信息安全培訓方案范文

時間:2024-01-08 17:46:15

導語:如何才能寫好一篇信息安全培訓方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

信息安全培訓方案

篇1

組織防火演練和消防培訓活動是為了增強人們的安全防火意識的活動,讓大家進一步了解掌握火災的處理流程,增強人們在火災中互救、自救意識。小編在這里給大家?guī)?020消防演練心得感悟_消防安全培訓學習心得,但愿對你有借鑒作用!

消防演練心得感悟1針對防火的必要性,以及各項的消防知識,消防老師為大家示范滅火器、逃生繩等自救設備的使用方法,為大家上了一堂精彩而生動消防知識講座。在課堂上,消防老師通過強烈震撼的火災視頻、生動的案例,條理清晰地從四個方面進行了詳細講解:

1、從發(fā)生火災的起因強調(diào)提高安全防范意識的重要性;

2、從日常生活中的火災隱患看加強學習消防知識的必要性;

3、掌握使用滅火器材的方法及其性能;

4、火災現(xiàn)場自救逃生的技能和撲救初期火災的時機和方法。

他重點講授了火場逃生知識,并詳細介紹干粉滅火器的構造和使用方法。

通過此次培訓,我覺得一個學校要想做好消防安全,應從以下五點做起:

一、領導要重視。這是學校消防安全工作得以順利開展的首要保證。各部門的負責人作為消防安全工作的第一責任人,要加大對安全工作的管理力度,定期組織安全檢查,查處隱患限期整改反饋,切實地把消防安全工作與生產(chǎn)經(jīng)營管理工作相結(jié)合,確保各項工作能順利進行。

二、宣傳教育要到位。這是學校消防安全工作得以順利開展的第一前提。要通過開展培訓講座,發(fā)放消防宣傳資料和組織專業(yè)人員到生產(chǎn)一線宣講等形式宣傳消防安全知識,宣傳教育面要達到100%,提高職工的消防安全意識,提高職工在事故發(fā)生時的施救、自救能力。

三、制度措施要到位。這是學校消防安全工作得以順利開展的軟件保障。要根據(jù)上級有關消防的法律法規(guī),結(jié)合本單位實際制定出一套行之有效的制度和措施,并嚴格抓落實,獎優(yōu)罰劣,保障消防安全的各項工作能正常有序開展。

四、消防器材配備要到位。這是學校消防安全工作得以順利開展的硬件保障。根據(jù)消防管理部門,配備足夠數(shù)量的消防器材,定期對消防設備進行檢查和保養(yǎng),對到期的器材及時換藥,以備發(fā)生事故時能及時啟動。

五、思想意識要到位。這是學校消防安全工作得以順利開展的重要基礎。加大對專(兼)職安全員的培訓力度,提高安全員的業(yè)務素質(zhì),培養(yǎng)出一支具備不計得失、樂于奉獻、忠于職守和敢抓敢管精神的專業(yè)隊伍,提升學校安全管理水平。定期組織消防演練,提升學校對事故的防范能力。

安全是學校的永恒課題,“水火無情、全員皆知”。消防安全事關學校的穩(wěn)定和職工生命的安全,工作任重而道遠,我們只有把各項工作長抓不懈,真正落實“五個到位”,消除隱患以防為主,才能保持學校消防安全局面長期穩(wěn)定。

消防演練心得感悟2冬姑娘邁著沉重的步伐悄悄的走來了,寒風呼呼的吹著,吹走了樹木的盛裝,吹的金黃的小草,姹紫嫣紅的花兒都彎下腰,低下了頭,靜靜的睡去了,一切都籠罩在一片寂靜中,只有風兒狂奔時號叫的聲音。

突然,廣播聲把這片沉靜打破了,只聽廣播中說,我校這天要搞一次消防演習,以備后患,具體安排是只要他一聲令下我們就跑到操場上集合,只聽“跑”的一聲,我們都奮力沖出教室,那時心中只有一個信念,就是以最快的速度沖向目的地,腳下像生了風一樣,跑的飛快,等跑到操場上時,已經(jīng)有很多人了,回望后面,還有許多人在努力的向這邊跑來,有的則說說笑笑,像是散步,臉上洋溢著笑容向這邊“跑”來,因為是第一次,大家都很配合,按照老師的意思去做。當?shù)诙纹鹋軙r,大家都不約而同的放慢了速度,步伐不再那么矯健,細細一看,大家都是手牽手一齊跑的,到了終點我就在想,如果大火真的降臨在我們頭上,那我們還會不會拉上自己的朋友一齊向前跑,當看到有人跌倒時,還會不會有人去攙扶他一齊逃離火災現(xiàn)場?;氐浇淌遥仪椴蛔越膶ν瑢W們說了我剛才的疑惑,大家都表示會帶上朋友一齊逃跑,他們有的說朋友就是有福同享,有難同當?shù)?,有的說到了關鍵時刻更就應不能只顧自己,置別人的生命于不顧,我聽了十高興,真是大火無情人有情,我相信只要各個部門、單位做好放火措施,火災不會發(fā)生,即使發(fā)生,只要我們齊心協(xié)力,有秩序的逃離,我相信我們必須能夠戰(zhàn)勝火災,逃離危險區(qū)域。放學后,同學的回答久久

縈繞在我心頭,他們的話語總是在我耳邊回響,只要人人都能夠像他們回答的那樣,那么建立平安上海這一奮斗目標就離我們越來越近了,校園這一消防演習好處十分重大,教育孩子火災逃生,以及一些應對措施,使我們心里有個準備,要不然火災突然降臨,對于我們來說肯定是手足無措的,十分的慌亂,到時候只會帶來更加嚴重的后果,這樣使我們懂得如何在大火中逃生,只要大家都團結(jié)在一齊,大火并不可怕,人們在火災中那份互幫互助的情感足以撲滅大火。

大火無情人有情,縱使火災十分的可怕,但只要我們齊心協(xié)力就能夠撲滅火災,要是人人心中都有助人為樂的想法,都有一顆火熱的心,那我們的社會會更加的和諧、完美,讓我們一齊努力,為建設平安上海,和諧社會一齊奮斗吧!

消防演練心得感悟3為了加強消防知識的普及,讓學生更加體會到消防知識的重要性,我校于5月25日上午進行了應急消防疏散演練活動。

消防演練的目的是讓我們在火災來臨時能夠更好地、本能地、鎮(zhèn)靜地去應對,這對我們來說是一次次的鍛煉和為生命在演習。讓我們的生命更加安康,透過這次消防演練,我看到了生命的延續(xù),無私無畏精神的體現(xiàn),更加體現(xiàn)出我們的本質(zhì),在慌亂中有備不亂的逃生,這是我們對生命的尊重,對生命的肯定和愛護。

安全職責大于天,生命誠可貴,在生命面前我們要重視自己的職責,安全為自己的生命豎立一道堅固的堡壘。將不安全因素阻擋在外,將萌芽扼殺在搖籃中。為了生命而奮斗,為了家人和自己而去踐行安全準則。

在火災面前,要迅速逃生,不要貪戀財物,只有生命在,錢財隨時都能夠賺回來,不要迎風快跑,更不要乘坐電梯逃生,以免被困無法脫險,要捂住口鼻,彎腰前行,以免吸入超多煙霧導致窒息,如果煙霧過大,無法逃生,等待救援,發(fā)出救援信號,水火無情,在災害面前,我們要有一顆平靜的心來應對,更要了解一些常識性的逃生方法和急救方法和措施。在災害面前,我們的力量是弱小的,我們務必要珍惜自己的生命。

不要玩火、不要抽煙、不要隨意點火,注意自身安全,珍愛他人健康,我們要珍愛生命,遠離火災。

消防演練心得感悟4為增強全校師生的消防安全意識,初步掌握火場逃生、自救的方法,提高同學們對發(fā)生火災等突發(fā)事件的應變能力,3月11日下午我們在學校舉辦了針對全體師生的消防演練應急活動。通過這次演習,同學們對應急疏散的程序,逃生和滅火知識有了切身的體會,一定程度上對火災事故應急疏散、正確逃生有了進一步的實際體驗。

下午第三節(jié)課,教室里按照正常的課程進行教學著,不一會兒隨著一聲刺耳的警報聲,消防演練正式開始。為了讓演習更有真實性,學校分別在二樓、三樓設置了兩個模擬火點。各年級的學生在聽到指令后,在班主任的帶領下,安全、有序、迅速撤離教室,并按指定路線到達安全地帶。同學們立即按照正確的逃生方法去做,都用袖口捂住口鼻然后彎著腰快速地,有秩序地向教室外逃生,在老師們組織學生向外逃生時,心里很緊張,直到我確定最后一名同學走出教室時,我才急忙追趕上最后的隊伍,全班脫離危險區(qū)到達安全的操場上時,用時只有一分鐘,并且無一人走失.這時,我那顆懸著的心才平靜下來.原來的一場演習,老師和同學的緊張?zhí)由鷧s好像置身于真的火災逃生中.在大家的共同努力下,這次消防演練順利完成。

演練結(jié)束后,消防員對本次活動進行了總結(jié),為同學們提出了一些安全建議,提醒大家不忘安全意識。同時為了使學生對消防演習更加的深刻認識,進行了一個類似逃生的“瓶口逃生”小游戲,每個班級派代表上臺進行游戲,讓學生從這個小游戲中認識到,逃生的有序的重要性,肯定了這次演練活動的成功,也指出了一些不足的地方。

這次消防演習活動,不僅讓學生們樹立了“以人為本,生命至上”的思想信念,又讓師生們學會了怎樣預防火災和火災中的逃生方式,進一步增強了學校的消防安全意識和廣大師生的逃生自救能力,也為學校今后處理各類安全應急預案和實際操作提供了一次難得的機會。

