序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇企業信息安全管理體系范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

【 關鍵詞 】 信息安全；電力企業；風險評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實現其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關注，企業的信息安全就更為重要了。但是網絡是一個開放互聯的環境，接入網絡的方式多樣，再加上技術存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規定的重要信息安全領域。所以電力企業要把信息安全管理體系的建設，作為重要的一環納入到整個企業管理體系中去。

2 電力企業信息管理體系建設的依據

關于企業的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容：信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則是一個基礎性指導文件，里面有10大管理項、36個執行的目標和127種控制的方法，可以作為開發人員在信息安全管理體系開發過程中的一個參考文檔。信息安全管理體系規范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也了很多關于信息安全技術的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

關于企業信息安全管理體系方面的標準眾多，如何針對企業自身實際情況選擇合適的參考標準很重要，尤其是電力企業有著與其他企業不同的一些特殊性質，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業已經引入了一些國際化標準作為建立和維護企業運轉的保證，關于信息安全體系的標準也應納入到保證企業運轉的一系列參考中去。電力企業總體應有一致的安全信息管理體系參考標準，但是具體地區的公司又有著本身自己的特殊環境，所以在總體一致的信息安全標準的情況下，也應該根據企業自身地區、人文、政策等的不同制定一些企業內部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據。信息安全管理體系顧全大局又要有所側重的體現電力企業安全標準的要求。

3 信息安全管理體系里的重要環節

3.1 硬件環境要求

信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業用到的設備做一些要求。電力企業一般采用內外網結合的方式，內外網設備要盡量進行物理隔離。企業每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數，企業可以限制公司設備的無線網絡拓展。另外，實時監控系統也應該覆蓋企業的重要設備，監控硬件設備的安全。

3.2 軟件環境要求

在企業設備（主要是計算機）上部署相關軟件環境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統弱口令監控軟件的部署等，以此防止網絡攻擊或者提高安全系數。另外，企業設備所用系統的安全漏洞修復、數據的加密解密、數據的備份恢復及數據傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

3.3 企業員工管理

盡管現在一直倡導智能化，但是企業內進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發，還是對企業軟硬件系統進行維護工作，都是有員工來進行的。所以，對企業內部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關的信息安全方面的培訓，然后對培訓結果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業應該定期（例如每年）進行一次信息安全的相關演習。

另外，電力企業有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業，對這些人員也應該進行電力企業信息安全的培訓。

3.4 信息安全管理體系的風險系數評估

風險評估在信息安全管理體系中是確定企業信息安全需求的一個重要途徑，它是對企業的信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發生后消減和控制的優先級，對消除風險提出建議。在信息安全管理體系的風險系數評估過程中，形成《風險系數評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調整的參考。風險系數的評估要盡可能全面的反映企業的信息安全管理體系，除了常規手段，也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業的員工對風險的理解，企業員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數評估的過程中，可以進行一些員工的問卷調查等，把員工對風險的認識納入風險評估的考慮范疇。

企業的設備會老舊更換，員工也會更換，所以企業的信息安全是動態的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內各個模塊的結合，信息安全管理體系的風險評估與關鍵內容的實時監控就應該結合起來。

為了降低信息安全管理體系的風險系數，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業計算機網絡系統安全的一種評測方法。這個測試過程會對系統的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網絡信息安全的組織具有實際應用價值。隨著技術的不斷進步，可能還會出現其他的更有價值的信息安全技術，作為信息安全備受矚目的電力企業，應當時刻關注相關技術的進展，并及時將它們納入企業信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業信息安全是動態的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調整，使信息安全管理體系有效的運行。現在一般會采用PDCA循環過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數、提高信息安全的有關的安全方針、過程、指標和程序等；執行：實施和運作計劃中建立的方針、過程、程序等；評測：根據方針、目標等，評估業績，并形成報告，也就是文章前面說到的風險系數評估；舉措：采取主動糾正或預防措施對體系進行調整，進一步提高體系運作的有效性。這四個步驟循環運轉，成為一個閉環，是信息安全管理體系得到持續的改進。

4 重要技術及展望

4.1 安全隔離技術

電力企業的信息網絡是由內外網兩部分組成，從被防御的角度來看的話，內網的主要安全防護技術為防火墻、桌面弱口令監控、入侵檢測技術等；而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協議隔離技術和防火墻技術。一般電力企業采用了物理隔離與防火墻技術，在內網設立防火墻，在內外網之間進行物理隔離。

4.2 數據加密技術

企業的數據在傳輸過程中一般都要進行加密來降低信息泄露的風險?？梢愿鶕娏ζ髽I內部具體的安全要求，對規定的文檔、視圖等在傳輸前進行數據加密。尤其是電力企業通過外網傳輸的時候，除了對數據進行加密外，還應該在鏈路兩端進行通道加密。

4.3 終端弱口令監控技術

終端設備眾多，而且是業務應用的主要入口，所以終端口令關乎業務數據的安全以及整個系統的正常運轉。如果終端口令過于簡單薄弱，相當于沒有設定而將設備暴露。終端的信息安全是電力企業信息安全的第一道防線，因此采用桌面系統弱口令監控技術來加強這第一道防線的穩固性對電力企業的信息安全非常重要。

電力企業信息安全管理體系是一個復雜的系統，包含眾多的安全技術，如數據備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網技術、協議隔離技術等。凡是與信息安全相關的技術，電力企業都應當關注，并根據企業自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環境越來越復雜，信息量越來越龐大的情況下是否會更能發揮信息安全管理體系的作用呢？這應該是值得期待的。

5 防病毒軟件部署

電力企業信息安全管理體系有很多軟件系統的部署，如防病毒軟件部署、桌面弱口令監控系統部署、系統安全衛士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業信息安全管理體系中軟件系統的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業版的賽門鐵克防病毒軟件系統相比單機版增加了網絡管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統的穩定運行，在電力企業內部正式使用時，盡量準備一立的服務器作為防病毒軟件專用的服務器。

服務器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。

電力企業內網可能是禁止接入外網的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網在相應網址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統專用服務器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發給下級升級服務器和客戶端進行防病毒軟件系統的自動升級更新。圖1是一個簡單的框圖，如果電力企業的內網規模很大的話，還可以更多級地分布部署。

6 結束語

電力企業的信息安全與企業的生產與經營管理密切相關，是企業整個管理系統的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內容統一進行管理，讓它們協調運作，實現信息安全管理體系的功能。電力企業信息安全的建立與體系不斷的改進定能穩定、有效地維護企業的信息安全。

參考文獻

[1] 王志強，李建剛.電網企業信息安全管理體系建設[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術，2013（1）：180-187.

