前言:中文期刊网精心挑选了网络安全意识教育培训范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全意识教育培训范文1
随着全员信息安全意识的提高,外汇分局信息安全工作正日益完善,但与中央网信办和外汇局的要求还有一定差距,存在一些薄弱环节,主要表现在以下几方面。一是缺乏完整、成体系的信息安全制度。外汇分局已有的制度里没有完全涵盖从机构建设、人员管理到数据管理、运维管理、应急管理以及教育培训等一系列规范的信息安全内容。二是人员管理方面。人员离岗离职后没有及时收回或变更其在相关应用系统里的权限。三是网络安全防护上方面。外汇分局网络各区域间边界不清晰,缺乏必要的安全防护设备。另外,对内部网络的用户管理较松,容易发生对系统的非授权访问或者冒充合法用户访问等问题。四是终端计算机安全防护方面。外汇分局终端都由人民银行科技部门统一管理,统一下发补丁软件,但是存在业务人员在终端机上安装与工作无关软件的情况,导致植入病毒的几率大大增加,为系统安全埋下隐患。五是安全教育培训及安全检查方面。外汇分局对于全员安全意识教训及专业技能培训比较欠缺,特别是对所辖中心支局业务人员的安全教育培训不足,安全检查的广度和深度也不够。
二、结合实际,提升信息安全保障措施
外汇分局在查找出信息安全风险隐患后,应结合自身实际,从管理和技术两方面采取相应的防护措施。
(一)加大信息安全管理制度的体系建设
一是建立系统的信息安全管理制度。外汇分局应遵循“谁主管谁负责、谁运行谁负责”的原则,按照相关要求明确信息安全管理机构及责任人,制度应涵盖人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、教育培训等内容。二是加强信息安全应急管理。外汇分局应制定应急预案,保障应急资源,并定期或不定期地进行应急演练。
(二)加强信息安全技术防护措施
一是建立良好的网络安全防护措施。针对近期的网络改造工程,外汇分局应明确各区域的网络边界,做好边界防护措施,并制定制度进一步规范网络用户的操作,完善网络设备的安全配置及审计措施。二是做好应用系统的安全访问控制。外汇分局对所有的应用系统,包括电子邮箱、门户网等,都应做好用户权限管理和划分。三是规范终端计算机的安全操作行为。主要是建立相应制度规范业务人员操作,并在终端上设置账户密码保障安全。针对WindowsXP停止安全服务的情况,外汇分局应卸载与工作无关的应用程序、关闭不必要的服务和端口等,不断加强对使用WindowsXP系统终端计算机的管理。
(三)强化信息安全教育培训
外汇分局应采取各种方法做好信息安全教育培训。除开展提高安全意识的培训外,还需要加强信息安全知识及安全防护技能的培训。
(四)深入开展信息安全检查工作
网络安全意识教育培训范文2
一、信息化条件下计算机网络安全工作存在的问题
一是思想认识不够。部分干部职工对网络安全重视不够,安全意识不强,还存在模糊认识。有的认为,只有写着密级字样的文件才是秘密文件,自己办公上网所涉及到的办公内容和一些数字谈不上秘密,不属于保密信息;少数用户感到,和平时候,赤峰地区贫穷,信息化条件落后,失密、窃密与已无关,也不可能在自己身上发生,不必大惊小怪;一些职工认为,信息化社会,敌特分子窃密技术新、手段高,还存在无密可保,有密难保的畏难情绪;还有个别人员认为,信息交流是个人行为,网上聊天是言论自由,不存在失泄密问题,侥幸心理十分严重。二是防范措施不严。目前,大多数计算机网络系统大多采用软硬件“防火墙”、杀毒软件等一般性物理隔离技术,缺乏非授权用户进入、采用口令破解程序等高技术破坏、窃取手段的特殊防范措施。有的科、室和所干扰器配备不齐,有的损坏后未能及时更换;有的虽然配备了干扰器,但经常处于不开机状态,没有发挥应有的作用。少数用户违反规定在同一台计算机上进行办公和上网;还有的违反规定,使用带内容的移动载体从因特网下载资料,存在失泄密倾向;一些科室对台式计算机、笔记本电脑、移动存储等办公设备上网管理不严格、不科学;还有个别科室对计算机网络安全管理疏于管理、放任自流,检查、督导流于形式,存在比较严重的信息安全隐患。三是防腐能力不强。网络被西方敌对势力称作“虚拟空间的政治生力军”,它们不断冲击我国人员的理想信念,这也是西方敌对势力对我国进行政治瓦解的新手段和新策略,同时负面网络信息也冲击和影响着全办干部职工的思想行为。调查中我们发现,极少数职工在网上聊天随意谈论单位信息、发表言论、友等现象,甚至还有个别人员经不起诱惑,迷失自我,有的甚至会走上歧路,容易发生网络犯罪。
