信息技术安全工作培训

A. 信息安全专业就业前景（学此专业的人请进）

信息安全专业大多是跟电脑安全打交道的
要学习的课程有【高等数学、线性代数、计算方版法、概率论与数理权统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等】（转自网络）
所以可以看到这个专业理科性比较强，如果你的朋友不是很喜欢的话最好能选择其他的专业

【这是我的建议，你可以考虑一下】

至于就业方向，【政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作】【也可在IT领域从事计算机应用工作】（转自网络）并不是都和公安打交道，公安部门是一方面，其他的还有很多地方可以就业。

根据你说的这种情况，如果你朋友认真学的话，或许可以在一些石油企业维护一下计算机、帮企业设计一些统计资料的软件之类的，不过这可能会有些累，看你朋友怎么想了。
不然的话还是建议你的朋友想办法换个专业吧

希望能对你有帮助！

B. 信息化时代下如何做好信息安全工作

烟草在线专稿 力拓“间谍门”唤起了国人对于商业间谍行为的关注，同时也迫使很多企业把信息安全问题提到了重要日程上来。另一方面由于科学技术的发展，使得企业的安全工作已不仅仅局限于传统安全领域，而是使得安全工作的涉及的面更加广泛，包含的内容更加丰富，也使得当前的企业安全工作与以往任何时期相比都显得更为重要。 信息安全工作对于卷烟厂来说同样重要，应当引起足够的重视，积极思考并探索出信息安全保障的有效途径，切实做好信息安全工作，保证生产线的稳定可靠运行，将对我们稳定产品质量、提高生产效率、提升生产管理能力将大有裨益。笔者就自己多年来的学习和工作实践，并结合烟草行业的特点，从下面三个方面谈谈如何在信息时代做好企业信息安全工作，以和大家共同分享。 加强员工的思想、道德、操守教育，提高其对信息安全重要性的认识，增强自我约束力，在人的层面上保证信息的安全。 员工是企业的载体，是企业各项活动的参与者，是企业各种制度的履行着。因此要想做好信息安全工作，首先上要加强员工思想教育，使员工从思想上重视信息安全，充分认识到信息安全工作的重要性。只有在思想上重视，将信息安全工作融入到潜意识中并潜移默化，各项规章制度执行起来才能顺畅有成效，如果员工总是想着如何规避信息安全规章制度，做什么事都图方便、图省事、怕麻烦，对公司各种指令阳奉阴违，不按规章制度走程序，或者更严重的去想如何窃取信息，相信信息安全工作是做不好的。另外从另一个角度来看，企业的政令得不到有效执行，还要花精力研究新的规章制度并贯彻执行，这在某种程度上来说是增加了企业的运行成本。 加强员工道德、操守教育就是要树立一种以保护信息为荣，泄露、窃取信息为耻的道德观念。科学技术的发展为信息的传递提供了便捷条件，今天一个电子邮件，一个大拇指大小的U盘，一条短信息都能轻松、便利、快速的将信息传递出去，而传统办公条件下几个档案箱的纸质文本文件用一个U盘就能装下，这也意味着：公司的机密文件和信息用U盘这样小的工具就能被不良企图的员工轻易的带走，为信息的泄露和窃取埋下了隐患。因此，企业的信息安全在良好周密的规章制度做保障的同时，培养高素质、具有良好道德操守的员工也至关重要，否则再好的规章制度也会形同虚设。 另一方面，加强员工思想、道德、操守教育也是对员工保护和关爱的一种体现。如华为公司就发生过这样的案例：华为深圳总部的几名技术人员参与了公司的一个项目的研发。在掌握了相关的核心技术和相关的技术资料后，他们选择了集体辞职，然后到上海开办了一家小公司，利用从华为窃取和掌握的技术和资料做和华为同样的项目，避免了开发过程，以“0”研发成本赚取巨额利润。华为公司发现后，及时采取有关措施处理了该项事件，并诉诸法律手段起诉了这几名员工，最后等待这几名员工的是几年牢狱生活。 从这个案例我们不难看出，如果企业加强了员工思想、道德、操守教育，使员工能够认识到信息安全的重要性，从自我做起，严格要求自己，就一定能避免这种悲剧的出现，因此做好信息安全工作从某种程度上来讲也是对员工的一种保护和关爱。在我们烟草加工行业同样如此，牌号配方、工艺指标、销售分析数据、“一号工程”数据库系统等等都是我们信息安全工作中的重点，它们的泄露和丢失也必将给我们带来不可估量的损失。 制定详细周密的信息安全管理制度，在制度的层面上保证信息的安全。 俗话说：“没有规矩，不成方圆。”规矩在人们的生活中占有十分重要的地位，信息安全同样需要相应的规章制度做保证。在华为研发部门到处可见这样的标语：文件要受控，信息才安全。华为公司对文件的使用保存、打印机的使用、复印机的使用、电子邮件的监控、计算机的使用、员工出差笔记本电脑的使用和管理、软件的编写等诸多涉及信息的内容制定了详细而周密的规章制度，同时在研发部门，员工出入公司都要经过保安的验包程序，涉及到信息安全的程序可谓“不厌其烦”，但从另一个层面看，这些看似繁复的程序也确实为华为的企业信息安全作出了不可或缺的贡献，也使员工建立了良好的自我约束机制，养成了良好的工作习惯，达到了制度和员工之间的良好互动。 