時間:2023-06-21 09:12:20
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全培訓技術范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
(一)培訓調查內容
根據地區差異,我們選擇有代表性的省份進行調查。本次調查共涉及16個省(市)、自治區,既包括經濟發達的省份和直轄市,比如山東、廣東、浙江和天津;也包括經濟處于中等的內陸省份,比如山西、四川、河南、安徽、湖北、湖南、遼寧等省份;還包括經濟相對低的西、北部省份,比如云南、甘肅、貴州、青海等省份。本次調查主要針對監獄在網絡與信息安全方面的管理、監獄網絡建設中最關心的網絡安全問題、監獄網絡采用的安全措施、監獄信息化網絡與信息安全的軟硬件配置、監獄干警對網絡與信息安全的重視程度、監獄干警對網絡與信息安全培訓內容要求、監獄每年在網絡與信息安全培訓方面的預算、培訓采取的方式、組織培訓的機構、目前培訓存在的問題等內容。
(二)培訓調查結果
1.監獄在網絡與信息安全方面的管理。通過對調查問卷的分析和相關監獄一線干警人員的座談,監獄信息化網絡與信息安全培訓調查情況如下:大部分監獄制定了監獄網絡與信息安全管理制度,確定了安全組織和責任人,并使用了防火墻和防病毒軟件;干警最關心的網絡安全問題是數據安全、防病毒安全、存儲安全管理,而對安全認證關心最少;大部分監獄都采用物理隔離來保證監獄外網及內網中的信息安全,但各監獄部署入侵檢測(IDS)和使用數據傳輸安全相對較少;監獄信息化建設中采用的網絡安全技術主要是加密和防病毒軟件,而電子簽名的應用相對較少。
2.監獄在網絡與信息安全方面的軟硬件配置。目前監獄網絡與信息安全人員的規模較小,59%以上的監獄都是在5人以下,但是監獄網絡中的計算機數量最多比例的是100-500臺,平均下來可能要一個干警管理100臺左右的計算機。這個工作量還是非常大的,因此監獄非常有必要擴大專業人才隊伍,保障監獄信息化網絡與信息安全。從監獄在網絡安全設備上的投入可以看出監獄每年投入在10萬以上的比例最高,也說明了大部分監獄已經認識到了網絡與信息安全的重要性。
3.監獄信息化網絡與信息安全培訓現狀。監獄干警普遍對網絡與信息安全的需求強烈,而這其中,網絡安全管理與維護、容災備份與數據恢復尤為重要。監獄培訓費用每年在3000元以上占樣本空間的86%以上。監獄干警更希望在監獄內部進行培訓,培訓能理論聯系實際,在培訓中有針對性地解決實際工作中遇到網絡與信息安全問題。目前由公司或專業培訓機構及高校舉辦的培訓占據了70%,由此可以說明這些是目前主要培訓組織。需要注意的是仍然有34%的人沒有參加過網絡與信息安全培訓,說明網絡與信息安全的培訓還可進一步深入挖掘。已參加的培訓,主要還是側重管理、理論、政策、產品介紹,而真正用于網絡與信息安全實踐技能的培訓還很少。同時,系統化、層次化的培訓也非常少,培訓中涉及到的這兩方面的問題正是我們課題組主要研究的問題。
二、監獄信息化網絡與信息安全數字化培訓體系的構建
(—)監獄信息化網絡與信息安全培訓目標
近年來,國內外一些教育機構和專業公司研究開發了一系列網絡與信息安全教學培訓體系[M],國際上主要包括BS7799、IS027000、CISSP、CISA、CIW、SANSGIAC等,國內主要有中國信息安全測評中心實施的CISP、公安部等結構的信息安全等級保護、啟明星辰的VCSE等。這些培訓大都注重理論,而實踐不強,并且培訓費用很高。培訓后,把培訓的內容轉換為工作實踐,還需要花很長時間。因此,研究基于職業導向的監獄信息化網絡與信息安全培訓需求,制定一套適合全國監獄信息化建設實際情況的監獄信息化網絡與信息安全培訓體系變得尤為重要而緊迫。
根據《全國監獄信息化建設規劃》和全國監獄信息化建設實際情況,通常監獄干警應具有較強的信息安全意識,掌握網絡與信息安全基礎理論,能熟練運用網絡與信息安全知識和技能完成較為復雜的網絡與信息安全保障工作,能夠獨立解決網絡與信息安全工作中出現的常見問題。為此,監獄信息化網絡與信息安全干警應通過有規劃的培訓和學習,掌握網絡與信息安全管理理論知識,具有較強的網絡與信息安全實踐動手能力、處理能力和應變能力。為此,本文制定了監獄信息化網絡與信息安全培訓目標,主要涵蓋專業知識、專業技能和信息安全素養。
(二)監獄信息化網絡與信息安全培訓教學內容體系
通過對網絡工程和信息安全專業教學目標的比較分析、歸納總結,結合司法部制定的《全國監獄信息化建設規劃》、警察素質和其職業能力特點,以監獄信息安全干警的職業為導向,研究監獄干警在監獄信息化工作中的目標分工,制定各個工作環節所要達到的要求和應具備的職業技能,從而構建監獄信息化網絡與信息安全培訓教學內容體系。考慮到不同監獄信息化水平不一,監獄干警信息安全水平能力不一,因此本教學內容體系采取抽取式、模塊化、層次化教學內容設計[5]8,各教學模塊用Ml到M13表示,分別對應信息安全概念和法規、操作系統安全(Windows和Linux)、網絡管理與組網、應用服務器安全、數據安全、惡意代碼防范與處置、防火墻(Firewall)、入侵檢測系統(IDS)、網絡與信息安全滲透測試、密碼學、信息安全審計、數據恢復與容災備份。其中M1是基礎模塊,是后續模塊的先導,M2到M13屬于獨立的教學模塊,教學模塊順序和內容可由培訓教師自行選定。根據信息化要求,將M1-M3模塊定為初級水平;將M4-M7模塊定為中級水平;將M8-M13模塊定為高級水平。一般而言,只有初級通過了才可以參加中級的培訓和考核,只有中級通過了才可以參加高級的培訓和考核。監獄信息化網絡與信息安全強調理論教學和實踐教學相結合,二者融合貫通,因此在具體教學時,在課時安排上要有針對性。
(三)監獄信息化網絡與信息安全培訓教學考核與評價體系
監獄信息化網絡與信息安全培訓體系注重理論和實踐相結合,強調二者融會貫通。因此考核方式為理論知識和實踐技能,理論知識考試為閉卷考試,占總成績的40%,實踐技能考試占總成績的60%。考慮到監獄信息化網絡與信息安全數字培訓體系的長期性和穩定性,理論考試一般通過在網絡上部署考試服務器,建立考試題庫,進行隨機生成在線試卷,保證參加考試時,每一個學員考試試題的唯一性和相對穩定性,提高考試的權威性。通過調研,我們也發現有相當一部分培訓學員對信息安全行業部門的權威認證是比較認可的,因此可以和相關行業部門建立合作,將他們的考核內容納入到監獄信息化網絡與信息安全數字培訓體系的考核評價中,建立獨立的考核模塊,作為一個可選評價。
由于網絡與信息安全是一個綜合性的學科,所以要求相關從業人員必須具備豐富的網絡與信息安全氣囊理論知識,同時也有較強的實踐動手能力和解決問題的能力,因此對實踐要求的比重要大于理論知識,同時對不同崗位、不同知識技能設定不同的考核權重,以此來進行考核與評定。
<p style="text-align:center"
(四)監獄信息化網絡與信息安全數字化培訓體系的構建
建設監獄信息化網絡與信息安全培訓與交流網絡平臺是非常有必要的[6]。為此,重點需要抓好以下五方面工作。第一,通過該平臺可以網絡與信息安全培訓課程通知,監獄干警可隨時查詢,根據自己的需要選擇相關的培訓課程。第二,通過該平臺,監獄干警可在培訓結束后,將工作中遇到的問題向培訓老師請教,或者向同行業其他監獄干警請教,避免培訓后仍然不能和工作相結合的問題。通過該平臺加強全國各監獄干警之間的信息化交流,從而縮減各基層監獄之間已造成的數字鴻溝,為監獄信息化的建設與信息安全保障提供支持,提高技術人員水平,避免一些重復建設、促進信息化建設。第三,通過對監獄干警提問的內容進行整理,可以拓展培訓中的實訓內容,提高培訓的效果。第四,通過在該網絡平臺上提供相關培訓資料,實現了個性化培訓和個性化服務[7],突破了以往固有的條件限制。這樣,任何干警可以不受時間和地點限制,學習任意課程、任意章節,為監獄干警進行主動學習提供一個平臺,實現了和短期培訓互補。第五,通過吸引更多的IT公司為監獄信息化建設及其信息安全提供服務,該平臺也將為上級領導及時了解最新的監獄信息化動態提供服務。
