發布時間:2023-05-17 15:42:55
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全教育培訓樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
廣泛開展網絡安全宣傳教育,增強全社會網絡安全意識,國家網絡安全宣傳周就是一個很好的契機,下面小編給大家整理的國家網絡安全宣傳周活動心得體會范文五篇,希望大家喜歡!
國家網絡安全宣傳周活動心得體會范文一
為進一步推動網絡安全建設,加強網絡安全教育宣傳,市婦聯圍繞“網絡安全為人民,網絡安全靠人民”活動主題,多措并舉深入開展網絡安全宣傳周活動。
1、線上通過市婦聯的微信公眾號、微信群、QQ群進行網絡安全知識和相關活動情況的宣傳推送。
2、深入村(社區)“婦女之家”開展網絡安全宣傳周進社區活動。
刊江辦事處婦聯主席朱喜玉在朱木橋社區“婦女之家”以“網絡安全為人民,網絡安全靠人民”為主題向社區的婦女群眾宣傳講解了網絡安全知識。讓廣大婦女群眾了解網絡宣傳知識和防護技能。
3、線下組織巾幗志愿者宣傳網絡安全知識。
巾幗志愿者們通過發放宣傳手冊、解答咨詢等多種形式向過往居民宣傳講解。
通過宣傳教育活動,進一步普及網絡安全知識,增強網絡安全意識,切實做好婦女群眾、青少年網絡安全工作,為創建平安網絡奠定堅實的基礎。
國家網絡安全宣傳周活動心得體會范文二
為了給我校廣大師生普及網絡安全知識,提升網絡安全意識和防護技能,我校圍繞以“網絡安全為人民,網絡安全靠人民”為活動主題,開展了網絡安全公益短片展播,網絡安全宣傳手冊發放、網絡安全知識競答、校內網絡安全攻防比賽、網絡安全技術講座等系列活動,一項項活動展示了我校對普及網絡安全知識的重視,筑牢網絡安全防線、營造清朗網絡空間理念深入人心,內容豐富、形式多樣的網絡安全教育活動在學校引起熱烈反響。現將此次網絡安全宣傳周活動總結如下:
一、精心組織,多部門協作
根據教育廳《關于組織開展國家網絡安全宣傳周活動的通知》要求,我校認真制定了《開展國家網絡安全宣傳周暨新疆師范大學第二屆網絡安全宣傳周活動方案》,由黨委宣傳部、網信辦、團委、學生處、保衛處、各學院共同組織舉辦網絡安全教育活動、協調配合完成校園各類活動。
二、活動形式多樣、內容豐富
(一)開展校園網絡安全宣傳活動
1、通過建立網絡安全專題網站宣傳專題網站,相關的安全知識、法律法規及相關案例,并收集相關視頻、音頻、文字資料供廣大師生下載學習使用;
2、利用學校電子大屏、校園廣播和新媒體、宣傳板等做好宣傳,通過信息管理中心公眾號,QQ群、三校區特定位置網絡安全知識宣傳冊,以及放置網絡安全法宣傳海報、網絡安全知識海報等;
3、三校區LED屏滾動諸如“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”等標語;
4、在三校區食堂放置的電視上循環播放網絡安全公益短片
5、網絡安全宣傳手冊發放。
宣傳手冊涵蓋國家政策、網絡安全常識等內容,三校區共發放宣傳手冊3000余份。
由信息管理中心和計算機科學技術學院自主命題,通過校園網在線答題方式,引導師生主動學習網絡安全知識,對于前五十名成績優異的師生,給予獎勵。
(三)開展網絡安全攻防大賽
為選撥網絡安全人才、提高學生對網絡安全的學習興趣,為期兩天的網絡安全攻防大賽,取得良好成效。
三、效果明顯、深入人心
通過本次網絡安全宣傳周活動,全校師生對網絡安全有了更多的認識,了解了網絡安全的重要性,構筑出了網絡安全的第一道防線,在增強師生們的網絡安全防范意識和自我保護技能方面都取得了較好的效果。通過本次網絡安全宣傳周的活動,使得每位師生更扎實的理解網絡安全的重要性。
國家網絡安全宣傳周活動心得體會范文三
根據《關于轉發2020年廣東省網絡安全宣傳周活動方案的通知的通知》文件精神,學校開展了網絡安全宣傳周活動,現將活動情況總結如下:
在宣傳周期間,我校根據中央網信辦通知要求,通過主題宣傳教育活動,增強學校教職員工、學生網絡安全意識,提高網絡安全技能,營造網絡安全人人有責、人人參與的良好氛圍,保障用戶合法權益,號召大家共同來維護國家網絡安全。切實做好了全省教育系統倡導的“網絡安全宣傳周”活動。現將我校宣傳活動總結如下:
一、加強領導,責任到人
學校高度重視網絡安全宣傳周活動,由教務處牽頭,信息技術教研組落實,成立了網絡安全宣傳周活動領導小組,制定了宣傳周活動方案(詳見附件),確保網絡安全宣傳周活動有序有效開展。
