网络安全测评整改人员管理及培训

第一节服务人员培训必要性 2一、培训的重要性和作用 2二、培训的系统性 3三、培训的形式和方法 6第二节项目人员培训计划 8一、培训对象 8二、培训方式 9三、初级等级测评师 9四、中级等级测评师 13五、高级等级测评师 16第三节网络安全培训内容 21一、网络信息安全主要内容 21二、良好的上网习惯 23三、基本网络故障排查 25第四节安全教育与培训 27一、信息安全培训的对象 28二、信息安全培训的内容 29三、信息安全培训的管理 30第五节对采购方人员安全管理培训 31一、员工录用安全管理 31二、员工工作调动的安全管理 32三、员工离职的安全管理 33四、安全岗位人员管理 34五、安全岗位人员的安全控制 37第六节第三方人员安全管理 39一、第三方人员短期访问安全管理 39二、第三方人员长期访问安全管理 40三、第三方人员访问申请审批流程图 42第七节网络安全设备维护培训 43一、网络安全的基本概念 43二、计算机网络受攻击的主要形式 44三、网络维护及故障分析处理 46四、加强计算机网络安全的对策措施 47第一节服务人员培训必要性从概念上讲，培训是一种有组织的知识传递、技能传递、标准传递、信息传递、信念传递、管理训诫行为，让员工通过一定的教育训练技术手段，达到预期的提高目标。培训是对企业现有人力资源进行有效开发，开发内容包括对人员的智力、技能的开发，调动人员的积极性增强组织凝聚力，为企业未来发展阶段合理人力资源配置提供基础支撑作用。一、培训的重要性和作用发达国家，大多数企业都有一套严格的培训措施，并为此花很多钱，为什么要这样做呢？因为培训就是生产力。美国权威机构监测，培训的回报率一般在33%左右。比如，摩托罗拉公司面向全体雇员提供每年至少40小时培训，调查表明：摩托罗拉公司每1美元的培训费可以在3年以内实现40美元的生产效益。世界上最大的包裹投递公司UPS认为公司最有价值的资产是就是忠诚能干的员工，员工的工作承诺可以通过两长期存在的公司政策而实现，其中之一便是培训。所以通过培训不但能增强人员的技能和水平，还可以增强员工对企业的安全感和归属感，培养更强的忠诚度。同时，培训一方面是企业行为，另一方面国家有明文规定和要求。在《中华人民共和国劳动法》第八章专门就职业培训进行了单独章节的要求，第六十八条明确指出：用人单位应当建立职业培训制度，按照国家规定提取和使用职业培训经费，根据本单位实际，有计划地对劳动者进行职业培训。培训的作用至少有以下三点：一是通过培训改善管理者或员工的工作方法提高工作能力，实现快出人才，多出人才，出好人才的良性发展局面；二是通过培训调整在发展中人与岗位职责与要求之间的差距或矛盾，实现员工与岗位之间的良性互动与成长；三是通过培训是提高员工积极性及传递、培育组织文化的有力手段。二、培训的系统性随着企业及全社会对培训重要性的认同，各类学历教育、计算机应用及语言等技能培训、管理培训及生产培训的需求市场越来越大，各类培训机构如雨后春笋般生机勃勃地成长着。但经常听见企业管理者抱怨：“员工积极性不高，不知道怎么办”，“培训花了不少钱，效果一般”。事实上，懂得培训并善于培训的管理者并不多，在一些人的概念中，请一些知名教授学者来企业讲课或去参加社会各种价格不菲的专题讲座，这就是培训了。企业培训是人力资源投资中重要的一项内容，最终目的是提高员工技能、素质、观念，进而提高业绩水平改善工作态度，为企业创造更多价值。但培训操作不当，不但达不到提高员工素质的基本要求，而且极大地浪费人力资源、时间、金钱等。由此看来，培训是综合性很强的系统工作，如果没有做好前期培训内容与企业经营目标及需求及培训对象的匹配工作，是很难保证培训效果的，就会出现培训时讲得热闹，培训后效果甚微的现象。在培训开始之前，首先要做调研。一是看看公司管理者与员工最希望开展哪些方面的培训或是存在哪些有待解决的问题，二是选择培训讲师或培训机构。对于高层管理者需要提高管理方面的知识，而你却让他们参与技能培训就有些不妥了。员工业务流程不太熟悉，那么我们就可以选择内部培训而不需请外面的老师来做营销培训。二是调研的基础上要制定培训计划。通过上面的调查和分析，将会了解企业目前最需要给员工培训哪方面的知识，针对现有的问题制定针对性的培训计划。三是关注培训中参与学习者的反应，并对学习者的效果进行考评。如果是技能性培训，可以通过考试来检验；如果是营销技巧的培训，只能借助业绩的变化来观测。及时进行培训的总结，积极为以后培训工作的有效开展提供经验。所以科学系统的培训既能节省企业的人力、物力、财力和时间，还能达到促进管理水平提高增进效益的目的。培训方式的选择在拼产品、拼品牌、拼展厅、拼广告、拼价格、拼关系之后，不少企业发现员工素质决定了这些拼杀武器的效果，于是大家都开始请讲师对自己的企业员工进行培训，我们要怎么做才能提高培训效果呢？培训的效果取决于培训的内容及培训方式的综合考虑与选择，它与企业的经营目标、培训对象、实际存在问题、企业需求等有关。考虑好这几方面之间的要求，培训的效果就有了很好的保证。如果培训与以下四个要素紧密相连，培训的效果就会得到保障。一是企业培训要充分考虑企业的经营目标。二是将培训员工的培训目的与培训内容有机结合。比如面对高层管理者进行培训时，主要进行经营观念和思维的更新和提升，对于中层管理者进行培训时主要着重强调在工作如何授权、执行力及沟通技巧等的培训；对于基层员工特别是生产工人着重进行质量管理理及操作技能的培训；对于市场营销人员重点进行营销技巧等相关业务知识的培训。三是将培训的趣味性与培训者的工作实际中的实用性相结合。四是注意培训计划的准备工作，好的培训计划是支持以上三点实现的的关键。三、培训的形式和方法培训从培训老师身份上分类，可分为内部培训和外部培训；从培训形式讲，又可有八种培训方法，下面做一简述：一是讲授法：属于传统的培训方式，优点是运用起来方便，便于培训者控制整个过程。