企業(yè)信息安全保障

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全保障范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全保障范文第1篇

 

1 綜合治理信息安全的戰(zhàn)略背景

 

IT管理技術(shù)發(fā)展歷程，從被動(dòng)管理轉(zhuǎn)向主動(dòng)管理，從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)：諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架，面向內(nèi)部控制;ISO17799：信息安全管理國際標(biāo)準(zhǔn)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考，其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC 27001通過PDCA過程，指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。

 

目前企業(yè)IT運(yùn)維管理現(xiàn)狀。需求變化：IT本身快速變更;管理目標(biāo)多角度變換并存。資源不足：IT 復(fù)雜性成長快于人員成長;IT 人員持續(xù)流動(dòng)。業(yè)務(wù)影響：難以判斷事件對(duì)業(yè)務(wù)的影響和處理事件的優(yōu)先級(jí)。信息孤島：IT 資源多樣性的，不能進(jìn)行事件的關(guān)聯(lián)分析，缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測(cè)盲點(diǎn)，缺少主動(dòng)預(yù)警和事件分析機(jī)制。

 

如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地，建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下，IT運(yùn)營面臨嚴(yán)峻的挑戰(zhàn)，企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開發(fā)能力，在很大程度上依賴于產(chǎn)品開發(fā)商的支持，為此，要想實(shí)現(xiàn)從混亂到清晰、從被動(dòng)到主動(dòng)、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想，自主加外包的混合運(yùn)維方式無疑是一種好的服務(wù)方式。

 

2 建立和實(shí)施信息安全保障體系思路和方法

 

針對(duì)IT管理問題和價(jià)值取向的服務(wù)方式，借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法，從建立安全目標(biāo)和組織體系、制度體系和技術(shù)體系等三個(gè)主要層面構(gòu)建實(shí)施信息安全保障體系，以規(guī)范引導(dǎo)人、以標(biāo)準(zhǔn)流程引導(dǎo)人，以業(yè)績激勵(lì)人，從而促被動(dòng)變主動(dòng)，堅(jiān)持持續(xù)改善，促進(jìn)工作效率，促進(jìn)安全保障。

 

2.1 建立和推行目標(biāo)管理

 

體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn)，按頂層布局、中層發(fā)力、底層推動(dòng)內(nèi)容設(shè)計(jì)與構(gòu)建，為此，借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式，確立各階段建設(shè)目標(biāo)。

 

基礎(chǔ)架構(gòu)建設(shè)階段(SMB)，手工維護(hù)階段。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。

 

網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段，重視自動(dòng)化監(jiān)控階段。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理。

 

IT服務(wù)管理(ITSM)階段，重視流程管理階段。主要實(shí)現(xiàn)IT服務(wù)流程管理。

 

業(yè)務(wù)服務(wù)管理(BSM)階段，重視用戶服務(wù)質(zhì)量與滿意度。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理。

 

從IT投入和業(yè)務(wù)價(jià)值來看，前三個(gè)階段是間接業(yè)務(wù)價(jià)值，第四階段才是直接業(yè)務(wù)價(jià)值。

 

根據(jù)ITIL這個(gè)IT服務(wù)管理的方法論，先是搭建一個(gè)框架，借用工具的配合促進(jìn)落地。如圖1、IT運(yùn)維管理系統(tǒng)參考模型。

 

從安全目標(biāo)出發(fā)，結(jié)合IT運(yùn)維管理系統(tǒng)參考模型，每個(gè)階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值，不斷消除或減輕對(duì)性能的約束，促進(jìn)IT產(chǎn)品或服務(wù)滿足確定的規(guī)范，實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過最終的績效和檢驗(yàn)結(jié)果監(jiān)視測(cè)量價(jià)值成分。如圖2。

 

2.2 規(guī)劃融合信息安全保障體系

 

通過從組織體系、制度體系、技術(shù)體系層面建立和實(shí)施縱深防御體系，實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。

 

①組織體系：通過企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)和共同推動(dòng)信息安全體系建設(shè)。當(dāng)然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關(guān)系，快速引進(jìn)外部專業(yè)資源和先進(jìn)技術(shù)，可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求，企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)，組織應(yīng)做到定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)，通過相關(guān)審核，證明組織具備實(shí)施體系的意識(shí)和能力。

 

②制度體系：企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全、終端安全等。為此，企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范，包括績效標(biāo)準(zhǔn)。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)，首先把高效的信息安全做法固化下來形成規(guī)則制度或標(biāo)準(zhǔn)，成為組織中信息安全行為準(zhǔn)則。保證事前預(yù)防、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)。

 

③技術(shù)體系：一般來說，網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、物理安全六個(gè)方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進(jìn)行組合，形成企業(yè)“適用的”安全技術(shù)防線。適時(shí)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

 

其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控。例如SOC是給企業(yè)日常維護(hù)管理者使用，ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn)，是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。

 

④體系運(yùn)行和監(jiān)控：體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制，即在信息的創(chuàng)建、使用、存儲(chǔ)、傳遞、更改、銷毀等各個(gè)階段進(jìn)行安全控制。之前不能忽視在信息創(chuàng)建開發(fā)安全階段的一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中，往往需要結(jié)合流程分析來關(guān)注信息的生命周期安全。運(yùn)行過程中還有一個(gè)應(yīng)急管理，包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是BS25999標(biāo)準(zhǔn)的頒布，給如何建立一套完善的應(yīng)急體系提供了參考。

 

3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐

 

