时间:2023-06-14 09:35:41
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全培训技术,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
制定网络安全基线
网络安全基线是阻止未经授权信息泄露、丢失或损害的第一级安全标准。确保与产品相关的人员、程序和技术都符合基线,将有效提高政府的网络安全等级。网络安全基线应体现在采办程序的技术需求以及性能标准中,以明确在整个采办生命周期内产品或服务的网络风险。由于资源有限以及采办中风险的多样性,政府应采取渐进和基于风险的方法,逐步增加超越基线的网络安全需求。这种需求应在合同内清晰且专门列出。
开展网络安全培训
政府应对工业合作伙伴开展采办网络安全培训。通过这种培训向工业合作伙伴明确展示,政府正通过基于风险的方法调整与网络安全相关的采购活动,且将在特定采办活动中提出更多网络安全方面的要求。
明确通用关键网络安全事项定义
明确联邦采办过程中关键网络安全事项的定义将提高政府和私营部门的效率和效益。需求的有效开发和完善很大程度上依赖于对关键网络安全事项的共同认识。在采办过程中,不清晰、不一致的关键网络安全事项定义将导致网络安全不能达到最优效果。定义的清晰界定应建立在公认或国际通用的标准上。
建立采办网络风险管理战略
政府需要一个部门内普遍适用的采办网络风险管理战略。该战略将成为政府企业风险管理战略的一部分,并要求政府部门确保其行为符合采办网络风险目标。该战略应建立在政府通用的采办愿景基础上,并与美国家标准与技术研究院制定的“网络安全框架”相匹配。战略应为采办建立网络风险等级,并包含基于风险的采办优先次序。战略还应包含完整的安全需求。制定战略时,政府应将网络风险列入企业风险管理,并积极与工业界、民间和政府机构以及情报机构合作,共享已验证的、基于结果的风险管理程序和最佳经验。
加强采购来源的网络风险管控
确保提供给政府的产品真实、未被篡改和替代是降低网络风险的重要环节。伪冒产品往往不能进行安全更新,或达不到原始设备制造商产品的安全标准。政府需要从原始设备制造商、授权商获取产品,或者从合格供应商表中确定可信采购来源。政府通过一系列基于采办类型的网络安全标准,评估供应商的可信情况,建立合格供应商表。即便来自可信采购来源的产品也可能存在网络安全缺陷。对此,政府应限制原始设备制造商、授权商以及可信供应商的来源,并将资格要求贯彻到全采办生命周期。政府从供应商获取产品或服务时,若供应商未与原始设备制造商建立信任关系,政府应要求其就产品的安全和完整性提供担保。
第二条本省行政区域内计算机信息系统的安全保护,适用本细则。
军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第三条县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。
第二章安全监督
第四条公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)组织实施计算机信息系统安全评估、审验;
(三)查处计算机违法犯罪案件;
(四)组织处置重大计算机信息系统安全事故和事件;
(五)负责计算机病毒和其他有害数据防治管理工作;
(六)对计算机信息系统安全服务和安全专用产品实施管理;
(七)负责计算机信息系统安全培训管理工作;
(八)法律、法规和规章规定的其他职责。
第五条公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查,每年不应少于一次。
第六条公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。
第七条公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制,依法及时查处通过计算机信息系统进行的违法犯罪行为,组织处置重大突发事件。
第三章安全保护责任
第八条单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。
提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。
第九条网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施,安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。
第十条计算机信息系统使用单位和个人为了保护计算机信息系统的安全,可以与安全服务机构明确服务项目和要求,建立相对稳定的服务关系。
第四章安全专用产品
第十一条计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前,应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并报省公安厅公共信息网络安全监察部门备案。
第十二条本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。
(一)单位简况;
(二)营业执照复印件;
(三)安全专用产品类型、功能等情况;
(四)主要技术人员资格证书复印件。
第十三条销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案,填写《广东省信息网络安全检测产品销售备案表》,并提交如下资料:
(一)单位简况;
(二)营业执照复印件;
(三)信息网络安全检测产品销售和售后服务管理制度;
(四)主要技术人员资格证书和销售人员有效证件复印件。
第十四条信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用,不得出租、出借、转让、赠送,不得擅自用于检测他人计算机信息系统。
用户购买信息网络安全检测产品,应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续,公安机关应当在15日内予以办理,发给《信息网络安全检测产品购买备案表》;不予办理的,应当书面说明理由。
