前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全治理范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全治理范文第1篇

【關(guān)鍵詞】 電力企業(yè)；網(wǎng)絡(luò)安全；管理機制

一、電力企業(yè)網(wǎng)絡(luò)安全存在的問題

網(wǎng)絡(luò)本身存在著脆弱性，導(dǎo)致電力企業(yè)網(wǎng)絡(luò)安全存在一定的危險性。威脅手段也分為好多種，包括計算機網(wǎng)絡(luò)病毒的傳播、用戶安全意識薄弱、黑客手段的惡意攻擊等等方式，導(dǎo)致網(wǎng)絡(luò)存在許多安全問題。

1、計算機網(wǎng)絡(luò)病毒的傳播

一般來說，計算機網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)節(jié)點站。計算機病毒一般首先通過有盤工作站到軟盤和硬盤進入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。具體地說，其傳播方式有：病毒直接從有盤站拷貝到服務(wù)器中；病毒先傳染工作站，在工作站內(nèi)存駐留，等運行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器；病毒先傳染工作站，在工作站內(nèi)存駐留，在病毒運行時直接通過映像路徑傳染到服務(wù)器中；如果遠程工作站被病毒侵入，病毒也可以通過通訊中數(shù)據(jù)交換進入網(wǎng)絡(luò)服務(wù)器中。計算機病毒具有感染速度快、擴散面廣、傳播的形式多樣、難以徹底消除、破壞性大等特點。

2、用戶安全意識的淡薄

目前，在網(wǎng)絡(luò)安全問題上還存在不少認知盲區(qū)和制約因素，一部分用戶認為只要在電腦上安裝了殺毒軟件，那么系統(tǒng)就是安全的，不會意外中毒?；蛘呱暇W(wǎng)過程中無意點擊一個網(wǎng)頁鏈接就有可能中了別人的"套"，有的是木馬，有的是病毒，這惡意程序一旦運行就會讀取你本地計算機的信息，你的安全防護即被打破。更有甚者，直接獲取你的IP地址后直接入侵你的個人計算機，從而遠程在線讀取你本地磁盤的文件和相關(guān)信息，你確絲毫沒有發(fā)現(xiàn)已被入侵。這樣的網(wǎng)絡(luò)安全意識淡薄的朋友們一定要注意一些垃圾網(wǎng)站和惡意鏈接。最值得一提的就是大多是用戶在系統(tǒng)安裝完成后，由于個人的惰性，不設(shè)置密碼直接進入系統(tǒng)，或者有的設(shè)置密碼了，但都是弱口令，很容易就能被破解。

3、黑客技術(shù)的惡意入侵

黑客技術(shù)是對計算機系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn)，以及針對這些缺陷實施攻擊的技術(shù)。這里說的缺陷包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤等。黑客技術(shù)對網(wǎng)絡(luò)具有破壞能力，導(dǎo)致了網(wǎng)絡(luò)安全行業(yè)的產(chǎn)生。電力企業(yè)網(wǎng)絡(luò)上有很多重要資料，包括機密度很高的資料。所以，想得到這些資料的人，會通過網(wǎng)絡(luò)攻擊人侵來達到目的。網(wǎng)絡(luò)攻擊人侵是一項系統(tǒng)性很強的工作，主要內(nèi)容包括：目標分析、文檔獲取、密碼破解、登陸系統(tǒng)、獲取資料與日志清除等技術(shù)。一些常用的入侵方式有以下幾種：口令入侵、特洛伊木馬技術(shù)、監(jiān)聽法、e-mail技術(shù)、病毒技術(shù)、隱藏技術(shù)等。

二、電力企業(yè)網(wǎng)絡(luò)安全的基本防范措施

計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。一般來講，計算機網(wǎng)絡(luò)安全的功能主要體現(xiàn)在網(wǎng)絡(luò)、系統(tǒng)、用戶、應(yīng)用程序、數(shù)據(jù)等方面，每一面都應(yīng)該有不同的技術(shù)來達到相應(yīng)的安全保護。針對電力系統(tǒng)網(wǎng)絡(luò)的脆弱性，需要采取的策略機制有以下幾點：

1、密碼策略

我們生活在信息時代，密碼對每個人來說，并不陌生。在電力企業(yè)的網(wǎng)絡(luò)運行環(huán)境中，密碼更是顯得尤為重要?？梢赃@樣說，誰掌握了密碼，誰就掌握了信息資源。密碼的重要性體現(xiàn)在很多方面：用戶認證、訪問控制、安全保密、安全審計、安全恢復(fù)等。2

密碼的形成也不盡相同，它具有不同的加密方式：RSA算法、四方密碼、替換加密法、換位加密法、波雷費密碼，不同的加密法有各自的有點和缺點。密碼技術(shù)有加密技術(shù)、認證技術(shù)和秘鑰管理技術(shù)。密碼分析者攻擊密碼的方式有：窮舉攻擊、統(tǒng)計分析攻擊、數(shù)學(xué)分析攻擊等。

2、防火墻機制

防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實施安全防范的系統(tǒng)，是由一個或一組網(wǎng)絡(luò)設(shè)備組成。防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。防火墻是最近幾年發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制逾出兩個方向通信的門檻。35防火墻邏輯位置示意圖如下圖1所示：

3、入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺，是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實施保護。4Dennying于1987年提出了一個通用的入侵檢測模型，如下圖2所示：

4、虛擬局域網(wǎng)（VLAN）技術(shù)和虛擬專用網(wǎng)（VPN）技術(shù)

局域網(wǎng)的發(fā)展是VLAN產(chǎn)生的基礎(chǔ)，每一個局域網(wǎng)都是一個單獨的廣播域，處于同一個子網(wǎng)的主機節(jié)點可以直接通信，而處于不同子網(wǎng)的設(shè)備主機之間要通信只能通過路由器或交換機進行。隨著發(fā)展，局域網(wǎng)接入主機越來越多，網(wǎng)絡(luò)結(jié)構(gòu)也漸趨復(fù)雜，更多的主機和更多的路由器讓整個網(wǎng)路時延增大，網(wǎng)路傳輸速率下降，因為數(shù)據(jù)包的從一個路由發(fā)到另一個路由，要查詢路由表再選擇最佳路徑轉(zhuǎn)發(fā)出去。

虛擬專用網(wǎng)絡(luò)是企業(yè)網(wǎng)在因特網(wǎng)等公用網(wǎng)絡(luò)上的延伸，通過一個私用的通道來創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)絡(luò)通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。VLAN用來在局域網(wǎng)內(nèi)實施安全防范技術(shù)，而VPN則專用于企業(yè)內(nèi)部網(wǎng)與Internet的安全互聯(lián)。VPN不是一個獨立的物理網(wǎng)絡(luò)，他只是邏輯上的專用網(wǎng)，屬于公網(wǎng)的一部分，是在一定的通信協(xié)議基礎(chǔ)上，通過Internet在遠程客戶機與企業(yè)內(nèi)網(wǎng)之間，建立一條秘密的、多協(xié)議的虛擬專線。

三、構(gòu)建電力企業(yè)網(wǎng)絡(luò)安全管理機制

一個完整的網(wǎng)絡(luò)安全管理系統(tǒng)不只是依賴于高端的科技手段，還需要有優(yōu)秀的管理模式，正所謂“三分技術(shù)，七分管理”。管理是企業(yè)發(fā)展中不可缺少的一部分，它直接影響到企業(yè)的生存和持續(xù)。只有建立完善的安全管理制度，才能使網(wǎng)絡(luò)信息安全管理在企業(yè)中得到充分發(fā)揮，保證信息安全的完整性和可使用性。6

1、建立合理的管理措施

1.1、運行維護管理

建立信息機房管理制度，確保機房運行環(huán)境符合要求，機房出入進行嚴格控制并記錄備案；加強信息化資產(chǎn)管理，建立信息化資產(chǎn)清單，并根據(jù)國家規(guī)定的資產(chǎn)標示規(guī)范對資產(chǎn)進行標識；對信息系統(tǒng)軟硬件設(shè)備選型、采購、使用等實行規(guī)范化管理，建立相應(yīng)操作規(guī)程，對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備操作實行標準化作業(yè)，強化存儲介質(zhì)存放、使用、維護和銷毀等各項措施。定期開展運行日志和審計數(shù)據(jù)分析工作，及時發(fā)現(xiàn)異常行為并進行分析和總結(jié)。

1.2、人員行為管理

加強個人計算機信息安全和保密管理，嚴格用戶帳戶口令管理，嚴格執(zhí)行內(nèi)外網(wǎng)終端使用要求，嚴禁泄漏、竊取企業(yè)保密信息、敏感信息，做到信息不上網(wǎng)，上網(wǎng)信息不；嚴禁利用信息化系統(tǒng)及資源從事與企業(yè)業(yè)務(wù)無關(guān)的事項。加強信息安全督查，定期對網(wǎng)絡(luò)和信息系統(tǒng)進行全面信息安全檢查，包括現(xiàn)有信息安全技術(shù)措施的有效性、安全配置與安全策略的一致性、信息安全管理制度的執(zhí)行情況等。建立信息安全通報及考核機制，定期通報信息安全問題，信息安全執(zhí)行情況將納入企業(yè)信息化考核。

2、建立精湛的技術(shù)措施

堅持“分區(qū)分域、分級保護”的總體防護策略，內(nèi)外網(wǎng)物理隔離，信息系統(tǒng)按照等級保護要求進行防護，對基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等進行全面的安全技術(shù)手段。