面對(duì)網(wǎng)絡(luò)系統(tǒng)互連，網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個(gè)復(fù)雜而且浩大的工程，井岡山卷煙廠不僅依靠個(gè)體分散的技術(shù)措施或者管理防護(hù)，而且結(jié)合國家、社會(huì)和個(gè)人的力量構(gòu)建綜合保障體系。

 

①依據(jù)ISO9000、ISO14000和OHSAS18000標(biāo)準(zhǔn)，國家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)，參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)，結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等，識(shí)別這些與信息安全相關(guān)的法律法規(guī)及其它要求，將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡稱為三標(biāo))綜合管理體系。

 

②確定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開始，企業(yè)對(duì)照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求，在梳理和評(píng)價(jià)2000年以來企業(yè)多個(gè)企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后，制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃，將目標(biāo)和規(guī)劃分解到各年度實(shí)施，并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績效考核。

 

③建立信息安全管理組織和工作標(biāo)準(zhǔn)，同時(shí)納入三標(biāo)綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化，實(shí)現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化，及時(shí)、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營數(shù)據(jù)，保證企業(yè)的經(jīng)營管理。利用信息化改進(jìn)管理，形成企業(yè)信息安全文化，促進(jìn)員工接受、理解和主動(dòng)配合，不斷提升全員的信息安全意識(shí)和技能，從而使信息安全管理真正落到實(shí)處。

 

④建立和實(shí)施信息安全保障體系文件標(biāo)準(zhǔn)。根據(jù)國家信息安全相關(guān)的法律法規(guī)及其它要求，結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢(shì)，規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長遠(yuǎn)、分步實(shí)施、突出重點(diǎn)”，做到“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)、統(tǒng)一編碼”，同步實(shí)施信息系統(tǒng)等級(jí)保護(hù)制度，促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位、地方通訊和公安等部門的社會(huì)化合作主要方式。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化、信息化，做到一切工作都按照程序辦，同時(shí)，事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中，從而形成職責(zé)明確、運(yùn)轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機(jī)制，為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障。

 

幾年來，企業(yè)堅(jiān)持企業(yè)信息安全方針目標(biāo)，以迅速響應(yīng)服務(wù)為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)、規(guī)范、和諧、統(tǒng)一、開放的管理體系，全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實(shí)踐，截止到2015年底，企業(yè)共梳理建立或整合并實(shí)施安全保障類文件包括企業(yè)管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)共計(jì)31個(gè)標(biāo)準(zhǔn)文件。通過創(chuàng)新與改善和體系審核、管理評(píng)審和提高文件執(zhí)行率及持續(xù)改進(jìn)方式保持了信息安全保障管理體系的持續(xù)改進(jìn)和有效運(yùn)行。

企業(yè)信息安全保障范文第2篇

關(guān)鍵詞：金融行業(yè) 計(jì)算機(jī) 信息安全 保障體系

隨著社會(huì)的不斷進(jìn)步和發(fā)展，信息系統(tǒng)改變?nèi)藗兊纳罘绞剑苿?dòng)了整個(gè)社會(huì)的發(fā)展，金融行業(yè)也不例外。信息化雖然給人們帶來了極大的便利，然而計(jì)算機(jī)信息技術(shù)的發(fā)展也存在潛在的信息安全問題。在這一背景下，計(jì)算機(jī)網(wǎng)絡(luò)的開放性與金融信息的私密性又具有直接的矛盾，金融行業(yè)信息安全形勢(shì)也不容樂觀，加強(qiáng)金融行業(yè)計(jì)算機(jī)信息保護(hù)，構(gòu)建更加安全可靠的金融信息安全保障體系顯得尤為重要。

一、金融行業(yè)計(jì)算機(jī)信息存在的風(fēng)險(xiǎn)

（一）計(jì)算機(jī)數(shù)據(jù)被攻擊竊取

計(jì)算機(jī)病毒和木馬依然是目前金融行業(yè)信息風(fēng)險(xiǎn)的主要因素。計(jì)算機(jī)病毒和木馬在計(jì)算機(jī)程序中潛伏，被激活后會(huì)對(duì)其他程序進(jìn)行感染和破壞，輕者造成數(shù)據(jù)毀壞、丟失，嚴(yán)重者甚至可能使整個(gè)信息系統(tǒng)癱瘓，是破壞計(jì)算機(jī)數(shù)據(jù)的一個(gè)主要因素，也是計(jì)算機(jī)面臨的一個(gè)主要安全問題。一旦金融計(jì)算機(jī)數(shù)據(jù)傳輸系統(tǒng)被破壞，就可能會(huì)導(dǎo)致數(shù)據(jù)被竊或者客戶資料泄露，甚至導(dǎo)致客戶資金或證券交易價(jià)值損失。

（二）系統(tǒng)設(shè)計(jì)維護(hù)的缺陷

金融行業(yè)的各項(xiàng)信息系統(tǒng)設(shè)計(jì)不可能做到完美無缺，任何一個(gè)系統(tǒng)都具有固有的缺陷，這就為不法分子留下攻擊的漏洞，并且無效的安全管理也是造成安全隱患的重要因素，將直接影響客戶和銀行的資金安全。通常情況下，金融計(jì)算機(jī)系統(tǒng)都有管理人員對(duì)其進(jìn)行監(jiān)視，若發(fā)現(xiàn)漏洞則應(yīng)對(duì)其危險(xiǎn)程度進(jìn)行分析，并應(yīng)積極采取相應(yīng)措施進(jìn)行補(bǔ)救。然而即使是維護(hù)過的系統(tǒng)，在軟件更新或者升級(jí)后又可能會(huì)產(chǎn)生新的漏洞，依然會(huì)危及金融系統(tǒng)的安全。