二、宣傳周系列活動
1.觀看網絡安全相關視頻
我校由德育處曾志強主任牽頭,信息組鄒軍老師下載網絡安全等視頻,全校60個班利用晚修時間觀看網絡安全視頻,內容涉及到《網絡安全教育宣傳片》、《網絡安全宣傳片05》、《網絡安全宣傳片06》、《網絡安全小視頻》、《2020年國家網絡安全宣傳周》。
2.開展網絡安全主題班會課
由德育處安排統籌,信息教研組黃華平老師統一制作PPT課件,開始在全校各班利用班會課,同時在高一年級,利用信息技術課時間對學生開展了網絡安全為主題的普及教育課。各班在統一課件的基礎上,根據自己年級、班級特點進行適當的調整。對學生的教育收到了良好的效果。
3.利用多種手段進行宣傳
我們依托市的微課掌上通、學校微信公眾號、學校的校園廣播站等途徑對學生和家長進行網絡安全教育宣傳。還利用在國旗下的講話對網絡安全進行宣傳。
三、后記
本次首屆網絡安全周宣傳活動是與時俱進、具有積極意義的活動,特別對于正值青春期的高中生來講,學會如何防范如病毒木馬傳播、黑客攻擊破壞、網絡盜竊詐騙、有害信息蔓延、網絡游戲成癮等更是具有積極意義。我校通過此次“網絡安全宣傳周”活動加強了網絡安全宣傳教育,提升了學生們的網絡安全意識和基本技能,構筑出了網絡安全的第一道防線,在增強學生們的網絡安全防范意識和自我保護技能方面都取得了較好的效果。
國家網絡安全宣傳周活動心得體會范文四
為進一步提升全員網絡安全意識,增強企業網絡安全風險管控水平,近日,市局以“網絡安全為人民、網絡安全靠人民”為主題,扎實開展“國家網絡安全宣傳周”活動,營造起良好的網絡安全環境。
加強組織領導,層層分解責任。結合工作實際,制定“國家網絡安全宣傳周”活動計劃,健絡安全管理組織機構,細化安全主體責任和監管責任,落實終端病毒防控、日常運維監測、系統隱患整改等方面的管控措施,嚴防網絡安全事故發生。
加強宣傳引導,增強安全意識。強化網絡風險宣傳,定期通過微信群、微信公眾號等方式,對網絡詐騙手段、個人信息保護措施等進行專題推送;充分利用電梯間展示終端“使用頻繁、受眾廣泛”特點,選取網絡安全警示教育短片,進行全天滾動播出,引導全員了解網絡安全風險,培養安全意識。
加強教育培訓,有效防范風險。組織信息化方面骨干力量,到青島市局(公司)、中百集團等單位學習網絡安全風險管控措施和經驗;邀請信息化安全方面專家,采用觀看網絡安全警示教育片、實例講解、模擬故障處理等形式對網絡安全知識進行培訓,進一步提高網絡安全辨別能力和防御能力。
加強日常管控,提升應急處置能力。聯合專業機構,對應用系統、網絡核心設備等重點部位進行檢測,查找安全漏洞,采取有效防護措施;按照網絡安全應急預案演練方案,組織信息化部門人員定期演練,針對發現的問題,及時修訂完善應急預案,切實提升突發事件應急處置能力。
國家網絡安全宣傳周活動心得體會范文五
按照委網絡安全與信息化領導小組辦公室的統一部署,我局全力推動、積極組織第三屆國家網絡信息安全宣傳周相關活動。通過活動,全面加強了全局網絡安全工作,提高了干部職工網絡安全意識。依據《關于開展好全區第三屆國家網絡安全宣傳周活動的通知》(黨網辦發文1號)的相關要求,結合我局組織開展宣傳教育活動的實際情況,現將活動開展情況匯報如下:
一、加強網絡安全認真部署全局網絡安全意識
為切實抓好這次活動,自收到通知和全區活動方案后,我局召開黨組會,對全局開展國家網絡信息安全宣傳活動周作了詳細的布置,明確了相關人員的職責,會后轉發《關于開展好全區第三屆國家網絡安全宣傳周活動的通知》到機關各科室和機關各黨支部。要求各科室和機關各支部充分利用各種會議、活動、集體學習等有效形式,在全局廣泛宣傳和普及網絡安全教育的法律、法規政策和相關知識,強化全體職工對網絡安全教育工作的參與意識和責任意識。
二、精心組織狠抓落實
為確保宣傳周活動不走過場,達到預期效果,我局強化措施,狠抓落實,確保了活動取得實效。成立了以局長。黨組書記為組長的宣傳活動領導小組,全面負責本次宣傳活動的方案擬定、工作部署、組織協調等工作。領導班子成員各負其責,負責督導分管科室,全力按照區委領導小組和局領導小組的工作要求,做好本次宣傳周的活動。
三、形式多樣內容豐富
1、針對活動意義和活動目的,確定宣傳標語為:共建網絡安全,共享網絡文明。
通過宣傳欄和條幅的方式公開宣傳。
2、充分利用發放宣傳資料的方式,廣泛宣傳網絡安全教育相關知識。
3、全局組織統一培訓,對干部職工安全使用支付系統以及辦公網絡進行系統教育,上好網絡安全第一課.
