信息安全培訓方案范例6篇

前言：中文期刊網精心挑選了信息安全培訓方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全培訓方案范文1

工業控制系統安全防護體系建設離不開相關安全標準體系的支持，國外一些發達國家在工業控制系統信息安全防護領域的標準研究工作幵展較早，進展較快。同際上已建立一些工控系統信息安全方面的國際及國家技術組織標準，包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年來，隨著我國信息安全等級保護政策的推進和實施力度不斷加大，_家對工業控制系統信息安全重視程度不斷加大，國家重要行業的工控系統信息安全防護建設也取得了長足的進步，研制并逐漸部署了相應的工業控制系統的標準體系，初步建立起了我國等級保護標準體系框架和信息安全標準體系框架，我國近年來工業控制系統信息安全標準建設內容。但從總體上講，我國工控信息安全防護的標準體系建設仍明顯滯后于工業控制系統的建設，同時在防護意識、防護策略、防護機制、法規標準等方面都存在不少問題。因此，建立覆蓋工控應用領域、覆蓋工控產品生命周期以及覆蓋工控系統業務層次的工控信息安全標準體系迫在眉睫，需要從五方面人手：

（1)在國家政策支持引導下，結合我同工控領域信息安全問題和現狀，分析工控系統信息安全保障體系建設需求，建立具有針對性的工控信息安全標準體系整體框架。

（2)開展重點標準的研制規劃，逐步豐富和完善覆蓋工控應用領域和產品生命周期的信息安全標準體系。

（3)積極跟蹤和參與閏際相關標準規范制定，實現與國際認證機構的互認，體現我國工業安全意志。

（4)加快推動我同相關標準規范的制定，建立完善的標準體系。

（5)加速人才隊伍培養，依據標準建設丁.控信息安全檢測認證能力。

2大力發展自主可控檢測認證工具集

我國工業控制系統信息安全領域長期受到核心技術限制、缺乏專業檢測認證工具等諸多因素影響，導致我國重要基礎設施面臨著嚴重的安全威脅，因此，突破工控信息安全領域的技術壁壘，研發0主可控的檢測認證工具集并與國際接軌勢在必行。在檢測認證工具集方面，閏際上是以ISASecure認證作為工業控制系統領域專業的安全認證標準，它是基于IEC62443標準系列發展安全認證流程的聯盟。ISASecure認證包含嵌入式設備安全認證�EDSA)�系統安全認證�SSA)和安全開發生命周期認證�SDLA)三個項目。目前，_際上已經獲得ISASecure認證認可的CRT測試工具有芬蘭Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而國內并沒有成熟的檢測認證工具產品。發展我國自主可控的檢測認證工具集將有助于改變我國工控信息安全領域缺乏核心技術的現狀，提高我同工控系統檢測發現和探查能力，從而提升我國工控信息安全水平。檢測認證工具集的研發應以“自主可控，安全可靠”作為技術指導思想，從前瞻性研究人手，研究國際先進的安全技術，研究工控領域安全協議棧，建立典型工控模型庫、工控信息漏洞庫，對工業生產控制系統內部的上位機�PLC)�服務器、網絡等資產信息、應ffl軟件、服務、開放端口、防火墻、數據庫審計等內容進行檢測掃描，提供漏洞檢測與發現、漏洞風險評估、可視化和漏洞修復建議等功能。通過自主可控檢測認證工具集的研發，為我閩工控企業徹底解決生產控制系統內部的信息安全隱患，保證工業生產的安全生產、安全管理。

3快速推進工業控制系統信息安全培訓

安全培訓為培養高素質工業控制系統信息安全相關人才、提升相關從業人員的專業技術及管理能力提供規范化、科學化的知識體系。我_工業控制系統信息安全培訓現狀面臨著培訓主體混雜、未形成規范、培訓內容指導性不強、培訓基準不夠完善以及以傳統信息安全為參照物等問題，作為工業控制系統信息安全體系中不可或缺的一環，安全培訓也處于亟待重視與完善的位置。

(1)以“標準”建設“培訓基準”：隨著工業控制系統信息安全領域國家標準和行業標準體系的不斷完善和發展，需要積極主導、參與各類相關標準的研究、編制、監督等工作，建設可供工控安全領域合理、高效、安全發展的文件環境，進而推動工控信息安全培訓基準的建設。

