云計算網(wǎng)絡(luò)安全培訓(xùn)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的云計算網(wǎng)絡(luò)安全培訓(xùn)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

如果說2013年熱炒的大數(shù)據(jù)概念熱讓苦悶沉寂多年的數(shù)據(jù)庫管理員和數(shù)據(jù)分析師們一夜之間成了香餑餑，成了《財富》雜志眼中“二十一世紀(jì)最性感的職業(yè)人士”。那么，后“棱鏡門”時代，信息安全專家將成為下一個明星職業(yè)。

近兩年來，有超過20億美元的風(fēng)險投資涌入硅谷的信息安全企業(yè)，信息安全創(chuàng)業(yè)投資迎來了久違的；近大半年來，與網(wǎng)絡(luò)安全行業(yè)有著千絲萬縷聯(lián)系的比特幣從不足50美元飆升至700美元；最近三個月，在中國市場，低位徘徊多年的信息安全行業(yè)也迎來了久違的甘露，有關(guān)信息安全概念的股票一路上揚。中國要成立國家安全委員會的戰(zhàn)略則確立了網(wǎng)絡(luò)安全的戰(zhàn)略地位，同時也意味著未來幾年中國政府和企業(yè)在信息安全保護方面的IT支出將進入一個快速持續(xù)增長的階段。

不得不說，去年爆發(fā)的“棱鏡門”事件，成為全球信息安全市場裂變爆發(fā)的催化劑和導(dǎo)火索。其沖擊力已超出信息安全范疇，波及IT行業(yè)的每個角落，上至國家、行業(yè)，下至企業(yè)和個人都必須重新審視并調(diào)整其信息安全策略。從國家關(guān)鍵信息基礎(chǔ)設(shè)施到個人數(shù)據(jù)隱私保護，由于相關(guān)監(jiān)管政策和防護技術(shù)的滯后，可以判斷2014年將成為信息安全的“亂世之年”，同時也將誕生大量安全技術(shù)領(lǐng)域的“梟雄”。

讓我們來預(yù)測一下2014年信息安全市場的五大趨勢和機遇：

移動安全成為熱點

隨著BYOD（企業(yè)員工使用個人設(shè)備移動辦公）的流行，移動設(shè)備的安全問題一直是令企業(yè)CIO頭疼的問題。與PC端與網(wǎng)絡(luò)方面的安全的相對成熟相比，移動安全還處于拓荒階段，與市場需求形成巨大反差的是，安全產(chǎn)品和服務(wù)水平還遠(yuǎn)遠(yuǎn)達不到要求。而隨著企業(yè)和用戶對于隱私數(shù)據(jù)的日益重視，BYOD領(lǐng)域的安全管理產(chǎn)品正在成為資本關(guān)注的熱點，從2013年11月IBM和Oracle兩大企業(yè)IT巨頭爭相搶購移動安全管理產(chǎn)品公司可以看出，這一塊市場在2014年會有大的發(fā)展。

私有云和云安全興起

“公有云”其實從一開始推概念的時候， 其安全性就飽受質(zhì)疑。 但是在巨大的利益驅(qū)動下， 不少企業(yè)和地方政府還是在不遺余力的推動。 而“棱鏡門”事件的爆發(fā)，使得企業(yè)和政府意識到在“公有云”上的數(shù)據(jù)竟然可以如此不安全。

從IT行業(yè)的發(fā)展來看， 在并行計算技術(shù)的日益成熟和硬件性能瓶頸問題日益突出的趨勢下， 云計算的存在和發(fā)展有其必然性。這樣將會促進“私有云”的大力發(fā)展， 同時也會促進基于“私有云”的安全技術(shù)的發(fā)展，例如德國一家創(chuàng)業(yè)公司就推出了基于“私有云”的一體機。 預(yù)計在中國市場， 出于安全的考慮， 不少公司和政府也會把云計算計劃從“公有云”轉(zhuǎn)向“私有云”平臺的搭建，但首先需要解決“私有云”的安全問題。 這種大環(huán)境下， 國內(nèi)的IT安全廠商、云計算基礎(chǔ)設(shè)施提供商、云計算應(yīng)用開發(fā)商和云應(yīng)用服務(wù)商、電信服務(wù)商都面臨新的市場機遇。

工控網(wǎng)、物聯(lián)網(wǎng)安全受重視

其實，早在2010年出現(xiàn)的“震網(wǎng)”病毒以及其后的“火焰”病毒，就已經(jīng)使得人們意識到工控網(wǎng)和物聯(lián)網(wǎng)的安全問題。而“棱鏡門”則使得隨之相關(guān)的工控網(wǎng)和物聯(lián)網(wǎng)的安全也提高到國家政策層面。 隨著中美就網(wǎng)絡(luò)安全對話機制的逐步形成， 特別是中國將成立國家安全委員會的戰(zhàn)略，將使得工控網(wǎng)、物聯(lián)網(wǎng)安全，特別是重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全開始被最高層關(guān)注。

預(yù)計2014年中國政府會推動重要關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的建設(shè)，一些重點企業(yè)也將開始對工控網(wǎng)的安全進行投入。而在中小型工控網(wǎng)和物聯(lián)網(wǎng)領(lǐng)域，比如智能樓宇、智能數(shù)據(jù)采集系統(tǒng)等的安全，也會成為企業(yè)IT安全的一個考慮因素。

安全培訓(xùn)市場大幅增長

“棱鏡門”事件折射出來的另一個問題是，人們對隱私數(shù)據(jù)保護意識的薄弱。近年來網(wǎng)絡(luò)犯罪呈現(xiàn)出更加有針對性和手段多樣化的趨勢， 通過電子郵件、社交網(wǎng)絡(luò)、U盤等被黑客實施社交工程攻擊的例子比比皆是。如今，安全意識已經(jīng)成了企業(yè)信息安全防護的最大“漏洞”，如何提高員工的安全意識和安全風(fēng)險管理水平其實是每個CIO或信息安全官最頭疼的問題。

而“棱鏡門”所引發(fā)的， 不僅僅是政府對網(wǎng)絡(luò)安全的重視，傳統(tǒng)企業(yè)特別是大型企業(yè)的管理層和決策層也一樣開始重視起來。 網(wǎng)絡(luò)安全培訓(xùn)市場過去幾年一直處于不溫不火的狀態(tài)，預(yù)計在2014年將會有比較大的發(fā)展。

數(shù)據(jù)安全市場重新洗牌

如今，全球政府都面臨大數(shù)據(jù)時代的信息透明和數(shù)據(jù)開放改革，以歐美多國政府推動的OpenData開放數(shù)據(jù)項目最有代表性，但是不久前美國政府醫(yī)保網(wǎng)站的安全漏洞為全球政府敲響了警鐘，政務(wù)大數(shù)據(jù)的開放是一柄雙刃劍，一方面可以調(diào)動社會資源，推動群體智慧創(chuàng)新，另外一方面政務(wù)數(shù)據(jù)上網(wǎng)也為黑客打開了一扇窗，政府網(wǎng)站面臨的數(shù)據(jù)安全問題也比過去嚴(yán)峻得多。

第2篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

黑客更關(guān)心應(yīng)用

整個信息安全領(lǐng)域正在產(chǎn)生巨大的變化,信息安全的主題從終端安全、網(wǎng)絡(luò)安全向應(yīng)用安全轉(zhuǎn)變。以前人們可以通過參數(shù)決定網(wǎng)絡(luò)的安全性,而現(xiàn)在網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)是數(shù)據(jù)的安全,應(yīng)用漏洞才是風(fēng)險的根源。軟件的安全性變得越來越重要,它正快速延伸到個人應(yīng)用。以前黑客還僅僅是攻擊Windows系統(tǒng),而現(xiàn)在像Flash這樣的應(yīng)用才是攻擊者的最愛。

赫伯特•H•湯普森表示:“信息安全領(lǐng)域中出現(xiàn)了很多非常有意思的問題,有的問題是邏輯性很強的,有的是完全沒有邏輯的。對于現(xiàn)在的黑客來說,他們總是在不斷進行改進。由于軟件設(shè)計越來越復(fù)雜,我們不能再按照以前的態(tài)度去對待黑客,反而要重視一些極端的例子。而且,我們要不斷地向自己提問,比如我所研究的應(yīng)用和系統(tǒng)將會出現(xiàn)什么樣的問題。我們要懷有這樣的熱情,打破以往固有的范式,像黑客一樣思維。當(dāng)前,在美國的大學(xué)里,我們已經(jīng)開始向?qū)W生們灌輸‘黑客式’的思維方式?！?/p>

當(dāng)前許多關(guān)于應(yīng)用安全的標(biāo)準(zhǔn)定義都僅限于應(yīng)用的保密性、一致性等問題,但赫伯特•H•湯普森認(rèn)為,信息安全的脆弱性更多源于應(yīng)用與安全的不匹配關(guān)系。比如,軟件設(shè)計者如何能夠合理地使用戶得到相應(yīng)的信息,如何讓軟件起到合理的作用。

就某些方面而言,軟件開發(fā)者的“壞習(xí)慣”是讓應(yīng)用不夠安全的根源之一,絕大多數(shù)開發(fā)者在編寫代碼的過程中都沒有考慮安全性。赫伯特•H•湯普森表示,已經(jīng)有許多大型企業(yè)、機構(gòu)開始對開發(fā)人員進行安全培訓(xùn),培訓(xùn)自己的開發(fā)者正確編寫安全的代碼,增強開發(fā)者的安全意識。此外,現(xiàn)在還有對源代碼進行安全漏洞掃描的工具,開發(fā)者可以利用這些工具,發(fā)現(xiàn)其所開發(fā)應(yīng)用的安全隱患。

云計算的雙面刃

EMC全球執(zhí)行副總裁、RSA全球總裁亞瑟•W.•科維洛表示,新一輪經(jīng)濟增長的動力是云計算,但是由于安全問題沒有解決,目前人們對云計算缺乏信心。解決云計算的安全問題,需要采取綜合的、系統(tǒng)化的、內(nèi)嵌的安全方式。正如黑客形成地下產(chǎn)業(yè)鏈一樣,全社會的企業(yè)、廠商和政府也要協(xié)同工作,形成針鋒相對的產(chǎn)業(yè)鏈,才能擊敗黑客犯罪集團。

第3篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

據(jù)瑞星安全專家介紹，此次的全新瑞星殺毒軟件網(wǎng)絡(luò)版2012中，增加了“私有云”技術(shù)、動態(tài)資源分配技術(shù)、企業(yè)自定義白名單系統(tǒng)、第二代身份標(biāo)識和客戶端密碼防護系統(tǒng)?；谶@些全新的功能，企業(yè)的信息安全管理可以更為穩(wěn)定，并且更加精準(zhǔn)。

瑞星企業(yè)專屬“私有云”為每個企業(yè)單獨構(gòu)建、提供專屬的云應(yīng)用和云服務(wù)。它主要有兩大功能：其一，為企業(yè)提供安全應(yīng)用軟件平臺，便于企業(yè)獲取經(jīng)過瑞星安全認(rèn)證的各類應(yīng)用軟件，也便于管理員分發(fā)、管理和監(jiān)控。其二，瑞星“私有云”為每個企業(yè)定制專屬的安全服務(wù)，企業(yè)客戶端無需存放病毒庫和進行復(fù)雜的殺毒運算，大大降低了對系統(tǒng)資源的占用。

而全新的企業(yè)自定義白名單系統(tǒng)意味著瑞星可以有效解決企業(yè)內(nèi)部程序、文件、網(wǎng)站的誤報問題，通過系統(tǒng)，用戶可實現(xiàn)文件、網(wǎng)站的自動錄入，通過系統(tǒng)的自動識別、入庫，并借助瑞星“私有云”技術(shù)瞬間將方案分發(fā)給所有客戶端。

此外，智能動態(tài)資源分配技術(shù)優(yōu)化了殺毒引擎的核心技術(shù)，使其變得更加輕便，突破了傳統(tǒng)殺毒軟件一次性將病毒庫加載到內(nèi)存中，使用高負(fù)荷CPU進行運算的方式。它還對病毒庫進行細(xì)化，同時優(yōu)化其存儲和加載方式，在殺毒時，實現(xiàn)化整為零、按需加載，從而達到降低資源占用的目的，使更多老舊電腦也可以流暢運行。

