发布时间:2023-05-17 15:42:55
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全教育培训样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
广泛开展网络安全宣传教育,增强全社会网络安全意识,国家网络安全宣传周就是一个很好的契机,下面小编给大家整理的国家网络安全宣传周活动心得体会范文五篇,希望大家喜欢!
国家网络安全宣传周活动心得体会范文一
为进一步推动网络安全建设,加强网络安全教育宣传,市妇联围绕“网络安全为人民,网络安全靠人民”活动主题,多措并举深入开展网络安全宣传周活动。
1、线上通过市妇联的微信公众号、微信群、QQ群进行网络安全知识和相关活动情况的宣传推送。
2、深入村(社区)“妇女之家”开展网络安全宣传周进社区活动。
刊江办事处妇联主席朱喜玉在朱木桥社区“妇女之家”以“网络安全为人民,网络安全靠人民”为主题向社区的妇女群众宣传讲解了网络安全知识。让广大妇女群众了解网络宣传知识和防护技能。
3、线下组织巾帼志愿者宣传网络安全知识。
巾帼志愿者们通过发放宣传手册、解答咨询等多种形式向过往居民宣传讲解。
通过宣传教育活动,进一步普及网络安全知识,增强网络安全意识,切实做好妇女群众、青少年网络安全工作,为创建平安网络奠定坚实的基础。
国家网络安全宣传周活动心得体会范文二
为了给我校广大师生普及网络安全知识,提升网络安全意识和防护技能,我校围绕以“网络安全为人民,网络安全靠人民”为活动主题,开展了网络安全公益短片展播,网络安全宣传手册发放、网络安全知识竞答、校内网络安全攻防比赛、网络安全技术讲座等系列活动,一项项活动展示了我校对普及网络安全知识的重视,筑牢网络安全防线、营造清朗网络空间理念深入人心,内容丰富、形式多样的网络安全教育活动在学校引起热烈反响。现将此次网络安全宣传周活动总结如下:
一、精心组织,多部门协作
根据教育厅《关于组织开展国家网络安全宣传周活动的通知》要求,我校认真制定了《开展国家网络安全宣传周暨新疆师范大学第二届网络安全宣传周活动方案》,由党委宣传部、网信办、团委、学生处、保卫处、各学院共同组织举办网络安全教育活动、协调配合完成校园各类活动。
二、活动形式多样、内容丰富
(一)开展校园网络安全宣传活动
1、通过建立网络安全专题网站宣传专题网站,相关的安全知识、法律法规及相关案例,并收集相关视频、音频、文字资料供广大师生下载学习使用;
2、利用学校电子大屏、校园广播和新媒体、宣传板等做好宣传,通过信息管理中心公众号,QQ群、三校区特定位置网络安全知识宣传册,以及放置网络安全法宣传海报、网络安全知识海报等;
3、三校区LED屏滚动诸如“没有网络安全就没有国家安全,没有信息化就没有现代化”等标语;
4、在三校区食堂放置的电视上循环播放网络安全公益短片
5、网络安全宣传手册发放。
宣传手册涵盖国家政策、网络安全常识等内容,三校区共发放宣传手册3000余份。
由信息管理中心和计算机科学技术学院自主命题,通过校园网在线答题方式,引导师生主动学习网络安全知识,对于前五十名成绩优异的师生,给予奖励。
(三)开展网络安全攻防大赛
为选拨网络安全人才、提高学生对网络安全的学习兴趣,为期两天的网络安全攻防大赛,取得良好成效。
三、效果明显、深入人心
通过本次网络安全宣传周活动,全校师生对网络安全有了更多的认识,了解了网络安全的重要性,构筑出了网络安全的第一道防线,在增强师生们的网络安全防范意识和自我保护技能方面都取得了较好的效果。通过本次网络安全宣传周的活动,使得每位师生更扎实的理解网络安全的重要性。
国家网络安全宣传周活动心得体会范文三
根据《关于转发2020年广东省网络安全宣传周活动方案的通知的通知》文件精神,学校开展了网络安全宣传周活动,现将活动情况总结如下:
在宣传周期间,我校根据中央网信办通知要求,通过主题宣传教育活动,增强学校教职员工、学生网络安全意识,提高网络安全技能,营造网络安全人人有责、人人参与的良好氛围,保障用户合法权益,号召大家共同来维护国家网络安全。切实做好了全省教育系统倡导的“网络安全宣传周”活动。现将我校宣传活动总结如下:
一、加强领导,责任到人
学校高度重视网络安全宣传周活动,由教务处牵头,信息技术教研组落实,成立了网络安全宣传周活动领导小组,制定了宣传周活动方案(详见附件),确保网络安全宣传周活动有序有效开展。
二、宣传周系列活动
1.观看网络安全相关视频
我校由德育处曾志强主任牵头,信息组邹军老师下载网络安全等视频,全校60个班利用晚修时间观看网络安全视频,内容涉及到《网络安全教育宣传片》、《网络安全宣传片05》、《网络安全宣传片06》、《网络安全小视频》、《2020年国家网络安全宣传周》。
2.开展网络安全主题班会课
由德育处安排统筹,信息教研组黄华平老师统一制作PPT课件,开始在全校各班利用班会课,同时在高一年级,利用信息技术课时间对学生开展了网络安全为主题的普及教育课。各班在统一课件的基础上,根据自己年级、班级特点进行适当的调整。对学生的教育收到了良好的效果。
3.利用多种手段进行宣传
我们依托市的微课掌上通、学校微信公众号、学校的校园广播站等途径对学生和家长进行网络安全教育宣传。还利用在国旗下的讲话对网络安全进行宣传。
三、后记
本次首届网络安全周宣传活动是与时俱进、具有积极意义的活动,特别对于正值青春期的高中生来讲,学会如何防范如病毒木马传播、黑客攻击破坏、网络盗窃诈骗、有害信息蔓延、网络游戏成瘾等更是具有积极意义。我校通过此次“网络安全宣传周”活动加强了网络安全宣传教育,提升了学生们的网络安全意识和基本技能,构筑出了网络安全的第一道防线,在增强学生们的网络安全防范意识和自我保护技能方面都取得了较好的效果。
国家网络安全宣传周活动心得体会范文四
为进一步提升全员网络安全意识,增强企业网络安全风险管控水平,近日,市局以“网络安全为人民、网络安全靠人民”为主题,扎实开展“国家网络安全宣传周”活动,营造起良好的网络安全环境。
加强组织领导,层层分解责任。结合工作实际,制定“国家网络安全宣传周”活动计划,健络安全管理组织机构,细化安全主体责任和监管责任,落实终端病毒防控、日常运维监测、系统隐患整改等方面的管控措施,严防网络安全事故发生。
加强宣传引导,增强安全意识。强化网络风险宣传,定期通过微信群、微信公众号等方式,对网络诈骗手段、个人信息保护措施等进行专题推送;充分利用电梯间展示终端“使用频繁、受众广泛”特点,选取网络安全警示教育短片,进行全天滚动播出,引导全员了解网络安全风险,培养安全意识。
加强教育培训,有效防范风险。组织信息化方面骨干力量,到青岛市局(公司)、中百集团等单位学习网络安全风险管控措施和经验;邀请信息化安全方面专家,采用观看网络安全警示教育片、实例讲解、模拟故障处理等形式对网络安全知识进行培训,进一步提高网络安全辨别能力和防御能力。
加强日常管控,提升应急处置能力。联合专业机构,对应用系统、网络核心设备等重点部位进行检测,查找安全漏洞,采取有效防护措施;按照网络安全应急预案演练方案,组织信息化部门人员定期演练,针对发现的问题,及时修订完善应急预案,切实提升突发事件应急处置能力。
国家网络安全宣传周活动心得体会范文五
按照委网络安全与信息化领导小组办公室的统一部署,我局全力推动、积极组织第三届国家网络信息安全宣传周相关活动。通过活动,全面加强了全局网络安全工作,提高了干部职工网络安全意识。依据《关于开展好全区第三届国家网络安全宣传周活动的通知》(党网办发文1号)的相关要求,结合我局组织开展宣传教育活动的实际情况,现将活动开展情况汇报如下:
一、加强网络安全认真部署全局网络安全意识