缺点是单向信息传递，反馈效果差。常被用于一些理念性知识的培训。二是视听技术法：通过现代视听技术（如投影仪、DVD、录像机等工具），对员工进行培训。优点是运用视觉与听觉的感知方式，直观鲜明。但学员的反馈与实践较差，且制作和购买的成本高，内容易过时。它多用于企业概况、传授技能等培训内容，也可用于概念性知识的培训。三是讨论法：按照费用与操作的复杂程序又可分成一般小组讨论与研讨会两种方式。研讨会多以专题演讲为主，中途或会后允许学员与演讲者进行交流沟通。优点是信息可以多向传递，与讲授法相比反馈效果较好，但费用较高。而小组讨论法的特点是信息交流时方式为多向传递，学员的参与性高，费用较低。多用于巩固知识，训练学员分析、解决问题的能力与人际交往的能力，但运用时对培训教师的要求较高。四是案例研讨法：通过向培训对象提供相关的背景资料，让其寻找合适的解决方法。这一方式使用费用低，反馈效果好，可以有效训练学员分析解决问题的能力。另外，近年的培训研究表明，案例、讨论的方式也可用于知识类的培训，且效果更佳。五是角色扮演法：授训者在培训教师设计的工作情况中扮演其中角色，其他学员与培训教师在学员表演后作适当的点评。由于信息传递多向化，反馈效果好、实践性强、费用低，因而多用于人际关系能力的训练。六是自学法：这一方式较适合于一般理念性知识的学习，由于成人学习具有偏重经验与理解的特性，让具有一定学习能力与自觉的学员自学是既经济又实用的方法，但此方法存在监督性差的缺陷。七是互动小组法：主要适用于管理人员的人际关系与沟通训练。让学员在培训活动中的亲身体验来提高他们处理人际关系的能力。其优点是可明显提高人际关系与沟通的能力，但其效果在很大程度上依赖于培训教师的水平。八是网络培训法：是一种新型的计算机网络信息培训方式，投入较大。但由于使用灵活，符合分散式学习的新趋势，节省学员集中培训的时间与费用。这种方式信息量大，新知识、新观念传递优势明显，更适合成人学习。是培训发展的一个新趋势。第二节项目人员培训计划一、培训对象信息安全等级测评师培训是针对等级测评机构中的测评人员进行的培训，初级、中级和高等级测评师与等级测评机构中的测评员、项目负责人（或项目组长）和技术负责人（或技术总监）三个工作岗位相对应，通过初级、中级和高级等级测评师培训和考试后，颁发相应的等级测评师证书，等级测评人员需持等级测评师证上岗。1.初级等级测评师初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。2.中级等级测评师中级等级测评师的培训对象是项目负责人（或项目组长）。报考人员需要具备信息安全理论基础，对系统安全、网络安全、应用安全和攻击测试等有深入了解,作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。3.高级等级测评师高级等级测评师的培训对象是技术负责人（或技术总监）。报考人员需要具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和实践经验，从事过信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。二、培训方式评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训，通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后，参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。三、初级等级测评师1.培训目标（1）了解信息安全等级保护的相关政策、标准；（2）掌握等级测评方法，熟悉网络、主机、应用、安全管理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；（3）熟悉信息安全产品分类，了解其功能、特点，熟悉主流产品安全配置方法；（4）掌握测评工具的操作方法，能够合理设计测试用例获取测试数据；（5）能够按照报告编制要求整理测评数据，开展等级测评工作。2.培训内容（1）信息安全等级保护政策①信息安全等级保护制度的主要内容目标要求：了解等级保护基本政策，包括《国家信息化领导小组关于加强信息安全保障工作的意见》、关于印发《信息安全等级保护管理办法》的通知、关于印发《关于信息安全等级保护工作的实施意见》的通知、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》等。②信息安全等级保护政策体系目标要求：了解等级保护基本政策体系以及相关文件的作用。③等级保护工作的具体内容和要求目标要求：了解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。（2）等级保护相关标准应用①等级保护标准体系及主要标准目标要求：了解等级保护相关标准的定位、主要内容等。②信息安全等级保护概述目标要求：了解等级保护工作过程及标准应用。（3）网络安全测评①网络全局安全测评目标要求：能够进行安全体系架构分析，熟悉安全区域划分、边界访问控制、入侵检测和恶意代码防范等实现机制。②网络设备安全测评目标要求：掌握主流交换机、路由器等网络设备的安全配置方法，熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。③安全设备安全测评目标要求：掌握主流防火墙、入侵检测系统、安全审计系统、身份认证系统等安全设备的工作原理，熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。（4）主机安全测评①Windows操作系统安全测评目标要求：熟悉WINDOWS操作系统的安全功能及其原理，掌握系统安全配置方法及最佳安全实践，掌握WINDOWS操作系统的安全等级测评内容，熟悉Windows操作系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。