1對(duì)醫(yī)院網(wǎng)絡(luò)進(jìn)行集中的安全管理

在物理架構(gòu)上實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)架構(gòu)的高度冗余、容錯(cuò)能力,在網(wǎng)絡(luò)平臺(tái)架構(gòu)中或業(yè)務(wù)關(guān)鍵節(jié)點(diǎn)不存在設(shè)備或線路單點(diǎn)故障。我院網(wǎng)絡(luò)架構(gòu)主要分為5個(gè)部分：

①內(nèi)網(wǎng)區(qū)-業(yè)務(wù)區(qū)域：內(nèi)部業(yè)務(wù)系統(tǒng)、服務(wù)器及存儲(chǔ)服務(wù)器所屬的網(wǎng)絡(luò)域；

②內(nèi)網(wǎng)區(qū)-科室訪問(wèn)內(nèi)部應(yīng)用：此區(qū)域?yàn)闃I(yè)務(wù)終端所處的網(wǎng)絡(luò)域，各科室業(yè)務(wù)終端中能訪問(wèn)內(nèi)部業(yè)務(wù)平臺(tái)；

③外網(wǎng)區(qū)：臨床、行政普通辦公區(qū)，用于用戶訪問(wèn)互聯(lián)網(wǎng)；

④外部接入?yún)^(qū)域：第三方接入域，如：新農(nóng)合、省醫(yī)保、市醫(yī)保及銀醫(yī)一卡通等；

⑤外網(wǎng)網(wǎng)站區(qū)：醫(yī)院門戶網(wǎng)站所處的網(wǎng)絡(luò)域，與其他網(wǎng)絡(luò)域物理隔離。邏輯架構(gòu)上實(shí)現(xiàn)整個(gè)信息化基礎(chǔ)架構(gòu)平臺(tái)的合理區(qū)域化劃分，盡量合理的設(shè)計(jì)和規(guī)劃安全區(qū)域，調(diào)整邏輯架構(gòu)，在網(wǎng)絡(luò)骨干設(shè)備間實(shí)現(xiàn)三層架構(gòu)，避免因?yàn)椴煌收隙饘?duì)業(yè)務(wù)產(chǎn)生大范圍影響。

1分析信息時(shí)代背景下的電子信息安全管理的重要性

1.1有效地保證社會(huì)經(jīng)濟(jì)的穩(wěn)定性發(fā)展和建設(shè)

電子信息安全管理是為了適應(yīng)當(dāng)前的社會(huì)經(jīng)濟(jì)發(fā)展的要求而進(jìn)行開(kāi)展的，因?yàn)殡娮有畔踩芾砟軌蛱嵘鱾€(gè)生產(chǎn)經(jīng)營(yíng)組織個(gè)體的信任度，并及時(shí)的進(jìn)行經(jīng)濟(jì)投資，促使電子信息安全管理被有效地落實(shí)和實(shí)踐。目前我國(guó)的現(xiàn)代化建設(shè)進(jìn)程已經(jīng)邁入了正軌，各個(gè)經(jīng)濟(jì)發(fā)展個(gè)體只有借助電子信息技術(shù)的安全管理原則，將自己公司或者組織內(nèi)部的資料進(jìn)行集中分配和處理，能夠提高企業(yè)的日常工作效率，而且促使公司內(nèi)部的資源和結(jié)構(gòu)更加的具有優(yōu)良性和全面性，所以在電子信息安全管理的要求下，才會(huì)多的更多的經(jīng)濟(jì)個(gè)體的信任，并且提升整個(gè)電子信息系統(tǒng)安全管理的開(kāi)展意義。社會(huì)總體的經(jīng)濟(jì)進(jìn)步和發(fā)展主要是依靠當(dāng)前社會(huì)各個(gè)階層的經(jīng)濟(jì)發(fā)展主體不斷的進(jìn)行生產(chǎn)革新以及管理創(chuàng)新，才推動(dòng)了社會(huì)的總體經(jīng)濟(jì)進(jìn)步。所以電子信息安全管理的開(kāi)展實(shí)踐和落實(shí)中，企業(yè)才會(huì)加大對(duì)于電子信息安全管理的認(rèn)識(shí)，并不斷的提升企業(yè)內(nèi)部對(duì)于電子信息安全管理的實(shí)際操作能力，從而電子信息安全管理才能穩(wěn)定社會(huì)的經(jīng)濟(jì)全面的發(fā)展和建設(shè)，全面的保障各個(gè)企業(yè)的日常工作運(yùn)行和發(fā)展。

