信息安全培训总结
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全培训总结范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全培训总结范文第1篇
“中国企业员工的信息安全意识可谓不容乐观,提升员工信息安全意识刻不容缓。”谷安天下副总经理魏彩霞对当前企业员工的信息安全意识现状表示担忧,“不同行业的信息安全意识现状不同,电信、金融等行业由于业务的特殊性,安全意识较高,而其他行业的信息安全意识整体状况则依旧薄弱”。
调查显示,接近50%的受访者认为单位领导的信息安全意识一般、很差或者还不如自己。而据魏彩霞介绍,一些企业中即使领导非常重视信息安全,希望提升员工的保密意识,但“只是看到别人的明文密码导致信息泄漏就更改自己的网页设置等单个事件,并不能系统地提升企业员工整体的信息安全意识”。
由于员工信息安全意识薄弱而给企业带来灾难性损失的案例屡见不鲜。据统计,世界上每分钟就有两家企业因为信息安全的问题而倒闭。而在所有信息安全事件中,只有20%~30%是因为黑客入侵或其他外部原因造成,另外70%~80%是由于内部员工的疏忽或有意泄漏造成,而78%的企业数据泄漏是由于内部员工不规范的操作造成的。
信息安全培训总结范文第2篇
关键词:公钥基础设施(PKI);数字认证(CA);矿区管理;信息安全;密码服务器
0引言
当前我国矿山企业安全生产形势依然严峻,安全生产基础相对薄弱,事故总量还是很大,煤矿、金矿等高危行业结构不合理,应急处置以及救援抢险能力相对不足,部分企业违规违章现象依然存在,给安全生产带来一定的安全隐患[1]。随着计算机通信和网络技术的快速发展,矿山企业安全生产的信息化管理成为衡量企业现代化建设的重要指标,也是促进企业安全生产、提升效益的重要方式。矿区安全生产管理平台在部署时,采用开放式架构,兼容主流信息技术,在.NET平台的基础上,为了满足多种信息源服务终端的需求,平台采用了多种基础数据库模型技术,保证安全管理平台的系统整合能力。平台采用面向服务的架构(SOA)设计,并基于分层和分类结合的混合模式,数据交换模式采用标准的XML等技术,应用统一规范的数据交换接口及应用程序接口,安全机制相对可靠[2]。平台基于J2EE技术架构,支持HTML和DHTML等Web浏览器标准,设计原则遵循高内聚、低耦合的原则,降低系统各个功能模块间的耦合度,降低操作难度,提高系统的通用性。根据矿山企业矿区分散、不聚集的特点,为保证矿山生产网和办公信息网之间以及与外网之间的信息交换畅通,确保信息在产生、存储、传输和处理过程中的安全性,需要建立全网统一的认证与授权机制、时间服务和密码服务。目前,在各种技术,基于PKI/CA的信息安全技术能合理的作用于矿区安全生产信息化管理平台,从而保证安全策略得以完整准确的实现,该技术是解决数据加密、保护信息安全最有效的方案[3]。
1基于PKI技术的安全生产管理平台体系研究
1.1安全生产管理平台的需求分析
矿区安全生产管理平台为解决矿山企业安全统一管理应运而生,以安全生产风险管控为核心的风险管理平台是目前各个矿山企业信息化建设的新趋势。以安全生产管理为核心的平台建设可以实现对危险隐患的合理分析,形成事前管理、事中风险预控、事后应急救援在内贯穿安全生产管理全过程的监督管理,从而达到提升安全管理水平的目的。
1.2安全生产管理平台的系统功能设计
以矿区实际情况为前提,以信息资源规划和开发利用为主线,以安全法律法规为支撑,根据功能需求,在成熟的软件开发方法论的指导下,矿山企业安全生产信息化管理系统的主要功能框架如图1所示,其子系统设计如下:包括风险管理子系统、事故管理子系统、安全隐患管理子系统、应急救援子系统、安全培训子系统、监督检查子系统、质量标准化子系统等7大部分。其中风险管理子系统主要负责矿区风险评估,衡量事故发生的可能性并对其可能造成的相关损失进行评估,根据风险评估结果,制定相应的管理标准及措施;事故管理子系统主要负责对已发生的事故进行统计,形成事故报告、事故月报、事故数据库等,方便查询,根据需求进行事故通报和责任追究;安全隐患管理子系统主要进行安全隐患追踪、及时对隐患信息进行登记、上报、汇总等,形成隐患整改通知单,及时开展追踪和销号管理等;应急救援子系统主要针对突发紧急事件进行预防、救援、恢复等管理,以应急救援案例库为依托,类比实际案例,推送相关匹配度最高的案例辅助应急救援决策,此外该模块涵盖救援队伍、救援机构等详细信息;安全培训子系统主要负责相关人员安全的培训信息统计,及时对持证人员进行过期预警提示,服务于公司的安全培训管理等制度;监督检查子系统主要进行安全活动制定、、总结等,下设安全检查、整改落实、经验总结等三个子模块,为安全监督管理机构安全检查发现的问题、形成原因、改进措施、整改建议等;质量标准化子系统主要为管理人员提供标准库查询、检查数据汇总等服务,方便现场检查及质量便准化考核等。
