企业信息安全防护方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业信息安全防护方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业信息安全防护方案范文

关键词：信息系统；安全防护；安全域；边界安全

中图分类号：TP393.08

随着电网企业信息化建设的逐步推进，大批信息系统相继投入运行，信息系统几乎贯穿于电网企业的各项工作环节，信息化建设对于提高国家电网公司经营生产管理水平、支撑集团化运作、集约化发展发挥了重要作用。但同时，若信息系统存在信息安全方面的问题，就会影响电力系统的安全、稳定运行，进而影响电网的可靠供电。因此，信息系统安全成为电网企业信息化工作的重中之重。

1 电网企业信息安全防护总体思路

电网企业信息系统安全防护要贯彻国家有关信息安全防护政策，全面落实国家电网公司信息安全相关的各项政策和制度，平衡信息安全风险和防护成本之间的关系，优化资源配置，在有限的成本下，使风险最小化，最大程度地保障信息系统的安全稳定运行，同时根据信息安全等级保护制度的相关要求，着重加强与公司重大利益相关的重要系统的安全防护。电网企业信息安全防护应遵循“分区分域、安全接入、动态感知、精益管理、全面防护”的安全策略，完善防护机制，健全信息安全管理措施和安全技术手段，完善信息安全基础支撑平台，提升信息安全综合治理水平，满足公司智能电网建设和“三集五大”对信息安全的需求。

2 电网企业信息安全防护措施

2.1 安全域划分

2.1.1 安全域的定义

安全域是由一组具有相同安全保障需求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。安全域是一组具有安全防护共性的系统的逻辑集合，一个安全域可以包括一个或多个物理或逻辑网段。分域防护的目标不仅是为了实现边界防护，而且是一组在网络、主机、应用等多个层次上深层防护措施的体现。

2.1.2 安全域的划分

安全域的划分应依据总体防护方案中定义的“二级系统统一成域，三级系统独立成域”的方法进行，结合某省电力公司的应用系统使用情况，将整个信息系统共计分为8个安全域。

2.1.3 安全域的实现

安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。

2.2 信息系统边界安全

边界安全防护是检测出入边界的数据信息，并对其进行有效控制的防护措施。根据边界类型的不同，需采取不同的防护措施。

信息系统边界主要分为信息外网边界和信息内网边界两大类，其中信息外网边界主要包括纵向边界和横向域间边界；信息内网边界主要包括纵向边界、横向域间边界和第三方边界。

2.2.1 信息外网域及边界安全

根据电网企业安全域的划分，外网包含外网桌面终端系统域、外网应用系统域和二级系统域共3个区域，对其防护主要从边界网络访问控制方面考虑。

（1）实施边界网络访问控制：在外网边界部署防火墙，对进出内部网络的数据流制定访问控制策略；在外网系统域的边界处部署防火墙，对进出内部网络的数据流制定访问控制策略；（2）外网桌面终端病毒防护：通过部署杀毒软件，实现对外网桌面终端的防病毒管理；（3）入侵防护系统：在互联网出口处，部署入侵防护系统（Intrusion Prevention System，IPS），同时在IPS上开启针对蠕虫病毒、网络病毒的入侵防护功能，主动发现主要的攻击行为和恶意信息的传输；（4）外网网络、数据库审计：在网络核心处部署网络审计、数据库审计系统，通过网络审计系统可以对信息外网进行监控，分析主机负载，发现网络瓶颈，并绘制出直观的流量曲线图、柱状图，有效发现网上出现的异常流量。

通过数据库审计可以主动收集各类对数据库的访问，进行记录和分析的措施，弥补数据库日志审计对实际活动记录的不足，有效保护重要的数据库系统，审计的结果有助于系统管理人员分析各类服务器被访问的情况，并通过访问还原技术，清楚地看到对数据库系统进行访问的过程情况。

2.2.2 信息内网域及边界安全

信息内网边界安全防护主要从边界网络访问控制、入侵检测、终端安全防护、链路冗余等方面考虑。

（1）边界网络访问控制：建立各应用系统汇聚层，不同应用系统之间采用VLAN技术逻辑隔离，禁止直接互访，并在汇聚交换机与核心交换机之间部署防火墙，检测经过的所有数据，对进出内部网络的数据流制定访问控制策略。在信息内网纵向向上边界处部署防火墙，对进出内部网络的数据流制定访问控制策略。在信息内网第三方边界处部署防火墙，对进出第三方边界的数据流制定访问控制策略。在信通网络接入边界部署防火墙，对进出信通网络的数据流制定访问控制策略；（2）实施入侵检测：采用入侵检测系统（Intrusion DetectionSystems，IDS）对于流经内网边界和重要信息系统的信息流进行入侵检测，通过入侵检测系统发现主要的攻击行为和各种恶意信息的传输。因此，在安全域的建设中，在核心交换机上旁路和三级系统汇聚层部署入侵检测系统，同时对主、备核心交换机进行检测；（3）外网网络、数据库审计：部署网络审计、数据库审计系统，通过网络审计系统可以对信息外网进行监控，分析主机负载，发现网络瓶颈，并绘制出直观的流量曲线图、柱状图，有效发现网上出现的异常流量。通过数据库审计可以主动收集各类对数据库的访问，进行记录和分析的措施，弥补数据库日志审计对实际活动记录的不足，有效保护重要的数据库系统，审计的结果有助于系统管理人员分析各类服务器被访问的情况，并通过访问还原技术，清楚地看到对数据库系统进行访问的过程情况。