[4] 沈軍.火力發電廠信息你安全體系構建與應用[J].電力信息通信技術，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構建供電企業信息安全體系[J].電腦知識與技術，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術及其實現[J]. 計算機應用，2001， 21（10）： 20-23.

[8] 江和平.淺談網絡信息安全技術[J].現代情報學，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平涼人，碩士研究生，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

張馴（1984-），男，江蘇揚州人，本科，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關注領域：信息化建設及安全技術。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關注領域：電力信息化建設及安全技術。

篇(2)

（一）管理使用的系統

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業門戶網站等系統是石化銷售企業首要的應用系統。應用系統有以下特征：一是系統應用范圍廣，全程參與企業的經營、管理、對外服務等；二是系統用戶眾多，涵蓋企業各階層員工；三是系統對持續運轉要求高，因此對應用系統的安全運轉要求較高。對公司的經營管理而言，系統的安全穩定運行具有重大意義，系統數據是否安全、保密性和供應商、企業利益有密切關系。

（二）安全管理

隨著我國經濟水平不斷提高，石化銷售企業越來越離不開信息化管理，世界各地的公司對內部成立一個信息化團隊，根據內部的需要制定出具有整體性的管理體系，并根據相關的信息安全規定對系統內部的安全等級做好評估保護工作。各企業制定了詳細有效的“信息系統應急預案”以應付各類突發事件。近幾年，中國石化內控體系在建設過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優勢。當前，石化銷售企業已基本形成一套完整的信息安全防御和管理體系，從而確保了網絡信息系統的安全性。

二、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產清單和風險級別，進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結合企業自身的實際情況，擬定風險控制相應的對策，把企業內的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險

機房環境和硬件設備是主要的的物理風險。當前，部分企業存在的風險有：1）企業機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現在的需求；2）機房使用的裝備年限太長、例如中央空調老化，制冷效果不佳導致溫度不達標，UPS電源續航能力下降嚴重，門禁系統損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網絡和系統安全存在的風險

石化訪問系統的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等，但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。

（三）系統安全風險

沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務，而數據正是應用信息系統的核心，因此，實際應用與系統安全風險密切聯系。當前，信息應用系統存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。

（四）安全管理存在的風險

安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統安全管理體系，從嚴管理，促使信息安全系統正常運作。一方面要規范健全信息安全管理手段，有效較強內控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態發展的形式存在，要不斷調整、完善制度，以符合信息安全的新環境需求。

三、信息安全管理體系框架的主要構思

信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成，特點是系統化、程序化和文件化，而主要思想以預防控制為主，以過程和動態控制為條件。完善安全管理體系，使石化銷售企業信息系統和信息網絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數據安全，提升系統的持續性，加強企業的競爭力。

（一）組織體系

企業在完善管理體系過程中應設立信息安全委員會和相關管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓，使工作人員提高信息安全管理意識，實現信息安全管理工作人人有責。

（二）制度體系

操作規范、安全策略、應急預案等各項管理制度經過計劃和下發，讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程，規范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術體系

管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件，技術體系會在最短的時間內降低事件的不良影響，依靠相關的信息安全管理技術平臺，以實現信息安全技術的有效控制。管理體系的核心是技術手段，先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲，可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網絡系統快速檢測出攻擊的對象，加強了管理員的安全管理技術（包括審計工作、監視、進攻識別等技術），提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份，利用體統的可用性和容災性加強安全管理能力。

近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統的的安全防預技術受到了嚴峻的考驗，這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御，而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路，且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關步驟

由于管理體系具有靈活性，企業可依據自身的特點和實際情況，使用最優方案，結合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結論

篇(3)

當前信息安全的發展趨勢已經不僅僅是升級傳統安全產品，而是從業務策略和整體系統上來考慮安全問題，幫助企業建立安全、完善的IT環境，以應對來自內外部的攻擊，降低風險和損失。因此，全方位安全策略及解決方案對保護電信運營商信息系統的安全不可或缺。

對于電信運營商而言，目前都已制定了相關的制度和流程，但還沒有企業級整體的信息安全規劃和建設，信息安全還沒有或很少從整體上進行考慮。IBM企業IT安全服務是一套針對企業信息安全管理的完善解決方案，能夠協助企業更加全面地認識信息技術、評估企業的信息安全隱患及薄弱環節，進一步完善運營商安全架構，為電信運營商的應用構建高度信息安全的運行環境，共同規劃、設計、實施、運作，從而保護企業信息系統的安全。

事實上，管理者不應該再將信息安全看作一個孤立的或是純技術的問題，而要從企業運營的全局角度整體看待，制定與企業特點和成長潛力相適應的安全管理架構。

完善的安全架構必須能夠隨著市場的變化進行調整，IT部門的決策者必須密切關注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應對日益增長的法規遵從性要求，更多地關注應用層面，與此同時，積極利用外包的機遇實現更好的投資回報。

在中國，隨著信息安全和上市公司相關立法的完善，法規遵從性和相關審計在行業中的要求也正在不斷普及，越來越多的公司和行業正努力去滿足法律所規定的安全要求。電信運營商在信息管理方面需要做到三點：信息的完整性、信息的保密性和要求信息能夠在適當的時間以適當的格式被訪問，這都與信息安全密不可分。保護企業數據安全，達到法規遵從性的要求將是CIO們2007年的一大職責。

