1對醫(yī)院網(wǎng)絡(luò)進(jìn)行集中的安全管理

在物理架構(gòu)上實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)架構(gòu)的高度冗余、容錯(cuò)能力,在網(wǎng)絡(luò)平臺架構(gòu)中或業(yè)務(wù)關(guān)鍵節(jié)點(diǎn)不存在設(shè)備或線路單點(diǎn)故障。我院網(wǎng)絡(luò)架構(gòu)主要分為5個(gè)部分：

①內(nèi)網(wǎng)區(qū)-業(yè)務(wù)區(qū)域：內(nèi)部業(yè)務(wù)系統(tǒng)、服務(wù)器及存儲服務(wù)器所屬的網(wǎng)絡(luò)域；

②內(nèi)網(wǎng)區(qū)-科室訪問內(nèi)部應(yīng)用：此區(qū)域?yàn)闃I(yè)務(wù)終端所處的網(wǎng)絡(luò)域，各科室業(yè)務(wù)終端中能訪問內(nèi)部業(yè)務(wù)平臺；

③外網(wǎng)區(qū)：臨床、行政普通辦公區(qū)，用于用戶訪問互聯(lián)網(wǎng)；

④外部接入?yún)^(qū)域：第三方接入域，如：新農(nóng)合、省醫(yī)保、市醫(yī)保及銀醫(yī)一卡通等；

⑤外網(wǎng)網(wǎng)站區(qū)：醫(yī)院門戶網(wǎng)站所處的網(wǎng)絡(luò)域，與其他網(wǎng)絡(luò)域物理隔離。邏輯架構(gòu)上實(shí)現(xiàn)整個(gè)信息化基礎(chǔ)架構(gòu)平臺的合理區(qū)域化劃分，盡量合理的設(shè)計(jì)和規(guī)劃安全區(qū)域，調(diào)整邏輯架構(gòu)，在網(wǎng)絡(luò)骨干設(shè)備間實(shí)現(xiàn)三層架構(gòu)，避免因?yàn)椴煌收隙饘I(yè)務(wù)產(chǎn)生大范圍影響。

1分析信息時(shí)代背景下的電子信息安全管理的重要性

1.1有效地保證社會經(jīng)濟(jì)的穩(wěn)定性發(fā)展和建設(shè)

電子信息安全管理是為了適應(yīng)當(dāng)前的社會經(jīng)濟(jì)發(fā)展的要求而進(jìn)行開展的，因?yàn)殡娮有畔踩芾砟軌蛱嵘鱾€(gè)生產(chǎn)經(jīng)營組織個(gè)體的信任度，并及時(shí)的進(jìn)行經(jīng)濟(jì)投資，促使電子信息安全管理被有效地落實(shí)和實(shí)踐。目前我國的現(xiàn)代化建設(shè)進(jìn)程已經(jīng)邁入了正軌，各個(gè)經(jīng)濟(jì)發(fā)展個(gè)體只有借助電子信息技術(shù)的安全管理原則，將自己公司或者組織內(nèi)部的資料進(jìn)行集中分配和處理，能夠提高企業(yè)的日常工作效率，而且促使公司內(nèi)部的資源和結(jié)構(gòu)更加的具有優(yōu)良性和全面性，所以在電子信息安全管理的要求下，才會多的更多的經(jīng)濟(jì)個(gè)體的信任，并且提升整個(gè)電子信息系統(tǒng)安全管理的開展意義。社會總體的經(jīng)濟(jì)進(jìn)步和發(fā)展主要是依靠當(dāng)前社會各個(gè)階層的經(jīng)濟(jì)發(fā)展主體不斷的進(jìn)行生產(chǎn)革新以及管理創(chuàng)新，才推動了社會的總體經(jīng)濟(jì)進(jìn)步。所以電子信息安全管理的開展實(shí)踐和落實(shí)中，企業(yè)才會加大對于電子信息安全管理的認(rèn)識，并不斷的提升企業(yè)內(nèi)部對于電子信息安全管理的實(shí)際操作能力，從而電子信息安全管理才能穩(wěn)定社會的經(jīng)濟(jì)全面的發(fā)展和建設(shè)，全面的保障各個(gè)企業(yè)的日常工作運(yùn)行和發(fā)展。

