工信部信息安全十篇

工信部信息安全篇1

现将本学期工作计划公布如下,望各位同学监督指正,不吝赐教:

一.传统文化

1."牵手闵行,心系交大"

与上海市闵行区闵行中学的共建项目开展于xx年10月份,自开展以来受到了学校各界的积极好评.本项目主要包括对高三紧张应考的学生进行学习指导,人生规划指导,报考指导.借鉴自身经历,向更多高三学子传授备考经验等.时至今年,我们将在今年10份继续"牵手闵行,心系交大",以指引更多优秀的同学加入到交大人信安人的行伍之中.

与此同时,我们将在借鉴往年经验的基础上,扩大规模,扩大范围至整个闵行区,并展开与学院学习部协作的机制,共同开展实施共建项目.

届时,我们将在基础学年招募相关志愿者加入我们的行列,我们期待你的加盟!

2."团改金"项目培训指导

"团改金"全称是团组织生活改革基金,是交大一个极具特色的学生活动,做为每个交大的学生都有必要参加.主要是为了提供大家一个课外社会实践的平台,促进提高大家的能力.现在也有许多其他的高校采纳）了我们的做法，可见它的效果。而且，优秀的团改金活动会得到相应的奖励，来鼓励大家继续将这个活动做下去。

本学期,我们将继续对大一各个班级的团支书同学进行培训,以使得各个班级能顺利的开展团改金活动,并提高支部的凝聚力.

欢迎大家前来学院组织部咨询相关事宜.

3.责任和义务

作为一名团员,按时交纳团费,积极完成团组织的下达的指令和任务,切实履行团员的职责.

本学期,我们将配合校团委按时完成团费上缴和团员统计工作,切实履行团组织工作职能.

我们感谢你的配合和理解!

二.前人种树,后人乘凉

首先,感谢过去一年为我们工作创造良好环境的老干部们---陈欣蔚,苏浩,杰.

(但凡组织部的干事,日后找此三人,自报家门,必衣食无忧!)

1.破冰

我们将在学生会的统一安排下进行招新工作,吸纳更多的优秀同学成为我部干事.并将对其进行定期的培训,内容包括:

a.与名师对话:邀请有学生工作经验的学长,老师进行工作交流和指导.

b.破冰:在招募完成后,立即进行团队组建和破冰活动,我们将突破以往的形式,实施新的部门工作形式.以工作小组和工作团队的形式进行项目攻关,以提高效率和责任制.同时,我们也希望组织各个班级的班长以及团支书进行相应的培训,以鼓励大家在日后工作中积极的配合和协作!

c.交换生:我们将定期与其他部门进行干事交换项目,以锻炼更多的人才.

2.utjs项目

utjs即是体验式培训项目的简称,我们将在大一年级开展相关培训,以增强支部的凝聚力.我们将邀请我院资深培训导师,院团委书记朱春玲老师为我们新生进行指导培训工作.

3.过度和转折

加强与学生会其他的共建工作.包括:与学习部,外联部高三备考指导项目;与宣传部博客网络宣传项目;与文体部支部风采大赛;与人力资源部团员档案共建项目;

我们在本学期也将相继出台相关的部门工作规章制度,干事工作评比制度,团支部评比制度等一系列规章制度.以完善我部的建设和过度.

定期指定工作计划.设置团委(组织部)工作信箱,及时反馈学生建议和意见.

4.团支部风采大赛

我们将借鉴其他相关学院的经验,开展团支部风采大赛活动,以提高团支部的凝聚力.

5.党团和谐

为向我党输送更多的优秀人才,我们将联合学院的党支部进行相关的协作共建工作,主要包括:优秀党员与学院团员面对面活动;支部积极分子培训;党建对外实践交流活动等.

6.我的地盘

支部活动丰富多彩,结合时政,每月制定一支部活动主题,在相关主题基础上完成活动.

例如,9月份支部活动主题是"选择交大,惟我信安"(仅供参考)

7.对口帮建

开展不同年级的对口班级的扶持共建工作,使更多低年的支部得到相应高年级支部学长的帮助和指导.希望班长和团支书予以配合.

8.生日快乐

组织各个支部,为家庭困难的同学过集体生日,感受家的温暖.

9.博客

建立博客,搭建支部交流和展示的平台,邀请宣传部进行共建!

......

......

以上是我们组织部新学期的工作计划,希望你积极投身我们的活动中,并从中感知支部的温暖,学院的祥和!

信息安全工程学院

工信部信息安全篇2

现将本学期工作计划公布如下，望各位同学监督指正，不吝赐教：

一、传统文化

1、"牵手闵行，心系交大"

与上海市闵行区闵行中学的共建项目开展于XX年10月份，自开展以来受到了学校各界的积极好评。本项目主要包括对高三紧张应考的学生进行学习指导，人生规划指导，报考指导。借鉴自身经历，向更多高三学子传授备考经验等。时至今年，我们将在今年10份继续"牵手闵行，心系交大"，以指引更多优秀的同学加入到交大人信安人的行伍之中。

与此同时，我们将在借鉴往年经验的基础上，扩大规模，扩大范围至整个闵行区，并展开与学院学习部协作的机制，共同开展实施共建项目。

届时，我们将在基础学年招募相关志愿者加入我们的行列，我们期待你的加盟！

2、"团改金"项目培训指导

"团改金"全称是团组织生活改革基金，是交大一个极具特色的学生活动，做为每个交大的学生都有必要参加。主要是为了提供大家一个课外社会实践的平台，促进提高大家的能力。现在也有许多其他的高校采纳）了我们的做法，可见它的效果。而且，优秀的团改金活动会得到相应的奖励，来鼓励大家继续将这个活动做下去。

本学期，我们将继续对大一各个班级的团支书同学进行培训，以使得各个班级能顺利的开展团改金活动，并提高支部的凝聚力。

欢迎大家前来学院组织部咨询相关事宜。

3、责任和义务

作为一名团员，按时交纳团费，积极完成团组织的下达的指令和任务，切实履行团员的职责。

本学期，我们将配合校团委按时完成团费上缴和团员统计工作，切实履行团组织工作职能。

我们感谢你的配合和理解！

二、前人种树，后人乘凉

首先，感谢过去一年为我们工作创造良好环境的老干部们：。

（但凡组织部的干事，日后找此三人，自报家门，必衣食无忧！）

1、破冰

我们将在学生会的统一安排下进行招新工作，吸纳更多的优秀同学成为我部干事。并将对其进行定期的培训，内容包括：

a、与名师对话：邀请有学生工作经验的学长，老师进行工作交流和指导。

b、破冰：在招募完成后，立即进行团队组建和破冰活动，我们将突破以往的形式，实施新的部门工作形式。以工作小组和工作团队的形式进行项目攻关，以提高效率和责任制。同时，我们也希望组织各个班级的班长以及团支书进行相应的培训，以鼓励大家在日后工作中积极的配合和协作！

c、交换生：我们将定期与其他部门进行干事交换项目，以锻炼更多的人才。

2、utjs项目

utjs即是体验式培训项目的简称，我们将在大一年级开展相关培训，以增强支部的凝聚力。我们将邀请我院资深培训导师，院团委书记朱春玲老师为我们新生进行指导培训工作。

3、过度和转折

工信部信息安全篇3

［关键词］安全信息;类型;管理机制;策略

随着高校信息化建设的不断发展，教师与学生的工作与生活也发生了一系列的变化，高校的安全信息管理一方面为信息化建设奠定坚实的基础，另一方面保障了高校的长期稳定发展，因此，加强对高校安全信息管理机制研究，对高校新时期的发展有着重要的实践意义。

一、高校安全信息概述

安全信息指的是在生产过程中与安全直接相关的各种信息的总和，其包括警示信息、上级命令等多个方面。近年来，我国计算机信息技术得到了极大提升，在人们的日常生活与工作中发挥着不可替代的作用。与此同时，安全信息管理工作也面临着新的挑战。高校作为人才培养的重要基地，同时也是科研成果的集中地。高校学生与教师整体素质较高，且思维活跃、有深度，因此加强对高校安全信息管理显得尤为重要，这不仅是构建和谐校园的需要，更是保障社会稳定的需要。近年来，校园安全事故频发，校园火灾、学生跳楼、学生自杀等事件引起了全社会的广泛关注，不仅为涉事学校与学生带来了严重的伤害与损失，而且造成了不良的社会影响。目前高校师生的安全问题已经成为高校亟待解决的重要问题，加强对高校安全信息的管理已刻不容缓。