監獄信息化網絡與信息安全數字化培訓體系模型見圖1所示。它以監獄信息化網絡與信息安全培訓與交流網絡平臺為依托,在此基礎上將監獄信息化網絡與信息安全培訓目標、監獄信息化網絡與信息安全培訓教學內容、監獄信息化網絡與信息安全培訓教學組織與安排、監獄信息化網絡與信息安全培訓考核與評估互相銜接,建立起監獄信息化網絡與信息安全數字化培訓體系的一個維度。它按照監獄信息化網絡與信息安全本身崗位的需要設定了M1-M13模塊,構成了監獄信息化網絡與信息安全數字化培訓體系的第二個維度。對從事監獄信息化網絡與信息安全干警的水平進行崗位績效考核與評估,可依據他們所具有的網絡與信息安全理論知識和實踐技能,進行評定,設定初級、中級、高級三個層次,然后再針對上述崗位設定需要滿足的技術和管理層次。這,構成了監獄信息化網絡與信息安全數字化培訓體系的第三個維度。
圖1監獄信息化網絡與信息安全數字化培訓體系模型
通過建立開放性、數字化、應用性、行業性、抽取式、模塊化、職業性的監獄信息化網絡與信息安全數字化培訓體系,構建了培訓體系的長效機制,從而實現以學員為中心,教學內容與工作任務一體化、教學情境與工作環境一體化、理論教學與實踐教學一體化、培訓教師與行業管理一體化的多維度、多層次的培訓。這,為監獄信息化建設的可持續性、網絡與信息安全提供了重要的保障。
參考文獻:
[1]吳愛英.2007年5月29日在全國監獄信息化建設工作會議上的講話[N].新華日報,2007-05-30,(1).
[2]思源新創信息安全資訊公司.國外信息安全培訓及認證現狀和發展(上)[J].網絡安全技術與應用,2004(11):12-14.
[3]思源新創信息安全資訊公司.國外信息安全培訓及認證現狀和發展(下)[J].網絡安全技術與應用,2004(12):12-13.
[4]劉小平,宋建偉.國內信息安全培訓發展淺析[J].信息安全與技術,2010(10):74-77.
[5]賈鐵軍,常艷,等.網絡安全實用技術[M].北京:清華大學出版社,2011.
[6]王惠鵬,馬國富,等.網絡文化安全防范體系研究[J].重慶科技學院學報:社會科學版,2012(4):45-47.
第二條本省行政區域內計算機信息系統的安全保護,適用本細則。
軍隊的計算機信息系統安全保護工作,按照軍隊的有關法規執行。
第三條縣級以上人民政府公安機關公共信息網絡安全監察部門負責主管本行政區域內的計算機信息系統安全保護工作。
第二章安全監督
第四條公安機關公共信息網絡安全監察部門對計算機信息系統安全保護工作行使下列職責:
(一)監督、檢查、指導計算機信息系統安全保護工作;
(二)組織實施計算機信息系統安全評估、審驗;
(三)查處計算機違法犯罪案件;
(四)組織處置重大計算機信息系統安全事故和事件;
(五)負責計算機病毒和其他有害數據防治管理工作;
(六)對計算機信息系統安全服務和安全專用產品實施管理;
(七)負責計算機信息系統安全培訓管理工作;
(八)法律、法規和規章規定的其他職責。
第五條公安機關公共信息網絡安全監察部門對重點安全保護單位計算機信息系統的安全檢查,每年不應少于一次。
第六條公安機關公共信息網絡安全監察部門采取24小時內暫時停機、暫停聯網、備份數據等緊急措施須經縣級以上公安機關批準。
第七條公安機關公共信息網絡安全監察部門與所在地安全服務機構、互聯網運營單位和其他計算機信息系統使用單位應當建立聯防機制,依法及時查處通過計算機信息系統進行的違法犯罪行為,組織處置重大突發事件。
第三章安全保護責任
第八條單位和個人應當對其所有、使用和管理的計算機信息系統承擔相關的安全保護責任。
提供接入服務和信息服務以及主機托管、虛擬主機、網站和網頁信息維護等其他服務的單位應當和用戶在合同中明確雙方的計算機信息系統安全保護責任。提供服務的單位應當承擔與其提供服務直接相關的安全保護義務。
第九條網吧、社區、學校、圖書館、賓館等提供上網服務的場所和互聯網運營單位應當落實相應的安全措施,安裝已取得《計算機信息系統安全專用產品銷售許可證》的安全管理系統。
第十條計算機信息系統使用單位和個人為了保護計算機信息系統的安全,可以與安全服務機構明確服務項目和要求,建立相對穩定的服務關系。
第四章安全專用產品
第十一條計算機信息系統安全專用產品生產單位在其產品進入本省市場銷售前,應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》,并報省公安廳公共信息網絡安全監察部門備案。
第十二條本省安全專用產品生產單位應當在領取營業執照后30日內持下列資料到省公安廳公共信息網絡安全監察部門備案。
(一)單位簡況;
(二)營業執照復印件;
(三)安全專用產品類型、功能等情況;
(四)主要技術人員資格證書復印件。
第十三條銷售信息網絡安全檢測產品的單位應當在領取營業執照后30日內向地級以上市公安機關公共信息網絡安全監察部門申請備案,填寫《廣東省信息網絡安全檢測產品銷售備案表》,并提交如下資料:
(一)單位簡況;
(二)營業執照復印件;
(三)信息網絡安全檢測產品銷售和售后服務管理制度;
(四)主要技術人員資格證書和銷售人員有效證件復印件。
第十四條信息網絡安全檢測產品只限于單位購買使用。購買信息網絡安全檢測產品的單位應當指定專人管理和使用,不得出租、出借、轉讓、贈送,不得擅自用于檢測他人計算機信息系統。
用戶購買信息網絡安全檢測產品,應當持單位的證明文件到所在地地級以上市公安機關公共信息網絡安全監察部門辦理備案手續,公安機關應當在15日內予以辦理,發給《信息網絡安全檢測產品購買備案表》;不予辦理的,應當書面說明理由。
用戶應當憑《信息網絡安全檢測產品購買備案表》購買信息網絡安全檢測產品。投入使用后,應當在10日內將本單位的《用戶IP地址配置備案表》報送所在地地級以上市公安機關公共信息網絡安全監察部門備案。
第十五條信息網絡安全檢測產品銷售單位應當查驗用戶的《購買信息網絡安全檢測產品備案表》后方可銷售。
銷售信息網絡安全檢測產品的單位,應當負責產品的使用授權和維護、更新。
第五章安全服務機構
第十六條安全服務資質實行等級管理,分一、二、三、四級。各等級所對應的承擔工程的資格如下:
(一)一級:可承擔所有計算機信息系統安全設計、建設、檢測;
(二)二級:可獨立承擔第一級、第二級、第三級、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統安全設計、建設、檢測,合作承擔第五級安全保護等級或安全投資總額為300萬元以上的計算機信息系統安全設計、建設、檢測;
(三)三級:可獨立承擔第一級、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統安全設計、建設、檢測,合作承擔第三級、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統安全設計、建設、檢測;
(四)四級:可獨立承擔第一級、第二級安全保護等級且安全投資總額為50萬元以下的計算機信息系統安全設計、建設,合作承擔第一級、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統安全設計、建設。
第十七條各安全服務資質等級條件如下:
一級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本1200萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統安全服務項目總值3000萬元以上,并承擔過至少1項450萬元以上或至少4項150萬元以上的項目;所完成的安全服務項目中應具有自主開發的安全產品;服務費用(含系統設計費、軟件開發費、系統集成費和技術服務費)應占工程項目總值的30%以上(即不低于900萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于50人,其中大學本科以上學歷的人員不少于40人;