对于我们烟草行业来说，制定相应的信息安全规章制度也同样必不可少，如以制丝车间中控室为例，就应当制定完善的信息安全管理制度，下面笔者就结合制丝车间来谈谈如何建立企业信息安全规章制度。制丝车间中控室的控制计算机虽然说都是工控机，但它们都和家用电脑一样配有USB通信口，有的还配有光驱或光盘刻录机，其实这些都为信息安全埋下了隐患。由于有的员工自我约束力相对差些，拿着自己的U盘拷贝文件到中控室电脑上打印自己的文档，而U盘是最容易传播病毒的。 结合工作实践，笔者认为：中控室的计算机不和外界网络相连，不具备被外界互联网络危险源攻击的可能性，这些计算机端口和外设可以说是导致中控室电脑中毒的根源。所以制定中控室的信息安全管理制度可以从两个方面着手：一是制定出严格的员工考核制度。依据“谁使用谁负责，谁主管谁负责”的原则，制定落实操作机长负责制，如果在谁当班期间出现病毒故障就对其进行考核；二是规范中控室出入制度。严格杜绝非工作人员进入中控室，并对确实需要进入中控室的人员进行先向主管领导打报告，征得主管领导同意后，再到中控室签名（登记其出入时间）进入的制度。 还可以从硬件上着手。由于USB接口和光驱部件的管理难度较大，具体我们可以参考华为公司对计算机管理的办法，在计算机机箱的前部去掉光驱和USB接口，只保留机箱后部的USB接口，然后在机箱后部加装特殊的保护罩，钥匙由专人保管负责，确实要使用USB接口的话，可以填写报告（在华为要走电子流程，即要进入相关的公司管理系统填写相关的电子流，等待主管人员的审批同意，审批同意后由专人来开锁），报告报主管领导同意后，由钥匙保管人来开箱。当然这样做可能会比较麻烦，增加了流程，但是采用这样的方法就会从根本上杜绝U盘传播病毒和通过U盘泄露信息。 从计算机软件和硬件着手，两手并重，在技术的层面上保证信息的安全。 在卷烟加工行业，PLC和工控机（或者一般计算机）的配合应用在生产线上得到了广泛的使用，PLC具有CPU、存储器、外设端口，计算机所应具有的单元它都具备，它可以认为是简单的计算机。因此我们就可以结合计算机的软硬件，借鉴计算机信息安全的经验来解决我们自己的信息安全问题。笔者下面从工业以太网通信部分、下位机PLC部分、上位机中控室计算机部分，三个方面论述卷烟生产线上的信息安全问题。 工业以太网通信部分在现场的维护中是一个很让技术人员头疼的问题，一旦出现网络故障，技术人员往往很难判断出具体是那部分出现了故障，尽管西门子公司的工业以太网通信部分给出了详细的网络诊断，但由于技术发展本身的制约，这些诊断功能很难在出现故障时给现场的技术人员有效的指导。其实造成这样的原因不是我们的技术人员技术能力不高、不钻研，而是由工业以太网本身所固有的特点决定的。尽管目前来说，工业以太网考虑工业环境的特点对以太网进行了改进给出了四种类型的工业以太网，但实际上以太网本身固有的痼疾并没有彻底解决，其实这就是出现网络故障，不能保证通信安全性的根本原因。所以解决网络通信的根本途径就是不用工业以太网，但事实上我们不可能因噎废食。 上面主要讨论了控制网络通信中的协议方面的问题，其实就是控制网络通信的软件问题，因为软件是依据协议编写的。下面两个部分主要探讨下位机和和上位机中非通信软件和硬件问题。下位机PLC在我们的生产线上一般采用的是西门子S7系列的PLC，从硬件角度来说具有很好的安全性能。PLC软件一般是由梯形图和语句表编写的，考虑到现场设备的安全性和满足生产的特点，开发人员在软件编写完成后，都经过了严密的软件调试，同时由于PLC程序是扫描执行的，如果软件存在缺陷的话，错误动作将会周期执行。另一方面每次技改工作完成后，我们自己的技术人员依据生产中的实际情况，利用较短的时间将程序调试的更为完善，所以说PLC软件存在缺陷的概率不大，或者说这个部分出现问题，我们是有能力尽快恢复的，能够保证该部分的稳定安全的。 上位机中控室计算机部分我们采用的是IBM的计算机，同时几个工艺生产段的上位控制计算机之间具备冗余备份作用，所以上位机的稳定可靠性能力已经达到了比较高的程度。软件方面采用的是IFIX和VB复合的编程的方式，即前台用的是IFIX，后台程序用的是VB编程。由于上位机的程序也是循环执行的，结合上面PLC部分的论述，可以知道，上位机的程序存在缺陷或者导致系统故障的概率也不大。 综合以上三点可以知道，只有充分掌握通信协议，熟悉设备的软、硬件特点，结合工业现场的实际情况，才能保证工控网络的稳定、健康、安全、健壮运行，而这是从根源上解决问题的唯一途径。 以河南中烟新郑卷烟厂为例，河南中烟新郑厂正在以贯标、对标为契机，深入推进创建优秀卷烟厂活动，创建优秀卷烟工厂的活动内容几乎涵盖了当前新烟工作的所有方面。就行业来讲，随着信息技术的不断更新和快速发展，我们的信息安全的标准还有很多不尽完善的地方，只要我们把握机遇、勤于思考、开拓创新，探索出符合行业情况和特点的信息安全标准也是未尽可知的事。因此这就求全体技术和技能人员发扬勇于探索、勤于钻研、不怕困难、敢为天下先的精神，就一定能做好信息安全工作，为创建优秀卷烟工厂提供可靠的保障。（河南中烟新郑厂制丝车间中控室）