用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后,应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。
第十五条信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。
销售信息网络安全检测产品的单位,应当负责产品的使用授权和维护、更新。
第五章安全服务机构
第十六条安全服务资质实行等级管理,分一、二、三、四级。各等级所对应的承担工程的资格如下:
(一)一级:可承担所有计算机信息系统安全设计、建设、检测;
(二)二级:可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测,合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测;
(三)三级:可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测,合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测;
(四)四级:可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设,合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。
第十七条各安全服务资质等级条件如下:
一级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本1200万元以上,近3年的财务状况良好;
(三)近3年完成计算机信息系统安全服务项目总值3000万元以上,并承担过至少1项450万元以上或至少4项150万元以上的项目;所完成的安全服务项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于900万元);工程按合同要求质量合格,已通过验收并投入实际应用;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于50人,其中大学本科以上学历的人员不少于40人;
(五)安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于5年;
(六)具有较强的综合实力,有先进、完整的软件及系统开发环境和设备,具有较强的技术开发能力;
(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制,并能不断改进;
(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。
(九)竣工项目均通过验收;
(十)无触犯计算机信息系统安全保护等有关法律法规的行为。
二级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本500万元以上,近3年的财务状况良好;
(三)近3年完成计算机信息系统安全服务项目总值1500万元以上,并承担过至少1项225万元以上或至少3项120万元以上的项目;所完成的安全服务项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于450万元);工程按合同要求质量合格,已通过验收并投入实际应用;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于40人,其中大学本科以上学历的人员不少于30人;
(五)安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于4年;
(六)具有先进、完整的软件及系统开发环境和设备,有较强的技术开发能力;
(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制;
(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;
(九)竣工项目均通过验收;
(十)无触犯计算机信息系统安全保护等有关法律法规的行为。
三级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本100万元以上,近3年的财务状况良好;
(三)近3年完成计算机信息系统安全服务项目总值600万元以上;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的30%以上(即不低于180万元);工程按合同要求质量合格,已通过验收并投入实际应用;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;
(五)安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于3年;
(六)具有与所承担项目相适应的软件及系统开发环境和设备,具有一定的技术开发能力;
(七)具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理;
(八)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;
(九)竣工项目均通过验收;
(十)无触犯计算机信息系统安全保护等有关法律法规的行为。
四级资质:
(一)具有相应经营范围的营业执照;
(二)注册资本30万元以上,近3年的财务状况良好;
(三)具有计算机安全或相关专业资格证书的专业技术人员不少于15人;
(四)安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事计算机信息系统安全集成工作不少于2年;
(五)具有与所承担项目相适应的软件及系统开发环境和设备,具有一定的技术开发能力;
(六)具有较为完善的组织管理制度、质量保证体系和客户服务体系;
(七)具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施;
(八)竣工项目均通过验收;
(九)无触犯计算机信息系统安全保护等有关法律法规的行为。
第十八条申请安全服务资质,应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)申请书;