二、高校安全信息的基本类型

高校安全信息的管理主要指安全信息管理部门采用多种途径对高校中涉及的政治、文化等方面的信息进行搜集、分析，其主要包括决策指令型、状态型、棘手型、反馈型四种类型。

(一)决策指令型

决策指令型安全信息是高校安全信息管理的重要组成部分，其主要来源于学校行政管理部门以及主管部门，涉及到与高校安全工作相关的各项法律、规范以及会议精神等。此类信息由政府部门或高校主管部门负责传递，对高校安全信息管理具有重要指导性作用，且具有强制性，要求高校必须严格按照上级的指导要求落实工作，并接受政府与上级主管部门的核查。高校领导以及安全部门工作人员要对接收的信息进行准确理解与把握，并落实到安全信息管理工作的方方面面。

(二)状态型

状态型安全信息是指发生于高校内部或社会中涉及政治、文化、教育等方面的比较敏感的话题，它是未经过滤的原始信息，能直接体现最初状态。它对时效性要求较高，这类安全信息一旦超过了一定的时效，将很有可能成为无用信息。状态型安全信息能够对高校的发展现状进行鲜明的呈现，并对高校的未来发展做出有效的评估，能够及时发现学校在发展过程中可能存在的潜在威胁，对高校的安全及稳定发展有着重要的意义。因此，高校安全信息管理部门要对状态型安全信息给予高度关注，充分利用状态型安全信息，将其及时反映到上级管理部门，为上级领导的决策提供必要的参考依据。

(三)棘手型

棘手型安全信息多是在高校安全管理的具体工作中产生的，主要包括教职工与学生在学校生活中遇到的各方面的难题，不仅涉及到教学中遇到的矛盾与困难，而且包括了教职工与学生在日常生活中遭遇的困难，如学校的食堂安全问题、学生的住宿问题以及各项活动安排等，这些问题与师生的正常工作与生活密切相关，是每天都必须面临的问题，因此必须认真处理好棘手型安全信息问题，确保学校教学工作的有序开展，保障师生的人身安全。

(四)反馈型

反馈型安全信息主要指高校安全管理部门对学校内部或社会中过于敏感话题的态度与看法，这些信息关系着学校的声誉与长期发展，同时也关系着学校师生的安全，因此，高校的信息管理部门要对反馈型信息给予高度关注，通过多种途径搜集信息，获取有效的安全信息资源，并对这些信息进行综合分析，做出总结，为学校安全信息管理工作的科学决策提供保障，使安全管理落实到学校管理的各个环节。

三、高校安全信息管理存在的问题

(一)高校安全信息管理滞后

当前，我国高校正致力于信息化建设，在现代互联网信息技术的支持下，高校的信息化建设不断加快，信息平台逐步趋于完善，相应的技术层面问题也得到了有效的解决。然而从当前的高校安全信息管理来看，我国高校安全信息资源流程还缺乏一定的规范性，从信息的获取到存储再到信息的有效利用，都不够完善，这在一定程度上限制了高校安全信息管理的有效性。因此，学校要充分把握安全信息管理的各个环节，避免主观臆断，以客观、公正的态度对安全信息进行分析，确保信息的真实性与实效性。

(二)高校校园安全预警机制缺乏

作为高校安全管理工作极为重要的组成部分，预警机制的建立对学校的健康稳定发展以及师生的安全都有着极其重要的意义，它贯穿着信息收集与整理、计划制定、决策实施等安全信息管理的全程。而我国大部分高校的安全预警机制并不完善，例如信息渠道不够畅通，在对安全信息进行分析与判断的过程中往往带有一定的片面性与主观性，甚至导致整个决策方案出现失误。部分高校尽管建立了校园安全预警机制，然而对安全信息的分析能力有所欠缺，降低了安全信息管理的有效性。

(三)高校安全管理部门信息交流不畅

高校安全信息的收集、整理、分析以及利用需要完善的系统化流程作为支撑，这是高校安全信息实现有效管理的基础。然而大部分高校的安全管理部门并未建立信息交流与共享机制，各个部门各自为政，很难实现各类安全信息的有机整合与处理，这就使信息的价值大大降低，其在安全管理决策中的作用也难以发挥。

四、高校安全信息管理机制

高校的安全信息管理由多个环节组成，每个环节都是安全信息管理中不可或缺的重要组成部分，具体包括安全信息获取途径、安全信息存储条件、安全信息沟通反馈、安全信息有效利用等。

(一)安全信息的有效获取

作为高校安全信息管理机制的首要环节，安全信息的获取不仅是安全信息管理的必要基础，而且是信息管理与决策的重要依据，因此，必须通过多种途径实现对安全信息的有效获取。首先，学校安全部门要针对安全信息管理制定出相应的管理制度，并选出合适的信息收集人员，收集安全信息主要涉及到学校后勤部门、学生部门以及教学部门等，并将信息及时反馈到安全管理部门，为高校的安全管理工作提供有效的参考。另外，在现代互联网信息技术的支持下，学校可以为教师与学生建立一个完善的安全问题交流平台，并设定专门的信息管理人员对这些安全信息以及师生感兴趣的话题进行收集，对这些信息做出科学分析，认真解决与师生利益相关的各类安全问题。

(二)安全信息的存储机制

高校安全信息管理工作的有效实施与安全信息存储联系尤为密切，只有将安全信息进行有效的存储，才能够为安全信息管理工作打下坚实基础。首先，高校要建立完善的安全信息管理系统，这其中不仅包括对安全信息的收集，而且要强调对信息的存储与科学利用，在安全信息系统的支持下，高校安全管理机构能够实现对安全信息的有效管理与控制，充分发挥其在高校安全管理中的作用。另外，要建立安全信息数据库。通常情况下，在收集安全信息的过程中采用了多种渠道，这些安全信息相对零散，必须对这些信息进行汇总，通过安全信息管理人员的筛选与整理，将有价值的安全信息进行汇集，建立数据库，对这些信息进行储存，以便为高校的安全管理提供参考。

(三)安全信息的沟通机制

获取安全信息后，需要针对这些信息建立有效的交流与沟通机制，确保安全信息管理的科学性。学校安全管理部门可以创建一个网络平台，通过该平台实现对安全信息的与反馈，需要注意的是要确保信息的真实性与透明度，这不仅是对大学生权利的尊重，同时也是学校可持续发展的内在要求。如果缺乏有效的信息沟通、交流机制，高校将很难掌握其运行过程存在的安全问题，进而引发一系列安全事件的发生。因此，要充分利用网络平台，准确把握师生在日常工作、学习与生活的安全诉求，进而给予良好的解决，同时将与学校相关的各种安全信息通过网络传递到师生，确保高校正常教学工作的有序进行。另外，近年来微博、博客作为一种新型的交流、沟通工具，在高校师生的沟通交流中发挥着巨大的作用，学校安全管理机构可开通微博，通过微博系统师生关注的各类安全信息，这一方面有利于信息的传播，使更多人能够了解安全信息，另一方面能够使广大师生提高警惕，树立安全意识，为高校的安全信息管理工作降低难度。

(四)安全信息的科学利用

安全信息的收集、存储与沟通，最终目的还是为了实现对安全信息的有效利用，其作为安全信息管理机制的最后环节，直接影响着高校安全管理的有效实施。首先，为了保障教师与学生能够在最短时间内获得安全信息，可利用短信或微信将与师生利益或与师生的生活密切相关的安全信息进行群发，并附带基本的安全防护知识，使学生及教师在掌握最新安全信息的基础上，能够掌握安全防护要领，达到安全管理的目的。另外，随着数字校园网的普及，高校的信息宣传工作更加快捷、有效，高校安全管理机构可利用校园网将广大师生普遍关注的餐饮与住宿问题进行及时宣传与反馈，化解学生在食宿问题中产生的各类矛盾，将安全问题扼杀在摇篮中。安全管理机构要充分发挥校园网的优越性，在掌握各类安全信息的基础上，制定出有效的解决策略，确保高校教学工作以及师生日常生活的顺利进行，进而提升高校的安全管理水平。当前，我国高校的安全信息管理水平还普遍偏低，一方面安全信息的利用率不高，部分安全信息未能得到有效的利用，使其丧失了在高校安全管理工作中的有效性，另一方面信息管理模式单一，对安全信息的控制效果不佳。因此，必须充分认识到现阶段我国高校安全信息管理工作中存在的问题，建立有效的安全信息管理机制，将安全管理落实到校园生活的方方面面，提升安全管理能力，确保高校的稳定健康发展。

参考文献:

［1］吴彧一．基于B/S模式的高校档案信息管理系统安全性研究［J］．黑龙江档案，2012(2):49.

