信息技術安全工作培訓

A. 信息安全專業就業前景（學此專業的人請進）

信息安全專業大多是跟電腦安全打交道的
要學習的課程有【高等數學、線性代數、計算方版法、概率論與數理權統計、計算機與演算法初步、C++語言程序設計、數據結構與演算法、計算機原理與匯編語言、資料庫原理、操作系統、大學物理、集合與圖論、代數與邏輯、密碼學原理、編碼理論、資訊理論基礎、信息安全體系結構、軟體工程、數字邏輯、計算機網路等】（轉自網路）
所以可以看到這個專業理科性比較強，如果你的朋友不是很喜歡的話最好能選擇其他的專業

【這是我的建議，你可以考慮一下】

至於就業方向，【政府機關、國家安全部門、銀行、金融、證券、通信領域從事各類信息安全系統、計算機安全系統的研究、設計、開發和管理工作】【也可在IT領域從事計算機應用工作】（轉自網路）並不是都和公安打交道，公安部門是一方面，其他的還有很多地方可以就業。

根據你說的這種情況，如果你朋友認真學的話，或許可以在一些石油企業維護一下計算機、幫企業設計一些統計資料的軟體之類的，不過這可能會有些累，看你朋友怎麼想了。
不然的話還是建議你的朋友想辦法換個專業吧

