序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇內網信息安全管理范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

電力企業作為能源行業的重要組成，隨著網絡通信技術的廣泛應用，逐漸形成完善的計算機網絡信息安全管理系統。然而，由于電力企業地域性分布廣泛，各類業務應用相對繁雜，特別是網絡拓撲結構交錯性強，加之來自網絡內外的各類潛在病毒及黑客攻擊的干擾，網絡安全問題面臨嚴峻挑戰。本研究將從電力企業內網安全管理入手，就其風險因素及防范技術展開探討。

 

一、電力企業內網面臨的完全威脅

 

內網是相對于外網而言，在電力企業內外建設上，根據不同應用領域和管理實際，內網建設多以核心交換機為中心，來實現對不同部門、不同業務之間的協同管理。其面臨的安全威脅主要表現在：

 

一是物理層面的風險，如信息中心各主要服務器、路由器、交換機、工作站等硬件設備、線纜的安全，在進行網絡部署時未能從防火、抗震、抗電磁輻射干擾上進行優化，特別是未對接地電阻、獨立接地體，以及線纜屏蔽層進行防護，對于重要服務器及重要網絡設備未建立雙UPS電源管理，對一些關鍵數據設備在出現故障時未進行容災備份設計。

 

二是網絡架構安全因素，由于內網設計不同領域、不同部門的每一個員工，在不同站點之間采用不同的連接方式，如有些是光纖連接、有些是租賃專線，有些是VPN連接;在網絡拓撲結構上因設備系統擴展，缺乏科學規劃，導致邏輯網絡子網劃分不合理、子網間不安全連接問題突出。

 

三是網絡系統設置因素，對于不同主機系統、網絡設備等硬件在安全配置上存在漏洞，有些系統補丁不健全，容易留下攻擊隱患;有些配置管理操作不規范，如一些路由器配置不合理，特別是針對Windows系統與Linux系統共存環境下的內網配置參數問題，都給系統管理帶來影響。四是應用軟件風險因素，從內網應用軟件系統來看，一方面為辦公系統軟件，設計系統等通用軟件，另一方面是電力系統協同軟件，財務軟件等行業類軟件，再者是圍繞電力生產、供應、管理、調度而開發的專用自動化系統軟件，營銷系統等。

 

由于不同軟件廠家在軟件設計、使用及軟件漏洞管理上都存在不足，而電力企業在內網應用軟件管理上未能進行協同推進，特別是軟件的口令授權、權限設置，軟件系統數據管理及配置、備份管理等問題，都可能帶來更多安全缺陷。五是病毒防范及信息安全意識不足，對于內網，同樣需要關注病毒侵害風險，特別是在一些文檔傳輸中，對于病毒的形式、傳播途徑等未能進行專業防范，特別是風險意識不足，未能真正從制度上、管理上落實安全管理要求。

 

二、電力企業內網安全管理技術

 

(一)防火墻技術的應用。

 

在企業內外網最關鍵的安全防線就是防火墻，一方面防火墻阻止外網的未經許可的訪問，另一方面實現對內網的安全防護。利用防火墻中的包過濾技術，可以實現對未經授權的訪問流進行檢索和控制。如判定數據請求的源地址、目標地質是否安全，數據傳輸端口是否正確;同時，防火墻還可以通過對傳輸數據的相關地址屬性信息來判定數據包的請求是否合法，并進行優化處理; 另外，利用防火墻，還可以實現IP地址的轉換，特別是通過地址映射技術，實現對內網網絡中的IP地址進行虛擬化管理，實現對內網的安全保護。

 

(二)漏洞掃描及入侵檢測技術。

 

對于網絡安全的檢測與管理，通常需要從漏洞掃描技術應用中，來發現本地網絡及內部其他網絡的安全脆弱性問題。特別是對網絡系統內部各類運行行為的掃描，分析安全日志并監測不同內網用戶的操作行為是否合法，并從系統平臺的安全策略檢測上，對可疑行為發出告警。如利用分段入侵檢測來檢查網絡系統安全防護結構的完整性，提升內網安全管理效度。

 

(三)網絡安全防護技術。

 

從內網安全管理實踐來看，網絡安全防護技術主要通過對網絡系統設備、軟硬件系統進行正確配置和合理優化，來抵御可能存在的內網安全風險。如在操作系統登錄管理上，利用授權賬戶管理，并從密碼及有效期限，以及操作權限上進行分級管理;在進行內網遠程登錄連接過程中，所有數據傳輸實施加密協議，如基于WEB的SSL、TLS加密技術;對于來自網絡內的各類Dos攻擊行為，利用路由器來設置拒絕服務模式，提升設備的可用性。

 

(四)防病毒軟件技術。

 

計算機病毒是影響內網安全的重要風險，在病毒防御及控制上，需要圍繞系統性、綜合性特點來部署。由于病毒的發生具有隨機性、動態性，在進行病毒防范上，需要結合病毒特征碼、程序行為、關鍵字等進行檢測，而病毒庫的更新尤為重要。因此，在病毒防范技術上，一方面做好病毒庫的升級更新，另一方面一旦發現病毒，需要從系統隔離、病毒清除、文件保護等方面進行處理，特別是針對一些常見的、惡意病毒，要實施全方位、多層次的病毒防御體系，確保每一臺內網機器的安全。

 

三、結語

 

篇（2）

1.規模大：國家電網公司信息系統信息安全涉及電網調度自動化、生產管理系統、營銷管理系統、供電服務、電子商務、協同辦公、ERP等有關生產、經營和管理方面的多個領域，是一個復雜的大型系統工程；

2.點多面廣：國家電網公司下屬單位多、分布范圍廣，網絡更加復雜，對如何保證邊界清晰、管理要求實時準確落實等方面提出了更高的要求；

3.智能電網：同時隨著智能電網的建設，網絡邊界向發電側、用戶側延伸覆蓋至智能電網各環節，具有點多、面廣、技術復雜的特點，信息安全風險隱患更為突出；

4.新技術廣泛應用：云計算、物聯網、大數據等新技術的不斷引入，對公司信息安全構成了新的挑戰。

二、國家電網公司信息安全保護總體思路：

堅持“三同步”、“三個納入”、“四全”、“四防”，信息安全全面融入公司安全生產管理體系。多年來，嚴格貫徹國資委、公安部、國家電監會工作要求，在國家主管部委、專家的指導幫助下，公司領導高度重視信息安全工作，堅持兩手抓，一手抓信息化建設，一手抓信息安全：

1）堅持信息安全與信息化工作同步規劃、同步建設、同步投入運行的“三同步”原則；2）堅持三個納入，等級保護納入信息安全工作中，將信息安全納入信息化中，將信息安全納入公司安全生產管理體系中；3）按照“人員、時間、精力”三個百分之百的原則、實現了全面、全員、全過程、全方位的安全管理；4）全面加強“人防、制防、技防、物防”的“四防”工作，落實安全責任，嚴肅安全運行紀律，確保公司網絡與信息系統安全。

三、國家電網公司信息安全保護工作機制：

按照國家等級保護管理要求，結合電網企業長期以來的安全文化，建立了覆蓋信息系統全生命周期的54項管理措施，形成了8項工作機制：

公司按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則，公司各級單位成立了信息化工作領導小組，統一部署信息安全工作，逐級落實信息安全防護責任。

1）信息化管理部門歸口管理本單位網絡與信息安全管理。2）網絡與信息系統建設、運維和使用部門分別負責信息系統建設、運行維護和使用環節的網絡與信息安全保障。3）業務部門在業務分管范圍內協助做好相關系統的安全管理的檢查監督和業務指導。4）總部、分部及公司級信息安全督查隊伍負責開展信息安全技術督查。5）各單位與總部簽定保密責任書和員工承諾書，建立自上而下、層層負責的保密責任體系。6）“不上網、上網不”。嚴禁計算機與信息內外網連接；嚴禁在連接外網的計算機上處理、存儲信息；嚴禁信息內網和外網計算機交叉使用；嚴禁普通移動存儲介質在內網和外網交叉使用；嚴禁掃描儀、打印機等計算機外設在內網和外網上交叉使用。7）技防：內外網強邏輯隔離+部署安全移動存儲介質+安裝桌面計算機監控系統+安裝企業級防病毒系統+360衛士防護軟件+對互聯網出口+外網郵件內容+門戶網站內容進行監控8）人防：培訓競賽+警示教育+檢查+責任追究+《信息安全管理手冊》+《信息系統安全典型案例手冊》9）物防：保密管理系統，保密機及介質統一備案

四、國家電網公司信息安全的督察體系

建立公司級、省級兩級信息安全技術督查體系，依托中國電科院、省電科院信息安全技術隊伍，獨立于日常安全建設和運行工作，有效監督檢查、督促公司信息安全管理、技術要求和措施落實，及時發現各層面安全隱患，快速堵漏保全，消除短板，支撐公司網絡與信息系統安全防御體系有效運轉。

