信息安全方針精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇信息安全方針，期待它們能激發您的靈感。

篇1

關鍵詞：信息安全；體系建設；方案

中圖分類號：TP309.2文獻標識碼：A文章編號：1009-3044(2008)36-2846-02

The Implementation Program of an Information Security System for an Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.

Key words: information security; system construction; program

1 引言

信息安全的體系建設就是讓企業建立安全的組織架構，同時建立一套管理規范來規范成員的行為，并建立起安全的平臺為企業提供安全支撐同時為企業創造效益。本文根據一些企業現在實際情況，針對其信息安全現狀提出總體的實施步驟。企業在具體的實施過程中可參照這些步驟考慮實施。

下文將根據組織建設、管理建設和技術建設三個方面展開闡述。同時，在對技術建設闡述時，將從基礎設施建設和系統建設兩個方面分開闡述。

2 信息安全體系建設總體步驟

具體的實施步驟如圖1所示，具體包括：組織建設、團隊建設、管理規范、基礎環境、資產定級和評估、支撐系統和服務運維。以上組成部分都可歸結為組織建設、管理建設和技術建設三個方面。

圖1 信息安全體系建設步驟

實施步驟中有的步驟是可以同時進行的，如圖2所示。但有相對的優先級，優先級高的環節相應的應該放在優先考慮的位置。有些環節鑒于完成的周期較長，建議可以同步進行，避免信息安全實施周期過長，影響企業的目標達成。

3 組織建設

信息安全體系建設要做好，組織建設是關鍵。組織建設是所有其它建設的前提。而組織建設的第一步就是做好組織調整。組織調整就是把信息安全運營管理分為兩個部門，一個是生產部門，一個是管理部門。

3.1 信息安全管理部門

信息安全管理部門有權對其它部門進行安全考核，同時信息安全生產部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責決定其管理部門對企業信息安全有著全局的管控能力，負責信息安全全局任務下達和監督，安全戰略目標的建議以及政府、公安、司法等安全外聯。

3.2 信息安全生產部門

信息安全生產的部門，其信息安全生產內容包括三個部分，對內是企業信息安全的支撐、對外提供企業信息安全服務和公眾信息安全服務，接受安全管理部門的領導的管理和考核，和其他生產部門屬平級關系。

4 管理建設

4.1 管理制度頒布

對于管理制度，必須對管理規范和流程進行規范定義，在管理制定頒布之前應該作以下的事情：由安全管理部門牽頭召開各個部門參與的管理制定內容研究討論會，收集各方建議；根據各個建議對管理制度進行修訂；修訂后管理制度，再次召集各個部門討論并基本通過；安全管理部門頒布管理制度并確定管理制度的實施的開始時間；在制度實施開始時間之前，進行制度宣灌，組織各個部門參加學習，并進行相關學習的考試；管理制度開始實施。

4.2 管理制度落實

信息安全管理制度落實是由信息安全管理部門的管控部執行的，管控部包括考核、質檢、審計三個小組共同組成，考核各個部門管理制度的落實情況。如何對各個部門的信息安全情況進行考核呢？不同時期有不同的做法，分為兩個階段：

一是SOC（信息安全運維中心）建設階段。SOC建設階段由于安全生產組織和安全支撐系統還不夠健全，對安全的支撐十分有限，因此這個階段的質檢、審計、考核多以手工為主，信息安全審計和信息安全質檢以部門抽樣檢查為主，無法做到全面的普查。信息安全質檢組定期進行各個部門的信息安全檢查，主要工作是定期的信息安全巡檢工作。信息安全審計組對各個部門的工作日志進行定期的審計工作，特別是出現信息安全事件后的審計工作。信息安全生產部門配合管理部門進行信息安全質檢工作和審計工作，同時信息安全生產部門承擔著SOC支撐系統建設的需求分析、項目監督、系統驗收等工作。

二是SOC運維階段。SOC運維階段，由于各個信息安全支撐系統已經較為完備，而且人員組織逐漸成熟，對信息安全的管控能力將實現一個質的飛越，信息安全質檢組可隨時對考核部門進行信息安全巡檢，巡檢可采用面向全網的信息安全自動巡檢，全面系統的分析全網的安全狀況，信息安全審計可分手工和自動相結合的方式進行審計，根據不同的業務應用、訪問控制等進行審計分析，快速高效的進行審計。信息安全管控從抽樣管理到全面管理，從靜態管理到動態管理，從事后響應到事前預防。

