公司信息安全建設精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的公司信息安全建設主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：公司信息安全建設范文

關鍵詞：信息安全；信息科技風險；管理體系

1信息安全建設現(xiàn)狀

現(xiàn)行制度方面，現(xiàn)行有效制度涵蓋軟件開發(fā)、軟硬件運維、應急管理、安全操作、外包管理、供應商管理等方面，覆蓋面較為全面，但是缺乏體系，沒有根據(jù)一個標準系統(tǒng)的制定出一整套操作性強、執(zhí)行性強的制度體系。上報機制方面，目前采取信息處內(nèi)部逐級上報機制，即發(fā)現(xiàn)問題上報至科長，科長根據(jù)重要等級不同決定上報給處長、主管主任、信息科技委員會。內(nèi)部評審方面，現(xiàn)階段只針對現(xiàn)行制度對文檔的完整性和準確性進行事后自評，定期配合外部審計機構(gòu)進行專項審計;監(jiān)控平臺只對機房環(huán)境、硬件設備、網(wǎng)絡及系統(tǒng)軟件進行實時監(jiān)控。信息科技風險評估方面，根據(jù)國家標準從信息資產(chǎn)、威脅、脆弱性的識別、風險值評估、風險項統(tǒng)計分析、總體評價和不可接受風險處理等7個方面，對整體信息化系統(tǒng)包含的硬件設備、軟件系統(tǒng)、數(shù)據(jù)信息和管理制度等內(nèi)容進行了全面的評估，每半年上報一次信息科技風險報告，并制定相應的整改計劃。

2信息安全建設存在的問題

2．1管理制度建立不完善

目前，在信息科技風險的上報機制、自評機制和監(jiān)控機制都存在著不同程度上有所缺失，例如尚未建立雙向上報機制;自評范圍不全面，缺少對數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)等的覆蓋;缺少殘余信息科技風險的控制緩釋措施及評價流程。同時，現(xiàn)有信息科技風險管理制度的完整性、可操作性需要進一步改進。

2．2信息安全意識不強

職工信息安全意識較為缺乏，沒能把信息安全意識變成一種習慣、一種常態(tài)化的意識真正融入到日常的工作生活中，沒能真正意識到加強信息安全的重要程度。

3信息安全建設工作思路

隨著互聯(lián)網(wǎng)+迅猛發(fā)展，加強信息安全建設日益重要，我認為應從加強安全審計、建立風險上報機制、強化信息安全管理、科技信息風險防范等四個方面不斷加強信息安全建設工作:

3．1分析差距，完善內(nèi)審監(jiān)控管理體系

按照信息安全管理體系ISO27001標準梳理現(xiàn)狀，認真分析研究，查找存在的差距，制定信息安全內(nèi)控操作規(guī)程，針對軟件開發(fā)、軟件運維、硬件管理各項工作中具體內(nèi)控操作流程制定信息安全審計依據(jù)?？陕?lián)合相關處室，定期組織信息安全內(nèi)部審計，建立事前預警、事后考評的整套內(nèi)審監(jiān)控管理體系，對潛在的信息風險進行有效控制。

3．2安全防控，建立風險上報長效機制

依據(jù)CIA屬性對現(xiàn)有信息資產(chǎn)按照實物資產(chǎn)、人員資產(chǎn)、數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、服務資產(chǎn)進行分類賦值，識別信息資產(chǎn)面臨的威脅與弱點，推導出信息資產(chǎn)面臨的安全風險，提出相應的安全措施并制定整改計劃。另外，建立風險點上報機制，各個分管機構(gòu)風險管理員負責收集存在的風險點隱患并及時上報信息處、風險處，由信息處匯總風險點，雙向上報給風險處及相關領導，針對風險點中提出的問題及時跟進，并協(xié)調(diào)相關處室進行有效處理。

3．3強化意識，緊抓信息安全管理

針對目前職工信息安全意識較為薄弱的現(xiàn)狀，一是借助官方網(wǎng)站、微博、月刊、簡報等宣傳載體，開展形式多樣的信息安全的宣傳教育活動，讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓，普及安全應用技術，強化全員的安全責任和意識。三是結(jié)合各部門信息安全工作實際，就一段時期內(nèi)容易產(chǎn)生的安全問題組織不定期的安全技術人員專題講座，提高信息網(wǎng)絡安全管理人員的能力。

3．4抓好關鍵，確保信息安全工作無死角

第2篇：公司信息安全建設范文

關鍵詞：地市煙草；網(wǎng)絡安全；技術；管理

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 02-0000-02

煙草行業(yè)自1985年有了第一臺計算機以來，經(jīng)過20多年行業(yè)信息化工作者孜孜不倦的努力，行業(yè)的信息化建設工作取得了長足的發(fā)展，建立了涵蓋行業(yè)各個方面工作的完備的信息網(wǎng)絡，為行業(yè)工作的便捷開展提供了可靠的信息化助力，為“卷煙上水平”做出了應有的貢獻。但不可否認的是，在信息化建設之初，由于經(jīng)驗的缺乏及技術的限制，沒有形成一個具有遠見性及科學性，能與行業(yè)整體業(yè)務發(fā)展戰(zhàn)略緊密融合的信息網(wǎng)絡安全建設戰(zhàn)略，導致多年來行業(yè)信息網(wǎng)絡安全建設工作缺乏統(tǒng)一的導向和組織，雖然各省煙草公司都制定并出臺了計算機網(wǎng)絡建設與管理規(guī)范，指導各地市的信息網(wǎng)絡建設，但因為制度出臺時間較短，及網(wǎng)絡改造需要流程與時間，可以說目前各地市網(wǎng)絡安全建設水平仍不夠理想，信息網(wǎng)絡安全建設發(fā)展至今，越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網(wǎng)絡安全建設現(xiàn)狀

地市煙草信息網(wǎng)絡是構(gòu)成全省煙草信息網(wǎng)絡的個體，因此地市信息網(wǎng)絡安全建設水平便直接關系全省信息網(wǎng)絡建設水平，是構(gòu)成全省信息網(wǎng)絡安全建設的一環(huán)，就像構(gòu)成木桶的一板，依據(jù)管理學上“木桶效應”的短板理論，木桶的盛水量由構(gòu)成木桶的最短的一板決定，當有一個地市信息網(wǎng)絡安全建設水平大大低于平均水平，就將大大拉低全省煙草信息網(wǎng)絡整體安全防護水平?？梢哉f全省煙草的信息網(wǎng)路安全建設必將是環(huán)環(huán)相扣的，一環(huán)均不得松懈，一環(huán)均不得落后。

地市信息網(wǎng)絡安全建設關系到全行業(yè)主干的網(wǎng)絡的安全與穩(wěn)定，而信息網(wǎng)絡環(huán)境的復雜性、多變性以及系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了信息網(wǎng)絡安全威脅的客觀存在。當行業(yè)人員在享受著信息網(wǎng)絡給日常辦公帶來便利性的同時，信息網(wǎng)絡安全問題也日漸突出，信息網(wǎng)絡安全建設形勢日益嚴峻。結(jié)合地市煙草實際情況分析總結(jié)（某地市煙草信息網(wǎng)絡安全結(jié)構(gòu)圖如下），以及筆者日常的實際工作體會，主要可以總結(jié)出當前地市煙草信息網(wǎng)絡安全建設還主要存在著以下幾方面問題：

