網(wǎng)絡(luò)安全培訓(xùn)計劃范文
時間:2023-09-07 17:59:32
導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)安全培訓(xùn)計劃,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
一、加強頂層設(shè)計,確立信息安全教育國家戰(zhàn)略
1.《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》
布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》,其中首次從國家層面提出了“提高網(wǎng)絡(luò)安全意識與培訓(xùn)計劃”,指出,“除了信息技術(shù)系統(tǒng)的脆弱性外,要提高網(wǎng)絡(luò)的安全性至少面臨著兩個障礙:缺乏對安全問題的了解和認識;無法找到足夠多的經(jīng)過培訓(xùn)或通過認證的人員來建立并管理安全系統(tǒng)?!盀榇?,美國要開展全國性的增強安全意識活動,加強培訓(xùn)和網(wǎng)絡(luò)安全專業(yè)人員資格認證。
2.《美國網(wǎng)絡(luò)安全評估》報告
2009年5月29日美國公布了《美國網(wǎng)絡(luò)安全評估》報告,評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標準,指出了存在的問題,提出行動計戈IJ。所提議的優(yōu)先行動計劃之一就是“加強公眾網(wǎng)絡(luò)安全教育”。
3.《國家網(wǎng)絡(luò)安全綜合計劃》(CNCI)
2010年3月2日,奧巴馬政府對前布什政府在2007年制定的一份國家網(wǎng)絡(luò)安全綜合計劃的部分內(nèi)容進行解密。CNCI計劃提出要實現(xiàn)重要目標之一就是:“為了有效地保證持續(xù)的技術(shù)優(yōu)勢和未來的網(wǎng)絡(luò)安全,必須制定一個技術(shù)熟練和精通網(wǎng)絡(luò)的勞動力和未來員工的有效渠道。擴大網(wǎng)絡(luò)教育,以加強未來的網(wǎng)絡(luò)安全環(huán)境?!?/p>
4.《國家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計劃》
2011年8月11日,NIST授權(quán)《美國網(wǎng)絡(luò)
安全教育倡議戰(zhàn)略規(guī)劃:構(gòu)建數(shù)字美國》草案,征求公眾意見。該規(guī)劃是美國網(wǎng)絡(luò)安全教育倡議(NICE)的首個戰(zhàn)略規(guī)劃,闡明了NICE的任務(wù)、遠景和目標。NICE旨在通過創(chuàng)新的網(wǎng)絡(luò)行為教育、培訓(xùn)和加強相關(guān)意識,促進美國的經(jīng)濟繁榮和保障國家安全,并通過以下三個目標實現(xiàn)這一愿景:增強公眾有關(guān)網(wǎng)上活動風(fēng)險的意識;擴展能支持國家網(wǎng)絡(luò)安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網(wǎng)絡(luò)安全隊伍。
二、做好立法工作,完善法規(guī)標隹體系
1.《聯(lián)邦信息安全管理法案》(FISMA)
2002年7月,美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經(jīng)認識到信息安全對美國經(jīng)濟和國家安全利益的重要性,并從風(fēng)險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓(xùn)是信息安全管理體系中一個重要環(huán)節(jié)。
FISMA法案明確要求:聯(lián)邦政府機構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風(fēng)險的安全意識培訓(xùn),為此還提議了一個較為完善的國家安全意識及其培訓(xùn)系統(tǒng)。
2.國防部(DoD)8570指令
2005年12月,為了更好地支持“全球信息網(wǎng)格計戈j”,美國國防部了8570指令。該指令涵蓋以下主要內(nèi)容:建立技術(shù)基準,管理職員的信息保障技能;實現(xiàn)正規(guī)的信息保障勞動力技能培訓(xùn)和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎(chǔ)教育和實驗教育中,持續(xù)的增加信息保障內(nèi)容。
3.聯(lián)邦政府信息技術(shù)安全培訓(xùn)標準(FIPS)
FISMA法案明確指定NIST負責(zé)制定聯(lián)邦政府(除國防、情報部門以外)所使用的信息安全技術(shù)、產(chǎn)品和培訓(xùn)方面的國家標準。目前,NIST已制定和兩部權(quán)威的信息安全培訓(xùn)標準:《信息技術(shù)安全培訓(xùn)要求:基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓(xùn)方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓(xùn)概念性的框架,依據(jù)這些框架,美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計算臟務(wù)(FSC)項目。
