内网信息安全管理汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇内网信息安全管理范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

电力企业作为能源行业的重要组成，随着网络通信技术的广泛应用，逐渐形成完善的计算机网络信息安全管理系统。然而，由于电力企业地域性分布广泛，各类业务应用相对繁杂，特别是网络拓扑结构交错性强，加之来自网络内外的各类潜在病毒及黑客攻击的干扰，网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手，就其风险因素及防范技术展开探讨。

 

一、电力企业内网面临的完全威胁

 

内网是相对于外网而言，在电力企业内外建设上，根据不同应用领域和管理实际，内网建设多以核心交换机为中心，来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在：

 

一是物理层面的风险，如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全，在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化，特别是未对接地电阻、独立接地体，以及线缆屏蔽层进行防护，对于重要服务器及重要网络设备未建立双UPS电源管理，对一些关键数据设备在出现故障时未进行容灾备份设计。

 

二是网络架构安全因素，由于内网设计不同领域、不同部门的每一个员工，在不同站点之间采用不同的连接方式，如有些是光纤连接、有些是租赁专线，有些是VPN连接;在网络拓扑结构上因设备系统扩展，缺乏科学规划，导致逻辑网络子网划分不合理、子网间不安全连接问题突出。

 

三是网络系统设置因素，对于不同主机系统、网络设备等硬件在安全配置上存在漏洞，有些系统补丁不健全，容易留下攻击隐患;有些配置管理操作不规范，如一些路由器配置不合理，特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题，都给系统管理带来影响。四是应用软件风险因素，从内网应用软件系统来看，一方面为办公系统软件，设计系统等通用软件，另一方面是电力系统协同软件，财务软件等行业类软件，再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件，营销系统等。

 

由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足，而电力企业在内网应用软件管理上未能进行协同推进，特别是软件的口令授权、权限设置，软件系统数据管理及配置、备份管理等问题，都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足，对于内网，同样需要关注病毒侵害风险，特别是在一些文档传输中，对于病毒的形式、传播途径等未能进行专业防范，特别是风险意识不足，未能真正从制度上、管理上落实安全管理要求。

 

二、电力企业内网安全管理技术

 

(一)防火墙技术的应用。

 

在企业内外网最关键的安全防线就是防火墙，一方面防火墙阻止外网的未经许可的访问，另一方面实现对内网的安全防护。利用防火墙中的包过滤技术，可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全，数据传输端口是否正确;同时，防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法，并进行优化处理; 另外，利用防火墙，还可以实现IP地址的转换，特别是通过地址映射技术，实现对内网网络中的IP地址进行虚拟化管理，实现对内网的安全保护。

 

(二)漏洞扫描及入侵检测技术。

 

对于网络安全的检测与管理，通常需要从漏洞扫描技术应用中，来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描，分析安全日志并监测不同内网用户的操作行为是否合法，并从系统平台的安全策略检测上，对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性，提升内网安全管理效度。

 

(三)网络安全防护技术。

 

从内网安全管理实践来看，网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化，来抵御可能存在的内网安全风险。如在操作系统登录管理上，利用授权账户管理，并从密码及有效期限，以及操作权限上进行分级管理;在进行内网远程登录连接过程中，所有数据传输实施加密协议，如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为，利用路由器来设置拒绝服务模式，提升设备的可用性。

 

(四)防病毒软件技术。

 

计算机病毒是影响内网安全的重要风险，在病毒防御及控制上，需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性，在进行病毒防范上，需要结合病毒特征码、程序行为、关键字等进行检测，而病毒库的更新尤为重要。因此，在病毒防范技术上，一方面做好病毒库的升级更新，另一方面一旦发现病毒，需要从系统隔离、病毒清除、文件保护等方面进行处理，特别是针对一些常见的、恶意病毒，要实施全方位、多层次的病毒防御体系，确保每一台内网机器的安全。

 

三、结语

 

篇（2）

1.规模大：国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、ERP等有关生产、经营和管理方面的多个领域，是一个复杂的大型系统工程；

2.点多面广：国家电网公司下属单位多、分布范围广，网络更加复杂，对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求；

3.智能电网：同时随着智能电网的建设，网络边界向发电侧、用户侧延伸覆盖至智能电网各环节，具有点多、面广、技术复杂的特点，信息安全风险隐患更为突出；

4.新技术广泛应用：云计算、物联网、大数据等新技术的不断引入，对公司信息安全构成了新的挑战。

二、国家电网公司信息安全保护总体思路：

坚持“三同步”、“三个纳入”、“四全”、“四防”，信息安全全面融入公司安全生产管理体系。多年来，严格贯彻国资委、公安部、国家电监会工作要求，在国家主管部委、专家的指导帮助下，公司领导高度重视信息安全工作，坚持两手抓，一手抓信息化建设，一手抓信息安全：

1）坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则；2）坚持三个纳入，等级保护纳入信息安全工作中，将信息安全纳入信息化中，将信息安全纳入公司安全生产管理体系中；3）按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理；4）全面加强“人防、制防、技防、物防”的“四防”工作，落实安全责任，严肃安全运行纪律，确保公司网络与信息系统安全。

三、国家电网公司信息安全保护工作机制：

按照国家等级保护管理要求，结合电网企业长期以来的安全文化，建立了覆盖信息系统全生命周期的54项管理措施，形成了8项工作机制：

公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则，公司各级单位成立了信息化工作领导小组，统一部署信息安全工作，逐级落实信息安全防护责任。

1）信息化管理部门归口管理本单位网络与信息安全管理。2）网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3）业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4）总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5）各单位与总部签定保密责任书和员工承诺书，建立自上而下、层层负责的保密责任体系。6）“不上网、上网不”。严禁计算机与信息内外网连接；严禁在连接外网的计算机上处理、存储信息；严禁信息内网和外网计算机交叉使用；严禁普通移动存储介质在内网和外网交叉使用；严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7）技防：内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8）人防：培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9）物防：保密管理系统，保密机及介质统一备案

四、国家电网公司信息安全的督察体系

建立公司级、省级两级信息安全技术督查体系，依托中国电科院、省电科院信息安全技术队伍，独立于日常安全建设和运行工作，有效监督检查、督促公司信息安全管理、技术要求和措施落实，及时发现各层面安全隐患，快速堵漏保全，消除短板，支撑公司网络与信息系统安全防御体系有效运转。

1）两级共计502人的信息安全技术督查队伍。2）开展常态、专项、年度和高级督查工作。3）督查覆盖各级单位，延伸至信息系统生命周期各环节。4）建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5）充实督查技术装备，加强人员技能培养。6）2005年，电监会5号令，确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略；。7）2007年，公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8）2010年，深化等级保护安全设计技术要求，结合智能电网防护需求深化完善，形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。

五、国家电网公司信息安全的技术措施

1.信息安全的总体架构

a.双网双机。已完成信息内外网独立部署服务器及桌面主机，并安装安全防护措施。b.分区分域。依据等保定级情况及系统重要性，已基本实现各类边界、安全域的划分及差异化防护。c.安全接入。已实现对接入信息内外网各类终端采用安全加固、安全通道、加密、认证等措施，确保接入边界、终端及数据安全。d.动态感知。不断完善内外网安全监测与审计，实现事前预警、事中监测和事后审计。e.全面防护。对物理、网络边界、主机、应用和数据等进行深度防护，加强安全基础设施建设，覆盖防护各层次、各环节、各对象。