1.2提升國(guó)民對(duì)電子信息安全管理的認(rèn)識(shí)

社會(huì)大眾對(duì)位網(wǎng)絡(luò)資源服務(wù)的主要對(duì)象，對(duì)于電子信息安全管理的開(kāi)展具有全面的推動(dòng)作用。大眾要增強(qiáng)對(duì)于電子信息安全管理的認(rèn)識(shí)，才能真正的提升國(guó)民素質(zhì)，對(duì)于網(wǎng)絡(luò)中的不良現(xiàn)象也能有效地抵制。所以大眾人民在日常運(yùn)用網(wǎng)絡(luò)電子信息資源的時(shí)候，要注重對(duì)于本身電腦的保護(hù)，進(jìn)行查毒、殺毒措施的落實(shí)，將威脅電子信息安全管理的潛在隱患進(jìn)行及時(shí)的排除，從而進(jìn)一步將電子信息安全管理落實(shí)起來(lái)，進(jìn)而提升過(guò)敏對(duì)于電子信息安全管理的認(rèn)識(shí)，真正的保護(hù)好電子信息。

2信息時(shí)代背景下的電子信息安全管理的主要方法

2.1樹立電子信息安全管理的思想意識(shí)

1實(shí)驗(yàn)平臺(tái)

實(shí)驗(yàn)的硬件環(huán)境為兩臺(tái)計(jì)算機(jī)：一臺(tái)作為宿主機(jī)，運(yùn)行各種安全實(shí)驗(yàn)的代碼；另一臺(tái)作為調(diào)試機(jī)，運(yùn)行被實(shí)驗(yàn)的內(nèi)核。兩臺(tái)機(jī)器通過(guò)串口進(jìn)行連接，傳送調(diào)試指令和調(diào)試數(shù)據(jù)。具體實(shí)驗(yàn)時(shí)，可使用虛擬機(jī)以WRK內(nèi)核引導(dǎo)系統(tǒng)運(yùn)行，既可以防止實(shí)驗(yàn)對(duì)真實(shí)的硬件和文件系統(tǒng)產(chǎn)生負(fù)面影響，也可以方便地通過(guò)一個(gè)命名管道連接虛擬機(jī)和物理機(jī)，將虛擬機(jī)作為被調(diào)試機(jī)、物理機(jī)器作為調(diào)試機(jī)來(lái)進(jìn)行實(shí)驗(yàn)。

2實(shí)驗(yàn)?zāi)K

實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)是以Hook技術(shù)為基礎(chǔ)，從影響操作系統(tǒng)安全的外設(shè)事件、進(jìn)程保護(hù)、文件管理、網(wǎng)絡(luò)安全等方面進(jìn)行設(shè)計(jì)。Windows操作系統(tǒng)是建立在事件驅(qū)動(dòng)機(jī)制之上的，系統(tǒng)各部分之間的溝通也都是通過(guò)消息的相互傳遞而實(shí)現(xiàn)。Hook（鉤子）技術(shù)是Windows系統(tǒng)的一種非常重要的接口，可以截獲并處理在其他應(yīng)用程序之間傳遞的消息，并由此完成一些普通應(yīng)用程序難以實(shí)現(xiàn)的特殊功能。Hook技術(shù)分為應(yīng)用層Hook技術(shù)和內(nèi)核層Hook技術(shù)。該實(shí)驗(yàn)采用Hook技術(shù)設(shè)計(jì)了全局鍵盤監(jiān)聽(tīng)、進(jìn)程隱藏與保護(hù)、文件監(jiān)視、網(wǎng)絡(luò)監(jiān)聽(tīng)等具體實(shí)驗(yàn)內(nèi)容。

2.1全局鍵盤監(jiān)聽(tīng)