在安全問題日益嚴(yán)峻的大環(huán)境下，服務(wù)必將成為安全企業(yè)最重要的市場標(biāo)桿。瑞星此次提出的5S專業(yè)級企業(yè)信息安全服務(wù)，即信息安全評估服務(wù)、信息安全預(yù)警服務(wù)、信息安全專家服務(wù)、信息安全應(yīng)急響應(yīng)服務(wù)和信息安全培訓(xùn)服務(wù)，充分依托本土化的服務(wù)經(jīng)驗，為國內(nèi)安全行業(yè)樹立了發(fā)展的新標(biāo)桿。

據(jù)了解，本次瑞星全新推出的“私有云”技術(shù)，是國內(nèi)信息安全領(lǐng)域的第一個產(chǎn)品化的“私有云”平臺，在國內(nèi)安全企業(yè)中尚屬首次。瑞星方面表示，這是繼2011年連續(xù)推出16款企業(yè)級軟硬件新品之后，公司發(fā)展的又一個新里程碑，

第4篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

信息安全實訓(xùn)室是包含網(wǎng)絡(luò)安全教學(xué)設(shè)備的實訓(xùn)室，除了基礎(chǔ)課程外，專業(yè)課程主要擔(dān)負(fù)了《服務(wù)器配置與管理》、《信息安全技術(shù)》、《網(wǎng)絡(luò)安全管理與維護》等課程的教學(xué)，以及針對信息網(wǎng)絡(luò)安全方向的對外培訓(xùn)、測試、合作等項目。實訓(xùn)室內(nèi)主要硬件設(shè)備有各廠商安全設(shè)備，包括防火墻、防毒墻、入侵檢測、入侵防護、威脅分析等設(shè)備，除此外還有部分網(wǎng)絡(luò)設(shè)備和服務(wù)器。在教師和學(xué)生機上則主要以獨立的軟件和項目碎片化的虛擬機為主。即便部分廠商開發(fā)的安全實訓(xùn)平臺，也多多少少離不開這些項目碎片化的影子。因此要形成過程化的分析系統(tǒng)，必須對硬件進行整合。

2需求分析

當(dāng)前社會需求的網(wǎng)絡(luò)安全方面人才主要集中在以下幾個方面：1）專業(yè)型網(wǎng)絡(luò)安全人才。這類人員的崗位要求具備較深的網(wǎng)絡(luò)安全實踐基礎(chǔ)，對當(dāng)前主流網(wǎng)絡(luò)攻擊和防御技術(shù)有較為全面的掌握；目前，有關(guān)監(jiān)察審查部門、專業(yè)安全評測機構(gòu)等單位對這類人才需求較高。2）綜合型網(wǎng)絡(luò)安全人才。這類人員的崗位原本都不是網(wǎng)絡(luò)安全方向，但是由于網(wǎng)絡(luò)安全形勢的需要，除了具備原有的知識技能外，還應(yīng)擔(dān)負(fù)相應(yīng)的網(wǎng)絡(luò)安全維護責(zé)任；目前黨政軍重要機構(gòu)、電子商務(wù)和金融等關(guān)鍵機構(gòu)的網(wǎng)管、維運人員；等級保護安全員等崗位對這類人才需求較高。因此網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)應(yīng)緊貼社會需求，同樣網(wǎng)絡(luò)安全實訓(xùn)室的建設(shè)也應(yīng)具備以下幾個功能：1）有效完成教學(xué)任務(wù)，滿足主流信息安全、網(wǎng)絡(luò)安全類課程實驗實訓(xùn)內(nèi)容的實現(xiàn)和操作。2）能夠為相關(guān)行業(yè)和崗位定向培養(yǎng)輸送畢業(yè)生，通過實訓(xùn)室訓(xùn)練達到崗位所需求的實踐操作水平（如等級保護安全員）。3）能夠為需要安全培訓(xùn)的單位（如社保醫(yī)保等政府單位、電子商務(wù)等企業(yè)）或者結(jié)合權(quán)威部門提供培訓(xùn)認(rèn)證服務(wù)。

3改造思路

總體思路是在這些教學(xué)和項目在實施過程中，需要對網(wǎng)絡(luò)攻防雙方在操作上進行動態(tài)跟蹤，其中比較主要的一塊是針對網(wǎng)絡(luò)攻擊行為進行捕獲和分析，以攻學(xué)防、以攻促防；達到良好的實訓(xùn)效果。網(wǎng)絡(luò)安全實訓(xùn)在傳統(tǒng)的教學(xué)中，著重以攻輔防，即攻擊行為僅僅是學(xué)習(xí)防御行為的輔助手段，著重采用較為直接的結(jié)果引導(dǎo)教學(xué)方式，如攻擊行為會造成的結(jié)果應(yīng)該如何防御；該方式是通過攻擊結(jié)果引導(dǎo)學(xué)生思考防御方法，雖然有一定的效果，但是僅僅通過結(jié)果來逆推攻擊手法和原理，難度過高且不利于學(xué)生了解本質(zhì)和舉一反三發(fā)散性思維，容易導(dǎo)致教學(xué)和實訓(xùn)效果不佳。而基于過程的攻擊行為分析，能夠全程還原攻擊細(xì)節(jié)和方式，引導(dǎo)學(xué)習(xí)實訓(xùn)過程中的主觀能動性，變結(jié)果學(xué)習(xí)為過程學(xué)習(xí)；此外，在實驗室未來的對外安全項目合作、安全產(chǎn)品和系統(tǒng)資質(zhì)測試、受訓(xùn)人員水平資格考試等過程中，都需要采用細(xì)顆粒度的攻防行為分析；該系統(tǒng)的研究能夠促進教學(xué)、測試及合作項目的效果體現(xiàn)，提升實訓(xùn)室整體品質(zhì)。

4總體架構(gòu)

實訓(xùn)室邏輯拓?fù)淇傮w由四個部分組成，包含攻擊區(qū)、防御區(qū)、互聯(lián)網(wǎng)模擬區(qū)、監(jiān)測管理區(qū)。1）攻擊區(qū)主要由攻擊平臺組成，該平臺內(nèi)含主流網(wǎng)絡(luò)安全測試工具，供學(xué)生終端機器調(diào)用以進行攻擊測試，該平臺可以用神碼的攻擊工具集，也可以采用Backtrack或Kali開源黑客平臺。此外攻擊區(qū)配備文件服務(wù)器供訓(xùn)練數(shù)據(jù)的存儲共享，同時提供wifi環(huán)境做無線安全方面的實驗。如果條件允許，盡量配備流量發(fā)生器，用以模擬商業(yè)網(wǎng)絡(luò)流量便于仿真測試。2）防御區(qū)是實驗室的主要區(qū)域，該區(qū)域盡量模擬常見園區(qū)網(wǎng)絡(luò)環(huán)境和流行應(yīng)用，供學(xué)生模擬黑客攻擊以及安全加固。具體配置為防火墻數(shù)款，包括微軟ISA宿主型軟件防火墻、神碼堡壘主機和各種獨立應(yīng)用虛擬機。此外放置一臺CiscoACS服務(wù)器用作AAA認(rèn)證實驗，同時和攻擊區(qū)一樣配備wifi網(wǎng)絡(luò)環(huán)境和流量發(fā)生設(shè)備。3）互聯(lián)網(wǎng)模擬區(qū)主要擔(dān)負(fù)攻擊區(qū)和防御區(qū)的互聯(lián)和入網(wǎng)，以及部分廣域網(wǎng)協(xié)議互聯(lián)的模擬，如幀中繼等，后期也可接入其他廣域網(wǎng)協(xié)議，便于安全領(lǐng)域的抓包嗅探等測試。4）監(jiān)測管理區(qū)負(fù)責(zé)對實驗過程的監(jiān)控和結(jié)果呈現(xiàn)，同時也擔(dān)負(fù)對整個實驗室設(shè)備的維護管理任務(wù)。其中入侵檢測可以采用開源snort系統(tǒng)，流控和日志可以采用神碼的設(shè)備，另外再配備一臺管理主機完成服務(wù)器和設(shè)備的管理操作。

5項目實施

5.1改革內(nèi)容

1）針對入侵行為進行檢測；2）檢測覆蓋面應(yīng)包括掃描、溢出、注入、拒絕服務(wù)等攻擊內(nèi)容；3）能夠捕獲樣本數(shù)據(jù)，顯示數(shù)據(jù)包細(xì)節(jié)和結(jié)構(gòu)分析信息；4）能夠顯示直觀的報告和分析結(jié)果，供安全防御訓(xùn)練參考。

5.2改革目標(biāo)

建立一個針對網(wǎng)絡(luò)攻擊行為的捕獲分析系統(tǒng)，對信息安全實訓(xùn)室內(nèi)的實訓(xùn)項目中攻擊行為能進行捕獲和分析，提升實訓(xùn)效果。

5.3擬解決的關(guān)鍵問題

1）大型源碼包的編譯安裝問題；2）網(wǎng)絡(luò)接口混雜模式、數(shù)據(jù)捕獲模塊、數(shù)據(jù)包分析模塊、規(guī)則庫匹配模塊、管理模塊的耦合穩(wěn)定；3）報告系統(tǒng)的時效性和完整性；4）大數(shù)據(jù)流量下整體系統(tǒng)的穩(wěn)定性。

5.4實施方法

學(xué)習(xí)研究國外已經(jīng)成型的檢測評估體系，結(jié)合我院網(wǎng)絡(luò)安全實訓(xùn)室的具體情況，分析需要構(gòu)建的模塊和系統(tǒng)，設(shè)計出系統(tǒng)雛形，根據(jù)該雛形編譯相關(guān)的模塊和插件，整合系統(tǒng)。在一個標(biāo)準(zhǔn)實驗臺內(nèi)可以完成基本的服務(wù)器、安全實驗，基本滿足實驗教學(xué)需要。另外，可以根據(jù)需求進行組合，滿足不同層次實驗的需要。組合如下：標(biāo)準(zhǔn)型實驗(服務(wù)器實驗、主機安全實驗)功能型實驗A(標(biāo)準(zhǔn)型＋無線AP＋流量＋安全硬件)功能型實驗B(A＋網(wǎng)絡(luò)安全，通過2臺防火墻)功能型實驗C(B＋入侵檢測和防御，通過2臺安全網(wǎng)關(guān)來實現(xiàn))功能型實驗D(C＋威脅發(fā)現(xiàn)，通過流量、資產(chǎn)監(jiān)控、入侵檢測、威脅發(fā)現(xiàn)來實現(xiàn))學(xué)生做實驗時，通過訪問控制服務(wù)器CMS對實驗臺內(nèi)的網(wǎng)絡(luò)實驗設(shè)備進行配置、管理、實驗操作，無須來回插拔控制線。學(xué)生只有登錄權(quán)限，沒有修改權(quán)限。教師在教師機上可以登錄到學(xué)生實驗的設(shè)備上，指導(dǎo)檢查學(xué)生的實驗過程和結(jié)果。主要承擔(dān)的實訓(xùn)項目為網(wǎng)絡(luò)安全，設(shè)備安全包含熟悉互聯(lián)網(wǎng)主流安全技術(shù)配置，包括交換機的端口安全、IP訪問控制列表、基于時間的訪問控制列表、專家級訪問控制列表、防火墻的配置、局域網(wǎng)于Internet之間的互聯(lián)等。網(wǎng)絡(luò)安全包含主機和網(wǎng)絡(luò)安全、攻防模擬、入侵檢測和威脅發(fā)現(xiàn)、主機和WEB應(yīng)用、數(shù)據(jù)庫應(yīng)用安全、云計算的模擬和應(yīng)用、CTF攻防競賽等等。此外，也可以完成網(wǎng)絡(luò)集成教學(xué)所需要的局域網(wǎng)基礎(chǔ)實驗、廣域網(wǎng)基礎(chǔ)實驗、VOIP實驗、安全實驗、無線實驗、網(wǎng)絡(luò)管理實驗、IPV6實驗。整個實驗室的實驗臺臺數(shù)，實驗組數(shù)由學(xué)生人數(shù)和實驗室項目靈活調(diào)整。此外納入建有的創(chuàng)新實驗室，根據(jù)實訓(xùn)功能和規(guī)模，可靈活調(diào)整實訓(xùn)人數(shù)和項目。