1.3安全生产管理平台的PKI/CA技术分析
1.3.1PKI技术体系简介
随着当前信息系统建设的快速发展和数字网络化的应用的普及,不同部门之间、跨部门的信息共享和综合分析的需求也在日益增加,与此同时当前信息网络应用中也面临着信息量大、数据种类繁多,不同数据访问要求不同等现状,因此包括信息保密性、身份认证、访问权限管理等在内的信息安全问题急需解决。公钥基础设施(publickeyinfrastructure)简称PKI,为解决大型信息网络面临的安全问题应运而生。PKI是当前信息化安全建设的基础和重要保证。PKI是一种具有安全性和透明性的密钥管理系统,通过为用户提供密钥和证书管理服务,提供安全策略,从而建立安全有效的网络环境,保证数据信息在安全传输的过程中不被非法偷看以及非授权者篡改等,从而达到保护用户信息机密、完整的目的[4-6]。通常来说,一个完整的PKI系统包含认证中心数CA(certificateauthority)、证书库、密钥备份及恢复系统,证书作废处理系统,客户端证书处理系统等五大部分,其中CA是PKI的核心执行机构,证书库是存放公钥和用户证书的信息库[5-7]。
1.3.2基于PKI体系的矿山安全生产信息化管理体系结构
PKI作为一种安全技术,已经深入到常规网络的各个层面,使用户可以在多种应用环境中使用加密及数据签名技术,是当前网络信息安全问题的综合解决方案,为企业的信息安全保驾护航。对于本文分析的矿山企业安全生产管理平台,PKI技术将重点解决用户访问权限、信息传输、数据共享等问题,如准确验证登录用户身份、保证跨部门之间的信息保密与共享、防止信息窃取保证信息安全传输等等。矿山安全生产信息化管理平台的PKI安全服务体系主要包括证书签发管理和PKI安全服务两部分,如图2的方框所示。其中PKI的主体是证书机构CA、注册机构RA(registrationauthority)、密钥管理KM(keymanagement),其中核心组成CA是数字证书的颁发机构,数字证书就是网络用户的身份证,CA审核用户身份等信息并与公钥结合形成数字证书,从而确保其真实有效性,使得PKI能够为网络用户提供较好的安全服务[7]。RA在整个体系中起承上启下的衔接作用,是连接用户和CA之间的桥梁,既向CA转发证书请求,也向安全服务器转发CA签发的证书等。KM主要负责密钥的备份、恢复、保存等管理服务,三个系统完成了证书签发、管理等功能。公共安全接口具有一套通用、抽象的系统函数,实现语言较多,具体的密码算法不会影响到该接口,设计者可以根据自己对于系统的需求对安全接口进行开发,该接口根据工作环节及性能分为初始化部分、安全操作部分、解编部分、通信部分等。
管理调度单元衔接公共安全接口与密码服务单元,公共安全初始化部分通过管理调度单元选择密码服务单元,而管理调度单元向负载最小的密码服务单元进行申请密码服务,从而使得服务器负载均衡。当系统调度单元出现故障时,系统会随机分配一个密码服务单元,保证应用系统的正常运行,在保证系统负载均衡的同时,也保证数据的冗余备份,从而为应用系统提供及时安全的密码服务。密码服务单元是PKI密码服务的核心部分,负责提供相关密码算法及密钥管理功能。密码服务器根据配置需求及应用情况包含多个密码服务单元,当一个单元出现故障时,可以通过管理调度单元进行分配,从而保证应用系统的正常运行。密码算法根据功能特性主要分为三类:非对称密码算法(公钥密码)、对称密码算法(传统密码)和安全Hash算法[9-10]。非对称密码算法计算速度相对较慢,但其电子签名和密钥交换功能有更广阔的应用范围;对称密码算法运算速度较快,适用于大数据高流速的数据加密/解密功能,但是难以实现用户身份识别等功能;安全Hash算法可以用来实现数据完整性验证和辅助电子签名等功能。密钥管理主要包括密钥的产生、更新、泄露处理、有效期管理、存储、销毁等功能,从而保证密钥的安全有效运行。实时监控单元对密码服务器中的单元状态进行实时监控,及时找到密码服务的相关故障,此外实时监控单元的日志功能可以记载密码服务器出现问题的详细信息。以PKI技术为核心的信息安全架构体系可以有效的作用于矿山安全生产信息化管理平台的正常设计和应用中,尤其是多层次的网络系统中,从而保证安全策略顺利实施,从而保证整个平台系统的信息安全和应用安全。