4、局黨組成員和科室負責人簽署網絡安全責任書,確保責任到人、到崗。
5、組織了全局網絡使用情況摸底調查,對可能存在的網絡安全隱患進行排查。
四、效果明顯深入人心
1、經過這次活動,全局干部職工對網絡安全教育有了新的認識。
一是對網絡安全教育工作重視程度提高了,參與熱情提高了;二是對網絡安全的漏洞得以填補,使辦公網絡的使用更加安全。
2、全局干部職工的網絡安全意識明顯提高。
那么,在這場沒有硝煙的競爭中,中國需要什么樣的機制保證?中國信息安全的核心是什么?什么又是確定競爭成敗的關鍵和重中自重?
在回答這些問題之前,我們不妨先看看在信息安全領域走在前列的美國的做法。美國國家安全局(NSA)實施的“國家信息安全教育培訓計劃”,采用授權認可的管理方式,選擇了美國境內的23所高校,設立“信息安全保障教育和學術交流中心”,設置從職業培訓、學士、碩士到博士的系統課程。“9·11”后,由美國國家科學基金會每年配套專款獎學金500萬美元,資助全美信息安全人才的培養工作。美國奧巴馬政府更是把加強信息安全教育和人才隊伍培養列為保障網絡空間安全計劃的重點,以此來確保美國控制全球信息安全的絕對優勢。
相對于美國的信息安全培養工作,我國在信息安全人才的培養方面,在體系化、制度化、持續化、終生化方面仍存在大幅度提升的空間。國家有關部委已經意識到這個問題。2012年,《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號)明確提出要“支持信息安全與保密學科師資隊伍、專業院系、學科體系、重點實驗室建設。”雖然推出的時間相對較晚,但這一文件無疑全面回答了國人對國家信息安全領域的幾點追問:調動社會各界力量,培養以我為主的信息安全專業人才,是確保我國在“第五空間”享有自己話語權的切實保證。
信息安全是計算機、電子、通信、數學、物理、生物、法律、管理、教育等多學科的交叉科學。信息安全學科以密碼學為核心,以網絡安全、信息系統安全、內容安全為支撐,以國家和社會各領域信息安全防護為應用方向的交叉學科。
(湖州師范學院,浙江 湖州 313000)
摘要:大學生安全教育是高等教育的重要組成部分,隨著社會快速多元化發展、網絡尤其是無線網絡和移動終端的飛速普及以及學生層次質量等差距的進一步加大,對高校安全教育的形式、載體、內容及方法提出了更高的要求.深入研究大學生安全教育微課程資源的開發與應用,旨在提升高校安全教育工作的針對性、普及性和實效性.文章從微課程模式入手,對大學生安全教育資源的整合、平臺的建設進行了詳細分析,認為微課程資源的平臺功能應該包括核心教育服務、增值信息服務和在線互動服務等.
關鍵詞 :大學生;安全教育;微課程;應用
中圖分類號:G642文獻標識碼:A文章編號:1673-260X(2015)05-0222-02
大學生安全素養不僅是衡量學校安全教育質量的重要指標,也正成為高校文明程度的重要參考指數.大學生作為推動社會文明進步的主力軍,有必要進一步完善自身的安全知識體系和提高基本的安全防范技能.一方面,大學生在高中及以前的學習中多以文化知識為主,無更多時間更多精力深入細致地涉獵安全相關知識;另一方面,實現社會化是大學期間必須完成的任務,這一過程會面臨諸多安全隱患;另外大學生不單純是知識的學習者,而應該成為知識和技能的傳承者和傳播者,尤其是在安全教育領域,大學生應該充分發揮自身獨特的優勢.面對日趨復雜的社會環境,高校應該如何拓展安全教育領域,整合安全教育課程資源,搭建安全知識技能推廣平臺,以期進一步提高大學生安全素養,值得深入系統的研究.
1 理論綜述
作為一個新概念,微課程的定義在不斷演變和深化.微課程是以簡短、完整微型教學視頻為主要載體,針對某個學科知識點或教學環節而精心設計開發的一種以流媒體形式展示的半結構化、情景化、可動態生成與交互的課程資源.它可分為講授型、實驗型、答疑型、解題型等多種類別.微課程的核心內容是圍繞特定主題的教學視頻,同時還包含與該主題相關的學習指導單、教學設計(微教案)、素材課件(微課件)、練習測試(微測驗)、學生反饋(微反饋)、教師反思(微反思)等教學輔助資源.微課程具有主題明確、內容簡短、交互性強、模塊化、半結構化等特點.[1]金陵認為微課程這個術語并不是指為微型教學而開發的微內容,而是運用建構主義方法化成的、以在線學習或移動學習為目的的實際教學內容,是云計算、移動互聯環境下,有關單位課時教學活動的目標、任務、方法、資源、作業、互動、評價與反思等要素優化組合為一體的教學系統.[2]大學生安全教育內容廣泛、涉及面廣以及難成體系,與微課程具有形式多樣化、內容普及化、使用群體廣泛、渠道多樣、傳播效果裂變、交流互動及時等特點高度契合.最具代表性的微課程應用平臺是可汗學院(Khan Academy),該網站基于線上MOOC環境的建設,對安全教育微課程資源開發與應對具有很好的借鑒意義.
