云計算網絡安全培訓精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云計算網絡安全培訓主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:云計算網絡安全培訓范文
如果說2013年熱炒的大數據概念熱讓苦悶沉寂多年的數據庫管理員和數據分析師們一夜之間成了香餑餑,成了《財富》雜志眼中“二十一世紀最性感的職業人士”。那么,后“棱鏡門”時代,信息安全專家將成為下一個明星職業。
近兩年來,有超過20億美元的風險投資涌入硅谷的信息安全企業,信息安全創業投資迎來了久違的;近大半年來,與網絡安全行業有著千絲萬縷聯系的比特幣從不足50美元飆升至700美元;最近三個月,在中國市場,低位徘徊多年的信息安全行業也迎來了久違的甘露,有關信息安全概念的股票一路上揚。中國要成立國家安全委員會的戰略則確立了網絡安全的戰略地位,同時也意味著未來幾年中國政府和企業在信息安全保護方面的IT支出將進入一個快速持續增長的階段。
不得不說,去年爆發的“棱鏡門”事件,成為全球信息安全市場裂變爆發的催化劑和導火索。其沖擊力已超出信息安全范疇,波及IT行業的每個角落,上至國家、行業,下至企業和個人都必須重新審視并調整其信息安全策略。從國家關鍵信息基礎設施到個人數據隱私保護,由于相關監管政策和防護技術的滯后,可以判斷2014年將成為信息安全的“亂世之年”,同時也將誕生大量安全技術領域的“梟雄”。
讓我們來預測一下2014年信息安全市場的五大趨勢和機遇:
移動安全成為熱點
隨著BYOD(企業員工使用個人設備移動辦公)的流行,移動設備的安全問題一直是令企業CIO頭疼的問題。與PC端與網絡方面的安全的相對成熟相比,移動安全還處于拓荒階段,與市場需求形成巨大反差的是,安全產品和服務水平還遠遠達不到要求。而隨著企業和用戶對于隱私數據的日益重視,BYOD領域的安全管理產品正在成為資本關注的熱點,從2013年11月IBM和Oracle兩大企業IT巨頭爭相搶購移動安全管理產品公司可以看出,這一塊市場在2014年會有大的發展。
私有云和云安全興起
“公有云”其實從一開始推概念的時候, 其安全性就飽受質疑。 但是在巨大的利益驅動下, 不少企業和地方政府還是在不遺余力的推動。 而“棱鏡門”事件的爆發,使得企業和政府意識到在“公有云”上的數據竟然可以如此不安全。
從IT行業的發展來看, 在并行計算技術的日益成熟和硬件性能瓶頸問題日益突出的趨勢下, 云計算的存在和發展有其必然性。這樣將會促進“私有云”的大力發展, 同時也會促進基于“私有云”的安全技術的發展,例如德國一家創業公司就推出了基于“私有云”的一體機。 預計在中國市場, 出于安全的考慮, 不少公司和政府也會把云計算計劃從“公有云”轉向“私有云”平臺的搭建,但首先需要解決“私有云”的安全問題。 這種大環境下, 國內的IT安全廠商、云計算基礎設施提供商、云計算應用開發商和云應用服務商、電信服務商都面臨新的市場機遇。
工控網、物聯網安全受重視
其實,早在2010年出現的“震網”病毒以及其后的“火焰”病毒,就已經使得人們意識到工控網和物聯網的安全問題。而“棱鏡門”則使得隨之相關的工控網和物聯網的安全也提高到國家政策層面。 隨著中美就網絡安全對話機制的逐步形成, 特別是中國將成立國家安全委員會的戰略,將使得工控網、物聯網安全,特別是重要基礎設施的網絡安全開始被最高層關注。
預計2014年中國政府會推動重要關鍵基礎設施網絡安全的建設,一些重點企業也將開始對工控網的安全進行投入。而在中小型工控網和物聯網領域,比如智能樓宇、智能數據采集系統等的安全,也會成為企業IT安全的一個考慮因素。
安全培訓市場大幅增長
“棱鏡門”事件折射出來的另一個問題是,人們對隱私數據保護意識的薄弱。近年來網絡犯罪呈現出更加有針對性和手段多樣化的趨勢, 通過電子郵件、社交網絡、U盤等被黑客實施社交工程攻擊的例子比比皆是。如今,安全意識已經成了企業信息安全防護的最大“漏洞”,如何提高員工的安全意識和安全風險管理水平其實是每個CIO或信息安全官最頭疼的問題。
而“棱鏡門”所引發的, 不僅僅是政府對網絡安全的重視,傳統企業特別是大型企業的管理層和決策層也一樣開始重視起來。 網絡安全培訓市場過去幾年一直處于不溫不火的狀態,預計在2014年將會有比較大的發展。
數據安全市場重新洗牌
如今,全球政府都面臨大數據時代的信息透明和數據開放改革,以歐美多國政府推動的OpenData開放數據項目最有代表性,但是不久前美國政府醫保網站的安全漏洞為全球政府敲響了警鐘,政務大數據的開放是一柄雙刃劍,一方面可以調動社會資源,推動群體智慧創新,另外一方面政務數據上網也為黑客打開了一扇窗,政府網站面臨的數據安全問題也比過去嚴峻得多。
第2篇:云計算網絡安全培訓范文
黑客更關心應用
整個信息安全領域正在產生巨大的變化,信息安全的主題從終端安全、網絡安全向應用安全轉變。以前人們可以通過參數決定網絡的安全性,而現在網絡安全的評估標準是數據的安全,應用漏洞才是風險的根源。軟件的安全性變得越來越重要,它正快速延伸到個人應用。以前黑客還僅僅是攻擊Windows系統,而現在像Flash這樣的應用才是攻擊者的最愛。
赫伯特•H•湯普森表示:“信息安全領域中出現了很多非常有意思的問題,有的問題是邏輯性很強的,有的是完全沒有邏輯的。對于現在的黑客來說,他們總是在不斷進行改進。由于軟件設計越來越復雜,我們不能再按照以前的態度去對待黑客,反而要重視一些極端的例子。而且,我們要不斷地向自己提問,比如我所研究的應用和系統將會出現什么樣的問題。我們要懷有這樣的熱情,打破以往固有的范式,像黑客一樣思維。當前,在美國的大學里,我們已經開始向學生們灌輸‘黑客式’的思維方式。”
當前許多關于應用安全的標準定義都僅限于應用的保密性、一致性等問題,但赫伯特•H•湯普森認為,信息安全的脆弱性更多源于應用與安全的不匹配關系。比如,軟件設計者如何能夠合理地使用戶得到相應的信息,如何讓軟件起到合理的作用。
就某些方面而言,軟件開發者的“壞習慣”是讓應用不夠安全的根源之一,絕大多數開發者在編寫代碼的過程中都沒有考慮安全性。赫伯特•H•湯普森表示,已經有許多大型企業、機構開始對開發人員進行安全培訓,培訓自己的開發者正確編寫安全的代碼,增強開發者的安全意識。此外,現在還有對源代碼進行安全漏洞掃描的工具,開發者可以利用這些工具,發現其所開發應用的安全隱患。
云計算的雙面刃
EMC全球執行副總裁、RSA全球總裁亞瑟•W.•科維洛表示,新一輪經濟增長的動力是云計算,但是由于安全問題沒有解決,目前人們對云計算缺乏信心。解決云計算的安全問題,需要采取綜合的、系統化的、內嵌的安全方式。正如黑客形成地下產業鏈一樣,全社會的企業、廠商和政府也要協同工作,形成針鋒相對的產業鏈,才能擊敗黑客犯罪集團。
第3篇:云計算網絡安全培訓范文
據瑞星安全專家介紹,此次的全新瑞星殺毒軟件網絡版2012中,增加了“私有云”技術、動態資源分配技術、企業自定義白名單系統、第二代身份標識和客戶端密碼防護系統。基于這些全新的功能,企業的信息安全管理可以更為穩定,并且更加精準。
瑞星企業專屬“私有云”為每個企業單獨構建、提供專屬的云應用和云服務。它主要有兩大功能:其一,為企業提供安全應用軟件平臺,便于企業獲取經過瑞星安全認證的各類應用軟件,也便于管理員分發、管理和監控。其二,瑞星“私有云”為每個企業定制專屬的安全服務,企業客戶端無需存放病毒庫和進行復雜的殺毒運算,大大降低了對系統資源的占用。
而全新的企業自定義白名單系統意味著瑞星可以有效解決企業內部程序、文件、網站的誤報問題,通過系統,用戶可實現文件、網站的自動錄入,通過系統的自動識別、入庫,并借助瑞星“私有云”技術瞬間將方案分發給所有客戶端。
此外,智能動態資源分配技術優化了殺毒引擎的核心技術,使其變得更加輕便,突破了傳統殺毒軟件一次性將病毒庫加載到內存中,使用高負荷CPU進行運算的方式。它還對病毒庫進行細化,同時優化其存儲和加載方式,在殺毒時,實現化整為零、按需加載,從而達到降低資源占用的目的,使更多老舊電腦也可以流暢運行。
在安全問題日益嚴峻的大環境下,服務必將成為安全企業最重要的市場標桿。瑞星此次提出的5S專業級企業信息安全服務,即信息安全評估服務、信息安全預警服務、信息安全專家服務、信息安全應急響應服務和信息安全培訓服務,充分依托本土化的服務經驗,為國內安全行業樹立了發展的新標桿。
據了解,本次瑞星全新推出的“私有云”技術,是國內信息安全領域的第一個產品化的“私有云”平臺,在國內安全企業中尚屬首次。瑞星方面表示,這是繼2011年連續推出16款企業級軟硬件新品之后,公司發展的又一個新里程碑,
