網(wǎng)絡(luò)安全測評整改人員管理及培訓(xùn)

第一節(jié)服務(wù)人員培訓(xùn)必要性 2一、培訓(xùn)的重要性和作用 2二、培訓(xùn)的系統(tǒng)性 3三、培訓(xùn)的形式和方法 6第二節(jié)項(xiàng)目人員培訓(xùn)計(jì)劃 8一、培訓(xùn)對象 8二、培訓(xùn)方式 9三、初級等級測評師 9四、中級等級測評師 13五、高級等級測評師 16第三節(jié)網(wǎng)絡(luò)安全培訓(xùn)內(nèi)容 21一、網(wǎng)絡(luò)信息安全主要內(nèi)容 21二、良好的上網(wǎng)習(xí)慣 23三、基本網(wǎng)絡(luò)故障排查 25第四節(jié)安全教育與培訓(xùn) 27一、信息安全培訓(xùn)的對象 28二、信息安全培訓(xùn)的內(nèi)容 29三、信息安全培訓(xùn)的管理 30第五節(jié)對采購方人員安全管理培訓(xùn) 31一、員工錄用安全管理 31二、員工工作調(diào)動(dòng)的安全管理 32三、員工離職的安全管理 33四、安全崗位人員管理 34五、安全崗位人員的安全控制 37第六節(jié)第三方人員安全管理 39一、第三方人員短期訪問安全管理 39二、第三方人員長期訪問安全管理 40三、第三方人員訪問申請審批流程圖 42第七節(jié)網(wǎng)絡(luò)安全設(shè)備維護(hù)培訓(xùn) 43一、網(wǎng)絡(luò)安全的基本概念 43二、計(jì)算機(jī)網(wǎng)絡(luò)受攻擊的主要形式 44三、網(wǎng)絡(luò)維護(hù)及故障分析處理 46四、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對策措施 47第一節(jié)服務(wù)人員培訓(xùn)必要性從概念上講，培訓(xùn)是一種有組織的知識傳遞、技能傳遞、標(biāo)準(zhǔn)傳遞、信息傳遞、信念傳遞、管理訓(xùn)誡行為，讓員工通過一定的教育訓(xùn)練技術(shù)手段，達(dá)到預(yù)期的提高目標(biāo)。培訓(xùn)是對企業(yè)現(xiàn)有人力資源進(jìn)行有效開發(fā)，開發(fā)內(nèi)容包括對人員的智力、技能的開發(fā)，調(diào)動(dòng)人員的積極性增強(qiáng)組織凝聚力，為企業(yè)未來發(fā)展階段合理人力資源配置提供基礎(chǔ)支撐作用。一、培訓(xùn)的重要性和作用發(fā)達(dá)國家，大多數(shù)企業(yè)都有一套嚴(yán)格的培訓(xùn)措施，并為此花很多錢，為什么要這樣做呢？因?yàn)榕嘤?xùn)就是生產(chǎn)力。美國權(quán)威機(jī)構(gòu)監(jiān)測，培訓(xùn)的回報(bào)率一般在33%左右。比如，摩托羅拉公司面向全體雇員提供每年至少40小時(shí)培訓(xùn)，調(diào)查表明：摩托羅拉公司每1美元的培訓(xùn)費(fèi)可以在3年以內(nèi)實(shí)現(xiàn)40美元的生產(chǎn)效益。世界上最大的包裹投遞公司UPS認(rèn)為公司最有價(jià)值的資產(chǎn)是就是忠誠能干的員工，員工的工作承諾可以通過兩長期存在的公司政策而實(shí)現(xiàn)，其中之一便是培訓(xùn)。所以通過培訓(xùn)不但能增強(qiáng)人員的技能和水平，還可以增強(qiáng)員工對企業(yè)的安全感和歸屬感，培養(yǎng)更強(qiáng)的忠誠度。同時(shí)，培訓(xùn)一方面是企業(yè)行為，另一方面國家有明文規(guī)定和要求。在《中華人民共和國勞動(dòng)法》第八章專門就職業(yè)培訓(xùn)進(jìn)行了單獨(dú)章節(jié)的要求，第六十八條明確指出：用人單位應(yīng)當(dāng)建立職業(yè)培訓(xùn)制度，按照國家規(guī)定提取和使用職業(yè)培訓(xùn)經(jīng)費(fèi)，根據(jù)本單位實(shí)際，有計(jì)劃地對勞動(dòng)者進(jìn)行職業(yè)培訓(xùn)。培訓(xùn)的作用至少有以下三點(diǎn)：一是通過培訓(xùn)改善管理者或員工的工作方法提高工作能力，實(shí)現(xiàn)快出人才，多出人才，出好人才的良性發(fā)展局面；二是通過培訓(xùn)調(diào)整在發(fā)展中人與崗位職責(zé)與要求之間的差距或矛盾，實(shí)現(xiàn)員工與崗位之間的良性互動(dòng)與成長；三是通過培訓(xùn)是提高員工積極性及傳遞、培育組織文化的有力手段。二、培訓(xùn)的系統(tǒng)性隨著企業(yè)及全社會對培訓(xùn)重要性的認(rèn)同，各類學(xué)歷教育、計(jì)算機(jī)應(yīng)用及語言等技能培訓(xùn)、管理培訓(xùn)及生產(chǎn)培訓(xùn)的需求市場越來越大，各類培訓(xùn)機(jī)構(gòu)如雨后春筍般生機(jī)勃勃地成長著。但經(jīng)常聽見企業(yè)管理者抱怨：“員工積極性不高，不知道怎么辦”，“培訓(xùn)花了不少錢，效果一般”。事實(shí)上，懂得培訓(xùn)并善于培訓(xùn)的管理者并不多，在一些人的概念中，請一些知名教授學(xué)者來企業(yè)講課或去參加社會各種價(jià)格不菲的專題講座，這就是培訓(xùn)了。企業(yè)培訓(xùn)是人力資源投資中重要的一項(xiàng)內(nèi)容，最終目的是提高員工技能、素質(zhì)、觀念，進(jìn)而提高業(yè)績水平改善工作態(tài)度，為企業(yè)創(chuàng)造更多價(jià)值。但培訓(xùn)操作不當(dāng)，不但達(dá)不到提高員工素質(zhì)的基本要求，而且極大地浪費(fèi)人力資源、時(shí)間、金錢等。由此看來，培訓(xùn)是綜合性很強(qiáng)的系統(tǒng)工作，如果沒有做好前期培訓(xùn)內(nèi)容與企業(yè)經(jīng)營目標(biāo)及需求及培訓(xùn)對象的匹配工作，是很難保證培訓(xùn)效果的，就會出現(xiàn)培訓(xùn)時(shí)講得熱鬧，培訓(xùn)后效果甚微的現(xiàn)象。在培訓(xùn)開始之前，首先要做調(diào)研。一是看看公司管理者與員工最希望開展哪些方面的培訓(xùn)或是存在哪些有待解決的問題，二是選擇培訓(xùn)講師或培訓(xùn)機(jī)構(gòu)。對于高層管理者需要提高管理方面的知識，而你卻讓他們參與技能培訓(xùn)就有些不妥了。員工業(yè)務(wù)流程不太熟悉，那么我們就可以選擇內(nèi)部培訓(xùn)而不需請外面的老師來做營銷培訓(xùn)。二是調(diào)研的基礎(chǔ)上要制定培訓(xùn)計(jì)劃。通過上面的調(diào)查和分析，將會了解企業(yè)目前最需要給員工培訓(xùn)哪方面的知識，針對現(xiàn)有的問題制定針對性的培訓(xùn)計(jì)劃。三是關(guān)注培訓(xùn)中參與學(xué)習(xí)者的反應(yīng)，并對學(xué)習(xí)者的效果進(jìn)行考評。如果是技能性培訓(xùn)，可以通過考試來檢驗(yàn)；如果是營銷技巧的培訓(xùn)，只能借助業(yè)績的變化來觀測。及時(shí)進(jìn)行培訓(xùn)的總結(jié)，積極為以后培訓(xùn)工作的有效開展提供經(jīng)驗(yàn)。所以科學(xué)系統(tǒng)的培訓(xùn)既能節(jié)省企業(yè)的人力、物力、財(cái)力和時(shí)間，還能達(dá)到促進(jìn)管理水平提高增進(jìn)效益的目的。培訓(xùn)方式的選擇在拼產(chǎn)品、拼品牌、拼展廳、拼廣告、拼價(jià)格、拼關(guān)系之后，不少企業(yè)發(fā)現(xiàn)員工素質(zhì)決定了這些拼殺武器的效果，于是大家都開始請講師對自己的企業(yè)員工進(jìn)行培訓(xùn)，我們要怎么做才能提高培訓(xùn)效果呢？培訓(xùn)的效果取決于培訓(xùn)的內(nèi)容及培訓(xùn)方式的綜合考慮與選擇，它與企業(yè)的經(jīng)營目標(biāo)、培訓(xùn)對象、實(shí)際存在問題、企業(yè)需求等有關(guān)?？紤]好這幾方面之間的要求，培訓(xùn)的效果就有了很好的保證。如果培訓(xùn)與以下四個(gè)要素緊密相連，培訓(xùn)的效果就會得到保障。一是企業(yè)培訓(xùn)要充分考慮企業(yè)的經(jīng)營目標(biāo)。二是將培訓(xùn)員工的培訓(xùn)目的與培訓(xùn)內(nèi)容有機(jī)結(jié)合。比如面對高層管理者進(jìn)行培訓(xùn)時(shí)，主要進(jìn)行經(jīng)營觀念和思維的更新和提升，對于中層管理者進(jìn)行培訓(xùn)時(shí)主要著重強(qiáng)調(diào)在工作如何授權(quán)、執(zhí)行力及溝通技巧等的培訓(xùn)；對于基層員工特別是生產(chǎn)工人著重進(jìn)行質(zhì)量管理理及操作技能的培訓(xùn)；對于市場營銷人員重點(diǎn)進(jìn)行營銷技巧等相關(guān)業(yè)務(wù)知識的培訓(xùn)。三是將培訓(xùn)的趣味性與培訓(xùn)者的工作實(shí)際中的實(shí)用性相結(jié)合。四是注意培訓(xùn)計(jì)劃的準(zhǔn)備工作，好的培訓(xùn)計(jì)劃是支持以上三點(diǎn)實(shí)現(xiàn)的的關(guān)鍵。