网络安全培训技术范文

引言：寻求写作上的突破？我们特意为您精选了4篇网络安全培训技术范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

兖矿鲁南化肥厂（以下简称鲁化）作为一个具有四十余年化工生产历史的企业。近年来，生产经营、人员输出、项目建设、改革改制任务繁重，给安全管理带来更大的挑战。面对安全管理的严峻形势，企业充分发挥科技创新优势，积极探索利用信息化手段改进和提升安全教育培训水平，将网络信息技术与企业自身实际情况相结合，构架起符合鲁化自身状况、具有企业特色的安全信息网络平台。通过安全信息网络平台，实施阳光安全教育培训，使全员安全素质和安全意识明显提升，进一步巩固了企业良好的安全发展态势。截至2011年12月31日，累计实现安全生产4169天。

一、安全信息网络平台系统的建立

（一）安全管理办公自动化系统

包括公文管理、公共信息、电子邮件以及其它应用等模块，根据安全生产的需要，在内部网站上专设了安全新闻、基层安全通讯、部门安全动态、安监在线、安全生产分析、安全文件、和谐鲁化、“集思广益”等栏目，实现信息共享、公开透明，提高了员工安全意识，自觉参与安全生产管理。

（二）重大危险源视频监控系统

利用厂内局域网已铺设的主干光纤网络，设置重大危险源监控点10个，关键部位监控点12个，使网络系统与监控系统结合，通过网络实现远端监控，可多人同时监控多个点，即时传输图像，无距离限制，传输图像无损失，图像式感官刺激，激发了员工安全生产热情，各部门领导及相关人员均可利用计算机监控相应地点情况，及时掌握并迅速处理突况。

（三）网上培训、考试与积分系统

创新安全培训管理，开发了网上培训学习系统。针对人员分散、倒班员工不易集中的特点，利用现有网络设立专栏，设立安全考试题库和考核积分系统，使各单位充分了解、掌握企业安全培训信息，更好地组织培训和管理，实现了网上培训与考核。

（四）企业信息系统

在内部网企业安全管理信息，并利用手机短信群发系统，实现企业资料管理、个人资料管理、信息发送管理等，进一步提高了员工安全意识。

二、信息网络平台在安全教育培训上的应用

（一）建立科学的管理制度，保证安全教育培训有效运行

为了使员工广泛、及时、迅速掌握生产单位的安全运行、安全管理、安全隐患排查和治理、设备检修、危化品的监控等情况，实现安全工作动态监控，更好地服务和支持安全生产工作。企业制定和完善了《安全教育管理信息制度》、《兖矿鲁南化肥厂安全教育工作体系》等，要求各生产单位每天9：00将本单位安全生产有关情况的信息在内部网上相关安全管理栏目。厂安全监察处设专人负责信息管理，对有关建议、意见及安全管理方面的需求及时予以答复和服务。

（二）依托办公自动化系统（OA），实现“四全”安全管理

1、建立安监在线，对安全管理过程实施实时跟踪监控

为进一步强化安全管理，我厂自主开发了安监在线软件。“安监在线”栏目设有干部下现场反馈情况、当日单位出勤情况、当日安全活动开展情况、当日外来施工单位情况、当日动火作业基本情况、当日检修项目基本情况、当日安全检查基本情况及安监在线历史查询十个子栏目，通过授权，各处室、分厂将有关信息及时上传到相应栏目，每天更新。全体员工均可了解现场人员、检修、施工等具体情况，使各级管理人员有的放矢地深入现场监督检查，从而发现问题、查找原因、落实责任、制定措施、督促整改、检查验收，通过完善的闭环管理，培养和锻炼了员工良好的安全专业素质。

2、实施安全生产分析

创新安全理念，坚持“每周一三五安全分析制度”。积极发动全厂各单位创新安全思维，以生产现场存在的问题或现象为切入点，收集安全管理上存在的问题，进而分析原因，提出见解或解决办法，在厂内部网上相互交流学习。通过案例式剖析，一方面对出现的问题从全局角度进行综合分析，提出整改措施并进行跟踪，避免“头疼医头、脚疼医脚”；另一方面正面引导挖掘安全管理过程中的亮点，给其他单位以借鉴。通过安全分析，为全厂员工提供了一个学习、思考、借鉴的平台，从而达到减少和控制危害、事故，更好地促进了安全生产工作。