2.信息安全的边界安全

公司网络划生产控制大区和管理信息大区，同时在管理信息大区的基础上进一步划分信息内网和信息外网，形成“两个大区、九大边界”。针对信息内网边界重点区域进一步制定安全防护策略。a.内外网隔离策略：四特定特定业务应用、特定数据库、特定表单、特定操作指令。b.内网边界安全接入策略：五限制内网安全终端、无线加密专网、数据传输加密、交互操作固定、终端入网检测c.第三方专线接入防护策略：五专用专线连接、专区接入、特定内容交互、专机专用、专用程序、边界防护-逻辑强隔离设备。d.边界防护-内网安全接入平台。

1）保障非公司信息内网区域终端以安全专网方式接入信息内网；2）设备接入认证；3）数据隔离交换；4）实时安全监测；5）数据安全检查。

3.信息安全的安全检测

外网监测-信息外网安全监测系统。对互联网出口网络攻击事件、网络流量、敏感信息、病毒木马、用户上网行为、信息外网桌面终端安全态势进行实时监测与深度分析，日均监测并阻截外网边界高风险恶意攻击达2000余次，及时掌握全网互联网出口和信息外网实时安全态势。内网监测-信息运维综合监管系统对网络设备、383个骨干网节点、近400个业务指标。

1）内网边界实时监控2）网络设备、流量实时监控3）主机安全实时监控4）应用运行状态实时监控5）桌面终端标准化管理。

篇（3）

随着我国市场信息化水平加深，网络技术已经成为了推动社会发展重要因素之一。网络的便捷性，使得任何人都可以利用网络接受、传送大量的网络信息，或者是存在网络云盘之中。而网络的公开性，也导致网络对于任何人来说都没有门槛，这也是窃取信息的问题不断发生的主要原因。对于企业来说，尤其是制造型企业，一旦企业赖以生存的核心技术被盗取，几十年的劳动成果皆拱手送人，企业将承受巨大的、甚至是毁灭性的损失。

企业信息泄露还有一种就是人才流动，现如今企业人员流动较大，企业信息可能被直接带到其他企业之中，这也是个比较棘手的问题。

另外一种情况是随着企业之间的合作不断增加，企业外派员工成为常见的现象，这样就加大了企业间的交流和接触时间，对于本企业的信息泄露也许就是在不经意间。

无论是网络问题还是人为问题，如果造成企业信息泄露，其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。

二、制造型企业信息安全管理的现状及问题

1.企业信息安全管理的被动性

制造型企业的工作重点在产品制造与生产，对于网络信息管理意识薄弱，很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件，才会关注企业信息安全问题，进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视，只有出现信息安全问题时，才组建临时小组来解决企业信息问题，待到问题解决后小组便被解散，没有对企业信息后序的监督和管理，企业信息安全管理缺乏系统策划和制度化要求，管理活动临时性强，缺少日常的维护和预防，导致更多的是重蹈覆辙，这样不仅没有为企业省下对安全管理的资金，相反的恰恰是增加了企业的资金投入，直接增加了企业安全管理的成本。同时因为临时小组的组建，使得人员调动频繁，大大降低了工作效率，进而对企业的经济效益造成影响。

2.员工使用内部系统连接外网

虽然大部分制造型企业对企业自身的内网进行了防护监测，而且对员工上网和网页浏览采取了一定的限制措施，但是实际上，企业对员工上网的控制落实程度不够，员工依旧可以在工作时间使用企业网络进行外部网络连接，而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的，特别对于企业内部网络，黑客更是随时随地紧盯着企业内网出现漏洞，进而窃取企业内部信息。由于企业员工的疏忽，会有很大几率使得企业信息出现安全隐患，轻则影响企业正常的生产工作，重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵，为企业带来非常严重的后果及损失。

3.移动设备限制力度不够

制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用，但是对于办公部门却没有严格要求，办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理，会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络，连接企业内网以获得权限，这样的确提高了企业内部的办公效率，同时也给黑客病毒提供了通过无线网络进行传播的机会，提高了企业内部信息安全的风险。

4.信息安全防护技术水平低

在我国，普遍存在信息安全研发技术水平较低的情况，这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中，而对于网络安全的防护意识不高。

作为企业，都会有一些信息安全意识。在企业成立初期，信息安全防护措施通常会被考虑并采纳，尤其是一些进口设备，但仅仅依赖进口设备是远远不够的。第一，进口设备虽然技术先进，但是出现问题是在所难免的，往往出问题的是一些关键的零部件，这些零部件不仅难以拆卸且是整台设备的技术核心，设备厂商必然会控制其销售渠道。第二，很多企业过于相信进口设备的技术，力争做到一步到位，使得企业发展中前期安全防护的确不错，但是却忽略了系统的更新和维护，网络病毒每天新出几万种，就算设备再先进，如果不进行更新，迟早会被病毒攻破。第三，很多企业都采用家用式免费杀毒软件，这些杀毒软件更新频率快，一些简单病毒、木马都能有效查杀，对家用来说但是对企业来讲远远不够，企业一般是黑客重点关注的对象，黑客往往会研制更先进的病毒来攻克企业的防火墙，一些免费杀毒软件很容易被攻破，增加制造企业内部信息安全问题。

5.企业出现安全问题处理方法不当

现如今研发病毒的技术快速而先进，病毒出现时的及时处理是非常重要的，我国制造型企业在出现信息安全问题的时候，虽然有相关的杀毒软件，但因为大部分都是免费的，其更新速度虽然频率高，相对滞后性比较强，对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的，企业内部系统中毒之后没有任何异样，这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时，由于很多企业缺少专门管理信息安全的部门，并且对于病毒侵入缺乏有针对性的安全对策和应急措施，这就导致就算病毒被发现，企业在第一时间也无从下手。

三、制造型企业容易出现安全问题的原因

1.企业内部信息安全意识低

制造型企业的本质是通过生产经营活动而获得盈利，因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下，企业更关注盈利情况，而缺乏对信息安全的管理意识，对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益，反而要投入大量的人力、物力、财力。另一方面，从安全管理角度来说，没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说，信息安全管理的管理性质是类似的，但因为其管理对象的不可见性，往往容易被企业高层忽视。同时，一般也会存在侥幸心理，感觉企业内部网络不会受到黑客攻击，或是认为就算受到病毒攻击也不会对生产经营造成什么大影响，对企业整体利益影响不大。基层员工更是不明白什么是安全防护，对企业安全防护的重要性一无所知，这就导致许多企业内部信息技术会从员工口中泄露。

2.信息安全管理模式不够完善

制造型企业信息安全问题频发的原因，究其根本就是因为企业信息安全管理模式不够完善，具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员，企业信息系统设计没有风险评估、没有完善的业务流程，信息安全管理存在头痛医头脚痛医脚的现象。

3.信息安全系统没有应急措施

制造型企业信息安全系统缺少应急措施，也可以说没有自我保护系统。自我保护系统是一种比较先进的技术，一旦有病毒侵入系统，系统会自动对重要信息进行加密、封锁，待系统安全后自动解锁。然而由于对信息管理的意识不足，使得很多制造型企业没有建立信息安全自我保护系统。在我国，诸多制造型企业在信息管理方面更多的是依靠员工的经验，对于网络自身的保护信任度不足，也缺少对信息安全管理技术发展的关注和引用。

