时间:2023-09-13 17:14:49
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇关于网络安全的应急预案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【 关键词 】 医院;网络安全管理;策略分析
Analysis of Hospital Network Security Management Strategy
Chen Zhi Sun Hong
(Xiangya Hospital, Central South University HunanChangsha 410008)
【 Abstract 】 At present, the hospital network security management is faced with the risk of poor protection, internal management and external invasion, in order to better protect the hospital network security, we must improve the network security awareness, improve the professional skills and management skills, establish and improve the network security management system, and to strengthen the network security hardware management, and reasonable security risks, the establishment of risk emergency plan.
【 Keywords 】 hospital; network security management; strategy analysis
1 引言
近年来,我国医院已经逐步形成了门诊、住院系统、电子病历、远程医疗等集于一体的综合化信息网络平台。信息网络的安全问题将会直接影响到医院的诊断及患者的生命安全,影响正常的信息流通,给社会造成巨大的混乱,影响社会安定。
2 医院网络安全存在的风险与问题
2.1 网络安全的防护能力差
一方面,网络系统是由人类编码设置的虚拟信息传输的系统,其本身就存在着一定的安全风险性。在医院的信息网络管理中,常常由于对网络信息系统管理上的疏忽,缺乏专业人员的定期维护和修理,硬件设施老化或缺失,都使医院的信息网络系统的抗故障能力减弱。信息网络系统的安全对于光缆电缆的质量、走向、布局、防水、防断电漏电硬件设施以及服务器的质量等要求较高,同时医院信息管理中的基础技术、备份和患者信息数据管理等都有潜在的安全隐患。另一方面,医院人员对于信息网络开发技术的储备不足、专业技能的缺乏等,不仅无法对信息网络进行科学、合理的技术管理,甚至有可能出现软件相互冲突和信息资料泄露的风险,这些都有可能形成网络安全隐患。
2.2 医院内部管理存在的风险
首先,医院的工作人员意识上存在风险性。据调查,医院的所有工作人员中至少有百分之八十没有明显的信息网络安全意识,没有合格的网络安全行为。主要表现在:第一,医院人员在进行账号登录时,没有意识到安全问题的严重,设置的登录密码都是有简单的数字构成,没有采取设置密保问题或者密保手机等防护措施;第二,医护人员在登录账号时并不注意观察周围的环境,同事之间账号互相交替使用,并且在医院以外的人员面前登录,容易造成账号密码的泄露,相关资料的流失;第三,一般的医护人员都认为信息安全应该完全由信息科人员负责,自己不同特别在意网络安全问题;其次,医院的信息科人员的专业技能和安全管理方面的不足。信息科人员对如何管理信息网络安全的技能还有待加强,医院的信息设备更新较慢,没有形成良好的维护体系。最后,医院的领导层对网络信息安全不够重视,对网络安全的管理没有足够的了解和重视,没有正确认识到其对医院及社会的危害性。医院内部没有形成良好的网络安全管理体系,没有严格的奖惩制度,使得医护人员安全意识薄弱,医院的网络安全存在巨大风险。
2.3 外来侵入的风险
医院网络系统外部链接缺乏有效的控制手段主要表现在几个方面。第一,医院的内外部网络通用。医院的信息设备通常都是内外网络通用的,这样就造成医院内部人员经常使用外部网络的情况,此时如果要进行改造,需要花费的成本巨大。同时,内外网同时使用会使改造时间大大增加,甚至有可能导致医院网络系统的瘫痪,影响医院的正常工作的运行。巨大的时间和经济成本,是医院不愿意形成大型改造的原因之一。第二,网络的设置与管理上存在疏漏。医院人员通常不太重视网络的安全管理,对外部链接设备如光驱、USB接入以及WiFi管理等方面都不够重视。第三,对于来自外部人员侵入网络信息系统的监察力度不够。随着现代科技的发展,黑客、骇客等不法人员能够通过高超的网络技术侵入其他网络系统,窃取商业机密。在这些方面,医院的信息科技术人员的技能仍然有待提高。
2 医院网络安全管理策略分析
2.2 加强网络安全硬件管理
网络管理系统首先要能够 保证服务器的安全,能够对服务器及局域网的安装、安全性配置做出科学的规划与管理。例如对电脑硬盘的分区管理、操作系统的选择与修复方面,要做到科学合理,能够及时地进行补丁修复。在用户设置与权限上,加强安全登录、密码保护、账号登录异常管理;要加强对数据信息的审核,对于重要的数据要加强防护;选用的防御软件对于异常用户、信息、IP地址能够进行有效的监控与阻拦。防病毒系统要有较高的覆盖率,可以加大投入选用先进、安全有效的防病毒软件,最好能够覆盖至计算机上的每一个结点,检查和查杀已知和未知的病毒。防火墙系统能够保证网络信息与数据不受到入侵,确保所有的应用数据都是授权访问,能够有效地对数据源进行控制,具有加密和反欺骗功能,形成安全的网络环境,抵抗入侵,提高其抗风险能力。备份系统的设置要包括软件备份和硬件的备份,对重要数据和加密资料要进行多重备份,提高对风险的应对能力。选用质量有保障、稳定性强的计算机基础设备,增加监控设备,同时对这些设施要进行不定期的维护和更新。
2.3 合理预计安全风险,建立风险应急预案
网络安全的复杂性决定了安全的风险性,一个细节的疏忽都有可能出现安全风险。因此医院要提前预计可能出现的安全风险,并建立好风险经济预案,将意外风险的损失率降至最低。这要求医院要成立风险预案小组,小组人员应该加强专业技能的培训,提高专业素质及临场病变能力、协调沟通与合作的能力。预案的成立必须是在科学分析的基础上,要切实可行,并且在每次的风险事故后要进行总结,更加完善预案方案,最大程度降低安全风险带来的损失。
3 结束语
综上所述,医院的网络安全管理是一项十分负责的巨大工程,需要全体医护人员的共同配合与重视,全面加强对医院网络安全的管理。
参考文献
[1] 卞保军. 医院网络安全管理策略探讨[J].网络安全技术与应用,2014,02:63+65.
[2] 刘君.医院网络安全管理策略分析[J].硅谷,2014,08:172-173.
[3] 何薇.关于医院计算机网络安全管理工作的维护策略分析[J].企业改革与管理,2014,14:23.
[4] 赵浩宇,段然,姬军生,汪鹏.医院网络信息安全管理策略与实践[J].中国数字医学,2013,06:92-94.
[5] 王淼.医院网络安全管理策略分析[J].无线互联科技,2013,04:186.
基金项目:
国家高技术研究发展计划(863计划)项目(2012AA02A613)。
作者简介:
关键词:政府门户网站 信息安全 对策研究 福建省
一、引言
《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。
二、政府门户网站信息安全存在的主要问题
安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:
一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。
二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。
三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。
四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。
五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。
六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。
三、政府门户网站信息安全存在问题的原因分析
1.管理体制未理顺
政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。
2.运行机制未健全
信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。
3.技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
4.过分强调安全技术的重要性
认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。
四、加强政府门户网站信息安全的对策建议
网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。
⒈加强政府门户网站信息安全法规与制度建设
一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。
二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。
⒉建立健全政府门户网站信息安全管理体系
一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。
二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。
三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。
四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。
六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。
七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。
⒊积极完善政府门户网站信息安全技术防范手段
2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。
二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。
三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。
四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。
五、结束语
综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。
作者简介:
随着互联网的飞速发展,我国档案信息管理工作也逐步与互联网相结合,并取得较好的成效。但同时也给档案信息管理工作的安全性带来巨大的威胁,急需寻求相关对策加强管理。
关键词:
互联网+;档案信息;安全隐患;档案信息安全
一、“互联网+”背景下档案信息管理的安全隐患
(一)缺乏专业档案信息管理人员。目前在我国档案信息管理人员的培养中引入了网络管理等方面的专业知识,但是在实际操作过程中,由于培养模式的限制,培养人员具有一定的理论水平,但是实际操作技能还缺乏一定的专业性和实用性,培养出的档案信息管理人员并不能满足目前我国档案信息管理网络化的需要。随着互联网的发展,知识不断更新,档案信息管理人员要持续加强相关知识的学习,加强培训。(二)档案信息管理的硬件和软件水平较差。目前档案信息管理存在诸多问题,例如管理混乱,资金不足等等,这也就使档案管理部门存在硬件和软件更新不及时、服务器老化等问题。若无视这些问题的存在,最终会造成不可弥补的损失。另外,目前我国软件开发水平相对较落后,在档案信息管理方面的软件存在安全性差、软件容错率低,部分软件的设计者在软件的开发设计时还将一些潜在的危险植入软件中。随着黑客的增多和病毒飞速的传播,对基础档案管理部门带来了巨大的威胁,急需提高档案信息相关软件的安全性。(三)制度和意识障碍。虽然我国颁布了《计算机信息系统保密管理暂行条例》和《计算机信息系统安全保护条例》等相关法律文件,但是针对网络管理的相关法律法规还不够完善,存在漏洞。以至于很多人利用法律存在的漏洞,通过窃取信息等方式来谋取利益。另外,国家网络监管还不到位,对于网络上的很多虚假信息无法从源头制止。同时,由于网络虚假信息较多,对违法行为的清理也带来了一定的难度。目前,在我国从事档案管理工作和相关工作的工作人员,普遍存在缺乏网络安全意识的现象。这就造成了人们在互联网中忽视自我保护意识,忽视对档案信息的保存意识,容易造成档案信息被别人窃取。(四)网络环境下的道德缺失。互联网的市场化造成了人们在其中不断追逐利益的意识,从而导致个别人为了追求利益而丧失了道德。在互联网中,很多人利用信息的买卖牟取暴利,从而造成窃取信息、复制信息的现象越加严重。目前,我国急需规范互联网中的盈利行为,对网络违法行为要及时处理,严厉打击。
二、“互联网+”背景下档案信息安全的重要性与必要性
随着互联网的飞速发展,档案工作的数字化、网络化也得到了快速发展。2012年10月,国家档案局研究制定了《全国档案信息化实施纲要》,这也标志着我国档案信息工作取得了长足的进步。但同时,对档案信息的安全工作也提出了新的要求。档案信息是对国家有关政治、经济、军事、文化、科技等方面真实信息的记录,这些信息中有些还有可能涉及到国家的机密,关乎国家的安全,如果档案信息被窃取,将会给国家带来严重的威胁。因此,必须保证档案信息的安全。随着互联网的开放,网络中窃取信息、病毒入侵、人为恶意破坏等方式都对档案信息的管理工作带来十分严峻的挑战,档案信息真实性、完整性都受到了严重威胁,这就对电子档案信息安全保障工作提出了非常迫切的要求。
三、“互联网+”背景下档案信息安全管理面临的形势
(一)随着“互联网+”时代的到来,档案信息资源的增长也逐渐变快。随着档案信息数量的增多,加上现有的处理档案信息资源的技术还比较落后,直接导致了部分档案信息没有进行整合和收集,造成严重漏收很多重要的档案信息资源。在“互联网+”的背景下,需要人们对档案信息的收集工作重新进行收集范围的界定,同时也要考虑档案信息收集形式的改变,以适应“互联网+”时代下档案信息收集工作的发展。档案信息收集工作同其他领域的一些信息收集工作有很多的不同,在相关业务范围内进行相关数据的收集是档案信息收集工作的重点,若档案信息收集的够多够准确时,对于基层档案部门而言是实现了大数据的收集。在对收集到的档案信息进行管理及保存时,基层档案部门多采用电子的方式进行,这种方式若没有较强的安全管理方式则容易发生档案信息被盗取的现象。(二)随着互联网的飞速发展,网络病毒也以各种不同的形式侵袭计算机,而且隐秘性越来越强。档案部门在整理收集档案信息时,一定要严加防范计算机病毒的侵入,以防档案信息丢失。要对计算机病毒的危害高度重视,因为很多计算机病毒不仅会给一些原始数据造成损坏,而且还有可能对已整理好的信息资源造成损坏。(三)现代档案信息通常都是以数码的形式保存在计算机或移动硬盘等载体中,档案信息保存的安全性取决于这些存储载体的质量,同时对档案信息保存的互联网环境也有较高的要求。这些存储档案信息的载体容量大携带方便,同时也易损坏,所以要做好对存储载体的保管,提高其安全性。(四)在互联网时代,人们对档案信息资源的需求有了很大的变化,这就要求相关档案部门要利用好档案资源查询系统,使这一系统发挥出其强大的查询作用。档案查询系统一方面使查询档案方便快捷,另一方面也提高了档案信息存储的安全性,增强了档案信息部门和使用者之间的沟通。
四、“互联网+”背景下档案信息安全管理的措施
(一)建立网络安全一体化防护体系。第一,在现有技术的基础上,不断提高网络安全技术。例如,用链路加密、端点加密和节点加密等多种加密方法对数据加密。第二,定期对存储设备进行检测,确保存储数据的安全。第三,将不同的档案信息分类别存储在不同的存储设备中。第四,制定应急预案,若发生档案信息被窃取等经济情况时,及时采用应急预案,减少损失。(二)规范软件开发市场。必须加强对软件开发市场的监管,促使其规范运作,要对开发非法软件的开发商进行严厉的打击,以保证市场的有序性。还要加强档案信息软件的自主开发能力,提高软件数据库的安全性。(三)加强对从事档案管理工作相关人员的培训。可以通过短期培训、联合办学等模式开展专业人才培养工作,在课程设置上要结合工作实际,以便保证培养的人员能够满足社会的需求。(四)强化意识,加强思想道德建设。档案信息的安全问题主要是由人为因素造成的,特别是缺乏安全意识,因此要加强工作人员的网络安全意识。另外,在人们追求利益的驱动下逐渐丧失道德,通过窃取信息、传播病毒等方式获取信息进行买卖,所以要加强公民道德建设,强化责任意识。
参考文献:
[1]黄靖.网络环境下档案信息管理安全的对策[J].兰台世界,2014(7).
