上世紀(jì)九十年代以來(lái)，嘉興電力局逐步建立了辦公自動(dòng)化（OA）、SAP系統(tǒng)、營(yíng)銷管理、95598客戶服務(wù)、負(fù)荷管理、PI數(shù)據(jù)庫(kù)等諸多信息系統(tǒng)，企業(yè)信息化在安全生產(chǎn)、經(jīng)營(yíng)管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時(shí)，信息安全的籬笆墻也越扎越緊，有效地防范了外部的攻擊和內(nèi)部管理失控帶來(lái)的種種威脅。嘉興電力局先后被中電聯(lián)授予“信息化先進(jìn)單位”、“信息化標(biāo)桿企業(yè)”等光榮稱號(hào)。**年貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，獲得了挪威船級(jí)社DNV公司認(rèn)證證書。

一、運(yùn)用系統(tǒng)的思想和方法，查找信息安全管理的“短扳”

隨著企業(yè)信息化的快速發(fā)展，信息安全管理工作顯得相對(duì)滯后。管理思想和方法落后。過(guò)去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法，沒(méi)有體現(xiàn)信息化特點(diǎn)和要求，越來(lái)越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革；管理不夠全面。以往只考慮硬件、軟件，忽視了人、數(shù)據(jù)和文檔、服務(wù)、無(wú)形資產(chǎn)等重要對(duì)象，對(duì)外來(lái)人員也缺乏有效的識(shí)別管理；管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū)，有些制度內(nèi)容重復(fù)、交叉、不一致，有些制度不切實(shí)際，往往束之高閣；風(fēng)險(xiǎn)評(píng)估不夠科學(xué)。以往的信息風(fēng)險(xiǎn)評(píng)估不夠系統(tǒng)，主觀性過(guò)強(qiáng)，缺乏綜合平衡，抓不住重點(diǎn)，或過(guò)度保護(hù)，或產(chǎn)生管理死角，事后控制多，事前預(yù)控少，不能涵蓋信息系統(tǒng)的生命周期。

上述情形是企業(yè)在信息化建設(shè)中普遍感覺(jué)到的問(wèn)題。隨著科學(xué)技術(shù)的進(jìn)步，企業(yè)信息運(yùn)行管理模式也發(fā)生了巨大的變化，為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實(shí)的基礎(chǔ)。為此，嘉興電力局根據(jù)國(guó)際上信息安全管理的最佳實(shí)踐，結(jié)合供電企業(yè)的實(shí)際，從信息安全風(fēng)險(xiǎn)評(píng)估管理入手，貫徹ISO/IEC27001：**信息安全管理標(biāo)準(zhǔn)，建立了信息安全管理體系。通過(guò)體系有效運(yùn)作，達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。

二、從資產(chǎn)識(shí)別入手，搞好信息安全風(fēng)險(xiǎn)評(píng)估

按《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》，對(duì)所有的資產(chǎn)進(jìn)行了列表識(shí)別，并識(shí)別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險(xiǎn)評(píng)估中，共識(shí)別資產(chǎn)2810項(xiàng)，其中確定的重要資產(chǎn)總數(shù)為312項(xiàng)，形成了《重要資產(chǎn)清單》。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

摘要：隨著信息時(shí)代的到來(lái)，信息安全已經(jīng)融入電力企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的方方面面。本文主要針對(duì)電力企業(yè)信息安全管理中存在的問(wèn)題展開(kāi)分析，指出電力企業(yè)目前在信息安全管理以及信息安全體系中存在的風(fēng)險(xiǎn)，并相應(yīng)地制定了高效的信息安全管理措施，以促進(jìn)信息安全管理問(wèn)題的解決，并推進(jìn)電力企業(yè)信息安全管理水平的提升。

