緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡安全培訓技術�,愿這些內(nèi)容能夠啟迪您的思維�����,激發(fā)您的創(chuàng)作熱情�����,歡迎您的閱讀與分享�����!
篇1
制定網(wǎng)絡安全基線
網(wǎng)絡安全基線是阻止未經(jīng)授權信息泄露、丟失或損害的第一級安全標準����。確保與產(chǎn)品相關的人員、程序和技術都符合基線�,將有效提高政府的網(wǎng)絡安全等級。網(wǎng)絡安全基線應體現(xiàn)在采辦程序的技術需求以及性能標準中����,以明確在整個采辦生命周期內(nèi)產(chǎn)品或服務的網(wǎng)絡風險。由于資源有限以及采辦中風險的多樣性�����,政府應采取漸進和基于風險的方法�,逐步增加超越基線的網(wǎng)絡安全需求��。這種需求應在合同內(nèi)清晰且專門列出��。
開展網(wǎng)絡安全培訓
政府應對工業(yè)合作伙伴開展采辦網(wǎng)絡安全培訓�。通過這種培訓向工業(yè)合作伙伴明確展示,政府正通過基于風險的方法調(diào)整與網(wǎng)絡安全相關的采購活動����,且將在特定采辦活動中提出更多網(wǎng)絡安全方面的要求。
明確通用關鍵網(wǎng)絡安全事項定義
明確聯(lián)邦采辦過程中關鍵網(wǎng)絡安全事項的定義將提高政府和私營部門的效率和效益。需求的有效開發(fā)和完善很大程度上依賴于對關鍵網(wǎng)絡安全事項的共同認識�。在采辦過程中,不清晰�����、不一致的關鍵網(wǎng)絡安全事項定義將導致網(wǎng)絡安全不能達到最優(yōu)效果��。定義的清晰界定應建立在公認或國際通用的標準上�。
建立采辦網(wǎng)絡風險管理戰(zhàn)略
政府需要一個部門內(nèi)普遍適用的采辦網(wǎng)絡風險管理戰(zhàn)略。該戰(zhàn)略將成為政府企業(yè)風險管理戰(zhàn)略的一部分���,并要求政府部門確保其行為符合采辦網(wǎng)絡風險目標���。該戰(zhàn)略應建立在政府通用的采辦愿景基礎上,并與美國家標準與技術研究院制定的“網(wǎng)絡安全框架”相匹配���。戰(zhàn)略應為采辦建立網(wǎng)絡風險等級����,并包含基于風險的采辦優(yōu)先次序����。戰(zhàn)略還應包含完整的安全需求����。制定戰(zhàn)略時��,政府應將網(wǎng)絡風險列入企業(yè)風險管理�����,并積極與工業(yè)界����、民間和政府機構以及情報機構合作,共享已驗證的��、基于結果的風險管理程序和最佳經(jīng)驗���。
加強采購來源的網(wǎng)絡風險管控
確保提供給政府的產(chǎn)品真實����、未被篡改和替代是降低網(wǎng)絡風險的重要環(huán)節(jié)���。偽冒產(chǎn)品往往不能進行安全更新,或達不到原始設備制造商產(chǎn)品的安全標準����。政府需要從原始設備制造商��、授權商獲取產(chǎn)品��,或者從合格供應商表中確定可信采購來源���。政府通過一系列基于采辦類型的網(wǎng)絡安全標準,評估供應商的可信情況��,建立合格供應商表�����。即便來自可信采購來源的產(chǎn)品也可能存在網(wǎng)絡安全缺陷���。對此���,政府應限制原始設備制造商、授權商以及可信供應商的來源�,并將資格要求貫徹到全采辦生命周期。政府從供應商獲取產(chǎn)品或服務時���,若供應商未與原始設備制造商建立信任關系�����,政府應要求其就產(chǎn)品的安全和完整性提供擔保�。
篇2
第二條本省行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護,適用本細則���。
軍隊的計算機信息系統(tǒng)安全保護工作���,按照軍隊的有關法規(guī)執(zhí)行。
第三條縣級以上人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責主管本行政區(qū)域內(nèi)的計算機信息系統(tǒng)安全保護工作�。
第二章安全監(jiān)督
第四條公安機關公共信息網(wǎng)絡安全監(jiān)察部門對計算機信息系統(tǒng)安全保護工作行使下列職責:
(一)監(jiān)督、檢查�、指導計算機信息系統(tǒng)安全保護工作;
(二)組織實施計算機信息系統(tǒng)安全評估�����、審驗����;
(三)查處計算機違法犯罪案件;
(四)組織處置重大計算機信息系統(tǒng)安全事故和事件���;
(五)負責計算機病毒和其他有害數(shù)據(jù)防治管理工作��;
(六)對計算機信息系統(tǒng)安全服務和安全專用產(chǎn)品實施管理���;
(七)負責計算機信息系統(tǒng)安全培訓管理工作;
(八)法律���、法規(guī)和規(guī)章規(guī)定的其他職責�。
第五條公安機關公共信息網(wǎng)絡安全監(jiān)察部門對重點安全保護單位計算機信息系統(tǒng)的安全檢查����,每年不應少于一次。
第六條公安機關公共信息網(wǎng)絡安全監(jiān)察部門采取24小時內(nèi)暫時停機���、暫停聯(lián)網(wǎng)���、備份數(shù)據(jù)等緊急措施須經(jīng)縣級以上公安機關批準。
第七條公安機關公共信息網(wǎng)絡安全監(jiān)察部門與所在地安全服務機構��、互聯(lián)網(wǎng)運營單位和其他計算機信息系統(tǒng)使用單位應當建立聯(lián)防機制�,依法及時查處通過計算機信息系統(tǒng)進行的違法犯罪行為,組織處置重大突發(fā)事件��。
第三章安全保護責任
第八條單位和個人應當對其所有���、使用和管理的計算機信息系統(tǒng)承擔相關的安全保護責任���。
提供接入服務和信息服務以及主機托管����、虛擬主機���、網(wǎng)站和網(wǎng)頁信息維護等其他服務的單位應當和用戶在合同中明確雙方的計算機信息系統(tǒng)安全保護責任���。提供服務的單位應當承擔與其提供服務直接相關的安全保護義務。
第九條網(wǎng)吧�����、社區(qū)����、學校、圖書館����、賓館等提供上網(wǎng)服務的場所和互聯(lián)網(wǎng)運營單位應當落實相應的安全措施,安裝已取得《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的安全管理系統(tǒng)。
第十條計算機信息系統(tǒng)使用單位和個人為了保護計算機信息系統(tǒng)的安全�,可以與安全服務機構明確服務項目和要求�,建立相對穩(wěn)定的服務關系。
第四章安全專用產(chǎn)品
第十一條計算機信息系統(tǒng)安全專用產(chǎn)品生產(chǎn)單位在其產(chǎn)品進入本省市場銷售前�����,應當取得公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》����,并報省公安廳公共信息網(wǎng)絡安全監(jiān)察部門備案。
第十二條本省安全專用產(chǎn)品生產(chǎn)單位應當在領取營業(yè)執(zhí)照后30日內(nèi)持下列資料到省公安廳公共信息網(wǎng)絡安全監(jiān)察部門備案�。
(一)單位簡況;
(二)營業(yè)執(zhí)照復印件��;
(三)安全專用產(chǎn)品類型���、功能等情況����;
(四)主要技術人員資格證書復印件���。
第十三條銷售信息網(wǎng)絡安全檢測產(chǎn)品的單位應當在領取營業(yè)執(zhí)照后30日內(nèi)向地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門申請備案��,填寫《廣東省信息網(wǎng)絡安全檢測產(chǎn)品銷售備案表》��,并提交如下資料:
(一)單位簡況�;
(二)營業(yè)執(zhí)照復印件;
(三)信息網(wǎng)絡安全檢測產(chǎn)品銷售和售后服務管理制度����;
(四)主要技術人員資格證書和銷售人員有效證件復印件。
第十四條信息網(wǎng)絡安全檢測產(chǎn)品只限于單位購買使用����。購買信息網(wǎng)絡安全檢測產(chǎn)品的單位應當指定專人管理和使用,不得出租����、出借、轉(zhuǎn)讓�����、贈送�,不得擅自用于檢測他人計算機信息系統(tǒng)。
用戶購買信息網(wǎng)絡安全檢測產(chǎn)品���,應當持單位的證明文件到所在地地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門辦理備案手續(xù)����,公安機關應當在15日內(nèi)予以辦理,發(fā)給《信息網(wǎng)絡安全檢測產(chǎn)品購買備案表》�����;不予辦理的�,應當書面說明理由�。
用戶應當憑《信息網(wǎng)絡安全檢測產(chǎn)品購買備案表》購買信息網(wǎng)絡安全檢測產(chǎn)品。投入使用后�,應當在10日內(nèi)將本單位的《用戶IP地址配置備案表》報送所在地地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案。
第十五條信息網(wǎng)絡安全檢測產(chǎn)品銷售單位應當查驗用戶的《購買信息網(wǎng)絡安全檢測產(chǎn)品備案表》后方可銷售�。
銷售信息網(wǎng)絡安全檢測產(chǎn)品的單位,應當負責產(chǎn)品的使用授權和維護��、更新�。