2.1、基礎(chǔ)設(shè)施安全

信息機房的新建、改建、擴建必須按照國家有關(guān)規(guī)定和技術(shù)規(guī)范進行。信息機房附近的施工工作不得危害信息系統(tǒng)的安全。制定信息機房管理規(guī)范，加強機房安全監(jiān)控，確保機房運行環(huán)境符合要求。信息系統(tǒng)測試環(huán)境和信息系統(tǒng)正式運行環(huán)境要物理分離。

2.2、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)核心交換機、路由器等網(wǎng)絡(luò)設(shè)備要冗余配置，合理分配網(wǎng)絡(luò)帶寬；根據(jù)業(yè)務(wù)需求劃分不同子網(wǎng)，建立業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問控制；對重要網(wǎng)段采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施。信息內(nèi)網(wǎng)禁止使用無線網(wǎng)絡(luò)組網(wǎng)；采用防火墻或入侵防護設(shè)備對網(wǎng)絡(luò)邊界實施訪問審查和控制；對進出網(wǎng)絡(luò)信息內(nèi)容實施過濾，對應(yīng)用層常用協(xié)議命令進行控制，網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；加強網(wǎng)絡(luò)安全審計工作，定期分析審計報表。

2.3、應(yīng)用安全

加強系統(tǒng)用戶帳戶管理，要求對用戶身份進行鑒別，刪除示例帳戶、測試帳戶，禁止帳戶存在弱口令；加強系統(tǒng)訪問控制管理，保證操作系統(tǒng)與數(shù)據(jù)庫特權(quán)用戶權(quán)限分離；加強系統(tǒng)資源控制，控制用戶會話數(shù)和并發(fā)連接數(shù)，及時監(jiān)測系統(tǒng)故障；加強系統(tǒng)安全審計，應(yīng)定期生成系統(tǒng)審計報表，審計記錄應(yīng)受到保護，避免刪除、修改或破壞。

2.4、數(shù)據(jù)安全

重要和敏感信息實行加密傳輸和存儲；對重要數(shù)據(jù)實行自動、定期備份；對外網(wǎng)站應(yīng)具有防篡改機制和措施。

綜合上述幾方面的論述，企業(yè)必須充分重視和了解網(wǎng)絡(luò)信息系統(tǒng)的安全威脅所在，制定保障網(wǎng)絡(luò)安全的應(yīng)對措施，落實嚴格的安全管理制度，才能使網(wǎng)絡(luò)信息得以安全運行。由于網(wǎng)絡(luò)信息安全的多樣性和互連性，單一的信息技術(shù)往往解決不了信息安全問題，必須綜合運用各種高科技手段和信息安全技術(shù)、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網(wǎng)絡(luò)安全，需要綜合考慮各個方面，包括系統(tǒng)自身的硬件和軟件安全，也包括完善的網(wǎng)絡(luò)管理制度以及先進的網(wǎng)絡(luò)安全技術(shù)等。

參考文獻

[1] 劉凡馨，《黑客攻防》，清華大學(xué)出版社2011

[2] 劉曉輝，《網(wǎng)絡(luò)安全技術(shù)》，化學(xué)工業(yè)出版社2010

[3] 孟洛明，《現(xiàn)代網(wǎng)絡(luò)管理技術(shù)》，北京郵電大學(xué)出版社2001

[4] 唐正軍，《入侵檢測技術(shù)導(dǎo)論》，機械工業(yè)出版社2004

企業(yè)信息安全治理范文第2篇

一、人力資本與物質(zhì)資本的契約關(guān)系:高新技術(shù)企業(yè)與傳統(tǒng)企業(yè)的比較分析

與傳統(tǒng)企業(yè)相比,高新技術(shù)企業(yè)人力資本與物質(zhì)資本的關(guān)系發(fā)生了深刻變化,主要表現(xiàn)在以下三點:

1.從雇用關(guān)系到合作關(guān)系的轉(zhuǎn)變

傳統(tǒng)企業(yè)的最大特征是生產(chǎn)的資本化,即在企業(yè)的創(chuàng)立和發(fā)展過程中,物質(zhì)資本投入比重非常大并遠遠超過人力資本投入比重;同時,從市場供求關(guān)系看,物質(zhì)資本供應(yīng)相對稀缺,而人力資本(主要是普通勞動力)相對充足。因此,傳統(tǒng)企業(yè)的主人是物質(zhì)資本所有者。人力資本在形式上隸屬于物質(zhì)資本,納入到物質(zhì)資本運動中并服從物質(zhì)資本的需要,支配了物質(zhì)資本也就支配了人力資本,產(chǎn)權(quán)的運作僅是物質(zhì)資本的運動,即資本增值和創(chuàng)造利潤的過程。這樣,企業(yè)的契約關(guān)系表現(xiàn)為物質(zhì)資本所有者雇用人力資本所有者的關(guān)系。即使是在“兩權(quán)分離”的現(xiàn)代企業(yè)里,企業(yè)經(jīng)營管理職責(zé)由人力資本所有者(企業(yè)家或職業(yè)經(jīng)理人)承擔(dān),物質(zhì)資本所有者(股東)投入的股本在公司中轉(zhuǎn)化為公司的法人財產(chǎn),這種安排仍沒改變股東是企業(yè)的所有者、經(jīng)營者是股東的被雇用者的狀態(tài),經(jīng)營者僅被視為股東的人,股東通過董事會或股東會“用手投票”行使企業(yè)的控制權(quán),或通過資本市場“用腳投票”制約管理者。

與傳統(tǒng)企業(yè)相比,高新技術(shù)企業(yè)主要依賴于人力資本,這一重要特點決定了高新技術(shù)企業(yè)的創(chuàng)立主要有兩種方式。第一種方式是既擁有高科技知識和創(chuàng)新成果又具有經(jīng)營管理才能的人力資本所有者,通過自身的內(nèi)部融資自己創(chuàng)立企業(yè)和組織生產(chǎn)經(jīng)營活動,由此人力資本與物質(zhì)資本融為一體;第二種方式是擁有創(chuàng)新知識和技術(shù)成果的人力資本所有者,與提供貨幣資本的物質(zhì)資本所有者共同創(chuàng)立企業(yè)和經(jīng)營管理企業(yè)。由于高新技術(shù)企業(yè)投資具有突出的風(fēng)險性,傳統(tǒng)的債務(wù)融資并不適用于企業(yè)的融資需要,因此高新技術(shù)企業(yè)的物質(zhì)資本主要表現(xiàn)為風(fēng)險資本,風(fēng)險資本的突出特點是股權(quán)資本融資,其最終目的是贏利退出,而非長期控制企業(yè),一旦創(chuàng)業(yè)成功風(fēng)險投資者將在市場拋售股票以收回資本、獲得巨額利潤,并開始扶持新的高新技術(shù)企業(yè)。因此,高新技術(shù)企業(yè)是人力資本所有者和物質(zhì)資本所有者在共同利益基礎(chǔ)上創(chuàng)立和發(fā)展的,前者提供管理能力、創(chuàng)新知識和技術(shù)成果,后者提供物質(zhì)資本,企業(yè)的契約關(guān)系從一開始就表現(xiàn)為合作關(guān)系,而不是雇用與被雇用關(guān)系。

2.從單一委托關(guān)系到多重委托關(guān)系的轉(zhuǎn)變

企業(yè)是委托人和人之間圍繞風(fēng)險分配所做的一種契約安排,委托權(quán)的本質(zhì)是承擔(dān)風(fēng)險,因此成為委托人所需的根本條件是承擔(dān)風(fēng)險。在傳統(tǒng)企業(yè),企業(yè)的風(fēng)險主要表現(xiàn)在物質(zhì)資本的風(fēng)險上,物質(zhì)資本所有者幾乎承擔(dān)著企業(yè)的全部風(fēng)險,所以傳統(tǒng)企業(yè)的委托—關(guān)系是以物質(zhì)資本為核心要素構(gòu)建的單一委托關(guān)系,即物質(zhì)所有者是委托人,人力資本所有者是人。但是,在高新技術(shù)企業(yè)里,物質(zhì)資本所有者(即風(fēng)險資本投資者)通常將風(fēng)險資本委托或投資于風(fēng)險投資公司,由風(fēng)險投資公司再投資于高新技術(shù)企業(yè),由于風(fēng)險投資公司的最大優(yōu)勢是資本經(jīng)營與運作而非企業(yè)管理與運行,因此他們一般擔(dān)任董事會建設(shè)者的角色,這樣,風(fēng)險資本投資者不僅不參與高新技術(shù)企業(yè)的創(chuàng)立,而且不參與企業(yè)經(jīng)營管理,而人力資本所有者成為高新技術(shù)企業(yè)創(chuàng)立的主要角色。此時,在現(xiàn)代市場經(jīng)濟條件下,物質(zhì)資本投資者的風(fēng)險日益社會化,風(fēng)險資本不能承擔(dān)企業(yè)全部風(fēng)險,而只是對自己的投資承擔(dān)風(fēng)險,而人力資本在高新技術(shù)企業(yè)的專用性和團隊化日益提高,一旦退出企業(yè)或企業(yè)失敗,其價值將大大降低,人力資本投資者,特別是創(chuàng)業(yè)企業(yè)家和核心技術(shù)人員也成為高新技術(shù)企業(yè)風(fēng)險的承擔(dān)者。顯然,風(fēng)險資本投資者、風(fēng)險投資家、企業(yè)家和技術(shù)創(chuàng)新者形成了風(fēng)險共擔(dān)、收益共享的格局,這種格局打破了只有物質(zhì)資本所有者是惟一的委托人,而其他人只能做人的產(chǎn)權(quán)配置態(tài)勢,傳統(tǒng)的單一的委托關(guān)系發(fā)生了質(zhì)的變化,變成多重委托關(guān)系。在這種新型委托關(guān)系中,每一個所有者在憑借對自己擁有的生產(chǎn)要素產(chǎn)權(quán)行使委托人權(quán)利時,也同時是其他生產(chǎn)要素所有者的人,每一個要素所有者都有資格管理他人,同時也接受他人的管理。如擁有技術(shù)創(chuàng)新能力的人力資本所有者在委托風(fēng)險投資者和企業(yè)家人力資本所有者把自己的創(chuàng)新知識、創(chuàng)新技術(shù)和創(chuàng)新設(shè)計商品化、產(chǎn)業(yè)化時,也他們行使技術(shù)創(chuàng)新的職能。這種新型委托關(guān)系為高新技術(shù)企業(yè)產(chǎn)權(quán)關(guān)系和治理結(jié)構(gòu)優(yōu)化、最大限度降低風(fēng)險創(chuàng)造了條件。

