企业信息安全方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业信息安全方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业信息安全方案范文

关键词：分布式；信息安全；规划；方案

中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息，市场研究机构Gartner 研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证，信息安全组织的目标是：

1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求；

2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务；

3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面，是属于一个企业信息安全规划的上层建筑，需要用一种由上而下的方法来实现，其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言，需要主导部门从上层着手，建章立制，强化安全教育，加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是，完善和形成“七套信息安全软措施”，具体包括：一套等级划分指标，一套信息安全策略，一套信息安全制度，一套信息安全流程规范，一套信息安全教育培训体系，一套信息安全风险监管机制，一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析，信息安全管理的原则以风险管理为主，集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求，在信息安全规范方面，根据调查，建立信息安全管理规范、信息安全技术规范。其中，安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则；信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序，其目的是减少安全隐患，降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据，其目的是增强信息安全责任意识，提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制，做到“安全第一，预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设，提高企业人员的信息安全意识和技能，增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是：给业务运营提供信息安全环境，为企业转型提供契机，构建信息安全服务支撑系统。具体目标如下：

1）打造信息安全基础环境，调整和优化IT基础设施，建立安全专网，设置两个中心（信息安全运维中心、灾备中心）；

2）建立一体化信息安全平台，综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能，实现的集中安全管理控制，快速安全事件响应，高可信的安全防护，拓展企业业务，开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作，SOC 承载用于监控第一生产网的安全专网核心基础设施，提供信息安全中心技术人员的办公场所，提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务，SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外，SOC 的技术性工作还要做以下几个方面：

1）硬件基础建设，主要内容是SOC 的选址、布局、布线、系统集成，实现SOC 自身的防火、防潮、防电、防尘、安全监控功能；

2）软件基础建设，包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深，需要部署到大量IT 产品和应用系统，为了保障安全，必须对这些IT 系统和产品做入网前安全检查，消除安全隐患。基于此，综合测试环境建设的内容包括：安全测试网络；测试系统设备；安全测试工具；安全测试分析系统；安全测试知识库。

其中，安全测试网络要求能够模拟企业网络真实的带宽；测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟；安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等，并提供使用说明、漏洞扫描、应用安全分析；安全测试分析系统能够提供统计分析、图表展现功能；安全知识库包含以下内容：漏洞知识库，补丁信息库，安全标准知识库，威胁场景视频库，攻击特征知识库，信息安全解决案例库，安全产品知识库，安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范，建议信息安全总体框架设计如图2所示。

主要目的，以资产为核心，通过安全组织实现资产保护，以安全管理来约束组织的行为，以技术手段辅助安全管理。其中，资产、组织、管理、安全措施的关系如图3所示，核心为资产，围绕资产是组织，组织是管理，最外层是安全措施。

在平台中集成十个安全机制，它们分别是：信息安全集中管理；信息安全巡检；信息安全认证授权；信息安全防护；信息安全监控；信息安全测试；信息安全审核；信息安全应急响应；信息安全教育培训；信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是：以信息安全服务为切入点，充分发挥企业优势资源，引领信息安全市场，为企业转型创造时机。具体目标如下：

1）推出面向客户安全（检查、教育、配置）产品；2）推出面向大型企业的信息安全咨询产品；3）推出面向家庭安全上网产品；4）推出面向企业安全运维产品；5）推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言，在此列举信息类分布式企业业务作为示例：

1）信息安全咨询类产品，其服务功能主要有：信息安全风险评估；信息安全规划设计；信息安全产品顾问。

2）信息安全教育培训类产品，其服务功能主要有：提供信息安全操作环境；提供信息安全知识教育；提供信息安全运维教育。

3）家庭类安全服务产品，其服务功能主要有：推出“家庭绿色上网”安全服务；家庭上网防病毒服务；家庭上网机器安全检查服务；家庭上网机数据备份服务。

4）企业类安全服务产品，其服务功能主要有：企业安全上网控制服务；企业安全专网服务；安全信息通告；企业运维服务。

5）容灾类安全服务产品，其服务功能主要有：面向政府数据灾备服务；面向政府信息系统灾备服务；面向企业数据灾备服务；面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际，按照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献：

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报，2006,23,(1):25～28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技术安全评估的系列标准[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列标准[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41～41,45～45.

第2篇：企业信息安全方案范文

关键词：企业网络；网络安全；安全体系

前言

由于计算机与通信技术的快速发展，人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大，对社会的影响也日益增大，网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现，网络安全也变得日益重要。为了保证企业网络自身的安全性，必须采取有效的手段面对网络中的各种威胁[1]。

1 企业网络的威胁及其风险管理

企业网络的信息是自由传输的，尽管有各种各样的方式威胁着企业网络的安全，但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁，并根据这些威胁所导致的企业风险进行有效管理。首先，企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护，针对设备可以提供什么样的访问和怎么协调这样的工作。其次，评估需要进行网络安全保护的资源和财产。最后，分析所有对企业网络安全的可能威胁，并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失，它可以是偶然的，也可以是刻意的。威胁有很多方式，一般可以简单归纳为以下三种基本的类型：

1 未经授权的访问。指未经过授权的人员却可以访问网络资产，而且也存在对网络资产进行篡改的可能。

2 假冒。指由于伪造的凭证假冒其他人进行活动。

3 拒绝服务。指服务中断。

2 企业信息化的网络安全策略体系[2]

网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针，而且在内部网络的安全策略以及身份证明，从而为网络安全提供支持和认证。

