前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)信息安全培訓方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)信息安全培訓方案范文第1篇

 

一、加強頂層設(shè)計，確立信息安全教育國家戰(zhàn)略

 

1.《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》

 

布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》，其中首次從國家層面提出了“提高網(wǎng)絡(luò)安全意識與培訓計劃”，指出，“除了信息技術(shù)系統(tǒng)的脆弱性外，要提高網(wǎng)絡(luò)的安全性至少面臨著兩個障礙：缺乏對安全問題的了解和認識;無法找到足夠多的經(jīng)過培訓或通過認證的人員來建立并管理安全系統(tǒng)?！盀榇?，美國要開展全國性的增強安全意識活動，加強培訓和網(wǎng)絡(luò)安全專業(yè)人員資格認證。

 

2.《美國網(wǎng)絡(luò)安全評估》報告

 

2009年5月29日美國公布了《美國網(wǎng)絡(luò)安全評估》報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標準，指出了存在的問題，提出行動計戈IJ。所提議的優(yōu)先行動計劃之一就是“加強公眾網(wǎng)絡(luò)安全教育”。

 

3.《國家網(wǎng)絡(luò)安全綜合計劃》(CNCI)

 

2010年3月2日，奧巴馬政府對前布什政府在2007年制定的一份國家網(wǎng)絡(luò)安全綜合計劃的部分內(nèi)容進行解密。CNCI計劃提出要實現(xiàn)重要目標之一就是：“為了有效地保證持續(xù)的技術(shù)優(yōu)勢和未來的網(wǎng)絡(luò)安全，必須制定一個技術(shù)熟練和精通網(wǎng)絡(luò)的勞動力和未來員工的有效渠道。擴大網(wǎng)絡(luò)教育，以加強未來的網(wǎng)絡(luò)安全環(huán)境?！?/p>

 

4.《國家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計劃》

 

2011年8月11日，NIST授權(quán)《美國網(wǎng)絡(luò)

 

安全教育倡議戰(zhàn)略規(guī)劃：構(gòu)建數(shù)字美國》草案，征求公眾意見。該規(guī)劃是美國網(wǎng)絡(luò)安全教育倡議(NICE)的首個戰(zhàn)略規(guī)劃，闡明了NICE的任務、遠景和目標。NICE旨在通過創(chuàng)新的網(wǎng)絡(luò)行為教育、培訓和加強相關(guān)意識，促進美國的經(jīng)濟繁榮和保障國家安全，并通過以下三個目標實現(xiàn)這一愿景：增強公眾有關(guān)網(wǎng)上活動風險的意識;擴展能支持國家網(wǎng)絡(luò)安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網(wǎng)絡(luò)安全隊伍。

 

二、做好立法工作，完善法規(guī)標隹體系

 

1.《聯(lián)邦信息安全管理法案》(FISMA)

 

2002年7月，美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經(jīng)認識到信息安全對美國經(jīng)濟和國家安全利益的重要性，并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環(huán)節(jié)。

 

FISMA法案明確要求：聯(lián)邦政府機構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風險的安全意識培訓，為此還提議了一個較為完善的國家安全意識及其培訓系統(tǒng)。

 

2.國防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網(wǎng)格計戈j”，美國國防部了8570指令。該指令涵蓋以下主要內(nèi)容：建立技術(shù)基準，管理職員的信息保障技能;實現(xiàn)正規(guī)的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎(chǔ)教育和實驗教育中，持續(xù)的增加信息保障內(nèi)容。

 

3.聯(lián)邦政府信息技術(shù)安全培訓標準(FIPS)

 

FISMA法案明確指定NIST負責制定聯(lián)邦政府(除國防、情報部門以外)所使用的信息安全技術(shù)、產(chǎn)品和培訓方面的國家標準。目前，NIST已制定和兩部權(quán)威的信息安全培訓標準：《信息技術(shù)安全培訓要求：基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架，依據(jù)這些框架，美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計算臟務(FSC)項目。

 

4.網(wǎng)絡(luò)安全法案

 

