公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全培訓制度范文

網(wǎng)絡(luò)安全培訓制度精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全培訓制度主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全培訓制度

第1篇:網(wǎng)絡(luò)安全培訓制度范文

關(guān)鍵詞:安全三要素;計算機網(wǎng)絡(luò);信息安全;防范策略;保障作用

在信息技術(shù)飛速發(fā)展的今天,黑客技術(shù)和計算機病毒也在不斷之變化,其隱蔽性、跨域性、快速變化性和爆發(fā)性使網(wǎng)絡(luò)信息安全受到了全所未有的威脅。在這種攻與防的信息對抗中人、技術(shù)和管理都是不可或缺的重要環(huán)節(jié)。

一、網(wǎng)絡(luò)信息安全的問題在哪里?

(一)技術(shù)層面的問題

1.網(wǎng)絡(luò)通信線路和設(shè)備的缺陷

(1)電磁泄露:攻擊者利用電磁泄露,捕獲無線網(wǎng)絡(luò)傳輸信號,破譯后能較輕易地獲取傳輸內(nèi)容。

(2)設(shè)備監(jiān)聽:不法分子通過對通信設(shè)備的監(jiān)聽,非法監(jiān)聽或捕獲傳輸信息。

(3)終端接入:攻擊者在合法終端上并接非法終端,利用合法用戶身份操縱該計算機通信接口,使信息傳到非法終端。

(4)網(wǎng)絡(luò)攻擊。

2.軟件存在漏洞和后門

(1)網(wǎng)絡(luò)軟件的漏洞被利用。

(2)軟件病毒入侵。

(3)軟件端口未進行安全限制。

(二)人員層面的問題

1.系統(tǒng)使用人員保密觀念不強,關(guān)鍵信息沒進行加密處理,密碼保護強度低;文檔的共享沒有經(jīng)過必要的權(quán)限控制。

2.技術(shù)人員因為業(yè)務(wù)不熟練或缺少責任心,有意或無意中破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備的保密措施。

3.專業(yè)人員利用工作之便,用非法手段訪問系統(tǒng),非法獲取信息。

4.不法人員利用系統(tǒng)的端口或者傳輸?shù)慕橘|(zhì),采用監(jiān)聽、捕獲、破譯等手段竊取保密信息。

(三)管理層面的問題

1.安全管理制度不健全。缺乏完善的制度管理體系,管理人員對網(wǎng)絡(luò)信息安全重視不夠。

2.監(jiān)督機制不完善。技術(shù)人員有章不循,對安全麻痹大意,缺乏有效地監(jiān)督。

3.教育培訓不到位。對使用者缺乏安全知識教育,對技術(shù)人員缺乏專業(yè)技術(shù)培訓。

二.網(wǎng)絡(luò)信息安全的防范策略

(一)技術(shù)層面的防范策略

1.網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全防范策略

(1)減少電磁輻射。傳輸線路做露天保護或埋于地下,無線傳輸應(yīng)使用高可靠性的加密手段,并隱藏鏈接名。

(2)使用防火墻技術(shù),控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,保護網(wǎng)絡(luò)免遭黑客襲擊。

(3)使用可信路由、專用網(wǎng)或采用路由隱藏技術(shù)。

(4)網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的核心策略之一。包括入網(wǎng)、權(quán)限、目錄級以及屬性等多種控制手段。

2.軟件類信息安全防范策略

(1)安裝可信軟件和操作系統(tǒng)補丁,定時升級,及時堵漏。

(2)應(yīng)用數(shù)據(jù)加密技術(shù)。將明文轉(zhuǎn)換成密文,防止非法用戶理解原始數(shù)據(jù)。

(3)提高網(wǎng)絡(luò)反病毒技術(shù)能力。使用殺毒軟件并及時升級病毒庫。對移動存儲設(shè)備事前掃描和查殺。對網(wǎng)絡(luò)服務(wù)器中的文件進行掃描和監(jiān)測,加強訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件。

(4)使用入侵檢測系統(tǒng)防止黑客入侵。一般分為基于網(wǎng)絡(luò)和基于主機兩種方式。還可以使用分布式、應(yīng)用層、智能的入侵檢測等手段。

(5)數(shù)據(jù)庫的備份與恢復。

(二)人員層面的防范策略

1.對人員進行安全教育。加強對計算機用戶的安全教育、防止計算機犯罪。

2.提高網(wǎng)絡(luò)終端用戶的安全意識。提醒用戶不使用來歷不明的U盤和程序,不隨意下載網(wǎng)絡(luò)可疑信息。

3.對人員進行法制教育。包括計算機安全法、計算機犯罪法、保密法、數(shù)據(jù)保護法等。

4.加強技術(shù)人員的安全知識培訓。

(三)管理層面的防范策略

1.建立安全管理制度。對重要部門和信息,嚴格做好開機查毒,及時備份數(shù)據(jù)。

2.建立網(wǎng)絡(luò)信息綜合管理規(guī)章制度。包括人員管理、運維管理、控制管理、資料管理、機房管理、專機專用和嚴格分工等管理制度。

3.建立安全培訓制度。使安全培訓制度化、經(jīng)?;?,不斷強化技術(shù)人員和使用者的安全意識。

三、安全三要素的保障作用更重要

在保證網(wǎng)絡(luò)信息安全的過程中,技術(shù)是核心、人員是關(guān)鍵、管理是保障,我們必須做到管理和技術(shù)并重,技術(shù)和措施結(jié)合,充分發(fā)揮人的作用,在法律和安全標準的約束下,才能確保網(wǎng)絡(luò)信息的安全。

(一) 技術(shù)的核心作用

不管是加密技術(shù)、反病毒技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)、安全掃描技術(shù),還是數(shù)據(jù)的備份和恢復技術(shù)、硬件設(shè)施的防護技術(shù)等,都是我們做好網(wǎng)絡(luò)信息安全防護的核心要素,技術(shù)支撐為我們建立一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護體系起到了核心的作用。

(二)人員的關(guān)鍵作用

人也是安全的一部分。人的作用是不可低估的,不管是使用者,還是程序開發(fā)人員、技術(shù)維護人員,還是網(wǎng)絡(luò)黑客,都是我們構(gòu)建網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵因素,成也在人,敗也在人。

(三)管理的保障作用

管理是不可缺失的,不論是技術(shù)上的管理,還是對人的管理,不論是技術(shù)規(guī)則,還是管理制度,都是網(wǎng)絡(luò)信息安全的保障。很多安全漏洞都來源于管理的疏忽或者安全培訓的缺失。

四.多說兩句

網(wǎng)絡(luò)信息安全是一項復雜的系統(tǒng)工程,涉及人員、技術(shù)、設(shè)備、管理、制度和使用等多方面的因素,只有將安全三要素的保障策略都結(jié)合起來,才能形成一個高效安全的網(wǎng)絡(luò)信息系統(tǒng)。世上沒有絕對安全,只要實時檢測、實時響應(yīng)、實時恢復、防治結(jié)合,做到人、技術(shù)和管理的和諧統(tǒng)一,目標一致,網(wǎng)絡(luò)信息就能安全。

參考文獻

第2篇:網(wǎng)絡(luò)安全培訓制度范文

【關(guān)鍵詞】校園網(wǎng)絡(luò);網(wǎng)絡(luò)安全;信息安全;防范體系

【中圖分類號】G40-057 【文獻標識碼】A 【論文編號】1009-8097(2012)09-0053-04

隨著信息技術(shù)的快速發(fā)展和高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善,資源整合、應(yīng)用系統(tǒng)和校園信息化平臺建設(shè)已經(jīng)成為校園信息化的主要任務(wù)。在新的網(wǎng)絡(luò)信息環(huán)境下,信息資源也得到更大程度地共享,3G、IPV6、虛擬化和云計算等新技術(shù)開始研究和實施應(yīng)用;三網(wǎng)融合、云服務(wù)及“智慧校園”等服務(wù)新理念的不斷提出,使得校園網(wǎng)規(guī)模不斷擴大,復雜性和異構(gòu)性也不斷增加,而這些需求都要求有一個能夠承載大容量、高可信、高冗余和快速穩(wěn)定安全的校園網(wǎng)作為基礎(chǔ)條件。與此同時,高校用戶在享受信息化成果所帶來的工作高效和便利的同時,也面臨著來自校園網(wǎng)內(nèi)部和外部帶來的各種安全威脅和挑戰(zhàn)。因此,有必要建立一套高效、安全、動態(tài)網(wǎng)絡(luò)安全防范體系,來加強校園網(wǎng)絡(luò)安全防護和監(jiān)控,為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)基礎(chǔ)。

