时间:2023-09-14 17:44:45
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全应急响应演练方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
“谁都不愿意也不敢在奥运期间出现问题。因此除了奥组委,一些跟奥运紧密相关的客户如电信、电力、甚至是金融行业,对于网络安全的问题也是非常紧张。在这种情况下,众多网络安全厂商纷纷推出‘奥运保障计划’来做大市场。”参加了几次奥运安全保障计划的互联网实验室执行总裁刘兴亮分析。
唤醒网络安全市场
“奥运前期,我们每天都要定时向好几个与奥运会相关的政府接口进行信息通报,奥运开幕后,现在是几乎每个小时都要通报。当然这一切都是为了防止奥运会期间,可能出现针对奥运而来的黑客恐怖袭击和计算机网络病毒。” 北京一网络厂商的张姓工程师说。
据这名张姓工程师说,此前不久,由奥组委和相关部门牵头,几乎所有重要的网络安全厂商刚参与了两次大规模的攻防演练:一部分人对网络发动攻击,有的假扮黑客,有的则在网络上散发大量的未知病毒,造成网络攻击的现象。而另一部分人则启动响应机制,构建防御体系,迅速处理危机。
对此刘兴亮分析说,这样的演练实质上就是对应急机制的检测。 无论是演练,还是在奥运期间的实际运作,从流程上来讲,跟平时处理突发事件基本相同,不同的是要“快”,比平时的响应速度要更快。不是改变流程,而是加速流程,争取把对奥运的影响降到最低。
对于黑客和病毒的防范,厂商的策略一直都属于被动防范,就是当问题出现时,集中火力去解决问题。但面对奥运这样的重点项目,他们前期则需要确定防范重点,并且有针对性地设计工作流程。
正是缘于奥运对网络安全的高度重视,大大刺激了对网络安全重要性的唤醒。“以前他们有任何问题都是工程师跟我们联系,现在都是处长或是经理直接跟我们联系。”北京瑞星客户部总经理王建峰说。
刘兴亮说:“在这种情况下,网络安全厂商如趋势、瑞星、金山、江民启明星辰、绿盟等网络安全厂商都纷纷都推出‘奥运保障计划’来做大市场。”
市场规模亟待扩张
网络安全本来是非常重要的,但市场的整体规模一直不是很大,市场中的企业规模也比其他行业小。奥运对网络安全的高度重视,无疑激发了这个市场的需求。比如金融企业,在奥运期间是全面向全球用户提供金融服务,如果服务不能正常运转,不仅企业的信誉受到打击,而且还会有很严重的政治影响。
与此同时,奥组委和奥运相关的业务组织也大量采购网络安全厂商的软件、硬件和服务。进一步刺激了网络安全市场的需求。
“临近奥运时,来自电力、电信、金融、门户网站、相关政府部门的客户不断地向我们提出网络安全保障计划的需求。如有的客户向我们征询网络部署的方案,有的请我们去评估网络的安全性,也有些客户要求我们提供针对性的人员培训。”王建峰在谈起奥运期间网络安全市场时兴奋地说道。
趋势科技北方区技术经理罗海龙也告诉记者:“他们的工程师仅在今年6月、7月就两次对客户的系统进行了全面检查,同时针对客户的系统进行弱点分析,制定加固或调整方案。现在奥运期的重点就是突发事件的处理。”
据悉,为了及时应付随时可能发生的突发事件,趋势科技还为客户提供一项特殊的“未知威胁保障服务”,主要针对企业用户在日常安全防护中遇到的未知威胁,提供完整的主动解决方案,自动进行高危可疑文件的判断和比对,做到提早发现问题提早解决问题,并提供可跟踪的报告。
更难能可贵地是,奥运把平时在网络安全市场上的竞争对手们,团结了起来。刘兴亮告诉记者,现在中国的网络安全厂商们全部都紧密合作,一切都以确保奥运的网络安全为唯一目标。
■记者观察:“后奥运”商机
在奥运期间,不管是被奥组委选中产品的网络安全厂商还是主动为奥组委服务的网络安全厂商,除了尽责任和义务外,也有一个商业的考虑,那就是争抢后奥运网络安全市场的蛋糕。
据悉,北京瑞星就在预算方面制定了对奥运网络安全支持没有封顶的措施,而且全公司高级别的专家、工程师都在全力配合奥运网络安全项目。
像这样在奥运期间,网络安全厂商们在全力服务好奥组委、服务好跟奥运密切相关的大行业客户,以及贴近这些大用户的同时,也在向大用户证明了自己的价值。毕竟奥组委以及大量跟奥运密切相关的企业在后奥运时代也有大量的安全需求。
未雨绸缪,网络安全厂商是有这个考虑的。通过网络安全厂商的的服务在帮助客户避免奥运期间危机的同时,也让客户更了解相关的产品和服务。
(一)健全组织管理体系,建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组,制定议事程序,确立工作步骤,审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议,对信息化建设工作进行决策、安排和部署。立足于可持续发展战略,安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理”的管理目标,建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成,负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门牵头,其他部门共同参与的风险管控平台。依托风险管控平台,通过检查、评测和监控及时发现科技工作中的风险隐患,组织召开风险例会,研究制定整改措施、整改方案,结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成,主要职责是对信息科技工作进行专项审计。
(二)推动制度体系建设,构筑安全生产生命线。多年来,安徽省分行每年都对信息科技制度和技术规范进行修订,对现有信息科技制度体系进行评估,对信息科技制度体系架构进行梳理,逐步建立了制度、实施细则及技术规范三层架构的制度体系。形成了《信息科技制度汇编》,共包括38个科技管理办法、16个实施细则、9项技术规范,在全行范围内印发执行,有效指导了信息化建设和风险管理工作的开展。为了保持制度的严肃性,使基层分支行操作人员严格执行制度,省分行加强制度执行力建设,采取检查、监控及违规积分等措施,确保制度落地,形成人人“重制度,守制度”良好工作氛围。
(三)完善技术体系建设,提升技术防范能力1.建设高标准机房。2009年到2011年期间,率先启动省、市、县三级机房达标工程改造,共投入2000万元用于辖内66个机构机房的建设和改造,机构覆盖面达到90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性”的理念,对供电、防雷、消防、空调、装饰系统进行了全面改造,为信息系统安全运行提供了可靠的物理保障。2.健全后备供电保障体系。2012年,利用有限的固定资产指标,为全辖所有市级分行配置了功率在20KVA以上的UPS,为60个县支行配置了10KVA的UPS;在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机;11个行与电力公司、电信或联通等公司签订应急供电协议。形成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3.建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统(包括网络预警监控系统和机房动力环境监控系统),实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式,本级行不仅可以监控自身机房及信息系统运行情况,还可以实时监控到辖内行情况,实现科技风险监测的纵横结合,提升风险预警与防控能力。4.构建高效安全的网络体系。基层行成立不久,就实现了分网运行,根据业务种类、服务范围等分为生产网、办公网和监控网,针对不同的网络采用不同的安全控制策略;在网络线路上,采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性;结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防范手段,确保网络安全。5.部署防病毒系统。部署了覆盖全行的计算机病毒防治系统,支持防病毒软件的统一管理和升级,有效防止病毒转播与蔓延。6.建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储,使用现有网络在非工作时段进行数据复制,解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用,也解决了二级分行重要数据异地存储的难题。经过演练测试验证,灾备系统运行稳定,能够有效地保障数据安全。
(四)加强信息系统应急管理,保持业务连续性省分行严格按照《中国农业发展银行信息系统突发事件应急管理办法》要求,成立相应组织,切实履行职责,在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中,就模拟了6个场景,模拟突发网络故障情况108种,验证演练数据1638项。通过把演练工作做实做细,使得一些潜在的隐患得以暴露,强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手,引入PDCA(策划-实施-检查-改进)持续改进机制,不断完善应急预案及应急物资储备。在演练策划阶段,针对已有的和潜在的信息科技风险因素进行充分的评估,有重点地制定演练方案;实施阶段实时跟踪监测各类信息科技风险因素的产生和变化,适时调整信息科技风险应对策略和措施;检查阶段对演练情况展开具体分析,对业务具体造成的影响、潜在风险、变化情况等进行收集整理,作为修订完善应急预案的依据;在改进阶段及时修正、完善应急演练预案。通过对应急演练持续改进,大大降低了信息科技风险事件的影响和损失,有效维持业务的不间断运营。
二、基层行信息科技风险管理工作面临的挑战
(一)信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防范,轻信息科技建设轻信息科技风险防范的现象,致使科技风险管理不到位。二是一线操作人员风险意识淡薄,认为信息科技风险是信息科技部门的事,与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻,非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训,风险管理知识及经验不足,风险识别、风险评估、风险处置能力不强。
(二)信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比如现有的制度在电子设备采购、管理、报废等方面进行了规范,但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定,部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力不足,缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计,缺乏必要的技术力量和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运动员,又是裁判员,不能形成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员不足,技术力量薄弱,科技部门重要岗位缺乏备份人员,内部岗位之间缺乏制约,影响某些规章制度有效落实。
(三)信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面,在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段不足,既增加人力维护成本,又极易产生信息科技安全隐患。三是IT服务外包需进一步规范,在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管,在努力提高服务水平的同时,最大限度地保护信息安全。
三、基层行信息科技风险治理展望
(一)加强内控制度建设,巩固三道防线。内控管理是一项长期而重要的工作,基层行应紧密结合现有业务流程,以完善管理机制、建立健全制度体系为主线,不断优化现有信息系统,提高信息系统基础设施的服务保障能力。信息科技风险虽然体现在信息系统的运行操作环节,但往往涉及业务流程和操作模式的合理性、业务需求的质量等众多方面,防范信息科技风险必须综合考虑业务需求制定、项目实施、软件开发、基础设施建设、运行维护管理等不同环节的各种因素,由业务主管部门、科技管理部门和审计部门协同工作,才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性,明确信息科技风险管理目标,落实信息科技风险管理责任制,将信息科技风险纳入自身的总体风险框架,筑起第一道“思想”防线;其次,在加强信息安全监督、自查力度的同时,还应定期组织辖内信息科技风险的专项检查,对于日常经营管理和生产运行中发现的操作风险隐患,建立信息系统风险持续跟进机制,及时消除风险隐患,坚守第二道“监查”防线;此外,还应明确业务部门责任,将科技风险管理纳入到业务部门日常管理,设立专门的IT审计团队,培养专业的IT审计人才,对信息科技风险进行评估,督促整改,构建“以查带审,以审促查”的第三道防线。
(二)重在预防,完善信息风险防控体系。一是建立信息风险监控平台,通过对现有各类生产系统、监控系统中的可疑数据进行跟踪与分析,从而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式,对于风险程度高、要求响应速度快的风险点,依托短信平台、邮件系统在最短时间内给出预警;对于日常操作和行为信息,采用T+1分析的方式,通过事后追查、责任落实来规避风险。二是完善信息科技风险评估制度,严格控制对应用项目外包、软硬件产品和相关服务外包的风险,建立对外包服务商、产品供应商的信息科技风险的评估机制,实现对第三方全过程的跟踪管理,防范外包服务的实施风险。三是实施风险管理的全覆盖。将全省人员按照省、市、县三级组织实施分级管理,一级管一级,实现从上到下、从省到县的逐级有序结构,使科技工作风险管控的触角延伸到每一个人、每一台计算机、每一项业务。
(三)强化保障体系,持续推动业务连续性管理。首先,应严格执行机房值班制度,每日巡查机房,确保将安全隐患消灭于萌芽之中。其次,还应加强后备电源、备品备件的管理,落实各二级分行机房的第二供电保障渠道,有条件的行采用双回路供电,没有改造条件的自备发电机,对重要设备还应采取热备或冷备的方式,消除单点故障隐患。再次,研发推广桌面(终端)安全系统,包含内网准入、补丁分发、病毒库升级和主动防御等功能,从源头防范,确保网络安全。此外,还必须未雨绸缪,及时修订应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前能从容应对,迅速恢复生产,尽可能降低事故造成的损失。