2.3 主机系统安全

（1）主机安全加固：采取调整主机的系统、网络、服务等配置的措施来提升主机的安全性，主要加固措施包括补丁加载、账户及口令的设置、登录控制、关闭无用的服务、文件和目录权限控制等；（2）进行补丁管理：各种操作系统均存在安全漏洞，应定时安装、加载操作系统补丁，避免安全漏洞造成的主机风险。但针对不同的应用系统，安装操作系统补丁可能会对其造成不同程度的影响，因此，应在测试环境中先行测试安装操作系统补丁是否会对应用系统造成不良影响，确保安全无误后，方可应用于正式环境中；（3）加强防病毒管理：实时监控防病毒软件的运行情况，对未安装防病毒软件或未及时升级更新病毒库的主机，确认其位置和未安装或未及时更新的原因，及时解决问题，并采取措施确保不再发生。

3 结束语

信息安全防护是国家电网公司“十二五”期间信息化保障体系的重要组成部分，也是未来信息发展的趋势。本文对信息系统电网企业信息系统安全防护思路及措施开展了研究与探讨，提出了安全域划分、信息系统边界安全、主机系统安全的防护方案和实现方法，能够有效提高电网企业信息系统的可靠性和安全性，具备较好的可行性和应用价值。

参考文献：

[1]王谦.电力企业信息系统安全等级保护的研究[J].硅谷，2011（23）.

第2篇：企业信息安全防护方案范文

关键词:信息网络；特点；防护；供电企业；

1. 前言

当今社会是一个信息化社会，信息网络技术在政治、经济、军事、交通、文教等方面的作用日益增大。社会对信息网络的依赖也日益增强，网络的重要性和对社会的影响也越来越大。目前，企业的信息化也已成为全球的趋势，网络与信息系统作为先进生产力的象征，被广大企业广泛运用，但是我们在享受信息网络便利的同时，也不得不为企业的信息网络安全而担忧，企业的信息网络既面临来自外部的安全威胁,也面临来自内部的安全威胁，由此需要加强防范措施,以保证企业的信息网络的安全。我们以供电企业为例，就企业的信息网络安全需求及防护进行探讨。

2.电力行业网络拓扑结构特点

电力行业地域跨度大，应用系统多，网络结构复杂。国家电力信息网(SPInet)，即中国电力数据网(CEDnet)或国家电力数据网(SPDnet)，共分4级，连接了国电公司、网公司、以及各地、市或县供电公司。网上开通的业务主要有：调度自动化系统、电子邮件服务、WWW服务、域名解析服务、办公自动化系统、管理信息系统、视频点播系统等，同时承载着实时、准实时生产控制业务和管理信息业务。

3. 供电公司网络安全的属性

网络安全有自己特定的属性，主要有机密性、完整性、可用性和可控性这四个方面。

(1) 机密性

是为了使信息不泄露给非授权用户、非授权实体或非授权过程，或供其利用，防止用户非法获取关键的敏感信息或机密信息。通常采用加密来保证数据的机密性。

(2) 完整性

是为了使数据未经授权不能被修改，即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失。它主要包括软件的完整性和数据的完整性两个方面的内容。

•软件完整性是为了防止对程序的修改，如病毒。

•数据完整性是为了保证存储在计算机系统中或在网络上传输的数据不受非法删改或意外事件的破坏，保持数据整体的完整。

(3) 可用性

是为了被授权实体访问并按需求使用，即当用户需要时能够在提供服务的服务器上进行所需信息的存取。例如：网络环境下拒绝服务、破坏网络和破坏有关系统的正常运行等，都属于对可用性的攻击。

(4) 可控性

是为了对信息的传播及内容具有控制能力。任何信息都要在一定传输范围内可控，如密码的托管政策等。

4.供电企业的信息网络安全需求及防护

正确的风险分析是保证网络环境安全的非常重要的一环，一个性能优良的安全系统结构和安全系统平台，能够以低的安全代价换得高的安全强度。根据供电企业网络系统覆盖面大、数据处理量大、安全性要求高等特点，在设计网络安全体系时，必须充分考虑各种安全要素，合理的进行网络安全的技术设计，针对面临的风险，采取相应的安全措施。结合供电公司的实际情况，按上述层次对供电企业的信息网络安全需求进行分析。

4.1 物理安全

物理安全包括通信线路，物理设备，机房等安全。物理层的安全主要体现在通信线路的可靠性，软硬件设备安全性，设备的备份，防灾害能力、防干扰能力，设备的运行环境，不间断电源保障等等，可分为环境安全、设备安全、媒体安全三方面。要满足供电企业的信息网络物理安全需求，以下设备和措施是必要的：

(1)安装机房专用空调，满足各类网络设备和服务器的散热需要，保持机房环境温度和湿度基本恒定；铺设防静电地板，且需满足设备机柜承重需要；服务器和主要交换机应配置冗余电源，根据42U标准机柜空间计算，每个机柜应至少应配送一路32A供电，或两路16A供电；机柜和设备应满足接地要求；

(2)机房配备UPS电源供电，现有设备负荷应不超过UPS额定输出的70%，UPS提供的后备电源时间不应小于2小时；机房应安装门禁系统；机房应安装消防报警及自动灭火系统；机房应安装防雷击系统；主要办公设施内的网络布线应采用千兆双绞线结构化布线，各单位间的长距离网络布线应采架设光纤专线。

4.2 网络安全

网络平台的安全涉及网络拓扑结构、网络路由状况及网络的环境等。

供电企业所面对的网络风险主要来自以下几方面：

(1)来自互联网的风险

供电企业一般都建设了银电联网系统、远程负荷控制系统和远程抄表系统等，这些系统都通过Internet向供电企业传输数据，供电企业的内部网络如果与Internet直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，像电力行业这样的能源企业自然会被恶意的入侵者列入其攻击目标的前列。

