淺析電力企業(yè)網(wǎng)絡(luò)信息安全技術(shù)和安全管理機(jī)制構(gòu)建企業(yè)網(wǎng)絡(luò)安全防范的制度空間

2013-12-03 16:15:48 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘　要: 分析當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)安全存在的問題, 從管理機(jī)制和常用的技術(shù)手段方面對(duì)信息安全進(jìn)行了探討。結(jié)合網(wǎng)絡(luò)安全的現(xiàn)狀，探究電力企業(yè)網(wǎng)絡(luò)安全防范的制度空間。關(guān)鍵詞:電力企業(yè)；分析；網(wǎng)絡(luò)信息安全技術(shù)；安

揮系統(tǒng)、安全管理技術(shù)系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓(xùn)系統(tǒng)，實(shí)行企業(yè)行政正職負(fù)責(zé)制，明確主管領(lǐng)導(dǎo)職權(quán)、部門職責(zé)和用戶責(zé)任。按照統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理的原則，明確安全管理部門是企業(yè)安全生產(chǎn)監(jiān)督部門，行使網(wǎng)絡(luò)與信息安全監(jiān)督職能以及安全監(jiān)督人員職責(zé)。

（3）應(yīng)用“統(tǒng)一的策略管理”思想實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的管理目標(biāo)。“統(tǒng)一”，就是要提高各項(xiàng)安全技術(shù)和措施的協(xié)同作戰(zhàn)能力；策略，就是為發(fā)布、管理和保護(hù)信息資源而制定的一組規(guī)程、制度和措施的綜合，企業(yè)內(nèi)所有員工都必須遵守的規(guī)則。電力企業(yè)應(yīng)從以下三個(gè)方面，規(guī)定各部門和用戶要遵守的規(guī)范及應(yīng)負(fù)的責(zé)任，使得網(wǎng)絡(luò)與信息安全管理有一套可切實(shí)執(zhí)行的依據(jù)。

A、用戶的統(tǒng)一管理：實(shí)現(xiàn)員工檔案、訪問資源的權(quán)限的統(tǒng)一管理。

B、資源的統(tǒng)一配置管理：文件系統(tǒng)、網(wǎng)絡(luò)設(shè)備（防火墻、認(rèn)證系統(tǒng)、入侵檢測(cè)、漏洞掃描），Intranet、Internet網(wǎng)絡(luò)資源的統(tǒng)一配置管理。

C、管理策略的一致性：防火墻規(guī)則的制定、Internet訪問控制的管理，內(nèi)部信息資源的管理應(yīng)體現(xiàn)一致性。只有管理政策一致，才能避免出現(xiàn)遺漏。

2、強(qiáng)化企業(yè)內(nèi)部人員安全培訓(xùn)

信息安全培訓(xùn)是實(shí)施信息安全的基礎(chǔ)，根據(jù)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心提供的調(diào)查結(jié)果顯示，現(xiàn)實(shí)的威脅主要為信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。據(jù)公安部最新統(tǒng)計(jì)，70％的泄密犯罪來自于內(nèi)部；計(jì)算機(jī)應(yīng)用單位80％未設(shè)立相應(yīng)的安全管理；58％無嚴(yán)格的管理制度。

要實(shí)現(xiàn)“企業(yè)安全”就必須對(duì)企業(yè)內(nèi)部人員進(jìn)行安全培訓(xùn)，從而強(qiáng)化從高層到基礎(chǔ)員工的安全意識(shí)，最終提升企業(yè)網(wǎng)絡(luò)信息安全的“機(jī)率”。

安全培訓(xùn)計(jì)劃可階段性地進(jìn)行，根據(jù)企業(yè)性質(zhì)與人員的職責(zé)、業(yè)務(wù)不同，可以將安全培訓(xùn)分成三個(gè)不同的層次，即初級(jí)、中級(jí)和高級(jí)。初級(jí)培訓(xùn)的對(duì)象包括所有員工，培訓(xùn)的內(nèi)容主要角色與責(zé)任、政策與程序；旨在強(qiáng)化所有員工的安全意識(shí)與責(zé)任；第二層次為中級(jí)培訓(xùn)，對(duì)象包括高層領(lǐng)導(dǎo)、（非）技術(shù)管理人員、系統(tǒng)所有者、合同管理者、人力資源管理者與法律人員。教育及培訓(xùn)的內(nèi)容包括安全核心知識(shí)、風(fēng)險(xiǎn)管理、資源需求與合同需求等，旨在強(qiáng)化人員的安全能力與安全意識(shí)。第三層次為高級(jí)安全培訓(xùn)，對(duì)象包括信息安全人員、系統(tǒng)管理人員，內(nèi)容主要包括操作/應(yīng)用系統(tǒng)、協(xié)議、安全工具、技術(shù)控制、風(fēng)險(xiǎn)評(píng)估、安全計(jì)劃和認(rèn)證與評(píng)估，旨在提高企業(yè)的整體安全管理。

綜合上述幾方面的論述，企業(yè)必須充分重視和了解網(wǎng)絡(luò)信息系統(tǒng)的

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