信息安全技能培训体系论文(精选8篇)
论文在简要分析当前信息安全技能培训现状的基础上,重点从教学内容、教学评价、教学管理和教学质量四方面入手,探讨了我国信息安全技能培训体系的构建路径,以期为我国信息安全现代化建设提供有益借鉴。
1 引言
新时期,结合信息安全技能培训现状,构建完善的教学体系,明确技能培训目标,完善教学管理体制,改进人才考核方式,加强质量保障建设,有利于提高信息安全人才培养的规范化、科学化和标准化,提高信息安全人才队伍整体质量和水平,对保障国家信息安全都有着非常重要的现实意义。
1. 安全培训事关矿区安全生产状况的稳定好转和企业可持续发展。
稳定煤矿安全生产局面, 遏制事故多发的态势, 在落实管理、装备、培训三并重原则的同时, 必须注重从根本上抓好职工安全素质培训。针对煤矿职工队伍文化素质较低的现状, 抓好安全培训是提升职工安全素质的一项重要任务, 也是建立安全生产长效机制, 大幅度减少生产安全事故, 实现安全生产形势根本好转的治本之策。构建科学合理的安全培训体系是促进安全发展, 全面提高煤矿职工安全意识和自我保护能力的有效措施。
2. 加强培训体系建设是煤矿企业持续、健康发展的需要。
煤矿不遏制事故, 事故就会摧毁企业。落实管理、装备、培训三并重的原则, 针对安全培训基础较为薄弱, 缺乏高素质的安全管理、技术管理和现场操作人员的状况, 要增强安全培训的针对性和实效性, 满足现场实际工作需要。加强培训的针对性和实效性是培训体系建设的重要环节, 也是提高职工的安全素质和安全生产技能的治本之策。
3. 构建煤矿安全培训体系是安全培训的灵魂。
培训工作适应煤矿安全发展的需要, 做到健康发展必须建立健全安全培训体系, 从计划、管理、实施、监控等环节形成一个纵向到边、横向到底, 上下联动、相互监督的闭路循环机制, 通过各环节之间高效运行, 保证培训质量。国投新集公司是由国家开发投资公司控股的国家大型一档股份制企业, 也是两淮地区首家上市的煤炭企业。矿区1989年12月开发建设, 现有职工2万余人, 四对生产矿井, 两对在建矿井, 五对规划建设矿井, 经国家发改委批复年设计生产规模为3 590万吨, 列入全国13个亿吨煤基地之一的两淮煤炭基地。2007年以来, 生产能力连续突破1 000万吨, 年利润稳居10亿多元, 总资产160多亿元。公司安全培训工作突出一个中心, 健全两个体系, 遵循三个原则, 坚持四个统一, 确保五个落实, 把好六道关口。针对矿区快速发展职工队伍迅速扩大的实际, 以新工人培训为中心, 健全安全培训体系和监管体系, 遵循依法培训、学以致用、教考分离原则, 坚持同一工种统一教学大纲、统一培训教材、统一考核标准、统一持证样式, 确保机构、师资、场所、计划、经费落实, 把好学员的入学关、考勤关、课时关、内容关、考核关、发证关。从宏观上把握住了安全培训工作的重点和主线。围绕培训体系建立7章50条《新集公司安全培训工作实施办法》, 明确了“什么是培训、培训工作谁领导、谁监管、谁落实、怎样干、怎样才算干好、干不好怎样处理”等具体问题, 以此作为培训工作的标准, 起到了较强的指导、规范和纠偏作用。近期该公司编制了人力资源培训中长期发展规划, 规范未来五年人力资源培训战略目标、指导思想、工作方针以及各类培训的具体规划。旨在调动各矿培训积极性、增强培训吸引力、全面提高人才培养质量。使职工培训计划、方案、考核、评估得到规范。近年来, 每年举办各类培训班180余期, 每年培训量15 000人次, 年培训率在120%以上, 职工队伍素质显著提高。
二、煤矿安全培训体系建设的存在问题
1. 安全培训缺乏系统的理论指导和理性思考, 存在随意性, 导致培训管理与企业发展战略脱节, 与人力资源能力提升脱节。没有突出针对性、实践性、应用性, 造成培训资源的浪费, 给培训工作的长远发展留下隐患。
2. 缺乏以人为中心的原则。没有把教师、学员视为一种教学资源来开发, 教师缺乏教学管理主观能动性和创造性, 处在要我培训的状态, 没有调动我要培训, 抓好培训的积极性。
3. 四级培训基地缺乏有效制约, 培训工作没有立足全局, 没有从战略角度规划安全培训工作, 缺乏完整的培训体系, 硬件设施不到位, 专兼职教师缺失, 只注重培训期数和人数, 忽视培训质量, 缺乏针对性的问题。
三、安全培训体系的设计
为提高培训质量, 增强煤矿安全培训的针对性和实效性, 要从培训管理思路、培训课程体系、培训授课方法、实训基地建设、试题库建设、培训考核标准化等方面进行探索和创新, 重点是提高安全培训的针对性和实效性, 不断满足生产现场的需要。培训体系的设计主要是培训需求调研分析、培训方案策划制定、培训过程质量控制、培训效果评估反馈四个方面, 这些环节形成闭路循环, 互相制约相辅相成。
1. 培训需求调研分析。