四、制造型企业信息安全管理存在问题的对策

综上所述，制造型企业信息安全问题是由很多因素造成的，包括管理层的重视方面、技术方面、人员管理方面等。首要的，企业应提升对信息安全管理的重视程度，只有加强意识，并建立有效的信息安全防范措施，才能有效保护企业自身的核心竞争力，以获得在市场经济中更好的发展。

1.提高企业内部员工的信息安全意识

很多制造型企业信息泄露都是内部员工无意间透露出去的，这也是最常见的企业内部信息泄露渠道，企业应充分重视员工的信息安全教育，定期对企业内部员工进行信息安全培训及考核，通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识，也就是从根本上降低了企业信息安全隐患，企业中如果基层员工都非常了解并重视信息安全问题，那么这个企业在信息安全管理方面必然非常完善有效。

2.建立健全企业信息安全管理机制

由于很多制造型企业缺少健全的信息安全管理机制，这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全，降低安全隐患。制造型企业应该建立健全企业信息安全管理机制，设立专门的企业信息安全管理部门，这样能最大程度保证信息的日常安全防范，也保证了一旦出现安全问题，企业能更好、更快地解决问题，健全的管理机制能够对风险有一定的预见性，把风险降到最低。

3.加大对信息安全管理的资金投入

任何新型技术都离不开资金的投入，信息安全管理同样也是，而且信息安全管理更多的属于技术型投入，对资金依赖性更高。制造型企业想要获得可持续发展，就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心，因此企业应提高对信息管理的重视程度，加大对信息安全系统的投资，把信息安全管理作为企业管理重要的一部分，信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性，确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中，这样才能保证企业信息更加安全，企业才能获得长足的发展。

4.加大对信息安全管理人才的认识

因为信息对企业生存至关重要，信息安全甚至会影响到企业的发展战略的制定和落实，制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域，既然是技术，就离不开专业人才的支持，企业应该加强信息安全管理的人才培养，提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才，企业可以通过对外招聘的形式，在社会中寻求人才。现如今互联网技术已经逐步走向成熟，计算机人才更是越来越多，所以，制造型企业在社会中寻找信息安全管理的人才不会很难，同时还能促进计算机技术人才就业，对于企业自身以及社会都有很大意义。

5.加强企业内网管理

一般来说，企业内网系统中的信息很多都属于商业机密，基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理，按信息等级设置不同的访问权限和防范措施，以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外，很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒，针对此类情况企业要制定相应的政策和管理制度，通过对硬件的管理和网页访问权限设置，严禁员工上班时间通过移动设备随意连接外网。

篇（4）

中图分类号：X934 文献标识码：A 文章编号：1671-7597（2013）20-0163-02

随着科学技术的发展，信息化的进程越来越快，并在电力市场经济环境的促使下，供电企业开始加大自身的信息化建设，信息安全管理逐步得到完善。作为新时代的一员，每个人都自然而然的成为了信息化的一部分，所以信息化同时也影响着社会上的每个人，信息安全管理的问题也成为了人们最关切的问题。

1 信息安全管理的目标描述

1.1 信息安全管理的理念

信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身（数据）的安全和信息系统的安全。其中，数据安全就是防止数据丢失、防止数据被窃取，防止数据被篡改；信息安全就是要保证系统安全稳定运行，确保有权使用系统的人能顺利地使用，无权使用该系统的人无法访问它。

1.2 信息安全管理的范围和目标

1）信息安全管理的范围。海安县供电公司信息安全的范围包括：信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。

2）信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求，巩固公司信息安全防护基础，强化安全风险预控手段，提高应急反应和处置能力，确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标（见附表）。

2 信息安全分类考核的主要做法

2.1 建立信息安全分类考核机制的目的

为贯彻国网以及省市公司关于信息安全工作的管理要求，确保信息系统安全稳定运行，加强公司员工信息安全责任意识，界定信息安全违章行为，进一步明确考核细则，海安县供电公司借鉴生产安全的管理制度，出台了《海安县供电公司信息安全违章考核办法（试行）》。

2.2 信息安全分类考核的依据和原则

依据国家电网公司、省市公司信息安全考核管理工作要求，以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。

2.3 信息安全违章行为界定

违反国家信息安全有关法律和法规；违反国家电网公司和省市公司信息安全管理规章制度。

2.4 信息安全违章行为的分类

2.4.1 一般性违章（III类违章）

1）部门及人员未按公司要求及时签订《信息安全保密承诺书》。

2）计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。

3）未按要求使用安全移动存储介质进行内外网信息交换；擅自删除或破坏已注册安全移动存储介质内的管理软件。

4）擅自卸载（含格式化）本单位规定安装的操作系统和业务应用系统客户端。

5）计算机未按要求进行注册或注册信息与责任人信息不一致。

6）在公司所有工作场所的计算机终端上做任何与工作无关的事情（如游戏、看电影或电视剧、聊天、炒股等）。

7）违反上级公司信息安全管理规定被认定为一般违章的其他行为。

2.4.2 较严重违章（II类违章）

1）计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。

2）计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。

3）在计算机上安装双网卡或双操作系统，进行内外网切换；私自拆卸与混用内外网计算机硬盘。

4）私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。

5）擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。

6）计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令；设置了登录口令，但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成；使用系统内的通用密码；擅自新增用户，未按安全密码要求设置密码。

7）未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。

8）未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。

9）在非计算机中存储和处理及通过互联网传输国家、公司的信息。

10）内网计算机私自带出公司。

11）擅自组建无线网络并接入信息内网。

12）干扰他人正常工作行为，包括：不真实信息、垃圾信息；散布病毒及木马；未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。

13）擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。

14）内外网计算机同处一室，经查实仍未按要求进行整改。

15）违反上级公司信息安全管理规定被认定为较严重违章的其他行为。

2.4.3 严重违章（Ⅰ类违章）

1）未经公司安全运检部安全检测和许可，擅自将计算机（含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机）等接入信息内、外网，被桌面终端系统监控报警并经调查认定为内网违规外联事件。

2）在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网，被桌面终端系统监控报警并经调查认定为内网违规外联事件。

3）手机与内、外网计算机相连，用于充电、同步或收发短信（彩信）、邮件等，被桌面终端系统监控报警并经调查认定为内网违规外联事件。

4）违反上级公司信息安全管理规定被认定为严重违章的其他行为。

2.5 信息安全违章的督查

1）各类人员必须严格执行信息安全规章制度，遵章守纪。各部门、供电所（含工程队）必须认真开展自查自纠，对于发现的违章行为，严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度，即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查，并对管理不到位的相关责任人及管理人员进行考核。

2）对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光，以使责任者和广大员工受到教育。

2.6 信息安全违章的处罚

1）处罚标准。

①I类违章：10000元以上或待岗处理。

②II类违章：500-2000元。

③III类违章：200-500元。

2）违章处罚的对象为公司全体员工（含农电人员），包括社会化用工、承（分）包单位人员、外协人员等。

3）连带责任考核。

连带责任考核标准：因管理不到位，视管理到位情况对相关部门、供电所（含工程队）的负责人、管理人员、班组长等进行考核。

4）对于信息安全反违章处罚的认定、处理有异议的，可逐级向上申请复议，最终以公司安委会的认定为最终结果。

5）一年内发生一起及以上严重违章，取消该部门、供电所（含工程队）当年度的先进集体评选资格。

3 评估与改进

3.1 信息安全违章分类考核的评价

参照生产安全中的管理方法，建立信息安全违章分类考核机制，有利于公司全体员工信息安全意识的灌输、宣传、培训，培养了良好的信息安全使用习惯，提高了全员信息安全技能水平，使信息安全意识深入人心。

建立信息安全违章分类考核机制至今，海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价，没有发生一起违规内网外联事件。

3.2 信息安全管理的提升

1）加强信息安全防范工作。

近几年来，公司对信息化的依赖程度越来越大，对信息安全工作也越来越重视，信息化水平也取得了高速的发展，但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁，企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作，通过管理手段和技术手段强化信息安全管理工作非常必要。

2）持续提高运维人员业务水平。

随着信息技术的发展，公司信息化水平的提高，对信息系统运维人员的技能水平提出了更高的要求。因此，为适应信息系统运行与维护工作的需要，公司信息系统运维人员的技能水平和综合业务水平应该持续加强。

3）进一步加强员工信息安全意识。

加强对信息化人员的培训和全员信息安全意识宣传，通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容，应当对公司各级管理人员，用户，技术人员进行安全培训，减少人为差错、失误造成的安全风险。

4 结束语

生产安全是供电企业生产管理的根本，而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法，值得我们在信息安全管理中借鉴。

参考文献

[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力，2010.

