信息安全培训方案范文

时间:2024-01-08 17:46:15

导语:如何才能写好一篇信息安全培训方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全培训方案

篇1

组织防火演练和消防培训活动是为了增强人们的安全防火意识的活动,让大家进一步了解掌握火灾的处理流程,增强人们在火灾中互救、自救意识。小编在这里给大家带来2020消防演练心得感悟_消防安全培训学习心得,但愿对你有借鉴作用!

消防演练心得感悟1针对防火的必要性,以及各项的消防知识,消防老师为大家示范灭火器、逃生绳等自救设备的使用方法,为大家上了一堂精彩而生动消防知识讲座。在课堂上,消防老师通过强烈震撼的火灾视频、生动的案例,条理清晰地从四个方面进行了详细讲解:

1、从发生火灾的起因强调提高安全防范意识的重要性;

2、从日常生活中的火灾隐患看加强学习消防知识的必要性;

3、掌握使用灭火器材的方法及其性能;

4、火灾现场自救逃生的技能和扑救初期火灾的时机和方法。

他重点讲授了火场逃生知识,并详细介绍干粉灭火器的构造和使用方法。

通过此次培训,我觉得一个学校要想做好消防安全,应从以下五点做起:

一、领导要重视。这是学校消防安全工作得以顺利开展的首要保证。各部门的负责人作为消防安全工作的第一责任人,要加大对安全工作的管理力度,定期组织安全检查,查处隐患限期整改反馈,切实地把消防安全工作与生产经营管理工作相结合,确保各项工作能顺利进行。

二、宣传教育要到位。这是学校消防安全工作得以顺利开展的第一前提。要通过开展培训讲座,发放消防宣传资料和组织专业人员到生产一线宣讲等形式宣传消防安全知识,宣传教育面要达到100%,提高职工的消防安全意识,提高职工在事故发生时的施救、自救能力。

三、制度措施要到位。这是学校消防安全工作得以顺利开展的软件保障。要根据上级有关消防的法律法规,结合本单位实际制定出一套行之有效的制度和措施,并严格抓落实,奖优罚劣,保障消防安全的各项工作能正常有序开展。

四、消防器材配备要到位。这是学校消防安全工作得以顺利开展的硬件保障。根据消防管理部门,配备足够数量的消防器材,定期对消防设备进行检查和保养,对到期的器材及时换药,以备发生事故时能及时启动。

五、思想意识要到位。这是学校消防安全工作得以顺利开展的重要基础。加大对专(兼)职安全员的培训力度,提高安全员的业务素质,培养出一支具备不计得失、乐于奉献、忠于职守和敢抓敢管精神的专业队伍,提升学校安全管理水平。定期组织消防演练,提升学校对事故的防范能力。

安全是学校的永恒课题,“水火无情、全员皆知”。消防安全事关学校的稳定和职工生命的安全,工作任重而道远,我们只有把各项工作长抓不懈,真正落实“五个到位”,消除隐患以防为主,才能保持学校消防安全局面长期稳定。

消防演练心得感悟2冬姑娘迈着沉重的步伐悄悄的走来了,寒风呼呼的吹着,吹走了树木的盛装,吹的金黄的小草,姹紫嫣红的花儿都弯下腰,低下了头,静静的睡去了,一切都笼罩在一片寂静中,只有风儿狂奔时号叫的声音。

突然,广播声把这片沉静打破了,只听广播中说,我校这天要搞一次消防演习,以备后患,具体安排是只要他一声令下我们就跑到操场上集合,只听“跑”的一声,我们都奋力冲出教室,那时心中只有一个信念,就是以最快的速度冲向目的地,脚下像生了风一样,跑的飞快,等跑到操场上时,已经有很多人了,回望后面,还有许多人在努力的向这边跑来,有的则说说笑笑,像是散步,脸上洋溢着笑容向这边“跑”来,因为是第一次,大家都很配合,按照老师的意思去做。当第二次起跑时,大家都不约而同的放慢了速度,步伐不再那么矫健,细细一看,大家都是手牵手一齐跑的,到了终点我就在想,如果大火真的降临在我们头上,那我们还会不会拉上自己的朋友一齐向前跑,当看到有人跌倒时,还会不会有人去搀扶他一齐逃离火灾现场。回到教室,我情不自禁的对同学们说了我刚才的疑惑,大家都表示会带上朋友一齐逃跑,他们有的说朋友就是有福同享,有难同当的,有的说到了关键时刻更就应不能只顾自己,置别人的生命于不顾,我听了十高兴,真是大火无情人有情,我相信只要各个部门、单位做好放火措施,火灾不会发生,即使发生,只要我们齐心协力,有秩序的逃离,我相信我们必须能够战胜火灾,逃离危险区域。放学后,同学的回答久久

萦绕在我心头,他们的话语总是在我耳边回响,只要人人都能够像他们回答的那样,那么建立平安上海这一奋斗目标就离我们越来越近了,校园这一消防演习好处十分重大,教育孩子火灾逃生,以及一些应对措施,使我们心里有个准备,要不然火灾突然降临,对于我们来说肯定是手足无措的,十分的慌乱,到时候只会带来更加严重的后果,这样使我们懂得如何在大火中逃生,只要大家都团结在一齐,大火并不可怕,人们在火灾中那份互帮互助的情感足以扑灭大火。

大火无情人有情,纵使火灾十分的可怕,但只要我们齐心协力就能够扑灭火灾,要是人人心中都有助人为乐的想法,都有一颗火热的心,那我们的社会会更加的和谐、完美,让我们一齐努力,为建设平安上海,和谐社会一齐奋斗吧!

消防演练心得感悟3为了加强消防知识的普及,让学生更加体会到消防知识的重要性,我校于5月25日上午进行了应急消防疏散演练活动。

消防演练的目的是让我们在火灾来临时能够更好地、本能地、镇静地去应对,这对我们来说是一次次的锻炼和为生命在演习。让我们的生命更加安康,透过这次消防演练,我看到了生命的延续,无私无畏精神的体现,更加体现出我们的本质,在慌乱中有备不乱的逃生,这是我们对生命的尊重,对生命的肯定和爱护。

安全职责大于天,生命诚可贵,在生命面前我们要重视自己的职责,安全为自己的生命竖立一道坚固的堡垒。将不安全因素阻挡在外,将萌芽扼杀在摇篮中。为了生命而奋斗,为了家人和自己而去践行安全准则。

在火灾面前,要迅速逃生,不要贪恋财物,只有生命在,钱财随时都能够赚回来,不要迎风快跑,更不要乘坐电梯逃生,以免被困无法脱险,要捂住口鼻,弯腰前行,以免吸入超多烟雾导致窒息,如果烟雾过大,无法逃生,等待救援,发出救援信号,水火无情,在灾害面前,我们要有一颗平静的心来应对,更要了解一些常识性的逃生方法和急救方法和措施。在灾害面前,我们的力量是弱小的,我们务必要珍惜自己的生命。