[关键词]图书馆网络 信息系统安全 图书馆危机 危机管理 网络安全
[分类号]G250
1 引 言
在图书馆资源不断网络化数字化发展的今天,图书馆网络信息系统已经成为图书馆工作至关重要的基础设施之一。现代图书馆的绝大部分服务依赖于网络信息系统,失去了网络系统的支持,图书馆几乎无法为读者提供任何服务(如2009年初,国家图书馆电子资源数据库登录系统出现故障,系统瘫痪近7小时,导致众多读者不能查阅资料)。更为可怕的是,一旦图书馆网络信息系统遭到无法恢复的破坏,图书馆不但面临巨大的经济损失,还会造成某些不可预期的后果。
国内图书馆界对图书馆网络信息系统安全防护已有很多研究,但是极少有学者从危机管理角度阐述对图书馆网络信息系统的安全管理。根据刘兹恒先生的定义,“图书馆危机是对图书馆系统造成严重威胁、需要图书馆人立即反应的高度震荡状态”。因此可见图书馆信息系统的故障和灾难性损毁将会是造成图书馆危机的一个重要动因,当图书馆信息系统出现故障和安全事故时,需要管理人员迅速反应,及时做出应对方案,弥补灾害带来的损失,尽快恢复和重建服务。
2 图书馆网络信息系统危机分析
2.1 图书馆信息系统危机的分类表1对图书馆网络信息系统可能遇到的危机进行了分析,自然灾害造成的危机发生频率最低,但影响最大危害最深,而网络信息系统内部造成的危机发生概率较高,危害程度较低。从管理角度看,根据造成危机的原因不同,一般可以从机房环境设施、安全防范系统和网络信息系统以及人员管理四个方面进行控制和防范。
2.2 图书馆信息系统危机管理流程
很多学者都提出过危机管理流程的模型,比较著名的有罗伯特-希思的4R模型,米特罗人和皮尔森的5阶段模型。图书馆信息系统安全危机也可以从预防和检测、损失控制和工作恢复以及危机过后的评估和学习三个主要阶段进行管理。在危机未发生时,删定有效的预防和检测措施可以最大可能将危机发生的概率降至最低,是危机管理最有效的途径,也是危机管理的重点。危机已经发生,迅速应对,将损失控制在最低的水平,能够有效的控制危机造成的损失。危机过后,评估危机所带来的损失,从危机中学习经验教训,改进和弥补工作中的漏洞,可以有效避免下一次危机的发生。危机的评估和学习也包括从其他网书馆所发生的危机中汲取教训,分析其他图书馆产生危机的原因,对照本馆的工作强化危机管理工作。
3 网络信息系统安全危机预防和检测
在危机尚未发生之时,设定缜密的危机预防和检测策略,尽最大可能降低危机发生的可能性,是危机管删的第一阶段工作,也是危机管理最为有效的手段。
3.1 系统运行环境的危机预防策略
网络信息系统运行的环境安全是网络信息系统正常运转的重要荩础。环境安全主要包括机房选址、机房抗震防洪能力、防雷电、电磁屏蔽、通风系统、供电系统、防火系统、排水系统以及安全保卫系统等。国家颁布的GB52074~2008《电子信息系统机房设计规范》明确规定,机房根据所承载服务的重要性分为A、B、c三个等级,一般来说普通图书馆包括高校图书馆和一般省市级公共图书馆应划定为B级,即“电子信息系统运行中断将造成较大的经济损失;电子信息系统运行中断将造成公共场所秩序混乱”。规范要求“B级电子信息系统机房内的场地设施应按冗余要求配置,在系统运行期间,场地设施在冗余能力范围内,不应因设备故障而导致电子信息系统运行中断”。
各级图书馆应根据实际情况,按照机房等级严格执行设计规范的各项指标。图书馆在进行建筑设计、机房设计时应监督施工设计单位按照标准建设机房,机房已经建好的应对照标准展开安全检查,及时发现安全隐患和不符合标准的地方,能够整改的及时整改,无法变更的要制定严密的应对方案,以其他管理手段弥补硬件E短期难以弥补的漏洞。
3.2 图书馆网络信息系统硬件危机预防策略
图书馆网络信息系统硬件主要由计算机服务器、网络交换设备、存储设备、通信电缆等组成。服务器是提供服务的核心,承载着核心服务的运行,存储设备存贮着大量的重要数据、而交换设备和通信电缆保证了数据高速公路的畅通。
网络信息系统的硬件安全策略主要包括:购置质量优良售后服务有保障的硬件产品;必要的硬什冗余;定时监测硬件运转状况。
3.2.1 选择质量可靠、售后服务优良的产品 硬件设备的质量对硬件设施的可靠性起着至关重要的影响。在设备采购的初期,就应重视产品质量的选择。选择那些口碑好,质量过关,售后服务优良的企业产品是保证硬件稳定运行的基础。采购时多方了解产品性能,仔细对比研究产品相关的稳定性和可靠性参数,选择可靠性高的产品,可以极大地减少图书馆信息系统硬件事故发生的概率。硬件供应厂商应能够提供完善的售后服务,定期升级和检测产品,提供必要的技术培训和及时可靠的技术支持。
3.2.2 硬件冗余必要硬件冗余能够在不增加过多的经济投入的情况下大幅度提高系统的可靠性,保证数据信息安全。硬件冗余主要有线路冗余,交换设备冗余和服务器冗余。对骨干网络设备如交换机、端口模块都应有冗余备份,一旦设备故障能够在短时间恢复服务。关键的网络链接应采用双链路绑定的方式,对外网的链接可以采用多链路负载均衡方式,当单个线路发生故障时,能够及时把负载转移剑其他链路。关键服务器可采用双机备份形式,当其中一个主机发生故障时能够尽快将服务转移到另外一台服务器。
3.2.3 定期检修维护硬件制定合理的硬件检测剧期,定期检测维护硬件。根据硬件的使用情况,监测硬件性能,定期进行硬件维护产品升级。交换机的维护包括日志蚧测,定时检查交换机运行日志,及时发现故障。服务器可以使用专用的服务器监测软件,监控服务器运转状态,负载状态,及时报告各种异常状态。
3.3 网络信息系统软件危机预防策略
图书馆计算机软件系统主要由计算机操作系统软件、数据库软件和图书馆服务软件组成。可靠、安全的软件系统是信息系统安全的重要保证。对软件的管理主要应从以下几个方面人手:系统定时升级、安装杀毒软件、合理的划分权限、严格的安全管理制度。
3.3.1 系统定时升级无论是操作系统软件还是应用软件都不可避免的存在一些潜在的漏洞,病毒和黑客往往能够通过这些漏洞攻破系统,导致服务停止或
数据受损。及时修补系统和软件漏洞是防治病毒和黑客攻击的第一道关卡。系统管理员应安装合适的规测软件,每日监视系统和软件补丁情况,在第一时间为系统打上漏洞补丁,修筑好系统防护的第一道堤坝。
3.3.2 安装杀毒软件 杀毒软件可以有效检测病毒入侵,及时隔离被感染文件。为系统选择合适的杀毒软件,并按时升级病毒库,是有效保护软件系统的第二道堤坝。图书馆所有计算机都应安装杀毒软件,并且定时升级。有条件的图书馆可以购买网络版杀毒软件,由系统管理员控制升级更新,可以监视控制整个内部网络病毒情况,及时隔离中毒的计算机。
3.3.3 合理划分系统使用权限合理划分权限能够保障系统安全运行,减少因内部人员操作造成的损失。系统管理员应该按照馆内业务流程和业务权限准确的为工作人员分配权限,坚持“最小权限原则”,即只给每个人足够完成工作的权限。对于可能对系统造成损失的操作,一定要严格控制,只分配到确有必要的人员于中。加强对工作人员的培训,减少误操作的可能。
3.3.4 制定计算机安全管理制度很多图书馆工作人员缺乏信息系统安全意识,主要表现为使用简单的计算机密码、随意打开来源不明的邮件和网络地址等。这样做很可能给攻击者带来可乘之机。应当加强对图书馆工作人员的网络安全意识教育,建立严格的计算机安全管理规章制度,强调计算机安全的重要性,提高工作人员的计算机安全意识。
3.4 图书馆网络信息系统网络危机预防策略
因网络病毒爆发、黑客攻击、网络设计和管理不善造成的网络拥塞甚至中断是图书馆网络信息系统常见的危机。避免网络拥塞和中断通常可以从以下两个方面进行预防:合理规划和设计网络结构、使用防火墙和入侵检测系统。
3.4.1 合理规划网络 网络结构的合理规划是网络运行通畅的基础。合理的规划能够有效地避免广播风暴、网络拥塞等情况。针对图书馆内不同的部门应划分虚拟局域网,不同的虚拟网之间的信息要通过交换机的网关进行交换,虚拟网的划分可以有效性抑制广播风暴传播的范围。对于异地多个分馆的图书馆应该合理规划线路和路由,保证数据的畅通。图书馆内部网络在规划时要根据用途和实际的流量设计,例如电子阅览室流量较大,需要配置较多的出口带宽,在硬件线路上应给与优先考虑,保证链路畅通。
3.4.2 使用防火墙和入侵检测系统 网络攻击是导致网络拥塞的重要原因。攻击者往往把攻击程序封装在病毒里,当网络内有一台计算机中毒时,中毒计算机就会成为攻击者的工具,导致整个网络瘫痪,用户信息被盗。使用防火墙和入侵检测系统可以有效的防控这类病毒的爆发。防火墙可以是软件形式,如个人电脑上安装的个人防火墙,也可以是硬件形式,通常为了检测速度更快,网络上使用的是硬件防火墙。防火墙主要作用有三个:保护内部网络、控制访问内部网络、防止内部信息外泄。
入侵检测技术是主动保护自己免受攻击的一种网络安全技术。入侵检测系统能够根据内置策略监测网络中的异常行为,当入侵检测系统发现某些违反规则的行为时会通知防火墙系统封闭攻击来源的IP地址或端口的数据包。入侵检测系统和防火墙联动能够有效的应对网络攻击,使得网络信息安全防控手段更为完备。
4
图书馆网络信息系统危机的应对和控制
4.1 建立可靠的容灾系统
建立可靠的容灾系统,是网络信息系统危机管理的重要措施,当灾难不可避免的发生之后,唯一能够减少损失的就是使用备份的数据尽快的恢复系统。国内已经有部分学者对此展开较深入的研究。研究内容包括数据容灾的内涵与分类、容灾技术应用、容灾策略、容灾系统设计。其中,袁俊较早对图书馆数字资源的容灾问题进行了探讨。提出容灾是一项系统工程,阐明单点容灾、异地容灾和容灾公司是数据容灾的3项策略。喻晓和对数字图书馆的容灾模型进行了研究,主张建立容灾系统平台,保证数字图书馆的安全运行。李宇、庸俊重点介绍了备份和容灾采用的各种技术,提出了使用免费开源软件实现异地容灾的新方法。
信息系统容灾备份必须满足三个要素,也称为容灾的“3R”,即冗余(Redundance)、远程(Remote)、全方位复制(Replication)。冗余指设备要有一定的冗余性,包括服务器冗余、硬盘冗余、网络链路冗余等。远程,应当在灾害可能发生的一定范围之外进行备份,才能避免因地震、火灾等巨大灾难带来的重大损失。全方位的复制,不仅仅包括数据的备份,也应包括系统的备份。
根据1992年Anaheim制定的国际标准SHARE 78的定义,容灾备份中心自动异地远程恢复任务被定义为7种层次。
表2显示了各种容灾级别的恢复指标。RTO(Re,eovery Time Objective)指恢复时间目标,是指灾难发生后,从系统停机导致业务停顿开始,到系统恢复可以支持业务恢复运营之时所需要的时间。RPO(RecoveryPoint Objective)指恢复点目标,可以是上一周的备份数据,也可以是上一次交易的实时数据。图书馆应根据服务和数据的重要性判断应采取的容灾级别需求,对待非常重要的数据一定要采取远程异地备份,对待服务级别高的数据要采取能够RTO尽量小的容灾级别。
4.2 制定严谨有效的危机应对方案
科学、严谨、有效的危机应对方案能够保障在危机发生之时,图书馆工作人员有章可循,迅速投入到危机应对和控制工作中去,是危机管理工作中非常关键的工作。危机应对方案可以根据危机产生的原因类型和产生的结果类型来划分。例如图书馆机房火灾应急预案、图书馆机房漏水应急预案、机房电力系统故障应急预案,图书馆网络拥塞应急预案、图书馆网络病毒爆发应急预案、图书馆服务器硬件故障应急预案、图书馆服务器软件故障应急预案等。在制定预案时,应优先考虑工作人员生命安全,在保证生命安全的情况下尽量抢修服务和数据。编制预案的格式和方法可以参照《国家突发公共事件总体应急预案》以及《国务院有关部门和单位制定和修订突发公共事件应急预案框架指南》。应急预案主要包括以下内容:编制目的、危险性分析、应急组织机构与职责、预防与预警、应急响应、应急结束、应急物资和保障装备等,其中应急响应一项中应当包括详尽的应急处置方案。
为保证危机应对预案的科学有效,应做好以下三个方面的工作:从图书馆实际情况出发,彻底摸清图书馆实际情况,充分考虑和尊重图书馆一线骨干技术人员的意见;方案应经过相关的专家论证,充分征集各方意见,保证方案的专业性和可靠性;方案应经过实践演练,并在演练和实践中修正方案中不合理成分。
4.3 正确有效的执行应对方案
建立责任明确的危机应对组织是危机应对预案能够得到正确执行的关键。在图书馆内应当成立以馆长和技术骨干为主要负责人的危机应对组织。根据不同的危机状况成立相应的处理组织,明确组织内成员的角色,清晰划分责任。对于可能出现的各种风险,要尽量详细的规定责任到人,以免出现无人负责的情况。
在危机尚未发生时,针对可能发生的危机进行演练,按照危机应对方案的策略应对和控制危机是保证危机应对方案能够被争取执行的必要保障。图书馆应把危机预防策略制定成日常的工作制度,在日常工作中贯彻实施。经常组织图书馆工作人员针对可能发生的危机进行预演,强化危机意识,训练员工应对危机的能力。在正规的危机演练后总结和评估危机演练的成果,根据演练中出现的问题修改和完善危机应对方案。
5 图书馆网络信息系统危机后的评估和学习
5.1 危机后的评估
通过危机评估,图书馆确认危机带来的损失程度,判断其对图书馆工作造成的影响以及其对图书馆中长期发展带来的隐患。评估危机所带来的损失要从图书馆内部和图书馆外部两个方面进行,对内造成的经济损失、工作人员人身安全损失、工作人员的心理损伤等,对外给读者造成的损失、图书馆声誉的损失等等。评估危机工作应由图书馆领导、工作人员和外部专家共同组成,方能找到危机发生的真正原因,从而对危机管理工作作出正确的评价和判断。
第一部分:20__年工作总结
20__年在公司“效益质量年”的定位目标指导下,紧紧围绕公司“加强管理、保证质量,降低成本、提高效益,深化改革、强化支撑”的网络运维方针,确保网络运行质量,加强了基础管理、网络优化、大客户支撑以及安全生产等方面工作力度,积极开展降本增效活动,取得了一定的成绩,现对全年工作总结如下。
一、加强基础管理工作
我班组负责全区的网络的维护、技术支持工作,为了更好的在数据网络中开展各项数据业务和增值业务,我班组在中心的领导下严格落实省公司精细化管理的要求,按照“共识、细化、落实”的六字方针,坚持严格基础管理工作,一年来,我班组坚持不断完善客户的资料工作、各种网络设备以及大客户的应急预案等各项基础管理工作,特别是随着三标一体以及内控工作的深入开展,更是要求我班组对担负的各项工作必须有记录,包括资料统计、障碍统计、网络分析统计等,并且按照部门的各项规章制度和管理办法,优化了各项工作流程,努力做到细化到人、优化到事、强化考核,确保提高员工工作效率,从管理中创造效益。
具体工作有:
1、按照维护规程严格执行各项维护作业计划,结合内控,加大了对作业计划、各种日志、记录表格、安检记录等各项维护作业计划和巡检的检查力度,保证内控审查可以顺利通过,并根据实际工作需要不断完善和更>!
