信息安全培訓總結
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全培訓總結范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息安全培訓總結范文第1篇
“中國企業員工的信息安全意識可謂不容樂觀,提升員工信息安全意識刻不容緩。”谷安天下副總經理魏彩霞對當前企業員工的信息安全意識現狀表示擔憂,“不同行業的信息安全意識現狀不同,電信、金融等行業由于業務的特殊性,安全意識較高,而其他行業的信息安全意識整體狀況則依舊薄弱”。
調查顯示,接近50%的受訪者認為單位領導的信息安全意識一般、很差或者還不如自己。而據魏彩霞介紹,一些企業中即使領導非常重視信息安全,希望提升員工的保密意識,但“只是看到別人的明文密碼導致信息泄漏就更改自己的網頁設置等單個事件,并不能系統地提升企業員工整體的信息安全意識”。
由于員工信息安全意識薄弱而給企業帶來災難性損失的案例屢見不鮮。據統計,世界上每分鐘就有兩家企業因為信息安全的問題而倒閉。而在所有信息安全事件中,只有20%~30%是因為黑客入侵或其他外部原因造成,另外70%~80%是由于內部員工的疏忽或有意泄漏造成,而78%的企業數據泄漏是由于內部員工不規范的操作造成的。
信息安全培訓總結范文第2篇
關鍵詞:公鑰基礎設施(PKI);數字認證(CA);礦區管理;信息安全;密碼服務器
0引言
當前我國礦山企業安全生產形勢依然嚴峻,安全生產基礎相對薄弱,事故總量還是很大,煤礦、金礦等高危行業結構不合理,應急處置以及救援搶險能力相對不足,部分企業違規違章現象依然存在,給安全生產帶來一定的安全隱患[1]。隨著計算機通信和網絡技術的快速發展,礦山企業安全生產的信息化管理成為衡量企業現代化建設的重要指標,也是促進企業安全生產、提升效益的重要方式。礦區安全生產管理平臺在部署時,采用開放式架構,兼容主流信息技術,在.NET平臺的基礎上,為了滿足多種信息源服務終端的需求,平臺采用了多種基礎數據庫模型技術,保證安全管理平臺的系統整合能力。平臺采用面向服務的架構(SOA)設計,并基于分層和分類結合的混合模式,數據交換模式采用標準的XML等技術,應用統一規范的數據交換接口及應用程序接口,安全機制相對可靠[2]。平臺基于J2EE技術架構,支持HTML和DHTML等Web瀏覽器標準,設計原則遵循高內聚、低耦合的原則,降低系統各個功能模塊間的耦合度,降低操作難度,提高系統的通用性。根據礦山企業礦區分散、不聚集的特點,為保證礦山生產網和辦公信息網之間以及與外網之間的信息交換暢通,確保信息在產生、存儲、傳輸和處理過程中的安全性,需要建立全網統一的認證與授權機制、時間服務和密碼服務。目前,在各種技術,基于PKI/CA的信息安全技術能合理的作用于礦區安全生產信息化管理平臺,從而保證安全策略得以完整準確的實現,該技術是解決數據加密、保護信息安全最有效的方案[3]。
1基于PKI技術的安全生產管理平臺體系研究
1.1安全生產管理平臺的需求分析
礦區安全生產管理平臺為解決礦山企業安全統一管理應運而生,以安全生產風險管控為核心的風險管理平臺是目前各個礦山企業信息化建設的新趨勢。以安全生產管理為核心的平臺建設可以實現對危險隱患的合理分析,形成事前管理、事中風險預控、事后應急救援在內貫穿安全生產管理全過程的監督管理,從而達到提升安全管理水平的目的。
1.2安全生產管理平臺的系統功能設計
以礦區實際情況為前提,以信息資源規劃和開發利用為主線,以安全法律法規為支撐,根據功能需求,在成熟的軟件開發方法論的指導下,礦山企業安全生產信息化管理系統的主要功能框架如圖1所示,其子系統設計如下:包括風險管理子系統、事故管理子系統、安全隱患管理子系統、應急救援子系統、安全培訓子系統、監督檢查子系統、質量標準化子系統等7大部分。其中風險管理子系統主要負責礦區風險評估,衡量事故發生的可能性并對其可能造成的相關損失進行評估,根據風險評估結果,制定相應的管理標準及措施;事故管理子系統主要負責對已發生的事故進行統計,形成事故報告、事故月報、事故數據庫等,方便查詢,根據需求進行事故通報和責任追究;安全隱患管理子系統主要進行安全隱患追蹤、及時對隱患信息進行登記、上報、匯總等,形成隱患整改通知單,及時開展追蹤和銷號管理等;應急救援子系統主要針對突發緊急事件進行預防、救援、恢復等管理,以應急救援案例庫為依托,類比實際案例,推送相關匹配度最高的案例輔助應急救援決策,此外該模塊涵蓋救援隊伍、救援機構等詳細信息;安全培訓子系統主要負責相關人員安全的培訓信息統計,及時對持證人員進行過期預警提示,服務于公司的安全培訓管理等制度;監督檢查子系統主要進行安全活動制定、、總結等,下設安全檢查、整改落實、經驗總結等三個子模塊,為安全監督管理機構安全檢查發現的問題、形成原因、改進措施、整改建議等;質量標準化子系統主要為管理人員提供標準庫查詢、檢查數據匯總等服務,方便現場檢查及質量便準化考核等。