關(guān)鍵詞：電力信息；安全現(xiàn)狀；改善策略

電力系統(tǒng)是一個(gè)涉及了繼電保護(hù)、電網(wǎng)調(diào)度自動(dòng)化、配電網(wǎng)自動(dòng)化等方面的大型系統(tǒng)工程。在電力企業(yè)快速發(fā)展的背景之下，信息安全問(wèn)題與電力企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)存在緊密的聯(lián)系，直接影響著電力企業(yè)能否進(jìn)行安全生產(chǎn)。

1電力企業(yè)存在的主要信息安全管理風(fēng)險(xiǎn)

1.1信息安全體系層面。（1）信息網(wǎng)絡(luò)結(jié)構(gòu)與邊界風(fēng)險(xiǎn)。從信息網(wǎng)絡(luò)結(jié)構(gòu)方面來(lái)看，電力企業(yè)面臨著核心交換機(jī)選型缺乏合理性這一問(wèn)題，比如，核心交換機(jī)屬于一臺(tái)二層交換機(jī)，只有充分利用系統(tǒng)才能夠有效地解決網(wǎng)絡(luò)安全問(wèn)題。除此之外，絕大部分的電力企業(yè)會(huì)采用多種形式連接互聯(lián)網(wǎng)，但是不同的安全域間的網(wǎng)絡(luò)連接并未采取任何的訪問(wèn)控制措施，導(dǎo)致互聯(lián)網(wǎng)訪問(wèn)的過(guò)程中會(huì)面臨掃描攻擊、非法侵入以及DOS攻擊等各種問(wèn)題。（2）病毒侵害與網(wǎng)絡(luò)攻擊。隨著電子郵件系統(tǒng)運(yùn)用范圍地?cái)U(kuò)大，加快了計(jì)算機(jī)病毒擴(kuò)散的速度，各種病毒會(huì)通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，越來(lái)越多的電力企業(yè)網(wǎng)絡(luò)面臨著計(jì)算機(jī)病毒入侵的安全風(fēng)險(xiǎn)。現(xiàn)在的網(wǎng)絡(luò)攻擊手法結(jié)合了許多技術(shù)，多數(shù)電力企業(yè)雖然安裝了防病毒軟件，但是這些軟件僅僅起到病毒查殺的作用，無(wú)法阻止病毒傳播。針對(duì)網(wǎng)絡(luò)中傳播的蠕蟲，雖然入侵檢測(cè)系統(tǒng)可以檢查出來(lái)，但是無(wú)法對(duì)蠕蟲進(jìn)行徹底地清除。此外，運(yùn)用補(bǔ)丁管理雖然可以避免蠕蟲的感染，但是同樣無(wú)法實(shí)現(xiàn)對(duì)蠕蟲的查殺。除此之外，在現(xiàn)階段，企業(yè)各個(gè)安全產(chǎn)品大多是獨(dú)立工作，不能對(duì)病毒進(jìn)行系統(tǒng)化地查殺。（3）系統(tǒng)安全風(fēng)險(xiǎn)。就系統(tǒng)安全風(fēng)險(xiǎn)內(nèi)容來(lái)看，它具體指的是下面幾點(diǎn)內(nèi)容：第一，操作系統(tǒng)風(fēng)險(xiǎn)；第二，數(shù)據(jù)庫(kù)系統(tǒng)風(fēng)險(xiǎn)，第三，各類運(yùn)用系統(tǒng)風(fēng)險(xiǎn)。在現(xiàn)階段，許多電力企業(yè)將Windows操作系統(tǒng)作為主要的操作系統(tǒng)，然而任何操作系統(tǒng)都不可避免地存在漏洞，漏洞會(huì)給入侵者提供可乘之機(jī)，一旦入侵者掌握了管理員權(quán)限，必然會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。1.2信息安全管理層面。（1）信息安全管理措施落實(shí)不到位。由于資金不足，許多的電力企業(yè)不能及時(shí)替換陳舊的操作系統(tǒng)和郵件程序，而入侵者極容易利用內(nèi)部網(wǎng)絡(luò)的缺陷來(lái)進(jìn)行攻擊。此外，由于企業(yè)的管理人員網(wǎng)絡(luò)安全意識(shí)淡薄，就會(huì)忽視同步升級(jí)用戶系統(tǒng)。另外，部分電力企業(yè)使用開(kāi)放程度過(guò)高的操作系統(tǒng)，由于安全級(jí)別低下，加上未采取任何安全措施，就無(wú)法實(shí)現(xiàn)對(duì)黑客與信息炸彈地有效抵御。（2）企業(yè)信息管理革新滯后于技術(shù)發(fā)展。近些年，我國(guó)的信息技術(shù)快速發(fā)展，但是電力企業(yè)的管理水平一直沒(méi)有得到提升，雖然部分企業(yè)采用了最新的業(yè)務(wù)系統(tǒng)以及管理系統(tǒng)，但是并未及時(shí)更新管理模式，以至于無(wú)法充分發(fā)揮出信息系統(tǒng)的價(jià)值。信息安全工作是一項(xiàng)兼具復(fù)雜性與系統(tǒng)性的工作，對(duì)工作人員的專業(yè)水平有著較高的要求，所涉及的知識(shí)面十分的廣泛。很顯然，現(xiàn)階段的技術(shù)人員無(wú)法滿足新時(shí)期電力企業(yè)對(duì)信息安全管理工作的要求。（3）工作人員安全意識(shí)十分淡薄。目前，許多工作人員不能夠認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性，沒(méi)有拿出足夠的時(shí)間與精力投入到網(wǎng)絡(luò)信息安全的學(xué)習(xí)之中。此外，大多數(shù)電力企業(yè)的安全意識(shí)淡薄，忽視安全領(lǐng)域的投入，以至于網(wǎng)絡(luò)信息安全長(zhǎng)時(shí)間處于封堵漏涮狀態(tài)。與此同時(shí)，絕大部分工作人員缺乏良好的安全意識(shí)，對(duì)于共用口令、企業(yè)內(nèi)部信息傳播以及復(fù)制等涉及的安全問(wèn)題了解不夠，給了黑客攻擊可乘之機(jī)，導(dǎo)致經(jīng)常出現(xiàn)信息泄露問(wèn)題，最終影響了企業(yè)網(wǎng)絡(luò)信息的安全性。

