序論:在您撰寫網(wǎng)絡(luò)安全培訓(xùn)技術(shù)時��,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度����。
第1篇
關(guān)鍵詞:信息網(wǎng)絡(luò)安全培訓(xùn)
兗礦魯南化肥廠(以下簡稱魯化)作為一個具有四十余年化工生產(chǎn)歷史的企業(yè)。近年來�����,生產(chǎn)經(jīng)營�、人員輸出、項目建設(shè)���、改革改制任務(wù)繁重����,給安全管理帶來更大的挑戰(zhàn)。面對安全管理的嚴峻形勢��,企業(yè)充分發(fā)揮科技創(chuàng)新優(yōu)勢���,積極探索利用信息化手段改進和提升安全教育培訓(xùn)水平����,將網(wǎng)絡(luò)信息技術(shù)與企業(yè)自身實際情況相結(jié)合���,構(gòu)架起符合魯化自身狀況��、具有企業(yè)特色的安全信息網(wǎng)絡(luò)平臺����。通過安全信息網(wǎng)絡(luò)平臺����,實施陽光安全教育培訓(xùn),使全員安全素質(zhì)和安全意識明顯提升�,進一步鞏固了企業(yè)良好的安全發(fā)展態(tài)勢。截至2011年12月31日��,累計實現(xiàn)安全生產(chǎn)4169天。
一���、安全信息網(wǎng)絡(luò)平臺系統(tǒng)的建立
(一)安全管理辦公自動化系統(tǒng)
包括公文管理���、公共信息、電子郵件以及其它應(yīng)用等模塊�����,根據(jù)安全生產(chǎn)的需要�,在內(nèi)部網(wǎng)站上專設(shè)了安全新聞���、基層安全通訊�、部門安全動態(tài)���、安監(jiān)在線�����、安全生產(chǎn)分析����、安全文件、和諧魯化���、“集思廣益”等欄目��,實現(xiàn)信息共享����、公開透明�����,提高了員工安全意識�����,自覺參與安全生產(chǎn)管理���。
(二)重大危險源視頻監(jiān)控系統(tǒng)
利用廠內(nèi)局域網(wǎng)已鋪設(shè)的主干光纖網(wǎng)絡(luò)����,設(shè)置重大危險源監(jiān)控點10個��,關(guān)鍵部位監(jiān)控點12個��,使網(wǎng)絡(luò)系統(tǒng)與監(jiān)控系統(tǒng)結(jié)合,通過網(wǎng)絡(luò)實現(xiàn)遠端監(jiān)控��,可多人同時監(jiān)控多個點�,即時傳輸圖像,無距離限制��,傳輸圖像無損失���,圖像式感官刺激��,激發(fā)了員工安全生產(chǎn)熱情�,各部門領(lǐng)導(dǎo)及相關(guān)人員均可利用計算機監(jiān)控相應(yīng)地點情況����,及時掌握并迅速處理突況��。
(三)網(wǎng)上培訓(xùn)��、考試與積分系統(tǒng)
創(chuàng)新安全培訓(xùn)管理����,開發(fā)了網(wǎng)上培訓(xùn)學(xué)習(xí)系統(tǒng)。針對人員分散�、倒班員工不易集中的特點���,利用現(xiàn)有網(wǎng)絡(luò)設(shè)立專欄,設(shè)立安全考試題庫和考核積分系統(tǒng)����,使各單位充分了解、掌握企業(yè)安全培訓(xùn)信息���,更好地組織培訓(xùn)和管理��,實現(xiàn)了網(wǎng)上培訓(xùn)與考核��。
(四)企業(yè)信息系統(tǒng)
在內(nèi)部網(wǎng)企業(yè)安全管理信息����,并利用手機短信群發(fā)系統(tǒng)�����,實現(xiàn)企業(yè)資料管理��、個人資料管理���、信息發(fā)送管理等�����,進一步提高了員工安全意識����。
二、信息網(wǎng)絡(luò)平臺在安全教育培訓(xùn)上的應(yīng)用
(一)建立科學(xué)的管理制度����,保證安全教育培訓(xùn)有效運行
為了使員工廣泛、及時���、迅速掌握生產(chǎn)單位的安全運行�����、安全管理、安全隱患排查和治理���、設(shè)備檢修����、?���;返谋O(jiān)控等情況���,實現(xiàn)安全工作動態(tài)監(jiān)控,更好地服務(wù)和支持安全生產(chǎn)工作���。企業(yè)制定和完善了《安全教育管理信息制度》�����、《兗礦魯南化肥廠安全教育工作體系》等�,要求各生產(chǎn)單位每天9:00將本單位安全生產(chǎn)有關(guān)情況的信息在內(nèi)部網(wǎng)上相關(guān)安全管理欄目���。廠安全監(jiān)察處設(shè)專人負責(zé)信息管理����,對有關(guān)建議�����、意見及安全管理方面的需求及時予以答復(fù)和服務(wù)����。
(二)依托辦公自動化系統(tǒng)(OA)���,實現(xiàn)“四全”安全管理
1、建立安監(jiān)在線����,對安全管理過程實施實時跟蹤監(jiān)控
為進一步強化安全管理,我廠自主開發(fā)了安監(jiān)在線軟件��?����!鞍脖O(jiān)在線”欄目設(shè)有干部下現(xiàn)場反饋情況�、當日單位出勤情況、當日安全活動開展情況�����、當日外來施工單位情況�����、當日動火作業(yè)基本情況��、當日檢修項目基本情況�、當日安全檢查基本情況及安監(jiān)在線歷史查詢十個子欄目,通過授權(quán)���,各處室���、分廠將有關(guān)信息及時上傳到相應(yīng)欄目,每天更新�����。全體員工均可了解現(xiàn)場人員��、檢修��、施工等具體情況�,使各級管理人員有的放矢地深入現(xiàn)場監(jiān)督檢查,從而發(fā)現(xiàn)問題�����、查找原因�、落實責(zé)任、制定措施���、督促整改��、檢查驗收�����,通過完善的閉環(huán)管理�,培養(yǎng)和鍛煉了員工良好的安全專業(yè)素質(zhì)。
2��、實施安全生產(chǎn)分析
創(chuàng)新安全理念����,堅持“每周一三五安全分析制度”。積極發(fā)動全廠各單位創(chuàng)新安全思維���,以生產(chǎn)現(xiàn)場存在的問題或現(xiàn)象為切入點��,收集安全管理上存在的問題�����,進而分析原因���,提出見解或解決辦法����,在廠內(nèi)部網(wǎng)上相互交流學(xué)習(xí)����。通過案例式剖析��,一方面對出現(xiàn)的問題從全局角度進行綜合分析��,提出整改措施并進行跟蹤��,避免“頭疼醫(yī)頭�、腳疼醫(yī)腳”;另一方面正面引導(dǎo)挖掘安全管理過程中的亮點�,給其他單位以借鑒。通過安全分析�����,為全廠員工提供了一個學(xué)習(xí)�、思考、借鑒的平臺��,從而達到減少和控制危害�、事故�����,更好地促進了安全生產(chǎn)工作���。
3、及時反映基層安全動態(tài)����。
企業(yè)內(nèi)部網(wǎng)設(shè)有安全新聞、基層安全通訊和部門安全動態(tài)等安全氛圍營造版塊�����,由黨務(wù)工作處和各基層單位根據(jù)總廠和各單位實際安全生產(chǎn)情況天天更新內(nèi)容����。為鼓勵安全信息的,成立安全教育培訓(xùn)通訊員網(wǎng)絡(luò)��,定期授課��,布置安全生產(chǎn)宣傳重點����,并對各單位安全教育培訓(xùn)情況實施獎懲考核����。引導(dǎo)安全教育培訓(xùn)通訊員及時捕捉基層安全生產(chǎn)點滴�,弘揚安全生產(chǎn)主旋律�,宣傳基層安全管理亮點和先進事跡,同時及時反饋基層關(guān)于安全生產(chǎn)的意見和建議����。
(三)依托重大危險源視頻監(jiān)控系統(tǒng),對關(guān)鍵部位���、關(guān)鍵設(shè)備實施不間斷全程監(jiān)控
重大危險源管理是化工企業(yè)安全管理的關(guān)鍵環(huán)節(jié)�����。我廠根據(jù)廠內(nèi)重大危險源分布情況��,購置網(wǎng)絡(luò)數(shù)字多媒體信息系統(tǒng)����,在廠區(qū)各重大危險源分別安裝了網(wǎng)絡(luò)數(shù)字化一體球���,實施24小時錄像監(jiān)控����。通過重大危險源視頻監(jiān)控系統(tǒng),生產(chǎn)調(diào)度管理人員可以實時查看各重大危險源的運行狀態(tài)和相關(guān)記錄數(shù)據(jù)����,及時發(fā)現(xiàn)設(shè)備的不正常狀態(tài),為迅速準確采取相應(yīng)措施����、防止事故發(fā)生起到了重要作用。
(四)依托網(wǎng)上培訓(xùn)教育系統(tǒng)�,提高員工自主安全學(xué)習(xí)意識
為加強員工的安全教育培訓(xùn),我們建立了網(wǎng)上培訓(xùn)����、考試與積分系統(tǒng)。該系統(tǒng)設(shè)有教育培訓(xùn)計劃��、實施�、評價體系。我廠定期按安全培訓(xùn)計劃在內(nèi)部網(wǎng)安全培訓(xùn)信息系統(tǒng)中公布安全學(xué)習(xí)通知和有關(guān)的學(xué)習(xí)內(nèi)容���。管理人員和員工可以自主選擇學(xué)習(xí)時間�,也可通過授權(quán)異地遠程登陸內(nèi)部網(wǎng)進行在線學(xué)習(xí)��、在線考試。建立網(wǎng)上員工學(xué)習(xí)檔案�,實施積分制管理,并對培訓(xùn)效果按季度���、半年����、全年進行評價�����。這套系統(tǒng)不但使員工能夠及時學(xué)習(xí)掌握安全生產(chǎn)方面的相關(guān)知識�����,也使安全學(xué)習(xí)有了更大的主動權(quán)����,提高了員工學(xué)習(xí)的自覺性和主動性����。
(五)依托安全信息網(wǎng)絡(luò)系統(tǒng),實現(xiàn)安全管理全員聯(lián)動
安全信息網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)上信息系統(tǒng)和手機短信群發(fā)系統(tǒng)�。利用網(wǎng)上信息系統(tǒng)�,及時公布安全文件制度信息����。通過內(nèi)部網(wǎng)安全管理和安全文件等版塊,一方面及時上傳企業(yè)內(nèi)部各種安全生產(chǎn)文件�、安全專項檢查信息、安全工作總結(jié)��、安全工作計劃等�����,使全體員工迅速了解安全生產(chǎn)形勢����。另一方面,根據(jù)安全檢查通報情況�����,及時整改現(xiàn)場存在的問題��,消除事故隱患���,保證安全生產(chǎn)��。