3.從天然對立關(guān)系到有效合作關(guān)系的轉(zhuǎn)變

長期以來,傳統(tǒng)企業(yè)的所有權(quán)被認為是物質(zhì)資本的企業(yè)所有權(quán),在企業(yè)治理結(jié)構(gòu)中只存在一種所有權(quán),即物質(zhì)資本所有權(quán),這種所有權(quán)能夠量化、價值化和資本化;相反,人力資本的企業(yè)所有權(quán)表現(xiàn)為非價值化和非資本化,兩種資本的企業(yè)所有權(quán)是非對稱的。同時,傳統(tǒng)企業(yè)的委托關(guān)系特征決定了人的行為目標應(yīng)該與委托人(股東)的目標一致,即企業(yè)的惟一目標是股東利益的最大化。企業(yè)所有權(quán)主體的惟一性和企業(yè)目標的惟一性導(dǎo)致傳統(tǒng)企業(yè)中物質(zhì)資本所有者和人力資本所有者的天然對立。但是,高新技術(shù)企業(yè)人力資本所有者和物質(zhì)資本所有者的合作性質(zhì)和新型委托關(guān)系,決定了企業(yè)所有權(quán)主體是多元的,企業(yè)的目標既是物質(zhì)資本所有者(股東)利益的最大化,也是人力資本所有者利益的最大化,這有效地實現(xiàn)了兩者利益目標取向的一致性,使兩者的對立關(guān)系轉(zhuǎn)變?yōu)橛行Ш献麝P(guān)系。

二、高新技術(shù)企業(yè)產(chǎn)權(quán)結(jié)構(gòu)特征

1.高新技術(shù)企業(yè)產(chǎn)權(quán)多元化

與傳統(tǒng)企業(yè)相比,高新技術(shù)企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)是多元化的,由兩種主要的產(chǎn)權(quán)形式構(gòu)成,即物質(zhì)資本產(chǎn)權(quán)和人力資本產(chǎn)權(quán)。前者的人格化代表是風(fēng)險資本投資者,其投資主體也是多元化的,主要包括三者:一是政府,如美國政府建立了中小企業(yè)投資公司,為每一美元風(fēng)險投資提供四美元的低息貸款;二是資本市場上的各種金融中介機構(gòu),如證券公司、投資銀行、

保險公司和各種基金組織等,由這些組織組成的各種形式的風(fēng)險投資基金;三是風(fēng)險投資公司,它通常是由一些大公司設(shè)立的。后者的人格化代表是擁有管理能力和技術(shù)創(chuàng)新能力的創(chuàng)業(yè)者(企業(yè)家)和核心技術(shù)人員。高新技術(shù)企業(yè)的高風(fēng)險性,對其創(chuàng)業(yè)者提出了很高的要求,要求他不僅要有全面的專業(yè)知識、豐富的市場經(jīng)驗,而且要有處險不驚、果敢剛毅的人格魅力。在一定意義上可以說,創(chuàng)業(yè)者決定著風(fēng)險企業(yè)是成功還是失敗。因此,創(chuàng)業(yè)者作為企業(yè)創(chuàng)始人以及他的知識和經(jīng)驗作為企業(yè)專用的資產(chǎn),其往往擁有較多的股權(quán)。同時,技術(shù)創(chuàng)新對高新技術(shù)企業(yè)的決定性意義遠勝于一般企業(yè),技術(shù)的復(fù)雜性和不確定性決定了技術(shù)的定價非常困難,甚至無法定價,而且技術(shù)創(chuàng)新過程是一種創(chuàng)造性的智力活動,對技術(shù)創(chuàng)新人員的工作過程和結(jié)果進行監(jiān)督并不能導(dǎo)致效率最大化,因此高新技術(shù)企業(yè)不是采用傳統(tǒng)企業(yè)中將技術(shù)人員置于被雇用者地位的做法,而是將核心技術(shù)以股權(quán)等形式進入企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)安排中。 由物質(zhì)資本產(chǎn)權(quán)和人力資本產(chǎn)權(quán)為主體構(gòu)成的風(fēng)險資本投資者、創(chuàng)業(yè)者和核心技術(shù)人員,一開始就進入高新技術(shù)企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)中。這種產(chǎn)權(quán)結(jié)構(gòu)既強調(diào)物質(zhì)資本產(chǎn)權(quán)的實現(xiàn),也強調(diào)人力資本產(chǎn)權(quán)的實現(xiàn),對兩種產(chǎn)權(quán)的權(quán)利、責(zé)任和利益進行了明確界定:對風(fēng)險資本產(chǎn)權(quán)而言,風(fēng)險資本所占股份為多少,風(fēng)險資本退出的周期多長以及如何實現(xiàn)成功退出,風(fēng)險資本如何進行風(fēng)險控制管理,等等;對人力資本產(chǎn)權(quán)而言,技術(shù)創(chuàng)新的周期多長,技術(shù)創(chuàng)新成果的市場經(jīng)濟價值多大,值多少股份,創(chuàng)業(yè)者在創(chuàng)業(yè)過程中的權(quán)利、責(zé)任與利益如何安排,等等。高新技術(shù)企業(yè)產(chǎn)權(quán)多元化,既激勵約束了風(fēng)險資本投資者,也激勵約束了人力資本所有者,體現(xiàn)了高科技時代企業(yè)增長和經(jīng)濟發(fā)展的創(chuàng)新模式。物質(zhì)資本產(chǎn)權(quán)和人力資本產(chǎn)權(quán)的結(jié)合構(gòu)成了高新技術(shù)企業(yè)產(chǎn)權(quán)的全部內(nèi)涵。

2.人力資本產(chǎn)權(quán)的獨立性、股份化和可交易性

在傳統(tǒng)企業(yè)里,人力資本所有者雖然參與了企業(yè)的剩余索取權(quán)和控制權(quán),但這種權(quán)利并不是以所有者的身份獲得的,而是物質(zhì)資本所有者對人力資本所有者的獎勵或激勵,因此,在企業(yè)產(chǎn)權(quán)結(jié)構(gòu)中,兩種產(chǎn)權(quán)是不對等的,物質(zhì)資本產(chǎn)權(quán)統(tǒng)治和支配著人力資本產(chǎn)權(quán),人力資本產(chǎn)權(quán)從屬于物質(zhì)資本產(chǎn)權(quán),人力資本剩余索取權(quán)僅僅表現(xiàn)為一定量的利潤分享,并沒有股份化和市場化,由此人力資本產(chǎn)權(quán)不能在資本市場進行交易。在高新技術(shù)企業(yè)里,由于人力資本所有者是企業(yè)的合作者之一,因而人力資本產(chǎn)權(quán)是以所有者身份獲取的,是一種獨立的、與物質(zhì)資本產(chǎn)權(quán)對等的產(chǎn)權(quán)形式。

高新技術(shù)企業(yè)人力資本產(chǎn)權(quán)的另一個重要特征是人力資本產(chǎn)權(quán)的股份化和可交易性。人力資本產(chǎn)權(quán)部分是以創(chuàng)業(yè)者身份和技術(shù)創(chuàng)新成果獲得的股份,部分是以企業(yè)家人力資本和技術(shù)型人力資本獲得的股票期權(quán)。隨著高新技術(shù)企業(yè)成長到一定階段,它已積累了一定資產(chǎn),并向有限公司轉(zhuǎn)變,這不僅為人力資本轉(zhuǎn)化為貨幣資本提供了條件,而且為人力資本所有者從對企業(yè)承擔(dān)無限責(zé)任向承擔(dān)有限責(zé)任轉(zhuǎn)變提供了條件。在高新技術(shù)企業(yè)公開招股上市,完成由封閉公司向公眾公司轉(zhuǎn)變時,人力資本產(chǎn)權(quán)的最終實現(xiàn)是產(chǎn)權(quán)的股份化,人力資本所有者本身就成為企業(yè)股份的所有者,真正成為擁有剩余索取權(quán)和剩余控制權(quán)的股東,人力資本所有者的人力資本徹底向貨幣資本轉(zhuǎn)化,并可在資本市場進行交易。因此,在高新技術(shù)企業(yè)發(fā)展過程中,逐步實現(xiàn)人力資本產(chǎn)權(quán)資本化、股份化,并可以在資本市場交易和變現(xiàn),這既能促進人力資本產(chǎn)權(quán)價值的真正實現(xiàn),又對高新技術(shù)企業(yè)發(fā)展和產(chǎn)權(quán)結(jié)構(gòu)調(diào)整具有重要意義。

