网络安全技能培训范文

时间:2024-01-16 11:45:07

导语:如何才能写好一篇网络安全技能培训,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全技能培训

篇1

 

一、加强顶层设计,确立信息安全教育国家战略

 

1.《网络空间安全国家战略》

 

布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。

 

2.《美国网络安全评估》报告

 

2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。

 

3.《国家网络安全综合计划》(CNCI)

 

2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”

 

4.《国家网络空间安全教育战略计划》

 

2011年8月11日,NIST授权《美国网络

 

安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。

 

二、做好立法工作,完善法规标隹体系

 

1.《联邦信息安全管理法案》(FISMA)

 

2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。

 

FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。

 

2.国防部(DoD)8570指令

 

2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。

 

3.联邦政府信息技术安全培训标准(FIPS)

 

FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。

 

4.网络安全法案

 

2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。

 

三、构建信息网络安全组织机构,健全安全教育培训管理体制

 

为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。

 

社会各界积极参与

 

行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。

 

(1)国际信息系统审计协会(丨SACA)

 

国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。

 

(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。

 

GIAC认证程序有以下几个特点:

 

GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。

 

(3)国际信息系统安全认证联盟(ISC)2

 

国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。

 

注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。

篇2

信息人才教育培养途径

1.学历教育

加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。

2.安全竞赛

信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。

3.单位内训

高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。

4.持续教育

信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。

信息安全人才教育培养所需条件

信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。

1.体系化教材

体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。

2.专业化师资

信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。

3.系统化实践

网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。

篇3

1网络素养教育的内涵

网络素养教育,是指针对网民提供技能培养的教育活动。“网络素养”主要是指网络信息搜集、分析、利用和加工能力,以及网络自我保护和信息安全能力等[2]。“网络素养”是从“媒体素养”概念延伸出来的,所谓“媒体素养”,也叫做“媒介素养”,主要是指用户在浏览互联网、电视、书报杂志信息时的辨别判断能力,以及利用新闻媒体信息指导自身理性消费的能力。“媒体素养教育”,一般是指强化媒体素养而进行的有针对性的培训活动。值得一提的是,“媒体素养教育”和“网络素养教育”作为一种新的概念,既与传统新闻教育有本质的区别,又与计算机技术教育有着密切的关联性,可以说,它是二者相互融合形成的一个新事物。新加坡官方给出了“媒体素养”的标准定义。新加坡媒体发展管理局是本国最高新闻媒体管理的政府机构,其对“媒体素养”的定义如下:“媒体素养”是指用户正确利用和接受媒体信息的能力;如果读者具有较高的媒体素养,他就能够从繁杂的媒体信息中筛选出有用的、有价值的信息,不管他是想达到什么样的目的,都能够保证其不被媒体信息误导[3]。换言之,如果用户的网络素养很低,不能正确判断新闻媒体信息的真伪,就十分有可能被各种不实信息误导和伤害。例如,现实生活中一些网络素养相对较低的青少年,很容易被网上各种不健康的信息如、图片、网游等所深深吸引,无法自拔,荒废学业和事业,给个人成长造成巨大的负面影响。随着互联网的不断普及和推广,新加坡开始高度关注网民综合素质,逐渐将注意力从“媒体素养教育”转移到“网络素养教育”方面上来。“网络素养”英文名称有几种说法,例如“Cyberliteracy”、“Internetliteracy”、“Networkliteracy”等。从当前新加坡开展网络素养教育的情况来看,其比较关注“网络健康”(Cyberwellness)和“网络安全”(Cybersafety)方面的内容,注重提高网民健康、安全使用网络的综合技能。其中,“网络健康”(Cyberwellness)是新加坡政府最重视的教育问题之一。例如,新加坡就如何维护网络安全和健康专门成立了一个咨询委员会(AdvisoryCouncilontheImpactofNewMediaonSociety),该委员会主要负责研究社会新媒体发展动态,并提出应对措施和建议。2008年,该委员会向新加坡政府提交了一份调研报告,对“Cyberwellness”进行了深入阐述,这是新加坡独创的一个名词,是指能够为网民带来积极正面效果的健康网络氛围。它包含判断网络有害信息的能力、自我防护网络虚假信息侵蚀的能力、维护网络健康的意识,以及利用网络信息促进个人健康发展的能力[4]。新加坡提出的“Cyberwellness”拓展了“网络健康”的定义范围,它不仅包含网络健康方面的内容,还涉及网络安全内容。新加坡提出的“Cyberwellness”是网络素养教育中的一个专业名词,对网络健康和安全提出了相应要求和标准。