篇（5）

网络安全主要通过硬件防火墙及防病毒系统来实现。硬件防火墙可以将整个网络有效分隔为内部网络、外部网络以及中立区，通过对每个区域配置不同的安全级别，可以保证核心业务系统的安全。防病毒系统用于保护整个网络避免受到病毒的入侵。

1.2数据安全

数据安全包括数据备份恢复、数据库安全管理、访问控制以及系统数据加密。数据存储以及关键应用服务器均按照硬件冗余和数据备份方式配置。数据库系统通过数据库权限控制、身份认证、审计以及检查数据完整性和一致性加以保护。访问控制通过划分不同的VLAN以及设置访问控制列表，对主机之间的访问进行控制。系统数据加密考虑备份数据及传输数据进行加密，保证系统专有信息的安全及保护。

2系统现状

2.1现有系统构成

目前，路政分局路网管理系统划分为六大区域，即办公网区域、远程接入设备区域、视频会议终端区域、控制室接入区域、服务器区域以及核心网络设备区域，如图1所示。

2.2安全防护现状

在机房及监控室设置了防静电地板、温湿度表、门禁系统、不间断电源系统等，从物理上保护信息安全。在政务外网出口处部署了防火墙系统，实现办公终端区域、路网管理业务区及市政务外网3个区域之间的逻辑隔离，防止非授权人员的分发访问，保证业务系统的正常运行。在广域网(如中国联通IP专网、中国电信CD-MA)与路政分局内部局域网之间部署了防火墙系统，实现分局内部局域网与广域网之间的逻辑隔离，防止来自外部人员的非法探测与攻击，保证内网安全。在内网中部署网络版防病毒系统、网页防篡改系统、入侵检测设备以及漏洞扫描系统，用于防御病毒、木马等恶意代码的传播，保障重要WEB服务器数据的完整性和可靠性，及时发现内网中的安全隐患，有效地防止内部人员的故意犯罪。建立全网统一身份认证及授权系统，确保用户身份的安全性和可靠性，并在此基础上实现了全面灵活的用户授权管理。

2.3存在风险

(1)内部终端主机未设置监控与审计，将出现非法外联等非授权访问控制事件。(2)内网未部署安全审计系统，无法控制用户上网行为、重要业务系统及重要数据库系统。(3)内网出口处未部署应用层攻击检测与阻断设备，应用层不可避免会受到各种攻击。

3信息安全加固方案

3.1信息安全要求

路政分局路网管理系统必须按照国标《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)中二级安全等级防护要求。第二级安全保护能力要求:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

3.2实施方案

根据路政分局的实际安全需求，参照等级保护的相关要求，通过采用安全审计技术、内网管理技术以及入侵保护技术，加固现有网络安全，以保障路政分局业务的持续正常运行，如图2路所示。(1)安全审计系统安全审计系统对系统运维信息、上网行为、数据图2路政分局路网管理系统构成图(加固)库操作行为、网络流量进行审计，并实现日志的统一保存。(2)内网安全管理系统内网安全管理系统在产品安装部署前保证所有终端与策略管理中心通过TCP/IP协议可以互联互通。策略管理中心部署在路政分局路网管理系统和OA系统业务系统的安全管理区域。安全部署在内部网络所有终端设备以及移动设备上。内网安全管理系统不仅能对内网终端进行身份认证和安全检查，防止内网终端非法外联行为，还能实现对内部终端用户行为进行审计。(3)入侵保护系统入侵保护系统部署在电子政务外网出口防火墙、远程接入防火墙与路网管理系统核心交换机与之间，防御来自政务外网、中国联通IP网、中国电信CD-MA网络的基于应用层的各种攻击。入侵保护系统高度融合高性能、高安全性、高可靠性和易操作性等特性，具备深度入侵防御、精细流量控制，以及全面用户上网行为监管等3大功能。

篇（6）

电力系统对内部网络具有极高的保密性要求，采用和外部网络实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，切断了信息外泄的通道。但有些单位由于管理和技术措施不到位，部分内网计算机用户责任心、安全意识不强，内部网络中个别用户通过拨号上网、宽带上网、接入手机、插入无线网卡、双网卡、内网办公微机与外网混用、断开内网上外网等方式，外连互联网进行私人操作，造成物理隔离环境被破坏，导致内部网络出现隐蔽通道，被黑客或病毒利用后，将导致泄密或影响信息系统性能。这些行为可定义为“违规外联”。

“违规外联”使原本封闭的网络环境与外部网络出现隐蔽通道，内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁，导致网络结构、服务器部署、安全防护措施等信息被泄露，可能导致黑客通过违规外联主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息、敏感数据、文件资料等进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击，甚至进行跨安全域、跨网络破坏。

防治“违规外联”必须从根源下手，从多角度出发，从管理手段和技术手段两方面对违规外联行为进行控制。利用管理手段，提高员工信息安全意识，规范网络使用行为；通过技术手段，确保终端系统配置安全性，提高终端安全强度，同时，采取实时监控、智能阻断或隔离等措施，对常见违规外联行为进行控制，消除“违规外联”途径，阻断“违规外联”终端对内部网络的威胁。

1 加强接入管理，明确安全责任

要实现对信息内外网办公终端的安全管理，防治违规外联，必须对联接到内外网的办公终端建立准确的台账，这就首先要从严格办公终端接入管理开始。所有新增计算机类设备接入信息内网前，应由设备责任人填写《计算机类设备接入信息内网申请单》，由所在部门领导同意后向信息管理部门提出申请，征得信息管理部门同意后由相应的系统管理人员负责具体的设备入网并更新台账。同时，在新装微机现场安装时，安装人员需向微机用户提交《信息安全警示卡》，并对用户进行信息安全事项讲解，明确用户对该办公终端的信息安全负有完全责任，安装完成后，应由用户签字以确定现场安装人员已对用户发放了《警示卡》并进行了有关信息安全教育。

2 健全规章制度，签订书面承诺

防治违规外联事件，必须具备完善的信息安全管理制度，应制定如《信息内网违规外联处理规定》等制度，将信息安全纳入管理考评体系。信息管理部门应组织各部门和全体职工分别签订《部门信息安全与保密承诺书》、《员工信息安全与保密承诺书》，将信息安全“八不准”、“五禁止”、“三个不发生”和“四不放过”等有关要求贯彻到每位职工的岗位要求和工作标准中，使职工信息安全意识不断提高，并且让每一位计算机使用者明确自己应负的安全责任，从根源上杜绝违规外联事件的发生。如发生违规外联事件，可根据《信息内网违规外联处理规定》中的相关处理办法及《承诺书》中的有关约定，对当事人采取批评教育、经济处罚、下岗培训等处罚措施，同时对所在部门负责人进行相应处罚。

