企业信息安全防护体系精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇企业信息安全防护体系，期待它们能激发您的灵感。

篇1

信息安全的总需求是边界安全、网络安全、主机安全、终端安全、应用安全和数据安全的最终目标，是确保信息机密性、完整性、可用性、可控性和抗抵赖性，以及企业对信息资源的控制［1］。2009年福建公司开展了等级保护工作，结合今年福建公司安全防护体系建设和等保测评成果，证明信息安全防护重点在于管理。现代企业管理实践也证明，任何工作均是3分技术，7分管理。电网企业信息安全工作也不例外，技术只是最基本的手段，规范、科学的管理才是发展根本的保障［2］。

2信息安全防护体系设计

2.1信息安全防护体系总体框架

在对多种信息安全防护体系进行研究分析后，参照ISO/27001信息安全管理标准，根据国家电网公司电网信息安全等级保护“双网双机、分区分域、等级防护、多层防御”原则，提出电网企业的信息安全防护体系框架。电网企业信息安全防护体系建设可从管理和技术层面进行［3］。该体系框架根据规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节的信息系统生命周期特征制定全过程安全管理;从物理、边界、网络、主机、终端、应用、数据7个方面制定全方位的技术防护措施。

2.2信息安全防护管理体系设计

电网企业信息安全在信息系统建设、运行、维护、管理的全过程中，任何一个环节的疏漏均有可能给信息系统带来危害。根据信息系统全生命周期，从规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节，设计覆盖信息安全管理、运行、监督、使用职责的安全管控流程［3－4］。

2.2.1网络与信息系统安全管理

网络与信息系统是企业现代化管理的重点。由于网络与信息系统的动态性、复杂性和脆弱性，建立健全的信息安全管理体系已成为了保障网络与信息系统安全的重要手段。网络与信息系统的安全管理依照国家电网公司制定的《国家电网公司信息网络运行管理规程(试行)》，遵循信息安全等级保护“双网双机、分区分域、等级防护、多层防御”的原则。

2.2.2人员安全管理与岗位职责管理

安全问题的特点为“3分技术、7分管理”，而管理的核心是人，对于人员安全管理与岗位职责管理其主要包含如下管理内容:(1)岗位职责。制定岗位责任书，明确各岗位信息安全责任。(2)持证上岗。安全工作人员持证上岗。(3)保密管理。与员工签订保密协议，并定期进行检查与考核。(4)安全培训。对员工进行定期安全培训。(5)离职管理。对离岗离职人员账号、权限及信息资产进行清理和移交。

2.2.3全过程安全管理

(1)系统规划设计安全管理的主要内容包括:1)分析和确认系统安全需求。2)确定系统安全保护等级并备案。3)制定安全防护方案并进行评审。(2)系统研发安全管理的主要内容包括:1)制订研发安全管理机制，确保开发全过程信息安全。2)加强开发环境安全管理，与实际运行环境及办公环境安全隔离。3)严格按照安全防护方案进行安全功能开发并定期进行审查。4)定期对研发单位环境和研发管理流程进行安全督查。(3)系统实施与上线安全管理的主要内容包括:1)严格按照设计方案对网络、主机、数据库、应用系统等进行安全配置。2)严格遵循各项操作规程，避免误操作。3)组织安全测评机构进行上线环境安全测评。4)及时对系统试运行期间发现的安全隐患进行整改。(4)系统运行维护安全管理的主要内容包括:1)遵循运维安全规程，执行各项运维操作。2)对系统安全运行状况进行实时监控，及时采取预警和应急处置措施。3)定期进行安全风险评估、等级保护测评与整改。4)建立系统漏洞补丁的安全测试、分发和安装管理机制。5)根据数据重要性进行数据备份，并定期进行恢复测试。(5)系统使用安全管理的主要内容包括:1)终端准入控制，对各种移动作业、采集、专控等终端进行安全测评。2)终端外联控制，禁止终端跨网络接入。3)系统账号和权限管理，对系统使用人员及其权限进行严格管理。4)终端使用管理，防止终端交叉使用、用户越权访问等。5)终端数据存储、处理时的安全保护。6)对移动存储介质的安全管理。7)终端维修管理，由运维机构统一处理。8)终端下线、报废时的安全管理，对终端数据进行安全处理。(6)系统废弃下线安全管理的主要内容包括:1)评估系统下线对其它系统的安全性影响，制定下线方案并进行评审。2)系统下线前对重要数据进行备份和迁移。3)系统下线后对不再使用的数据与存储介质进行销毁或安全处理。4)系统下线后及时进行备案。

2.2.4系统测试评估安全机制与评价考核

信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试，测试和试运行通过后方可投入正式运行，信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。安全管理机制的主要内容包括:事件管理、安全督查、等保管理、备案管理，应急管理等。

3信息安全防护体系

电网企业信息安全防护体系的设计［5］，主要从物理、边界、网络、主机、终端、应用、数据7个方面进行，遵循环境分离、安全分域、网络隔离、终端准入、补丁加固、数据分级、安全接入、基线配置、应用审计、密钥应用等技术原则，辅以相应的技术措施实现全面的安全防护［6］。

3.1物理安全

物理环境分为室内物理环境和室外物理环境，根据设备部署安装位置的不同，选择相应的防护措施。室内机房物理环境安全需满足对应信息系统安全等级的等级保护物理安全要求，室外设备物理安全需满足国家要求。具体安全措施如下:(1)机房分区、门禁等准入控制。(2)设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。(3)机柜/机箱应避免可能造成的人身安全隐患，符合安装设备的技术需求。(4)机柜/机箱外应设有警告标记，并能进行实时监控，在遭受破坏时能及时通知监控中心。(5)研发场所分离并采取准入控制

3.2边界安全

边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐蔽通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

3.3网络安全

网络环境安全防护的目标是防范恶意人员通过网络对网络设备和业务系统进行攻击和信息窃取，在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段，以及对信息内外网网络、终端以及防护设备等安全状态的感知和监测，实现安全事件的提前预警;在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位，及时制定相应的安全策略防止事件再次发生;并能实现事后审计，对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件，生成问题报告。

3.4主机安全

主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的损害程度以进行后续处理。

3.5终端安全

终端安全防护目标是确保智能电网业务系统终端、信息内外网办公计算机终端以及接入信息内、外网的各种业务终端的安全。目前重点终端类型包括:(1)配电网子站终端。(2)信息内、外网办公计算机终端。(3)移动作业终端。(4)信息采集类终端。对于各种终端，需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施。

3.6应用安全

按照国家信息安全等级保护的要求，根据确定的等级，部署身份鉴别及访问控制、数据加密、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、等应用层安全防护措施。

3.7数据安全

对数据的安全防护分为数据的灾难恢复、域内数据接口安全防护和域间数据接口安全防护。域内数据接口是指数据交换发生在同一个安全域的内部，由于同一个安全域的不同应用系统之间需要通过网络共享数据，而设置的数据接口;域间数据接口是指发生在不同的安全域间，由于跨安全域的不同应用系统间需要交换数据而设置的数据接口。

4结束语

篇2

【关键词】电力企业；信息网络；安全体系

【中图分类号】TP309【文献标识码】A【文章编号】1672-5158（2013）07-0498-02

引言

随着电力企业不断发展，信息化已广泛应用于生产运营管理过程中的各个环节，信息化在为企业带来高效率的同时，也为企业带来了安全风险。一方面企业对信息化依赖性越来越强，尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产；另一方面黑客技术发展迅速，今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此，建设信息安全防护体系建设工作是刻不容缓的。

1 信息安全防护体系的核心思想

电力企业信息安全防护体系的核心思想是“分级、分区、分域”（如图1所示）。分级是将各系统分别确定安全保护级别实现等级化防护；分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护；分域是依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。

2 信息安全防护系统建设方针

2.1整体规划：在全面调研的基础上，分析信息安全的风险和差距，制订安全目标、安全策略，形成安全整体架构。

2.2分步实施：制定信息安全防护系统建设计划，分阶段组织项目实施。

2.3分级分区分域：根据信息系统的重要程度，确定该系统的安全等级，省级公司的信息系统分为二级和三级系统；根据生产控制大区和管理信息大区，划分为控制区（安全I区）、非控制区（安全II区）、管理信息大区（III区）；依据业务系统类型进行安全域划分，二级系统统一成域，三级系统独立成域。

2.4等级防护：按照国家和电力行业等级保护基本要求，进行安全防护措施设计，合理分配资源，做好重点保护和适度保护。

2.5多层防御：在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计，以实现纵深防御。

2.6持续改进：定期对信息系统进行安全检测，发现潜在的问题和系统可能的脆弱性并进行修正；检查防护系统的运行及安全审计日志，通过策略调整及时防患于未然；定期对信息系统进行安全风险评估，修补安全漏洞、改进安全防护体系。

3 信息安全防护体系建设探索

一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下，构建起来并发挥作用的。

3.1 建立信息安全管理体系

安全管理体系是整个信息安全防护体系的基石，它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面，信息安全组织机构的建立尤为重要。

