前言:中文期刊网精心挑选了信息安全服务范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全服务范文1
远望电子已获得浙江省“双软企业”认定及国家级高新技术企业认证,是国家创新基金支持单位、浙江省软件服务业重点扶持企业、“国家863信息系统安全等级保护产业技术创新战略联盟”成员、浙江省计算机学会信息安全专业委员会委员》。
远望电子是浙江省信息安全标准化技术委员会委员、公安部《公安综合信息安全管理平台技术规范》主要起草单位,同时还是浙江省治安监控网络综合保障系统行业标准》、工业和信息化部《信息安全技术政府部门信息安全管理指南》(国家标准),及全国信息安全标准化委员会《信息系统安全管理平台产品技术要求和测试评价方法》(国家标准)参与起草单位。
远望电子本着诚信为本的经营理念,连续多年均被评为AAA级信用等级单位。
远望电子与公安部第一研究所、公安部安全与警用电子产品检测中心、西北工业大学、杭州电子科技大学等科研院所建立了长期友好合作关系,从而提升了公司的软件研发、人力资源开发、人才培养和储备能力。
远望电子自主研发的信息与网络安全管理平台及监管系统等在国内二十余个省市的公安、法院、政府、保密等领域及大型企事业单位得到了广泛应用。近年来,远望电子开发的信息与网络安全平台已在浙江省公安厅及所属116个单位全面部署应用。浙江省公安厅借助该平台建立了较完善的信息安全综合保障体系,连续五年在全国公安信息安全综合评比中名列第一。
远望信息与网络安全管理平台及监管系统,融业务管理(规范、组织、培训、服务)、工作流程、应急响应(预警、查处、通报、报告)和安全技术应用(监测、发现、处置)为一体,集成了各类信息安全监管、分析技术,实现了对网络边界安全、保密安全、网站安全、主机基础安全,以及各类威胁信息安全的违规行为、资源占用行为等的有效监测、处置和管理。
产品同时结合工作流技术,实现了监测、警示、处置、反馈、考核五位一体安全管理工作模式,建立起长效的信息安全管理工作机制,并将其日常化、常态化,实现了信息安全管理工作的信息化、网络化。
远望信息与网络安全产品被列入“2010年度全国公安信息系统安全大检查”指定检查工具,并获得公安部2011年科学技术奖。
远望信息与网络安全管理平台及监管系统针对安全风险产生的根源,对网络中的安全事件和安全风险进行全程全网监测、管控,在技术的层面上突破了网络边界的定位、信息的准确鉴别、网站的定位,以及应用分析和监管等难题。
该平台能对信息网络进行全程全网实时监管,全面、清晰掌握网络系统状况,及时发现并分析、处置各类安全事件和风险隐患。
信息安全服务范文2
遵循“务实求新”的传统,永达电子潜心研制,大胆创新,积极实践,凭借多年积累的安全管理理论研究基础,形成了以“安全管理与控制平台”为核心的一系列技术成果,并将这些成果产业化,成功地投入到国家重大信息安全等级保护工程建设中。
秉承“卓越创新”的理念,公司获得多项技术专利并成功应用于政府、交通、通信、金融等领域。本着“多元协作”的价值观,公司与国内外众多IT厂商、科研院校广泛合作,分别与IBM、HP建立了“Linux联合实验室”和“IA-64J技术应用研发中心”,主动与各界分享信息安全领域的先进技术和成功经验。
公司获得的资质有:国家信息安全服务二级资质;涉及国家秘密的计算机信息系统集成甲级资质;ISO9001:2008质量管理体系认证、深圳市重点软件企业;计算机信息系统集成二级资质、商用密码产品定点生产与销售单位。
公司获得荣誉有:四川省科技进步二等奖、国家火炬计划项目证书、国家重点新产品证书、奥运政务网络和信息安全优秀服务企业、铁道科技奖励证书、知识产权优势企业、国家“863”立项支持单位。
永达安全管理与控制平台是永达SOC安全体系中的核心,是信息安全的数据中心和分析决策中枢,汇聚并分析信息系统中安全事件,制定并分发安全策略,实现信息系统安全风险集中管理、监控。
信息安全服务范文3
现今信息技术在电力行业中广泛应用,双向互动服务由于大量使用了通信、网络和自动化等新技术,使自身的安全问题变得更加复杂、更加紧迫。信息安全问题显得越来越重要,它不仅威胁到电力系统的安全、稳定、经济和优质运行,而且影响着电力系统信息化建设的实现进程。