4.網(wǎng)絡(luò)安全法案
2010年3月24日,美國參議院商務(wù)、科學(xué)和運輸委員會全票通過了旨在加強美國網(wǎng)絡(luò)安全、幫助美國政府機構(gòu)和企業(yè)有效應(yīng)對網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》。該法案要求政府機構(gòu)和私營部門加強在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享,強調(diào)通過市場手段,鼓勵培養(yǎng)網(wǎng)絡(luò)安全人才,開發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。
三、構(gòu)建信息網(wǎng)絡(luò)安全組織機構(gòu),健全安全教育培訓(xùn)管理體制
為了落實信息安全教育培訓(xùn)相關(guān)政策和法律法規(guī),美國將協(xié)調(diào)、執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個政府部門,依據(jù)最新的《國家網(wǎng)絡(luò)安全教育戰(zhàn)略計劃》的思路,國家標準技術(shù)研究所(NIST)為整個計劃的負責(zé)單位,協(xié)調(diào)其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務(wù)院、教育部和國家科學(xué)基金會(NSF)協(xié)力加強公眾的信息安全意識;DHS、海關(guān)總署、NSF和國家安全局(NSA)共同加強從業(yè)人員f支術(shù)能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責(zé)建立高端網(wǎng)絡(luò)安全人才隊伍。
社會各界積極參與
行業(yè)協(xié)會已經(jīng)站到了信息安全教育培訓(xùn)的前沿,成為信息安全教育培訓(xùn)的踐行者。其職責(zé)主要是協(xié)助有關(guān)部門制定信息安全教育與培訓(xùn)的標準,組織持續(xù)的教育活動,并向內(nèi)部成員單位實施培訓(xùn)。行業(yè)協(xié)會自身作為提供教育和培訓(xùn)的主體,一方面可以根據(jù)政府的引導(dǎo)和企業(yè)的需求來設(shè)置培訓(xùn)內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源,充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會職能。行業(yè)協(xié)會提供的培訓(xùn)標準是政府制定的培訓(xùn)標準的主要補充,為規(guī)范和完善美國信息安全培訓(xùn)行業(yè)提供了切實可行的保障。
(1)國際信息系統(tǒng)審計協(xié)會(丨SACA)
國際信息系統(tǒng)審計協(xié)會(ISACA)是一個為信息管理、控制、安全和審計專業(yè)設(shè)定規(guī)范標準的全球性組織,會員遍布逾160個國家,總數(shù)超過86,000人。ISACA成立于1969年,除贊助舉辦國際會議外,還編輯出版《信息系統(tǒng)監(jiān)控期刊》,制定國際信息系統(tǒng)的審計與監(jiān)控標準,以及頒授國際廣泛認可的注冊信息系統(tǒng)審計師(CISA)專業(yè)資格認證。CISA認證體系已通過美國國家標準協(xié)會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時,美國國防部也認可了CISA認證,并將其納入到國防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認證體系當(dāng)中。這產(chǎn)生了以下四方面的作用:認可CISA認證所提供的特有資格和專業(yè)知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業(yè)的人才流動更加便利。
(2)美國系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO),是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機構(gòu)。1999年SANS首次推出了安全技術(shù)認證程序(GIAC)。
GIAC認證程序有以下幾個特點:
GIAC提供超過20種的信息安全認證,其大多數(shù)符合DOD8570指令。GIAC依據(jù)國家標準對安全專業(yè)人員及開發(fā)人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎(chǔ)認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎(chǔ)知識,保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括:認證防火墻分析師(確認設(shè)計、配置和監(jiān)控路由器、防火墻和其它邊界設(shè)備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力。