第五章安全服務機構
第十六條安全服務資質(zhì)實行等級管理,分一��、二����、三、四級����。各等級所對應的承擔工程的資格如下:
(一)一級:可承擔所有計算機信息系統(tǒng)安全設計�、建設�、檢測;
(二)二級:可獨立承擔第一級����、第二級、第三級��、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統(tǒng)安全設計����、建設、檢測�����,合作承擔第五級安全保護等級或安全投資總額為300萬元以上的計算機信息系統(tǒng)安全設計���、建設���、檢測;
(三)三級:可獨立承擔第一級���、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統(tǒng)安全設計�����、建設��、檢測�����,合作承擔第三級�、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統(tǒng)安全設計�、建設、檢測��;
(四)四級:可獨立承擔第一級���、第二級安全保護等級且安全投資總額為50萬元以下的計算機信息系統(tǒng)安全設計���、建設,合作承擔第一級��、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統(tǒng)安全設計�����、建設。
第十七條各安全服務資質(zhì)等級條件如下:
一級資質(zhì):
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照����;
(二)注冊資本1200萬元以上,近3年的財務狀況良好�����;
(三)近3年完成計算機信息系統(tǒng)安全服務項目總值3000萬元以上�,并承擔過至少1項450萬元以上或至少4項150萬元以上的項目;所完成的安全服務項目中應具有自主開發(fā)的安全產(chǎn)品�;服務費用(含系統(tǒng)設計費、軟件開發(fā)費����、系統(tǒng)集成費和技術服務費)應占工程項目總值的30%以上(即不低于900萬元);工程按合同要求質(zhì)量合格���,已通過驗收并投入實際應用�;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于50人�,其中大學本科以上學歷的人員不少于40人;
(五)安全服務工作的管理人員應當具有5年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷�����,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于5年�;
(六)具有較強的綜合實力,有先進����、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設備,具有較強的技術開發(fā)能力�;
(七)具有完善的組織管理制度、質(zhì)量保證體系和客戶服務體系���,實行工程標準化管理和量化控制���,并能不斷改進�����;
(八)具有系統(tǒng)的對員工進行新知識����、新技術培訓的計劃,并能有效地組織實施�。
(九)竣工項目均通過驗收���;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
二級資質(zhì):
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照�;
(二)注冊資本500萬元以上,近3年的財務狀況良好�;
(三)近3年完成計算機信息系統(tǒng)安全服務項目總值1500萬元以上,并承擔過至少1項225萬元以上或至少3項120萬元以上的項目��;所完成的安全服務項目中應具有自主開發(fā)的安全產(chǎn)品���;服務費用(含系統(tǒng)設計費�����、軟件開發(fā)費�、系統(tǒng)集成費和技術服務費)應占工程項目總值的30%以上(即不低于450萬元)�����;工程按合同要求質(zhì)量合格���,已通過驗收并投入實際應用���;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于40人�����,其中大學本科以上學歷的人員不少于30人����;
(五)安全服務工作的管理人員應當具有4年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷��,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱����,從事計算機信息系統(tǒng)安全集成工作不少于4年;
(六)具有先進���、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設備���,有較強的技術開發(fā)能力;
(七)具有完善的組織管理制度�、質(zhì)量保證體系和客戶服務體系���,實行工程標準化管理和量化控制���;
(八)具有系統(tǒng)的對員工進行新知識��、新技術培訓的計劃�����,并能有效地組織實施�;
(九)竣工項目均通過驗收����;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
三級資質(zhì):
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照��;
(二)注冊資本100萬元以上�����,近3年的財務狀況良好��;
(三)近3年完成計算機信息系統(tǒng)安全服務項目總值600萬元以上����;服務費用(含系統(tǒng)設計費、軟件開發(fā)費���、系統(tǒng)集成費和技術服務費)應占工程項目總值的30%以上(即不低于180萬元)�����;工程按合同要求質(zhì)量合格�,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于20人�,其中大學本科以上學歷的人員不少于15人;
(五)安全服務工作的管理人員應當具有3年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷�,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于3年�����;
(六)具有與所承擔項目相適應的軟件及系統(tǒng)開發(fā)環(huán)境和設備���,具有一定的技術開發(fā)能力����;
(七)具有完善的組織管理制度�����、質(zhì)量保證體系和客戶服務體系�����,實行工程標準化管理���;
(八)具有系統(tǒng)的對員工進行新知識����、新技術培訓的計劃����,并能有效地組織實施;
(九)竣工項目均通過驗收����;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
四級資質(zhì):
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照�;
(二)注冊資本30萬元以上,近3年的財務狀況良好�����;
(三)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于15人�;
(四)安全服務工作的管理人員應當具有2年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱�����,從事計算機信息系統(tǒng)安全集成工作不少于2年;
(五)具有與所承擔項目相適應的軟件及系統(tǒng)開發(fā)環(huán)境和設備����,具有一定的技術開發(fā)能力;
(六)具有較為完善的組織管理制度�、質(zhì)量保證體系和客戶服務體系;
(七)具有系統(tǒng)的對員工進行新知識���、新技術培訓的計劃���,并能有效地組織實施;
(八)竣工項目均通過驗收�;
(九)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
第十八條申請安全服務資質(zhì)���,應當持下列資料向地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門提出申請:
(一)申請書��;
(二)營業(yè)執(zhí)照復印件��;
(三)管理人員和專業(yè)技術人員的身份證明����、學歷證明和計算機安全培訓合格證書;
(四)技術裝備情況及組織管理制度報告�����。
地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門應當自接到申請材料之日起15日內(nèi)對申請材料進行初審����。初審合格的�,報送省公安廳公共信息網(wǎng)絡安全監(jiān)察部門核準�����;初審不合格的�,退回申請并說明理由���。
省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當自接到初審材料之日起15日內(nèi)進行審查���,符合條件的,核發(fā)資質(zhì)證書�。不符合條件的,作出不予核準的決定并說明理由�。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務資質(zhì)的機構,直接向省公安廳公共信息網(wǎng)絡安全監(jiān)察部門提出申請��,省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當在30日內(nèi)作出核準意見。