2010年3月24日，美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網(wǎng)絡(luò)安全、幫助美國政府機構(gòu)和企業(yè)有效應對網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》。該法案要求政府機構(gòu)和私營部門加強在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享，強調(diào)通過市場手段，鼓勵培養(yǎng)網(wǎng)絡(luò)安全人才，開發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務。

 

三、構(gòu)建信息網(wǎng)絡(luò)安全組織機構(gòu)，健全安全教育培訓管理體制

 

為了落實信息安全教育培訓相關(guān)政策和法律法規(guī)，美國將協(xié)調(diào)、執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個政府部門，依據(jù)最新的《國家網(wǎng)絡(luò)安全教育戰(zhàn)略計劃》的思路，國家標準技術(shù)研究所(NIST)為整個計劃的負責單位，協(xié)調(diào)其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務院、教育部和國家科學基金會(NSF)協(xié)力加強公眾的信息安全意識;DHS、海關(guān)總署、NSF和國家安全局(NSA)共同加強從業(yè)人員f支術(shù)能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責建立高端網(wǎng)絡(luò)安全人才隊伍。

 

社會各界積極參與

 

行業(yè)協(xié)會已經(jīng)站到了信息安全教育培訓的前沿，成為信息安全教育培訓的踐行者。其職責主要是協(xié)助有關(guān)部門制定信息安全教育與培訓的標準，組織持續(xù)的教育活動，并向內(nèi)部成員單位實施培訓。行業(yè)協(xié)會自身作為提供教育和培訓的主體，一方面可以根據(jù)政府的引導和企業(yè)的需求來設(shè)置培訓內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源，充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會職能。行業(yè)協(xié)會提供的培訓標準是政府制定的培訓標準的主要補充，為規(guī)范和完善美國信息安全培訓行業(yè)提供了切實可行的保障。

 

(1)國際信息系統(tǒng)審計協(xié)會(丨SACA)

 

國際信息系統(tǒng)審計協(xié)會(ISACA)是一個為信息管理、控制、安全和審計專業(yè)設(shè)定規(guī)范標準的全球性組織，會員遍布逾160個國家，總數(shù)超過86,000人。ISACA成立于1969年，除贊助舉辦國際會議外，還編輯出版《信息系統(tǒng)監(jiān)控期刊》，制定國際信息系統(tǒng)的審計與監(jiān)控標準，以及頒授國際廣泛認可的注冊信息系統(tǒng)審計師(CISA)專業(yè)資格認證。CISA認證體系已通過美國國家標準協(xié)會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時，美國國防部也認可了CISA認證，并將其納入到國防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認證體系當中。這產(chǎn)生了以下四方面的作用：認可CISA認證所提供的特有資格和專業(yè)知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業(yè)的人才流動更加便利。

 

(2)美國系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO)，是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機構(gòu)。1999年SANS首次推出了安全技術(shù)認證程序(GIAC)。

 

GIAC認證程序有以下幾個特點：

 

GIAC提供超過20種的信息安全認證，其大多數(shù)符合DOD8570指令。GIAC依據(jù)國家標準對安全專業(yè)人員及開發(fā)人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎(chǔ)認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎(chǔ)知識，保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括：認證防火墻分析師(確認設(shè)計、配置和監(jiān)控路由器、防火墻和其它邊界設(shè)備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力。

 

(3)國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2

 

國際信息系統(tǒng)安全核準聯(lián)盟(ISC)2成立于1989年，是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓和認證的國際領(lǐng)先非營利組織。在(ISC)2各種認證中，CISSP數(shù)量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國獲證人員數(shù)量超過70%^CISSP獲證人員中，約30%在政府部門工作，40%從事信息安全月服務行業(yè)，30%從事用戶終端工作。

 

注冊信息系統(tǒng)安全專業(yè)人員通用知識體(CISSPCBK)提供了通用的信息安全術(shù)語和原理框架，使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語和理念，討論、辯論和解決信息安全相關(guān)問題。