2電力企業(yè)信息安全管理對(duì)策

編者按：本論文主要從信息是軟件企業(yè)的重要資源；保護(hù)企業(yè)信息的安全，建立實(shí)施信息安全管理體系是非常有效的途徑等進(jìn)行講述，包括了網(wǎng)絡(luò)共享與惡意代碼防控、信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)、信息產(chǎn)品國(guó)外引進(jìn)與安全自主控制、IT產(chǎn)品單一性和大規(guī)模攻擊問(wèn)題、IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理、攻擊突發(fā)性和防范響應(yīng)滯后、口令安全設(shè)置和口令易記性難題等，具體資料請(qǐng)見(jiàn)：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國(guó)內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過(guò)對(duì)軟件企業(yè)現(xiàn)有信息安全問(wèn)題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問(wèn)題，著重闡述了信息安全風(fēng)險(xiǎn)管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險(xiǎn)管理

隨著國(guó)家大力推動(dòng)軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢(shì)，在自身業(yè)務(wù)發(fā)展壯大的同時(shí)，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時(shí)間和空間上的障礙，信息的價(jià)值在不斷提高。但與此同時(shí)，網(wǎng)頁(yè)篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無(wú)形財(cái)富”，分析當(dāng)前的信息安全問(wèn)題，有如下典型的信息安全問(wèn)題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

1城市燃?xì)庑畔⒒ㄔO(shè)探索

1．1地理信息系統(tǒng)及數(shù)據(jù)采集與監(jiān)控系統(tǒng)

