前言:中文期刊网精心挑选了信息安全培训方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全培训方案范文1
工业控制系统安全防护体系建设离不开相关安全标准体系的支持,国外一些发达国家在工业控制系统信息安全防护领域的标准研究工作幵展较早,进展较快。同际上已建立一些工控系统信息安全方面的国际及国家技术组织标准,包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年来,随着我国信息安全等级保护政策的推进和实施力度不断加大,_家对工业控制系统信息安全重视程度不断加大,国家重要行业的工控系统信息安全防护建设也取得了长足的进步,研制并逐渐部署了相应的工业控制系统的标准体系,初步建立起了我国等级保护标准体系框架和信息安全标准体系框架,我国近年来工业控制系统信息安全标准建设内容。但从总体上讲,我国工控信息安全防护的标准体系建设仍明显滞后于工业控制系统的建设,同时在防护意识、防护策略、防护机制、法规标准等方面都存在不少问题。因此,建立覆盖工控应用领域、覆盖工控产品生命周期以及覆盖工控系统业务层次的工控信息安全标准体系迫在眉睫,需要从五方面人手:
(1)在国家政策支持引导下,结合我同工控领域信息安全问题和现状,分析工控系统信息安全保障体系建设需求,建立具有针对性的工控信息安全标准体系整体框架。
(2)开展重点标准的研制规划,逐步丰富和完善覆盖工控应用领域和产品生命周期的信息安全标准体系。
(3)积极跟踪和参与闰际相关标准规范制定,实现与国际认证机构的互认,体现我国工业安全意志。
(4)加快推动我同相关标准规范的制定,建立完善的标准体系。
(5)加速人才队伍培养,依据标准建设丁.控信息安全检测认证能力。
2大力发展自主可控检测认证工具集
我国工业控制系统信息安全领域长期受到核心技术限制、缺乏专业检测认证工具等诸多因素影响,导致我国重要基础设施面临着严重的安全威胁,因此,突破工控信息安全领域的技术壁垒,研发0主可控的检测认证工具集并与国际接轨势在必行。在检测认证工具集方面,闰际上是以ISASecure认证作为工业控制系统领域专业的安全认证标准,它是基于IEC62443标准系列发展安全认证流程的联盟。ISASecure认证包含嵌入式设备安全认证�EDSA)�系统安全认证�SSA)和安全开发生命周期认证�SDLA)三个项目。目前,_际上已经获得ISASecure认证认可的CRT测试工具有芬兰Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而国内并没有成熟的检测认证工具产品。发展我国自主可控的检测认证工具集将有助于改变我国工控信息安全领域缺乏核心技术的现状,提高我同工控系统检测发现和探查能力,从而提升我国工控信息安全水平。检测认证工具集的研发应以“自主可控,安全可靠”作为技术指导思想,从前瞻性研究人手,研究国际先进的安全技术,研究工控领域安全协议栈,建立典型工控模型库、工控信息漏洞库,对工业生产控制系统内部的上位机�PLC)�服务器、网络等资产信息、应ffl软件、服务、开放端口、防火墙、数据库审计等内容进行检测扫描,提供漏洞检测与发现、漏洞风险评估、可视化和漏洞修复建议等功能。通过自主可控检测认证工具集的研发,为我闽工控企业彻底解决生产控制系统内部的信息安全隐患,保证工业生产的安全生产、安全管理。
3快速推进工业控制系统信息安全培训
安全培训为培养高素质工业控制系统信息安全相关人才、提升相关从业人员的专业技术及管理能力提供规范化、科学化的知识体系。我_工业控制系统信息安全培训现状面临着培训主体混杂、未形成规范、培训内容指导性不强、培训基准不够完善以及以传统信息安全为参照物等问题,作为工业控制系统信息安全体系中不可或缺的一环,安全培训也处于亟待重视与完善的位置。
(1)以“标准”建设“培训基准”:随着工业控制系统信息安全领域国家标准和行业标准体系的不断完善和发展,需要积极主导、参与各类相关标准的研究、编制、监督等工作,建设可供工控安全领域合理、高效、安全发展的文件环境,进而推动工控信息安全培训基准的建设。