(2)以檢測與認證帶動安全培訓：在自主可控檢測認證工具集的基礎上，結合工控領域安全評估服務，建設中立性的檢測、認證環境，提供國家級的權威檢測認證服務，同時為培訓業務的開展提供更有指導性、實效性的基礎條件。以標準建設和自主可控檢測認證工具為基礎，從操作層面、技術層面、認證培訓以及職業教育層面建設工業控制系統信息安全培訓體系，提升圖3自主可控檢測認證工具集研發模型我國工控信息安全領域人員實踐操作技術能力和安全技能，加速人才隊伍培養。

4全面提供工業控制系統信息安全服務

為提升工控領域信息安全整體服務水平，在不斷健全國家相關標準和發展自主可控安全技術體系的基礎上，建設工業控制系統安全模擬仿真實驗平臺服務支撐環境，為行業用戶提供定制化的安全評估、安全咨詢、安全防護等服務。

(1)安全評估：研究制定安全評估的流程和方法，建設完備的安全評估體系；針對在役系統進行風險評估，提出整改、防護方案和建議，為相關企、事業單位提供安全評估服務，規范工控系統的安全建設。最終擁有完備的安全評估方法論，為工業控制領域各行業提供專業的安全評估服務；同時建立國內工業控制系統信息安全評估體系。

(2)安全咨詢：研究制定安全咨詢的流程和方法，建設完備的安全咨詢體系；針對產品研發、系統設計，融入信息安全技術，整體提升新建工控系統的安全性。最終擁有完整的安全咨詢體系，為各類工業控制領域提供專業的安全咨詢服務，逐步建立安全的工業控制系統模型庫。

(3)安全防護：研發工控領域自主可控的專用信息安全防護產品；全方位、多層次地針對工業控制系統提出信息安全防護解決方案；最終實現工控領域安全防護產品全面國產化；逐步完善自主可控的安全防護解決方案體系。

5總結

信息安全培訓方案范文2

亨達公司已取得了國家信息安全測評中心信息安全服務二級（全國最高等級）、注冊信息安全專業培訓（CISP）授權機構、國家信息安全認證中心信息安全集成二級、應急服務二級、風險評估二級、公安部等級保護測評、工業和信息化部通信信息網絡系統集成甲級、計算機網絡系統集成三級、國家計算機應急技術協調處理中心（CNCERT/CC）信息安全服務技術支撐單位以及貴陽市國家保密局信息設備維修等一系列完善的通信與網絡信息安全專業服務資質，通過了ISO9001：2008質量管理體系認證、ISO14001：2004環境管理體系認證和OHSAS18001：2007職業健康安全管理體系認證。

亨達集團先后被評為 “貴州省通信行業協會副理事長單位”、“貴州省通信體育協會副主席單位”，連續五年被省工商行政管理局評為“重信用、守合同”單位，并獲得“全國十佳誠信單位”稱號。目前已建成了集網絡信息安全監控、網絡攻防演練、信息安全培訓、軟件開發以及信息安全產品測評認證于一體的信息化綜合服務保障平臺。

亨達集團自2011年底取得等級保護測評資質以來，配合貴州省公安廳推進信息系統等級保護測評工作，開展了近百家單位共計500多個信息系統的安全等級保護測評，包括貴州省財政廳、貴州省統計局、貴州省交通廳、中國工商銀行貴州分行、中國建設銀行貴州分行、貴陽銀行、貴陽海關、貴州省農村商業銀行、遵義商行、貴州省人民醫院、貴州省腫瘤醫院、貴陽醫學院等各大單位重要信息系統。

基于亨達集團作為貴州省優秀通信建設與網絡信息安全服務企業，長期以來，一直與貴州省通信管理局保持著密切的合作與良好的溝通。公司自2009年起即已被國家計算機應急技術協調處理中心和省通信管理局確立為大區級技術支撐單位。