第十九條從事計算機信息系統(tǒng)安全檢測的安全服務機構應當具有三級以上安全服務資質(zhì)��。
承擔重點安全保護單位計算機信息系統(tǒng)和計算機機房使用前安全檢測的安全服務機構由地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門實行總量控制��,擇優(yōu)授權�,應具備下列條件:
(一)具有三級以上安全服務資質(zhì);
(二)中國公民或者組織持有的股權或者股份不少于51%��;
(三)具有提供長期服務的能力和良好信譽��;
(四)具有自主開發(fā)的信息網(wǎng)絡安全檢測產(chǎn)品����。
轄區(qū)內(nèi)無符合條件的安全服務機構的,由地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門委托省內(nèi)符合條件的安全服務機構承擔�����。
第二十條資質(zhì)證書分為正本和副本�����,正本和副本具有同等法律效力�����。
第二十一條資質(zhì)證書實行年審制度。年審時間為每年2月至3月��,新領(換)資質(zhì)證書未滿半年的不需年審���。
第二十二條安全服務機構在年審前應當對本單位上一年度的下列情況進行自查���,并形成自查書面材料:
(一)遵守國家有關法律法規(guī)和本省有關規(guī)定的情況�;
(二)安全服務業(yè)績;
(三)用戶投訴及處理情況�;
(四)參加國內(nèi)和國際標準認證的情況;
(五)符合資質(zhì)證書頒發(fā)條件的有關情況�����。
第二十三條安全服務機構參加年審����,應當持下列材料向地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門提出申請:
(一)《計算機信息系統(tǒng)安全服務資質(zhì)年審申請書》;
(二)資質(zhì)證書副本�����;
(三)自查書面材料��;
(四)其他材料。
第二十四條地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門自接到申請材料之日起15日內(nèi)進行初審�,材料齊全,情況屬實的���,報送省公安廳公共信息網(wǎng)絡安全監(jiān)察部門審查�。初審不合格的�����,退回申請并說明理由��。
省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當自接到初審材料之日起10日內(nèi)作出年審結論�。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務資質(zhì)的機構,直接向省公安廳公共信息網(wǎng)絡安全監(jiān)察部門提出申請���,省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當在20日內(nèi)作出年審結論���。
年審結論分為合格、降級����、取消3種。
具備下列情形的,年審結論為合格:
(一)遵守國家有關法律法規(guī)和本省有關規(guī)定�����;
(二)上年度安全服務項目總值不低于本級資質(zhì)條件規(guī)定的年均安全服務項目總值的四分之三(四級資質(zhì)不低于50萬元)�����;
(三)用戶投訴基本能合理解決�;
(四)符合原等級資質(zhì)證書頒發(fā)條件。
有下列情形之一的��,年審結論為降級:
(一)違反國家有關法律法規(guī)和本省有關規(guī)定��,情節(jié)輕微�;
(二)上年度安全服務項目總值低于本級資質(zhì)條件規(guī)定的年均安全服務項目總值的四分之三���;
(三)10%以上的安全服務項目有用戶投訴且未能合理解決��;
(四)不符合原等級資質(zhì)證書頒發(fā)條件��。
有下列情形之一的���,年審結論為取消:
(一)違反國家有關法律法規(guī)和本省有關規(guī)定,情節(jié)嚴重��;
(二)年度安全服務項目總值低于50萬元;
(三)20%以上的安全服務項目有用戶投訴且未能合理解決����;
(四)情況發(fā)生變更,達不到資質(zhì)證書頒發(fā)條件����。
年審合格的,在資質(zhì)證書副本和《計算機信息系統(tǒng)安全服務資質(zhì)年審申請書》上注明��,加蓋省公安廳公共信息網(wǎng)絡安全監(jiān)察專用章���。
年審結論為降級的��,原資質(zhì)證書作廢��,換發(fā)資質(zhì)證書���。
年審結論為取消的,資質(zhì)證書作廢�����,安全服務機構應當自接到年審結論之日起10日內(nèi)交回資質(zhì)證書。
未按時參加年審的�,年審結論視為取消。
年審結論為取消的���,兩年內(nèi)不得申請安全服務資質(zhì)����。
因特殊原因未年審的��,應當書面說明理由��,經(jīng)批準��,方可補辦相關手續(xù)��。
第二十五條資質(zhì)證書有效期為4年����,安全服務機構應當在期滿前60日內(nèi)提交換證申請材料��。換證程序與資質(zhì)證書申請程序相同�����。期滿不換證的,資質(zhì)證書作廢�。
因特殊原因未按時換證的,應當書面說明理由��,經(jīng)批準�����,方可補辦相關手續(xù)��。
第二十六條資質(zhì)證書登記事項發(fā)生變更的����,應在30日內(nèi)到地級以上市公安機關辦理變更手續(xù)。
第二十七條安全服務機構在取得資質(zhì)證書一年后�,達到較高一級資質(zhì)條件的,可申請晉升等級�,辦理程序與初次申請相同。
第二十八條安全服務機構情況發(fā)生變更�,不符合原資質(zhì)等級條件的,應當予以降級�����。
第六章安全審驗
第二十九條計算機信息系統(tǒng)和計算機機房的規(guī)劃���、設計�、建設應當按照國家有關規(guī)定和標準,同步落實安全保護制度和措施�。
第三十條重點安全保護單位計算機信息系統(tǒng)和計算機機房安全設計方案應當報單位所在地地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案。
重點安全保護單位計算機信息系統(tǒng)和計算機機房建成后�����,應當由具有相應資格的安全服務機構進行安全檢測�����。檢測合格���,方可投入使用����。
安全檢測應當接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門的監(jiān)督��。
第三十一條計算機信息系統(tǒng)安全設計方案備案�����,應當填寫《廣東省計算機信息系統(tǒng)安全設計方案備案表》�,并提交下列材料:
(一)計算機信息系統(tǒng)安全設計方案;
(二)計算機信息系統(tǒng)的總體需求說明�;
(三)計算機信息系統(tǒng)的安全保護等級。
第三十二條計算機機房安全設計方案備案����,應當填寫《廣東省計算機機房安全設計方案備案表》,并提交下列材料:
(一)承建單位營業(yè)執(zhí)照和資質(zhì)證書復印件����;
(二)計算機機房的用途和安全要求;
(三)計算機機房的施工方案和設計圖紙�����;
(四)其他應當提交的資料��。
第三十三條安全服務機構對重點安全保護單位計算機信息系統(tǒng)和計算機機房進行使用前安全檢測�,應當預先報告地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。安全檢測結論由重點安全保護單位報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門��。
第三十四條計算機信息系統(tǒng)和計算機機房存在下列情形之一的�,應當進行安全檢測:
(一)變更關鍵部件;
(二)安全檢測時間滿一年�����;
(三)發(fā)生案件或安全事故;
(四)公安機關公共信息網(wǎng)絡安全監(jiān)察部門根據(jù)應急處置工作的需要認為應當進行安全檢測�;
(五)其他應當進行安全檢測的情形。
第三十五條安全服務機構應當履行下列職責:
(一)如實出具檢測報告���;
(二)接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門對檢測過程的監(jiān)督檢查�����;
(三)保守用戶秘密�����,不得保留安全檢測相關資料�,不得擅自向第三方泄露用戶信息�。
第七章安全培訓
第三十六條省公安廳、人事廳聯(lián)合成立的省計算機安全培訓領導小組���,負責全省計算機安全培訓考試工作的組織和領導���。下設省計算機安全培訓考試辦公室,具體負責計算機安全培訓的日常管理工作����。
第三十七條下列人員應當參加計算機安全培訓,取得省計算機安全培訓考試辦公室頒發(fā)的計算機安全培訓合格證書�����,持證上崗:
(一)計算機信息系統(tǒng)使用單位安全管理責任人����、信息審查員;
(二)重點安全保護單位計算機信息系統(tǒng)維護和管理人員����;
(三)安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術人員;
(四)安全服務機構專業(yè)技術人員����、安全服務管理人員;
(五)其他從事計算機信息系統(tǒng)安全保護工作的人員���。
第三十八條計算機安全培訓和考試由省計算機安全培訓考試辦公室授權的安全培訓考試點負責組織��。安全培訓考試點實行統(tǒng)籌規(guī)劃���,總量控制。