希望能對你有幫助！

B. 信息化時代下如何做好信息安全工作

煙草在線專稿 力拓「間諜門」喚起了國人對於商業間諜行為的關注，同時也迫使很多企業把信息安全問題提到了重要日程上來。另一方面由於科學技術的發展，使得企業的安全工作已不僅僅局限於傳統安全領域，而是使得安全工作的涉及的面更加廣泛，包含的內容更加豐富，也使得當前的企業安全工作與以往任何時期相比都顯得更為重要。 信息安全工作對於卷煙廠來說同樣重要，應當引起足夠的重視，積極思考並探索出信息安全保障的有效途徑，切實做好信息安全工作，保證生產線的穩定可靠運行，將對我們穩定產品質量、提高生產效率、提升生產管理能力將大有裨益。筆者就自己多年來的學習和工作實踐，並結合煙草行業的特點，從下面三個方面談談如何在信息時代做好企業信息安全工作，以和大家共同分享。 加強員工的思想、道德、操守教育，提高其對信息安全重要性的認識，增強自我約束力，在人的層面上保證信息的安全。 員工是企業的載體，是企業各項活動的參與者，是企業各種制度的履行著。因此要想做好信息安全工作，首先上要加強員工思想教育，使員工從思想上重視信息安全，充分認識到信息安全工作的重要性。只有在思想上重視，將信息安全工作融入到潛意識中並潛移默化，各項規章制度執行起來才能順暢有成效，如果員工總是想著如何規避信息安全規章制度，做什麼事都圖方便、圖省事、怕麻煩，對公司各種指令陽奉陰違，不按規章制度走程序，或者更嚴重的去想如何竊取信息，相信信息安全工作是做不好的。另外從另一個角度來看，企業的政令得不到有效執行，還要花精力研究新的規章制度並貫徹執行，這在某種程度上來說是增加了企業的運行成本。 加強員工道德、操守教育就是要樹立一種以保護信息為榮，泄露、竊取信息為恥的道德觀念。科學技術的發展為信息的傳遞提供了便捷條件，今天一個電子郵件，一個大拇指大小的U盤，一條簡訊息都能輕松、便利、快速的將信息傳遞出去，而傳統辦公條件下幾個檔案箱的紙質文本文件用一個U盤就能裝下，這也意味著：公司的機密文件和信息用U盤這樣小的工具就能被不良企圖的員工輕易的帶走，為信息的泄露和竊取埋下了隱患。因此，企業的信息安全在良好周密的規章制度做保障的同時，培養高素質、具有良好道德操守的員工也至關重要，否則再好的規章制度也會形同虛設。 另一方面，加強員工思想、道德、操守教育也是對員工保護和關愛的一種體現。如華為公司就發生過這樣的案例：華為深圳總部的幾名技術人員參與了公司的一個項目的研發。在掌握了相關的核心技術和相關的技術資料後，他們選擇了集體辭職，然後到上海開辦了一家小公司，利用從華為竊取和掌握的技術和資料做和華為同樣的項目，避免了開發過程，以「0」研發成本賺取巨額利潤。華為公司發現後，及時採取有關措施處理了該項事件，並訴諸法律手段起訴了這幾名員工，最後等待這幾名員工的是幾年牢獄生活。 從這個案例我們不難看出，如果企業加強了員工思想、道德、操守教育，使員工能夠認識到信息安全的重要性，從自我做起，嚴格要求自己，就一定能避免這種悲劇的出現，因此做好信息安全工作從某種程度上來講也是對員工的一種保護和關愛。在我們煙草加工行業同樣如此，牌號配方、工藝指標、銷售分析數據、「一號工程」資料庫系統等等都是我們信息安全工作中的重點，它們的泄露和丟失也必將給我們帶來不可估量的損失。 制定詳細周密的信息安全管理制度，在制度的層面上保證信息的安全。 俗話說：「沒有規矩，不成方圓。」規矩在人們的生活中佔有十分重要的地位，信息安全同樣需要相應的規章制度做保證。在華為研發部門到處可見這樣的標語：文件要受控，信息才安全。華為公司對文件的使用保存、列印機的使用、復印機的使用、電子郵件的監控、計算機的使用、員工出差筆記本電腦的使用和管理、軟體的編寫等諸多涉及信息的內容制定了詳細而周密的規章制度，同時在研發部門，員工出入公司都要經過保安的驗包程序，涉及到信息安全的程序可謂「不厭其煩」，但從另一個層面看，這些看似繁復的程序也確實為華為的企業信息安全作出了不可或缺的貢獻，也使員工建立了良好的自我約束機制，養成了良好的工作習慣，達到了制度和員工之間的良好互動。 對於我們煙草行業來說，制定相應的信息安全規章制度也同樣必不可少，如以制絲車間中控室為例，就應當制定完善的信息安全管理制度，下面筆者就結合制絲車間來談談如何建立企業信息安全規章制度。制絲車間中控室的控制計算機雖然說都是工控機，但它們都和家用電腦一樣配有USB通信口，有的還配有光碟機或光碟刻錄機，其實這些都為信息安全埋下了隱患。由於有的員工自我約束力相對差些，拿著自己的U盤拷貝文件到中控室電腦上列印自己的文檔，而U盤是最容易傳播病毒的。 