網絡安全培訓制度精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全培訓制度主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全培訓制度范文
關鍵詞:安全三要素;計算機網絡;信息安全;防范策略;保障作用
在信息技術飛速發展的今天,黑客技術和計算機病毒也在不斷之變化,其隱蔽性、跨域性、快速變化性和爆發性使網絡信息安全受到了全所未有的威脅。在這種攻與防的信息對抗中人、技術和管理都是不可或缺的重要環節。
一、網絡信息安全的問題在哪里?
(一)技術層面的問題
1.網絡通信線路和設備的缺陷
(1)電磁泄露:攻擊者利用電磁泄露,捕獲無線網絡傳輸信號,破譯后能較輕易地獲取傳輸內容。
(2)設備監聽:不法分子通過對通信設備的監聽,非法監聽或捕獲傳輸信息。
(3)終端接入:攻擊者在合法終端上并接非法終端,利用合法用戶身份操縱該計算機通信接口,使信息傳到非法終端。
(4)網絡攻擊。
2.軟件存在漏洞和后門
(1)網絡軟件的漏洞被利用。
(2)軟件病毒入侵。
(3)軟件端口未進行安全限制。
(二)人員層面的問題
1.系統使用人員保密觀念不強,關鍵信息沒進行加密處理,密碼保護強度低;文檔的共享沒有經過必要的權限控制。
2.技術人員因為業務不熟練或缺少責任心,有意或無意中破壞網絡系統和設備的保密措施。
3.專業人員利用工作之便,用非法手段訪問系統,非法獲取信息。
4.不法人員利用系統的端口或者傳輸的介質,采用監聽、捕獲、破譯等手段竊取保密信息。
(三)管理層面的問題
1.安全管理制度不健全。缺乏完善的制度管理體系,管理人員對網絡信息安全重視不夠。
2.監督機制不完善。技術人員有章不循,對安全麻痹大意,缺乏有效地監督。
3.教育培訓不到位。對使用者缺乏安全知識教育,對技術人員缺乏專業技術培訓。
二.網絡信息安全的防范策略
(一)技術層面的防范策略
1.網絡的基礎設施安全防范策略
(1)減少電磁輻射。傳輸線路做露天保護或埋于地下,無線傳輸應使用高可靠性的加密手段,并隱藏鏈接名。
(2)使用防火墻技術,控制不同網絡或網絡安全域之間信息的出入口,保護網絡免遭黑客襲擊。
(3)使用可信路由、專用網或采用路由隱藏技術。
(4)網絡訪問控制。訪問控制是網絡安全防范和保護的核心策略之一。包括入網、權限、目錄級以及屬性等多種控制手段。
2.軟件類信息安全防范策略
(1)安裝可信軟件和操作系統補丁,定時升級,及時堵漏。
(2)應用數據加密技術。將明文轉換成密文,防止非法用戶理解原始數據。
(3)提高網絡反病毒技術能力。使用殺毒軟件并及時升級病毒庫。對移動存儲設備事前掃描和查殺。對網絡服務器中的文件進行掃描和監測,加強訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
(4)使用入侵檢測系統防止黑客入侵。一般分為基于網絡和基于主機兩種方式。還可以使用分布式、應用層、智能的入侵檢測等手段。
(5)數據庫的備份與恢復。
(二)人員層面的防范策略
1.對人員進行安全教育。加強對計算機用戶的安全教育、防止計算機犯罪。
2.提高網絡終端用戶的安全意識。提醒用戶不使用來歷不明的U盤和程序,不隨意下載網絡可疑信息。
3.對人員進行法制教育。包括計算機安全法、計算機犯罪法、保密法、數據保護法等。
4.加強技術人員的安全知識培訓。
(三)管理層面的防范策略
1.建立安全管理制度。對重要部門和信息,嚴格做好開機查毒,及時備份數據。
2.建立網絡信息綜合管理規章制度。包括人員管理、運維管理、控制管理、資料管理、機房管理、專機專用和嚴格分工等管理制度。
3.建立安全培訓制度。使安全培訓制度化、經常化,不斷強化技術人員和使用者的安全意識。
三、安全三要素的保障作用更重要
在保證網絡信息安全的過程中,技術是核心、人員是關鍵、管理是保障,我們必須做到管理和技術并重,技術和措施結合,充分發揮人的作用,在法律和安全標準的約束下,才能確保網絡信息的安全。
(一) 技術的核心作用
不管是加密技術、反病毒技術、入侵檢測技術、防火墻技術、安全掃描技術,還是數據的備份和恢復技術、硬件設施的防護技術等,都是我們做好網絡信息安全防護的核心要素,技術支撐為我們建立一套完整的、協調一致的網絡安全防護體系起到了核心的作用。
(二)人員的關鍵作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,還是程序開發人員、技術維護人員,還是網絡黑客,都是我們構建網絡安全環境的關鍵因素,成也在人,敗也在人。
(三)管理的保障作用
管理是不可缺失的,不論是技術上的管理,還是對人的管理,不論是技術規則,還是管理制度,都是網絡信息安全的保障。很多安全漏洞都來源于管理的疏忽或者安全培訓的缺失。
四.多說兩句
網絡信息安全是一項復雜的系統工程,涉及人員、技術、設備、管理、制度和使用等多方面的因素,只有將安全三要素的保障策略都結合起來,才能形成一個高效安全的網絡信息系統。世上沒有絕對安全,只要實時檢測、實時響應、實時恢復、防治結合,做到人、技術和管理的和諧統一,目標一致,網絡信息就能安全。
參考文獻
第2篇:網絡安全培訓制度范文
【關鍵詞】校園網絡;網絡安全;信息安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】A 【論文編號】1009-8097(2012)09-0053-04
隨著信息技術的快速發展和高校網絡基礎設施的不斷完善,資源整合、應用系統和校園信息化平臺建設已經成為校園信息化的主要任務。在新的網絡信息環境下,信息資源也得到更大程度地共享,3G、IPV6、虛擬化和云計算等新技術開始研究和實施應用;三網融合、云服務及“智慧校園”等服務新理念的不斷提出,使得校園網規模不斷擴大,復雜性和異構性也不斷增加,而這些需求都要求有一個能夠承載大容量、高可信、高冗余和快速穩定安全的校園網作為基礎條件。與此同時,高校用戶在享受信息化成果所帶來的工作高效和便利的同時,也面臨著來自校園網內部和外部帶來的各種安全威脅和挑戰。因此,有必要建立一套高效、安全、動態網絡安全防范體系,來加強校園網絡安全防護和監控,為校園信息化建設奠定更加良好的網絡基礎。
一 校園網絡安全面臨的問題
1、網絡安全投入少,安全管理不足