2.1 安全策略的文档结构

a) 最高方针。是安全策略的主文档，属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则，网络安全各个方面所应遵守的原则方法和指导性策略。

b) 技术的规范与标准。其内容包含：各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。

c) 管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作，还能有效的推广及实行,是由最高方针引申而来，对用户协议具有规范作用。而用户协议对其不能违背。

d) 组织机构以及人员的职责。负责安全管理的组织机构以及人员职责，包含负责安全管理的机构的组织形式以及运作方式，还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性，需得到有效推广及实行。

e) 用户的协议。与用户所签署的文档及协议，包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定，并在违反安全规定时的处罚依据[3]。

2.2 建立策略体系

目前，大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系，制定出安全策略的系列文档。

建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系，其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前，由于企业中机构间的网络现状与业务情况的差别较大，所以在基本的策略体系和框架下，可以让各个机构以自身情况为基础，对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。

2.3 策略的与执行

企业网络安全的策略系列文档在制定完成后，必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外，而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前，还需要对每个员工进行相关的培训，以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作，需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工，工作的方式与流程可能还需要改变，所以其推行难度相当大；同时，安全策略的本身还可能存在这样那样的缺陷，例如太过复杂及繁琐、不切实际以及规定有所缺欠等，都会影响到整体策略的落实[4]。

3 企业信息化网络安全技术的总体方案

3.1 引入防火墙系统[5]

通过引入防火墙系统，可以利用防火墙功能中的“访问控制+边界隔离”，从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的，可以重点进行监控，以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动，当入侵检测的系统对数据包进行检测，发现异常并告知防火墙时，防火墙可以生成相应的安全策略，并将访问源拒绝于防火墙之外。

3.2 引入网络防病毒的子系统

防病毒的子系统是用来对网络病毒进行实时查杀的，从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力，提高企业网络层面安全性。

3.3 引入漏洞扫描的子系统

漏洞扫描的子系统可以定期分析安全隐患，并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统，还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统，如何确保众多信息的安全以及各类系统的稳定应用，便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描，并在定期扫描后提交漏洞和弱点分析报告，可使企业网的整体系统的安全性得以提高。

3.4 引入数据加密的子系统

对企业网重要的数据进行加密，以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据，可以使企业网络的整体安全性得以提高。

4 结语

通过以上对企业网络的安全和隐患进行的着重分析，提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛，所以对于企业网络安全的建设，需要遵循一个稳定的体系框架，同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数，进一步保证企业信息化在网络时代能够更安全、更健康的发展。

参考文献

[1] 顾晟. 企业信息化网络的安全隐患及解决策略[J].计算机时代，2010，3：19~22.

[2]丁国华，丁国强. 企业网络安全体系研究[J].福建电脑，2007，2：66~67.

[3]陆耀宾. 企业网络安全体系结构[J].电子工程师，2004，4：55~56.

第3篇：企业信息安全方案范文

关键词：数据保障 帐号管理 内容安全 安全预案

1.前言

随着信息化及网络建设的高速发展，网络给我们带来了前所未有的开放环境，在内部信息平台上，员工可以实时地进行信息传输和资源共享，企业之间的业务往来也越来越多地依赖于网络。由于受到互联网的开放性以及通信协议原始设计的局限性影响，网络安全性问题日益严重，网络攻击、非法访问、信息窃取等频频发生，给企业网的正常运转带来了安全隐患，甚至造成不可估量的损失，安全问题愈发突出，已经成为当今网络技术的一大热点。因此，必须利用信息安全技术来确保企业信息网络安全，这就要求我们采取有效手段提高企业信息门户的安全级别。

2.企业门户信息安全问题分类

造成企业门户信息安全的因素可以分为以下几类：

2.1系统崩溃

由于病毒恶意软件入侵、系统文件的丢失、数据的损坏、信息的改变等导致企业信息门户无法正常运作，系统运行不稳定，频繁出现故障，最终导致整个企业信息门户系统的瘫痪。

2.2内部威胁和无意破坏

在对可能影响企业安全的因素分析后可以看出，事实上，大多数系统威胁来自于企业网内部，来自企业内部员工和受信赖的客户等有权限进入系统的人。此外，一些无意的行为，如丢失口令、疏忽大意、非法操作等都可能对网络造成极大的破坏。据信息安全权威部门统计数据表明，来自企业内部的网络安全问题比例占总数的百分之七十以上。

2.3计算机病毒

计算机病毒，对企业信息门户的正常使用造成破坏，能够使信息系统无法正常使用甚至整个系统造成破坏，甚至对系统硬件造成损坏。计算机病毒可以很快地在信息门户系统内蔓延，它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性，轻则影响系统运行速度，使各用户端不能正常运行，重则使系统处于瘫痪，会给整个企业用户带来不可估量的损失。

2.4 环境因素影响

信息门户环境影响因素不可低估，正常情况下，企业信息系统服务器需要放置在宽敞、干燥的机房内，由专人定期进行设备维护和检查，防止因高温、潮湿、靠近火源、漏电、停电、震动等可能对系统硬件设备造成不必要的损坏。

3.企业门户信息安全解决方案

3.1. 数据安全保障

企业门户技术是为企业的信息系统提供稳定、可伸缩和可靠的安全基础和框架结构，对数据的备份就变得非常重要。我厂的信息门户日常管理和应用需要同时配备两套服务器,所负担的任务分别是：一台用来做前端web服务及CMS服务，另一台用来做数据库服务，另外还有两台同样配置的服务器用于数据备份，如果应用中的信息门户服务器出现问题，就及时切换到备份的信息门户服务器，保证信息门户工作的连续性和平稳性，从而使其对企业员工的使用影响降到最低限。