1.2提升國民對電子信息安全管理的認(rèn)識

社會大眾對位網(wǎng)絡(luò)資源服務(wù)的主要對象，對于電子信息安全管理的開展具有全面的推動作用。大眾要增強(qiáng)對于電子信息安全管理的認(rèn)識，才能真正的提升國民素質(zhì)，對于網(wǎng)絡(luò)中的不良現(xiàn)象也能有效地抵制。所以大眾人民在日常運(yùn)用網(wǎng)絡(luò)電子信息資源的時(shí)候，要注重對于本身電腦的保護(hù)，進(jìn)行查毒、殺毒措施的落實(shí)，將威脅電子信息安全管理的潛在隱患進(jìn)行及時(shí)的排除，從而進(jìn)一步將電子信息安全管理落實(shí)起來，進(jìn)而提升過敏對于電子信息安全管理的認(rèn)識，真正的保護(hù)好電子信息。

2信息時(shí)代背景下的電子信息安全管理的主要方法

2.1樹立電子信息安全管理的思想意識

1企業(yè)開展檔案信息安全管理的必要性

企業(yè)檔案信息是企業(yè)在生產(chǎn)、經(jīng)營過程中形成的具有重要保存價(jià)值的記錄，是企業(yè)的寶貴財(cái)富和歷史記憶。檔案信息中有的內(nèi)容涉及到企業(yè)的核心機(jī)密，包括設(shè)備、關(guān)鍵技術(shù)資料等，這些檔案信息對于企業(yè)的生存和發(fā)展至關(guān)重要，一旦出現(xiàn)信息泄露，將會對企業(yè)的生存和發(fā)展造成巨大的威脅。加強(qiáng)企業(yè)檔案信息的安全管理就是進(jìn)行有組織、有計(jì)劃的實(shí)施一系列安全管理措施，能提高企業(yè)的檔案管理水平和檔案信息安全性，避免檔案信息泄露給企業(yè)帶來的巨大損失，為企業(yè)的長遠(yuǎn)發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。因此，企業(yè)開展檔案信息安全管理極其必要。

2威脅檔案信息安全的因素

現(xiàn)階段，大量的檔案信息都以數(shù)據(jù)信息的形式存儲在計(jì)算機(jī)中，計(jì)算機(jī)是檔案信息存儲的載體，一旦計(jì)算機(jī)發(fā)生故障或者被黑客攻擊，檔案信息就存在泄漏的可能。現(xiàn)在對計(jì)算機(jī)檔案信息產(chǎn)生威脅的因素包括計(jì)算機(jī)故障、病毒和黑客攻擊以及人為操作故障導(dǎo)致的停機(jī)。計(jì)算機(jī)是由數(shù)量龐大的元器件構(gòu)成的，計(jì)算機(jī)在使用過程中受電壓、溫度以及線路問題等很容易出現(xiàn)硬件故障，導(dǎo)致計(jì)算機(jī)出現(xiàn)藍(lán)屏、死機(jī)等狀況，而一旦計(jì)算機(jī)硬盤出現(xiàn)故障就會造成檔案信息的丟失和破壞。計(jì)算機(jī)檔案信息管理通過專業(yè)軟件進(jìn)行來實(shí)現(xiàn)的，一旦計(jì)算機(jī)軟件出現(xiàn)問題，也會給檔案信息的安全造成極大的威脅；病毒和黑客攻擊是威脅檔案信息安全的一個(gè)重要因素，雖然現(xiàn)階段有很多殺毒和防火墻軟件，但是這并不能保證計(jì)算機(jī)免于病毒和黑客的攻擊；人為管理因素也是威脅檔案信息安全的一大因素，有的工作人員操作不規(guī)范，存在人為操作故障或者錯(cuò)誤刪除數(shù)據(jù)等情況。除了計(jì)算機(jī)方面的因素外，機(jī)房消防安全、設(shè)備防雷、氣候變化、自然災(zāi)害以及盜竊等都是威脅檔案信息安全的因素。