3.高新技術(shù)企業(yè)產(chǎn)權(quán)高度流動性

高新技術(shù)企業(yè)流動性快,增長性也快,面臨很大的不確定性,風(fēng)險資本投資者投資于高新技術(shù)企業(yè)的目的是為了獲得高額回報,為了控制和避免風(fēng)險,獲取高額收益,無論是風(fēng)險資本投資者還是創(chuàng)業(yè)者,都要求高新技術(shù)企業(yè)的產(chǎn)權(quán)具有高流動性,都要求產(chǎn)權(quán)能迅速變現(xiàn)。首先,高新技術(shù)企業(yè)能根據(jù)企業(yè)發(fā)展階段和經(jīng)營狀況調(diào)整企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)。在高新技術(shù)企業(yè)創(chuàng)立初期,創(chuàng)業(yè)者和風(fēng)險資本投資者根據(jù)出資量和估算的技術(shù)成果市場價值來確定雙方的股權(quán)結(jié)構(gòu),但創(chuàng)業(yè)者一般持有普通股,風(fēng)險資本投資者持有可轉(zhuǎn)換優(yōu)先股或可換股債券等復(fù)合金融工具。可轉(zhuǎn)換優(yōu)先股的優(yōu)勢:一是轉(zhuǎn)換價格和轉(zhuǎn)股比例可以依據(jù)企業(yè)發(fā)展狀況而靈活變化;二是具有優(yōu)先清償權(quán);三是附加有股息率和支付條款。這種優(yōu)勢可以保證風(fēng)險資本投資者在企業(yè)發(fā)展的不同階段選取對自己最有利的股權(quán)方式。因此,創(chuàng)業(yè)者收益與企業(yè)經(jīng)營業(yè)績緊密聯(lián)系,企業(yè)業(yè)績越好,創(chuàng)業(yè)者可獲得更多的股票份額和更高的股票價值;當企業(yè)經(jīng)營不善時,風(fēng)險資本投資者的優(yōu)先股轉(zhuǎn)股比例提高,創(chuàng)業(yè)者持股比例下降,而且在支付優(yōu)先股利息之后,普通股已經(jīng)大大貶值了。這種產(chǎn)權(quán)結(jié)構(gòu)流動既激勵約束了創(chuàng)業(yè)者,也保護了風(fēng)險資本投資者的產(chǎn)權(quán)利益。

其次,高新技術(shù)企業(yè)發(fā)展到成熟階段,風(fēng)險資本投資者能適時將手中的高新技術(shù)企業(yè)產(chǎn)權(quán)轉(zhuǎn)讓變現(xiàn),通過產(chǎn)權(quán)流動實現(xiàn)風(fēng)險資本和人力資本產(chǎn)權(quán)回報。高新技術(shù)企業(yè)產(chǎn)權(quán)流動的主要形式有:一是技術(shù)轉(zhuǎn)讓,即通過將新研發(fā)的技術(shù)賣出,收回風(fēng)險資本投資本金并實現(xiàn)技術(shù)創(chuàng)新者的人力資本價值。二是經(jīng)營運作,一方面通過產(chǎn)品的持續(xù)銷售獲得利潤,逐步收回投資本金;另一方面通過確認人力資本的股權(quán)和持續(xù)的利潤分配,實現(xiàn)各類人力資本產(chǎn)權(quán)的價值。三是資產(chǎn)轉(zhuǎn)讓,即將企業(yè)資產(chǎn)連同新技術(shù)一并賣出,收回風(fēng)險資本投資本金并同時實現(xiàn)各類核心人員的價值。四是股權(quán)轉(zhuǎn)讓,即將一部分或全部股權(quán)轉(zhuǎn)讓給其他投資者,從而收回風(fēng)險資本投資本金和實現(xiàn)人力資本產(chǎn)權(quán)價值。五是公司上市,即通過公司股份在證券交易場所上市流通,賣出股份,收回投資本金和實現(xiàn)人力資本產(chǎn)權(quán)價值。這五種產(chǎn)權(quán)流動形式雖各有優(yōu)勢和不足,但從功能從較角度來看,“公司上市”最為重要。通過提供多元化的風(fēng)險資本退出渠道和建立多層次的資本市場體系促進產(chǎn)權(quán)流動,風(fēng)險資本投資者和人力資本所有者獲得產(chǎn)權(quán)回報,也使企業(yè)獲得進一步發(fā)展。美國通過紐約證券交易所、NASDAQ全國市場及小型市場、各類場外交易市場等多層次資本市場,為風(fēng)險資本提供良好的退出通道,同時為其他投資主體進入高新技術(shù)企業(yè)產(chǎn)權(quán)結(jié)構(gòu)中提供了通道,這就保證高新技術(shù)企業(yè)產(chǎn)權(quán)能迅速、順暢地流動,從而確保了風(fēng)險資本和人力資本產(chǎn)權(quán)的實現(xiàn),也保證了高新技術(shù)企業(yè)持續(xù)穩(wěn)定發(fā)展。

4.高新技術(shù)企業(yè)創(chuàng)業(yè)階段一般采取有限合伙制的產(chǎn)權(quán)制度安排

有限合伙制在產(chǎn)權(quán)結(jié)構(gòu)上具有以下特征:

(1)人力資本產(chǎn)權(quán)的無限責(zé)任與風(fēng)險資本產(chǎn)權(quán)的有限責(zé)任統(tǒng)一。高新技術(shù)企業(yè)創(chuàng)業(yè)階段由有限合伙人和普通合伙人組成,有限合伙人是風(fēng)險資本投資者,其投資量一般占總投資的99%,并以其所投資本承擔(dān)有限責(zé)任,企業(yè)成功后可分得75~85%的資本利潤;普通合伙人是風(fēng)險資本家和創(chuàng)業(yè)者,他們是企業(yè)的管理者和決策層,其投資量僅為總投資的1%,但對企業(yè)的經(jīng)營承擔(dān)連帶無限責(zé)任,成功后可分得15~25%的利潤。人力資本產(chǎn)權(quán)的無限責(zé)任將人力資本與企業(yè)發(fā)展緊密地聯(lián)系在一起,既是一種股份激勵制度,也是一種企業(yè)治理的約束制度,風(fēng)險資本產(chǎn)權(quán)的有限責(zé)任有利于吸納高新技術(shù)企業(yè)所需的資金,因此人力資本產(chǎn)權(quán)的無限責(zé)任和風(fēng)險資本產(chǎn)權(quán)的有限責(zé)任的產(chǎn)權(quán)制度安排,促進了高新技術(shù)企業(yè)的技術(shù)創(chuàng)新和科技成果轉(zhuǎn)化,充分實現(xiàn)了兩種資本的高效配置。

(2)有限期限的封閉式風(fēng)險資本和強制分配條款。風(fēng)險資本投資的主要功能在于向高新技術(shù)企業(yè)提供長期融資,由于高新技術(shù)企業(yè)還未上市,因此風(fēng)險資本投資一般采用封閉式,有限合伙人一般不能撤資,風(fēng)險資本流動性較差,且投資周期有限,通常為7~10年。為了保護有限合伙人的利益,產(chǎn)權(quán)契約規(guī)定投資期滿后,除非2/3的有限合伙人同意延長一年,否則風(fēng)險資本家和創(chuàng)業(yè)者必須退還本金和分配收益。

(3)有限合伙人雖沒有管理權(quán),但在關(guān)鍵問題上有投票的權(quán)利,如有限合伙協(xié)議的修訂,合伙關(guān)系的提前解除,基金壽命的延長,風(fēng)險資本家的撤換等。

三、新技術(shù)企業(yè)治理結(jié)構(gòu)特征

1.強化人力資本治理結(jié)構(gòu)