1）兩級共計502人的信息安全技術督查隊伍。2）開展常態、專項、年度和高級督查工作。3）督查覆蓋各級單位，延伸至信息系統生命周期各環節。4）建立閉環整改、紅黃牌督辦、督查通報、群眾舉報等督查工作機制。5）充實督查技術裝備，加強人員技能培養。6）2005年，電監會5號令，確立“安全分區、網絡專用、橫向隔離、縱向認證”的二次系統安全防護策略；。7）2007年，公司制定“雙網雙機、分區分域、等級防護、多層防御”的管理大區信息安全縱深防御策略。8）2010年，深化等級保護安全設計技術要求，結合智能電網防護需求深化完善，形成“雙網雙機、分區分域、安全接入、動態感知、全面防護”的管理大區信息安全主動防御策略。

五、國家電網公司信息安全的技術措施

1.信息安全的總體架構

a.雙網雙機。已完成信息內外網獨立部署服務器及桌面主機，并安裝安全防護措施。b.分區分域。依據等保定級情況及系統重要性，已基本實現各類邊界、安全域的劃分及差異化防護。c.安全接入。已實現對接入信息內外網各類終端采用安全加固、安全通道、加密、認證等措施，確保接入邊界、終端及數據安全。d.動態感知。不斷完善內外網安全監測與審計，實現事前預警、事中監測和事后審計。e.全面防護。對物理、網絡邊界、主機、應用和數據等進行深度防護，加強安全基礎設施建設，覆蓋防護各層次、各環節、各對象。

2.信息安全的邊界安全

公司網絡劃生產控制大區和管理信息大區，同時在管理信息大區的基礎上進一步劃分信息內網和信息外網，形成“兩個大區、九大邊界”。針對信息內網邊界重點區域進一步制定安全防護策略。a.內外網隔離策略：四特定特定業務應用、特定數據庫、特定表單、特定操作指令。b.內網邊界安全接入策略：五限制內網安全終端、無線加密專網、數據傳輸加密、交互操作固定、終端入網檢測c.第三方專線接入防護策略：五專用專線連接、專區接入、特定內容交互、專機專用、專用程序、邊界防護-邏輯強隔離設備。d.邊界防護-內網安全接入平臺。

1）保障非公司信息內網區域終端以安全專網方式接入信息內網；2）設備接入認證；3）數據隔離交換；4）實時安全監測；5）數據安全檢查。

3.信息安全的安全檢測

外網監測-信息外網安全監測系統。對互聯網出口網絡攻擊事件、網絡流量、敏感信息、病毒木馬、用戶上網行為、信息外網桌面終端安全態勢進行實時監測與深度分析，日均監測并阻截外網邊界高風險惡意攻擊達2000余次，及時掌握全網互聯網出口和信息外網實時安全態勢。內網監測-信息運維綜合監管系統對網絡設備、383個骨干網節點、近400個業務指標。

1）內網邊界實時監控2）網絡設備、流量實時監控3）主機安全實時監控4）應用運行狀態實時監控5）桌面終端標準化管理。

篇（3）

隨著我國市場信息化水平加深，網絡技術已經成為了推動社會發展重要因素之一。網絡的便捷性，使得任何人都可以利用網絡接受、傳送大量的網絡信息，或者是存在網絡云盤之中。而網絡的公開性，也導致網絡對于任何人來說都沒有門檻，這也是竊取信息的問題不斷發生的主要原因。對于企業來說，尤其是制造型企業，一旦企業賴以生存的核心技術被盜取，幾十年的勞動成果皆拱手送人，企業將承受巨大的、甚至是毀滅性的損失。

企業信息泄露還有一種就是人才流動，現如今企業人員流動較大，企業信息可能被直接帶到其他企業之中，這也是個比較棘手的問題。

另外一種情況是隨著企業之間的合作不斷增加，企業外派員工成為常見的現象，這樣就加大了企業間的交流和接觸時間，對于本企業的信息泄露也許就是在不經意間。

無論是網絡問題還是人為問題，如果造成企業信息泄露，其對自身企業的損害是非常大的。以技術為核心的制造型企業加強信息安全管理勢在必行。

二、制造型企業信息安全管理的現狀及問題

1.企業信息安全管理的被動性

制造型企業的工作重點在產品制造與生產，對于網絡信息管理意識薄弱，很多時候企業只有發現企業信息泄露或者遭受病毒的攻擊等安全事件，才會關注企業信息安全問題，進而調動技術部門前來解決問題。這很大程度上反映制造型企業對網絡信息安全不夠重視，只有出現信息安全問題時，才組建臨時小組來解決企業信息問題，待到問題解決后小組便被解散，沒有對企業信息后序的監督和管理，企業信息安全管理缺乏系統策劃和制度化要求，管理活動臨時性強，缺少日常的維護和預防，導致更多的是重蹈覆轍，這樣不僅沒有為企業省下對安全管理的資金，相反的恰恰是增加了企業的資金投入，直接增加了企業安全管理的成本。同時因為臨時小組的組建，使得人員調動頻繁，大大降低了工作效率，進而對企業的經濟效益造成影響。

2.員工使用內部系統連接外網

雖然大部分制造型企業對企業自身的內網進行了防護監測，而且對員工上網和網頁瀏覽采取了一定的限制措施，但是實際上，企業對員工上網的控制落實程度不夠，員工依舊可以在工作時間使用企業網絡進行外部網絡連接，而且對于一些網站毫無防備。而網絡病毒是時刻都在通過網絡攻擊使用者的，特別對于企業內部網絡，黑客更是隨時隨地緊盯著企業內網出現漏洞，進而竊取企業內部信息。由于企業員工的疏忽，會有很大幾率使得企業信息出現安全隱患，輕則影響企業正常的生產工作，重則企業商業、技術信息被盜取或者企業內網癱瘓甚至縱，為企業帶來非常嚴重的后果及損失。

3.移動設備限制力度不夠

制造型企業在信息安全管理方面通常采取的措施是限制流水線工人的移動設備使用，但是對于辦公部門卻沒有嚴格要求，辦公人員可以自由攜帶智能手機、筆記本電腦、pad、硬盤等移動設備。因辦公人員要對數據進行處理，會導致企業內部信息被無限制地拷貝。而且現如今的移動智能設備都能直接通過企業的無線網絡，連接企業內網以獲得權限，這樣的確提高了企業內部的辦公效率，同時也給黑客病毒提供了通過無線網絡進行傳播的機會，提高了企業內部信息安全的風險。

4.信息安全防護技術水平低

在我國，普遍存在信息安全研發技術水平較低的情況，這也是制造型企業安全技術不高的原因之一。制造型企業的工作重心偏重于生產、制造及商務活動中，而對于網絡安全的防護意識不高。

作為企業，都會有一些信息安全意識。在企業成立初期，信息安全防護措施通常會被考慮并采納，尤其是一些進口設備，但僅僅依賴進口設備是遠遠不夠的。第一，進口設備雖然技術先進，但是出現問題是在所難免的，往往出問題的是一些關鍵的零部件，這些零部件不僅難以拆卸且是整臺設備的技術核心，設備廠商必然會控制其銷售渠道。第二，很多企業過于相信進口設備的技術，力爭做到一步到位，使得企業發展中前期安全防護的確不錯，但是卻忽略了系統的更新和維護，網絡病毒每天新出幾萬種，就算設備再先進，如果不進行更新，遲早會被病毒攻破。第三，很多企業都采用家用式免費殺毒軟件，這些殺毒軟件更新頻率快，一些簡單病毒、木馬都能有效查殺，對家用來說但是對企業來講遠遠不夠，企業一般是黑客重點關注的對象，黑客往往會研制更先進的病毒來攻克企業的防火墻，一些免費殺毒軟件很容易被攻破，增加制造企業內部信息安全問題。

5.企業出現安全問題處理方法不當

現如今研發病毒的技術快速而先進，病毒出現時的及時處理是非常重要的，我國制造型企業在出現信息安全問題的時候，雖然有相關的殺毒軟件，但因為大部分都是免費的，其更新速度雖然頻率高，相對滯后性比較強，對于新病毒無法第一時間發現、處理。而且許多病毒都是潛在性的，企業內部系統中毒之后沒有任何異樣，這就導致企業內部人員無法及時發現企業內網是否被越權或遭到攻擊。同時，由于很多企業缺少專門管理信息安全的部門，并且對于病毒侵入缺乏有針對性的安全對策和應急措施，這就導致就算病毒被發現，企業在第一時間也無從下手。

三、制造型企業容易出現安全問題的原因

1.企業內部信息安全意識低

制造型企業的本質是通過生產經營活動而獲得盈利，因此制造型企業的工作重點主要是企業生產、制造以及流通和服務。在此情況下，企業更關注盈利情況，而缺乏對信息安全的管理意識，對信息安全管理的重視度不足。導致這一現象的重要原因是安全防護不能為企業帶來直接的經濟效益，反而要投入大量的人力、物力、財力。另一方面，從安全管理角度來說，沒有事故發生才是管理績效的體現。相對于質量管理、生產安全管理來說，信息安全管理的管理性質是類似的，但因為其管理對象的不可見性，往往容易被企業高層忽視。同時，一般也會存在僥幸心理，感覺企業內部網絡不會受到黑客攻擊，或是認為就算受到病毒攻擊也不會對生產經營造成什么大影響，對企業整體利益影響不大。基層員工更是不明白什么是安全防護，對企業安全防護的重要性一無所知，這就導致許多企業內部信息技術會從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業信息安全問題頻發的原因，究其根本就是因為企業信息安全管理模式不夠完善，具體原因是制造型企業不重視信息安全管理、缺少系統規范的信息安全管理制度、缺乏專業的信息安全管理技術和安全管理人員，企業信息系統設計沒有風險評估、沒有完善的業務流程，信息安全管理存在頭痛醫頭腳痛醫腳的現象。