5 基礎設施建設及相關建設

信息安全基礎設施建設的目的主要是實現對現有生產網資源的集中和優化，提高系統運行效率，并同時進行局部的信息安全加固和改進，使得在信息安全支持系統尚未建成時，使現有生產網系統的信息安全性和可用性提高到一個新的水準。其內容主要包括結構調整、優化整合和安全集成。結構調整主要是對信息安全體系存在重大影響的網絡基礎架構的調整；優化整合是對信息安全可用性和保密性的關鍵因素進行改進，如操作通道的加密；安全集成是根據企業信息安全需要綜合分析后，得出在現有生產網上所要建設和購置的信息安全系統及產品。

此外，在經過資產的等級劃分之后，并進行的相關信息資產的優化整合后，全網中大量的信息安全問題和隱患將被排除，但是還會有許多的薄弱點，這些薄弱點是在優化整合后還沒有解決的或疏忽的問題，找出這些薄弱點就需要一次系統的信息安全評估過程，把目前安全存在的問題進行分析。信息安全評估的是根據信息資產的本身的所處的網絡環境和信息資產價值有直接的關系，信息安全評估的目的不是要求企業把所有的問題一概而論的解決掉，而是告訴企業有這些一些問題值得關注，至于解決的問題的要投入的人力物力是根據信息資產的本身的價值而定。

6 系統建設

信息安全系統建設也即最后的信息安全體系建設的最后步驟，是具體實施的過程。在面上主要表現為依照信息安全體系建設規劃方案進行采購與部署。這里的采購對象包括：產品采購類、服務產品類和研發產品類。

6.1 產品采購類

在建設信息安全支撐和信息安全服務系統過程中會涉及到許多安全產品的采購，如防火墻、黑洞、入侵檢測、安全檢測工具產品、成熟的安全集成產品等等采購，因此我們將這部分不需要太多定制開發可直接購買或集成的產品定義為產品采購類。其采用的原則是：

1）安全產品的本身應該具備的功能要求；2）安全產品本身應該具備的性能要求；3）安全產品本身應該具備的安全要求；4）安全產品應該具體的管理要求；5）安全產品的可擴展性要求。

6.2 服務產品類

圖2 信息安全體系建設并行建設步驟

服務產品類，主要是針對對外安全服務的產品類，對外服務的產品類包括集成產品和服務內容。服務產品定義主要是根據市場運營所推出相應服務而定義。服務產品的實施原則如下：

1）產品市場潛力；2）產品的產出比戰略研究；3）產品相關的信息安全等級評估；4）產品相關的信息安全策略；5）產品相關的響應團隊；6）產品宣傳渠道和策略分析；7）產品相關的增值服務；8）產品創造價值的統計分析。

6.3 研發產品類

信息安全支撐系統和信息安全服務系統建設中，一定有一些系統需要進行定制開發，這些定制開發的產品我們定義為研發類產品。研發類產品建設原則如下：

1）產品能夠滿足現有生產的功能要求；2）產品具有良好的可靠性和擴展性；3）產品具有一定先進性，能滿足3－5年企業IT發展要求；4）產品要預留信息安全管理接口，能對系統日志進行采集和審計。

7 結束語

文章針對在企業信息化程度越來越高的情況下，信息安全成為關乎企業生命的重要因素，提出了一種針對企業的信息安全體系建設實施方案。在具體的實施過程中，可以基于具體情況分步驟或者同時進行相關建設。此方案對于指導企業的信息安全體系建設有一定的參考意義。

參考文獻：

[1] 周學廣,劉藝. 信息安全學[M]. 北京: 機械工業出版社,2003.

[2] 韓祖德. 計算機信息安全基礎教程[M]. 北京: 人民郵電出版社, 2005.

[3] 陸廣能. 淺析數字化檔案信息安全問題[J]. 電腦知識與技術, 2005, (10):30-32.

[4] 李娟. 淺談如何構建檔案信息安全防護體系[J].河南職業技術師范學院學報, 2004, (4):20-25.

[5] 范開菊. 網絡環境下檔案信息安全問題探微[J]. 科技情報開發與經濟, 2005, (2):47.