1.3安全生產管理平臺的PKI/CA技術分析
1.3.1PKI技術體系簡介
隨著當前信息系統建設的快速發展和數字網絡化的應用的普及,不同部門之間、跨部門的信息共享和綜合分析的需求也在日益增加,與此同時當前信息網絡應用中也面臨著信息量大、數據種類繁多,不同數據訪問要求不同等現狀,因此包括信息保密性、身份認證、訪問權限管理等在內的信息安全問題急需解決。公鑰基礎設施(publickeyinfrastructure)簡稱PKI,為解決大型信息網絡面臨的安全問題應運而生。PKI是當前信息化安全建設的基礎和重要保證。PKI是一種具有安全性和透明性的密鑰管理系統,通過為用戶提供密鑰和證書管理服務,提供安全策略,從而建立安全有效的網絡環境,保證數據信息在安全傳輸的過程中不被非法偷看以及非授權者篡改等,從而達到保護用戶信息機密、完整的目的[4-6]。通常來說,一個完整的PKI系統包含認證中心數CA(certificateauthority)、證書庫、密鑰備份及恢復系統,證書作廢處理系統,客戶端證書處理系統等五大部分,其中CA是PKI的核心執行機構,證書庫是存放公鑰和用戶證書的信息庫[5-7]。
1.3.2基于PKI體系的礦山安全生產信息化管理體系結構
PKI作為一種安全技術,已經深入到常規網絡的各個層面,使用戶可以在多種應用環境中使用加密及數據簽名技術,是當前網絡信息安全問題的綜合解決方案,為企業的信息安全保駕護航。對于本文分析的礦山企業安全生產管理平臺,PKI技術將重點解決用戶訪問權限、信息傳輸、數據共享等問題,如準確驗證登錄用戶身份、保證跨部門之間的信息保密與共享、防止信息竊取保證信息安全傳輸等等。礦山安全生產信息化管理平臺的PKI安全服務體系主要包括證書簽發管理和PKI安全服務兩部分,如圖2的方框所示。其中PKI的主體是證書機構CA、注冊機構RA(registrationauthority)、密鑰管理KM(keymanagement),其中核心組成CA是數字證書的頒發機構,數字證書就是網絡用戶的身份證,CA審核用戶身份等信息并與公鑰結合形成數字證書,從而確保其真實有效性,使得PKI能夠為網絡用戶提供較好的安全服務[7]。RA在整個體系中起承上啟下的銜接作用,是連接用戶和CA之間的橋梁,既向CA轉發證書請求,也向安全服務器轉發CA簽發的證書等。KM主要負責密鑰的備份、恢復、保存等管理服務,三個系統完成了證書簽發、管理等功能。公共安全接口具有一套通用、抽象的系統函數,實現語言較多,具體的密碼算法不會影響到該接口,設計者可以根據自己對于系統的需求對安全接口進行開發,該接口根據工作環節及性能分為初始化部分、安全操作部分、解編部分、通信部分等。
管理調度單元銜接公共安全接口與密碼服務單元,公共安全初始化部分通過管理調度單元選擇密碼服務單元,而管理調度單元向負載最小的密碼服務單元進行申請密碼服務,從而使得服務器負載均衡。當系統調度單元出現故障時,系統會隨機分配一個密碼服務單元,保證應用系統的正常運行,在保證系統負載均衡的同時,也保證數據的冗余備份,從而為應用系統提供及時安全的密碼服務。密碼服務單元是PKI密碼服務的核心部分,負責提供相關密碼算法及密鑰管理功能。密碼服務器根據配置需求及應用情況包含多個密碼服務單元,當一個單元出現故障時,可以通過管理調度單元進行分配,從而保證應用系統的正常運行。密碼算法根據功能特性主要分為三類:非對稱密碼算法(公鑰密碼)、對稱密碼算法(傳統密碼)和安全Hash算法[9-10]。非對稱密碼算法計算速度相對較慢,但其電子簽名和密鑰交換功能有更廣闊的應用范圍;對稱密碼算法運算速度較快,適用于大數據高流速的數據加密/解密功能,但是難以實現用戶身份識別等功能;安全Hash算法可以用來實現數據完整性驗證和輔助電子簽名等功能。密鑰管理主要包括密鑰的產生、更新、泄露處理、有效期管理、存儲、銷毀等功能,從而保證密鑰的安全有效運行。實時監控單元對密碼服務器中的單元狀態進行實時監控,及時找到密碼服務的相關故障,此外實時監控單元的日志功能可以記載密碼服務器出現問題的詳細信息。以PKI技術為核心的信息安全架構體系可以有效的作用于礦山安全生產信息化管理平臺的正常設計和應用中,尤其是多層次的網絡系統中,從而保證安全策略順利實施,從而保證整個平臺系統的信息安全和應用安全。