消防演練心得感悟5中午2:30,校園里濃煙滾滾,隨后陣陣火警聲響徹校園。隨著陣陣火警聲,從廣播里傳來了繆老師焦急的聲音:“同學們請注意!請注意!火勢已經(jīng)曼延到了一樓,請一樓的同學火速撤離教室!一樓的同學聽到警報聲后,連忙從位子上站起來,貓著腰火速離開了教室。等一樓的同學撤離后,廣播里又傳來了繆老師急促的聲音:“三樓的同學請注意!請注意!緊張的逃生剛結(jié)束,接著是滅火演習。校長洪亮地宣布:“滅火演習現(xiàn)在開始!”話音剛落,操場上響起來熱烈的掌聲。消防叔叔們把火點燃了?;鸷么笱剑谶@燃眉之急,消防叔叔個個拿起滅火器直往火爐里噴,只見粉沫紛飛,我還來不及看清楚,火竟然滅了,叔叔的動作好快呀!還向大家介紹了消防車上的裝備,示范了快速穿消防服。同學們也積極參與到實踐體驗中來。雖然他們的動作有點生疏,但熱情非常高。

在這次消防演習中,我學會了如何安全的逃身、如何滅火、如何快速穿消防服,知道了消防車上的一些裝備。也深深的明白了遇到任何事情要鎮(zhèn)靜,不要慌張。---------曾經(jīng)的我們,不知道進行過多少次的消防演練?!澳銈兇蠹乙欢ㄒ懦梢魂牐灰獡頂D,一定要迅速的跑去操場集合,這是要進行考核的?!卑嘀魅我淮斡忠淮蔚姆磸椭貜椭@些話,可每當我們聽到警報一響的時候,就會迅速的沖出教室,剛才班主任說的一切好像都拋到耳后去了。可這一次卻不一樣,所有人井然有序的從班級出來,排成很整齊的一隊迅速地下樓,聽著那按照規(guī)律發(fā)出的腳步聲,我心里不知怎么的就冒出了一個念頭:大家,真的都長大了。是啊,又是一年,又長大了一歲,按照爸媽的話就是:咱又老了一歲。我們真的有成熟了一些,老師說的每一句話都會放在心頭了,都會銘記在心里的最深處,因為那時我們最最寶貴財富。

這次的消防演練和以往的不同,我們還真正的親手去體驗了一把用滅火器滅火的滋味,雖然說并不是所有人都嘗試了,但是我們都看見了那個場景,看著濃濃的白煙飄過來,雖然說很嗆,但是我們經(jīng)歷過了“火災”,我們以后就不會再害怕了對不對?我們都學會了要如何使用滅火器。其實,最后回班的時候我碰見體育老師了,我悄悄地問了一句:“滅火器好不好玩?”他告訴我說很好玩,我也很想去玩玩,但是我又不想要遇到危險,所以呢,還是算了吧。為了自己的生命安全。我不知道為什么,自己會有想玩滅火器的想法,我在想,我只是個孩子,我無權去考慮任何人的事情,但是,我覺得,我們可以真正的去了解安全、這個詞了。

篇2

“中國企業(yè)員工的信息安全意識可謂不容樂觀,提升員工信息安全意識刻不容緩。”谷安天下副總經(jīng)理魏彩霞對當前企業(yè)員工的信息安全意識現(xiàn)狀表示擔憂,“不同行業(yè)的信息安全意識現(xiàn)狀不同,電信、金融等行業(yè)由于業(yè)務的特殊性,安全意識較高,而其他行業(yè)的信息安全意識整體狀況則依舊薄弱”。

調(diào)查顯示,接近50%的受訪者認為單位領導的信息安全意識一般、很差或者還不如自己。而據(jù)魏彩霞介紹,一些企業(yè)中即使領導非常重視信息安全,希望提升員工的保密意識,但“只是看到別人的明文密碼導致信息泄漏就更改自己的網(wǎng)頁設置等單個事件,并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識”。

由于員工信息安全意識薄弱而給企業(yè)帶來災難性損失的案例屢見不鮮。據(jù)統(tǒng)計,世界上每分鐘就有兩家企業(yè)因為信息安全的問題而倒閉。而在所有信息安全事件中,只有20%~30%是因為黑客入侵或其他外部原因造成,另外70%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成,而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

篇3

隨著計算機軟件技術的發(fā)展,特別是分布式和軟件移動計算的廣泛應用,使得系統(tǒng)開放性越來越強,局域網(wǎng)內(nèi)的用戶都可能訪問到應用系統(tǒng)和數(shù)據(jù)庫,這給醫(yī)院信息安全帶來了極大的挑戰(zhàn)。從收費數(shù)據(jù)到醫(yī)療信息、從病人隱私保密到管理信息的保密,都要求醫(yī)院管理系統(tǒng)要處于高度安全的環(huán)境中。醫(yī)院信息系統(tǒng)的穩(wěn)定和安全運行,是醫(yī)院持續(xù)正常工作的組成部分。作為一個持續(xù)運行的事務處理系統(tǒng),要求能每天24小時不間斷運行,不希望有中斷,否則會使醫(yī)院的聲譽受到影響。同時,隨著業(yè)務的發(fā)展,系統(tǒng)數(shù)據(jù)量的增加,要求系統(tǒng)能穩(wěn)定地運行,不能使系統(tǒng)性能快速降低。在一些重要的系統(tǒng)中,如財務、人事、醫(yī)保實時交易等信息,已經(jīng)不能滿足于簡單的本地保護,要求有更高的系統(tǒng)可靠性,保證系統(tǒng)能進行容災保護。一旦出現(xiàn)異常情況,如火災、爆炸、地震、水災、雷擊或某個方向線路故障等自然原因以及電源機器故障、人為破壞等非自然原因引起的災難后,系統(tǒng)能快速穩(wěn)定地恢復正常工作。因此,信息安全已經(jīng)不是人們傳統(tǒng)意義上的安全概念,是要保證系統(tǒng)避免一系列威脅,保證醫(yī)院業(yè)務的連續(xù)性,最大限度地減少醫(yī)院業(yè)務的損失,為醫(yī)院的業(yè)務發(fā)展提供信息安全保障。本文作者根據(jù)多年來從事醫(yī)院管理信息系統(tǒng)和網(wǎng)絡系統(tǒng)的建設及維護工作的經(jīng)驗出發(fā),探討安全建設和日常維護工作。

二、安全的硬指標

系統(tǒng)安全的硬指標考慮的問題是多方面的,包括如下。

(一)中心機房安全

中心機房是醫(yī)院信息系統(tǒng)設備的存放地,包括數(shù)據(jù)庫服務器、磁盤陣列、網(wǎng)絡主交換、應用服務器等設備,因此對環(huán)境的要求極高,應該做到:1.機房供電不少于兩路;2.雙路UPS供電、并采用智能報警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災探測器、防竊探測器;5.溫度、濕度恒定,防塵,防蟲鼠;6.三相四線雙變電站供電,安裝應急照明系統(tǒng);7.專用機房接地系統(tǒng),與主配線柜、主設備柜、防靜電地板下的接地線(環(huán))相連;全方位防雷系統(tǒng),強電、弱電都應安裝防雷保護器等。

(二)服務器及服務器操作系統(tǒng)安全

服務器是數(shù)據(jù)處理的核心單元,是軟件安全的基礎,因此,其安全應該做到:1.根據(jù)醫(yī)院業(yè)務狀況決定采用PC服務器或小型機,并配備磁盤陣列、冗余電源、大規(guī)模內(nèi)存和高速緩存的自動糾錯,保證在連續(xù)工作狀態(tài)下保持穩(wěn)定、快速;2.對服務器進行隔離,并采取嚴格的安全管理,各開箱鎖單獨保存;3.應用程序服務器和數(shù)據(jù)庫服務器必須嚴格分開;4.服務器操作系統(tǒng)應采用安全機制較高的系統(tǒng),如Windows2000或Unix等;5.網(wǎng)絡操作系統(tǒng)的用戶資源權限控制以及安全審計等功能必須開啟;6.操作系統(tǒng)不相關的應用服務必須關閉;7.操作系統(tǒng)安全布丁必須定時更新。

(三)群集技術及磁盤陣列的可靠性

群集技術是能使服務器連續(xù)可靠運行的重要保證,簡單地說是兩臺服務器采用雙機熱備份工作狀態(tài),當一臺機器出現(xiàn)問題后另一臺機器能快速接替主服務器的工作;服務器中易損部件是硬盤,硬盤損壞可以造成系統(tǒng)癱瘓,因此采用磁盤陣列進行冗余,其要求如下:1.為了避免出現(xiàn)災難性后果,必須每天檢查群集工作狀態(tài);2.當群集中一臺機器出現(xiàn)問題時應該馬上解決,檢查主服務器,盡早恢復其工作;3.RAID保證數(shù)據(jù)庫的高可靠性,保證在部分存儲介質(zhì)損壞時數(shù)據(jù)不丟失;4.必須定時檢查硬盤工作情況,發(fā)現(xiàn)問題及時處理。

(四)網(wǎng)絡安全

網(wǎng)絡安全主要是指當用戶通過網(wǎng)絡訪問應用服務器和數(shù)據(jù)庫服務器時如何保證網(wǎng)絡鏈路的安全,包括網(wǎng)絡布線安全和網(wǎng)絡設備安全。特別還應注意設備的軟故障,軟故障將造成網(wǎng)絡系統(tǒng)長時間無法正常運行,使得醫(yī)院處于一種半癱瘓狀態(tài)。軟故障包括廣播風暴、交換機等設備處于時好時壞狀態(tài)、網(wǎng)絡以極慢速率傳輸數(shù)據(jù)、頻繁出現(xiàn)丟包現(xiàn)象等,因此,基于安全的要求:1.對于光纖介質(zhì)要求包括溫差、陽光、鼠害、碰撞摩擦、拐角半徑等的防護環(huán)境;2.對于雙絞線介質(zhì)要求包括磁場、雷擊、電磁干擾、鼠害、溫差、濕度等的防護環(huán)境;3.網(wǎng)絡設備對環(huán)境的要求包括溫度、濕度、潔凈度、電源質(zhì)量等;4.核心交換機也須采用雙冗余進行備份,確保該交換機出現(xiàn)故障后備份交換機能迅速接替工作;5.定時觀察服務器網(wǎng)絡傳輸數(shù)率。