篇2

一、活動時間

9月25日至10月15日，全鎮集中開展全員流動人口信息再次采集變更工作。

二、工作要求

1、及時掌握轄區全員流動人口個案信息。各村要按照本方案，認真組織開展全員流動人口信息的再次清理摸底和及時核對、變更相關信息。。

2、及時、準確、規范上報本村新增的外流人口。

三、工作內容

（一）、清理對象

（1）離開戶籍地縣域30日以上流出人口，以工作、生活為目的異地居住的0歲以上人口。

（2）離開戶籍地鄉鎮30日以上流出人口，生活為目的異地居住的已婚育齡婦女。

（3）同城區間人戶分離人口除外；婚嫁人員除外；因出差、就醫、旅游、探親、訪友、服軍役、在中等以上專業學校就學等人口除外。

（二）、個案信息完善內容

全員流動人口個案信息項目包括基本信息、家庭戶信息。

（1）基本信息包括：姓名、性別、現居住地地址、戶籍所在地地址、公民身份號碼、出生日期、文化程度、戶口性質、流動原因、外出（流入）日期、返回（離開）日期、婚姻狀況等項。

（2）家庭戶信息包括：是否家庭戶流動、已婚人口的配偶是否隨同流動等信息。

（三）、個案信息變更

村對流動人口現居住地和婚育情況發生改變要及時上報計生辦，計生辦業務人在流動人口信息系統中對流出人口管理卡片進行及時變更。

（四）、個案信息退檔

對于流動人口發生遷移、死亡、流動狀況變化等情況，要以月報單的形式上報計生辦，計生辦業務人員及時對流動人口信息，在“流動人口信息系統”中進行退檔處理。

篇3

關鍵詞：信息安全技術；仿真；實踐教學；創新能力

中圖分類號：TP309 文獻標識碼：A 文章編號文章編號：16727800（2014）001014202

作者簡介作者簡介：李畢祥（1981-），男， 碩士，武漢科技大學城市學院信息工程學部信息工程系講師，研究方向為信息安全；郭冀生（1946-），男，武漢科技大學城市學院信息工程學部副教授，研究方向為數據庫。

0 引言

信息安全技術是從事信息安全應用與信息技術研究的專業技術人員必須掌握的知識和技能。本課程需要理論和實踐緊密結合，學生在掌握信息安全技術基本概念和基本理論之后，還要掌握網絡管理和網絡信息安全保障知識，深入理解網絡信息安全的各項工作，并能理論聯系實際，進一步應用信息安全技術。

為了充分提高學生的信息安全技術實踐能力，迫切需要相應的硬件平臺和軟件平臺作為實踐支撐環境，但相關的硬件成本非常高，很難配備齊全，所以很多高校的信息安全技術試驗都是傳統的演示實驗，很難提高學生學習信息安全技術的興趣。本文設計的信息安全技術實驗仿真平臺可以充分模擬高校、企業和銀行等網絡環境，使用模擬軟件進行仿真，繪制詳細的網絡拓撲圖，分析網絡流量，捕獲數據包，分析信息安全，并提供信息安全解決方案。此仿真平臺充分利用各種仿真軟件的優勢和特點，一方面能讓教師合理實施實踐教學任務，改革傳統的實踐教學模式，在改革中提高教師的教學能力和水平；另一方面，能讓學生身臨其境，自己繪制網絡拓撲圖，分析信息安全問題，充分調動學生的學習積極性，全面提高學生的自主創新能力，為就業打下堅實的基礎。

1 研究內容和目標

1.1 研究內容

（1）建設信息安全實驗室，加強信息安全虛擬平臺建設。信息安全實驗室是信息安全技術教學的實踐場所，目前很多大學的實驗中心還沒有建成專門的信息安全實驗室。由于信息安全實驗室建設投入較大，建設周期長，在目前教學任務緊迫的情況下，唯有加強信息安全虛擬平臺建設才能滿足實驗教學要求。虛擬實驗平臺主要依賴于軟件和較少的配套硬件，使實驗室的維護費用和工作量大大降低。在虛擬實驗平臺Boson、Opnet、Sniffer和Matlab上可以開展豐富的模擬實驗，包括網絡虛擬仿真、防火墻配置和基于SNMP的信息安全管理等。