2新加坡国家图书馆是网络素养教育的先行者

在开展网络素养教育方面,国家图书馆充当了主力军的角色,发挥了十分重要的引领作用。新加坡国家图书馆在网络素养教育方面主要有以下几方面贡献。

2.1在全国率先开展网络素养教育,推出全新的国民素质教育模式

20世纪90年代末期,新加坡就开始制定和实施网络素养教育计划。1999年,新加坡国家图书馆成立了教育培训公司“TheOneLearningPlace”(简称NOLP),NOLP的主要宗旨是提高国民信息素质,充分发挥网络的积极促进作用。NOLP推出的教育项目大多通过委托专业教育机构来完成。在几年之内该机构就发展了数百名志愿者,这些志愿者从事不同的职业,包括企业人士、教师、公务员和退休专家等。志愿者们利用自己的专业知识和网络技能,为青少年提供网络教育和指导,教会他们学会如何甄别网络信息,鼓励他们与负面信息进行斗争,净化网络空间环境[5]。NOLP在开展网络素养教育方面进行了大胆创新,推出了各种具有可操作性的项目,例如老年人网络素养拓展项目(OutreachProgrammes);1999年,发起成立了PAGi网站,主要为父母与子女交流提供沟通平台;2000年,组织编写了网络安全教材,并在此基础上推出了一项名为“安全之旅”的网络培训项目,主要为父母提供网络知识培训;同年,还针对社区网络教育,制定了一系列信息安全主题教育活动,为社区居民提供网络安全学习指导。

2.2与其他图书馆密切合作,在全国范围内普及和推广网络素养教育

除了开展上述活动以外,NOLP还同其他图书馆、社会团体组织和专业机构开展教育合作,通过举办各种丰富的网络培训活动和培训班,为社会公众提供灵活的网络素养教育机会。目前,NOLP与多家著名社会团体组织建立了战略合作关系,比如印度华人自强独立团体(theSingaporeIndianDevelopmentAssociation)、马来西亚华人学习共进团体(MENDAKI)、新加坡平民发展团体(thePeople'sAssociation)、新加坡社会公共福利保障团体(TouchYouthServices)、社会综合救援组织(ParentsAdvisoryGroupfortheInternet)等等[6]。NOLP通过与其他图书馆、社会团体和公益组织开展多层次合作,为公众提供了丰富多样的网络素养培训,实现了提高国民网络素质的目的。

2.3重视与国外教育机构的合作,通过交流和学习引进国外最新教育方法和手段,不断提高本国网络素养教育水平

可以说,新加坡最初开展网络素养教育就是受到国外公益组织的影响和帮助,通过开展战略合作,有效提高了本国网络素养教育水平。例如,新加坡国家图书馆与美国著名的网络素养教育机构“网络天使”(CyberAngels)开展合作,共同建立了“网络妈妈和爸爸”(CyberMums&Dads)管理组织,通过利用网络教育平台为青少年提供信息安全教育。又比如,国家图书馆与美国“在线因特网研究会”(TheOnlineInternetInstitute)合作,为新加坡公民提供网络安全技能培训。此外,NOLP还是“互联网内容评估协会”(theInternetContentRatingAssociation)成员,通过积极参加国际学术交流活动,获取了大量宝贵的知识和经验,显著提高了组织工作效率。2001年,NOLP与本国“国家因特网咨询委员会”(TheNationalInternetAdvisoryCommittee)签订了战略合作协议,共同举办了第一届网络安全国际研讨会,会议主题是“安全冲浪2011”(SafeSurfing2001),与会成员来自全球一百多个国家[7]。“安全冲浪2011”国际研讨会的成功举办,大大提高了新加坡在网络素养教育方面的国际水平,也意味着新加坡网络素养教育开始走向政府主导模式。同时,新加坡国家图书馆在网络素养教育方面也完成了角色转变,从开拓者向推进者、主导者过渡和发展。

3新加坡国家图书馆是政府推进网络素养教育的战略伙伴

通过回顾新加坡网络素养教育的发展过程,我们可以认为新加坡国家图书馆是政府开展网络素养教育的战略合作伙伴,二者紧密协作,共同致力于网络素养教育,取得了十分突出的成就。国家图书馆与新加坡政府战略伙伴关系,可以从前者所开展的各项网络素养教育活动中体现出来,政府几乎每次都充当了活动背后的支持者,为活动提供人、财、物等资源保障。换言之,高效、廉洁的新加坡政府,在促进和支持网络素养教育方面做出了十分突出的贡献,这也是国家图书馆之所以能够在这方面取得重要成就的原因之一。新加坡国家图书馆管理局学院(TheNLBAcademy)是负责网络素养教育具体工作的主要部门,网络素养教育水平在新加坡也是首屈一指。这些年来,在该学院的努力推进下,新加坡网络素养教育水平快速提升。1992年,NLB正式宣告成立,该部门主要致力于社会公益事业,主要服务对象是社会老弱病残和弱势群体,例如青少年、老年人和低收入家庭等。1998年,NLB被新加坡政府授予“公共服务奖章”,这是新加坡国内最高的勋衔。2001年,NLB新成立了一个网络素养教育服务中心,并针对全国青少年推出了一项名为“接触网络健康”(TouchCyberWellness)的计划,主要是通过各种宣传手段提高青少年网络信息辨别能力。该部门如今已是新加坡网络素养教育的重要推动机构之一。自成立以来,NLB已在全国开展了不同规模的网络素养教育活动,为各类社会人群提供了80万人次的培训教育服务,有效增强了国民网络素质。NLB之所以能够取得巨大的成果,主要是因为有政府作为强大的后盾。换言之,NLB开展的许多网络素养教育活动都离不开政府部门的支持和帮助。通过浏览NLB网站,我们可以找到许多其与新加坡政府合作的项目资料,比较有代表性的有:2001年,NLB推出了一个名叫“CRUSH”的计划,该计划主要为提升中小学生网页使用技巧,该项目得到了新加坡政府的大力支持,包括提供人力和财力保障。2004年,NLB与新加坡新闻管理局携手合作,组织编写了一套网络素质教育教材,为其他培训教育机构提供了教材保障和指导。2005年,NLB经新加坡新闻管理局授权,为政府公务员人员提供网络技能培训,覆盖全国80%的公务人员。2006年,NLB与新加坡青年协会合作,针对父母和广大教师编写了一套网络在线应用培训教材(TheOfflineGuidefortheOnlineGeneration)。2008年,NLB在新加坡社会发展改革局的支持下,组织编写和出版了一套《父母网络健全手册》(CyberWellnessHandbookforParents),该套丛书被新加坡中小学校作为素质拓展教材,纳入到全日制教学范围当中。2011年,新加坡新闻发展管理局和NLB组织发起了“网络健全运动”(CyberWellnessCampaign),覆盖了20%的新加坡公民,大大提高了国民网络综合素质[8]。由于NLB在社会公益活动方面做出了十分突出的成就,2011年其被新加坡政府授予“2011年新加坡青年奖”(TheSingaproeYouthAward2011),该奖项是新加坡社会公益领域的最高荣誉。除此之外,新加坡其他图书馆在开展和从事网络素养教育公益活动时,也得到了政府部门的慷慨支持和资助。国家图书馆作为新加坡政府战略合作伙伴,利用政府强大的资源保障,将网络素养教育推向了一个全新的发展阶段。