[2]魏娜娜,李明,刘海燕.关于信息化时代背景下档案信息安全的几点思考[J].东方企业文化,2014.
根据《文化部、财政部关于推进全国美术馆公共图书馆文化馆(站)免费开放工作的意见》(文财务发[2011]5号)文件精神, 目前各地图书馆已经基本实现面向社会免费开放,但近年来各地公共场所频发的火灾、网络安全事故甚至类似“3.1昆明火车站暴力恐怖案件”等突发公共安全事故为我们敲响了新形势下公共图书馆安全管理工作的警钟。临沂市图书馆作为新建公共图书馆,因其处于繁华的城市中心,资源集中、读者量大、楼层布局复杂等客观条件,安全管理工作更加繁重。
1 影响图书馆安全的因素
1.1 自然隐患
自然隐患指由自然原因引起的人身财产安全隐患,如火灾、水灾、虫蛀、温、湿、光照等引起的化学物理变化造成的隐患[1]。比如在不合适的光、温环境下古籍类图书的纸质将会发霉甚至损毁。
1.2 社会环境
社会治安状况好坏、人流量大小往往直接影响到图书馆的日常管理。比如临沂市图书馆地处繁华的城市中心,人流量日均接待读者4000人次,免费开放要求的“零门槛”入馆导致人员成分复杂,这给安全管理工作带来不小的压力。
1.3 设备隐患
设备隐患指图书馆的建筑设计缺陷造成的或者设施使用过程中引起的安全隐患,由于图书馆经常要使用大量的照明设施和中央空调设备,管道、线路在铺设施工布置不当,线路老化等问题都可能存在水灾、火灾的安全隐患[2]。比如临沂市图书馆2012年夏季因中央空调部分冷凝水回水管道倾斜角度不合理导致的溢水事故就是此类问题。
1.4 网络安全隐患
这主要针对网络安全造成的隐患。目前大多数图书馆都已经基本实现了自动化和网络化,但同时面临来自网络环境的安全威胁也在与日俱增。以临沂市图书馆为例,我们目前图书借还主要依托于interlib系统及Rfid高频物流识别技术,如果interlib系统受到网路病毒的攻击和破坏,图书馆的借还工作将全部停滞,甚至会导致数据库信息泄露、篡改甚至破坏的严重后果。
1.5 突发性安全隐患
常见的主要有突发事件、盗窃、打架斗殴和人为破坏等,作为公益性开放式窗口,临沂市图书馆在日常工作中遇到过精神病患者、酗酒人员闹事、盗窃图书、为了争抢自修区座位打架的各种突发性安全隐患,这类安全问题如果不及时合理的处置可能会带来一些列不良社会影响。
2 临沂市图书馆在安全管理工作探索
2.1 建立安全管理防范体系
2.1.1 强化领导,落实责任
进一步落实了馆主要领导负总责、分管领导具体抓、各部室负责人具体负责为主要内容的安全生产“一岗双责”制,坚持一手抓业务工作,一手抓安全生产工作,做到“两手抓、两手硬”。成立安全消防领导小组,层层分解安全生产目标任务,逐级签订《安全生产目标管理责任书》,全面落实安全监管责任,并在《临沂市安全生产岗位管理实名制信息系统》上登记备案,做到职责明确、任务明确、责任到人、措施到位。
2.1.2 建章立制,完善制度
“凡事预则立,不预则废”,危机管理过程也要遵循这一规律。临沂市图书馆结合本身情况,根据当前新形势的变化,积极借鉴上海图书馆、深圳图书馆等先进馆的安全管理经验,依照相关政策和法律法规,将图书馆的各项管理规定从安全危机管理角度重新审视并修订,新制定了《临沂市图书馆公共安全突发事件应急预案》、《临沂市图书馆安全消防应急预案》、《临沂市图书馆夜间值班巡查制度》、《临沂市图书馆领导带班制度》等,做到岗位到人,职责明确。建立健全各种安全管理制度能够从制度层面做到有据可依,这是加强和落实安全管理工作的有力措施。
2.1.3 建立和配置应有的安全防范设施并做到定期检查
临沂市图书馆区域内共配备95个消防栓,232处消防灭火器,每年定期更换干粉,在各大书库都设有烟感报警器、喷淋头,并委托专业消防机构进行设备的经常性维护。在馆内通道口、电梯间、服务台等关键部位设置闭路监控系统,实现全覆盖无死角。自开馆以来,利用监控系统抓获各类偷窃读者财务不法分子9名,共挽回读者损失过万元,有效地保护了进馆读者的财产安全,受到了读者的广泛好评。
2.1.4 综合防范,全面加强网络环境下图书馆安全工作
临沂市七楼电子阅览室配备一个中央机房、98台公用电脑,为了保证给广大读者营造一个安全绿色的上网学习娱乐的环境我们主要从以下三点做好防范:(1)软件防范:一是安装防病毒软件,在网卡、工作站、中心服务器上安装防病毒软件,及时更新升级;二是构建防火墙、网络绿霸,能够实现对非法网站的及时隔离屏蔽,并有效阻挡来自网络外部的攻击。(2)升级硬件:近期我们对中心机房进行了改造搬迁,配备更大容量的UPS防断电系统,更换机房专用精密空调,实现机房温度的24小时恒温控制,杜绝了火灾隐患,同时也为市图书馆今后更好地、规范地开展数字图书馆工程建设打下坚实基础。
2.2 树立安全意识,加强安全危机管理
树立安全意识,就是图书馆要从长远的角度出发,将安全危机管理纳入到图书馆中长期的战略规划中来,时刻保持应对安全危机的状态。临沂市图书馆作为新建馆,员工年龄梯队呈现年轻化,35岁以下的同志占总人数的76%,在对可能发生的各种安全危机在思想上和行动上的意识还不够。为此,我们非常重视对员工的安全责任意识的培养和安全危机管理的教育,组织干部职工学习《中华人民共和国安全生产法》、《山东省安全生产条例》、《生产安全事故报告和处理条例》等有关安全生产方面的法律法规及安全常识,掌握相关安全技能,牢固树立“安全生产责任重于泰山”的意识。加强员工对安全危机的心理承受力,使他们掌握安全危机处理的基本知识。我们认为安全意识的培养是成为一名合格的现代图书馆员工的必备条件,图书馆每一名同志只有真正树立起安全意识,保持对安全危机的高度敏感性,从关系自身生死存亡的高度来认识安全危机管理的重要性,才能做好预防、规避和应对安全危机状况的工作。
2.3 加强与公安部门的合作,充分发挥馆内治保人员的作用
根据属地管理,我们积极与临沂市兰山区银雀山派出所密切配合,形成联动机制,制定安全危机管理计划,把图书馆作为其日常巡逻的常规设点,图书馆内部安保人员与其巡逻人员形成联动,确保民警能够在馆内发生安全突发事件的5分钟内到达现场进行处置。
对许多企业、人来说,往往要等到遇上了天灾人祸,才会想起保险的好,人们对于信息安全的认识也是如此,就连保险业也不例外。中国保险监督管理委员会处长李春亮在今年春天的一次保险业会议上表达了他对保险业信息安全的担忧:“目前保险业的信息化建设滞后于信息安全形势的发展。”
他表示:近年来,经济和金融领域的信息安全事件不断发生,保险业是信息密集型企业、行业,保险信息系统作为国家重要信息系统之一,目前信息安全基础还比薄弱,安全意识有待于提高,信息安全保障体系还不完善,还面临着严峻的挑战。
经过几年的建设,保险业信息化走过了最初的电子化和后来的数据大集中,绝大部分保险公司实现了业务、财务数据处理的全国集中,部分公司完成了业务数据的省级集中或实现了省级业务处理的集中。基本完成了大集中的保险公司和机构下一步该怎么走下去?首先当然是信息整合,对数据质量的控制和数据资产的利用,这是数据大集中自然而然的要求。另一项重要的工作则是维护信息安全,以保障集中后的庞大系统稳定运行。
其实,自信息化建设初期起,保险机构和公司就应该着手信息安全工作,但是,由于意识上的不重视,不出事就不会想起的常人思维,直到大集中的完成,他们才觉悟从技术和管理上采取最优的安全措施至关重要。
特级重要性
作为以信息处理,数据管理,金融保险服务为核心的保险企业,其信息系统面临的主要威胁也是病毒、网络攻击、网络犯罪、系统设备的损坏和各种自然灾害。但是众所周知,不论是商业保险还是社会及医疗保险,保险期短则一年半载,多则几十余年,因此,每个订单涉及的时间很长,这就意味着,这种电子化的订单可能需要一直保持几十年,这几十年的数据都必须要保存,数据何时何地发生更新都需要记录。一旦信息系统发生问题或者故障,保险企业损失的将不只是金钱,还有信用甚至可能是生存。另外,从竞争的角度来看,保险企业的客户数据都是属于高度的商业机密,一旦泄露出去将会给竞争对手以可趁之机。
所以,除了在日常运营中完善信息安全基础设施,信息安全管理的各项制度、规定,开展信息安全教育培训和宣传等工作外,保险企业还需要有抗风险和应急反应能力,以保障业务的连续性。这一点也是保险企业信息安全的重要内容。
2001年发生在美国的“9・11”事件教育了全世界的企业:如果天灾人祸降临,你得公司是否能够生存下来就要看你是否之前就进行了有效的灾备工作。作为对安全最为敏感的行业之一,保险业更是积极投入了大量的人力物力来提高自己的抗风险能力。据统计,目前,我国超过50%的保险公司开展了灾难演习或制订了灾难演习工作计划,中国平安建立了上海数据备份中心,部分公司正在建设异地灾备中心或计划建设异地灾备中心。
政府支持
保险公司积极建设灾备中心和加强各项安全管理的背后,是国家和政府对于保险信息安全的重视和支持。
中国保监会出台了一系列保障信息安全的措施,比如制定并下发了《保险机构计算机系统重大系统性故障突发事件应急预案》、《保险信息系统应急协调预案》以及《关于做好保险信息系统灾难备份工作的通知》,转发了国信办《重要信息系统灾难恢复指南》,并与国信办、国家网络与信息安全信息通报中心建立了联系、沟通、通报机制。
另外,中国保监会在督促各保险机构重视信息安全保障工作上也积极行动:首先明确了信息安全保障工作的主管领导,落实了责任部门,设立信息安全管理的专门岗位,有效地加强了信息安全保障工作的组织领导;其二,加强了信息安全相关的制度建设,目前各保险机构参考国内外相关技术标准,基本建立了信息系统安全、网络安全、机房安全制度。
一、指导思想
以“三个代表”重要思想和科学发展观为指导,认真贯彻落实党的十七大和《国务院办公厅关于切实加强中小学幼儿园及少年儿童安全管理工作和开展专项整治行动的意见》精神,树立“以人为本”的思想,坚持“预防为主、积极处置”的方针,尽一切努力杜绝或减少校园安全突发事件的发生,尽一切努力把师生生命及国家财产的损失降低到最低限度。
二、工作原则
1、坚持以人为本、师生生命安全高于一切、稳定压倒一切的原则。
2、谁主管,谁负责的原则。
3、预防为主,积极处置的原则。
4、冷静、沉着,积极主动和及时、合法、公正处理的原则。
三、工作目标
1、经常性地对教职工、对学生进行安全、自救自护教育,牢固树立安全责任意识,切实提高师生员工的安全自我防护能力,确保师生健康、快乐地学习、生活。
2、完善风险防范制度及重大安全事故信息监测报告网络,做到及时发现、及时报告、及时处理,确保学校各项教育教学工作的顺利开展。
四、安全事故应急领导组织机构
1、安全事故应急指挥机构。
总指挥:唐国盛
副总指挥:陈世祥
协助人员:聂洪祥、付茂全、罗天友、袁勇、李娅、王永国、邱业新及班主任
(若总指挥不在,由副总指挥指挥抢险救助;若都不在,有值班行政指挥。)
2、安全事故应急队伍
(1)安全突发事件应急小组:
组长:陈世祥
成员:付茂全、罗天友、李娅、王永国、班主任
(2)安全突发事件后勤保障小组:
组长:聂洪祥
成员:邱业新、袁勇及学校后勤处其他人员
五、值班制度:
坚持24小时领导带班和工作人员值班制度,学校严格按照值班安排表值班。
六、安全教育
校园突发事件是指发生在校园内外由本校师生员工实施或以其为侵害对象的涉及破坏社会和校园秩序并造成人身财产严重损害的突发公共事件,具有难以预见、处置紧迫、危害严重和广泛影响的特点。安全工作重在预防,加强安全教育,强化安全意识是防范安全事故的重要措施。学校对全体师生要加强安全教育。安全教育应列为学校、班级常规工作之一并须作好记载。
(一)学校利用业务学习、周例会,班主任利用班会时间,组织学习相关法律法规和有关安全知识,对全体师生开展常规安全教育。
(二)利用板报、广播开展安全知识宣传。
(三)班主任要有针对性地举行安全教育主题班会,突出交通安全、防盗安全、网络安全及心理健康教育等相关内容。
(四)不定期聘请交通管理、消防、医疗保健等相关机构人员给师生举行安全知识讲座。
(五)加强相关安全隐患尤其是以下几方面的安全隐患防范教育,组织师生进行应急疏散演练每年进行2次以上。
七、安全事故应急处置方案
学校发生师生人身安全和学校财产损失时,第一目击者以及后续人员要立即报告校长采取有效措施,救人第一,保护现场。及时向保险公司报案。
班主任、辅导员是班级学生安全的第一责任人,对本班级因意外事故而受害学生具体负责。当日值班领导负责指导、帮助班主任处理。
(一)校园意外伤害事故应急预案
1、在校园如发生学生身体受到意外伤害时,应及时送受伤者到医院诊治。
2、迅速调查事故发生的原因,确定责任人,并做好有关记录。
3、通知受伤害者的家长。
4、妥善处理事故。
(二)楼道安全事故应急预案
1、课间操期间,各班上课教师要在各自楼梯口组织学生有序上下楼。
2、当发生学生摔倒时,其他学生应立即停止上下楼,迅速将摔倒学生扶起,必要时立即送医院救治。
3、如出现学生踩踏事件,应立即疏散其他学生,对被踩踏学生立即进行有效救治,必要时拨打120,送医院抢救,并及时向教管中心和区教育委员会报告。
4、通知受伤害学生家长。
5、迅速调查事故原因,做好有关记录。
(三)食物中毒、传染性疾病应急预案
1、发现师生有类似食物中毒症状和传染性疾病时,应迅速隔离并送医院诊治。
2、迅速向教育主管部门及卫生防疫部门报告。
3、积极配合有关部门做好取样工作,以备卫生部门检验。(注意食品留样)
4、迅速排查有类似食物中毒症状和传染性疾病的师生名单,并检查他们的身体状况。
5、做好家长、家属的工作。
6、积极配合上级有关部门做好诊治、调查、事故处理等工作。
(四)触电事故应急预案
1、立即切断电源。
2、救出触电者,并立即实施抢救,同时拨打“120”。
3、迅速向教育主管部门报告。
4、如引起火灾,先切断电源再进行灭火。
(五)火灾事故应急预案
1、在向119消防指挥中心报警时,立即报告校长及有关人员。
2、迅速切断有关电源。
3、抢险救助组等人员迅速疏散师生,撤离到安全区域。
4、积极配合消防人员灭火。
5、在进行灭火的同时,应采取有效的隔离措施,防止火势蔓延。
6、若是起火初期,学校师生可自行实施用小型灭火器灭火(学校须派专人负责每期对教师进行火灾事故演练和使用灭火器的培训)
(六)交通安全事故应急预案
一旦发生交通安全事故,要及时向有关部门报告,如有伤者,要先抢救或送医院,保护好事故现场,截留肇事车辆及有关人员。遇到路人及时求援。目击证人和当事人不得离开现场,要如实做证,以保证执法公正、公平。
(七)校产被盗应急预案
1、学校发生财产被盗,须在第一时间向110报警,同时向教育主管部门报告。
2、学校安排人员保护现场,同时向知情人了解被盗物品的名称、数量,并做好登记。
3、积极协助公安人员勘察现场,为案件侦破提供条件。
(八)防暴力事件应急预案
1、成立以校长唐国盛为组长,主管校长陈世祥为副组长,学校及各部门主要领导为成员的安全领导小组。领导学校的安全保卫工作,并制定严密的防范措施。
2、成立突发事件应急小分队,专门对学校的突发事件进行制止和处理。
预防措施:
1、制定严格的安全保卫制度。护校人员每天对全校进行24小时不间断巡逻,一旦发现可疑人员,立即进行盘查,发现问题及时处理和汇报。
2、加强门卫管理制度和会客制度。学校师生出入校门一律出示相关证件,外单位来客一律在校门口进行登记,杜绝外来人员进校发生事端的可能。
3、认真落实安全检查制度。各部门自己管辖范围的安全情况每天进行自查,学校每周进行抽查,每月进行大检查,发现问题,立即研究整改措施,并及时整改。
预案实施的组织机构:
现场的学校领导为扑救现场的第一组织者和指挥者。
1、扑救行动组:
组长:罗天友
成员:刘祥健、平、程必田
2、通讯联络组:
组长:唐国盛
成员:聂洪祥、李娅
3、疏散引导组:
组长:陈世祥
成员:程必田、袁勇
4、安全防护救治组:
组长:付茂全
成员:王永国、刘家元
5、善后处理组:
组长:邱业新
成员:刘家元、龚由德、周勇
预案的实施:
1、各部门的通讯联络员一旦发现情况应立即向保卫处报告。
2、保卫处接到报告后,立即组织应急小分队和所有护校人员迅速赶到现场。同时采取各种方式向学校领导进行汇报。必要时要拨打“110”进行报警。
3、赶赴现场后,首先要对作案人立即进行阻止和控制。视现场情况,必要时采取武力进行控制。要本着对师生生命安全和学校的财产安全不受损失为首要目标。
4、每个班级要明确疏散通道并进行演练,如遇突发事件需疏散时,各部门的工作人员要立即将现场的学生及无关人员疏散到指定地方,并做好现场的安全警戒工作,禁止无关人员入内,防止对无关人员造成不必要的伤害。
5、如果现场有受伤人员,安全防护救治组立即进行救护,必要时拨打“120”进行救护。
6、事后立即组织有关人员进行善后处理事宜。
对扑救行动组的要求:
如果发现犯罪分子进行破坏或行凶,要敢于同犯罪分子做斗争,要视师生生命安全和学校利益大于一切,在紧急关头英勇顽强,不怕牺牲,努力将犯罪行为进行制止和控制。
八、主要处置措施
1、校园突发事件发生时,立即启动安全事故处理应急预案。
2、向上级主管部门报告情况(2小时以内)),请求上级指导帮助。
3、请求驻地公安部门配合学校做好校园秩序的稳定工作。
4、确定专人组织调查,保留第一手资料(原始记录),保护现场或保留物样,不擅自为事故定性。
5、召开安全领导小组及全校教师会议,通报事件,稳定人心。召开学生会议,通报事件经过,并进行安全再教育,做好事故后校园稳定和秩序维护工作。
6、专人负责接待家长,召开家长会,通报事件经过,稳定家长情绪,必要时请家长单位领导帮助工作。
7、冷静面对媒体采访,有专人负责接待,未经同意,师生不得接受采访,加强门岗管理。
8、学校全体教师必须坚守各自岗位,未经允许,不得擅自误导信息,共同做好维护稳定工作。
九、应急预案的实施
1、应急预案启动后,有在现场的安全小组成员协商处置,并由学校确定专人命令,组织自救或互救。
2、学校其他成员应在预案启动后迅速到岗,抢险组、后勤组人员待命。
随着全球信息化程度的加深,CDN已经成为互联网上向用户提供服务的重要系统之一,一方面由于CDN位于内容源站和终端用户之间的特殊物理位置,能够抵御一部分对源站的安全攻击,从而提高源站的安全性;另外一方面,随着CDN越来越多地服务于重要国家部门、金融机构、网络媒体、商业大型网站,并经常承担奥运会、国庆等重大活动,保障CDN自身的安全性、确保源站信息内容安全准确地分发给用户也非常重要。一旦CDN出现业务中断、数据被篡改等安全问题,可能对用户使用互联网服务造成大范围严重影响,甚至可能影响社会稳定。
标准工作开展背景
一直以来,国际国内缺乏专门的标准明确CDN应满足的安全要求,今年《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》在中国通信标准化协会(CCSA:ChinaCommunications StandardsAssociation)立项,“电信网安全防护标准起草组”讨论了征求意见稿,相信CDN安全的标准化工作,能对促进CDN服务商规范安全地提供服务,从整体上提高CDN行业的安全防护水平提供指导。
美英等国家从20世纪70年代就开始研究等级保护、风险评估的相关内容,制订了彩虹系列、BS7799、ISO27001等具有世界影响力的安全标准。随着通信网络在国家政治、经济和社会发展过程中的基础性和全局性作用与日俱增,这些发达国家越来越重视通信网络安全,并上升到国家安全高度。我国也越来越重视网络与信息安全保障,相继了中办【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发【2006】11号《2006―2020年国家信息化发展战略》等文件指导基础信息网络和重要信息系统的安全保障体系建设。
近五年通信网络安全防护工作取得很大成效,指导通信网络从业务安全、网络安全、系统安全、数据安全、设备安全、物理环境安全、管理安全等各方面加固,提高了通信网络运行的稳定性和安全性、基础电信运营企业安全管理的规范性,也促进了通信行业安全服务产业的快速发展。
随着通信网络安全防护工作逐步深入规范开展,2011年工业和信息化部组织开展了增值运营企业的安全防护试点,率先对新浪、腾讯、百度、阿里巴巴、万网、空中信使运营管理的网络单元进行定级备案、安全符合性评测和风险评估。
2011年,“电信网安全防护标准起草组”组织研究起草《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》等8项安全防护标准,工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动、中国电信、华为、中国互联网协会等单位研究人员参与了标准的起草,目前这两项标准的征求意见稿已经在CCSA讨论通过。
根据《通信网络安全防护管理办法》,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高可划分为一级、二级、三级、四级、五级。因此《互联网内容分发网络安全防护要求》明确了一级至五级CDN系统应该满足的安全等级保护要求,级别越高,CDN需满足的安全要求越多或越严格。《互联网内容分发网络安全防护检测要求》明确了对CDN进行安全符合性评测的方法、内容、评价原则等,有助于深入检查企业是否落实了安全防护要求。
CDN安全防护内容
CDN位于内容源站与终端用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率,改善互联网络的拥塞状况,进而提升服务质量。通常CDN内部由请求路由系统、边缘服务器、运营管理系统、监控系统组成,CDN外部与内容源站以及终端用户相连。CDN是基于开放互联网的重叠网,与承载网松耦合。