3、及时反映基层安全动态。

企业内部网设有安全新闻、基层安全通讯和部门安全动态等安全氛围营造版块，由党务工作处和各基层单位根据总厂和各单位实际安全生产情况天天更新内容。为鼓励安全信息的，成立安全教育培训通讯员网络，定期授课，布置安全生产宣传重点，并对各单位安全教育培训情况实施奖惩考核。引导安全教育培训通讯员及时捕捉基层安全生产点滴，弘扬安全生产主旋律，宣传基层安全管理亮点和先进事迹，同时及时反馈基层关于安全生产的意见和建议。

（三）依托重大危险源视频监控系统，对关键部位、关键设备实施不间断全程监控

重大危险源管理是化工企业安全管理的关键环节。我厂根据厂内重大危险源分布情况，购置网络数字多媒体信息系统，在厂区各重大危险源分别安装了网络数字化一体球，实施24小时录像监控。通过重大危险源视频监控系统，生产调度管理人员可以实时查看各重大危险源的运行状态和相关记录数据，及时发现设备的不正常状态，为迅速准确采取相应措施、防止事故发生起到了重要作用。

（四）依托网上培训教育系统，提高员工自主安全学习意识

为加强员工的安全教育培训，我们建立了网上培训、考试与积分系统。该系统设有教育培训计划、实施、评价体系。我厂定期按安全培训计划在内部网安全培训信息系统中公布安全学习通知和有关的学习内容。管理人员和员工可以自主选择学习时间，也可通过授权异地远程登陆内部网进行在线学习、在线考试。建立网上员工学习档案，实施积分制管理，并对培训效果按季度、半年、全年进行评价。这套系统不但使员工能够及时学习掌握安全生产方面的相关知识，也使安全学习有了更大的主动权，提高了员工学习的自觉性和主动性。

（五）依托安全信息网络系统，实现安全管理全员联动

安全信息网络系统包括网上信息系统和手机短信群发系统。利用网上信息系统，及时公布安全文件制度信息。通过内部网安全管理和安全文件等版块，一方面及时上传企业内部各种安全生产文件、安全专项检查信息、安全工作总结、安全工作计划等，使全体员工迅速了解安全生产形势。另一方面，根据安全检查通报情况，及时整改现场存在的问题，消除事故隐患，保证安全生产。

利用手机短信群发系统，提高全员安全生产意识。每天给厂领导、中层管理人员、安监人员、班组长分层次当日安全生产情况短消息，使干部员工及时掌握安全生产动态信息。针对下雪、降温、雷雨等特殊天气，及时启动应急预案，利用手机群发短信在一分钟内即可将信息传递到每个员工。

三、实施效果和基本经验

（一）提高安全管理效率，降低管理成本

企业利用安全网络信息平台，把安全教育培训资源有效整合，利用网络信息手段进行沟通的比例显著提高，比如在安全会议、文件传达、部门讨论、问题跟踪反馈等方面，全部通过在企业内部网安全信息网络平台上进行传递，工作效率明显提高。经过授权，通过计算机在任何地方、任何时间，只要上网，都能及时地查询到企业安全管理信息，实现了网络学习，使随时随地培训成为可能。同时，大量节约了纸张、复印、电话、传真等费用，系统应用为每个员工带来了工作便利，也使企业安全管理成本明显降低。

（二）为提高员工安全素质提供了新途径

传统的安全教育培训，采用讲课和自学等枯燥、被动安全教育培训模式，而这种模式的培训效率和成本显然不能很好地适应现代安全管理的需求。应用安全信息网络平台进行公开、引导式安全教育培训，克服了厂内不同单位、不同部门、不同员工之间的沟通和管理障碍，使普通员工可以与管理者直接交流。网上学习培训系统在应用过程中实现了教育功能与现代管理观念的传递，培训与考试过程更加公开透明，促进了员工的自主学习意识，促进企业人员素质整体提升。