3.信息安全系統沒有應急措施

制造型企業信息安全系統缺少應急措施，也可以說沒有自我保護系統。自我保護系統是一種比較先進的技術，一旦有病毒侵入系統，系統會自動對重要信息進行加密、封鎖，待系統安全后自動解鎖。然而由于對信息管理的意識不足，使得很多制造型企業沒有建立信息安全自我保護系統。在我國，諸多制造型企業在信息管理方面更多的是依靠員工的經驗，對于網絡自身的保護信任度不足，也缺少對信息安全管理技術發展的關注和引用。

四、制造型企業信息安全管理存在問題的對策

綜上所述，制造型企業信息安全問題是由很多因素造成的，包括管理層的重視方面、技術方面、人員管理方面等。首要的，企業應提升對信息安全管理的重視程度，只有加強意識，并建立有效的信息安全防范措施，才能有效保護企業自身的核心競爭力，以獲得在市場經濟中更好的發展。

1.提高企業內部員工的信息安全意識

很多制造型企業信息泄露都是內部員工無意間透露出去的，這也是最常見的企業內部信息泄露渠道，企業應充分重視員工的信息安全教育，定期對企業內部員工進行信息安全培訓及考核，通過教育向員工灌輸信息安全的基本知識和常識、企業內部信息的重要性、一旦發生企業核心技術泄露將產生的嚴重后果等信息。加強企業內部員工信息安全意識，也就是從根本上降低了企業信息安全隱患，企業中如果基層員工都非常了解并重視信息安全問題，那么這個企業在信息安全管理方面必然非常完善有效。

2.建立健全企業信息安全管理機制

由于很多制造型企業缺少健全的信息安全管理機制，這就給了很多黑客病毒更多的侵入機會。一套完善的信息安全管理機制能夠有效的保護企業信息安全，降低安全隱患。制造型企業應該建立健全企業信息安全管理機制，設立專門的企業信息安全管理部門，這樣能最大程度保證信息的日常安全防范，也保證了一旦出現安全問題，企業能更好、更快地解決問題，健全的管理機制能夠對風險有一定的預見性，把風險降到最低。

3.加大對信息安全管理的資金投入

任何新型技術都離不開資金的投入，信息安全管理同樣也是，而且信息安全管理更多的屬于技術型投入，對資金依賴性更高。制造型企業想要獲得可持續發展，就必須要把目標放得更加長遠。企業內部信息往往是一個企業的核心，因此企業應提高對信息管理的重視程度，加大對信息安全系統的投資，把信息安全管理作為企業管理重要的一部分，信息安全管理資金劃作專項資金專款專用。企業對信息安全管理的投資要有計劃性，確保突況的資金投入、技術更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業整體的發展規劃中，這樣才能保證企業信息更加安全，企業才能獲得長足的發展。

4.加大對信息安全管理人才的認識

因為信息對企業生存至關重要，信息安全甚至會影響到企業的發展戰略的制定和落實，制造型企業應當把信息安全管理與生產經營提高到同一個層次。企業內網是網絡技術領域，既然是技術，就離不開專業人才的支持，企業應該加強信息安全管理的人才培養，提高企業信息安全管理的質量。如果企業內部沒有專業的信息安全管理人才，企業可以通過對外招聘的形式，在社會中尋求人才。現如今互聯網技術已經逐步走向成熟，計算機人才更是越來越多，所以，制造型企業在社會中尋找信息安全管理的人才不會很難，同時還能促進計算機技術人才就業，對于企業自身以及社會都有很大意義。

5.加強企業內網管理

一般來說，企業內網系統中的信息很多都屬于商業機密，基層員工是無權了解的。制造型企業應該把各個層級的員工賬號及內網系統中的信息進行分類管理，按信息等級設置不同的訪問權限和防范措施，以免企業員工在使用內網時網絡病毒通過權限竊取過多的企業信息。另外，很多企業信息泄露都是由于某些員工通過企業無線網連接外網導致企業系統中毒，針對此類情況企業要制定相應的政策和管理制度，通過對硬件的管理和網頁訪問權限設置，嚴禁員工上班時間通過移動設備隨意連接外網。

篇（4）

中圖分類號：X934 文獻標識碼：A 文章編號：1671-7597（2013）20-0163-02

隨著科學技術的發展，信息化的進程越來越快，并在電力市場經濟環境的促使下，供電企業開始加大自身的信息化建設，信息安全管理逐步得到完善。作為新時代的一員，每個人都自然而然的成為了信息化的一部分，所以信息化同時也影響著社會上的每個人，信息安全管理的問題也成為了人們最關切的問題。

1 信息安全管理的目標描述

1.1 信息安全管理的理念

信息安全就是要確保信息內容在存取、處理和傳輸過程中保持機密性、完整性和可用性。信息安全包含信息本身（數據）的安全和信息系統的安全。其中，數據安全就是防止數據丟失、防止數據被竊取，防止數據被篡改；信息安全就是要保證系統安全穩定運行，確保有權使用系統的人能順利地使用，無權使用該系統的人無法訪問它。

1.2 信息安全管理的范圍和目標

1）信息安全管理的范圍。海安縣供電公司信息安全的范圍包括：信息系統網絡、業務應用系統及數據庫服務器、計算機終端、桌面終端、移動存儲介質等全方面的管理控制。

2）信息安全管理的目標及目標值。海安縣供電公司信息系統安全管理嚴格按照上級單位要求，鞏固公司信息安全防護基礎，強化安全風險預控手段，提高應急反應和處置能力，確保網絡與信息系統安全的萬無一失。公司信息安全管理主要包括以下指標（見附表）。

2 信息安全分類考核的主要做法

2.1 建立信息安全分類考核機制的目的

為貫徹國網以及省市公司關于信息安全工作的管理要求，確保信息系統安全穩定運行，加強公司員工信息安全責任意識，界定信息安全違章行為，進一步明確考核細則，海安縣供電公司借鑒生產安全的管理制度，出臺了《海安縣供電公司信息安全違章考核辦法（試行）》。

2.2 信息安全分類考核的依據和原則

依據國家電網公司、省市公司信息安全考核管理工作要求，以“誰主管誰負責、誰使用誰負責、誰用工誰負責、誰是設備主人誰負責”為原則。

2.3 信息安全違章行為界定

違反國家信息安全有關法律和法規；違反國家電網公司和省市公司信息安全管理規章制度。

2.4 信息安全違章行為的分類

2.4.1 一般性違章（III類違章）

1）部門及人員未按公司要求及時簽訂《信息安全保密承諾書》。

2）計算機未按規定安裝運行公司統一的防病毒軟件、補丁更新策略、桌面終端管理軟件等。

3）未按要求使用安全移動存儲介質進行內外網信息交換；擅自刪除或破壞已注冊安全移動存儲介質內的管理軟件。

4）擅自卸載（含格式化）本單位規定安裝的操作系統和業務應用系統客戶端。

5）計算機未按要求進行注冊或注冊信息與責任人信息不一致。

6）在公司所有工作場所的計算機終端上做任何與工作無關的事情（如游戲、看電影或電視劇、聊天、炒股等）。

7）違反上級公司信息安全管理規定被認定為一般違章的其他行為。

2.4.2 較嚴重違章（II類違章）

1）計算機維修未按公司要求送至指定的電腦公司處理導致與工作有關的信息外泄。

2）計算機和硬盤更換或報廢未按相關要求送至公司安全運檢部進行規范處理。

3）在計算機上安裝雙網卡或雙操作系統，進行內外網切換；私自拆卸與混用內外網計算機硬盤。

4）私自開啟文件共享導致共享文件被非授權訪問、破壞或造成泄密。

5）擅自更改計算機網卡的MAC地址或網絡端口以及在網絡設備上私拉亂接。

6）計算機、移動存儲介質、應用系統、內網郵件系統未設置登錄口令；設置了登錄口令，但口令長度低于8位且不是由大寫字母、小寫字母、數字或符號中至少3種組合構成；使用系統內的通用密碼；擅自新增用戶，未按安全密碼要求設置密碼。

7）未按規定設置密碼被桌面終端系統監控報警并經調查認定為弱口令事件。

8）未經許可在計算機上架設網站、游戲服務器、論壇等非正常網絡應用服務。

9）在非計算機中存儲和處理及通過互聯網傳輸國家、公司的信息。

10）內網計算機私自帶出公司。

11）擅自組建無線網絡并接入信息內網。

12）干擾他人正常工作行為，包括：不真實信息、垃圾信息；散布病毒及木馬；未經授權或通過口令猜測和破解等手段使用他人設備、系統、郵箱等。

13）擅自在內網計算機中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進行網絡掃描或攻擊破壞。

14）內外網計算機同處一室，經查實仍未按要求進行整改。

15）違反上級公司信息安全管理規定被認定為較嚴重違章的其他行為。

2.4.3 嚴重違章（Ⅰ類違章）

1）未經公司安全運檢部安全檢測和許可，擅自將計算機（含公用、私用筆記本、長期未使用的計算機、倉庫報廢的計算機、外來人員的計算機）等接入信息內、外網，被桌面終端系統監控報警并經調查認定為內網違規外聯事件。