不要玩火、不要抽烟、不要随意点火,注意自身安全,珍爱他人健康,我们要珍爱生命,远离火灾。

消防演练心得感悟4为增强全校师生的消防安全意识,初步掌握火场逃生、自救的方法,提高同学们对发生火灾等突发事件的应变能力,3月11日下午我们在学校举办了针对全体师生的消防演练应急活动。通过这次演习,同学们对应急疏散的程序,逃生和灭火知识有了切身的体会,一定程度上对火灾事故应急疏散、正确逃生有了进一步的实际体验。

下午第三节课,教室里按照正常的课程进行教学着,不一会儿随着一声刺耳的警报声,消防演练正式开始。为了让演习更有真实性,学校分别在二楼、三楼设置了两个模拟火点。各年级的学生在听到指令后,在班主任的带领下,安全、有序、迅速撤离教室,并按指定路线到达安全地带。同学们立即按照正确的逃生方法去做,都用袖口捂住口鼻然后弯着腰快速地,有秩序地向教室外逃生,在老师们组织学生向外逃生时,心里很紧张,直到我确定最后一名同学走出教室时,我才急忙追赶上最后的队伍,全班脱离危险区到达安全的操场上时,用时只有一分钟,并且无一人走失.这时,我那颗悬着的心才平静下来.原来的一场演习,老师和同学的紧张逃生却好像置身于真的火灾逃生中.在大家的共同努力下,这次消防演练顺利完成。

演练结束后,消防员对本次活动进行了总结,为同学们提出了一些安全建议,提醒大家不忘安全意识。同时为了使学生对消防演习更加的深刻认识,进行了一个类似逃生的“瓶口逃生”小游戏,每个班级派代表上台进行游戏,让学生从这个小游戏中认识到,逃生的有序的重要性,肯定了这次演练活动的成功,也指出了一些不足的地方。

这次消防演习活动,不仅让学生们树立了“以人为本,生命至上”的思想信念,又让师生们学会了怎样预防火灾和火灾中的逃生方式,进一步增强了学校的消防安全意识和广大师生的逃生自救能力,也为学校今后处理各类安全应急预案和实际操作提供了一次难得的机会。

消防演练心得感悟5中午2:30,校园里浓烟滚滚,随后阵阵火警声响彻校园。随着阵阵火警声,从广播里传来了缪老师焦急的声音:“同学们请注意!请注意!火势已经曼延到了一楼,请一楼的同学火速撤离教室!一楼的同学听到警报声后,连忙从位子上站起来,猫着腰火速离开了教室。等一楼的同学撤离后,广播里又传来了缪老师急促的声音:“三楼的同学请注意!请注意!紧张的逃生刚结束,接着是灭火演习。校长洪亮地宣布:“灭火演习现在开始!”话音刚落,操场上响起来热烈的掌声。消防叔叔们把火点燃了。火好大呀,在这燃眉之急,消防叔叔个个拿起灭火器直往火炉里喷,只见粉沫纷飞,我还来不及看清楚,火竟然灭了,叔叔的动作好快呀!还向大家介绍了消防车上的装备,示范了快速穿消防服。同学们也积极参与到实践体验中来。虽然他们的动作有点生疏,但热情非常高。

在这次消防演习中,我学会了如何安全的逃身、如何灭火、如何快速穿消防服,知道了消防车上的一些装备。也深深的明白了遇到任何事情要镇静,不要慌张。---------曾经的我们,不知道进行过多少次的消防演练。“你们大家一定要排成一队,不要拥挤,一定要迅速的跑去操场集合,这是要进行考核的。”班主任一次又一次的反复重复着这些话,可每当我们听到警报一响的时候,就会迅速的冲出教室,刚才班主任说的一切好像都抛到耳后去了。可这一次却不一样,所有人井然有序的从班级出来,排成很整齐的一队迅速地下楼,听着那按照规律发出的脚步声,我心里不知怎么的就冒出了一个念头:大家,真的都长大了。是啊,又是一年,又长大了一岁,按照爸妈的话就是:咱又老了一岁。我们真的有成熟了一些,老师说的每一句话都会放在心头了,都会铭记在心里的最深处,因为那时我们最最宝贵财富。

这次的消防演练和以往的不同,我们还真正的亲手去体验了一把用灭火器灭火的滋味,虽然说并不是所有人都尝试了,但是我们都看见了那个场景,看着浓浓的白烟飘过来,虽然说很呛,但是我们经历过了“火灾”,我们以后就不会再害怕了对不对?我们都学会了要如何使用灭火器。其实,最后回班的时候我碰见体育老师了,我悄悄地问了一句:“灭火器好不好玩?”他告诉我说很好玩,我也很想去玩玩,但是我又不想要遇到危险,所以呢,还是算了吧。为了自己的生命安全。我不知道为什么,自己会有想玩灭火器的想法,我在想,我只是个孩子,我无权去考虑任何人的事情,但是,我觉得,我们可以真正的去了解安全、这个词了。

篇2

“中国企业员工的信息安全意识可谓不容乐观,提升员工信息安全意识刻不容缓。”谷安天下副总经理魏彩霞对当前企业员工的信息安全意识现状表示担忧,“不同行业的信息安全意识现状不同,电信、金融等行业由于业务的特殊性,安全意识较高,而其他行业的信息安全意识整体状况则依旧薄弱”。

调查显示,接近50%的受访者认为单位领导的信息安全意识一般、很差或者还不如自己。而据魏彩霞介绍,一些企业中即使领导非常重视信息安全,希望提升员工的保密意识,但“只是看到别人的明文密码导致信息泄漏就更改自己的网页设置等单个事件,并不能系统地提升企业员工整体的信息安全意识”。

由于员工信息安全意识薄弱而给企业带来灾难性损失的案例屡见不鲜。据统计,世界上每分钟就有两家企业因为信息安全的问题而倒闭。而在所有信息安全事件中,只有20%~30%是因为黑客入侵或其他外部原因造成,另外70%~80%是由于内部员工的疏忽或有意泄漏造成,而78%的企业数据泄漏是由于内部员工不规范的操作造成的。

篇3

随着计算机软件技术的发展,特别是分布式和软件移动计算的广泛应用,使得系统开放性越来越强,局域网内的用户都可能访问到应用系统和数据库,这给医院信息安全带来了极大的挑战。从收费数据到医疗信息、从病人隐私保密到管理信息的保密,都要求医院管理系统要处于高度安全的环境中。医院信息系统的稳定和安全运行,是医院持续正常工作的组成部分。作为一个持续运行的事务处理系统,要求能每天24小时不间断运行,不希望有中断,否则会使医院的声誉受到影响。同时,随着业务的发展,系统数据量的增加,要求系统能稳定地运行,不能使系统性能快速降低。在一些重要的系统中,如财务、人事、医保实时交易等信息,已经不能满足于简单的本地保护,要求有更高的系统可靠性,保证系统能进行容灾保护。一旦出现异常情况,如火灾、爆炸、地震、水灾、雷击或某个方向线路故障等自然原因以及电源机器故障、人为破坏等非自然原因引起的灾难后,系统能快速稳定地恢复正常工作。因此,信息安全已经不是人们传统意义上的安全概念,是要保证系统避免一系列威胁,保证医院业务的连续性,最大限度地减少医院业务的损失,为医院的业务发展提供信息安全保障。本文作者根据多年来从事医院管理信息系统和网络系统的建设及维护工作的经验出发,探讨安全建设和日常维护工作。