在燃?xì)馄髽I(yè)中應(yīng)用GIS系統(tǒng)，既能對(duì)燃?xì)夤芫€進(jìn)行電子化圖檔管理，也能實(shí)時(shí)監(jiān)控天然氣管網(wǎng)規(guī)劃、搶修等情況。GIS通過(guò)將現(xiàn)有的管網(wǎng)及周邊地理狀況、管線、設(shè)備等信息，集成為管線集輸?shù)木C合信息，然后，實(shí)時(shí)傳輸和展現(xiàn)給燃?xì)馄髽I(yè)相關(guān)管理人員，從而為燃?xì)夤芫€運(yùn)行、設(shè)備維護(hù)和安全管理，提供全面、準(zhǔn)確的參考依據(jù)。

1．1．1．?dāng)?shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃?xì)夤艿缿?yīng)急系統(tǒng)的重要組成部分，是一項(xiàng)集實(shí)時(shí)工控與調(diào)度信息管理為一體的大型的計(jì)算機(jī)應(yīng)用系統(tǒng)?？梢赃h(yuǎn)程監(jiān)控與管理各門站、調(diào)壓站等站點(diǎn)，確保燃?xì)庀到y(tǒng)運(yùn)行高效、安全、經(jīng)濟(jì)運(yùn)行。

1．2事故處理方案決策優(yōu)化與管網(wǎng)風(fēng)險(xiǎn)評(píng)價(jià)

摘要：近年來(lái)，國(guó)內(nèi)外對(duì)信息安全的重視提到了一個(gè)新的高度，各個(gè)行業(yè)領(lǐng)域都展開(kāi)了針對(duì)信息安全的網(wǎng)絡(luò)攻防演練，對(duì)信息安全管理又提出了很多新的要求。本文分析了在企業(yè)中對(duì)信息安全的管理，總結(jié)了問(wèn)題與原因，提出了解決方案。

關(guān)鍵詞：信息安全管理；信息安全體系；網(wǎng)絡(luò)安全

1信息安全管理的重要性

信息安全問(wèn)題是企業(yè)在管理中遇到的最新的問(wèn)題，信息是數(shù)字的載體，現(xiàn)代化辦公都是利用各種信息來(lái)提高工作效率。而如何在提高效率的同時(shí)不僅要保障信息系統(tǒng)中各種數(shù)據(jù)的安全、還要保證數(shù)據(jù)的正確性、完整性、持續(xù)性、穩(wěn)定性等，成為非常重要的問(wèn)題。從國(guó)家層面上來(lái)說(shuō)也是很重視，已相繼出臺(tái)網(wǎng)絡(luò)安全方面的法律法規(guī)，2019年又修訂了信息系統(tǒng)安全等級(jí)保護(hù)的基本要求。信息安全主要指信息數(shù)據(jù)安全、信息設(shè)備安全、系統(tǒng)軟件安全等在內(nèi)的企業(yè)信息安全。一個(gè)大型企業(yè)的信息安全性不足的話，很容易造成機(jī)密信息泄露，文件和重要圖紙?jiān)馐芨`取或破壞，甚至重要的系統(tǒng)被黑客攻破導(dǎo)致企業(yè)正常的辦公和生產(chǎn)癱瘓。特別是國(guó)企有工控系統(tǒng)的，如果被攻破會(huì)導(dǎo)致數(shù)控機(jī)床失控或人員受傷。因此為了避免以上情況的出現(xiàn)，必須做好企業(yè)的信息安全管理。企業(yè)信息安全是否得到正確的管理，主要通過(guò)以下幾個(gè)方面來(lái)判斷：第一，完整性和正確性。要求信息數(shù)據(jù)在處理和傳輸過(guò)程中沒(méi)有遭到破壞或惡意修改。第二，保密性或隱私性。是指在信息數(shù)據(jù)不會(huì)泄露給沒(méi)有授權(quán)的個(gè)人或組織。第三，持續(xù)可用性。信息系統(tǒng)或網(wǎng)絡(luò)在被攻擊時(shí)，可迅速的恢復(fù)網(wǎng)絡(luò)使用和數(shù)據(jù)的持續(xù)可用，滿足企業(yè)業(yè)務(wù)要求。第四，可控制。企業(yè)必須有強(qiáng)制手段對(duì)網(wǎng)絡(luò)信息進(jìn)行監(jiān)控，有可查日志，從而在信息系統(tǒng)出現(xiàn)問(wèn)題時(shí)可馬上進(jìn)行數(shù)據(jù)恢復(fù)，避免不必要的損失。