培训活动开展之前, 对参培单位和学员的类型、知识和技能等方面深入矿井班组进行调研。调研分析是培训的基础工作, 忽视需求分析, 导致培训对象文化素质、专业素质和现场实际情况掌握不够具体, 培训效果事倍功半。培训需求分析主要有组织分析、现场分析、教学和学员分析、前瞻性分析等几种方法。新集矿区每月都到各矿基层班组调研, 摸清受训单位和学员的需求, 学历层次、年龄结构等情况, 在调研分析的基础上, 通过科学定位, 编制培训计划, 制定实用的课程体系、教学内容, 强化过程控制, 取得较好的培训效果, 2009年培训9 600多人次, 合格率达95%。
2. 培训方案策划制定。
培训策划是以安全素质提高为导向, 岗位与能力匹配为原则, 为专项培训建立一套完善的培训管理制度与培训流程, 辅助企业落实培训计划。策划内容主要包括:培训需求分析、培训课程内容介绍、教师介绍、培训目标、培训对象、培训方法、教学设备和场地需求、培训日程安排、学员调查问卷、学员考核方式等方面的内容等环节。凡事预则立, 不预则废。前期的准备工作是培训项目成败的重要环节, 它直接影响着培训的成果和效益。通过预先进行方案设计, 充分体现培训策划的科学性、合理性和可行性。煤矿安全培训课程体系是涉及多学科的系统工程, 建立适应安全发展需求、体现成人教育特色的课程体系, 必须摆脱传统培训方法方式的思想束缚, 不断总结创新煤矿安全培训的新模式, 使授课内容针对性强、安全知识面广、专业内容新、课堂气氛活跃的模块化安全培训课程体系, 课程设置体现培训对象的特点、岗位相关性、新技术的应用。建立起基础课厚、专业课精、事故案例课宽、安全文化课细的模块化安全培训课程体系。
3. 培训过程质量控制。
培训过程质量管理是对培训过程进行动态有效地控制。有效的培训控制需要良好的管理作为保障, 一是管理制度建设。为保证培训有序开展, 必须有一套行之有效的管理体系来保证。培训管理内容主要是培训制度、培训激励制度、考核评估制度、培训奖惩制度。规范的领导责任制、目标责任制、考核奖惩激励机制和培训质量反馈体系, 规范安全培训的组织、培训、考核、发证、反馈等项工作, 促进培训工作的标准化、规范化和制度化。二是管理工作的实施。落实培训教师、参培学员、教职员工;落实教学组织管理、后勤保障管理措施。质量控制要与培训执行过程与考核相结合, 重点是培训过程控制, 及时观察培训过程中参训者的反应及意见。培训计划执行应注重弹性原则和例外管理, 注意事前沟通, 塑造学习气氛, 增强学习互动, 营造良好的学习氛围。对整个培训过程进行有效地控制和监督, 不是为了找麻烦, 而是为了培训质量的稳步提高, 更是为了培训工作健康发展。新集矿区根据自身的特点构建了以督导为主体的全方位、全过程和多层次的教学质量和后勤服务监控体系。教学督导的职责从课程教学、实验教学、教材建设, 到考试、课程设计等各环节;对学员上课、住宿、就餐, 课后活动等环节构建了三跟一查的培训监控体系, 使整个培训过程得到全面、全程、及时和有效的监控。
4. 培训效果评估反馈。
培训评估是指在培训过程中受训者所获得的知识、技能就用于工作的程度。培训的效果评估一方面是对学习效果的检验, 另一方面是对培训工作的总结, 然后根据评估结果适当调整培训课程。效果评估的方法分为过程评估和事后评估。效果评估结果应与薪酬挂钩, 通过激励机制调动培训积极性。应用评估模型分为反应层、学习层、行为层、效果层等四个层次。对培训采取间接培训效果法、直接培训效果法、现场培训效果法评估。间接培训效果主要是在培训后通过问卷方式对培训方式、内容、技巧等方面进行评价;直接培训效果的评价依据主要为考核结果, 以参加培训的人员的考核分数来确定安全教育与培训的效果;现场培训效果主要是在生产过程中出现的违章情况和发生的安全事故的频数来确定。效果评估要写出评估总结报告, 通过评估不断调整工作方法。
国投新集公司十分重视职工培训工作, 1993年矿区开发初期组建了职工培训中心。2003年经安徽省煤矿安全监察局评估验收, 具备煤炭行业三级安全培训中心资质。2009年年初通过国家安全生产监督管理总局评估验收, 取得煤炭行业二级安全培训资质;年底又在中国职工教育和职业培训协会组织的评选活动中, 荣获全国企业职工教育培训先进单位称号。新集公司建立适应煤矿安全发展需要, 满足安全培训和安全生产现场需求的安全培训体系, 极大地促进煤矿安全培训工作的持续、健康稳步发展, 全面提高从业人员安全素质、安全生产技能, 预防和减少重特大事故的发生, 对整个安全生产工作起到了推动作用。安全培训由任务型、服务型向科学管理型转变, 将企业价值体系、发展目标等内容有机渗透到安全培训之中, 形成了以人力资源培训中心为主体, 以各矿四级培训机构和区队自主培训为支点的安全培训网络体系。
摘要:剖析煤矿安全培训体系现状与存在问题, 以新集矿区为例探索解决途径, 建立煤矿安全培训体系。构建科学合理的安全培训体系是促进安全发展, 全面提高煤矿职工安全意识和自我保护能力的有效措施。
关键词:信息安全;安全技术;网络
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0085-01
一、信息安全的定义