(二)营业执照复印件;
(三)管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书;
(四)技术装备情况及组织管理制度报告。
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门核准;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。不符合条件的,作出不予核准的决定并说明理由。
持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。
第十九条从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。
承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制,择优授权,应具备下列条件:
(一)具有三级以上安全服务资质;
(二)中国公民或者组织持有的股权或者股份不少于51%;
(三)具有提供长期服务的能力和良好信誉;
(四)具有自主开发的信息网络安全检测产品。
辖区内无符合条件的安全服务机构的,由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。
第二十条资质证书分为正本和副本,正本和副本具有同等法律效力。
第二十一条资质证书实行年审制度。年审时间为每年2月至3月,新领(换)资质证书未满半年的不需年审。
第二十二条安全服务机构在年审前应当对本单位上一年度的下列情况进行自查,并形成自查书面材料:
(一)遵守国家有关法律法规和本省有关规定的情况;
(二)安全服务业绩;
(三)用户投诉及处理情况;
(四)参加国内和国际标准认证的情况;
(五)符合资质证书颁发条件的有关情况。
第二十三条安全服务机构参加年审,应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)《计算机信息系统安全服务资质年审申请书》;
(二)资质证书副本;
(三)自查书面材料;
(四)其他材料。
第二十四条地级以上市公安机关公共信息网络安全监察部门自接到申请材料之日起15日内进行初审,材料齐全,情况属实的,报送省公安厅公共信息网络安全监察部门审查。初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起10日内作出年审结论。
持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在20日内作出年审结论。
年审结论分为合格、降级、取消3种。
具备下列情形的,年审结论为合格:
(一)遵守国家有关法律法规和本省有关规定;
(二)上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三(四级资质不低于50万元);
(三)用户投诉基本能合理解决;
(四)符合原等级资质证书颁发条件。
有下列情形之一的,年审结论为降级:
(一)违反国家有关法律法规和本省有关规定,情节轻微;
(二)上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三;
(三)10%以上的安全服务项目有用户投诉且未能合理解决;
(四)不符合原等级资质证书颁发条件。
有下列情形之一的,年审结论为取消:
(一)违反国家有关法律法规和本省有关规定,情节严重;
(二)年度安全服务项目总值低于50万元;
(三)20%以上的安全服务项目有用户投诉且未能合理解决;
(四)情况发生变更,达不到资质证书颁发条件。
年审合格的,在资质证书副本和《计算机信息系统安全服务资质年审申请书》上注明,加盖省公安厅公共信息网络安全监察专用章。
年审结论为降级的,原资质证书作废,换发资质证书。
年审结论为取消的,资质证书作废,安全服务机构应当自接到年审结论之日起10日内交回资质证书。
未按时参加年审的,年审结论视为取消。
年审结论为取消的,两年内不得申请安全服务资质。
因特殊原因未年审的,应当书面说明理由,经批准,方可补办相关手续。
第二十五条资质证书有效期为4年,安全服务机构应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。期满不换证的,资质证书作废。
因特殊原因未按时换证的,应当书面说明理由,经批准,方可补办相关手续。
第二十六条资质证书登记事项发生变更的,应在30日内到地级以上市公安机关办理变更手续。
第二十七条安全服务机构在取得资质证书一年后,达到较高一级资质条件的,可申请晋升等级,办理程序与初次申请相同。
第二十八条安全服务机构情况发生变更,不符合原资质等级条件的,应当予以降级。
第六章安全审验
第二十九条计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准,同步落实安全保护制度和措施。
第三十条重点安全保护单位计算机信息系统和计算机机房安全设计方案应当报单位所在地地级以上市公安机关公共信息网络安全监察部门备案。
重点安全保护单位计算机信息系统和计算机机房建成后,应当由具有相应资格的安全服务机构进行安全检测。检测合格,方可投入使用。
安全检测应当接受公安机关公共信息网络安全监察部门的监督。
第三十一条计算机信息系统安全设计方案备案,应当填写《广东省计算机信息系统安全设计方案备案表》,并提交下列材料:
(一)计算机信息系统安全设计方案;
(二)计算机信息系统的总体需求说明;
(三)计算机信息系统的安全保护等级。
第三十二条计算机机房安全设计方案备案,应当填写《广东省计算机机房安全设计方案备案表》,并提交下列材料:
(一)承建单位营业执照和资质证书复印件;
(二)计算机机房的用途和安全要求;
(三)计算机机房的施工方案和设计图纸;
(四)其他应当提交的资料。
第三十三条安全服务机构对重点安全保护单位计算机信息系统和计算机机房进行使用前安全检测,应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全检测结论由重点安全保护单位报地级以上市公安机关公共信息网络安全监察部门。
第三十四条计算机信息系统和计算机机房存在下列情形之一的,应当进行安全检测:
(一)变更关键部件;
(二)安全检测时间满一年;
(三)发生案件或安全事故;
(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全检测;
(五)其他应当进行安全检测的情形。
第三十五条安全服务机构应当履行下列职责:
(一)如实出具检测报告;
(二)接受公安机关公共信息网络安全监察部门对检测过程的监督检查;
(三)保守用户秘密,不得保留安全检测相关资料,不得擅自向第三方泄露用户信息。
第七章安全培训
第三十六条省公安厅、人事厅联合成立的省计算机安全培训领导小组,负责全省计算机安全培训考试工作的组织和领导。下设省计算机安全培训考试办公室,具体负责计算机安全培训的日常管理工作。
第三十七条下列人员应当参加计算机安全培训,取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书,持证上岗:
(一)计算机信息系统使用单位安全管理责任人、信息审查员;
(二)重点安全保护单位计算机信息系统维护和管理人员;
(三)安全专用产品生产单位专业技术人员;
(四)安全服务机构专业技术人员、安全服务管理人员;
(五)其他从事计算机信息系统安全保护工作的人员。
第三十八条计算机安全培训和考试由省计算机安全培训考试办公室授权的安全培训考试点负责组织。安全培训考试点实行统筹规划,总量控制。
第三十九条计算机安全培训和考试按照有关规定进行,实行学大纲,材,统一考试,统一发证。
考试合格的,由省计算机安全培训考试办公室在20日内发给计算机安全培训合格证书。
计算机安全培训合格证书有效期4年,期满前60日内应重新参加培训。
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。
关键词:安全机制 电力公司 信息管理
【分类号】:TM73
二十一世纪是一个信息的时代,随着电网规模的扩大和改革的深入,企业各部门之间、企业和社会之间信息的交换也更加频繁,对信息的及时性、准确性和可靠性的要求越来越高。因此,基于当前安全机制下,电力公司对信息管理要求也将越来越高。
一、电力企业信息网络系统存在的安全问题
随着电力企业互联网的发展,其信息网络的安全也日益尖锐。网络的信息安全是一种涉及了通信技术、计算机技术、信息安全技术、密码技术等多种技术的边缘综合性学科,国际标准化组织把信息安全定义为“信息的完整性、可用性、可靠性及保密性”,但因其是新生事物,人们接触它主要忙于工作、学习和娱乐,对于它的安全性,则无暇顾及,从下到下普遍存在侥幸心理,没有形成主动防范、积极应对的意识,所以很难从根本上提高网络监测、抗击、防护等能力。
其次,在整体运行管理过程中,有关信息安全的政策、手段都存在问题,如因互联网复杂多变,网络用户对此缺乏足够的认识,在未进入安全状态时就急于操作,导致敏感数据暴露,使系统遭受了风险;还有很多用户都越来越以来“银弹”方案,即加上防火墙或者加密技术,使用户产生了虚假的安全感,丧失了警惕。
还有,不少单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查制度,这些不完善的制度滋长了网络管理者和内部人士自身的违法行为。
二、当前电力公司网络信息安全的技术手段
而随着电力体制改革的不断深化,计算机网络将承载着大量的企业生产和经营的重要数据。所以,保障计算机网络信息系统安全、稳定运行至关重要,目前确保电力公司信息安全技术有如下几种:
1、 防病毒技术
计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序,其在网上的传播极其迅速,且传播具有相当大的随机性,从而增加了网络防杀病毒的难度,所以,这就要求做到对整个网络集中进行病毒防范、统一管理,在预定时间自动从网站下载最新的升级文件,并自动分发到局域网中所有安装防病毒软件的机器上。
2、入侵检测技术
入侵检测是对入侵行为的发觉,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
3、风险评估技术
风险评估是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查,它包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。
除了上述几种技术之外,还有一些被广泛应用的安全技术,如虚拟专用网VPN技术、虚拟局域网VLAN技术、身份验证、安全协议等,网络的信息安全是一个系统的工程,只有根据实际情况、综合各安全技术的优点,才能形成一个由多种安全技术构成的网络安全系统。
三、电力企业网络安全防范措施
1、完善网络信息安全的管理机制
首先,网络与信息安全需要制度化、规范化,将网络信息安全管理纳入到安全生产管理体系中,制定相应的管理制度,比如建立用户权限管理制度、网络信息安全管理制度、病毒防范制度等,这一旦形成,就必须严格执行,保证落实。同时,明确网络与信息安全体系的四个关键系统,即安全决策指挥系统、安全管理制度系统、安全管理技术系统和安全教育培训系统,实行企业行政正职负责制,明确主管领导部门职责。
2、强化企业内部人员安全培训
根据企业性质与人员的职责、业务不同,将安全培训分成三个不同的层次,即初级、中级和高级,初级培训可针对全部人员,主要强化员工安全意识和责任;中级培训对象一般包括高层领导、技术管理人员、合同管理者等,培训内容包括安全核心知识、风险管理、资源需求与合同需求。高级安全培训的人群包括信息安全人员、系统管理人员,内容主要包括操作/应用系统、协议、安全工具、技术控制、风险评估、安全计划和认证与评估,旨在提高企业的整体安全管理。
综上所述,企业必须充分重视网络信息系统的安全威胁所在,制定保障网络安全的应对措施,落实严格的安全管理制度,才能使网络信息得以安全运行。
参考文献
1、孟洛明,亓峰・《现代网络管理技术》,北京邮电大学出版社2001
关键词:安全三要素;计算机网络;信息安全;防范策略;保障作用
在信息技术飞速发展的今天,黑客技术和计算机病毒也在不断之变化,其隐蔽性、跨域性、快速变化性和爆发性使网络信息安全受到了全所未有的威胁。在这种攻与防的信息对抗中人、技术和管理都是不可或缺的重要环节。
一、网络信息安全的问题在哪里?