2 大學生安全教育微課程平臺的功能定位
大學生安全教育微課程平臺以其跨行業、跨地域、多學科交叉、技術密集、多方參與、系統擴展性強、開放性好的特點對大學生安全管理與教育構成了有力支持.教育部門可以利用大學生安全教育平臺豐富的資料庫以及開放性的互動平臺實現國家安全教育、治安安全教育、消防安全教育、交通安全教育、網絡安全教育、衛生安全教育、自然災害逃生教育等的信息化管理與服務.大學生安全教育平臺承擔安全管理過程中不同實體間的信息交換樞紐支持,提供多類核心信息服務及增值信息共享等功能服務,還提供在線互動交流功能等,詳見下圖:
其主要功能詮釋如下:
2.1 核心教育服務
包括國家安全教育、治安安全教育、消防安全教育、交通安全教育、網絡安全教育、衛生安全教育、自然災害逃生教育等,同時提供各類信息的實時查詢功能,實現信息共享與交互.其中國家安全教育主要包括維護國家安全、保守國家秘密、增強國防意識等;治安安全教育主要包括防盜搶、防詐騙、防滋擾、維護正常治安秩序等;消防安全教育主要包括消防基礎知識、高校典型的火災案例、如何防止火災事故發生、易燃易爆品保管和使用、火災的撲救與報警、疏散逃生技巧等;交通安全教育主要包括交通法律法規教育等;網絡安全教育主要包括網絡安全教育、網絡文明教育等;衛生安全教育主要包括衛生安全知識、身體健康知識、心理健康知識等;自然災害逃生教育主要包括地震、核輻射、雷電、洪水等.在核心教育服務模塊,平臺將采用文字、圖像、視頻等多樣的形式介紹各類安全教育知識和案例,避免安全知識與技能學習的單調性和枯燥性,增加其全面性及趣味性.
2.2 增值信息服務
包括專家在線講座、游戲模擬演練、實戰演練、工具下載、安全認證等,同時,平臺將實時提供最新的行業資訊、完善的政策法規及各類實用工具等相關信息,為教師與學生提供較為全面的安全教育增值服務,達到“一站式”服務的便捷高效.其中專家在線講座將根據實際情況定期邀請行業專家做客網站,為會員提供最新的安全教育等;游戲模擬演練將安全教育和網頁游戲相結合,堅持寓教于樂的理念,使枯燥而重要的安全教育娛樂化,讓用戶在玩中學到實用的減災防災技能,提高應對突發事故的能力等;目前大部分學生的安全意識及安全能力仍然只停留在表面,因此,平臺為一些學生提供參與安全實戰演練的機會,定期組織開展參觀各類安全主管部門,接受參加各類演練的預約,通過實戰提升學生的安全防范技能;對于網絡安全等方面,平臺將實時更新網絡安全的預防技巧及安全工具下載,確保學生掌握基本的網絡安全知識與技能等.
2.3 在線互動服務
包括智能搜索引擎服務、熱點問題深度剖析、專家在線咨詢服務及安全事件實時評論等功能,其中智能搜索引擎服務將根據用戶需求,為用戶提供最優學習套餐搭配及分級學習安全技能等服務;平臺將通過收集整理相關安全教育的信息數據,針對社會熱點問題邀請相關專家講師與學生互動交流,對其進行深度剖析,提升學生對安全問題的分析力等;專家在線咨詢服務將針對學生中出現的安全問題采取在線咨詢、排疑解難的方式幫助學生實時解答心理問題等;安全事件實時評論將針對突發的安全事件提供交流互動平臺,在分析事件本身的同時提升學生的安全意識和突發事件的應對能力.
3 大學生安全教育微課程平臺的邏輯構架——以消防安全教育為例
大學生安全教育微課程平臺提供一個統一的界面供用戶登陸,登陸之后,不同用戶進入不同的界面選擇自己需要的功能,整個網絡平臺的底層支持在于安全教育資源庫.
大學生安全教育網絡平臺中的消防子系統包括三個模塊:消防安全員模塊、會員模塊、管理員模塊.其中會員模塊除基本功能模塊外,還應包括增值信息服務模塊和在線互動模塊,以會員基本功能模塊為例,具體應包括以下四個部分:
3.1 檢查消除火災隱患的能力
第一,日常生活中的隱患檢查,如學生寢室內不能使用大功率用電器、使用臺燈要遠離易燃物、使用完電器應關閉電源、使用蚊香需擺放在開闊區域、不在宿舍內焚燒雜物等等.第二,新環境的消防檢查,如到賓館住宿首先要留意房間門后的疏散示意圖,到娛樂場所活動要檢查消防通道是否暢通,到大會堂或報告廳參加活動要確保“安全出口”指示燈正常工作且各安全出口處于開啟狀態,到大型超市等人員密集場所要留意消火栓和滅火器的位置.第三,工作中消防安全檢查,如下班后確保用電設備的電源均已關閉,工作環境內的消火栓能正常供水、水槍和水帶不缺少且能正常使用、滅火器數量和質量均能得到保證等.