(五)數(shù)據(jù)庫安全

在醫(yī)院信息系統(tǒng)的后臺,數(shù)據(jù)信息是整個系統(tǒng)的靈魂,其安全性至關重要,而數(shù)據(jù)庫管理系統(tǒng)是保證數(shù)據(jù)能有效保存、查詢、分析等的基礎;數(shù)據(jù)被安全存儲、合法地訪問數(shù)據(jù)庫以及跟蹤監(jiān)視數(shù)據(jù)庫,都必須具有數(shù)據(jù)有效訪問權限,所以應該實現(xiàn):1.數(shù)據(jù)庫管理系統(tǒng)提供的用戶名、口令識別,試圖、使用權限控制、審計、數(shù)據(jù)加密等管理措施;2.數(shù)據(jù)庫權限的劃分清晰,如登錄權限、資源管理權限和數(shù)據(jù)庫管理權限;3.數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲過程的執(zhí)行等的權限必須清晰;4.建立用戶審計,記錄每次操作的用戶的詳細情況;建立系統(tǒng)審計,記錄系統(tǒng)級命令和數(shù)據(jù)庫服務器本身的使用情況。

(六)數(shù)據(jù)存儲安全

數(shù)據(jù)存儲安全是數(shù)據(jù)庫存儲的信息不能因自然災害、人為原因和設備損壞而被破壞,同時保證數(shù)據(jù)可以長期保存,備份的數(shù)據(jù)可以正確恢復,其要求如下:1.建立數(shù)據(jù)備份方案,嚴格按照規(guī)定的備份時間、方式進行數(shù)據(jù)備份;2.數(shù)據(jù)備份要有多重冗余備份,要有異地數(shù)據(jù)備份,當某一地點數(shù)據(jù)丟失或破壞時,另一地點保存的副本可用于恢復;3.數(shù)據(jù)部分的有效性檢查,保證備份的數(shù)據(jù)萬無一失,做到定期檢查;4.建立快速恢復機制,明確出現(xiàn)故障后的快速恢復手段與方法,而且必須對之進行階段性檢查,進行災難模擬測試。

(七)應用軟件的安全

由于醫(yī)院信息系統(tǒng)的用戶量大、數(shù)據(jù)量大、涉及面廣、職責多樣、業(yè)務流程復雜和權限管理復雜等,所以對應用程序,系統(tǒng)安全設計的要求很高。1.設計安全審計功能,且每個審計事件都應和觸發(fā)該行為的用戶身份相關聯(lián);2.審計查閱功能,為審計功能提供清晰易懂的審計日志;3.審計事件存儲,審計日志存儲空間溢滿時能導出審計日志并妥善保存;4.設計訪問控制策略和訪問控制功能;5.設計用戶標識、用戶主體綁定;6.設計多重會話并發(fā)限制、會話鎖定。

(八)病毒防護和防黑客攻擊安全

計算機病毒在網(wǎng)絡中的危害遠大于對單機的危害。網(wǎng)絡發(fā)生計算機病毒后最難處理的問題是清除病毒。對于服務器等關鍵設備應安裝殺毒軟件和防黑客攻擊軟件,網(wǎng)絡環(huán)境下要把防止計算機病毒進入系統(tǒng)放在首位,基于以上安全特性,要求:1.設備VLAN,在主域服務器上安裝網(wǎng)絡版殺毒軟件和防黑客攻擊軟件;2.定時更新病毒庫和殺毒引擎;3.定時更新操作系統(tǒng)漏洞布丁;4.關閉不用的操作系統(tǒng)服務;5.關閉不用的端口;6.盡量將醫(yī)院的內(nèi)網(wǎng)與外網(wǎng)做到物理上的完全隔離。

三、安全的軟指標

系統(tǒng)安全的軟指標是指管理制度、應急方案、操作規(guī)范和安全培訓制度等。

(一)組織

成立系統(tǒng)安全工作領導小組、確定第一責任人、責任部門、相關部門和部門負責人,明確安全責任制,并定期檢查、督促落實。

(二)制度

建立信息安全管理制度也是安全管理的重要組成部分;完整的計算機文檔是分析故障、排除故障的基礎,是系統(tǒng)正常運行的保證;工作制度的建立與系統(tǒng)建設同步開始;同時,在日常工作中應該根據(jù)系統(tǒng)設置的變化進行修改,保證文檔和制度能真實反映系統(tǒng)狀態(tài),具體制度為:1.建立網(wǎng)絡服務器管理制度;2.建立網(wǎng)絡設備管理制度;3.建立網(wǎng)絡工作站管理制度;4.建立網(wǎng)絡工作人員管理制度;5.技術文檔管理制度;6.“第三方”訪問管理制度。

(三)信息安全操作規(guī)范

很多安全隱患都來自于操作不規(guī)范,口令定期調(diào)整、程序升級、日志檢查都可能杜絕掉很多安全隱患,因此,應建立如下規(guī)范:1.建立操作系統(tǒng)操作規(guī)范;2.建立數(shù)據(jù)庫系統(tǒng)操作規(guī)范;3.應用系統(tǒng)操作規(guī)范。

(四)應急方案

醫(yī)院信息系統(tǒng)應急方案是在計算機出現(xiàn)故障,且不能短期完全恢復運行,并影響到局部或整體工作時,只有采用人工的方式來開展工作,保證正常醫(yī)療活動不被完全打亂,因此應做到:1.確定應急方案實施責任制;2.應急方案實施范圍和時間;3.應急方案通報制度;4.系統(tǒng)故障一般應急措施;5.業(yè)務應用應急實施細則。

(五)安全培訓制度

信息中心應負責全院相關部門和人員的信息系統(tǒng)安全教育和使用培訓的計劃制定、實施和組織協(xié)調(diào)工作:1.制定相應的安全培訓大綱、培訓計劃,有計劃地加以實施;2.對醫(yī)院決策層和管理層的應知應會培訓,充分認識信息安全的重要性和信息安全防御體系建設的必要性;3.對計算機科室管理人員的技能培訓;4.對操作層面人員的使用培訓;5.知識更新培訓及業(yè)務再培訓。

四、探討

以上的框架描述只是從作者的工作經(jīng)驗和部分理論指導的角度出發(fā),因此很多地方還有待探討。不同的醫(yī)院有不同的情況,不能一概而論,包括管理現(xiàn)狀、資金狀況、人員配備、技術支持等都會影響到信息安全的實施。醫(yī)院如何開展信息安全工作,應該本著從實際出發(fā)的精神,先進行風險評估,研究信息系統(tǒng)存在的漏洞缺陷、面臨的風險與威脅,對于可能發(fā)現(xiàn)的漏洞、風險,制定相應的策略:首先在技術上,確定操作系統(tǒng)類型、安全級別,以選擇合適的安全的服務器系統(tǒng)和相關的安全硬件;再確定適當?shù)木W(wǎng)絡系統(tǒng),從安全角度予以驗證;選擇合適的應用系統(tǒng),特別要強調(diào)應用系統(tǒng)的身份認證與授權。在行為上,對網(wǎng)絡行為、各種操作進行實時的監(jiān)控,對各種行為規(guī)范進行分類管理,規(guī)定行為規(guī)范的范圍和期限,對不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項安全制度,并定期檢查、督促落實;確定醫(yī)院的安全領導小組,合理分配職責,做到責任到人。當然,還要意識到信息安全工作的開展有可能會影響到系統(tǒng)使用的方便性,畢竟,安全和方便是矛盾的統(tǒng)一體,要安全就不會很方便,相關工作效率必定降低,要方便則安全得不到保證,因此必須權衡估量。

篇4

信息安全是國家安全的基礎和關鍵,在信息安全保障的三大要素(人員、技術、管理)中,管理要素的地位和作用越來越受到重視。面對越來越嚴重的安全威脅,不單在IT技術領域,各行業(yè)的企業(yè)組織都越來越意識到信息安全的重要性,但單純依靠技術方案來并不能解決如何保護企業(yè)信息資產(chǎn)的問題,因此這對當前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

 

一、信息安全培訓體系概況

 

信息安全培訓作為高校信息安全專業(yè)教育的一種重要補充,主要用于解決學歷教育和社會實踐、社會認證培訓的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問題?,F(xiàn)有培訓主要可分為四類。

 

第一,安全意識培訓:其面向機構一般員工、非技術人員以及所有信息系統(tǒng)的用戶,目的是提高整個組織普遍的安全意識和人員安全防護能力,使組織員工充分了解既定的安全策略,并能夠切實執(zhí)行。

 

第二,安全技能培訓:其面向機構網(wǎng)絡和系統(tǒng)管理員、安全專職人員、技術開發(fā)人員等,目的是讓其掌握基本的安全攻防技術,提升其安全技術操作水平,培養(yǎng)解決安全問題和杜絕安全隱患的技能。

 

第三,安全管理培訓:其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員,目的是提升組織整體的信息安全管理水平和能力,幫助組織有效建立信息安全管理體系。

 

第四,認證資質(zhì)培訓:其針對特殊崗位所需的職能人員,包括審核部門、監(jiān)管部門、信息保障部門等。通過提供國際信息安全相關認證考試的輔導培訓,可以幫助人員順利通過考試獲得各類信息安全資質(zhì)認證培訓。

 

前三類認證主要依托專業(yè)的培訓機構或安全設備廠商進行。第四類培訓是當前培訓的主體。

二、信息安全相關資質(zhì)認證培訓情況

 

資質(zhì)認證類培訓是針對資質(zhì)認證特點和內(nèi)容要求設計,依托專業(yè)機構進行的。一些認證的培訓機構是由資質(zhì)管理機構專門指定的。當前,信息安全相關資質(zhì)認證主要分三類:

 