二、做好信息化条件下计算机网络安全工作的对策
(1)加大网络安全教育力度,进一步强化网络安全意识。抓好信息化条件下网络安全,首要的是加强教育,强化安全保密意识,筑牢全办干部职工的思想防线,确保网络使用安全。一是要提高思想认识,克服模糊观念。各级要进一步端正指导思想,进一步提高安全保密意识。要定期组织全办干部职工学习保密规定、网络安全、反敌渗透窃密等有关保密知识,教育引导大家进一步认清信息化条件下网络安全工作的重要性,走出“有密难保、无密可保”的认识误区,真正从思想上重视起来,树立正确的安全保密观念。二是要搞好疏堵结合,增强抵御能力。网络已经成为社会生活的重要内容,成为全办干部职工了解和认识社会的重要途径。三是要抓好教育培训,提高网络技能。办党组在搞好网络安全教育的同时,要对全办干部职工进行网络安全保密技术培训;采取外请专家、内请行家等方式对使用互联网、局域网、政府网和军网的人员进行网络安全保密知识教育,要把手机泄密、网络泄密等新知识作为学习的重点,提高网络安全技能。不断增强全办干部职工做好网络安全保密工作的责任感和使命感。
(2)加大网络安全管理力度,严防失泄密事件发生。严格管理、科学管理是确保信息化条件下网络安全的重要手段,也是防止网络失泄密的主要途径。要结合办实际,针对当前网络安全管理存在的问题,不断加大管控力度,提高网络管理水平,防止失泄密事件的发生。一是要加强台式计算机的管理。每台计算机管理要责任到人,要签定网络安全保密责任书,落实“谁主管、谁负责,谁使用、谁负责,谁签字、谁负责”的责任制,形成一级抓一级、一级对一级负责的网络安全责任意识。二是要加强对移动媒体管理。进一步加大对办公使用的笔记本电脑、移动硬盘、U盘、光盘和磁盘等移动媒体的使用和管理,要按照类别、级别、等级进行编号、登记、使用等,严禁带秘密载体进入公共场所、公私混用、私自上网等,严防因移动媒体管理使用不当而引发失泄密事件。三是要加强检查督导。要不定期、经常对网络安全进行了突击检查,对查找出来的问题,要当面教育,现场整改;对不遵守网络安全使用管理规定的人员,要采取办学习班、考试等到形式进行培训和补课,不断搞高网络安全意识和技能;要加强对办公时间使用网络的管理,倡导安全上网,上健康网、上文明网,进一步提高广大干部职工遵守网络安全安全的纪律性和自觉性。
(3)加大网络安全制度建设力度,增强网络安全的实效。没有规矩不能成方圆,加强网络安全管理也是同样的道理。严格安全管理规章制度是实现网络安全的重要保证。一是要树立链网计算机审批制度。二是要建立上网信息审批制度。严格明确信息收集整理和信息的审批权限。三是要建立信息技术安全制度。在网络建设上,要采取互联网、军网物理隔离等先进技术手段,建立两套独立的网络系统,从硬件的物理链接上保障信息传输安全;对网络终端机要通过网络安全隔离卡实现单机终端分时、分域对互联网、军网、政府网和局域网的访问控制;在互联网、军网、局域网防火墙上,要设立非法侵入报警系统,设置网络访问权限等,防止非法侵入。四是要建立信息网络“引导员”制度。全办干部职工要把互联网、局域网、政府网和军网作为学习工具,在通过上网不断提高快速获取信息、科学鉴别信息、综合运用信息、驾驭管控信息,以及引导和监督全办干部职工遵循网络道德的能力的同时,要在各科、室和所上网人员中选拔专门的有计算机基础的人员担任“网络引导员”,搞好专题网络信息培训、思想考查和技术认证等,发挥其网上监督管理和维护保障作用,确保信息化条件下网络安全。
参考文献:
[1]黄华磊,施建市.信息化人才队伍建设应培养三种人才[J].中国人民防空,2008
网络安全意识教育培训范文3
【关键词】通信企业;安全文化;文化建设
一、绪论
安全对各行各业都是一个重要课题。安全为第一要务,企业建设要重视安全文化,特别是安全生产意识的落实到位。
企业安全文化是指企业在长期安全生产和经营活动中,逐步形成的,或有意识塑造的又为全体职工接受、遵循的,具有企业特色的安全思想和意识、安全作风和态度、安全管理机制及行为规范;企业的安全生产奋斗目标、企业安全进取精神:保护职工身心安全与健康而创造的安全而舒适的生产和生活环境和条件、防灾避难应急的安全设备和措施等企业安全生产的形象;安全的价值观、安全的审美观、安全的心理素质和企业的安全风貌等种种企业安全物质因素和安全精神因素之总和。
通信已经成为人们生活的重要组成部分,通信安全问题已经成为当前社会面临的一个重要课题,而加强安全文化建设更是必然。