一 校園網(wǎng)絡(luò)安全面臨的問題

1、網(wǎng)絡(luò)安全投入少,安全管理不足

在校園網(wǎng)建設(shè)過程中,管理單位主要側(cè)重技術(shù)和設(shè)備投入,對網(wǎng)絡(luò)安全管理不重視,在網(wǎng)絡(luò)安全方面投入也較少,一般通過架設(shè)出口防火墻來保護校園內(nèi)部網(wǎng),缺少對安全漏洞的分析和病毒的主動防范的系統(tǒng)。同時,由于高校機構(gòu)設(shè)置的原因,很多高校在網(wǎng)絡(luò)管理方面存在人員不足,同一個技術(shù)人員同時肩負著建設(shè)、管理和安全的工作情況Ⅲ,在校園網(wǎng)安全管理方面,實踐經(jīng)驗告訴我們,校園網(wǎng)絡(luò)安全的保障不僅需要安全設(shè)備和安全技術(shù),更需要有健全的安全管理體系。很多高校沒有成立信息安全機構(gòu),缺乏完善的安全管理制度和管理規(guī)范,在網(wǎng)絡(luò)和信息安全方面沒有根據(jù)重要程度進行分級管理。有統(tǒng)計表明,70%以上的信息安全問題是由管理不善造成的,而這些安全問題的95%是可以通過科學的信息安全管理制度來避免。

2、系統(tǒng)和應(yīng)用軟件漏洞較多,存在嚴重威脅

傳統(tǒng)的計算機網(wǎng)絡(luò)是基于TCP/IP協(xié)議的網(wǎng)絡(luò)。在實際運用中,TCP/IP協(xié)議在設(shè)計的時候是以簡單高效為目標,缺少完善的安全機制。因此,基于TCP/IP而開發(fā)的各種網(wǎng)絡(luò)系統(tǒng)都存在安全漏洞,黑客往往把這些漏洞作為攻擊的突破口。安全漏洞主要包括交換機IOS漏洞、操作系統(tǒng)漏洞和應(yīng)用系統(tǒng)漏洞等,操作系統(tǒng)漏洞如WINDOWS、UNIX、LINUX等往往存在著某些組件的安全漏洞,如果管理員沒有及時更新系統(tǒng)補丁或升級軟件,就會成為眾多黑客攻擊的目標。應(yīng)用程序漏洞往往出現(xiàn)在最常用的軟件上,如IE、QQ、迅雷、暴風影音等經(jīng)常存在一些安全漏洞,這些漏洞很容易成為黑客攻擊最直接的目標,給校園網(wǎng)帶來了嚴重威脅,使得校園網(wǎng)絡(luò)安全需要投入更多的精力,需要從各個層次進行防范。

3、網(wǎng)絡(luò)安全意識淡薄,計算機病毒較多

高校校園網(wǎng)主要的服務(wù)群體是教職工和學生,用戶計算機網(wǎng)絡(luò)水平參差不齊,在日常上網(wǎng)行為和使用計算機過程中,很多用戶缺少足夠的網(wǎng)絡(luò)安全意識,比如教職工為了教學科研和日常辦公方便,經(jīng)常使用簡單的密碼來管理計算機和各種業(yè)務(wù)系統(tǒng),造成密碼容易被非法盜用,從而導致系統(tǒng)和網(wǎng)絡(luò)安全問題,黑客通過盜取個人信息進行詐騙或者獲取用戶賬號信息來謀求不法利益,甚至有些黑客在用戶的計算機安裝后門木門,并作為僵尸網(wǎng)絡(luò)的攻擊工具。另外,計算機技術(shù)的飛速發(fā)展也使得計算機病毒獲得了更加快捷多樣的傳輸途徑,各種新型病毒不斷升級變異,并通過U盤、移動終端、局域網(wǎng)等各種方式進行廣泛傳播。如何提高用戶的網(wǎng)絡(luò)安全意識,有效解決病毒對校園網(wǎng)絡(luò)安全的威脅,也是校園網(wǎng)管理人員必須面臨的一個問題。

二 構(gòu)建校園網(wǎng)絡(luò)安全防范體系

針對校園網(wǎng)絡(luò)安全的各種安全隱患和威脅,要有效地進行防范,我們必須了解網(wǎng)絡(luò)安全的體系結(jié)構(gòu)及其包含的主要內(nèi)容,國際電信聯(lián)盟電信標準部(ITU-T)在X-800建議中提出了開放系統(tǒng)互連(OSI)安全體系結(jié)構(gòu),OSI安全體系結(jié)構(gòu)集中在三個方面:安全攻擊,安全機制和安全服務(wù)。安全攻擊是指損害機構(gòu)所擁有信息的安全的任何行為;安全機制是指設(shè)計用于檢測、預防安全攻擊或者恢復系統(tǒng)的機制;安全服務(wù)是指采用一種或多種安全機制以抵御安全攻擊、提高機構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。三者之間的關(guān)系如圖1所示。

在校園網(wǎng)絡(luò)管理中,網(wǎng)絡(luò)安全防范根本任務(wù)就是防范安全攻擊,提供安全可靠的信息服務(wù)。在計算機網(wǎng)絡(luò)發(fā)展過程中,人們在不斷實踐總結(jié)的基礎(chǔ)上逐漸形成了動態(tài)信息安全理論體系模型,如P2DR模型,主要包括:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應(yīng))。該模型以安全策略為指導,將安全防護、安全檢測和及時響應(yīng)有機地結(jié)合起來,形成了一個完整的、動態(tài)的安全循環(huán),有效地保障了保證網(wǎng)絡(luò)信息系統(tǒng)的安全。

第3篇:網(wǎng)絡(luò)安全培訓制度范文

1數(shù)據(jù)信息安全威脅信息數(shù)據(jù)

面臨的安全威脅來自于多個方面,有通過病毒、非授權(quán)竊取來破壞數(shù)據(jù)保密性的安全威脅,有因為操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障等導致的破壞數(shù)據(jù)完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數(shù)據(jù)可用性的安全威脅,還有因為病毒威脅、非授權(quán)篡改導致的破壞數(shù)據(jù)真實性的安全威脅,這些潛在的安全威脅將會導致信息數(shù)據(jù)被刪除、破壞、篡改甚至被竊取,給公共衛(wèi)生行業(yè)帶來無法彌補的損失。

2安全管理缺失公共衛(wèi)生行業(yè)

在信息化建設(shè)工作中,如果存在重應(yīng)用、輕安全的現(xiàn)象,在IT系統(tǒng)建設(shè)過程中沒有充分考慮信息安全的科學規(guī)劃,將導致后期信息安全建設(shè)和管理工作比較被動,業(yè)務(wù)的發(fā)展及信息系統(tǒng)的建設(shè)與信息安全管理建設(shè)不對稱;或由于重視信息安全技術(shù),輕視安全管理,雖然采用了比較先進的信息安全技術(shù),但相應(yīng)的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在,很有可能會導致本不應(yīng)該發(fā)生的信息安全事件發(fā)生。

二分析問題產(chǎn)生的主要原因

1經(jīng)費投入不足導致的安全防范技術(shù)

薄弱許多公共衛(wèi)生機構(gòu)的信息化基礎(chǔ)設(shè)施和軟硬件設(shè)備,都是在2003年SARS疫情爆發(fā)以后國家投入建設(shè)的,運行至今,很多省級以下的公共衛(wèi)生單位由于領(lǐng)導認識不足或經(jīng)費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設(shè),而忽視了對公共衛(wèi)生信息化的投入,很少將經(jīng)費用于信息化建設(shè)和信息安全投入,信息化基礎(chǔ)設(shè)施陳舊、軟硬件設(shè)備老化,信息安全防范技術(shù)比較薄弱,因網(wǎng)絡(luò)設(shè)備損壞、服務(wù)器宕機等故障或無入侵檢測、核心防火墻等安全防護設(shè)備,導致信息數(shù)據(jù)丟失、竊取的現(xiàn)象時有發(fā)生,嚴重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性,一旦發(fā)生信息安全事件后果將不堪設(shè)想。

2專業(yè)技術(shù)人才缺乏

建設(shè)信息化、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術(shù)人才,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎(chǔ),然而,公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學檢驗專業(yè)為主,信息化、信息安全專業(yè)技術(shù)人才缺乏,隊伍力量薄弱,不能很好地利用現(xiàn)有的計算機軟硬件設(shè)備,也很難對本單位現(xiàn)有的信息化、信息安全現(xiàn)狀進行有效的評估,缺乏制定本行業(yè)長期、可持續(xù)信息化建設(shè)發(fā)展規(guī)劃的能力,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因素。

3信息安全培訓不足

職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛(wèi)生行業(yè)的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網(wǎng)絡(luò)安全不夠重視,缺乏網(wǎng)絡(luò)安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經(jīng)常有意無意的傳播病毒,使得單位網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網(wǎng)絡(luò)的安全穩(wěn)定運行;同時,許多職工對于單位的移動介質(zhì)缺乏規(guī)范化管理意識,隨意將拷貝有信息的移動硬盤、優(yōu)盤等介質(zhì)帶出單位,在其他聯(lián)網(wǎng)的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。

三如何促進公共衛(wèi)生行業(yè)計算機網(wǎng)絡(luò)安全性提升

1強化管理

建立行業(yè)計算機網(wǎng)絡(luò)安全管理制度為了確保整個計算機網(wǎng)絡(luò)的安全有效運行,建立出一套既符合本行業(yè)工作實際的,又滿足網(wǎng)絡(luò)實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內(nèi)容:

1.1成立信息安全管理機構(gòu)