CDN主要是为互联网上的各种业务应用提供内容分发服务,以显著提高互联网用户的访问速度,所以保障CDN分发的数据内容安全和CDN业务系统安全至关重要,保障CDN的基础设施安全、管理安全,有效实施灾难备份及恢复等也是CDN安全防护应该考虑的重要内容。因此CDN的安全防护可从数据内容安全、业务系统安全、基础设施安全、管理安全、灾难备份及恢复几方面考虑。
(1)CDN数据内容安全
为保障CDN分发的数据内容安全,需要确保CDN与源站数据内容一致,并进行版权保护,记录管理员的操作维护并定期审计,一旦发现不良信息能够及时清除,同时提供防御来自互联网的网络攻击并对源站进行保护的能力。
数据一致性:CDN企业提供对内容污染的防御能力,识别和丢弃污染的内容,保障重要数据内容的一致性和完整性;保证CDN平台内部传输数据的一致性;防止分发的内容被非法引用(即防盗链)。
版权保护:按照源站要求提供内容鉴权、用户鉴权、IP地址鉴权、终端鉴别以及组合鉴权等方式对源站内容进行版权保护。
安全审计:记录管理员(含源站管理员和CDN系统内部管理员)对CDN系统的管理操作,留存日志记录并定期审计。
不良信息清除:一旦发现CDN系统内部含不良信息,应在内容源站或主管部门要求时间内,完成全网服务器屏蔽或清除不良信息。
防攻击和源站保护:引入CDN后不应降低内容源站的安全水平,同时CDN在一定程度上提供对内容源站的抗攻击保护。
(2)CDN业务系统安全
为保障CDN的业务系统安全,需要从结构安全、访问控制、入侵防范等方面进行安全保护,另外鉴于请求路由系统(即DNS系统)在CDN系统中的重要性以及目前DNS系统存在脆弱性,需要保障请求路由系统的安全。
结构安全:CDN企业在节点部署时应考虑防范安全攻击,如为服务器单节点服务能力留出足够的冗余度、配置实时备份节点等。
访问控制:对管理员操作维护进行身份认证并进行最小权限分配,从IP地址等方面限制访问。
入侵防范:关闭不必要的端口和服务,CDN能够抵御一定的安全攻击并快速恢复。
请求路由系统安全:部署多个内部DNS节点进行冗余备份,并对DNS进行安全配置。
(3)CDN基础设施安全
保障CDN的基础设施安全,可从主机安全、物理环境安全、网络及安全设备防护等方面进行保护。
主机安全:企业对CDN的操作系统和数据库的访问进行访问控制,记录操作并定期进行安全审计;操作系统遵循最小授权原则,及时更新补丁,防止入侵;对服务器的CPU、硬盘、内存等使用情况进行监控,及时处置告警信息。
物理环境安全:机房应选择合适的地理位置,对机房访问应进行控制,防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、防尘、电磁防护等方面均应采取一定的防护措施,并确保电力持续供应。
网络及安全设备防护:IP承载网需要从网络拓扑结构、网络保护与恢复、网络攻击防范等方面进行保护。
(4)CDN管理安全
规范有效的管理对于保障信息系统的安全具有重要作用,可从机构、人员、制度等方面进行保障,同时应将安全管理措施贯穿系统建设、系统运维全过程。
机构:通过加强岗位设置、人员配备、授权审批、沟通合作等形成强有力的安全管理机构。
人员:在人员录用、离岗、考核、安全意识教育和培训、外部人员访问等环节加强对人员的管理。
制度:对重要的安全工作制订管理制度,确保制度贯彻执行,根据安全形势的变化和管理需要及时修订完善安全制度。
安全建设:在系统定级备案、方案设计、产品采购、系统研发、工程实施、测试验收、系统交付、选择安全服务商等环节进行安全管理,分析安全需求、落实安全措施。CDN企业在新建、改建、扩建CDN时,应当同步建设安全保障设施,并与主体工程同时验收和投入运行。安全保障设施的新建、改建、扩建费用,需纳入建设项目概算。
安全运维:在系统运行维护过程中对物理环境、介质、网络、业务系统、安全监测、密码、备份与恢复等加强安全管理,提高对恶意代码防范、安全事件处置、应急预案制订与演练的管理。
(5)灾难备份及恢复
可通过配置足够的冗余系统、设备及链路,备份数据,提高人员和技术支持能力、运行维护管理能力,制订完善的灾难恢复预案,提高CDN企业的抗灾难和有效恢复CDN的能力。
冗余系统、设备及链路:运营管理系统、请求路由系统等核心系统应具备冗余能力,在多个省份备份,发生故障后能及时切换;CDN设备的处理能力应有足够的冗余度;核心系统间的链路应有冗余备份。
备份数据:系统配置数据、源站托管数据等关键数据应定期同步备份。
人员和技术支持能力:应为用户提供7×24小时技术支持,员工应经过培训并通过考核才能上岗。
运行维护管理能力:运维人员应能及时发现系统异常事件,在规定事件内上报企业管理人员、客服人员,做好对客户的解释工作。
灾难恢复预案:应根据可能发生的系统故障情况制订详细的灾难恢复预案,组织对预案的教育、培训和演练。
CDN标准展望
2011年制订的CDN标准还只是一个尝试,目前《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求和检测要求,随着后续CDN安全防护工作的深入开展、CDN面临的安全风险不断变化,CDN安全防护标准还会不断修订完善。
【关键词】支付系统;运行风险;管理
支付系统作为我国金融服务最核心的基础设施,为银行业金融机构和金融市场参与者构建了稳定、便捷、安全的资金高速公路,极大地提升了资金运行与金融服务的效率。随着我国经济金融的发展、市场交易量的不断扩大、突发事件的增多以及各类支付系统参与者的不断增加,支付系统作为全社会资金运行大动脉的作用愈发突显,对系统运行的稳定性、持续性的要求与日俱增。因此,充公认识支付系统运行中存在的风险并采取相应措施加以防范、控制、化解,对促进支付系统的失言和发展有着十分重要的意义。
一、支付系统运行风险的表现形式
1.网络风险
支付系统设立了两级处理中心,即国家处理中心(NPC)和城市处理中心(CCPC),商业银行通过商业银行前置机系统(MBFE)与城市处理中心相连接,各金融机构之间通过网络供应商提供的通信链路连接起来,并以此实现各项业务数据的传输。因此,如何在数据传输过程中避免风险、确保网络通讯安全、保障业务数据安全传输,是支付系统建设中最为关键的问题,如果不采取相应的保护措施,遭遇数据传输过程中常见的风险如窃听、盗用、数据篡改等,业务数据的保密性、完整性、可靠性就有可能受到破坏,造成严重损失。更有甚者,若通讯线路中断,就会导致支付系统业务停止,出现系统性、区域性甚至全局性的瘫痪。
2.操作风险
系统对操作人员的重复登录和签退没有严格的限制,同一操作人员可以在多个操作终端上进行重复登录;支付系统虽然能定期提示更改操作员密码,但系统并不强制要求更改为不同的密码,如果操作员长期使用同一密码,无疑会形成一定的风险隐患。
3.设备风险
随着支付系统建设的不断完善,其配套设备也逐渐增多,作为支付系统的基础,设备的健康程度将直接影响支付清算业务的运行状态。然而,由于支付系统设备多,且技术工作通常在系统建设初期由供应商、集成商和开发商完成,CCPC的技术人员对系统的了解不够深入,技术力量相对薄弱。当系统出现CCPC技术人员无法解决的问题时,往往需要求助于上级部门和开发商,若故障不能及时排除,将会对数据的传输、存储以及安全构成威胁,影响系统的正常运行。
4.查询风险
同以前的电子联行系统相比,系统存在对业务状态查询不明确的问题,新系统没有设置一个单独的界面对业务处理状态进行查询,操作员在处理完业务后进入业务处理状态查询,才能看到该笔业务的处理结果,致使查询工作相对滞后,这样不但浪费时间,而且还致使操作员长时间保持登录状态,存在一定的风险。
5.参与者风险
MBFE是商业银行行内系统与支付系统连接的枢纽,用于接收、发送和处理本行支付业务,是支付系统的重要组成部门。MBFE通常由商业银行自己的科技部门进行维护,没有CCPC相关技术人员的协调与指导,容易产生以下问题:一是由于没有统一的直接参与者系统参数设置标准,CCPC无法直接Ping通某些MBFE,影响CCPC技术人员对网络连通性的判断。二是部分MBFE未使用双机热备技术,一旦其系统崩溃,将导致本行支付业务中断,对支付系统的正常运行产生不良影响。
6.核算业务风险
一是系统对相关账务实行借贷双方同时等额记账,容易出现账务错误而未被发现的风险。采用“一记双讫”记账方式后,借贷双方始终平衡,一些隐蔽性差错不易发现。二是支付系统上线后,网点会计人员在办理开户单位资金汇划业务时,只需保证自己录入的会计信息准确无误,而上级联行柜不直接办理营业网点的原始电汇凭证,只能根据营业网点录入的信息进行处理,难以根据电汇原始凭证核对往账业务的真实性和完整性,缺乏相应的监控手段。三是网点柜按照原始凭证录入往账信息,该往帐进行柜的待处理账面里时,如果收款人开户行名称过长、联行柜往往看不到隐藏在后面的完整开户行名,在操作中有可能造成接收行 与原始凭证上所填开户行发生偏差,从而影响资金汇划速度,造成汇划风险。
二、目前支付系统的风险防范措施
1.制定了一系列规章制度
自支付系统建设以来,中国人民银行陆续颁布了关于支付系统运行管理办法、运行维护办法、危机处置预案等一系列规章制度,分别从岗位管理、业务操作管理、系统维护管理、信息安全管理、机房管理、故障处理等方面对支付系统的运行维护工作做出了详细的规定,确保支付系统安全、稳定、高效运行。
2.完善了一整套技术手段
为保障业务数据传输安全,支付系统对业务数据的传输进行了通讯加密和业务加押,并且部署了防火墙、入侵检测系统以及安全扫描等软硬件设施,增强了支付系统的访问控制,扩展了维护人员的安全管理能力,有效防范了网络风险。
3.采取了一系列防范措施
针对设备和技术存在的固有风险,中国人民银行清算总中心采取了一系列的防范措施。如建立空难备份中心,当国家处理中心发生故障时,可以迅速切换到备份处理中心,保证业务的连续性;建立网络通讯备份线路,当正在运行的风险通讯线路发生故障时,系统将自动地使用备份通讯线路进行数据传输;部署CA监控系统,对支付系统的主机、数据库、中间件、应用程序的运行状况进行实时监控,帮助维护人员及时发现和处理故障。
三、完善支付系统运行风险的防范建议
1.建立支付系统运行风险评估体系
综合分析支付系统的技术体系、组织体系和管理体系,确定影响支付系统物理安全、网络安全的因素,以及应急预案的有效性。采用定性方法对可能发生的突发事件进行综合性评估,更有针对性地制订防范、降低、转移和规避风险的措施,保障支付系统的稳定运行。
2.提升应急工作能力
支付系统的应急演练工作通常是在明确演练项目后,按照制定的演练方案进行,对提升技术维护队伍应对突发性系统故障能力和应急技术水平的作用十分有限。建议采取适当的突击演练形式,检验现有应急预案的可操作性和技术维护队伍的应急反应能力,及时发现薄弱环节,完善应急预案,提升支付系统的抗风险能力。
3.完善系统运行功能,有效保障各项资金安全
一是要完善操作人员管理功能,口令更改也不允许新旧口令可以输入相同,并在一定程度上提高增加口令的复杂程度。如口令设置必须同时有数字与英文字母或字符组成才能通过。二是建议新系统开设一个单独的业务状态查询界面,由系统操作员实时地查询业务处理结果。