第三十九條計算機安全培訓和考試按照有關規(guī)定進行���,實行學大綱��,材�����,統(tǒng)一考試��,統(tǒng)一發(fā)證�����。
考試合格的�����,由省計算機安全培訓考試辦公室在20日內(nèi)發(fā)給計算機安全培訓合格證書�。
計算機安全培訓合格證書有效期4年,期滿前60日內(nèi)應重新參加培訓��。
篇3
一��、加強頂層設計�,確立信息安全教育國家戰(zhàn)略
1.《網(wǎng)絡空間安全國家戰(zhàn)略》
布什政府在2003年2月了《網(wǎng)絡空間安全國家戰(zhàn)略》,其中首次從國家層面提出了“提高網(wǎng)絡安全意識與培訓計劃”,指出���,“除了信息技術系統(tǒng)的脆弱性外�,要提高網(wǎng)絡的安全性至少面臨著兩個障礙:缺乏對安全問題的了解和認識;無法找到足夠多的經(jīng)過培訓或通過認證的人員來建立并管理安全系統(tǒng)�?����!盀榇?����,美國要開展全國性的增強安全意識活動����,加強培訓和網(wǎng)絡安全專業(yè)人員資格認證。
2.《美國網(wǎng)絡安全評估》報告
2009年5月29日美國公布了《美國網(wǎng)絡安全評估》報告����,評估了美國政府在網(wǎng)絡空間的安全戰(zhàn)略、策略和標準��,指出了存在的問題���,提出行動計戈IJ���。所提議的優(yōu)先行動計劃之一就是“加強公眾網(wǎng)絡安全教育”�����。
3.《國家網(wǎng)絡安全綜合計劃》(CNCI)
2010年3月2日���,奧巴馬政府對前布什政府在2007年制定的一份國家網(wǎng)絡安全綜合計劃的部分內(nèi)容進行解密。CNCI計劃提出要實現(xiàn)重要目標之一就是:“為了有效地保證持續(xù)的技術優(yōu)勢和未來的網(wǎng)絡安全�,必須制定一個技術熟練和精通網(wǎng)絡的勞動力和未來員工的有效渠道。擴大網(wǎng)絡教育�,以加強未來的網(wǎng)絡安全環(huán)境?�!?/p>
4.《國家網(wǎng)絡空間安全教育戰(zhàn)略計劃》
2011年8月11日��,NIST授權《美國網(wǎng)絡
安全教育倡議戰(zhàn)略規(guī)劃:構建數(shù)字美國》草案�����,征求公眾意見��。該規(guī)劃是美國網(wǎng)絡安全教育倡議(NICE)的首個戰(zhàn)略規(guī)劃����,闡明了NICE的任務��、遠景和目標�����。NICE旨在通過創(chuàng)新的網(wǎng)絡行為教育��、培訓和加強相關意識�����,促進美國的經(jīng)濟繁榮和保障國家安全,并通過以下三個目標實現(xiàn)這一愿景:增強公眾有關網(wǎng)上活動風險的意識;擴展能支持國家網(wǎng)絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網(wǎng)絡安全隊伍����。
二、做好立法工作�����,完善法規(guī)標隹體系
1.《聯(lián)邦信息安全管理法案》(FISMA)
2002年7月�,美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經(jīng)認識到信息安全對美國經(jīng)濟和國家安全利益的重要性,并從風險管理角度提出了一個有效的信息安全管理體系�。信息安全教育與培訓是信息安全管理體系中一個重要環(huán)節(jié)。
FISMA法案明確要求:聯(lián)邦政府機構須為內(nèi)外部相關人員提供信息安全風險的安全意識培訓,為此還提議了一個較為完善的國家安全意識及其培訓系統(tǒng)���。
2.國防部(DoD)8570指令
2005年12月�,為了更好地支持“全球信息網(wǎng)格計戈j”����,美國國防部了8570指令。該指令涵蓋以下主要內(nèi)容:建立技術基準��,管理職員的信息保障技能;實現(xiàn)正規(guī)的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中����,持續(xù)的增加信息保障內(nèi)容。
3.聯(lián)邦政府信息技術安全培訓標準(FIPS)
FISMA法案明確指定NIST負責制定聯(lián)邦政府(除國防���、情報部門以外)所使用的信息安全技術����、產(chǎn)品和培訓方面的國家標準�。目前����,NIST已制定和兩部權威的信息安全培訓標準:《信息技術安全培訓要求:基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架�����,依據(jù)這些框架���,美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計算臟務(FSC)項目。
4.網(wǎng)絡安全法案
2010年3月24日����,美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網(wǎng)絡安全�、幫助美國政府機構和企業(yè)有效應對網(wǎng)絡威脅的《網(wǎng)絡安全法案》。該法案要求政府機構和私營部門加強在網(wǎng)絡安全領域方面的信息共享�����,強調(diào)通過市場手段��,鼓勵培養(yǎng)網(wǎng)絡安全人才�,開發(fā)網(wǎng)絡安全產(chǎn)品和服務����。
三、構建信息網(wǎng)絡安全組織機構����,健全安全教育培訓管理體制
為了落實信息安全教育培訓相關政策和法律法規(guī)���,美國將協(xié)調(diào)、執(zhí)行���、監(jiān)督���、管理等權利分配給多個政府部門,依據(jù)最新的《國家網(wǎng)絡安全教育戰(zhàn)略計劃》的思路�,國家標準技術研究所(NIST)為整個計劃的負責單位,協(xié)調(diào)其他部門參與計劃的實施;國土安全部(DHS)��、國防部(DoD)�、國務院、教育部和國家科學基金會(NSF)協(xié)力加強公眾的信息安全意識;DHS�����、海關總署�、NSF和國家安全局(NSA)共同加強從業(yè)人員f支術能力;DHS�����、DoD、NIST��、NSA����、NSF和人事管理局(OPM)負責建立高端網(wǎng)絡安全人才隊伍。
社會各界積極參與
行業(yè)協(xié)會已經(jīng)站到了信息安全教育培訓的前沿�����,成為信息安全教育培訓的踐行者�����。其職責主要是協(xié)助有關部門制定信息安全教育與培訓的標準���,組織持續(xù)的教育活動�����,并向內(nèi)部成員單位實施培訓����。行業(yè)協(xié)會自身作為提供教育和培訓的主體��,一方面可以根據(jù)政府的引導和企業(yè)的需求來設置培訓內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源����,充分發(fā)揮其在信息安全領域內(nèi)不可替代的社會職能��。行業(yè)協(xié)會提供的培訓標準是政府制定的培訓標準的主要補充���,為規(guī)范和完善美國信息安全培訓行業(yè)提供了切實可行的保障。
(1)國際信息系統(tǒng)審計協(xié)會(丨SACA)
國際信息系統(tǒng)審計協(xié)會(ISACA)是一個為信息管理���、控制�����、安全和審計專業(yè)設定規(guī)范標準的全球性組織��,會員遍布逾160個國家���,總數(shù)超過86,000人。ISACA成立于1969年����,除贊助舉辦國際會議外,還編輯出版《信息系統(tǒng)監(jiān)控期刊》���,制定國際信息系統(tǒng)的審計與監(jiān)控標準�,以及頒授國際廣泛認可的注冊信息系統(tǒng)審計師(CISA)專業(yè)資格認證����。CISA認證體系已通過美國國家標準協(xié)會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時�����,美國國防部也認可了CISA認證���,并將其納入到國防系統(tǒng)信息技術人員技能商業(yè)資格認證體系當中。這產(chǎn)生了以下四方面的作用:認可CISA認證所提供的特有資格和專業(yè)知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國���、跨行業(yè)的人才流動更加便利�����。
(2)美國系統(tǒng)網(wǎng)絡安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO)�,是一所具有代表性的從事網(wǎng)絡安全研究教育的專業(yè)機構����。1999年SANS首次推出了安全技術認證程序(GIAC)�����。
GIAC認證程序有以下幾個特點:
GIAC提供超過20種的信息安全認證����,其大多數(shù)符合DOD8570指令。GIAC依據(jù)國家標準對安全專業(yè)人員及開發(fā)人員進行各方面技能認證�����。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)���。兩種認證都重點考察安全基礎知識�,保證揺正人員擁有必備的安全技能����。其它GIAC安全認證包括:認證防火墻分析師(確認設計��、配置和監(jiān)控路由器、防火墻和其它邊界設備所需的知識��、技能和能力)��、認證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)��、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力�����。
