邮政信息网安全教育研究

王　刚

邮政信息网安全教育研究

王刚

摘要：邮政信息网由邮政综合计算机网和金融网组成。随着网络规模的不断扩大，各应用系统已成为企业经营管理、内部生产作业、对外服务的基础网络平台，应用系统的数据是企业最重要的信息资源,数据的丢失或毁坏都有可能给企业带来不可估量的损失。通过对管理层、技术层和普通用户层的信息安全教育和防范技能的培训，提高企业各级人员的信息安全意识和技能，明确信息安全责任，掌握其岗位所要求的信息安全管理和操作技能，才能保证邮政信息网安全运行。

关键词：邮政信息网；应用系统；信息资源；安全教育

一、引言

随着邮政企业信息化水平的迅速提高和网络规模的扩大,各应用系统已成为企业经营管理、内部生产作业、对外服务的基础系统平台，应用系统的数据是企业最重要的信息资源。如何保证企业信息网的安全和数据的完整性是邮政企业信息化建设必须考虑的问题。根据企业实际情况,制定一个科学完备的针对各类人员的信息安全教育计划,对于保障信息网安全显得尤为重要。信息网安全教育和技能培训不仅能提高各级管理人员和员工对网络信息安全的认识，增强信息安全责任感和法律意识，提高贯彻执行各项信息安全法律、法规及各项规章制度的自觉性，[1]而且能使广大员工掌握网络信息安全知识，提高信息安全的事故预防、应急能力，从而有效地防止信息安全事故的发生，确保邮政信息网络的安全。[2]

二、信息安全的内涵

1.信息的定义及特点

信息就是消息，一切存在的事物均有信息，信息是某种事物的表示特征。人类可以通过各种手段，包括电子、机械等设备发现信息、利用信息，信息获取以后的保存方式有纸质文档、电子、视频、音频、交流沟通等。信息是邮政企业重要的资产，需要进行有效的保护。信息安全的特点是机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

2.信息化设备

信息化设备是指邮政公司配发给每一位员工的、用于从事信息化工作的硬件设备，以及支撑邮政公司正常运作的网络、服务器和客户机等设备。主要包括台式计算机、笔记本电脑、服务器、客户机、网络交换机、防火墙、路由器以及各类应用系统平台和软件开发环境等。为切实保障邮政信息网络的安全，顺利实施安全管理工作，积极预防风险，必须完善控制措施，强化对信息化设备的管控。

三、信息安全的基本要求

1.设备安全

严禁将邮政公司配发给员工用于办公的计算机转借给非公司员工使用，严禁将公司配发的笔记本电脑带回家使用，严禁利用公司信息化设备资源为第三方从事兼职工作。公司所有服务器、网络交换机、防火墙、路由器以及各类应用系统平台和软件开发环境由市分公司安委会责成信息技术部门进行管理，非本公司技术人员对邮政各级单位的设备、系统等进行维修维护时，必须由本单位相关技术人员现场全程监督。信息化设备送外维修，必须经过技术管理部门负责人批准，并登记备案。

2.操作安全

严格遵守计算机设备使用及安全操作规程和正确的使用方法，任何人不允许私自处理或委托非本单位技术人员对信息化设备进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。邮政公司所有计算机、终端、服务器客户机都必须设定开机登录密码和屏幕保护密码，交换机、防火墙、路由器等网络设备的密码由技术部门负责管理。

3.病毒防范

邮政公司所有计算机、图形终端、服务器、客户机都必须安装集团公司指定的趋势防病毒软件和蓝代斯克安全套件等正版防控软件，系统管理员必须进行定期杀毒、病毒库升级、补丁修复。

四、信息安全教育的范围和内容

根据邮政集团公司和省邮政公司关于信息网安全教育的有关规定和要求，结合市邮政分公司的实际，针对不同的培训对象进行分层次的教育，即管理层教育、技术层教育和普通用户层教育三个层面。

1.高级管理层安全教育

高级管理层安全教育的对象为市邮政分公司、各县分公司的主要领导；教育内容是宏观信息安全管理理念及高级信息安全管理知识；教育目标是使企业高级管理人员能够了解其信息安全职责，具备其工作所需的信息安全管理知识和信息安全管理能力。

