網絡安全技能培訓范文

時間:2024-01-16 11:45:07

導語:如何才能寫好一篇網絡安全技能培訓,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

 

一、加強頂層設計,確立信息安全教育國家戰略

 

1.《網絡空間安全國家戰略》

 

布什政府在2003年2月了《網絡空間安全國家戰略》,其中首次從國家層面提出了“提高網絡安全意識與培訓計劃”,指出,“除了信息技術系統的脆弱性外,要提高網絡的安全性至少面臨著兩個障礙:缺乏對安全問題的了解和認識;無法找到足夠多的經過培訓或通過認證的人員來建立并管理安全系統。“為此,美國要開展全國性的增強安全意識活動,加強培訓和網絡安全專業人員資格認證。

 

2.《美國網絡安全評估》報告

 

2009年5月29日美國公布了《美國網絡安全評估》報告,評估了美國政府在網絡空間的安全戰略、策略和標準,指出了存在的問題,提出行動計戈IJ。所提議的優先行動計劃之一就是“加強公眾網絡安全教育”。

 

3.《國家網絡安全綜合計劃》(CNCI)

 

2010年3月2日,奧巴馬政府對前布什政府在2007年制定的一份國家網絡安全綜合計劃的部分內容進行解密。CNCI計劃提出要實現重要目標之一就是:“為了有效地保證持續的技術優勢和未來的網絡安全,必須制定一個技術熟練和精通網絡的勞動力和未來員工的有效渠道。擴大網絡教育,以加強未來的網絡安全環境。”

 

4.《國家網絡空間安全教育戰略計劃》

 

2011年8月11日,NIST授權《美國網絡

 

安全教育倡議戰略規劃:構建數字美國》草案,征求公眾意見。該規劃是美國網絡安全教育倡議(NICE)的首個戰略規劃,闡明了NICE的任務、遠景和目標。NICE旨在通過創新的網絡行為教育、培訓和加強相關意識,促進美國的經濟繁榮和保障國家安全,并通過以下三個目標實現這一愿景:增強公眾有關網上活動風險的意識;擴展能支持國家網絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網絡安全隊伍。

 

二、做好立法工作,完善法規標隹體系

 

1.《聯邦信息安全管理法案》(FISMA)

 

2002年7月,美國政府制定了《聯邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經認識到信息安全對美國經濟和國家安全利益的重要性,并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環節。

 

FISMA法案明確要求:聯邦政府機構須為內外部相關人員提供信息安全風險的安全意識培訓,為此還提議了一個較為完善的國家安全意識及其培訓系統。

 

2.國防部(DoD)8570指令

 

2005年12月,為了更好地支持“全球信息網格計戈j”,美國國防部了8570指令。該指令涵蓋以下主要內容:建立技術基準,管理職員的信息保障技能;實現正規的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中,持續的增加信息保障內容。

 

3.聯邦政府信息技術安全培訓標準(FIPS)

 

FISMA法案明確指定NIST負責制定聯邦政府(除國防、情報部門以外)所使用的信息安全技術、產品和培訓方面的國家標準。目前,NIST已制定和兩部權威的信息安全培訓標準:《信息技術安全培訓要求:基于角色和表現的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架,依據這些框架,美國聯邦政府部門開展了很多綜合性的聯邦計算臟務(FSC)項目。

 

4.網絡安全法案

 

2010年3月24日,美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網絡安全、幫助美國政府機構和企業有效應對網絡威脅的《網絡安全法案》。該法案要求政府機構和私營部門加強在網絡安全領域方面的信息共享,強調通過市場手段,鼓勵培養網絡安全人才,開發網絡安全產品和服務。

 

三、構建信息網絡安全組織機構,健全安全教育培訓管理體制

 

為了落實信息安全教育培訓相關政策和法律法規,美國將協調、執行、監督、管理等權利分配給多個政府部門,依據最新的《國家網絡安全教育戰略計劃》的思路,國家標準技術研究所(NIST)為整個計劃的負責單位,協調其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務院、教育部和國家科學基金會(NSF)協力加強公眾的信息安全意識;DHS、海關總署、NSF和國家安全局(NSA)共同加強從業人員f支術能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責建立高端網絡安全人才隊伍。

 

社會各界積極參與

 

行業協會已經站到了信息安全教育培訓的前沿,成為信息安全教育培訓的踐行者。其職責主要是協助有關部門制定信息安全教育與培訓的標準,組織持續的教育活動,并向內部成員單位實施培訓。行業協會自身作為提供教育和培訓的主體,一方面可以根據政府的引導和企業的需求來設置培訓內容;另一方面可以利用政府和產業界的資源,充分發揮其在信息安全領域內不可替代的社會職能。行業協會提供的培訓標準是政府制定的培訓標準的主要補充,為規范和完善美國信息安全培訓行業提供了切實可行的保障。

 

(1)國際信息系統審計協會(丨SACA)

 

國際信息系統審計協會(ISACA)是一個為信息管理、控制、安全和審計專業設定規范標準的全球性組織,會員遍布逾160個國家,總數超過86,000人。ISACA成立于1969年,除贊助舉辦國際會議外,還編輯出版《信息系統監控期刊》,制定國際信息系統的審計與監控標準,以及頒授國際廣泛認可的注冊信息系統審計師(CISA)專業資格認證。CISA認證體系已通過美國國家標準協會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時,美國國防部也認可了CISA認證,并將其納入到國防系統信息技術人員技能商業資格認證體系當中。這產生了以下四方面的作用:認可CISA認證所提供的特有資格和專業知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業的人才流動更加便利。

 

(2)美國系統網絡安全(SANS)研究院SANS是于1989年創立的美國非政府組織(NGO),是一所具有代表性的從事網絡安全研究教育的專業機構。1999年SANS首次推出了安全技術認證程序(GIAC)。

 

GIAC認證程序有以下幾個特點:

 

GIAC提供超過20種的信息安全認證,其大多數符合DOD8570指令。GIAC依據國家標準對安全專業人員及開發人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎知識,保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括:認證防火墻分析師(確認設計、配置和監控路由器、防火墻和其它邊界設備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監控入侵檢測系統的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調查的能力。

 

(3)國際信息系統安全認證聯盟(ISC)2

 

國際信息系統安全核準聯盟(ISC)2成立于1989年,是一家致力于為全球信息系統安全從業人員提供信息安全專業技能培訓和認證的國際領先非營利組織。在(ISC)2各種認證中,CISSP數量最多。截至2010年底,全球共有75000名CISSP獲證人員,其中,美國獲證人員數量超過70%^CISSP獲證人員中,約30%在政府部門工作,40%從事信息安全月服務行業,30%從事用戶終端工作。

 

注冊信息系統安全專業人員通用知識體(CISSPCBK)提供了通用的信息安全術語和原理框架,使得全世界的信息安全專業人員能夠以相同的術語和理念,討論、辯論和解決信息安全相關問題。

