前言:中文期刊網精心挑選了企業信息安全應急預案范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
企業信息安全應急預案范文1
關鍵詞:會計信息安全 組織環境 風險評估 監控反饋 制度安排
中圖分類號:F23 文獻標識碼:A 文章編號:1002-5812(2016)03-0026-04
隨著我國企業信息化的推進,會計信息化逐步由簡單的單用戶電算化應用向復雜的深層次網絡化運用過渡,會計信息化系統也在一定程度上實現了由核算型向管理型的過渡。在企業會計信息化水平不斷提高的同時,作為企業重要資產的會計信息,其完整性、可用性、保密性等方面卻受到不同程度的挑戰和沖擊。如若企業會計信息安全不能得到有效保障,可能會引發相關商業機密的泄漏,嚴重的會導致企業失去客戶、市場,乃至核心競爭力;即便是信息系統的故障也會造成企業的相關業務中斷,給企業帶來資產與聲譽的損失。因此,為了使企業能持續不斷的發展,會計信息安全成為了企業管理越來越關注的內容之一。
一、企業會計信息安全的影響因素
企業會計信息安全是指會計信息化環境下,會計信息處于完整性、可用性、保密性和可靠性的狀態,它來自于會計數據的完整和會計數據的安全。參照國際標準化組織和美國NSTISSC委員會對信息安全的闡述,本文認為企業會計信息安全就是為了使會計信息具有完整性、可用性、保密性和可靠性,而讓企業的會計信息和會計信息系統處于必要的保護之下免于未經授權的訪問、使用、泄漏、修改和破壞,并適當采取相應政策、培訓和教育以及技術等必要手段,其實質就是扎根于企業經營實踐活動并與企業戰略密切聯系的業務保障和管理問題。顯然,影響企業會計信息安全的因素必然來源于企業的生產經營實踐活動,并與企業的經營管理過程結合在一起。鑒于此,本文認為影響企業會計信息安全的因素不外乎組織環境、信息處理、風險評估、監控反饋、制度安排五個方面內容。
(一)組織環境。企業組織環境是指能對企業生產經營活動和決策產生直接影響并與企業戰略目標實現密切相關的因素。企業會計信息安全及相關會計信息系統的運行都必須基于既有的企業組織環境。一般來說,企業組織環境包括企業愿景、企業戰略、企業文化、組織結構、員工勝任能力以及管理者素質、管理風格、管理哲學等。企業組織環境對企業會計信息安全的影響作用在很大程度上取決于企業高層管理者。其原因在于,根據企業高層管理者的管理哲學與管理風格以及由其演繹而成的組織結構和企業文化形成了企業會計信息安全環境,并以此構建相應的會計信息安全管控框架,進而形成相應的會計信息安全策略。此外,相關的企業會計信息安全管控策略若要能在企業內部得到有效的持續的實施,也需要企業內所有管理者和員工的共同參與,更是與管理者和員工的安全意識和職業素養密切相關。高層管理者負責制訂與企業組織發展方向相關以及影響整個企業戰略的會計信息安全管控決策;中層管理者負責將高層管理者所制訂的會計信息安全管控決策目標轉換成為基層管理者可執行的會計信息安全管控具體目標;基層管理者則負責直接指揮從事具體業務的相關員工進行日常業務作業。
(二)信息處理。企業會計信息處理是一個比較復雜的系統,在這個系統中應該能完整、可靠、安全地采集與企業經營管理相關的各種會計信息,并使這些會計信息以適當的方式在企業有關層級及經過適當授權的客戶之間進行有效傳遞和正確使用。因此,在會計信息化環境下為達到上述要求,企業需要為會計信息處理系統配置適當的軟硬件資源。在這種情況下,企業會計信息安全問題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統主機、網絡線路、終端電腦、附設周邊、物化防護等組成,譬如給數據加密的專用設備,添加專用防火墻的服務器,具有加密算法和多數位加密的路由等。支持軟件則主要由能實現會計信息采集、整理、加工、傳送、使用等功能的會計信息管理軟件構成,當然還包括操作系統、網絡協議、壓縮、加密算法、防病毒等相關軟件。
(三)風險評估。風險評估就是分析、識別和控制相關影響會計信息安全目標實現的各種風險的過程,它主要由會計信息安全的目標設定、風險分析、風險識別和風險控制等方面構成。企業要確保其會計信息安全,則必須清楚且能應對各種可能對其會計信息安全產生影響的風險,在不斷變化的企業經營環境中進行認真分析,識別并把握其變化規律,制訂相關的應對措施,依據會計信息安全面臨的問題適時調整企業會計信息安全管控策略和方法。這就要求企業的會計信息安全管控策略要有更長遠的時間和更廣闊的視野來關注風險,將風險意識貫穿于企業會計信息安全管控的始終,不斷完善包括企業經營理念、管理方式、管理風格在內的控制風險環境。為此,企業還需要制訂相關的會計信息安全目標,并將這一目標與企業的供應、生產、銷售等經營活動進行整合。唯有如此,才能實現整個企業經營管理的協調一致。
(四)監控反饋。企業必須制定監控反饋的政策與程序,才能確保既定會計信息安全目標和必要改進措施的有效實施。一方面,企業經營環境是不斷發生變化的,企業經營活動也隨之不斷變化。在這種情況下,唯有對企業會計信息安全管控系統進行必要的監控,并在必要時加以修訂與調整,管控系統及相關的政策與程序才能反應自如。另一方面,企業會計信息處理系統自身也會由于物理硬件或支持軟件方面的不確定因素而導致會計信息處理的延誤或失效。這樣,企業也需適時地對企業會計信息處理系統進行監控,排除不確定因素,維護會計信息處理系統的有效和安全。此外,還應考慮制定怎樣的監控反饋政策與程序。通常,過于集權的監控政策會導致因信息缺乏而引起的成本,過于分權的監控政策則會出現因目標不一致而引起的成本。鑒于此,企業對會計信息安全的監控反饋政策與程序的選擇應該是權衡這兩類成本,使成本之和最小。
(五)制度安排。企業會計信息安全還與企業制度安排密切相關。好的政策制度,能有效協調和激勵合意的行為,約束和懲罰不合意的行為,從而帶來良好的經濟績效;差的政策制度,則會產生相反的結果。因此,企業在進行會計信息安全方面的制度安排時,需要依據會計信息安全的目標,設計出良好的管控制度,做到能有效地協調和激勵符合企業會計信息安全的行為,并能夠約束和懲罰不符合企業會計信息安全的行為,進而為企業帶來良好的會計信息安全管控效果。需要關注的是,制度安排的效果,還要與其實施的環境密切關聯。因為制度實施的環境發生了變化,就有可能使得原先實施效果很好的制度不再那么有效,甚至失效。
