时间:2023-09-14 17:45:06
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全整改措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
根据《xx》文件精神,积极组织落实,认真对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况、网络信息安全建设进行了自查,现将情况报告如下:
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强网络信息系统安全管理工作,成立了网络与信息系统安全保密工作领导小组,进一步明确了工作职责、工作制度,切实做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。
二、科学部署、强化网络信息化安全管理工作
针对计算机保密工作,在互联网门户网站、政务微博、微信公众号、互联网办公系统、政务邮箱等处理有关信息时高置了保密提醒功能。对计算机使用做到“谁使用谁负责”;内网产生的数据信息进行严格、规范管理。
三、网络安全存在的不足及整改措施
目前,网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。
针对目前网络安全方面存在的不足,提出以下几点整改办法:
1、加强计算机操作技术、网络安全技术方面的培训。
2、加强全体干部职工在计算机技术,提高计算机专管人员的水平。
此次专项检查中,xx认真贯彻执行保密工作的各项规定,保密责任落实到位,保密措施执行有力。今后我们将继续努力,积极探索新时期保密工作新情况、新问题,力争保密工作再上新台阶。
【关键词】直流供电,不间断,存在问题,整改措施
一、通信用直流供电系统整改的必要性
通信用直流供电系统一般由交流屏、整流屏、直流屏及作为直流后备电源的蓄电池组组成,投入使用后经过长期全天运行,部分设备均会先后出现性能退化、不同程度老化等现象,常见的情况如下:
(1)整流屏的整流器老化或损坏,直接影响系统的正常运行;
(2)智能仪表老化或损坏,不能正确显示系统参数的读数;
(3)交流屏的断路器性能下降,降低系统的安全性能;
(4)设备超过使用年限运行,存在诸多潜在的安全隐患等。
对于达到报废年限或技术性能不能满足实际运行要求的动力设备以及其他网络配套设备,应当及时进行退网更新。以某通信综合楼4楼机房内1套通信用直流供电系统为例,该系统各组成部分的设备情况如下表所示:
该直流供电系统的交流屏及整流屏已到达使用年限,需对其进行更换整改。但是,涉及现有正在运行的直流供电系统整改,整个整改过程必须保证直流系统不间断供电,因而在方案确定前,应经过详细现场勘查,明确系统整改过程中可能出现的各种问题。
二、直流供电系统整改过程的问题分析
直流供电系统对应的负载为通信设备,为保证通信畅通,通信设备不能断电停止运行,因而直流供电系统的整改过程必须做到的关键点是不间断供电,这也是整个整改过程的难点。以上述直流供电系统为例,整改过程有可能出现经下问题:
1.新购设备与原有设备的尺寸不一致
由于是对现有在用设备进行整改更换,一般是在同一安装位置更换设备。然而,新购设备与现有设备因为各方面原因,诸如:厂家不同,或是厂家相同而型号不相同等原因,可能出现新购设备与原有设备的尺寸不一致的情况,这就造成新购设备不能在原来位置更换现有设备,一方面增加设备安装难度,另一方面也对现有机房的安装空间有更高的要求。
2.后备供电设备的问题
整改时系统需先断开交流供电,此时系统的整流器停止运行,由作为后备电源的蓄电池组进行供电。蓄电池组是保证不间断直流供电的最重要的设备,蓄电池组的单体性能、整体容量以及整体电压都是蓄电池组能否正常提供可靠电源的重要性能,如果出现问题,将直接否决系统的供电安全性。
3.施工安全问题
整改过程均是带电操作的过程,对施工安全有更高的要求,对施工操作人员存在一定的触电风险。如何做好绝缘措施,确保施工安全,以防触电、短路等问题,也显得至关重要。
三、直流供电系统的整改措施
对于现有正在运行的直流供电系统整改,经过详细现场勘查,明确系统整改过程中可能出现的各种问题之后,在以保证直流系统不间断供电的原则下,制定切实可行的方案。以上述的直流供电系统的整改为例,有如下几方面的整改措施:
1.新购设备选型
例如上述直流供电系统的交流屏的机架尺寸为600mm×600mm×2000mm(宽×深×高),市面上有另一机架尺寸的交流屏,其规格为800mm×600mm×2000mm(宽×深×高)。那么,在设备选型时就应注意,现有机房的安装空间是否适应宽度为800mm的交流屏,若不能满足,应在方案上明确标注。现有整流屏的整流容量为2000A,整流屏的机架尺寸一般较为固定,那么在新购设备选型时,可以根据机房安装空间决定是新购2架整流容量为1000A的整流屏或是1架整流容量同为2000A的整流屏,均可灵活处理。
2.后备供电电源的保障措施
蓄电池组作为后备供电电源是保证系统直流供电不间断的重要保证,在对系统进行整改前,应对蓄电池组进行容量测试,电压测试,应对蓄电池组各个单体电池进行相应的检测,如:检查各单体电池之间的接线是否牢固、检查单体电池是否有漏液现象出现、检测各单体电池的容量及电压是否正常等。在对蓄电池组进行相关的保障措施,明确其各方面均正常后,系统的整改才可以进行。
3.临时整流设备的应用
一般情况下,系统的整改开始时必须先断开交流供电,整流屏的整流器停止运行,系统暂时由蓄电池组提供直流电源为末端负载供电。蓄电池组的供电时间有限,由蓄电池组容量与负载大小决定,为安全起见,系统整改过程应采用临时整流设备。临时整流设备的接入现有直流供电系统应采取如下几点措施:
(1)合理选择临时整流设备接入点。直流供电系统整流屏与直流屏之间有采用铜排或电缆连接两种方式,不论哪种方式一般均预留有扩容接入口,临时整流设备的接入现有直流供电系统的接入点应选择接线方便、便于装拆的扩容接入口。
(2)严格调试临时整流设备的性能。临时整流设备接入现有系统前,必须从可靠的交流配电设备取电,然后进行相关的调试:电压设定、整流器、线路故障检测及各种信号告警特性、电池充放电电流控制、预防电池深放电选择、并机功能等。临时整流设备在整改过程中的使用时间并不多,但其作用非常重要,故在使用前的调试是确保使用时的正常运行的重要措施,必须相当严格地进行。
(3)临时整流设备接入现有系统,代替现有系统为末端通信设备提供直流电,既减轻蓄电池组的供电压力,也可使现有整流设备脱离在用系统从而确保更换措施顺利进行。临时整流设备与现有系统之间的接线必须牢固,以防接入现有系统时也有可能发生喷出电火花的情况,这是值得注意的。
4.规范系统整改操作流程
在前期准备工作完成后,应有规范的、合理的操作流程,如下:
(1)在低压系统侧断开直流供电系统中交流屏的引电断路器;
(2)临时整流设备接入现有系统,代替现有整流系统提供直流电;
(3)拆除现有系统的交流屏和整流屏;
(4)安装新购的交流屏和整流屏,恢复直流供电系统在低压系统的引电;
(5)对新安装的设备进行调试,正常运行后接入直流供电系统;
(6)断开临时整流设备的供电,之后拆除临时整流设备,完成手尾工作。
一、对已查出的校舍安全隐患的整改方案
1、由于教学楼修建时间较长,教学楼楼梯走道年久失修,现已出现部分表层开裂及钢筋裸露现象,存在一定的安全隐患因素。具体处理意见,必须尽快聘请具备资质的单位对此作出安全鉴定,根据鉴定结果,再采取相应的整改措施,确保安全达标。
2、部分校舍的门、窗已经脱落、损坏,影响其正常使用。要求及时更换、修复、保证校舍的完整性。
3、综合楼内存在乱堆乱放杂物现象,造成走廊堵塞,严重影响通道畅通。必须立即清除,保证通道的畅通和整洁。
4、综合楼部分安全通道指示牌损坏,锅炉房、水泵房、配电房无警示标志。要求马上恢复和补上。
5、综合楼地下室堆放杂物处无任何防护,有一定的安全隐患。要求尽快安装防护门。
6、教学楼消防器材有部分损坏和缺失,存在一定的安全隐患。要求马上补上,杜绝安全隐患。
7、水泵房门、窗已年久失修,对此重地应加强防范,需立即加固、维修。
二、对已查出的供电网络安全隐患作出如下整改安排