C. 信息安全的目标和原则

所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。
完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。
可用性(Availability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。
不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查。
除了上述的信息安全五性外，还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比，可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。 为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。
最小化原则。受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的。知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。
分权制衡原则。在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果—个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。
安全隔离原则。隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上，人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展。包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。 中国信息安全测评认证中心是中国信息安全最高认证，测评及认定项目分为信息安全产品测评、信息系统安全等级认定、信息安全服务资质认定、信息安全从业人员资质认定四大类。
信息安全产品测评：对中国外信息技术产品的安全性进行测评，其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等，以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容，分为：信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
信息系统认定：
对中国信息系统的安全性进行测试、评估。
对中国信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同，主要提供：信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
信息安全服务资质认定：
对提供信息安全服务的组织和单位资质进行审核、评估和认定。
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。分为：信息安全工程类、信息安全灾难恢复类、安全运营维护类。
信息安全专业人员资质认定：
对信息安全专业人员的资质能力进行考核、评估和认定。
信息安全人员测评与资质认定，主要包括注册信息安全专业人员（CISP）、注册信息安全员（CISM）及安全编成等专项培训、信息安全意识培训。

D. 信息系统安全管理

一、内容概述

在信息化建设中进行信息系统安全管理，是一个新的课题，已经引起各国地调组织的高度重视。信息系统安全管理不单单是管理体制或技术问题，而是策略、管理和技术的有机结合。从安全管理体系的高度来全面构建和规范信息安全，将有效地保障信息系统安全。要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务，就需要重视包括网络服务在内的自动信息系统安全管理。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作。美国地质调查局在自动信息系统安全管理方面积累了大量经验，这对我国相关部门制定有针对性的安全管理方法具有重要的借鉴和指导作用。