(3)國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2
國際信息系統(tǒng)安全核準聯(lián)盟(ISC)2成立于1989年,是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓(xùn)和認證的國際領(lǐng)先非營利組織。在(ISC)2各種認證中,CISSP數(shù)量最多。截至2010年底,全球共有75000名CISSP獲證人員,其中,美國獲證人員數(shù)量超過70%^CISSP獲證人員中,約30%在政府部門工作,40%從事信息安全月服務(wù)行業(yè),30%從事用戶終端工作。
注冊信息系統(tǒng)安全專業(yè)人員通用知識體(CISSPCBK)提供了通用的信息安全術(shù)語和原理框架,使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語和理念,討論、辯論和解決信息安全相關(guān)問題。
篇2
思想上不重視網(wǎng)絡(luò)教育培訓(xùn)
目前,許多企業(yè)的領(lǐng)導(dǎo)不重視安全生產(chǎn)的網(wǎng)絡(luò)教育培訓(xùn)工作,他們只看到傳統(tǒng)培訓(xùn)的優(yōu)勢,并未充分認識到網(wǎng)絡(luò)教育培訓(xùn)的優(yōu)點,所以在培訓(xùn)投入的比例方面嚴重失衡,對于網(wǎng)絡(luò)培訓(xùn)投入是少之又少,極大的影響了網(wǎng)絡(luò)安全培訓(xùn)教育方面的建設(shè)。在培訓(xùn)的實施上很多企業(yè)也是以傳統(tǒng)培訓(xùn)為主,對網(wǎng)絡(luò)教育培訓(xùn)重視度不夠,造成了網(wǎng)絡(luò)教育并未達到其應(yīng)有的培訓(xùn)效果。
網(wǎng)絡(luò)教育培訓(xùn)規(guī)劃流于形式,學(xué)員學(xué)習(xí)效果不佳。網(wǎng)絡(luò)教育是對企業(yè)人員安全生產(chǎn)培訓(xùn)的有效途徑之一,它有著傳統(tǒng)培訓(xùn)不可替代的作用,應(yīng)該是企業(yè)長期緊抓的工作。但一些單位或部門對于安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)卻只在表面上做文章,主要表現(xiàn)在以下幾個方面。第一,培訓(xùn)目標不清。有些單位或部門每年制訂的網(wǎng)絡(luò)培訓(xùn)計劃,看似有目標、有目的,但卻沒有針對本單位在生產(chǎn)過程中存在的安全問題,制定長期性、連續(xù)性、系統(tǒng)性的培訓(xùn)內(nèi)容。第二,網(wǎng)絡(luò)培訓(xùn)“寬進寬出”、學(xué)員為應(yīng)付培訓(xùn)而學(xué)習(xí),不管學(xué)習(xí)效果如何,只要在網(wǎng)上學(xué)習(xí)的時間滿足一定的學(xué)時,人人都可以過關(guān)發(fā)證。
網(wǎng)絡(luò)教育培訓(xùn)內(nèi)容不完善,忽略網(wǎng)絡(luò)考核與評價。我國《安全生產(chǎn)法》中明確規(guī)定:“生產(chǎn)經(jīng)營企業(yè)應(yīng)當(dāng)對從業(yè)人員進行安全生產(chǎn)教育和培訓(xùn),保證從業(yè)人員具備必要的安全生產(chǎn)知識,熟悉有關(guān)的安全生產(chǎn)規(guī)章制度和安全操作規(guī)程,掌握本崗位的安全操作技能?!币虼耍踩嘤?xùn)應(yīng)既注重員工的思想培訓(xùn)、規(guī)章制度培訓(xùn),同時還包括安全技術(shù)教育。而目前大多數(shù)網(wǎng)絡(luò)教育平臺都過多注重安全知識教育,而忽略思想培訓(xùn)或規(guī)章制度的教育,對網(wǎng)絡(luò)學(xué)習(xí)后的考核與評價更是不加以重視,導(dǎo)致網(wǎng)絡(luò)培訓(xùn)效果大打折扣。
培訓(xùn)平臺設(shè)計功能不全,嚴重影響網(wǎng)絡(luò)培訓(xùn)效果。菲爾迪維克將網(wǎng)上教學(xué)平臺分為三大部分:①管理,包括建立并維護網(wǎng)上課程,登記注冊,登錄控制,使用追蹤等;②教學(xué),包括界面觀感,教學(xué)工具,評估工具,課程管理等;③學(xué)生使用,包括自我編程,自我評估等。從目前部分企業(yè)安全生產(chǎn)網(wǎng)絡(luò)教育平臺提供的各種功能來看,大多數(shù)都能有效的提供教與學(xué)的功能,但還是有很多平臺缺乏對網(wǎng)絡(luò)教學(xué)的管理功能。因此,針對上述企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)所存在的問題,我們應(yīng)該在熟悉企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)特點的基礎(chǔ)上,根據(jù)網(wǎng)絡(luò)培訓(xùn)的內(nèi)容,提出解決問題策略。
