公司网络安全方案

公司网络安全方案

公司网络安全方案1

【关键词】项目档案；信息化建设；体会

一、概述

项目档案信息化，是指建设单位在档案管理活动中全面应用现

代信息技术，对档案信息资源，包括传统的纸质档案和电子文件，

进行有效管理和提供方便利用的活动和过程。项目档案信息化的目

的就是将工程项目在建设过程中产生的资料、图纸、照片等大量信

息数字化，为生产单位提供科研利用服务。琅哪山抽水蓄能电站工

程为安徽省“十五”期间重点能源项目，电站枢纽主要有上水库、

输水系统、地下厂房、下水库和地面开关站五部分组成。电站装设

四台15万千瓦的单级可逆式抽水蓄能机组，总装机容量60万千瓦。

20_年12月2日正式开工，20_年9月25日四台机组全部并网发

电，20_年通过国家档案局档案验收，20_年获国家电网公司优质

工程，20_年获国家优质工程银质奖。目前，华东琅那山抽水蓄能

有限责任公司（以下简称琅那山公司）为国家电网公司“运维一体

化”首批试点单位,下面，本人从档案信息化制度建设、档案数字

化建设、档案信息安全建设和档案服务利用等方面，谈一点档案信

息化建设的体会。

二、档案信息化制度建设

（一）制度建设的必要性

制度建设是实现项目档案信息化的根本保证。琅那山电站工程

实行的是“小业主、大监理”的管理模式，工程管理人员少，任务

多，且管理人员对档案重要程度认识不一。因此，通过规章制度来

固化档案管理活动中的各种行为模式，是保障项目档案信息化建设

顺利开展的必要手段。档案工作各项制度，是协调业主与参建单位

档案管理的依据。

根据工程项目在建设、生产不同时期的档案管理要求，琅那山

公司成立了“档案管理领导小组”、“信息化工作领导小组”、

“档案管理网络体系”，制定了《琅哪山电站工程档案管理办法》、

《琅哪山电站工程档案月度检查制度》、《档案借阅管理办法》、

《档案管理标准》、《档案工作考核评价管理标准》、《保密工作

管理标准》、《信息安全管理标准》、《信息系统机房管理标准》、

《信息系统终端使用管理标准》、《信息系统检修维护管理标准》、

《信息系统应用管理标准》、《信息系统运行管理标准》等相关制

度。

（二）加强制度的执行力

加强档案信息化制度的‘执行力度，确保档案管理体系的有效运

行。档案制度本身不是目的，而在于其实施。加强企业档案制度执

行力度，严格依法管理企业档案，提高企业档案的管理水平。

工程档案管理不仅涉及建设单位本身，而且与监理、施工、设

计等参建单位档案参与的积极性、自觉性紧密相关，档案管理部门

很大程度只能对档案的技术标准、归档时间、案卷分类、案卷整编

质量等提出要求，要保证档案的完整与及时准确，只有在让企业员

工正确理解国家及电力行业各项档案规章制度和加强制度管理的重

要意义的同时，必须将相关职责与管理要求落实到相关职能部门。

制度的建立，是贯彻和落实企业信息化建设过程中的各项决策，保

证各项工作顺利开展，完成各项工作计划和目标的保障措施。

琅那山公司在制定相关制度后，不断加强制度执行的考核检查

力度，在与监理、施工、设计等参建单位合同签订阶段，就提出了

档案信息化管理要求，在合同上进行约束，并通过公司月、周例会

通报档案管理状况及时协调解决档案管理中出现的问题、发文通报

档案管理整改要求、下达不符合要求单位的处罚决定等一系列手段,

提高档案管理执行力度。

三、档案数字化建设

（一）硬件平台建设

琅那山电站工程实行的是“小业主、大监理”的管理模式，为

提高工作效率，琅珊山公司推行了档案信息化建设，将业主与监理、

施工、设计等参建单位通过局域网或无线网形式，建立了档案信息

化网络平台。随着工程进展和档案资料的不断增加，以及档案信息

化运用功能的需求，琅哪山公司设立了档案室，对业主、监理、施

实现档案数字化，首先必须明确档案分类表。在电站建设期，

琅娜山公司组织监理、施工、设计等参建单位有关人员对“抽水蓄

能电站档案分类表”进行了认真讨论，明确了分类表，然后将其