1、校园内的供电线路发现有部分老化现象,且布线零乱,不规范,存在一定的安全隐患。为此,根据学校的具体情况,决定有步骤的对其整改,逐步更换。
2、食堂用电线路严重老化,且部分低压电器较落后,易造成安全隐患,要求马上进行整改,排除隐患部分。
3、学生宿舍照明线路布线不规范,有乱搭接现象,且为明线布线,但未走槽板和穿管,存在一定的安全隐患,根据学校的特点,决定在寒假期间对此进行整改,规范电路布线。
4、部分配电箱所用产品老化、落后,存在较大的安全隐患。需立即进行更换。
三、对校园环境存在安全隐患的处理措施
1、校园内部分消防栓及管道因受雪凝灾害的影响,有部分遭到损坏,严重影响消防的正常使用,必须马上修复。
2、校园内部分堡坎无护栏,容易造成安全隐患,对此,决定先设置警示牌,待校园改造时一并处理。
3、校园水泵房侧面围墙已破损,存在安全隐患,决定拆除
四、制度建设,安全教育还有不足之处
1、食堂、水泵房、配电房、锅炉房的安全责任制度还不够完善,应立即补充完善。
企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
4结语
开学条件保障情况组织师生按时返校情况。教职员工是否及时到岗,学生是否按时返校。学工部,人事处
落实学生资助政策情况。是否积极落实国家资助政策,是否出现学生因家庭经济困难而辍学。学工部
教材和教辅材料符合国家规定要求情况。是否及时在开课前将课本发放到学生手中,是否违背自愿原则强制学生订购教辅材料。教务处,图书馆
实验室及实习、实训保障情况。各实验室、实习场所及其设施设备配置是否符合教学需要,运行维护是否符合规范。国资处
后勤保障情况。学校网络、多媒体设备、教学终端等各种教学设施设备及生活设施设备是否经过检修维护,饮食、住宿、水电暖等各项后勤保障工作是否到位。信息技术中心,国资处,后勤管理处
经费保障机制落实情况。财务处
开学主题教育活动情况。是否做好新生心理健康普查和心理危机排查工作,对心理危机事件做到早发现、早干预。学工部
校舍安全管理校舍隐患排查情况。是否建立危旧房屋排查整治台账,尤其是对老校区危旧房屋建立整治规划,即使维修、改造和加固,对D级危房是否即使封存并落实拆除措施。后勤管理处
食品与饮水安全管理食品与饮水安全管理情况。是否加强食品安全和卫生防疫工作,不断完善学校食堂就餐环境。学校食堂食品采购环节、运输环节、储存环节、加工环节等是否存在卫生和安全隐患。自备水源、二次供水及直饮水设施、食堂蓄水池等是否清洁、消毒,是否进行水质检测。后勤管理处
校园安全管理和安全教育学校“三防”建设落实情况。学校是否配齐必要的安全防护、应急处置装备,校园重点部位是否安装视频监控,寄宿制校园是否设专职宿舍管理员,校园安全管理制度是否完善。安全工作处(部),学工部
重点领域治理情况。是否严防溺水事故,坚决避免群体性溺水事故。是否防止校园拥挤踩踏事故,维持好高峰时段学生上下楼秩序。是否强化校园消防安全防控,落实消防安全责任制,定期检查消防设施和器材配置及完好有效情况,组织开展消防演练和应急疏散演练,消除安全事故隐患。安全工作处(部)
高校校园安全稳定情况。是否落实反恐工作责任制要求,强化应急处突工作准备,加强网络安全和舆论引导,确保高校安全稳定。是否加强为先化学品及特种设备的管理,即使处理学校试验用废弃危化品,并落实处置备案制度,及时消除安全隐患。安全工作处(部),国资处
防范非法入侵校园导致学生伤亡情况。各地各校是否制定健全舆情信息分析安全预警快速反应和排查化解联动处置机制和工作责任制,是否加强安全保卫工作队伍建设,是否定期开展安全应急演练工作,是否经常性对师生开展法制教育和公共安全教育。安全工作处(部)
关键词:OA系统;办公效率
中图分类号:U226.8+1文献标识码: A 文章编号:
1 选题理由
网络办公已经成为日常工作必不可少的环节,它在给工作带来了便捷的同时,也引发了新的问题。如经常会出现OA断线、无法登陆办公系统等现象。网内用户越来越多,故障发生的机率就越大,这在一定程度上影响着信息的快速传递和日常办公的效率。OA系统能否稳定运行关系着办公生产,所以我们将降低OA系统故障发生率作为QC活动的研究课题。
2现状调查
通过调查2011年3月、4月、5月的维修记录,对计算机系统维护次数进行了统计。在此期间故障维护共有261起,其中OA系统故障维护96起,电力行业软件维护67起,操作系统类维护55起,其它类维护43起。 OA系统维护量占总维护量的37%,而在OA系统的维护量中,由于Hosts文件被改写所引起的OA系统故障占到了OA系统总故障的55%。
3确定目标
OA系统的故障频发直接造成了系统不稳定,维护量增加,用户不满以及由此引发的工作滞后。所以QC小组决定将OA系统的故障发生率降至10%及以下。
4原因分析
根据对现状调查中存在的问题进行认真的原因分析,总结出5个末端因素,即操作失误、网络参数设置不当、感染病毒、网络连接中断、软件冲突。
5要因确认
QC小组针对上述原因展开调查、通过现场调查、数据测试、集中讨论等手段,对造成连
接失败的各项错误进行汇总。
原因一:操作失误。由于使用者计算机水平参差不齐,难免会出现操作失误导致无法登陆OA系统。
结论:员工经过培训后,一般都能掌握OA系统的操作技能,熟练应用,为非要因。
末端原因二:网络参数设置不当。由于网络设置参数错误如IP地址不对等导致。
结论:这种错误一旦发生可以立即发现纠正,为非要因。
末端原因三:感染病毒。
结论:通过不断加强计算机网络安全的管理,及时更新病毒库,即可保证计算机运行的安全性,为非要因。
末端原因四:网络连接中断。由于停电、施工、网线脱落等外部因素引起的网络中断。
结论:正常使用中,这种故障几率很小,为非要因。
末端原因五:软件冲突。在人员操作十分谨慎且熟练的情况下,发现该故障仍然会不定期存在。如果把操作系统重新安装,OA系统会恢复正常,但不久后又会重新出现相同故障,进行杀毒后仍不能排除,检查网络配置和连接也完全正常。
结论:为要因。进一步检查发现,系统中的hosts文件会自动变为为默认值,从而导致OA系统连接中断。当检查到一些安全辅助类软件时,发现该类软件会自动修改hosts文件为默认值,且该类软件在很多应用软件中都有捆绑,每次清理系统垃圾,或进行系统优化时,就会将hosts恢复默认。所以我们确定类似上网助手,安全卫士等安全辅助类软件是造成hosts文件被反复更改的原因。
以下是各种辅助类软件更改hosts的截图。
6对策及实施
针对上述原因,小组进行了讨论与研究,确定了以下解决对策并加以实施。
实施一:将所有辅助软件都卸载掉,然后更改hosts文件,OA界面立刻可以正常打开。但这种方法存在一定的弊端,即不能够每次出现类似故障都这样更改,较为费时费力。如果用户自行更改,就容易出错,造成新的问题。所以,这种方法不能从根本上解决问题。
实施二:针对实施一中存在的问题,查阅一些书籍资料,制作了一个便捷好用的专门用来更改hosts文件的小工具,并将该工具放置于共享服务器上。所有OA用户,只要在本机上运行一个修改host.bat的文件,即可瞬间修改hosts文件内容使oa页面可以正常打开。省去了从前的找到相应文件夹,选择打开方式并输入内容的步骤。减少了错误发生的概率。
更改难度的降低、操作上的便捷,大大提高了工作效率,降低了维护人员的工作量。通过宣传培训让所有用户都掌握了该项故障的处理方法,极大的降低了OA系统的故障发生的机率。
实施三:为了尽量降低OA系统的故障发生率,不仅要保证hosts文件的正常,还要保证页面中的插件可以正常运行。我们又采用将.cn添加进安全信任站点的方法来保证插件的正常载入。这样,以简化Hosts文件的改写为主,以浏览器的设置为辅,更高地提高了OA系统运行的可靠性,基本杜绝了Hosts文件引起的OA系统故障发生率。
7效果检查
经过一段时间的运行,经统计2011年9月至11月底,所有计算机发生故障累计157次,其中OA故障仅有8起,所占比例由原来的37%降低到了5%,实现了预定的目标。
结语
通过本次QC活动,极大降低了OA系统的故障发生率,不仅提高了办公效率,还大大减轻了维护人员的工作量,节约了生产成本。
参考文献
关键词:地县一体化;后台网络;MAC地址绑定;安全管控