［2］常旭青．构建高校网络信息安全教育合力机制的探析———基于中北大学学生网络使用状况的数据调查［J］．中北大学学报(社会科学版)，2013(29):21-25.

［3］田博．新时期构建高校安全管理长效机制研究［J］．湖北工业职业技术学院学报，2015(1):4-8.

［4］樊红珍．ASP．NET架构下用户信息管理安全机制的实现［J］．电脑知识与技术，2011(3×):1718-1719.

工信部信息安全篇4

1 企业信息安全管理的失误因素分析

1.1 信息安全组织临时化

通常，企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时，才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时，才会临时组建项目小组，根据新的信息安全要求制定解决方案并实施计划，项目完成后，临时小组就会解散，没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估，安全计划不断地重复开始和结束，带来大量的人财物重复投入，这将导致安全计划成本不断增加，企业的工作效率不断降低，信息安全防护也未得到有效提升。

1.2 员工上网无限制

虽然企业为员工上网提供了用户名及密码，并且对其登录的网站进行了监测，但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为，并且使用一些网站的免费邮箱随意地接收和发送电子邮件，这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是，员工在不了解原因的情况下，使得企业的信息被泄露或者内部网络瘫痪，从而影响企业的正常工作，造成企业资产的损失。

1.3 个人移动设备（BYOD）使用泛滥

在企业的办公场合，员工会携带个人移动设备（BYOD）如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝，并且可以使用移动设备接入企业内网的无线Wi-Fi，并拥有一定程度的内网数据读取权限，这样做虽然节约了企业的办公成本，提高了办公的效率，但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。

1.4 信息安全防护水平有限

出于性能、技术等因素的考虑，加之国内自主研发的信息安全产品较少，目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足，但近几年来，进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时，进口信息安全产品已经占据了这些企业信息系统的关键节点，这使得企业的商业机密时刻处于高危状态。不仅如此，部分企业仍旧停留在使用免费的个人版杀毒软件阶段，而这些软件不仅无法解决病毒交叉感染的问题，也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。

1.5 信息安全事件处理不及时

企业在发生信息安全事件时，即使有相关的信息安全管理产品，但无法迅速定位安全事件，更无法快速进行安全事件响应处理，常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击，出现问题时，他们多表现得无从下手或者手忙脚乱。而且，企业各部门各自为政，对发生信息安全事件无法进行统一规范的快速处理。

2 改进企业信息安全管理的对策

2.1 建立健全的信息安全组织层级结构

企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标，对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置，构成相互协作的有机整体，使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构，不仅能在企业中形成一张网，覆盖企业的各个部门，有利于信息安全措施的实施和针对信息安全事件的快速响应，而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。

2.2 加强人员教育培训和规范管理

信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷，而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识，企业需要对员工进行完善的信息安全教育培训，这不仅能提高员工的信息安全保护技能，还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时，可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言，教育培训以信息安全核心知识、风险管理、信息安全政策等为主；企业的信息技术人员，则是以信息安全技术教育培训为主；一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训，还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度；对负责计算机系统及日常维护的人员界定其工作权限；规范化管理员工的上网行为，合理利用网络资源，避免人为的网络安全隐患。

2.3 完善信息安全技术体系

一是保障并完善数据安全，企业需通过加密的手段保护企业系统中数据的机密性和完整性，从而提高数据访问的抗抵赖性，同时加强数据的异地灾难恢复机制，实现本地数据的实时远程复制与备份，避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。

二是保障并完善终端安全，企业除了要采用全面可靠的防病毒体系和防火墙技术外，还需制定严格的移动终端设备使用制度，一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件，导致企业内部信息向外泄露，另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。

三是保障和完善应用安全，除了提供用户名和口令外其他身份验证机制，必要时还需支持双因素认证和具备登录控制模块，同时在日常工作不受影响的情况下，控制员工访问权限，减少越权操作的现象，最大限度地保障个人系统的安全。

四是保障和完善网络安全，企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强，并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计，使系统免于网络攻击的同时，也提升了系统管理人员的安全管理水平。

工信部信息安全篇5

近年来，我市各县市区、各部门在加强政府信息系统安全和保密管理方面做了大量工作，取得了明显成效。但也要看到，当前境内外敌对势力大肆利用各种手段对我各级行政机关进行网络攻击和窃密活动的事实，加之，政府信息系统安全和保密管理工作中还存在不少薄弱环节，一些单位和人员信息安全和保密意识淡薄，管理机制不健全，制度不落实，技术防护措施不完善，安全隐患比较严重，信息安全形势十分严峻。

根据省人民政府办公厅转发国务院办公厅关于加强政府信息系统安全和保密管理工作的通知（陕政办发〔〕79号）精神，为认真贯彻落实中、省通知精神，切实提高我市政府信息系统安全保障能力，现就进一步加强政信息系统安全和保密管理工作通知如下：

一、加强组织领导，健全信息安全责任制

各县市区政府、各部门要把信息安全和保密工作列入重要议事日程，加强领导，落实责任，完善措施，切实抓紧抓好。要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，健全信息安全和保密责任制，把责任落实到具体部门、具体岗位和个人。要明确一名主管领导，负责本单位信息系统安全和保密管理工作，根据国家法律法规和有关要求，结合实际组织制订信息安全保密管理制度和防护措施，开展信息安全、保密教育和监督检查。要指定一名安全观念强、富有责任心、懂防护技术的工作人员任信息系统安全员，负责日常督促、检查和指导工作。要建立健全岗位信息安全和保密责任制度，明确信息安全和保密责任。

二、强化教育培训，提高安全意识和防护技能

各县市区、各部门要认真组织信息安全和保密基本技能培训，开展信息安全和保密形势分析、典型案例分析和警示教育，并做到经常化、制度化。要把信息安全和保密教育作为工作人员上岗、干部培训、业务学习的重要内容，提高安全和保密意识，使主动做好信息安全和保密工作成为每个工作人员的自觉行动。加快研究建立行政机关工作人员信息安全技能考试制度，逐步做到工作人员持证上岗。当前，要针对存在的突出问题，深入学习宣传信息安全“五禁止”规定：一是禁止将信息系统接入国际互联网及其他公共信息网络；二是禁止在计算机与非计算机之间交叉使用U盘等移动存储设备；三是禁止在没有防护措施的情况下将国际互联网公共信息网络上的数据拷贝到信息系统；四是禁止计算机、移动存储设备与非计算机、非移动存储设备混用；五是禁止使用具有无线互联功能的设备处理信息。行政机关及其工作人员要切实遵守信息安全和保密管理各项规定，做到令行禁止，杜绝安全隐患。

三、完善安全措施和手段，夯实安全工作基础

一是加强对信息、人员、场所和设备的管理。严格执行保密要害部门、要害部位管理制度；严格执行人员管理和资格审查制度；严格执行计算机、设备登记管理和定期检查制度；严格执行计算机、信息系统软件和维护服务提供者资质审查及监管制度。

二是实行计算机配置管理和安全审计。加快对办公用计算机和移动存储设备实行配置管理，统一编号、统一标志、统一登记；对办公用计算机逐步加装安全审计工具，定期进行安全审计。市信息办要会同有关部门和单位抓紧制订行政机关办公用计算机配置指南、安全使用规范和安全审计办法。

三是规范电子文档的管理。统一电子文档命名规则，根据文件内容在文件名中标明密级、类别，便于识别和管理。建立并保留电子文档的创建、复制、删除等相关记录，为安全审计提供依据。规范电子文档的复制、传递，电子文档要严格按照同等密级纸质文件的有关规定进行。逐步采用加密等技术手段对电子文档的存储和传输进行保护。

