緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全培訓(xùn)技術(shù)����,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情��,歡迎您的閱讀與分享�����!
篇1
制定網(wǎng)絡(luò)安全基線
網(wǎng)絡(luò)安全基線是阻止未經(jīng)授權(quán)信息泄露、丟失或損害的第一級安全標(biāo)準(zhǔn)�。確保與產(chǎn)品相關(guān)的人員、程序和技術(shù)都符合基線�����,將有效提高政府的網(wǎng)絡(luò)安全等級�����。網(wǎng)絡(luò)安全基線應(yīng)體現(xiàn)在采辦程序的技術(shù)需求以及性能標(biāo)準(zhǔn)中���,以明確在整個(gè)采辦生命周期內(nèi)產(chǎn)品或服務(wù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。由于資源有限以及采辦中風(fēng)險(xiǎn)的多樣性���,政府應(yīng)采取漸進(jìn)和基于風(fēng)險(xiǎn)的方法�,逐步增加超越基線的網(wǎng)絡(luò)安全需求�����。這種需求應(yīng)在合同內(nèi)清晰且專門列出��。
開展網(wǎng)絡(luò)安全培訓(xùn)
政府應(yīng)對工業(yè)合作伙伴開展采辦網(wǎng)絡(luò)安全培訓(xùn)。通過這種培訓(xùn)向工業(yè)合作伙伴明確展示����,政府正通過基于風(fēng)險(xiǎn)的方法調(diào)整與網(wǎng)絡(luò)安全相關(guān)的采購活動(dòng),且將在特定采辦活動(dòng)中提出更多網(wǎng)絡(luò)安全方面的要求����。
明確通用關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)定義
明確聯(lián)邦采辦過程中關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)的定義將提高政府和私營部門的效率和效益。需求的有效開發(fā)和完善很大程度上依賴于對關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)的共同認(rèn)識(shí)�。在采辦過程中,不清晰��、不一致的關(guān)鍵網(wǎng)絡(luò)安全事項(xiàng)定義將導(dǎo)致網(wǎng)絡(luò)安全不能達(dá)到最優(yōu)效果���。定義的清晰界定應(yīng)建立在公認(rèn)或國際通用的標(biāo)準(zhǔn)上�����。
建立采辦網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略
政府需要一個(gè)部門內(nèi)普遍適用的采辦網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略�����。該戰(zhàn)略將成為政府企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略的一部分�����,并要求政府部門確保其行為符合采辦網(wǎng)絡(luò)風(fēng)險(xiǎn)目標(biāo)����。該戰(zhàn)略應(yīng)建立在政府通用的采辦愿景基礎(chǔ)上,并與美國家標(biāo)準(zhǔn)與技術(shù)研究院制定的“網(wǎng)絡(luò)安全框架”相匹配�。戰(zhàn)略應(yīng)為采辦建立網(wǎng)絡(luò)風(fēng)險(xiǎn)等級,并包含基于風(fēng)險(xiǎn)的采辦優(yōu)先次序���。戰(zhàn)略還應(yīng)包含完整的安全需求����。制定戰(zhàn)略時(shí)���,政府應(yīng)將網(wǎng)絡(luò)風(fēng)險(xiǎn)列入企業(yè)風(fēng)險(xiǎn)管理,并積極與工業(yè)界����、民間和政府機(jī)構(gòu)以及情報(bào)機(jī)構(gòu)合作,共享已驗(yàn)證的����、基于結(jié)果的風(fēng)險(xiǎn)管理程序和最佳經(jīng)驗(yàn)。
加強(qiáng)采購來源的網(wǎng)絡(luò)風(fēng)險(xiǎn)管控
確保提供給政府的產(chǎn)品真實(shí)��、未被篡改和替代是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要環(huán)節(jié)。偽冒產(chǎn)品往往不能進(jìn)行安全更新�����,或達(dá)不到原始設(shè)備制造商產(chǎn)品的安全標(biāo)準(zhǔn)��。政府需要從原始設(shè)備制造商��、授權(quán)商獲取產(chǎn)品���,或者從合格供應(yīng)商表中確定可信采購來源�����。政府通過一系列基于采辦類型的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�����,評估供應(yīng)商的可信情況�����,建立合格供應(yīng)商表��。即便來自可信采購來源的產(chǎn)品也可能存在網(wǎng)絡(luò)安全缺陷�。對此,政府應(yīng)限制原始設(shè)備制造商��、授權(quán)商以及可信供應(yīng)商的來源�����,并將資格要求貫徹到全采辦生命周期�����。政府從供應(yīng)商獲取產(chǎn)品或服務(wù)時(shí)����,若供應(yīng)商未與原始設(shè)備制造商建立信任關(guān)系,政府應(yīng)要求其就產(chǎn)品的安全和完整性提供擔(dān)保����。
篇2
第二條本省行政區(qū)域內(nèi)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)����,適用本細(xì)則。
軍隊(duì)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作��,按照軍隊(duì)的有關(guān)法規(guī)執(zhí)行��。
第三條縣級以上人民政府公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)主管本行政區(qū)域內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作。
第二章安全監(jiān)督
第四條公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作行使下列職責(zé):
(一)監(jiān)督��、檢查�、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作;
(二)組織實(shí)施計(jì)算機(jī)信息系統(tǒng)安全評估��、審驗(yàn)���;
(三)查處計(jì)算機(jī)違法犯罪案件��;
(四)組織處置重大計(jì)算機(jī)信息系統(tǒng)安全事故和事件����;
(五)負(fù)責(zé)計(jì)算機(jī)病毒和其他有害數(shù)據(jù)防治管理工作�;
(六)對計(jì)算機(jī)信息系統(tǒng)安全服務(wù)和安全專用產(chǎn)品實(shí)施管理;
(七)負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全培訓(xùn)管理工作��;
(八)法律��、法規(guī)和規(guī)章規(guī)定的其他職責(zé)�。
第五條公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對重點(diǎn)安全保護(hù)單位計(jì)算機(jī)信息系統(tǒng)的安全檢查,每年不應(yīng)少于一次��。
第六條公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門采取24小時(shí)內(nèi)暫時(shí)停機(jī)����、暫停聯(lián)網(wǎng)��、備份數(shù)據(jù)等緊急措施須經(jīng)縣級以上公安機(jī)關(guān)批準(zhǔn)�。
第七條公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門與所在地安全服務(wù)機(jī)構(gòu)���、互聯(lián)網(wǎng)運(yùn)營單位和其他計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)建立聯(lián)防機(jī)制�,依法及時(shí)查處通過計(jì)算機(jī)信息系統(tǒng)進(jìn)行的違法犯罪行為���,組織處置重大突發(fā)事件���。
第三章安全保護(hù)責(zé)任
第八條單位和個(gè)人應(yīng)當(dāng)對其所有、使用和管理的計(jì)算機(jī)信息系統(tǒng)承擔(dān)相關(guān)的安全保護(hù)責(zé)任���。
提供接入服務(wù)和信息服務(wù)以及主機(jī)托管���、虛擬主機(jī)����、網(wǎng)站和網(wǎng)頁信息維護(hù)等其他服務(wù)的單位應(yīng)當(dāng)和用戶在合同中明確雙方的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)責(zé)任。提供服務(wù)的單位應(yīng)當(dāng)承擔(dān)與其提供服務(wù)直接相關(guān)的安全保護(hù)義務(wù)�。
第九條網(wǎng)吧���、社區(qū)、學(xué)校�����、圖書館��、賓館等提供上網(wǎng)服務(wù)的場所和互聯(lián)網(wǎng)運(yùn)營單位應(yīng)當(dāng)落實(shí)相應(yīng)的安全措施��,安裝已取得《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的安全管理系統(tǒng)����。
第十條計(jì)算機(jī)信息系統(tǒng)使用單位和個(gè)人為了保護(hù)計(jì)算機(jī)信息系統(tǒng)的安全,可以與安全服務(wù)機(jī)構(gòu)明確服務(wù)項(xiàng)目和要求�,建立相對穩(wěn)定的服務(wù)關(guān)系。
第四章安全專用產(chǎn)品
第十一條計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品生產(chǎn)單位在其產(chǎn)品進(jìn)入本省市場銷售前���,應(yīng)當(dāng)取得公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》���,并報(bào)省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。
第十二條本省安全專用產(chǎn)品生產(chǎn)單位應(yīng)當(dāng)在領(lǐng)取營業(yè)執(zhí)照后30日內(nèi)持下列資料到省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案����。
(一)單位簡況�����;
(二)營業(yè)執(zhí)照復(fù)印件�����;
(三)安全專用產(chǎn)品類型�、功能等情況�;
(四)主要技術(shù)人員資格證書復(fù)印件。
第十三條銷售信息網(wǎng)絡(luò)安全檢測產(chǎn)品的單位應(yīng)當(dāng)在領(lǐng)取營業(yè)執(zhí)照后30日內(nèi)向地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門申請備案�����,填寫《廣東省信息網(wǎng)絡(luò)安全檢測產(chǎn)品銷售備案表》����,并提交如下資料:
(一)單位簡況;
(二)營業(yè)執(zhí)照復(fù)印件����;
(三)信息網(wǎng)絡(luò)安全檢測產(chǎn)品銷售和售后服務(wù)管理制度;
(四)主要技術(shù)人員資格證書和銷售人員有效證件復(fù)印件��。
第十四條信息網(wǎng)絡(luò)安全檢測產(chǎn)品只限于單位購買使用���。購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品的單位應(yīng)當(dāng)指定專人管理和使用��,不得出租����、出借��、轉(zhuǎn)讓����、贈(zèng)送,不得擅自用于檢測他人計(jì)算機(jī)信息系統(tǒng)。
用戶購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品���,應(yīng)當(dāng)持單位的證明文件到所在地地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù),公安機(jī)關(guān)應(yīng)當(dāng)在15日內(nèi)予以辦理����,發(fā)給《信息網(wǎng)絡(luò)安全檢測產(chǎn)品購買備案表》;不予辦理的��,應(yīng)當(dāng)書面說明理由��。