二、金融行業(yè)計(jì)算機(jī)信息安全保障體系的構(gòu)建

為了確保金融行業(yè)計(jì)算機(jī)信息安全體系的有效運(yùn)行，就必須要構(gòu)建一個(gè)安全、有效的信息安全體系對(duì)其進(jìn)行保護(hù)，從而在計(jì)算機(jī)技術(shù)內(nèi)部形成有效的防火墻，并加強(qiáng)系統(tǒng)的維護(hù)和管理，以預(yù)防和阻止由于非法入侵、攻擊、盜用等造成的信息遺失安全問題。

（一）推進(jìn)金融科技標(biāo)準(zhǔn)化體系

近幾年，標(biāo)準(zhǔn)化體系建設(shè)已經(jīng)成為人民銀行科技主管部門的一項(xiàng)重要工作，為金融行業(yè)信息技術(shù)發(fā)展的做出了行業(yè)規(guī)范。在實(shí)際發(fā)展中，金融行業(yè)在計(jì)算機(jī)信息管理，專業(yè)研發(fā)、維護(hù)和管理部門和人才等方面做了大量的工作。金融機(jī)構(gòu)既建立計(jì)算機(jī)信息系統(tǒng)規(guī)劃、開發(fā)、建設(shè)、維護(hù)等相關(guān)技術(shù)部門，也設(shè)立風(fēng)險(xiǎn)管理部門和安全管理部門。為了更好地推進(jìn)金融科技標(biāo)準(zhǔn)化工作，各金融行業(yè)風(fēng)險(xiǎn)管理部門要加強(qiáng)對(duì)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)視，從組織監(jiān)督檢查的角度，由金融系統(tǒng)內(nèi)部審計(jì)部門，對(duì)其業(yè)務(wù)流程及系統(tǒng)運(yùn)作情況進(jìn)行安全監(jiān)督檢查，及時(shí)將監(jiān)視結(jié)果提供給其他相關(guān)部門；安全管理部門要加強(qiáng)對(duì)管理制度、法規(guī)、安全細(xì)則等進(jìn)行規(guī)定，并通過監(jiān)督、指導(dǎo)、管理等使制度得到落實(shí)，從信息安全管理層面使金融信息安全體系的防范級(jí)別得到切實(shí)提高。

（二）加強(qiáng)計(jì)算機(jī)信息數(shù)據(jù)的保護(hù)

金融行業(yè)服務(wù)業(yè)已進(jìn)入大數(shù)據(jù)時(shí)代，要求數(shù)據(jù)存儲(chǔ)系統(tǒng)具有較高的可靠性，只有完善的數(shù)據(jù)存儲(chǔ)才能更好的保障其訪問和交易過程的順利進(jìn)行。若系統(tǒng)出現(xiàn)故障，可能會(huì)出現(xiàn)業(yè)務(wù)中斷、客戶流失，甚至資金鏈斷裂等等諸多問題，會(huì)很多大程度影響客戶體驗(yàn)和企業(yè)信譽(yù)度。金融行業(yè)不僅要開發(fā)適合本機(jī)構(gòu)的金融產(chǎn)品和完整有效的信息系統(tǒng)，更應(yīng)該加強(qiáng)備用數(shù)據(jù)中心的建設(shè)，強(qiáng)化減災(zāi)容災(zāi)能力。這樣，在數(shù)據(jù)中心無法繼續(xù)正常運(yùn)行時(shí)，可以通過使用備用數(shù)據(jù)中心通道來維持系統(tǒng)的正常工作，從而更好的防范數(shù)據(jù)問題引起的服務(wù)事故，為網(wǎng)絡(luò)信息安全保障體系建立強(qiáng)大的服務(wù)后盾。

（三）積極跟進(jìn)新型信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)是維持信息安全體系的關(guān)鍵，合理運(yùn)用安全機(jī)制，積極探索和采用新型信息安全技術(shù)，可以保障系統(tǒng)的順利運(yùn)行和廣大人民的資金財(cái)產(chǎn)安全。一是要加強(qiáng)網(wǎng)絡(luò)訪問者身份認(rèn)證。金融行業(yè)要采用靜態(tài)密碼認(rèn)證、動(dòng)態(tài)密碼認(rèn)證、指紋識(shí)別、數(shù)字證書以及其它新型認(rèn)證方式，做好客戶身份認(rèn)證工作，同時(shí)也要避免客戶相關(guān)隱私信息被盜用。二是加強(qiáng)網(wǎng)絡(luò)病毒木馬的實(shí)時(shí)監(jiān)測(cè)。堅(jiān)持金融行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全以防護(hù)為主的原則，做好病毒防護(hù)系統(tǒng)升級(jí)工作，主動(dòng)強(qiáng)化對(duì)病毒木馬進(jìn)行實(shí)時(shí)監(jiān)測(cè)，分析病毒木馬最新動(dòng)態(tài)，制定合理的防護(hù)機(jī)制和預(yù)警機(jī)制，從而更好的 對(duì)其進(jìn)行防范；三是加強(qiáng)計(jì)算機(jī)信息系統(tǒng)軟硬件管理、維護(hù)和升級(jí)工作。計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行是以軟硬件設(shè)備為基礎(chǔ)的，其安全性設(shè)計(jì)和優(yōu)化配置對(duì)于保障系統(tǒng)信息安全都尤為重要。在實(shí)際工作中既要積極解決信息系統(tǒng)安全設(shè)計(jì)、生產(chǎn)、測(cè)試、運(yùn)營、維護(hù)等方面的問題，提高系統(tǒng)設(shè)備安全性，從而更好的保障計(jì)算機(jī)網(wǎng)絡(luò)安全策略的順利執(zhí)行，也要做好系統(tǒng)的更新和升級(jí)工作，要把用戶體驗(yàn)好，安全防護(hù)好各類新型金融信息產(chǎn)品投入運(yùn)行。