3.2 組織撲救初起火災的能力
第一,認識火災,熟知火災的種類,掌握火災發展過程的時間與溫度關系圖,了解黃金的撲救時間是火災初起的七分鐘.第二,熟悉滅火器的類型和滅火器的使用方法.第三,熟知各類物質著火的應對方法,一旦出現火險知道如何應對,會使用滅火器,會報火警.
3.3 組織人員疏散逃生的能力
第一,各類滅火和應急疏散預案,如學生公寓、教室、實驗室、食堂、圖書館、大學生活動中心等地的滅火和應急疏散預案.第二,各類滅火和應急疏散預案的組織流程.第三,各類預案的模擬演練.
3.4 消防宣傳教育培訓的能力
第一,以職能部門的政策法規為主要內容,結合高校的實際情況對廣大師生進行宣傳教育.第二,以案例分析為載體,讓會員在分析案例的過程中找到應對各類消防事件的最佳途徑.第三,緊急情況下如何進行自救,如簡易防護法、結繩滑降法、休氏跳樓法、固守待援法等等.
如上所述的“四個能力”建設內容,可以通過漫畫、動畫、圖片、文字、視頻、游戲等形式,將教育內容具體化、趣味化.由于大學生安全教育平臺是一個非常復雜的學習支持與管理系統,對于在WEB環境下開展安全教育工作,尚處在探索階段,隨著教育信息化的發展,必將進一步摸索出更好的模式,網絡環境下的安全教育工作將成為高校安全教育的主流方式.
4 結束語
作為大學生安全教育的重要平臺,微課程將會發揮越來越重要的作用.隨著無線網絡和移動終端的普及以及APP技術的日臻完善,安全教育必將通過微課程模式在大學生的日常信息攝取中占到一席之地.學生可以通過這一形式的學習,為自己的大學生活及將來走向社會加上一道安全屏障.在社會向多元化高速發展的未來,安全教育微課程資源的開發與應用會變得更加重要,也會在更多人的關注和努力下日趨完善.
參考文獻:
關鍵詞:電力企業信息系統安全防護
前言
隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。
一、電力企業信息安全風險分析
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。
網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。
二、電力信息網安全防護方案
1、加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
2、電力信息安全防護技術措施
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。D M Z區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
三、電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
【關鍵詞】 煙草 信息安全 體系 建設
隨著煙草行業的不斷發展,企業對信息化建設的要求越來越高。目前,煙草行業,尤其是以地市級煙草企業為代表的卷煙銷售終端企業,在信息安全建設上給予的重視越來越高,資金的投入也越來越大,地市級煙草企業信息安全工作有了保障。
1 信息安全體系規劃原則
根據國家和行業信息安全相關政策和標準,安全體系規劃與設計工作遵循以下的建設原則:
(1)重點保護原則。針對核心的服務支撐平臺,應采取足夠強度的安全防護措施,確保核心業務不間斷運行。
(2)靈活性原則。因信息技術日新月異的發展,而相應的安全標準滯后,應靈活設計相應的防護措施。
(3)責任制原則。安全管理應做到“誰主管,誰負責”,注重安全規章制度、應急響應的落實執行。
(4)實用性原則。以確保信息系統性能和安全為前提,充分利用資源,保障安全運行。
2 信息安全體系管理范圍
以地市級煙草企業中心機房核心網絡和系統為主,覆蓋市局(公司)、各縣級局(營銷部)、基層專賣管理所等,安全體系包括范圍:應用安全、網絡安全、主機安全、數據安全、終端安全等。
3 信息安全體系規劃框架
按照等級化保護“積極防御、綜合防范”的方針,地市級煙草企業信息化建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力。
在綜合評估信息化安全現狀的基礎上,從管理和技術來進行信息安全管理工作。信息安全體系建設思路是:以保護信息系統為核心,嚴格參考等級保護的思路和標準,滿足地市級煙草企業信息系統在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求,為各項業務的開展提供有力保障。信息安全體系框架如圖1所示:
4 信息安全管理體系建設
從實際情況出發,體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。
4.1 組織機構
由決策機構、管理機構、和執行機構三個層面組成信息安全組織機構,并通過合理的組織結構設置、人員配備和工作職責劃分,對信息安全工作實行全方位管理。
4.2 安全制度
信息安全規章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統管理制度、機房管理制度、網絡管理制度等。
4.3 人員安全
通過管理控制手段,確保單位內部人員以及第三方人員的安全意識,包括人員的崗前安全技能培訓、保密協議的簽訂等幾個方面。
4.4 安全教育培訓
通過有計劃培訓和教育手段,確保工作人員充分認識信息安全的重要性,具備符合要求的安全意識、知識和技能,提高其進行信息安全防護的主動性、自覺性和能力。
5 信息安全技術體系建設
按照等級保護方法,對信息系統進行安全區域的劃分,并根據保護強度來采用相應的安全技術,實行分區域、分級管理。基礎性保護措施實現后,建立地市級煙草企業的信息安全管理平臺,對地市級煙草企業整體信息系統的統一安全管理。
5.1 劃分安全區域
根據信息化資產屬性,可劃分為服務器區域、終端區域。目前,各業務域的服務器直接連接至核心交換機,無法對各個服務器區之間劃分明確邊界,在服務器區和核心交換機之間增加匯聚交換機,服務器經過匯聚交換機的匯聚再上聯至核心交換機。對局域網按照業務功能區建立不同的VLAN,分別賦予相應級別的服務訪問權限和安全防護措施。安全域網絡拓撲如圖2示:
一級安全域包括范圍:地市級煙草企業辦公區域、縣公司辦公區域、移動訪問用戶區域。部署上網行為管理、殺毒軟件等防護措施。二級安全域包括對象:業務與管理服務器區域、網站服務器區域、公共平臺服務器區(防病毒服務器、網管服務器)等。部署操作系統加固、身份認證、漏洞掃描、文件數據加密以及安全審計等措施。三級安全域包括數據服務器區域、存儲備份區域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份,加載廣域網路由QOS策略,采用數據庫高強度口令訪問等措施。
5.2 保護計算環境
“云計算”和虛擬化技術的發展,打破了傳統意義上按物理位置劃分的計算環境。依照不同的保護等級,分別進行加強用戶身份鑒別、標記和強制訪問控制、系統安全審計、用戶數據完整性保護、保密性保護、系統安全監測等措施。
5.3 區域邊界保護
邊界保護是一組功能的集合,包括邊界的訪問控制、包過濾、入侵監測、惡意代碼防護以及區域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現保護。
5.4 通信網絡防護
信息系統的互聯互通是建立在安全暢通的通信網絡基礎之上。通訊網絡的構成主要包括網絡傳輸設備、軟件和通信介質。保護通信網絡的安全措施有:網絡安全監控、網絡審計、網絡冗余或備份以及可靠網絡設備接入。一是利用入侵防護系統以及UTM在關鍵的計算環境邊界,進行安全監控,防止非法的訪問;二是對骨干網中的防火墻設備進行配置,制定安全訪問控制策略,設置授信的訪問區域;啟用安全審計功能,對經過防火墻訪問關鍵的IP、系統或數據進行記錄、監控;通過網閘技術,對不同網絡進行物理隔離。通過VLAN技術對內部網絡進行邏輯隔離。
5.5 數據安全防護
建立數據安全備份和恢復機制,部署數據備份和恢復系統,制定相應的數據備份與恢復策略,完成對數據的自動備份,并建立數據恢復機制。建立異地數據級災備中心,在系統出現災難事故時,能夠恢復數據使系統應用正常運行。
5.6 信息安全平臺
隨著社會經濟的不斷發展,網絡時代逐漸進入人們的生活,計算機被運用在了各個領域中,成為促進社會發展的重要媒介。而與此同時,企業信息安全問題也逐漸凸顯出來,嚴重阻礙了企業的可持續發展,因此,在網絡時代背景下研究企業安全風險和控制具有重要意義。
1 企業信息安全相關概述
1.1 信息安全的含義
迄今為止,對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面,但是信息系統和網絡的影響決定了信息安全是一個動態的改變,其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2 信息安全在企業中發揮的重要作用
企業信息作為企業的寶貴資源,保證企業信息的安全性對企業的生存和發展具有重要作用,主要體現在以下3個方面:一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下,企業信息安全的內容更廣泛,再加上現代企業制度的不斷建立和完善,越來越多的企業依靠信息數據庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善,企業面臨的競爭也越來越激烈,在這種形勢下,企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分,而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的,這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來,因此,如果企業的信息安全無法得到保障,那么企業要實施各項戰略難度也很大。
2 網絡時代下企業信息安全風險分析
2.1 缺乏高度的信息安全風險意識
在網絡時代的浪潮下,很多企業都在逐步加強自身信息安全的建設,通過加大資金投入、創新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現,更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現在:個別人甚至片面地認為信息安全僅僅是網絡部門的責任,跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張,遭受網絡攻擊的概率小,一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系,再加上企業缺乏具體的故障系統,導致企業信息安全遭到風險時,員工往往手足無措,雖說有些企業針對自身的信息安全制定了一系列規章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。
2.2 應用系統的安全性不高
企業要實現信息化建設的目的,少不了各種應用系統作支撐,但是從實際情況來看,很多企業還存在著應用系統的安全性不高等問題,進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現非法訪問,進而引發企業信息丟失或者泄露等安全風險。另外,很多企業應用系統的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現對信息安全全方位的防范。另外,企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。
2.3 技術設備和設施的作用發揮不足
個別企業為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數設施不夠合理,無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控,進而不能根據企業的經營情況對信息安全進行風險控制,更無法采取有效措施保障企業風險管理。