4新加坡国家图书馆是网络素养教育的“无冕导师”

一直以来,新加坡国家图书馆秉承坚持为民众服务的公益精神,勇于承担起国民网络素养教育的重任,当之无愧地成为该领域的“无冕导师”,为提升国民网络素养做出了突出贡献。新加坡国家图书馆的“无冕导师”称号,主要可以从以下两个方面体现:一是“师资培训”,国家图书馆为学校、社会培训机构教员提供了丰富的网络素养培训活动,大大提高了学校和社会教育机构的网络素养教育水平;二是组织编写了多个专业网络素养教育教材,通过向社会免费提供,大大提高了网络素养教育普及范围。新加坡国家图书馆还在网络上开展了多个网络素养教育师资培训活动。例如,2003~2005年期间,NLB在南洋理工大学举办了多次网络素养教育培训,为全国2000名教师提供了培训服务,帮助教师们学会从青少年角度来预防和化解网络使用危机。2005年,NLB受新加坡政府委托,对国内5家比较有代表性的社会培训机构进行了深度教育培训,大大增强了这些机构在青少年网络安全教育方面的教育实力。截止到2006年6月底,NLB共为两百多名社会教育者提供了网络素养教育培训,大大提高了他们的专业教育水平[9]。除此之外,NLB还对社会志愿者开展了大量培训活动,2001~2005年期间,NLB共为600多名青年志愿者提供了相关培训,这些志愿者学成之后又向其他学生提供专业帮助和咨询,为促进广大青少年学生形成健康的网络使用习惯做出了突出贡献[10]。培训师资之外,国家图书馆还负责培训教材的编写和优化工作。NLB建立了网络素养教育在线教育网站,为网民免费提供各种教学资源下载,例如:(1)教学教材,包括《父母网络安全知识教材》、《新加坡网络信息安全教育手册》、《互联网时代技术应用与规范》等;(2)教育项目,例如学校教育项目、社会实践项目、青少年强化培训项目、残障人士提升项目等,每个项目都给出了相应的教学大纲和计划;(3)网站还免费提供一些互动学习活动,供学习者借鉴和学习[11]。上述网络素养教育资料和资源,有部分被新加坡政府确定为中小学全日制教材或者辅助资料。从中可见,新加坡国家图书馆在网络素养教育方面具有较高的地位,是当之无愧的“无冕导师”。虽然没有学校教育资格,但是其却承担了许多学校的工作职责和义务。

5结束语

篇4

行政机关的计算机网络系统通常是跨区域的Intranet网络,提供信息管理、资源共享、业务窗口等应用服务的平台,网络内部建立数据库,为各部门的业务应用提供资源、管理,实现数据的采集、信息、流程审批以及网络视频会议等应用,极大提高了日常工作效率,成为行政机关办公的重要工具,因此要求计算机网络具有很高的可操作性、安全性和保密性。

1、开放式网络互连及计算机网络存在的不安全要素

由于计算机网络中存在着众多的体系结构,体系结构的差异性,使得网络产品出现了严重的兼容性问题,国际标准化组织ISO制定了开放系统互联(OSI)模型,把网络通信分为7个层次,使得不同结构的网络体系在相应的层次上得到互联。下面就根据网络系统结构,对网络的不安全因素分层次讨论并构造网络安全策略。

(1)物理层的安全要素:这一层的安全要素包括通信线路、网络设备、网络环境设施的安全性等。包括网络传输线路、设备之间的联接是否尊从物理层协议标准,通信线路是否可靠,硬件和软件设施是否有抗干扰的能力,网络设备的运行环境(温度、湿度、空气清洁度等),电源的安全性(ups备用电源)等。