二、企業會計信息安全的主要風險問題
通過上文的分析可知,企業會計信息安全受到沖擊和挑戰的原因很多,具體表現出來的風險問題也是多樣的。但是,具體到企業管理實踐中,會計信息安全的風險問題基本上集中于員工的會計信息安全認知、會計信息處理系統、風險評估與監控反饋的認識以及對會計信息安全管控制度的執行等幾個方面。
(一)員工的會計信息安全認知不足。基于組織環境方面的會計信息安全風險問題多源于企業的員工對會計信息安全認知的不足。其原因在于,與安全有關的問題都離不開“人”這個主體因素。一方面,許多企業管理者的會計信息安全意識、安全知識和安全管理等方面存在不足。譬如,在確定企業會計信息安全管控方案時沒有對企業進行全面的自我診斷,僅是對企業的基本狀況做了一個大概了解,就直接在企業內部實施現有的標準或者其他企業或組織的成功方案。由于企業既沒有充分挖掘會計信息安全現狀和對會計信息安全的內在需求,也沒有全面考慮利益相關者的利益安全需求,必然會導致企業對會計信息安全的實際需求與其能提供的安全管控之間存在差距。更有甚者,企業管理者對會計信息安全的支持和重視不足,導致企業內部會計信息安全文化缺失和普通員工會計信息安全意識淡薄。另一方面,企業信息化的發展,使得越來越多的非財會相關崗位的普通員工也被包含到企業會計信息安全體系之中。這些員工,甚至一些財會崗位的員工,要么不完全理解會計信息安全的重要性,要么過度信賴企業會計信息安全管控方案,而不愿意把自己的精力和資源放在會計信息安全防護上,或者從根本上就認為即便對會計信息不采取安全防護措施也不一定會造成損失。當然,也存在一些員工由于缺少必要的會計信息安全教育和培訓,根本不知道自己不遵守和執行相關的會計信息安全管控方案會對企業帶來怎樣的不利影響。
(二)會計信息處理系統安全技術滯后。企業會計信息安全需求是隨著企業的生產經營活動和企業所處的內外部環境的變化而變化的。但是,很多企業并沒有意識到企業會計信息安全需求的動態變化規律,對會計信息安全管控方案依然秉承“投資一次,受用終身”的觀念,抱陳守舊。這種投資觀直接導致企業會計信息處理系統安全技術跟不上企業生產經營活動和企業所處的內外部環境的變化。具體體現在企業使用的會計信息處理軟件本身設計存在缺陷或技術漏洞得不到及時的完善以及殺毒軟件、防火墻等相關支持軟件不能得到及時更新;沒有隨著企業業務和環境的變化更新會計信息處理系統導致業務流程描述錯誤或漏洞、數據訪問權限設置不當、關鍵數據備份不足等問題;以及系統主機、網絡線路、終端電腦、附設周邊、物化防護等老化損毀等。
(三)會計信息安全風險意識薄弱與風險評估體系缺失。當前,不少企業員工,包括部分企業管理者,其會計信息安全風險意識淡薄,認識不到企業會計信息安全風險的客觀性。實際上,企業生產經營活動中,風險是客觀存在的,它是無處不在的,也是無時不在的。通常狀況下,企業所面臨的會計信息安全風險,也與威脅企業實現其戰略目標的相關事件密切相關。因此,企業會計信息安全風險的評估,要求企業所有員工能對貫穿于企業方方面面的會計信息安全風險有一個清晰的認知。尤為突出的是,很多企業并沒有形成一套有效的會計信息安全風險評估體系來對會計信息處理系統進行風險評估。會計信息安全風險評估體系可以確定各種會計信息采集、整理、處置、披露和使用等行為的邊界,明確什么行為是可以做的,什么行為是不可以做的。如果發現有越界的行為,能夠及時發現并對其進行控制,進而使得這些越界行為造成的損失降至最低。
(四)會計信息安全監控反饋欠佳。一般來說,企業會計信息安全監控反饋機制可以分為三個步驟。一是對實際會計信息安全的衡量與評估;二是將實際衡量與評估的結果與企業設定的或標準的安全目標進行比較;三是采取必要的管控行動來糾正比較后得出的偏差與不足。顯然,會計信息安全監控反饋過程是一個連續行動的過程,其有效性歸根結蒂取決于以上的衡量、比較與糾偏三個步驟,其中任何一個步驟或者幾個步驟低效率或不作為就會影響企業會計信息安全監控反饋機制的有效性。但是,在現實的企業經營管理實際中,由于企業員工認識不到會計信息安全監控反饋機制是一個衡量、比較與糾偏的連續行動過程,而是過度強調這個監控反饋機制中的某一個步驟或某幾個步驟,沒有從整個會計信息安全監控反饋機制的全局上考慮,導致企業會計信息安全監控反饋機制運行不暢,監控反饋效果大打折扣,最終使該機制的有效性受到質疑,動搖該機制在企業會計信息安全管控體系中的地位。
(五)會計信息安全管控制度低效。會計信息化依然是個新生事物,企業對會計信息安全管控的認知還處于初級階段,相關的制度建設尚不完善,有的還處于草創階段,導致企業日常會計事務的工作制度依然處于缺失狀態,會計信息處理系統的使用和維護行為缺乏合理的引導,會計信息處理設備的濫用和誤用、會計信息的不當使用等現象時有發生,嚴重危害企業的會計信息安全。即便企業有相對健全的會計信息安全管控制度,若不能對相關執行人進行必要的激勵,也難以使相關制度得到有效執行。其原因在于任何制度都是由人來執行的,要保證制度的執行效果,就必須對執行人進行激勵。激勵的目的就是當個人的行為能促進企業目標的實現時,能得到企業提供給其相應的價值回報,把企業員工的個人行為動機與企業目標的實現密切關聯起來。事實上,很多企業在信息安全管控制度的執行過程中,并沒有設立相應的激勵指標來推動企業員工為企業信息安全目標的實現而工作。
三、企業會計信息安全的管控建議
針對以上風險問題,企業應該在影響會計信息安全因素的組織環境、信息處理、風險評估、監控反饋、制度安排等方面強化作為。
(一)加強會計信息安全管控組織環境建設。一方面,要強化企業會計信息安全文化建設,在企業內部形成全體員工共同遵循的會計信息安全的信念、價值、意識以及經營哲學等,以此為基礎設計相應的企業會計信息安全管控制度,并提供理念支持。還可以在企業文化建設過程中,不斷強化企業會計信息安全的重要性和相關會計信息安全管制制度設計的員工參與度,以實現更加公平透明和執行有效的企業會計信息安全管控文化。另一方面,要充分重視人的因素,加強企業員工的職業道德教育和業務素質培養,提高全體員工的職業勝任能力,充分發揮每個員工在完善企業會計信息安全管控制度方面的主觀能動性。企業還可以依據員工的工作性質和職位安排,適宜安排企業會計信息安全教育與培訓。對企業管理者,強化會計信息安全核心知識、技術手段、風險管理等方面的教育與培訓;對企業普通員工,則結合其所在部門的業務特點加強會計信息安全技術手段、風險意識等方面的教育與培訓。這樣,就可以在企業內部營造企業會計信息安全文化氛圍,最大程度地減少人為因素對企業會計信息安全的危害。