5.5可行性分析

在網(wǎng)絡(luò)安全的教學(xué)實訓(xùn)活動中，傳統(tǒng)的網(wǎng)絡(luò)安全教學(xué)往往是在攻擊行為完成后提出防御措施，繼而讓學(xué)生被動學(xué)習(xí)訓(xùn)練防御和加固技術(shù)，但學(xué)生在學(xué)習(xí)過程中容易產(chǎn)生的對攻擊細(xì)節(jié)的疑問往往因為沒有可視化或過程化的手段，而無法得到有效解答，同時也限制了學(xué)生自行思考、舉一反三的可能性。此外，實訓(xùn)室在未來可能擔(dān)負(fù)安全檢測、合作項目等方向的內(nèi)容，都需要對攻擊行為進行過程化的還原。針對攻擊行為過程的檢測分析是近年來網(wǎng)絡(luò)安全界發(fā)展迅猛的一項技術(shù)，該技術(shù)的出現(xiàn)為網(wǎng)絡(luò)安全技術(shù)從傳統(tǒng)的結(jié)果分析過度到過程分析奠定了基礎(chǔ)；目前，全球各大廠商和標(biāo)準(zhǔn)化組織都提出了各自的標(biāo)準(zhǔn)，其中一些還有較為完善的體系模型和開源項目，并在兼容性、適用性上都取得了很多進步。經(jīng)過初步調(diào)研，這些已有的成果符合實訓(xùn)室現(xiàn)有條件和項目需求，可以取主流的模型加以分解調(diào)整，完成本地化，結(jié)合實訓(xùn)室實際建設(shè)一套實用的分析系統(tǒng)。

6特色與創(chuàng)新

第5篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

關(guān)鍵詞：智慧校園；安全風(fēng)險；措施

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）27-0042-02

Abstract： Intelligent campus has full intellisense， ubiquitous network， data access resources sharing， and many other advantages， also there are many security risks at the same time， analysis of the security risk types， characteristics and causes， research how to reduce the safety risk， to ensure the safety of intelligent campus data information transmission， and improve the safety and reliability of teachers and students users using the Internet， web pages， and the platform system.

Key words： intelligent campus； security risks； mobile Internet； measure

智慧校園是對傳統(tǒng)數(shù)字化校園的擴展和提升，無論從技術(shù)上還是從設(shè)備上都有很大的改進，智慧校園運行框架與體系大致可以分為感知層、網(wǎng)絡(luò)層、數(shù)據(jù)層、系統(tǒng)層、應(yīng)用平臺等五層，經(jīng)過研究分析，智慧校園在物理設(shè)備、數(shù)據(jù)存儲與傳輸、平臺系統(tǒng)、網(wǎng)站訪問、安全制度、技術(shù)人員配備與管理等諸多方面都存在比較大的安全風(fēng)險，下面將逐一對這些安全風(fēng)險問題進行分析，仔細(xì)查找原因，并研究有關(guān)安全風(fēng)險應(yīng)對措施。

1 智慧校園安全風(fēng)險分析

1.1 物理硬件設(shè)備與操作系統(tǒng)

據(jù)調(diào)查，目前高校多存在設(shè)備老化、配置過低、系統(tǒng)陳舊等問題，具體包括光纖、網(wǎng)線、服務(wù)器、交換機、集線器、路由器等網(wǎng)絡(luò)設(shè)備設(shè)施老化、配置過低導(dǎo)致網(wǎng)絡(luò)運行質(zhì)量難以保證，安全漏洞層出不窮；電腦主機配置低、操作系統(tǒng)陳舊等導(dǎo)致電腦設(shè)備運行緩慢、訪問網(wǎng)頁速度慢、系統(tǒng)安全漏洞多、容易受病毒感染和攻擊等；網(wǎng)絡(luò)設(shè)備、電腦設(shè)備、感知設(shè)備等建設(shè)水平參差不齊，難以與先進的數(shù)字化校園平臺技術(shù)進行對接，造成智慧校園運營風(fēng)險加大等。

1.2 數(shù)據(jù)存儲與傳輸

無論是智慧校園還是傳統(tǒng)的數(shù)字化校園，在數(shù)據(jù)方面存在的安全風(fēng)險都很大，主要體現(xiàn)在數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)存儲與傳輸?shù)确矫?，具體包括缺乏統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)接口導(dǎo)致各應(yīng)用系統(tǒng)使用的數(shù)據(jù)對接難；未能建立統(tǒng)一數(shù)據(jù)中心導(dǎo)致沒有數(shù)據(jù)歸口管理部門及數(shù)據(jù)管理混亂；數(shù)據(jù)庫服務(wù)器安全性能低、缺乏數(shù)據(jù)加密及數(shù)據(jù)備份恢復(fù)機制、數(shù)據(jù)使用操作不當(dāng)?shù)葘?dǎo)致數(shù)據(jù)存儲安全風(fēng)險大；缺乏數(shù)據(jù)整合平臺及傳輸鏈路不安全導(dǎo)致數(shù)據(jù)傳輸安全風(fēng)險大及信息孤島的出現(xiàn)風(fēng)險等。

1.3 應(yīng)用系統(tǒng)

智慧校園所使用的應(yīng)用系統(tǒng)種類很多，包括學(xué)生管理系統(tǒng)、教務(wù)管理系統(tǒng)、科研管理系統(tǒng)、辦公系統(tǒng)等，應(yīng)用系統(tǒng)風(fēng)險主要體現(xiàn)在系統(tǒng)數(shù)據(jù)使用、系統(tǒng)登陸、用戶信息盜竊等方面，具體包括部門多、系統(tǒng)多，各部門使用的系統(tǒng)數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一及數(shù)據(jù)共享要求性高等導(dǎo)致系統(tǒng)數(shù)據(jù)使用風(fēng)險大；系統(tǒng)登陸安全保障機制不健全導(dǎo)致系統(tǒng)登陸安全風(fēng)險大；數(shù)據(jù)庫服務(wù)器安全性能低、病毒侵入、黑客攻擊等導(dǎo)致用戶數(shù)據(jù)被盜竊等。

1.4 網(wǎng)站訪問

智慧校園中師生訪問各類網(wǎng)站安全風(fēng)險很大，主要體現(xiàn)在學(xué)校上網(wǎng)人數(shù)多，網(wǎng)絡(luò)管理部門未能建立網(wǎng)絡(luò)安全訪問策略，對網(wǎng)絡(luò)訪問缺乏有效監(jiān)控，電腦缺乏防火墻和有效殺毒軟件，學(xué)生安全意識不強，訪問非法網(wǎng)站及不良信息，隨意下載、打開安全可靠性低的文件、郵件，導(dǎo)致電腦病毒感染、木馬入侵、黑客攻擊、攻擊校園網(wǎng)絡(luò)、網(wǎng)頁打不開等安全風(fēng)險。

1.5 安全制度

高校師生人數(shù)多，網(wǎng)絡(luò)用戶數(shù)量大，在操作計算機、上網(wǎng)等方面缺乏有效的安全管理制度將導(dǎo)致安全風(fēng)險大大增加，具體包括缺乏機房安全管理、防火防盜管理制度及計算機多媒體操作使用細(xì)則等導(dǎo)致機房電腦設(shè)備損耗嚴(yán)重及起火被盜風(fēng)險加大；缺乏數(shù)據(jù)備份、災(zāi)難恢復(fù)有關(guān)制度導(dǎo)致計算機核心資源被竊取和篡改；缺乏安全事故處理程序及應(yīng)急計劃導(dǎo)致安全防范環(huán)節(jié)薄弱。

1.6 技術(shù)人員配備與管理

智慧校園建設(shè)除了經(jīng)費、設(shè)備設(shè)施一系列投入以外，還需要大量的技術(shù)管理人員，而目前高校在這方面建設(shè)還比較薄弱，比較突出的是實驗室管理人員、機房管理人員、多媒體教室管理人員、網(wǎng)站平臺維護人員、系統(tǒng)信息管理人員等流動性大，專業(yè)性不強，未經(jīng)正規(guī)培訓(xùn)或考核，造成對電腦、機房設(shè)備、網(wǎng)絡(luò)設(shè)施及網(wǎng)站、系統(tǒng)平臺等操作不當(dāng)、管理效率低下，智慧校園運營信息泄露、設(shè)備被損壞和偷盜等安全風(fēng)險加大。

2 智慧校園安全風(fēng)險應(yīng)對措施

2.1 資金投入和設(shè)備設(shè)施建設(shè)

高校應(yīng)高度重視智慧校園建設(shè)工作，增加建設(shè)資金投入，購買性能穩(wěn)定、安全系數(shù)高的網(wǎng)絡(luò)設(shè)備設(shè)施、智能感知設(shè)備、數(shù)字化校園平臺及應(yīng)用系統(tǒng)等，并保持各種設(shè)備及系統(tǒng)持續(xù)更新。對配置過低，影響上網(wǎng)、上機速度的光纖、網(wǎng)線、服務(wù)器、交換機、集線器、路由器、電腦主機等老化設(shè)備予以淘汰，及時更新。在建設(shè)過程中一定要綜合考慮各種設(shè)施設(shè)備的協(xié)調(diào)搭配對接，防止參差不齊，影響設(shè)備功能發(fā)揮和帶來運營安全隱患。

2.2 技術(shù)措施

安全技術(shù)措施很多，擬將其分為物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層、系統(tǒng)層、應(yīng)用層等多個方面。

2.2.1 物理層措施

首先要加強機房建設(shè)，機房中的各類網(wǎng)絡(luò)設(shè)施設(shè)備、服務(wù)器、UPS電源等要擺放合理，注意通風(fēng)防潮，外人不得輕易進入機房重地，機房設(shè)備應(yīng)由專人管理操作；為防止電腦、服務(wù)器等設(shè)備因長時間運行導(dǎo)致溫度持續(xù)升高而損壞，機房還應(yīng)添置空調(diào)、排風(fēng)扇等設(shè)備；另外要加強機房監(jiān)控和安保等工作，防止機房貴重設(shè)備被偷盜和損壞；除了加強機房建設(shè)，還應(yīng)對網(wǎng)線、光纖、集線器、交換機、路由器等進行科學(xué)部署和統(tǒng)一擺放。

2.2.2 網(wǎng)絡(luò)層措施

高校網(wǎng)絡(luò)管理部門要建立網(wǎng)絡(luò)安全策略，一是建立網(wǎng)絡(luò)應(yīng)用授權(quán)、訪問控制中心，比如建立全校統(tǒng)一的用戶管理平臺和授權(quán)認(rèn)證體系，由網(wǎng)絡(luò)中心派專人負(fù)責(zé)認(rèn)證授權(quán)管理，自主研發(fā)或購買符合學(xué)校實際需要的網(wǎng)絡(luò)監(jiān)控控制系統(tǒng)，對校園內(nèi)各網(wǎng)絡(luò)節(jié)點及端口進行有效監(jiān)控，對有病毒、黃賭毒、暴力等信息的網(wǎng)站系統(tǒng)進行攔截、拒絕訪問；二是使用防火墻等軟件，對校園內(nèi)網(wǎng)進行保護，對內(nèi)外網(wǎng)絡(luò)訪問連接進行檢查，防止外部非授權(quán)用戶非法訪問修改內(nèi)部網(wǎng)絡(luò)資源，對跨越網(wǎng)絡(luò)邊界的信息按照規(guī)定的安全策略進行審查，有效保護內(nèi)部網(wǎng)絡(luò)環(huán)境和特殊網(wǎng)絡(luò)設(shè)備，監(jiān)視網(wǎng)絡(luò)運行處于安全狀態(tài)。

2.2.3 數(shù)據(jù)層措施

學(xué)校要投入資金購買性能好、安全穩(wěn)定系數(shù)高的數(shù)據(jù)庫服務(wù)器，要建立統(tǒng)一的數(shù)據(jù)中心和數(shù)據(jù)標(biāo)準(zhǔn)，對智慧校園各系統(tǒng)平臺使用到的數(shù)據(jù)進行統(tǒng)一管理，同時利用云計算平臺技術(shù)對各種數(shù)據(jù)資源進行有效整合，防止信息孤島的出現(xiàn)。學(xué)校還要建立用戶訪問控制機制，針對不同用戶群體授予不同權(quán)限，比如有些用戶只有數(shù)據(jù)訪問權(quán)，而無修改、存儲等操作權(quán)，另外針對用戶私人信息等重要數(shù)據(jù)建立加密機制，學(xué)校財務(wù)、職工等重要信息傳送接收可采用數(shù)字簽名機制，以防信息被竊取，對師生造成不必要的損失。