②类UNIX/Linux操作系统安全测评目标要求：熟悉UNIX/LINUX操作系统的安全功能及其原理，掌握系统帐号管理、访问控制、资源和网络安全管理等的安全配置及最佳安全实践。掌握UNIX/LINUX操作系统的安全等级测评内容，熟悉类UNIX/Linux系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。（5）应用和数据安全测评①应用系统安全测评目标要求：熟悉典型的Web服务器软件、中间件软件等主流商用应用系统的安全测评方法。理解并掌握应用安全包括的主要内容和测评方法。②数据库安全测评目标要求：熟悉数据库的基本安全机制、安全管理，熟悉主流数据库安全基本配置，掌握数据库安全测评内容和方法。③数据安全测评目标要求：熟悉数据传输、存储、备份的安全实现技术和原理，掌握数据安全测评内容和方法。（6）安全管理测评①安全管理测评过程目标要求：掌握安全管理测评的基本流程和方法，能够合理运用管理测评方法对安全管理内容进行测评。②安全管理测评方法与技巧目标要求：熟悉安全管理测评的内容和方法，能够根据实际情况，合理安排资源，有效获取安全管理测评各项证据。③物理安全测评过程目标要求：掌握物理安全测评的基本流程和方法，能够合理运用物理测评方法对物理安全内容进行测评。（7）工具测试方法①工具测试方法目标要求：熟悉漏洞基本知识、熟悉网络安全漏洞扫描器基本原理、熟练操作网络安全漏洞扫描器、测试点选取，能够对扫描结果进行分析。②渗透测试方法目标要求：熟悉渗透性测试的一般流程、熟悉黑客攻击的常用工具和技术、熟悉防范和检测黑客攻击的工具和技术。四、中级等级测评师1.培训目标（1）熟悉信息安全等级保护相关政策、法规；正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；（2）熟悉信息安全等级测评方法，并熟悉测评指导书的开发、版本控制和评审的流程和方法；（3）熟悉测评项目的工作流程和质量管理的方法；（4）能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；（5）能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性；（6）了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。2.培训内容（1）信息安全等级保护政策①信息安全等级保护制度的主要内容目标要求：理解等级保护基本政策，包括《国家信息化领导小组关于加强信息安全保障工作的意见》、关于印发《信息安全等级保护管理办法》的通知、关于印发《关于信息安全等级保护工作的实施意见》的通知、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》等。②信息安全等级保护政策体系目标要求：理解等级保护基本政策体系以及相关文件的作用。③等级保护工作的具体内容和要求目标要求：理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。（2）等级保护相关标准应用①等级保护标准体系及主要标准目标要求：理解等级保护相关标准的定位、主要内容等。②信息安全等级保护概述目标要求：理解等级保护工作过程及标准应用。（3）信息系统安全等级保护基本要求①基本要求体系结构目标要求：熟悉标准结构、编写背景、过程。②基本要求主要内容目标要求：熟悉不同级别系统之间的差别、熟悉各级安全要求内容。（4）信息系统安全等级保护测评方法①等级测评方法目标要求：掌握单元测评方法、整体测评方法，能够熟练运用单元测评方法和整体测评方法进行测评。②能够开发测评指导书目标要求：掌握测评指导书编制方法，能够根据测评指导书编制方法正确编制测评指导书。③能够设计测评方案目标要求：掌握测评方案编制方法，能够根据信息系统的特点，正确编制测评方案，确定测评对象、测评指标、测评方法，合理选择测试点。④能够编制、审核测评报告目标要求：掌握并熟练运用测评报告的编制方法，能够根据测评报告模版要求熟练编制测评报告，能够整体把握测评报告结论的客观性和准确性。（5）信息系统安全等级保护测评实施①等级测评工作流程目标要求：熟悉等级测评的工作要求，掌握等级测评的基本工作过程和方法，能够根据等级测评的工作要求编制测评项目管理流程，并进行测评项目的管理。②等级测评实施主要内容目标要求：熟悉等级测评各个工作环节的主要内容，正确理解并熟练掌握单元测评各项要求内容、能够熟练运用标准指导测评过程。（6）项目管理目标要求：熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。五、高级等级测评师1.培训目标（1）熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；（2）对信息安全等级保护标准体系及主要标准有较为深入的理解；（3）熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求；（4）熟悉质量体系和制度建设的主要内容和方法。（5）能够把握信息安全技术的发展方向，引导本测评机构人员研究、探索和实践信息安全测评技术和方法。2.培训内容（1）信息安全等级保护政策①信息安全等级保护制度的主要内容目标要求：理解等级保护基本政策，包括《国家信息化领导小组关于加强信息安全保障工作的意见》、关于印发《信息安全等级保护管理办法》的通知、关于印发《关于信息安全等级保护工作的实施意见》的通知、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》等。