(3)國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2
國際信息系統(tǒng)安全核準聯(lián)盟(ISC)2成立于1989年��,是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓和認證的國際領先非營利組織����。在(ISC)2各種認證中,CISSP數(shù)量最多�。截至2010年底,全球共有75000名CISSP獲證人員�,其中,美國獲證人員數(shù)量超過70%^CISSP獲證人員中��,約30%在政府部門工作���,40%從事信息安全月服務行業(yè)�����,30%從事用戶終端工作���。
注冊信息系統(tǒng)安全專業(yè)人員通用知識體(CISSPCBK)提供了通用的信息安全術語和原理框架,使得全世界的信息安全專業(yè)人員能夠以相同的術語和理念���,討論�����、辯論和解決信息安全相關問題�����。
篇4
關鍵詞:安全機制 電力公司 信息管理
【分類號】:TM73
二十一世紀是一個信息的時代�,隨著電網(wǎng)規(guī)模的擴大和改革的深入��,企業(yè)各部門之間�、企業(yè)和社會之間信息的交換也更加頻繁,對信息的及時性�����、準確性和可靠性的要求越來越高。因此���,基于當前安全機制下�����,電力公司對信息管理要求也將越來越高����。
一����、電力企業(yè)信息網(wǎng)絡系統(tǒng)存在的安全問題
隨著電力企業(yè)互聯(lián)網(wǎng)的發(fā)展,其信息網(wǎng)絡的安全也日益尖銳����。網(wǎng)絡的信息安全是一種涉及了通信技術、計算機技術����、信息安全技術、密碼技術等多種技術的邊緣綜合性學科��,國際標準化組織把信息安全定義為“信息的完整性��、可用性、可靠性及保密性”����,但因其是新生事物,人們接觸它主要忙于工作���、學習和娛樂,對于它的安全性�,則無暇顧及,從下到下普遍存在僥幸心理�����,沒有形成主動防范��、積極應對的意識�����,所以很難從根本上提高網(wǎng)絡監(jiān)測�、抗擊、防護等能力�。
其次,在整體運行管理過程中�,有關信息安全的政策��、手段都存在問題����,如因互聯(lián)網(wǎng)復雜多變�,網(wǎng)絡用戶對此缺乏足夠的認識,在未進入安全狀態(tài)時就急于操作����,導致敏感數(shù)據(jù)暴露,使系統(tǒng)遭受了風險�����;還有很多用戶都越來越以來“銀彈”方案����,即加上防火墻或者加密技術,使用戶產(chǎn)生了虛假的安全感��,喪失了警惕�����。
還有�����,不少單位沒有從管理制度上建立相應的安全防范機制,在整個運行過程中�����,缺乏行之有效的安全檢查制度��,這些不完善的制度滋長了網(wǎng)絡管理者和內(nèi)部人士自身的違法行為���。
二、當前電力公司網(wǎng)絡信息安全的技術手段
而隨著電力體制改革的不斷深化��,計算機網(wǎng)絡將承載著大量的企業(yè)生產(chǎn)和經(jīng)營的重要數(shù)據(jù)����。所以,保障計算機網(wǎng)絡信息系統(tǒng)安全�、穩(wěn)定運行至關重要,目前確保電力公司信息安全技術有如下幾種:
1��、 防病毒技術
計算機病毒實際上就是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害計算機系統(tǒng)的功能程序��,其在網(wǎng)上的傳播極其迅速����,且傳播具有相當大的隨機性����,從而增加了網(wǎng)絡防殺病毒的難度���,所以�����,這就要求做到對整個網(wǎng)絡集中進行病毒防范��、統(tǒng)一管理�,在預定時間自動從網(wǎng)站下載最新的升級文件��,并自動分發(fā)到局域網(wǎng)中所有安裝防病毒軟件的機器上�。
2、入侵檢測技術
入侵檢測是對入侵行為的發(fā)覺�����,是防火墻的合理補充��,幫助系統(tǒng)對付網(wǎng)絡攻擊�����,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視�、進攻識別和響應),提高了信息安全基礎結構的完整性�����。
3�、風險評估技術
風險評估是網(wǎng)絡安全防御中的一項重要技術,其原理是根據(jù)已知的安全漏洞知識庫�����,對目標可能存在的安全隱患進行逐項檢查��,它包括了網(wǎng)絡模擬攻擊���,漏洞檢測,報告服務進程���,提取對象信息�����,以及評測風險��,提供安全建議和改進措施等功能����,幫助用戶控制可能發(fā)生的安全事件,最大可能的消除安全隱患��。
除了上述幾種技術之外�����,還有一些被廣泛應用的安全技術�����,如虛擬專用網(wǎng)VPN技術�����、虛擬局域網(wǎng)VLAN技術���、身份驗證���、安全協(xié)議等�,網(wǎng)絡的信息安全是一個系統(tǒng)的工程�,只有根據(jù)實際情況、綜合各安全技術的優(yōu)點���,才能形成一個由多種安全技術構成的網(wǎng)絡安全系統(tǒng)�����。
三���、電力企業(yè)網(wǎng)絡安全防范措施
1、完善網(wǎng)絡信息安全的管理機制
首先���,網(wǎng)絡與信息安全需要制度化���、規(guī)范化,將網(wǎng)絡信息安全管理納入到安全生產(chǎn)管理體系中��,制定相應的管理制度�,比如建立用戶權限管理制度���、網(wǎng)絡信息安全管理制度���、病毒防范制度等����,這一旦形成���,就必須嚴格執(zhí)行�����,保證落實���。同時,明確網(wǎng)絡與信息安全體系的四個關鍵系統(tǒng)���,即安全決策指揮系統(tǒng)���、安全管理制度系統(tǒng)、安全管理技術系統(tǒng)和安全教育培訓系統(tǒng)��,實行企業(yè)行政正職負責制����,明確主管領導部門職責����。
2���、強化企業(yè)內(nèi)部人員安全培訓
根據(jù)企業(yè)性質(zhì)與人員的職責����、業(yè)務不同�����,將安全培訓分成三個不同的層次���,即初級�、中級和高級����,初級培訓可針對全部人員,主要強化員工安全意識和責任�����;中級培訓對象一般包括高層領導����、技術管理人員、合同管理者等�����,培訓內(nèi)容包括安全核心知識��、風險管理����、資源需求與合同需求。高級安全培訓的人群包括信息安全人員��、系統(tǒng)管理人員���,內(nèi)容主要包括操作/應用系統(tǒng)����、協(xié)議����、安全工具���、技術控制、風險評估���、安全計劃和認證與評估�����,旨在提高企業(yè)的整體安全管理����。
綜上所述����,企業(yè)必須充分重視網(wǎng)絡信息系統(tǒng)的安全威脅所在,制定保障網(wǎng)絡安全的應對措施��,落實嚴格的安全管理制度�����,才能使網(wǎng)絡信息得以安全運行����。
參考文獻
1����、孟洛明��,亓峰?《現(xiàn)代網(wǎng)絡管理技術》����,北京郵電大學出版社2001
篇5
關鍵詞:安全三要素����;計算機網(wǎng)絡;信息安全�;防范策略;保障作用
在信息技術飛速發(fā)展的今天�����,黑客技術和計算機病毒也在不斷之變化���,其隱蔽性�����、跨域性���、快速變化性和爆發(fā)性使網(wǎng)絡信息安全受到了全所未有的威脅����。在這種攻與防的信息對抗中人�、技術和管理都是不可或缺的重要環(huán)節(jié)。
一�����、網(wǎng)絡信息安全的問題在哪里���?
(一)技術層面的問題
1.網(wǎng)絡通信線路和設備的缺陷
(1)電磁泄露:攻擊者利用電磁泄露���,捕獲無線網(wǎng)絡傳輸信號,破譯后能較輕易地獲取傳輸內(nèi)容�。
(2)設備監(jiān)聽:不法分子通過對通信設備的監(jiān)聽,非法監(jiān)聽或捕獲傳輸信息�。
(3)終端接入:攻擊者在合法終端上并接非法終端,利用合法用戶身份操縱該計算機通信接口�,使信息傳到非法終端。
(4)網(wǎng)絡攻擊�����。
2.軟件存在漏洞和后門
(1)網(wǎng)絡軟件的漏洞被利用。
(2)軟件病毒入侵����。
(3)軟件端口未進行安全限制。
(二)人員層面的問題
1.系統(tǒng)使用人員保密觀念不強�,關鍵信息沒進行加密處理,密碼保護強度低�;文檔的共享沒有經(jīng)過必要的權限控制�����。
2.技術人員因為業(yè)務不熟練或缺少責任心����,有意或無意中破壞網(wǎng)絡系統(tǒng)和設備的保密措施。
3.專業(yè)人員利用工作之便���,用非法手段訪問系統(tǒng)��,非法獲取信息����。
4.不法人員利用系統(tǒng)的端口或者傳輸?shù)慕橘|(zhì)����,采用監(jiān)聽����、捕獲�、破譯等手段竊取保密信息。
(三)管理層面的問題
1.安全管理制度不健全����。缺乏完善的制度管理體系,管理人員對網(wǎng)絡信息安全重視不夠��。
2.監(jiān)督機制不完善���。技術人員有章不循���,對安全麻痹大意,缺乏有效地監(jiān)督�。