3.1.1建立信息安全管理小组

建立具有管理权的信息安全小组，负责整体信息安全管理工作，审批信息安全方针，分配安全管理职责，支持和推动组织内部信息安全工作的实施，对信息安全重大事项进行决策。处置信息安全事件，对安全管理体系进行评审。

3.1.2分配管理者权限

按照管理者的责、权、利一致的原则，对信息管理人员作级别上的限制；根据管理者的角色分配权限，实现特权用户的权限分离。对工作调动和离职人员及时调整授权，根据管理职责确定使用对象，明确某一设备配置、使用、授权信息的划分，制订相应管理制度。

3.1.3职责明确，层层把关

制订操作规程要根据职责分离和多人负责的原则各负其责，不能超越自己的管辖范围。系统维护时要经信息管理部门审批，有信息安全管理员在场，对故障原因、维护内容和维护前后情况做详细记录。

（1）多人负责制度 每一项与安全有关的活动必须有2人以上在场，签署工作情况记录，以证明安全工作已得到保障。

（2）重要岗位定期轮换制度 应建立重要岗位应定期轮换制度，在工作交接期间必须更换口令，重要技术文件或数据必须移交清楚，明确泄密责任。

（3）在信息管理中实行问责制，各信息系统专人专管。

3.1.5系统应急处理

制定信息安全应急响应管理办法，按照严重性和紧急程度及危害影响的大小来确定全事件的等级，采取措施，防止破坏的蔓延与扩展，使危害降到最低，通过对事件或行为的分析结果，查找事件根源，彻底消除安全隐患。

3.2 建立信息安全技术策略

3.2.1物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的工作环境；防止非法进入机房和各种偷窃、破坏活动的发生，抑制和防止电磁泄露等采取的安全措施。

3.2.2 网络安全策略

网络安全防护措施主要包括以下几种类型：

（1）防火墙技术。通过防火墙配置，控制内部和外部网络的访问策略，结合上网行为管理，监控网络流量分配，对于重要数据实行加密传输或加密处理，使只有拥有密钥的授权人才能解密获取信息，保证信息在传输过程中的安全。

（2）防病毒技术。根据有关资料统计，对电力信息网络和二次系统的威胁除了黑客以外，很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速，对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件，保障升级和更新的时效性，是行之有效的措施。

（3）安全检测系统。通过专用工具，定期查找各种漏洞，监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等，确保对网络非法访问、入侵行为做到及时报警，防止非法入侵。

3.2.3安全策略管理

对建的电力二次系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略；对已投运且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞；定期分析本系统的安全风险，分析当前黑客非法入侵的特点，及时调整安全策略。

3.2.4 数据库的安全策略

数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言，它可以分为以下几种策略。

（1） 最小特权策略： 是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些权限恰好可以让用户完成自己的工作，其余的权利一律不给。

（2） 数据库加密策略： 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。

（3）数据库备份策略：就是保证在数据库系统出故障时，能够将数据库系统还原到正常状态。

（4）审计追踪策略：是指系统设置相应的日志记录，特别是对数据更新、删除、修改的记录，以便日后查证。

篇3

关键词：信息安全；体系架构；授权访问；安全控制；异常监控

1概述

随着信息化建设的快速发展，信息技术创新影响着人们的工作方式和生活习惯，网络已成为信息传播和知识共享的载体，提高了工作效率，促进了社会的发展和进步，但由于网络环境的复杂性、多变性以及信息系统的脆弱性，决定了信息安全威胁的客观存在。近年来，国内国外信息安全的事件层出不穷，计算机病毒和木马仍然是最大的安全威胁，假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多，SQL注入、数据监听、缓冲区溢出攻击依然盛行，网络钓鱼和网络欺诈日益严重，敏感数据外泄和盗取事件频频发生，信息安全形势日趋严峻。因此，如何建立多层次的信息安全防护体系，如何保证企业信息安全，已成为各企业必须面对的重要问题。

2体系架构总体设计

针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长，不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控，网络黑客人侵、病毒木马感染、信息数据窃取等问题，通过大量的分析调研，确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计，同时选择成熟主流的安全产品，统一规划设计桌面安全管理、身份管理与认证、网络安全域戈0分等功能系统，规范信息系统安全防护和审计标准，最大程度保证信息资源的可用性和安全性。

2.1桌面安全管理系统设计

桌面计算机是产生和存放重要信息的源头，但桌面计算机往往是信息安全事件中最薄弱的环节，因此，为切实保证企业信息业务正常开展，保障个人信息数据安全，建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。

2.1.1安全防范功能模块

安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略，查杀策略应定义为“隔离”；对于恶意商业应用程序，由于这类软件只是一些广告类的恶意重新，终止进程就可以解决问题的，安全风险程度不是很高，所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能，以及自动禁止攻击者的IP时间限定为600秒，避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生，提高桌面计算机抵御恶意攻击的能力。

2.1.2后台管理模块

区域管理器是后台管理功能模块重要组件，通过配置计算机IP范围、区域管理器参数、设备扫描器参数，可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。

2.2身份管理与认证系统设计

当前应用系统已成为企业开展各项日常业务的重要平台，但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况，严重影响企业信息数据的安全性和保密性，因此建立身份管理与认证系统，可以从根本上实现用户身份认证，保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。

2.2.1集中身份管理模块

集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式，对应用系统中的用户身份信息进行汇总与清理，建立统一的用户身份视图，实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程，包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类，从而设计出集中身份管理的功能模型，如图1所示。

2.2.2统一认证模块

统一认证模块支持用户身份的强认证，可对获取权威的身份鉴别信息进行身份认证，包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析，可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身（或分散的目录服务）。

2.2.3公共密钥基础设施模块

公共密钥基础设施系统（PKI）由认证中心（CA）、密钥管理中心（KMC）和证书注册中心（RA）等三部分组成。认证中心采用商密SRQ-14数字证书认证产品和商密SJY-63密钥管理产品，并可提供可信的第三方担保功能，认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息，利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理，用户身份信息的审核，用户数字证书的申请与下载，用户数字证书的撤销与更新等服务。

2.3网络安全域系统设计

前大部分企业的内部网络中均包含有非业务性质网络，且网络行为不受限，对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构，通过划分网络安全域，提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固，后深入内部防护”的指导思想，本文仅对互联网与企业网之间的安全域进行研究和探索，如图2所示。

2.3.1安全防护模块

安全防护设备包括边界防火墙、核心防火墙和入侵检测设备，主要是通过检测过滤网络上的数据包，保证内部网络的安全。防火墙可以位于两个或者多个网络之间，是实施网络之间访问控制的一组组件的集合，通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充，一般该设备部署在内部网络边界。

2.3.2行为审计模块

行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等，可有效防止机密信息的外泄，避免不良信息的扩散，提高员工的工作效率，保障网络资源合理使用，提高网络可管理性。

2.3.3日志分析模块

日志分析模块基于Syslog标准协议，可以对不同设备、主机、应用系统进行日志综合分析和集中展现；实现对报警信息的灵活配置和管理，同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理；基于设备、报警类别、日期等因素进行组合统计和报表，为管理人员提供直观的统计信息和报表信息。

3关键技术

3.1准入控制技术

建立具有结构化、层次化的准入控制体系，针对计算机违规行为下发阻断策略，确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种，一种是在互联网出口处部署端点准人设备，强制所有接人互联网桌面计算机安装桌面安全软件，另一种是使用虚拟隔离技术，制定访问控制策略，针对不合规的桌面计算机下发阻断策略，保证内部网络安全。

3.2主动安全防范技术

主动安全防范技术包括病毒木马探测和数字证书认证等，病毒木马探测技术能够强化桌面计算机实时防护功能，主动拦截病毒木马，防范日常攻击和未知安全威胁；数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式，可以解决账号权限安全管理问题。

4应用效果

在某企业部署的信息安全防御体系应用效果良好。累计查杀新型网络病毒木马560多万个；强认证登录100多万次；抵御外部攻击600多万次，阻止访问木马钓鱼网站5万余次。

篇4

[关键词]电力企业；电力信息；安全防护

引言

电力企业的信息安全日益重要，人们的关注度增加，相关单位也应该对于信息方面的进行大量的投资，进行技术上的研究及更新，这样才能提高信息安全的防护功能。笔者整理了一些与信息安全问题有关的问题，希望可以保障信息网络和数据安全问题。

一、软件方面建设

1、统一部署防病毒软件

众所周知，网络是病毒传播的最佳途径之一。病毒网上都可以随意下载，可者直接购买等，一旦有人蓄意把网络病毒传如系统内部网之中，那么就会造成严重的后果，信息有可能会被窃取，或者高备受到破坏。网络还是一个神奇的快速传播病毒的设备，只要主机上被病毒感染，那么其它网络设备也一样受到病毒的传染，而且这种速度非常之快，也许只有几秒钟的时间，为此，如何进行防毒是非常重要的。首先防毒软件要及时安装，运维人员要随时检测，同时软件要随时升级，设定自动定时扫描，做到随时监控，这样才能有效的杜绝的病毒的侵害，对于信息系统的安全性才能更好的进行防护。