用戶應(yīng)當(dāng)憑《信息網(wǎng)絡(luò)安全檢測產(chǎn)品購買備案表》購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品。投入使用后�����,應(yīng)當(dāng)在10日內(nèi)將本單位的《用戶IP地址配置備案表》報(bào)送所在地地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案����。
第十五條信息網(wǎng)絡(luò)安全檢測產(chǎn)品銷售單位應(yīng)當(dāng)查驗(yàn)用戶的《購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品備案表》后方可銷售。
銷售信息網(wǎng)絡(luò)安全檢測產(chǎn)品的單位�����,應(yīng)當(dāng)負(fù)責(zé)產(chǎn)品的使用授權(quán)和維護(hù)����、更新。
第五章安全服務(wù)機(jī)構(gòu)
第十六條安全服務(wù)資質(zhì)實(shí)行等級管理���,分一����、二�、三、四級�����。各等級所對應(yīng)的承擔(dān)工程的資格如下:
(一)一級:可承擔(dān)所有計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)、建設(shè)�、檢測�;
(二)二級:可獨(dú)立承擔(dān)第一級、第二級��、第三級�����、第四級安全保護(hù)等級且安全投資總額為300萬元以下的計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)����、建設(shè)、檢測��,合作承擔(dān)第五級安全保護(hù)等級或安全投資總額為300萬元以上的計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)�����、建設(shè)�、檢測;
(三)三級:可獨(dú)立承擔(dān)第一級����、第二級安全保護(hù)等級且安全投資總額為150萬元以下的計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)���、建設(shè)、檢測����,合作承擔(dān)第三級、第四級安全保護(hù)等級且安全投資總額為300萬元以下的計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)���、建設(shè)����、檢測���;
(四)四級:可獨(dú)立承擔(dān)第一級�����、第二級安全保護(hù)等級且安全投資總額為50萬元以下的計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)���、建設(shè),合作承擔(dān)第一級���、第二級安全保護(hù)等級且安全投資總額為150萬元以下的計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)�、建設(shè)。
第十七條各安全服務(wù)資質(zhì)等級條件如下:
一級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照�;
(二)注冊資本1200萬元以上,近3年的財(cái)務(wù)狀況良好�;
(三)近3年完成計(jì)算機(jī)信息系統(tǒng)安全服務(wù)項(xiàng)目總值3000萬元以上,并承擔(dān)過至少1項(xiàng)450萬元以上或至少4項(xiàng)150萬元以上的項(xiàng)目���;所完成的安全服務(wù)項(xiàng)目中應(yīng)具有自主開發(fā)的安全產(chǎn)品;服務(wù)費(fèi)用(含系統(tǒng)設(shè)計(jì)費(fèi)����、軟件開發(fā)費(fèi)、系統(tǒng)集成費(fèi)和技術(shù)服務(wù)費(fèi))應(yīng)占工程項(xiàng)目總值的30%以上(即不低于900萬元)��;工程按合同要求質(zhì)量合格����,已通過驗(yàn)收并投入實(shí)際應(yīng)用;
(四)具有計(jì)算機(jī)安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于50人�,其中大學(xué)本科以上學(xué)歷的人員不少于40人;
(五)安全服務(wù)工作的管理人員應(yīng)當(dāng)具有5年以上從事計(jì)算機(jī)信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷��,技術(shù)負(fù)責(zé)人已獲得計(jì)算機(jī)信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱�,從事計(jì)算機(jī)信息系統(tǒng)安全集成工作不少于5年��;
(六)具有較強(qiáng)的綜合實(shí)力�,有先進(jìn)�、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備,具有較強(qiáng)的技術(shù)開發(fā)能力��;
(七)具有完善的組織管理制度���、質(zhì)量保證體系和客戶服務(wù)體系�����,實(shí)行工程標(biāo)準(zhǔn)化管理和量化控制�����,并能不斷改進(jìn)�����;
(八)具有系統(tǒng)的對員工進(jìn)行新知識(shí)�����、新技術(shù)培訓(xùn)的計(jì)劃�,并能有效地組織實(shí)施。
(九)竣工項(xiàng)目均通過驗(yàn)收��;
(十)無觸犯計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等有關(guān)法律法規(guī)的行為�。
二級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本500萬元以上�,近3年的財(cái)務(wù)狀況良好;
(三)近3年完成計(jì)算機(jī)信息系統(tǒng)安全服務(wù)項(xiàng)目總值1500萬元以上���,并承擔(dān)過至少1項(xiàng)225萬元以上或至少3項(xiàng)120萬元以上的項(xiàng)目����;所完成的安全服務(wù)項(xiàng)目中應(yīng)具有自主開發(fā)的安全產(chǎn)品����;服務(wù)費(fèi)用(含系統(tǒng)設(shè)計(jì)費(fèi)��、軟件開發(fā)費(fèi)���、系統(tǒng)集成費(fèi)和技術(shù)服務(wù)費(fèi))應(yīng)占工程項(xiàng)目總值的30%以上(即不低于450萬元)�;工程按合同要求質(zhì)量合格��,已通過驗(yàn)收并投入實(shí)際應(yīng)用����;
(四)具有計(jì)算機(jī)安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于40人�,其中大學(xué)本科以上學(xué)歷的人員不少于30人�����;
(五)安全服務(wù)工作的管理人員應(yīng)當(dāng)具有4年以上從事計(jì)算機(jī)信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷����,技術(shù)負(fù)責(zé)人已獲得計(jì)算機(jī)信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱,從事計(jì)算機(jī)信息系統(tǒng)安全集成工作不少于4年�����;
(六)具有先進(jìn)��、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備�,有較強(qiáng)的技術(shù)開發(fā)能力;
(七)具有完善的組織管理制度���、質(zhì)量保證體系和客戶服務(wù)體系����,實(shí)行工程標(biāo)準(zhǔn)化管理和量化控制;
(八)具有系統(tǒng)的對員工進(jìn)行新知識(shí)����、新技術(shù)培訓(xùn)的計(jì)劃,并能有效地組織實(shí)施�;
(九)竣工項(xiàng)目均通過驗(yàn)收;
(十)無觸犯計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等有關(guān)法律法規(guī)的行為����。
三級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本100萬元以上�����,近3年的財(cái)務(wù)狀況良好��;
(三)近3年完成計(jì)算機(jī)信息系統(tǒng)安全服務(wù)項(xiàng)目總值600萬元以上����;服務(wù)費(fèi)用(含系統(tǒng)設(shè)計(jì)費(fèi)�、軟件開發(fā)費(fèi)、系統(tǒng)集成費(fèi)和技術(shù)服務(wù)費(fèi))應(yīng)占工程項(xiàng)目總值的30%以上(即不低于180萬元)�����;工程按合同要求質(zhì)量合格���,已通過驗(yàn)收并投入實(shí)際應(yīng)用����;
(四)具有計(jì)算機(jī)安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于20人,其中大學(xué)本科以上學(xué)歷的人員不少于15人���;
(五)安全服務(wù)工作的管理人員應(yīng)當(dāng)具有3年以上從事計(jì)算機(jī)信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷�,技術(shù)負(fù)責(zé)人已獲得計(jì)算機(jī)信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱��,從事計(jì)算機(jī)信息系統(tǒng)安全集成工作不少于3年�����;
(六)具有與所承擔(dān)項(xiàng)目相適應(yīng)的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備��,具有一定的技術(shù)開發(fā)能力�;
(七)具有完善的組織管理制度、質(zhì)量保證體系和客戶服務(wù)體系���,實(shí)行工程標(biāo)準(zhǔn)化管理����;
(八)具有系統(tǒng)的對員工進(jìn)行新知識(shí)、新技術(shù)培訓(xùn)的計(jì)劃���,并能有效地組織實(shí)施�;
(九)竣工項(xiàng)目均通過驗(yàn)收�����;
(十)無觸犯計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等有關(guān)法律法規(guī)的行為�。
四級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本30萬元以上�����,近3年的財(cái)務(wù)狀況良好�;
(三)具有計(jì)算機(jī)安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于15人;
(四)安全服務(wù)工作的管理人員應(yīng)當(dāng)具有2年以上從事計(jì)算機(jī)信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷��,技術(shù)負(fù)責(zé)人已獲得計(jì)算機(jī)信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱��,從事計(jì)算機(jī)信息系統(tǒng)安全集成工作不少于2年����;
(五)具有與所承擔(dān)項(xiàng)目相適應(yīng)的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備����,具有一定的技術(shù)開發(fā)能力����;
(六)具有較為完善的組織管理制度�����、質(zhì)量保證體系和客戶服務(wù)體系�;
(七)具有系統(tǒng)的對員工進(jìn)行新知識(shí)、新技術(shù)培訓(xùn)的計(jì)劃�����,并能有效地組織實(shí)施��;
(八)竣工項(xiàng)目均通過驗(yàn)收����;
(九)無觸犯計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等有關(guān)法律法規(guī)的行為。
第十八條申請安全服務(wù)資質(zhì)����,應(yīng)當(dāng)持下列資料向地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請:
(一)申請書;
(二)營業(yè)執(zhí)照復(fù)印件�;
(三)管理人員和專業(yè)技術(shù)人員的身份證明�����、學(xué)歷證明和計(jì)算機(jī)安全培訓(xùn)合格證書���;
(四)技術(shù)裝備情況及組織管理制度報(bào)告。