二、应用范围及应用实例

美国地质调查局将提供地质信息列入其战略计划或工作计划，强调要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务，同时非常重视其包括网络服务在内的自动信息系统安全管理。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作（张翠光等，2009）。

1.美国地质调查局自动信息系统安全管理方针

保护美国地质调查局所有信息技术设施，避免被损失、破坏、偷窃和滥用；保护所有美国地质调查局自动信息系统所处理的数据，避免发生未被授权的信息被泄露、修改或破坏；自动信息系统所产生、处理、存储或传输信息受保护的等级与其敏感等级相一致；对违反联邦、部门或局关于自动信息系统安全法规者将受到相应的行政、法律制裁。

2.美国地质调查局自动信息系统敏感等级分类

敏感自动信息系统是指运行处理敏感数据的计算机应用程序的自动信息系统（设施、硬件、操作系统软件、通信系统等），其中敏感数据是指由于数据的故意或意外泄露、更改或破坏会导致损失或危害的风险及数量较大而要求保护的数据。美国地质调查局为了给每一个信息系统采取相应的保护措施，对其给定了相应的敏感等级，并要求一、二级敏感信息系统应到美国地质调查局信息系统管理中备案，而0级敏感信息系统不需备案。0级敏感信息相当于公开信息；一、二级信息系统的信息不属于美国国家规定的保密信息，是根据其工作任务、商业目的及其价值大小等而设定；三级敏感信息系统的信息才是真正的保密信息。

0级（非敏感性）自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉的影响可以忽略不计。即使有影响，影响也是微不足道，或者导致仅仅很小的有形资产或资源的损失。

一级敏感自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉影响较小。系统安全方面出现问题可能对有形资产或资源的损失造成潜在的不利影响。

二级敏感自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉可能产生重要的不利影响。系统安全出现问题可能导致美国地质调查局不能完成其1个或多个计划任务或商业功能，或者导致重大的有形资产和资源损失。系统生命周期的开支一般超过1000万美元。

三级敏感自动信息系统：自动信息系统处理机密信息。一般由提供美国地质调查局机密信息的联邦机构制定自动信息处理要求。根据机密信息提供者建立的要求，系统的鉴定及认可应备案。根据其敏感性再分为类似于秘密、机密、绝密3个等级。

自动信息系统安全规划构成

确定潜在的威胁和薄弱点，并建立全面的安全保护制度减少威胁和薄弱点，才能使自动信息系统安全计划有效，为此美国地质调查局建立了自动信息系统安全规划。

A.安全规划

美国地质调查局认为全面的安全规划是任何一个自动信息系统安全管理的重要部分。美国地质调查局支持美国地质调查局所有自动信息系统活动，认为安全规划是安全管理实施过程不可分割的部分：①安全规划为年度预算的一部分，保证所有自动信息资源有经费支持，使自动信息系统资源得到充分的保护；②处理敏感信息的所有自动信息系统（设施和应用程序）应有正式安全规划。在新的敏感自动信息系统开发阶段必须准备初始计划和原系统升级年度计划，以反映系统安全执行情况和/或主要变化。在计划中提供的内容要反映系统的大小和复杂性，规定系统的基本内容和格式应遵守当前最流行的美国国家管理和预算局所提供的指导方针。

B.风险管理

所有拥有或管理自动信息系统的美国地质调查局机构必须执行和维护风险管理计划，以帮助相应的安全保护措施到位以保护好所有的信息资源。规定管理人员应知道他们信息资源的潜在威胁和薄弱点。一旦知道潜在威胁、薄弱点和潜在的安全保护选项，管理上就应确定各种安全保护选项的必要措施和经费/利益。风险管理一般包括风险分析、安全措施的实施和风险分析频率3个方面的内容：

