安全隐患。

3.2 建立信息安全技术策略

3.2.1物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的工作环境；防止非法进入机房和各种偷窃、破坏活动的发生，抑制和防止电磁泄露等采取的安全措施。

3.2.2 网络安全策略

网络安全防护措施主要包括以下几种类型：

（1）防火墙技术。通过防火墙配置，控制内部和外部网络的访问策略，结合上网行为管理，监控网络流量分配，对于重要数据实行加密传输或加密处理，使只有拥有密钥的授权人才能解密获取信息，保证信息在传输过程中的安全。

（2）防病毒技术。根据有关资料统计，对电力信息网络和二次系统的威胁除了黑客以外，很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速，对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件，保障升级和更新的时效性，是行之有效的措施。

（3）安全检测系统。通过专用工具，定期查找各种漏洞，监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等，确保对网络非法访问、入侵行为做到及时报警，防止非法入侵。

3.2.3安全策略管理

对建的电力二次系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略；对已投运且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞；定期分析本系统的安全风险，分析当前黑客非法入侵的特点，及时调整安全策略。

3.2.4 数据库的安全策略

数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言，它可以分为以下几种策略。

（1） 最小特权策略： 是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些权限恰好可以让用户完成自己的工作，其余的权利一律不给。

（2） 数据库加密策略： 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。

（3）数据库备份策略：就是保证在数据库系统出故障时，能够将数据库系统还原到正常状态。

篇2

中图分类号：TN915.08

网络信息安全的问题主要包括了网络系统的硬件、软件及其系统中重要数据受到保护，受突发或者恶意的因素而遭到破坏、更改、泄露，系统能够正常地运行，网络服务不中断等诸多方面。企业要想做好信息网网络安全就需要构建一个层次式防护体系，这个防护体系能够有效的解决企业信息网网络安全所面临的各种问题，给企业一个良好的网络环境。

1 信息网络安全层次式防护体系的防护模式

结合电力企业的实际情况，按照层次式防护体系的防护模式，可将电力企业的网络信息安全分为七大模块，分别是入侵检测、环境与硬件、防火墙、VPN（虚拟专用网）、隐患扫描、病毒防范、PKI（公开密钥基础设施）。

1.1 环境与硬件、防火墙

环境与硬件以及防火墙为层次防护模式的第一、二层，是对系统安全要求比较高的电网运行与安全稳定的控制，还包含了电网调度自动化、继电保护等实时网络，使用防火墙隔离网关设备来连接信息网络，这样就可以获取实时的系统数据，不过这样仍有一个小的缺陷，就是不可能直接或间接的修改实时系统的数据，所有需要采用硬件防火墙互联的信息网络与实时网络之间在物理网络层的隔离，这样就能从根本上防护非法用户的入侵。

另外，也可在信息网的Internet接入口处安装防火墙，这种防火墙主要防止来自外部的攻击，而且企业内各机构之间的仍有全面的安全防火墙，目前几乎所有的电力企业信息网大都建立了这两层防护措施。不过防火墙对于一些利用合法通道而展开的网络内部攻击显得无能为力。因此，尽管开发防火墙能够初步具备入侵的检查功能，但是防火墙作为网关，很容易就成为网络防护发展的颈瓶，不适合做过多的扩展研究。因此，还需要和层次式防护的第三层入侵检测等相关工具联合起来运用，这样就能提高整个网络的安全。

1.2 入侵检测（IDS）

整个防护体系的第三层防护便是入侵检测，入侵检测不属于网络访问控制设备，对通讯流量没有任何限制，采用的是一种通过实时监视网络资源（系统日志、网络数据包、文件和用户获得的状态行为），主动分析和寻找入侵行为的迹象，属于一种动态的安全防护技术。一旦被检测到入侵情况就会立即进行日志、安全控制操作以及警告等操作，给网络系统提供内、外部攻击以及一些失误进行安全防护。像CA公司的eTrustIntrusionDetection程序就是通过自动检测网络数据流中潜在的入侵、攻击和滥用方式等，为网络系统提供了先进的网络保护功能。同时还能在服务器及相关业务受到影响时，按照预先定义好的策略采取相应的措施。

1.3 隐患扫描

防护体系的第四层防护便是隐患扫描，隐患扫描是一个全自动化的网络安全评估软件，它以黑客的视角对被检测的系统进行是否承受攻击性的安全漏洞以及隐患扫描，同时还能够查到可能危及网络或系统安全的弱点，从而提出相应的维修措施，提交详细的风险评估报告。最可观的地方在于它能够先于黑客发现并弥补漏洞，从而防患于未然，能够预防在安全检查中暴露出存在网络系统中的安全隐患，然后配合有效的修改措施，将网络系统中运行的风险降至最低。

隐患扫描系统的主要应用在不同的场合和时宜，第一，对信息网作出定期的网络安全自我检测和评估。网络管理员能够定期的进行网络安全检查服务，以最大可能限度的消除安全隐患，尽可能的发现漏洞然后进行修补，从而优化资源、提高网络的运行效率；第二，网络建设以及网络改造前后的安全规划以及成效检测。配备隐患扫描系统能够方便的进行安全规划评估和成效检测；第三，网络安全隐患突发后的分析。网络安全隐患突发后可以通过扫描系统确定网络被攻击的漏洞所在，然后帮助修补漏洞，能够提供尽可能多的资料来方便调查攻击的来源。第四，重大网络安全事件发生前的准备，重大网络安全事件发生以前，扫描系统能够及时的帮用户找出网络中存在的漏洞，并及时将其修补。

1.4 虚拟专用网（VPN）

防护体系的第五层就是虚拟专用网，其主要为电力企业上下级网络和外出人员访问企业网络时提供一条安全、廉价的互联方式，再加上防火墙和IDS的联动关系，这就使得VPN的网络安全性大大的得到保障，VPN的网络安全性也就得到了保证。不过，目前虽然实现VPN的网络技术和方式比较多，但不是所有的VPN均可以保证公用网络平台传输数据的安全性和专用性。一般情况下是在非面向连接的公用IP网络上建立一个具有逻辑的、点对点的连接方式，这种方式称之为建立隧道。随后就可以利用加密技术对隧道传输的数据进行加密，这样就能保证数据只能被发送给指定的接收者，这样极大的保证了数据的隐私性。

1.5 PKI（公开密钥基础设施）

PKI作为防护体系的第六层具有一个广泛的接收标准，用来保护用户的应用和数据安全，许多安全应用的安全标准通过PKI都有了适应的安全标准。CA公司的eTrustPKI是个比较普遍的基础设施，具有许多独特的特点，如能够优化企业内部的部署、简化管理、其扩展性比较好、有可选择的相关硬件支持。