傳統(tǒng)的公司理論是以“股東資本本位”理論構(gòu)建的,公司被理解為是一個由物質(zhì)資本所有者組織起來的聯(lián)合體

,在股東的資本和管理者、生產(chǎn)者的勞動這兩個生產(chǎn)要素中,為公司提供物質(zhì)資本的“資本家”對企業(yè)擁有絕對的所有權(quán),管理者或生產(chǎn)者只是股東資本的雇傭者。因此,公司治理結(jié)構(gòu)所要解決的問題是,在公司所有權(quán)與經(jīng)營權(quán)分離的條件下,如何確保物質(zhì)資本所有者獲得投資回報,即物質(zhì)資本所有者通過什么機制迫使經(jīng)營者將公司的利潤作為投資回報返還給自己;如何約束經(jīng)營者的行為并使其在物質(zhì)資本所有者的利益范圍內(nèi)從事經(jīng)營活動。但是,在知識經(jīng)濟的模式下,一方面,高新技術(shù)企業(yè)核心價值掌握在人力資本所有者手里,人力資本已經(jīng)成為企業(yè)生存和發(fā)展的決定性生產(chǎn)要素;另一方面,高新技術(shù)企業(yè)的生產(chǎn)、經(jīng)營活動已經(jīng)高度專業(yè)化,分工也越來越細。生產(chǎn)者、經(jīng)營者對專有知識、專有信息獨占性越來越強,與物質(zhì)資本所有者的“信息不對稱”現(xiàn)象也越來越嚴重,并且也越來越不可逾越。在這種情況下,傳統(tǒng)的企業(yè)制度和治理結(jié)構(gòu)形式顯然無法容納人力資本的作用,為了解決上述問題,適應(yīng)高新技術(shù)企業(yè)發(fā)展的需要,高新技術(shù)企業(yè)公司治理結(jié)構(gòu)的重心產(chǎn)生了重大變化,發(fā)生了從“以資為本”向“以人為本”的轉(zhuǎn)變。即企業(yè)已從過去那種以物質(zhì)資本為基礎(chǔ),以物質(zhì)資本的所有者和經(jīng)營者的關(guān)系如何界定為中心的治理結(jié)構(gòu)。轉(zhuǎn)向了以物質(zhì)資本和人力資本為基礎(chǔ),以這兩種資本的權(quán)利關(guān)系如何界定為中心的治理結(jié)構(gòu),企業(yè)治理結(jié)構(gòu)主要圍繞如何激勵以調(diào)動人力資本的積極性和如何適當約束人力資本的短期行為,激勵機制可以保證人力資本應(yīng)有的地位及利益,而約束機制則可以防止人力資本侵犯物質(zhì)資本的利益,從而維護物質(zhì)資本的地位及利益,通過建立激勵與約束兼容的機制來實現(xiàn)兩種資本雙贏。因此,高新技術(shù)企業(yè)的人力資本成為企業(yè)治理結(jié)構(gòu)安排的重要要素,強化人力資本治理結(jié)構(gòu)成為知識經(jīng)濟條件下高新技術(shù)企業(yè)最典型的企業(yè)治理結(jié)構(gòu)形態(tài)。 高新技術(shù)企業(yè)人力資本治理結(jié)構(gòu)主要表現(xiàn)為:首先,人力資本股權(quán)激勵成為高新技術(shù)企業(yè)治理機制的重要組成部分。為了激勵人力資本,高新技術(shù)企業(yè)在股權(quán)安排方面往往通過股權(quán)激勵制度安排使人力資本所有者擁有股權(quán)。股權(quán)激勵采取的形式一般有兩種,一種是將企業(yè)的一部分股權(quán)作為人力資本所有者的非現(xiàn)金收入或直接發(fā)放給他們作為管理股和技術(shù)股,人力資本所有者直接成為企業(yè)所有者;另一種是實行人力資本所有者股票期權(quán),股票期權(quán)是規(guī)定人力資本所有者在某一段時期內(nèi)按照某一約定的較低價格買進股票的權(quán)利,其實質(zhì)是讓經(jīng)營者能夠分享企業(yè)長期發(fā)展之后的價值增值,將人力資本所有者的收益與企業(yè)的利益緊密結(jié)合在一起。這種內(nèi)在的聯(lián)系使得經(jīng)營者克服了決策和規(guī)劃的短期效應(yīng),在公司的經(jīng)營管理和發(fā)展戰(zhàn)略問題上考慮的是企業(yè)的長期贏利能力。在高新技術(shù)企業(yè)治理中,一方面,股權(quán)激勵使人力資本成為企業(yè)的所有者之一,增大了人力資本所有者經(jīng)濟實力,增強了人力資本所有者對企業(yè)的控制能力,從而強化了人力資本在企業(yè)治理結(jié)構(gòu)中的作用;另一方面,股權(quán)激勵使人力資本既分享企業(yè)增長所帶來的收益,也承擔(dān)企業(yè)風(fēng)險所帶來的損失,從而人力資本與企業(yè)的發(fā)展休戚相關(guān),同時,人力資本所有者與物質(zhì)資本所有者形成利益共同體,雙方共同分擔(dān)風(fēng)險,相互制約,相互促進,降低了成本。

其次,董事會作用的弱化和首席執(zhí)行官(CEO)制度的形成。CEO擁有遠遠大于以往總經(jīng)理的權(quán)利,不僅正常的經(jīng)營管理,而且在公司戰(zhàn)略、重大投資、財務(wù)安排等方面擁有很大權(quán)力,還具有提名內(nèi)部董事的資格,因此一般認為CEO擁有相當于50~60%的董事長權(quán)力。董事會的決策作用和監(jiān)督作用都開始弱化,董事會的權(quán)力只局限于挑選一位合格CEO,當公司戰(zhàn)略出現(xiàn)重大失誤或者業(yè)績出現(xiàn)嚴重問題時選擇新的CEO代替前任。與此相對應(yīng)的是,為保證權(quán)力巨大的CEO不濫用權(quán)力,CEO常常以管理層收購或者購買期權(quán)的形式擁有相當數(shù)量的企業(yè)股權(quán),不再是單純的公司雇員。CEO制度的產(chǎn)生實際上表明了高新技術(shù)企業(yè)治理結(jié)構(gòu)的全面調(diào)整,一方面對人力資本和物質(zhì)資本的地位和權(quán)利做重新的界定,主要是提高了人力資本在企業(yè)中的地位,增大了人力資本在企業(yè)中的權(quán)利,而物質(zhì)資本的權(quán)利大多表現(xiàn)在產(chǎn)權(quán)的利益回報上,而不是其他方面,不再強調(diào)物質(zhì)資本對企業(yè)的控制;另一方面對人力資本和物質(zhì)資本進行功能性分工,經(jīng)營活動已由CEO來獨立進行,董事長不再進行重大經(jīng)營決策。

最后,高新技術(shù)企業(yè)風(fēng)險投資制度的發(fā)展更強化了人力資本治理。雖然風(fēng)險資本投資者持有公司相當一部分股權(quán),甚至持有大部分股權(quán),但風(fēng)險投資的持股期限是有限的,對經(jīng)營管理的介入也是有限的,這使得風(fēng)險資本具有某種“借貸資本”的性質(zhì),較多注重收益而較少注重管理。

2.風(fēng)險資本的相機治理

風(fēng)險資本在高新技術(shù)企業(yè)中一般采取相機治理的方式參與企業(yè)治理。風(fēng)險資本在高新技術(shù)企業(yè)投資過程中,通常采用的投資工具有可轉(zhuǎn)換優(yōu)先股、可轉(zhuǎn)換債券和附購股權(quán)債券等。其中可轉(zhuǎn)換優(yōu)先股是最普遍的一種形式,其優(yōu)勢在于:其一,持有優(yōu)先股可優(yōu)先獲得固定的股息,并可以在企業(yè)經(jīng)營狀況良好時通過轉(zhuǎn)換為普通股而分享企業(yè)利潤增長的利益;其二,可轉(zhuǎn)換優(yōu)先股一般附有贖回條款,在投資者對企業(yè)前景信心不足時,持有人可要求企業(yè)贖回股票,從而避免更大的損失,同時也對企業(yè)創(chuàng)業(yè)者形成更大的壓力和約束;其三,可轉(zhuǎn)換優(yōu)先股通過轉(zhuǎn)換為普通股可加強持有人對企業(yè)的監(jiān)督控制。一般企業(yè)的優(yōu)先股意味著優(yōu)先分配利潤和沒有表決權(quán),放棄對企業(yè)重大決策的參與。而在高新技術(shù)企業(yè)里風(fēng)險資本投資者在投入風(fēng)險資本時,投資者和創(chuàng)業(yè)者雙方要簽訂契約,把大量防范風(fēng)險、確保回報的條款列入契約,風(fēng)險投資雖持有優(yōu)先股,卻享有參加董事會并參與重大決策的權(quán)利,享有對某些重大事項如企業(yè)產(chǎn)權(quán)轉(zhuǎn)讓、出售、上市等的完全否決權(quán)或超股權(quán)比例的否決權(quán)?？赊D(zhuǎn)換債券是持有人能以約定期限和約定價格轉(zhuǎn)換為企業(yè)股份的債券,選擇可轉(zhuǎn)換債券使風(fēng)險投資者在取得穩(wěn)定收益的基礎(chǔ)上,通過債權(quán)轉(zhuǎn)股的方式獲得參與企業(yè)經(jīng)營管理并分享成長潛力的機會。附購股權(quán)債券是指風(fēng)險資本以債權(quán)形式進入高新技術(shù)企業(yè)時可獲得一項認股權(quán),即能夠在未來按某一特定價格買進既定數(shù)量的股票,這使得投資者未來可能以較低價格獲得企業(yè)股份,從而加強對企業(yè)的監(jiān)控地位。

3.以高度發(fā)達的人力資本市場和資本市場為主導(dǎo)的外部治理機制

人力資本需要經(jīng)過市場的洗禮,需要在企業(yè)經(jīng)營中證實與不斷證實,如果人力資本所有者的經(jīng)營績效不好,就會失去在人力資本市場中的“聲譽”,很難再有機會成為風(fēng)險資本投資者搜尋的對象。因此,人力資本市場實際上是滿足市場基本門檻、對學(xué)歷、背景、業(yè)績與失誤詳細記載的動態(tài)人群,通過這個市場,作為一種資本的人力資本能不斷流動,把真正具有價值的人力資本留下來,這對企業(yè)中的人力資本形成強大外部壓力,從而對人力資本起到了重要的約束作用。管理者更替是美國高新技術(shù)企業(yè)治理的重要組成部分,這依賴于高度發(fā)達的人力資本市場。在美國高新技術(shù)企業(yè)中大多實行駐守企業(yè)家制度,即風(fēng)險資本投資者通過人力資本市場物色有成功創(chuàng)業(yè)經(jīng)歷的優(yōu)秀企業(yè)家,讓他們在風(fēng)險基金中任職,參與組建高新技術(shù)企業(yè),在必要時擔(dān)任新組建的高新技術(shù)企業(yè)的管理者。

