网络安全工作是一项任重道远的工作。再好的安全产品,如果没有良好的安全策略和管理手段,网络安全同样是难以实现的。数字档案馆在建设初期采取防火墙、防病毒、漏洞扫描和入侵检测等常用方法的同时,提高档案馆相关人员安全防护意识、加强管理人员的网络安全的知识水平、提供必要的安全技术培训,显得尤为重要。
根据档案馆从业人员的特点,系统安全培训方案要面向三种不同类型的人员,即系统管理人员、领导层和普通工作人员。
(一)面向系统管理人员的培训
系统管理人员必须是掌握计算机安全高级知识、了解黑客常用手段的高级计算机工作人员。从简单的系统安全概念,到专业化的黑客攻击手法及其防护技巧,都是培训和考核的内容。其具体的培训方案应包括三方面的内容:
1,安全策略与管理(初级内容):
目标:增强系统管理员的安全意识,使其基本了解系统安全和网络安全的实际概念。
内容:网络安全的特征、主要安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施等。
2,网络安全与防火墙设计(中级内容):
目标:了解防火墙的基本概念、基本原理和基本的设计方法。能够对系统防火墙作日常维护;能够根据系统需求,做出相应的防火墙安全设计;能够对现有防火墙或其它网络安全产品有一定的了解。
内容:防火墙的基本概念和原理、防火墙的作用与重要性、防火墙的局限性、防火墙的分类、防火墙安全策略、常见的防火墙设计、防火墙自身的安全与日常维护、安全产品的分类及代表产品等。
3,黑客防范教程(高级内容):
目标:使系统管理员掌握黑客进攻的手段、原理和方法;并能在实际工作中保护系统的安全性。
内容:TCP/IP协议和传统Socket编程、IP Spoofing的详细剖析、Stack Overflow的详细剖析、其他流行进攻方法的解释等。
(二)面向领导层的培训
主要内容:信息在国民经济中的地位,信息的安全的重要性,领导层的决策对于信息安全重要性等。
(三)面向普通工作人员的培训
主要内容:普通用户上网守则,口令和帐号,计算机的信息安全保护,防范病毒等。