引進信息安全專業(yè)技術(shù)人才,結(jié)合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡(luò)安全管理規(guī)定。

1.2制定信息安全知識培訓制度

定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網(wǎng)絡(luò)安全知識最新動態(tài),結(jié)合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術(shù)人員進行專業(yè)知識和操作技能的培訓,培養(yǎng)一支具有安全管理意識的隊伍,提高應(yīng)對各種網(wǎng)絡(luò)安全攻擊破壞的能力。

1.3建立信息安全監(jiān)督檢查機制

開展定期或不定期內(nèi)部信息安全監(jiān)督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結(jié)果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。

2開展信息安全等級保護

建設(shè)開展信息安全等級保護建設(shè),通過對公共衛(wèi)生行業(yè)處理、存儲重要信息數(shù)據(jù)的信息系統(tǒng)實行分等級安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置,建立健全信息安全應(yīng)急機制,定期對信息系統(tǒng)安全等級保護建設(shè)情況進行測評,存在問題及時整改,從制度落實、安全技術(shù)防護、應(yīng)急處置管理等各個方面,進一步提高公共衛(wèi)生行業(yè)信息安全的防護能力、應(yīng)急處置能力和安全隱患發(fā)現(xiàn)能力。

3加強網(wǎng)絡(luò)安全技術(shù)防范

隨著信息技術(shù)的高速發(fā)展,信息網(wǎng)絡(luò)安全需要依托防火墻、入侵檢測、VPN等安全防護設(shè)施,充分運用各個軟硬件網(wǎng)絡(luò)安全技術(shù)特點,建立安全策略層、用戶層、網(wǎng)絡(luò)與信息資源層和安全服務(wù)層4個層次的網(wǎng)絡(luò)安全防護體系,全面增強網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

3.1防火墻技術(shù)

防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)體系中發(fā)揮著重要的作用,按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應(yīng)用防火墻和狀態(tài)檢測防火墻三種類型,一般部署在核心網(wǎng)絡(luò)的邊緣,將內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,有效地記錄Internet上的活動,將網(wǎng)絡(luò)中不安全的服務(wù)進行有效的過濾,并嚴格限制網(wǎng)絡(luò)之間的互相訪問,從而提高網(wǎng)絡(luò)的防毒能力和抗攻擊能力,確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運行。

3.2入侵檢測

入侵檢測是防火墻的合理補充,是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備,檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法兩種,利用入侵檢測系統(tǒng),能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象,幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡(luò)攻擊,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,在安全審計、監(jiān)視、進攻識別等方面進一步擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3.3虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)

VPN技術(shù)因為低成本、高度靈活的特點,在很多行業(yè)信息化建設(shè)中被廣泛應(yīng)用,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進行數(shù)據(jù)傳輸?shù)模缰袊膊☆A防控制信息系統(tǒng)等,通過在公用網(wǎng)絡(luò)上建立VPN,利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進行加密和目標地址轉(zhuǎn)換,以實現(xiàn)遠程訪問。VPN技術(shù)實現(xiàn)方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統(tǒng)VPN鏈路網(wǎng)絡(luò)采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現(xiàn)國家到省、市、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享。VPN通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證,將高度敏感的數(shù)據(jù)地址進行物理分隔,只有授權(quán)用戶才能與VPN服務(wù)器建立連接,進行遠程訪問,避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù),為用戶信息提供了很高的安全性保護。

四結(jié)語

第4篇:網(wǎng)絡(luò)安全培訓制度范文

論文摘 要: 網(wǎng)絡(luò)安全建設(shè)是確保高職院校圖書館正常提供各種數(shù)字化服務(wù)的重要工作,也是構(gòu)建高職院校安全穩(wěn)定數(shù)字圖書館的重要組成部分。本文作者基于高職院校數(shù)字圖書館網(wǎng)絡(luò)安全影響因素分析,結(jié)合網(wǎng)絡(luò)安全管理工作的實際,提出了高職院校數(shù)字圖書館的網(wǎng)絡(luò)安全管理策略。

一、前言

隨著Internet的普及和廣泛發(fā)展,當今社會已進入了網(wǎng)絡(luò)信息高速流通的時代,它使信息與信息之間的距離拉近了,計算機網(wǎng)絡(luò)被廣泛應(yīng)用于越來越多的專業(yè)領(lǐng)域,包括傳統(tǒng)學科圖書館學。隨著數(shù)字圖書館的概念提出和在高職院校圖書館的廣泛應(yīng)用,數(shù)字圖書館的網(wǎng)絡(luò)安全問題受到越來越多的關(guān)注,實現(xiàn)網(wǎng)絡(luò)安全是保證高職院校數(shù)字圖書館健康發(fā)展的基礎(chǔ)保障。因此,全面分析高職院校數(shù)字圖書館的網(wǎng)絡(luò)安全影響因素,制定和實施行之有效的網(wǎng)絡(luò)安全管理策略,對構(gòu)建安全穩(wěn)定的高職院校數(shù)字圖書館具有重要積極意義。

二、高職院校數(shù)字圖書館的網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全涉及的保護對象為網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及系統(tǒng)中的數(shù)據(jù)。因此,高職院校數(shù)字圖書館網(wǎng)絡(luò)安全管理也可以概括為對維護高職院校數(shù)字圖書館這一網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及數(shù)據(jù)的正常安全運行的一系列管理工作內(nèi)容。

三、高職院校數(shù)字圖書館的網(wǎng)絡(luò)安全影響因素

當下,大部分高職院校搭建網(wǎng)絡(luò)時選擇采用樹型加星型的混合型拓撲結(jié)構(gòu),采用以太網(wǎng)標準,用五類或超五類雙絞線進行綜合布線,將寬帶或?qū)>€接入網(wǎng)絡(luò)中的路由器,從而與外網(wǎng)相聯(lián),最終實現(xiàn)信息交換,同時在多校區(qū)院校多數(shù)采用光纖進行中長距離連接。而高職院校數(shù)字圖書館依建在學院的計算機大網(wǎng)絡(luò)系統(tǒng)中,成為其一部分,因此大網(wǎng)絡(luò)的安全管理對數(shù)字圖書館的安全存在著不可忽視的影響。除此之外,還有以下幾點涉及數(shù)字圖書館日常管理中的影響因素。

(一)計算機技術(shù)應(yīng)用的影響因素

黑客、木馬、病毒這類危害網(wǎng)絡(luò)安全的計算機技術(shù)發(fā)展迅速,相應(yīng)的各類防病毒技術(shù)也日新月異,計算機技術(shù)應(yīng)用層次成為影響網(wǎng)絡(luò)安全的重要影響因素。

1.硬件技術(shù)因素。部分高職院校計算機網(wǎng)絡(luò)受舊有規(guī)劃、經(jīng)費限制等原因制約,以致網(wǎng)絡(luò)設(shè)備老舊換代緩慢,致使網(wǎng)絡(luò)運行穩(wěn)定性、兼容性差。

2.軟件技術(shù)因素。大量的計算機病毒和木馬在互聯(lián)網(wǎng)上傳播,而其中的大部分病毒和木馬都是利用了用戶計算機上的各種軟件系統(tǒng)的漏洞進行傳播與擴散。越來越多的通訊及共享軟件技術(shù)在系統(tǒng)普通用戶中推廣應(yīng)用,加速了形式多樣的安全漏洞的出現(xiàn)。在新的軟件技術(shù)推廣應(yīng)用過程中,往往忽略了對其安全管理的培訓。

(二)人員配備因素

雖然隨著圖書館信息化的進一步深入,不少高職院校圖書館采取了一系列措施來解決網(wǎng)絡(luò)安全人才配備的問題,如引進計算機專業(yè)人才、增加現(xiàn)有工作人員的網(wǎng)絡(luò)安全技術(shù)培訓等。但這些只是初步改善了網(wǎng)絡(luò)安全管理人才上的數(shù)量配置問題,而事實上由于人員所擁有的經(jīng)驗、專業(yè)系統(tǒng)性等方面因素也存在著差異,最終影響網(wǎng)絡(luò)安全管理效果。同時各級管理人員及基層操作人員在安全水平與意識上也存在著一定的差異,往往造成上下理解不同,操作無法規(guī)范化,致使網(wǎng)絡(luò)安全方面的措施很難達到預期的成效。

四、高職院校數(shù)字圖書館的網(wǎng)絡(luò)安全管理策略

(一)建立和落實網(wǎng)絡(luò)安全管理制度

作為加強高職院校數(shù)字圖書館網(wǎng)絡(luò)安全管理的重要措施,必須提高全館對網(wǎng)絡(luò)安全管理規(guī)范化重要性的認識,從而建立健全網(wǎng)絡(luò)安全管理規(guī)章制度。網(wǎng)絡(luò)安全管理制度主要可從以下幾方面建立。