(五)安全服務工作的管理人員應當具有5年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于5年;
(六)具有較強的綜合實力,有先進、完整的軟件及系統開發環境和設備,具有較強的技術開發能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理和量化控制,并能不斷改進;
(八)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施。
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統安全保護等有關法律法規的行為。
二級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本500萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統安全服務項目總值1500萬元以上,并承擔過至少1項225萬元以上或至少3項120萬元以上的項目;所完成的安全服務項目中應具有自主開發的安全產品;服務費用(含系統設計費、軟件開發費、系統集成費和技術服務費)應占工程項目總值的30%以上(即不低于450萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于40人,其中大學本科以上學歷的人員不少于30人;
(五)安全服務工作的管理人員應當具有4年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于4年;
(六)具有先進、完整的軟件及系統開發環境和設備,有較強的技術開發能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理和量化控制;
(八)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統安全保護等有關法律法規的行為。
三級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本100萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統安全服務項目總值600萬元以上;服務費用(含系統設計費、軟件開發費、系統集成費和技術服務費)應占工程項目總值的30%以上(即不低于180萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于20人,其中大學本科以上學歷的人員不少于15人;
(五)安全服務工作的管理人員應當具有3年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于3年;
(六)具有與所承擔項目相適應的軟件及系統開發環境和設備,具有一定的技術開發能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理;
(八)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統安全保護等有關法律法規的行為。
四級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本30萬元以上,近3年的財務狀況良好;
(三)具有計算機安全或相關專業資格證書的專業技術人員不少于15人;
(四)安全服務工作的管理人員應當具有2年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于2年;
(五)具有與所承擔項目相適應的軟件及系統開發環境和設備,具有一定的技術開發能力;
(六)具有較為完善的組織管理制度、質量保證體系和客戶服務體系;
(七)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(八)竣工項目均通過驗收;
(九)無觸犯計算機信息系統安全保護等有關法律法規的行為。
第十八條申請安全服務資質,應當持下列資料向地級以上市公安機關公共信息網絡安全監察部門提出申請:
(一)申請書;
(二)營業執照復印件;
(三)管理人員和專業技術人員的身份證明、學歷證明和計算機安全培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的,報送省公安廳公共信息網絡安全監察部門核準;初審不合格的,退回申請并說明理由。
省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核準的決定并說明理由。
持國家工商行政管理總局或省工商行政管理局核發的營業執照以及申請一級安全服務資質的機構,直接向省公安廳公共信息網絡安全監察部門提出申請,省公安廳公共信息網絡安全監察部門應當在30日內作出核準意見。
第十九條從事計算機信息系統安全檢測的安全服務機構應當具有三級以上安全服務資質。
承擔重點安全保護單位計算機信息系統和計算機機房使用前安全檢測的安全服務機構由地級以上市公安機關公共信息網絡安全監察部門實行總量控制,擇優授權,應具備下列條件:
(一)具有三級以上安全服務資質;
(二)中國公民或者組織持有的股權或者股份不少于51%;
(三)具有提供長期服務的能力和良好信譽;
(四)具有自主開發的信息網絡安全檢測產品。
轄區內無符合條件的安全服務機構的,由地級以上市公安機關公共信息網絡安全監察部門委托省內符合條件的安全服務機構承擔。
第二十條資質證書分為正本和副本,正本和副本具有同等法律效力。
第二十一條資質證書實行年審制度。年審時間為每年2月至3月,新領(換)資質證書未滿半年的不需年審。
第二十二條安全服務機構在年審前應當對本單位上一年度的下列情況進行自查,并形成自查書面材料:
(一)遵守國家有關法律法規和本省有關規定的情況;
(二)安全服務業績;
(三)用戶投訴及處理情況;
(四)參加國內和國際標準認證的情況;
(五)符合資質證書頒發條件的有關情況。
第二十三條安全服務機構參加年審,應當持下列材料向地級以上市公安機關公共信息網絡安全監察部門提出申請:
(一)《計算機信息系統安全服務資質年審申請書》;
(二)資質證書副本;
(三)自查書面材料;
(四)其他材料。
第二十四條地級以上市公安機關公共信息網絡安全監察部門自接到申請材料之日起15日內進行初審,材料齊全,情況屬實的,報送省公安廳公共信息網絡安全監察部門審查。初審不合格的,退回申請并說明理由。
省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起10日內作出年審結論。
持國家工商行政管理總局或省工商行政管理局核發的營業執照以及申請一級安全服務資質的機構,直接向省公安廳公共信息網絡安全監察部門提出申請,省公安廳公共信息網絡安全監察部門應當在20日內作出年審結論。
年審結論分為合格、降級、取消3種。
具備下列情形的,年審結論為合格:
(一)遵守國家有關法律法規和本省有關規定;
(二)上年度安全服務項目總值不低于本級資質條件規定的年均安全服務項目總值的四分之三(四級資質不低于50萬元);
(三)用戶投訴基本能合理解決;
(四)符合原等級資質證書頒發條件。
有下列情形之一的,年審結論為降級:
(一)違反國家有關法律法規和本省有關規定,情節輕微;
(二)上年度安全服務項目總值低于本級資質條件規定的年均安全服務項目總值的四分之三;
(三)10%以上的安全服務項目有用戶投訴且未能合理解決;
(四)不符合原等級資質證書頒發條件。
有下列情形之一的,年審結論為取消:
(一)違反國家有關法律法規和本省有關規定,情節嚴重;
(二)年度安全服務項目總值低于50萬元;
(三)20%以上的安全服務項目有用戶投訴且未能合理解決;
(四)情況發生變更,達不到資質證書頒發條件。
年審合格的,在資質證書副本和《計算機信息系統安全服務資質年審申請書》上注明,加蓋省公安廳公共信息網絡安全監察專用章。