企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的特點
企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)兼具有企業(yè)安全教育培訓(xùn)及網(wǎng)絡(luò)教育的特點,因此,除了具有網(wǎng)絡(luò)教育的時空分離、師生分離、實時與非實時交互的特點外,還應(yīng)包括下面幾個特點:第一,長期性和艱巨性。由于生產(chǎn)條件的發(fā)展變化、勞動者的更替、勞動者心理和生理的變化,決定了安全教育的長期性和艱巨性。第二,廣泛性和實踐性。企業(yè)的所有人員都需要接受安全教育,都要把安全放在第一位。并且安全教育的效果要通過生產(chǎn)實踐來檢驗。第三,專業(yè)性和科學(xué)性。安全教育涉及到自然科學(xué)、社會科學(xué)、管理科學(xué)等科學(xué),有自己基本的理論、獨特的內(nèi)容和區(qū)別于其它教育的方式方法,必須科學(xué)施教。
企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的內(nèi)容
國家安全生產(chǎn)監(jiān)督管理局件中明確了對企業(yè)主要負責(zé)人、安全生產(chǎn)管理人員及其他人員的安全生產(chǎn)培訓(xùn)考核實行統(tǒng)一規(guī)劃、分類指導(dǎo)、分級實施的原則,并對這三類人員培訓(xùn)的主要內(nèi)容做出具體規(guī)定。其內(nèi)容主要包括:安全生產(chǎn)新知識、新技術(shù),安全生產(chǎn)法律法規(guī)、作業(yè)場所和工作崗位存在的危險因素、防范措施及事故應(yīng)急措施等。因此企業(yè)安全網(wǎng)絡(luò)教育培訓(xùn)要僅僅圍繞著這些內(nèi)容開展。
企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的對策
(1)制定完善的安全教育網(wǎng)絡(luò)培訓(xùn)制度。對于企業(yè)而言,在安全生產(chǎn)網(wǎng)絡(luò)教育方面的規(guī)章制度是對網(wǎng)絡(luò)教育管理和各項網(wǎng)絡(luò)教育培訓(xùn)實施的指導(dǎo)性文件,通過安全生產(chǎn)網(wǎng)絡(luò)教育規(guī)章制度的實施可以有效地貫徹、執(zhí)行國家、企業(yè)的法律、法規(guī),保障安全教育網(wǎng)絡(luò)培訓(xùn)工作達到預(yù)期效果。因此,一定要制定完善的安全教育網(wǎng)絡(luò)培訓(xùn)制度,明確了各級管理人員、各職能部門以及崗位人員的職責(zé),充分調(diào)動各級人員和各部門在安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)方面的積極性和主觀能動性。
(2)轉(zhuǎn)變觀念,加大網(wǎng)絡(luò)教育培訓(xùn)的投入。首先,企業(yè)領(lǐng)導(dǎo)要轉(zhuǎn)變觀念,既要認識到傳統(tǒng)培訓(xùn)的優(yōu)勢,又要認識到網(wǎng)絡(luò)培訓(xùn)的優(yōu)缺點,這樣在安全教育教學(xué)中,才能揚長避短。其次,在安全教育資金投入上,重新調(diào)整分配方案,加大網(wǎng)絡(luò)培訓(xùn)的費用,確保網(wǎng)絡(luò)教育培訓(xùn)平臺的建設(shè)。最后,在網(wǎng)絡(luò)教育培訓(xùn)實施過程中,要投入更多的精力,只有這樣,才能提高安全教育網(wǎng)絡(luò)培訓(xùn)的質(zhì)量,提高網(wǎng)絡(luò)學(xué)員的學(xué)習(xí)效果。
(3)嚴格網(wǎng)絡(luò)培訓(xùn)考核制度,完善考核監(jiān)督機制。網(wǎng)絡(luò)教育培訓(xùn)要嚴格培訓(xùn)考核制度。培訓(xùn)教育不能流于形式,要真正讓受訓(xùn)人員達到培訓(xùn)的目的。企業(yè)管理者高度重視職工的安全生產(chǎn)的網(wǎng)絡(luò)培訓(xùn)工作,責(zé)令培訓(xùn)部門在制定詳細培訓(xùn)計劃的同時,要制定出嚴格的考核制度,堅決杜絕過去那種“寬進寬出、高分低能”,甚至交了錢就能拿證書的不良現(xiàn)象。同時網(wǎng)絡(luò)教育培訓(xùn)還要建立和完善培訓(xùn)考核監(jiān)督機制。網(wǎng)絡(luò)培訓(xùn)質(zhì)量的高低,最有說服力的是上崗后的表現(xiàn)和產(chǎn)生的效果。因此,安全生產(chǎn)培訓(xùn)的考核,要改變培訓(xùn)質(zhì)量由培訓(xùn)部門獨家評價的現(xiàn)象。不僅要注重理論上應(yīng)知應(yīng)會的考核,更要注重現(xiàn)場操作中應(yīng)知應(yīng)會和解決問題能力的考核,并作為對培訓(xùn)部門工作業(yè)績考核和獎懲的重要依據(jù),以此增強其責(zé)任心和壓力感。