在校園網建設過程中,管理單位主要側重技術和設備投入,對網絡安全管理不重視,在網絡安全方面投入也較少,一般通過架設出口防火墻來保護校園內部網,缺少對安全漏洞的分析和病毒的主動防范的系統。同時,由于高校機構設置的原因,很多高校在網絡管理方面存在人員不足,同一個技術人員同時肩負著建設、管理和安全的工作情況Ⅲ,在校園網安全管理方面,實踐經驗告訴我們,校園網絡安全的保障不僅需要安全設備和安全技術,更需要有健全的安全管理體系。很多高校沒有成立信息安全機構,缺乏完善的安全管理制度和管理規范,在網絡和信息安全方面沒有根據重要程度進行分級管理。有統計表明,70%以上的信息安全問題是由管理不善造成的,而這些安全問題的95%是可以通過科學的信息安全管理制度來避免。
2、系統和應用軟件漏洞較多,存在嚴重威脅
傳統的計算機網絡是基于TCP/IP協議的網絡。在實際運用中,TCP/IP協議在設計的時候是以簡單高效為目標,缺少完善的安全機制。因此,基于TCP/IP而開發的各種網絡系統都存在安全漏洞,黑客往往把這些漏洞作為攻擊的突破口。安全漏洞主要包括交換機IOS漏洞、操作系統漏洞和應用系統漏洞等,操作系統漏洞如WINDOWS、UNIX、LINUX等往往存在著某些組件的安全漏洞,如果管理員沒有及時更新系統補丁或升級軟件,就會成為眾多黑客攻擊的目標。應用程序漏洞往往出現在最常用的軟件上,如IE、QQ、迅雷、暴風影音等經常存在一些安全漏洞,這些漏洞很容易成為黑客攻擊最直接的目標,給校園網帶來了嚴重威脅,使得校園網絡安全需要投入更多的精力,需要從各個層次進行防范。
3、網絡安全意識淡薄,計算機病毒較多
高校校園網主要的服務群體是教職工和學生,用戶計算機網絡水平參差不齊,在日常上網行為和使用計算機過程中,很多用戶缺少足夠的網絡安全意識,比如教職工為了教學科研和日常辦公方便,經常使用簡單的密碼來管理計算機和各種業務系統,造成密碼容易被非法盜用,從而導致系統和網絡安全問題,黑客通過盜取個人信息進行詐騙或者獲取用戶賬號信息來謀求不法利益,甚至有些黑客在用戶的計算機安裝后門木門,并作為僵尸網絡的攻擊工具。另外,計算機技術的飛速發展也使得計算機病毒獲得了更加快捷多樣的傳輸途徑,各種新型病毒不斷升級變異,并通過U盤、移動終端、局域網等各種方式進行廣泛傳播。如何提高用戶的網絡安全意識,有效解決病毒對校園網絡安全的威脅,也是校園網管理人員必須面臨的一個問題。
二 構建校園網絡安全防范體系
針對校園網絡安全的各種安全隱患和威脅,要有效地進行防范,我們必須了解網絡安全的體系結構及其包含的主要內容,國際電信聯盟電信標準部(ITU-T)在X-800建議中提出了開放系統互連(OSI)安全體系結構,OSI安全體系結構集中在三個方面:安全攻擊,安全機制和安全服務。安全攻擊是指損害機構所擁有信息的安全的任何行為;安全機制是指設計用于檢測、預防安全攻擊或者恢復系統的機制;安全服務是指采用一種或多種安全機制以抵御安全攻擊、提高機構的數據處理系統安全和信息傳輸安全的服務。三者之間的關系如圖1所示。
在校園網絡管理中,網絡安全防范根本任務就是防范安全攻擊,提供安全可靠的信息服務。在計算機網絡發展過程中,人們在不斷實踐總結的基礎上逐漸形成了動態信息安全理論體系模型,如P2DR模型,主要包括:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。該模型以安全策略為指導,將安全防護、安全檢測和及時響應有機地結合起來,形成了一個完整的、動態的安全循環,有效地保障了保證網絡信息系統的安全。
第3篇:網絡安全培訓制度范文
1數據信息安全威脅信息數據
面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2安全管理缺失公共衛生行業
在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
二分析問題產生的主要原因
1經費投入不足導致的安全防范技術
薄弱許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
2專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因素。
3信息安全培訓不足
職工安全保密意識不強信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
三如何促進公共衛生行業計算機網絡安全性提升
1強化管理
建立行業計算機網絡安全管理制度為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
1.1成立信息安全管理機構
引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
1.2制定信息安全知識培訓制度
定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
1.3建立信息安全監督檢查機制
開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
2開展信息安全等級保護
建設開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等級保護建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
3加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
3.1防火墻技術
防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
3.2入侵檢測
入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異常現象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
3.3虛擬專用網絡(VPN)技術
VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
四結語
第4篇:網絡安全培訓制度范文
論文摘 要: 網絡安全建設是確保高職院校圖書館正常提供各種數字化服務的重要工作,也是構建高職院校安全穩定數字圖書館的重要組成部分。本文作者基于高職院校數字圖書館網絡安全影響因素分析,結合網絡安全管理工作的實際,提出了高職院校數字圖書館的網絡安全管理策略。
一、前言