(2)以检测与认证带动安全培训:在自主可控检测认证工具集的基础上,结合工控领域安全评估服务,建设中立性的检测、认证环境,提供国家级的权威检测认证服务,同时为培训业务的开展提供更有指导性、实效性的基础条件。以标准建设和自主可控检测认证工具为基础,从操作层面、技术层面、认证培训以及职业教育层面建设工业控制系统信息安全培训体系,提升图3自主可控检测认证工具集研发模型我国工控信息安全领域人员实践操作技术能力和安全技能,加速人才队伍培养。
4全面提供工业控制系统信息安全服务
为提升工控领域信息安全整体服务水平,在不断健全国家相关标准和发展自主可控安全技术体系的基础上,建设工业控制系统安全模拟仿真实验平台服务支撑环境,为行业用户提供定制化的安全评估、安全咨询、安全防护等服务。
(1)安全评估:研究制定安全评估的流程和方法,建设完备的安全评估体系;针对在役系统进行风险评估,提出整改、防护方案和建议,为相关企、事业单位提供安全评估服务,规范工控系统的安全建设。最终拥有完备的安全评估方法论,为工业控制领域各行业提供专业的安全评估服务;同时建立国内工业控制系统信息安全评估体系。
(2)安全咨询:研究制定安全咨询的流程和方法,建设完备的安全咨询体系;针对产品研发、系统设计,融入信息安全技术,整体提升新建工控系统的安全性。最终拥有完整的安全咨询体系,为各类工业控制领域提供专业的安全咨询服务,逐步建立安全的工业控制系统模型库。
(3)安全防护:研发工控领域自主可控的专用信息安全防护产品;全方位、多层次地针对工业控制系统提出信息安全防护解决方案;最终实现工控领域安全防护产品全面国产化;逐步完善自主可控的安全防护解决方案体系。
5总结
信息安全培训方案范文2
亨达公司已取得了国家信息安全测评中心信息安全服务二级(全国最高等级)、注册信息安全专业培训(CISP)授权机构、国家信息安全认证中心信息安全集成二级、应急服务二级、风险评估二级、公安部等级保护测评、工业和信息化部通信信息网络系统集成甲级、计算机网络系统集成三级、国家计算机应急技术协调处理中心(CNCERT/CC)信息安全服务技术支撑单位以及贵阳市国家保密局信息设备维修等一系列完善的通信与网络信息安全专业服务资质,通过了ISO9001:2008质量管理体系认证、ISO14001:2004环境管理体系认证和OHSAS18001:2007职业健康安全管理体系认证。
亨达集团先后被评为 “贵州省通信行业协会副理事长单位”、“贵州省通信体育协会副主席单位”,连续五年被省工商行政管理局评为“重信用、守合同”单位,并获得“全国十佳诚信单位”称号。目前已建成了集网络信息安全监控、网络攻防演练、信息安全培训、软件开发以及信息安全产品测评认证于一体的信息化综合服务保障平台。
亨达集团自2011年底取得等级保护测评资质以来,配合贵州省公安厅推进信息系统等级保护测评工作,开展了近百家单位共计500多个信息系统的安全等级保护测评,包括贵州省财政厅、贵州省统计局、贵州省交通厅、中国工商银行贵州分行、中国建设银行贵州分行、贵阳银行、贵阳海关、贵州省农村商业银行、遵义商行、贵州省人民医院、贵州省肿瘤医院、贵阳医学院等各大单位重要信息系统。
基于亨达集团作为贵州省优秀通信建设与网络信息安全服务企业,长期以来,一直与贵州省通信管理局保持着密切的合作与良好的沟通。公司自2009年起即已被国家计算机应急技术协调处理中心和省通信管理局确立为大区级技术支撑单位。
信息安全培训方案范文3
关键词:信息安全;勒索病毒;黑客
针对最近出现的勒索病毒,某油田生产型企业通过网络与信息安全情况通报,并采取紧急相关措施,包括断网、及时更新操作系统补丁、更新MicrosoftOffice/wordpad远程执行代码漏洞、禁用WMI服务、禁用445端口等措施,及时避免勒索病毒。通过此次信息安全事件,我们进行了深入细致地分析,为今后生产型油田企业提供了宝贵的信息安全意见及措施方案。
1分析结论
1.1网络情况分析
目前,企业内部是内部网络,与外部网络进行隔离;通过指定服务器授权,内部用户才能连接到外部网络。企业内部网络,根据区域不同,分为不同的区域段、不同段域;同时,由于生产原因,又分为陆地网络和海上网络;陆地和海上网络通过卫星、微波等方式进行连接。
1.2个人办公电脑信息安全情况分析