網(wǎng)絡(luò)信息安全培訓方案范文第2篇

1.1建設(shè)標準化的信息安全管理體系

通過標準化管理實現(xiàn)信息安全標準化作業(yè)管理，定期對信息安全管理制度進行評價審定，對存在問題或需要改善的管理制度進行修訂改善。

1.2建立完善信息安全管理組織機構(gòu)

設(shè)立信息安全管理工程師、網(wǎng)絡(luò)工程師、系統(tǒng)工程師等崗位，并明確各崗位相關(guān)職責，關(guān)鍵崗位實行備崗制度。應加強各崗位人員之間、信息安全管理負責部門和業(yè)務部門、后勤保障部門之間的溝通，共同負責協(xié)調(diào)處理信息安全問題。

1.3建立嚴格的審核流程

嚴格審查信息安全管理人員的聘用錄取流程，審查其工作經(jīng)歷和任職過程，關(guān)鍵崗位應簽署保密協(xié)議，明確相關(guān)人員信息安全責任；及時終止離退休人員的系統(tǒng)訪問權(quán)限；對外來人員、第三方技術(shù)支持人員進行嚴格控制和監(jiān)督，實行專人陪同或監(jiān)督，并將訪問時間、訪問過程全過程登記備案。

1.4開展測試評估工作

新開發(fā)的業(yè)務系統(tǒng)、新建設(shè)的網(wǎng)絡(luò)系統(tǒng)應加強安全防護措施建設(shè)，結(jié)合企業(yè)實際情況，建設(shè)針對性的安全防護方案；從長期安全和國際安全來看，最好使用安全性較高、質(zhì)量較好的國產(chǎn)化產(chǎn)品；系統(tǒng)正式投入使用之前，應委托有資質(zhì)的第三方專業(yè)測試單位對系統(tǒng)進行安全性、穩(wěn)定性測試，根據(jù)測試報告對系統(tǒng)進行可用性、穩(wěn)定性、安全性評估，不符合評估要求的，需要進行相關(guān)整改，整改之后重新進行測試評估，滿足要求之后應該試運行一段時間。

1.5加強系統(tǒng)軟硬件環(huán)境的全過程管理

（1）加強系統(tǒng)相關(guān)硬件環(huán)境的規(guī)范管理，特別是重要信息機房、通信機房的規(guī)范管理，確保機房溫濕度、防水、防火、防盜、安全監(jiān)控等運行環(huán)境符合要求，制定機房出入管理規(guī)定，嚴格機房出入管理，包括設(shè)備巡視維護人員、業(yè)務人員、第三方人員等等在內(nèi)的所有人員都應嚴格實行出入管理規(guī)定，做好出入記錄和工作過程的記錄。（2）加強軟件系統(tǒng)授權(quán)管理，根據(jù)各個系統(tǒng)角色的單位部門、工作職責、安全責任及工作范圍等方面進行訪問權(quán)限劃分，按照最小授權(quán)原則，明確各個系統(tǒng)角色的權(quán)限、責任和風險；日常維護操作過程都應詳細記錄，嚴格操作授權(quán)管理機流程管理，任何未經(jīng)授權(quán)的操作和錯誤的操作流程都要嚴格禁止和限制；定期進行漏洞掃描和補丁更新工作。（3）加強病毒防護管理，通過多種方式開展培訓教育，增強企業(yè)員工防病毒意識，不打開、閱讀來歷不明的郵件，不隨意發(fā)送涉及公司企業(yè)秘密的郵件；要指定專人做好病毒分析、記錄和查殺工作。（4）嚴格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序，建立健全變更管理制度。保證所有訪問均得到授權(quán)和批準，進行必要的安全隔離，配置嚴格的訪問控制策略。

1.6加強員工信息安全培訓

每年開展信息安全知識普及工作，提高企業(yè)全體員工信息安全意識；每年開展信息安全專項知識培訓，并將信息安全培訓納入到企業(yè)培訓考核工作當中，確保信息安全培訓達到應有效果；加強企業(yè)領(lǐng)導和管理人員的信息安全培訓，增強領(lǐng)導層、管理層的信息安全意識。