3 开展专题教育，增强安全意识

信息管理部门可组织员工开展必要的计算机安全知识培训，组织员工学习《信息安全宣传手册》和保密承诺书，学习违规外联案例、违规外联相关问题解答等。可利用多媒体等方式，具体讲解日常工作中有可能发生违规外联的错误行为，使广大员工更加全面的掌握违规外联的相关知识。通过分析违规外联案例教训，使员工充分了解违规外联的严重危害性，深入了解违规外联可能会对企业网络构成的威胁、泄露公司机密、导致电脑感染病毒等危害，树立保密观念，增员工信息安全意识，进一步加强公司员工信息安全工作的警觉性、主动性和自觉性。

4 粘贴警示标签，弹出警示窗口

设置醒目的信息安全警示标签可对预防违规外联起到很好的预防作用，可以在信息内网办公终端上粘贴黄色警示标签“信息内网 严禁违规外联”、在信息外网终端上粘贴“信息外网 严禁接入内网”；对网络端口统一贴注标签，标注内外网端口，增强员工对内外网端口的辨识度，防止误插、错插事件，杜绝内外网端口、网线混用安全事故的发生。

另外，还可以制作信息安全反违章“温馨提示”，植入每台内网计算机的开机程序，在信息内网微机开机时弹出信息安全警示窗口，提示什么是违规外联，以及信息安全“五禁止”和“八不准”的内容以及典型案例等，或者将最容易出现的几类违规外联情况用小漫画的方式贴在每位员工的办公电脑上。实现方式可采用北信源桌面安全管理系统自动分发并在开机时强制执行，或者采用桌面图案、屏幕保护等方式。这样只要一开机，就能提醒全体员工时刻将信息安全牢记心中，将违规外联事件的严重性、危害性和工作机理传输到每一位员工心里，提升全体员工信息安全意识，防止由于思想放松而发生信息安全事件。

5 加强送修管理，严禁私自维修

曾经有职工把自己的内网电脑和上内网的笔记本电脑交由电脑公司维修，未交代有关信息安全注意事项，电脑公司维修人员利用其电脑在外上互联网，电脑返修回单位后，未经安全处理就直接联接内网继续使用，造成违规外联。针对这种情况，信息管理部门应加大对电脑维修制度的监督，禁止个人擅自联系外部维修人员进行电脑维修，一经发现将按照规定严肃处理；各单位办公电脑维修，应指定固定的、合格的维修点，对其维修人员进行信息安全培训，重点讲解如何防止违规外联及其造成的后果，并与其签订信息安全协议，规范厂家提供的技术行为，提升厂家技术人员的信息安全意识。

维修电脑返回单位后，最好重新安装系统并注册北信源桌面管理系统，以防维修过程中发生违规外联事件，接入内网而产生报警。

6 基层管理从严，警惕长期离线

在一些基层单位和集体企业的内网终端用户中，有很大一部分是招聘员工，信息安全意识比较淡漠，是违规外联事件的高发地带，必须加大对这些场所用户的管理。除对这些用户的发放《信息安全警示卡》、进行信息安全教育和粘贴警示标签外，还可以对所有未使用的USB端口粘贴封条，进一步杜绝乱插USB设备的行为。如要进行更加严格的控制，可以部署一套USB端口管理系统，将这些用户未使用USB端口全部禁用，因工作需要打开某个USB端口访问权限时需用户提出书面申请，由管理员打开相应端口，使用完毕后再关闭。

长期离线内网终端也是容易发生违规外联事件的情形，用户往往在内网终端离线期间进行接入因特网的操作，造成违规外联事件，再接入内网后发生报警。因此，应密切关注有哪些终端长期离线，超过一个月没有上线的终端应做回收处理，尤其要关注那些已经退二线、退休以及岗位调整的人员，必须及时办理相关手续，将闲置办公微机收回。

7 加强外协管理，交代安全事项

在已经发生的违规外联事件中，有相当一部分是由于对外来人员使用内网电脑引起的，外来人员使用内部员工的内网终端或自带笔记本电脑接入内网进行设备安装、维护、系统开发等工作的过程中，由于对信息安全管理规定不了解，使用各种上网工具接入因特网或者误将无线上网卡当成U盘插入微机造成违规外联。因此，外来人员进入公司内部网络进行工作前务必预先通告公司“信息内外网严格双网隔离，严禁信息内网计算机以任何形式（双网卡、服务器、ADSL宽带、无线网卡等）连接到信息外网”的要求，且在外来人员利用公司内网工作时进行有效监督和管理。如发生违规外联事件，可对内网终端主人、外来人员和批准接入内网者追究责任。

8 流动造成隐患，根治需要禁入

移动终端设备（如笔记本电脑）由于其移动性比较强，更容易产生违规外联，典型情形有：职工把自己的内网笔记本电脑随意交给外来维护、调试人员使用，或把内网笔记本电脑随意外借，未交代使用者有关信息安全注意事项，由于他人原因造成违规外联；职工将内网笔记本电脑带回家工作，由于疏忽，开启了无线网卡功能，无意间连接上了互联网，第二天回办公室联接内网办公时，出现了违规外联报警；职工携带内网计算机（笔记本电脑）回家拨号上网或携带内网计算机（笔记本电脑）出差通过任何方式联接互联网造成违规外联等。

为防止以上情形发生，最直接有效的方法是禁止所有移动设备接入内网。若不能做到禁止笔记本接入内网，则需做到以下几点：①每位员工的内网笔记本电脑必须专人操作、专人管理，不得随意外借，如工作需要，确需外借，须将信息安全有关事项进行特别交代，并报信息管理部门备案；②禁用内网电脑的无线网卡功能。告知用户一旦计算机断开内网后发生违规外联报警，切勿接回内网，一定要将该计算机交给信息运维部门处理（卸载桌面终端并重装系统）后，方可再接入内网；③严格笔记本电脑管理，不得将内网笔记本携带回家，不得携带内网笔记本出差；④所有曾经脱离内网使用的移动终端，再次接入内网前，必须经过信息运维部门的安全检测。

篇（7）

1.海口航标处内部网络建设现状

在现今大数据和“互联网+交通”的背景下，我国航海保障管理逐渐走上了信息化和智能化的道路。海口航标处作为交通运输部航海保障中心的重要组成单位，其业务也积极向信息化、智能化转变。为保障单位计算机内部网络和重要业务系统的安全稳定运行，海口航标处逐年进行了一系列的制度、管理和技术方面的网络升级工作。目前，处属计算机内部网络部署了防火墙、网闸等网络边界安全设备，内部网络和互联网之间通过网闸实现物理隔离，为信息网络的安全防护起到了积极的作用。

2.处属计算机内部网络非法外联存在的安全风险

随着业务系统的信息化应用广泛普及，海口航标处计算机内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多、航标业务对网络信息化依赖也越来越大，因此保障内部网络环境运行安全、稳定成为重要问题。目前海口航标处主要采用网闸设备将内、外网络实施物理隔离，确保两个环境之间无信息传输的物理通道，理论上说可以保证内部网络信息不发生外泄。但在实际管理中发现，大部分信息安全问题主要来自于内部终端用户的非法外联行为引发。由于海口航标处内部网络只在边界安装了网闸和防火墙，内网用户群目前的入网方式是自动获取IP式，全网无实时安全监控设备，而网络应用的日益多样化和存储介质的不断普及，诸多安全隐患日益显现。