(二)適時更新會計信息處理系統安全技術。企業要遵循會計信息安全需求的動態變化規律,對會計信息安全管控方案放棄“投資一次,受用終身”的觀念,適時更新會計信息系統處理安全技術,按照“適度防御”的原則,選擇合適的安全技術與產品,形成企業適用的安全技術防線。首先,適時更新會計信息處理的安全技術。在企業會計信息處理系統中提供包括用戶名、口令等在內的多種身份驗證機制,必要時還需嵌入支持雙因素認證和具備登錄控制模塊,同時在會計信息處理的日常作業不受影響的情況下,控制相應員工的訪問權限,減少可能的越權操作,保障會計信息處理系統的安全。其次,適時更新會計數據的安全技術。企業應通過適時更新加密等技術手段保護會計信息處理系統中數據的保密性和完整性,提高會計信息數據訪問的抗依賴性。此外,還需加強相關會計信息數據的異地崩潰或者災難恢復機制,通過實現本地會計信息數據能夠異地備份和復制,避免本地會計信息處理系統由于崩潰或者災難等而導致會計信息數據遺失。再次,適時更新網絡安全技術。不但要適時更新系統掃描技術并對會計信息處理系統和操作系統層設備進行智能化檢測,幫助企業網絡管理人員高效完成定期檢測和操作系統的漏洞修復,還要適時更新系統實時入侵探測技術來監控主機系統事件,檢測可疑特征并給予響應和處置。此外,還要適時更新在企業內外部部署的網絡和信息安全設施,強化會計信息處理系統的物理實體管理,同時加強對漏洞掃描系統和入侵檢測系統的更新,以實現會計信息處理系統受到內外部誤操作或各種攻擊時的實時保護。最后,適時完善物理設備的安全防護技術。不但要采取全面可靠的防火墻技術和防病毒系統,還要針對環境的物理災害、人為蓄意破壞甚至自然災害采取有效的物化防護技術,保障相關物理設備的安全。
(三)形成會計信息安全風險評估體系。任何企業管理機制的構建都是一個系統工程,能否構建成功且在以后的運行中有效,關鍵是相關風險的評估。正如管理大師德魯克所說,沒有評估就沒有管理。同樣的道理,沒有評估就不可能實現管理機制的構建與施行。對會計信息安全管制機制的構建亦是如此。為此,企業為了構建有效的會計信息安全管理機制,就需對可能的損害企業會計信息安全的風險進行歸集與分類,形成會計信息安全風險評估體系。具體做法,可以采用以下三步。第一步,構建適應企業經營實踐和企業會計信息安全要求的會計信息安全風險評估目標體系。既要根據會計信息的完整性、可用性、保密性和可靠性設置會計信息安全的一般目標,又要根據會計信息安全管控環節設置具體目標,譬如會計信息安全管控業務執行的有效性、及時性、正確性等。第二步,按照會計信息處理的授權管理、崗位牽制、資源接觸等安全管控類型,分析并得出會計信息處理業務流程和各部門的關鍵風險控制點和一般風險控制點。最后,根據上述風險控制點設置相應的會計信息安全管控評估指標,并對每個指標進行具體說明,且給出這些指標的評估方法和評分標準。
(四)推行企業全面信息安全監控反饋機制。會計信息安全管控不應該僅僅是涉及到會計信息這樣一個狹小的范疇,而應該是一個綜合的概念,要把企業的經營環境、愿景理念、組織領導、戰略計劃等綜合起來考慮。既要認識到現代企業中會計信息安全管控的重要性,也要能從會計信息安全的管控上升到企業信息安全管控,推行企業全面信息安全監控反饋機制,實現企業全面信息安全管控,并使之成為企業的管理哲學。首先,要做到內容方式的全面性。不僅要著眼于會計信息安全的管控,還要能從企業戰略的高度審視和評估會計信息安全管控,更要注重各種安全技術和方法的綜合使用,確保能實現從單純的會計信息安全管控向企業全面信息安全管控轉變。其次,要做到管控過程的全面性。要把會計信息安全管控作為核心貫穿到整個企業經營過程中,即從市場調查、產品開發、生產銷售等環節延續到產品售后都要實行相應的會計信息安全管控,確保會計信息從靜態安全管控向動態安全管控轉變,進而實現會計信息的保護、檢測、反應和恢復協調一致。最后,要做到管控人員的全面性。即要求包括企業高管、其他管理人員、工程技術人員和普通員工在內的全體員工都要參與到全面信息安全管控中,各司其職,對會計信息安全負責。
(五)強化會計信息安全管控制度安排。強化企業會計信息安全管控制度建設,不外乎制度本身的完善和既有制度的有效執行。會計信息安全管控制度的完善,就是建立一套完善的會計信息安全管控制度。這既是會計信息本身安全的基礎,也是會計信息安全管控的前提。完善的會計信息安全管控制度至少應該包括會計信息處理系統的開發或選購、使用、維護和應急制度,以及機房和終端等會計信息處理系統物理實體管理制度、會計信息數據的使用制度、會計信息數據備份制度、會計信息安全風險評估制度、會計信息安全審計制度等,實現從會計信息數據采集整理到會計信息數據使用備份的會計信息處理全程制度無縫構建,并隨著企業經營環境的變化適時更新和完善。而既有會計信息安全管控制度的有效執行,則需充分重視企業員工績效考核制度。恰當在企業員工的績效考核中納入企業會計信息安全評估的內容,使其獲得報酬的變量和風險密切關聯于企業會計信息安全。這樣就可以保證企業員工在會計信息安全管控制度的執行方面上,能夠基于企業的長期利益,而不是其個人利益,進而實現既有會計信息安全制度的有效執行。
四、結束語
企業會計信息安全對企業生產經營活動的可持續發展以及對市場經濟的建立健全等方面的作用是不容置疑的。但是,也要看到我國關于企業會計信息安全乃至整個企業信息安全管控實踐和研究的起步較晚,與發達市場經濟國家在初始條件和實踐能力方面還存在一定程度的差距。這是我國企業在進行會計信息安全管控時所必須要考慮到的一個基本現實。因此,本文認為企業會計信息化安全管控,既是一個不斷發現問題和解決問題的過程,也是一個不斷迎接挑戰和接受沖擊的過程。
參考文獻:
[1]張紅旗,王新昌,楊英杰等.信息安全管理[M].北京:人民郵電出版社,2007.