第一,國內(nèi)以信息產(chǎn)業(yè)部,信息安全評測機構為代表的組織來管理實施的信息安全資格認證(或與國際組織聯(lián)合頒發(fā));這類的認證培訓有:CISP培訓、NCSE培訓、CISM培訓、INSPC培訓、CIW認證培訓等。

 

第二,由國外軟件、網(wǎng)絡產(chǎn)品廠商自己組織管理的產(chǎn)品專家認證(側(cè)重于廠商產(chǎn)品、技術認證);相關的認證培訓有:微軟Microsoft認證培訓、思科安全認證CCSP培訓、趨勢認證信息安全TCSE培訓等。

 

第三,國際權威信息安全組織、研究部門或培訓機構組來管理組織的國際化專業(yè)資格認證。相關的認證培訓有:信息系統(tǒng)安全認證CISSP培訓、信息安全管理體系主任審核員ISO 27001培訓、國際注冊信息系統(tǒng)審計師認證CISA培訓、國際IT運營與服務管理資格認證ITIL培訓等。

 

下面以CISP培訓為例,分析其知識體系構建情況。

 

CISP即“注冊信息安全專家”,是國家對信息安全人員資質(zhì)的最高認可。其經(jīng)由中國信息安全測評中心實施國家認證。CISP認證和培訓賦予如下專業(yè)資質(zhì)和能力:有關信息安全企業(yè)、咨詢服務機構、測評認證機構、授權測評機構和企事業(yè)有關信息系統(tǒng)建設、運行和應用管理的技術部門和標準化部門必備的專業(yè)崗位人員。

 

在整個CISP的知識體系結(jié)構中,共包括信息安全保障概述、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)這五個知識類。 CISP知識體系以信息安全保障為主線,全面覆蓋信息安全保障工作所需的基礎、標準、法規(guī)、技術、管理和工程等領域。CISP培訓知識體系結(jié)構共包含五個知識類,分別為:(1)信息安全保障概述:介紹了信息安全保障的框架、基本原理和實踐,它是注冊信息安全專業(yè)人員首先需要掌握的基礎知識。(2)信息安全技術:主要包括密碼技術、訪問控制、審計監(jiān)控等安全技術機制,網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫和應用軟件等方面的基本安全原理和實踐,以及信息安全攻防和軟件安全開發(fā)相關的技術知識和實踐。(3)信息安全管理:主要包括信息安全管理體系建設、信息安全風險管理、安全管理措施等相關的管理知識和實踐。(4)信息安全工程:主要包括信息安全相關的工程的基本理論和實踐方法。(5)信息安全標準法規(guī):主要包括信息安全相關的標準、法律法規(guī)、政策和道德規(guī)范,是注冊信息安全專業(yè)人員需要掌握的通用基礎知識。

 

CISP的注冊要求如下:

 

第一,教育與工作經(jīng)歷:碩士研究生以上,具有1年工作經(jīng)歷;或本科畢業(yè),具有2年工作經(jīng)歷;或大專畢業(yè),具有4年工作經(jīng)歷。

 

第二,專業(yè)工作經(jīng)歷:至少具備1年從事信息安全有關的工作經(jīng)歷。

 

第三,培訓資格:在申請注冊前,成功地完成了CNITSEC或其授權培訓機構組織的注冊信息安全專業(yè)人員培訓課程相應資質(zhì)所需的分類課程,并取得培訓合格證書。

 

第四,通過由CNITSEC舉行的注冊信息安全專業(yè)人員考試。

 

三、信息安全專業(yè)培訓體系構建的建議

 

1.構建完善的高校信息安全專業(yè)人才培訓體系

 

傳統(tǒng)的培訓體系,比較側(cè)重于知識和技能傳授的過程控制,在對知識的共享、隱性知識的轉(zhuǎn)換等方面,已經(jīng)不能滿足當前的要求,高??梢酝ㄟ^借鑒、學習CISP認證和培訓體系結(jié)構和CISSP認證課程內(nèi)容設置,從信安全崗位所需的基礎、標準、法規(guī)、技術、管理和工程等領域來完善信息安 全專業(yè)人才培訓體系。根據(jù)培訓對象的不同將課程分為五種類型(層次):操作層面的基本安全意識培訓;

 

技術層面的各項安全技能培訓;管理層面的信息安全管理培訓;專家級的資質(zhì)認證培訓。當然在培訓體系里面信息安全技術方面的培訓仍然是重點,為了加強網(wǎng)絡基礎設施等新興重點網(wǎng)絡安全技術領域的培訓,可以參考思科安全認證CCSP培訓的模式,對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網(wǎng)絡安全防護裝備進行系統(tǒng)性的專題培訓。

 

2.建立逐級培訓的信息安全專業(yè)人才培訓模式

 

當前信息安全技術的發(fā)展日新月異,信息化的網(wǎng)絡攻防形式也發(fā)生著翻天覆地的變化,因此對于信息安全專業(yè)人員的培訓,僅靠一兩次培訓是遠遠不夠的,必須連續(xù)、有針對性的接受相應崗位和層次的逐級培訓,才能保證知識、能力結(jié)構的不斷優(yōu)化和提高。在逐級培訓過程中要明確不同職務、技術等級的不同要求,使得逐級培訓過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓、認證,便不能參加后門高級別的培訓。同時利用職業(yè)資格證、學歷證書、執(zhí)行證書等為牽引,通過多階段培訓、資格培訓、升級培訓使得知識結(jié)構、能力素質(zhì)、崗位需求同步發(fā)展,取得相應的職業(yè)證書才能晉升上崗,否則不予任用。

 

3.通過合理的認證標準來動態(tài)更新和完善培訓體系的目標任務

 

只有對培訓成果進行合理判斷,確定受訓人員知識技能水平的提高幅度,才能了解培訓項目是否達到原定的目標和要求,從而為進一步改進培訓體系提供重要依據(jù)。通過對培訓人員最終考評成績的分析以及部隊調(diào)研,培訓學員信息反饋等方式,針對培訓內(nèi)容和教學組織形式聽取意見,并及時調(diào)整,使得培訓效果真正適應培訓學員的實際需求,提高培訓效果。這樣才能在保持相對穩(wěn)定的情況下對培訓內(nèi)容實施動態(tài)更新,不斷完善。

篇5

論文關鍵詞:電力;信息安全;解決方案;技術手段

1電力信息化應用和發(fā)展

目前,電力 企業(yè) 信息化建設硬件環(huán)境已經(jīng)基本構建完成,硬件設備數(shù)量和網(wǎng)絡建設狀況良好,無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實現(xiàn)了信息化,企業(yè)信息化已經(jīng)成為新世紀開局階段的潮流。在網(wǎng)絡硬件方面,基本上已經(jīng)實現(xiàn)千兆骨干網(wǎng);百兆到桌面,三層交換;vlan,mpls等技術也普及使用。在軟件方面,各應用十要包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關的應用子系統(tǒng)等。 計算 機及信息網(wǎng)絡系統(tǒng)在電力生產(chǎn)、建設、經(jīng)營、管理、科研、設計等各個領域有著十分廣泛的應用,安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和 經(jīng)濟 效益,同時也逐步健全和完善了信息化管理機制,培養(yǎng)和建立了一支強有力的技術隊伍,有利促進了電力 工業(yè) 的發(fā)展。

2電力信息網(wǎng)安全現(xiàn)狀分析

結(jié)合電力生產(chǎn)特點,從電力信息系統(tǒng)和電力運行實時控制系統(tǒng)2個方面,分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡和電力運行實時控制網(wǎng)絡進行隔離,網(wǎng)絡間設置了防火墻,購買了網(wǎng)絡防病毒軟件,有了數(shù)據(jù)備份設備。但電力信息網(wǎng)絡的安全是不平衡的,很多單位沒有網(wǎng)絡防火墻,沒有數(shù)據(jù)備份的概念,更沒有對網(wǎng)絡安全做統(tǒng)一,長遠的規(guī)劃,網(wǎng)絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求,對網(wǎng)絡安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網(wǎng)管軟件的安裝、verjtas備份系統(tǒng)的使用,確保了信息的安全,為生產(chǎn)、營業(yè)提供了有效的技術支持。但有些方面還不是很完善,管理起來還是很吃力,給網(wǎng)絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

3電力信息網(wǎng)安全風險分析

計算機及信息網(wǎng)絡安全意識亟待提高。電力系統(tǒng)各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現(xiàn)的信息安全問題認識不足。

缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網(wǎng)絡系統(tǒng)安全運行的管理規(guī)范。

急需建立同電力行業(yè)特點相適應的計算機信息安全體系。相對來說,在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運行,應建立一套結(jié)合電力計算機應用特點的計算機信息安全體系。

計算機網(wǎng)絡化使過去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后,面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計算機系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡病毒、木馬和電腦黑客等。

數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。電力系統(tǒng)計算機網(wǎng)絡中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質(zhì)的人可以讀出這些信息;黑客可以饒過操作系統(tǒng),數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認證。電力行業(yè)應用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設計和開發(fā),用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應用系統(tǒng)還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事,沒有完善的數(shù)據(jù)備份設備、沒有數(shù)據(jù)備份策略、沒有備份的管理制度,沒有對數(shù)據(jù)備份的介質(zhì)進行妥善保管。 

4電力信息網(wǎng)安全防護方案

4.1加強電力信息網(wǎng)安全 教育

安全意識和相關技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實施力度將直接關系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效,高級管理部門應當對企業(yè)各級管理人員、用戶、技術人員進行安全培訓。所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。

信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。

4.2電力信息髓安全防護技術措旌

(1)網(wǎng)絡防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。d m z區(qū)放置了企業(yè)對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。

(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。

(3)入侵檢測系統(tǒng):部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監(jiān)控,提供 企業(yè) 級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為 網(wǎng)絡 管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術,具有高可靠性、高識別率、規(guī)則更新迅速等特點。