（一）將信息網(wǎng)絡安全建設理解為單純的安全設備采購

經(jīng)過多年的信息化網(wǎng)絡安全建設投入，一種簡單的理念容易令一些行業(yè)信息化工作從業(yè)者產(chǎn)生誤解，即所謂的信息網(wǎng)絡安全建設就是網(wǎng)絡安全設備的采購，只要網(wǎng)絡安全設備采購部署到位，信息網(wǎng)絡安全便高枕無憂，從一定角度來說，這種觀點并沒有錯誤，隨著信息技術的發(fā)展，日益先進強大的網(wǎng)絡安全設備層出不窮，人性化的操作界面也使得設備使用與配置變得不再困難，對信息網(wǎng)絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數(shù)量，網(wǎng)絡安全隨著安全設備的增加看起來已經(jīng)不再是問題。但實際情況是這樣嗎？在實際情況中我們?nèi)匀粫l(fā)現(xiàn)，地市煙草在重視網(wǎng)絡安全設備采購的時卻較為忽視對網(wǎng)絡安全設備采購的前期規(guī)劃，導致亟需網(wǎng)絡設備沒有得到采購，或者采購的安全設備沒有得到很好的實施。造成重復投資及資產(chǎn)浪費的局面，同時設備上線實施后期的運行維護及更新升級，隨著時間的流逝，人為的懈怠與忽視，都導致購買的安全設備沒有起到最大的作用。

（二）信網(wǎng)絡安全建設偏重技術鉆研，忽略日常管理

信息網(wǎng)絡安全不能完全依賴技術手段來解決，更多的需要從信息安全日常管理上入手，畢竟信息網(wǎng)絡的使用者是人，只有對人的管理到位，才能保證在技術手段搭建的網(wǎng)絡安全保障平臺下不出現(xiàn)人為操作引發(fā)的漏洞。當前地市信息化工作從業(yè)者在對信息安全技術鉆研方面投以了很大的熱情，但對信息網(wǎng)絡安全日常管理方面卻顯得無能為力，或者說掌控能力還不夠，雖然制定并頒布了涵蓋網(wǎng)絡安全各方面的信息化制度，但相關制度卻沒有得到很好的貫徹執(zhí)行，很多制度名存實亡，而行業(yè)各級員工良好信息網(wǎng)絡安全使用習慣始終沒有得到養(yǎng)成，信息安全問責機制得不到很好實施，同時而信息中心作為相關信息安全管理制度的制定者，受限于部門職能及自身管理水平所限，導致對制度執(zhí)行的監(jiān)督管理能力低下。而在信息網(wǎng)絡安全管理不力的情況下，致使再強大的技術防護都無法避免管理缺失形成的隱患。

（三）信息網(wǎng)絡安全建設重視對外防護，忽視對內(nèi)防護

當前網(wǎng)絡安全建設更多的針對外來攻擊的防護，而忽視對內(nèi)的安全防護，更多的是在網(wǎng)絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問，而針對內(nèi)部終端用戶的審計及跟蹤則較為缺失。根據(jù)統(tǒng)計結(jié)果標明，99.9%的網(wǎng)絡安全事件來源于網(wǎng)絡內(nèi)部，而只有0.1%安全事件來自于外部，絕大多網(wǎng)絡安全事件來自于以內(nèi)部客戶端為跳板進行的網(wǎng)絡攻擊。當企業(yè)內(nèi)部存在有惡意的攻擊者，他們就能較好的規(guī)避防火墻等安全設備的安全策略，并把安全策略轉(zhuǎn)向?qū)τ谒麄冇欣囊幻?，對?nèi)部網(wǎng)絡進行攻擊。同時外部的黑客，也能通過木馬，能讓內(nèi)部用戶運行他們指定的程序，操縱主機，竊取數(shù)據(jù)，這些都源于當前的信息網(wǎng)絡建設對來自網(wǎng)絡內(nèi)部攻擊防護較為薄弱，同時對內(nèi)部網(wǎng)絡準入控制把控力度做得較為不足，雖部署有桌面終端管理系統(tǒng)，但在相應策略部署上，沒有及時到位，而該系統(tǒng)特殊的技術阻斷方式，也在一定程度容易導致其阻斷率無法達到100%。

（四）網(wǎng)絡安全建設應急機制不健全

目前地市信息網(wǎng)絡安全建設更多的是重視的日常安全巡檢等日常檢查工作，但是對網(wǎng)絡突發(fā)事件的應急處置則較為欠缺，地市網(wǎng)絡安全建設應急機制建立不健全，缺乏相應網(wǎng)絡事故應急預案及相關演練，對突況的應變不熟練，導致出現(xiàn)突發(fā)的網(wǎng)絡安全事故時則會變得手忙腳亂，無法很好應對突發(fā)事件帶來的異常，促使事故造成的損失愈發(fā)嚴重，同時沒有良好的容災備份機制，一旦信息安全事故發(fā)生，是否能快速有效的恢復關鍵數(shù)據(jù)成為疑問。

二、針對當前網(wǎng)絡安全建設現(xiàn)狀的一些建議

針對當前地市煙草信息網(wǎng)絡安全建設過程中存在的問題，通過一定的分析總結(jié)，參照最新的技術規(guī)范及管理理念，以及上級的制度規(guī)定，我們試提出以下幾條改進建議，以達到全面提升信息網(wǎng)絡安全建設實用性、科學性、全面性、穩(wěn)定性的效果，具體如下：

（一）加強網(wǎng)絡安全設備采購的前期規(guī)劃及合理配置實用

網(wǎng)絡安全設備的采購應加強前期規(guī)劃及需求分析工作，不能無目的，無原則的一味追求高新設備，當前的現(xiàn)狀是各地市對網(wǎng)絡安全的設備采購均存在著檔次及匹配性問題，存在過大及追高的弊病，形成投資浪費，同時由于項目管控能力較弱，前期規(guī)劃不足，購置的設備在配置實施后等不到很好的使用，或起不到原先預想的效果。因此要加強項目前期規(guī)劃，做好需求調(diào)研與需求分析工作，對網(wǎng)絡安全設備應起到的效果及采購設備級別有準確的預估，加強采購項目的整體實施管控，并重點關注設備采購后的實施上線工作，做好安全策略的制定和部署，要充分利用設備、活用設備，充分達到應起的效用，在設備正式上線運行后，要做好安全防護策略的及時更新與修訂，作好安全設備的日常巡檢工作，保證安全設備始終發(fā)揮作用，而不是上線運行一段時間后就閑置不管。通過對購置網(wǎng)絡安全設備活用、善用，提升資產(chǎn)投資價值，搭建堅固穩(wěn)妥信息網(wǎng)絡安全環(huán)境，促進信息網(wǎng)絡安全建設的實用性。