篇2

信息人才教育培養途徑

1.學歷教育

加強學科專業建設是加強信息安全人才培養的一個重要途徑。自2001年教育部批準信息安全專業以來,我國已有100多所高校設置了信息安全類相關本科專業。2015年,國務院學位委員會、教育部聯合發文《關于增設網絡空間安全一級學科的通知》,旨在全面提升網絡空間安全學科建設水平,為網絡空間安全學科的發展帶來機遇。事實上,網絡空間安全學科在我國經過10多年的發展,理論和技術已經較為成熟,主要體現在以下幾個方面:一是網絡空間安全學科具有明確的研究對象,并形成相對獨立的理論體系和研究方法。研究對象是網絡空間及其安全問題。二是網絡空間安全已經形成了若干相互關聯的二級學科研究方向,密碼學及應用、系統安全、網絡安全是本學科多年來公認的三個比較成熟的研究領域,另外,還包括網絡空間安全基礎理論和應用系統安全。三是網絡空間安全的研究已得到國內外學術界的普遍認同,并已經積累了多年的研究或信息安全相關專業人才培養的經驗和基礎。高校的信息安全和網絡空間安全專業學歷教育畢業生是網絡信息安全人才培養的重要渠道之一。

2.安全競賽

信息網絡安全具有很強的實踐性,高校培養的信息安全人才和企業的實際需求還存在一定的差距,為了解企業對于信息安全人才的需求,高校師生參加網絡安全技能競賽,通過競賽查不足、補短板,激發學生的學習熱情,增強學習的針對性。高校可與網絡安全相關度高、需求迫切的企業建立長期對口合作關系,根據企業實際需求培養學生實踐能力。

3.單位內訓

高校畢業生畢業進入企事業單位后,需要快速融入企業,掌握本崗位所需各種技能,很多單位針對信息安全從業人員組織單位內訓。目前,很多單位采用在線授課和面授方式組織單位內部的信息安全培訓。通過短期面授的方式組織信息安全培訓,快速提升企業員工的崗位技能。企業內部的在線教育平臺提供信息網絡安全實踐環境,這些在線教育的平臺除了可以提供面向信息安全相關專業的相關課程實驗之外,還緊跟國內外最新的安全技術發展與典型的安全熱點事件,通過適當的簡化與還原,為單位內訓提供一系列與時俱進的創新型實踐環境。

4.持續教育

信息安全持續教育是提高信息安全從業人員整體水平,解決信息安全專業人才缺口的重要方法和途徑。國內與信息安全行業相關的培訓機構也逐年增多,通過培訓機構的持續教育提高信息安全專業畢業生的總體水平。國內現有的信息安全認證培訓已經建立了多層次、綜合性與專業性相結合的體系,從數量到質量都得到長足發展,為國家信息安全的人才培養打下良好基礎。通過開展面向信息安全認證從業人員的專業持續教育培訓工作,提高了信息安全認證相關人員的執業水平,加快了我國信息安全專業技術人才隊伍的培養,保障了信息安全認證人員隊伍的質量和數量。

信息安全人才教育培養所需條件

信息安全人才教育培養需要體系化教材、專業化師資和系統化實踐環境。

1.體系化教材

體系化優秀教材是網絡空間安全專業人才的關鍵,但是,這卻是一項十分艱巨的任務。原因有二:其一,網絡空間安全的涉及面非常廣,至少包括密碼學、數學、計算機、操作系統、通信工程、信息工程、數據庫等多門學科,因此,其知識體系龐雜、難以梳理;其二,網絡空間安全的實踐性很強,技術發展更新非常快,對環境和師資要求也很高。教材是教學的基礎。優秀體系化教材建設需要制定科學合理的網絡安全教材編寫方案,邀請高水平學者加入教材編委會,明確分工、層層把關,做好教材的編纂、評審和發行工作。此外,還可以開發視頻教學資源,推動傳統書本教材向多媒體互動式教材轉化提升,可加強入門性、普及性培訓教材和相關科普讀物的編寫。

2.專業化師資

信息網絡安全人才培養離不開專業化師資隊伍。新設立的網絡安全學院需要大量的學術水平高的教師,以提高我國網絡空間安全教育的整體水平。針對一些高校網絡安全方面教師缺乏的情況,可以采取多種形式對高等院校網絡安全專業教師開展在職培訓。鼓勵與國外大學、企業、科研機構在網絡安全人才培養方面開展合作,不斷提高在全球配置網絡安全人才資源能力。支持高等院校大力引進國外網絡安全領域高端人才,重點支持網絡安全學科青年骨干教師出國培訓進修。積極創造條件,聘請經驗豐富的網絡安全技術和管理專家、民間特殊人才擔任兼職教師。鼓勵高等院校有計劃地組織網絡安全專業教師到網信企業、科研機構和國家機關進行科研合作或掛職。鼓勵和支持符合條件的高等院校承擔國家網絡安全科研項目,吸引政治素質好、業務能力強的網絡安全教師參與國家重大科研項目和工程。

3.系統化實踐

網絡空間安全是一門綜合性學科,不僅具有很強的理論性,同時也具有很強的實踐性,許多安全技術與手段需要在最新的仿真實踐環境中去認識和體會。提高學生維護網絡安全的實際能力,需要結合課程設計逼真的網絡攻防環境,搭建基于網絡對抗的仿真模擬演練平臺,進行系統化實踐才能為社會提供具有豐富的理論知識和良好的實踐技能的應用型人才。

