淺析電力企業(yè)網絡信息安全技術和安全管理機制構建企業(yè)網絡安全防范的制度空間

2013-12-03 16:15:48 電力信息化　點擊量：評論 (0)

摘　要: 分析當前電力系統(tǒng)網絡安全存在的問題, 從管理機制和常用的技術手段方面對信息安全進行了探討。結合網絡安全的現(xiàn)狀，探究電力企業(yè)網絡安全防范的制度空間。關鍵詞:電力企業(yè)；分析；網絡信息安全技術；安

揮系統(tǒng)、安全管理技術系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓系統(tǒng)，實行企業(yè)行政正職負責制，明確主管領導職權、部門職責和用戶責任。按照統(tǒng)一領導和分級管理的原則，明確安全管理部門是企業(yè)安全生產監(jiān)督部門，行使網絡與信息安全監(jiān)督職能以及安全監(jiān)督人員職責。

（3）應用“統(tǒng)一的策略管理”思想實現(xiàn)網絡信息安全的管理目標。“統(tǒng)一”，就是要提高各項安全技術和措施的協(xié)同作戰(zhàn)能力；策略，就是為發(fā)布、管理和保護信息資源而制定的一組規(guī)程、制度和措施的綜合，企業(yè)內所有員工都必須遵守的規(guī)則。電力企業(yè)應從以下三個方面，規(guī)定各部門和用戶要遵守的規(guī)范及應負的責任，使得網絡與信息安全管理有一套可切實執(zhí)行的依據(jù)。

A、用戶的統(tǒng)一管理：實現(xiàn)員工檔案、訪問資源的權限的統(tǒng)一管理。

B、資源的統(tǒng)一配置管理：文件系統(tǒng)、網絡設備（防火墻、認證系統(tǒng)、入侵檢測、漏洞掃描），Intranet、Internet網絡資源的統(tǒng)一配置管理。

C、管理策略的一致性：防火墻規(guī)則的制定、Internet訪問控制的管理，內部信息資源的管理應體現(xiàn)一致性。只有管理政策一致，才能避免出現(xiàn)遺漏。

2、強化企業(yè)內部人員安全培訓

信息安全培訓是實施信息安全的基礎，根據(jù)中國國家信息安全測評認證中心提供的調查結果顯示，現(xiàn)實的威脅主要為信息泄露和內部人員犯罪，而非病毒和外來黑客引起。據(jù)公安部最新統(tǒng)計，70％的泄密犯罪來自于內部；計算機應用單位80％未設立相應的安全管理；58％無嚴格的管理制度。

要實現(xiàn)“企業(yè)安全”就必須對企業(yè)內部人員進行安全培訓，從而強化從高層到基礎員工的安全意識，最終提升企業(yè)網絡信息安全的“機率”。

安全培訓計劃可階段性地進行，根據(jù)企業(yè)性質與人員的職責、業(yè)務不同，可以將安全培訓分成三個不同的層次，即初級、中級和高級。初級培訓的對象包括所有員工，培訓的內容主要角色與責任、政策與程序；旨在強化所有員工的安全意識與責任；第二層次為中級培訓，對象包括高層領導、（非）技術管理人員、系統(tǒng)所有者、合同管理者、人力資源管理者與法律人員。教育及培訓的內容包括安全核心知識、風險管理、資源需求與合同需求等，旨在強化人員的安全能力與安全意識。第三層次為高級安全培訓，對象包括信息安全人員、系統(tǒng)管理人員，內容主要包括操作/應用系統(tǒng)、協(xié)議、安全工具、技術控制、風險評估、安全計劃和認證與評估，旨在提高企業(yè)的整體安全管理。

綜合上述幾方面的論述，企業(yè)必須充分重視和了解網絡信息系統(tǒng)的