（二）建立完善的信息網(wǎng)絡安全日常管理體系

加強網(wǎng)絡安全建設的日常管理工作，應以培養(yǎng)員工的良好的網(wǎng)絡安全習慣為工作重點。所謂信息網(wǎng)絡安全建設“三分技術，七分管理”，管理到位，信息網(wǎng)絡安全建設也將事半功倍。一味單純的依靠技術進行網(wǎng)絡安全防護，而管理上存在漏洞，再強大的技術也將一無所用。好的技術，加上完善嚴密的管理，才能確保信息網(wǎng)絡安全、堅固、穩(wěn)妥。因此要注重建立完善信息安全管理保障體系，加強安全監(jiān)管和信息安全等級保護工作，要對網(wǎng)絡設備的安全性和信息安全專用產(chǎn)品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時，要與接入網(wǎng)內(nèi)的計算機終端使用者簽訂信息安全責任狀，樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念，嚴格落實信息安全責任制，確保員工不敢輕易觸碰信息安全底限，養(yǎng)成良好信息網(wǎng)路安全使用習慣。通過建立全面多級信息網(wǎng)絡安全管理體系，增進信息網(wǎng)絡建設的科學性。

（三）加強信息網(wǎng)絡安全建設對內(nèi)防護工作

地市公司目前均在互聯(lián)網(wǎng)出口及邊界架設了硬件防火墻等安全設備，但由于防火墻的特殊技術架構(gòu)，其對內(nèi)部通過防火墻外部的數(shù)據(jù)是不進行檢測的，這就導致黑客可以利用內(nèi)網(wǎng)主機上的后門程序，建立隱蔽信道，攻破防火墻，因此其在抵御外部攻擊上起到較好作用，但面對來自網(wǎng)絡內(nèi)部的攻擊就顯得束手無策，針對這一情況，在進行信息網(wǎng)絡安全建設的同時，應重點加強信息網(wǎng)絡安全的內(nèi)部防護工作，而加強對客戶端的上網(wǎng)行為審計及網(wǎng)絡準入控制，就成了加強信息網(wǎng)絡內(nèi)部安全建設的必然選擇。客戶端接入網(wǎng)絡的同時，通過對其安全狀況及授權(quán)情況進行檢測，只有安全狀況符合要求，得到合理授權(quán)的客戶端才能正常接入辦公網(wǎng)絡。應在互聯(lián)網(wǎng)出口處，防火墻之前，部署上網(wǎng)行為管理設備，對客戶端出互聯(lián)網(wǎng)的數(shù)據(jù)進行檢測及篩選，降低客戶端進行危險的互聯(lián)網(wǎng)訪問，感染病毒，遭受攻擊的分險。通過加強信息網(wǎng)絡安全建設的內(nèi)部防護，提升信息網(wǎng)絡安全的全面性。

（四）加強信息網(wǎng)路安全建設應急機制建設及演練

要加強信息網(wǎng)絡安全建設的應急機制建設，加強應急預案的實施演練，增強對網(wǎng)絡安全突發(fā)事件的應急處理能力。每年應進行定期仿真度高的應急方案演練，模擬網(wǎng)絡安全事故發(fā)生時可能發(fā)生的情況，進行針對性演習。在方案演練前，要做好演練前期的方案策劃，演練過程的完全記錄，演練過后的總結(jié)分析工作。并以此來不斷改進現(xiàn)有的應急預案。同時應做好容災備份工作，進行關鍵網(wǎng)絡設備的冗余配置及重要數(shù)據(jù)庫的備份工作，確保發(fā)生突發(fā)事件后，能夠及時進行網(wǎng)絡及數(shù)據(jù)恢復工作，將突發(fā)事件帶來的影響降到最低，不過多的影響正常辦公業(yè)務的開展，確保信息網(wǎng)絡安全的穩(wěn)定性。

四、結(jié)束語

煙草是個比較特殊的行業(yè)，在專賣體制下實行“統(tǒng)一領導?垂直管理?壟斷經(jīng)營”，處于一種行政限產(chǎn)型的壟斷狀態(tài)。行業(yè)的特殊性要求我們必須克服特殊體制帶來的缺陷，高效的開展行業(yè)信息化建設工作。地市信息網(wǎng)絡安絡，作為全省信息網(wǎng)絡的組成部分，其信息安全建設水平?jīng)Q定了全省信息網(wǎng)絡安全性與穩(wěn)定性，其重要性不言而喻，只有重視信息網(wǎng)絡安全建設，重視當前信息網(wǎng)絡安全建設過程中發(fā)現(xiàn)的問題，通過科學的規(guī)劃，合理的布局，周密的實施，去逐漸改變當前的不利局面，才能確保信息網(wǎng)絡安全建設的科學性、全面性、穩(wěn)定性與實用性，確保日常信息網(wǎng)絡的平穩(wěn)運轉(zhuǎn)，為全行業(yè)的快速發(fā)展提供穩(wěn)定強大的信息化助力！

參考文獻：

[1]福建省煙草公司.計算機網(wǎng)絡建設與管理規(guī)范[Z].2012.

[2]盧昱，王宇.信息網(wǎng)絡安全控制[M].北京：國防工業(yè)出版社，2011.

第3篇：公司信息安全建設范文

關鍵詞： 縣級供電企業(yè)；信息網(wǎng)絡；安全體系；安全建設

中圖分類號：C29 文獻標識碼：A 文章編號：

前言

隨著電力信息網(wǎng)的互聯(lián)和完全溶進Internet，電力信息網(wǎng)絡面臨日益突出的信息系統(tǒng)安全問題。國家電力產(chǎn)業(yè)體制開始向市場轉(zhuǎn)變，各級供電企業(yè)紛紛建立信息系統(tǒng)和基于Internet的管理應用，以提高勞動生產(chǎn)率，提高管理水平，加強信息反饋，提高決策的科學性和準確性，提高企業(yè)的綜合競爭力。目前我國電力企業(yè)網(wǎng)絡安全建設的發(fā)展很不平衡，總體來看，存在以下薄弱環(huán)節(jié)。因此，必須采取更加科學有效的方法和思路，加快縣級供電企業(yè)網(wǎng)絡建設及網(wǎng)絡安全建設的步伐。

1 縣級供電企業(yè)信息網(wǎng)絡安全防范體系概述

1.1 安全策略

總的來說，其基本策略包括網(wǎng)絡系統(tǒng)的防護策略、對主機的防護策略、對郵件系統(tǒng)的防護策略、對終端的防護策略、對數(shù)據(jù)安全的防護策略以及建立集中控制平臺等。

1.2 安全技術

從技術的層面上，則是通過采用包括建設安全的主機系統(tǒng)和安全的網(wǎng)絡系統(tǒng)，同時配備適當?shù)陌踩a(chǎn)品的方法來實現(xiàn)，其包括了病毒防護、訪問控制、入侵檢測、漏洞掃描、數(shù)據(jù)加密、數(shù)據(jù)備份以及身份認證等這些方面。

1.3 安全培訓

通過在線模擬考試功能和題庫，實現(xiàn)對培訓記錄、培訓師資隊伍、培訓資料以及考試成績的電力化管理，并對培訓結(jié)果進行在線統(tǒng)計分析。

2 縣級供電企業(yè)信息網(wǎng)絡整體安全建設

2.1 物理層安全建設

物理層安全建設主要保護的是通信線路、物理設備以及機房的安全等三大方面。從技術上，可以進行對設備的備份、防災害和防干擾的能力、設備的運行環(huán)境的調(diào)配以及保持電源的正常使用等這些方面。

2.2 網(wǎng)絡層安全建設

網(wǎng)絡層安全建設所指的是網(wǎng)絡方面的安全性建設，它可以通過實行身份認證、訪問控制、數(shù)據(jù)的完整性和保密性、域名系統(tǒng)及路由系統(tǒng)的安全、入侵檢測及防火墻等技術來實現(xiàn)。