2.1非法外联的概念

非法外联是指内部网络计算机在未授权的前提下，通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种，如拨号上网、双网卡上网、GPRS等行为。正常情况下，局域网会有一个统一的出口，即由网关来跟上级网络进行联结，其局域网是封闭的，不允许联结互联网，局域网用户是安全的。但从另一个角度来看，安全是以受限制为代价的，局域网用户为了达到某种目的，采用其他方式非法联结互联网，该联结的风险是使主机同时暴露于内网和外网。

2.2处属内网存在的非法外联行为的安全风险分析

（1）内网用户通过360无线路由、热点路由终端、无线网卡拨号等方式，将内网终端连接至互联网，造成内外网共联，易造成病毒感染、敏感信息泄密等安全事故发生。

（2）外来设备（例如笔记本电脑、PAD等）可人为随意接入内网，造成病毒传播、信息泄漏等信息安全事故。

（3）随意安装来历不明的应用软件，形成众多隐形“后门”，容易造成数据外泄。

（4）移动存储介质内外网交叉使用，由此造成的病毒泛滥和攻击服务器致使瘫痪事件。

（5）内网用户群目前的入网方式是自动获取IP式，全网无实时安全监控设备，存在内外网终端非法互联无法监控，容易造成内网信息外泄。

2.3非法外联的危害

内部网络用户的上述非法外联行为破坏原本封闭纯净环境，造成内、外部网络之间存在网络信息传输的可能，这将使内部网络面临着木马病毒的入侵、隐形“后门”非法监控软件的植入和恶意暴力破解，从而导致单位内部网络的日常运营存在重大的安全隐患。

海口航标处承担着辖区内航标建设养护、管理等技术支持和服务保障职责。目前海口航标处的重要业务均已实现网络信息化管理，因此网络环境的安全尤为重要。以当前航标遥测遥控系统为例，该系统主要通过内网部署监控平台，从而实现对环岛灯塔、灯浮标的灯器远程测控，为航行的船舶提供航道和方向指引。一旦非法外联行为造成黑客或者木马的入侵，极有可能对监控中心发动攻击破坏，那么有可能出现篡改系统参数设置，造成系统为灯器发送错误指令，导致灯器的不正常运行，这将严重威胁到船舶的安全航行。再如号称海上守护神的AIS系统，目前海事监管部门通过AIS应用推广系统对海上船舶进行实时监管，该系统的二次应用数据库也是建立在海事内网环境，一旦因非法外联行为造成攻击进入该系统数据库篡改数据，发送恶意指令，而该系统可以直接与海上船舶进行通信，将会造成重大安全事件。

因此，针对于上述安全隐患问题，急需采取相应的手段，合理化解决问题。

3.防止非法外联的措施

内部网络安全本质上是一种管理需求，目的是使单位的各项工作任务在信息化工作模式下能够安全的进行，管理是主要方式。首先应从人为管理角度建立网络安全管理体系架构，其次要依靠符合单位实际网络安全的先进技术管理手段，实现全方位管控，杜绝安全隐患问题，全面保障内网安全。

（1）建章立制，落实网络安全管理责任。近年来国家高度重视网络安全工作，要做好处属内部网络的安全管理工作，就必须遵照国家信息安全法律法规、政策要求和安全标准，结合本单位工作实际，建立切实可行的信息安全管理责任制，完善信息安全保密保障体系，提高单位网络信息安全防护的正规化水平，遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，做到一机一管，责任明确到人。

（2）部署完善内部网络的有效监控技术手段。针对海口航标处内部网络网络设备的架构存在的安全隐患，建议从如下几方面完善技术部署：一是建设内网终端管理系统。海口航标处内部网络除了边界安装防火墙、网闸等安全设备，应该要部署一套内网终端管理系统，强制要求每台内部网络终端需安装终端管理系统，

实现从内网网络环境安全管理与终端桌面安全管理，从网络到终端，从终端到数据，有效保障处属网络以及终端的安全运行，为管理者制定内网统一安全管理策略提供有效的技术支撑和服务；任何访问单位内网需要对终端进行安全管理，对接入内网的终端进行合法性与安全性检查，对访问终端必须经过统一的安全认证，只有合法且安全的终端才能允许接入内网，达到对非法终端和未知终端进行严格阻断控制的效果。二是加强对IP地址的管理。建议更改当前内网IP地址自动获取入网方式，通过上网行为控制设备的上线，将每台终端的mac地址与与固态IP进行绑定，落实一人一机责任管理。三是部署审计系统。针对服务器或重要终端设备的操作行为进行监控和审计，从而保障信息系统安全运维，如有篡改做到有迹可查，通过审计日记及时发现漏洞，对不规范行为进行整改。四是对移动存储介质进行统一管理。根据目前处属病毒监控报表显示，移动存储介质是造成木马入侵的重要途径。建议部署一套针对接入内网环境的移动存储介质的安全认证系统，任何移动存储介质需通过该系统进行安全认证登记后，方可进入内网终端操作，这样一旦出现安全事件，结合现已部署的病毒网络安全中心，可及时找到病源，从而采取有效举措处理威胁，杜绝外来移动存储介质的乱插乱用现象。

（3）加大计算机网络安全检查力度。要定期、不定期对处属内、外网络终端进行安全检查，重点检查以往信息安全检查中发现问题的整改情况，做到及时发现问题和隐患，及时进行排除和整改，全面化解风险。认真做好服务器、网络设备、安全设备等安全策略配置及有效性；做好重要数据传输、存储的安全防护措施等工作，确保处属网络信息系统安全稳定运行。

（4）积极开展信息网络安全宣贯工作。要将网络安全管理列入全年信息类培训计划，以计算机网络信息安全应用知识和操作技能为基础，通过举办讲座、警示小视频等多种形式，切实加大对全体干部职工的培训教育力度，普及安全知识，从而树立“信息安全无小事”的意识，达到增强干部职工的安全防范意识和风险应对能力的目的。

4.结语

随着信息网络的迅速发展，在当今的信息时代，信息技术已经彻底改变我们的生活和工作方式，也改变现行航保事业的管理模式。面对着航保业务的信息化、智能化层次越来越高，我们必须加强网络与信息安全意识，将网络信息的安全管理工作提升到一个新的高度，在信息安全的建设中遵循PDCA的循环模型进行不断完善，从而为航保业务提供安全可靠的网络基础平台，助力“智慧航保”的健康发展。

篇（8）

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中图分类号］ F272.7 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）14- 0058- 02

1 引 言

经过数十年的信息安全建设，国内大型企业的网络及应用系统的安全防护能力已经达到一定水平。但是信息安全故障并没有随着信息安全投入的增加而下降。经过统计发现，内部网络和应用系统发生故障的原因少部分是由于网络设备和应用系统自身的问题所引起，更多的是因为内网的其他安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素，大多来源于用户桌面计算机，桌面安全管理已经是各个企业迫在眉睫的安全建设内容。