隨著Internet的普及和廣泛發展,當今社會已進入了網絡信息高速流通的時代,它使信息與信息之間的距離拉近了,計算機網絡被廣泛應用于越來越多的專業領域,包括傳統學科圖書館學。隨著數字圖書館的概念提出和在高職院校圖書館的廣泛應用,數字圖書館的網絡安全問題受到越來越多的關注,實現網絡安全是保證高職院校數字圖書館健康發展的基礎保障。因此,全面分析高職院校數字圖書館的網絡安全影響因素,制定和實施行之有效的網絡安全管理策略,對構建安全穩定的高職院校數字圖書館具有重要積極意義。
二、高職院校數字圖書館的網絡安全概述
網絡安全涉及的保護對象為網絡系統中的硬件、軟件及系統中的數據。因此,高職院校數字圖書館網絡安全管理也可以概括為對維護高職院校數字圖書館這一網絡系統中的硬件、軟件及數據的正常安全運行的一系列管理工作內容。
三、高職院校數字圖書館的網絡安全影響因素
當下,大部分高職院校搭建網絡時選擇采用樹型加星型的混合型拓撲結構,采用以太網標準,用五類或超五類雙絞線進行綜合布線,將寬帶或專線接入網絡中的路由器,從而與外網相聯,最終實現信息交換,同時在多校區院校多數采用光纖進行中長距離連接。而高職院校數字圖書館依建在學院的計算機大網絡系統中,成為其一部分,因此大網絡的安全管理對數字圖書館的安全存在著不可忽視的影響。除此之外,還有以下幾點涉及數字圖書館日常管理中的影響因素。
(一)計算機技術應用的影響因素
黑客、木馬、病毒這類危害網絡安全的計算機技術發展迅速,相應的各類防病毒技術也日新月異,計算機技術應用層次成為影響網絡安全的重要影響因素。
1.硬件技術因素。部分高職院校計算機網絡受舊有規劃、經費限制等原因制約,以致網絡設備老舊換代緩慢,致使網絡運行穩定性、兼容性差。
2.軟件技術因素。大量的計算機病毒和木馬在互聯網上傳播,而其中的大部分病毒和木馬都是利用了用戶計算機上的各種軟件系統的漏洞進行傳播與擴散。越來越多的通訊及共享軟件技術在系統普通用戶中推廣應用,加速了形式多樣的安全漏洞的出現。在新的軟件技術推廣應用過程中,往往忽略了對其安全管理的培訓。
(二)人員配備因素
雖然隨著圖書館信息化的進一步深入,不少高職院校圖書館采取了一系列措施來解決網絡安全人才配備的問題,如引進計算機專業人才、增加現有工作人員的網絡安全技術培訓等。但這些只是初步改善了網絡安全管理人才上的數量配置問題,而事實上由于人員所擁有的經驗、專業系統性等方面因素也存在著差異,最終影響網絡安全管理效果。同時各級管理人員及基層操作人員在安全水平與意識上也存在著一定的差異,往往造成上下理解不同,操作無法規范化,致使網絡安全方面的措施很難達到預期的成效。
四、高職院校數字圖書館的網絡安全管理策略
(一)建立和落實網絡安全管理制度
作為加強高職院校數字圖書館網絡安全管理的重要措施,必須提高全館對網絡安全管理規范化重要性的認識,從而建立健全網絡安全管理規章制度。網絡安全管理制度主要可從以下幾方面建立。
1.建立網絡硬件維護、使用及維修制度。
定期做好網絡安全管理系統硬件設備的維護和保養是加強數字圖書館網絡安全管理在硬件技術方面的重要措施。在日常工作體系中,針對中心機房、服務器、中心交換機、二級交換機和Hub等網絡中的關鍵設備的維護和保養,建立周期性的檢查、維護制度,明確各類設備的管理與使用責任分工至具體管理人員,建立維修文檔跟蹤機制,確保網絡安全管理系統運轉順暢。
在周期性的維護工作期間,要重視設備所處環境的衛生狀況。良好的外部環境在一定程度上影響著這些硬件設備的使用壽命及效果。因此,要保持環境的通風低溫、電源常通電壓穩定,減少設備的意外斷電情況。定期進行環境清潔,盡可能保持密閉,避免過多的灰塵堆積。根據天氣的變化,對設備進行防潮防燥工作。
為數字圖書館系統配備相應的備份、系統恢復硬件設備,這些設備屬于保證網絡安全系統正常運行的核心。設備更新時,對整體設備的配置及時進行調整,以做到新舊結合合理,并達到物盡其用。
對于受客觀條件限制而必須設置在外部環境下使用的設備要進行定期的檢查,發現物理損壞要及時維修更替。
2.建立軟件維護及使用制度。
操作系統軟件作為支撐軟件是用戶和計算機的接口,控制網絡用戶對網絡系統的訪問及數據的存取,但無論是Windows NT還是Unix或Linux都存在著后門,為病毒侵入和黑客攻擊留下了可乘之機[1]。每周應固定對服務器及操作機器進行殺毒、病毒庫升級及系統升級工作,及時填補安全漏洞。
數據庫系統軟件作為實際可運行存儲、維護和為應用系統提供數據的軟件系統,其具有一套獨立的安全認證體制[2]。在管理過程中可運用數據加密技術,設置嚴密的授權規則,例如:賬戶、口令和權限控制等訪問控制方法。同時,盡量避免與操作系統的安全認證體制捆綁,例如,避免數據庫系統與操作系統使用相同的管理員用戶名及密碼。保持數據庫系統在磁盤上與其他應用程序的相互獨立性,保證在操作系統不安全的情況下,數據庫系統中的數據最大限度地不被損壞。
應用軟件作為滿足用戶應用需求而提供的那部分軟件,拓寬了操作系統的應用領域。但同時在使用過程中,也增加了因其不完善性造成的網絡安全漏洞,因此在應用軟件使用及選擇上應進行規范控制,特別是針對基層計算機的應用軟件安裝管理上。在滿足業務需要的同時應適當規范使用范圍,例如:對于P2P軟件,應限制在少數業務計算機中使用。對于前臺檢索機的IE瀏覽器應設置嚴格的上網分級審查級別,避免讀者在使用時誤入不良網站而引起病毒及木馬感染,從而影響整個數字圖書館系統的網絡安全。
除對以上三類軟件建立日常維護制度外,同時把周期性的系統備份及數據備份列入軟件維護制度中。例如:對數字資源服務器的整體操作環境和重要的數據庫系統進行備份,以避免在出現重大網絡安全事故導致數字圖書館系統數據出現丟失時,無法盡快恢復或重建系統數據。
3.建立突況處理機制。
數字圖書館系統較常發生的突況分為:一是自然災害,指天災引起的網絡與系統的損壞;二是事故災難,指電力中斷、設備故障引起的網絡與系統的損壞;三是人為破壞,指人為破壞網絡設備設施,黑客攻擊等引起的系統無法正常運行。
網絡安全突發事件雖然有不可預見性,但在長期的實踐過程中,也可摸索出一般的發生規律。而針對其建立的處理機制,就是立足對規律的總結,做好事前的預防及事后的補救工作。例如:在特殊氣候來臨前,設備的提前轉移,環境的檢查加固;在系統無法正常運行時,起用備用系統的處理流程,等等。
4.制定網絡安全管理人員操作手冊。