中图分类号:F270.7 ; ; ; ; ;文献标识码:A ; ; ; ; ;文章编号:1007-0079(2014)17-0123-02
调度是智能电网六大环节(发电、输电、变电、配电、用电和调度)之一,是电网运行的中枢,指导电力系统的整体运行,负责系统内重要操作和事故处理。调度自动化系统作为电网运行控制的基础,其性能好坏对电网的安全经济运行起着重要作用。
为满足国家电网公司“大运行”体系建设的要求,实现调控运行的“标准化、一体化建设,精益化、集约化管理”,合理利用调度自动化系统建设资金,优化配置大二次系统运行维护资源和技术资源,近年来许多地区开展了地县调控一体化自动化系统建设。地县调控一体化自动化系统建设的快速推进使计算机网络成为电网调度机构的主要技术支撑平台。随着地区调度自动化系统后台网络覆盖面快速扩大,系统接入信息点数量倍增,系统后台网络的安全隐患也在逐渐增大。系统网络应用和功能不断增加,促使电力生产对调度自动化系统后台网络的安全性、稳定性、可靠性提出了更高的要求。[1]本研究通过分析地县调控一体化自动化系统后台网络安全现状,采取相应的技术措施完善交换机配置,并制定配套的设备接入管理措施,为地县调控一体化自动化系统后台网络管理工作提供了一种行之有效的安全管控策略。
一、当前系统网络安全存在的问题
在地县调控一体化自动化系统中,后台网络作为整个系统的骨架,承担着传输前置实时数据以及后台同步数据的重要责任,是实现自动化数据采集和系统有序工作的基础设施,网络的安全稳定是保证地县一体化系统安全、正确运行的基础。据统计,目前地县调控一体化自动化系统后台网络安全工作存在以下几个问题:第一,调度自动化系统实行地县调控一体化后,任何一台存在错误配置的服务器或工作站接入后台网络都可能引起自动化系统SCADA(数据采集与监控)服务器消息接收异常,严重时甚至会带来网络风暴,影响整个一体化系统的运行。由于缺乏规范的设备接入管理措施,该类故障发生后故障源难以快速定位,对调控运行人员的监控工作带来影响。第二,调度自动化系统后台网络接入信息点的增多,超出了网络管理员的人工监管范围。许多县局存在私自从接入层交换机或现有接入点挂接HUB等网络设备的情况,任意接入或搬移工作站的行为在给系统安全带来威胁的同时也会导致自动化资产管理混乱。第三,外部人员(如厂家)所携带的计算机设备随意接入后台网络,极有可能给电力调度自动化系统带来病毒、木马甚至恶意攻击。[2]第四,地县调控一体化运行模式实施后,每个地区分别配备两台接入交换机。除地调接入交换机与地县一体化汇聚交换机置于地调外,其他接入交换机分别布置于备调及各个县局。当前接入交换机设备未开启远程访问功能,给网络维护人员的故障排查及处理带来困难。同时,接入交换机设备未配置任何登陆身份认证机制,交换机配置可轻易被篡改,存在安全隐患。
综上所述,网络维护人员急需对地县调控一体化自动化系统后台网络采取一定的整改措施,以实现对网络中接入的交换机、工作站及服务器等设备的有效管理,确保一体化系统后台网络的安全稳定运行。
二、制定解决方案及措施
地县调控一体化调度自动化系统改变了过去地区、县局自动化系统分散建设的模式,其网络运行、维护管理模式也必须与之相适应,做出适当调整。本文提出的地县调控一体化自动化系统后台网安全管控策略通过对调度自动化系统后台网交换机实施一系列的安全措施,同时配合后台网设备接入相关管理流程的制定,达到对后台网的安全管控目的,防止电网调度自动化系统后台网遭受非法设备入侵。
1.主要实施步骤
一是开启基于口令的SSH远程访问功能,设置交换机console口登陆密码与IP访问控制表,指定所有接入层交换机只能通过地调指定服务器进行远程登陆访问。该措施可有效提升网络设备的安全性,并缩短网络故障排查及处理时间。二是通过交换机指令查询各端口的状态信息。根据图1所示方法对交换机端口进行归类,制作《地县调控一体化后台网设备接入信息表》。表格主要登记了一体化系统后台网络所有接入层交换机各端口的设备连接信息,内容主要包括接入设备的机器名、IP地址、MAC地址、所连端口号、所连交换机名称等。然后关闭无任何设备连接的闲置端口。三是核查《地县调控一体化自动化系统后台网工作站接入信息登记表》的信息与实际情况是否相符,纠正不正确的设备连接,并及时更新信息登记表。四是根据核查更新后的《地县调控一体化自动化系统后台网工作站接入信息登记表》,对有设备接入的非级联端口进行端口MAC地址绑定,交换机级联端口不做绑定。
2.交换机配置方法
本文提出的后台网络安全管控策略的关键措施是实施了交换机端口MAC地址绑定技术。以下以思科C3560交换机为例阐述该技术的主要实现方法:[3]
(1)当交换机端口只连接一台工作站时,可进行如下配置:
Switch#config terminal
Switch(config)#interface 端口号
//输入配置端口号
Switch(config-if)#switchport port-security mac-address Mac地址//给端口添加安全MAC地址
Switch(config-if)#switchport port-security maximum 1 //限制此端口允许通过的MAC地址为1
Switch(config-if)#switchport port-security violation protect //丢弃违规访问设备的数据包,不发警告
(2)当交换机端口通过挂接HUB或其他交换机设备(非接入交换机)连接多台终端设备时,使用如下配置方法:
Switch#config terminal
Switch(config)#interface 端口号//输入配置端口号
Switch(config-if)#switchport port-security mac-addressMac地址1 //给端口添加安全MAC地址1
Switch(config-if)#switchport port-security mac-addressMac地址2 //给端口添加安全MAC地址2
Switch(config-if)#switchport port-security mac-addressMac地址N //给端口添加安全MAC地址N
Switch(config-if)#switchport port-security maximum N //限制此端口允许通过的MAC地址数量为N
Switch(config-if)#switchport port-security violation protect //丢弃违规访问设备的数据包,不发警告
三、制定相应的安全管理流程
接入交换机安全配置的完善及端口安全技术的实施是一个可行的局域网管理方法,但在使用该策略时,必须建立配套的管理制度并有效执行,这样才能使该安全策略起到良好的持续的效果。[4]本文提出的安全管控策略除了实施相关技术措施外,还制定了配套的管理措施:
第一,根据《地县调控一体化自动化系统后台网工作站接入信息登记表》绘制了《温州地县调控一体化自动化系统后台网交换机连接拓扑图》及各接入层交换机设备连接状况拓扑图,为网络维护与故障排缺工作带来极大便利。第二,制定《地县调控一体化后台网设备接入管理规程》,规定当新设备需接入后台网或老设备需更换接入端口时,必须按要求填写《地县调控一体化后台网设备接入申请表》,地调侧网络管理人员与县调侧维护人员确定设备接入时间后,按照申请表信息对相应交换机进行具体安全配置。当有多台设备需要接入网络时须按顺序逐台连接。每接入一台设备必须检查地县调控一体化自动化系统应用及网络状态是否异常,若一切正常再继续接入第二台设备。若系统有异常现象出现(如其他工作站的网速被明显拖慢),则立即将该设备断网,检查该设备是否存在配置错误,错误消除后方可接入后台网,以此实现对接入设备的风险管控。
自动化网络管理员对交换机实施安全措施的流程如图2所示。
四、 结语
基于地县调控一体化调度自动化系统的后台网安全管控策略目前已实际应用于温州地县调控一体化自动化系统的网络安全管理。该策略的实施有效降低了温州地区自动化系统后台网络的故障发生率,提升了网络运行的稳定性,并推进了地县调控一体化建设管理工作的规范化。
参考文献:
[1]叶芸.浅议电力调度自动化网络安全与实现[J].科技传播,2011,
(4):161-162.