2.3 系統(tǒng)層安全建設

系統(tǒng)層安全建設所指的是在進行網(wǎng)絡使用時，關于操作系統(tǒng)安全的建設。對于系統(tǒng)自身而引起的系統(tǒng)漏洞可以通過身份認證、訪問控制、系統(tǒng)漏洞修復等手段來進行。

2.4 用戶層安全建設

用戶層安全所指的是對用戶使用的過程中所存在的安全建設。用戶層安全技術包括分組管理、單口令的登錄的方式及用戶身份認證等主要方面。

2.5 管理層安全建設

管理層安全建設主要是通過供應商使用應用軟件和數(shù)據(jù)的安全性的建設，包括對Web服務、電子郵件系統(tǒng)、DNS等方面進行優(yōu)化。此外，還包括病毒對系統(tǒng)的威脅。

2.6 數(shù)據(jù)層安全建設

首先應考慮對應用系統(tǒng)和數(shù)據(jù)進行備份和恢復措施，應用系統(tǒng)的安全涉及到數(shù)據(jù)庫系統(tǒng)的安全，數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)，如果數(shù)據(jù)管理系統(tǒng)安全機制非常強大，則數(shù)據(jù)庫系統(tǒng)的安全性就較好。

在以上的各個層面上，每個層面都應該有不同的技術來達到相應的安全保護。如表1所示。

表1 根據(jù)安全層面技術來進行縣級供電公司信息網(wǎng)絡整體安全建設

3 縣級供電企業(yè)如何有效進行信息網(wǎng)絡安全體系建設

（1）整合現(xiàn)有系統(tǒng)，實現(xiàn)生產(chǎn)實時信息與管理信息的集成，建立電網(wǎng)信息一體化平臺?？此坪唵蔚臄?shù)據(jù)交換和信息共享，由于沒有統(tǒng)一的信息平臺，形成企業(yè)信息化發(fā)展的瓶頸?？h級供電企業(yè)以后的重點工作是整合、集成現(xiàn)有的各子信息系統(tǒng)，搭建統(tǒng)一的運行平臺，規(guī)范、整理、合并各種基礎數(shù)據(jù)，逐步建立集中、統(tǒng)一、開放式中心數(shù)據(jù)庫，實現(xiàn)各信息系統(tǒng)的無縫連接。對縣級供電企業(yè)網(wǎng)絡來講，網(wǎng)絡整體穩(wěn)定性要求非常高，網(wǎng)絡應該提供多種冗余備份的方式，確保業(yè)務的連續(xù)。在縣局網(wǎng)絡平臺搭建好之后，這要考慮到未來系統(tǒng)的擴展性?？h級供電企業(yè)的信息化建設是一項復雜的系統(tǒng)工程，只有以企業(yè)效益為核心，通過構(gòu)建統(tǒng)一的信息化基礎平臺，部署企業(yè)一體化應用系統(tǒng)，才能適應縣域經(jīng)濟發(fā)展，滿足人民群眾對電力的需要，才能提高企業(yè)的核心競爭力，才能信步于未來的信息化發(fā)展之路。并以信息化帶動企業(yè)內(nèi)部管理機制的改革，實現(xiàn)機制創(chuàng)新、管理創(chuàng)新、技術創(chuàng)新，努力發(fā)揮信息化對企業(yè)可持續(xù)發(fā)展的支撐作用。

（2）運用現(xiàn)代網(wǎng)絡技術，構(gòu)建技術先進、穩(wěn)定可靠的信息化通道。網(wǎng)絡安全裝置、服務器、PC機等不同種類配置不斷出新的發(fā)展。信息安全技術管理方面的人才無論是數(shù)量還是水平，都無法適應企業(yè)信息安全形勢的需要。隨著電力體制改革的不斷深化，計算機網(wǎng)絡系統(tǒng)網(wǎng)絡上將承載著大量的企業(yè)生產(chǎn)和經(jīng)營的重要數(shù)據(jù)。因此，保障計算機網(wǎng)絡信息系統(tǒng)安全、穩(wěn)定運行至關重要，通?？梢圆扇⌒碌募夹g，如桌面安全管理系統(tǒng)等對終端行為進行管理，從而保證整個內(nèi)網(wǎng)的可信任和可控制。目前，大部分病毒是通過計算機系統(tǒng)的漏洞來進行肆意的傳播，為此，對于計算機系統(tǒng)的供應商而言，應該要對大部分的漏洞進行及時地提供相應的補丁系統(tǒng)，而對于使用者而言，則需要通過不斷地更新服務的系統(tǒng)來進行對系統(tǒng)的更新。

（3）加強技術和應用培訓，為發(fā)展縣級供電企業(yè)信息化建設提供基礎保障。先進的管理方式對員工素質(zhì)提出了更高的要 求，推行信息化建設不但要有“科技興企、人才先行”的觀念，而且還需要既懂電力知識又懂信息技術的人才。管理信息系統(tǒng)的生命力很大程度上取決于應用。信息化建設既是階段性工程又是一種長期行為，對待信息化建設要有長遠眼光，動態(tài)地考慮和評價信息化建設問題，不能只看到眼前利益，急于求成。

（4）加強信息制度和信息化安全建設，為縣級供電企業(yè)信息化的建設提供根本保證。信息安全不僅要考慮到從安全問題的角度來進行分析，從而提出各個層面的安全保障，為此，信息安全它包括的是策略、技術以及管理的安全體系。供電企業(yè)在實現(xiàn)網(wǎng)絡信息安全的有效途徑的時候，需要從技術的層面以及管理的良好配合才得以實現(xiàn)，從而才能為縣級供電企業(yè)信息化的建設提供根本性的保證。

4、結(jié)束語

電力企業(yè)的各個業(yè)務對網(wǎng)絡的依賴性越來越強，對信息網(wǎng)絡安全性的要求也越來越高，電力系統(tǒng)信息網(wǎng)絡安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營和管理的重要組成部分。電力企業(yè)必須運用現(xiàn)代網(wǎng)絡技術，加強信息制度和信息化安全建設，確保信息系統(tǒng)的安全運行，為企業(yè)的安全生產(chǎn)提供有力的保證，從而打造更加穩(wěn)固堅強的管理技術支撐平臺。

參考文獻：

[1]徐偉鋒、張虹、李莉.構(gòu)建電力企業(yè)的網(wǎng)絡信息安全[J].陜西電力,2007

[2]王廣河，縣級供電公司信息網(wǎng)絡的安全風險與防護策略[J].電力安全技術，2008

第4篇：公司信息安全建設范文

通過安全認證

隨著國航信息系統(tǒng)建設的飛速發(fā)展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環(huán)節(jié),并納入公司和信息管理部2008年重點工作之中。國航信息安全規(guī)劃咨詢項目就是在奧運安保和國航信息系統(tǒng)跨越式發(fā)展的大背景下立項建設的,它旨在為國航信息安全體系建設打下堅實的理論基礎。

國航也是通過這個項目完成了未來3~5年信息安全建設的發(fā)展規(guī)劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認證,使國航成為國內(nèi)首家通過此國際認證的航空企業(yè),進一步提升了公司的綜合競爭實力。

