導(dǎo)語(yǔ)：如何才能寫好一篇信息安全培訓(xùn)方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

組織防火演練和消防培訓(xùn)活動(dòng)是為了增強(qiáng)人們的安全防火意識(shí)的活動(dòng)，讓大家進(jìn)一步了解掌握火災(zāi)的處理流程，增強(qiáng)人們?cè)诨馂?zāi)中互救、自救意識(shí)。小編在這里給大家?guī)?lái)2020消防演練心得感悟_消防安全培訓(xùn)學(xué)習(xí)心得，但愿對(duì)你有借鑒作用!

消防演練心得感悟1針對(duì)防火的必要性，以及各項(xiàng)的消防知識(shí)，消防老師為大家示范滅火器、逃生繩等自救設(shè)備的使用方法，為大家上了一堂精彩而生動(dòng)消防知識(shí)講座。在課堂上，消防老師通過(guò)強(qiáng)烈震撼的火災(zāi)視頻、生動(dòng)的案例，條理清晰地從四個(gè)方面進(jìn)行了詳細(xì)講解：

1、從發(fā)生火災(zāi)的起因強(qiáng)調(diào)提高安全防范意識(shí)的重要性;

2、從日常生活中的火災(zāi)隱患看加強(qiáng)學(xué)習(xí)消防知識(shí)的必要性;

3、掌握使用滅火器材的方法及其性能;

4、火災(zāi)現(xiàn)場(chǎng)自救逃生的技能和撲救初期火災(zāi)的時(shí)機(jī)和方法。

他重點(diǎn)講授了火場(chǎng)逃生知識(shí)，并詳細(xì)介紹干粉滅火器的構(gòu)造和使用方法。

通過(guò)此次培訓(xùn)，我覺(jué)得一個(gè)學(xué)校要想做好消防安全，應(yīng)從以下五點(diǎn)做起：

一、領(lǐng)導(dǎo)要重視。這是學(xué)校消防安全工作得以順利開(kāi)展的首要保證。各部門的負(fù)責(zé)人作為消防安全工作的第一責(zé)任人，要加大對(duì)安全工作的管理力度，定期組織安全檢查，查處隱患限期整改反饋，切實(shí)地把消防安全工作與生產(chǎn)經(jīng)營(yíng)管理工作相結(jié)合，確保各項(xiàng)工作能順利進(jìn)行。

二、宣傳教育要到位。這是學(xué)校消防安全工作得以順利開(kāi)展的第一前提。要通過(guò)開(kāi)展培訓(xùn)講座，發(fā)放消防宣傳資料和組織專業(yè)人員到生產(chǎn)一線宣講等形式宣傳消防安全知識(shí)，宣傳教育面要達(dá)到100%，提高職工的消防安全意識(shí)，提高職工在事故發(fā)生時(shí)的施救、自救能力。

三、制度措施要到位。這是學(xué)校消防安全工作得以順利開(kāi)展的軟件保障。要根據(jù)上級(jí)有關(guān)消防的法律法規(guī)，結(jié)合本單位實(shí)際制定出一套行之有效的制度和措施，并嚴(yán)格抓落實(shí)，獎(jiǎng)優(yōu)罰劣，保障消防安全的各項(xiàng)工作能正常有序開(kāi)展。

四、消防器材配備要到位。這是學(xué)校消防安全工作得以順利開(kāi)展的硬件保障。根據(jù)消防管理部門，配備足夠數(shù)量的消防器材，定期對(duì)消防設(shè)備進(jìn)行檢查和保養(yǎng)，對(duì)到期的器材及時(shí)換藥，以備發(fā)生事故時(shí)能及時(shí)啟動(dòng)。

五、思想意識(shí)要到位。這是學(xué)校消防安全工作得以順利開(kāi)展的重要基礎(chǔ)。加大對(duì)專(兼)職安全員的培訓(xùn)力度，提高安全員的業(yè)務(wù)素質(zhì)，培養(yǎng)出一支具備不計(jì)得失、樂(lè)于奉獻(xiàn)、忠于職守和敢抓敢管精神的專業(yè)隊(duì)伍，提升學(xué)校安全管理水平。定期組織消防演練，提升學(xué)校對(duì)事故的防范能力。

安全是學(xué)校的永恒課題，“水火無(wú)情、全員皆知”。消防安全事關(guān)學(xué)校的穩(wěn)定和職工生命的安全，工作任重而道遠(yuǎn)，我們只有把各項(xiàng)工作長(zhǎng)抓不懈，真正落實(shí)“五個(gè)到位”，消除隱患以防為主，才能保持學(xué)校消防安全局面長(zhǎng)期穩(wěn)定。

消防演練心得感悟2冬姑娘邁著沉重的步伐悄悄的走來(lái)了，寒風(fēng)呼呼的吹著，吹走了樹(shù)木的盛裝，吹的金黃的小草，姹紫嫣紅的花兒都彎下腰，低下了頭，靜靜的睡去了，一切都籠罩在一片寂靜中，只有風(fēng)兒狂奔時(shí)號(hào)叫的聲音。

突然，廣播聲把這片沉靜打破了，只聽(tīng)廣播中說(shuō)，我校這天要搞一次消防演習(xí)，以備后患，具體安排是只要他一聲令下我們就跑到操場(chǎng)上集合，只聽(tīng)“跑”的一聲，我們都奮力沖出教室，那時(shí)心中只有一個(gè)信念，就是以最快的速度沖向目的地，腳下像生了風(fēng)一樣，跑的飛快，等跑到操場(chǎng)上時(shí)，已經(jīng)有很多人了，回望后面，還有許多人在努力的向這邊跑來(lái)，有的則說(shuō)說(shuō)笑笑，像是散步，臉上洋溢著笑容向這邊“跑”來(lái)，因?yàn)槭堑谝淮?，大家都很配合，按照老師的意思去做。?dāng)?shù)诙纹鹋軙r(shí)，大家都不約而同的放慢了速度，步伐不再那么矯健，細(xì)細(xì)一看，大家都是手牽手一齊跑的，到了終點(diǎn)我就在想，如果大火真的降臨在我們頭上，那我們還會(huì)不會(huì)拉上自己的朋友一齊向前跑，當(dāng)看到有人跌倒時(shí)，還會(huì)不會(huì)有人去攙扶他一齊逃離火災(zāi)現(xiàn)場(chǎng)?；氐浇淌?，我情不自禁的對(duì)同學(xué)們說(shuō)了我剛才的疑惑，大家都表示會(huì)帶上朋友一齊逃跑，他們有的說(shuō)朋友就是有福同享，有難同當(dāng)?shù)?，有的說(shuō)到了關(guān)鍵時(shí)刻更就應(yīng)不能只顧自己，置別人的生命于不顧，我聽(tīng)了十高興，真是大火無(wú)情人有情，我相信只要各個(gè)部門、單位做好放火措施，火災(zāi)不會(huì)發(fā)生，即使發(fā)生，只要我們齊心協(xié)力，有秩序的逃離，我相信我們必須能夠戰(zhàn)勝火災(zāi)，逃離危險(xiǎn)區(qū)域。放學(xué)后，同學(xué)的回答久久

縈繞在我心頭，他們的話語(yǔ)總是在我耳邊回響，只要人人都能夠像他們回答的那樣，那么建立平安上海這一奮斗目標(biāo)就離我們?cè)絹?lái)越近了，校園這一消防演習(xí)好處十分重大，教育孩子火災(zāi)逃生，以及一些應(yīng)對(duì)措施，使我們心里有個(gè)準(zhǔn)備，要不然火災(zāi)突然降臨，對(duì)于我們來(lái)說(shuō)肯定是手足無(wú)措的，十分的慌亂，到時(shí)候只會(huì)帶來(lái)更加嚴(yán)重的后果，這樣使我們懂得如何在大火中逃生，只要大家都團(tuán)結(jié)在一齊，大火并不可怕，人們?cè)诨馂?zāi)中那份互幫互助的情感足以撲滅大火。

大火無(wú)情人有情，縱使火災(zāi)十分的可怕，但只要我們齊心協(xié)力就能夠撲滅火災(zāi)，要是人人心中都有助人為樂(lè)的想法，都有一顆火熱的心，那我們的社會(huì)會(huì)更加的和諧、完美，讓我們一齊努力，為建設(shè)平安上海，和諧社會(huì)一齊奮斗吧!

消防演練心得感悟3為了加強(qiáng)消防知識(shí)的普及，讓學(xué)生更加體會(huì)到消防知識(shí)的重要性，我校于5月25日上午進(jìn)行了應(yīng)急消防疏散演練活動(dòng)。

消防演練的目的是讓我們?cè)诨馂?zāi)來(lái)臨時(shí)能夠更好地、本能地、鎮(zhèn)靜地去應(yīng)對(duì)，這對(duì)我們來(lái)說(shuō)是一次次的鍛煉和為生命在演習(xí)。讓我們的生命更加安康，透過(guò)這次消防演練，我看到了生命的延續(xù)，無(wú)私無(wú)畏精神的體現(xiàn)，更加體現(xiàn)出我們的本質(zhì)，在慌亂中有備不亂的逃生，這是我們對(duì)生命的尊重，對(duì)生命的肯定和愛(ài)護(hù)。

安全職責(zé)大于天，生命誠(chéng)可貴，在生命面前我們要重視自己的職責(zé)，安全為自己的生命豎立一道堅(jiān)固的堡壘。將不安全因素阻擋在外，將萌芽扼殺在搖籃中。為了生命而奮斗，為了家人和自己而去踐行安全準(zhǔn)則。

在火災(zāi)面前，要迅速逃生，不要貪戀財(cái)物，只有生命在，錢財(cái)隨時(shí)都能夠賺回來(lái)，不要迎風(fēng)快跑，更不要乘坐電梯逃生，以免被困無(wú)法脫險(xiǎn)，要捂住口鼻，彎腰前行，以免吸入超多煙霧導(dǎo)致窒息，如果煙霧過(guò)大，無(wú)法逃生，等待救援，發(fā)出救援信號(hào)，水火無(wú)情，在災(zāi)害面前，我們要有一顆平靜的心來(lái)應(yīng)對(duì)，更要了解一些常識(shí)性的逃生方法和急救方法和措施。在災(zāi)害面前，我們的力量是弱小的，我們務(wù)必要珍惜自己的生命。

不要玩火、不要抽煙、不要隨意點(diǎn)火，注意自身安全，珍愛(ài)他人健康，我們要珍愛(ài)生命，遠(yuǎn)離火災(zāi)。

消防演練心得感悟4為增強(qiáng)全校師生的消防安全意識(shí)，初步掌握火場(chǎng)逃生、自救的方法，提高同學(xué)們對(duì)發(fā)生火災(zāi)等突發(fā)事件的應(yīng)變能力，3月11日下午我們?cè)趯W(xué)校舉辦了針對(duì)全體師生的消防演練應(yīng)急活動(dòng)。通過(guò)這次演習(xí)，同學(xué)們對(duì)應(yīng)急疏散的程序，逃生和滅火知識(shí)有了切身的體會(huì)，一定程度上對(duì)火災(zāi)事故應(yīng)急疏散、正確逃生有了進(jìn)一步的實(shí)際體驗(yàn)。

下午第三節(jié)課，教室里按照正常的課程進(jìn)行教學(xué)著，不一會(huì)兒隨著一聲刺耳的警報(bào)聲，消防演練正式開(kāi)始。為了讓演習(xí)更有真實(shí)性，學(xué)校分別在二樓、三樓設(shè)置了兩個(gè)模擬火點(diǎn)。各年級(jí)的學(xué)生在聽(tīng)到指令后，在班主任的帶領(lǐng)下，安全、有序、迅速撤離教室，并按指定路線到達(dá)安全地帶。同學(xué)們立即按照正確的逃生方法去做,都用袖口捂住口鼻然后彎著腰快速地,有秩序地向教室外逃生,在老師們組織學(xué)生向外逃生時(shí),心里很緊張,直到我確定最后一名同學(xué)走出教室時(shí),我才急忙追趕上最后的隊(duì)伍,全班脫離危險(xiǎn)區(qū)到達(dá)安全的操場(chǎng)上時(shí),用時(shí)只有一分鐘,并且無(wú)一人走失.這時(shí),我那顆懸著的心才平靜下來(lái).原來(lái)的一場(chǎng)演習(xí),老師和同學(xué)的緊張?zhí)由鷧s好像置身于真的火災(zāi)逃生中.在大家的共同努力下，這次消防演練順利完成。

演練結(jié)束后，消防員對(duì)本次活動(dòng)進(jìn)行了總結(jié)，為同學(xué)們提出了一些安全建議，提醒大家不忘安全意識(shí)。同時(shí)為了使學(xué)生對(duì)消防演習(xí)更加的深刻認(rèn)識(shí)，進(jìn)行了一個(gè)類似逃生的“瓶口逃生”小游戲，每個(gè)班級(jí)派代表上臺(tái)進(jìn)行游戲，讓學(xué)生從這個(gè)小游戲中認(rèn)識(shí)到，逃生的有序的重要性，肯定了這次演練活動(dòng)的成功，也指出了一些不足的地方。

這次消防演習(xí)活動(dòng)，不僅讓學(xué)生們樹(shù)立了“以人為本，生命至上”的思想信念，又讓師生們學(xué)會(huì)了怎樣預(yù)防火災(zāi)和火災(zāi)中的逃生方式，進(jìn)一步增強(qiáng)了學(xué)校的消防安全意識(shí)和廣大師生的逃生自救能力，也為學(xué)校今后處理各類安全應(yīng)急預(yù)案和實(shí)際操作提供了一次難得的機(jī)會(huì)。