20世纪70年代以前,信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而,今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先,随着黑客、特洛伊木马及病毒的攻击不断升温,人们发现除了数据的机密性保护外,数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次,不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析,信息安全是研究在特定的应用环境下,依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。
二、信息安全面临的威胁
由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷,导致了信息系统的安全威胁是多方面的:网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。
其次,非技术的社会工程攻击也是信息安全面临的威胁,通常把基于非计算机的欺骗技术成为社会工程。社会工程中,攻击者设法伪装自己的身份让人相信就是某个人,从而去获得密码和其他敏感的信息。目前社会工程攻击主要包括的方式为打电话请求密码和伪造E-mail。
三、信息安全相关的防护理念及其技术
计算机信息安全技术是针对信息在应用环境下的安全保护而提出的。是信息安全基础理论的具体应用。安全技术是对信息系统进行安检和防护的技术,其包括:防火墙技术、路由器技术、入侵检测技术、扫面技术等。
(一)防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部和不可信任的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据个人的安全政策(允许、拒绝、检测)出入网络的信息流,且本身具有较强的抗攻击能力。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证和审计等)配置在防火墙上。
(二)路由器技术
随着网络各种领域应用的日益普及,网络信息安全问题趋于复杂化和多样话。针对网络存在各种安全隐患,安全路由器必须具有如下的安全特性:
(1)可靠性与线路安全(2)身份认证(3)访问控制(4)信息隐藏
(5)数据加密(6)攻击探测和防范(7)安全管理
(三)物理隔离器技术
隔离卡技术是将一台计算机划分成两个独立的虚拟计算机,分别连接公共网络和涉密网络。通过隔离卡,用户的硬盘被划分为公共区和安全区,装有独立的操作系统和应用软件。当用户在公共区启动时,计算机连接公共网络;当用户在安全区启动时,计算连接涉密网。
(四)防病毒技术
1.虚拟机技术
虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人工分析,智能化极高,查毒的准确性也极高。虚拟技术的主要执行过程如下:
在查杀病毒时,在计算机内存中模拟出一个“指令执行虚拟计算机”,在虚拟环境中虚拟执行可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据如果含有可疑病毒代码,则说明发现了病毒。殺毒过程是在虚拟环境下摘除可疑代码然后将其还原到原文件中,从而实现对各类可执行文件内病毒的杀除
2.监控病毒源文件
密切关注、侦测和监控网络系统外部病毒的动向,将所有病毒源堵截在网络入口处,是当前网络防病毒技术的一个重点。趋势科技针对网络防病毒所提出的可以远程中央空管的趋势病毒监控系统不仅可完成跨网域的操作而且在传输过程中还能保障文件的安全。
3.无缝隙连接技术
无缝隙连接技术也叫嵌入式杀毒技术。通过该技术,我们可以对病毒经常攻击的应用程序和信息提供重点保护。它利用操作系统或应用程序提供的内部接口来实现对使用频度高、范围广的主要应用软件提供被动式的保护
4.检查压缩文件技术
检查压缩文件中的病毒有两种思路。第一种思路:首先必须搞清压缩文件的压缩算法,然后根据压缩管理算法将病毒码压缩成病毒压缩码,最后根据病毒压缩码在压缩文件中查找以判断该文件是否有病毒。另一种检查压缩文件中病毒的思路:在搞清压缩文件的压缩算法和解压算法的基础上,首先解压待检查的压缩文件。随后在解压后的文件中检查病毒码来判断该文件是否有病毒,以此来说明原压缩文件是否有病毒。最后将文件还原成原来的压缩格式。
四、建立网络安全体系的必要性和发展信息安全体系的重要性
国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。
完整的信息安全保障体系建设是信息安全走向成熟的标记,也受到了国家和众多企事业单位的重视。信息安全保障体系的建设,必须进行科学的规划,以用户身份认证为基础,信息安全保密为核心,网络边界防护和信息安全管理为辅助,建立全面有机的安全整体,从而建立真正有效的、能够为信息化建设提供安全保障的平台。
参考文献:
[1]徐茂智,雏维.信息安全概论.人民邮电出版社,2007
[2]张同光.信息安全技术实用教程.电子出版社,2008