(一)技术层面的问题
1.网络通信线路和设备的缺陷
(1)电磁泄露:攻击者利用电磁泄露,捕获无线网络传输信号,破译后能较轻易地获取传输内容。
(2)设备监听:不法分子通过对通信设备的监听,非法监听或捕获传输信息。
(3)终端接入:攻击者在合法终端上并接非法终端,利用合法用户身份操纵该计算机通信接口,使信息传到非法终端。
(4)网络攻击。
2.软件存在漏洞和后门
(1)网络软件的漏洞被利用。
(2)软件病毒入侵。
(3)软件端口未进行安全限制。
(二)人员层面的问题
1.系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低;文档的共享没有经过必要的权限控制。
2.技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施。
3.专业人员利用工作之便,用非法手段访问系统,非法获取信息。
4.不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。
(三)管理层面的问题
1.安全管理制度不健全。缺乏完善的制度管理体系,管理人员对网络信息安全重视不够。
2.监督机制不完善。技术人员有章不循,对安全麻痹大意,缺乏有效地监督。
3.教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。
二.网络信息安全的防范策略
(一)技术层面的防范策略
1.网络的基础设施安全防范策略
(1)减少电磁辐射。传输线路做露天保护或埋于地下,无线传输应使用高可靠性的加密手段,并隐藏链接名。
(2)使用防火墙技术,控制不同网络或网络安全域之间信息的出入口,保护网络免遭黑客袭击。
(3)使用可信路由、专用网或采用路由隐藏技术。
(4)网络访问控制。访问控制是网络安全防范和保护的核心策略之一。包括入网、权限、目录级以及属性等多种控制手段。
2.软件类信息安全防范策略
(1)安装可信软件和操作系统补丁,定时升级,及时堵漏。
(2)应用数据加密技术。将明文转换成密文,防止非法用户理解原始数据。
(3)提高网络反病毒技术能力。使用杀毒软件并及时升级病毒库。对移动存储设备事前扫描和查杀。对网络服务器中的文件进行扫描和监测,加强访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(4)使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。还可以使用分布式、应用层、智能的入侵检测等手段。
(5)数据库的备份与恢复。
(二)人员层面的防范策略
1.对人员进行安全教育。加强对计算机用户的安全教育、防止计算机犯罪。
2.提高网络终端用户的安全意识。提醒用户不使用来历不明的U盘和程序,不随意下载网络可疑信息。
3.对人员进行法制教育。包括计算机安全法、计算机犯罪法、保密法、数据保护法等。
4.加强技术人员的安全知识培训。
(三)管理层面的防范策略
1.建立安全管理制度。对重要部门和信息,严格做好开机查毒,及时备份数据。
2.建立网络信息综合管理规章制度。包括人员管理、运维管理、控制管理、资料管理、机房管理、专机专用和严格分工等管理制度。
3.建立安全培训制度。使安全培训制度化、经常化,不断强化技术人员和使用者的安全意识。
三、安全三要素的保障作用更重要
在保证网络信息安全的过程中,技术是核心、人员是关键、管理是保障,我们必须做到管理和技术并重,技术和措施结合,充分发挥人的作用,在法律和安全标准的约束下,才能确保网络信息的安全。
(一) 技术的核心作用
不管是加密技术、反病毒技术、入侵检测技术、防火墙技术、安全扫描技术,还是数据的备份和恢复技术、硬件设施的防护技术等,都是我们做好网络信息安全防护的核心要素,技术支撑为我们建立一套完整的、协调一致的网络安全防护体系起到了核心的作用。
(二)人员的关键作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,还是程序开发人员、技术维护人员,还是网络黑客,都是我们构建网络安全环境的关键因素,成也在人,败也在人。
(三)管理的保障作用
管理是不可缺失的,不论是技术上的管理,还是对人的管理,不论是技术规则,还是管理制度,都是网络信息安全的保障。很多安全漏洞都来源于管理的疏忽或者安全培训的缺失。
四.多说两句
网络信息安全是一项复杂的系统工程,涉及人员、技术、设备、管理、制度和使用等多方面的因素,只有将安全三要素的保障策略都结合起来,才能形成一个高效安全的网络信息系统。世上没有绝对安全,只要实时检测、实时响应、实时恢复、防治结合,做到人、技术和管理的和谐统一,目标一致,网络信息就能安全。
参考文献
关键词:计算机;网络;安全;结构;技术;完善
0 引言
网络安全技术指致力于解决诸如如何有效进行介入控制以及如何保证数据传输的安全性的技术手段,在网络技术高速发展的今天,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究意义重大,对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好地为广大用户服务。
1 计算机网络安全体系结构
计算机网络安全体系结构是由硬件网络、通信软件、防毒杀毒、防火墙以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。对于小范围的无线局域网而言,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,目前广泛采用WPA2加密协议实现协议加密,通常可以将驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序调用。