地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自接到申請材料之日起15日內(nèi)對申請材料進(jìn)行初審���。初審合格的�����,報(bào)送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門核準(zhǔn)����;初審不合格的�����,退回申請并說明理由�。
省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自接到初審材料之日起15日內(nèi)進(jìn)行審查,符合條件的��,核發(fā)資質(zhì)證書���。不符合條件的�,作出不予核準(zhǔn)的決定并說明理由���。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務(wù)資質(zhì)的機(jī)構(gòu)��,直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請�����,省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在30日內(nèi)作出核準(zhǔn)意見�。
第十九條從事計(jì)算機(jī)信息系統(tǒng)安全檢測的安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有三級以上安全服務(wù)資質(zhì)����。
承擔(dān)重點(diǎn)安全保護(hù)單位計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)機(jī)房使用前安全檢測的安全服務(wù)機(jī)構(gòu)由地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門實(shí)行總量控制,擇優(yōu)授權(quán)�,應(yīng)具備下列條件:
(一)具有三級以上安全服務(wù)資質(zhì);
(二)中國公民或者組織持有的股權(quán)或者股份不少于51%�����;
(三)具有提供長期服務(wù)的能力和良好信譽(yù)����;
(四)具有自主開發(fā)的信息網(wǎng)絡(luò)安全檢測產(chǎn)品��。
轄區(qū)內(nèi)無符合條件的安全服務(wù)機(jī)構(gòu)的�����,由地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門委托省內(nèi)符合條件的安全服務(wù)機(jī)構(gòu)承擔(dān)����。
第二十條資質(zhì)證書分為正本和副本���,正本和副本具有同等法律效力���。
第二十一條資質(zhì)證書實(shí)行年審制度。年審時(shí)間為每年2月至3月���,新領(lǐng)(換)資質(zhì)證書未滿半年的不需年審�。
第二十二條安全服務(wù)機(jī)構(gòu)在年審前應(yīng)當(dāng)對本單位上一年度的下列情況進(jìn)行自查����,并形成自查書面材料:
(一)遵守國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定的情況;
(二)安全服務(wù)業(yè)績�;
(三)用戶投訴及處理情況;
(四)參加國內(nèi)和國際標(biāo)準(zhǔn)認(rèn)證的情況�����;
(五)符合資質(zhì)證書頒發(fā)條件的有關(guān)情況。
第二十三條安全服務(wù)機(jī)構(gòu)參加年審����,應(yīng)當(dāng)持下列材料向地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請:
(一)《計(jì)算機(jī)信息系統(tǒng)安全服務(wù)資質(zhì)年審申請書》����;
(二)資質(zhì)證書副本;
(三)自查書面材料����;
(四)其他材料。
第二十四條地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門自接到申請材料之日起15日內(nèi)進(jìn)行初審�����,材料齊全�,情況屬實(shí)的,報(bào)送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門審查�����。初審不合格的���,退回申請并說明理由��。
省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自接到初審材料之日起10日內(nèi)作出年審結(jié)論�。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務(wù)資質(zhì)的機(jī)構(gòu),直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請���,省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在20日內(nèi)作出年審結(jié)論�����。
年審結(jié)論分為合格��、降級��、取消3種�����。
具備下列情形的����,年審結(jié)論為合格:
(一)遵守國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定�����;
(二)上年度安全服務(wù)項(xiàng)目總值不低于本級資質(zhì)條件規(guī)定的年均安全服務(wù)項(xiàng)目總值的四分之三(四級資質(zhì)不低于50萬元);
(三)用戶投訴基本能合理解決�;
(四)符合原等級資質(zhì)證書頒發(fā)條件。
有下列情形之一的����,年審結(jié)論為降級:
(一)違反國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定,情節(jié)輕微��;
(二)上年度安全服務(wù)項(xiàng)目總值低于本級資質(zhì)條件規(guī)定的年均安全服務(wù)項(xiàng)目總值的四分之三�����;
(三)10%以上的安全服務(wù)項(xiàng)目有用戶投訴且未能合理解決���;
(四)不符合原等級資質(zhì)證書頒發(fā)條件。
有下列情形之一的��,年審結(jié)論為取消:
(一)違反國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定����,情節(jié)嚴(yán)重;
(二)年度安全服務(wù)項(xiàng)目總值低于50萬元���;
(三)20%以上的安全服務(wù)項(xiàng)目有用戶投訴且未能合理解決�����;
(四)情況發(fā)生變更����,達(dá)不到資質(zhì)證書頒發(fā)條件。
年審合格的�����,在資質(zhì)證書副本和《計(jì)算機(jī)信息系統(tǒng)安全服務(wù)資質(zhì)年審申請書》上注明��,加蓋省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察專用章��。
年審結(jié)論為降級的�,原資質(zhì)證書作廢,換發(fā)資質(zhì)證書�。
年審結(jié)論為取消的,資質(zhì)證書作廢�����,安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)自接到年審結(jié)論之日起10日內(nèi)交回資質(zhì)證書�。
未按時(shí)參加年審的,年審結(jié)論視為取消。
年審結(jié)論為取消的�����,兩年內(nèi)不得申請安全服務(wù)資質(zhì)��。
因特殊原因未年審的�����,應(yīng)當(dāng)書面說明理由�,經(jīng)批準(zhǔn),方可補(bǔ)辦相關(guān)手續(xù)��。
第二十五條資質(zhì)證書有效期為4年�����,安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)在期滿前60日內(nèi)提交換證申請材料��。換證程序與資質(zhì)證書申請程序相同���。期滿不換證的,資質(zhì)證書作廢��。
因特殊原因未按時(shí)換證的,應(yīng)當(dāng)書面說明理由���,經(jīng)批準(zhǔn)��,方可補(bǔ)辦相關(guān)手續(xù)���。
第二十六條資質(zhì)證書登記事項(xiàng)發(fā)生變更的,應(yīng)在30日內(nèi)到地級以上市公安機(jī)關(guān)辦理變更手續(xù)�����。
第二十七條安全服務(wù)機(jī)構(gòu)在取得資質(zhì)證書一年后�,達(dá)到較高一級資質(zhì)條件的,可申請晉升等級��,辦理程序與初次申請相同�。
第二十八條安全服務(wù)機(jī)構(gòu)情況發(fā)生變更,不符合原資質(zhì)等級條件的��,應(yīng)當(dāng)予以降級�����。
第六章安全審驗(yàn)
第二十九條計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)機(jī)房的規(guī)劃�����、設(shè)計(jì)、建設(shè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)���,同步落實(shí)安全保護(hù)制度和措施���。
第三十條重點(diǎn)安全保護(hù)單位計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)機(jī)房安全設(shè)計(jì)方案應(yīng)當(dāng)報(bào)單位所在地地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。
重點(diǎn)安全保護(hù)單位計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)機(jī)房建成后�����,應(yīng)當(dāng)由具有相應(yīng)資格的安全服務(wù)機(jī)構(gòu)進(jìn)行安全檢測�。檢測合格,方可投入使用�����。
安全檢測應(yīng)當(dāng)接受公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督���。
第三十一條計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)方案備案,應(yīng)當(dāng)填寫《廣東省計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)方案備案表》���,并提交下列材料:
(一)計(jì)算機(jī)信息系統(tǒng)安全設(shè)計(jì)方案�����;
(二)計(jì)算機(jī)信息系統(tǒng)的總體需求說明����;
(三)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)等級。
第三十二條計(jì)算機(jī)機(jī)房安全設(shè)計(jì)方案備案����,應(yīng)當(dāng)填寫《廣東省計(jì)算機(jī)機(jī)房安全設(shè)計(jì)方案備案表》,并提交下列材料:
(一)承建單位營業(yè)執(zhí)照和資質(zhì)證書復(fù)印件�����;
(二)計(jì)算機(jī)機(jī)房的用途和安全要求�����;
(三)計(jì)算機(jī)機(jī)房的施工方案和設(shè)計(jì)圖紙���;
(四)其他應(yīng)當(dāng)提交的資料��。
第三十三條安全服務(wù)機(jī)構(gòu)對重點(diǎn)安全保護(hù)單位計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)機(jī)房進(jìn)行使用前安全檢測��,應(yīng)當(dāng)預(yù)先報(bào)告地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門�。安全檢測結(jié)論由重點(diǎn)安全保護(hù)單位報(bào)地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。
第三十四條計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)機(jī)房存在下列情形之一的���,應(yīng)當(dāng)進(jìn)行安全檢測:
(一)變更關(guān)鍵部件�;
(二)安全檢測時(shí)間滿一年��;
(三)發(fā)生案件或安全事故�;
(四)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認(rèn)為應(yīng)當(dāng)進(jìn)行安全檢測;
(五)其他應(yīng)當(dāng)進(jìn)行安全檢測的情形�����。
第三十五條安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)履行下列職責(zé):
(一)如實(shí)出具檢測報(bào)告�����;
(二)接受公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對檢測過程的監(jiān)督檢查���;
(三)保守用戶秘密�����,不得保留安全檢測相關(guān)資料,不得擅自向第三方泄露用戶信息��。
第七章安全培訓(xùn)