三、結(jié)束語

在信息化愈加普及的今天，金融機(jī)構(gòu)更應(yīng)重視計(jì)算機(jī)信息安全系統(tǒng)的構(gòu)建，不僅要加強(qiáng)對(duì)信息資源的保護(hù)，同時(shí)還要建立完善、可靠的金融信息安全體系，以安全技術(shù)以及防護(hù)手段作為安全體系構(gòu)建的支撐，確保信息體系的安全運(yùn)行和實(shí)施，保障監(jiān)視、評(píng)審信息安全，從而切實(shí)保障客戶的個(gè)人信息安全，最終才能不斷推動(dòng)推動(dòng)金融業(yè)的快速發(fā)展。

參考文獻(xiàn)：

[1]韋雪江.我國金融行業(yè)計(jì)算機(jī)信息安全形勢(shì)分析和研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013

企業(yè)信息安全保障范文第3篇

（1）適應(yīng)電力企業(yè)發(fā)展的需要，遵循現(xiàn)行電力企業(yè)管理體制；

（2）管控平臺(tái)涉及技術(shù)和管理，須對(duì)技術(shù)手段和管理手段的實(shí)現(xiàn)方式進(jìn)行決擇；

（3）須考慮不同級(jí)別單位以及不同使用對(duì)象需求的側(cè)重點(diǎn)；

（4）管控平臺(tái)自身須具有一定安全性；

（5）基于管控平臺(tái)的工具特性，須配套推出數(shù)據(jù)初始化等服務(wù)及制度來實(shí)現(xiàn)平臺(tái)的正常運(yùn)轉(zhuǎn)。

2管控平臺(tái)角色需求分析

管控平臺(tái)設(shè)置的用戶角色必須與電力企業(yè)現(xiàn)有信息安全相關(guān)組織架構(gòu)相匹配。一般來講，電力行業(yè)自身信息安全相關(guān)組織架構(gòu)包括上級(jí)信息安全主管單位、本地信息安全主管單位以及本地信息安全實(shí)施單位此外，電力行業(yè)在實(shí)際信息安全工作中，需要外部信息安全產(chǎn)品廠商、安全服務(wù)廠商、安全咨詢機(jī)構(gòu)、相關(guān)公共信息安全機(jī)構(gòu)以及科研機(jī)構(gòu)支持。管控平臺(tái)將外部信息安全產(chǎn)品廠商、安全服務(wù)廠商、安全咨詢機(jī)構(gòu)統(tǒng)一定義為外部信息安全支持單位，將相關(guān)公共信息安全機(jī)構(gòu)以及科研機(jī)構(gòu)定義為應(yīng)急聯(lián)動(dòng)及專家機(jī)構(gòu)。管控平臺(tái)各角色職能需求分析如下：

（1）上級(jí)信息安全主管單位上級(jí)信息安全主管單位負(fù)責(zé)企業(yè)整體信息安全保障，掌握整體信息安全態(tài)勢(shì)，評(píng)估網(wǎng)絡(luò)和信息系統(tǒng)安全機(jī)制的有效性情況。在信息安全突發(fā)事件發(fā)生時(shí)，負(fù)責(zé)事件決策、監(jiān)控、協(xié)調(diào)。

（2）本地信息安全主管單位本地信息安全主管單位負(fù)責(zé)本單位信息安全保障，掌握所轄網(wǎng)絡(luò)及其業(yè)務(wù)信息系統(tǒng)的安全態(tài)勢(shì)，協(xié)調(diào)安全事件的處理。

（3）本地信息安全實(shí)施單位本地信息安全實(shí)施單位負(fù)責(zé)本單位信息安全保障具體實(shí)施工作。在管控平臺(tái)中本地信息安全實(shí)施單位設(shè)置的角色包括負(fù)責(zé)人、安全主管、安全運(yùn)維人員等，如表1所示。負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估、實(shí)時(shí)監(jiān)控、應(yīng)急演練、安全預(yù)警以及信息安全突發(fā)事件處置各項(xiàng)工作的具體實(shí)施。

（4）外部信息安全支持單位外部信息安全支持單位承擔(dān)信息安全支撐服務(wù)職能，其職責(zé)包括外部信息安全事件預(yù)警監(jiān)控，風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練及應(yīng)急處置的外協(xié)支持等。

（5）應(yīng)急聯(lián)動(dòng)及專家機(jī)構(gòu)應(yīng)急聯(lián)動(dòng)及專家機(jī)構(gòu)由各相關(guān)公共信息安全機(jī)構(gòu)、科研機(jī)構(gòu)信息安全相關(guān)領(lǐng)域?qū)＜医M成，為電力企業(yè)信息安全保障提供技術(shù)支持和資源保障。應(yīng)急聯(lián)動(dòng)專家機(jī)構(gòu)人員在管控平臺(tái)中通過設(shè)置呼叫樹和專家角色，參與應(yīng)急等各項(xiàng)事務(wù)的處置。

3系統(tǒng)功能設(shè)計(jì)

通過管控平臺(tái)的定位以及上述角色需求分析，可明確管控平臺(tái)的功能模塊設(shè)置及關(guān)系如圖1所示，下面依次對(duì)關(guān)鍵模塊內(nèi)容進(jìn)行闡述。