本模塊的實(shí)驗(yàn)?zāi)康氖亲寣W(xué)生理解Windows的消息處理機(jī)制——回調(diào)函數(shù)、Hook技術(shù)的原理，并能運(yùn)用這些原理改變系統(tǒng)消息的控制權(quán)，達(dá)到維護(hù)系統(tǒng)安全的目的。實(shí)驗(yàn)內(nèi)容是通過(guò)回調(diào)函數(shù)定制新的鍵盤鉤子，在主控機(jī)上通過(guò)windbg把鉤子以DLL的形式加入到目標(biāo)機(jī)的所有運(yùn)行進(jìn)程中，實(shí)現(xiàn)全局鍵盤監(jiān)聽(tīng)。鉤子函數(shù)將獲取的鍵盤信息返回給主控機(jī)，在其dbgview上顯示鍵盤的輸入信息。

2.2進(jìn)程隱藏與保護(hù)

1企業(yè)開(kāi)展檔案信息安全管理的必要性

企業(yè)檔案信息是企業(yè)在生產(chǎn)、經(jīng)營(yíng)過(guò)程中形成的具有重要保存價(jià)值的記錄，是企業(yè)的寶貴財(cái)富和歷史記憶。檔案信息中有的內(nèi)容涉及到企業(yè)的核心機(jī)密，包括設(shè)備、關(guān)鍵技術(shù)資料等，這些檔案信息對(duì)于企業(yè)的生存和發(fā)展至關(guān)重要，一旦出現(xiàn)信息泄露，將會(huì)對(duì)企業(yè)的生存和發(fā)展造成巨大的威脅。加強(qiáng)企業(yè)檔案信息的安全管理就是進(jìn)行有組織、有計(jì)劃的實(shí)施一系列安全管理措施，能提高企業(yè)的檔案管理水平和檔案信息安全性，避免檔案信息泄露給企業(yè)帶來(lái)的巨大損失，為企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。因此，企業(yè)開(kāi)展檔案信息安全管理極其必要。

2威脅檔案信息安全的因素

現(xiàn)階段，大量的檔案信息都以數(shù)據(jù)信息的形式存儲(chǔ)在計(jì)算機(jī)中，計(jì)算機(jī)是檔案信息存儲(chǔ)的載體，一旦計(jì)算機(jī)發(fā)生故障或者被黑客攻擊，檔案信息就存在泄漏的可能。現(xiàn)在對(duì)計(jì)算機(jī)檔案信息產(chǎn)生威脅的因素包括計(jì)算機(jī)故障、病毒和黑客攻擊以及人為操作故障導(dǎo)致的停機(jī)。計(jì)算機(jī)是由數(shù)量龐大的元器件構(gòu)成的，計(jì)算機(jī)在使用過(guò)程中受電壓、溫度以及線路問(wèn)題等很容易出現(xiàn)硬件故障，導(dǎo)致計(jì)算機(jī)出現(xiàn)藍(lán)屏、死機(jī)等狀況，而一旦計(jì)算機(jī)硬盤出現(xiàn)故障就會(huì)造成檔案信息的丟失和破壞。計(jì)算機(jī)檔案信息管理通過(guò)專業(yè)軟件進(jìn)行來(lái)實(shí)現(xiàn)的，一旦計(jì)算機(jī)軟件出現(xiàn)問(wèn)題，也會(huì)給檔案信息的安全造成極大的威脅；病毒和黑客攻擊是威脅檔案信息安全的一個(gè)重要因素，雖然現(xiàn)階段有很多殺毒和防火墻軟件，但是這并不能保證計(jì)算機(jī)免于病毒和黑客的攻擊；人為管理因素也是威脅檔案信息安全的一大因素，有的工作人員操作不規(guī)范，存在人為操作故障或者錯(cuò)誤刪除數(shù)據(jù)等情況。除了計(jì)算機(jī)方面的因素外，機(jī)房消防安全、設(shè)備防雷、氣候變化、自然災(zāi)害以及盜竊等都是威脅檔案信息安全的因素。