1.7加強應急預案管理工作

不斷完善應急預案，做好應急預案的分類管理工作，既要有企業(yè)整體應急預案，也要有各個專項應急預案；做好應急物資儲備調(diào)用工作，確保人員、物資等應急保障資源能及時可調(diào)可用。

1.8嚴格制定實施細則

確保信息安全風險評估工作做到常態(tài)化和制度化，及時落實整改，消除信息安全隱患。

2安全技術(shù)措施

2.1加強信息機房管理

通信機房安全建設(shè)管理工作，機房建設(shè)要符合國家相關(guān)規(guī)定，機房位置選擇時，應選擇遠離強噪聲源、粉塵、油煙、有害氣體等場地，并且要避開強電磁場干擾，不要將機房選在地下室或者頂層等場地，選擇中間二、三層較安全。

2.2加強信息網(wǎng)絡(luò)安全管理

（1）信息網(wǎng)絡(luò)核心交換機、匯聚交換機、核心路由器等核心網(wǎng)絡(luò)設(shè)備要配置冗余設(shè)備，其上下行鏈路也要做好雙鏈路備份，并根據(jù)業(yè)務需要合理分配網(wǎng)絡(luò)資源；做好設(shè)備的授權(quán)訪問控制，配置訪問列表、IP/MAC綁定、vlan訪問限制等安全措施，防止未經(jīng)授權(quán)的訪問操作發(fā)生。（2）采用網(wǎng)絡(luò)行為管理設(shè)備、安全隔離裝置、入侵防御設(shè)備（IPS）等安全設(shè)備對網(wǎng)絡(luò)邊界實施網(wǎng)絡(luò)隔離、流量控制、訪問行為審查和防御。（3）嚴格數(shù)據(jù)庫訪問管理,實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶訪問權(quán)限分離，對訪問權(quán)限一致的用戶進行分組，訪問控制粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級；控制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù)，限制單個用戶對系統(tǒng)資源、磁盤空間的最大或最小使用限度，當系統(tǒng)服務水平降低到預先規(guī)定的最小值時，應能檢測并報警。

2.3加強保密存儲管理

對重要和敏感信息實行加密傳輸和存儲，特別是移動存儲管理，應嚴格限制移動設(shè)備的訪問權(quán)限，包括辦公筆記本和存儲U盤，防止信息泄密；對重要信息實行自動、定期備份，防止數(shù)據(jù)丟失。

3結(jié)語

網(wǎng)絡(luò)信息安全培訓方案范文第3篇

關(guān)鍵詞：民辦高校信息化建設(shè)；信息資源特性；信息資源安全保障

中圖分類號：G647

近年來，民辦高校逐步實現(xiàn)了管理手段的現(xiàn)代化，但是，由于民辦高校起步晚，信息安全技術(shù)相對落后，致使其信息資源安全無法得到有效地保障。因此，如何采取有效措施保障信息資源安全，提高自身的信息化水平，已經(jīng)成為影響民辦學校“跨越式發(fā)展”的關(guān)鍵問題之一。

1 加強民辦高校信息資源安全保障的必要性

近年來，各民辦高校對計算機網(wǎng)絡(luò)與信息系統(tǒng)的依賴程度也越來越高，隨之而來的民辦高校信息資源安全[1-5]問題也日益突出。目前，關(guān)于民辦高校信息資源安全問題的研究，在理論和實踐上還不很成熟，國內(nèi)外也缺少相對成熟的成套理論與通用模式，因此，如何有效地對民辦學校信息資源進行有效管理，探索各種民辦高校信息資源安全問題的應對策略，已經(jīng)成為民辦高校信息化建設(shè)中迫切需要解決的問題。

2 民辦高校信息資源特性

概括下來，民辦高校信息資源具有以下特性：

（1）來源開放性。民辦高校的某些信息資源可由校內(nèi)外人員以各種途徑和傳播。所以，這些信息資源是開放式的，也往往是比較難管理的。

（2）內(nèi)容多元性。由于大多數(shù)民辦高校都已擁有了自己的各類信息系統(tǒng)，因此，信息資源也因信息系統(tǒng)內(nèi)容不同而呈現(xiàn)出多元性。