年審結論為降級的,原資質證書作廢,換發資質證書。
年審結論為取消的,資質證書作廢,安全服務機構應當自接到年審結論之日起10日內交回資質證書。
未按時參加年審的,年審結論視為取消。
年審結論為取消的,兩年內不得申請安全服務資質。
因特殊原因未年審的,應當書面說明理由,經批準,方可補辦相關手續。
第二十五條資質證書有效期為4年,安全服務機構應當在期滿前60日內提交換證申請材料。換證程序與資質證書申請程序相同。期滿不換證的,資質證書作廢。
因特殊原因未按時換證的,應當書面說明理由,經批準,方可補辦相關手續。
第二十六條資質證書登記事項發生變更的,應在30日內到地級以上市公安機關辦理變更手續。
第二十七條安全服務機構在取得資質證書一年后,達到較高一級資質條件的,可申請晉升等級,辦理程序與初次申請相同。
第二十八條安全服務機構情況發生變更,不符合原資質等級條件的,應當予以降級。
第六章安全審驗
第二十九條計算機信息系統和計算機機房的規劃、設計、建設應當按照國家有關規定和標準,同步落實安全保護制度和措施。
第三十條重點安全保護單位計算機信息系統和計算機機房安全設計方案應當報單位所在地地級以上市公安機關公共信息網絡安全監察部門備案。
重點安全保護單位計算機信息系統和計算機機房建成后,應當由具有相應資格的安全服務機構進行安全檢測。檢測合格,方可投入使用。
安全檢測應當接受公安機關公共信息網絡安全監察部門的監督。
第三十一條計算機信息系統安全設計方案備案,應當填寫《廣東省計算機信息系統安全設計方案備案表》,并提交下列材料:
(一)計算機信息系統安全設計方案;
(二)計算機信息系統的總體需求說明;
(三)計算機信息系統的安全保護等級。
第三十二條計算機機房安全設計方案備案,應當填寫《廣東省計算機機房安全設計方案備案表》,并提交下列材料:
(一)承建單位營業執照和資質證書復印件;
(二)計算機機房的用途和安全要求;
(三)計算機機房的施工方案和設計圖紙;
(四)其他應當提交的資料。
第三十三條安全服務機構對重點安全保護單位計算機信息系統和計算機機房進行使用前安全檢測,應當預先報告地級以上市公安機關公共信息網絡安全監察部門。安全檢測結論由重點安全保護單位報地級以上市公安機關公共信息網絡安全監察部門。
第三十四條計算機信息系統和計算機機房存在下列情形之一的,應當進行安全檢測:
(一)變更關鍵部件;
(二)安全檢測時間滿一年;
(三)發生案件或安全事故;
(四)公安機關公共信息網絡安全監察部門根據應急處置工作的需要認為應當進行安全檢測;
(五)其他應當進行安全檢測的情形。
第三十五條安全服務機構應當履行下列職責:
(一)如實出具檢測報告;
(二)接受公安機關公共信息網絡安全監察部門對檢測過程的監督檢查;
(三)保守用戶秘密,不得保留安全檢測相關資料,不得擅自向第三方泄露用戶信息。
第七章安全培訓
第三十六條省公安廳、人事廳聯合成立的省計算機安全培訓領導小組,負責全省計算機安全培訓考試工作的組織和領導。下設省計算機安全培訓考試辦公室,具體負責計算機安全培訓的日常管理工作。
第三十七條下列人員應當參加計算機安全培訓,取得省計算機安全培訓考試辦公室頒發的計算機安全培訓合格證書,持證上崗:
(一)計算機信息系統使用單位安全管理責任人、信息審查員;
(二)重點安全保護單位計算機信息系統維護和管理人員;
(三)安全專用產品生產單位專業技術人員;
(四)安全服務機構專業技術人員、安全服務管理人員;
(五)其他從事計算機信息系統安全保護工作的人員。
第三十八條計算機安全培訓和考試由省計算機安全培訓考試辦公室授權的安全培訓考試點負責組織。安全培訓考試點實行統籌規劃,總量控制。
第三十九條計算機安全培訓和考試按照有關規定進行,實行學大綱,材,統一考試,統一發證。
考試合格的,由省計算機安全培訓考試辦公室在20日內發給計算機安全培訓合格證書。
計算機安全培訓合格證書有效期4年,期滿前60日內應重新參加培訓。
【關鍵詞】 網絡信息系統 醫院網絡安全 病案管理系統
網絡信息的安全關系到國家的安全和以及社會穩定等重要問題,并且隨著全球信息化步伐的加速發展而越來越重要。而醫院的網絡安全又是一個比較特殊的而且應該引起極大重視的事,新的醫改方案的出臺,提出要建立一個資源共享的醫療衛生信息系統用以推進信息化建設,重點在于醫院的管理和電子病歷上,這意味著醫院的信息系統將會是一個高科技和高風險并存的系統,它將承載著更多的醫療管理業務,而網絡信息系統本身的脆弱性和復雜性,使得網絡信息系統所要面臨的威脅也越大。因此,醫院的網絡系統安全問題也會變得越來越重要和充滿著挑戰性。
一、醫院的網絡安全系統與重要性
醫院的網絡安全系統包括操作系統的安全和醫保及互聯網的安全,。隨著技術的發展,互聯網已大量普及,使得網絡安全成為了需要重點考慮的問題,這也是現在醫院當務之急最應該做的事,醫院網絡安全的重要性體現在:
1、醫院患者數據的特殊性
醫院的病案管理數據就好像是一個及其重要的醫學文獻,它的每個數據都是醫院所最寶貴的財富,一旦弄丟或者出現差錯,將帶來無法預計的損失,因為每個病人的疾病發生癥狀、演變還有每次醫務人員的診斷和治療過程都被完整的記錄了下來,這是醫學現代化的一個發展和應用,而且也直觀的可以將醫務人員的素質以及現代醫療的技術水平呈現出來。而醫院本身的數據又非常龐大和復雜,以前數據這些都需要有專業的人員深入到科室去對各種病案進行收集分類和整理,工作量非常的大而且又容易出現誤差,因如果借助醫院的網絡手段就可以進行現代化的管理,使得病案的存儲和處理變得更加的便捷和精確,這樣的話將會大大的提高醫院的工作效率。所以醫院的網絡安全問題就顯得尤其的重要。
2、網絡安全犯罪事件越來越多
現在信息技術發展的飛快,掌握網絡犯罪技術的人員也越來越多,網絡安全系統的漏洞不斷被檢測出來,一旦醫院的網絡系統出現故障,不僅會影響到醫院日常工作的進行,也會給醫院帶來非常不利的影響。同時醫院數據的龐大,也對醫院網絡的數據處理能力提出了更高的要求,所以建立健全一個完善的的醫院網絡系統是非常迫切同時也非常重要的事!
二、網絡安全中存在的問題分析
1、網絡協議存在安全隱患
TCP/IP協議中容易遭受到IP的劫持和Smuff攻擊等風險,劫持者利用序列號預測,而在連接中植入自己的數據,Smuff攻擊則假冒受害者主機的IP地址,引起受害主機的崩潰。而FrP協議的口令設置會方便入侵者盜取口令并傳播木馬等病毒,用以竊取用戶的數據,@DDNS提供解析域名等服務,很容易遭受到假冒域名的攻擊, 路由協議缺陷使得入侵者可以偽造ARP包不,不停地更改序列號,冒充主機,然后就可以監聽主機的數據包,影響整個網絡系統的運行穩定。
2、來自病毒的頻繁攻擊事件
網絡病毒肆掠,黑客的頻繁攻擊,所造成的危害越來越嚴重,給醫院的正常運行帶來重重阻礙,大多數的網絡安全事件都是由于用戶終端的脆弱造成,在醫院網絡中,系統漏洞和殺毒軟件的落后的現場非常常見,而醫院的網絡處于互聯網中,難免會遇到各種的病毒攻擊,這些病毒可能會是醫院的系統崩塌,并感染其他的電腦,安全威脅將會快速的擴展到更廣的范圍里。所以醫院急需解決的是要保證用戶終端的健康安全使用,同、同時須完善自身的病毒防御系統。
3、安全制度存在漏洞,安全策略不完善
鑒于醫院信息的特殊性,對醫院信息安全系統的建設將會是一個非常復雜的工程。一些醫院沒有建立完善的網絡安全機制,也沒有采取和調整相應的網絡安全策略,而僅僅是注重于采購各種網絡安全產品,沒有給自己制定相關的中、長期規劃,這樣的話,醫院的信息安全產品其實沒有起到應有的作用。
4、人員的操作失誤
操作人員的安全意識薄弱,不了解網絡安全所應承擔的責任,自身的操作技術不過關,又無法應付網絡安全的突發事件,這樣可能會帶來引入危害程序,泄漏網絡信息,造成網絡的崩塌等安全隱患。所以非常需要加強對操作人員的安全意識和技術培訓。
三、相關的建議和解決措施
1、完善網絡安全策略