2）在內、外網計算機上利用無線上網卡、WIFI或具備上網功能的手機和PDA等設備訪問互聯網，被桌面終端系統監控報警并經調查認定為內網違規外聯事件。

3）手機與內、外網計算機相連，用于充電、同步或收發短信（彩信）、郵件等，被桌面終端系統監控報警并經調查認定為內網違規外聯事件。

4）違反上級公司信息安全管理規定被認定為嚴重違章的其他行為。

2.5 信息安全違章的督查

1）各類人員必須嚴格執行信息安全規章制度，遵章守紀。各部門、供電所（含工程隊）必須認真開展自查自糾，對于發現的違章行為，嚴格按照“四不放過”的原則認真分析和嚴肅處理。實施四級信息安全日常管理制度，即個人每日一查、班組每周一查、部門每月一查、公司每季度抽查，并對管理不到位的相關責任人及管理人員進行考核。

2）對違章的查處采用專項督查、日常檢查及應用工具軟件檢查相結合的方式進行。公司將對違章行為及相應責任者進行曝光，以使責任者和廣大員工受到教育。

2.6 信息安全違章的處罰

1）處罰標準。

①I類違章：10000元以上或待崗處理。

②II類違章：500-2000元。

③III類違章：200-500元。

2）違章處罰的對象為公司全體員工（含農電人員），包括社會化用工、承（分）包單位人員、外協人員等。

3）連帶責任考核。

連帶責任考核標準：因管理不到位，視管理到位情況對相關部門、供電所（含工程隊）的負責人、管理人員、班組長等進行考核。

4）對于信息安全反違章處罰的認定、處理有異議的，可逐級向上申請復議，最終以公司安委會的認定為最終結果。

5）一年內發生一起及以上嚴重違章，取消該部門、供電所（含工程隊）當年度的先進集體評選資格。

3 評估與改進

3.1 信息安全違章分類考核的評價

參照生產安全中的管理方法，建立信息安全違章分類考核機制，有利于公司全體員工信息安全意識的灌輸、宣傳、培訓，培養了良好的信息安全使用習慣，提高了全員信息安全技能水平，使信息安全意識深入人心。

建立信息安全違章分類考核機制至今，海安縣供電公司信息安全工作獲得省市公司的普遍認可與高度評價，沒有發生一起違規內網外聯事件。

3.2 信息安全管理的提升

1）加強信息安全防范工作。

近幾年來，公司對信息化的依賴程度越來越大，對信息安全工作也越來越重視，信息化水平也取得了高速的發展，但同時也出現病毒泛濫、網絡端口掃描、惡意軟件、信息外泄等威脅，企業信息和企業信息系統未經授權被訪問、使用、泄露、中斷、修改和破壞。為適應不斷變化的信息化工作，通過管理手段和技術手段強化信息安全管理工作非常必要。

2）持續提高運維人員業務水平。

隨著信息技術的發展，公司信息化水平的提高，對信息系統運維人員的技能水平提出了更高的要求。因此，為適應信息系統運行與維護工作的需要，公司信息系統運維人員的技能水平和綜合業務水平應該持續加強。

3）進一步加強員工信息安全意識。

加強對信息化人員的培訓和全員信息安全意識宣傳，通過多種渠道普及網絡與信息安全相關知識。安全意識和相關技能的教育是公司安全管理中重要的內容，應當對公司各級管理人員，用戶，技術人員進行安全培訓，減少人為差錯、失誤造成的安全風險。

4 結束語

生產安全是供電企業生產管理的根本，而信息系統安全是供電企業安全生產的基礎。許多生產安全管理中的制度、措施和辦法，值得我們在信息安全管理中借鑒。

參考文獻

[1]林世溪.電力企業網絡信息安全防護體系的建立[J].華東電力，2010.

篇（5）

網絡安全主要通過硬件防火墻及防病毒系統來實現。硬件防火墻可以將整個網絡有效分隔為內部網絡、外部網絡以及中立區，通過對每個區域配置不同的安全級別，可以保證核心業務系統的安全。防病毒系統用于保護整個網絡避免受到病毒的入侵。

1.2數據安全

數據安全包括數據備份恢復、數據庫安全管理、訪問控制以及系統數據加密。數據存儲以及關鍵應用服務器均按照硬件冗余和數據備份方式配置。數據庫系統通過數據庫權限控制、身份認證、審計以及檢查數據完整性和一致性加以保護。訪問控制通過劃分不同的VLAN以及設置訪問控制列表，對主機之間的訪問進行控制。系統數據加密考慮備份數據及傳輸數據進行加密，保證系統專有信息的安全及保護。

2系統現狀

2.1現有系統構成

目前，路政分局路網管理系統劃分為六大區域，即辦公網區域、遠程接入設備區域、視頻會議終端區域、控制室接入區域、服務器區域以及核心網絡設備區域，如圖1所示。

2.2安全防護現狀

在機房及監控室設置了防靜電地板、溫濕度表、門禁系統、不間斷電源系統等，從物理上保護信息安全。在政務外網出口處部署了防火墻系統，實現辦公終端區域、路網管理業務區及市政務外網3個區域之間的邏輯隔離，防止非授權人員的分發訪問，保證業務系統的正常運行。在廣域網(如中國聯通IP專網、中國電信CD-MA)與路政分局內部局域網之間部署了防火墻系統，實現分局內部局域網與廣域網之間的邏輯隔離，防止來自外部人員的非法探測與攻擊，保證內網安全。在內網中部署網絡版防病毒系統、網頁防篡改系統、入侵檢測設備以及漏洞掃描系統，用于防御病毒、木馬等惡意代碼的傳播，保障重要WEB服務器數據的完整性和可靠性，及時發現內網中的安全隱患，有效地防止內部人員的故意犯罪。建立全網統一身份認證及授權系統，確保用戶身份的安全性和可靠性，并在此基礎上實現了全面靈活的用戶授權管理。

2.3存在風險

(1)內部終端主機未設置監控與審計，將出現非法外聯等非授權訪問控制事件。(2)內網未部署安全審計系統，無法控制用戶上網行為、重要業務系統及重要數據庫系統。(3)內網出口處未部署應用層攻擊檢測與阻斷設備，應用層不可避免會受到各種攻擊。

3信息安全加固方案

3.1信息安全要求

路政分局路網管理系統必須按照國標《信息安全技術信息系統安全等級保護基本要求》(GB/T22239)中二級安全等級防護要求。第二級安全保護能力要求:應能夠防護系統免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發現重要的安全漏洞和安全事件，在系統遭到損害后，能夠在一段時間內恢復部分功能。

3.2實施方案

根據路政分局的實際安全需求，參照等級保護的相關要求，通過采用安全審計技術、內網管理技術以及入侵保護技術，加固現有網絡安全，以保障路政分局業務的持續正常運行，如圖2路所示。(1)安全審計系統安全審計系統對系統運維信息、上網行為、數據圖2路政分局路網管理系統構成圖(加固)庫操作行為、網絡流量進行審計，并實現日志的統一保存。(2)內網安全管理系統內網安全管理系統在產品安裝部署前保證所有終端與策略管理中心通過TCP/IP協議可以互聯互通。策略管理中心部署在路政分局路網管理系統和OA系統業務系統的安全管理區域。安全部署在內部網絡所有終端設備以及移動設備上。內網安全管理系統不僅能對內網終端進行身份認證和安全檢查，防止內網終端非法外聯行為，還能實現對內部終端用戶行為進行審計。(3)入侵保護系統入侵保護系統部署在電子政務外網出口防火墻、遠程接入防火墻與路網管理系統核心交換機與之間，防御來自政務外網、中國聯通IP網、中國電信CD-MA網絡的基于應用層的各種攻擊。入侵保護系統高度融合高性能、高安全性、高可靠性和易操作性等特性，具備深度入侵防御、精細流量控制，以及全面用戶上網行為監管等3大功能。

篇（6）

電力系統對內部網絡具有極高的保密性要求，采用和外部網絡實施物理隔離的方法來確保其網絡的安全性。物理隔離確保了外部網絡和內部網絡之間不存在任何可能的物理鏈路，切斷了信息外泄的通道。但有些單位由于管理和技術措施不到位，部分內網計算機用戶責任心、安全意識不強，內部網絡中個別用戶通過撥號上網、寬帶上網、接入手機、插入無線網卡、雙網卡、內網辦公微機與外網混用、斷開內網上外網等方式，外連互聯網進行私人操作，造成物理隔離環境被破壞，導致內部網絡出現隱蔽通道，被黑客或病毒利用后，將導致泄密或影響信息系統性能。這些行為可定義為“違規外聯”。