（3）政策動態(tài)性。在民辦高校發(fā)展過程中，根據(jù)不同的信息資源現(xiàn)狀，決策者不同時期的決策也具有差異性，使得信息資源具有濃重的政策動態(tài)性。

（4）影響廣泛性。目前，民辦高校大部分信息系統(tǒng)師生參與度高，涉及面廣，若不能及時處理由此引發(fā)的安全問題，將會可能影響正常教學活動展開、科研辦公等，甚至可能會造成混亂。

（5）問題突發(fā)性。隨著民辦高校對計算機網(wǎng)絡(luò)的依賴程度越來越高，關(guān)于信息資源的問題復雜多變又非常隱蔽，若出現(xiàn)了安全問題，在極短時間內(nèi)就可通過網(wǎng)絡(luò)引起校內(nèi)外人員關(guān)注并被迅速傳播，極易引發(fā)突發(fā)性信息資源的安全事件。

3 民辦高校面臨的信息資源安全風險

由于民辦高校信息資源的不同特性，其引發(fā)安全問題也具有多樣性與復雜性。然而，由于信息資源安全問題的隱蔽性與復雜多變性，并未引起足夠的重視，使得民辦高校面臨各種可能的信息資源安全風險。

3.1 信息資源安全宣傳教育力度不夠，部分師生安全意識淡薄

由于自身體制的原因，大多數(shù)民辦高校對信息資源安全的重視不夠，較少開展關(guān)于信息資源安全的各種宣傳教育與培訓活動，導致部分師生安全意識不強，在使用相關(guān)信息系統(tǒng)時，往往只注重使用，并未過多地顧及信息資源的安全性，只能被動地解決信息資源安全問題。

3.2 信息資源安全培訓欠缺，信息安全人員技術(shù)水平有待提高

目前，雖然各種信息系統(tǒng)已在大多數(shù)民辦高校得到廣泛應用，但由于缺乏專業(yè)的信息資源安全管理人才和配套的信息安全培訓，造成現(xiàn)有信息安全人員技術(shù)水平相對不高，無法及時發(fā)現(xiàn)并處理信息資源的安全隱患，影響了民辦高校信息化建設(shè)進程。

3.3 信息資源安全保障投入有限，缺乏信息安全總體規(guī)劃

相對于公辦高校而言，民辦高校資金匱乏，對信息安全保障并未進行過多地投入，也沒有設(shè)置專門負責信息資源安全的部門。另外，民辦高校缺乏信息資源安全總體規(guī)劃，當出現(xiàn)信息資源安全問題時，往往只能被動地解決，沒有一整套的信息資源安全預警機制來防范，從而給民辦高校信息化建設(shè)帶來了一定的難度。

由于安全意識淡薄，宣傳不到位，沒能引起相關(guān)部門關(guān)于信息資源安全問題的足夠重視，使得民辦高校信息化建設(shè)發(fā)展緩慢，信息化水平相對落后。如何有針對性地解決信息資源安全風險，成為民辦高校信息化建設(shè)下一步的工作重點。

4 民辦高校信息資源安全保障的應對策略

為了更好地推進民辦高校信息化建設(shè)，民辦高校需要加大投入力度，大力宣傳信息資源安全，強化師生安全意識，開展必要的專業(yè)信息資源安全培訓，培養(yǎng)一批高水平的信息資源安全人才隊伍。要做好民辦高校信息資源安全保障，需要從以下幾個方面來應對。

4.1 強化監(jiān)督與管理，加強信息資源安全培訓和宣傳教育，增強信息資源安全意識和責任感，切實提高信息資源安全管理水平

一方面，民辦高?？梢悦磕甓榷ㄆ诮M織相關(guān)管理人員進行信息安全教育培訓，普及信息資源安全知識。另一方面，民辦高校可以通過講座、校報、校內(nèi)廣播、網(wǎng)上瀏覽等多種形式來普及安全知識，對廣大師生進行信息資源安全宣傳教育，營造良好的信息安全環(huán)境。