(2)来自合作单位的风险

由于业务需要，供电企业一般要与当地移动、联通和各家银行等单位网络互联。由于供电企业与这些单位之间不可能是完全任信关系，因此，它们之间的互联，也使得供电企业网络系统面临着来自外单位的安全威胁。

(3)来自电力内部网的风险

电力系统的网络建设已有一定规模，形成了电力内部网，很多供电企业网络与地区、全省甚至全国的其他供电企业都有互联。对每一个供电企业来说，其它供电企业都可以说是不受信任的，有可能存在安全危胁。

(4)来自内部局域网的风险

据调查统计，己发生的网络安全事件中，70%的攻击是来自内部。因此内部局域网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

(5)管理安全风险

企业员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。

要满足供电企业的系统安全需求，以下设备和措施是必要的：鉴于供电企业采用Windows操作系统较为普遍，企业的信息内外网均应部署WSUS系统，及时为服务器和PC更新系统补丁，填补漏洞，保障安全；企业内外网均应部署企业版杀毒软件，设定合适的病毒防护策略； 各系统账号和密码应具有足够的强度，由专人管理，定时更换；操作系统应配置合理，安全可靠。

4.3 应用安全

应用安全是指主机系统上应用软件层面的安全。大部分应用系统软件没有进行安全性设计。

供电企业所面对的应用安全风险主要来自以下几方面：网络资源共享应用风险；数据信息安全风险和用户使用的安全风险要应对多种应用安全风险，满足供电企业的信息应用安全需求，以下设备和措施是必要的：

安装部署企业版杀毒软件，全网设置统一防毒策略和日志收集，严格防控病毒和木马的传播；建立WSUS服务器，并在全网安装部署补丁分发系统，及时修补各类漏洞，降低安全风险；使用专用扫描软件，定时对网络内的WWW、FTP、邮件、数据库以及操作系统等各种应用进行安全风险扫描，及时掌握动态的安全风险状况；定时由专人对数据库等重要和特殊应用系统进行升级或漏洞修补，做好操作前和操作后备份工作，保证数据的安全；为全网主机统一安装部署基于主机IPS，关停不使用的服务和共享文件，设置好操作系统的各类权限，帮助保护用户终端的安全；对重要数据做好集中保存、备份、访问权限控制和加密措施。

4.4 管理安全

管理是网络中安全最最重要的部分，除了从技术上下功夫外，还得依靠安全管理来实现。要应对多种管理安全风险，满足供电企业的信息管理安全需求，以下设备和措施是必要的：

(1)制定详尽的供电企业信息安全规章制度，通过管理手段为信息网络安全提供有力支持；在所有内网、外网及专线连接等所有边界部署日志审计系统，记录、审计和保存网络日志，以追踪定位攻击行为和违规操作； 全网主机应统一安装部署桌面行为管理系统，监控和记录用户终端行为，防止用户的违规操作，统一操作系统和软硬件设置，保护用户终端安全；

(2)全网主机应统一安装部署移动存储介质管理系统，防止重要信息通过移动存储介质外泄；全网主机应统一安装部署防非法外联系统，防止内部局域网主机通过私拉网线、无线网卡等防止连接Internet，保证内部网和Internet的真正隔离；设置接入控制措施，防止非法主机随意入网，并做好网内IP地址分配和管理工作，以定位和排查故障及攻击源。

5. 结 语

本文以供电企业信息网络安全的需求进行了分析，阐述了网络的不安全因素及其可能的后果，并以此为基础，对供电企业的信息网络进行了分层的安全风险分析，得出了其在物理、网络、系统、应用和管理等各方面的安全需求。然后根据需求分析的结果，给出了信息网络安全体系的设计原则，为方案的详细设计与实践奠定了基础。

参考文献：

[1]郝玉洁，.网络安全与防火墙技术.北京:电子科技大学学报社科版，2002，1(4):24～28

[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报 2002，3(14).

第3篇：企业信息安全防护方案范文

关键词：电力企业；信息安全；防护

1电力企业信息安全防护存在的一些问题

1.1没有严格的划分不同网络之间的等级

一方面，电力企业在纵向上需要对各个系统之间的联系进行实时的监控，基于各个自动化和低调系统之间的数据都是依靠载波进行单向转发，但是少数基层企业数据的网络化传输尚没有完整的实现，主站和厂站之间尚没有形成有效的光纤载波双通道。另一方面，按照相关的要求必须将实时与非实时监控系统有机的连接起来，但是基于当下互联网和通信的现状，连接的过程中存在众多的问题，使得连接很难真正的实现。

1.2网络安全防护能力的严重不足

随着我国社会经济的高速发展，信息技术和电网信息化建设获得了不断的发展，信息技术在整个电力系统中逐渐得到了广泛地应用，人们越来越重视网络安全，然而现有网络在安全防护方面的能力严重不足，管控手段的严重不足，管理水平相对比较低，并且缺乏一套相对比较完整的病毒防护系统，不少企业甚至还在使用单机版的防病毒软件或者是省公司统一所部属的杀毒软件。当系统受到攻击时，瘫痪的情况时常出现。同时，一套健全的数据备份恢复机制尚未建立起来，当数据受到破坏时，损失惨重。另外，相应的网管软件也没有建立起来，进而便不能有效的监控和管理某些行为过激的内部用户。