“違規外聯”使原本封閉的網絡環境與外部網絡出現隱蔽通道，內部網絡將面臨病毒、木馬、非授權訪問、數據竊聽、暴力破解等多種安全威脅，導致網絡結構、服務器部署、安全防護措施等信息被泄露，可能導致黑客通過違規外聯主機進入內部網絡，進而通過嗅探、破解密碼等方式對內部的關鍵信息、敏感數據、文件資料等進行收集，或以該主機為“跳板”對內部網絡的其他主機進行攻擊，甚至進行跨安全域、跨網絡破壞。

防治“違規外聯”必須從根源下手，從多角度出發，從管理手段和技術手段兩方面對違規外聯行為進行控制。利用管理手段，提高員工信息安全意識，規范網絡使用行為；通過技術手段，確保終端系統配置安全性，提高終端安全強度，同時，采取實時監控、智能阻斷或隔離等措施，對常見違規外聯行為進行控制，消除“違規外聯”途徑，阻斷“違規外聯”終端對內部網絡的威脅。

1 加強接入管理，明確安全責任

要實現對信息內外網辦公終端的安全管理，防治違規外聯，必須對聯接到內外網的辦公終端建立準確的臺賬，這就首先要從嚴格辦公終端接入管理開始。所有新增計算機類設備接入信息內網前，應由設備責任人填寫《計算機類設備接入信息內網申請單》，由所在部門領導同意后向信息管理部門提出申請，征得信息管理部門同意后由相應的系統管理人員負責具體的設備入網并更新臺賬。同時，在新裝微機現場安裝時，安裝人員需向微機用戶提交《信息安全警示卡》，并對用戶進行信息安全事項講解，明確用戶對該辦公終端的信息安全負有完全責任，安裝完成后，應由用戶簽字以確定現場安裝人員已對用戶發放了《警示卡》并進行了有關信息安全教育。

2 健全規章制度，簽訂書面承諾

防治違規外聯事件，必須具備完善的信息安全管理制度，應制定如《信息內網違規外聯處理規定》等制度，將信息安全納入管理考評體系。信息管理部門應組織各部門和全體職工分別簽訂《部門信息安全與保密承諾書》、《員工信息安全與保密承諾書》，將信息安全“八不準”、“五禁止”、“三個不發生”和“四不放過”等有關要求貫徹到每位職工的崗位要求和工作標準中，使職工信息安全意識不斷提高，并且讓每一位計算機使用者明確自己應負的安全責任，從根源上杜絕違規外聯事件的發生。如發生違規外聯事件，可根據《信息內網違規外聯處理規定》中的相關處理辦法及《承諾書》中的有關約定，對當事人采取批評教育、經濟處罰、下崗培訓等處罰措施，同時對所在部門負責人進行相應處罰。

3 開展專題教育，增強安全意識

信息管理部門可組織員工開展必要的計算機安全知識培訓，組織員工學習《信息安全宣傳手冊》和保密承諾書，學習違規外聯案例、違規外聯相關問題解答等。可利用多媒體等方式，具體講解日常工作中有可能發生違規外聯的錯誤行為，使廣大員工更加全面的掌握違規外聯的相關知識。通過分析違規外聯案例教訓，使員工充分了解違規外聯的嚴重危害性，深入了解違規外聯可能會對企業網絡構成的威脅、泄露公司機密、導致電腦感染病毒等危害，樹立保密觀念，增員工信息安全意識，進一步加強公司員工信息安全工作的警覺性、主動性和自覺性。

4 粘貼警示標簽，彈出警示窗口

設置醒目的信息安全警示標簽可對預防違規外聯起到很好的預防作用，可以在信息內網辦公終端上粘貼黃色警示標簽“信息內網 嚴禁違規外聯”、在信息外網終端上粘貼“信息外網 嚴禁接入內網”；對網絡端口統一貼注標簽，標注內外網端口，增強員工對內外網端口的辨識度，防止誤插、錯插事件，杜絕內外網端口、網線混用安全事故的發生。

另外，還可以制作信息安全反違章“溫馨提示”，植入每臺內網計算機的開機程序，在信息內網微機開機時彈出信息安全警示窗口，提示什么是違規外聯，以及信息安全“五禁止”和“八不準”的內容以及典型案例等，或者將最容易出現的幾類違規外聯情況用小漫畫的方式貼在每位員工的辦公電腦上。實現方式可采用北信源桌面安全管理系統自動分發并在開機時強制執行，或者采用桌面圖案、屏幕保護等方式。這樣只要一開機，就能提醒全體員工時刻將信息安全牢記心中，將違規外聯事件的嚴重性、危害性和工作機理傳輸到每一位員工心里，提升全體員工信息安全意識，防止由于思想放松而發生信息安全事件。

5 加強送修管理，嚴禁私自維修

曾經有職工把自己的內網電腦和上內網的筆記本電腦交由電腦公司維修，未交代有關信息安全注意事項，電腦公司維修人員利用其電腦在外上互聯網，電腦返修回單位后，未經安全處理就直接聯接內網繼續使用，造成違規外聯。針對這種情況，信息管理部門應加大對電腦維修制度的監督，禁止個人擅自聯系外部維修人員進行電腦維修，一經發現將按照規定嚴肅處理；各單位辦公電腦維修，應指定固定的、合格的維修點，對其維修人員進行信息安全培訓，重點講解如何防止違規外聯及其造成的后果，并與其簽訂信息安全協議，規范廠家提供的技術行為，提升廠家技術人員的信息安全意識。

維修電腦返回單位后，最好重新安裝系統并注冊北信源桌面管理系統，以防維修過程中發生違規外聯事件，接入內網而產生報警。

6 基層管理從嚴，警惕長期離線

在一些基層單位和集體企業的內網終端用戶中，有很大一部分是招聘員工，信息安全意識比較淡漠，是違規外聯事件的高發地帶，必須加大對這些場所用戶的管理。除對這些用戶的發放《信息安全警示卡》、進行信息安全教育和粘貼警示標簽外，還可以對所有未使用的USB端口粘貼封條，進一步杜絕亂插USB設備的行為。如要進行更加嚴格的控制，可以部署一套USB端口管理系統，將這些用戶未使用USB端口全部禁用，因工作需要打開某個USB端口訪問權限時需用戶提出書面申請，由管理員打開相應端口，使用完畢后再關閉。

長期離線內網終端也是容易發生違規外聯事件的情形，用戶往往在內網終端離線期間進行接入因特網的操作，造成違規外聯事件，再接入內網后發生報警。因此，應密切關注有哪些終端長期離線，超過一個月沒有上線的終端應做回收處理，尤其要關注那些已經退二線、退休以及崗位調整的人員，必須及時辦理相關手續，將閑置辦公微機收回。

7 加強外協管理，交代安全事項

在已經發生的違規外聯事件中，有相當一部分是由于對外來人員使用內網電腦引起的，外來人員使用內部員工的內網終端或自帶筆記本電腦接入內網進行設備安裝、維護、系統開發等工作的過程中，由于對信息安全管理規定不了解，使用各種上網工具接入因特網或者誤將無線上網卡當成U盤插入微機造成違規外聯。因此，外來人員進入公司內部網絡進行工作前務必預先通告公司“信息內外網嚴格雙網隔離，嚴禁信息內網計算機以任何形式（雙網卡、服務器、ADSL寬帶、無線網卡等）連接到信息外網”的要求，且在外來人員利用公司內網工作時進行有效監督和管理。如發生違規外聯事件，可對內網終端主人、外來人員和批準接入內網者追究責任。

8 流動造成隱患，根治需要禁入

移動終端設備（如筆記本電腦）由于其移動性比較強，更容易產生違規外聯，典型情形有：職工把自己的內網筆記本電腦隨意交給外來維護、調試人員使用，或把內網筆記本電腦隨意外借，未交代使用者有關信息安全注意事項，由于他人原因造成違規外聯；職工將內網筆記本電腦帶回家工作，由于疏忽，開啟了無線網卡功能，無意間連接上了互聯網，第二天回辦公室聯接內網辦公時，出現了違規外聯報警；職工攜帶內網計算機（筆記本電腦）回家撥號上網或攜帶內網計算機（筆記本電腦）出差通過任何方式聯接互聯網造成違規外聯等。

為防止以上情形發生，最直接有效的方法是禁止所有移動設備接入內網。若不能做到禁止筆記本接入內網，則需做到以下幾點：①每位員工的內網筆記本電腦必須專人操作、專人管理，不得隨意外借，如工作需要，確需外借，須將信息安全有關事項進行特別交代，并報信息管理部門備案；②禁用內網電腦的無線網卡功能。告知用戶一旦計算機斷開內網后發生違規外聯報警，切勿接回內網，一定要將該計算機交給信息運維部門處理（卸載桌面終端并重裝系統）后，方可再接入內網；③嚴格筆記本電腦管理，不得將內網筆記本攜帶回家，不得攜帶內網筆記本出差；④所有曾經脫離內網使用的移動終端，再次接入內網前，必須經過信息運維部門的安全檢測。