企業(yè)信息安全治理范文第3篇

關(guān)鍵詞：信息安全；防護體系

隨著企業(yè)各個業(yè)務(wù)系統(tǒng)的深化應(yīng)用，企業(yè)的日常運作管理越來越倚重信息化，越來越多的數(shù)據(jù)都存儲在計算機上。信息安全防護變得日益重要，信息安全就是要保證信息系統(tǒng)安全、可靠、持續(xù)運行，防范企業(yè)機密泄露。信息安全包括的內(nèi)容很多，包括主機系統(tǒng)安全、網(wǎng)絡(luò)安全、防病毒、安全加密、應(yīng)用軟件安全等方面。其中任何一個安全漏洞便可以威脅全局。隨著信息化建設(shè)地不斷深入和發(fā)展，數(shù)據(jù)通信網(wǎng)改造后，市縣信息網(wǎng)絡(luò)一體化相互融合，安全防護工作尤顯重要。如何保障縣公司信息網(wǎng)絡(luò)安全成為重要課題。信息安全健康率主要由兩方面體現(xiàn)，一是提升安全防護技術(shù)手段，二是完善安全管理體系。安全防護技術(shù)手段主要側(cè)重于安全設(shè)備的應(yīng)用、防病毒軟件的部署、安全策略的制定、桌面終端的監(jiān)管、安全移動介質(zhì)、主機加固和雙網(wǎng)雙機等方面，安全管理則側(cè)重于信息安全目標的建立、制度的建設(shè)、人員及崗位的規(guī)范、標準流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此，企業(yè)要提升信息安全，必須從管理機制、技術(shù)防護、監(jiān)督檢查、風(fēng)險管控等方面入手，并行采取多種措施，嚴密部署縣公司信息安全防護體系，確保企業(yè)信息系統(tǒng)及網(wǎng)絡(luò)的安全穩(wěn)定運行，主要體現(xiàn)在以下幾方面：

1機制建立是關(guān)鍵

企業(yè)信息安全防護“七分靠管理，三分靠技術(shù)”，沒有嚴謹?shù)墓芾頇C制，安全工作是一紙空談，因此，做好防護工作必須先建立管理體系。一是完善組織機制。在企業(yè)信息安全工作領(lǐng)導(dǎo)小組之下，設(shè)立縣公司數(shù)據(jù)通信網(wǎng)安全防護工作組，由信通管理部門歸口負責(zé)日常工作，落實信息安全各級責(zé)任。將信息安全納入縣公司安全生產(chǎn)體系，進而明確信息安全保障管理和監(jiān)督部門的職責(zé)。建立健全信息安全管理等規(guī)章制度，加強信息安全規(guī)范化管理。二是強化培訓(xùn)機制。根據(jù)近年來信息安全的研究，企業(yè)最大信息安全的威脅來自于內(nèi)部，因此，企業(yè)應(yīng)以“時時講信息安全，人人重信息安全，人人懂信息安全”為目標，開展“教育培訓(xùn)常態(tài)化、形式內(nèi)容多樣化、培訓(xùn)范圍全員化、內(nèi)容難度層次化”培訓(xùn)工作，為信息安全工作開展提供充分的智力保障。企業(yè)應(yīng)充分利用網(wǎng)絡(luò)大學(xué)、企業(yè)門戶、即時通訊等媒介，充實信息安全內(nèi)容，營造信息安全氛圍，進而強化全員信息安全意識。三是建立應(yīng)急機制。完善反應(yīng)靈敏、協(xié)調(diào)有力的信息安全應(yīng)急協(xié)調(diào)機制，修訂完善縣公司數(shù)據(jù)網(wǎng)現(xiàn)場應(yīng)急處置預(yù)案，加強演練。嚴格執(zhí)行特殊時期領(lǐng)導(dǎo)帶班和骨干技術(shù)人員值班制度，進一步暢通安全事件通報渠道，規(guī)范信息安全事件通報程序，做好應(yīng)急搶修人員、物資和車輛準備工作，及時響應(yīng)和處理縣公司信息安全事件。重點落實應(yīng)對光纜中斷、電源失去、設(shè)備故障應(yīng)急保障措施，確保應(yīng)急處置及時有效。杜絕應(yīng)急預(yù)案編制后束之高閣和敷衍應(yīng)付的行為。

2技術(shù)防護是基礎(chǔ)

技術(shù)防護要從基礎(chǔ)管理、邊界防護、安全加固等方面入手[2]。（1）基礎(chǔ)管理方面。一是技術(shù)資料由專人負責(zé)組織歸類、整理，設(shè)備或接線如有變化，其圖紙、模擬圖板、設(shè)備臺帳和技術(shù)檔案等均應(yīng)及時進行修正。二是將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標識，屏（柜）前后屏眉有信息專業(yè)統(tǒng)一規(guī)范的名稱。三是設(shè)備自安裝運行之日起建立單獨的設(shè)備檔案，有月度及年度檢修計劃并按計劃進行檢修，檢修記錄完整。所有設(shè)備的調(diào)試、修復(fù)、移動及任一信息線或網(wǎng)絡(luò)線的拔插和所有設(shè)備的開關(guān)動作，都按有關(guān)程序嚴格執(zhí)行，并在相應(yīng)的設(shè)備檔案中做好記錄。四是加強運行值班監(jiān)視和即時報告，確保系統(tǒng)缺陷和異常及時發(fā)現(xiàn)，及時消除。（2）安全隔離方面。安全隔離與信息交換系統(tǒng)（網(wǎng)閘）由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機間按照指定的周期進行安全數(shù)據(jù)的擺渡，從而在保證內(nèi)外網(wǎng)隔離的情況下，實現(xiàn)可靠、高效的安全數(shù)據(jù)交換，而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動完成，用戶只需依據(jù)自身業(yè)務(wù)特點定制合適的安全策略，既可以實現(xiàn)內(nèi)外網(wǎng)絡(luò)進行安全數(shù)據(jù)通信，在保障用戶信息系統(tǒng)安全性的同時，最大限度保證客戶應(yīng)用的方便性。（3）邊界防護方面。一是部署防火墻，做好網(wǎng)絡(luò)隔離。在路由器與核心交換機之間配置防火墻，并設(shè)置詳細的安全防護策略。防火墻總體策略應(yīng)是白名單防護策略（即整體禁止，根據(jù)需要開放白名單中地址）。將內(nèi)部區(qū)域（下聯(lián)口）權(quán)限設(shè)置為禁止、外部區(qū)域（上聯(lián)口）權(quán)限設(shè)置為允許。定義防火墻管理地址范圍，針對PING、Webui、Gui三種服務(wù)進行設(shè)置：只允許特定管理員地址遠程管理。二是嚴格執(zhí)行防火墻策略調(diào)整審批程序，需要進行策略調(diào)整的相關(guān)單位，必須填寫申請單，且必須符合相關(guān)安全要求，經(jīng)審批后進行策略調(diào)整。三是嚴禁無線設(shè)備接入。（4）安全加固方面。一是應(yīng)以最小權(quán)限原則為每個帳號分配其必須的角色、系統(tǒng)權(quán)限、對象權(quán)限和語句權(quán)限，刪除系統(tǒng)多余用戶，避免使用弱口令。二是安裝系統(tǒng)安全補丁，對掃描或手工檢查發(fā)現(xiàn)的系統(tǒng)漏洞進行修補。三是關(guān)閉網(wǎng)絡(luò)設(shè)備中不安全的服務(wù)，確保網(wǎng)絡(luò)設(shè)備只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)。四是配置網(wǎng)絡(luò)設(shè)備的安全審計功能和訪問控制策略。五是開展風(fēng)險評估工作中，認真分析網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、薄弱環(huán)節(jié)，綜合運用評估工具，在常規(guī)評估內(nèi)容基礎(chǔ)上，加強滲透性驗證測試和密碼脆弱性測試，重視對系統(tǒng)結(jié)構(gòu)與配置的安全評估。根據(jù)評估結(jié)果，及時提出并落實整改方案，實施安全加固措施。

3監(jiān)督檢查是保障

全面落實“按制度辦事，讓標準說話”的信息安全管理準則，在企業(yè)指導(dǎo)下，由縣公司信通專業(yè)牽頭，業(yè)務(wù)部門主導(dǎo)，分工協(xié)作建立督查機制，加強過程安全管控與全方位安全監(jiān)測，推進安全督查隊伍一體化管理，完善督查流程和標準，開展好安全督查工作，以監(jiān)督促進安全提升。一是全面提升責(zé)任部門安全人員專業(yè)技術(shù)水平，加強督查隊伍建設(shè)。二是完善督查機制，對督查中發(fā)現(xiàn)的問題督促落實整改，并開展分析總結(jié)，通報相關(guān)情況。三是開展常態(tài)督查，通過軟件掃描、終端監(jiān)測等手段，確保監(jiān)測全方位。四是加強考核，開展指標評價。保障督查管理水平和工作質(zhì)量。