2.2.4 系統(tǒng)層措施

系統(tǒng)層安全措施包括操作系統(tǒng)安全措施、數(shù)據(jù)庫系統(tǒng)安全措施、信息資源系統(tǒng)安全措施等，其中操作系統(tǒng)安全措施包括系統(tǒng)漏洞修復(fù)、系統(tǒng)殺毒防護等，數(shù)據(jù)庫系統(tǒng)安全措施包括數(shù)據(jù)存儲加密、數(shù)據(jù)傳輸加密等，信息資源系統(tǒng)安全措施包括訪問控制、身份認(rèn)證、用戶權(quán)限授予等。

2.2.5 應(yīng)用層措施

應(yīng)用層直接關(guān)系到師生用戶對智慧校園門戶網(wǎng)站及各種平臺系統(tǒng)的使用，應(yīng)在校園各機房電腦上安裝殺毒軟件，并定期更新殺毒軟件病毒數(shù)據(jù)庫，對校園網(wǎng)站服務(wù)器、各信息系統(tǒng)服務(wù)器及數(shù)據(jù)庫服務(wù)器等要進行雙源供電，建立數(shù)據(jù)備份、災(zāi)難恢復(fù)機制，確保不因斷電等異常情況影響師生正常使用校園網(wǎng)及數(shù)字化校園平臺系統(tǒng)。

2.3 管理措施

2.3.1 安全管理制度

要建立機房安全管理制度，特別是網(wǎng)絡(luò)中心機房管理制度，責(zé)任明確到人，機房管理員要定期對機房設(shè)施設(shè)備存在的安全隱患進行逐一排查，并及時報告處置異常情況；要建立電腦、網(wǎng)絡(luò)等設(shè)備設(shè)施維修、報廢制度，派專人對出現(xiàn)故障的設(shè)備設(shè)施進行維修，確保設(shè)備正常運轉(zhuǎn)，及時對各部門報廢的設(shè)備設(shè)施進行鑒定和更換；還要建立信息員安全培訓(xùn)、數(shù)據(jù)備份等制度，定期組織各部門信息安全員及機房管理員等進行網(wǎng)絡(luò)安全等專題培訓(xùn)，提高安全防范意識，掌握設(shè)備正確操作方法，定期對重要數(shù)據(jù)進行備份。

2.3.2 人員配備及管理

高校要對各種感知設(shè)備、網(wǎng)絡(luò)設(shè)施設(shè)備、服務(wù)器設(shè)備等重要設(shè)備設(shè)施進行有效管理，確保數(shù)字化校園平臺及各種應(yīng)用系統(tǒng)正常運轉(zhuǎn)，組建機房管理人員、信息員、電腦維修員、網(wǎng)絡(luò)管理員等專業(yè)人才隊伍，提高技術(shù)人員工資，確保隊伍穩(wěn)定性，同時定期開展有關(guān)技術(shù)培訓(xùn)，提高其技術(shù)操作管理水平。

3 結(jié)束語

智慧校園使用到的信息技術(shù)種類很多，因?qū)W校環(huán)境條件限制、網(wǎng)絡(luò)共享開放性要求高等諸多因素，使得各種信息技術(shù)在實踐應(yīng)用中暴露出一系列安全問題，對這些問題進行深入分析，研究有關(guān)對策，并努力實踐，將智慧校園應(yīng)用安全風(fēng)險控制在最低范圍內(nèi)，為師生用戶創(chuàng)造一個安全、開放、共享的數(shù)字化校園環(huán)境。

參考文獻：

[1] 凌冠華.高校數(shù)字化校園的數(shù)據(jù)建設(shè)和安全管理研究[J].價值工程，2010（10）.

[2] 唐秀忠.基于數(shù)字化校園的管理系統(tǒng)安全研究[J].思茅師范高等專科學(xué)校學(xué)報，2009（12）.

第6篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監(jiān)督檢查力度的不斷加大，信息系統(tǒng)開展等級測評的數(shù)量穩(wěn)步增長，測評覆蓋率顯著提升。通過統(tǒng)計分析本單位近些年測評的數(shù)百個信息系統(tǒng)的數(shù)據(jù)，可以得出以下結(jié)論：一是較早開展等級測評的行業(yè)，經(jīng)過測評和整改建設(shè)，測評符合率逐年提高;二是隨著等級測評工作的持續(xù)推進，近期才開展首次測評的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱，測評得分明顯偏低。通過對物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等10個層面的測評結(jié)果進行統(tǒng)計，其中網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、系統(tǒng)運維管理等方面的不符合率相對較高，信息系統(tǒng)的建設(shè)、使用、運維階段存在一些較普遍的問題。

 

信息系統(tǒng)安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續(xù)推進，黨政機關(guān)、企事業(yè)單位對信息系統(tǒng)安全等級保護的認(rèn)識和重視程度得到普遍提升，在管理和技術(shù)兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現(xiàn)出兩級分化的特點。一些重點行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊伍力量足、信息安全投入經(jīng)費有保障，其安全管理措施一般也能得到有效落實，在機構(gòu)、人員、制度、建設(shè)管理、運維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對信息安全監(jiān)管嚴(yán)格的幾大行業(yè)。相反，部分對信息系統(tǒng)管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業(yè)人員的配備達不到標(biāo)準(zhǔn)規(guī)范的要求，安全責(zé)任部門地位偏低權(quán)限不足，很難制定并有效貫徹落實結(jié)合本單位實際的信息安全管理制度。

 

信息安全技術(shù)措施落實情況

 

多數(shù)單位通過部署邊界安全設(shè)備，強化入侵防范措施來提高網(wǎng)絡(luò)的安全性;通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發(fā)應(yīng)用系統(tǒng)的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業(yè)務(wù)應(yīng)用的安全性;通過部署數(shù)據(jù)備份設(shè)備、加密措施，加強對數(shù)據(jù)安全的保護。

 

信息系統(tǒng)常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發(fā)現(xiàn)一些典型問題。

 

信息安全意識有待提高

 

很多單位對當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢認(rèn)識不足，將信息安全工作視為被動應(yīng)付上級檢查、被動應(yīng)對安全事件的任務(wù)來消極對待。一些單位認(rèn)為取得“基本符合”的測評結(jié)論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規(guī)的落實不夠、資金和人員投入不足、重建設(shè)輕運維、有制度無執(zhí)行、有預(yù)案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面。

 

信息安全管理制度不完善?；鶎訂挝恍畔踩芾碇贫炔蝗⑷藛T配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結(jié)合本單位實際進行修訂，導(dǎo)致缺乏可操作性。

 

系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過程中落實信息安全“同步建設(shè)”原則不到位。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范，導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗收階段，很多單位僅注重業(yè)務(wù)功能驗收，缺乏專門的安全性測試;電子政務(wù)類項目較普遍未按規(guī)定在項目驗收環(huán)節(jié)完成“一證兩報告”(即等級測評報告、風(fēng)險評估報告和系統(tǒng)備案證明)。

 

系統(tǒng)運維管理不到位。在系統(tǒng)運維管理方面，部分單位運維和開發(fā)崗位不分，職責(zé)不清，存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄，數(shù)據(jù)備份策略不明，應(yīng)急預(yù)案不完善并缺乏演練。

 

關(guān)鍵技術(shù)措施有待落實

 

分析近年來的測評結(jié)果，安全技術(shù)措施不足問題主要體現(xiàn)在以下幾個方面：

 

在物理安全方面，隨著電子政務(wù)集約化建設(shè)的推進，大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機房，但仍有部分單位自有機房條件簡陋，位置選擇不規(guī)范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環(huán)境監(jiān)控措施不足。

 

在網(wǎng)絡(luò)安全方面，常見網(wǎng)絡(luò)和安全設(shè)備的配置不到位，如未合理劃分區(qū)域、未精細(xì)配置訪問控制策略、未對重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計系統(tǒng)。部分單位設(shè)備老舊，安全產(chǎn)品本身存在一定缺陷導(dǎo)致無法滿足等級保護要求。個別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時，還違規(guī)接通互聯(lián)網(wǎng)，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關(guān)閉非必要服務(wù)等問題。此外，由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強制訪問控制機制，相關(guān)要求普遍未落實。

 

在應(yīng)用安全方面，很多應(yīng)用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當(dāng)一部分系統(tǒng)存在高危風(fēng)險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網(wǎng)頁木馬等問題。

 

在數(shù)據(jù)安全方面，較常見的是數(shù)據(jù)保密性和完整性措施薄弱。此外，部分信息系統(tǒng)的備份和恢復(fù)措施欠完善，缺乏有效的災(zāi)難恢復(fù)手段。

 

針對新技術(shù)的等級保護測評標(biāo)準(zhǔn)有待出臺

 

隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進，省內(nèi)各級政務(wù)云平臺的建設(shè)使用已全面開展，有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對等級保護工作越來越重視，對云計算、工控系統(tǒng)、移動APP等的測評需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》未涉及云計算、工業(yè)控制、移動互聯(lián)等領(lǐng)域，在測評實踐中已遇到諸多不適應(yīng)情況。針對這些新技術(shù)新應(yīng)用的等級保護測評標(biāo)準(zhǔn)需求已非常迫切。

 

重要信息系統(tǒng)安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓(xùn)。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應(yīng)通過多種方式開展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫，強化對全員的安全意識教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)，落實信息安全相關(guān)崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術(shù)，七分管理”，各單位應(yīng)轉(zhuǎn)變觀念，將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?！蓖戎匾暺饋恚瑢踩芾硪笈c自身業(yè)務(wù)緊密結(jié)合，制訂完善的體系化的安全管理制度。

 

在系統(tǒng)建設(shè)管理過程中，應(yīng)要求開發(fā)人員遵循安全編碼規(guī)范進行開發(fā);在系統(tǒng)驗收環(huán)節(jié)，應(yīng)認(rèn)真做好安全性驗收測試。在電子政務(wù)領(lǐng)域應(yīng)落實國家對電子政務(wù)項目管理的制度要求，驗收階段完成等級測評，未通過測評的應(yīng)不予驗收。

 

在系統(tǒng)運維管理方面，應(yīng)加強制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范，明確定義工作流程和操作步驟，使日常運行管理制度化、規(guī)范化。對信息資產(chǎn)按重要性進行分類梳理，建立完善應(yīng)急災(zāi)備措施，定期開展演練，確保備份的有效性。

 

落實關(guān)鍵技術(shù)措施

 

針對測評發(fā)現(xiàn)的問題，各單位應(yīng)根據(jù)系統(tǒng)所定級別，結(jié)合自身條件，綜合考慮問題的影響范圍、嚴(yán)重程度、整改難度等因素，制定整改計劃，有步驟地落實相關(guān)技術(shù)措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應(yīng)在充分測試和試運行的基礎(chǔ)上實施整改。對于強制訪問控制、敏感標(biāo)記、雙因子鑒別等難點問題，建議國家加強相關(guān)產(chǎn)業(yè)政策的引導(dǎo)，促進安全廠商研發(fā)技術(shù)、推出產(chǎn)品，解決市場供應(yīng)問題。各級主管部門應(yīng)通過測評、整改、監(jiān)督檢查、再測評的閉環(huán)管理，督促關(guān)鍵技術(shù)措施的落實。

 

加快新技術(shù)的等級保護測評標(biāo)準(zhǔn)編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標(biāo)準(zhǔn)，尚處于征求意見階段。其余新技術(shù)領(lǐng)域的等級保護標(biāo)準(zhǔn)制定工作進度更晚，隨著智慧城市、云計算、大數(shù)據(jù)、移動互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用，安全標(biāo)準(zhǔn)相對滯后的問題更加突出，應(yīng)進一步加快相關(guān)新標(biāo)準(zhǔn)的制定。