3企業(yè)檔案信息安全管理策略

3.1樹立檔案信息安全管理意識(shí)。

檔案信息安全管理意識(shí)的樹立是提高檔案信息管理的重要措施，然而，目前大多數(shù)企業(yè)的檔案信息安全管理都只是“說(shuō)起來(lái)很重要，忙起來(lái)就忘掉”的現(xiàn)狀，只有人人具有檔案信息安全意識(shí)才能在工作中時(shí)刻注重檔案信息的安全，促進(jìn)企業(yè)的檔案信息安全管理。所以，企業(yè)要加強(qiáng)對(duì)工作人員的檔案信息安全意識(shí)培訓(xùn)工作，大力開(kāi)展檔案信息安全教育會(huì)議來(lái)提高和樹立工作人員的檔案信息安全意識(shí)。同時(shí)，企業(yè)還可以通過(guò)張貼標(biāo)語(yǔ)、企業(yè)通知、內(nèi)部報(bào)刊以及企業(yè)網(wǎng)站等多種途徑來(lái)提高工作人員檔信息安全意識(shí)。此外，企業(yè)還可以開(kāi)展相關(guān)知識(shí)競(jìng)賽、專業(yè)技能挑戰(zhàn)賽等相關(guān)的實(shí)戰(zhàn)演練，科學(xué)、有效的提高工作人員的檔案信息安全管理效率和水平。

一、石油銷售系統(tǒng)的信息安全管理現(xiàn)狀

1.銷售系統(tǒng)設(shè)施建設(shè)。

硬件方面，各石油銷售企業(yè)都具有設(shè)施完善的中心計(jì)算機(jī)系統(tǒng)，供電采用UPS方式，采用“雙機(jī)熱備”的核心服務(wù)器工作模式，以確保整個(gè)硬件的可靠性和安全性；網(wǎng)絡(luò)方面，采用SDH光纖接入廣域網(wǎng)，包括接入層、匯聚層、核心層。核心層中路由器和交換機(jī)采用雙機(jī)模式，設(shè)備之間，層層之間以光纖方式連接，以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻，部分企業(yè)為進(jìn)一步提高安全防范能力還安裝了外網(wǎng)入侵檢測(cè)系統(tǒng)；大多數(shù)加油站采用SSLVPN方式訪問(wèn)企業(yè)內(nèi)部網(wǎng)，以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面，大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護(hù)軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng)，實(shí)現(xiàn)PC機(jī)的MAC地址綁定。

2.銷售系統(tǒng)信息化建設(shè)。

目前，企業(yè)的銷售信息系統(tǒng)主要包括：加油卡系統(tǒng)、辦公自動(dòng)化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點(diǎn)：一是用戶眾多，幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶；二是應(yīng)用領(lǐng)域廣，涉及企業(yè)經(jīng)營(yíng)、管理、對(duì)外服務(wù)諸多方面；三是要求連續(xù)運(yùn)轉(zhuǎn)，如ERP系統(tǒng)必須滿足7×24小時(shí)運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的安全運(yùn)轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營(yíng)管理的可持續(xù)性，其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以，基于上述的原因，企業(yè)對(duì)銷售信息系統(tǒng)的安全運(yùn)轉(zhuǎn)提出了更高的要求。

3.銷售系統(tǒng)的信息安全現(xiàn)狀。

石油銷售管理系統(tǒng)是關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)，國(guó)家對(duì)其信息安全高度重視，并在《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》中強(qiáng)調(diào)，我國(guó)要全面加強(qiáng)國(guó)家信息安全保障體系的建設(shè)，大力增強(qiáng)國(guó)家信息安全保障能力，實(shí)現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時(shí)，國(guó)內(nèi)石油銷售企業(yè)也長(zhǎng)期重視信息安全工作，逐步建立了相應(yīng)的保障體系和規(guī)章制度，但還存在以下問(wèn)題：

一、關(guān)于高校檔案數(shù)字化及檔案信息安全

高校數(shù)字化的檔案信息從傳輸、存儲(chǔ)到顯示利用都要通過(guò)計(jì)算機(jī)來(lái)實(shí)現(xiàn)，計(jì)算機(jī)和網(wǎng)絡(luò)是生成和利用數(shù)字檔案信息的基礎(chǔ)和前提，離開(kāi)計(jì)算機(jī)軟硬件和網(wǎng)絡(luò)的傳輸，數(shù)字化的檔案信息就不可能讀取和顯示，因此，數(shù)字化檔案信息對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)有很強(qiáng)的依賴性。然而眾所周知，計(jì)算機(jī)及網(wǎng)絡(luò)具有一定的不安全性，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)的某些隱患，有時(shí)會(huì)使檔案信息遭到毀滅性的破壞，這就產(chǎn)生了檔案信息的安全問(wèn)題。如何確保數(shù)字化檔案信息的保密性、完整性、真實(shí)性和可利用性，給高校檔案數(shù)字化工作帶來(lái)了極大的挑戰(zhàn)，對(duì)高校在檔案數(shù)字化進(jìn)程中采取先進(jìn)技術(shù)和有效措施，保障高校檔案信息安全提出了較高的要求。