第三十六條省公安廳、人事廳聯(lián)合成立的省計(jì)算機(jī)安全培訓(xùn)領(lǐng)導(dǎo)小組����,負(fù)責(zé)全省計(jì)算機(jī)安全培訓(xùn)考試工作的組織和領(lǐng)導(dǎo)。下設(shè)省計(jì)算機(jī)安全培訓(xùn)考試辦公室����,具體負(fù)責(zé)計(jì)算機(jī)安全培訓(xùn)的日常管理工作。
第三十七條下列人員應(yīng)當(dāng)參加計(jì)算機(jī)安全培訓(xùn)���,取得省計(jì)算機(jī)安全培訓(xùn)考試辦公室頒發(fā)的計(jì)算機(jī)安全培訓(xùn)合格證書�����,持證上崗:
(一)計(jì)算機(jī)信息系統(tǒng)使用單位安全管理責(zé)任人�����、信息審查員�����;
(二)重點(diǎn)安全保護(hù)單位計(jì)算機(jī)信息系統(tǒng)維護(hù)和管理人員����;
(三)安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術(shù)人員;
(四)安全服務(wù)機(jī)構(gòu)專業(yè)技術(shù)人員�����、安全服務(wù)管理人員�����;
(五)其他從事計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的人員���。
第三十八條計(jì)算機(jī)安全培訓(xùn)和考試由省計(jì)算機(jī)安全培訓(xùn)考試辦公室授權(quán)的安全培訓(xùn)考試點(diǎn)負(fù)責(zé)組織��。安全培訓(xùn)考試點(diǎn)實(shí)行統(tǒng)籌規(guī)劃�����,總量控制�����。
第三十九條計(jì)算機(jī)安全培訓(xùn)和考試按照有關(guān)規(guī)定進(jìn)行��,實(shí)行學(xué)大綱�����,材����,統(tǒng)一考試��,統(tǒng)一發(fā)證���。
考試合格的���,由省計(jì)算機(jī)安全培訓(xùn)考試辦公室在20日內(nèi)發(fā)給計(jì)算機(jī)安全培訓(xùn)合格證書。
計(jì)算機(jī)安全培訓(xùn)合格證書有效期4年�����,期滿前60日內(nèi)應(yīng)重新參加培訓(xùn)��。
篇3
一�、加強(qiáng)頂層設(shè)計(jì),確立信息安全教育國家戰(zhàn)略
1.《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》
布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》����,其中首次從國家層面提出了“提高網(wǎng)絡(luò)安全意識(shí)與培訓(xùn)計(jì)劃”,指出,“除了信息技術(shù)系統(tǒng)的脆弱性外�,要提高網(wǎng)絡(luò)的安全性至少面臨著兩個(gè)障礙:缺乏對安全問題的了解和認(rèn)識(shí);無法找到足夠多的經(jīng)過培訓(xùn)或通過認(rèn)證的人員來建立并管理安全系統(tǒng)?!盀榇耍绹_展全國性的增強(qiáng)安全意識(shí)活動(dòng)��,加強(qiáng)培訓(xùn)和網(wǎng)絡(luò)安全專業(yè)人員資格認(rèn)證����。
2.《美國網(wǎng)絡(luò)安全評估》報(bào)告
2009年5月29日美國公布了《美國網(wǎng)絡(luò)安全評估》報(bào)告,評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略�����、策略和標(biāo)準(zhǔn)���,指出了存在的問題��,提出行動(dòng)計(jì)戈IJ�����。所提議的優(yōu)先行動(dòng)計(jì)劃之一就是“加強(qiáng)公眾網(wǎng)絡(luò)安全教育”���。
3.《國家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)
2010年3月2日����,奧巴馬政府對前布什政府在2007年制定的一份國家網(wǎng)絡(luò)安全綜合計(jì)劃的部分內(nèi)容進(jìn)行解密���。CNCI計(jì)劃提出要實(shí)現(xiàn)重要目標(biāo)之一就是:“為了有效地保證持續(xù)的技術(shù)優(yōu)勢和未來的網(wǎng)絡(luò)安全�,必須制定一個(gè)技術(shù)熟練和精通網(wǎng)絡(luò)的勞動(dòng)力和未來員工的有效渠道��。擴(kuò)大網(wǎng)絡(luò)教育����,以加強(qiáng)未來的網(wǎng)絡(luò)安全環(huán)境���?���!?/p>
4.《國家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計(jì)劃》
2011年8月11日�,NIST授權(quán)《美國網(wǎng)絡(luò)
安全教育倡議戰(zhàn)略規(guī)劃:構(gòu)建數(shù)字美國》草案,征求公眾意見�����。該規(guī)劃是美國網(wǎng)絡(luò)安全教育倡議(NICE)的首個(gè)戰(zhàn)略規(guī)劃���,闡明了NICE的任務(wù)����、遠(yuǎn)景和目標(biāo)。NICE旨在通過創(chuàng)新的網(wǎng)絡(luò)行為教育�、培訓(xùn)和加強(qiáng)相關(guān)意識(shí),促進(jìn)美國的經(jīng)濟(jì)繁榮和保障國家安全���,并通過以下三個(gè)目標(biāo)實(shí)現(xiàn)這一愿景:增強(qiáng)公眾有關(guān)網(wǎng)上活動(dòng)風(fēng)險(xiǎn)的意識(shí);擴(kuò)展能支持國家網(wǎng)絡(luò)安全的人員隊(duì)伍;建立和維持一支強(qiáng)大的具有全球競爭力的網(wǎng)絡(luò)安全隊(duì)伍�����。
二�����、做好立法工作����,完善法規(guī)標(biāo)隹體系
1.《聯(lián)邦信息安全管理法案》(FISMA)
2002年7月����,美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經(jīng)認(rèn)識(shí)到信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性,并從風(fēng)險(xiǎn)管理角度提出了一個(gè)有效的信息安全管理體系����。信息安全教育與培訓(xùn)是信息安全管理體系中一個(gè)重要環(huán)節(jié)���。
FISMA法案明確要求:聯(lián)邦政府機(jī)構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風(fēng)險(xiǎn)的安全意識(shí)培訓(xùn),為此還提議了一個(gè)較為完善的國家安全意識(shí)及其培訓(xùn)系統(tǒng)���。
2.國防部(DoD)8570指令
2005年12月�����,為了更好地支持“全球信息網(wǎng)格計(jì)戈j”,美國國防部了8570指令�。該指令涵蓋以下主要內(nèi)容:建立技術(shù)基準(zhǔn),管理職員的信息保障技能;實(shí)現(xiàn)正規(guī)的信息保障勞動(dòng)力技能培訓(xùn)和認(rèn)證活動(dòng);通過標(biāo)準(zhǔn)的測試認(rèn)證檢驗(yàn)信息保障人員的知識(shí)和技能;在基礎(chǔ)教育和實(shí)驗(yàn)教育中����,持續(xù)的增加信息保障內(nèi)容。
3.聯(lián)邦政府信息技術(shù)安全培訓(xùn)標(biāo)準(zhǔn)(FIPS)
FISMA法案明確指定NIST負(fù)責(zé)制定聯(lián)邦政府(除國防�、情報(bào)部門以外)所使用的信息安全技術(shù)、產(chǎn)品和培訓(xùn)方面的國家標(biāo)準(zhǔn)����。目前,NIST已制定和兩部權(quán)威的信息安全培訓(xùn)標(biāo)準(zhǔn):《信息技術(shù)安全培訓(xùn)要求:基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓(xùn)方案》(NISTSP800—50)cNIST在SP800—16標(biāo)準(zhǔn)中提出了信息安全培訓(xùn)概念性的框架���,依據(jù)這些框架�����,美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計(jì)算臟務(wù)(FSC)項(xiàng)目�����。
4.網(wǎng)絡(luò)安全法案
2010年3月24日�,美國參議院商務(wù)、科學(xué)和運(yùn)輸委員會(huì)全票通過了旨在加強(qiáng)美國網(wǎng)絡(luò)安全����、幫助美國政府機(jī)構(gòu)和企業(yè)有效應(yīng)對網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》。該法案要求政府機(jī)構(gòu)和私營部門加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享����,強(qiáng)調(diào)通過市場手段,鼓勵(lì)培養(yǎng)網(wǎng)絡(luò)安全人才�����,開發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)�����。
三、構(gòu)建信息網(wǎng)絡(luò)安全組織機(jī)構(gòu)���,健全安全教育培訓(xùn)管理體制
為了落實(shí)信息安全教育培訓(xùn)相關(guān)政策和法律法規(guī)���,美國將協(xié)調(diào)、執(zhí)行�����、監(jiān)督��、管理等權(quán)利分配給多個(gè)政府部門���,依據(jù)最新的《國家網(wǎng)絡(luò)安全教育戰(zhàn)略計(jì)劃》的思路,國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)為整個(gè)計(jì)劃的負(fù)責(zé)單位��,協(xié)調(diào)其他部門參與計(jì)劃的實(shí)施;國土安全部(DHS)���、國防部(DoD)���、國務(wù)院、教育部和國家科學(xué)基金會(huì)(NSF)協(xié)力加強(qiáng)公眾的信息安全意識(shí);DHS����、海關(guān)總署����、NSF和國家安全局(NSA)共同加強(qiáng)從業(yè)人員f支術(shù)能力;DHS��、DoD�����、NIST�����、NSA��、NSF和人事管理局(OPM)負(fù)責(zé)建立高端網(wǎng)絡(luò)安全人才隊(duì)伍�。
社會(huì)各界積極參與
行業(yè)協(xié)會(huì)已經(jīng)站到了信息安全教育培訓(xùn)的前沿,成為信息安全教育培訓(xùn)的踐行者�����。其職責(zé)主要是協(xié)助有關(guān)部門制定信息安全教育與培訓(xùn)的標(biāo)準(zhǔn)�,組織持續(xù)的教育活動(dòng),并向內(nèi)部成員單位實(shí)施培訓(xùn)���。行業(yè)協(xié)會(huì)自身作為提供教育和培訓(xùn)的主體�,一方面可以根據(jù)政府的引導(dǎo)和企業(yè)的需求來設(shè)置培訓(xùn)內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源,充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會(huì)職能����。行業(yè)協(xié)會(huì)提供的培訓(xùn)標(biāo)準(zhǔn)是政府制定的培訓(xùn)標(biāo)準(zhǔn)的主要補(bǔ)充,為規(guī)范和完善美國信息安全培訓(xùn)行業(yè)提供了切實(shí)可行的保障����。
(1)國際信息系統(tǒng)審計(jì)協(xié)會(huì)(丨SACA)
國際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)是一個(gè)為信息管理、控制�、安全和審計(jì)專業(yè)設(shè)定規(guī)范標(biāo)準(zhǔn)的全球性組織,會(huì)員遍布逾160個(gè)國家����,總數(shù)超過86,000人。ISACA成立于1969年���,除贊助舉辦國際會(huì)議外��,還編輯出版《信息系統(tǒng)監(jiān)控期刊》���,制定國際信息系統(tǒng)的審計(jì)與監(jiān)控標(biāo)準(zhǔn)�,以及頒授國際廣泛認(rèn)可的注冊信息系統(tǒng)審計(jì)師(CISA)專業(yè)資格認(rèn)證。CISA認(rèn)證體系已通過美國國家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)依照ISO/IEC17024:2003標(biāo)準(zhǔn)對其進(jìn)行的資格鑒定����。同時(shí),美國國防部也認(rèn)可了CISA認(rèn)證����,并將其納入到國防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認(rèn)證體系當(dāng)中。這產(chǎn)生了以下四方面的作用:認(rèn)可CISA認(rèn)證所提供的特有資格和專業(yè)知識(shí)技能;保護(hù)認(rèn)證的信譽(yù)并提供法律保護(hù);增進(jìn)消費(fèi)者和公眾對本認(rèn)證和持證者的信心;使跨國�����、跨行業(yè)的人才流動(dòng)更加便利��。