篇2

军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

第三条县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。

第二章安全监督

第四条公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责：

（一）监督、检查、指导计算机信息系统安全保护工作；

（二）组织实施计算机信息系统安全评估、审验；

（三）查处计算机违法犯罪案件；

（四）组织处置重大计算机信息系统安全事故和事件；

（五）负责计算机病毒和其他有害数据防治管理工作；

（六）对计算机信息系统安全服务和安全专用产品实施管理；

（七）负责计算机信息系统安全培训管理工作；

（八）法律、法规和规章规定的其他职责。

第五条公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查，每年不应少于一次。

第六条公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。

第七条公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制，依法及时查处通过计算机信息系统进行的违法犯罪行为，组织处置重大突发事件。

第三章安全保护责任

第八条单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。

提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。

第九条网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施，安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。

第十条计算机信息系统使用单位和个人为了保护计算机信息系统的安全，可以与安全服务机构明确服务项目和要求，建立相对稳定的服务关系。

第四章安全专用产品

第十一条计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前，应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》，并报省公安厅公共信息网络安全监察部门备案。

第十二条本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。

（一）单位简况；

（二）营业执照复印件；

（三）安全专用产品类型、功能等情况；

（四）主要技术人员资格证书复印件。

第十三条销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案，填写《广东省信息网络安全检测产品销售备案表》，并提交如下资料：

（一）单位简况；

（二）营业执照复印件；

（三）信息网络安全检测产品销售和售后服务管理制度；

（四）主要技术人员资格证书和销售人员有效证件复印件。

第十四条信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用，不得出租、出借、转让、赠送，不得擅自用于检测他人计算机信息系统。

用户购买信息网络安全检测产品，应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续，公安机关应当在15日内予以办理，发给《信息网络安全检测产品购买备案表》；不予办理的，应当书面说明理由。

用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后，应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。

第十五条信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。

销售信息网络安全检测产品的单位，应当负责产品的使用授权和维护、更新。

第五章安全服务机构

第十六条安全服务资质实行等级管理，分一、二、三、四级。各等级所对应的承担工程的资格如下：

（一）一级：可承担所有计算机信息系统安全设计、建设、检测；

（二）二级：可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测，合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测；

（三）三级：可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测，合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测；

（四）四级：可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设，合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。

第十七条各安全服务资质等级条件如下：

一级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本1200万元以上，近3年的财务状况良好；

（三）近3年完成计算机信息系统安全服务项目总值3000万元以上，并承担过至少1项450万元以上或至少4项150万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30%以上（即不低于900万元）；工程按合同要求质量合格，已通过验收并投入实际应用；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于50人，其中大学本科以上学历的人员不少于40人；

（五）安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于5年；

（六）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力；

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制，并能不断改进；

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

（九）竣工项目均通过验收；

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

二级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本500万元以上，近3年的财务状况良好；

（三）近3年完成计算机信息系统安全服务项目总值1500万元以上，并承担过至少1项225万元以上或至少3项120万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30%以上（即不低于450万元）；工程按合同要求质量合格，已通过验收并投入实际应用；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于40人，其中大学本科以上学历的人员不少于30人；

（五）安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于4年；

（六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力；

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制；

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施；

（九）竣工项目均通过验收；

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

三级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本100万元以上，近3年的财务状况良好；

（三）近3年完成计算机信息系统安全服务项目总值600万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30%以上（即不低于180万元）；工程按合同要求质量合格，已通过验收并投入实际应用；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人；

（五）安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于3年；

（六）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力；

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理；

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施；

（九）竣工项目均通过验收；

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

四级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本30万元以上，近3年的财务状况良好；

（三）具有计算机安全或相关专业资格证书的专业技术人员不少于15人；

（四）安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于2年；

（五）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力；

（六）具有较为完善的组织管理制度、质量保证体系和客户服务体系；

（七）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施；

（八）竣工项目均通过验收；

（九）无触犯计算机信息系统安全保护等有关法律法规的行为。

第十八条申请安全服务资质，应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请：

（一）申请书；

（二）营业执照复印件；

（三）管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书；

（四）技术装备情况及组织管理制度报告。

地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门核准；初审不合格的，退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查，符合条件的，核发资质证书。不符合条件的，作出不予核准的决定并说明理由。