2、完善了对数据网络各种统计维护资料并及时更新,保证基础资料的准确性、完整性和及时性,安排专人制作了数据网络资料库程序并对该资料库进行不断完善和更新,特别对于光纤专线客户和VPN客户的资料管理,对涉及到的所有信息都在资料库中均有详细的体现。对全区的IP地址进行及时的备案并不断完善IP地址管理系统,这些都为今年的全区IP地址优化工作打下了坚实的基础。
3、为了更好地开展业务,理顺流程,制定并完善了FTTX业务、基础数据业务、VPN业务、数据设备维护等各种流程和基础数据网、IP城域网的分析作业指导书,并结合内控和三标一体工作的要求对以上规范进行完善,并按照省运维文件的要求及时更新和调整各种数据网络设备的应急预案,强化细化了应急预案的执行功效。
4、为了提高班组员工的综合素质,我班组加强了对员工业务、技术、安全、保密、形势教育等各方面的培训,今年累计进行培训32次,内容涵盖业务、设备、维护经验及本专业最新技术等,并组织培训效果测试11次,取得了良好的效果,特别针对新员工,我班组制定了专门的培训计划并按照计划进行实施,有力的提高全班员工的维护素质。
5、在公司及部门领导下,积极参于公司举办的数据专业维护规程及宽带ADSL技能竞赛,我中心取得了第一的优异成绩,并且选派两名技术骨干参加省公司组织的华为宽带ADSL技能大赛,取得了全省三等奖的好成绩。
6、配合网运部组织开展了多次对各县公司及营销中心的维护知识培训,其中包括城域网交换机的培训、ATM设备IP化改造的培训等技术培训,还安排专人去县局进行现场讲解,取得了良好的效果,提高了县公司维护人员的综合素质,为交换机权限下放打下了坚实的基础。
7、为了达到内控的要求,我班组通过对__*地区市内97个模块局进行巡检并在数据设备上粘贴了资产标签,满足了内控的要求。
二、强化维护手段,积极开展将本增效活动,积极优化网络,发挥网络最大效益
一年来,我中心维护工作未发生重大故障,各项考核指标均达标。其中省内考核互联网时延≤40ms,实际为≤10ms;本地IP客户考核接入认证平均响应时间≤8s,实际为≤3s;基础数据网用户电路考核故障修复及时率≥99,实际为100;数据设备考核故障修复及时率≥96,实际为100;大客户业务考核响应及时率≥99,实际为100;考核电路开通及时率100,实际为100;重大障碍上报及时率为100,圆满地完成了上半年的各项维护指标。
1、通过充分利用现有的城域网网管,我中心加强了对网络流量、设备利用率、日志及网络安全的监控及分析,分析范围由原来城域网几台设备扩大到整个城域网汇聚层以上设备,并新增了对ATM网络流量的分析。结合网络分析情况,及时地对网络进行优化和调整,三月份新增城域网出口GE中继一条,通过流量调整,缓解了城域网出口流量激增所带来的压力。由于宽带Bras汇聚Ip上行设备的LPUK板卡和LPUH板卡接入客户不同,__*地区局下挂各县宽带客户较多,__*地区局下挂各县宽带客户较少,通过将容量较大的LPUK板卡调整到__*地区局,并将武安IP上行的宽带客户及时的调整到__*地区BRAS,缓解了由于__*宽带客户激增带来的板卡利用率过高问题,保证了__*方向宽带业务的发展,随后又对__*地区Bras资源进行了适当均衡,使得全区Bras的资源得到了充分的利用。六月份对城域网核心层设备__*地区局7609新增加一条至__*地区方向的GE中继,充分缓解了西部流量大的问题,通过安排专人对网络中的各种设备定期观察,及时地发现网络中的安全隐患并给予解决,极大的保证了业务的顺利开展。
2、配合网运部做好宽带MA5300绑定用户端口工作,截至目前全区主要县市MA5300节点已实现用户帐号及端口绑定。为了实现PPPOE 绑定测试,对全区MA5300设备的命名重新规范并进行命名更改,同时我中心__*根据端口绑定工作的需要发明了小程序,使得帐号绑定可以实现批量操作,将几十个人几天的工作量压缩到了一个人几个小时就可以完成,从人力成本上起到了将本增效的作用。
3、对__*地 区路华为S8016交换机、华为S8512交换机及核心层7609路由器进行了升级打补丁操作,解决了由于客户网络攻击及版本不稳定而可能造成系统瞬断的隐患。并对华为UA5000宽带设备进行统一升级,保证软件版本的同一性。
4、在全省率先开展了华为UA5000和MA5300宽带设备帐号和端口的绑定测试工作,并初步测试成功。由于我中心测试工作进展较早,所以省公司指定我公司和沧州分公司作为试点单位对各型号的BRAS和DSLAM进行测试,测试成功后将在全省进行推广,通过测试为我公司下一步的宽带账号和端口绑定工作打下了坚实的基础。
5、完成了城域网设备具备MPLSVPN条件的MPLS的部署。通过此次部署,我公司今后可以开展跨域的VPN业务,对市场部门开展新的业务起了有力的支撑。
8、实施了IP地址回收工作,
三、面向用户、面向市场,做好业务支撑
我班组按照部门一贯倡导的“维护就是经营”的大经营观念,整个维护工作紧紧围绕以效益中心,加强对客户、对市场的支撑力度,全力作好后台支撑工作。
2、逐步建立了金银牌大客户电路资料台帐,并结合金牌大客户使用数据电路的实际情况分别为其制作了客户电路应急预案。为了实现大客户等级化我中心安排对大客户电路用不同颜色的插塞来进行识别;为了体现对大客户单位的差异化服务,我班组定期对金牌大客户进行巡检,并按月制作大客户单位的网络运行报告。
3、在省公司网管中心指导配合下完成了对宽带VPDN技术的测试工作,并对__*地区市体彩大客户利用该技术进行组网工作,涉及体彩客户约300余户。
4、全年为几十个大客户制作了大客户电路接入方案,并到各个大客户提供支撑数十次。配合大客户服务部积极对教育局校校通客户内网故障进行技术支持,并完成了多个校校通客户VPN改IP专线的工作,尤其是对于__*地区区电教站,我中心前后对该客户进行了10余次技术支持。
5、面对福彩窄带VPN客户不断增长的情况,我部积极协调设备维护中心,新增了窄带A8010接入服务器至__*地区、__*地区汇接局中继4条,满足了客户数量增长的需求。
6、为了及时了解县公司以及各营销中心宽带维护情况,我中心安排专人到中华南营销中心、__*地区、__*地区、__*地区等县分公司进行现场测试,并深入到客户家中进行了解,掌握了全区客户反映比较突出的问题并制定了相应的措施,取得了很好的效果。
7、全年网络维护班组受理各类客户技术咨询上千次,受理县市营销人员技术问题达3000余次,强有力的支撑了前台维护人员,由于机房人员服务水平高、服务态度热情,深受广泛的好评。为了保证增值业务的顺利开展,班组在部门安排下多次派专人到各县分公司和营销中心进行现场技术培训,通过多次的培训,有力的支持了各营销单位业务的顺利开展。
四、抓紧安全生产,强化安全意识
一年来,我班组认真贯彻公司对安全生产工作的一系列指示精神,牢牢把握安全生产工作原则,坚持“安全第一、预防为主”的方针,认真落实各项安全措施,积极开展安全隐患整改,广泛开展安全教育工作。
1、全年圆满地完成了__*地区局、__*地区局、__*地区局数据设备的安全整治工作,并配合完成了市内模块局的整治工作,达到了安全生产的标准。
2、加大对员工的安全教育培训,在职工中树立“安全第一”的观念。组织员工进行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育达40余次,安全知识答题8次,配合部门进行消防演练4次,并根据根据班组的情况坚持每周一次安全培训和每周一次安全检查的制度。通过采取检查、培训及实际演练相结合的办法,全面提高了员工的安全素质、安全意识和应变能力。在上半年生产楼电梯间着火事件中,我中心5名员工发现后按照消防要求及时向上级汇报并安全的将火扑灭,为公司挽回了损失。
4、加强了机房安全防火、防汛工作。始终把安全防火、防汛当作安全工作的重中之重,开展了经常性的安全检查,要求班组员工熟练“四懂、四会”,熟练掌握初期火灾扑救、防毒面具佩戴、消防水带连接、灭火器等操作。
5、加强网络设备巡检,通过充分发挥IDS和扫描等网络安全系统在漏洞扫描、入侵检测等方面的作用,完善各项网络安全管理制度,细化日常维护、权限管理、检测分析和安全防范流程,有力地抵制了外界对网络的各类攻击。
第二部分:20__年工作思路
20__年我班组以内控工作为契机,不断完善基础管理制度,通过加强网络安全检测,健全综合分析、安全管理、故障分析等制度,强化维护支撑和服务,优化网络结构,强化网络质量,提高网络运行效率,提高维护效益,不断加强安全生产管理工作,深入开展员工培训教育,提高员工综合素质,积极开展将本增效活动,不断提高维护水平,保证各项生产指标。
1、结合内控工作和三标一体工作的开展,继续按照维护规程严格执行各项维护作业计划,加强基础管理,完善部门管理制度,优化管理流程,简化管理环节,努力实现部门维护工作效率最大化和效益的最大化,确保顺利通过各项审查。
2、持续深入开展各种形势的教育学习活动,为员工发展创造良好环境,鼓励员工勤于思考,敢于创新,深入开展学习型班组,加强维护队伍建设,提高维护人员的素质。
3、继续科学管理网络资源,提高网络资源的利用率,做好资源分析预警工作,充分利用网络的资源,使网络资源的效益尽量最大化。继续深入开展将本增效工作,从管理和技术入手,对现有设备进行优化和改造,有效地开展将本增效工作。
4、进一步完善各项应急预案,提高应急预案的可操作性。加强安全教育和应急演练,强化员工应急意识,提高全员应急操作能力。
5、积极配合计划建设部工程建设。配合完成港湾设备替换工作和中华路机房搬迁工作。结合各项工程的建设,优化城域网的网络结构,提高网络健壮性,进一步完善城域网、基础数据网等网络的网络监控工作,加强网络运行状况的分析,为业务发展提供有力支撑,继续不断对网络进行优化调整,使网络发挥最大效益,圆满完成各项维护指标。
6、积极发挥网络安全系统在漏洞扫描、入侵检测等方面的作用,不断完善各项网络安全管理制度,细化日常维护、权限管理、监测分析及安全防范流程,预防外界对网络的各类攻击。
7、坚持以人为本,继续作好安全生产工作,抓好行风建设,提供优质服务,为经营发展保驾护航。
目前,上海数字经济占GDP比重已超50%,占据上海经济的主导地位。2021年1月27日,上海市十五届人大五次会议批准《上海市国民经济和社会发展第十四个五年规划和二〇三五年远景目标纲要》,明确提出,2025年上海数字经济增加值占全市生产总值(GDP)比重预期将超过60%。目前,上海数字经济所涉及的主要产业包括集成电路、云计算与大数据、工业互联网、人工智能、电子商务、网络娱乐、在线教育和在线医疗、在线办公以及在线金融(如数字货币、期货、股市等)等,未来还将包括远程自动化、无人生产系统等,其分布空间涉及到海(航运)陆(传统制造和服务业)空(空运)全方位。数字经济极大地依赖基于计算机网络的互联网,包括专属互联网、公共互联网以及工业互联网。专属互联网专门服务于企业或集团内部,公共互联网服务于大众并连接各种专属网络,工业互联网服务于制造业。这些网络的安全性将直接影响到数字经济的正常运转。所以,构建上海网络安全体系势在必行。威胁网络系统安全的因素非常多,可简单分成自然因素和人为因素。自然因素是指如地震、洪水和飓风以及雷电等恶劣自然现象,它们主要会对网络通信基础设施造成破坏。而人为因素则复杂多样,威胁发起者可从个人直到国家甚至国家联盟,能危害到网络系统的各个组成部分,是网络安全体系所要解决的核心问题,也是本文所要讨论的主要内容。
一、网络架构与网络核心技术
(一)网络架构的本质及其安全问题
从本质上看,网络就是把计算机联接起来的软硬件体系,而把不同国家和地区的计算机及网络相互联接起来就形成了互联网,其中因特网的影响力最大。除了因特网(Internet),美国还控制和运行着别的互联网比如“国际学术网”(BITNET),美国还从2018年开始启动“射月工程”,研发全新架构的互联网,用于替代有本质安全缺陷的因特网。互联网的基础是由地址架构、寻址协议、通信方式、网络设施等构成。地址架构就是构建网络地址的数据格式和表达方式,决定着网络空间的大小和特性,更是攸关网络安全,因特网的大量安全问题本质上就是因特网的地址架构存在严重缺陷并难以克服。寻址协议就是找到网络地址(网络空间)的方法,具体体现为一系列的接口软件,因特网目前广泛使用第四版TCP/IP寻址协议族即IPv4,正在推广第六版寻址协议族即IPv6,这些TCP/IP协议族的知识产权大多由其他国家垄断。通信方式是前往网络地址(网络空间)的道路,目前广泛采用第三代通信方式即IP分组、路由表广播等,对路由表广播的控制权是其他国家实现定向网络干扰或断网、定向窃取网络信息的技术基础,但并未引起我国安全部门的重视。网络设施主要由通信光缆、交换设备、路由设备、根服务器、计算设施、存储设施、操作系统、应用软件等组成,是目前政府和公众对网络安全的关注焦点。
(二)网络的核心技术组成
网络系统主要由网络通信基础设施(如光缆、路由交换器、通信基站、二次电源等)、网络运行系统(如路由系统、数据传输协议)、网络服务系统(如域名系统、用户认证系统等)和网络应用系统(如电子商务、云计算、区块链等)所组成。网络安全体系的构建必须要覆盖这四大组成部分,它们是网络安全体系中的核心技术组成部分,是网络安全体系的基础。一是网络通信基础设施。该部分可分成骨干网和接入网两部分。骨干网络设施是互联网的主动脉,以光纤和相关交换设备为主,在和平时期要确保其绝对安全可靠和高性能运行,以满足各类应用的需求;在战争时期,要尽量确保安全可靠的基础服务,满足特殊应用的需求。要达到这一目的,要保障一定数量的冗余网络设施,也可以研究新型网络技术来综合使用民间通信资源。接入网为用户终端提供入网服务,目前以有线和无线接入方式混合。我们需要提供更多灵活安全的接入方法。但是,无线通信信号更易被截取和受到干扰,所以要加强对无线通信安全使用方面的指导和对频谱资源使用的实时监管。二是网络运行系统。要逐步实现物理层、数据链路层、网络层和传输层等关键技术(协议、算法等)的绝对掌控,以确保网络的安全可靠和高效运行。主要涉及到物理信号的安全收发技术、网络安全接入控制、数据的快速交换和安全路由以及在网上所传数据的隐私性和完整性保护等方面。由于陆地移动用户数量巨大,海上和空中均无法使用有线连接,无线网络的应用越来越广泛。但是相对于有线网络,无线网络更易受到攻击,所以要加大研发和生产无线网络安全方面的技术和产品。三是网络服务系统。互联网的广泛使用离不开各类服务支撑系统,比如域名服务系统以及用户认证系统等。这些系统的安全性将直接影响应用的安全性,它们不仅仅与其所采用的技术安全性相关,更决定于运行和管理系统的组织者。比较著名的服务系统是域名服务系统,它主要负责将用户容易记忆的域名转换成网络数据传输认可的IP地址。目前该系统的运行由其他国家掌管,一旦它停止对某个域名进行解析,其所对应的服务就无法被访问。所以,该系统几乎控制了整个互联网的应用空间,对网络安全的影响巨大。独立的网络安全体系必须要摆脱这样的掣肘,但是要使一个新域名系统得到他人的普遍认可要比实现其技术难得多。所以一种可行的方案是研究多域名系统共存技术,以避免在一棵树上吊死的局面。四是网络应用系统。它是由通过网络所连接起来的各种网络终端设备和运行其上的各种应用软件所组成,主要终端包括服务器、数据库设备、个人终端以及各类传感器和远程控制设备等;应用软件系统更加多种多样,如购物、股票交易和网络游戏及在线会议和聊天等软件。虽然这些系统往往会自带安全机制,但是对于来自网上的安全威胁还是无法独自应对。例如,简单且历史悠久的分布式DOS攻击曾经使得一些著名服务系统瘫痪,如Google和百度浏览系统以及最近的湖南卫视等都遭受过类似攻击。对于来自于网上的安全威胁,我们除了要加强研发、部署隔断和防火墙等被动式防御措施外,更要研究主动式安全防御技术,以尽早发现和消灭安全隐患;同时要加强互联网空间司法刑侦技术的研发,以便于加强互联网空间法治执行的力度。