3 網絡時代下控制企業信息安全風險途徑分析
3.1 加強信息安全教育,提高信息安全風險意識
由于在企業信息安全控制中,提高員工的信息安全意識是保證企業信息安全的決定性因素,因此,企業應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。
3.2 加強信息化建設,設置信息安全管理部門
在企業信息化建設中,信息安全作為重要的基礎,企業要強化自身的內部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內,進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯動管理機制,確保信息安全管理的有效性;最后,在企業中設置信息安全管理機構,該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業的信息安全風險控制創建一個良好的內部環境[2]。
3.3 運用新技術,加強信息安全風險防范
當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內部進行擴展可以實現遠程操作,建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系,從而確保信息交換的安全性,保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統,主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占,并阻斷非法訪問的外部網絡進入企業內部網絡,保證企業信息和資源的安全。
4 結 語
總之,網絡時代的產生為企業發展創造了新的模式和發展契機,但與此同時,企業的信息安全也面臨著很大的威脅,在很大程度上制約了企業的可持續發展。要實現對企業信息安全風險的控制,首先應該找準企業信息安全的風險點,然后采取對應措施,如:加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。
作者:袁亮 來源:中國管理信息化 2015年17期
1.1技術方面
計算機網絡從設計出來就存在著自身的缺點,對于找出其缺點存在的原因只是時間的問題。尤其是在一個互聯網廣泛應用的今天,計算機網絡中存在諸多安全隱患,一方面,對IP地址的劫持和對系統進行病毒攻擊是破壞網絡系統的主要殺手。通過利用網絡TCP/IP協議,偽造主機IP向相連計算機發送欺騙性的數據包,造成主機和網絡的癱瘓。雖然這些病毒不會對網絡系統中存在的數據造成太大的破壞,但是會導致計算機出現死機的現象,并且阻礙正常信息數據的錄入和輸入,導致醫院不能進行正常的工作,給醫院和患者帶來麻煩。另一方面,借助路由協議中存在缺陷對其進行攻擊導致網絡癱瘓、停止工作。通過利用路由協議中存在的缺點,使入侵者能夠對其自身進行偽裝,通過監聽來竊取醫院的醫療信息,導致醫療信息泄漏出去,對醫院造成嚴重經濟的損失和信任危機,同時使患者的信息也受到一定的侵害。
1.2人為因素
據相關統計數據顯示,某醫院三年內因為人為因素導致網絡設備系統非正常斷電所占比例是96.8%,其中有130起是因為醫院工作人員不小心碰到電源導致斷電。這一數據充分表明,人為因素對于醫院工作中的網絡安全造成重要影響。由于人為原因導致的斷電,對于平時運用計算機工作的部門,如藥房、收費等部門帶來工作上的麻煩。同時斷電導致整個醫院不能進行正常運營,對醫院和患者造成巨大的損失。雖然由于操作人員的失誤會帶給醫院工作上一定的麻煩,但是其他人為因素的惡意攻擊,導致醫院無法正常工作的最主要原因。人為惡意地對醫院網絡系統進行攻擊,它可以有選擇性地對醫院信息進行竊取、篡改,破壞醫院信息的完整性、有效性,對醫院的利益產生嚴重的影響。
2加強醫院計算機網絡安全維護與管理的具體措施
2.1加強計算機技術管理,提高網絡安全性
醫院日常工作中要加強對計算機的維護,及時更新計算機信息系統,具體要做到以下三方面:
(1)要建立網絡安全管理制度,保證醫院各科室人員能夠按照相應的規章制度嚴格執行各項操作和數據錄用工作,并定期由網絡安全管理人員進行計算機系統進行技術檢測、防火墻、病毒等情況進行分析,并提出解決辦法,實現計算機網絡的安全管理。
(2)對網絡訪問進行控制,設定密碼和訪問權限,安裝殺毒軟件,在每個重要的信息文件夾中都設置密碼,保證信息的安全性能,并對網絡的文件隨時進行掃描、檢測,加強網絡系統自身的安全防范工作。
(3)對醫院數據庫中的信息及時進行安全備份,保證信息的安全性和完整性,在用硬盤對計算機中的信息進行備份時,要徹底對硬盤和計算機進行殺毒工作,保證備份的信息是安全的,不攜帶任何病毒的。
2.2加強醫院內部工作人員管理,提高人員使用計算機的安全意識
醫院計算機網絡系統的安全工作,不僅限于對技術的維護,它包含多方面的共同管理保障其安全性。通過設置各種信息安全制度,定期進行計算機安全教育培訓,結合對計算機安全使用情況的考核等制度,來加強計算機內部人員的安全意識。同時組織網絡安全管理人員對計算機做定期的安全維護工作,保證信息的安全性,對網絡攻擊采取提前的防范措施,做到防患于未然,如掃描攻擊防范、分布式拒絕服務攻擊防范等,把網絡信息的安全維護工作納入計算機安全管理制度中,通過切實可行的管理辦法維護計算機的安全,推動醫院日常工作的正常運行。
3結語
(一)信息安全組織臨時化
通常,制造型企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件.出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續跟進和執行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升.