②信息安全等级保护政策体系目标要求：理解等级保护基本政策体系以及相关文件的作用。③等级保护工作的具体内容和要求目标要求：理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。（2）等级保护相关标准应用①等级保护标准体系及主要标准目标要求：理解等级保护相关标准的定位、主要内容等。②信息安全等级保护概述目标要求：理解等级保护工作过程及标准应用。（3）信息系统测评基本概念与方法目标要求：掌握系统测评的原理和方法以及测评过程。（4）信息安全技术发展趋势目标要求：理解信息安全的基本原理、技术及一些最新研究成果。掌握网络与信息安全的理论基础和发展趋势。（5）我国信息安全标准体系综述目标要求：熟悉我国信息安全标准体系，熟悉主要标准的定位、作用及其主要内容。（6）国外信息系统安全保护政策和标准目标要求：跟踪、了解国外信息安全技术、标准的发展。熟悉美国IATF、NIST系列标准，熟悉800系列中53、53A、37等主要标准的内容。（7）测评机构的质量体系建设目标要求：熟悉质量体系和制度建设的主要内容，通过规范的制度和流程确保等级测评工作顺利开展。培训课程安排级别培训课程课程设置目的初级信息安全等级保护政策了解信息安全等级保护的相关政策、标准。等级保护相关标准应用了解信息安全等级保护的相关政策、标准。网络安全测评熟悉网络测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。主机安全测评熟悉主机测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。应用和数据安全测评熟悉应用和数据库安全测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。安全管理和物理测评熟悉安全管理和物理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。工具测试方法掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据。中级信息安全等级保护政策熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用正确理解信息安全等级保护标准体系和主要标准内容。信息系统安全等级保护基本要求熟悉标准结构，熟悉不同级别系统之间的差别、熟悉各级安全要求内容。信息系统安全等级保护测评方法熟悉信息安全等级测评方法，能够独立开发测评指导书，并熟悉测评指导书的开发、版本控制和评审流程；能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。信息系统安全等级保护测评实施熟悉等级测评项目的工作流程和质量管理的方法。项目管理熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。高级信息安全等级保护政策熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用正确理解信息安全等级保护标准体系和主要标准内容。美国信息系统安全保护政策和标准熟悉和跟踪国外信息安全的相关政策、法规及标准的发展。我国信息安全标准体系熟悉信息安全等级保护标准体系及主要标准。信息安全技术发展趋势掌握网络与信息安全的理论基础和发展趋势。信息系统测评原理与方法掌握系统测评的原理和方法以及测评过程。测评机构的质量体系建设熟悉质量体系和制度建设的主要内容。第三节网络安全培训内容一、网络信息安全主要内容1.网络硬件设备和线路的安全问题（1）构成网络的各种硬件实体、通信线路等要经受诸如断电、雷击、火灾、地震等物理因素上的考验，造成网络设备损毁或停止工作而引起网络中断。（2）非法入侵，不法分子通过技术渗透或利用物理线路侵入网络，非法使用、破坏或获取数据或系统资源，（3）线路干扰，通信线路会受到各种情况的影响，产生线路干扰，影响数据传输速率，产生通信错误，比如，网线如果靠近变压器附近，就会严重影响正常通信。（4）病毒入侵，计算机病毒能够以多种方式侵入计算机网络，并不断在网络中传播，产生很大的破坏，严重的可使整个网络瘫瘓或崩溃。（5）意外原因，包括设备突然出现故障，或者遭到人为破坏，等等。（6）黑客攻击，黑客采用各种手段，对网络及其计算机系统进行攻击,侵占系统资源或对网络和计算机设备进行破坏，窃取或破坏数据和信息。2.网络系统和软件的安全问题网络软件的漏洞及缺陷被利用，使网络受到入侵和破坏，网络软件安全功能不健全或被安装了特洛伊木门软件，未对用户进行分类和标识，使数据的存取未受限制和控制，没有正确的安全策略和安全机制，缺乏先进的安全工具和管理手段3.环境的安全因素地震、火灾、水灾、风灾等自然灾害或掉电、停电等事故，造成网络设备损毁，影响网络正常运行。4.网络管理人员和网络使用人的安全意识问题保密观念不强或不懂保密规则，随便泄露机密。例如：VPN账号泄露，业务不熟练，因操作失误导致文件错误或因未遵守操作规程而造成泄密，因规章制度不健全造成设备损毁，担任系统操作的人员越权获取或修改信息等。二、良好的上网习惯1.预防第一浏览器、即时聊天工具和电子邮件是互联网最基础的应用，从安全的角度说，浏览器则是最重要的部分。有统计数据说明，自箭超过90%的然芎未马、病毒等恶意程序是通过网页传播的，所以，为抵御各种令人防不胜防的病毒、木马和恶薏软件，首先要做好系统安全防护，安装360安全卫士、金山卫士、qq电脑管家等安至软件，保护浏览器和系统文件，及时修复系统漏洞，这是安全使用网络的第一步。2.安装杀毒软件对系统进行保护安装杀毒软件并检查升级，公司下发的计算机都预先安装了条毒软件，在平时的使用中，要经常检查荼毒软件的工作情沉，及时并级病毒库，定期全盘扫描整个系统，检测是否感染病毒，最好成为个人的使用习惯。