2分析信息安全隱患

2.1漏洞。漏洞包含兩個(gè)方面：操作系統(tǒng)漏洞和開(kāi)發(fā)的信息平臺(tái)系統(tǒng)漏洞。計(jì)算機(jī)操作系統(tǒng)或服務(wù)器的操作系統(tǒng)本身就有很多漏洞，所以就需要不斷地更新補(bǔ)丁，但是常用端口還是有可以利用的漏洞，例如：9699、8080端口等，特別是遠(yuǎn)程端口經(jīng)常被利用或攻擊。而在信息系統(tǒng)中存在漏洞就更多，開(kāi)發(fā)軟件中為了功能的便捷往往都會(huì)忽視網(wǎng)絡(luò)信息安全問(wèn)題，造成系統(tǒng)中的數(shù)據(jù)很多都沒(méi)有基礎(chǔ)保護(hù)，如果用的完全是軟件開(kāi)發(fā)公司的系統(tǒng)，更是有很多漏洞，而往往這些漏洞都是難以彌補(bǔ)的。2.2病毒。計(jì)算機(jī)病毒或網(wǎng)絡(luò)病毒，首先都是各種數(shù)據(jù)代碼組成并會(huì)傳播的，往往一臺(tái)有或者一個(gè)網(wǎng)端上有就會(huì)影響到整個(gè)網(wǎng)絡(luò)，不僅破壞系統(tǒng)運(yùn)行還能損毀數(shù)據(jù)；其次病毒有多樣的表現(xiàn)形式，并具有潛伏隱蔽性，而且還能升級(jí)，例如近年代表性的“勒索病毒”。病毒除了通過(guò)網(wǎng)絡(luò)傳播，最主要的傳播還是在介質(zhì)上，特別是U盤。因此防病毒，不僅要依靠防病毒軟件，還要有對(duì)介質(zhì)、網(wǎng)絡(luò)隔離、數(shù)據(jù)傳輸?shù)冗M(jìn)行嚴(yán)密的管理來(lái)控制。2.3環(huán)境和人為因素。網(wǎng)絡(luò)環(huán)境是信息安全保障的基礎(chǔ)，企業(yè)要加強(qiáng)基礎(chǔ)設(shè)施的投入，加強(qiáng)物理安全設(shè)備的管理。有些自然因素是無(wú)法避免的，例如雷電、防火、防水等。這些引發(fā)的災(zāi)害造成的信息安全事件，很容易影響網(wǎng)絡(luò)信息安全。在網(wǎng)絡(luò)環(huán)境中人絕對(duì)是關(guān)鍵因素，規(guī)范人的信息安全管理非常重要[1]。無(wú)論是信息安全的基礎(chǔ)設(shè)施如何，無(wú)論技術(shù)手段如何，也無(wú)論是惡意行為還是失誤操作，人都是信息安全事件發(fā)生的因素。企業(yè)員工對(duì)于網(wǎng)絡(luò)信息安全保護(hù)意識(shí)很薄弱，而專業(yè)的網(wǎng)絡(luò)技術(shù)人員在企事業(yè)中也很缺乏，而專職的信息安全管理人才更是少之又少。

編者按：本論文主要從網(wǎng)絡(luò)共享與惡意代碼防控；信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)；信息產(chǎn)品國(guó)外引進(jìn)與安全自主控制；IT產(chǎn)品單一性和大規(guī)模攻擊問(wèn)題等進(jìn)行講述，包括了IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理、攻擊突發(fā)性和防范響應(yīng)滯后、口令安全設(shè)置和口令易記性難題等，具體資料請(qǐng)見(jiàn)：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國(guó)內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過(guò)對(duì)軟件企業(yè)現(xiàn)有信息安全問(wèn)題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問(wèn)題，著重闡述了信息安全風(fēng)險(xiǎn)管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險(xiǎn)管理