[2]张才俊.交换机端口安全策略在网络中的应用案例[J].科技资讯,2009,(31).
[3]汪宇昕.MAC地址与交换机端口的绑定――交换机端口安全配置[J].统计与管理,2009,(10):28.
关键词:信息安全防护体系;风险评估;信息安全隐患;应急预案
中图分类号:F470.6 文献标识码:A 文章编号:
信息安全管理是信息安全防护体系建设的重要内容,也是完善各项信息安全技术措施的基础,而信息安全管理标准又是信息安全管理的基础和准则,因此要做好信息安全防护体系建设,必须从强化管理着手,首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念,并结合公司信息安全实际情况,制订了信息安全管理标准,明确了各单位、各部门的职责划分,固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程,促进了各单位信息安全规范性管理,为各项信息安全技术措施奠定了基础,显著提升了公司信息安全防护体系建设水平。
1电力系统信息安全防护目标
规范、加强公司网络和信息系统安全的管理,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃, 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,并以此提升公司信息安全的整体管理水平。
2信息安全防护体系建设重点工作
电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面,结合本公司信息安全防护体系建设经验,对信息安全防护体系建设四项重点工作进行阐述。
2.1 信息系统安全检测与风险评估管理
信息管理部门信息安全管理专职根据年度信息化项目综合计划,每年在综合计划正式下达后,制定全年新建应用系统安全检测与风险评估计划,确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内,按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内, 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试,并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分, 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南(试行)》进行安全加固,加固后 5个工作日内,经信息管理部门复查,符合安全要求后方可上线试运行。应用系统进入试运行后,应严格做好数据的备份、保证系统及用户数据的安全,对在上线后影响网络信息安全的,信息管理部门有权停止系统的运行。
2.2 信息安全专项检查与治理
信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作,对在检查中发现的问题,检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位,隐患分为重大隐患和一般隐患,对于重大隐患,信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案, 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪,并组织复查,对未能按期完成整改的单位,信息安全专职 10 个工作日内汇报信息管理部门负责人, 信息管理部门有权向人资部建议对其进行绩效考核。
2.3 信息安全应急预案管理
信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划,并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定,各种预案制定后 5 个工作日内交本部门主要负责人审批,审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训,并按年度计划开展预案演练。 根据演练结果,10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订, 对更新后的内容, 需在 10 个工作日内经本部门领导审批,并在审批通过后 5 个工作日内报信息管理部门备案。
2.4 安全事件统计、调查及组织整改
信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件,并在每月 30 日以书面形式报告信息管理部门信息安全专职, 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内,信息管理部门信息安全专职负责组织对事件的调查,调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行,并组织开展信息系统事故原因分析,坚持“四不放过”原则,调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。
3评估与改进
通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准, 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰,有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化,在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程, 搭建了信息安全防护建设工作的基础架构,实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工,管理方法,管理流程、考核要求,文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进,使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后,江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设,管理与技术措施并举,构建坚强信息安全防护体系。
一、加强教育演练,提升师生自救自护能力
1.扎实开展安全教育主题(专题)活动。组织开展第二十个全国中小学生安全教育日、第八个福建省学校安全教育周、安全生产月、综治宣传周、5.12防灾减灾日、11.9消防宣传日、12.2交通安全日及特种设备、水上交通安全等主题宣传教育活动,重视抓好安全知识网络竞赛活动、体验式生命教育和平安暑期、寒假专项作业等教育活动。充分利用综合实践活动基地、青少年校外活动中心和社会实践基地等阵地开展安全知识宣传普及活动,积极协调公安、交通、消防、地震、气象等有关部门支持,在各类校外教育实践场所布置、开设一系列安全宣传教育功能室及专题讲座;加强与广播电视、手机媒体、公交电视、户外传媒合作,大力宣传普及综治安全法制和基本常识,及时报道综治安全工作特色亮点和成绩经验。利用“两微”平台、手机短信、校讯通等信息技术,加强学生安全家庭教育和社会宣传,营造保障学生安全的家庭和社会良好氛围,提升全社会综治安全意识。
2.全面落实安全教育课程。贯彻落实教育部《中小学公共安全教育指导纲要》,做到安全教育课程、课时、教师、教材、教研和考核“六落实”,确保各学校每学年安全教育课程不少于12课时,并列入正式课表,每学期开学第一周和放寒暑假前一周必须安排一节安全教育课。组织学生使用好《公共安全教育读本》。建立考核评价体系,落实教师安全教育职责,提高教师安全教育水平。把安全教育纳入学校教研内容之中,积极开展安全教育师资培训,加强课程资源和教学教研课题研究,探索信息化条件下安全教育教学新模式,强化学校安全隐患台帐网络管理平台建设。组织督查调研,总结、交流和推广教育教学成果,举办优质特色课程观摩评比活动,提高公共安全教育课程的实施水平。
3.加强应急逃生疏散演练。按照教育部《中小学幼儿园应急疏散演练指南》,全面落实应急疏散演练制度,将安全演练纳入学校常规管理,中小学校每月至少要开展一次应急疏散演练,幼儿园每季度至少要开展一次应急疏散演练,做到教职员工、学生全覆盖。采取形式多样、内容丰富、学生喜闻乐见的方式,促进应急疏散演练制度化、常态化、规范化。加强与有关部门沟通联系,有效组织防地震、防火灾、防踩踏、防食物中毒、防交通事故、防校园伤害等系列演练活动,提高师生避险、逃生技能和自护自救能力。
二、深化“两项创建”,构建安全文化
4.全面深化“两项创建”工作。进一步健全创建工作机制,创新创建载体,丰富创建内涵,强化创建措施,巩固创建成果,增强创建实效,提升创建动力和活力;不断完善创建考评激励机制,把“两项创建”实效作为精神文明、党建先进评选和绩效考评的前提条件,纳入学校综治安全工作重点和目标责任制考评重要内容,及时总结推广典型经验,形成精品特色,确保完成2015年辖区学校安全标准化建设及“平安校园”等级创建评审达标率不低于65%的任务目标。