4.加强内控制度管理,规避业务操作中的风险
一是延伸查询查复功能。将大额支付系统的查询查复功能延伸,这样中心支行联行柜组在接收到查询信息后,根据业务的处理情况,审核后及时转发至相关业务网点,该网点拟写查复内容,及时上传中支联行柜批复、审核,并予以发送。这样既发挥了网络传递信息的优势,又避免以往查询查复形式不统一、查询时间过长的矛盾。二是为防止收款人开户行名称过长联行柜不能看到完整开户行名称这种情况,网点柜在录入该笔往账时,允许使用规范化简称,以弥补系统中的缺陷。
一、面临的挑战
目前,金融业的业务开展更加依赖于信息技术的应用,特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而,信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。
一是人民银行的业务指导、监督管理滞后于金融业信息化发展。
与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。
二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。
三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。
金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。
2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。
由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。
四是数据大集中的同时,也使技术风险相对集中。
伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。
近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。
信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。
五是我国金融业的灾难处理能力有待加强。
据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示,仅有3家建立了同城和异地灾备中心,9家建立了同城灾备中心,6家建立了异地灾备中心,尚有3家没有建立灾备中心。返观国外同业.多数国外银行已经做到了分行一级的灾难备份与恢复。这表明,我国金融业灾备中心建设同国外相比存在较大差距。
此外,国内金融机构的现有灾难备份中心布局不合理,过度集中在北京、上海两地,一旦发生区域性重大灾难,将对我国金融业整体运行状况带来极大危害,并造成过高的重建成本。
二、应对措施
按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案)规定,人民银行的主要职责之一是组织制定金融业信息化发展规划,负责金融标准化的组织管理协调工作,指导金融业信息安全工作。
在新形势下如何指导和协调金融业信息化建设和信息安全,是人民银行尤其是人民银行分支机构需要认真思考的问题。
金融业信息系统的安全是防范和化解金融风险的重要组成部分,要依靠法律、管理机制、技术保障等多方面相互配合,形成一个完整的安全保障体系。
一是加强金融服务指导和行业监管。
应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制,强化信息安全手段和队伍建设,加强信息安全检测和准人制度,实施信息安全等级保护,建立信息资产风险评估体系,提高信息安全水平,保证金融稳定和经济发展。
人民银行分支机构应加强对中小金融机构的服务指导,尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导,帮助中小金融机构借鉴成功经验,规避风险,实现跨越式发展。
各级人民银行,应牵头成立金融业信息安全领导小组,并建立和完善信息安全通报制度、报告制度和联席会议制度,建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制,随时处置和协调金融机构安全事件,以迅速应对突发事件的发生,降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。
二是研究建立跨部门的现代化金融业信息安全管理网络。真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。
在正确评估我国金融网络现状的基础上,借鉴国外的组网模式,尽快建立适应我国金融业信息化建设和发展实际的高速、安全和先进的网络框架,在建设时要充分考虑到网络的兼容性和拓展性,为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,必须充分认识到金融业信息安全对整体业务和金融体系,乃至经济体系的影响,牢固树立风险防范意识,把信息科技作为风险管理的重要手段。
三是人民银行要协调督促金融机构,加强自主创新,加大对国产软硬件采购力度,努力减少和降低一些关键领域的对外技术依赖。
对采购或使用的信息技术和产品,能自主的就要千方百计地推进自主,不能自主的,也须保证其可知可控,也就是说,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。
对须引进的,实行市场准人制度,并引进权威机构对其产品进行风险、安全、实用等综合性评估。
对各地区一些科技水平还比较低的中小金融机构,要加大支持力度,加强行业内部的交流合作。针对目前金融业,特别是中小金融机构的信息系统的开发、建设和运维采用IT外包的形式,应出台相应的政策、制度和措施,促进IT外包健康快速发展,约定监管机制,规范服务商的服务标准和流程,使IT外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。
四是建立健全信息安全管理制度,定期进行信息安全检查,加强网络安全攻击防范。
由于金融业的组织结构和业务运营方式,使网络必定要建成一个同Internet和外部线路有较密切关系的结构,各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的,也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等,特别是在网络上运行关键业务时,网络安全问题更是要优先解决的问题。因此,应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进银行做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
五是增加业务持续动作能力,切实采取措施防范数据处理集中后的技术风险。
巴塞尔银行业监管委员会共同论坛2006年8月了《业务连续性高级原则》将业务连续性管理定义为,发生中断事件时,确保某些业务保持运行或在短时间内得到恢复的一整套办法,包括政策、标准和程序。
业务连续性管理的实施在组织上的保证至关重要。人民银行应指导金融业参照国外先进经验,专门成立业务连续性管理指导委员会,将业务部门、风险管理部门和IT部门有关业务连续性的管理职责融于一处统筹管理。
目前,国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在IT部门,远远不能适应业务连续性的需要,应当强调业务部门的参与,与IT部门共同构建适应现代金融业发展需要的应急保障体系,确保运营安全。
三、结束语
一、我国网络信息安全的现存问题分析
目前,我国计算机网络技术水平已经成功与国际接轨,信息安全问题成为其发展的主要问题。纵观我国互联网信息安全环境,我们可以看到在网络信息这一领域,主要受到两大问题的影响与制约,需要得到及时有效地解决。其一是自然环境的影响,其二是人为因素的制约,其三就是计算机问题等,以下就具体来看。
(一)自然环境
从某种程度上来看,自然环境的因素对计算机网络安全的影响是多方面的,且影响较大。这主要表现在温度和自然灾害等方面。由于其不可控性,因此其造成的后果也是不可预测的。对于这类影响因素,就应当做好风险预估与紧急备案措施,以最大限度地降低相关损失。
(二)人为因素
其次就是人为因素,这是目前影响我国计算机网络安全的最大隐患。这主要表现在操作不规范、清理不及时、文件无加密、病毒侵入等等,就会导致信息的泄露或者窃取。换句话说,就是目前人们的安全意识还很不强烈,对于信息处理的相关行为还存在很多漏洞。比如很多人的银行卡密码就直接用生日或者简单的连串数字,黑客侵入账户就格外容易,造成财产损失就是不可避免的了。虽然当前对于自然因素很难去把控,但是人为因素的不足或缺陷,还是很容易弥补的[2]。处于信息时代,人们必须要加强信息安全的防范意识,对一些重要信息应当进行加密处理,对自己使用的计算机,应当定期或不定期进行及时有效的杀毒处理,及时删除一些痕迹信息,规范自己的互联网行为和计算机操作行为,从而避免不必要的损失发生。
(三)计算机网络自身问题
从计算机自身来看,其系统和软件程序、硬件程序等出现的隐患也是造成信息安全问题的重要因素之一。由于程序开发人员在进行系统或软件开发与设计时,欠缺周全考虑等而导致安全隐患的存在,或者是由于不可预测或不可控的黑客技术的升级等,对计算机软件及其程序造成了威胁。系统或软件中所存在的漏洞极易成为不法分子获取重要资料或信息的重要突破口,以此进行对计算机的攻击行为,从而破环计算机网络的安全稳定的环境[3]。但是,我们知道,针对所有的计算机软件或相关程序、系统而言,漏洞时无法避免的,或者换句话说,漏洞或多或少都是存在的,同时,对于这些漏洞的修复工作也很难在短时间内全面完成。这样,计算机的网络信息安全很难有持续稳定性的保障,难免会出现这样那样的问题。只有结合高科技手段与网络监控这两方面的工作,才能对计算机网络信息的安全性和可靠性有一定的保障性。针对计算机自身特性而言,安全性保障主要由物理安全(即硬件设备及周边)和逻辑安全(即信息数据、软件系统等)两部分组成,缺一不可。只有针对性地展开完善性工作,才能最大程度地提高计算机网络信息的安全性能。
二、网络信息防护的重要性分析