对数据备份可以利用SQL Server 2000提供的备份手段设置定时任务，选择在门户空闲的时候进行自动备份，也可以在每天的晚上进行增量备份，在周末进行完全备份，通过脚本将备份文件复制到特定的备份文件服务器上。在企业信息门户中，所有用户个人站点都存储在主门户之中，如同部门站点集一样，用户个人站点可以单独地使用Stsadm进行备份和恢复，它能够备份每一个部门级站点集合的信息。我厂门户备份和恢复的过程需要12小时左右的时间，WSS和CMS数据分别为大约25G和27G，每三个月和逢节假日都对门户系统做备份恢复操作，这样就能始终保证我厂信息门户正常使用。

在做好我厂企业信息门户日常安全维护基础上，为了能充分利用服务器资源，计划在2011年做门户数据负载均衡。

3.2. 帐户安全管理

为了加强PTR域用户帐户的管理，我们在实际管理中限定了用户帐户的门户访问权限，严格限制Administrator组和备份组帐户的成员资格。需要指明用户必须明确了解他们所用的计算机网络的使用规则, 按照谁主管、谁负责的原则落实责任制，并签定门户内容保障责任书，申请上因特网的用户执行审批流程，签定入网责任书，不允许用户将帐号转借给他人，用户应将自己的口令保密。目前，企业网用户都是从中石油帐号或本地系统这样的现有用户系统中派生出来的,现有门户的权限是根据谁是管理员，谁是维护者，谁是浏览者来添加入中石油帐号里的用户，按照不同等级的访问权限设置，创建权限组，并为所创建的权限组进行门户维护授权。

3.3. 信息安全保障

为了加强对厂企业信息门户内容的保障工作，保证信息的安全性和准确性，开展对企业门户栏目的全面清查，严格监督门户栏目的内容信息建设，严格执行栏目定期巡查制度, 各二级单位确保各栏目内容的信息安全,完善企业信息门户台帐，强化细节工作，切实做到分工明确，责任到人。

3.3.病毒防范

计算机病毒防护已经成为计算机系统安全策略中的重要手段，及时更新系统软件、补丁，堵塞信息门户系统安全漏洞，用杀毒软件定期对系统进行全面扫描，查杀病毒，清理垃圾文件、数据，可以有效提高企业信息门户系统的稳定性。

3.4.系统与设备监控平台

系统与设备动态监控平台能够实时监测信息门户，在信息门户出现问题情况时通过发送手机短信或邮件及时通知到门户管理员，这样在非上班时间门户系统出现问题时就能及时发现并进行处理。

3.5.严格执行信息流程

不良信息的网络传播会对企业的健康发展造成负面影响，因此，要对企业信息门户中的各类资源、信息的进行审核、审批，禁止在企业信息门户中的不良信息。

3.6.安全管理制度

针对产生安全隐患的原因制定相应的安全预案，包括数据丢失、病毒入侵、硬件受损、不良信息传播等，分别采取系统维护、数据备份、备用系统运行、过滤门户信息内容等安全保护措施，设立信息安全小组并针对不同情况进行反复演练，提高安全预案的可行性和熟练性。

4.结论

通过对数据的备份恢复技术和病毒防范保证了我厂信息门户系统的稳定性，有效控制用户帐户管理和信息审批流程杜绝了不良信息的出现，采用系统与设备监控平台监控门户是否正常运行，制订信息安全预案有效降低了系统出现问题的几率，通过编制完善的企业信息门户安全解决方案设计使我厂信息门户系统安全防范及运行稳定性得到了大幅提高。

参考文献

[1]中国石油科技与信息管理部企业信息门户系统管理员手册

第4篇：企业信息安全方案范文

1.1信息系统安全的重要性及其影响因素

企业信息系统是整个网络系统的重要组成部分，在整个开发过程中投入了大量的人、财、物力，企业信息系统中存放着企业的核心数据，一旦信息系统的安全受到威胁和破坏，就会给信息系统的使用者 带来不可估量的损失，甚至会严重影响到企业的发展。

1.2影响信息系统安全的因素

影响信息系统安全的因素虽然很多，但综合分析主要因素有以下几个方面：1）自然因素。周围环境的温度和湿度、尘埃、地震、火灾、水灾、风暴以及社会暴力等，这些因素将直接影响信息系统实体的 安全。2）硬件及物理因素。支撑信息系统的硬件部分是由电子元器件、磁介质等物理设备组成的。系统硬件及环境包括机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的 安全与否直接关系到信息系统的安全。3）电磁波因素。信息和数据通过信息系统进行传输，在工作过程中都会产生电磁波辐射，在一定范围内很容易检测并接收到，这就容易造成信息通过电磁辐射而泄 漏。另外，空间电磁波也可能对系统产生电磁干扰，影响系统正常运行。4）软件因素。软件是支持信息系统正确运行，保障数据安全的关键部分。软件的非法删改、复制与窃取或被攻击、破坏将使系统 的软件受到损坏，并可能造成泄密。5）数据因素。信息系统是以处理数据、输出有价值信息为主要目的的。数据信息在存储和传递过程中的安全性，是信息系统安全的重中之重。6）人为及管理因素。 工作人员的素质、责任心、管理制度和法律法规是否健全，都直接对信息系统的安全造成威胁。

2信息系统的安全防护重点

为了保证信息系统的安全，根据信息系统的组成和运行特点，应重点做好计算机硬件、信息系统软件、信息系统数据、信息系统运行的安全防护及计算机病毒预防等重点工作。

2.1计算机硬件的安全与防护

计算机硬件的安全与防护，是为了保障信息系统安全可靠地运行，保护系统硬件和附属设备及记录信息载体不致受到人为或自然因素的危害而对信息系统进行的最基本的安全维护。要求企业必须建立与 信息系统的组成和运行特点相适应的机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及安全的信息存储介质。计算机除易受外界电磁干扰外，自身也产生携带大量信息的电磁辐射，所以 计算机在处理信息的过程中，也会导致信息的泄露问题。抑制和防止电磁泄漏是物理安全策略的一个主要问题。结合企业的实际情况，主要应采取的防护措施有以下两类：第一类措施是对传导发射的防 护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。第二类措施是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金 属屏蔽和各种接插件的屏蔽，同时对机房的各类管道和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射 来掩盖计算机系统的工作［1］。