利用手機短信群發(fā)系統(tǒng)���,提高全員安全生產(chǎn)意識�����。每天給廠領(lǐng)導(dǎo)���、中層管理人員、安監(jiān)人員�、班組長分層次當日安全生產(chǎn)情況短消息,使干部員工及時掌握安全生產(chǎn)動態(tài)信息����。針對下雪��、降溫�、雷雨等特殊天氣,及時啟動應(yīng)急預(yù)案�����,利用手機群發(fā)短信在一分鐘內(nèi)即可將信息傳遞到每個員工��。
三、實施效果和基本經(jīng)驗
(一)提高安全管理效率����,降低管理成本
企業(yè)利用安全網(wǎng)絡(luò)信息平臺,把安全教育培訓(xùn)資源有效整合�,利用網(wǎng)絡(luò)信息手段進行溝通的比例顯著提高,比如在安全會議��、文件傳達���、部門討論�、問題跟蹤反饋等方面�,全部通過在企業(yè)內(nèi)部網(wǎng)安全信息網(wǎng)絡(luò)平臺上進行傳遞,工作效率明顯提高����。經(jīng)過授權(quán),通過計算機在任何地方����、任何時間,只要上網(wǎng)����,都能及時地查詢到企業(yè)安全管理信息���,實現(xiàn)了網(wǎng)絡(luò)學(xué)習(xí),使隨時隨地培訓(xùn)成為可能����。同時,大量節(jié)約了紙張���、復(fù)印�、電話����、傳真等費用,系統(tǒng)應(yīng)用為每個員工帶來了工作便利���,也使企業(yè)安全管理成本明顯降低。
(二)為提高員工安全素質(zhì)提供了新途徑
傳統(tǒng)的安全教育培訓(xùn)�����,采用講課和自學(xué)等枯燥�����、被動安全教育培訓(xùn)模式,而這種模式的培訓(xùn)效率和成本顯然不能很好地適應(yīng)現(xiàn)代安全管理的需求��。應(yīng)用安全信息網(wǎng)絡(luò)平臺進行公開����、引導(dǎo)式安全教育培訓(xùn),克服了廠內(nèi)不同單位����、不同部門、不同員工之間的溝通和管理障礙����,使普通員工可以與管理者直接交流。網(wǎng)上學(xué)習(xí)培訓(xùn)系統(tǒng)在應(yīng)用過程中實現(xiàn)了教育功能與現(xiàn)代管理觀念的傳遞��,培訓(xùn)與考試過程更加公開透明��,促進了員工的自主學(xué)習(xí)意識����,促進企業(yè)人員素質(zhì)整體提升。
(三)為企業(yè)安全管理決策提供依據(jù)
第2篇
一����、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)調(diào)研
(一)培訓(xùn)調(diào)查內(nèi)容
根據(jù)地區(qū)差異���,我們選擇有代表性的省份進行調(diào)查。本次調(diào)查共涉及16個省(市)����、自治區(qū),既包括經(jīng)濟發(fā)達的省份和直轄市�,比如山東、廣東��、浙江和天津;也包括經(jīng)濟處于中等的內(nèi)陸省份�����,比如山西���、四川��、河南�、安徽���、湖北�、湖南��、遼寧等省份;還包括經(jīng)濟相對低的西���、北部省份��,比如云南��、甘肅����、貴州��、青海等省份���。本次調(diào)查主要針對監(jiān)獄在網(wǎng)絡(luò)與信息安全方面的管理���、監(jiān)獄網(wǎng)絡(luò)建設(shè)中最關(guān)心的網(wǎng)絡(luò)安全問題、監(jiān)獄網(wǎng)絡(luò)采用的安全措施����、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全的軟硬件配置、監(jiān)獄干警對網(wǎng)絡(luò)與信息安全的重視程度����、監(jiān)獄干警對網(wǎng)絡(luò)與信息安全培訓(xùn)內(nèi)容要求���、監(jiān)獄每年在網(wǎng)絡(luò)與信息安全培訓(xùn)方面的預(yù)算、培訓(xùn)采取的方式�����、組織培訓(xùn)的機構(gòu)�����、目前培訓(xùn)存在的問題等內(nèi)容���。
(二)培訓(xùn)調(diào)查結(jié)果
1.監(jiān)獄在網(wǎng)絡(luò)與信息安全方面的管理���。通過對調(diào)查問卷的分析和相關(guān)監(jiān)獄一線干警人員的座談,監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)調(diào)查情況如下:大部分監(jiān)獄制定了監(jiān)獄網(wǎng)絡(luò)與信息安全管理制度�,確定了安全組織和責(zé)任人,并使用了防火墻和防病毒軟件;干警最關(guān)心的網(wǎng)絡(luò)安全問題是數(shù)據(jù)安全�、防病毒安全、存儲安全管理���,而對安全認證關(guān)心最少;大部分監(jiān)獄都采用物理隔離來保證監(jiān)獄外網(wǎng)及內(nèi)網(wǎng)中的信息安全�,但各監(jiān)獄部署入侵檢測(IDS)和使用數(shù)據(jù)傳輸安全相對較少;監(jiān)獄信息化建設(shè)中采用的網(wǎng)絡(luò)安全技術(shù)主要是加密和防病毒軟件,而電子簽名的應(yīng)用相對較少�����。
2.監(jiān)獄在網(wǎng)絡(luò)與信息安全方面的軟硬件配置�。目前監(jiān)獄網(wǎng)絡(luò)與信息安全人員的規(guī)模較小���,59%以上的監(jiān)獄都是在5人以下�����,但是監(jiān)獄網(wǎng)絡(luò)中的計算機數(shù)量最多比例的是100-500臺����,平均下來可能要一個干警管理100臺左右的計算機�����。這個工作量還是非常大的���,因此監(jiān)獄非常有必要擴大專業(yè)人才隊伍����,保障監(jiān)獄信息化網(wǎng)絡(luò)與信息安全。從監(jiān)獄在網(wǎng)絡(luò)安全設(shè)備上的投入可以看出監(jiān)獄每年投入在10萬以上的比例最高����,也說明了大部分監(jiān)獄已經(jīng)認識到了網(wǎng)絡(luò)與信息安全的重要性。
3.監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)現(xiàn)狀���。監(jiān)獄干警普遍對網(wǎng)絡(luò)與信息安全的需求強烈����,而這其中�����,網(wǎng)絡(luò)安全管理與維護�����、容災(zāi)備份與數(shù)據(jù)恢復(fù)尤為重要�����。監(jiān)獄培訓(xùn)費用每年在3000元以上占樣本空間的86%以上�。監(jiān)獄干警更希望在監(jiān)獄內(nèi)部進行培訓(xùn),培訓(xùn)能理論聯(lián)系實際,在培訓(xùn)中有針對性地解決實際工作中遇到網(wǎng)絡(luò)與信息安全問題�����。目前由公司或?qū)I(yè)培訓(xùn)機構(gòu)及高校舉辦的培訓(xùn)占據(jù)了70%��,由此可以說明這些是目前主要培訓(xùn)組織����。需要注意的是仍然有34%的人沒有參加過網(wǎng)絡(luò)與信息安全培訓(xùn)����,說明網(wǎng)絡(luò)與信息安全的培訓(xùn)還可進一步深入挖掘。已參加的培訓(xùn)�,主要還是側(cè)重管理、理論����、政策、產(chǎn)品介紹��,而真正用于網(wǎng)絡(luò)與信息安全實踐技能的培訓(xùn)還很少�。同時,系統(tǒng)化�����、層次化的培訓(xùn)也非常少,培訓(xùn)中涉及到的這兩方面的問題正是我們課題組主要研究的問題����。
二、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的構(gòu)建
(—)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)目標
近年來���,國內(nèi)外一些教育機構(gòu)和專業(yè)公司研究開發(fā)了一系列網(wǎng)絡(luò)與信息安全教學(xué)培訓(xùn)體系[M]����,國際上主要包括BS7799�、IS027000、CISSP�����、CISA��、CIW��、SANSGIAC等���,國內(nèi)主要有中國信息安全測評中心實施的CISP�、公安部等結(jié)構(gòu)的信息安全等級保護、啟明星辰的VCSE等����。這些培訓(xùn)大都注重理論,而實踐不強���,并且培訓(xùn)費用很高�。培訓(xùn)后���,把培訓(xùn)的內(nèi)容轉(zhuǎn)換為工作實踐,還需要花很長時間�。因此,研究基于職業(yè)導(dǎo)向的監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)需求�,制定一套適合全國監(jiān)獄信息化建設(shè)實際情況的監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)體系變得尤為重要而緊迫。
根據(jù)《全國監(jiān)獄信息化建設(shè)規(guī)劃》和全國監(jiān)獄信息化建設(shè)實際情況����,通常監(jiān)獄干警應(yīng)具有較強的信息安全意識,掌握網(wǎng)絡(luò)與信息安全基礎(chǔ)理論��,能熟練運用網(wǎng)絡(luò)與信息安全知識和技能完成較為復(fù)雜的網(wǎng)絡(luò)與信息安全保障工作��,能夠獨立解決網(wǎng)絡(luò)與信息安全工作中出現(xiàn)的常見問題���。為此�,監(jiān)獄信息化網(wǎng)絡(luò)與信息安全干警應(yīng)通過有規(guī)劃的培訓(xùn)和學(xué)習(xí),掌握網(wǎng)絡(luò)與信息安全管理理論知識�����,具有較強的網(wǎng)絡(luò)與信息安全實踐動手能力����、處理能力和應(yīng)變能力。為此��,本文制定了監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)目標����,主要涵蓋專業(yè)知識、專業(yè)技能和信息安全素養(yǎng)�����。
(二)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)內(nèi)容體系