[2]胡英松.信息化會計信息安全問題研究[J].哈爾濱商業大學學報(社會科學版),2009,(4):83-85.
[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.
[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf
[5]梅雨.企業財務監控問題解析[J].中國管理信息化,2009,(9):48-50.
[6]Schultz E.The Human Factor in Security[J].Computers and Security,2005,24(6):425-426.
企業信息安全應急預案范文2
關鍵詞 電力企業;信息系統;信息安全
中圖分類號 TP 文獻標識碼 A 文章編號 1673-9671-(2011)122-0116-01
電力作為國民經濟的基礎設施行業,在國內較早開始了信息化建設工作。企業門戶、安全生產、營銷管理、協同辦公、電力負荷控制、客戶服務等信息網絡技術已經成功應用到各級電力企業。隨著電力信息化建沒和應用的快速發展,信息安全問題已日益突出,并成為國家安全戰略的重要組成部分。
研究信息安全技術,建立電力信息系統的安全防護體系和安全模型,對確保電力系統安全穩定、經濟優質運行,加速實現“數字電力系統”的進程具有重要的現實意義。
1 電力信息系統安全需求
一個全面、合理的電力信息系統安全體系和模型,應該滿足下列安全需求。
1)機密性。即確保信息僅對被授權者可用。信息的保護通過確保數據被限制于授權者(這里通過可審性來配合)使用,另外還應考慮信息所在的形式和狀態,是物理的紙面形式、電子文檔形式,還是傳輸中的介質形式。
2)完整性。是指數據不以未經授權方式進行改變或損壞的特性。電力企業的許多開放系統應用都有依賴于數據完整性的安全需求。完整性同樣應考慮信息所在的形式和形態。
3)可用性。指確保被授權用戶在需要時可以訪問系統中的信息和相關資產,不會因自然或人為原因使系統中信息的存儲、傳輸或處理延遲,或者系統服務被破壞、被拒絕達到不能容忍的程度。
4)可控性。指授權機構對信息的內容及傳播具有控制能力,可以控制授權訪問內的信息流向以及方式。
5)不可抵賴性。也稱信息的可確認性,是傳統社會的不可否認需求在信息社會的延伸。不可抵賴性包括:證據的生成、驗證和記錄,以及在解決糾紛時隨即進行的證據恢復和再次驗證。
6)可審性。可審性不是信息自身的安全需求,不能針對攻擊提供保護,但具有信息的責任需求,和他安全需求相結合使之更加有效。雖然可審性需求會增加系統的復雜性,降低系統的使用能力。但是其事后可追查這一特性,在電力信息系統安全中是重要的。
以上六個方面是保證信息系統的信息安全最基本的需求,它們互不能蘊含。
2 電力信息系統面臨的威脅和安全風險
電力信息系統安全在過去幾年雖然已經取得了長足發展,但是在信息系統的規劃、建設和運行維護過程中需要研究和解決的問題還很多。
1)面臨的威脅電力信息系統面臨的威脅來自各個方面。歸結起來主要包括以下幾個方面:①電力信息系統組件固有的脆弱性和缺陷;②地震、雷擊、洪災和火災等自然威脅;③意外人為威脅;④惡意人為威脅。
2)電力信息系統存在的安全風險。信息安全風險和信息化應用情況及采用的信息技術密切相關,電力企業信息系統面臨的主要風險存在于以下幾個方面:①計算機病毒的威脅最為廣泛;②網絡中服務器被黑客攻擊的事件層出不窮;③網絡安全問題日益突出,這是電力企業面臨的一個非常突出的問題;④電力企業與外單位信息傳遞的安全不容忽視;⑤電力企業用戶身份認證和信息系統的訪問控制急需加強。
3 電力信息系統安全的建設
為加強和規范信息安全工作,提高信息系統整體安全防護水平,實現信息安全的可控、能控、在控,結合電力企業自身的特點,堅持“安全第一,防御為主”方針,有目的、合理地設計電力信息系統安全體系和模型,建立健全與信息化相適應的信息安全保障、監督體系,積極防御和綜合防范信息技術風險。
1)建立信息安全工作機制。信息系統實行統一領導、分級管理,明確各單位主要負責人是本單位信息系統安全第一責任人。將信息系統安全納入公司安全管理體系,實行專業管理、歸口監督,明確責任人員,提高各級人員的信息安全意識,實現信息系統安全管理和防御措施落實到位。
2)明確信息安全管理范圍和任務。全面加強一體化企業級信息集成平臺和業務應用的安全管理,確保信息系統持續、穩定、可靠運行。堅持“分區、分級、分域”總體防護策略,實行“雙網雙機”,按照 “三同步”原則,與信息系統建設同步規劃、同步建設、同步投入
運行。
3)完善信息安全管理制度體系。統籌規劃,突出重點,加快信息安全管理制度和標準規范建設步伐,強化信息安全規章制度落實工作。嚴格遵守“不上網、上網不”紀律,開展網絡與信息系統定級、審批、備案工作。加強信息系統運行維護全過程管理,不斷完善應急預案。建立備份與恢復管理相關安全管理制度。
4)嚴格執行電力二次系統安全防護規定。要切實貫徹落實電力二次系統安全防護總體方案及各級調度中心二次系統安全防護方案,切實將其納入電力安全生產管理體系,建立健全電力二次系統安全聯合防護和應急機制,制定并完善應急預案。按照“安全分區、網絡專用、橫向隔離、縱向認證”的基本原則,加強調度數據網絡的建設和安全符理。
5)加快信息安全管控手段建設。全面推進個人終端標準化建設工作,實現個人終端補丁程序、病毒軟件自動更新、升級,強化防木馬病毒等安全措施。增加信息安全監控措施,加快建立信息安全監控手段,實現對防火墻、入侵檢測等安全防護設施的集中監視和事件預警。
6)強化信息安全應急與通報工作。不斷完善信息安全應急機制,制定預案,加強演練。規范信息安全事件通報程序,及時傳達國家和企業信息安全運行動態,及時響應和處理信息安全事件,加強事件分析,實時安全通告。
7)高度重視信息安全保密工作。嚴格做到“計算機不上網,上網計算機不”,禁止內容在互聯網上存儲和交叉使用,加強安全保密管理,嚴格人員審批,及時開展信息系統安全保密檢查,做好文檔的登記、存檔、銷毀、定密、解密等各環節工作,及時發現泄密隱患。
8)提高全員信息安全意識。開展全員信息安全培訓,全面樹立決策層、管理層、操作層信息安全風險意識,不斷積累信息安全管理經驗。開展不同層面的安全教育和培訓工作,適應信息技術發展的潛在
要求。
參考文獻
[1]計算機網絡技術[M].西安電子科技大學出版社,2006.