三、培訓(xùn)的形式和方法培訓(xùn)從培訓(xùn)老師身份上分類，可分為內(nèi)部培訓(xùn)和外部培訓(xùn)；從培訓(xùn)形式講，又可有八種培訓(xùn)方法，下面做一簡述：一是講授法：屬于傳統(tǒng)的培訓(xùn)方式，優(yōu)點(diǎn)是運(yùn)用起來方便，便于培訓(xùn)者控制整個(gè)過程。缺點(diǎn)是單向信息傳遞，反饋效果差。常被用于一些理念性知識的培訓(xùn)。二是視聽技術(shù)法：通過現(xiàn)代視聽技術(shù)（如投影儀、DVD、錄像機(jī)等工具），對員工進(jìn)行培訓(xùn)。優(yōu)點(diǎn)是運(yùn)用視覺與聽覺的感知方式，直觀鮮明。但學(xué)員的反饋與實(shí)踐較差，且制作和購買的成本高，內(nèi)容易過時(shí)。它多用于企業(yè)概況、傳授技能等培訓(xùn)內(nèi)容，也可用于概念性知識的培訓(xùn)。三是討論法：按照費(fèi)用與操作的復(fù)雜程序又可分成一般小組討論與研討會兩種方式。研討會多以專題演講為主，中途或會后允許學(xué)員與演講者進(jìn)行交流溝通。優(yōu)點(diǎn)是信息可以多向傳遞，與講授法相比反饋效果較好，但費(fèi)用較高。而小組討論法的特點(diǎn)是信息交流時(shí)方式為多向傳遞，學(xué)員的參與性高，費(fèi)用較低。多用于鞏固知識，訓(xùn)練學(xué)員分析、解決問題的能力與人際交往的能力，但運(yùn)用時(shí)對培訓(xùn)教師的要求較高。四是案例研討法：通過向培訓(xùn)對象提供相關(guān)的背景資料，讓其尋找合適的解決方法。這一方式使用費(fèi)用低，反饋效果好，可以有效訓(xùn)練學(xué)員分析解決問題的能力。另外，近年的培訓(xùn)研究表明，案例、討論的方式也可用于知識類的培訓(xùn)，且效果更佳。五是角色扮演法：授訓(xùn)者在培訓(xùn)教師設(shè)計(jì)的工作情況中扮演其中角色，其他學(xué)員與培訓(xùn)教師在學(xué)員表演后作適當(dāng)?shù)狞c(diǎn)評。由于信息傳遞多向化，反饋效果好、實(shí)踐性強(qiáng)、費(fèi)用低，因而多用于人際關(guān)系能力的訓(xùn)練。六是自學(xué)法：這一方式較適合于一般理念性知識的學(xué)習(xí)，由于成人學(xué)習(xí)具有偏重經(jīng)驗(yàn)與理解的特性，讓具有一定學(xué)習(xí)能力與自覺的學(xué)員自學(xué)是既經(jīng)濟(jì)又實(shí)用的方法，但此方法存在監(jiān)督性差的缺陷。七是互動(dòng)小組法：主要適用于管理人員的人際關(guān)系與溝通訓(xùn)練。讓學(xué)員在培訓(xùn)活動(dòng)中的親身體驗(yàn)來提高他們處理人際關(guān)系的能力。其優(yōu)點(diǎn)是可明顯提高人際關(guān)系與溝通的能力，但其效果在很大程度上依賴于培訓(xùn)教師的水平。八是網(wǎng)絡(luò)培訓(xùn)法：是一種新型的計(jì)算機(jī)網(wǎng)絡(luò)信息培訓(xùn)方式，投入較大。但由于使用靈活，符合分散式學(xué)習(xí)的新趨勢，節(jié)省學(xué)員集中培訓(xùn)的時(shí)間與費(fèi)用。這種方式信息量大，新知識、新觀念傳遞優(yōu)勢明顯，更適合成人學(xué)習(xí)。是培訓(xùn)發(fā)展的一個(gè)新趨勢。第二節(jié)項(xiàng)目人員培訓(xùn)計(jì)劃一、培訓(xùn)對象信息安全等級測評師培訓(xùn)是針對等級測評機(jī)構(gòu)中的測評人員進(jìn)行的培訓(xùn)，初級、中級和高等級測評師與等級測評機(jī)構(gòu)中的測評員、項(xiàng)目負(fù)責(zé)人（或項(xiàng)目組長）和技術(shù)負(fù)責(zé)人（或技術(shù)總監(jiān)）三個(gè)工作崗位相對應(yīng)，通過初級、中級和高級等級測評師培訓(xùn)和考試后，頒發(fā)相應(yīng)的等級測評師證書，等級測評人員需持等級測評師證上崗。1.初級等級測評師初級等級測評師的培訓(xùn)對象是網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、安全管理和工具測試人員等。報(bào)考人員需要具備信息安全基礎(chǔ)知識和信息安全相關(guān)工作經(jīng)驗(yàn),熟悉TCP/IP網(wǎng)絡(luò)協(xié)議，了解標(biāo)識與鑒別、訪問控制等安全技術(shù)及原理，熟悉主流服務(wù)器操作系統(tǒng)、路由器、交換機(jī)、防火墻等設(shè)備的操作與配置。2.中級等級測評師中級等級測評師的培訓(xùn)對象是項(xiàng)目負(fù)責(zé)人（或項(xiàng)目組長）。報(bào)考人員需要具備信息安全理論基礎(chǔ)，對系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和攻擊測試等有深入了解,作為項(xiàng)目負(fù)責(zé)人組織實(shí)施過信息系統(tǒng)安全測評項(xiàng)目，熟悉國內(nèi)外信息安全相關(guān)產(chǎn)品特性，具有較豐富的測評實(shí)踐經(jīng)驗(yàn)、良好的溝通協(xié)作和文字表達(dá)能力。3.高級等級測評師高級等級測評師的培訓(xùn)對象是技術(shù)負(fù)責(zé)人（或技術(shù)總監(jiān)）。報(bào)考人員需要具備信息安全理論基礎(chǔ)，具有信息安全理論、信息安全技術(shù)的研究和實(shí)踐經(jīng)驗(yàn)，從事過信息安全方面的測評、規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維等工作。熟悉信息安全標(biāo)準(zhǔn)和產(chǎn)品特性，熟悉信息安全技術(shù)發(fā)展動(dòng)向。二、培訓(xùn)方式評估中心組織對報(bào)考初、中和高級等級測評師考試的人員進(jìn)行專門的培訓(xùn)，通過培訓(xùn)后方可參加相應(yīng)的等級測評師考試。人員培訓(xùn)采用網(wǎng)絡(luò)培訓(xùn)和集中培訓(xùn)相結(jié)合的方式。網(wǎng)絡(luò)培訓(xùn)要求學(xué)員通過互聯(lián)網(wǎng)登錄培訓(xùn)系統(tǒng)在線接受培訓(xùn)。網(wǎng)上培訓(xùn)完成后，參加集中培訓(xùn)。集中培訓(xùn)以重點(diǎn)內(nèi)容、復(fù)習(xí)、現(xiàn)場答疑和考前輔導(dǎo)為主。三、初級等級測評師1.培訓(xùn)目標(biāo)（1）了解信息安全等級保護(hù)的相關(guān)政策、標(biāo)準(zhǔn)；（2）掌握等級測評方法，熟悉網(wǎng)絡(luò)、主機(jī)、應(yīng)用、安全管理測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；（3）熟悉信息安全產(chǎn)品分類，了解其功能、特點(diǎn)，熟悉主流產(chǎn)品安全配置方法；（4）掌握測評工具的操作方法，能夠合理設(shè)計(jì)測試用例獲取測試數(shù)據(jù)；（5）能夠按照報(bào)告編制要求整理測評數(shù)據(jù)，開展等級測評工作。2.培訓(xùn)內(nèi)容（1）信息安全等級保護(hù)政策①信息安全等級保護(hù)制度的主要內(nèi)容目標(biāo)要求：了解等級保護(hù)基本政策，包括《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知、關(guān)于印發(fā)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》的通知、關(guān)于印送《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》等。②信息安全等級保護(hù)政策體系目標(biāo)要求：了解等級保護(hù)基本政策體系以及相關(guān)文件的作用。③等級保護(hù)工作的具體內(nèi)容和要求目標(biāo)要求：了解信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查各階段具體工作內(nèi)容和要求。（2）等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用①等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)目標(biāo)要求：了解等級保護(hù)相關(guān)標(biāo)準(zhǔn)的定位、主要內(nèi)容等。②信息安全等級保護(hù)概述目標(biāo)要求：了解等級保護(hù)工作過程及標(biāo)準(zhǔn)應(yīng)用。（3）網(wǎng)絡(luò)安全測評①網(wǎng)絡(luò)全局安全測評目標(biāo)要求：能夠進(jìn)行安全體系架構(gòu)分析，熟悉安全區(qū)域劃分、邊界訪問控制、入侵檢測和惡意代碼防范等實(shí)現(xiàn)機(jī)制。②網(wǎng)絡(luò)設(shè)備安全測評目標(biāo)要求：掌握主流交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的安全配置方法，熟悉設(shè)備自身安全防護(hù)、訪問控制、身份認(rèn)證和安全審計(jì)等安全實(shí)現(xiàn)方法。