1.3电力企业的服务器本身存在着一定的安全隐患

服务器在整个电力企业中的数量众多。随着科学技术的不断进步，网络攻击技术和攻击手段的更新速度越来越快，相应的便加快了对于服务器的攻击，为此电力系统本身拥有的众多的服务器，自然而然的便成为网络攻击的重要对象，而服务器本身存在着一定的安全隐患，具体如下：尽管在电力企业的网络中每个服务器所拥有的认证系统都是独立的，但是管理权限却缺乏统一的管理策略，进而增加了管理人员的工作难度；Web和流媒体服务器会不断的受到各种病毒和互联网DDoS的攻击；由于不明确的权限划分，导致服务器极易受到外界黑客的攻击。

2强化电力企业信息安全防护的重要措施

2.1科学的评估网络安全风险

电力企业在对各种网络问题进行有效的解决过程中，需要从技术和管理两方面进行综合的考虑，尽管技术在一定程度上是一种安全的主体存在的，但管理才是保证安全的关键。网络安全与实施各种安全技术和部署安全产品有着非常紧密的联系，然而目前市面上所存在的、与安全有关的技术和产品众多，具体选择使用哪一种有一定的难度，此时便需要科学的评估网络安全风险。通过分析，有助于最大限度的促进问题的解决或者可以将风险降到最低，还可以比较付出和收益之间的关系，从中选出一种产品和技术可以让企业用最小的成本获得最大的安全需求，另外还需要权衡安全和效率之间的关系。

2.2防火墙的构建

防火墙作为一种重要的技术性措施在一定程度上可以通过网络中各种非法访问的有效阻止来将一道相对比较安全的屏障构建起来，实现对计算机网络安全的有效保护，并且还能够有效的控制各种信息的输入与输出，如图1所示。一方面，借助访问控制列表本身的调节作用有助于路由器实现对数据包的科学选择，在此基础上通过增加和删除列表来实现对网络的有效控制，过滤路由器流入和流出的数据包，以此部分防火墙良好效果能够得到有效的实现。另一方面，硬件防火请的科学配置，电力企业中本身所使用的硬件防火墙数量众多，然而能够将作用真正发挥出来的则少之又少，为此在硬件防火墙的使用前，需要科学的配置整个企业的网络和防火墙。除此以外，电力企业还可以通过强化对计算机病毒的预防和控制、在企业内部定期或者不定期的展开各种信息安全的宣传教育和培训活动，以此来为电力企业信息网络的安全提供重要的保障。

3结束语

信息化在一定程度上作为社会生产方式和生产力发展到一定阶段的重要产物，是我国进行文明建设的重要标志。通过信息化建设将有助于大幅度的提高我国电力企业的生产效能与管理方面的水平，作为一种重要的资源，信息资源自身的重要性逐渐开始被越来越多的人认识。

参考文献

第4篇：企业信息安全防护方案范文

随着数据泄露及篡改事件愈演愈烈，每一次的数据泄露事件所造成的危害，都是深刻的教训。而作为信息系统建设方及维护方，时刻都在巩固自己业务系统，防止数据被泄露或者被篡改，一旦数据泄露及篡改发生，损失的不仅仅是财务，甚至危及生命。近日刚发生的山东女生电信诈骗案，就让所有人再次认识到数据信息泄露的严重性。

信息安全经过多年发展，安全防护层层加码，但是层层防护背后数据却依然不断的泄露。目前，数据泄露及被篡改事件更趋复杂，更趋隐蔽，传统的安全防护手段对当前复杂的数据共享已日渐无效。更为重要的是数据库作为信息系统的心脏，对应的防护力度及手段过弱，目前大部分的防护明显侧重于应用层和出口防护，而数据库安全防护是个系统工程，传统的安全防护不仅不能少，且必须继续加固。与此同时，每个防o单元必须迈向系统化、自动化、智能化。整体的防护只能依靠大数据挖掘、人工智能去解决。

明御数据库防火墙也正是在这种背景和客户迫切的需求下诞生的安全防护产品。DBFW是结合目前数据库安全行业防护现状推出的一款以数据库访问控制为基础，以攻击防护和敏感数据保护为核心的专业级数据库安全防护设备。并且融合了安恒信息近十年数据库安全防护经验积累，可以对数据库服务器从系统层面、网络层面、数据库层面实现“三维一体”的立体安全防护。

明御数据库防火墙主要功能包含：据库内部合规访问控制、数据库漏洞检测、虚拟补丁防护、数据库敏感数据泄露被篡改检测防护、SQL注入检测防护、拖库防护、撞库防护和数据库0day漏洞探测等功能，支持透明串联和反向两种部署模式。主要支持：Oracle、SQLserver、Mysql、DB2、Sybase、Informix等主流及国产数据库的安全监测和防护。

第5篇：企业信息安全防护方案范文

【关键词】信息系统；安全建设；防护体系

1.企业信息系统安全防护的价值

随着企业信息化水平的提高，企业对于IT系统的依赖性也越来越高。一方面，“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化，各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境，确保IT业务系统的持续稳定运行作为企业竞争力的一部分，已成为IT系统安全防护的主要目标和关键驱动力。另一方面，企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑，必须提供可靠的运行保障和数据正确性保证。

2.企业信息系统安全建设的现状分析

在企业信息化建设的过程中，业务系统的建设一直是关注的重点，但是IT业务系统的安全保障方面，往往成为整个信息化最薄弱的环节，尤其是在信息化水平还较低的情况下，IT系统的安全建设缺乏统一的策略作为指导。归结起来，企业在IT系统安全建设的过程中，存在以下几方面的不足：

2.1 安全危机意识不足，制度和规范不健全

尽管知道IT安全事故后果比较严重，但是企业的高层领导心中仍然存在着侥幸心理，更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证，由此带来的后果是诸如对网络的任意使用，导致公司的机密文档被扩散。同时在发生网络安全问题的时候，也因为缺乏预先设置的各种应急防护措施，导致安全风险得不到有效控制。