結合工作實踐，筆者認為：中控室的計算機不和外界網路相連，不具備被外界互聯網路危險源攻擊的可能性，這些計算機埠和外設可以說是導致中控室電腦中毒的根源。所以制定中控室的信息安全管理制度可以從兩個方面著手：一是制定出嚴格的員工考核制度。依據「誰使用誰負責，誰主管誰負責」的原則，制定落實操作機長負責制，如果在誰當班期間出現病毒故障就對其進行考核；二是規范中控室出入制度。嚴格杜絕非工作人員進入中控室，並對確實需要進入中控室的人員進行先向主管領導打報告，徵得主管領導同意後，再到中控室簽名（登記其出入時間）進入的制度。 還可以從硬體上著手。由於USB介面和光碟機部件的管理難度較大，具體我們可以參考華為公司對計算機管理的辦法，在計算機機箱的前部去掉光碟機和USB介面，只保留機箱後部的USB介面，然後在機箱後部加裝特殊的保護罩，鑰匙由專人保管負責，確實要使用USB介面的話，可以填寫報告（在華為要走電子流程，即要進入相關的公司管理系統填寫相關的電子流，等待主管人員的審批同意，審批同意後由專人來開鎖），報告報主管領導同意後，由鑰匙保管人來開箱。當然這樣做可能會比較麻煩，增加了流程，但是採用這樣的方法就會從根本上杜絕U盤傳播病毒和通過U盤泄露信息。 從計算機軟體和硬體著手，兩手並重，在技術的層面上保證信息的安全。 在卷煙加工行業，PLC和工控機（或者一般計算機）的配合應用在生產線上得到了廣泛的使用，PLC具有CPU、存儲器、外設埠，計算機所應具有的單元它都具備，它可以認為是簡單的計算機。因此我們就可以結合計算機的軟硬體，借鑒計算機信息安全的經驗來解決我們自己的信息安全問題。筆者下面從工業乙太網通信部分、下位機PLC部分、上位機中控室計算機部分，三個方面論述卷煙生產線上的信息安全問題。 工業乙太網通信部分在現場的維護中是一個很讓技術人員頭疼的問題，一旦出現網路故障，技術人員往往很難判斷出具體是那部分出現了故障，盡管西門子公司的工業乙太網通信部分給出了詳細的網路診斷，但由於技術發展本身的制約，這些診斷功能很難在出現故障時給現場的技術人員有效的指導。其實造成這樣的原因不是我們的技術人員技術能力不高、不鑽研，而是由工業乙太網本身所固有的特點決定的。盡管目前來說，工業乙太網考慮工業環境的特點對乙太網進行了改進給出了四種類型的工業乙太網，但實際上乙太網本身固有的痼疾並沒有徹底解決，其實這就是出現網路故障，不能保證通信安全性的根本原因。所以解決網路通信的根本途徑就是不用工業乙太網，但事實上我們不可能因噎廢食。 上面主要討論了控制網路通信中的協議方面的問題，其實就是控制網路通信的軟體問題，因為軟體是依據協議編寫的。下面兩個部分主要探討下位機和和上位機中非通信軟體和硬體問題。下位機PLC在我們的生產線上一般採用的是西門子S7系列的PLC，從硬體角度來說具有很好的安全性能。PLC軟體一般是由梯形圖和語句表編寫的，考慮到現場設備的安全性和滿足生產的特點，開發人員在軟體編寫完成後，都經過了嚴密的軟體調試，同時由於PLC程序是掃描執行的，如果軟體存在缺陷的話，錯誤動作將會周期執行。另一方面每次技改工作完成後，我們自己的技術人員依據生產中的實際情況，利用較短的時間將程序調試的更為完善，所以說PLC軟體存在缺陷的概率不大，或者說這個部分出現問題，我們是有能力盡快恢復的，能夠保證該部分的穩定安全的。 上位機中控室計算機部分我們採用的是IBM的計算機，同時幾個工藝生產段的上位控制計算機之間具備冗餘備份作用，所以上位機的穩定可靠性能力已經達到了比較高的程度。軟體方面採用的是IFIX和VB復合的編程的方式，即前台用的是IFIX，後台程序用的是VB編程。由於上位機的程序也是循環執行的，結合上面PLC部分的論述，可以知道，上位機的程序存在缺陷或者導致系統故障的概率也不大。 綜合以上三點可以知道，只有充分掌握通信協議，熟悉設備的軟、硬體特點，結合工業現場的實際情況，才能保證工控網路的穩定、健康、安全、健壯運行，而這是從根源上解決問題的唯一途徑。 以河南中煙新鄭卷煙廠為例，河南中煙新鄭廠正在以貫標、對標為契機，深入推進創建優秀卷煙廠活動，創建優秀卷煙工廠的活動內容幾乎涵蓋了當前新煙工作的所有方面。就行業來講，隨著信息技術的不斷更新和快速發展，我們的信息安全的標准還有很多不盡完善的地方，只要我們把握機遇、勤於思考、開拓創新，探索出符合行業情況和特點的信息安全標准也是未盡可知的事。因此這就求全體技術和技能人員發揚勇於探索、勤於鑽研、不怕困難、敢為天下先的精神，就一定能做好信息安全工作，為創建優秀卷煙工廠提供可靠的保障。（河南中煙新鄭廠制絲車間中控室）