（2）改革實驗教學模式，創造自主學習模式，提高實驗教學質量。對于信息安全的管理和實現，設定任務情境，對實驗任務的選擇可以具有梯度，更貼近工程應用。教師制定學習目標，學生可以自己設定任務情境，根據實際情況完成。例如，在信息安全管理實驗中，學生可以自主設計網絡拓撲結構，進行設備選型、配置和管理，以提高學生興趣和實踐動手能力為導向，鼓勵學生自主學習。

（3）完善教學實驗指導書，增加實驗項目。

1.2 項目目標

（1）通過信息安全虛擬平臺建設，強化學生的信息安全理論修養和實踐能力，學以致用，通過實踐來真正掌握信息安全技術的應用。

（2）通過信息安全虛擬平臺的使用，增強學生之間的學術交流氛圍。教學任務設定和日常信息安全技術應用，讓學生不僅在課堂，在課余時間也有進行信息安全知識鉆研的意識和環境。

（3）積極尋求相關途徑進行校企合作，為進一步提高學生實踐動手能力創造條件。

（4）建立結構合理的教學隊伍，制定適應社會需求的教學內容，培養教師的科研能力，完成信息安全技術課程群梯隊建設，形成一些具有較高水平的教學研究成果。

2 仿真實驗項目解決的關鍵問題

（1）改革過于模式化的傳統實驗，培養學生的創造性思維。

信息安全技術傳統實驗內容大多局限于實驗環境，脫離工程實際，實驗效果不好，難以培養學生創新能力。學生畢業后從事信息安全工程實踐時，很難將實驗功底轉化為從業能力。

（2）完善信息安全虛擬平臺，進行優化和合理的實驗設計。

信息安全虛擬實驗平臺是在能夠進行網絡通信的基礎之上將計算機網絡上虛擬的各種計算機、通信設備按實驗要求組建成一個完整的虛擬實驗網絡，模擬實現各種計算機網絡試驗和測試，并能演示實驗過程和信息安全管理的配置過程。使用已有網絡虛擬平臺Boson、Opnet、Sniffer和Matlab

進行合理的實驗設計，達到提高學生實踐能力的目的。

在繪制企業網絡拓撲圖，以及配置網絡設備，例如交換機、路由器和防火墻時，選用Boson軟件來完成拓撲圖的繪制和網絡設備的模擬配置。實驗效果描述如下：在捕獲和分析網絡中的數據包時，選用sniffer軟件來完成；在分析網絡的流量和網絡參數時，選用openet軟件來完成；在分析相關的數據和結果時，選用Matlab仿真軟件來完成。可以充分結合以上各種模擬軟件的特點和優勢，完成復雜的信息安全實驗項目。

（3）培養學生之間的合作精神，讓學生體驗團隊協作。

在傳統的教學過程中，雖然在實驗環節也采用了分組進行的模式，但在具體操作過程中部分學生并沒有真正參與，也就談不上團隊意識和協作學習，信息安全虛擬實驗平臺可以拓展和改善學習環境和氛圍。

（4）傳統課程考核模式陳舊，需要借助信息安全虛擬實驗平臺進行改革。

傳統的考核模式，內容局限于教材中的基本理論和基本知識，缺乏對學生知識、能力與素質的綜合考察，不利于學生應用能力的培養和創新精神的形成。另外，考試形式單一，在課程總評成績的計算中實踐部分所占比重很小，制約了學生實踐能力的培養。

（5）積極尋求相關途徑進行校企合作，讓學生進入企業實習和工作，為進一步提高學生實踐動手能力創造條件。

3 教學方法

教學方法的改革，目的是使學生在實際應用時能夠靈活地將理論與實踐相結合，培養學生運用知識分析問題解、決問題的能力。除了傳統的行之有效的教學方法之外，還應該采用一些有專業特色的教學方法，與時俱進。主要采取如下方法：

（1）在信息安全技術虛擬平臺上，將傳統的實驗題目改編為自主型實驗題目。針對設計型實驗的內容和要求，根據機房環境和信息安全技術虛擬平臺，精心設計相關題目和題目的梯度任務，或將原有實驗題目進行改造，形成與實驗要求相對應的自主型實驗題目系列。將實驗教學中傳統的特定環境實驗題目改為以問題為主線的任務情境，使學生自主選擇合理的任務并進行自主設計，培養學生創新能力。