2.中级管理层安全教育

中级管理层安全教育的对象为市邮政分公司机关部室和专业局、各县分公司的部室主要领导；教育内容为信息安全管理理念及信息安全管理基本知识；教育目标是使企业中级管理人员能够了解其信息安全职责，具备其工作所需的信息安全管理知识和信息安全管理能力。

3.市分公司技术人员安全教育

市分公司技术人员安全教育的对象为市分公司从事信息化建设和应用系统运行维护的技术管理人员；教育内容主要包括网络信息安全基本概念(涉及信息网络遭受的威胁、网络安全的对策、安全标准)、数据加密与隐藏技术(包括加密/解密算法、密码体制、密码学与信息加密、数字签名、密钥分配、数字证书与数字水印技术)、网络协议、网络安全编程(包括JAVA WEB、SQL SERVER、My SQL编程基础、B/S架构)、光纤传输和多路复用(包括SONET技术、DWDM系统)、网络融合(包括帧中继、ATM、IP上的语音、视频和数据网络)、VLAN的优点、VLAN之间的通信、网络扫描与网络监听、网络入侵防范(包括黑客常用入侵手段、入侵检测与安全预警、网络病毒及其防治)、VPN基本原理、隧道技术、防火墙技术(包括主要功能、配置与体系结构、选择原则)、网络安全策略、网络安全方案设计、安全审计与日志分析；安全教育的目标是使市分公司技术管理人员能够了解其所从事岗位的信息安全职责，熟悉与其工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能，并能跟踪学习信息网安全方面的最新技术，确保邮政信息网安全稳定的运行。

4.县分公司技术人员安全教育

县分公司技术人员安全教育对象为县分公司从事信息化建设和运行维护的技术管理人员；教育内容是网络信息安全基本知识、网络安全协议、C/S系统结构、B/S系统结构、终端设置、打印机设置、ATM/CRS基本原理和操作、虚拟网络的五种类型、趋势防病毒软件和蓝代斯克套件的安装、网络入侵、密码学基础、防火墙与入侵检测基础知识；目标是使县分公司技术管理人员能够了解其所从事岗位的信息安全职责，熟悉与其工作相关的各项信息安全制度，具备工作所需的基本信息安全知识和技能，并能掌握全县信息网的基本结构，确保县分公司信息网安全稳定的运行。

5.普通用户安全教育

普通用户安全教育的对象为市分公司和县分公司的普通计算机用户；内容包括所在岗位的信息安全职责、计算机病毒预防和查杀的基本技能、计算机设备物理安全知识和网络安全常识；目标是使普通用户了解其信息安全职责，熟悉与工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能，掌握常用计算机及网络安全保护方式，确保计算机安全地运行。

6.金融网点柜员安全教育

金融网点拒员安全教育的对象为市分公司和县分公司从事金融业务的网点柜员；教育内容包括所在岗位的信息安全职责，岗位操作规程，计算机、图形终端病毒预防和查杀的基本技能，计算机、图形终端设备物理安全知识和网络安全常识；教育目标是使普通用户了解其信息安全职责，熟悉与工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能，掌握常用计算机、图形终端及网络安全保护方式，遵守3级授权和授权集中制度，妥善保管ATM/CRS操作员密码。严禁在生产经营用机上使用与业务无关的软件或者利用通信手段非法侵入其他系统和网络，严禁使用处理涉密信息的计算机访问互联网，严禁私自修改网络系统安全设置，严禁擅自将网络、系统、客户的核心信息复制、外泄。

7.邮政营业人员安全教育

邮政营业人员安全教育的对象为市分公司和县分公司从事收寄、投递的人员；内容包括所在岗位的数据信息安全职责，岗位操作规程，计算机、图形终端病毒预防和查杀的基本技能，计算机、图形终端、PDA设备物理安全知识和网络安全常识；教育目标是使邮政营业人员了解其信息安全职责，熟悉与工作相关的各项信息安全制度，具备工作所需的信息安全知识和技能，常用计算机、图形终端及网络安全保护方式，信息中心负责执行数据采集、获取、存储、维护、更新、修改、分析、使用过程中的安全管理，协助市分公司各专业局进行数据清洗和加工整理工作。数据由系统管理员负责数据安全，系统管理员应定期更换登录密码，保障数据信息的安全。