1.建立網(wǎng)絡(luò)硬件維護、使用及維修制度。

定期做好網(wǎng)絡(luò)安全管理系統(tǒng)硬件設(shè)備的維護和保養(yǎng)是加強數(shù)字圖書館網(wǎng)絡(luò)安全管理在硬件技術(shù)方面的重要措施。在日常工作體系中,針對中心機房、服務(wù)器、中心交換機、二級交換機和Hub等網(wǎng)絡(luò)中的關(guān)鍵設(shè)備的維護和保養(yǎng),建立周期性的檢查、維護制度,明確各類設(shè)備的管理與使用責任分工至具體管理人員,建立維修文檔跟蹤機制,確保網(wǎng)絡(luò)安全管理系統(tǒng)運轉(zhuǎn)順暢。

在周期性的維護工作期間,要重視設(shè)備所處環(huán)境的衛(wèi)生狀況。良好的外部環(huán)境在一定程度上影響著這些硬件設(shè)備的使用壽命及效果。因此,要保持環(huán)境的通風低溫、電源常通電壓穩(wěn)定,減少設(shè)備的意外斷電情況。定期進行環(huán)境清潔,盡可能保持密閉,避免過多的灰塵堆積。根據(jù)天氣的變化,對設(shè)備進行防潮防燥工作。

為數(shù)字圖書館系統(tǒng)配備相應(yīng)的備份、系統(tǒng)恢復硬件設(shè)備,這些設(shè)備屬于保證網(wǎng)絡(luò)安全系統(tǒng)正常運行的核心。設(shè)備更新時,對整體設(shè)備的配置及時進行調(diào)整,以做到新舊結(jié)合合理,并達到物盡其用。

對于受客觀條件限制而必須設(shè)置在外部環(huán)境下使用的設(shè)備要進行定期的檢查,發(fā)現(xiàn)物理損壞要及時維修更替。

2.建立軟件維護及使用制度。

操作系統(tǒng)軟件作為支撐軟件是用戶和計算機的接口,控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)系統(tǒng)的訪問及數(shù)據(jù)的存取,但無論是Windows NT還是Unix或Linux都存在著后門,為病毒侵入和黑客攻擊留下了可乘之機[1]。每周應(yīng)固定對服務(wù)器及操作機器進行殺毒、病毒庫升級及系統(tǒng)升級工作,及時填補安全漏洞。

數(shù)據(jù)庫系統(tǒng)軟件作為實際可運行存儲、維護和為應(yīng)用系統(tǒng)提供數(shù)據(jù)的軟件系統(tǒng),其具有一套獨立的安全認證體制[2]。在管理過程中可運用數(shù)據(jù)加密技術(shù),設(shè)置嚴密的授權(quán)規(guī)則,例如:賬戶、口令和權(quán)限控制等訪問控制方法。同時,盡量避免與操作系統(tǒng)的安全認證體制捆綁,例如,避免數(shù)據(jù)庫系統(tǒng)與操作系統(tǒng)使用相同的管理員用戶名及密碼。保持數(shù)據(jù)庫系統(tǒng)在磁盤上與其他應(yīng)用程序的相互獨立性,保證在操作系統(tǒng)不安全的情況下,數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)最大限度地不被損壞。

應(yīng)用軟件作為滿足用戶應(yīng)用需求而提供的那部分軟件,拓寬了操作系統(tǒng)的應(yīng)用領(lǐng)域。但同時在使用過程中,也增加了因其不完善性造成的網(wǎng)絡(luò)安全漏洞,因此在應(yīng)用軟件使用及選擇上應(yīng)進行規(guī)范控制,特別是針對基層計算機的應(yīng)用軟件安裝管理上。在滿足業(yè)務(wù)需要的同時應(yīng)適當規(guī)范使用范圍,例如:對于P2P軟件,應(yīng)限制在少數(shù)業(yè)務(wù)計算機中使用。對于前臺檢索機的IE瀏覽器應(yīng)設(shè)置嚴格的上網(wǎng)分級審查級別,避免讀者在使用時誤入不良網(wǎng)站而引起病毒及木馬感染,從而影響整個數(shù)字圖書館系統(tǒng)的網(wǎng)絡(luò)安全。

除對以上三類軟件建立日常維護制度外,同時把周期性的系統(tǒng)備份及數(shù)據(jù)備份列入軟件維護制度中。例如:對數(shù)字資源服務(wù)器的整體操作環(huán)境和重要的數(shù)據(jù)庫系統(tǒng)進行備份,以避免在出現(xiàn)重大網(wǎng)絡(luò)安全事故導致數(shù)字圖書館系統(tǒng)數(shù)據(jù)出現(xiàn)丟失時,無法盡快恢復或重建系統(tǒng)數(shù)據(jù)。

3.建立突況處理機制。

數(shù)字圖書館系統(tǒng)較常發(fā)生的突況分為:一是自然災(zāi)害,指天災(zāi)引起的網(wǎng)絡(luò)與系統(tǒng)的損壞;二是事故災(zāi)難,指電力中斷、設(shè)備故障引起的網(wǎng)絡(luò)與系統(tǒng)的損壞;三是人為破壞,指人為破壞網(wǎng)絡(luò)設(shè)備設(shè)施,黑客攻擊等引起的系統(tǒng)無法正常運行。

網(wǎng)絡(luò)安全突發(fā)事件雖然有不可預見性,但在長期的實踐過程中,也可摸索出一般的發(fā)生規(guī)律。而針對其建立的處理機制,就是立足對規(guī)律的總結(jié),做好事前的預防及事后的補救工作。例如:在特殊氣候來臨前,設(shè)備的提前轉(zhuǎn)移,環(huán)境的檢查加固;在系統(tǒng)無法正常運行時,起用備用系統(tǒng)的處理流程,等等。

4.制定網(wǎng)絡(luò)安全管理人員操作手冊。

在加強網(wǎng)絡(luò)安全管理專業(yè)隊伍的建設(shè)中,除了選派配備責任心強、網(wǎng)絡(luò)應(yīng)用技術(shù)熟練的人員擔任管理職務(wù)外,并要建立一套有明確指引的網(wǎng)絡(luò)安全管理人員操作手冊,以保證管理人員在處理各項網(wǎng)絡(luò)安全事務(wù)時,有根可尋、有源可溯,以避免因失誤操作引起進一步的安全問題。

(二)加強各級用戶的網(wǎng)絡(luò)安全培訓

據(jù)權(quán)威部門統(tǒng)計結(jié)果表明,網(wǎng)絡(luò)上的安全攻擊事件有70%來自內(nèi)部攻擊[3]。全館的各級領(lǐng)導、部門工作人員和讀者應(yīng)加強數(shù)字圖書館系統(tǒng)的網(wǎng)絡(luò)安全意識,并首先從培訓開始。高職院校圖書館可以定期舉辦相關(guān)講座,培訓,考核等內(nèi)容,這樣既可使工作人員學到更多的網(wǎng)絡(luò)安全知識,又可增強工作人員的責任心及參與感。

為達到最佳效果,各類培訓應(yīng)根據(jù)人員特質(zhì)來設(shè)定。專職專崗的管理人員多參與校外最新專業(yè)技能的培訓課程;部門工作人員的培訓內(nèi)容以日常操作規(guī)范、防病毒及系統(tǒng)優(yōu)化等內(nèi)容為主。而普通讀者在每年的新生教育中,融入上網(wǎng)守則、計算機的信息安全保護和病毒防范等知識的培訓。

五、結(jié)語

隨著數(shù)字圖書館的快速發(fā)展,嚴防黑客入侵、努力保障網(wǎng)絡(luò)安全,不但是高職院校圖書館信息化發(fā)展的基本需求,而且對全院的整體數(shù)字信息化發(fā)展起著重要的作用,所以各級領(lǐng)導與工作人員應(yīng)該對網(wǎng)絡(luò)安全問題給予高度的重視。通過實施有效的高職院校數(shù)字圖書館的網(wǎng)絡(luò)安全管理策略能有效減少數(shù)字圖書館系統(tǒng)受網(wǎng)絡(luò)安全隱患的困擾。但要構(gòu)建和維護一個長期穩(wěn)定的數(shù)字圖書館運行網(wǎng)絡(luò)環(huán)境和更好地為讀者提供優(yōu)質(zhì)服務(wù),并不是幾個人或短期行為就能解決的事,更需要建立加強安全教育和培訓,增強安全防范的意識,采取安全防范技術(shù)措施,提高網(wǎng)絡(luò)安全水平和防范能力,降低各種不安全因素的長效工作機制。

參考文獻

[1]孟慶昌,朱欣源.操作系統(tǒng).北京:電子工業(yè)出版社,2009.