(4)豐富企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的內(nèi)容。具體地說,企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)主要應(yīng)該分為以下內(nèi)容:①有關(guān)生產(chǎn)的法律、法規(guī)及有關(guān)本行業(yè)的規(guī)章、規(guī)程、規(guī)范和標準。通過對安全生產(chǎn)方針、政策的宣傳,對安全法制法規(guī)的貫徹和引導(dǎo),以及勞動安全紀律的培訓(xùn),提高員工的安全意識,增強知法、守法的自覺性,確保安全責(zé)任制和安全操作規(guī)程的履行和執(zhí)行。②有關(guān)企業(yè)的安全生產(chǎn)知識。包括:企業(yè)的基本生產(chǎn)狀況,施工工藝和方法,施工中的危險區(qū)域和危險部位,各類不安全因素及其安全防護的基本知識,安全注意事項等。③安全技能培訓(xùn)。結(jié)合具體崗位、工種、專業(yè)的特點,通過對實現(xiàn)安全操作、安全防護所必須具備的基本技術(shù)知識的學(xué)習(xí)和實際的操作演練。④事故應(yīng)急救援和調(diào)查處理知識。通過實際事故案例分析和介紹,了解事故發(fā)生的條件、過程和后果,對認識事故發(fā)生規(guī)律、總結(jié)經(jīng)驗、吸取教訓(xùn)、防止同類事故再次發(fā)生。
篇3
電力企業(yè)使用的各種應(yīng)用軟件都有可能存在一定的設(shè)計缺陷,這些缺陷通常稱之為漏洞。很多的黑客就是利用這些漏洞對企業(yè)的應(yīng)用信息網(wǎng)絡(luò)實施攻擊,而很多的電力企業(yè)的局域網(wǎng)和國際互聯(lián)網(wǎng)是隔離的,這就造成企業(yè)的電腦應(yīng)用軟件系統(tǒng)不能及時更新,漏洞不能第一時間修復(fù),一旦木馬通過移動存儲設(shè)備入侵,就會造成難以估量的損失。
1.1電力企業(yè)的系統(tǒng)備份缺乏應(yīng)用經(jīng)驗
當(dāng)前很多的維護人員對企業(yè)重要信息數(shù)據(jù)普遍采用每周備份,每星期對數(shù)據(jù)進行一次刻錄備份,而在實際的應(yīng)用過程中,備份的信息數(shù)據(jù)只有在不斷訓(xùn)練中才能保證及時有效應(yīng)用。但是,從工作實際來看,備份恢復(fù)操作演練要比備份本身復(fù)雜得多,很多的維護工作人員寧可選擇每天備份,也不情愿組織一次數(shù)據(jù)恢復(fù)訓(xùn)練。信息安全網(wǎng)絡(luò)應(yīng)該是在建設(shè)、運行、維護和管理這幾個方面相互結(jié)合而的。信息安全是降低其企業(yè)風(fēng)險和減少成本的一個必要的環(huán)節(jié)。
2.電力企業(yè)信息安全與管理問題對策探析
電力信息安全管理是一個技術(shù)和管理相互結(jié)合的一個問題。除了技術(shù)手段啊之外還需要落實安全管理。不斷提升企業(yè)的信息安全防護等級,緊盯當(dāng)今世界信息安全防護領(lǐng)域的發(fā)展和技術(shù)突破,運用先進的信息技術(shù)來應(yīng)對可能出現(xiàn)的安全問題,制定明確的安全防護策略和制度,確保信息安全有制度保障。根據(jù)著名的木桶原理,企業(yè)信息安全的隱患不在信息的優(yōu)勢環(huán)節(jié),而在企業(yè)最為薄弱的管理應(yīng)用環(huán)節(jié)。立足信息管理的現(xiàn)狀和時展需要,盡快構(gòu)建高效安全的綜合性信息安全管理防范體系。
2.1健全電力企業(yè)的安全管理與考評機制
在很多的企業(yè)、事業(yè)單位了,一直都流行并經(jīng)常驗證著這樣一個名言:“三分技術(shù)七分管理?!睆募夹g(shù)的角度來看,防范一般都是已知的各種安全問題和威脅,三分技術(shù);從管理的角度來看,工作是人的工作,人的工作是活的工作,人的工作具有很大的不確定性,這都給安全管理帶來諸多的不確定性,管理都是針對人,無論才能哪種安全管理制度來約束,還是使用一定的技術(shù)手段來要求限制,目的都是要約束人的行動,規(guī)范人的行為,盡可能不給安全威脅以任何機會。為此,就要建立切實可行并認真執(zhí)行的引進標準、風(fēng)險評估、技術(shù)應(yīng)用等技術(shù)管理機制;通過實行崗位安全責(zé)任制,嚴格明確各方的安全責(zé)任,依照法律規(guī)定和安全生產(chǎn)標準來建設(shè)信息系統(tǒng)和制定管理制度。并定期或不定期開展自查、自評、督查、考評等,把電力企業(yè)的安全責(zé)任嚴格落實到人,并將企業(yè)信息安全與管理和年讀考評直接掛鉤,確保制度健全,落實到位。這樣每個人都可以清楚的了解自己的職責(zé)所在的,員工都會積極的參與到信息安全管理之中。
2.2建立健全“長治機制”,做好信息安全教育培訓(xùn)
電力企業(yè)信息安全管理是一項長期系統(tǒng)工程,需要常抓不懈,警鐘長鳴,不能風(fēng)過無形,流于形式。重在落實,長期堅持,永不松懈。電力企業(yè)進行信息安全教育培訓(xùn)是確保信息安全的又一重要保障。對企業(yè)員工的教育和技術(shù)培訓(xùn)直接關(guān)乎安全的重視程度和執(zhí)行效果。只有不斷加強教育,才能引起員工對信息安全的足夠重視,只有不斷及時培訓(xùn),才能保證員工在技術(shù)上有可靠保障。為此,電力企業(yè)應(yīng)建立一整套較為完善的信息安全培訓(xùn)體系,制定翔實的技術(shù)培訓(xùn)計劃,增強員工的安全意識,提高企業(yè)的應(yīng)對水平。建立信息網(wǎng)絡(luò)安全按的一個組織系統(tǒng),控制和開展信息安全的管理權(quán)限,并且積極學(xué)習(xí)關(guān)于信息安全的專業(yè)知識組建可行性的信息安全系統(tǒng)。