3企業(yè)檔案信息安全管理策略

3.1樹立檔案信息安全管理意識。

檔案信息安全管理意識的樹立是提高檔案信息管理的重要措施，然而，目前大多數(shù)企業(yè)的檔案信息安全管理都只是“說起來很重要，忙起來就忘掉”的現(xiàn)狀，只有人人具有檔案信息安全意識才能在工作中時(shí)刻注重檔案信息的安全，促進(jìn)企業(yè)的檔案信息安全管理。所以，企業(yè)要加強(qiáng)對工作人員的檔案信息安全意識培訓(xùn)工作，大力開展檔案信息安全教育會議來提高和樹立工作人員的檔案信息安全意識。同時(shí)，企業(yè)還可以通過張貼標(biāo)語、企業(yè)通知、內(nèi)部報(bào)刊以及企業(yè)網(wǎng)站等多種途徑來提高工作人員檔信息安全意識。此外，企業(yè)還可以開展相關(guān)知識競賽、專業(yè)技能挑戰(zhàn)賽等相關(guān)的實(shí)戰(zhàn)演練，科學(xué)、有效的提高工作人員的檔案信息安全管理效率和水平。

一、石油銷售系統(tǒng)的信息安全管理現(xiàn)狀

1.銷售系統(tǒng)設(shè)施建設(shè)。

硬件方面，各石油銷售企業(yè)都具有設(shè)施完善的中心計(jì)算機(jī)系統(tǒng)，供電采用UPS方式，采用“雙機(jī)熱備”的核心服務(wù)器工作模式，以確保整個(gè)硬件的可靠性和安全性；網(wǎng)絡(luò)方面，采用SDH光纖接入廣域網(wǎng)，包括接入層、匯聚層、核心層。核心層中路由器和交換機(jī)采用雙機(jī)模式，設(shè)備之間，層層之間以光纖方式連接，以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻，部分企業(yè)為進(jìn)一步提高安全防范能力還安裝了外網(wǎng)入侵檢測系統(tǒng)；大多數(shù)加油站采用SSLVPN方式訪問企業(yè)內(nèi)部網(wǎng)，以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面，大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護(hù)軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng)，實(shí)現(xiàn)PC機(jī)的MAC地址綁定。

2.銷售系統(tǒng)信息化建設(shè)。

目前，企業(yè)的銷售信息系統(tǒng)主要包括：加油卡系統(tǒng)、辦公自動化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點(diǎn)：一是用戶眾多，幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶；二是應(yīng)用領(lǐng)域廣，涉及企業(yè)經(jīng)營、管理、對外服務(wù)諸多方面；三是要求連續(xù)運(yùn)轉(zhuǎn)，如ERP系統(tǒng)必須滿足7×24小時(shí)運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的安全運(yùn)轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營管理的可持續(xù)性，其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以，基于上述的原因，企業(yè)對銷售信息系統(tǒng)的安全運(yùn)轉(zhuǎn)提出了更高的要求。

3.銷售系統(tǒng)的信息安全現(xiàn)狀。

石油銷售管理系統(tǒng)是關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的重要信息系統(tǒng)，國家對其信息安全高度重視，并在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中強(qiáng)調(diào)，我國要全面加強(qiáng)國家信息安全保障體系的建設(shè)，大力增強(qiáng)國家信息安全保障能力，實(shí)現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時(shí)，國內(nèi)石油銷售企業(yè)也長期重視信息安全工作，逐步建立了相應(yīng)的保障體系和規(guī)章制度，但還存在以下問題：