为切实抓好这次活动,自收到通知和全区活动方案后,我局召开党组会,对全局开展国家网络信息安全宣传活动周作了详细的布置,明确了相关人员的职责,会后转发《关于开展好全区第三届国家网络安全宣传周活动的通知》到机关各科室和机关各党支部。要求各科室和机关各支部充分利用各种会议、活动、集体学习等有效形式,在全局广泛宣传和普及网络安全教育的法律、法规政策和相关知识,强化全体职工对网络安全教育工作的参与意识和责任意识。
二、精心组织狠抓落实
为确保宣传周活动不走过场,达到预期效果,我局强化措施,狠抓落实,确保了活动取得实效。成立了以局长。党组书记为组长的宣传活动领导小组,全面负责本次宣传活动的方案拟定、工作部署、组织协调等工作。领导班子成员各负其责,负责督导分管科室,全力按照区委领导小组和局领导小组的工作要求,做好本次宣传周的活动。
三、形式多样内容丰富
1、针对活动意义和活动目的,确定宣传标语为:共建网络安全,共享网络文明。
通过宣传栏和条幅的方式公开宣传。
2、充分利用发放宣传资料的方式,广泛宣传网络安全教育相关知识。
3、全局组织统一培训,对干部职工安全使用支付系统以及办公网络进行系统教育,上好网络安全第一课.
4、局党组成员和科室负责人签署网络安全责任书,确保责任到人、到岗。
5、组织了全局网络使用情况摸底调查,对可能存在的网络安全隐患进行排查。
四、效果明显深入人心
1、经过这次活动,全局干部职工对网络安全教育有了新的认识。
一是对网络安全教育工作重视程度提高了,参与热情提高了;二是对网络安全的漏洞得以填补,使办公网络的使用更加安全。
2、全局干部职工的网络安全意识明显提高。
那么,在这场没有硝烟的竞争中,中国需要什么样的机制保证?中国信息安全的核心是什么?什么又是确定竞争成败的关键和重中自重?
在回答这些问题之前,我们不妨先看看在信息安全领域走在前列的美国的做法。美国国家安全局(NSA)实施的“国家信息安全教育培训计划”,采用授权认可的管理方式,选择了美国境内的23所高校,设立“信息安全保障教育和学术交流中心”,设置从职业培训、学士、硕士到博士的系统课程。“9·11”后,由美国国家科学基金会每年配套专款奖学金500万美元,资助全美信息安全人才的培养工作。美国奥巴马政府更是把加强信息安全教育和人才队伍培养列为保障网络空间安全计划的重点,以此来确保美国控制全球信息安全的绝对优势。
相对于美国的信息安全培养工作,我国在信息安全人才的培养方面,在体系化、制度化、持续化、终生化方面仍存在大幅度提升的空间。国家有关部委已经意识到这个问题。2012年,《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)明确提出要“支持信息安全与保密学科师资队伍、专业院系、学科体系、重点实验室建设。”虽然推出的时间相对较晚,但这一文件无疑全面回答了国人对国家信息安全领域的几点追问:调动社会各界力量,培养以我为主的信息安全专业人才,是确保我国在“第五空间”享有自己话语权的切实保证。
信息安全是计算机、电子、通信、数学、物理、生物、法律、管理、教育等多学科的交叉科学。信息安全学科以密码学为核心,以网络安全、信息系统安全、内容安全为支撑,以国家和社会各领域信息安全防护为应用方向的交叉学科。
(湖州师范学院,浙江 湖州 313000)
摘要:大学生安全教育是高等教育的重要组成部分,随着社会快速多元化发展、网络尤其是无线网络和移动终端的飞速普及以及学生层次质量等差距的进一步加大,对高校安全教育的形式、载体、内容及方法提出了更高的要求.深入研究大学生安全教育微课程资源的开发与应用,旨在提升高校安全教育工作的针对性、普及性和实效性.文章从微课程模式入手,对大学生安全教育资源的整合、平台的建设进行了详细分析,认为微课程资源的平台功能应该包括核心教育服务、增值信息服务和在线互动服务等.