3.1基礎(chǔ)安全數(shù)據(jù)管理

基礎(chǔ)安全數(shù)據(jù)管理模塊對(duì)企業(yè)信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、通用軟件等基本信息和策略配置信息，漏洞庫、事件特征庫、補(bǔ)丁庫、安全配置知識(shí)庫和應(yīng)急響應(yīng)知識(shí)庫，以及風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等工作中產(chǎn)生的過程數(shù)據(jù)進(jìn)行匯總存儲(chǔ)并詳細(xì)分類，支持多種查詢和修改。

3.2預(yù)案管理

預(yù)案管理模塊實(shí)現(xiàn)對(duì)各級(jí)單位信息安全應(yīng)急預(yù)案的編制、審批、、更新，以及預(yù)案的執(zhí)行（及演練）和事件處置等功能。其中應(yīng)急預(yù)案編制、審批在管控平臺(tái)上進(jìn)行統(tǒng)一規(guī)范，各單位人員在管控平臺(tái)上只需要參考應(yīng)急預(yù)案模板并調(diào)用本單位的實(shí)際數(shù)據(jù)內(nèi)容即可完成編制任務(wù)。預(yù)案管理模塊功能設(shè)計(jì)如圖2所示。在預(yù)案管理模塊中，應(yīng)急預(yù)案執(zhí)行是一種復(fù)雜的業(yè)務(wù)流程，通常基于工作流引擎來實(shí)現(xiàn)。這種實(shí)現(xiàn)方式可確保相應(yīng)的演練和事件處置活動(dòng)能夠全程可監(jiān)控、可記錄。圖3是基于工作流引擎實(shí)現(xiàn)應(yīng)急預(yù)案某一操作規(guī)程的實(shí)例。

3.3風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估模塊為各單位信息安全風(fēng)險(xiǎn)評(píng)估工作提供全過程支撐，并能夠根據(jù)評(píng)估過程和結(jié)果數(shù)據(jù)（例如將資產(chǎn)調(diào)研結(jié)果，威脅、漏洞分析等評(píng)估結(jié)果）通過內(nèi)定的矩陣型風(fēng)險(xiǎn)計(jì)算方式自動(dòng)計(jì)算得出各單位總體風(fēng)險(xiǎn)和高危風(fēng)險(xiǎn)狀況，為各單位編制應(yīng)急預(yù)案的方向提供依據(jù)。風(fēng)險(xiǎn)評(píng)估模塊功能設(shè)計(jì)如圖4所示。

3.4業(yè)務(wù)影響分析

業(yè)務(wù)影響分析模塊同樣是為編制應(yīng)急預(yù)案提供依據(jù)，與風(fēng)險(xiǎn)評(píng)估模塊類似。但考慮到信息系統(tǒng)業(yè)務(wù)的差異性，管控平臺(tái)不對(duì)業(yè)務(wù)影響分析進(jìn)行全過程管理和支撐。圖險(xiǎn)評(píng)估模塊功能設(shè)計(jì)示意圖

3.5公告管理

公告管理模塊向管控平臺(tái)各級(jí)角色提供通知信息、瀏覽、查閱、管理功能。公告從編制、審批、到反饋的整個(gè)流程均通過管控平臺(tái)來實(shí)現(xiàn)。公告的類別包括：

（1）企業(yè)發(fā)文：企業(yè)帶正式文號(hào)的信息安全類文檔的、管理、顯示；

（2）通知通報(bào)：企業(yè)不帶正式文號(hào)但須告知各級(jí)單位的信息安全相關(guān)文檔的、管理、顯示；

（3）企業(yè)動(dòng)態(tài)：企業(yè)各級(jí)單位參與的信息安全相關(guān)活動(dòng)、新聞的、管理、顯示；

（4）業(yè)界安全動(dòng)態(tài)：國內(nèi)外安全事件，尤其是電力行業(yè)安全相關(guān)動(dòng)態(tài)的、管理、顯示。

3.6預(yù)警管理

預(yù)警管理模塊包含漏洞預(yù)警和威脅預(yù)警兩類功能，級(jí)別分為高、中、低三級(jí)。預(yù)警信息來源分為兩類，一類是國內(nèi)外安全評(píng)測(cè)機(jī)構(gòu)、廠商的安全預(yù)警及漏洞，另一類是源自風(fēng)險(xiǎn)評(píng)估模塊和業(yè)務(wù)影響分析模塊的計(jì)算結(jié)果。與公告類似，預(yù)警管理的整個(gè)流程通過管控平臺(tái)來實(shí)現(xiàn)。各單位接收到管控平臺(tái)自動(dòng)發(fā)送的提示短信，登錄平臺(tái)，即可處理預(yù)警信息。

3.7安全事件管理

安全事件管理模塊對(duì)信息安全事件的分級(jí)分類以及事件響應(yīng)處理進(jìn)行管理。信息安全事件的分級(jí)分類基于國家有關(guān)標(biāo)準(zhǔn)與行業(yè)實(shí)際情況。安全事件響應(yīng)方式分為自動(dòng)響應(yīng)和事件工單管理兩類。自動(dòng)響應(yīng)包括屏幕、郵件、聲音、工單、對(duì)話框、設(shè)備控制、短信、腳本操作、SNMPTrap等響應(yīng)方式，并通過其設(shè)置實(shí)現(xiàn)自定義用戶響應(yīng)策略。事件工單管理則通過與第三方統(tǒng)/平臺(tái)的接口與例如IT服務(wù)管理平臺(tái)進(jìn)行聯(lián)動(dòng)來實(shí)現(xiàn)。