③安全設(shè)備安全測評目標(biāo)要求：掌握主流防火墻、入侵檢測系統(tǒng)、安全審計(jì)系統(tǒng)、身份認(rèn)證系統(tǒng)等安全設(shè)備的工作原理，熟悉設(shè)備自身安全防護(hù)、訪問控制、身份認(rèn)證和安全審計(jì)等安全實(shí)現(xiàn)方法。（4）主機(jī)安全測評①Windows操作系統(tǒng)安全測評目標(biāo)要求：熟悉WINDOWS操作系統(tǒng)的安全功能及其原理，掌握系統(tǒng)安全配置方法及最佳安全實(shí)踐，掌握WINDOWS操作系統(tǒng)的安全等級測評內(nèi)容，熟悉Windows操作系統(tǒng)自身安全防護(hù)、訪問控制、身份認(rèn)證和安全審計(jì)等安全實(shí)現(xiàn)方法。②類UNIX/Linux操作系統(tǒng)安全測評目標(biāo)要求：熟悉UNIX/LINUX操作系統(tǒng)的安全功能及其原理，掌握系統(tǒng)帳號管理、訪問控制、資源和網(wǎng)絡(luò)安全管理等的安全配置及最佳安全實(shí)踐。掌握UNIX/LINUX操作系統(tǒng)的安全等級測評內(nèi)容，熟悉類UNIX/Linux系統(tǒng)自身安全防護(hù)、訪問控制、身份認(rèn)證和安全審計(jì)等安全實(shí)現(xiàn)方法。（5）應(yīng)用和數(shù)據(jù)安全測評①應(yīng)用系統(tǒng)安全測評目標(biāo)要求：熟悉典型的Web服務(wù)器軟件、中間件軟件等主流商用應(yīng)用系統(tǒng)的安全測評方法。理解并掌握應(yīng)用安全包括的主要內(nèi)容和測評方法。②數(shù)據(jù)庫安全測評目標(biāo)要求：熟悉數(shù)據(jù)庫的基本安全機(jī)制、安全管理，熟悉主流數(shù)據(jù)庫安全基本配置，掌握數(shù)據(jù)庫安全測評內(nèi)容和方法。③數(shù)據(jù)安全測評目標(biāo)要求：熟悉數(shù)據(jù)傳輸、存儲、備份的安全實(shí)現(xiàn)技術(shù)和原理，掌握數(shù)據(jù)安全測評內(nèi)容和方法。（6）安全管理測評①安全管理測評過程目標(biāo)要求：掌握安全管理測評的基本流程和方法，能夠合理運(yùn)用管理測評方法對安全管理內(nèi)容進(jìn)行測評。②安全管理測評方法與技巧目標(biāo)要求：熟悉安全管理測評的內(nèi)容和方法，能夠根據(jù)實(shí)際情況，合理安排資源，有效獲取安全管理測評各項(xiàng)證據(jù)。③物理安全測評過程目標(biāo)要求：掌握物理安全測評的基本流程和方法，能夠合理運(yùn)用物理測評方法對物理安全內(nèi)容進(jìn)行測評。（7）工具測試方法①工具測試方法目標(biāo)要求：熟悉漏洞基本知識、熟悉網(wǎng)絡(luò)安全漏洞掃描器基本原理、熟練操作網(wǎng)絡(luò)安全漏洞掃描器、測試點(diǎn)選取，能夠?qū)呙杞Y(jié)果進(jìn)行分析。②滲透測試方法目標(biāo)要求：熟悉滲透性測試的一般流程、熟悉黑客攻擊的常用工具和技術(shù)、熟悉防范和檢測黑客攻擊的工具和技術(shù)。四、中級等級測評師1.培訓(xùn)目標(biāo)（1）熟悉信息安全等級保護(hù)相關(guān)政策、法規(guī)；正確理解信息安全等級保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容，能夠跟蹤國內(nèi)、國際信息安全相關(guān)標(biāo)準(zhǔn)的發(fā)展；（2）熟悉信息安全等級測評方法，并熟悉測評指導(dǎo)書的開發(fā)、版本控制和評審的流程和方法；（3）熟悉測評項(xiàng)目的工作流程和質(zhì)量管理的方法；（4）能夠根據(jù)信息系統(tǒng)的特點(diǎn)，編制測評方案，確定測評對象、測評指標(biāo)和測評方法；（5）能夠依據(jù)測評報(bào)告模板要求編制測評報(bào)告，能夠整體把握測評報(bào)告結(jié)論的客觀性和準(zhǔn)確性；（6）了解等級保護(hù)各個(gè)工作環(huán)節(jié)的相關(guān)要求。能夠針對測評中發(fā)現(xiàn)的問題，提出合理化的整改建議。2.培訓(xùn)內(nèi)容（1）信息安全等級保護(hù)政策①信息安全等級保護(hù)制度的主要內(nèi)容目標(biāo)要求：理解等級保護(hù)基本政策，包括《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知、關(guān)于印發(fā)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》的通知、關(guān)于印送《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》的函、《關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》等。②信息安全等級保護(hù)政策體系目標(biāo)要求：理解等級保護(hù)基本政策體系以及相關(guān)文件的作用。③等級保護(hù)工作的具體內(nèi)容和要求目標(biāo)要求：理解信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查各階段具體工作內(nèi)容和要求。（2）等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用①等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)目標(biāo)要求：理解等級保護(hù)相關(guān)標(biāo)準(zhǔn)的定位、主要內(nèi)容等。②信息安全等級保護(hù)概述目標(biāo)要求：理解等級保護(hù)工作過程及標(biāo)準(zhǔn)應(yīng)用。（3）信息系統(tǒng)安全等級保護(hù)基本要求①基本要求體系結(jié)構(gòu)目標(biāo)要求：熟悉標(biāo)準(zhǔn)結(jié)構(gòu)、編寫背景、過程。②基本要求主要內(nèi)容目標(biāo)要求：熟悉不同級別系統(tǒng)之間的差別、熟悉各級安全要求內(nèi)容。（4）信息系統(tǒng)安全等級保護(hù)測評方法①等級測評方法目標(biāo)要求：掌握單元測評方法、整體測評方法，能夠熟練運(yùn)用單元測評方法和整體測評方法進(jìn)行測評。②能夠開發(fā)測評指導(dǎo)書目標(biāo)要求：掌握測評指導(dǎo)書編制方法，能夠根據(jù)測評指導(dǎo)書編制方法正確編制測評指導(dǎo)書。③能夠設(shè)計(jì)測評方案目標(biāo)要求：掌握測評方案編制方法，能夠根據(jù)信息系統(tǒng)的特點(diǎn)，正確編制測評方案，確定測評對象、測評指標(biāo)、測評方法，合理選擇測試點(diǎn)。④能夠編制、審核測評報(bào)告目標(biāo)要求：掌握并熟練運(yùn)用測評報(bào)告的編制方法，能夠根據(jù)測評報(bào)告模版要求熟練編制測評報(bào)告，能夠整體把握測評報(bào)告結(jié)論的客觀性和準(zhǔn)確性。（5）信息系統(tǒng)安全等級保護(hù)測評實(shí)施①等級測評工作流程目標(biāo)要求：熟悉等級測評的工作要求，掌握等級測評的基本工作過程和方法，能夠根據(jù)等級測評的工作要求編制測評項(xiàng)目管理流程，并進(jìn)行測評項(xiàng)目的管理。②等級測評實(shí)施主要內(nèi)容目標(biāo)要求：熟悉等級測評各個(gè)工作環(huán)節(jié)的主要內(nèi)容，正確理解并熟練掌握單元測評各項(xiàng)要求內(nèi)容、能夠熟練運(yùn)用標(biāo)準(zhǔn)指導(dǎo)測評過程。（6）項(xiàng)目管理目標(biāo)要求：熟悉項(xiàng)目管理的主要內(nèi)容和關(guān)鍵環(huán)節(jié)。掌握項(xiàng)目質(zhì)量管理、進(jìn)度管理、風(fēng)險(xiǎn)管理方法。五、高級等級測評師1.培訓(xùn)目標(biāo)（1）熟悉和跟蹤國內(nèi)、外信息安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展；（2）對信息安全等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)有較為深入的理解；（3）熟悉等級保護(hù)工作的全過程，熟悉定級、等級測評、建設(shè)整改各個(gè)工作環(huán)節(jié)的要求；（4）熟悉質(zhì)量體系和制度建設(shè)的主要內(nèi)容和方法。（5）能夠把握信息安全技術(shù)的發(fā)展方向，引導(dǎo)本測評機(jī)構(gòu)人員研究、探索和實(shí)踐信息安全測評技術(shù)和方法。2.培訓(xùn)內(nèi)容（1）信息安全等級保護(hù)政策①信息安全等級保護(hù)制度的主要內(nèi)容目標(biāo)要求：理解等級保護(hù)基本政策，包括《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知、關(guān)于印發(fā)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》的通知、關(guān)于印送《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》的函、《關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》等。