3.教育培訓不到位。對使用者缺乏安全知識教育��,對技術人員缺乏專業(yè)技術培訓��。
二.網(wǎng)絡信息安全的防范策略
(一)技術層面的防范策略
1.網(wǎng)絡的基礎設施安全防范策略
(1)減少電磁輻射。傳輸線路做露天保護或埋于地下���,無線傳輸應使用高可靠性的加密手段��,并隱藏鏈接名����。
(2)使用防火墻技術���,控制不同網(wǎng)絡或網(wǎng)絡安全域之間信息的出入口���,保護網(wǎng)絡免遭黑客襲擊����。
(3)使用可信路由、專用網(wǎng)或采用路由隱藏技術��。
(4)網(wǎng)絡訪問控制�。訪問控制是網(wǎng)絡安全防范和保護的核心策略之一。包括入網(wǎng)����、權限、目錄級以及屬性等多種控制手段。
2.軟件類信息安全防范策略
(1)安裝可信軟件和操作系統(tǒng)補丁���,定時升級���,及時堵漏。
(2)應用數(shù)據(jù)加密技術�����。將明文轉(zhuǎn)換成密文���,防止非法用戶理解原始數(shù)據(jù)��。
(3)提高網(wǎng)絡反病毒技術能力���。使用殺毒軟件并及時升級病毒庫。對移動存儲設備事前掃描和查殺�。對網(wǎng)絡服務器中的文件進行掃描和監(jiān)測,加強訪問權限的設置�。在網(wǎng)絡中,限制只能由服務器才允許執(zhí)行的文件���。
(4)使用入侵檢測系統(tǒng)防止黑客入侵����。一般分為基于網(wǎng)絡和基于主機兩種方式。還可以使用分布式��、應用層����、智能的入侵檢測等手段。
(5)數(shù)據(jù)庫的備份與恢復�����。
(二)人員層面的防范策略
1.對人員進行安全教育���。加強對計算機用戶的安全教育����、防止計算機犯罪�。
2.提高網(wǎng)絡終端用戶的安全意識���。提醒用戶不使用來歷不明的U盤和程序�����,不隨意下載網(wǎng)絡可疑信息�。
3.對人員進行法制教育。包括計算機安全法��、計算機犯罪法����、保密法、數(shù)據(jù)保護法等���。
4.加強技術人員的安全知識培訓�����。
(三)管理層面的防范策略
1.建立安全管理制度���。對重要部門和信息,嚴格做好開機查毒�����,及時備份數(shù)據(jù)��。
2.建立網(wǎng)絡信息綜合管理規(guī)章制度����。包括人員管理�����、運維管理�����、控制管理�����、資料管理��、機房管理����、專機專用和嚴格分工等管理制度�。
3.建立安全培訓制度。使安全培訓制度化�����、經(jīng)?�;?���,不斷強化技術人員和使用者的安全意識。
三�、安全三要素的保障作用更重要
在保證網(wǎng)絡信息安全的過程中,技術是核心�、人員是關鍵、管理是保障����,我們必須做到管理和技術并重,技術和措施結合���,充分發(fā)揮人的作用�����,在法律和安全標準的約束下��,才能確保網(wǎng)絡信息的安全���。
(一) 技術的核心作用
不管是加密技術、反病毒技術�、入侵檢測技術��、防火墻技術�、安全掃描技術��,還是數(shù)據(jù)的備份和恢復技術�、硬件設施的防護技術等,都是我們做好網(wǎng)絡信息安全防護的核心要素��,技術支撐為我們建立一套完整的���、協(xié)調(diào)一致的網(wǎng)絡安全防護體系起到了核心的作用�����。
(二)人員的關鍵作用
人也是安全的一部分���。人的作用是不可低估的,不管是使用者���,還是程序開發(fā)人員����、技術維護人員,還是網(wǎng)絡黑客�,都是我們構建網(wǎng)絡安全環(huán)境的關鍵因素����,成也在人,敗也在人�。
(三)管理的保障作用
管理是不可缺失的,不論是技術上的管理�����,還是對人的管理��,不論是技術規(guī)則�,還是管理制度,都是網(wǎng)絡信息安全的保障����。很多安全漏洞都來源于管理的疏忽或者安全培訓的缺失。
四.多說兩句
網(wǎng)絡信息安全是一項復雜的系統(tǒng)工程�����,涉及人員��、技術、設備���、管理�����、制度和使用等多方面的因素�����,只有將安全三要素的保障策略都結合起來��,才能形成一個高效安全的網(wǎng)絡信息系統(tǒng)����。世上沒有絕對安全�,只要實時檢測、實時響應�、實時恢復、防治結合�,做到人、技術和管理的和諧統(tǒng)一��,目標一致�,網(wǎng)絡信息就能安全。
參考文獻
篇6
關鍵詞:計算機;網(wǎng)絡;安全;結構;技術;完善
0 引言
網(wǎng)絡安全技術指致力于解決諸如如何有效進行介入控制以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段,在網(wǎng)絡技術高速發(fā)展的今天���,它關系到小至個人的利益����,大至國家的安全�����。對網(wǎng)絡安全技術的研究意義重大��,對網(wǎng)絡安全技術的研究就是為了盡最大的努力為個人����、國家創(chuàng)造一個良好的網(wǎng)絡環(huán)境�����,讓網(wǎng)絡安全技術更好地為廣大用戶服務�。
1 計算機網(wǎng)絡安全體系結構
計算機網(wǎng)絡安全體系結構是由硬件網(wǎng)絡、通信軟件��、防毒殺毒����、防火墻以及操作系統(tǒng)構成的��,對于一個系統(tǒng)而言��,首先要以硬件電路等物理設備為載體�,然后才能運行載體上的功能程序��。對于小范圍的無線局域網(wǎng)而言�����,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵��,目前廣泛采用WPA2加密協(xié)議實現(xiàn)協(xié)議加密��,通??梢詫Ⅱ?qū)動程序看作為操作系統(tǒng)的一部分,經(jīng)過注冊表注冊后�����,相應的網(wǎng)絡通信驅(qū)動接口才能被通信應用程序調(diào)用��。
2 計算機網(wǎng)絡安全技術研究
2.1 安裝防病毒軟件和防火墻 在計算機主機上安裝可靠性高的防病毒軟件和防火墻����,及時對主機的各個存儲空間進行安全保護�����,定時掃描��、修補可能出現(xiàn)的技術漏洞�,做到及時發(fā)現(xiàn)異常���,及時處理;防火墻是通過軟、硬件組合���,對企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)起到過濾網(wǎng)關的作用����,從而嚴格控制外網(wǎng)用戶的非法訪問�,并只打開允許的服務,防止外部網(wǎng)絡拓展服務的攻擊���。
2.2 安裝入侵檢測系統(tǒng)和網(wǎng)絡誘騙系統(tǒng) 計算機安全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低�,入侵檢測系統(tǒng)由軟件和硬件組成;網(wǎng)絡誘騙系統(tǒng)是通過構建虛假的計算機網(wǎng)絡系統(tǒng)����,誘騙入侵者對其進行攻擊�,從而起到保護實際網(wǎng)絡系統(tǒng)的目的�。
2.3 使用數(shù)據(jù)加密技術提高系統(tǒng)安全性 傳統(tǒng)的信息加密技術和新興的信息隱藏技術可為計算機信息的存儲及傳輸提供安全保障,用戶在進行絕密或重要信息的傳輸過程中����,不僅要做好信息本身的加密,還可以利用隱藏技術對信息發(fā)送者��、接收者及信息本身進行隱藏����。常用的隱藏技術有隱藏術、數(shù)字嵌入����、數(shù)據(jù)隱藏、數(shù)字水印和指紋技術�。
2.4 做好重要信息的備份工作 計算機信息存儲工作要遵循多備份和及時更新的工作原則,數(shù)據(jù)信息可根據(jù)其重要性或數(shù)據(jù)量進行不同方式的存儲:對于不需修改的重要數(shù)據(jù)可直接刻錄光盤存儲;需要修改的數(shù)據(jù)可存儲在U盤或移動硬盤中;不重要的數(shù)據(jù)可存儲在本地計算機或局域服務器中;較小數(shù)據(jù)可存儲在郵箱中�����。
2.5 使用安全路由器 安全路由器的使用可將內(nèi)部網(wǎng)絡及外部網(wǎng)絡進行安全隔離���,互聯(lián)����,通過阻塞信息及不法地址的傳輸,保護企業(yè)內(nèi)部信息及網(wǎng)絡的安全性���。安全路由器是對其芯片進行密碼算法和加/解密技術����,通過在路由器主板增加安全加密模件來實現(xiàn)路由器信息和IP包的加密��、身份鑒別和數(shù)據(jù)完整性驗證��、分布式密鑰管理等功能��。
2.6 重視網(wǎng)絡信息安全人才的培養(yǎng) 加強計算機網(wǎng)絡人員的安全培訓��,使網(wǎng)絡人員熟練通過計算機網(wǎng)絡實施正確有效的安全管理��,保證計算機網(wǎng)絡信息安全�。一方面要注意管理人員及操作人員的安全培訓���,在培訓過程中提高專業(yè)能力����、安全保密觀念、責任心;對內(nèi)部人員更要加強人事管理�����,定期組織思想教育和安全業(yè)務培訓�����,不斷提高網(wǎng)絡人員的思想素質(zhì)����、技術素質(zhì)和職業(yè)道德。
3 云計算安全技術的應用