(2)美國系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO)��,是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機(jī)構(gòu)��。1999年SANS首次推出了安全技術(shù)認(rèn)證程序(GIAC)�。
GIAC認(rèn)證程序有以下幾個(gè)特點(diǎn):
GIAC提供超過20種的信息安全認(rèn)證,其大多數(shù)符合DOD8570指令���。GIAC依據(jù)國家標(biāo)準(zhǔn)對安全專業(yè)人員及開發(fā)人員進(jìn)行各方面技能認(rèn)證�����。GIAC安全認(rèn)證分為入門級信息安全基礎(chǔ)認(rèn)證(GISF)和高級安全要素認(rèn)證(GSEC)�����。兩種認(rèn)證都重點(diǎn)考察安全基礎(chǔ)知識(shí)�,保證揺正人員擁有必備的安全技能。其它GIAC安全認(rèn)證包括:認(rèn)證防火墻分析師(確認(rèn)設(shè)計(jì)�����、配置和監(jiān)控路由器�、防火墻和其它邊界設(shè)備所需的知識(shí)、技能和能力)����、認(rèn)證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識(shí))、認(rèn)證事故處理員(考察考生處理事故和攻擊的能力)和認(rèn)證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力�。
(3)國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)2
國際信息系統(tǒng)安全核準(zhǔn)聯(lián)盟(ISC)2成立于1989年,是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓(xùn)和認(rèn)證的國際領(lǐng)先非營利組織���。在(ISC)2各種認(rèn)證中�����,CISSP數(shù)量最多�。截至2010年底����,全球共有75000名CISSP獲證人員,其中����,美國獲證人員數(shù)量超過70%^CISSP獲證人員中,約30%在政府部門工作����,40%從事信息安全月服務(wù)行業(yè),30%從事用戶終端工作����。
注冊信息系統(tǒng)安全專業(yè)人員通用知識(shí)體(CISSPCBK)提供了通用的信息安全術(shù)語和原理框架,使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語和理念�����,討論����、辯論和解決信息安全相關(guān)問題�����。
篇4
關(guān)鍵詞:安全機(jī)制 電力公司 信息管理
【分類號(hào)】:TM73
二十一世紀(jì)是一個(gè)信息的時(shí)代���,隨著電網(wǎng)規(guī)模的擴(kuò)大和改革的深入,企業(yè)各部門之間�、企業(yè)和社會(huì)之間信息的交換也更加頻繁,對信息的及時(shí)性��、準(zhǔn)確性和可靠性的要求越來越高���。因此�����,基于當(dāng)前安全機(jī)制下�,電力公司對信息管理要求也將越來越高��。
一����、電力企業(yè)信息網(wǎng)絡(luò)系統(tǒng)存在的安全問題
隨著電力企業(yè)互聯(lián)網(wǎng)的發(fā)展,其信息網(wǎng)絡(luò)的安全也日益尖銳��。網(wǎng)絡(luò)的信息安全是一種涉及了通信技術(shù)、計(jì)算機(jī)技術(shù)��、信息安全技術(shù)��、密碼技術(shù)等多種技術(shù)的邊緣綜合性學(xué)科���,國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性�、可靠性及保密性”,但因其是新生事物����,人們接觸它主要忙于工作、學(xué)習(xí)和娛樂���,對于它的安全性��,則無暇顧及����,從下到下普遍存在僥幸心理�����,沒有形成主動(dòng)防范、積極應(yīng)對的意識(shí)��,所以很難從根本上提高網(wǎng)絡(luò)監(jiān)測��、抗擊��、防護(hù)等能力���。
其次�����,在整體運(yùn)行管理過程中���,有關(guān)信息安全的政策、手段都存在問題�����,如因互聯(lián)網(wǎng)復(fù)雜多變���,網(wǎng)絡(luò)用戶對此缺乏足夠的認(rèn)識(shí)�����,在未進(jìn)入安全狀態(tài)時(shí)就急于操作����,導(dǎo)致敏感數(shù)據(jù)暴露,使系統(tǒng)遭受了風(fēng)險(xiǎn)�;還有很多用戶都越來越以來“銀彈”方案,即加上防火墻或者加密技術(shù)�,使用戶產(chǎn)生了虛假的安全感��,喪失了警惕���。
還有����,不少單位沒有從管理制度上建立相應(yīng)的安全防范機(jī)制���,在整個(gè)運(yùn)行過程中��,缺乏行之有效的安全檢查制度���,這些不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。
二����、當(dāng)前電力公司網(wǎng)絡(luò)信息安全的技術(shù)手段
而隨著電力體制改革的不斷深化�,計(jì)算機(jī)網(wǎng)絡(luò)將承載著大量的企業(yè)生產(chǎn)和經(jīng)營的重要數(shù)據(jù)���。所以����,保障計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全�、穩(wěn)定運(yùn)行至關(guān)重要,目前確保電力公司信息安全技術(shù)有如下幾種:
1�����、 防病毒技術(shù)
計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序���,其在網(wǎng)上的傳播極其迅速���,且傳播具有相當(dāng)大的隨機(jī)性,從而增加了網(wǎng)絡(luò)防殺病毒的難度�,所以,這就要求做到對整個(gè)網(wǎng)絡(luò)集中進(jìn)行病毒防范�、統(tǒng)一管理,在預(yù)定時(shí)間自動(dòng)從網(wǎng)站下載最新的升級文件,并自動(dòng)分發(fā)到局域網(wǎng)中所有安裝防病毒軟件的機(jī)器上���。
2��、入侵檢測技術(shù)
入侵檢測是對入侵行為的發(fā)覺���,是防火墻的合理補(bǔ)充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊���,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)�、監(jiān)視���、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性�����。
3�����、風(fēng)險(xiǎn)評估技術(shù)
風(fēng)險(xiǎn)評估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)����,其原理是根據(jù)已知的安全漏洞知識(shí)庫��,對目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查����,它包括了網(wǎng)絡(luò)模擬攻擊�,漏洞檢測,報(bào)告服務(wù)進(jìn)程��,提取對象信息����,以及評測風(fēng)險(xiǎn),提供安全建議和改進(jìn)措施等功能�����,幫助用戶控制可能發(fā)生的安全事件����,最大可能的消除安全隱患。
除了上述幾種技術(shù)之外��,還有一些被廣泛應(yīng)用的安全技術(shù)�,如虛擬專用網(wǎng)VPN技術(shù)、虛擬局域網(wǎng)VLAN技術(shù)、身份驗(yàn)證���、安全協(xié)議等��,網(wǎng)絡(luò)的信息安全是一個(gè)系統(tǒng)的工程����,只有根據(jù)實(shí)際情況�����、綜合各安全技術(shù)的優(yōu)點(diǎn)�,才能形成一個(gè)由多種安全技術(shù)構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)。
三�����、電力企業(yè)網(wǎng)絡(luò)安全防范措施
1����、完善網(wǎng)絡(luò)信息安全的管理機(jī)制
首先�����,網(wǎng)絡(luò)與信息安全需要制度化、規(guī)范化��,將網(wǎng)絡(luò)信息安全管理納入到安全生產(chǎn)管理體系中�,制定相應(yīng)的管理制度,比如建立用戶權(quán)限管理制度�、網(wǎng)絡(luò)信息安全管理制度、病毒防范制度等���,這一旦形成�����,就必須嚴(yán)格執(zhí)行��,保證落實(shí)�����。同時(shí)���,明確網(wǎng)絡(luò)與信息安全體系的四個(gè)關(guān)鍵系統(tǒng),即安全決策指揮系統(tǒng)�、安全管理制度系統(tǒng)、安全管理技術(shù)系統(tǒng)和安全教育培訓(xùn)系統(tǒng)����,實(shí)行企業(yè)行政正職負(fù)責(zé)制���,明確主管領(lǐng)導(dǎo)部門職責(zé)。
2�、強(qiáng)化企業(yè)內(nèi)部人員安全培訓(xùn)
根據(jù)企業(yè)性質(zhì)與人員的職責(zé)、業(yè)務(wù)不同�,將安全培訓(xùn)分成三個(gè)不同的層次,即初級��、中級和高級��,初級培訓(xùn)可針對全部人員��,主要強(qiáng)化員工安全意識(shí)和責(zé)任���;中級培訓(xùn)對象一般包括高層領(lǐng)導(dǎo)�、技術(shù)管理人員���、合同管理者等,培訓(xùn)內(nèi)容包括安全核心知識(shí)�、風(fēng)險(xiǎn)管理、資源需求與合同需求���。高級安全培訓(xùn)的人群包括信息安全人員���、系統(tǒng)管理人員���,內(nèi)容主要包括操作/應(yīng)用系統(tǒng)、協(xié)議��、安全工具�����、技術(shù)控制��、風(fēng)險(xiǎn)評估�、安全計(jì)劃和認(rèn)證與評估,旨在提高企業(yè)的整體安全管理�����。
綜上所述��,企業(yè)必須充分重視網(wǎng)絡(luò)信息系統(tǒng)的安全威脅所在�,制定保障網(wǎng)絡(luò)安全的應(yīng)對措施,落實(shí)嚴(yán)格的安全管理制度��,才能使網(wǎng)絡(luò)信息得以安全運(yùn)行。
參考文獻(xiàn)
1����、孟洛明,亓峰?《現(xiàn)代網(wǎng)絡(luò)管理技術(shù)》���,北京郵電大學(xué)出版社2001
篇5
關(guān)鍵詞:安全三要素�����;計(jì)算機(jī)網(wǎng)絡(luò)�;信息安全����;防范策略;保障作用
在信息技術(shù)飛速發(fā)展的今天�,黑客技術(shù)和計(jì)算機(jī)病毒也在不斷之變化,其隱蔽性��、跨域性���、快速變化性和爆發(fā)性使網(wǎng)絡(luò)信息安全受到了全所未有的威脅���。在這種攻與防的信息對抗中人、技術(shù)和管理都是不可或缺的重要環(huán)節(jié)��。
一����、網(wǎng)絡(luò)信息安全的問題在哪里?
(一)技術(shù)層面的問題
1.網(wǎng)絡(luò)通信線路和設(shè)備的缺陷
(1)電磁泄露:攻擊者利用電磁泄露�,捕獲無線網(wǎng)絡(luò)傳輸信號(hào),破譯后能較輕易地獲取傳輸內(nèi)容�����。
(2)設(shè)備監(jiān)聽:不法分子通過對通信設(shè)備的監(jiān)聽���,非法監(jiān)聽或捕獲傳輸信息���。
(3)終端接入:攻擊者在合法終端上并接非法終端,利用合法用戶身份操縱該計(jì)算機(jī)通信接口���,使信息傳到非法終端����。
(4)網(wǎng)絡(luò)攻擊����。
2.軟件存在漏洞和后門
(1)網(wǎng)絡(luò)軟件的漏洞被利用�。
(2)軟件病毒入侵���。
(3)軟件端口未進(jìn)行安全限制����。
(二)人員層面的問題
1.系統(tǒng)使用人員保密觀念不強(qiáng)���,關(guān)鍵信息沒進(jìn)行加密處理���,密碼保護(hù)強(qiáng)度低;文檔的共享沒有經(jīng)過必要的權(quán)限控制�。