篇（7）

1.海口航標處內部網絡建設現狀

在現今大數據和“互聯網+交通”的背景下，我國航海保障管理逐漸走上了信息化和智能化的道路。海口航標處作為交通運輸部航海保障中心的重要組成單位，其業務也積極向信息化、智能化轉變。為保障單位計算機內部網絡和重要業務系統的安全穩定運行，海口航標處逐年進行了一系列的制度、管理和技術方面的網絡升級工作。目前，處屬計算機內部網絡部署了防火墻、網閘等網絡邊界安全設備，內部網絡和互聯網之間通過網閘實現物理隔離，為信息網絡的安全防護起到了積極的作用。

2.處屬計算機內部網絡非法外聯存在的安全風險

隨著業務系統的信息化應用廣泛普及，海口航標處計算機內部網絡應用日益復雜，主要體現在網絡分布廣泛、終端數量龐大、業務應用系統越來越多、航標業務對網絡信息化依賴也越來越大，因此保障內部網絡環境運行安全、穩定成為重要問題。目前海口航標處主要采用網閘設備將內、外網絡實施物理隔離，確保兩個環境之間無信息傳輸的物理通道，理論上說可以保證內部網絡信息不發生外泄。但在實際管理中發現，大部分信息安全問題主要來自于內部終端用戶的非法外聯行為引發。由于海口航標處內部網絡只在邊界安裝了網閘和防火墻，內網用戶群目前的入網方式是自動獲取IP式，全網無實時安全監控設備，而網絡應用的日益多樣化和存儲介質的不斷普及，諸多安全隱患日益顯現。

2.1非法外聯的概念

非法外聯是指內部網絡計算機在未授權的前提下，通過網絡設備建立一條內部網絡與外部網絡的通路。非法外聯行為有很多種，如撥號上網、雙網卡上網、GPRS等行為。正常情況下，局域網會有一個統一的出口，即由網關來跟上級網絡進行聯結，其局域網是封閉的，不允許聯結互聯網，局域網用戶是安全的。但從另一個角度來看，安全是以受限制為代價的，局域網用戶為了達到某種目的，采用其他方式非法聯結互聯網，該聯結的風險是使主機同時暴露于內網和外網。

2.2處屬內網存在的非法外聯行為的安全風險分析

（1）內網用戶通過360無線路由、熱點路由終端、無線網卡撥號等方式，將內網終端連接至互聯網，造成內外網共聯，易造成病毒感染、敏感信息泄密等安全事故發生。

（2）外來設備（例如筆記本電腦、PAD等）可人為隨意接入內網，造成病毒傳播、信息泄漏等信息安全事故。

（3）隨意安裝來歷不明的應用軟件，形成眾多隱形“后門”，容易造成數據外泄。

（4）移動存儲介質內外網交叉使用，由此造成的病毒泛濫和攻擊服務器致使癱瘓事件。

（5）內網用戶群目前的入網方式是自動獲取IP式，全網無實時安全監控設備，存在內外網終端非法互聯無法監控，容易造成內網信息外泄。

2.3非法外聯的危害

內部網絡用戶的上述非法外聯行為破壞原本封閉純凈環境，造成內、外部網絡之間存在網絡信息傳輸的可能，這將使內部網絡面臨著木馬病毒的入侵、隱形“后門”非法監控軟件的植入和惡意暴力破解，從而導致單位內部網絡的日常運營存在重大的安全隱患。

海口航標處承擔著轄區內航標建設養護、管理等技術支持和服務保障職責。目前海口航標處的重要業務均已實現網絡信息化管理，因此網絡環境的安全尤為重要。以當前航標遙測遙控系統為例，該系統主要通過內網部署監控平臺，從而實現對環島燈塔、燈浮標的燈器遠程測控，為航行的船舶提供航道和方向指引。一旦非法外聯行為造成黑客或者木馬的入侵，極有可能對監控中心發動攻擊破壞，那么有可能出現篡改系統參數設置，造成系統為燈器發送錯誤指令，導致燈器的不正常運行，這將嚴重威脅到船舶的安全航行。再如號稱海上守護神的AIS系統，目前海事監管部門通過AIS應用推廣系統對海上船舶進行實時監管，該系統的二次應用數據庫也是建立在海事內網環境，一旦因非法外聯行為造成攻擊進入該系統數據庫篡改數據，發送惡意指令，而該系統可以直接與海上船舶進行通信，將會造成重大安全事件。

因此，針對于上述安全隱患問題，急需采取相應的手段，合理化解決問題。

3.防止非法外聯的措施

內部網絡安全本質上是一種管理需求，目的是使單位的各項工作任務在信息化工作模式下能夠安全的進行，管理是主要方式。首先應從人為管理角度建立網絡安全管理體系架構，其次要依靠符合單位實際網絡安全的先進技術管理手段，實現全方位管控，杜絕安全隱患問題，全面保障內網安全。

（1）建章立制，落實網絡安全管理責任。近年來國家高度重視網絡安全工作，要做好處屬內部網絡的安全管理工作，就必須遵照國家信息安全法律法規、政策要求和安全標準，結合本單位工作實際，建立切實可行的信息安全管理責任制，完善信息安全保密保障體系，提高單位網絡信息安全防護的正規化水平，遵循“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，做到一機一管，責任明確到人。

（2）部署完善內部網絡的有效監控技術手段。針對海口航標處內部網絡網絡設備的架構存在的安全隱患，建議從如下幾方面完善技術部署：一是建設內網終端管理系統。海口航標處內部網絡除了邊界安裝防火墻、網閘等安全設備，應該要部署一套內網終端管理系統，強制要求每臺內部網絡終端需安裝終端管理系統，

實現從內網網絡環境安全管理與終端桌面安全管理，從網絡到終端，從終端到數據，有效保障處屬網絡以及終端的安全運行，為管理者制定內網統一安全管理策略提供有效的技術支撐和服務；任何訪問單位內網需要對終端進行安全管理，對接入內網的終端進行合法性與安全性檢查，對訪問終端必須經過統一的安全認證，只有合法且安全的終端才能允許接入內網，達到對非法終端和未知終端進行嚴格阻斷控制的效果。二是加強對IP地址的管理。建議更改當前內網IP地址自動獲取入網方式，通過上網行為控制設備的上線，將每臺終端的mac地址與與固態IP進行綁定，落實一人一機責任管理。三是部署審計系統。針對服務器或重要終端設備的操作行為進行監控和審計，從而保障信息系統安全運維，如有篡改做到有跡可查，通過審計日記及時發現漏洞，對不規范行為進行整改。四是對移動存儲介質進行統一管理。根據目前處屬病毒監控報表顯示，移動存儲介質是造成木馬入侵的重要途徑。建議部署一套針對接入內網環境的移動存儲介質的安全認證系統，任何移動存儲介質需通過該系統進行安全認證登記后，方可進入內網終端操作，這樣一旦出現安全事件，結合現已部署的病毒網絡安全中心，可及時找到病源，從而采取有效舉措處理威脅，杜絕外來移動存儲介質的亂插亂用現象。

（3）加大計算機網絡安全檢查力度。要定期、不定期對處屬內、外網絡終端進行安全檢查，重點檢查以往信息安全檢查中發現問題的整改情況，做到及時發現問題和隱患，及時進行排除和整改，全面化解風險。認真做好服務器、網絡設備、安全設備等安全策略配置及有效性；做好重要數據傳輸、存儲的安全防護措施等工作，確保處屬網絡信息系統安全穩定運行。

（4）積極開展信息網絡安全宣貫工作。要將網絡安全管理列入全年信息類培訓計劃，以計算機網絡信息安全應用知識和操作技能為基礎，通過舉辦講座、警示小視頻等多種形式，切實加大對全體干部職工的培訓教育力度，普及安全知識，從而樹立“信息安全無小事”的意識，達到增強干部職工的安全防范意識和風險應對能力的目的。

4.結語

隨著信息網絡的迅速發展，在當今的信息時代，信息技術已經徹底改變我們的生活和工作方式，也改變現行航保事業的管理模式。面對著航保業務的信息化、智能化層次越來越高，我們必須加強網絡與信息安全意識，將網絡信息的安全管理工作提升到一個新的高度，在信息安全的建設中遵循PDCA的循環模型進行不斷完善，從而為航保業務提供安全可靠的網絡基礎平臺，助力“智慧航保”的健康發展。

篇（8）

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中圖分類號］ F272.7 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）14- 0058- 02

1 引 言

經過數十年的信息安全建設，國內大型企業的網絡及應用系統的安全防護能力已經達到一定水平。但是信息安全故障并沒有隨著信息安全投入的增加而下降。經過統計發現，內部網絡和應用系統發生故障的原因少部分是由于網絡設備和應用系統自身的問題所引起，更多的是因為內網的其他安全因素導致，如病毒爆發、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，大多來源于用戶桌面計算機，桌面安全管理已經是各個企業迫在眉睫的安全建設內容。

2 影響桌面安全的因素

2.1 企業安全組織體系不健全，專職人員缺失

大型企業的業務跨度大，地域分布廣。各個二級單位的信息安全水平發展不一。有的二級單位信息部門職工上千名，有的單位卻沒有獨立的信息部門。但所有的二級單位都統一在企業內網中運行，各類統建系統在所有二級單位中運行。對于沒有沒有獨立的信息部門的二級單位 ，更沒有負責安全體系建設、運行和管理的專職機構及人員，兼職安全管理員有責無權的現象普遍存在，依據“短板”理論，極易從信息安全力量較弱的單位為突破口，進而影響到整個企業信息安全。特別是信息安全技術的快速發展，信息安全人員需不斷提升自身素質，加強業務水平，才能保證桌面安全運行。

