1企業辦公中的信息安全威脅

企業辦公的信息系統是基于公司防火墻、服務器、訪問web、郵件、公司內部網絡、辦公pc機、數據庫、互聯網技術及相應的輔助硬件設備組成的，是一個綜合管理系統。從安全形勢來看，企業辦公的信息系統存在著嚴重的威脅。信息設備提供了便捷及資源共享，但同時在安全方面又是脆弱和復雜的，對數據安全和保密構成威脅。潛在的安全威脅主要有以下方面：信息泄露：信息被泄露或透露給某個非授權的實體；破壞信息的完整性：數據未經非授權被增刪、修改或破壞而受到損失；拒絕服務：對信息或其他資源的合法訪問被無條件地阻止；非授權訪問：某一資源被某個非授權的人，或以非授權的方式使用；竊聽：用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息；業務流分析：通過對系統進行長期監聽，利用統計分析方法對某些參數進行研究，從中發現有價值的信息和規律；假冒：通過欺騙通信系統（或用戶）達到非法用戶冒充成為合法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊；旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱獲得非授權的權利；授權侵犯：被授權以某一目的使用某一系統或資源的某個人，卻將此權限用于其他非授權的目的，也稱作“內部攻擊”；特洛伊木馬：軟件中含有一個覺察不出的有害的程序段，當其被執行時，會破壞用戶的安全；陷阱門：在某個系統或某個部件中設置的“機關”，使得在特定的數據輸入時，允許違反安全策略；抵賴：這是一種來自用戶的攻擊，如否認自己曾經過的某條消息、偽造一份對方來信等；重放：出于非法目的，將所截獲的某次合法的通信數據進行拷貝，而重新發送；計算機病毒：一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序；人員不慎：一個授權的人為了某種利益，或由于粗心，將信息泄露給一個非授權的人；媒體廢棄：信息被從廢棄的磁碟或打印過的存儲介質中獲得；物理侵入：侵入者繞過物理控制而獲得對系統的訪問；竊取：重要的安全物品，如令牌或身份卡被盜；業務欺騙：某一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息等。

2企業辦公中的信息安全策略

2.1保護網絡安全

網絡安全是為保護企業內部各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下：全面規劃網絡平臺的安全策略；制訂網絡安全的管理措施；使用防火墻；盡可能記錄網絡上的一切活動；注意對網絡設備的物理保護；檢驗網絡平臺系統的脆弱性；建立可靠的鑒別機制。

2.2保護應用安全

保護應用安全，主要是針對特定應用（如Web服務器、數據庫服務器、ftp服務器等）所建立的安全防護措施，這種安全防護措施獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊，如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。由于應用層對安全的要求最嚴格、最復雜，因此更傾向于在應用層而不是在網絡層采取各種安全措施。雖然網絡層上的安全仍有其特定地位，但是人們不能完全依靠它來解決企業信息系統的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。

一、企業檔案信息安全現狀分析

1.人才緊缺

由于企業檔案信息安全保障技術是近年來才被廣泛應用的，對于企業檔案館來說，檔案人員的信息安全意識和技術水平有限，加之各個檔案分室的人員年紀偏大，接受能力和操作水平有限，這也是企業目前亟需解決的問題。人才是檔案信息安全保障建設的重要因素，檔案管理人員信息安全意識的強弱，現代化設備操作水平的高低，責任感的強弱等都會對檔案信息安全產生影響。可以想象，一個專業技能匱乏、責任感缺失、安全意識淡薄的檔案管理人員，無疑會使檔案信息安全如同置于一個無人防守的陣地，而被“敵人”不攻自破。

2.法制不健全

對于本企業來說，檔案信息安全建設剛剛起步，企業檔案信息安全方面的管理制度相對比較少，還需要在工作中不斷加強管理，制定各種管理制度，這樣才有利于實施檔案信息安全管理。

二、企業檔案信息安全保障體系建設的措施

檔案信息安全簡單地說就是檔案信息內容完整、可控，未被破壞和未被非法使用者知曉使用。檔案信息安全包括檔案實物信息安全和檔案信息管理系統安全兩個方面。

本文作者：苗蓓、雷學鋒 單位：西安長慶科技工程有限責任公司

安全目視化管理內容分析

（1）人員的安全目視化管理。人員的安全目視化包括著裝統一化、勞保規范化。在此基礎上企業按照不同的崗位、工種對企業內部員工進行辨識，通過佩戴胸牌、臂章、安全帽、工服標識、顏色等加以區別，具有一定的心理作用，使人產生榮譽感和責任心等，同時有利于日常安全生產的規范化精細化管理，例如，通過胸牌管理人員可以一目了然的看到每一個崗位人員是否持證上崗，證件是否在有效期限內，所從事的工種是否在許可的范圍內；通過佩戴不同的臂章區分表現優劣是否有違章記錄等，并制定與之相應的獎罰制度從而起到獎勵先進，鞭策后進的激勵作用。