通過對網(wǎng)絡(luò)工程和信息安全專業(yè)教學(xué)目標的比較分析�����、歸納總結(jié)��,結(jié)合司法部制定的《全國監(jiān)獄信息化建設(shè)規(guī)劃》、警察素質(zhì)和其職業(yè)能力特點���,以監(jiān)獄信息安全干警的職業(yè)為導(dǎo)向�,研究監(jiān)獄干警在監(jiān)獄信息化工作中的目標分工�,制定各個工作環(huán)節(jié)所要達到的要求和應(yīng)具備的職業(yè)技能,從而構(gòu)建監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)內(nèi)容體系�。考慮到不同監(jiān)獄信息化水平不一����,監(jiān)獄干警信息安全水平能力不一,因此本教學(xué)內(nèi)容體系采取抽取式�、模塊化、層次化教學(xué)內(nèi)容設(shè)計[5]8,各教學(xué)模塊用Ml到M13表示�,分別對應(yīng)信息安全概念和法規(guī)��、操作系統(tǒng)安全(Windows和Linux)�、網(wǎng)絡(luò)管理與組網(wǎng)、應(yīng)用服務(wù)器安全���、數(shù)據(jù)安全����、惡意代碼防范與處置、防火墻(Firewall)��、入侵檢測系統(tǒng)(IDS)���、網(wǎng)絡(luò)與信息安全滲透測試�����、密碼學(xué)��、信息安全審計���、數(shù)據(jù)恢復(fù)與容災(zāi)備份。其中M1是基礎(chǔ)模塊����,是后續(xù)模塊的先導(dǎo),M2到M13屬于獨立的教學(xué)模塊����,教學(xué)模塊順序和內(nèi)容可由培訓(xùn)教師自行選定。根據(jù)信息化要求�����,將M1-M3模塊定為初級水平;將M4-M7模塊定為中級水平;將M8-M13模塊定為高級水平。一般而言��,只有初級通過了才可以參加中級的培訓(xùn)和考核��,只有中級通過了才可以參加高級的培訓(xùn)和考核�����。監(jiān)獄信息化網(wǎng)絡(luò)與信息安全強調(diào)理論教學(xué)和實踐教學(xué)相結(jié)合����,二者融合貫通,因此在具體教學(xué)時��,在課時安排上要有針對性���。
(三)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)考核與評價體系
監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)體系注重理論和實踐相結(jié)合�����,強調(diào)二者融會貫通。因此考核方式為理論知識和實踐技能�����,理論知識考試為閉卷考試,占總成績的40%���,實踐技能考試占總成績的60%�����?��?紤]到監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字培訓(xùn)體系的長期性和穩(wěn)定性,理論考試一般通過在網(wǎng)絡(luò)上部署考試服務(wù)器����,建立考試題庫,進行隨機生成在線試卷����,保證參加考試時,每一個學(xué)員考試試題的唯一性和相對穩(wěn)定性����,提高考試的權(quán)威性。通過調(diào)研�����,我們也發(fā)現(xiàn)有相當一部分培訓(xùn)學(xué)員對信息安全行業(yè)部門的權(quán)威認證是比較認可的,因此可以和相關(guān)行業(yè)部門建立合作����,將他們的考核內(nèi)容納入到監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字培訓(xùn)體系的考核評價中,建立獨立的考核模塊�����,作為一個可選評價�。
由于網(wǎng)絡(luò)與信息安全是一個綜合性的學(xué)科,所以要求相關(guān)從業(yè)人員必須具備豐富的網(wǎng)絡(luò)與信息安全氣囊理論知識���,同時也有較強的實踐動手能力和解決問題的能力�,因此對實踐要求的比重要大于理論知識�����,同時對不同崗位��、不同知識技能設(shè)定不同的考核權(quán)重���,以此來進行考核與評定�。
<p style="text-align:center"
(四)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的構(gòu)建
建設(shè)監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)與交流網(wǎng)絡(luò)平臺是非常有必要的[6]����。為此,重點需要抓好以下五方面工作�。第一,通過該平臺可以網(wǎng)絡(luò)與信息安全培訓(xùn)課程通知����,監(jiān)獄干警可隨時查詢,根據(jù)自己的需要選擇相關(guān)的培訓(xùn)課程���。第二����,通過該平臺��,監(jiān)獄干警可在培訓(xùn)結(jié)束后���,將工作中遇到的問題向培訓(xùn)老師請教�,或者向同行業(yè)其他監(jiān)獄干警請教�����,避免培訓(xùn)后仍然不能和工作相結(jié)合的問題。通過該平臺加強全國各監(jiān)獄干警之間的信息化交流����,從而縮減各基層監(jiān)獄之間已造成的數(shù)字鴻溝,為監(jiān)獄信息化的建設(shè)與信息安全保障提供支持�,提高技術(shù)人員水平,避免一些重復(fù)建設(shè)���、促進信息化建設(shè)��。第三��,通過對監(jiān)獄干警提問的內(nèi)容進行整理�����,可以拓展培訓(xùn)中的實訓(xùn)內(nèi)容����,提高培訓(xùn)的效果�����。第四�,通過在該網(wǎng)絡(luò)平臺上提供相關(guān)培訓(xùn)資料��,實現(xiàn)了個性化培訓(xùn)和個性化服務(wù)[7]����,突破了以往固有的條件限制�。這樣���,任何干警可以不受時間和地點限制��,學(xué)習(xí)任意課程�、任意章節(jié)�,為監(jiān)獄干警進行主動學(xué)習(xí)提供一個平臺,實現(xiàn)了和短期培訓(xùn)互補���。第五��,通過吸引更多的IT公司為監(jiān)獄信息化建設(shè)及其信息安全提供服務(wù)����,該平臺也將為上級領(lǐng)導(dǎo)及時了解最新的監(jiān)獄信息化動態(tài)提供服務(wù)�����。
監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系模型見圖1所示。它以監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)與交流網(wǎng)絡(luò)平臺為依托���,在此基礎(chǔ)上將監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)目標����、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)內(nèi)容�����、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)教學(xué)組織與安排�����、監(jiān)獄信息化網(wǎng)絡(luò)與信息安全培訓(xùn)考核與評估互相銜接��,建立起監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的一個維度�����。它按照監(jiān)獄信息化網(wǎng)絡(luò)與信息安全本身崗位的需要設(shè)定了M1-M13模塊����,構(gòu)成了監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的第二個維度。對從事監(jiān)獄信息化網(wǎng)絡(luò)與信息安全干警的水平進行崗位績效考核與評估�����,可依據(jù)他們所具有的網(wǎng)絡(luò)與信息安全理論知識和實踐技能,進行評定�,設(shè)定初級、中級���、高級三個層次,然后再針對上述崗位設(shè)定需要滿足的技術(shù)和管理層次����。這,構(gòu)成了監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系的第三個維度���。
圖1監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系模型
通過建立開放性�����、數(shù)字化��、應(yīng)用性��、行業(yè)性���、抽取式�、模塊化����、職業(yè)性的監(jiān)獄信息化網(wǎng)絡(luò)與信息安全數(shù)字化培訓(xùn)體系,構(gòu)建了培訓(xùn)體系的長效機制�,從而實現(xiàn)以學(xué)員為中心,教學(xué)內(nèi)容與工作任務(wù)一體化�����、教學(xué)情境與工作環(huán)境一體化���、理論教學(xué)與實踐教學(xué)一體化�����、培訓(xùn)教師與行業(yè)管理一體化的多維度��、多層次的培訓(xùn)�。這��,為監(jiān)獄信息化建設(shè)的可持續(xù)性�、網(wǎng)絡(luò)與信息安全提供了重要的保障。
參考文獻:
[1]吳愛英.2007年5月29日在全國監(jiān)獄信息化建設(shè)工作會議上的講話[N].新華日報���,2007-05-30�,(1).
[2]思源新創(chuàng)信息安全資訊公司.國外信息安全培訓(xùn)及認證現(xiàn)狀和發(fā)展(上)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(11):12-14.
[3]思源新創(chuàng)信息安全資訊公司.國外信息安全培訓(xùn)及認證現(xiàn)狀和發(fā)展(下)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2004(12):12-13.
[4]劉小平���,宋建偉.國內(nèi)信息安全培訓(xùn)發(fā)展淺析[J].信息安全與技術(shù)����,2010(10):74-77.
[5]賈鐵軍���,常艷,等.網(wǎng)絡(luò)安全實用技術(shù)[M].北京:清華大學(xué)出版社��,2011.
[6]王惠鵬����,馬國富,等.網(wǎng)絡(luò)文化安全防范體系研究[J].重慶科技學(xué)院學(xué)報:社會科學(xué)版��,2012(4):45-47.