②信息安全等級保護(hù)政策體系目標(biāo)要求：理解等級保護(hù)基本政策體系以及相關(guān)文件的作用。③等級保護(hù)工作的具體內(nèi)容和要求目標(biāo)要求：理解信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查各階段具體工作內(nèi)容和要求。（2）等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用①等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)目標(biāo)要求：理解等級保護(hù)相關(guān)標(biāo)準(zhǔn)的定位、主要內(nèi)容等。②信息安全等級保護(hù)概述目標(biāo)要求：理解等級保護(hù)工作過程及標(biāo)準(zhǔn)應(yīng)用。（3）信息系統(tǒng)測評基本概念與方法目標(biāo)要求：掌握系統(tǒng)測評的原理和方法以及測評過程。（4）信息安全技術(shù)發(fā)展趨勢目標(biāo)要求：理解信息安全的基本原理、技術(shù)及一些最新研究成果。掌握網(wǎng)絡(luò)與信息安全的理論基礎(chǔ)和發(fā)展趨勢。（5）我國信息安全標(biāo)準(zhǔn)體系綜述目標(biāo)要求：熟悉我國信息安全標(biāo)準(zhǔn)體系，熟悉主要標(biāo)準(zhǔn)的定位、作用及其主要內(nèi)容。（6）國外信息系統(tǒng)安全保護(hù)政策和標(biāo)準(zhǔn)目標(biāo)要求：跟蹤、了解國外信息安全技術(shù)、標(biāo)準(zhǔn)的發(fā)展。熟悉美國IATF、NIST系列標(biāo)準(zhǔn)，熟悉800系列中53、53A、37等主要標(biāo)準(zhǔn)的內(nèi)容。（7）測評機(jī)構(gòu)的質(zhì)量體系建設(shè)目標(biāo)要求：熟悉質(zhì)量體系和制度建設(shè)的主要內(nèi)容，通過規(guī)范的制度和流程確保等級測評工作順利開展。培訓(xùn)課程安排級別培訓(xùn)課程課程設(shè)置目的初級信息安全等級保護(hù)政策了解信息安全等級保護(hù)的相關(guān)政策、標(biāo)準(zhǔn)。等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用了解信息安全等級保護(hù)的相關(guān)政策、標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全測評熟悉網(wǎng)絡(luò)測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；能夠按照報(bào)告編制要求整理測評數(shù)據(jù)，開展等級測評工作。主機(jī)安全測評熟悉主機(jī)測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；能夠按照報(bào)告編制要求整理測評數(shù)據(jù)，開展等級測評工作。應(yīng)用和數(shù)據(jù)安全測評熟悉應(yīng)用和數(shù)據(jù)庫安全測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；能夠按照報(bào)告編制要求整理測評數(shù)據(jù)，開展等級測評工作。安全管理和物理測評熟悉安全管理和物理測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；能夠按照報(bào)告編制要求整理測評數(shù)據(jù)，開展等級測評工作。工具測試方法掌握測評工具的操作方法，能夠合理設(shè)計(jì)測試用例獲取所需測試數(shù)據(jù)。中級信息安全等級保護(hù)政策熟悉信息安全等級保護(hù)相關(guān)政策、法規(guī)。等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用正確理解信息安全等級保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容。信息系統(tǒng)安全等級保護(hù)基本要求熟悉標(biāo)準(zhǔn)結(jié)構(gòu)，熟悉不同級別系統(tǒng)之間的差別、熟悉各級安全要求內(nèi)容。信息系統(tǒng)安全等級保護(hù)測評方法熟悉信息安全等級測評方法，能夠獨(dú)立開發(fā)測評指導(dǎo)書，并熟悉測評指導(dǎo)書的開發(fā)、版本控制和評審流程；能夠根據(jù)信息系統(tǒng)的特點(diǎn)，編制測評方案，確定測評對象、測評指標(biāo)和測評方法；能夠依據(jù)測評報(bào)告模板要求編制測評報(bào)告，能夠整體把握測評報(bào)告結(jié)論的客觀性和準(zhǔn)確性。信息系統(tǒng)安全等級保護(hù)測評實(shí)施熟悉等級測評項(xiàng)目的工作流程和質(zhì)量管理的方法。項(xiàng)目管理熟悉項(xiàng)目管理的主要內(nèi)容和關(guān)鍵環(huán)節(jié)。掌握項(xiàng)目質(zhì)量管理、進(jìn)度管理、風(fēng)險(xiǎn)管理方法。高級信息安全等級保護(hù)政策熟悉信息安全等級保護(hù)相關(guān)政策、法規(guī)。等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用正確理解信息安全等級保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容。美國信息系統(tǒng)安全保護(hù)政策和標(biāo)準(zhǔn)熟悉和跟蹤國外信息安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展。我國信息安全標(biāo)準(zhǔn)體系熟悉信息安全等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)。信息安全技術(shù)發(fā)展趨勢掌握網(wǎng)絡(luò)與信息安全的理論基礎(chǔ)和發(fā)展趨勢。信息系統(tǒng)測評原理與方法掌握系統(tǒng)測評的原理和方法以及測評過程。測評機(jī)構(gòu)的質(zhì)量體系建設(shè)熟悉質(zhì)量體系和制度建設(shè)的主要內(nèi)容。第三節(jié)網(wǎng)絡(luò)安全培訓(xùn)內(nèi)容一、網(wǎng)絡(luò)信息安全主要內(nèi)容1.網(wǎng)絡(luò)硬件設(shè)備和線路的安全問題（1）構(gòu)成網(wǎng)絡(luò)的各種硬件實(shí)體、通信線路等要經(jīng)受諸如斷電、雷擊、火災(zāi)、地震等物理因素上的考驗(yàn)，造成網(wǎng)絡(luò)設(shè)備損毀或停止工作而引起網(wǎng)絡(luò)中斷。（2）非法入侵，不法分子通過技術(shù)滲透或利用物理線路侵入網(wǎng)絡(luò)，非法使用、破壞或獲取數(shù)據(jù)或系統(tǒng)資源，（3）線路干擾，通信線路會受到各種情況的影響，產(chǎn)生線路干擾，影響數(shù)據(jù)傳輸速率，產(chǎn)生通信錯(cuò)誤，比如，網(wǎng)線如果靠近變壓器附近，就會嚴(yán)重影響正常通信。（4）病毒入侵，計(jì)算機(jī)病毒能夠以多種方式侵入計(jì)算機(jī)網(wǎng)絡(luò)，并不斷在網(wǎng)絡(luò)中傳播，產(chǎn)生很大的破壞，嚴(yán)重的可使整個(gè)網(wǎng)絡(luò)癱瘓或崩潰。（5）意外原因，包括設(shè)備突然出現(xiàn)故障，或者遭到人為破壞，等等。（6）黑客攻擊，黑客采用各種手段，對網(wǎng)絡(luò)及其計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊,侵占系統(tǒng)資源或?qū)W(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備進(jìn)行破壞，竊取或破壞數(shù)據(jù)和信息。2.網(wǎng)絡(luò)系統(tǒng)和軟件的安全問題網(wǎng)絡(luò)軟件的漏洞及缺陷被利用，使網(wǎng)絡(luò)受到入侵和破壞，網(wǎng)絡(luò)軟件安全功能不健全或被安裝了特洛伊木門軟件，未對用戶進(jìn)行分類和標(biāo)識，使數(shù)據(jù)的存取未受限制和控制，沒有正確的安全策略和安全機(jī)制，缺乏先進(jìn)的安全工具和管理手段3.環(huán)境的安全因素地震、火災(zāi)、水災(zāi)、風(fēng)災(zāi)等自然災(zāi)害或掉電、停電等事故，造成網(wǎng)絡(luò)設(shè)備損毀，影響網(wǎng)絡(luò)正常運(yùn)行。4.網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)使用人的安全意識問題保密觀念不強(qiáng)或不懂保密規(guī)則，隨便泄露機(jī)密。例如：VPN賬號泄露，業(yè)務(wù)不熟練，因操作失誤導(dǎo)致文件錯(cuò)誤或因未遵守操作規(guī)程而造成泄密，因規(guī)章制度不健全造成設(shè)備損毀，擔(dān)任系統(tǒng)操作的人員越權(quán)獲取或修改信息等。