2PKI/CA相关技术在矿山企业安全生产管理建设中的应用效果
以密码技术为核心的PKI/CA技术,提高了网络的安全性与可靠性,较好地解决了信息共享开放与信息保密隐私的关系、网络互联性与局部网络隔离的关系,保证矿山企业安全生产管理建设的信息安全性,为企业内部用户提供了安全信赖的网络环境,保证了企业不受信息安全威胁,为矿山的安全生产、信息管理提供了技术保障,在数据安全管理、业务协调以及实时智能指挥等领域取得了一定的应用效果。
2.1在数据安全管理领域的应用效果
2.1.1身份认证和访问控制方面
安全生产管理平台用户角色众多,有企业监管人员,公众访问人员,平台内部测试管理人员等,一人多账户多角色多权限,容易带来极大的安全隐患问题,因此具有支持多种认证方式同时具有统一认证访问控制的安全机制及用户权限管理方案变的非常重要。安全生产管理平台基于PKI技术将证书策略应用于用户的访问控制中,不同级别的登录人员可以设置不同的访问权限,通过网上进行信息传递的身份证明,为用户和数据之间建立起可信任的桥梁,有效的保证了平台信息的安全服务。
2.1.2安全传输方面
矿山安全生产信息化管理会产生大量的数据,数据规模大、种类繁多,随之而来的是数据安全管理和通讯安全的问题,安全的信息通讯是解决信息安全威胁的重要手段之一。安全生产管理平台采用的PKI相关技术,可以使用不同系统间的跨域共享和灵活授权,可以提供不同系统访问的授权管理、密钥管理、身份认证、责任认定,使得系统传输的数据信息具有较高的安全性、完整性、并在消息传递过程中完成信息的加密和数字签名,大大提高了平台通讯的安全性。
2.2在业务协调、实时智能指挥领域的应用效果
安全生产管理平台以安全生产风险管控为核心,在成熟的软件开发方法论的指导下,将风险管理、事故管理、安全隐患排查、应急救援、安全培训、监督检查等内容整合到统一平台。PKI相关技术保证了各个系统之间的数据共享和安全通信,通过登陆人员访问权限和各模块之间协调管理,为公司的安全生产提供了技术保证,从而对生产过程中的风险进行有效管理,提升安全管理效率,降低安全生产事故。PKI技术保证了系统通讯的正常安全运转,实现各个系统之间的资源共享,消除各个系统之间的信息孤岛,实现各个子系统的协调调度,使得各类用户可以方便快捷的访问、管理平台,将各类信息安全的联系起来,同时借助系统对监控数据进行智能分析和决策支持,使得事故实时智能指挥成为可能,并逐步实现了事故管理由事后应急响应到事前预警提示,对于提高矿区防灾能力,实现矿区安全高效生产、提高安全管理水平具有重要的引领作用。
3结语
PKI技术体系通过管理数字证书和密钥的方式,为用户搭建安全可靠的网络平台,使得用户可以在多种用户环境中方便的进行加密和数字签名,保证了矿区安全生产管理平台身份识别、信息传递、访问权限等的安全实施,依托数字证书、密钥管理等技术,可以有效的生成、保存、更新管理密钥,解决了网络身份认证、信息完整性和抗依赖性等安全难题,为解决矿山安全生产信息化管理中存在的信息安全等因素提供了强大的技术支撑。考虑到PKI技术本身缺点以及矿山企业的行业特性,该技术仍有一定的缺陷。在实际中,PKI技术构建和运行成本高昂,此外用户认识水平、相关法律政策等因素的制约,都不利于PKI技术应用发展。因此,需要解决多个独立PKI系统之间的交叉认证与互操作性等,以及证书过期、撤销、丢失带来的密钥托管和证书安全等问题[11]。尽管如此,PKI技术的前景仍然是广阔的,随着相关技术的快速发展,PKI相关技术仍然是矿山安全管理信息化建设中解决通讯安全问题的必然选择。
参考文献
[1]刘星魁,谢金亮,LIUXing-kui,等.煤矿安全生产现状及对策探讨[J].煤炭技术,2008,27(1):139-141.
[2]史科蕾,石秋发.基于PKI/CA技术在矿区服务平台中安全管理的设计与实现[J].煤炭技术,2013(6):280-281.
[3]熊万安,龚耀寰.基于公开密钥基础结构(PKI)的信息安全技术[J].电子科技大学学报:社会科学版,2001,3(1):4-6.
[4]张慧.PKI技术研究[J].湖北第二师范学院学报,2007,24(8):42-44.