1.6 对病毒的防范

对病毒的防范是防护体系最后一层，其广泛的定义在于防范恶意代码、包括蠕虫、密码、逻辑炸弹以及其他未经许可的软件，防范病毒系统对网关、邮件系统、文件服务器等进行病毒防范，这就要求病毒防范系统做到对病毒代码的及时更新，并保持对病毒的查杀能力。同时，当防病毒与防火墙一起联动时，病毒防护系统会自动通知防火墙进行相关修改。

2 对层次式安全防护体系的规范管理

层次式安全防护体系的构建是一个复杂的系统工程，包含了人力、技术、以及操作等几大要素，在整个防护体系的运行中，最重要是需要规范操作人员的各种专业技术操作，需要建立一道信息安全管理制度来防止安全防护系统在运行过程中因为内部人员出现差错而导致的各种网络漏洞和安全隐患，其中建立规范的管理制度应考虑以下几点：第一，建立对应的事故预防和应急处理方案，每天都要例行检查备案；第二，制定严格的防护系统运行操作制度，对网络设备、存储设备以及服务器等重要部件的运行操作制定标准的操作制度，相关工作人员都必须参与进去；第三，强化对工作人员的安全教育和培训，做好及时的安全工作；第四，建立日志式的管理制度，对每位用户的操作和行为都以日志的形式记载在案，并进行及时的跟踪调查和审计工作。

3 结束语

网络安全防护是一个动态的系统工程，构建网络安全防护体系能够有效保护电力企业信息网的安全，其中采取层次式安全防护体系，更是有效的将各个层次安全构建有机的结合在一起，从而提高了整个网络的安全性。

参考文献：

[1]党林.电力企业信息系统数据的安全保护措施分析[J].电子技术与软件工程，2013（17）.

篇3

一、引言

信息化已经成为社会生产力和生产方式发展的重要导向，信息化建设可以促进企业管理水平和生产效能的提升，信息化资源属于一种关键性资源，其重要性逐步受到社会的肯定[1]。电力企业作为技术密集型产业，对于生产自动化和集约化都具有较高的要求标准，所以也是较早的实行信息化建设的一部分企业，同时获得了一些明显的效果，然后也正是由于起步相对比较早，在信息化的建设过程中一般会存在许多相关问题，这些问题已经慢慢成为电力企业信息安全的隐患，强化网络信息安全已经发展为电力企业的重要构成部分。

二、电力企业信息安全现状

电力企业由于生产经营和实际管理的需求，都从不同程度上建立了自身的自动化系统，变电站基本能够实现四遥与无人值守的功能。同时建立起了企业自身的管理系统对于生产、营销、财务与行政办公等方面的具体工作进行覆盖处理，并且已经实行较高安全等级的调度自动化系统，能够经过WEB网关与MIS之间实行相互的信息访问操作，部分位置已经装设了正向隔离器，从而能够实现物理隔离和数据信息的安全访问目的。电力企业已经设定了相应的安全防护策略，能够实现互联网的安全连接操作。把营销支持网络和呼叫接入系统与MIS网络实行整合处理，而且已经跟各种企业达成信息安全共享的使用目的，对于本身的服务方式进行优化处理。边远区域的班站基本都经过VPN技术来实现远程班组进行联网操作的使用要求，并且可以实现大范围的信息共享效果，使用VPN的高级应用可以搭建以互联网为基础的各类远程服务[2]。

三、电力企业信息安全整体防护策略

（一）安全风险评价

电力企业需要解决信息安全问题并不可以只是从技术层面考虑，技术作为信息安全的主体，然而却不是信息安全的核心，管理才应当作为信息安全的核心。信息安全离不开各种不同安全技术的具体实行与各种不同安全产品的设置，然而现阶段在市面上出现的安全技术与安全产品容易使人眼花缭乱，不能进行合适的选择，此时就应当实行风险分析与可行性分析等方面策略，对于电力企业当前阶段所面对的网络风险进行有效性分析，并且分析解决问题或者最大限度地减小风险发生的可能性，对于收益和付出实行充分对比，分析哪部分产品可以让电力企业以最小的成本代价符合其对信息安全的实质需求，同时应当考虑到安全和效率的均衡问题。对于电力企业而言，需要明确信息系统存在的潜在风险，充分有效地评价这部分风险所带来的实际影响，这将会成为电力企业进行信息安全建设的首要解决问题，同时也是设定安全防护策略的基础根据[3]。

（二）建立防火墙

防火墙作为一种可以有效保护信息安全的技术性防护策略，主要分为软件防火墙和硬件防火墙这两种形式。防火墙可以有效的防止网络中各种形式的非法访问与搭建起一道安全防护的屏障，对于数据信息的输入与输出操作都可以实施有效控制。在网络区域上经过硬件防火墙的搭建，对于电力企业内网和外网之间的通信实施有效监控，并且可以对内网与外网实行有效的隔离，进而可以防止外部网络的入侵。电力企业能够经过“防火墙+杀毒软件”的配置形式来对内部服务器和计算机实施相应的安全保护。另外还应当进行的定期升级处理。为了能够避免各种意外现象的出现，应当对各种数据信息进行定期的备份处理，同时需要定期地对各个硬件与各种备份的有效性程度实行相关检验。通过访问控制列表能够建立防火墙控制体系，对于访问控制列表的调控可以充分地实现路由器对相应数据包的选取，对于访问控制列表的增删处理可以有效地对网络实施控制，对于流入与流出路由器接口的相应数据包进行过滤处理，能够达到部分网络防火墙的实际效果。

（三）预防控制计算机病毒

计算机病毒的预防控制应当作为信息安全的重要构成部分，然而对于电力企业的信息安全造成主要威胁的是各种类型的新病毒。如果要从根本上防止新病毒对企业造成的威胁，就需要从监控、强制、防止与恢复等四个具体阶段对新病毒实行相应管理。控制计算机病毒作用次数，减弱病毒对业务所带来的影响。病毒经历感染-扩散-爆发这系列过程都需要一段空窗期。大多数情况下，管理人员一般都是在病毒爆发之后才可以发现相应问题，然而此时已经太迟了。所以需要可以在病毒处于扩散期时就可以发现出问题所在，这样才可以有效地减低病毒爆发的几率。网络层防毒可以充分有效地对病毒实行预防控制，需要把网络病毒的防范视为最为关键的防范对象，经过在网络接口与关键安全区域设置网络病毒墙，在网络层区域全面扫除外界病毒的实质性威胁，令网络病毒不可以随意传播，另外结合病毒所借助的传播途径，对整个安全防护策略实行落实工作。预防病毒并不可以完全地依赖于病毒的特征码，还应当实现对病毒处于发作期的整个生命周期实行有效管理[4]。设立一套完善有效的预警机制、消除机制与恢复机制，经过这部分机制的作用来确保将病毒进行高效处理，防毒系统应当在病毒代码侵入之前，就可以经过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等各种实际性手段来对病毒实施有效的控制。