四是加快信息安全防护设施建设。行政机关在规划建设政府信息系统时，要严格遵循同步规划、同步建设、同步运行的原则，按照国家有关法律法规和标准同步规划、设计、建设、运行、管理信息安全防护设施。要将信息安全防护设施建设、运行、维护、检查和管理费用纳入预算，保证资金落实。项目审批部门要将拟建政府信息系统是否具备信息安全防护设施作为重要审核内容。政府信息系统建成后，必须经保密工作部门审批后方可投入使用。

五是切实增强政府业务网络安全保障能力。政府业务网络是政府信息系统的重要组成部分，是推行电子政务的重要基础，必须采取切实有效的安全措施。要加快建立健全以身份认证、访问控制、安全审计、责任认定、病毒防护等为主要内容的网络安全体系，完善网络安全技术防护手段。抓紧制订网络对接、信息交换、安全技术及运行管理标准规范，实行严格的网络接入审批制度。行政机关要督促、指导业务网络管理单位完善相应的办法，保证网络安全运行。

六是严格信息技术产品的采购管理。按照政府采购法有关政策要求，行政机关要带头使用国产信息技术产品和服务，确保信息系统安全可控。其中，办公用计算机、公文处理软件、信息安全产品等应使用国产产品，信息安全服务应选择有相应资质的国内厂商，因特殊原因必须选用国外信息技术产品和信息安全服务的，应进行安全审查，并报本单位主管信息安全的领导同志批准。政府信息系统、保密要害部门和部位使用信息技术产品及服务，必须严格执行国家有关保密规定和标准。政府信息系统以及关系国家安全的重要信息系统的数据中心、灾难备份中心不得设立在境外，原则上不得接受在线远程服务。

四、做好信息安全检查工作，依法追究责任

各县市区、各部门每半年要对政府信息系统进行一次全面的安全检查，认真查找隐患，及时掌握信息安全状况和面临的威胁，及时采取应对措施，堵塞安全漏洞，减少安全风险。要提高应急处置能力，及时发现网络泄密隐患，迅速处置网络泄密事件。市信息办负责制定信息安全检查办法，各部门要定期向其报告检查落实情况。各县市区还要结合实际制订具体的信息安全检查和实施办法。

加大信息安全和保密执法工作力度。对违反信息安全和保密管理规定的，要给予严肃处理，对造成泄密事件和信息安全事故的，要依法追究当事人和有关负责人的责任，并以适当方式予以通报，以儆效尤。要建立网络泄密举报制度和奖惩制度。明确举报方式、受理机构和奖惩力度，充分发挥广大行政机关工作人员的监督作用。

工信部信息安全篇6

关键词：安全信息；北宿煤矿；安全生产；安全需求；安全意识；煤矿企业 文献标识码：A

中图分类号：TD761 文章编号：1009-2374（2015）05-0158-02 DOI：10.13535/ki.11-4406/n.2015.0411

安全信息作为安全工作的重要抓手，为领导的安全决策和部署提供可靠的现场依据，为隐患的整改落实提供迅捷的真实资料，为矿井的安全发展提供有力的支撑，所以安全信息工作的发展至关重要，排隐患、防事故，防患于未然。

1 建立健全安全信息管理体系

为保证安全信息得到有效的管理利用，发挥安全信息在安全生产中的作用，北宿煤矿从上到下建立了安全信息收集反馈系统；从党群部门到基层区队建立健全了安全信息分支系统，设立了以矿信息中心为主，以党群分支体系为辅的“六大安全信息管理体系”体系。

1.1 矿井安全信息管理体系

矿长―副矿长―安全生产科室科长―基层区队区长―副区长―班组长，这是矿的中枢安全信息管理

体系。

1.2 矿井安全技术信息管理体系

总工程师―副总工程师―技术部门负责人―基层区队技术员，这是矿的技术安全信息管理体系，为矿中枢安全信息系统提供安全技术管理信息。

1.3 矿安监处专职安全信息管理体系

安监处长―副处长―科长―安监员，这是矿的专职安全监督检查信息管理体系，为矿中枢安全信息管理系统提供依法安全监督检查的安全管理信息。

1.4 工会群检安全信息管理体系

矿工会主席总网长―基层车间工会主席网长―班组网员，这是以工会组织为主的由职工代表组成的群众性安全信息管理体系，为矿中枢安全信息管理系统提供职工群众现场查出的安全隐患信息。

2 健全完善安全信息管理制度

2.1 安全信息人员的选拔聘用制度

北宿煤矿规定以“矿领导、各安全生产科室、生产辅助区队副科级以上干部、矿调度值班人员，组成的安全信息管理人员；以矿总工、副总、工程师、技术员组成的安全技术信息管理人员；以安监处专职安监员组成的安全信息监督检查人员；以职工代表、车间工会会员组成的工会系统安全信息群检员；以共青团员组成的青年职工安全信息岗员；以复转退伍军人和基干民兵组成的安全信息哨兵”安全管理信息员，必须具有强烈的安全意识和安全第一的生产观念，必须具有5年以上的专业工龄，必须每年进行依次应聘考核考试。

2.2 安全信息人员下井签到制度

各类安全信息人员下井，必须到信息中心挂下井上岗牌，标明将要去检查的采区。安全信息人员下井、升井必须在井下打卡。不打卡而到信息中心填写安全信息表卡、一律不算下井指标，并对其进行罚款。升井后到信息中心填写安全信息卡。

2.3 安全信息人员填写安全信息表、卡制度

安全信息人员上井后必须到矿安全信息中心填写各类安全信息表、卡，向信息中心汇报检查情况及应解决的问题。各级领导干部填写的为“生产管理干部下井汇报卡”、安监员填写的为现场安全监督检查表、工会网员填写的为群监员安全检查表、团员青年填写的为青岗员安全检查表、民兵填写的为安全哨兵安全检查表。

2.4 安全信息表、卡填写的规定要求

矿规定各类安全信息员，必须按标准要求填写安全信息表、卡。如各级领导填写的“生产管理干部下井汇报卡”，必须填写单位、姓名、职务、下井时间、同行人、经过路线、班次及检查的采掘工作面和主要施工场所、存在的隐患（隐患不得低于3条）、落实的整改单位和负责人以及现场提问情况。填写的隐患必须符合现场实际，字迹清晰，表述准确。

2.5 安全信息表、卡的运转制度

矿规定各类安全信息表、卡，必须保持“渠道畅通、反应灵敏、讲究实效”。各类安全信息员上井后首先填写安全检查表、卡，安全信息中心或分支信息管理系统必须及时处理安全信息人员填写的各类安全检查表、卡，对筛选出的安全隐患必须及时迅速地以电话或书面等形式向责任单位下达整改通知。

2.6 安全信息的收集整理

矿安全信息管理中心，每天24小时值班。专人收集整理分检各类安全信息员填写的安全信息，报送矿领导和业务部门。对一般性安全隐患由安全信息中心落实督促责任单位整改。对需要矿领导解决的安全隐患，报矿分管领导落实解决。

3 充分发挥安全信息的作用

随着管理科学化的不断发展，利用安全信息手段强化煤矿的管理，越来越受到领导的重视。近年来，北宿煤矿充分发挥了安全信息管理作用，取得了事半功倍的效果。矿领导在安全管理中要做到耳聪目明，就必须有及时准确的安全信息，在管理中才能做到有的放矢，实施正确的决策。北宿煤矿的安全信息发挥的作用具体表现为：

一是安全信息网络的作用得到了有效发挥，纵横相间的安全信息网络，使安全检查达到了全覆盖、无

盲区。

二是矿安全信息人员的作用得到了有效发挥，工作在各个生产现场的各类安全信息员，24小时地对检查各采掘工作面和施工现场进行天候的安全监督检查，使安全隐患达到了疏而不漏。

三是安全信息落实到位。矿安全信息中心接到安全信息卡后立即落实责任区队，区队值班领导及时制定整改措施、标准要求并下达到施工现场跟班领导或班组长，跟班领导认真组织现场工人进行解决。各单位在接到隐患整改通知后，积极组织力量，在限期内按要求整改，并将整改情况及时如实反馈到信息中心。