摘要:笔者针对现在煤矿安全培训的现状,在对现有的煤矿安全培训运行体系进行深度剖析的基础上,根据ISO10015((质量管理一培训指南>的一些基本的思路和原则,进行了长期的.课题研究,通过培训理论体系或培训理念的创新,在泰山安全培训中心建立一整套适合煤矿安全形势发展需要,满足现代煤矿安全培训需求的“煤矿安全培训体系”.作 者:何传新 林敬龙 作者单位:何传新(泰安市委党校)
林敬龙(山东省地矿工程勘察院)
首先感谢公司领导给了我这个参加风险管理体系内审员培训的机会,心情是无比高兴和激动,我带着思考、带着学习知识的心理来到下关。在整个培训过程中,张老师在教学内容上的精心编排,课堂上热烈的讨论气氛,无一不体现出公司对我们这些内审员的高度重视和培养我们的良苦用心。
在这短短的5天中,分别学习了风险管理体系的基础知识、审核的流程与技巧、审核的实作。系统的学习了“事故/事件的原因与后果”、“风险管理”、“钻石综合风险管理体系”、“事故因果连锁理论”、“5W+1H”及“PDCA循环”等培训内容。培训老师详实地为学员进行讲解,并将审核方法、技巧、步骤等知识融合到日常工作中。
其次,通过这次内审员培训,我进一步开阔了视野,拓展了思路,使自己的管理理论基础知识有了一定程度的提高。老师生动的讲解、问题现场讨论和解答,让我理清了思路、转变了观念、掌握了方法,为今后工作的开展铺垫了扎实的理论基础;同时现场通过我们各个小组一起互动,充分发挥个人的分析和见解,相互交流借鉴工作经验,思路方法,较全面的提高了自己的理论水平和工作能力,受益匪浅。
最后,通过本次培训,增强了责任感,使我感到责任重大。一个公司要想进一步稳定持续发展,必须通过建立健全一整套规章制度来规范公司的工作运行机制,以好的制度管人、理事,从而形成科学的、有效的管理机制。而这套机制的建立需要内审员来严格把关,需要高
度的严肃性和严谨性,因此作为一名合格的内审员肩上的担子是非常重,责任是非常重。
这次培训使我对审核的具体流程有了较为清楚的认识。同时,使我更加深刻的认识到建立一个完善的运行体系对企业的发展有着多么重大的作用。
通过培训,将进一步巩固了体系建设理论知识,对风险体系各要素、节点的理解更加深刻;充分的掌握了体系审核方法、技巧、步骤等新知识,为公司的安全生产风险管理体系内部审核工作打下良好的基础。
作为公司基层人员,更要加强学习,接受新思维、新举措,不断创新思维,以创新的思维应对竞争挑战。只有通过加强学习,才能了解和掌握先进的理念和方法,取他人之长补己之短,只有这样,才能不负公司重望,在创先争优活动中起到表率作用。同时还要做到与时俱进、更新思想,学以致用,把日常工作做细做实。我会不断提升自身水平,踏踏实实的工作,为公司的明天做出自己最大的贡献。
培训人员:康帅
[摘要]信息网络安全是影响医院医疗工作正常运转的重要因素。为确保医院信息网络安全,文章从技术、人员、制度等方面分析医院信息安全现状,探讨医院信息安全支撑体系建设方案。在平台安全、数据安全、应用安全、网络防护、人力资源、规章制度等方面,提出了医院信息安全支撑体系建设方法和体会。应借助先进技术筑牢信息平台和数据的安全,落实顶层设计发挥信息化建设应有的作用,同时挖掘人才潜力推动行业建设安全持续发展,以确保医院信息系统能安全、稳定、高效地运行。
[关键词]信息安全;体系;技术;人员;制度
0 引言
医院现代化建设离不开信息化的支撑,信息网络的安全也就成了影响医院医疗工作正常运转的重要因素;但在医院信息网络建设的过程中,由于信息化总体规划中的安全因素考虑不足,导致在信息网络运行时还不时会出现或大或小的网络故障[1]。因此,为确保医院信息网络安全,其支撑体系成了我们需要重点研究和思考的课题。
医院信息安全现状
传统的医院信息基础平台是烟囱式架构,应用系统软件是和硬件资源捆绑起来建设的,各自运行着医院信息系统、检验信息系统、医学影像存储与传输系统等应用系统[2]。由于每个应用系统都由各自的服务器单独提供服务,硬件资源利用率低,系统运行可用性不高,数据存放较为分散,数据保护可靠性差。网络核心及汇聚层交换机往往采取的是主备模式,故障处理响应时间较长。而网络安全防护措施相对薄弱,容易受到病毒和恶意软件的入侵,造成网络局部或整体故
障。有些医院的容灾策略异常复杂,应急计划缺乏演练,往往不具有可执行性。随着信息技术的高速发展,技术分工越来越细,要求越来越高。但由于编制数量、用人制度、成本控制、人员待遇等原因,医院往往缺乏高端信息人才,医院信息专业人力资源普遍较为紧张[3]。并且在医院这个并不专注于信息技术的相对封闭的环境内,信息人员往往很难跟上行业发展的脚步。在信息网络运行维护管理过程中,由于技术、人员和制度等跟不上,还存在问题得不到及时处理解决的现象。因此,为确保医院信息网络正常运行,我们必须对信息安全实行规范化、制度化管理,加强信息安全保障工作。应从技术、人员、制度等方面进行安全体系建设[4-5],建立完善的、多级的、体系的医院信息网络安全平台,确保医院信息网络的安全,使医院的运营和管理少受或不受非正常因素的干扰,按医院既定目标和方式运营。
信息安全支撑体系建设方法
