淺析電力企業網絡信息安全技術和安全管理機制構建企業網絡安全防范的制度空間

2013-12-03 16:15:48 電力信息化　點擊量：評論 (0)

摘　要: 分析當前電力系統網絡安全存在的問題, 從管理機制和常用的技術手段方面對信息安全進行了探討。結合網絡安全的現狀，探究電力企業網絡安全防范的制度空間。關鍵詞:電力企業；分析；網絡信息安全技術；安

揮系統、安全管理技術系統、安全管理制度系統和安全教育培訓系統，實行企業行政正職負責制，明確主管領導職權、部門職責和用戶責任。按照統一領導和分級管理的原則，明確安全管理部門是企業安全生產監督部門，行使網絡與信息安全監督職能以及安全監督人員職責。

（3）應用“統一的策略管理”思想實現網絡信息安全的管理目標。“統一”，就是要提高各項安全技術和措施的協同作戰能力；策略，就是為發布、管理和保護信息資源而制定的一組規程、制度和措施的綜合，企業內所有員工都必須遵守的規則。電力企業應從以下三個方面，規定各部門和用戶要遵守的規范及應負的責任，使得網絡與信息安全管理有一套可切實執行的依據。

A、用戶的統一管理：實現員工檔案、訪問資源的權限的統一管理。

B、資源的統一配置管理：文件系統、網絡設備（防火墻、認證系統、入侵檢測、漏洞掃描），Intranet、Internet網絡資源的統一配置管理。

C、管理策略的一致性：防火墻規則的制定、Internet訪問控制的管理，內部信息資源的管理應體現一致性。只有管理政策一致，才能避免出現遺漏。

2、強化企業內部人員安全培訓

信息安全培訓是實施信息安全的基礎，根據中國國家信息安全測評認證中心提供的調查結果顯示，現實的威脅主要為信息泄露和內部人員犯罪，而非病毒和外來黑客引起。據公安部最新統計，70％的泄密犯罪來自于內部；計算機應用單位80％未設立相應的安全管理；58％無嚴格的管理制度。

要實現“企業安全”就必須對企業內部人員進行安全培訓，從而強化從高層到基礎員工的安全意識，最終提升企業網絡信息安全的“機率”。

安全培訓計劃可階段性地進行，根據企業性質與人員的職責、業務不同，可以將安全培訓分成三個不同的層次，即初級、中級和高級。初級培訓的對象包括所有員工，培訓的內容主要角色與責任、政策與程序；旨在強化所有員工的安全意識與責任；第二層次為中級培訓，對象包括高層領導、（非）技術管理人員、系統所有者、合同管理者、人力資源管理者與法律人員。教育及培訓的內容包括安全核心知識、風險管理、資源需求與合同需求等，旨在強化人員的安全能力與安全意識。第三層次為高級安全培訓，對象包括信息安全人員、系統管理人員，內容主要包括操作/應用系統、協議、安全工具、技術控制、風險評估、安全計劃和認證與評估，旨在提高企業的整體安全管理。

綜合上述幾方面的論述，企業必須充分重視和了解網絡信息系統的