(2)网络层的安全要素:该层安全要素表现在网络传输的安全性。包括网络层的数据传输的保密性和完整性、资源访问控制机制、身份认证功能、层访问的安全性、路由系统的安全性、域名解析系统的安全性以及入侵检测应用的安全性和硬件设备防病毒能力等。

(3)系统层的安全要素:系统层是建立在硬件之上软环境,它的安全要素主要是体现在网络中各服务器、用户端操作系统的安全性,取决于操作系统自身的漏洞和不足以及用户身份认证,访问控制机制的安全性、操作系统的安全配置和来自于系统层的病毒攻击防范手段。

(4)应用层的安全要素:应用层的安全要素主要考虑网络数据库和信息应用软件的安全性,包括网络信息应用平台、网络信息系统、电子邮件系统、web服务器,以及来自于病毒软件的威胁。

(5)管理层的安全要素:网络安全管理包括网络设备的技术和安全管理、机构人员的安全组织培训、安全管理规范和制度等。

2、网络安全策略模型及多维的网络安全体系

行政机关的网络安全需要建立一个多维的安全策略模型,要从技术、管理和人员三位一体全方位综合考虑。

技术:是指当今现有使用的设备设施产品、服务支持和工具手段,是网络信息安全实现的基础。

管理:是组织、策略和流程。行政机关信息网络的安全建设关键取决于组织人员的判断、决策和执行力,是安全成败的必要措施。

人员:是信息网络安全建设的决定性因素,不论是安全技术还是安全管理,人员是最终的操作者。人员的知识结构、业务水平是安全行为执行的关键。

基于网络信息安全是一个不断发现问题进而响应改进的循环系统,我们构造网络安全策略模型为:防护--检测--响应--恢复--改善--防护。

运用这个安全体系我们解决网络中的不安全要素,即在物理安全、网络安全、系统安全、应用安全和管理安全等多个层次利用技术、组织和人员策略对设备信息进行防护、检测、响应、恢复和改善。

(1)物理安全:采用环境隔离门禁系统、消防系统、温湿度控制系统、物理设备保护装置(防雷设备)等,设置监控中心、感应探测装置,设置自动响应装置,事故发生时,一方面防护装置自动响应,另一方面人员发现处理,修复或更换设备的软、硬件,必要时授权更新设备或设施。

(2)网络安全:采用防火墙、服务器、访问控制列表、扫描器、防病毒软件等进行安全保护,采用网络三层交换机通过划分VLAN,把网络中不同的服务需求划分成网段,采用入侵检测系统(IDS)对扫描、检测节点所在网段的主机及子网扫描,根据制定的安全策略分析并做出响应,通过修改策略的方式不断完善网络的安全。

(3)系统安全:采用性能稳定的多用户网络操作系统Linux作为服务器的基础环境,使用身份认证、权限控制进行保护,用登陆控制、审计日志、文件签名等方式检测系统的安全性,进行接入控制审计响应,通过对系统升级、打补丁方式恢复系统的安全性,可以通过更新权限来改善用户对系统操作的安全性。

(4)应用安全:采用身份认证、权限控制、组件访问权限和加密的办法进行保护,用文件、程序的散列签名、应用程序日志等方式检测应用程序的安全性,通过事件响应通知用户,采用备份数据的办法恢复数据,通过更新权限完善应用系统的安全性。

(5)管理安全:通过建立安全管理规章制度、标准、安全组织和人力资源,对违规作业进行统计,制定紧急响应预案,进行安全流程的变更和组织调整,加强人员技能培训,修订安全制度。

3、行政机关人员安全的重要性

行政机关网络信息的安全,人员占据重要的地位,网络安全的各要素中都涉及人员的参与,因此对人员的安全管理是行政机关网络信息安全的重点。

首先组织领导要高度重视网络信息的安全性,建立周密的安全制度(包括网络机房安全制度、计算机操作员技术规范等),提高从业人员的素质和业务水平,防范人为因素造成的损失。

其次是组织员工进行信息安全培训教育,提高安全意识。对专业技术人员做深入的安全管理和安全技术培训。

再次是网络技术人员要定期对设备巡检维护,及时修改和更新与实际相应的安全策略(防火墙、入侵检测系统、防病毒软件等)。

最后是安全管理人员定期检查员工的网络信息方面的安全问题。

篇5

1.1信息化管理意识淡薄。科技的飞速发展,带来的是计算机、网络技术的普及。现如今,网络技术已经被广泛应用到档案管理领域,这几乎从根本上改变了传统的档案管理方法和手段,过去单一的纸质档案管理模式,逐步地演变成纸质档案管理和电子档案管理齐头并进的管理模式,其中网络化管理方向发展明显,但是档案管理者的工作意识及思想观念依旧很落后,认为现代信息设备只是传统管理方式的小补充,传统的管理模式依然存在。很多的档案工作者信息化意识淡薄或者认识较浅,并没有认识到电子文件已经成为我国重要的战略信息资源,甚至意识不到网络环境下档案信息网络安全的重要性和迫切性。若在具体的工作中遇到网络信息安全风险时,大多数的档案管理者表现出的是无所适从,对于网络信息安全风险的预防、发现和应对没有一点儿经验可谈,档案管理工作者整体缺乏必要的信息化管理意识。