我国的网络环境目前已处于非常开放的状态,计算机技术在近年来的发展态势迅猛,其水平得到了极大的提升。当前,我们在通过各种网络平台进行社交时,都必须先要注册个人信息,有的还要通过实名认证。在传输文件时,也要注明清楚个人的详细信息。要知道,这是个信息大爆炸的时代,人们的信息安全的保障是一个很大的难题,甚至目前还没有办法完全杜绝这种现象的发生。比如在进行信息共享时,由于互联网传播速度非常快,其速度甚至超出你的想象,这就很难对传输出去的信息进行有效掌控。而且总有些人出于非法盈利的目的,他们会利用这些信息盗取重要资料、恶意篡改手机或电脑上的数据信息,有的还会造成严重的经济损失。近年来,这些情况时常在我们身边上演着。可见,对网络信息安全进行针对性的防护和保证,必须要提上日程,尽早解决这个难题。这不仅对于人们来说,对于国家来说,也是一个重要的信息安全举措,其重要性是不言而喻的。>>>>推荐阅读:探析大数据下计算机软件技术的具体应用
三、计算机网络信息安全的防护方法探究
从一定程度上来说,网络信息安全其实就是计算机网络安全中最为核心的关键问题,同时也是全世界各国都极为关注的重点问题。如何利用先进的计算机网络技术保障网络信息的安全性、稳定性、可靠性,是我们当前要解决的首要课题。同时,人们在使用计算机时,还应当要增强安全意识,习惯使用杀毒软件,以及可以利用一些手段隐藏计算机的IP地址,以保障自己的信息安全[4]。以下将分为六点进行详细阐述,分析如下。
(一)防火墙技术
严格来说,防火墙可以对计算机网络信息起到一定的保障作用。顾名思义,防火墙主要是采用一定的技术手段,对内网和外网的信息数据进行处理。对外网来说,防火墙主要进行限制的监控,以防止不安全因子进入威胁到计算机内部信息。对于内网来说,防火墙的设置主要是为了保障其安全性和稳定性,防止被外网检测和探测到相关信息,限制外界访问,从而达到保障网络信息安全的目的。总之,“分离控制”就是防火墙的主要功能,起着限制外网、保护内网的作用。
(二)访问控制技术
充分利用好计算机内部网络的访问控制技术,以大大提升内部信息的安全性。访问控制技术主要就网络安全全局策略提出来的,不仅可以对上网主体进行安全设置,比如用户身份、密码、口令验证等,还能够进行网络授权服务,这样就可以保障合法用户的合理权限,对于不合法用户就起到排查与限制的作用,从而就使得网络信息不会被轻易地恶意篡改。
(三)入侵检测技术
入侵检测技术,顾名思义,就是对内网环境中是否存在入侵行为进行全天候地检测,以及时发现恶意入侵行为以及时采取制止与防护措施,以最大效率地保障信息安全。防火墙是对外网进行检测的,而入侵检测主要是以内网为基地,以发现和排除内网中的安全隐患问题的。入侵检测技术包括了实时监控、及时预警和应急预案等,这对于计算机网络信息安全的防护是不可或缺的重要措施,因此,在进行计算机系统的搭建时,入侵检测系统是必须要融入系统之中的重要部分。
1.信息加密技术
其实,对于计算机网络信息的安全防护,还可以进行信息加密的处理。信息加密就是采用加密算法,对重要信息或数据进行加密,把信息转换成密码文字,这样就使得非法入侵人员无法精准识别正确信息。即便他们盗取了这些加密信息,但由于没有密码钥匙,就无法对这些加密信息或数据进行解密的处理,从而保障了信息不被泄露,增加了信息盗取难度,提高了计算机网络的重要信息的安全性与可靠性。
2.IP地址隐藏处理
用户在使用计算机网络进行上网时,可以利用第三方服务器进行自身计算机地址的隐藏处理。这样可以大大提高计算机网络信息的安全性能。再者,进行文件传输时,也容易暴露信息传输网址,从而容易造成信息的泄露。其实,对于传输文件的地址隐藏目前也是可以实现的。通过打乱地址序列,不法分子即便盗取了信息资料,也无法正确打开信息地址,因而无法顺利使用该信息。同时,用户一旦发现信息丢失或被盗取,可以第一时间修改密码以及账号等,以确保信息安全。
3.提高防护意识
以上这些措施其实都是为了提高计算机网络信息安全而设置的,但是更为关键的还是用户本人必须要具备强烈的信息安全的防护意识。如果缺乏信息安全意识,缺乏危机感,那么,再多的防护工作也达不到理想的效果[5]。因此,用户应当从日常小事做起,在平时使用计算机时,就应当培养自己的文明、健康使用互联网的习惯,不要随便打开陌生网站,更不要轻易输入自己的相关信息。需要明确的是,在计算机内安装杀毒软件是非常有必要的,杀毒软件能够在很大程度上降低电脑病毒入侵的可能性,同时还能够及时发现并查杀病毒,以保障电脑安全。每次计算机开机之后,第一时间就应当进行检查,用杀毒软件进行计算机内网的检测,以保障上网的顺畅。对于我国相关的计算机网络的研发与防护部门来说,应当要广泛宣传文明上网的意识,积极宣传网络信息安全防护的常识性知识。与此同时,国家相关法律部门,也应当要顺势而为、与时俱进,制定出一系列完善的网络监管体制,完善相关的法律法规[6]。并且要严格执法,对于不法行为要进行严格处理、绝不姑息,对于违法犯罪的信息盗窃行为,应当要及时打压,严肃处理,从而规范网络行为,净化网络环境。
四、总结
总而言之,我国计算机网络技术已然十分发达,信息公开、透明的程度也极其极高,同时也使得个人的信息安全得不到有效保障。一些不法分子游走在法律边缘,进行个人信息的窃取或贩卖等不法活动,从中牟取暴利。信息共享虽然带来了数据化的便捷,但是很显然也带来了一些安全隐患,甚至会造成严重的经济损失等恶果。因此,不管是对个人来说,还是对于计算机的开发来说,还是对国家相关部分来说,都应该要提高信息安全防护的意识,采取有效措施,如利用防火墙装置、访问控制、入侵检测技术、隐藏地址、信息加密等等方式,提高计算机网络信息的安全性、可靠性,同时要应当要建立健全相关的法律法规,使其有法可依,营造一个健康、文明、和谐的互联网氛围。
【计算机硕士论文参考文献】
[1]韩禄.分析计算机网络信息安全的影响因素及常用的防护策略[J].科技展望,2017,27(6)12-12.
[2]孙伟俊.关于计算机网络信息安全及防护策略探究[J].信息通信,2018,No.186(6):114-115.
[3]金川.计算机网络信息安全及防护策略的思考[J].现代信息科技,2017,1(4):103-104.
[4]周涵.大数据时代计算机网络信息安全及防护策略分析[J].数码世界,2017(10):157-157.
[5]秦浩.计算机网络信息管理安全防护若干问题与应对策略[J].信息与电脑(理论版),2017(23):185-187.
自查报告中的文字表述要实事求是,既要肯定成绩,又不能虚报浮夸,凡是用数据来说明的事项,数据必须真实准确。下面就让小编带你去看看安全工作自查总结报告范文5篇,希望能帮助到大家!
安全自查总结报告1上级安全检查部门:
为了贯彻、落实20____年12月10日区政府、区教育局在沿江召开的安全工作会议精神,我校对安全进行了检查,现将检查情况呈你们。
一、领导重视,立即排查
沿江会议之后,学校立即召开安全领导小组工作会议,传达会议精神,布置安全工作大检查。在检查中,学校主管领导具体抓,分管领导重点查。
学年初,学校就成立了安全工作领导小组,校长亲自带头抓安全,在学校的大小会议上反复强化安全意识。
二、勤检勤查,排除隐患
一年来,学校领导始终把安全工作作为学校的重点工作来抓。在经费紧张的情况下,学校在力所能及的前提下,及时地大力地整改,定期和不定期地召开班主任及各管理人员的安全工作会议,随时听、查、整改。
1、针对学校门前南宁北路延长线的修通,给师生的交通安全带来了较大隐患,学校联系了市交警直属大队二中队的干警到校对师生进行交通安全法规知识讲座,增强了学生的交通安全防范意识。
2、学校根据市卫生监督支队的要求,对学生食堂投资6000多元,添置、更新了一些炊、厨用品及储具,做到生、熟食品分类放。
在11月28日的年终食品卫生量化中,我校食堂食品卫生评为“良好”。
3、在学生宿舍、办公楼安装了26盏应急灯,28只灭火器,投资1万多元。
其次,投资2万多元对锅炉的压力容器进行了修理。另外,加固、修复了学生宿舍的门、窗、防盗圈,加固了学生宿舍入楼顶的门护。
4、在区教育局的帮助下,投资5万多元对北教学楼的电路进行了改造;
给房顶水塔加了盖,保证了师生用水、用电的安全。
5、面对学生多、食堂小、购饭菜拥挤的现状,学校专门安排维队人员维护就餐和售卖的纪律;
政教处设专职人员1人,负责监督学生的行为规范,对学生间的纠纷及时排除,避免了打架斗殴现象。
6、晚自习后,班主任配合宿舍管理员监督学生晚休,严禁住校生外出;
门卫夜间对校园加强巡查,确保财产安全。
由于领导重视,措施得力,各岗位人员齐抓共管,一年来我校未发生一起安全事故。
三、亟待解决的隐患
1、每到周五和周日下午,学校大门口的小商贩摆摊向学生出售食物,虽经主管部门进行了查堵,但无法根除,存在食品安全隐患。
2、南宁北路延长线上没有安装路灯,对非住校生回家的安全存在隐患。
3、历学校与基建队脱钩,各楼层的消防设施未配套,学生宿舍、食堂、教师宿舍无任何消防设施,存在较大的安全隐患,学校已向区消防大队及有关部门多次反映,但由于资金无法落实,至今未安装,预计需资金15万元。
4、锅炉“钠离子交换器”和锅炉安装严重不规范,结圬较厚,极易引起锅炉爆炸,严重威胁2400多名师生的安全,学校向上级部门作过申请、报告,也因无资金而至今未修复,估计需5万余元。
5、教职工宿舍楼顶层用电线路为裸线,学校无力更换,预计需2.5万元。
6、教学楼楼层交接处,挡墙过低,学生易进入楼顶,存在安全隐患,预计需资金2万元。
7、教学楼楼顶建筑质量太差,到处渗漏水,造成墙体内线路严重老化,存在较大的安全隐患(北楼在教育局的大力支持下,已协调解决,其它地方无法根治),预计需资金20万元。
8、学生食堂后续工程没完工,积渗水现象严重,钢筋锈蚀,电路加速老化,有可能形成新的危房。
9、电信局在布线时,未经学校同意在围墙顶部直接布线,给学生翻越围墙提供了可能,造成安全隐患。
由于学校是新建学校,资金紧缺,以上安全隐患排除经费,恳请上级部门给予解决。
安全自查总结报告2按照《关于组织开展20____年全市政府信息系统安全检查工作的通知》(镇信安联办【20____】5号)要求,我局高度重视,立即组织开展全局范围的信息系统安全检查工作。现将自查情况汇报如下。
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行。
一、信息安全组织管理工作情况
我局高度重视信息系统安全工作,成立有由主要领导任组长、分管领导任副组长、各处室负责人为组员组成的局信息安全工作领导小组,明确了局办公室为主要职能部门,确定了一名兼职信息安全员,召开了由分管领导、信息安全工作职能部门和重点部门负责人参加的会议,对上级有关文件进行了认真学习,对自查工作进行了周密的部署,确定了自查任务和人员分工,真正做到领导到位、机构到位、人员到位、责任到位、措施到位。为确保我局网络信息安全工作有效顺利开展,我局要求以各处室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
二、日常信息安全管理工作情况