第3篇
關(guān)鍵詞:系統(tǒng)工程��;預(yù)警機制;安全管理��;安全服務(wù)
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施��,擔負著學(xué)校教學(xué)�、科研、管理和對外交流等許多重要任務(wù)��;在推動教育改革發(fā)展�����、促進思想文化科技交流�����、豐富師生精神文化生活和加強大學(xué)生思想政治教育等方面起到了積極作用���。但是我們也要看到�����,在健全制度�、形成機制�、網(wǎng)絡(luò)安全����、職責(zé)劃分等方面還存在問題和薄弱環(huán)節(jié)�����。因此�,我們應(yīng)該進一步采取有效措施,加強管理��,不斷促進校園網(wǎng)絡(luò)健康發(fā)展和良性運行����。建立一套切實可行的校園網(wǎng)絡(luò)安全預(yù)警機制,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題�����。
一����、校園網(wǎng)安全現(xiàn)狀分析
要構(gòu)建有效可行的校園網(wǎng)絡(luò)安全預(yù)警機制必須了解網(wǎng)絡(luò)安全現(xiàn)狀和存在的主要問題���。
以濱州醫(yī)學(xué)院校園網(wǎng)為例���,我校校園網(wǎng)絡(luò)自2000年成立以來��,形成了初步的安全管理制度��。技術(shù)方面���,根據(jù)校園網(wǎng)絡(luò)現(xiàn)狀,采用了瑞星殺毒軟件網(wǎng)絡(luò)版的分級管理����、多重防護體系作為校園網(wǎng)絡(luò)的防病毒管理架構(gòu),為我校校園網(wǎng)絡(luò)建立起一個比較完善的防病毒體系�。為打造網(wǎng)絡(luò)整體安全,如在濱州校區(qū)Internet與校園網(wǎng)的接口處采用了天融信防火墻�,對Internet與校園網(wǎng)之間進行隔離。針對網(wǎng)絡(luò)用戶盜用IP現(xiàn)象�,采用城市熱點軟件,進行IP綁定和賬戶維護���。網(wǎng)絡(luò)安全技術(shù)方面做了必要的防御措施����。
通過近幾年的網(wǎng)絡(luò)運行,隨著網(wǎng)絡(luò)數(shù)字化教學(xué)與辦公的應(yīng)用�����,網(wǎng)絡(luò)規(guī)模不斷擴大����,網(wǎng)絡(luò)建設(shè)和管理方面不可避免的暴露了一些問題:硬件設(shè)施日趨老化,網(wǎng)絡(luò)規(guī)模不斷擴大�,而網(wǎng)絡(luò)資金投入有限;管理制度不完善�,如在安全角色的定義上,我們設(shè)立了專門的人員負責(zé)相關(guān)操作的安全維護和安全檢查�。但實際上因為人員明確但人員的任務(wù)不明確,造成了安全角色劃分模糊��。網(wǎng)絡(luò)用戶教師和學(xué)生網(wǎng)絡(luò)水平不一�,安全意識不夠,基本防護措施掌握不到位等����,被動攻擊�、亡羊補牢。
二�����、校園網(wǎng)安全預(yù)警機制模型
校園網(wǎng)中針對網(wǎng)絡(luò)安全的預(yù)警機制研究不僅是一個非常重要的技術(shù)問題,還是一個較為復(fù)雜的系統(tǒng)工程�。校園網(wǎng)安全問題不僅涉及技術(shù)、產(chǎn)品�����;還要有安全管理和安全服務(wù)����,校園網(wǎng)安全預(yù)警機制不僅考慮網(wǎng)管員的技術(shù)支持,重要的是網(wǎng)絡(luò)安全預(yù)警機制的構(gòu)建是以安全策略為核心��,以安全技術(shù)作為支撐��,以安全管理作為落實手段����,并通過安全培訓(xùn)加強所有人的安全意識,完善安全體系賴以生存的大環(huán)境���。
實踐一再告訴我們�����,僅有安全技術(shù)防范���,而無嚴格的安全預(yù)警機制相配套����,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的��。必須制訂一系列安全管理制度�����,對安全技術(shù)和安全設(shè)施進行管理����。校園網(wǎng)網(wǎng)絡(luò)安全預(yù)警機制,必然要求網(wǎng)絡(luò)管理員�、用戶相配合,多層次�����、多方位的分析���、診斷校園網(wǎng)絡(luò)安全可能存在的問題���,做到防患、預(yù)后相結(jié)合��。由此我們提出如圖模型:
安全策略是整個校園網(wǎng)安全預(yù)警機制的核心���,安全技術(shù)是整個機制的支撐����。常見的安全技術(shù)和工具主要包括防火墻�、安全漏洞掃描、入侵檢測���,重要數(shù)據(jù)的備份恢復(fù)��,最基本的病毒防范等�。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全中直觀的部分�,缺少任何一種都會有巨大的危險。這就要求單位必須加大相應(yīng)的網(wǎng)絡(luò)投入����,對網(wǎng)絡(luò)管理人員進行相應(yīng)的培訓(xùn),對設(shè)備進行更新?lián)Q代��,對應(yīng)用系統(tǒng)及常用軟件進行必要的升級,做好網(wǎng)絡(luò)安全管理的技術(shù)支撐��。
安全管理貫穿整個安全預(yù)警機制��,是落實手段����。代表了安全預(yù)警機制中人的因素。安全管理不僅包括行政意義上的安全管理����,更主要的是對安全技術(shù)和安全策略的管理。實現(xiàn)安全管理必須遵循可操作���、全局性��、動態(tài)性��、管理與技術(shù)的有機結(jié)合�、責(zé)權(quán)分明���、分權(quán)制約及安全管理的制度化等原則����。單位專門設(shè)置主管領(lǐng)導(dǎo)、專管領(lǐng)導(dǎo)和使用部門分級負責(zé)��,按塊管理的模式�,逐步加強����,步步落實。
安全培訓(xùn):最終用戶的安全意識是信息系統(tǒng)是否安全的決定因素�,因此對校園網(wǎng)絡(luò)用戶的安全培訓(xùn)是整個安全體系中重要、不可或缺的一部分�����。根據(jù)學(xué)校實際情況�����,對師生進行網(wǎng)絡(luò)安全防范意識教育���,使他們具備基本的網(wǎng)絡(luò)安全知識�。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程���、人員出入機房管理制度��、工作人員操作規(guī)程和保密制度等)�。安排專人負責(zé)校園網(wǎng)絡(luò)的安全保護管理工作,對學(xué)校專業(yè)技術(shù)人員和用戶定期進行安全教育和培訓(xùn)���,提高技術(shù)人員和用戶的網(wǎng)絡(luò)安全的警惕性和自覺性�。
安全服務(wù):這是面向校園網(wǎng)絡(luò)管理的一個重要方面�����,通過網(wǎng)絡(luò)管理員對校園網(wǎng)各個網(wǎng)絡(luò)用戶進行技術(shù)解答�、對網(wǎng)絡(luò)設(shè)備進行安全檢查,對發(fā)現(xiàn)得的問題及時解決�����,采取上門服務(wù)�����,問卷調(diào)查����,定期回訪等方式,取得網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全問題的積極反饋,分別在系統(tǒng)級���、應(yīng)用級�����、用戶級等各個方面提高網(wǎng)絡(luò)服務(wù)質(zhì)量�����,做好網(wǎng)絡(luò)安全防護工作,真正發(fā)揮校園網(wǎng)絡(luò)服務(wù)教學(xué)的作用���。
三�、結(jié)論
一套可行有效的校園網(wǎng)安全預(yù)警機制必須不斷的實踐與探索��。在可能獲得的設(shè)備和條件的基礎(chǔ)上��,整合資源�,多層次、多方位的分析��、診斷校園網(wǎng)絡(luò)安全可能存在的問題��,從技術(shù)��、管理、服務(wù)等幾方面來來不斷的驗證并進行質(zhì)量的提升����。長期來看,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)����,只有通過綜合運用多項措施,加強管理��,建立一套真正適合校園網(wǎng)絡(luò)的預(yù)警機制����,提高校園網(wǎng)絡(luò)的安全防范能力與應(yīng)急處理能力,才能更好的給校園網(wǎng)用戶提供安全可靠的網(wǎng)絡(luò)運行環(huán)境����。
參考文獻:
[1]馮登國.國內(nèi)外信息安全研究現(xiàn)狀及發(fā)展趨勢(摘編)[J].信息網(wǎng)絡(luò)安全,2007,1:15-17
[3]王曉軍.公共機房針對ARP欺騙的診斷分析與防御[J].實驗室研究與探索.2009,8(28):8,56
[4]劉欽創(chuàng).關(guān)于高校校園網(wǎng)安全若干問題的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006,1(2):30-31
[5]楊尚森.網(wǎng)絡(luò)管理與維護技術(shù)[J].電子工業(yè)出版社,2006
第4篇
一、大型醫(yī)院網(wǎng)絡(luò)安全管理工作要點
(一)安全規(guī)劃為了能夠使信息化建設(shè)順利開展�,醫(yī)院必須要制定好全年的安全管理規(guī)劃。在制定計劃之前應(yīng)該對國家剛剛出臺的法律法規(guī)進行充分了解���,例如十三五規(guī)劃以及網(wǎng)絡(luò)安全法中所提出來的信息安全要求以及戰(zhàn)略�,進一步制定有利于區(qū)域醫(yī)聯(lián)體,互聯(lián)網(wǎng)醫(yī)療�,互聯(lián)網(wǎng)互通信共享平臺醫(yī)等網(wǎng)絡(luò)安全互聯(lián)策略,將相關(guān)的安全區(qū)域以及規(guī)則進行合理劃分���。另外醫(yī)院還要對過去一年有關(guān)安全保護的措施進行整理��,同時要對上級部門的檢查結(jié)果進行適當?shù)慕?jīng)驗總結(jié)�,根據(jù)已經(jīng)發(fā)生的問題制定整改計劃����,其中主要包括本年度應(yīng)該實行的長期整改方案以及完成工作的時間節(jié)點,有利于保證醫(yī)院的安全建設(shè)計劃更加清晰有效����。
(二)制度修訂與落實根據(jù)具體的整改和安全計劃制定醫(yī)院的安全管理制度��,還要對當前已經(jīng)實行的制度進行不定期的調(diào)整和審察��。根據(jù)醫(yī)院對實際發(fā)展情況的需求對其進行改善�����,最終由安全管理委員會對相關(guān)制度進行進一步的修訂評審���,完成之后需要通過信息中心進行信息的傳遞和��,讓在醫(yī)院工作的所有人員都能夠深刻了解具體安全管理的內(nèi)容以及審批流程��,這樣可以有效地提高醫(yī)院信息中心技術(shù)工作人員對操作的深刻了解�。另外還可以對制度配套的記錄單據(jù)以及審批過程進行進一步優(yōu)化,保障網(wǎng)絡(luò)準入��、物理變更���、人員管理�、權(quán)限分配�、數(shù)據(jù)統(tǒng)計等信息安全保護要求。
(三)安全培訓(xùn)要想進一步保證醫(yī)院網(wǎng)絡(luò)安全管理工作的落實����,必須要對相關(guān)的工作人員進行安全意識的培訓(xùn),在醫(yī)院信息安全培訓(xùn)制度的引導(dǎo)下制定適合工作人員的培訓(xùn)計劃����,針對進修醫(yī)師臨床管理人員和新入職的員工要每年培訓(xùn)一次,同時在培訓(xùn)過程當中還要進一步強調(diào)密碼安全���、防病毒知識����、風(fēng)險上報等意識。對于信息技術(shù)人員來說�����,必須要要進行每年2~4次的技術(shù)以及安全意識培訓(xùn)�����。其中網(wǎng)絡(luò)或者機房軟硬件變更后���,所掌握的故障以及問題處理和排查方式需要由培訓(xùn)中心提出����,在進行安全意識培養(yǎng)的過程當中��,主要內(nèi)容是強化信息技術(shù)人員的職業(yè)道德意識��。所有的安全培訓(xùn)過程都必須要實時準確的記錄下來����。