2.技術(shù)人員因?yàn)闃I(yè)務(wù)不熟練或缺少責(zé)任心,有意或無意中破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備的保密措施���。
3.專業(yè)人員利用工作之便�����,用非法手段訪問系統(tǒng)��,非法獲取信息�����。
4.不法人員利用系統(tǒng)的端口或者傳輸?shù)慕橘|(zhì)����,采用監(jiān)聽����、捕獲、破譯等手段竊取保密信息�����。
(三)管理層面的問題
1.安全管理制度不健全�。缺乏完善的制度管理體系,管理人員對網(wǎng)絡(luò)信息安全重視不夠�����。
2.監(jiān)督機(jī)制不完善�。技術(shù)人員有章不循,對安全麻痹大意�����,缺乏有效地監(jiān)督。
3.教育培訓(xùn)不到位����。對使用者缺乏安全知識(shí)教育,對技術(shù)人員缺乏專業(yè)技術(shù)培訓(xùn)�。
二.網(wǎng)絡(luò)信息安全的防范策略
(一)技術(shù)層面的防范策略
1.網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全防范策略
(1)減少電磁輻射。傳輸線路做露天保護(hù)或埋于地下��,無線傳輸應(yīng)使用高可靠性的加密手段����,并隱藏鏈接名。
(2)使用防火墻技術(shù)��,控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口����,保護(hù)網(wǎng)絡(luò)免遭黑客襲擊。
(3)使用可信路由����、專用網(wǎng)或采用路由隱藏技術(shù)。
(4)網(wǎng)絡(luò)訪問控制�����。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的核心策略之一。包括入網(wǎng)����、權(quán)限、目錄級以及屬性等多種控制手段�。
2.軟件類信息安全防范策略
(1)安裝可信軟件和操作系統(tǒng)補(bǔ)丁,定時(shí)升級���,及時(shí)堵漏。
(2)應(yīng)用數(shù)據(jù)加密技術(shù)���。將明文轉(zhuǎn)換成密文��,防止非法用戶理解原始數(shù)據(jù)�。
(3)提高網(wǎng)絡(luò)反病毒技術(shù)能力��。使用殺毒軟件并及時(shí)升級病毒庫����。對移動(dòng)存儲(chǔ)設(shè)備事前掃描和查殺。對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行掃描和監(jiān)測���,加強(qiáng)訪問權(quán)限的設(shè)置����。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件��。
(4)使用入侵檢測系統(tǒng)防止黑客入侵�。一般分為基于網(wǎng)絡(luò)和基于主機(jī)兩種方式。還可以使用分布式�、應(yīng)用層、智能的入侵檢測等手段�����。
(5)數(shù)據(jù)庫的備份與恢復(fù)���。
(二)人員層面的防范策略
1.對人員進(jìn)行安全教育�����。加強(qiáng)對計(jì)算機(jī)用戶的安全教育�����、防止計(jì)算機(jī)犯罪�����。
2.提高網(wǎng)絡(luò)終端用戶的安全意識(shí)���。提醒用戶不使用來歷不明的U盤和程序���,不隨意下載網(wǎng)絡(luò)可疑信息。
3.對人員進(jìn)行法制教育����。包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法��、保密法�����、數(shù)據(jù)保護(hù)法等��。
4.加強(qiáng)技術(shù)人員的安全知識(shí)培訓(xùn)���。
(三)管理層面的防范策略
1.建立安全管理制度。對重要部門和信息��,嚴(yán)格做好開機(jī)查毒,及時(shí)備份數(shù)據(jù)����。
2.建立網(wǎng)絡(luò)信息綜合管理規(guī)章制度。包括人員管理�����、運(yùn)維管理�、控制管理、資料管理��、機(jī)房管理��、專機(jī)專用和嚴(yán)格分工等管理制度����。
3.建立安全培訓(xùn)制度。使安全培訓(xùn)制度化���、經(jīng)?��;粩鄰?qiáng)化技術(shù)人員和使用者的安全意識(shí)�。
三��、安全三要素的保障作用更重要
在保證網(wǎng)絡(luò)信息安全的過程中�,技術(shù)是核心�、人員是關(guān)鍵、管理是保障����,我們必須做到管理和技術(shù)并重,技術(shù)和措施結(jié)合����,充分發(fā)揮人的作用,在法律和安全標(biāo)準(zhǔn)的約束下��,才能確保網(wǎng)絡(luò)信息的安全��。
(一) 技術(shù)的核心作用
不管是加密技術(shù)����、反病毒技術(shù)�、入侵檢測技術(shù)、防火墻技術(shù)����、安全掃描技術(shù)�,還是數(shù)據(jù)的備份和恢復(fù)技術(shù)����、硬件設(shè)施的防護(hù)技術(shù)等,都是我們做好網(wǎng)絡(luò)信息安全防護(hù)的核心要素���,技術(shù)支撐為我們建立一套完整的���、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系起到了核心的作用。
(二)人員的關(guān)鍵作用
人也是安全的一部分���。人的作用是不可低估的��,不管是使用者���,還是程序開發(fā)人員、技術(shù)維護(hù)人員����,還是網(wǎng)絡(luò)黑客,都是我們構(gòu)建網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵因素����,成也在人�����,敗也在人���。
(三)管理的保障作用
管理是不可缺失的,不論是技術(shù)上的管理����,還是對人的管理,不論是技術(shù)規(guī)則��,還是管理制度�,都是網(wǎng)絡(luò)信息安全的保障。很多安全漏洞都來源于管理的疏忽或者安全培訓(xùn)的缺失����。
四.多說兩句
網(wǎng)絡(luò)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及人員��、技術(shù)�����、設(shè)備�、管理、制度和使用等多方面的因素�,只有將安全三要素的保障策略都結(jié)合起來,才能形成一個(gè)高效安全的網(wǎng)絡(luò)信息系統(tǒng)��。世上沒有絕對安全���,只要實(shí)時(shí)檢測�、實(shí)時(shí)響應(yīng)�、實(shí)時(shí)恢復(fù)、防治結(jié)合��,做到人���、技術(shù)和管理的和諧統(tǒng)一�����,目標(biāo)一致�����,網(wǎng)絡(luò)信息就能安全��。
參考文獻(xiàn)
篇6
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò);安全;結(jié)構(gòu);技術(shù);完善
0 引言
網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段���,在網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天���,它關(guān)系到小至個(gè)人的利益,大至國家的安全���。對網(wǎng)絡(luò)安全技術(shù)的研究意義重大�����,對網(wǎng)絡(luò)安全技術(shù)的研究就是為了盡最大的努力為個(gè)人�����、國家創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)環(huán)境�,讓網(wǎng)絡(luò)安全技術(shù)更好地為廣大用戶服務(wù)���。
1 計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)
計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)是由硬件網(wǎng)絡(luò)��、通信軟件���、防毒殺毒��、防火墻以及操作系統(tǒng)構(gòu)成的,對于一個(gè)系統(tǒng)而言�����,首先要以硬件電路等物理設(shè)備為載體�����,然后才能運(yùn)行載體上的功能程序�。對于小范圍的無線局域網(wǎng)而言,最簡單的防護(hù)方式是對無線路由器設(shè)置相應(yīng)的指令來防止非法用戶的入侵����,目前廣泛采用WPA2加密協(xié)議實(shí)現(xiàn)協(xié)議加密,通?���?梢詫Ⅱ?qū)動(dòng)程序看作為操作系統(tǒng)的一部分,經(jīng)過注冊表注冊后�,相應(yīng)的網(wǎng)絡(luò)通信驅(qū)動(dòng)接口才能被通信應(yīng)用程序調(diào)用。
2 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究
2.1 安裝防病毒軟件和防火墻 在計(jì)算機(jī)主機(jī)上安裝可靠性高的防病毒軟件和防火墻�,及時(shí)對主機(jī)的各個(gè)存儲(chǔ)空間進(jìn)行安全保護(hù),定時(shí)掃描�、修補(bǔ)可能出現(xiàn)的技術(shù)漏洞����,做到及時(shí)發(fā)現(xiàn)異常�����,及時(shí)處理;防火墻是通過軟���、硬件組合��,對企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)起到過濾網(wǎng)關(guān)的作用����,從而嚴(yán)格控制外網(wǎng)用戶的非法訪問���,并只打開允許的服務(wù)����,防止外部網(wǎng)絡(luò)拓展服務(wù)的攻擊�����。
2.2 安裝入侵檢測系統(tǒng)和網(wǎng)絡(luò)誘騙系統(tǒng) 計(jì)算機(jī)安全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低�����,入侵檢測系統(tǒng)由軟件和硬件組成;網(wǎng)絡(luò)誘騙系統(tǒng)是通過構(gòu)建虛假的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),誘騙入侵者對其進(jìn)行攻擊����,從而起到保護(hù)實(shí)際網(wǎng)絡(luò)系統(tǒng)的目的����。
2.3 使用數(shù)據(jù)加密技術(shù)提高系統(tǒng)安全性 傳統(tǒng)的信息加密技術(shù)和新興的信息隱藏技術(shù)可為計(jì)算機(jī)信息的存儲(chǔ)及傳輸提供安全保障,用戶在進(jìn)行絕密或重要信息的傳輸過程中����,不僅要做好信息本身的加密,還可以利用隱藏技術(shù)對信息發(fā)送者����、接收者及信息本身進(jìn)行隱藏。常用的隱藏技術(shù)有隱藏術(shù)���、數(shù)字嵌入�、數(shù)據(jù)隱藏���、數(shù)字水印和指紋技術(shù)�����。
2.4 做好重要信息的備份工作 計(jì)算機(jī)信息存儲(chǔ)工作要遵循多備份和及時(shí)更新的工作原則����,數(shù)據(jù)信息可根據(jù)其重要性或數(shù)據(jù)量進(jìn)行不同方式的存儲(chǔ):對于不需修改的重要數(shù)據(jù)可直接刻錄光盤存儲(chǔ);需要修改的數(shù)據(jù)可存儲(chǔ)在U盤或移動(dòng)硬盤中;不重要的數(shù)據(jù)可存儲(chǔ)在本地計(jì)算機(jī)或局域服務(wù)器中;較小數(shù)據(jù)可存儲(chǔ)在郵箱中。
2.5 使用安全路由器 安全路由器的使用可將內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)進(jìn)行安全隔離�,互聯(lián),通過阻塞信息及不法地址的傳輸����,保護(hù)企業(yè)內(nèi)部信息及網(wǎng)絡(luò)的安全性。安全路由器是對其芯片進(jìn)行密碼算法和加/解密技術(shù)�����,通過在路由器主板增加安全加密模件來實(shí)現(xiàn)路由器信息和IP包的加密���、身份鑒別和數(shù)據(jù)完整性驗(yàn)證����、分布式密鑰管理等功能��。
2.6 重視網(wǎng)絡(luò)信息安全人才的培養(yǎng) 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)人員的安全培訓(xùn)��,使網(wǎng)絡(luò)人員熟練通過計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施正確有效的安全管理,保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全���。一方面要注意管理人員及操作人員的安全培訓(xùn)���,在培訓(xùn)過程中提高專業(yè)能力、安全保密觀念�����、責(zé)任心;對內(nèi)部人員更要加強(qiáng)人事管理����,定期組織思想教育和安全業(yè)務(wù)培訓(xùn)���,不斷提高網(wǎng)絡(luò)人員的思想素質(zhì)�、技術(shù)素質(zhì)和職業(yè)道德��。