二、安全文化建设不能只是口头上重视,加强安全防范意识很重要
我们经常会说提高安全意识、防患于未然,而实际上做好安全工作并不能只停留在口头上,需要加强安全防范意识。通信安全的保障工作与此相同,除了在思想意识上给予足够的重视之外,还要在基础硬件设施和防灾技术上做好充分的研究和部署,只有做好了足够的准备才能在灾害发生时起到有效的预防作用,降低甚至避免损失。
进行安全文化建设,主要是安全意识和安全生产,提高每个人的安全生产意识、安全劳动实践。对任何一项工作,没有认识,或认识不到位、不深刻,就谈不上去认真做好它。对安全生产工作,同样如此。安全生产是长期行为,既使是小事也不能放松,要“小题大做”,每一个环节都不能忽视。
通信离不开网络,网络安全问题已经成为信息化社会的一个焦点问题。一提起2007年的“熊猫烧香”病毒大家可能还心有余悸。在这次“熊猫”风波中,全国很多通信企业公司的办公终端也有很大一部分遭到破坏、受到影响,给了我们很大的教训。
可见提高网络安全意识是多么重要,加强通信企业安全文化建设不能忽视,网络带来方便的同时也可能给我们带来重大损失,这就要求我们做好安全工作并不能只停留在思想上、要行动起来。
三、在实际工作中付出行动,从业务操作流程入手,从身边工作做起
在实践中要搞好安全工作,有以下“十忌”:一忌“事故难免”、二忌讲“重”做“忘”、三忌时紧时松、四忌有章不循、五忌掉以轻心、六忌与己无关、七忌分工分家、八忌重“大”轻“小”、九忌处理不慎、十忌纪律松懈。
1、通信设备安全维护方面是企业安全文化建设要求的重要组成部分。
基本日常安全维护也为设备安全运行提供了不可或缺的的保证,同样要求所有维护的从业人员必须保持高仰的安全知识、安全意识、安全技能,而提高这些素质离不开企业安全文化建设。
2、内部办公网络安全建设也是企业安全文化建设不可忽视的内容。
内部办公网是网络应用中的一个重要组成部分,其安全性也受到越来越多的重视。据不完全统计,国外在建设内部办公网时,20%左右的投资额是用于加强内部办公网的安全问题。国内运营商在内网安全方面的投资比例不如国外多,但依然保持着持续的增长态势。
安全不应再仅仅停留于“堵”、“杀”或者“防”,而应该以动态的方式积极主动应对来自“安全”的挑战,因而健全的安全管理制度及措施是保障安全必不可少的措施,其在建设企业安全文化的意义也显得非常重要。
“世界上没有一种技术能真正保证绝对地安全”。安全问题是从设备到人、从服务器上的每个服务程序到防火墙等安全产品的综合问题,任何一个环节工作都是迈向安全的步骤之一。
四、搞好安全文化建设,重点是班组安全文化建设
班组是企业的最基层组织,一方面企业的大部分机械设备、客户终端都集中在班组,企业的生产任务要靠班组去完成,同时事故也多发生在班组,因此班组是企业安全管理的关注点;另一方面,先进的管理制度、科学的施工方法、合理的劳动组织、完善的安全措施等都要靠班组去贯彻、去落实,因此班组又是企业安全管理的落脚点。
当前在班组安全文化建设中还存在种种错误思想,有些还十分严重:认为抓安全文化建设是上级领导和机关的事,与班组关系不大;认为班组只要按照上级的要求,抓好日常安全管理工作就行了,抓安全文化建设是多此一举;等等。
实际上加强安全文化建设的标准与日常安全管理工作的标准是一致的。比如,在安全目标上,应实现控制未遂和异常,实现事故零目标;在安全教育上,应实现教育内容、时间、人员和效果的四落实;在安全防护上,应做到劳动防护用品、用具齐全;在作业环境上,应实现隐患和危险处于受控状态。同时,要坚持改革和创新,不断总结经验,努力探索加强安全文化建设的新做法。
我们可以通过以下途径加强班组安全文化建设:通过教育培训,让职工了解安全文化的内涵及作用,使广大职工成为安全文化的传承者和开拓者,从而将他们的安全素质提高到更高的层次;发动职工制定加强班组安全文化建设的规划,要把安全文化建设与日常安全管理工作有机结合起来;在班组内营造“人人关注安全、事事保证安全”的和谐工作氛围,要做到查找事故隐患是每个职工的义务,消除事故隐患是每个职工的责任。
班组人员进行自我教育的有效形式是积极开展班组安全文化活动。班组要结合工作实际,积极开展安全技术问答、安全知识竞赛、安全培训、模拟现场安全措施、安全分析、事故预想和反事故演习等形式多样的安全文化活动,从而提高职工参加安全文化活动的积极性,不断丰富和升华班组安全文化建设的内涵。
五、结束语