險管控是對策

為確保公司信息化網(wǎng)絡(luò)安全，公司要將被動的事件驅(qū)動型管理模式轉(zhuǎn)變?yōu)橹鲃拥娘L(fēng)險管控模式，主動地對威脅和風(fēng)險進行評估，主動地采取風(fēng)險處置措施。通過資源的調(diào)控實現(xiàn)對信息安全工作的調(diào)控。公司應(yīng)在信息安全治理過程中大量借鑒管理學(xué)方法，進行動態(tài)的控制和治理，通過治理的流程控制措施進行資源的調(diào)配，實現(xiàn)對關(guān)鍵項目、關(guān)鍵技術(shù)、關(guān)鍵措施的扶持，對非關(guān)鍵活動的控制，確保公司信息化網(wǎng)絡(luò)安全。數(shù)據(jù)通信網(wǎng)升級改造為企業(yè)信息化發(fā)展擴展了領(lǐng)域，同時，對信息安全工作提出了新的課題和更高的要求。本文通過分析企業(yè)信息化安全管理過程中的一些薄弱環(huán)節(jié)，提出了安全防護經(jīng)驗的措施，從管理機制、技術(shù)防護、監(jiān)督檢查、風(fēng)險管控等方面入手，提高了縣公司全體人員信息化安全意識，極大地保障了企業(yè)系統(tǒng)（含縣公司）信息網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運行，完善了縣公司信息安全策略及總體防護體系，密織信息安全防護網(wǎng)，保障數(shù)據(jù)網(wǎng)不失密、不泄密，不發(fā)生信息安全事件。公司下一步將加強信息化常態(tài)安全巡檢，加強信息化相關(guān)資料的管理，加強單位干部員工的信息化安全培訓(xùn)力度，進一步完善信息安全策略及總體防護體系。提高全體人員信息化安全意識，保障信息化網(wǎng)絡(luò)安全。企業(yè)信息安全建設(shè)是一項復(fù)雜的綜合系統(tǒng)工程，涵蓋了公司員工、技術(shù)、管理等多方面因素。企業(yè)要實現(xiàn)信息安全，必須加強安全意識培訓(xùn)，制定明確的規(guī)章制度，綜合各項信息安全技術(shù)，建立完善的信息安全管理體系，并將信息安全管理始終貫徹落實于企業(yè)各項活動的方方面面，做到管理和技術(shù)并重，形成一套完善的信息安全防護體系。

參考文獻：

[1]馬貴峰,馬巨革.構(gòu)建網(wǎng)絡(luò)信息安全防護體系的思路及方法——淺談網(wǎng)絡(luò)信息安全的重要發(fā)展方向[J].信息系統(tǒng)工程,2010(6).

企業(yè)信息安全治理范文第4篇

1.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全

2.用戶參與對信息安全管理有效性的影響——多重中介方法

3.基于信息安全風(fēng)險評估的檔案信息安全保障體系構(gòu)架與構(gòu)建流程

4.論電子檔案開放利用中信息安全保障存在的問題與對策

5.美國網(wǎng)絡(luò)信息安全治理機制及其對我國之啟示

6.制度壓力、信息安全合法化與組織績效——基于中國企業(yè)的實證研究

7.“棱鏡”折射下的網(wǎng)絡(luò)信息安全挑戰(zhàn)及其戰(zhàn)略思考

8.再論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全

9.“云計算”時代的法律意義及網(wǎng)絡(luò)信息安全法律對策研究

10.計算機網(wǎng)絡(luò)信息安全及其防護對策

11.網(wǎng)絡(luò)信息安全防范與Web數(shù)據(jù)挖掘技術(shù)的整合研究

12.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策

13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角

14.論國民信息安全素養(yǎng)的培養(yǎng)

15.國民信息安全素養(yǎng)評價指標體系構(gòu)建研究

16.高校信息安全風(fēng)險分析與保障策略研究

17.大數(shù)據(jù)信息安全風(fēng)險框架及應(yīng)對策略研究

18.信息安全學(xué)科體系結(jié)構(gòu)研究

19.檔案信息安全保障體系框架研究

20.美國關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測預(yù)警機制演進與啟示

21.美國政府采購信息安全法律制度及其借鑒

22.“5432戰(zhàn)略”:國家信息安全保障體系框架研究

23.智慧城市建設(shè)對城市信息安全的強化與沖擊分析

24.信息安全技術(shù)體系研究

25.電力系統(tǒng)信息安全研究綜述

26.美國電力行業(yè)信息安全工作現(xiàn)狀與特點分析

27.國家信息安全協(xié)同治理:美國的經(jīng)驗與啟示

28.論大數(shù)據(jù)時代信息安全的新特點與新要求

29.構(gòu)建基于信息安全風(fēng)險評估的檔案信息安全保障體系必要性研究

30.工業(yè)控制系統(tǒng)信息安全研究進展

31.電子文件信息安全管理評估體系研究

32.社交網(wǎng)絡(luò)中用戶個人信息安全保護研究

33.信息安全與網(wǎng)絡(luò)社會法律治理:空間、戰(zhàn)略、權(quán)利、能力——第五屆中國信息安全法律大會會議綜述

34.三網(wǎng)融合下的信息安全問題

35.云計算環(huán)境下信息安全分析

36.信息安全風(fēng)險評估研究綜述

37.淺談網(wǎng)絡(luò)信息安全技術(shù)

38.云計算時代的數(shù)字圖書館信息安全思考

39.“互聯(lián)網(wǎng)+金融”模式下的信息安全風(fēng)險防范研究

40.故障樹分析法在信息安全風(fēng)險評估中的應(yīng)用

41.信息安全風(fēng)險評估風(fēng)險分析方法淺談

42.計算機網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)

43.用戶信息安全行為研究述評

44.數(shù)字化校園信息安全立體防御體系的探索與實踐

45.大數(shù)據(jù)時代面臨的信息安全機遇和挑戰(zhàn)

46.企業(yè)信息化建設(shè)中的信息安全問題

47.基于管理因素的企業(yè)信息安全事故分析

48.借鑒國際經(jīng)驗 完善我國電子政務(wù)信息安全立法

49.美國信息安全法律體系考察及其對我國的啟示

50.論網(wǎng)絡(luò)信息安全合作的國際規(guī)則制定  

51.國外依法保障網(wǎng)絡(luò)信息安全措施比較與啟示

52.云計算下的信息安全問題研究

53.云計算信息安全分析與實踐

54.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考

55.歐盟信息安全法律框架之解讀

56.組織信息安全文化的角色與建構(gòu)研究

57.國家治理體系現(xiàn)代化視域下地理信息安全組織管理體制的重構(gòu)

58.信息安全本科專業(yè)的人才培養(yǎng)與課程體系

59.美國電力行業(yè)信息安全運作機制和策略分析

60.信息安全人因風(fēng)險研究進展綜述

61.信息安全:意義、挑戰(zhàn)與策略

62.工業(yè)控制系統(tǒng)信息安全新趨勢

63.基于MOOC理念的網(wǎng)絡(luò)信息安全系列課程教學(xué)改革

64.信息安全風(fēng)險綜合評價指標體系構(gòu)建和評價方法

65.企業(yè)群體間信息安全知識共享的演化博弈分析

66.智能電網(wǎng)信息安全及其對電力系統(tǒng)生存性的影響

67.中文版信息安全自我效能量表的修訂與校驗

68.智慧城市環(huán)境下個人信息安全保護問題分析及立法建議

69.基于決策樹的智能信息安全風(fēng)險評估方法

70.互動用電方式下的信息安全風(fēng)險與安全需求分析

71.高校信息化建設(shè)進程中信息安全問題成因及對策探析

72.高校圖書館網(wǎng)絡(luò)信息安全問題及解決方案

73.國內(nèi)信息安全研究發(fā)展脈絡(luò)初探——基于1980-2010年CNKI核心期刊的文獻計量與內(nèi)容分析

74.云會計下會計信息安全問題探析

75.智慧城市信息安全風(fēng)險評估模型構(gòu)建與實證研究

76.試論信息安全與信息時代的國家安全觀

77.IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標準綜述

78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義

79.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀

80.大學(xué)生信息安全素養(yǎng)分析與形成

81.車聯(lián)網(wǎng)環(huán)境下車載電控系統(tǒng)信息安全綜述

82.組織控制與信息安全制度遵守:面子傾向的調(diào)節(jié)效應(yīng)

83.信息安全管理領(lǐng)域研究現(xiàn)狀的統(tǒng)計分析與評價

84.網(wǎng)絡(luò)信息安全及網(wǎng)絡(luò)立法探討

85.神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險評估中應(yīng)用研究

86.信息安全風(fēng)險評估模型的定性與定量對比研究

87.美國信息安全戰(zhàn)略綜述

88.信息安全風(fēng)險評估的綜合評估方法綜述

89.信息安全產(chǎn)業(yè)與信息安全經(jīng)濟分析

90.信息安全政策體系構(gòu)建研究

91.智能電網(wǎng)物聯(lián)網(wǎng)技術(shù)架構(gòu)及信息安全防護體系研究

92.我國網(wǎng)絡(luò)信息安全立法研究

93.電力信息安全的監(jiān)控與分析

94.從復(fù)雜網(wǎng)絡(luò)視角評述智能電網(wǎng)信息安全研究現(xiàn)狀及若干展望

95.情報素養(yǎng):信息安全理論的核心要素

96.信息安全的發(fā)展綜述研究

97.俄羅斯聯(lián)邦信息安全立法體系及對我國的啟示

98.國家信息安全戰(zhàn)略的思考

企業(yè)信息安全治理范文第5篇

關(guān)鍵詞：信息系統(tǒng)；安全防護；安全域；邊界安全

中圖分類號：TP393.08

隨著電網(wǎng)企業(yè)信息化建設(shè)的逐步推進，大批信息系統(tǒng)相繼投入運行，信息系統(tǒng)幾乎貫穿于電網(wǎng)企業(yè)的各項工作環(huán)節(jié)，信息化建設(shè)對于提高國家電網(wǎng)公司經(jīng)營生產(chǎn)管理水平、支撐集團化運作、集約化發(fā)展發(fā)揮了重要作用。但同時，若信息系統(tǒng)存在信息安全方面的問題，就會影響電力系統(tǒng)的安全、穩(wěn)定運行，進而影響電網(wǎng)的可靠供電。因此，信息系統(tǒng)安全成為電網(wǎng)企業(yè)信息化工作的重中之重。