2.3規(guī)范使用各種移動存儲設(shè)備
由于現(xiàn)在各種移動存儲設(shè)備已經(jīng)普及,使用的頻率非常之高,各級主管部門必須根據(jù)實際情況進行綜合管理和教育培訓(xùn)。不可能禁止使用,又不能讓這些設(shè)備濫用。最好的辦法就是對員工進行積極教育培訓(xùn),引導(dǎo)員工科學(xué)、適時使用移動存儲設(shè)備,首先讓員工明白,使用移動存儲設(shè)備可能帶來的安全隱患,引導(dǎo)員工減少使用次數(shù),增強安全意識;其次,進行技術(shù)培訓(xùn),引導(dǎo)員工按照插拔要領(lǐng)進行操作,使用讀寫開關(guān)和加密功能,定期進行病毒查殺,使用設(shè)備不得違反信息安全的管理制度等等。力爭員工養(yǎng)成良好的使用習(xí)慣,做到妥善保管,操作規(guī)范,嚴禁外借,及時殺毒,做好雙備份等。
3.結(jié)束語
篇4
一、建立電子檔案信息安全評價指標體系的必要性
信息技術(shù)在檔案管理中的廣泛應(yīng)用,一方面提高了檔案工作的效率,擴大了檔案的社會影響力;另一方面也對檔案工作提出了新的要求,例如存儲介質(zhì)的不穩(wěn)定、技術(shù)過時、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護面臨著前所未有的挑戰(zhàn)。
在2002年國家檔案局頒發(fā)的《全國檔案信息化建設(shè)實施綱要》和近期各省市的“十一五檔案信息化建設(shè)綱要”中都提出了“檔案信息安全保障體系建設(shè)”,但仍缺乏深入、系統(tǒng)的探討。電子檔案信息的安全管理是一個過程,而不是一個產(chǎn)品,我們不能期望通過一個安全產(chǎn)品就能把所有的安全問題都解決。對各檔案管理系統(tǒng)來說,解決電子檔案信息安全的首要問題就是要識別自身信息系統(tǒng)所面臨的風(fēng)險,包括這些風(fēng)險可能帶來的安全威脅與影響的程度,然后進行最充分的分析與評價。只有采用科學(xué)有效的模型和方法進行全面的安全評價,才能真正掌握內(nèi)部信息系統(tǒng)的整體安全狀況,分析各種存在的威脅,以便針對高風(fēng)險的威脅采取有效的安全措施,提高整體安全水平,逐步建成堅固的電子檔案信息安全管理體系。
二、電子檔案信息安全評價指標體系的組成
電子檔案信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程,既有硬件,又有軟件,既有外部影響,又有內(nèi)部因素,而且許多方面是相互制約的。因此,必須有一個規(guī)范的、統(tǒng)一的、客觀的標準。根據(jù)國內(nèi)外的電子檔案信息安全評估標準,國家對電子檔案信息和網(wǎng)絡(luò)信息系統(tǒng)安全性的基本要求,結(jié)合電子檔案管理和網(wǎng)絡(luò)管理經(jīng)驗,綜合考慮影響電子檔案信息安全的各種因素,建立電子檔案信息安全評價指標體系。該體系主要包括五個大項二十個小項的評價指標。
1、物理安全評價指標
物理安全是指存儲檔案信息的庫房、計算機設(shè)備及管理人員工作場所內(nèi)外的環(huán)境條件必須滿足檔案信息安全、計算機設(shè)備和管理人員的要求。對于各種災(zāi)害、故障要采取充分的預(yù)防措施,萬一發(fā)生災(zāi)害或故障,應(yīng)能采取應(yīng)急措施,將損失降到最低。物理安全包括環(huán)境安全、設(shè)備安全和載體安全三個方面。
(1)環(huán)境安全:主要指存儲檔案信息的庫房、計算機機房周圍環(huán)境是否符合管理要求和是否具備抵抗自然災(zāi)害的能力,如庫房是否建在電力、水源充足,自然環(huán)境清潔,通訊、交通運輸方便的地方;有無防火、防水措施;有無監(jiān)控系統(tǒng);有無防雷措施等。
(2)設(shè)備安全:主要是指對電子檔案信息系統(tǒng)設(shè)備的安全保護,包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
(3)載體安全:保證設(shè)備安全的同時,也要保證載體安全,要對載體采取物理上的防盜、防毀、防霉等措施。
2、管理安全評價指標
安全管理在電子檔案信息安全保障中起著規(guī)范和制約的作用,科學(xué)的管理理念加上嚴格的管理制度才能最終保證電子檔案信息的安全。電子檔案信息的管理安全評價指標具體包括:
(1)專門的檔案信息安全組織機構(gòu)和專職的檔案信息安全管理人員:檔案信息安全組織機構(gòu)的成立與檔案信息安全管理人員的任命必須有相關(guān)單位的正式文件。
(2)規(guī)章制度:包括有無健全的電子檔案信息安全管理規(guī)章制度;檔案信息安全人員的配備、調(diào)離是否有嚴格的管理制度;設(shè)備與數(shù)據(jù)管理制度是否完備;是否有登記建檔制度;是否有完整的電子檔案信息安全培訓(xùn)計劃和培訓(xùn)制度;各類人員的安全職責(zé)是否明確,能否保障電子檔案信息的安全管理。