2.2信息系统软件的安全与防护

软件是保证信息系统正常运行、促进信息技术普及应用的主要因素。保证信息系统软件的安全要做到以下几点：第一要使用正版软件，并对安装软件进行严格的安全检查。软件的安全管理首先是要对软 件，尤其是自行开发的软件进行全面测试检查。第二要对软件在运行过程中发现的错误进行及时修改、维护，不断扩充、完善和丰富软件的各项功能。第三要严格软件的操作运行规程。对操作用户赋予 一定的权限，没有相应权限的用户不能使用权限以外的系统资源。第四要建立严格的软件管理制度，妥善管理软件资源。对信息系统中的所有软件资源要造册登记，归类妥善保管。第五要做好系统备份 。系统备份用于故障的后备支援，是软件使用过程中安全与防护的重要措施。

2.3信息系统数据的安全与防护

由于数据是信息系统的中心，对于数据的安全管理就成为整个信息系统安全管理的核心。1）数据加密处理。加密是保障数据秘密性和真实性的重要方法，是数据安全保护的有效手段，也是抵抗计算机病 毒感染破坏、保护数据库完整性的重要措施。数据加密策略是从数据本源进行安全防护，根据加密技术的不同可以产生不同模式、等级的数据安全防护效果。2）网络加密。网络加密是目前能为任何形式 的Internet通信提供安全保障的协议。网络加密允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。对于用户来说，可以对不同的连接定义不同保护强度(级别)的网络加密通道 。3）数据安全管理。具体的数据安全管理工作主要包括：防止数据信息的泄露；防止计算机病毒的感染和破坏；防止硬件出现故障，具备双机热备甚至多机热备功能，防止数据的人为破坏；防止电磁辐 射、意外事件等带来的威胁。4）数据备份。及时做好数据特别是重要数据的备份并做好备份后的定期检查和更新复制等工作，以保证备份数据的完整性、适用性和实效性。要根据实际需要，确定数据备 份的频率、以及备份介质上数据的保存时间。日常备份操作可以在晚间系统负载较轻时定时、自动、快速进行，对系统日间使用不会造成任何影响。

2.4信息系统运行的安全与防护

信息系统的运行安全管理是通过对系统运行状况的监控，及时发现不安全的运行因素，从而采取有效的安全技术措施，来保证信息系统的安全。首先，信息系统的安全运行，应以严密的系统组织控制为 前提。系统组织控制是为实现信息系统目标而进行的组织结构设计、权限安排和流程规范设计。因此，组织结构设计应结合企业流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑；围绕 系统最终目标，划分职能界限与任务权限，形成适应流程管理与控制的企业信息系统组织结构，并与员工信息的使用权限、决策权限相匹配。其次，要严格操作控制。严格操作控制是通过计算机操作规 程来保证信息系统对信息处理的正确程度，从而减少差错。主要应做好：1、对信息系统的使用进行理论和实作培训，以便及时正确掌握基础信息和含义，并能熟练运用；2、结合实际岗位工作特点，制 定不同的正确的操作规程并严格执行；3、随着信息系统的不断更新、升级，要不断的修订操作规程并及时进行培训指导。第三是不在系统内随便安装无关软件。安装与系统无关的软件，会占用大量的硬 盘空间，从而影响系统的执行效率。第四是定期检查硬盘。在系统运行过程中，必须定期检查系统的安全使用情况。因为通过检查可以确定硬盘运行是否正常，是否有故障出现以及硬盘上的文件读写是 否正常；通过定期检查整理，能够及时清理系统运行中的垃圾文件，提高系统运行效率。

2.5计算机病毒与防护

计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据以影响计算机使用，并能自我复制的一组计算机指令或者程序代码［2］。计算机病毒扩散性很强，又常常难以根除，它们能把 自身附着在各种类型的文件上，有时会替换正常的系统文件。当文件被复制或从一个用户传递到另一个用户时，它们就随同文件一起蔓延开来。主要特征:（1）非授权可执行性；（2）隐藏性；（3）传 染性；（4）潜伏性；（5）破坏性；（6）可触发性。根据计算机病毒的特点，应从以下几方面来做好工作，达到防治计算机病毒的最佳效果。一是要建立严格的访问体系。用户的访问控制可分为三个过 程：用户名的识别与验证；用户口令的识别与验证；用户账号的识别与验证。在这三个过程中，若其中任何一个不能通过，计算机系统就会将用户视为非法用户，阻止其访问。建立用户名、口令及账号 的识别与验证体系，严格控制用户访问，这是防范病毒入侵的第一道防线。二是要建立有效的病毒检测、阻挡和清除体系。如安装防火墙，检查网络之间流通的数据包，限制不符合安全策略要求的数据 通过，及时识别并阻挡病毒入侵［2］。三是要建立数据信息的加密体系。利用编码技术，对数据信息按密级进行加密，保证数据信息不易被读出和更改，从而保证数据的完整性。