[5]李彦,王柯柯.基于PKI技术的认证中心研究[J].计算机科学,2006,33(2):110-112.
[6]谢冬青,冷健.PKI原理与技术[M].北京:清华大学出版社,2004.
[7]黄兰英.PKI技术和网络安全模型研究[J].孝感学院学报,2007,27(6):62-64.
[8]陈雨婕.基于PKI的矿山企业网络信息安全研究[J].矿山测量,2011(3):46-47.
[9]秦志光.密码算法的现状和发展研究[J].计算机应用,2004,24(2):1-4.
[10]张晓丰,樊启华,程红斌.密码算法研究[J].计算机技术与发展,2006,16(2):179-180.
信息安全培训总结范文第3篇
【关键词】企业信息 信息资产
一、专业管理的目标描述
(1)专业管理的理念或策略。如果在工作中能做到卡帐物一一对应将大大降低资产的日常维护的难度,当用户反应设备出问题时候,可以第一时间的到达现场去维护。做好资产维护工作,更加有利于对资产的统计和审计工作,能更好地对资产全周期的管理。
(2)专业管理的目标和范围。在公司日常的信息通信资产维护工作中,做到资产正确率百分之百成了运维工作中一个最主要的目标。信息资产管理的主要范围为公司所述的全部信息设备,包括个人办公电脑、打印机、扫描仪、网络交换机和服务器等等。
二、专业管理的主要做法
(一)专业管理工作的流程图
目前国网浙江浦江县供电公司拥有个人办公电脑753台,打印机和扫描仪等附属设备共计515台。公司信息设备数量庞大,不仅如此,各类信息设备种类繁多,就以PC机为例,目前公司正在使用的有DELL740系列、DELL760系列、DELL780系列、联想6100T系列和联想8300T 系列等10余种型号,每种型号的配置也完全不同,而且办公计算机所用的操作系统也完全不同,有WIN XP、WIN2003、WIN2008和WIN7等等,在对计算机的硬件和软件采集工作也有较大的困难。所以如何做到设备的帐卡物对应是一个难点工程。
目前国网浦江县供电公司信息化管理部门共有成员3人,需要担负着公司全承担信息通信管理、建设、运维、服务的全部职能。与公司数量日益繁多的信息通信设备和维护工作相比,现在的人员配置简直就是杯水车薪,好做好信息资产维护和管理工作是一个比较大的困难。所以,选择一种合适本公司实情的信息资产管理办法也就显得尤为重要。经过国网浙江浦江县供电公司信息化管理部门经过近两年资产工作的总结,制定了“四有”标准:即管理有制度、记录有台帐、体系有支撑、人员有培训,规范推进信息资产管理,以相对完善的管理办法、规范而又简洁的工作流程,保证了资产管理的规范有序,提升了资产管理水平。
(二)主要流程说明
公司信息化管理部门在日常工作中,严格执行图一的工作流程。下面对照流程图对公司信息资产维护的几个步骤进行说明和解释。
(1)管理有制度,以制度规范信息资产领用各环节。2013年年初的时候,通过借鉴相关经验和班组日常工作的总结和分析,研究出了一套相对于比较规范的信息资产管理的管理办法,在征得公司领导同意的后以公司下文的形式下发《国网浙江浦江县供电公司信息设备管理办法》(如图二所示),在管理办法中明确对公司信息设备从申请、迁移、更换到报废的全生命周期管理。
例如,以前公司某员工申请更换电脑一台,往往申请的新电脑并未安装给申请人或把更换下来的电脑又安装给他人,在维护过程中,造成多台信息设备资产的变更,稍不留神就会造成信息资产混乱。长此以往,信息资产将会产生一定的混乱和差错,不利于信息运维。目前,针对此类情况严格按照这个管理办法的规定,填写相应的申请单,在申请单中明确新装还是更换,对于新装一律执行谁申请,谁使用,谁保管的原则,对于更换一律将新电脑装给申请人,并把更换下来的电脑进行收回。有了这个管理流程之后,对于每台信息设备从安装源头上进行规范,在电脑送到员工安装前完成IMS系统上信息的变更以及完成资产二维码的打印和粘贴,通过以上措施和办法,在源头上做到实物与IMS系统的一一对应。
(2)记录有台账,以痕迹化管理确保信息设备账实相符。公司在每个部门设置一名兼职管理员,作为公司信息化管理队伍的补充。通过下发《关于成立国网浙江浦江县供电公司信息系统管理网络的通知》(如图三所示),以文件的形式任命了各部门的兼职管理员的职务。对于这支队伍,公司每年开展两次信息安全培训使其掌握最基础的信息运维技能。每个季度的第一个月初,公司信息资产运维人员从IMS系统中导出各部门的信息设备资产清单以OA的形式发送给各部门的兼职管理员,兼职管理员通过对照清单现场核实所在部门的信息设备资产,并将变动过的信息设备及时反馈给公司信息运维人员。对于信息兼职管理提出有问题和疑义的资产,由信息资产运维人员在现场再次核实,对错误的资产在IMS系统上做相应的更改。