3.不使用BT等下载工具，保障网络带宽BT被国内网友称为“变态下载”，是一种多点共享协议软件，是专门为大容量文件的共享而设计，由美国加州一名的程序员开发出来。首宪在上传者端把一个文件分成了很多部分，用户甲随机下载了其中的一些部分，而用户乙则随机下载了另外一些部分。这样甲的BT就会根据情况(根据与不同电脑之间的网络连接速度自动选择最快的一端）到乙的电脑去拿乙已经下载好的部分，向样乙的BT就会根据情况到甲的电脑上去拿甲已经下载好的部分。也就是说每个用户在下载的同时，也作为源在上传，大家在用BT下载的同时也在大量上传，并且下载完后如果不手动停止还会不断的上传，从而不停的产生流量，表现得最突出的就是流量的急剧增加。造成网络的开销很大，严重影响的局域网其他用户的使用，容易造成网络瘫痪。此外，因为BT下载对硬盘进行反复读写，容易使硬盘产生高温，直接影响硬盘的寿命。并且当下载人数越多，同一时间读取你的硬盘的人亦越多，硬盘大量进行重复读写的动作，加速消耗。同时因为下载太多东西，使扇区的编排混乱，读写数据时要在不同扇区中读取，增加读写次数，加速硬盘消耗，很容易造成硬盘损坏，因此不要在局域网内使用BT。4.可执行文件防毒绝大多数的计算机病毒通常都以文件型病毒的形式存在，所谓文件型病毒是指此类病毒寄生在司执行文件上，并依靠可执行文件来传播。可执存文阵是指后缀名为.exe、.com、.bat、.vbs、.sys等可政置接宙藻作系统加载栓序运行的文件。我们在日常工作中，可能经常性的通过即的通信工具如qq，或者电子信箱，或者网页下载等获得很多可执行文件，这些可执行文件如果含有讦算机病毒或者黑客程序，轻易运行后，很可能带来不可预测的结果。所以，在日常工作中，收到此类可执行文件后，应当及时用杀毒软阵扫描、检查，确定无异常后才可使用。5.文件备份定期做好文件备份：从我们近两年的信息工作维护日志可以看到，基层送修的计算机，文件的备份工作还有待加强。天家平时在计算机的使用上，往往有个习惯，就是把经常使用的文档和资料全部放在桌面上，这样，一旦系统中了病毒或者硬盘出现问题无法引导系统的时候，系统盘盘里面的数据非常容易丢失并且很难找回，所以，请大家把重要的文档和资料要归类存放，并且不要放在系统盘。安装软件时不要直接装在根目录，因为有些软件卸载的的候是采用的将目录删除的方式，容易造成根目录下的其他文件、资料的丢失。三、基本网络故障排查1.网络故障的分类：（1）一般网络故障可以分为硬件故障和软件故障，或者分为内网故障、外网故障。（2）硬件故障是指网络设备或通信媒体的故障。（3）软件故障是指设备或者计算机软件设置上的问题内网故障是指内部局域网通信的故障。（4）外网故障是指访问互联网Internet的故障。2.一般排查步骤在实际工作中，一般先是从网络层开始排查，首先测试网络的连通性，如果网络不能够连通，从物理层(测试线路)开始排查，如果网络能够连通，再从应用层(测试应用程序本身)开始排查。在物理层，采用替换法或者专门的线缆测试仪，进行排查，也可以通过网络设备(网卡、交换机)等的信号灯的工作状态进行简单的目测。网卡和交换机上面一般都有信号灯，正常工作的时候的状态一般都是绿色的灯频繁闪烁，如果绿灯不亮或者不闪烁，说明设备工作状态可能不正常。3.使用DOS命令快速排查网络故障lpconfig命令(参数：/all)（1）功能：显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP配置信息。可以检查如IP是否动态分配、显示网卡的物理地址等。（2）HostName：主机名，亦是本地计算机名（3）Description：显示此连接的网卡属性、信息。有的计算机有多种网络接入方式，比如无线网络等，可以从这里看出所使用的网络适配器信息（4）PhysicalAddress：物理地址，也就是该网络适配器拥有的全球唯一的MAC地址。（5）IPAddress：IP地址，internet协议地址，比如等等。（6）SubnetMask：子网掩码(作用：就是将某个IP地址划分成网络地址和主机地址两部分用从而来确定二个地址，子网掩码与IP地址共同存在才能准确确定为一个网络里面的IP地址，C类地址默认的子网掩码)（7）DefaultGateway：默认网关(可以理解为本地计算机的网络出口，也就是要上网必须通过的那扇“门”)（8）DNSServers：DNS服务器地址。4.ping命令(格式：pingip地址)（1）功能：Ping命令的主要作用是通过发送数据包并接收应答信息来检测两台计算机之间的网络是否连通，可以用来检查网络是否通畅或者网络连接速度。显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP配置信息。可以检查如IP是否动态分配、显示网卡的物理地址等。（2）Ping命令有很多参数，常用的是-tBytes：表示发送数据包的大小，默认为32byte,（3）Time：表示以毫秒为单位显示从发送回送请求到返回回送应答之间的时间量。这个时间越短，表示数据报不必通过太多的路由器或网络连接速度比较快。（4）TTL(TimeToLive生存时间)，它告诉网络,数据包在网络中的时间是否太长而应被丢弃。5.网络故障的典型检测次序（1）检测物理连接，使用ipconfig命令（2）ping本机ip地址（3）ping网关ip地址（4）ping外网ip地址（5）检查dns服务器第四节安全教育与培训组织内的人员安全意识决定了信息安全的管理水平，有必要定期的对所有人员进行全面的安全培训，提供信息系统使用人员和管理人员的安全技能与安全意识，在安全教育和培训过程中着重考虑如下几个方面：一、信息安全培训的对象信息安全培训工作需要分层次、分阶段、循序渐进地进行，而且必须是能够覆盖全员的培训；分层次培训是指对不同层次的人员，如对管理层（包括决策层）、信息安全管理人员，系统管理员和员工开展有针对性和不同侧重点的培训；分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段，培训工作要有计划地分步实施；信息安全培训要采用内部和外部结合的方式进行，安全培训对象主要保护如下几个类型的员工：1.