二�����、大型醫(yī)院網(wǎng)絡(luò)安全運維工作要點
大型醫(yī)院的網(wǎng)絡(luò)安全區(qū)域不可以只依靠一種防護措施,必須要進行差異性的防護��,在內(nèi)外網(wǎng)布置多臺的安全設(shè)備�,同時也要做好安全防護政策,在進行安全防護的時候���,大型醫(yī)院的網(wǎng)絡(luò)安全設(shè)備比較多���,安全策略需要及時調(diào)整,而且信息系統(tǒng)業(yè)務(wù)也比較復(fù)雜�,所以必須要對相關(guān)環(huán)節(jié)進行實時監(jiān)控,定期優(yōu)化和巡檢��,保證醫(yī)院網(wǎng)絡(luò)安全防護手段能夠始終發(fā)揮作用���,從而有效的防控風(fēng)險����。
(一)安全巡檢信息網(wǎng)絡(luò)中心工作中�,必須要做好巡檢規(guī)范的書面文字記錄,可以根據(jù)醫(yī)院的安全管理制度做好記錄����,同時安排好工作人員的排班情況�����,每日都要對機房內(nèi)設(shè)備環(huán)境數(shù)據(jù)庫狀態(tài)以及備份情況進行檢查��,同時還要將檢查的結(jié)果記錄下來�����,如果出現(xiàn)潛在風(fēng)險����,必須要及時反饋給管理人員進行解決�。網(wǎng)絡(luò)管理員還要通過現(xiàn)場巡視以及監(jiān)控平臺的方法對網(wǎng)絡(luò)設(shè)備進行巡檢,主要是對本地和異地所涉及到的備份內(nèi)容進行驗證和檢查����,特別是在非工作日以及節(jié)假日期間對重點設(shè)備進行備份,保證醫(yī)院在全年任何時間段都可以正常運轉(zhuǎn)�。
(二)設(shè)備優(yōu)化保證安全規(guī)劃管理正常運行的基礎(chǔ)上,要對網(wǎng)絡(luò)安全設(shè)備以及儲存設(shè)備進行優(yōu)化��,而且還要對磁盤陣列的CPU服務(wù)器以及內(nèi)存存儲空間進行適當?shù)財U充���,對于一些老化的線路和老舊的網(wǎng)絡(luò)設(shè)備要及時更換�,盡量延長網(wǎng)絡(luò)設(shè)備的壽命���,保證醫(yī)院網(wǎng)絡(luò)能夠穩(wěn)定應(yīng)用��。針對醫(yī)院內(nèi)網(wǎng)中的安全區(qū)間以及防火墻的策略以及性能要進行及時檢查���,以免影響工作,及時管理好網(wǎng)串聯(lián)鏈路上的單點設(shè)備�,保證互聯(lián)網(wǎng)業(yè)務(wù)內(nèi)外網(wǎng)之間的聯(lián)系通暢。
(三)安全監(jiān)控與加固安全設(shè)備部署以及網(wǎng)絡(luò)安全防護工作需要對各類安全風(fēng)險監(jiān)控進行加強和管理���,可以通過惡意代碼防護系統(tǒng)以及防毒墻來控制網(wǎng)絡(luò)病毒風(fēng)險�����,出現(xiàn)了新型病毒需要及時關(guān)閉終端高危端口�����,并對服務(wù)器的防病毒系統(tǒng)進一步升級����,保證在發(fā)現(xiàn)病毒之后能夠及時的查殺。最后還要對出現(xiàn)的高危風(fēng)險以及漏洞進行總結(jié)����,制定相應(yīng)的修復(fù)方案以及安全策略,保證在不影響醫(yī)院業(yè)務(wù)運行的同時增強對防護系統(tǒng)的管理��。
第5篇
制定網(wǎng)絡(luò)安全基線
網(wǎng)絡(luò)安全基線是阻止未經(jīng)授權(quán)信息泄露�����、丟失或損害的第一級安全標準�����。確保與產(chǎn)品相關(guān)的人員���、程序和技術(shù)都符合基線��,將有效提高政府的網(wǎng)絡(luò)安全等級����。網(wǎng)絡(luò)安全基線應(yīng)體現(xiàn)在采辦程序的技術(shù)需求以及性能標準中�,以明確在整個采辦生命周期內(nèi)產(chǎn)品或服務(wù)的網(wǎng)絡(luò)風(fēng)險。由于資源有限以及采辦中風(fēng)險的多樣性,政府應(yīng)采取漸進和基于風(fēng)險的方法���,逐步增加超越基線的網(wǎng)絡(luò)安全需求。這種需求應(yīng)在合同內(nèi)清晰且專門列出����。
開展網(wǎng)絡(luò)安全培訓(xùn)
政府應(yīng)對工業(yè)合作伙伴開展采辦網(wǎng)絡(luò)安全培訓(xùn)。通過這種培訓(xùn)向工業(yè)合作伙伴明確展示�,政府正通過基于風(fēng)險的方法調(diào)整與網(wǎng)絡(luò)安全相關(guān)的采購活動,且將在特定采辦活動中提出更多網(wǎng)絡(luò)安全方面的要求����。
明確通用關(guān)鍵網(wǎng)絡(luò)安全事項定義
明確聯(lián)邦采辦過程中關(guān)鍵網(wǎng)絡(luò)安全事項的定義將提高政府和私營部門的效率和效益。需求的有效開發(fā)和完善很大程度上依賴于對關(guān)鍵網(wǎng)絡(luò)安全事項的共同認識��。在采辦過程中��,不清晰���、不一致的關(guān)鍵網(wǎng)絡(luò)安全事項定義將導(dǎo)致網(wǎng)絡(luò)安全不能達到最優(yōu)效果�����。定義的清晰界定應(yīng)建立在公認或國際通用的標準上�。
建立采辦網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略
政府需要一個部門內(nèi)普遍適用的采辦網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略。該戰(zhàn)略將成為政府企業(yè)風(fēng)險管理戰(zhàn)略的一部分����,并要求政府部門確保其行為符合采辦網(wǎng)絡(luò)風(fēng)險目標。該戰(zhàn)略應(yīng)建立在政府通用的采辦愿景基礎(chǔ)上��,并與美國家標準與技術(shù)研究院制定的“網(wǎng)絡(luò)安全框架”相匹配�。戰(zhàn)略應(yīng)為采辦建立網(wǎng)絡(luò)風(fēng)險等級,并包含基于風(fēng)險的采辦優(yōu)先次序��。戰(zhàn)略還應(yīng)包含完整的安全需求�����。制定戰(zhàn)略時�,政府應(yīng)將網(wǎng)絡(luò)風(fēng)險列入企業(yè)風(fēng)險管理,并積極與工業(yè)界��、民間和政府機構(gòu)以及情報機構(gòu)合作�����,共享已驗證的�����、基于結(jié)果的風(fēng)險管理程序和最佳經(jīng)驗。
加強采購來源的網(wǎng)絡(luò)風(fēng)險管控
確保提供給政府的產(chǎn)品真實���、未被篡改和替代是降低網(wǎng)絡(luò)風(fēng)險的重要環(huán)節(jié)���。偽冒產(chǎn)品往往不能進行安全更新,或達不到原始設(shè)備制造商產(chǎn)品的安全標準��。政府需要從原始設(shè)備制造商�、授權(quán)商獲取產(chǎn)品�����,或者從合格供應(yīng)商表中確定可信采購來源�����。政府通過一系列基于采辦類型的網(wǎng)絡(luò)安全標準���,評估供應(yīng)商的可信情況�����,建立合格供應(yīng)商表�����。即便來自可信采購來源的產(chǎn)品也可能存在網(wǎng)絡(luò)安全缺陷���。對此���,政府應(yīng)限制原始設(shè)備制造商、授權(quán)商以及可信供應(yīng)商的來源�,并將資格要求貫徹到全采辦生命周期。政府從供應(yīng)商獲取產(chǎn)品或服務(wù)時�,若供應(yīng)商未與原始設(shè)備制造商建立信任關(guān)系,政府應(yīng)要求其就產(chǎn)品的安全和完整性提供擔保�����。
第6篇
第二條本省行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護��,適用本細則�。
軍隊的計算機信息系統(tǒng)安全保護工作,按照軍隊的有關(guān)法規(guī)執(zhí)行�����。
第三條縣級以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負責(zé)主管本行政區(qū)域內(nèi)的計算機信息系統(tǒng)安全保護工作��。
第二章安全監(jiān)督
第四條公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對計算機信息系統(tǒng)安全保護工作行使下列職責(zé):
(一)監(jiān)督、檢查��、指導(dǎo)計算機信息系統(tǒng)安全保護工作��;
(二)組織實施計算機信息系統(tǒng)安全評估�、審驗;
(三)查處計算機違法犯罪案件�����;
(四)組織處置重大計算機信息系統(tǒng)安全事故和事件���;
(五)負責(zé)計算機病毒和其他有害數(shù)據(jù)防治管理工作;
(六)對計算機信息系統(tǒng)安全服務(wù)和安全專用產(chǎn)品實施管理��;
(七)負責(zé)計算機信息系統(tǒng)安全培訓(xùn)管理工作��;
(八)法律���、法規(guī)和規(guī)章規(guī)定的其他職責(zé)���。
第五條公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對重點安全保護單位計算機信息系統(tǒng)的安全檢查,每年不應(yīng)少于一次��。
第六條公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門采取24小時內(nèi)暫時停機、暫停聯(lián)網(wǎng)�、備份數(shù)據(jù)等緊急措施須經(jīng)縣級以上公安機關(guān)批準。
第七條公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門與所在地安全服務(wù)機構(gòu)����、互聯(lián)網(wǎng)運營單位和其他計算機信息系統(tǒng)使用單位應(yīng)當建立聯(lián)防機制,依法及時查處通過計算機信息系統(tǒng)進行的違法犯罪行為�,組織處置重大突發(fā)事件。
第三章安全保護責(zé)任
第八條單位和個人應(yīng)當對其所有���、使用和管理的計算機信息系統(tǒng)承擔相關(guān)的安全保護責(zé)任����。
提供接入服務(wù)和信息服務(wù)以及主機托管���、虛擬主機����、網(wǎng)站和網(wǎng)頁信息維護等其他服務(wù)的單位應(yīng)當和用戶在合同中明確雙方的計算機信息系統(tǒng)安全保護責(zé)任��。提供服務(wù)的單位應(yīng)當承擔與其提供服務(wù)直接相關(guān)的安全保護義務(wù)����。
第九條網(wǎng)吧�、社區(qū)����、學(xué)校、圖書館�����、賓館等提供上網(wǎng)服務(wù)的場所和互聯(lián)網(wǎng)運營單位應(yīng)當落實相應(yīng)的安全措施�����,安裝已取得《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的安全管理系統(tǒng)���。
第十條計算機信息系統(tǒng)使用單位和個人為了保護計算機信息系統(tǒng)的安全,可以與安全服務(wù)機構(gòu)明確服務(wù)項目和要求�����,建立相對穩(wěn)定的服務(wù)關(guān)系���。
第四章安全專用產(chǎn)品
第十一條計算機信息系統(tǒng)安全專用產(chǎn)品生產(chǎn)單位在其產(chǎn)品進入本省市場銷售前��,應(yīng)當取得公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》���,并報省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案�。
第十二條本省安全專用產(chǎn)品生產(chǎn)單位應(yīng)當在領(lǐng)取營業(yè)執(zhí)照后30日內(nèi)持下列資料到省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案��。
(一)單位簡況�����;
(二)營業(yè)執(zhí)照復(fù)印件�����;
(三)安全專用產(chǎn)品類型��、功能等情況�;