信息安全培訓方案范文3

關鍵詞：信息安全；勒索病毒；黑客

針對最近出現的勒索病毒，某油田生產型企業通過網絡與信息安全情況通報，并采取緊急相關措施，包括斷網、及時更新操作系統補丁、更新MicrosoftOffice/wordpad遠程執行代碼漏洞、禁用WMI服務、禁用445端口等措施，及時避免勒索病毒。通過此次信息安全事件，我們進行了深入細致地分析，為今后生產型油田企業提供了寶貴的信息安全意見及措施方案。

1分析結論

1.1網絡情況分析

目前，企業內部是內部網絡，與外部網絡進行隔離;通過指定服務器授權，內部用戶才能連接到外部網絡。企業內部網絡，根據區域不同，分為不同的區域段、不同段域；同時，由于生產原因，又分為陸地網絡和海上網絡；陸地和海上網絡通過衛星、微波等方式進行連接。

1.2個人辦公電腦信息安全情況分析

個人辦公電腦，主要是以Windows7及以上版本為主；辦公軟件以Office\OutLook為主；同時由于專業、工作原因，各個技術人員會使用專業化很強的軟件。比如AutoCAD、ProE等。其中，還存在一定數量的WindowsXP操作系統的用戶，此情況以老同志居多。存在著信息安全意識不強，不想升級及僥幸心理等。針對Windows操作系統及Office\OutLook，定期進行系統補丁檢查。而專業化很強軟件，一般采取服務器用戶ID授權模式。但仍然感覺存在不同信息安全。

1.3服務器、工作站安全情況分析

(1）機房與外界采取防火墻隔離；服務器與外網，進行斷開處理；(2）服務器一般采取虛擬機管理；（虛擬機采用SymantecEndpointProtection進行病毒、漏洞管理）(3）服務器采取本地備份、異地備份等各種方式。(4）信息中心、數據中心都建立系統測試服務器，最大可能保證信息系統及軟件系統的安全性。

2信息安全防護技術方法及措施

2.1信息安全防護管理方面要求

(1）提高信息安全意識(2）有效地進行信息安全培訓(3）針對組織管理上存在漏洞，信息化管理進行把控(4）定期進行信息安全演練，做好防護意識

2.2個人計算機電腦防護

(1）安裝殺毒軟件，及時更新系統補丁(2）對于陌生郵件，提高警惕，避免打開(3）打開防火墻，設置安全接入規則(4）安裝專業軟件，需在信息管理人員指導下完成(5）個人計算機重要資料，要定期進行備份處理

2.3服務器及工作站建立總體防護體系

在油田生產型企業中，服務器、工作站是信息安全管理中的重中之中，因此必須要對此進行重點信息安全管理及防護。(1)加強機房管理建立機房管理制度，禁止陌生人進入機房并接入機房網絡；如需接入網絡，需向信息安全人員提出申請并進行嚴格審批。關于軟件信息系統測試及，請在指定測試服務器上完成其相關信息安全檢查。只有通過信息安全檢查后，才可以部署在生產服務器上。機房要有相關災備方案及措施。(2)加強防火墻管理防火墻對于服務器及工作站來說，就相當于其衛兵；只有嚴格制定物理防火墻的相關準入、準出規則、訪問機制，并定期進行接入接出數據端口掃描工作同，及時發現頻繁或異常點，并進行跟蹤、研究、調查，及時避免漏洞出現。(3)建立信息安全管理信息系統企業及公司可建立總體信息安全管理信息系統，從一般信息安全培訓到專業防護指導；從對普通用戶計算機漏洞掃描到專業服務器平常日志、端口數據分析異常點，軟件授權、用戶認證等，建立統一、整體、完善的管理信息系統，從而提高整體信息安全管理水平。

2.4內部需要加強認證

油田生產型企業，由于其工作性質決定其在內部網絡、系統程序等方面，需要加強認證機制。建立良好的認證管理流程，從申請到接入，從信息系統用戶管理等方面加強管理。從而避免惡意用戶或程序訪問及接入。同時還要通過整體網絡系統掃描機制，可以有效防護惡意攻擊。