二、安全的硬指标

系统安全的硬指标考虑的问题是多方面的,包括如下。

(一)中心机房安全

中心机房是医院信息系统设备的存放地,包括数据库服务器、磁盘阵列、网络主交换、应用服务器等设备,因此对环境的要求极高,应该做到:1.机房供电不少于两路;2.双路UPS供电、并采用智能报警管理UPS;3.防静电地板、玻璃隔断、防火墙面处理、外窗防水处理;4.火灾探测器、防窃探测器;5.温度、湿度恒定,防尘,防虫鼠;6.三相四线双变电站供电,安装应急照明系统;7.专用机房接地系统,与主配线柜、主设备柜、防静电地板下的接地线(环)相连;全方位防雷系统,强电、弱电都应安装防雷保护器等。

(二)服务器及服务器操作系统安全

服务器是数据处理的核心单元,是软件安全的基础,因此,其安全应该做到:1.根据医院业务状况决定采用PC服务器或小型机,并配备磁盘阵列、冗余电源、大规模内存和高速缓存的自动纠错,保证在连续工作状态下保持稳定、快速;2.对服务器进行隔离,并采取严格的安全管理,各开箱锁单独保存;3.应用程序服务器和数据库服务器必须严格分开;4.服务器操作系统应采用安全机制较高的系统,如Windows2000或Unix等;5.网络操作系统的用户资源权限控制以及安全审计等功能必须开启;6.操作系统不相关的应用服务必须关闭;7.操作系统安全布丁必须定时更新。

(三)群集技术及磁盘阵列的可靠性

群集技术是能使服务器连续可靠运行的重要保证,简单地说是两台服务器采用双机热备份工作状态,当一台机器出现问题后另一台机器能快速接替主服务器的工作;服务器中易损部件是硬盘,硬盘损坏可以造成系统瘫痪,因此采用磁盘阵列进行冗余,其要求如下:1.为了避免出现灾难性后果,必须每天检查群集工作状态;2.当群集中一台机器出现问题时应该马上解决,检查主服务器,尽早恢复其工作;3.RAID保证数据库的高可靠性,保证在部分存储介质损坏时数据不丢失;4.必须定时检查硬盘工作情况,发现问题及时处理。

(四)网络安全

网络安全主要是指当用户通过网络访问应用服务器和数据库服务器时如何保证网络链路的安全,包括网络布线安全和网络设备安全。特别还应注意设备的软故障,软故障将造成网络系统长时间无法正常运行,使得医院处于一种半瘫痪状态。软故障包括广播风暴、交换机等设备处于时好时坏状态、网络以极慢速率传输数据、频繁出现丢包现象等,因此,基于安全的要求:1.对于光纤介质要求包括温差、阳光、鼠害、碰撞摩擦、拐角半径等的防护环境;2.对于双绞线介质要求包括磁场、雷击、电磁干扰、鼠害、温差、湿度等的防护环境;3.网络设备对环境的要求包括温度、湿度、洁净度、电源质量等;4.核心交换机也须采用双冗余进行备份,确保该交换机出现故障后备份交换机能迅速接替工作;5.定时观察服务器网络传输数率。

(五)数据库安全

在医院信息系统的后台,数据信息是整个系统的灵魂,其安全性至关重要,而数据库管理系统是保证数据能有效保存、查询、分析等的基础;数据被安全存储、合法地访问数据库以及跟踪监视数据库,都必须具有数据有效访问权限,所以应该实现:1.数据库管理系统提供的用户名、口令识别,试图、使用权限控制、审计、数据加密等管理措施;2.数据库权限的划分清晰,如登录权限、资源管理权限和数据库管理权限;3.数据表的建立、数据查询、存储过程的执行等的权限必须清晰;4.建立用户审计,记录每次操作的用户的详细情况;建立系统审计,记录系统级命令和数据库服务器本身的使用情况。

(六)数据存储安全

数据存储安全是数据库存储的信息不能因自然灾害、人为原因和设备损坏而被破坏,同时保证数据可以长期保存,备份的数据可以正确恢复,其要求如下:1.建立数据备份方案,严格按照规定的备份时间、方式进行数据备份;2.数据备份要有多重冗余备份,要有异地数据备份,当某一地点数据丢失或破坏时,另一地点保存的副本可用于恢复;3.数据部分的有效性检查,保证备份的数据万无一失,做到定期检查;4.建立快速恢复机制,明确出现故障后的快速恢复手段与方法,而且必须对之进行阶段性检查,进行灾难模拟测试。

(七)应用软件的安全

由于医院信息系统的用户量大、数据量大、涉及面广、职责多样、业务流程复杂和权限管理复杂等,所以对应用程序,系统安全设计的要求很高。1.设计安全审计功能,且每个审计事件都应和触发该行为的用户身份相关联;2.审计查阅功能,为审计功能提供清晰易懂的审计日志;3.审计事件存储,审计日志存储空间溢满时能导出审计日志并妥善保存;4.设计访问控制策略和访问控制功能;5.设计用户标识、用户主体绑定;6.设计多重会话并发限制、会话锁定。

(八)病毒防护和防黑客攻击安全

计算机病毒在网络中的危害远大于对单机的危害。网络发生计算机病毒后最难处理的问题是清除病毒。对于服务器等关键设备应安装杀毒软件和防黑客攻击软件,网络环境下要把防止计算机病毒进入系统放在首位,基于以上安全特性,要求:1.设备VLAN,在主域服务器上安装网络版杀毒软件和防黑客攻击软件;2.定时更新病毒库和杀毒引擎;3.定时更新操作系统漏洞布丁;4.关闭不用的操作系统服务;5.关闭不用的端口;6.尽量将医院的内网与外网做到物理上的完全隔离。

三、安全的软指标

系统安全的软指标是指管理制度、应急方案、操作规范和安全培训制度等。

(一)组织

成立系统安全工作领导小组、确定第一责任人、责任部门、相关部门和部门负责人,明确安全责任制,并定期检查、督促落实。

(二)制度

建立信息安全管理制度也是安全管理的重要组成部分;完整的计算机文档是分析故障、排除故障的基础,是系统正常运行的保证;工作制度的建立与系统建设同步开始;同时,在日常工作中应该根据系统设置的变化进行修改,保证文档和制度能真实反映系统状态,具体制度为:1.建立网络服务器管理制度;2.建立网络设备管理制度;3.建立网络工作站管理制度;4.建立网络工作人员管理制度;5.技术文档管理制度;6.“第三方”访问管理制度。

(三)信息安全操作规范

很多安全隐患都来自于操作不规范,口令定期调整、程序升级、日志检查都可能杜绝掉很多安全隐患,因此,应建立如下规范:1.建立操作系统操作规范;2.建立数据库系统操作规范;3.应用系统操作规范。