2 影响桌面安全的因素

2.1 企业安全组织体系不健全，专职人员缺失

大型企业的业务跨度大，地域分布广。各个二级单位的信息安全水平发展不一。有的二级单位信息部门职工上千名，有的单位却没有独立的信息部门。但所有的二级单位都统一在企业内网中运行，各类统建系统在所有二级单位中运行。对于没有没有独立的信息部门的二级单位 ，更没有负责安全体系建设、运行和管理的专职机构及人员，兼职安全管理员有责无权的现象普遍存在，依据“短板”理论，极易从信息安全力量较弱的单位为突破口，进而影响到整个企业信息安全。特别是信息安全技术的快速发展，信息安全人员需不断提升自身素质，加强业务水平，才能保证桌面安全运行。

2.2 企业职工计算机缺乏安全加固手段

尽管多数大型企业对桌面计算机的安全加固已经采取了部分安全措施，如安装防病毒软件和个人防火墙软件，甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描，督促用户及时更新操作系统补丁。但是，首先由于企业规模较大，管理者无法保证所有的终端用户都安装了防病毒软件和防火墙软件。其次，即便安装了这些防护软件，用户也常常因为各种原因无法及时更新病毒库。另外，系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况，但是却缺乏有效的补丁安装手段。所有这些因素，均导致桌面计算机的安全无法得到有效的保障。

2.3 企业职工计算机缺少有效的接入控制手段

对于大型企业，内网计算机数量众多且分布地域广阔。网络管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制，是导致内网安全事件不断发生的重要原因之一。

3 大型企业桌面安全管理建设

中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中都名列前茅，“十一五”期间，将企业信息安全保障体系建设列入信息化整体规划中，并逐步实施，其中桌面安全管理建设是信息安全保障体系建设的重点工作，从组织、管理及技术3个方面进行全面建设。

3.1 完善安全组织体系建设

中国石油建立三级的终端安全组织架构，分别为石油总部、地区公司、地区二级单位。终端安全组织在每一级设立专门的组织，明确主管领导，确定组织责任，设置相应岗位，配备必要人员。其中集团信息化领导小组是信息系统安全工作的最高决策机构，信息管理部是集团公司信息系统安全的归口管理部门，负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统安全的管理，并设立信息系统安全管理、审计、技术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位设置两名员工互为备份。

3.2 强化安全管理体系建设

安全管理体系从管理制度、培训教育、运行管理及检查考核4方面进行强化。①管理制度。根据中国石油信息安全的需求，分阶段逐步制定并完善信息系统安全管理的规章制度，加大整个信息安全制度体系的贯彻执行力度，才能使安全防护能力得到不断的提高，整体信息安全才能落到实处。②培训教育。信息安全培训涉及信息安全法律法规、信息安全事件案例等多方面，通过培训一方面提高企业员工的安全意识，使员工自觉约束自我行为，遵守各项信息安全规章制度、标准规范；另一方面及时掌握必要的信息安全技术知识和技能，在实际工作中充分利用技术手段保障信息安全。③运行管理。 通过统一设计、统一平台，统一硬件体系架构，建立中石油桌面运行管理系统。采用三级架构，分别在总部、区域数据中心部署服务器和管理软件，各企事业单位的桌面计算机安装客户端软件，整个运行管理由防病毒子系统、补丁分发子系统、端点准入子系统、电子文档保护子系统、后台管理子系统组成。其中通过端点准入防御系统，只有符合安全要求且通过用户认证的计算机才能接入内部网络使用，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延。补丁管理系统与防病毒系统相结合，实时监测和杀除病毒，实现对漏洞、病毒及恶意代码的管理和控制，电子文档保护子系统、后台管理子系统增强系统及电脑文档的安全性。④检查考核。信息管理部门定期进行信息系统安全检查与考核，包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措施的有效性、信息系统安全技术指标的完成情况。各企事业单位信息部门按照本办法和《集团公司信息系统运行维护管理办法》进行信息系统安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。

3.3 增强桌面安全技术建设

桌面安全技术指物理安全、逻辑安全及运行安全三大模块，通过与企业内控管理进行有机结合，依据《中国石油天然气集团公司信息系统总体控制实施要求》，严格执行相关操作规范，其中物理安全指进入机房的物理安全访问控制机制、设备的物理安全管理、敏感的纸质系统文件管理。逻辑安全包括系统登录身份验证、用户账号及特权用户账户管理、密码管理、用户权限管理、终端合规性管理等。运行安全包括病毒防护及病毒事件的处理、安全系统的备份与恢复、应急事件的处理。

4 结束语

随着信息技术应用的不断深入，国内大型企业信息系统集中程度不断提高，业务对信息系统依赖程度的不断加大，迫切需要建立与业务发展和信息化水平相适应的信息安全体系。与此同时，国家了一系列相关文件，提出对涉及国家安全、经济命脉、社会稳定的重点行业、企业的关键信息系统实施信息安全等级保护等要求。桌面安全责任也日益增大。只有通过从组织、管理、技术全面建设，才能有效提升桌面计算机抵御安全威胁的能力，提高桌面安全管理水平，达到桌面计算机有防护、有检测、可控制、可审计，建设统一桌面安全管理系统，中石油通过两年的桌面安全建设，取得了良好效果。

主要参考文献

篇（9）

1 前言

电力企业信息技术的发展起始于20世纪90年代，最早的计算机应用开始于财务管理、营销管理等办公业务，随着信息技术的不断深入发展，信息技术在电力企业的应用范围也日益扩大和深化，目前已经渗透入电力企业运营管理的全过程，信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天，企业对信息化的管理和关注重点也在不停的发生变化，一方面信息化成果已成为企业甚至社会的重要资源，在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜，信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理，就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。

2 我国电力企业信息安全管理存在的问题

2.1 电力企业普遍存在重技术、轻管理的问题

信息安全是“三分技术、七分管理”，但是现在许多电力企业任普遍存在重技术、轻管理的问题，甚至很多电力企业根本没有完善的安全管理制度，并且管理人员信息安全意识普遍不高，这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的，比如在实际工作中，有最好的技术，但是如果管理不到位，系统的运行、维护和开发等岗位分配不清，职责划分不明，存在一人身兼多职的现象，再先进的技术也不可能发挥其应有的效力，一样不具备竞争力、防御力。又如，企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格，极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞，使恶意份子有机可乘，同样影响网络信息安全。

2.2 电力企业对员工的信息安全意识宣传不到位

随着信息安全地位的不断攀升，电力企业对信息安全也越来越重视，但是，企业对于信息安全的培训力度仍显不够，电力企业员工信息安全意识仍非常低。如，一些电力员工在离开办公场所时，没有意识主动关闭电脑或锁定屏幕，因此容易造成企业数据的丢失及客户信息的泄漏。又如，一些员工为了贪图方便省事，直接将系统账号交给第三方人员进行操作，容易造成系统数据的错失遗漏，或者出现未授权的审批等等。再如，还有一些员工对于未确定安全性的文件防范意识不够，一旦点击打开后，就容易造成木马的植入或者病毒的扩散，从而造成数据的泄漏或丢失破坏。

2.3 电力企业信息安全技术不够完善

首先，在计算机的使用方面，有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定，要求内网与外网进行分开使用。但是，内外网混用情况仍十分严重，这就会给安全问题带来极大的隐患。其次，一些电力企业对移动介质的使用管理比较松散。如：一些企业的移动介质不需授权就能直接接入办公电脑中，容易让别有用心的人加以利用，从而拷贝了公司的内部资料，造成企业损失。又如，一些员工在未确保外来移动介质正常的情况下就接入内部网络，容易造成病毒的传入，从而影响内部网络的正常以及数据的安全。最后，部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本上采用口令的鉴别模式，而这种模式很容易被攻破。

