安全管理模式下的企业信息论文

1管理措施

1.1建设标准化的信息安全管理体系

通过标准化管理实现信息安全标准化作业管理，定期对信息安全管理制度进行评价审定，对存在问题或需要改善的管理制度进行修订改善。

1.2建立完善信息安全管理组织机构

设立信息安全管理工程师、网络工程师、系统工程师等岗位，并明确各岗位相关职责，关键岗位实行备岗制度。应加强各岗位人员之间、信息安全管理负责部门和业务部门、后勤保障部门之间的沟通，共同负责协调处理信息安全问题。

1.3建立严格的审核流程

严格审查信息安全管理人员的聘用录取流程，审查其工作经历和任职过程，关键岗位应签署保密协议，明确相关人员信息安全责任；及时终止离退休人员的系统访问权限；对外来人员、第三方技术支持人员进行严格控制和监督，实行专人陪同或监督，并将访问时间、访问过程全过程登记备案。

1.4开展测试评估工作

新开发的业务系统、新建设的网络系统应加强安全防护措施建设，结合企业实际情况，建设针对性的安全防护方案；从长期安全和国际安全来看，最好使用安全性较高、质量较好的国产化产品；系统正式投入使用之前，应委托有资质的第三方专业测试单位对系统进行安全性、稳定性测试，根据测试报告对系统进行可用性、稳定性、安全性评估，不符合评估要求的，需要进行相关整改，整改之后重新进行测试评估，满足要求之后应该试运行一段时间。

1.5加强系统软硬件环境的全过程管理

（1）加强系统相关硬件环境的规范管理，特别是重要信息机房、通信机房的规范管理，确保机房温湿度、防水、防火、防盗、安全监控等运行环境符合要求，制定机房出入管理规定，严格机房出入管理，包括设备巡视维护人员、业务人员、第三方人员等等在内的所有人员都应严格实行出入管理规定，做好出入记录和工作过程的记录。（2）加强软件系统授权管理，根据各个系统角色的单位部门、工作职责、安全责任及工作范围等方面进行访问权限划分，按照最小授权原则，明确各个系统角色的权限、责任和风险；日常维护操作过程都应详细记录，严格操作授权管理机流程管理，任何未经授权的操作和错误的操作流程都要严格禁止和限制；定期进行漏洞扫描和补丁更新工作。（3）加强病毒防护管理，通过多种方式开展培训教育，增强企业员工防病毒意识，不打开、阅读来历不明的邮件，不随意发送涉及公司企业秘密的邮件；要指定专人做好病毒分析、记录和查杀工作。（4）严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序，建立健全变更管理制度。保证所有访问均得到授权和批准，进行必要的安全隔离，配置严格的访问控制策略。

1.6加强员工信息安全培训

每年开展信息安全知识普及工作，提高企业全体员工信息安全意识；每年开展信息安全专项知识培训，并将信息安全培训纳入到企业培训考核工作当中，确保信息安全培训达到应有效果；加强企业领导和管理人员的信息安全培训，增强领导层、管理层的信息安全意识。

1.7加强应急预案管理工作

不断完善应急预案，做好应急预案的分类管理工作，既要有企业整体应急预案，也要有各个专项应急预案；做好应急物资储备调用工作，确保人员、物资等应急保障资源能及时可调可用。

1.8严格制定实施细则

确保信息安全风险评估工作做到常态化和制度化，及时落实整改，消除信息安全隐患。

2安全技术措施

2.1加强信息机房管理

通信机房安全建设管理工作，机房建设要符合国家相关规定，机房位置选择时，应选择远离强噪声源、粉尘、油烟、有害气体等场地，并且要避开强电磁场干扰，不要将机房选在地下室或者顶层等场地，选择中间二、三层较安全。

2.2加强信息网络安全管理

（1）信息网络核心交换机、汇聚交换机、核心路由器等核心网络设备要配置冗余设备，其上下行链路也要做好双链路备份，并根据业务需要合理分配网络资源；做好设备的授权访问控制，配置访问列表、IP/MAC绑定、vlan访问限制等安全措施，防止未经授权的访问操作发生。（2）采用网络行为管理设备、安全隔离装置、入侵防御设备（IPS）等安全设备对网络边界实施网络隔离、流量控制、访问行为审查和防御。（3）严格数据库访问管理,实现操作系统和数据库系统特权用户访问权限分离，对访问权限一致的用户进行分组，访问控制粒度应达到主体为用户级，客体为文件、数据库表级；控制单个用户的多重并发会话和最大并发连接数，限制单个用户对系统资源、磁盘空间的最大或最小使用限度，当系统服务水平降低到预先规定的最小值时，应能检测并报警。

2.3加强保密存储管理

对重要和敏感信息实行加密传输和存储，特别是移动存储管理，应严格限制移动设备的访问权限，包括办公笔记本和存储U盘，防止信息泄密；对重要信息实行自动、定期备份，防止数据丢失。

3结语

所讨论的管理模式是以安全管理为核心、安全技术为支撑，安全策略为手段的管理模式，结合国家相关标准、行业标准、企业发展情况，从信息安全管理措施和技术措施入手分析，给出一些安全建议与思考。

作者：卢伟东 单位：国网廊坊供电公司信息通信分公司