第4篇:云計算網絡安全培訓范文
信息安全實訓室是包含網絡安全教學設備的實訓室,除了基礎課程外,專業課程主要擔負了《服務器配置與管理》、《信息安全技術》、《網絡安全管理與維護》等課程的教學,以及針對信息網絡安全方向的對外培訓、測試、合作等項目。實訓室內主要硬件設備有各廠商安全設備,包括防火墻、防毒墻、入侵檢測、入侵防護、威脅分析等設備,除此外還有部分網絡設備和服務器。在教師和學生機上則主要以獨立的軟件和項目碎片化的虛擬機為主。即便部分廠商開發的安全實訓平臺,也多多少少離不開這些項目碎片化的影子。因此要形成過程化的分析系統,必須對硬件進行整合。
2需求分析
當前社會需求的網絡安全方面人才主要集中在以下幾個方面:1)專業型網絡安全人才。這類人員的崗位要求具備較深的網絡安全實踐基礎,對當前主流網絡攻擊和防御技術有較為全面的掌握;目前,有關監察審查部門、專業安全評測機構等單位對這類人才需求較高。2)綜合型網絡安全人才。這類人員的崗位原本都不是網絡安全方向,但是由于網絡安全形勢的需要,除了具備原有的知識技能外,還應擔負相應的網絡安全維護責任;目前黨政軍重要機構、電子商務和金融等關鍵機構的網管、維運人員;等級保護安全員等崗位對這類人才需求較高。因此網絡安全專業人才的培養應緊貼社會需求,同樣網絡安全實訓室的建設也應具備以下幾個功能:1)有效完成教學任務,滿足主流信息安全、網絡安全類課程實驗實訓內容的實現和操作。2)能夠為相關行業和崗位定向培養輸送畢業生,通過實訓室訓練達到崗位所需求的實踐操作水平(如等級保護安全員)。3)能夠為需要安全培訓的單位(如社保醫保等政府單位、電子商務等企業)或者結合權威部門提供培訓認證服務。
3改造思路
總體思路是在這些教學和項目在實施過程中,需要對網絡攻防雙方在操作上進行動態跟蹤,其中比較主要的一塊是針對網絡攻擊行為進行捕獲和分析,以攻學防、以攻促防;達到良好的實訓效果。網絡安全實訓在傳統的教學中,著重以攻輔防,即攻擊行為僅僅是學習防御行為的輔助手段,著重采用較為直接的結果引導教學方式,如攻擊行為會造成的結果應該如何防御;該方式是通過攻擊結果引導學生思考防御方法,雖然有一定的效果,但是僅僅通過結果來逆推攻擊手法和原理,難度過高且不利于學生了解本質和舉一反三發散性思維,容易導致教學和實訓效果不佳。而基于過程的攻擊行為分析,能夠全程還原攻擊細節和方式,引導學習實訓過程中的主觀能動性,變結果學習為過程學習;此外,在實驗室未來的對外安全項目合作、安全產品和系統資質測試、受訓人員水平資格考試等過程中,都需要采用細顆粒度的攻防行為分析;該系統的研究能夠促進教學、測試及合作項目的效果體現,提升實訓室整體品質。
4總體架構
實訓室邏輯拓撲總體由四個部分組成,包含攻擊區、防御區、互聯網模擬區、監測管理區。1)攻擊區主要由攻擊平臺組成,該平臺內含主流網絡安全測試工具,供學生終端機器調用以進行攻擊測試,該平臺可以用神碼的攻擊工具集,也可以采用Backtrack或Kali開源黑客平臺。此外攻擊區配備文件服務器供訓練數據的存儲共享,同時提供wifi環境做無線安全方面的實驗。如果條件允許,盡量配備流量發生器,用以模擬商業網絡流量便于仿真測試。2)防御區是實驗室的主要區域,該區域盡量模擬常見園區網絡環境和流行應用,供學生模擬黑客攻擊以及安全加固。具體配置為防火墻數款,包括微軟ISA宿主型軟件防火墻、神碼堡壘主機和各種獨立應用虛擬機。此外放置一臺CiscoACS服務器用作AAA認證實驗,同時和攻擊區一樣配備wifi網絡環境和流量發生設備。3)互聯網模擬區主要擔負攻擊區和防御區的互聯和入網,以及部分廣域網協議互聯的模擬,如幀中繼等,后期也可接入其他廣域網協議,便于安全領域的抓包嗅探等測試。4)監測管理區負責對實驗過程的監控和結果呈現,同時也擔負對整個實驗室設備的維護管理任務。其中入侵檢測可以采用開源snort系統,流控和日志可以采用神碼的設備,另外再配備一臺管理主機完成服務器和設備的管理操作。
5項目實施
5.1改革內容
1)針對入侵行為進行檢測;2)檢測覆蓋面應包括掃描、溢出、注入、拒絕服務等攻擊內容;3)能夠捕獲樣本數據,顯示數據包細節和結構分析信息;4)能夠顯示直觀的報告和分析結果,供安全防御訓練參考。
5.2改革目標
建立一個針對網絡攻擊行為的捕獲分析系統,對信息安全實訓室內的實訓項目中攻擊行為能進行捕獲和分析,提升實訓效果。
5.3擬解決的關鍵問題
1)大型源碼包的編譯安裝問題;2)網絡接口混雜模式、數據捕獲模塊、數據包分析模塊、規則庫匹配模塊、管理模塊的耦合穩定;3)報告系統的時效性和完整性;4)大數據流量下整體系統的穩定性。
5.4實施方法
學習研究國外已經成型的檢測評估體系,結合我院網絡安全實訓室的具體情況,分析需要構建的模塊和系統,設計出系統雛形,根據該雛形編譯相關的模塊和插件,整合系統。在一個標準實驗臺內可以完成基本的服務器、安全實驗,基本滿足實驗教學需要。另外,可以根據需求進行組合,滿足不同層次實驗的需要。組合如下:標準型實驗(服務器實驗、主機安全實驗)功能型實驗A(標準型+無線AP+流量+安全硬件)功能型實驗B(A+網絡安全,通過2臺防火墻)功能型實驗C(B+入侵檢測和防御,通過2臺安全網關來實現)功能型實驗D(C+威脅發現,通過流量、資產監控、入侵檢測、威脅發現來實現)學生做實驗時,通過訪問控制服務器CMS對實驗臺內的網絡實驗設備進行配置、管理、實驗操作,無須來回插拔控制線。學生只有登錄權限,沒有修改權限。教師在教師機上可以登錄到學生實驗的設備上,指導檢查學生的實驗過程和結果。主要承擔的實訓項目為網絡安全,設備安全包含熟悉互聯網主流安全技術配置,包括交換機的端口安全、IP訪問控制列表、基于時間的訪問控制列表、專家級訪問控制列表、防火墻的配置、局域網于Internet之間的互聯等。網絡安全包含主機和網絡安全、攻防模擬、入侵檢測和威脅發現、主機和WEB應用、數據庫應用安全、云計算的模擬和應用、CTF攻防競賽等等。此外,也可以完成網絡集成教學所需要的局域網基礎實驗、廣域網基礎實驗、VOIP實驗、安全實驗、無線實驗、網絡管理實驗、IPV6實驗。整個實驗室的實驗臺臺數,實驗組數由學生人數和實驗室項目靈活調整。此外納入建有的創新實驗室,根據實訓功能和規模,可靈活調整實訓人數和項目。
5.5可行性分析
在網絡安全的教學實訓活動中,傳統的網絡安全教學往往是在攻擊行為完成后提出防御措施,繼而讓學生被動學習訓練防御和加固技術,但學生在學習過程中容易產生的對攻擊細節的疑問往往因為沒有可視化或過程化的手段,而無法得到有效解答,同時也限制了學生自行思考、舉一反三的可能性。此外,實訓室在未來可能擔負安全檢測、合作項目等方向的內容,都需要對攻擊行為進行過程化的還原。針對攻擊行為過程的檢測分析是近年來網絡安全界發展迅猛的一項技術,該技術的出現為網絡安全技術從傳統的結果分析過度到過程分析奠定了基礎;目前,全球各大廠商和標準化組織都提出了各自的標準,其中一些還有較為完善的體系模型和開源項目,并在兼容性、適用性上都取得了很多進步。經過初步調研,這些已有的成果符合實訓室現有條件和項目需求,可以取主流的模型加以分解調整,完成本地化,結合實訓室實際建設一套實用的分析系統。
6特色與創新
第5篇:云計算網絡安全培訓范文
關鍵詞:智慧校園;安全風險;措施
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)27-0042-02
Abstract: Intelligent campus has full intellisense, ubiquitous network, data access resources sharing, and many other advantages, also there are many security risks at the same time, analysis of the security risk types, characteristics and causes, research how to reduce the safety risk, to ensure the safety of intelligent campus data information transmission, and improve the safety and reliability of teachers and students users using the Internet, web pages, and the platform system.