企業信息安全應急預案范文3
關鍵詞:信息安全;防護體系
隨著企業各個業務系統的深化應用,企業的日常運作管理越來越倚重信息化,越來越多的數據都存儲在計算機上。信息安全防護變得日益重要,信息安全就是要保證信息系統安全、可靠、持續運行,防范企業機密泄露。信息安全包括的內容很多,包括主機系統安全、網絡安全、防病毒、安全加密、應用軟件安全等方面。其中任何一個安全漏洞便可以威脅全局。隨著信息化建設地不斷深入和發展,數據通信網改造后,市縣信息網絡一體化相互融合,安全防護工作尤顯重要。如何保障縣公司信息網絡安全成為重要課題。信息安全健康率主要由兩方面體現,一是提升安全防護技術手段,二是完善安全管理體系。安全防護技術手段主要側重于安全設備的應用、防病毒軟件的部署、安全策略的制定、桌面終端的監管、安全移動介質、主機加固和雙網雙機等方面,安全管理則側重于信息安全目標的建立、制度的建設、人員及崗位的規范、標準流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此,企業要提升信息安全,必須從管理機制、技術防護、監督檢查、風險管控等方面入手,并行采取多種措施,嚴密部署縣公司信息安全防護體系,確保企業信息系統及網絡的安全穩定運行,主要體現在以下幾方面:
1機制建立是關鍵
企業信息安全防護“七分靠管理,三分靠技術”,沒有嚴謹的管理機制,安全工作是一紙空談,因此,做好防護工作必須先建立管理體系。一是完善組織機制。在企業信息安全工作領導小組之下,設立縣公司數據通信網安全防護工作組,由信通管理部門歸口負責日常工作,落實信息安全各級責任。將信息安全納入縣公司安全生產體系,進而明確信息安全保障管理和監督部門的職責。建立健全信息安全管理等規章制度,加強信息安全規范化管理。二是強化培訓機制。根據近年來信息安全的研究,企業最大信息安全的威脅來自于內部,因此,企業應以“時時講信息安全,人人重信息安全,人人懂信息安全”為目標,開展“教育培訓常態化、形式內容多樣化、培訓范圍全員化、內容難度層次化”培訓工作,為信息安全工作開展提供充分的智力保障。企業應充分利用網絡大學、企業門戶、即時通訊等媒介,充實信息安全內容,營造信息安全氛圍,進而強化全員信息安全意識。三是建立應急機制。完善反應靈敏、協調有力的信息安全應急協調機制,修訂完善縣公司數據網現場應急處置預案,加強演練。嚴格執行特殊時期領導帶班和骨干技術人員值班制度,進一步暢通安全事件通報渠道,規范信息安全事件通報程序,做好應急搶修人員、物資和車輛準備工作,及時響應和處理縣公司信息安全事件。重點落實應對光纜中斷、電源失去、設備故障應急保障措施,確保應急處置及時有效。杜絕應急預案編制后束之高閣和敷衍應付的行為。
2技術防護是基礎
技術防護要從基礎管理、邊界防護、安全加固等方面入手[2]。(1)基礎管理方面。一是技術資料由專人負責組織歸類、整理,設備或接線如有變化,其圖紙、模擬圖板、設備臺帳和技術檔案等均應及時進行修正。二是將設備或主要部件進行固定,并設置明顯的不易除去的標識,屏(柜)前后屏眉有信息專業統一規范的名稱。三是設備自安裝運行之日起建立單獨的設備檔案,有月度及年度檢修計劃并按計劃進行檢修,檢修記錄完整。所有設備的調試、修復、移動及任一信息線或網絡線的拔插和所有設備的開關動作,都按有關程序嚴格執行,并在相應的設備檔案中做好記錄。四是加強運行值班監視和即時報告,確保系統缺陷和異常及時發現,及時消除。(2)安全隔離方面。安全隔離與信息交換系統(網閘)由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡,從而在保證內外網隔離的情況下,實現可靠、高效的安全數據交換,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略,既可以實現內外網絡進行安全數據通信,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性。(3)邊界防護方面。一是部署防火墻,做好網絡隔離。在路由器與核心交換機之間配置防火墻,并設置詳細的安全防護策略。防火墻總體策略應是白名單防護策略(即整體禁止,根據需要開放白名單中地址)。將內部區域(下聯口)權限設置為禁止、外部區域(上聯口)權限設置為允許。定義防火墻管理地址范圍,針對PING、Webui、Gui三種服務進行設置:只允許特定管理員地址遠程管理。二是嚴格執行防火墻策略調整審批程序,需要進行策略調整的相關單位,必須填寫申請單,且必須符合相關安全要求,經審批后進行策略調整。三是嚴禁無線設備接入。(4)安全加固方面。一是應以最小權限原則為每個帳號分配其必須的角色、系統權限、對象權限和語句權限,刪除系統多余用戶,避免使用弱口令。二是安裝系統安全補丁,對掃描或手工檢查發現的系統漏洞進行修補。三是關閉網絡設備中不安全的服務,確保網絡設備只開啟承載業務所必需的網絡服務。四是配置網絡設備的安全審計功能和訪問控制策略。五是開展風險評估工作中,認真分析網絡與信息系統安全潛在威脅、薄弱環節,綜合運用評估工具,在常規評估內容基礎上,加強滲透性驗證測試和密碼脆弱性測試,重視對系統結構與配置的安全評估。根據評估結果,及時提出并落實整改方案,實施安全加固措施。
3監督檢查是保障
全面落實“按制度辦事,讓標準說話”的信息安全管理準則,在企業指導下,由縣公司信通專業牽頭,業務部門主導,分工協作建立督查機制,加強過程安全管控與全方位安全監測,推進安全督查隊伍一體化管理,完善督查流程和標準,開展好安全督查工作,以監督促進安全提升。一是全面提升責任部門安全人員專業技術水平,加強督查隊伍建設。二是完善督查機制,對督查中發現的問題督促落實整改,并開展分析總結,通報相關情況。三是開展常態督查,通過軟件掃描、終端監測等手段,確保監測全方位。四是加強考核,開展指標評價。保障督查管理水平和工作質量。
險管控是對策
為確保公司信息化網絡安全,公司要將被動的事件驅動型管理模式轉變為主動的風險管控模式,主動地對威脅和風險進行評估,主動地采取風險處置措施。通過資源的調控實現對信息安全工作的調控。公司應在信息安全治理過程中大量借鑒管理學方法,進行動態的控制和治理,通過治理的流程控制措施進行資源的調配,實現對關鍵項目、關鍵技術、關鍵措施的扶持,對非關鍵活動的控制,確保公司信息化網絡安全。數據通信網升級改造為企業信息化發展擴展了領域,同時,對信息安全工作提出了新的課題和更高的要求。本文通過分析企業信息化安全管理過程中的一些薄弱環節,提出了安全防護經驗的措施,從管理機制、技術防護、監督檢查、風險管控等方面入手,提高了縣公司全體人員信息化安全意識,極大地保障了企業系統(含縣公司)信息網絡系統的安全、穩定運行,完善了縣公司信息安全策略及總體防護體系,密織信息安全防護網,保障數據網不失密、不泄密,不發生信息安全事件。公司下一步將加強信息化常態安全巡檢,加強信息化相關資料的管理,加強單位干部員工的信息化安全培訓力度,進一步完善信息安全策略及總體防護體系。提高全體人員信息化安全意識,保障信息化網絡安全。企業信息安全建設是一項復雜的綜合系統工程,涵蓋了公司員工、技術、管理等多方面因素。企業要實現信息安全,必須加強安全意識培訓,制定明確的規章制度,綜合各項信息安全技術,建立完善的信息安全管理體系,并將信息安全管理始終貫徹落實于企業各項活動的方方面面,做到管理和技術并重,形成一套完善的信息安全防護體系。
