企业内网信息安全精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业内网信息安全主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业内网信息安全范文

【关键词】企业网络；信息安全；内部威胁；对策

1企业网络信息安全的内部威胁的分析

1.1随意更改IP地址

企业网络使用者对于计算机IP地址的更改是常见的信息安全问题，一方面更改IP地址后，可能与其他计算机产生地址冲突，造成他人无法正常使用的问题，另一方面更改IP的行为将使监控系统无法对计算机的网络使用进行追溯，不能准确掌握设备运行状况，出现异常运行等问题难以进行核查。

1.2私自连接互联网

企业内部人员通过拨号或宽带连接的形式，将计算机接入互联网私自浏览网络信息，使企业内部网络与外界网络环境的隔离状态被打破，原有设置的防火墙等病毒防护体系不能有效发挥作用，部分木马、病毒将以接入外网的计算机为跳板，进而侵入企业网络内部的其他计算机。

1.3随意接入移动存储设备

移动硬盘、U盘等移动存储设备的接入是当前企业内部网络信息安全的最大隐患，部分企业内部人员接入的移动存储设备已经感染了病毒，而插入计算机的时候又未能进行有效的病毒查杀，这使得病毒直接侵入企业计算机，形成企业信息数据的内外网间接地交换，造成机密数据的泄漏。

1.4不良软件的安装

部分企业尽管投入了大量资金在内部网络建设与信息安全保护体系构建之中，但受版权意识不足、软件购置资金较少等原因的限制，一些企业在计算机上安装的是盗版、山寨软件，这些软件一方面不能保证计算机的正常使用需求，对企业内部网络的运行造成一定影响，同时这些软件还可能预装了部分插件，用于获取企业内部资料信息，这都对内网计算机形成了一定的威胁。

1.5人为泄密或窃取内网数据资料

受管理制度不完善、监控力度不完善等因素的影响，一些内部人员在企业内部网络中获取了这些数据信息，通过携带的移动存储设备进行下载保存，或者连接到外网进行散播，这是极为严重的企业网络信息安全的内部威胁问题。

2企业网络信息安全的内部威胁成因分析

2.1企业网络信息安全技术方面

我国计算机与网络科学技术的研究相对滞后，在计算机安全防护系统和软件方面的开发仍然无法满足企业的实际需求，缺少适合网络内部和桌面电脑的信息安全产品，这使得当前企业网络内部监控与防护工作存在这漏洞，使企业管理人员不能有效应对外部入侵，同时不能对企业内部人员的操作行为进行监控管理。

2.2企业网络信息安全管理方面

在企业中，内部员工对于信息安全缺乏准确的认知，计算机和内部网络的使用较为随意，这给企业网络安全带来了极大的隐患。同时，企业信息管理部门不能从自身实际情况出发，完善内部数据资料管理体系，在内部网络使用上没有相应的用户认证以及权限管理，信息资料也没有进行密级划定，任何人都能随意浏览敏感信息。另外，当前企业网络信息安全的内部威胁大多产生于内部员工，企业忽视了对员工的信息安全管理，部分离职员工仍能够登录内部网络，这使得内部网络存在着极大的泄密风险。

3企业网络信息安全的内部威胁解决对策

3.1管控企业内部用户网络操作行为

对企业内部用户网络操作行为的管控是避免出现内部威胁的重要方法，该方法能够有效避免企业网络资源非法使用的风险。企业网络管理部门可在内部计算机上安装桌面监控软件，为企业网络信息安全管理构筑首层访问控制，从而实现既定用户在既定时间内通过既定计算机访问既定数据资源的控制。企业应对内部用户或用户组进行权限管理，将内部信息数据进行密级划分，将不同用户或用户组能够访问的文件和可以执行的操作进行限定。同时，在用户登录过程中应使用密码策略，提高密码复杂性，设置口令锁定服务器控制台，杜绝密码被非法修改的风险。

3.2提高企业网络安全技术水平

首先管理部门应为企业网络构建防火墙，对计算机网络进程实施跟踪，从而判断访问网络进程的合法性，对非法访问进行拦截。同时，将企业网络IP地址与计算机MAC地址绑定，避免IP地址更改带来的网络冲，同时对各计算机的网络行为进行有效追踪，提高病毒传播与泄密问题的追溯效率。另外，可通过计算机属性安全控制的方式，降低用户对目录和文件的误删除和修改风险。最后，应对企业网络连接的计算机进行彻底的病毒查杀，杜绝病毒的内部蔓延。

3.3建立信息安全内部威胁管理制度

企业网络信息安全管理工作的重点之一，就是制定科学而完善的信息安全管理制度，并将执行措施落到实处。其中，针对部分企业人员将内部机密资料带离企业的行为，在情况合理的条件下，应进行规范化的登记记录。针对企业网络文件保存，应制定规律的备份周期，将数据信息进行汇总复制加以储存。针对离职员工，应禁止其带走任何企业文件资料，同时对其内部网络登录账号进行注销，防止离职员工再次登入内部网络。

3.4强化企业人员网络安全培训

加强安全知识培训，使每位计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。加大对计算机信息系统的安全管理，防范计算机信息系统泄密事件的发生。加强网络知识培训，通过培训，掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。

4结语

综上所述，信息安全是当前企业网络应用和管理工作的要点之一，企业应严格管控企业内部用户网络操作行为，提高企业网络安全技术水平，建立信息安全内部威胁管理制度，强化企业人员网络安全培训，进而对企业网络信息安全内部威胁进行全面控制，从而提高敏感信息与机密资料的安全性。

参考文献

[1]张连予.企业级信息网络安全的设计与实现[D].吉林大学,2012.