二、上海城市数字化转型面临的网络安全挑战
上海在数字经济强势崛起的过程中,必将面临诸多网络安全挑战,包括:一是出现更多形式的网络攻击及违法行为。数字时代的网络攻击及违法行为已经发展为以经济利益为目的,有组织、有计划,形式多样、防不胜防。例如:永恒之蓝勒索病毒;隐私窃取并定向诈骗的产业链;社交软件“杀猪盘”;等等。二是网络攻击及违法的技术门槛极低。比如,随意就能网购的改号软件、自动呼叫软件、基站跟踪软件、手机窃听软件、黑客软件等,让犯罪变得越来越便利。三是新的智能设备产生更多新的漏洞。如,居家摄像头、手机摄像头、手机APP、WIFI设备、大数据存储等,更容易被犯罪分子直接调用,导致犯罪门槛下降。四是万物互联的物联网带来全新的安全隐患。比如通过网络远程控制自动驾驶汽车的刹车、转向、油门等,远程从事恐怖活动、不怕追捕。五是数据泄露风险加剧。企业数据、个人信息被各企业及政府机构过度采集,信息泄露渠道过多、难以追责,危害人身财产安全及社会经济安全。六是网络犯罪违法成本过低。由于网络犯罪的隐蔽性、技术性、跨地域甚至跨国性,导致刑侦难度大、成本高,加上立法不够完善,造成网络违法成本相对过低。七是互联网缺乏自主可控性。目前我国互联网主要依赖其他国家因特网,随时面临其他国家的互联网霸权和长臂管辖。比如,2018年美国废除了《互联网中立法案》,可以合法使用因特网达成其政治、军事和经济目的。2020年美国宣布“清网行动”:取消中国通信公司在美国的营业执照;美国禁用中国APP;禁止中国手机预装美国APP;禁止中国公司提供云服务;禁止中国公司竞标海底光缆;等等。
三、上海数字化转型中网络安全体系建设的建议
上海在全面推进城市数字化转型的过程中,应重视数字化转型所面临的网络安全新风险及新挑战,系统性地做好网络安全防范措施,化被动为主动,为上海数字化转型保驾护航。一是进行完整的五个层级的网络安全系统化建设,而不仅仅是把资源倾注在传统网络应用安全和网络平台安全上。网络安全分别涉及感知层、节点层、汇聚层、平台层、应用层等五个层面。如果感知层十大物理参数被非法篡改,将会导致全部网络运算出错,甚至酿成重大事故。网络节点层包括通信线路、网络设备、计算终端,其核心威胁是美国停租网址域名。网络汇聚层属于逻辑分析和协议组网层,包括宽带、电视、电话、物联网等,其核心威胁是美国禁用关键网络知识产权。网络平台层提供数据、存储、计算、连接等网络服务,常见安全问题有病毒、木马、肉鸡、黑客、后门等,其核心威胁是网络规则制定者监守自盗。网络应用层提供政府、企业、个人、环境等网络应用,其核心威胁是“定向断网停服”,例如美国制裁华为、TikTok、微信、中芯等。因此,上海要从五个层级上全方位进行网络安全建设,保障经济运行安全。二是化被动为主动。每年进行网络安全演练及网络对战攻防测试,主动暴露网络安全问题,提前制订应急预案,而不是仅在出现网络安全问题后被动应对。三是加大五个层级网络安全的研发投入,开展核心技术攻关。要解放思想,放弃成见,打破当前因特网利益圈的垄断话语权,按“揭榜挂帅”“英雄不问出处”等思路,支持鼓励各方力量参与“掐脖子”核心技术的科研攻关。互联网的基础是由地址架构、寻址协议、通信方式、网络设施等构成,其中地址架构、寻址协议、通信方式是互联网核心技术中的“核心技术”。如果还是像过去一样只关注网络设施的安全,那就永远摆脱不了对他国(如美国)的依赖。四是完善上海网络安全相关法规,普及网络安全及法律法规教育。大力宣传各种网络违法行为的特征和危害,增强上海市民网络安全意识和对网络违法的认识。根据上海市数字化转型的实际情况,及时制定特定领域的政策法规,比如大数据安全指导意见、云计算安全指导意见等,并加强网络安全法规的执法。五是加强互联网企业网络安全监督及指导。对互联网企业,特别是龙头企业,应当建立长期的网络安全监督及指导工作机制,协助企业健全完善数据安全管理,预防用户数据泄露。同时指导互联网企业学习并严格执行国家网络安全相关法律法规及技术标准,如《网络安全审查办法》《人工智能终端设备安全环境技术要求》《移动互联网+智能家居、智能音箱安全能力技术要求和测试方法》等,提升企业的网络安全意识,规范人工智能、物联网设备等安全产业健康发展,切实引导互联网企业积极承担法律责任、社会责任和道德责任。六是加大网络安全基础设施建设,建立网络安全长效机制。网络安全是点线面结合的系统性工作,要强化网络安全机制,做好各种网络安全突发事件的应急预案及相关演练,做到有备无患。同时加强网络安全的基础设施建设,包括数据备份、网络备份、多网并行等,保护好数字资产的安全。七是加大网络安全人才的引进和网络安全培训。网络安全所面临的环境复杂多变,安全威胁种类繁多、隐蔽性极强,相关处理技术和方法高科技含量高,不是一般用户和中小企业所能单独应对的。要构建完善的网络安全体系,必须要加强相关专业人才的培养和队伍建设,从网络安全措施的落实、安全隐患的侦察、预警和安全事件的处置及善后等方面提供全方位的支持和服务。政府要进一步支持高校和研究机构设立网络安全专业和学科以及与法律相关的交叉学科,培育网络安全方面的专业技术人才和法律方面的复合人才。在鼓励研究机构和企业研发生产便于普通用户使用的网络安全产品的同时,需要建设服务于大众以及不具备应对复杂网络安全环境能力的企业和组织的专业队伍,帮助他们配置网络安全系统,预防网络攻击,解决网络安全事件和协助相关取证工作,以及恢复被攻击破坏的系统等。人才是网络安全最重要的保障,建议上海加大引进网络安全及网络核心技术人才,同时利用上海丰富的高校资源,加大网络安全领域专业人才培训,提升上海网络安全整体保障能力。
作者:伍爱群 姜胜明 同济大学 单位:上海航天信息科技研究院 上海海事大学
关键词:医院信息化建设;网络;安全防护
随着我国医院信息化建设速度越来越快,HIS、LIS、PACS、EMR等信息系统的应用,既提升了医院医疗信息化水平和医生工作效率,也方便了病人的就诊,同时医院也更加地依赖于网络。由于人员的不规范上网行为、病毒、木马等安全隐患,给医院网络带来了巨大的威胁。对此医院要清晰地意识到网络安全隐患所造成的危害,切实提高思想意识,高度重视网络安全防护,对网络安全隐患要进行有效的防范,促进医院信息化建设的健康发展。
1医院信息化建设中网络安全的重要性
近年来我国信息化进程越来越快,医院信息化建设也取得了一系列显著成果,如银行事务、电子邮件、电子商务和自动化办公等应用,在为社会、企业、个人带来方便的同时,由于互联网具备较强的开放性、互联性、匿名性等特征,也将引起网络应用安全隐患。对医院来说,在应用网络通信技术、计算机技术以后,将从整体上促使自身运行效率的提升。但是因为医院业务流程非常繁琐,以门诊系统为例,在挂号、就诊及化验等流程来看,显得过于复杂,而应用先进的信息技术手段,能够在医保卡上准确、完全记录各方面信息,医务工作者也只需要通过相关证号就能够将患者信息调出来,非常方便。由于医院信息化建设中需要与互联网进行连接,因而也容易受到各种外部威胁,产生很多网络安全隐患,这点需要医院注意。
2医院信息化建设中的网络安全隐患
医院中心机房是医院信息的核心,也是医院网络的汇总。一旦出现问题,轻者部分服务开启不了,重者网络瘫痪,将严重影响整个医院的正常运行与管理,为医院与患者造成巨大损害。主要存在以下几个问题:(1)中心机房出入人员太多而且人员比较杂,特别是机房设备上架、维护等,相关工作需要人员参差不齐,没有统一管理;(2)工程师在中心机房维护时,会应用到各种外接设备(如:移动硬盘、U盘),这样会引起网络安全隐患,可能导致病毒侵入现象,对医院各项数据、信息造成威胁[1];(3)中心机房无环境监控系统,信息中心人员只有在出问题的时候才会去中心机房检查,导致中心机房无实时监管,而中心机房的配电系统、温湿度检测、UPS机组监控系统等都会对各设备的正常运行产生影响。医院网络分为内网和外网,其中内网主要分为无线和有线:许多医院院内无线网络存在长期弱密码,且长期不更新密码,IP动态获取等安全隐患。而有线虽然划分了VLAN,但存在IP与MAC地址未绑定,缺少上网认证等安全隐患。而外网主要包括医院OA、网站、医院质控上报及院内人员上网浏览查资料等。存在的安全隐患有:一是医院网站存在被黑客攻击的风险,如果医院网站被黑后,就会泄漏病人信息、药品信息、费用信息等重要数据;二是由于医院许多医护人员缺乏上网安全意识,随意在网络系统中上传或下载文件资料等,容易感染病毒、木马等安全问题,为黑客、病毒等非法入侵创造了可乘之机,会让医院系统网络出现断开,服务器变得瘫痪,病人信息被盗,数据出现丢失等。严重影响医院网络安全、稳定的运行。
3医院信息化建设中的网络安全防护策略
3.1完善网络安全管理制度
(1)建立和完善相关的安全管理制度,保证其具备较强的可操作性,如:信息系统管理制度、中心机房管理制度、网络安全管理制度、人员值班备班制度及其他相关制度等。必须要严格执行这些规章制度,实行有效的奖惩措施。对于网络维护要明确责任,谁操作谁负责,同时每年至少演练一次,保证安全。(2)制定科学合理的网络应急预案,建立网络安全应急小组,从事件严重程度出发,采用相应的处理办法。同时信息中心人员也应定期或不定期进行巡检,发现问题,及时解决问题。(3)加强培训,不仅仅是信息中心人员培训,还要对全院每个职工进行培训,提高全院人员对网络安全的意识。要定期对网络管理人员作出考核,保证其具备胜任本职工作的能力。(4)对上网用户进行认证,特别是上医院外网时更要做好认证,避免出现风险。
3.2加大网络边界安全防护力度
为避免医院信息化建设中出现网络安全问题,应该采取如下措施:(1)从医院网络架构出发,内外网要进行物理隔离,访问外网的计算机只能访问外网。同时搭建上网行为安全管理器,屏蔽除安全网站外的所有网站,如需要访问必须向信息中心备案,并对网络攻击行为要有预警和短信提醒功能。而对内网的安全应要有更高要求,应该部署相关的杀毒软件和桌面管理器。(2)防火墙。对内外网数据通信进行扫描,在发生恶意Javascript攻击、拒绝服务攻击等网络攻击后,能够有效进行过滤,将无关端口关闭,禁止来自于非法站点的访问请求。(3)入侵检测系统。根据安全策略库相关内容严格监控通信状况,在发现有与安全策略不符的疑似入侵行为后,将第一时发出告警提示,且入侵检测系统能够与防火墙进行联动,对各种攻击行为进行组织[2]。(4)局域网划分。通过科学合理地划分医院内部员工对信息资源的划分,能够最大限度降低维护与管理的工作量,避免受到广播风暴影响。(5)边界恶意代码防范。从数据中心业务风险分析与等级保护三级对边界恶意代码防范的要求出发,将防病毒产品设置在互联网边界,防病毒产品能够检查HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容,并对存在的病毒进行消除,支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码,同时能够定期升级病毒库版本。
3.3加强网络安全监测管理
(1)网络实时监测。监测医院网络中实时数据传输状况,相关监测结果通过数字压缩功能传输至监控中心,当出现网络安全问题则立即发送报警,确保第一时间处理,为医院网络安全提供可靠保证,提升网络安全监测效果。(2)日志文件查询。通过查询监控对象统计和分析,确保能够及时、准确、全面了解医院网络整体状况,对于出现的安全隐患可以尽快采取解决措施,避免发生故障与问题[3]。(3)中心机房监控系统。医院信息中心要对中心机房配电系统、UPS机组监控系统、温湿度检测等系统的实时监控。提高机房管理工作效率并提供安全舒适的工作环境,提升网络的安全性。(4)医院网站托管第三方。网站的应用服务与数据库分离(应用服务器在第三方,数据库在医院,通过接口连接),同时与第三方签定各项保密协议。(5)云安全管理平台。通常要利用虚拟化平台,集中管理所有的安全措施,主要包括数据防丢失、安全信息与事件管理及终端保护方案等,可以提供相关的云服务,通过虚拟化的形式为医院节省维护成本。
3.4数据库安全管理
(1)涉及到数据库的主要硬件有服务器和存储设备。对于数据库服务器可以使用集群方式,防止因一台服务器停用而导致整个医院信息系统瘫痪,同时也防止医院系统使用高峰时,出现系统响应不及时等情况。而存储设备可以使用磁盘阵列(如:RAID5、RAID6),磁盘阵列上配备有热备盘,提高数据传输速率与系统的稳定性。(2)细分数据库访问权限,可以分成超级用户、管理用户、各系统用户等。对超级用户来说,可以访问整个网络数据库,并由医院信息科主管负责,定期更新数据库密码。对管理用户来说,负责管理数据库中的数据,包括备份数据、库锁管理和数据库内所需的表样式等。对各系统用户来说,只可以对自用数据库进行访问。若是管理员数量较多,要以基本用户设定为基础,为所有管理员设置一个自用用户。(3)医院还要部署相应的审计软件与防统方软件,监管并记录每个用户对数据库的各类操作行为与该计算机的IP地址[4]。对重要的业务数据库进行异地备份,可采取完全备份或增量备份,如果发生业务数据丢失或人为破坏,可以尽快地恢复相关数据,保证业务数据的完整性。只有这样才能进一步提升医院信息系统的安全性。
4结语
在网络信息时代下,医院信息化建设步伐也逐步加快,但是也出现了很多安全隐患,只有保证网络的顺利运行,才有利于医院各项业务与服务工作的开展。医院要高度重视网络安全防护的重要性,既要采用先进的技术手段,还要建立完善的规章制度,各级领导与普通医务工作者都要提高警惕,共同参与到网络安全维护工作中,为医院信息化建设铺平道路。
参考文献
[1]牛永亮.浅谈医院信息化建设中的网络安全与防护措施[J].经济师,2018,(01):234-235.