篇3

1網絡素養教育的內涵

網絡素養教育,是指針對網民提供技能培養的教育活動。“網絡素養”主要是指網絡信息搜集、分析、利用和加工能力,以及網絡自我保護和信息安全能力等[2]。“網絡素養”是從“媒體素養”概念延伸出來的,所謂“媒體素養”,也叫做“媒介素養”,主要是指用戶在瀏覽互聯網、電視、書報雜志信息時的辨別判斷能力,以及利用新聞媒體信息指導自身理性消費的能力。“媒體素養教育”,一般是指強化媒體素養而進行的有針對性的培訓活動。值得一提的是,“媒體素養教育”和“網絡素養教育”作為一種新的概念,既與傳統新聞教育有本質的區別,又與計算機技術教育有著密切的關聯性,可以說,它是二者相互融合形成的一個新事物。新加坡官方給出了“媒體素養”的標準定義。新加坡媒體發展管理局是本國最高新聞媒體管理的政府機構,其對“媒體素養”的定義如下:“媒體素養”是指用戶正確利用和接受媒體信息的能力;如果讀者具有較高的媒體素養,他就能夠從繁雜的媒體信息中篩選出有用的、有價值的信息,不管他是想達到什么樣的目的,都能夠保證其不被媒體信息誤導[3]。換言之,如果用戶的網絡素養很低,不能正確判斷新聞媒體信息的真偽,就十分有可能被各種不實信息誤導和傷害。例如,現實生活中一些網絡素養相對較低的青少年,很容易被網上各種不健康的信息如、圖片、網游等所深深吸引,無法自拔,荒廢學業和事業,給個人成長造成巨大的負面影響。隨著互聯網的不斷普及和推廣,新加坡開始高度關注網民綜合素質,逐漸將注意力從“媒體素養教育”轉移到“網絡素養教育”方面上來。“網絡素養”英文名稱有幾種說法,例如“Cyberliteracy”、“Internetliteracy”、“Networkliteracy”等。從當前新加坡開展網絡素養教育的情況來看,其比較關注“網絡健康”(Cyberwellness)和“網絡安全”(Cybersafety)方面的內容,注重提高網民健康、安全使用網絡的綜合技能。其中,“網絡健康”(Cyberwellness)是新加坡政府最重視的教育問題之一。例如,新加坡就如何維護網絡安全和健康專門成立了一個咨詢委員會(AdvisoryCouncilontheImpactofNewMediaonSociety),該委員會主要負責研究社會新媒體發展動態,并提出應對措施和建議。2008年,該委員會向新加坡政府提交了一份調研報告,對“Cyberwellness”進行了深入闡述,這是新加坡獨創的一個名詞,是指能夠為網民帶來積極正面效果的健康網絡氛圍。它包含判斷網絡有害信息的能力、自我防護網絡虛假信息侵蝕的能力、維護網絡健康的意識,以及利用網絡信息促進個人健康發展的能力[4]。新加坡提出的“Cyberwellness”拓展了“網絡健康”的定義范圍,它不僅包含網絡健康方面的內容,還涉及網絡安全內容。新加坡提出的“Cyberwellness”是網絡素養教育中的一個專業名詞,對網絡健康和安全提出了相應要求和標準。

2新加坡國家圖書館是網絡素養教育的先行者

在開展網絡素養教育方面,國家圖書館充當了主力軍的角色,發揮了十分重要的引領作用。新加坡國家圖書館在網絡素養教育方面主要有以下幾方面貢獻。

2.1在全國率先開展網絡素養教育,推出全新的國民素質教育模式

20世紀90年代末期,新加坡就開始制定和實施網絡素養教育計劃。1999年,新加坡國家圖書館成立了教育培訓公司“TheOneLearningPlace”(簡稱NOLP),NOLP的主要宗旨是提高國民信息素質,充分發揮網絡的積極促進作用。NOLP推出的教育項目大多通過委托專業教育機構來完成。在幾年之內該機構就發展了數百名志愿者,這些志愿者從事不同的職業,包括企業人士、教師、公務員和退休專家等。志愿者們利用自己的專業知識和網絡技能,為青少年提供網絡教育和指導,教會他們學會如何甄別網絡信息,鼓勵他們與負面信息進行斗爭,凈化網絡空間環境[5]。NOLP在開展網絡素養教育方面進行了大膽創新,推出了各種具有可操作性的項目,例如老年人網絡素養拓展項目(OutreachProgrammes);1999年,發起成立了PAGi網站,主要為父母與子女交流提供溝通平臺;2000年,組織編寫了網絡安全教材,并在此基礎上推出了一項名為“安全之旅”的網絡培訓項目,主要為父母提供網絡知識培訓;同年,還針對社區網絡教育,制定了一系列信息安全主題教育活動,為社區居民提供網絡安全學習指導。

2.2與其他圖書館密切合作,在全國范圍內普及和推廣網絡素養教育

除了開展上述活動以外,NOLP還同其他圖書館、社會團體組織和專業機構開展教育合作,通過舉辦各種豐富的網絡培訓活動和培訓班,為社會公眾提供靈活的網絡素養教育機會。目前,NOLP與多家著名社會團體組織建立了戰略合作關系,比如印度華人自強獨立團體(theSingaporeIndianDevelopmentAssociation)、馬來西亞華人學習共進團體(MENDAKI)、新加坡平民發展團體(thePeople'sAssociation)、新加坡社會公共福利保障團體(TouchYouthServices)、社會綜合救援組織(ParentsAdvisoryGroupfortheInternet)等等[6]。NOLP通過與其他圖書館、社會團體和公益組織開展多層次合作,為公眾提供了豐富多樣的網絡素養培訓,實現了提高國民網絡素質的目的。

2.3重視與國外教育機構的合作,通過交流和學習引進國外最新教育方法和手段,不斷提高本國網絡素養教育水平

可以說,新加坡最初開展網絡素養教育就是受到國外公益組織的影響和幫助,通過開展戰略合作,有效提高了本國網絡素養教育水平。例如,新加坡國家圖書館與美國著名的網絡素養教育機構“網絡天使”(CyberAngels)開展合作,共同建立了“網絡媽媽和爸爸”(CyberMums&Dads)管理組織,通過利用網絡教育平臺為青少年提供信息安全教育。又比如,國家圖書館與美國“在線因特網研究會”(TheOnlineInternetInstitute)合作,為新加坡公民提供網絡安全技能培訓。此外,NOLP還是“互聯網內容評估協會”(theInternetContentRatingAssociation)成員,通過積極參加國際學術交流活動,獲取了大量寶貴的知識和經驗,顯著提高了組織工作效率。2001年,NOLP與本國“國家因特網咨詢委員會”(TheNationalInternetAdvisoryCommittee)簽訂了戰略合作協議,共同舉辦了第一屆網絡安全國際研討會,會議主題是“安全沖浪2011”(SafeSurfing2001),與會成員來自全球一百多個國家[7]。“安全沖浪2011”國際研討會的成功舉辦,大大提高了新加坡在網絡素養教育方面的國際水平,也意味著新加坡網絡素養教育開始走向政府主導模式。同時,新加坡國家圖書館在網絡素養教育方面也完成了角色轉變,從開拓者向推進者、主導者過渡和發展。