記者了解到,ISO 27001是國際信息安全領域的重要標準,它的前身源自英國標準協(xié)會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標準 BS 7799,經(jīng)修訂后,于2005年10月15日作為國際標準ISOIEC 27001/2005。該標準基于風險評估的風險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統(tǒng)地持續(xù)改進安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權(quán)威認證機構(gòu)的現(xiàn)場審核,具備了獲取ISO 27001信息安全管理體系國際認證的條件。

在國航發(fā)展戰(zhàn)略中,信息安全占有非常重要的位置,幾乎所有業(yè)務都與信息技術相關,特別是涉及到飛行安全、客戶信任度的商務及財務方面信息等,都需要信息安全管理體系這張保護網(wǎng)的保障,在這種發(fā)展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業(yè)務不中斷、核心系統(tǒng)不被攻擊、客戶信息不泄露為信息安全愿景目標,

中國國際航空股份有限公司信息管理部總經(jīng)理劉東說,國航有幾百個系統(tǒng)每天運營著國航所有的正常航線、飛機維護、機組人員的管理、人員的編排,還有財務的收益管理,以及訂座系統(tǒng)、離崗系統(tǒng)、網(wǎng)絡收益系統(tǒng)。對于航空公司來講,每個系統(tǒng)都不能失控,也不能出問題。

安全蹺蹺板

曾經(jīng)主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設的一些建設成果時表示,“信息安全的體系是一個很復雜的體系,我們在業(yè)界經(jīng)常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎結(jié)構(gòu)的基礎上,包括三方面內(nèi)容:一是技術平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執(zhí)行,去構(gòu)成信息安全體系?！?/p>

國航信息管理部技術管理辦公室高級經(jīng)理李宗琦表示,如果沒有信息安全管理體系這張保護網(wǎng),應該說國航的飛行安全可能也無法得到保障。

第一要保證國航的核心業(yè)務不中斷,第二要保證國航信息系統(tǒng)不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業(yè)務愿景的目標實現(xiàn)保駕護航。

第5篇：公司信息安全建設范文

作為一個大型的金融企業(yè)，中國長城資產(chǎn)管理公司（以下稱長城資產(chǎn)管理公司）深知信息技術和網(wǎng)絡技術對公司發(fā)展的重要性，公司總部與各省分支機構(gòu)之間已經(jīng)有2M鏈路相連，總部與各省分支機構(gòu)均與Internet連接。

“雙刃劍”困擾公司發(fā)展

隨著金融科技的發(fā)展，現(xiàn)代金融企業(yè)的業(yè)務開展越來越依賴于網(wǎng)絡。但網(wǎng)絡是一柄雙刃劍，在幫助公司發(fā)展業(yè)務的同時也帶來了一系列的安全問題。長城資產(chǎn)管理公司意識到網(wǎng)絡安全的重要性，并決定建立網(wǎng)絡安全體系。

長城資產(chǎn)管理公司總部的安全建設已經(jīng)部署了防火墻FW、防病毒AV、入侵檢測IDS和補丁管理系統(tǒng)。但各省分支機構(gòu)在安全建設方面幾乎是一片空白，技術力量弱，IT技術人員缺乏。

關注“短板”的建設

長城資產(chǎn)管理公司信息技術部安全處處長曾德超表示，長城資產(chǎn)管理公司的關鍵和核心數(shù)據(jù)存儲在總部，分支機構(gòu)的服務器沒有存儲重要數(shù)據(jù)。針對目前的這個現(xiàn)狀，把總部的安全建設作為工作重點的做法是比較可取的，也是比較經(jīng)濟的。但是分支機構(gòu)的安全建設與總部之間存在著嚴重的不平衡，這種不平衡會使總部的安全建設的成果和效果大打折扣。因為信息安全建設的總體效果不是取決于最堅固的環(huán)節(jié)，相反是取決于最薄弱的鏈條，這就是著名的“木桶原理”。因此，分支機構(gòu)的基本安全保障建設就顯得尤為重要。

細粒度的訪問控制、病毒和蠕蟲的防護以及總部與分支機構(gòu)之間數(shù)據(jù)的加密傳輸和身份認證等等，都是來自分支機構(gòu)的安全需求，因此對于分支機構(gòu)來講，選擇一種包含防火墻、VPN和病毒防護等多種功能的安全產(chǎn)品，即UTM（統(tǒng)一威脅管理）是滿足上述要求的最佳解決方案。

長城資產(chǎn)管理公司總部與分支機構(gòu)之間通過單一鏈路很容易出現(xiàn)單點故障，因此，需要增加冗余鏈路作為備份。另外，就當前網(wǎng)絡現(xiàn)狀和應用功能，該公司的安全建設和管理，比較適合采用總部統(tǒng)一安全管理策略，對分支機構(gòu)進行集中管理的方式。

經(jīng)過仔細的調(diào)研和分析之后，長城資產(chǎn)管理公司決定實施如下的安全戰(zhàn)略：采用集中管理策略，并使用UTM產(chǎn)品 ，在公司總部和各個分支機構(gòu)進行統(tǒng)一部署。

一方面，集中管理可以從最大程度上節(jié)約公司的安全成本，特別是安全管理成本。同時利于總部及時掌握各個分支機構(gòu)的安全狀況，對整個公司的安全狀況了然于心，也便于進行安全檢查和安全審計。

另一方面，選擇UTM產(chǎn)品進行統(tǒng)一實施，可順利解決分支機構(gòu)的基本安全保障問題，在所有的分支機構(gòu)全部部署UTM產(chǎn)品，一攬子解決所有分支機構(gòu)的安全問題。此外，UTM產(chǎn)品具有如下功能上和管理上的優(yōu)勢：支持點對點VPN連接，實現(xiàn)集中式管理；建立總部與各省分支機構(gòu)之間的VPN連接，作為現(xiàn)有專線的備份鏈路；保護各省分支機構(gòu)免受來自Internet的惡意攻擊或者蠕蟲/病毒感染；實現(xiàn)移動用戶的安全接入；實現(xiàn)統(tǒng)一威脅管理，構(gòu)成立體防御體系，避免多種安全產(chǎn)品各自為政，條塊分割等。

擇UTM鑄造網(wǎng)絡長城

“長城資產(chǎn)管理公司對市場上的多功能安全網(wǎng)關產(chǎn)品進行逐一比較和分析后，最終選擇了天清漢馬多功能安全網(wǎng)關，它集成了多種強大的功能，不僅提供防火墻、病毒過濾功能，還提供TCP技術防范拒絕服務攻擊、連接數(shù)限制、靈活的策略路由、AAA認證、準確的BT封鎖功能及完備的NAT功能等，能夠很好地滿足長城資產(chǎn)管理公司的安全需求。” 曾德超如是說。

該項目實施后，長城資產(chǎn)管理公司總部與各分支機構(gòu)IT系統(tǒng)的安全性得到大大加強，公司運營效率和管理效率也得到了很大的提高。

編輯點評：現(xiàn)代金融企業(yè)的業(yè)務開展越來越依賴于網(wǎng)絡已是不爭的事實，而與之相應的安全問題亦越來越突出。對金融行業(yè)來說，安全問題往往是致命的，網(wǎng)絡安全的建設任重而道遠!

?業(yè)界動態(tài)?