（2）實驗教學中增強學生團隊意識。利用信息安全技術虛擬實驗平臺拓展和改善學習環境和氛圍。在傳統的分組模式基礎上，在具體操作過程中根據學生水平結合自愿原則分組，鼓勵學生制定不同梯度的任務作為目標，適時引導和有效監督，讓學生體會到團隊合作的重要性，培養竭誠合作的精神。此時，教師的引導作用很重要。

（3）利用信息安全虛擬實驗平臺，改革實踐課程考核體系。實驗考核中，學生要在規定時間內獨立解決問題，確保實踐考核的實時性、公開性和準確性。這樣的學習考核方式，使學生學習有目標、有壓力，學生在課前會認真做好準備，課后強化相關的信息安全的設計和應用，調動了學生的學習興趣，從而達到了提高學生解決實踐問題能力的教學目的。

（4）尋求校企合作，鼓勵學生到相關企業實習和工作。讓學生了解企業信息安全人才需求，努力讓學生密切聯系實際，鼓勵學生到相關企業實習和工作。在學校有限的實驗條件下，積極尋求校企合作，鼓勵學生去企業實習，為畢業生順利就業和后續擴大專業招生打下良好的基礎。

參考文獻：

[1] RONGFENG， DENGGUO . A detailed implement and analysis of MPLS VPN based on IPSec proceedings of 2008 international conference on machine learning and cybernetics[R]，2008.

[2] FRIEND.Robert making the gigabit IPSec VPN architecture secure source[J].Computer， v37， June， 2009.

[3] CHIUANHUNG LIN， YINGDAR LIN， YUANCHEN LAI. VPN gateways over network processors：implementation and evaluation；real time and embedded technology and applications symposium[J].RTAS 2005.11th IEEE 0710 March 2009.

[4] ZHAO DAYUAN， JIANG YIXIN， LIN CHUANG，et al.Implementation and performance evaluation of IPSec VPN based on netfilter[J].Wuhan University Journal of Natural Sciences，v10，January，2009.

[5] 張劍，寇應展，蔣炎，等. IPSecVPN技術及其安全性[J].福建電腦， 2007（11）.

[6] 李超.Linux下IPSec協議的實現[J].計算機應用，2008 （6）.

篇4

一、引言

 

信息安全學科是在信息技術及其應用的快速發展中逐漸形成的，它針對信息生成、存儲、傳輸、處理和交互的各個環節，用數學方法刻畫和描述其變換的過程和狀態，建立安全控制與管理模型，進而保障信息及信息系統的高安全性、高可信性和高可用性。在當前信息化和經濟全球化的時代背景下，做好民族高校信息安全領域的教學研究工作，為國家儲備適應全球形勢變化的復合型信息安全人才越發重要。

 

中南民族大學在信息安全人才培養方面做了很多工作。其計算機科學學院、數學與統計學學院在本科階段開設了信息安全方面的課程，計算機科學學院的信息安全專業碩士點于2012年開始招生。其中計算機科學學院從2006年開設《信息安全》雙語課程。信息安全教學研究方面還有長足的發展提升空間。

 

針對信息安全課程的特點，結合我們雙語教學的經驗和體會，就《信息安全》雙語課程教學提出幾點新的和若干建議，其中關于教材的論述等課程相關情況見孟博老師的論文[1]。

 

二、信息安全課程特點

 

《信息安全》難教，學生難懂，實驗難做。我們組成員以信息安全專業領域為教學內容，進行教學模式與教學方法的研究與實踐。

 

《信息安全》課程特點[1-3]：

 

1.信息安全學科基礎涉及面廣。信息安全是一門新興的學科，也是一門綜合性很強的交叉學科，涉及密碼學、通信、數學、計算機等諸多學科。

 

2.信息安全專業基礎課程要求多。要想較好地掌握這門課程，需要學習數學基礎課程、電路基礎課程、密碼學基礎課程、計算機理論基礎課程、網絡通信基礎課程等。

 

3.信息安全專業前沿性強，知識更新快。信息安全專業是圍繞攻防、對抗策略和技術展開研究的，隨著科學技術的發展，該研究領域的知識創新多且快。

 

我們在信息安全課程傳授的過程中面臨的困難如下所示：

 