Key words: intelligent campus; security risks; mobile Internet; measure
智慧校園是對傳統數字化校園的擴展和提升,無論從技術上還是從設備上都有很大的改進,智慧校園運行框架與體系大致可以分為感知層、網絡層、數據層、系統層、應用平臺等五層,經過研究分析,智慧校園在物理設備、數據存儲與傳輸、平臺系統、網站訪問、安全制度、技術人員配備與管理等諸多方面都存在比較大的安全風險,下面將逐一對這些安全風險問題進行分析,仔細查找原因,并研究有關安全風險應對措施。
1 智慧校園安全風險分析
1.1 物理硬件設備與操作系統
據調查,目前高校多存在設備老化、配置過低、系統陳舊等問題,具體包括光纖、網線、服務器、交換機、集線器、路由器等網絡設備設施老化、配置過低導致網絡運行質量難以保證,安全漏洞層出不窮;電腦主機配置低、操作系統陳舊等導致電腦設備運行緩慢、訪問網頁速度慢、系統安全漏洞多、容易受病毒感染和攻擊等;網絡設備、電腦設備、感知設備等建設水平參差不齊,難以與先進的數字化校園平臺技術進行對接,造成智慧校園運營風險加大等。
1.2 數據存儲與傳輸
無論是智慧校園還是傳統的數字化校園,在數據方面存在的安全風險都很大,主要體現在數據標準、數據存儲與傳輸等方面,具體包括缺乏統一的數據標準和數據接口導致各應用系統使用的數據對接難;未能建立統一數據中心導致沒有數據歸口管理部門及數據管理混亂;數據庫服務器安全性能低、缺乏數據加密及數據備份恢復機制、數據使用操作不當等導致數據存儲安全風險大;缺乏數據整合平臺及傳輸鏈路不安全導致數據傳輸安全風險大及信息孤島的出現風險等。
1.3 應用系統
智慧校園所使用的應用系統種類很多,包括學生管理系統、教務管理系統、科研管理系統、辦公系統等,應用系統風險主要體現在系統數據使用、系統登陸、用戶信息盜竊等方面,具體包括部門多、系統多,各部門使用的系統數據標準不統一及數據共享要求性高等導致系統數據使用風險大;系統登陸安全保障機制不健全導致系統登陸安全風險大;數據庫服務器安全性能低、病毒侵入、黑客攻擊等導致用戶數據被盜竊等。
1.4 網站訪問
智慧校園中師生訪問各類網站安全風險很大,主要體現在學校上網人數多,網絡管理部門未能建立網絡安全訪問策略,對網絡訪問缺乏有效監控,電腦缺乏防火墻和有效殺毒軟件,學生安全意識不強,訪問非法網站及不良信息,隨意下載、打開安全可靠性低的文件、郵件,導致電腦病毒感染、木馬入侵、黑客攻擊、攻擊校園網絡、網頁打不開等安全風險。
1.5 安全制度
高校師生人數多,網絡用戶數量大,在操作計算機、上網等方面缺乏有效的安全管理制度將導致安全風險大大增加,具體包括缺乏機房安全管理、防火防盜管理制度及計算機多媒體操作使用細則等導致機房電腦設備損耗嚴重及起火被盜風險加大;缺乏數據備份、災難恢復有關制度導致計算機核心資源被竊取和篡改;缺乏安全事故處理程序及應急計劃導致安全防范環節薄弱。
1.6 技術人員配備與管理
智慧校園建設除了經費、設備設施一系列投入以外,還需要大量的技術管理人員,而目前高校在這方面建設還比較薄弱,比較突出的是實驗室管理人員、機房管理人員、多媒體教室管理人員、網站平臺維護人員、系統信息管理人員等流動性大,專業性不強,未經正規培訓或考核,造成對電腦、機房設備、網絡設施及網站、系統平臺等操作不當、管理效率低下,智慧校園運營信息泄露、設備被損壞和偷盜等安全風險加大。
2 智慧校園安全風險應對措施
2.1 資金投入和設備設施建設
高校應高度重視智慧校園建設工作,增加建設資金投入,購買性能穩定、安全系數高的網絡設備設施、智能感知設備、數字化校園平臺及應用系統等,并保持各種設備及系統持續更新。對配置過低,影響上網、上機速度的光纖、網線、服務器、交換機、集線器、路由器、電腦主機等老化設備予以淘汰,及時更新。在建設過程中一定要綜合考慮各種設施設備的協調搭配對接,防止參差不齊,影響設備功能發揮和帶來運營安全隱患。
2.2 技術措施
安全技術措施很多,擬將其分為物理層、網絡層、數據層、系統層、應用層等多個方面。
2.2.1 物理層措施
首先要加強機房建設,機房中的各類網絡設施設備、服務器、UPS電源等要擺放合理,注意通風防潮,外人不得輕易進入機房重地,機房設備應由專人管理操作;為防止電腦、服務器等設備因長時間運行導致溫度持續升高而損壞,機房還應添置空調、排風扇等設備;另外要加強機房監控和安保等工作,防止機房貴重設備被偷盜和損壞;除了加強機房建設,還應對網線、光纖、集線器、交換機、路由器等進行科學部署和統一擺放。
2.2.2 網絡層措施
高校網絡管理部門要建立網絡安全策略,一是建立網絡應用授權、訪問控制中心,比如建立全校統一的用戶管理平臺和授權認證體系,由網絡中心派專人負責認證授權管理,自主研發或購買符合學校實際需要的網絡監控控制系統,對校園內各網絡節點及端口進行有效監控,對有病毒、黃賭毒、暴力等信息的網站系統進行攔截、拒絕訪問;二是使用防火墻等軟件,對校園內網進行保護,對內外網絡訪問連接進行檢查,防止外部非授權用戶非法訪問修改內部網絡資源,對跨越網絡邊界的信息按照規定的安全策略進行審查,有效保護內部網絡環境和特殊網絡設備,監視網絡運行處于安全狀態。
2.2.3 數據層措施
學校要投入資金購買性能好、安全穩定系數高的數據庫服務器,要建立統一的數據中心和數據標準,對智慧校園各系統平臺使用到的數據進行統一管理,同時利用云計算平臺技術對各種數據資源進行有效整合,防止信息孤島的出現。學校還要建立用戶訪問控制機制,針對不同用戶群體授予不同權限,比如有些用戶只有數據訪問權,而無修改、存儲等操作權,另外針對用戶私人信息等重要數據建立加密機制,學校財務、職工等重要信息傳送接收可采用數字簽名機制,以防信息被竊取,對師生造成不必要的損失。
2.2.4 系統層措施
系統層安全措施包括操作系統安全措施、數據庫系統安全措施、信息資源系統安全措施等,其中操作系統安全措施包括系統漏洞修復、系統殺毒防護等,數據庫系統安全措施包括數據存儲加密、數據傳輸加密等,信息資源系統安全措施包括訪問控制、身份認證、用戶權限授予等。
2.2.5 應用層措施
應用層直接關系到師生用戶對智慧校園門戶網站及各種平臺系統的使用,應在校園各機房電腦上安裝殺毒軟件,并定期更新殺毒軟件病毒數據庫,對校園網站服務器、各信息系統服務器及數據庫服務器等要進行雙源供電,建立數據備份、災難恢復機制,確保不因斷電等異常情況影響師生正常使用校園網及數字化校園平臺系統。
2.3 管理措施
2.3.1 安全管理制度
要建立機房安全管理制度,特別是網絡中心機房管理制度,責任明確到人,機房管理員要定期對機房設施設備存在的安全隱患進行逐一排查,并及時報告處置異常情況;要建立電腦、網絡等設備設施維修、報廢制度,派專人對出現故障的設備設施進行維修,確保設備正常運轉,及時對各部門報廢的設備設施進行鑒定和更換;還要建立信息員安全培訓、數據備份等制度,定期組織各部門信息安全員及機房管理員等進行網絡安全等專題培訓,提高安全防范意識,掌握設備正確操作方法,定期對重要數據進行備份。
2.3.2 人員配備及管理
高校要對各種感知設備、網絡設施設備、服務器設備等重要設備設施進行有效管理,確保數字化校園平臺及各種應用系統正常運轉,組建機房管理人員、信息員、電腦維修員、網絡管理員等專業人才隊伍,提高技術人員工資,確保隊伍穩定性,同時定期開展有關技術培訓,提高其技術操作管理水平。
3 結束語
智慧校園使用到的信息技術種類很多,因學校環境條件限制、網絡共享開放性要求高等諸多因素,使得各種信息技術在實踐應用中暴露出一系列安全問題,對這些問題進行深入分析,研究有關對策,并努力實踐,將智慧校園應用安全風險控制在最低范圍內,為師生用戶創造一個安全、開放、共享的數字化校園環境。
參考文獻:
[1] 凌冠華.高校數字化校園的數據建設和安全管理研究[J].價值工程,2010(10).
[2] 唐秀忠.基于數字化校園的管理系統安全研究[J].思茅師范高等專科學校學報,2009(12).