针对上述情况,本文在双向互动服务平台物理架构的基础上,分析双向互动服务的安全防护需求,并由此提出了一套切实有效的保护方案,对跨区通信进行重点防护,提升整体信息安全防护能力,实现对双向互动服务信息的有力支撑和保障。
1 双向互动服务平台物理架构
双向互动服务平台的物理架构包括:
a.安全架构:终端安全接入平台,公网与DMZ区(隔离区)通过防火墙进行防护,DMZ区(隔离区)与信息外网通过防火墙隔离,信息外网与信息内网通过网络物理隔离装置隔离;专网(电力应用专网VPN)越过DMZ区(隔离区),通过防火墙接入,实现与信息外网通讯,信息外网与信息内网通过安全接入网关实现安全接入。
b.内外互动:所有应用部署分信息内网部署和信息外网部署,移动作业、控制类的涉及敏感数据的互动服务部署在信息内网,普通互动服务部署在信息外网。
c.通信方式:电力专网(包括电力应用专网VPN)、互联网(家庭宽带)、2G/3G/4G无线公网无线专网(VPN)、电力载波(PLC)、RS485、Zigbee、RFID、其它无线等。
2 双向互动服务安全防护需求分析
从网络边界安全防护、网络环境安全防护、主站和终端设备的主机安全防护、业务应用系统安全防护等四个方面提出双向互动服务的安全防护需求。
(1)网络边界安全防护需求
双向互动服务需要对信息数据的流入流出建设相应的边界安全防范措施(如防火墙系统)和数据的入侵检测系统。由于双向互动服务平台中属于企业信息网络的管理大区,同生产大区之间应该实现逻辑隔离,但管理大区和生产大区之间要相互交换数据,所以在网络大区之间应建设安全隔离与信息交换设备,如隔离网闸。
(2)网络环境安全防护需求
需要针对双向互动服务的整个网络环境建立完整的网络环境安全防护手段。网络环境安全防护需要对系统中的组网方式、网络设备以及经过网络传输的业务信息流进行安全控制措施设计。
针对黑客入侵的威胁,需要增加入侵检测系统,以防止黑客的威胁和及时发现入侵;需要对病毒及恶意代码的威胁建立相应的安全措施。
(3)主站和终端设备主机安全防护需求
需要对操作系统和数据库的漏洞增加相应的安全防范措施,对主站和终端设备提供防窃、防破坏、用电安全的措施。为满足数据终端存储和系统访问控制、终端设备网络安全认证、数据加解密等安全需求,可使用安全认证芯片所提供的密码服务功能,保障主站与终端设备的安全。
(4)业务应用安全防护需求
业务应用系统安全防护需求应从使用安全和数据安全两个层面进行描述。
1)系统使用安全需求。该项需求包括管理规章、系统备份、密码管理、测试及运行、操作记录等方面安全需求。
2)系统数据安全需求。该项需求包括系统数据、用户身份数据、传输数据、交易数据、终端数据等安全需求。
3 双向互动服务安全防护方案
双向互动服务安全防护方案应该基于上述物理架构,从边界防护、网络安全防护、主机安全防护、应用与数据安全防护等四个方面进行设计,具体如下所示:
(1)边界防护。1)横向网络边界:横向域间边界安全防护是针对各安全域间的通信数据流传输所制定的安全防护措施,各系统跨安全域进行数据交换时应当采取适当的安全防护措施以保证所交换数据的安全。2)纵向网络边界:信息内网纵向上下级单位边界,此外,如果平级单位间有信息传输,也按照此类边界进行安全防护。3)第三方网络边界:信息内网第三方边界指信息内网与其他第三方网络连接所形成的网络边界,在双向互动服务中指通过公网信道(GPRS、 CDMA)接入信息内网的网络边界。
(2)网络安全防护。网络安全防护面向企业的整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由、交换设备及安全防护体系建设所引入的安全设备、网络基础服务设施。
(3)主机安全防护。双向互动服务的主机安全防护主要包括系统服务器及用户计算机终端的安全防护。服务器主要包括数据库服务器、应用服务器、网络服务器、WEB服务器、文件与通信服务器、接口服务器等。计算机终端包括各地市供电公司远程工作站、省级公司工作站的台式机与笔记本计算机等。