(1)民族院校的學生專業素質和英語素質高低不齊;

 

(2)信息安全相關的資源分散;

 

(3)英語語言的教學與專業教育的脫節;

 

(4)理論知識和實踐知識結合不緊密。

 

根據信息安全課程的特點，只有保持信息安全傳授內容理論與實踐知識的先進性，及時了解該學科最新研究發展動態和前沿，才能培養出具有實踐和創新能力的高層次高素質人才。結合我們面臨的困難，考慮到兩個因素：(1)信息安全相關的前沿知識的語言載體是主要英語;(2)在課堂上嘗試將理論知識和實踐知識有機的結合起來，我們研究并實踐將虛擬仿真實驗和CLIL雙語教學應用到信息安全課程傳授中的模式。

 

三、虛擬仿真實驗的概念及模式

 

虛擬仿真實驗教學是學科專業與信息技術深度融合的產物，運用虛擬現實技術模擬實物實驗的計算機輔助教學軟件。目前的國內外模擬仿真軟件總結如下。

 

PSPICE[4]是由SPICE(Simulation Program with Integrated Circuit Emphasis)發展而來的用于微機系列的通用電子電路功能的仿真，是一個多功能的電路模擬試驗平臺;Tina Pro[5]是歐洲DesignSoft公司研發的一個電子設計自動化軟件，它用于模擬與數字電路的仿真分析和設計研究，分析結果可以很好地展現在圖表或虛擬設備中;CircuitMaker[6]軟件用于電子電路仿真實驗，是一種用于電路描述與仿真的語言與仿真器軟件，用于檢測電路的連接和功能的完整性;Proteus[7]軟件是英國Labcenter electronics公司的EDA軟件，提供仿真單片機及外圍器件的工具，該軟件將電路仿真軟件、PCB設計軟件和虛擬模型仿真軟件三合一的設計平臺;Boson NetSim[8]模擬Cisco路由器、交換機，可自定義網絡拓撲結構及連接。

 

根據《教育信息化十年發展規劃(2011-2020年)》，教育部于2013年開始啟動了開展了國家級虛擬仿真實驗教學中心建設工作。北京郵電大學建設了國家級北郵電子信息虛擬仿真實驗教學中心，開發了“開放式虛擬仿真實驗教學管理平臺”[9，10]。我們嘗試將該平臺作為信息安全課堂的輔助教學，其中一個教學內容使用虛擬仿真平臺進行的網絡構建，如圖1所示。

 

四、CLIL雙語教學的概念及模式

 

雙語教學是在教學過程中使用除母語以外的一種外語，通過兩種語言作為教學媒介，并在教學過程中提高學生的專業能力和外語水平。關于雙語教學的模式，有多種不同的分類，如美國的“過渡式”、加拿大等“法語浸入式”等模式。20世紀20年代，CLIL(Content and Language IntegratedLeaning)[11-13]廣泛應用于歐洲的雙語教學領域。CLIL中文譯為內容和語言的融合學習，是指將一門或多門外語作為非語言學科的教學語言，在此過程中，語言和學科將共同發揮作用。以學科內容為核心，使用真實的語言及語言材料，在課堂教學中注重學生的語言、認知和情感等因素。CLIL是歐盟在“培養多語言能力公民、促進語言教學的發展和多樣化”的決議框架下推動歐盟各國開展的一種雙語教學模式。這種模式相對于源于北美被全球普遍采納的浸入式雙語教學，為雙語教學的理論研究和實踐教學都做出了具有革新意義的貢獻。

 

選擇英語作為學習信息安全學科知識的語言媒介，是因為英語是當今國際各種領域的交流合作中使用頻率最高的語言種類。為了使學生適應國際化教育、產業的發展趨勢，有效獲得更多、更新的學科知識和科技信息，并能夠把我們的科技成果推向世界，高等教育承擔起培養具有國際視野、具備國際競爭能力的創新型、復合型高級專門人才的責任，而雙語教學可以說是承擔責任的前提或必要條件。特別是CLIL雙語教學模式對于中國的雙語教學更具有實際的借鑒意義。CLIL雙語教學模式可分為三個方面的內容，如圖2所示。

 