(四)主要技術(shù)人員資格證書復(fù)印件。
第十三條銷售信息網(wǎng)絡(luò)安全檢測產(chǎn)品的單位應(yīng)當在領(lǐng)取營業(yè)執(zhí)照后30日內(nèi)向地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門申請備案����,填寫《廣東省信息網(wǎng)絡(luò)安全檢測產(chǎn)品銷售備案表》,并提交如下資料:
(一)單位簡況�;
(二)營業(yè)執(zhí)照復(fù)印件;
(三)信息網(wǎng)絡(luò)安全檢測產(chǎn)品銷售和售后服務(wù)管理制度�����;
(四)主要技術(shù)人員資格證書和銷售人員有效證件復(fù)印件。
第十四條信息網(wǎng)絡(luò)安全檢測產(chǎn)品只限于單位購買使用��。購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品的單位應(yīng)當指定專人管理和使用��,不得出租��、出借�、轉(zhuǎn)讓、贈送��,不得擅自用于檢測他人計算機信息系統(tǒng)�����。
用戶購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品�,應(yīng)當持單位的證明文件到所在地地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù),公安機關(guān)應(yīng)當在15日內(nèi)予以辦理�,發(fā)給《信息網(wǎng)絡(luò)安全檢測產(chǎn)品購買備案表》;不予辦理的��,應(yīng)當書面說明理由�����。
用戶應(yīng)當憑《信息網(wǎng)絡(luò)安全檢測產(chǎn)品購買備案表》購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品���。投入使用后���,應(yīng)當在10日內(nèi)將本單位的《用戶IP地址配置備案表》報送所在地地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。
第十五條信息網(wǎng)絡(luò)安全檢測產(chǎn)品銷售單位應(yīng)當查驗用戶的《購買信息網(wǎng)絡(luò)安全檢測產(chǎn)品備案表》后方可銷售�����。
銷售信息網(wǎng)絡(luò)安全檢測產(chǎn)品的單位����,應(yīng)當負責(zé)產(chǎn)品的使用授權(quán)和維護、更新�����。
第五章安全服務(wù)機構(gòu)
第十六條安全服務(wù)資質(zhì)實行等級管理����,分一、二����、三、四級。各等級所對應(yīng)的承擔工程的資格如下:
(一)一級:可承擔所有計算機信息系統(tǒng)安全設(shè)計�、建設(shè)、檢測�;
(二)二級:可獨立承擔第一級、第二級�����、第三級�����、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統(tǒng)安全設(shè)計����、建設(shè)、檢測����,合作承擔第五級安全保護等級或安全投資總額為300萬元以上的計算機信息系統(tǒng)安全設(shè)計、建設(shè)�、檢測;
(三)三級:可獨立承擔第一級��、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統(tǒng)安全設(shè)計����、建設(shè)、檢測���,合作承擔第三級��、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統(tǒng)安全設(shè)計�、建設(shè)��、檢測�����;
(四)四級:可獨立承擔第一級�����、第二級安全保護等級且安全投資總額為50萬元以下的計算機信息系統(tǒng)安全設(shè)計�、建設(shè),合作承擔第一級�、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統(tǒng)安全設(shè)計、建設(shè)��。
第十七條各安全服務(wù)資質(zhì)等級條件如下:
一級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照�;
(二)注冊資本1200萬元以上����,近3年的財務(wù)狀況良好�;
(三)近3年完成計算機信息系統(tǒng)安全服務(wù)項目總值3000萬元以上,并承擔過至少1項450萬元以上或至少4項150萬元以上的項目��;所完成的安全服務(wù)項目中應(yīng)具有自主開發(fā)的安全產(chǎn)品����;服務(wù)費用(含系統(tǒng)設(shè)計費、軟件開發(fā)費�����、系統(tǒng)集成費和技術(shù)服務(wù)費)應(yīng)占工程項目總值的30%以上(即不低于900萬元)�;工程按合同要求質(zhì)量合格,已通過驗收并投入實際應(yīng)用���;
(四)具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于50人����,其中大學(xué)本科以上學(xué)歷的人員不少于40人��;
(五)安全服務(wù)工作的管理人員應(yīng)當具有5年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷�����,技術(shù)負責(zé)人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于5年��;
(六)具有較強的綜合實力���,有先進、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備���,具有較強的技術(shù)開發(fā)能力���;
(七)具有完善的組織管理制度、質(zhì)量保證體系和客戶服務(wù)體系����,實行工程標準化管理和量化控制,并能不斷改進����;
(八)具有系統(tǒng)的對員工進行新知識、新技術(shù)培訓(xùn)的計劃����,并能有效地組織實施����。
(九)竣工項目均通過驗收����;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關(guān)法律法規(guī)的行為。
二級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照��;
(二)注冊資本500萬元以上����,近3年的財務(wù)狀況良好;
(三)近3年完成計算機信息系統(tǒng)安全服務(wù)項目總值1500萬元以上�����,并承擔過至少1項225萬元以上或至少3項120萬元以上的項目��;所完成的安全服務(wù)項目中應(yīng)具有自主開發(fā)的安全產(chǎn)品��;服務(wù)費用(含系統(tǒng)設(shè)計費���、軟件開發(fā)費�����、系統(tǒng)集成費和技術(shù)服務(wù)費)應(yīng)占工程項目總值的30%以上(即不低于450萬元)�����;工程按合同要求質(zhì)量合格����,已通過驗收并投入實際應(yīng)用�����;
(四)具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于40人�,其中大學(xué)本科以上學(xué)歷的人員不少于30人;
(五)安全服務(wù)工作的管理人員應(yīng)當具有4年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷�����,技術(shù)負責(zé)人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱����,從事計算機信息系統(tǒng)安全集成工作不少于4年;
(六)具有先進�����、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備,有較強的技術(shù)開發(fā)能力�����;
(七)具有完善的組織管理制度�、質(zhì)量保證體系和客戶服務(wù)體系,實行工程標準化管理和量化控制���;
(八)具有系統(tǒng)的對員工進行新知識�����、新技術(shù)培訓(xùn)的計劃�,并能有效地組織實施�����;
(九)竣工項目均通過驗收�����;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關(guān)法律法規(guī)的行為��。
三級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本100萬元以上�,近3年的財務(wù)狀況良好;
(三)近3年完成計算機信息系統(tǒng)安全服務(wù)項目總值600萬元以上�;服務(wù)費用(含系統(tǒng)設(shè)計費、軟件開發(fā)費��、系統(tǒng)集成費和技術(shù)服務(wù)費)應(yīng)占工程項目總值的30%以上(即不低于180萬元)�;工程按合同要求質(zhì)量合格,已通過驗收并投入實際應(yīng)用�����;
(四)具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于20人�����,其中大學(xué)本科以上學(xué)歷的人員不少于15人�;
(五)安全服務(wù)工作的管理人員應(yīng)當具有3年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷�����,技術(shù)負責(zé)人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱�����,從事計算機信息系統(tǒng)安全集成工作不少于3年�����;
(六)具有與所承擔項目相適應(yīng)的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備,具有一定的技術(shù)開發(fā)能力��;
(七)具有完善的組織管理制度�����、質(zhì)量保證體系和客戶服務(wù)體系����,實行工程標準化管理;
(八)具有系統(tǒng)的對員工進行新知識�、新技術(shù)培訓(xùn)的計劃,并能有效地組織實施����;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關(guān)法律法規(guī)的行為����。
四級資質(zhì):
(一)具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本30萬元以上��,近3年的財務(wù)狀況良好;
(三)具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于15人����;
(四)安全服務(wù)工作的管理人員應(yīng)當具有2年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷,技術(shù)負責(zé)人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱��,從事計算機信息系統(tǒng)安全集成工作不少于2年�����;
(五)具有與所承擔項目相適應(yīng)的軟件及系統(tǒng)開發(fā)環(huán)境和設(shè)備���,具有一定的技術(shù)開發(fā)能力�;
(六)具有較為完善的組織管理制度�、質(zhì)量保證體系和客戶服務(wù)體系;
(七)具有系統(tǒng)的對員工進行新知識��、新技術(shù)培訓(xùn)的計劃�����,并能有效地組織實施���;
(八)竣工項目均通過驗收;
(九)無觸犯計算機信息系統(tǒng)安全保護等有關(guān)法律法規(guī)的行為。
第十八條申請安全服務(wù)資質(zhì)�����,應(yīng)當持下列資料向地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請:
(一)申請書����;
(二)營業(yè)執(zhí)照復(fù)印件;
(三)管理人員和專業(yè)技術(shù)人員的身份證明�、學(xué)歷證明和計算機安全培訓(xùn)合格證書;
(四)技術(shù)裝備情況及組織管理制度報告��。