安全生产是一个永恒的主题,是每时每刻都需要我们关注的事情。安全工作只有起点没有终点,要想保证长周期的安全生产就必须把安全工作时刻抓紧、抓实,切实做到“警钟长鸣”防患于未然。
让我们一起依靠先进的安全科技和现代安全防灾的风险控制方法,以新的安全生产营运机制,发展生产,提高效益,实现共同的安全价值观,形成独具特色的通信企业安全文化。
参考文献
[1]杨远红.《通信网络安全技术》
网络安全意识教育培训范文4
[关键词] 水务;网络信息安全;管理
[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194(2013)20- 0054- 03
0 引 言
随着上海水务信息化工作的快速推进和不断深化,电子政务、数字水务、水务公共信息平台、水资源管理系统等信息化成果有力推动了水务的现代化建设。网络平台作为信息化建设和信息化成果应用的重要基础平台, 支撑起了巨大的IT价值,是水务IT价值实现的根本和基础。在互联网快速发展的背景下,网络攻击手段日益增多,信息系统所面临的安全风险也越来越多,如何确保网络信息安全已成为水务信息化进程中的一项重要工作。
1 现状分析
上海水务网络由中国水利信息网接入网、市防汛水务专网、市政务外网接入网、办公局域网、无线专网等网络组成,实现了上连国家防总、水利部、全国流域机构,中连全市各委办局、下连所有局属单位以及全市各区县防汛指挥部,系统承载了防汛报讯系统、电子政务系统、水务公共信息平台、视频会议系统、视频监控、水务热线、水资源管理系统等重要水务防汛应用。
为确保网络运行安全和系统应用正常,水务网络实施了一系列的安全防护措施,主要包括:在网络边界处部署安全访问控制设备,如防火墙、上网行为设备等,建立了安全的通信连接,确保数据访问合法并在有效的安全管理控制之下,同时作为抵御外部威胁的第一道防线,有效检测和防御恶意入侵;在网络核心部位和重要区域部署了入侵检测设备,分析网络传输数据,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象;开展计算环境安全管理,主要内容包括操作系统策略管理、统一病毒防护管理、安全补丁管理等。
2 面临的安全风险
2.1 信息系统缺乏同步安全建设
信息化进程中,普遍存在重建设轻管理,重应用功能轻安全防护,导致信息系统在建设过程中没有充分考虑信息安全防护措施和管理要求,通常在安全测评阶段,根据相应的测评指标,临时、被动地实施相关安全防护措施,虽然满足了测评的基本要求,但是安全措施比较零散,缺乏体系和相互关联,甚至实施的安全措施治标不治本,安全隐患重重。
2.2 未充分发挥安全产品防御作用
当前,信息安全已深入到业务行为关联和信息内容语义范畴。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自应用安全策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是由于系统开发缺乏明确的安全需求,造成了信息安全产品针对其实施的安全策略权限开放过大或无安全策略,安全告警无法有效判断,使得部分产品形同虚设,不能充分发挥其防御作用。
2.3 软件漏洞
软件漏洞是信息安全问题的根源之一,易引发信息窃取、资源被控、系统崩溃等安全事件。软件漏洞主要涉及操作系统漏洞、数据库系统漏洞、中间件漏洞、应用程序漏洞等。操作系统、数据库等厂商会不定期针对漏洞相应的补丁,但是,由于应用系统运行对程序开发环境的依赖度较高,补丁升级存在较大安全风险和不确定性,使得应用部门通常不实施操作系统等相关补丁升级工作。此外,应用程序本身也普遍缺失安全技术,存在诸多未知安全漏洞等问题。
2.4 网络病毒
计算机病毒是数据安全的头号大敌,根据国家计算机病毒应急处理中心的《2011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告》,2011年全国计算机病毒感染率为48.87%,虽呈下降态势,但是病毒带来的危害越来越大。
2.5 黑客攻击
国家互联网应急中心(CNCERT)的最新数据显示,中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现,2013年1月1日至2月28日不足60天的时间里,境外6 747台木马或僵尸网络控制服务器控制了中国境内190万余台主机。在信息系统漏洞频出的情况下,面向有组织的黑客攻击行为,现有的技术防护和安全管理措施捉襟见肘。