消防演練心得感悟5中午2:30，校園里濃煙滾滾，隨后陣陣火警聲響徹校園。隨著陣陣火警聲，從廣播里傳來(lái)了繆老師焦急的聲音：“同學(xué)們請(qǐng)注意!請(qǐng)注意!火勢(shì)已經(jīng)曼延到了一樓，請(qǐng)一樓的同學(xué)火速撤離教室!一樓的同學(xué)聽(tīng)到警報(bào)聲后，連忙從位子上站起來(lái)，貓著腰火速離開(kāi)了教室。等一樓的同學(xué)撤離后，廣播里又傳來(lái)了繆老師急促的聲音：“三樓的同學(xué)請(qǐng)注意!請(qǐng)注意!緊張的逃生剛結(jié)束，接著是滅火演習(xí)。校長(zhǎng)洪亮地宣布：“滅火演習(xí)現(xiàn)在開(kāi)始!”話音剛落，操場(chǎng)上響起來(lái)熱烈的掌聲。消防叔叔們把火點(diǎn)燃了?；鸷么笱?，在這燃眉之急，消防叔叔個(gè)個(gè)拿起滅火器直往火爐里噴，只見(jiàn)粉沫紛飛，我還來(lái)不及看清楚，火竟然滅了，叔叔的動(dòng)作好快呀!還向大家介紹了消防車上的裝備，示范了快速穿消防服。同學(xué)們也積極參與到實(shí)踐體驗(yàn)中來(lái)。雖然他們的動(dòng)作有點(diǎn)生疏，但熱情非常高。

在這次消防演習(xí)中，我學(xué)會(huì)了如何安全的逃身、如何滅火、如何快速穿消防服，知道了消防車上的一些裝備。也深深的明白了遇到任何事情要鎮(zhèn)靜，不要慌張。---------曾經(jīng)的我們，不知道進(jìn)行過(guò)多少次的消防演練?！澳銈兇蠹乙欢ㄒ懦梢魂?duì)，不要擁擠，一定要迅速的跑去操場(chǎng)集合，這是要進(jìn)行考核的?！卑嘀魅我淮斡忠淮蔚姆磸?fù)重復(fù)著這些話，可每當(dāng)我們聽(tīng)到警報(bào)一響的時(shí)候，就會(huì)迅速的沖出教室，剛才班主任說(shuō)的一切好像都拋到耳后去了?？蛇@一次卻不一樣，所有人井然有序的從班級(jí)出來(lái)，排成很整齊的一隊(duì)迅速地下樓，聽(tīng)著那按照規(guī)律發(fā)出的腳步聲，我心里不知怎么的就冒出了一個(gè)念頭：大家，真的都長(zhǎng)大了。是啊，又是一年，又長(zhǎng)大了一歲，按照爸媽的話就是:咱又老了一歲。我們真的有成熟了一些，老師說(shuō)的每一句話都會(huì)放在心頭了，都會(huì)銘記在心里的最深處，因?yàn)槟菚r(shí)我們最最寶貴財(cái)富。

這次的消防演練和以往的不同，我們還真正的親手去體驗(yàn)了一把用滅火器滅火的滋味，雖然說(shuō)并不是所有人都嘗試了，但是我們都看見(jiàn)了那個(gè)場(chǎng)景，看著濃濃的白煙飄過(guò)來(lái)，雖然說(shuō)很嗆，但是我們經(jīng)歷過(guò)了“火災(zāi)”，我們以后就不會(huì)再害怕了對(duì)不對(duì)?我們都學(xué)會(huì)了要如何使用滅火器。其實(shí)，最后回班的時(shí)候我碰見(jiàn)體育老師了，我悄悄地問(wèn)了一句：“滅火器好不好玩?”他告訴我說(shuō)很好玩，我也很想去玩玩，但是我又不想要遇到危險(xiǎn)，所以呢，還是算了吧。為了自己的生命安全。我不知道為什么，自己會(huì)有想玩滅火器的想法，我在想，我只是個(gè)孩子，我無(wú)權(quán)去考慮任何人的事情，但是，我覺(jué)得，我們可以真正的去了解安全、這個(gè)詞了。

篇2

“中國(guó)企業(yè)員工的信息安全意識(shí)可謂不容樂(lè)觀，提升員工信息安全意識(shí)刻不容緩。”谷安天下副總經(jīng)理魏彩霞對(duì)當(dāng)前企業(yè)員工的信息安全意識(shí)現(xiàn)狀表示擔(dān)憂，“不同行業(yè)的信息安全意識(shí)現(xiàn)狀不同，電信、金融等行業(yè)由于業(yè)務(wù)的特殊性，安全意識(shí)較高，而其他行業(yè)的信息安全意識(shí)整體狀況則依舊薄弱”。

調(diào)查顯示，接近50%的受訪者認(rèn)為單位領(lǐng)導(dǎo)的信息安全意識(shí)一般、很差或者還不如自己。而據(jù)魏彩霞介紹，一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全，希望提升員工的保密意識(shí)，但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁(yè)設(shè)置等單個(gè)事件，并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識(shí)”。

由于員工信息安全意識(shí)薄弱而給企業(yè)帶來(lái)災(zāi)難性損失的案例屢見(jiàn)不鮮。據(jù)統(tǒng)計(jì)，世界上每分鐘就有兩家企業(yè)因?yàn)樾畔踩膯?wèn)題而倒閉。而在所有信息安全事件中，只有20%~30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐?，另?0%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成，而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

篇3

隨著計(jì)算機(jī)軟件技術(shù)的發(fā)展,特別是分布式和軟件移動(dòng)計(jì)算的廣泛應(yīng)用,使得系統(tǒng)開(kāi)放性越來(lái)越強(qiáng),局域網(wǎng)內(nèi)的用戶都可能訪問(wèn)到應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù),這給醫(yī)院信息安全帶來(lái)了極大的挑戰(zhàn)。從收費(fèi)數(shù)據(jù)到醫(yī)療信息、從病人隱私保密到管理信息的保密,都要求醫(yī)院管理系統(tǒng)要處于高度安全的環(huán)境中。醫(yī)院信息系統(tǒng)的穩(wěn)定和安全運(yùn)行,是醫(yī)院持續(xù)正常工作的組成部分。作為一個(gè)持續(xù)運(yùn)行的事務(wù)處理系統(tǒng),要求能每天24小時(shí)不間斷運(yùn)行,不希望有中斷,否則會(huì)使醫(yī)院的聲譽(yù)受到影響。同時(shí),隨著業(yè)務(wù)的發(fā)展,系統(tǒng)數(shù)據(jù)量的增加,要求系統(tǒng)能穩(wěn)定地運(yùn)行,不能使系統(tǒng)性能快速降低。在一些重要的系統(tǒng)中,如財(cái)務(wù)、人事、醫(yī)保實(shí)時(shí)交易等信息,已經(jīng)不能滿足于簡(jiǎn)單的本地保護(hù),要求有更高的系統(tǒng)可靠性,保證系統(tǒng)能進(jìn)行容災(zāi)保護(hù)。一旦出現(xiàn)異常情況,如火災(zāi)、爆炸、地震、水災(zāi)、雷擊或某個(gè)方向線路故障等自然原因以及電源機(jī)器故障、人為破壞等非自然原因引起的災(zāi)難后,系統(tǒng)能快速穩(wěn)定地恢復(fù)正常工作。因此,信息安全已經(jīng)不是人們傳統(tǒng)意義上的安全概念,是要保證系統(tǒng)避免一系列威脅,保證醫(yī)院業(yè)務(wù)的連續(xù)性,最大限度地減少醫(yī)院業(yè)務(wù)的損失,為醫(yī)院的業(yè)務(wù)發(fā)展提供信息安全保障。本文作者根據(jù)多年來(lái)從事醫(yī)院管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的建設(shè)及維護(hù)工作的經(jīng)驗(yàn)出發(fā),探討安全建設(shè)和日常維護(hù)工作。

二、安全的硬指標(biāo)

系統(tǒng)安全的硬指標(biāo)考慮的問(wèn)題是多方面的,包括如下。

(一)中心機(jī)房安全

中心機(jī)房是醫(yī)院信息系統(tǒng)設(shè)備的存放地,包括數(shù)據(jù)庫(kù)服務(wù)器、磁盤陣列、網(wǎng)絡(luò)主交換、應(yīng)用服務(wù)器等設(shè)備,因此對(duì)環(huán)境的要求極高,應(yīng)該做到:1.機(jī)房供電不少于兩路;2.雙路UPS供電、并采用智能報(bào)警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災(zāi)探測(cè)器、防竊探測(cè)器;5.溫度、濕度恒定,防塵,防蟲(chóng)鼠;6.三相四線雙變電站供電,安裝應(yīng)急照明系統(tǒng);7.專用機(jī)房接地系統(tǒng),與主配線柜、主設(shè)備柜、防靜電地板下的接地線(環(huán))相連;全方位防雷系統(tǒng),強(qiáng)電、弱電都應(yīng)安裝防雷保護(hù)器等。

(二)服務(wù)器及服務(wù)器操作系統(tǒng)安全

服務(wù)器是數(shù)據(jù)處理的核心單元,是軟件安全的基礎(chǔ),因此,其安全應(yīng)該做到:1.根據(jù)醫(yī)院業(yè)務(wù)狀況決定采用PC服務(wù)器或小型機(jī),并配備磁盤陣列、冗余電源、大規(guī)模內(nèi)存和高速緩存的自動(dòng)糾錯(cuò),保證在連續(xù)工作狀態(tài)下保持穩(wěn)定、快速;2.對(duì)服務(wù)器進(jìn)行隔離,并采取嚴(yán)格的安全管理,各開(kāi)箱鎖單獨(dú)保存;3.應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器必須嚴(yán)格分開(kāi);4.服務(wù)器操作系統(tǒng)應(yīng)采用安全機(jī)制較高的系統(tǒng),如Windows2000或Unix等;5.網(wǎng)絡(luò)操作系統(tǒng)的用戶資源權(quán)限控制以及安全審計(jì)等功能必須開(kāi)啟;6.操作系統(tǒng)不相關(guān)的應(yīng)用服務(wù)必須關(guān)閉;7.操作系統(tǒng)安全布丁必須定時(shí)更新。

(三)群集技術(shù)及磁盤陣列的可靠性

群集技術(shù)是能使服務(wù)器連續(xù)可靠運(yùn)行的重要保證,簡(jiǎn)單地說(shuō)是兩臺(tái)服務(wù)器采用雙機(jī)熱備份工作狀態(tài),當(dāng)一臺(tái)機(jī)器出現(xiàn)問(wèn)題后另一臺(tái)機(jī)器能快速接替主服務(wù)器的工作;服務(wù)器中易損部件是硬盤,硬盤損壞可以造成系統(tǒng)癱瘓,因此采用磁盤陣列進(jìn)行冗余,其要求如下:1.為了避免出現(xiàn)災(zāi)難性后果,必須每天檢查群集工作狀態(tài);2.當(dāng)群集中一臺(tái)機(jī)器出現(xiàn)問(wèn)題時(shí)應(yīng)該馬上解決,檢查主服務(wù)器,盡早恢復(fù)其工作;3.RAID保證數(shù)據(jù)庫(kù)的高可靠性,保證在部分存儲(chǔ)介質(zhì)損壞時(shí)數(shù)據(jù)不丟失;4.必須定時(shí)檢查硬盤工作情況,發(fā)現(xiàn)問(wèn)題及時(shí)處理。

(四)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是指當(dāng)用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器時(shí)如何保證網(wǎng)絡(luò)鏈路的安全,包括網(wǎng)絡(luò)布線安全和網(wǎng)絡(luò)設(shè)備安全。特別還應(yīng)注意設(shè)備的軟故障,軟故障將造成網(wǎng)絡(luò)系統(tǒng)長(zhǎng)時(shí)間無(wú)法正常運(yùn)行,使得醫(yī)院處于一種半癱瘓狀態(tài)。軟故障包括廣播風(fēng)暴、交換機(jī)等設(shè)備處于時(shí)好時(shí)壞狀態(tài)、網(wǎng)絡(luò)以極慢速率傳輸數(shù)據(jù)、頻繁出現(xiàn)丟包現(xiàn)象等,因此,基于安全的要求:1.對(duì)于光纖介質(zhì)要求包括溫差、陽(yáng)光、鼠害、碰撞摩擦、拐角半徑等的防護(hù)環(huán)境;2.對(duì)于雙絞線介質(zhì)要求包括磁場(chǎng)、雷擊、電磁干擾、鼠害、溫差、濕度等的防護(hù)環(huán)境;3.網(wǎng)絡(luò)設(shè)備對(duì)環(huán)境的要求包括溫度、濕度、潔凈度、電源質(zhì)量等;4.核心交換機(jī)也須采用雙冗余進(jìn)行備份,確保該交換機(jī)出現(xiàn)故障后備份交換機(jī)能迅速接替工作;5.定時(shí)觀察服務(wù)器網(wǎng)絡(luò)傳輸數(shù)率。

(五)數(shù)據(jù)庫(kù)安全

在醫(yī)院信息系統(tǒng)的后臺(tái),數(shù)據(jù)信息是整個(gè)系統(tǒng)的靈魂,其安全性至關(guān)重要,而數(shù)據(jù)庫(kù)管理系統(tǒng)是保證數(shù)據(jù)能有效保存、查詢、分析等的基礎(chǔ);數(shù)據(jù)被安全存儲(chǔ)、合法地訪問(wèn)數(shù)據(jù)庫(kù)以及跟蹤監(jiān)視數(shù)據(jù)庫(kù),都必須具有數(shù)據(jù)有效訪問(wèn)權(quán)限,所以應(yīng)該實(shí)現(xiàn):1.數(shù)據(jù)庫(kù)管理系統(tǒng)提供的用戶名、口令識(shí)別,試圖、使用權(quán)限控制、審計(jì)、數(shù)據(jù)加密等管理措施;2.數(shù)據(jù)庫(kù)權(quán)限的劃分清晰,如登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫(kù)管理權(quán)限;3.數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲(chǔ)過(guò)程的執(zhí)行等的權(quán)限必須清晰;4.建立用戶審計(jì),記錄每次操作的用戶的詳細(xì)情況;建立系統(tǒng)審計(jì),記錄系統(tǒng)級(jí)命令和數(shù)據(jù)庫(kù)服務(wù)器本身的使用情況。