第5篇：企业信息安全方案范文

（一）技术手段实现

即利用一系列较为先进的管理硬件和软件，提升信息安全防护水平目前一般电力企业采用的技术手段有：

1）防病毒技术。信息管理人员通过在防病毒服务器安装杀毒软件服务器端程序，在用户终端安装客户端杀毒软件，实现以防病毒服务器为核心，对客户端杀毒软件的统一管理，部署安全策略等。实现病毒库的定时更新和定时对全网内计算机设备进行扫描和查杀，达到全系统、全网络防毒的目的。

2）防火墙技术。防火墙是企业局域网到外网互联的唯一出口，通过网络防火墙，可以全面监视外网对内部网络的访问活动，并进行详细的记录，确保内网核心数据的安全性。通过对访问策略控制，关闭与工作无关的端口，拒绝一切未经许可的服务。所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。

3）入侵检测技术。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

4）桌面管理系统。桌面管理系统方便信息安全管理员管理企业内部计算机的信息安全软件。利用桌面管理系统，可以收集计算机台账信息与IP占用情况、分发漏洞补丁、实现对移动存储管理，自动阻断非法外联、对弱口令账户进行扫描、对客户端进行控制，强制性阻断其联网功能或进行远程维护等功能。

5）虚拟局域网（VLAN）技术。基于ATM和以太网交换技术发展起来的VLAN技术，把传统的基于广播的局域网技术发展为面向连接的技术，从而赋予了网管系统限制虚拟网外的网络节点与网内的通信，防止了基于网络的监听入侵。

（二）管理手段实现

做好网络信息安全工作，除了采用上述的技术手段外，还必须建立安全管理机制。良好的管理有助于增强网络信息的安全性，只有切实提高网络意识，建立完善的管理制度，才能保证网络信息的整体安全性。

1）通过全员培训，提升员工信息安全水平。信息管理人员除了要制止员工的不安全操作，也应该告知员工要如何做。让员工明白使用弱口令、不安全账户、随意共享等对企业信息安全的危害，教育员工正确使用终端设备、重要备份数据、利用压缩软件加密等操作，从源头入手，堵塞信息安全漏洞。

2）通过应急演练，提升面对信息安全事故的反应能力。突发事件应急演练是为了提高应对突发事件的综合水平和应急处置能力，以防范信息系统风险为目的，建立统一指挥、协调有序的应急管理机制和相关协调机制，以落实和完善应急预案为基础，全面加强信息系统应急管理工作，并制定有效的问责制度。坚持以预防为主，建立和完善信息系统突发事件风险防范体系，对可能导致突发事件的风险进行有效地识别、分析和控制，减少重大突发事件发生的可能性，加强应急处置队伍建设，提供充分的资源保障，确保突发事件发生时反应快速、报告及时、措施得力操作准确，降低事件可能造成的损失。

3）通过管理制度，提升信息安全管理水平。信息安全需要制度化、规范化。把信息安全管理真正纳入公司安全生产管理体系，并能够得到有效运作，就必须使这项工作制度化、规范化。要制定出相应的管理制度。如建立用户权限管理制度、口令保密制度、网络与信息安全管理制度、上网行为规范制度等一系列的安全管理制度和规定，并强化考核力度，确保严格执行。

第6篇：企业信息安全方案范文

一、电力企业信息网络面临的威胁

1、人为的无意失误现阶段，计算机使用用户的数量在不断的增加，但是计算机网络用户的安全意识是较为缺乏的，将自己的网络账号随意的与别人共享，加之网络的口令较为简单，操作人员的安全配置不当的问题也广泛的存在，这些因素的存在就容易导致网络出现安全漏洞。但是不是人为的故意行为引起这些因素的发生，而是在无意状态下造成的失误行为。

2、人为的恶意攻击电力企业的计算机网络的安全防护技术尽管已经很完善了，但道高一尺，魔高一道。威胁电力企业信息网络安全的因素还是广泛的存在，人为的恶意攻击是计算机网络安全的最大威胁，人为恶意攻击的存在的两种不同形式，包括主动攻击和被动攻击。主动攻击是指采取各种的手段破坏电力企业信息网络的安全，影响信息的完整性和有效性。被动攻击是对计算机网络信息的截获、窃取和破译是在不影响计算机运行的情况下，这个过程中机密信息的泄露是被动攻击形式。计算机网络信息的安全在主动攻击或被动攻击的攻击下都会对网络信息的安全造成一定的威胁，影响了计算机网络的安全性。

3、网络软件的漏洞和“后门”网络软件在设计时，通常会设置“后门”来方便编程人员的维护工作的开展，但是由于“后门”的设置，网络软件出现缺陷和漏洞的概率就会大大的增加了，黑客攻击的目标就会转移到有缺陷和有漏洞的网络软件上。尽管外人是不知道这些“后门”的存在，但是黑客和病毒会通过各种手段来发现这些“后门”的存在了，然后通过“后门”攻击网络软件，造成用户的网络信息被盗取，不利于网络技术的安全建设。

二、电力企业信息网络安放的加密技术和安全策略

1、网络信息的加密技术加密网络信息的处理，能够有效的保护网络数据、信息和文件的安全，网上数据传输的安全性也能够得到保证。现阶段网络机密的方法有很多，但是常用的就有三种，包括链路加密、节点加密和端点加密，通过应用这三种网络加密技术，源端到目的端、对源节点到目的节点之间的用户数据信息的安全保护得到了实现，网络节点之间链路信息的安全性也得到有效的保证。在常规的密码中，发信方和收信方的加密密钥和解密密钥是一模一样的，其保密性较强，在长期的使用过程中，对于人为的检验和攻击都得到了很好的承受，但对密钥的管理工作也需要加强，保证信息数据传送的途径是安全的，这是一个重要的因素来确保网络安全。防止非授权用户的窃听和入网的有效形式是网络密码技术的使用，还能够很好的防护恶意软件的攻击，能够有效的确保网络安全。