“固化”在档案管理软件中。业主与监理、施工、设计等参建单位

档案管理人员分工协作，分阶段、分步骤有序进行档案数字化工作。

目前，琅那山公司文档已全面实现数字化，科档已完成数据迁移，

还有部分正进行原件扫描和电子文件挂接工作。

根据国家电网公司创建“一流三化”办公室的统一部署，琅那

山公司充分利用“协同办公系统”平台，加快档案数字化工作，进

一步提高档案服务质量。

四、档案信息安全建设

档案信息安全工作包括档案库房“九防”、库房内外部环境、

档案信息和网络等方面的安全管理工作。档案安全工作，应作为一

项日常性的工作，常抓不懈。没有安全，也就谈不上档案信息化建

设。所以，档案的安全工作应与岗位责任挂钩，实行档案安全责任

制。同时应完善应急措施，制定应急预案，随时应对可能出现的各

种突发性事件，确保档案实体和档案信息的安全。

琅娜山公司严格执行国家《档案虫霉防治一般规则》等有关规

定，结合实际制订了《档案管理标准》、《信息安全管理标准》、

《保密工作管理标准》、《档案工作应急预案》等管理制度，对信

息网络采取了内、外网物理隔离措施，严禁违规外联，对终端计算

机用户安装了防病毒软件，全员签订了信息安全和保密工作承诺书,

定期开展网络系统、档案库房专项检查和信息安全教育，确保档案

信息万无一失。

五、档案服务利用公司网络安全方案2

美国中西部地区一家保险企业的IT人员发现，公司的许多业务

代表在为公司带来收入的同时，还带回来了病毒！IT人员跟踪分析,

发现是装在业务代表笔记本电脑中的反病毒软件失效后导致了安全

漏洞，因为这些业务代表在公司很少花时间更新安全软件或者打补

To

这对拥有许多流动性员工的企业来说是个教训。

如今，很多企业工作人员的流动性很强，加上企业采用了许多

的新技术、可以随地接入互联网，公司网络的安全风险随之加大。

笔记本电脑、个人数字助理和手机只是个开始，VoIP电话的采用，

员工可从酒店、宿舍、机场和咖啡店访问互联网，甚至还有公司内

部的蓄意破坏，都让网络威胁数量急剧增加。

网络访问控制（NAC）解决方案因此变得越来越重要，它确俣只

有完全打上了补丁、采取了反病毒保护的授权用户才能访问公司的

网络资源。它不仅针对访问内部网络的外来访客，还针对无权访问

公司更高级敏感数据的员工。

NAC解决方案的过程如下：准入前检查与准入后监控、决策然

后执行、隔离及补救不符合要求的机器。具体而言，用户请求访问

时，其机器必须被检查；如果发现符合要求，就允许访问网络。准

入后，监控程序将定期再次启动评估/决策/执行程序，确保用户一

直符合要求。如果发现用户不符合要求，NAC解决方案就会提供F鬲

离及补救的手段，让这个用户符合要求。然后，用户可以访问网络,

再次受到准入后的监控。

NAC的绊脚石

NAC从理论上来说很不错，但现实情况是，NAC一直没有得到广

泛采用。虽然针对网络的攻击很多，但有些专家认为NAC不能解决

问题。弗雷斯特研究公司调查声称，截至20_年11月，在员工不

少于1000人的欧美公司中，只有27%采用了NAC；15%会在接下来的

12个月里试用NACc

Gartner公司的'研究主任LawrenceOrans表示，有三大障碍

导致网管员推迟部署NAC。

一、观望心态

很多人认为NAC技术太不成熟。思科的网络准入控制（NAC）解

决方案早已经，但没有达到一些分析师和用户期望的目标。弗雷斯

特公司的高级分析师RobertWhiteley说："NAC是一种产品、一

个框架。这个框架目前已经存在了，许多公司在零星部署，但到目

前为止，他们并没有规模部署。”这些事件让人们觉得这项技术还

不成熟。

不过这也为小厂商提供了机会，Gartner跟踪分析了18家这样

的小公司。有些小公司提供了事实证明非常可靠的解决方案，而一

些大厂商同样如此c比如，微软在今年2月开始推出了Windows

Server20_随带的网络访问保护（NAP）解决方案。

但企业等不及了。医疗急救信息服务提供商MedicAlert需要保