1.2信息化管理专业基础知识较薄弱。信息技术的日新月异,在客观上要求档案管理工作者要及时地更新自己的技能方法,以免被淘汰。现在的档案管理工作者本身只是一群具备基本档案管理知识的人群,他们不能等同于信息技术专业人员,而且自身缺乏必要的信息安全意识,大部分的档案管理者几乎意识不到自己在信息安全技能上存在的问题。现实的环境中强制性的专业水平提升制度极度缺乏,定期的培训机制严重匮乏,档案管理者的信息安全能力和实际的工作要求处于脱节状态。整个档案信息管理队伍呈现出年轻的档案管理者缺乏档案管理知识、老的档案管理者虽掌握了档案管理知识却对信息技术能力毫无培养的状态,甚至很多具备档案管理知识和信息安全能力的年轻档案管理者,会因待遇、职称、工作前景等问题改行,使得整体信息技术水平偏低的档案部门更加缺乏掌握信息技术的人才。

1.3信息化管理制度不够健全。当下,我国对档案管理工作者的准入制度(档案管理工作者从业资格制度等)并未展开全面的实施,对新进档案管理工作者的计算机能力、信息安全素质等方面的基本素质如何,几乎一无所知,各级档案部门选拔培养档案干部时缺乏明显的专业指向性,只是依靠主管机关、主管领导对调入人员各项素质要求的掌握。那些从事档案管理工作时间较长的老同志,他们的现代信息技术能力严重缺乏,其信息安全素质低下。同时,有关信息安全技能方面的考核内容,在档案工作者技术职级晋升的各项考试中体现并不明显,部分人事管理部门缺乏提高和激发档案工作者自身信息安全素质的主动性和激励机制。

2提高档案工作者信息安全素质的对策

2.1加强对档案管理工作者敏锐感和责任感的培养。在现今网络技术环境下,传统的纸质档案已经逐步地被各种新领域、新门类、新载体档案部分掩盖,档案管理工作者原本的素质已经不能满足当下工作的实际需要。在实际的档案管理工作中,工作人员要认识到档案事业向前发展的不可逆转性和必要性,作为从事基础性档案管理工作的人员需要认识到这一点,学会将工作的着力点延伸到未来,坚持“以服务促管理,以管理完善服务”的原则。

2.2加强档案管理专业技能培训的力度。从根本上加强对全体档案管理工作者信息安全素质教育的培训力度,可以从档案管理知识和信息安全技术能力两个方面着手培训,即分别根据档案管理知识和信息安全技术能力的不同进行相关的专业技能培训。与此同时,还要按照档案管理工作者在工作岗位、工作职责、承担任务上的差异展开具体的培训事宜,培训的差异主要体现在培训时间、培训内容和考核方式与内容上面。档案管理工作者对信息安全技术的掌握并不是最终目的,是要以这些为工作手段,最终提高我国整体的信息档案管理质量。

2.3进一步完善档案信息管理制度。现在,我国的档案信息管理制度处于基础阶段,颁布的涉及信息安全的标准和规定中,几乎没有直接和档案管理工作者信息安全素质要求相关的内容,现实工作中遇到的实际问题得不到针对性和规范性的解决,因此我国档案管理工作者信息安全素质现状无法从根本上得到改变。现在根据我国档案信息管理制度的现状,完善和健全档案信息安全的标准和规定,以及完善档案管理工作者的准入制度是很有必要的,同时还要根据我国档案管理工作的实际情况,为档案管理队伍选拔一批具有较高综合信息素质水平的人员。在档案工作者专业技术职务调整的政策规定中,纳入信息素质考核的内容,各级职称考试当中必须要包括信息安全素质方面的内容,这样对档案管理工作者学习档案信息管理内容的积极性和主动性,会起到一个很好的引导和监督。

2.4对档案工作者开展信息技能培训。传统平面媒体一统天下的局面已经成为过去时,网络媒体正在以它自身特有的优势占领着越来越多的传播市场,因此档案管理者需要掌握必要的软件操作和维护技能,加快办公效率,加强网络知识的学习和培训,使自身捕捉社会信息的能力得到提升。同时,为了提升档案工作者借助现代传播媒介进行有效档案信息传播的能力,有必要开展相关知识(档案管理信息系统、电子文件的发展和计算机病毒等知识)的培训,信息技能培训的开展,有利于档案工作者以安全和保密为前提,运用现代技术开展更有效的档案信息传播工作。

篇6

关键词:信息安全 高校教师 素养

中图分类号:G64 文献标识码:A 文章编号:1007-3973(2010)012-161-02

随着计算机网络信息技术的快速发展,高校网络平台上建立的OA系统、邮件系统、精品课程网站等应用日益广泛,促进了教育教学的创新发展,使现代教育观念发生了转变,更有利于培养学生的自主学习能力、启发创新思维。计算机信息技术发展到今日,高校内面临的重要问题是怎样安全发挥技术教育化的效力,更好的为教学服务。但伴随而来的网络信息安全威胁也日渐严峻,信息系统安全,是指为信息处理系统建立所采取的技术和管理的安全保护措施,以保护计算机系统中、软件及数据,防止其因偶然或恶意的原因而使系统或信息遭到破坏、更改或泄露。高校网络中的试卷、题库、答案、科研项目成果、学生学籍等信息在都需要被良好地保护。一旦损坏,高校教师受到影响最大,责任重大,高校网络管理部门加强信息安全防范的同时,高校教师有必要提升网络信息安全的意识和技能,提升网络安全素养。