2.6 信息安全意识薄弱
人是信息安全工作的核心因素,其安全管理水平将直接影响信息安全保障工作。由于缺少宣传、培训和教育,用户信息安全意识较为淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。
3 采取的管理措施
存在这些安全风险的主要原因为缺乏信息安全规划、缺乏持续改进的安全维护保障措施以及安全意识薄弱等,所以做好该部分工作是解决当前所面临安全风险的主要措施。
3.1 信息安全规划
信息安全规划是一个涉及技术、管理、法规等多方面的综合工程,是确保物理安全、网络安全、主机安全、应用安全和数据安全的系统性规划。信息安全规划既依托于信息化规划,又是信息化的重要组成部分。在信息安全规划的指导下,信息系统安全建设与管理才能有计划、有方向、有目标。信息安全规划框架如图1。
3.1.1 以信息化规划为指引,以信息化建设现状为基础
信息安全规划是以信息化规划为指引,以信息化建设现状为基础,系统性的规划信息安全架构,是信息化发展中的重要环节。信息安全规划一方面要对信息化发展现状进行深入和全面的调研,摸清家底、掌握情况,分析当前存在的安全问题和信息化发展所带来的安全需求,另一方面要紧紧围绕信息化规划,按照信息化发展战略和思路,同步考虑信息安全问题。
3.1.2 建立信息安全体系
信息安全规划需要围绕技术安全、管理安全、组织安全进行全面的考虑,建立相应的信息安全体系,确定信息安全的任务、目标、战略以及人员保障。
3.2 日常安全运维保障
3.2.1 关注互联网安全动态
互联网的快速发展使得水务网络安全与互联网安全密切相关。因此,关注互联网安全动态,及时更新或调整水务网络安全策略和防护措施,是日常安全管理工作中的一项重要工作。
3.2.2 安全态势分析
网络信息安全是一个动态发展的过程,固化的安全防护措施无法持续确保网络环境安全。定期对网络安全环境进行态势分析不仅可以掌握当前存在的问题,面临的风险,而且可以及时总结原因,制定改进策略。安全态势分析主要通过对网络设备、安全设备、主机设备及安全管理工具等策略变更信息、日志信息、安全告警信息等,经过统计和关联分析,综合评估网络系统安全状态,并判断发展变化趋势。
3.2.3 信息安全风险评估
风险评估是信息安全管理工作的关键环节。通过开展风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多问题的办法。安全风险评估的主要步骤和方法:①确定被评估的关键信息资产;②通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等方式,获得评估范围内主机、网络、应用等方面与信息安全相关的技术与管理信息;③对所获得的信息进行综合分析,鉴别被评估信息资产存在的安全问题与风险;④从系统脆弱性鉴别、漏洞和威胁分析、现有技术和管理措施、管理制度等方面,根据不同风险的优先级,分析、确定管理相应风险的控制措施;⑤基于以上分析的结果,形成相应的信息安全风险评估报告。
3.2.4 应急响应
应急响应是信息安全防护的最后一道防线,其主要目的是尽可能地减小和控制信息安全事件的损失,提供有效的响应和恢复。应急响应包括事先应急准备和事件发生后的响应措施两部分。事先应急准备主要包括明确组织指挥体系,预警及预防机制,应急响应流程,应急队伍、应急设备、技术资料、经费等应急保障,定期开展应急演练等工作。事件发生后的应急措施包括收集系统特征,检测病毒、后门等恶意代码,限制或关闭网络服务,系统恢复等工作。这两方面互相补充,事前应急准备为事件发生后的响应提供指导,事后的响应处置进一步促进事前准备工作的不断完善。
3.3 教育培训
人是信息安全工作的核心因素,其知识结构和应用水平将直接影响信息安全保障工作。加强相关信息安全管理人员的专业培训,以及开展面向网络用户的信息安全宣传教育、行为引导等,是提升信息安全专业化管理水平,提高信息安全意识,有效避免信息安全问题或失泄密事件发生的重要工作。
4 总 结
随着信息化进程的加快,信息系统所面临的安全风险越来越多,信息安全管理工作要求也逐步提高。持续分析、总结网络信息安全管理中存在的问题,并采取针对性的措施不断加以改进,成为保证水务信息化战略实现、不断提升水务部门管理能力和服务水平的重要基础保障工作。
主要参考文献
[1]GB/T 22239-2008,信息安全技术信息系统安全等级保护基本要求[S].