在加強網絡安全管理專業隊伍的建設中,除了選派配備責任心強、網絡應用技術熟練的人員擔任管理職務外,并要建立一套有明確指引的網絡安全管理人員操作手冊,以保證管理人員在處理各項網絡安全事務時,有根可尋、有源可溯,以避免因失誤操作引起進一步的安全問題。
(二)加強各級用戶的網絡安全培訓
據權威部門統計結果表明,網絡上的安全攻擊事件有70%來自內部攻擊[3]。全館的各級領導、部門工作人員和讀者應加強數字圖書館系統的網絡安全意識,并首先從培訓開始。高職院校圖書館可以定期舉辦相關講座,培訓,考核等內容,這樣既可使工作人員學到更多的網絡安全知識,又可增強工作人員的責任心及參與感。
為達到最佳效果,各類培訓應根據人員特質來設定。專職專崗的管理人員多參與校外最新專業技能的培訓課程;部門工作人員的培訓內容以日常操作規范、防病毒及系統優化等內容為主。而普通讀者在每年的新生教育中,融入上網守則、計算機的信息安全保護和病毒防范等知識的培訓。
五、結語
隨著數字圖書館的快速發展,嚴防黑客入侵、努力保障網絡安全,不但是高職院校圖書館信息化發展的基本需求,而且對全院的整體數字信息化發展起著重要的作用,所以各級領導與工作人員應該對網絡安全問題給予高度的重視。通過實施有效的高職院校數字圖書館的網絡安全管理策略能有效減少數字圖書館系統受網絡安全隱患的困擾。但要構建和維護一個長期穩定的數字圖書館運行網絡環境和更好地為讀者提供優質服務,并不是幾個人或短期行為就能解決的事,更需要建立加強安全教育和培訓,增強安全防范的意識,采取安全防范技術措施,提高網絡安全水平和防范能力,降低各種不安全因素的長效工作機制。
參考文獻
[1]孟慶昌,朱欣源.操作系統.北京:電子工業出版社,2009.
第5篇:網絡安全培訓制度范文
關鍵詞:電力制造企業;計算機網絡;安全
一、安全風險分析
電力制造企業計算機網絡一般都會將生產控制系統和管理信息系統絕對分隔開來,以避免外來因素對生產系統造成損害,在生產控制系統中常見的風險一般為生產設備和控制系統的故障。管理網絡中常見的風險種類比較多,通常可以劃分為系統合法用戶造成的威脅、系統非法用戶造成的威脅、系統組建造成的威脅和物理環境的威脅。比如比較常見的風險有操作系統和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權)、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數據丟失或數據錯誤,使數據可用性大大降低。網絡中的線路中斷、病毒發作或工作站失效、假冒他人言論等風險,會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大,因此生產控制系統和管理系統之間盡量減少物理連接。當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或專用隔離裝置。
二、安全需求分析
一般電力制造企業的安全系統規劃主要從安全產品、安全策略、安全的人三方面著手,其中安全策略足安全系統的核心,直接影響安全產品效能的發揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為企業打造網絡安全最重要的環節,必須引起發電企業高度重視。安全產品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網絡信息系統發起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業務系統之間不產生消極影響的技術手段和工具,是確保業務和業務數據的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業經營鏈中的細胞,既可以成為良性資產又可能成為主要的威脅,也可以使安全穩固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力制造企業信息安全的主要目標一般可以綜述為:注重“電力生產”的企業使命,一切為生產經營服務;服從“集約化管理”的企業戰略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業生產控制系統不受干擾。保證系統安全事件(計算機病毒、篡改網頁、網絡攻擊等)不發生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數據不丟失。(1)先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統。(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業、單位應建立相應的網絡管理辦法,加強內部管理,建立適合的網絡安全管理系統和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網絡安全意識。(3)嚴格的法律法規是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規,加強安全教育和宣傳,嚴肅網絡規章制度和紀律。對網絡犯罪嚴懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。
2、訪問控制策略和方法。
網絡安全的目的是將企業信息資源分層次和等級進行保護,主要是根據業務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內,提高網絡的整體安全水平,目前路由器、虛擬局域網VL心、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統內資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結合起來,實現多重防護體系,防止內容非法泄漏,保證應用環境安全、應用區域邊界安全和網絡通信安全。
3、開放的網絡服務策略和方法。
Internet安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態度,更要強化內部網絡用戶的責任感和守約,必要時增加審計手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對郵件的使用規則、郵件的管理以及保密環境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現象越來越多,迫使防范技術快速發展,電力制造企業可以在電子郵件安全方案加大投入或委托專業公司進行。