个人办公电脑,主要是以Windows7及以上版本为主;办公软件以Office\OutLook为主;同时由于专业、工作原因,各个技术人员会使用专业化很强的软件。比如AutoCAD、ProE等。其中,还存在一定数量的WindowsXP操作系统的用户,此情况以老同志居多。存在着信息安全意识不强,不想升级及侥幸心理等。针对Windows操作系统及Office\OutLook,定期进行系统补丁检查。而专业化很强软件,一般采取服务器用户ID授权模式。但仍然感觉存在不同信息安全。
1.3服务器、工作站安全情况分析
(1)机房与外界采取防火墙隔离;服务器与外网,进行断开处理;(2)服务器一般采取虚拟机管理;(虚拟机采用SymantecEndpointProtection进行病毒、漏洞管理)(3)服务器采取本地备份、异地备份等各种方式。(4)信息中心、数据中心都建立系统测试服务器,最大可能保证信息系统及软件系统的安全性。
2信息安全防护技术方法及措施
2.1信息安全防护管理方面要求
(1)提高信息安全意识(2)有效地进行信息安全培训(3)针对组织管理上存在漏洞,信息化管理进行把控(4)定期进行信息安全演练,做好防护意识
2.2个人计算机电脑防护
(1)安装杀毒软件,及时更新系统补丁(2)对于陌生邮件,提高警惕,避免打开(3)打开防火墙,设置安全接入规则(4)安装专业软件,需在信息管理人员指导下完成(5)个人计算机重要资料,要定期进行备份处理
2.3服务器及工作站建立总体防护体系
在油田生产型企业中,服务器、工作站是信息安全管理中的重中之中,因此必须要对此进行重点信息安全管理及防护。(1)加强机房管理建立机房管理制度,禁止陌生人进入机房并接入机房网络;如需接入网络,需向信息安全人员提出申请并进行严格审批。关于软件信息系统测试及,请在指定测试服务器上完成其相关信息安全检查。只有通过信息安全检查后,才可以部署在生产服务器上。机房要有相关灾备方案及措施。(2)加强防火墙管理防火墙对于服务器及工作站来说,就相当于其卫兵;只有严格制定物理防火墙的相关准入、准出规则、访问机制,并定期进行接入接出数据端口扫描工作同,及时发现频繁或异常点,并进行跟踪、研究、调查,及时避免漏洞出现。(3)建立信息安全管理信息系统企业及公司可建立总体信息安全管理信息系统,从一般信息安全培训到专业防护指导;从对普通用户计算机漏洞扫描到专业服务器平常日志、端口数据分析异常点,软件授权、用户认证等,建立统一、整体、完善的管理信息系统,从而提高整体信息安全管理水平。
2.4内部需要加强认证
油田生产型企业,由于其工作性质决定其在内部网络、系统程序等方面,需要加强认证机制。建立良好的认证管理流程,从申请到接入,从信息系统用户管理等方面加强管理。从而避免恶意用户或程序访问及接入。同时还要通过整体网络系统扫描机制,可以有效防护恶意攻击。
3结语
通过上述信息安全分析,油田生产型企业信息安全总体上处于安全级别,能够有效避免、防护病毒攻击及系统漏洞。但在细节上仍然存在一些漏洞:1)、网络上存在可以随意接入未认证个人电脑的可能性;2)、内部个人计算机存在通过邮件、通信网络等方式被攻击模式;3)、服务器端仍存在补丁不及时、病毒库更新延迟等情况;4)服务端无法识别内部网络内的安全用户和陌生用户;5)远程传输数据仍有可能被攻击的可能性等。信息安全仍然需要关注,需要不断提升管理、技术及防护水平。为信息安全管理提供了参考。具体意见如下:(1)加强信息安全防护管理方面要求,不仅用户意识到组织管理,从个人计算机漏洞管理到信息系统的管理,都需要加强信息安全防护管理方面要求。从各个层面,加强信息安全漏洞及缺失点管控。(2)重点加强服务器及工作站信息安全管理工作,通过防火墙、机房管理制度、软件专业漏洞扫描工具使用、机房灾备、信息系统的安全管理等各个方面加强管理。(3)内部认证制度建立,更好防护网络的安全性,从根本上杜绝恶意接入和恶意破环。(4)建立整体企业信息安全管理信息系统,提高整体信息安全管理水平。
参考文献:
[1]DafyddStuttard、MarcusPinto[著]石华耀、傅志红[译],黑客攻防技术宝典WEB实战篇(第2版),人民邮电出版社,2012-7:115-207.