（四）安全管理体系

1.制度管理

设立各种安全管理机制能够完善企业内部安全管理与实行机构的行为标准、岗位设置与操作规范、工作人员的素质要求及其相应的各种行为规范标准等。安全制度管理作为法律管理的具有形式化、具体化、法规化与管理化的重要接口，是实现信息安全的重要保障。

2.资产管理

资产成为建立信息系统的重要元素，其安全程度是整个信息系统安全的重要实现目标，全部的安全技术与安全防护策略都是以资产安全作为核心环节。资产安全管理的实质性内容包含信息系统设备安全、软件安全、数据安全与文件安全等方面，经过发电厂相应的生产管理系统能够达到资产全寿命周期管理的目的。

3.物理管理

物理安全作为保护计算机网络通信设备、设施与其它媒体避免地震、水灾与火灾等各种环境事故以及人为操作失误或者错误及各种计算机犯罪行为导致的破坏过程。其主要包含机房安全管理、环境安全管理与物理控制管理等各方面具体内容。计算机机房建设应当满足国标GB2887-89《计算机站场地技术条件》、GB9361-88《计算机场地安全要求》与《国家电网公司信息网络机房设计及建设标准》的标准要求，其中保密机房的安全管理应当根据保密办的有关规定落实执行。

4.技术管理

技术安全管理的主要目标在于能够有效地运用已有的安全技术，包含专用性质的安全产品，同时一个很重要的方面是运用现有阶段的网络设备、主机与实践应用本身的安全特性实行日常化的安全管理。

四、结束语

信息安全作为一个综合性系统，不但会涉及到技术应用层面的具体问题，同时还会涉及到管理层面上的实际问题。对于信息网络系统，不管是硬件或者软件存在问题都会导致整个信息安全系统出现威胁，引发网络信息安全的实质问题。在电力企业的信息网络系统中，包含了个人、硬件设备、软件与数据等若干个具体环节，这些在信息网络系统中占据着的地位，都应当从整个电力企业的信息按系统而进行有效合理的分析，经过系统工程的观念与方法对当前阶段电力企业中的信息安全现状进行有效性分析，并且提出能够提升信息安全的整体防护策略。

参考文献：

[1]余志荣.浅析电力企业网络安全[J].福建电脑，2011（7）.

[2]周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界，2012（1）.

[3]张鹏宇.电力行业网络安全技术研究[J].信息与电脑（理论版），2011（1）.

篇4

中图分类号：X922；F272 文献标识码：A 文章编号：1009-914X（2015）42-0081-01

1 企业信息安全的现状

随着企业信息化水平的提升，大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备，但信息安全防护理念还停留在防的阶段，信息安全策略都是在安全事件发生后再补救，导致了企业信息防范的主动性和意识不高，信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2 企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则：

2.1 建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范，来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括：分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2 提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中，防护设备和防护策略只是其中的一部分，企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时，绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前，应制定企业员工信息安全行为规范，有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行，保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训，强化企业员工对信息安全的概念，提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3 及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时，就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源，并且可以根据员工级别分配人员访问权限，达到企业敏感信息的安全保障。

3 企业信息安全体系部署的建议

根据企业信息安全建设架构，在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时，我们需要重点关注以下几个方面：

3.1 实施终端安全，规范终端用户行为

在企业信息安全事件中，数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前，企业员工对自己的个人行为不规范，造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为，我们在建设安全防护体系时，仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前，就对用户的终端系统进行安全规范检查，符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计，使得企业员工的操作行为符合企业制定的上网行为规范，从终端用户提升企业的防护水平。

3.2 建设安全完善的VPN接入平台

企业在信息化建设中，考虑总部和分支机构的信息化需要，必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN，VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接，这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下，就必须做好对于移动终端的身份认证识别。其实我们在设备采购时，可以要求设备商做好多种接入方式的需求，并且帮助企业搭建认证方式。这将有利于企业日常维护，提升企业信息系统的VPN接入水平。

3.3 优化企业网络的隔离性和控制性

在规划企业网络安全边际时，要面对多个部门和分支结构，合理的规划安全网络边际将是关键。企业的网络体系可以分为：物理层；数据链路层；网络层；传输层；会话层；表示层；应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下，根据企业安全优先级及面临的风险程度，做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护，真正实现OSI的L2～L7层的安全防护。

3.4 实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系，重要的优势就是能实现对全网安全设备及安全事件的统一管理，做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志，如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时，企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时，就必须要考虑安全设备日志之间的统一化，设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4 结束语

信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划，实施过程中根据不断出现的情况及时调整安全策略和访问控制，保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定，这样才能为企业的信息安全提供生命力和主动性，真正为企业的核心业务提供安全保障。

参考文献

[1] 段永红.如何构建企业信息安全体系[J]. 科技视界，2012，16：179-180.

[2] 于雷.企业信息安全体系构建[J].科技与企业，2011，08：69.

[3] 彭佩，张婕，李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术，2014，12：42-45+48.

[4] 刘小发，李良，严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术，2013，12：25-28.

篇5

2企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则：

2.1建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范，来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括：分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中，防护设备和防护策略只是其中的一部分，企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时，绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前，应制定企业员工信息安全行为规范，有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行，保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训，强化企业员工对信息安全的概念，提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时，就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源，并且可以根据员工级别分配人员访问权限，达到企业敏感信息的安全保障。

3企业信息安全体系部署的建议

根据企业信息安全建设架构，在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时，我们需要重点关注以下几个方面：

3.1实施终端安全，规范终端用户行为

在企业信息安全事件中，数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前，企业员工对自己的个人行为不规范，造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为，我们在建设安全防护体系时，仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前，就对用户的终端系统进行安全规范检查，符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计，使得企业员工的操作行为符合企业制定的上网行为规范，从终端用户提升企业的防护水平。

3.2建设安全完善的VPN接入平台

企业在信息化建设中，考虑总部和分支机构的信息化需要，必然会采用VPN方式来解决企业的需求。不论是采用SSLVPN还是IPSecVPN，VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接，这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSLVPN方式。在这种情况下，就必须做好对于移动终端的身份认证识别。其实我们在设备采购时，可以要求设备商做好多种接入方式的需求，并且帮助企业搭建认证方式。这将有利于企业日常维护，提升企业信息系统的VPN接入水平。

3.3优化企业网络的隔离性和控制性

在规划企业网络安全边际时，要面对多个部门和分支结构，合理的规划安全网络边际将是关键。企业的网络体系可以分为：物理层；数据链路层；网络层；传输层；会话层；表示层；应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下，根据企业安全优先级及面临的风险程度，做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护，真正实现OSI的L2～L7层的安全防护。

3.4实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系，重要的优势就是能实现对全网安全设备及安全事件的统一管理，做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志，如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时，企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时，就必须要考虑安全设备日志之间的统一化，设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