与此同时,由于兼职管理员在无法实时对IMS系统的查看以及各部门存在信息设备使用人员更换情况,若各部门没有一份自身的信息设备台账也会造成资产的管理混乱。班组通过制作了《信息设备台账》,要求各部门兼职管理员将部门内的信息设备填写在《信息设备台账》上,从而在日常使用上杜绝了因为部门内部信息设备调整而引起的资产混乱的情况,实现信息设备的无死角管理。
(3)体系有支撑,以省公司IMS和ERP系统提升资产管理信息化水平。公司通过使用省公司的IMS和ERP系统,把相应的信息设备全部录入系统,实现实时全方面的对设备的管理。经过公司近2个月的信息设备资产的普查并将相关资产信息录入IMS系统。在日常工作中,对信息设备资产的变更及时在系统上更改,实现系统与实物相对应。同时,IMS系统与ERP系统联动保证资产的正确性。当公司采购一批信息设备,公司将资产信息及时录入IMS系统,IMS系统自动同步到ERP系统中,将生成的资产号、设备号填回IMS系统,实现新设备的账卡物一一对应。当有资产因为使用年限过长等原因需要报废的时候,及时在IMS系统中更改设备为退役,并联系省信通公司财务部资产管理专职参与信息设备报废,在将报废的信息设备统一保管由省信通公司安排人员进行报废,让财务进行签字确认,财务人员通过确认单及时在ERP系统上报废相对应的资产数据,实现资产下线帐卡物统一。
(4)人员有培训,以定期培训提升信息资产管理人员专业性。从2013年至今,公司信息化管理部门每年组织两次针对全公司信息安全骨干的信息安全培训(如图4所示)。培训的内容包括如何采集计算机的硬件信息(包括电脑品牌型号、出厂编号、出厂日期、CPU类型、内存大小和显卡型号等等)和软件信息(包括操作系统、IP地址和各硬盘容量等等),当前信息安形势,信息安全操作技能、违规外联防范措施及案例以及有关桌面设备资产的两个管理方法。在技术上给与了桌面设备管理里的支持。在每次信息安全培训的过程中,各部门兼职管理员对近半年以来的资产管理工作进行总结,并提出有疑问的资产信息。信息化管理部门运维人员进行一一记录后,进行逐一核实,保证信息资产的正确率达到百分之百。
(三)确保流程正常运行的人力资源保证
国网浦江县供电公司在公司层面成立了国网浦江县供电公司信息化管理领导小组,全面负责领导公司的信息化管理、日常运行维护和信息化设备建设工作。与此同时,成了公司信息化管理网络团队,在每个部门设置一名兼职管理员,在公司信息化管理小组的领导下,作为公司信息化管理队伍的补充。
目前,公司信息资产维护工作处于“1+2+N”模式,“1”指的是公司信息化领导小组全面负责领导,“2”指的是由信息化管理部门在信息资产管理中制定相应的运维管理办法和提供技术支持,“N”指的是由N名兼职管理员负责各部门信息资产的运行维护工作。在此工作模式下,上一级负责下一级的管理、指导、监督和考核工作,责任落实到每个人员,保障资产维护工作的顺利开展。
(四)保证流程正常运行的专业管理的绩效考核与控制
在经过公司主要领导同意以后,信息化管理部门联合人力资源部制定了相应的信息资产管理的考核标准,考核标准的主要指标是各部门信息资产的正确率,并以公司的名义进行了发文。在日常的信息资产运行维护过程中,严格管理信息资产的调整的每个环节,并列入了班组的绩效考核。
信息化管理部门将公司的信息资产信息按部门分配到部门管理人员中,部门各管理人员负责自己责任区内的信息资产的管理和维护工作。每个季度的第一个月,班组对部门管理人员在自身责任区资产情况进行抽查,随机抽取几台资产判断其数据的正确性。若有发生错误时,对其个人及部门严格考核,列入个人或部门的月度、季度和年度的绩效考核中。通过此项措施,可以把信息资产管理责任到部门管理人员,让每名管理员都有责任心负责好自己责任区中的资产。
三、评估与改进
(一)专业管理的评估方法
判断此项管理办法是否有效最简单的方法便是检验实施管理办法前后信息资产正确率的变化。
通过公司信息化管理部门对两年资产的维护工作总结,公司信息资产正确率有了非常明显的提高。2013年初的时候,公司信息资产管理较为混乱,IMS系统内的信息资产数据半年都得不到更新一次,连资产设备总数与实际情况有较大的差距,系统的信息资产数据根本无法与实际相对应,更无法和财务的ERP系统的数据同步。在报废工作中,旧仓库的待报废设备堆积如山,而且无法确定待报废设备的种类和数量。所以,2013年之前公司信息资产管理工作是没有任何头绪的。经过两年多以来信息资产的规范化管理,资产的维护得到了明显的改善。