持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。

第十九条从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。

承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制，择优授权，应具备下列条件：

（一）具有三级以上安全服务资质；

（二）中国公民或者组织持有的股权或者股份不少于51%；

（三）具有提供长期服务的能力和良好信誉；

（四）具有自主开发的信息网络安全检测产品。

辖区内无符合条件的安全服务机构的，由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。

第二十条资质证书分为正本和副本，正本和副本具有同等法律效力。

第二十一条资质证书实行年审制度。年审时间为每年2月至3月，新领（换）资质证书未满半年的不需年审。

第二十二条安全服务机构在年审前应当对本单位上一年度的下列情况进行自查，并形成自查书面材料：

（一）遵守国家有关法律法规和本省有关规定的情况；

（二）安全服务业绩；

（三）用户投诉及处理情况；

（四）参加国内和国际标准认证的情况；

（五）符合资质证书颁发条件的有关情况。

第二十三条安全服务机构参加年审，应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请：

（一）《计算机信息系统安全服务资质年审申请书》；

（二）资质证书副本；

（三）自查书面材料；

（四）其他材料。

第二十四条地级以上市公安机关公共信息网络安全监察部门自接到申请材料之日起15日内进行初审，材料齐全，情况属实的，报送省公安厅公共信息网络安全监察部门审查。初审不合格的，退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起10日内作出年审结论。

持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在20日内作出年审结论。

年审结论分为合格、降级、取消3种。

具备下列情形的，年审结论为合格：

（一）遵守国家有关法律法规和本省有关规定；

（二）上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三（四级资质不低于50万元）；

（三）用户投诉基本能合理解决；

（四）符合原等级资质证书颁发条件。

有下列情形之一的，年审结论为降级：

（一）违反国家有关法律法规和本省有关规定，情节轻微；

（二）上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三；

（三）10%以上的安全服务项目有用户投诉且未能合理解决；

（四）不符合原等级资质证书颁发条件。

有下列情形之一的，年审结论为取消：

（一）违反国家有关法律法规和本省有关规定，情节严重；

（二）年度安全服务项目总值低于50万元；

（三）20%以上的安全服务项目有用户投诉且未能合理解决；

（四）情况发生变更，达不到资质证书颁发条件。

年审合格的，在资质证书副本和《计算机信息系统安全服务资质年审申请书》上注明，加盖省公安厅公共信息网络安全监察专用章。

年审结论为降级的，原资质证书作废，换发资质证书。

年审结论为取消的，资质证书作废，安全服务机构应当自接到年审结论之日起10日内交回资质证书。

未按时参加年审的，年审结论视为取消。

年审结论为取消的，两年内不得申请安全服务资质。

因特殊原因未年审的，应当书面说明理由，经批准，方可补办相关手续。

第二十五条资质证书有效期为4年，安全服务机构应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。期满不换证的，资质证书作废。

因特殊原因未按时换证的，应当书面说明理由，经批准，方可补办相关手续。

第二十六条资质证书登记事项发生变更的，应在30日内到地级以上市公安机关办理变更手续。

第二十七条安全服务机构在取得资质证书一年后，达到较高一级资质条件的，可申请晋升等级，办理程序与初次申请相同。

第二十八条安全服务机构情况发生变更，不符合原资质等级条件的，应当予以降级。

第六章安全审验

第二十九条计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准，同步落实安全保护制度和措施。

第三十条重点安全保护单位计算机信息系统和计算机机房安全设计方案应当报单位所在地地级以上市公安机关公共信息网络安全监察部门备案。

重点安全保护单位计算机信息系统和计算机机房建成后，应当由具有相应资格的安全服务机构进行安全检测。检测合格，方可投入使用。

安全检测应当接受公安机关公共信息网络安全监察部门的监督。

第三十一条计算机信息系统安全设计方案备案，应当填写《广东省计算机信息系统安全设计方案备案表》，并提交下列材料：

（一）计算机信息系统安全设计方案；

（二）计算机信息系统的总体需求说明；

（三）计算机信息系统的安全保护等级。

第三十二条计算机机房安全设计方案备案，应当填写《广东省计算机机房安全设计方案备案表》，并提交下列材料：

（一）承建单位营业执照和资质证书复印件；

（二）计算机机房的用途和安全要求；

（三）计算机机房的施工方案和设计图纸；

（四）其他应当提交的资料。

第三十三条安全服务机构对重点安全保护单位计算机信息系统和计算机机房进行使用前安全检测，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全检测结论由重点安全保护单位报地级以上市公安机关公共信息网络安全监察部门。