參考文獻:
[1]馬貴峰,馬巨革.構建網絡信息安全防護體系的思路及方法——淺談網絡信息安全的重要發展方向[J].信息系統工程,2010(6).
企業信息安全應急預案范文4
(一)信息安全組織臨時化
通常,制造型企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件.出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續跟進和執行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升.
(二)員工上網無限制
雖然制造型企業為員工上網提供了用戶名及密碼,并且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁游覽、網絡社交等行為,并且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟件等創造了對企業內部網絡攻擊的機會.于是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失.
(三)個人移動設備(BYOD)使用泛濫
在制造型企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業內網的無線WiGFi,并擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險.
(四)信息安全防護水平有限
出于性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多制造型企業的廣泛采用.盡管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對制造型企業的業務帶來了不同程度的影響.同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處于高危狀態.不僅如此,部分制造型企業仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統一的管理平臺對企業內網的安全系統進行統一的升級與維護.另外,信息安全產品在企業內的無序堆疊不僅使得各安全產品存在兼容性問題,同時也使得各產品廠商只能提供與自己產品有關的技術支持,導致企業對問題很難進行跟蹤和排查.最后,企業電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統漏洞修補的不及時都造成了多病毒大面積入侵企業內網.
(五)信息安全事件處理不及時
制造型企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態.由于企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂.而且,企業各部門各自為政,對發生信息安全事件無法進行統一規范的快速處理.
二、制造型企業信息安全薄弱的原因
(一)員工信息安全意識淡薄
制造型企業員工信息安全意識比較淡薄,主要表現為企業管理層沒有充分認識到信息安全的重要性,沒有將信息安全管理工作與企業生產安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業帶來經濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業績壓力和資源限制的業務部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認為不采取安全防護措施不一定會造成損失.普通員工則表現在他們不了解什么信息安全,不知道遵守和執行信息安全制度對自己及企業帶來的影響,缺少必要的信息安全教育與培訓,有意或無意地導致信息安全事件的發生.
(二)信息安全技術體系不完善
信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數據安全相統一的信息安全技術體系,具體體現在企業使用的軟件設計存在缺陷或者技術漏洞、殺毒軟件不及時更新;信息系統設計沒有以風險評估為基礎、業務流程描述錯誤或漏洞、數據訪問權限設置不清晰、關鍵數據沒有備份等因素;物理安全邊界不明確、設備或存儲介質缺乏安全措施、電纜損壞、不可抗力的自然災害等.
(三)信息安全事件應急響應機制缺失
信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應急響應機制.制造型企業沒有對信息安全事件進行分級響應與處置,也沒有結合企業的實際情況通過預測、評估和分析安全事件對企業造成的后果程度進行等級劃分,并針對不同的安全事件制定相應的應急預案.同時,大部分制造型企業在處理信息安全事件時更多依靠的是人的經驗和責任心,缺少標準化的信息安全事件處理流程,以及必要的審核和工具支撐.
三、改進制造型企業信息安全的對策
通過上述分析可知,信息安全問題不僅出現在技術方面,還更多地出現在管理方面.因此,為了保障企業的業務持續運行,加強企業的股東、客戶以及服務提供商對企業信息安全的信任,增強企業的核心競爭能力,制造型企業可以將管理、技術和運維三方面有效地結合起來,促進企業的可持續發展.
(一)建立健全的信息安全組織層級結構
企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行.制造型企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部的層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責信息安全管理的工作人員構成,實施決策委員會制定的信息安全策略、制度和方針,并負責各部門的信息安全管理工作.信息安全執行部具體有三個部門,即信息安全規劃部、信息安全監督審計部、信息安全運行保障部,并且由各部門進行業務支撐。
(二)加強人員教育培訓和規范管理
信息安全最大的威脅不是來自于企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識.為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全.制造型企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定.對于企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主.除了對企業的人員進行教育培訓,還需對其進行規范化管理.對掌握產品生產、原材料采購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規范化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患.同時在規范管理中引入績效考核機制,這樣不僅使信息安全管理的指標量化,而且,通過信息安全監督審計工作組對員工信息安全工作進行考核,使員工更加重視企業信息安全.因此,加強企業員工的教育培訓和規范化管理,不僅可以營造企業信息安全文化氛圍,還可以約束員工的行為,減少人為因素導致的信息安全事件發生.