2.2 应用系统和安全建设相分离，忽视数据安全存储建设

在企业IT应用系统的建设时期，由于所属的建设职能部门的不同，或者是因为投资预算的限制，导致在应用系统建设阶段并没有充分考虑到安全防护的需要，为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失；各种自然灾难、IT系统故障，也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面，并没有意识到同城异地灾难备份或远程灾难备份的重要性。

2.3 缺乏整体的安全防护体系，“简单叠加、七国八制”

对于信息安全系统的建设，“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联，从而导致了多种问题。

3.企业信息系统安全建设规划的原则

企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值，在设计高水平的安全防护体系时应该遵循以下几个原则：

（1）统一规划设计。信息安全建设，需要遵循“统一规划、统一标准、统一设计、统一建设”的原则；应用系统的建设要和信息安全的防护要求统一考虑。

（2）架构先进，突出防护重点。要采用先进的架构，选择成熟的主流产品和符合技术发展趋势的产品；明确信息安全建设的重点，重点保护基础网络安全及关键应用系统的安全，对不同的安全威胁进行有针对性的方案建设。

（3）技术和管理并重，注重系统间的协同防护。“三分技术，七分管理”，合理划分技术和管理的界面，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。

（4）统一安全管理，考虑合规性要求。建设集中的安全管理平台，统一处理各种安全事件，实现安全预警和及时响应；基于安全管理平台，输出各种合规性要求的报告，为企业的信息安全策略制定提供参考。

（5）高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求，是业务连续性的需要，是满足企业发展扩容的需要。

4.企业信息系统安全建设的部署建议

以ISO27001等企业信息安全法规[1]遵从的原则为基础，通过分析企业信息安全面临的风险和前期的部署实践，建立企业信息安全建设模型，如图1所示。

图1 企业信息系统安全建设模型

基于上述企业信息安全建设模型，在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时，需要重点关注以下几个方面的部署建议：

4.1 实施终端安全，关注完整的用户行为关联分析

在企业关注的安全事件中，信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严，员工可以通过很多方式实现信息外泄，常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为，企业在建设信息安全防护体系的时候，单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中，系统从用户接入的那一时刻开始，就对用户的桌面行为进行监控，同时配合internet上网行为审计设备，对该员工的上网行为进行监控和审计，真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中，提升企业的防护水平。

4.2 建设综合的VPN接入平台

无论是IPSec、L2TP，还是SSL VPN，都是企业在VPN建设过程中必然会遇到的需求。当前阶段，总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入，也可以考虑部署SSL VPN的接入方式[2]，在这种情况下，如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式，如采用USBKEY等，甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便，从而提升企业整体的VPN接入水平。

4.3 优化安全域的隔离和控制，实现L2～L7层的安全防护

在建设安全边界防护控制过程中，面对企业的多个业务部门和分支机构，合理的安全域划分将是关键。按照安全域的划分原则，企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分，各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上，深入分析各安全域内的业务单元，根据企业持续性运行的高低优先级以及面临风险的严重程度，设定合适的域内安全防护策略及安全域之间的访问控制策略，实现有针对性的安全防护。例如，选择FW+IPS等设备进行深层次的安全防护，或者提供防垃圾邮件、Web访问控制等解决方案进行应对，真正实现L2～L7层的安全防护。

4.4 强调网络和安全方案之间的耦合联动，实现网络安全由被动防御到主动防御的转变

统一规划的技术方案，可以做到方案之间的有效关联，实现设备之间的安全联动。在实际部署过程中，在接入用户侧部署端点准入解决方案，实现客户端点安全接入网络。同时启动安全联动的特性，一旦安全设备检测到内部网用户正在对网络的服务器进行攻击，可以实现对攻击者接入位置的有效定位，并采取类似关闭接入交换机端口的动作响应，真正实现从被动防御向主动防御的转变。

4.5 实现统一的安全管理，体现对整个网安全事件的“可视、可控和可管”

统一建设的安全防护系统，还有一个最为重要的优势，就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志，单纯靠管理员的人工操作是无能为力的，而不同厂商之间的安全日志可能还存在较大的差异，难以实现对全网安全事件的统一分析和报警管理。因此在规划之初，就需要考虑到各种安全设备之间的日志格式的统一化，需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表，只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发，以及整网安全设备的防控策略的统一管理，最终实现安全运行中心管控平台的建设。[3]

4.6 关注数据存储安全，强调本地数据保护和远程灾难备份相结合

在整体数据安全防护策略中，可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题，与磁带库相比，它具有很多的技术优势。在数据库的配合下，通过连续数据快照功能实现了对重要数据的连续数据保护，用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态，同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时，可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择，即可采用光纤直连，也可采用足够带宽的IP网络连接。在数据同步方式选择上，生产中心和灾备中心采用基于磁盘阵列的异步复制技术，实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器，以提供对关键业务的应用级接管能力，从而实现对数据安全的有效防护。

5.结束语

企业信息安全防护体系的建设是一个长期的持续的工作，不是一蹴而就的，就像现阶段的信息安全威胁也在不断的发展和更新，针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中，这种动态的过程将使得企业的信息安全防护更有生命力和主动性，真正为企业的业务永续运行提供保障。

参考文献

[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业，2013.

[2]李群，周相广，陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化，2010，06.