[2]鲍怀东.医院信息化建设中的网络安全防护[J].电子技术与软件工程,2017,(05):221.
__年,市交通运输局信息化建设工作在市委、市政府的正确领导下,在局党组的高度重视与大力支持下,紧密围绕目标任务,结合市交通运输信息化建设的特点,继续以“重调研、定规划”的指导思想,稳步推进__公路运输枢纽组织管理中心信息系统(一期)项目建设,加快交通科技推广应用,加大专业技术人才引进,较好地推动了市交通运输行业信息化的发展,现将主要工作总结如下:
一、本行业信息化现状
近年来,市交通运输行业对加快信息化发展,以信息化促进交通运输的发展理念已取得共识。市交通运输局进一步加大信息化建设投入,加强信息化项目的开发和应用,积极推进系统整合,采用信息化手段推进管理和服务的创新,我市交通运输信息化建设和应用水平进一步加快,为提高交通运输行业管理和服务水平,促进现代交通运输业的发展发挥了积极作用。虽然我市的交通运输信息化建设取得了显著的成绩,但与交通运输发展的需求、公众出行的要求和信息化发展需要相比还存在差距。一是信息资源缺乏有效共享,二是综合管理信息化水平有待提高,三是应急指挥和决策支持有待加强,四是保障体系建设滞后。
二、信息化工作开展情况及取得的成效
__年,市交通运输局的信息化建设在统一网络、整合资源、构建平台、开发应用等方面取得了重大进展,基础设施建设不断完善,政务信息数据库强力推进,应用系统的开发与推广成效明显,管理效能普遍提升。
(一)我市公路运输枢纽组织管理中心信息系统一期工程项目建设稳步推进
__公路运输枢纽组织管理中心信息系统一期工程项目是市交通运输局__年重点建设项目,也是今年信息化建设工作重点。__公路运输枢纽组织管理中心信息系统一期工程项目的信息化单项投资__万元。目前,项目已完成招投标程序,全面进入建设阶段,项目预计__年初竣工。
(二)市民卡工程(交通一卡通系统)前期工作开局良好
为了有效开展市“交通一卡通”项目的建设工作,确保项目顺利进行和实施。我市交通运输局邀请市相关单位组成“__市交通一卡通系统”联合开展调研工作,已完成了高质量、可操作性强的调研报告,为“__市交通一卡通”项目的建设夯实基础。
(三)城市出租汽车服务管理信息系统试点工程申报筹备工作有条不紊
__年__月,我市被确定为全国城市出租汽车服务管理信息系统第二批试点申请城市之后,南宁市交通运输局全力做好南宁市城市出租汽车服务管理信息系统试点工程申请。目前,项目的《工程可行性研究分析报告》已基本通过交通运输部审核。项目初步设计方案预计于年底上报自治区交通运输厅审核。
(四)政府信息公开与联络沟通能力有效提升
为进一步改进工作方式,提高办事效率,增进南宁市交通运输局与各级部门和公众的联络与沟通,一是继续加强与市城乡数字化建设办公室的沟通,积极配合上级和业务指导部门开/!/展各项工作,按时、按质、按量的完成市政府下达的各项工作指标。二是积极做好政务信息网的政务公开与信息服务,按时完成网站的信息录入和更新等日常工作。三是认真做好政务共享信息的采集、编辑和工作。截至__年,在三个平台上传稿件:局政务门户网站432篇、市政府信息公开目录__篇、区政府信息公开统一平台158篇,圆满完成了自治区政府与市政府下达的共享政务信息任务。
(五)行业监管系统逐步深入
在行业监控信息化建设工作中,我市交通运输局重点着手交通运输视频远程监控平台与市运营车辆安全监控与调度系统的建设、及智能交通先进技术的推广应用。目前,以上系统均已启动运行,成效明显。
1.视频远程监控平台的建设是南宁市交通运输局今年的亮点工程之一。除了继续完善为民办事实项目:“在公交车上安装车载监控系统”接入平台的同时,更是充分利用客运站场站内的监控视频资源,设计整合已构建完成的五大客运站与检测站视频监控系统的视频数据,为整个南宁市城市客运视频远程监控大平台的建设夯实基础。
2.客运车辆安全监控与调度系统总平台构建完成。此平台可实现公交车、出租车辆、危险品车辆、客运车辆、旅游客运车辆及货运车辆安全的监控与调度,可实现从源头上和动态中对南宁市入网机动车辆进行全天候、连续、实时的定位及联动应急处置。截止20__年10月,南宁市已有2770台公交车、5680台出租车、120__多台货车,4000多台客车,1000多台危险品货车安装了GPS终端。目前,整个交通营运车辆安全生产管理体系基础框架已构建完毕,运行效果显著。
(六)交通运输科研力度进一步加大
市交通运输局结合行业特点,积极尝试和推广应用智能交通信息技术,改造传统的交通运输生产运营的各个环节,对网络、网络互联、互联网络环境下 的信息、查询、监控及调度等信息技术进行深入研究,对全市交通运输信息化的管理和信息资源的开发进行理论研究与实践应用。今年,南宁市交通运输局先后完成《__城市客运发展年度报告》、《市城市客运综合信息管理系统的研究与应用》等课题报告的编制与调研工作,圆满完成广西交通科技重点课题《__市交通一卡通系统的应用研究》的申报与技术答辩工作。
(七)信息化人才保障进一步加强
今年,__市交通运输局在加强信息化人才保障工作从两个层面着手:一是通过公开考试新招聘了六名本科以上学历的信息化专业技术人员,有效地补充了南宁市交通运输局信息化建设力量;二是对现有交通运输行业技术人员进行多种形式的继续教育,组建一支技术水平高,业务素质好,能承担本行业信息化科研和建设的专业技术队伍。
三、主要信息化项目建设与应用情况
__年,我市交通运输局主要的信息化项目建设是公路运输枢纽组织管理中心信息系统一期工程项目。
(一)项目规模
根据市发改委批复,市交通运输局安排建设资金1639.54万元,其中土建和装修300万元,信息化单项__万元,其他费用__万元,预备费40万元。
(二)主要建设内容
建设1个__公路运输枢纽组织管理中心信息系统指挥控制中心平台,处置6个业务系统;改造南宁公路运输枢纽组织管理中心信息系统网络平台;升级改造南宁市电子政务内网接入网络平台、南宁市交通运输局业务内网平台及新建南宁市交通运输局业务外网平台;建设南宁公路运输枢纽组织管理中心信息系统数据交换与共享平台的基础设施;建设南宁公路运输枢纽组织管理中心办公楼出入口管理系统;建设南宁公路运输枢纽组织管理中心安防监控系统;建设南宁公路运输枢纽组织管理中心周界防范系统;对南宁公路运输枢纽组织管理中心综合布线、机房、空调系统进行改造。建设满足4个网段需求的办公楼综合布线系统;在新附属用房新建数据中心主机房、网络交换机房、电力机房共3间机房;为新建指挥控制中心、附属用房配置空调系统;建设南宁公路运输枢纽组织管理中心数据分中心,包括南宁市公路管理处数据分中心、南宁市交通运输管理处数据分中心、南宁市港航管理处数据分中心共3个数据分中心。
(三)项目建设情况:
目前,项目已完成招投标程序,全面进入建设阶段,项目预计__年初竣工。
四、信息安全建设情况
__年,我市交通运输局的信息安全组织机构进一步得到健全,日常信息安全管理情况和信息安全防护管理情况良好,并进一步完善了信息安全管理方面的规章制度和信息安全应急预案,定期进行信息安全应急演练,不定期派专人参加了市政府组织的网络系统安全知识培训。至今,南宁市交通运输局未发生一起信息安全事故,信息安全状况良好。
(一)组织保障方面
在组织保障方面,市交通运输局指定了分管信息安全工作的领导,并且明确了信息安全管理机构与信息安全专职工作机构。由__市交通运输信息管理中心负责单位信息安全管理工作和信息安全专职工作,共任命了3名专职信息安全员,并与重要岗位人员签订了信息安全和保密协议。
(二)资金保障方面
针对__年我市交通运输局自查工作当中存在的问题,以及信息技术飞快发展的特点,市交通运输局今年进一步加大网络与信息安全设备及软件投入及更新力度。__年,市交通运输局在网络平台改造方面投入了__万元,在数据安全方面投入了__万元,全面提升网络边界防护、安全审计、入侵防范、数据灾备等能力。
(三)人员保障方面
在人员保障方面,市交通运输局继续增加专职信息安全员数量,着重信息安全员素质与能力的培养。__年,市交通运输局不定期地指派专职技术人员参与市政府组织的网络系统安全知识培训,以及行业信息安全技术认证的培训,定期对其进行安全教育培训与信息安全技术培训。目前,市交通运输局有高级网络工程师一名,网络安全工程师一名。
(四)制度保障方面
目前,市交通运输局针对信息安全工作,制定了岗位信息安全责任制度、人员离岗离职安全管理规定及外部人员访问审批制度、计算机及网络安全管理制度、信息安全保密管理制度、资产管理制度、设备维修维护和报废管理制度、移动存储介质保密管理制度、计算机及移动存储介质的维修、更换与报废保密管理制度以及运行维护管理制度,确保各项信息安全正常进行。
(五)等级保护方面
为了做好等级保护工作,确保市交通运输局__年重点项目“__公路运输枢纽组织管理中心信息系统一期工程”的顺利实施,市交通运输局根据相关政策法规要求编制了“__公路运输枢纽组织管理中心信息系统一期工程项目信息安全等级设计方案”,并邀请市公安局网络警察支队、市城乡数字化建设办公室、南宁市保密局、南宁市密码管理局及广西网信信息安全等级保护测评有限公司对设计方案进行评审,对“__公路运输枢纽组织管理中心信息系统一期工程”数据信息,以及存储、传输、处理这些数据信息的信息系统分等级实行安全保护。
(六)技术保障方面
市交通运输局目前的网络分为内外网,内网主要上联市政务内网(20网段),外网主要上联市政务外网(172网段),内外网均划分了不同的VLAN。针对 内网,市交通运输局各接入端及网络平台均与互联网逻辑隔离,内网的重要网络设备及安全设备采用市城乡数字办配置设备防护策略,没有开放多余端口及多余服务。针对外网,应用系统及门户网站(市交通运输局的门户网站为政务信息网的二级网站)所在网络具有访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等安全措施。系统与互联网逻辑隔离,服务器区与用户区之间通过安全策略实现网络内部不同重要区域之间的逻辑隔离。系统内重要数据在数据库中采用加密存储,对系统内的重要数据进行了灾难备份。
(七)应急保障方面
在应急保障方面,市交通运输局制定了网络与信息安全应急处置预案和信息安全应急响应及事故管理制度、技术预案,并对预案进行了评估,本年度对预案开展应急演练2次。单位内的信息系统均对数据采用了灾难备份机制;应急支援队伍由南宁市交通运输局专业技术人员承担,网络内配备了设备备机备件,单位网络内重要资产采用双机热备机制。
【关键词】 铁路; 财务; 数据集中
铁路财务系统自2006年底开始进行数据集中工作,到2008年底已逐步完成了运营、工会、建设、收入和多经单位的路局级数据集中,实现了基层站段对铁路局、铁道部的信息透明,缓解了上下级信息不对称的局面,为提高财会信息质量、实现铁路精细化管理奠定了基础。
铁路财务数据集中是将财务基本数据进行集中存储与管理,以资源共享为核心的一种运行模式。数据集中的概念具有两方面的含义:一方面是指财务会计管理信息系统(以下简称FAMIS)各子系统内部数据全部整合到一个账套内,实现数据共享,减少数据的冗余;另一方面是指取消站段服务器,将基层站段的财务账套集中开设在铁路局服务器上。
数据集中只是手段不是目的,如何优化数据资源,充分发挥数据集中在财务管理工作中的效能,最大限度地保护数据安全以及集中后未来趋势等问题是各路局财会信息化管理人员关注的热点。
一、安全性方面
实行数据集中后,要处理好数据集中与风险集中的关系。系统与业务处理的集中将带来风险的高度集中。在系统管理上,要建立有效的应急流程和故障恢复机制,严格系统的操作与授权管理;加大FAMIS系统安全建设,使数据集中处理带来的优势不被集中风险所弱化。
(一)灾难备份中心的建设迫在眉睫
在基层站段数据向路局集中的同时,原来分散的风险也随之集中,因此必须树立正确的容灾观念,提前做好面对信息灾难的准备。如何在灾难发生情况下保持业务的持续性和业务数据的安全性成为摆在各局面前的一道现实难题。数据集中后加紧建立铁道部的FAMIS容灾备份中心,以防范和抵御灾难所带来的毁灭性打击显得至关重要。部级灾难备份中心应该是将各铁路局的FAMIS业务数据同步传到铁道部,作为各局本地备份的补充,当数据发生破坏时,可通过部中心的备份数据进行恢复,避免灾难带来的毁灭性后果。
(二)安全生产问题更为突出
在数据集中前,服务器设在基层单位,FAMIS系统架构相对简单,路局财务系统计算机维护队员负责辖内各基层单位的FAMIS系统维护工作。由于他们对FAMIS涉及的各个环节均比较熟悉,处理问题和协调能力较强,因此便于及时调动力量、高效率地解决基层单位出现的问题。而数据集中后,随着数据中心的上移,虽然在服务器端管理上便于维护、升级,但系统的架构变得更加复杂,牵扯的各方面因素也比原来大大增加。而且很多问题由于权限问题在客户端无法得到解决,需要向路局系统管理员反映,应变能力就相对削弱了,因此迫切需要提高数据集中管理模式下的应急抗灾能力和应变管理能力。
(三)应对集中后的风险
在数据集中前的FAMIS分布式应用模式下,安全风险可能带来的只是局部的损失,但在数据集中后,安全风险则会导致整个网络的瘫痪,是一种系统性风险。在体验集中后便利性的同时,要全方位布局,以应对数据集中后的风险,防范系统风险。
1.强化财会信息化系统风险控制。建立科学的财会信息化风险控制制度,对FAMIS系统实行严格管理,明确各相关部门的职责和权限,以便能够对各种不同的权限进行用户识别和远程请求识别。严格划分系统管理员和操作员的权限,同时各操作员的口令密码必须不定期地更换,特别是系统管理员必须有强烈的保密意识,权限一定要保密。对数据库系统管理员(SYSTEM)用户、FAMIS账套管理用户(CWSYS)以及基层单位集中后的账套口令进行统一修改,并由各路局集中管理,定期更换FAMIS系统操作密码。