管理层（决策层）管理层培训目标是明确建立公司信息安全体系的迫切性和重要性，获得公司管理层（决策层）有形的支持和承诺。管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。2.信息安全管理人员信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和公司内部学习研讨的方式。3.公司系统管理员公司系统管理员培训目标是掌握各系统相关专业安全技术，协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。4.员工员工培训目标是了解公司相关信息安全制度和技术规范，并安全、高效地使用公司信息系统。员工培训方式应主要采取内部培训的方式。二、信息安全培训的内容1.信息安全培训的内容主要包含如下几个方面：（1）安全体系及安全职责分工培训公司各级领导及员工明确了解公司信息安全体系，并明确各自在的安全职责，明确自身对维护保障公司系统正常、安全运行所需承担的相关责任和义务。（2）培训应采用长期，并覆盖公司全员。2.新员工入职安全培训新员工在正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的公司信息安全制度和技术规范。（1）员工安全技术教育针对公司系统的维护人员和管理员应定期开展安全技术教育培训（每年至少一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、电子邮件系统、内部网站以及普通计算机周边硬件设备。（2）各项安全专业技术教育针对公司安全管理员和系统管理员应定期开展由供应商或厂家提供的专业安全技术培训，帮助相关安全管理人员和系统管理员了解掌握正确、安全地安装、配置、维护系统。（3）安全专业资格认证针对公司安全管理员和系统管理员应根据实际情况，挑选公司信息安全管理及安全技术人员进行相关的认证考试培训，并参加认证考试，以提高公司安全管理人员对信息安全的管理理论和技术的水平。（4）信息安全内部考核（含培训）针对公司安全管理员和系统管理员应根据岗位不同，对员工进行相关的信息安全培训，并在培训后实行书面（开卷或闭卷）信息安全考核。三、信息安全培训的管理对于信息安全培训的管理主要控制信息安全培训的发起和实施，保证信息安全培训的质量：1.安全培训的发起（1）公司及部门安全管理组织可根据自身安全管理的需要，发起相应的安全培训计划。（2）涉及纳入员工考核的培训，需要公司人力资源部的确实，以及公司网络与信息安全办公室备案考核结果。（3）新员工、公司全员的安全培训教育，纳入公司人力资源部的整体培训计划中。（4）具体操作过程遵守公司人力资源部的相关培训管理制度。2.安全培训的实施（1）培训的实施，建议由公司人力资源部负责。（2）对专业性很强的培训，培训发起的各级安全培训组织负责。（3）具体操作过程遵守公司人力资源部的相关培训管理制度。第五节对采购方人员安全管理培训在安全管理的过程中，内部人员的安全管理作为安全管理的重中之重，内部人员安全是信息系统主要面临的内部安全威胁，在对人员的管理中，需要重点考虑如下几个方面的内容一、员工录用安全管理员工录用，除了应该遵守相关人事和劳动法律法规外，还必须考虑以下安全事项：1.除了严格考察该人员的业务技术水平和相关资质认证（相关计算机认证证书等）外，还必须考虑政治、社会和素质等多方面的因素。2.不考虑录用有犯罪前科、重大行政处分纪录和“黑客”经历的人员。如有特殊情况，需要经公司主管安全的一级经理同意后，方可考虑录用。3.在签订劳动合同之外，必须签订《保密协议》，明确该人员应严格遵守的相关安全管理制度、安全技术规范和保守商业机密的要求以及违约责任等。二、员工工作调动的安全管理由于业务工作的需要或其他原因，需要对员工进行岗位调动时，必须考虑以下安全事项：1.根据新岗位的需要，增加、删除或修改该人员的计算机信息系统访问权限，包括电子邮件系统、业务应用系统、网络系统和其他计算机信息软硬件系统。2.如有必要，重新创建相关管理员账号并修改其口令。3.如有必要，修改合同中有关条款和相应的保密条款或保密协议，并拟定新的雇佣合同，而且原合同中的保密条款或保密协议将继续有效。4.与原岗位有关的所有资料文件，包括其软硬拷贝都需要移交，不允许私自带走。5.遵循“需要知道”原则，尽量避免由于不当或过于频繁的调动，造成人员的权限过大的情况。三、员工离职的安全管理1.员工在离职时，必须遵守以下安全操作流程：删除该员工的所有信息系统访问账号和权限，如有必要将重新创建有关管理员账号和口令。由相关人员和该员工一起回顾其签订的保密协议，并使该员工明确所有保密事项，以及在离开公司后3年内不得披露、使用技术资料的规定。2.对员工的安全审计网络与信息安全领导小组及各生产中心安全管理组织定期组织对员工进行安全审计和监督工作，并把审计和监督结果报告抄送给该人员所属部门主管，作为对该人员工作考核的依据之一。对于不遵守公司信息安全管理制度和安全技术规范的员工，经查实后，由其所属部门主管根据有关规定，报请人事行政部门对该员工进行处罚。3.对员工的安全培训及教育员工的安全培训及教育由公司网络与信息安全办公室及各部门安全管理组织统一计划，公司人力资源部协助实施。具体培训的内容及要求遵照《信息安全培训及教育管理办法》。员工的安全培训及教育成绩，作为对该人员工作考核的依据之一。四、安全岗位人员管理1.安全岗位人员的管理考核专职安全管理员：专职负责信息安全管理工作，是信息安全管理部门的主要成员。