2、电力企业信息网络的访问控制策略网络安全防范和保护的主要策略是控制访问，保证网络资源不张永平被非法使用和非法访问是它的主要任务。网络系统安全维护的和网络资源的保护的主要手段也是控制访问策略的制定。

三、加强电力企业信息网络安全的措施

1、控制入网访问为网络访问提供第一层的保护控制就是入网访问控制的实行，具体的做法就是识别和验证用户的姓名和用户口令，网络信息安全保护控制的措施还有用户的缺省限制检查。控制入网访问中，用账户的建立是由系统的管理员来完成的，管理人员控制和限制普通用户的账号和登录服务器获取网络资源的同时能够掌握用户的的入网时间和在哪台机器入网的，进而网络信息资源的安全性就有所保障了。

2、网络的权限控制采取安全保护措施来处理网络非法操作就是网络的权限控制，哪些网络信息、文件和目录子目录可以被用户和用户组可以访问都是受到一定的限制。用户对这些资源信息、文件和目录的操作范围被制定。用户的划分归类可以根据访问权限，特殊用户和一般用户。由系统管理员根据用户的实际需要来分配是用户的操作权限。由审计用户来实现网络的安全控制和资源使用状况的审计。通过访问控制表的描述来实现用户对网络资源的访问权限。

3、目录级安全的控制用户对目录、文件和设备的访问，网络应该允许控制。用户对所有文件和子目录的有效是在目录一级指定的权限，对目录下的子目录和文件的权限，用户也可以进一步指定。共有八种控制访问目录和文件的权限，包括系统管理员权限、创建权限、写权限、文件查找权限、存取控制权限、读权限、修改权限和删除权限。指定用户进行适当的网络访问权限是又网络系统管理员的主要工作内容，用户对服务器访问的控制也是由访问权限的设置来实现。

4、网络监测和锁定的控制实施对网络的监控要由专门的网络管理员来实现，用户对网络资源的访问通过服务器也记录下来，服务器应该通过文字或声音报警的形式来提示用户所访问的网络是非法的，网络管理员的注意力就是被引起。网络服务器的自动记录装置能够记录用户的网络范文次数，不法之徒进入网络的次数也会不记录下来，在他们尝试进入网络系统的次数超过规定的数值之后，不法之徒的账户就会自动锁定。

5、控制防火墙网络防火墙的存在是网络安全的一层安全屏障保证，能够有效的阻止网络中黑客的访问和攻击，网络通信监控系统是通过防火墙来建立的，有利于隔离网络系统的内部和外部，对外部系统的入侵进行有效阻止。

四、结语

第7篇：企业信息安全方案范文

关键词：企业网站搭建；浅析；信息安全防范策略

企业在进行网站搭建的过程中，信息安全这一环节特别需要重视，因为企业的信息门户在一般情况下是比较容易受到攻击和影响的，一旦发生信息安全问题，企业也一定会受到很大的损失。目前，由于网络问题造成的安全事故也时有发生，企业的安全防范工作也显得格外重要。因此，做好企业网站的安全防护，才能够发挥出网站和网络的积极作用，真正的为企业服务。

一、企业网站内部安全风险以及防护

硬件安全防护和其所面临的风险，是一个常见的安全问题，针对这系列问题，要从门禁控制技术方面去着手，维护供电系统的稳定方面去着手，同时也应该要有相对完备的防范灾害措施，像防水火、防雷电等。然后还可以运用自动报警设备以及防盗视频监控设备去进行风险的防控。然后是系统软件以及业务系统安全。对于这些问题，要针对企业网站中业务系统存在的一些漏洞，采取积极的措施进行修补。相对完善的规章制度可以有效的避免一些内部的安全风险，具体的工作过程中，不要去随意下载和安装一些来路不明的应用软件或是安全监测软件还有扫描软件等等，否则会使得企业内部面临一些安全操作风险。因此，要对企业内部的网络结构进行合理的规划，企业的内部网络和外部网络应该是处于隔离状态的，企业应用的软件，应该是统一安装下载的，并且是集中管理，病毒库升级也是比较及时的。除了对上述一些安全风险进行防护，还应该做好入侵检测系统的部署，该系统能够对网络传输做好及时的监视，能够及时的发现一些可疑的传输问题，并且在发现这些问题的时候，能够及时的做出反应，采取相应措施，能够针对有问题的网络安全设备发出警报，做出预警。还可以对企业网络存在或是已经发生的安全事件，进行事后的举证或是追查，在不影响网络原有性能的前提下，去做好网络监测，并且能够对一些攻击行为进行主动的监测。除此之外，还能够对一些外部的入侵和内部的攻击行为实施一些保护措施，和防火墙起到类似的作用，促进企业的网站能够更好的运行下去。

二、网页服务器的安全

网页服务器要及时的进行更新，软件也应该及时的安装补丁，服务器和文件传输、邮件等服务器是分离的状态的，要对web服务器开放的账户进行限制，登录口令的长度还有其强制性应该进行定期的更改，避免web服务器安装在控制域上。然后默认的web服务器站点要停止，对一些有示例性的应用程序要及时停止应用并且进行删除，并且服务器上一些不必要的服务，也应该及时的停止。服务器上的日志文件要定期的进行的查看和分析，对于其中一些可能存在安全隐患的文件进行研读，服务器文件的读写权，也应该是提前设置好的，web服务器与数据库服务器应该是一个分离的状态。其中，一些不必要的共享文件，要及时做好处理。正确运用杀毒软件和防火墙，保护服务器系统的安全。