2.建立FAMIS网络纵深防御体系。聘请专业公司对网络安全现状进行安全风险评估,对FAMIS网络实行加密传输;采用防火墙、VLAN等技术实施FAMIS网络的隔离和保护;采用病毒防护、入侵监测、内容过滤和审计跟踪日志等多种技术手段,确保FAMIS的安全。
3.大力发展先进的会计行为风险预警系统。随着会计行为风险的日益增加,应大力发展预警系统软件。将预警系统与会计核算系统建立在一个平台上,在会计核算系统数据录入的同时,预警系统能够及时进行会计操作信息跟踪分析,并对重要日志进行必要的记载与备份,通过会计分析自动拟合预测模型和方法,对会计核算全过程进行事前、事中、事后研究分析,对带苗头性有疑点的问题实时报警,实施有效监测。
(四)应急预案
业务持续性是完成数据集中后的一个重要问题。在面对集中后出现计算机软硬件、网络故障时,有些系统管理员束手无策,有的则直接中断业务,造成了一定损失。因此做好业务持续的应急预案迫在眉睫。
1.对基层单位的财会信息化兼职人员进行必要的培训。发生故障时,要迅速诊出病因,如:目前涉及ADSL、硬件防火墙、数字证书、应用程序的故障要学会判断。
2.网络发生故障,修复是有一定时限的,应制定一个短期修复时限,如在30分钟内若不能恢复网络,那么应该立即启动第二套方案,迅速缓解因网络故障给基层站段带来的不便。
3.数据讲究集中但也要适当分散。数据集中后,如何在一定程度上将数据“下放”或向下“拷贝”,既是数据集中需要探索的问题,也是应急预案的一项内容。
应急预案是确保FAMIS安全的重要环节,必须严格按照应急预案要求进行日常演练和响应启动,发现影响FAMIS安全隐患时及时采取安全保护措施。
二、设备及人员问题
实行数据大集中后,如何保护各局在财会信息化技术设备上的原有投资?财会信息化维护体系如何建立?这些都是应深入思考的问题。
(一)原有技术设备的合理利用
实行数据大集中后,原来分散在各基层站段的服务器被闲置,如何处理这些设备是各局需要考虑的一个问题。目前的途径大概有三种:一是由于多经单位已全部使用铁道部统一的V4.2CA版会计核算系统,而且大部分多经单位尚未进行数据集中,可将部分性能较好、有较高再利用价值的服务器租赁给多经单位,收取租金;二是在保证满足性能要求的前提下,在铁路行业其他业务系统的设备选型中考虑使用现有设备。
(二)原有维护工作的重新定位问题
数据集中后,对数据库服务器、网络管理运行维护等的要求更加专业化。数据库、操作系统、网络维护等工作应交由各路局信息技术处完成。这是否意味着财会信息化的维护队伍可以解散了?答案是否定的,数据集中后,各局财会信息化维护工作重心发生了变化,应对原有工作职能进行重新分配,要继续按照集中支持、分级维护的原则,建立覆盖全路、分级负责、反应快速的财会信息化维护支持体系。
1.铁道部的财会信息化技术支持部,对全路FAMIS系统应用进行集中技术支持。
2.各铁路局本级目前都配备了财会信息化专职人员,应侧重于总体规划、实施组织、建立健全各项信息化管理和安全制度以及信息化资源调配。
3.各铁路局下一步应配备多名系统管理员,负责辖内财会信息化工作的具体落实以及FAMIS系统的日常和现场维护与管理工作。虽然集中核算模式下,对数据库、操作系统及网络管理的运维工作交给专业部门完成,但财务系统应该有培养高素质财会信息化系统管理员的意识,系统管理员必须经过铁路财会信息化系统管理员资格认证,他们不但应具备网络管理、数据库管理、系统优化、网络安全等方面的专业知识,还要熟悉财务会计制度准则,具备能够深度利用集中后数据的能力,综合应用多学科知识,管理好数据。
4.保留各地区维护队伍。站段服务器取消后,各路局应注意保护区域性维护队员的工作积极性,帮助他们进行角色转换,把精力集中于FAMIS系统运行的保障工作上。在路局财会信息化专职人员指导协调下,分工负责各地区系统运用的日常维护支持工作。数据集中后,由于数据库服务器与基层单位客户端的物理距离拉长了,尤其是出现故障需要协调网络、硬件防火墙、应用服务器的多方厂商共同配合时,系统管理员无法亲临现场,故障的应急反应能力大大降低。一旦出现此种现象,如果有各地区维护队员的配合,就能有效地帮助系统管理员缩短故障时间、降低现场维护成本。
三、数据的深度利用
数据集中后,能够对数据资源进行有效的集成管理和深度的挖掘与分析,实现不同应用系统的信息沟通和集成,发挥数据的最大价值。
(一)数据积累问题
没有数据积累,就谈不上数据的深度利用。而数据集中后,最终体现为数据库的建设。为此既要积累财务会计管理信息系统的内部数据,也要建立与人力资源、统计分析、审计管理、物资管理、专业运输等信息系统的良好的外部信息交换系统;既要完善集中前财务历史数据,也要对集中后的账套数据进行必要的分析和规整,确保集中后数据的准确、一致、完整和连续。
(二)数据挖掘、决策支持系统问题
管理决策信息化已经成为当前铁路财会信息化建设的重要课题,成为全面提升铁路行业竞争能力的重要途径。数据集中后,如何充分利用数据集中的优势,提取有用信息,为决策者提供有效数据分析和决策支持,构筑新的运行模式下的经营管理体系,更好地服务于铁路安全运输生产,将是铁路财务数据集中工作之后又一值得思考的问题。
四、财务软件的升级
(一)适应集中管理的要求,进行FAMIS的升级,从三层C/S结构转换到B/S结构
数据集中后,为适应集中管理的要求,需要将基于C/S结构的V4.2CA版财务软件升级到B/S结构的V5.0版本。基于B/S结构的新FAMIS系统应是浏览器运行方式,在这种应用模式下,客户端无需进行任何应用程序的安装,只需要根据权限即可进行相关的访问,并且B/S架构使得程序更容易维护与管理,其应用都集中在路局级服务器上,基层各应用结点并没有任何程序,只要路局服务器端更新程序后则全局所有接入点应用程序即可更新,可以做到快速服务响应,为基层用户提供更多的便利。
(二)提高FAMIS系统集成化程度
数据集中后对财务会计管理的要求更加专业化、精细化,FAMIS各子系统应用的集成应该提到日程上来,因此迫切需要研发适用于集中财务管理模式下的新的FAMIS系统,以解决不同系统之间的信息沟通问题。1.在系统开发技术平台上,新的FAMIS应充分考虑铁路企业现在的管理模式与整个铁路行业的计算机硬件、网络环境情况,采用适合于目前铁路行业环境的开发工具、通信机制、后台数据库、运行平台。2.新的FAMIS不仅要强化账务、报表、工资、固定资产、存货和应收/应付等每个子系统本身的功能,更多的应从底层的技术、物理的数据库、基础数据到上层的业务应用进行有效的集成,即:各系统之间不仅仅提供目前已有的从工资管理、固定资产、材料核算凭证自动生成并转入账务处理的应用集成,更多的应实现在每项业务发生时可能影响到的其他业务数据及相关子系统的自动处理,提高财务日常管理工作中的自动化处理能力和及时性。
五、网络建设及管理
数据的集中处理对通讯网络系统的依赖性更强,对带宽的要求更高。那么,如何才能保证基层站段客户端的响应速度呢?这对数据集中后网络建设和网络管理提出了更高的要求。
(一)网络的备份线路建设问题
备份线路建设在技术上不存在问题,但应考虑风险分散,避免全部线路选择同一家网络运营商,可考虑主、备份线路选择不同的运营商。
(二)网络管理问题
1.带宽的优化管理。数据集中后对网络的带宽提出了更高的要求,但又不能通过无节制地扩充带宽来保证FAMIS业务系统的正常运行,必须对带宽进行切实有效的优化管理,优先保证业务流带宽,确保正常业务不被非重要的数据访问干扰。如对部分网络流量较大而实时性要求不高的业务可通过错时、分时的方式予以解决。
2.运用网络管理新技术。根据统计分析,数据集中后账务管理系统科目审核的正常响应时间是3-4分钟(以1 600条科目为例),一旦延迟到7-8分钟,基层单位就会抱怨。网络上任何一种微小的流量变化,都会影响到数据传输的实时性和稳定性,网络必须确保万无一失。因此采用最新的网络管理工具及安全技术,提前预防网络故障的发生,对数据集中后网络管理都是新的课题,也是各路局财会信息化人员最为关心的问题。
六、结束语
当前,铁路财务系统的数据集中还是新生事物,可能在实施、应用中存在这样那样的问题,但要看到铁路已完成的路局级数据集中在财务管理工作中发挥的效益正逐步显现。继续对数据集中模式进行研究、实施、完善将是未来一段时期内铁路财会信息化建设的重中之重。
【参考文献】
一、指导思想
坚持稳中求进、稳扎稳打主基调,聚焦公司安全生产生命线,以夯实变电运维专业基础为主线,强化两票三制度执行,深化设备主人制落实,严肃变电五通标准化作业,强化技术技能培训,严明细实作风,精心操作、精细运维、精益管理,提升设备运维专业化、标准化、智能化水平,促进电网设备更加健康的运行。
二、工作目标及指标
(一)工作目标
“三杜绝、四防范”,严格防范五级信息系统事件和重大网络安全事件,严格防范较大火灾事故和本单位负同等及以上责任的较大交通事故,严格防范恶性误操作事故,严格防范其他对公司和社会造成重大影响的事故(事件),确保公司安全生产始终可控、能控、在控。
(二)主要指标
降低110千伏及以上变电设备故障停运率,小于**次/百台;提升变电站精益化覆盖率,220kV及以上变电站达到**%,110千伏变电站达到**%;消防隐患治理率达到***%;消防人员取证率达到**%;变电站消防验收备案率达到***%;防误闭锁三率(达到100%;两票合格率达到***%;标准化作业管理系统应用率达到1***%;pms台账及系统录入合格率达到***%,缺陷隐患消缺率提升**%;严防误操作事件。
三、组织机构及职责分工
1.工作领导小组
*************
职责分工:全面负责活动开展的组织领导、协调指导、监督落实,协调解决重大问题。
2.工作实施小组
*************
职责分工:落实领导小组工作部署,负责活动的组织、协调、指导督办、分解落实计划、监督检查等工作,逐条逐项的落实好相关工作,并对现场工作完成情况进行定期检查,并对检查问题进行逐项落实整改,定期组织开展相关内容完成情况总结分析会议。负责协调解决方案实施过程中的各类问题,确保任务按照时间节点按时完成并定期向领导小组汇报活动开展情况。
四、工作措施
(一)强化两票三制,提升岗位安全履职能力
1.强化岗位安全责任。一是,目前运维专责、班组长、主值、副值等岗位责任在日常运行维护过程中交叉重叠,岗位责任清单照单履职的规范性、主动性还不足,造成基础工作不扎实。需进一步明确各级运维人员岗位职责及安全职责,分解细化任务、逐级落实责任,做好“两单一表”梳理完善工作(岗位责任清单、安全责任清单、两单履职表),优化履职流程,每月开展一次履职评价并将结果纳入绩效考核,做到责任下沉、管理下沉、资源下沉,实现权责匹配,强化岗位及安全责任考试并纳入提岗条件,提升履职能力,确保全员照单履责。(责任单位:****中心,完成时间****)二是二是落实“一岗双责”,抓好安全责任清单执行监督,始终坚持“业务+安全”并行管理,提高员工安全履职意识。每月定期组织各级人员进行安全责任清单内容考试,逐步增强安全风险意识,坚决扼杀习惯性违章、经验主义、“差不多”等现象,每月将对考试结果进行通报。(责任单位:****,完成时间:****)
2. 严格工作票管理。一是组织开展典型工作票修订,明确票面填写规范,安全措施以及签字手续。(责任单位:****,完成时间****)二是统一工作票办票原则,制定办理工作票许可流程表,明确各类工作票许可流程以及填写规范,做好工作票审核、许可流程。对于现场勘察、四措一案审核、开工手续办理等关键环节进行明确。(责任单位:****,完成时间****)三是强化安全措施票的审核执行,加强各类作业风险评估、预警预控、隔离措施及一二次安全措施检查核对,严格执行运维和检修人员双检查、双签字制度,确保安全措施布置到位、拆除彻底,严防一二次设备感应电、反送电。(责任单位:****、****,完成时间****)
3.做好运行规程、操作票管理。按照“定期修订+动态修订”原则,一是在1-3月份前完成35千伏及以上变电站运行规程及典票定期修订,并经班组-中心-运检部运维管理人员审核后执行(责任单位:****,完成时间:****)。二是对于变电站内存在设备新投、改造、换型等情况,应在设备投运前1周完成动态修订,并经班组-中心-运检部运维管理人员审核后执行。结合变电站实际情况,将主变固定灭火装置、中性点隔直装置、SVG装置等设备系统的操作内容完善到运规及典型操作票中,尤其是变压器停、送电操作时,固定灭火装置要严格执行“先退先投”的操作原则。(责任单位:****)
4.规范交接班、定期切换及巡检管理。一是编制完善交接班标准化作业指导书及运维日志,规范签字确认流程,切实做好系统运行方式、缺陷、异常、故障处置及两票执行等有效交接。各个运维班应执行相同的交接班制度,规范交接班管理。(责任单位:****,完成时间:****)二是在****月份前修订完善变电站定期切换试验实施细则及事故应急预案修订,根据定期切换周期要求,制定定期切换月度计划,严格切换操作票执行,加强主变强油风冷、UPS系统、直流系统、高频通道对试等工作管控,每月将对执行情况进行通报考核。(责任单位:****,完成时间:****月)三是严格按照变电运维管理规定,结合年、月度停电检修计划,合理制定设备巡视计划,220千伏变电站每月执行例行巡视?次、全面巡视?次、熄灯巡视?次,110千伏及以下每月执行例行巡视?次、全面巡视?次、熄灯巡视?次,并使用标准化移动作业终端,确保巡视精准高效。每月将对巡视计划执行情况进行通报并纳入绩效考核。(责任单位:****,完成时间:****)
5.加大履职监督力度。严格落实《国网****公司各级运检管理人员现场履职责任指导意见(试行)》文件要求,以作业观察、监督巡视、监督检查及监督监护形式,做好运维工作全面、全员、全方位、全过程的管理,提升各级运维管理人员对一线班组、作业现场的掌控能力,确保秩序稳定、管理严谨。分管生产领导每月到现场?次,每次发现问题不少于?项,运维检修部管理人员每月到现场不少于?次,每次发现问题不少于?项,专业管理人员每月到现场不少于?次,每次发现问题不少于?项。(责任单位:****、完成时间:****)