（2）工器具、設備設施、工藝的安全目視化管理。工器具、設備設施和工藝的安全目視化管理經常會被很多企業忽視卻是至關重要的，據國家安監總局對于一段時間內事故發生因素的統計，由于工器具、設備設施及工藝因素所導致的安全生產事故占事故發生率的40％以上，因此確保企業工器具、設備設施和工藝的安全良好是保證企業安全生產的重要環節，工器具、設備設施和工藝的安全目視化對于其安全管理有不可替代的作用，通過對工器具、設備設施建立臺帳、粘貼標識標簽（包括名稱、檢驗情況、保管人、安全使用注意事項）、配套設備維修保養記錄等措施確保工器具、設備設施的維護保養落實到人頭上，規范其維修保養、合理使用從而確保持續安全可靠，同時對于特殊設備可以通過警示、警告標識等提操作人員的注意力和防范意識從而規避風險，對于部分的器材如：滅火器、消防栓，可以通過圖示的方法使使用者一目了然，對于工藝的劃分一般情況下是通過不同的管道、閥門顏色標識區分管道內不同的介質，同時用管路上的箭頭表示介質流向或閥門的開關避免誤操作。

（3）作業生產現場安全目視化管理。按照相關要求企業所有的規章制度、崗位職責、操作規程等都應該以有效的方式公布于眾，可以通過懸掛標識標牌的形式使企業員工一目了然，在此基礎上企業單位為了實現安全生產和文明生產，還應該做到以下一些方面：確保作業場所整齊有序消除物品混放和誤置，必須有完善而準確的信息顯示，如半成品區、產品待檢區、合格產品區、廢品區、包括標志線、標志牌和標志色，采用視覺符號，規范擺放各類物品；懸掛橫幅標語、“安全通道”、“嚴禁煙火”等各類警示標識、車間平面布置圖、消防器材平面布置圖等營造明晰規范的安全生產氛圍。

本單位應采取的目視化管理模式

結合本單位的現狀和相關的要求，我單位的安全目視化管理要求統一、簡約、鮮明、實用、嚴格。統一：消除五花八門的雜亂現象，安全目視化的實施不是信馬游韁的憑空想象，首先是要遵守相關部門頒布的規范要求，其次協調統籌考慮技術、生理心理、社會等多方面的因素加以實施。例如按照要求機械制造加工類企業全體人員工作服顏色即藏藍色。簡約：即各種視覺顯示信號應易懂，一目了然，同樣的標識標牌的顏色、標識圖案也必須遵循有關的規范標準，例如“小心觸電”、“嚴禁煙火”等都有規定的圖案和顏色要求。對于沒有統一標準的“平面布置圖”、“工藝流程圖”等要按照適宜的顏色加以區分。鮮明：所有的標識標牌都應懸掛和安裝在顯明的位置，使作業場所的相關人員抬頭就可以看到、看得清。例如車床的操作規程可以制作成展架的形式立于車床操作人員的正前方。實用：不講花架子，講求實效，結合作業場所的實際，科學合理的設置布置標識標牌警示標識。尤其不能使場所顯得到處都是標牌，五花八門的顏色，這樣不但起不到作用反而有可能使場所內感到不適。嚴格：安全目視化是一種“看得見的管理”，這就要求每一個參與者一看到相關的標識標牌就明白自己應該怎么做，不能做什么，違章違規會受到怎樣的處理，有錯必究獎罰分明。

1口令安全規則

Windows2003在用戶設定系統口令時不作口令安全規則檢查，用戶為了使用方便，往往設置很簡單的口令，這樣容易造成口令安全的問題。可以專門增設口令安全規則檢查組件，在用戶設定系統口令時進行口令符合安全規則的檢查。當用戶輸入不符合規則的口令時，系統向用戶指出，并建議用戶更改，否則拒絕用戶使用簡單的口令。在進行安全規則設定時，我們可將規則進行分級，按照應用要求進行不同強度的規則劃分。不同等級強度采用不同的安全規則進行檢查。若1個用戶為系統管理員，則應設為最高級，進行最強的安全規則檢查。若用戶為1個普通用戶，可根據系統對這類用戶的安全要求作相應等級的安全規則檢查。