3新加坡國家圖書館是政府推進網絡素養教育的戰略伙伴

通過回顧新加坡網絡素養教育的發展過程,我們可以認為新加坡國家圖書館是政府開展網絡素養教育的戰略合作伙伴,二者緊密協作,共同致力于網絡素養教育,取得了十分突出的成就。國家圖書館與新加坡政府戰略伙伴關系,可以從前者所開展的各項網絡素養教育活動中體現出來,政府幾乎每次都充當了活動背后的支持者,為活動提供人、財、物等資源保障。換言之,高效、廉潔的新加坡政府,在促進和支持網絡素養教育方面做出了十分突出的貢獻,這也是國家圖書館之所以能夠在這方面取得重要成就的原因之一。新加坡國家圖書館管理局學院(TheNLBAcademy)是負責網絡素養教育具體工作的主要部門,網絡素養教育水平在新加坡也是首屈一指。這些年來,在該學院的努力推進下,新加坡網絡素養教育水平快速提升。1992年,NLB正式宣告成立,該部門主要致力于社會公益事業,主要服務對象是社會老弱病殘和弱勢群體,例如青少年、老年人和低收入家庭等。1998年,NLB被新加坡政府授予“公共服務獎章”,這是新加坡國內最高的勛銜。2001年,NLB新成立了一個網絡素養教育服務中心,并針對全國青少年推出了一項名為“接觸網絡健康”(TouchCyberWellness)的計劃,主要是通過各種宣傳手段提高青少年網絡信息辨別能力。該部門如今已是新加坡網絡素養教育的重要推動機構之一。自成立以來,NLB已在全國開展了不同規模的網絡素養教育活動,為各類社會人群提供了80萬人次的培訓教育服務,有效增強了國民網絡素質。NLB之所以能夠取得巨大的成果,主要是因為有政府作為強大的后盾。換言之,NLB開展的許多網絡素養教育活動都離不開政府部門的支持和幫助。通過瀏覽NLB網站,我們可以找到許多其與新加坡政府合作的項目資料,比較有代表性的有:2001年,NLB推出了一個名叫“CRUSH”的計劃,該計劃主要為提升中小學生網頁使用技巧,該項目得到了新加坡政府的大力支持,包括提供人力和財力保障。2004年,NLB與新加坡新聞管理局攜手合作,組織編寫了一套網絡素質教育教材,為其他培訓教育機構提供了教材保障和指導。2005年,NLB經新加坡新聞管理局授權,為政府公務員人員提供網絡技能培訓,覆蓋全國80%的公務人員。2006年,NLB與新加坡青年協會合作,針對父母和廣大教師編寫了一套網絡在線應用培訓教材(TheOfflineGuidefortheOnlineGeneration)。2008年,NLB在新加坡社會發展改革局的支持下,組織編寫和出版了一套《父母網絡健全手冊》(CyberWellnessHandbookforParents),該套叢書被新加坡中小學校作為素質拓展教材,納入到全日制教學范圍當中。2011年,新加坡新聞發展管理局和NLB組織發起了“網絡健全運動”(CyberWellnessCampaign),覆蓋了20%的新加坡公民,大大提高了國民網絡綜合素質[8]。由于NLB在社會公益活動方面做出了十分突出的成就,2011年其被新加坡政府授予“2011年新加坡青年獎”(TheSingaproeYouthAward2011),該獎項是新加坡社會公益領域的最高榮譽。除此之外,新加坡其他圖書館在開展和從事網絡素養教育公益活動時,也得到了政府部門的慷慨支持和資助。國家圖書館作為新加坡政府戰略合作伙伴,利用政府強大的資源保障,將網絡素養教育推向了一個全新的發展階段。

4新加坡國家圖書館是網絡素養教育的“無冕導師”

一直以來,新加坡國家圖書館秉承堅持為民眾服務的公益精神,勇于承擔起國民網絡素養教育的重任,當之無愧地成為該領域的“無冕導師”,為提升國民網絡素養做出了突出貢獻。新加坡國家圖書館的“無冕導師”稱號,主要可以從以下兩個方面體現:一是“師資培訓”,國家圖書館為學校、社會培訓機構教員提供了豐富的網絡素養培訓活動,大大提高了學校和社會教育機構的網絡素養教育水平;二是組織編寫了多個專業網絡素養教育教材,通過向社會免費提供,大大提高了網絡素養教育普及范圍。新加坡國家圖書館還在網絡上開展了多個網絡素養教育師資培訓活動。例如,2003~2005年期間,NLB在南洋理工大學舉辦了多次網絡素養教育培訓,為全國2000名教師提供了培訓服務,幫助教師們學會從青少年角度來預防和化解網絡使用危機。2005年,NLB受新加坡政府委托,對國內5家比較有代表性的社會培訓機構進行了深度教育培訓,大大增強了這些機構在青少年網絡安全教育方面的教育實力。截止到2006年6月底,NLB共為兩百多名社會教育者提供了網絡素養教育培訓,大大提高了他們的專業教育水平[9]。除此之外,NLB還對社會志愿者開展了大量培訓活動,2001~2005年期間,NLB共為600多名青年志愿者提供了相關培訓,這些志愿者學成之后又向其他學生提供專業幫助和咨詢,為促進廣大青少年學生形成健康的網絡使用習慣做出了突出貢獻[10]。培訓師資之外,國家圖書館還負責培訓教材的編寫和優化工作。NLB建立了網絡素養教育在線教育網站,為網民免費提供各種教學資源下載,例如:(1)教學教材,包括《父母網絡安全知識教材》、《新加坡網絡信息安全教育手冊》、《互聯網時代技術應用與規范》等;(2)教育項目,例如學校教育項目、社會實踐項目、青少年強化培訓項目、殘障人士提升項目等,每個項目都給出了相應的教學大綱和計劃;(3)網站還免費提供一些互動學習活動,供學習者借鑒和學習[11]。上述網絡素養教育資料和資源,有部分被新加坡政府確定為中小學全日制教材或者輔助資料。從中可見,新加坡國家圖書館在網絡素養教育方面具有較高的地位,是當之無愧的“無冕導師”。雖然沒有學校教育資格,但是其卻承擔了許多學校的工作職責和義務。

5結束語

篇4

行政機關的計算機網絡系統通常是跨區域的Intranet網絡,提供信息管理、資源共享、業務窗口等應用服務的平臺,網絡內部建立數據庫,為各部門的業務應用提供資源、管理,實現數據的采集、信息、流程審批以及網絡視頻會議等應用,極大提高了日常工作效率,成為行政機關辦公的重要工具,因此要求計算機網絡具有很高的可操作性、安全性和保密性。

1、開放式網絡互連及計算機網絡存在的不安全要素

由于計算機網絡中存在著眾多的體系結構,體系結構的差異性,使得網絡產品出現了嚴重的兼容性問題,國際標準化組織ISO制定了開放系統互聯(OSI)模型,把網絡通信分為7個層次,使得不同結構的網絡體系在相應的層次上得到互聯。下面就根據網絡系統結構,對網絡的不安全因素分層次討論并構造網絡安全策略。

(1)物理層的安全要素:這一層的安全要素包括通信線路、網絡設備、網絡環境設施的安全性等。包括網絡傳輸線路、設備之間的聯接是否尊從物理層協議標準,通信線路是否可靠,硬件和軟件設施是否有抗干擾的能力,網絡設備的運行環境(溫度、濕度、空氣清潔度等),電源的安全性(ups備用電源)等。

(2)網絡層的安全要素:該層安全要素表現在網絡傳輸的安全性。包括網絡層的數據傳輸的保密性和完整性、資源訪問控制機制、身份認證功能、層訪問的安全性、路由系統的安全性、域名解析系統的安全性以及入侵檢測應用的安全性和硬件設備防病毒能力等。

(3)系統層的安全要素:系統層是建立在硬件之上軟環境,它的安全要素主要是體現在網絡中各服務器、用戶端操作系統的安全性,取決于操作系統自身的漏洞和不足以及用戶身份認證,訪問控制機制的安全性、操作系統的安全配置和來自于系統層的病毒攻擊防范手段。