(4)網(wǎng)絡隱患掃描系統(tǒng):網(wǎng)絡隱患掃描系統(tǒng)能夠掃描網(wǎng)絡范圍內(nèi)的所有支持tcp/ip協(xié)議的設備,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網(wǎng)絡中不同的位置對網(wǎng)絡設備進行掃描。

掃描結(jié)束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網(wǎng)絡防病毒:為保護電力信息網(wǎng)絡受病毒侵害,保證網(wǎng)絡系統(tǒng)中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網(wǎng)絡的核心,對整個網(wǎng)絡部署查、殺毒,服務器通過internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網(wǎng)絡防病毒軟件應能夠適應各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應用軟件。

(6)數(shù)據(jù)加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?,實現(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過vpn技術,提高實時的信息傳播中的保密性和安全性。

(7)數(shù)據(jù)備份:對于企業(yè)來說,最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設施及切合實際的數(shù)據(jù)備份策略。

(8)數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。 

4.3電力信息網(wǎng)安全防護管理措施

技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網(wǎng)絡安全的長期性和穩(wěn)定性才能有所保證。

(1)要加強信息人員的安全 教育 ,保持信息人員特別是網(wǎng)絡管理人員和安全管理人員的相對穩(wěn)定,防止網(wǎng)路機密泄露,特別是注意人員調(diào)離時的網(wǎng)絡機密的泄露。

(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調(diào)離時密碼一定要更新。

(3)技術管理,主要是指各種網(wǎng)絡設備,網(wǎng)絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。

(4)數(shù)據(jù)的備份策略要合理,備份要及時,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。

(5)加強信息設備的物理安全,注意服務器、 計算 機、交換機、路由器、存儲介質(zhì)等設備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜。報廢的介質(zhì)要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。

5電力信息網(wǎng)絡安全工作應注意的問題

(1)理順技術與管理的關系。

解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。

(2)解決安全和 經(jīng)濟 合理的關系。安全方案要能適應長遠的 發(fā)展 和今后的局部調(diào)整,防止不斷改造,不斷投入。

(3)要進行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國際上通行的一些標準來實現(xiàn)。

(4)網(wǎng)絡安全是一個系統(tǒng)的、全局的管理問題,網(wǎng)絡上的任何一個漏洞,都會導致全網(wǎng)的安全問題,應該用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡的安全及具體措施。

篇6

關鍵詞 電力企業(yè);信息系統(tǒng);信息安全

中圖分類號 TP 文獻標識碼 A 文章編號 1673-9671-(2011)122-0116-01

電力作為國民經(jīng)濟的基礎設施行業(yè),在國內(nèi)較早開始了信息化建設工作。企業(yè)門戶、安全生產(chǎn)、營銷管理、協(xié)同辦公、電力負荷控制、客戶服務等信息網(wǎng)絡技術已經(jīng)成功應用到各級電力企業(yè)。隨著電力信息化建沒和應用的快速發(fā)展,信息安全問題已日益突出,并成為國家安全戰(zhàn)略的重要組成部分。

研究信息安全技術,建立電力信息系統(tǒng)的安全防護體系和安全模型,對確保電力系統(tǒng)安全穩(wěn)定、經(jīng)濟優(yōu)質(zhì)運行,加速實現(xiàn)“數(shù)字電力系統(tǒng)”的進程具有重要的現(xiàn)實意義。

1 電力信息系統(tǒng)安全需求

一個全面、合理的電力信息系統(tǒng)安全體系和模型,應該滿足下列安全需求。

1)機密性。即確保信息僅對被授權者可用。信息的保護通過確保數(shù)據(jù)被限制于授權者(這里通過可審性來配合)使用,另外還應考慮信息所在的形式和狀態(tài),是物理的紙面形式、電子文檔形式,還是傳輸中的介質(zhì)形式。

2)完整性。是指數(shù)據(jù)不以未經(jīng)授權方式進行改變或損壞的特性。電力企業(yè)的許多開放系統(tǒng)應用都有依賴于數(shù)據(jù)完整性的安全需求。完整性同樣應考慮信息所在的形式和形態(tài)。

3)可用性。指確保被授權用戶在需要時可以訪問系統(tǒng)中的信息和相關資產(chǎn),不會因自然或人為原因使系統(tǒng)中信息的存儲、傳輸或處理延遲,或者系統(tǒng)服務被破壞、被拒絕達到不能容忍的程度。

4)可控性。指授權機構對信息的內(nèi)容及傳播具有控制能力,可以控制授權訪問內(nèi)的信息流向以及方式。

5)不可抵賴性。也稱信息的可確認性,是傳統(tǒng)社會的不可否認需求在信息社會的延伸。不可抵賴性包括:證據(jù)的生成、驗證和記錄,以及在解決糾紛時隨即進行的證據(jù)恢復和再次驗證。

6)可審性??蓪徯圆皇切畔⒆陨淼陌踩枨?,不能針對攻擊提供保護,但具有信息的責任需求,和他安全需求相結(jié)合使之更加有效。雖然可審性需求會增加系統(tǒng)的復雜性,降低系統(tǒng)的使用能力。但是其事后可追查這一特性,在電力信息系統(tǒng)安全中是重要的。

以上六個方面是保證信息系統(tǒng)的信息安全最基本的需求,它們互不能蘊含。

2 電力信息系統(tǒng)面臨的威脅和安全風險

電力信息系統(tǒng)安全在過去幾年雖然已經(jīng)取得了長足發(fā)展,但是在信息系統(tǒng)的規(guī)劃、建設和運行維護過程中需要研究和解決的問題還很多。

1)面臨的威脅電力信息系統(tǒng)面臨的威脅來自各個方面。歸結(jié)起來主要包括以下幾個方面:①電力信息系統(tǒng)組件固有的脆弱性和缺陷;②地震、雷擊、洪災和火災等自然威脅;③意外人為威脅;④惡意人為威脅。

2)電力信息系統(tǒng)存在的安全風險。信息安全風險和信息化應用情況及采用的信息技術密切相關,電力企業(yè)信息系統(tǒng)面臨的主要風險存在于以下幾個方面:①計算機病毒的威脅最為廣泛;②網(wǎng)絡中服務器被黑客攻擊的事件層出不窮;③網(wǎng)絡安全問題日益突出,這是電力企業(yè)面臨的一個非常突出的問題;④電力企業(yè)與外單位信息傳遞的安全不容忽視;⑤電力企業(yè)用戶身份認證和信息系統(tǒng)的訪問控制急需加強。

3 電力信息系統(tǒng)安全的建設

為加強和規(guī)范信息安全工作,提高信息系統(tǒng)整體安全防護水平,實現(xiàn)信息安全的可控、能控、在控,結(jié)合電力企業(yè)自身的特點,堅持“安全第一,防御為主”方針,有目的、合理地設計電力信息系統(tǒng)安全體系和模型,建立健全與信息化相適應的信息安全保障、監(jiān)督體系,積極防御和綜合防范信息技術風險。

1)建立信息安全工作機制。信息系統(tǒng)實行統(tǒng)一領導、分級管理,明確各單位主要負責人是本單位信息系統(tǒng)安全第一責任人。將信息系統(tǒng)安全納入公司安全管理體系,實行專業(yè)管理、歸口監(jiān)督,明確責任人員,提高各級人員的信息安全意識,實現(xiàn)信息系統(tǒng)安全管理和防御措施落實到位。

2)明確信息安全管理范圍和任務。全面加強一體化企業(yè)級信息集成平臺和業(yè)務應用的安全管理,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行。堅持“分區(qū)、分級、分域”總體防護策略,實行“雙網(wǎng)雙機”,按照 “三同步”原則,與信息系統(tǒng)建設同步規(guī)劃、同步建設、同步投入

運行。

3)完善信息安全管理制度體系。統(tǒng)籌規(guī)劃,突出重點,加快信息安全管理制度和標準規(guī)范建設步伐,強化信息安全規(guī)章制度落實工作。嚴格遵守“不上網(wǎng)、上網(wǎng)不”紀律,開展網(wǎng)絡與信息系統(tǒng)定級、審批、備案工作。加強信息系統(tǒng)運行維護全過程管理,不斷完善應急預案。建立備份與恢復管理相關安全管理制度。

4)嚴格執(zhí)行電力二次系統(tǒng)安全防護規(guī)定。要切實貫徹落實電力二次系統(tǒng)安全防護總體方案及各級調(diào)度中心二次系統(tǒng)安全防護方案,切實將其納入電力安全生產(chǎn)管理體系,建立健全電力二次系統(tǒng)安全聯(lián)合防護和應急機制,制定并完善應急預案。按照“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的基本原則,加強調(diào)度數(shù)據(jù)網(wǎng)絡的建設和安全符理。

5)加快信息安全管控手段建設。全面推進個人終端標準化建設工作,實現(xiàn)個人終端補丁程序、病毒軟件自動更新、升級,強化防木馬病毒等安全措施。增加信息安全監(jiān)控措施,加快建立信息安全監(jiān)控手段,實現(xiàn)對防火墻、入侵檢測等安全防護設施的集中監(jiān)視和事件預警。

6)強化信息安全應急與通報工作。不斷完善信息安全應急機制,制定預案,加強演練。規(guī)范信息安全事件通報程序,及時傳達國家和企業(yè)信息安全運行動態(tài),及時響應和處理信息安全事件,加強事件分析,實時安全通告。

7)高度重視信息安全保密工作。嚴格做到“計算機不上網(wǎng),上網(wǎng)計算機不”,禁止內(nèi)容在互聯(lián)網(wǎng)上存儲和交叉使用,加強安全保密管理,嚴格人員審批,及時開展信息系統(tǒng)安全保密檢查,做好文檔的登記、存檔、銷毀、定密、解密等各環(huán)節(jié)工作,及時發(fā)現(xiàn)泄密隱患。

8)提高全員信息安全意識。開展全員信息安全培訓,全面樹立決策層、管理層、操作層信息安全風險意識,不斷積累信息安全管理經(jīng)驗。開展不同層面的安全教育和培訓工作,適應信息技術發(fā)展的潛在

要求。

參考文獻

[1]計算機網(wǎng)絡技術[M].西安電子科技大學出版社,2006.