2、部署桌面安全管理系统

安全管理中心策略控制是桌面安全管理系统的核心环节，终端安全才能持续操作下去，对于Windows系列操作系统要有一个全新的理解，对于如何进行安全防护也要做到安全措施，这样才能减少各类风险，下面我们来了解一下安装桌面终端的主要功能有哪些？（1）系统补丁管理是非常重要的环节，可以自动下载，也可以自动修补漏洞，同时还可以杜绝病毒的侵袭，各类够交黑客的攻击等等。（2）安装安全威胁分析，从而让计算机可以智能化的进行系统威胁在哪里，从而进行清除，对于电脑的固定配置的软件也可以进行安全问题的处理，或者给出相应的安全处理办法。（3）企业可以通过计算机进行资产管理。这种管理处于在线管理模式，不仅可以扫描电脑，配置情况，软件情况，同时还可以对具体的产品厂家、型号等进行系统的了解，通过不同的分类，从而达到高效的统筹统计数据。

3、移动储存介质管理系统需要全面处理

随着科技的发展，各类存储硬盘开始向高内存发展，不仅体积小，携带便捷，而且存储量大，越是这样，这样的存储硬盘越难管理。虽然特别便利，但是存在的风险也十分大，因为零部件是微小的，所以清扫病毒的过程有些慢，所以在这个时候一旦在外使用，或者使用不当，就会受到木马等病毒的够交攻击，这样造成的损失是巨大，一旦拿回企业系统中使用，势必会有泄漏企业信息风险。

二、硬件方面建设

1、安装入侵检测设备

网络的入侵检测系统设备的安装，对于管理员随时观测网络安全问题很有帮助，一旦出现问题，就会显示出来，并且对于用户使用外网的数量也会有一个具体的数量，并且可以随时查出网络接入平台是否被其它人随意使用，一旦出现病毒，该系统就可以快速的查出是一部电脑出现了问题，这样就可以快速的解决病毒问题。

2、配置冗余核心交换机等设备安装的重要性

冗余核心交换机的安装，可以有效的解决断电问题，一旦某一条线路发生情况，那么另一条就可以接续工作，不会影响到企业网络全面停电现象，这样也不会对电力企业的发展造成恶劣的影响。重要的设备配置UPS，采用双电源供电，等等设备都要处理好安全问题，以及设备是否可以正常运行的问题，那么也不会因此停电。主干线路采用双链路，这样可以有效的预防某一条线路出现故障时，另一条线路就可以及时代替运作，这样就可以减少电力信息系统断电的问题。

3、运维人员综合素质的提升

运维人员不仅是信息的维护者，更是信息系统可以正常运行的维护者，运维人员一定要做好自己的本分工作，一定要肩负起责任的重要性，同时为了更好的与时俱进，运维人员要保持不断学习新知识的积极态度，只有这样才能更好的进行本职工作。特别是对信息技术的学习是非常重要的，同时也要与同行多交流，提高技术的见识度，这样才能为企业信息系统的安全做出应有的贡献。

三、信息安全管制度的建立与完善

技术是不断更新变化的过程，再好的技术，如果管理不当，那么也会被各种因素而破坏掉，为此，信息技术一定要做管理。而管理是需要人来做的，那么在进行管理的时候，首先要对技术管理人员做好基本工作常识培训，并且对于信息安全管理法则有充分的了解。当然，对于管理人员要时刻做好信息安全教育工作，提高安全教育的意识，提高信息安全教育的重要性等各个方面的学习。（1）在企业职工中进行计算机安全意识常识培训，对于移动硬盘要随时进行杀毒处理，企业移动硬盘在其它地方使用之后，一定要处理好杀毒清理步骤，手机联人内网计算机也要时刻注意信息安全问题，同时信息人员要对计算机基本情况进行核实，目的就是为确保终端用户计算机安全的使用，这样才能让网络信息时代可以用户安全上网。（2）应在各个部分安排信息员，对工作人员进行专业的培训，对信息系统进行随时观测，以免得出现安全漏洞。（3）制定《信息安全管理规定》，与信息安全相关的各项制度，并以此为标准进行公司员工的考核评估标准，一旦违反以上的规定，必须要按标准进行严格的处罚，这样才能使得管理行之有效。

四、结束语

电力企业需要在信息安全的基础之下才能长治久安，正是因为如此，信息安全日益受到关注，不仅投入了大量的资金进行技术更新，还投入了大量的人力物力，希望可以让电力事业可以在更安全的基础之下发展，不仅如此，电力企业的各层领导不仅要从思想上提高安全意识，在行动上也要全面跟进。只有信息安全体系得以保障才能更好的失去电力企业的全面发展。

参考文献

[1]为创建一流的股份制供电企业而努力奋斗[J].农电管理，2013（01）

篇5

[关键词]信息安全；管理；控制；构建

中图分类号：X922；F272 文献标识码：A 文章编号：1009-914X（2015）42-0081-01

1 企业信息安全的现状

随着企业信息化水平的提升，大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备，但信息安全防护理念还停留在防的阶段，信息安全策略都是在安全事件发生后再补救，导致了企业信息防范的主动性和意识不高，信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2 企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则：

2.1 建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范，来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括：分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2 提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中，防护设备和防护策略只是其中的一部分，企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时，绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前，应制定企业员工信息安全行为规范，有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行，保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训，强化企业员工对信息安全的概念，提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3 及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时，就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源，并且可以根据员工级别分配人员访问权限，达到企业敏感信息的安全保障。

3 企业信息安全体系部署的建议

根据企业信息安全建设架构，在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时，我们需要重点关注以下几个方面：

3.1 实施终端安全，规范终端用户行为

在企业信息安全事件中，数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前，企业员工对自己的个人行为不规范，造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为，我们在建设安全防护体系时，仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前，就对用户的终端系统进行安全规范检查，符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计，使得企业员工的操作行为符合企业制定的上网行为规范，从终端用户提升企业的防护水平。

3.2 建设安全完善的VPN接入平台

企业在信息化建设中，考虑总部和分支机构的信息化需要，必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN，VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接，这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下，就必须做好对于移动终端的身份认证识别。其实我们在设备采购时，可以要求设备商做好多种接入方式的需求，并且帮助企业搭建认证方式。这将有利于企业日常维护，提升企业信息系统的VPN接入水平。

3.3 优化企业网络的隔离性和控制性

在规划企业网络安全边际时，要面对多个部门和分支结构，合理的规划安全网络边际将是关键。企业的网络体系可以分为：物理层；数据链路层；网络层；传输层；会话层；表示层；应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下，根据企业安全优先级及面临的风险程度，做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护，真正实现OSI的L2～L7层的安全防护。

3.4 实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系，重要的优势就是能实现对全网安全设备及安全事件的统一管理，做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志，如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时，企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时，就必须要考虑安全设备日志之间的统一化，设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4 结束语

信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划，实施过程中根据不断出现的情况及时调整安全策略和访问控制，保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定，这样才能为企业的信息安全提供生命力和主动性，真正为企业的核心业务提供安全保障。

参考文献

[1] 段永红.如何构建企业信息安全体系[J]. 科技视界，2012，16：179-180.

[2] 于雷.企业信息安全体系构建[J].科技与企业，2011，08：69.

[3] 彭佩，张婕，李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术，2014，12：42-45+48.

[4] 刘小发，李良，严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术，2013，12：25-28.

[5] 白雪祺，张锐锋. 浅析企业信息系统安全体系建设[J].管理观察，2014，27：81-83.

篇6

关键词：大数据；计算机信息安全；企业；防护策略

大数据（bigdata）形成于传统计算机网络技术应用中，并不能将它理解为传统意义中大量数据的集合，而是其中涵盖了更多的数据信息处理技术、传输技术和应用技术。正如国际信息咨询公司Gartner所言“大数据在某些层面已经超越了现有计算机信息技术处理能力范围，它是一种极端信息资源。[1]”正是基于此，社会各个领域行业才应用大数据技术来为计算机信息安全提供防范措施，尤其是企业计算机信息网络，更需要它来构建网络信息防护体系，迎接来自于企业外部不同背景下的不同安全威胁。

1关于企业计算机信息安全防护体系的建设需求

企业计算机系统涉及海量数据和多种关键技术，它是企业正常运营的大脑，为了避免来自于内外因素的干扰，确保企业正常运转，必须为“大脑”建立计算机信息安全防护体系，基于信息安全水平评价目标来确立各项预订指标性能，确保企业计算机系统不会遭遇侵犯威胁，保护重要信息安全。因此企业所希望的安全防护体系建设应该满足以下3项需要。首先，该安全防护体系能够系统的从企业内外部环境、生产及销售业务流程来综合判断和考虑企业计算机信息安全技术、制度及管理相关问题，并同时快速分析出企业在计算机信息管理过程中可能存在的各种安全隐患及危险因素。指出防护体系中所存在的缺陷，并提出相应的防护措施。其次，可以对潜在威胁企业计算机系统的不安定因素进行定性、定量分析，有必要时还要建立全面评价模型来展开分析预测，提出能够确保体系信息安全水平提升的优质方案。第三，可以利用体系评价结果来确定企业信息安全水平与企业规模，同时评价该防护体系能为企业带来多大收益，确保防护体系能与企业所投入发展状况相互吻合。