隨著國(guó)家大力推動(dòng)軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢(shì)，在自身業(yè)務(wù)發(fā)展壯大的同時(shí)，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時(shí)間和空間上的障礙，信息的價(jià)值在不斷提高。但與此同時(shí)，網(wǎng)頁(yè)篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無(wú)形財(cái)富”，分析當(dāng)前的信息安全問(wèn)題，有如下典型的信息安全問(wèn)題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

隨著農(nóng)電體制改革的不斷深化，縣級(jí)供電企業(yè)的管理體制發(fā)生了質(zhì)的變化，搞好農(nóng)村供電所安全管理工作，不僅關(guān)系到供電企業(yè)的經(jīng)濟(jì)效益和形象，更是一種社會(huì)責(zé)任。因此，如何規(guī)范和加強(qiáng)供電所安全管理，正確處理電力安全與電力發(fā)展、改革及企業(yè)經(jīng)濟(jì)效益的關(guān)系，合理規(guī)避安全風(fēng)險(xiǎn)，是縣級(jí)供電企業(yè)面臨的重要課題，也是我們農(nóng)電工作者值得深思和不可回避的問(wèn)題。

1農(nóng)電安全管理面臨的形勢(shì)

1.1農(nóng)電安全管理的安全責(zé)任和風(fēng)險(xiǎn)加大

農(nóng)電體制改革前，農(nóng)村用電管理及公有電力設(shè)施的更新改造與維護(hù)由村級(jí)組織實(shí)施。農(nóng)電體制改革后，農(nóng)村公有電力資產(chǎn)移交給供電企業(yè)，由原來(lái)的村級(jí)組織管理變?yōu)檗r(nóng)村供電所直接管理，管理范圍延伸到戶，加之農(nóng)村供電網(wǎng)絡(luò)面廣分散，管理范圍及資產(chǎn)成倍擴(kuò)大，線路及設(shè)備維護(hù)管理的安全責(zé)任和風(fēng)險(xiǎn)明顯加重。

1.2農(nóng)電隊(duì)伍的不穩(wěn)定增加了管理難度

農(nóng)電體制改革前，供電企業(yè)對(duì)鄉(xiāng)電管站或供電所實(shí)行的是松散型管理，鄉(xiāng)電管站和農(nóng)村電工在人、財(cái)、物上都有較大的自主權(quán)，且收入相對(duì)較高。而且，由于電價(jià)、電費(fèi)管理漏洞較多，他們的安全責(zé)任和工作壓力也不大。農(nóng)電體制改革后，農(nóng)電職工人數(shù)大大下降，工作量成倍增加，而且要求也大大提高。供電所規(guī)范化管理和標(biāo)準(zhǔn)化臺(tái)區(qū)的管理，線損、均價(jià)及其他工作考核，供電服務(wù)“十項(xiàng)承諾”和員工服務(wù)行為“十不準(zhǔn)”的出臺(tái)和實(shí)施，使農(nóng)電職工承受著前所未有的工作壓力和安全責(zé)任，但農(nóng)電職工的工作環(huán)境和收入待遇未跟上，挫傷了廣大農(nóng)電職工的工作和學(xué)習(xí)積極性，特別是農(nóng)村電工的工資和待遇更低，養(yǎng)老、醫(yī)療、失業(yè)等保險(xiǎn)得到落實(shí)的極少，職工編制尚未落實(shí)解決，引起了思想上的不穩(wěn)定，導(dǎo)致部分農(nóng)村電工外出打工或從事其他工作等。農(nóng)村電工實(shí)行職業(yè)化、正規(guī)化、專業(yè)化管理目前還難以實(shí)現(xiàn)，必然增大農(nóng)電安全管理的難度。