3.8信息安全狀況監(jiān)視（應(yīng)急值班室）

信息安全狀況監(jiān)視模塊可向各級(jí)人員提供不同的管理界面，分為宏觀態(tài)勢(shì)監(jiān)視與應(yīng)急監(jiān)視兩類。宏觀態(tài)勢(shì)監(jiān)視能夠根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、安全預(yù)警信息以及當(dāng)前安全狀況（是否有安全事件發(fā)生以及處理情況），對(duì)企業(yè)整體安全態(tài)勢(shì)進(jìn)行研判，為安全決策提供支持。應(yīng)急監(jiān)視能夠通過安全模型分析及人工比對(duì)分析，將安全事件、威脅、漏洞等數(shù)據(jù)與管控平臺(tái)中業(yè)務(wù)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，得出研判信息，并結(jié)合國家有關(guān)標(biāo)準(zhǔn)，為應(yīng)急人員提供應(yīng)急相應(yīng)實(shí)施依據(jù)。信息安全狀況監(jiān)視模塊功能設(shè)計(jì)如圖5所示。

4結(jié)語

企業(yè)信息安全保障范文第4篇

如今，伴隨著科學(xué)技術(shù)的迅猛發(fā)展，我國電力企業(yè)各個(gè)方面的工作，也得到了大幅度的進(jìn)步。電力信息安全保障體系，是電力發(fā)展事業(yè)各組成部分中的重要環(huán)節(jié)，在維持電力企業(yè)的正常運(yùn)行、日常管理和營銷管理等方面，起著至關(guān)重要的作用。因此，電力信息的安全問題，一直是電力企業(yè)所關(guān)注的重要內(nèi)容之一，各個(gè)企業(yè)對(duì)于電力信息也逐漸重視起來。以下是筆者結(jié)合當(dāng)前電力信息安全保障體系建設(shè)的實(shí)際情況，就在電力企業(yè)中，電力信息系統(tǒng)的安全領(lǐng)域出現(xiàn)的問題，進(jìn)行有效詳細(xì)的研究與分析，希望通過此次研究，能夠?qū)﹄娏π畔踩Ｕ象w系的建設(shè)領(lǐng)域的發(fā)展，起到一定的促進(jìn)作用，為我國電力工作的發(fā)展，獻(xiàn)計(jì)獻(xiàn)策。

【關(guān)鍵詞】

電力信息；安全保障；體系建設(shè)；探討研究

所謂的電力信息系統(tǒng)，主要的內(nèi)容包括信息網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)服務(wù)系統(tǒng)、存儲(chǔ)與備份系統(tǒng)、安全系統(tǒng)、輔助系統(tǒng)等。除此以外，上述系統(tǒng)的附屬設(shè)備也在電力信息系統(tǒng)的行列內(nèi)。本系統(tǒng)所涉及的技術(shù)，大致有數(shù)據(jù)加密技術(shù)、防火墻、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)掃描技術(shù)，以及訪問控制技術(shù)等。雖然安全架構(gòu)在設(shè)計(jì)上出現(xiàn)問題與管理方面出現(xiàn)問題，是引發(fā)信息系統(tǒng)安全問題的主要因素，但還是有其他因素存在。因此，在電力信息系統(tǒng)安全保障體系的建設(shè)，要考慮電網(wǎng)運(yùn)行安全方面以外，還要經(jīng)過信息安全系統(tǒng)的的建設(shè)、信息安全管理的建設(shè)和信息安全策略的建設(shè)三個(gè)階段。

一、電力信息安全保障體系存在的問題

隨著科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)技術(shù)也在不斷進(jìn)步，黑客是擺在我們面前不可忽視的問題。因此電力系統(tǒng)在正常運(yùn)行的情況下，就很容易受到黑客的攻擊，造成病毒的侵入，所以對(duì)電力信息的安全保障體系的建設(shè)予以加強(qiáng)，變得迫在眉睫。現(xiàn)如今，電力信息安全存在的主要問題，大致包括信息安全意識(shí)薄弱、信息安全運(yùn)作機(jī)制不完善、信息安全保障工作沒有常態(tài)化、系統(tǒng)安全設(shè)計(jì)不足，以及短板現(xiàn)象顯著等。在大多數(shù)電力企業(yè)中，信息安全問題常常被忽視，有的甚至處于不防御狀態(tài)。信息安全運(yùn)作機(jī)制不完善，在不完善的業(yè)務(wù)連續(xù)性計(jì)劃，不規(guī)范的信息文檔和測(cè)試數(shù)據(jù)的管理中，有所體現(xiàn)。那么，怎么樣去應(yīng)對(duì)這些問題呢？使這些問題能夠迎刃而解呢？主要從信息安全管理和信息安全技術(shù)兩方面入手。其中，信息安全評(píng)估、建立安全管理組織、信息安全運(yùn)行管理、安全策略規(guī)劃和安全監(jiān)督審計(jì)等，均屬于信息安全管理范疇。而信息安全技術(shù)大致包括通用信息安全技術(shù)手段，也就是安全服務(wù)，比如訪問管理、防惡意代碼、身份認(rèn)證和審核跟蹤等等。