目前,经过班组自行的抽查,信息资产正确率达到了百分之百。在班组对公司信息资产的日常运行维护工作中,正确的资产信息带来了极大的方便,一旦有员工反映所使用的设备有问题的时候,运维人员就能及时的查到该设备的任何硬件和软件信息,提高了运维的效率。与此同时,报废工作也有了流程化管理,对于每一台报废的信息设备做到了有章可循。
(二)专业管理存在的问题
虽然,公司在信息资产运行维护的工作上有了比较的进展,但是在目前信息资产运维的工作流程较为复杂,例如一名员工申请了一台新的办公计算机,需要将旧的计算机给另一名员工使用,现在的流程处理起来较为复杂,流程上需要运转较长的时间。综上所述,运维人员在处理信息资产管理流程的时间上过长。
信息安全培训总结范文第4篇
一、工作开展检查情况;
信息科积极落实市文件精神对网络安全开展自查梳理。目前本院内外网属于物理隔离,二个网段之间不能相互访问,电脑USB端口设置禁用,较大避免因外部介质感染和内外互连互通导致可能出现病毒攻击事件的发生。
1、检查信息中心机房服务器端;
每周定期更新杀毒软件病毒库,服务器屏蔽高危端口和修改远程访问端,屏蔽全部不在用的端口、修改用户访问内网服务器组策略、设置90天必须更换系统登录密码、密码规则按照英文、数字、字符、大小写等复杂程度设置、定期更换数据库系统登录密码、修改内网出口防火墙组策略和访问进出入规则、更新服务器高危补丁漏洞,对服务器系统做全盘备份。专用杀毒软件服务器每周定期下载更新最新版病毒库更新,并对系统设置空闲时间自动查杀病毒和漏洞扫描。
2、检查网络设备和安全设备端;
从机房端排查到各个楼层交换机等网络设备均一切正常,未发现人为的篡改和插拔网络,查询日志未发现可疑设备和网络地址攻击,硬件防火墙工作一切正常。机房内外网端口排查未发现内外相互混插跳线,在内网机器无法PING通外网电脑和网络设备,机房网络设备均有UPS电源输出,保证在瞬间断电,造成信息数据丢失和安全事件发生。从信息中心机房网络设备端到内网临床科室工作站和楼层网络安全设备上,内网并未发现有网络热点设备私自违规接入使用。
3、检查临床科室医护工作站内网端;
本次检查排摸医院内网电脑操作系统为WIN7和WIN10,WIN7微软不再更新补丁,后期逐步替换更新成新的操作系统,避免出现安全隐患。
按照区信息中心对工作站的管理要求,信息管理员落实封闭高危端口3389、445和屏蔽USB等移动设备外部接入,补打勒索病毒免疫补丁,升级杀毒软件,设置医生工作电脑开机登录密码,在医护人员信息业务系统内设置操作密码登入,并且告知业务人员不得冒名顶替,必须专人专用,人机分离必须关闭个人在用操作的业务系统,否则容易造成信息数据保密性和安全性得不到保护。容易他人直接查询使用及不法分子进入蓄意破坏信息数据。
为了保护信息中心服务器和数据库系统,避免临床工作站软件需要直接访问服务器端,信息科按照信息安全管理要求,将所有在用HIS业务系统全部拷贝到医护工作站本地电脑上运行,不在实时调阅访问服务器,尽量避免临床工作站中毒导致机房服务器被攻击或被篡改系统和数据库密码。
4、检查医院外网网络及终端;
检查医院外网终端均可以使用USB接口,防病毒软件为免费版360杀毒,内部病毒库和版本系统自动升级,无需人工手动下载干预,外网端口未封闭,考虑外网为日常办公需要,并未屏蔽端口和USB接口。外网终端操作系统设置登录密码。
二、 网络信息安全自查存在的风险;
1. 外网路由器端接入口未安装硬件防火墙(已安装的为软路由带防火墙功能),容易遭受外部网络攻击。医院信息科已落实整改,将网络安全申报在2021年的机房等保三级项目内解决。
2. 按照区卫计委信息中心检查规范要求,需要网络交换机设备上的运行日志保存6个月以上,目前医院未安装存储设备,网络交换机在断电恢复后日志自动全部清零,在出现网络攻击和病毒感染时,无法追溯跟踪分析来源,需要采购安装网络日志服务器,才能满足网络设备数据个性化存储。医院信息科已落实整改,将网络安全申报在2021年的机房等保三级项目内解决。
3. 临床科室医护人员普片对电脑系统加密和业务系统加密等网络安全意识上比较模糊和意识不强,缺少风险防范意识。后续需加强培训指导。目前已经全部对在用电脑系统加密处理。
4. 检查发现软件公司部分业务应用系统还是过度依赖高危端口,一旦高危端口屏蔽后,软件业务出现各种报错信息,影响客户使用。目前医院在用系统为C/S架构需要把系统部署到到本地电脑上存储运行数据。已经联系软件公司,回复会新开发最新部署软件,解决高危共享端口封闭后造成软件不能使用的情况发生。