(4)應用層的安全要素:應用層的安全要素主要考慮網絡數據庫和信息應用軟件的安全性,包括網絡信息應用平臺、網絡信息系統、電子郵件系統、web服務器,以及來自于病毒軟件的威脅。

(5)管理層的安全要素:網絡安全管理包括網絡設備的技術和安全管理、機構人員的安全組織培訓、安全管理規范和制度等。

2、網絡安全策略模型及多維的網絡安全體系

行政機關的網絡安全需要建立一個多維的安全策略模型,要從技術、管理和人員三位一體全方位綜合考慮。

技術:是指當今現有使用的設備設施產品、服務支持和工具手段,是網絡信息安全實現的基礎。

管理:是組織、策略和流程。行政機關信息網絡的安全建設關鍵取決于組織人員的判斷、決策和執行力,是安全成敗的必要措施。

人員:是信息網絡安全建設的決定性因素,不論是安全技術還是安全管理,人員是最終的操作者。人員的知識結構、業務水平是安全行為執行的關鍵。

基于網絡信息安全是一個不斷發現問題進而響應改進的循環系統,我們構造網絡安全策略模型為:防護--檢測--響應--恢復--改善--防護。

運用這個安全體系我們解決網絡中的不安全要素,即在物理安全、網絡安全、系統安全、應用安全和管理安全等多個層次利用技術、組織和人員策略對設備信息進行防護、檢測、響應、恢復和改善。

(1)物理安全:采用環境隔離門禁系統、消防系統、溫濕度控制系統、物理設備保護裝置(防雷設備)等,設置監控中心、感應探測裝置,設置自動響應裝置,事故發生時,一方面防護裝置自動響應,另一方面人員發現處理,修復或更換設備的軟、硬件,必要時授權更新設備或設施。

(2)網絡安全:采用防火墻、服務器、訪問控制列表、掃描器、防病毒軟件等進行安全保護,采用網絡三層交換機通過劃分VLAN,把網絡中不同的服務需求劃分成網段,采用入侵檢測系統(IDS)對掃描、檢測節點所在網段的主機及子網掃描,根據制定的安全策略分析并做出響應,通過修改策略的方式不斷完善網絡的安全。

(3)系統安全:采用性能穩定的多用戶網絡操作系統Linux作為服務器的基礎環境,使用身份認證、權限控制進行保護,用登陸控制、審計日志、文件簽名等方式檢測系統的安全性,進行接入控制審計響應,通過對系統升級、打補丁方式恢復系統的安全性,可以通過更新權限來改善用戶對系統操作的安全性。

(4)應用安全:采用身份認證、權限控制、組件訪問權限和加密的辦法進行保護,用文件、程序的散列簽名、應用程序日志等方式檢測應用程序的安全性,通過事件響應通知用戶,采用備份數據的辦法恢復數據,通過更新權限完善應用系統的安全性。

(5)管理安全:通過建立安全管理規章制度、標準、安全組織和人力資源,對違規作業進行統計,制定緊急響應預案,進行安全流程的變更和組織調整,加強人員技能培訓,修訂安全制度。

3、行政機關人員安全的重要性

行政機關網絡信息的安全,人員占據重要的地位,網絡安全的各要素中都涉及人員的參與,因此對人員的安全管理是行政機關網絡信息安全的重點。

首先組織領導要高度重視網絡信息的安全性,建立周密的安全制度(包括網絡機房安全制度、計算機操作員技術規范等),提高從業人員的素質和業務水平,防范人為因素造成的損失。

其次是組織員工進行信息安全培訓教育,提高安全意識。對專業技術人員做深入的安全管理和安全技術培訓。

再次是網絡技術人員要定期對設備巡檢維護,及時修改和更新與實際相應的安全策略(防火墻、入侵檢測系統、防病毒軟件等)。

最后是安全管理人員定期檢查員工的網絡信息方面的安全問題。

篇5

1.1信息化管理意識淡薄。科技的飛速發展,帶來的是計算機、網絡技術的普及。現如今,網絡技術已經被廣泛應用到檔案管理領域,這幾乎從根本上改變了傳統的檔案管理方法和手段,過去單一的紙質檔案管理模式,逐步地演變成紙質檔案管理和電子檔案管理齊頭并進的管理模式,其中網絡化管理方向發展明顯,但是檔案管理者的工作意識及思想觀念依舊很落后,認為現代信息設備只是傳統管理方式的小補充,傳統的管理模式依然存在。很多的檔案工作者信息化意識淡薄或者認識較淺,并沒有認識到電子文件已經成為我國重要的戰略信息資源,甚至意識不到網絡環境下檔案信息網絡安全的重要性和迫切性。若在具體的工作中遇到網絡信息安全風險時,大多數的檔案管理者表現出的是無所適從,對于網絡信息安全風險的預防、發現和應對沒有一點兒經驗可談,檔案管理工作者整體缺乏必要的信息化管理意識。

1.2信息化管理專業基礎知識較薄弱。信息技術的日新月異,在客觀上要求檔案管理工作者要及時地更新自己的技能方法,以免被淘汰。現在的檔案管理工作者本身只是一群具備基本檔案管理知識的人群,他們不能等同于信息技術專業人員,而且自身缺乏必要的信息安全意識,大部分的檔案管理者幾乎意識不到自己在信息安全技能上存在的問題。現實的環境中強制性的專業水平提升制度極度缺乏,定期的培訓機制嚴重匱乏,檔案管理者的信息安全能力和實際的工作要求處于脫節狀態。整個檔案信息管理隊伍呈現出年輕的檔案管理者缺乏檔案管理知識、老的檔案管理者雖掌握了檔案管理知識卻對信息技術能力毫無培養的狀態,甚至很多具備檔案管理知識和信息安全能力的年輕檔案管理者,會因待遇、職稱、工作前景等問題改行,使得整體信息技術水平偏低的檔案部門更加缺乏掌握信息技術的人才。

1.3信息化管理制度不夠健全。當下,我國對檔案管理工作者的準入制度(檔案管理工作者從業資格制度等)并未展開全面的實施,對新進檔案管理工作者的計算機能力、信息安全素質等方面的基本素質如何,幾乎一無所知,各級檔案部門選拔培養檔案干部時缺乏明顯的專業指向性,只是依靠主管機關、主管領導對調入人員各項素質要求的掌握。那些從事檔案管理工作時間較長的老同志,他們的現代信息技術能力嚴重缺乏,其信息安全素質低下。同時,有關信息安全技能方面的考核內容,在檔案工作者技術職級晉升的各項考試中體現并不明顯,部分人事管理部門缺乏提高和激發檔案工作者自身信息安全素質的主動性和激勵機制。

2提高檔案工作者信息安全素質的對策

2.1加強對檔案管理工作者敏銳感和責任感的培養。在現今網絡技術環境下,傳統的紙質檔案已經逐步地被各種新領域、新門類、新載體檔案部分掩蓋,檔案管理工作者原本的素質已經不能滿足當下工作的實際需要。在實際的檔案管理工作中,工作人員要認識到檔案事業向前發展的不可逆轉性和必要性,作為從事基礎性檔案管理工作的人員需要認識到這一點,學會將工作的著力點延伸到未來,堅持“以服務促管理,以管理完善服務”的原則。