1.內容相關的學習(Content-related learning)。在課堂上使用的全英語教學材料，該材料是否合適教學，主要看以下幾個方面：通過本教學材料的學習，學生可否掌握兩個以上的知識點;量化掌握知識的目標;通過什么策略讓學生來掌握這些知識點，比如在學生已有知識的層面上通過視覺、或頭腦風暴活動、以更友好的方式展示知識點、通過不同的學習方式如游戲或者視頻支持、安排有挑戰性的任務給學生來完成;

 

2.語言相關的學習(Language-related learning)。解釋可能影響學生理解文章的單詞;量化和語言相關的學習掌握指標;寫出讓學習者完成目標需要用到的策略，如盡量將英文材料通俗易懂、將關鍵詞標下劃線、英文材料提供詞匯表等;

 

3.學習技能相關的學習(Learning skills-related learning)。標出技能相關的目標;量化這些目標;設計好的策略幫助學習者完成這些目標，比如重新組織知識點、通過圖表等分析知識點等。

 

CLIL雙語教學模式認為人的認知過程可分為5個漸進過程，即記憶、理解、運用、分析、評價、創造(Remember，Understand，Apply，Analyse，Evaluate，Create)。其中記憶、理解、運用是低層次的思維能力因為他們更具體，而分析、評價、創造是高層次的思維能力因為他們更抽象。

 

五、課程設置教學實踐方案

 

通過對現有理論和實踐經驗的研究和探索，采用虛擬仿真實驗和CLIL雙語教學方法應用到信息安全的課程教學實踐中。課程設置方案氛圍準備階段、CLIL教學階段、虛擬仿真實驗階段，各階段描述如下：

 

1.準備階段：配發講義，其內容主要與《Cryptography and Network Security Principles and Practice，Fifth Edition》(密碼編碼學與網絡安全-原理與實踐)課程內容接近，補充專業詞匯和常見表達方式。該階段按照教學進度安排學生自學并熟悉專業詞匯，同時利用CLIL教學中針對詞匯測試的有趣方法對學生進行詞匯量的教學和測試。

 

2.CLIL教學階段。教學過程中給出不同的和密碼算法相關的英文版本供學生閱讀、參考和討論。在此基礎上，針對不同的密碼算法設計有特色的相關的簡單的任務，教師講解，學生組成團隊合作，在給定的時間內呈現設計方案并且陳述其方案，交流的過程主要使用英語完成。

 

3.虛擬仿真實驗階段。在教學過程中，在算法很抽象或者熟悉相關密碼算法后，老師通過虛擬仿真實驗平臺展示該算法的原理或實際應用，將抽象內容形象化和具體化。安排學生組成團隊利用虛擬仿真實驗平臺設計網絡安全實驗，進一步鞏固、實踐其所學習的密碼理論知識。

 

六、信息安全雙語課程教學的心得與體會

 

將虛擬仿真實驗和基于CLIL的雙語教學引入到信息安全的課堂教學中，使得教學模式和方法多樣化、智能化、規范化、國際化，旨在提高學生專業英語聽說寫能力;加強創新精神和實踐能力的培養;更生動形象傳達不易理解的知識。具體意義如圖3描述，總結如下：

 

1.引入CLIL雙語教學理論，將語言和學科融合進教學。學習探討國際上主流的被大家認可的雙語教學理論如CLIL，在此基礎上探索適合民族院校學生特點的教學方式方法，在《信息安全》專業課程的講授過程中將英語的語言能力培養與信息安全的專業內容融合起來一起學習，在此過程中，語言和學科將共同發揮作用。旨在提高學生的專業英語能力、擴大學生的知識面，為國家培養高素質復合型專業人才隊伍。

 

2.搭建虛擬仿真實驗平臺，將理論和實踐融合進教學。在課堂教學過程將動畫模擬、虛擬仿真、遠程實驗和實物實驗優化組合，探索各類案例的優勢互補，旨在調動學生學習積極性、啟迪思維、激發潛能。通過虛擬仿真實驗平臺，整合信息安全的相關資源，提供智能化的教學服務同時，培養學生的創新能力和動手能力。

 

本論文的探索方法將是鼓勵課前預習、課程參與、課后實踐。講授方式的選擇將會優化組合教學模式，激發學生學習熱情，提高學習的主動性，提高學生的上課注意力。通過CLIL模式中各類學習技巧，逐步提高學生的英語能力和專業素質。

 

七、總結

 