2.2 企業職工計算機缺乏安全加固手段

盡管多數大型企業對桌面計算機的安全加固已經采取了部分安全措施，如安裝防病毒軟件和個人防火墻軟件，甚至部署了漏洞掃描系統定期對桌面計算機進行漏洞掃描，督促用戶及時更新操作系統補丁。但是，首先由于企業規模較大，管理者無法保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件。其次，即便安裝了這些防護軟件，用戶也常常因為各種原因無法及時更新病毒庫。另外，系統漏洞掃描雖然可以獲得桌面計算機的補丁缺失情況，但是卻缺乏有效的補丁安裝手段。所有這些因素，均導致桌面計算機的安全無法得到有效的保障。

2.3 企業職工計算機缺少有效的接入控制手段

對于大型企業，內網計算機數量眾多且分布地域廣闊。網絡管理人員很難統計內網計算機的確切數量，也無法區分哪些是內網授權使用的計算機，哪些是外來的非授權使用的計算機。這種狀況下，很難控制外來人員隨意的計算機接入。很容易導致企業內網機密信息的泄漏，往往等泄密事件發生了，卻還無法判斷到底是哪一個環節出了差錯。另外，對于內網授權使用的計算機，任何一臺感染了病毒和木馬，網絡管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機，然后再通過手動的方式斷網。對安全強度差的桌面計算機缺乏有效的安全狀態檢測和內網接入控制，是導致內網安全事件不斷發生的重要原因之一。

3 大型企業桌面安全管理建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中都名列前茅，“十一五”期間，將企業信息安全保障體系建設列入信息化整體規劃中，并逐步實施，其中桌面安全管理建設是信息安全保障體系建設的重點工作，從組織、管理及技術3個方面進行全面建設。

3.1 完善安全組織體系建設

中國石油建立三級的終端安全組織架構，分別為石油總部、地區公司、地區二級單位。終端安全組織在每一級設立專門的組織，明確主管領導，確定組織責任，設置相應崗位，配備必要人員。其中集團信息化領導小組是信息系統安全工作的最高決策機構，信息管理部是集團公司信息系統安全的歸口管理部門，負責落實信息化工作領導小組的各項決策。企事業單位信息部門負責本單位信息系統安全的管理，并設立信息系統安全管理、審計、技術崗位，包括信息系統安全、應用系統、數據庫、操作系統、網絡等負責人和管理員，重要崗位設置兩名員工互為備份。

3.2 強化安全管理體系建設

安全管理體系從管理制度、培訓教育、運行管理及檢查考核4方面進行強化。①管理制度。根據中國石油信息安全的需求，分階段逐步制定并完善信息系統安全管理的規章制度，加大整個信息安全制度體系的貫徹執行力度，才能使安全防護能力得到不斷的提高，整體信息安全才能落到實處。②培訓教育。信息安全培訓涉及信息安全法律法規、信息安全事件案例等多方面，通過培訓一方面提高企業員工的安全意識，使員工自覺約束自我行為，遵守各項信息安全規章制度、標準規范；另一方面及時掌握必要的信息安全技術知識和技能，在實際工作中充分利用技術手段保障信息安全。③運行管理。 通過統一設計、統一平臺，統一硬件體系架構，建立中石油桌面運行管理系統。采用三級架構，分別在總部、區域數據中心部署服務器和管理軟件，各企事業單位的桌面計算機安裝客戶端軟件，整個運行管理由防病毒子系統、補丁分發子系統、端點準入子系統、電子文檔保護子系統、后臺管理子系統組成。其中通過端點準入防御系統，只有符合安全要求且通過用戶認證的計算機才能接入內部網絡使用，防止“危險”、“易感”終端接入網絡，控制病毒、蠕蟲的蔓延。補丁管理系統與防病毒系統相結合，實時監測和殺除病毒，實現對漏洞、病毒及惡意代碼的管理和控制，電子文檔保護子系統、后臺管理子系統增強系統及電腦文檔的安全性。④檢查考核。信息管理部門定期進行信息系統安全檢查與考核，包括信息系統安全政策與標準的培訓與執行情況、重大信息系統安全事件及整改措施落實情況、現有信息系統安全措施的有效性、信息系統安全技術指標的完成情況。各企事業單位信息部門按照本辦法和《集團公司信息系統運行維護管理辦法》進行信息系統安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領導。

3.3 增強桌面安全技術建設

桌面安全技術指物理安全、邏輯安全及運行安全三大模塊，通過與企業內控管理進行有機結合，依據《中國石油天然氣集團公司信息系統總體控制實施要求》，嚴格執行相關操作規范，其中物理安全指進入機房的物理安全訪問控制機制、設備的物理安全管理、敏感的紙質系統文件管理。邏輯安全包括系統登錄身份驗證、用戶賬號及特權用戶賬戶管理、密碼管理、用戶權限管理、終端合規性管理等。運行安全包括病毒防護及病毒事件的處理、安全系統的備份與恢復、應急事件的處理。

4 結束語

隨著信息技術應用的不斷深入，國內大型企業信息系統集中程度不斷提高，業務對信息系統依賴程度的不斷加大，迫切需要建立與業務發展和信息化水平相適應的信息安全體系。與此同時，國家了一系列相關文件，提出對涉及國家安全、經濟命脈、社會穩定的重點行業、企業的關鍵信息系統實施信息安全等級保護等要求。桌面安全責任也日益增大。只有通過從組織、管理、技術全面建設，才能有效提升桌面計算機抵御安全威脅的能力，提高桌面安全管理水平，達到桌面計算機有防護、有檢測、可控制、可審計，建設統一桌面安全管理系統，中石油通過兩年的桌面安全建設，取得了良好效果。

主要參考文獻

篇（9）

1 前言

電力企業信息技術的發展起始于20世紀90年代，最早的計算機應用開始于財務管理、營銷管理等辦公業務，隨著信息技術的不斷深入發展，信息技術在電力企業的應用范圍也日益擴大和深化，目前已經滲透入電力企業運營管理的全過程，信息技術也漸漸從開始的“配角”提升為電力企業運營管理的“主角”。在電力企業信息化技術應用日趨成熟、重要程度日益上升的今天，企業對信息化的管理和關注重點也在不停的發生變化，一方面信息化成果已成為企業甚至社會的重要資源，在整個企業的生產運行、電網調度、辦公管理等各個方面發揮著重要的作用;另一方面由于信息技術的迅猛發展而帶來的信息安全事故、事件屢見不鮮，信息安全問題與矛盾日益顯著。而信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程。企業要實現信息安全管理，就必須不斷完善和建立一套行之有效的信息安全管理與技術有機結合的安全防范體系。

2 我國電力企業信息安全管理存在的問題

2.1 電力企業普遍存在重技術、輕管理的問題

信息安全是“三分技術、七分管理”，但是現在許多電力企業任普遍存在重技術、輕管理的問題，甚至很多電力企業根本沒有完善的安全管理制度，并且管理人員信息安全意識普遍不高，這也就在一定程度上加深了企業信息安全風險。要知道再好的技術在其運行的過程中管理才是第一位的，比如在實際工作中，有最好的技術，但是如果管理不到位，系統的運行、維護和開發等崗位分配不清，職責劃分不明，存在一人身兼多職的現象，再先進的技術也不可能發揮其應有的效力，一樣不具備競爭力、防御力。又如，企業在管理過程中對網絡工作人員的基本技能和素質要求把關不嚴格，極易造成因網絡工作人員因操作不當而造成硬件或者軟件出現漏洞，使惡意份子有機可乘，同樣影響網絡信息安全。

2.2 電力企業對員工的信息安全意識宣傳不到位

隨著信息安全地位的不斷攀升，電力企業對信息安全也越來越重視，但是，企業對于信息安全的培訓力度仍顯不夠，電力企業員工信息安全意識仍非常低。如，一些電力員工在離開辦公場所時，沒有意識主動關閉電腦或鎖定屏幕，因此容易造成企業數據的丟失及客戶信息的泄漏。又如，一些員工為了貪圖方便省事，直接將系統賬號交給第三方人員進行操作，容易造成系統數據的錯失遺漏，或者出現未授權的審批等等。再如，還有一些員工對于未確定安全性的文件防范意識不夠，一旦點擊打開后，就容易造成木馬的植入或者病毒的擴散，從而造成數據的泄漏或丟失破壞。

2.3 電力企業信息安全技術不夠完善

首先，在計算機的使用方面，有很多的辦公計算機還是內網與外網混合使用的狀態。雖然公司已經做出了相應的規定，要求內網與外網進行分開使用。但是，內外網混用情況仍十分嚴重，這就會給安全問題帶來極大的隱患。其次，一些電力企業對移動介質的使用管理比較松散。如：一些企業的移動介質不需授權就能直接接入辦公電腦中，容易讓別有用心的人加以利用，從而拷貝了公司的內部資料，造成企業損失。又如，一些員工在未確保外來移動介質正常的情況下就接入內部網絡，容易造成病毒的傳入，從而影響內部網絡的正常以及數據的安全。最后，部分電力企業數據庫數據和文件的明文存儲保護不完善。供電行業應用系統基本上基于商業軟硬件系統設計和開發，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。