2.2加強檔案管理專業技能培訓的力度。從根本上加強對全體檔案管理工作者信息安全素質教育的培訓力度,可以從檔案管理知識和信息安全技術能力兩個方面著手培訓,即分別根據檔案管理知識和信息安全技術能力的不同進行相關的專業技能培訓。與此同時,還要按照檔案管理工作者在工作崗位、工作職責、承擔任務上的差異展開具體的培訓事宜,培訓的差異主要體現在培訓時間、培訓內容和考核方式與內容上面。檔案管理工作者對信息安全技術的掌握并不是最終目的,是要以這些為工作手段,最終提高我國整體的信息檔案管理質量。

2.3進一步完善檔案信息管理制度。現在,我國的檔案信息管理制度處于基礎階段,頒布的涉及信息安全的標準和規定中,幾乎沒有直接和檔案管理工作者信息安全素質要求相關的內容,現實工作中遇到的實際問題得不到針對性和規范性的解決,因此我國檔案管理工作者信息安全素質現狀無法從根本上得到改變。現在根據我國檔案信息管理制度的現狀,完善和健全檔案信息安全的標準和規定,以及完善檔案管理工作者的準入制度是很有必要的,同時還要根據我國檔案管理工作的實際情況,為檔案管理隊伍選拔一批具有較高綜合信息素質水平的人員。在檔案工作者專業技術職務調整的政策規定中,納入信息素質考核的內容,各級職稱考試當中必須要包括信息安全素質方面的內容,這樣對檔案管理工作者學習檔案信息管理內容的積極性和主動性,會起到一個很好的引導和監督。

2.4對檔案工作者開展信息技能培訓。傳統平面媒體一統天下的局面已經成為過去時,網絡媒體正在以它自身特有的優勢占領著越來越多的傳播市場,因此檔案管理者需要掌握必要的軟件操作和維護技能,加快辦公效率,加強網絡知識的學習和培訓,使自身捕捉社會信息的能力得到提升。同時,為了提升檔案工作者借助現代傳播媒介進行有效檔案信息傳播的能力,有必要開展相關知識(檔案管理信息系統、電子文件的發展和計算機病毒等知識)的培訓,信息技能培訓的開展,有利于檔案工作者以安全和保密為前提,運用現代技術開展更有效的檔案信息傳播工作。

篇6

關鍵詞:信息安全 高校教師 素養

中圖分類號:G64 文獻標識碼:A 文章編號:1007-3973(2010)012-161-02

隨著計算機網絡信息技術的快速發展,高校網絡平臺上建立的OA系統、郵件系統、精品課程網站等應用日益廣泛,促進了教育教學的創新發展,使現代教育觀念發生了轉變,更有利于培養學生的自主學習能力、啟發創新思維。計算機信息技術發展到今日,高校內面臨的重要問題是怎樣安全發揮技術教育化的效力,更好的為教學服務。但伴隨而來的網絡信息安全威脅也日漸嚴峻,信息系統安全,是指為信息處理系統建立所采取的技術和管理的安全保護措施,以保護計算機系統中、軟件及數據,防止其因偶然或惡意的原因而使系統或信息遭到破壞、更改或泄露。高校網絡中的試卷、題庫、答案、科研項目成果、學生學籍等信息在都需要被良好地保護。一旦損壞,高校教師受到影響最大,責任重大,高校網絡管理部門加強信息安全防范的同時,高校教師有必要提升網絡信息安全的意識和技能,提升網絡安全素養。

1 高校網絡信息安全威脅分析

高校網絡系統中有實驗設備,教學毆各,辦公設備,學生終端等各種資產,受到的威脅有自然環境的,也有人為因素。高校網絡是以TCP/IP協議為架構的局域網,TCP/IP系統由四層構成:數據鏈路層、網絡層、傳輸層和應用層。每一層都可能受到威脅,操作系統是計算機系統應用軟件的運行平臺,是硬件設備的管家婆,安全威脅與操作系統密切相關,還有網絡管理模式與安全威脅大有關聯。下面從實體安全、網絡通信安全、應用層安全、操作系統安全及網絡管理安全進行分類描述。

1.1 實體安全威脅

網絡實體可能受到的威脅有:環境安全威脅、設備安全威脅、存儲介質安全威脅。主要表現為:

(1)地震、水災、火災等不可抗拒災害造成整個系統癱瘓。

(2)電力故障造成設備因斷電而發生數據庫信息丟失事故。

(3)被無線監聽、設備被盜、被人為毀壞造成數據丟失或信息泄漏。

1.2 網絡通信安全威脅

網絡通信可能受到的威脅有:局域網內部嗅探掃描、ARP病毒攻擊、IP地址盜用、IP地址沖突、端口掃描威脅、偽造TCP包等。主要表現為:

(1)LAN中,黑客通過嗅探工具可以竊取通信信息。偽造ARP數據包,造成局域網癱瘓。

(2)IP地址是客戶端在網絡中的唯一標識,它是一個公共數據,可以在操作系統客戶端直接修改數值,偽裝成可信節點的IP地址,進行攻擊。

(3)TCP/IP數據報文在網絡中傳輸不需要進行身份驗證,而且任何情況可以返回應答數據。黑客可以利用服務漏洞找到攻擊入口。

1.3 應用層安全威脅

應用層可能受到的威脅有:Web網頁漏洞、E-mail服務漏洞、FTP漏洞、數據庫安全隱患、盜版軟件的泛濫、即時通訊工具如QQ、MSN、Skype等。主要表現有:

(1)非法篡改頁面數據,感染頁面病毒干擾其正常運行。

(2)E-mail辦公已經成為高校一種方便、快捷的手段,利用郵件服務漏洞控制郵件發送會使用戶陷入極大的危機。

(3)數據庫中保存大量重要信息,如果口令被破解,將引起信息泄密。

(4)即時通訊工具往往成為流行病毒的載體,它們一旦感染就會迅速獲得好友信息名單,進行擴散傳播或自動彈出惡意窗口占用系統資源。

1.4 操作系統安全威脅

操作系統由于設計的缺陷和代碼開發的超大規模,即使擁有用戶標識、身份認證、審計跟蹤等安全功能,還是非常容易被攻擊。主要表現有:

(1)系統配置不當會產生安全漏洞。如登錄口令強度不夠或者沒有設置密碼。重要文件的權限限制較低,系統重要資源長期暴露在網絡上,會給有意入侵者提供方便。

(2)操作系統對外提供的一些網絡相關服務,也會為入侵者提供機會獲取系統訪問權限,相當于遠程操作主機,從而威脅用戶信息安全。

1.省略scc.省略/)、國家計算機病毒應急處理中心(省略.cn/)。

(3)高校教師應意識到殺毒軟件、防火墻、身份認證等都不是絕對安全可靠的,高校網絡信息安全系統不可能永遠安全對任何攻擊都免疫。始終保持頭腦清醒,關注計算機的異常情況,及時維護計算機的性能。才能有效地應對各種網絡安全攻擊。