二、良好的上網(wǎng)習(xí)慣1.預(yù)防第一瀏覽器、即時(shí)聊天工具和電子郵件是互聯(lián)網(wǎng)最基礎(chǔ)的應(yīng)用，從安全的角度說，瀏覽器則是最重要的部分。有統(tǒng)計(jì)數(shù)據(jù)說明，自箭超過90%的然芎未馬、病毒等惡意程序是通過網(wǎng)頁傳播的，所以，為抵御各種令人防不勝防的病毒、木馬和惡薏軟件，首先要做好系統(tǒng)安全防護(hù)，安裝360安全衛(wèi)士、金山衛(wèi)士、qq電腦管家等安至軟件，保護(hù)瀏覽器和系統(tǒng)文件，及時(shí)修復(fù)系統(tǒng)漏洞，這是安全使用網(wǎng)絡(luò)的第一步。2.安裝殺毒軟件對系統(tǒng)進(jìn)行保護(hù)安裝殺毒軟件并檢查升級，公司下發(fā)的計(jì)算機(jī)都預(yù)先安裝了條毒軟件，在平時(shí)的使用中，要經(jīng)常檢查荼毒軟件的工作情沉，及時(shí)并級病毒庫，定期全盤掃描整個(gè)系統(tǒng)，檢測是否感染病毒，最好成為個(gè)人的使用習(xí)慣。3.不使用BT等下載工具，保障網(wǎng)絡(luò)帶寬BT被國內(nèi)網(wǎng)友稱為“變態(tài)下載”，是一種多點(diǎn)共享協(xié)議軟件，是專門為大容量文件的共享而設(shè)計(jì)，由美國加州一名的程序員開發(fā)出來。首憲在上傳者端把一個(gè)文件分成了很多部分，用戶甲隨機(jī)下載了其中的一些部分，而用戶乙則隨機(jī)下載了另外一些部分。這樣甲的BT就會根據(jù)情況(根據(jù)與不同電腦之間的網(wǎng)絡(luò)連接速度自動(dòng)選擇最快的一端）到乙的電腦去拿乙已經(jīng)下載好的部分，向樣乙的BT就會根據(jù)情況到甲的電腦上去拿甲已經(jīng)下載好的部分。也就是說每個(gè)用戶在下載的同時(shí)，也作為源在上傳，大家在用BT下載的同時(shí)也在大量上傳，并且下載完后如果不手動(dòng)停止還會不斷的上傳，從而不停的產(chǎn)生流量，表現(xiàn)得最突出的就是流量的急劇增加。造成網(wǎng)絡(luò)的開銷很大，嚴(yán)重影響的局域網(wǎng)其他用戶的使用，容易造成網(wǎng)絡(luò)癱瘓。此外，因?yàn)锽T下載對硬盤進(jìn)行反復(fù)讀寫，容易使硬盤產(chǎn)生高溫，直接影響硬盤的壽命。并且當(dāng)下載人數(shù)越多，同一時(shí)間讀取你的硬盤的人亦越多，硬盤大量進(jìn)行重復(fù)讀寫的動(dòng)作，加速消耗。同時(shí)因?yàn)橄螺d太多東西，使扇區(qū)的編排混亂，讀寫數(shù)據(jù)時(shí)要在不同扇區(qū)中讀取，增加讀寫次數(shù)，加速硬盤消耗，很容易造成硬盤損壞，因此不要在局域網(wǎng)內(nèi)使用BT。4.可執(zhí)行文件防毒絕大多數(shù)的計(jì)算機(jī)病毒通常都以文件型病毒的形式存在，所謂文件型病毒是指此類病毒寄生在司執(zhí)行文件上，并依靠可執(zhí)行文件來傳播?？蓤?zhí)存文陣是指后綴名為.exe、.com、.bat、.vbs、.sys等可政置接宙藻作系統(tǒng)加載栓序運(yùn)行的文件。我們在日常工作中，可能經(jīng)常性的通過即的通信工具如qq，或者電子信箱，或者網(wǎng)頁下載等獲得很多可執(zhí)行文件，這些可執(zhí)行文件如果含有訐算機(jī)病毒或者黑客程序，輕易運(yùn)行后，很可能帶來不可預(yù)測的結(jié)果。所以，在日常工作中，收到此類可執(zhí)行文件后，應(yīng)當(dāng)及時(shí)用殺毒軟陣掃描、檢查，確定無異常后才可使用。5.文件備份定期做好文件備份：從我們近兩年的信息工作維護(hù)日志可以看到，基層送修的計(jì)算機(jī)，文件的備份工作還有待加強(qiáng)。天家平時(shí)在計(jì)算機(jī)的使用上，往往有個(gè)習(xí)慣，就是把經(jīng)常使用的文檔和資料全部放在桌面上，這樣，一旦系統(tǒng)中了病毒或者硬盤出現(xiàn)問題無法引導(dǎo)系統(tǒng)的時(shí)候，系統(tǒng)盤盤里面的數(shù)據(jù)非常容易丟失并且很難找回，所以，請大家把重要的文檔和資料要?dú)w類存放，并且不要放在系統(tǒng)盤。安裝軟件時(shí)不要直接裝在根目錄，因?yàn)橛行┸浖遁d的的候是采用的將目錄刪除的方式，容易造成根目錄下的其他文件、資料的丟失。三、基本網(wǎng)絡(luò)故障排查1.網(wǎng)絡(luò)故障的分類：（1）一般網(wǎng)絡(luò)故障可以分為硬件故障和軟件故障，或者分為內(nèi)網(wǎng)故障、外網(wǎng)故障。（2）硬件故障是指網(wǎng)絡(luò)設(shè)備或通信媒體的故障。（3）軟件故障是指設(shè)備或者計(jì)算機(jī)軟件設(shè)置上的問題內(nèi)網(wǎng)故障是指內(nèi)部局域網(wǎng)通信的故障。（4）外網(wǎng)故障是指訪問互聯(lián)網(wǎng)Internet的故障。2.一般排查步驟在實(shí)際工作中，一般先是從網(wǎng)絡(luò)層開始排查，首先測試網(wǎng)絡(luò)的連通性，如果網(wǎng)絡(luò)不能夠連通，從物理層(測試線路)開始排查，如果網(wǎng)絡(luò)能夠連通，再從應(yīng)用層(測試應(yīng)用程序本身)開始排查。在物理層，采用替換法或者專門的線纜測試儀，進(jìn)行排查，也可以通過網(wǎng)絡(luò)設(shè)備(網(wǎng)卡、交換機(jī))等的信號燈的工作狀態(tài)進(jìn)行簡單的目測。網(wǎng)卡和交換機(jī)上面一般都有信號燈，正常工作的時(shí)候的狀態(tài)一般都是綠色的燈頻繁閃爍，如果綠燈不亮或者不閃爍，說明設(shè)備工作狀態(tài)可能不正常。3.使用DOS命令快速排查網(wǎng)絡(luò)故障lpconfig命令(參數(shù)：/all)（1）功能：顯示所有網(wǎng)絡(luò)適配器(網(wǎng)卡、撥號連接等)的完整TCP/IP配置信息。可以檢查如IP是否動(dòng)態(tài)分配、顯示網(wǎng)卡的物理地址等。（2）HostName：主機(jī)名，亦是本地計(jì)算機(jī)名（3）Description：顯示此連接的網(wǎng)卡屬性、信息。有的計(jì)算機(jī)有多種網(wǎng)絡(luò)接入方式，比如無線網(wǎng)絡(luò)等，可以從這里看出所使用的網(wǎng)絡(luò)適配器信息（4）PhysicalAddress：物理地址，也就是該網(wǎng)絡(luò)適配器擁有的全球唯一的MAC地址。（5）IPAddress：IP地址，internet協(xié)議地址，比如等等。（6）SubnetMask：子網(wǎng)掩碼(作用：就是將某個(gè)IP地址劃分成網(wǎng)絡(luò)地址和主機(jī)地址兩部分用從而來確定二個(gè)地址，子網(wǎng)掩碼與IP地址共同存在才能準(zhǔn)確確定為一個(gè)網(wǎng)絡(luò)里面的IP地址，C類地址默認(rèn)的子網(wǎng)掩碼)（7）DefaultGateway：默認(rèn)網(wǎng)關(guān)(可以理解為本地計(jì)算機(jī)的網(wǎng)絡(luò)出口，也就是要上網(wǎng)必須通過的那扇“門”)（8）DNSServers：DNS服務(wù)器地址。4.ping命令(格式：pingip地址)（1）功能：Ping命令的主要作用是通過發(fā)送數(shù)據(jù)包并接收應(yīng)答信息來檢測兩臺計(jì)算機(jī)之間的網(wǎng)絡(luò)是否連通，可以用來檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度。顯示所有網(wǎng)絡(luò)適配器(網(wǎng)卡、撥號連接等)的完整TCP/IP配置信息?？梢詸z查如IP是否動(dòng)態(tài)分配、顯示網(wǎng)卡的物理地址等。（2）Ping命令有很多參數(shù)，常用的是-tBytes：表示發(fā)送數(shù)據(jù)包的大小，默認(rèn)為32byte,（3）Time：表示以毫秒為單位顯示從發(fā)送回送請求到返回回送應(yīng)答之間的時(shí)間量。這個(gè)時(shí)間越短，表示數(shù)據(jù)報(bào)不必通過太多的路由器或網(wǎng)絡(luò)連接速度比較快。（4）TTL(TimeToLive生存時(shí)間)，它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長而應(yīng)被丟棄。5.網(wǎng)絡(luò)故障的典型檢測次序（1）檢測物理連接，使用ipconfig命令（2）ping本機(jī)ip地址（3）ping網(wǎng)關(guān)ip地址（4）ping外網(wǎng)ip地址（5）檢查dns服務(wù)器第四節(jié)安全教育與培訓(xùn)組織內(nèi)的人員安全意識決定了信息安全的管理水平，有必要定期的對所有人員進(jìn)行全面的安全培訓(xùn)，提供信息系統(tǒng)使用人員和管理人員的安全技能與安全意識，在安全教育和培訓(xùn)過程中著重考慮如下幾個(gè)方面：一、信息安全培訓(xùn)的對象信息安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行，而且必須是能夠覆蓋全員的培訓(xùn)；分層次培訓(xùn)是指對不同層次的人員，如對管理層（包括決策層）、信息安全管理人員，系統(tǒng)管理員和員工開展有針對性和不同側(cè)重點(diǎn)的培訓(xùn)；分階段是指在信息安全管理體系的建立、實(shí)施和保持的不同階段，培訓(xùn)工作要有計(jì)劃地分步實(shí)施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行，安全培訓(xùn)對象主要保護(hù)如下幾個(gè)類型的員工：1.