應用安全是另一個市場焦點。隨著企業業務更多依賴于各類基礎性應用，讓企業安全、順暢地訪問應用數據，保證業務永續運行的同時保障應用性能成為CIO的重要目標。過去信息安全的老三樣(防火墻、入侵檢測和防病毒)的概念已經過時，網絡邊界這樣的概念會越來越模糊，而基于身份和用戶管理的網絡行為控制將會成為主流。安全即意味著只有允許的人在允許的時間訪問允許的數據，故而身份管理可以整合各種不同類型的安全工具。同時，它也可以幫助企業認清和應對新技術部署帶來的新問題，例如無線技術在企業范圍內的廣泛應用，已經使得安全陣地從有形的網絡線路擴展到無形空間。

在電信運營商運營商強化自身安全的同時，網絡安全外包的發展給電信運營商帶來了更多的選擇。對于缺乏安全技能和人力的中小企業來說，安全管理服務(ManagedSecurityService，MSS)是一條捷徑，即通過在電信網絡上提供托管形式的安全服務，代客戶管理及監控信息安全系統與設備，并在安全事件發生的第一時間做出適當回應。在這個過程中，用戶則將目光轉向安全運維中心(SOC)服務。盡管國內用戶對SOC的理解不完全一致，但都希望借助SOC融合安全技術、安全產品、安全策略和安全措施，與電信運營商的安全咨詢、安全響應、特別是與安全運維相結合，協調各方面資源以最具成本效益的方式處理安全問題，為企業和機構提供了整體性的解決方案。

鏈接天津移動構建全面信息安全管理體系

根據中國移動集團公司制定的安全指導原則，天津移動從2000年起就開始著手IT安全建設，特別是將信息安全管理體系的建立與建全作為了一項重點工作，并在全局性的安全規劃上進行了積極探索。2007年，通過與IBM的合作，天津移動對信息安全進行了全方位的考量和整體規劃，并分三個階段進行具體實施：

安全體系建立：在對企業IT安全現狀進行評估及需求調研的基礎上，進行安全管理體系的規劃和建立，包括按ISO27001信息安全管理體系建立，匯總、歸納、體系化各種規章制度，以及相關人員的安全意識培訓等；

安全建設實施：主要包括各種軟件、硬件設備的購買、評估及加強等，輔助安全管理體系的執行；

篇(4)

一、當前構建縣供電企業信息安全新體系存在的風險

1.信息安全策略風險

信息安全策略體系是當前縣供電企業信息安全新體系中的重要組成部分，但目前多數供電企業在信息安全策略上還存在一定的風險。主要體現在：缺乏統一的安全運行體系；未實現對信息安全策略的修訂和評審，因缺乏規范的機制；信息安全策略在企業缺乏一定的執行保障，因信息安全策略未被審批和，缺乏行政保障。

2.信息安全技術風險

主要表現在以下幾個方面：缺乏有效的信息系統審計手段和安全監控，未清晰劃分網絡安全區域，網絡應用系統的安全功能和強度嚴重不足，使用的網絡安全技術不夠統一，用戶的認證度不大，安全系統配置還不夠安全。

3.信息安全組織風險

當前縣供電企業還缺乏有效、完整、專業的信息安全組織，在實際運行中存在一定的風險。首先是對職工的信息安全教育不夠，宣傳力度不大，使得職工的信息安全意識薄落，桌面系統用戶的安全意識不夠[1]。其次，企業組織人員對技術人員的專業安全知識和技能的培訓不夠，使得企業內部缺少專業的信息安全技術人員。最后，開展的信息安全工作未形成專業的責任制度，職權不明，給企業的工作帶來一定的困難。

二、構建縣供電企業信息安全新體系的具體舉措

1.建立科學的信息安全策略體系

建立科學的信息安全策略體系，是構建縣供電企業信息安全新體系的重要舉措之一。建立科學的信息安全策略體系應該覆蓋物理層、網絡層、系統層以及應用層四個方面，包括信息管理和技術兩個要素[2]。主要可以從三個方面入手：信息安全策略、信息安全標準規范、信息安全操作流程細則（見圖1）。

2.建立先進的信息安全技術體系

先進的信息安全技術體系包括了防火墻技術、信息確認和網絡控制技術、防病毒技術、防攻擊技術、信息加密技術、數據備份和恢復技術以及統一威脅管理技術。（1）防火墻技術。防火墻技術是指在企業的內部網絡與外部網絡之間設置安全屏障，防止內部對外部不安全信息的訪問，組織外部不安全信息侵入到內部系統的一種技術。該技術是目前國內應用最為廣泛的信息安全保障技術，能有效的防止電腦黑客對內部網絡系統的攻擊，實現對數據的過濾、監控、記錄。主要包括了過濾技術、服務技術以及應用網管技術。（2）信息確認和網絡控制技術。該技術的使用是圍繞計算機網絡開展的，有關業務信息安全的技術必須根據各單位的具體業務、性質、任務等制定相應的策略。目前國內的主要信息確認和網絡控制技術有：身份認證、數據完整性、防止否認以及存取控制等[3]。（3）防病毒技術。計算機病毒是網絡信息最常見的網絡安全隱患，已經呈多態化、災難化形態發展。對此，使用防病毒技術必須建立相應的防病毒網絡中心，實行網絡化管理。（4）防攻擊技術。防攻擊技術主要是針對電腦“黑客”設定的，電腦黑客經常會對電腦主機和網絡信息系統的一些漏洞進行攻擊。防攻擊技術的使用能跟根據黑客攻擊的程度檢測系統的安全漏洞，并提出相應的解決措施，一般而言，對一些重要的系統可采用物理隔離的措施。（5）信息加密技術。信息加密技術是縣供電企業信息安全體系中的一種重要且實用的技術，主要包括對稱密碼技術如DES算法，非對稱密鑰技術如RAS算法。（6）數據備份和恢復技術。采用數據備份技術可以根據數據的重要程度按等級進行備份，建立省市級與縣級數據備份中心，為了保障信息安全系統的安全性和可靠性，應該采用數據恢復技術。（7）統一威脅管理技術。統一威脅管理系統是為了解決因安全產品過度導致網絡管理難和網絡效率出現瓶頸的問題而產生的，主要功能有防火墻、病毒過濾、流量管理、VPN、上網行為審計以及入侵防御等[4]。目前，該技術已經在很多領域得到應用?？h級供電企業與省市供電企業相比，規模較小、資金短缺，在建立先進的技術安全體系時，要結合自身發展規劃，不斷學習新技術，利用自己的智能開發有潛力的產品。如在數據采集上，可以利用GPRS技術進行遠程抄表，且將重點放在路由設備上；調度數據網的數據時可以利用安全物理隔離網閘，移動辦公時可以使用VPN技術。