根據醫院的具體情況制定一套自上而下的完整的安全策略,同時對網絡進行實時的安全監控,確保可以及時的了解到醫院的網絡安全狀況,提前發現網絡中入侵動作,并且運用防火墻來進行阻止,這樣醫院就可以隨時了解到網絡中存在的缺陷,在發生損失之前就采取必要的安全措施,提高自身的安全防御水平。
2、借助先進的網絡安全技術
(1)在外網同內網之間設置好防火墻,利用防火墻來對進出網絡的數據進行監控和過濾,達到控制和阻斷存在安全隱患的進出網絡訪問行為,對于應當禁止的業務要及時進行封鎖,并把防火墻的工作信息和內容詳細的記錄下來,以此來提前監測和預警可能要進行的網絡攻擊,防火墻的種類有過濾型、檢測型和型等,在實際運用中,要根據不同的情況以便安裝不同的防火墻。
(2)根據不同的安全需求來劃分和隔離出不同的安全域,可利用控制訪問和權限等機制、來達到對不同的訪問者訪問網絡和設備時的控制,防止內部訪問者在無權訪問的區域進行訪問和采取錯誤的操作。通常將網絡安全級別劃分為關鍵的服務區域和外部接入的服務區域,我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部并且要安全的隔離這兩大區域之間,針對關鍵的服務器區域內部, 也需要按不同的安全級別而進行不同的安全隔離,劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
(3)要定期更新升級防病毒的工具,并且要經常對網絡進行安全掃描,以防范病毒和帶有安全隱患的入侵,注意加強系統薄弱的地方,及時檢查漏洞并修補漏洞。除了平常的防毒工作站外,消除病毒的關鍵還在于email防毒和網關式防毒。平時還需要經常使用掃描器主動掃描,及時發現網絡的安全隱患并進行修補,以防黑客攻擊。
(4)要采取先進的加密和認證技術,通過加密,可以使要傳輸的信息得到很好的保密,這是一個非常常見但是效果又很明顯的技術,主要是在文件傳輸和桌面的安全防御中得到廣泛的應用。
(5)要對數據經常進行備份,醫院信息系統的核心是數據庫,它關系著患者的治療資料和隱私,數據庫的安全要保證數據的正常的存儲與應用,而且要對對數據庫的破獲和攻擊采取防御措施,所以數據的重要性對于醫院來說是不言而喻的。即使沒有病毒與網絡攻擊,自己自身的錯誤操作或者系統的斷電及其他的一些意外,都會導致數據的不可挽回的丟失,所以我們必須要有制定一套完整的保護方案和應急手段才行,而備份是一種最常用的最基本的系統安全維護手段,利用數據的備份和恢復功能,有些數據甚至能異地存儲備份,這樣可以避免嚴重的事故發生。
3、健全風險的評測體制,增強醫院的安全管理體制
可以長期與專業的安全服務公司進行合作,以便建立一套完整的風險評估機制,在部門之間加強信息的溝通與資源的共享,采用其先進的風險評估技術,同時結自身網絡系統安全實際的實際情況,去不斷發現信息系統中所存在的安全隱患,然后尋求有效的補救方法。同時也要安排專門的人員對硬件設備和系統進行維護和優化。可以設立完善的安全管理機構,由專門的網絡安全的小組的領導組成,落實職責。加強網絡安全隊伍建設,保證醫院的信息系統可以正常運行。在執行安全策略時需要采取制度化管理,規范各個業務系統的操作和數據庫管理員的工作等,而對于不同敏感類型的信息要依據相關的管理制度和方法來管理。
4、建立應急預案,定期進行演練
在醫院網絡系統的運行過程中,難免會會出現各類的故障,為了確保醫院的安全系統可以正常運行,應當建立應急預案,使得醫院在突發事件中提高系統的處理的能力,是不利的影響和損失能夠降到最低,制定應急預案,所以首先,從醫院的實際業務特點出發,來進行不同規模的應急演練,同時應當注意對不同的故障制定不同的應急預案,并設立專門的領導小組作為保證,而啟動應急預案會給醫院的正常工作很大挑戰,因為需要調動大量的人力和物力所以對于應急預案啟動的條件要嚴格控制。在應急預案建立好后,還需定期的組織演練,確保應急方案的切實可行。
5、提高相關人員的素質,加強員工的培訓
操作人員的素質高低會直接影響到醫院網絡完全的系統建立,對員工進行相關的安全培訓則是非常關鍵的手段。安全培訓可以分為信息科的專業人員的安全技術培訓和所有使用人員的操作安全培訓這兩種。信息科的培訓針對的是各類的安全技術和安全策略,而系統使用人員的操作培訓,要則主要在于怎樣安全的使用各類計算機設備和怎么樣對設備進行維修保養。
總之,我們都知道不存在絕對安全的網絡防御系統,網絡信息的安全風險的存在是客觀的現象,也是一個在不斷演變和前進的的系統,科技的發達與便捷,促使醫院的業務對網絡技術的依賴也越來越強,當然相關的風險也就大大的提高了,而當故障發生時,不可避免的會給醫院的服務和秩序帶來無法估計的影響。所以,必須高度重視技術上的和理論上的網絡安全。隨著計算機技術與醫院自身的信息系統的不斷完善,未來在網絡安全上的體制也將會更完善。
參 考 文 獻
[1] 式志紅. 醫院信息系統的安全維護措施[J]. 中國醫療設備,2009(1)
關鍵詞:校園網絡、安全維護、病毒防治
前言
目前,許許多多的中職院校都已建成了校園網,教師和學生都很享受著校園網所帶來的從備課到發表論壇的種種方便。但是,隨著計算機技術迅速發展的同時,計算機病毒也呈現出高速增長的態勢,并且傳播能力及破壞性越來越強,近年來,網絡化病毒開始大肆侵襲,網絡已成為計算機病毒快速、方便地傳播的第一途徑。在當前教育教學深化改革的攻堅時期,校園網絡信息的安全維護正在逐漸成為各大院校計算機信息化管理研究的熱門課題。
一、校園網絡信息安全當前的危機
近幾年,全球信息網絡安全呈現出一些新特點,主要體現為:網絡威脅形式多樣,經濟利益成為網絡攻擊的最大驅動力;網絡攻擊呈現出組織嚴密化、行為趨利化、目標直接化的趨勢。網絡欺騙手段進一步升級,黑客不光利用電子郵件和網站進行詐騙,具有“網絡釣魚”性質的病毒也開始出現,勒索軟件、網絡游戲、網絡銀行盜號木馬等被廣泛使用,都充分說明了經濟利益已成為網絡攻擊的最大驅動力。然而,校園網中的計算機數量較多,但使用者的防毒水平參差不齊,管理措施的不到位,都造成校園網中計算機病毒常常肆意橫行,干擾系統的正常運行,也造成計算機運行速度變慢、頻繁死機,軟件不能正常使用等現象,甚至造成數據被破壞、網絡及服務器癱瘓等問題,嚴重影響正常的教學、科研等工作。 可見病毒防范已成為校園網日常管理中的一項非常重要的內容,必須從管理、技術和應急措施三方面互相配合,才能確保校園網的正常工作。
二、管理的改進方略
各大院校應根據學校實際建立病毒防治制度和病毒防治組織,將病毒防治工作落到實處。 然后,建立快速、有效的病毒應急體系,網絡病毒不斷發展的今天,病毒疫情更加呈現出突發性強、涉及范圍廣和破壞力高的特點。為了有效降低病毒的危害性,提高對病毒的防治能力,學校的病毒防治組織要注意國家計算機病毒應急處理中心的病毒疫情,以便在爆發病毒疫情時,及時做好預防工作,減少病毒造成的危害。加強網絡安全培訓:學校根據病毒防治制度,建立二級安全培訓課程,采用分級培訓,普通網絡用戶,通過一級安全培訓提高安全防范意識,掌握基本的病毒防治技術。網絡管理員通過二級培訓全面了解掌握針對校園網系統的病毒防治技術和管理方法。建立病毒事故分析制度:對發生的病毒事故,要認真分析原因,找到病毒突破防治制度和防護技術的原因,及時提高病毒防治技術,并對調整后的病毒防治技術進行重新評估。建立系統恢復方案:系統恢復方案是為應急處理服務的,當發生病毒侵害造成網絡及服務器癱瘓時,為盡量將病毒造成的損失減少到最低,要盡快恢復系統。系統恢復方案主要包括應急處理時必須到位的技術人員,技術人員在系統恢復中的崗位角色,系統恢復的操作步驟等。
病毒預防是指在病毒尚未入侵或剛剛入侵還未發作時,就進行攔截阻擊或立即報警。要做到這一點,首先要清楚病毒的傳播途徑和寄生場所,然后對可能的傳播途徑嚴加防守,對可能的寄生場所實時監控,達到封鎖病毒入口,杜絕病毒載體的目的。
數據備份能夠有效的降低病毒的破壞性,還可以使受到病毒攻擊的關鍵數據得以恢復。對于應用系統來說沒有比數據備份更安全的措施了。網絡是一個開放的環境,隨時都可能受到硬件、軟件、人為或客觀因素造成的計算機系統拒絕服務。網絡安全具有相對性。數據備份應當是動態備份,如可以采用raid或定時靜態備份。進行備份時,為確保數據安全,應使備份數據與主機相分離,將重要數據備份到遠程客戶機上。