篇6

中图分类号：F470.6 文献标识码：A 文章编号：

信息安全管理是信息安全防护体系建设的重要内容，也是完善各项信息安全技术措施的基础，而信息安全管理标准又是信息安全管理的基础和准则，因此要做好信息安全防护体系建设，必须从强化管理着手，首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念，并结合公司信息安全实际情况，制订了信息安全管理标准，明确了各单位、各部门的职责划分，固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程，促进了各单位信息安全规范性管理，为各项信息安全技术措施奠定了基础，显著提升了公司信息安全防护体系建设水平。

1电力系统信息安全防护目标

规范、加强公司网络和信息系统安全的管理，确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃， 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故，并以此提升公司信息安全的整体管理水平。

2信息安全防护体系建设重点工作

电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面，结合本公司信息安全防护体系建设经验，对信息安全防护体系建设四项重点工作进行阐述。

2.1 信息系统安全检测与风险评估管理

信息管理部门信息安全管理专职根据年度信息化项目综合计划，每年在综合计划正式下达后，制定全年新建应用系统安全检测与风险评估计划，确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内，按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内， 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试，并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分， 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南（试行）》进行安全加固，加固后 5个工作日内，经信息管理部门复查，符合安全要求后方可上线试运行。应用系统进入试运行后，应严格做好数据的备份、保证系统及用户数据的安全，对在上线后影响网络信息安全的，信息管理部门有权停止系统的运行。

2.2 信息安全专项检查与治理

信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作，对在检查中发现的问题，检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位，隐患分为重大隐患和一般隐患，对于重大隐患，信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案， 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪，并组织复查，对未能按期完成整改的单位，信息安全专职 10 个工作日内汇报信息管理部门负责人， 信息管理部门有权向人资部建议对其进行绩效考核。

2.3 信息安全应急预案管理

信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划，并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定，各种预案制定后 5 个工作日内交本部门主要负责人审批，审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训，并按年度计划开展预案演练。 根据演练结果，10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订， 对更新后的内容， 需在 10 个工作日内经本部门领导审批，并在审批通过后 5 个工作日内报信息管理部门备案。

2.4 安全事件统计、调查及组织整改

信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件，并在每月 30 日以书面形式报告信息管理部门信息安全专职， 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内，信息管理部门信息安全专职负责组织对事件的调查，调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行，并组织开展信息系统事故原因分析，坚持“四不放过”原则，调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。

3评估与改进

篇7

中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2012）0220131－01

0 前言

随着互联网络和企业网络的发展，信息传播范围和获取手段发生着日新月异的变化。桌面终端在企业员工日常工作中已被广泛使用，成为基本工具。桌面终端需要频繁地访问与企业生产运行密切相关的各种各样的信息系统，大量敏感或信息存储在桌面或移动存储介质中。同时，来自于企业计算机网络外部或内部的攻击活动有增无减，变化无常，加之企业内部桌面非法接入的情况较为普遍，以及桌面安全的管理规章制度没有切实有效的管理手段。目前企业信息安全面临严峻的挑战，如何保证桌面终端的安全，从而保证企业整体信息安全，成为日益突出的问题。同时强有力和切实可行的桌面安全管理手段，也将成为企业信息安全得以保证的基础。

1 桌面终端的安全要求

随着企业信息化建设的迅速发展，终端计算机数量的逐步增加，企业正常、稳定的生产及运行越加依附于企业网络。桌面终端是企业网络的最基本组成部分，也是管理的最薄弱环节，涉及大量敏感或数据，管理较为为复杂，往往成为信息外泄的源头。

企业应根据自身的网络环境，结合基本情况，统一部署防病毒系统和补丁分发系统，并定期对病毒定义文件进行升级和播发安全补丁。同时为了确保终端用户合规接入网络，应建立以端点准入控制系统为基础的安全防护体系，并执行企业制定的安全策略，阻止不符合安全策略的终端用户接入企业网络。终端用户的桌面安全环境需要由完善的桌面管理系统提供保障，除了利用防病毒和补丁系统，来防范和控制木马、恶意软件及内网的攻击行为，还要对企业终端用户的桌面制定相应的安全机制，确保每个接入网络的终端用户都符合企业安全策略，规范终端桌面的安全行为，使桌面终端工作在一个安全的防护体系中，保证企业网络在一个安全、稳定、有较的环境中运行。

2 桌面终端安全防护体系建设

随着信息技术应用的不断深入，企业信息系统集中程度的不断提高，业务对信息系统依赖程度不断加大。现有的安全防护系统仍不能完全预防来自企业内部或外部网络的入侵和攻击，所以需要完善安全防护体系建设，统一建立以防病毒系统、补丁分发系统和端点准入控制系统为基础的桌面安全防护系统，才能使主要依靠信息化应用系统的安全性得到有效保证。

2.1 防病毒系统。防病毒系统体系由总部服务器获取最新病毒定义文件下推到各级单位，实现病毒定义文件的逐级升级。防病毒体系的统一部署，有效地防止了病毒和恶意软件的大面积爆发，为桌面终端安全提供了强有力的保障。

2.2 补丁分发系统。补丁分发系统采用总部服务器过滤最新系统安全补丁并下发到地区公司服务器，地区公司服务器自动下发到终端用户的总体架构方式。补丁管理系统可以帮助企业对网络内各种软件和应用系统进行维护和控制。克服安全漏洞并保持生产环境的稳定性。

2.3 端点准入系统。端点准入安全防护体系由总部服务器下发企业总体安全策略，地区公司接收总部策略后根据本地实际情况制定个性化策略，管理个人计算机。端点准入控制系统需要提供全面的端点保护功能，实现多层次的安全防护策略，有效应对病毒、木马、蠕虫等混合安全威胁，有效应对来自于互联网和内部网络的恶意扫描、恶意入侵等安全威胁。

2.4 桌面安全流量监控体系。通过桌面安全流量监控系统，将桌面安全事件和桌面安全技术支持团队有机联系在一起，建立“发现－定位－处理”循环往复的工作模式，以安全管理团队自上而下的监督、支持和协同作战，推动各级安全管理团队的工作，提升管理水平，保证信息安全在桌面端少出问题，从而增强我们整体的信息安全水平。

2.5 数据文件电子加密。网络中最有价值的是数据，而敏感或数据的安全性越来越重要。网络安全产品大部分都集中在这些数据的，并没有针对数据本身的安全保障提出有效的解决方案。所以建立电子文档加密系统，可以为员工提供方便易用的文件加密工具，切实增强信息安全水平和意识，有效防止敏感信息泄漏。这对提高整体的信息安全也是切实可行的。电子文档加密系统是为桌面用户提供文件加密工具。加密后的文件可有效防范丢失、失窃或在网络上传输时被非法常截获等情况下的信息外泄。

2.6 系统安全审计。建立系统安全审计应为安全部门或管理员提供及时有效的一组管理数据进行分析，以发现在何处发生了违反安全方案的事件。利用安全审计结果，可调整安全政策，堵住出现的漏洞，为此，系统安全审计应该具备以下功能：