3.建立完善的信息安全管理體系

信息安全管理體系是縣供電企業信息安全新體系的核心組成部分，良好的信息安全體系必須要有合理、科學的管理，這是保障供電企業正常運轉的重要途徑。完善的信息安全管理體系包括了人員管理、技術管理、密碼管理、數據管理以及安全管理等。人員管理上，縣供電企業要強化網絡管理者的信息安全意識，加強信息安全教育，尤其是對網絡機密的教育。技術管理上，確保網絡的各種設備如路由器、防火墻、交換機、VPN、QOS、IPS、防毒墻的安全。密碼管理上，更新重要密碼，對各類密碼實施分級管理，以免出現出產密碼、默認密碼等簡易密碼被破解的現象。數據管理上，做好數據備份工作，數據備份的策略要及時合理，保管好備份數據介質。安全管理上，建立相關的縣供電企業信息安全管理淺析如何構建縣供電企業信息安全新體系劉志杰（國網冀北電力有限公司隆化縣供電分公司，河北隆化067000）的規章制度，在操作系統、操作手段、機房及其設施等方面進行安全管理。

4.建立有效的信息安全組織體系

目前，國內縣供電企業要建立信息安全組織體系主要包括了決策、管理、執行、監管四個方面。只有處理好這四個層面的關系，才能建立一個完整、責權統一、有效的信息安全組織體系。同時，建立信息安全組織和定義安全職責是相互影響的兩項工作，信息安全組織的角色與職責要有清晰的電柜，管理層要對下屬職責進行明確的規范和劃分，才能有效的確保信息安全體系的建立，保障企業信息安全工作的有效開展，尤其是信息安全教育與培訓的工作。要做好信息安全教育與培訓的工作，必須涉及到每個職工，在信息安全教育與培訓方面制定嚴格的制度機制，才能提升整個企業職工的信息安全水平。

三、案例分析

某供電企業信息安全新體系結構示意圖從圖2中可以看出，組織體系、策略體系、技術和管理體系是該供電所信息安全體系的靈魂，為了建立完整的信息安全體系，保護好供電企業內部網絡系統的安全，信息安全新體系設計的具體防護措施如下：

1.物理安全

物理安全主要針對的是地震、水災等自然因素以及人為操作失誤而導致的計算機網絡系統和設備損壞采取的一項措施。采取物理安全措施要防止系統信息在空間的擴散，物理安全的實施主要體現在機房上，具體措施包括了防火、防水、防雷、防盜、防靜電等。

2.物理和邏輯隔離

物理隔離和邏輯隔離是兩種不同的策略，物理隔離是指只要沒有網絡連接就是安全的，而邏輯隔離是要在網絡正常運行的基礎上，確保網絡信息的安全。對當前的電力企業而言，使用物理隔離是無法保障電力信息安全的，因此，邏輯隔離是最好的舉措。邏輯隔離是指網絡正常連接情況下，使用技術進行邏輯上的隔離。邏輯隔離可以通過設置VLAN和防火墻來實現，包括企業內部局域網與外界的隔離，不同區域供電企業之間的隔離以及各種專業VLAN之間的隔離等。

3.強化計算機管理策略

加強計算機管理策略體現在設施管理、訪問管理以及加密管理三方面。設施管理包括建立安全管理制度，對計算機系統、打印機等設備進行檢修、創設良好的電磁兼容環境；訪問控制管理是網絡安全保護的主要措施，主要通過設置訪問賬戶、訪問時間、訪問方式等市縣。加密管理包括了加密與保密、公共密鑰加密、數字簽名的鑒定以及包過濾等方面。

4.入侵檢測

雖然目前國內很多供電企業都布置了防火墻技術，但是傳統的防火墻技術還存在一定的缺點，實施入侵檢測能很好的彌補防火墻的缺陷。入侵檢測的使用能夠有效發揮IPS的優勢，協調IPS和防火墻的優勢互補，提升對信息安全保護的效果。該供電所的入侵檢測主要應用在網絡邊界上的保護，如內網與電力網的邊界、互聯網與公司外網的邊界、內網與服務器區域的邊界。

5.漏洞掃描和彌補

系統缺陷漏洞掃描能幫助工作人員及時發現計算機系統的安全漏洞，更新系統補丁，并進行修補，能有效降低網絡系統的安全風險。具體操作以該供電企業使用的漏洞掃描軟件X-scan為例進行說明。X-scan漏洞掃描軟件采用的是多線程方式對單機進行安全漏洞的掃描，包括命令行和圖形界面兩種操作方式，掃描的內容有遠程操作系統類型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞，NT服務器NETBIOS信息等。掃描的結果一般保存在/log/目錄中，掃描結果索引文件是index_*.htm。具體操作步驟是：第一步，準備掃描文件，如X-Scan圖形界面的主程序xscan_gui.exe，插件調度的主程序checkhost.dat等；第二步，準備工作，即安裝掃描軟件并注冊；第三步，圖形界面設置項說明，包括了檢測范圍模塊、全局設置模塊、插件設置模塊等。第四步，運行參數說明，主要的命令格式是：xscan-host<起始IP>[-<終止IP>]<檢測項目>[其他選項]；xscan-file<主機列表文件名><檢測項目>[其他選項]。

6.安全管理

篇(5)

 論文摘要：特色是普通高等院校辦學水平的標志，也是學校辦學優勢的具體體現。為了進一步鞏固發展信息管理與信息系統專業，優化該專業的結構，提升該專業建設的整體水平，滿足企業對信息化人才的需求，文章從信息管理與信息系統專業背景分析入手，對中國計量學院信息管理與信息系統專業的特色定位和教學體系改革提出若干思考。 