第7篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

關(guān)鍵詞：安全;管理;制度;教育

1引言

高校計算機學(xué)科實驗室是計算機專業(yè)人才培養(yǎng)和理論實踐的重要平臺[1-2]。目前，高校計算機學(xué)科實驗室已經(jīng)具備一定的規(guī)模，機房數(shù)量眾多，學(xué)生使用頻繁，所以能夠給學(xué)生提供安全有序的實驗環(huán)境對于實驗室工作尤為重要。隨著計算機學(xué)科實驗設(shè)備的不斷完善，實驗設(shè)備數(shù)量的不斷增多，目前主要存在的問題有：使用頻率高、維護工作繁重、系統(tǒng)安全、防火防盜等。我們只有合理的預(yù)防和解決上述問題，才能確保計算機學(xué)科實驗室更好地為計算機學(xué)科教學(xué)服務(wù)。

2計算機學(xué)科實驗室安全管理存在的問題

2.1設(shè)備老化和故障問題

一般計算機學(xué)科實驗室的設(shè)備更新周期都比較長，計算機主機及服務(wù)器等設(shè)備普遍都存在著超期服役的狀況。這些設(shè)備在經(jīng)過多年的高負(fù)荷運轉(zhuǎn)后，不同批次的設(shè)備之間在合作上經(jīng)常表面上是一片“和諧”，可在實際使用中，哪怕只是偶爾地發(fā)一次小脾氣就會給實驗教學(xué)工作帶來極大的麻煩。此外設(shè)備故障也是計算機學(xué)科實驗室安全管理最急迫的工作之一。計算機學(xué)科實驗室的課程往往安排比較緊湊，因此機器使用頻率高，設(shè)備故障問題特別突出，這就使得計算機學(xué)科實驗室的管理和維護工作量逐年增大。如果沒有及時解決這個問題，勢必將直接影響實驗教學(xué)的正常進行。這些故障中有一部分是設(shè)備自身的問題，更多的原因則是由于學(xué)生的非正常操作而導(dǎo)致的異常損壞，比如個別學(xué)生為了自己的使用偏好，遇到問題私自打開機箱，隨意拔插設(shè)備部件等；部分學(xué)生甚至還會惡意破壞和刪除程序，設(shè)置BIOS系統(tǒng)密碼等，從而導(dǎo)致系統(tǒng)無法正常使用。

2.2系統(tǒng)安全問題

目前計算機學(xué)科實驗室為了滿足實驗教學(xué)的要求，在學(xué)期初實驗室都會根據(jù)課程要求，提前安裝各種相關(guān)應(yīng)用軟件，所以基本上每臺計算機主機都安裝多個系統(tǒng)[2]。這種多操作系統(tǒng)的模式大大方便了平時的教學(xué)與考試使用，可是也容易因?qū)W生的誤操作而導(dǎo)致系統(tǒng)受損、感染病毒甚至于系統(tǒng)崩潰。這其中最難預(yù)防的是病毒，因為使用計算機的人員不固定，而且經(jīng)常用移動存儲設(shè)備，這樣如果設(shè)備攜帶病毒或者木馬，病毒會對系統(tǒng)程序進行惡意篡改，造成系統(tǒng)癱瘓，信息丟失，而木馬則會非法入侵我們的計算機，影響系統(tǒng)的運行安全。這些都會嚴(yán)重影響到實驗室計算機的正常使用，一旦病毒和木馬大規(guī)模發(fā)作和傳播，甚至還會產(chǎn)生更嚴(yán)重的后果。

2.3環(huán)境安全問題

目前高校特別重視教學(xué)科研的資金投入，而對計算機學(xué)科實驗室的工作重視程度不夠，導(dǎo)致計算機學(xué)科實驗室的環(huán)境安全存在很大的漏洞[3]。由于各個實驗室都需要承擔(dān)繁重的授課任務(wù)，人員流動性大，各個實驗室都是滿負(fù)荷、超年限工作，設(shè)備使用時間長、衛(wèi)生得不到及時清理、空氣得不到流通、電路超負(fù)荷、電路老化導(dǎo)致計算機硬件故障時有發(fā)生，電子設(shè)備引起的電磁干擾與高溫也容易引發(fā)火災(zāi)等問題。同時，實驗室內(nèi)幾乎都是電子設(shè)備，一旦出現(xiàn)實驗室漏水，必將會導(dǎo)致對實驗室設(shè)備不可逆轉(zhuǎn)的嚴(yán)重?fù)p壞。

2.4管理人員問題

在安全領(lǐng)域，普遍認(rèn)為最大的漏洞就是人。我校計算機學(xué)科實驗室的實驗管理人員日常維護管理工作繁重，需要對大量的計算機設(shè)備進行維護管理，同時還需要兼顧防火防盜和網(wǎng)絡(luò)安全保障[4]。另外，由于課程需要和學(xué)院教學(xué)工作的統(tǒng)籌安排，中午和周末還需要上實驗課，值班壓力也大。這些因素都容易使得實驗管理人員忽略對新知識、新技術(shù)的學(xué)習(xí)。然而計算機技術(shù)發(fā)展迅猛，新知識、新技術(shù)、新名詞更是層出不窮，各種故障的排除方法也日新月異，這些對實驗室管理人員的理論知識、技術(shù)技能等方面不斷的提出新的要求和挑戰(zhàn)[5]。

3加強計算機學(xué)科實驗室安全的措施

通過對當(dāng)前高校計算機學(xué)科實驗室管理過程中普遍存在的安全問題的分析，我們必須從環(huán)境安全、制度規(guī)范，設(shè)備保障和安全教育等達到一定的指標(biāo)要求，才能夠保證我校計算機學(xué)科實驗室安全、平穩(wěn)的運行。

3.1加強環(huán)境安全管理

在計算機學(xué)科實驗室所在的實驗大樓里配備了紅外報警系統(tǒng)、門禁管理系統(tǒng)、視頻監(jiān)控系統(tǒng)和場地火警報警系統(tǒng)等一系列現(xiàn)代化智能安全設(shè)備，并聘請專業(yè)保安人員全天候巡邏，以確保實驗大樓的安全。每個實驗室都配備消防栓，滅火器等安全設(shè)備，在樓道內(nèi)配備了應(yīng)急照明燈和感應(yīng)式走廊燈。同時在實驗室內(nèi)部也采取各種安全保護措施，包括標(biāo)準(zhǔn)的接地保護，安裝包括總配電開關(guān)、分線配電開關(guān)和設(shè)備供電開關(guān)的三層漏電保護裝置，封閉實驗室內(nèi)部所有可能造成漏電的金屬部位，以及使用全封閉的實驗導(dǎo)線與插座[6]。預(yù)計在不久的將來，我校計算機學(xué)科實驗室還將建成機房內(nèi)部24小時全方位無死角安全監(jiān)控系統(tǒng)，從而大大提升整個實驗室的安全保障指數(shù)。

3.2完善安全管理制度

嚴(yán)格遵守國家在網(wǎng)絡(luò)信息安全的各項法律、法規(guī)，遵守學(xué)校、學(xué)院和實驗教學(xué)中心制定的各項信息安全制度，加強網(wǎng)絡(luò)信息安全審查工作。網(wǎng)站信息系統(tǒng)的內(nèi)容管理和安全審計由安全責(zé)任人執(zhí)行，計算機學(xué)科實驗室的網(wǎng)絡(luò)由信息化建設(shè)辦公室統(tǒng)一管理。建立有效的信息反饋機制、安全隱患排查機制和危機干預(yù)機制，針對計算機學(xué)科實驗室的特點，制定實驗室安全應(yīng)急預(yù)案，預(yù)防實驗室安全突發(fā)事件的發(fā)生。當(dāng)實驗室出現(xiàn)緊急情況時，實驗室管理人員可以按照指導(dǎo)方針進行妥善處理，最大程度保護實驗室內(nèi)部人員和設(shè)備的安全。

3.3增加安全保障措施

及時更新實驗室的軟硬件設(shè)備，合理規(guī)劃，科學(xué)安排，提高計算機系統(tǒng)運行的安全可靠性。同時建立有效的網(wǎng)絡(luò)防病毒工作機制，保證計算機系統(tǒng)病毒庫的及時更新。所有計算機設(shè)備定期進行木馬查殺，檢查系統(tǒng)運行日志，確保個人信息和網(wǎng)站的安全。后期考慮采用云桌面的模式，云桌面普遍使用沙箱系統(tǒng)，在虛擬機內(nèi)的木馬病毒僅存在于差分盤中，隨著虛擬機的重啟，差分盤會自動清除[7]。更重要的是定期對計算機學(xué)科實驗室涉及到的重要數(shù)據(jù)定期進行備份，確保重要數(shù)據(jù)的安全。實驗室的服務(wù)器機房規(guī)范使用艾默生精密空調(diào)進行24小時不間斷工作，有效地保證機房內(nèi)部的恒溫恒濕，從而保證機房內(nèi)部所有服務(wù)器安全平穩(wěn)地運行，提高服務(wù)器的安全使用壽命；配備不間斷電源UPS系統(tǒng)，保證所有服務(wù)器在突發(fā)斷電的情況下，能夠及時有效進行數(shù)據(jù)保存和恢復(fù)，從而保證實驗室內(nèi)部重要數(shù)據(jù)的安全。機房地板隔層鋪設(shè)防靜電地板，機房還配備煙感溫感聯(lián)合報警器，既能保證防火安全，又能有效降低誤報率。

3.4重視師生安全教育

實驗室定期開展師生的安全教育，增加安全防范意識，首先是對實驗室人員培訓(xùn)如何正確使用滅火器以及對突發(fā)事件的處置，全體教師和值班員接受對突發(fā)事件處理的培訓(xùn)。新生一入學(xué)就分發(fā)實驗室安全手冊，做到人手一冊，同時要求全院師生必須認(rèn)真閱讀和嚴(yán)格遵守。加強對新上崗人員和首次進入實驗室的學(xué)生進行安全培訓(xùn)。新生進入實驗室的第一次課就是關(guān)于實驗室安全制度和實驗室使用注意事項的教育，以提高學(xué)生的安全防范意識。對進入實驗室做畢業(yè)設(shè)計、創(chuàng)新實驗室和各科研實驗室的學(xué)生加強安全知識和安全措施的學(xué)習(xí)，安全政策的宣傳，安全案例的警示，提高執(zhí)行制度的自覺性和安全防范的主動性[8]。

3.5定期開展安全檢查

為了保證我校計算機學(xué)科實驗室的使用安全，在每個學(xué)期開學(xué)前和放假后，實驗室都會組織所有實驗管理技術(shù)人員對各個實驗室內(nèi)配備的實驗設(shè)備及安全設(shè)施進行逐一檢查。在日常使用過程中，各個實驗室都會經(jīng)常進行安全自查和檢修，確保所有的計算機設(shè)備都處于最佳運行狀態(tài)，最大限度降低由于設(shè)備故障而導(dǎo)致的安全隱患。在每學(xué)期的最后一周，由學(xué)校實驗室建設(shè)與設(shè)備管理處牽頭，開展期末計算機學(xué)科實驗室安全檢查，要求實驗教學(xué)中心各個機房重視實驗設(shè)備的安全操作和科學(xué)管理，落實實驗環(huán)境安全管理和實驗室整潔狀況的檢查。此外，實驗室嚴(yán)格執(zhí)行學(xué)校推行的安全責(zé)任人制度，認(rèn)真落實各個實驗室的安全責(zé)任人，確保實驗設(shè)備和實驗室的安全有專人負(fù)責(zé)，真正做到責(zé)任落實到個人，安全落實到細(xì)節(jié)。

4結(jié)語

計算機學(xué)科實驗室的安全管理需要我們科學(xué)規(guī)劃、合理布局和統(tǒng)籌安排。針對我校計算機學(xué)科實驗室安全所遇到的關(guān)鍵問題，從環(huán)境安全、制度規(guī)范，設(shè)備保障和安全教育等措施進行有利的保證。隨著信息技術(shù)和各種新技術(shù)的出現(xiàn)，計算機學(xué)科實驗室又將迎來新的安全問題，實驗室管理人員只有堅持學(xué)習(xí)，多走出去，多交流研討，努力探索，提高自身的業(yè)務(wù)水平，才能更好地保證計算機學(xué)科實驗室的安全，提高我校計算機學(xué)科的實驗教學(xué)質(zhì)量，從而在一定程度上促進學(xué)生的動手能力和創(chuàng)新能力的提高，為我校的計算機學(xué)科發(fā)展提高堅實的基礎(chǔ)保障，為我校建設(shè)省級高水平大學(xué)做出應(yīng)有的貢獻。

參考文獻：

[1]謝瑞杰.高職院校計算機實驗室建設(shè)與策略探討[J].福建電腦,2015(7):131-132.