五、各级邮政单位安全教育基本内容

本文所指安全教育内容是市邮政分公司各级单位网络和信息安全教育的基本内容，市邮政分公司和县邮政分公司各层次的计算机系统使用人员都必须熟悉、掌握。各级邮政单位关键岗位的操作规程由于内容较多，本文不再涉及。要求关键岗位的工作人员务必按照操作规程进行系统操作，确保网络和数据信息的安全。

1.外接存储设备安全管理

严禁企业所有人员以个人介质(光盘、U盘、移动硬盘)拷贝公司的信息资料并带出公司。若因出差等原因需要拷贝信息数据和文件资料到存储设备中，必须向所在单位领导请示，同意后以公司存储设备进行拷贝。为确保工作用计算机硬盘的安全，严禁任何人私自拆开电脑机箱，并对硬盘进行测试、维修、信息拷贝等。

2.文件的存储安全管理

所有部门人员应每月清理计算机中的文件，清除不需要的垃圾文件，将重要的文件、工作资料、客户信息保存在特定的文件夹里，每月应将电脑中的文件资料做一次备份，将文件资料备份到部门专用U盘或移动硬盘上，确保个人工作资料的文件归档，在电脑突发性故障或硬盘损坏时，能够及时恢复最近的工作资料、客户信息等，避免因个人原因未进行备份而造成数据资料的丢失。员工离职时，在办完离职手续后，所在部门负责人应联系技术部门将离职员工的工作资料、重要信息拷贝到部门U盘或移动硬盘上。

3.密码管理

计算机使用者必须妥善保管好自己的密码，防止被窃取而导致泄密。密码由网络管理员设置后通知企业员工，员工不得随意更改密码。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码，设置的密码至少应有6个字符长。

(1)计算机密码安全管理。市分公司各专业局业务管理人员拥有邮政综合网计算机系统的登录账户，公司业务管理人员在使用工作电脑时,应首先更改自己的计算机登录密码,并将个人登录密码在信息技术管理部门登记。新员工入职申请账户时，需要向网络管理员提供姓名、部门、职位等信息，网络管理员应在一个工作日内将账户信息通知本人。

(2)应用系统密码管理。市分公司各专业局的后台业务管理系统、所有ERP用户及OA用户都将分配到一个账号、密码，账号是不变的，用户可以更改自己的系统密码，密码尽可能设置为高安全性的复杂密码，严禁用户将密码设置为如123456等傻瓜式密码。若密码设置过于简单，被其他用户非法登录后，在业务管理系统、ERP系统、OA中可能会非法编制篡改数据信息，将会导致严重的后果。严禁将业务管理系统、ERP系统、OA账号和密码透露给他人，让他人代做ERP单据或办理OA流程。员工调离岗位或离职，所在部门负责人应及时通知技术部门注销该员工的系统账户。

4.防杀毒软件安全管理

邮政分公司统一安装趋势防病毒软件和蓝代斯克安全套件，用户使用的杀毒软件和防火墙已经设置好自动调度更新和病毒库升级，每日定时杀毒，使用者也应经常手动扫描杀毒。

5.存储方式安全管理

未经系统安全管理员许可，严禁使用云存储方式存放邮政企业的重要文件、资料、客户信息、财务数据等。严禁利用智能手机拷贝、存储企业的涉密数据信息。

六、安全教育计划、方式及大纲

市邮政分公司成立信息网安全教育培训小组，成员主要由人力资源部和信息技术局负责人、市技术局取得高级和中级技术职称的人员、外聘专家组成，负责各级管理人员、各类操作人员、县分公司技术人员的信息安全教育，每年度集中培训至少2次。年度教育培训计划要结合各专业局信息化建设和应用的实际情况，重点开展专业局的业务流程、应用系统操作规程的培训，并同时进行信息安全知识、技能的教育培训。