[2]GB/T 25058-2010,信息安全技术信息系统安全等级保护实施指南[S].
网络安全意识教育培训范文5
关键词:安全三要素;计算机网络;信息安全;防范策略;保障作用
在信息技术飞速发展的今天,黑客技术和计算机病毒也在不断之变化,其隐蔽性、跨域性、快速变化性和爆发性使网络信息安全受到了全所未有的威胁。在这种攻与防的信息对抗中人、技术和管理都是不可或缺的重要环节。
一、网络信息安全的问题在哪里?
(一)技术层面的问题
1.网络通信线路和设备的缺陷
(1)电磁泄露:攻击者利用电磁泄露,捕获无线网络传输信号,破译后能较轻易地获取传输内容。
(2)设备监听:不法分子通过对通信设备的监听,非法监听或捕获传输信息。
(3)终端接入:攻击者在合法终端上并接非法终端,利用合法用户身份操纵该计算机通信接口,使信息传到非法终端。
(4)网络攻击。
2.软件存在漏洞和后门
(1)网络软件的漏洞被利用。
(2)软件病毒入侵。
(3)软件端口未进行安全限制。
(二)人员层面的问题
1.系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低;文档的共享没有经过必要的权限控制。
2.技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施。
3.专业人员利用工作之便,用非法手段访问系统,非法获取信息。
4.不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。
(三)管理层面的问题
1.安全管理制度不健全。缺乏完善的制度管理体系,管理人员对网络信息安全重视不够。
2.监督机制不完善。技术人员有章不循,对安全麻痹大意,缺乏有效地监督。
3.教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。
二.网络信息安全的防范策略
(一)技术层面的防范策略
1.网络的基础设施安全防范策略
(1)减少电磁辐射。传输线路做露天保护或埋于地下,无线传输应使用高可靠性的加密手段,并隐藏链接名。
(2)使用防火墙技术,控制不同网络或网络安全域之间信息的出入口,保护网络免遭黑客袭击。
(3)使用可信路由、专用网或采用路由隐藏技术。
(4)网络访问控制。访问控制是网络安全防范和保护的核心策略之一。包括入网、权限、目录级以及属性等多种控制手段。
2.软件类信息安全防范策略
(1)安装可信软件和操作系统补丁,定时升级,及时堵漏。
(2)应用数据加密技术。将明文转换成密文,防止非法用户理解原始数据。
(3)提高网络反病毒技术能力。使用杀毒软件并及时升级病毒库。对移动存储设备事前扫描和查杀。对网络服务器中的文件进行扫描和监测,加强访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(4)使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。还可以使用分布式、应用层、智能的入侵检测等手段。
(5)数据库的备份与恢复。
(二)人员层面的防范策略
1.对人员进行安全教育。加强对计算机用户的安全教育、防止计算机犯罪。
2.提高网络终端用户的安全意识。提醒用户不使用来历不明的U盘和程序,不随意下载网络可疑信息。
3.对人员进行法制教育。包括计算机安全法、计算机犯罪法、保密法、数据保护法等。
4.加强技术人员的安全知识培训。
(三)管理层面的防范策略
1.建立安全管理制度。对重要部门和信息,严格做好开机查毒,及时备份数据。
2.建立网络信息综合管理规章制度。包括人员管理、运维管理、控制管理、资料管理、机房管理、专机专用和严格分工等管理制度。
3.建立安全培训制度。使安全培训制度化、经常化,不断强化技术人员和使用者的安全意识。
三、安全三要素的保障作用更重要
在保证网络信息安全的过程中,技术是核心、人员是关键、管理是保障,我们必须做到管理和技术并重,技术和措施结合,充分发挥人的作用,在法律和安全标准的约束下,才能确保网络信息的安全。
(一) 技术的核心作用
不管是加密技术、反病毒技术、入侵检测技术、防火墙技术、安全扫描技术,还是数据的备份和恢复技术、硬件设施的防护技术等,都是我们做好网络信息安全防护的核心要素,技术支撑为我们建立一套完整的、协调一致的网络安全防护体系起到了核心的作用。
(二)人员的关键作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,还是程序开发人员、技术维护人员,还是网络黑客,都是我们构建网络安全环境的关键因素,成也在人,败也在人。
(三)管理的保障作用
管理是不可缺失的,不论是技术上的管理,还是对人的管理,不论是技术规则,还是管理制度,都是网络信息安全的保障。很多安全漏洞都来源于管理的疏忽或者安全培训的缺失。