(六)數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)安全是數(shù)據(jù)庫(kù)存儲(chǔ)的信息不能因自然災(zāi)害、人為原因和設(shè)備損壞而被破壞,同時(shí)保證數(shù)據(jù)可以長(zhǎng)期保存,備份的數(shù)據(jù)可以正確恢復(fù),其要求如下:1.建立數(shù)據(jù)備份方案,嚴(yán)格按照規(guī)定的備份時(shí)間、方式進(jìn)行數(shù)據(jù)備份;2.數(shù)據(jù)備份要有多重冗余備份,要有異地?cái)?shù)據(jù)備份,當(dāng)某一地點(diǎn)數(shù)據(jù)丟失或破壞時(shí),另一地點(diǎn)保存的副本可用于恢復(fù);3.數(shù)據(jù)部分的有效性檢查,保證備份的數(shù)據(jù)萬(wàn)無(wú)一失,做到定期檢查;4.建立快速恢復(fù)機(jī)制,明確出現(xiàn)故障后的快速恢復(fù)手段與方法,而且必須對(duì)之進(jìn)行階段性檢查,進(jìn)行災(zāi)難模擬測(cè)試。

(七)應(yīng)用軟件的安全

由于醫(yī)院信息系統(tǒng)的用戶量大、數(shù)據(jù)量大、涉及面廣、職責(zé)多樣、業(yè)務(wù)流程復(fù)雜和權(quán)限管理復(fù)雜等,所以對(duì)應(yīng)用程序,系統(tǒng)安全設(shè)計(jì)的要求很高。1.設(shè)計(jì)安全審計(jì)功能,且每個(gè)審計(jì)事件都應(yīng)和觸發(fā)該行為的用戶身份相關(guān)聯(lián);2.審計(jì)查閱功能,為審計(jì)功能提供清晰易懂的審計(jì)日志;3.審計(jì)事件存儲(chǔ),審計(jì)日志存儲(chǔ)空間溢滿時(shí)能導(dǎo)出審計(jì)日志并妥善保存;4.設(shè)計(jì)訪問(wèn)控制策略和訪問(wèn)控制功能;5.設(shè)計(jì)用戶標(biāo)識(shí)、用戶主體綁定;6.設(shè)計(jì)多重會(huì)話并發(fā)限制、會(huì)話鎖定。

(八)病毒防護(hù)和防黑客攻擊安全

計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的危害遠(yuǎn)大于對(duì)單機(jī)的危害。網(wǎng)絡(luò)發(fā)生計(jì)算機(jī)病毒后最難處理的問(wèn)題是清除病毒。對(duì)于服務(wù)器等關(guān)鍵設(shè)備應(yīng)安裝殺毒軟件和防黑客攻擊軟件,網(wǎng)絡(luò)環(huán)境下要把防止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)放在首位,基于以上安全特性,要求:1.設(shè)備VLAN,在主域服務(wù)器上安裝網(wǎng)絡(luò)版殺毒軟件和防黑客攻擊軟件;2.定時(shí)更新病毒庫(kù)和殺毒引擎;3.定時(shí)更新操作系統(tǒng)漏洞布丁;4.關(guān)閉不用的操作系統(tǒng)服務(wù);5.關(guān)閉不用的端口;6.盡量將醫(yī)院的內(nèi)網(wǎng)與外網(wǎng)做到物理上的完全隔離。

三、安全的軟指標(biāo)

系統(tǒng)安全的軟指標(biāo)是指管理制度、應(yīng)急方案、操作規(guī)范和安全培訓(xùn)制度等。

(一)組織

成立系統(tǒng)安全工作領(lǐng)導(dǎo)小組、確定第一責(zé)任人、責(zé)任部門、相關(guān)部門和部門負(fù)責(zé)人,明確安全責(zé)任制,并定期檢查、督促落實(shí)。

(二)制度

建立信息安全管理制度也是安全管理的重要組成部分;完整的計(jì)算機(jī)文檔是分析故障、排除故障的基礎(chǔ),是系統(tǒng)正常運(yùn)行的保證;工作制度的建立與系統(tǒng)建設(shè)同步開(kāi)始;同時(shí),在日常工作中應(yīng)該根據(jù)系統(tǒng)設(shè)置的變化進(jìn)行修改,保證文檔和制度能真實(shí)反映系統(tǒng)狀態(tài),具體制度為:1.建立網(wǎng)絡(luò)服務(wù)器管理制度;2.建立網(wǎng)絡(luò)設(shè)備管理制度;3.建立網(wǎng)絡(luò)工作站管理制度;4.建立網(wǎng)絡(luò)工作人員管理制度;5.技術(shù)文檔管理制度;6.“第三方”訪問(wèn)管理制度。

(三)信息安全操作規(guī)范

很多安全隱患都來(lái)自于操作不規(guī)范,口令定期調(diào)整、程序升級(jí)、日志檢查都可能杜絕掉很多安全隱患,因此,應(yīng)建立如下規(guī)范:1.建立操作系統(tǒng)操作規(guī)范;2.建立數(shù)據(jù)庫(kù)系統(tǒng)操作規(guī)范;3.應(yīng)用系統(tǒng)操作規(guī)范。

(四)應(yīng)急方案

醫(yī)院信息系統(tǒng)應(yīng)急方案是在計(jì)算機(jī)出現(xiàn)故障,且不能短期完全恢復(fù)運(yùn)行,并影響到局部或整體工作時(shí),只有采用人工的方式來(lái)開(kāi)展工作,保證正常醫(yī)療活動(dòng)不被完全打亂,因此應(yīng)做到:1.確定應(yīng)急方案實(shí)施責(zé)任制;2.應(yīng)急方案實(shí)施范圍和時(shí)間;3.應(yīng)急方案通報(bào)制度;4.系統(tǒng)故障一般應(yīng)急措施;5.業(yè)務(wù)應(yīng)用應(yīng)急實(shí)施細(xì)則。

(五)安全培訓(xùn)制度

信息中心應(yīng)負(fù)責(zé)全院相關(guān)部門和人員的信息系統(tǒng)安全教育和使用培訓(xùn)的計(jì)劃制定、實(shí)施和組織協(xié)調(diào)工作:1.制定相應(yīng)的安全培訓(xùn)大綱、培訓(xùn)計(jì)劃,有計(jì)劃地加以實(shí)施;2.對(duì)醫(yī)院決策層和管理層的應(yīng)知應(yīng)會(huì)培訓(xùn),充分認(rèn)識(shí)信息安全的重要性和信息安全防御體系建設(shè)的必要性;3.對(duì)計(jì)算機(jī)科室管理人員的技能培訓(xùn);4.對(duì)操作層面人員的使用培訓(xùn);5.知識(shí)更新培訓(xùn)及業(yè)務(wù)再培訓(xùn)。

四、探討

以上的框架描述只是從作者的工作經(jīng)驗(yàn)和部分理論指導(dǎo)的角度出發(fā),因此很多地方還有待探討。不同的醫(yī)院有不同的情況,不能一概而論,包括管理現(xiàn)狀、資金狀況、人員配備、技術(shù)支持等都會(huì)影響到信息安全的實(shí)施。醫(yī)院如何開(kāi)展信息安全工作,應(yīng)該本著從實(shí)際出發(fā)的精神,先進(jìn)行風(fēng)險(xiǎn)評(píng)估,研究信息系統(tǒng)存在的漏洞缺陷、面臨的風(fēng)險(xiǎn)與威脅,對(duì)于可能發(fā)現(xiàn)的漏洞、風(fēng)險(xiǎn),制定相應(yīng)的策略:首先在技術(shù)上,確定操作系統(tǒng)類型、安全級(jí)別,以選擇合適的安全的服務(wù)器系統(tǒng)和相關(guān)的安全硬件;再確定適當(dāng)?shù)木W(wǎng)絡(luò)系統(tǒng),從安全角度予以驗(yàn)證;選擇合適的應(yīng)用系統(tǒng),特別要強(qiáng)調(diào)應(yīng)用系統(tǒng)的身份認(rèn)證與授權(quán)。在行為上,對(duì)網(wǎng)絡(luò)行為、各種操作進(jìn)行實(shí)時(shí)的監(jiān)控,對(duì)各種行為規(guī)范進(jìn)行分類管理,規(guī)定行為規(guī)范的范圍和期限,對(duì)不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項(xiàng)安全制度,并定期檢查、督促落實(shí);確定醫(yī)院的安全領(lǐng)導(dǎo)小組,合理分配職責(zé),做到責(zé)任到人。當(dāng)然,還要意識(shí)到信息安全工作的開(kāi)展有可能會(huì)影響到系統(tǒng)使用的方便性,畢竟,安全和方便是矛盾的統(tǒng)一體,要安全就不會(huì)很方便,相關(guān)工作效率必定降低,要方便則安全得不到保證,因此必須權(quán)衡估量。

篇4

信息安全是國(guó)家安全的基礎(chǔ)和關(guān)鍵，在信息安全保障的三大要素(人員、技術(shù)、管理)中，管理要素的地位和作用越來(lái)越受到重視。面對(duì)越來(lái)越嚴(yán)重的安全威脅，不單在IT技術(shù)領(lǐng)域，各行業(yè)的企業(yè)組織都越來(lái)越意識(shí)到信息安全的重要性，但單純依靠技術(shù)方案來(lái)并不能解決如何保護(hù)企業(yè)信息資產(chǎn)的問(wèn)題，因此這對(duì)當(dāng)前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

 

一、信息安全培訓(xùn)體系概況

 

信息安全培訓(xùn)作為高校信息安全專業(yè)教育的一種重要補(bǔ)充，主要用于解決學(xué)歷教育和社會(huì)實(shí)踐、社會(huì)認(rèn)證培訓(xùn)的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問(wèn)題?，F(xiàn)有培訓(xùn)主要可分為四類。

 

第一，安全意識(shí)培訓(xùn)：其面向機(jī)構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶，目的是提高整個(gè)組織普遍的安全意識(shí)和人員安全防護(hù)能力，使組織員工充分了解既定的安全策略，并能夠切實(shí)執(zhí)行。

 

第二，安全技能培訓(xùn)：其面向機(jī)構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開(kāi)發(fā)人員等，目的是讓其掌握基本的安全攻防技術(shù)，提升其安全技術(shù)操作水平，培養(yǎng)解決安全問(wèn)題和杜絕安全隱患的技能。

 

第三，安全管理培訓(xùn)：其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

 

第四，認(rèn)證資質(zhì)培訓(xùn)：其針對(duì)特殊崗位所需的職能人員，包括審核部門、監(jiān)管部門、信息保障部門等。通過(guò)提供國(guó)際信息安全相關(guān)認(rèn)證考試的輔導(dǎo)培訓(xùn)，可以幫助人員順利通過(guò)考試獲得各類信息安全資質(zhì)認(rèn)證培訓(xùn)。

 

前三類認(rèn)證主要依托專業(yè)的培訓(xùn)機(jī)構(gòu)或安全設(shè)備廠商進(jìn)行。第四類培訓(xùn)是當(dāng)前培訓(xùn)的主體。

二、信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)情況

 

資質(zhì)認(rèn)證類培訓(xùn)是針對(duì)資質(zhì)認(rèn)證特點(diǎn)和內(nèi)容要求設(shè)計(jì)，依托專業(yè)機(jī)構(gòu)進(jìn)行的。一些認(rèn)證的培訓(xùn)機(jī)構(gòu)是由資質(zhì)管理機(jī)構(gòu)專門指定的。當(dāng)前，信息安全相關(guān)資質(zhì)認(rèn)證主要分三類：

 

第一，國(guó)內(nèi)以信息產(chǎn)業(yè)部，信息安全評(píng)測(cè)機(jī)構(gòu)為代表的組織來(lái)管理實(shí)施的信息安全資格認(rèn)證(或與國(guó)際組織聯(lián)合頒發(fā));這類的認(rèn)證培訓(xùn)有：CISP培訓(xùn)、NCSE培訓(xùn)、CISM培訓(xùn)、INSPC培訓(xùn)、CIW認(rèn)證培訓(xùn)等。

 

第二，由國(guó)外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認(rèn)證(側(cè)重于廠商產(chǎn)品、技術(shù)認(rèn)證);相關(guān)的認(rèn)證培訓(xùn)有：微軟Microsoft認(rèn)證培訓(xùn)、思科安全認(rèn)證CCSP培訓(xùn)、趨勢(shì)認(rèn)證信息安全TCSE培訓(xùn)等。

 

第三，國(guó)際權(quán)威信息安全組織、研究部門或培訓(xùn)機(jī)構(gòu)組來(lái)管理組織的國(guó)際化專業(yè)資格認(rèn)證。相關(guān)的認(rèn)證培訓(xùn)有：信息系統(tǒng)安全認(rèn)證CISSP培訓(xùn)、信息安全管理體系主任審核員ISO 27001培訓(xùn)、國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證CISA培訓(xùn)、國(guó)際IT運(yùn)營(yíng)與服務(wù)管理資格認(rèn)證ITIL培訓(xùn)等。

 