1）记录关键事件：由安全相关部门统一定义违犯安全的事件，并决定将什么信息记入审计日志。

2）提供可集中处理审计日志的数据形式：以标准的、可使用的格式输出安全审计信息，使安全官员能够直接利用软件工具处理这些事件。

3）实时安全报警：扩展现有管理工作的能力并将它们与数据链路驱动程序和安全审计能力结合起来，当发生与安全有关的事件时，安全系统就报警通知相应的部门。

2.7 加强桌面安全管理。建立严格遵守规章制度，依据国家法律法规根据企业本身的实际情况制定相关规章制度，让终端用户遵守相关制度，可以有效的减少终端安全桌面的事故发生。培养终端用户良好的安全意识，安全意识低的必然结果就是导致信息安全实践水平较差，所以培养终端用户的安全意识可以防止利用终端入侵企业网络。加强桌面用户安全培训，经常组织安全培训可以提高终端用户的安全防护知识，提升终端桌面的防御能力。

3 结语

桌面终端是企业网络运行的基础，也是企业信息安全最脆弱的部位，目前企业的安全防护手段不能完全的对桌面终端做到有效的安全管理，所以应该根据需求建立相应的安全体系，不仅能增加桌面终端的安全防护能力，同时也减少企业网络面临的安全威胁，同时应提高终端用户的安全意识，加强安全管理。

篇8

1.1信息安全等级保护

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定，及时在当地公安机关进行备案，然后根据对应等级要求，组织好评测，然后开展针对性的防护，从而提供全面的保障。

1.2网络分区和隔离

运用网络设备和网络安全设备将企业网络划分为若干个区域，通过在不同区域实施特定的安全策略实现对区域的防护，保证网络及基础设置稳定正常，保障业务信息安全。

1.3终端安全防护

需要部署（实施）防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒；可以对互联网访问行为监管，为网络的安全防护管理提供安全保障；可以自动下发操作系统补丁，提高终端的安全性。

2.构建信息安全防护体系

电力企业应充分利用已经成熟的信息安全理论成果，在此基础上在设计出具有可操作性，能兼顾整体性，并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系，从而保障信息安全。

2.1建立科学合理的信息安全策略体系

信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则，所涉及的基本要素包括信息管理和信息技术这两方面，其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。

2.2建设先进可靠的信息安全技术防护体系

结合电力企业的特点，在企业内部形成分区、分域、分级、分层的网络环境，然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划，解决系统之间、系统内部网段间边界不清晰，访问控制措施薄弱的问题，对不同等级保护的业务系统分级防护，避免安全要求低的业务系统的威胁影响到安全要求高的业务系统，实现全方位的技术安全防护。同时，还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施，形成覆盖企业全领域的技术防护体系。

2.3设置责权统一的信息安全组织体系

在企业内部设置网络与信息安全领导机构和工作机构，按照“谁主管谁负责，谁运营谁负责”原则，实行统一领导、分级管理。信息安全领导机构由决策层组成，工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门，包含安全管理员、系统管理员、网络管理员和应用管理员，并分配相关安全责任，使信息安全在组织内得以有效管理。

2.4构建全面完善的信息安全管理体系

对于电力企业的信息安全防范来说，单纯的使用技术手段是远远不够的，只有配合管理才能提供有效运营的保障。

2.4.1用制度保证信息安全

企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件，指明信息安全的发展方向，为信息安全提供管理指导和支持；安全管理办法是对信息安全各方面内容进行管理的方法总述；安全管理流程是在信息安全管理办法的基础上描述各控制流程；安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素，人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理，明确员工信息安全责任和义务，避免人为风险。

2.4.3建设时就考虑信息安全

在网络和应用系统建设时，就从生命周期的各阶段统筹考虑信息安全，遵照信息安全和信息化建设“三同步”原则，即“同步规划、同步建设、同步投入运行”。

2.4.4实施信息安全运行保障

主要是以资产管理为基础，风险管理为核心，事件管理为主线，辅以有效的管理、监视与响应功能，构建动态的可信安全运行保障。同时，还需要不断完善应急预案，做好预案演练，可以对信息安全事件进行及时的应急响应和处置。

篇9

1 引言

有效地保障电力企业的安全和保障电力信息网络安全，对于推动我国国民经济稳定发展具有非常重要的作用。随着社会信息化技术的迅速发展，信息化系统已经在电力企业中受到广泛应用，实现了信息化网络管理。但由于信息网络中存在的问题，导致电力信息网络安全时有发生，有必要对此进行分析，并且采取安全保护措施，确保电力信息网络安全和电力企业的稳定发展。

2 电力系统信息网络存在的安全问题

2.1 网络病毒

电力系统信息网络安全中，最常见的安全隐患就是网络病毒。隐蔽性、可复制性、传播速度快等都是网络病毒的特点。网络病毒对电力系统信息网络破坏非常严重。假如感染上了网络病毒，轻则是对电力信息系统的正常运行受到阻碍，使数据丢失、信息不能及时共享；严重则会导致电力信息系统瘫痪，整个电力系统的功能将会因此受到影响而不能正常发挥作用。除此之外，电力设备还可能因此遭到网络病毒的破坏，造成不可估量的损失。

2.2 黑客攻击

在电力系统信息网络运行的过程之中，网络安全问题也会因为受到黑客的攻击而出现，导致电力系统信息网络安全出现故障，甚至会造成大范围的电力故障发生，具有非常大的危害力，这也是电力系统信息网络存在的主要隐患。电力企业涉及到很多电力信息量，假如被黑客攻击获取机密信息，则会对电力系统的正常运行和经济效益造成极大的损失。黑客对电力系统信息网络的攻击方式比较多，比如利用数字控制系统（DCS）对电力企业的基层系统进行控制，造成基层系统瘫痪。此外，黑客也可以利用某个系统对其他系统进行控制和破坏，对电力系统造成非常恶劣的影响。

2.3 脆弱的身份认证

电力行业中计算机应用系统大部分是基于商用软硬件系统设计和开发，而基本上都是使用口令为用户身份认证的鉴别模式，而这种模式最容易被黑客攻破。部分应用系统还使用自己的用户鉴别方式，用数据库或者文件将口令、用户名和一些安全控制信息用明文的方式记录。当今，这种脆弱的安全控制措施已经不再适用。

2.4 内部恶意操作

电力信息系统安全漏洞还存在内部人员恶意操作导致。恶意操作就是指蓄意破坏。信息系统在运行过程之中需要人进行监督和控制，加入人的因素存在主管恶意，则会使网络信息系统出现问题。电力系统安全管理的制度上规范可能比较健全，但是只能防范人的控制，一旦出现人为因素，大灾难将会降临到电力信息系统上。