二、電力信息安全保障體系的策略與管理

結(jié)合當(dāng)前形勢(shì)與公司實(shí)際,要不斷進(jìn)行管理的創(chuàng)新與技術(shù)的實(shí)踐。從管理層面講，要對(duì)組織機(jī)構(gòu)、系統(tǒng)運(yùn)行維護(hù)、規(guī)章制度、相關(guān)工作人員教育等進(jìn)行全面控制和管理；而從技術(shù)的層面出發(fā)，做到防護(hù)物理、主機(jī)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)應(yīng)用等等各方面的安全性,同時(shí)在安全可靠前提下，建設(shè)一套高效、先進(jìn)、實(shí)用的信息安全保障體系，支撐助力生產(chǎn)專業(yè)化與管理現(xiàn)代化，保障電力信息的安全性。制定電力信息安全策略，應(yīng)該保證在國家信息安全等級(jí)保護(hù)政策的前提下進(jìn)行，本著提升電力企業(yè)整體防篡改、防泄密、防攻擊等綜合能力的原則，進(jìn)行策略的制定。電力信息安全的運(yùn)行，在保證對(duì)基礎(chǔ)環(huán)境、主營業(yè)務(wù)系統(tǒng)、軟硬件平臺(tái)等等運(yùn)行維護(hù)的同時(shí)，還要確保運(yùn)維技術(shù)規(guī)范、運(yùn)維流程和定檢等標(biāo)準(zhǔn)或機(jī)制的建立。另外，訪問控制和身份認(rèn)證，可以將主機(jī)系統(tǒng)、安全設(shè)備、應(yīng)用系統(tǒng)，網(wǎng)絡(luò)設(shè)備等的身份認(rèn)證，進(jìn)行統(tǒng)一管理。審計(jì)和監(jiān)控，也可提高信息的安全性，對(duì)問題發(fā)生時(shí)的反應(yīng)速度，也能夠得以提升，對(duì)安全問題的發(fā)生，起到了有效的預(yù)防。在電力管理信息大區(qū)網(wǎng)絡(luò)內(nèi)部，還應(yīng)建立能夠?qū)Σ《具M(jìn)行預(yù)防、隔離、檢測(cè)和清除的機(jī)制。這樣，可以大大降低未知病毒的入侵率。

三、結(jié)論

總而言之，加強(qiáng)電力信息安全保障體系的建設(shè)，是新時(shí)期電力工作者熱衷研究的一大科題，更是今后的工作方向。在電力信息系統(tǒng)安全保障體系建設(shè)的過程中，我們必須要以“堅(jiān)持實(shí)事求是、以人為本”的方針為原則，系統(tǒng)性的分析影響電力信息系統(tǒng)運(yùn)行安全與管理的因素，結(jié)合如今電力信息系統(tǒng)安全保障的實(shí)際情況，以最佳的建設(shè)原則與思路，對(duì)電力信息系統(tǒng)安全保障體系進(jìn)行完善，為電力企業(yè)的健康長遠(yuǎn)發(fā)展做出突出的貢獻(xiàn)。

作者：唐勇 單位：國網(wǎng)四川省電力公司電力科學(xué)研究院

參考文獻(xiàn)

[1]李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化.2012(04)。

[2]香柱平.有關(guān)電力企業(yè)信息中心網(wǎng)絡(luò)安全及防護(hù)措施的探討[J].中小企業(yè)管理與科技(下旬刊).2010(05)。

[3]張建華,王昕偉,蔣程,于雷,俞悅,余加喜.基于蒙特卡羅方法的風(fēng)電場有功出力的概率性評(píng)估[J].電力系統(tǒng)保護(hù)與控制.2014(03)。

[4]丁冬,劉宗歧,楊水麗,吳小剛,李婷婷.基于模糊控制的電池儲(chǔ)能系統(tǒng)輔助AGC調(diào)頻方法[J].電力系統(tǒng)保護(hù)與控制.2015(08)。

企業(yè)信息安全保障范文第5篇

隨著信息化的高速發(fā)展，為企業(yè)及社會(huì)帶來了顯而易見的效益：提高的工作效率、減少的紙張浪費(fèi)、快捷方便的通訊等等。但信息化也是一柄"雙刃劍"，尤其是在企業(yè)管理、商業(yè)保密等工作中，還存在著令人堪憂的隱患：

一是物理安全風(fēng)險(xiǎn)。物理安全風(fēng)險(xiǎn)包括計(jì)算機(jī)系統(tǒng)的設(shè)備、設(shè)施和信息面臨因自然災(zāi)害、環(huán)境事故（如斷電）、人為物理操作失誤以及不法分子進(jìn)行違法犯罪等風(fēng)險(xiǎn)。

二是數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)包括競爭性業(yè)務(wù)的經(jīng)營和管理數(shù)據(jù)泄漏，數(shù)據(jù)被人為惡意篡改或破壞等。

三是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括病毒造成網(wǎng)絡(luò)癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡(luò)設(shè)備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。