3結語

通過上述信息安全分析，油田生產型企業信息安全總體上處于安全級別，能夠有效避免、防護病毒攻擊及系統漏洞。但在細節上仍然存在一些漏洞：1)、網絡上存在可以隨意接入未認證個人電腦的可能性；2）、內部個人計算機存在通過郵件、通信網絡等方式被攻擊模式；3）、服務器端仍存在補丁不及時、病毒庫更新延遲等情況；4）服務端無法識別內部網絡內的安全用戶和陌生用戶；5）遠程傳輸數據仍有可能被攻擊的可能性等。信息安全仍然需要關注，需要不斷提升管理、技術及防護水平。為信息安全管理提供了參考。具體意見如下：(1)加強信息安全防護管理方面要求，不僅用戶意識到組織管理，從個人計算機漏洞管理到信息系統的管理，都需要加強信息安全防護管理方面要求。從各個層面，加強信息安全漏洞及缺失點管控。(2)重點加強服務器及工作站信息安全管理工作，通過防火墻、機房管理制度、軟件專業漏洞掃描工具使用、機房災備、信息系統的安全管理等各個方面加強管理。(3)內部認證制度建立，更好防護網絡的安全性，從根本上杜絕惡意接入和惡意破環。(4)建立整體企業信息安全管理信息系統，提高整體信息安全管理水平。

參考文獻：

[1]DafyddStuttard、MarcusPinto[著]石華耀、傅志紅[譯]，黑客攻防技術寶典WEB實戰篇（第2版），人民郵電出版社，2012-7:115-207.

信息安全培訓方案范文4

重慶愛思網安信息技術有限公司位于我國內陸開放型經濟示范區―重慶北部新區，成立于2004年，注冊資金1100萬，是一家集計算機信息安全產品（包括計算機司法取證分析設備）開發和銷售、為系統集成項目提供完善的信息安全解決方案和技術咨詢服務的系統化安全產品及服務提供商。公司的業務對象主要為軍隊、政府、教育、通信及企業，客戶遍及全國各地，部分產品已出口到韓國、越南等地。

公司目前共有員工200余人，擁有一批年富力強、勇于創新、勇于開拓的專業技術隊伍，由多名教授、專家、以及碩、博士帶領，他們具有豐富的理論研究基礎和研發實踐經驗，均從事過多年大型軟件系統的研制開發，對計算機軟件尤其是信息安全軟件有較深的研究。技術研發同時依托重慶郵電大學信息安全技術工程研究中心、中國社科院國家信息安全應用基地、北京大學信息安全實驗室、公安部網絡信息安全重點實驗室等，具有強大的后備研發力量支撐。

公司已經通過“雙軟”、“雙高”認證及ISO9001：2000國際質量管理體系認證，是國家密碼局商用密碼產品定點生產和銷售單位，重慶市軟件服務外包示范單位，重慶市高新區中小企業信用促進會、重慶市信息安全學會理事單位，重慶市信息安全培訓基地，重慶市工控系統信息安全產品研發中心。

公司自成立以來，技術和人才這兩大“引擎”發動得隆隆作響，強力促動了各項工作扎實有效地開展，公司自主研發的產品包括“綠色網景iSFilter”、“NAD網絡主動防御系統”、“愛思安全隔離與信息交換系統ISM-6000”、“愛思BitSure I現場勘驗取證系統”、“多接口并行電子物證復制系統”等，均已經通過國家保密局、公安部信息安全產品測評中心等權威機構認證，獲信息安全產品銷售許可。

在重慶市公安局、司法局等單位的大力支持下，愛思網安公司于2010年獲準成立“重慶市科信電子數據司法鑒定所”，并廣泛展開國際合作，與國際知名計算機取證公司在重慶聯合籌備成立“手機司法取證技術研究中心”，是國內首個專業手機司法取證技術研究機構，即將向各司法相關和行政執法機構提供世界級專業服務。

信息安全培訓方案范文5

不管一個企業規模如何、業務類型如何，很難說沒有發生過信息安全事件。在一些疏于防范的企業，計算機病毒爆發、利用系統漏洞非法入侵等信息安全事件更是時有發生。

究其原因，要歸咎于現在的技術、法規、業務流程、安全威脅及其他眾多因素相比于過去，復雜性大大增加，并且相互交織在一起，這大大增加了各類企業在信息安全方面所面臨的風險。