5.构建校园安全文化。开展校园安全文化建设活动,制定建设办法与标准,培育2—3所校园安全文化创建示范校。坚持学校安全文化建设与平安校园创建紧密结合,重点夯实校园安全物质文化、构建校园安全制度文化、培养学生安全行为文化、凝聚校园安全精神文化。会同有关部门,深化消防安全、交通安全、防震减灾等安全示范学校建设活动。
三、推进管理创新,提升能力水平
6.加强安全防控机制建设。严格执行中央综治办、教育部、公安部《关于进一步加强学校幼儿园安全防范工作建立健全长效工作机制的意见》和公安部、教育部制定的国家标准GB/T29315-2012《中小学、幼儿园安全技术防范系统要求》等文件规定,不断加大人防、物防和技防建设投入,将“三防”建设纳入学校标准化建设。努力构建新型校园安防体系,加强重点要害部位视频监控、消控、报警等技防设施规范化建设,实现全覆盖和“人机互动”。积极应对和妥善处置重大突发事件,建立健全校园安全管理及保障制度,完善事故预警、应急救援、善后处置预案,推动落实安全管理日志制度。完善校园安全警示标志设置。主动协调配合综治、公安等部门开展“护校安园”行动,加强校园及周边地区巡逻防控和治安排查。健全完善学生人身伤害校方责任险和学生人身意外伤害险制度。
7.推进安全隐患排查治理机制建设。建立隐患排查治理联动机制,健全完善校园安全隐患排查台帐制度、报备制度和挂牌督办制度,做到隐患整改措施、责任、资金、时限、预案“五落实”,推动安全隐患排查治理常态化、规范化和管理信息化。及时总结推广隐患排查治理工作经验,县教育局每学期至少组织2次、各学校必须每月进行1次校园安全隐患排查与整治行动。
8.提升安全教育信息化网络平台应用水平。借助“福建省安全教育信息化网络平台”,创新安全教育方式,探索新媒体信息化条件下学校安全教育教学新模式。开展平台应用操作培训,开设在线安全教育课程,组织线上安全教育活动,布置平安寒暑假作业,实现安全教育教学资源共享;推动互动式安全体验教室(馆)、体验中心建设,进一步增强学校安全教育工作的针对性、实效性和科学性。
9.强化队伍建设与岗位培训。重点加强县、校两级特别是民办学校安全管理(保卫)机构和干部队伍建设,配齐配强专职安全管理(保卫)人员,以适应工作需要。制定培训计划,落实培训经费,有计划地组织教育行政部门学校安全管理人员、学校负责人、安保人员及特种作业人员参加省、市、县、学校四级岗位安全培训,做到持证上岗。将安全教育及管理内容纳入开展校长、教师培训的重要内容,作为师训干训的必修课程。指导推动各校利用教育网络教研平台,开展校(园)长、安全管理(保卫)干部和特殊岗位人员岗位安全远程教育培训。
10.强化信息报送和档案管理。切实履行安全事故和突发事件信息报告职责,严格执行省教育厅有关学校安全事故报告规定,杜绝迟报、瞒报、不实报现象的发生。建立安全工作记事和分析制度,加强安全数据档案管理,做好相关数据统计、报送、分析、建档工作,规范档案材料的收集、分类、整理、成册、入柜管理。
11.加强理论研讨与优秀成果推广。充分发挥“县教师进修学校教研室”的职能作用,组织开展学校安全管理与安全教育实践教学研究及成果推广,总结交流安全教育及管理经验。适时开展《校车安全管理条例》及福建省《实施办法》、《福建省学校安全管理条例》执行情况和公共安全教育进学校进课堂等专题调研和经验推广交流活动。
12.加快推进综治安全信息化建设。按照科技引领、信息支撑的思路,构建纵向贯通、横向集成、互联互通、共享共用、安全可靠的学校综治安全信息(网络)系统,推进省市县校综治安全服务管理信息化平台建设、管理和深度应用,实现互联互通;促进地方和学校建立集治安防控、隐患排查治理、校车管理、安全管理、网格化服务及公共应急指挥等多位一体的校园安全云服务管理平台。主动适应大数据、新媒体时代要求,强化网络平台、微博、微信等新兴传播工具信息综合运用,加强安全教育信息平台、“学校安全”网站(页)建设,及时通过网站(页)信息资讯、解读政策法规、传播安全知识。
四、突出工作重点,构建长效机制
13.有效预防学生溺水和交通事故。加强宣传引导,开展警示教育,建立每日提醒警示制度,即学校门口显目位置设置游泳和交通安全提示牌,利用每天5分钟安全警示教育,开展防溺水、防交通事故警示教育。持续开展防溺水、防交通事故安全教育优质课征集评选活动,充分利用当地新闻媒体,通过家访、《告家长一封信》、手机短信等形式,向学生及家长学生游泳和交通安全提示,增强家长安全意识和监护责任意识。推动建立防溺水、防交通事故分析研判制度和联防联控机制,主动提请当地党委、政府协调有关部门及镇(乡、街道)、村(居)和社区,广泛深入地开展重点水域、路段安全管理及排查巡查,设置安全警示标牌、减速带、隔离带、防护栏等设施,努力降低学生溺水和交通事故发生率。
14.加强校车安全管理。根据县委宣传部、县教育局、县公安局、县交通运输局、县安监局联合下发的《县校车及学生交通安全隐患排查整治百日行动工作方案》,进一步推进集中接送学生车辆和学生道路交通安全综合整治“三年行动”的深入开展,协调、配合有关部门开展专项整治,建立健全集中接送学生车辆和非法营运车辆交通安全举报监督制度,严查接送学生车辆交通违法行为,定期或不定期检查并补充、修缮校园及周边道路交通安全警示标志、标线和防护设施。提请地方政府并会同有关部门推进农村寄宿制学生周末班车开通运营工作,进一步规范规模较大学校校园内交通安全及师生接送车辆安全管理。
15.加强消防安全管理。深入开展“清剿火患”行动,强化“四个能力”建设。严格落实消防安全条件、隐患排查整改和日常管理制度措施,强化消防安全“标准化”、“户籍化”管理和火灾风险评估。明确学生宿舍、实验室、图书室、食堂餐厅等重点部位、重点岗位的消防安全责任人,设立单位消防工作机构,配备专(兼)职岗位人员,加强防火巡查和应急疏散演练,开展消防安全优质课征集评选活动。全面提升学校建筑消防设施完好率,提高火灾高危和消防重点单位的人防、物防、技防水平。
16.强化饮食卫生安全管理。严格执行《学校食堂与学生集体用餐卫生管理规定》,规范卫生操作规程。健全完善食堂卫生许可证、健康证、定点采购、索证、登记与食品留样、记录等管理制度,定期检查食堂及饮用水的卫生安全状况,加强人员培训,有效治理校园餐桌污染,强化农村学生营养改善计划的食品安全管理。配合有关部门加强校园周边无证经营饮食摊点卫生安全整治。严防校园食品安全事件的发生。
17.加强校园及周边治安综合治理。强化校园周边综治防范措施,认真贯彻落实闽教安〔2014〕21号文件精神,充分发挥学校及周边综治领导小组及办公室的作用,健全完善部门协同的齐抓共管机制,统筹协调有关部门开展校园及周边治安环境、交通秩序、文化娱乐场所、食品市场、网络诈骗和“护校安园”、“清剿火患”、“六打六治”打非治违等专项整治行动,净化校园周边环境。坚持前端管理、源头防范,实现预知预警、预防预控,主动提请当地政府协调有关部门,深化校园及周边治安突出问题集中整治、挂牌督办、联动推进、督导检查机制,强化校园周边易肇事肇祸、有潜在暴力倾向等重点人员的排查、救治、帮扶、管控,及时化解矛盾纠纷。加强有不良行为学生的教育、矫治、管理,建立心理预警、疏导机制,推进专门学校建设和专门教育工作,开展管制刀具、器械收缴行动,有效预防和控制侵害学生及学生打架斗殴等涉校涉生暴力案件的发生。
18.健全矛盾纠纷排查化解工作机制。落实工作责任,建立领导干部定期接访制度,及时调处、解决不稳定、不安全隐患及突出问题,依法处置活动中的违法行为。健全完善学校矛盾纠纷排查调处、诉求表达和权益保障机制,引导师生依法逐级反映诉求,及时排查、分析、研判教育系统存在的突出矛盾纠纷,建立预警机制,加强学校、班级综治安全信息员队伍建设。强化学生生命教育、心理健康教育和网络安全教育,防止网络诈骗和传销。加强问题学生和教职工的思想引导、心理疏导、行为管控和台账管理,及时排查化解可能发生的师生矛盾纠纷。
五、强化督导检查,有效消除安全隐患
19.加强阶段性督导检查。建立全县学校综治安全管理工作专项督导制度,探索建立安全巡查制度,健全完善督导检查、督查通报、落实整改、限期反馈和“回头看”等工作制度,提高督查效率效能。探索建立学校交叉检查机制,协调并配合有关部门通过定期或不定期的交叉检查、专项督查、随机抽查和明查暗访等方式,重点加强防溺水、校舍安全、校车及学生交通安全、饮食卫生安全、消防安全、实验室危化品安全、网络安全、校外集体活动安全等督导检查,及时发现问题,通报情况,挂牌整治,实现督导检查与隐患整治、规范管理、督查通报、绩效管理有机结合。
六、落实岗位责任,构建履职考评体系
1.1企业信息化网络平台架构设计目标的确立
企业信息化网络平台是由平台上的各业务信息系统所构成,所以各业务信息系统运行的性能也直接决定了企业信息化网络平台的运行性能。同时信息化网络平台的运行性能又决定了供水企业应用系统的运行效率。所以在企业信息化网络平台架构设计目标确定时,需要全面对企业信息化应用技术的状况进行评估,根据评估结果及信息网络工程建设的实践经验等,从网络逻辑和物理拓扑、流量控制、IP地址规划、网络设备自身安全、路由规划等各方面出发,制定出与供水企业生产、营销和信息应用发展相吻合的网络建设目标。