地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到申請材料之日起15日內(nèi)對申請材料進行初審���。初審合格的����,報送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門核準�����;初審不合格的�,退回申請并說明理由。
省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到初審材料之日起15日內(nèi)進行審查�,符合條件的�����,核發(fā)資質(zhì)證書���。不符合條件的,作出不予核準的決定并說明理由���。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務(wù)資質(zhì)的機構(gòu)���,直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請,省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當在30日內(nèi)作出核準意見�����。
第十九條從事計算機信息系統(tǒng)安全檢測的安全服務(wù)機構(gòu)應(yīng)當具有三級以上安全服務(wù)資質(zhì)�。
承擔重點安全保護單位計算機信息系統(tǒng)和計算機機房使用前安全檢測的安全服務(wù)機構(gòu)由地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門實行總量控制,擇優(yōu)授權(quán)��,應(yīng)具備下列條件:
(一)具有三級以上安全服務(wù)資質(zhì)��;
(二)中國公民或者組織持有的股權(quán)或者股份不少于51%��;
(三)具有提供長期服務(wù)的能力和良好信譽�����;
(四)具有自主開發(fā)的信息網(wǎng)絡(luò)安全檢測產(chǎn)品�。
轄區(qū)內(nèi)無符合條件的安全服務(wù)機構(gòu)的,由地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門委托省內(nèi)符合條件的安全服務(wù)機構(gòu)承擔�����。
第二十條資質(zhì)證書分為正本和副本����,正本和副本具有同等法律效力。
第二十一條資質(zhì)證書實行年審制度�����。年審時間為每年2月至3月���,新領(lǐng)(換)資質(zhì)證書未滿半年的不需年審�����。
第二十二條安全服務(wù)機構(gòu)在年審前應(yīng)當對本單位上一年度的下列情況進行自查���,并形成自查書面材料:
(一)遵守國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定的情況����;
(二)安全服務(wù)業(yè)績���;
(三)用戶投訴及處理情況�����;
(四)參加國內(nèi)和國際標準認證的情況����;
(五)符合資質(zhì)證書頒發(fā)條件的有關(guān)情況�。
第二十三條安全服務(wù)機構(gòu)參加年審,應(yīng)當持下列材料向地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請:
(一)《計算機信息系統(tǒng)安全服務(wù)資質(zhì)年審申請書》��;
(二)資質(zhì)證書副本�����;
(三)自查書面材料��;
(四)其他材料����。
第二十四條地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門自接到申請材料之日起15日內(nèi)進行初審,材料齊全�,情況屬實的,報送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門審查�。初審不合格的,退回申請并說明理由���。
省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到初審材料之日起10日內(nèi)作出年審結(jié)論����。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務(wù)資質(zhì)的機構(gòu)����,直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請,省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當在20日內(nèi)作出年審結(jié)論�����。
年審結(jié)論分為合格�、降級、取消3種����。
具備下列情形的,年審結(jié)論為合格:
(一)遵守國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定��;
(二)上年度安全服務(wù)項目總值不低于本級資質(zhì)條件規(guī)定的年均安全服務(wù)項目總值的四分之三(四級資質(zhì)不低于50萬元);
(三)用戶投訴基本能合理解決���;
(四)符合原等級資質(zhì)證書頒發(fā)條件����。
有下列情形之一的��,年審結(jié)論為降級:
(一)違反國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定�,情節(jié)輕微;
(二)上年度安全服務(wù)項目總值低于本級資質(zhì)條件規(guī)定的年均安全服務(wù)項目總值的四分之三��;
(三)10%以上的安全服務(wù)項目有用戶投訴且未能合理解決�����;
(四)不符合原等級資質(zhì)證書頒發(fā)條件����。
有下列情形之一的,年審結(jié)論為取消:
(一)違反國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定����,情節(jié)嚴重;
(二)年度安全服務(wù)項目總值低于50萬元;
(三)20%以上的安全服務(wù)項目有用戶投訴且未能合理解決��;
(四)情況發(fā)生變更����,達不到資質(zhì)證書頒發(fā)條件��。
年審合格的����,在資質(zhì)證書副本和《計算機信息系統(tǒng)安全服務(wù)資質(zhì)年審申請書》上注明,加蓋省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察專用章�。
年審結(jié)論為降級的,原資質(zhì)證書作廢���,換發(fā)資質(zhì)證書�����。
年審結(jié)論為取消的����,資質(zhì)證書作廢�����,安全服務(wù)機構(gòu)應(yīng)當自接到年審結(jié)論之日起10日內(nèi)交回資質(zhì)證書。
未按時參加年審的�����,年審結(jié)論視為取消�。
年審結(jié)論為取消的,兩年內(nèi)不得申請安全服務(wù)資質(zhì)���。
因特殊原因未年審的����,應(yīng)當書面說明理由�����,經(jīng)批準�����,方可補辦相關(guān)手續(xù)����。
第二十五條資質(zhì)證書有效期為4年,安全服務(wù)機構(gòu)應(yīng)當在期滿前60日內(nèi)提交換證申請材料。換證程序與資質(zhì)證書申請程序相同���。期滿不換證的����,資質(zhì)證書作廢��。
因特殊原因未按時換證的�,應(yīng)當書面說明理由�,經(jīng)批準,方可補辦相關(guān)手續(xù)��。
第二十六條資質(zhì)證書登記事項發(fā)生變更的�����,應(yīng)在30日內(nèi)到地級以上市公安機關(guān)辦理變更手續(xù)����。
第二十七條安全服務(wù)機構(gòu)在取得資質(zhì)證書一年后,達到較高一級資質(zhì)條件的���,可申請晉升等級����,辦理程序與初次申請相同。
第二十八條安全服務(wù)機構(gòu)情況發(fā)生變更�,不符合原資質(zhì)等級條件的,應(yīng)當予以降級���。
第六章安全審驗
第二十九條計算機信息系統(tǒng)和計算機機房的規(guī)劃�、設(shè)計���、建設(shè)應(yīng)當按照國家有關(guān)規(guī)定和標準���,同步落實安全保護制度和措施。
第三十條重點安全保護單位計算機信息系統(tǒng)和計算機機房安全設(shè)計方案應(yīng)當報單位所在地地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案�。
重點安全保護單位計算機信息系統(tǒng)和計算機機房建成后,應(yīng)當由具有相應(yīng)資格的安全服務(wù)機構(gòu)進行安全檢測����。檢測合格,方可投入使用��。
安全檢測應(yīng)當接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督���。
第三十一條計算機信息系統(tǒng)安全設(shè)計方案備案��,應(yīng)當填寫《廣東省計算機信息系統(tǒng)安全設(shè)計方案備案表》��,并提交下列材料:
(一)計算機信息系統(tǒng)安全設(shè)計方案���;
(二)計算機信息系統(tǒng)的總體需求說明���;
(三)計算機信息系統(tǒng)的安全保護等級。
第三十二條計算機機房安全設(shè)計方案備案���,應(yīng)當填寫《廣東省計算機機房安全設(shè)計方案備案表》�,并提交下列材料:
(一)承建單位營業(yè)執(zhí)照和資質(zhì)證書復(fù)印件�;
(二)計算機機房的用途和安全要求�;
(三)計算機機房的施工方案和設(shè)計圖紙;
(四)其他應(yīng)當提交的資料�����。
第三十三條安全服務(wù)機構(gòu)對重點安全保護單位計算機信息系統(tǒng)和計算機機房進行使用前安全檢測��,應(yīng)當預(yù)先報告地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門����。安全檢測結(jié)論由重點安全保護單位報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門���。
第三十四條計算機信息系統(tǒng)和計算機機房存在下列情形之一的,應(yīng)當進行安全檢測:
(一)變更關(guān)鍵部件���;
(二)安全檢測時間滿一年��;
(三)發(fā)生案件或安全事故��;
(四)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認為應(yīng)當進行安全檢測�;
(五)其他應(yīng)當進行安全檢測的情形���。
第三十五條安全服務(wù)機構(gòu)應(yīng)當履行下列職責(zé):
(一)如實出具檢測報告����;
(二)接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對檢測過程的監(jiān)督檢查�;
(三)保守用戶秘密,不得保留安全檢測相關(guān)資料�,不得擅自向第三方泄露用戶信息。
第七章安全培訓(xùn)
第三十六條省公安廳�、人事廳聯(lián)合成立的省計算機安全培訓(xùn)領(lǐng)導(dǎo)小組,負責(zé)全省計算機安全培訓(xùn)考試工作的組織和領(lǐng)導(dǎo)����。下設(shè)省計算機安全培訓(xùn)考試辦公室�,具體負責(zé)計算機安全培訓(xùn)的日常管理工作����。
第三十七條下列人員應(yīng)當參加計算機安全培訓(xùn),取得省計算機安全培訓(xùn)考試辦公室頒發(fā)的計算機安全培訓(xùn)合格證書���,持證上崗:
(一)計算機信息系統(tǒng)使用單位安全管理責(zé)任人���、信息審查員;
(二)重點安全保護單位計算機信息系統(tǒng)維護和管理人員�����;
(三)安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術(shù)人員�����;
(四)安全服務(wù)機構(gòu)專業(yè)技術(shù)人員�����、安全服務(wù)管理人員���;
(五)其他從事計算機信息系統(tǒng)安全保護工作的人員��。
第三十八條計算機安全培訓(xùn)和考試由省計算機安全培訓(xùn)考試辦公室授權(quán)的安全培訓(xùn)考試點負責(zé)組織���。安全培訓(xùn)考試點實行統(tǒng)籌規(guī)劃,總量控制�����。
第三十九條計算機安全培訓(xùn)和考試按照有關(guān)規(guī)定進行�����,實行學(xué)大綱���,材���,統(tǒng)一考試,統(tǒng)一發(fā)證��。