下面以CISP培訓(xùn)為例，分析其知識(shí)體系構(gòu)建情況。

 

CISP即“注冊(cè)信息安全專家”，是國(guó)家對(duì)信息安全人員資質(zhì)的最高認(rèn)可。其經(jīng)由中國(guó)信息安全測(cè)評(píng)中心實(shí)施國(guó)家認(rèn)證。CISP認(rèn)證和培訓(xùn)賦予如下專業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢服務(wù)機(jī)構(gòu)、測(cè)評(píng)認(rèn)證機(jī)構(gòu)、授權(quán)測(cè)評(píng)機(jī)構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門和標(biāo)準(zhǔn)化部門必備的專業(yè)崗位人員。

 

在整個(gè)CISP的知識(shí)體系結(jié)構(gòu)中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)這五個(gè)知識(shí)類。 CISP知識(shí)體系以信息安全保障為主線，全面覆蓋信息安全保障工作所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域。CISP培訓(xùn)知識(shí)體系結(jié)構(gòu)共包含五個(gè)知識(shí)類，分別為：(1)信息安全保障概述：介紹了信息安全保障的框架、基本原理和實(shí)踐，它是注冊(cè)信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識(shí)。(2)信息安全技術(shù)：主要包括密碼技術(shù)、訪問(wèn)控制、審計(jì)監(jiān)控等安全技術(shù)機(jī)制，網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件等方面的基本安全原理和實(shí)踐，以及信息安全攻防和軟件安全開(kāi)發(fā)相關(guān)的技術(shù)知識(shí)和實(shí)踐。(3)信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險(xiǎn)管理、安全管理措施等相關(guān)的管理知識(shí)和實(shí)踐。(4)信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實(shí)踐方法。(5)信息安全標(biāo)準(zhǔn)法規(guī)：主要包括信息安全相關(guān)的標(biāo)準(zhǔn)、法律法規(guī)、政策和道德規(guī)范，是注冊(cè)信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識(shí)。

 

CISP的注冊(cè)要求如下：

 

第一，教育與工作經(jīng)歷：碩士研究生以上，具有1年工作經(jīng)歷;或本科畢業(yè)，具有2年工作經(jīng)歷;或大專畢業(yè)，具有4年工作經(jīng)歷。

 

第二，專業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

 

第三，培訓(xùn)資格：在申請(qǐng)注冊(cè)前，成功地完成了CNITSEC或其授權(quán)培訓(xùn)機(jī)構(gòu)組織的注冊(cè)信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類課程，并取得培訓(xùn)合格證書(shū)。

 

第四，通過(guò)由CNITSEC舉行的注冊(cè)信息安全專業(yè)人員考試。

 

三、信息安全專業(yè)培訓(xùn)體系構(gòu)建的建議

 

1.構(gòu)建完善的高校信息安全專業(yè)人才培訓(xùn)體系

 

傳統(tǒng)的培訓(xùn)體系，比較側(cè)重于知識(shí)和技能傳授的過(guò)程控制，在對(duì)知識(shí)的共享、隱性知識(shí)的轉(zhuǎn)換等方面，已經(jīng)不能滿足當(dāng)前的要求，高?？梢酝ㄟ^(guò)借鑒、學(xué)習(xí)CISP認(rèn)證和培訓(xùn)體系結(jié)構(gòu)和CISSP認(rèn)證課程內(nèi)容設(shè)置，從信安全崗位所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來(lái)完善信息安 全專業(yè)人才培訓(xùn)體系。根據(jù)培訓(xùn)對(duì)象的不同將課程分為五種類型(層次)：操作層面的基本安全意識(shí)培訓(xùn);

 

技術(shù)層面的各項(xiàng)安全技能培訓(xùn);管理層面的信息安全管理培訓(xùn);專家級(jí)的資質(zhì)認(rèn)證培訓(xùn)。當(dāng)然在培訓(xùn)體系里面信息安全技術(shù)方面的培訓(xùn)仍然是重點(diǎn)，為了加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點(diǎn)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓(xùn)，可以參考思科安全認(rèn)證CCSP培訓(xùn)的模式，對(duì)當(dāng)前使用的防火墻、侵入檢測(cè)、VPN、身份驗(yàn)證和安全管理等主流網(wǎng)絡(luò)安全防護(hù)裝備進(jìn)行系統(tǒng)性的專題培訓(xùn)。

 

2.建立逐級(jí)培訓(xùn)的信息安全專業(yè)人才培訓(xùn)模式

 

當(dāng)前信息安全技術(shù)的發(fā)展日新月異，信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化，因此對(duì)于信息安全專業(yè)人員的培訓(xùn)，僅靠一兩次培訓(xùn)是遠(yuǎn)遠(yuǎn)不夠的，必須連續(xù)、有針對(duì)性的接受相應(yīng)崗位和層次的逐級(jí)培訓(xùn)，才能保證知識(shí)、能力結(jié)構(gòu)的不斷優(yōu)化和提高。在逐級(jí)培訓(xùn)過(guò)程中要明確不同職務(wù)、技術(shù)等級(jí)的不同要求，使得逐級(jí)培訓(xùn)過(guò)程級(jí)與級(jí)之間層次清晰又銜接有序。如果沒(méi)有通過(guò)低級(jí)別的培訓(xùn)、認(rèn)證，便不能參加后門高級(jí)別的培訓(xùn)。同時(shí)利用職業(yè)資格證、學(xué)歷證書(shū)、執(zhí)行證書(shū)等為牽引，通過(guò)多階段培訓(xùn)、資格培訓(xùn)、升級(jí)培訓(xùn)使得知識(shí)結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展，取得相應(yīng)的職業(yè)證書(shū)才能晉升上崗，否則不予任用。

 

3.通過(guò)合理的認(rèn)證標(biāo)準(zhǔn)來(lái)動(dòng)態(tài)更新和完善培訓(xùn)體系的目標(biāo)任務(wù)

 

只有對(duì)培訓(xùn)成果進(jìn)行合理判斷，確定受訓(xùn)人員知識(shí)技能水平的提高幅度，才能了解培訓(xùn)項(xiàng)目是否達(dá)到原定的目標(biāo)和要求，從而為進(jìn)一步改進(jìn)培訓(xùn)體系提供重要依據(jù)。通過(guò)對(duì)培訓(xùn)人員最終考評(píng)成績(jī)的分析以及部隊(duì)調(diào)研，培訓(xùn)學(xué)員信息反饋等方式，針對(duì)培訓(xùn)內(nèi)容和教學(xué)組織形式聽(tīng)取意見(jiàn)，并及時(shí)調(diào)整，使得培訓(xùn)效果真正適應(yīng)培訓(xùn)學(xué)員的實(shí)際需求，提高培訓(xùn)效果。這樣才能在保持相對(duì)穩(wěn)定的情況下對(duì)培訓(xùn)內(nèi)容實(shí)施動(dòng)態(tài)更新，不斷完善。

篇5

論文關(guān)鍵詞：電力；信息安全；解決方案；技術(shù)手段

1電力信息化應(yīng)用和發(fā)展

目前，電力 企業(yè) 信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成，硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好，無(wú)論是在生產(chǎn)、調(diào)度還是營(yíng)業(yè)等部門都已實(shí)現(xiàn)了信息化，企業(yè)信息化已經(jīng)成為新世紀(jì)開(kāi)局階段的潮流。在網(wǎng)絡(luò)硬件方面，基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng)；百兆到桌面，三層交換；vlan，mpls等技術(shù)也普及使用。在軟件方面，各應(yīng)用十要包括調(diào)度自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營(yíng)銷信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)的應(yīng)用子系統(tǒng)等。 計(jì)算 機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)、經(jīng)營(yíng)、管理、科研、設(shè)計(jì)等各個(gè)領(lǐng)域有著十分廣泛的應(yīng)用，安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等方面取得了明顯的社會(huì)效益和 經(jīng)濟(jì) 效益，同時(shí)也逐步健全和完善了信息化管理機(jī)制，培養(yǎng)和建立了一支強(qiáng)有力的技術(shù)隊(duì)伍，有利促進(jìn)了電力 工業(yè) 的發(fā)展。

2電力信息網(wǎng)安全現(xiàn)狀分析

結(jié)合電力生產(chǎn)特點(diǎn)，從電力信息系統(tǒng)和電力運(yùn)行實(shí)時(shí)控制系統(tǒng)2個(gè)方面，分析電力系統(tǒng)信息安全存在的問(wèn)題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系，將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)進(jìn)行隔離，網(wǎng)絡(luò)間設(shè)置了防火墻，購(gòu)買了網(wǎng)絡(luò)防病毒軟件，有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的，很多單位沒(méi)有網(wǎng)絡(luò)防火墻，沒(méi)有數(shù)據(jù)備份的概念，更沒(méi)有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一，長(zhǎng)遠(yuǎn)的規(guī)劃，網(wǎng)絡(luò)中有許多的安全隱患。朝陽(yáng)供電公司嚴(yán)格按照省公司的要求，對(duì)網(wǎng)絡(luò)安全進(jìn)行了全方位的保護(hù)，防火墻、防病毒、入侵檢測(cè)、網(wǎng)管軟件的安裝、verjtas備份系統(tǒng)的使用，確保了信息的安全，為生產(chǎn)、營(yíng)業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善，管理起來(lái)還是很吃力，給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問(wèn)題。

3電力信息網(wǎng)安全風(fēng)險(xiǎn)分析

計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)亟待提高。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大，對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。

缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對(duì)計(jì)算機(jī)安全一+直非常重視，但由于各種原因，目前還沒(méi)有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。相對(duì)來(lái)說(shuō)，在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。

計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后，面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng)，并沒(méi)有同外界連接。所以，早期的計(jì)算機(jī)安全只是防止外部破壞或者對(duì)內(nèi)部人員的安全控制就可以了，但現(xiàn)在就必須要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。

數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫(kù)管理系統(tǒng)維護(hù)的數(shù)據(jù)庫(kù)中或操作系統(tǒng)文件中。以明文形式存儲(chǔ)的信息存在泄漏的可能，拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息；黑客可以饒過(guò)操作系統(tǒng)，數(shù)據(jù)庫(kù)管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認(rèn)證。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)，用戶身份認(rèn)證基本上采用口令的鑒別模式，而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用白己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫(kù)或文件中，這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天不能再使用了。沒(méi)有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺(tái)工作站備份一下數(shù)據(jù)就了事，沒(méi)有完善的數(shù)據(jù)備份設(shè)備、沒(méi)有數(shù)據(jù)備份策略、沒(méi)有備份的管理制度，沒(méi)有對(duì)數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。 

4電力信息網(wǎng)安全防護(hù)方案

4．1加強(qiáng)電力信息網(wǎng)安全 教育

安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級(jí)管理部門應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過(guò)程中應(yīng)該有一定的層次性和普遍性。

主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員，重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。

信息用戶，重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。當(dāng)然，對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并納入整個(gè)企業(yè)文化體系中才是最根本的解決辦法。

4．2電力信息髓安全防護(hù)技術(shù)措旌

(1)網(wǎng)絡(luò)防火墻：防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口，所有的訪問(wèn)都將通過(guò)防火墻進(jìn)行，不允許任何饒過(guò)防火墻的連接。d m z區(qū)放置了企業(yè)對(duì)外提供各項(xiàng)服務(wù)的服務(wù)器，既能夠保證提供正常的服務(wù)，又能夠有效地保護(hù)服務(wù)器不受攻擊。設(shè)置防火墻的訪問(wèn)策略，遵循“缺省全部關(guān)閉，按需求開(kāi)通的原則”，拒絕除明確許可證外的任何服務(wù)。

(2)物理隔離裝置：主要用于電力信息網(wǎng)的不同區(qū)之間的隔離，物理隔離裝置實(shí)際上是專用的防火墻，由于其不公開(kāi)性，使得更難被黑客攻擊。

(3)入侵檢測(cè)系統(tǒng)：部署先進(jìn)的分布式入侵檢測(cè)構(gòu)架，最大限度地、全天候地實(shí)施監(jiān)控，提供 企業(yè) 級(jí)的安全檢測(cè)手段。在事后分析的時(shí)候，可以清楚地界定責(zé)任人和責(zé)任時(shí)間，為 網(wǎng)絡(luò) 管理人員提供強(qiáng)有力的保障。入侵檢測(cè)系統(tǒng)采用攻擊防衛(wèi)技術(shù)，具有高可靠性、高識(shí)別率、規(guī)則更新迅速等特點(diǎn)。

(4)網(wǎng)絡(luò)隱患掃描系統(tǒng)：網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持tcp／ip協(xié)議的設(shè)備，掃描的對(duì)象包括掃描多種操作系統(tǒng)，掃描網(wǎng)絡(luò)設(shè)備包括：服務(wù)器、工作站、防火墻、路由器、路由交換機(jī)等。在進(jìn)行掃描時(shí)，可以從網(wǎng)絡(luò)中不同的位置對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。

掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告，采用報(bào)表和圖形的形式對(duì)掃描結(jié)果進(jìn)行分析，可以方便直觀地對(duì)用戶進(jìn)行安全性能評(píng)估和檢查。

(5)網(wǎng)絡(luò)防病毒：為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心，對(duì)整個(gè)網(wǎng)絡(luò)部署查、殺毒，服務(wù)器通過(guò)internet從免疫中心實(shí)時(shí)獲取最新的病毒碼信息，及時(shí)更新病毒代碼庫(kù)。同時(shí)，選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺(tái)、各種數(shù)據(jù)庫(kù)平臺(tái)、各種應(yīng)用軟件。