四是广开安全信息渠道，我们在区队办公楼设立了安全信息箱，发动职工群众提供抓安全工作的意见和建议、提供井下生产现场存在的安全隐患和整改治理的措施等安全信息，信息中心每天早、中、夜分三个班次开箱收集职工的安全信息。对职工提供的安全信息，信息中心进行分类整理，进行督办、催办。

五是发挥安全信息主渠道的作用。安全信息中心时刻保持了安全信息的畅通无阻。信息中心在1号副井等候室安装了大屏幕，每天利用大屏幕宣传贯彻矿、公司及上级安全文件指示精神；公司及上级安全会议指示精神；通报本矿和兄弟矿井发生的各类安全事故及领导值班带班情况。

六是发挥了安全信息的指令性作用。矿信息中心下达的安全隐患整改信息，具有命令性、强制性，实效性，必须认真地抓好落实，否则追究责任单位和责任人的责任，保证了安全隐患得到及时治理。

4 结语

工信部信息安全篇7

1.1高校信息安全的概念

目前，信息安全并没有明确的定义。ISO/IEC17799中将信息安全定义为：通过实施一组控制而达到的、包括策略、措施、过程、组织结构及软件功能，是对机密性、完整性和可用性保护的一种特性。美国对信息安全的定义是：对信息、系统以及使用、存储和传输信息的硬件的保护。美国从技术和管理两个角度出发，将信息安全概括为信息环境安全、信息数据安全、信息程序安全、信息运行系统安全四个方面。沈昌祥院士将信息安全定义为：“保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。”我国关于信息安全的定义基本上从技术和管理角度提出（主要指信息系统安全）。在本文中，笔者将高校信息安全界定为：高校信息安全是指确保涵盖信息处理系统的安全、信息自身的安全和信息利用安全在内的，从电脑硬件安全、处理系统运行安全、信息数据安全、信息内容本身安全四个维度出发，对具有机密性、完整性和可用性的高校信息保护的一种特性。

1.2高校信息安全的内容

通过上文对高校信息安全概念的界定，笔者认为高校信息安全主要内容归纳为以下四个方面：一是从物理安全维度看，主要是校园网络内运行的硬件设备的安全。涉及的是动力安全、设备安全、电磁安全、环境安全等；二是从运行安全维度看，主要涉及网络系统的可控性、可用性、可信赖性等，即保障信息系统不被篡改、破坏或不被非法操作等；三是从数据安全维度看，保障校园网络中流通数据的安全，既网络中的数据不被篡改、非法增删、复制、解密、盗用等；四是从内容安全维度看，是对信息本身内容真实性的鉴定、隐藏信息的发现以及对信息的选择性阻断。其中物理安全和运行安全是信息安全的基础。

1.3高校信息风险表现及信息安全保障之必要性

高校信息风险主要表现为：一是高校“信息风险人群”比例远高于国内其他行业“风险人群”。据360安全中心的《2013年第一季度中国个人电脑网上安全报告》显示，国内高校“风险人群”比例为28.7%。比全国“风险人群”的25.8%高近3个百分点。二是高校引发信息安全的因素种类繁多。除自然因素外，如计算机病毒、黑客、钓鱼网站、非法入侵盗号、系统的漏洞、人为操作等。三是高校的私有机密信息如学校公共数据、师生的个人信息、财务信息、档案信息、设备资产信息、教务信息等重要数据容易泄露或被非法窃取。针对高校信息风险表现，积极探索高校信息安全保障策略具有重大意义。一是有利于提高高校信息安全管理整体意识；二是有助于制定行之有效的信息安全管理制度，三是能促进高校信息安全保障机制的不断完善，有效推进高校信息化进程；四是是能提高师生信息安全意识，促进我国信息安全专业人才的培养。

2高校信息安全风险分析

信息风险分析是一种主动识别信息风险的过程。笔者分别采用定性分析、定量分析、定性和定量相结合的方法对高校现实信息系统的实际情况做了调查研究、结合学校信息泄露案例进行分析，从共性上看，认为信息安全风险因素可以归纳为以下几类。

2.1高校信息安全保护机制普遍存在认识不足，防护不够的现象

首先，高校网络系统使用人员信息安全意识淡薄。主要表现为大学生对信息安全缺乏足够的重视，高校没有成型的大学生信息安全教育模式，对大学生进行信息安全教育处于形式。高校对大学生的信息安全教育不够重视，严重滞后于信息技术的发展。大学生对学校信息安全缺乏正确认识，对相关信息安全法律法规缺乏了解，信息安全意识淡薄。作为系统使用人员的教师，由于缺乏必要的信息安全知识和信息技术，对信息安全防护漠不关心，片面的以为学校信息安全属于专业技术人员，于己无关。其次，高校信息管理人员安全意识淡薄。对于缺乏信息安全教育专业培训的技术管理人员来说，他们缺乏“防黑防毒”意识，对于来自外部或内部的恶意攻击缺乏警惕性，缺乏积极防御、保障信息安全的主动性。再次，高校信息安全专业人才的培养尚处于起步阶段，高校贫缺专业信息安全管理人才。由于缺乏专业信息安全人才的专业指导，导致高校信息安全建设缺乏系统规划和整体布局，对信息风险认识不够，分析不彻底，所制定的信息保障策略存在漏洞。最后，对信息系统安全漏洞未能及时、定期修复。安全漏洞是指在网络系统硬件、软件、协议和系统安全策略存在的缺陷和错误。攻击者就是通过研究这些漏洞向高校的信息系统传播病毒，或者人为控制计算机系统。管理者只有及时修复这些漏洞，才可以确保信息安全。

2.2高校信息安全制度不健全，存在信息安全管理漏洞

虽然高校信息化普及很快，但大部分高校对信息安全在监督和管理上都存在着漏洞。高校在信息安全管理上缺乏健全的制度，高校内部管理相对松散，已有的制度大多数是趋于形式的要求而设立，没有严格的监督检查机制，甚至连信息安全领导小组都未成立，对突发的信息安全问题缺乏应急处置预案，出现头痛医头，脚痛医脚的忙乱应对现象。据初步统计，大部分的信息安全问题是由于管理疏忽或者管理不善造成的，因此，从管理角度加强信息管理，是能够有效保障信息安全的。

2.3高校信息安全投入不足，安全保障设施不健全

目前高校数字化建设已经取得一定成绩，数字化教学、管理、服务基本普及。但在管理和保障信息安全的设备上投入资金十分有限。首先因为用于保障信息安全设备成本较高，而信息风险的不确定性导致信息安全本身又不被领导充分重视，大部分高校安全保障配套设施陈旧；其次伴随高校扩张，大部分高校网络缺乏战略发展规划，网络边界设备之间缺乏有效的联动，网络拓扑结构不合理，内网和外网在数据交换及数据流转方面存在不安全因素；最后为节约网络运行成本，学校采取与网络营销商合作的方式来减少学校网络运行维护人员，忽视对网络安全维护方面的投入。

2.4高校缺乏对BYOD、云计算和大数据安全问题应对方案

由于在智能手机、平板电脑、超极本的智能终端使用某些应用比在PC上操作方式更简单快捷，2013年移动办公设备的信息安全问题成为安全信息的新问题。调查显示，高校基本上还没有制定相关的BYOD安全管理政策，以具体规定师生员工如何在学习工作场所中使用自己的移动。如何在确保信息安全的情况下更好的利用BYOD带来好处成为高校信息安全风险分析的重要任务。高校在云计算信息安全方面专注于保护云计算主机站点的数据安全，对从移动终端访问云数据的用户安全重视不够，他们经常面临数据泄露、数据丢失、账户劫持、不安全的API、拒绝服务攻击、内部人员的恶意操作、云计算服务的滥用、云服务规划不合理、共享技术的漏洞等问题。

3高校信息安全保障策略

建立高效、协调、集成的数字化办公系统是长春理工大学成为综合性、研究型、开放式的国内一流大学的信息化保障，如何保障信息安全便成为建设数字化办公系统需要面对的首要问题。