第2篇：企业内网信息安全范文

关键词 提升；企业；信息安全；物理隔离；桌面终端管理系统

中图分类号TP39 文献标识码A 文章编号 1674-6708（2014）118-00235-02

近年来，随着国内企业对信息安全的愈发重视和对信息安全方面的投入与建设，企业的信息安全水平基本都已达到了一定的高度，特别是所谓的信息安全“老三样”――防火墙、入侵检测系统、防病毒软件的普及，在一定阶段内对企业网络基础构架的信息安全防护方面起到了至关重要的作用。然而，随着时代的发展，以及信息安全形势的日趋严峻，在信息安全方面原地踏步、“以不变应万变”的策略显然会让企业在信息安全防护方面显得力不从心、捉襟见肘。对大量企业来说，亟需在原先的基础上，采取必要的措施和策略，进一步提升企业的信息安全水平。下面笔者就从企业的网络安全和终端安全角度入手，分析企业实施内外网物理隔离和部署桌面终端管理系统对提升信息安全水平的作用，探讨企业在进一步提升信息安全水平方面的可以借鉴或采取的措施。

1 实施内外网物理隔离

所谓“内外网物理隔离”，是指企业自己的内部办公网络（以下简称“内网”），与互联网（以下简称“外网”）在物理链路上不进行任何形式的连接，内外网以两个各自独立的网络运行。

对于绝大多数企业来说，目前网络安全的最大威胁均来自互联网。互联网上泛滥且种类层出不穷的病毒、木马、攻击、渗透等各种威胁，无不让各个企业疲于应付。而且，目前信息安全软硬件产品的主要防御检测手段，很大程度上依赖于必须不断升级的病毒库、攻击特征码、补丁等，这种模式从先天上就决定了各种防御检测手段上永远落后于各种威胁的产生。因此，信息安全设备在防御来自互联网的最新威胁方面，总是处于被动的局面，自然也就很难达到非常理想的效果。

而进行内外网物理隔离，则是从根源上斩断了来自互联网的各种威胁。由于内外网相互独立，不存在任何连接，自然也不可能存在有任何互联网方面的威胁，这就从非常大的程度上保障了企业内部系统、数据和网络的稳定性和安全性。

2 部署桌面终端管理系统

桌面终端计算机的日常管理，是企业另一大难题。由于企业内部员工的信息安全意识和计算机水平参差不齐，仅仅靠一些规章制度的约束和员工的自觉性不但难达到很好的效果，而且很难进行监管，难以及时发现安全隐患或问题，无法在第一时间进行处理。而在桌面终端统一部署桌面终端管理系统（以下简称“桌管系统”），可以非常好地解决桌面终端管理与监控的难题。目前市面上优秀的桌管系统产品比较多，已经比较成熟，而实现的功能大同小异，对于进一步提升企业信息安全水平而言，主要在以下几个方面：

1）监控内网计算机违规连接外网

上文提到的网络实施了内外网物理隔离，内网计算机就无法访问互联网，而如果有不自觉的员工私自将内网计算机连接互联网，将可能导致敏感数据外泄和引入病毒木马等，带来较大的安全隐患，要如何杜绝和监控此类现象呢？目前的桌管系统产品提供了非常好的监控和管理手段，可以实时监测安装了桌管系统的计算机是否连接了外网，一旦监测到连接了外网，会自动将计算机网卡禁用，实现断网的效果，且无法自行启用网卡。而用户一旦又将连接过外网的计算机接回内网，就会将相关报警消息上传至服务器，提醒管理员进行处理。由于此类产品监测内网计算机违规连接外网的效率非常高，通常在一分钟不到甚至几秒钟之内就完成监测并断网，因此能收到非常好的效果。再结合企业制定的相关规章制度对员工进行考核，在运行一段时间后，一般较少出现员工抱着侥幸心理铤而走险进行此类尝试的情况，从很大程度大提升了网络的安全性。监控计算机用户弱口令

在一个未加以管理的计算机网络里，计算机用户弱口令甚至空口令的比例是非常之大的，毕竟便利性和安全性永远是互相矛盾的，单纯从方便的角度来说，用户都不想给自己用的计算机设置一个很长很难记忆的密码，这就又带来了一个较大的安全隐患。而一旦部署了桌管系统，可以启用计算机用户弱口令检测策略，只要是该计算机中没有被禁用的用户，都必须达到要求的密码强度，否则就会产生告警。比如可以统一制定并推送要求用户密码强度都要达到8位以上、有数字字母和特殊符号的组合，且计算机空闲若干分钟后屏保启用密码的策略。这样一来，就很大程度上解决企业内部计算机被他人盗用之类的安全问题。

2）监控内网计算机文件外拷

一般而言，企业重要、敏感的数据和文件都集中在企业内网，正常情况下，这些数据与文件只允许在企业内部网络流转，而一旦有人将这些数据拷贝走，传播到外网，自然就会带来泄密的风险。桌管系统对此类问题提供了多种的解决方案，比如可以对内网计算机进行监控，对每台计算机拷贝走的文件进行记录，甚至可以将文件副本上传至服务器存档备查；或者是默认禁用USB存储设备，只给少数必需的计算机开放权限，而这部分计算机上外拷的文件同样会有记录和备份；而更好的措施是对USB存储设备进行安全认证，未经认证的存储设备插入内网计算机将是只读属性，无法外带文件，只有经过安全认证的存储设备才可以对计算机上的文件数据进行拷贝，而这些经过认证的存储设备均登记有使用者姓名，插入时需输入密码才能打开，有较高的安全性。

第3篇：企业内网信息安全范文

1.1对网络环境的规范作用

随着计算机网络技术的广泛应用,网络己经成为我国国民生活的一部分,信息传播速度的不断提升和观念交流的及时有效逐渐的形成了对网络环境的威胁。网络环境是确保网络信息安全、健康的基础,只有确保网络环境的清洁,网民的信息安全才有所保障。推进内网信息安全保障体系的建设对网络环境有一定的规范作用。首先,内网信息安全保障体系是针对网络信息安全这项内容的,而该项内容是网络环境中极为重要的部分,网民之间的信息交流构成网络环境的基础。保障体系的建立能够有效地提高网络环境的清洁力度。其次,内网信息安全保障体系的建立有利于加强局域网络的稳定性,减少因网络故障导致的全网瘫痪。

1.2对用户信息安全的保障作用

网络用户的信息安全一直都是网络平台信息管理者需要关注的重点。随着网络用户数量的增加,网络安全问题逐渐凸显,部分网民私人信息泄露己经成为网络常态。建设内网信息安全保障体系对用户信息安全有着积极的意义。一方面,内网信息安全要求工作者将网络信息进行管理,并利用一定的网络技术保护网民的信息资料安全;另一方面,内网信息安全保障体系在建设过程中不断地完善自身的应用技术,对推动网络平台的稳定十分有利,从而能够确保用户的资料安全。