1.1.1网络结构的确立
在企业信息化网络平台设计时,需要对信息应用系统的覆盖范围、位置分布、用户群发展趋势及技术特性等进行深入的分析和调研,并与网络技术的发展趋势有效的结合,从而进一步对网络逻辑拓扑结构、物理拓扑结构和相关的路由、网络安全及流量控制等目标进行确定。
1.1.2网络保障建设目标的确立
通过确立网络保障建设目标,可以有效的确保供水企业生产、营销信息应用系统的安全性,在企业信息化网络平台建设过程中,需要依据相关的分类标准和企业的实际需要来确立网络保障建设目标,确保企业信息化网络平台具有较好的可用性和安全性。
1.1.3网络链路目标的确立
在企业信息化网络平台链路建设时,需要以供水企业生产、营销系统中用户群分布、带宽消耗及带宽的增长趋势等作为重要的参考标准和依据。
1.1.4网络平台的前瞻性和适应性的确立
目前由于科学技术发展的速度较快,在供水企业网络平台建设过程中,需要对应用系统中技术特性及网络平台新技术的特性进行充分的考虑,确保各种特性之间能够实现有效的结合,确保网络平台建设的前瞻性和适应性。
1.1.5网络设备的选择
需要根据供水企业应用系统的特性出发,对网络设备进行选择,对生产、营销系统的发展进行评估,确定各种产品的笥能和参数,从而选择具有较好安全性的网络设备。
1.2企业信息化网络平台的设计原则
1.2.1以生产、营销应用系统的需求
为网络平台设计的出发点。企业信息系统对网络架构具有较高的需求,因此在对网络结构进行设计过程中,需要以企业信息应用系统的需求为准确和出发点,并进一步对企业的组织机构和企业的特性进行综合考虑,从而利用科学、合理的方法来设计网络架构,确保其能够更好的与企业信息应用系统的需求相吻合。
1.2.2简化实用的设计原则
在信息化平台的设计方面,要尽量遵循简化和实用的原则,一方面有利于操作人员工作的开展,另一方面也可以有效的减少后期的维护费用,降低企业的运行成本。
1.2.3信息化网络平台的建设
还要从长远发展的角度出发,通过对未来的发展形势进行预测,在功能上、安全性以及稳定性方面确保网络信息平台的有效运行。在确保网络信息平台基础功能以及运行稳定性的基础上,还要从经济性的角度考虑,确保企业发展的平衡。
2面向供水企业信息化网络平台的构建要点
2.1信息化网络平台组织机构的建设要求
为保证企业信息化网络乎台建设工作的顺利开展,并实现与供水生产、营销的充分结合,企业一定要配备专业的技术人员、业务人员和管理人员,构建完善的项目建设组织机构,做好信息化网络平台建设过程中的协调与管理工作。
2.2信息化网络平台监管机制的构建
在企业信息化网络平台建设的关键环节,为保证与应用系统的充分结合,企业要构建信息化网络平台建设的监管机制,即依据企业信息化网络平台的实施计划,做好技术关键点等重要环节的监管工作,制定科学的检查、监督和处理流程,对于在监管过程中发现的问题,要及时采取整改措施,确保网络项目工程的建设质量,并及时对相关问题进行备案。
2.3制定科学的网络平台建设实施计划
企业在充分考虑生产、营销业务需要、技术实施关键点、技术实施难度、实施流程、网络设备配置情况等多种因素后,要制定科学的信息化网络平台建设的实施计划,确保企业信息化网络平台的建设质量,更好地为供水服务的开展奠定良好的基础。
2.4做好培训宣传工作
在进行企业信息化网络平台构建过程中,需要做好各个阶段的培训和宣传工作,使唤企业员工更深入的认识和理解企业信息化网络平台,使唤企业信息化网络项目建设的方向能够得到较好的保障,确保企业信息化网络平台预期建设目标的实现。特别是加强对相关人员相关业务知识和环节的培训工作,确保网络平台运行管理能力的提升。
2.5做好相关文档的收集与整理工作
每一个文档都是网络平台建设过程中的真实记录和重要凭据,所以需要做好收集和整理工作,确保为后期项目验收提供重要的凭证,同时还能够为投入运行后的网络平台运行和管理提供重要的参考作用。
3结束语
【关键词】大中型企业 会计信息系统 内部控制
现阶段,随着大中型企业的不断发展与进步,依托于计算机及网络技术,会计信息系统特征逐渐明显,并对内部控制方法革新带来更多契机。由于会计信息系统软件是重要执行要素,若其发生显著变化,必然导致内控主体发生改变。为减少快进信息系统问题,防控内部控制风险,应进一步加大防范措施,有效提高会计信息系统安全运行,从而更好的为企业服务。
一、会计信息系统内部控制主要特征
(一)满足不同内部控制要求
软件系统缺陷会导致多种错误,对企业财务信息安全、核算工作造成较大影响。大中型企业财务工作繁琐,需要会计信息系统的辅助。但是,信息系统软件开发成本较高,在设计或购买会计核算软件时,应与企业实际需求相符,并保证其不存在运行漏洞。这样一来,不仅能够有效减少软件系统缺陷,同时也能对大中型企业会计核算的准确性提供有效保障[1]。
(二)增加信息处理机构
传统意义上的财务核算工作,需要企业不同部门相互协作。但是,在会计信息系统核算条件下,大量会计信息需要进行集中管理,原本分散式管理无法满足实际需要。会计信息环境中,大中型企业原始数据生成、编码等工作无需信息数据管理机构负责,其余全部会计信息管理工作均由信息数据管理机构进行处理。因此,对于大中型企业而言,增加信息数据管理机构,并使其处于财务内控管理中,对企业财务管理而言相当重要。
二、会计信息系统内部控制面临的风险
(一)信息系统信息化程度偏低
大中型企业虽然设置信息系统管理部门,且岗位职能、权限比较明确,但是由于很多传统企业财务改革力度严重不足,导致会计信息系统信息化程度偏低,对会计信息资源共享带来严重阻碍,并对信息资源互换带来影响。这种情况的普遍存在,不仅导致企业财务管理工作出现较大漏洞,同时也会对企业整体利益造成危害,对企业长久稳定发展产生不利影响。
(二)信息系统存在较大安全隐患
会计信息系统构建离不开计算机技术及网络技术的支持,互联网能够促进信息传播,还能实现资源共享。但是,若存在信息系统安全隐患,则易导致会计信息外泄,严重威胁到企业的财务信息安全。从很多大中型企业实际情况来看,不少企业存在会计信息被偷窃、篡改现象,或时遭受病毒侵害。
(三)会计信息档案管理问题严重
会计信息系统在我国大中型企业推广实行以来,取得比较显著的管理成效。但是,伴随着我国经济的不断进步,很多企业会计信息、数据存档方法发生彻底改变,因此在执行和操作时需要不断提高管理标准,进而有效应对管理制度不完善现状。现阶段,会计信息档案管理问题严重,导致会计信息安全受到影响。
三、完善会计信息系统内部控制主要策略
(一)强化基础管理,提高信息化程度
在实际工作中不断对会计基础工作进行完善,寻求相关法律法规的支持,全面落实基础核算方法。将财务风险防范放在首位,加强监督,定期检查,及时发现会计信息风险。与此同时,要不断加强财务改革力度,提高会计信息系统本身的信息化程度。转变信息化建设落后现状,提高人力资源使用效率,为此应加大宣传力度,提高关注力度,积极参与到信息化建设工作中,深化内部控制内涵,掌握信息化管理的目的、整改措施及主要实施流程[2]。改变被动会计信息核算及管理先准个,主动引入相应管理机制,从而有效促进信息资源共享,增加信息资源互换。
(二)保障系统安全,减少系统运行隐患
对于大中型企业而言,在会计信息环境的影响下,会计内控目标实际上与企业财务内控目标具有高度的一致性。也就是说,会计信息及相关数据要具有准确性,同时对财务资产自身的安全提供良好保障,并且最终要时间企业财务管理目标,促进企业经营发展。为此,应对企业内部局域网络系统进行优化,配合外部网络连接,实现准确沟通,并在此基础上添加登录权限,充分提高网络安全性,有效弥补财务管理漏洞,促进企业稳定健康发发展。信息系统正式应用之前,要对其进行一定的试运行测试,虽然会增加成本,但是仍要根据实际情况进行准确安排,在有效控制成本支出的同时,进一步强化系统安全。
(三)明确管理机制,优化会计档案管理
大中型企业财务信息庞大,且会计资料、数据繁多,这种情况下,势必要增加信息数据管理机构或部门,并对传统职能部门的实际工作内容进行调整。同时,对其开展相对严格的档案管理,能够有效促进信息安全[3]。在构建会计信息系统时,要立足于财务内部控制工作,对档案管理进行有效筛选。对于相关从业人员来说,不仅要具备高超的操作技能,还要兼具良好的道德品质,从而有效提高会计信息、数据的管理水平。建立相对全面的会计管理机制,对会计信息管理提供依,并为会计信息系统正常运行提供坚实保障。此外,为充分保障会计信息档案的安全性,应对财务管理相关软件功能进行不断优化,避免发生数据、信息丢失现象。
四、结束语
综上所述,大中型企业会计信息系统内部控制具有明显的特征,且运行过程中存在较多问题,这些问题不仅严重影响财务工作效率,同时也对会计信息核算质量产生制约,由此直接影响到财务内控的顺利实施。为此,应对现阶段会计信息系统内部控制面临的风险及问题进行分析,结合问题反馈,提出企业会计信息系统内部控制相关优化措施,旨在进一步规范信息系统构建,为财务内控良好运行夯实基础。
参考文献:
[1]谢韶春,吴良海.IT环境下企业会计信息系统及其内部控制架构――基于马钢材料公司的会计信息化探索[J].产业与科技论坛,2015,08.