第6篇：企业信息安全防护方案范文

关键词：信息安全防护体系；风险评估；信息安全隐患；应急预案

中图分类号：F470.6 文献标识码：A 文章编号：

信息安全管理是信息安全防护体系建设的重要内容，也是完善各项信息安全技术措施的基础，而信息安全管理标准又是信息安全管理的基础和准则，因此要做好信息安全防护体系建设，必须从强化管理着手，首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念，并结合公司信息安全实际情况，制订了信息安全管理标准，明确了各单位、各部门的职责划分，固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程，促进了各单位信息安全规范性管理，为各项信息安全技术措施奠定了基础，显著提升了公司信息安全防护体系建设水平。

1电力系统信息安全防护目标

规范、加强公司网络和信息系统安全的管理，确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃， 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故，并以此提升公司信息安全的整体管理水平。

2信息安全防护体系建设重点工作

电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面，结合本公司信息安全防护体系建设经验，对信息安全防护体系建设四项重点工作进行阐述。

2.1 信息系统安全检测与风险评估管理

信息管理部门信息安全管理专职根据年度信息化项目综合计划，每年在综合计划正式下达后，制定全年新建应用系统安全检测与风险评估计划，确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内，按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内， 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试，并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分， 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南（试行）》进行安全加固，加固后 5个工作日内，经信息管理部门复查，符合安全要求后方可上线试运行。应用系统进入试运行后，应严格做好数据的备份、保证系统及用户数据的安全，对在上线后影响网络信息安全的，信息管理部门有权停止系统的运行。

2.2 信息安全专项检查与治理

信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作，对在检查中发现的问题，检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位，隐患分为重大隐患和一般隐患，对于重大隐患，信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案， 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪，并组织复查，对未能按期完成整改的单位，信息安全专职 10 个工作日内汇报信息管理部门负责人， 信息管理部门有权向人资部建议对其进行绩效考核。

2.3 信息安全应急预案管理

信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划，并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定，各种预案制定后 5 个工作日内交本部门主要负责人审批，审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训，并按年度计划开展预案演练。 根据演练结果，10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订， 对更新后的内容， 需在 10 个工作日内经本部门领导审批，并在审批通过后 5 个工作日内报信息管理部门备案。

2.4 安全事件统计、调查及组织整改

信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件，并在每月 30 日以书面形式报告信息管理部门信息安全专职， 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内，信息管理部门信息安全专职负责组织对事件的调查，调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行，并组织开展信息系统事故原因分析，坚持“四不放过”原则，调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。

3评估与改进

通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准， 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰，有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化，在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程， 搭建了信息安全防护建设工作的基础架构，实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工，管理方法，管理流程、考核要求，文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进，使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后，江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设，管理与技术措施并举，构建坚强信息安全防护体系。

第7篇：企业信息安全防护方案范文

不过，近期奇虎360拿出的整套企业安全解决方案则正式告诉外界：我们的根基还是在安全领域。在开拓了游戏、搜索甚至随身Wi-Fi这样的产品后，企业安全服务真正呼应了奇虎360品牌标识上的那个十字标识。

在加入奇虎360以前，李博已经在企业安全领域工作多年。在决心涉足企业安全领域后，奇虎360招募了大批像李博一样于此有丰富经验的人员，组成了一个新的团队。以此为根基，360企业安全部门从一个全新的视角重新审视企业信息安全。这个新视角，指的是信息安全产品之间的数据共享、协同保护。360企业安全部门高级安全咨询经理李博将其称之为“立体安全防护体系”。

信息安全产品的类别非常多样化，防病毒、数据泄漏防护、入侵检测、防火墙、统一威胁管理等各类产品充斥于市场之上。这些产品大都单点式的演进，同时并不强调兼容，因此每一种产品就像一个安全孤岛。在过去，这样的做法一般来说是可以防护大部分安全威胁的。但是，在安全边界被打破、移动、虚拟化等新技术兴起，同时安全形势愈发严峻的今天，单点式的部署已经不是什么好的选择。如今这一点已经为安全业界所达成共识。

李博将当前的企业信息安全问题总结为五点：传统防御技术失效、产品孤军作战、缺乏整体考虑、制度建设滞后，以及重产品、轻服务。

而新的“立体安全防护体系”，就是将眼光瞄准于解决这类问题。在这个体系中，大数据是非常重要的技术之一。李博表示：“大数据包含两个部分，审计存储与分析。审计只是一个亡羊补牢的手段，而加入了大数据分析后，可以做到事先和事中的发现。”除了大数据技术以外，未知威胁防御、云计算及虚拟化安全、移动终端安全，以及攻击审计和全过程回溯技术。

依托于这些技术，李博认为，智能SOC平台、搭载了APT检测的IDS产品、云计算与虚拟化安全产品、工业安全、审计及攻击回溯产品，以及移动安全产品，将会成为未来企业信息安全市场的大热门。

第8篇：企业信息安全防护方案范文

随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。

1、电力公司信息安全的主要风险分析

信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:

（1）计算机病毒的威胁最为广泛：计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。

在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。

（2）网络安全问题日益突出：企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。

网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。

如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。

（3）信息传递的安全不容忽视：随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。

网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。

（4）用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。

（5）实时控制系统和数据网络的安全至关重要：电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。

同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。

（6）电子商务的安全逐步提上议事日程：随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。

随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。

二、解决信息安全问题的基本原则

统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。

1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。

2、采用信息安全新技术,建立信息安全防护体系

企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施

3、计算机防病毒系统

计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。

在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。

4、网络安全防护系统

信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。

对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。

5、开展信息安全专题研究,为将来的应用做好准备

电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。

国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。

6、电子商务安全需要深入研究和逐步应用

电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。

7、依据法规,遵循标准,提高安全管理水平

信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。

三、解决信息安全问题的思路与对策

电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。

1、依据国家法律,法规,建立企业信息安全管理制度

国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定，并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平