信息安全培训方案范文4
重庆爱思网安信息技术有限公司位于我国内陆开放型经济示范区―重庆北部新区,成立于2004年,注册资金1100万,是一家集计算机信息安全产品(包括计算机司法取证分析设备)开发和销售、为系统集成项目提供完善的信息安全解决方案和技术咨询服务的系统化安全产品及服务提供商。公司的业务对象主要为军队、政府、教育、通信及企业,客户遍及全国各地,部分产品已出口到韩国、越南等地。
公司目前共有员工200余人,拥有一批年富力强、勇于创新、勇于开拓的专业技术队伍,由多名教授、专家、以及硕、博士带领,他们具有丰富的理论研究基础和研发实践经验,均从事过多年大型软件系统的研制开发,对计算机软件尤其是信息安全软件有较深的研究。技术研发同时依托重庆邮电大学信息安全技术工程研究中心、中国社科院国家信息安全应用基地、北京大学信息安全实验室、公安部网络信息安全重点实验室等,具有强大的后备研发力量支撑。
公司已经通过“双软”、“双高”认证及ISO9001:2000国际质量管理体系认证,是国家密码局商用密码产品定点生产和销售单位,重庆市软件服务外包示范单位,重庆市高新区中小企业信用促进会、重庆市信息安全学会理事单位,重庆市信息安全培训基地,重庆市工控系统信息安全产品研发中心。
公司自成立以来,技术和人才这两大“引擎”发动得隆隆作响,强力促动了各项工作扎实有效地开展,公司自主研发的产品包括“绿色网景iSFilter”、“NAD网络主动防御系统”、“爱思安全隔离与信息交换系统ISM-6000”、“爱思BitSure I现场勘验取证系统”、“多接口并行电子物证复制系统”等,均已经通过国家保密局、公安部信息安全产品测评中心等权威机构认证,获信息安全产品销售许可。
在重庆市公安局、司法局等单位的大力支持下,爱思网安公司于2010年获准成立“重庆市科信电子数据司法鉴定所”,并广泛展开国际合作,与国际知名计算机取证公司在重庆联合筹备成立“手机司法取证技术研究中心”,是国内首个专业手机司法取证技术研究机构,即将向各司法相关和行政执法机构提供世界级专业服务。
信息安全培训方案范文5
不管一个企业规模如何、业务类型如何,很难说没有发生过信息安全事件。在一些疏于防范的企业,计算机病毒爆发、利用系统漏洞非法入侵等信息安全事件更是时有发生。
究其原因,要归咎于现在的技术、法规、业务流程、安全威胁及其他众多因素相比于过去,复杂性大大增加,并且相互交织在一起,这大大增加了各类企业在信息安全方面所面临的风险。
而企业内部信息存在于这样一个复杂的生态系统中,还要满足信息安全方面的三个原则: 可用性、完整性和机密性,其自身所面临的压力自然也就不言而喻。可用性意味着需要信息的人能够及时获取信息; 完整性意味着信息完整,没有遭到破坏; 机密性意味着信息得到了保护,未授权者无法访问。
本文根据上述的三个原则,提供了制定企业安全计划(ESP)的一些方法和指导原则。
第一步:
成立信息安全团队。
管理学专家吉姆•柯林斯(Jim Collins)在《从优秀到卓越》(Good to Great)一书中,明确表明,在启动任何公司项目之前就应该让相应人员参与进来,企业安全计划项目也不例外。
在企业内部要成立两支团队,即经理人团队和跨职能部门的信息安全团队。经理人团队负责确定企业安全计划的使命、宏观目标和具体目标,这个团队的成员应该包括企业的高层主管。此外,这支团队还应该负责制定重要的安全政策、设定组织风险阈值、获得企业安全计划所需的资金,并且成立跨职能部门的安全团队。
跨职能部门的安全团队则最好由更小的团队组成,负责日常的IT安全工作,包括管理IT资产、评估威胁与漏洞、管理风险、制定策略、制定规程和控制手段、进行内部审计以及提供培训服务。
第二步:
理清信息资产。
管理信息资产首先要从清点资产开始入手,这个步骤应当记下硬件、应用程序(包括内部和第三方组织的应用程序)、数据库及其他信息资产(如网络共享文件夹和FTP网站等)。一旦完成了清点资产的工作,再为每项资产明确一个所有人及监护人。所有人的职责是充当被分配资产的联系人,而监护人要负责保护已存储的信息。
然后,根据信息资产里面所含信息对公司具有的价值、以及一旦该资产受到危及,公司可能遭受的成本损失进行分析,根据结果把这些信息资产划分成不同的重要等级。
第三步:
明确法规要求及行业标准。
法规就是命令,就是确保信息安全的强制性法律要求。例如医疗服务提供商及金融服务行业的大多数公司就都会遵守某些指导准则。支付卡行业(PCI)数据安全标准和ISO 27001等标准已经成为行业内的最佳实践。
经理人团队要确定必须遵守哪些法规和标准以保证信息安全。
第四步:
评估威胁、漏洞和风险。
威胁是给信息资源带来危险的来源。列出所有相关威胁、对它们进行分类,并根据重要性进行评定,这是一项重要工作。