考試合格的��,由省計算機安全培訓(xùn)考試辦公室在20日內(nèi)發(fā)給計算機安全培訓(xùn)合格證書���。
計算機安全培訓(xùn)合格證書有效期4年�����,期滿前60日內(nèi)應(yīng)重新參加培訓(xùn)�����。
第7篇
一��、加強頂層設(shè)計��,確立信息安全教育國家戰(zhàn)略
1.《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》
布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》���,其中首次從國家層面提出了“提高網(wǎng)絡(luò)安全意識與培訓(xùn)計劃”�����,指出����,“除了信息技術(shù)系統(tǒng)的脆弱性外����,要提高網(wǎng)絡(luò)的安全性至少面臨著兩個障礙:缺乏對安全問題的了解和認識;無法找到足夠多的經(jīng)過培訓(xùn)或通過認證的人員來建立并管理安全系統(tǒng)��。“為此���,美國要開展全國性的增強安全意識活動�,加強培訓(xùn)和網(wǎng)絡(luò)安全專業(yè)人員資格認證�。
2.《美國網(wǎng)絡(luò)安全評估》報告
2009年5月29日美國公布了《美國網(wǎng)絡(luò)安全評估》報告,評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略��、策略和標準�����,指出了存在的問題�����,提出行動計戈IJ�����。所提議的優(yōu)先行動計劃之一就是“加強公眾網(wǎng)絡(luò)安全教育”��。
3.《國家網(wǎng)絡(luò)安全綜合計劃》(CNCI)
2010年3月2日����,奧巴馬政府對前布什政府在2007年制定的一份國家網(wǎng)絡(luò)安全綜合計劃的部分內(nèi)容進行解密��。CNCI計劃提出要實現(xiàn)重要目標之一就是:“為了有效地保證持續(xù)的技術(shù)優(yōu)勢和未來的網(wǎng)絡(luò)安全����,必須制定一個技術(shù)熟練和精通網(wǎng)絡(luò)的勞動力和未來員工的有效渠道�����。擴大網(wǎng)絡(luò)教育�,以加強未來的網(wǎng)絡(luò)安全環(huán)境?���!?/p>
4.《國家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計劃》
2011年8月11日,NIST授權(quán)《美國網(wǎng)絡(luò)
安全教育倡議戰(zhàn)略規(guī)劃:構(gòu)建數(shù)字美國》草案�,征求公眾意見。該規(guī)劃是美國網(wǎng)絡(luò)安全教育倡議(NICE)的首個戰(zhàn)略規(guī)劃�,闡明了NICE的任務(wù)、遠景和目標�����。NICE旨在通過創(chuàng)新的網(wǎng)絡(luò)行為教育����、培訓(xùn)和加強相關(guān)意識����,促進美國的經(jīng)濟繁榮和保障國家安全��,并通過以下三個目標實現(xiàn)這一愿景:增強公眾有關(guān)網(wǎng)上活動風(fēng)險的意識;擴展能支持國家網(wǎng)絡(luò)安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網(wǎng)絡(luò)安全隊伍���。
二、做好立法工作�,完善法規(guī)標隹體系
1.《聯(lián)邦信息安全管理法案》(FISMA)
2002年7月,美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經(jīng)認識到信息安全對美國經(jīng)濟和國家安全利益的重要性��,并從風(fēng)險管理角度提出了一個有效的信息安全管理體系�。信息安全教育與培訓(xùn)是信息安全管理體系中一個重要環(huán)節(jié)。
FISMA法案明確要求:聯(lián)邦政府機構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風(fēng)險的安全意識培訓(xùn)����,為此還提議了一個較為完善的國家安全意識及其培訓(xùn)系統(tǒng)。
2.國防部(DoD)8570指令
2005年12月���,為了更好地支持“全球信息網(wǎng)格計戈j”�����,美國國防部了8570指令��。該指令涵蓋以下主要內(nèi)容:建立技術(shù)基準���,管理職員的信息保障技能;實現(xiàn)正規(guī)的信息保障勞動力技能培訓(xùn)和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎(chǔ)教育和實驗教育中����,持續(xù)的增加信息保障內(nèi)容����。
3.聯(lián)邦政府信息技術(shù)安全培訓(xùn)標準(FIPS)
FISMA法案明確指定NIST負責(zé)制定聯(lián)邦政府(除國防、情報部門以外)所使用的信息安全技術(shù)��、產(chǎn)品和培訓(xùn)方面的國家標準�。目前,NIST已制定和兩部權(quán)威的信息安全培訓(xùn)標準:《信息技術(shù)安全培訓(xùn)要求:基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓(xùn)方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓(xùn)概念性的框架��,依據(jù)這些框架�����,美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計算臟務(wù)(FSC)項目����。
4.網(wǎng)絡(luò)安全法案
2010年3月24日���,美國參議院商務(wù)、科學(xué)和運輸委員會全票通過了旨在加強美國網(wǎng)絡(luò)安全�����、幫助美國政府機構(gòu)和企業(yè)有效應(yīng)對網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》��。該法案要求政府機構(gòu)和私營部門加強在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享�,強調(diào)通過市場手段,鼓勵培養(yǎng)網(wǎng)絡(luò)安全人才,開發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)��。
三��、構(gòu)建信息網(wǎng)絡(luò)安全組織機構(gòu)���,健全安全教育培訓(xùn)管理體制
為了落實信息安全教育培訓(xùn)相關(guān)政策和法律法規(guī),美國將協(xié)調(diào)��、執(zhí)行���、監(jiān)督���、管理等權(quán)利分配給多個政府部門�����,依據(jù)最新的《國家網(wǎng)絡(luò)安全教育戰(zhàn)略計劃》的思路��,國家標準技術(shù)研究所(NIST)為整個計劃的負責(zé)單位����,協(xié)調(diào)其他部門參與計劃的實施;國土安全部(DHS)�、國防部(DoD)、國務(wù)院�、教育部和國家科學(xué)基金會(NSF)協(xié)力加強公眾的信息安全意識;DHS、海關(guān)總署�、NSF和國家安全局(NSA)共同加強從業(yè)人員f支術(shù)能力;DHS、DoD��、NIST���、NSA����、NSF和人事管理局(OPM)負責(zé)建立高端網(wǎng)絡(luò)安全人才隊伍�����。
社會各界積極參與
行業(yè)協(xié)會已經(jīng)站到了信息安全教育培訓(xùn)的前沿,成為信息安全教育培訓(xùn)的踐行者���。其職責(zé)主要是協(xié)助有關(guān)部門制定信息安全教育與培訓(xùn)的標準��,組織持續(xù)的教育活動��,并向內(nèi)部成員單位實施培訓(xùn)����。行業(yè)協(xié)會自身作為提供教育和培訓(xùn)的主體�,一方面可以根據(jù)政府的引導(dǎo)和企業(yè)的需求來設(shè)置培訓(xùn)內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源�����,充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會職能�����。行業(yè)協(xié)會提供的培訓(xùn)標準是政府制定的培訓(xùn)標準的主要補充��,為規(guī)范和完善美國信息安全培訓(xùn)行業(yè)提供了切實可行的保障�����。
(1)國際信息系統(tǒng)審計協(xié)會(丨SACA)
國際信息系統(tǒng)審計協(xié)會(ISACA)是一個為信息管理、控制�����、安全和審計專業(yè)設(shè)定規(guī)范標準的全球性組織�����,會員遍布逾160個國家�,總數(shù)超過86,000人。ISACA成立于1969年����,除贊助舉辦國際會議外,還編輯出版《信息系統(tǒng)監(jiān)控期刊》�,制定國際信息系統(tǒng)的審計與監(jiān)控標準,以及頒授國際廣泛認可的注冊信息系統(tǒng)審計師(CISA)專業(yè)資格認證���。CISA認證體系已通過美國國家標準協(xié)會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定�。同時�����,美國國防部也認可了CISA認證�����,并將其納入到國防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認證體系當中。這產(chǎn)生了以下四方面的作用:認可CISA認證所提供的特有資格和專業(yè)知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國����、跨行業(yè)的人才流動更加便利。
(2)美國系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO)��,是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機構(gòu)����。1999年SANS首次推出了安全技術(shù)認證程序(GIAC)。
GIAC認證程序有以下幾個特點:
GIAC提供超過20種的信息安全認證��,其大多數(shù)符合DOD8570指令�����。GIAC依據(jù)國家標準對安全專業(yè)人員及開發(fā)人員進行各方面技能認證����。GIAC安全認證分為入門級信息安全基礎(chǔ)認證(GISF)和高級安全要素認證(GSEC)�����。兩種認證都重點考察安全基礎(chǔ)知識,保證揺正人員擁有必備的安全技能�����。其它GIAC安全認證包括:認證防火墻分析師(確認設(shè)計��、配置和監(jiān)控路由器���、防火墻和其它邊界設(shè)備所需的知識����、技能和能力)���、認證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)��、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力�����。
(3)國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2
國際信息系統(tǒng)安全核準聯(lián)盟(ISC)2成立于1989年��,是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓(xùn)和認證的國際領(lǐng)先非營利組織��。在(ISC)2各種認證中���,CISSP數(shù)量最多�����。截至2010年底����,全球共有75000名CISSP獲證人員����,其中,美國獲證人員數(shù)量超過70%^CISSP獲證人員中���,約30%在政府部門工作�����,40%從事信息安全月服務(wù)行業(yè),30%從事用戶終端工作�。
注冊信息系統(tǒng)安全專業(yè)人員通用知識體(CISSPCBK)提供了通用的信息安全術(shù)語和原理框架,使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語和理念��,討論、辯論和解決信息安全相關(guān)問題��。