第6篇:云計算網絡安全培訓范文
近年來,隨著信息安全等級保護工作機制的不斷完善,主管部門監督檢查力度的不斷加大,信息系統開展等級測評的數量穩步增長,測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據,可以得出以下結論:一是較早開展等級測評的行業,經過測評和整改建設,測評符合率逐年提高;二是隨著等級測評工作的持續推進,近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱,測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計,其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高,信息系統的建設、使用、運維階段存在一些較普遍的問題。
信息系統安全保護措施落實情況分析
整體而言,隨著等級測評工作的持續推進,黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升,在管理和技術兩方面主要采取了以下安全措施:
信息安全管理措施落實情況
在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障,其安全管理措施一般也能得到有效落實,在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反,部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門,其信息安全專業人員的配備達不到標準規范的要求,安全責任部門地位偏低權限不足,很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。
信息安全技術措施落實情況
多數單位通過部署邊界安全設備,強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略,啟用安全審計,安裝殺毒軟件等措施,來提高主機安全防護水平;通過開發應用系統的安全模塊,從身份鑒別、訪問控制、日志記錄等方面,強化業務應用的安全性;通過部署數據備份設備、加密措施,加強對數據安全的保護。
信息系統常見安全問題分析
隨著等級測評工作的覆蓋面進一步擴大,近年來初次測評的單位和基層部門仍發現一些典型問題。
信息安全意識有待提高
很多單位對當前日趨嚴峻的網絡安全形勢認識不足,將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂,完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題,根源還是安全意識薄弱。
信息安全管理有待加強
信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。
信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版,未結合本單位實際進行修訂,導致缺乏可操作性。
系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范,導致安全功能缺失、應用層漏洞頻現。在系統驗收階段,很多單位僅注重業務功能驗收,缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。
系統運維管理不到位。在系統運維管理方面,部分單位運維和開發崗位不分,職責不清,存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄,數據備份策略不明,應急預案不完善并缺乏演練。
關鍵技術措施有待落實
分析近年來的測評結果,安全技術措施不足問題主要體現在以下幾個方面:
在物理安全方面,隨著電子政務集約化建設的推進,大量信息系統已經集中到高規格的專業機房,但仍有部分單位自有機房條件簡陋,位置選擇不規范,出入管理較隨意,防盜防破壞、防雷防火防潮能力較差,環境監控措施不足。
在網絡安全方面,常見網絡和安全設備的配置不到位,如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊,安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時,還違規接通互聯網,存在極大的安全隱患。
在主機安全方面,部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外,由于主流操作系統和數據庫很少支持強制訪問控制機制,相關要求普遍未落實。
在應用安全方面,很多應用軟件安全功能不足,缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試,相當一部分系統存在高危風險,如SQL注入、跨站腳本、文件上傳等漏洞,以及弱口令、網頁木馬等問題。
在數據安全方面,較常見的是數據保密性和完整性措施薄弱。此外,部分信息系統的備份和恢復措施欠完善,缺乏有效的災難恢復手段。
針對新技術的等級保護測評標準有待出臺
隨著浙江政務服務網的大力推進,省內各級政務云平臺的建設使用已全面開展,有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視,對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域,在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。
重要信息系統安全保護對策建議
針對上述存在的問題,本文提出以下對策建議,以供參考。
提高信息安全意識
提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念,加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展,還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫,強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓,落實信息安全相關崗位“持證上崗”的要求。
加強信息安全管理
“三分技術,七分管理”,各單位應轉變觀念,將“信息安全”與“系統穩定、功能正常”同等重視起來,將安全管理要求與自身業務緊密結合,制訂完善的體系化的安全管理制度。
在系統建設管理過程中,應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節,應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求,驗收階段完成等級測評,未通過測評的應不予驗收。
在系統運維管理方面,應加強制定信息系統日常管理操作的詳細規范,明確定義工作流程和操作步驟,使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理,建立完善應急災備措施,定期開展演練,確保備份的有效性。
落實關鍵技術措施
針對測評發現的問題,各單位應根據系統所定級別,結合自身條件,綜合考慮問題的影響范圍、嚴重程度、整改難度等因素,制定整改計劃,有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題,應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題,建議國家加強相關產業政策的引導,促進安全廠商研發技術、推出產品,解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理,督促關鍵技術措施的落實。
加快新技術的等級保護測評標準編制工作
目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準,尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚,隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用,安全標準相對滯后的問題更加突出,應進一步加快相關新標準的制定。
第7篇:云計算網絡安全培訓范文
關鍵詞:安全;管理;制度;教育
1引言
高校計算機學科實驗室是計算機專業人才培養和理論實踐的重要平臺[1-2]。目前,高校計算機學科實驗室已經具備一定的規模,機房數量眾多,學生使用頻繁,所以能夠給學生提供安全有序的實驗環境對于實驗室工作尤為重要。隨著計算機學科實驗設備的不斷完善,實驗設備數量的不斷增多,目前主要存在的問題有:使用頻率高、維護工作繁重、系統安全、防火防盜等。我們只有合理的預防和解決上述問題,才能確保計算機學科實驗室更好地為計算機學科教學服務。
2計算機學科實驗室安全管理存在的問題
2.1設備老化和故障問題
一般計算機學科實驗室的設備更新周期都比較長,計算機主機及服務器等設備普遍都存在著超期服役的狀況。這些設備在經過多年的高負荷運轉后,不同批次的設備之間在合作上經常表面上是一片“和諧”,可在實際使用中,哪怕只是偶爾地發一次小脾氣就會給實驗教學工作帶來極大的麻煩。此外設備故障也是計算機學科實驗室安全管理最急迫的工作之一。計算機學科實驗室的課程往往安排比較緊湊,因此機器使用頻率高,設備故障問題特別突出,這就使得計算機學科實驗室的管理和維護工作量逐年增大。如果沒有及時解決這個問題,勢必將直接影響實驗教學的正常進行。這些故障中有一部分是設備自身的問題,更多的原因則是由于學生的非正常操作而導致的異常損壞,比如個別學生為了自己的使用偏好,遇到問題私自打開機箱,隨意拔插設備部件等;部分學生甚至還會惡意破壞和刪除程序,設置BIOS系統密碼等,從而導致系統無法正常使用。
