信息安全培训制度.docx

安全培训制度目录1 引言23信息安全现状233教育与培训的方法和途径233.1 建立安全培训机制233.2 开设安全培训课程243.3 结合生产实践244课程体系设计245信息安全培训课程安排与授课人次245.1 培训课时安排255.2 培训师资来源256信息安全培训内容266.1 网络安全解决方案课程266.2 加密技术培训课程266.3 防火墙技术课程276.4 安全审计与日志分析课程276.5 IP安全性与IPSec课程271引言随着卡业务的不断开展，信息安全问题也日益突显。为营造卡系统一个安全的网络环境， 在加大信息安全系统投入的同时，还必须培养公司自身的信息安全人才，这是确保信息安全的 关键。当前信息安全领域最突出的问题是：信息安全产业开展滞后，信息安全科研和教育落后， 信息安全人才匮乏，公司技术人员在学校中缺乏信息安全教育，实际工作中还缺乏信息安全方 面的技能。而公司运行维护人员是面对信息安全的排头兵，从他们开始加强信息安全的教育显 得尤为重要。2信息安全现状根据有关单位对计算机犯罪调查，一年当中，有90%的公司或组织遇到过信息安全问题； 其中20%的遭受过20次或更屡次的攻击，其中一半以上的攻击来源于美国(26.1%)和中国 (23.9%),美国2005年一年因信息安全问题造成的经济损失高达670亿美元。而在国内，根 据计算机安全进行的2006年全国信息网络安全状况与计算机病毒疫情调查分析报告指出： 54%的调查单位发生过信息安全事故，计算机病毒感染率为74%,计算机病毒发作造成损失的 比例到达62%o浏览器配置被修改、数据受损或丧失、系统使用受限、网络无法使用、密码被 盗成为计算机病毒造成的主要破坏后果。根据我国国家信息安全报告，有超过一半以上的计算机上网无任何防护措施，60%的计 算机系统和电子邮件账户从不更改密码或常年使用空密码或简单密码。计算机基础教育的相对 普及化与信息安全知识的缺乏形成了极大的反差。可以说信息安全形势日趋严峻。互联网上的恶意活动肆虐，网络钓鱼、垃圾邮件、僵尸网 络、木马和零日威胁与日俱增。不同的威胁和方法相互贯通，互相利用。同时利用黑客/病毒技 术的“产业链”逐步形成，攻击者利用这些技术或窃取机密信息、变卖牟利，或组建僵尸网络、 敲诈勒索。3教育与培训的方法和途径建立安全培训机制首先应建立公司层面的信息安全教育与培训计划，对新进员工、一线维护保障员工等进行针对性的信息安全教育，确定安全教育内容、计划。其次，将信息安全教育纳入公司的员工技能培训计划中，在公司日常工作计划中统一开展 信息安全教育与培训工作。3.1 开设安全培训课程信息安全的专业知识纷繁复杂，要在短期内传授信息安全所涉及的全部理论和专业知识是 不现实的，因此在课程设置时必须有所倾向和取舍。在课程设置上应该针对卡系统所涉及的软 硬件平台、应用软件等特点，意在提高技术人员信息安全防范意识，构建系统的信息安全知识 体系，突出信息安全各种设施与手段的管理能力。3.2 结合生产实践信息安全是一个直接面向工程、面向应用的专业领域，必须重视培养员工的安全管理能力 和安全工程能力，强化员工的实践环节。实践环节可以分为基础培训实验、实际系统问题处理 能力等。基础培训实验主要训练员工的信息安全技能与素养，实验设计以综合性、设计性为主, 旨在锻炼综合应用知识、解决实际问题的能力。另外，还可以通过其他多种途径来坚强巩固员工的信息安全教育。比方通过行政手段、知 识竞赛手段等来强化一线员工的信息安全意识及信息安全技术水平。4课程体系设计信息安全教育涉及的课程种类较多，如计算机网络实现技术、操作系统安全设置基础、病 毒防治、防火墙、加密解密、入侵检测、身份认证技术、数据信息安全保存等，必须使员工认 识到信息安全并不只是病毒或入侵。通过计算机系统安全的内容以及与之相对的计算机犯罪形式的全面阐述，强化对计算机系 统安全概的认识以增强信息安全和防范意识。本公司员工信息安全培训体系结构构建如下：信息安全教育与培训体系结构防病毒防火墙与入侵防护VPN身份认证技术加密与解密技术数据恢复技术数据信息安全保护操作系统安全保护计算机安全制度与法规5课程安排5.1 培训课时安排安全教育课名授课小时授课人次信息系统安全技术 安全风险分析25整体安全解决方案46信息系统安全技术 安全升级与分析25信息系统安全技术 加密技术45Linux IP防火墙及其原理25信息系统安全技术 防火墙技术25风险分析一览表26网络安全概述24操作系统安全43防火墙产品配置模型23IP安全性与IPSec23VPN介绍26密钥管理与证书43计算机安全制度与法规48数据信息安全保护48数据恢复技术465.2 培训师资来源公司信息安全培训教师来自以下几方面:信息安全设备厂商：主要针对信息安全防护设备的原理、配置、管理等进行针对性的 操作培训。信息安全评测单位：在信息系统安全评测过程中进行针对性会议、讨论等实践过程。系统集成商：针对信息系统网络架构、数据存储架构、应用系统架构等进行信息安全 整体培训与实践。6信息安全培训内容网络安全课程该课程主要针对安全机制集成方案、网络结构与系统设计、安全技术管理规范、安全目标 分析、风险分析、网络安全需求等进行综合性知识普及。培训课程中的网络信息安全技术体系内容包括：身份认证技术、密码技术、访问控制技术、 防病毒技术、防火墙技术、漏洞扫描技术、入侵检测技术、审计技术等。6.1 加密技术课程该课程内容包括世界各国密码政策介绍、我国密码管理政策介绍、密码学基础、密码技术 简介、密钥管理和证书详细分析、VPN技术概述、IP与IPSec技术概述。培训课程中涉及的我国商用密码设备的管理内容包括： 加密设备，有核密、普密、商密之分，所有密码算法必须由国家密码管理委员会审批;商用密码的科研任务由国家密码管理机构指定单位承当，科研成果由国家密码管理机 构审查、鉴定； 商用密码产品由国家密码管理机构许可的单位销售；进口密码产品以及含有密码技术的设备或出口商用密码产品，必须报经国家密码管理 机构批准； 任何单位或个人只能使用经国家密码管理机构认可的商用密码产品。培训课程中的密码作用包括： 机密性:提供只允许特定用户访问和阅读信息，任何非授权用户对信息都不可理解的服 务通过数据加密实现。 数据完整性：提供确保数据在存储和传输过程中不被未授权修改（窜改、删除、插入 和重放等）的服务。通过数据加密、数据散列或数字签名来实现鉴别：提供与数据和身份识别有关的服务。通过数据加密、数据散列或数字签名来实 现6.2 防火墙技术课程防火墙概念 防火墙特征防火墙功能 协议与服务防火墙技术内容 防火墙体系结构防火墙实现策略 对防火墙技术与产品开展的介绍安全审计与日志分析课程 专业安全审计系统体系结构分析网络信息系统安全审计综述 审计与日志分析审计结果分析6.3 IP安全性与IPSec课程访问控制 连接完整性数据源认证 拒绝重放数据包保密性（加密） 有限信息流保密性