2.5 信息网络安全意识淡薄

在电力信心网络的建设以及运营过程之中，安全防护和安全监督工作都需要信息网络安全意识高的专业人员从事。随着信息化程度的不断提高和信息防护技术的不断更新，电力信息网络的安全等级也逐渐提高。但是，不能否认的是，实际的安全防护技术和电力企业信息网络安全防护需求仍然存在很大差异。一方面是由于电力企业本身信息化技术比较低导致出现安全问题；另一方面则是超高的安全防护技术带来高昂的成本，电力企业的效益降低，导致电力企业的实施与应用受到影响。更加重要的是目前的电力信息网络安全整体维护工作水平不高，同时网路安全人员的安全防护意识缺乏，出现违规操作、不按照规范进行操作等现象发生而出现问题。

2.6 信息网络安全制度缺失

随着电力信息化程度的不断深入，要加强信息网络安全制度的规范，不断创设完整的信息网络安全防护制度显得非常重要，这样才能够确实提高电力企业信息网络安全，保障企业经济效益。当时目前而言，在电力信息网络运行的过程之中仍然缺乏统一的规范安全防护制度和监督制度，很大程度上对电力系统信息网络安全造成危害，影响电力信息化水平提高。同时，在电力系统信息网络运行，由于缺乏科学的安全管理制度，很容易在运行过程之中出现大漏洞和缺陷。

3 电力系统信息网络安全防护的具体措施

3.1 提高对安全性的认识

第一，电力企业要加强对电力系统信息网络安全的认识，要将网络信息安全防护体系完善建立，采用分层、分区的管理方法，其中将区城管理分为生产管理区、非控制生产区、实时控制区和管理信息区，并且隔离区城之间的网络物理隔离设备。第二，加强人员素质管理，通过网络安全培训和技能训练，将网络管理工作人员的素质和能力提高。最后，对信息网络体系的密码、技术、数据管理要加强，切实将电力系统信息网络安全系数提高。

3.2 做好信息网络系统的维护与支持工作

在现实电力系统信息网络安全防护中可以采取以下几种安全技术：第一，防火墙技术。网络与网络安全领域的连接入口是防火墙，因此防火墙可以对危害信息进行有效的抵御和及时查询出危险信息，保证电力系统信息网络的安全。因此，在日常工作中要对防火墙的访问设置相应的权限，对非授权连接进行强力防护。第二，漏洞缺陷检查技术。漏洞缺陷检查技术就是对电力系统的信息网络设备进行检测，根据检查情况对设备检测风险进行评估。假如存在安全问题，则要及时采取防护措施进行修复，这样才能够有效避免安全问题发生。第三，数据加密技术。所谓的加密技术，就是对网络传输数据的访问权进行限制，也可以对原始数据进行加密变成密文的技术。数据加密技术主要是防止恶意客户对机密数据文件进行查看、破坏和泄露，有效保证电力系统鑫鑫网络安全，确保能够正常稳定地运行。

3.3 构建科学完善的安全防护体系

在信息化网络的运营过程之中，科学地完善防护体系是提升和优化网络安全的重要措施和根本保障。完善的防护体系能够在具体的管理中对信息化网络出现的问题及时检查，有条不紊地针对加强安全防护，将电力系统信息化网络安全级别提升。技术人应该充分结合电力企业的实际特点和计算机网络安全有关问题规建信息网络的安全防护体系，切忌技术盲目建设，要科学准确地建设信息化安全防护体系。与此同时，在建设防护体系过程之中，考虑到电力信息网络的功能和板块非常多，因此需要技术人员从整体把握安全防护体系，要遵循全面科学原则建设信息网络安全防护体系，使电力系统信息网络的各个功能的安全等级不断提升，能够有效地提升电力系统信息网络的安全效益和质量。

3.4 建立完善的电力系统信息网络监控中心

为了能够提高电力系统信息安全，一定要建立一个综合。统一的信息安全监控中心。为了能够将各项信息有机整合，监控中心可以在各信息网管中心建立，这样即使出现任何影响信息安全问题的情况都能够及时解决。通过监控系统所提供的信息可以对可能出现的异常或故障及时进行预防，防患于未然，保障系统不会发生异常或故障。

3.5 加强网络设备的管理和维护

在电力企业信息网络安全管理中，网络设备起着至关重要的作用。由于网络设备一直处于消耗状态和存在一定的周期和寿命，因此电力企业的安全管理人员要对这些设备进行定期检查和维护，对电力设备及时进行更新更换，从源头上强化信息安全。对于电力企业而言，要及时更新网络技术、更新系统和技术，要做数据备份；对于终端密码及时更换，设置难以破解的密码，以免被窃取。

4 结语

为了电力系统安全运行和对社会可靠供电就必须保证电力信息安全，一旦电力系统信息网络安全遭到破坏将会给电力系统的生产敬意和管理造成巨大损失；因此要通过加强网络安全管理和充分利用先进的网络技术，构建电力系统信息安全防范体系，确保电力系统信息网络能够高效稳定运行。

篇10

信息技术在企业管理、生产管理和过程管理中的应用，提高了企业的生产运行和经营管理水平。但在信息网络安全体系层面，不少企业却面临着风险：

1.网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施，来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。

2.业务安全风险。缺乏严格的验证机制，导致非法用户使用关键业务系统，不同业务系统之间缺少较细粒度的访问控制。

3.数据传输的安全风险。企业的数据通过互联网传输时被窃听。

4.系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。

5.病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏，网络化的环境需要网络化的防病毒方案及多层次的防护体系。

信息安全不仅仅是技术上的问题，更多地涉及到安全管理层面。加强信息安全的管理是企业建立信息安全体系的一个重要部分。

全面的安全防护体系是保证企业信息网络安全运行的根本，是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品，要有重点地布置安全产品。

1.划分安全区域并制定明确的边界访问制度，根据数据敏感程度，在关键业务网段处部署网闸系统，在管理和办公网段以及其他出口处部署防火墙系统，实现严格的访问控制机制。

2.建立网络入侵检测系统，增强审计响应手段，提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。

3.建立网络入侵保护系统，在出口处对网络流量进行检测，并实时阻断来自外部或内部的各种攻击，同时净化网络流量。

4.构建节点间的VPN体系，保护在节日间数据传输的机密性、完整性和可认证性。

5.部署漏洞扫描系统，检查网络，系统以及终端存在的弱点和漏洞。

6.建立网络防病毒体系，以增强全网抗病毒和防蠕虫攻击的能力。

7.在对外信息系统前部署抗拒绝服务系统，抵御来自外部的各种拒绝服务攻击。

8.建立数据备份系统，提高关键业务数据的可用性。

9.部署集中的认证系统，实现认证信息的集中存储与鉴权控制。

完善的安全管理策略是对企业信息网络安全进行可控管理的关键，安全管理策略的建设包括以下内容：

1.制定完善的信息安全规章制度，规范整个企业对网络以及信息系统的使用。

2.定期对全网进行安全评估和加固，通过安全评估，实时了解和掌握整个网络的安全现状，通过安全加固使网络和系统更加健壮。

3.建立内网安全管理系统，从终端安全、桌面管理、行为监控、网络准人控制等方面对内部网络进行保护，加强对内部网络和系统的管理。

篇11

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)22-5346-02

随着网络信息系统在各行各业得到广泛应用，企业单位办公自动化程度越来越高，许多企业开始利用信息化手段来提升自身管理水平，增加竞争力。企业内部用户之间实现了“互联互通 ，资源共享”，极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作，使得系统处于危险之中，而一旦网络被人攻破，企业机密的数据、资料可能会被盗取、网络可能会被破坏，给企业带来难以预测的损失。因此，企业网络安全的建设必须提上日程，并加以有效防范。