(4)应用数据安全防护。应用安全防护包括对于主站应用系统本身的防护,用户接口安全防护、系统间数据接口的安全防护、系统内数据接口的安全防护。应用安全防护的目标是通过采取身份认证、访问控制等安全措施,保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
4 结论
用户是电力系统服务的最终对象,随着智能电网的发展,对于用户侧信息互动平台的研究越来越多。传统的信息安全防护技术已经不能满足电力系统的安全需求,面对用户侧双向互动功能安全防护的问题,本文阐述了双向互动服务平台物理架构,分析了双向互动服务的安全防护需求,并由此提供了一套可靠的解决方案,为双向互动服务信息安全提供了有力支撑和保障。
信息安全服务范文4
1 信息系统安全概述
信息安全是指信息系统中的硬件、软件、网络、数据等受到保护,不因偶然的或故意的原因而遭到删除、更改、泄露等,系统连续正常地运行,信息系统的服务不中断[1]。信息系统安全问题主要存在于硬件环境、软件、系统配置、用户管理等多个层面,具有动态性、时效性、复杂性、隐蔽性、多样性等特征,其内容主要包括信息的机密性、完整性和可用性三个方面。机密性是指重要信息不被泄露,不被非授权的组织、个人和计算机程序使用;完整性是指信息不被篡改或破环,保证信息的真实性,否则,一旦信息被篡改或破坏,将带来严重的后果;可用性是指合法用户或程序可以及时、正常地使用信息。图书馆信息系统主要包括馆藏书目数据、读者信息、各种数据库、图书馆自动化系统、图书馆自建的特色数据等,其中很多数据已经接入广域网。图书馆信息系统是图书馆几年甚至是十几年工作的积累,一旦遭到破坏,损失将会非常惨重,甚至会造成整个图书馆工作的瘫痪。因此,图书馆对安全问题必须要有足够的认识和重视,积极采取有效的对策,保障信息系统的保密性、完整性、可用性等,促进图书馆信息系统持续健康发展。
2 影响图书馆信息系统安全的主要因素
2.1 信息系统的硬件及软件环境
硬件环境包括系统所处的外界环境、硬件设备安全等。图书馆机房应有合适的、符合规定的工作温度、温度、稳定的供电系统、可靠的不间断电源等,以保证系统安全运行。硬件设备安全主要包括硬件的材料、集成电路与总线设计、制作工艺、电磁辐射、信号屏蔽、设备安装等方面。硬件存在缺陷可直接影响其使用寿命和信息信息系统的安全,甚至造成信息系统不可修复的物理损毁。因此,在购买硬件设备时,一定要把好质量关,为信息系统安全打下基础。
软件系统环境主要包括操作系统、应用软件及数据库设计等方面。操作系统控制和管理系统所有硬件和软件资源,是计算机操作的核心,技术人员要对每种操作系统的特点有充分的了解,尤其是每种操作系统存在的漏洞要引起重视,在服务器上选用适合本馆的操作系统。图书馆管理信息系统是图书馆主要的应用软件之一,目前的各种管理系统在设计与使用中都有不同程度的缺陷,一旦被人非法利用,将会对系统安全造成重大威胁。因此对软件存在的Bug,要及时打补丁,更新版本。在数据库软件方面,应重视用户授权、身份识别、访问控制、数据加密等安全问题,目前常用的ORACLE、SQL等都具有较高的可靠性与安全性。
2.2 信息系统遭受攻击
黑客主要是利用计算机网络软硬件的漏洞、缺陷以及操作者的专业知识不足等攻击信息系统,主要有植入病毒、木马、口令入侵、虚假网页、发送大量垃圾邮件、攻击计算机系统的安全漏洞等方式。病毒具有破坏性、复制性和传染性,一旦感染病毒很容易造成数据丢失、系统崩溃等;信息系统中一旦被植入了木马,非授权人员可远程控制计算机,而且非常隐蔽,很难被发现。口令入侵是通过利用目的主机某些合法的账号或口令,实施攻击。黑客可以向用户发送某些已经修改过的网页,当用户浏览恶意网页的时候,网页就会自动向黑客的服务器发出请求,黑客就可以利用这些恶意网页欺骗用户。攻击者可向目标的邮箱发送大量垃圾邮件,导致邮箱无法正常运行和使用。有的攻击者利用操作系统或应用软件本身具有安全漏洞,特别准备攻击字符,达到访问计算机的根目录的目的,甚至能掌握图书馆网络的绝对控制权。
3 图书馆信息系统安全应对策略