四.多说两句
网络信息安全是一项复杂的系统工程,涉及人员、技术、设备、管理、制度和使用等多方面的因素,只有将安全三要素的保障策略都结合起来,才能形成一个高效安全的网络信息系统。世上没有绝对安全,只要实时检测、实时响应、实时恢复、防治结合,做到人、技术和管理的和谐统一,目标一致,网络信息就能安全。
参考文献
网络安全意识教育培训范文6
关键词:图书馆;网络信息;安全保护;技术研究
近年来,随着计算机网络技术的发展,作为文献信息保障中心的图书馆,其业务管理、文献信息服务对网络依赖程度越来越大。搞好网络信息安全管理除技术建设外,还应该强化图书馆馆员、用户的安全教育,完善安全管理制度和制度的落实,提升网络信息安全主体的责任意识。随之而来也带来了很多问题,其中安全问题尤为突出,已成为目前图书馆界所面临和亟待解决的一个重要课题。高校电子阅览室是教师查阅文献信息、学生浏览网上资料的主要场所。随着各高校图书馆电子资源的日益增加,电子阅览室的利用率也在逐渐提高,因浏览网页、下载文件、测试软件等操作,使计算机病毒的传播速度也随之加强;另外计算机使用时间越长,垃圾文件越多,系统盘的空间会越来越小,注册表越来越臃肿,从而造成系统稳定性变差甚至瘫痪,如何为读者提供一个长期、安全、稳定的操作系统,是每一位电子阅览室工作人员的首要职责。图书馆网络信息安全问题也是一个综合性的问题。
一、图书馆网络信息安全分析
网络信息安全包括信息的安全和网络系统的安全两层意思,信息的安全是指保护基础运行信息、服务器信息、用户信息、网络信息资源等信息或数据的机密性、完整性和可用性,同时还需要对信息风险和信息控制之间的最优平衡有非凡的理解。网络信息安全技术。先进的安全技术是实现信息安全的重要手段,许多网络信息系统安全性保障都要依靠技术手段来实现。像信息安全所用到的防火墙技术、入侵检测或流量分析技术、认证控制技术、VLAN技术、加密技术、VPN、病毒防护技术、容灾技术等多项安全技术,为确保图书馆网络信息的保密性、完整性和可用性提供了强有力的支持。
网络信息安全管理。网络信息安全的主体是人,客体是网络信息安全防御体系,网络信息安全实际上就是主客体互动的过程。技术研究的对象是物,而物是没有目的、没有意义可言的,它不涉及人及其行为。技术只是一种手段,网络信息安全必然涉及到人及其行为和制度问题。安全管理贯穿于整个信息安全防御体系,包括建立安全管理组织、制定安全目标、制定安全防护策略、建立安全管理制度、制定安全规划与应急方案、对员工进行安全意识教育培训等内容。安全技术只有在有效的管理控制之下,才能得以较好地实施。可见,严格的安全管理是网络信息安全的根本保证。随着数字图书馆建设的深入,网络信息安全问题日趋凸显。有人对2009年我国30家数字图书馆信息安全管理现状进行调研,发现在已发生的安全事件中,三分之一的安全事件是由安全管理机制不够完善引起的,而事件发生原因中管理因素高达70%以上。可见,安全管理上的缺失已成为数字图书馆整个网络信息系统不安全因素中的主要因素之一,对数字图书馆产生的危害远大于其他方面。
二、信息安全加密技术保护
信息加密的目的是保护网内的数据、文件、口令和控制信息不被泄漏、篡改和破坏,保护网上传输的数据不被分析。它不需要特殊的网络拓扑结构的支持,对网络性能影响较小。使用密码技术进行数据通信,其过程就是取得原始信息并用收、发方共同约定的一种特殊编码变换成密文进行传送。网络加密常用的方法有链路加密、端到端点加密和节点加密三种。链路加密可保护网络节点之间的链路信息安全,端到端加密可对源端用户到目的端用户的数据提供保护,节点加密是对源节点到目的节点之间的传输链路提供保护。随着现代电子技术和密码技术的发展,公钥密码算法成为一种很有前途的网络安全加密体制,加密技术是网络安全最有效的技术之一。
三、网络保护技术
服务器,DNs服务器、数字资源服务器和在线查询服务器等都应设置公有IP,供网络用户查询,并将以上服务器划成一个VLAN,放置于图书馆防火墙的DMZ区域加以保护.对中心机房的其他服务器如数据库服务器等划分为一个VLAN,不允许外网访问.对图书馆工作人员的电脑划为一个VLAN,使用内部私有地址,允许访问外网.电子阅览室的计算机可以根据规模大小划为一个或几个VLAN,使用内部私有地址,允许访问外网.容灾技术概述作为一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力.因为任何一种网络安全设施和存储设备都不可能做到万无一失.因此,对于数字图书馆重要的网络信息系统必须采用容灾技术来提高系统的健壮性和可用性,即使发生系统灾难,也能快速地恢复系统和数据.容灾与备份的根本区别在于容灾不仅要保证企业数据的安全可靠,同时要保证业务的连续性.