医院信息安全支撑体系涉及技术、人员、制度等多种因素。它们相互关联,只有从整体上发挥共同作用,才能保证医院信息系统长期处于一个较高的安全水平和稳定的安全状态,进而确保医院各项工作的顺利开展。
2.1平台安全
构建优质、高效、安全的信息网络平台是一项基础工程。我们引入云计算技术,建立了一个节能、环保、低碳、绿色的云计算技术架构的动态数据中心,形成了虚拟化平台和小型机共存的信息基础平台,搭建了生产云、测试云、容灾云、安全云等功能云,从而转变医院数据中心建设模式,从传统粗放型转变为现代集约型投入,从烟囱式转变为虚拟化应用部署,实现平台整体部署、资源按需配置、系统安全保障的新环境,以提高信息设备利用率和信息系统安全性,发挥信息资源的最大效能[6-7]。为更好地保障安全,我们采用虚拟网络技术将网络划分多个虚拟局域网,有效提高交换机的数据交换效率,增强了网络的安全性。并且从多种角度研究数据中心容灾系统的建设,提出 3 种容灾预案,旨在利用各种技术和管理手段将灾难的影响化解[8]。一是基于高可用性的本地接管预案,二是基于双活数据中心的本异地互备预案,三是基于数据库复制技术的主系统本异地切换预案。
2.2 数据安全
数据安全涉及数据丢失和数据使用管理两方面内容。数据丢失包含两个方面,一个是存储系统硬件导致的数据丢失,称之为数据的物理错误;另一个情况是应用程序、病毒、人为误操作导致的数据丢失,称之为数据的逻辑错误[8]。我们针对这两种情况,一是搭建存储虚拟化平台,对不同存储系统平台提供的物理卷进行镜像,完全可以确保在出现物理错误时数据不丢失、应用不中断;并且对整个存储池进行规划,把存储空间资源和性能资源整合,发挥存储设备的最大效能[9]。二是建立数据备份恢复解决方案。数据备份是数据保护的最后一道屏障。基于备份恢复的数据保护预案就是通过建立高效的数据备份恢复系统,在数据的逻辑错误导致数据丢失的时候,用于应急恢复工作,从而起到保护数据的作用。为数据使用得到有效地管理,建立相应的数据库使用管理制度和数据库审计追踪使用行为等技术防范措施,以防数据泄露,切实保护医院权益和病人隐私。
2.3 应用安全
为保障应用系统的使用安全,原国家卫生部(现国家卫生健康委员会)出台了《卫生系统电子认证服务管理办法》。电子认证包括身份认证、电子签名和电子验签。采用国家认可的数字证书,可以有效解决卫生信息系统流程中的安全问题,确保用户身份和信息的真实性、电子病历的合法性以及网上数据信息存储和传输的安全性,从而实现诊疗信息的安全共享。目前,我们在电子病历及其归档系统中正在逐步开展安全、规范的电子认证服务应用[10]。对于应用系统的自身安全,我们对每一个系统的引进和开发都要进行反复的论证、调研,深入了解需求,结合医院实际进行系统的二次改造优化,使医院信息体系安全对接、有机融合、充分共享。并且对用户进行权限设置,严格账户管理,定期整理用户。强化操作应用和使用安全,使信息化技能成为工作人员必需技能,努力发挥系统的最大效益。
2.4 网络防护
为对网络终端设备和网络边界进行安全防护,我们采用以下安全保障方法:一是使用桌面管理软件,对网络终端设备进行远程控制和管理,为用户解决资产管理、网络配置、桌面维护等日常工作。二是实现网络准入控制,规范终端接入标准,加强网络终端的主动防御能力,屏蔽一切不安全的设备接入医院网络[11]。三是采用防病毒技术,部署网络版杀毒软件和安全预警系统,对整个网络实行全方位、多层次的病毒防护,对网络中的病毒感染情况和病毒传播情况进行实时监控和,从而起到提前预警和事前防范作用。四是采用防火墙建立安全网关,用 IDS 和 IPS 加以补充,并可使用网闸实现内外网隔离。做好安全策略、日志审计等工作,对进出的访问行为进行有效管理,对防火墙的信息内容和活动进行记录,对网络攻击进行检测和,有效防止医院内部网络受到外部攻击[12]。
2.5 人力资源
正确分析人才队伍和人才工作的现状,加强人才队伍建设,努力打造一支精干高效的信息人才队伍[13-14]。针对医院实际情况,我们在优化信息部门人员配备的同时,实行内部轮训机制,强化能力培养;采用引进与培养相结合的方法,制定切实可行的措施吸引和培养人才;通过内部培训和专业机构培训等渠道,采取普通培训与重点培训相结合、理论培训与现场培训相结合、在职培训与外出学习相结合的方式,切实达到实用有效的培训目的,加快现有人才知识结构与专业能力的自我转型和提升;加快调整人才队伍建设和培养机制,推进人才队伍由数量增长型向内涵建设型转变,充分发挥人才的价值和作用,更好地为医院信息网络建设与运维服务,使信息安全服务管理风险降到最小。
2.6 规章制度
医院信息安全制度为保证信息网络的正常运行和健康发展起到了关键作用。遵循信息安全等级保护制度,有利于突出重点,加强对基础信息网络和重要信息系统的安全保护和管理监督;有利于明确安全责任,强化监管职能,落实各项安全建设和安全管理措施;有利于采取系统规范、经济有效、科学合理的管理和技术保障措施,提高整体安全保护水平。我们根据国家和 的相关要求,逐步建立和完善了信