5、網絡反病毒策略和方法。
每個電力制造企業為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發展到了到實時監控,并且針對特殊的應用服務還出現了相應的防毒系統,如網關型病毒防火墻以及郵件反病毒系統等。
目前,計算機網絡與信息安全已經被納入電力制造企業的安全生產管理體系中,并根據“誰主管、誰負責、聯合保護、協調處置”的原則,實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針,在建立健全電力制造企業內部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據科學的網絡安全策略,采用適合的安全產品,確保各項電力應用系統和控制系統能夠安全穩定的運行,為電力制造企業創造新業績鋪路架橋。
參考文獻
第6篇:網絡安全培訓制度范文
【關鍵詞】計算機;網絡安全技術;企業
1企業內外影響計算機網絡安全的因素
1.1網絡硬件因素
計算機作為信息交換設備,其信息交換功能的實現主要依靠于數據通信技術,即利用電子設備進行數據或信息的整理,利用無線電波和物理線路進行數據或信息的傳送。而電子設備、物理線路等硬件在使用過程中受到來自三方面的威脅:(1)受到線路干擾。由于通信線路本身載波質量較低,伴隨企業內外數據傳輸數量的增加和傳輸速率要求的變化,可能出現調制解調器數據傳輸錯誤的情況,進而導致企業網絡安全受到威脅;(2)電磁泄漏情況,在處理機部分、網絡端口部分或者線路傳輸過程中,由于屏蔽工作不到位,可能出現電磁泄漏情況,進而影響網絡應用的安全效果;(3)計算機網絡設備自身故障、受到外力破壞、意外中斷導致內存信息中存在未受到保護的信息段等情況都有可能導致網絡安全隱患的產生。
1.2軟件因素
軟件方面的網絡安全隱患主要有:1.2.1受到競爭對手或者黑客的惡意攻擊一般來說,惡意攻擊的行為主要表現為以企業網絡系統癱瘓為目的的攻擊行為以及以竊取企業信息機密為目的的攻擊行為。兩種攻擊行為都會造成企業網絡安全隱患,進而影響企業的正常辦公甚至是信息安全。1.2.2企業所應用的系統本身存在漏洞漏洞的存在可能是因為企業網絡使用中程序員的疏忽,或者是程序員為竊取企業機密情報而故意設計的漏洞。另外,一些程序員在企業安全軟件設計中可能為方便個人應用會進行一些軟件后門的設計,一旦被企業外部人員知曉,則有可能造成企業網絡應用的安全隱患。
1.3主觀因素
企業的計算機網絡安全還受到網絡管理人員的影響,主要影響方式有:(1)網絡管理人員本身缺乏安全防范意識和信息安全的相關知識,不經常升級網絡病毒庫,或者對工作電腦的物理隔離不到位;(2)企業內部對于存有加密信息的電腦進行隨意使用,加密工作不到位;第三,企業局域網建設過程中,信息安全意識不足,安全防范工作不到位。
2企業內部計算機網絡安全的防范措施
2.1加強網絡安全管理
加強網絡安全管理,可以從建立安全管理制度、規范網絡管理人員工作角度入手。(1)企業本身需要強化對于網絡安全工作的認識,從自身制度建設入手,進行計算機網絡安全管理制度和管理系統的建設,強化工作人員的用戶管理和企業內部功能授權工作;(2)加強對網絡管理人員的監管,可以通過軟件、硬件等網絡系統安全培訓,增強程序員的責任心,同時利用防火墻技術、數據加密技術、殺毒技術等技能培訓,提高網絡程序員的工作能力。
2.2強化網絡安全審核
企業內部的網絡安全工作需要結合自身的安全審核進行。具體的安全審核工作,可以從網絡安全日志記錄入手。首先,強化主機登陸日志的建設,針對主機操作進行及時的安全追蹤,并對其他訪問主機的移動介質進行監測和控制。其次,針對非授權的主機接入行為進行必要的安全監測。最后,嚴格網絡設備的拆卸工作,尤其對于員工拆卸硬盤、光驅等行為,予以禁止。
3企業外部計算機網絡安全的防范措施
3.1有效應用防火墻技術
在企業外部計算機網絡安全技術中,防火墻技術是保障企業信息安全、防治機密數據泄漏的基本技術。在企業網絡結構中,可以通過利用包過濾防火墻技術,過濾企業內部傳輸的信息并對病毒進行攔截;當然也可以利用應用級防火墻技術,對終端服務器進行掃描處理,以抵制基本的網絡攻擊行為。
3.2強化數據加密功能
數據加密功能的實現,能夠綜合化保障企業內部數據安全。通常而言,數據加密形式可通過兩種算法實現,即對稱算法和非對稱算法。對稱算法即借助密碼設置的方式進行數據的保護;非對稱加密則利用較為復雜的加密算法來保障系統安全,防止黑客供給。
3.3合理使用殺毒技術
病毒是當前企業計算機網絡安全的主要威脅之一。因此在企業網絡安全管理工作中,需要重視殺毒技術的選擇和使用。而在具體的殺毒技術使用過程中,首先需要加強計算機操作系統的更新,避免系統漏洞被攻擊造成的企業信息泄露情況;其次,安裝正版的殺毒軟件,在對病毒數據庫進行及時清理的同時,對所下載的不明軟件或郵件進行及時的病毒查殺以保證計算機網絡安全。
3.4加強系統入侵的檢測
系統入侵檢測技術的有效應用,能夠及時收集計算機及網絡操作中的相關信息數據,報警病毒入侵情況,實現病毒攔截。加強入侵監測,主要從主機系統入侵檢測和網絡入侵檢測入手。主機系統入侵檢測主要包括系統安全日志、主機操作相關數據等的監測;網絡系統入侵檢測則對企業網絡自身存在特點的把握,結合具體的測定數據和入侵分析模塊進行入侵內容的監控,并在短時間內進行攻擊處理。一般來說,入侵檢測包括誤用檢測和異常檢測兩部分。誤用監測主要從入侵模式的檢測入手,檢測速度快,且誤警率低;異常檢測則以企業內部的非正常行為入手,誤警率高且檢測時間較長。
4結語
計算機網絡技術的應用,不僅提高了企業的工作效率、工作水平,而且為企業綜合實力的提高、為我國國民經濟的建設和發展創造優勢條件。因此,為保證企業內外計算機網絡技術的有效利用,維護企業的信息和數據安全,企業需要從安全技術應用和安全管理角度出發,加強網絡安全防范的監控與審核,并借助防火墻技術、數據加密技術、殺毒技術等的應用,結合對系統入侵的及時檢測,提高企業計算機網絡安全等級,促進企業良好、健康發展。
參考文獻
[1]胡俊.計算機網絡安全技術在網絡安全維護中的應用研究[J].科技風,2014(15).
[2]程完寶,謝金榮.計算機網絡安全技術在企業網的應用與研究[J].計算機光盤軟件與應用,2012(05).