二、數(shù)字化進(jìn)程中高校檔案信息安全現(xiàn)狀

檔案數(shù)字化給高校檔案工作帶來(lái)了新的生機(jī)，數(shù)字化檔案信息的網(wǎng)絡(luò)傳輸和查詢?cè)跒樯鐣?huì)提供廣泛信息服務(wù)的同時(shí)，也給高校檔案的信息安全帶來(lái)了嚴(yán)峻挑戰(zhàn)。例如：在數(shù)字化加工過(guò)程中，有的高校利用勤工助學(xué)學(xué)生或通過(guò)外包實(shí)現(xiàn)檔案全文數(shù)字化，存在對(duì)學(xué)生培訓(xùn)不夠和對(duì)數(shù)字化加工服務(wù)機(jī)構(gòu)、加工場(chǎng)地、加工人員和加工成果等方面監(jiān)管不到位，管理不規(guī)范的問(wèn)題；有的高校檔案管理人員沒(méi)有經(jīng)過(guò)正規(guī)的機(jī)要保密培訓(xùn)，在工作實(shí)踐中，對(duì)已觸“紅線”的檔案信息資料繼續(xù)以常規(guī)方法掛網(wǎng)；有的政府信息安全部門對(duì)進(jìn)行檔案數(shù)字化工作的單位指導(dǎo)不到位等等。

1.高校檔案數(shù)字化進(jìn)程中沒(méi)有完整的法律法規(guī)制度保護(hù)信息安全。

目前，各高校全文數(shù)字化工作主要依據(jù)《中華人民共和國(guó)檔案法》、《高等學(xué)校檔案管理辦法》、《電子公文歸檔管理暫行辦法》等法規(guī)。法規(guī)制度分散零亂，缺乏系統(tǒng)的規(guī)劃和設(shè)計(jì)，對(duì)于高校檔案信息安全保障法規(guī)不成體系，缺少專門的法規(guī)。

2.高校檔案數(shù)字化沒(méi)有統(tǒng)一技術(shù)規(guī)范標(biāo)準(zhǔn)。

一、既要強(qiáng)調(diào)自主可控又要防止閉關(guān)鎖國(guó)

。其實(shí)自主可控今年已經(jīng)被多次提到，尤其是去IOE。最近我參加了一個(gè)相關(guān)論壇，國(guó)產(chǎn)的廠商表面上都是信心滿滿，但是一些銀行的客戶，雖然不能說(shuō)反對(duì)自主可控，但是實(shí)際上他們對(duì)于國(guó)產(chǎn)的產(chǎn)品是有一些顧慮。國(guó)家強(qiáng)調(diào)自主可控，通過(guò)設(shè)定一些市場(chǎng)準(zhǔn)入門檻或者審查機(jī)制，從政策上限制，法律上限制這是正常的，各個(gè)國(guó)家也都在這么做，但是作為企業(yè)來(lái)說(shuō)不能夠一味地去強(qiáng)調(diào)自主可控，自主可控不等于安全，這個(gè)需要我們清醒的認(rèn)識(shí)到。那么對(duì)于國(guó)外的技術(shù)也好、產(chǎn)品也好，我們還是要加強(qiáng)研究，對(duì)于一些風(fēng)險(xiǎn)點(diǎn)我們要區(qū)別對(duì)待。