3.1加强信息安全知识教育和技能培训，从信息主体层面增强网络安全防护

为从根本上增强网络安全防护，长春理工大学采取了一系列措施提高网络信息主体——师生的信息安全防范意识和防范技能。一是加强国内外信息安全法律法规教育，增强师生信息安全法律意识。如：长春理工大学定期组织管理员、信息源接入人员、广大师生学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核、登记制度》等国内外信息安全法律法规教育，普及信息安全知识，提高师生安全保密素质，让师生明确维护信息安全的重要性和维护信息安全人人有责，充分发挥师生在信息安全维护中的主体作用。二是对师生进行信息安全技术培训，提高师生信息安全防御技能。信息安全技术培训主要是针对师生的实际需求，开展计算机应用和网络运用技能的培训，培养学生基本的网络防御技能。长春理工大学多年来一直坚持定期邀请专职技术人员对学校师生进行信息安全技术培训。如电脑操作系统定期更新，及时修补电脑安全漏洞，辨别不良网站等知识，让师生学会日常的安全操作和系统维护。

3.2坚持校园网硬件投入和有效信息技术的充分融合，确保网络运行安全

首先，建立完整的校园网络病毒防御体系。一是安装正版杀毒软件。如：长春理工大学将正版的杀毒软件挂在学校的信息中心网站上，让学校教师免费使用正版杀毒软件，通过利用正版杀毒软件定期扫描杀毒，及时修复系统漏洞，遇到问题及时向软件开发商发送错误报告并进行分析，定期升级防毒软件、更新病毒库等，有效保障了学校电脑的安全运行。二是详细设置防火墙防范策略。对操作系统的端口配置严格把关，必须及时做到开放该开放的，关闭不需要的端口。对外提供网络服务的服务器。把必须利用的端口开放，其他的端口必须全部关闭。三是安装与配置IDS入侵检测系统。入侵检测系统主要监控内部网络操作行为及多种攻击，是检测防火墙过滤后的隐匿攻击。四是安装漏洞扫描系统。如：长春理工大学为每位教工电脑安装漏洞扫描系统，采用主动探测的方式快速获取目标设备的脆弱点，从而协助系统操作人员对目标系统建立风险快照。分别采用ping扫描、端口扫描、OS探测、脆弱点探测等技术对指定的远程或本地的计算机系统的安全威胁进行定期扫描检测，及时修补各种漏洞。其次，以防内为主，内外兼防为辅，确保信息终端平台的可信赖性。安全终端平台的建设依靠密码服务和安全操作系统支持。一是确保终端平台用户的合法性，用户只能根据规定的权限和控制规则进行操作；二是采用身份认证、访问控制、密码加密等措施，构建计算机系统应用环境安全，如：长春理工大学教师采用一卡通的上网卡号进行身份认证；三是建立提供认证、授权、检测、应急和处理非法访问服务的信息安全管理中心，提供互联互通的密码配置，公钥证书等密码服务措施。具体保障措施如下：选用LOTUSNOTES／DOMINO作为办公自动化系统的主要开发平台。(1)数据加密。包括使用秘钥对电子邮件文档加密；网络端口级加密；使用SSL对在INTERNET客户机和DOMINO服务器间或在NOTES工作站和INTERNET服务器间传送的住处进行加密；域、文档和数据库加密。（2）NOTES的数字签名，身份认证包括NOTES工作站与DOMINO服务器之间的认证以及客户端与mMmo服务器之间的认证。（3）NOTES还允许用户通过建立群组的角色的方式来规划NOTES数据库的访问安全性。（4）利用双网卡主机技术实现办公网络安全隔离。（5）引入第三方的公钥基础结构（PK），进一步改善网络系统的安全性。

3.3建构多重信息安全管理渠道，加强信息安全运行的制度保障

首先，设置层次明晰，职能合理的信息安全管理机构。依照“预防为主，综合治理”、“制度防范和技术防范相结合”的原则，信息安全管理实行三级管理机制，由领导决策并负监督，中层干部管理，基层操作者具体执行。以长春理工大学为例，近年来学校建立了信息安全管理的三级管理机制，成立了专门的信息中心，处级单位，配备具有专业知识的工作人员，由一名副校长分管学校信息安全工作，中层领导分管本部门的信息安全工作，基层建立兼职信息员队伍，具体负责本部门的信息安全工作，使得信息安全工作层层落实。同时学校还制定了具体的组织体系和信息安全工作职责，厘清三级体制下各级各部门的具体职责；制定了《长春理工大学信息员管理办法》，详细规定各信息安全岗位人员管理考核办法，使信息安全工作落到实处。其次，建立常规管理制度、应急处理和定期评估制度。一是针对信息安全具有复杂性、动态性和突发性强的特点，制定常规化信息管理制度。如长春理工大学先后制定了《长春理工大学操作系统和数据库的安全配置程序管理制度》、《长春理工大学网络信息中心机房管理制度》、《长春理工大学计算机案件和事故报告制度》、《长春理工大学计算机病毒及有害数据报告制度》、《长春理工大学病毒检测和安全漏洞检测制度》、《长春理工大学网络设备管理制度》、《长春理工大学信息审核制度》等多项信息管理制度。二是制定应急处理机制，对于突发的、涉及范围广，危害性大或影响深的信息安全事件采取有效的应对措施，有效控制信息危机的发生。如长春理工大学成立信息危机应急处理小组，及时应急处理方案和信息，有效控制信息危机的发生。三是注意日常信息安全动态，建立定时测评，不定期检查，随时抽查的信息检查制度，如：长春理工大学建立了信息检查制度，不定期检查各基层单位信息安全情况，并对相关测评、检查、抽查的情况进行汇总形成相关信息安全检查日志，及时通报相关部门。

3.4设立信息技术咨询指导部门，促进信息安全防护与前沿信息技术的紧密结合

没有一劳永逸的信息安全保障策略。随着信息技术的发展，保障策略要不断更新、完善。例如：长春理工大学组建专业技术咨询指导部门，成立了长春理工大学信息中心，由专职工作人员跟踪最前沿的安全信息及新信息技术的发展动态，寻找已有防御网络隐患，积极引进前沿网络技术，并为信息安全保障系统建设提供专业、合理、可行化建议，积极完善和革新信息安全保护措施，取得了较好的效果。学校还将最新的技术发展及时体现在校园网络系统中，并对相关信息维护人员进行专业化培训，应对随时可能爆发的信息安全事件，增加广大师生的信息安全知识，提高信息安全意识，使学校的信息安全工作切实做到实处，收到了实效。

4结语

工信部信息安全篇8

关键词　高校　计算机　信息安全　安全保密

中图分类号：G47 文献标识码：A

随着高科技迅速发展，办公自动化的全面推进，网络电子泄密已经成为当前泄密的主要模式，而泄密的原凶主要是：移动介质、计算机终端和互联网。作为国家人才培养和科学研究的重要基地，高校每年都产生一些具有国内或国际先进水平的成果，其中很多是与国家经济、军事等领域密切相关的。因此，做好高校计算机信息安全保密工作十分必要且意义重大。

1　高校计算机信息安全保密工作面临的问题

（1）计算机信息安全保密工作多头管理。和政府部门设有专门的信息化工作部门负责计算机信息安全保密工作不同，绝大多数高校都没有设立专门的信息化工作部门，相关工作由网络中心、宣传部、信息中心、保密办等多个部门分别负责。当前多数高校是网络中心负责网络服务器的安全，宣传部、信息中心负责上网信息的审查，保密办负责保密监管。由于保密工作人员不熟悉信息技术与计算机技术，难以有效地对计算机信息系统进行保密监督检查；而网络中心的管理人员又不甚了解保密规定要求，对学校计算机、移动存储介质等信息设备的情况也不清楚，不能实施重点管理，造成管理“几张皮”现象。

（2）信息安全保密意识淡薄。在高校日常工作中普遍存在“重业务、轻保密”、“无密可保”、“有密难保”的思想。一些从事项目的科研人员保密意识不强，对日趋尖锐、复杂的窃密形势认识不足，对泄密后应承担的法律责任不清，警惕性不高，有章不循现象突出。例如，不设置计算机口令或者不定期更换计算机的口令、不及时升级杀毒软件和操作系统补丁、在非计算机或联网计算机上处理信息、移动存储介质在计算机和非计算机上交叉使用等，从而埋下信息安全隐患。