一、檔案信息安全隱患的表現(xiàn)

（一）檔案信息制度不健全帶來的信息安全隱患

在檔案信息化突飛猛進(jìn)的背景下，相關(guān)的檔案信息安全管理制度卻未及時(shí)地建立起來，給別有用心的人竊取和不當(dāng)利用檔案信息以可乘之機(jī)，嚴(yán)重危害著檔案信息的安全。比如，有的檔案管理單位解答了檔案利用者的問題，因?yàn)檎J(rèn)為該問題具有代表性，就將該問題放入常見問題資訊庫中。若該檔案管理單位缺乏檔案信息的保護(hù)制度和保密意識，沒有對咨詢?nèi)说膫€(gè)人信息進(jìn)行必要的屏蔽和處理，可能會造成用戶信息的泄露，侵犯檔案利用者的隱私權(quán)。再比如，有的地市住房公積金管理網(wǎng)絡(luò)系統(tǒng)由于缺乏相應(yīng)的安全制度和技術(shù)保障措施，只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況，而個(gè)人的收入狀況屬于個(gè)人不愿向外界透漏的的隱私，這就造成了個(gè)人檔案信息的泄露。

（二）檔案網(wǎng)絡(luò)化管理帶來的信息安全隱患

網(wǎng)絡(luò)化管理給檔案管理工作帶來便利。但是，計(jì)算機(jī)感染木馬病毒和遭受黑客惡意攻擊的風(fēng)險(xiǎn)給檔案信息的安全性帶來隱患。木馬程序一旦侵入檔案管理系統(tǒng)，很可能會破壞檔案信息數(shù)據(jù)，甚至?xí)扇〈鄹摹⒈I竊、銷毀檔案數(shù)據(jù)的破壞手段，造成檔案管理的混亂，給檔案數(shù)據(jù)的安全性帶來致命損害。另外，以光盤、硬盤等存儲介質(zhì)為載體的電子數(shù)據(jù)檔案有其自身不可克服的缺點(diǎn)，如信息數(shù)據(jù)不夠穩(wěn)定、易于損壞和難以固定保存等，加之檔案存儲設(shè)備更新速度很快，若不對檔案存儲設(shè)備以及相關(guān)的計(jì)算機(jī)硬件和軟件及時(shí)更新，解決數(shù)字檔案的格式轉(zhuǎn)換等問題，極易造成檔案數(shù)據(jù)丟失、毀損或無法順利讀取等情況發(fā)生。

（三）檔案管理造成的信息安全隱患

檔案信息化對檔案管理人員的素質(zhì)提出了更高的要求，要求檔案管理人員不但要精通檔案管理知識，還要精通互聯(lián)網(wǎng)知識、計(jì)算機(jī)和相應(yīng)檔案管理軟件的操作方法。但是，當(dāng)前檔案管理人員的年齡結(jié)構(gòu)存在普遍偏大的狀況。有些年齡較大的檔案管理人員知識更新不夠及時(shí)，仍然拘泥于傳統(tǒng)的檔案管理模式，對信息化的檔案管理可能會感覺力不從心。因?yàn)閷n案管理設(shè)備和檔案管理軟件研究不夠深入，操作熟練程度不夠等原因，在管理過程中容易造成檔案數(shù)據(jù)意外刪除等丟失毀損情況，構(gòu)成檔案信息的安全隱患。