息网络系统管理、安全保护、运行维护、人员培训等一系列制度;建立医院、职能科室、应用科室三级信息管理网络体系,分职责、分层次、分重点进行管理,并且制订了网络故障应急处置预案[15]。在完善制度规范的同时,抓制度的执行和落实,使制度作用得到充分发挥,保障信息安全和信息系统安全正常运行,进而保障各部门的职能与业务工作能够有条不紊地开展。
信息安全支撑体系建设体会
3.1 借助先进技术筑牢信息平台和数据的安全
面对信息技术的高速发展,数字化医院建设和管理模式应与时代发展要求相适应。我们应紧盯信息前沿技术,拓展其在医疗技术、服务模式、安全保障中的应用和创新转化,筑牢信息平台和数据的安全,有效提升医院信息化内涵建设[16]。利用技术创新、模式创新,实现数字化医院建设转型转变,把数字化医院建设变成为安全放心工程,助力医疗服务质量、管理决策水平的全方位提升,以及数字化医院建设健康持续发展。
3.2 落实顶层设计发挥信息化建设应有的作用
医院往往希望通过推进信息化建设来提升自身的竞争能力,但在实际建设过程中却常常忽略了信息化建设的总体规划。切忌把“顶层设计”当作一种口号,把“整体规划”流于形式,缺少思考和探索,人为主观因素较多、随意性较大,从而导致在信息网络运行过程中出现这样那样的问题,使信息化建设发挥不了应有的作用[16]。我们应从医院的现状和发展出发,求真务实,让总体规划、顶层设计落到实处,确保信息安全无死角。
3.3 挖掘人才潜力推动行业建设安全持续发展
医院信息化 30 年的发展实践表明,人才是实现行业持续发展的关键要素,是推动信息技术创新的重要源泉,是保障信息网络安全运行的根本力量。没有高水平人才,数字化医院建设站不高、看不远、理不清;没有专业化人才,信息安全保障将出现被动局面,将滋生依赖性。而建立健全各项培养制度和考核评价激励机制,才能使得人才培养制度化,才能保证人才培养长效化[14]。因此要紧紧抓住培养人才、吸引人才、用好人才等环节,以优秀人才推动信息化建设,同时为医院信息网络安全运行起到保驾护航的作用。
结语
随着社会的进步和发展,医院由原先相对封闭的环境逐步变化为开放的环境,由此给信息安全也带来了新的课题,而进行信息安全体系化建设管理正是实现信息安全保障的有效手段[17]。在实施各项安全保障措施时,应根据医院的实际情况,从建、管、用 3 个方面入手,有目的、有计划、有步骤地展开,搭建事前防范、事中处理、事后评估的全流程安全服务体系,规范信息质量管理,提高信息保障水
平,确保医院信息网络平台及其承载的业务系统能安全高效运行。
【参考文献】
关键词:煤矿,安全,培训,体系
如何加强煤矿企业的安全管理工作, 避免安全事故的发生是煤矿企业在生产中面临的重要问题, 而基于人员培训体系的煤矿安全措施, 无疑是煤矿企业安全生产的一种有效的途径。
一、人员安全培训体系建设的重要意义
1.有利于煤矿企业的健康发展
从煤矿安全生产的角度来说, 人员安全培训体系建设是构件安全生产长效机制的一项重要措施, 通过人员培训能够有效地提高生产人员的是安全素养和安全生产技能, 能够有效地提高生产人员的安全意识, 可以说是一项成本低、见效快、回报率高的措施。这对于煤矿企业的发展, 避免因安全事故给企业人员财产带来的损失, 无疑具有重要意义。
2.有利于推动煤矿企业安全生产工作不断提高
“没有科学理论的指导, 实践难以取得成功”, 煤矿企业安全生产工作要想满足企业的发展要求, 必须有先进的理论做指导, 并将理论能够真正贯彻到企业的干部职工当中, 而从理论到实践的过程中, 培训工作是一个重要的途径和方法。通过员工培训计划、管理、实施、监控等环节形成一个纵向边、横向到底, 上下联动、相互监督内部安全工作实施过程, 通过各环节之间高效运行, 从而保证各项安全管理工作措施的落实。 通过煤矿安全培训体系理论研究和建设工程的蓬勃发展, 必将有力地推动了煤矿安全生产工作不断完善和提高, 推动煤矿企业安全生产工作不断发展。
二、创新煤矿安全培训体系
员工的安全生产培训, 需要根据企业的生产形势和出现的问题不断创新和完善, 只有这样才能保证培训的效果符合企业的安全生产要求。在这一方面煤矿企业应该注意以下几点:
1.要构建安全生产培训分析体系
所谓的培训需求分析主要是指在安全生产培训活动实施之前, 对培训人员的类型、知识、技能等方面的情况进行详细的了解和分析, 以确定最佳培训内容的一种活动或过程。煤矿企业在培训活动实施之前, 应该运用组织分析、工作分析、工作者分析等分析方法, 对培训对象的安全知识与能力的现状进行分析, 并了解培训对象所在单位的矿井类型、灾害特点, 在此基础上通过科学的培训定位确定最佳的培训内容, 从而为培训计划的制定和完善奠定良好的基础。
2.要完善安全生产培训课程体系
培训课程是一个包括培训目标、培训内容、培训方法、培训条件及反馈评价在内的培训系统。安全生产培训课程体系是否科学不仅关系到培训的效果, 也关系到从理论到实践的转化。但是安全生产培训课程体系的优化和完善是非常复杂、繁琐的一项工作, 是一项涉及很多学科的系统工程。在这一方面上, 煤炭企业应该摆脱传统培训思维的影响, 不断总结和创新安全生产培训的模式, 探索构建一个针对性强、知识面广、内容新颖的科学的煤矿安全培训依稀, 以期能够明确煤矿安全生产培训方向。在具体的培训课程设计上, 应该注意一些问题, 在设计的过程中要明确课程的效益回报, 在把握培训对象特点和相关岗位相关性的基础上, 建立一整套“事故案例课宽、安全文化课细”的安全培训课程体系。