二、既要關(guān)注技術(shù)發(fā)展又要重視應(yīng)用創(chuàng)新。

技術(shù)的發(fā)展是我們安身立命的本錢，這是我們必須要發(fā)展的。但是在信息安全領(lǐng)域中應(yīng)用不太被重視或者跟應(yīng)用結(jié)合比較少，這是我們做的不足的地方。其實(shí)近幾年商用密碼行業(yè)出現(xiàn)了新的發(fā)展或者出現(xiàn)了更新?lián)Q代的浪潮，在這個(gè)過(guò)程中國(guó)家密碼管理局和人民銀行共同促進(jìn)了國(guó)產(chǎn)密碼算法應(yīng)用，從而帶動(dòng)了國(guó)產(chǎn)芯片、算法相關(guān)配套的產(chǎn)品和軟件系統(tǒng)的發(fā)展，這是一個(gè)應(yīng)用帶動(dòng)技術(shù)發(fā)展的很好例子。現(xiàn)在隨著金融IC卡的推動(dòng)，各個(gè)銀行都在加快金融應(yīng)用創(chuàng)新，我今年參加了幾次金融應(yīng)用創(chuàng)新的論壇，銀行都在積極探討模式，不管是芯片也好，手機(jī)也罷，各種應(yīng)用模式都層出不窮且個(gè)個(gè)都具創(chuàng)意，尤其是像一些互聯(lián)網(wǎng)企業(yè)，淘寶也在積極尋求突破，他們要參與到金融應(yīng)用中來(lái)，互聯(lián)網(wǎng)銀行再加上二維碼支付這些技術(shù)其實(shí)都需要我們廠商認(rèn)真去研究，只有我們把這些應(yīng)用研究透了我們才能夠跟客戶有一個(gè)公平對(duì)話的局面。我們的產(chǎn)品才能夠增加附加值，才能夠不停地更新?lián)Q代，才能夠避免陷入一味的價(jià)格戰(zhàn)，地價(jià)競(jìng)爭(zhēng)的態(tài)勢(shì)。

三、既要引得進(jìn)來(lái)也要走得出去。

這個(gè)方面重要的是走出去，一味防守是被動(dòng)的，目前國(guó)家密碼管理局也在推進(jìn)國(guó)產(chǎn)密碼國(guó)際化，作為我們產(chǎn)業(yè)界來(lái)說(shuō)應(yīng)該和政府形成良好的互動(dòng)。有專家說(shuō)現(xiàn)在產(chǎn)業(yè)界聲音有點(diǎn)小，在國(guó)際上我們也應(yīng)該積極參與一些國(guó)際化組織，積極參與國(guó)際市場(chǎng)的競(jìng)爭(zhēng)，把火勢(shì)燒到對(duì)方那邊去。這樣一方面能夠鍛煉我們的產(chǎn)品，另外也是開(kāi)拓我們自己的市場(chǎng)。