1 企业信息安全防护策略

企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。

企业信息安全从本质上讲就是企业网络信息安全，必须充分了解系统的安全隐患所在，构建科学信息安全防护系统架构，同时提高管理人员的技术水平，落实严格的管理制度 ，使得网络信息能够安全运行，企业信息安全防护策略如图1所示。

2 硬件安全

企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施：1）尽可能购买国产网络设备，从根源上防止由于后门造成的威胁；2）使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质，把设备的信息辐射抑制到最低限度，这是防止计算机辐射泄密的根本措施；3）加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施，对废弃的光盘、硬盘和存储介质要有专人销毁等，废弃纸质就地销毁等；4）定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆（或电缆）、收发器、终端及其它外设进行保密检查，防止非法侵入。

3 信息安全技术

企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有：

3.1 安全隔离技术

安全隔离与信息交换系统（网闸）由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。

3.2 防火墙技术

防火墙通过过滤不安全的服务，可以极大地提高网络安全和减少子网中主机的风险；它可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机；阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS；防火墙可以记录和统计通过它的网络通讯，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测；防火墙提供制定和执行网络安全策略的手段，它可对企业内部网实现集中的安全管理，它定义的安全规则可运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。

3.3 入侵检测技术

入侵检测技术作为一种主动防护技术，可以在攻击发生时记录攻击者的行为，发出报警，必要时还可以追踪攻击者。它既可以独立运行，也可以与防火墙等安全技术协同工作，更好地保护网络，提高信息安全基础结构的完整性，被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用，是安全防御体系的一个重要组成部分。

3.4 终端准入防御技术

终端准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。

3.5 灾难恢复策略

灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施，在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明，灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略，即灾难恢复计划。只有制定快速有效地进行数据恢复的策略，才能应对每一种可能出现的数据损坏事故。

3.6 其他信息安全技术

当然，信息安全技术还有很多，如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等，这些都可以在一定程序上增加网络的安全性。

4 安全管理

网络安全管理是企业管理中一个难点，很多信息化企业并不十分看重网络安全，直到重要数据丢失产生重大损失才追悔莫及，因此首先在思想上充分重视信息安全，不能抱有一丝侥幸心理。对于安全管理采取的措施主要有：确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。

这些要通过对公司全体员工进行教育培训，强化规范操作，重要数据作好及时备份 ，从系统的角度促进全体团队认真执行 ，以达到网络的保障。

5 人员安全意识

企业信息安全队伍建设要以领导干部和人员为重点，积极开展面向企业各层面的保密教育，不断提高全体员工的信息安全素质。采取的措施主要有：开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。

6 小结

针对目前企业信息安全面临的诸多问题，提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程，必须全方位、科学地合理安排和落实，才能有效地保护企业的信息安全。

参考文献：

[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.

[2] 王梅,刘永涛.企业信息安全（保密）培训的几点思考[J].中国市场,2010,35(9):117-118.

篇12

中图分类号： TM247 文献标识码： A 文章编号：

0 引言

随着电网公司SG186工程的实施和信息化建设的逐步推进，重要应用系统已集中部署到省公司，市级电力企业将主要负责数据采集和网络实时传输工作，信息网络的安全稳定性将直接影响信息系统的安全、可靠。电力企业通过网络分区分域、边界防护、规范安全配置及部署网络监测防护等手段，建立信息网络安全防护体系，提高了信息安全运行水平。

1 企业信息网分区分域

1.1 信息网络分区

电力企业信息网络分为信息外网区和信息内网区。结合资金、通道资源等因素考虑，省、地、县信息广域骨干网将做内外网逻辑隔离，全部骨干网节点上投运具备MPLS-VPN功能的高端路由器设备，信息外网以信息内网为承载网，开通MPLS-VPN通道到各地、县本地网接入点，地、县本地局域网以物理隔离方式分别组建信息内网和信息外网实现内外网隔离。

1.2 安全域建设

网络安全的基本策略是进行安全区域划分，根据信息业务安全等级差异可划分不同安全等级的区域，实现对安全风险的有效隔离。市级电力企业主要的营销管理系统、生产管理系统、协同办公系统等已全部集中部署在省公司，因此在市公司中，系统均为二级系统。根据网络安全域与网络功能区相匹配的原则，信息内网安全域可划分为系统服务器域和内网终端域两个，并通过防火墙实现安全风险隔离。信息外网因没有对外业务应用系统，全部为外网终端，因此外网只有外网终端域。信息内网网络示意图如图1所示:

图1 信息内网网络示意图

2 网络边界防护

边界防护是指网络区域间和区域内所有网络流量必须在明确的策略允许下进行传输，数据流进行严格的控制，包括数据流的源和目的地址，控制精度达到端口级，默认拒绝所有不确定的数据流。边界的隔离防护功能可以从物理上实现，也可在网络层和系统层实现。市级电力企业信息内外网实现物理隔离方式，信息内网不存在第三方边界，信息内网的网络边界根据区域网络数据流向划分为纵向边界、横向边界和终端接入边界。划分示意图如图2所示。

图2 边界划分示意图

2.1 纵向边界防护

市级信息网络纵向边界分为上联省公司边界和下联县级公司边界两部分，边界划分和隔离方式基本相同，采用BGP协议划分不同的自治系统域网络边界，以口字形方式双机冗余连接，部署防火墙做网络边界隔离，通过防火墙的访问控制策略实现数据流的纵向访问控制防护。

2.2 横向边界防护

市级信息网络横向边界分为安全域间边界防护和网段间防护。安全域边界防护采用防火墙作边界安全策略配置，实现服务器域和内网终端域间的安全访问控制；网段间防护包括服务器网段VLAN划分和内网终端域网段VLAN划分，通过在网络设备层上配置详细的VLAN访问控制策略实现网段间的边界防护。

2.3 终端接入边界防护

终端接入边界防护主要是计算机终端和接入层交换机的安全接入控制，包括设备接入许可控制和外联阻断。设备接入控制采用网络层的IP-MAC地址绑定功能做接入许可控制，并在网络设备端作端口访问控制策略；外联阻断控制是部署终端管理系统实时对设备外联进行检测，如有连接外网可主动发起阻断操作并告警，通过应用系统层做边界接入防护。