McAfee發(fā)現(xiàn)第20萬個惡意威脅

McAfee 近期宣布McAfee Avert實驗室把第10萬個威脅添加到其2004年9月份的數(shù)據(jù)庫當中，并已經(jīng)發(fā)現(xiàn)第20萬個惡意威脅。 （李）

SONICWALL公布UTM設備市場報告

7月25日，SonicWALL宣布連續(xù)第五季度保持全球統(tǒng)一威脅管理（UTM）安全設備市場領導地位。根據(jù)今年7月IDC的全球安全設備跟蹤報告，于第一季度SonicWALL在銷售數(shù)量和工廠營收方面處于總體領導地位。 （剛）

聯(lián)想網(wǎng)御開啟全國技術巡禮

近日，聯(lián)想網(wǎng)御正式在廣州開啟主題為“藍?！钡摹?006年聯(lián)想網(wǎng)御全國技術巡禮”。本次巡禮歷時3個多月，覆蓋了包括華東、華南、西北等在內(nèi)的全國上百個城市，是目前業(yè)界覆蓋范圍最大的一次信息安全技術巡禮。 （何）

第6篇：公司信息安全建設范文

長期以來，中國大多數(shù)企業(yè)的信息安全建設遵循“木桶理論”，但實踐證明，在企業(yè)信息安全領域應用木桶理論仍存在一定缺陷，很難實現(xiàn)“標本兼治”。企業(yè)信息安全應從安全策略、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心，管理、技術、運維三者有機結(jié)合，又相互支撐。三者之間的關系為“根據(jù)管理體系中的策略，由相關組織或人員，利用技術體系作為工具和手段，進行操作來維持運行體系”。在建立信息安全體系的過程中，可采用ISO27001：2005所述的“過程方法”，即將“規(guī)劃（Plan）－實施（Do）－檢查（Check）－處置（Act）”（PDCA）四個步驟。

2安全策略

信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求，結(jié)合企業(yè)實際情況和管理要求，制訂企業(yè)信息安全防護的建設方針和基本要求，對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則，是信息化“建、管、用”各項工作和各個環(huán)節(jié)必須遵守的安全規(guī)則，也是針對每個系統(tǒng)和設備制訂分項安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型，按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全管理方式。管理體系架構(gòu)可分為四層，最高層為企業(yè)信息安全總體策略，為下面的各項分策略和具體的規(guī)章制度提供指導。第二層為企業(yè)信息安全組織體系，作用在于指導實施安全體系，制定安全的相關標準和方針，監(jiān)管安全事件等。組織體系須設立專門的管理機構(gòu)，配備相應的安全管理人員，明確主管領導，落實部門責任，各盡其職。第三層為根據(jù)總策略，對信息安全涉及的各方面制定有針對性的分項策略，為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。

4安全技術

第7篇：公司信息安全建設范文

至去年“棱鏡門”事件后，國內(nèi)連續(xù)爆出一系列數(shù)據(jù)泄密事件：如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露、搜狗手機輸入法漏洞、315晚會上央視也曝光了二維碼等網(wǎng)銀支付的安全漏洞，近日又曝光攜程用戶信息泄露，導致信用卡被盜刷的惡性事件，再次讓互聯(lián)網(wǎng)用戶數(shù)據(jù)安全成為關注焦點。為企業(yè)在數(shù)據(jù)防泄密建設方面敲響警鐘。

據(jù)烏云平臺披露：攜程將用于處理用戶支付的服務接口開啟了調(diào)試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調(diào)試信息可被任意駭客讀取。這些信息包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼和6位Bin。

根據(jù)CNNIC最新數(shù)據(jù)顯示，2013年因網(wǎng)上數(shù)據(jù)泄露發(fā)生的安全問題涉及的網(wǎng)民數(shù)占整體上網(wǎng)人數(shù)的4.0%以上，影響人數(shù)達2010.6萬人。其中，個人信息泄露比例達42.9%，賬號密碼被盜比例達23.8%。在享受互聯(lián)網(wǎng)與手機帶來的便捷之時，人已經(jīng)“透明”了。層出不窮的新型騙術、花樣翻新的黑客木馬，無一不在拷問著網(wǎng)絡數(shù)據(jù)安全問題?！皠?chuàng)新永遠伴隨著風險，相關機構(gòu)應提高自身安全技術業(yè)務；同時，希望更多宣傳和普及用戶安全意識教育?！蹦郴ヂ?lián)網(wǎng)公司首席知識管理專家趙煥焱強調(diào)。在他看來，幾乎每次數(shù)據(jù)泄露的安全事件都是對商業(yè)公司的督促，而各個商業(yè)公司的安全意識也在逐漸加強。

事實上，目前，政府、企業(yè)等各方面都已經(jīng)認識到信息安全建設的重要性和緊迫性。怎樣避免數(shù)據(jù)泄密風險成為每位CIO迫切希望解決的問題。從眾多數(shù)據(jù)泄密事件看，數(shù)據(jù)泄密途徑主要有數(shù)據(jù)非授權(quán)使用、內(nèi)部人員有意或無意泄密、離職雇員盜取信息及第三方合作人員數(shù)據(jù)竊取、數(shù)據(jù)被隨意拷貝等。從本質(zhì)上講，數(shù)據(jù)加密技術是確保數(shù)據(jù)安全的治本之法，核心信息資產(chǎn)只用通過加密技術實現(xiàn)權(quán)限管理：知道核心數(shù)據(jù)哪些人能看，在哪兒能看，看的環(huán)境是否安全，才能建立完善的數(shù)據(jù)安全管理體系，實現(xiàn)對數(shù)據(jù)的安全管控。采用多種加密技術，結(jié)合用戶身份和權(quán)限控制等技術實現(xiàn)對數(shù)據(jù)全生命周期的安全管理。構(gòu)建以信息防泄密為核心的數(shù)據(jù)安全管理體系。對數(shù)據(jù)產(chǎn)生、交換、使用和存儲全生命周期實現(xiàn)權(quán)限控制和安全管理，讓核心信息牢牢掌握在內(nèi)部，從而保護信息資產(chǎn)安全。

聯(lián)系到中央網(wǎng)絡安全與信息化領導小組成立，全國兩會上信息安全焦點問題備受關注都充分說明國家信息安全建設高度重視。大數(shù)據(jù)時代，信息資產(chǎn)成為企業(yè)發(fā)展的命脈，如果數(shù)據(jù)信息被泄密，后果將不堪設想。（姜姝）

第8篇：公司信息安全建設范文

【關鍵詞】電力；信息系統(tǒng)；信息安全；等級保護

隨著科學技術的快速提高，我國的信息化發(fā)展迅速，信息化在各行各業(yè)都得到廣泛應用。城市電網(wǎng)是經(jīng)濟社會發(fā)展的重要基礎設施，是能源產(chǎn)業(yè)鏈的重要環(huán)節(jié)。隨著信息、通信技術的廣泛應用，智能化已成為世界電網(wǎng)發(fā)展的新趨勢。電力企業(yè)網(wǎng)絡建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制，保障信息化建設的健康發(fā)展。然而目前我國電網(wǎng)的信息安全等級保護政策的實施處于初步進行階段，還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與，為保障信息安全盡最大的努力。同時伴隨著計算機技術的發(fā)展，信息安全等級保護技術和水平也要不斷優(yōu)化升級，確保能夠及時解決安全保護中遇到的問題，讓信息安全等級保護政策的實施暢行無阻。