关键词 :大学生;安全教育;微课程;应用
中图分类号:G642文献标识码:A文章编号:1673-260X(2015)05-0222-02
大学生安全素养不仅是衡量学校安全教育质量的重要指标,也正成为高校文明程度的重要参考指数.大学生作为推动社会文明进步的主力军,有必要进一步完善自身的安全知识体系和提高基本的安全防范技能.一方面,大学生在高中及以前的学习中多以文化知识为主,无更多时间更多精力深入细致地涉猎安全相关知识;另一方面,实现社会化是大学期间必须完成的任务,这一过程会面临诸多安全隐患;另外大学生不单纯是知识的学习者,而应该成为知识和技能的传承者和传播者,尤其是在安全教育领域,大学生应该充分发挥自身独特的优势.面对日趋复杂的社会环境,高校应该如何拓展安全教育领域,整合安全教育课程资源,搭建安全知识技能推广平台,以期进一步提高大学生安全素养,值得深入系统的研究.
1 理论综述
作为一个新概念,微课程的定义在不断演变和深化.微课程是以简短、完整微型教学视频为主要载体,针对某个学科知识点或教学环节而精心设计开发的一种以流媒体形式展示的半结构化、情景化、可动态生成与交互的课程资源.它可分为讲授型、实验型、答疑型、解题型等多种类别.微课程的核心内容是围绕特定主题的教学视频,同时还包含与该主题相关的学习指导单、教学设计(微教案)、素材课件(微课件)、练习测试(微测验)、学生反馈(微反馈)、教师反思(微反思)等教学辅助资源.微课程具有主题明确、内容简短、交互性强、模块化、半结构化等特点.[1]金陵认为微课程这个术语并不是指为微型教学而开发的微内容,而是运用建构主义方法化成的、以在线学习或移动学习为目的的实际教学内容,是云计算、移动互联环境下,有关单位课时教学活动的目标、任务、方法、资源、作业、互动、评价与反思等要素优化组合为一体的教学系统.[2]大学生安全教育内容广泛、涉及面广以及难成体系,与微课程具有形式多样化、内容普及化、使用群体广泛、渠道多样、传播效果裂变、交流互动及时等特点高度契合.最具代表性的微课程应用平台是可汗学院(Khan Academy),该网站基于线上MOOC环境的建设,对安全教育微课程资源开发与应对具有很好的借鉴意义.