2 计算机网络安全技术研究
2.1 安装防病毒软件和防火墙 在计算机主机上安装可靠性高的防病毒软件和防火墙,及时对主机的各个存储空间进行安全保护,定时扫描、修补可能出现的技术漏洞,做到及时发现异常,及时处理;防火墙是通过软、硬件组合,对企业内部网和外部网起到过滤网关的作用,从而严格控制外网用户的非法访问,并只打开允许的服务,防止外部网络拓展服务的攻击。
2.2 安装入侵检测系统和网络诱骗系统 计算机安全防御体系是否完整有效的主要衡量因素为入侵检测能力的高低,入侵检测系统由软件和硬件组成;网络诱骗系统是通过构建虚假的计算机网络系统,诱骗入侵者对其进行攻击,从而起到保护实际网络系统的目的。
2.3 使用数据加密技术提高系统安全性 传统的信息加密技术和新兴的信息隐藏技术可为计算机信息的存储及传输提供安全保障,用户在进行绝密或重要信息的传输过程中,不仅要做好信息本身的加密,还可以利用隐藏技术对信息发送者、接收者及信息本身进行隐藏。常用的隐藏技术有隐藏术、数字嵌入、数据隐藏、数字水印和指纹技术。
2.4 做好重要信息的备份工作 计算机信息存储工作要遵循多备份和及时更新的工作原则,数据信息可根据其重要性或数据量进行不同方式的存储:对于不需修改的重要数据可直接刻录光盘存储;需要修改的数据可存储在U盘或移动硬盘中;不重要的数据可存储在本地计算机或局域服务器中;较小数据可存储在邮箱中。
2.5 使用安全路由器 安全路由器的使用可将内部网络及外部网络进行安全隔离,互联,通过阻塞信息及不法地址的传输,保护企业内部信息及网络的安全性。安全路由器是对其芯片进行密码算法和加/解密技术,通过在路由器主板增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。
2.6 重视网络信息安全人才的培养 加强计算机网络人员的安全培训,使网络人员熟练通过计算机网络实施正确有效的安全管理,保证计算机网络信息安全。一方面要注意管理人员及操作人员的安全培训,在培训过程中提高专业能力、安全保密观念、责任心;对内部人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高网络人员的思想素质、技术素质和职业道德。
3 云计算安全技术的应用
云计算通过集中所需要计算的个体资源,通过需求而获得企业所需要的资源,并且通过自动化管理与运行,从而将计算的需求传达给网络,使网络能够处理企业所需要的计算服务。云计算开创了一种资源共享的新模式,能够改变当前用户使用计算机的习惯,通过网络计算,能够大大节省企业所需要的空间以及实践,从而节约企业运行成本,提升企业的工作效率。因此在云计算的过程中,必须考虑到信息安全的问题,避免商业机密泄露,给企业带来重大的损失。
3.1 云计算的应用安全技术性分析 云计算应用安全性需要终端用户及云服务商双方共同采取保护措施。一方面,云计算的终端用户应保证本人或本企业计算机的安全,利用安全软件降低计算机被不法分子进行技术攻击的可能。如反恶意软件、防病毒、个人防火墙以及IPS类型的软件等,可保护用户浏览器免受攻击,并能定期完成浏览器打补丁和更新工作,以保护云用户数据信息的安全性。另一方面,用户可使用客户端设备访问各种应用,但不能对云平台基础设备进行管理或者控制,因此,选择云平台供应商就显得十分重要。评价供应商主要原则为依据保密协议,要求供应商提供有关安全实践的信息,如设计、架构、开发、黑盒与白盒应用程序安全测试和管理。
3.2 数据安全技术性分析 云计算服务模式包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(laaS)三种,这三种服务模式面临的主要问题是避免数据的丢失或被窃,因此,应在数据传输、隔离及残留方面进行安全保护。
首先,在使用公共云时,传输数据应采取加密算法和传输协议,以保证数据的安全性和完整性。其次,云计算供应商为实现服务的可扩展性、提高数据计算效率及管理等优势。在安全技术未发展至可给任意数据进行安全加密的阶段下,可采取的措施就是将重要或者敏感的数据与其他数据进行隔离,保障数据信息的安全性。最后,数据残留是数据安全遭受威胁的另一因素,云计算环境下,数据残留会无意泄露敏感信息,因此需要服务供应商能提供将用户信息进行彻底清除的保障。
4 结语
综上所述,加强计算机网络安全就需要从多方面建立立体的计算机网络安全结构体系提高对网络风险的控制和预防,全面保障计算机网络安全。
参考文献:
[关键词]企业;信息化建设;网络安全管理
引言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1企业在信息化建设中存在的网络安全管理问题
1.1外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式获取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2提高企业网络安全管理水平的方法
2.1加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3结语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
[2]李永湘.企业信息化建设中的网络安全问题研究[J].科技资讯,2016(8).