一、關(guān)于高校檔案數(shù)字化及檔案信息安全

高校數(shù)字化的檔案信息從傳輸、存儲到顯示利用都要通過計(jì)算機(jī)來實(shí)現(xiàn)，計(jì)算機(jī)和網(wǎng)絡(luò)是生成和利用數(shù)字檔案信息的基礎(chǔ)和前提，離開計(jì)算機(jī)軟硬件和網(wǎng)絡(luò)的傳輸，數(shù)字化的檔案信息就不可能讀取和顯示，因此，數(shù)字化檔案信息對計(jì)算機(jī)及網(wǎng)絡(luò)有很強(qiáng)的依賴性。然而眾所周知，計(jì)算機(jī)及網(wǎng)絡(luò)具有一定的不安全性，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)的某些隱患，有時(shí)會使檔案信息遭到毀滅性的破壞，這就產(chǎn)生了檔案信息的安全問題。如何確保數(shù)字化檔案信息的保密性、完整性、真實(shí)性和可利用性，給高校檔案數(shù)字化工作帶來了極大的挑戰(zhàn)，對高校在檔案數(shù)字化進(jìn)程中采取先進(jìn)技術(shù)和有效措施，保障高校檔案信息安全提出了較高的要求。

二、數(shù)字化進(jìn)程中高校檔案信息安全現(xiàn)狀

檔案數(shù)字化給高校檔案工作帶來了新的生機(jī)，數(shù)字化檔案信息的網(wǎng)絡(luò)傳輸和查詢在為社會提供廣泛信息服務(wù)的同時(shí)，也給高校檔案的信息安全帶來了嚴(yán)峻挑戰(zhàn)。例如：在數(shù)字化加工過程中，有的高校利用勤工助學(xué)學(xué)生或通過外包實(shí)現(xiàn)檔案全文數(shù)字化，存在對學(xué)生培訓(xùn)不夠和對數(shù)字化加工服務(wù)機(jī)構(gòu)、加工場地、加工人員和加工成果等方面監(jiān)管不到位，管理不規(guī)范的問題；有的高校檔案管理人員沒有經(jīng)過正規(guī)的機(jī)要保密培訓(xùn)，在工作實(shí)踐中，對已觸“紅線”的檔案信息資料繼續(xù)以常規(guī)方法掛網(wǎng)；有的政府信息安全部門對進(jìn)行檔案數(shù)字化工作的單位指導(dǎo)不到位等等。

1.高校檔案數(shù)字化進(jìn)程中沒有完整的法律法規(guī)制度保護(hù)信息安全。

目前，各高校全文數(shù)字化工作主要依據(jù)《中華人民共和國檔案法》、《高等學(xué)校檔案管理辦法》、《電子公文歸檔管理暫行辦法》等法規(guī)。法規(guī)制度分散零亂，缺乏系統(tǒng)的規(guī)劃和設(shè)計(jì)，對于高校檔案信息安全保障法規(guī)不成體系，缺少專門的法規(guī)。

2.高校檔案數(shù)字化沒有統(tǒng)一技術(shù)規(guī)范標(biāo)準(zhǔn)。

一、既要強(qiáng)調(diào)自主可控又要防止閉關(guān)鎖國

。其實(shí)自主可控今年已經(jīng)被多次提到，尤其是去IOE。最近我參加了一個(gè)相關(guān)論壇，國產(chǎn)的廠商表面上都是信心滿滿，但是一些銀行的客戶，雖然不能說反對自主可控，但是實(shí)際上他們對于國產(chǎn)的產(chǎn)品是有一些顧慮。國家強(qiáng)調(diào)自主可控，通過設(shè)定一些市場準(zhǔn)入門檻或者審查機(jī)制，從政策上限制，法律上限制這是正常的，各個(gè)國家也都在這么做，但是作為企業(yè)來說不能夠一味地去強(qiáng)調(diào)自主可控，自主可控不等于安全，這個(gè)需要我們清醒的認(rèn)識到。那么對于國外的技術(shù)也好、產(chǎn)品也好，我們還是要加強(qiáng)研究，對于一些風(fēng)險(xiǎn)點(diǎn)我們要區(qū)別對待。