2内网安全风险分析

与外网的信息安全相比,内网的信息安全工作的开展具有—定的困难,网络黑客虽然不容易经由翻墙技术进入局域网盗窃信息或者进行破坏活动,但通过局域网内部人员的关系,内网信息安全就有极大的安全隐患。1内网安全保障技术的防护性能不''''强,不能很好地开展网络信息安全保障工作。内网使用人员在进行信息交流时,其网络信息的安全保障技术并没有较大的技术性,简单的黑客技术就能够将内网信息掌控到手。这是由多方面因素造成的。第一,内网技术维护人员并没有设定专门的安全保障技术,部分信息共享、使用等都只通过简单口令的保护,防护手段不到位,另外,一些研发阶段的技术也没有提供专业的安全防护,导致数据和资料丢失现象较常见。2内网工作人员的信息安全防护意识不强。内网的使用大部分都是统一范围内的单位员工或企业职员。这些人对内网各部分信息都十分熟悉,因此,从一定程度上讲,该网络内部的工作人员是威胁网络安全的重要部分。员工渠道的信息泄露包括员工有意进行的泄露和员工无意开展的行为。一方面,部分员工的职业素质不高,对所在企业的归属感不强,对企业重要资料的安全防护意识也就相对较弱,在被不法分子利用后,这部分员工极易成为网络信息安全的最大威胁。另一方面,相当一部分员工对企业的重要资料的重视程度较高,但其对安全保障措施的运用却不灵活,对技术保护不甚了解,因此,会出现无意的信息泄露,进而影响企业的资料安全。内部信息泄露手段主要有:资料的复制、电子邮件通信、办公电脑与私人电脑混用、文件共享等,这些途径不仅简单快捷,节约时间,同时还是技术难度较低的行为。

3推进内网信息安全保障体系建设

内网信息安全保障体系的建设需要工作人员结合其信息安全常出现的问题进行技术改进和工作落实。

3.1规范网络节点接入,减少信息安全隐患

我国目前的网络接入状态是,非内网成员可以通过一定的技术轻松访问内部网络,这一现象一方面是由于现代化的楼宇布线技术导致的,另一方面,科学技术的进步降低了内网接入的难度。非内网成员在进入内网后,对内网信息的安全形成威胁,部分核心数据面临着被盗用泄露的风险,因此,工作人员需要针对这一问题展开工作,及时的发现未知接入点的存在,并根据其性质进行隔离处理,减少信息泄露的可能。非法接入点的规范工作还包括对计算机IP地址的转变进行及时的记录和分析,当该IP的转换对局域网内部信息的安全造成威胁时,工作人员要对该网络进行阻断。病毒库的更新也是保障内网信息安全的要素之一。内网的组成是多台计算机的连接,这些计算机组中性能较差或者应用技术较落后的计算机往往是网络安全工作中的重点,黑客在侵入内网时多选择在这一端口进入。因此,企业需要及时的进行病毒库的更新,保障计算机的安全,降低黑客入侵的可行性。

3.2完善内网信息监控系统,确保信息安全使用

内网信息的安全不仅需要一定的技术支持,也需要有完善的内网监控系统的辅助。内网中各种先进科学技术的应用以及软件等的配合都为监控工作的进行提供了可能。运行软件、设备、网络拓扑等都能够积极参与到网络信息安全监控中来。工作人员需要针对不同的现象幵展相应的工作,如中断运行异常的软件,控制移动设备在办公主机上的运用,监控系统运行情况等。实时监控的进行是保障信息基本安全的有力措施,同时,企业需要对监控措施的管理工作进行人员安排,确保监控力度到位。

3.3结合安全保障技术和安全管理理念,维护内网信息安全

企业的内网信息安全离不开技术和管理理念的支持,只有这两者协作才能够确保企业内部工作的安全。1企业需要对内网的安全保障技术进行革新,及时的应用先进的科学技术,对计算机组进行定期维护和系统升级,确保其功能的稳定,减少系统漏洞的出现。积极鼓励技术人员学习新知识,完善自身的知识储备,研发出有自主知识产权的设备和系统,推动自身网络技术的发展。2企业需要进行规章制度的建立。①企业要制定出完善的符合社会发展要求的网络信息安全等级,为技术人员开展网络信息维护提供数据参照:②企业要对办公电脑和核心数据的使用人进行管理;③加强对内网各环节的管理,保障数据访问的设备安全。

4结束语

第4篇：企业内网信息安全范文

【关键词】信息安全；影响因素；安全措施

1、引言

随着计算机网络的出现和互联网飞速发展，烟草企业基于网络信息系统也在迅速增加，现已运行的信息系统有生产经营决策管理系统、网上交易系统、工商营销协同系统、烟叶生产经营管理系统、公文远程传输系统、专卖准运证管理系统、专卖证件统计报送系统、数字仓储系统、用友财务管理系统、MES、ERP等。基于网络信息系统给企业的经营管理带来高效和便捷，但随之而来网络安全问题也在困扰着终端用户。木马、蠕虫等病毒传播使企业信息安全状况进一步恶化，这对企业信息安全管理工作提出了更高的要求。

2、信息系统应用所带来的网络安全问题

在烟草企业信息化发展的今天，计算机网络得到了广泛应用。互联网的开放性以及其他因素导致了网络环境下的信息系统存在很多安全问题，这些安全隐患主要可以归结为以下几点：

2.1物理安全

计算机网络物理安全是指人为对网络的损害，最常见的是企业的外来施工人员由于对地下电缆走向不了解，容易造成光缆电缆被破坏，引起网络安全故障；另外计算机用户由于缺乏相关的硬件知识，人为地非正常操作电脑，容易引起网络不安全事件发生。

2.2访问控制安全

网络安全系统的最外层防线就是网络用户登录，但是随着企业内部计算机连接的日益广泛，内部访问与外部远程访问技术的日益开放，计算机用户的访问控制安全越来越薄弱，容易造成计算机用户重要资料泄露等安全事故。

2.3数据传输安全

对于缺少安全防患的计算机用户来说，在实现计算机数据交互的过程中，数据保密是很容易被侵犯的。特别是随着黑客攻击手段的不断更新、升级，计算机用户的数据传输安全面临着极大地威胁。

2.4病毒隐患

只要有程序，就有可能存在补丁，甚至安全工具和系统工具本身也可能存在安全的漏洞。几乎每天都有新的病毒被发现，甚至有不法者恶意传播病毒，导致病毒与杀毒大战不断升级，计算机病毒成为网络安全的一个长久隐患。

2.5移动存储介质的风险

U盘、移动硬盘等移动存储介质使用非常普遍，大量企业秘密信息通过移动介质存储传播。移动介质不受控，管理难度大，形成泄密隐患；另一方面外来人员带来移动存储介质接入企业内网不受限制，存在着恶意复制企业信息或将计算机病毒、间谍软件等恶意程序传入内网的安全风险。