(四)应急方案

医院信息系统应急方案是在计算机出现故障,且不能短期完全恢复运行,并影响到局部或整体工作时,只有采用人工的方式来开展工作,保证正常医疗活动不被完全打乱,因此应做到:1.确定应急方案实施责任制;2.应急方案实施范围和时间;3.应急方案通报制度;4.系统故障一般应急措施;5.业务应用应急实施细则。

(五)安全培训制度

信息中心应负责全院相关部门和人员的信息系统安全教育和使用培训的计划制定、实施和组织协调工作:1.制定相应的安全培训大纲、培训计划,有计划地加以实施;2.对医院决策层和管理层的应知应会培训,充分认识信息安全的重要性和信息安全防御体系建设的必要性;3.对计算机科室管理人员的技能培训;4.对操作层面人员的使用培训;5.知识更新培训及业务再培训。

四、探讨

以上的框架描述只是从作者的工作经验和部分理论指导的角度出发,因此很多地方还有待探讨。不同的医院有不同的情况,不能一概而论,包括管理现状、资金状况、人员配备、技术支持等都会影响到信息安全的实施。医院如何开展信息安全工作,应该本着从实际出发的精神,先进行风险评估,研究信息系统存在的漏洞缺陷、面临的风险与威胁,对于可能发现的漏洞、风险,制定相应的策略:首先在技术上,确定操作系统类型、安全级别,以选择合适的安全的服务器系统和相关的安全硬件;再确定适当的网络系统,从安全角度予以验证;选择合适的应用系统,特别要强调应用系统的身份认证与授权。在行为上,对网络行为、各种操作进行实时的监控,对各种行为规范进行分类管理,规定行为规范的范围和期限,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,限制一些不安全的行为。在管理上,制定各项安全制度,并定期检查、督促落实;确定医院的安全领导小组,合理分配职责,做到责任到人。当然,还要意识到信息安全工作的开展有可能会影响到系统使用的方便性,毕竟,安全和方便是矛盾的统一体,要安全就不会很方便,相关工作效率必定降低,要方便则安全得不到保证,因此必须权衡估量。

篇4

信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。

 

一、信息安全培训体系概况

 

信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。

 

第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。

 

第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。

 

第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。

 

第四,认证资质培训:其针对特殊岗位所需的职能人员,包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训,可以帮助人员顺利通过考试获得各类信息安全资质认证培训。

 

前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。

二、信息安全相关资质认证培训情况

 

资质认证类培训是针对资质认证特点和内容要求设计,依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前,信息安全相关资质认证主要分三类:

 

第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。

 

第二,由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有:微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。

 

第三,国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有:信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。

 

下面以CISP培训为例,分析其知识体系构建情况。

 

CISP即“注册信息安全专家”,是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力:有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。

 

在整个CISP的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类,分别为:(1)信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。

 

CISP的注册要求如下:

 

第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。

 

第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。

 

第三,培训资格:在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。

 

第四,通过由CNITSEC举行的注册信息安全专业人员考试。

 

三、信息安全专业培训体系构建的建议

 

1.构建完善的高校信息安全专业人才培训体系

 

传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;

 

技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。

 

2.建立逐级培训的信息安全专业人才培训模式

 

当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。

 

3.通过合理的认证标准来动态更新和完善培训体系的目标任务

 

只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。

篇5

论文关键词:电力;信息安全;解决方案;技术手段

1电力信息化应用和发展

目前,电力 企业 信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;vlan,mpls等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。 计算 机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和 经济 效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力 工业 的发展。

2电力信息网安全现状分析

结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、verjtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。

3电力信息网安全风险分析

计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。

缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。

计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。

数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。 

4电力信息网安全防护方案

4.1加强电力信息网安全 教育

安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。

主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。

信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。

4.2电力信息髓安全防护技术措旌

(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。d m z区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。

(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。

(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供 企业 级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为 网络 管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。

(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持tcp/ip协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。

扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。

(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。

(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过vpn技术,提高实时的信息传播中的保密性和安全性。

(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。

(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。 

4.3电力信息网安全防护管理措施

技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。

(1)要加强信息人员的安全 教育 ,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。

(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。

(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。

(5)加强信息设备的物理安全,注意服务器、 计算 机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。

5电力信息网络安全工作应注意的问题

(1)理顺技术与管理的关系。

解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。

(2)解决安全和 经济 合理的关系。安全方案要能适应长远的 发展 和今后的局部调整,防止不断改造,不断投入。

(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。

(4)网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施。

篇6

关键词 电力企业;信息系统;信息安全

中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2011)122-0116-01

电力作为国民经济的基础设施行业,在国内较早开始了信息化建设工作。企业门户、安全生产、营销管理、协同办公、电力负荷控制、客户服务等信息网络技术已经成功应用到各级电力企业。随着电力信息化建没和应用的快速发展,信息安全问题已日益突出,并成为国家安全战略的重要组成部分。

研究信息安全技术,建立电力信息系统的安全防护体系和安全模型,对确保电力系统安全稳定、经济优质运行,加速实现“数字电力系统”的进程具有重要的现实意义。

1 电力信息系统安全需求

一个全面、合理的电力信息系统安全体系和模型,应该满足下列安全需求。

1)机密性。即确保信息仅对被授权者可用。信息的保护通过确保数据被限制于授权者(这里通过可审性来配合)使用,另外还应考虑信息所在的形式和状态,是物理的纸面形式、电子文档形式,还是传输中的介质形式。

2)完整性。是指数据不以未经授权方式进行改变或损坏的特性。电力企业的许多开放系统应用都有依赖于数据完整性的安全需求。完整性同样应考虑信息所在的形式和形态。

3)可用性。指确保被授权用户在需要时可以访问系统中的信息和相关资产,不会因自然或人为原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏、被拒绝达到不能容忍的程度。

4)可控性。指授权机构对信息的内容及传播具有控制能力,可以控制授权访问内的信息流向以及方式。

5)不可抵赖性。也称信息的可确认性,是传统社会的不可否认需求在信息社会的延伸。不可抵赖性包括:证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。

6)可审性。可审性不是信息自身的安全需求,不能针对攻击提供保护,但具有信息的责任需求,和他安全需求相结合使之更加有效。虽然可审性需求会增加系统的复杂性,降低系统的使用能力。但是其事后可追查这一特性,在电力信息系统安全中是重要的。

以上六个方面是保证信息系统的信息安全最基本的需求,它们互不能蕴含。

2 电力信息系统面临的威胁和安全风险

电力信息系统安全在过去几年虽然已经取得了长足发展,但是在信息系统的规划、建设和运行维护过程中需要研究和解决的问题还很多。

1)面临的威胁电力信息系统面临的威胁来自各个方面。归结起来主要包括以下几个方面:①电力信息系统组件固有的脆弱性和缺陷;②地震、雷击、洪灾和火灾等自然威胁;③意外人为威胁;④恶意人为威胁。

2)电力信息系统存在的安全风险。信息安全风险和信息化应用情况及采用的信息技术密切相关,电力企业信息系统面临的主要风险存在于以下几个方面:①计算机病毒的威胁最为广泛;②网络中服务器被黑客攻击的事件层出不穷;③网络安全问题日益突出,这是电力企业面临的一个非常突出的问题;④电力企业与外单位信息传递的安全不容忽视;⑤电力企业用户身份认证和信息系统的访问控制急需加强。