云計算通過集中所需要計算的個體資源�,通過需求而獲得企業(yè)所需要的資源,并且通過自動化管理與運行����,從而將計算的需求傳達給網(wǎng)絡,使網(wǎng)絡能夠處理企業(yè)所需要的計算服務�。云計算開創(chuàng)了一種資源共享的新模式,能夠改變當前用戶使用計算機的習慣���,通過網(wǎng)絡計算���,能夠大大節(jié)省企業(yè)所需要的空間以及實踐��,從而節(jié)約企業(yè)運行成本��,提升企業(yè)的工作效率��。因此在云計算的過程中�����,必須考慮到信息安全的問題�,避免商業(yè)機密泄露��,給企業(yè)帶來重大的損失�����。
3.1 云計算的應用安全技術性分析 云計算應用安全性需要終端用戶及云服務商雙方共同采取保護措施�。一方面����,云計算的終端用戶應保證本人或本企業(yè)計算機的安全,利用安全軟件降低計算機被不法分子進行技術攻擊的可能���。如反惡意軟件��、防病毒����、個人防火墻以及IPS類型的軟件等,可保護用戶瀏覽器免受攻擊�����,并能定期完成瀏覽器打補丁和更新工作��,以保護云用戶數(shù)據(jù)信息的安全性�����。另一方面���,用戶可使用客戶端設備訪問各種應用��,但不能對云平臺基礎設備進行管理或者控制����,因此�,選擇云平臺供應商就顯得十分重要��。評價供應商主要原則為依據(jù)保密協(xié)議����,要求供應商提供有關安全實踐的信息�����,如設計����、架構、開發(fā)�、黑盒與白盒應用程序安全測試和管理。
3.2 數(shù)據(jù)安全技術性分析 云計算服務模式包括軟件即服務(SaaS)�����、平臺即服務(PaaS)和基礎設施即服務(laaS)三種���,這三種服務模式面臨的主要問題是避免數(shù)據(jù)的丟失或被竊��,因此�,應在數(shù)據(jù)傳輸��、隔離及殘留方面進行安全保護��。
首先����,在使用公共云時,傳輸數(shù)據(jù)應采取加密算法和傳輸協(xié)議���,以保證數(shù)據(jù)的安全性和完整性�����。其次��,云計算供應商為實現(xiàn)服務的可擴展性�、提高數(shù)據(jù)計算效率及管理等優(yōu)勢���。在安全技術未發(fā)展至可給任意數(shù)據(jù)進行安全加密的階段下,可采取的措施就是將重要或者敏感的數(shù)據(jù)與其他數(shù)據(jù)進行隔離,保障數(shù)據(jù)信息的安全性����。最后,數(shù)據(jù)殘留是數(shù)據(jù)安全遭受威脅的另一因素,云計算環(huán)境下���,數(shù)據(jù)殘留會無意泄露敏感信息�,因此需要服務供應商能提供將用戶信息進行徹底清除的保障����。
4 結語
綜上所述���,加強計算機網(wǎng)絡安全就需要從多方面建立立體的計算機網(wǎng)絡安全結構體系提高對網(wǎng)絡風險的控制和預防����,全面保障計算機網(wǎng)絡安全。
參考文獻:
篇7
[關鍵詞]企業(yè)�����;信息化建設����;網(wǎng)絡安全管理
引言
在互聯(lián)網(wǎng)時代,企業(yè)應用網(wǎng)絡信息技術和計算機技術�,逐步建立了網(wǎng)絡信息化平臺,以對海量信息數(shù)據(jù)進行有效收集����,為企業(yè)的運行和發(fā)展提供有效依據(jù)。但是企業(yè)在信息化建設中還存在一些問題����,其中一個嚴重的問題就是,企業(yè)信息數(shù)據(jù)容易遭受到網(wǎng)絡攻擊或竊取��,即網(wǎng)絡安全問題。這些問題的存在����,非常不利于企業(yè)的信息化建設,不利于企業(yè)的進一步發(fā)展����。因此,相關人員需要對企業(yè)在信息化建設中存在的網(wǎng)絡安全管理問題以及解決方法進行研究和分析����,以全面提高企業(yè)信息化建設的質(zhì)量和水平,更好地推進企業(yè)的進步與發(fā)展�����。
1企業(yè)在信息化建設中存在的網(wǎng)絡安全管理問題
1.1外部因素
時代的發(fā)展和社會的進步使網(wǎng)絡信息安全問題日益嚴重���。例如���,企業(yè)在進行市場競爭時,需要獲得大量準確的信息并保證其安全���,但一些不法分子應用網(wǎng)絡攻擊和非法鏈接等方式獲取企業(yè)內(nèi)部大量信息����,并將此類信息在市場中出售牟利,這種情況的出現(xiàn)加劇了企業(yè)網(wǎng)絡信息安全問題的程度���。
1.2內(nèi)部因素
企業(yè)在信息化的建設過程中��,沒有對自身的網(wǎng)絡信息安全問題給予足夠的重視,因此����,沒有采用高質(zhì)量的信息安全管理模式,進行有效的網(wǎng)絡信息防護�,使網(wǎng)絡黑客應用網(wǎng)絡病毒和信息竊取手段,輕易獲取企業(yè)內(nèi)部的各種信息數(shù)據(jù)�����。同時�����,企業(yè)內(nèi)部工作人員也沒有受過良好的網(wǎng)絡信息安全培訓����,在應用中存在操作不規(guī)范等問題��,導致企業(yè)的信息安全受到嚴重威脅��。
2提高企業(yè)網(wǎng)絡安全管理水平的方法
2.1加強企業(yè)信息化系統(tǒng)的管理
企業(yè)需要在信息化建設中加強對信息化系統(tǒng)的管理質(zhì)量和水平�,提升企業(yè)網(wǎng)絡安全管理的效率�����。具體來講���,首先�����,企業(yè)需要樹立起網(wǎng)絡安全管理的意識����,對工作中存在的網(wǎng)絡安全問題及時處理�����,建立完備的網(wǎng)絡安全管理平臺����,對企業(yè)運行發(fā)展中的重要信息數(shù)據(jù)進行集中性保存�。其次�,定期對企業(yè)員工開展網(wǎng)絡安全培訓工作,提升員工信息化系統(tǒng)規(guī)范操作的能力��,對重要信息進行加密處理����,并做好多重備份工作。最后��,企業(yè)員工應定期使用網(wǎng)絡安全軟件對操作環(huán)境進行檢查����,有效處理和抵御各類網(wǎng)絡病毒的攻擊和入侵����。
2.2應用有效的數(shù)據(jù)信息加密技術
企業(yè)需要應用有效的數(shù)據(jù)加密技術,提升網(wǎng)絡信息管理質(zhì)量和水平�����,保障網(wǎng)絡信息的安全����,更好的開展企業(yè)信息化建設工作�����,為企業(yè)的進步和發(fā)展打好基礎�。第一�,企業(yè)需要有效的應用鏈路加密、節(jié)點加密�、端對端加密等多種技術,提高企業(yè)網(wǎng)絡信息加密的強度��,為重要的業(yè)務數(shù)據(jù)和信息做好保護��。第二�����,企業(yè)需要在應用網(wǎng)絡信息數(shù)據(jù)加密技術的同時�,對重要數(shù)據(jù)信息進行切實有效的存儲,使其具有完整性����,為提升企業(yè)數(shù)據(jù)信息安全水平打好基礎。
2.3部署高質(zhì)量的安全防護軟件
企業(yè)需要合理應用各類的防護軟件��,提升自身網(wǎng)絡信息安全的強度。例如現(xiàn)在已經(jīng)普遍應用的360安全衛(wèi)士����、騰訊電腦管家、金山毒霸等���,合理應用可以提高企業(yè)整個網(wǎng)絡信息安全管理的質(zhì)量���,同時對外部的非法鏈接進行有效抵制,對網(wǎng)絡病毒攻擊和入侵進行有效預防�����。
2.4設置必要的安全管理權限
企業(yè)需要依據(jù)自身的需求�,建立嚴密、分層的安全管理權限系統(tǒng)���,對登錄到系統(tǒng)中的用戶進行嚴格的管理權限設定。通過這種方式�����,使操作系統(tǒng)或應用系統(tǒng)的用戶����,需要掌握不同的權限密碼才能進行不同權限的操作�、進行數(shù)據(jù)信息的獲得���,然后進行這些數(shù)據(jù)信息的應用�。
2.5配置防火墻和訪問控制模式
企業(yè)在信息化建設中需建立高效的防火墻系統(tǒng)�����,設置專業(yè)化訪問控制模式��,提升網(wǎng)絡信息安全能力���,有效抵御各種網(wǎng)絡風險����,保障企業(yè)的內(nèi)部網(wǎng)絡安全��。
2.6信息隱藏模式的有效應用
企業(yè)可以有效應用信息隱藏技術���,提高網(wǎng)絡信息安全質(zhì)量和水平���,保障信息及數(shù)據(jù)安全�����。例如�����,采用高效的編碼修改方法進行數(shù)據(jù)嵌入���,如矩陣編碼,其可減少修改幅度�����;擴頻嵌入��,其使編碼更加專業(yè)化�����、高級化�、復雜化�����,很難進行破譯,降低密文信號的能量���,使其不易被檢測到����,增強信息的安全性和保密性�。這些模式有利于企業(yè)對各種網(wǎng)絡攻擊進行有效抵御,保障企業(yè)信息化建設的穩(wěn)定性和安全性��,實現(xiàn)企業(yè)應有的經(jīng)濟效益和社會價值�。
3結語
對企業(yè)信息化建設中網(wǎng)絡安全管理問題進行分析,有利于企業(yè)應用各種有效的方法�,提高企業(yè)網(wǎng)絡安全管理的質(zhì)量和水平,保障企業(yè)網(wǎng)絡和信息管理的安全性���,最終為企業(yè)實現(xiàn)良好的信息化建設做出重要貢獻�����。
主要參考文獻
[1]程華.對企業(yè)信息化建設中的網(wǎng)絡安全管理問題探討[J].民營科技,2016(1).
[2]李永湘.企業(yè)信息化建設中的網(wǎng)絡安全問題研究[J].科技資訊,2016(8).
[3]王靜.當前我國企業(yè)信息化建設中的網(wǎng)絡安全問題研究[J].行政事業(yè)資產(chǎn)與財務,2014(6).