第三十四条计算机信息系统和计算机机房存在下列情形之一的，应当进行安全检测：

（一）变更关键部件；

（二）安全检测时间满一年；

（三）发生案件或安全事故；

（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全检测；

（五）其他应当进行安全检测的情形。

第三十五条安全服务机构应当履行下列职责：

（一）如实出具检测报告；

（二）接受公安机关公共信息网络安全监察部门对检测过程的监督检查；

（三）保守用户秘密，不得保留安全检测相关资料，不得擅自向第三方泄露用户信息。

第七章安全培训

第三十六条省公安厅、人事厅联合成立的省计算机安全培训领导小组，负责全省计算机安全培训考试工作的组织和领导。下设省计算机安全培训考试办公室，具体负责计算机安全培训的日常管理工作。

第三十七条下列人员应当参加计算机安全培训，取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书，持证上岗：

（一）计算机信息系统使用单位安全管理责任人、信息审查员；

（二）重点安全保护单位计算机信息系统维护和管理人员；

（三）安全专用产品生产单位专业技术人员；

（四）安全服务机构专业技术人员、安全服务管理人员；

（五）其他从事计算机信息系统安全保护工作的人员。

第三十八条计算机安全培训和考试由省计算机安全培训考试办公室授权的安全培训考试点负责组织。安全培训考试点实行统筹规划，总量控制。

第三十九条计算机安全培训和考试按照有关规定进行，实行学大纲，材，统一考试，统一发证。

考试合格的，由省计算机安全培训考试办公室在20日内发给计算机安全培训合格证书。

篇3

中图分类号：TP393.18 文献标识码：A 文章编号：1671-489X（2009）06-0087-03

Research of Digital Campus Security System//Liu Changzheng, Teng Jianmin

Abstract Good application platform and sound business system are important in Digital Campus, But establishing a comprehensive security system to ensurethe whole system is safe, reliable operation is even more important. It researches from digital campus security system components, construction methods, which is of great significance to the digital campus of sustainable development and efficient operation.

Key words digital campus；security；system

Author’s address Bengbu Tank Institute Educational Technology Center, Bengbu, Anhui 233050

随着军队院校信息化进程的推进，校园网上运行的服务越来越多，数字化校园变得越来越庞大和复杂。校园网用户对信息系统的依赖性不断增加，因此对信息系统的服务质量也提出更高的要求，要求信息系统能够提供每周7×24小时的优质服务。如何保证信息系统的正常运行，如何能够以最少的投入来完成系统的维护，保证信息系统的服务质量，就成为军队院校信息化发展到一定程度时必须考虑的问题。同时，数字化校园也面临着一系列的安全问题，如会受到来自外部和内部的攻击、病毒困扰、非授权访问、重要信息泄露等问题，这些将影响整个数字校园系统的安全并带来极大的隐患。从总体上来讲，当前一般的校园网安全方案存在的问题是安全手段单一，没有覆盖整个校园网的各个层次、全方位的安全措施[1]。

结合蚌埠坦克学院数字化校园建设的实际情况，提出校园信息管理中心（DMC）的概念。作为学院信息化系统的枢纽，信息中心因存放大量的关键数据，与各个业务部门之间有着频繁的重要通讯。如何保证关键数据安全，保证各类数字化校园服务的安全运行，就成为信息中心一项最为重要的职责。然而，随着网络技术的发展，黑客攻击手段日益先进，而校园信息中心内的安全对象也不是简单系统，而是开放的、各类用户参与其中的、与学校和社会紧密耦合的复杂系统，攻击者可以只攻一点，而信息中心需要处处设防，这些都使得校园信息中心网络安全的复杂性大大提高。所以，单一的网络安全产品，或者各种安全产品、安全技术的简单堆砌，并不能保证网络的安全性能。只有在安全策略的指导下，建立有机的、智能化的网络安全保障体系，才能有效地保证校园信息中心内关键业务和关键数据的安全。

1 安全保障体系的组成

在多年实际工作的基础上，蚌埠坦克学院采用一种动态的、多方位的校园信息中心安全保障体系构建方法。

首先，网络安全保障体系应该是动态变化的。安全防护是一个动态的过程，新的安全漏洞不断出现，黑客的攻击手法不断翻新，而校园信息中心自身的情况也在不断地发展变化。在完成安全保障体系的架设后，必须不断对此体系进行及时的维护和更新，才能保证网络安全保障体系的良性发展，确保它的有效性和先进性。