C. 信息安全的目標和原則

所有的信息安全技術都是為了達到一定的安全目標，其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。
保密性(Confidentiality)是指阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內容之一。更通俗地講，就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息，我們只需要保護好文件，不被非授權者接觸即可。而對計算機及網路環境中的信息，不僅要制止非授權者對信息的閱讀。也要阻止授權者將其訪問的信息傳遞給非授權者，以致信息被泄漏。
完整性(Integrity)是指防止信息被未經授權的篡改。它是保護信息保持原始的狀態，使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴重的後果。
可用性(Availability)是指授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求，也是在網路化空間中必須滿足的一項信息安全要求。
可控性(Controlability)是指對信息和信息系統實施安全監控管理，防止非法利用信息和信息系統。
不可否認性(Non-repudiation)是指在網路環境中，信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。
信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。而對授權主體的不正當行為如何控制呢?信息安全的可控性和不可否認性恰恰是通過對授權主體的控制，實現對保密性、完整性和可用性的有效補充，主要強調授權用戶只能在授權范圍內進行合法的訪問，並對其行為進行監督和審查。
除了上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統的行為人不能否認自己的信息處理行為。與不可否認性的信息交換過程中行為可認定性相比，可審計性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對信息的發送者的身份進行判定。它也是一個與不可否認性相關的概念。 為了達到信息安全的目標，各種信息安全技術的使用必須遵守一些基本的原則。
最小化原則。受保護的敏感信息只能在一定范圍內被共享，履行工作職責和職能的安全主體，在法律和相關安全策略允許的前提下，為滿足工作需要。僅被授予其訪問信息的適當許可權，稱為最小化原則。敏感信息的。知情權」一定要加以限制，是在「滿足工作需要」前提下的一種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。
分權制衡原則。在信息系統中，對所有許可權應該進行適當地劃分，使每個授權主體只能擁有其中的一部分許可權，使他們之間相互制約、相互監督，共同保證信息系統的安全。如果—個授權主體分配的許可權過大，無人監督和制約，就隱含了「濫用權力」、「一言九鼎」的安全隱患。
安全隔離原則。隔離和控制是實現信息安全的基本方法，而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。
在這些基本原則的基礎上，人們在生產實踐過程中還總結出的一些實施原則，他們是基本原則的具體體現和擴展。包括：整體保護原則、誰主管誰負責原則、適度保護的等級化原則、分域保護原則、動態保護原則、多級保護原則、深度保護原則和信息流向原則等。 中國信息安全測評認證中心是中國信息安全最高認證，測評及認定項目分為信息安全產品測評、信息系統安全等級認定、信息安全服務資質認定、信息安全從業人員資質認定四大類。
信息安全產品測評：對中國外信息技術產品的安全性進行測評，其中包括各類信息安全產品如防火牆、入侵監測、安全審計、網路隔離、VPN、智能卡、卡終端、安全管理等，以及各類非安全專用IT產品如操作系統、資料庫、交換機、路由器、應用軟體等。
根據測評依據及測評內容，分為：信息安全產品分級評估、信息安全產品認定測評、信息技術產品自主原創測評、源代碼安全風險評估、選型測試、定製測試。
信息系統認定：
對中國信息系統的安全性進行測試、評估。
對中國信息系統的安全性測試、評估和認定、根據依據標准及測評方法的不同，主要提供：信息安全風險評估、信息系統安全等級保護測評、信息系統安全保障能力評估、信息系統安全方案評審、電子政務項目信息安全風險評估。
信息安全服務資質認定：
對提供信息安全服務的組織和單位資質進行審核、評估和認定。
信息安全服務資質是對信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力，以及其穩定性、可靠性進行評估，並依據公開的標准和程序，對其安全服務保障能力進行認定的過程。分為：信息安全工程類、信息安全災難恢復類、安全運營維護類。
信息安全專業人員資質認定：
對信息安全專業人員的資質能力進行考核、評估和認定。
信息安全人員測評與資質認定，主要包括注冊信息安全專業人員（CISP）、注冊信息安全員（CISM）及安全編成等專項培訓、信息安全意識培訓。

D. 信息系統安全管理

一、內容概述

在信息化建設中進行信息系統安全管理，是一個新的課題，已經引起各國地調組織的高度重視。信息系統安全管理不單單是管理體制或技術問題，而是策略、管理和技術的有機結合。從安全管理體系的高度來全面構建和規范信息安全，將有效地保障信息系統安全。要利用網路和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務，就需要重視包括網路服務在內的自動信息系統安全管理。自動信息系統安全管理是指用來保護自動信息系統資源免於丟失、破壞或濫用所做的管理控制和保衛工作。美國地質調查局在自動信息系統安全管理方面積累了大量經驗，這對我國相關部門制定有針對性的安全管理方法具有重要的借鑒和指導作用。

二、應用范圍及應用實例

美國地質調查局將提供地質信息列入其戰略計劃或工作計劃，強調要利用網路和信息技術及時有效地為用戶提供綜合、客觀的地質信息服務，同時非常重視其包括網路服務在內的自動信息系統安全管理。自動信息系統安全管理是指用來保護自動信息系統資源免於丟失、破壞或濫用所做的管理控制和保衛工作（張翠光等，2009）。