而企業內部信息存在于這樣一個復雜的生態系統中，還要滿足信息安全方面的三個原則: 可用性、完整性和機密性，其自身所面臨的壓力自然也就不言而喻?？捎眯砸馕吨枰畔⒌娜四軌蚣皶r獲取信息; 完整性意味著信息完整，沒有遭到破壞; 機密性意味著信息得到了保護，未授權者無法訪問。

本文根據上述的三個原則，提供了制定企業安全計劃（ESP）的一些方法和指導原則。

第一步:

成立信息安全團隊。

管理學專家吉姆•柯林斯（Jim Collins）在《從優秀到卓越》（Good to Great）一書中，明確表明，在啟動任何公司項目之前就應該讓相應人員參與進來，企業安全計劃項目也不例外。

在企業內部要成立兩支團隊，即經理人團隊和跨職能部門的信息安全團隊。經理人團隊負責確定企業安全計劃的使命、宏觀目標和具體目標，這個團隊的成員應該包括企業的高層主管。此外，這支團隊還應該負責制定重要的安全政策、設定組織風險閾值、獲得企業安全計劃所需的資金，并且成立跨職能部門的安全團隊。

跨職能部門的安全團隊則最好由更小的團隊組成，負責日常的IT安全工作，包括管理IT資產、評估威脅與漏洞、管理風險、制定策略、制定規程和控制手段、進行內部審計以及提供培訓服務。

第二步:

理清信息資產。

管理信息資產首先要從清點資產開始入手，這個步驟應當記下硬件、應用程序（包括內部和第三方組織的應用程序）、數據庫及其他信息資產（如網絡共享文件夾和FTP網站等）。一旦完成了清點資產的工作，再為每項資產明確一個所有人及監護人。所有人的職責是充當被分配資產的聯系人，而監護人要負責保護已存儲的信息。

然后，根據信息資產里面所含信息對公司具有的價值、以及一旦該資產受到危及，公司可能遭受的成本損失進行分析，根據結果把這些信息資產劃分成不同的重要等級。

第三步:

明確法規要求及行業標準。

法規就是命令，就是確保信息安全的強制性法律要求。例如醫療服務提供商及金融服務行業的大多數公司就都會遵守某些指導準則。支付卡行業（PCI）數據安全標準和ISO 27001等標準已經成為行業內的最佳實踐。

經理人團隊要確定必須遵守哪些法規和標準以保證信息安全。

第四步:

評估威脅、漏洞和風險。

威脅是給信息資源帶來危險的來源。列出所有相關威脅、對它們進行分類，并根據重要性進行評定，這是一項重要工作。

漏洞是系統當中的薄弱環節或缺陷，有人可能無意或有意利用這些漏洞，從而引發安全泄密事件。漏洞多存在于人員、流程和技術當中。建議列出可能存在的種種漏洞，然后根據它們對組織的影響來進行評定。

風險是指可能會給組織帶來不利結果的潛在事件或狀況。在一般情況下，風險由威脅和漏洞共同引發。例如微軟Outlook中的技術漏洞以及打開未知附件導致的漏洞，就有可能被Mydoom病毒加以利用，最終導致網絡帶寬損失。

第五步:

有效管理風險。

風險管理側重于避免、緩解或轉移風險。風險管理首先需要列出各種風險，根據發生的可能性以及對組織的影響大小對各種風險進行分類。通過可能性和影響共同來劃分這些風險的優先級。對一家組織來說，影響大、發生可能性大的風險就是“高優先級對待的風險”。

一旦劃分了風險的優先級，就可以確定采用何種方式來應對風險。比方說，可以使用Lotus Notes替代Outlook來避免Mydoom病毒攻擊的風險; 可以安裝最新的反病毒軟件、教育用戶不要打開可疑附件來緩解風險; 也可以與第三方廠商簽訂合同，讓對方滿足自己在電子郵件方面的所有要求來轉移風險。

第六步:

制定事件管理與災難恢復方案。

安全泄密事件、無意中丟失IT資產、不小心刪除了關鍵數據、數據中心出現停電事故，這些事件在現實生活中并不少見。良好的事件響應方案可以清晰地列出針對最常見事件的應對策略。事實證明，“9•11”事件和“卡特里娜”颶風之后，沒有制訂災難恢復方案的公司都無法在短期內重新恢復業務。