2口令文件保護

為了加強口令文件的安全，現在都使用了結合隨機數加密口令的方式，有效防止了預處理字典攻擊。作為進一步的改進，可以將Windows2003的口令文件管理SAM進行擴展，在創建新用戶時，采集每個用戶的生物特征信息替代上面的隨機數，將生物特征代碼與用戶口令合成，再加密生成加密數據存貯在口令文件相應位置。這樣也可防范預處理字典攻擊，同時，由于生物特征與每1個人和用戶名相對應，這樣用戶不可能否認該帳號不是他的，可提供抗抵賴證據。

3訪問控制

Window2003的訪問控制采用了自主訪問方式，具有較好的靈活性和易用性，同時有些安全組件己經實現了Bl級的部份安全要求，如安全標識功能。因此我們可以充分利用現有的安全組件，增設相應的強制訪問控制管理機制。系統首先執行強制訪問控制來檢查用戶是否擁有權限訪問1個文件組，然后再針對該組中的各個文件制定相關的訪問控制列表，進行自主訪問控制，使系統中主體對客體的訪問要同時滿足強制訪問控制和自主訪問控制檢查。

4文件管理

1.引言

變電站的安全運行十分重要，它不僅關系到供電企業的經濟效益，而且影響到千家萬戶的用電。所以，安全生產將始終是電力企業永恒的主題。而變電站的安全保障只來自于運行人員的安全思想、安全素質、安全技能，因此，變電運行人員的責任越來越大，這就要求運行人員要不斷提高自身的業務技能水平。然而在變電站正常運行方式下,變電站很少進行倒閘操作,變電值班員除了進行正常的巡視和設備維護外很少有動手的機會。而變電設備的實時運行決定了它隨時有可能發生異常或事故,如何防止設備發生故障以及在發生故障時進行及時、準確的處理,縮短停電時間,為客戶提供持續、穩定的電力具有重要的意義。并且隨著新技術、新設備的不斷應用,設備的更新換代時間也在不斷的縮短,如何能跟上技術發展水平,在較短的時間內掌握先進設備的應用能力,具有一定的現實需要。

2.安全教育培訓在企業安全生產中的作用

2.1學習安全生產法規,構建和諧企業

黨和政府歷來十分重視安全生產工作,相繼制訂出臺了一系列安全生產法規:有國家大法--憲法,還有《安全生產法》、《職業病防治法》和許多相配套的法規。這些法律、法規的貫徹執行,需要經過廣泛深入的宣傳、培訓、學習。學法才能懂法、守法。無論是企業領導,還是安全管理人員或職工,只有大家都依安全生產法規辦事,才能擁有一個安全的生產環境,這是構建一個和諧企業的前提。企業的安全生產管理制度、安全生產操作規程都是前人經驗的總結,有些甚至是用鮮血和生命換來的經驗。這些規章都必須嚴格地不折不扣地遵守和執行。假如不經過教育培訓和學習,職工對這些規章一無所知或一知半解,那么遵守和執行也就無從談起。特別是做為電力企業的變電運行人員，清楚安全法律法規，依法操作變電又顯得特別重要。電即是保障生產的能源，如果操作不當又將是損人害已的利器，因此，加強變電運行人員的安全教育培訓更顯得尤為重要。

2.2提高職工素質,從源頭上預防安全事故發生

職工素質的高低不僅直接影響產品的數量和質量,影響經濟效益,也直接影響安全生產。職工素質的提高靠的是職工教育、培訓和學習。通過專業技術教育能使職工熟悉和掌握工藝流程、應用更加安全的新工藝技術。通過崗位技能培訓,使職工熟練掌握崗位操作技能,消除操作差錯,一旦發生設備故障或意外情況也有能力及時處理和排除。安全的新工藝,職工熟練的操作技能,是從源頭上預防安全生產事故發生的基本條件。在變電運行崗位上，來不得任何一點馬虎，又任何一個按鍵操作的不熟悉，又任何工作原因的不清楚都有可能造成無法挽回的損失，因此，變電運行人員迫切需要提高安全素質，真正從源頭上預防安全事故的發生。