第5篇:網(wǎng)絡(luò)安全培訓制度范文

關(guān)鍵詞:電力制造企業(yè);計算機網(wǎng)絡(luò);安全

一、安全風險分析

電力制造企業(yè)計算機網(wǎng)絡(luò)一般都會將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風險一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風險種類比較多,通常可以劃分為系統(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風險,會使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風險的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當需要數(shù)據(jù)傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。

二、安全需求分析

一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業(yè)經(jīng)營鏈中的細胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。

三、安全思想和原則

電力制造企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計算機病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應(yīng)與及時恢復,數(shù)據(jù)不丟失。(1)先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素,它們是設(shè)計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機制,集成先進的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎(chǔ)。計算機網(wǎng)絡(luò)使用機構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網(wǎng)絡(luò)安全意識。(3)嚴格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅強的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強安全教育和宣傳,嚴肅網(wǎng)絡(luò)規(guī)章制度和紀律。對網(wǎng)絡(luò)犯罪嚴懲不貸。

四、安全策略與方法

1、物理安全策略和方法。

物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路的設(shè)計,包括建設(shè)符合標準的中心機房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權(quán)限,防止和控制越權(quán)操作。

2、訪問控制策略和方法。

網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據(jù)業(yè)務(wù)功能、信息保密級別、安全等級等要求的差異將網(wǎng)絡(luò)進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術(shù)和安全管理中心結(jié)合起來,實現(xiàn)多重防護體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。

3、開放的網(wǎng)絡(luò)服務(wù)策略和方法。

Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅固的大門,同時對Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強化內(nèi)部網(wǎng)絡(luò)用戶的責任感和守約,必要時增加審計手段。

4、電子郵件安全策略和方法。

電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。

5、網(wǎng)絡(luò)反病毒策略和方法。

每個電力制造企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。

目前,計算機網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負責、聯(lián)合保護、協(xié)調(diào)處置”的原則,實行“安全第一、預防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據(jù)科學的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力制造企業(yè)創(chuàng)造新業(yè)績鋪路架橋。

參考文獻

第6篇:網(wǎng)絡(luò)安全培訓制度范文

【關(guān)鍵詞】計算機;網(wǎng)絡(luò)安全技術(shù);企業(yè)

1企業(yè)內(nèi)外影響計算機網(wǎng)絡(luò)安全的因素

1.1網(wǎng)絡(luò)硬件因素

計算機作為信息交換設(shè)備,其信息交換功能的實現(xiàn)主要依靠于數(shù)據(jù)通信技術(shù),即利用電子設(shè)備進行數(shù)據(jù)或信息的整理,利用無線電波和物理線路進行數(shù)據(jù)或信息的傳送。而電子設(shè)備、物理線路等硬件在使用過程中受到來自三方面的威脅:(1)受到線路干擾。由于通信線路本身載波質(zhì)量較低,伴隨企業(yè)內(nèi)外數(shù)據(jù)傳輸數(shù)量的增加和傳輸速率要求的變化,可能出現(xiàn)調(diào)制解調(diào)器數(shù)據(jù)傳輸錯誤的情況,進而導致企業(yè)網(wǎng)絡(luò)安全受到威脅;(2)電磁泄漏情況,在處理機部分、網(wǎng)絡(luò)端口部分或者線路傳輸過程中,由于屏蔽工作不到位,可能出現(xiàn)電磁泄漏情況,進而影響網(wǎng)絡(luò)應(yīng)用的安全效果;(3)計算機網(wǎng)絡(luò)設(shè)備自身故障、受到外力破壞、意外中斷導致內(nèi)存信息中存在未受到保護的信息段等情況都有可能導致網(wǎng)絡(luò)安全隱患的產(chǎn)生。

1.2軟件因素

軟件方面的網(wǎng)絡(luò)安全隱患主要有:1.2.1受到競爭對手或者黑客的惡意攻擊一般來說,惡意攻擊的行為主要表現(xiàn)為以企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓為目的的攻擊行為以及以竊取企業(yè)信息機密為目的的攻擊行為。兩種攻擊行為都會造成企業(yè)網(wǎng)絡(luò)安全隱患,進而影響企業(yè)的正常辦公甚至是信息安全。1.2.2企業(yè)所應(yīng)用的系統(tǒng)本身存在漏洞漏洞的存在可能是因為企業(yè)網(wǎng)絡(luò)使用中程序員的疏忽,或者是程序員為竊取企業(yè)機密情報而故意設(shè)計的漏洞。另外,一些程序員在企業(yè)安全軟件設(shè)計中可能為方便個人應(yīng)用會進行一些軟件后門的設(shè)計,一旦被企業(yè)外部人員知曉,則有可能造成企業(yè)網(wǎng)絡(luò)應(yīng)用的安全隱患。

1.3主觀因素

企業(yè)的計算機網(wǎng)絡(luò)安全還受到網(wǎng)絡(luò)管理人員的影響,主要影響方式有:(1)網(wǎng)絡(luò)管理人員本身缺乏安全防范意識和信息安全的相關(guān)知識,不經(jīng)常升級網(wǎng)絡(luò)病毒庫,或者對工作電腦的物理隔離不到位;(2)企業(yè)內(nèi)部對于存有加密信息的電腦進行隨意使用,加密工作不到位;第三,企業(yè)局域網(wǎng)建設(shè)過程中,信息安全意識不足,安全防范工作不到位。

2企業(yè)內(nèi)部計算機網(wǎng)絡(luò)安全的防范措施

2.1加強網(wǎng)絡(luò)安全管理

加強網(wǎng)絡(luò)安全管理,可以從建立安全管理制度、規(guī)范網(wǎng)絡(luò)管理人員工作角度入手。(1)企業(yè)本身需要強化對于網(wǎng)絡(luò)安全工作的認識,從自身制度建設(shè)入手,進行計算機網(wǎng)絡(luò)安全管理制度和管理系統(tǒng)的建設(shè),強化工作人員的用戶管理和企業(yè)內(nèi)部功能授權(quán)工作;(2)加強對網(wǎng)絡(luò)管理人員的監(jiān)管,可以通過軟件、硬件等網(wǎng)絡(luò)系統(tǒng)安全培訓,增強程序員的責任心,同時利用防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、殺毒技術(shù)等技能培訓,提高網(wǎng)絡(luò)程序員的工作能力。

2.2強化網(wǎng)絡(luò)安全審核

企業(yè)內(nèi)部的網(wǎng)絡(luò)安全工作需要結(jié)合自身的安全審核進行。具體的安全審核工作,可以從網(wǎng)絡(luò)安全日志記錄入手。首先,強化主機登陸日志的建設(shè),針對主機操作進行及時的安全追蹤,并對其他訪問主機的移動介質(zhì)進行監(jiān)測和控制。其次,針對非授權(quán)的主機接入行為進行必要的安全監(jiān)測。最后,嚴格網(wǎng)絡(luò)設(shè)備的拆卸工作,尤其對于員工拆卸硬盤、光驅(qū)等行為,予以禁止。

3企業(yè)外部計算機網(wǎng)絡(luò)安全的防范措施

3.1有效應(yīng)用防火墻技術(shù)

在企業(yè)外部計算機網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)是保障企業(yè)信息安全、防治機密數(shù)據(jù)泄漏的基本技術(shù)。在企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中,可以通過利用包過濾防火墻技術(shù),過濾企業(yè)內(nèi)部傳輸?shù)男畔⒉Σ《具M行攔截;當然也可以利用應(yīng)用級防火墻技術(shù),對終端服務(wù)器進行掃描處理,以抵制基本的網(wǎng)絡(luò)攻擊行為。

3.2強化數(shù)據(jù)加密功能

數(shù)據(jù)加密功能的實現(xiàn),能夠綜合化保障企業(yè)內(nèi)部數(shù)據(jù)安全。通常而言,數(shù)據(jù)加密形式可通過兩種算法實現(xiàn),即對稱算法和非對稱算法。對稱算法即借助密碼設(shè)置的方式進行數(shù)據(jù)的保護;非對稱加密則利用較為復雜的加密算法來保障系統(tǒng)安全,防止黑客供給。

3.3合理使用殺毒技術(shù)

病毒是當前企業(yè)計算機網(wǎng)絡(luò)安全的主要威脅之一。因此在企業(yè)網(wǎng)絡(luò)安全管理工作中,需要重視殺毒技術(shù)的選擇和使用。而在具體的殺毒技術(shù)使用過程中,首先需要加強計算機操作系統(tǒng)的更新,避免系統(tǒng)漏洞被攻擊造成的企業(yè)信息泄露情況;其次,安裝正版的殺毒軟件,在對病毒數(shù)據(jù)庫進行及時清理的同時,對所下載的不明軟件或郵件進行及時的病毒查殺以保證計算機網(wǎng)絡(luò)安全。

3.4加強系統(tǒng)入侵的檢測

系統(tǒng)入侵檢測技術(shù)的有效應(yīng)用,能夠及時收集計算機及網(wǎng)絡(luò)操作中的相關(guān)信息數(shù)據(jù),報警病毒入侵情況,實現(xiàn)病毒攔截。加強入侵監(jiān)測,主要從主機系統(tǒng)入侵檢測和網(wǎng)絡(luò)入侵檢測入手。主機系統(tǒng)入侵檢測主要包括系統(tǒng)安全日志、主機操作相關(guān)數(shù)據(jù)等的監(jiān)測;網(wǎng)絡(luò)系統(tǒng)入侵檢測則對企業(yè)網(wǎng)絡(luò)自身存在特點的把握,結(jié)合具體的測定數(shù)據(jù)和入侵分析模塊進行入侵內(nèi)容的監(jiān)控,并在短時間內(nèi)進行攻擊處理。一般來說,入侵檢測包括誤用檢測和異常檢測兩部分。誤用監(jiān)測主要從入侵模式的檢測入手,檢測速度快,且誤警率低;異常檢測則以企業(yè)內(nèi)部的非正常行為入手,誤警率高且檢測時間較長。

4結(jié)語

計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用,不僅提高了企業(yè)的工作效率、工作水平,而且為企業(yè)綜合實力的提高、為我國國民經(jīng)濟的建設(shè)和發(fā)展創(chuàng)造優(yōu)勢條件。因此,為保證企業(yè)內(nèi)外計算機網(wǎng)絡(luò)技術(shù)的有效利用,維護企業(yè)的信息和數(shù)據(jù)安全,企業(yè)需要從安全技術(shù)應(yīng)用和安全管理角度出發(fā),加強網(wǎng)絡(luò)安全防范的監(jiān)控與審核,并借助防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、殺毒技術(shù)等的應(yīng)用,結(jié)合對系統(tǒng)入侵的及時檢測,提高企業(yè)計算機網(wǎng)絡(luò)安全等級,促進企業(yè)良好、健康發(fā)展。

參考文獻

[1]胡俊.計算機網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護中的應(yīng)用研究[J].科技風,2014(15).