2大数据环境对企业计算机信息安全建设的影响

大数据环境改变了企业计算机信息安全建设的思路与格局，应该从技术与管理维度两个层面来看这些影响变化。

2.1基于企业计算机信息安全建设的技术维度影响

大数据所蕴含技术丰富，它可以运用分布式并行处理机制来管理企业计算机信息安全。它不仅仅能确保企业信息的可用性与完整性，还能提高信息处理的准确性与传输连续性。因为在大数据背景下，复杂数据类型处理案例比比皆是，必须要避免信息处理过程错误所带来的企业信息资源安全损失，所以应该采取大数据环境技术来展开新的信息处理方式及存储方式，像以Hadoop平台为主的Mapreduce分布式计算就能启动云存储方式，对企业计算机信息进行有效存储、转移和管理，提高其信息安全水平。分布式计算会为企业计算机信息建立大型数据库，或者采用第三方云服务提供商所提供的虚拟平台来管理信息，这种做法可以为企业省下防火墙、数据库、基础性安防技术等等建设环节的大笔成本费用。在信息传递方面，大数据环境主要能够干预企业信息传递，例如为企业计算机系统提供高速不中断的传递功能模块，以确保企业信息传递的完整性与可持续性。在此过程中为了确保企业计算机信息传输的安全可靠，就会基于大数据技术来为企业提供数据加密服务，确保数据传输整个过程都处于安全状态，避免任何信息泄露、被盗取现象的发生。

2.2基于企业计算机信息安全建设的管理维度影响

在大数据环境下，企业计算机信息安全的管理维度影响不容忽视，它体现在人员管理、大数据管理与第三方信息安全等多个方面。在人员管理管理方面，大数据为企业所提供的是由传统集中办公向分散式办公的工作模式转变，它创建了企业自带办公设备BYOD（BringYourOwnDevice），BYOD一方面能有效提高员工积极性，一方面也能为企业购置办公设备节约成本，不过它也能影响到企业计算机的信息安全管理事项，移动设备大幅度降低了企业对计算机系统安全的可控度，可能会难以发现来自于外部黑客及安全漏洞、计算机病毒对系统的入侵，一定程度上增加了信息泄漏的安全隐患。在第三方信息安全管理方面，它可能会对企业信息安全带来巨大影响，因为第三方信息是需要用来进行加工分析的，但它对于企业计算机系统是否能形成保障实际上是难以被企业稳定控制的，所以企业要确切保证第三方信息安全管理的有效性，基于大数据强化企业信息安全水平，利用分权式组织结构来提高企业计算机系统及信息的利用效率，同时也增强大数据之于企业计算机系统的应用实效性。

3基于大数据优化环境下的企业计算机信息安全防护策略

企业计算机信息安全对企业发展至关重要，为其建立安全防护体系首先要明确其信息安全管理是一项动态复杂的系统性工程。企业需要从管理、人员和技术3方面来渗透大数据意识及相关技术理念，为企业计算机系统构筑防线，保护信息安全。

3.1基于管理层面的计算机信息安全防护策略

社会企业其实就是大数据的主要来源，所以企业在对自身计算机信息安全进行保护过程中需要面临可能存在的技术单一、难以满足企业信息安全需求等问题。企业需要基于大数据技术来建立计算机信息安全防护机制，从大数据本身出发，做到对数据的有效收集和合理分析，准确排查安全问题，建立企业计算机信息安全组织机构。本文认为，该计算机信息安全防护策略中应该包含安全运行监管机制、信息安全快速响应机制、信息访问控制机制、信息安全管理机制以及灾难备份机制等等。在面对企业的关键性信息时，应该在计算机系统中设置信息共享圈，尽可能降低外部不相关人员对于某些机密信息的接触可能性，所以在此共享圈中还应该设置信息共享层次安全结构，为信息安全施加“双保险”。另一方面，企业管理层也应该为计算机系统建立信息安全生态体系，一方面为保护管理层信息流通与共享，一方面也希望在大数据环境下实现信息技术的有效交流，为管理层提出企业决策提供有力技术支持。再者，企业应该完善大数据管理制度。首先企业应该明确大数据主要由非结构化和半结构化数据共同组成，所以要明确计算机系统中的所有大数据信息应该通过周密分析与计算才能最终获取，做到对系统中大数据存储、分析、应用与管理等流程的有效规范。举例来说，某些企业在管理存储于云端的第三方信息时，就应该履行与云服务商所签订的第三方协议，在此基础上来为企业自身计算机系统设置单独隔离单元，防止信息泄露现象。另一方面，企业必须实施基于大数据的组织结构扁平化建设，这样也能确保计算机系统信息流转速度无限加快，有效降低企业基层员工与高层管理人员及领导之间的信息交流障碍[2]。

3.2基于人员层面的计算机信息安全防护策略

目前企业人员所应用计算机个人系统已经趋向于移动智能终端化，许多BYOD工作方案纷纷出现。这些工作方案利用智能移动终端连接企业内部网络，可以实现对企业数据库及内部信息的有效访问，这虽然能够提高员工的工作积极性，节约企业购置办公设备成本，但实际上它也间接加大了企业对计算机信息安全的管理难度。具体来说，企业无法跟踪员工的移动终端来监控黑客行踪，无法第一时间发现潜藏病毒对企业计算机系统及内网安全的潜在威胁。因此企业需要针对员工个人来展开大数据背景下的信息流通及共享统计，明确员工在工作进程中信息的实际利用状况。而且企业也应该在基于保护大数据安全的背景下来强化员工信息安全教育，培养他们的信息安全意识，让员工在使用BYOD进行企业内部计算机数据库访问及相关信息共享过程中提前主动做好数据防护工作，辅助企业共同保护内部重要机密信息。

3.3基于安全监管技术层面的计算机信息安全防护策略

在大数据环境中，企业如果仅仅依靠计算机软件来维持信息安全已经无法满足现实安全需求，如果能从安全监管技术层面来提出相应保护方案则要配合大数据相关技术来实施。考虑到企业容易受到高级可持续攻击（AdvancedPersistentThreat）载体的威胁（形成隐藏APT），不易被计算机系统发觉，为企业信息带来不可估量威胁，所以企业应该基于大数据技术来寻找APT在实施网络攻击时所留下的隐藏攻击记录，利用大数据配合计算机系统分析来找到APT攻击源头，从源头遏制它所带来的安全威胁，这种方法在企业已经被证实为可行方案。另外，也可以考虑对企业计算系统中重要信息进行隔离存储，利用较为完整的身份识别来访问企业计算机管理系统。在这里会为每一位员工发放唯一的账号密码，并利用大数据来记录员工在系统中操作的实时动态，监控他们的一切行为。企业要意识到大数据的财富化可能会导致计算机系统大量信息泄露，从而产生内部威胁。所以在大数据背景下，应该为计算机系统建立信息安全模式，利用其智能数据管理来实现系统的安全管理与自我监控，尽可能减少人为操作所带来的不必要失误和信息篡改等安全问题。除此之外，企业也可以考虑建立大数据实时风险模型，对计算机系统中所涉及的所有信息安全事件进行有效管理，协助企业完成预警报告、应急响应以及风险分析，做好对内外部违规、误操作行为的有效审计，提高企业信息安全防护水平[3]。

4总结

现代企业为保护计算机信息数据安全就必须与时俱进，结合大数据环境，利用信息管理、情报、数学模型构建等多种科学理论来付诸实践，分析大数据环境下可能影响到企业信息安全水平的各个因素，最后做出科学合理评价。本文仅仅从较浅角度分析了公司企业在大数据背景下对自身计算机信息安全的相关防护策略，希望为企业安全稳定发展提供有益参考。

参考文献：

[1]尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学,2014:49-51.

[2]雷邦兰,龙张华.基于大数据背景的计算机信息安全及防护研讨[J].网络安全技术与应用,2016(5):56,58.

篇7

本文阐述了国内烟草企业面对的网络信息安全的主要威胁，分析其网络安全防护体系建设的应用现状，指出其中存在的问题，之后，从科学设定防护目标原则、合理确定网络安全区域、大力推行动态防护措施、构建专业防护人才队伍、提升员工安全防护意识等方面，提出加强烟草企业网络安全防护体系建设的策略，希望对相关工作有所帮助。

关键词：

烟草企业；网络安全防护；体系建设

随着信息化的逐步发展，国内烟草企业也愈加重视利用网络提高生产管理销售水平，打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时，也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此，越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。

1威胁烟草企业网络信息体系安全的因素

受各种因素影响，烟草企业网络信息体系正遭受到各种各样的威胁。

1.1人为因素

人为的无意失误，如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击，这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，他是在不影响网络正常工作的情况下，进行截获、窃取与破译等行为获得重要机密信息。

1.2软硬件因素

网络安全设备投资方面，行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位，但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的，如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件，其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，一旦被破解，其造成的后果将不堪设想。另外，各种新型病毒发展迅速，超出防火墙屏蔽能力等，都使企业安全防护网络遭受严重威胁。

1.3结构性因素

烟草企业现有的网络安全防护体系结构，多数采用的是混合型结构，星形和总线型结构重叠并存，相互之间极易产生干扰。利用系统存在的漏洞和“后门”，黑客就可以利用病毒等入侵开展攻击，或者，网络使用者因系统过于复杂而导致错误操作，都可能造成网络安全问题。