1 高校网络信息安全威胁分析

高校网络系统中有实验设备,教学殴各,办公设备,学生终端等各种资产,受到的威胁有自然环境的,也有人为因素。高校网络是以TCP/IP协议为架构的局域网,TCP/IP系统由四层构成:数据链路层、网络层、传输层和应用层。每一层都可能受到威胁,操作系统是计算机系统应用软件的运行平台,是硬件设备的管家婆,安全威胁与操作系统密切相关,还有网络管理模式与安全威胁大有关联。下面从实体安全、网络通信安全、应用层安全、操作系统安全及网络管理安全进行分类描述。

1.1 实体安全威胁

网络实体可能受到的威胁有:环境安全威胁、设备安全威胁、存储介质安全威胁。主要表现为:

(1)地震、水灾、火灾等不可抗拒灾害造成整个系统瘫痪。

(2)电力故障造成设备因断电而发生数据库信息丢失事故。

(3)被无线监听、设备被盗、被人为毁坏造成数据丢失或信息泄漏。

1.2 网络通信安全威胁

网络通信可能受到的威胁有:局域网内部嗅探扫描、ARP病毒攻击、IP地址盗用、IP地址冲突、端口扫描威胁、伪造TCP包等。主要表现为:

(1)LAN中,黑客通过嗅探工具可以窃取通信信息。伪造ARP数据包,造成局域网瘫痪。

(2)IP地址是客户端在网络中的唯一标识,它是一个公共数据,可以在操作系统客户端直接修改数值,伪装成可信节点的IP地址,进行攻击。

(3)TCP/IP数据报文在网络中传输不需要进行身份验证,而且任何情况可以返回应答数据。黑客可以利用服务漏洞找到攻击入口。

1.3 应用层安全威胁

应用层可能受到的威胁有:Web网页漏洞、E-mail服务漏洞、FTP漏洞、数据库安全隐患、盗版软件的泛滥、即时通讯工具如QQ、MSN、Skype等。主要表现有:

(1)非法篡改页面数据,感染页面病毒干扰其正常运行。

(2)E-mail办公已经成为高校一种方便、快捷的手段,利用邮件服务漏洞控制邮件发送会使用户陷入极大的危机。

(3)数据库中保存大量重要信息,如果口令被破解,将引起信息泄密。

(4)即时通讯工具往往成为流行病毒的载体,它们一旦感染就会迅速获得好友信息名单,进行扩散传播或自动弹出恶意窗口占用系统资源。

1.4 操作系统安全威胁

操作系统由于设计的缺陷和代码开发的超大规模,即使拥有用户标识、身份认证、审计跟踪等安全功能,还是非常容易被攻击。主要表现有:

(1)系统配置不当会产生安全漏洞。如登录口令强度不够或者没有设置密码。重要文件的权限限制较低,系统重要资源长期暴露在网络上,会给有意入侵者提供方便。

(2)操作系统对外提供的一些网络相关服务,也会为入侵者提供机会获取系统访问权限,相当于远程操作主机,从而威胁用户信息安全。

1.省略scc.省略/)、国家计算机病毒应急处理中心(省略.cn/)。

(3)高校教师应意识到杀毒软件、防火墙、身份认证等都不是绝对安全可靠的,高校网络信息安全系统不可能永远安全对任何攻击都免疫。始终保持头脑清醒,关注计算机的异常情况,及时维护计算机的性能。才能有效地应对各种网络安全攻击。

(4)高校教师意识到网络信息安全重要性的同时,要不断提高自己网络信息安全技术水平。对高校教师进行网络安全技能培训,包括防火墙技术、身份认证技术、入侵检测技术、防病毒技术等。