3、信息安全防御体系设计原则

重视信息安全工作。技术先进、管理高效、安全可靠的信息安全防御体系是信息系统运维的一个重要防御。安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则，在各级信息中心指导下，对企业信息安全工作进行系统部署和推进，避免重复投入、重复建设，充分考虑整体和局部的利益。

3.1标准化原则

构建信息安全防御体系要按照国家法规、标准、烟草行业标准及规定执行，使安全技术体系建设达到标准化、规范化的要求，为拓展、升级和集中统一管理打好基础。

3.2系统化原则

信息安全防御体系是一个复杂的系统工程，从信息系统各层次、安全防范各阶段全面地进行设计，既注重技术实现，又要加大管理力度，以形成系统化解决方案。

3.3规避风险原则

信息安全防御体系建设涉及网络、系统、应用等方方面面，任何改造，都可能影响现有网络畅通或者在用系统连续、稳定运行，这是安全技术体系建设必须面对的最大风险。在规划设计与应用系统衔接的基础时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

3.4保护投资原则

由于信息安全理论与技术发展的历史原因和企业自身的资金能力，分期、分批建设一些整体的或区域的安全技术系统。保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

3.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可以保护其信息安全。

4、构建信息安全防御体系

4.1做好信息系统风险评估

贯彻落实《烟草行业信息安全防御体系建设指南》，构建“组织机制、规章制度、技术架构”三位一体的信息安全防御体系，必须做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

俗话说：三分技术，七分管理。信息安全设备是网络安全建设的防护基础，网络安全管理将使得网络安全产品能真正发挥作用。烟草企业首先要构建以信息管理部门专业技术人员为核心，以各部门系统管理员、系统操作员为辅助的三级管理运维体系。将信息安全技术和管理二者有机地结合起来，消除网络技术壁垒。其次优化企业局域网资源，实现网络设备的全网监控管理，进一步提升网络统一性及网络安全管理水平。

4.2采取各种安全技术，实现不同安全防护策略

企业信息系统应采用各种安全技术，构筑信息安全防御体系。采用的主要安全技术有：

（1） 防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。

（2） VLAN及ACL技术：企业内网的各类交换机上配置VLAN，实现对交换机设备管理、交换机设备间三层互联管理、各类应用业务的业务VLAN管理和相互间访问控制。

（3） VPN：虚拟专用网（VPN）是企业内网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，为厂家远程维护企业信息系统提供网络连接服务。

（4）网络加密技术（Ipsec） ：采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。

（5）端点准入访问控制：采用H3C的EAD端点准入访问控制系统，它是基于用户名和密码身份与接入主机的MAC地址、IP地址、所在VLAN、接入交换机IP、交换机端口号等信息进行绑定认证，增强身份认证的安全性，确保只有合法用户和客户端设备才可访问企业局域网。防止人为私改IP地址，造成IP地址冲突现象的发生。

（6） 企业级的防病毒系统：采用企业级的网络防病毒服务器，安装正版杀毒软件，对病毒实现全面的防护。同时采用漏洞扫描技术，对内网中主机及时更新漏洞补丁，保证信息系统尽量在最优的状况下运行。

（7）网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。

（8）CA安全体系：采用国家局推荐CA认证产品，建立行业二级CA认证体系。通过基于数字证书的身份认证、访问控制、权限管理等技术措施，实现高强度的身份认证和责任认定机制；保证数据的完整性和保密性，确保用户来源和行为的真实性和不可否认性。

（9）加强信息安全教育：信息系统运维、操作人员要认识到信息安全的重要性和必要性，加强信息安全理论、技能培训学习，纠正日常工作中不规范行为，防御系统安全、稳定运行。

（10）加强企业外来人员上网管理：严格管理企业外来人员上网行为，防止外来人员笔记本电脑、移动存储介质任意接入企业内网，恶意复制企业信息或将病毒、间谍软件等恶意程序传入内网的安全风险。

总之，只要将信息安全设备和信息技术人员二者紧密结合起来，发挥企业信息技术人员主观能动性，就能将网络隐患消灭在萌芽状态。

参考文献

[1]蔡立军，《计算机网络安全技术》，中国水利水电出版社，2002年6月，第1版

第5篇：企业内网信息安全范文

【关键词】 信息安全 违规外联 电力企业

一、前言

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行，从职能部室到一线班组，电力企业所有的业务数据都依赖网络进行流转，电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

一直以来，信息安全防御理念常局限于常规的网关级别（防火墙等）、网络边界（漏洞扫描、安全审计）等方面的防御，重要的安全设施大多集中于核心机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁已大大减少，尤其实行内外网隔离、双网双机后，来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛，管控难度大，加之现在无线上网卡、无线wifi和智能手机的兴起，内网计算机接入互联网的事件时有发生，一旦使用人员将内网计算机通过以上方式接入互联网，即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道，一旦遭遇黑客袭击，就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故，给企业信息安全带来重大的安全隐患和风险。

二、强化管理、落实责任，监培并进

1、将违规外联明确写入公司各项规章制度，并纳入经济责任考核。在《公司信息系统安全管理办法》中，对杜绝违规外联事件进行了明确的要求：所有内网计算机必须粘贴防止违规外联提示卡，严禁将接入过互联网未经处理的计算机接入内网，严禁在普通计算机上安装双网卡，严禁将智能设备（3G手机、无线网卡等）插入内网计算机USB端口，严禁在办公区通过路由器连接外网，杜绝违规外联行为。 一旦发生违规外联事件，依据《企业信息化工作评级实施细则》，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核，并在全公司通报批评。将信息安全责任落实到人。

2、加大违规外联宣贯和培训力度。信息安全工作，重在预防，将一切安全事件消灭在萌芽状态，才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工，尤其是新员工的信息安全教育培训工作，即重点培训各部门信息化管理人员，各级管理人员培训本部门技术人员，本部门技术人员培训一线员工。通过分层式培训，提高了培训效果，同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质，强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工，实现全员重视、全员掌握，做到内网计算机“离座就锁屏，下班就关机”的工作习惯。

3、加强外来工作人员管控。加强外来工作人员信息安全教育，并签订《第三方人员现场安全合同书》，严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控，防止因外来工作人员擅自操作造成违规外联事件。