漏洞是系统当中的薄弱环节或缺陷,有人可能无意或有意利用这些漏洞,从而引发安全泄密事件。漏洞多存在于人员、流程和技术当中。建议列出可能存在的种种漏洞,然后根据它们对组织的影响来进行评定。
风险是指可能会给组织带来不利结果的潜在事件或状况。在一般情况下,风险由威胁和漏洞共同引发。例如微软Outlook中的技术漏洞以及打开未知附件导致的漏洞,就有可能被Mydoom病毒加以利用,最终导致网络带宽损失。
第五步:
有效管理风险。
风险管理侧重于避免、缓解或转移风险。风险管理首先需要列出各种风险,根据发生的可能性以及对组织的影响大小对各种风险进行分类。通过可能性和影响共同来划分这些风险的优先级。对一家组织来说,影响大、发生可能性大的风险就是“高优先级对待的风险”。
一旦划分了风险的优先级,就可以确定采用何种方式来应对风险。比方说,可以使用Lotus Notes替代Outlook来避免Mydoom病毒攻击的风险; 可以安装最新的反病毒软件、教育用户不要打开可疑附件来缓解风险; 也可以与第三方厂商签订合同,让对方满足自己在电子邮件方面的所有要求来转移风险。
第六步:
制定事件管理与灾难恢复方案。
安全泄密事件、无意中丢失IT资产、不小心删除了关键数据、数据中心出现停电事故,这些事件在现实生活中并不少见。良好的事件响应方案可以清晰地列出针对最常见事件的应对策略。事实证明,“9•11”事件和“卡特里娜”飓风之后,没有制订灾难恢复方案的公司都无法在短期内重新恢复业务。
第七步:
管理第三方组织。
厂商、供应商和中间商,这些第三方组织在复杂的信息生态系统中占据了重要的位置。如果与企业有联系的第三方组织存在不安全的网络漏洞或不规范的行为规范,那很有可能会带来安全漏洞,给不法分子以可趁之机,威胁企业的信息安全。
因此企业用户要列出与自己有业务往来的所有第三方组织,然后根据信息重叠或共享的程度以及信息所具有的重要性,划分这些第三方组织的优先级。然后,继续弄清楚第三方组织落实了哪些安全措施,同时要求对方必须实施有效的控制手段。
第八步:
实施安全控制手段。
控制手段是为了缓解或消除风险而落实的措施。技术性控制手段是指可以集成到计算机硬件、软件或固件当中的防范措施(比如访问控制机制、识别与验证机制、加密方法、入侵检测软件)。非技术性控制手段是指管理和操作控制措施,比如安全策略、操作规程以及人员、物理和环境安全。
控制手段通常分成预防控制手段和检测控制手段。预防控制手段旨在阻止企图违反安全策略的任何行为,检测控制手段旨在警告违反或企图违反安全策略的情况。
第九步:
加强培训。
企业经常忽视对员工开展安全培训,但是培训对执行企业安全计划而言却是关键所在。要是员工对笔记本电脑粗心大意、连接到工作场所以外的不安全网络,或者不能识别哪些是可疑行为,那么各种技术防范和安全措施都会变得无济于事。
第十步:
进行内外审计。
信息安全培训方案范文6
【 关键词 】 高校;科研机构;信息安全;对策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
随着信息技术的发展和信息化应用的日趋深入,信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高,研究院等单位的信息系统规模和水平也在不断攀升,然而随着高校各系统建设程度的不断完善,以高校为代表的科研机构的信息安全管理问题也愈加突出。
2 高校科研机构存在的信息安全管理问题
近年来,高校等科研机构逐步认识到信息安全对于自身的重要性,于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及,其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题,充分提高机构人员的信息安全管理意识和保密工作的能力。当下,虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步,但其科研单位内部仍然存在着很多问题。
(1)首先,在以往长期封闭的科研环境影响下,相关科研人员目前依然不具备良好的安全意识,对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划,这些都间接导致了信息安全管理制度推行力度不够,实施安全教育的硬性条件有限。其次,由于学科建设和专业水平所限,也使得国内技术过硬的信息安全专业人才供应不足,间接影响了相关单位的人才储备水平。