1.美國地質調查局自動信息系統安全管理方針

保護美國地質調查局所有信息技術設施，避免被損失、破壞、偷竊和濫用；保護所有美國地質調查局自動信息系統所處理的數據，避免發生未被授權的信息被泄露、修改或破壞；自動信息系統所產生、處理、存儲或傳輸信息受保護的等級與其敏感等級相一致；對違反聯邦、部門或局關於自動信息系統安全法規者將受到相應的行政、法律制裁。

2.美國地質調查局自動信息系統敏感等級分類

敏感自動信息系統是指運行處理敏感數據的計算機應用程序的自動信息系統（設施、硬體、操作系統軟體、通信系統等），其中敏感數據是指由於數據的故意或意外泄露、更改或破壞會導致損失或危害的風險及數量較大而要求保護的數據。美國地質調查局為了給每一個信息系統採取相應的保護措施，對其給定了相應的敏感等級，並要求一、二級敏感信息系統應到美國地質調查局信息系統管理中備案，而0級敏感信息系統不需備案。0級敏感信息相當於公開信息；一、二級信息系統的信息不屬於美國國家規定的保密信息，是根據其工作任務、商業目的及其價值大小等而設定；三級敏感信息系統的信息才是真正的保密信息。

0級（非敏感性）自動信息系統：自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽的影響可以忽略不計。即使有影響，影響也是微不足道，或者導致僅僅很小的有形資產或資源的損失。

一級敏感自動信息系統：自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽影響較小。系統安全方面出現問題可能對有形資產或資源的損失造成潛在的不利影響。

二級敏感自動信息系統：自動信息系統上的信息不準確、更改、泄露或不能利用對美國地質調查局的任務、功能、形象或榮譽可能產生重要的不利影響。系統安全出現問題可能導致美國地質調查局不能完成其1個或多個計劃任務或商業功能，或者導致重大的有形資產和資源損失。系統生命周期的開支一般超過1000萬美元。

三級敏感自動信息系統：自動信息系統處理機密信息。一般由提供美國地質調查局機密信息的聯邦機構制定自動信息處理要求。根據機密信息提供者建立的要求，系統的鑒定及認可應備案。根據其敏感性再分為類似於秘密、機密、絕密3個等級。

自動信息系統安全規劃構成

確定潛在的威脅和薄弱點，並建立全面的安全保護制度減少威脅和薄弱點，才能使自動信息系統安全計劃有效，為此美國地質調查局建立了自動信息系統安全規劃。

A.安全規劃

美國地質調查局認為全面的安全規劃是任何一個自動信息系統安全管理的重要部分。美國地質調查局支持美國地質調查局所有自動信息系統活動，認為安全規劃是安全管理實施過程不可分割的部分：①安全規劃為年度預算的一部分，保證所有自動信息資源有經費支持，使自動信息系統資源得到充分的保護；②處理敏感信息的所有自動信息系統（設施和應用程序）應有正式安全規劃。在新的敏感自動信息系統開發階段必須准備初始計劃和原系統升級年度計劃，以反映系統安全執行情況和/或主要變化。在計劃中提供的內容要反映系統的大小和復雜性，規定系統的基本內容和格式應遵守當前最流行的美國國家管理和預算局所提供的指導方針。

B.風險管理

所有擁有或管理自動信息系統的美國地質調查局機構必須執行和維護風險管理計劃，以幫助相應的安全保護措施到位以保護好所有的信息資源。規定管理人員應知道他們信息資源的潛在威脅和薄弱點。一旦知道潛在威脅、薄弱點和潛在的安全保護選項，管理上就應確定各種安全保護選項的必要措施和經費/利益。風險管理一般包括風險分析、安全措施的實施和風險分析頻率3個方面的內容：