(6)數(shù)據(jù)加密及傳輸安全：通過(guò)文件加密、信息摘要和訪問(wèn)控制等安全措施，來(lái)實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋Ｃ芎屯暾砸螅瑢?shí)現(xiàn)對(duì)文件訪問(wèn)的控制。對(duì)通信安全，采用數(shù)據(jù)加密，信息摘要和數(shù)字簽名等安全措施對(duì)通信過(guò)程中的信息進(jìn)行保護(hù)，實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對(duì)遠(yuǎn)程接入安全，通過(guò)vpn技術(shù)，提高實(shí)時(shí)的信息傳播中的保密性和安全性。

(7)數(shù)據(jù)備份：對(duì)于企業(yè)來(lái)說(shuō)，最珍貴的是存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯(cuò)方案是必不可少的，必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實(shí)際的數(shù)據(jù)備份策略。

(8)數(shù)據(jù)庫(kù)安全：通過(guò)數(shù)據(jù)存儲(chǔ)加密、完整性檢驗(yàn)和訪問(wèn)控制來(lái)保證數(shù)據(jù)庫(kù)數(shù)據(jù)的機(jī)密和完整性，并實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)安全。 

4．3電力信息網(wǎng)安全防護(hù)管理措施

技術(shù)是安全的主體，管理是安全的靈魂。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中，網(wǎng)絡(luò)安全的長(zhǎng)期性和穩(wěn)定性才能有所保證。

(1)要加強(qiáng)信息人員的安全 教育 ，保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對(duì)穩(wěn)定，防止網(wǎng)路機(jī)密泄露，特別是注意人員調(diào)離時(shí)的網(wǎng)絡(luò)機(jī)密的泄露。

(2)對(duì)各類密碼要妥善管理，杜絕默認(rèn)密碼，出廠密碼，無(wú)密碼，不要使用容易猜測(cè)的密碼。密碼要及時(shí)更新，特別是有人員調(diào)離時(shí)密碼一定要更新。

(3)技術(shù)管理，主要是指各種網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備的安全策略，如防火墻、物理隔離設(shè)備、入侵檢測(cè)設(shè)備、路由器的安全策略要切合實(shí)際。

(4)數(shù)據(jù)的備份策略要合理，備份要及時(shí)，備份介質(zhì)保管要安全，要注意備份介質(zhì)的異地保存。

(5)加強(qiáng)信息設(shè)備的物理安全，注意服務(wù)器、 計(jì)算 機(jī)、交換機(jī)、路由器、存儲(chǔ)介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質(zhì)的安全管理，備份的介質(zhì)要防止丟失和被盜。報(bào)廢的介質(zhì)要及時(shí)清除和銷毀，特別要注意送出修理的設(shè)備上存儲(chǔ)的信息的安全。

5電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問(wèn)題

(1)理順技術(shù)與管理的關(guān)系。

解決信息安全問(wèn)題不能僅僅只從技術(shù)上考慮，要防止重技術(shù)輕管理的傾向，加強(qiáng)對(duì)人員的管理和培訓(xùn)。

(2)解決安全和 經(jīng)濟(jì) 合理的關(guān)系。安全方案要能適應(yīng)長(zhǎng)遠(yuǎn)的 發(fā)展 和今后的局部調(diào)整，防止不斷改造，不斷投入。

(3)要進(jìn)行有效的安全管理，必須建立起一套系統(tǒng)全面的信息安全管理體系，可以參照國(guó)際上通行的一些標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。

(4)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問(wèn)題，網(wǎng)絡(luò)上的任何一個(gè)漏洞，都會(huì)導(dǎo)致全網(wǎng)的安全問(wèn)題，應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。

篇6

關(guān)鍵詞 電力企業(yè)；信息系統(tǒng)；信息安全

中圖分類號(hào) TP 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2011)122-0116-01

電力作為國(guó)民經(jīng)濟(jì)的基礎(chǔ)設(shè)施行業(yè)，在國(guó)內(nèi)較早開(kāi)始了信息化建設(shè)工作。企業(yè)門戶、安全生產(chǎn)、營(yíng)銷管理、協(xié)同辦公、電力負(fù)荷控制、客戶服務(wù)等信息網(wǎng)絡(luò)技術(shù)已經(jīng)成功應(yīng)用到各級(jí)電力企業(yè)。隨著電力信息化建沒(méi)和應(yīng)用的快速發(fā)展，信息安全問(wèn)題已日益突出，并成為國(guó)家安全戰(zhàn)略的重要組成部分。

研究信息安全技術(shù)，建立電力信息系統(tǒng)的安全防護(hù)體系和安全模型，對(duì)確保電力系統(tǒng)安全穩(wěn)定、經(jīng)濟(jì)優(yōu)質(zhì)運(yùn)行，加速實(shí)現(xiàn)“數(shù)字電力系統(tǒng)”的進(jìn)程具有重要的現(xiàn)實(shí)意義。

1 電力信息系統(tǒng)安全需求

一個(gè)全面、合理的電力信息系統(tǒng)安全體系和模型，應(yīng)該滿足下列安全需求。

1）機(jī)密性。即確保信息僅對(duì)被授權(quán)者可用。信息的保護(hù)通過(guò)確保數(shù)據(jù)被限制于授權(quán)者（這里通過(guò)可審性來(lái)配合）使用，另外還應(yīng)考慮信息所在的形式和狀態(tài)，是物理的紙面形式、電子文檔形式，還是傳輸中的介質(zhì)形式。

2）完整性。是指數(shù)據(jù)不以未經(jīng)授權(quán)方式進(jìn)行改變或損壞的特性。電力企業(yè)的許多開(kāi)放系統(tǒng)應(yīng)用都有依賴于數(shù)據(jù)完整性的安全需求。完整性同樣應(yīng)考慮信息所在的形式和形態(tài)。

3）可用性。指確保被授權(quán)用戶在需要時(shí)可以訪問(wèn)系統(tǒng)中的信息和相關(guān)資產(chǎn)，不會(huì)因自然或人為原因使系統(tǒng)中信息的存儲(chǔ)、傳輸或處理延遲，或者系統(tǒng)服務(wù)被破壞、被拒絕達(dá)到不能容忍的程度。

4）可控性。指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)訪問(wèn)內(nèi)的信息流向以及方式。

5）不可抵賴性。也稱信息的可確認(rèn)性，是傳統(tǒng)社會(huì)的不可否認(rèn)需求在信息社會(huì)的延伸。不可抵賴性包括：證據(jù)的生成、驗(yàn)證和記錄，以及在解決糾紛時(shí)隨即進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證。

6）可審性?？蓪徯圆皇切畔⒆陨淼陌踩枨螅荒茚槍?duì)攻擊提供保護(hù)，但具有信息的責(zé)任需求，和他安全需求相結(jié)合使之更加有效。雖然可審性需求會(huì)增加系統(tǒng)的復(fù)雜性，降低系統(tǒng)的使用能力。但是其事后可追查這一特性，在電力信息系統(tǒng)安全中是重要的。

以上六個(gè)方面是保證信息系統(tǒng)的信息安全最基本的需求，它們互不能蘊(yùn)含。

2 電力信息系統(tǒng)面臨的威脅和安全風(fēng)險(xiǎn)

電力信息系統(tǒng)安全在過(guò)去幾年雖然已經(jīng)取得了長(zhǎng)足發(fā)展，但是在信息系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行維護(hù)過(guò)程中需要研究和解決的問(wèn)題還很多。

1）面臨的威脅電力信息系統(tǒng)面臨的威脅來(lái)自各個(gè)方面。歸結(jié)起來(lái)主要包括以下幾個(gè)方面：①電力信息系統(tǒng)組件固有的脆弱性和缺陷；②地震、雷擊、洪災(zāi)和火災(zāi)等自然威脅；③意外人為威脅；④惡意人為威脅。

2）電力信息系統(tǒng)存在的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況及采用的信息技術(shù)密切相關(guān)，電力企業(yè)信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于以下幾個(gè)方面：①計(jì)算機(jī)病毒的威脅最為廣泛；②網(wǎng)絡(luò)中服務(wù)器被黑客攻擊的事件層出不窮；③網(wǎng)絡(luò)安全問(wèn)題日益突出，這是電力企業(yè)面臨的一個(gè)非常突出的問(wèn)題；④電力企業(yè)與外單位信息傳遞的安全不容忽視；⑤電力企業(yè)用戶身份認(rèn)證和信息系統(tǒng)的訪問(wèn)控制急需加強(qiáng)。

3 電力信息系統(tǒng)安全的建設(shè)

為加強(qiáng)和規(guī)范信息安全工作，提高信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，結(jié)合電力企業(yè)自身的特點(diǎn)，堅(jiān)持“安全第一，防御為主”方針，有目的、合理地設(shè)計(jì)電力信息系統(tǒng)安全體系和模型，建立健全與信息化相適應(yīng)的信息安全保障、監(jiān)督體系，積極防御和綜合防范信息技術(shù)風(fēng)險(xiǎn)。

1）建立信息安全工作機(jī)制。信息系統(tǒng)實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理，明確各單位主要負(fù)責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人。將信息系統(tǒng)安全納入公司安全管理體系，實(shí)行專業(yè)管理、歸口監(jiān)督，明確責(zé)任人員，提高各級(jí)人員的信息安全意識(shí)，實(shí)現(xiàn)信息系統(tǒng)安全管理和防御措施落實(shí)到位。

2）明確信息安全管理范圍和任務(wù)。全面加強(qiáng)一體化企業(yè)級(jí)信息集成平臺(tái)和業(yè)務(wù)應(yīng)用的安全管理，確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行。堅(jiān)持“分區(qū)、分級(jí)、分域”總體防護(hù)策略，實(shí)行“雙網(wǎng)雙機(jī)”，按照 “三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入

運(yùn)行。

3）完善信息安全管理制度體系。統(tǒng)籌規(guī)劃，突出重點(diǎn)，加快信息安全管理制度和標(biāo)準(zhǔn)規(guī)范建設(shè)步伐，強(qiáng)化信息安全規(guī)章制度落實(shí)工作。嚴(yán)格遵守“不上網(wǎng)、上網(wǎng)不”紀(jì)律，開(kāi)展網(wǎng)絡(luò)與信息系統(tǒng)定級(jí)、審批、備案工作。加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)全過(guò)程管理，不斷完善應(yīng)急預(yù)案。建立備份與恢復(fù)管理相關(guān)安全管理制度。

4）嚴(yán)格執(zhí)行電力二次系統(tǒng)安全防護(hù)規(guī)定。要切實(shí)貫徹落實(shí)電力二次系統(tǒng)安全防護(hù)總體方案及各級(jí)調(diào)度中心二次系統(tǒng)安全防護(hù)方案，切實(shí)將其納入電力安全生產(chǎn)管理體系，建立健全電力二次系統(tǒng)安全聯(lián)合防護(hù)和應(yīng)急機(jī)制，制定并完善應(yīng)急預(yù)案。按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本原則，加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)和安全符理。

5）加快信息安全管控手段建設(shè)。全面推進(jìn)個(gè)人終端標(biāo)準(zhǔn)化建設(shè)工作，實(shí)現(xiàn)個(gè)人終端補(bǔ)丁程序、病毒軟件自動(dòng)更新、升級(jí)，強(qiáng)化防木馬病毒等安全措施。增加信息安全監(jiān)控措施，加快建立信息安全監(jiān)控手段，實(shí)現(xiàn)對(duì)防火墻、入侵檢測(cè)等安全防護(hù)設(shè)施的集中監(jiān)視和事件預(yù)警。

6）強(qiáng)化信息安全應(yīng)急與通報(bào)工作。不斷完善信息安全應(yīng)急機(jī)制，制定預(yù)案，加強(qiáng)演練。規(guī)范信息安全事件通報(bào)程序，及時(shí)傳達(dá)國(guó)家和企業(yè)信息安全運(yùn)行動(dòng)態(tài)，及時(shí)響應(yīng)和處理信息安全事件，加強(qiáng)事件分析，實(shí)時(shí)安全通告。

7）高度重視信息安全保密工作。嚴(yán)格做到“計(jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不”，禁止內(nèi)容在互聯(lián)網(wǎng)上存儲(chǔ)和交叉使用，加強(qiáng)安全保密管理，嚴(yán)格人員審批，及時(shí)開(kāi)展信息系統(tǒng)安全保密檢查，做好文檔的登記、存檔、銷毀、定密、解密等各環(huán)節(jié)工作，及時(shí)發(fā)現(xiàn)泄密隱患。

8）提高全員信息安全意識(shí)。開(kāi)展全員信息安全培訓(xùn)，全面樹(shù)立決策層、管理層、操作層信息安全風(fēng)險(xiǎn)意識(shí)，不斷積累信息安全管理經(jīng)驗(yàn)。開(kāi)展不同層面的安全教育和培訓(xùn)工作，適應(yīng)信息技術(shù)發(fā)展的潛在

要求。

參考文獻(xiàn)

[1]計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].西安電子科技大學(xué)出版社,2006.