(2)当下许多高校等科研单位在信息系统不断增加的情况下,对以往基础设施配备水平存在着一定的依赖性,不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上,又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节,信息安全措施必须渗透到信息系统的每一个部位,其中一些问题的解决方案,需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。
(3)不安全因素对于信息系统而言总是存在的,没有任何一个信息管理方法能提供绝对的保障。因此,高校等科研单位在认识和进行信息系统安全管理教育的时候,应该着重加强基层人员的信息安全管理实践教育,应让相关人员充分意识到,虽然信息安全建设并非意在建设一个创收的平台,但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划,充分加强信息安全教育在管理实践上的投入,严格有效地执行相应的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系统时的固有风险。
(4)近年来,我国大型科研单位相继出现过不同程度的泄密事件,这些事件的直接后果是不仅导致了科研成果的流失,还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业,也都出台了对信息安全技术产品的应用标准和规范,但只有建立一个严格的信息安全管理策略,才能全面的保障其安全性。
3 解决高校科研机构存在的信息安全的对策
3.1 技术层面
在技术层面上:高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统,是一个开放式的互联网络系统,与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台,其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略,同时也注重建设统一认证和授权管理系统,通过硬件接入设备和定制化管理软件的配合部署,加强网络层面和应用层面的安全资源整合,形成覆盖全网的科研信息化安全保障能力,并充分利用自主创新的科研信息化安全技术,不断增强基础运行平台的网络安全能力,为科研信息化基础环境和应用系统提供有力的安全保障。
在保障网络基础设施和重要应用系统的安全方面,一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施,实现实时预警、事件分析、决策支持、资源调度等功能;另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系,引入除技术体系和管理体系以外的第三方服务支持,实现安全事件的及时发现。
3.2 管理和教育层面
在管理和教育层面上:以企业为参考标度,对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及,将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度,除技术保障外,将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平,落实安全的组织和管理人员,明确每个人的角色与职责;制定并开发安全规划和策略,定期开展培训和工作会议;实施风险管理制度,制定业务持续性计划和灾难环境下恢复计划;选择实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。
3.3 管理政策层面
在整个管理策略的制定上:建议采用分级策略,如果高校对于自身科研信息安全风险水平认定为较高,而自身建设能力有限,则可以考虑与相关专业咨询机构合作,引入专家机制来完成相关工作,提升建设效率。
4 结束语
在国家大力推行科教兴国与自主创新发展战略的今天,信息安全建设对于保障科技创新自有成果,确保自主知识产权的创造价值,都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标,也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素,系统考量,尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范,以切实满足高校等科研单位对信息安全保障体系的需求,降低科研成果的安全风险,发挥高效的科研效率,保障科研生产的安全顺利进行。
参考文献
[1] 张广钦.信息管理教程[M].北京:北京大学出版社,2005.
[2] 徐茂智.信息安全概论[M].北京:人民邮电出版社,2007.
[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术,2012,(1).