管理層（決策層）管理層培訓(xùn)目標(biāo)是明確建立公司信息安全體系的迫切性和重要性，獲得公司管理層（決策層）有形的支持和承諾。管理層培訓(xùn)方式可以采用聘請外部信息安全培訓(xùn)、專業(yè)公司的技術(shù)專家和咨詢顧問以專題講座、研討會等形式。2.信息安全管理人員信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強(qiáng)化信息安全意識、支撐公司信息安全體系的建立、實(shí)施和保持。信息安全管理人員培訓(xùn)方式可以采用聘請外部信息安全專業(yè)資格授證培訓(xùn)、參加信息安全專業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù)和公司內(nèi)部學(xué)習(xí)研討的方式。3.公司系統(tǒng)管理員公司系統(tǒng)管理員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù)，協(xié)助公司和各部門信息安全管理人員維護(hù)和保障系統(tǒng)正常、安全運(yùn)行。公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。4.員工員工培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)范，并安全、高效地使用公司信息系統(tǒng)。員工培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。二、信息安全培訓(xùn)的內(nèi)容1.信息安全培訓(xùn)的內(nèi)容主要包含如下幾個(gè)方面：（1）安全體系及安全職責(zé)分工培訓(xùn)公司各級領(lǐng)導(dǎo)及員工明確了解公司信息安全體系，并明確各自在的安全職責(zé)，明確自身對維護(hù)保障公司系統(tǒng)正常、安全運(yùn)行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。（2）培訓(xùn)應(yīng)采用長期，并覆蓋公司全員。2.新員工入職安全培訓(xùn)新員工在正式上崗前，應(yīng)進(jìn)行信息安全方面的培訓(xùn)，明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。（1）員工安全技術(shù)教育針對公司系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機(jī)操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計(jì)算機(jī)周邊硬件設(shè)備。（2）各項(xiàng)安全專業(yè)技術(shù)教育針對公司安全管理員和系統(tǒng)管理員應(yīng)定期開展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓(xùn)，幫助相關(guān)安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護(hù)系統(tǒng)。（3）安全專業(yè)資格認(rèn)證針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實(shí)際情況，挑選公司信息安全管理及安全技術(shù)人員進(jìn)行相關(guān)的認(rèn)證考試培訓(xùn)，并參加認(rèn)證考試，以提高公司安全管理人員對信息安全的管理理論和技術(shù)的水平。（4）信息安全內(nèi)部考核（含培訓(xùn)）針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同，對員工進(jìn)行相關(guān)的信息安全培訓(xùn)，并在培訓(xùn)后實(shí)行書面（開卷或閉卷）信息安全考核。三、信息安全培訓(xùn)的管理對于信息安全培訓(xùn)的管理主要控制信息安全培訓(xùn)的發(fā)起和實(shí)施，保證信息安全培訓(xùn)的質(zhì)量：1.安全培訓(xùn)的發(fā)起（1）公司及部門安全管理組織可根據(jù)自身安全管理的需要，發(fā)起相應(yīng)的安全培訓(xùn)計(jì)劃。（2）涉及納入員工考核的培訓(xùn)，需要公司人力資源部的確實(shí)，以及公司網(wǎng)絡(luò)與信息安全辦公室備案考核結(jié)果。（3）新員工、公司全員的安全培訓(xùn)教育，納入公司人力資源部的整體培訓(xùn)計(jì)劃中。（4）具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。2.安全培訓(xùn)的實(shí)施（1）培訓(xùn)的實(shí)施，建議由公司人力資源部負(fù)責(zé)。（2）對專業(yè)性很強(qiáng)的培訓(xùn)，培訓(xùn)發(fā)起的各級安全培訓(xùn)組織負(fù)責(zé)。（3）具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。第五節(jié)對采購方人員安全管理培訓(xùn)在安全管理的過程中，內(nèi)部人員的安全管理作為安全管理的重中之重，內(nèi)部人員安全是信息系統(tǒng)主要面臨的內(nèi)部安全威脅，在對人員的管理中，需要重點(diǎn)考慮如下幾個(gè)方面的內(nèi)容一、員工錄用安全管理員工錄用，除了應(yīng)該遵守相關(guān)人事和勞動(dòng)法律法規(guī)外，還必須考慮以下安全事項(xiàng)：1.除了嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證（相關(guān)計(jì)算機(jī)認(rèn)證證書等）外，還必須考慮政治、社會和素質(zhì)等多方面的因素。2.不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。如有特殊情況，需要經(jīng)公司主管安全的一級經(jīng)理同意后，方可考慮錄用。3.在簽訂勞動(dòng)合同之外，必須簽訂《保密協(xié)議》，明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機(jī)密的要求以及違約責(zé)任等。二、員工工作調(diào)動(dòng)的安全管理由于業(yè)務(wù)工作的需要或其他原因，需要對員工進(jìn)行崗位調(diào)動(dòng)時(shí)，必須考慮以下安全事項(xiàng)：1.根據(jù)新崗位的需要，增加、刪除或修改該人員的計(jì)算機(jī)信息系統(tǒng)訪問權(quán)限，包括電子郵件系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和其他計(jì)算機(jī)信息軟硬件系統(tǒng)。2.如有必要，重新創(chuàng)建相關(guān)管理員賬號并修改其口令。3.如有必要，修改合同中有關(guān)條款和相應(yīng)的保密條款或保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密條款或保密協(xié)議將繼續(xù)有效。4.與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。5.遵循“需要知道”原則，盡量避免由于不當(dāng)或過于頻繁的調(diào)動(dòng)，造成人員的權(quán)限過大的情況。三、員工離職的安全管理1.員工在離職時(shí)，必須遵守以下安全操作流程：刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項(xiàng)，以及在離開公司后3年內(nèi)不得披露、使用技術(shù)資料的規(guī)定。2.對員工的安全審計(jì)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及各生產(chǎn)中心安全管理組織定期組織對員工進(jìn)行安全審計(jì)和監(jiān)督工作，并把審計(jì)和監(jiān)督結(jié)果報(bào)告抄送給該人員所屬部門主管，作為對該人員工作考核的依據(jù)之一。對于不遵守公司信息安全管理制度和安全技術(shù)規(guī)范的員工，經(jīng)查實(shí)后，由其所屬部門主管根據(jù)有關(guān)規(guī)定，報(bào)請人事行政部門對該員工進(jìn)行處罰。3.對員工的安全培訓(xùn)及教育員工的安全培訓(xùn)及教育由公司網(wǎng)絡(luò)與信息安全辦公室及各部門安全管理組織統(tǒng)一計(jì)劃，公司人力資源部協(xié)助實(shí)施。具體培訓(xùn)的內(nèi)容及要求遵照《信息安全培訓(xùn)及教育管理辦法》。員工的安全培訓(xùn)及教育成績，作為對該人員工作考核的依據(jù)之一。四、安全崗位人員管理1.安全崗位人員的管理考核專職安全管理員：專職負(fù)責(zé)信息安全管理工作，是信息安全管理部門的主要成員。