[2]程完寶,謝金榮.計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)的應(yīng)用與研究[J].計算機光盤軟件與應(yīng)用,2012(05).

第7篇:網(wǎng)絡(luò)安全培訓制度范文

[關(guān)鍵詞]醫(yī)院;信息化;系統(tǒng);安全建設(shè);重要性

doi:10.3969/j.issn.1673 - 0194.2016.18.108

[中圖分類號]R197.324 [文獻標識碼]A [文章編號]1673-0194(2016)18-0-02

醫(yī)院信息化系統(tǒng)安全防護措施的建設(shè)對保證醫(yī)院系統(tǒng)的安全性和穩(wěn)定性具有重要的意義,其網(wǎng)絡(luò)安全管理水平直接關(guān)系到醫(yī)院中各個醫(yī)療部門的正常運作。一旦出現(xiàn)信息安全問題,將會導致網(wǎng)絡(luò)癱瘓、大量數(shù)據(jù)丟失,為醫(yī)院的正常運行和患者帶來難以彌補的損失。因此,醫(yī)院應(yīng)建立健全信息化系統(tǒng)安全防護體系,制定相關(guān)的安全防護措施,從而建立高效、安全、穩(wěn)定的醫(yī)院信息化體系。

1 醫(yī)院信息化系統(tǒng)建設(shè)的基本手段

1.1 建立完善的網(wǎng)絡(luò)安全管理制度

建立完善的網(wǎng)絡(luò)安全管理制度是醫(yī)院信息化系統(tǒng)建設(shè)的基本制度保障,科學的網(wǎng)絡(luò)安全管理制度能夠保障網(wǎng)絡(luò)運營的安全性及穩(wěn)定性。為此,醫(yī)院應(yīng)根據(jù)自身需求,對網(wǎng)絡(luò)系統(tǒng)進行科學管理,制定與各部門相關(guān)的網(wǎng)絡(luò)安全執(zhí)行規(guī)定。同時,對醫(yī)院人員進行定期網(wǎng)絡(luò)安全知識培訓,使醫(yī)護人員能夠科學地利用信息化網(wǎng)絡(luò),促進醫(yī)療服務(wù)水平的提高。通過培訓提升網(wǎng)絡(luò)意識以及制定安全管理制度兩方面展開工作,從制度上及意識上提升網(wǎng)絡(luò)安全的執(zhí)行效率,提高人們的安全意識。另外,落實網(wǎng)絡(luò)安全責任制,將醫(yī)院的各個環(huán)節(jié)網(wǎng)絡(luò)安全工作責任落實到人,促進團隊到個人的監(jiān)督工作,通過層層問責、層層監(jiān)督的形式,實現(xiàn)網(wǎng)絡(luò)安全管理,與此同時,也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全人人有責,提升醫(yī)護人員網(wǎng)絡(luò)安全的責任心,使之能夠更加用心地維護網(wǎng)絡(luò)安全、科學使用網(wǎng)絡(luò),避免由于個人操作失誤、人為破壞及意外泄露等原因造成網(wǎng)絡(luò)安全問題。

1.2 加強人員管理與制度管理

醫(yī)院的信息化系統(tǒng)與網(wǎng)絡(luò)安全管理制度歸根結(jié)底是人在使用,因此在進行網(wǎng)絡(luò)安全建設(shè)過程中最重要的是對人的管理。第一,對人員素質(zhì)及人員品質(zhì)進行考核,促進人員集體意識及服務(wù)意識的加強,摒棄個人利己主義,以防止由于利益、職位等因素造成醫(yī)院數(shù)據(jù)及信息的泄露。第二,在對人員素質(zhì)品質(zhì)進行考核的基礎(chǔ)上要有針對地進行網(wǎng)絡(luò)安全培訓,提升網(wǎng)絡(luò)操作的科學性,通過培訓給予醫(yī)護工作者正確的網(wǎng)絡(luò)使用指引,引導醫(yī)護工作者充分利用信息系統(tǒng)提供醫(yī)療服務(wù)的同時能夠自覺維護網(wǎng)絡(luò)安全。第三,針對一些重要的部門以及人員信息應(yīng)進行網(wǎng)絡(luò)隔離監(jiān)管。由于某些部門數(shù)據(jù)的重要性以及文件的機密性,信息一旦泄露將會造成不可估量的損失,因此針對一些重要的部門以及人員信息應(yīng)進行網(wǎng)絡(luò)隔離監(jiān)管,使重要數(shù)據(jù)以及醫(yī)院機密文件得以保持其機密性,防止黑客攻擊或網(wǎng)絡(luò)漏洞造成的數(shù)據(jù)泄露,使醫(yī)院的重要信息包括患者病例以及醫(yī)院人事檔案等外泄。通過以上三點具體措施來促進人對制度進行科學管理,同時也實現(xiàn)制度對人的行為的監(jiān)督制約作用。以此促進二者協(xié)調(diào)可持續(xù)發(fā)展。

1.3 完善網(wǎng)絡(luò)應(yīng)急管理措施及事故處置方案

完善的網(wǎng)絡(luò)安全應(yīng)急措施以及事故處置方案,能夠在網(wǎng)絡(luò)安全災(zāi)難發(fā)生后切實減少網(wǎng)絡(luò)癱瘓時間,及時恢復系統(tǒng)及數(shù)據(jù),降低事故損失。為此,完善的網(wǎng)絡(luò)應(yīng)急管理措施應(yīng)包括:網(wǎng)絡(luò)監(jiān)督維護工作、數(shù)據(jù)檔案備份工作及事故應(yīng)急處理工作。網(wǎng)絡(luò)監(jiān)督維護工作主要是指對網(wǎng)絡(luò)安全系統(tǒng)的漏洞進行及時排查、修復,對可能存在的風險予以規(guī)避,避免由于監(jiān)督疏忽造成的病毒侵入等問題。數(shù)據(jù)檔案備份工作是指利用備份軟件進行有層次有部門的數(shù)據(jù)備份工作,使醫(yī)院系統(tǒng)數(shù)據(jù)有一個較完整的備份,一旦發(fā)生網(wǎng)絡(luò)安全問題,可以及時恢復數(shù)據(jù),盡可能地減少數(shù)據(jù)丟失問題。而事故應(yīng)急處理工作是對網(wǎng)絡(luò)安全事故第一時間做出反應(yīng),以減小事故損失及社會影響為基本著眼點,采取應(yīng)急措施等一系列事故應(yīng)急方案,保障事故的影響降低到最小.

2 醫(yī)院信息化系統(tǒng)安全建設(shè)的重要性

2.1 促進醫(yī)院系統(tǒng)的正常運行以及數(shù)字化管理

由于網(wǎng)絡(luò)信息化實現(xiàn)了電子化病例與地域醫(yī)療系統(tǒng)等信息化手段的結(jié)合,為醫(yī)療工作提供了大量的醫(yī)療信息,保證了醫(yī)療手段的先進性以及獲取病患信息的及時性。目前,醫(yī)院各個繁雜的項目都極其依賴于網(wǎng)絡(luò)的功能性,因此醫(yī)院網(wǎng)絡(luò)必須保證其安全覆蓋24小時安全運營。故而醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全性對醫(yī)院能否正常運行具有重要的影響作用,同時對病患得到及時高效的就醫(yī)具有重要作用??梢哉f,醫(yī)院系統(tǒng)安全建設(shè)是保證醫(yī)院網(wǎng)絡(luò)安全運行的前提及數(shù)字化管理的重要手段。在目前醫(yī)療系統(tǒng)的不斷推進過程中,醫(yī)院的信息網(wǎng)絡(luò)具有較強的開放性,在給患者帶來便利的同時,在一定程度上為醫(yī)院的網(wǎng)絡(luò)安全帶來隱患。醫(yī)院進行信息化系統(tǒng)安全建設(shè)時要做好實時監(jiān)督,并化解醫(yī)院信息網(wǎng)絡(luò)中存在的風險,最大限度使醫(yī)院各個系統(tǒng)避免網(wǎng)絡(luò)攻擊帶來的侵害,且規(guī)避網(wǎng)絡(luò)泄露對醫(yī)院造成的經(jīng)濟損失和社會影響,確保醫(yī)療系統(tǒng)的正常運行,保證醫(yī)院各項工作的順利開展。