一是風險分析。風險分析是設施或敏感應用程序定期檢查或應急計劃處理的組成部分。美國地質調查局要求在現存的計算機設施或敏感應用程序發生主要變化時或在批准敏感自動信息系統設計之前作風險分析。風險分析的范圍、復雜性和頻率與自動信息系統處理數據的敏感性和被保護資源的價值相稱。風險分析過程步驟如下：①估計自動信息系統（硬體、軟體、數據、設備、人員）資產（現存的或計劃的）和系統資源相關的費用（價值），包括數據敏感性的確定；②識別和評定自動信息系統的潛在威脅，包括破壞正常操作、導致系統資產破壞或損失，或其他自然災害或危險因素和人為因素。並根據每一個潛在威脅產生的可能性分出威脅等級；③找出脆弱點，包括確定或找出在敏感應用程序、自動信息系統或信息技術設備中可能導致安全威脅的弱點或缺點；④評估潛在損失，在確定威脅和脆弱點之後，還應將包括恢復損失和破壞數據的潛在損失定量化；⑤根據遇到的威脅和脆弱點，確定可能的安全保護措施及其相關費用。確定的安全保護費用應與未實施安全保護措施所造成的預期損失的費用相比較。如果安全保護措施花費超過了預期保護利益，那麼不應採取安全保護措施。

二是安全措施的實施。在風險分析完成之後，管理部門必須決定是否執行成本核算的安全保護或接受這種風險。如果風險分析表明接受這種風險不符合聯邦、部門或美國地質調查局的有關規定，那麼必須採取必要的保護措施以最低限度符合這些規定：①利用風險分析結果，設備擁有者和敏感應用程序擁有者應選擇具體的最大限度保護設施和數據的安全措施；②除違反法規問題外，管理部門可以選擇接受與找出威脅或脆弱點相關的風險。如果這樣，自動信息系統所有者必須簽訂一個聲明，承認他們了解不執行正確的推薦行動相關的風險。

三是風險分析頻率。美國地質調查局對風險分析的次數做了相應的規定：對美國地質調查局所有計算機設施至少5年1次；對敏感應用程序和敏感計算機設施至少3年1次；在敏感應用程序或任何計算機設施進行實質性改變時應進行風險分析；在計劃一個新的系統或設施開發時，應進行風險分析。

C.信息資源的保護

為了使美國地質調查局信息資源從風險分析中確定的風險和脆弱點得到合理的保護，自動信息系統所有者必須採取具體的保護措施。一般考慮如下類型的安全保護措施保護信息資源：①物理安全：採取適當的操作和規程減少自動信息系統受到的諸如偷盜、意外或故意破壞、非授權或非法訪問或非授權信息泄露等威脅；②技術安全：使用適當的保護措施（如：密碼、個人ID識別裝置、殺毒軟體、訪問利用控製表、用戶活動監測軟體、加密術或回撥數據機）防止非授權的訪問或非法的自動信息系統軟體或數據的使用；③管理安全：制定或分發詳細的指導規程使所有自動信息系統得到正確的保護。

3.應急計劃

為了使服務中斷等故障最小，應對每個計算機設備和敏感應用程序開發一個應急計劃。定期評估每一個應急計劃，確定是否需要對其修改以反映系統或人員情況變化。

任何應急計劃的復雜性和范圍要與自動信息系統所處理數據的敏感等級相稱。應急計劃至少包括下列項目：①數據和軟體的備份存儲器和恢復規程；②與緊急事件相對應的處理規程、可選處理能力的說明，在必要情況下轉移操作到另外一個可選擇操作的程序等恢復操作的過程；③計算機設施應急計劃與任何敏感應用程序應急計劃應具一致性；④定期檢查應急計劃。

4.敏感應用程序安全

美國國家管理和預算局A 130通告要求，負責開發和維護處理敏感數據的美國地質調查局計算機應用程序的管理者應建立管理控制方法，對所有新的應用程序和現存應用程序的重大變化應採取相應的物理、技術和管理安全保護措施。敏感應用程序管理控制至少包括：①安全技術條件：根據預先的風險分析結果，在應用程序獲取或正式開發之前，應規定或批准安全要求和安全技術條件。為一個應用程序規定和批准安全規程時，應把對處理敏感應用程序的計算機設施進行的風險分析和管理控制檢查的結果考慮進去；②設計審查和系統測試。在執行敏感應用程序之前應進行設計評審和系統測試，使安全保護符合批準的安全技術條件。③認證：在執行應用程序之前，新的或實質性改進的敏感應用程序的所有者或管理者應向美國地質調查局自動信息系統安全行政主管書面證明，證明其符合所有現行的自動信息系統方針、法規、標准，同時系統測試的結果證實配備的安全保護措施充分。認證過程包括對應用程序管理和安全控制的評價。④定期重新認證：所有敏感應用程序必須每3年認證1次。