(5)计算机网络作为高校教师教育教学重要工具,高校教师应培养良好的使用计算机网络的习惯。

1)数据安全备份,对重要的数据信息定期进行外存备份,最大限度减小硬盘损坏带来的损失。

2)加强防范,对病毒库要及时更新,定期进行病毒的全盘查杀。

3)使用正版软件,不要打开不明程序。很多黑客把病毒程序写入用户常用的软件中,所以一定要使用标准行业软件。

4)网页和邮箱。对网页风险进行监控,发送邮件尽量加密。

5)密码。系统密码,帐号密码等不可使用身份证号码、出生日期、手机电话号码、包括家人的。养成定期更换重要密码的习惯。

6)一旦发生信息安全事故,不可自己任意修复,以免误操作造成不可挽回的局面。可请网络信息安全专业人员来帮忙。

高校教师通过加强网络信息安全培训,与时俱进增强自己的网络信息安全水平,善用网络技术与网络资源,使高校网络成为自己的教学工作的得力助手。

篇7

    此项技术主要是对网络工程进行系统预定的安全访问控制,来避免内部网络信息数据被网络外部非法查看使用的问题,但是由于防火墙安全技术成本较高,普及度不高等原因,被置于网络工程安全体系安全技术的最下层。测:主要是指对网络工程进行内外部病毒有无的安全监测。具体划分可分为以下两种:①入侵检测:主要利用一些软件对网络工程中计算机内部数据信息进行常规收集与分析,从而勘察网络系统内部是否存在不安全活动以及出现被攻击等问题。不仅可以实现在不触犯网络性能的前提下,对网络工程的计算机数据信息实行监听、防范内外部攻击以及失误操作等问题,并从根本上提高网络性能的安全。②安全监测:即借助网络工程所使用的计算机安全程序以及相关软件,进行定期的安全监测,从而保证网络工程计算机的正常使用。控:这主要表现在安全扫描技术方面,即通过远程以及本地的网络系统监测实现网络数据信息的扫描,从而让网络管理者及时获知网络安全情况,对可能出现的漏洞等问题及时进行风险评估,并可以对潜在安全威胁进行警告,有效地从预防调控方面提高了网络工程安全性能。管:顾名思义,这项技术主要体现在维护网络工程安全方面,可以通过虚拟网技术、交换技术、认证和数字签名技术,VPN技术等进行网络工程的安全管理。针对近年来频繁出现的外部远距离攻击以及IPsweep等系统漏洞问题研发出一种虚拟网技术,以及与之相伴随产生的交换技术,这两种技术主要针对网络工程的连接安全问题。而对于认证和数字签名技术则主要用于处理网络工程数据信息交流交换通信处理,可以通过路由器与交换机、网络系统、网络管理设备之间、VPN设备。服务器与客户间访问以及电子邮件等进行网络数据与身份安全的认证。对于上述提到的VPN技术主要应用于网络工程各大企业的通信数据安全管理,由于要对分布较为分散的企业进行公共信息数据的集中管理,网络明显具有一定简便性,但是因为要在一个大的网络环境下进行具有一定隐私的数据管理,这就需要企业做好信息在通讯管理过程中不出现窃听、假冒以及非法入侵等安全问题。

    虽然现在对于网络技术的研究已经很深入,然而我们在确保网络工程安全进行技术选择时还需要谨慎,具体需要在技术应用操作中注意以下几点问题:(1)为了确保网络工程安全需要对网络操作人员进行网络技术安全技能培训。我们要明确网络工程安全不仅需要技术方面的支持,还需要在技术选择与安装过程中注意操作人员的专业技能,因为只有具备一定知识素养才能在维护网络工程安全作业中避免人为操作带来的安全隐患。(2)依据加密对象,选择合适的技术。由于网络工程不仅要对数据信息进行加密,还需要将加密工作分为主动防护加密以及常规防护加密,其区别主要表现在:前者是操作人员依据需求进行满足自我限定信息数据的安全特殊防护,后者只是根据数据信息性质施行程序化基本数据的保护。(3)根据网络数据类型进行相应安全技术选择。虽然研发出的现有网络安全技术有很多种类型,但是由于需要保护数据信息具有一定特点,我们为了更好地对网络工程进行安全保护工作,需要根据网络要保护的数据类型进行一定技术类别选择,这样才能让网络工程安全保护更科学更有效。(4)根据相应选择的网络工程安全技术配置与之相符合的计算机性能。由于网络主要通过计算机等进行数据录入整合等工作,所以为了确保整个网络工程安全性能,需要我们根据选择的技术进行符合技术标准的计算机性能配置,这样才能更好地实现安全保护工作。

    网络技术作为网络工程安全保障的主要内容,受到来自国内外计算机网络工作人员的热切关注,因为网络安全技术的发展不仅可以进一步推动网络工程的发展与普及,还能为人们对网络的使用带来更大的经济效益。

篇8

关键词:证券行业信息安全网络安全体系

近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。

1证券行业倍息安全现状和存在的问题

1.1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。

1.2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1.3IT治理方面

整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。

2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。

1.4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。

1.5IT人才资源建设方面

近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。

2采取的对策和措施

2.1进一步完善法规和标准体系

首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。

2.2深入开展证券行业IT治理工作

2.2.1提高IT治理意识

中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。

2.2.2通过设立IT治理试点形成以点带面的示范效应

根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。

2.3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。

2.4加强网络安全体系规划以提升网络安全防护水平

2.4.1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2.4.2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。

2.4.3提高从业人员安全意识和专业水平

目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。

2.5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。

2.6抓好人才队伍建设

证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lT人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。

篇9

一、企业计算机网络的安全隐患

(一)外部的安全隐患

改革开放以来我国经济的飞速发展,使很多企业迅速崛起,业务也在日渐扩张。企业之间进行合作时难免会有信息的交换,需要企业的计算机网络与互联网相连,这就给网络黑客以可乘之机。他们通过各种手段攻击企业的局域网窃取企业的一些重要的信息,例如,企业的财务信息、企业的成员信息、企业开发新产品的资料等[1]。并且,现在复杂的网络环境导致各种计算机病毒层出不穷,使企业的计算机网络安全受到严重威胁。企业的计算机网络一经病毒感染,所引起的网络瘫痪会给企业带来难以预测的损失。

(二)介质信息泄漏

如果企业的局域网没有采取一些安全的加密防护措施,那么黑客就可以根据网络传输信息时会产生电磁波这一特点,在传输信道上对网络信息进行截获,导致企业面临着信息泄漏的危险。另外计算机的磁介质在信息的储存上虽然有优势,因为它不仅具有很大的储存量,而且有复制容易的特点。如果在磁介质上储存了重要信息而没有进行妥善的处理,会使信息很容易就被复制或者删除,使企业局域网的安全不能得到保障。