[3]王静.当前我国企业信息化建设中的网络安全问题研究[J].行政事业资产与财务,2014(6).
关键词:公共卫生行业;计算机网络安全管理;安全技术防范;信息技术;信息安全等级 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共卫生行业承担的职责主要包括重大传染病防控、慢性非传染病防控、卫生监督、职业病防制、精神卫生管理、健康危险因素评价、突发公共卫生事件处置和儿童免疫接种管理等,在管理过程中要涉及到大量的重要信息数据,包括疾病监测数据、健康危险因素监测数据和免疫规划管理数据等,这就对公共卫生行业在信息数据管理的方面提出了很高的要求,务必要将计算机网络安全管理防范问题放在重要位置,从网络防范技术和监督管理等方面建立健全计算机信息安全保障体系,确保各类信息数据安全有效。
2 目前公共卫生行业计算机网络安全存在的问题
2.1 数据信息安全威胁
信息数据面临的安全威胁来自于多个方面,有通过病毒、非授权窃取来破坏数据保密性的安全威胁,有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁,有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁,还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁,这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取,给公共卫生行业带来无法弥补的损失。
2.2 安全管理缺失
公共卫生行业在信息化建设工作中,如果存在重应用、轻安全的现象,在IT系统建设过程中没有充分考虑信息安全的科学规划,将导致后期信息安全建设和管理工作比较被动,业务的发展及信息系统的建设与信息安全管理建设不对称;或由于重视信息安全技术,轻视安全管理,虽然采用了比较先进的信息安全技术,但相应的管理措施不到位,如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在,很有可能会导致本不应该发生的信息安全事件发生。
3 分析问题产生的主要原因
3.1 经费投入不足导致的安全防范技术薄弱
许多公共卫生机构的信息化基础设施和软硬件设备,都是在2003年SARS疫情爆发以后国家投入建设的,运行至今,很多省级以下的公共卫生单位由于领导认识不足或经费所限,只重视疾病防控能力和实验室检验检测能力的建设,而忽视了对公共卫生信息化的投入,很少将经费用于信息化建设和信息安全投入,信息化基础设施陈旧、软硬件设备老化,信息安全防范技术比较薄弱,因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备,导致信息数据丢失、窃取的现象时有发生,严重影响了重要信息数据的保密性、完整性和安全性,一旦发生信息安全事件后果将不堪设想。
3.2 专业技术人才缺乏
建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才,人才的培养是行业信息化高速发展的基础,然而,公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主,信息化、信息安全专业技术人才缺乏,队伍力量薄弱,不能很好地利用现有的计算机软硬件设备,也很难对本单位现有的信息化、信息安全现状进行有效的评估,缺乏制定本行业长期、可持续信息化建设发展规划的能力,这也是制约公共卫生行业信息化发展的重要因数。
3.3 信息安全培训不足,职工安全保密意识不强
信息安全是一项全员参与的工作,它不仅是信息化管理部门的本职工作,更是整个公共卫生行业的重要工作职责,很多单位没有将信息安全培训放在重要位置,没有定期开展信息安全意识教育培训,许多职工对网络安全不够重视,缺乏网络安全意识,随意接收、下载、拷贝未知文件,没有查杀病毒、木马的习惯,经常有意无意的传播病毒,使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击,严重影响了单位网络的安全稳定运行;同时,许多职工对于单位的移动介质缺乏规范化管理意识,随意将拷贝有信息的移动硬盘、优盘等介质带出单位,在其他联网的计算机上使用,信息容易失窃,存在非常严重的信息安全隐患。
4 如何促进公共卫生行业计算机网络安全性提升
4.1 强化管理,建立行业计算机网络安全管理制度