3 电力信息系统安全的建设

为加强和规范信息安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,结合电力企业自身的特点,坚持“安全第一,防御为主”方针,有目的、合理地设计电力信息系统安全体系和模型,建立健全与信息化相适应的信息安全保障、监督体系,积极防御和综合防范信息技术风险。

1)建立信息安全工作机制。信息系统实行统一领导、分级管理,明确各单位主要负责人是本单位信息系统安全第一责任人。将信息系统安全纳入公司安全管理体系,实行专业管理、归口监督,明确责任人员,提高各级人员的信息安全意识,实现信息系统安全管理和防御措施落实到位。

2)明确信息安全管理范围和任务。全面加强一体化企业级信息集成平台和业务应用的安全管理,确保信息系统持续、稳定、可靠运行。坚持“分区、分级、分域”总体防护策略,实行“双网双机”,按照 “三同步”原则,与信息系统建设同步规划、同步建设、同步投入

运行。

3)完善信息安全管理制度体系。统筹规划,突出重点,加快信息安全管理制度和标准规范建设步伐,强化信息安全规章制度落实工作。严格遵守“不上网、上网不”纪律,开展网络与信息系统定级、审批、备案工作。加强信息系统运行维护全过程管理,不断完善应急预案。建立备份与恢复管理相关安全管理制度。

4)严格执行电力二次系统安全防护规定。要切实贯彻落实电力二次系统安全防护总体方案及各级调度中心二次系统安全防护方案,切实将其纳入电力安全生产管理体系,建立健全电力二次系统安全联合防护和应急机制,制定并完善应急预案。按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,加强调度数据网络的建设和安全符理。

5)加快信息安全管控手段建设。全面推进个人终端标准化建设工作,实现个人终端补丁程序、病毒软件自动更新、升级,强化防木马病毒等安全措施。增加信息安全监控措施,加快建立信息安全监控手段,实现对防火墙、入侵检测等安全防护设施的集中监视和事件预警。

6)强化信息安全应急与通报工作。不断完善信息安全应急机制,制定预案,加强演练。规范信息安全事件通报程序,及时传达国家和企业信息安全运行动态,及时响应和处理信息安全事件,加强事件分析,实时安全通告。

7)高度重视信息安全保密工作。严格做到“计算机不上网,上网计算机不”,禁止内容在互联网上存储和交叉使用,加强安全保密管理,严格人员审批,及时开展信息系统安全保密检查,做好文档的登记、存档、销毁、定密、解密等各环节工作,及时发现泄密隐患。

8)提高全员信息安全意识。开展全员信息安全培训,全面树立决策层、管理层、操作层信息安全风险意识,不断积累信息安全管理经验。开展不同层面的安全教育和培训工作,适应信息技术发展的潜在

要求。

参考文献

[1]计算机网络技术[M].西安电子科技大学出版社,2006.

篇7

[关键词]多体系;整合;实施方案

doi:10.3969/j.issn.1673 - 0194.2015.16.094

[中图分类号]F279.23 [文献标识码]A [文章编号]1673-0194(2015)16-0-01

1 多体系独立运行存在的问题

公司内通常有多个体系同时并存,如质量管理体系ISO 9001、职业健康体系ISO 18000、环境管理体系ISO 140000、信息安全管理体系ISO 27001、IT服务管理体系ISO 20000以及信息安全资质等,让这些体系“和平共处”非常重要。如不能很好地解决这些体系的共存问题,各个体系将出现“打架”现象,轻则体系运行出现障碍,重则会让整个公司管理体系运行陷入瘫痪状态。

在一些公司中,由于历史原因,多个体系分别独立运行,或者仅有少量体系简单整合,这给体系的良好运转带来极大挑战。

1.1 过程文件 “打架”

同样的事情,可能有多个不同的文件约定,如“培训管理制度”在多个“体系”中同时存在,不同的“体系”中“培训管理制度”因特定体系的要求不同,其内容亦存在差异,如在ISO 20000体系中的“培训管理制度”规定每年年底收集培训需求并制订来年培训计划,而ISO 27001体系中规定每年年初收集培训需求并制订培训计划。这会引起培训专员在实施培训时的困惑,不确定究竟要按照哪个“培训管理制度”执行。

1.2 过程难以实施

各个标准体系,其视角不同,对应的约定不同,但这些约定可能是针对公司同一个业务的不同方面,如在体系中不加以整合,则其实施会遇到很大挑战。如基于ISO 9001,公司制订了项目管理过程,针对项目从立项到结项的一列过程,而公司可能在ISO 27001中的“信息安全管理制度”中,根据ISO 27001附录A6.1.5中有关对项目管理中信息安全要求,做出在项目实施过程中的信息安全要求“在项目实施计划中,采用风险分析方法,分析项目信息安全风险,并根据分析结果,制订信息安全实施措施”。这导致在业务过程中没有规定其实施要求,这些要求反而分散在体系中各个不起眼的过程中,过程实施者在实施时很难联想到这些规定,也无法很好地实施这些规定。

2 多体系整合实施思路

多体系整合基本上分4步进行。

2.1 合并同类项

这一步相对简单,将相同的过程合并成同一个过程,如多个体系均有“培训管理制度”,则保留其中一个就可以。

如果在多个体系中,有相同的管理制度,则保留一个即可,如这些约定有少量不同,则检查不同点在哪里。不同点一般有两种情况:一种是各个体系分别增加的,互不影响的约定,如ISO 20000“培训管理制度”中有关培训内容部分约定需要做IT服务意识培训,而在ISO 27001中相应内容则约定需要做信息安全培训,则只需要将这些约定整合在一起即可。另外一种情况是有冲突的约定,此时需要仔细分析甄别,取其中的合理成分。

如果在多个体系中,针对不同的业务,有类似的管理制度,则需将相同的内容加以整合,如公司系统集成有“系统集成项目实施制度”,软件开发有“软件开发项目实施制度”,运维服务有“运维服务项目实施管理制度”,这些项目实施管理制度,表面上看有诸多不同,但实际上,除部分细节差异外,其管理过程基本上完全一致,对其进行分析、整合,形成统一的、满足公司所有项目实施的“项目管理制度”,有利于公司的过程规范和执行。