具体人员在网络工程处，归属网络工程处长管理，考核。各部门专、兼职安全管理员：负责本部门信息安全管理工作，是信息安全管理组织的成员。人员编制在各部门，日常工作归属相应部门来管理。同时作为信息安全组织组织的成员，其工作考核的一部分归属信息安全管理部门。（具体份额，人力资源部门和信息安全领导小组确定）2.安全岗位人员的培训教育安全岗位的人员需要进行相关安全管理技能的专业培训及教育等工作，安全岗位人员的培训由信息安全管理部门牵头负责，安全岗位人员的培训成绩作为其相应工作考核项之一。3.安全岗位人员职责岗位名称岗位技能要求具体工作内容信息安全主管大学本科以上学历，计算机通信；信息安全专业1.制订信息安全管理制度和技术规范。2.领导、组织信息安全管理制度和技术规范的具体实施。3.监督、检查信息安全管理工作。4.定期就信息安全管理的效果和有关重大问题及时向人民银行信息安全管理部门汇报。安全管理大学本科以上学历，计算机/信息安全专业1.参与信息安全管理制度的制订。2.负责实施和维护信息安全管理制度和技术规范。3.负责监督、检查信息安全工作情况，负责对各部门信息安全考核及各部门安全管理员的工作考核。4.组织、领导对安全岗位人员的信息安全教育培训。5.定期向信息安全主管汇报总体及各部门信息安全的工作情况。安全技术大学本科以上学历，计算机/信息安全专业1.参与信息安全技术规范的制订。2.负责实施和维护信息安全管理制度和技术规范。3.负责信息安全解决方案的评估检查工作。4.负责监督、检查信息系统安全运行情况（保密性、完整性和可用性）。5.负责安全预警及安全审计工作。6.负责安全事件监控及重大安全事件响应。7.领导、监督、检查各部门安全管理员的工作。8.负责信息安全技术的跟踪及研究工作。技术支持处安全管理大学本科以上学历，计算机/信息安全专业1.制订技术支持处信息安全管理制度和技术规范。2.组织技术支持处信息安全管理制度和技术规范的具体实施。3.负责落实外汇局信息安全在技术支持处的工作职责4.负责技术支持处建设项目及信息安全项目的方案编制，安全评估、安全检查、实施等工作。5.监督、检查技术支持处信息系统安全运行情况（保密性、完整性和可用性）。6.定期就技术支持处信息安全管理的效果和有关重大问题及时向外汇局信息安全管理部门汇报。4.与信息安全相关岗位人员安全职责信息安全工作涉及各方面的人员，下表明确和信息安全相关的岗位人员的安全职责要求。岗位名称具体工作内容系统规划及建设1.根据和各部门安全建设的要求，在规划中提前考虑信息安全因素；2.为系统建设提供安全功能开发和建设的指导；3.在项目建设中同步考虑项目的信息安全因素，做好安全加固等保障工作；4.为系统维护人员提供系统安全运行和维护的指导；系统维护1.在项目规划和建设阶段提出信息安全方面的建议；2.负责系统交维后的网络设备、操作系统、数据库等信息安全状况的检查和验收；3.负责系统设备的日常运行、安全维护和管理工作，保持系统处于良好的运行状态；应用维护1.在应用系统规划和建设阶段提出信息安全方面的建议；2.负责系统交付后业务应用系统信息安全状况的检查和验收；3.负责业务和应用系统的日常运行、安全维护和管理工作，保持应用系统处于良好的运行状态；各省安全技术人员1.严格遵循安全管理办法的相关安全要求；2.参加和配合外汇局及本部门的信息安全检查工作。员工安全1.配合信息安全管理员做好个人用机的安全检查和安全加固工作；2.严格遵循安全管理规定及技术规范等相关安全要求；3.配合外汇局及部门的信息安全检查工作。五、安全岗位人员的安全控制在安全岗位人员录用、审计、调动和解聘方面进行严格的安全控制，是保障信息安全组织体系的关键。1.安全岗位人员的录用（1）对于安全岗位人员的录用，除了应该遵守相关人事和劳动法律法规外，还必须考虑以下安全事项：（2）在严格考察该人员的业务技术水平和相关资质认证（相关计算机认证证书等）的同时，必须考虑政治、社会和素质等多方面的因素。（3）不考虑录用有犯罪前科、重大行政处分纪录和“黑客”经历的人员。如有特殊情况，需要经主管安全的局长同意后，方可考虑录用。（4）在签订劳动合同之外，必须签订《保密协议》，明确该人员应严格遵守的相关安全管理制度、安全技术规范和保守商业机密的要求以及违约责任等。2.安全岗位人员的审计外汇局定期进行安全工作检查，内容包括对安全岗位人员的审计，同时安全检查的结果作为安全岗位人员的工作考核的依据之一。3.安全岗位人员的调动（1）由于业务工作的需要或其他原因，需要对安全岗位人员进行岗位调动时，必须考虑以下安全事项：（2）根据新岗位的需要，增加、删除或修改该人员的信息系统访问权限。（3）如有必要，修改保密协议，并拟定新的雇佣合同，而且原合同中的保密协议将继续有效。（4）与原岗位有关的所有资料文件，包括其软硬拷贝都需要移交，不允许私自带走。（5）遵循“需要知道”原则，尽量避免由于不当或过于频繁的调动，造成人员的权限过大的情况。4.安全岗位人员的离职（1）安全岗位人员在离职时，必须遵守以下安全操作流程：（2）删除该员工的所有信息系统访问账号和权限，如有必要将重新创建有关管理员账号和口令。（3）由相关人员和该员工一起回顾其签订的保密协议，并使该员工明确所有保密事项，以及在离开外汇局后3年内不得披露、使用外汇局的技术资料的规定。5.关于信息安全的奖励及考核（1）员工安全管理由各部门专、兼职安全管理员具体进行操作，把执行情况向本部门安全管理组织，及公司网络与信息安全办公室汇报，并由公司网络与信息安全办公室直接呈报给公司网络与信息安全领导小组作为公司各部门年度目标责任制考核的内容之一。