一是风险分析。风险分析是设施或敏感应用程序定期检查或应急计划处理的组成部分。美国地质调查局要求在现存的计算机设施或敏感应用程序发生主要变化时或在批准敏感自动信息系统设计之前作风险分析。风险分析的范围、复杂性和频率与自动信息系统处理数据的敏感性和被保护资源的价值相称。风险分析过程步骤如下：①估计自动信息系统（硬件、软件、数据、设备、人员）资产（现存的或计划的）和系统资源相关的费用（价值），包括数据敏感性的确定；②识别和评定自动信息系统的潜在威胁，包括破坏正常操作、导致系统资产破坏或损失，或其他自然灾害或危险因素和人为因素。并根据每一个潜在威胁产生的可能性分出威胁等级；③找出脆弱点，包括确定或找出在敏感应用程序、自动信息系统或信息技术设备中可能导致安全威胁的弱点或缺点；④评估潜在损失，在确定威胁和脆弱点之后，还应将包括恢复损失和破坏数据的潜在损失定量化；⑤根据遇到的威胁和脆弱点，确定可能的安全保护措施及其相关费用。确定的安全保护费用应与未实施安全保护措施所造成的预期损失的费用相比较。如果安全保护措施花费超过了预期保护利益，那么不应采取安全保护措施。

二是安全措施的实施。在风险分析完成之后，管理部门必须决定是否执行成本核算的安全保护或接受这种风险。如果风险分析表明接受这种风险不符合联邦、部门或美国地质调查局的有关规定，那么必须采取必要的保护措施以最低限度符合这些规定：①利用风险分析结果，设备拥有者和敏感应用程序拥有者应选择具体的最大限度保护设施和数据的安全措施；②除违反法规问题外，管理部门可以选择接受与找出威胁或脆弱点相关的风险。如果这样，自动信息系统所有者必须签订一个声明，承认他们了解不执行正确的推荐行动相关的风险。

三是风险分析频率。美国地质调查局对风险分析的次数做了相应的规定：对美国地质调查局所有计算机设施至少5年1次；对敏感应用程序和敏感计算机设施至少3年1次；在敏感应用程序或任何计算机设施进行实质性改变时应进行风险分析；在计划一个新的系统或设施开发时，应进行风险分析。

C.信息资源的保护

为了使美国地质调查局信息资源从风险分析中确定的风险和脆弱点得到合理的保护，自动信息系统所有者必须采取具体的保护措施。一般考虑如下类型的安全保护措施保护信息资源：①物理安全：采取适当的操作和规程减少自动信息系统受到的诸如偷盗、意外或故意破坏、非授权或非法访问或非授权信息泄露等威胁；②技术安全：使用适当的保护措施（如：密码、个人ID识别装置、杀毒软件、访问利用控制表、用户活动监测软件、加密术或回拨调制解调器）防止非授权的访问或非法的自动信息系统软件或数据的使用；③管理安全：制定或分发详细的指导规程使所有自动信息系统得到正确的保护。

3.应急计划

为了使服务中断等故障最小，应对每个计算机设备和敏感应用程序开发一个应急计划。定期评估每一个应急计划，确定是否需要对其修改以反映系统或人员情况变化。

任何应急计划的复杂性和范围要与自动信息系统所处理数据的敏感等级相称。应急计划至少包括下列项目：①数据和软件的备份存储器和恢复规程；②与紧急事件相对应的处理规程、可选处理能力的说明，在必要情况下转移操作到另外一个可选择操作的程序等恢复操作的过程；③计算机设施应急计划与任何敏感应用程序应急计划应具一致性；④定期检查应急计划。

4.敏感应用程序安全

美国国家管理和预算局A 130通告要求，负责开发和维护处理敏感数据的美国地质调查局计算机应用程序的管理者应建立管理控制方法，对所有新的应用程序和现存应用程序的重大变化应采取相应的物理、技术和管理安全保护措施。敏感应用程序管理控制至少包括：①安全技术条件：根据预先的风险分析结果，在应用程序获取或正式开发之前，应规定或批准安全要求和安全技术条件。为一个应用程序规定和批准安全规程时，应把对处理敏感应用程序的计算机设施进行的风险分析和管理控制检查的结果考虑进去；②设计审查和系统测试。在执行敏感应用程序之前应进行设计评审和系统测试，使安全保护符合批准的安全技术条件。③认证：在执行应用程序之前，新的或实质性改进的敏感应用程序的所有者或管理者应向美国地质调查局自动信息系统安全行政主管书面证明，证明其符合所有现行的自动信息系统方针、法规、标准，同时系统测试的结果证实配备的安全保护措施充分。认证过程包括对应用程序管理和安全控制的评价。④定期重新认证：所有敏感应用程序必须每3年认证1次。