4.2 加強信息資源安全人才隊伍建設(shè)，培養(yǎng)專業(yè)信息資源安全人才

信息安全人才隊伍建設(shè)是建立民辦高校信息資源安全保障體系和民辦高校信息化建設(shè)健康發(fā)展的重要保證。因此，各民辦高校應該圍繞信息資源安全需要，不斷完善信息資源安全人才培養(yǎng)方案，努力打造一支富有信息資源安全意識、信息管理技術(shù)過硬的信息資源安全人才隊伍。

4.3 多種方式提高民辦高校信息資源安全保障能力

民辦高?？梢远ㄆ趯σ延械母鞣N信息系統(tǒng)進行日常安全檢查，加強對各種信息資源的管理，及時進行信息安全產(chǎn)品更新?lián)Q代，減少信息資源安全問題出現(xiàn)的可能性，努力提高民辦高校信息資源安全保障能力。

4.4 構(gòu)建民辦高校信息資源安全保障體系

信息資源安全問題具有內(nèi)容多元性的特點，正是這個特點，單一的信息資源安全防范措施并不能很好地解決出現(xiàn)的信息安全問題。通過構(gòu)建民辦高校信息資源安全保障體系，將會有效提高民辦高校信息化水平。

5 結(jié)論

隨著高校信息化的逐步深入，民辦高校信息資源安全問題日益突出。在分析了民辦高校信息資源安全保障的必要性后，本文歸納了民辦高校信息資源安全特點，提出了目前民辦高校面臨的信息資源安全風險，在此基礎(chǔ)上，給出了民辦高校信息資源安全保障對策，力圖達到提高民辦高校信息化水平，保證民辦高校信息化建設(shè)健康發(fā)展的研究目的。

參考文獻：

[1]熊平.高校信息安全教育改革[J].科技咨詢導報，2007，10：167-168.

[2]鄧吉平.論新時期高校信息安全保密工作[J].科技創(chuàng)新導報，2008（35）：178-178.

[3]楊瑩.高校信息安全探討[J].電腦知識與技術(shù)，2008，4（36）：2955-2956.

[4]楊建國.網(wǎng)絡(luò)環(huán)境下高校信息安全的管理[J].安慶師范學院學報（社會科學版），2004，23（2）：61-63.

[5]孟壇魁，梁藝軍.高校信息安全體系建設(shè)與實踐[J].實驗技術(shù)與管理，2011，28（6）：122-124.

作者簡介：何建倉（1984-），通訊作者，男，河南新鄉(xiāng)人，研究生，助教，研究方向：粗糙集、粒計算；巨筱（1976-），講師，研究方向：計算機教育；牛丹丹（1985-），女，助教，研究方向：LTE協(xié)議棧。

網(wǎng)絡(luò)信息安全培訓方案范文第4篇

信息安全準則是風險評估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準則包括：根據(jù)企業(yè)業(yè)務目標執(zhí)行風險管理；有組織的確定員工角色和責任；對用戶和數(shù)據(jù)實行最小化權(quán)限管理；在應用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護的問題；在應用中實施逐層防護；建立高度集成的安全防護框架；將監(jiān)控、審計和快速反應結(jié)合為一體。良好信息安全準則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對風險進行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標準，因此存在信息安全隱患?？刂拼祟愶L險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠程接入的風險已降低到企業(yè)的可控范圍，而近年來移動辦公的興起更是推動了遠程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動態(tài)口令牌等硬件認證方式的遠程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強對無線網(wǎng)絡(luò)的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權(quán)限進行管理，需要企業(yè)具有完善的身份管理平臺，從而實現(xiàn)授權(quán)流程的自動化，并實現(xiàn)企業(yè)內(nèi)應用的單點登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊，無線網(wǎng)絡(luò)訪問授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應當部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計

（1）病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進行病毒自掃描，自動更新操作系統(tǒng)補丁，以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進行定制，在終端接入企業(yè)內(nèi)網(wǎng)時，終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進行綜合評估打分，通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關(guān)；郵件過濾網(wǎng)關(guān)；惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。

（3）安全事件記錄和審計。企業(yè)應當配置日志審計系統(tǒng)，收集信息安全事件，產(chǎn)生審計記錄，根據(jù)記錄進行安全事件分析，并采取相應的處理措施。