2PKI/CA相關技術在礦山企業安全生產管理建設中的應用效果
以密碼技術為核心的PKI/CA技術,提高了網絡的安全性與可靠性,較好地解決了信息共享開放與信息保密隱私的關系、網絡互聯性與局部網絡隔離的關系,保證礦山企業安全生產管理建設的信息安全性,為企業內部用戶提供了安全信賴的網絡環境,保證了企業不受信息安全威脅,為礦山的安全生產、信息管理提供了技術保障,在數據安全管理、業務協調以及實時智能指揮等領域取得了一定的應用效果。
2.1在數據安全管理領域的應用效果
2.1.1身份認證和訪問控制方面
安全生產管理平臺用戶角色眾多,有企業監管人員,公眾訪問人員,平臺內部測試管理人員等,一人多賬戶多角色多權限,容易帶來極大的安全隱患問題,因此具有支持多種認證方式同時具有統一認證訪問控制的安全機制及用戶權限管理方案變的非常重要。安全生產管理平臺基于PKI技術將證書策略應用于用戶的訪問控制中,不同級別的登錄人員可以設置不同的訪問權限,通過網上進行信息傳遞的身份證明,為用戶和數據之間建立起可信任的橋梁,有效的保證了平臺信息的安全服務。
2.1.2安全傳輸方面
礦山安全生產信息化管理會產生大量的數據,數據規模大、種類繁多,隨之而來的是數據安全管理和通訊安全的問題,安全的信息通訊是解決信息安全威脅的重要手段之一。安全生產管理平臺采用的PKI相關技術,可以使用不同系統間的跨域共享和靈活授權,可以提供不同系統訪問的授權管理、密鑰管理、身份認證、責任認定,使得系統傳輸的數據信息具有較高的安全性、完整性、并在消息傳遞過程中完成信息的加密和數字簽名,大大提高了平臺通訊的安全性。
2.2在業務協調、實時智能指揮領域的應用效果
安全生產管理平臺以安全生產風險管控為核心,在成熟的軟件開發方法論的指導下,將風險管理、事故管理、安全隱患排查、應急救援、安全培訓、監督檢查等內容整合到統一平臺。PKI相關技術保證了各個系統之間的數據共享和安全通信,通過登陸人員訪問權限和各模塊之間協調管理,為公司的安全生產提供了技術保證,從而對生產過程中的風險進行有效管理,提升安全管理效率,降低安全生產事故。PKI技術保證了系統通訊的正常安全運轉,實現各個系統之間的資源共享,消除各個系統之間的信息孤島,實現各個子系統的協調調度,使得各類用戶可以方便快捷的訪問、管理平臺,將各類信息安全的聯系起來,同時借助系統對監控數據進行智能分析和決策支持,使得事故實時智能指揮成為可能,并逐步實現了事故管理由事后應急響應到事前預警提示,對于提高礦區防災能力,實現礦區安全高效生產、提高安全管理水平具有重要的引領作用。
3結語
PKI技術體系通過管理數字證書和密鑰的方式,為用戶搭建安全可靠的網絡平臺,使得用戶可以在多種用戶環境中方便的進行加密和數字簽名,保證了礦區安全生產管理平臺身份識別、信息傳遞、訪問權限等的安全實施,依托數字證書、密鑰管理等技術,可以有效的生成、保存、更新管理密鑰,解決了網絡身份認證、信息完整性和抗依賴性等安全難題,為解決礦山安全生產信息化管理中存在的信息安全等因素提供了強大的技術支撐。考慮到PKI技術本身缺點以及礦山企業的行業特性,該技術仍有一定的缺陷。在實際中,PKI技術構建和運行成本高昂,此外用戶認識水平、相關法律政策等因素的制約,都不利于PKI技術應用發展。因此,需要解決多個獨立PKI系統之間的交叉認證與互操作性等,以及證書過期、撤銷、丟失帶來的密鑰托管和證書安全等問題[11]。盡管如此,PKI技術的前景仍然是廣闊的,隨著相關技術的快速發展,PKI相關技術仍然是礦山安全管理信息化建設中解決通訊安全問題的必然選擇。
參考文獻
[1]劉星魁,謝金亮,LIUXing-kui,等.煤礦安全生產現狀及對策探討[J].煤炭技術,2008,27(1):139-141.
[2]史科蕾,石秋發.基于PKI/CA技術在礦區服務平臺中安全管理的設計與實現[J].煤炭技術,2013(6):280-281.
[3]熊萬安,龔耀寰.基于公開密鑰基礎結構(PKI)的信息安全技術[J].電子科技大學學報:社會科學版,2001,3(1):4-6.
[4]張慧.PKI技術研究[J].湖北第二師范學院學報,2007,24(8):42-44.