二、加强技术管控，从源头杜绝安全事件的发生

2.1严格执行“双网双机”

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机，需向本人核实该计算机之前网络接入情况，对内外网络接入方式有变化、或者是不清楚的情况，需对计算机进行硬盘格式化并重装系统后方可接入网络。

2.2安装桌面终端，设置强口令，防止违规外联

实时监控全公司内网终端桌面终端系统安装率，确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略，一旦发生违规外联，系统立即采取断网措施，并对终端用户进行警示。要求全部内网计算机设置开机强口令（数字+字母+特殊符号，且大于8位），防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

2.3做好温馨提示，明确内外网设备，防止违规外联

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络，无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识，防止员工误接网络。

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

加强IP地址绑定，从交换机端口对接入内网的计算机进行IP、MAC地址绑定，确保除本计算机外，其余计算机无法通过该端口接入内网。

通过外网审计（网康科技）对外网IP和用户认证账户进行绑定，完善外网用户和计算机基础资料，做到全局外网终端和用户可控。

第6篇：企业内网信息安全范文

【关键词】 电力企业 信息安全 管理 问题 完善措施

1 前言

电力企业信息技术的发展起始于20世纪90年代，最早的计算机应用开始于财务管理、营销管理等办公业务，随着信息技术的不断深入发展，信息技术在电力企业的应用范围也日益扩大和深化，目前已经渗透入电力企业运营管理的全过程，信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天，企业对信息化的管理和关注重点也在不停的发生变化，一方面信息化成果已成为企业甚至社会的重要资源，在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜，信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理，就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。

2 我国电力企业信息安全管理存在的问题

2.1 电力企业普遍存在重技术、轻管理的问题

信息安全是“三分技术、七分管理”，但是现在许多电力企业任普遍存在重技术、轻管理的问题，甚至很多电力企业根本没有完善的安全管理制度，并且管理人员信息安全意识普遍不高，这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的，比如在实际工作中，有最好的技术，但是如果管理不到位，系统的运行、维护和开发等岗位分配不清，职责划分不明，存在一人身兼多职的现象，再先进的技术也不可能发挥其应有的效力，一样不具备竞争力、防御力。又如，企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格，极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞，使恶意份子有机可乘，同样影响网络信息安全。

2.2 电力企业对员工的信息安全意识宣传不到位

随着信息安全地位的不断攀升，电力企业对信息安全也越来越重视，但是，企业对于信息安全的培训力度仍显不够，电力企业员工信息安全意识仍非常低。如，一些电力员工在离开办公场所时，没有意识主动关闭电脑或锁定屏幕，因此容易造成企业数据的丢失及客户信息的泄漏。又如，一些员工为了贪图方便省事，直接将系统账号交给第三方人员进行操作，容易造成系统数据的错失遗漏，或者出现未授权的审批等等。再如，还有一些员工对于未确定安全性的文件防范意识不够，一旦点击打开后，就容易造成木马的植入或者病毒的扩散，从而造成数据的泄漏或丢失破坏。

2.3 电力企业信息安全技术不够完善

首先，在计算机的使用方面，有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定，要求内网与外网进行分开使用。但是，内外网混用情况仍十分严重，这就会给安全问题带来极大的隐患。其次，一些电力企业对移动介质的使用管理比较松散。如：一些企业的移动介质不需授权就能直接接入办公电脑中，容易让别有用心的人加以利用，从而拷贝了公司的内部资料，造成企业损失。又如，一些员工在未确保外来移动介质正常的情况下就接入内部网络，容易造成病毒的传入，从而影响内部网络的正常以及数据的安全。最后，部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本上采用口令的鉴别模式，而这种模式很容易被攻破。

3 完善电力企业信息安全管理的具体措施

3.1 完善电力企业安全风险的评估

电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑，技术是安全的主体，但是却不能成为安全的灵魂，而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析，评估应聘请专业权威的信息安全专家或者咨询机构，并组织企业内部信息人员和专业人员深度参与，全面进行信息安全风险评估，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的危害和影响，针对评估出来的风险制定详细的解决预防方案并认真实施，实施完成后还要定期对其进行评估和不断改进完善。其次，网络安全离不开各种安全技术的具体实施以及各种安全产品的部署，但是现在市面上安全技术及产品种类繁多，让人眼花缭乱，难以进行抉择，我们信息安全系统建设中心内容是安全和稳定，所以我们企业应尽量采用成熟的技术和产品，不能过分求全求新。最后，培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

3.2 不断完善电力企业信息安全管理制度

首先，构建良好的管理体制，在网络系统管理中，要做到管业务不管系统，管系统不管业务，如果二者混淆，就容易将所有权限落入一人之手，若该员工，同样造成网络信息安全的极大威胁。其次，数据安全管理制度，即确保数据存储介质（设备）的安全;定时进行数据备份，备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场，并由相关部门进行监督、记录。最后，准入管理制度。准入管理又称密码、权限管理，通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。

3.3 加强对电力企业全员信息安全的教育及培训，提升全员信息安全意识

对于企业信息安全工作的开展不是一个部门一个人的事，而是我们电力公司全体员工的事情，所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训，可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员，重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员，重点要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范，了解和掌握与其相关的信息安全策略，包括自身应该承担的安全职责等。另外，我们企业还可以采取一些考核奖罚措施，去激励和约束全员认真进行信息安全培训，认真落实信息安全操作，从而有效提高我们电力企业整体信息安全水平，提高信息安全意识，最终有效避免信息安全问题或失泄密事件的发生。

3.4 不断完善和提升电力企业信息安全技术

第一，对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法：将局域网与外网物理隔离，使局域网内的用户只能访问内网资源，外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵，避免企业及用户个人的重要信息与数据的失窃，进而可以控制可能由此造成的无法估计的损失。其次，对于移动介质，应加入认证管理，只有被预先授权的介质才能接入内网，对于数据的拷贝，只能通过加密形式处理。第三，数据与系统备份技术。供电企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。配置数据备份策略，建立数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。计算机病毒传播广，破坏力大，会严重影响电力企业网络系统的安全运行。因此，为了使电力企业免受病毒的侵害，作为网络管理人员应该建立从主机到服务器的完善的防病毒体系，建立健全的网络信息管理制定，以此来有效的提高电力企业网络信息的安全管理。最后，建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁，需建立有效的信息安全身份认证体系，实现网络危险过滤、终端准入、用户识别、上网授权等功能，最终实现企业内网用户终端安全性的提升，达成企业整网上网安全性的保障。

参考文献：

[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术，2011（4）.