第七步:

管理第三方組織。

廠商、供應商和中間商，這些第三方組織在復雜的信息生態系統中占據了重要的位置。如果與企業有聯系的第三方組織存在不安全的網絡漏洞或不規范的行為規范，那很有可能會帶來安全漏洞，給不法分子以可趁之機，威脅企業的信息安全。

因此企業用戶要列出與自己有業務往來的所有第三方組織，然后根據信息重疊或共享的程度以及信息所具有的重要性，劃分這些第三方組織的優先級。然后，繼續弄清楚第三方組織落實了哪些安全措施，同時要求對方必須實施有效的控制手段。

第八步:

實施安全控制手段。

控制手段是為了緩解或消除風險而落實的措施。技術性控制手段是指可以集成到計算機硬件、軟件或固件當中的防范措施（比如訪問控制機制、識別與驗證機制、加密方法、入侵檢測軟件）。非技術性控制手段是指管理和操作控制措施，比如安全策略、操作規程以及人員、物理和環境安全。

控制手段通常分成預防控制手段和檢測控制手段。預防控制手段旨在阻止企圖違反安全策略的任何行為，檢測控制手段旨在警告違反或企圖違反安全策略的情況。

第九步:

加強培訓。

企業經常忽視對員工開展安全培訓，但是培訓對執行企業安全計劃而言卻是關鍵所在。要是員工對筆記本電腦粗心大意、連接到工作場所以外的不安全網絡，或者不能識別哪些是可疑行為，那么各種技術防范和安全措施都會變得無濟于事。

第十步:

進行內外審計。

信息安全培訓方案范文6

【 關鍵詞 】 高校；科研機構；信息安全；對策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

隨著信息技術的發展和信息化應用的日趨深入，信息安全建設及其應用正在成為教育科研單位日常教育管理和科研生產不可或缺的一環。高校等科研單位對信息安全管理的認識程度越來越高，研究院等單位的信息系統規模和水平也在不斷攀升，然而隨著高校各系統建設程度的不斷完善，以高校為代表的科研機構的信息安全管理問題也愈加突出。

2 高校科研機構存在的信息安全管理問題

近年來，高校等科研機構逐步認識到信息安全對于自身的重要性，于是不少單位成立了“信息管理部門”來推行統一的管理規范和進行信息安全知識普及，其主要目的是為了從安全技術和管理兩個方面來解決高校中科研機構的信息安全問題，充分提高機構人員的信息安全管理意識和保密工作的能力。當下，雖然有一些高校的科研單位在信息安全和管理建設方面已經取得了長足的進步，但其科研單位內部仍然存在著很多問題。

(1)首先，在以往長期封閉的科研環境影響下，相關科研人員目前依然不具備良好的安全意識，對于信息安全的認識水平不高。同時高校等相關管理部門較容易忽視信息安全在其科研系統中的發展戰略和計劃，這些都間接導致了信息安全管理制度推行力度不夠，實施安全教育的硬性條件有限。其次，由于學科建設和專業水平所限，也使得國內技術過硬的信息安全專業人才供應不足，間接影響了相關單位的人才儲備水平。

(2)當下許多高校等科研單位在信息系統不斷增加的情況下，對以往基礎設施配備水平存在著一定的依賴性，不能夠很好的適應新環境。在信息系統運作業務的安全風險和意識提升上，又缺乏有效性驗證與評估辦法?，F實中的任何信息系統都是一連串復雜的環節，信息安全措施必須滲透到信息系統的每一個部位，其中一些問題的解決方案，需要信息系統的設計人員、測試人員和使用人員都熟知并能夠成為規范來遵守。

(3)不安全因素對于信息系統而言總是存在的，沒有任何一個信息管理方法能提供絕對的保障。因此，高校等科研單位在認識和進行信息系統安全管理教育的時候，應該著重加強基層人員的信息安全管理實踐教育，應讓相關人員充分意識到，雖然信息安全建設并非意在建設一個創收的平臺，但它是一個保障科研成果和提升工作效率的平臺。管理者有必要做出適合科研單位進行教育實施的信息安全教育發展戰略和計劃，充分加強信息安全教育在管理實踐上的投入，嚴格有效地執行相應的安全策略、安全措施和安全管理制度，以最大限度避免使用和管理信息系統時的固有風險。