 一、引言 

 教育部1998年頒布的專業目錄中，將信管專業的培養目標確定為：“培養具備現代管理學理論基礎、計算機科學技術知識及應用能力，掌握系統思想和信息系統分析與設計方法以及信息管理等方面的知識與能力，能在國家各級管理部門、工商企業、金融機構、科研單位等部門從事信息管理以及信息系統分析、設計、實施管理和評價等方面的高級專門人才?！睆呐囵B目標中不難看出一方面教育部進行專業整合的初衷是為了摒棄以前專業劃得過細的做法，把目標轉向培養既懂經濟管理知識，又懂信息技術的高層次、跨學科的復合型人才上來。它不同于計算機科學與技術專業，也有別于工商管理專業。但另一方面，又由于新專業是由五個專業歸并而成的，目錄中確定的培養目標只能是具有寬泛性和普適性要求的基本目標，給各個高校的具體操作留下了很大的空間。 

 由于側重點不同，信管專業課程體系設置在國內高校中出現了多種方案。2005年以前有主干學科結構、知識模塊結構、功能模塊結構等七種方案。2005年以后仍然是百家爭鳴、百花齊放。對于專業方向，有三、四、兩個之劃分；對于能力組成，有五項、三項之劃分；對于核心課程設置，有十一門、八門、十門之劃分。有的認為應以“信息系統的開發與管理”為核心，有的則認為應圍繞erp企業資源計劃課程。對于知識體系，有五模塊、三模塊之劃分?？傊?，目前我國信管專業的課程體系多是一種多學科課程的拼盤式組合，沒有形成專業自身的專業基礎理論體系。 

 中國計量學院在“十二五規劃”中明確指出“要堅持走特色化辦學、差異化競爭之路，把特色辦學理念貫穿于創建特色鮮明、國內知名的教學研究型大學實踐中”。為了進一步鞏固發展我校信息管理與信息系統專業，優化該專業的結構，突出該專業建設的特色，需要從信息管理與信息系統專業背景分析入手，結合計量學院的辦學特色，對信息管理與信息系統專業特色重新進行定位。 

 二、專業特色定位 

 中國計量學院經濟與管理學院信管專業是2000年設置的，10多年來專業在學校和分院的指導下取得了一些成就和發展：國家自然科學基金兩項、浙江省精品課程一門、浙江省重點教材兩部；在學生實踐教學中連續兩年獲得全國電子商務大賽一等獎。但是隨著社會和學校的進一步發展，專業的發展面臨著許多困難和問題：一是專業定位不明確，特色不明顯；二是課程體系設置不合理，課程體系的設置主要是采用“拿來主義”；只注重單科課程設置，忽視課程之間的整合，不少課程內容嚴重重復，浪費教學時間和教學資源；三是實踐環節薄弱，純理論的課程占的比重過大，實踐課程占的比重太小，實踐教學明顯不足，學生動手能力不強，分析問題和解決問題的能力差；四是專業定位與教學體系之間的吻合度難以考評。 

 專業建設是普通高等院校主要教學基本建設項目之一，處于教學建設的龍頭地位。特色是普通高等院校辦學水平的標志，也是學校辦學優勢的具體體現。辦學特色，是一所學校或專業在長期辦學過程中積淀形成的，反映在人才培養方面的獨特個性和明顯優勢。它具體體現在學校或專業的辦學定位、培養模式、課程體系、教學方法和實踐環節等諸多方面，它是學校或專業辦學水平和競爭能力的綜合反映。 

 目前國內信管專業的人才培養模式主要有三種：一是以清華大學、同濟大學為代表的經濟管理模式（即m模式）；二是以武漢大學、北京大學為代表的綜合性大學的信息資源管理模式（即i模式）；三是以中國人民大學和中山大學為代表的側重于計算機系統導向模式（即s模式）。經過前期多次學科討論，參照國內外著名高校的經驗，我們擬將“信息管理”作為學科定位，以“信息安全管理”作為專業特色定位。這樣的專業定位是依靠學校優勢學科，以社會需求和學生能力為導向，借鑒國內外辦學經驗，發揮自身優勢，辦出特色與水平。中國計量學院是我國質量監督檢驗檢疫行業唯一的本科院校，是一所具有鮮明的計量標準質量檢驗檢疫特色的浙江省重點建設大學。學校堅持“立足浙江，面向全國，依托行業，服務地方”，積極開展科學研究。中國計量學院經濟管理學院是中國唯一獲得全球首屆“iso標準化高等教育獎”的學院，是通過gbt/19001-2000idtiso9000：2000質量管理體系認證的學院。學院緊緊圍繞學校建設國內知名的教學研究型大學的奮斗目標，深入實施“先進的標準，精密的計量，卓越的質量”教學管理方針，堅持以貢獻求支持，以特色爭優勢，以創新謀發展，立足浙江，面向全國，走向世界，使學院成為我國培養質量管理高層次專門人才的搖籃。 

 三、專業教學體系 

 培養目標的實現是靠課程體系的整合和設計來支撐的，課程體系直接反映了人才培養的方向，體現知識、能力、素質、市場（就業）和特色五個方面的導向作用。課程是教學之根本，其主要任務在于結合社會對人才的實際需求，依據專業培養的總體目標來設計一套最優的課程體系。信管專業也是一門應用性非常強的專業，其培養目標是應用型、高級的信管人才。純理論課教學是解決不了動手能力問題的，也無法培養出應用型、高級的信管人才，必須加強實踐教學。通過社會實踐、認識實習、專業實習、課程設計、畢業設計等一系列環節來鍛煉學生的動手能力。信管專業本著專業定位、特色定位從知識、能力、素質、市場（就業）和特色五個方面來設計專業的教學體系。

 （一）信息管理 

 畢業生應具備以下幾方面的知識和能力：一是掌握經濟學、管理學、計算機和信息管理的基本理論和基本知識；二是具有信息獲取、組織、分析、研究、傳播與開發利用的基本能力；三是掌握運用現代化技術手段進行文獻信息檢索、資料查詢收集的基本方法和能力，能利用計算機網絡采集和信息，具有一定的科研和實際工作能力；四是具備文檔管理的能力，包括文檔、數據、信息分類管理等；五是具有運用現代的管理方法和手段對與企業或組織相關的信息資源和信息活動進行組織、規劃、協調和控制，以實現對企業或組織信息資源的合理開發和有效利用的能力。 