2.2 優(yōu)化工作環(huán)境,提高醫(yī)護工作效率

安全的網(wǎng)絡(luò)信息系統(tǒng)能夠促進系統(tǒng)的有序進行,優(yōu)化醫(yī)院的就醫(yī)環(huán)境,提高醫(yī)護的工作效率及病患的就醫(yī)體驗。應(yīng)用信息系統(tǒng),患者可以通過網(wǎng)絡(luò)掛號、預約,醫(yī)護人員通過信息化系統(tǒng)查看患者的病例以及檢查結(jié)果,形成電子病歷,同時針對外地客戶通過互聯(lián)網(wǎng)能夠及時地獲取病患病史及醫(yī)治信息,優(yōu)化患者看病的程序,減少患者等待時間,實現(xiàn)醫(yī)療模式的規(guī)范化,為患者提供更加優(yōu)質(zhì)的醫(yī)療服務(wù)。另外,針對敏感性部門以及管理層人員的網(wǎng)絡(luò),采取子網(wǎng)分離的安全隔離措施能夠有效地排除不允許訪問用戶的訪問請求,減少信息泄露的可能,提高重要數(shù)據(jù)和機密文件的安全性和保密性,使各部門處于安全有序的信息化系統(tǒng)環(huán)境中,提升醫(yī)護人員的工作效率,促進現(xiàn)代醫(yī)療機構(gòu)管理水平的全面提升。

2.3 優(yōu)化經(jīng)費管理,提高經(jīng)濟效益

安全的信息化系統(tǒng)能夠有效防止人為惡意入侵,降低人為更改系統(tǒng)內(nèi)數(shù)據(jù)的可能性,保證系統(tǒng)內(nèi)數(shù)據(jù)的真實有效性。通過信息化系統(tǒng),能夠清晰地查看醫(yī)院的醫(yī)療經(jīng)費和物資管理,實現(xiàn)經(jīng)費的合理利用,減少醫(yī)院不必要的開支,提高經(jīng)濟效益。同時,針對于病患的醫(yī)藥費,患者可以通過醫(yī)院各角落的終端實現(xiàn)藥品劃價,使醫(yī)患就醫(yī)實現(xiàn)公平透明化,解決患者的就醫(yī)疑問。通過安全的信息化系統(tǒng)管理,能夠優(yōu)化財政系統(tǒng),減少醫(yī)療經(jīng)費管理漏洞,提高患者就醫(yī)費用的透明度,保護醫(yī)患雙方利益。

2.4 能夠提高醫(yī)護人員網(wǎng)絡(luò)安全意識

醫(yī)院信息化系統(tǒng)安全的建設(shè)能夠促使醫(yī)院實現(xiàn)科學的網(wǎng)絡(luò)安全管理制度,提高醫(yī)院工作人員的網(wǎng)絡(luò)安全意識,以使工作人員在進行醫(yī)療系統(tǒng)使用時,注重安全細節(jié),減少不當?shù)木W(wǎng)絡(luò)利用行為,例如:不在網(wǎng)絡(luò)終端機上使用U盤、光驅(qū)等外界存儲,不在終端機上拷貝等以防止病毒的偶然入侵以及數(shù)據(jù)信息的泄露。與此同時,建立網(wǎng)絡(luò)安全信息要求各個系統(tǒng)的使用者建立難度系數(shù)較高的口令,以提高系統(tǒng)的安全性。

2.5 提升應(yīng)對病毒的能力

目前,由于信息科技手段的不斷提高,計算機病毒水平也不斷復雜化,建立安全的信息化系統(tǒng)能夠有效地預防病毒的侵入,通過殺毒軟件部署及時修復系統(tǒng)漏洞,減少系統(tǒng)的缺陷性,使病毒無處可侵。與此同時,實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全化能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理者對客戶端應(yīng)用程序進行管控,提升病毒應(yīng)對能力、病毒檢測及病毒修復能力,有效的病毒應(yīng)對能力,能夠提升網(wǎng)絡(luò)系統(tǒng)的安全性。而安全的網(wǎng)絡(luò)系統(tǒng)能夠不斷提升病毒應(yīng)對能力,兩者相互作用能促進醫(yī)院信息系統(tǒng)處于優(yōu)化循環(huán)中。

3 結(jié) 語

醫(yī)院信息化系統(tǒng)安全建設(shè)能夠行之有效地為患者提供透明化的服務(wù),使之賬目透明,用藥透明及管理透明,提高患者對醫(yī)院消費的了解程度,減少醫(yī)患糾紛。基于安全的網(wǎng)絡(luò)信息系統(tǒng)下的醫(yī)院能夠利用數(shù)字化管理提升管理工作簡潔性真心落實醫(yī)院“以人為本”的管理理念,促進管理的有序進行,推動現(xiàn)代醫(yī)院管理制度的完善。

主要參考文獻

第8篇:網(wǎng)絡(luò)安全培訓制度范文

【關(guān)鍵詞】信息安全等級保護 測評實施

1 引言

醫(yī)院信息化建設(shè)快速發(fā)展,信息系統(tǒng)應(yīng)用深入到各個環(huán)節(jié),信息業(yè)務(wù)系統(tǒng)承載了門診收費、門診藥房、住院收費、住院藥房、醫(yī)保、財務(wù)、門急診醫(yī)生護士站、住院醫(yī)生護士站、電子病歷、病案首頁、檢驗LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點信息系統(tǒng)的安全,規(guī)范信息安全等級保護,完善信息保護機制,提高信息系統(tǒng)的防護能力和應(yīng)急水平,有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生,創(chuàng)造良好的信息系統(tǒng)安全運營環(huán)境勢在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》,衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作,對于促進衛(wèi)生信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。

2 確定測評對象與等級

我院是一所二級甲等綜合醫(yī)院,日門診人次1000人左右,住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個系統(tǒng)無縫結(jié)合,信息雙向交流。按照《信息系統(tǒng)安全等級保護定級指南》定級原理,確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護等級為第2級,其中業(yè)務(wù)信息安全保護等級為2級,系統(tǒng)服務(wù)安全保護等級為2級。

2.1 招標比選測評公司

醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級保護測評有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司,簡單介紹醫(yī)院信息化情況,其中有3家公司到現(xiàn)場進行調(diào)查,掌握了信息系統(tǒng)情況。然后通過招標比選確定一家公司為我院測評安全等級保護。

2.2 測評實施

2.2.1 準備階段

醫(yī)院填報《安全等級保護備案申報表》、《安全等級保護定級報告》,確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、審計管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級計算機安全學會進行安全培訓學習。確定醫(yī)院信息安全主管人員協(xié)助測評公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研,提交準備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、線路鏈接情況、中心機房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。

2.2.2 測評主要內(nèi)容

主要針對醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實施測評,其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復進行5;安全管理包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。

2.2.3 測評方式與測評范圍

測評公司綜合采用了現(xiàn)場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現(xiàn)場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談,了解醫(yī)院業(yè)務(wù)運作以及網(wǎng)絡(luò)運行狀況;查看主機房、應(yīng)用系統(tǒng)軟件、主機操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復等技術(shù)類測評任務(wù),以及安全管理類測評任務(wù);查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等;測評人員采用手工驗證和工具測試進行漏洞掃描、系統(tǒng)滲透測試,檢查系統(tǒng)的安全有效性。

整體測評主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個方面。主要就是針對同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區(qū)域間的互連互通時的安全性。

醫(yī)院信息系統(tǒng)運用了身份鑒別措施、軟件容錯機制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵,終端使用了趨勢網(wǎng)絡(luò)版本防病毒產(chǎn)品,抵御惡意代碼。開啟系統(tǒng)審計日志,制定和實施有效安全管理制度,加強安全管理,降低系統(tǒng)安全風險。網(wǎng)絡(luò)進行了有效的區(qū)域劃分,區(qū)域之間通過訪問控制列表實現(xiàn)安全控制,與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過防火墻嚴格限制訪問端口。

2.2.5 差距分析與測評整改

通過測評,測評公司寫出測評報告,提出整改建議。按照《信息系統(tǒng)安全等級保護基本要求》要求6,測評公司人員根據(jù)醫(yī)院當前安全管理需要和管理特點,針對等級保護所要求的安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理,從人員、制度、運作、規(guī)范等角度,進行全面的建設(shè)7,提供技術(shù)建設(shè)措施,落實等級保護制度的各項要求,就各類人員進行安全培訓,提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等。

2.2.6 編制報告,成功備案

測評公司編制報告,上報市公安局備案成功,獲得二級信息系統(tǒng)備案證書。二級信息系統(tǒng),每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫(yī)院信息系統(tǒng)安全管理水平提高,安全保護能力增強,有效保障信息化健康發(fā)展。

3 結(jié)語

網(wǎng)絡(luò)安全問題是一個集技術(shù)、管理和法規(guī)于一體的長期系統(tǒng)工程,始終有其動態(tài)性,醫(yī)院需要不斷進行完善,加強管理,持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效,保障信息系統(tǒng)安全穩(wěn)定運行。醫(yī)院信息安全建設(shè)要切合自身條件特點,分期分批循序建設(shè),保證醫(yī)院各系統(tǒng)長期穩(wěn)定安全運行,以適應(yīng)醫(yī)院不斷擴展的業(yè)務(wù)應(yīng)用和管理需求8。

參考文獻

[1]衛(wèi)辦發(fā).〔2011〕85號,衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級保護工作的指導意見”的通知,2011.