本論文探索將CLIL雙語教學模式和虛擬仿真實驗應用到信息安全的課程教學過程中。學習探討適合信息安全課程特點和民族院校教學特點的雙語教學理論如CLIL雙語教學模式，在《信息安全》專業課程的講授過程中將英語的語言能力培養與信息安全的專業內容融合起來一起學習，語言和學科將共同發揮作用;同時運用虛擬仿真實驗等輔助手段，將信息安全的理論知識和實踐知識結合起來，提高學生對信息安全專業的認知程度。我們所做的努力最終的目標是讓學生從記憶、理解、運用知識到能分析、評價、創造知識的轉變，為社會培養大量既有豐富的專業知識又精通英語的高素質復合型人才。

篇5

論文關鍵詞:信息安全外包風險管理

論文摘要:文章首先分析了信息安全外包存在的風險，根據風險提出信息安全外包的管理框架，并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風險

1.1信任風險

企業是否能與信息安全服務的外包商建立良好的工作和信任關系，仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息，并全面了解其企業和系統的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業造成巨大的損害。并且，如若企業無法信任外包商，不對外包商提供一些關鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導致某些環節的失效，這也會對服務質量造成影響。因此，信任是雙方合作的基礎，也是很大程度上風險規避的重點內容。

1.2依賴風險

企業很容易對某個信息安全服務的外包商產生依賴性，并受其商業變化、商業伙伴和其他企業的影響，恰當的風險緩釋方法是將安全服務外包給多個服務外包商，但相應地會加大支出并造成管理上的困難，企業將失去三種靈活性:第一種是短期靈活性，即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力，即在短期到中期的事件范圍內所需的靈活性，這是一種以新的方式處理變革而再造業務流程和戰略的能力，再造能力即包括了信息技術;第三種靈活性就是進化性，其本質是中期到長期的靈活性，它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。

1.3所有權風險

不管外包商提供服務的范圍如何，企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責，并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到，應該將信息安全作為其首要責任，并進行安全培訓課程，增強常規企業的安全意識。

1.4共享環境風臉

信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險，因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器)，這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。

1.5實施過程風險

啟動一個可管理的安全服務關系可能引起企業到服務外包商，或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡，這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

1.6合作關系失敗將導致的風險

如果企業和服務商的合作關系失敗，企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的，而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗，如同其他商業關系一樣，它需要給予足夠的重視、關注，同時還需要合作關系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業實施和管理外包活動，協調與外包商的關系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分，分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準，然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后，雙方共同制定適合企業的信息安全外包的控制方法，協調優化企業的信息安全相關部門的企業結構，同時加強管理與外包商的關系。

3信息安全外包風險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業內，指導如何對資產，包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義，定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。

3.2選擇信息安全管理的標準

信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:

(1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分，分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規范的評估，識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業獨立評估方評估權限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節，以減少任何對可用性，服務程度，客戶滿意度等的影響。在評估執行后的一段特殊時間內，與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存，企業將這些文檔作為評估的重要工具，對外包商的服務績效進行考核。評估結束后，對事件解決方案和優先級的檢查都將記錄在相應的文件中，以便今后雙方在服務和信息安全管理上進行改進。

3.4制定信息安全外包服務的控制規則

依照信息安全外包服務的控制規則，主要分為三部分內容:第一部分定義了服務規則的框架，主要闡明信息安全服務要如何執行，執行的通用標準和量度，服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求，這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求，服務范圍等方面的內容;第三部分是安全要求，包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。

3.5信息安全外包的企業結構管理具體的優化方案如下:

(1)首席安全官:CSO是公司的高層安全執行者，他需要直接向高層執行者進行工作匯報，主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況，并確定安全工作的標準和主動性，包括信息技術、人力資源、通信、法律、設備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術。

(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官，客戶企業的CIO和CSO，外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更，新的技術手段的應用，服務優先等級的更換以及服務的財政問題等，咨詢委員會的成員包括企業內部的TI’人員和安全專員，還有財務部門、人力資源部門、業務部門的相關人員，以及外包商的具體項目的負責人。

(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務交換中心:服務交換中心由雙方人員組成，其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門，發掘出企業中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業內部人員，包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后，或者，是當CSO了關于信息安全的企業改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經過學習討論后，繼而將其到各個業務部門。

(9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。