二、技術的防范建議
另外,除了采取必要的病毒防治措施外,我們日常工作中還需要培養良好的技術防范意識:
1:及時為WINDOWS打補丁,方法:打開IE――/工具(T)/――/ Win dows Update(U) / ――并按步驟更新原因:為WINDOWS打補丁是很很重要的,因為許多病毒都是根據WINDOWS的漏洞寫出來的。 當然360的修復漏洞更方便,不過剛剛看到有網友說有時候不能及時檢查出漏洞,不知道大家有沒有遇到過。
2:不瀏覽不安全的網站,把“INTERNET 安全性 屬性”的安全級別調高級。方法:雙擊IE右下方的小地球,按一下默認級別,向上移動滑塊,然后確定。原因:禁止網頁使用的控件,它就不能在你背后搞小動作了。說明:有些網頁是要使用正常的控件的,比如聽歌的看電影的網頁等等,這時你得把‘INTERNET 安全性屬性’調回中級。
3:下載后和安裝軟件前一定要殺毒,不明白那是什么東西不要打開他。原因:或許你下載的網站不會放病毒的軟件,但不排除它可能被人入侵,然后被放置帶病毒的軟件,總之安全第一。說明:下載后安裝前殺是個好習慣。下載軟件最好去官方。華軍的軟件還經常有捆綁什么的,特別煩。
4:經常更新毒庫殺毒。原因:病毒的發展是會不停止的,更新毒庫才能殺新的病毒。 所以說啊,不是說裝完了個殺毒軟件就萬事大吉了,不更新病毒庫等于沒裝。
5:不要安裝太多的IE的輔佐工具。原因:IE的輔佐工具之間可能有沖突,而且會占用一定的內存。說明:所謂請神容易送神難,在按‘確定’前一定要想清楚。
6:不需要安裝太多的殺毒軟件。原因:殺毒軟件之間也可能有沖突,而且會占用較多的內存。說明:一般來說要‘求精不求多’,通常安裝三樣功能:防病毒、防火墻、防木馬。
7:對電腦認識有一定水平的人可以對電腦的進行手動撿查方法:系統盤中的Autoexec.bat windows中的Msconfig.exe 和注冊表中Run啟動項說明(如果發現新的加載項目那你就得小心點了)。
8:重要文檔不要放在系統盤中,而且要備份好。
9:有能力的可以為系統盤做一個映象文件。如果碰到新的病毒,連殺毒軟件也沒能為力,只得還原映象了。總結:及時打補丁,經常升毒庫殺毒,不要打開不明的連接,上不安全的網站要調高級別,時常查看啟動項,不要打開或安裝來歷不明的文件,做好備份。建個系統盤映象。
四、總結與展望
總之,沒有安全保證的校園網絡就像沒有剎車的車子跑在高速公路上。互聯網絡的飛速發展,對校園網絡中師生的工作和學習已經產生了深遠的影響,網絡在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時,我們需要清醒的認識到,網絡安全問題的日益嚴重也越來越成為現代教育信息化的巨大阻礙。校園網絡安全的重要性,已經提升到了必須要統一管理和嚴密防范的高度。我們校園計算機信息技術人員,只有很好的解決了網絡安全問題,才能使未來校園網絡的應用才能健康、高速的發展。■
參考文獻
1、《計算機網絡應用教程》 王洪、魏惠琴等著
2、《計算機網絡安全技術》 蔡立軍 編
3、《計算機病毒防治百事通》 陳立新 編
關鍵詞:安全三要素;計算機網絡;信息安全;防范策略;保障作用
在信息技術飛速發展的今天,黑客技術和計算機病毒也在不斷之變化,其隱蔽性、跨域性、快速變化性和爆發性使網絡信息安全受到了全所未有的威脅。在這種攻與防的信息對抗中人、技術和管理都是不可或缺的重要環節。
一、網絡信息安全的問題在哪里?
(一)技術層面的問題
1.網絡通信線路和設備的缺陷
(1)電磁泄露:攻擊者利用電磁泄露,捕獲無線網絡傳輸信號,破譯后能較輕易地獲取傳輸內容。
(2)設備監聽:不法分子通過對通信設備的監聽,非法監聽或捕獲傳輸信息。
(3)終端接入:攻擊者在合法終端上并接非法終端,利用合法用戶身份操縱該計算機通信接口,使信息傳到非法終端。
(4)網絡攻擊。
2.軟件存在漏洞和后門
(1)網絡軟件的漏洞被利用。
(2)軟件病毒入侵。
(3)軟件端口未進行安全限制。
(二)人員層面的問題
1.系統使用人員保密觀念不強,關鍵信息沒進行加密處理,密碼保護強度低;文檔的共享沒有經過必要的權限控制。
2.技術人員因為業務不熟練或缺少責任心,有意或無意中破壞網絡系統和設備的保密措施。
3.專業人員利用工作之便,用非法手段訪問系統,非法獲取信息。
4.不法人員利用系統的端口或者傳輸的介質,采用監聽、捕獲、破譯等手段竊取保密信息。
(三)管理層面的問題
1.安全管理制度不健全。缺乏完善的制度管理體系,管理人員對網絡信息安全重視不夠。
2.監督機制不完善。技術人員有章不循,對安全麻痹大意,缺乏有效地監督。
3.教育培訓不到位。對使用者缺乏安全知識教育,對技術人員缺乏專業技術培訓。
二.網絡信息安全的防范策略
(一)技術層面的防范策略
1.網絡的基礎設施安全防范策略
(1)減少電磁輻射。傳輸線路做露天保護或埋于地下,無線傳輸應使用高可靠性的加密手段,并隱藏鏈接名。
(2)使用防火墻技術,控制不同網絡或網絡安全域之間信息的出入口,保護網絡免遭黑客襲擊。
(3)使用可信路由、專用網或采用路由隱藏技術。
(4)網絡訪問控制。訪問控制是網絡安全防范和保護的核心策略之一。包括入網、權限、目錄級以及屬性等多種控制手段。
2.軟件類信息安全防范策略
(1)安裝可信軟件和操作系統補丁,定時升級,及時堵漏。
(2)應用數據加密技術。將明文轉換成密文,防止非法用戶理解原始數據。
(3)提高網絡反病毒技術能力。使用殺毒軟件并及時升級病毒庫。對移動存儲設備事前掃描和查殺。對網絡服務器中的文件進行掃描和監測,加強訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
(4)使用入侵檢測系統防止黑客入侵。一般分為基于網絡和基于主機兩種方式。還可以使用分布式、應用層、智能的入侵檢測等手段。
(5)數據庫的備份與恢復。
(二)人員層面的防范策略
1.對人員進行安全教育。加強對計算機用戶的安全教育、防止計算機犯罪。
2.提高網絡終端用戶的安全意識。提醒用戶不使用來歷不明的U盤和程序,不隨意下載網絡可疑信息。
3.對人員進行法制教育。包括計算機安全法、計算機犯罪法、保密法、數據保護法等。
4.加強技術人員的安全知識培訓。
(三)管理層面的防范策略
1.建立安全管理制度。對重要部門和信息,嚴格做好開機查毒,及時備份數據。
2.建立網絡信息綜合管理規章制度。包括人員管理、運維管理、控制管理、資料管理、機房管理、專機專用和嚴格分工等管理制度。
3.建立安全培訓制度。使安全培訓制度化、經常化,不斷強化技術人員和使用者的安全意識。
三、安全三要素的保障作用更重要
在保證網絡信息安全的過程中,技術是核心、人員是關鍵、管理是保障,我們必須做到管理和技術并重,技術和措施結合,充分發揮人的作用,在法律和安全標準的約束下,才能確保網絡信息的安全。
(一) 技術的核心作用
不管是加密技術、反病毒技術、入侵檢測技術、防火墻技術、安全掃描技術,還是數據的備份和恢復技術、硬件設施的防護技術等,都是我們做好網絡信息安全防護的核心要素,技術支撐為我們建立一套完整的、協調一致的網絡安全防護體系起到了核心的作用。
(二)人員的關鍵作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,還是程序開發人員、技術維護人員,還是網絡黑客,都是我們構建網絡安全環境的關鍵因素,成也在人,敗也在人。
(三)管理的保障作用
管理是不可缺失的,不論是技術上的管理,還是對人的管理,不論是技術規則,還是管理制度,都是網絡信息安全的保障。很多安全漏洞都來源于管理的疏忽或者安全培訓的缺失。
四.多說兩句
網絡信息安全是一項復雜的系統工程,涉及人員、技術、設備、管理、制度和使用等多方面的因素,只有將安全三要素的保障策略都結合起來,才能形成一個高效安全的網絡信息系統。世上沒有絕對安全,只要實時檢測、實時響應、實時恢復、防治結合,做到人、技術和管理的和諧統一,目標一致,網絡信息就能安全。