三、数据库的安全防范

企业网站的数据库面临着多重隐患，其中一个隐患可能就是数据库被盗，一定要根据这一隐患，采取积极措施。因为其中的的一些数据很有可能涉及很多企业的内部信息，一旦被别有用心的人窃取之后，极有可能会造成企业多个方面的损失。因此，企业应该重视网站搭建的安全性，数据库的存放路径要尽可能的复杂，文件名也应该趋向于复杂。数据库的机构安全问题也是一个非常重要的问题，数据库的结构安全包括数据表的命名和字段名的命名，若是命名过于简单的话，则非常容易被黑客运用各种反复试盗取，因此。数据表还有字段名的命名。也应该遵循登录密码的命名规则，进一步的复杂化，防止攻击行为的产生。还有数据库连接字符串，这也是一个重要的安全问题。其中明文密码安全以及数据连接文件名的安全问题是重点。明文密码安全指的是数据库连接字符串中不直接的出现明文密码，一般可以运用非对称加密算法，依靠数据源的连接方式，去建立和数据库的连接；数据源名称要避免用一些常见形式作为名称或是扩展名，要防止数据库连接或是被黑客下载窃取。

四、网站源程序的安全防范

网站源程序的代码编写如果存在不完善的情况，就可能会导致网站的后台管理出现问题，还有可能导致数据库的一些重要安全信息出现泄漏，若是出现这样的情况，企业的信息安全必定也会面临着严重的威胁、恶意代码上传漏洞、后门和调试漏洞等等。首先是网页代码可能出现的问题，网页代码出现的问题可能是身份验证漏洞，避免出现这一问题可以在编写后台管理程序代码的过程中，不断的完善管理页面，无论哪一个管理页面，都应该进行身份验证，避免非法入侵。然后是恶意代码上传漏洞，针对这一问题，在编写代码的时候要对提交上来的数据信息进行及时的校验，校验的过程中，要及时的屏蔽一些其他的可执行代码，以防网站的登录信息出现泄漏。最后，网站程序途中，调试用的后门要及时去除，并且及时关闭一些不必要的端口。后台管理入口的安全问题是一个非常关键的安全问题，也是很多的程序设计者非常关注的问题。网站后台程序的入口程序文件若是以一些简单的常见形式存在，那么就会为黑客的入侵提供可乘之机；其次，网站后台管理入口和网站首页相连接这一连接方式也是不正确的，为了改善这一现状，要不断的改变网站后台的管理路径，使其变得更加复杂，避免在网站首页暴露出后台管理入口。管理员设置的管理口令复杂与否，也能够影响企业网站的安全。设置一串简单的数字非常容易被他人猜中。还有一些网站的开发人员对于管理员密码以及明文存放或是只进行简单的加密，这样的做法也是不正确的。针对这些问题，要做的就是坚决杜绝简单的口令，并且采用特殊的字符去作为登录密码，限制密码的位数，最后，还要对用户密码进行加密计算，增强其非对称和不可逆性，同时限制错误登录次数。做好网站建设以及网络安全防护，不仅仅要重视防范，还要做好管理工作，这是企业信息安全建设中的重要问题。还应该实施网站状态的可视化策略，做好网站的安全建设，应该做好网站监控、管理、防范等方面的工作，同时也应该有所体现。另外，还要从全局的角度去思考和看待安全问题，及时并且正确的去处理一些安全问题，实时进行网络使用的检测以及设备使用要求。为了更好的保证网站业务状态的可视化，对于网站的业务还应该统一进行响应和处理。

第8篇：企业信息安全方案范文

随着数据泄露及篡改事件愈演愈烈，每一次的数据泄露事件所造成的危害，都是深刻的教训。而作为信息系统建设方及维护方，时刻都在巩固自己业务系统，防止数据被泄露或者被篡改，一旦数据泄露及篡改发生，损失的不仅仅是财务，甚至危及生命。近日刚发生的山东女生电信诈骗案，就让所有人再次认识到数据信息泄露的严重性。

信息安全经过多年发展，安全防护层层加码，但是层层防护背后数据却依然不断的泄露。目前，数据泄露及被篡改事件更趋复杂，更趋隐蔽，传统的安全防护手段对当前复杂的数据共享已日渐无效。更为重要的是数据库作为信息系统的心脏，对应的防护力度及手段过弱，目前大部分的防护明显侧重于应用层和出口防护，而数据库安全防护是个系统工程，传统的安全防护不仅不能少，且必须继续加固。与此同时，每个防o单元必须迈向系统化、自动化、智能化。整体的防护只能依靠大数据挖掘、人工智能去解决。

明御数据库防火墙也正是在这种背景和客户迫切的需求下诞生的安全防护产品。DBFW是结合目前数据库安全行业防护现状推出的一款以数据库访问控制为基础，以攻击防护和敏感数据保护为核心的专业级数据库安全防护设备。并且融合了安恒信息近十年数据库安全防护经验积累，可以对数据库服务器从系统层面、网络层面、数据库层面实现“三维一体”的立体安全防护。

明御数据库防火墙主要功能包含：据库内部合规访问控制、数据库漏洞检测、虚拟补丁防护、数据库敏感数据泄露被篡改检测防护、SQL注入检测防护、拖库防护、撞库防护和数据库0day漏洞探测等功能，支持透明串联和反向两种部署模式。主要支持：Oracle、SQLserver、Mysql、DB2、Sybase、Informix等主流及国产数据库的安全监测和防护。

第9篇：企业信息安全方案范文

关键词：电力信息系统：安全防范；措施

中图分类号：F407.61 文献标识码：A 文章编号：

前言

随着近年来自然灾害的发生，在我国极大地破坏了国家电网公司的属下电网，造成多个地方发生大面积停电事故。电力信息系统如不能正常工作(如技术故障、遭受人为破坏、遇到自然灾害等)，也将危及电网的安全运行。研究电力信息安全问题，开发相应的应用系统，设计出系统的安全防护方案，制定电力信息系统遭受外部攻击时的防范措施以及系统恢复措施等，进行信息安全应急预案是非常重要的。