2 大学生安全教育微课程平台的功能定位
大学生安全教育微课程平台以其跨行业、跨地域、多学科交叉、技术密集、多方参与、系统扩展性强、开放性好的特点对大学生安全管理与教育构成了有力支持.教育部门可以利用大学生安全教育平台丰富的资料库以及开放性的互动平台实现国家安全教育、治安安全教育、消防安全教育、交通安全教育、网络安全教育、卫生安全教育、自然灾害逃生教育等的信息化管理与服务.大学生安全教育平台承担安全管理过程中不同实体间的信息交换枢纽支持,提供多类核心信息服务及增值信息共享等功能服务,还提供在线互动交流功能等,详见下图:
其主要功能诠释如下:
2.1 核心教育服务
包括国家安全教育、治安安全教育、消防安全教育、交通安全教育、网络安全教育、卫生安全教育、自然灾害逃生教育等,同时提供各类信息的实时查询功能,实现信息共享与交互.其中国家安全教育主要包括维护国家安全、保守国家秘密、增强国防意识等;治安安全教育主要包括防盗抢、防诈骗、防滋扰、维护正常治安秩序等;消防安全教育主要包括消防基础知识、高校典型的火灾案例、如何防止火灾事故发生、易燃易爆品保管和使用、火灾的扑救与报警、疏散逃生技巧等;交通安全教育主要包括交通法律法规教育等;网络安全教育主要包括网络安全教育、网络文明教育等;卫生安全教育主要包括卫生安全知识、身体健康知识、心理健康知识等;自然灾害逃生教育主要包括地震、核辐射、雷电、洪水等.在核心教育服务模块,平台将采用文字、图像、视频等多样的形式介绍各类安全教育知识和案例,避免安全知识与技能学习的单调性和枯燥性,增加其全面性及趣味性.
2.2 增值信息服务
包括专家在线讲座、游戏模拟演练、实战演练、工具下载、安全认证等,同时,平台将实时提供最新的行业资讯、完善的政策法规及各类实用工具等相关信息,为教师与学生提供较为全面的安全教育增值服务,达到“一站式”服务的便捷高效.其中专家在线讲座将根据实际情况定期邀请行业专家做客网站,为会员提供最新的安全教育等;游戏模拟演练将安全教育和网页游戏相结合,坚持寓教于乐的理念,使枯燥而重要的安全教育娱乐化,让用户在玩中学到实用的减灾防灾技能,提高应对突发事故的能力等;目前大部分学生的安全意识及安全能力仍然只停留在表面,因此,平台为一些学生提供参与安全实战演练的机会,定期组织开展参观各类安全主管部门,接受参加各类演练的预约,通过实战提升学生的安全防范技能;对于网络安全等方面,平台将实时更新网络安全的预防技巧及安全工具下载,确保学生掌握基本的网络安全知识与技能等.
2.3 在线互动服务
包括智能搜索引擎服务、热点问题深度剖析、专家在线咨询服务及安全事件实时评论等功能,其中智能搜索引擎服务将根据用户需求,为用户提供最优学习套餐搭配及分级学习安全技能等服务;平台将通过收集整理相关安全教育的信息数据,针对社会热点问题邀请相关专家讲师与学生互动交流,对其进行深度剖析,提升学生对安全问题的分析力等;专家在线咨询服务将针对学生中出现的安全问题采取在线咨询、排疑解难的方式帮助学生实时解答心理问题等;安全事件实时评论将针对突发的安全事件提供交流互动平台,在分析事件本身的同时提升学生的安全意识和突发事件的应对能力.
3 大学生安全教育微课程平台的逻辑构架——以消防安全教育为例
大学生安全教育微课程平台提供一个统一的界面供用户登陆,登陆之后,不同用户进入不同的界面选择自己需要的功能,整个网络平台的底层支持在于安全教育资源库.
大学生安全教育网络平台中的消防子系统包括三个模块:消防安全员模块、会员模块、管理员模块.其中会员模块除基本功能模块外,还应包括增值信息服务模块和在线互动模块,以会员基本功能模块为例,具体应包括以下四个部分:
3.1 检查消除火灾隐患的能力
第一,日常生活中的隐患检查,如学生寝室内不能使用大功率用电器、使用台灯要远离易燃物、使用完电器应关闭电源、使用蚊香需摆放在开阔区域、不在宿舍内焚烧杂物等等.第二,新环境的消防检查,如到宾馆住宿首先要留意房间门后的疏散示意图,到娱乐场所活动要检查消防通道是否畅通,到大会堂或报告厅参加活动要确保“安全出口”指示灯正常工作且各安全出口处于开启状态,到大型超市等人员密集场所要留意消火栓和灭火器的位置.第三,工作中消防安全检查,如下班后确保用电设备的电源均已关闭,工作环境内的消火栓能正常供水、水枪和水带不缺少且能正常使用、灭火器数量和质量均能得到保证等.