2烟草企业网络安全防护体系建设现状

烟草企业网络安全防护体系建设，仍然存在着很多不容忽视的问题，亟待引起高度关注。

2.1业务应用集成整合不足

不少烟草企业防护系统在建设上过于单一化、条线化，影响了其纵向管控上的集成性和横向供应链上的协同性，安全防护信息没有实现跨部门、跨单位、跨层级上的交流，相互之间不健全的信息共享机制，滞后的信息资源服务决策，影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计，致使信息化建设未能形成整体合力。

2.2信息化建设特征不够明显

网络安全防护体系建设是现代烟草企业的重要标志，但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合，对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标，缺乏宏观角度上的沟通协调，致使在信息化建设中，业务、管理、技术“三位一体”的要求并未落到实处，影响了网络安全防护的效果。

2.3安全运维保障能力不足

缺乏对运维保障工作的正确认识，其尚未完全融入企业信息化建设的各个环节，加上企业信息化治理模式构建不成熟等原因，制约了企业安全综合防范能力与运维保障体系建设的整体效能，导致在网络威胁的防护上较为被动，未能做到主动化、智能化分析，导致遭受病毒、木马、钓鱼网站等反复侵袭。

3加强烟草企业网络安全防护体系建设的策略

烟草企业应以实现一体化数字烟草作为建设目标，秉承科学顶层设计、合理统筹规划、力争整体推进的原则，始终坚持两级主体、协同建设和项目带动的模式，按照统一架构、安全同步、统一平台的技术规范，才能持续推动产业发展同信息化建设和谐共生。

3.1遵循网络防护基本原则

烟草企业在建设安全防护网络时，应明白建设安全防护网络的目标与原则，清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分，不同区域的防御体系应具有针对性，相互之间逻辑清楚、调用清晰，从而使网络边界更为明确，相互之间更为信任。要对已出现的安全问题进行认真分析，并归类统计，大的问题尽量拆解细分，类似的问题归类统一，从而将复杂问题具体化，降低网络防护工作的难度。对企业内部网络来说，应以功能为界限来划分，以划分区域为安全防护区域。同时，要不断地完善安全防护体系建设标准，打破不同企业之间网络安全防护体系的壁垒，实现信息资源更大程度上的互联互通，从而有效地提升自身对网络威胁的抵御力。

3.2合理确定网络安全区域

烟草企业在使用网络过程中，不同的区域所担负的角色是不同的。为此，内部网络，在设计之初，应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时，对生产、监管、流通、销售等各个环节，要根据其业务特点强化对应的网络使用管理制度，既能实现网络安全更好防护，也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时，不能以偏概全、一蹴而就，应本着实事求是的态度，根据企业实际情况，以现有的网络安全防护为基础，有针对性地进行合理的划分，才能取得更好的防护效果。

3.3大力推行动态防护措施

根据网络入侵事件可知，较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此，烟草企业在构建网络安全防护体系时，应根据不同的威胁形式确定相应的防护技术，且系统要能够随时升级换代，从而提升总体防护力。同时，要定期对烟草企业所遭受的网络威胁进行分析，确定系统存在哪些漏洞、留有什么隐患，实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制，在系统遭受重大网络威胁而瘫痪时，确保在最短的时间内恢复系统的基本功能，为后期确定问题原因与及时恢复系统留下时间，并且确保企业业务的开展不被中断，不会为企业带来很大的经济损失。另外，还应大力提倡烟草企业同专业信息防护企业合作，构建病毒防护战略联盟，为更好地实现烟草企业网络防护效果提供坚实的技术支撑。

3.4构建专业防护人才队伍

人才是网络安全防护体系的首要资源，缺少专业性人才的支撑，再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强，既要熟知信息安全防护技术，也要对烟草企业生产全过程了然于胸，并熟知国家政策法规等制度。因此，烟草企业要大力构建专业的网络信息安全防护人才队伍，要采取定期选送、校企联训、岗位培训等方式，充分挖掘内部人力资源，提升企业现有信息安全防护人员的能力素质，也要积极同病毒防护企业、专业院校和科研院所合作，引进高素质专业技术人才，从而为企业更好地实现信息安全防护效果打下坚实的人才基础。

3.5提升员工安全防护意识

技术防护手段效果再好，员工信息安全防护意识不佳，系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心，统一对企业网络安全防护系统进行管理培训，各部门、各环节也要设立相应岗位，负责本岗位的网络使用情况。账号使用、信息、权限确定等，都要置于信息管理培训中心的制约监督下，都要在网络使用制度的规则框架中，杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育，提升其网络安全防护意识，使其认识到安全防护体系的重要性，从而使每个人都能依法依规地使用信息网络。

4结语

烟草企业管理者必须清醒认识到，利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋，绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战，以实事求是的态度，大力依托信息网络安全技术，构建更为安全的防护体系，为企业做大做强奠定坚实的基础。

参考文献：

［1］杨波.基于安全域的烟草工业公司网络安全防护体系研究［J］.计算机与信息技术,2012(5).

［2］赖如勤,郭翔飞,于闽.地市烟草信息安全防护模型的构建与应用［J］.中国烟草学报,2016(4).

篇8

关键词： 桌面终端；安全防护体系；安全要求

中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2012）0220131－01

0 前言

随着互联网络和企业网络的发展，信息传播范围和获取手段发生着日新月异的变化。桌面终端在企业员工日常工作中已被广泛使用，成为基本工具。桌面终端需要频繁地访问与企业生产运行密切相关的各种各样的信息系统，大量敏感或信息存储在桌面或移动存储介质中。同时，来自于企业计算机网络外部或内部的攻击活动有增无减，变化无常，加之企业内部桌面非法接入的情况较为普遍，以及桌面安全的管理规章制度没有切实有效的管理手段。目前企业信息安全面临严峻的挑战，如何保证桌面终端的安全，从而保证企业整体信息安全，成为日益突出的问题。同时强有力和切实可行的桌面安全管理手段，也将成为企业信息安全得以保证的基础。

1 桌面终端的安全要求

随着企业信息化建设的迅速发展，终端计算机数量的逐步增加，企业正常、稳定的生产及运行越加依附于企业网络。桌面终端是企业网络的最基本组成部分，也是管理的最薄弱环节，涉及大量敏感或数据，管理较为为复杂，往往成为信息外泄的源头。

企业应根据自身的网络环境，结合基本情况，统一部署防病毒系统和补丁分发系统，并定期对病毒定义文件进行升级和播发安全补丁。同时为了确保终端用户合规接入网络，应建立以端点准入控制系统为基础的安全防护体系，并执行企业制定的安全策略，阻止不符合安全策略的终端用户接入企业网络。终端用户的桌面安全环境需要由完善的桌面管理系统提供保障，除了利用防病毒和补丁系统，来防范和控制木马、恶意软件及内网的攻击行为，还要对企业终端用户的桌面制定相应的安全机制，确保每个接入网络的终端用户都符合企业安全策略，规范终端桌面的安全行为，使桌面终端工作在一个安全的防护体系中，保证企业网络在一个安全、稳定、有较的环境中运行。

2 桌面终端安全防护体系建设

随着信息技术应用的不断深入，企业信息系统集中程度的不断提高，业务对信息系统依赖程度不断加大。现有的安全防护系统仍不能完全预防来自企业内部或外部网络的入侵和攻击，所以需要完善安全防护体系建设，统一建立以防病毒系统、补丁分发系统和端点准入控制系统为基础的桌面安全防护系统，才能使主要依靠信息化应用系统的安全性得到有效保证。

2.1 防病毒系统。防病毒系统体系由总部服务器获取最新病毒定义文件下推到各级单位，实现病毒定义文件的逐级升级。防病毒体系的统一部署，有效地防止了病毒和恶意软件的大面积爆发，为桌面终端安全提供了强有力的保障。

2.2 补丁分发系统。补丁分发系统采用总部服务器过滤最新系统安全补丁并下发到地区公司服务器，地区公司服务器自动下发到终端用户的总体架构方式。补丁管理系统可以帮助企业对网络内各种软件和应用系统进行维护和控制。克服安全漏洞并保持生产环境的稳定性。

2.3 端点准入系统。端点准入安全防护体系由总部服务器下发企业总体安全策略，地区公司接收总部策略后根据本地实际情况制定个性化策略，管理个人计算机。端点准入控制系统需要提供全面的端点保护功能，实现多层次的安全防护策略，有效应对病毒、木马、蠕虫等混合安全威胁，有效应对来自于互联网和内部网络的恶意扫描、恶意入侵等安全威胁。

2.4 桌面安全流量监控体系。通过桌面安全流量监控系统，将桌面安全事件和桌面安全技术支持团队有机联系在一起，建立“发现－定位－处理”循环往复的工作模式，以安全管理团队自上而下的监督、支持和协同作战，推动各级安全管理团队的工作，提升管理水平，保证信息安全在桌面端少出问题，从而增强我们整体的信息安全水平。