1 电力信息安全存在的问题

国家电网已经构建了一个较完善的电力信息系统，并初步建立了电力信息系统的安全体系，实现了电力信息网络和电力运行实时控制网络的隔离，在网络间设置了防火墙，购买了网络防病毒软件，设有数据备份设备。但仍有很多单位没有网络防火墙，没有数据备份的观念，更没有对网络安全做统一长远的规划，信息网络中尚存在许多风险和问题。

(1)对计算机及信息网络的安全意识亟待提高。近年来计算机信息安全策略和技术取得了非常大的进展，但在电力系统各种计算机应用中，对信息安全的认识跟实际需要差距较大，对新出现的信息安全问题认识不足。

(2)缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视，但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

(3)缺乏与电力行业特点相适应的计算机信息安全体系。近年来，计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是，在计算机安全策略、安全技术、安全措施、安全体系建设方面投入相对较少。

(4)计算机网络化必须面对外部的安全攻击。电力系统较早的计算机系统一般都是内部的局域网，并没有同外界连接。所以，早期的计算机安全只是防止意外破坏或者确保内部人员的安全控制。在连成广域网后，就必须要面对国际互联网上各种安全攻击，如网络病毒和电脑“黑客”等。

(5)脆弱的身份认证。电力行业中计算机应用系统基本上基于商用软硬件系统设计和开发，用户身份认证基本上采用基于口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中。如今，这种脆弱的安全控制措施已不能再用了。

(6)没有完善的数据备份措施。目前，很多单位仅选择一台工作站备份一下数据，没有完善的数据备份设备，没有数据备份策略，没有数据备份的管理制度，没有对数据备份介质的妥善保管。

2 电力信息安全的防护措施

鉴于电力信息安全的重要性，国家电网公司及其属下各单位应制定一系列相关的防护措施，以保证电力信息系统的安全。

2．1建立电力信息安全体系的防护框架

应结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况，建立电力信息安全体系的防护框架(见图1)按照信息业务功能，电力信息系统可以划分为3层：第一层为自动化系统；第二层为生产管理系统；第三层为电力信息管理系统。针对电力信息业务的这种层次结构，电力信息安全体系的防护框架采用分层、分区进行防护。①进行分层管理，按照电力信息业务的3层功能，层间使用隔离装置实施网络间隔离。② 进行分区管理，将电力信息业务的3层功能与电力信息网结构对应起来，具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区4个区。各区之间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。

2．2采用各种安全防护技术措施

(1)信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术，如RAS算法)。

(2)信息确认和网络控制技术。当前，成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙技术，这些技术都是基于计算机网络开展的，涉及业务信息安全的主要技术，应根据电力企业业务系统的性质、任务，制定最优控制策略。

(3)计算机网络防病毒技术。计算机病毒已经向网络化、多态化、灾难化发展，应在省公司及区域电网建立计算机防病毒网络中心，实施网络化管理。

(4)防“黑客”攻击技术。“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按照计算机应用环境及业务重要程度，制定相应的防“黑客”攻击措施，重点是要检测系统信息安全漏洞予以及时解决。对特别重要的系统(如电力实时运行控制系统)应采用物理隔离措施。

(5)数据备份与灾难恢复技术。采用多种备份措施，按重要程度确定数据备份等级，配置数据备份措施，建立省级和区域数据备份中心，采用先进灾难恢复技术，保证信息系统可靠性和数据完备性。

2．3加强各种安全防护管理措施

(1)人员管理。要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网络机密泄露，尤其要防范人员调离时的网络机密泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度，杜绝误修改和非法修改。

(2)密码管理。对各类密码要妥善管理，杜绝默认密码、出厂密码、无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。

(3)技术管理。主要是指各种网络设备、网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据管理。数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

(5)安全管理。建立电力系统信息安全各种标准、规范与制度。在安全组织，运行操作管理、场地与设施管理、操作系统与数据库、应用系统等方面进行安全管理。

2．4 建立完备的电力信息系统监控中心

为保证电力系统信息安全，建立一个综合、统一的信息安全监控中心是十分必要的。该监控中心设在各级信息网管中心，将各项信息安全应用技术有机进行整合，无论出现什么可能影响信息安全问题，均可尽快解决。对可能出现的异常或故障，按监视系统所提供信息，及时提出预防措施，消除可能发生问题的条件，防止发生系统异常或故障。

2．5 制订必要的应急措施

可根据国内外发生过的网络信息安全的案例，结合国家电网信息系统当前运行状态和可能存在的问题，设计安全应急措施，部署安全应对机制，奠定紧急控制的基础。一旦发生电力信息安全事件，可根据预防控制设定的安全应急措施，立即启动相应的安全机制，减小安全事件的波及范围，避免造成更大的损失。国家电网的黑启动方案就是一个很好的例子。

3 结束语

电力信息安全是电力系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息的不安全，会造成电力系统的生产经营和管理巨大的损失。各电力企业应积极吸收国外信息安全领域的丰富经验和先进技术，结合各自电网的特点，建立完善的电力信息安全防护体系和监控中心，研究出相应的安全策略，制定相关的技术措施和管理措施，确保电力信息系统以及电力系统安全、可靠、稳定、高效的运行。

参考文献：

[1] 牛慧斌，李骏仁．企业内部网络信息安全与防御对策分析[J]．网络通信与安全，2007(2)：338―339．