护约45万个客户的健康记录，同时又能让员工、护工及病人自己安

全地访问，以便更新信息。这家非营利机构考虑过要等一等，看看

市场会出现怎样的变化，它还试用了一些自行开发的开源解决方案,

但最后还是决定选择采用面向服务架构的Web访问控制解决方案。

MedicAlert的IT副总裁MartinFisher说:"让我最终下定

决心的是，不部署会带来很大的损失。虽然部署成本比较昂贵，但

不部署的话，万一出现了安全事件导致名誉受损，那损失就大了。

虽然我之前从事过开发工作，也曾考虑自己开发NAC,但显而易见，

如果求助这个领域的专家，我们的处境会更好。”

二、资金问题

Orans说：“很多反对NAC的人声称部署NAC解决方案费用过

高。”但实际是，实施NAC有很多办法，不是每种办法都很昂贵。

目前有三类NAC解决方案：安装在所有桌面和笔记本电脑上的端点

软件、连接到网络上的专业设备(appliance),以及嵌入在基础设

施中的NAC。

要部署NAC,最经济的方法就是借助于现有的基础设施、网络

和安全产品中的功能。看一下现有的供应商是否有一些嵌入的NAC

功能可以启用，比如入侵防预系统(IPS)中内嵌的NAC功能，或是

微软Vista平台上WindowsServer内嵌的NAC功能。端点保护软件

也具有NAC功能，如迈克菲、赛门铁克和Sophos的软件等等。

北电网络和惠普这些交换机厂商也有NAC解决方案，如果你的

网络中使用了这些厂商提供的交换机，就可以添加一些组件，启用

NACo

此外，一些专业的NAC设备也非常流行，但成本比较高；如果

要用几个专业的NAC设备处理数量众多的网络用户，成本会更高。

专业设备有的嵌在所有网络流量当中；有的在“带外”监控特定的

流量。基础设施中的NAC费用最难量化，因为无法确认具体哪些软

硬件用于网络访问控制功能。

由于市场上有众多的选择，用户表示价格最终会跌下来。

MedicAlert的首席架构师JorgeMercado预测:五年内，NAC

产品将成为大路货，价格会跌到很容易承受的地步。目前，NAC解

决方案通常面向大公司，因此厂商们的定价模式是针对大客户。可

是对小公司来说未必是这样，所以，一段时间后，像MediAlert这

样的非营利机构会买得起NAC方案，从而保护自身网站，不必担心

会花大笔钱。

三、安于现状

还有公司策略问题。IT部门担心：如果由于员工没打上补丁或

反病毒软件过时了就不让他们访问网络，这会妨碍他们完成工作。

这就是为什么我们看到，在NAC的早期阶段，NAC的许多工作是监

控而不是阻止。一旦网络出现了问题，系统管理人员只能解决问题,

而不能隔离导致问题的PC机。

另一个问题很令人担心：如果严禁高层主管访问网络，后果会

很严重。这一直是阻碍NAC采用的主要因素。

以前面那家保险公司为例，决策者希望确保业务代表继续为公

司带来业务，尽管知道可能也会带回病毒，于是他们继续监控及清

除病毒，而不是关闭网络。Langston解释：这就像任何安全问题一

样，如果面向互联网的电子商务服务器感染上了病毒，网站做的第

一件事是不管它。因为关闭系统意味着会损失上百万美元。如果网

站感染的是普通病毒，就会随它去，直到想出对策为止。

此外，美国的《健康保险可携性及责任性法案》和《萨班斯一

奥克斯利法案》在数据隐私方面也没有具体要求必须采用NAC解决

方案。

哪种NAC适合你？

用户面临一个问题：面对众多的NAC方案，如何选择？

NAC方案一般可分为基于架构的方案、纯软件方案和专业NAC

设备。Frost&Sullivan公司的研究分析师ChrisRodriguez忠告

用户，应该根据自己的公司规模和业务类型来选择NAC方案。

需要最高安全级别的公司应当考虑部署基于架构的方案，因为

这种方案提供了全面的端到端安全。它还便于灵活部署：可以根据

预算、时间、测试要求和地区等方面的制约条件来逐步部署。这种

方案还易于扩展：它能直接根据网络规模来相