第7篇:網絡安全培訓制度范文
[關鍵詞]醫院;信息化;系統;安全建設;重要性
doi:10.3969/j.issn.1673 - 0194.2016.18.108
[中圖分類號]R197.324 [文獻標識碼]A [文章編號]1673-0194(2016)18-0-02
醫院信息化系統安全防護措施的建設對保證醫院系統的安全性和穩定性具有重要的意義,其網絡安全管理水平直接關系到醫院中各個醫療部門的正常運作。一旦出現信息安全問題,將會導致網絡癱瘓、大量數據丟失,為醫院的正常運行和患者帶來難以彌補的損失。因此,醫院應建立健全信息化系統安全防護體系,制定相關的安全防護措施,從而建立高效、安全、穩定的醫院信息化體系。
1 醫院信息化系統建設的基本手段
1.1 建立完善的網絡安全管理制度
建立完善的網絡安全管理制度是醫院信息化系統建設的基本制度保障,科學的網絡安全管理制度能夠保障網絡運營的安全性及穩定性。為此,醫院應根據自身需求,對網絡系統進行科學管理,制定與各部門相關的網絡安全執行規定。同時,對醫院人員進行定期網絡安全知識培訓,使醫護人員能夠科學地利用信息化網絡,促進醫療服務水平的提高。通過培訓提升網絡意識以及制定安全管理制度兩方面展開工作,從制度上及意識上提升網絡安全的執行效率,提高人們的安全意識。另外,落實網絡安全責任制,將醫院的各個環節網絡安全工作責任落實到人,促進團隊到個人的監督工作,通過層層問責、層層監督的形式,實現網絡安全管理,與此同時,也能夠實現網絡安全人人有責,提升醫護人員網絡安全的責任心,使之能夠更加用心地維護網絡安全、科學使用網絡,避免由于個人操作失誤、人為破壞及意外泄露等原因造成網絡安全問題。
1.2 加強人員管理與制度管理
醫院的信息化系統與網絡安全管理制度歸根結底是人在使用,因此在進行網絡安全建設過程中最重要的是對人的管理。第一,對人員素質及人員品質進行考核,促進人員集體意識及服務意識的加強,摒棄個人利己主義,以防止由于利益、職位等因素造成醫院數據及信息的泄露。第二,在對人員素質品質進行考核的基礎上要有針對地進行網絡安全培訓,提升網絡操作的科學性,通過培訓給予醫護工作者正確的網絡使用指引,引導醫護工作者充分利用信息系統提供醫療服務的同時能夠自覺維護網絡安全。第三,針對一些重要的部門以及人員信息應進行網絡隔離監管。由于某些部門數據的重要性以及文件的機密性,信息一旦泄露將會造成不可估量的損失,因此針對一些重要的部門以及人員信息應進行網絡隔離監管,使重要數據以及醫院機密文件得以保持其機密性,防止黑客攻擊或網絡漏洞造成的數據泄露,使醫院的重要信息包括患者病例以及醫院人事檔案等外泄。通過以上三點具體措施來促進人對制度進行科學管理,同時也實現制度對人的行為的監督制約作用。以此促進二者協調可持續發展。
1.3 完善網絡應急管理措施及事故處置方案
完善的網絡安全應急措施以及事故處置方案,能夠在網絡安全災難發生后切實減少網絡癱瘓時間,及時恢復系統及數據,降低事故損失。為此,完善的網絡應急管理措施應包括:網絡監督維護工作、數據檔案備份工作及事故應急處理工作。網絡監督維護工作主要是指對網絡安全系統的漏洞進行及時排查、修復,對可能存在的風險予以規避,避免由于監督疏忽造成的病毒侵入等問題。數據檔案備份工作是指利用備份軟件進行有層次有部門的數據備份工作,使醫院系統數據有一個較完整的備份,一旦發生網絡安全問題,可以及時恢復數據,盡可能地減少數據丟失問題。而事故應急處理工作是對網絡安全事故第一時間做出反應,以減小事故損失及社會影響為基本著眼點,采取應急措施等一系列事故應急方案,保障事故的影響降低到最小.
2 醫院信息化系統安全建設的重要性
2.1 促進醫院系統的正常運行以及數字化管理
由于網絡信息化實現了電子化病例與地域醫療系統等信息化手段的結合,為醫療工作提供了大量的醫療信息,保證了醫療手段的先進性以及獲取病患信息的及時性。目前,醫院各個繁雜的項目都極其依賴于網絡的功能性,因此醫院網絡必須保證其安全覆蓋24小時安全運營。故而醫院網絡系統的安全性對醫院能否正常運行具有重要的影響作用,同時對病患得到及時高效的就醫具有重要作用。可以說,醫院系統安全建設是保證醫院網絡安全運行的前提及數字化管理的重要手段。在目前醫療系統的不斷推進過程中,醫院的信息網絡具有較強的開放性,在給患者帶來便利的同時,在一定程度上為醫院的網絡安全帶來隱患。醫院進行信息化系統安全建設時要做好實時監督,并化解醫院信息網絡中存在的風險,最大限度使醫院各個系統避免網絡攻擊帶來的侵害,且規避網絡泄露對醫院造成的經濟損失和社會影響,確保醫療系統的正常運行,保證醫院各項工作的順利開展。
2.2 優化工作環境,提高醫護工作效率
安全的網絡信息系統能夠促進系統的有序進行,優化醫院的就醫環境,提高醫護的工作效率及病患的就醫體驗。應用信息系統,患者可以通過網絡掛號、預約,醫護人員通過信息化系統查看患者的病例以及檢查結果,形成電子病歷,同時針對外地客戶通過互聯網能夠及時地獲取病患病史及醫治信息,優化患者看病的程序,減少患者等待時間,實現醫療模式的規范化,為患者提供更加優質的醫療服務。另外,針對敏感性部門以及管理層人員的網絡,采取子網分離的安全隔離措施能夠有效地排除不允許訪問用戶的訪問請求,減少信息泄露的可能,提高重要數據和機密文件的安全性和保密性,使各部門處于安全有序的信息化系統環境中,提升醫護人員的工作效率,促進現代醫療機構管理水平的全面提升。
2.3 優化經費管理,提高經濟效益
安全的信息化系統能夠有效防止人為惡意入侵,降低人為更改系統內數據的可能性,保證系統內數據的真實有效性。通過信息化系統,能夠清晰地查看醫院的醫療經費和物資管理,實現經費的合理利用,減少醫院不必要的開支,提高經濟效益。同時,針對于病患的醫藥費,患者可以通過醫院各角落的終端實現藥品劃價,使醫患就醫實現公平透明化,解決患者的就醫疑問。通過安全的信息化系統管理,能夠優化財政系統,減少醫療經費管理漏洞,提高患者就醫費用的透明度,保護醫患雙方利益。
2.4 能夠提高醫護人員網絡安全意識
醫院信息化系統安全的建設能夠促使醫院實現科學的網絡安全管理制度,提高醫院工作人員的網絡安全意識,以使工作人員在進行醫療系統使用時,注重安全細節,減少不當的網絡利用行為,例如:不在網絡終端機上使用U盤、光驅等外界存儲,不在終端機上拷貝等以防止病毒的偶然入侵以及數據信息的泄露。與此同時,建立網絡安全信息要求各個系統的使用者建立難度系數較高的口令,以提高系統的安全性。