具體人員在網(wǎng)絡(luò)工程處，歸屬網(wǎng)絡(luò)工程處長管理，考核。各部門專、兼職安全管理員：負(fù)責(zé)本部門信息安全管理工作，是信息安全管理組織的成員。人員編制在各部門，日常工作歸屬相應(yīng)部門來管理。同時(shí)作為信息安全組織組織的成員，其工作考核的一部分歸屬信息安全管理部門。（具體份額，人力資源部門和信息安全領(lǐng)導(dǎo)小組確定）2.安全崗位人員的培訓(xùn)教育安全崗位的人員需要進(jìn)行相關(guān)安全管理技能的專業(yè)培訓(xùn)及教育等工作，安全崗位人員的培訓(xùn)由信息安全管理部門牽頭負(fù)責(zé)，安全崗位人員的培訓(xùn)成績作為其相應(yīng)工作考核項(xiàng)之一。3.安全崗位人員職責(zé)崗位名稱崗位技能要求具體工作內(nèi)容信息安全主管大學(xué)本科以上學(xué)歷，計(jì)算機(jī)通信；信息安全專業(yè)1.制訂信息安全管理制度和技術(shù)規(guī)范。2.領(lǐng)導(dǎo)、組織信息安全管理制度和技術(shù)規(guī)范的具體實(shí)施。3.監(jiān)督、檢查信息安全管理工作。4.定期就信息安全管理的效果和有關(guān)重大問題及時(shí)向人民銀行信息安全管理部門匯報(bào)。安全管理大學(xué)本科以上學(xué)歷，計(jì)算機(jī)/信息安全專業(yè)1.參與信息安全管理制度的制訂。2.負(fù)責(zé)實(shí)施和維護(hù)信息安全管理制度和技術(shù)規(guī)范。3.負(fù)責(zé)監(jiān)督、檢查信息安全工作情況，負(fù)責(zé)對各部門信息安全考核及各部門安全管理員的工作考核。4.組織、領(lǐng)導(dǎo)對安全崗位人員的信息安全教育培訓(xùn)。5.定期向信息安全主管匯報(bào)總體及各部門信息安全的工作情況。安全技術(shù)大學(xué)本科以上學(xué)歷，計(jì)算機(jī)/信息安全專業(yè)1.參與信息安全技術(shù)規(guī)范的制訂。2.負(fù)責(zé)實(shí)施和維護(hù)信息安全管理制度和技術(shù)規(guī)范。3.負(fù)責(zé)信息安全解決方案的評估檢查工作。4.負(fù)責(zé)監(jiān)督、檢查信息系統(tǒng)安全運(yùn)行情況（保密性、完整性和可用性）。5.負(fù)責(zé)安全預(yù)警及安全審計(jì)工作。6.負(fù)責(zé)安全事件監(jiān)控及重大安全事件響應(yīng)。7.領(lǐng)導(dǎo)、監(jiān)督、檢查各部門安全管理員的工作。8.負(fù)責(zé)信息安全技術(shù)的跟蹤及研究工作。技術(shù)支持處安全管理大學(xué)本科以上學(xué)歷，計(jì)算機(jī)/信息安全專業(yè)1.制訂技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范。2.組織技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范的具體實(shí)施。3.負(fù)責(zé)落實(shí)外匯局信息安全在技術(shù)支持處的工作職責(zé)4.負(fù)責(zé)技術(shù)支持處建設(shè)項(xiàng)目及信息安全項(xiàng)目的方案編制，安全評估、安全檢查、實(shí)施等工作。5.監(jiān)督、檢查技術(shù)支持處信息系統(tǒng)安全運(yùn)行情況（保密性、完整性和可用性）。6.定期就技術(shù)支持處信息安全管理的效果和有關(guān)重大問題及時(shí)向外匯局信息安全管理部門匯報(bào)。4.與信息安全相關(guān)崗位人員安全職責(zé)信息安全工作涉及各方面的人員，下表明確和信息安全相關(guān)的崗位人員的安全職責(zé)要求。崗位名稱具體工作內(nèi)容系統(tǒng)規(guī)劃及建設(shè)1.根據(jù)和各部門安全建設(shè)的要求，在規(guī)劃中提前考慮信息安全因素；2.為系統(tǒng)建設(shè)提供安全功能開發(fā)和建設(shè)的指導(dǎo)；3.在項(xiàng)目建設(shè)中同步考慮項(xiàng)目的信息安全因素，做好安全加固等保障工作；4.為系統(tǒng)維護(hù)人員提供系統(tǒng)安全運(yùn)行和維護(hù)的指導(dǎo)；系統(tǒng)維護(hù)1.在項(xiàng)目規(guī)劃和建設(shè)階段提出信息安全方面的建議；2.負(fù)責(zé)系統(tǒng)交維后的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等信息安全狀況的檢查和驗(yàn)收；3.負(fù)責(zé)系統(tǒng)設(shè)備的日常運(yùn)行、安全維護(hù)和管理工作，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)；應(yīng)用維護(hù)1.在應(yīng)用系統(tǒng)規(guī)劃和建設(shè)階段提出信息安全方面的建議；2.負(fù)責(zé)系統(tǒng)交付后業(yè)務(wù)應(yīng)用系統(tǒng)信息安全狀況的檢查和驗(yàn)收；3.負(fù)責(zé)業(yè)務(wù)和應(yīng)用系統(tǒng)的日常運(yùn)行、安全維護(hù)和管理工作，保持應(yīng)用系統(tǒng)處于良好的運(yùn)行狀態(tài)；各省安全技術(shù)人員1.嚴(yán)格遵循安全管理辦法的相關(guān)安全要求；2.參加和配合外匯局及本部門的信息安全檢查工作。員工安全1.配合信息安全管理員做好個(gè)人用機(jī)的安全檢查和安全加固工作；2.嚴(yán)格遵循安全管理規(guī)定及技術(shù)規(guī)范等相關(guān)安全要求；3.配合外匯局及部門的信息安全檢查工作。五、安全崗位人員的安全控制在安全崗位人員錄用、審計(jì)、調(diào)動(dòng)和解聘方面進(jìn)行嚴(yán)格的安全控制，是保障信息安全組織體系的關(guān)鍵。1.安全崗位人員的錄用（1）對于安全崗位人員的錄用，除了應(yīng)該遵守相關(guān)人事和勞動(dòng)法律法規(guī)外，還必須考慮以下安全事項(xiàng)：（2）在嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證（相關(guān)計(jì)算機(jī)認(rèn)證證書等）的同時(shí)，必須考慮政治、社會和素質(zhì)等多方面的因素。（3）不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。如有特殊情況，需要經(jīng)主管安全的局長同意后，方可考慮錄用。（4）在簽訂勞動(dòng)合同之外，必須簽訂《保密協(xié)議》，明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機(jī)密的要求以及違約責(zé)任等。2.安全崗位人員的審計(jì)外匯局定期進(jìn)行安全工作檢查，內(nèi)容包括對安全崗位人員的審計(jì)，同時(shí)安全檢查的結(jié)果作為安全崗位人員的工作考核的依據(jù)之一。3.安全崗位人員的調(diào)動(dòng)（1）由于業(yè)務(wù)工作的需要或其他原因，需要對安全崗位人員進(jìn)行崗位調(diào)動(dòng)時(shí)，必須考慮以下安全事項(xiàng)：（2）根據(jù)新崗位的需要，增加、刪除或修改該人員的信息系統(tǒng)訪問權(quán)限。（3）如有必要，修改保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密協(xié)議將繼續(xù)有效。（4）與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。（5）遵循“需要知道”原則，盡量避免由于不當(dāng)或過于頻繁的調(diào)動(dòng)，造成人員的權(quán)限過大的情況。4.安全崗位人員的離職（1）安全崗位人員在離職時(shí)，必須遵守以下安全操作流程：（2）刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。（3）由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項(xiàng)，以及在離開外匯局后3年內(nèi)不得披露、使用外匯局的技術(shù)資料的規(guī)定。5.關(guān)于信息安全的獎(jiǎng)勵(lì)及考核（1）員工安全管理由各部門專、兼職安全管理員具體進(jìn)行操作，把執(zhí)行情況向本部門安全管理組織，及公司網(wǎng)絡(luò)與信息安全辦公室匯報(bào)，并由公司網(wǎng)絡(luò)與信息安全辦公室直接呈報(bào)給公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組作為公司各部門年度目標(biāo)責(zé)任制考核的內(nèi)容之一。（2）對執(zhí)行制度好、信息安全工作成績顯著的部門和個(gè)人，將給與表彰和適當(dāng)獎(jiǎng)勵(lì)；對違反公司安全管理制度、信息安全工作存在不足和隱患的部門、營業(yè)廳，由公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組發(fā)出書面整改通知，限期整改；對刻意不執(zhí)行公司安全管理制度、漠視信息安全工作和存在安全隱患而沒有及時(shí)整改的，以至造成重大安全事故和案件的，將追究其部門主要負(fù)責(zé)人和直接責(zé)任者的責(zé)任，并按公司有關(guān)考核管理辦法予以處理，構(gòu)成犯罪的，將依法追究其刑事責(zé)任。