我局在以前建立一系列信息安全制度的基础上,针对信息安全工作的特点,结合我局实际,重新修订了一系列信息安全制度和程序,做到按制度办事,提高执行力。按照市政府和市经信委要求,我局与计算机维保单位重新签订了服务协议,增加了信息安全与保密协议内容。同时我局还与全局所有工作人员签订了安全保密协议。我局对涉密计算机和涉密移动存储介质高度关注,对所有涉密计算机和涉密移动存储介质全部进行编号在册统一管理,明确责任人和保管人,对涉密信息系统的使用进行多次重点检查,强化涉密人员管理,严格执行涉密计算机和涉密移动存储介质的相关管理制度,专门为涉密人员配发了带有硬件锁的U盘,严禁在涉密和非涉密信息系统间混用移动存储介质等等。对非涉密计算机的保密系统和防火墙、杀毒软件等皆为国产产品,公文处理软件使用微软公司的正版office系统,信息系统的第三方服务外包均为国内公司。
三、信息安全防护管理工作情况
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。我局经常开展信息安全检查工作,主要对操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、网页篡改情况等进行监管,认真做好系统安全日记。今年,我局在市政府办的指导下试运行协同办公系统,投入10多万元为所有局领导、各处室配置了内网计算机,为涉密处室另配备了涉密计算机,从硬件上加强了涉密信息系统管理。
四、信息安全应急管理工作情况
我局认真做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。
五、信息安全教育培训工作情况
我局针对信息管理人员实际情况,每年开展信息化教育培训,以掌握信息化管理技能为目的进行实践操作能力培训。还组织有关工作人员参加了相关信息安全培训,职工信息安全意识得到有效提高。
六、信息安全专项检查工作情况
目前我局在市行政中心大楼内办公,网络和信息系统便于统一管理,内外网完全物理隔离,内网计算机均在有效管理范围内。局信息安全工作领导小组针对我局的信息安全形势,定期组织由专业技术人员组成的检查小组到各个办公室专项检查网络和信息安全情况,仔细排查信息系统的漏洞和安全隐患,用专用工具查杀木马、病毒,及时加强防范措施,为所有计算机安装了正版杀毒软件和防火墙,有效提高了计算机和网络防范、抵御风险的能力。此外,检查小组针对个别在市行政中心大楼外办公的处室进行了上门检查,不放过任何信息安全死角。在检查的同时,检查小组还就信息安全知识进行了上门培训。经多次检查,我局信息系统总体情况良好,运行正常,未发现重大隐患。
七、信息安全检查工作发现的主要问题及整改情况
(一)存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
三是遇到计算机病毒侵袭等突发事件处理不够及时。
(二)下一步工作打算
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是进一步扩大对计算机安全知识的培训面,组织信息员和干部职工进行培训。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息安全事故。
安全自查总结报告3东北电监局:
根据《国家能源局开展电力安全生产大检查的通知》(国能综合2013年231号),按照安全检查“全覆盖、零容忍、严执法、重实效”的要求,我公司先后对所属龙口、胡家湾、上湾二级、响水、五道石门、金桥、燕窝铺、响尾等八个电站开展了安全生产专项检查,坚持“安全第
一、预防为主、综合治理”的安全生产方针,各电站站长均巳切实负起责任,有效地抓早、抓实、抓好了安全生产工作,促进了我公司电力安全生产责任制及各项安全管理规章制度进一步健全和落实,完善安全管理机制,从根本上提高安全管理水平,采取有效措施,排除安全生产隐患,解决安全管理上存在的突出问题和薄弱环节,有效防范各类生产安全事故发生,在此总结报告如下:
一、树立起“安全就是最大的回报”的观念
安全促生产,安全出效益。投资安全前提下是生产安全,经济效益取决于生产安全,生命财产安全有赖于生产安全。八座水电站本着这一信念实现了安全生产,进行了正常的发电运行及售电上网,各电站的经济效益得以体现和保障,在市场经济竞争中,员工的队伍比较稳定,员工当家作主精神日益高涨。安全生产作为日常工作重中之重,常抓不懈,这样以来大大降低了事故发生率,保证了电力生产、提高了生产设备完好率,员工的生命安全以及家庭幸福得以保障。因此,电站管理者树立“安全就是最大的回报”的观念得以弘扬,牢牢固固切实的抓好安全生产工作。
二、找出主要危险源,突出安全防范的重点
公司所属电站运行有几、几十年,每年针对发电机组、变压器等机电设备,拦河坝、引水明渠及隧洞、前池等水工设施,特别是危旧厂房、宿舍和残旧老化的输电线路和机电设备,以及暴雨可能引发山洪、泥石流、山体塌方和滑坡地段、公路及可能崩垮的桥梁、涵洞。制定了维修保养、缺陷登记、定时巡查、隐患报告等制度,年前制定出大修专项计划,年终考核完成;对于发生事故或灾害的前兆,制定了预期应急预案,指定专人随时监控,及时采取相应措施,避免一些事故及灾害发生或造成重大损失。
三、重防范、勤巡查、严管理、抓落实
各电站在日常运行管理中,坚持结合自身实际,把事故防范工作放在首位,安全生产要舍得投入,制定制度,遵守规程,明确责任,配备器材,防微杜渐;值班人员对主要危险源经常巡视检查,掌握设备设施的运行状况,对引发事故和灾害的各种因素密切监控,积极防范,及时化解;强化安全管理,消除了引发事故的各种因素和不安全状态,确保了生产运行安全;狠抓了安全生产责任、措施、制度和各项工作的落实,杜绝重大事故发生。
四、制定应急预案
针对各电站的重大危险源和易发、多发及容易造成重大危害或严重损失的事故制定了应急预案,定期进行演练。一旦发生事故,立即启动相应预案,及时采取应对措施,尽量避免了人、财、物的损失。
五、遵章守规,依法经营
严格执行国家安全生产政策、法规和行业操作规程,遵守电站的安全生产规章制度,严格执行系统调度的各项指令,从不私自或随意改动电站的设计和运行现状,未擅自增大装机容量、私自增高拦河坝水位高程,随意抬高引水渠和前池的溢洪口、未经批准改变
一、二次电气接线及调整保护动作参数等。
六、抓好宣传教育和员工的学习培训
加强对员工的宣传教育,不断逐渐增强了员工的安全生产意识和遵章守规的自觉性;组织员工学习安全生产法律法规、安全操作规程和安全生产知识,认真积极开展专业技能培训并经常性开展反事故演习,提高了员工的实际操作技能,增强员工搞好安全生产工作、处理突发事件和安全自救的能力,把电站的安全生产、运行管理和经济效益提升到一个新的水平。
七、公司所属电站组织开展自查活动中发现的问题:
1、水库监测设备部分电站不完善,按照有关规范,分别监测大坝位移、变形、渗漏、应力应变及环境因素等项目缺乏。
2、大部分电站建于上世纪
七、八十年代,设备、设施巳运行近
三、四十年,机电设备相当一部分到了退役期,陈旧锈蚀、绝缘老化、渗漏严重,发电效率不高。
3、电站人员配置及素质有个别不符合安全生产要求的;
部分运行管理人员缺乏相关专业技术及安全管理教育培训;只追求经济效益,运行人员配置不足;电站员工现文化功底不足,经过系统的岗前培训不足,上岗期间组织专门学习不够,业务骨干比较匮乏。
4、有的电站对安全生产中的“两票三制”执行不严格。
八、针对问题,制定出我公司安全生产专项检查、治理实施方案:
(一)、坚持以法律、法规为依据,进行公司安全生产管理。依据国家法律法规及规程对水电管理,一是建立健全各项制度,二是落实好制度,认真做好操作票、工作票、值班记录、交接班记录等,安全工器具、消防设施配置,使易燃易爆场所及物品保管符合安全规定。三是保证电站设备及设施完好,避免重点设备、设施带病运行,促进电站设备完好率的提升。
(二).落实安全生产责任制。
健全内部安全管理制度,明确责任,三级网络安全管理人员要经过上岗培训、考核、持证上岗;教育从事生产人员坚决执行规章制度,严格执行填写操作票、工作票、值班记录、交接班记录、安全工器具检查情况、消防设施配备、易燃易爆场所及物品保管等规章制度,进行认真安全运行及事故调查,细致以安全运行未发生人员伤亡或设备事故审核安全运行状况,以发生人身、设备事故处理,整改本着“四不放过”;上报公司对电站进行处理。
严格对生产人员进行安全技术培训、考核、考试及发证,提高技术水平和操作能力。电站是否能做到安全生产,与电站生产运行一线直接操作者有直接关系,每个员工的技术水平、操作能力直接影响电站安全运行的可靠程度,电站领导首先十分注重生产一线员工的技术素质和能力,使他们逐步掌握所从事工种的全部设备的性能和操作技巧,对设备正常运行,是否带病运行判断准确无误,并能提出正确的意见和建议。电站应根据设备可能发生事故情况,定期进行有组织的反事故演习,演习按预案程序进行,由主持人提出现象,演习人员进行判断处理,锻炼生产人员应急处理能力。
(三)、坚持抓好设备管理和推进技术进步。
水工、机电设备及设施完好率是评定电站类别的一项重要指标。生产设备是电站的主要生产工具,要保证安全生产,提高经济效益,就需要现代的管理技术,维护好生产设备,高效运行。
1、建立健全设备台帐。
对每个设备,按单元建立技术档案,记录技术参数,运行中发生过哪些异常、故障或事故,是什么原因造成的,当时是怎样处理的,更换过哪些零部件,维修期限,以及每次大修后的试验记录,随时对设备的运行状况进行查询分析,做到心中有数。对备品备件准备充足,并及时补齐,做到检修时能快速地更换。
2、全体员工参与设备管理。
每件设备都有专人负责,要求员工对所管理设备结构、性能、工作原理必须掌握,熟悉常见故障及时处理,加强正常巡视、维护,及时将设备运行缺陷上报公司。
3、建立良好的反馈制度。
每月定期召开二次运行分析会,由各生产人员参加,共同分析问题的症结所在,找出解决问题的办法。共同分析各班值上报的设备缺陷,落实检修班检修维护,并做好记录。实行消号制,有条件解决的,及时销号,一时得不到解决的,记录在档,并积极创造条件,缺陷解决后再销号。
4、巡视检查到位,经常性巡视检查是电站安全运行的关键。
制定详细巡视检查项目,包括水轮机、励磁装置、发电机、调速器、蝶阀室、集水井、空压机窒、主控制室、各控制屏、高压开关、主变、电缆、蓄电池、升压站、整流柜要定时进行检查,并做记录,发现问题及时处理,尽量避免事态扩大,及时上报。巡视检查必须做到心中有数,对设备状况和性能及工作原理熟悉掌握;该检查的地方一定检查到,不凭想象推理,查清、查实、查细;仔细观察发现细微变化,了解机械设备运行时正常声音,从声音所出异常,及时分析处理,防止事故发生。设备正常气味要知道,出现异味时能闻到。对检查中发现的问题及时记录,及时上报。
九、督察到位。加强监督检查是实现安全生产的重要环节,只有安全生产管理制度和措施是不够的,必须严格进行督促检查,促进工作落实。从主管生产的行政领导、生产安全技术负责人一直到班组长形成联合检查组,对各班值从安全生产操作规程,劳动质量、组织纪律、设备环境卫生等方面进行检查,实行考核制,考核记录作为各班组评比和年终评优的重要依据。联合检查每月进行一次,并要进行夜间督察。通过检查发现不安全因素和设备缺陷,提高员工的安全意识,促进员工学习各项技术、技能,切实保证安全生产。