3.建立健全培训管理体系
培训管理体系是控制培训过程的控制器, 是提高安全生产培训效能的有效保障, 对培训活动的开展和培训项目的实施具有重要的支撑作用。培训管理体系建设应该注意两个方面的内容:第一, 培训管理制度建设, 制度建设是培训管理体系建设的核心工作, 要想保证培训活动的顺利进行必须有一套行之有效的培训管理制度做保障, 这些制度包括培训制度、培训激励制度、考核评估制度、培训奖惩制度、风险管理制度等等, 将培训过程中的方方面面纳入到培训管理体系当中。第二, 做好各项管理制度和措施的实施工作, 在实施的过程中需要注意人和物两个因素, 也就是要管理好培训教师、参训员工和教职员工, 物的因素主要指要为教学组织提供良好的物质条件和后勤保障。
4.优化和完善培训实施体系
培训实施体系主要是指根据制定的安全生产培训计划, 将计划的内容按照一定的原则和要求严格贯彻到培训活动当中, 实施工作的内容也比较繁琐, 主要包括需求分析结果的运用、培训实施管理、绩效考核管理等等, 使实施工作能够形成与培训计划相对应的一个完整的培训体系。在具体的实施过程中要注意:第一, 要将实施与考核体系有效地结合起来, 在培训过程中要及时观察和了解参训员工的反应及意见, 及时考核安全生产理论、知识、技能的掌握情况, 注重培训员工的心智改造过程。第二, 在实施培训计划的过程中要注意弹性原则和例外管理, 在培训的过程中, 对于一般安全培训项目可以采取统筹培训的方式, 对于一些特殊的技能性培训项目应该采取例外管理, 由培训单位根据实施的具体情况进行弹性处理。第三, 在培训实施的过程中, 培训教师与员工之间应该加强沟通和联系, 及时和交流培训的成果, 营造出一个良好的培训学习的气氛, 增强培训的互动性、交流性, 不断提高培训活动实施的效果。
5.构建完善的培训效果评价体系
评价体系是培训实施过程中不可缺少的一个环节, 也是保证保证培训效果的有效措施, 是衡量受训者培训成果的主要方法。在培训效果评价体系当中, 要重点评价两个方面的内容, 也就是受训员工的学习效果合格培训工作组织实施工作。在这一问题上可以综合运用过程评估、事后评估等方法, 并将培训效果评估与员工的薪资挂钩, 督促员工在培训的国产承重能够全身心地投入到培训学习当中。在具体的培训效果评价体系构建当中, 可以使用美国学者柯克帕特里克的四级效果评估模型, 从评估的深度和难度将培训效果分为4个递进的层次, 也就是反应层、学习层、行为层、效果层, 根据这个层次划分结合培训的项目内容, 制定出安全生产培训绩效评估体系, 对培训效果进行全面的评价。
总之, 安全生产培训能够有效地提高生产人员的安全素养、安全生产技能和安全意识, 可以说是一项成本低、见效快、回报率高的措施。这对于煤矿企业的发展, 避免因安全事故给企业人员财产带来的损失, 无疑具有重要意义。通过煤矿安全培训体系理论研究和建设工程的蓬勃发展, 必将有力地推动了煤矿安全生产工作不断完善和提高, 推动煤矿企业安全生产工作不断发展。
参考文献
[1]段绪华, 李永红.我国煤炭企业安全培训的问题与对策[J].华北科技学院学报, 2005.
关键词:信息安全;黑客;屏蔽;日志;入侵
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 06-0000-02
Construction of Enterprise Network Information Security System
Chen Dan
(Guangdong Justice Police Vocational College,Guangzhou510520,China)
Abstract:As viruses,hackers,malicious attacks means emerge in endlessly,enterprise's information security also suffer unprecedented threat,if build enterprise network information security system has become an enterprise's survival and development of the primary consideration to the problem.From the"physical security,system security,network security,application security and security management from five aspects"explains detail of the construction enterprise information safety requirements and implementation scheme.