篇7

[關鍵詞]多體系;整合;實施方案

doi:10.3969/j.issn.1673 - 0194.2015.16.094

[中圖分類號]F279.23 [文獻標識碼]A [文章編號]1673-0194(2015)16-0-01

1 多體系獨立運行存在的問題

公司內(nèi)通常有多個體系同時并存,如質(zhì)量管理體系ISO 9001、職業(yè)健康體系ISO 18000、環(huán)境管理體系ISO 140000、信息安全管理體系ISO 27001、IT服務管理體系ISO 20000以及信息安全資質(zhì)等,讓這些體系“和平共處”非常重要。如不能很好地解決這些體系的共存問題,各個體系將出現(xiàn)“打架”現(xiàn)象,輕則體系運行出現(xiàn)障礙,重則會讓整個公司管理體系運行陷入癱瘓狀態(tài)。

在一些公司中,由于歷史原因,多個體系分別獨立運行,或者僅有少量體系簡單整合,這給體系的良好運轉(zhuǎn)帶來極大挑戰(zhàn)。

1.1 過程文件 “打架”

同樣的事情,可能有多個不同的文件約定,如“培訓管理制度”在多個“體系”中同時存在,不同的“體系”中“培訓管理制度”因特定體系的要求不同,其內(nèi)容亦存在差異,如在ISO 20000體系中的“培訓管理制度”規(guī)定每年年底收集培訓需求并制訂來年培訓計劃,而ISO 27001體系中規(guī)定每年年初收集培訓需求并制訂培訓計劃。這會引起培訓專員在實施培訓時的困惑,不確定究竟要按照哪個“培訓管理制度”執(zhí)行。

1.2 過程難以實施

各個標準體系,其視角不同,對應的約定不同,但這些約定可能是針對公司同一個業(yè)務的不同方面,如在體系中不加以整合,則其實施會遇到很大挑戰(zhàn)。如基于ISO 9001,公司制訂了項目管理過程,針對項目從立項到結(jié)項的一列過程,而公司可能在ISO 27001中的“信息安全管理制度”中,根據(jù)ISO 27001附錄A6.1.5中有關對項目管理中信息安全要求,做出在項目實施過程中的信息安全要求“在項目實施計劃中,采用風險分析方法,分析項目信息安全風險,并根據(jù)分析結(jié)果,制訂信息安全實施措施”。這導致在業(yè)務過程中沒有規(guī)定其實施要求,這些要求反而分散在體系中各個不起眼的過程中,過程實施者在實施時很難聯(lián)想到這些規(guī)定,也無法很好地實施這些規(guī)定。

2 多體系整合實施思路

多體系整合基本上分4步進行。

2.1 合并同類項

這一步相對簡單,將相同的過程合并成同一個過程,如多個體系均有“培訓管理制度”,則保留其中一個就可以。

如果在多個體系中,有相同的管理制度,則保留一個即可,如這些約定有少量不同,則檢查不同點在哪里。不同點一般有兩種情況:一種是各個體系分別增加的,互不影響的約定,如ISO 20000“培訓管理制度”中有關培訓內(nèi)容部分約定需要做IT服務意識培訓,而在ISO 27001中相應內(nèi)容則約定需要做信息安全培訓,則只需要將這些約定整合在一起即可。另外一種情況是有沖突的約定,此時需要仔細分析甄別,取其中的合理成分。

如果在多個體系中,針對不同的業(yè)務,有類似的管理制度,則需將相同的內(nèi)容加以整合,如公司系統(tǒng)集成有“系統(tǒng)集成項目實施制度”,軟件開發(fā)有“軟件開發(fā)項目實施制度”,運維服務有“運維服務項目實施管理制度”,這些項目實施管理制度,表面上看有諸多不同,但實際上,除部分細節(jié)差異外,其管理過程基本上完全一致,對其進行分析、整合,形成統(tǒng)一的、滿足公司所有項目實施的“項目管理制度”,有利于公司的過程規(guī)范和執(zhí)行。

2.2 交叉融合

在該步驟中,將同一個過程中的不同約定,整合在一起,方便過程的執(zhí)行。

如ISO 27001附錄A6.1.5中有關對項目管理中信息安全要求,不再獨立形成文件另行規(guī)定,而是整合在公司的“項目管理制度”中。

在該步驟中,實施的重點在于如何將不同文件的不同規(guī)定整合在一起。

2.3 過程驗證

對每個過程,針對公司的實際情況進行演練和驗證,確保各個過程符合公司現(xiàn)狀,過程定義規(guī)范、完整、可行。

2.4 過程對標

將整合好的管理體系,按照各ISO體系資質(zhì)要求,找出每個標準、每個條款對應的過程文件,形成《標準條款對應一覽表》,以確認體系符合各個標準。

如該步驟不能通過,則返回第三步。

篇8

【關鍵詞】 電力企業(yè);網(wǎng)絡安全;安全策略

一、安全風險分析

電力企業(yè)計算機網(wǎng)絡一般都會將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風險一般為生產(chǎn)設備和控制系統(tǒng)的故障。管理網(wǎng)絡中常見的風險種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權)、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言淪等風險,會使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡中風險的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接,當需要數(shù)據(jù)傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置(一般稱做網(wǎng)閘)。

二、安全需求分析

一般電力企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人3方面著手,其中安全策略是安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網(wǎng)絡信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務系統(tǒng)之間不產(chǎn)生消極影響的技術手段和工具,是確保業(yè)務和業(yè)務數(shù)據(jù)的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業(yè)經(jīng)營鏈中的細胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。

三、安全思想和原則

電力企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務;服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾,保證系統(tǒng)安全事件(計算機病毒、篡改網(wǎng)頁、網(wǎng)絡攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數(shù)據(jù)不丟失。(1)先進的網(wǎng)絡安全技術是網(wǎng)絡安全的根本保證。影響網(wǎng)絡安全的方面有物理安全、網(wǎng)絡隔離技術、加密與認證、網(wǎng)絡安全漏洞掃描、網(wǎng)絡反病毒、網(wǎng)絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現(xiàn)的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網(wǎng)絡使用機構、企業(yè)、單位應建立相應的網(wǎng)絡管理辦法,加強內(nèi)部管理,建立適合的網(wǎng)絡安全管理系統(tǒng)和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網(wǎng)絡安全意識。(3)嚴格的法律法規(guī)是網(wǎng)絡安全保障堅強的后盾。建立健全與網(wǎng)絡安全相關的法律法規(guī),加強安全教育和宣傳,嚴肅網(wǎng)絡規(guī)章制度和紀律,對網(wǎng)絡犯罪嚴懲不貸。

四、安全策略與方法

1.物理安全策略和方法。物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料;要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。

2.訪問控制策略和方法。網(wǎng)絡安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據(jù)業(yè)務功能、信息保密級別、安全等級等要求的差異將網(wǎng)絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡的整體安全水平,目前路由器、虛擬局域網(wǎng)VLAN、防火墻是當前主要的網(wǎng)絡分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結(jié)合起來,實現(xiàn)多重防護體系,防止內(nèi)容非法泄漏,保證應用環(huán)境安全、應用區(qū)域邊界安全和網(wǎng)絡通信安全。

3.開放的網(wǎng)絡服務策略和方法。Internet安全策略是既利用廣泛、快捷的網(wǎng)絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態(tài)度,更要強化內(nèi)部網(wǎng)絡用戶的責任感和守約,必要時增加審計手段。

4.電子郵件安全策略和方法。電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術快速發(fā)展,電力企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。

5.網(wǎng)絡反病毒策略和方法。每個電力企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應用服務還出現(xiàn)了相應的防毒系統(tǒng),如網(wǎng)關型病毒防火墻以及郵件反病毒系統(tǒng)等。

6.加密策略和方法。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、密碼和控制信息,保護網(wǎng)絡會話的完整性。其方法有虛擬私有網(wǎng)、公共密鑰體系、密鑰管理系統(tǒng)、加密機和身份認證鑰匙手段等。

7.攻擊和入侵應急處理流程和災難恢復策略和方法。主要方法是配備必要的安全產(chǎn)品,例如網(wǎng)絡掃描器、防火墻、入侵檢測系統(tǒng),進行實時網(wǎng)絡監(jiān)控和分析,及時找到攻擊對象采取響應的措施,并利用備份系統(tǒng)和應急預案以備緊急情況下恢復系統(tǒng)。

8.安全服務的策略。再好的安全策略和方法都要通過技術和服務來實現(xiàn),安全產(chǎn)品和安全服務同樣重要,只有把兩者很好地結(jié)合起來,才能真正貫徹安全策略。

需要注意的是“最小的成本和以能接受的風險獲得IT投資的最大效益”。一個“大而全”的安全管理系統(tǒng)是不現(xiàn)實的,只有符合企業(yè)信息網(wǎng)絡架構和安全防護體系要求的產(chǎn)品,才能真正達到網(wǎng)絡的防護,一方面避免有漏洞的產(chǎn)品對系統(tǒng)安全造成更大的危害;另一方面避免造成成本上的浪費。目前承包商可以提供的安全服務主要有:安全需求分析、安全策略制定、系統(tǒng)漏洞審計、系統(tǒng)安全加固、緊急事件響應、網(wǎng)絡安全培訓。承包商還可以提供對資產(chǎn)管理保護類的產(chǎn)品,主要有實時監(jiān)控的網(wǎng)管軟件、集中式安全管理平臺、安全監(jiān)控和防御產(chǎn)品、內(nèi)網(wǎng)安全管理、防止內(nèi)部信息泄漏的安全管理、網(wǎng)絡訪問行為與通信內(nèi)容審計等。