(三)完善信息安全技術體系
信息安全技術是企業信息安全的保障,完善的信息安全技術體系可以防止由于技術因素導致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術因素導致的信息安全事件發生.制造型企業需從以下六個方面去建立完善的信息安全技術體系,并采用“適度防御”的原則,選擇合適的安全技術與產品,形成企業適用的安全技術防線.一是保障并完善數據安全,制造型企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程復制與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失.二是保障并完善終端安全,制造型企業除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火墻而直接在系統內部傳播.三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全.四是保障和完善網絡安全,制造型企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免于網絡攻擊的同時,也提升了系統管理人員的安全管理水平.五是保障主機安全,除了采用系統掃描技術對操作系統層設備和系統進行智能化檢測來幫助網絡管理人員高效地完成定期檢測和操作系統安全漏洞修復的工作,還應采用系統實時入侵探測技術來監控主機系統事件,檢測攻擊的可疑特征,并給予響應和處理.六是保證物理安全,制造型企業需要保證機房與設施的安全,針對環境的物理災害、自然災害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設備的安全.
(四)建立信息安全事件應急響應機制
企業信息安全應急預案范文5
關鍵詞:電力;信息;安全;風險;研究
一、電力信息安全風險分析
信息安全風險不僅和信息化應用情況有密切關系,和采用的信息技術也密切相關。目前電力生產、經營管理等活動已經離不開信息系統,但高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。圖一所列的就是電力信息安全所面臨的主要威脅:
圖一 信息安全威脅歸類
1.計算機病毒的威脅
計算機病毒是目前信息安全中最嚴重的威脅,它發生的頻度大,影響的面廣,并且能對信息網絡造成極大的破壞。在當前的網絡條件下,計算機病毒的傳播迅速,若一臺計算機感染病毒,在一兩天甚至幾小時內可以感染到系統內所有的計算機,使網絡通信阻塞,系統數據和文件系統破壞,最后導致系統根本無法提供服務。
2.各個信息系統之間的互聯以及外聯的安全隱患
電力信息系統有發電信息網、供電信息網、電網調度自動化系統、管理信息系統(MIS)、辦公自動化系統、財務管理信息系統、客戶服務支持系統、遠程教育培訓系統、ERP系統等應用信息系統。他們之間的互聯是必不可少的。
3.來自身份鑒別的安全隱患
當前電力系統擁有的眾多信息系統一般為特定范圍的用戶使用,所包含的信息和數據也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。各個信息系統中都設計了用戶管理模塊,該模塊具有建立用戶、設置權限、管理和控制用戶對本信息系統資源的訪問的功能。這些措施在一定程度上能夠加強系統的安全性,但在實際應用中仍然存在撥號號碼、用戶名和密碼等資料有可能外泄;靜態用戶名和密碼容易被黑客試探猜出的隱患。
4.企業內系統漏洞和使用非法工具的安全隱患
目前電力信息系統擁有大量用戶,其中個別用戶出于好奇的心理或者蓄意破壞的動機,利用系統漏洞和非法工具,對網絡上連接的計算機系統和設備進行入侵、攻擊等行為,影響網絡上信息的傳輸,破壞軟件系統和數據等。因此如何杜絕系統漏洞和防止使用非法工具,保護網上的信息系統和信息資源的安全,保證對網絡和信息資源的合法使用,是電力面臨的另一個非常突出的安全性問題。
二、信息安全事件發生原因分析
針對電力系統以往發生的信息安全事件,分析發生原因,主要有以下幾方面因素:
1.信息安全防護意識不強,思想麻痹,沒有重視內外黑客入侵將造成的嚴重后果而舍不得或不知道要投入必要的人力、物力、財力來加強信息的安全防護。
2.信息技術人員總體業務水平較低,缺少必要的技術培訓,跟不上信息技術快速發展的要求。
3.缺乏先進可靠的信息安全技術、工具和產品。
4.對重要系統缺少應急預案,并缺乏防事故演練;大多數縣局缺乏可靠的系統備份、恢復技術和工具。
5.重信息化建設,輕信息化管理。
三、加強電力信息安全的對策
1.針對計算機防病毒的安全對策
計算機防病毒系統是發展時間最長的信息安全技術,技術成熟且應用效果非常明顯。電力目前已統一安裝了企業版Norton防病毒系統,架設了微軟SUS打補丁服務系統,能夠提供系統集中管理、服務器自動升級、客戶端自動更新等功能。
2.對各個信息系統之間的互聯以及外聯網絡安全對策
目前電力信息網絡在與外單位、系統單位間、重要服務器等關鍵關口處設置了防火墻,下一步將考慮逐步實施漏洞掃描、入侵檢測、網站保護等安全措施。
3.開展全員信息安全教育和培訓活動
開展安全教育和培訓應該注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員,重點要了解和掌握信息安全的整體策略及目標、安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系統的安全維護技術等;廣大信息系統用戶重點要學習各種安全操作流程和行為規范,了解和掌握與其相關的信息安全策略,包括自身應該承擔的安全職責等。
參考文獻:
[1] 潘明惠,偏瑞琪,李志民,陳學允. 電力系統信息安全應用研究[J]中國電力, 2001,(S1) .
[2] 李文武,王先培,孟波,賀鵬. 電力行業信息安全體系結構初探[J]中國電力, 2002,(05) .