3 云計(jì)算安全技術(shù)的應(yīng)用
云計(jì)算通過集中所需要計(jì)算的個(gè)體資源�,通過需求而獲得企業(yè)所需要的資源,并且通過自動(dòng)化管理與運(yùn)行��,從而將計(jì)算的需求傳達(dá)給網(wǎng)絡(luò)����,使網(wǎng)絡(luò)能夠處理企業(yè)所需要的計(jì)算服務(wù)�����。云計(jì)算開創(chuàng)了一種資源共享的新模式����,能夠改變當(dāng)前用戶使用計(jì)算機(jī)的習(xí)慣�����,通過網(wǎng)絡(luò)計(jì)算��,能夠大大節(jié)省企業(yè)所需要的空間以及實(shí)踐�����,從而節(jié)約企業(yè)運(yùn)行成本���,提升企業(yè)的工作效率���。因此在云計(jì)算的過程中,必須考慮到信息安全的問題,避免商業(yè)機(jī)密泄露����,給企業(yè)帶來重大的損失。
3.1 云計(jì)算的應(yīng)用安全技術(shù)性分析 云計(jì)算應(yīng)用安全性需要終端用戶及云服務(wù)商雙方共同采取保護(hù)措施���。一方面��,云計(jì)算的終端用戶應(yīng)保證本人或本企業(yè)計(jì)算機(jī)的安全���,利用安全軟件降低計(jì)算機(jī)被不法分子進(jìn)行技術(shù)攻擊的可能。如反惡意軟件���、防病毒�、個(gè)人防火墻以及IPS類型的軟件等�,可保護(hù)用戶瀏覽器免受攻擊�,并能定期完成瀏覽器打補(bǔ)丁和更新工作,以保護(hù)云用戶數(shù)據(jù)信息的安全性����。另一方面,用戶可使用客戶端設(shè)備訪問各種應(yīng)用�,但不能對云平臺(tái)基礎(chǔ)設(shè)備進(jìn)行管理或者控制,因此����,選擇云平臺(tái)供應(yīng)商就顯得十分重要��。評價(jià)供應(yīng)商主要原則為依據(jù)保密協(xié)議���,要求供應(yīng)商提供有關(guān)安全實(shí)踐的信息,如設(shè)計(jì)���、架構(gòu)����、開發(fā)���、黑盒與白盒應(yīng)用程序安全測試和管理����。
3.2 數(shù)據(jù)安全技術(shù)性分析 云計(jì)算服務(wù)模式包括軟件即服務(wù)(SaaS)���、平臺(tái)即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(laaS)三種����,這三種服務(wù)模式面臨的主要問題是避免數(shù)據(jù)的丟失或被竊,因此�����,應(yīng)在數(shù)據(jù)傳輸���、隔離及殘留方面進(jìn)行安全保護(hù)�。
首先��,在使用公共云時(shí)�����,傳輸數(shù)據(jù)應(yīng)采取加密算法和傳輸協(xié)議�,以保證數(shù)據(jù)的安全性和完整性。其次���,云計(jì)算供應(yīng)商為實(shí)現(xiàn)服務(wù)的可擴(kuò)展性���、提高數(shù)據(jù)計(jì)算效率及管理等優(yōu)勢�。在安全技術(shù)未發(fā)展至可給任意數(shù)據(jù)進(jìn)行安全加密的階段下,可采取的措施就是將重要或者敏感的數(shù)據(jù)與其他數(shù)據(jù)進(jìn)行隔離����,保障數(shù)據(jù)信息的安全性����。最后���,數(shù)據(jù)殘留是數(shù)據(jù)安全遭受威脅的另一因素���,云計(jì)算環(huán)境下,數(shù)據(jù)殘留會(huì)無意泄露敏感信息����,因此需要服務(wù)供應(yīng)商能提供將用戶信息進(jìn)行徹底清除的保障。
4 結(jié)語
綜上所述�,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全就需要從多方面建立立體的計(jì)算機(jī)網(wǎng)絡(luò)安全結(jié)構(gòu)體系提高對網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制和預(yù)防,全面保障計(jì)算機(jī)網(wǎng)絡(luò)安全����。
參考文獻(xiàn):
篇7
[關(guān)鍵詞]企業(yè);信息化建設(shè)�����;網(wǎng)絡(luò)安全管理
引言
在互聯(lián)網(wǎng)時(shí)代���,企業(yè)應(yīng)用網(wǎng)絡(luò)信息技術(shù)和計(jì)算機(jī)技術(shù)�����,逐步建立了網(wǎng)絡(luò)信息化平臺(tái)����,以對海量信息數(shù)據(jù)進(jìn)行有效收集,為企業(yè)的運(yùn)行和發(fā)展提供有效依據(jù)��。但是企業(yè)在信息化建設(shè)中還存在一些問題���,其中一個(gè)嚴(yán)重的問題就是��,企業(yè)信息數(shù)據(jù)容易遭受到網(wǎng)絡(luò)攻擊或竊取�,即網(wǎng)絡(luò)安全問題�����。這些問題的存在�,非常不利于企業(yè)的信息化建設(shè),不利于企業(yè)的進(jìn)一步發(fā)展�����。因此��,相關(guān)人員需要對企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問題以及解決方法進(jìn)行研究和分析�����,以全面提高企業(yè)信息化建設(shè)的質(zhì)量和水平���,更好地推進(jìn)企業(yè)的進(jìn)步與發(fā)展��。
1企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問題
1.1外部因素
時(shí)代的發(fā)展和社會(huì)的進(jìn)步使網(wǎng)絡(luò)信息安全問題日益嚴(yán)重��。例如���,企業(yè)在進(jìn)行市場競爭時(shí),需要獲得大量準(zhǔn)確的信息并保證其安全��,但一些不法分子應(yīng)用網(wǎng)絡(luò)攻擊和非法鏈接等方式獲取企業(yè)內(nèi)部大量信息��,并將此類信息在市場中出售牟利��,這種情況的出現(xiàn)加劇了企業(yè)網(wǎng)絡(luò)信息安全問題的程度�。
1.2內(nèi)部因素
企業(yè)在信息化的建設(shè)過程中,沒有對自身的網(wǎng)絡(luò)信息安全問題給予足夠的重視�����,因此,沒有采用高質(zhì)量的信息安全管理模式�,進(jìn)行有效的網(wǎng)絡(luò)信息防護(hù),使網(wǎng)絡(luò)黑客應(yīng)用網(wǎng)絡(luò)病毒和信息竊取手段�,輕易獲取企業(yè)內(nèi)部的各種信息數(shù)據(jù)。同時(shí)�,企業(yè)內(nèi)部工作人員也沒有受過良好的網(wǎng)絡(luò)信息安全培訓(xùn),在應(yīng)用中存在操作不規(guī)范等問題����,導(dǎo)致企業(yè)的信息安全受到嚴(yán)重威脅。
2提高企業(yè)網(wǎng)絡(luò)安全管理水平的方法
2.1加強(qiáng)企業(yè)信息化系統(tǒng)的管理
企業(yè)需要在信息化建設(shè)中加強(qiáng)對信息化系統(tǒng)的管理質(zhì)量和水平��,提升企業(yè)網(wǎng)絡(luò)安全管理的效率��。具體來講��,首先����,企業(yè)需要樹立起網(wǎng)絡(luò)安全管理的意識(shí),對工作中存在的網(wǎng)絡(luò)安全問題及時(shí)處理����,建立完備的網(wǎng)絡(luò)安全管理平臺(tái)�,對企業(yè)運(yùn)行發(fā)展中的重要信息數(shù)據(jù)進(jìn)行集中性保存��。其次����,定期對企業(yè)員工開展網(wǎng)絡(luò)安全培訓(xùn)工作���,提升員工信息化系統(tǒng)規(guī)范操作的能力�����,對重要信息進(jìn)行加密處理�,并做好多重備份工作��。最后��,企業(yè)員工應(yīng)定期使用網(wǎng)絡(luò)安全軟件對操作環(huán)境進(jìn)行檢查���,有效處理和抵御各類網(wǎng)絡(luò)病毒的攻擊和入侵��。
2.2應(yīng)用有效的數(shù)據(jù)信息加密技術(shù)
企業(yè)需要應(yīng)用有效的數(shù)據(jù)加密技術(shù)���,提升網(wǎng)絡(luò)信息管理質(zhì)量和水平,保障網(wǎng)絡(luò)信息的安全���,更好的開展企業(yè)信息化建設(shè)工作,為企業(yè)的進(jìn)步和發(fā)展打好基礎(chǔ)����。第一,企業(yè)需要有效的應(yīng)用鏈路加密���、節(jié)點(diǎn)加密�、端對端加密等多種技術(shù)���,提高企業(yè)網(wǎng)絡(luò)信息加密的強(qiáng)度����,為重要的業(yè)務(wù)數(shù)據(jù)和信息做好保護(hù)���。第二����,企業(yè)需要在應(yīng)用網(wǎng)絡(luò)信息數(shù)據(jù)加密技術(shù)的同時(shí)�����,對重要數(shù)據(jù)信息進(jìn)行切實(shí)有效的存儲(chǔ),使其具有完整性�����,為提升企業(yè)數(shù)據(jù)信息安全水平打好基礎(chǔ)��。
2.3部署高質(zhì)量的安全防護(hù)軟件
企業(yè)需要合理應(yīng)用各類的防護(hù)軟件��,提升自身網(wǎng)絡(luò)信息安全的強(qiáng)度����。例如現(xiàn)在已經(jīng)普遍應(yīng)用的360安全衛(wèi)士�����、騰訊電腦管家��、金山毒霸等�����,合理應(yīng)用可以提高企業(yè)整個(gè)網(wǎng)絡(luò)信息安全管理的質(zhì)量����,同時(shí)對外部的非法鏈接進(jìn)行有效抵制�,對網(wǎng)絡(luò)病毒攻擊和入侵進(jìn)行有效預(yù)防�。
2.4設(shè)置必要的安全管理權(quán)限
企業(yè)需要依據(jù)自身的需求,建立嚴(yán)密�����、分層的安全管理權(quán)限系統(tǒng)�,對登錄到系統(tǒng)中的用戶進(jìn)行嚴(yán)格的管理權(quán)限設(shè)定。通過這種方式�����,使操作系統(tǒng)或應(yīng)用系統(tǒng)的用戶���,需要掌握不同的權(quán)限密碼才能進(jìn)行不同權(quán)限的操作��、進(jìn)行數(shù)據(jù)信息的獲得��,然后進(jìn)行這些數(shù)據(jù)信息的應(yīng)用���。
2.5配置防火墻和訪問控制模式
企業(yè)在信息化建設(shè)中需建立高效的防火墻系統(tǒng),設(shè)置專業(yè)化訪問控制模式�,提升網(wǎng)絡(luò)信息安全能力,有效抵御各種網(wǎng)絡(luò)風(fēng)險(xiǎn),保障企業(yè)的內(nèi)部網(wǎng)絡(luò)安全�。
2.6信息隱藏模式的有效應(yīng)用
企業(yè)可以有效應(yīng)用信息隱藏技術(shù),提高網(wǎng)絡(luò)信息安全質(zhì)量和水平���,保障信息及數(shù)據(jù)安全���。例如,采用高效的編碼修改方法進(jìn)行數(shù)據(jù)嵌入�����,如矩陣編碼�����,其可減少修改幅度�����;擴(kuò)頻嵌入�����,其使編碼更加專業(yè)化����、高級化、復(fù)雜化�����,很難進(jìn)行破譯���,降低密文信號(hào)的能量�,使其不易被檢測到����,增強(qiáng)信息的安全性和保密性。這些模式有利于企業(yè)對各種網(wǎng)絡(luò)攻擊進(jìn)行有效抵御�,保障企業(yè)信息化建設(shè)的穩(wěn)定性和安全性,實(shí)現(xiàn)企業(yè)應(yīng)有的經(jīng)濟(jì)效益和社會(huì)價(jià)值��。
3結(jié)語
對企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全管理問題進(jìn)行分析��,有利于企業(yè)應(yīng)用各種有效的方法����,提高企業(yè)網(wǎng)絡(luò)安全管理的質(zhì)量和水平,保障企業(yè)網(wǎng)絡(luò)和信息管理的安全性�,最終為企業(yè)實(shí)現(xiàn)良好的信息化建設(shè)做出重要貢獻(xiàn)�����。
主要參考文獻(xiàn)
[1]程華.對企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全管理問題探討[J].民營科技,2016(1).
[2]李永湘.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題研究[J].科技資訊,2016(8).
[3]王靜.當(dāng)前我國企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題研究[J].行政事業(yè)資產(chǎn)與財(cái)務(wù),2014(6).