3 完善电力企业信息安全管理的具体措施

3.1 完善电力企业安全风险的评估

电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑，技术是安全的主体，但是却不能成为安全的灵魂，而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析，评估应聘请专业权威的信息安全专家或者咨询机构，并组织企业内部信息人员和专业人员深度参与，全面进行信息安全风险评估，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的危害和影响，针对评估出来的风险制定详细的解决预防方案并认真实施，实施完成后还要定期对其进行评估和不断改进完善。其次，网络安全离不开各种安全技术的具体实施以及各种安全产品的部署，但是现在市面上安全技术及产品种类繁多，让人眼花缭乱，难以进行抉择，我们信息安全系统建设中心内容是安全和稳定，所以我们企业应尽量采用成熟的技术和产品，不能过分求全求新。最后，培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

3.2 不断完善电力企业信息安全管理制度

首先，构建良好的管理体制，在网络系统管理中，要做到管业务不管系统，管系统不管业务，如果二者混淆，就容易将所有权限落入一人之手，若该员工，同样造成网络信息安全的极大威胁。其次，数据安全管理制度，即确保数据存储介质（设备）的安全;定时进行数据备份，备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场，并由相关部门进行监督、记录。最后，准入管理制度。准入管理又称密码、权限管理，通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。

3.3 加强对电力企业全员信息安全的教育及培训，提升全员信息安全意识

对于企业信息安全工作的开展不是一个部门一个人的事，而是我们电力公司全体员工的事情，所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训，可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员，重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员，重点要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范，了解和掌握与其相关的信息安全策略，包括自身应该承担的安全职责等。另外，我们企业还可以采取一些考核奖罚措施，去激励和约束全员认真进行信息安全培训，认真落实信息安全操作，从而有效提高我们电力企业整体信息安全水平，提高信息安全意识，最终有效避免信息安全问题或失泄密事件的发生。

3.4 不断完善和提升电力企业信息安全技术

第一，对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法：将局域网与外网物理隔离，使局域网内的用户只能访问内网资源，外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵，避免企业及用户个人的重要信息与数据的失窃，进而可以控制可能由此造成的无法估计的损失。其次，对于移动介质，应加入认证管理，只有被预先授权的介质才能接入内网，对于数据的拷贝，只能通过加密形式处理。第三，数据与系统备份技术。供电企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。配置数据备份策略，建立数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。计算机病毒传播广，破坏力大，会严重影响电力企业网络系统的安全运行。因此，为了使电力企业免受病毒的侵害，作为网络管理人员应该建立从主机到服务器的完善的防病毒体系，建立健全的网络信息管理制定，以此来有效的提高电力企业网络信息的安全管理。最后，建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁，需建立有效的信息安全身份认证体系，实现网络危险过滤、终端准入、用户识别、上网授权等功能，最终实现企业内网用户终端安全性的提升，达成企业整网上网安全性的保障。

参考文献：

[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术，2011（4）.

[2]冯慧昌.信息安全管理现状与研究策略[J].科技风，2012（7）.

[3]姚军.中科网威助力工业网络信息安全[J].企业研究，2O12（12）.

[4]胡国胜，张迎春.信息安全基础[M].北京：电子工业出版社，2011.

篇（10）

防患于未然――这是一句古话。这句话用在信息网络安全中最能体会。

随着信息化建设的逐步深入，网络结构日趋复杂，信息系统趋于多元化，信息安全面临许多问题，如内外网安全、主机安全、应用系统安全、物理环境安全、桌面终端安全成为信息化建设的重中之重。桌面终端任意接入，安全策略得不到统一和有效控制，对资产信息采集统计与远程监控手段不足，用户行为难以控制，存在引发信息安全事件的风险，终端维护成本较高等问题制约和影响着信息化健康持续发展。科学、合理的构建和完善信息安全防护体系成为解决信息安全的有效途径。

如何将信息安全隐患降到最低，如何抵御病毒、黑客的入侵，如何安心使用网络这都是在信息行业中醒目的问题。

桌面安全管理系统是一个完全集成的模块化桌面管理解决方案，可以管理企业所有Windows平台设备。涵盖了策略管理中心、设备管理、远程协助、移动存储介质管理等模块，对信息网络安全起到了重要的作用。

设备和资产管理

随着公司企业的发展，IT产业也在不断扩展，终端设备增加了不少。作为IT管理员，要将不同配置，位置分散的PC机等相关设备进行统一管理，把设备台帐做好做细是件比较费时的事情。

在桌面管理系统里，每新增一台终端设备，不管是PC机还是其他办公设备等，只要设有IP地址，分配了部门，在终端上注册了桌面管理系统，都能在桌面安全管理系统内监测到。并且终端机的详细参数配置、进程、安装软件等都能一目了然，这对设备资产管理有很大的帮助。

远程协助和成本控制管理

桌面管理系统内的远程协助，可以帮助网络管理员远程运维电脑终端，这样不仅降低了故障响应时间也提升信息运维人员的工作效率，还可通过系统内的点对点控制，远程取得计算机的安装程序，应用进程，系统版本等关键资料和使用状况。

远程控制使工程师在任何内网接入的工作场所就能对任何出现的故障做出迅速的反应并处理问题。这方面大大节约了工作人员的时间，降低了运维成本。

桌面管理系统补丁管理

桌面终端管理系统重要的补丁下发功能可为公司内网终端自动下发并安装最新的系统补丁，使系统保持最安全的运行方式，可以根据各种计划任务，或者根据批处理策略统一下发下载补丁。当系统监测到有终端未安装补丁时，可对缺少的补丁进行重新下发。并能够对补丁下载及安装的情况进行查询，避免因病毒侵袭及应用系统漏洞而导致损失。

违规外联准入管理

针对违规外联进行全面整改，不仅出台了公司违规外联事件整改方案，而且在管理上加强力度。一是做到定期病毒及安全使用公告，禁止手机联入内网充电；二是定期开展信息安全知识教育培训，将违规外联原理、违规外联的严重性、可能发生违规外联情况公示；三是全网粘贴内网计算机标签标识，杜绝违规外联误操作。四是违规外联坚决执行公司的规定，惩治力度决不放松。

防非法外联系统在终端连接内网前，通过安装准入系统认证客户端对计算机进行健康状况检查，是否安装防病毒软件，是否安装桌面管理系统，对不满足安全要求的终端禁止分配内网合法IP地址，当用户完成入网的要求后，准入系统会自动识别系统状态并分配合法的内网IP地址，完整用户终端的准入流程，并通过桌面管理系统下发防违规外联IP策略，进一步控制非法外联的发生。

移动存储介质管理

移动存储的随意接入网络或者丢失出现信息数据泄密的都对信息安全造成很大威胁。桌面管理系统内的移动存储管理可大大提高移动存储的安全性。通过桌面终端管理系统能够安全的进行移动存储的管理，防止信息泄密事件的发生，杜绝因移动存储介质泄密对内网安全的威胁。

双数据区交互使用：专用U盘支持交换区和保密区。交换区在分配相同桌面标签的计算机上支持口令登录使用；保密区在分配相同桌面标签的计算机上受限制使用，在不同标签的计算机上无法使用，插入即会报警。

综合以上几个模块的功能，作为管理员能充分体会桌面管理系统在信息网络安全中的起到的强大作用。

参 考 文 献