[2]冯慧昌.信息安全管理现状与研究策略[J].科技风，2012（7）.

[3]姚军.中科网威助力工业网络信息安全[J].企业研究，2O12（12）.

[4]胡国胜，张迎春.信息安全基础[M].北京：电子工业出版社，2011.

[5]胡泉军，王以群，张延芝.企业信息安全管理中组织管理失误因素分析[J].工业工程，2009（2）.

第7篇：企业内网信息安全范文

摘要：随着企业信息化水平的不断提高，移动终端设备已经广泛应用在企业各业务层面，也带来了巨大的安全隐患，本文针对其安全隐患提出来防范措施，具有一定的借鉴意义。

关键词：移动终端设备；安全隐患；管控解决方案

0引言

随着企业信息化水平的不断提高，移动终端设备的广泛使用，极大地方便了数据的信息交换，但是如何管理移动设备和其使用之间的问题，由此涉及到的是信息安全、服务整合、互操作性和组织成本控制等一系列问题。一般来说,移动终端设备除了笔记本电脑外,包括掌上电脑、智能手机、USB设备和GPS设备等，因为其移动方便的特性,对数据的安全性提出了更高的要求。

1移动终端设备面临的安全隐患

现在笔记本电脑、智能手机、iPad、U盘等正在被越来越多地使用，尤其是企业高层、出差的业务人员或到基层检查指导工作的管理人员、需要下班后在家加班的人员等，他们几乎已经离不开这类移动终端。与此同时，一些合作伙伴或客户出于某种需要，也可能需要使用移动终端接入到企业网络或者计算机。移动终端设备可能给企业带来以下几大隐患：

隐患一，保管不当，导致设备丢失或被盗，损失的不只是硬件成本，更关键的是里面的数据。

隐患二，使用不当，在数据传输过程中没有采取应有的保护措施，导致发送信息时被非法攻击者侦听截获。

隐患三，没有对设备里的数据采取足够的保护措施，数据很可能在使用者一无所知的情况下被窃取。

隐患四，感染病毒的移动设备一旦接入内网，病毒可能很快蔓延至网络内的每一个终端，影响整个网络的正常运转，严重时还会让企业的关键业务无法开展。

隐患五，不安全的移动终端一旦接入企业内网，很可能变成黑客们攻击内网的跳板。

2针对存在的安全隐患制定对策

通过分析移动终端设备管控的难点主要集中在以下几个方面：①外来移动终端设备随意接入企业内部网络或者计算机，很难做到有效控制，无形中为病毒、木马感染企业网络开辟了一条捷径；②内部移动存储设备很难做到逐个、逐次使用时登记备案，无法对遗失的移动存储设备以及存储其中的数据进行监控；③内部移动存储设备很难区分安全等级、区分场所、区分使用人，保存数据的移动存储设备随意拿到外部使用，很容易造成企业敏感数据外泄；④对移动存储设备的使用缺乏全面的记录信息，安全事故发生以后缺乏足够的协助管理员跟踪、定位和追溯责任人的依据和手段。

要想管控好移动终端设备，就必须做好以下四个方面：①移动终端设备使用的边界控制：外来的笔记本电脑、智能手机等设备连入网络，必须通过网络准入、应用准入、客户端准入等准入手段来解决，确保未安装客户端的无法连入内部网络，其安全性得到保障。外来移动存储设备不得随意接人企业内部计算机，以防止恶意代码通过移动存储设备感染企业内部网络。②移动存储设备分等级使用：对移动存储介质进行注册认证，只有注册认证过的才可以在内网使用。内部移动存储介质分不同的安全等级，受控使用，做到专人专用、专盘专用，从而保证企业关键信息和数据不会通过移动存储设备泄露。③强化移动存储设备的管理，将移动存储设备专人管理，规范操作使用，每次使用前要进行严格的查毒、杀毒。禁止使用个人U盘、数码相机、数码摄像机等存储卡。④移动存储设备的全生命周期管理：对内部存储关键数据和信息的移动存储设备，要有全生命周期的使用跟踪和管理，对内部移动存储设备的使用要有详尽的审计，以便事后能够进行准确的跟踪和定位，追溯到责任人。

3移动终端设备的管控解决方案

对移动终端设备的信息安全管理，应坚持“预防为主”的方针。“三分技术，七分管理”，要充分利用技术和管理两种手段，达到有效防范的目的。具体来说，企业可从如下三个方面着手：

3.1 加强人员培训，构筑人员安全关通过加强保密知识培训、网络安全知识培训、职业道德教育和对网络事故案例讲解，使员工充分了解计算机网络存在的安全隐患，提高工作人员的安全保密意识和自我防范能力。

3.2 部署管控平台，把好技术安全关通过部署绿盟终端安全管理系统，该系统涵盖接入控制、数据防泄密、安全防护、桌面管理四大领域，在终端安全方面提供系统级安全保护，提供网络层与应用层的准入控制，强制隔离不符合安全要求的终端主机。实现了对移动存储设备的全面管理，移动介质被分为外来介质、内部普通介质和内部专用介质三种不同的安全等级，针对每种安全级别均可设置具体的使用权限，如只读、可写，实现了对移动介质的细粒度管理。

3.3 完善制度建设，健全信息管理关

3.3.1 加强内部管理，完善计算机保密制度。细化信息安全的管理规范和责任追究，明确界定信息范围，切实落实各项具体措施。使计算机安全保密工作有章可循，逐步实现计算机信息安全保密工作的规范化管理。

3.3.2 加强对移动办公设备管理的检查。通过对单位的移动终端设备集中登记、授权和安全认证，全面掌握企业移动终端的使用管理情况，定期进行信息安全检查，发现违规情况及时进行通报。对终端设备列入重点信息安全监控部位，专人专用、专人管理，不定期进行检查防护。

3.3.3 加强对外来人员的管理。为了防范信息泄密，确保信息与网络的安全。

4结束语

信息安全是信息发展的基础，要建立一个安全可靠的网络安全管控体系，既要有专业的安全产品，更要有规范和强有力的安全管理制度。移动终端设备所带来的安全隐患必须引起各企业的高度关注，充分利用技术和管理两种手段，提高安全保障能力，为企业各项工作顺利开展提供信息保障和技术支撑。

参考文献：

[1]杨义先.网络信息安全与保密[M]．北京：北京邮电大学出版社，2000：1-3.