2.5 数据文件电子加密。网络中最有价值的是数据，而敏感或数据的安全性越来越重要。网络安全产品大部分都集中在这些数据的，并没有针对数据本身的安全保障提出有效的解决方案。所以建立电子文档加密系统，可以为员工提供方便易用的文件加密工具，切实增强信息安全水平和意识，有效防止敏感信息泄漏。这对提高整体的信息安全也是切实可行的。电子文档加密系统是为桌面用户提供文件加密工具。加密后的文件可有效防范丢失、失窃或在网络上传输时被非法常截获等情况下的信息外泄。

2.6 系统安全审计。建立系统安全审计应为安全部门或管理员提供及时有效的一组管理数据进行分析，以发现在何处发生了违反安全方案的事件。利用安全审计结果，可调整安全政策，堵住出现的漏洞，为此，系统安全审计应该具备以下功能：

1）记录关键事件：由安全相关部门统一定义违犯安全的事件，并决定将什么信息记入审计日志。

2）提供可集中处理审计日志的数据形式：以标准的、可使用的格式输出安全审计信息，使安全官员能够直接利用软件工具处理这些事件。

3）实时安全报警：扩展现有管理工作的能力并将它们与数据链路驱动程序和安全审计能力结合起来，当发生与安全有关的事件时，安全系统就报警通知相应的部门。

2.7 加强桌面安全管理。建立严格遵守规章制度，依据国家法律法规根据企业本身的实际情况制定相关规章制度，让终端用户遵守相关制度，可以有效的减少终端安全桌面的事故发生。培养终端用户良好的安全意识，安全意识低的必然结果就是导致信息安全实践水平较差，所以培养终端用户的安全意识可以防止利用终端入侵企业网络。加强桌面用户安全培训，经常组织安全培训可以提高终端用户的安全防护知识，提升终端桌面的防御能力。

3 结语

桌面终端是企业网络运行的基础，也是企业信息安全最脆弱的部位，目前企业的安全防护手段不能完全的对桌面终端做到有效的安全管理，所以应该根据需求建立相应的安全体系，不仅能增加桌面终端的安全防护能力，同时也减少企业网络面临的安全威胁，同时应提高终端用户的安全意识，加强安全管理。

参考文献：

篇9

［关键词］ 网络；安全威胁；中国石油；网络安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中图分类号］ TP343.08 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）10- 0062- 02

1 引 言

随着市场竞争的日益加剧，业务灵活性、成本控制成为企业经营者最关心的问题，弹性灵活的业务流程需求日益加强，办公自动化、生产上网、业务上网、远程办公等业务模式不断出现，促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网，一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理，国家监管部门对企业的内控管理提出了多项规范要求，包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。

然而信息网络面临的安全威胁与日俱增，安全攻击渐渐向有组织、有目的、趋利化方向发展，网络病毒、漏洞依然泛滥，同时信息技术的不断更新，信息安全面临的挑战不断增加。特别是云的应用，云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系，满足业务发展的需要，已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。

2 大型企业网络面临的安全威胁

赛门铁克的《2011 安全状况调查报告》显示：29％的企业定期遭受网络攻击，71％ 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大，信息系统多，受攻击面广等特点，更是成为被攻击的首选目标。

大型企业网络应用存在的安全威胁主要包括：（1）内网应用不规范。企业网络行为不加限制，P2P下载等信息占据大量的网络带宽，同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网，对内网应用系统安全构成威胁。（2）网络接入控制不严。网络准入设施及制度的缺失，任何人都可以随时、随地插线上网，极易带来病毒、木马等，也很容易造成身份假冒、信息窃取、信息丢失等事件。（3）VPN系统安全措施不全。企业中的VPN系统，特别是二级单位自建的VPN系统，安全防护与审计能力不高，存在管理和控制不完善，且存在非系统员工用户，行为难以监管和约束。（4）卫星信号易泄密。卫星通信方便灵活，通信范围广，不受距离和地域限制，许多在僻远地区作业的一线生产单位，通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输，容易被截获。（5）无线网络安全风险较大。无线接入由于灵活方便，常在局域网络中使用，但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。（6）生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范，大多数二级单位采用防火墙逻辑隔离，有些单位防护策略制定不严格，导致生产网被来自管理网络的病毒感染。

3 大型企业网络安全防护体系建设

中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，将企业信息安全保障体系建设列为信息化整体规划中，并逐步实施。其中涉及管理类项目3个，控制类项目3个，技术类项目5个。中国石油网络安全域建设是其重要建设内容。

中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统，是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路，承载对内服务业务信息系统的网络，与外网逻辑隔离。外网是实现对外提供服务和应用的网络，与互联网相连（见图1）。

为了构建安全可靠的中国石油网络安全架构，中国石油通过划分中国石油网络安全域，明确安全责任和防护标准，采取分层的防护措施来提高整体网络的安全性，同时，为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想，将项目分为：广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。

广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时，还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护，所有单位均通过16个互联网出口对外联系，规划DMZ，制定统一的策略，对外服务应用统一部署DMZ，内网与外网逻辑隔离，内网员工能正常收发邮件、浏览网页，部分功能受限。

域间防护方案主要遵循 “纵深防护，保护核心”主体思想，安全防护针对各专网与内网接入点进行部署，并根据其在网络层面由下至上的分布，保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况，将数据中心划分为4个安全区域，分别是核心网络、二级系统区、三级系统区、网络管理区；通过完善数据中心核心网络与广域网边界，二级系统、三级系统、网络管理区与核心区边界，二、三级系统区内部各信息系统间的边界防护，构成数据中心纵深防御的体系，提升整体安全防护水平。

域内防护是指分离其他网络并制定访问策略，完善域内安全监控手段和技术，规范域内防护标准，实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础，并通过完善现有SSL VPN系统、增加IPSEC远程接入方式，为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础，实现用户互联网访问、安全设备管理准入及授权控制、实名审计；以部署设备证书为基础，实现数据中心对外提供服务的信息系统服务器网络身份真实可靠，从而确保区域网络中心、数据中心互联网接入的安全性。

4 结束语

一个稳定安全的企业信息网络已成为企业正常运营的基本条件，然而信息网络的安全威胁日益加剧，企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设，系统地解决网络安全问题，供其他企业参考。

主要参考文献

［1］王拥军. 浅谈企业网络安全防护体系的建设 ［J］． 信息安全与通信保密，2011（12）.

篇10

不过，近期奇虎360拿出的整套企业安全解决方案则正式告诉外界：我们的根基还是在安全领域。在开拓了游戏、搜索甚至随身Wi-Fi这样的产品后，企业安全服务真正呼应了奇虎360品牌标识上的那个十字标识。

在加入奇虎360以前，李博已经在企业安全领域工作多年。在决心涉足企业安全领域后，奇虎360招募了大批像李博一样于此有丰富经验的人员，组成了一个新的团队。以此为根基，360企业安全部门从一个全新的视角重新审视企业信息安全。这个新视角，指的是信息安全产品之间的数据共享、协同保护。360企业安全部门高级安全咨询经理李博将其称之为“立体安全防护体系”。

信息安全产品的类别非常多样化，防病毒、数据泄漏防护、入侵检测、防火墙、统一威胁管理等各类产品充斥于市场之上。这些产品大都单点式的演进，同时并不强调兼容，因此每一种产品就像一个安全孤岛。在过去，这样的做法一般来说是可以防护大部分安全威胁的。但是，在安全边界被打破、移动、虚拟化等新技术兴起，同时安全形势愈发严峻的今天，单点式的部署已经不是什么好的选择。如今这一点已经为安全业界所达成共识。

李博将当前的企业信息安全问题总结为五点：传统防御技术失效、产品孤军作战、缺乏整体考虑、制度建设滞后，以及重产品、轻服务。

而新的“立体安全防护体系”，就是将眼光瞄准于解决这类问题。在这个体系中，大数据是非常重要的技术之一。李博表示：“大数据包含两个部分，审计存储与分析。审计只是一个亡羊补牢的手段，而加入了大数据分析后，可以做到事先和事中的发现。”除了大数据技术以外，未知威胁防御、云计算及虚拟化安全、移动终端安全，以及攻击审计和全过程回溯技术。

依托于这些技术，李博认为，智能SOC平台、搭载了APT检测的IDS产品、云计算与虚拟化安全产品、工业安全、审计及攻击回溯产品，以及移动安全产品，将会成为未来企业信息安全市场的大热门。

篇11

信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性，其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。国际标准化组织(ISO)把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。

信息技术在企业管理、生产管理和过程管理中的应用，提高了企业的生产运行和经营管理水平。但在信息网络安全体系层面，不少企业却面临着风险：

1.网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施，来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。

2.业务安全风险。缺乏严格的验证机制，导致非法用户使用关键业务系统，不同业务系统之间缺少较细粒度的访问控制。

3.数据传输的安全风险。企业的数据通过互联网传输时被窃听。

4.系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。

5.病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏，网络化的环境需要网络化的防病毒方案及多层次的防护体系。

信息安全不仅仅是技术上的问题，更多地涉及到安全管理层面。加强信息安全的管理是企业建立信息安全体系的一个重要部分。

全面的安全防护体系是保证企业信息网络安全运行的根本，是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品，要有重点地布置安全产品。