[5]李彥,王柯柯.基于PKI技術的認證中心研究[J].計算機科學,2006,33(2):110-112.
[6]謝冬青,冷健.PKI原理與技術[M].北京:清華大學出版社,2004.
[7]黃蘭英.PKI技術和網絡安全模型研究[J].孝感學院學報,2007,27(6):62-64.
[8]陳雨婕.基于PKI的礦山企業網絡信息安全研究[J].礦山測量,2011(3):46-47.
[9]秦志光.密碼算法的現狀和發展研究[J].計算機應用,2004,24(2):1-4.
[10]張曉豐,樊啟華,程紅斌.密碼算法研究[J].計算機技術與發展,2006,16(2):179-180.
信息安全培訓總結范文第3篇
【關鍵詞】企業信息 信息資產
一、專業管理的目標描述
(1)專業管理的理念或策略。如果在工作中能做到卡帳物一一對應將大大降低資產的日常維護的難度,當用戶反應設備出問題時候,可以第一時間的到達現場去維護。做好資產維護工作,更加有利于對資產的統計和審計工作,能更好地對資產全周期的管理。
(2)專業管理的目標和范圍。在公司日常的信息通信資產維護工作中,做到資產正確率百分之百成了運維工作中一個最主要的目標。信息資產管理的主要范圍為公司所述的全部信息設備,包括個人辦公電腦、打印機、掃描儀、網絡交換機和服務器等等。
二、專業管理的主要做法
(一)專業管理工作的流程圖
目前國網浙江浦江縣供電公司擁有個人辦公電腦753臺,打印機和掃描儀等附屬設備共計515臺。公司信息設備數量龐大,不僅如此,各類信息設備種類繁多,就以PC機為例,目前公司正在使用的有DELL740系列、DELL760系列、DELL780系列、聯想6100T系列和聯想8300T 系列等10余種型號,每種型號的配置也完全不同,而且辦公計算機所用的操作系統也完全不同,有WIN XP、WIN2003、WIN2008和WIN7等等,在對計算機的硬件和軟件采集工作也有較大的困難。所以如何做到設備的帳卡物對應是一個難點工程。
目前國網浦江縣供電公司信息化管理部門共有成員3人,需要擔負著公司全承擔信息通信管理、建設、運維、服務的全部職能。與公司數量日益繁多的信息通信設備和維護工作相比,現在的人員配置簡直就是杯水車薪,好做好信息資產維護和管理工作是一個比較大的困難。所以,選擇一種合適本公司實情的信息資產管理辦法也就顯得尤為重要。經過國網浙江浦江縣供電公司信息化管理部門經過近兩年資產工作的總結,制定了“四有”標準:即管理有制度、記錄有臺帳、體系有支撐、人員有培訓,規范推進信息資產管理,以相對完善的管理辦法、規范而又簡潔的工作流程,保證了資產管理的規范有序,提升了資產管理水平。
(二)主要流程說明
公司信息化管理部門在日常工作中,嚴格執行圖一的工作流程。下面對照流程圖對公司信息資產維護的幾個步驟進行說明和解釋。
(1)管理有制度,以制度規范信息資產領用各環節。2013年年初的時候,通過借鑒相關經驗和班組日常工作的總結和分析,研究出了一套相對于比較規范的信息資產管理的管理辦法,在征得公司領導同意的后以公司下文的形式下發《國網浙江浦江縣供電公司信息設備管理辦法》(如圖二所示),在管理辦法中明確對公司信息設備從申請、遷移、更換到報廢的全生命周期管理。
例如,以前公司某員工申請更換電腦一臺,往往申請的新電腦并未安裝給申請人或把更換下來的電腦又安裝給他人,在維護過程中,造成多臺信息設備資產的變更,稍不留神就會造成信息資產混亂。長此以往,信息資產將會產生一定的混亂和差錯,不利于信息運維。目前,針對此類情況嚴格按照這個管理辦法的規定,填寫相應的申請單,在申請單中明確新裝還是更換,對于新裝一律執行誰申請,誰使用,誰保管的原則,對于更換一律將新電腦裝給申請人,并把更換下來的電腦進行收回。有了這個管理流程之后,對于每臺信息設備從安裝源頭上進行規范,在電腦送到員工安裝前完成IMS系統上信息的變更以及完成資產二維碼的打印和粘貼,通過以上措施和辦法,在源頭上做到實物與IMS系統的一一對應。
(2)記錄有臺賬,以痕跡化管理確保信息設備賬實相符。公司在每個部門設置一名兼職管理員,作為公司信息化管理隊伍的補充。通過下發《關于成立國網浙江浦江縣供電公司信息系統管理網絡的通知》(如圖三所示),以文件的形式任命了各部門的兼職管理員的職務。對于這支隊伍,公司每年開展兩次信息安全培訓使其掌握最基礎的信息運維技能。每個季度的第一個月初,公司信息資產運維人員從IMS系統中導出各部門的信息設備資產清單以OA的形式發送給各部門的兼職管理員,兼職管理員通過對照清單現場核實所在部門的信息設備資產,并將變動過的信息設備及時反饋給公司信息運維人員。對于信息兼職管理提出有問題和疑義的資產,由信息資產運維人員在現場再次核實,對錯誤的資產在IMS系統上做相應的更改。