5.计算机安全知识培训活动

对所有涉及在美国地质调查局之内或监督之下的每一个敏感联邦信息系统管理、使用或操作的职员，美国地质调查局为他们提供定期计算机安全知识强制性的培训和公认的计算机安全锻炼。所有使用、管理和操作敏感自动信息系统的新职员在他们上岗60天之内必须接受计算机安全知识培训。培训用来增强职员了解计算机系统的威胁和薄弱点，强调保护美国地质调查局自动信息资源和正确使用他们的资源的责任。计算机安全培训应有证明文件，并保留在每一个职工的正式个人档案中。计算机安全知识培训包括：①基本知识培训：使职工对威胁和薄弱点产生敏感性，认识保护数据、信息的必要性和处理他们的方法；②高级培训：为敏感自动信息系统所有者/管理者、管理员、信息技术人员和计算机安全管理员提供相关能力，使他们能履行风险分析、制定自动信息系统保护计划、执行安全措施或评价现存安全系统的有效性。

6.报告安全事故

对造成自动信息系统技术、数据和服务设施网的破坏，或导致敏感自动信息系统欺骗、或非授权的泄露等安全事故，所有职员和协议人员有责任向上级报告相关事故：①包括自动信息系统设备的偷窃或恶意破坏、欺骗、扰乱国家安全或其他滥用自动信息资源的事故必须立即依据所处环境和位置向美国地质调查局安全官员和/或其他地方执法人员报告；②包括试图非法访问利用任何美国地质调查局自动信息资源、恶意密码事故或敏感信息的非法泄露等事故必须立即向自动信息系统安全管理人员和向美国地质调查局自动信息系统安全行政主管官员报告。

7.人事安全

美国地质调查局规定各部门建立方针或规程，屏蔽所有参与敏感计算机系统设计、开发、操作或维护人员及可以使用敏感数据的人员。屏蔽等级根据数据敏感等级以及由个人造成的风险等级、损失或危害大小而定。所有负有管理、设计、开发、操作、维护或使用美国地质调查局任何计算机系统的任何职位的人员必须赋予与数据敏感等级、风险大小及由个人导致的损失或危害程度大小相匹配的风险责任。美国地质调查局所有计算机系统使用者必须有适当的背景调查，所要求的调查必须与所设定岗位的敏感等级相匹配。

8.年度报告制度

美国地质调查局规定了自动信息安全管理规定的年度报告制度。每一个分机构自动信息系统安全官员每年应向美国地质调查局自动信息系统安全管理行政官员报告现行设备及敏感应用程序安全职员名单。对每一个设施或敏感应用程序至少必须提供以下信息：安全职员及候选人姓名和电话号码、设施和敏感应用程序的名称及地址、每一职员所要求安全培训的水平。这些最新列表每年9月交给美国地质调查局自动信息系统安全行政管理官员。

人事人员要向美国地质调查局自动信息系统安全行政管理者提供以经济年度为基础的美国地质调查局安全知识培训情况。报告将包括如下信息：在财政年度期间，接受基本知识和/或全面计算机安全培训的职员和协议人员（非管理）的数量，在财政年度期间接收计算机安全知识培训的管理人员数量。另外，每分机构自动信息安全官员应向美国地质调查局自动信息系统安全管理者提供下一个财政年度里在上述类目中需要接受培训职员和协议人员的数量。每年九月一日将报告交到美国地质调查局自动信息系统安全行政管理部门。

敏感自动信息系统所有者有责任维护他们的敏感信息系统安全规划。敏感自动信息系统所有者每年对他们分机构自动信息系统安全管理人员的更新材料及信息系统更新情况上报美国地质调查局自动信息系统安全管理部门。更新计划应反映自动信息系统硬件、软件或功能的主要变化、安全执行情况，系统认证或重新认证计划、应急计划的检查计划。

三、资料来源

张翠光，小平等.2009.美国地质调查局自动信息系统安全管理及其对国家地质资料数据中心建设的启示.现代情报，29（3）：212～215

E. 广西专业技术人员网络培训系统的信息技术与信息安全课程。

热心相助
您好！
看完一个视频转另外一个视频时就会出现这个情况
这是系统一种提示信息
一种正常运行的情况