第8篇：企业内网信息安全范文

北京圣博润高新技术股份有限公司(简称：圣博润)董事长兼总经理孟岗就是这样一位信息安全领域知行合一的开拓者和实践者。

刚刚喜获“08年度中国软件行业十大领军人物”称号的孟岗解释说，“圣搏润也是在不断尝试和不断磨练中慢慢成长起来的，思想要慢慢积累才能转化为能力，同样，也只有实践才能出真知。”

初涉信息安全领域

坦率地讲，从传统行业转战信息安全领域，孟岗感到肩负的责任更加重大，这片新领域绝非用“重视程度提升，前景美好”之类的话语就能简单概括。孟岗深刻意识到，能够在信息安全行业做大做强，更需要的是企业不懈的自主创新和突出的核心竞争力。

2000年的中国，信息安全领域正越来越受到国家的重视，孟岗表示：“国家当时先后出台了系列文件对信息安全领域相关问题进行明确界定，要求必须加强对国内自主知识产权信息安全产品的采购，这里边并没有提到国外产品。这表明国家对于自主知识产权产品的扶植，以及对国内企业自主创新的重视。”

“我当时相信，国产信息安全产品是有机会的，而且是大有机会。而一系列国家相关政策的出台，也不断加强了我们扎根该领域的信心。”谈起过往，孟岗眼中熠熠生辉。

正是这种灵敏的嗅觉和自信的判断，使得圣博润从最初安全产品，到安全项目集成，以及到后来的自主产品研发过程中，能够始终将自己最精锐的力量投入到内网信息安全产品的研究开发中，并且在前进的道路上始终保持这个方向。

在谈话中，孟岗认为好的市场环境、好的国家政策对自主创新企业的大力扶植给圣博润的发展带来了“幸运”。但是，在软件行业有多少产品、技术和团队都很不错的公司都最终在市场的洗礼中倒下了?毕竟，软件行业既是缔造传奇的福地，也是破灭神话的领域。

国家扶持很重要

所谓“天时地利人和”，能够在行业内取得成绩，仅靠单个企业的单打独斗实在难成气候，面对这个话题，孟岗很认真的说，“这要感谢近年来国家对信息安全行业持续地加大投入和政策扶植。”

“我们为什么能够存活下来，并能大大发展，这首先得益于国家对信息安全这一块的扶持，国内其他具有自主知识产权的信息安全企业也是如此。”孟岗如是说。

客观来说，国内IT技术积累与国外相比在某些方面仍然存在一些差距，信息安全要想做到自主、可信、可控，国家对于这一块的扶持是必不可少的。据了解，目前在信息安全产品的政府采购中，国内具备自主知识产权的产品获得的空间正在不断扩大和提升。

“经过几年的国家支持和市场发展，现在正是内网信息安全行业千载难逢的好机会。”谈到国家近年对于信息安全的投入和政策，孟岗加重的语气中透出兴奋。

“由最初的安全产品，到承接安全集成项目，再到自主安全产品研发，从最初看不清前方的道路，到现在被更广泛的市场和用户认可接受，圣博润的成长之路走的曲折，但并不漫长。”

目前，圣博润的业务主要有两个，一个是内网安全管理，即桌面安全管理，另外一个是信息安全的服务，包括信息安全的评估、信息安全体系的管理咨询、信息安全服务外包等。“圣博润要利用好这一千载难逢的机会，一旦顺风顺水就要加足马力!”孟岗强调。

依靠“产品和服务”两条腿走路的方针，不仅仅局限于产品的提供，圣博润的愿景是为用户构建安全的信息体系，这是圣博润作为一个信息安全厂商想要做的事情。在当今SaaS大行其道的背景下，圣博润将会使服务的比例从30％提高到40％。

“这是一个趋势。但是，服务的比例就目前预期来说不会超过50％。”孟岗坦言。

深挖用户需求

俗话说，“创业容易守业难。”在孟岗看来，创业和守业一样不易，尤其是在这个日新月异、创业求变的软件行业。

“圣博润不是靠研发起来的公司，认识过程要比别人慢一点，走的时间要比别人长一些，只有耐心、坚持才能保住创业。”孟岗说，“我们要能坚守住自己的方向，坚守住自己的客户，不断深入了解行业，不断洞悉他们的新需求，这是我们每个圣博润人内心的想法。”

前几年，信息安全主要解决的是边界防护的问题，网络管理、防火墙等成了那时间出现频率最高的安全防护词。实际上，经过近几年的发展，越来越多的用户发现，来自内部的威胁也同样不可小觑。

无论内网或局域网有多大，内部用户的行为完全是自由状态的，这种各自为战的自由行为给局域网的运行带来了很多问题，另外还可能引起重要信息泄露。

“现阶段，信息安全方面用户最迫切的需求是什么?”

“内网安全!”曾经一位用户如此干练的回答给了孟岗很大的触动。

事实上，信息安全的问题在任何时候任何一个层面都很重要。在早期，大家争相“建围墙、装防盗门、安窗户”，要把安全问题御之门外，这个阶段过后，人们逐步意识到来自内部的安全问题如果不加防范，同样会给用户带来不可估量的损失。

那么，是不是所有的企业都要“关上门好好处理自己的家务”?“这要取决于用户对自己信息资产的关注程度。”孟岗说。

举例来说，如果是一个普通的农户，对自己内部的资产并不太在意，那么他装一扇木门或铁门就可以了，而对于比较富裕的家庭可能就得装高级的防盗门。同样的道理，如果用户对自己内部信息资产的关注程度或认识程度非常高的话，他就会对自己的内网安全问题格外关注，反之则相应程度的降低。

信息安全的核心在于用户需求，用户采取什么样的防护措施取决于用户需要保护的是什么。

2008年2月18日，圣博润公司因其良好的业务发展态势受到中关村园区支持，在深交所挂牌OTC。当被记者问到，上市前后的圣博润是否会在企业方向或策略方面做一些调整，或者实现多元化运作时，孟岗说，“我们会将精力继续放在内网安全和安全服务方面，坚守我们的优势行业，至少近10年，我们不会考虑在方向或策略上做大的调整。”

第9篇：企业内网信息安全范文

【 关键词 】 信息安全；电力企业；风险评估；管理模式

1 引言

在如今的信息化社会中，信息通过共享传递实现其价值。在信息交换的过程中，人们肯定会担心自己的信息泄露，所以信息安全备受关注，企业的信息安全就更为重要了。但是网络是一个开放互联的环境，接入网络的方式多样，再加上技术存在的漏洞或者人们可能的操作失误等，信息安全问题一刻不容忽视。尤其是电力，是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设，作为重要的一环纳入到整个企业管理体系中去。