2.2 交叉融合

在该步骤中,将同一个过程中的不同约定,整合在一起,方便过程的执行。

如ISO 27001附录A6.1.5中有关对项目管理中信息安全要求,不再独立形成文件另行规定,而是整合在公司的“项目管理制度”中。

在该步骤中,实施的重点在于如何将不同文件的不同规定整合在一起。

2.3 过程验证

对每个过程,针对公司的实际情况进行演练和验证,确保各个过程符合公司现状,过程定义规范、完整、可行。

2.4 过程对标

将整合好的管理体系,按照各ISO体系资质要求,找出每个标准、每个条款对应的过程文件,形成《标准条款对应一览表》,以确认体系符合各个标准。

如该步骤不能通过,则返回第三步。

篇8

【关键词】 电力企业;网络安全;安全策略

一、安全风险分析

电力企业计算机网络一般都会将生产控制系统和管理信息系统绝对分隔开来,以避免外来因素对生产系统造成损害,在生产控制系统中常见的风险一般为生产设备和控制系统的故障。管理网络中常见的风险种类比较多,通常可以划分为系统合法用户造成的威胁、系统非法用户造成的威胁、系统组建造成的威胁和物理环境的威胁。比如比较常见的风险有操作系统和数据库存在漏洞、合法用户的操作错误、行为抵赖、身份假冒(滥用授权)、电源中断、通信中断、软硬件故障、计算机病毒(恶意代码)等,上述风险所造成的后果一般为数据丢失或数据错误,使数据可用性大大降低。网络中的线路中断、病毒发作或工作站失效、假冒他人言沦等风险,会使数据完整性和保密性大大降低。鉴于管理网络中风险的种类多、受到攻击的可能性较大,因此生产控制系统和管理系统之间尽量减少物理连接,当需要数据传输时必须利用专用的通信线路和单向传输方式,一般采用防火墙或专用隔离装置(一般称做网闸)。

二、安全需求分析

一般电力企业的安全系统规划主要从安全产品、安全策略、安全的人3方面着手,其中安全策略是安全系统的核心,直接影响安全产品效能的发挥和人员的安全性(包括教育培训和管理制度),定置好的安全策略将成为企业打造网络安全最重要的环节,必须引起发电企业高度重视。安全产品主要为控制和抵御黑客和计算机病毒(包括恶意代码)通过各种形式对网络信息系统发起的恶意攻击和破坏,是抵御外部集团式攻击、确保各业务系统之间不产生消极影响的技术手段和工具,是确保业务和业务数据的完整性和准确性的基本保障,需要兼顾成本和实效。安全的人员是企业经营链中的细胞,既可以成为良性资产又可能成为主要的威胁,也可以使安全稳固又可能非法访问和泄密,需要加强教育和制度约束。

三、安全思想和原则

电力企业信息安全的主要目标一般可以综述为:注重“电力生产”的企业使命,一切为生产经营服务;服从“集约化管理”的企业战略,树立集团平台理念;保证“信息化长效机制和体制”,保证企业生产控制系统不受干扰,保证系统安全事件(计算机病毒、篡改网页、网络攻击等)不发生,保证敏感信息不外露,保障意外事件及时响应与及时恢复,数据不丢失。(1)先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制,集成先进的安全技术,形成全方位的安全系统。(2)严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法,加强内部管理,建立适合的网络安全管理系统和管理制度,加强培训和用户管理,加强安全审计和跟踪体系,提高人员对整体网络安全意识。(3)严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规,加强安全教育和宣传,严肃网络规章制度和纪律,对网络犯罪严惩不贷。

四、安全策略与方法

1.物理安全策略和方法。物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计,包括建设符合标准的中心机房,提供冗余电力供应和防静电、防火等设施,免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度,防止非法人员进入机房进行偷窃和破坏活动等,并妥善保管备份磁带和文档资料;要建立设备访问控制,其作用是通过维护访问到表以及可审查性,验证用户的身份和权限,防止和控制越权操作。

2.访问控制策略和方法。网络安全的目的是将企业信息资源分层次和等级进行保护,主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离,由此可以将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平,目前路由器、虚拟局域网VLAN、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用,是防止非法访问的第一道防线。访问控制主要手段是身份认证,以用户名和密码的验证为主,必要时可将密码技术和安全管理中心结合起来,实现多重防护体系,防止内容非法泄漏,保证应用环境安全、应用区域边界安全和网络通信安全。

3.开放的网络服务策略和方法。Internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对Web服务和FTP服务采取积极审查的态度,更要强化内部网络用户的责任感和守约,必要时增加审计手段。

4.电子邮件安全策略和方法。电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多,迫使防范技术快速发展,电力企业可以在电子邮件安全方案加大投入或委托专业公司进行。

5.网络反病毒策略和方法。每个电力企业为了处理计算机病毒感染事件,都要消耗大量的时间和精力,而且还会造成一些无法挽回的损失,必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如网关型病毒防火墙以及邮件反病毒系统等。

6.加密策略和方法。信息加密的目的是保护网内的数据、文件、密码和控制信息,保护网络会话的完整性。其方法有虚拟私有网、公共密钥体系、密钥管理系统、加密机和身份认证钥匙手段等。

7.攻击和入侵应急处理流程和灾难恢复策略和方法。主要方法是配备必要的安全产品,例如网络扫描器、防火墙、入侵检测系统,进行实时网络监控和分析,及时找到攻击对象采取响应的措施,并利用备份系统和应急预案以备紧急情况下恢复系统。

8.安全服务的策略。再好的安全策略和方法都要通过技术和服务来实现,安全产品和安全服务同样重要,只有把两者很好地结合起来,才能真正贯彻安全策略。

需要注意的是“最小的成本和以能接受的风险获得IT投资的最大效益”。一个“大而全”的安全管理系统是不现实的,只有符合企业信息网络架构和安全防护体系要求的产品,才能真正达到网络的防护,一方面避免有漏洞的产品对系统安全造成更大的危害;另一方面避免造成成本上的浪费。目前承包商可以提供的安全服务主要有:安全需求分析、安全策略制定、系统漏洞审计、系统安全加固、紧急事件响应、网络安全培训。承包商还可以提供对资产管理保护类的产品,主要有实时监控的网管软件、集中式安全管理平台、安全监控和防御产品、内网安全管理、防止内部信息泄漏的安全管理、网络访问行为与通信内容审计等。

目前,计算机网络与信息安全已经被纳入电力企业的安全生产管理体系中,并根据“谁主管、谁负责、联合保护、协调处置”的原则,与电力企业主业一样实行“安全第一、预防为主、管理与技术并重、综合防范”的方针,在建立健全企业内部信息安全组织体系的同时,制定完善的信息安全管理措施,建立从上而下的信息安全培训体系,根据科学的网络安全策略,定期进行风险评估/分析和审计,采用适合的安全产品,确保各项电力应用系统和控制系统能够安全稳定的运行,为电力企业创造新业绩铺路架桥。

篇9

2010年,卫生系统各单位、各部门围绕继续扩大卫生信息化覆盖的范围和领域,提高卫生信息化应用水平,保障系统安全,持续努力工作,取得了显著成绩。受北京市卫生系统信息化领导小组委托,现在由我向大家做工作报告,总结2010年工作,部署2011年重点任务。

2010年卫生信息化工作情况

1. 积极推动医改各项工作

2009年国家颁布新医改方案,2010年北京市制定“北京市2010~2011深化医药卫生体制改革实施方案”。关于卫生信息化工作,在北京的医改文件中提出:“启动医药卫生信息综合服务平台建设前期工作。探索利用网络信息技术,试点发展远程会诊。推进信息化标准建设,逐步统一规范医院信息系统数据接口和信息采集,推进公共卫生、医疗、医保、药品、财务监管等信息系统互联互通工作。提高信息化水平,城乡居民电子健康档案建档率达到20%。”