第六節(jié)第三方人員安全管理一、第三方人員短期訪問安全管理（一）物理安全第三方人員現(xiàn)場訪問需要遵從公司物理安全的管理制度，具體物理安全的負(fù)責(zé)部門是行政部。要求如下：1.第三方人員進(jìn)出公司均需登記，遵照公司物理安全管理制度執(zhí)行。2.工作時(shí)間內(nèi)機(jī)房必須有當(dāng)班、值班人員，對第三方人員進(jìn)入機(jī)房內(nèi)部一律進(jìn)行登記。3.重要機(jī)房實(shí)行安全保衛(wèi)管理，對第三方人員進(jìn)入機(jī)房需要接待員工所屬三級經(jīng)理的同意，同時(shí)在本部門內(nèi)部進(jìn)行登記。（二）網(wǎng)絡(luò)訪問安全1.第三方人員現(xiàn)場訪問公司網(wǎng)絡(luò)原則上不允許。如果必須，需要第三方人員及接待人員遵守如下安全要求：（1）臨時(shí)接入公司辦公網(wǎng)絡(luò)的第三方人員，需要公司接待人員的同意，一旦發(fā)生并經(jīng)核實(shí)其起因是第三方人員引起的安全事件，相關(guān)責(zé)任由公司接待人員負(fù)責(zé)。（2）臨時(shí)接入公司生產(chǎn)網(wǎng)絡(luò)的第三方人員，需要公司接待人員所屬三級經(jīng)理的同意，同時(shí)在本部門內(nèi)部進(jìn)行登記。一旦發(fā)生并經(jīng)核實(shí)其起因是第三方人員引起的安全事件，相關(guān)責(zé)任由公司接待人員及所屬三級經(jīng)理負(fù)責(zé)。（3）第三方人員遠(yuǎn)程訪問公司網(wǎng)絡(luò)原則上不允許。2.如果必須，需要第三方人員及接待人員遵守如下安全要求：（1）臨時(shí)遠(yuǎn)程訪問公司網(wǎng)絡(luò)的第三方人員，需要公司接待人員所屬三級經(jīng)理的同意，并在本部門內(nèi)部進(jìn)行登記。一旦發(fā)生并經(jīng)核實(shí)其起因是第三方人員引起的安全事件，相關(guān)責(zé)任由公司接待人員及所屬三級經(jīng)理負(fù)責(zé)。（2）臨時(shí)遠(yuǎn)程訪問公司網(wǎng)絡(luò)的第三方人員在訪問過程中，公司接待人員應(yīng)能夠確定其訪問的內(nèi)容；在訪問結(jié)束后，公司接待人員應(yīng)及時(shí)關(guān)閉或敦促相關(guān)技術(shù)負(fù)責(zé)人員關(guān)閉臨時(shí)訪問的通路，并在本部門內(nèi)部記錄訪問結(jié)束時(shí)間。二、第三方人員長期訪問安全管理（一）物理安全1.第三方人員現(xiàn)場訪問，需要遵照公司物理安全的管理制度執(zhí)行，具體物理安全的負(fù)責(zé)部門是行政部。要求如下：（1）遵守公司物理安全管理制度，在公司安全保衛(wèi)部門辦理第三方人員進(jìn)出證件，證件表明訪問時(shí)間段及接待部門。（2）工作時(shí)間內(nèi)機(jī)房必須有當(dāng)班值班人員，對進(jìn)入機(jī)房內(nèi)部的第三方人員一律進(jìn)行登記。（3）重要機(jī)房實(shí)行安全保衛(wèi)管理，對第三方人員進(jìn)入機(jī)房需要接待員工所屬三級經(jīng)理的同意，同時(shí)在本部門內(nèi)部進(jìn)行登記。（4）第三方人員均應(yīng)遵從機(jī)房管理人員的管理。2.網(wǎng)絡(luò)訪問安全第三方人員現(xiàn)場長期訪問公司網(wǎng)絡(luò)，除第三方人員遵守公司的安全管理制度及規(guī)范之外，第三方人員及接待人員還必須遵守如下安全要求：（1）長期訪問公司網(wǎng)絡(luò)的第三方人員需要簽署相關(guān)《第三方人員安全保密協(xié)議》，承諾遵守公司安全制度及規(guī)范。（2）需要公司辦公網(wǎng)管理部門相關(guān)工作負(fù)責(zé)人審批確認(rèn)，詳細(xì)內(nèi)容參見《辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程》。在長期訪問終止后，接待人通知辦公網(wǎng)管理部門相關(guān)工作人員，工作人員備案并作相應(yīng)安全評估、檢查工作。（3）第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全管理制度，除根據(jù)保密協(xié)議及相關(guān)公司安全管理制度進(jìn)行處罰以外，公司接待人及所屬部門也應(yīng)承擔(dān)責(zé)任。3.第三方人員長期遠(yuǎn)程訪問公司網(wǎng)絡(luò)原則上不允許。如果必須，需要第三方人員及接待人員遵守如下安全要求：（1）需要簽署相關(guān)《第三方人員安全保密協(xié)議》，承諾遵守公司安全制度及規(guī)范。（2）需要公司辦公網(wǎng)管理部門（計(jì)費(fèi)業(yè)務(wù)中心）相關(guān)工作人員審批確認(rèn)，詳細(xì)參見《辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問申請審批流程》。在長期訪問終止后，接待人通知辦公網(wǎng)管理部門相關(guān)工作人員，工作人員備案并作相應(yīng)安全評估、檢查工作。（3）第三方人員在訪問公司網(wǎng)絡(luò)期間如違反公司安全管理制度，除根據(jù)保密協(xié)議及相關(guān)公司安全管理制度進(jìn)行處罰以外，公司接待人及所屬部門也應(yīng)承擔(dān)責(zé)任。三、第三方人員訪問申請審批流程圖第七節(jié)網(wǎng)絡(luò)安全設(shè)備維護(hù)培訓(xùn)一、網(wǎng)絡(luò)安全的基本概念計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性主要是指內(nèi)部安全與外部安全，內(nèi)部安全是在系統(tǒng)的軟件、硬件及周圍的設(shè)施中實(shí)現(xiàn)的，外部安全主要是人事安全，是對某人參與計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作和工作人員接觸到的敏感信息是否值得信賴的一種舍差過程。計(jì)算機(jī)網(wǎng)絡(luò)的保密性是對傳輸過程中的數(shù)據(jù)進(jìn)行保護(hù)的重要方法，又是對存儲在各種媒體上的數(shù)據(jù)加以保護(hù)的一種有效措施。系統(tǒng)安全是我們的最終目標(biāo)，而加密時(shí)實(shí)現(xiàn)這一目標(biāo)的有效措施段。計(jì)算機(jī)系統(tǒng)的完整性是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)軟件（程序）與數(shù)據(jù)不被非法刪改的一種技術(shù)手段，它可以分為數(shù)據(jù)完整性和軟件完整性。（一)網(wǎng)絡(luò)安全威脅的類型網(wǎng)絡(luò)威脅是對網(wǎng)絡(luò)安全缺陷的潛在利用，這些缺陷可能導(dǎo)致非授權(quán)訪問、信息泄露、資源耗盡、資源被盜或者被破壞等。網(wǎng)絡(luò)安全所面臨的威脅可以來自很多方面，并且隨著時(shí)間的變化而變化。網(wǎng)絡(luò)安全威脅的種類有：竊聽、假冒、重放、流量分析、數(shù)據(jù)完整性破壞、拒絕服務(wù)、資源的非授權(quán)使用等。（二)網(wǎng)絡(luò)安全機(jī)制應(yīng)具有的功能采取措施對網(wǎng)絡(luò)信息加以保護(hù)，以使受到攻擊的威脅減到最小是必須的。一個(gè)網(wǎng)絡(luò)安全系統(tǒng)應(yīng)有如下的功能：身份識別、存取權(quán)限控制、數(shù)字簽名、保護(hù)數(shù)據(jù)完整性、審計(jì)追蹤、密鑰管理等。二、計(jì)算機(jī)網(wǎng)絡(luò)受攻擊的主要形式由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)為病毒、黑客和其他不軌的攻擊提供機(jī)會，所以研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施是必要的，這樣才能確保網(wǎng)絡(luò)信息的保密性、安全性、完整性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中常見的安全問題主要有以下六種形式。（一）威脅系統(tǒng)漏洞由于任何一個(gè)操作系統(tǒng)和網(wǎng)絡(luò)軟件在設(shè)計(jì)上存在缺陷和錯(cuò)誤，這就成為一種不安全的隱患，讓不法者利用，一些惡意代碼會通過漏洞很容易進(jìn)入計(jì)算機(jī)系統(tǒng)對主機(jī)進(jìn)行攻擊或控制電腦。所以在使用電腦時(shí)，要及時(shí)安裝網(wǎng)絡(luò)安全掃描工具，及時(shí)下載系統(tǒng)補(bǔ)丁來修復(fù)系統(tǒng)漏洞。（二）欺騙技術(shù)攻擊：通過欺騙路由條目、IP地址、DNS解析地址，使服務(wù)器無法正常響應(yīng)這些請求