国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。

2、开展全员信息安全教育和培训活动

安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。

开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。

3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务

山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。

4、在发展中求安全

没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。

不是所有的信息安全问题可以一次解决

人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。

5、解决信息安全问题不可能一劳永逸

企业的信息化应用是随着企业的发展而不断发展的,信息技术更是日新月异的发展的,安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。

第9篇：企业信息安全防护方案范文

关键词：病毒；防护；安全体系；架构设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）11-2494-03

随着信息技术与网络技术的不断发展，计算机病毒已发展成为危害企业正常运行的一大问题。根据美国《金融时报》报道，现在平均每20秒就发生一次入侵计算机网络的事件，超过三分之一的互联网被攻破。国内百分之八十的网络存在安全隐患，百分之二十的网站有严重安全问题。计算机病毒不仅会造成人力资源与物质资源的浪费，还会随着病毒的传播演化，形成一个社会化问题，对社会稳定与国家安全构成了极大的威胁。因此，从计算机病毒特点出发，利用已有的安全体系研究方法，对计算机病毒的防护架构展开分析与设计，不仅能够增强企业的自我防护能力，而且对病毒在整个社会范围内的肆意传播起到有力的制约作用，具有十分重要的意义。

1 计算机病毒特点

研究表明[1]，对当前网络安全危害最大的威胁为计算机病毒，它将会造成网络通信阻塞、文件系统破坏、甚至重要数据丢失等严重后果，给企业与个人带来重大的财产损失。为了更为清晰地认识与理解计算机病毒带来的安全风险，我们首先对计算机病毒的特点展开剖析。一般而言，计算机病毒会附着在宿主程序的可执行文件中，随着宿主程序的运行开始执行病毒程序，并且它们具有自我繁殖与网络繁殖功能，在不断传播的过程中加剧破坏程度。传统的计算机病毒具有以下特征：（1）可以感染可执行代码的程序或文件；（2）能够通过网络进行病毒传播；（3）会造成引导失败或破坏扇区，引发硬盘的格式化；（4）消耗计算机内存，减缓计算机运行速度；（5）躲避防毒软件，具有较强的隐蔽性。

随着计算机病毒的不断发展，传统的计算机病毒威胁也日趋复杂化与智能化，其对网络安全造成的危害也在不断加大，我们将这种新型的威胁称为混合型威胁[2]。混合型威胁综合了病毒传播与多种黑客技术，能够自动发现与利用系统漏洞，并通过系统漏洞进行病毒的快速传播与感染。与传统病毒相比，具有混合型威胁特性的病毒具有以下特征：（1）传播速度更快，混合型威胁病毒传播速度极快，通常在几个小时甚至几分钟内感染整个网络，致使网络瘫痪；（2）侵入性与隐蔽性更强，混合型威胁病毒引入了自动化的漏洞发现与利用技术，使其更容易侵入计算机，并具有很强的隐蔽性；（3）破坏程度更大，混合型威胁病毒能够智能地利用计算机漏洞，且伴随着木马程序，在传播过程中形成大规模的DDOS攻击，破坏性与危害性得到进一步提升。2001年7月爆发的红色代码（Code Red）就是该类病毒的典型代表，其集成了多种黑客技术，例如病毒传播、漏洞扫描、漏洞攻击、DDOS攻击等，给互联网用户带来了极大的冲击。2009年爆发的震网（Stuxnet）病毒[3]则主要针对伊朗的核设施实施攻击，该病毒同时利用微软和西门子公司产品的7个最新漏洞，可以绕过安全产品的检测在短期内不被发现。即使被发现之后三年之久，“震网”病毒仍然困扰着军事战略家、计算机安全专家、政治决策者和广大民众。

由此可见，计算机病毒防护是企业网络安全亟需解决的首要问题，如何构建合理的计算机病毒防护架构，增强计算机系统和网络系统的安全性已成为人们关注的焦点。

2 企业安全体系中的病毒防护架构设计

2.1 企业安全体系内容

企业安全体系是指企业在进行信息采集、信息传播、信息处理、信息存储和信息运用过程中，能够保证信息安全性、完整性、可用性、真实性和可控性等方面的基础设施与保障措施[4]。企业安全体系内容主要包括三个方面，即人员、制度和技术，三者既相互联系又相互制约，形成了一个不可分割的整体，具体描述如下：

1） 人员。人员是企业安全体系中最薄弱的环节，根据信息安全防护链分析，人通常是造成企业信息泄露和信息丢失的主要因素。因此，企业安全体系首先解决的威胁不是外部，而是企业内部人员的安防意识与安防能力，加大企业员工的信息安全教育，传授信息安全技巧，培养信息安全综合防护能力，是构建企业安全体系的基础。

2） 制度。制度是企业从日常的工作出发，制定相应的规范与规章，制约企业人员进行安全防护。因此，企业安全体系必须加强规章制度的制定与实施，明确安防责任人，规定安防控制措施与奖惩措施。例如，制定《企业系统安全管理规定》、《企业应急处理管理规定》、《企业数据安全规范管理方法》、《企业密码体制管理办法》、《企业病毒防护手册》等一系列规章制度。此外，企业还需加大监管力度，以制度为依据约束与管理员工，完善企业安全体系建设。

3） 技术。技术是企业安全体系的核心与基本保障，只有建立一套安全稳定的信息安全技术体系，才能够保证企业信息化办公的安全运行。此处的安全技术主要包括身份鉴别技术、病毒防护技术、访问审计技术、网络安全技术、数据加密技术等一系列信息安全技术，同时，企业还需要订购与部署一些相关安全产品，例如企业网络防火墙、病毒防护软件、VPN设备、入侵检测设备等。