(二)員工上網無限制
雖然制造型企業為員工上網提供了用戶名及密碼,并且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁游覽、網絡社交等行為,并且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟件等創造了對企業內部網絡攻擊的機會.于是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失.
(三)個人移動設備(BYOD)使用泛濫
在制造型企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業內網的無線WiGFi,并擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險.
(四)信息安全防護水平有限
出于性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多制造型企業的廣泛采用.盡管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對制造型企業的業務帶來了不同程度的影響.同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處于高危狀態.不僅如此,部分制造型企業仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統一的管理平臺對企業內網的安全系統進行統一的升級與維護.另外,信息安全產品在企業內的無序堆疊不僅使得各安全產品存在兼容性問題,同時也使得各產品廠商只能提供與自己產品有關的技術支持,導致企業對問題很難進行跟蹤和排查.最后,企業電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統漏洞修補的不及時都造成了多病毒大面積入侵企業內網.
(五)信息安全事件處理不及時
制造型企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態.由于企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂.而且,企業各部門各自為政,對發生信息安全事件無法進行統一規范的快速處理.
二、制造型企業信息安全薄弱的原因
(一)員工信息安全意識淡薄
制造型企業員工信息安全意識比較淡薄,主要表現為企業管理層沒有充分認識到信息安全的重要性,沒有將信息安全管理工作與企業生產安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業帶來經濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業績壓力和資源限制的業務部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認為不采取安全防護措施不一定會造成損失.普通員工則表現在他們不了解什么信息安全,不知道遵守和執行信息安全制度對自己及企業帶來的影響,缺少必要的信息安全教育與培訓,有意或無意地導致信息安全事件的發生.
(二)信息安全技術體系不完善
信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數據安全相統一的信息安全技術體系,具體體現在企業使用的軟件設計存在缺陷或者技術漏洞、殺毒軟件不及時更新;信息系統設計沒有以風險評估為基礎、業務流程描述錯誤或漏洞、數據訪問權限設置不清晰、關鍵數據沒有備份等因素;物理安全邊界不明確、設備或存儲介質缺乏安全措施、電纜損壞、不可抗力的自然災害等.
(三)信息安全事件應急響應機制缺失
信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應急響應機制.制造型企業沒有對信息安全事件進行分級響應與處置,也沒有結合企業的實際情況通過預測、評估和分析安全事件對企業造成的后果程度進行等級劃分,并針對不同的安全事件制定相應的應急預案.同時,大部分制造型企業在處理信息安全事件時更多依靠的是人的經驗和責任心,缺少標準化的信息安全事件處理流程,以及必要的審核和工具支撐.
三、改進制造型企業信息安全的對策
通過上述分析可知,信息安全問題不僅出現在技術方面,還更多地出現在管理方面.因此,為了保障企業的業務持續運行,加強企業的股東、客戶以及服務提供商對企業信息安全的信任,增強企業的核心競爭能力,制造型企業可以將管理、技術和運維三方面有效地結合起來,促進企業的可持續發展.
(一)建立健全的信息安全組織層級結構
企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行.制造型企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部的層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責信息安全管理的工作人員構成,實施決策委員會制定的信息安全策略、制度和方針,并負責各部門的信息安全管理工作.信息安全執行部具體有三個部門,即信息安全規劃部、信息安全監督審計部、信息安全運行保障部,并且由各部門進行業務支撐。
(二)加強人員教育培訓和規范管理
信息安全最大的威脅不是來自于企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識.為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全.制造型企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定.對于企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主.除了對企業的人員進行教育培訓,還需對其進行規范化管理.對掌握產品生產、原材料采購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規范化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患.同時在規范管理中引入績效考核機制,這樣不僅使信息安全管理的指標量化,而且,通過信息安全監督審計工作組對員工信息安全工作進行考核,使員工更加重視企業信息安全.因此,加強企業員工的教育培訓和規范化管理,不僅可以營造企業信息安全文化氛圍,還可以約束員工的行為,減少人為因素導致的信息安全事件發生.
(三)完善信息安全技術體系
信息安全技術是企業信息安全的保障,完善的信息安全技術體系可以防止由于技術因素導致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術因素導致的信息安全事件發生.制造型企業需從以下六個方面去建立完善的信息安全技術體系,并采用“適度防御”的原則,選擇合適的安全技術與產品,形成企業適用的安全技術防線.一是保障并完善數據安全,制造型企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程復制與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失.二是保障并完善終端安全,制造型企業除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火墻而直接在系統內部傳播.三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全.四是保障和完善網絡安全,制造型企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免于網絡攻擊的同時,也提升了系統管理人員的安全管理水平.五是保障主機安全,除了采用系統掃描技術對操作系統層設備和系統進行智能化檢測來幫助網絡管理人員高效地完成定期檢測和操作系統安全漏洞修復的工作,還應采用系統實時入侵探測技術來監控主機系統事件,檢測攻擊的可疑特征,并給予響應和處理.六是保證物理安全,制造型企業需要保證機房與設施的安全,針對環境的物理災害、自然災害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設備的安全.
(四)建立信息安全事件應急響應機制