3.2 组织扑救初起火灾的能力
第一,认识火灾,熟知火灾的种类,掌握火灾发展过程的时间与温度关系图,了解黄金的扑救时间是火灾初起的七分钟.第二,熟悉灭火器的类型和灭火器的使用方法.第三,熟知各类物质着火的应对方法,一旦出现火险知道如何应对,会使用灭火器,会报火警.
3.3 组织人员疏散逃生的能力
第一,各类灭火和应急疏散预案,如学生公寓、教室、实验室、食堂、图书馆、大学生活动中心等地的灭火和应急疏散预案.第二,各类灭火和应急疏散预案的组织流程.第三,各类预案的模拟演练.
3.4 消防宣传教育培训的能力
第一,以职能部门的政策法规为主要内容,结合高校的实际情况对广大师生进行宣传教育.第二,以案例分析为载体,让会员在分析案例的过程中找到应对各类消防事件的最佳途径.第三,紧急情况下如何进行自救,如简易防护法、结绳滑降法、休氏跳楼法、固守待援法等等.
如上所述的“四个能力”建设内容,可以通过漫画、动画、图片、文字、视频、游戏等形式,将教育内容具体化、趣味化.由于大学生安全教育平台是一个非常复杂的学习支持与管理系统,对于在WEB环境下开展安全教育工作,尚处在探索阶段,随着教育信息化的发展,必将进一步摸索出更好的模式,网络环境下的安全教育工作将成为高校安全教育的主流方式.
4 结束语
作为大学生安全教育的重要平台,微课程将会发挥越来越重要的作用.随着无线网络和移动终端的普及以及APP技术的日臻完善,安全教育必将通过微课程模式在大学生的日常信息摄取中占到一席之地.学生可以通过这一形式的学习,为自己的大学生活及将来走向社会加上一道安全屏障.在社会向多元化高速发展的未来,安全教育微课程资源的开发与应用会变得更加重要,也会在更多人的关注和努力下日趋完善.
参考文献:
关键词:电力企业信息系统安全防护
前言
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
一、电力企业信息安全风险分析
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
二、电力信息网安全防护方案
1、加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
2、电力信息安全防护技术措施
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。D M Z区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
三、电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
【关键词】 烟草 信息安全 体系 建设
随着烟草行业的不断发展,企业对信息化建设的要求越来越高。目前,烟草行业,尤其是以地市级烟草企业为代表的卷烟销售终端企业,在信息安全建设上给予的重视越来越高,资金的投入也越来越大,地市级烟草企业信息安全工作有了保障。
1 信息安全体系规划原则
根据国家和行业信息安全相关政策和标准,安全体系规划与设计工作遵循以下的建设原则:
(1)重点保护原则。针对核心的服务支撑平台,应采取足够强度的安全防护措施,确保核心业务不间断运行。
(2)灵活性原则。因信息技术日新月异的发展,而相应的安全标准滞后,应灵活设计相应的防护措施。
(3)责任制原则。安全管理应做到“谁主管,谁负责”,注重安全规章制度、应急响应的落实执行。
(4)实用性原则。以确保信息系统性能和安全为前提,充分利用资源,保障安全运行。
2 信息安全体系管理范围
以地市级烟草企业中心机房核心网络和系统为主,覆盖市局(公司)、各县级局(营销部)、基层专卖管理所等,安全体系包括范围:应用安全、网络安全、主机安全、数据安全、终端安全等。
3 信息安全体系规划框架
按照等级化保护“积极防御、综合防范”的方针,地市级烟草企业信息化建设需要进行整体安全体系规划设计,全面提高信息安全防护能力。
在综合评估信息化安全现状的基础上,从管理和技术来进行信息安全管理工作。信息安全体系建设思路是:以保护信息系统为核心,严格参考等级保护的思路和标准,满足地市级烟草企业信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求,为各项业务的开展提供有力保障。信息安全体系框架如图1所示:
4 信息安全管理体系建设
从实际情况出发,体系包括安全组织机构、安全管理制度、人员安全、安全教育培训在内的安全管理体系。
4.1 组织机构
由决策机构、管理机构、和执行机构三个层面组成信息安全组织机构,并通过合理的组织结构设置、人员配备和工作职责划分,对信息安全工作实行全方位管理。
4.2 安全制度
信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。应从信息安全组织机构和岗位职责、人员管理制度、信息系统管理制度、机房管理制度、网络管理制度等。
4.3 人员安全
通过管理控制手段,确保单位内部人员以及第三方人员的安全意识,包括人员的岗前安全技能培训、保密协议的签订等几个方面。
4.4 安全教育培训
通过有计划培训和教育手段,确保工作人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。
5 信息安全技术体系建设
按照等级保护方法,对信息系统进行安全区域的划分,并根据保护强度来采用相应的安全技术,实行分区域、分级管理。基础性保护措施实现后,建立地市级烟草企业的信息安全管理平台,对地市级烟草企业整体信息系统的统一安全管理。
5.1 划分安全区域
根据信息化资产属性,可划分为服务器区域、终端区域。目前,各业务域的服务器直接连接至核心交换机,无法对各个服务器区之间划分明确边界,在服务器区和核心交换机之间增加汇聚交换机,服务器经过汇聚交换机的汇聚再上联至核心交换机。对局域网按照业务功能区建立不同的VLAN,分别赋予相应级别的服务访问权限和安全防护措施。安全域网络拓扑如图2示:
一级安全域包括范围:地市级烟草企业办公区域、县公司办公区域、移动访问用户区域。部署上网行为管理、杀毒软件等防护措施。二级安全域包括对象:业务与管理服务器区域、网站服务器区域、公共平台服务器区(防病毒服务器、网管服务器)等。部署操作系统加固、身份认证、漏洞扫描、文件数据加密以及安全审计等措施。三级安全域包括数据服务器区域、存储备份区域以及核心交换机、主干路由器等。部署核心交换设备、链路冗余备份,加载广域网路由QOS策略,采用数据库高强度口令访问等措施。
5.2 保护计算环境
“云计算”和虚拟化技术的发展,打破了传统意义上按物理位置划分的计算环境。依照不同的保护等级,分别进行加强用户身份鉴别、标记和强制访问控制、系统安全审计、用户数据完整性保护、保密性保护、系统安全监测等措施。
5.3 区域边界保护
边界保护是一组功能的集合,包括边界的访问控制、包过滤、入侵监测、恶意代码防护以及区域边界完整性保护等。在技术上通过防火墙、入侵防护、病毒过滤、终端安全管理等措施来实现保护。
5.4 通信网络防护
信息系统的互联互通是建立在安全畅通的通信网络基础之上。通讯网络的构成主要包括网络传输设备、软件和通信介质。保护通信网络的安全措施有:网络安全监控、网络审计、网络冗余或备份以及可靠网络设备接入。一是利用入侵防护系统以及UTM在关键的计算环境边界,进行安全监控,防止非法的访问;二是对骨干网中的防火墙设备进行配置,制定安全访问控制策略,设置授信的访问区域;启用安全审计功能,对经过防火墙访问关键的IP、系统或数据进行记录、监控;通过网闸技术,对不同网络进行物理隔离。通过VLAN技术对内部网络进行逻辑隔离。
5.5 数据安全防护
建立数据安全备份和恢复机制,部署数据备份和恢复系统,制定相应的数据备份与恢复策略,完成对数据的自动备份,并建立数据恢复机制。建立异地数据级灾备中心,在系统出现灾难事故时,能够恢复数据使系统应用正常运行。
5.6 信息安全平台
随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。
1 企业信息安全相关概述
1.1 信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2 信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2 网络时代下企业信息安全风险分析