网络安全保障体系构建是以安全策略为核心，以安全技术作为支撑，以安全管理作为落实手段，并通过安全培训加强所有人的安全意识，完善安全体系赖以生存的大环境。安全体系的组成如图1所示。

下面逐一描述安全体系的各个组成部分。

1）安全策略。安全策略是一个成功的网络安全体系的基础与核心。安全策略描述校园信息中心的安全目标（包括近期目标和长期目标），能够承受的安全风险，保护对象的安全优先级等方面的内容。

2）安全技术。常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分，缺少任何一种都会有巨大的危险，因为网络入侵防范是一个整体概念。但校园信息中心往往经费有限，不能全部部署，这时就需要在安全策略的指导下分步实施。需要说明的是，虽然是单元安全产品，但在网络安全体系中它们并不是简单的堆砌，而是要合理部署，互联互动，形成一个有机的整体。

3）安全管理。安全管理贯穿整个安全保障体系，是安全保障体系的核心，代表安全保障体系中人的因素。安全不是简单的技术问题，不落实到管理，再好的技术、设备也是徒劳的。一个有效的安全保障体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实。安全管理不仅包括行政意义上的安全管理，更主要的是对安全技术和安全策略的管理。

4）安全培训。最终用户的安全意识是信息系统是否安全的决定因素，因此对校园信息中心用户的安全培训和安全服务是整个安全体系中重要的、不可或缺的一部分。

2 安全保障体系构建方法

2.1 制定安全策略基于数字化校园建设目标和建设思想的要求，结合蚌埠坦克学院信息化安全现状，制定符合

学院数字化校园分期建设规划对安全要求的相关策略[2]。要点：安全体系的近期目标是保证所有的机器都必须设防，能够抵御一般水平的黑客进攻；安全体系的远期目标是实现完善的安全审计和取证机制，保证受到入侵后有证可查，鉴于大多数安全事件来自于管理员的误操作，审计在明确事故责任上也能发挥重大作用；安全体系的长期目标是建立安全预警系统，能够抵御较高水平的黑客攻击。

2.2 安全技术的应用及安全工具的部署在安全策略的指导下进行安全工具和技术的部署，形成图2所示的直观的网络安全体系。

在校园网的入口架设千兆防火墙，并实现VPN的功能。在数据中心网络入口处建立第一层的安全屏障，VPN保证管理员在家里或出差时能够安全接入数据中心。利用防火墙的网段隔离功能，设置DMZ区。使用千兆入侵监测系统对信息中心内的所有数据流动进行实时检测入侵。使用认证服务器对数据访问进行统一的认证。实现网络防病毒功能，在信息中心建立病毒控管中心，为信息中心和办公网络提供防毒服务。根据功能将服务器划分成服务器群，使用多级防火墙实施进一步的保护：二级防火墙保护应用服务器群，三级防火墙保护数据库服务器群。使用安全日志及审计服务器保护关键日志，方便管理员管理，并作为取证的依据。

2.3 形成以系统管理员为核心的安全管理制度良好的网络信息安全保障离不开规范严谨的管理制度[3]。实践一再告诉人们，仅有安全技术防范，而无严格的安全管理体系相配套，是难以保障网络系统安全的。必须制订《防火墙安装规范》《防火墙运行维护规范》《安全检查规范》《日志管理规范》《补丁安装规范》《安全紧急事件响应规范》等安全管理制度及规范，对安全技术和安全设施进行规范化管理。

实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。建立图3所示系统管理员为中心的日常安全管理流程，并根据日常的安全管理工作情况制定安全体系，以此来保证整个安全体系的动态性和有效性。

2.4 安全培训与用户服务最终用户的安全意识是信息系统是否安全的决定因素，因此对校园信息中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分，可以理解成为校园信息中心网络安全体系的生存土壤。特别是在目前病毒泛滥的大环境下，要通过定期培训、及时发放病毒警告通知、敦促大家打补丁等方法，坚持不懈地努力增强所有教职员工的安全意识，提高他们的安全防范技能。