四、既要公平競(jìng)爭(zhēng)更要合作共贏。

1NIST關(guān)于信息技術(shù)安全培訓(xùn)的特別出版物

1.1SP800-16

NIST于1998年4月出版發(fā)行了SP800-16標(biāo)準(zhǔn)，這是對(duì)SP500-172的取代和更新，奠定了針對(duì)美國(guó)政府工作人員保密教育培訓(xùn)的總體框架和內(nèi)容，提出了有效的框架并據(jù)此評(píng)估這一培訓(xùn)體系。SP800-16中提出了IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型。模型基于學(xué)習(xí)是一個(gè)連續(xù)統(tǒng)一體這一前提，主要體現(xiàn)了以下觀念。“安全意識(shí)”顯然是所有員工所必須具備的，而“安全基礎(chǔ)和文化”是那些以任何方式參與到IT系統(tǒng)的員工（包括承包方員工）所必須具備的。“安全基礎(chǔ)和文化”是“意識(shí)培養(yǎng)”和“培訓(xùn)”之間的一個(gè)過(guò)渡階段。它通過(guò)提供一套關(guān)鍵性安全術(shù)語(yǔ)和概念的通用基準(zhǔn)，來(lái)為后續(xù)的培訓(xùn)打下基礎(chǔ)。經(jīng)過(guò)“安全基礎(chǔ)和文化”后，培訓(xùn)的焦點(diǎn)集中于針對(duì)個(gè)人“相對(duì)于IT系統(tǒng)的角色和職責(zé)”來(lái)提供知識(shí)、技術(shù)和能力。在這一層，按照技術(shù)需求的不同，培訓(xùn)分為初級(jí)、中級(jí)、高級(jí)3個(gè)層次。“教育和經(jīng)驗(yàn)”層著眼于開(kāi)發(fā)能夠?qū)崿F(xiàn)復(fù)雜的跨學(xué)科活動(dòng)和所需技能的能力及預(yù)見(jiàn)力，以促進(jìn)IT安全專業(yè)化的發(fā)展，并與安全威脅發(fā)展和技術(shù)發(fā)展保持同步。按照知識(shí)的層次來(lái)看，學(xué)習(xí)是一個(gè)連續(xù)統(tǒng)一體，但是傳授這些知識(shí)并不需要按部就班地進(jìn)行。如果資源有限，組織有責(zé)任評(píng)估它們的IT安全培訓(xùn)需求范圍和培訓(xùn)效果，使培訓(xùn)資源分配能夠獲得最大的投資回報(bào)。與早期美國(guó)推行的基于工作職稱的教育培訓(xùn)不同，SP800-16旨在提供基于個(gè)人工作職能和角色的培訓(xùn)方案，將原本的“一職稱一方案”變成了“一角色一方案”。尤其對(duì)于一個(gè)人在組織中具有多個(gè)角色的情況，SP800-16針對(duì)每個(gè)員工個(gè)人培養(yǎng)方案的不同需求靈活變通，力求滿足每個(gè)角色的培訓(xùn)需求，提供復(fù)合式、全面的培訓(xùn)方案。此外，這種培訓(xùn)方法還對(duì)不同組織間職稱標(biāo)準(zhǔn)劃分不同的情況進(jìn)行了統(tǒng)一，提高了同種角色、不同組織、不同職稱間培訓(xùn)方案制定的一致性；同時(shí)，提供了開(kāi)發(fā)課程的工具和學(xué)習(xí)效果評(píng)估體系，盡可能準(zhǔn)確地確定不同角色、不同職責(zé)的每個(gè)學(xué)生的學(xué)習(xí)效果，為課程開(kāi)發(fā)者提供全面、翔實(shí)的學(xué)習(xí)效果反饋，幫助保密培訓(xùn)課程、資料的開(kāi)發(fā)者進(jìn)一步優(yōu)化教學(xué)培訓(xùn)過(guò)程。

1.2SP800-50

2003年10月NIST推出的SP800-50標(biāo)準(zhǔn)，它在SP800-16的基礎(chǔ)之上更加注重項(xiàng)目在實(shí)施過(guò)程中機(jī)構(gòu)資源的安全性，特別強(qiáng)調(diào)在IT安全意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目的整個(gè)生存周期中的4個(gè)關(guān)鍵步驟：（1）安全意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目的設(shè)計(jì)。做機(jī)構(gòu)范圍內(nèi)的需求評(píng)估，制定和核準(zhǔn)培訓(xùn)策略。為了支持機(jī)構(gòu)已經(jīng)設(shè)立的安全性培訓(xùn)目標(biāo)，這一策略性的計(jì)劃文檔還需確定所要實(shí)現(xiàn)的任務(wù)。（2）安全意識(shí)培養(yǎng)和培訓(xùn)材料的開(kāi)發(fā)。集中討論了可利用的培訓(xùn)資源、范圍、內(nèi)容以及培訓(xùn)材料的開(kāi)發(fā)。（3）項(xiàng)目實(shí)施。闡述安全意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目的有效溝通和實(shí)施，提出傳送安全意識(shí)培養(yǎng)和培訓(xùn)材料的可選方式（如基于Web、遠(yuǎn)程教育、視頻、網(wǎng)站等）。（4）項(xiàng)目實(shí)現(xiàn)之后。就保持項(xiàng)目的通用性和監(jiān)控其有效性的問(wèn)題給予指導(dǎo)，描述有效的反饋方式。SP800-50標(biāo)準(zhǔn)討論了用于管理安全培訓(xùn)項(xiàng)目中的集中式、部分分散式、完全分散式3種比較普遍的模型。（1）集中式。所用責(zé)任都集中于核心的權(quán)威人士（如IT安全項(xiàng)目經(jīng)理）。（2）部分分散式。培訓(xùn)方針和策略來(lái)自于核心的權(quán)威人士，但是實(shí)施的職責(zé)被分散。（3）完全分散式。只有方針的制訂屬于核心權(quán)威人士，而其他所有的任務(wù)均被委派給機(jī)構(gòu)。模型的選用應(yīng)基于項(xiàng)目的預(yù)算、資源分配、組織規(guī)模、任務(wù)的一致性以及整個(gè)組織的地理分布。