1 電力信息安全等級保護

信息系統(tǒng)等級保護制度是我國信息安全領域一項重要政策，信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理。根據(jù)信息系統(tǒng)實用業(yè)務重要程度及其安全實際需求，實行分級、分類、分階段實施保護，保障信息安全和系統(tǒng)安全穩(wěn)定運行，維護國家利益、公共利益和社會穩(wěn)定，等級保護的核心是對信息系統(tǒng)特別是對業(yè)務應用系統(tǒng)安全分等級、按標準進行建設、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術規(guī)范逐級加強監(jiān)管力度，保障重要信息資源和重要信息系統(tǒng)的安全。

1.1 等級保護定級

信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度，其中等級保護對象受到破壞時所侵害的客體包括三方面：公民、法人和其他組織的合法權(quán)益，社會秩序、公民利益，國家安全。等級保護對象受到破壞后對客體造成侵害的程度分為三種：一般損害，嚴重損害，特別嚴重損害。定級要素與信息系統(tǒng)定級的關系見下表所示。

1.2 基本要求與主要流程

等級保護的基本要求是：各基礎信息網(wǎng)絡和重要信息系統(tǒng)，按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作。公安機關和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。等級保護的主要流程包括6項內(nèi)容。

（1）自主定級與審批：信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的，應當經(jīng)上級主管部門審批?？缡』蛉珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。

（2）評審：在信息系統(tǒng)確定安全保護等級過程中，可以組織專家進行評審。對擬確定為第4級以上信息系統(tǒng)的，運營使用單位或主管部門應當邀請國家信息安全等級專家評審委員會評審。

（3）備案：第2級以上信息系統(tǒng)定級單位到所在地的市級以上公安機關辦理備案手續(xù)。

（4）系統(tǒng)安全建設：信息系統(tǒng)安全保護等級確定后，運營使用單位按照慣例規(guī)范和技術標準，選擇管理辦法要求的信息安全產(chǎn)品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實信息安全管理制度。

（5）等級測評：信息系統(tǒng)建設完成后，運營使用單位選擇符合管理辦法要求的檢測機構(gòu)，對信息系統(tǒng)安全等級狀況開展等級測評。

（6）監(jiān)督檢查：公安機關依據(jù)信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對第3級以上的信息系統(tǒng)進行安全檢查。運營使用單位應當接受公安機關的安全監(jiān)督、檢查、指導，如實向公安機關提供有關材料。

2 電力信息系統(tǒng)等級保護工作開展

2.1 信息系統(tǒng)定級及審批

2007年7月，公安部、國家保密局、國家密碼管理局、國務院信息辦聯(lián)合下發(fā)《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號），按照有關工作要求，國家電力監(jiān)管委員會開展了電力行業(yè)等級保護定級工作，并印發(fā)《關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》（電監(jiān)信息[2007]34號），電力公司按照《國家電網(wǎng)公司信息系統(tǒng)安全保護等級定級指南（試行）》（信息技術[2007]60號）對公司信息系統(tǒng)進行定級，按照要求填寫定級報告和備案表，并報送國家電力監(jiān)管委員會組織評審和審批。主要涉及4個3級系統(tǒng)、11個二級系統(tǒng)，具體見表2。

2.2 信息系統(tǒng)等級保護備案

公司完成信息系統(tǒng)的定級工作后，開始對信息系統(tǒng)進行等級保護備案，認真填寫《信息系統(tǒng)安全等級保護備案表》，梳理完成所有資料準備后，于2011年向省公安廳提交了等級保護備案材料，最終公司15個管理信息系統(tǒng)完成了等級保護備案工作。

2.3 等級保護測評及整改工作

2011-2012年，按照國家電力監(jiān)管委員會要求，北京華電卓識信息安全測評技術中心相繼完成對公司電力市場交易系統(tǒng)、ERP系統(tǒng)、財務管理系統(tǒng)、營銷管理等15個系統(tǒng)的等級保護測評工作。

公司積極組織、協(xié)調(diào)、配合測評隊伍，遵循“流程規(guī)范、方法科學、結(jié)論公正”的原則，按照國家等級保護測評工作的有關標準、規(guī)范的要求，根據(jù)《電力行業(yè)信息系統(tǒng)安全等級保護要求（試行）》開展測評工作，公司信息系統(tǒng)等級保護測評符合率達到95%以上，順利通過了等級保護測評，但是測評中還是發(fā)現(xiàn)了部分問題，主要包括：

（1）網(wǎng)絡設備不具備雙因子驗證

根據(jù)國家《信息系統(tǒng)安全等級保護基本要求》規(guī)定，第2級以上（不含）信息系統(tǒng)網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別，按照此項基本要求，限于硬件條件，公司三級信息系統(tǒng)尚達不到安全防護要求。

（2）數(shù)據(jù)庫審計功能未開啟

根據(jù)國家《信息系統(tǒng)安全等級保護基本要求》規(guī)定，第2級及以上信息系統(tǒng)審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；系統(tǒng)不支持該要求的，應以系統(tǒng)運行安全和效率為前提。按照此項工作要求，公司部分系統(tǒng)未開啟數(shù)據(jù)庫審計功能，亦未部署第三方審計產(chǎn)品。

測評工作結(jié)束后測評人員對測評過程結(jié)果及以上問題進行了反饋，公司根據(jù)測評中發(fā)現(xiàn)的各類問題做好問題整改工作，確保公司信息系統(tǒng)安全穩(wěn)定運行。整改工作如下：

1）網(wǎng)絡設備未設置雙因子認證。對于不具備雙因子驗證條件的問題，公司正在加快建設統(tǒng)一數(shù)字認證系統(tǒng)，系統(tǒng)上線后可實現(xiàn)雙因子驗證。

2）數(shù)據(jù)庫審計功能未開啟。因開啟數(shù)據(jù)庫審計功能會對系統(tǒng)性能產(chǎn)生較大影響，公司近期計劃購置部署第三方審計產(chǎn)品。

3 結(jié)束語

電力公司近年來高度重視信息安全工作，信息安全等級保護工作卓有成效，通過落實信息安全等級保護制度，開展管理制度建設、技術措施建設、落實等級保護各項工作要求，使信息系統(tǒng)安全管理水平明顯提高，安全防護能力顯著增強，安全隱患和安全事故明顯減少，有效保障公司信息化工作健康發(fā)展，公司下一步工作重點應著手對等級保護測評發(fā)現(xiàn)的各項問題進行整改，保障公司網(wǎng)絡及信息系統(tǒng)安全穩(wěn)定運行。

參考文獻：

[1]王雪莉.淺談信息安全等級保護問題[J].數(shù)字技術與應用，2012.

[2]易振宇.電力信息系統(tǒng)等級保護實施淺談[J].信息安全與通信保密，2011.