目前,計算機網(wǎng)絡與信息安全已經(jīng)被納入電力企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負責、聯(lián)合保護、協(xié)調(diào)處置”的原則,與電力企業(yè)主業(yè)一樣實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針,在建立健全企業(yè)內(nèi)部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據(jù)科學的網(wǎng)絡安全策略,定期進行風險評估/分析和審計,采用適合的安全產(chǎn)品,確保各項電力應用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力企業(yè)創(chuàng)造新業(yè)績鋪路架橋。

篇9

2010年,衛(wèi)生系統(tǒng)各單位、各部門圍繞繼續(xù)擴大衛(wèi)生信息化覆蓋的范圍和領域,提高衛(wèi)生信息化應用水平,保障系統(tǒng)安全,持續(xù)努力工作,取得了顯著成績。受北京市衛(wèi)生系統(tǒng)信息化領導小組委托,現(xiàn)在由我向大家做工作報告,總結(jié)2010年工作,部署2011年重點任務。

2010年衛(wèi)生信息化工作情況

1. 積極推動醫(yī)改各項工作

2009年國家頒布新醫(yī)改方案,2010年北京市制定“北京市2010~2011深化醫(yī)藥衛(wèi)生體制改革實施方案”。關于衛(wèi)生信息化工作,在北京的醫(yī)改文件中提出:“啟動醫(yī)藥衛(wèi)生信息綜合服務平臺建設前期工作。探索利用網(wǎng)絡信息技術,試點發(fā)展遠程會診。推進信息化標準建設,逐步統(tǒng)一規(guī)范醫(yī)院信息系統(tǒng)數(shù)據(jù)接口和信息采集,推進公共衛(wèi)生、醫(yī)療、醫(yī)保、藥品、財務監(jiān)管等信息系統(tǒng)互聯(lián)互通工作。提高信息化水平,城鄉(xiāng)居民電子健康檔案建檔率達到20%?!?/p>

2. 衛(wèi)生信息化人員機構和隊伍建設又見成效

2010年,昌平區(qū)衛(wèi)生局新成立了信息中心,使我市16個區(qū)縣中,區(qū)縣衛(wèi)生局成立信息中心的數(shù)量達到12個。目前,只有海淀、豐臺、通州、門頭溝4個區(qū)縣衛(wèi)生局仍然沒有成立信息中心。

3. 堅持衛(wèi)生信息化行業(yè)管理不松懈

自2003年后,為避免信息化建設各自為政、重復建設、盲目建設、數(shù)據(jù)多頭采集,北京衛(wèi)生信息化按照“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一建設、統(tǒng)一管理”的“四統(tǒng)一”原則開展工作。

起草《北京市“十二五”衛(wèi)生信息化規(guī)劃》

2010年是十二五規(guī)劃之年,《北京市“十二五”衛(wèi)生信息化規(guī)劃》專項規(guī)劃是《北京市衛(wèi)生事業(yè)發(fā)展改革“十二五”規(guī)劃》的重要組成部分。市衛(wèi)生局全面征求區(qū)縣衛(wèi)生局、直屬事業(yè)單位和直屬三級醫(yī)院的意見,多次組織召開專題研討會征求意見。目前,已經(jīng)完成了規(guī)劃的制訂,準備近期。

制訂醫(yī)院門急診信息系統(tǒng)相關標準規(guī)范

完成《北京地區(qū)醫(yī)院門急診信息系統(tǒng)基本功能規(guī)范和數(shù)據(jù)采集規(guī)范》(試行稿),于9月19日向北京地區(qū)50家三級醫(yī)院及11家遠郊區(qū)縣中心醫(yī)院下發(fā)《關于建立北京地區(qū)醫(yī)療機構門急診信息報告制度的通知》(京衛(wèi)醫(yī)字〔2010〕212號)以及《關于做好門急診信息系統(tǒng)接口改造工作的通知》,該規(guī)范作為醫(yī)院門、急診信息系統(tǒng)改造以及數(shù)據(jù)采集的規(guī)范依據(jù)正式試行。

完成了《北京市藥品分類與代碼規(guī)范》,北京市質(zhì)量技術監(jiān)督局已經(jīng)將其列入2011年北京市地方標準修訂計劃之中。

完成衛(wèi)生信息化項目前置審核工作

按照《北京市衛(wèi)生信息化項目建設管理辦法》(京衛(wèi)辦字〔2008〕107號),做好衛(wèi)生信息化項目的前置審核評審等項目管理工作。2010年共收到各單位上報項目76項,涉及資金3億元。經(jīng)市衛(wèi)生局信息化領導小組審核,通過22項。

通過統(tǒng)一評審和歸口管理,可以全面了解各單位的衛(wèi)生信息化情況,做到統(tǒng)籌管理,使得各部門的信息化建設符合衛(wèi)生信息化總體規(guī)劃和發(fā)展方向;同時利用市公共衛(wèi)生信息中心及相關專家資源對于項目建設方案進行評估,使得方案在總體設計、安全管理、網(wǎng)絡建設、國產(chǎn)軟硬件產(chǎn)品和信息共享等方面更加全面、科學。

4. 重點應用系統(tǒng)建設取得實效

新社區(qū)衛(wèi)生信息系統(tǒng)推廣實施順利

新社區(qū)衛(wèi)生服務綜合管理信息系統(tǒng)是全面覆蓋社區(qū)衛(wèi)生服務機構和社區(qū)衛(wèi)生管理機構,以建立居民健康檔案為核心,支持基本醫(yī)療和公共衛(wèi)生服務的信息系統(tǒng),符合社區(qū)衛(wèi)生改革的要求。

在新社區(qū)衛(wèi)生服務綜合管理信息系統(tǒng)中,著力建設社區(qū)衛(wèi)生業(yè)務和財務等應用系統(tǒng),實現(xiàn)市、區(qū)縣和基層三層體系架構。2010年完成了試點項目驗收,6月24日啟動全市推廣。截至到2011年3月6日,在西城、原崇文、原宣武、順義、朝陽、海淀、石景山等8個區(qū)縣、52個社區(qū)衛(wèi)生服務中心、178個社區(qū)衛(wèi)生服務站穩(wěn)定運行,建立電子健康檔案526萬份,原東城、西城、崇文、宣武四個城區(qū)基本完成實施推廣任務,順義、海淀、石景山、昌平區(qū)、密云縣進展順利。

借助醫(yī)聯(lián)碼系統(tǒng),實現(xiàn)門急診信息采集

北京市實名就診卡完善(醫(yī)聯(lián)碼系統(tǒng))項目是我市建立門急診信息報告制度的支撐項目,是我局針對目前管理需求對原北京市實名就診卡完善項目進行變更后重新啟動的項目。該項目在全市三級醫(yī)院及十一家區(qū)級中心醫(yī)院實施,將為非醫(yī)?;颊呓⒔y(tǒng)一的條碼,通過此條碼采集門急診就診信息。項目實施至今,已在全市推開,醫(yī)聯(lián)碼發(fā)放及信息采集工作業(yè)已開始。截至3月15日,已有39家醫(yī)院完成接口改造,大興人民醫(yī)院、婦產(chǎn)醫(yī)院、同仁醫(yī)院、房山第一醫(yī)院等31家醫(yī)院共計發(fā)放醫(yī)聯(lián)碼28.95萬條。朝陽醫(yī)院、婦產(chǎn)醫(yī)院、人民醫(yī)院、北醫(yī)三院、中日友好醫(yī)院等17家醫(yī)院已經(jīng)上報門急診信息,共計93.8萬條。

5. 固化衛(wèi)生行業(yè)信息安全保障成果,提高安全管理水平

2010年的衛(wèi)生行業(yè)信息安全的重點工作是固化奧運和國慶信息安全保障工作成果,在行業(yè)內(nèi)以推動等級保護為依托,進一步提高全行業(yè)信息安全管理水平。在各級領導的重視下,各單位圓滿完成了2010年信息安全相關工作。

開展衛(wèi)生行業(yè)信息安全檢查

2010年,為督促我市衛(wèi)生行業(yè)各單位做好信息安全保障工作,細化各項信息網(wǎng)絡安全工作措施,進一步提升網(wǎng)絡與信息系統(tǒng)支撐醫(yī)療服務工作的效率和水平,確保我市衛(wèi)生行業(yè)網(wǎng)絡與信息系統(tǒng)安全穩(wěn)定運行,市公安局和市衛(wèi)生局對全市大中型醫(yī)院及市屬醫(yī)療衛(wèi)生機構開展了網(wǎng)絡和信息系統(tǒng)安全檢查。

出臺《醫(yī)療衛(wèi)生信息安全等級保護實施指南》

2010年,結(jié)合近幾年信息安全聯(lián)合檢查中遇到的各類問題,信息中心組織出版了《醫(yī)療衛(wèi)生信息安全等級保護實施指南》。規(guī)范了醫(yī)療衛(wèi)生信息安全等級保護工作的基本思路和實施方法,指導我市醫(yī)療衛(wèi)生信息建設中的信息安全保障工作,對搞好醫(yī)療衛(wèi)生信息安全保障具有十分重要的現(xiàn)實意義。

開展信息安全培訓

2010年,在衛(wèi)生局直屬單位開展了信息安全員信息安全保障知識培訓,共進行了8次授課,共400余人次接受了培訓,提高了信息安全員的信息安全保障能力,為各單位的信息安全保障奠定了基礎。

2011年衛(wèi)生信息化重點任務

1. 十二五期間信息化建設基本任務

未來五年,衛(wèi)生信息化建設的主要任務是建立“基于電子病歷和居民健康檔案的醫(yī)藥衛(wèi)生信息化工程”,主要內(nèi)容可以概括為一張網(wǎng)絡、兩級平臺、三個基礎數(shù)據(jù)庫。

一張網(wǎng)絡,是指全市各級各類醫(yī)療衛(wèi)生機構與行政管理部門互聯(lián)互通的信息傳輸網(wǎng)絡;兩級平臺,是指市、區(qū)/縣兩級衛(wèi)生信息交換平臺;三個基礎數(shù)據(jù)庫,是指執(zhí)法相對人數(shù)據(jù)庫、醫(yī)療衛(wèi)生資源數(shù)據(jù)庫和居民健康檔案數(shù)據(jù)庫。實現(xiàn)上述目標,依靠的是標準規(guī)范和信息安全保障兩個體系。