2.5 提升應對病毒的能力
目前,由于信息科技手段的不斷提高,計算機病毒水平也不斷復雜化,建立安全的信息化系統能夠有效地預防病毒的侵入,通過殺毒軟件部署及時修復系統漏洞,減少系統的缺陷性,使病毒無處可侵。與此同時,實現網絡系統安全化能夠實現網絡安全管理者對客戶端應用程序進行管控,提升病毒應對能力、病毒檢測及病毒修復能力,有效的病毒應對能力,能夠提升網絡系統的安全性。而安全的網絡系統能夠不斷提升病毒應對能力,兩者相互作用能促進醫院信息系統處于優化循環中。
3 結 語
醫院信息化系統安全建設能夠行之有效地為患者提供透明化的服務,使之賬目透明,用藥透明及管理透明,提高患者對醫院消費的了解程度,減少醫患糾紛。基于安全的網絡信息系統下的醫院能夠利用數字化管理提升管理工作簡潔性真心落實醫院“以人為本”的管理理念,促進管理的有序進行,推動現代醫院管理制度的完善。
主要參考文獻
第8篇:網絡安全培訓制度范文
【關鍵詞】信息安全等級保護 測評實施
1 引言
醫院信息化建設快速發展,信息系統應用深入到各個環節,信息業務系統承載了門診收費、門診藥房、住院收費、住院藥房、醫保、財務、門急診醫生護士站、住院醫生護士站、電子病歷、病案首頁、檢驗LIS系統、檢查PACS系統、體檢系統等。保障重點信息系統的安全,規范信息安全等級保護,完善信息保護機制,提高信息系統的防護能力和應急水平,有效遏制重大網絡與信息安全事件的發生,創造良好的信息系統安全運營環境勢在必要。根據衛生部印發的《衛生行業信息安全等級保護工作的指導意見》,衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對于促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。
2 確定測評對象與等級
我院是一所二級甲等綜合醫院,日門診人次1000人左右,住院日人次400余人。醫院信息系統HIS、LIS、PACS、電子病歷、體檢等50余個系統無縫結合,信息雙向交流。按照《信息系統安全等級保護定級指南》定級原理,確定醫院信息業務系統的安全保護等級為第2級,其中業務信息安全保護等級為2級,系統服務安全保護等級為2級。
2.1 招標比選測評公司
醫院通過四川警察網了解到四川省獲得信息安全等級保護測評有資質的5家公司。醫院電話通知該5家公司,簡單介紹醫院信息化情況,其中有3家公司到現場進行調查,掌握了信息系統情況。然后通過招標比選確定一家公司為我院測評安全等級保護。
2.2 測評實施
2.2.1 準備階段
醫院填報《安全等級保護備案申報表》、《安全等級保護定級報告》,確定安全主管人員、系統管理員、數據庫管理員、審計管理員、安全管理員。醫院組織相關人員到市級計算機安全學會進行安全培訓學習。確定醫院信息安全主管人員協助測評公司人員就醫院信息業務系統做調研,提交準備資料。調研內容涉及網絡拓撲結構圖、線路鏈接情況、中心機房位置分布情況、應用系統組成情況、服務器操作系統、數據庫系統以及相應的IP地址、網絡互連設備的配置、網絡安全設備的配置、安全文檔等。
2.2.2 測評主要內容
主要針對醫院信息系統技術安全和安全管理兩方面實施測評,其中技術安全包括物理安全、網絡安全、主機安全、應用系統安全、數據安全及備份恢復進行5;安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。
2.2.3 測評方式與測評范圍
測評公司綜合采用了現場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談,了解醫院業務運作以及網絡運行狀況;查看主機房、應用系統軟件、主機操作系統及安全相關軟件、數據庫管理系統、安全設備管理系統、安全文檔、網絡分布鏈接情況。檢查物理安全、主機安全、網絡安全、應用安全和數據安全及備份恢復等技術類測評任務,以及安全管理類測評任務;查閱分析文檔、核查安全配置、監聽與分析網絡等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等;測評人員采用手工驗證和工具測試進行漏洞掃描、系統滲透測試,檢查系統的安全有效性。
整體測評主要應用于安全控制間、層面間和區域間等三個方面。主要就是針對同一區域內、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區域間的互連互通時的安全性。
醫院信息系統運用了身份鑒別措施、軟件容錯機制、用戶權限分組管理、密碼賬戶登錄、數據庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網絡邊界處部署防火墻防御入侵,終端使用了趨勢網絡版本防病毒產品,抵御惡意代碼。開啟系統審計日志,制定和實施有效安全管理制度,加強安全管理,降低系統安全風險。網絡進行了有效的區域劃分,區域之間通過訪問控制列表實現安全控制,與社保局、醫管辦等第三方外聯區之間通過防火墻嚴格限制訪問端口。
2.2.5 差距分析與測評整改
通過測評,測評公司寫出測評報告,提出整改建議。按照《信息系統安全等級保護基本要求》要求6,測評公司人員根據醫院當前安全管理需要和管理特點,針對等級保護所要求的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理,從人員、制度、運作、規范等角度,進行全面的建設7,提供技術建設措施,落實等級保護制度的各項要求,就各類人員進行安全培訓,提升醫院信息系統管理的能力。醫院分期逐步投入防網絡入侵系統、數據庫審計系統等。
2.2.6 編制報告,成功備案
測評公司編制報告,上報市公安局備案成功,獲得二級信息系統備案證書。二級信息系統,每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫院信息系統安全管理水平提高,安全保護能力增強,有效保障信息化健康發展。
3 結語
網絡安全問題是一個集技術、管理和法規于一體的長期系統工程,始終有其動態性,醫院需要不斷進行完善,加強管理,持續增加安全設備以保障醫院數據安全有效,保障信息系統安全穩定運行。醫院信息安全建設要切合自身條件特點,分期分批循序建設,保證醫院各系統長期穩定安全運行,以適應醫院不斷擴展的業務應用和管理需求8。
參考文獻
[1]衛辦發.〔2011〕85號,衛生部關于印發“衛生行業信息安全等級保護工作的指導意見”的通知,2011.