 畢業生應具備以下幾方面的素質：一是勝任力——學習能力和讀寫能力。不斷地、有計劃、有組織地學習，不斷地追隨管理專業的新發展，能用最少的時間，花最小的精力，獲得最大量的新知識，并不斷地優化自己的知識結構。追蹤科技與社會發展的前沿，不斷地更新和擴展自己的知識信息，以適應未來社會日新月異的發展變化。具備讀寫能力，信息管理人員才能實現對信息的收集、存儲和傳遞。二是敏銳感知外部世界的能力——信息獲取能力。三是熟練操縱因特網的能力。熟練掌握網絡技術，把已獲取的新信息通過一定的綜合分析、計算、試驗操作，最終找出問題，設計解決方案，得出科學結論。四是良好的溝通能力和團隊合作精神。五是創新能力。 

 開設的主要課程：專業主要課程：信息資源管理學、信息存儲與檢索，信息分析與預測，信息組織學，信息計量學，專業實踐課程：統計軟件實習，管理軟件實習。 

  　 就業方向：可以在政府部門或企事業單位的信息管理機構，從事文獻和文檔管理、信息收集、分析、處理、咨詢服務和管理工作等。畢業生經過考試可以成為信息處理技術員、國家信息分析師。 

 （二）信息安全管理 

 信息安全管理在當前是全球的熱門話題，而建立一個符合國際標準的體系，是大家普遍關注的焦點。建立健全信息安全管理體系（iso27001認證）對企業的安全管理工作和企業的發展意義重大。首先，此體系的建立將提高員工信息安全意識，提升企業信息安全管理的水平，增強組織抵御災難性事件的能力，是企業信息化建設中的重要環節，必將大大提高信息管理工作的安全性和可靠性，使其更好地服務于企業的業務發展。其次，通過信息安全管理體系的建設，可有效提高對信息安全風險的管控能力，通過與等級保護、風險評估等工作接續起來，使得信息安全管理更加科學有效。最后，信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌，從而成長為企業向國際化發展與合作的有力支撐。 

 bs7799標準是全球第一份關于信息安全管理體系的標準，bs7799-1現在已經被采納為iso/iec27002：2005；bs7799-2也于2005年被采納為iso27001：2005。該標準當前已被諸多國家采納為國家標準。截至2007年9月已經有超過4000家組織通過了iso27001：2005的審核，獲得了信息安全管理體系認證的證書。 

 畢業生應具備以下幾方面的知識和能力：一是信息安全管理技術能力；二是信息安全管理能力。此主要目的是要求學生了解信息安全及其重要性，認識什么是信息安全管理體系，建立一套信息安全管理體系為何需要iso27001，學會如何建立一套符合企業（組織）需要的信息安全管理制度。 

 開設的主要課程：計算機安全與技術、網絡安全、信息安全管理體系、信息安全風險評估與管理、信息安全管理體系iso27001建立與實施。 

 就業方向：畢業的學生經過考試獲得信息安全管理體系認證證書，可以從事企事業單位信息安全管理。 

 四、結論 

 信管專業的特色培育和課程體系建設并非一蹴而就、一勞永逸的工作。為此，我們將建立一套完整的教學質量管理體系，囊括管理機構和人員、管理的規章制度、管理手段和評價指標體系等，其作用是對整個體系中進行信息反饋和控制，評價專業定位、特色定位與教學體系之間的吻合程度。 

 參考文獻： 

 1、陶雷,莫贊,張立厚.應用型本科“信管”專業課程體系探究及建構實踐[j].情報雜志,2010(2). 

 2、何永剛,黃麗華.信息管理與信息系統專業課程體系研究綜述[j].情報雜志,2007(8). 

 3、cisc2005課題組.中國高等院校信息系統學科課程體系2005[m].清華大學出版社,2005. 

 4、鄧曉紅.基于職業能力分析的信息管理與信息系統專業核心課程體系研究[j].中國管理信息化,2009(6). 

 5、張勁松.信息管理與信息系統專業課程體系創新研究[j].情報雜志,2008(11). 

 6、張慶華,譚旭紅.基于集成化模式開展信息管理與信息系統專業建設[j].中國管理信息化,2009(3). 

篇(6)

關鍵詞：混業經營；金融牌照；信息安全；管理體系

一、金控的定義與歷史機遇

（一）金控的定義

金控是金融控股的簡稱，是指在同一控制權下，完全或主要在銀行業、證券業、保險業中至少兩個不同的行業提供服務的金融集團。從定義上可以直接反映出金控公司的特點：多金融牌照混業經營，由一家集團母公司控股，通過子公司獨立運作各項金融業務。

（二）金控的歷史機遇

金控公司出現之初，集團母公司多是扮演財務投資的角色，不參與具體業務的運營。隨著國家“十三五”工作的推進，金融改革不斷深化和多元化，單一業務的聚集效應在減弱，而以多業務構建“客戶-平臺-資產”供應鏈閉環生態系統的金控平臺則迎來其歷史發展機遇。其通過資源協同、渠道整合、交叉銷售等運營模式，促進供應鏈上各項金融業務的聯動發展，最大程度地發揮了產品互補優勢，提高效能，享受高額市場回報。

二、金控體系下信息化建設的重要性和安全需求

（一）信息化建設的重要性

打造金控體系下多牌照的閉環生態系統，離不開信息化平臺的建設。換個角度，信息系統是多牌照業務融合、產品創新和效能提升的一種有效手段。如通過信息化建設金控體系下統一的客戶系統、全面風險管理系統、產品銷售系統、大數據分析平臺等，可助力金控集團建立品牌效應，快速響應多元化的市場需求，從而實現業務的爆發式增長。基于信息化的重要性，綜觀目前市場上的各類金控公司，都在大力發展信息化建設，尋找業務創新點，引領行業升級和搶占市場。

（二）信息安全需求分析

對于互聯網時代的金融企業來說，數據是核心，安全是生命線。隨著《網絡安全法》的實施，信息安全已上升到國家戰略層面，構建金融企業的信息安全防護網勢在必行。對于金控公司來說，由于是混業經營模式，旗下不同牌照的子公司，因其監管部門不同以及對信息安全要求不一樣，在規劃其信息安全時，必須將多牌照的特點融入到安全體系內，同時滿足信息安全和業務發展的平衡需求，以免顧此失彼，得不償失。