[2]尚邦治.做好信息安全等級保護工作[J].中國衛(wèi)生信息管理雜志,2005.

[3]王建英,陳文霞,胡雯,張鵬.醫(yī)院信息安全分析及措施[J].中國病案,2013.

[4]王俊.醫(yī)院信息安全等級保護管理體系的構(gòu)建[J].醫(yī)學信息,2013.

[5]韓作為.醫(yī)院信息安全等級保護三級建設(shè)流程與要點[J].中國數(shù)字醫(yī)學,2006.

第9篇:網(wǎng)絡(luò)安全培訓制度范文

關(guān)鍵詞 電力企業(yè);網(wǎng)絡(luò)信息安全;防范措施

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)73-0192-02

隨著信息系統(tǒng)與網(wǎng)絡(luò)的快速發(fā)展,電力企業(yè)作為關(guān)乎國計民生的基礎(chǔ)行業(yè),企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)已基本在網(wǎng)絡(luò)流轉(zhuǎn),企業(yè)對信息系統(tǒng)產(chǎn)生了巨大的依賴性。但是,企業(yè)在享受著信息系統(tǒng)所帶來巨大經(jīng)濟效益的同時,也面臨著高風險。一旦出現(xiàn)信息泄密或篡改數(shù)據(jù)的情況,將為國家造成難以估量的損失。尤其是近幾年,全球范圍內(nèi)的病毒泛濫、黑客入侵、計算機犯罪等問題,信息安全防范已成重中之重。因此,企業(yè)必須重新面對當前的安全問題,從中找到行之有效的防范措施。

1 電力企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

1.1 網(wǎng)絡(luò)安全措施不到位

電力數(shù)據(jù)網(wǎng)絡(luò)信息化在電力系統(tǒng)中的應(yīng)用已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。電力數(shù)據(jù)網(wǎng)需要同時承載著實時、準實時控制業(yè)務(wù)及管理信息業(yè)務(wù),電力生產(chǎn)、經(jīng)營很多環(huán)節(jié)完全依賴電力信息網(wǎng)的正常運行與否,隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展,網(wǎng)絡(luò)犯罪不斷增加,電力企業(yè)雖然已初步建立了網(wǎng)絡(luò)安全措施,但企業(yè)網(wǎng)絡(luò)信息安全仍存在很多的安全隱患,職工安全意識、數(shù)據(jù)傳輸加密、身份認證、訪問控制、防病毒系統(tǒng)、人員的管理等方面需要進一步加強,在整個電力信息網(wǎng)絡(luò)中,很多單位之間的網(wǎng)絡(luò)安全是不平衡的,主要是雖然網(wǎng)絡(luò)利用率較高,但信息的安全問題較多,主要是安全級別較低的業(yè)務(wù)與安全,沒有對網(wǎng)絡(luò)安全做長遠、統(tǒng)一的規(guī)劃,網(wǎng)絡(luò)中還存在很多問題。

1.2 職工安全意識有待加強

目前國內(nèi)電力企業(yè)職工的安全意識參差不齊,相較之下,年輕的職工和管理人員其安全意識較高,中年以上的職工和一線職工仍然缺乏必要的安全意識,主要是工作年齡、所受教育、工作后的信息安全培訓程度,從事的工作性質(zhì)的原因造成的,這就為網(wǎng)絡(luò)安全留下了隱患,加強電力企業(yè)信息安全的培訓,全方位提高職工網(wǎng)絡(luò)信息安全意識,避免信息安全防護工作出現(xiàn)高低不均的情況。

1.3 內(nèi)部的網(wǎng)絡(luò)威脅仍然存在

在這個科技技術(shù)日益發(fā)展的時代,網(wǎng)絡(luò)信息的安全工作越來越重要,由此電力企業(yè)根據(jù)目前的狀況出臺了相關(guān)的網(wǎng)絡(luò)安全規(guī)章制度,以保證其信息安全,但內(nèi)部的網(wǎng)絡(luò)威脅仍然存在,而且對管理人員的有效管理依然缺乏。如:辦公計算機仍存在內(nèi)外網(wǎng)混用情況、內(nèi)外網(wǎng)邏輯隔離強度不夠、企業(yè)內(nèi)網(wǎng)安全隔離相對薄弱等情況,如果其中的一些漏洞被非法分子所利用,那么,電力企業(yè)的信息安全會受到嚴重的威脅,并會對電力企業(yè)的生產(chǎn)以及經(jīng)營帶來很大的困難。

2 電力企業(yè)網(wǎng)絡(luò)安全的風險

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,電力企業(yè)信息系統(tǒng)越來越復雜,信息資源越來越龐大,不管是操作系統(tǒng)還是應(yīng)用軟件,都存在系統(tǒng)漏洞等安全風險,保證電力企業(yè)信息安全最重要的是保證信息數(shù)據(jù)的安全,目前電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的主要隱患主要存在于以下幾個方面。

2.1 惡意入侵

計算機系統(tǒng)本身并不具有一定的防御性,其通信設(shè)備也較為脆弱,因此,計算機網(wǎng)絡(luò)中的潛在威脅對計算機來說是十分危險的。尤其是現(xiàn)在的信息網(wǎng)絡(luò)公開化、信息利用自由化,這也造成了一些秘密的信息資源被共享,而這些信息也容易被不法分子所利用。而有極少數(shù)人利用網(wǎng)絡(luò)進行惡意入侵進行非法操作,危機網(wǎng)絡(luò)系統(tǒng)的安全,惡意入侵其實是由四個步驟構(gòu)成的:首先掃描IP地址,尋找存活主機;然后確定IP地址,掃描主機端口和漏洞;接著通過漏洞和開放端口放置后門程序;最后通過客戶端程序?qū)嵤┻h程控制。由于系統(tǒng)被入侵,電力企業(yè)信息泄露會造成不良后果,更嚴重的是系統(tǒng)被惡意控制,不但會給電力企業(yè)本身造成嚴重的后果,還會給社會和用戶帶來重大的損失。

2.2 網(wǎng)絡(luò)病毒的傳播

計算機病毒對計算機來說是最普遍的一種威脅,伴隨著因特網(wǎng)的發(fā)展,各個企業(yè)開始創(chuàng)建或發(fā)展企業(yè)網(wǎng)絡(luò)應(yīng)用,這無形也增加了病毒感染的可能性,病毒的危害十分巨大,它是通過數(shù)據(jù)的傳輸來傳播的,其能夠?qū)τ嬎銠C的軟硬件造成破壞,同時它還能夠進行自我復制,因此,一旦感染了病毒,其危害性是十分巨大的。

2.3 惡意網(wǎng)頁的破壞

網(wǎng)絡(luò)共享性與開放性使得人人都可以在互聯(lián)網(wǎng)上所取和存放信息,由于信息的傳遞和反饋快速靈敏,網(wǎng)絡(luò)資源的社會性和共享性,電力企業(yè)職工都在不斷地點擊各種網(wǎng)頁,并在網(wǎng)絡(luò)中尋找他們所需要的資源,網(wǎng)頁中的病毒是掛靠在網(wǎng)頁上的一種木馬病毒,它的實質(zhì)是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網(wǎng)頁病毒。當用戶瀏覽過含有病毒的網(wǎng)站時,病毒會在無形中被激活,并通過因特網(wǎng)進如用戶的計算機系統(tǒng),當病毒進入計算機后會迅速的自我復制并到處傳播病毒,使得用戶的計算機系統(tǒng)崩潰,嚴重的會將用戶的系統(tǒng)徹底格式化。

2.4 信息傳遞的安全不容忽視

在電力企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)中,信息傳輸基本上是明文方式或采用低安全級別的加密進行傳輸,當這些企業(yè)信息在網(wǎng)絡(luò)上傳輸時,其安全性就不能得到足夠的保障,不具備網(wǎng)絡(luò)信息安全所要求的機密性、數(shù)據(jù)完整性和身份認證。

2.5 軟件源代碼不能獨立控制的隱患

目前電力企業(yè)辦公計算機、企業(yè)級服務(wù)器的操作系統(tǒng)以及使用的信息系統(tǒng)軟件因為是絕大部分都是商業(yè)性質(zhì)的,所以其源代碼是不公開的,這就代表著軟件的核心技術(shù)是被對方掌握的,其漏洞卻大量存在,雖然有系統(tǒng)補丁或者軟件升級,但其未公開、未被發(fā)現(xiàn)的漏洞對信息安全來說確實巨大的隱患。