篇7

[關(guān)鍵詞]多體系；整合；實(shí)施方案

doi：10.3969/j.issn.1673 - 0194.2015.16.094

[中圖分類號(hào)]F279.23 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）16-0-01

1 多體系獨(dú)立運(yùn)行存在的問(wèn)題

公司內(nèi)通常有多個(gè)體系同時(shí)并存，如質(zhì)量管理體系ISO 9001、職業(yè)健康體系ISO 18000、環(huán)境管理體系ISO 140000、信息安全管理體系ISO 27001、IT服務(wù)管理體系ISO 20000以及信息安全資質(zhì)等，讓這些體系“和平共處”非常重要。如不能很好地解決這些體系的共存問(wèn)題，各個(gè)體系將出現(xiàn)“打架”現(xiàn)象，輕則體系運(yùn)行出現(xiàn)障礙，重則會(huì)讓整個(gè)公司管理體系運(yùn)行陷入癱瘓狀態(tài)。

在一些公司中，由于歷史原因，多個(gè)體系分別獨(dú)立運(yùn)行，或者僅有少量體系簡(jiǎn)單整合，這給體系的良好運(yùn)轉(zhuǎn)帶來(lái)極大挑戰(zhàn)。

1.1 過(guò)程文件 “打架”

同樣的事情，可能有多個(gè)不同的文件約定，如“培訓(xùn)管理制度”在多個(gè)“體系”中同時(shí)存在，不同的“體系”中“培訓(xùn)管理制度”因特定體系的要求不同，其內(nèi)容亦存在差異，如在ISO 20000體系中的“培訓(xùn)管理制度”規(guī)定每年年底收集培訓(xùn)需求并制訂來(lái)年培訓(xùn)計(jì)劃，而ISO 27001體系中規(guī)定每年年初收集培訓(xùn)需求并制訂培訓(xùn)計(jì)劃。這會(huì)引起培訓(xùn)專員在實(shí)施培訓(xùn)時(shí)的困惑，不確定究竟要按照哪個(gè)“培訓(xùn)管理制度”執(zhí)行。

1.2 過(guò)程難以實(shí)施

各個(gè)標(biāo)準(zhǔn)體系，其視角不同，對(duì)應(yīng)的約定不同，但這些約定可能是針對(duì)公司同一個(gè)業(yè)務(wù)的不同方面，如在體系中不加以整合，則其實(shí)施會(huì)遇到很大挑戰(zhàn)。如基于ISO 9001，公司制訂了項(xiàng)目管理過(guò)程，針對(duì)項(xiàng)目從立項(xiàng)到結(jié)項(xiàng)的一列過(guò)程，而公司可能在ISO 27001中的“信息安全管理制度”中，根據(jù)ISO 27001附錄A6.1.5中有關(guān)對(duì)項(xiàng)目管理中信息安全要求，做出在項(xiàng)目實(shí)施過(guò)程中的信息安全要求“在項(xiàng)目實(shí)施計(jì)劃中，采用風(fēng)險(xiǎn)分析方法，分析項(xiàng)目信息安全風(fēng)險(xiǎn)，并根據(jù)分析結(jié)果，制訂信息安全實(shí)施措施”。這導(dǎo)致在業(yè)務(wù)過(guò)程中沒(méi)有規(guī)定其實(shí)施要求，這些要求反而分散在體系中各個(gè)不起眼的過(guò)程中，過(guò)程實(shí)施者在實(shí)施時(shí)很難聯(lián)想到這些規(guī)定，也無(wú)法很好地實(shí)施這些規(guī)定。

2 多體系整合實(shí)施思路

多體系整合基本上分4步進(jìn)行。

2.1 合并同類項(xiàng)

這一步相對(duì)簡(jiǎn)單，將相同的過(guò)程合并成同一個(gè)過(guò)程，如多個(gè)體系均有“培訓(xùn)管理制度”，則保留其中一個(gè)就可以。

如果在多個(gè)體系中，有相同的管理制度，則保留一個(gè)即可，如這些約定有少量不同，則檢查不同點(diǎn)在哪里。不同點(diǎn)一般有兩種情況：一種是各個(gè)體系分別增加的，互不影響的約定，如ISO 20000“培訓(xùn)管理制度”中有關(guān)培訓(xùn)內(nèi)容部分約定需要做IT服務(wù)意識(shí)培訓(xùn)，而在ISO 27001中相應(yīng)內(nèi)容則約定需要做信息安全培訓(xùn)，則只需要將這些約定整合在一起即可。另外一種情況是有沖突的約定，此時(shí)需要仔細(xì)分析甄別，取其中的合理成分。

如果在多個(gè)體系中，針對(duì)不同的業(yè)務(wù)，有類似的管理制度，則需將相同的內(nèi)容加以整合，如公司系統(tǒng)集成有“系統(tǒng)集成項(xiàng)目實(shí)施制度”，軟件開(kāi)發(fā)有“軟件開(kāi)發(fā)項(xiàng)目實(shí)施制度”，運(yùn)維服務(wù)有“運(yùn)維服務(wù)項(xiàng)目實(shí)施管理制度”，這些項(xiàng)目實(shí)施管理制度，表面上看有諸多不同，但實(shí)際上，除部分細(xì)節(jié)差異外，其管理過(guò)程基本上完全一致，對(duì)其進(jìn)行分析、整合，形成統(tǒng)一的、滿足公司所有項(xiàng)目實(shí)施的“項(xiàng)目管理制度”，有利于公司的過(guò)程規(guī)范和執(zhí)行。

2.2 交叉融合

在該步驟中，將同一個(gè)過(guò)程中的不同約定，整合在一起，方便過(guò)程的執(zhí)行。

如ISO 27001附錄A6.1.5中有關(guān)對(duì)項(xiàng)目管理中信息安全要求，不再獨(dú)立形成文件另行規(guī)定，而是整合在公司的“項(xiàng)目管理制度”中。

在該步驟中，實(shí)施的重點(diǎn)在于如何將不同文件的不同規(guī)定整合在一起。

2.3 過(guò)程驗(yàn)證

對(duì)每個(gè)過(guò)程，針對(duì)公司的實(shí)際情況進(jìn)行演練和驗(yàn)證，確保各個(gè)過(guò)程符合公司現(xiàn)狀，過(guò)程定義規(guī)范、完整、可行。

2.4 過(guò)程對(duì)標(biāo)

將整合好的管理體系，按照各ISO體系資質(zhì)要求，找出每個(gè)標(biāo)準(zhǔn)、每個(gè)條款對(duì)應(yīng)的過(guò)程文件，形成《標(biāo)準(zhǔn)條款對(duì)應(yīng)一覽表》，以確認(rèn)體系符合各個(gè)標(biāo)準(zhǔn)。

如該步驟不能通過(guò)，則返回第三步。

篇8

【關(guān)鍵詞】 電力企業(yè);網(wǎng)絡(luò)安全;安全策略

一、安全風(fēng)險(xiǎn)分析

電力企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)一般都會(huì)將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對(duì)分隔開(kāi)來(lái),以避免外來(lái)因素對(duì)生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見(jiàn)的風(fēng)險(xiǎn)一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見(jiàn)的風(fēng)險(xiǎn)種類比較多,通?？梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見(jiàn)的風(fēng)險(xiǎn)有操作系統(tǒng)和數(shù)據(jù)庫(kù)存在漏洞、合法用戶的操作錯(cuò)誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計(jì)算機(jī)病毒(惡意代碼)等,上述風(fēng)險(xiǎn)所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言淪等風(fēng)險(xiǎn),會(huì)使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風(fēng)險(xiǎn)的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接,當(dāng)需要數(shù)據(jù)傳輸時(shí)必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)Ｓ酶綦x裝置(一般稱做網(wǎng)閘)。

二、安全需求分析

一般電力企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人3方面著手,其中安全策略是安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計(jì)算機(jī)病毒(包括惡意代碼)通過(guò)各種形式對(duì)網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團(tuán)式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性的基本保障,需要兼顧成本和實(shí)效。安全的人員是企業(yè)經(jīng)營(yíng)鏈中的細(xì)胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問(wèn)和泄密,需要加強(qiáng)教育和制度約束。

三、安全思想和原則

電力企業(yè)信息安全的主要目標(biāo)一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營(yíng)服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹(shù)立集團(tuán)平臺(tái)理念;保證“信息化長(zhǎng)效機(jī)制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾,保證系統(tǒng)安全事件(計(jì)算機(jī)病毒、篡改網(wǎng)頁(yè)、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時(shí)響應(yīng)與及時(shí)恢復(fù),數(shù)據(jù)不丟失。(1)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認(rèn)證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測(cè)和最小化原則等多種因素,它們是設(shè)計(jì)信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實(shí)現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機(jī)制,集成先進(jìn)的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)。計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強(qiáng)內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強(qiáng)培訓(xùn)和用戶管理,加強(qiáng)安全審計(jì)和跟蹤體系,提高人員對(duì)整體網(wǎng)絡(luò)安全意識(shí)。(3)嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅(jiān)強(qiáng)的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強(qiáng)安全教育和宣傳,嚴(yán)肅網(wǎng)絡(luò)規(guī)章制度和紀(jì)律,對(duì)網(wǎng)絡(luò)犯罪嚴(yán)懲不貸。

四、安全策略與方法

1.物理安全策略和方法。物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路的設(shè)計(jì),包括建設(shè)符合標(biāo)準(zhǔn)的中心機(jī)房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽(tīng)等攻擊行為。還要建立完備的機(jī)房安全管理制度,防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)等,并妥善保管備份磁帶和文檔資料;要建立設(shè)備訪問(wèn)控制,其作用是通過(guò)維護(hù)訪問(wèn)到表以及可審查性,驗(yàn)證用戶的身份和權(quán)限,防止和控制越權(quán)操作。

2.訪問(wèn)控制策略和方法。網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級(jí)進(jìn)行保護(hù),主要是根據(jù)業(yè)務(wù)功能、信息保密級(jí)別、安全等級(jí)等要求的差異將網(wǎng)絡(luò)進(jìn)行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VLAN、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段的主要手段。而訪問(wèn)管理控制是限制系統(tǒng)內(nèi)資源的分等級(jí)和層次使用,是防止非法訪問(wèn)的第一道防線。訪問(wèn)控制主要手段是身份認(rèn)證,以用戶名和密碼的驗(yàn)證為主,必要時(shí)可將密碼技術(shù)和安全管理中心結(jié)合起來(lái),實(shí)現(xiàn)多重防護(hù)體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。

3.開(kāi)放的網(wǎng)絡(luò)服務(wù)策略和方法。Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護(hù)自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來(lái)構(gòu)建堅(jiān)固的大門,同時(shí)對(duì)Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強(qiáng)化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時(shí)增加審計(jì)手段。

4.電子郵件安全策略和方法。電子郵件策略主要是針對(duì)郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對(duì)目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來(lái)越多,迫使防范技術(shù)快速發(fā)展,電力企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進(jìn)行。

5.網(wǎng)絡(luò)反病毒策略和方法。每個(gè)電力企業(yè)為了處理計(jì)算機(jī)病毒感染事件,都要消耗大量的時(shí)間和精力,而且還會(huì)造成一些無(wú)法挽回的損失,必須制定反計(jì)算機(jī)病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實(shí)時(shí)監(jiān)控,并且針對(duì)特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。

6.加密策略和方法。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、密碼和控制信息,保護(hù)網(wǎng)絡(luò)會(huì)話的完整性。其方法有虛擬私有網(wǎng)、公共密鑰體系、密鑰管理系統(tǒng)、加密機(jī)和身份認(rèn)證鑰匙手段等。

7.攻擊和入侵應(yīng)急處理流程和災(zāi)難恢復(fù)策略和方法。主要方法是配備必要的安全產(chǎn)品,例如網(wǎng)絡(luò)掃描器、防火墻、入侵檢測(cè)系統(tǒng),進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控和分析,及時(shí)找到攻擊對(duì)象采取響應(yīng)的措施,并利用備份系統(tǒng)和應(yīng)急預(yù)案以備緊急情況下恢復(fù)系統(tǒng)。

8.安全服務(wù)的策略。再好的安全策略和方法都要通過(guò)技術(shù)和服務(wù)來(lái)實(shí)現(xiàn),安全產(chǎn)品和安全服務(wù)同樣重要,只有把兩者很好地結(jié)合起來(lái),才能真正貫徹安全策略。

需要注意的是“最小的成本和以能接受的風(fēng)險(xiǎn)獲得IT投資的最大效益”。一個(gè)“大而全”的安全管理系統(tǒng)是不現(xiàn)實(shí)的,只有符合企業(yè)信息網(wǎng)絡(luò)架構(gòu)和安全防護(hù)體系要求的產(chǎn)品,才能真正達(dá)到網(wǎng)絡(luò)的防護(hù),一方面避免有漏洞的產(chǎn)品對(duì)系統(tǒng)安全造成更大的危害;另一方面避免造成成本上的浪費(fèi)。目前承包商可以提供的安全服務(wù)主要有:安全需求分析、安全策略制定、系統(tǒng)漏洞審計(jì)、系統(tǒng)安全加固、緊急事件響應(yīng)、網(wǎng)絡(luò)安全培訓(xùn)。承包商還可以提供對(duì)資產(chǎn)管理保護(hù)類的產(chǎn)品,主要有實(shí)時(shí)監(jiān)控的網(wǎng)管軟件、集中式安全管理平臺(tái)、安全監(jiān)控和防御產(chǎn)品、內(nèi)網(wǎng)安全管理、防止內(nèi)部信息泄漏的安全管理、網(wǎng)絡(luò)訪問(wèn)行為與通信內(nèi)容審計(jì)等。

目前,計(jì)算機(jī)網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰(shuí)主管、誰(shuí)負(fù)責(zé)、聯(lián)合保護(hù)、協(xié)調(diào)處置”的原則,與電力企業(yè)主業(yè)一樣實(shí)行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全企業(yè)內(nèi)部信息安全組織體系的同時(shí),制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估/分析和審計(jì),采用適合的安全產(chǎn)品,確保各項(xiàng)電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運(yùn)行,為電力企業(yè)創(chuàng)造新業(yè)績(jī)鋪路架橋。

篇9

2010年，衛(wèi)生系統(tǒng)各單位、各部門圍繞繼續(xù)擴(kuò)大衛(wèi)生信息化覆蓋的范圍和領(lǐng)域，提高衛(wèi)生信息化應(yīng)用水平，保障系統(tǒng)安全，持續(xù)努力工作，取得了顯著成績(jī)。受北京市衛(wèi)生系統(tǒng)信息化領(lǐng)導(dǎo)小組委托，現(xiàn)在由我向大家做工作報(bào)告，總結(jié)2010年工作，部署2011年重點(diǎn)任務(wù)。