安全自查总结报告4一、教学常规管理
1、能结合学校实际情况制定了详实的教学工作计划,计划目标完整、明确,制定措施切实可行。
2、各年级、各学科严格执行《课程计划》,开足开齐课程,不随意增减课程和课时。
认真落实活动课的各项要求,做到有计划、有场地、有教师、有内容,并且保证落实。
3、课堂教学有规范的质量标准,如:《教学人员课堂常规》、《学生课堂常规》、《教师备课及教案的要求》、《教师留家庭作业要求》、《培养青年教师计划》和月考核要求等。
每学期对全体教师的教案普查五次以上。教务主任每学期听课达到节以上。
4、每月组织各年级的月考核,并根据情况及时地召开年级教师会、学生会、家长会、学科组长会和全体教师分析会等。
5、定期对教学工作进行全面地分析,每学期多次召开各年级的教学工作会议,及时查找教学工作存在的问题,总结经验。
及时调整下一步的教学工作。教学工作目标明确,措施具体,岗位职责明确。本学期教务处正在进一步完善并实施教学检查、考核制度。教学工作没有失控、失查的现象。
6、落实减轻学生过重课业负担的规定,学生的课业量没有过重的现象。
二、教学改革
1、有计划地开展课堂教学模式、方法、手段的改革。
几年来我校进行了教学课题“培养学生四会能力的和谐教学”研究试验,积极探索启发式、讨论式、探究式教学方法,培养学生创新意识。
2、改进教案的设计,加强备课检查。
3、积极推进信息技术在教育教学中的应用,每位教师周月必须上两节电教课。
每学期按计划进行教师做课活动。
4、本学期七、八年级学生中午开展了图书阅览活动。
5、期中考试后,及时召开各年级的教师分析会、学生会全体会对期中考试进行分析总结,调整下一步的教学工作。
6、学校能根据评价和考试制定明确、简要的促进学生发展的改进计划,帮助学生认识自我,树立自信。
7、帮教学困生,做了一些工作,力争更进一步提高。
8、帮教优秀学生的单科成绩差的方面,有记录,有落实。
争取使更多学生成为优秀生。
三、今后努力方向
1、由于各方面的原因,我校的学生在科学文化基本知识、基本技能方面没有达到课程标准或大纲要求。
本学期,在校行政的领导下,我校为了进一步提高教学质量,制定了一系列的政策措施。在教学上倾注了大量的人力物力,基本上摆脱了后三名的落后状态。至上学期末,我校有一部分科目进步显著,已经跻身全区前三名的行列。今后我们要更加努力。
2、我校初中学生的巩固率力争达到98%。
3、学校下一步希望改变对学生教学评价的方法还是比较单一的。
只是采用月考核、期中、期末学分制。在反映学生的学习过程和学习成果方面力争打开思路,有所创新。
4、青年教师教学知识积淀不够深厚,教学能力、驾驭课堂的能力较差,这是我们今后的教学工作的着重点。
5、从下周开始组成查课领导小组,对教师的教学情况进行检查。
6、建立健全教师档案。
安全自查总结报告5为深入贯彻落实吉林省住房和城乡建设厅关于《关于进一步加强城市市政公用行业和建筑施工安全生产的紧急通知》指示精神,深刻吸取事故教训,落实安全职责,强化防范措施,切实做好公司安全生产工作,有效防范和坚决遏制事故发生,公司安全生产委员会按照《关于进一步加强城市市政公用行业和建筑施工安全生产的紧急通知》要求,检查安全职责和制度落实状况、安全宣传教育和培训状况、落实安全职责和隐患整改状况、应急预案制定和演练状况。具体自查资料如下:
一、安全制度和职责的落实状况
公司的安全生产管理制度备案存档工作完整,各制度健全,应急预案完整,演练可行,各项操作规程考核效果较好,各级干部职工自觉遵守制度和规程资料,无违章现象。
各项目部与生产一线各班组组长签订了《班组长安全生产职责书》,各班组负责人安全生产意识较强,切实贯彻安全生产人人有责的思想,职工在自我岗位上认真履行各自的安全生产职责,为安全生产各项措施的落实,带给了有力的保证。
二、安全教育和培训状况
公司根据上级领导的整体安排,组织开展了多种形式的宣教活动。一是深入开展普法教育,透过召开安全生产会议等形式,宣传和学习《安全生产法》等法律法规。二是丰富宣传活动形式,透过组织职工进行安全知识教育,并利用宣传栏、横幅、标语等宣传各种安全知识、及安全法规。使广大员工深入了解安全,广泛重视安全,极大提高了全员安全生产意识。
透过各种形式(警示牌、宣传栏、标语等)使员工明确自我岗位存在的危害因素及预防措施,明确在危害发生时的救护措施。培养员工熟练掌握小型工伤的紧急处理技能,将伤害控制在最小程度。使职工能够熟练的使用劳动卫生防护用品,降低职业病危害,预防职业病的发生。使职工能在突发事故中正确熟练地采取自救和互救措施。
公司共组织安全生产知识培训多次,经常召开安全生产会议,总结安全生产工作中存在的隐患,针对存在的安全隐患制定整改与预防措施,交流安全工作经验,传达安全生产方面的文件,布置有关安全工作,通报安全检查状况。
三、施工现场三类人员和特种作业人员持有效证书上岗,做到人证相符,塔吊、施工升降机等其中机械设备进行了复检合格。
四、落实安全职责和隐患整改状况
设备、安全防护装置及上料平台、护栏、脚手架等防护设施的保养维护记录齐全有效。各种安全消防设施配备齐全、合格有效,操作人员按规定穿戴劳保防护用品。
电气设备的安装和维修,由电工操作,非电工不准装修电气设备和线路,对易发生事故的电气设备有专人管理,职责到人。电工人员作业时能够按规定配备劳动保护用品,按操作规程作业,并定时检查线路及一切电器设备,所有高压危险场所,都设置了防护设施和警示标志,非电工作业人员严禁进入配电房或电气设备护栏内、严禁私拉乱挂、严禁靠近高压危险场所。
安全生产委员会小组成员按照要求,分阶段开展了多次安全生产大检查。检查出的各类隐患作出整改及治理方案,真正消除了事故隐患。每月进行一次自查。在检查过程中,我们坚持安全第一、预防为主、综合治理原则,针对薄弱环节和可能出现的问题,认真进行全面排查,重点检查安全制度是否落实,安全措施是否到位,安全防护设施设备是否齐全完好,漏洞隐患是否纠正。
1计算机信息安全管理理论
1.1计算机信息
信息是关于客观事实的可通讯的知识,信息是客观世界各种事物表征的反映。“信息”又被称为消息、资讯,通常以文字或声音、图像的形式来表现,是数据按有意义的关联排列的结果。目前,根据对信息的研究成果,我们可以将信息的概念科学的概括如下:信息是对客观世界中各种事物的运动状态和变化的反映,是客观事物之间相互关联和相互作用的表征,表现的是客观事物运动状态和变化的实质内容。
1.2计算机信息安全
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境极其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断,最终实现业务连续性。主要包括信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,确保信息的完整性、可用性、保密性和可靠性,即确保信息的安全性。
2高校计算机信息安全管理理论
2.1计算机信息安全管理体系不健全
从目前高校的安全管理模式可以看出,仍在沿用传统的“以经验管理为主,以科学管理为辅”的较固定的管理模式。完全依靠开会强调安全管理的重要性,靠文件学习风险防范方法,靠人员的巡视检查来督促各部门的对信息的安全防范。这样简单的、被动的、机械的管理模式,不能够适应现在这个多变的社会环境。没有一个全员的安全紧迫性、全方位的安全管理程序,不主动查缺补漏,轻视安全隐患,往往会铸就大的安全管理问题。
2.2计算机信息安全管理手段较单一
高校往往重视教学和科研业务上的绩效考核、奖励激励,而忽略了在信息安全管理方面表现卓越的激励、保障制度。有关信息安全管理的规章制度也不成为专门的考核标准,一些信息安全管理方面的资金投入也较科研开发、教学业务拓展等较少。只是在出了事故后层层问责,而懈怠了平时的敦促、提醒、培训。没能根据实际工作环境和社会变化趋势来应对信息安全问题,管理手段和方法单一落后。
2.3计算机信息安全监督机制不完善
监管部门的安全监督责任有待调整和规范。高校尚未出台可资借鉴的安全监督执行力度标准,这样,就会影响组织机构在进行监督信息安全管理时的执行力度。有法可依、执法必严应是相关部门应该秉承的监督圭臬,可是现实情况是制度缺失、人浮于事,监督机构设置如同虚设。
2.4计算机信息安全人才缺乏
高校现阶段的信息安全人员多为其他岗位的兼职人员,而且非信息安全专业人才,通常是进入岗位后,根据职能需要,逐步学习,经过培训而掌握了信息安全技术知识的人员。
3完善高校计算机信息安全管理的对此
3.1建立信息安全预防体系
改进高校的信息安全管理体系需要从全局出发,从基础做起,然后逐步完善。要有条理、有策略、有方法,不能冒进,也不能半途而废。因此,要建立长效的信息安全预防体系,必须出台切实可行的运行机制和控制手段,逐一落实,使企业的安全信息管理体系形成良性、螺旋上升的改进形式。
3.2建立信息安全预防管理控制手段
(1)注重管理策略和规程;(2)加强技术控制。
3.3建立信息安全预防管理运行机制
3.3.1组建相关的组织机构
建立其专门的安全监管部,负责为高校的网络与信息安全突发事件的监测、预警和应急处理工作提供技术支持,并参与重要的判研、事件调查和总结评估。
3.3.2建立应急响应机制
即当安全监管部门发现安全问题,及时向相关部门通报提请注意,然后将安全问题定级,提出预警等级建议,向有关领导报审。接到上级领导反馈后技术部门采取有效措施启动应急预案。当预警问题解决后,向上级请示,解除预警。事后形成事件调查和风险评估总结,呈报领导。
3.4提高信息监管人员的素质
首先物色合适的人选,根据岗位工作性质,经过严格的考察和科学的论证,找出或培训所需的人员。选聘过程严格可控,然后把具备不同素质、能力和特长的人分别安排人员配备齐整。培训之后上岗,从而使个岗位上的人充分履行自己的职责,最终促进组织结构功能的有效发挥。在人员到岗后,也要经常抽查岗位员工的工作技能和态度,测试和培训岗位需求,经常组织人员学习先进的信息技术和前沿项目。
4结论
信息安全管理时一个动态发展的过程,信息技术日新月异,信息安全管理策略就要随之动态调整。信息安全管理体系的规划、设计和实施流程也要根据实际运作的情况不断调整和该井。完备的计算机信息安全管理体系可以使高校信息资产安全得到有效的保障,将高校信息安全风险控制到最低。
作者:张超 单位:辽宁经济职业技术学院
参考文献:
[1]张文雷.谈高校信息技术的网络安全[J].信息与电脑(理论版),2014(06).
[2]汤赞.浅谈我国网络安全对高校信息技术的影响[J].科技与创新,2016(02).
[3]黄瑞.高校信息化建设进程中信息安全问题成因及对策探析[J].现代教育技术,2014(03).