企業信息安全應急預案范文6
【關鍵詞】供電企業;信息系統安全;強化措施
面對當代信息技術的發展與社會電力工作的要求,信息技術已經逐漸覆蓋到電力系統的每個方面,同時也帶來了許多的安全隱患,時時威脅著供電企業的信息安全。電力是一個國家的基礎產業,關乎每一個領域,對全國經濟建設發展起著決定性的作用。因此,供電企業的信息技術安全就顯的尤為重要。本文針對近些年來信息技術在供電企業應用時所出現的安全問題進行細致的探究,并且提出了相應的防范措施。
1 供電企業信息化現狀
近些年來,以網絡、數據庫為代表的信息系統技術已經滲透進電力生產的每個環節,供電企業信息化現狀大致可以總結成以下五個方面:
(1)電力信息系統基礎設施已基本完成。電力信息系統以高速電力通訊網為基礎,覆蓋了各個供電企業和國家電網。電力信息系統通過發、輸、配三個環節,以光纖,衛星等多種手段代替原有的通信網,覆蓋整個網絡。供電企業還在基礎設施上不斷創新和完善,用通訊網將各個公司、區域的信息系統相互聯系起來,形成共享網絡,有利于各個企業單位之間的聯系與資源共享。
(2)處于自主研發階段。原有的供電企業信息系統是單純引進國際技術,隨著我國科學技術的發展,我國電力信息技術已經逐漸達到國際現有的水平。我國自主研發的系統――能量管理,已經在我國供電企業信息系統中得到了廣泛應用。并且不斷推陳出新,為以后的電力信息系統提供基礎。
(3)供電企業信息安全工作進展快速。我國建成了信息系統安全和供電企業電力系統網絡管理體系,保證了電力信息安全;建立了相應的法律法規,為供電企業信息化發展提供了法律保障;國家大力支持電力信息系統,加快了電力信息系統基礎設施的建設;我國電力信息技術人才的培養,為供電企業信息系統的進步提供了條件。
(4)電力信息系統出現重大轉變,為供電企業信息系統安全風險與防范提供最要的技術來源和保障。電力信息系統從出現以來,實現了從自動化向信息化,從信息資源整合向信息資源利用,從協助管理向大力發展生產力三個方面的轉變。
(5)供電企業與電網企業共同發展。電網企業先實施了國家的信息化工程,初見成效,這為供電企業實施企業信息系統提供了方向指導。之后,供電企業與電網企業共同發展,在保證供電系統順利的運作下,提高效率,降低成本,從而達到經濟利益最大化,為整個行業的發展,奠定了堅實的基礎。
2 供電企業信息系統安全的影響因素
隨著網絡、通信技術的發展,供電企業中信息技術處理的應用系統越來越復雜,面臨的挑戰也越來越多,類似供電控制系統和網絡信息的安全性、保險性、實時型都面臨著巨大的考驗。以下舉出了供電企業信息系統安全的幾個重要的影響因素。
(1)自然及不可抗力因素。自然及不可抗力因素指的是自然災害或者突發事件不可預期的因素。類似火災、地震、雷電等,都會對供電信息系統造成破壞,導致供電系統工作的終止和信息系統數據的丟失。
(2)物理方面的風險。物理方面的風險指的是在信息系統技術應用的過程中所使用的設備的風險。供電企業在信息系統運行的過程中,需要用到交換機,路由器,工作站等設備,而這些設備在人為因素或者自然因素的條件下,很容易損壞或者報廢,斷電或者使原有的信息丟失,從而導致整個信息系統的癱瘓,會對供電企業造成不可預計的影響和損失。
(3)數據庫安全。供電企業的信息系統需要用到各種設備和應用軟件系統,而這些設備和軟件系統在信息系統不完善的條件下,肯定會存在一定的漏洞,這將會導致供電企業內部信息資料安全受到威脅。企業如果放松警惕,不法分子就會通過漏洞傳播病毒并且盜取企業的重要文件資料,這將導致供電企業無法正常供電,并且威脅著整個企業的內部安全。
(4)管理系統安全。現在處于信息系統在供電企業發展過程中的初級階段,還沒有形成一整套針對供電企業信息系統安全的管理措施。這樣在信息系統的運作過程中,將會出現很多不完善的地方,時刻威脅著供電企業生產的安全性,影響整個企業的正常供電。
(5)電磁干擾的影響。信息系統在各個領域中的應用并未完善,而信息在傳輸的過程中很容易被電磁干擾,導致信息的丟失。
3 信息系統安全的防范措施
強化員工的整體素質與基礎知識的水平。供電企業的信息系統安全防范,不僅僅是相關部門的事情,而是整個供電企業內部人員的事情。供電企業內的每一個突發事件,都位于生產的細微環節,這就要求企業的員工需要有較高的知識水平與應變能力,面對安全隱患及時做出相應的防范措施,應對自如。所以應該提高全體員工的信息安全知識的學習以及必要的防范意識。在有條件的情況下可以開設信息安全相關的培訓,以逢培必考方式,提高培訓效果并落實一定的考核制度,有利于全體員工對信息安全知識的學習,也確保了供電企業安全穩定的發展。
轉變傳統的管理制度,由傳統的硬性管理轉變成為適應當今企業發展的分區分域管理。分區管理就是對不同級別的信息進行分區,建立網絡隔離系統;分域就是在分區管理的基礎上,針對生產域、營銷域、人資域、辦公域、財務域等,各專業信息系統的要求進行更加細致的劃分。這樣有利于擺脫傳統管理模式中的漏洞,增加管理的靈活性、全面性。將知識管理與安全管理相結合,為供電企業信息系統的正常運行提供基礎保障。
將電力通信及自動化的網絡與供電企業的內部綜合數據網絡進行物理隔離,這有益于防止信息系統安全過程中產生的漏洞導致的病毒入侵現象,保護內部資料的安全性。在建立最基本的管理制度的同時,從工作出發,對發現的問題及時匯報處理并且統計,建立特有的數據庫,為以后工作信息系統的防范提供基礎。
預防計算機病毒,防止病毒破壞。這是供電企業信息系統安全措施中最重要的一個環節。供電企業中,辦公最重要的一個內容就是企業郵件的收發,這也是感染病毒最多的環節。必須加大對系統的升級和修復,建立和完善防病毒系統,實時對計算機進行監控,對用戶訪問進行嚴格防控。
電力信息系統還處于發展階段,必須加強對信息技術安全的監控,并且及時匯報,完善信息系統的應急預案。這要求企業必須真實的對待每一個信息事件,及時通報,不得隱瞞。不斷改善原有的應急措施,并且監督每一次應急措施的實施,提高整個供電企業面對信息系統的應對能力。
提高供電企業信息系統的保密措施。在對信息系統網絡安全加強的同時,也要完善人為因素導致的信息泄露。嚴禁外部人員對計算機網絡的訪問,嚴格控制外來U盤等移動介質的使用,對信息系統的安全進行嚴格監管,定期開展對保密工作的檢查,不放過任何一個中間環節。
4 總結
供電企業的信息系統安全涉及到企業的方方面面,包括自然因素,人為因素,物理因素等等。所以為供電企業信息系統制定防范措施就要從這些因素出發,全面分析,多重角度看待,才能制定有效的防范措施,保護整個供電企業的安全。
參考文獻:
[1]Christopher.信息安全管理[J].北京:清華大學出版社,2005.