Keywords:Information safety;Hackers;Shielding;Log;Invasion
随着计算机的网络化和全球化,信息已经成为企业竞争的重要资源之一,然而,信息领域的犯罪也随之而来,商业黑客、病毒、恶意攻击等对企业造成了巨大的危害和损失。2010年1月12日,百度首页被黑的事件,充分说明了企业仍然面临严重的信息安全问题。面对病毒肆虐,黑客侵扰,泄密及窃密等造成的巨大损失,企业唯有构建安全稳健的网络信息安全体系,才能确保在利用互联网获取和传递信息的万无一失。
企业构建网络信息安全体系的总体目标是:建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的信息安全保障体系,提高整体信息安全管理水平,切实保障网络安全和信息安全。保证信息的可用性、完整性、保密性;保证网络系统服务的连续性;保证攻击、破坏的可追查性;保证安全管理的可实施性。充分利用认证、访问控制、加密、入侵检测等安全技术,按需求提供多层次的安全保密和防范功能,逐步建立应急处理和数据灾难备份系统,并完善安全管理体系。
企业网络信息安全体系建设要做到“物理安全、系统安全、网络安全、应用安全及管理安全”。
一、物理安全
保证计算机信息系统各类设备的物理安全是保障信息化应用系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏,主要包括:环境安全、设备安全、媒体安全三个方面。
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。
设备安全:设备安全主要包括设备的防盗、防毁、电源保护等。
媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
避免信息在空间扩散的防范措施主要有三个方面:
对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。
对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取较低辐射的产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽然降低了部份屏蔽效能,但可大大改善工作环境,使人感到是在普通机房内工作。
二、系统安全
系统安全建设内容包括:访问控制措施、安全审计、补丁策略、负载均衡、扩展的基线加固、日志保护、病毒防护、页面防篡改、URL内容过滤、数据库保护、加密备份。
访问控制:进一步控制服务或应用信息的访问,加强对用户“权利”的指派控制,在每台服务器上启用C2级系统自身的审核机制,完成对用户特权、登录事件、特殊对象访问等类别的审核记录。
主机审计:在一些特殊关键的系统上配置主机审计系统,便于更深入的检测、发现、排除任何入侵行为及系统、服务的安全漏洞。同时管理员可利用其优异的统计报表和报文回放功能,建立阶段性的“风险--威胁分析报表”,便于下一阶段安全策略更新条目的完善。
页面防篡改:需要在安全管理服务器上部署网页防篡改监测系统,在具体的站点服务器上部署网页防篡改的监控代理端,实时监测对外服务网站的运行,如果发现对页面的修改,将实时修复和报警,实现对网站页面的保护。
URL内容过滤:防止访问互联网中含有反动、色情等不良信息的网站,堵截和阻止不良信息的传播,创造一个良好健康的网络环境。
负载均衡:在开销允许的情况下,为部分或所有业务服务器或业务应用配置集群或负载均衡措施,可选择采用内容服务交换机作为维持服务器应用负载均衡的控制设备。
加密备份:作为补充建议,在开销和需求允许的情况下,可考虑对重要资产的数据备份进行适当的加密处理,避免因备份介质丢失而造成的数据内容泄露。
三、网络安全
网络安全是整个安全解决方案的关键,包括:访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等。
隔离与访问控制:企业内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实现较粗略的访问控制。
防火墙:防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒度的访问控制。
通信保密:数据的机密性与完整性,主要是为了保护在网上传送的私密信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以根据情况选择链路层加密、网络层加密等不同方式。
入侵检测:入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出局域网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成太大影响。
漏洞扫描:漏洞扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。漏洞扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
病毒防护:用户使用的操作系统一般均为Windows系统,比较容易感染病毒。在网络环境下,计算机病毒有不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。
预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。
检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。
杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。
四、应用安全
通过利用数字签名、加密防护、授权管理,实现高强度身份认证,实现授权管理和责任认定。
建设统一认证授权、资源共享平台,实现统一身份认证和单点登录、资源共享,可以体现信息化多套管理系统的融合性。通过这种有机结合,更好地体现统一平台,大集中的理念。同时,这样做也利于各管理系统的相互促进与相互宣传,资源共享。严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
对有涉及私密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。
针对信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。
五、安全管理
制定健全的安全管理体制将是网络安全得以实现的重要保证。可以根据企业自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。
安全组织体系建设:建立网络安全建设领导小组,由主管领导、网络管理员、安全操作员等人员组成。
安全管理制度建设:面对网络安全的脆弱性,在网络设计上增加安全服务功能,完善系统的安全保密措施同时,按照多人负责、任期有限、职责分离等实施原则,建立健全安全管理制度。
安全管理手段:采用可行的技术对全网的设备、策略、安全事件统一整合、管理,以确保管理制度的顺利实施。
做到以上五点安全措施,企业就能构建起一个安全的网络环境。然而,互联网瞬息万变,黑客的攻击手段也会不断更新,因此,构建安全的企业信息环境也是一个长期而复杂的过程,我们的企业只有不断的探索并应用新的信息安全技术,才能做到永久的信息安全。
参考文献:
[1]胡道元,闵京华.网络安全.清华大学出版社,2008
[2]拉菲(美).思科网络技术学院教程,网络安全.人们邮电出版社,2008
[3]杨哲.无线网络安全攻防实战.电子工业出版社,2008
[4]海吉(美).网络安全技术与解决方案(修订版)人民邮电出版社,2010
[5]冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009
【信息安全技能培训体系论文】推荐阅读:
构建企业信息安全体系06-13
信息化安全保障体系09-26
信息安全管理体系审核员 真题01-08
信息安全的论文07-11
信息安全管理培训11-16
网络信息安全培训材料03-08
网络信息安全小论文02-20
网络信息安全培训计划09-28
医院信息安全与系统监控研究论文09-11