[2]尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理雜志,2005.
[3]王建英,陳文霞,胡雯,張鵬.醫院信息安全分析及措施[J].中國病案,2013.
[4]王俊.醫院信息安全等級保護管理體系的構建[J].醫學信息,2013.
[5]韓作為.醫院信息安全等級保護三級建設流程與要點[J].中國數字醫學,2006.
第9篇:網絡安全培訓制度范文
關鍵詞 電力企業;網絡信息安全;防范措施
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)73-0192-02
隨著信息系統與網絡的快速發展,電力企業作為關乎國計民生的基礎行業,企業內部各業務數據已基本在網絡流轉,企業對信息系統產生了巨大的依賴性。但是,企業在享受著信息系統所帶來巨大經濟效益的同時,也面臨著高風險。一旦出現信息泄密或篡改數據的情況,將為國家造成難以估量的損失。尤其是近幾年,全球范圍內的病毒泛濫、黑客入侵、計算機犯罪等問題,信息安全防范已成重中之重。因此,企業必須重新面對當前的安全問題,從中找到行之有效的防范措施。
1 電力企業網絡安全現狀分析
1.1 網絡安全措施不到位
電力數據網絡信息化在電力系統中的應用已經成為不可或缺的基礎設施。電力數據網需要同時承載著實時、準實時控制業務及管理信息業務,電力生產、經營很多環節完全依賴電力信息網的正常運行與否,隨著網絡技術和信息技術的發展,網絡犯罪不斷增加,電力企業雖然已初步建立了網絡安全措施,但企業網絡信息安全仍存在很多的安全隱患,職工安全意識、數據傳輸加密、身份認證、訪問控制、防病毒系統、人員的管理等方面需要進一步加強,在整個電力信息網絡中,很多單位之間的網絡安全是不平衡的,主要是雖然網絡利用率較高,但信息的安全問題較多,主要是安全級別較低的業務與安全,沒有對網絡安全做長遠、統一的規劃,網絡中還存在很多問題。
1.2 職工安全意識有待加強
目前國內電力企業職工的安全意識參差不齊,相較之下,年輕的職工和管理人員其安全意識較高,中年以上的職工和一線職工仍然缺乏必要的安全意識,主要是工作年齡、所受教育、工作后的信息安全培訓程度,從事的工作性質的原因造成的,這就為網絡安全留下了隱患,加強電力企業信息安全的培訓,全方位提高職工網絡信息安全意識,避免信息安全防護工作出現高低不均的情況。
1.3 內部的網絡威脅仍然存在
在這個科技技術日益發展的時代,網絡信息的安全工作越來越重要,由此電力企業根據目前的狀況出臺了相關的網絡安全規章制度,以保證其信息安全,但內部的網絡威脅仍然存在,而且對管理人員的有效管理依然缺乏。如:辦公計算機仍存在內外網混用情況、內外網邏輯隔離強度不夠、企業內網安全隔離相對薄弱等情況,如果其中的一些漏洞被非法分子所利用,那么,電力企業的信息安全會受到嚴重的威脅,并會對電力企業的生產以及經營帶來很大的困難。
2 電力企業網絡安全的風險
隨著網絡技術的發展,電力企業信息系統越來越復雜,信息資源越來越龐大,不管是操作系統還是應用軟件,都存在系統漏洞等安全風險,保證電力企業信息安全最重要的是保證信息數據的安全,目前電力企業的網絡信息系統的主要隱患主要存在于以下幾個方面。
2.1 惡意入侵
計算機系統本身并不具有一定的防御性,其通信設備也較為脆弱,因此,計算機網絡中的潛在威脅對計算機來說是十分危險的。尤其是現在的信息網絡公開化、信息利用自由化,這也造成了一些秘密的信息資源被共享,而這些信息也容易被不法分子所利用。而有極少數人利用網絡進行惡意入侵進行非法操作,危機網絡系統的安全,惡意入侵其實是由四個步驟構成的:首先掃描IP地址,尋找存活主機;然后確定IP地址,掃描主機端口和漏洞;接著通過漏洞和開放端口放置后門程序;最后通過客戶端程序實施遠程控制。由于系統被入侵,電力企業信息泄露會造成不良后果,更嚴重的是系統被惡意控制,不但會給電力企業本身造成嚴重的后果,還會給社會和用戶帶來重大的損失。
2.2 網絡病毒的傳播
計算機病毒對計算機來說是最普遍的一種威脅,伴隨著因特網的發展,各個企業開始創建或發展企業網絡應用,這無形也增加了病毒感染的可能性,病毒的危害十分巨大,它是通過數據的傳輸來傳播的,其能夠對計算機的軟硬件造成破壞,同時它還能夠進行自我復制,因此,一旦感染了病毒,其危害性是十分巨大的。
2.3 惡意網頁的破壞
網絡共享性與開放性使得人人都可以在互聯網上所取和存放信息,由于信息的傳遞和反饋快速靈敏,網絡資源的社會性和共享性,電力企業職工都在不斷地點擊各種網頁,并在網絡中尋找他們所需要的資源,網頁中的病毒是掛靠在網頁上的一種木馬病毒,它的實質是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網頁病毒。當用戶瀏覽過含有病毒的網站時,病毒會在無形中被激活,并通過因特網進如用戶的計算機系統,當病毒進入計算機后會迅速的自我復制并到處傳播病毒,使得用戶的計算機系統崩潰,嚴重的會將用戶的系統徹底格式化。
2.4 信息傳遞的安全不容忽視
在電力企業的計算機網絡系統中,信息傳輸基本上是明文方式或采用低安全級別的加密進行傳輸,當這些企業信息在網絡上傳輸時,其安全性就不能得到足夠的保障,不具備網絡信息安全所要求的機密性、數據完整性和身份認證。
2.5 軟件源代碼不能獨立控制的隱患
目前電力企業辦公計算機、企業級服務器的操作系統以及使用的信息系統軟件因為是絕大部分都是商業性質的,所以其源代碼是不公開的,這就代表著軟件的核心技術是被對方掌握的,其漏洞卻大量存在,雖然有系統補丁或者軟件升級,但其未公開、未被發現的漏洞對信息安全來說確實巨大的隱患。