2.1 缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2 应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3 技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3 网络时代下控制企业信息安全风险途径分析
3.1 加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2 加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3 运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4 结 语
总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。
作者:袁亮 来源:中国管理信息化 2015年17期
1.1技术方面
计算机网络从设计出来就存在着自身的缺点,对于找出其缺点存在的原因只是时间的问题。尤其是在一个互联网广泛应用的今天,计算机网络中存在诸多安全隐患,一方面,对IP地址的劫持和对系统进行病毒攻击是破坏网络系统的主要杀手。通过利用网络TCP/IP协议,伪造主机IP向相连计算机发送欺骗性的数据包,造成主机和网络的瘫痪。虽然这些病毒不会对网络系统中存在的数据造成太大的破坏,但是会导致计算机出现死机的现象,并且阻碍正常信息数据的录入和输入,导致医院不能进行正常的工作,给医院和患者带来麻烦。另一方面,借助路由协议中存在缺陷对其进行攻击导致网络瘫痪、停止工作。通过利用路由协议中存在的缺点,使入侵者能够对其自身进行伪装,通过监听来窃取医院的医疗信息,导致医疗信息泄漏出去,对医院造成严重经济的损失和信任危机,同时使患者的信息也受到一定的侵害。
1.2人为因素
据相关统计数据显示,某医院三年内因为人为因素导致网络设备系统非正常断电所占比例是96.8%,其中有130起是因为医院工作人员不小心碰到电源导致断电。这一数据充分表明,人为因素对于医院工作中的网络安全造成重要影响。由于人为原因导致的断电,对于平时运用计算机工作的部门,如药房、收费等部门带来工作上的麻烦。同时断电导致整个医院不能进行正常运营,对医院和患者造成巨大的损失。虽然由于操作人员的失误会带给医院工作上一定的麻烦,但是其他人为因素的恶意攻击,导致医院无法正常工作的最主要原因。人为恶意地对医院网络系统进行攻击,它可以有选择性地对医院信息进行窃取、篡改,破坏医院信息的完整性、有效性,对医院的利益产生严重的影响。
2加强医院计算机网络安全维护与管理的具体措施
2.1加强计算机技术管理,提高网络安全性
医院日常工作中要加强对计算机的维护,及时更新计算机信息系统,具体要做到以下三方面:
(1)要建立网络安全管理制度,保证医院各科室人员能够按照相应的规章制度严格执行各项操作和数据录用工作,并定期由网络安全管理人员进行计算机系统进行技术检测、防火墙、病毒等情况进行分析,并提出解决办法,实现计算机网络的安全管理。
(2)对网络访问进行控制,设定密码和访问权限,安装杀毒软件,在每个重要的信息文件夹中都设置密码,保证信息的安全性能,并对网络的文件随时进行扫描、检测,加强网络系统自身的安全防范工作。
(3)对医院数据库中的信息及时进行安全备份,保证信息的安全性和完整性,在用硬盘对计算机中的信息进行备份时,要彻底对硬盘和计算机进行杀毒工作,保证备份的信息是安全的,不携带任何病毒的。
2.2加强医院内部工作人员管理,提高人员使用计算机的安全意识
医院计算机网络系统的安全工作,不仅限于对技术的维护,它包含多方面的共同管理保障其安全性。通过设置各种信息安全制度,定期进行计算机安全教育培训,结合对计算机安全使用情况的考核等制度,来加强计算机内部人员的安全意识。同时组织网络安全管理人员对计算机做定期的安全维护工作,保证信息的安全性,对网络攻击采取提前的防范措施,做到防患于未然,如扫描攻击防范、分布式拒绝服务攻击防范等,把网络信息的安全维护工作纳入计算机安全管理制度中,通过切实可行的管理办法维护计算机的安全,推动医院日常工作的正常运行。
3结语
(一)信息安全组织临时化
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
(四)建立信息安全事件应急响应机制