2. 推進醫(yī)院信息化建設

電子病歷試點工作

衛(wèi)生部為推進醫(yī)藥衛(wèi)生體制改革,加強醫(yī)院信息化建設,于2010年9月下發(fā)了《關于開展電子病歷試點工作的通知》(衛(wèi)醫(yī)政發(fā)〔2010〕85號)文件,決定在北京市等22個?。▍^(qū)、市)部分區(qū)域和醫(yī)院開展電子病歷試點工作,確定試點工作時間為1年。市衛(wèi)生局根據(jù)衛(wèi)生部文件的精神和要求,組織制定了《北京市以電子病歷為核心的醫(yī)院信息化試點工作實施方案》,明確了指導思想、工作目標、組織管理、實施步驟及工作要求。同時還制定了《北京地區(qū)電子病歷試點技術方案》,指導試點醫(yī)院推進電子病歷工作。

醫(yī)聯(lián)碼相關工作

醫(yī)聯(lián)碼系統(tǒng)為北京地區(qū)醫(yī)療機構門急診信息采集提供了支持,奠定了基礎。根據(jù)北京市衛(wèi)生局《關于建立北京地區(qū)醫(yī)療機構門急診信息報告制度的通知》(京衛(wèi)醫(yī)字〔2010〕212號)文件要求,三級醫(yī)療機構及11家遠郊區(qū)縣區(qū)域醫(yī)療中心2011年1月起,正式啟用門急診信息上報工作。今年要繼續(xù)推進醫(yī)聯(lián)碼相關工作,希望各醫(yī)院建立院內(nèi)的組織協(xié)調(diào)工作機制,積極開展醫(yī)聯(lián)碼接口改造、信息上傳、門急診就診信息上傳等工作。

3. 推廣實施社區(qū)衛(wèi)生信息系統(tǒng)

市衛(wèi)生局、市編辦、市發(fā)改委、市財政等八部門聯(lián)合下發(fā)的《關于進一步推進社區(qū)衛(wèi)生改革與管理工作的意見》(京衛(wèi)基層字〔2010〕25號)要求,“以有利于工作開展、有利于方便居民、有利于加強管理為目標,全面推廣應用全市統(tǒng)一的新社區(qū)衛(wèi)生服務綜合管理信息系統(tǒng),并不斷完善功能。到2011年底,建立起以健康檔案為基礎的覆蓋全市社區(qū)衛(wèi)生服務和管理機構的信息化管理體系,搭建完成覆蓋全市社區(qū)衛(wèi)生服務管理中心、社區(qū)衛(wèi)生服務中心、社區(qū)衛(wèi)生服務站的互聯(lián)互通的網(wǎng)絡。加強市、區(qū)兩級社區(qū)衛(wèi)生服務綜合管理信息平臺的建設?!?/p>

各區(qū)縣積極推進社區(qū)衛(wèi)生信息化工作,年底之前,完成16區(qū)縣推廣應用部署工作。目前,推進較好的區(qū)縣為東城、西城、順義、海淀、石景山、昌平、密云、大興等。

4. 加強公共衛(wèi)生和衛(wèi)生管理信息化建設和綜合利用

推動居民電子健康檔案建立工作

根據(jù)醫(yī)改要求,把為轄區(qū)常住人口重點人群自愿建立統(tǒng)一、規(guī)范的居民健康檔案,及時更新健康檔案,并逐步試行計算機管理等工作列為本市為居民提供的基本公共衛(wèi)生服務項目。2011年的醫(yī)改任務責任書中,各區(qū)縣居民電子健康檔案建檔率指標有所不同,但全市總體要求達到50%以上。北京市新社區(qū)衛(wèi)生服務信息系統(tǒng)已經(jīng)提供了電子健康檔案建立的工具,請各區(qū)縣組織人員開展電子健康檔案相關工作,以便建立實時動態(tài)變化的社區(qū)居民電子健康檔案,為社區(qū)居民服務,為家庭醫(yī)生服務。

啟動婦幼保健網(wǎng)絡信息系統(tǒng)二期

3月啟動婦幼保健二期建設,系統(tǒng)將覆蓋北京市婦幼保健院、16所區(qū)縣婦幼保健院(所)、近800家承擔婦幼保健服務與管理工作的醫(yī)療保健機構、1000余家托幼園所等機構,以婦幼健康檔案為核心,實現(xiàn)與醫(yī)院和社區(qū)信息共享的、完整的、動態(tài)的、連續(xù)的婦女兒童保健信息庫。計劃9月開發(fā)完成,試運行。各區(qū)縣不需再單獨建立婦幼信息系統(tǒng)。

2011年工作要求

1. 領導重視,加快落實信息化機構和人才隊伍建設

目前,仍有部分區(qū)縣沒有成立信息中心,部分直屬機構沒有信息管理部門,衛(wèi)生人才隊伍薄弱,嚴重影響了信息化建設。各單位領導要高度重視,盡快落實機構設置和人員配置問題。

2. 加強管理,保障信息系統(tǒng)安全

今年市衛(wèi)生局將繼續(xù)以信息系統(tǒng)等級保護工作為依托,繼續(xù)加強全市衛(wèi)生行業(yè)信息安全管理工作。

繼續(xù)聯(lián)合市公安局對行業(yè)進行信息安全檢查,重點針對電子病歷試點單位、重要公共衛(wèi)生部門進行安全檢查。

按照市信息安全協(xié)調(diào)領導小組工作部署要求,進一步加快推動等級保護。

3. 樹立大局觀念,加快社區(qū)衛(wèi)生信息系統(tǒng)的推廣應用

要求各區(qū)縣加強組織,落實責任,協(xié)調(diào)相關部門,加大推廣力度,2011年底之前完成任務。

使用全市統(tǒng)一的新社區(qū)衛(wèi)生服務信息系統(tǒng)。

篇10

關鍵詞:信息化;信息安全管理;企業(yè)管理

中圖分類號:F279.23 文獻標識碼:A 文章編號:1001-828X(2012)03-00-01

隨著信息技術的發(fā)展和網(wǎng)絡化應用的普遍推廣,各機關組織和企事業(yè)單位都開展各類管理業(yè)務的信息化建立。企業(yè)的發(fā)展運作離不開信息系統(tǒng)的安全運行。信息安全通過保護企業(yè)信息的機密性、完整性和可用性,不僅保護了企業(yè)各類信息資產(chǎn)的安全,還能增強企業(yè)的核心競爭力,維護企業(yè)的形象和信譽。信息安全對企業(yè)的生存和發(fā)展的是至關重要的,需要從戰(zhàn)略的高度對信息安全進行規(guī)劃和管理。

一、企業(yè)中信息安全管理經(jīng)常存在的問題

日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱的占58%,第二位的是網(wǎng)絡安全管理人員缺乏培訓,占39%;其后,依次是保障經(jīng)費投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。

不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業(yè)IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數(shù)據(jù)庫里保存用戶密碼的加密信息,這樣黑客即使下載了數(shù)據(jù)庫,破解用戶密碼也不是一件容易的事情” 。可見,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。

為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業(yè)和一家銀行的部分工作人員進行了問卷和訪談調(diào)查,發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題:

1.是信息安全意識方面,被調(diào)查者認為信息安全對企業(yè)和個人都非常重要。但大多數(shù)受訪者對信息安全的問題了解很少等。

2.很多受訪者認為信息安全屬于技術人員的事情;與技術人員的交流非常少;忙于業(yè)務,沒有時間去處理。

3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標準雖然掛在網(wǎng)上或貼在墻上,很少有人去關注;公司發(fā)動的信息安全的培訓活動沒有收到好的效果。

二、信息安全問題的根源

通過對調(diào)查的結(jié)果進行深入分析,發(fā)現(xiàn)導致信息安全事件頻發(fā)、風險損失嚴重的原因從根本上來說,有以下幾個方面:

1.信息安全是一個多維問題,涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。

2.風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到達絕對安全的狀態(tài),由于人性的緣故,也不會那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應地效率也就降低了。比如簡單規(guī)律地密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網(wǎng)絡,不可能受到網(wǎng)絡攻擊,但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網(wǎng)絡的那臺計算機”。

4.由于某些緣故,網(wǎng)絡中總是存在黑客,專門竊取信息或破壞網(wǎng)絡系統(tǒng)。他們的水平都非常專業(yè),一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。

5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發(fā)生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發(fā)生所帶來的損失的難以把握。

所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發(fā)生頻率居高不下,風險損失較大的主要原因。

三、相關的建議和策略

針對企業(yè)信息安全的問題,文章運用管理學的理論進行論述。企業(yè)管理涉及四個功能:計劃、組織、領導、控制 。

1.從計劃的角度來看:企業(yè)應當確立信息安全的發(fā)展戰(zhàn)略,從戰(zhàn)略的高度來對待和管理信息安全,確保信息安全所引發(fā)的風險達到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現(xiàn)目標需要的行動方案。

2.從組織的角度來看:人力資源的管理的觀點認為,企業(yè)的組織結(jié)構,取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構中,只有技術部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業(yè)的安全培訓工作、日常的安全管理工作、對存在的風險進行評估,最大限度地降低安全風險。

3.從領導的角度來看:根據(jù)wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態(tài),不管是企業(yè)的員工還是管理者都傾向于追求效率 ,從而忽視信息安全的投入。

在企業(yè)的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員的面對面的溝通與交流,開展有效的安全意識活動。

4.從控制的角度來看:對風險的控制要求企業(yè)對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。

文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調(diào)查,分析了目前信息安全存在的一些問題,并對存在的問題的根源進行了深入的分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度出了相應的建議和策略。

參考文獻:

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業(yè)管理[M].大連:東北財經(jīng)大學出版社,2011,1.

[3]廖三余,曹會勇.人力資源管理[M].北京:清華大學出版社,2011,9.