3 结论

安全保障体系的建立不是一劳永逸的，数据中心自身的情况不断变化，新的安全问题不断涌现，必须根据情况的变化和现有体系中暴露出的一些问题，不断对此体系进行及时的维护和更新，保证网络安全保障体系的良性发展，确保它的有效性和先进性。图4显示了蚌埠坦克学院校园信息中心安全保障体系的动态发展过程。

参考文献

篇4

“黑客基地”的漂白之路

成立于6年前的“黑客基地”原本只是一个黑客技术狂热爱好者聚集的论坛，很多人是冲着创始人王献冰的名号来拜师学艺。作为中国黑客元老，王献冰是行里公认的高手，传说给他5秒钟时间，他可以黑掉四大门户。

从“黑客基地”走出的黑客众多，通常都有惊人之举。圈里流传，著名的京东商城被黑一案，据说就是王献冰的学生搞出的杰作：“京东网管是个大!”2003年的一天，京东商城的老总刘强东打开京东的BBS论坛，就看到屏幕上出现这几个触目惊心的大红字，他命令下属格式化了服务器，但重新启动后，屏幕上仍旧是这几个大字。短短的一个小时里，京东商城少做了几十万的生意。

尽管学成者出尽风头，但“黑客基地”的运作一直处在最原始的状态，要靠微薄的会员费来维持运作。事实上，“黑客基地”有400多万会员，中国2／'3的黑客都和它沾亲带故，熊晓鸽曾给“黑客基地”的品牌价值估过价：至少值500万元。这个价格到今天已经翻番，王献冰已经拿到了1000万元的风投，他预估：“加上原本的会员费，‘黑客基地’是内地活得最滋润的黑客培训网站。”

除去瑞壕投资、泽华资本的投资之外，1000万中也有王献冰自己的投资。这意味着“黑客基地”要重新考量自己的商业定位，曾经引以为豪的黑客色彩必须被淡化。中国互联网的飞速发展带来的现象是，“网络安全人才匮乏到一个相当严重的地步，人才的培育至少滞后于社会需求5到10年。”王献冰认为，这才是风险投资看中这个领域的原因。以北大青鸟每年的培训收入超过20亿元来做参照，在整个IT培训市场中，保守的估计网络安全培训也将占据15％-20％的份额，即10亿元。如果他成功，“黑客基地”能抢占其中1亿的市场。

让“黑客”成为“红客”

现在，搜索“黑客基地”，百度上的链接会自动指向“北京黑基国际信息科技有限公司”，字面上已经隐去了“黑客”，代之的是网络安全培训的意义。这是王献冰考虑最多的问题，让这个灰色的产业能够存在于阳光之下。

“黑客基地”6年的内容积淀，很多非法的信息和工具必须清理，这是一个大工程。同样要正规化的，还有课程。所有课程都必须公布，审核，备案，要小心翼翼地越过政策界限。在风投进入之前，“黑客基地”没有纸质教材，王献冰只好自己编制了整体教材架构，分为初、中、高三个档次，面向不同需求，走正规途径出版。

除了软件反破解、网站反黑等技能培训外，王献冰设计的新业务是职业培训，他给自己找的样板是北大青鸟。“北大青鸟去年的收入是21亿，差不多占了中国培训市场的40％的份额，它的商业模式其实很简单，但最直接――做职业化培训，保证你学了之后立刻能就业。”砚在“黑客基地”计划把更多低端内容免费，以争取更大市场占有率：与北京电视台合作的个人电脑安全节日已经洽谈，黑基网开设的“黑基安全大讲堂”也进入了录制流程。

在中国IT培训市场，网络安全占20％的份额，一家出众的公司做到年收入5000万并不是稀奇的事情。但“黑客基地”进军安全培训，与现有培训公司的市场竞争是绕不过去的障碍，尤其是北大青鸟这个庞然大物。王献冰只能把更多的目光投向国外学员。目前“黑客基地”的国外会员并不多，大约只占总数的5％，大多都是技术狂热派的美籍华人，但5％的国外会员带来的业务收入却很可观。王献冰也给自己找了一个国外模板astalavista，这家瑞士黑客网站的年收入已经超过500万美元。

两难的黑客

几乎和“黑客基地”拿到1000万风投发生在同一时间，三大黑客门户中的“华夏联盟”遭遇了另外一种结局――被警察封铺捉人，直到现在，“华夏联盟”的网站仍然不能访问。