浅析电力企业网络信息安全技术和安全管理机制构建企业网络安全防范的制度空间

2013-12-03 16:15:48 电力信息化　点击量：评论 (0)

摘　要: 分析当前电力系统网络安全存在的问题, 从管理机制和常用的技术手段方面对信息安全进行了探讨。结合网络安全的现状，探究电力企业网络安全防范的制度空间。关键词:电力企业；分析；网络信息安全技术；安

挥系统、安全管理技术系统、安全管理制度系统和安全教育培训系统，实行企业行政正职负责制，明确主管领导职权、部门职责和用户责任。按照统一领导和分级管理的原则，明确安全管理部门是企业安全生产监督部门，行使网络与信息安全监督职能以及安全监督人员职责。

（3）应用“统一的策略管理”思想实现网络信息安全的管理目标。“统一”，就是要提高各项安全技术和措施的协同作战能力；策略，就是为发布、管理和保护信息资源而制定的一组规程、制度和措施的综合，企业内所有员工都必须遵守的规则。电力企业应从以下三个方面，规定各部门和用户要遵守的规范及应负的责任，使得网络与信息安全管理有一套可切实执行的依据。

A、用户的统一管理：实现员工档案、访问资源的权限的统一管理。

B、资源的统一配置管理：文件系统、网络设备（防火墙、认证系统、入侵检测、漏洞扫描），Intranet、Internet网络资源的统一配置管理。

C、管理策略的一致性：防火墙规则的制定、Internet访问控制的管理，内部信息资源的管理应体现一致性。只有管理政策一致，才能避免出现遗漏。

2、强化企业内部人员安全培训

信息安全培训是实施信息安全的基础，根据中国国家信息安全测评认证中心提供的调查结果显示，现实的威胁主要为信息泄露和内部人员犯罪，而非病毒和外来黑客引起。据公安部最新统计，70％的泄密犯罪来自于内部；计算机应用单位80％未设立相应的安全管理；58％无严格的管理制度。

要实现“企业安全”就必须对企业内部人员进行安全培训，从而强化从高层到基础员工的安全意识，最终提升企业网络信息安全的“机率”。

安全培训计划可阶段性地进行，根据企业性质与人员的职责、业务不同，可以将安全培训分成三个不同的层次，即初级、中级和高级。初级培训的对象包括所有员工，培训的内容主要角色与责任、政策与程序；旨在强化所有员工的安全意识与责任；第二层次为中级培训，对象包括高层领导、（非）技术管理人员、系统所有者、合同管理者、人力资源管理者与法律人员。教育及培训的内容包括安全核心知识、风险管理、资源需求与合同需求等，旨在强化人员的安全能力与安全意识。第三层次为高级安全培训，对象包括信息安全人员、系统管理人员，内容主要包括操作/应用系统、协议、安全工具、技术控制、风险评估、安全计划和认证与评估，旨在提高企业的整体安全管理。

综合上述几方面的论述，企业必须充分重视和了解网络信息系统的