(三)系统的不合理配置

如果企业的路由器没有设置密码或者密码设置的过于简单,以及其它的系统的不合理配置,会导致企业的局域网本身就存在很多的安全漏洞,无意中就给了黑客或者计算机病毒攻击感染企业局域网的机会,严重威胁了计算机网络的安全性。

(四)各种计算机病毒层出不穷

单机系统由于不具备相互通信的条件逐渐被互联网系统所替代,可是随着互联网系统的应用,各种传播速度极快的计算机病毒不断出现,这无形之中给负责企业计算机网络的管理、维护人员曾加了工作难度。一般情况下,这些计算机病毒主要通过一些移动的储存设备、在互联网环境下的文件传送、一些固化软件的程序上攻击企业的计算机网络。现在很多企业的局域网的安全设置已经不能阻止计算机病毒的入侵,使企业的局域网的安全问题让人堪忧。

二、计算机网络安全的实施策略

(一)实体网络安全

企业的网络维护与管理人员在企业计算机网络的安装时就要考虑到硬件的防护以及场地电源的安全;企业的计算机网络安装的杀毒软件都要求是最为可靠的,并且及时更新杀毒软件,及时升级系统补丁包等;企业局域网的一些重要设备要安装防辐射装置,以避免电磁波的干扰;企业的网络工作人员要经常对局域网的风险进行评估,以便采取有效的安全措施。

(二)加强内部管理

1、对机房服务器进行严格控制企业计算机的管理人员一定要对机房的服务器进行严格控制,尽量避免企业局域网被计算机病毒感染的风险;对企业所有要上传和下载的文件进行实时监控,以便及时发现危险信息的扩散与传播行为,采取有效的响应措施;给企业的局域网设置较为复杂的密码,使黑客不能容易地破解局域网密码。2、限制与互联网的互通权限因为互联网的环境十分复杂,企业在访问互联网的过程中,计算机病毒很可能藏匿于某个电子邮件或者网页之中。因此,企业要制定网络访问安全策略,控制工作以外的网络访问,降低企业局域网被病毒感染的风险。

3、提升网络管理人员的道德素养要保证企业的网络安全,企业的网络管理人员不仅要有很丰富专业知识以及实践技能,而且还要有很高的职业素养。因此,企业要注重计算机管理人员的职业道德培养,让他们意识到自己工作的重要性,强化企业的法制教育。同时企业应该鼓励计算机管理人员不断学习新的知识技能,不断完善企业的局域网安全措施,为企业的健康发展保驾护航[2]。

(三)控制网络访问权限

控制企业计算机网络的访问权限不失为一个很好的安全措施。计算机网络的管理人员可以限制企业局域网的访问资源,对访问用户的验证识别工作加以重视,这样就可以有效地保护企业的信息不被窃取。同时还要结合企业本身的局域网特点,对局域网的权限进行严格控制,实时监测局域网的安全状况。

三、结束语

篇10

一、指导思想

以党的“十”精神为指导,以科学发展观为引领,以推进人口计生工作综合改革为契机,加快人口信息化建设步伐,提高信息质量和深度开发利用,为领导决策提供科学依据,为群众提供更快捷、更优质的服务,促进全市人口计生工作再上新台阶。

二、工作目标

实现全市人口计生四级网络全覆盖,村(居)级信息化运用率达100%;确保人口基础信息库人群覆盖率、数据项目完整率、逻辑准确率、上报及时率均达到98.5%以上,在信息数据质量上,全省前进三位,苏北争首位;力争实现与相关部门适时在网上人口数据交换。

三、工作任务

1、进一步完善市、县(区)、乡(镇、街道)、村(居)四级网络建设。在设备硬件上,计算机要配置到村(居)级;在网络上,确保24小时畅通;在人员上,必须取得上岗操作资格证书,且本乡镇内原村(居)人员占90%以上;在网络安全上,完善网络安全制度,内、外网严格实行物理隔离。

2、强化乡(镇、街道)、村(居)二级业务培训,特别是对村级专干人口计生综合信息平台的应用操作技能培训。做到乡(镇、街道)不漏村(居)、村(居)不漏人的全方位培训,持证上岗率和应用率均达100%。在八月份,全市将开展村(居)级专干人口计生综合信息平台操作技能大比武。

3、加强全员人口信息变更与质量管理。定期开展数据质量测评与通报,提高人口基础信息库的人群覆盖率、信息上报及时率、数据项目完整率与逻辑关系准确率。

4、创新基层人口信息采集机制。定期召开相关部门联络员会议,进行人口数据分析比对。开发相关部门之间信息采集交换系统,力争与公安、民政、卫生实现网上实时共享。

四、保障措施

1.加强领导。各县(区)一定要把信息化工作作为一项重要的基础工作来抓,主要领导是第一责任人,分管领导和责任科室负责人要明确工作目标和工作任务。加强与相关部门的沟通与协作,切实将信息化工作落到实处。

2.加强督查。为确保信息库数据质量,将按季度、半年、全年,定期或不定期的方式,进行督查、抽查,并对督查或抽查结果及时通报。