5. 信息安全管理人员较少,需要增加信息安全专业人员技术支持。
三、网络信息安全自查工作建议
总体来说,我院领导对网络与信息安全工作非常重视,从未发生过重大的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员力量有限;全院医护人员对信息安全意识还够,个别科室缺乏维护信息安全的主动性防范和自觉性保护。
医院将今后加强信息技术人员的网络安全培训和外出学习,更进一步提高信息安全技术管理水平;加强全院职工信息安全教育培训,提高维护信息安全的主动性和自觉性;加大对医院信息安全设备建设的投入,提升网络安全设备的基础配置和淘汰旧损工作站,引进主流配置计算机,解决医护人员因电脑速度慢而影响工作效率,进一步提高医疗诊疗工作效率和网络信息系统运行的安全性运行。
经过近期自查工作,信息科充分意识到网络信息安全工作是一个需要常抓不懈的工程,网络信息安全需要人力物力的大力支持,要不断的学习新出来的网络安全知识,在改变旧有的管理方法和理念,同时要不断创新,以适应新形势下的安全管理需要。为医院带来新的管理方法,保障医院信息化健康持续发展。
信息安全培训总结范文第5篇
【关键词】国有大型企业 信息安全管理 模糊综合评价
随着我国计算机技术和网络技术的迅速发展,很多国有大型企业对信息和信息技术的依赖程度越来越高,信息已经成为企业一种崭新的资产,对企业的发展起到了至关重要的作用[1]。研究发现,对于企业信息安全管理的评价多数侧重于信息安全系统技术层面的评价 [2],或对信息安全等级评估和风险的评估[3] [4]。但国有大型企业的信息安全管理是一个概念非常复杂的管理事务,不能单纯依赖技术及防护设备,还将涉及安全、风险、人员、规章制度等管理因素,对其评价是一个定性与定量指标共存的综合的评价,要运用综合评价的思想和方法,才能够使评价结果更严谨。
本文着重从管理的角度出发,构建了国有大型企业信息安全管理评价指标体系,应用模糊综合评价的方法建立评价模型,并结合实证研究,得出客观、科学的评价结果。
1.评价指标体系构建
1.1 指标体系的构建
本文在研究了国外信息安全管理的评价标准[5] [6],以及国内信息安全管理体系的发展状况基础上[7] [8],结合国家对国有大型企业信息系统安全性的基本要求[9],综合考虑信息安全的技术属性和管理要素,通过德尔菲法反复征询5位专家的意见,构建了国有大型企业信息安全管理评价指标体系。
该指标体系共分为5项一级指标和16项二级指标,其中一级指标包括安全管理、技术管理、风险管理、人员管理和制度管理。各二级指标分别为物理安全、软件安全、网络安全;防御攻击能力、预警能力、系统应急反应能力、技术创新能力;风险识别、风险评估、风险控制;专业人员比例、考评上岗合格率、对员工的培训率;企业保密机制、安全规章制度、应急处理预案。
1.2 指标权重的确定
选用层次分析法作为指标体系中确定权重的方法,具体步骤如下:
(1)建立递阶层次结构模型,将决策问题的因素自上而下划分为不同的层次,包括目标层、准则层、指标层等。
(2)构造判别矩阵。一般用1―9标度的表示方法,把处于同一子集上的指标相对重要性进行专家评分,构造一个以重要性标度Aij为元素的两两比较判别矩阵A=(Aij)m*n。
(3)层次单排序。根据判别矩阵,求解矩阵A的最大特征根?姿m?琢x=?蒡■■■所对应的特征向量,并且做归一化处理。
(4)一致性检验。判断所得到的特征向量是否是权向量。
(5)层次总排序。层次总排序所得到的二级指标权重值等于层次单排序中每个二级指标的权值乘以其对应的一级指标的权值。
应用该方法,选取5位专家,结合已构建的评价指标体系,分别对一级指标、二级指标进行1―9标度判别矩阵的排序,应用层次分析法软件得出各个指标的权重值,此数据将作为后续评价的主要依据。
2.案例研究
模糊综合评价(Fuzzy Comprehensive Evaluation, FCE)是一种非常有效的多因素决策方法,主要运用模糊变换原理和最大隶属度原则,综合考虑与被评价事物相关的各个因素,对评估对象作综合评价。一般分为确定评价因素集、评语集、权重集,进行单因素模糊综合评价、多因素模糊综合评价及对评价向量分析6个步骤[10]。
本文的评语集为{优秀、良好、中等、一般、差} 5个等级,建立隶属函数,根据5位专家对指标的评分数据,计算出各二级指标的隶属度,最后分别得到安全管理、技术管理、风险管理、人员管理和制度管理的综合评价关系矩阵R1、 R2、 R3、 R4、 R5。