2. 卫生信息化人员机构和队伍建设又见成效

2010年,昌平区卫生局新成立了信息中心,使我市16个区县中,区县卫生局成立信息中心的数量达到12个。目前,只有海淀、丰台、通州、门头沟4个区县卫生局仍然没有成立信息中心。

3. 坚持卫生信息化行业管理不松懈

自2003年后,为避免信息化建设各自为政、重复建设、盲目建设、数据多头采集,北京卫生信息化按照“统一规划、统一标准、统一建设、统一管理”的“四统一”原则开展工作。

起草《北京市“十二五”卫生信息化规划》

2010年是十二五规划之年,《北京市“十二五”卫生信息化规划》专项规划是《北京市卫生事业发展改革“十二五”规划》的重要组成部分。市卫生局全面征求区县卫生局、直属事业单位和直属三级医院的意见,多次组织召开专题研讨会征求意见。目前,已经完成了规划的制订,准备近期。

制订医院门急诊信息系统相关标准规范

完成《北京地区医院门急诊信息系统基本功能规范和数据采集规范》(试行稿),于9月19日向北京地区50家三级医院及11家远郊区县中心医院下发《关于建立北京地区医疗机构门急诊信息报告制度的通知》(京卫医字〔2010〕212号)以及《关于做好门急诊信息系统接口改造工作的通知》,该规范作为医院门、急诊信息系统改造以及数据采集的规范依据正式试行。

完成了《北京市药品分类与代码规范》,北京市质量技术监督局已经将其列入2011年北京市地方标准修订计划之中。

完成卫生信息化项目前置审核工作

按照《北京市卫生信息化项目建设管理办法》(京卫办字〔2008〕107号),做好卫生信息化项目的前置审核评审等项目管理工作。2010年共收到各单位上报项目76项,涉及资金3亿元。经市卫生局信息化领导小组审核,通过22项。

通过统一评审和归口管理,可以全面了解各单位的卫生信息化情况,做到统筹管理,使得各部门的信息化建设符合卫生信息化总体规划和发展方向;同时利用市公共卫生信息中心及相关专家资源对于项目建设方案进行评估,使得方案在总体设计、安全管理、网络建设、国产软硬件产品和信息共享等方面更加全面、科学。

4. 重点应用系统建设取得实效

新社区卫生信息系统推广实施顺利

新社区卫生服务综合管理信息系统是全面覆盖社区卫生服务机构和社区卫生管理机构,以建立居民健康档案为核心,支持基本医疗和公共卫生服务的信息系统,符合社区卫生改革的要求。

在新社区卫生服务综合管理信息系统中,着力建设社区卫生业务和财务等应用系统,实现市、区县和基层三层体系架构。2010年完成了试点项目验收,6月24日启动全市推广。截至到2011年3月6日,在西城、原崇文、原宣武、顺义、朝阳、海淀、石景山等8个区县、52个社区卫生服务中心、178个社区卫生服务站稳定运行,建立电子健康档案526万份,原东城、西城、崇文、宣武四个城区基本完成实施推广任务,顺义、海淀、石景山、昌平区、密云县进展顺利。

借助医联码系统,实现门急诊信息采集

北京市实名就诊卡完善(医联码系统)项目是我市建立门急诊信息报告制度的支撑项目,是我局针对目前管理需求对原北京市实名就诊卡完善项目进行变更后重新启动的项目。该项目在全市三级医院及十一家区级中心医院实施,将为非医保患者建立统一的条码,通过此条码采集门急诊就诊信息。项目实施至今,已在全市推开,医联码发放及信息采集工作业已开始。截至3月15日,已有39家医院完成接口改造,大兴人民医院、妇产医院、同仁医院、房山第一医院等31家医院共计发放医联码28.95万条。朝阳医院、妇产医院、人民医院、北医三院、中日友好医院等17家医院已经上报门急诊信息,共计93.8万条。

5. 固化卫生行业信息安全保障成果,提高安全管理水平

2010年的卫生行业信息安全的重点工作是固化奥运和国庆信息安全保障工作成果,在行业内以推动等级保护为依托,进一步提高全行业信息安全管理水平。在各级领导的重视下,各单位圆满完成了2010年信息安全相关工作。

开展卫生行业信息安全检查

2010年,为督促我市卫生行业各单位做好信息安全保障工作,细化各项信息网络安全工作措施,进一步提升网络与信息系统支撑医疗服务工作的效率和水平,确保我市卫生行业网络与信息系统安全稳定运行,市公安局和市卫生局对全市大中型医院及市属医疗卫生机构开展了网络和信息系统安全检查。

出台《医疗卫生信息安全等级保护实施指南》

2010年,结合近几年信息安全联合检查中遇到的各类问题,信息中心组织出版了《医疗卫生信息安全等级保护实施指南》。规范了医疗卫生信息安全等级保护工作的基本思路和实施方法,指导我市医疗卫生信息建设中的信息安全保障工作,对搞好医疗卫生信息安全保障具有十分重要的现实意义。

开展信息安全培训

2010年,在卫生局直属单位开展了信息安全员信息安全保障知识培训,共进行了8次授课,共400余人次接受了培训,提高了信息安全员的信息安全保障能力,为各单位的信息安全保障奠定了基础。

2011年卫生信息化重点任务

1. 十二五期间信息化建设基本任务

未来五年,卫生信息化建设的主要任务是建立“基于电子病历和居民健康档案的医药卫生信息化工程”,主要内容可以概括为一张网络、两级平台、三个基础数据库。

一张网络,是指全市各级各类医疗卫生机构与行政管理部门互联互通的信息传输网络;两级平台,是指市、区/县两级卫生信息交换平台;三个基础数据库,是指执法相对人数据库、医疗卫生资源数据库和居民健康档案数据库。实现上述目标,依靠的是标准规范和信息安全保障两个体系。

2. 推进医院信息化建设

电子病历试点工作

卫生部为推进医药卫生体制改革,加强医院信息化建设,于2010年9月下发了《关于开展电子病历试点工作的通知》(卫医政发〔2010〕85号)文件,决定在北京市等22个省(区、市)部分区域和医院开展电子病历试点工作,确定试点工作时间为1年。市卫生局根据卫生部文件的精神和要求,组织制定了《北京市以电子病历为核心的医院信息化试点工作实施方案》,明确了指导思想、工作目标、组织管理、实施步骤及工作要求。同时还制定了《北京地区电子病历试点技术方案》,指导试点医院推进电子病历工作。

医联码相关工作

医联码系统为北京地区医疗机构门急诊信息采集提供了支持,奠定了基础。根据北京市卫生局《关于建立北京地区医疗机构门急诊信息报告制度的通知》(京卫医字〔2010〕212号)文件要求,三级医疗机构及11家远郊区县区域医疗中心2011年1月起,正式启用门急诊信息上报工作。今年要继续推进医联码相关工作,希望各医院建立院内的组织协调工作机制,积极开展医联码接口改造、信息上传、门急诊就诊信息上传等工作。