參考文獻
但是現階段我國針對保護信息化網絡安全的法制建設還處于初級階段,雖然行進出臺了幾個法規,但是相對快速發展的網絡技術以及日益嚴重的網絡問題,這些法規遠遠不能滿足地方政府信息化建設的要求。
2加強信息化網絡安全的策略
地方政府在認清網絡安全存在的問題后,應當積極尋找解決問題的科學策略,從技術水平、法律法規以及安全意識等多方面來提升地方政府的網絡安全性能。
2.1提高地方政府網絡安全技術水平
首先,地方政府應注重引進和培養專業人才,通過高校教育培訓高素質網絡管理精英,堅持實行持證上崗制度,從而為地方政府信息化網絡建設提供智力支持與人才保證。與此同時,為加強現有工作人員的網絡安全知識,地方政府可以委托有關行業或是網絡協會來舉辦短期基礎知識培訓班,以提高政府網絡安全技術的整體水平。其次,地方政府還要加大建設投入,建立一個能夠應對不同網絡安全等級的立體性安全防護體系,集防火墻、防病毒、檢測入侵及掃描于一體,同時政府可以通過適當投資以及政策支持來鼓勵當地科研所開發具有自主知識產權的軟硬件,為地方政府網絡安全提供堅實的技術基礎。最后,政府還應努力提高控制與應對網絡安全問題的能力。地方政府要致力于指揮調度機制和網絡安全通報制度的建立,并加大對自主研制生產網絡產品和安全防護產品的支持力度,還要制定并不斷完善網絡安全應急處置預案,將網絡安全問題控制在可以解決的范圍,以保障地方政府的網絡安全。
2.2完善地方政府網絡安全的法律法規
首先,地方政府要健全法律法規體系,充分利用政府頒布的管理辦法嚴格界定法律沒有覆蓋的網絡安全領域。此外,政府要不斷完善管理措施,并進一步調整現行的法令規章,通過加大執法力度來凈化網絡環境,維護網絡安全,引導人們合理利用網絡,并積極遵循網絡使用法律。其次,地方政府還要加強自我管理,與信息中心加強合作,加速建立一個高層次、權威性的網絡安全領導機構以有效協調各有關職能部門的工作,確定網絡安全管理標準,并依照此標準對網絡安全進行定期評估,從而進一步升級改進現有的網絡體系,以保證信息網絡的安全。最后,地方政府網絡管理部門要加強對網絡安全的監管,積極干預網絡流行的不法行為,并利用相應的服務器對網絡上的禁止行為進行警告提示,科學過濾入侵的有害網絡信息;注重對網絡服務商的教育與管理,加強對地方網絡服務點自律宣傳,積極引導青少年文明上網,對制造網絡病毒、黑客攻擊以及竊取技術等不法行為進行進行嚴厲懲處。
2.3加強網絡安全意識
首先,地方政府網絡安全管理部門應樹立正確的網絡安全觀念,加強對網絡安全的維護,在公務員培訓中加入對機關人員的網絡安全培訓,從而使機關工作人員自覺提升安全防范意識,擺脫傳統的思維模式,突破網絡認識誤區。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育,使網民充分認識到權利、義務以及該承擔的法律責任,提高他們的法律意識,從而使他們自覺遵守網絡使用的法律法規。其次,地方政府應當利用合理有效的方式普及對網民有關于網絡法律法規及網絡知識的教育,以提高他們的網絡安全意識。例如,政府通過開辟專門的“計算機病毒防治”欄目,對計算機病毒、黑客攻擊情況提供情況通報、預防措施、清除方法等技術服務,對相應的法律法規、相關案例提供聲訊咨詢、網絡法律服務等等,提高全民的網絡安全意識。
3結語
關鍵詞 管理體制;網絡安全;對策
中圖分類號 TP393 文獻標識碼 A 文章編號 1007-5739(2012)03-0068-01
任何一個系統的安全,都包括2個方面,即系統的安全管理措施和保護系統安全的各種技術手段,也就是人的因素和技術的因素[1]。系統安全策略的制定與實施、各種安全技術和產品的使用和部署,都是通過系統管理員和用戶來完成的。健全的管理體制是維護網絡正常安全運行的關鍵[2]。很多系統由于缺乏健全的安全管理體制,因此常出現管理疏忽而導致嚴重的問題。
1 明確專門負責網絡安全管理的部門
網絡安全管理部門是系統內部具體處理信息安全問題的權威機構,其主要職責包括以下10個方面:一是研究和評估各類網絡安全技術,應用推廣適合本系統的技術。二是制定、監督執行及修訂安全策略和安全管理規定。三是制訂出適合單位內使用的各類操作系統和網絡設備配置指南。四是指導和監督信息系統及設施的建設,以確保信息系統滿足安全要求。五是各接入單位部門計算機內嚴禁安裝黑客軟件和病毒軟件、散布黑客軟件和病毒或攻擊其他聯網主機,建立病毒數據庫自動更新和定時升級安全補丁,定期檢測網內病毒和安全漏洞,病毒信息,采取必要的防治措施。六是應做好網絡系統備份工作,確保在系統發生故障時能及時恢復,對各種應用系統的配置規劃和備份計劃進行審查,檢查其是否符合安全要求。七是只允許網管中心工作人員操作網絡設備、修改網絡設置,其他任何人一概不允許;根據使用權限正確分配管理計算機服務器系統,并添加口令予以保護,定期修改口令,嚴禁任何非系統管理員使用、猜測管理員口令。八是對各類個人主機、應用系統和設備進行不定期地安全檢查。九是定期對網絡管理員進行安全培訓和教育,提高其相關的操作技能和安全保密意識,以便能夠識別安全事件,掌握基本的安全技能及正確的處理方法。十是對各用戶安全事件的日常匯報進行處理[3-4]。
2 制定網絡安全管理規定
為明確職責和責任,一般網絡安全管理規定應包括以下7個方面:一是計算機網絡安全建設規定。用于建設專用網絡安全設施以及描述建設各類信息系統應遵循的一般要求。二是計算機網絡安全管理規定。用于對違反規定的行為進行處罰以及描述用戶應遵守的一般要求。三是安全事件應急響應流程。定義發生各類安全事件時相關人員的職責及處理流程。安全事件包括不明原因引起的線路中斷、系統故障導致癱瘓、感染計算機病毒、硬件被盜、嚴重泄密、黑客入侵、誤操作導致重要數據丟失等。四是明確安全注意事項和系統使用指南。主管人員應制訂相關應用系統的使用指南和安全注意事項,讓應用系統的操作人員能夠掌握正確的使用方法,以保證各種系統正常運行和維護,避免因操作不當而造成損失。五是安全保密管理規定。定義網絡系統內部對人員的一般要求、對各類信息的保密要求以及對違反規定行為的處罰措施。六是機房出入管理制度。由專人值守,出入時登記,從而對非管理人員進出中心機房進行管理。七是系統數據備份制度。規定對重要系統和重要數據必須備份,針對不同的應用系統作出不同的規定,包括備份保存和恢復、備份方式、備份周期等。
3 明確網絡安全管理人員崗位工作職責
一是建立健全的網絡安全管理組織,設立計算機網絡安全管理工作責任人制度,負責全面領導本單位計算機的防黃、防黑、防不良信息、防毒等網絡安全工作。二是網絡安全管理人員要進行網絡安全培訓,并實行持證上崗制。三是網絡安全管理人員應當保障計算機網絡設備和配套設施、信息、運行環境的安全。四是網絡安全管理人員應當保障網絡系統和信息系統的正常安全運行。五是網絡安全管理人員必須接受并配合國家有關部門對網絡依法進行的監督檢查和上級網絡中心對其進行的網絡系統及信息系統的安全檢查。六是網絡安全管理人員必須對網絡接入的用戶,用防火墻技術屏蔽非法站點和保留日志文件,并進行定期檢查。七是網絡安全管理人員定期檢查各種設備,確保網絡暢通和系統正常運行,定期備份系統數據,仔細閱讀記錄文件,不放過任何異常現象,定期保養、維護網絡中心交換設備。八是網絡安全管理人員定期檢測網內病毒和安全漏洞,病毒信息,并采取必要措施加以防治。
4 結語
計算機信息網絡國際互聯網上充斥著大量的有害信息和不安全因素,為了加強維護公共秩序、保護互聯網的安全和社會穩定,應當接受公安機關的檢查、指導和安全監督,如實向公安機關提供有關安全保護的數據文件、信息、資料等,協助公安機關查處通過互聯網進行的違法犯罪活動。
5 參考文獻
[1] WILLIAM STALLINGS.網絡安全基礎[M].4版.白國強,譯.北京:清華大學出版社,2001.
[2] MARK STAMP.信息安全原理與實踐[M].杜瑞穎,譯.北京:電子工業出版社,2007.
關鍵詞:公共衛生行業;計算機網絡安全管理;安全技術防范;信息技術;信息安全等級 文獻標識碼:A