(3)是否有緊急事故處理預(yù)案:為減少電子檔案信息系統(tǒng)故障的影響,盡快恢復(fù)系統(tǒng),應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害發(fā)生時的應(yīng)急預(yù)案,制成手冊,以備及時恢復(fù)系統(tǒng)運行。
3、網(wǎng)絡(luò)安全評價指標
越來越多的電子檔案在網(wǎng)絡(luò)上傳輸,而網(wǎng)絡(luò)作為一種構(gòu)建在開放性技術(shù)協(xié)議基礎(chǔ)上的信息流通渠道,它的防衛(wèi)能力和抗攻擊能力較弱,可能會遭受到病毒、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸?shù)拿浇椤W(wǎng)絡(luò)的安全,網(wǎng)絡(luò)安全評價指標包括以下幾個方面:
(1)是否有計算機病毒防范措施
(2)是否有防黑客入侵設(shè)施:主要是設(shè)置防火墻和入侵檢測等設(shè)施。
(3)是否有訪問控制措施:訪問控制是指控制訪問網(wǎng)絡(luò)信息系統(tǒng)的用戶,當(dāng)用戶之間建立鏈接時,為了防止非法鏈接或被欺騙,就可實施身份確認,以確保只有合法身份的用戶才能與之建立鏈接。
(4)是否有審計與監(jiān)控:審計與監(jiān)控是指應(yīng)使用網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r入侵檢測設(shè)備,以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。
4、信息安全評價指標
在網(wǎng)絡(luò)能夠正常運行的基礎(chǔ)上,我們要保證在系統(tǒng)中傳輸、存貯的電子檔案信息是安全的,不被截取、篡改或盜用。
(1)是否采取加密措施:檔案的本質(zhì)屬性是原始記錄性,而計算機和網(wǎng)絡(luò)的不穩(wěn)定性使得電子檔案信息的這一特性難以保證,而且有些電子檔案信息有密級限制,不能公開在網(wǎng)絡(luò)上傳輸,所以電子檔案信息在網(wǎng)絡(luò)傳輸時必須通過加密來保證其安全。
(2)是否有數(shù)據(jù)完整性鑒別技術(shù):網(wǎng)絡(luò)上的傳輸使得電子檔案信息的完整性無法保證,黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容,所以應(yīng)采取有效的措施來進行完整性控制,這對于電子檔案信息來說至關(guān)重要。
(3)是否確保信息數(shù)據(jù)庫的安全:一個組織最核心的信息通常以數(shù)據(jù)庫的形式保存和使用,保證數(shù)據(jù)庫安全對于電子檔案信息來說有重要的作用。
(4)是否有信息防泄漏措施:信息防泄漏包括信息審計系統(tǒng)和密級控制兩方面。信息審計系統(tǒng)能實時對進出內(nèi)部網(wǎng)絡(luò)的信息進行內(nèi)容審計,以防止或追查可能的泄密行為;另外,可以根據(jù)信息保密級別的高低劃分公開范圍,并對用戶劃分訪問權(quán)限,進行分組管理。
(5)是否有防抵賴技術(shù):防抵賴技術(shù)確保用戶不能否認自己所做的行為,同時提供公證的手段來解決可能出現(xiàn)的爭議,它包括對數(shù)據(jù)源和目的地雙方的證明,常用方法是數(shù)字簽名。
5、系統(tǒng)安全評價指標
這里的系統(tǒng)安全是指計算機整個運行體系的安全。在計算機上處理信息時,硬件、軟件出現(xiàn)故障或誤操作、突然斷電等都會使正在處理的信息丟失,造成無法彌補的損失。所以我們需要采取一系列措施保證系統(tǒng)的穩(wěn)定,確保信息的安全。計算機系統(tǒng)安全評價指標有:
(1)是否有系統(tǒng)操作日志:系統(tǒng)操作日志詳細記錄了系統(tǒng)的操作狀況,以便事后分析和追查系統(tǒng)損壞的原因,為系統(tǒng)提供進一步的安全保障。
(2)是否進行系統(tǒng)安全檢測:運用系統(tǒng)安全檢測工具對計算機和網(wǎng)絡(luò)進行安全檢測,可及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞或惡意的攻擊,進而采取有效的補救措施和安全策略,達到增強網(wǎng)絡(luò)安全性的目的。
(3)是否有操作系統(tǒng)防破壞措施:操作系統(tǒng)集中管理系統(tǒng)的資源,是計算機系統(tǒng)賴以正常運轉(zhuǎn)的中樞,它的安全性將直接影響到整個計算機系統(tǒng)的安全。操作系統(tǒng)應(yīng)當(dāng)建立某些相對的鑒別標準,保護操作系統(tǒng)本身在內(nèi)的各個用戶,阻止有害功能的運行。
(4)是否進行系統(tǒng)信息備份:日常備份制度是系統(tǒng)備份方案的具體實施細則,應(yīng)嚴格按照制度進行日常備份,否則將無法達到備份方案的目標。
(5)是否有災(zāi)難恢復(fù)系統(tǒng):當(dāng)系統(tǒng)因人為或自然因素受到破壞時,我們應(yīng)保證能夠盡快地恢復(fù)正常工作,把損失控制在最小范圍內(nèi)。
三、電子檔案信息安全評價指標體系權(quán)重確定方法