3. 推广实施社区卫生信息系统

市卫生局、市编办、市发改委、市财政等八部门联合下发的《关于进一步推进社区卫生改革与管理工作的意见》(京卫基层字〔2010〕25号)要求,“以有利于工作开展、有利于方便居民、有利于加强管理为目标,全面推广应用全市统一的新社区卫生服务综合管理信息系统,并不断完善功能。到2011年底,建立起以健康档案为基础的覆盖全市社区卫生服务和管理机构的信息化管理体系,搭建完成覆盖全市社区卫生服务管理中心、社区卫生服务中心、社区卫生服务站的互联互通的网络。加强市、区两级社区卫生服务综合管理信息平台的建设。”

各区县积极推进社区卫生信息化工作,年底之前,完成16区县推广应用部署工作。目前,推进较好的区县为东城、西城、顺义、海淀、石景山、昌平、密云、大兴等。

4. 加强公共卫生和卫生管理信息化建设和综合利用

推动居民电子健康档案建立工作

根据医改要求,把为辖区常住人口重点人群自愿建立统一、规范的居民健康档案,及时更新健康档案,并逐步试行计算机管理等工作列为本市为居民提供的基本公共卫生服务项目。2011年的医改任务责任书中,各区县居民电子健康档案建档率指标有所不同,但全市总体要求达到50%以上。北京市新社区卫生服务信息系统已经提供了电子健康档案建立的工具,请各区县组织人员开展电子健康档案相关工作,以便建立实时动态变化的社区居民电子健康档案,为社区居民服务,为家庭医生服务。

启动妇幼保健网络信息系统二期

3月启动妇幼保健二期建设,系统将覆盖北京市妇幼保健院、16所区县妇幼保健院(所)、近800家承担妇幼保健服务与管理工作的医疗保健机构、1000余家托幼园所等机构,以妇幼健康档案为核心,实现与医院和社区信息共享的、完整的、动态的、连续的妇女儿童保健信息库。计划9月开发完成,试运行。各区县不需再单独建立妇幼信息系统。

2011年工作要求

1. 领导重视,加快落实信息化机构和人才队伍建设

目前,仍有部分区县没有成立信息中心,部分直属机构没有信息管理部门,卫生人才队伍薄弱,严重影响了信息化建设。各单位领导要高度重视,尽快落实机构设置和人员配置问题。

2. 加强管理,保障信息系统安全

今年市卫生局将继续以信息系统等级保护工作为依托,继续加强全市卫生行业信息安全管理工作。

继续联合市公安局对行业进行信息安全检查,重点针对电子病历试点单位、重要公共卫生部门进行安全检查。

按照市信息安全协调领导小组工作部署要求,进一步加快推动等级保护。

3. 树立大局观念,加快社区卫生信息系统的推广应用

要求各区县加强组织,落实责任,协调相关部门,加大推广力度,2011年底之前完成任务。

使用全市统一的新社区卫生服务信息系统。

篇10

关键词:信息化;信息安全管理;企业管理

中图分类号:F279.23 文献标识码:A 文章编号:1001-828X(2012)03-00-01

随着信息技术的发展和网络化应用的普遍推广,各机关组织和企事业单位都开展各类管理业务的信息化建立。企业的发展运作离不开信息系统的安全运行。信息安全通过保护企业信息的机密性、完整性和可用性,不仅保护了企业各类信息资产的安全,还能增强企业的核心竞争力,维护企业的形象和信誉。信息安全对企业的生存和发展的是至关重要的,需要从战略的高度对信息安全进行规划和管理。

一、企业中信息安全管理经常存在的问题

日常安全管理中存在的主要问题,首先是用户安全意识和观念薄弱的占58%,第二位的是网络安全管理人员缺乏培训,占39%;其后,依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。

不仅在日常管理中,在技术管理方面也存在一定的问题。在CSDN泄密门事件中,专业IT博客“月光博客”撰文表示“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码”,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情” 。可见,有些涉及技术方面的问题,也并不是单纯的技术问题,而是与技术人员安全意识不强、责任心不到位有关。

为了了解企业内部员工在信息安全问题上的看法及所做的努力,我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查,发现在企业员工中存在如下一些问题:

1.是信息安全意识方面,被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。

2.很多受访者认为信息安全属于技术人员的事情;与技术人员的交流非常少;忙于业务,没有时间去处理。

3.是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上,很少有人去关注;公司发动的信息安全的培训活动没有收到好的效果。

二、信息安全问题的根源

通过对调查的结果进行深入分析,发现导致信息安全事件频发、风险损失严重的原因从根本上来说,有以下几个方面:

1.信息安全是一个多维问题,涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下,无法明确责任,使得信息安全得不到应有的重视以及有效的管理。

2.风险平衡理论认为,人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态,由于人性的缘故,也不会那样去做。

3.信息安全与效率和便利性本身是矛盾的。信息安全加强了,受到的约束也就多了,相应地效率也就降低了。比如简单规律地密码,可以不必费力去记;插入U盘时进行杀毒,必然要耽误时间;没有接入网络,不可能受到网络攻击,但也就失去了网上浏览所需信息、网络交流的自由,因此有人半开玩笑地说:“最安全的计算机是拔掉网络的那台计算机”。

4.由于某些缘故,网络中总是存在黑客,专门窃取信息或破坏网络系统。他们的水平都非常专业,一般的用户难以预防。所谓“道高一尺,魔高一丈”,信息安全的水平总是在这种攻击与防守中进步的。

5.信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。

所有这一切因素,都使得信息安全无法得到有效的关注和重视,无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下,风险损失较大的主要原因。

三、相关的建议和策略

针对企业信息安全的问题,文章运用管理学的理论进行论述。企业管理涉及四个功能:计划、组织、领导、控制 。

1.从计划的角度来看:企业应当确立信息安全的发展战略,从战略的高度来对待和管理信息安全,确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略,确立信息安全的目标,以及实现目标需要的行动方案。

2.从组织的角度来看:人力资源的管理的观点认为,企业的组织结构,取决于组织战略 。在许多企业组织结构中,只有技术部门,没有信息安全管理部门。S.H.(basie) von Solms 曾讨论过,技术管理与安全管理两个部门必须设置成为两个独立的部门,否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门,这个部门并不负责具体的技术,但是要懂技术,主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估,最大限度地降低安全风险。

3.从领导的角度来看:根据wilde的风险平衡理论,一个人会愿意承担一定程度的风险。 “风险平衡”观念会让整个机构处于盲目乐观的过度自信状态,不管是企业的员工还是管理者都倾向于追求效率 ,从而忽视信息安全的投入。

在企业的管理过程中,应当加强信息安全、风险意识方面的培训和教育,增进员工与技术人员的面对面的沟通与交流,开展有效的安全意识活动。

4.从控制的角度来看:对风险的控制要求企业对自己的安全状况不断评估,时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况,定期进行风险评估工作。

文章从管理学的角度来分析信息安全风险管理,对信息安全问题做了实地调查,分析了目前信息安全存在的一些问题,并对存在的问题的根源进行了深入的分析,最后文章运用管理学的理论,从计划、组织、领导、控制四个角度出了相应的建议和策略。

参考文献:

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志华.企业管理[M].大连:东北财经大学出版社,2011,1.

[3]廖三余,曹会勇.人力资源管理[M].北京:清华大学出版社,2011,9.