篇8
關鍵詞:公共衛(wèi)生行業(yè)�����;計算機網(wǎng)絡安全管理�����;安全技術防范�����;信息技術�;信息安全等級 文獻標識碼:A
中圖分類號:TP393 文章編號:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共衛(wèi)生行業(yè)承擔的職責主要包括重大傳染病防控、慢性非傳染病防控�����、衛(wèi)生監(jiān)督�、職業(yè)病防制、精神衛(wèi)生管理�、健康危險因素評價、突發(fā)公共衛(wèi)生事件處置和兒童免疫接種管理等�,在管理過程中要涉及到大量的重要信息數(shù)據(jù),包括疾病監(jiān)測數(shù)據(jù)�����、健康危險因素監(jiān)測數(shù)據(jù)和免疫規(guī)劃管理數(shù)據(jù)等��,這就對公共衛(wèi)生行業(yè)在信息數(shù)據(jù)管理的方面提出了很高的要求����,務必要將計算機網(wǎng)絡安全管理防范問題放在重要位置,從網(wǎng)絡防范技術和監(jiān)督管理等方面建立健全計算機信息安全保障體系��,確保各類信息數(shù)據(jù)安全有效�。
2 目前公共衛(wèi)生行業(yè)計算機網(wǎng)絡安全存在的問題
2.1 數(shù)據(jù)信息安全威脅
信息數(shù)據(jù)面臨的安全威脅來自于多個方面,有通過病毒����、非授權竊取來破壞數(shù)據(jù)保密性的安全威脅,有因為操作系統(tǒng)故障�����、應用系統(tǒng)故障等導致的破壞數(shù)據(jù)完整性的安全威脅�,有因為硬盤故障、誤操作等導致的破壞數(shù)據(jù)可用性的安全威脅�,還有因為病毒威脅、非授權篡改導致的破壞數(shù)據(jù)真實性的安全威脅����,這些潛在的安全威脅將會導致信息數(shù)據(jù)被刪除、破壞�����、篡改甚至被竊取,給公共衛(wèi)生行業(yè)帶來無法彌補的損失����。
2.2 安全管理缺失
公共衛(wèi)生行業(yè)在信息化建設工作中,如果存在重應用�����、輕安全的現(xiàn)象���,在IT系統(tǒng)建設過程中沒有充分考慮信息安全的科學規(guī)劃���,將導致后期信息安全建設和管理工作比較被動,業(yè)務的發(fā)展及信息系統(tǒng)的建設與信息安全管理建設不對稱����;或由于重視信息安全技術,輕視安全管理�,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位���,如病毒庫不及時升級�、變更管理松懈、崗位職責不清�����、忽視數(shù)據(jù)備份等現(xiàn)象普遍存在�,很有可能會導致本不應該發(fā)生的信息安全事件發(fā)生����。
3 分析問題產(chǎn)生的主要原因
3.1 經(jīng)費投入不足導致的安全防范技術薄弱
許多公共衛(wèi)生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發(fā)以后國家投入建設的�,運行至今,很多省級以下的公共衛(wèi)生單位由于領導認識不足或經(jīng)費所限����,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛(wèi)生信息化的投入����,很少將經(jīng)費用于信息化建設和信息安全投入,信息化基礎設施陳舊��、軟硬件設備老化�,信息安全防范技術比較薄弱,因網(wǎng)絡設備損壞�、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數(shù)據(jù)丟失���、竊取的現(xiàn)象時有發(fā)生�,嚴重影響了重要信息數(shù)據(jù)的保密性�、完整性和安全性,一旦發(fā)生信息安全事件后果將不堪設想���。
3.2 專業(yè)技術人才缺乏
建設信息化�、發(fā)展信息化最大的動力資源是掌握信息化的專業(yè)技術人才���,人才的培養(yǎng)是行業(yè)信息化高速發(fā)展的基礎����,然而����,公共衛(wèi)生行業(yè)的人才梯隊主要以疾病控制、醫(yī)學檢驗專業(yè)為主��,信息化����、信息安全專業(yè)技術人才缺乏,隊伍力量薄弱,不能很好地利用現(xiàn)有的計算機軟硬件設備���,也很難對本單位現(xiàn)有的信息化����、信息安全現(xiàn)狀進行有效的評估�����,缺乏制定本行業(yè)長期��、可持續(xù)信息化建設發(fā)展規(guī)劃的能力���,這也是制約公共衛(wèi)生行業(yè)信息化發(fā)展的重要因數(shù)。
3.3 信息安全培訓不足��,職工安全保密意識不強
信息安全是一項全員參與的工作��,它不僅是信息化管理部門的本職工作����,更是整個公共衛(wèi)生行業(yè)的重要工作職責,很多單位沒有將信息安全培訓放在重要位置���,沒有定期開展信息安全意識教育培訓�,許多職工對網(wǎng)絡安全不夠重視,缺乏網(wǎng)絡安全意識��,隨意接收�����、下載�、拷貝未知文件,沒有查殺病毒����、木馬的習慣,經(jīng)常有意無意的傳播病毒�����,使得單位網(wǎng)絡系統(tǒng)經(jīng)常遭受ARP���、宏病毒等病毒木馬的攻擊���,嚴重影響了單位網(wǎng)絡的安全穩(wěn)定運行;同時���,許多職工對于單位的移動介質(zhì)缺乏規(guī)范化管理意識��,隨意將拷貝有信息的移動硬盤��、優(yōu)盤等介質(zhì)帶出單位���,在其他聯(lián)網(wǎng)的計算機上使用��,信息容易失竊�,存在非常嚴重的信息安全隱患���。
4 如何促進公共衛(wèi)生行業(yè)計算機網(wǎng)絡安全性提升
4.1 強化管理,建立行業(yè)計算機網(wǎng)絡安全管理制度
為了確保整個計算機網(wǎng)絡的安全有效運行��,建立出一套既符合本行業(yè)工作實際的�����,又滿足網(wǎng)絡實際安全需要的���、切實可行的安全管理制度勢在必行���。主要包括以下三方面的內(nèi)容:
4.1.1 成立信息安全管理機構���,引進信息安全專業(yè)技術人才,結合單位開展的工作特點��,從管理����、安全等級保護、安全防范����、人員管理等方面制定統(tǒng)管全局的網(wǎng)絡安全管理規(guī)定。
4.1.2 制定信息安全知識培訓制度�����,定期開展全員信息安全知識培訓���,讓全體員工及時了解計算機網(wǎng)絡安全知識最新動態(tài)�,結合信息安全事件案列�����,進一步強化職工對信息安全保密重要性的認識�。同時�����,對信息技術人員進行專業(yè)知識和操作技能的培訓���,培養(yǎng)一支具有安全管理意識的隊伍,提高應對各種網(wǎng)絡安全攻擊破壞的能力��。
4.1.3 建立信息安全監(jiān)督檢查機制����,開展定期或不定期內(nèi)部信息安全監(jiān)督檢查,同時將信息安全檢查納入單位季度�����、年度綜合目標責任制考核體系���,檢查結果直接與科室和個人的獎勵績效工資、評先評優(yōu)掛鉤�����,落實獎懲機制����,懲防并舉����,確保信息安全落實無死角����。
4.2 開展信息安全等級保護建設
開展信息安全等級保護建設,通過對公共衛(wèi)生行業(yè)處理��、存儲重要信息數(shù)據(jù)的信息系統(tǒng)實行分等級安全保護�,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應�、處置,建立健全信息安全應急機制�,定期對信息系統(tǒng)安全等保建設情況進行測評,存在問題及時整改�����,從制度落實���、安全技術防護����、應急處置管理等各個方面,進一步提高公共衛(wèi)生行業(yè)信息安全的防護能力���、應急處置能力和安全隱患發(fā)現(xiàn)能力����。
4.3 加強網(wǎng)絡安全技術防范
隨著信息技術的高速發(fā)展�����,信息網(wǎng)絡安全需要依托防火墻���、入侵檢測�、VPN等安全防護設施���,充分運用各個軟硬件網(wǎng)絡安全技術特點�����,建立安全策略層、用戶層�����、網(wǎng)絡與信息資源層和安全服務層4個層次的網(wǎng)絡安全防護體系,全面增強網(wǎng)絡系統(tǒng)的安全性和可靠性���。
4.3.1 防火墻技術�����。防火墻技術在公共衛(wèi)生行業(yè)網(wǎng)絡安全建設體系中發(fā)揮著重要的作用�,按照結構和功能通常劃分為濾防火墻��、應用防火墻和狀態(tài)檢測防火墻三種類型��,一般部署在核心網(wǎng)絡的邊緣����,將內(nèi)部網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離,有效地記錄Internet上的活動�����,將網(wǎng)絡中不安全的服務進行有效的過濾�,并嚴格限制網(wǎng)絡之間的互相訪問,從而提高網(wǎng)絡的防毒能力和抗攻擊能力���,確保內(nèi)部網(wǎng)絡安全穩(wěn)定運行����。
4.3.2 入侵檢測。入侵檢測是防火墻的合理補充�,是一種對網(wǎng)絡傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備���,檢測方法包括基于專家系統(tǒng)入侵檢測方法和基于神經(jīng)網(wǎng)絡的入侵檢測方法兩種����,利用入侵檢測系統(tǒng)�,能夠迅速及時地發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象����,幫助系統(tǒng)對付內(nèi)部攻擊和外部網(wǎng)絡攻擊,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵��,在安全審計�、監(jiān)視、進攻識別等方面進一步擴展了系統(tǒng)管理員的安全管理能力��,提高了信息安全基礎結構的完整性���。
4.3.3 虛擬專用網(wǎng)絡(VPN)技術���。VPN技術因為低成本、高度靈活的特點��,在很多行業(yè)信息化建設中被廣泛應用�����,公共衛(wèi)生行業(yè)也有很多信息系統(tǒng)都是基于VPN進行數(shù)據(jù)傳輸?shù)?,如中國疾病預防控制信息系統(tǒng)等,通過在公用網(wǎng)絡上建立VPN��,利用VPN網(wǎng)關將數(shù)據(jù)包進行加密和目標地址轉(zhuǎn)換�,以實現(xiàn)遠程訪問。VPN技術實現(xiàn)方式目前運用的主要有MPLS��、IPSEC和SSL三種類型�,中國疾病預防控制信息系統(tǒng)VPN鏈路網(wǎng)絡采用的就是IPSECVPN模式,利用VPN鏈路隧道����,實現(xiàn)國家到省、市���、縣四級的互聯(lián)互通和數(shù)據(jù)傳輸共享��。VPN通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證�����,將高度敏感的數(shù)據(jù)地址進行物理分隔���,只有授權用戶才能與VPN服務器建立連接����,進行遠程訪問�,避免非授權用戶接觸或竊取重要數(shù)據(jù),為用戶信息提供了很高的安全性保護��。
5 結語
在信息化高速發(fā)展的今天�,計算機網(wǎng)絡安全已經(jīng)成為影響公共衛(wèi)生行業(yè)健康穩(wěn)定發(fā)展的重要因數(shù),只有通過不斷完善網(wǎng)絡安全制度�,加大網(wǎng)絡安全軟硬件投入、強化安全防范技術�����、開展信息安全等級保護建設���、加快信息安全人才培養(yǎng)和網(wǎng)絡安全知識培訓等��,才能保障公共衛(wèi)生行業(yè)在良好的環(huán)境中有序�、順利的開展工作。
參考文獻
[1] 龐德明.辦公自動化網(wǎng)絡的安全問題研究[J].電腦知識與技術����,2009����,(6).
[2] 陳棠暉.淺析疾控系統(tǒng)的網(wǎng)絡安全[J].網(wǎng)絡安全技術與應用,2011����,(4).