2NISTSP800-16的版本演變過(guò)程

1998年4月出版的SP800-16第一版首次提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型，并設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型。該模型按政府工作人員的職能將受訓(xùn)人員分為6種角色，即管理人員、采購(gòu)人員、設(shè)計(jì)與開(kāi)發(fā)人員、操作人員、檢查測(cè)評(píng)人員以及普通使用人員。模型針對(duì)這6種角色設(shè)計(jì)了3個(gè)基本的培訓(xùn)領(lǐng)域（法律和法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全），并為此設(shè)計(jì)了安全培訓(xùn)課程框架，提出了培訓(xùn)有效性的評(píng)估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓(xùn)職責(zé)，即對(duì)涉及信息安全培訓(xùn)的機(jī)構(gòu)領(lǐng)導(dǎo)、首席信息技術(shù)執(zhí)行官、高級(jí)機(jī)構(gòu)信息安全官、管理人員、培訓(xùn)設(shè)計(jì)專家、對(duì)信息安全負(fù)有重要責(zé)任的人員以及用戶等7類人員的職責(zé)劃分。二是在信息安全培訓(xùn)課程的學(xué)習(xí)層次上強(qiáng)調(diào)知識(shí)水平的連貫性。三是對(duì)第一版的基于角色的培訓(xùn)提出了一個(gè)教學(xué)設(shè)計(jì)模型，即針對(duì)政府人員的信息安全需求，依次進(jìn)行需求分析、課程設(shè)計(jì)、課程開(kāi)發(fā)、培訓(xùn)實(shí)踐和教學(xué)評(píng)估等五大環(huán)節(jié)，這使得信息安全的培訓(xùn)可以迭代改進(jìn)。2013年10月NIST了對(duì)SP800-16的第二次修訂版本草案，這次修訂中首次提出了網(wǎng)絡(luò)空間安全培訓(xùn)，因?yàn)槊绹?guó)2010年4月啟動(dòng)了《國(guó)家網(wǎng)絡(luò)空間安全教育計(jì)劃》（NationalInitiativeofCyberSecurityEducation，NICE），該計(jì)劃旨在通過(guò)促進(jìn)教育和培訓(xùn)來(lái)改善人的網(wǎng)絡(luò)行為、技能和知識(shí)，從而增強(qiáng)美國(guó)整體的網(wǎng)絡(luò)空間安全。這意味著美國(guó)政府已著手于將網(wǎng)絡(luò)空間安全上升到國(guó)家安全的戰(zhàn)略層面上來(lái)。2013年版的改動(dòng)有以下幾個(gè)方面：一是強(qiáng)調(diào)信息安全意識(shí)的培訓(xùn)應(yīng)當(dāng)在網(wǎng)絡(luò)空間的背景下進(jìn)行設(shè)計(jì)；二是在信息安全培訓(xùn)的目標(biāo)對(duì)象中加入了對(duì)重要信息技術(shù)和網(wǎng)絡(luò)空間安全負(fù)有責(zé)任的政府工作人員；三是對(duì)信息安全培訓(xùn)的評(píng)估體系進(jìn)行了細(xì)化，即明確提出了評(píng)估培訓(xùn)的4個(gè)目的。不到半年時(shí)間，NIST再次了SP800-16的第三次修訂草案，這個(gè)版本改動(dòng)較小，主要是在信息安全培訓(xùn)的組織責(zé)任中加入了網(wǎng)絡(luò)空間培訓(xùn)管理員/首席學(xué)習(xí)執(zhí)行官。其職責(zé)包括：一是確保培訓(xùn)教材針對(duì)具體人員進(jìn)行設(shè)計(jì)；二是確保培訓(xùn)教材對(duì)目標(biāo)人員的有效性；三是為信息安全培訓(xùn)提供有效的反饋信息；四是對(duì)信息安全培訓(xùn)教材進(jìn)行及時(shí)更新；五是重視培訓(xùn)效果的跟蹤和匯報(bào)。