1.划分安全区域并制定明确的边界访问制度，根据数据敏感程度，在关键业务网段处部署网闸系统，在管理和办公网段以及其他出口处部署防火墙系统，实现严格的访问控制机制。

2.建立网络入侵检测系统，增强审计响应手段，提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。

3.建立网络入侵保护系统，在出口处对网络流量进行检测，并实时阻断来自外部或内部的各种攻击，同时净化网络流量。

4.构建节点间的VPN体系，保护在节日间数据传输的机密性、完整性和可认证性。

5.部署漏洞扫描系统，检查网络，系统以及终端存在的弱点和漏洞。

6.建立网络防病毒体系，以增强全网抗病毒和防蠕虫攻击的能力。

7.在对外信息系统前部署抗拒绝服务系统，抵御来自外部的各种拒绝服务攻击。

8.建立数据备份系统，提高关键业务数据的可用性。

9.部署集中的认证系统，实现认证信息的集中存储与鉴权控制。

完善的安全管理策略是对企业信息网络安全进行可控管理的关键，安全管理策略的建设包括以下内容：

1.制定完善的信息安全规章制度，规范整个企业对网络以及信息系统的使用。

2.定期对全网进行安全评估和加固，通过安全评估，实时了解和掌握整个网络的安全现状，通过安全加固使网络和系统更加健壮。

3.建立内网安全管理系统，从终端安全、桌面管理、行为监控、网络准人控制等方面对内部网络进行保护，加强对内部网络和系统的管理。

4.建立一套完备的应急响应机制，以便在遇到突发事件时可以及时响应并解决问题。

篇12

[关键词]广播发送平台 信息安全 防护体系 有效性

中图分类号：F262.5 文献标识码：A 文章编号：1009-914X（2014）24-0306-01

进入21世纪以来，社会经济迅猛发展，科学技术水平逐步提高，信息手段已经成为了各行各业运用的主要设施。广播作为人们生活的重要内容之一，其传播方式的改变就成为了大势所趋。在现代化设备逐步更新换代的大背景下，我国的广播发送平台也从以往的单一人工操作方式，转变为了自动化、集成化的传递手段，信息的传送更加高效快速，人们获取信息资源也更具实效性，在很大程度上节约了时间，并减少了人力资源投入。但是这种现代化的信息传递方法也存在着明显的弊端，很多黑客入侵系统，认为制作恶意代码，给广播发送平台带来了巨大的损失，不利于信息设备的长久使用，如何完善广播发送平台信息安全防护体系已经成为了社会各界关注的焦点。针对这样的现象，本文就结合我国广播发送平台信息传递的实际情况，简单阐述一下怎样构建有效的防护体系，从而确保信息安全传递，促进我国广播事业的有效发展。

一、广播发送平台信息安全防护体系的主要内容

第一，信息安全保护模型。信息系统的安全防护是一个复杂的过程，在具体实施中要首先分析其信息系统的风险情况，接着再制定有效的保护方式，最后在技术、管理等方面予以保护，提升信息的安全完整度，将安全风险降低到最小。

第二，信息保障技术框架结构。信息保障技术框架结构简称为IATF，它是由美国国家安全局（NSA）制定的，以保护美国政府和工业界的信息与信息技术设施提供技术指南为目的的结构框架。IATF强调的是人、技术、操作这三个核心要素，从多种不同的角度对信息系统进行防护。IATF关注四个信息安全保障领域，即本地计算环境、区域边界、网络和基础设施、支撑性基础设施。在此基础上，对信息信息系统就可以做到多层防护，实现组织的任务或业务运作，这样的防护被称为“深度防护战略”。

二、广播发送平台信息安全防护体系的构建

广播发送平台信息安全防护体系的有效构建对信息的快速传递、设备的有效保护以及信息的安全性具有非常积极的作用。为了切实达到这一目标，广播单位机构一定要构建完善的体系制度，以保证信息的安全性。

（一）安全边界区域

广播发送系统的网络结构比较复杂，包括系统外网、系统内网及互联网，安全边界区域安全的建设需要从如下几个方面考虑。

（1）访问控制。对广播发送系统的内网和外网、内网不同区域间进行分割，对不同区域之间的实现访问控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行分析，可以实现对网络流量的精细控制，把可能的安全风险控制在各自相对独立的区域内，有效避免安全风险的大规模扩散。可以采用安全设备有物理隔离、防火墙、网闸、可管控防火墙等技术。

（2）身份鉴别。访问的内网用户，需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制，以及使用传输介质的身份鉴别等。

（3）攻击防范。TCP或IP 协议具有开放特性，从协议角度缺少足够的安全特性，给广播发送系统带来了安全风险，常见的威胁有IP地址窃取、IP地址假冒、网络端口扫描以及拒绝服务攻击等。在安全边界必须提供有效的检测和防范措施，采用安全设备有入侵检测、入侵防御系统的技术。

（二）安全计算环境

广播发送系统信息平台的安全计算环境主要由业务终端、管理终端、应用服务器、数据库服务器及应用系统本身构成。安全计算环境内容，包括操作系统和数据库管理系统所提供的安全功能。

（1）统一管控。为了广播发送系统的网络环境安全，需要对全体的操作终端和服务器实现统一管控。对业务终端系统，可以采用安全方式进行结构化保护；对服务器系统和数据库系统，采用安全管控器方式进行结构化保护。安全管理平台对分布在内部计算环境的各种业务终端、管理终端、应用服务器和数据库服务器进行统一监控和管理。

（2）安全审计。广播发送信息系统、操作终端、服务器的操作系统及数据库系统，配置并启用操作日志功能。同时，安全管理中心的日志审计系统，将操作系统、数据库、业务系统的日志信息收集，并进行集中审计，为管理员进行分析提供便利。

（3）应用安全。现有应用安全的基础上，针对广播发送信息系统核心业务的安全需求，采取防护措施保障。主要包括对身份鉴别、访问控制、数据传输、安全审计等层面进行控制，构建应用安全系统整体的保护策略。

（三）网络和基础设施

（1）安全通信网络。广播发送信息系统的安全通信网络防护系统负责保证安全系统在通过网络进行跨域访问时的安全，同时防止外部网络非法访问内部安全系统，通信网络传输安全主要是保密性、完整性和抗抵赖，这个功能可以通过加密传输来实现，而且能够阻止网络入侵行为，采用安全管理中心的通信网络监控模块予以实现（图1）。

（2）物理安全基础设施。对于广播发送信息系统的物理安全基础设施的建设，应从如下几个方面来规划和考虑：

第一，严格控制机房的出入，包括根据广播发送信息系统的安全级别来安排机房访问层次划分，部署门警系统、部署视频监控系统来防止对物理机房的非法访问。

第二，电力系统的保护，保障系统的持续电力供应系统，配备合适功率的UPS电源，达到一类供电标准，同时对电力的布线严格按照相关标准执行，加装电力监测系统，有效的对电力系统实时监测。

第三，物理线路安全保护，对于物理线路的安全保护是保证信息系统持续安全、运行的关键， 需要建立防电磁泄漏系统以及物理线路的备份保护等。

结束语

总而言之，由于社会主义现代化建设的不断发展完善，计算机、互联网等现代化设施已经走进了千家万户，在各行各业中都得到了广泛应用。广播发送平台作为技术运用的主要方面，更是受到了社会各界的关注。为了保证信息的快速安全传递，提升信息的有效性，我国广播单位一定要构建信息安全防护的有效体系，完善安全边界、营造安全环境，并健全相关网络和基础设施，为广播事业的发展作铺垫。

参考文献

[1] 江龙才.电网企业信息安全防护体系研究与应用[A].安徽省电力公司、安徽省电机工程学会.第一届电力安全论坛优秀论文集[C].安徽省电力公司、安徽省电机工程学会：2008：6.

篇13

信息，同企业其他资产一样是种资产，对企业的发展有很大作用。信息以各种形式存在，包括纸质的、电子的、图像的等。我国信息专家钟义信认为：“信息是该事物运动的状态和状态变化方式的自我表述/自我显示。”顾名思义，信息安全既保障“信息”的“安全”。关于信息安全，国际标准化组织（ISO）认为：“信息安全是在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。我国信息安全专家沈昌祥院士则认为：“信息安全是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性”。

二、企业信息安全体系设计

2.1企业信息安全体系方案概述

2.1.1信息安全体系设计原则

企业信息安全体系的设计应遵从以下原则：

（1）性能平衡，合理划分：提高整个系统的“安全低点”的性能，保证各层面能得到均衡防护；按照合理原则划分为安全等级，分区域、分等级防护。

（2）标准一致，功能互补：在产品技术、产品设备选择方面，尽可能遵循同一业界标准；充分考虑不同厂商、不同安全产品的功能互补，在进行多层防护时，考虑使用不同厂家的。

（3）统筹规划，分步实施。

2.1.2信息安全体系框架

网络安全的实现不是目标，是过程。其过程经历了安全评估、制订安全策略、安全培训、安全技术实施、安全网络检测、应急响应和灾难恢复等环节，并不断地螺旋式提高发展，得以实现网络安全。信息安全体系的三要素：管理、技术和运维。通过一系列的战略、系统和机制的协调，明确技术实现方法与相关安全操作人员的职责，从而达到安全风险的发现和有效控制，从而改善的安全问题反应速度和恢复能力，增强整体网络安全能力。管理方面，建立、健全安全组织结构；技术方面，建立分层网络安全策略；运维方面，通过不同的安全机制，提高网络安全的能力。