(4)高校教師意識到網絡信息安全重要性的同時,要不斷提高自己網絡信息安全技術水平。對高校教師進行網絡安全技能培訓,包括防火墻技術、身份認證技術、入侵檢測技術、防病毒技術等。

(5)計算機網絡作為高校教師教育教學重要工具,高校教師應培養良好的使用計算機網絡的習慣。

1)數據安全備份,對重要的數據信息定期進行外存備份,最大限度減小硬盤損壞帶來的損失。

2)加強防范,對病毒庫要及時更新,定期進行病毒的全盤查殺。

3)使用正版軟件,不要打開不明程序。很多黑客把病毒程序寫入用戶常用的軟件中,所以一定要使用標準行業軟件。

4)網頁和郵箱。對網頁風險進行監控,發送郵件盡量加密。

5)密碼。系統密碼,帳號密碼等不可使用身份證號碼、出生日期、手機電話號碼、包括家人的。養成定期更換重要密碼的習慣。

6)一旦發生信息安全事故,不可自己任意修復,以免誤操作造成不可挽回的局面。可請網絡信息安全專業人員來幫忙。

高校教師通過加強網絡信息安全培訓,與時俱進增強自己的網絡信息安全水平,善用網絡技術與網絡資源,使高校網絡成為自己的教學工作的得力助手。

篇7

    此項技術主要是對網絡工程進行系統預定的安全訪問控制,來避免內部網絡信息數據被網絡外部非法查看使用的問題,但是由于防火墻安全技術成本較高,普及度不高等原因,被置于網絡工程安全體系安全技術的最下層。測:主要是指對網絡工程進行內外部病毒有無的安全監測。具體劃分可分為以下兩種:①入侵檢測:主要利用一些軟件對網絡工程中計算機內部數據信息進行常規收集與分析,從而勘察網絡系統內部是否存在不安全活動以及出現被攻擊等問題。不僅可以實現在不觸犯網絡性能的前提下,對網絡工程的計算機數據信息實行監聽、防范內外部攻擊以及失誤操作等問題,并從根本上提高網絡性能的安全。②安全監測:即借助網絡工程所使用的計算機安全程序以及相關軟件,進行定期的安全監測,從而保證網絡工程計算機的正常使用。控:這主要表現在安全掃描技術方面,即通過遠程以及本地的網絡系統監測實現網絡數據信息的掃描,從而讓網絡管理者及時獲知網絡安全情況,對可能出現的漏洞等問題及時進行風險評估,并可以對潛在安全威脅進行警告,有效地從預防調控方面提高了網絡工程安全性能。管:顧名思義,這項技術主要體現在維護網絡工程安全方面,可以通過虛擬網技術、交換技術、認證和數字簽名技術,VPN技術等進行網絡工程的安全管理。針對近年來頻繁出現的外部遠距離攻擊以及IPsweep等系統漏洞問題研發出一種虛擬網技術,以及與之相伴隨產生的交換技術,這兩種技術主要針對網絡工程的連接安全問題。而對于認證和數字簽名技術則主要用于處理網絡工程數據信息交流交換通信處理,可以通過路由器與交換機、網絡系統、網絡管理設備之間、VPN設備。服務器與客戶間訪問以及電子郵件等進行網絡數據與身份安全的認證。對于上述提到的VPN技術主要應用于網絡工程各大企業的通信數據安全管理,由于要對分布較為分散的企業進行公共信息數據的集中管理,網絡明顯具有一定簡便性,但是因為要在一個大的網絡環境下進行具有一定隱私的數據管理,這就需要企業做好信息在通訊管理過程中不出現竊聽、假冒以及非法入侵等安全問題。

    雖然現在對于網絡技術的研究已經很深入,然而我們在確保網絡工程安全進行技術選擇時還需要謹慎,具體需要在技術應用操作中注意以下幾點問題:(1)為了確保網絡工程安全需要對網絡操作人員進行網絡技術安全技能培訓。我們要明確網絡工程安全不僅需要技術方面的支持,還需要在技術選擇與安裝過程中注意操作人員的專業技能,因為只有具備一定知識素養才能在維護網絡工程安全作業中避免人為操作帶來的安全隱患。(2)依據加密對象,選擇合適的技術。由于網絡工程不僅要對數據信息進行加密,還需要將加密工作分為主動防護加密以及常規防護加密,其區別主要表現在:前者是操作人員依據需求進行滿足自我限定信息數據的安全特殊防護,后者只是根據數據信息性質施行程序化基本數據的保護。(3)根據網絡數據類型進行相應安全技術選擇。雖然研發出的現有網絡安全技術有很多種類型,但是由于需要保護數據信息具有一定特點,我們為了更好地對網絡工程進行安全保護工作,需要根據網絡要保護的數據類型進行一定技術類別選擇,這樣才能讓網絡工程安全保護更科學更有效。(4)根據相應選擇的網絡工程安全技術配置與之相符合的計算機性能。由于網絡主要通過計算機等進行數據錄入整合等工作,所以為了確保整個網絡工程安全性能,需要我們根據選擇的技術進行符合技術標準的計算機性能配置,這樣才能更好地實現安全保護工作。

    網絡技術作為網絡工程安全保障的主要內容,受到來自國內外計算機網絡工作人員的熱切關注,因為網絡安全技術的發展不僅可以進一步推動網絡工程的發展與普及,還能為人們對網絡的使用帶來更大的經濟效益。

篇8

關鍵詞:證券行業信息安全網絡安全體系

近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。

1證券行業倍息安全現狀和存在的問題

1.1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。

1.2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1.3IT治理方面

整個證券業處于高度信息化的背景下,IT治理已直接影響到行業各公司實現戰略目標的可能性,良好的IT治理有助于增強公司靈活性和創新能力,規避IT風險。通過建立IT治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業,當前我國證券業企業的IT治理存在的問題:一是IT資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數指標;是lT治理的責任與職能不清晰。

1.4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。

1.5IT人才資源建設方面

近20年的發展歷程巾,證券行業對信息系統日益依賴,行業IT隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有IT人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任,IT隊伍建設是行業信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。

2采取的對策和措施

2.1進一步完善法規和標準體系

首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。

2.2深入開展證券行業IT治理工作

2.2.1提高IT治理意識

中國證券業協會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領導的IT治理培訓,將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識,提高他們IT治理的積極性。

2.2.2通過設立IT治理試點形成以點帶面的示范效應

根據IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以COBIT模型、ITFL模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優秀范例,以點帶面地提升全行業的治理水平。