（2）对执行制度好、信息安全工作成绩显著的部门和个人，将给与表彰和适当奖励；对违反公司安全管理制度、信息安全工作存在不足和隐患的部门、营业厅，由公司网络与信息安全领导小组发出书面整改通知，限期整改；对刻意不执行公司安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事故和案件的，将追究其部门主要负责人和直接责任者的责任，并按公司有关考核管理办法予以处理，构成犯罪的，将依法追究其刑事责任。第六节第三方人员安全管理一、第三方人员短期访问安全管理（一）物理安全第三方人员现场访问需要遵从公司物理安全的管理制度，具体物理安全的负责部门是行政部。要求如下：1.第三方人员进出公司均需登记，遵照公司物理安全管理制度执行。2.工作时间内机房必须有当班、值班人员，对第三方人员进入机房内部一律进行登记。3.重要机房实行安全保卫管理，对第三方人员进入机房需要接待员工所属三级经理的同意，同时在本部门内部进行登记。（二）网络访问安全1.第三方人员现场访问公司网络原则上不允许。如果必须，需要第三方人员及接待人员遵守如下安全要求：（1）临时接入公司办公网络的第三方人员，需要公司接待人员的同意，一旦发生并经核实其起因是第三方人员引起的安全事件，相关责任由公司接待人员负责。（2）临时接入公司生产网络的第三方人员，需要公司接待人员所属三级经理的同意，同时在本部门内部进行登记。一旦发生并经核实其起因是第三方人员引起的安全事件，相关责任由公司接待人员及所属三级经理负责。（3）第三方人员远程访问公司网络原则上不允许。2.如果必须，需要第三方人员及接待人员遵守如下安全要求：（1）临时远程访问公司网络的第三方人员，需要公司接待人员所属三级经理的同意，并在本部门内部进行登记。一旦发生并经核实其起因是第三方人员引起的安全事件，相关责任由公司接待人员及所属三级经理负责。（2）临时远程访问公司网络的第三方人员在访问过程中，公司接待人员应能够确定其访问的内容；在访问结束后，公司接待人员应及时关闭或敦促相关技术负责人员关闭临时访问的通路，并在本部门内部记录访问结束时间。二、第三方人员长期访问安全管理（一）物理安全1.第三方人员现场访问，需要遵照公司物理安全的管理制度执行，具体物理安全的负责部门是行政部。要求如下：（1）遵守公司物理安全管理制度，在公司安全保卫部门办理第三方人员进出证件，证件表明访问时间段及接待部门。（2）工作时间内机房必须有当班值班人员，对进入机房内部的第三方人员一律进行登记。（3）重要机房实行安全保卫管理，对第三方人员进入机房需要接待员工所属三级经理的同意，同时在本部门内部进行登记。（4）第三方人员均应遵从机房管理人员的管理。2.网络访问安全第三方人员现场长期访问公司网络，除第三方人员遵守公司的安全管理制度及规范之外，第三方人员及接待人员还必须遵守如下安全要求：（1）长期访问公司网络的第三方人员需要签署相关《第三方人员安全保密协议》，承诺遵守公司安全制度及规范。（2）需要公司办公网管理部门相关工作负责人审批确认，详细内容参见《办公网络环境第三方人员访问申请审批流程》。在长期访问终止后，接待人通知办公网管理部门相关工作人员，工作人员备案并作相应安全评估、检查工作。（3）第三方人员在访问公司网络期间如违反公司安全管理制度，除根据保密协议及相关公司安全管理制度进行处罚以外，公司接待人及所属部门也应承担责任。3.第三方人员长期远程访问公司网络原则上不允许。如果必须，需要第三方人员及接待人员遵守如下安全要求：（1）需要签署相关《第三方人员安全保密协议》，承诺遵守公司安全制度及规范。（2）需要公司办公网管理部门（计费业务中心）相关工作人员审批确认，详细参见《办公网络环境第三方人员访问申请审批流程》。在长期访问终止后，接待人通知办公网管理部门相关工作人员，工作人员备案并作相应安全评估、检查工作。（3）第三方人员在访问公司网络期间如违反公司安全管理制度，除根据保密协议及相关公司安全管理制度进行处罚以外，公司接待人及所属部门也应承担责任。三、第三方人员访问申请审批流程图第七节网络安全设备维护培训一、网络安全的基本概念计算机网络系统的安全性主要是指内部安全与外部安全，内部安全是在系统的软件、硬件及周围的设施中实现的，外部安全主要是人事安全，是对某人参与计算机网络系统工作和工作人员接触到的敏感信息是否值得信赖的一种舍差过程。计算机网络的保密性是对传输过程中的数据进行保护的重要方法，又是对存储在各种媒体上的数据加以保护的一种有效措施。系统安全是我们的最终目标，而加密时实现这一目标的有效措施段。计算机系统的完整性是保护计算机网络系统内软件（程序）与数据不被非法删改的一种技术手段，它可以分为数据完整性和软件完整性。（一)网络安全威胁的类型网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面，并且随着时间的变化而变化。网络安全威胁的种类有：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。（二)网络安全机制应具有的功能采取措施对网络信息加以保护，以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能：身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。二、计算机网络受攻击的主要形式由于计算机网络的开放性、互连性等特征，致使网络为病毒、黑客和其他不轨的攻击提供机会，所以研究计算机网络的安全以及防范措施是必要的，这样才能确保网络信息的保密性、安全性、完整性和可用性。计算机网络应用中常见的安全问题主要有以下六种形式。（一）威胁系统漏洞由于任何一个操作系统和网络软件在设计上存在缺陷和错误，这就成为一种不安全的隐患，让不法者利用，一些恶意代码会通过漏洞很容易进入计算机系统对主机进行攻击或控制电脑。所以在使用电脑时，要及时安装网络安全扫描工具，及时下载系统补丁来修复系统漏洞。（二）欺骗技术攻击：通过欺骗路由条目、IP地址、DNS解析地址，使服务器无法正常响应这些请求