二、保證企業(yè)信息安全的基本對(duì)策

2.1正確認(rèn)識(shí)企業(yè)信息安全問題。

企業(yè)的信息安全問題，絕不僅僅是一個(gè)僅靠防火墻、密碼等等技術(shù)就能解決的問題，它還與人們的職業(yè)道德、社會(huì)道德以及企業(yè)管理等問題密切相關(guān)。因此，在維護(hù)企業(yè)信息安全時(shí)，我們必須站在宏觀的角度對(duì)問題進(jìn)行考慮。在過去看來，一個(gè)企業(yè)信息的安全問題，是領(lǐng)導(dǎo)層或者IT單個(gè)部門的事情，但是憑少數(shù)人或部門的工作，對(duì)于保障公司的信息不被泄漏，防護(hù)信息存儲(chǔ)不被破壞、攻擊和偷盜是很難的事。筆者認(rèn)為，意識(shí)指導(dǎo)行動(dòng)，信息安全問題首先要解決的是員工的思想認(rèn)識(shí)問題，只有企業(yè)的每一個(gè)人都認(rèn)識(shí)到信息安全的重要性，才能在工作中自覺地維護(hù)信息安全。因?yàn)樵谌魏我粋€(gè)體系中，人都是最活躍、最具有影響力和決定意義的因素，因此對(duì)于企業(yè)的信息安全問題而言，企業(yè)內(nèi)部員工才是保護(hù)信息安全的最可靠、最有效的重大保障。此外，還可以加強(qiáng)引進(jìn)信息安全技術(shù)人才以及信息安全管理人才，并在日常工作中，加強(qiáng)對(duì)隊(duì)伍專業(yè)知識(shí)以及工作技能的培訓(xùn)，從而為企業(yè)建設(shè)一支強(qiáng)有力的信息安全保衛(wèi)隊(duì)伍。其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作，根據(jù)業(yè)務(wù)的需求采取適當(dāng)?shù)谋Ｗo(hù)措施，實(shí)施專業(yè)應(yīng)用系統(tǒng)。例如，保護(hù)企業(yè)信息安全的技術(shù)可以采用主動(dòng)反擊、網(wǎng)絡(luò)入侵陷阱、密碼、取證、防火墻、安全服務(wù)、防病毒、可信服務(wù)、PKI服務(wù)、身份識(shí)別、備份恢復(fù)、網(wǎng)絡(luò)隔離等等保護(hù)產(chǎn)品以及保護(hù)技術(shù)，通過確保信息安全的最大化，來實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營持續(xù)發(fā)展以及經(jīng)濟(jì)效益的最大化。此外，還可以在工作的過程中，進(jìn)一步優(yōu)化企業(yè)信息安全管理，并進(jìn)行管理監(jiān)控以及安全風(fēng)險(xiǎn)評(píng)估，分析入侵防范、服務(wù)器架構(gòu)等等關(guān)鍵問題，以全面性、多角度的掌控，確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性，因?yàn)樾畔踩珕栴}不具有靜態(tài)性，信息管理始終處在一個(gè)不停變動(dòng)的動(dòng)態(tài)性過程，因此即使我們不可能確保信息的絕對(duì)安全，也必須做到相對(duì)安全，從而最大限度的降低企業(yè)風(fēng)險(xiǎn)。

2.2建立健全信息安全管理制度。

信息安全不僅是技術(shù)問題，更主要是管理問題。任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用，俗話說“三分技術(shù)，七分管理”，只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮，是能否對(duì)信息網(wǎng)絡(luò)實(shí)施有效信息安全保障的關(guān)鍵。現(xiàn)在中國石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》（以下簡稱“GCC”）就很好的涵蓋了信息安全的各個(gè)方面，包括了機(jī)房管理、服務(wù)器管理、網(wǎng)絡(luò)管理和系統(tǒng)管理等。因此在實(shí)際的工作中，我們可以通過“三步驟”來實(shí)現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。第一，結(jié)合企業(yè)自身的實(shí)際，分析企業(yè)存在的問題以及預(yù)期的目標(biāo)，制定具有科學(xué)性、合理性、實(shí)效性、可行性的信息安全管理制度，使保護(hù)信息安全工作做到有法可依，有章可循。第二，建立信息安全管理機(jī)構(gòu)，明晰信息安全管理負(fù)責(zé)人的職務(wù)和責(zé)任，并建立相應(yīng)的考核機(jī)制和激勵(lì)機(jī)制，以督促、鼓勵(lì)相關(guān)負(fù)責(zé)人的工作，提高信息管理工作質(zhì)量。第三，真正貫徹管理措施，加強(qiáng)制度的執(zhí)行力度，只有這樣，才能從根本上實(shí)現(xiàn)管理工作以及工作目標(biāo)，最終提高企業(yè)的信息安全管理水平。

三、加強(qiáng)企業(yè)信息安全保障的幾點(diǎn)措施

如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范，筆者認(rèn)為可從以下幾個(gè)方面著手。

3.1實(shí)行嚴(yán)格的網(wǎng)絡(luò)管理。企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設(shè)置以及端口限制，與互聯(lián)網(wǎng)相比安全性較高，但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題，具體而言：一是在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。這樣，就不會(huì)出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況；二是在網(wǎng)絡(luò)流量監(jiān)測(cè)方面，使用網(wǎng)絡(luò)監(jiān)測(cè)軟件查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強(qiáng)服務(wù)器管理。常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為WindowsServer，可利用其自帶的安全管理功能進(jìn)行設(shè)置，包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略以及系統(tǒng)補(bǔ)丁更新等。

3.2加強(qiáng)客戶端監(jiān)管。對(duì)大多數(shù)單位的網(wǎng)管來說，客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個(gè)問題，這里推薦以下方法：

（1）將客戶端都加入到域中，使客戶端強(qiáng)制性納入管理員集中管理的范圍。

（2）只給用戶以普通域用戶的身份登錄到域，這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝有安全隱患軟件的權(quán)利。

（3）實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。

（4）利用企業(yè)IT部門的工作職能，設(shè)置熱線幫助和技術(shù)支持人員，統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。

3.3堅(jiān)持進(jìn)行數(shù)據(jù)備份。由于應(yīng)用系統(tǒng)的加入，各種數(shù)據(jù)庫日趨增長，如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失，是當(dāng)前面臨的一個(gè)難題。從成本及易操作性考慮，這里推薦以下兩種數(shù)據(jù)備份方法：一種是用硬盤進(jìn)行數(shù)據(jù)備份；另一種是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。