2.2系統安全問題
目前計算機學科實驗室為了滿足實驗教學的要求,在學期初實驗室都會根據課程要求,提前安裝各種相關應用軟件,所以基本上每臺計算機主機都安裝多個系統[2]。這種多操作系統的模式大大方便了平時的教學與考試使用,可是也容易因學生的誤操作而導致系統受損、感染病毒甚至于系統崩潰。這其中最難預防的是病毒,因為使用計算機的人員不固定,而且經常用移動存儲設備,這樣如果設備攜帶病毒或者木馬,病毒會對系統程序進行惡意篡改,造成系統癱瘓,信息丟失,而木馬則會非法入侵我們的計算機,影響系統的運行安全。這些都會嚴重影響到實驗室計算機的正常使用,一旦病毒和木馬大規模發作和傳播,甚至還會產生更嚴重的后果。
2.3環境安全問題
目前高校特別重視教學科研的資金投入,而對計算機學科實驗室的工作重視程度不夠,導致計算機學科實驗室的環境安全存在很大的漏洞[3]。由于各個實驗室都需要承擔繁重的授課任務,人員流動性大,各個實驗室都是滿負荷、超年限工作,設備使用時間長、衛生得不到及時清理、空氣得不到流通、電路超負荷、電路老化導致計算機硬件故障時有發生,電子設備引起的電磁干擾與高溫也容易引發火災等問題。同時,實驗室內幾乎都是電子設備,一旦出現實驗室漏水,必將會導致對實驗室設備不可逆轉的嚴重損壞。
2.4管理人員問題
在安全領域,普遍認為最大的漏洞就是人。我校計算機學科實驗室的實驗管理人員日常維護管理工作繁重,需要對大量的計算機設備進行維護管理,同時還需要兼顧防火防盜和網絡安全保障[4]。另外,由于課程需要和學院教學工作的統籌安排,中午和周末還需要上實驗課,值班壓力也大。這些因素都容易使得實驗管理人員忽略對新知識、新技術的學習。然而計算機技術發展迅猛,新知識、新技術、新名詞更是層出不窮,各種故障的排除方法也日新月異,這些對實驗室管理人員的理論知識、技術技能等方面不斷的提出新的要求和挑戰[5]。
3加強計算機學科實驗室安全的措施
通過對當前高校計算機學科實驗室管理過程中普遍存在的安全問題的分析,我們必須從環境安全、制度規范,設備保障和安全教育等達到一定的指標要求,才能夠保證我校計算機學科實驗室安全、平穩的運行。
3.1加強環境安全管理
在計算機學科實驗室所在的實驗大樓里配備了紅外報警系統、門禁管理系統、視頻監控系統和場地火警報警系統等一系列現代化智能安全設備,并聘請專業保安人員全天候巡邏,以確保實驗大樓的安全。每個實驗室都配備消防栓,滅火器等安全設備,在樓道內配備了應急照明燈和感應式走廊燈。同時在實驗室內部也采取各種安全保護措施,包括標準的接地保護,安裝包括總配電開關、分線配電開關和設備供電開關的三層漏電保護裝置,封閉實驗室內部所有可能造成漏電的金屬部位,以及使用全封閉的實驗導線與插座[6]。預計在不久的將來,我校計算機學科實驗室還將建成機房內部24小時全方位無死角安全監控系統,從而大大提升整個實驗室的安全保障指數。
3.2完善安全管理制度
嚴格遵守國家在網絡信息安全的各項法律、法規,遵守學校、學院和實驗教學中心制定的各項信息安全制度,加強網絡信息安全審查工作。網站信息系統的內容管理和安全審計由安全責任人執行,計算機學科實驗室的網絡由信息化建設辦公室統一管理。建立有效的信息反饋機制、安全隱患排查機制和危機干預機制,針對計算機學科實驗室的特點,制定實驗室安全應急預案,預防實驗室安全突發事件的發生。當實驗室出現緊急情況時,實驗室管理人員可以按照指導方針進行妥善處理,最大程度保護實驗室內部人員和設備的安全。
3.3增加安全保障措施
及時更新實驗室的軟硬件設備,合理規劃,科學安排,提高計算機系統運行的安全可靠性。同時建立有效的網絡防病毒工作機制,保證計算機系統病毒庫的及時更新。所有計算機設備定期進行木馬查殺,檢查系統運行日志,確保個人信息和網站的安全。后期考慮采用云桌面的模式,云桌面普遍使用沙箱系統,在虛擬機內的木馬病毒僅存在于差分盤中,隨著虛擬機的重啟,差分盤會自動清除[7]。更重要的是定期對計算機學科實驗室涉及到的重要數據定期進行備份,確保重要數據的安全。實驗室的服務器機房規范使用艾默生精密空調進行24小時不間斷工作,有效地保證機房內部的恒溫恒濕,從而保證機房內部所有服務器安全平穩地運行,提高服務器的安全使用壽命;配備不間斷電源UPS系統,保證所有服務器在突發斷電的情況下,能夠及時有效進行數據保存和恢復,從而保證實驗室內部重要數據的安全。機房地板隔層鋪設防靜電地板,機房還配備煙感溫感聯合報警器,既能保證防火安全,又能有效降低誤報率。
3.4重視師生安全教育
實驗室定期開展師生的安全教育,增加安全防范意識,首先是對實驗室人員培訓如何正確使用滅火器以及對突發事件的處置,全體教師和值班員接受對突發事件處理的培訓。新生一入學就分發實驗室安全手冊,做到人手一冊,同時要求全院師生必須認真閱讀和嚴格遵守。加強對新上崗人員和首次進入實驗室的學生進行安全培訓。新生進入實驗室的第一次課就是關于實驗室安全制度和實驗室使用注意事項的教育,以提高學生的安全防范意識。對進入實驗室做畢業設計、創新實驗室和各科研實驗室的學生加強安全知識和安全措施的學習,安全政策的宣傳,安全案例的警示,提高執行制度的自覺性和安全防范的主動性[8]。
3.5定期開展安全檢查
為了保證我校計算機學科實驗室的使用安全,在每個學期開學前和放假后,實驗室都會組織所有實驗管理技術人員對各個實驗室內配備的實驗設備及安全設施進行逐一檢查。在日常使用過程中,各個實驗室都會經常進行安全自查和檢修,確保所有的計算機設備都處于最佳運行狀態,最大限度降低由于設備故障而導致的安全隱患。在每學期的最后一周,由學校實驗室建設與設備管理處牽頭,開展期末計算機學科實驗室安全檢查,要求實驗教學中心各個機房重視實驗設備的安全操作和科學管理,落實實驗環境安全管理和實驗室整潔狀況的檢查。此外,實驗室嚴格執行學校推行的安全責任人制度,認真落實各個實驗室的安全責任人,確保實驗設備和實驗室的安全有專人負責,真正做到責任落實到個人,安全落實到細節。
4結語
計算機學科實驗室的安全管理需要我們科學規劃、合理布局和統籌安排。針對我校計算機學科實驗室安全所遇到的關鍵問題,從環境安全、制度規范,設備保障和安全教育等措施進行有利的保證。隨著信息技術和各種新技術的出現,計算機學科實驗室又將迎來新的安全問題,實驗室管理人員只有堅持學習,多走出去,多交流研討,努力探索,提高自身的業務水平,才能更好地保證計算機學科實驗室的安全,提高我校計算機學科的實驗教學質量,從而在一定程度上促進學生的動手能力和創新能力的提高,為我校的計算機學科發展提高堅實的基礎保障,為我校建設省級高水平大學做出應有的貢獻。
參考文獻:
[1]謝瑞杰.高職院校計算機實驗室建設與策略探討[J].福建電腦,2015(7):131-132.
[2]胡建,徐汶.高校實驗技術人員崗位意識初探[J].實驗室科學,2007(3):183-185.
[3]賈雅娟.分析計算機系統安全問題及對策[J].網絡安全技術與應用,2015,(05):73-74.
[4]余觀夏,吳林根.淺析高校實驗室安全與環境保護存在的問題[J].實驗室研究與探索,2014,33(9):296-300.
[5]馬曉燕,張文娟.新建本科院校計算機實驗室的管理[J].電子制作,2015(4z):133-134.
[6]周曉蘭,廖志鵬.論高校計算機實驗教學中科學精神的培養[J].實驗室研究與探索,2012,31(8):97-100.
[7]孫艷.環境科學與工程實驗室安全與環保管理實踐[J].實驗技術與管理,2014,v.31;No.213(6):169-171.
[8]王凡,陳純煉.基于桌面云的高校計算機實驗室組建與管理[J].實驗科學與技術,2015,13(3):190-193.
第8篇:云計算網絡安全培訓范文
關鍵詞:檔案;風險;管理;安全
人事檔案隨著人事制度的改革,其工作也發展到了網絡化和信息化的階段,基于電子化的認識,檔案的管理模式發生了從管檔案到提供服務的過渡轉變。同時,信息化的環境下各種各樣的危險因素和隱患都會導致人事檔案信息的泄露、篡改等,影響到人事檔案的真實性、完整性、系統性。有鑒于此,本文主要對人事檔案在信息時代的安全策略進行研究。
一、電子檔案信息的基本特征
電子檔案信息屬于檔案信息,除了網絡化特征的共享性、流動性之外,還具有檔案信息的基本特點:
(一)本源性特征。電子檔案信息是基于人類生活和生產中的記錄信息,其具有十分顯著的本源特征。這也是電子檔案信息和非檔案信息的本質區別。
(二)回溯性特征。信息檔案中的記錄內容是對已經產生的一些歷史、活動等信息的記載,這個過程作為一種記錄性的內容具有明顯的回溯特征。相對于紙質檔案,其回溯功能更為簡便。
(三)聯系性特征。電子檔案信息中便顯出時間、形式、來源、內容上的關聯,盡管是以文件單體的形式形成,但卻是以文件組合的形式而存在和運動的。因而,具有顯著的聯系特征。
(四)分散性特征。在微觀上,電子檔案的形成有著階段性、過程性的特點,在時間和內容上被分散和分割。因而,在整體上看信息內容雜亂、零散。在宏觀上電子檔案的形成數量和內容上多樣化、層次不一,職能不同,檔案的形成具有分散性和廣泛性。除此之外,電子檔案還具有網絡和計算機軟硬件的依賴性特征,存儲的高密度特征、信息構成的復雜性特征等。
二、電子人事檔案信息的安全需求
人事檔案是反映個人的社會經歷和工作實踐的信息記載,也是一個人技術水平、業務素質、工作能力和思想品質的反映,無論是國有的企事業單位的錄用還是民營公司的招聘中,都無一例外的會對個人的檔案信息進行查閱。人事檔案信息依賴于計算機的操作系統、軟件和硬件以及計算機技術和網絡技術,因而對互聯網具有較大的依賴性,而互聯網是一個開放式的平臺,安全保障是重點。總的來說,人事電子檔案的安全需求在以下幾點:
(一)實體安全保護。實體安全保護指的是電子人事檔案的存儲的載體,也就是計算機的硬件平臺,系統設備和相關的物理設施。實體安全是電子人事檔案的前提,實體的安全若無法保證,整個電子檔案的安全就無從談起。
(二)軟件安全保護。軟件安全保護主要是保障電子檔案信息在一定的軟件環境下的安全操作,使檔案信息避免被篡改、復制或是惡意的破壞。主要包括軟件的自身安全、存儲安全、通信安全以及使用運行安全等。
(三)信息內容的安全。這里主要指的是電子檔案信息的數據安全。這是電子檔案安全中的最重要的內容,包括數據的完整性保護、存儲數據庫的保護、檔案數據的完整有效性等。
(四)網絡安全。網絡安全保護主要是針對計算機網絡及其節點面臨的威脅和網絡的脆弱性而采取的防護措施。
三、影響電子人事檔案安全的因素
網絡環境下,電子人事檔案的管理存在著許多的隱患和潛在的危險,主要影響因素表現在以下幾個方面:
(一)電子人事檔案的信息基礎設施落后。這里主要包括計算機的網絡系統、通信系統和電力分配系統等,這些系統對信息的安全至關重要。但是,實踐中當前的硬件設施條件無法匹配完全管理的需要,使得人事檔案的信息管理工作任務繁重,許多設備常常故障運行、運行環境較差、設備的兼容性較差、信息保存的環境惡劣,導致人事系統中的數據不可讀取、丟失或被毀壞,嚴重威脅到電子人事檔案的安全。
(二)電子人事檔案的軟件系統環境薄弱。在最初的軟件環境的構建中就忽視了一些漏洞的存在,存在嚴重的漏洞風險,加上軟件自身的安全缺陷和設計初期的遺留問題,給電子人事檔案留下了致命的短板。此外,網絡管理人員在人事檔案的流轉中未能發揮作用,對信息的基本加密、傳送和存儲處理等控制措施沒有安全配置,導致了人事信息受到安全威脅。
(三)人事信息的管理不善。檔案的安全管理法規和制度尚未健全,加之管理人員的業務素質、責任心等因素的影響都將給人事信息的管理帶來安全風險。
(四)不法分子的惡意攻擊。由于主觀和客觀上的原因,導致了許多不法分子惡意的攻擊、損毀、竊取和篡改人事信息的案例,網絡黑客頻繁地攻擊計算機系統,破壞數據庫。主觀上的盜取信息這無疑是最為嚴重的安全風險。
四、保證電子人事檔案安全的對策
無論是實體的安全還是虛擬的安全,當前電子人事檔案的管理上和技術上都存在著一些明顯的缺陷和不足。為了應對安全風險,保證電子人事檔案的安全,應從以下幾個方面展開對策:
(一)強化人事檔案的安全意識。無論是檔案的管理人員、系統的平臺維護人員還是信息的使用人員,都應樹立科學的檔案安全意識,將防御和防治結合起來,以防為主,防治結合的方針要嚴格貫徹,提升人員的責任感、安全感。認識到檔案管理的重要性和網絡安全的重要性,開展安全教育,將檔案安全貫徹到每個人的頭上。
(二)建立檔案信息安全的保障體系。簡單地從每一個環節上保障安全是不夠的,需要聯動地將每個環節都聯系起來,建立一個整體性的保障體系措施。因而需要從戰略角度來構建保障體系,考慮法律制度、法規條文、組織管理、產業發展、基礎設施等,將技術措施、管理措施、法律約束融合為一體,讓保障體系在根本上保障信息安全,確保信息的不泄密、不損壞、不丟失。
(三)完善相應的技術標準。規范化信息標準主要是針對數據庫的運行規范、信息的使用規范做出一定的約束限制,避免因為主觀上的失誤導致信息的安全風險,通過多種形式制定適合于自身的保護和保密制度,將技術和法規協調,實現人事工作的安全協調,共同防護安全風險。
(四)建立安全保障機制。前面的措施主要的都是防范措施,一旦發生了信息的泄露或是發生了安全風險,如何來積極應對也應提前規劃布局。人事信息的管理部門應完善和出臺適用自身信息安全的預警系統和響應機制,對可能發生的危機和后果進行提前預判和估計,做好應急準備,完善防范手段,提升安全處置能力。建立人員的管理制度、技術管理制度、病毒防護制度等。加強日常安全風險排查活動,進行必要安全風險的演練,開展各式各樣的安全培訓活動,提升防護和防治技能。大數據時代,信息的電子化的趨勢給檔案館帶來了一定的改變和沖擊,檔案信息的收集和管理也出現了一些新的問題,其中最為突出的當屬信息的安全問題。研究電子檔案的信息安全是對傳統檔案管理研究的拓展,這對檔案學的相關研究和發展理論有著一定的推動作用。在未來的實踐中,檔案安全應作為主要的研究方向,進一步從多角度、多維度展開深入研究。
參考文獻:
[1]何莎.電子檔案的形成及保護[J].檔案.2011(02)
第9篇:云計算網絡安全培訓范文
沒有安全,何以生存,遑論發展;而信息時代安全的核心內容之一,便是信息安全。蓋緣于此,世界上主要發達國家始終十分重視信息安全工作。
1998年5月22日,美國克林頓政府頒布了《保護美國關鍵基礎設施》總統令(PDD63),圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關鍵基礎設施保障辦公室、首席信息官委員會等10余各全國性機構。同年,美國國家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年發表了《總統國家安全戰略報告》,首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會,并于2002年和2003年陸續頒布了《國家保障數字空間安全策略》、《國家安全戰略報告》和《網絡空間安全國家戰略計劃》。奧巴馬總統上臺不久,就親自主導了為期60天的信息安全評估項目,并于2009年5月公布了《美國網絡安全評估》報告,評估了美國政府在網絡空間的安全戰略、策略和標準,指出了存在的問題,并提出相應的行動計劃。在此基礎上,美國政府成立了網絡安全辦公室,任命了網絡安全協調官。2010年6月,美國國防部正式成立了由戰略司令部領導的網絡戰司令部,于2010年10月正式運行。2015年年底,美國《網絡安全法》獲得正式通過,成為美國當前規制網絡安全信息共享的一部較為完備的法律,首次明確了網絡安全信息共享的范圍,并通過修訂2002年《國土安全法》的相關內容,規范國家網絡安全增強、聯邦網絡安全人事評估及其他網絡事項。
俄羅斯則早在1995年便頒布了《聯邦信息、信息化和信息保護法》,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。1997年俄羅斯出臺的《俄羅斯國家安全構想》中明確提出,“保障國家安全應把保障國家經濟安全放在第一位”,而“信息安全又是經濟安全的重中之重”。2000年普京總統批準了《國家信息安全學說》,明確了俄羅斯聯邦信息安全建設的目的、任務、原則和主要內容。
我國政府高度重視信息安全工作,早在1994年,國務院便以147號令頒布了《中華人民共和國計算機信息系統安全保護條例》;2003年國務院成立應急辦,頒布了《國家突發公共衛生事件應急條例》;2006年公布了《國家突發公共事件總體應急預案》和《國家網絡與信息安全事件應急預案》,確定了4大公共事件及網絡信息安全事件的應急措施預案;2007年制定了《國家突發事件應對法》。此外,信息產業部、工信部以及各地方政府和部門在近十余年時間里也陸續出臺了各類與信息安全相關的法律法規。信息安全在我國的國家層面上受到高度重視,目前已上升為國家戰略。相應地,信息安全工作也已成為各行各業信息化戰略規劃和信息化建設中不可或缺的內容,氣象部門也不例外。
信息安全是一個永恒的主題,信息安全工作永遠沒有終結的一刻。在國家大力倡導信息化、互聯網+、大數據應用和信息安全的現在,認真系統地回顧和審視氣象信息安全工作,是完全必要的,因為這可使我們及早發現問題、查漏補缺,使氣象信息安全工作進一步發揮出應有的作用。
二、信息安全的本質
(一)信息安全的內涵和特征
信息是氣象部門最寶貴的資產,是氣象部門賴以立身的最為珍貴的資源。因此,必須對所有氣象信息進行妥善的保護。
按業界的規范定義,信息安全主要指信息的保密性、完整性和可用性的保持,即:通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施,保護信息在其生命周期內的產生、傳輸、交換、處理和存儲等各個環節中,信息的保密性、完整性和可用性不被破壞,保障業務的連續性,最大限度地減少業務的損失,最大限度地獲取業務回報。其中:保密性是指確保只有那些被授予特定權限的人才能夠訪問到信息;完整性是指保證信息和處理方法的正確性和完整性;可用性則是指確保那些已被授權的用戶在其需要的時候,確實可以訪問到所需信息。此屬常識,不予展開。
信息安全具有如下特征:
1. 信息安全是系統的安全
信息產生于系統、存在于系統、被系統所使用并由系統發揮其作用,所有與信息相關的各系統皆必須納入信息安全的視野,予以充分的關注和考慮。此外,信息安全是整體的安全,所有與信息相關的部分由信息串聯而構成一個相對完整的系統,它的安全直接關系到信息的安全。
2. 信息安全是動態的安全
信息的安全保障是一個動態的過程,沒有永久的安全,也不存在滿足信息安全的充分條件,信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的,而是多種約束條件下的折衷的選擇。隨著事物的發展和技術的進步,約束條件必然發生變化,而約束條件的變化又將必然導致信息安全方針、策略和措施的相應調整和變化。
3. 信息安全是無邊界的安全
網絡的廣泛互聯使得信息系統環境的邊界越來越模糊,傳統意義上的國界、前方和后方正在消失,人們幾乎可以從任何地點、任何時間對任何對象發起網絡攻擊,因此信息安全是廣泛的、無國界的,它無法單憑一個國家、地區或部門就能完全控制,需要從全球信息化角度綜合考慮和整體布局。
4. 信息安全是非傳統的安全
傳統的具有典型外在物理特征的安全因素(如:軍事、自然災害、人為暴力破壞等等)已無法涵蓋信息安全所應考慮的全部范疇。在沒有諸如軍事入侵、自然災害、傳統意義上的恐怖襲擊等情況下,信息和信息系統的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴重威脅。國家的電信、金融、能源、交通等核心領域,氣象部門的數據通信、信息處理等核心系統,可能在極短的時間內被攻擊癱瘓,導致社會運轉的癱瘓和氣象業務的崩潰,而此時所有系統的物理器件并未因此而發生實質性的損傷。