【关键词】LTE-R系统 网络覆盖 原因分析 处理措施
为满足2万吨列车应用业务的需求,新型宽带移动通信系统(LTE-R)于2014年9月份在朔黄铁路公司顺利开通。如何保障LTE-R系统网络覆盖安全,给专业维护人员提出了更高的要求,要达到这一目的,就必须不间断的对网络进行优化,统计整理原平分公司管内LTE-R系统开通运行以来网络优化的数据,并进行分析、探讨,提出相应的解决措施,对于后期故障处理,提高网络的运行安全具有重要意义。
1 原平分公司管段内LTE-R网络覆盖情况分析
原平分公司管段内LTE-R网络覆盖情况复杂,无线网络运维难度大,其主要表现在如下方面:
(1)无线场景复杂,既有平原场景覆盖(四角落地塔搭配板状天线覆盖)也有隧道场景覆盖(隧道内漏缆覆盖、隧道口尾巴天线覆盖等)。
(2)地形多山区、丘陵,对无线信号阻挡严重,在实际网络覆盖优化时既需要保证良好的信号覆盖,又需要考虑强信号越区导致的网内干扰,影响网络质量。
(3)隧道众多,绝大部分采用漏缆方式覆盖,漏缆维护工作量大。尤其需重点防范高驻波比问题、浸水漏水问题造成的信号衰减。
(4)神池等地属多风地区且风力大,四角落地塔天线、隧道口尾巴天线易受外力影响导致方位角、下倾角的变化,影响网络信号覆盖,易多发越区覆盖、弱覆盖等问题。
2 网络优化的意义及目的
(1)网络优化的意义:LTE-R系统承载了列控、机车调度及语音通话等重要业务,尤其是无线侧作为业务应用的基础通道,其优质运行是LTE-R系统业务高效承载的重要保证。网络优化作为LTE-R系统重要的运维保障措施,意义重大。
(2)网络优化的目的:保证无线网络覆盖良好,通过测试获取第一手网络运行数据;
(3)排查处理网络覆盖问题(覆盖空洞、过覆盖等),及时发现网络覆盖波动,处理潜在风险点。
(4)保证重点业务运行正常。
3 网络优化的主要工作模式
网络优化的主要工作模式主要有以下几点:
(1)建立轨道车(添乘)测试系统,充分模拟机车运行业务应用,按周期进行无线网络测试;
(2)测试数据分析,发现无线网络存在的问题点或潜在风险点;
(3)针对问题点或潜在风险点进行整改调整。
4 网络优化主要运行指标
4.1 LTE无线覆盖质量
LTE无线场强覆盖指标用车载终端全向接收天线接收到的最小下行参考信号的功率RSRP(dBm)来描述,具体指标参照表1,并满足设计要求。
4.2 LTE无线重联业务网络服务质量
如表2所示。
4.3 LTE 网络切换质量
如表3所示。
5 原平分公司管段内LTE-R网络覆盖的场景优化分析及探讨
原平分公司管段内无线网络覆盖场景复杂,主要包括平原场景覆盖和隧道内场景覆盖。因此我们需要针对不同的场景进行网络覆盖的原因分析及探讨。
5.1 平原场景优化
5.1.1 场景说明及优化目标
平原场景地势平坦,无遮挡,无线传播类似于自由空间传播,站点间距相对较远,但基站天线方位角、下倾角如果设置不当,会造成过远覆盖、越区等问题,导致网内干扰,引起切换失败、接入失败等网络问题,网络优化可主要通过调整天线的方位角、下倾角等问题来对基站的覆盖效果进行控制,辅助调整切换参数,达到最优覆盖的效果。
基本概念:
方位角和下倾角是描述移动通信网络中天线方位的两个参数。在移动通信系统的网络优化过程中,方位角和下倾角的调整是非常重要的两种方法。
方位角可以理解为正北方向的平面顺时针旋转到和天线所在平面重合所经历的角度。在实际的天线放置中,方位角通常有0度,120度和240度。分别对应于A小区、B小区、C小区。
为使波束指向朝向地面, 需要天线下倾。一般天线有两种下倾:机械下倾和电下倾。机械下倾是利用天线系统的硬件结构调整安装螺母使天线不再垂直安装,而是下倾指向地面。这种天线在调试下倾角时必须注意,因为这会干扰小区覆盖形状并且可能发生无法预计的反射;另一种电下倾是利用相控阵天线原理,采用赋形波束技术,调整天线各单元的相位,使综合后的天线波形近似于余割平方函数而产生下倾的效果。这种天线的安装是垂直的、但天线的波束是指向地面的。在现场使用中,这两种天线都有,有些还是机械加电子下倾,所以一定要辨明天线型号,区别对待。
5.2 越区覆盖问题分析及优化手段
由于基站天线俯仰角设置过小引起的小区覆盖距离过远,从而越区覆盖到其他站点覆盖的区域,造成在该区域手机接收到非主覆盖小区信号,导致网络内干扰。
调整措施:一般通过调整天线下倾角来解决越区覆盖问题。
案例:
优化前:如下图所示红圈区域,主要为PCI=104、PCI=105小区主覆盖范围,由于PCI=106小区天线下倾角设置不合理,导致在该区域其信号较强,UE可占用PCI=106小区信号。如图1所示。
调整手段:PCI=106小区神池方向下倾角下压2度。
优化后:复测问题区域未出现覆盖异常。如图2所示。
5.3 重叠覆盖问题分析及优化手段
在某一连续覆盖区域内,存在多个小区,最少2个的共同覆盖,并且多个小区的覆盖电平相当,电平差小于6dB,这样的区域即为重叠覆盖区域,重叠覆盖区域内通常SINR较差。
调整措施:一般通过调整天线方位角、下倾角,提升主覆盖小区信号,控制非主覆盖小区信号,解决重叠覆盖的问题。
案例:
优化前:在PCI=56与PCI=57的切换带区域,两个小区信号都比较强且信号隔离小于6dbm。如图3所示。
调整手段:PCI=56小区黄骅港方向下倾角下压2度
优化后:复测问题区域PCI=57小区主覆盖且与PCI=56小区RSRP隔离8dbm。如图4所示。
5.4 频繁切换问题分析及优化手段
频繁切换多指在某一特定区域内,当终端进行移动时发生主用小区的频繁更换,即在某两个小区反复多次切换。造成区域内SINR下降,影响网络性能。通过调整网络覆盖或者切换参数来达到对切换的控制。其中通过网络覆盖的方式对其控制,方式手段可参考越区覆盖、重叠覆盖问题的处理。此处我们重点分析通过切换参数调整的方式进行控制。
同频切换A3事件的触发机制说明:
同频切换通过事件A3触发,且事件上报方式采用事件转周期的上报方式。
事件A3的触发,即邻区质量高于服招∏一定偏置值。参照3GPP协议36.331(2011年3月的R10版本第5.5.4.4章节)规定事件A3的判决公式。
触发条件:
Mn+Ofn+Ocn-Hys>Ms+Ofs+Ocs+Off;
取消条件:
Mn+Ofn+Ocn+Hys
公式中的变量有如下定义:
Mn是邻区测量结果。
Ofn是邻区频率的特定频率偏置,由参数QoffsetFreq决定,此参数在测量控制消息的测量对象中下发。
Ocn是邻区的特定小区偏置,由参数CellIndividualOffset决定。当该值不为零,此参数在测量控制消息中下发;否则当该值为零时不下发,公式计算时默认取值为0。eNodeB将根据小区负载情况临时修改邻区与服务小区的CIO,触发基于负载的同频切换。
Ms是服务小区的测量结果。
Ofs是服务小区的特定频率偏置,由参数QoffsetFreq决定,此参数在测量控制消息的测量对象中下发。
Ocs是服务小区的特定小区偏置,由参数CellSpecificOffset决定。此参数在测量控制消息中下发。