與此同時,由于兼職管理員在無法實時對IMS系統的查看以及各部門存在信息設備使用人員更換情況,若各部門沒有一份自身的信息設備臺賬也會造成資產的管理混亂。班組通過制作了《信息設備臺賬》,要求各部門兼職管理員將部門內的信息設備填寫在《信息設備臺賬》上,從而在日常使用上杜絕了因為部門內部信息設備調整而引起的資產混亂的情況,實現信息設備的無死角管理。
(3)體系有支撐,以省公司IMS和ERP系統提升資產管理信息化水平。公司通過使用省公司的IMS和ERP系統,把相應的信息設備全部錄入系統,實現實時全方面的對設備的管理。經過公司近2個月的信息設備資產的普查并將相關資產信息錄入IMS系統。在日常工作中,對信息設備資產的變更及時在系統上更改,實現系統與實物相對應。同時,IMS系統與ERP系統聯動保證資產的正確性。當公司采購一批信息設備,公司將資產信息及時錄入IMS系統,IMS系統自動同步到ERP系統中,將生成的資產號、設備號填回IMS系統,實現新設備的賬卡物一一對應。當有資產因為使用年限過長等原因需要報廢的時候,及時在IMS系統中更改設備為退役,并聯系省信通公司財務部資產管理專職參與信息設備報廢,在將報廢的信息設備統一保管由省信通公司安排人員進行報廢,讓財務進行簽字確認,財務人員通過確認單及時在ERP系統上報廢相對應的資產數據,實現資產下線帳卡物統一。
(4)人員有培訓,以定期培訓提升信息資產管理人員專業性。從2013年至今,公司信息化管理部門每年組織兩次針對全公司信息安全骨干的信息安全培訓(如圖4所示)。培訓的內容包括如何采集計算機的硬件信息(包括電腦品牌型號、出廠編號、出廠日期、CPU類型、內存大小和顯卡型號等等)和軟件信息(包括操作系統、IP地址和各硬盤容量等等),當前信息安形勢,信息安全操作技能、違規外聯防范措施及案例以及有關桌面設備資產的兩個管理方法。在技術上給與了桌面設備管理里的支持。在每次信息安全培訓的過程中,各部門兼職管理員對近半年以來的資產管理工作進行總結,并提出有疑問的資產信息。信息化管理部門運維人員進行一一記錄后,進行逐一核實,保證信息資產的正確率達到百分之百。
(三)確保流程正常運行的人力資源保證
國網浦江縣供電公司在公司層面成立了國網浦江縣供電公司信息化管理領導小組,全面負責領導公司的信息化管理、日常運行維護和信息化設備建設工作。與此同時,成了公司信息化管理網絡團隊,在每個部門設置一名兼職管理員,在公司信息化管理小組的領導下,作為公司信息化管理隊伍的補充。
目前,公司信息資產維護工作處于“1+2+N”模式,“1”指的是公司信息化領導小組全面負責領導,“2”指的是由信息化管理部門在信息資產管理中制定相應的運維管理辦法和提供技術支持,“N”指的是由N名兼職管理員負責各部門信息資產的運行維護工作。在此工作模式下,上一級負責下一級的管理、指導、監督和考核工作,責任落實到每個人員,保障資產維護工作的順利開展。
(四)保證流程正常運行的專業管理的績效考核與控制
在經過公司主要領導同意以后,信息化管理部門聯合人力資源部制定了相應的信息資產管理的考核標準,考核標準的主要指標是各部門信息資產的正確率,并以公司的名義進行了發文。在日常的信息資產運行維護過程中,嚴格管理信息資產的調整的每個環節,并列入了班組的績效考核。
信息化管理部門將公司的信息資產信息按部門分配到部門管理人員中,部門各管理人員負責自己責任區內的信息資產的管理和維護工作。每個季度的第一個月,班組對部門管理人員在自身責任區資產情況進行抽查,隨機抽取幾臺資產判斷其數據的正確性。若有發生錯誤時,對其個人及部門嚴格考核,列入個人或部門的月度、季度和年度的績效考核中。通過此項措施,可以把信息資產管理責任到部門管理人員,讓每名管理員都有責任心負責好自己責任區中的資產。
三、評估與改進
(一)專業管理的評估方法
判斷此項管理辦法是否有效最簡單的方法便是檢驗實施管理辦法前后信息資產正確率的變化。
通過公司信息化管理部門對兩年資產的維護工作總結,公司信息資產正確率有了非常明顯的提高。2013年初的時候,公司信息資產管理較為混亂,IMS系統內的信息資產數據半年都得不到更新一次,連資產設備總數與實際情況有較大的差距,系統的信息資產數據根本無法與實際相對應,更無法和財務的ERP系統的數據同步。在報廢工作中,舊倉庫的待報廢設備堆積如山,而且無法確定待報廢設備的種類和數量。所以,2013年之前公司信息資產管理工作是沒有任何頭緒的。經過兩年多以來信息資產的規范化管理,資產的維護得到了明顯的改善。