第9篇：公司信息安全建設范文

關鍵詞:水利水電；網(wǎng)絡建設；信息技術

當今社會是一個經(jīng)濟飛速發(fā)展的社會，其中可以展現(xiàn)經(jīng)濟飛速發(fā)展的一個方面便是水利水電工程技術的發(fā)展。為了能夠滿足水利水電工程技術快速發(fā)展的要求，計算機技術被大量引用到水利水電工程設計的各個方面。計算機網(wǎng)絡技術可以很快的解決水利水電工程設計中的各種問題，并能夠根據(jù)實際情況，不斷的更新信息化進程，使得水利水電工程能夠真正地跟上世界的發(fā)展，為我國社會的發(fā)展添磚加瓦。但是計算機網(wǎng)絡建設依然需要通過增強保障措施來使其更加完善，更加符合時代的發(fā)展要求。尤其是應用到水利水電工程中以后，更是要對這些存在的問題加以重視才行，這樣才可以切實的保證我國水利水電事業(yè)在計算機技術的輔助下健康有序的發(fā)展下去。

1水利水電設計中計算機網(wǎng)絡建設的現(xiàn)狀

我國水利水電工程設計的發(fā)展經(jīng)歷了現(xiàn)代計算機技術的崛起時代，利用先進的科學技術手段取得了不可忽視的快速發(fā)展。其中將計算機網(wǎng)絡建設應用到水利水電工程設計中去，是一項具有劃時代意義的改進方案。計算機網(wǎng)絡建設在取得的成就之余，其實也難免還存在著很多問題，可以從以下兩個方面來具體分析當前計算機網(wǎng)絡建設在水利水電工程應用中的現(xiàn)狀：現(xiàn)在我們所取得的成效以及依然存在的一些亟待解決的問題。

1.1水利水電設計中計算機網(wǎng)絡建設已經(jīng)取得的成效

在研究這個已經(jīng)取得的成效過程中，我們還可以細致的分成3個方面進行討論：首先，著眼于計算機網(wǎng)絡建設發(fā)展原則方面來看，計算機網(wǎng)絡建設的發(fā)展年限已經(jīng)有一個很長期的基礎，并完美的建立了高效安全的以資源整合為主導的發(fā)展體系。其次，從基礎建設方面來看，現(xiàn)代社會筆記本電腦取得了大量的普及，這就保證了工作人員都能夠做到人手一機。并且現(xiàn)在的網(wǎng)絡光纖技術也非常成熟，確保網(wǎng)速能夠達到要求。最后，一些發(fā)展較好的技術軟件也已經(jīng)被廣泛的應用到了水利水電工程的設計中，確保了水利水電工程設計的高效和精準性。

1.2水利水電工程中計算機網(wǎng)絡建設依然存在的問題

通過研究人員對水利水電工程設計的深入研究，實際上我國的計算機網(wǎng)絡建設在取得了一些卓越的成效之余，還是存在著一些問題亟待解決的。首先，局域網(wǎng)的應用使得數(shù)據(jù)傳輸以及數(shù)據(jù)的共享都處在高效和安全的環(huán)境下進行，但是在兄弟部門或者是兄弟單位中，局域網(wǎng)的共享性就被大大降低了，那不可避免的就降低了資源的共享性。其次，在網(wǎng)絡建設中暴露出來的第二個問題是數(shù)據(jù)的儲存問題。在很多水利水電工程公司內(nèi)部，數(shù)據(jù)的儲存依然是以紙質(zhì)版資料為主。紙質(zhì)版資料在保存上本身就很難，容易被各種不良環(huán)境損壞；除此之外，紙質(zhì)版資料儲存的太多了，再查詢時就會很麻煩，還會占據(jù)很大的空間。而電子版的資料，儲存在電腦或者硬盤中，如果技術上有漏洞，就會出現(xiàn)數(shù)據(jù)的丟失，甚至泄露極為重要的資料的情況。

2水利水電設計中計算機網(wǎng)絡的保障措施

在計算機網(wǎng)絡建設的過程中，存在著很多優(yōu)勢，但也有很多明顯的問題。在享受先進科技帶來的便利之余，我們也需要克服這些問題。

2.1加強計算機網(wǎng)絡建設的基礎建設

局域網(wǎng)是用來傳輸分享資料的一項有效途徑，加強對局域網(wǎng)的基礎建設，根據(jù)實際情況對局域網(wǎng)進行合理的升級改造，是加強水利水電計算機網(wǎng)絡建設的一項有效措施。首先，水利水電工程設計單位可以對局域網(wǎng)進行重新規(guī)劃，根據(jù)實際業(yè)務需求，對計算機網(wǎng)絡進行合理劃分，這樣可以保證水利水電設計的信息化事業(yè)可以保持大數(shù)據(jù)流傳輸?shù)墓ぷ魈攸c。第二，水利水電單位可以對關鍵的服務器單位進行合理化配置優(yōu)化，以達到安全傳輸、安全儲存的目的，具體可以包括數(shù)據(jù)庫服務器的更新和維護、三維設計服務器的升級和改造、電子檔案服務器的規(guī)范和調(diào)整等等方面。第三，數(shù)據(jù)庫是水利水電工程設計部門的關鍵所在，對數(shù)據(jù)庫進行建設，升級改進可以很大程度上推進水利水電設計工程的發(fā)展。具體內(nèi)容包括對項目數(shù)據(jù)庫的改進、管理數(shù)據(jù)庫的完善以及圖檔數(shù)據(jù)庫的建設等等。第四，網(wǎng)絡的信息安全建設方面也是制約水利水電工程發(fā)展的一大阻礙，完善網(wǎng)絡信息安全建設，可以通過對集成應用系統(tǒng)的完善來達到想要的目的。具體可以通過對辦公管理系統(tǒng)、經(jīng)營管理系統(tǒng)以及項目設計流程管理系統(tǒng)進行相關的強化、完善來達到完善網(wǎng)絡信息安全建設的目的。第五，人才是一個企業(yè)發(fā)展的核心力量，水利水電設計工程單位可以通過培養(yǎng)專業(yè)的管理人才來促進水利水電設計工程的發(fā)展。

2.2加強計算機網(wǎng)絡建設的信息安全建設

水利水電計算機網(wǎng)絡建設工程倚仗現(xiàn)代科技技術的發(fā)展，取得了飛速的發(fā)展。但科技是一把雙刃劍，有利又有弊。其中，網(wǎng)絡信息安全是制約其發(fā)展的一大因素。針對信息安全的建設問題，水利水電工程單位可以通過建設計算機中心來專門應對計算機網(wǎng)絡安全建設問題。計算機中心建成以后，可以專門在其中設立一個督察小組，專門負責信息安全。其中可以參考武警水電部隊的做法，在部隊內(nèi)部，通過設定總隊和分隊，并在總隊和分隊之間建立虛擬通道，實現(xiàn)在部隊內(nèi)部的信息傳輸和分享。這種只針對內(nèi)部的分享模式，就隔絕了外界網(wǎng)絡對信息安全的危害，大大提升了計算機網(wǎng)絡建設的安全度。另外，武警部隊還對自身的信息儲備功能進行了改進和強化。在以往的備份當中，其實依然存在著很大的安全隱患，比如一旦用來儲存?zhèn)浞莸挠嬎銠C出了問題，那么整個部門的數(shù)據(jù)就都遭到了破壞。武警部分對此專門創(chuàng)建了主機備份和介質(zhì)備份相結(jié)合的方式。在備份數(shù)據(jù)初期，就直接讓一臺或者多臺備份服務器一起進行備份，這樣就可以充分做到有備無患。在對主機的安全防護過程中，武警部分采用了先進的殺毒軟件來對信息安全進行全方位防護，大大提升了部隊的數(shù)據(jù)信息安全度，可以在很大程度上避免軍事機密泄露。