（3）计算机信息安全保密知识缺乏。高校教职员工没有人不在使用计算机、互联网，但除计算机专业毕业的人之外，真正懂得如何防护计算机信息的人少之又少。对一些计算机安全知识，如：如何设置计算机开机口令、guest用户该开启还是禁用、如何进行系统补丁和病毒库升级、何样的软件能安装、非法网站如何辨别等，大多数教职工都不知道，即使知道也没有引起足够的重视，更谈不上按要求执行。有的教职工使用移动硬盘或U盘前从不查杀病毒，致使病毒感染到办公（内网）计算机，对内网的安全造成威胁。

（4）计算机信息安全威胁和攻击手段多种多样，防不胜防。诸如：蠕虫，冲击整个网络造成瘫痪；木马，秘密潜伏的间谍武器，造成窃泄密事件的多发；网络欺诈，以假乱真，盗窃金钱和隐私信息；网页篡改，政治宣传，设饵钓鱼；僵尸网络，一呼百应的攻击网络；间谍软件，无所不在的窃听者；入侵，非法闯入为所欲为；病毒，主机及数据破坏者等等。随着网络的发展，信息安全威胁和窃密手段也在不断提高，防范难度增大。

2　做好高校计算机信息安全保密工作的措施

（1）加强组织领导。我国对信息安全保密工作是非常重视的，中央机要管理部门、国家安全机关、公安机关和国家保密主管部门分工协作，各司其职，形成了维护国家信息安全的管理体系。高校也应如此。高校应成立“一把手”担任组长，网络中心、宣传部、学生工作、保密工作等部门人员为组员的信息安全保密工作领导小组，加强对计算机信息安全保密工作的组织领导，对网络运行、网上信息、计算机信息安全保密执行情况进行监督检查，为计算机信息安全保密提供保障。

（2）加强教育培训。计算机信息安全保密工作涉及的范围很广，高校的每一个计算机终端都有可能成为“最短的那块木板”，做好高校计算机信息安全保密工作，不仅是网络管理部门、保密工作部门的责任，更是全校教职工的共同责任。因此，要对所有教职工进行教育培训。一是进行基本知识的普及。通过面对面的知识讲座或答题等方式普及计算机信息安全、网络安全和保密知识，使广大教职工知保密、懂保密、善保密。二是进行警示教育。通过通报计算机信息泄密引发的案件，警示教职工，从而增强信息安全保密的危机感。三是签订保密承诺书。通过和计算机网络安全系统管理员、安全管理员、安全审计员、人员等签订保密承诺书，增强其责任感。

（3）加强技术防护。从学校网络管理部门来说，要采取入侵检测、网络隔离、信息加密、访问控制等必要的技术措施，及时对操作系统、应用软件、病毒防护软件进行补丁升级，保障网络的各个环节特别是互联网接入的安全性，将攻击和入侵造成的威胁限制在最小范围内；同时通过物理防火墙和信息过滤软件对有害信息、有害电子邮件等进行过滤与封堵，保障网络信息安全。从职工个人来讲，主要是定期升级杀毒软件，经常查杀病毒；不打开陌生人的电子邮件；不安装来历不明的软件；设置计算机开机密码应含数字、字母及特殊字符且长度足够并定期更新；谨慎利用共享软件，确保个人计算机信息的安全。

（4）加强数据备份。重要信息应及时备份，防止计算机被病毒感染或遭受黑客攻击致使重要资料被修改、损毁；或因一些不可抗拒因素（自然灾害）致使计算机损坏而数据丢失；或者误操作将重要资料删除，从而给教学、管理、科研造成无法挽回的损失。

（5）加强监督检查。高校信息安全保密工作领导小组要采取定期检查、不定期抽查等方式，对计算机网络安全系统管理员、安全管理员、安全审计员履职情况，信息上网审查审批情况，信息系统、计算机、移动存储介质的保密管理和使用情况，科研人员遵守保密规章情况等进行监督，发现问题及时督促整改，确保学校不出信息安全事故。

（6）加强制度建设。建立健全计算机和信息系统管理规定，对计算机、移动存储介质的使用、维修，信息的传递等进行规范，有效预防泄密事件发生。制定校园网信息安全保密管理制度、校园网信息审批制度、网络服务器机房管理制度，确保网络服务器安全运行、信息不上互联网。

计算机信息安全保密工作是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，但关键因素是人。只有教职工充分认识信息安全保密的重要性，不断增强信息安全保护意识，不断学习新的计算机信息安全防护知识和措施，严格执行各项计算机信息安全保密管理规定，共同改善网络安全保密环境，才能最大限度地保护计算机信息安全。

参考文献

[1]　王振洋等.新形势下加强基层行计算机信息安全保密工作的思考[J].华南金融电脑，2010（5）.

[2]　曹步荣.克州中支计算机信息安全保密分析及对策[J].华南金融电脑，2009（7）.

工信部信息安全篇9

关键词：网络安全；医院；信息系统；安全管理

医院信息系统是以互联网为功能搭建的医院管理工作模式的产物，通过应用医院信息系统可以节省大量人力和物力消耗，达到高效管理，并可以有效减少医院内部由于应用人力进行基础信息收集和记录而造成的意外差错。医院可以在第一时间将基础信息上传至相关网络，通过动态管理信息，有效提升工作管理效率。但是由于医院信息系统与互联网进行接洽，在应用信息系统的同时也会具备更大的信息泄露风险，医院的信息系统会更加容易被网络中的不法分子所攻击。

1医院信息系统网络安全的重要性

医院信息系统自从被应用以来极大帮助了医院记录和管理工作，医院管理层能够准确了解管理工作的效果和基础医疗工作开展的情况等等。随着医院信息系统在全世界范围内的发展和应用，国际上已经公认医院信息系统是新的医学类分支，是现代科技成果与医学行业结合的典型应用成果之一。医院信息系统在促进医学领域的研究和发展方面做出了重要的贡献，在使用医院信息系统的基础之上，工作人员原本较多的工作量能够得到减少，工作人员能够具有更多的时间来开展科研活动，医院内部的部分烦琐基础的简单管理工作也能够采用医院信息系统对其进行自动化管理。应用信息系统包括对于数据的收集，处理数据的储存，数据的交换三种重要的功能，医院信息系统与互联网相连接，因此医院信息系统也同样需要有效的防范网络安全，网络安全主要指的是计算机设备安全、系统数据安全等等，在医院信息系统安全管理中，需要特别注意防范计算机病毒和有关的步伐人员到去医院的信息数据。目前我国众多医院采用的医院信息系统仍然是旧式网络布线方式，医院各个楼层都具有网线，大多数网线都缺乏外界保护设备，因此医院信息网络具备更高的安全风险。医院的网络安全不但涉及医院的信息安全，同时也关系到患者的生命安全，因此医院需要保证医疗信息的高度准确性和安全性。一旦医疗信息被窃取，医疗信息很可能被不法人士为了非法利益而盗取影响医疗救治，造成信息的误差，因此需要针对医院信息系统安全进行有效的保护。

2医院信息系统的网络安全问题

互联网应用的发展和普及虽然给各行各业带来了发展的契机，使人们的生活越加的便利，但是互联网的发展同时也给各行各业衍生了新的安全危机。互联网所具备的网络交流空间如果被不法分子所利用，以互联网作为契机窃取其他公司的材料和信息，很可能会影响个人或者组织的安全，造成大范围的利益侵害。因此在应用互联网时需要重视保证互联网设备和互联网系统的网络安全，特别是医院信息系统涉及了数百数千名患者的生命安全，因此一旦医院信息系统出现了网络安全问题，导致信息被泄露，医院在管理工作失序的情况下将会影响到更多患者的生命安全和生命健康。

2.1网络病毒

网络病毒的危害性也会导致系统更加容易因受到危害而瘫痪，近年来随着互联网技术的不断发展和升级，网络病毒的种类也越来越多，开展网络病毒清除和防范的难度也越来越高，因此医院信息系统安全管理工作也具备更大的难度。由人为因素导致的医院信息系统安全问题主要是由于操作者在开展操作时采用了不安全的外部连接器，如U盘等等，或者登录了有木马病毒的网站或下载的东西当中有病毒，导致病毒侵入系统引发泄密。系统泄密和窃密的表现还可以分为主动攻击和被动攻击两种，主动攻击是指的医院信息系统受到外部攻击后出现系统瘫痪，被动攻击指的是系统在受到攻击以后还能够保持正常运行，但是其中的信息被窃取。