目前,經過班組自行的抽查,信息資產正確率達到了百分之百。在班組對公司信息資產的日常運行維護工作中,正確的資產信息帶來了極大的方便,一旦有員工反映所使用的設備有問題的時候,運維人員就能及時的查到該設備的任何硬件和軟件信息,提高了運維的效率。與此同時,報廢工作也有了流程化管理,對于每一臺報廢的信息設備做到了有章可循。
(二)專業管理存在的問題
雖然,公司在信息資產運行維護的工作上有了比較的進展,但是在目前信息資產運維的工作流程較為復雜,例如一名員工申請了一臺新的辦公計算機,需要將舊的計算機給另一名員工使用,現在的流程處理起來較為復雜,流程上需要運轉較長的時間。綜上所述,運維人員在處理信息資產管理流程的時間上過長。
信息安全培訓總結范文第4篇
一、工作開展檢查情況;
信息科積極落實市文件精神對網絡安全開展自查梳理。目前本院內外網屬于物理隔離,二個網段之間不能相互訪問,電腦USB端口設置禁用,較大避免因外部介質感染和內外互連互通導致可能出現病毒攻擊事件的發生。
1、檢查信息中心機房服務器端;
每周定期更新殺毒軟件病毒庫,服務器屏蔽高危端口和修改遠程訪問端,屏蔽全部不在用的端口、修改用戶訪問內網服務器組策略、設置90天必須更換系統登錄密碼、密碼規則按照英文、數字、字符、大小寫等復雜程度設置、定期更換數據庫系統登錄密碼、修改內網出口防火墻組策略和訪問進出入規則、更新服務器高危補丁漏洞,對服務器系統做全盤備份。專用殺毒軟件服務器每周定期下載更新最新版病毒庫更新,并對系統設置空閑時間自動查殺病毒和漏洞掃描。
2、檢查網絡設備和安全設備端;
從機房端排查到各個樓層交換機等網絡設備均一切正常,未發現人為的篡改和插拔網絡,查詢日志未發現可疑設備和網絡地址攻擊,硬件防火墻工作一切正常。機房內外網端口排查未發現內外相互混插跳線,在內網機器無法PING通外網電腦和網絡設備,機房網絡設備均有UPS電源輸出,保證在瞬間斷電,造成信息數據丟失和安全事件發生。從信息中心機房網絡設備端到內網臨床科室工作站和樓層網絡安全設備上,內網并未發現有網絡熱點設備私自違規接入使用。
3、檢查臨床科室醫護工作站內網端;
本次檢查排摸醫院內網電腦操作系統為WIN7和WIN10,WIN7微軟不再更新補丁,后期逐步替換更新成新的操作系統,避免出現安全隱患。
按照區信息中心對工作站的管理要求,信息管理員落實封閉高危端口3389、445和屏蔽USB等移動設備外部接入,補打勒索病毒免疫補丁,升級殺毒軟件,設置醫生工作電腦開機登錄密碼,在醫護人員信息業務系統內設置操作密碼登入,并且告知業務人員不得冒名頂替,必須專人專用,人機分離必須關閉個人在用操作的業務系統,否則容易造成信息數據保密性和安全性得不到保護。容易他人直接查詢使用及不法分子進入蓄意破壞信息數據。
為了保護信息中心服務器和數據庫系統,避免臨床工作站軟件需要直接訪問服務器端,信息科按照信息安全管理要求,將所有在用HIS業務系統全部拷貝到醫護工作站本地電腦上運行,不在實時調閱訪問服務器,盡量避免臨床工作站中毒導致機房服務器被攻擊或被篡改系統和數據庫密碼。
4、檢查醫院外網網絡及終端;
檢查醫院外網終端均可以使用USB接口,防病毒軟件為免費版360殺毒,內部病毒庫和版本系統自動升級,無需人工手動下載干預,外網端口未封閉,考慮外網為日常辦公需要,并未屏蔽端口和USB接口。外網終端操作系統設置登錄密碼。
二、 網絡信息安全自查存在的風險;
1. 外網路由器端接入口未安裝硬件防火墻(已安裝的為軟路由帶防火墻功能),容易遭受外部網絡攻擊。醫院信息科已落實整改,將網絡安全申報在2021年的機房等保三級項目內解決。
2. 按照區衛計委信息中心檢查規范要求,需要網絡交換機設備上的運行日志保存6個月以上,目前醫院未安裝存儲設備,網絡交換機在斷電恢復后日志自動全部清零,在出現網絡攻擊和病毒感染時,無法追溯跟蹤分析來源,需要采購安裝網絡日志服務器,才能滿足網絡設備數據個性化存儲。醫院信息科已落實整改,將網絡安全申報在2021年的機房等保三級項目內解決。
3. 臨床科室醫護人員普片對電腦系統加密和業務系統加密等網絡安全意識上比較模糊和意識不強,缺少風險防范意識。后續需加強培訓指導。目前已經全部對在用電腦系統加密處理。
4. 檢查發現軟件公司部分業務應用系統還是過度依賴高危端口,一旦高危端口屏蔽后,軟件業務出現各種報錯信息,影響客戶使用。目前醫院在用系統為C/S架構需要把系統部署到到本地電腦上存儲運行數據。已經聯系軟件公司,回復會新開發最新部署軟件,解決高危共享端口封閉后造成軟件不能使用的情況發生。