2.4培訓與宣傳提高企業(yè)管理層和員工的信息安全意識，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會支持信息安全管理建設(shè)，用戶才會配合信息管理部門工作。利用定期培訓，宣傳海報，郵件等方式定期反復對企業(yè)用戶進行信息安全培訓和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

網(wǎng)絡(luò)信息安全培訓方案范文第5篇

信息安全是國家安全的基礎(chǔ)和關(guān)鍵，在信息安全保障的三大要素(人員、技術(shù)、管理)中，管理要素的地位和作用越來越受到重視。面對越來越嚴重的安全威脅，不單在IT技術(shù)領(lǐng)域，各行業(yè)的企業(yè)組織都越來越意識到信息安全的重要性，但單純依靠技術(shù)方案來并不能解決如何保護企業(yè)信息資產(chǎn)的問題，因此這對當前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

 

一、信息安全培訓體系概況

 

信息安全培訓作為高校信息安全專業(yè)教育的一種重要補充，主要用于解決學歷教育和社會實踐、社會認證培訓的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問題。現(xiàn)有培訓主要可分為四類。

 

第一，安全意識培訓：其面向機構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶，目的是提高整個組織普遍的安全意識和人員安全防護能力，使組織員工充分了解既定的安全策略，并能夠切實執(zhí)行。

 

第二，安全技能培訓：其面向機構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開發(fā)人員等，目的是讓其掌握基本的安全攻防技術(shù)，提升其安全技術(shù)操作水平，培養(yǎng)解決安全問題和杜絕安全隱患的技能。

 

第三，安全管理培訓：其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

 

第四，認證資質(zhì)培訓：其針對特殊崗位所需的職能人員，包括審核部門、監(jiān)管部門、信息保障部門等。通過提供國際信息安全相關(guān)認證考試的輔導培訓，可以幫助人員順利通過考試獲得各類信息安全資質(zhì)認證培訓。

 

前三類認證主要依托專業(yè)的培訓機構(gòu)或安全設(shè)備廠商進行。第四類培訓是當前培訓的主體。

二、信息安全相關(guān)資質(zhì)認證培訓情況

 

資質(zhì)認證類培訓是針對資質(zhì)認證特點和內(nèi)容要求設(shè)計，依托專業(yè)機構(gòu)進行的。一些認證的培訓機構(gòu)是由資質(zhì)管理機構(gòu)專門指定的。當前，信息安全相關(guān)資質(zhì)認證主要分三類：

 

第一，國內(nèi)以信息產(chǎn)業(yè)部，信息安全評測機構(gòu)為代表的組織來管理實施的信息安全資格認證(或與國際組織聯(lián)合頒發(fā));這類的認證培訓有：CISP培訓、NCSE培訓、CISM培訓、INSPC培訓、CIW認證培訓等。

 

第二，由國外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認證(側(cè)重于廠商產(chǎn)品、技術(shù)認證);相關(guān)的認證培訓有：微軟Microsoft認證培訓、思科安全認證CCSP培訓、趨勢認證信息安全TCSE培訓等。

 

第三，國際權(quán)威信息安全組織、研究部門或培訓機構(gòu)組來管理組織的國際化專業(yè)資格認證。相關(guān)的認證培訓有：信息系統(tǒng)安全認證CISSP培訓、信息安全管理體系主任審核員ISO 27001培訓、國際注冊信息系統(tǒng)審計師認證CISA培訓、國際IT運營與服務管理資格認證ITIL培訓等。

 

下面以CISP培訓為例，分析其知識體系構(gòu)建情況。

 

CISP即“注冊信息安全專家”，是國家對信息安全人員資質(zhì)的最高認可。其經(jīng)由中國信息安全測評中心實施國家認證。CISP認證和培訓賦予如下專業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢服務機構(gòu)、測評認證機構(gòu)、授權(quán)測評機構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運行和應用管理的技術(shù)部門和標準化部門必備的專業(yè)崗位人員。

 