Hys是事件A3迟滞参数,由参数IntraFreqHoA3Hyst决定,在测量控制消息中下发。
Off是事件A3偏置参数,由参数IntraFreqHoA3Offset决定。该参数针对事件A3设置,用于调节切换的难易程度,该值与测量值相加用于事件触发和取消的评估。此参数在测量控制消息的测量对象中下发,可取正值或负值,当取正值时,此时增加事件触发的难度,延缓切换;当取负值时,此时降低事件触发的难度,提前进行切换。
用于事件A3评估判决的Mn和Ms测量量类型,由参数IntraFreqHoA3TrigQuan决定,该值由3GPP协议36.331规定在测量控制中的报告配置中给出,可选类型为RSRP或RSRQ。如图5所示。
主要参数调整说明:
IntraFreqHoA3Hyst:同频切换幅度迟滞,该参数表示同频切换测量事件的迟滞,可减少由于无线信号波动导致的同频切换事件的触发次数,降低乒乓切换以及误判,该值越大越容易防止乒乓和误判。增大迟滞Hys,将增加A3事件触发的难度,延缓切换,影响用户感受;减小该值,将使得A3事件更容易被触发,容易导致误判和乒乓切换。
IntraFreqHoA3Offset:同频切换偏置,该参数表示同频切换中邻区质量高于服务小区的偏置值。该值越大,表示需要目标小区有更好的服务质量才会发起切换。若为正,将增加A3事件触发的难度,延缓切换;若为负,则降低A3事件触发的难度,提前进行切换。
IntraFreqHoA3TimeToTrig:同频切换时间迟滞,该参数表示同频切换测量事件的时间迟滞。
当同频切换事件满足触发条件时并不能立即上报,而是当该事件在时间迟滞内,一直满足上报条件,才触发上报该事件测量报告。该参数可以减少偶然性触发的事件上报,并降低平均切换次数和误切换次数,防止不必要切换的发生。延迟触发时间的设置可以有效减少平均切换次数和误切换次数,防止不必要切换的发生。延迟触发时间越大,平均切换次数越小,但延迟触发时间的增大会增加掉话的风险。
案例:
优化前:PCI=40和PCI=41,PCI=240和PCI=241之间频繁切换。如图6所示。
调整手段:将PCI=40/240的切换磁滞offset调整到4,TTT调整到640ms, PCI=41/241的切换磁滞offset调整到4,TTT调整到640ms。
优化后:复测未出现频繁切换的情况,如图7所示。
5.5 隧道场景优化
5.5.1 场景说明及优化目标
隧道覆盖一般采用隧道内架设泄漏电缆,在隧道口加装尾巴天线的方式覆盖,达到隧道内外连续覆盖,因此泄漏电缆的施工质量、运行维护质量决定了隧道内覆盖质量,尾巴天线的合理安装,如高度、方位角、下倾角等,决定了隧道外覆盖效果及覆盖接续效果。
泄漏电缆是一种专门用于泄漏通信的高频电缆,电缆外导体不是全屏蔽的,开有泄漏槽或疏编织,因此在泄漏电缆内部传输的一部分信 号就通过泄漏槽或稀疏编织的孔泄漏到电缆附近外部空间,提供给移动的接收机,达到将无线电信号送入封闭空间的目的;同样,外部移动信号也可以通过泄漏槽或 稀松编织的孔穿过电缆外层导体进入泄漏电缆内部,加上必要的设备,可以与基台组成泄漏通信系统,以满足沿泄漏电缆在一定范围内的移动通信。
由此看来,“泄漏同轴电缆通信”就是以同轴电缆作无线电台的天线,用它进行通信,可在一定范围内产生均匀的信号场强,而不受周围环境的影响,通信可靠性高,也不存在通信盲区,接收电平稳定,不容易受到外来信号干扰。
5.5.2 隧道内信号衰落问题分析及优化手段
在施工过程或外界因素导致漏缆连接处异常,造成信号传播中断、驻波比高等,导致隧道内信号不稳定。一般情况下需对特定诱因(驻波比增高、漏缆损坏进水、直流阻断器故障等)进行现场处理。
案例:
优化前:PCI=85/285与PCI=86/286切换前,电平陡降,速率下降;切换后,电平恢复陡升,速率提升。如图8所示。
调整手段:通过现场检测,隧道内漏缆连接处的确存在强驻波,及时进行了现场整改。
优化后:复测电平陡降问题得到解决,速率也恢复正常。如图9所示。
5.5.3 隧道口信接续异常问题分析及优化手段
隧道口尾巴天线安装位置不合理、方位角不合理或倾角不合理造成信号接续不正常。调整措施一般需通过调整尾巴天线方位角、下倾角来解决弱覆盖问题。
案例:
优化前:PCI=40、240神池方向覆盖弱,如图10所示。
调整手段:经现场勘查,PCI=40、240黄骅港方向天线安装在隧道洞口前方100米处,此处恰为铁路桥的桥头,如图11所示。
黄色图标是原来天线安装的位置,可以看到黄色箭头所指方向有一座铁路桥。RRU机房位于隧道内,由机房到天线采用馈线连接,馈线在图中用蓝色线表示。为此,洞口到桥头100米内的距离全部是由馈线信号覆盖,所以机车行驶出隧道后,信号强度突降。现场整改措施将天线安装位置移至隧道洞口附近,如上图天线位置所示。
优化后:通过复测结果来看,当机车行驶出洞口后,信号电平强度在-85dBm左右,较之前有明显提升。如图12所示。
5.6 目前原平分公司LTE-R系统网络覆盖情况
通过长时间的网络优化工作,目前原平分公司LTE-R系统网络覆盖情况良好,网络各项应用业务正常,重点监控指标良好。
网络覆盖率、网络质量及切换接续指标良好,如表4所示。
网络速率应用指标良好,如表5所示。
6 后续的工作措施
在后续的日常网络优化工作中,我们制定以下几方面的措施:
6.1 设备日常告警监控
BBU、RRU软硬件告警,小区退服(不可用告警)、收发光功率、驻波比等
6.2 例行网络测试
定期以模拟重载列车无线重联、CIR台的使用场景的方式进行主要业务测试(UDP灌包、ATTACH接入、PING测试),对覆盖率、数据业务建立成功率、切换成功率、切换时延、上下行吞吐率等指标进行监控。
6.3 漏缆性能监测
结合网管侧驻波比监控指标及例行网络测试数据,定期进行漏缆性能监测,重点关注驻波比、漏缆布放位置及漏缆物理损伤情况等。
6.4 业务运行问题收集与分析
重点收集重载列车无线重联、CIR台业务运行情况及手持终端的使用问题,进行针对性分析,甄别和解决无线网络问题;同时建立无线网络问题数据库,做到问题可追踪、可回溯。
6.5 网络工程参数数据库维护
建立基站工程参数数据库,定期更新和维护。硬件数据库主要包括站址、天线挂高、方位角、下倾角;软件数据库主要包括小区发射功率、邻区配置、切换参数等。
参考文献
[1]朔黄铁路铁路宽带移动通信系统(LTE-R)维护管理办法(试行).
[2]华为技术有限公司.eRAN TDD 连接态移动性管理特性参数描述.
[3]华为技术有限公司.eRAN TDD连接管理特性参数描述.
[4]郭宝,张阳,李冶文.TD-LTE无线网络优化与应用[M].北京:机械工业出版社,2014.
[5]肖清华、汪丁鼎.TD-LTE网络规划设计与优化[M].北京:人民邮电出版社,2013.
[6]3GPP TS 36.331 Evolved Universal Terrestrial Radio Access (E-UTRA);Radio Resource Control (RRC);Protocol specification(Release 10).