2010年衛(wèi)生信息化工作情況

1. 積極推動(dòng)醫(yī)改各項(xiàng)工作

2009年國(guó)家頒布新醫(yī)改方案，2010年北京市制定“北京市2010~2011深化醫(yī)藥衛(wèi)生體制改革實(shí)施方案”。關(guān)于衛(wèi)生信息化工作，在北京的醫(yī)改文件中提出：“啟動(dòng)醫(yī)藥衛(wèi)生信息綜合服務(wù)平臺(tái)建設(shè)前期工作。探索利用網(wǎng)絡(luò)信息技術(shù)，試點(diǎn)發(fā)展遠(yuǎn)程會(huì)診。推進(jìn)信息化標(biāo)準(zhǔn)建設(shè)，逐步統(tǒng)一規(guī)范醫(yī)院信息系統(tǒng)數(shù)據(jù)接口和信息采集，推進(jìn)公共衛(wèi)生、醫(yī)療、醫(yī)保、藥品、財(cái)務(wù)監(jiān)管等信息系統(tǒng)互聯(lián)互通工作。提高信息化水平，城鄉(xiāng)居民電子健康檔案建檔率達(dá)到20%?！?/p>

2. 衛(wèi)生信息化人員機(jī)構(gòu)和隊(duì)伍建設(shè)又見(jiàn)成效

2010年，昌平區(qū)衛(wèi)生局新成立了信息中心，使我市16個(gè)區(qū)縣中，區(qū)縣衛(wèi)生局成立信息中心的數(shù)量達(dá)到12個(gè)。目前，只有海淀、豐臺(tái)、通州、門頭溝4個(gè)區(qū)縣衛(wèi)生局仍然沒(méi)有成立信息中心。

3. 堅(jiān)持衛(wèi)生信息化行業(yè)管理不松懈

自2003年后，為避免信息化建設(shè)各自為政、重復(fù)建設(shè)、盲目建設(shè)、數(shù)據(jù)多頭采集，北京衛(wèi)生信息化按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一管理”的“四統(tǒng)一”原則開(kāi)展工作。

起草《北京市“十二五”衛(wèi)生信息化規(guī)劃》

2010年是十二五規(guī)劃之年，《北京市“十二五”衛(wèi)生信息化規(guī)劃》專項(xiàng)規(guī)劃是《北京市衛(wèi)生事業(yè)發(fā)展改革“十二五”規(guī)劃》的重要組成部分。市衛(wèi)生局全面征求區(qū)縣衛(wèi)生局、直屬事業(yè)單位和直屬三級(jí)醫(yī)院的意見(jiàn)，多次組織召開(kāi)專題研討會(huì)征求意見(jiàn)。目前，已經(jīng)完成了規(guī)劃的制訂，準(zhǔn)備近期。

制訂醫(yī)院門急診信息系統(tǒng)相關(guān)標(biāo)準(zhǔn)規(guī)范

完成《北京地區(qū)醫(yī)院門急診信息系統(tǒng)基本功能規(guī)范和數(shù)據(jù)采集規(guī)范》（試行稿），于9月19日向北京地區(qū)50家三級(jí)醫(yī)院及11家遠(yuǎn)郊區(qū)縣中心醫(yī)院下發(fā)《關(guān)于建立北京地區(qū)醫(yī)療機(jī)構(gòu)門急診信息報(bào)告制度的通知》（京衛(wèi)醫(yī)字〔2010〕212號(hào)）以及《關(guān)于做好門急診信息系統(tǒng)接口改造工作的通知》，該規(guī)范作為醫(yī)院門、急診信息系統(tǒng)改造以及數(shù)據(jù)采集的規(guī)范依據(jù)正式試行。

完成了《北京市藥品分類與代碼規(guī)范》，北京市質(zhì)量技術(shù)監(jiān)督局已經(jīng)將其列入2011年北京市地方標(biāo)準(zhǔn)修訂計(jì)劃之中。

完成衛(wèi)生信息化項(xiàng)目前置審核工作

按照《北京市衛(wèi)生信息化項(xiàng)目建設(shè)管理辦法》（京衛(wèi)辦字〔2008〕107號(hào)），做好衛(wèi)生信息化項(xiàng)目的前置審核評(píng)審等項(xiàng)目管理工作。2010年共收到各單位上報(bào)項(xiàng)目76項(xiàng)，涉及資金3億元。經(jīng)市衛(wèi)生局信息化領(lǐng)導(dǎo)小組審核，通過(guò)22項(xiàng)。

通過(guò)統(tǒng)一評(píng)審和歸口管理，可以全面了解各單位的衛(wèi)生信息化情況，做到統(tǒng)籌管理，使得各部門的信息化建設(shè)符合衛(wèi)生信息化總體規(guī)劃和發(fā)展方向；同時(shí)利用市公共衛(wèi)生信息中心及相關(guān)專家資源對(duì)于項(xiàng)目建設(shè)方案進(jìn)行評(píng)估，使得方案在總體設(shè)計(jì)、安全管理、網(wǎng)絡(luò)建設(shè)、國(guó)產(chǎn)軟硬件產(chǎn)品和信息共享等方面更加全面、科學(xué)。

4. 重點(diǎn)應(yīng)用系統(tǒng)建設(shè)取得實(shí)效

新社區(qū)衛(wèi)生信息系統(tǒng)推廣實(shí)施順利

新社區(qū)衛(wèi)生服務(wù)綜合管理信息系統(tǒng)是全面覆蓋社區(qū)衛(wèi)生服務(wù)機(jī)構(gòu)和社區(qū)衛(wèi)生管理機(jī)構(gòu)，以建立居民健康檔案為核心，支持基本醫(yī)療和公共衛(wèi)生服務(wù)的信息系統(tǒng)，符合社區(qū)衛(wèi)生改革的要求。

在新社區(qū)衛(wèi)生服務(wù)綜合管理信息系統(tǒng)中，著力建設(shè)社區(qū)衛(wèi)生業(yè)務(wù)和財(cái)務(wù)等應(yīng)用系統(tǒng)，實(shí)現(xiàn)市、區(qū)縣和基層三層體系架構(gòu)。2010年完成了試點(diǎn)項(xiàng)目驗(yàn)收，6月24日啟動(dòng)全市推廣。截至到2011年3月6日，在西城、原崇文、原宣武、順義、朝陽(yáng)、海淀、石景山等8個(gè)區(qū)縣、52個(gè)社區(qū)衛(wèi)生服務(wù)中心、178個(gè)社區(qū)衛(wèi)生服務(wù)站穩(wěn)定運(yùn)行，建立電子健康檔案526萬(wàn)份，原東城、西城、崇文、宣武四個(gè)城區(qū)基本完成實(shí)施推廣任務(wù)，順義、海淀、石景山、昌平區(qū)、密云縣進(jìn)展順利。

借助醫(yī)聯(lián)碼系統(tǒng)，實(shí)現(xiàn)門急診信息采集

北京市實(shí)名就診卡完善（醫(yī)聯(lián)碼系統(tǒng)）項(xiàng)目是我市建立門急診信息報(bào)告制度的支撐項(xiàng)目，是我局針對(duì)目前管理需求對(duì)原北京市實(shí)名就診卡完善項(xiàng)目進(jìn)行變更后重新啟動(dòng)的項(xiàng)目。該項(xiàng)目在全市三級(jí)醫(yī)院及十一家區(qū)級(jí)中心醫(yī)院實(shí)施，將為非醫(yī)?；颊呓⒔y(tǒng)一的條碼，通過(guò)此條碼采集門急診就診信息。項(xiàng)目實(shí)施至今，已在全市推開(kāi)，醫(yī)聯(lián)碼發(fā)放及信息采集工作業(yè)已開(kāi)始。截至3月15日，已有39家醫(yī)院完成接口改造，大興人民醫(yī)院、婦產(chǎn)醫(yī)院、同仁醫(yī)院、房山第一醫(yī)院等31家醫(yī)院共計(jì)發(fā)放醫(yī)聯(lián)碼28.95萬(wàn)條。朝陽(yáng)醫(yī)院、婦產(chǎn)醫(yī)院、人民醫(yī)院、北醫(yī)三院、中日友好醫(yī)院等17家醫(yī)院已經(jīng)上報(bào)門急診信息，共計(jì)93.8萬(wàn)條。

5. 固化衛(wèi)生行業(yè)信息安全保障成果，提高安全管理水平

2010年的衛(wèi)生行業(yè)信息安全的重點(diǎn)工作是固化奧運(yùn)和國(guó)慶信息安全保障工作成果，在行業(yè)內(nèi)以推動(dòng)等級(jí)保護(hù)為依托，進(jìn)一步提高全行業(yè)信息安全管理水平。在各級(jí)領(lǐng)導(dǎo)的重視下，各單位圓滿完成了2010年信息安全相關(guān)工作。

開(kāi)展衛(wèi)生行業(yè)信息安全檢查

2010年，為督促我市衛(wèi)生行業(yè)各單位做好信息安全保障工作，細(xì)化各項(xiàng)信息網(wǎng)絡(luò)安全工作措施，進(jìn)一步提升網(wǎng)絡(luò)與信息系統(tǒng)支撐醫(yī)療服務(wù)工作的效率和水平，確保我市衛(wèi)生行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行，市公安局和市衛(wèi)生局對(duì)全市大中型醫(yī)院及市屬醫(yī)療衛(wèi)生機(jī)構(gòu)開(kāi)展了網(wǎng)絡(luò)和信息系統(tǒng)安全檢查。

出臺(tái)《醫(yī)療衛(wèi)生信息安全等級(jí)保護(hù)實(shí)施指南》

2010年，結(jié)合近幾年信息安全聯(lián)合檢查中遇到的各類問(wèn)題，信息中心組織出版了《醫(yī)療衛(wèi)生信息安全等級(jí)保護(hù)實(shí)施指南》。規(guī)范了醫(yī)療衛(wèi)生信息安全等級(jí)保護(hù)工作的基本思路和實(shí)施方法，指導(dǎo)我市醫(yī)療衛(wèi)生信息建設(shè)中的信息安全保障工作，對(duì)搞好醫(yī)療衛(wèi)生信息安全保障具有十分重要的現(xiàn)實(shí)意義。

開(kāi)展信息安全培訓(xùn)

2010年，在衛(wèi)生局直屬單位開(kāi)展了信息安全員信息安全保障知識(shí)培訓(xùn)，共進(jìn)行了8次授課，共400余人次接受了培訓(xùn)，提高了信息安全員的信息安全保障能力，為各單位的信息安全保障奠定了基礎(chǔ)。

2011年衛(wèi)生信息化重點(diǎn)任務(wù)

1. 十二五期間信息化建設(shè)基本任務(wù)

未來(lái)五年，衛(wèi)生信息化建設(shè)的主要任務(wù)是建立“基于電子病歷和居民健康檔案的醫(yī)藥衛(wèi)生信息化工程”，主要內(nèi)容可以概括為一張網(wǎng)絡(luò)、兩級(jí)平臺(tái)、三個(gè)基礎(chǔ)數(shù)據(jù)庫(kù)。

一張網(wǎng)絡(luò)，是指全市各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)與行政管理部門互聯(lián)互通的信息傳輸網(wǎng)絡(luò)；兩級(jí)平臺(tái)，是指市、區(qū)/縣兩級(jí)衛(wèi)生信息交換平臺(tái)；三個(gè)基礎(chǔ)數(shù)據(jù)庫(kù)，是指執(zhí)法相對(duì)人數(shù)據(jù)庫(kù)、醫(yī)療衛(wèi)生資源數(shù)據(jù)庫(kù)和居民健康檔案數(shù)據(jù)庫(kù)。實(shí)現(xiàn)上述目標(biāo)，依靠的是標(biāo)準(zhǔn)規(guī)范和信息安全保障兩個(gè)體系。

2. 推進(jìn)醫(yī)院信息化建設(shè)

電子病歷試點(diǎn)工作

衛(wèi)生部為推進(jìn)醫(yī)藥衛(wèi)生體制改革，加強(qiáng)醫(yī)院信息化建設(shè)，于2010年9月下發(fā)了《關(guān)于開(kāi)展電子病歷試點(diǎn)工作的通知》（衛(wèi)醫(yī)政發(fā)〔2010〕85號(hào)）文件，決定在北京市等22個(gè)省（區(qū)、市）部分區(qū)域和醫(yī)院開(kāi)展電子病歷試點(diǎn)工作，確定試點(diǎn)工作時(shí)間為1年。市衛(wèi)生局根據(jù)衛(wèi)生部文件的精神和要求，組織制定了《北京市以電子病歷為核心的醫(yī)院信息化試點(diǎn)工作實(shí)施方案》，明確了指導(dǎo)思想、工作目標(biāo)、組織管理、實(shí)施步驟及工作要求。同時(shí)還制定了《北京地區(qū)電子病歷試點(diǎn)技術(shù)方案》，指導(dǎo)試點(diǎn)醫(yī)院推進(jìn)電子病歷工作。