2.3通過制定行業標準積極落實信息安全等級保護

行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。

2.4加強網絡安全體系規劃以提升網絡安全防護水平

2.4.1以等級保護為依據進行統籌規劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。

2.4.2通過加強網絡訪問控制提高網絡防護能力

對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。

2.4.3提高從業人員安全意識和專業水平

目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。

2.5扎實推進行業災難備份建設

數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。

2.6抓好人才隊伍建設

證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lT人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。

篇9

一、企業計算機網絡的安全隱患

(一)外部的安全隱患

改革開放以來我國經濟的飛速發展,使很多企業迅速崛起,業務也在日漸擴張。企業之間進行合作時難免會有信息的交換,需要企業的計算機網絡與互聯網相連,這就給網絡黑客以可乘之機。他們通過各種手段攻擊企業的局域網竊取企業的一些重要的信息,例如,企業的財務信息、企業的成員信息、企業開發新產品的資料等[1]。并且,現在復雜的網絡環境導致各種計算機病毒層出不窮,使企業的計算機網絡安全受到嚴重威脅。企業的計算機網絡一經病毒感染,所引起的網絡癱瘓會給企業帶來難以預測的損失。

(二)介質信息泄漏

如果企業的局域網沒有采取一些安全的加密防護措施,那么黑客就可以根據網絡傳輸信息時會產生電磁波這一特點,在傳輸信道上對網絡信息進行截獲,導致企業面臨著信息泄漏的危險。另外計算機的磁介質在信息的儲存上雖然有優勢,因為它不僅具有很大的儲存量,而且有復制容易的特點。如果在磁介質上儲存了重要信息而沒有進行妥善的處理,會使信息很容易就被復制或者刪除,使企業局域網的安全不能得到保障。

(三)系統的不合理配置

如果企業的路由器沒有設置密碼或者密碼設置的過于簡單,以及其它的系統的不合理配置,會導致企業的局域網本身就存在很多的安全漏洞,無意中就給了黑客或者計算機病毒攻擊感染企業局域網的機會,嚴重威脅了計算機網絡的安全性。

(四)各種計算機病毒層出不窮

單機系統由于不具備相互通信的條件逐漸被互聯網系統所替代,可是隨著互聯網系統的應用,各種傳播速度極快的計算機病毒不斷出現,這無形之中給負責企業計算機網絡的管理、維護人員曾加了工作難度。一般情況下,這些計算機病毒主要通過一些移動的儲存設備、在互聯網環境下的文件傳送、一些固化軟件的程序上攻擊企業的計算機網絡。現在很多企業的局域網的安全設置已經不能阻止計算機病毒的入侵,使企業的局域網的安全問題讓人堪憂。

二、計算機網絡安全的實施策略

(一)實體網絡安全

企業的網絡維護與管理人員在企業計算機網絡的安裝時就要考慮到硬件的防護以及場地電源的安全;企業的計算機網絡安裝的殺毒軟件都要求是最為可靠的,并且及時更新殺毒軟件,及時升級系統補丁包等;企業局域網的一些重要設備要安裝防輻射裝置,以避免電磁波的干擾;企業的網絡工作人員要經常對局域網的風險進行評估,以便采取有效的安全措施。

(二)加強內部管理

1、對機房服務器進行嚴格控制企業計算機的管理人員一定要對機房的服務器進行嚴格控制,盡量避免企業局域網被計算機病毒感染的風險;對企業所有要上傳和下載的文件進行實時監控,以便及時發現危險信息的擴散與傳播行為,采取有效的響應措施;給企業的局域網設置較為復雜的密碼,使黑客不能容易地破解局域網密碼。2、限制與互聯網的互通權限因為互聯網的環境十分復雜,企業在訪問互聯網的過程中,計算機病毒很可能藏匿于某個電子郵件或者網頁之中。因此,企業要制定網絡訪問安全策略,控制工作以外的網絡訪問,降低企業局域網被病毒感染的風險。

3、提升網絡管理人員的道德素養要保證企業的網絡安全,企業的網絡管理人員不僅要有很豐富專業知識以及實踐技能,而且還要有很高的職業素養。因此,企業要注重計算機管理人員的職業道德培養,讓他們意識到自己工作的重要性,強化企業的法制教育。同時企業應該鼓勵計算機管理人員不斷學習新的知識技能,不斷完善企業的局域網安全措施,為企業的健康發展保駕護航[2]。

(三)控制網絡訪問權限

控制企業計算機網絡的訪問權限不失為一個很好的安全措施。計算機網絡的管理人員可以限制企業局域網的訪問資源,對訪問用戶的驗證識別工作加以重視,這樣就可以有效地保護企業的信息不被竊取。同時還要結合企業本身的局域網特點,對局域網的權限進行嚴格控制,實時監測局域網的安全狀況。

三、結束語

篇10

一、指導思想

以黨的“十”精神為指導,以科學發展觀為引領,以推進人口計生工作綜合改革為契機,加快人口信息化建設步伐,提高信息質量和深度開發利用,為領導決策提供科學依據,為群眾提供更快捷、更優質的服務,促進全市人口計生工作再上新臺階。

二、工作目標

實現全市人口計生四級網絡全覆蓋,村(居)級信息化運用率達100%;確保人口基礎信息庫人群覆蓋率、數據項目完整率、邏輯準確率、上報及時率均達到98.5%以上,在信息數據質量上,全省前進三位,蘇北爭首位;力爭實現與相關部門適時在網上人口數據交換。

三、工作任務

1、進一步完善市、縣(區)、鄉(鎮、街道)、村(居)四級網絡建設。在設備硬件上,計算機要配置到村(居)級;在網絡上,確保24小時暢通;在人員上,必須取得上崗操作資格證書,且本鄉鎮內原村(居)人員占90%以上;在網絡安全上,完善網絡安全制度,內、外網嚴格實行物理隔離。

2、強化鄉(鎮、街道)、村(居)二級業務培訓,特別是對村級專干人口計生綜合信息平臺的應用操作技能培訓。做到鄉(鎮、街道)不漏村(居)、村(居)不漏人的全方位培訓,持證上崗率和應用率均達100%。在八月份,全市將開展村(居)級專干人口計生綜合信息平臺操作技能大比武。

3、加強全員人口信息變更與質量管理。定期開展數據質量測評與通報,提高人口基礎信息庫的人群覆蓋率、信息上報及時率、數據項目完整率與邏輯關系準確率。

4、創新基層人口信息采集機制。定期召開相關部門聯絡員會議,進行人口數據分析比對。開發相關部門之間信息采集交換系統,力爭與公安、民政、衛生實現網上實時共享。

四、保障措施

1.加強領導。各縣(區)一定要把信息化工作作為一項重要的基礎工作來抓,主要領導是第一責任人,分管領導和責任科室負責人要明確工作目標和工作任務。加強與相關部門的溝通與協作,切實將信息化工作落到實處。

2.加強督查。為確保信息庫數據質量,將按季度、半年、全年,定期或不定期的方式,進行督查、抽查,并對督查或抽查結果及時通報。