2.2技术因素

医院信息系统的完备性与医院编写系统时与技术有关的医院信息系统在某种程度上都会存在一定的漏洞，如果不法分子在进行信息窃取时利用医院信息系统当中的漏洞，进一步扩大系统当中的问题，导致技术漏洞扩大从而造成整个系统的瘫痪，会直接影响到信息系统的安全。

3医院信息系统的网络安全管理方法

3.1增强技术安全保障

医院信息系统安全风险根据风险的来源可以分为系统外部风险和系统内部风险两种，通过加强医院内部所面对的安全风险防范，可以为医院信息系统的网络安全提供有效的保障。因此首先应该优化信息技术设备，通过提高信息设备管理技术来有效增强对于风险的防范能力，医院信息系统建立的基础是现代化设备，医院内部产生的安全风险很大一部分是因为现代化设备落后，维修不及时，应用不合理而造成系统出现漏洞，医院应该定期更新和配置先进的路由器，交换机等等。同时还要注意配置网线系统，为了避免由于内部系统故障而出现信息泄露的安全风险需要定期的升级和检修医院的互联网设备，从而保障信息系统的安全平稳运行。其次，医院需要配备相关的技术人员负责维护信息系统的风险抵抗能力，医院技术人员日常需要注意维护网络终端和服务器，服务器是医院信息系统储存信息的主要位置，一旦服务器遭受到恶意攻击就会极大威胁医院系统安全，因此相关的技术人员需要提高服务器的质量，优化信息系统，以提高信息系统应对外界不法分子采用病毒攻击的能力。技术人员在系统内部可以搭建防火墙防御外界攻击，由于医院内部的工作人员会使用多种移动设备连接系统，因此为了保证医院工作人员的移动设备并不会导致信息外泄，需要限制医院工作人员使用移动设备连接医院系统终端的功能，禁止医院工作人员通过移动设备实现网络共享，并且禁止随意改变终端内容，从而对医院信息系统进行全面安全监管。

3.2建立健全安全管理机制

不法分子对于各种信息获取和攻击的渠道是不断进步和发展的，因此医院信息管理系统也需要不断发展，医院技术人员需要根据医院信息系统的特点，结合互联网技术发展的变化，不断完善医院信息安全制度，以提高对于外界风险的防范可行性。工作人员在建立安全管理机制的过程当中，首先需要提高医院内部工作人员对于保护医院系统安全的意识，在医院内部加强关于保护医院信息系统安全重要性的教育宣传，医院内部管理层需要制定相关的信息安全宣传内容和宣传步骤，在各科室内进行有关信息系统安全保护宣传，提高医院工作人员对于保护信息系统安全的重视程度。其次需要制定有关信息泄露的惩罚制度，以此来约束工作人员执行相关安全制度，避免工作人员因为缺乏安全意识导致外界病毒侵入。日常信息系统技术人员进行系统运行检测的时候，需要注意观察和了解系统使用者是否出现了不良行为，系统是否发生了异常，一旦出现原因需要立即排查原因，找到相应的责任人进行追责，并给予一定的惩罚措施，惩罚措施包括罚款，降职，停薪，开除等等。最后需要建立信息系统的应急预案，一旦医院内部信息遭到侵入，相关的工作人员需要立刻采用紧急预案以保障信息系统的正常运行，避免信息系统瘫痪而导致医院工作停止，从而保障医院工作的正常开展。

工信部信息安全篇10

两个发展阶段

卫生监督中心信息安全等级保护工作大致经历了两个发展阶段。

启动与探索阶段（2007年～2008年）：2007年12月，原卫生部组织专家组对部直属机关报送的信息安全等级保护定级情况进行了评审。卫生监督中心的卫生监督信息报告系统和卫生行政许可受理评审系统确定为第三级保护，卫生监督中心网站确定为第二级保护。卫生监督中心在了解了信息安全等级保护制度的同时，启动了信息安全等级保护相关工作。为摸清信息安全隐患，2008年卫生监督中心聘请了具有信息安全相关资质的信息安全咨询公司对等保涉及的信息系统进行了信息安全测评，并制定了相应的整改方案。由于2008年信息安全整改资金等原因，未开展相关整改工作。

发展阶段（2009年至今）：本着统筹考虑、分布实施的原则，在实施部级卫生监督信息系统建设项目之初就参照等级保护有关要求规划和设计业务应用系统及其运行环境，同时积极开展等级保护备案等工作。在部级项目二期中，专项对信息安全进行加固。并每年邀请公安部信息安全等级保护评估中心，对卫生监督中心的第三级保护系统进行了安全等级测评。

截至目前，卫生监督中心共有3个信息安全等级保护第三级的信息系统，4个信息安全等级保护第二级的信息系统。

信息安全技术体系

卫生监督信息系统信息安全技术体系建设，严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。

1.物理安全

卫生监督中心现有南北两个机房，机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统，南机房部署等级保护第二级信息系统，实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求，机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段，有效地保证了机房的物理安全。

2.网络安全

主干网络链路均采用双链路连接，关键网络、安全设备均采用双机冗余方式，避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护，各网络区域之间采用防火墙进行区域隔离，在对外服务区部署了入侵检测系统，在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统，对网络行为进行监控和记录。在安全管理区部署安全管理系统，实现设备日志的统一收集及分析。

3.主机安全

所有服务器和管理终端配置了密码安全策略；禁止用户远程管理，管理用户必须进入机房通过KVM进行本地管理；所有服务器和管理终端进行了补丁更新，删除了多余账户，关闭了不必要的端口和服务；所有服务器和管理终端开启了安全审计功能；通过对数据库的安全配置，实现管理用户和特权用户的分离，并实现最小授权要求。

4.应用安全

卫生监督中心7个应用系统均完成了定级备案，并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署，保证了系统的高可用性，同时建立了安全审计功能模块，记录登录日志、业务操作日志、系统操作日志3种日志，并实现查询和审计统计功能，配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。

5.数据安全及备份恢复

卫生监督信息报告系统数据库服务器使用了双机热备，应用服务器采用多机负载均衡，每天本地备份，保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份，无论是软件还是硬件问题，都可以及时准确地进行恢复并正常提供服务。同时，卫生监督中心在云南建立了异地数据备份中心，每天进行增量备份，每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试，保证备份的有效性。

信息安全管理体系

在开展信息安全等级保护工作中，我们深刻体会到，信息安全工作“三分靠技术，七分靠管理”。为保证信息安全等级保护工作顺利进行，参考ISO/IEC 27001《信息安全管理体系要求》，卫生监督中心建立了符合实际工作情况的信息安全管理制度体系，明确了“统一领导，技管并重；预防为主，责权分明；重点防护，适度安全”的安全方针，涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。

卫生监督中心建立了较为完善的信息安全责任制，设立了信息安全领导小组，领导小组组长由卫生监督中心主任担任，成员由卫生监督中心有关处室负责人组成，信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位，分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员，并建立了信息安全岗位责任制度。

此外，卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订，确保信息安全工作落到实处。

信息安全运维体系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等级保护有关要求指导信息安全运维实践。

卫生监督中心结合实际情况，编制了《部级卫生监督信息系统运行维护工作规范》，从运行维护流程、资源管理和环境管理三个方面进行了规范，将安全运维理念落到实处。

运维人员在实际工作中，严格按照工作规范要求。利用卫生监督中心OA系统，建立了统一的服务台，实现了事件、问题的全流程闭环管理（即：发现问题、登记问题、解决问题、解决反馈、解决确认）。年均处理信息安全事件近百件，将信息安全问题消灭在萌芽阶段，有效地保证了信息系统稳定运行，保证了卫生监督中心信息安全目标和方针的实现。

信息安全等级保护实践经验

1.规范管理，细化流程

卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设，为部级卫生监督信息系统运维管理工作中安全管理提供了重要指导。

部级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验，不仅合理调配了运维管理人员，落实了运维管理组织机构和岗位职责，而且细化了运维管理流程，形成了“二级三线”的运维处理机制。

2.循序渐进，持续完善