[2]胡建,徐汶.高校實驗技術(shù)人員崗位意識初探[J].實驗室科學(xué),2007(3):183-185.

[3]賈雅娟.分析計算機系統(tǒng)安全問題及對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,(05):73-74.

[4]余觀夏,吳林根.淺析高校實驗室安全與環(huán)境保護存在的問題[J].實驗室研究與探索,2014,33(9):296-300.

[5]馬曉燕,張文娟.新建本科院校計算機實驗室的管理[J].電子制作,2015(4z):133-134.

[6]周曉蘭,廖志鵬.論高校計算機實驗教學(xué)中科學(xué)精神的培養(yǎng)[J].實驗室研究與探索,2012,31(8):97-100.

[7]孫艷.環(huán)境科學(xué)與工程實驗室安全與環(huán)保管理實踐[J].實驗技術(shù)與管理,2014,v.31;No.213(6):169-171.

[8]王凡,陳純煉.基于桌面云的高校計算機實驗室組建與管理[J].實驗科學(xué)與技術(shù),2015,13(3):190-193.

第8篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

關(guān)鍵詞：檔案；風(fēng)險；管理；安全

人事檔案隨著人事制度的改革，其工作也發(fā)展到了網(wǎng)絡(luò)化和信息化的階段，基于電子化的認(rèn)識，檔案的管理模式發(fā)生了從管檔案到提供服務(wù)的過渡轉(zhuǎn)變。同時，信息化的環(huán)境下各種各樣的危險因素和隱患都會導(dǎo)致人事檔案信息的泄露、篡改等，影響到人事檔案的真實性、完整性、系統(tǒng)性。有鑒于此，本文主要對人事檔案在信息時代的安全策略進行研究。

一、電子檔案信息的基本特征

電子檔案信息屬于檔案信息,除了網(wǎng)絡(luò)化特征的共享性、流動性之外，還具有檔案信息的基本特點：

（一）本源性特征。電子檔案信息是基于人類生活和生產(chǎn)中的記錄信息，其具有十分顯著的本源特征。這也是電子檔案信息和非檔案信息的本質(zhì)區(qū)別。

（二）回溯性特征。信息檔案中的記錄內(nèi)容是對已經(jīng)產(chǎn)生的一些歷史、活動等信息的記載，這個過程作為一種記錄性的內(nèi)容具有明顯的回溯特征。相對于紙質(zhì)檔案，其回溯功能更為簡便。

（三）聯(lián)系性特征。電子檔案信息中便顯出時間、形式、來源、內(nèi)容上的關(guān)聯(lián)，盡管是以文件單體的形式形成，但卻是以文件組合的形式而存在和運動的。因而，具有顯著的聯(lián)系特征。

（四）分散性特征。在微觀上，電子檔案的形成有著階段性、過程性的特點，在時間和內(nèi)容上被分散和分割。因而，在整體上看信息內(nèi)容雜亂、零散。在宏觀上電子檔案的形成數(shù)量和內(nèi)容上多樣化、層次不一，職能不同，檔案的形成具有分散性和廣泛性。除此之外，電子檔案還具有網(wǎng)絡(luò)和計算機軟硬件的依賴性特征，存儲的高密度特征、信息構(gòu)成的復(fù)雜性特征等。

二、電子人事檔案信息的安全需求

人事檔案是反映個人的社會經(jīng)歷和工作實踐的信息記載，也是一個人技術(shù)水平、業(yè)務(wù)素質(zhì)、工作能力和思想品質(zhì)的反映，無論是國有的企事業(yè)單位的錄用還是民營公司的招聘中，都無一例外的會對個人的檔案信息進行查閱。人事檔案信息依賴于計算機的操作系統(tǒng)、軟件和硬件以及計算機技術(shù)和網(wǎng)絡(luò)技術(shù)，因而對互聯(lián)網(wǎng)具有較大的依賴性，而互聯(lián)網(wǎng)是一個開放式的平臺，安全保障是重點?？偟膩碚f，人事電子檔案的安全需求在以下幾點：

（一）實體安全保護。實體安全保護指的是電子人事檔案的存儲的載體，也就是計算機的硬件平臺，系統(tǒng)設(shè)備和相關(guān)的物理設(shè)施。實體安全是電子人事檔案的前提，實體的安全若無法保證，整個電子檔案的安全就無從談起。

（二）軟件安全保護。軟件安全保護主要是保障電子檔案信息在一定的軟件環(huán)境下的安全操作，使檔案信息避免被篡改、復(fù)制或是惡意的破壞。主要包括軟件的自身安全、存儲安全、通信安全以及使用運行安全等。

（三）信息內(nèi)容的安全。這里主要指的是電子檔案信息的數(shù)據(jù)安全。這是電子檔案安全中的最重要的內(nèi)容，包括數(shù)據(jù)的完整性保護、存儲數(shù)據(jù)庫的保護、檔案數(shù)據(jù)的完整有效性等。

（四）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全保護主要是針對計算機網(wǎng)絡(luò)及其節(jié)點面臨的威脅和網(wǎng)絡(luò)的脆弱性而采取的防護措施。

三、影響電子人事檔案安全的因素

網(wǎng)絡(luò)環(huán)境下，電子人事檔案的管理存在著許多的隱患和潛在的危險，主要影響因素表現(xiàn)在以下幾個方面：

（一）電子人事檔案的信息基礎(chǔ)設(shè)施落后。這里主要包括計算機的網(wǎng)絡(luò)系統(tǒng)、通信系統(tǒng)和電力分配系統(tǒng)等，這些系統(tǒng)對信息的安全至關(guān)重要。但是，實踐中當(dāng)前的硬件設(shè)施條件無法匹配完全管理的需要，使得人事檔案的信息管理工作任務(wù)繁重，許多設(shè)備常常故障運行、運行環(huán)境較差、設(shè)備的兼容性較差、信息保存的環(huán)境惡劣，導(dǎo)致人事系統(tǒng)中的數(shù)據(jù)不可讀取、丟失或被毀壞，嚴(yán)重威脅到電子人事檔案的安全。

（二）電子人事檔案的軟件系統(tǒng)環(huán)境薄弱。在最初的軟件環(huán)境的構(gòu)建中就忽視了一些漏洞的存在，存在嚴(yán)重的漏洞風(fēng)險，加上軟件自身的安全缺陷和設(shè)計初期的遺留問題，給電子人事檔案留下了致命的短板。此外，網(wǎng)絡(luò)管理人員在人事檔案的流轉(zhuǎn)中未能發(fā)揮作用，對信息的基本加密、傳送和存儲處理等控制措施沒有安全配置，導(dǎo)致了人事信息受到安全威脅。

（三）人事信息的管理不善。檔案的安全管理法規(guī)和制度尚未健全，加之管理人員的業(yè)務(wù)素質(zhì)、責(zé)任心等因素的影響都將給人事信息的管理帶來安全風(fēng)險。

（四）不法分子的惡意攻擊。由于主觀和客觀上的原因，導(dǎo)致了許多不法分子惡意的攻擊、損毀、竊取和篡改人事信息的案例，網(wǎng)絡(luò)黑客頻繁地攻擊計算機系統(tǒng)，破壞數(shù)據(jù)庫。主觀上的盜取信息這無疑是最為嚴(yán)重的安全風(fēng)險。

四、保證電子人事檔案安全的對策

無論是實體的安全還是虛擬的安全，當(dāng)前電子人事檔案的管理上和技術(shù)上都存在著一些明顯的缺陷和不足。為了應(yīng)對安全風(fēng)險，保證電子人事檔案的安全，應(yīng)從以下幾個方面展開對策：

（一）強化人事檔案的安全意識。無論是檔案的管理人員、系統(tǒng)的平臺維護人員還是信息的使用人員，都應(yīng)樹立科學(xué)的檔案安全意識，將防御和防治結(jié)合起來，以防為主，防治結(jié)合的方針要嚴(yán)格貫徹，提升人員的責(zé)任感、安全感。認(rèn)識到檔案管理的重要性和網(wǎng)絡(luò)安全的重要性，開展安全教育，將檔案安全貫徹到每個人的頭上。

（二）建立檔案信息安全的保障體系。簡單地從每一個環(huán)節(jié)上保障安全是不夠的，需要聯(lián)動地將每個環(huán)節(jié)都聯(lián)系起來，建立一個整體性的保障體系措施。因而需要從戰(zhàn)略角度來構(gòu)建保障體系，考慮法律制度、法規(guī)條文、組織管理、產(chǎn)業(yè)發(fā)展、基礎(chǔ)設(shè)施等，將技術(shù)措施、管理措施、法律約束融合為一體，讓保障體系在根本上保障信息安全，確保信息的不泄密、不損壞、不丟失。

（三）完善相應(yīng)的技術(shù)標(biāo)準(zhǔn)。規(guī)范化信息標(biāo)準(zhǔn)主要是針對數(shù)據(jù)庫的運行規(guī)范、信息的使用規(guī)范做出一定的約束限制，避免因為主觀上的失誤導(dǎo)致信息的安全風(fēng)險，通過多種形式制定適合于自身的保護和保密制度，將技術(shù)和法規(guī)協(xié)調(diào)，實現(xiàn)人事工作的安全協(xié)調(diào)，共同防護安全風(fēng)險。

（四）建立安全保障機制。前面的措施主要的都是防范措施，一旦發(fā)生了信息的泄露或是發(fā)生了安全風(fēng)險，如何來積極應(yīng)對也應(yīng)提前規(guī)劃布局。人事信息的管理部門應(yīng)完善和出臺適用自身信息安全的預(yù)警系統(tǒng)和響應(yīng)機制，對可能發(fā)生的危機和后果進行提前預(yù)判和估計，做好應(yīng)急準(zhǔn)備，完善防范手段，提升安全處置能力。建立人員的管理制度、技術(shù)管理制度、病毒防護制度等。加強日常安全風(fēng)險排查活動，進行必要安全風(fēng)險的演練，開展各式各樣的安全培訓(xùn)活動，提升防護和防治技能。大數(shù)據(jù)時代，信息的電子化的趨勢給檔案館帶來了一定的改變和沖擊，檔案信息的收集和管理也出現(xiàn)了一些新的問題，其中最為突出的當(dāng)屬信息的安全問題。研究電子檔案的信息安全是對傳統(tǒng)檔案管理研究的拓展，這對檔案學(xué)的相關(guān)研究和發(fā)展理論有著一定的推動作用。在未來的實踐中，檔案安全應(yīng)作為主要的研究方向，進一步從多角度、多維度展開深入研究。

參考文獻：

[1]何莎.電子檔案的形成及保護[J].檔案.2011(02)

第9篇：云計算網(wǎng)絡(luò)安全培訓(xùn)范文

沒有安全，何以生存，遑論發(fā)展；而信息時代安全的核心內(nèi)容之一，便是信息安全。蓋緣于此，世界上主要發(fā)達國家始終十分重視信息安全工作。

1998年5月22日，美國克林頓政府頒布了《保護美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（PDD63），圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會等10余各全國性機構(gòu)。同年，美國國家安全局（NSA）制定了《信息安全保障框架》（IATF），提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》，首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會，并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》。奧巴馬總統(tǒng)上臺不久，就親自主導(dǎo)了為期60天的信息安全評估項目，并于2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，并提出相應(yīng)的行動計劃。在此基礎(chǔ)上，美國政府成立了網(wǎng)絡(luò)安全辦公室，任命了網(wǎng)絡(luò)安全協(xié)調(diào)官。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部，于2010年10月正式運行。2015年年底，美國《網(wǎng)絡(luò)安全法》獲得正式通過，成為美國當(dāng)前規(guī)制網(wǎng)絡(luò)安全信息共享的一部較為完備的法律，首次明確了網(wǎng)絡(luò)安全信息共享的范圍，并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容，規(guī)范國家網(wǎng)絡(luò)安全增強、聯(lián)邦網(wǎng)絡(luò)安全人事評估及其他網(wǎng)絡(luò)事項。

俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護法》，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責(zé)任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出，“保障國家安全應(yīng)把保障國家經(jīng)濟安全放在第一位”，而“信息安全又是經(jīng)濟安全的重中之重”。2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》，明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。

我國政府高度重視信息安全工作，早在1994年，國務(wù)院便以147號令頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》；2003年國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》；2006年公布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》和《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，確定了4大公共事件及網(wǎng)絡(luò)信息安全事件的應(yīng)急措施預(yù)案；2007年制定了《國家突發(fā)事件應(yīng)對法》。此外，信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視，目前已上升為國家戰(zhàn)略。相應(yīng)地，信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設(shè)中不可或缺的內(nèi)容，氣象部門也不例外。

信息安全是一個永恒的主題，信息安全工作永遠(yuǎn)沒有終結(jié)的一刻。在國家大力倡導(dǎo)信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應(yīng)用和信息安全的現(xiàn)在，認(rèn)真系統(tǒng)地回顧和審視氣象信息安全工作，是完全必要的，因為這可使我們及早發(fā)現(xiàn)問題、查漏補缺，使氣象信息安全工作進一步發(fā)揮出應(yīng)有的作用。

二、信息安全的本質(zhì)

（一）信息安全的內(nèi)涵和特征

信息是氣象部門最寶貴的資產(chǎn)，是氣象部門賴以立身的最為珍貴的資源。因此，必須對所有氣象信息進行妥善的保護。

按業(yè)界的規(guī)范定義，信息安全主要指信息的保密性、完整性和可用性的保持，即：通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取業(yè)務(wù)回報。其中：保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息；完整性是指保證信息和處理方法的正確性和完整性；可用性則是指確保那些已被授權(quán)的用戶在其需要的時候，確實可以訪問到所需信息。此屬常識，不予展開。

信息安全具有如下特征：

1. 信息安全是系統(tǒng)的安全

信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用，所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野，予以充分的關(guān)注和考慮。此外，信息安全是整體的安全，所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個相對完整的系統(tǒng)，它的安全直接關(guān)系到信息的安全。

2. 信息安全是動態(tài)的安全

信息的安全保障是一個動態(tài)的過程，沒有永久的安全，也不存在滿足信息安全的充分條件，信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的，而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進步，約束條件必然發(fā)生變化，而約束條件的變化又將必然導(dǎo)致信息安全方針、策略和措施的相應(yīng)調(diào)整和變化。

3. 信息安全是無邊界的安全

網(wǎng)絡(luò)的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊，傳統(tǒng)意義上的國界、前方和后方正在消失，人們幾乎可以從任何地點、任何時間對任何對象發(fā)起網(wǎng)絡(luò)攻擊，因此信息安全是廣泛的、無國界的，它無法單憑一個國家、地區(qū)或部門就能完全控制，需要從全球信息化角度綜合考慮和整體布局。

4. 信息安全是非傳統(tǒng)的安全

傳統(tǒng)的具有典型外在物理特征的安全因素（如：軍事、自然災(zāi)害、人為暴力破壞等等）已無法涵蓋信息安全所應(yīng)考慮的全部范疇。在沒有諸如軍事入侵、自然災(zāi)害、傳統(tǒng)意義上的恐怖襲擊等情況下，信息和信息系統(tǒng)的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴(yán)重威脅。國家的電信、金融、能源、交通等核心領(lǐng)域，氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng)，可能在極短的時間內(nèi)被攻擊癱瘓，導(dǎo)致社會運轉(zhuǎn)的癱瘓和氣象業(yè)務(wù)的崩潰，而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實質(zhì)性的損傷。

信息安全既是信息技術(shù)問題，也是組織管理問題。因為信息安全最終必將落實到信息系統(tǒng)的安全層面上，并最終由一個個具體的信息技術(shù)和相關(guān)產(chǎn)品的有機組合予以實現(xiàn)，沒有符合實際的明確的安全目標(biāo)和方針、科學(xué)的設(shè)計、認(rèn)真的維護、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決，是無法有效地形成安全環(huán)境的；就一個部門而言，一個相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學(xué)設(shè)計以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設(shè)計，方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題，更是組織管理問題，無法單憑技術(shù)手段予以解決。

此外，從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮，信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍，故不予展開。

（二）信息安全的一些認(rèn)識誤區(qū)

應(yīng)當(dāng)承認(rèn)，由于各種原因，至今氣象部門的一些同事中，對信息安全仍存在一定的認(rèn)識誤區(qū)，以下問題應(yīng)予充分重視：

1. 單純的安全技術(shù)和產(chǎn)品的應(yīng)用不能解決信息安全

信息安全問題并非單純的技術(shù)問題，信息安全技術(shù)和產(chǎn)品的簡單應(yīng)用并不意味著部門整體的信息安全，不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠(yuǎn)程通信采用VPN技術(shù)后，部門的信息安全問題便可基本解決。事實上，諸如防火墻、堡壘機、殺毒軟件等安全產(chǎn)品，僅僅是構(gòu)建部門信息安全防護體系的磚石，如果沒有科學(xué)的整體設(shè)計和有效的實施方案，單憑磚石和瓦塊的簡單甚至隨意堆壘，是無法構(gòu)建成有效的安全防護體系的。因此：

防火墻+ 堡壘機+ 殺毒軟件≠信息安全

2. 業(yè)務(wù)連續(xù)性的有效保障不能替代部門的信息安全

業(yè)務(wù)連續(xù)性的有效保障是部門行政領(lǐng)導(dǎo)最為關(guān)注的安全問題之一，為此往往不惜代價不計成本，而建立業(yè)務(wù)備份中心或災(zāi)難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全，因為業(yè)務(wù)連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇，如果不同時考慮信息的保密性和完整性，同樣無法從整體上解決部門的信息安全問題；而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此：

備份中心≠信息安全

3. 網(wǎng)絡(luò)防御不能代替信息安全

傳統(tǒng)意義上的網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)架構(gòu)安全，側(cè)重于網(wǎng)絡(luò)自身的健壯性以及抗網(wǎng)絡(luò)攻擊的能力。然而如果網(wǎng)絡(luò)上運行的系統(tǒng)自身存在一定缺陷、軟件存在BUG，以及人為操作失誤（如：誤刪除、誤修改等），則上述內(nèi)容和措施便將束手無策。所以，網(wǎng)絡(luò)的抗攻擊和抗偷盜能力不能完全解決信息安全問題。

類似的認(rèn)識誤區(qū)還有若干，限于篇幅，不再枚舉。

三、基于風(fēng)險管理的信息安全管理

（一）信息安全管理

統(tǒng)計結(jié)果表明，在所有信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，其余的70%～80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)：安全問題實際上都是人的問題，單憑技術(shù)手段是無法予以根本解決的。

信息安全是一個多層面、多因素的過程，如果僅憑一時的需要，頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品，難免掛一漏萬、顧此失彼，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全的整體水平。

對于信息安全而言，技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。如同磚瓦建材需要良好的設(shè)計和施工才能搭建成堅固耐用的建筑，安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實充分證明，管理良好的系統(tǒng)遠(yuǎn)比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此，先進科學(xué)的、易于理解且方便操作的安全策略對信息安全至關(guān)重要；而建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會擁有持續(xù)的安全。

所謂信息安全管理，是指部門或組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒?，而進行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動和過程；是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產(chǎn)的一項體制；是部門或組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下，保證將安全風(fēng)險控制在可接受的范圍之內(nèi)。

信息安全管理包括：安全規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認(rèn)證等多方面內(nèi)容。

（二）基于風(fēng)險的信息安全

1. 安全和風(fēng)險

步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全，但即使在家中，也仍有因行走或站立不穩(wěn)而跌倒的可能，不如身邊陪有專人看護安全；然即便家中有專人看護，也不如將老人長期安置在醫(yī)院，在全套設(shè)備和專業(yè)醫(yī)護人員看護下安全，如此等等。可見，所謂安全都是相對而言的，沒有絕對的安全；而安全的效果或等級越高，往往付出的代價或成本也越高，信息安全也是如此。

安全是相對于風(fēng)險而言的，某種安全水平的達到意味著某種或某類風(fēng)險的得以規(guī)避：雙機熱備技術(shù)可以避免單點故障所導(dǎo)致的業(yè)務(wù)中斷，兩地三中心災(zāi)備模式可以保證即便在發(fā)生局地嚴(yán)重災(zāi)害時部門業(yè)務(wù)的連續(xù)性。但絕對的安全是沒有的：雙機熱備技術(shù)無法避免供電系統(tǒng)故障的風(fēng)險，而大型隕石撞擊地球，將導(dǎo)致生態(tài)系統(tǒng)的崩潰和物種滅絕，遑論災(zāi)備兩地三中心以及部門業(yè)務(wù)連續(xù)性了。

然而，風(fēng)險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災(zāi)備模式無法應(yīng)對地球遭遇大型隕石撞擊的毀滅性災(zāi)害，但該災(zāi)害發(fā)生的可能性卻微乎其微，未來數(shù)百年幾乎沒有可能。因此此災(zāi)雖然為害甚烈，但發(fā)生的可能性卻幾近于零，不必予以考慮。

2. 風(fēng)險管理

絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險也是不現(xiàn)實的。同時，規(guī)避風(fēng)險是需要代價的，規(guī)避的風(fēng)險種類越多，所付出的代價往往越大。就計算機系統(tǒng)而言，安全性越高，其可用性往往越低，需要付出的成本也越大。因此，信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。亦即，需要在安全性和可用性，以及安全性和成本投入之間做出一種平衡。

所以，根本上說，信息安全是一個風(fēng)險管理過程，而不是一個技術(shù)實現(xiàn)過程。

風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里，利用有限的資源把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略等。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使導(dǎo)致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風(fēng)險較低的事件則押后處理。

風(fēng)險管理的首要內(nèi)容之一，是風(fēng)險識別和風(fēng)險評估。因為，信息安全體系的建立首先需要確定信息安全的需求，而獲取信息安全需求的主要手段就是安全風(fēng)險評估。因此，信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)；沒有風(fēng)險評估，信息安全管理體系的建立就沒有依據(jù)。

風(fēng)險管理的另一項重要內(nèi)容，就是對風(fēng)險評估的結(jié)果進行相應(yīng)的風(fēng)險處置，只有對已知風(fēng)險逐一進行有針對性的妥善處置，才能化解和規(guī)避這些風(fēng)險，達到信息安全的目的。因此，風(fēng)險處置是信息安全的核心。從本質(zhì)上講，風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合；而控制目標(biāo)、控制手段、實施指南的邏輯梳理、以形成這些風(fēng)險控制措施集合的過程，就是信息安全體系的建立過程。亦即，信息安全管理體系的核心就是這些最佳控制措施的集合。

需要強調(diào)的是，由于信息安全風(fēng)險和事件不可能完全避免，因此信息安全管理必須以風(fēng)險管理的方式，不求完全消除風(fēng)險，但求限制、化解和規(guī)避風(fēng)險。而好的風(fēng)險管理過程可以讓氣象部門以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平，使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源，確定風(fēng)險處置優(yōu)先級，更好地管理風(fēng)險，而不是將保貴的資源用于解決所有可能的風(fēng)險。

事物是在不斷變化的，新的風(fēng)險不斷出現(xiàn)，因此風(fēng)險管理過程需要不斷改進、完善、更新和提高。

四、當(dāng)前氣象信息安全存在的問題

盡管氣象部門至今尚未發(fā)生重大信息安全事件，但這并不能說明氣象部門的信息安全工作已萬事大吉，信息安全體系固若金湯。依照信息安全管理的規(guī)范考察，氣象部門的信息安全工作至少存在如下問題：

（一）基礎(chǔ)工作存在缺失

1. 信息安全目標(biāo)

通常意義下的信息安全目標(biāo)，一般都是確保信息的機密性、完整性、可用性，以及可控性和不可否認(rèn)性等等。但部門不同，具體的情況不同，安全性需求的程度、信息安全所面臨的風(fēng)險、付出的代價也各有不同；如：就信息的機密性而言，軍事部門的要求遠(yuǎn)遠(yuǎn)高于氣象部門；而就信息的可用性而言，氣象部門對業(yè)務(wù)連續(xù)性的要求也較土地勘測管理部門為高。因此，泛泛的信息安全目標(biāo)沒有任何意義，所有可用的信息安全目標(biāo)都是切合部門具體實際情況的，是本土化、部門化的。

沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標(biāo)，是目前存在的突出問題。

必須明確，氣象部門信息安全目標(biāo)的確定，是管理層的職責(zé)。管理層對信息安全目標(biāo)的要求，決定了氣象部門信息安全工作的走向。氣象信息業(yè)務(wù)部門負(fù)責(zé)氣象信息安全既定目標(biāo)的具體落實，其工作的質(zhì)量和效率，決定了氣象部門是否能夠達到信息安全管理的目標(biāo)。

2. 信息安全方針

信息安全方針是為信息安全工作提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及相應(yīng)的支持舉措。信息安全方針應(yīng)該做到：對本部門的信息安全加以定義，陳述管理層對信息安全的意圖，明確分工和責(zé)任，約定信息安全管理的范圍，對特定的原則、標(biāo)準(zhǔn)和遵守要求進行說明，等等。氣象部門的信息安全方針至少應(yīng)當(dāng)說明以下問題：氣象信息安全的整體目標(biāo)、范圍以及重要性，氣象信息安全工作的基本原則，風(fēng)險評估和風(fēng)險控制措施的架構(gòu)，需要遵守的法規(guī)和制度，信息安全責(zé)任分配，信息系統(tǒng)用戶和運行維護人員應(yīng)該遵守的規(guī)則，等等。

遺憾的是，以此為基本內(nèi)容的信息安全方針，至今在氣象部門尚未確立。

3. 信息安全組織機構(gòu)

為有效實施部門的信息安全管理，保障和實施部門的信息安全，在部門內(nèi)部建立信息安全組織架構(gòu)（或指定現(xiàn)有單位承擔(dān)其相應(yīng)職責(zé)）是十分必要的。

在一個部門或機構(gòu)中，安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙。因此，建立信息安全組織并落實相應(yīng)責(zé)任，是該部門實施信息安全管理的第一步。這些組織機構(gòu)需要高層管理者的參與（如本部門信息化領(lǐng)導(dǎo)小組），以負(fù)責(zé)重大決策，提供資源并對工作方向、職責(zé)分配給出清晰的說明，等等。此外，信息安全組織成員還應(yīng)包括與信息安全相關(guān)的所有部門（如行政、人事、安保、采購、外聯(lián)），以便各司其責(zé)，協(xié)調(diào)配合。

遺憾的是，類似的組織機構(gòu)在氣象部門內(nèi)即便已經(jīng)存在，至今也未真正履行其應(yīng)負(fù)的職責(zé)。

4. 信息資產(chǎn)管理

信息資產(chǎn)管理的主要內(nèi)容包括：識別信息資產(chǎn)，確定信息資產(chǎn)的屬主及責(zé)任方，信息資產(chǎn)的安全需求分類，以及各類信息資產(chǎn)的安全策略和具體措施，等等。

就氣象部門而言，對信息資產(chǎn)（即：氣象信息資源和氣象信息系統(tǒng)）進行識別、明確歸屬以及分類等工作，有利于信息安全措施的有效實施。以分類為例：我們知道，對某特定氣象資料或業(yè)務(wù)系統(tǒng)實施過多和過度的保護不僅浪費資源，而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運行；而若保護不力，則更可能導(dǎo)致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患，乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進行分類，可明確界定各具體資產(chǎn)的保護需求和等級，如此可以根據(jù)類別的不同，調(diào)整合適的資源、財力、物力，對重要的氣象信息資源和系統(tǒng)實施有針對性的、符合其特點的信息安全重點保護，如此等等。

同樣遺憾的是，氣象部門至今尚未實施真正意義上的完整的氣象信息資產(chǎn)管理。

類似缺失的基礎(chǔ)工作還有很多，不再枚舉。

基礎(chǔ)工作的缺失，導(dǎo)致氣象信息安全工作的不扎實、不穩(wěn)固，是氣象信息安全工作長期滯后于信息化基礎(chǔ)建設(shè)的主要原因之一。

（二）完整的信息安全管理體系尚未建成

按照ISO的定義，信息安全管理體系（ISMS：Information Security Management System）是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合”。

信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇安全事件控制目標(biāo)和相應(yīng)處置措施等一系列活動，來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估而建立起來的，它體現(xiàn)以預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強調(diào)全過程管理和動態(tài)控制，本著控制費用與風(fēng)險相平衡的原則，合理選擇安全控制方式。該體系同時強調(diào)保護部門所擁有的關(guān)鍵性信息資產(chǎn)（而不見得是全部信息資產(chǎn)），確保需要保護的信息的保密性、完整性和可用性，以最佳效益的形式維護部門的合法利益、保持部門的業(yè)務(wù)連續(xù)性。

由于基礎(chǔ)性工作尚未全部就緒，目前氣象部門尚未建立真正意義上的、基于風(fēng)險管理的科學(xué)而完整的氣象信息安全管理體系。

在氣象部門建立完整的信息安全管理體系，可以對氣象部門的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，在信息系統(tǒng)受到侵襲時確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；并使氣象部門在信息安全工作領(lǐng)域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平。此外，完整的信息安全管理體系的建立，也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心，這一點在當(dāng)前大數(shù)據(jù)應(yīng)用浪潮正在全社會迅速漫延的背景下，尤其重要。

（三）業(yè)務(wù)格局的分散加大了安全管理問題的復(fù)雜度

目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務(wù)層級，而業(yè)務(wù)系統(tǒng)的屬地化，以及諸如“具備業(yè)務(wù)功能意味著擁有業(yè)務(wù)系統(tǒng)、擁有業(yè)務(wù)系統(tǒng)意味著擁有信息資產(chǎn)以及基礎(chǔ)資源和設(shè)施”等傳統(tǒng)觀念的束縛，使得各個業(yè)務(wù)系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面，各級業(yè)務(wù)單位都擁有自己的信息業(yè)務(wù)系統(tǒng)和相應(yīng)的局地信息業(yè)務(wù)環(huán)境。彼此通過內(nèi)部專網(wǎng)（VPN）或甚至通過互聯(lián)網(wǎng)進行互聯(lián)，在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。

由于各級單位都在當(dāng)?shù)負(fù)碛懈髯砸?guī)模不等的信息業(yè)務(wù)系統(tǒng)及相應(yīng)環(huán)境（包括為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫），因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務(wù)單位的廣泛復(fù)制，使得各級業(yè)務(wù)單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出，也為這些數(shù)據(jù)的保密性和完整性（包括一致性）的保持增加了大量變數(shù)。此外，由于編制所限，地縣兩級業(yè)務(wù)單位中IT技術(shù)人員奇缺，既無法保障信息業(yè)務(wù)系統(tǒng)的日常維護，更無法為本單位信息安全提供專業(yè)化管理。

這種業(yè)務(wù)格局的分散，加大了氣象部門信息安全管理問題的復(fù)雜度。

限于篇幅，其余問題不再枚舉。

五、建立完整的氣象信息安全管理體系

綜上所述，在氣象部門建立完整的氣象信息安全管理體系，是非常必要的；就目前全社會所倡導(dǎo)的大數(shù)據(jù)應(yīng)用和云計算趨勢而言，這項工作具有較強的緊迫性，應(yīng)盡早開展相應(yīng)的工作。歸納起來，有如下幾點：

（一）適時著手建立完整的氣象信息安全管理體系

1. 完成基礎(chǔ)性工作

應(yīng)盡早明確信息安全的方針，為氣象部門信息安全工作確定目標(biāo)、范圍、責(zé)任、原則、標(biāo)準(zhǔn)、架構(gòu)和法律法規(guī)。

應(yīng)以適當(dāng)方式組建或明確氣象信息安全的管理和實施機構(gòu)，并確保所有相關(guān)單位能夠悉數(shù)納入其中，明確分工和職責(zé)，以便各司其職，彼此協(xié)調(diào)工作。

應(yīng)在管理層的統(tǒng)一組織下，以適當(dāng)?shù)男问?，全面完成氣象部門內(nèi)部的信息資產(chǎn)普查、歸屬認(rèn)定、安全需求等級劃分以及安全等級保護措施等，制定氣象信息資產(chǎn)管理策略、制度和方法，逐步推廣實施，從而完成氣象信息資產(chǎn)的有效管理。

2. 適時進行信息安全風(fēng)險評估并制訂風(fēng)險處置方案

制定風(fēng)險評估方案、選擇評估方法，以此為依據(jù)完成氣象信息安全風(fēng)險要素識別，發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性，并確定相應(yīng)的控制措施。在此基礎(chǔ)上，對所有風(fēng)險逐一判斷其發(fā)生的可能性和影響的范圍及程度，綜合各種分析結(jié)果，最終逐一判定這些風(fēng)險各自的等級。

在風(fēng)險等級判定的基礎(chǔ)上，以“將風(fēng)險始終控制在可接受范圍內(nèi)”為宗旨，制訂有針對性的風(fēng)險處置方案，包括：可接受風(fēng)險的甄別和確定，不可接受風(fēng)險的控制程度，風(fēng)險處置方式的選擇和控制措施的確定，制訂具體的氣象信息安全方案和綜合控制措施，科學(xué)合理地運用“減低風(fēng)險”、“轉(zhuǎn)移風(fēng)險”、“規(guī)避風(fēng)險”和“接受風(fēng)險”等方法，形成綜合的氣象信息安全風(fēng)險處置方案，并部署實施。

3. 建立完整的氣象信息安全管理體系

在上述工作以及其它相關(guān)工作的基礎(chǔ)上，參照BS 7799-2：2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799：2000《信息技術(shù)-信息安全管理實施細(xì)則》等國際標(biāo)準(zhǔn)，以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準(zhǔn)，完成組織落實、措施落實、方案落實和相應(yīng)文檔的編寫，以及所有相關(guān)的審查、職責(zé)界定和制度建設(shè)，以構(gòu)成氣象部門的信息安全管理體系。

（二）將信息安全管理體系納入氣象信息化戰(zhàn)略之中

信息安全與信息化發(fā)展息息相關(guān)，是一切信息化工作的基礎(chǔ)，涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應(yīng)用部門，氣象業(yè)務(wù)系統(tǒng)是典型的信息系統(tǒng)，因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化，也同樣離不開信息安全。氣象信息安全應(yīng)當(dāng)是氣象信息化工作中最為重要的內(nèi)容之一，氣象信息安全管理體系的構(gòu)建和持續(xù)改進也應(yīng)當(dāng)成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。

信息安全是管理問題而非技術(shù)問題，從某種角度看，信息安全管理體系是以策略為核心，以管理為基礎(chǔ)，以技術(shù)為手段的安全理念的具體落實。有什么樣的理念，就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中，能夠構(gòu)建起科學(xué)完備的信息安全管理體系來。因此，安全管理理念的全面提高和安全意識的充分到位，是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言，著力消除曾長時間彌漫于全部門信息安全領(lǐng)域的重技術(shù)輕管理的觀念，將關(guān)注點從研究安全技術(shù)和產(chǎn)品應(yīng)用轉(zhuǎn)移到信息資產(chǎn)管理、風(fēng)險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來，是其不可推卸的責(zé)任。應(yīng)當(dāng)在全部門倡導(dǎo)信息安全意識、制定并推行信息安全制度、確定信息安全責(zé)任、組織信息安全培訓(xùn)，構(gòu)建起完整的氣象信息安全管理體系。

六、結(jié)語

在政府大力強調(diào)信息安全意識，強力推動信息安全工作的背景下，各行各業(yè)均把信息安全工作列入本部門或單位的工作議程，氣象部門也是如此。但如何科學(xué)有效地構(gòu)建起具有鮮明氣象特色的信息安全防護體系，充分把控所有已知的安全風(fēng)險，使有限的投入得到最大限度的安全回報，這是氣象部門管理層和IT工作者需要認(rèn)真研究并努力實踐的工作。

信息安全首先是意識問題、觀念問題，要想真正打造安全的業(yè)務(wù)環(huán)境，在氣象部門全體員工中（特別是在管理層干部中）樹立良好的安全意識，是至關(guān)重要的。

2014年，在深刻領(lǐng)會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后，氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么，針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷，氣象部門是否也應(yīng)提出相應(yīng)的口號――

“沒有信息安全，就沒有氣象業(yè)務(wù)安全”。