三、入侵检测技术
入侵检测技术作为一种新型网络安全技术,是对防火墙技术的合理补充。目的是提供实时的入侵监测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。主要是通过从计算机网络系统中的若干关键点收集和分析信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统(IDS)有多种分类方法,主要有:根据采用的分析方法可分为异常检测和误用检测;根据检测的对象可分为基于主机的IDS和基于网络的IDS;根据工作的方式可分为离线检测和在线检测;根据对抗的措施还可分为主动系统和被动系统;根据系统检测的频率可分为实时连续入侵检测系统和周期性入侵检测系统。
对于大型图书馆和经常受到不明网络攻击的图书馆来说,部署入侵检测系统(IDS)是非常必要的信息安全防护措施。在防火墙内外部署有IDS的检测器可以协助判断防火墙是否适当地设定与运作。IDS也可以辨识防火墙无法察觉的网络攻击,并可识别流向或来自某一主机网络封包上的攻击,分析监控系统的事件、资料、目录及登录文件中的攻击行为,以提供更多的防护。入侵检测系统虽然能够有效降低网络安全的风险,但会带来某些因为流量分析而造成的网络效能降低问题,且会因为产生误报而产生大量警示,导致真正的攻击难以被辨识出来。同时,入侵检测技术还处在研究和发展之中,还有许多问题有待于去解决。
四、网络信息安全保障措施
图书馆管理者应改变重技术轻管理的观念,树立全新的安全管理理念,针对图书馆馆员以及读者安全意识薄弱、安全措施不落实等现状,组织开展多层次、多方位的网络信息安全宣传工作。要加大对安全防范措施检查的力度,开展岗前培训、现场网络安全教育与技能培训,提倡自主学习,派送技术骨干再深造等。通过安全意识教育,使全体馆员及用户明确自身权限和义务,严格、自觉地遵守图书馆上网规定,不越权、不随意下载和安装盗版或共享软件,同时保管好自己的密码,经常加固系统,提高系统的安全性。强化制度建设,提高制度执行力。强化制度执行意识,实现人与制度的良性互动,把学习、执行、维护制度内化为一种素质,这样,图书馆才能真正创设个个严守制度的良好氛围。
网络信息安全所关涉到的技术和管理都有自己的责任边界和范围。技术确保信息安全实现,管理确保信息安全落实。如管理制度中的具有明确责任规定和追究措施的问责制,就进一步明确了问责的范围和对象,以及岗位责任的边界和范围。比如规定辅助维护人员只能对设备和服务器进行一定范围内的更改,而关键及核心的改动则必须由主要维护人员来完成。安全管理技术人员必须承担起安全技术保障的技术责任,把好安全管理技术关。
总之,从以上介绍的各种网络安全技术中可以看出,只有在图书馆网络系统中将各种安全防护技术结合起来使用,才能使图书馆的信息安全得到最大限度的保护,以达到有效保障图书馆网络信息安全的目的。图书馆网络安全工作任重道远,只要网络安全威胁存在,网络安全技术研究工作一刻也不能停止。
参考文献
1张晓毅. 图书馆网络安全浅谈[J]. 图书馆工作与研究, 2003(3)
2陈秀萍, 郭朝晖. 图书馆的网络信息安全及对策[J]. 农业图书情报学刊, 2004(7)
3曾巧红. 构筑图书馆网络安全的防护体系[J]. 图书馆论坛, 2004(3)