根据模型的计算公式,多因素模糊综合评价矩阵Bn为权重向量Wn与单因素评价关系矩阵Rn相乘所得到的行向量,本指标体系的多因素模糊综合评价矩阵分别为:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0),B3=(0.14,0.51,0.35,0,0),B4=(0.39,0.27,0.34,
0,0),B5=(0.25,0.57,0.18,0,0)。
由B1、B2、B3、B4和B5构成了该国有大型企业信息安全管理的单因素评价关系矩阵R,最终得到企业信息安全管理评价指标体系的总体评价结果如表1所示。
3.结论
根据表1,进一步对评价结果进行分析,该国有大型企业信息安全管理总体评价属于“优秀”、“良好”、“中等”的程度分别为24%、 57%、19%,按照隶属度最大原则,企业信息安全管理总体评价结果为“良好”偏上,总体可以评定为“优秀”。结合上述评价结果和企业自身的特点,给出以下几点对策建议。
(1)加强国有大型企业信息安全的技术管理,注重技术创新。提高技术的全面性,以及企业信息安全技术的创新能力,将信息安全列入企业战略规划之中,用先进的技术手段保证企业的信息安全、完整。
(2)进一步提高国有大型企业的风险管理,重视风险评估。企业要组建专业的评估管理与实施团队,进行系统、全面的调研工作,以确定信息安全风险评估的目标和范围。同时,及时进行风险评估的总结,将企业信息安全存在的风险问题控制在一定范围内,防止不必要的错误再次发生。
(3)加强企业对员工有关信息安全保密意识的培训力度。制定安全保密培训制度,增加对员工信息安全培训的次数,明确岗位职责,提高员工保密意识。
(4)重视企业信息安全的规章制度建设,提高执行能力。加强企业领导的重视,在信息安全管理的各个方面,成立安全监管小组。在企业涉及信息安全的部门,制定相应的规章制度,如机房管理制度、人员管理制度等,使企业高效率运行;设立绩效奖惩制度,提高员工保护企业信息的积极性。
国有大型企业信息安全管理是一个复杂的、动态的过程,涉及到很多的因素,且因素间相互影响,目前现有的研究并不多。本文从管理的角度出发,综合考虑了国有大型企业信息安全管理的特点,构建的评价指标体系具有科学、客观性。同时,采用模糊综合评价的方法将国有大型企业信息安全管理中的技术、安全、风险、人员和制度等因素纳入层次结构模型中,对难以评价、模糊的指标信息予以处理,评价方法容易实现。本文的研究为评价国有大型企业信息安全管理工作提供了方法,具有一定的实际应用价值。
*基金项目:国家自然科学基金项目“开放式服务交付平台(OSDP)的运营模式分析与研究”(71172135)。
参考文献:
[1]孟洁.国有企业中的信息安全管理和应用[J].科技信息,2012,(2):252
[2]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009,(4):211
[3]傅璧,丁爽,张恺.信息系统的安全风险评估及风险管理[J].企业导报,2011,(13):89―90
[4]吉增瑞.信息安全等级保护浅析[J].网络安全技术与应用,2005,(1):55―57
[5]Mikko Siponen,Robert Willison. Information security management standards: Problems and solutions[J]. Information & Management, 2009,46(5):267-270
[6]Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security management[J].Computers & Security,2012,31(2):221-232
[7]高文涛.国内外信息安全管理体系研究[J].计算机安全,2008,(12):95―97
[8]李晓玉.国内外信息安全标准研究现状综述[J].信息安全与通信保密,2009,(8):167―171
[9]徐毅.信息安全管理标准及其应用探讨[J].科技信息,2008,(36):65―66
[10]黄芳芳,刘桥.基于模糊综合评判的信息安全风险量化分析[J].网络安全技术与应用,2009,(12):22―24
作者简介:
王宁(1984-),女,辽宁锦州。北京邮电大学经济与管理学院研究生,研究方向是消费者决策分析。
王宁(1958-),男,辽宁抚顺。北京邮电大学经济与管理学院教授,工学博士,研究方向是消费者行为与决策分析。