5.計算機安全知識培訓活動

對所有涉及在美國地質調查局之內或監督之下的每一個敏感聯邦信息系統管理、使用或操作的職員，美國地質調查局為他們提供定期計算機安全知識強制性的培訓和公認的計算機安全鍛煉。所有使用、管理和操作敏感自動信息系統的新職員在他們上崗60天之內必須接受計算機安全知識培訓。培訓用來增強職員了解計算機系統的威脅和薄弱點，強調保護美國地質調查局自動信息資源和正確使用他們的資源的責任。計算機安全培訓應有證明文件，並保留在每一個職工的正式個人檔案中。計算機安全知識培訓包括：①基本知識培訓：使職工對威脅和薄弱點產生敏感性，認識保護數據、信息的必要性和處理他們的方法；②高級培訓：為敏感自動信息系統所有者/管理者、管理員、信息技術人員和計算機安全管理員提供相關能力，使他們能履行風險分析、制定自動信息系統保護計劃、執行安全措施或評價現存安全系統的有效性。

6.報告安全事故

對造成自動信息系統技術、數據和服務設施網的破壞，或導致敏感自動信息系統欺騙、或非授權的泄露等安全事故，所有職員和協議人員有責任向上級報告相關事故：①包括自動信息系統設備的偷竊或惡意破壞、欺騙、擾亂國家安全或其他濫用自動信息資源的事故必須立即依據所處環境和位置向美國地質調查局安全官員和/或其他地方執法人員報告；②包括試圖非法訪問利用任何美國地質調查局自動信息資源、惡意密碼事故或敏感信息的非法泄露等事故必須立即向自動信息系統安全管理人員和向美國地質調查局自動信息系統安全行政主管官員報告。

7.人事安全

美國地質調查局規定各部門建立方針或規程，屏蔽所有參與敏感計算機系統設計、開發、操作或維護人員及可以使用敏感數據的人員。屏蔽等級根據數據敏感等級以及由個人造成的風險等級、損失或危害大小而定。所有負有管理、設計、開發、操作、維護或使用美國地質調查局任何計算機系統的任何職位的人員必須賦予與數據敏感等級、風險大小及由個人導致的損失或危害程度大小相匹配的風險責任。美國地質調查局所有計算機系統使用者必須有適當的背景調查，所要求的調查必須與所設定崗位的敏感等級相匹配。

8.年度報告制度

美國地質調查局規定了自動信息安全管理規定的年度報告制度。每一個分機構自動信息系統安全官員每年應向美國地質調查局自動信息系統安全管理行政官員報告現行設備及敏感應用程序安全職員名單。對每一個設施或敏感應用程序至少必須提供以下信息：安全職員及候選人姓名和電話號碼、設施和敏感應用程序的名稱及地址、每一職員所要求安全培訓的水平。這些最新列表每年9月交給美國地質調查局自動信息系統安全行政管理官員。

人事人員要向美國地質調查局自動信息系統安全行政管理者提供以經濟年度為基礎的美國地質調查局安全知識培訓情況。報告將包括如下信息：在財政年度期間，接受基本知識和/或全面計算機安全培訓的職員和協議人員（非管理）的數量，在財政年度期間接收計算機安全知識培訓的管理人員數量。另外，每分機構自動信息安全官員應向美國地質調查局自動信息系統安全管理者提供下一個財政年度里在上述類目中需要接受培訓職員和協議人員的數量。每年九月一日將報告交到美國地質調查局自動信息系統安全行政管理部門。

敏感自動信息系統所有者有責任維護他們的敏感信息系統安全規劃。敏感自動信息系統所有者每年對他們分機構自動信息系統安全管理人員的更新材料及信息系統更新情況上報美國地質調查局自動信息系統安全管理部門。更新計劃應反映自動信息系統硬體、軟體或功能的主要變化、安全執行情況，系統認證或重新認證計劃、應急計劃的檢查計劃。

三、資料來源

張翠光，小平等.2009.美國地質調查局自動信息系統安全管理及其對國家地質資料數據中心建設的啟示.現代情報，29（3）：212～215

E. 廣西專業技術人員網路培訓系統的信息技術與信息安全課程。

熱心相助
您好！
看完一個視頻轉另外一個視頻時就會出現這個情況
這是系統一種提示信息
一種正常運行的情況