2.2 企业病毒威胁分析

根据企业安全管理的实际情况，我们可以对病毒威胁划分类型，从而为病毒防护架构设计提供技术支撑。

企业病毒威胁大致可以分为边界威胁、内网威胁、数据威胁以及远程接入威胁四类，具体描述如下：

1） 边界威胁。边界是指企业内部网络与互联网等外部网络之间的衔接区域，如果病毒防护措施不理想，病毒很容易通过边界区域进入企业的内部网络，对企业造成极大的危害，因此，边界威胁是企业信息安全建设面临的首要威胁。

2） 内网威胁。内部威胁是指病毒对企业内部网络节点造成的威胁，主要包括系统漏洞威胁、Web服务漏洞威胁、僵尸病毒威胁、木马威胁、恶意代码威胁、僵尸代码威胁等。由于企业内部节点数目众多、病毒威胁多样，因此，内网威胁很难实现全面与有效防护。

3） 数据威胁。数据威胁是指病毒对企业内部的数据库造成的威胁。由于企业的数据中心是企业内部信息传输与交换最为密集的地方，一旦遭到攻击将会对企业带来巨大的损失，因此，数据威胁是企业信息安全建设必须重点考虑的一项威胁。

4） 远程接入威胁。由于现代化的企业一般会建立异地分支机构，在总部与分支建立网络连接时大都采用具有保密性的网络连接技术，例如VPN技术。病毒对该类加密技术也会产生一定的威胁，当远程接入的VPN遭到病毒攻击，企业内部网络将会产生较大的损失，因此，该类威胁也是企业信息安全建设必须考虑的一项重要威胁。

2.3 病毒防护架构设计

根据企业安全体系主要内容，针对病毒对企业带来的各类威胁，该文提出了一种新型的病毒防护架构，如图2所示。

企业病毒防护架构包括纵向的防护内容与横向的威胁类型。针对不同的威胁类型，在“人员―制度―技术”三个不同的层面进行分析与研讨，并给出相应的解决方案。该防护架构具体描述如下：

a）边界―人员：组织边界网络管理人员进行专业培训，使其掌握边界网络的病毒防护知识，熟练边界网络防护设备的操作与应用。

b）内网―人员：组织全体员工进行病毒预防知识培训，加强病毒防护意识，减少木马、蠕虫等病毒进入内网的潜在危险。

c）数据―人员：组织数据管理人员进行病毒防护培训，使其掌握数据库入侵知识、病毒攻击手段以及应急处理方法等多种防护技能，熟练防护设备的操作与应用。

d）远程接入―人员：组织负责远程接入的管理人员进行专业培训，掌握针对VPN连接的加密体制、用户权限管理方法、病毒攻击手段以及应急处理方法。

e）边界―制度：建立企业边界网络管理规章制度，明确值班人员的工作职责、病毒防护手册、奖惩制度，约束网络管理人员行为，减少失误，确保边界网络安全。

f）内部―制度：建立企业员工的病毒防护制度，建立监督机构，依据规章制度规范企业员工的病毒防护措施。

g）数据―制度：建立企业数据中心管理规定，明确数据管理人员的工作职责、病毒防护措施以及应急处理方法，按照制度规范各项操作。

h）远程接入―制度：建立远程接入管理规定，规范远程接入操作，减少因操作失误造成的病毒侵入与攻击。

i）边界―技术：针对边界病毒威胁，企业应该对安全设备集成AV防护模块，或者部署硬件防病毒墙，从而可以有效阻止病毒侵入内网，而且在网络边界应增加URL过滤功能，对一些已知的病毒载体网站（挂马网站或不健康的网站）进行地址过滤，减少病毒隐患。

j）内网―技术：针对内网威胁，应建立两级病毒防护机制，即企业级的病毒防护中心与个人版的病毒防护系统。企业级的病毒防护中心负责整个网络的病毒防护，为个人提供杀毒软件更新服务；个人的病毒防护系统则利用杀毒软件、软件防火墙进行病毒防护，且定时更新软件系统，做到个人计算机系统、软件应用等实时防护。

k）数据―技术：针对数据威胁，应在数据中心建立硬件防火墙，对安全信任网络与非安全网络进行隔离，并且设置针对DDOS攻击与病毒攻击的防御软件与设备，例如，杀毒软件、具有高性能检测引擎的入侵防御系统等，具体的防护技术可以详见参考文献[5]。

l）远程接入―技术：针对远程接入威胁，应加强VPN连接的用户访问权限管理，减少无关人员的侵入与破坏，并且加入防病毒软件，监测连接的安全性。

与传统的计算机病毒防护架构不同，该文提出的防护架构更为合理，其不仅局限于局部的技术架构，而且关注了更为高层的制度与人员的安全防护能力，为企业全面推进病毒安全防护体系建设提供可靠指导。

3 结束语

随着计算机病毒的复杂性、智能性与危害性不断提高，企业病毒防护能力已发展成为企业信息化建设中的一个重要问题。该文首先对计算机病毒的特点与发展趋势展开分析，随后利用企业安全体系内容（人员，制度，技术），结合企业潜在的病毒威胁，提出了病毒防护框架及其相应的解决方法。该框架能够有效指导企业病毒防护建设，为企业的网络利用及信息化办公提供保障。

参考文献：

[1] 周子英.某集团网络信息安全体系的构建[J].计算机应用与软件， 2009， 26（12）：273-277.

[2] 赵聪.完善网络安全体系，全面提升信息网络病毒防护水平[J].天津科技，2009，36（4）：82-84.

[3] Robert McMillan.Siemens： Stuxnet worm hit industrial systems[R].ComputerWorld，Septemper 14， 2010.