要解决信息系统的安全问题,必须建立一支高素质的信息安全维护队伍,加强对技术人员的培训,努力学习先进的技术,做到与时俱进,能够随时解决信息系统中的安全问题。还应该规范各种规章制度,并严格执行,做到对不同的工作人员明确定义其工作职责,能在出现问题时找到第一责任人;要做到严把权限关,图书馆工作人员的帐号密码要妥善保管,严防机密文件被随意访问;要制定清晰完善的操作流程,规范计算机网络的应用和操作。以下重点从技术角度来分析信息系统安全问题的应对策略:
3.1 数据备份
数据是图书馆信息系统中最重要的部分,软硬件故障及病毒、木马等都可能造成数据的破坏、丢失,建立并严格执行数据备份与恢复制度是信息系统安全保障的基本要求。图书馆信息系统中数据备份应做到及时、准确、完整。常用的备份策略主要有三种:完全备份、增量备份和差分备份,不同的图书馆可以根据实际情况来选择相应的备份策略。备份的数据还应注意进行恢复测试,保证在需要恢复时能够完整准确地恢复。
3.2 防火墙技术
防火墙是建立在被保护网络和外网之间的一道屏障,依照某种特定的规则,允许或限制网络之间的数据传输,尽可能地屏蔽外部非法入侵,具有很好的保护作用,在很大程度上防止了受保护网络受到黑客的攻击[2],但是防火墙无法阻拦网络内部的非法操作。防火墙的类型主要有网络层防火墙、应用层防火墙,图书馆可根据具体情况进行配置,以维护信息系统的安全运行。
3.3 防病毒技术
安装正版杀毒软件并定期升级,开启杀毒软件的实时监控程序;从网上下载软件要慎重,选择信誉较好的大型网站下载;下载的软件在安装之前要先进行查毒;来历不明的电子邮件不要随意打开,防止病毒邮件感染计算机;不要浏览非法网站等;定期用杀毒软件进行全盘扫描;该升级和打补丁的软件要及时升级和打补丁;在插U盘或光盘的时候,先进行查毒。通过以上措施,基本上可以预防病毒和木马。
3.4 访问控制技术
访问控制技术是指用户在进入系?y时,先要进行身份识别,获得合法性之后,方可登录系统,主要目的是防止非法用户进入[3]。身份识别的技术主要有用户口令、密钥、用户识别卡(光卡、磁卡等)、体貌特征(含指纹、签字等)等。信息系统管理者对不同的用户设置不同的访问权限,定义可使用的系统功能和资源,防止权限滥用。
信息安全服务范文5
一、加强知识产权的保护
(一)培养知识产权保护意识
数字档案馆可通过培训、讲座和BBS讨论等方式来向档案馆工作人员和咨询用户传授与知识产权保护相关的法律知识,增强其知识产权保护意识,减少数字档案馆服务过程中知识产权侵权问题的发生。
(二)加强立法保护
目前,我国在网络知识产权的专门立法及网络作品的法律保护方面还很薄弱,只有一些相关的法规可供借鉴,如《互联网著作权行政保护办法》、《信息网络传播权保护条例》、《著作权法及实施条例》、《专利法及实施条例》等。虽然这些法规条例对于网络信息环境的有序化、法制化起到了很好的规范作用,但我国还应不断完善相应的法制环境,借鉴国际上网络知识产权立法的成功经验和通行惯例,加快我国网络信息环境的知识产权立法,建立完整的法律保障体系。
(三)完善数字档案馆工作制度
档案利用既要符合档案法律法规,又要符合知识产权法律法规。目前,档案法律法规同知识产权法律法规之间确实存在着相互协调的问题,《档案法实施办法》规定“利用、公布档案,不得违反国家有关知识产权保护的法律规定”。因此,对于现行档案法律法规,有必要认真进行清理,将那些与知识产权法律法规有冲突的条款加以修订,使数字档案馆避免不必要的知识产权纠纷。
二、把握信息服务的尺度
各国版权法都在不同程度上赋予数字档案馆对信息资源“合理使用”的权利,以保证最大限度地实现信息资源的利用与共享。数字化信息资源的合理使用应以其知识产权保护为基础,传播信息应以取得权利人的授权许可为前提,以免造成对知识产权的侵犯。数字档案馆要努力营造尊重知识产权的环境,澄清服务中使用的各项资源的知识产权问题,把握好尺度,遵循“合理使用”限定的范围、权限。
三、慎重对待超文本链接