3 完善電力企業信息安全管理的具體措施

3.1 完善電力企業安全風險的評估

電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮，技術是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。首先電力企業必須做好安全狀況評估分析，評估應聘請專業權威的信息安全專家或者咨詢機構，并組織企業內部信息人員和專業人員深度參與，全面進行信息安全風險評估，搞清楚信息系統現有以及潛在的風險，充分評估這些風險可能帶來的危害和影響，針對評估出來的風險制定詳細的解決預防方案并認真實施，實施完成后還要定期對其進行評估和不斷改進完善。其次，網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署，但是現在市面上安全技術及產品種類繁多，讓人眼花繚亂，難以進行抉擇，我們信息安全系統建設中心內容是安全和穩定，所以我們企業應盡量采用成熟的技術和產品，不能過分求全求新。最后，培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行，才能真正發揮信息安全防護系統和設備的作用。

3.2 不斷完善電力企業信息安全管理制度

首先，構建良好的管理體制，在網絡系統管理中，要做到管業務不管系統，管系統不管業務，如果二者混淆，就容易將所有權限落入一人之手，若該員工，同樣造成網絡信息安全的極大威脅。其次，數據安全管理制度，即確保數據存儲介質（設備）的安全;定時進行數據備份，備份數據必須異地存放;對數據的操作需經主管部門的審批、同意方可進行;數據的清除、整理工作需兩人或兩人以上在場，并由相關部門進行監督、記錄。最后，準入管理制度。準入管理又稱密碼、權限管理，通過準入系統可以判斷請求登錄的用戶是否是合法的、值得信任的。

3.3 加強對電力企業全員信息安全的教育及培訓，提升全員信息安全意識

對于企業信息安全工作的開展不是一個部門一個人的事，而是我們電力公司全體員工的事情，所以必須提高企業全體員工的信息安全意識。通過開展多種形式的信息安全知識培訓，可以提高員工的警惕性以及養成良好的計算機使用習慣。在不定時開展信息安全教育和培訓的時候應注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員，重點要了解和掌握信息安全的整體策略及目標、安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員，重點要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統的安全維護技術等;廣大信息系統用戶重點要學習各種安全操作流程和行為規范，了解和掌握與其相關的信息安全策略，包括自身應該承擔的安全職責等。另外，我們企業還可以采取一些考核獎罰措施，去激勵和約束全員認真進行信息安全培訓，認真落實信息安全操作，從而有效提高我們電力企業整體信息安全水平，提高信息安全意識，最終有效避免信息安全問題或失泄密事件的發生。

3.4 不斷完善和提升電力企業信息安全技術

第一，對電力企業內部和外部網絡進行物理隔離。采用最高效的解決信息網絡安全問題的辦法：將局域網與外網物理隔離，使局域網內的用戶只能訪問內網資源，外網計算機無法與內網相連接。通過這種方法可以很大程度地防止互聯網上的病毒、流氓軟件等的入侵，避免企業及用戶個人的重要信息與數據的失竊，進而可以控制可能由此造成的無法估計的損失。其次，對于移動介質，應加入認證管理，只有被預先授權的介質才能接入內網，對于數據的拷貝，只能通過加密形式處理。第三，數據與系統備份技術。供電企業的數據庫必須定期進行備份，按其重要程度確定數據備份等級。配置數據備份策略，建立數據備份中心，采用先進災難恢復技術，對關鍵業務的數據與應用系統進行備份，制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。計算機病毒傳播廣，破壞力大，會嚴重影響電力企業網絡系統的安全運行。因此，為了使電力企業免受病毒的侵害，作為網絡管理人員應該建立從主機到服務器的完善的防病毒體系，建立健全的網絡信息管理制定，以此來有效的提高電力企業網絡信息的安全管理。最后，建立信息安全身份認證體系。供電企業面對來自內部和外部信息安全風險威脅，需建立有效的信息安全身份認證體系，實現網絡危險過濾、終端準入、用戶識別、上網授權等功能，最終實現企業內網用戶終端安全性的提升，達成企業整網上網安全性的保障。

參考文獻：

[1]尹鴻波.網絡環境下企業信息安全管理對策研究[J].電腦與信息技術，2011（4）.

[2]馮慧昌.信息安全管理現狀與研究策略[J].科技風，2012（7）.

[3]姚軍.中科網威助力工業網絡信息安全[J].企業研究，2O12（12）.

[4]胡國勝，張迎春.信息安全基礎[M].北京：電子工業出版社，2011.

篇（10）

防患于未然――這是一句古話。這句話用在信息網絡安全中最能體會。

隨著信息化建設的逐步深入，網絡結構日趨復雜，信息系統趨于多元化，信息安全面臨許多問題，如內外網安全、主機安全、應用系統安全、物理環境安全、桌面終端安全成為信息化建設的重中之重。桌面終端任意接入，安全策略得不到統一和有效控制，對資產信息采集統計與遠程監控手段不足，用戶行為難以控制，存在引發信息安全事件的風險，終端維護成本較高等問題制約和影響著信息化健康持續發展。科學、合理的構建和完善信息安全防護體系成為解決信息安全的有效途徑。

如何將信息安全隱患降到最低，如何抵御病毒、黑客的入侵，如何安心使用網絡這都是在信息行業中醒目的問題。

桌面安全管理系統是一個完全集成的模塊化桌面管理解決方案，可以管理企業所有Windows平臺設備。涵蓋了策略管理中心、設備管理、遠程協助、移動存儲介質管理等模塊，對信息網絡安全起到了重要的作用。

設備和資產管理

隨著公司企業的發展，IT產業也在不斷擴展，終端設備增加了不少。作為IT管理員，要將不同配置，位置分散的PC機等相關設備進行統一管理，把設備臺帳做好做細是件比較費時的事情。

在桌面管理系統里，每新增一臺終端設備，不管是PC機還是其他辦公設備等，只要設有IP地址，分配了部門，在終端上注冊了桌面管理系統，都能在桌面安全管理系統內監測到。并且終端機的詳細參數配置、進程、安裝軟件等都能一目了然，這對設備資產管理有很大的幫助。

遠程協助和成本控制管理

桌面管理系統內的遠程協助，可以幫助網絡管理員遠程運維電腦終端，這樣不僅降低了故障響應時間也提升信息運維人員的工作效率，還可通過系統內的點對點控制，遠程取得計算機的安裝程序，應用進程，系統版本等關鍵資料和使用狀況。

遠程控制使工程師在任何內網接入的工作場所就能對任何出現的故障做出迅速的反應并處理問題。這方面大大節約了工作人員的時間，降低了運維成本。

桌面管理系統補丁管理

桌面終端管理系統重要的補丁下發功能可為公司內網終端自動下發并安裝最新的系統補丁，使系統保持最安全的運行方式，可以根據各種計劃任務，或者根據批處理策略統一下發下載補丁。當系統監測到有終端未安裝補丁時，可對缺少的補丁進行重新下發。并能夠對補丁下載及安裝的情況進行查詢，避免因病毒侵襲及應用系統漏洞而導致損失。

違規外聯準入管理

針對違規外聯進行全面整改，不僅出臺了公司違規外聯事件整改方案，而且在管理上加強力度。一是做到定期病毒及安全使用公告，禁止手機聯入內網充電；二是定期開展信息安全知識教育培訓，將違規外聯原理、違規外聯的嚴重性、可能發生違規外聯情況公示；三是全網粘貼內網計算機標簽標識，杜絕違規外聯誤操作。四是違規外聯堅決執行公司的規定，懲治力度決不放松。

防非法外聯系統在終端連接內網前，通過安裝準入系統認證客戶端對計算機進行健康狀況檢查，是否安裝防病毒軟件，是否安裝桌面管理系統，對不滿足安全要求的終端禁止分配內網合法IP地址，當用戶完成入網的要求后，準入系統會自動識別系統狀態并分配合法的內網IP地址，完整用戶終端的準入流程，并通過桌面管理系統下發防違規外聯IP策略，進一步控制非法外聯的發生。

移動存儲介質管理

移動存儲的隨意接入網絡或者丟失出現信息數據泄密的都對信息安全造成很大威脅。桌面管理系統內的移動存儲管理可大大提高移動存儲的安全性。通過桌面終端管理系統能夠安全的進行移動存儲的管理，防止信息泄密事件的發生，杜絕因移動存儲介質泄密對內網安全的威脅。

雙數據區交互使用：專用U盤支持交換區和保密區。交換區在分配相同桌面標簽的計算機上支持口令登錄使用；保密區在分配相同桌面標簽的計算機上受限制使用，在不同標簽的計算機上無法使用，插入即會報警。

綜合以上幾個模塊的功能，作為管理員能充分體會桌面管理系統在信息網絡安全中的起到的強大作用。

參 考 文 獻