二、既要關(guān)注技術(shù)發(fā)展又要重視應(yīng)用創(chuàng)新。

技術(shù)的發(fā)展是我們安身立命的本錢，這是我們必須要發(fā)展的。但是在信息安全領(lǐng)域中應(yīng)用不太被重視或者跟應(yīng)用結(jié)合比較少，這是我們做的不足的地方。其實(shí)近幾年商用密碼行業(yè)出現(xiàn)了新的發(fā)展或者出現(xiàn)了更新?lián)Q代的浪潮，在這個(gè)過程中國家密碼管理局和人民銀行共同促進(jìn)了國產(chǎn)密碼算法應(yīng)用，從而帶動了國產(chǎn)芯片、算法相關(guān)配套的產(chǎn)品和軟件系統(tǒng)的發(fā)展，這是一個(gè)應(yīng)用帶動技術(shù)發(fā)展的很好例子。現(xiàn)在隨著金融IC卡的推動，各個(gè)銀行都在加快金融應(yīng)用創(chuàng)新，我今年參加了幾次金融應(yīng)用創(chuàng)新的論壇，銀行都在積極探討模式，不管是芯片也好，手機(jī)也罷，各種應(yīng)用模式都層出不窮且個(gè)個(gè)都具創(chuàng)意，尤其是像一些互聯(lián)網(wǎng)企業(yè)，淘寶也在積極尋求突破，他們要參與到金融應(yīng)用中來，互聯(lián)網(wǎng)銀行再加上二維碼支付這些技術(shù)其實(shí)都需要我們廠商認(rèn)真去研究，只有我們把這些應(yīng)用研究透了我們才能夠跟客戶有一個(gè)公平對話的局面。我們的產(chǎn)品才能夠增加附加值，才能夠不停地更新?lián)Q代，才能夠避免陷入一味的價(jià)格戰(zhàn)，地價(jià)競爭的態(tài)勢。

三、既要引得進(jìn)來也要走得出去。

這個(gè)方面重要的是走出去，一味防守是被動的，目前國家密碼管理局也在推進(jìn)國產(chǎn)密碼國際化，作為我們產(chǎn)業(yè)界來說應(yīng)該和政府形成良好的互動。有專家說現(xiàn)在產(chǎn)業(yè)界聲音有點(diǎn)小，在國際上我們也應(yīng)該積極參與一些國際化組織，積極參與國際市場的競爭，把火勢燒到對方那邊去。這樣一方面能夠鍛煉我們的產(chǎn)品，另外也是開拓我們自己的市場。