2.2企业信息安全技术体系

2.2.1信息安全技术体系概述

（l）设计原则

分析企业信息网络安全面临的主要威胁，实施有针对性的安全技术体系。安全技术体系的总体性要求如下：全面综合：采用综合解决方案，体系层次化，具有纵深性。集成统一：有效集成各类管理工具，集中化管理所有IT系统。开放适应：支持各种安全管理标准，能适应组织和环境的变化。

（2）信息安全技术体系框架

通过物理安全、网络安全、系统安全、应用安全等方面进行建设。具体有以下措施：物理安全防护建设；统一容灾备份中心建设；防火墙系统的部署；入侵防护系统的部署；系统安全防护建设；防病毒系统部署；漏洞扫描系统部署；信息审计系统防护。

2.2.2物理安全防护建设

（1）配套设备安全

采用多路供电（市电、动力电、UPS）的方法，多路电源同时接入企业信息系统大楼或主机房及重要信息存储、收发等重要部门，当市电故障后自动切换至动力电，动力电故障后自动至UPS供电。并且，当下级电源恢复后，应立即自动切换回去。这样，既保证了安全性，又降低了运行费用。形成一套完整的先进和完善的供电系统及紧急报警系统。供电系统中，会有尖峰、浪涌等不良现象发生，一旦发生，轻则断电重启，重则烧毁并引发火灾。这种情况下，UPS也无济于事。为避免对供电质量和造成不安全因素，可以使用电力净化系统。电源净化系统不仅保证电源质量，同时还可减少电磁污染，避免信息随电缆外泄。用多路供电接入企业机房及重要部门，降低了运行成本，又保证了系统的安全。

（2）计算机场地安全

严格按照国家标准建设，如国标GB/T2887-2000《电子计算机场地通用规范》、GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》等。《电子计算机场地通用规范》规定了站址选择条件：计算机场地尽量建在电力、水源充足，自然环境清洁、通信、交通运输方便的地方；应尽量避开强电磁场的干扰；应尽量远离强振动源和强噪声源；应尽量建在建筑物的高层及地下室以及用水设备的下层。规定了温度、湿度条件并将它分成ABC三级；规定了照明、日志、电磁场干扰具体技术条件；规定了接地、供电、建筑结构条件等。

2.2.3统一容灾备份中心建设

无论企业信息系统设计、维护得多科学合理，故障的发生都是不可避免的，因此在设计时都应考虑容灾解决方案，即统一容灾备份中心建设。基本思路是“数据冗余+异地分布”，即在异地建立和维护一份或多份数据冗余，利用数据的冗余性和地理分散性来提高对灾难事件的抵御能力。企业数据容灾，存储是基础，备份是核心，恢复是关键。信息网络采用本地备份与异地备份的混合方式，以确保数据或系统的安全。通过各种层面的冗余技术，减少单点故障；使用合适的备份技术实现针对各个位置存放的数据的保护、隔离和严格访问，保证数据的一致性、安全性和完整性。包括：存储磁盘的冗余设计，对系统盘采用RAID1技术，对数据盘采用RAID5技术。数据的冗余备份设计：数据库数据文件的存放采用基于SAN架构的存储方案，在保证读取速度的同时，利用远程数据镜像和数据复制技术进行冗余备份，在区域性空难发生时能更大限度保证数据完整和安全。对核心业务的数据库数据，还可利用SQLServer自带的数据备份工具进行数据库文件备份，有效应对文件损坏或人为误操作带来的数据风险。对正常业务中关键数据或全业务数据进行保护，将主数据库的数据以逻辑的方式在异地机房建设一个同样的数据库，并且实时更新数据，当主数据库因灾损坏或失去，异地数据库可以及时接管业务，从而达到容灾的目的。

三、结论及展望

篇14

【关键词】电力企业 内网安全 绿色防护 策略

传统网络安全，更多考虑的是如何防范外网对内网的攻击，但这种传统手段已不能应对来自内部的层出不穷的恶意攻击和病毒。但根据相关资料显示，网络内部的计算机客户端的安全威胁更为普遍，大多安全事件是由内网用户有意或无意的操作造成的，因此，内网安全不容忽视。较之于外网安全，内网安全特点更突出，主要表现在：（1）须建立更全面、更客观和更严格的信任体系和安全体系；（2）须对计算机终端、服务器、网络和使用者等各个细节进行更加具有针对性的管理。网安全是内部局域网的信息防泄密和终端安全管理，电力企业在内网安全设计时，须以提高系统的保密性为出发点，将各种安全技术和管理手段结合起来，建立起覆盖全面、经济实用、结构合理、安全可靠的内网安全防护体系。

1 内网安全绿色防护的必要性

随着计算机技术的不断发展，电力企业管理信息化逐渐加强，信息技术给企业带来极大便利的同时，也存在一定的信息安全隐患。网络不存在绝对的安全，稍微不留意或防护措施不当，内网很有可能受到病毒的攻击和侵害，造成重要信息的泄露，给相关企业造成严重损失。尤其是电力企业，其内部核心技术决定着自身生存和发展，一旦泄露，将会对企业造成致命的损失。因此，电力企业须加强对涉及到信息的采集、分析、加工、处理、存储、传输及检测等各个方面的网络应用的重视，建立完整、立体、多层次的企业内部网络的绿色安全防护体系。只有从绿色电力IT 理念出发，建立起安全可靠、科学可行的内网安全绿色防护系统，才能满足企业的需求，保障数据存储的安全性、传输的可靠性和处理的可延展性，保障信息系统和控制系统的安全和稳定。

2 内网安全绿色防护策略

2.1 过客访问安全管理

内网安全绿色防护，过客访问安全管理是重点。对过客访问控制，能够对外来的访客进行有效定位、监控、异常阻断和报警，从而增强计算机信息终端管理能力，保障了企业的信息安全。过客访问安全管理，主要包括以下几个方面：1.对无线访问用户，应建立可靠的无线访问审查策略，为用户提供安全的无线访问接口，同时将无意义的无线访问点进行排除。2.对VPN用户，应最大限度限制访问内网的权限，隔出其访问给内网带来的巨大威胁。3.对新接入的网络终端和笔记本计算机，应经注册登记、设置访问权限和范围后才能使用。4.对外接移动存储器（U盘等），要设置其使用的内网物理范围，并设定专用的密码，保障数据移动的安全性。

2.2 虚拟边界防护

内网安全绿色防护，建立虚拟边界防护非常有必要。信息技术进步，也滋生了许多网络病毒，网络安全是一个相对的概念，不存在绝对安全，电力企业信息资源众多，数据庞杂，在运行管理过程中，不能保证不受到攻击。因而，应加强重视，企业实际业务情况重新定义信息系统安全级别，建立起虚拟边界。同时，应该根据企业内部具体情况制定有针对性的管理策略，包括实名登记、数据浏览监控、内网访问限制等，最大限度将攻击阻挡在外，保障信息资料的安全。此外，还应尽可能避免由于受到攻击而使整个网络陷入瘫痪等安全事件的发生，保障电力系统信息系统的安全、稳定运行。

2.3 内网终端强制性管理

内网安全绿色防护，内网终端强制性管理必不可少。通常情况下，内网终端强制性管理主要包括：桌面系统安全、病毒防护、身份鉴别、访问控制、漏洞扫描等五大方面，网终端强制性管理是建立内网安全防护体系的基础。电力企业应加强网终端强制性管理，主要内容包括以下几个方面：1.自动分发系统补丁，及时扫描漏洞；2.自动监控上网流量，自动断开流量超标的终端，防止蠕虫病毒传播和蔓延；3.绑定IP地址，防止人为更改和IP地址冲突，避免受到ARP的欺骗攻击；4.自动收集软硬资产，及时掌握内部网络终端资产和硬件配置变动情况。

3 小结

随着信息技术的不断发展，企业信息系统不断升级，大量的技术和企业机密均储存在计算机和网络中，网络安全重要性越来越突出。网络上一个小小的漏洞，都很有可能引起信息完全问题，造成重要信息的泄露，从而影响企业的发展。尤其是电力系统内部终端多，层次和构架都非常复杂，因而做好内网安全绿色防护势在必行。只有从绿色电力IT 理念出发，充分利用现代企业信息资源管理的优势，合理规划内网，构建完整的、立体的、多层次的“外防内控”网络安全防御体系，才能保障电力企业的利益，才能促进企业的健康、可持续发展。

参考文献

[1]王海涛，闫前进.内网的安全风险分析与保护策略[J].保密科学技术，2011（02）.

[2]李孟兴，迟承哲，王海燕.电力企业信息安全趋势与防范措施[J].电力信息化，2010（12）.

[3]周祥峰.基于行为的内网安全威胁检测系统在电力企业的应用[J].计算机安全，2013（03）.

[4]石磊，于辰，王刚，柳旭日.企业内网终端数据防护策略的研究[J].华北电力技术，2012（11）.