摘要
摘要:在网络信息化的时代,企业信息安全的建设 对我国企业的发展有着重要作用,只有不断加大对网络安全 技术的规范,才能大大降低我国企业信息安全的风险率,进 一步促进我国企业的发展。
关键词:电力企业;信息安全;管理策略
1 企业信息安全的概述
现如今信息作为一种资源共享的存在,它具有普遍性、共享性以及可处理性等特点,能够有效促进我国企业的发展。信息安全属于一种保护单位信息系统以及网络信息防止资源遭受破坏的机制。依照我国现有的标准化组织定义来看,信息安全性的主要内容具有完整性和可用性以及保密性等特点,保障信息的安全是每一个企业都应当高度重视的问题。对不同的部门或行业而言,信息安全的目标和重点不尽相同。企业信息安全指企业当中的网络系统软件、硬件以及系统数据等不会受到外界的恶意侵犯,信息服务不中断,确保业务的连续性。为了保证企业的信息安全,要保证对企业信息的访问都是可控的,对数据的操作也都是经过授权的,操作的数据记录也是可以进行追踪的。信息安全本身包括的范围较大,包括计算机科学、网络技术、通讯技术、密码技术、信息安全技术以及应用数学和信息论等多种学科,甚至还包括国家军事政治等机密的安全,其主要目的是防范企业的商业机密泄露或者被更改而受到经济损失。
2 企业信息安全管理中存在的问题
2.1 企业信息系统安全体系化的防护手段不完善
随着企业的发展,企业需要独立和分散的安全设备进行防护,各个单位的安全防护水平参差不齐,安全管理工作达不到正常水平。信息的安全管理也未覆盖信息系统全生命周期,安全管理措施存在缺失,这无疑给企业的信息安全带来了风险。
2.2 传统的安全管理方法落后
现代信息化正在向数字化、智能化的方向飞跃发展,传统的安全管理系统已经无法满足信息化时代的要求,企业对信息化的安全管理研究也越来越深入,不断形成了新的发展趋势。但是企业文件信息化的兴起也带来了很多不稳定的因素,比如文件在使用中会 PS ,容易被复制、修改甚至任意篡改,的真实性得不到鉴定,安全性也就得不到保障。同时,相关企业对信息化安全管理采取忽视的态度,没有认识到安全管理的重要性。目前我国对企业信息的安全管理的经验不足,建设程度与实际情况不匹配,造成资源浪费和信息流失。
2.3 软硬件系统设施不完善
目前有些企业缺少最新的安全硬件支持,把精力都放在提高业绩上而忽略了软硬件设备的不完善问题。没有配套的软硬件设备就无法满足企业中大量的信息安全管理需求,在的整理和归档中就很容易被恶意窃取和篡改,从而不能保障的安全性,不能发挥安全管理的作用。
3 电力企业信息安全管理策略
3.1 完善组织架构
电力企业信息安全管理实行统一领导、分级管理原则,领导小组由决策层组成,管理层由各部门管理者组成,包括信息安全的规划、监督审计、运行保障等各职能部门,实施专业化管理。同时构建信息安全管理体系框架,包括信息安全的策略、运行、管理和技术措施四个模块。
3.2 做好安全规划
电力企业需要根据自身实际情况,从系统角度和网络安全特点出发优先做好信息安全规划工作,对网络信息安全从整体上进行综合考虑和规划,也可以参照一些国外的通行标准构建信息安全管理体系,以达到防范网络安全问题的目的。同时电力企业信息安全实行双网双机管理,内外网之间采用物理隔离,应结合实际情况合理规划内网安全域,通常划分为一般防范区域和重点防范区域,其中重点防范区域属于电力企业信息安全的内部核心,必须实施重点安全防范,因此设置的访问级别较高,用户访问受权限限制,未经许可用户无法进入,目的是防止不法分子侵入系统。安全区域运行 OA 系统、应用系统等与核心数据相关的重要数据,以保证数据信息安全。
3.3 强化安全管理