中圖分類號:TP393 文章編號:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共衛生行業承擔的職責主要包括重大傳染病防控、慢性非傳染病防控、衛生監督、職業病防制、精神衛生管理、健康危險因素評價、突發公共衛生事件處置和兒童免疫接種管理等,在管理過程中要涉及到大量的重要信息數據,包括疾病監測數據、健康危險因素監測數據和免疫規劃管理數據等,這就對公共衛生行業在信息數據管理的方面提出了很高的要求,務必要將計算機網絡安全管理防范問題放在重要位置,從網絡防范技術和監督管理等方面建立健全計算機信息安全保障體系,確保各類信息數據安全有效。
2 目前公共衛生行業計算機網絡安全存在的問題
2.1 數據信息安全威脅
信息數據面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2.2 安全管理缺失
公共衛生行業在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
3 分析問題產生的主要原因
3.1 經費投入不足導致的安全防范技術薄弱
許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
3.2 專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因數。
3.3 信息安全培訓不足,職工安全保密意識不強
信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
4 如何促進公共衛生行業計算機網絡安全性提升
4.1 強化管理,建立行業計算機網絡安全管理制度
為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
4.1.1 成立信息安全管理機構,引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
4.1.2 制定信息安全知識培訓制度,定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
4.1.3 建立信息安全監督檢查機制,開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
4.2 開展信息安全等級保護建設
開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等保建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
4.3 加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
4.3.1 防火墻技術。防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
4.3.2 入侵檢測。入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異常現象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
4.3.3 虛擬專用網絡(VPN)技術。VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
5 結語
在信息化高速發展的今天,計算機網絡安全已經成為影響公共衛生行業健康穩定發展的重要因數,只有通過不斷完善網絡安全制度,加大網絡安全軟硬件投入、強化安全防范技術、開展信息安全等級保護建設、加快信息安全人才培養和網絡安全知識培訓等,才能保障公共衛生行業在良好的環境中有序、順利的開展工作。
參考文獻
[1] 龐德明.辦公自動化網絡的安全問題研究[J].電腦知識與技術,2009,(6).
[2] 陳棠暉.淺析疾控系統的網絡安全[J].網絡安全技術與應用,2011,(4).
企業辦公的信息系統是基于公司防火墻、服務器、訪問web、郵件、公司內部網絡、辦公pc機、數據庫、互聯網技術及相應的輔助硬件設備組成的,是一個綜合管理系統。從安全形勢來看,企業辦公的信息系統存在著嚴重的威脅。信息設備提供了便捷及資源共享,但同時在安全方面又是脆弱和復雜的,對數據安全和保密構成威脅。潛在的安全威脅主要有以下方面:信息泄露:信息被泄露或透露給某個非授權的實體;破壞信息的完整性:數據未經非授權被增刪、修改或破壞而受到損失;拒絕服務:對信息或其他資源的合法訪問被無條件地阻止;非授權訪問:某一資源被某個非授權的人,或以非授權的方式使用;竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息;業務流分析:通過對系統進行長期監聽,利用統計分析方法對某些參數進行研究,從中發現有價值的信息和規律;假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊;旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱獲得非授權的權利;授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用于其他非授權的目的,也稱作“內部攻擊”;特洛伊木馬:軟件中含有一個覺察不出的有害的程序段,當其被執行時,會破壞用戶的安全;陷阱門:在某個系統或某個部件中設置的“機關”,使得在特定的數據輸入時,允許違反安全策略;抵賴:這是一種來自用戶的攻擊,如否認自己曾經過的某條消息、偽造一份對方來信等;重放:出于非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新發送;計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序;人員不慎:一個授權的人為了某種利益,或由于粗心,將信息泄露給一個非授權的人;媒體廢棄:信息被從廢棄的磁碟或打印過的存儲介質中獲得;物理侵入:侵入者繞過物理控制而獲得對系統的訪問;竊取:重要的安全物品,如令牌或身份卡被盜;業務欺騙:某一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息等。
2企業辦公中的信息安全策略
2.1保護網絡安全
網絡安全是為保護企業內部各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:全面規劃網絡平臺的安全策略;制訂網絡安全的管理措施;使用防火墻;盡可能記錄網絡上的一切活動;注意對網絡設備的物理保護;檢驗網絡平臺系統的脆弱性;建立可靠的鑒別機制。
2.2保護應用安全
保護應用安全,主要是針對特定應用(如Web服務器、數據庫服務器、ftp服務器等)所建立的安全防護措施,這種安全防護措施獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。由于應用層對安全的要求最嚴格、最復雜,因此更傾向于在應用層而不是在網絡層采取各種安全措施。雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決企業信息系統的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
2.3保護系統安全
保護系統安全,是指從整體信息系統的角度進行安全防護,與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯,其安全策略包含下述一些措施:①在安裝的軟件中,檢查和確認未知的安全漏洞;②技術與管理相結合,使系統具有最小穿透風險性。③建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
2.4加強員工的信息安全培訓