四、既要公平競爭更要合作共贏。

1NIST關(guān)于信息技術(shù)安全培訓(xùn)的特別出版物

1.1SP800-16

NIST于1998年4月出版發(fā)行了SP800-16標(biāo)準(zhǔn)，這是對SP500-172的取代和更新，奠定了針對美國政府工作人員保密教育培訓(xùn)的總體框架和內(nèi)容，提出了有效的框架并據(jù)此評估這一培訓(xùn)體系。SP800-16中提出了IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型。模型基于學(xué)習(xí)是一個(gè)連續(xù)統(tǒng)一體這一前提，主要體現(xiàn)了以下觀念。“安全意識”顯然是所有員工所必須具備的，而“安全基礎(chǔ)和文化”是那些以任何方式參與到IT系統(tǒng)的員工（包括承包方員工）所必須具備的。“安全基礎(chǔ)和文化”是“意識培養(yǎng)”和“培訓(xùn)”之間的一個(gè)過渡階段。它通過提供一套關(guān)鍵性安全術(shù)語和概念的通用基準(zhǔn)，來為后續(xù)的培訓(xùn)打下基礎(chǔ)。經(jīng)過“安全基礎(chǔ)和文化”后，培訓(xùn)的焦點(diǎn)集中于針對個(gè)人“相對于IT系統(tǒng)的角色和職責(zé)”來提供知識、技術(shù)和能力。在這一層，按照技術(shù)需求的不同，培訓(xùn)分為初級、中級、高級3個(gè)層次。“教育和經(jīng)驗(yàn)”層著眼于開發(fā)能夠?qū)崿F(xiàn)復(fù)雜的跨學(xué)科活動和所需技能的能力及預(yù)見力，以促進(jìn)IT安全專業(yè)化的發(fā)展，并與安全威脅發(fā)展和技術(shù)發(fā)展保持同步。按照知識的層次來看，學(xué)習(xí)是一個(gè)連續(xù)統(tǒng)一體，但是傳授這些知識并不需要按部就班地進(jìn)行。如果資源有限，組織有責(zé)任評估它們的IT安全培訓(xùn)需求范圍和培訓(xùn)效果，使培訓(xùn)資源分配能夠獲得最大的投資回報(bào)。與早期美國推行的基于工作職稱的教育培訓(xùn)不同，SP800-16旨在提供基于個(gè)人工作職能和角色的培訓(xùn)方案，將原本的“一職稱一方案”變成了“一角色一方案”。尤其對于一個(gè)人在組織中具有多個(gè)角色的情況，SP800-16針對每個(gè)員工個(gè)人培養(yǎng)方案的不同需求靈活變通，力求滿足每個(gè)角色的培訓(xùn)需求，提供復(fù)合式、全面的培訓(xùn)方案。此外，這種培訓(xùn)方法還對不同組織間職稱標(biāo)準(zhǔn)劃分不同的情況進(jìn)行了統(tǒng)一，提高了同種角色、不同組織、不同職稱間培訓(xùn)方案制定的一致性；同時(shí)，提供了開發(fā)課程的工具和學(xué)習(xí)效果評估體系，盡可能準(zhǔn)確地確定不同角色、不同職責(zé)的每個(gè)學(xué)生的學(xué)習(xí)效果，為課程開發(fā)者提供全面、翔實(shí)的學(xué)習(xí)效果反饋，幫助保密培訓(xùn)課程、資料的開發(fā)者進(jìn)一步優(yōu)化教學(xué)培訓(xùn)過程。

1.2SP800-50

2003年10月NIST推出的SP800-50標(biāo)準(zhǔn)，它在SP800-16的基礎(chǔ)之上更加注重項(xiàng)目在實(shí)施過程中機(jī)構(gòu)資源的安全性，特別強(qiáng)調(diào)在IT安全意識培養(yǎng)和培訓(xùn)項(xiàng)目的整個(gè)生存周期中的4個(gè)關(guān)鍵步驟：（1）安全意識培養(yǎng)和培訓(xùn)項(xiàng)目的設(shè)計(jì)。做機(jī)構(gòu)范圍內(nèi)的需求評估，制定和核準(zhǔn)培訓(xùn)策略。為了支持機(jī)構(gòu)已經(jīng)設(shè)立的安全性培訓(xùn)目標(biāo)，這一策略性的計(jì)劃文檔還需確定所要實(shí)現(xiàn)的任務(wù)。（2）安全意識培養(yǎng)和培訓(xùn)材料的開發(fā)。集中討論了可利用的培訓(xùn)資源、范圍、內(nèi)容以及培訓(xùn)材料的開發(fā)。（3）項(xiàng)目實(shí)施。闡述安全意識培養(yǎng)和培訓(xùn)項(xiàng)目的有效溝通和實(shí)施，提出傳送安全意識培養(yǎng)和培訓(xùn)材料的可選方式（如基于Web、遠(yuǎn)程教育、視頻、網(wǎng)站等）。（4）項(xiàng)目實(shí)現(xiàn)之后。就保持項(xiàng)目的通用性和監(jiān)控其有效性的問題給予指導(dǎo)，描述有效的反饋方式。SP800-50標(biāo)準(zhǔn)討論了用于管理安全培訓(xùn)項(xiàng)目中的集中式、部分分散式、完全分散式3種比較普遍的模型。（1）集中式。所用責(zé)任都集中于核心的權(quán)威人士（如IT安全項(xiàng)目經(jīng)理）。（2）部分分散式。培訓(xùn)方針和策略來自于核心的權(quán)威人士，但是實(shí)施的職責(zé)被分散。（3）完全分散式。只有方針的制訂屬于核心權(quán)威人士，而其他所有的任務(wù)均被委派給機(jī)構(gòu)。模型的選用應(yīng)基于項(xiàng)目的預(yù)算、資源分配、組織規(guī)模、任務(wù)的一致性以及整個(gè)組織的地理分布。