( 1 )加强日常安全审计:入侵检测系统均具有审计功能,能够对病毒攻击或不法分子入侵及时启动警报系统,将计算机自动从局域网中隔离,尽可能降低安全隐患问题。因此应当将安全审计工作落实到位,在加强网络日志管理的同时做好审计数据的保存,以确保审计数据真实、全面、可靠,促使系统安全运行。另外,未经授权不得私自更改或删除审计记录。
( 2 )构建病毒防护体系:安装的防病毒软件必须具有远程安装、远程报警、集中管理等特点,同时建立防病毒管理制度,严禁将来历不明的存储设备或随意从互联网上下载的数据接入联网计算机,一旦发现病毒应及时进行处理。
( 3 )信息安全保障举措:根据信息安全分级保护等级落实好 “ 分级、分区、分域 ” 的信息安全防护策略,严格保密核心程序和数据,有效落实信息安全防护预案,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
( 4 )建立网络入侵保护系统 IPS : IPS 是一种快速主动的防御体系,能够阻止恶意数据侵入电力系统,提升电力企业网络信息安全管理指标。与常规的防火墙相比, IPS 的安全防御功能更加完善,不仅可以对网络恶意数据流量进行数据安全检测,及时消除隐患,还能提供网络虚拟补丁,起到预先拦截黑客攻击或网络病毒传播的作用,以保证电力企业信息系统免受损害。
( 5 )加大对信息安全管理的投入:对新建信息安全系统要做到对设备和部件进行严格检查,明确要求供应商提供相应的安检报告,确保信息安全系统符合标准;对已使用信息安全系统要做到对设备和部件进行定期检查,确保信息安全系统有效开展防护工作。
3.4 提升信息安全管理意识
( 1 )高度重视信息安全管理工作:信息安全问题已经成为制约电力企业发展的瓶颈,领导层应不断提升信息安全管理意识,高度重视信息安全管理工作,结合企业实际情况成立信息安全领导小组,组织所有员工进行信息系统安全运行管理培训,让其了解信息安全管理目标,掌握信息安全评估方法,提高信息安全管理技能,在企业内部形成良好的信息安全管理氛围。
( 2 )建立健全信息安全管理制度:完善的信息安全管理制度应明确相关负责人的工作职责和权限,落实信息安全管理工作责任到人,定期开展信息安全管理工作督导检查,对发现的问题要求及时进行整改,对相关的责任人按规定进行严肃处理,以确保信息安全管理制度的严肃性、强制性、权威性和可执行性。同时也使工作人员在具体操作时,有章可循、有法可依、更加规范,从而避免因操作失误带来的信息安全问题。
( 3 )建立信息安全应急保障机制和不同信息安全风险的预警机制:电力企业信息安全问题较为严重,信息风险无处不在,建立信息安全应急保障机制和不同信息安全风险的预警机制是确保信息系统安全、稳定运行的重要保障,尤其需要加强信息系统的容灾建设、数据保存备份和恢复管理制度建设。
结语:综上所述,随着网络信息技术的持续发展和更新,供电企业进一步推进信息化建设工作,应用网络的范围将越来越广,信息网络安全新挑战不断涌现,安全管理成为永久性的问题,供电企业在实践中务必要充分认识到维护信息网络安全的重要性,坚持探索更多行之有效的策略加强安全管理,切实提高供电企业信息网络的安全性、实用性与可靠性。
参考文献:
[1] 李牧宸 . 企业信息安全管理的重要性和防范措施 [J]. 信息与电脑(理论版), 2018 ( 06 ) .
[2] 郭建,顾志强 . 电力企业信息安全现状分析及管理对策 [J]. 信息技术, 2017 ( 28 ): 15~16.
[3] 郑玉山 . 电力企业网络和信息安全管理策略思考 [J]. 网络安全技术与应用, 2017 ( 6 ): 121+123.
[4] 文涛 . 电力企业网络信息安全防护体系的建立 [J]. 低碳世界, 2017 ( 26 ): 83-84.
出版日期
2020年05月13日(中国期刊网平台首次上网日期,不代表论文的发表时间)