三、金控體系下信息安全體系規劃

建立一套金控公司的安全體系，必須同時從管理和技術角度進行規劃，管理是運營措施，而技術是操作手段，相輔相成，缺一不可。

（一）信息安全管理體系的規劃

1.對標的選擇。建立一套信息安全體系，目前可對標的標準和規范包括國際標準ISO27001、國家安全標準、各監管機構的安全指引、信息安全等級保護管理辦法，以及行業的最佳實踐等。對于金控信息安全管理體系的規劃，應該以ISO27001為基礎，結合監管的合規要求進行編制。2.設計原則。通常情況下混業經營企業在制定企業管理體系標準時要照顧到各方的使用需求，其標準具有通用性和廣泛性。具體使用部門或子公司可再結合自身業務特點，制定更具體的操作規范。但對于金控行業來說，由于旗下各子公司經營的都是金融業務，對信息安全的要求比普通企業更嚴格，信息安全是其不可逾越的紅線。因此在為其設計信息安全管理體系時，應反其道而行，從嚴要求，以最嚴格的標準進行編制，做好頂層設計，然后根據各子公司的業務特點，對制度或規范做適當的裁減或降低等級要求。3.管理體系模型。信息安全管理體系是一個多層次的模型，如圖1所示。在該模型中，第一層是企業信息安全方針政策，說明企業信息安全總體目標、范圍、原則和安全框架等；第二層是企業安全管理制度和規范，說明體系運行所需要的通用管理要求；第三層屬于安全管理活動中，用于約束安全行為的具體方法；第四層是配套的表單和記錄，用于輔助制度和管理辦法的執行。4.安全目標和方針的設計。雖然是混業經營，但對于金控集團及旗下各子公司來說，信息安全的目標應該是一致的，本質都是追求企業數據的保密性、完整性和可用性，所以安全方針可以基于集團統一考慮，設計為：安全、合規、協同、務實。安全：以風險管控為核心，主動識別、管控并重，為用戶提供安全、可靠的信息技術服務。合規：按照國家法律法規及行業監管要求，建立滿足集團業務發展需求，并具有專業能力的信息安全管理機制。協同：全員參與，對全體員工進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力。務實：以經濟適用為準則，選擇適應公司發展變化的業務架構和穩定靈活的技術架構，滿足各業務條線的管理和決策需要。5.組織架構的設計。信息安全方針的貫徹，安全制度的執行，安全技術的部署，都需要通過安全管理組織來推行。各個模塊相互之間的關系如圖2所示。對于金控行業公司而言，由于多數子公司都是獨立法人，無法完全成立一個實體安全組織，而是一個橫跨集團和各子公司的虛擬安全組織。為保證安全組織的有效性和執行力，應具有分工合理、職責明確、相互制衡、報告關系清晰的特點。6.管理制度及規范的設計。管理制度和規范是屬于企業運營措施，根據ISO27001標準模型，安全管理制度劃分了14個控制域，涵蓋的內容如圖3所示。根據各控制域的關聯關系，結合金融企業的安全需求，企業的安全管理制度通用全景圖設計如圖4所示。

（二）信息安全技術體系規劃

技術體系屬于信息安全操作層面的內容，應該是圍繞整個數據生命周期展開規劃的。根據數據的運動軌跡，經歷“生產-傳輸-計算-存儲-消亡”等階段，所以信息安全技術體系的范圍，應該涵蓋物理環境、基礎架構（含虛擬化層）、應用、數據和訪問控制等。一般通用的安全技術體系全景如圖5所示。由于安全技術需要部署大量的專業設備，對于混業經營的金控公司而言，可以發揮集團總部的先天優勢，對于一些共性的安全技術方案，由集團統一規劃和部署，然后為各子公司提供相應的安全服務，減少投入，節約成本。例如防病毒系統，由集團總部部署服務端，各子公司部署客戶端即可，類似的安全技術服務還有漏洞掃描系統、身份認證系統、終端準入系統、APT檢測系統、安全滲透服務、安全培訓服務等。

四、金控體系下信息安全的實踐

由于是混業經營，在組建了橫跨集團和各子公司的安全組織后，還需要不斷地進行實踐以達到最佳效果，以下是一些具有特色的實踐場景。

（一）信息安全事件的統一管理

信息安全事件的管理是安全制度之一，有效的事件管理可以積極發揮安全效能，提升全集團的安全能力。1.情報共享，協同防護。在管理層面，原各業務子公司只會向其外部監管部門報送安全信息，相互獨立，不能有效共享相關的安全情報。新的模式下要求子公司同時將安全信息上報集團總部，總部通過分析后形成統一報告，再發放到各個子公司。通過這種方式，一方面可以實現情報共享，另一方面可以實現信息安全的統一管控，協調防護。2.統一監控，快速反應。在技術層面，可通過在子公司部署探針，建立集團的統一安全監控平臺，對集團內所有的安全日志進行采集、分析、響應，同時結合集團和各子公司的安全保護措施對事件進行快速處理，合縱連橫，從而保證整個集團和各子公司信息系統的安全穩定運行。

（二）子公司信息安全建設的管理

對于多牌照的金控公司來說，旗下各子公司業務種類不同，規模也有區別。在信息安全的建設方面，應該有區分對待。對于規模較大的子公司，依靠自身力量建設了數據中心及安全體系的，除一些共性的安全技術方案可由集團提供以外，其他的安全措施由子公司執行，集團主要是發揮標準制定和監管的角色。對于規模較小的子公司，由于IT力量較弱，數據中心體量有限，很難依靠自身建設完整的信息安全保護體系。在監管許可的情況下，可以將子公司的信息系統托管在集團數據中心，由集團進行信息安全的統一規劃、建設和運維。

（三）交叉檢查，取長補短

由于同屬于一個集團，各子公司之間具有天然的信任感，通過集團的統一組織和管理，可以促進各子公司之間進行信息安全的交叉檢查，在兄弟公司之間充分展示本單位的優勢，取長補短，相互學習，共同進步。

參考文獻：

[1]ISO27001：2013.信息安全管理體系標準[S].2013.