3 规范网络安全配置

网络安全威胁是实际存在的，网络本身的安全性配置是网络系统的安全基础，可最大程度地降低网络层的攻击威胁。如何正确有效地启用各类网络安全配置是网络日常维护深入的重点。网络设备安全配置总体包括网络服务、网络协议和网络访问控制三方面。以cisco网络设备为例，列举以下安全配置：

4 网络安全监测防护

4.1 网络管理系统

网管系统可对网络设备进行远程管理和状态监控，实现对网络内所有网络设备的告警监测和故障定位，使用运行管理功能能提供网络故障预警、故障定位。同时能确定网络设备CPU、内存的负荷、站点的可到达性、网络链路流量、传输速率、带宽利用率、时延、丢包等。并发现系统的物理连接和系统配置的问题，进而优化网络性能、提高网络运行效益。是网络管理员管理网络的重要手段。

4.2 入侵检测系统

人侵检测系统能提供安全审计、监视、攻击识别和防攻击等多项功能；具有事前警告、事中防护和事后取证等特点；可以监视用户和系统的运行状态，查找非法用户和合法用户的越权操作；检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。通过入侵检测系统，管理员能实时检测到用户网络受攻击行为，并即时采取应急措施。

4.3 漏洞扫描系统

漏洞扫描系统将网络、主机和桌面终端的系统配置信息进行漏洞规则匹配分析，能即时检测到网络上各设备的系统漏洞，发现系统隐患及脆弱点，能通过补丁更新系统更新。

4.4 日志审计系统

日志审计系统能将网络设备、防火墙设备、入侵检测及主机系统的日志数据进行采集、分析和识别，对各类事件归类汇总分析，实时定位网络安全事件的准确性，并进行报警响应。

4.5 防病毒系统

篇13

传统网络安全，更多考虑的是如何防范外网对内网的攻击，但这种传统手段已不能应对来自内部的层出不穷的恶意攻击和病毒。但根据相关资料显示，网络内部的计算机客户端的安全威胁更为普遍，大多安全事件是由内网用户有意或无意的操作造成的，因此，内网安全不容忽视。较之于外网安全，内网安全特点更突出，主要表现在：（1）须建立更全面、更客观和更严格的信任体系和安全体系；（2）须对计算机终端、服务器、网络和使用者等各个细节进行更加具有针对性的管理。网安全是内部局域网的信息防泄密和终端安全管理，电力企业在内网安全设计时，须以提高系统的保密性为出发点，将各种安全技术和管理手段结合起来，建立起覆盖全面、经济实用、结构合理、安全可靠的内网安全防护体系。

1 内网安全绿色防护的必要性

随着计算机技术的不断发展，电力企业管理信息化逐渐加强，信息技术给企业带来极大便利的同时，也存在一定的信息安全隐患。网络不存在绝对的安全，稍微不留意或防护措施不当，内网很有可能受到病毒的攻击和侵害，造成重要信息的泄露，给相关企业造成严重损失。尤其是电力企业，其内部核心技术决定着自身生存和发展，一旦泄露，将会对企业造成致命的损失。因此，电力企业须加强对涉及到信息的采集、分析、加工、处理、存储、传输及检测等各个方面的网络应用的重视，建立完整、立体、多层次的企业内部网络的绿色安全防护体系。只有从绿色电力IT 理念出发，建立起安全可靠、科学可行的内网安全绿色防护系统，才能满足企业的需求，保障数据存储的安全性、传输的可靠性和处理的可延展性，保障信息系统和控制系统的安全和稳定。

2 内网安全绿色防护策略

2.1 过客访问安全管理

内网安全绿色防护，过客访问安全管理是重点。对过客访问控制，能够对外来的访客进行有效定位、监控、异常阻断和报警，从而增强计算机信息终端管理能力，保障了企业的信息安全。过客访问安全管理，主要包括以下几个方面：1.对无线访问用户，应建立可靠的无线访问审查策略，为用户提供安全的无线访问接口，同时将无意义的无线访问点进行排除。2.对VPN用户，应最大限度限制访问内网的权限，隔出其访问给内网带来的巨大威胁。3.对新接入的网络终端和笔记本计算机，应经注册登记、设置访问权限和范围后才能使用。4.对外接移动存储器（U盘等），要设置其使用的内网物理范围，并设定专用的密码，保障数据移动的安全性。

2.2 虚拟边界防护

内网安全绿色防护，建立虚拟边界防护非常有必要。信息技术进步，也滋生了许多网络病毒，网络安全是一个相对的概念，不存在绝对安全，电力企业信息资源众多，数据庞杂，在运行管理过程中，不能保证不受到攻击。因而，应加强重视，企业实际业务情况重新定义信息系统安全级别，建立起虚拟边界。同时，应该根据企业内部具体情况制定有针对性的管理策略，包括实名登记、数据浏览监控、内网访问限制等，最大限度将攻击阻挡在外，保障信息资料的安全。此外，还应尽可能避免由于受到攻击而使整个网络陷入瘫痪等安全事件的发生，保障电力系统信息系统的安全、稳定运行。

2.3 内网终端强制性管理

内网安全绿色防护，内网终端强制性管理必不可少。通常情况下，内网终端强制性管理主要包括：桌面系统安全、病毒防护、身份鉴别、访问控制、漏洞扫描等五大方面，网终端强制性管理是建立内网安全防护体系的基础。电力企业应加强网终端强制性管理，主要内容包括以下几个方面：1.自动分发系统补丁，及时扫描漏洞；2.自动监控上网流量，自动断开流量超标的终端，防止蠕虫病毒传播和蔓延；3.绑定IP地址，防止人为更改和IP地址冲突，避免受到ARP的欺骗攻击；4.自动收集软硬资产，及时掌握内部网络终端资产和硬件配置变动情况。

3 小结

随着信息技术的不断发展，企业信息系统不断升级，大量的技术和企业机密均储存在计算机和网络中，网络安全重要性越来越突出。网络上一个小小的漏洞，都很有可能引起信息完全问题，造成重要信息的泄露，从而影响企业的发展。尤其是电力系统内部终端多，层次和构架都非常复杂，因而做好内网安全绿色防护势在必行。只有从绿色电力IT 理念出发，充分利用现代企业信息资源管理的优势，合理规划内网，构建完整的、立体的、多层次的“外防内控”网络安全防御体系，才能保障电力企业的利益，才能促进企业的健康、可持续发展。

参考文献

[1]王海涛，闫前进.内网的安全风险分析与保护策略[J].保密科学技术，2011（02）.

[2]李孟兴，迟承哲，王海燕.电力企业信息安全趋势与防范措施[J].电力信息化，2010（12）.

[3]周祥峰.基于行为的内网安全威胁检测系统在电力企业的应用[J].计算机安全，2013（03）.