企業網絡信息安全思考

導語：企業網絡信息安全思考一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

隨著供電企業信息化建設不斷深入，特別是國網公司信息化“SG186”工程的實施，對計算機和網絡信息系統的依賴程度越來越強。因此使我們對目前供電企業信息系統面臨的安全風險也愈加擔心。信息系統所面臨的安全風險既有來自于外部，也有來自于內部。來自外部的威脅包括網絡入侵、黑客攻擊、病毒傳播、惡意軟件騷擾等造成數據丟失、機密數據的失密或系統不能正常地使用。來自內部的威脅包括用戶安全意識不足，管理不到位，設備缺陷、網絡配置存在安全隱患，應用系統安全控制不嚴，支撐平臺沒有進行必要的安全配置等缺陷。據統計，在所有的計算機安全事件中，屬于人為因素比重高達70%以上，下面就目前基層供電企業信息安全管理中存在的問題和如何加強管理進行闡述。

一、目前企業網絡信息安全管理中存在的問題

目前各級供電企業對信息安全日趨重視，但主要側重于防備外來未授權用戶的非訪問，并過于注重如防火墻、入侵檢測等技術問題，忽略了信息安全中人的管理，造成了幾個突出問題：

1、人員安全意識淡薄

由于系統的專業教育與培訓不足，許多專業技術人員仍然抱著“防火墻等于安全”的僥幸心理，缺乏“防黑防毒”的意識和內部員工操作失誤或惡意攻擊的警惕性，對信息安全采取的防護措施非常簡單。大多數信息系統使用員工對信息安全知識和技能掌握不夠，認為信息安全只是技術部門的事，安全防護意識不強。

2、網絡信息機構不健全

有些供電企業沒有專門的信息技術運行機構或沒有規范的建制和崗位，人員配置又偏少，而且信息系統架構的分散也導致人力資源不集中，信息戰線拉得大長，幾乎沒有時間關注信息安全。由于IT技術發展很快，基層信息技術人員得不到相應的培訓，難以對日新月異的IT技術中有關主機、操作系統、數據庫、網絡、存儲、安全等方面作全面的了解和掌握，運行維護能力低下，系統安全監控不到位。

3、網絡信息安全管理專業化程度不夠

大多數基層供電公司缺乏專門的信息安全監督管理機構，或者沒有配備專業的信息安全監督管理人員，或者只設兼職。由于缺乏信息安全管理專業知識和技能，對信息安全特殊性認識不足，難于發揮有效的信息安全監督管理，使信息安全管理工作處于一種似管非管或基本不管的真空狀態。

4、管理制度滯后且執行不力

隨著國網公司集中集成工作的展開和信息網絡基礎建設不斷加強，原有的信息安全管理制度已相對滯后，而且有些制度不完全適合基層實際，個別條款操作性較差，難于執行，這就造成制度執行不力、有章不循、違規操作，這些都增加了信息安全風險。

二、加強企業網絡信息安全管理的幾點建議

1、加強全員網絡信息安全意識教育

通過普及信息安全知識教育，提高企業員工網絡信息安全知識和安全意識，掌握發現、解決某些常見安全問題的能力。信息安全教育的具體內容一般應包括以下內容：（1）信息安全所面臨的風險；

（2）企業信息安全方針及目標；

（3）企業安全管理規章制度；

（4）與信息安全有關的其它內容。通過安全教育使所有員工增強整體信息系統的安全防護意識。

2、加強企業員工相應技能培訓

為了確保企業員工在日常工作過程中具有保護企業信息安全方面的能力，應當加強對員工計算機安全技能培訓，教育員工平時應做到所有操作應符合規定、不得向他人泄露自己的操作口令、不訪問陌生的網站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設備須先殺毒后使用、發現問題立即通知技術人員處理等基本的安全技能。

3、健全信息技術部門建設

根據需要合理配置信息技術人員，加強信息技術隊伍建設，明確機房管理員、網絡管理員、應用系統管理員、數據庫管理員、防病毒管理員、運行維護員等崗位配置，重要崗位設置A、B崗，落實崗位職責具體到人。對技術人員應注重技術培訓，可以定期或不定期參加各種針對性的技術培訓，增強技術儲備力度。

4、加強信息安全規章制度建設

建立健全適應企業實際的安全管理制度是信息安全管理的前提。標準化的安全管理，能夠克服傳統管理中個人的主觀意志驅動的管理模式。應在對企業信息安全評估下，根據單位實際情況，遵照上級有關規定，制定出切實可行、全面的安全管理制度。如：保密制度、機房管理制度、網絡運行管理制度、應用系統運行管理制度、設備維護工作制度、值班制度、計算機系統使用規范等，管理制度應明確描述所有信息技術人員以及信息系統使用人員的信息安全職責和信息系統日常使用規范，規范信息系統操作流程，減少人為失誤。

5、建立安全監督保證體系

成立安全領導小組，由分管領導抓信息安全工作，并設置一個獨立于信息技術部門的信息安全管理監督部門作為企業的信息安全日常管理機構，根據信息系統安全需要設定安全事務的職位，負責企業范圍內信息安全監督管理工作。各部門應配備計算機技能較強的信息安全專兼職人員，負責所在部門信息安全制度的落實和執行，形成良好的信息安全監督保證體系。

6、加強信息安全考核力度

在建立規范的信息安全管理制度時，應加強信息安全考核力度，使規范和制度的制定不形同虛設，而是真正落到實處，從而使全體員工都積極投入到信息安全工作中。在檢查到違反信息安全規章制度的事件或有安全事故發生之后，信息安全監督管理部門應對事件或事故的類型、嚴重程度、發生的原因、性質、產生的損失、責任人進行調查確認，形成分析評價資料，對責任人進行經濟或行政處罰?？傊鶎庸╇娖髽I必須重視和加強信息安全管理，努力消除信息安全漏洞，全面提高企業信息安全管理水平，在員工中樹立起牢固的信息安全企業文化，保證信息系統安全可靠地運行。

◆江蘇海門市供電公司徐新件朱健華