三、电力企业网络信息安全管理问题的成因分析
        （一）安全意识淡薄是网络信息安全的瓶颈
        企业人员忙于利用网络工作学习，对网络信息的安全性无暇顾及，安全意识相当淡薄。电力企业注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求，网络信息安全处于被动的封堵漏洞状态。从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
        （二）运行管理机制的缺陷和不足制约了安全防范的力度
        从目前的运行管理机制来看，有以下几方面的缺陷和不足。
        1. 网络安全管理方面人才匮乏
        由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。
        2. 安全措施不到位
        配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。
        3. 缺乏综合性的解决方案
        大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户依赖升级防火墙和加密技术，产生虚假的安全感。实际上，一次性使用一种方案并不能保证系统永远安全，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单堆砌就能解决的。
        四、网络信息安全管理的内容
        安全管理包括风险管理、安全策略和 。这3个组件是企业安全规划的基础。
        （一）风险管理
        识别企业的信息资产，评估威胁这些资产的风险，评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式来协助管理部门制定企业信息安全策略。
        （二）安全策略
        随着企业规模、业务发展、安全需求的不同，信息安全策略可能各有不同。但是安全策略都应该简单清晰、通俗易懂并直接反映主题，避免含糊不清的情况出现。信息安全策略是企业安全的最高方针，由高级管理部门支持，必须形成书面文档，广泛发布到企业所有员工手中。
        （三）
        信息安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训，所有的企业人员必须了解并严格执行企业信息安全策略。
        安全管理通过适当地识别企业的信息资产，评估信息资产的价值，制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性，通过 形成企业安全文化的重要组成部分，保障安全管理的顺利实现。
        五、加强电力企业网络信息安全管理的建议
        （一）重视安全规划
        企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考，要以系统的观点去考虑安全问题。
        要进行有效的安全管理，必须建立起一套系统全面的信息安全 。这可以参照国际上通行的一些标准来实现，如：BS7799、ISO17799、ISO15408等。
        （二）合理划分安全域
        电力企业是完全实行物理隔离的企业网络，在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级，从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心，这部分区域是一般用户不能直接访问的区域，有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域，各种应用系统、OA系统等在该区域运行。
        （三）加强安全管理，重视制度建设
        为保证企业网络信息安全，要把企业网络信息安全作为一个系统工程来考虑。因此，企业网络的安全问题，安全管理和制度建设非常重要（特别是内网）。现提出如下建议：
        1. 加强日志管理与安全审计
        一般的防火墙与入侵检测系统都具备审计功能，要充分利用它们的审计功能，作好网络的日志管理和安全审计工作。对审计数据要严格管理，不允许任何人修改、删除审计记录。
        2. 建立内网的统一认证系统
        认证是网络信息安全的关键技术之一，其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。
        3. 建立病毒防护体系
        在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次，要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝，来历不明的移动存储设备不能随意在联网计算机上使用，职员应熟练掌握发现病毒后的处置办法。
        4. 重视网络管理制度建设
        严格的管理制度，是保证企业信息网络安全的重要措施之一。
        （1）领导应当高度重视网络信息安全问题。企业领导要高度重视安全管理和安全制度建设问题，不能把安全管理和制度建设看成是技术部门的事。企业应当成立信息安全领导小组，由分管领导抓网络安全工作，并明确其职责和工作制度。要制订安全事故处理程序、应急计划等。
        （2）加强基础设施和运行环境的管理建设。企业网络的管理机构（信息中心）的机房、配电房等计算机系统重要基础设施应严格管理，配备防盗、防火、防水等设施，应当安装监控系统、监控报警装置等。建立严格的设备运行日志，记录设备运行状况。要规范操作规程，确保计算机系统的安全、可靠运行。
        （3）建立必要的安全管理制度。企业网络的中心机房和各业务部门计算机系统都要建立计算机系统使用管理制度，网络系统管理员、安全员、各业务部门主管和计算机操作人员的计算机密码管理规定等内控管理制度，对应用系统重要数据的修改要经过授权并由专人负责，登记日志。建立健全数据备份制度，核心程序及数据要严格保密，实行专人保管。
        （4）坚持安全管理原则。多人负责原则：两人或多人互相配合、互相制约。从事每项安全活动，应至少两人在场，做好工作情况记录。任期有限原则：任何人不长期担任与安全有关的职务。当人员离任时，应立即对系统进行授权调整。职责分离原则：不要打听、了解或参与职责以外的任何与安全相关的事情，除非系统主管领导批准。最小权限原则：只授予用户和系统管理员所需要的最基本权限，并且超级用户的权限也应该越小越好。
        （5）制度的定期督导检查。管理制度具有严肃性、权威性、强制性，管理制度一旦形成，就要严格执行。企业应组织有关人员对管理制度进行定期督导检查，保证制度的落实。
        （四）加强企业员工和网络管理人员安全意识教育
        对于网络信息安全，企业员工和网络管理人员的素质非常重要。
        1. 在 具体实施过程中应该有一定的层次性
        （1）对主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
        （2）对负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。
        （3）对企业全体职员，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。
        2. 对于特定的人员要进行特定的安全培训
        对于关键岗位和特殊岗位的人员，通过送往专业机构学习和培训，使其获得特定的安全方面的知识和技能。通过安全培训，确保在电力信息安全保障体系逐步建立的过程中，各类人员的安全意识和技术能力获得提高，各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。
        六、建立安全长效机制
        解决网络信息安全问题，技术是安全的主体，管理是安全的灵魂。加强信息安全管理，建立安全长效机制，成为电力企业安全文化的重要组成部分，其必然性由以下因素决定：
        （1）电网企业安全文化对社会具有辐射作用。
        （2）新形势下安全生产要求的重大举措。
        （3）电网科学技术发展的需要。
        （4）人本管理是电力企业先进安全文化的核心。
        （5）实现高效的安全生产管理。
        建立先进的企业安全文化。企业安全文化对企业安全生产工作起凝聚、协调和控制作用。积极向上的共同价值观、信念、行为准则是一种内部黏结剂，是人们意识的一部分，可以使员工自觉地行动，达到自我控制和自我协调。
        只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化，并将网络信息安全管理容纳到整个企业文化体系中才是最根本的解决办法。
        结束语
        网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。
        参考文献
        ［1］ 王瑞军，冼沛勇.实现企业网络信息安全的具体方法［J］. 计算机与网络，2005，（3）.
        ［2］ 朱贵强.论企业网络信息安全管理［J］. 中国科教博览，2005，（6）.
        ［3］ 闫斌，曲俊华，齐林海.电力企业网络信息安全系统建设方案的研究［J］。 现代电力，2003，（1）.
        ［4］ 杨赞国。 论企业网络信息安全与防范策略［J］. 集团经济研究，2005，（6）.
        ［5］ 郭护林.企业网络信息安全分析［J］. 西北电力技术，2002，（6）.
        ［6］ 王迎新　牛东晓《中国管理信息化（综合版）》2007年第3期