2NISTSP800-16的版本演變過程

1998年4月出版的SP800-16第一版首次提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型，并設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型。該模型按政府工作人員的職能將受訓(xùn)人員分為6種角色，即管理人員、采購人員、設(shè)計(jì)與開發(fā)人員、操作人員、檢查測評人員以及普通使用人員。模型針對這6種角色設(shè)計(jì)了3個(gè)基本的培訓(xùn)領(lǐng)域（法律和法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全），并為此設(shè)計(jì)了安全培訓(xùn)課程框架，提出了培訓(xùn)有效性的評估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓(xùn)職責(zé)，即對涉及信息安全培訓(xùn)的機(jī)構(gòu)領(lǐng)導(dǎo)、首席信息技術(shù)執(zhí)行官、高級機(jī)構(gòu)信息安全官、管理人員、培訓(xùn)設(shè)計(jì)專家、對信息安全負(fù)有重要責(zé)任的人員以及用戶等7類人員的職責(zé)劃分。二是在信息安全培訓(xùn)課程的學(xué)習(xí)層次上強(qiáng)調(diào)知識水平的連貫性。三是對第一版的基于角色的培訓(xùn)提出了一個(gè)教學(xué)設(shè)計(jì)模型，即針對政府人員的信息安全需求，依次進(jìn)行需求分析、課程設(shè)計(jì)、課程開發(fā)、培訓(xùn)實(shí)踐和教學(xué)評估等五大環(huán)節(jié)，這使得信息安全的培訓(xùn)可以迭代改進(jìn)。2013年10月NIST了對SP800-16的第二次修訂版本草案，這次修訂中首次提出了網(wǎng)絡(luò)空間安全培訓(xùn)，因?yàn)槊绹?010年4月啟動了《國家網(wǎng)絡(luò)空間安全教育計(jì)劃》（NationalInitiativeofCyberSecurityEducation，NICE），該計(jì)劃旨在通過促進(jìn)教育和培訓(xùn)來改善人的網(wǎng)絡(luò)行為、技能和知識，從而增強(qiáng)美國整體的網(wǎng)絡(luò)空間安全。這意味著美國政府已著手于將網(wǎng)絡(luò)空間安全上升到國家安全的戰(zhàn)略層面上來。2013年版的改動有以下幾個(gè)方面：一是強(qiáng)調(diào)信息安全意識的培訓(xùn)應(yīng)當(dāng)在網(wǎng)絡(luò)空間的背景下進(jìn)行設(shè)計(jì)；二是在信息安全培訓(xùn)的目標(biāo)對象中加入了對重要信息技術(shù)和網(wǎng)絡(luò)空間安全負(fù)有責(zé)任的政府工作人員；三是對信息安全培訓(xùn)的評估體系進(jìn)行了細(xì)化，即明確提出了評估培訓(xùn)的4個(gè)目的。不到半年時(shí)間，NIST再次了SP800-16的第三次修訂草案，這個(gè)版本改動較小，主要是在信息安全培訓(xùn)的組織責(zé)任中加入了網(wǎng)絡(luò)空間培訓(xùn)管理員/首席學(xué)習(xí)執(zhí)行官。其職責(zé)包括：一是確保培訓(xùn)教材針對具體人員進(jìn)行設(shè)計(jì)；二是確保培訓(xùn)教材對目標(biāo)人員的有效性；三是為信息安全培訓(xùn)提供有效的反饋信息；四是對信息安全培訓(xùn)教材進(jìn)行及時(shí)更新；五是重視培訓(xùn)效果的跟蹤和匯報(bào)。