篇8
關(guān)鍵詞:公共衛(wèi)生行業(yè)�����;計(jì)算機(jī)網(wǎng)絡(luò)安全管理���;安全技術(shù)防范;信息技術(shù)���;信息安全等級 文獻(xiàn)標(biāo)識(shí)碼:A
中圖分類號(hào):TP393 文章編號(hào):1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共衛(wèi)生行業(yè)承擔(dān)的職責(zé)主要包括重大傳染病防控��、慢性非傳染病防控��、衛(wèi)生監(jiān)督、職業(yè)病防制��、精神衛(wèi)生管理�、健康危險(xiǎn)因素評價(jià)、突發(fā)公共衛(wèi)生事件處置和兒童免疫接種管理等�,在管理過程中要涉及到大量的重要信息數(shù)據(jù),包括疾病監(jiān)測數(shù)據(jù)�、健康危險(xiǎn)因素監(jiān)測數(shù)據(jù)和免疫規(guī)劃管理數(shù)據(jù)等����,這就對公共衛(wèi)生行業(yè)在信息數(shù)據(jù)管理的方面提出了很高的要求���,務(wù)必要將計(jì)算機(jī)網(wǎng)絡(luò)安全管理防范問題放在重要位置���,從網(wǎng)絡(luò)防范技術(shù)和監(jiān)督管理等方面建立健全計(jì)算機(jī)信息安全保障體系,確保各類信息數(shù)據(jù)安全有效����。
2 目前公共衛(wèi)生行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題
2.1 數(shù)據(jù)信息安全威脅
信息數(shù)據(jù)面臨的安全威脅來自于多個(gè)方面,有通過病毒�、非授權(quán)竊取來破壞數(shù)據(jù)保密性的安全威脅,有因?yàn)椴僮飨到y(tǒng)故障����、應(yīng)用系統(tǒng)故障等導(dǎo)致的破壞數(shù)據(jù)完整性的安全威脅,有因?yàn)橛脖P故障����、誤操作等導(dǎo)致的破壞數(shù)據(jù)可用性的安全威脅,還有因?yàn)椴《就{�����、非授權(quán)篡改導(dǎo)致的破壞數(shù)據(jù)真實(shí)性的安全威脅,這些潛在的安全威脅將會(huì)導(dǎo)致信息數(shù)據(jù)被刪除�、破壞、篡改甚至被竊取�����,給公共衛(wèi)生行業(yè)帶來無法彌補(bǔ)的損失���。
2.2 安全管理缺失
公共衛(wèi)生行業(yè)在信息化建設(shè)工作中����,如果存在重應(yīng)用�����、輕安全的現(xiàn)象����,在IT系統(tǒng)建設(shè)過程中沒有充分考慮信息安全的科學(xué)規(guī)劃,將導(dǎo)致后期信息安全建設(shè)和管理工作比較被動(dòng)����,業(yè)務(wù)的發(fā)展及信息系統(tǒng)的建設(shè)與信息安全管理建設(shè)不對稱��;或由于重視信息安全技術(shù),輕視安全管理����,雖然采用了比較先進(jìn)的信息安全技術(shù),但相應(yīng)的管理措施不到位���,如病毒庫不及時(shí)升級�、變更管理松懈���、崗位職責(zé)不清��、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在���,很有可能會(huì)導(dǎo)致本不應(yīng)該發(fā)生的信息安全事件發(fā)生。
3 分析問題產(chǎn)生的主要原因
3.1 經(jīng)費(fèi)投入不足導(dǎo)致的安全防范技術(shù)薄弱
許多公共衛(wèi)生機(jī)構(gòu)的信息化基礎(chǔ)設(shè)施和軟硬件設(shè)備����,都是在2003年SARS疫情爆發(fā)以后國家投入建設(shè)的,運(yùn)行至今�����,很多省級以下的公共衛(wèi)生單位由于領(lǐng)導(dǎo)認(rèn)識(shí)不足或經(jīng)費(fèi)所限����,只重視疾病防控能力和實(shí)驗(yàn)室檢驗(yàn)檢測能力的建設(shè)���,而忽視了對公共衛(wèi)生信息化的投入,很少將經(jīng)費(fèi)用于信息化建設(shè)和信息安全投入����,信息化基礎(chǔ)設(shè)施陳舊、軟硬件設(shè)備老化����,信息安全防范技術(shù)比較薄弱,因網(wǎng)絡(luò)設(shè)備損壞���、服務(wù)器宕機(jī)等故障或無入侵檢測���、核心防火墻等安全防護(hù)設(shè)備,導(dǎo)致信息數(shù)據(jù)丟失�����、竊取的現(xiàn)象時(shí)有發(fā)生����,嚴(yán)重影響了重要信息數(shù)據(jù)的保密性、完整性和安全性��,一旦發(fā)生信息安全事件后果將不堪設(shè)想�����。
3.2 專業(yè)技術(shù)人才缺乏
建設(shè)信息化��、發(fā)展信息化最大的動(dòng)力資源是掌握信息化的專業(yè)技術(shù)人才����,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎(chǔ),然而��,公共衛(wèi)生行業(yè)的人才梯隊(duì)主要以疾病控制����、醫(yī)學(xué)檢驗(yàn)專業(yè)為主,信息化�、信息安全專業(yè)技術(shù)人才缺乏,隊(duì)伍力量薄弱���,不能很好地利用現(xiàn)有的計(jì)算機(jī)軟硬件設(shè)備�����,也很難對本單位現(xiàn)有的信息化�、信息安全現(xiàn)狀進(jìn)行有效的評估,缺乏制定本行業(yè)長期���、可持續(xù)信息化建設(shè)發(fā)展規(guī)劃的能力��,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因數(shù)�����。
3.3 信息安全培訓(xùn)不足�,職工安全保密意識(shí)不強(qiáng)
信息安全是一項(xiàng)全員參與的工作�����,它不僅是信息化管理部門的本職工作�,更是整個(gè)公共衛(wèi)生行業(yè)的重要工作職責(zé),很多單位沒有將信息安全培訓(xùn)放在重要位置�����,沒有定期開展信息安全意識(shí)教育培訓(xùn)�����,許多職工對網(wǎng)絡(luò)安全不夠重視,缺乏網(wǎng)絡(luò)安全意識(shí)����,隨意接收�、下載����、拷貝未知文件,沒有查殺病毒��、木馬的習(xí)慣���,經(jīng)常有意無意的傳播病毒�,使得單位網(wǎng)絡(luò)系統(tǒng)經(jīng)常遭受ARP�����、宏病毒等病毒木馬的攻擊��,嚴(yán)重影響了單位網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行�����;同時(shí),許多職工對于單位的移動(dòng)介質(zhì)缺乏規(guī)范化管理意識(shí)�����,隨意將拷貝有信息的移動(dòng)硬盤����、優(yōu)盤等介質(zhì)帶出單位,在其他聯(lián)網(wǎng)的計(jì)算機(jī)上使用��,信息容易失竊����,存在非常嚴(yán)重的信息安全隱患。
4 如何促進(jìn)公共衛(wèi)生行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全性提升
4.1 強(qiáng)化管理�,建立行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度
為了確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)行,建立出一套既符合本行業(yè)工作實(shí)際的�,又滿足網(wǎng)絡(luò)實(shí)際安全需要的�����、切實(shí)可行的安全管理制度勢在必行�����。主要包括以下三方面的內(nèi)容:
4.1.1 成立信息安全管理機(jī)構(gòu)��,引進(jìn)信息安全專業(yè)技術(shù)人才�����,結(jié)合單位開展的工作特點(diǎn),從管理�����、安全等級保護(hù)��、安全防范�、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡(luò)安全管理規(guī)定��。
4.1.2 制定信息安全知識(shí)培訓(xùn)制度�����,定期開展全員信息安全知識(shí)培訓(xùn),讓全體員工及時(shí)了解計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)最新動(dòng)態(tài)����,結(jié)合信息安全事件案列,進(jìn)一步強(qiáng)化職工對信息安全保密重要性的認(rèn)識(shí)�����。同時(shí)����,對信息技術(shù)人員進(jìn)行專業(yè)知識(shí)和操作技能的培訓(xùn)��,培養(yǎng)一支具有安全管理意識(shí)的隊(duì)伍�����,提高應(yīng)對各種網(wǎng)絡(luò)安全攻擊破壞的能力�����。
4.1.3 建立信息安全監(jiān)督檢查機(jī)制,開展定期或不定期內(nèi)部信息安全監(jiān)督檢查���,同時(shí)將信息安全檢查納入單位季度�����、年度綜合目標(biāo)責(zé)任制考核體系����,檢查結(jié)果直接與科室和個(gè)人的獎(jiǎng)勵(lì)績效工資��、評先評優(yōu)掛鉤�����,落實(shí)獎(jiǎng)懲機(jī)制��,懲防并舉�,確保信息安全落實(shí)無死角��。
4.2 開展信息安全等級保護(hù)建設(shè)
開展信息安全等級保護(hù)建設(shè)�����,通過對公共衛(wèi)生行業(yè)處理、存儲(chǔ)重要信息數(shù)據(jù)的信息系統(tǒng)實(shí)行分等級安全保護(hù)��,對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理���,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)�����、處置�����,建立健全信息安全應(yīng)急機(jī)制�����,定期對信息系統(tǒng)安全等保建設(shè)情況進(jìn)行測評��,存在問題及時(shí)整改���,從制度落實(shí)、安全技術(shù)防護(hù)�、應(yīng)急處置管理等各個(gè)方面��,進(jìn)一步提高公共衛(wèi)生行業(yè)信息安全的防護(hù)能力����、應(yīng)急處置能力和安全隱患發(fā)現(xiàn)能力���。
4.3 加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范
隨著信息技術(shù)的高速發(fā)展����,信息網(wǎng)絡(luò)安全需要依托防火墻����、入侵檢測、VPN等安全防護(hù)設(shè)施���,充分運(yùn)用各個(gè)軟硬件網(wǎng)絡(luò)安全技術(shù)特點(diǎn),建立安全策略層���、用戶層��、網(wǎng)絡(luò)與信息資源層和安全服務(wù)層4個(gè)層次的網(wǎng)絡(luò)安全防護(hù)體系�,全面增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性��。
4.3.1 防火墻技術(shù)。防火墻技術(shù)在公共衛(wèi)生行業(yè)網(wǎng)絡(luò)安全建設(shè)體系中發(fā)揮著重要的作用�,按照結(jié)構(gòu)和功能通常劃分為濾防火墻、應(yīng)用防火墻和狀態(tài)檢測防火墻三種類型���,一般部署在核心網(wǎng)絡(luò)的邊緣��,將內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離����,有效地記錄Internet上的活動(dòng)���,將網(wǎng)絡(luò)中不安全的服務(wù)進(jìn)行有效的過濾����,并嚴(yán)格限制網(wǎng)絡(luò)之間的互相訪問�����,從而提高網(wǎng)絡(luò)的防毒能力和抗攻擊能力��,確保內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行�����。
4.3.2 入侵檢測。入侵檢測是防火墻的合理補(bǔ)充���,是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視���,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備,檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法兩種�,利用入侵檢測系統(tǒng),能夠迅速及時(shí)地發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?���,F(xiàn)象,幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡(luò)攻擊�,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,在安全審計(jì)��、監(jiān)視���、進(jìn)攻識(shí)別等方面進(jìn)一步擴(kuò)展了系統(tǒng)管理員的安全管理能力��,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性�。
4.3.3 虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)�。VPN技術(shù)因?yàn)榈统杀尽⒏叨褥`活的特點(diǎn)��,在很多行業(yè)信息化建設(shè)中被廣泛應(yīng)用�����,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進(jìn)行數(shù)據(jù)傳輸?shù)?�,如中國疾病預(yù)防控制信息系統(tǒng)等�����,通過在公用網(wǎng)絡(luò)上建立VPN����,利用VPN網(wǎng)關(guān)將數(shù)據(jù)包進(jìn)行加密和目標(biāo)地址轉(zhuǎn)換,以實(shí)現(xiàn)遠(yuǎn)程訪問���。VPN技術(shù)實(shí)現(xiàn)方式目前運(yùn)用的主要有MPLS�����、IPSEC和SSL三種類型��,中國疾病預(yù)防控制信息系統(tǒng)VPN鏈路網(wǎng)絡(luò)采用的就是IPSECVPN模式����,利用VPN鏈路隧道,實(shí)現(xiàn)國家到省�、市、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享��。VPN通過使用點(diǎn)到點(diǎn)協(xié)議用戶級身份驗(yàn)證的方法進(jìn)行驗(yàn)證�����,將高度敏感的數(shù)據(jù)地址進(jìn)行物理分隔�,只有授權(quán)用戶才能與VPN服務(wù)器建立連接,進(jìn)行遠(yuǎn)程訪問���,避免非授權(quán)用戶接觸或竊取重要數(shù)據(jù)�,為用戶信息提供了很高的安全性保護(hù)���。
5 結(jié)語
在信息化高速發(fā)展的今天����,計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為影響公共衛(wèi)生行業(yè)健康穩(wěn)定發(fā)展的重要因數(shù)����,只有通過不斷完善網(wǎng)絡(luò)安全制度�,加大網(wǎng)絡(luò)安全軟硬件投入���、強(qiáng)化安全防范技術(shù)、開展信息安全等級保護(hù)建設(shè)���、加快信息安全人才培養(yǎng)和網(wǎng)絡(luò)安全知識(shí)培訓(xùn)等����,才能保障公共衛(wèi)生行業(yè)在良好的環(huán)境中有序���、順利的開展工作��。
參考文獻(xiàn)
[1] 龐德明.辦公自動(dòng)化網(wǎng)絡(luò)的安全問題研究[J].電腦知識(shí)與技術(shù)����,2009���,(6).
[2] 陳棠暉.淺析疾控系統(tǒng)的網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2011��,(4).