信息安全既是信息技術問題,也是組織管理問題。因為信息安全最終必將落實到信息系統的安全層面上,并最終由一個個具體的信息技術和相關產品的有機組合予以實現,沒有符合實際的明確的安全目標和方針、科學的設計、認真的維護、以及不斷地主動發現新的安全問題并及時予以解決,是無法有效地形成安全環境的;就一個部門而言,一個相對安全的環境的構成必須從人的行為規范、安全體系的科學設計以及部門內部安全環境的構成等諸多方面綜合考慮、整體設計,方才可能。因此信息安全并非單純是技術和技術產品問題,更是組織管理問題,無法單憑技術手段予以解決。
此外,從法律、輿論以及信息戰和虛擬空間等更高層面考慮,信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍,故不予展開。
(二)信息安全的一些認識誤區
應當承認,由于各種原因,至今氣象部門的一些同事中,對信息安全仍存在一定的認識誤區,以下問題應予充分重視:
1. 單純的安全技術和產品的應用不能解決信息安全
信息安全問題并非單純的技術問題,信息安全技術和產品的簡單應用并不意味著部門整體的信息安全,不能指望簡單地規劃了DMZ區、在局域網出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠程通信采用VPN技術后,部門的信息安全問題便可基本解決。事實上,諸如防火墻、堡壘機、殺毒軟件等安全產品,僅僅是構建部門信息安全防護體系的磚石,如果沒有科學的整體設計和有效的實施方案,單憑磚石和瓦塊的簡單甚至隨意堆壘,是無法構建成有效的安全防護體系的。因此:
防火墻+ 堡壘機+ 殺毒軟件≠信息安全
2. 業務連續性的有效保障不能替代部門的信息安全
業務連續性的有效保障是部門行政領導最為關注的安全問題之一,為此往往不惜代價不計成本,而建立業務備份中心或災難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全,因為業務連續性的保障僅屬于信息安全三要素中“信息可用性”的范疇,如果不同時考慮信息的保密性和完整性,同樣無法從整體上解決部門的信息安全問題;而信息的私密性和完整性與備份中心之間并無必然聯系。因此:
備份中心≠信息安全
3. 網絡防御不能代替信息安全
傳統意義上的網絡安全包括網絡協議安全、網絡設備安全和網絡架構安全,側重于網絡自身的健壯性以及抗網絡攻擊的能力。然而如果網絡上運行的系統自身存在一定缺陷、軟件存在BUG,以及人為操作失誤(如:誤刪除、誤修改等),則上述內容和措施便將束手無策。所以,網絡的抗攻擊和抗偷盜能力不能完全解決信息安全問題。
類似的認識誤區還有若干,限于篇幅,不再枚舉。
三、基于風險管理的信息安全管理
(一)信息安全管理
統計結果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%則是因內部員工的疏忽或有意違規而造成的。站在全局的高度上來考察信息和網絡安全的全貌就會發現:安全問題實際上都是人的問題,單憑技術手段是無法予以根本解決的。
信息安全是一個多層面、多因素的過程,如果僅憑一時的需要,頭疼醫頭腳疼醫腳地制定一些控制措施和引入某些技術產品,難免掛一漏萬、顧此失彼,使得信息安全這只“木桶”出現若干“短板”,從而無法提高信息安全的整體水平。
對于信息安全而言,技術和產品是基礎,管理才是關鍵。如同磚瓦建材需要良好的設計和施工才能搭建成堅固耐用的建筑,安全技術和安全產品需要通過管理的組織職能方才能夠發揮出最佳效果。事實充分證明,管理良好的系統遠比技術雖然高超但管理混亂不堪的系統安全得多。因此,先進科學的、易于理解且方便操作的安全策略對信息安全至關重要;而建立一個管理框架,讓好的安全策略在這個框架內可重復實施,并不斷得到修正,就會擁有持續的安全。
所謂信息安全管理,是指部門或組織中為了完成信息安全目標,針對信息系統,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動和過程;是通過維護信息的保密性、完整性和可用性,來管理和保護組織所有的信息資產的一項體制;是部門或組織中用于指導和管理各種控制信息安全風險的一組相互協調的活動。有效的信息安全管理要盡量做到在有限的成本下,保證將安全風險控制在可接受的范圍之內。
信息安全管理包括:安全規劃、風險管理、應急計劃、安全教育培訓、安全系統評估、安全認證等多方面內容。
(二)基于風險的信息安全
1. 安全和風險
步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不穩而跌倒的可能,不如身邊陪有專人看護安全;然即便家中有專人看護,也不如將老人長期安置在醫院,在全套設備和專業醫護人員看護下安全,如此等等。可見,所謂安全都是相對而言的,沒有絕對的安全;而安全的效果或等級越高,往往付出的代價或成本也越高,信息安全也是如此。
安全是相對于風險而言的,某種安全水平的達到意味著某種或某類風險的得以規避:雙機熱備技術可以避免單點故障所導致的業務中斷,兩地三中心災備模式可以保證即便在發生局地嚴重災害時部門業務的連續性。但絕對的安全是沒有的:雙機熱備技術無法避免供電系統故障的風險,而大型隕石撞擊地球,將導致生態系統的崩潰和物種滅絕,遑論災備兩地三中心以及部門業務連續性了。
然而,風險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災備模式無法應對地球遭遇大型隕石撞擊的毀滅性災害,但該災害發生的可能性卻微乎其微,未來數百年幾乎沒有可能。因此此災雖然為害甚烈,但發生的可能性卻幾近于零,不必予以考慮。
2. 風險管理
絕對的零風險是不存在的,要想實現零風險也是不現實的。同時,規避風險是需要代價的,規避的風險種類越多,所付出的代價往往越大。就計算機系統而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建設的宗旨之一,就是在綜合考慮成本與效益的前提下,通過恰當、足夠、綜合的安全措施來控制風險,使殘余風險降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之間做出一種平衡。
所以,根本上說,信息安全是一個風險管理過程,而不是一個技術實現過程。
風險管理是指如何在一個肯定有風險的環境里,利用有限的資源把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略等。理想的風險管理,是一連串排好優先次序的過程,使導致最大損失及最可能發生的安全事件優先處理、而相對風險較低的事件則押后處理。
風險管理的首要內容之一,是風險識別和風險評估。因為,信息安全體系的建立首先需要確定信息安全的需求,而獲取信息安全需求的主要手段就是安全風險評估。因此,信息安全風險評估是信息安全管理體系建立的基礎;沒有風險評估,信息安全管理體系的建立就沒有依據。
風險管理的另一項重要內容,就是對風險評估的結果進行相應的風險處置,只有對已知風險逐一進行有針對性的妥善處置,才能化解和規避這些風險,達到信息安全的目的。因此,風險處置是信息安全的核心。從本質上講,風險處置的最佳集合就是信息安全管理體系的控制措施集合;而控制目標、控制手段、實施指南的邏輯梳理、以形成這些風險控制措施集合的過程,就是信息安全體系的建立過程。亦即,信息安全管理體系的核心就是這些最佳控制措施的集合。
需要強調的是,由于信息安全風險和事件不可能完全避免,因此信息安全管理必須以風險管理的方式,不求完全消除風險,但求限制、化解和規避風險。而好的風險管理過程可以讓氣象部門以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平,使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源,確定風險處置優先級,更好地管理風險,而不是將保貴的資源用于解決所有可能的風險。
事物是在不斷變化的,新的風險不斷出現,因此風險管理過程需要不斷改進、完善、更新和提高。
四、當前氣象信息安全存在的問題
盡管氣象部門至今尚未發生重大信息安全事件,但這并不能說明氣象部門的信息安全工作已萬事大吉,信息安全體系固若金湯。依照信息安全管理的規范考察,氣象部門的信息安全工作至少存在如下問題:
(一)基礎工作存在缺失
1. 信息安全目標
通常意義下的信息安全目標,一般都是確保信息的機密性、完整性、可用性,以及可控性和不可否認性等等。但部門不同,具體的情況不同,安全性需求的程度、信息安全所面臨的風險、付出的代價也各有不同;如:就信息的機密性而言,軍事部門的要求遠遠高于氣象部門;而就信息的可用性而言,氣象部門對業務連續性的要求也較土地勘測管理部門為高。因此,泛泛的信息安全目標沒有任何意義,所有可用的信息安全目標都是切合部門具體實際情況的,是本土化、部門化的。
沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標,是目前存在的突出問題。
必須明確,氣象部門信息安全目標的確定,是管理層的職責。管理層對信息安全目標的要求,決定了氣象部門信息安全工作的走向。氣象信息業務部門負責氣象信息安全既定目標的具體落實,其工作的質量和效率,決定了氣象部門是否能夠達到信息安全管理的目標。
2. 信息安全方針