(4)近年來，我國大型科研單位相繼出現過不同程度的泄密事件，這些事件的直接后果是不僅導致了科研成果的流失，還造成了較大程度的經濟損失和不良的社會影響。雖然各大信息系統工程和信息化程度要求非常高的相關行業，也都出臺了對信息安全技術產品的應用標準和規范，但只有建立一個嚴格的信息安全管理策略，才能全面的保障其安全性。

3 解決高校科研機構存在的信息安全的對策

3.1 技術層面

在技術層面上：高?？蒲泄芾硐到y是以計算機和數據庫通信網絡為基礎的應用管理系統，是一個開放式的互聯網絡系統，與網絡系統連接的任何終端用戶都可以進人和訪問網絡中的資源。作為信息通訊數據平臺，其所受到的安全威脅主要存在于信息通信傳輸、存儲和加工的各個階段。因此在制定技術對策方面就需要制定統一全面的安全策略，同時也注重建設統一認證和授權管理系統，通過硬件接入設備和定制化管理軟件的配合部署，加強網絡層面和應用層面的安全資源整合，形成覆蓋全網的科研信息化安全保障能力，并充分利用自主創新的科研信息化安全技術，不斷增強基礎運行平臺的網絡安全能力，為科研信息化基礎環境和應用系統提供有力的安全保障。

在保障網絡基礎設施和重要應用系統的安全方面，一方面需要構建身份認證管理系統、網絡安全管理平臺、惡意代碼防護系統、安全審計平臺等面向全網用戶的網絡安全基礎設施，實現實時預警、事件分析、決策支持、資源調度等功能；另一方面需要建立起包括安全咨詢、安全規劃、安全檢測、安全培訓等環節在內的安全服務體系，引入除技術體系和管理體系以外的第三方服務支持，實現安全事件的及時發現。

3.2 管理和教育層面

在管理和教育層面上：以企業為參考標度，對高?？蒲袡C構工作人員進行信息安全意識以及管理實踐知識的普及，將信息安全管理理念提到戰略高度來看待。充分遵循信息安全流程制定相應管理制度，除技術保障外，將人員、網絡、環境有關的技術和管理規程的有機集合充分納入其中。充分認識到信息安全管理實踐是保障信息實現有效管理與控制的重要途徑。所在部門應客觀評估實現信息安全管理的需求水平，落實安全的組織和管理人員，明確每個人的角色與職責；制定并開發安全規劃和策略，定期開展培訓和工作會議；實施風險管理制度，制定業務持續性計劃和災難環境下恢復計劃；選擇實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監控、檢查、處理安全事件。針對專業人員的培訓和績效需要有效結合目標管理和信息安全管理兩方面來展開。

3.3 管理政策層面

在整個管理策略的制定上：建議采用分級策略，如果高校對于自身科研信息安全風險水平認定為較高，而自身建設能力有限，則可以考慮與相關專業咨詢機構合作，引入專家機制來完成相關工作，提升建設效率。

4 結束語

在國家大力推行科教興國與自主創新發展戰略的今天，信息安全建設對于保障科技創新自有成果，確保自主知識產權的創造價值，都有著極其重要的作用。而如何確保其信息安全能夠實現自主可控的目標，也是以高校為代表的科研機構行使和保障自身合法權益的重要途徑。因此我們必須綜合多方因素，系統考量，盡可能提供全面的、多方位的信息安全建設策略和信息安全管理與教育規范，以切實滿足高校等科研單位對信息安全保障體系的需求，降低科研成果的安全風險，發揮高效的科研效率，保障科研生產的安全順利進行。

參考文獻

[1] 張廣欽．信息管理教程[M]．北京：北京大學出版社，2005.

[2] 徐茂智．信息安全概論[M]．北京：人民郵電出版社，2007.

[3] 彭盛宏.淺析校園網存在的安全隱患及其對策[J].信息安全與技術，2012，(1).