[2]中國銀行業監督管理委員會.商業銀行信息科技風險管理指引[Z].2009.

篇(7)

關鍵詞：信息安全；信息安全防護；安全管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5346-02

隨著網絡信息系統在各行各業得到廣泛應用，企業單位辦公自動化程度越來越高，許多企業開始利用信息化手段來提升自身管理水平，增加競爭力。企業內部用戶之間實現了“互聯互通 ，資源共享”，極大地提高了企業單位的辦事效率和工作效率。但部分企業卻忽視了整個系統的安全和保密工作，使得系統處于危險之中，而一旦網絡被人攻破，企業機密的數據、資料可能會被盜取、網絡可能會被破壞，給企業帶來難以預測的損失。因此，企業網絡安全的建設必須提上日程，并加以有效防范。

1 企業信息安全防護策略

企業網絡所面臨的安全威脅既可能來自企業網內部,又可能來自企業網外部。所有的入侵攻擊都是從用戶終端上發起的,往往利用被攻擊系統的漏洞肆意進行破壞。企業網絡面臨的威脅主要有系統漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。

企業信息安全從本質上講就是企業網絡信息安全，必須充分了解系統的安全隱患所在，構建科學信息安全防護系統架構，同時提高管理人員的技術水平，落實嚴格的管理制度 ，使得網絡信息能夠安全運行，企業信息安全防護策略如圖1所示。

2 硬件安全

企業網硬件實體是指實施信息收集、傳輸、存儲和分發的計算機及其外部設備和網絡部件。對硬件安全我們應采取以下相應措施：1）盡可能購買國產網絡設備，從根源上防止由于后門造成的威脅；2）使用低輻射計算機設備、屏蔽雙絞線或光纖等傳輸介質，把設備的信息輻射抑制到最低限度，這是防止計算機輻射泄密的根本措施；3）加強對網絡記錄媒體的保護和管理。如對關鍵的記錄媒體要有防拷貝和信息加密措施，對廢棄的光盤、硬盤和存儲介質要有專人銷毀等，廢棄紙質就地銷毀等；4）定期對實體進行安全檢測和監控監測。特別是對文件服務器、光纜（或電纜）、收發器、終端及其它外設進行保密檢查，防止非法侵入。

3 信息安全技術

企業信息的安全必須有安全技術做保障。目前可以采用的安全技術主要有：

3.1 安全隔離技術

安全隔離與信息交換系統（網閘）由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡。從而在保證內外網隔離的情況下，實現可靠、高效的安全數據交換，而所有這些復雜的操作均由隔離系統自動完成，用戶只需依據自身業務特點定制合適的安全策略既可實現內外網絡進行安全數據通信，在保障用戶信息系統安全性的同時，最大限度保證客戶應用的方便性。

3.2 防火墻技術

防火墻通過過濾不安全的服務，可以極大地提高網絡安全和減少子網中主機的風險；它可以提供對系統的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機；阻止攻擊者獲取攻擊網絡系統的有用信息，如Finger和DNS；防火墻可以記錄和統計通過它的網絡通訊，提供關于網絡使用的統計數據，根據統計數據來判斷可能的攻擊和探測；防火墻提供制定和執行網絡安全策略的手段，它可對企業內部網實現集中的安全管理，它定義的安全規則可運用于整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。

3.3 入侵檢測技術

入侵檢測技術作為一種主動防護技術，可以在攻擊發生時記錄攻擊者的行為，發出報警，必要時還可以追蹤攻擊者。它既可以獨立運行，也可以與防火墻等安全技術協同工作，更好地保護網絡，提高信息安全基礎結構的完整性，被認為是防火墻之后的第二道安全閘門，它在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，最大幅度地保障系統安全。它在網絡安全技術中起到了不可替代的作用，是安全防御體系的一個重要組成部分。

3.4 終端準入防御技術

終端準入防御（EAD，Endpoint Admission Defense）解決方案從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，有效地加強了用戶終端的主動防御能力，為企業網絡管理人員提供了有效、易用的管理工具和手段。

3.5 災難恢復策略

災難恢復作為一個重要的企業信息安全管理體系中的一個重要補救措施，在整個企業信息安全管理體系中有著舉足輕重的作用。業界廣泛的經驗和教訓說明，災難恢復的成功在于企業中經過良好訓練和預演的人在自己的角色上實施預先計劃的策略，即災難恢復計劃。只有制定快速有效地進行數據恢復的策略，才能應對每一種可能出現的數據損壞事故。

3.6 其他信息安全技術

當然，信息安全技術還有很多，如防御病毒技術、數字簽名技術、加密和解密技術、VLAN技術、訪問控制技術等，這些都可以在一定程序上增加網絡的安全性。

4 安全管理

網絡安全管理是企業管理中一個難點，很多信息化企業并不十分看重網絡安全，直到重要數據丟失產生重大損失才追悔莫及，因此首先在思想上充分重視信息安全，不能抱有一絲僥幸心理。對于安全管理采取的措施主要有：確定每個管理者對用戶授予的權限、制訂機房管理制度、建立系統維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。

這些要通過對公司全體員工進行教育培訓，強化規范操作，重要數據作好及時備份 ，從系統的角度促進全體團隊認真執行 ，以達到網絡的保障。

5 人員安全意識

企業信息安全隊伍建設要以領導干部和人員為重點，積極開展面向企業各層面的保密教育，不斷提高全體員工的信息安全素質。采取的措施主要有：開展領導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。

6 小結

針對目前企業信息安全面臨的諸多問題，提出基于硬件安全、信息安全技術、安全管理和人員培訓的企業信息安全整體防護策略。企業信息安全防護是一個系統工程，必須全方位、科學地合理安排和落實，才能有效地保護企業的信息安全。

參考文獻：

[1] 曹國飛.企業網信息化建設保密技術研究[J].科技傳播,2010(9):229.

[2] 王梅,劉永濤.企業信息安全（保密）培訓的幾點思考[J].中國市場,2010,35(9):117-118.

[3] 趙曉.企業信息安全防護體系建設[J].科技創新導報,2010,34:255.