为了确保整个计算机网络的安全有效运行,建立出一套既符合本行业工作实际的,又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容:
4.1.1 成立信息安全管理机构,引进信息安全专业技术人才,结合单位开展的工作特点,从管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
4.1.2 制定信息安全知识培训制度,定期开展全员信息安全知识培训,让全体员工及时了解计算机网络安全知识最新动态,结合信息安全事件案列,进一步强化职工对信息安全保密重要性的认识。同时,对信息技术人员进行专业知识和操作技能的培训,培养一支具有安全管理意识的队伍,提高应对各种网络安全攻击破坏的能力。
4.1.3 建立信息安全监督检查机制,开展定期或不定期内部信息安全监督检查,同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系,检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩,落实奖惩机制,惩防并举,确保信息安全落实无死角。
4.2 开展信息安全等级保护建设
开展信息安全等级保护建设,通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,建立健全信息安全应急机制,定期对信息系统安全等保建设情况进行测评,存在问题及时整改,从制度落实、安全技术防护、应急处置管理等各个方面,进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。
4.3 加强网络安全技术防范
随着信息技术的高速发展,信息网络安全需要依托防火墙、入侵检测、VPN等安全防护设施,充分运用各个软硬件网络安全技术特点,建立安全策略层、用户层、网络与信息资源层和安全服务层4个层次的网络安全防护体系,全面增强网络系统的安全性和可靠性。
4.3.1 防火墙技术。防火墙技术在公共卫生行业网络安全建设体系中发挥着重要的作用,按照结构和功能通常划分为滤防火墙、应用防火墙和状态检测防火墙三种类型,一般部署在核心网络的边缘,将内部网络与Internet之间或者与其他外部网络互相隔离,有效地记录Internet上的活动,将网络中不安全的服务进行有效的过滤,并严格限制网络之间的互相访问,从而提高网络的防毒能力和抗攻击能力,确保内部网络安全稳定运行。
4.3.2 入侵检测。入侵检测是防火墙的合理补充,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,检测方法包括基于专家系统入侵检测方法和基于神经网络的入侵检测方法两种,利用入侵检测系统,能够迅速及时地发现并报告系统中未授权或异常现象,帮助系统对付内部攻击和外部网络攻击,在网络系统受到危害之前拦截和响应入侵,在安全审计、监视、进攻识别等方面进一步扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
4.3.3 虚拟专用网络(VPN)技术。VPN技术因为低成本、高度灵活的特点,在很多行业信息化建设中被广泛应用,公共卫生行业也有很多信息系统都是基于VPN进行数据传输的,如中国疾病预防控制信息系统等,通过在公用网络上建立VPN,利用VPN网关将数据包进行加密和目标地址转换,以实现远程访问。VPN技术实现方式目前运用的主要有MPLS、IPSEC和SSL三种类型,中国疾病预防控制信息系统VPN链路网络采用的就是IPSECVPN模式,利用VPN链路隧道,实现国家到省、市、县四级的互联互通和数据传输共享。VPN通过使用点到点协议用户级身份验证的方法进行验证,将高度敏感的数据地址进行物理分隔,只有授权用户才能与VPN服务器建立连接,进行远程访问,避免非授权用户接触或窃取重要数据,为用户信息提供了很高的安全性保护。
5 结语
在信息化高速发展的今天,计算机网络安全已经成为影响公共卫生行业健康稳定发展的重要因数,只有通过不断完善网络安全制度,加大网络安全软硬件投入、强化安全防范技术、开展信息安全等级保护建设、加快信息安全人才培养和网络安全知识培训等,才能保障公共卫生行业在良好的环境中有序、顺利的开展工作。
参考文献
[1] 庞德明.办公自动化网络的安全问题研究[J].电脑知识与技术,2009,(6).
[2] 陈棠晖.浅析疾控系统的网络安全[J].网络安全技术与应用,2011,(4).