一、加强顶层设计,确立信息安全教育国家战略
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
1.1建设标准化的信息安全管理体系
通过标准化管理实现信息安全标准化作业管理,定期对信息安全管理制度进行评价审定,对存在问题或需要改善的管理制度进行修订改善。
1.2建立完善信息安全管理组织机构
1.3建立严格的审核流程
1.4开展测试评估工作
1.5加强系统软硬件环境的全过程管理
1.6加强员工信息安全培训
每年开展信息安全知识普及工作,提高企业全体员工信息安全意识;每年开展信息安全专项知识培训,并将信息安全培训纳入到企业培训考核工作当中,确保信息安全培训达到应有效果;加强企业领导和管理人员的信息安全培训,增强领导层、管理层的信息安全意识。
1.7加强应急预案管理工作
不断完善应急预案,做好应急预案的分类管理工作,既要有企业整体应急预案,也要有各个专项应急预案;做好应急物资储备调用工作,确保人员、物资等应急保障资源能及时可调可用。
1.8严格制定实施细则
确保信息安全风险评估工作做到常态化和制度化,及时落实整改,消除信息安全隐患。
2安全技术措施
2.1加强信息机房管理
2.2加强信息网络安全管理
2.3加强保密存储管理
对重要和敏感信息实行加密传输和存储,特别是移动存储管理,应严格限制移动设备的访问权限,包括办公笔记本和存储U盘,防止信息泄密;对重要信息实行自动、定期备份,防止数据丢失。
3结语
关键词:民办高校信息化建设;信息资源特性;信息资源安全保障
中图分类号:G647
近年来,民办高校逐步实现了管理手段的现代化,但是,由于民办高校起步晚,信息安全技术相对落后,致使其信息资源安全无法得到有效地保障。因此,如何采取有效措施保障信息资源安全,提高自身的信息化水平,已经成为影响民办学校“跨越式发展”的关键问题之一。
1加强民办高校信息资源安全保障的必要性
近年来,各民办高校对计算机网络与信息系统的依赖程度也越来越高,随之而来的民办高校信息资源安全[1-5]问题也日益突出。目前,关于民办高校信息资源安全问题的研究,在理论和实践上还不很成熟,国内外也缺少相对成熟的成套理论与通用模式,因此,如何有效地对民办学校信息资源进行有效管理,探索各种民办高校信息资源安全问题的应对策略,已经成为民办高校信息化建设中迫切需要解决的问题。
2民办高校信息资源特性
概括下来,民办高校信息资源具有以下特性:
(2)内容多元性。由于大多数民办高校都已拥有了自己的各类信息系统,因此,信息资源也因信息系统内容不同而呈现出多元性。
(3)政策动态性。在民办高校发展过程中,根据不同的信息资源现状,决策者不同时期的决策也具有差异性,使得信息资源具有浓重的政策动态性。
(4)影响广泛性。目前,民办高校大部分信息系统师生参与度高,涉及面广,若不能及时处理由此引发的安全问题,将会可能影响正常教学活动展开、科研办公等,甚至可能会造成混乱。
3民办高校面临的信息资源安全风险
由于民办高校信息资源的不同特性,其引发安全问题也具有多样性与复杂性。然而,由于信息资源安全问题的隐蔽性与复杂多变性,并未引起足够的重视,使得民办高校面临各种可能的信息资源安全风险。
3.1信息资源安全宣传教育力度不够,部分师生安全意识淡薄
3.2信息资源安全培训欠缺,信息安全人员技术水平有待提高
目前,虽然各种信息系统已在大多数民办高校得到广泛应用,但由于缺乏专业的信息资源安全管理人才和配套的信息安全培训,造成现有信息安全人员技术水平相对不高,无法及时发现并处理信息资源的安全隐患,影响了民办高校信息化建设进程。
3.3信息资源安全保障投入有限,缺乏信息安全总体规划
相对于公办高校而言,民办高校资金匮乏,对信息安全保障并未进行过多地投入,也没有设置专门负责信息资源安全的部门。另外,民办高校缺乏信息资源安全总体规划,当出现信息资源安全问题时,往往只能被动地解决,没有一整套的信息资源安全预警机制来防范,从而给民办高校信息化建设带来了一定的难度。
4民办高校信息资源安全保障的应对策略
为了更好地推进民办高校信息化建设,民办高校需要加大投入力度,大力宣传信息资源安全,强化师生安全意识,开展必要的专业信息资源安全培训,培养一批高水平的信息资源安全人才队伍。要做好民办高校信息资源安全保障,需要从以下几个方面来应对。
4.1强化监督与管理,加强信息资源安全培训和宣传教育,增强信息资源安全意识和责任感,切实提高信息资源安全管理水平
4.2加强信息资源安全人才队伍建设,培养专业信息资源安全人才
信息安全人才队伍建设是建立民办高校信息资源安全保障体系和民办高校信息化建设健康发展的重要保证。因此,各民办高校应该围绕信息资源安全需要,不断完善信息资源安全人才培养方案,努力打造一支富有信息资源安全意识、信息管理技术过硬的信息资源安全人才队伍。
4.3多种方式提高民办高校信息资源安全保障能力
民办高校可以定期对已有的各种信息系统进行日常安全检查,加强对各种信息资源的管理,及时进行信息安全产品更新换代,减少信息资源安全问题出现的可能性,努力提高民办高校信息资源安全保障能力。
4.4构建民办高校信息资源安全保障体系
信息资源安全问题具有内容多元性的特点,正是这个特点,单一的信息资源安全防范措施并不能很好地解决出现的信息安全问题。通过构建民办高校信息资源安全保障体系,将会有效提高民办高校信息化水平。
5结论
随着高校信息化的逐步深入,民办高校信息资源安全问题日益突出。在分析了民办高校信息资源安全保障的必要性后,本文归纳了民办高校信息资源安全特点,提出了目前民办高校面临的信息资源安全风险,在此基础上,给出了民办高校信息资源安全保障对策,力图达到提高民办高校信息化水平,保证民办高校信息化建设健康发展的研究目的。
参考文献:
[1]熊平.高校信息安全教育改革[J].科技咨询导报,2007,10:167-168.
[2]邓吉平.论新时期高校信息安全保密工作[J].科技创新导报,2008(35):178-178.
[3]杨莹.高校信息安全探讨[J].电脑知识与技术,2008,4(36):2955-2956.
[4]杨建国.网络环境下高校信息安全的管理[J].安庆师范学院学报(社会科学版),2004,23(2):61-63.
[5]孟坛魁,梁艺军.高校信息安全体系建设与实践[J].实验技术与管理,2011,28(6):122-124.
作者简介:何建仓(1984-),通讯作者,男,河南新乡人,研究生,助教,研究方向:粗糙集、粒计算;巨筱(1976-),讲师,研究方向:计算机教育;牛丹丹(1985-),女,助教,研究方向:LTE协议栈。
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。
一、信息安全培训体系概况
信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。
第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。
第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。
第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。
前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。
第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。
下面以CISP培训为例,分析其知识体系构建情况。
CISP的注册要求如下:
第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。
第四,通过由CNITSEC举行的注册信息安全专业人员考试。
三、信息安全专业培训体系构建的建议
1.构建完善的高校信息安全专业人才培训体系
传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;
技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。
2.建立逐级培训的信息安全专业人才培训模式
当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。
3.通过合理的认证标准来动态更新和完善培训体系的目标任务
只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。