2 电力企业信息管理体系建设的依据

关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容：信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件，里面有10大管理项、36个执行的目标和127种控制的方法，可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求，并提出了一些具体操作的建议。

国际标准化组织也了很多关于信息安全技术的标准，如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准，如GB 15851―1995。

关于企业信息安全管理体系方面的标准众多，如何针对企业自身实际情况选择合适的参考标准很重要，尤其是电力企业有着与其他企业不同的一些特殊性质，选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证，关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准，但是具体地区的公司又有着本身自己的特殊环境，所以在总体一致的信息安全标准的情况下，也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。

3 信息安全管理体系里的重要环节

3.1 硬件环境要求

信息安全管理体系并没有特别要求添加什么特别的设备，只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式，内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备，如手机等，为了增加信息安全的系数，企业可以限制公司设备的无线网络拓展。另外，实时监控系统也应该覆盖企业的重要设备，监控硬件设备的安全。

3.2 软件环境要求

在企业设备（主要是计算机）上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等，以此防止网络攻击或者提高安全系数。另外，企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题，都在信息安全管理体系设计的考虑范畴。

3.3 企业员工管理

尽管现在一直倡导智能化，但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发，还是对企业软硬件系统进行维护工作，都是有员工来进行的。所以，对企业内部员工进行信息安全培训，提高员工的信息安全防范意识，让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位，在员工上岗前应该进行相关的信息安全方面的培训，然后对培训结果进行考核，不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外，如果有条件的话，企业应该定期（例如每年）进行一次信息安全的相关演习。

另外，电力企业有些项目是外包给其他相应公司的，这时候会有施工人员和驻场人员在电力企业，对这些人员也应该进行电力企业信息安全的培训。

3.4 信息安全管理体系的风险系数评估

风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径，它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是：检测评估对象所面临的各种风险，估计风险的概率和可能带来的负面影响的程度，确定信息安全管理体系承受风险的能力，确定不同风险发生后消减和控制的优先级，对消除风险提出建议。在信息安全管理体系的风险系数评估过程中，形成《风险系数评估报告》、《风险处理方案》等文档，作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系，除了常规手段，也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解，企业员工对他们所操作的对象有比较深刻的理解，对其中可能存在的不足也有自己的见解，在风险系数评估的过程中，可以进行一些员工的问卷调查等，把员工对风险的认识纳入风险评估的考虑范畴。

企业的设备会老旧更换，员工也会更换，所以企业的信息安全是动态的，因此风险评估工作也要视具体情况定期进行，针对当前情况作评估报告，然后制定相应的风险处理方案。还有，之所以要建立信息安全管理体系，其中很重要的一点就是体系内各个模块的结合，信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。

为了降低信息安全管理体系的风险系数，提升信息安全等级，要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式，来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步，可能还会出现其他的更有价值的信息安全技术，作为信息安全备受瞩目的电力企业，应当时刻关注相关技术的进展，并及时将它们纳入企业信息安全管理体系中来。

3.5 信息安全管理体系的管理模式

文章前面提到企业信息安全是动态的，所以信息安全管理体系需要建立一个长效的机制，针对最新的情况及时对自身作出调整，使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式：计划，依照体系整个的方针和目标，建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等；执行：实施和运作计划中建立的方针、过程、程序等；评测：根据方针、目标等，评估业绩，并形成报告，也就是文章前面说到的风险系数评估；举措：采取主动纠正或预防措施对体系进行调整，进一步提高体系运作的有效性。这四个步骤循环运转，成为一个闭环，是信息安全管理体系得到持续的改进。

4 重要技术及展望

4.1 安全隔离技术

电力企业的信息网络是由内外网两部分组成，从被防御的角度来看的话，内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等；而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术，在内网设立防火墙，在内外网之间进行物理隔离。

4.2 数据加密技术

企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求，对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候，除了对数据进行加密外，还应该在链路两端进行通道加密。

4.3 终端弱口令监控技术

终端设备众多，而且是业务应用的主要入口，所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱，相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线，因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。

电力企业信息安全管理体系是一个复杂的系统，包含众多的安全技术，如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术，电力企业都应当关注，并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。

智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢？不妨做一个展望，电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力，在信息安全环境越来越复杂，信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢？这应该是值得期待的。

5 防病毒软件部署

电力企业信息安全管理体系有很多软件系统的部署，如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似，这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。

杀毒软件种类有很多，这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能，能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行，在电力企业内部正式使用时，尽量准备一立的服务器作为防病毒软件专用的服务器。

服务器安装配置好赛门铁克防病毒软件后，可以远程控制客户端与下级升级服务器的软件安装与升级。

电力企业内网可能是禁止接入外网的，这样的话，防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候，维护人员在通过外网在相应网址下载赛门铁克升级包，然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中，省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图，如果电力企业的内网规模很大的话，还可以更多级地分布部署。

6 结束语

电力企业的信息安全与企业的生产与经营管理密切相关，是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作，把体系中涉及的内容统一进行管理，让它们协调运作，实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。

参考文献

[1] 王志强，李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司，2008，6（3）：26-29.

[2] 陈贺，宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化，2014，17（1）：74-76.

[3] 郭建，顾志强.电力企业信息安全现状分析及管理对策[J].信息技术，2013（1）：180-187.

[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术，2013，11（8）：103-108.

[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密，2010，01（10）：68-71.

[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术，2005（29）.

[7] 曹鸣鹏， 赵伟， 许林英. J2EE技术及其实现[J]. 计算机应用，2001， 21（10）： 20-23.

[8] 江和平.浅谈网络信息安全技术[J].现代情报学，2004（14）：125-127.

作者简介：

崔阿军（1984-），男，甘肃平凉人，硕士研究生，工程师；主要研究方向和关注领域：电力信息通信安全技术研究。

张驯（1984-），男，江苏扬州人，本科，工程师；主要研究方向和关注领域：电力信息通信安全技术研究。

李志茹（1984-），女，山东平度人，硕士研究生，工程师；主要研究方向和关注领域：信息化建设及安全技术。

龚波（1981-），男，湖南新邵人，本科，工程师；主要研究方向和关注领域：电力信息化建设及安全技术。