醫(yī)聯(lián)碼相關(guān)工作

醫(yī)聯(lián)碼系統(tǒng)為北京地區(qū)醫(yī)療機(jī)構(gòu)門急診信息采集提供了支持，奠定了基礎(chǔ)。根據(jù)北京市衛(wèi)生局《關(guān)于建立北京地區(qū)醫(yī)療機(jī)構(gòu)門急診信息報(bào)告制度的通知》（京衛(wèi)醫(yī)字〔2010〕212號(hào)）文件要求，三級(jí)醫(yī)療機(jī)構(gòu)及11家遠(yuǎn)郊區(qū)縣區(qū)域醫(yī)療中心2011年1月起，正式啟用門急診信息上報(bào)工作。今年要繼續(xù)推進(jìn)醫(yī)聯(lián)碼相關(guān)工作，希望各醫(yī)院建立院內(nèi)的組織協(xié)調(diào)工作機(jī)制，積極開(kāi)展醫(yī)聯(lián)碼接口改造、信息上傳、門急診就診信息上傳等工作。

3. 推廣實(shí)施社區(qū)衛(wèi)生信息系統(tǒng)

市衛(wèi)生局、市編辦、市發(fā)改委、市財(cái)政等八部門聯(lián)合下發(fā)的《關(guān)于進(jìn)一步推進(jìn)社區(qū)衛(wèi)生改革與管理工作的意見(jiàn)》（京衛(wèi)基層字〔2010〕25號(hào)）要求，“以有利于工作開(kāi)展、有利于方便居民、有利于加強(qiáng)管理為目標(biāo)，全面推廣應(yīng)用全市統(tǒng)一的新社區(qū)衛(wèi)生服務(wù)綜合管理信息系統(tǒng)，并不斷完善功能。到2011年底，建立起以健康檔案為基礎(chǔ)的覆蓋全市社區(qū)衛(wèi)生服務(wù)和管理機(jī)構(gòu)的信息化管理體系，搭建完成覆蓋全市社區(qū)衛(wèi)生服務(wù)管理中心、社區(qū)衛(wèi)生服務(wù)中心、社區(qū)衛(wèi)生服務(wù)站的互聯(lián)互通的網(wǎng)絡(luò)。加強(qiáng)市、區(qū)兩級(jí)社區(qū)衛(wèi)生服務(wù)綜合管理信息平臺(tái)的建設(shè)?！?/p>

各區(qū)縣積極推進(jìn)社區(qū)衛(wèi)生信息化工作，年底之前，完成16區(qū)縣推廣應(yīng)用部署工作。目前，推進(jìn)較好的區(qū)縣為東城、西城、順義、海淀、石景山、昌平、密云、大興等。

4. 加強(qiáng)公共衛(wèi)生和衛(wèi)生管理信息化建設(shè)和綜合利用

推動(dòng)居民電子健康檔案建立工作

根據(jù)醫(yī)改要求，把為轄區(qū)常住人口重點(diǎn)人群自愿建立統(tǒng)一、規(guī)范的居民健康檔案，及時(shí)更新健康檔案，并逐步試行計(jì)算機(jī)管理等工作列為本市為居民提供的基本公共衛(wèi)生服務(wù)項(xiàng)目。2011年的醫(yī)改任務(wù)責(zé)任書(shū)中，各區(qū)縣居民電子健康檔案建檔率指標(biāo)有所不同，但全市總體要求達(dá)到50%以上。北京市新社區(qū)衛(wèi)生服務(wù)信息系統(tǒng)已經(jīng)提供了電子健康檔案建立的工具，請(qǐng)各區(qū)縣組織人員開(kāi)展電子健康檔案相關(guān)工作，以便建立實(shí)時(shí)動(dòng)態(tài)變化的社區(qū)居民電子健康檔案，為社區(qū)居民服務(wù)，為家庭醫(yī)生服務(wù)。

啟動(dòng)?jì)D幼保健網(wǎng)絡(luò)信息系統(tǒng)二期

3月啟動(dòng)?jì)D幼保健二期建設(shè)，系統(tǒng)將覆蓋北京市婦幼保健院、16所區(qū)縣婦幼保健院（所）、近800家承擔(dān)婦幼保健服務(wù)與管理工作的醫(yī)療保健機(jī)構(gòu)、1000余家托幼園所等機(jī)構(gòu)，以婦幼健康檔案為核心，實(shí)現(xiàn)與醫(yī)院和社區(qū)信息共享的、完整的、動(dòng)態(tài)的、連續(xù)的婦女兒童保健信息庫(kù)。計(jì)劃9月開(kāi)發(fā)完成，試運(yùn)行。各區(qū)縣不需再單獨(dú)建立婦幼信息系統(tǒng)。

2011年工作要求

1. 領(lǐng)導(dǎo)重視，加快落實(shí)信息化機(jī)構(gòu)和人才隊(duì)伍建設(shè)

目前，仍有部分區(qū)縣沒(méi)有成立信息中心，部分直屬機(jī)構(gòu)沒(méi)有信息管理部門，衛(wèi)生人才隊(duì)伍薄弱，嚴(yán)重影響了信息化建設(shè)。各單位領(lǐng)導(dǎo)要高度重視，盡快落實(shí)機(jī)構(gòu)設(shè)置和人員配置問(wèn)題。

2. 加強(qiáng)管理，保障信息系統(tǒng)安全

今年市衛(wèi)生局將繼續(xù)以信息系統(tǒng)等級(jí)保護(hù)工作為依托，繼續(xù)加強(qiáng)全市衛(wèi)生行業(yè)信息安全管理工作。

繼續(xù)聯(lián)合市公安局對(duì)行業(yè)進(jìn)行信息安全檢查，重點(diǎn)針對(duì)電子病歷試點(diǎn)單位、重要公共衛(wèi)生部門進(jìn)行安全檢查。

按照市信息安全協(xié)調(diào)領(lǐng)導(dǎo)小組工作部署要求，進(jìn)一步加快推動(dòng)等級(jí)保護(hù)。

3. 樹(shù)立大局觀念，加快社區(qū)衛(wèi)生信息系統(tǒng)的推廣應(yīng)用

要求各區(qū)縣加強(qiáng)組織，落實(shí)責(zé)任，協(xié)調(diào)相關(guān)部門，加大推廣力度，2011年底之前完成任務(wù)。

使用全市統(tǒng)一的新社區(qū)衛(wèi)生服務(wù)信息系統(tǒng)。

篇10

關(guān)鍵詞：信息化；信息安全管理；企業(yè)管理

中圖分類號(hào)：F279.23 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1001-828X（2012）03-00-01

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣，各機(jī)關(guān)組織和企事業(yè)單位都開(kāi)展各類管理業(yè)務(wù)的信息化建立。企業(yè)的發(fā)展運(yùn)作離不開(kāi)信息系統(tǒng)的安全運(yùn)行。信息安全通過(guò)保護(hù)企業(yè)信息的機(jī)密性、完整性和可用性，不僅保護(hù)了企業(yè)各類信息資產(chǎn)的安全，還能增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力，維護(hù)企業(yè)的形象和信譽(yù)。信息安全對(duì)企業(yè)的生存和發(fā)展的是至關(guān)重要的，需要從戰(zhàn)略的高度對(duì)信息安全進(jìn)行規(guī)劃和管理。

一、企業(yè)中信息安全管理經(jīng)常存在的問(wèn)題

日常安全管理中存在的主要問(wèn)題，首先是用戶安全意識(shí)和觀念薄弱的占58%，第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)，占39%；其后，依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。

不僅在日常管理中，在技術(shù)管理方面也存在一定的問(wèn)題。在CSDN泄密門事件中，專業(yè)IT博客“月光博客”撰文表示“整個(gè)事件最不可思議的地方在于，像CSDN這樣的以程序員和開(kāi)發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼”，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫(kù)里保存用戶密碼的加密信息，這樣黑客即使下載了數(shù)據(jù)庫(kù)，破解用戶密碼也不是一件容易的事情” 。可見(jiàn)，有些涉及技術(shù)方面的問(wèn)題，也并不是單純的技術(shù)問(wèn)題，而是與技術(shù)人員安全意識(shí)不強(qiáng)、責(zé)任心不到位有關(guān)。

為了了解企業(yè)內(nèi)部員工在信息安全問(wèn)題上的看法及所做的努力，我們對(duì)一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問(wèn)卷和訪談?wù){(diào)查，發(fā)現(xiàn)在企業(yè)員工中存在如下一些問(wèn)題：

1.是信息安全意識(shí)方面，被調(diào)查者認(rèn)為信息安全對(duì)企業(yè)和個(gè)人都非常重要。但大多數(shù)受訪者對(duì)信息安全的問(wèn)題了解很少等。

2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情；與技術(shù)人員的交流非常少；忙于業(yè)務(wù)，沒(méi)有時(shí)間去處理。

3.是用戶認(rèn)為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上，很少有人去關(guān)注；公司發(fā)動(dòng)的信息安全的培訓(xùn)活動(dòng)沒(méi)有收到好的效果。

二、信息安全問(wèn)題的根源

通過(guò)對(duì)調(diào)查的結(jié)果進(jìn)行深入分析，發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)、風(fēng)險(xiǎn)損失嚴(yán)重的原因從根本上來(lái)說(shuō)，有以下幾個(gè)方面：

1.信息安全是一個(gè)多維問(wèn)題，涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問(wèn)題上往往涉及多個(gè)部門。有些情況下，無(wú)法明確責(zé)任，使得信息安全得不到應(yīng)有的重視以及有效的管理。

2.風(fēng)險(xiǎn)平衡理論認(rèn)為，人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。這與你采用多少的安全防護(hù)措施無(wú)關(guān)。有時(shí)即使有條件可以到達(dá)絕對(duì)安全的狀態(tài)，由于人性的緣故，也不會(huì)那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強(qiáng)了，受到的約束也就多了，相應(yīng)地效率也就降低了。比如簡(jiǎn)單規(guī)律地密碼，可以不必費(fèi)力去記；插入U(xiǎn)盤時(shí)進(jìn)行殺毒，必然要耽誤時(shí)間；沒(méi)有接入網(wǎng)絡(luò)，不可能受到網(wǎng)絡(luò)攻擊，但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由，因此有人半開(kāi)玩笑地說(shuō)：“最安全的計(jì)算機(jī)是拔掉網(wǎng)絡(luò)的那臺(tái)計(jì)算機(jī)”。

4.由于某些緣故，網(wǎng)絡(luò)中總是存在黑客，專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專業(yè)，一般的用戶難以預(yù)防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進(jìn)步的。

5.信息安全問(wèn)題的不確定性。信息安全問(wèn)題的不確定性主要指是否發(fā)生風(fēng)險(xiǎn)的不確定性、無(wú)法精確地評(píng)估當(dāng)前所面臨的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生所帶來(lái)的損失的難以把握。

所有這一切因素，都使得信息安全無(wú)法得到有效的關(guān)注和重視，無(wú)法采用有效的措施來(lái)預(yù)防和避免。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下，風(fēng)險(xiǎn)損失較大的主要原因。

三、相關(guān)的建議和策略

針對(duì)企業(yè)信息安全的問(wèn)題，文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個(gè)功能：計(jì)劃、組織、領(lǐng)導(dǎo)、控制 。

1.從計(jì)劃的角度來(lái)看：企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略，從戰(zhàn)略的高度來(lái)對(duì)待和管理信息安全，確保信息安全所引發(fā)的風(fēng)險(xiǎn)達(dá)到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略，確立信息安全的目標(biāo)，以及實(shí)現(xiàn)目標(biāo)需要的行動(dòng)方案。

2.從組織的角度來(lái)看：人力資源的管理的觀點(diǎn)認(rèn)為，企業(yè)的組織結(jié)構(gòu)，取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構(gòu)中，只有技術(shù)部門，沒(méi)有信息安全管理部門。S.H.(basie) von Solms 曾討論過(guò)，技術(shù)管理與安全管理兩個(gè)部門必須設(shè)置成為兩個(gè)獨(dú)立的部門，否則無(wú)法保證安全評(píng)估的客觀性。因此有必要設(shè)置一個(gè)專門負(fù)責(zé)信息安全管理的部門，這個(gè)部門并不負(fù)責(zé)具體的技術(shù)，但是要懂技術(shù)，主要是開(kāi)展企業(yè)的安全培訓(xùn)工作、日常的安全管理工作、對(duì)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，最大限度地降低安全風(fēng)險(xiǎn)。

3.從領(lǐng)導(dǎo)的角度來(lái)看：根據(jù)wilde的風(fēng)險(xiǎn)平衡理論，一個(gè)人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。 “風(fēng)險(xiǎn)平衡”觀念會(huì)讓整個(gè)機(jī)構(gòu)處于盲目樂(lè)觀的過(guò)度自信狀態(tài)，不管是企業(yè)的員工還是管理者都傾向于追求效率 ，從而忽視信息安全的投入。

在企業(yè)的管理過(guò)程中，應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險(xiǎn)意識(shí)方面的培訓(xùn)和教育，增進(jìn)員工與技術(shù)人員的面對(duì)面的溝通與交流，開(kāi)展有效的安全意識(shí)活動(dòng)。

4.從控制的角度來(lái)看：對(duì)風(fēng)險(xiǎn)的控制要求企業(yè)對(duì)自己的安全狀況不斷評(píng)估，時(shí)時(shí)防范。這就要求安全管理部門每隔一定時(shí)間向上匯報(bào)信息安全的進(jìn)展情況，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

文章從管理學(xué)的角度來(lái)分析信息安全風(fēng)險(xiǎn)管理，對(duì)信息安全問(wèn)題做了實(shí)地調(diào)查，分析了目前信息安全存在的一些問(wèn)題，并對(duì)存在的問(wèn)題的根源進(jìn)行了深入的分析，最后文章運(yùn)用管理學(xué)的理論，從計(jì)劃、組織、領(lǐng)導(dǎo)、控制四個(gè)角度出了相應(yīng)的建議和策略。

參考文獻(xiàn)：

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業(yè)管理[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2011,1.

[3]廖三余,曹會(huì)勇.人力資源管理[M].北京:清華大學(xué)出版社,2011,9.