在超文本链接设链时,应提倡使用正当链接,即使用外链方式直接链接到他人的网站首页,注意保护被链网页的完整性,少用容易引起侵权纠纷的内链方式。在网页中,设链要慎用加框链接,如果必须使用,应事先取得被链接者的许可,避免发生版权纠纷。对于其他网站不正当链接,可采取ASP技术,使其他网站的任何链接必须首先链接到首页后才能进一步链接,以保证网站网页的完整性。DRS中所提供的链接服务若涉及侵权作品,在收到著作权人要求停止链接时,有义务采取积极措施,立即移除,制止侵权行为继续发生。只要在版权人提出侵权通知后及时采取移除措施,就不会承担连带责任。
四、强化参考源知识产权保护
(一)加强参考源的知识产权立法
加强数字档案馆参考源立法,尽快建立适当的参考源保护制度,为数字档案馆信息活动提供法律保护。在制定数字档案馆数据制度时,应遵循稳定性、衔接性、前瞻性和立法主动原则,结合我国的实际情况,在充分借鉴国际先进经验的基础上,制定中国特色的参考源知识产权保护的法律,既充分保护著作权人的合法利益,又给予参考源投资者一定的鼓励,从而促进社会信息产业和数字档案馆的良好发展及多元服务。
(二)建立和完善法定许可制度
法定许可使用是除合理使用以外的另一种对权利人的权利加以限制的形式。它是指根据法律的直接规定,以特定的方式使用已发表的作品,虽不需著作权人的许可,但应向著作权人支付使用费,并尊重著作权人的其他权利的制度。著作权制度的核心是通过适度保护作者依法享有的经济权利与精神权利,禁止或限制不劳而获,从而激励知识创新和知识扩散活动,平衡作者利益与社会公众利益之间的关系。法定许可制度有利于促进数字档案馆的发展。
五、数字档案馆的知识产权相关声明
在知识产权不成熟的环境中,采用与知识产权相关的声明。如著作权声明、合理使用声明、用户须知声明、免责声明,能规避侵权风险,减少甚至豁免侵权责任。大多数数字档案馆都有相关声明,其中采用用户须知声明的形式最为普遍,即在用户须知的条例中大致列有数字档案馆服务范围、方式及用户使用档案馆资源的合理限制。
六、优化技术支持
数字档案馆的正常运行最终要依赖于技术。根据不同类型的数字化信息资源,如不在著作权保护期内的作品、公有领域的作品、受版权保护的作品,或购置的各种数据库等,都应按有关规定,采用不同的技术手段实现其知识产权保护。目前,有以下几种方法对知识产权保护提供技术支持:一是加强权限设置,合法用户可通过口令访问,或通过IP地址设置,限定某IP网段的用户可以访问。二是在网络传输过程中采用加密与数字签名技术,防止网络信息在传输时被窃取或破坏。三是采用数字水印技术,使用户只能在屏幕上阅读。一旦该文本被复制,则该水印会在文本中央明显地显示版本信息;要想正常阅读、复制文本,用户只有向作者申请合法使用。四是CA认证技术,用户可通过向版权控制机构申请获得CA证书,成为合法用户,才可以正常使用。
信息安全服务范文6
论文关键词:政府;信息安全;信息安全人事管理
随着我国信息化建设的不断推进以及电子政务的持续发展,政府信息安全事故也频频发生。
资料表明,七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见,在信息安全事件中起决定作用的是人,人是信息安全保障T作中最活跃的因素。信息安全人事管理是指以现代人力资源管理理论为基础,从招聘选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等主要职能人手,对组织中信息安全人员进行科学管理、合理配置和有效开发,籍以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心。作为信息安全保障的一个关键要素,信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。本文将现代人力资源管理相关理论与信息安全工作特点结合起来,发掘与提炼信息安全人事管理各主要职能具有特殊性与规律性的实务要点,以期为有关方面提供借鉴和参考。
一、信息安全人员招募与选拔
招募与选拔是政府信息安全人员的“入口”,直接影响到信息安全工作的质量和效率。信息安全人员的招募与选拔实务应该把握以下要点:
1.从招募与选拔的标准上看,突出对个人品德及专业知识的要求。信息安全工作具有保密性、综合性、层次性和规范性等特点,进而决定了信息安全从业人员具有诸多特殊性及要求:他们在工作中会接触到关系国家及组织荣辱兴衰、生死存亡的大量秘密,保守秘密是他们的基本职业道德;他们必须不断学习,对自己的知识与能力进行“升级”,才能适应信息时代信息安全工作的需要;他们必须遵守更多的规定,而且在组织中具有明确的职责,不能越雷池半步。这些都表明,信息安全人员必须具有更高的品德修养。这对应聘者提出更高的标准及要求:必须具有很强的组织纪律性和保密意识;具有很强的团队意识和合作精神,愿意为组织利益牺牲个人利益;具有长远眼光和接纳新事物的胸怀,不断更新自身素质。组织可以通过面试、心理测验、背景审查等选拔方式考察应聘者的德行。此外,管理与技术是做好信息安全工作的两大法宝,因此是否具备一定的信息安全管理与技术专业知识是信息安全人员招聘的另外一个主要标准。组织可以通过笔试来考察应聘者专业知识掌握的程度,并根据职位的不同定位来确定不同的考察重点。
2.从招募的途径上看,在内部招募和外部招募相结合的基础上,突出内部招募。内部招募是指从组织内部发现并培养所需要的各种人才,其方式包括内部晋升、岗位轮换和返聘等;外部招募是指按照一定的标准和程序,从组织外部的众多候选人中挑选符合空缺职位要求的人员,其方式包括人才招聘会与校园招聘等。内部招募和外部招募各有优劣,两者结合起来可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人员招募一般突出依赖内部招募,这主要是为了人员安全可靠的考虑,确保信息安全人员的稳定性。信息安全关键或领导职位出现空缺尤为如此。不过,由于当前我国政府信息安全人才仍旧匮乏,所以当内部招募满足不了组织用人需求时也适当考虑外部招募。招募非关键性信息安全人员时尤为如此。
3.从选拔的过程上看,尤为重视背景审查和保密协议签订两个环节。一般单位选拔人员可能也进行背景审查,但不一定是必须的,或者审查的过程与结果不一定非常严格与仔细。与之不同的是,信息安全人员的选拔尤为重视背景审查这个环节。该环节不仅不可或缺,而且在审查的时间、内容、过程、结果等方面比一般人员审查有更高的要求。其意义在于保证信息安全人员招聘的准确性与可靠性,并在“人口”或“源头”上控制信息安全人事风险。例如,美国中央情报局联邦调查局等部门在选拔关键涉密人员过程中经常采用“心理测谎术”等高科技手段来对候选人进行审查,以确定候选人的诚实度、心理健康度或意志力等。此外,一旦候选人接受了工作,录用合同就成为重要的安全手段。在合同中,组织可以将“政策认可”作为招聘的一个基本要求即在合同中附上一个保密协议,要求候选人在将来的工作甚至离职后的一段时间中,必须遵守组织相关保密规定,担负起保障组织信息安全的责任,否则就会
二、信息安全人员培训
信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:
1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。
2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。
三、信息安全人员使用
信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:
1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,
威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。
2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。
四、信息安全人员绩效考核
信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:
1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。
受到处罚。候选人只有在保密协议上签字,承诺遵守相关政策,组织才能录用。
二、信息安全人员培训
信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:
1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。
2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。
三、信息安全人员使用
信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:
1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,
威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。
2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。
四、信息安全人员绩效考核
信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:
1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。
2.从绩效考核的内容上看,突出考核信息安全人员的道德品质与工作事故情况,而且不仅考核工作时间内的表现,也考核工作时间外的表现。一般的组织在员工进行绩效考核时,多依据“事后”的工作结果及业绩,业绩高则评价高,业绩低则评价低。但是信息安全这一行业具有其特殊性,单纯以“事后”的结果与业绩作为考核标准,难免会在组织内出现业绩高、品德低以及不重视过程的人员,进而存组织内埋下安全隐患,因此应突出考核信息安全人员在工作过程中所表现出来的道德品质、心理素质、忠诚度等。这些素质是一个人的行为指向标,决定一个人的行为方向,其一般标准是责任心强、遵守职业道德、具有进取精神、作风正派、遵纪守法等。而且,由于信息安全工作对安全性要求明显,冈此还要突出考核信息安全人员存工作过程中是否能恪尽职守,有无工作事故的发生。另外,必须通过日常考核掌握信息安全工作人员工作时间外的表现,包括是否存在随便与人交往问题,家庭关系是否和谐,生活作风是否正常,以及非工作行为是否怪异等等。
3.从绩效考核的期间看,以平时考核为主。信息安全人员的工作由于涉及到安全问题,因此不能像一般丁作人员那样以年终考核为主,而应突出平时考核以实现日常监控,并达到天天、时时、秒秒不安全问题。基于此,信息安全人员绩效考核可实施“月考”、“周考”,甚至“日考”,可以说,考核时间越短越有利于确保安全。安全问题无小事,若不重视平时考核,由此引发的哪怕是一眨眼功夫发生的事故,也有可能导致组织在安全上“功亏一篑”、“全盘皆输”。考核周期短虽然做起来麻烦,但“安全问题高于一切”,只要有利于保障信息安全,工作上“麻烦”一点是值得的。
五、信息安全人员激励
信息安全人员激励的关键是调动工作积极性,激发信息安全人员的潜能去实现工作目标,实务要点包括:
1.重视满足归属、人际交往与尊重的需要。内容型激励理论认为,组织满足员工的归属、人际交往与尊重等需要可以激励员工努力工作。而信息安全人员,特别是关键涉密人员的工作基本上是单调、枯燥、责任重大的,他们经常需要长时间值班或加班,长期处于全封闭或半封闭式的环境中,在单位及花在工作上的时间要比常人多得多,生活及社交空间相对狭小,所以组织更要设法满足其归属、人际交往与尊重的需要,而这主要依靠在单位及岗位上与领导或同事之间的相互沟通与关爱中得以实现。因此,组织必须创设关系融洽、和谐的工作氛围,建立良好的上下级与同事关系,多关心、爱护、支持信息安全人员,以满足他们归属等需要,激发他们的工作积极性。
2.强化目标激励。过程型激励理论认为,明确而可行的工作目标可以牵引员工积极付出行动以实现目标。由于信息安全工作责任重、压力大,同时又相对封闭与单调,容易导致信息安全人员产生工作倦怠和目标迷失等不良现象,进而影响到他们职业发展与组织目标的实现。对此,应帮助信息安全人员树立合理可行的工作目标,特别要通过引导他们认识到自己所从事工作的光荣与神圣,进而激励他们努力干好信息安全工作,以此获得职业发展与心理满足等。
六、信息安全人员离职管理