(二)强化设备主人制,提升运维管理质效
6.严格设备主人制责任落实。深化“运行主人+检修专员”设备主人ABC模式,强化运维1主1副和检修1专员设备管理流程。编制制定设备主人制度,明确设备主人履职范围、管理流程、履职考评等内容,强化运维人员设备主人责任田意识,对自己责任范围内的设备运行状态了如指掌,逐步提升运维人员在一次、二次专业知识等方面宽度和广度,加大设备主人话语权和检修过程监管权,做好设备主动运维与状态管控,加强设备主人履职考评,突出目标、问题、结果导向,着力提升运行巡视、季节性运维、交接验收等管理水平。(责任单位:****,完成时间:****)
7.规范季节性运维。结合本地区气候特点,修编完善设备运维二十四节气表,针对春季风沙、夏季高温、秋冬季雨雪等季节性气候特点,重点做好迎峰度夏、迎峰过冬等季节性运维方案编制落实,建立高温、风沙区域变电站台账,严格落实防外绝缘闪络(冰、雪、雨、污闪)、防异物搭挂、防金具引线断裂、三箱防尘、防小动物等季节性反事故专项运维措施,严防季节性事故发生。(责任单位:****,完成时间:****)
8.提升设备巡视质量。一是严格变电运维巡视计划管理,根据《变电五项通用管理规定》要求,做好“年、月、周、日”计划管控,每日对巡视计划执行情况进行反馈,每周五结合周计划对巡视计划进行上报,每月对执行情况进行通报考核,切实加强巡视计划合理管控。(责任单位:****完成时间:****)二是组建公司各级变电专家队伍,开展“运维、检修、保护、厂家”四方联合专业巡视,实现220千伏变电站及重要枢纽变电站专业巡检(含厂家)年度不少于?次,剩余变电站三方联合巡检,切实发现问题。(责任单位:****,完成时间:****)三是结合电网风险预警、重要保电时段、极端恶劣天气等实际,修订完善特殊巡视内容,加强红外、SF6检漏、铁芯夹件测试等手段,提升发现缺陷隐患能力。(责任单位:****,完成时间:****)四是加强设备红外测温工作管控,在2个全面巡视周期内,逐步完善110千伏及以上变电站红外图库建立,按照设备命名规范要求,将图片上传至PNS2.0系统。(责任单位:****,完成时间:****)五是加强高空巡视管理。做好220千伏变电设备高清摄像头项目储备,利用“****”相结合原则,及时发现并处置高空隐患。(责任单位:****)
9.规范巡检机器人巡视管理。应用好220千伏??变智能巡检机器人以及后续租赁机器人的应用。按照“人工+机器”相结合的原则,完善设备例行巡视、特殊巡视计划,充分发挥机器人应用效率,机器人原则上不少于1次/天开展巡视,杜绝机器人“配而不巡、巡而不够”现象,对巡视结果与现场实际数据进行对比分析,提升发现缺陷隐患能力,减轻人工巡视压力。通知修编智能巡检机器人应用培训及维护记录手册。(责任单位:****)
(三)强化风险等级防控,提升电网设备安全能力
10.做好设备重要性等级管理。开展110千伏及以上“站点、间隔、设备”“状态+风险”评价,建立“一站一册”风险档案,分别对一、二次设备状态及风险进行评级,明确风险防控等级清单明细,实行分压分层分级管控,制定差异化运维保障策略,科学指导预警管控、运维检修及技改大修等工作,实现设备质量安全双提升。(责任单位:****)
11.强化电网风险预警响应。电网风险预警单是由调度根据检修计划,一般提前一周下发,由运检部门执行落实,而调度下发前运检人员并不清楚电网风险等级,造成在电网风险防控措施制定、人员到位安排等方面分析辨识不足,以至于在停电操作、检修作业期间存在风险辨识管控不到位的情况。密切关注电网N-1检修方式、特殊运行方式、保电、重过载等电网风险预警,加强与调控信息沟通,按照“分级预警、分层管控”要求,进一步规范风险辨识、预警、控制、评价等各环节工作,推动各层级各专业从前端(一线班组)落实管控措施,明确管控重点,切实做好风险预警响应工作。(责任单位:****)
12.防范人身事故。严格落实安规、运规、调规、“两票三制”、“十不干”、“十条禁令”等文件要求,制定修编各类现场作业“入场许可手续卡”,严格按照许可卡步骤对工作人员(外委人员)、工作票、到岗到位人员、四措一案等进行逐步审查,切实发挥变电运行人员“铁面包公”精神,坚决杜绝无票错票、到岗到位人员应到未到、四措一案未按要求审核等作业,只有在运行人员在验明“入场许可手续”符合要求并留存后方可进站作业。(责任单位:****)
13.防范误操作事故。做好防误闭锁装置管理,全面做好防误闭锁装置维护业务外委,严抓防误装置缺陷隐患排查治理成效,每月对防误闭锁缺陷及消缺情况进行上报,防误闭锁缺陷要按照危机缺陷进行对待,同时规范解锁钥匙审批流程,实现防误闭锁“三率”100%(安装率、投运率、完好率)。切实加强防误操作培训及账号管理,使运维人员熟练掌握防误装置管理规定和结构原理,切实做到“四懂三会”(懂原理、懂性能、懂结构和操作程序;会熟练操作、会处缺、会维护),同步对各变电站防误闭锁使用人员及账号权限进行修改。(责任单位:****)
(四)强化缺陷隐患治理,提升设备本质安全水平
14.规范设备缺陷管理。每月定期组织学习一次设备、二次设备、辅助设备缺陷标准库内容,明确缺陷分类、定性及评价标准,充分应用移动作业终端变电运维标准化作业管理系统,实现主辅设备生产、基建缺陷全部线上管理,严抓缺陷上报质量数量,缺陷描述应清晰明确,且附有相应照片,严格按照由班员-班组长-运维中心-运检部-变电检修中心的缺陷上报流程进行上报,强化缺陷过程跟踪分析,严重缺陷在一个检修周期内运维人员应加强跟踪,在一个检修周期内未消缺,由检修人员每日上报缺陷跟踪情况及防范措施,做到设备缺陷“日管控、周分析、月总结”,每月进行缺陷分析会,将发现率和消缺率进行通报并绩效考核。(责任单位:****)
15.防范信息安全事故。编制变电站信息网络防护工作方案,强化站端网络安全预警管控,推进变电站网络安全监测装置安装调试工作,确保202?年35千伏及以上变电站安装应用率达***%,严防违规外联和信息外漏,全面提升网络安全风险监测能力。(责任单位:****)
16.抓好变电运维专项隐患六治理,重点做好防风害异物故障治理,每月结合巡视计划及天气状况,做好变电站范围500米的异物清理工作;做好防站用交直流故障治理,对交直流系统配置图、级差配置等基础资料进行完善,同步做好交直流系统的定期切换及运行方式的培训学习;做好防三箱受潮故障治理,结合今年三箱治理项目的推进切实加强三箱密封的维护工作,定期对密封情况进行检查、清理并采取密封措施;做好防设备外绝缘闪落治理(污闪、冰闪、雨闪等),结合停电检修计划对设备外绝缘进行擦拭清扫,牢固树立“封停必扫”的理念,并根据外绝缘运行情况,进行评估,不符合要求的及时喷涂防污闪漆;做好防五防装置故障治理,实现防误闭锁“三率”100%;切实做好防隔离开关合闸不到位治理,利用望远镜,照相机等对刀闸分合闸情况进行确认,同步编制隔离开关分合闸检查卡,明确各类型刀闸分合闸检查要点及注意事项,不断提升设备健康水平。(责任单位:****)。
****
(五)强化标准化作业,提升现场作业可控能力。
17.强化操作计划管理。结合年、月度停电检修计划,操作中牢固树立“七分准备、三分工作”理念,逐条明确倒闸操作人员和现场到位人员,按照“月准备、周修订”的原则,每周提前就倒闸操作人员、现场到位人员以及操作准备情况进行上报,无特殊原因不得随意变更,提前开展倒闸操作过程中存在的人身、电网、设备风险辨识,提前编审倒闸操作风险交底卡,在正式操作前结合班前会进行安全交底,宣读风险点及管控措施,确保每一名操作人员确已知晓并完成签字手续后,方可开展倒闸操作。(责任单位:****)
18.抓好设备巡视标准化。一是深化“一板六卡”、变电“五通”应用,推广变电巡视移动终端应用,逐步推进“持作业卡巡视”向“移动终端巡视”转变,力争2020年5月底前基本实现无纸化巡视。二是在4底前,结合变电站设备实际,将一二次设备巡视要点巡视要点完善更新到标准化作业管理系统巡视卡中,不断提升运维巡视质量。三是加强变电巡视移动作业质量管控,将班组应用率、变电站应用率、巡视任务完成率、巡视卡维护率、标准卡维护率、缺陷录入率、巡视信息录入规范性、设备巡视时长合理性、缺陷质量数量等纳入月度通报,加大奖惩力度,并在月度考核中兑现。(责任单位:****)
22.强化操作程序化。一是严格执行公司到岗到位管理办法,分层分级做好倒闸操作的全过程履职监督管控,倒闸操作时优先采取遥控操作。二是严格执行“一停、二看、三想、四做、五检查”操作要求,严格落实二次倒闸操作票管理,严防继电保护防三误。三是操作前再次检查操作票三级审核及作设备运行状态缺陷隐患,操作中远离正在执行分、合闸指令的开关类设备(断路器、隔离开关)、操作后做好设备(压板)状态位置检查。(责任单位:****)
23.严抓现场作业标准化。一是严格执行停电、验电、接地作业次序,接地前必须验电,若现场条件允许,必须采取间隔验电+直接验电双重方式,严防发生设备反送电伤人事故。二是加强现场危险点分析,做好大型现场作业范围内硬质隔离措施,将临近带电区域等危险点备案在工作票中并告知工作负责人,明确控制措施及安全注意事项。三是配合做好一二次安全措施检查核对,尤其是停电后开工前和完工后送电前,要执行运维和检修人员双检查、双签字制度,确保安全措施布置、恢复到位。(责任单位:****)
24.加强标准化变电站建设。按照《国网****公司变电站标准化管理规范》工作要求,在220千伏****变深入推进标准化窗口变电站建设。从安全管理、运维管理、设备管理、培训管理、资料管理五个方面重点任务落实,同步做好班组建设及文明生产等工作整治,深入推进标准化变电站建设。(责任单位:****)
25.推进红旗运维班达标建设。加快推进红旗运维班组建设,重点做好“基础设施+基础管理”双提升工作,有序220千伏****运维班示范建设,在4月前制定红旗运维班组建设计划,每月推进建设进度,确保202?年红旗运维班达标率不低于?个,2021年不低于?个,202?年实现全覆盖。以严要求提升队伍建设水平。(责任单位:变****)
(六)强化细实要求,提升变电运维基础管理
26.严抓变电精益化查评治理。按照“全面覆盖、专业评价、精益管理、分级负责、整改闭环”的原则,深入分析历年精益化查评中存在的设备问题和管理短板,在?月前优化精益化查评工作方案,并组建精益化检查专家团队,制定自评计划,对照评价细则,提前推进,确保在?月底前完成自评任务,后续结合停电检修计划持续整改,每月对评价进度及整改情况进行通报。202?年110千伏及以上变电站精益化自评率达****%、35千伏变电站自评率不少于****%,精益化问题整改率达****%,实现220千伏变电站精益化达标率****%的目标,以高标准提升设备管理水平。(****)
27.规范系统记录管理。组织学习《202?年变电设备数据治理实施细则》,将PMS数据治理纳入常态化日常工作,同时再次明确收发信、防小动物、红外测温等?大类??小类运行维护记录录入标准,规范纸质版记录管理,剔除不必要的记录,规范记录填写。(责任单位:****)
28.加强运维装备管控。目前各运维班装备基本配置到位,但装备的维护、保管仍需进一步加强,将严格执行《国家电网公司运检装备配置使用管理规定》文件要求,加强装备进定期检查、检验、使用、保管、维护、报废等日常管理工作。(责任单位:****)
29.做好应急处置保障。全面梳理各变电站保险类备品的各种型号、数量,对缺少的备品备件进行及时补充,并做好台账。?月份前完善特殊天气、自然灾害、设备设施损坏等运检专业应急预案修编,优化应急演练流程,强化反事故措施落实,提升人员应急处置能力及反事故演习质量,同时积极和地区消防支队进行沟通,举办一次消防应急处置联合预演。(****)
(七)强化技术技能硬核,提升运维队伍素质能力
30.狠抓基础教育培训。抓好“专业技能+业务流程”双维度培训,拓宽变电运维业务范围,做好分层分级分类专题培训,重点要突出变电运维人员“六个能力”达标培训学习(设备巡视能力、倒闸操作能力、运行监控能力、检测维护能力、事故处置能力、消防管理能力),合理科学的制定相对应培训计划,通过月度技能考试、季度赛等方式进行,着力提升运维人员技能水平。(责任单位:****)
31.强化岗位练兵。一是结合工作实际,每月有针对性抽取??%的年度、月度计划检修作为现场技能培训平台,使青年职工在学中干、干中学,稳步提升运检人员基本功。通过现场“师带徒”方式,实行“一对一”、“多对一”的指导,共同提高新老员工理论水平和实操技能。(责任单位:****)
32.加强作风纪律整顿。提高政治站位,明确运维工作是党风政风的具体表现,是运维人员精神面貌、工作水平、服务质量的外在表现,切实做好35千伏变电站综合治理,全面提升站容站貌,做好设备运维管理的“吹哨人”,努力打造一支技能精益、作风优良、勇于担当的电力安全卫士队伍。(责任单位:****)
五、工作要求
(一)高度重视,周密组织。
各部门要高度重视本次设备运维管理提升年活动,加强组织领导,建立各部门主要负责人要亲自督办,周密部署实施方案中的每一项工作任务,明确每一项内容的责任人和工作具体措施。
(二)强化落实,务求实效。
各部门要逐条对细化的工作要求进行再细化,分解落实各项工作任务,制定重点各自的工作任务清单,明确工作负责人、计划完成时间,按周督办工作进度,每月****日前开月度会议进行专题推进,确保设备运维管理提升年活动取得实效。
(三)强化督查,考核通报。
公司将对本活动的实施情况进行全过程监督指导,对方案落实不到位、不及时不得力的部门进行通报考核。
(四)总结提炼,促进提升。