用若干個指標進行綜合評價時,其對評價對象的作用,從評價目的來看,并不是同等重要的。指標越重要,權(quán)的數(shù)值就越大;反之,數(shù)值小則可以說明其重要程度相對較低。
合理地確定和適當(dāng)?shù)卣{(diào)整指標權(quán)重,體現(xiàn)了系統(tǒng)評價指標中各因素之間的輕重有度、主次有別,更能增加評價因素的可比性。在安全評價中,具體確定權(quán)重的方法很多,如德爾菲法、主成分分析法、層次分析法、環(huán)比法等。其中,層次分析法比較適用于電子檔案信息安全的評價。
層次分析法的核心是對決策對象進行評價和選擇,并對它們進行優(yōu)劣排序,從而為決策者提供定量形式的決策依據(jù)。它充分利用人的分析、判斷和綜合能力,適用于結(jié)構(gòu)較為復(fù)雜、決策準則較多且不易量化的決策問題。它將定性分析和定量分析相結(jié)合,具有高度的簡明性、有效性、可靠性和廣泛的適用性。而電子檔案信息安全指標體系因素多、主觀性強且決策結(jié)果難以直接準確計量,因而可以用層次分析法來確定指標體系的權(quán)重。層次分析法的基本步驟是:
1、將復(fù)雜問題概念化,找出研究對象所涉及的主要因素;2、分析各因素的關(guān)聯(lián)、隸屬關(guān)系,構(gòu)建有序的階梯層次結(jié)構(gòu)模型;3、對同一層次的各因素根據(jù)上一層次中某一準則的相對重要性進行兩兩比較,建立判斷矩陣;4、由判斷矩陣計算被比較因素對上一層準則的相對權(quán)重,并進行一致性檢驗;5、計算各層次相對于系統(tǒng)總目標的合成權(quán)重,進行層次總排序。
四、電子檔案信息安全評價指標體系綜合評價方法
綜合評價是指對被評價對象進行客觀、公正、合理的全局性、整體性評價。可以用作綜合評價的數(shù)學(xué)方法很多,但是每種方法考慮問題的側(cè)重點各有不同。鑒于所選擇的方法不同,有可能導(dǎo)致評價結(jié)果的不同,因而在進行多目標綜合評價時,應(yīng)具體問題具體分析。根據(jù)被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎(chǔ)上選擇合適的評價方法。在信息安全領(lǐng)域,目前存在的綜合評價方法有信息系統(tǒng)安全風(fēng)險的屬性評估方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法等。對于這些方法,目前還沒有評論認為哪一種方法更適用于信息安全領(lǐng)域的綜合評價。鑒于此種情況,本指標體系采用模糊綜合評價方法。
模糊綜合評價就是以模糊數(shù)學(xué)為基礎(chǔ),應(yīng)用模糊關(guān)系合成的原理,將一些邊界不清、不易定量的因素定量化,進行綜合評價的一種方法。從評價對象來看,用模糊綜合評價方法來評價信息安全系統(tǒng)是可行的。首先,對于信息的安全管理而言,“安全”與“危險”之間沒有明顯的分界線,即安全與危險之間存在著一種中間過渡的狀態(tài),這種中間狀態(tài)具有亦此亦彼的性質(zhì),也就是通常所說的模糊性。因此在安全的刻畫與描述上大多采用自然語言來表達,而自然語言最大的特點是它的模糊性。另外,電子檔案信息安全評價中,對一些評價要素的評價是具有模糊性的。如組織管理中的評價很難量化,一般只能用“好”、“一般”、“差”等等級概念來描述,具有較強的模糊性。而且一些評價要素受外界環(huán)境的影響較大,具有不確定性,如網(wǎng)絡(luò)攻擊、安全設(shè)施失效、人為失誤等偶然性較大,難以準確評價。對于這些模糊的、不確定性的問題通常采用模糊數(shù)學(xué)來研究。模糊綜合評價方法就是在對多種因素影響的事物或現(xiàn)象進行總的評價過程中涉及到模糊因素或模糊概念的一種評估方式,它通過運用模糊集合中隸屬度和隸屬度函數(shù)的理論來刻畫這種模糊性,以達到定量精確的目的。
總之,模糊綜合評價方法是一種適用于在信息安全管理方面進行系統(tǒng)評價的可行方法,其基本步驟為⑦:
1、確定評價集。評價集是以評判者對被評價對象可能做出的各種總的評判結(jié)果為元素組成的集合,例如我們可以對電子檔案信息安全評價采用五個等級的評語集合(很好,好,較好,一般,差)。
2、建立因素集。因素集是以影響評判對象的各種因素為元素組成的集合,在本文的電子檔案信息安全評價體系中,主因素層的因素集有物理安全、管理安全、網(wǎng)絡(luò)安全、信息安全和系統(tǒng)安全五個指標,其下層又有各自的影響因素集,由各自的具體影響指標組成。
3、建立權(quán)重集。由于各評價要素在評價中的重要程度不同,因而必須對各要素按其重要程度給出不同的權(quán)重,權(quán)重集通過層次分析法確定。
熱門標簽
網(wǎng)絡(luò)安全論文 網(wǎng)絡(luò)營銷論文 網(wǎng)絡(luò)倫理 網(wǎng)絡(luò)輿論論文 網(wǎng)絡(luò)銀行論文 網(wǎng)絡(luò)輿情論文 網(wǎng)絡(luò)文學(xué)論文 網(wǎng)絡(luò)交往 網(wǎng)絡(luò)輿論 網(wǎng)絡(luò)建設(shè)論文 心理培訓(xùn) 人文科學(xué)概論
相關(guān)文章
2神經(jīng)網(wǎng)絡(luò)在工程造價中的運用
4網(wǎng)絡(luò)時代對分課堂對學(xué)生的影響