1.教育计划

每个年度的网络和信息安全教育培训计划由市分公司人力资源部和信息技术局共同制定，教育计划要根据本年度邮政集团公司、省分公司信息化建设的重点工程以及市分公司自建项目的安排部署情况，提出有针对性的年度教育培训计划。

2.教育方式

(1)集中教育采取专题讲座、培训班的方式，必要时可以聘请大专院校的相关专家进行讲课，利用电视电话会议的方式，不定期开展有针对性的信息化建设和信息安全的教育培训。

(2)充分利用集团公司“邮政网络培训学院”的教学资源，有计划地安排各层次管理人员和AB类职工参加网上集中培训、分散培训和自学，并纳入职工年度考核的一项考评指标。

(3)根据集团公司、省分公司的教育培训计划，指派专人参加企业内部的短期集中学习、大专院校的中长期进修学习。[3]

(4)鼓励市分公司技术管理维护人员参加网络规划、项目管理的资格考试，不断提高技术理论水平和实际工作能力，有效保障全市邮政信息网的安全。引导和支持县分公司技术维护人员参加专业函授学习、大专院校的成人教育培训，提高技术水平和实际维护能力，保障县分公司局域网的安全。有效支撑各业务应用系统安全运行，确保邮政业务的持续开展。

(5)根据邮政企业的生产、经营和管理特点，结合各专业局的业务培训情况，利用专业局的业务集中培训班，将网络安全和信息安全培训内容融合到业务培训中，可以大幅度提高培训频次，强化各类业务人员的信息安全意识。

(6)邮政分公司所有新上岗人员和换岗工作人员均应该经过业务系统操作、网络和信息安全培训，经考试合格方能上岗。新上岗人员必须参加不少于16个课时的专业技能培训。

3.开展形式多样的安全教育活动

不定期开展全市范围的“网络安全和信息安全宣传周活动”，结合网络安全和信息安全宣传的相关内容和企业实际，根据各类员工所从事专业的特点，开展形式多样的宣传活动。利用微博、微信、QQ群、手机报等媒体加大宣传力度，提高宣传内容的针对性、实用性和有效性。不断加强职工的安全意识，保障各应用系统安全运行，为邮政企业ERP系统建设与应用、互联网+邮政业务的拓展奠定良好的安全基础。

4.教育培训场所及大纲

集中培训地点一般在市分公司电脑教室、电视电话会议室、多功能厅、中小型会议室。无论采取哪种教育培训方式，培训结束后，必须有相关记录，内容包括培训时间、培训地点、培训名称、参加培训人员名单、培训内容、培训效果、培训管理部门、培训组织单位等。

教育培训大纲由市公司人力资源部负责审定，并监督年度培训计划完成情况。经审定的信息网安全教育大纲适用于市邮政分公司各部室、专业局、县邮政分公司的各级管理人员和各类应用系统操作人员。

七、结语

邮政信息网由邮政计算机综合网、金融网组成，随着两网规模的不断扩大，邮政生产、管理的各个环节配备了大量技术含量较高的信息化设备，在这种形势下，邮政职工安全防范意识淡薄的矛盾日益突出。为充分发挥信息网各应用系统的作用，除了加强日常维护工作外，还必须提高职工的安全意识和防范技能，强化各层次操作人员安全意识的培训力度。[4]只有通过经常的、有计划的安全教育培训，邮政职工的安全意识和防范技能才能有所提高，从根本上保证计算机综合网、金融网的正常运行，以及信息化设备的正常运转，使信息网各应用系统在邮政经营管理、决策、内部生产、对外服务的各个环节发挥应有的作用。

参考文献：

[1]刘敏.信息时代下网络安全管理法律体系的构建[J].信息通信，2015，(3):125-127.

[2]黎妹红.美国信息安全教育和培训的启示[J].计算机教育，2015，(3):112-115.

[3]吕欣.关于信息安全人才培养的建议[J]．管理，2006，(2):44-46.

[4]王强.我国信息安全全民教育模式探索[J]．信息安全与通信保密，2015，(3):25-28.

(责任编校：王彩红，陈强)

(作者单位：陕西省汉中市邮政局)