5. 信息安全管理人員較少,需要增加信息安全專業人員技術支持。
三、網絡信息安全自查工作建議
總體來說,我院領導對網絡與信息安全工作非常重視,從未發生過重大的安全事故,各系統運轉穩定,各項業務能夠正常運行。但自查中也發現了不足之處,如目前醫院信息技術人員力量有限;全院醫護人員對信息安全意識還夠,個別科室缺乏維護信息安全的主動性防范和自覺性保護。
醫院將今后加強信息技術人員的網絡安全培訓和外出學習,更進一步提高信息安全技術管理水平;加強全院職工信息安全教育培訓,提高維護信息安全的主動性和自覺性;加大對醫院信息安全設備建設的投入,提升網絡安全設備的基礎配置和淘汰舊損工作站,引進主流配置計算機,解決醫護人員因電腦速度慢而影響工作效率,進一步提高醫療診療工作效率和網絡信息系統運行的安全性運行。
經過近期自查工作,信息科充分意識到網絡信息安全工作是一個需要常抓不懈的工程,網絡信息安全需要人力物力的大力支持,要不斷的學習新出來的網絡安全知識,在改變舊有的管理方法和理念,同時要不斷創新,以適應新形勢下的安全管理需要。為醫院帶來新的管理方法,保障醫院信息化健康持續發展。
信息安全培訓總結范文第5篇
【關鍵詞】國有大型企業 信息安全管理 模糊綜合評價
隨著我國計算機技術和網絡技術的迅速發展,很多國有大型企業對信息和信息技術的依賴程度越來越高,信息已經成為企業一種嶄新的資產,對企業的發展起到了至關重要的作用[1]。研究發現,對于企業信息安全管理的評價多數側重于信息安全系統技術層面的評價 [2],或對信息安全等級評估和風險的評估[3] [4]。但國有大型企業的信息安全管理是一個概念非常復雜的管理事務,不能單純依賴技術及防護設備,還將涉及安全、風險、人員、規章制度等管理因素,對其評價是一個定性與定量指標共存的綜合的評價,要運用綜合評價的思想和方法,才能夠使評價結果更嚴謹。
本文著重從管理的角度出發,構建了國有大型企業信息安全管理評價指標體系,應用模糊綜合評價的方法建立評價模型,并結合實證研究,得出客觀、科學的評價結果。
1.評價指標體系構建
1.1 指標體系的構建
本文在研究了國外信息安全管理的評價標準[5] [6],以及國內信息安全管理體系的發展狀況基礎上[7] [8],結合國家對國有大型企業信息系統安全性的基本要求[9],綜合考慮信息安全的技術屬性和管理要素,通過德爾菲法反復征詢5位專家的意見,構建了國有大型企業信息安全管理評價指標體系。
該指標體系共分為5項一級指標和16項二級指標,其中一級指標包括安全管理、技術管理、風險管理、人員管理和制度管理。各二級指標分別為物理安全、軟件安全、網絡安全;防御攻擊能力、預警能力、系統應急反應能力、技術創新能力;風險識別、風險評估、風險控制;專業人員比例、考評上崗合格率、對員工的培訓率;企業保密機制、安全規章制度、應急處理預案。
1.2 指標權重的確定
選用層次分析法作為指標體系中確定權重的方法,具體步驟如下:
(1)建立遞階層次結構模型,將決策問題的因素自上而下劃分為不同的層次,包括目標層、準則層、指標層等。
(2)構造判別矩陣。一般用1―9標度的表示方法,把處于同一子集上的指標相對重要性進行專家評分,構造一個以重要性標度Aij為元素的兩兩比較判別矩陣A=(Aij)m*n。
(3)層次單排序。根據判別矩陣,求解矩陣A的最大特征根?姿m?琢x=?蒡■■■所對應的特征向量,并且做歸一化處理。
(4)一致性檢驗。判斷所得到的特征向量是否是權向量。
(5)層次總排序。層次總排序所得到的二級指標權重值等于層次單排序中每個二級指標的權值乘以其對應的一級指標的權值。
應用該方法,選取5位專家,結合已構建的評價指標體系,分別對一級指標、二級指標進行1―9標度判別矩陣的排序,應用層次分析法軟件得出各個指標的權重值,此數據將作為后續評價的主要依據。
2.案例研究
模糊綜合評價(Fuzzy Comprehensive Evaluation, FCE)是一種非常有效的多因素決策方法,主要運用模糊變換原理和最大隸屬度原則,綜合考慮與被評價事物相關的各個因素,對評估對象作綜合評價。一般分為確定評價因素集、評語集、權重集,進行單因素模糊綜合評價、多因素模糊綜合評價及對評價向量分析6個步驟[10]。
本文的評語集為{優秀、良好、中等、一般、差} 5個等級,建立隸屬函數,根據5位專家對指標的評分數據,計算出各二級指標的隸屬度,最后分別得到安全管理、技術管理、風險管理、人員管理和制度管理的綜合評價關系矩陣R1、 R2、 R3、 R4、 R5。