学校是教书育人的地方,是人员密集的场所。广大中小学师生的安全关系到社会的和谐稳定,关系到经济的发展,关系到千家万户的幸福。做好学校安全工作,是教育主管部门义不容辞的责任。在县综治委的正确领导下,全县各学校牢固树立“珍爱生命、安全第一”的意识,把强化学校安全责任放在首位,狠抓安全措施的落实,确保学校师生的安全和正常的教育教学秩序。
一、校园安全管理工作情况
(一)建章立制保障校园安全。教育局局长综治工作述职报告为了进一步做好校园安全管理工作,县教育局下发了《关于开展“城管进学校”活动的实施方案》(x教[2014]x号)、《关于全面加强校园安全大排查大整改的通知》、《xx教育系统安全生产月活动实施方案》(x教[2014]x号)。通过这些进一步明确责任,强化措施,形成了一系列制度,为确保校园安全提供了文件依据。
(二)、开展各项安全教育活动。
1、举办“城管进校园”暨校园周边整治活动。教育局局长综治工作述职报告为进一步使城管局执法方式、工作理念与学校的宣传教育有机结合,与辖区学校建立长效联动机制,使城管执法深入学校、更好地走近在校师生,教育局联合城管局举行了“城管进校园活动”以采取多种形式和手段,开展城管护校行动,3月25日。通过这次活动,一是加强宣传,全面了解城市管理工作,通过小手拉大手,从而让全社会了解城市管理工作,理解城市管理工作,自觉接受城市管理各项规章制度,不断提高文明素质;二是积极参与,以实际行动为活动贡献力量。教育师生要身体力行,积极投入,集中整治校内外环境卫生秩序,同时规范好自己的行为,做一个遵规守法的文明人,以实际行动为活动开展贡献一份力量,共同打造干净、和谐、文明、安全的校园周边环境。三是加强协作,配合城管部门顺利推进活动开展。把城市管理的理念和法律法规带进学校,把城市管理的方法和手段运用到学校环境管理上,共同打造安全环境,创建文明校园。2、开展交通安全教育活动。在全县学校积极开展小手拉大手,文明出行“6+1”活动,共发放宣传单15万余份,响应家长达60万余人,有效提升全民文明交通出行,抵制了交通陋习,维护了全县交通安全。3、组织开展了“安全教育日”和“防灾减灾日”活动。县教育局以安全教育日和5.12防灾减灾日为契机,加强领导,统一部署,深入开展了“五个一”活动:即阅读一本防灾减灾书籍、观看一部防灾减灾影视作品、分享一次防灾减灾避险经历、举办一次防灾减灾知识讲座、进行一次家庭灾害风险隐患自查”等活动,应急演练达386场次,征集学生交通安全教育优秀作品达600余篇,有效提升了全县师生应急避险的能力。4、织开展了“打非治违”知识竞赛活动。为进一步巩固“打非治违”专项行动活动成果,在全县教育系统内开展知识竞赛和形式多样的“打非治违”宣传活动。这项活动全县中小学按照通知要求,认真组织学生参加竞赛,全县中小学共上缴130000余份试卷,规范了广大中小学生的行为方式,收到预期的教育效果。5、推进网络安全教育活动。县教育局积极响应国家教育部组织开展的“安全教育实验区”的建设工作,组织全县中小学校开通班级2869个、参与教师达2970人、开通学生账号108563人,目前累计学习人次达106万次,在全市综合考核,位于全市第一名,此项工作得到市局领导充分肯定和嘉奖。
(三)、开展各项督查活动。
1、做好夜间安全值班突击督查工作。由教育局领导班子成员带领股室人员,分九个组,按照排定学校事先不打招呼进行督查。督查内容主要是全县安全稳定工作会议精神落实情况,体现在学校门卫是否在岗、安保器材是否齐全、教师教干值班表是否上墙,校长、带班领导、教师是否在岗以及学校宿舍安全管理等十个方面。共督查了全县49所中小学校,查处隐患113处。促进了我县中小学校园安全稳定及管理水平的提升。2、开展专项督查活动。县教育局成立专项督查组,自3月15日开始利用一个月时间,采取校校到的督查形式,对全县中小学校的安全保卫、安全教育、安全管理、消防、隐患排查整改、校舍安全、食品安全7个方面149所学校进行督查,共排查整改隐患329处。3、对校车的运行情况进行了专项督查。由教育局分管领导带队不定期对校车各站点学生上下车情况、校车的设施设备、校车的行车线路、车速等进行全程跟踪督查,加强了校车安安全运行。4、用电安全专项督查。县教育局按照县供电公司《关于xx20xx年中小学校电力用户供电安全隐患备案的报告》(丰供电营[2014]23号)精神要求,我局立即通过OA系统下发通知,要求全县各学校积极联系当地供电部门对校园内的电气安装、线路、配电室等部位进行全面排查整改,现已全部整改到位。
(四)、加大安保人员和基础设施投入。
1、配足配齐安保人员。教育局召开了专题会议,要求各学校严格对照标准配备安保人员。同时建立学校领导及教师值班制度。要求各学校在上放学等重点时段安排人员在学校门前值班,确保学生安全。切实加强重点时段和重点部位的安全监控和保卫。按照市局配备标准,我县现共有中小学144所,职特教2所,公办幼儿园28所,需要保安人数为463人。根据上级精神,结合当前全县各学校自身实际情况,少数学校从县保安公司聘请专职保安62名;聘请附近社会人员78名;校内教职工轮流门口值班286人,有效整合了我县学校的安保力量。
2、技防设施的配备与维护。全县中小学幼儿园共配备钢叉、盾牌、钢盔等防卫器材305套;维护与更新技防设施113处,坚决杜绝技防设施带病工作。
3、校舍新建、改造工程。全县共新、改建工程18项总面积x平方米(其中新建、改建校舍x项、x平方米;维修校舍及设施x项、x平方米),共投入x万元。
近年来我国的档案开放与利用工作取得了一些显著进步,但毋庸置疑,在开放利用的这一过程中依然存在很多问题:一是公民对档案工作的认识尚处于初级阶段。认识的不成熟、认识的浅薄甚至是对档案开放利用的认识的极度偏差,一定程度上使得开放与利用不能顺利进行。二是档案工作带有很强的政治性,一定程度上脱离了群众,使档案开放和利用环节不完善。三是档案的“低开放率和低利用率”使得公民不能有效获取想要资源,档案合理的开放与利用严重受阻。四是档案过于狭窄的开放率,使人们只能获取有限的诸如经济、医学、科学、技术、文学等类的档案,而对于涉及国防、外交、国家安全等问题的档案等,仅能获得较为宽泛和简单的含义,并不能有效获取,深入探究。五是过于单调的档案开放种类,无法满足社会公众对各种各样信息的强烈要求,笔者认为在开放各类传统的文书档案的基础上,还应适当开放那些在某些机构和部门在业务职能活动中形成的科技档案和相应的其他专门档案,如果能再开放其他类型和载体的档案,对公众信息的获取和档案的开放和利用会更有帮助。六是法律所规定档案馆30年的开放期限太过死板和局限,且缺乏较强的针对性,不能迎合某些特殊类型档案开放的要求,并且过长的限制年限,使得档案馆与时代更新的知识脱节,资源的陈旧也是档案开放利用的一个大问题。
二、做好档案开放利用工作的措施
档案工作开展的关键和基本点就是把握好档案保密工作与档案合理开放利用工作之间的“度”,既要妥善做好信息安全保障措施,也要保证档案信息的开放利用,因此合理的开放利用是与安全保密工作是一体的,是不可分割的,两者都要抓,都要硬。对于档案信息工作人员来说,要在做好档案保密工作的前提下积极地促进档案的进一步合理开放,是一项行为和工作艺术,不可或同样也是其不可推卸的责任。笔者在这里将具体的工作措施大致分为几个方面,希望为档案的开放利用工作尽绵薄之力。
1.提高档案开放的工作意识。很多档案管理工作单位,过于看中档案的保密工作的开展,陈旧的档案保密意识使其无法顺利接受所谓的档案开放利用,开放意识被淹没在心灵的最深处,始终浮不上来。因此,加强某些档案工作人员的档案开放意识是顺利开展档案开放利用工作的重要因素。另外,可以通过宣传教育来增强整个社会的档案开放意识,让全社会都对档案开放持有一种积极乐观的态度,渐渐杜绝传统的过于保密的档案意识,档案开放工作要简化程序,鼓励开放。
2.积极做好档案审查鉴定工作。工作人员要根据档案的内容是否合适对大众开放这一每份档案进行仔细的审查鉴定,确保档案审查工作的顺利开展。档案的审查鉴定是一个大工程,需要仔细完成,具体有几个重要步骤。首先,工作人员要对档案内容进行严格审查,将那些不应开放的档案挑拣出来,置于“不开放”行列,在挑拣的过程中,对档案进行简单分类。然后,由档案的专业人员再对其进行详细的审查,主要针对那些不确定是否开放的档案,最后,再由相关领导进行终极审查,确保审查鉴定工作无误,最终确定将应该开放的档案开放,不应开放的仍进行保密。
3.转变档案开放中的服务方式。科技的发展使得信息技术高速膨胀,随着大众的信息需求的增强,除了档案查阅、档案外借、档案展览等传统的档案服务方式之外,应该多增加几种档案开放服务方式,各档案管理单位应该根据自身的特点以及大众的需求转变档案开放方式。首先,档案部门应该运用多媒体传播手段,例如网络、报纸、杂志、新闻媒介来通报档案开放信息。其次,要面向大众做好档案研究工作。将本馆中那些具有馆藏价值或者是利用率高的档案材料进行详细的专题研究,以编辑出版或新闻的形式面向公众。再次,档案工作者要善于利用诸如Email交互服务、FAQ、电话咨询、网站论坛等人工智能服务平台开展参考咨询服务,对利用者提出的问题进行疑难解答。最后,要根据利用者的喜好将某一领域内的档案的最新信息“送货上门”,保证利用者享受到最贴切的开放服务。
4.做好档案开放前和开放中的工作。档案开放前要努力做到:一是由于档案无比珍贵,要将那些容易破损的档案复印或拍照的方式备份,以防万一。二是要将先前通过领导终审的档案进一步整理,做到分类放置、排列得当,组卷合理,编目清晰。每一份档案都要设置检索号,以方便查找、检索。三是在编制目录、制作文摘之外,还可以利用网络技术建立检索工具,以确保更高效的检索效果。档案开放过程中要注重做好监督工作:一是要完善各种监督制度,针对不同的利用人群进行不同的开放范围和方式,规章制度要简单且便于执行。二是要对档案库房加强监督。档案库房工作人员一定要严格遵守工作制度,做好份内工作,严禁不相干人员进入库房,入者要严格登记,以确保档案材料的安全。三是一天的工作结束后,要及时对相关档案进行检查确保无丢失、过分损坏的材料。如果出现也应及时进行妥善处理,必要时还应追究使用者的责任。总之,以上便是对档案开放利用中存在的问题以及解决这些问题应该采取哪些措施进行的简单探讨。档案的合理开放利用固然重要,但随着时代的发展,档案泄密的现象时有发生,对此,我们也必须要做好档案的信息安全保障措施,以便更好地让档案为公众服务。
三、切实做好档案的信息安全保障工作
随着档案资料的进一步开放利用,在档案利用者的“知识利益”最大化的前提下,档案信息安全却面临着重大的问题,如何有效地建立档案网络信息安全体系是档案工作者始终无法逃避的难题,档案信息安全保障工作任重道远,需要包括档案工作人员在内的全社会人员的共同坚持和努力。基于对档案开放利用的认识和思考,笔者综合多年的考察和研究,对如何建立档案信息安全保障体系提出几点自己的意见。
1.树立可持续发展的档案信息安全观。树立可持续发展的档案信息安全观是全社会集体参与档案信息保护的有效措施,思想指引着行动,先进和科学的思想更有利于事情顺利、快速地进行。档案信息安全体系的建立当然离不开先进思想观念的指导和保障。档案信息安全保障体系的建立,首先要从思想观念上入手。档案信息安全的思想保障是确保该体系建立的关键因素。树立全面科学、可持续发展的档案信息安全观是思想基础。传统静止、片面、不科学的保密安全观、技术安全观、网络安全观、系统安全观都是对安全保障体系认识不全面造成的。因此,新时期要努力克服这些片面的安全观,树立全面科学、可持续的信息安全观。这种可持续发展的档案信息观,是集档案信息记录内容、记录方式、记录载体等为一体的信息安全观。它是现代档案信息安全体系建立的指明灯,为档案信息安全战略的提出和实施,提供了切实可靠的精神力量和理论指导。档案管理者要坚持“纵深防御、综合治理、等级档案保护、促进发展”的思想方针,以呼吁和响应国家信息安全总的要求。在新时期信息时代下,要更加注重“防”。“防”作为一种不可或缺的安全观念俨然已经发展到纵向深层防御的地步;而“治”代表着集安全策略、安全管理和安全技术为一身的综合治理。强调重点,主攻重点,对档案信息实行等级保护,有助于我国档案信息安全保障体系的顺利建设。相关的档案单位要切实做好档案信息“防“”治”和“等级保护”等主要工作,只有这样,才能从思想上逐渐树立可持续发展的信息安全观,促进档案信息安全保障工作的健康、蓬勃、快速发展。
2.制订切实可行的档案信息安全战略规划。在档案合理开放利用情况下,制定切实可行的档案信息安全战略规划,是做好档案信息安全保障工作的重要内容和可行方式。同样也是有效地保护知识产权、隐私权的重要手段,其重要性不容小觑。档案信息安全措施是档案信息安全保障体系的重要内容,居于核心位置。所谓档案信息安全策略,就是相关人员针对档案信息安全的出现的新情况、新特点、新形势、新内容进行仔细研究后总结和归纳出解决问题的新方式和有效举措。为了增强档案信息安全保障工作的科学性和有效性,各个地区不同档案部门都要针对自身的特点制定适合自己的安全保障策略。首先是要加强档案安全危机意识,时时警惕,事事警惕。尽自己最大努力保障档案的安全,尽可能地减少档案流失率和损坏率。其次,完善部门相关法律法规,建立网络危机机构,制定有效、合理的防灾应急方案,未雨绸缪。安全威胁、安全缺陷的出现是档案信息安全不可回避的两个问题。各部门要针对这两方面,客观地对出现的问题进行仔细研究,分析和评估,以达到安全防御措施的顺利实施。档案安全威胁是档案信息安全保障中最棘手也是最重要的一方面,因此,做好安全防御至关重要。再次,部门内部要时常进行危机模拟演练以及组织相应的危机应对培训,健全安全决策,迅速反应的机制,提高整个部门的随机应变能力和执行操作能力。最后,要正确处理档案开放利用和防御保密二者之间的关系,二者并不是时时刻刻都相互对立和排斥,在一定的条件下两者却能相互协调、相互促进,共同推进档案事业的顺利进行。不能单纯因为某些档案信息安全策略的实施而彻底忽视了档案开放利用的重要性,也不能因档案开放利用不顾档案信息安全战略规划。