1 電網(wǎng)企業(yè)信息安全防護總體思路

電網(wǎng)企業(yè)信息系統(tǒng)安全防護要貫徹國家有關(guān)信息安全防護政策，全面落實國家電網(wǎng)公司信息安全相關(guān)的各項政策和制度，平衡信息安全風(fēng)險和防護成本之間的關(guān)系，優(yōu)化資源配置，在有限的成本下，使風(fēng)險最小化，最大程度地保障信息系統(tǒng)的安全穩(wěn)定運行，同時根據(jù)信息安全等級保護制度的相關(guān)要求，著重加強與公司重大利益相關(guān)的重要系統(tǒng)的安全防護。電網(wǎng)企業(yè)信息安全防護應(yīng)遵循“分區(qū)分域、安全接入、動態(tài)感知、精益管理、全面防護”的安全策略，完善防護機制，健全信息安全管理措施和安全技術(shù)手段，完善信息安全基礎(chǔ)支撐平臺，提升信息安全綜合治理水平，滿足公司智能電網(wǎng)建設(shè)和“三集五大”對信息安全的需求。

2 電網(wǎng)企業(yè)信息安全防護措施

2.1 安全域劃分

2.1.1 安全域的定義

安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，同一安全域的系統(tǒng)共享相同的安全保障策略。安全域是一組具有安全防護共性的系統(tǒng)的邏輯集合，一個安全域可以包括一個或多個物理或邏輯網(wǎng)段。分域防護的目標不僅是為了實現(xiàn)邊界防護，而且是一組在網(wǎng)絡(luò)、主機、應(yīng)用等多個層次上深層防護措施的體現(xiàn)。

2.1.2 安全域的劃分

安全域的劃分應(yīng)依據(jù)總體防護方案中定義的“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域”的方法進行，結(jié)合某省電力公司的應(yīng)用系統(tǒng)使用情況，將整個信息系統(tǒng)共計分為8個安全域。

2.1.3 安全域的實現(xiàn)

安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域為主，旨在實現(xiàn)各安全區(qū)域的邏輯劃分，明確邊界以對各安全域分別防護，并且進行域間邊界控制，安全域的實體展現(xiàn)為一個或多個物理網(wǎng)段或邏輯網(wǎng)段的集合。

2.2 信息系統(tǒng)邊界安全

邊界安全防護是檢測出入邊界的數(shù)據(jù)信息，并對其進行有效控制的防護措施。根據(jù)邊界類型的不同，需采取不同的防護措施。

信息系統(tǒng)邊界主要分為信息外網(wǎng)邊界和信息內(nèi)網(wǎng)邊界兩大類，其中信息外網(wǎng)邊界主要包括縱向邊界和橫向域間邊界；信息內(nèi)網(wǎng)邊界主要包括縱向邊界、橫向域間邊界和第三方邊界。

2.2.1 信息外網(wǎng)域及邊界安全

根據(jù)電網(wǎng)企業(yè)安全域的劃分，外網(wǎng)包含外網(wǎng)桌面終端系統(tǒng)域、外網(wǎng)應(yīng)用系統(tǒng)域和二級系統(tǒng)域共3個區(qū)域，對其防護主要從邊界網(wǎng)絡(luò)訪問控制方面考慮。

（1）實施邊界網(wǎng)絡(luò)訪問控制：在外網(wǎng)邊界部署防火墻，對進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略；在外網(wǎng)系統(tǒng)域的邊界處部署防火墻，對進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略；（2）外網(wǎng)桌面終端病毒防護：通過部署殺毒軟件，實現(xiàn)對外網(wǎng)桌面終端的防病毒管理；（3）入侵防護系統(tǒng)：在互聯(lián)網(wǎng)出口處，部署入侵防護系統(tǒng)（Intrusion Prevention System，IPS），同時在IPS上開啟針對蠕蟲病毒、網(wǎng)絡(luò)病毒的入侵防護功能，主動發(fā)現(xiàn)主要的攻擊行為和惡意信息的傳輸；（4）外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫審計：在網(wǎng)絡(luò)核心處部署網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計系統(tǒng)，通過網(wǎng)絡(luò)審計系統(tǒng)可以對信息外網(wǎng)進行監(jiān)控，分析主機負載，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，并繪制出直觀的流量曲線圖、柱狀圖，有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。

通過數(shù)據(jù)庫審計可以主動收集各類對數(shù)據(jù)庫的訪問，進行記錄和分析的措施，彌補數(shù)據(jù)庫日志審計對實際活動記錄的不足，有效保護重要的數(shù)據(jù)庫系統(tǒng)，審計的結(jié)果有助于系統(tǒng)管理人員分析各類服務(wù)器被訪問的情況，并通過訪問還原技術(shù)，清楚地看到對數(shù)據(jù)庫系統(tǒng)進行訪問的過程情況。

2.2.2 信息內(nèi)網(wǎng)域及邊界安全

信息內(nèi)網(wǎng)邊界安全防護主要從邊界網(wǎng)絡(luò)訪問控制、入侵檢測、終端安全防護、鏈路冗余等方面考慮。

（1）邊界網(wǎng)絡(luò)訪問控制：建立各應(yīng)用系統(tǒng)匯聚層，不同應(yīng)用系統(tǒng)之間采用VLAN技術(shù)邏輯隔離，禁止直接互訪，并在匯聚交換機與核心交換機之間部署防火墻，檢測經(jīng)過的所有數(shù)據(jù)，對進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略。在信息內(nèi)網(wǎng)縱向向上邊界處部署防火墻，對進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略。在信息內(nèi)網(wǎng)第三方邊界處部署防火墻，對進出第三方邊界的數(shù)據(jù)流制定訪問控制策略。在信通網(wǎng)絡(luò)接入邊界部署防火墻，對進出信通網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略；（2）實施入侵檢測：采用入侵檢測系統(tǒng)（Intrusion DetectionSystems，IDS）對于流經(jīng)內(nèi)網(wǎng)邊界和重要信息系統(tǒng)的信息流進行入侵檢測，通過入侵檢測系統(tǒng)發(fā)現(xiàn)主要的攻擊行為和各種惡意信息的傳輸。因此，在安全域的建設(shè)中，在核心交換機上旁路和三級系統(tǒng)匯聚層部署入侵檢測系統(tǒng)，同時對主、備核心交換機進行檢測；（3）外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫審計：部署網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計系統(tǒng)，通過網(wǎng)絡(luò)審計系統(tǒng)可以對信息外網(wǎng)進行監(jiān)控，分析主機負載，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，并繪制出直觀的流量曲線圖、柱狀圖，有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。通過數(shù)據(jù)庫審計可以主動收集各類對數(shù)據(jù)庫的訪問，進行記錄和分析的措施，彌補數(shù)據(jù)庫日志審計對實際活動記錄的不足，有效保護重要的數(shù)據(jù)庫系統(tǒng)，審計的結(jié)果有助于系統(tǒng)管理人員分析各類服務(wù)器被訪問的情況，并通過訪問還原技術(shù)，清楚地看到對數(shù)據(jù)庫系統(tǒng)進行訪問的過程情況。

2.3 主機系統(tǒng)安全

（1）主機安全加固：采取調(diào)整主機的系統(tǒng)、網(wǎng)絡(luò)、服務(wù)等配置的措施來提升主機的安全性，主要加固措施包括補丁加載、賬戶及口令的設(shè)置、登錄控制、關(guān)閉無用的服務(wù)、文件和目錄權(quán)限控制等；（2）進行補丁管理：各種操作系統(tǒng)均存在安全漏洞，應(yīng)定時安裝、加載操作系統(tǒng)補丁，避免安全漏洞造成的主機風(fēng)險。但針對不同的應(yīng)用系統(tǒng)，安裝操作系統(tǒng)補丁可能會對其造成不同程度的影響，因此，應(yīng)在測試環(huán)境中先行測試安裝操作系統(tǒng)補丁是否會對應(yīng)用系統(tǒng)造成不良影響，確保安全無誤后，方可應(yīng)用于正式環(huán)境中；（3）加強防病毒管理：實時監(jiān)控防病毒軟件的運行情況，對未安裝防病毒軟件或未及時升級更新病毒庫的主機，確認其位置和未安裝或未及時更新的原因，及時解決問題，并采取措施確保不再發(fā)生。

3 結(jié)束語

信息安全防護是國家電網(wǎng)公司“十二五”期間信息化保障體系的重要組成部分，也是未來信息發(fā)展的趨勢。本文對信息系統(tǒng)電網(wǎng)企業(yè)信息系統(tǒng)安全防護思路及措施開展了研究與探討，提出了安全域劃分、信息系統(tǒng)邊界安全、主機系統(tǒng)安全的防護方案和實現(xiàn)方法，能夠有效提高電網(wǎng)企業(yè)信息系統(tǒng)的可靠性和安全性，具備較好的可行性和應(yīng)用價值。

參考文獻：

[1]王謙.電力企業(yè)信息系統(tǒng)安全等級保護的研究[J].硅谷，2011（23）.