根據模型的計算公式,多因素模糊綜合評價矩陣Bn為權重向量Wn與單因素評價關系矩陣Rn相乘所得到的行向量,本指標體系的多因素模糊綜合評價矩陣分別為:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0),B3=(0.14,0.51,0.35,0,0),B4=(0.39,0.27,0.34,
0,0),B5=(0.25,0.57,0.18,0,0)。
由B1、B2、B3、B4和B5構成了該國有大型企業信息安全管理的單因素評價關系矩陣R,最終得到企業信息安全管理評價指標體系的總體評價結果如表1所示。
3.結論
根據表1,進一步對評價結果進行分析,該國有大型企業信息安全管理總體評價屬于“優秀”、“良好”、“中等”的程度分別為24%、 57%、19%,按照隸屬度最大原則,企業信息安全管理總體評價結果為“良好”偏上,總體可以評定為“優秀”。結合上述評價結果和企業自身的特點,給出以下幾點對策建議。
(1)加強國有大型企業信息安全的技術管理,注重技術創新。提高技術的全面性,以及企業信息安全技術的創新能力,將信息安全列入企業戰略規劃之中,用先進的技術手段保證企業的信息安全、完整。
(2)進一步提高國有大型企業的風險管理,重視風險評估。企業要組建專業的評估管理與實施團隊,進行系統、全面的調研工作,以確定信息安全風險評估的目標和范圍。同時,及時進行風險評估的總結,將企業信息安全存在的風險問題控制在一定范圍內,防止不必要的錯誤再次發生。
(3)加強企業對員工有關信息安全保密意識的培訓力度。制定安全保密培訓制度,增加對員工信息安全培訓的次數,明確崗位職責,提高員工保密意識。
(4)重視企業信息安全的規章制度建設,提高執行能力。加強企業領導的重視,在信息安全管理的各個方面,成立安全監管小組。在企業涉及信息安全的部門,制定相應的規章制度,如機房管理制度、人員管理制度等,使企業高效率運行;設立績效獎懲制度,提高員工保護企業信息的積極性。
國有大型企業信息安全管理是一個復雜的、動態的過程,涉及到很多的因素,且因素間相互影響,目前現有的研究并不多。本文從管理的角度出發,綜合考慮了國有大型企業信息安全管理的特點,構建的評價指標體系具有科學、客觀性。同時,采用模糊綜合評價的方法將國有大型企業信息安全管理中的技術、安全、風險、人員和制度等因素納入層次結構模型中,對難以評價、模糊的指標信息予以處理,評價方法容易實現。本文的研究為評價國有大型企業信息安全管理工作提供了方法,具有一定的實際應用價值。
*基金項目:國家自然科學基金項目“開放式服務交付平臺(OSDP)的運營模式分析與研究”(71172135)。
參考文獻:
[1]孟潔.國有企業中的信息安全管理和應用[J].科技信息,2012,(2):252
[2]孫博.企業信息安全及相關技術概述[J].科技創新導報,2009,(4):211
[3]傅璧,丁爽,張愷.信息系統的安全風險評估及風險管理[J].企業導報,2011,(13):89―90
[4]吉增瑞.信息安全等級保護淺析[J].網絡安全技術與應用,2005,(1):55―57
[5]Mikko Siponen,Robert Willison. Information security management standards: Problems and solutions[J]. Information & Management, 2009,46(5):267-270
[6]Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security management[J].Computers & Security,2012,31(2):221-232
[7]高文濤.國內外信息安全管理體系研究[J].計算機安全,2008,(12):95―97
[8]李曉玉.國內外信息安全標準研究現狀綜述[J].信息安全與通信保密,2009,(8):167―171
[9]徐毅.信息安全管理標準及其應用探討[J].科技信息,2008,(36):65―66
[10]黃芳芳,劉橋.基于模糊綜合評判的信息安全風險量化分析[J].網絡安全技術與應用,2009,(12):22―24
作者簡介:
王寧(1984-),女,遼寧錦州。北京郵電大學經濟與管理學院研究生,研究方向是消費者決策分析。
王寧(1958-),男,遼寧撫順。北京郵電大學經濟與管理學院教授,工學博士,研究方向是消費者行為與決策分析。