在整個CISP的知識體系結(jié)構(gòu)中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)這五個知識類。 CISP知識體系以信息安全保障為主線，全面覆蓋信息安全保障工作所需的基礎(chǔ)、標準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域。CISP培訓知識體系結(jié)構(gòu)共包含五個知識類，分別為：(1)信息安全保障概述：介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。(2)信息安全技術(shù)：主要包括密碼技術(shù)、訪問控制、審計監(jiān)控等安全技術(shù)機制，網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫和應用軟件等方面的基本安全原理和實踐，以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識和實踐。(3)信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風險管理、安全管理措施等相關(guān)的管理知識和實踐。(4)信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實踐方法。(5)信息安全標準法規(guī)：主要包括信息安全相關(guān)的標準、法律法規(guī)、政策和道德規(guī)范，是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。

 

CISP的注冊要求如下：

 

第一，教育與工作經(jīng)歷：碩士研究生以上，具有1年工作經(jīng)歷;或本科畢業(yè)，具有2年工作經(jīng)歷;或大專畢業(yè)，具有4年工作經(jīng)歷。

 

第二，專業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

 

第三，培訓資格：在申請注冊前，成功地完成了CNITSEC或其授權(quán)培訓機構(gòu)組織的注冊信息安全專業(yè)人員培訓課程相應資質(zhì)所需的分類課程，并取得培訓合格證書。

 

第四，通過由CNITSEC舉行的注冊信息安全專業(yè)人員考試。

 

三、信息安全專業(yè)培訓體系構(gòu)建的建議

 

1.構(gòu)建完善的高校信息安全專業(yè)人才培訓體系

 

傳統(tǒng)的培訓體系，比較側(cè)重于知識和技能傳授的過程控制，在對知識的共享、隱性知識的轉(zhuǎn)換等方面，已經(jīng)不能滿足當前的要求，高校可以通過借鑒、學習CISP認證和培訓體系結(jié)構(gòu)和CISSP認證課程內(nèi)容設(shè)置，從信安全崗位所需的基礎(chǔ)、標準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來完善信息安 全專業(yè)人才培訓體系。根據(jù)培訓對象的不同將課程分為五種類型(層次)：操作層面的基本安全意識培訓;

 

技術(shù)層面的各項安全技能培訓;管理層面的信息安全管理培訓;專家級的資質(zhì)認證培訓。當然在培訓體系里面信息安全技術(shù)方面的培訓仍然是重點，為了加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓，可以參考思科安全認證CCSP培訓的模式，對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網(wǎng)絡(luò)安全防護裝備進行系統(tǒng)性的專題培訓。

 

2.建立逐級培訓的信息安全專業(yè)人才培訓模式

 

當前信息安全技術(shù)的發(fā)展日新月異，信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化，因此對于信息安全專業(yè)人員的培訓，僅靠一兩次培訓是遠遠不夠的，必須連續(xù)、有針對性的接受相應崗位和層次的逐級培訓，才能保證知識、能力結(jié)構(gòu)的不斷優(yōu)化和提高。在逐級培訓過程中要明確不同職務、技術(shù)等級的不同要求，使得逐級培訓過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓、認證，便不能參加后門高級別的培訓。同時利用職業(yè)資格證、學歷證書、執(zhí)行證書等為牽引，通過多階段培訓、資格培訓、升級培訓使得知識結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展，取得相應的職業(yè)證書才能晉升上崗，否則不予任用。

 

3.通過合理的認證標準來動態(tài)更新和完善培訓體系的目標任務

 

只有對培訓成果進行合理判斷，確定受訓人員知識技能水平的提高幅度，才能了解培訓項目是否達到原定的目標和要求，從而為進一步改進培訓體系提供重要依據(jù)。通過對培訓人員最終考評成績的分析以及部隊調(diào)研，培訓學員信息反饋等方式，針對培訓內(nèi)容和教學組織形式聽取意見，并及時調(diào)整，使得培訓效果真正適應培訓學員的實際需求，提高培訓效果。這樣才能在保持相對穩(wěn)定的情況下對培訓內(nèi)容實施動態(tài)更新，不斷完善。