信息安全方針是為信息安全工作提供與業務需求和法律法規相一致的管理指示及相應的支持舉措。信息安全方針應該做到:對本部門的信息安全加以定義,陳述管理層對信息安全的意圖,明確分工和責任,約定信息安全管理的范圍,對特定的原則、標準和遵守要求進行說明,等等。氣象部門的信息安全方針至少應當說明以下問題:氣象信息安全的整體目標、范圍以及重要性,氣象信息安全工作的基本原則,風險評估和風險控制措施的架構,需要遵守的法規和制度,信息安全責任分配,信息系統用戶和運行維護人員應該遵守的規則,等等。
遺憾的是,以此為基本內容的信息安全方針,至今在氣象部門尚未確立。
3. 信息安全組織機構
為有效實施部門的信息安全管理,保障和實施部門的信息安全,在部門內部建立信息安全組織架構(或指定現有單位承擔其相應職責)是十分必要的。
在一個部門或機構中,安全角色與責任的不明確是實施信息安全過程中的最大障礙。因此,建立信息安全組織并落實相應責任,是該部門實施信息安全管理的第一步。這些組織機構需要高層管理者的參與(如本部門信息化領導小組),以負責重大決策,提供資源并對工作方向、職責分配給出清晰的說明,等等。此外,信息安全組織成員還應包括與信息安全相關的所有部門(如行政、人事、安保、采購、外聯),以便各司其責,協調配合。
遺憾的是,類似的組織機構在氣象部門內即便已經存在,至今也未真正履行其應負的職責。
4. 信息資產管理
信息資產管理的主要內容包括:識別信息資產,確定信息資產的屬主及責任方,信息資產的安全需求分類,以及各類信息資產的安全策略和具體措施,等等。
就氣象部門而言,對信息資產(即:氣象信息資源和氣象信息系統)進行識別、明確歸屬以及分類等工作,有利于信息安全措施的有效實施。以分類為例:我們知道,對某特定氣象資料或業務系統實施過多和過度的保護不僅浪費資源,而且不利于資料效益的充分發揮和系統的正常運行;而若保護不力,則更可能導致氣象信息數據和系統產生重大安全隱患,乃至出現安全事故。對氣象信息資產進行分類,可明確界定各具體資產的保護需求和等級,如此可以根據類別的不同,調整合適的資源、財力、物力,對重要的氣象信息資源和系統實施有針對性的、符合其特點的信息安全重點保護,如此等等。
同樣遺憾的是,氣象部門至今尚未實施真正意義上的完整的氣象信息資產管理。
類似缺失的基礎工作還有很多,不再枚舉。
基礎工作的缺失,導致氣象信息安全工作的不扎實、不穩固,是氣象信息安全工作長期滯后于信息化基礎建設的主要原因之一。
(二)完整的信息安全管理體系尚未建成
按照ISO的定義,信息安全管理體系(ISMS:Information Security Management System)是“組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合”。
信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇安全事件控制目標和相應處置措施等一系列活動,來建立信息安全管理體系。該體系是基于系統、全面、科學的安全風險評估而建立起來的,它體現以預防控制為主的思想,強調遵守國家有關信息安全的法律法規及其它地方、行業的相關要求。該體系強調全過程管理和動態控制,本著控制費用與風險相平衡的原則,合理選擇安全控制方式。該體系同時強調保護部門所擁有的關鍵性信息資產(而不見得是全部信息資產),確保需要保護的信息的保密性、完整性和可用性,以最佳效益的形式維護部門的合法利益、保持部門的業務連續性。
由于基礎性工作尚未全部就緒,目前氣象部門尚未建立真正意義上的、基于風險管理的科學而完整的氣象信息安全管理體系。
在氣象部門建立完整的信息安全管理體系,可以對氣象部門的關鍵信息資產進行全面系統的保護,在信息系統受到侵襲時確保業務持續開展并將損失降到最低程度;并使氣象部門在信息安全工作領域實現動態的、系統地、全員參與的、制度化的、以預防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平。此外,完整的信息安全管理體系的建立,也可使部門外協作單位對氣象部門的安全能力充滿信心,這一點在當前大數據應用浪潮正在全社會迅速漫延的背景下,尤其重要。
(三)業務格局的分散加大了安全管理問題的復雜度
目前氣象部門依然沿用著已延續數十年的國省地縣四級業務層級,而業務系統的屬地化,以及諸如“具備業務功能意味著擁有業務系統、擁有業務系統意味著擁有信息資產以及基礎資源和設施”等傳統觀念的束縛,使得各個業務系統在地理分布上呈現出全國遍地開花的局面,各級業務單位都擁有自己的信息業務系統和相應的局地信息業務環境。彼此通過內部專網(VPN)或甚至通過互聯網進行互聯,在全國形成網狀與樹狀相結合的、十分復雜的業務網絡結構。
由于各級單位都在當地擁有各自規模不等的信息業務系統及相應環境(包括為業務系統提供數據支撐的氣象數據庫),因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數據在各級業務單位的廣泛復制,使得各級業務單位中數據同質化現象十分突出,也為這些數據的保密性和完整性(包括一致性)的保持增加了大量變數。此外,由于編制所限,地縣兩級業務單位中IT技術人員奇缺,既無法保障信息業務系統的日常維護,更無法為本單位信息安全提供專業化管理。
這種業務格局的分散,加大了氣象部門信息安全管理問題的復雜度。
限于篇幅,其余問題不再枚舉。
五、建立完整的氣象信息安全管理體系
綜上所述,在氣象部門建立完整的氣象信息安全管理體系,是非常必要的;就目前全社會所倡導的大數據應用和云計算趨勢而言,這項工作具有較強的緊迫性,應盡早開展相應的工作。歸納起來,有如下幾點:
(一)適時著手建立完整的氣象信息安全管理體系
1. 完成基礎性工作
應盡早明確信息安全的方針,為氣象部門信息安全工作確定目標、范圍、責任、原則、標準、架構和法律法規。
應以適當方式組建或明確氣象信息安全的管理和實施機構,并確保所有相關單位能夠悉數納入其中,明確分工和職責,以便各司其職,彼此協調工作。
應在管理層的統一組織下,以適當的形式,全面完成氣象部門內部的信息資產普查、歸屬認定、安全需求等級劃分以及安全等級保護措施等,制定氣象信息資產管理策略、制度和方法,逐步推廣實施,從而完成氣象信息資產的有效管理。
2. 適時進行信息安全風險評估并制訂風險處置方案
制定風險評估方案、選擇評估方法,以此為依據完成氣象信息安全風險要素識別,發現系統存在的威脅和系統的脆弱性,并確定相應的控制措施。在此基礎上,對所有風險逐一判斷其發生的可能性和影響的范圍及程度,綜合各種分析結果,最終逐一判定這些風險各自的等級。
在風險等級判定的基礎上,以“將風險始終控制在可接受范圍內”為宗旨,制訂有針對性的風險處置方案,包括:可接受風險的甄別和確定,不可接受風險的控制程度,風險處置方式的選擇和控制措施的確定,制訂具體的氣象信息安全方案和綜合控制措施,科學合理地運用“減低風險”、“轉移風險”、“規避風險”和“接受風險”等方法,形成綜合的氣象信息安全風險處置方案,并部署實施。
3. 建立完整的氣象信息安全管理體系
在上述工作以及其它相關工作的基礎上,參照BS 7799-2:2002 《信息安全管理體系規范》、 ISO/ IEC17799:2000《信息技術-信息安全管理實施細則》等國際標準,以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統安全管理要求》、GB/T20984-2007《信息安全風險評估規范》等國家標準,完成組織落實、措施落實、方案落實和相應文檔的編寫,以及所有相關的審查、職責界定和制度建設,以構成氣象部門的信息安全管理體系。
(二)將信息安全管理體系納入氣象信息化戰略之中
信息安全與信息化發展息息相關,是一切信息化工作的基礎,涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應用部門,氣象業務系統是典型的信息系統,因此信息安全對于氣象部門尤為重要。氣象事業的健康發展離不開信息化,也同樣離不開信息安全。氣象信息安全應當是氣象信息化工作中最為重要的內容之一,氣象信息安全管理體系的構建和持續改進也應當成為未來氣象信息化戰略中極其重要的內容。
信息安全是管理問題而非技術問題,從某種角度看,信息安全管理體系是以策略為核心,以管理為基礎,以技術為手段的安全理念的具體落實。有什么樣的理念,就有什么樣的方針、策略、制度措施和體系架構。無法想象在管理理念和安全意識十分落后的思維環境中,能夠構建起科學完備的信息安全管理體系來。因此,安全管理理念的全面提高和安全意識的充分到位,是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言,著力消除曾長時間彌漫于全部門信息安全領域的重技術輕管理的觀念,將關注點從研究安全技術和產品應用轉移到信息資產管理、風險識別和控制以及整體安全戰略的制定等管理層面上來,是其不可推卸的責任。應當在全部門倡導信息安全意識、制定并推行信息安全制度、確定信息安全責任、組織信息安全培訓,構建起完整的氣象信息安全管理體系。
六、結語
在政府大力強調信息安全意識,強力推動信息安全工作的背景下,各行各業均把信息安全工作列入本部門或單位的工作議程,氣象部門也是如此。但如何科學有效地構建起具有鮮明氣象特色的信息安全防護體系,充分把控所有已知的安全風險,使有限的投入得到最大限度的安全回報,這是氣象部門管理層和IT工作者需要認真研究并努力實踐的工作。
信息安全首先是意識問題、觀念問題,要想真正打造安全的業務環境,在氣象部門全體員工中(特別是在管理層干部中)樹立良好的安全意識,是至關重要的。
2014年,在深刻領會主席“沒有信息化就沒有現代化”的重要指示精神后,氣象部門提出了“沒有信息化就沒有氣象現代化”的口號。那么,針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷,氣象部門是否也應提出相應的口號――
“沒有信息安全,就沒有氣象業務安全”。