时间:2023-09-15 17:30:32
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全突发事件应急预案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
摘要:文章以湖北省十堰市中医医院为例,探讨在新形势下如何构建应急管理体系,从而有效提高中医医院应急管理水平。
关键词:医院;应急管理;认识
中图分类号:R197.3 文献标识码:B
随着世界多极化、经济全球化、社会信息化的发展和生态环境的变化,突发事件应急管理成为全世界共同关注的焦点问题。医院承担着救死扶伤的重要职责,在应急事件中担负着重要作用,因此,应急管理水平是检验医院综合实力的首要。
1建立健全应急管理处置预案
在应急管理“一案三制”(即制定修订应急预案,建立健全体制、机制和法制)体系中,应急预案为有效应对突发事件提供了迅速、有效、有序的行动方案,成为建立健全应急管理体制、机制的重要抓手。医院涉及的应急预案很多,在医院国家等级评审中,各种预案占相当一部分内容。从符合大型现代化医院管理处理紧急事件的视角出发,应充分考虑新形势下医院紧急事件应对的各个环节,制订一系列紧急事件预案。例如,重大事件应急处理预案:包括重大伤亡抢救预案、重大治安事件应对预案、紧急情况人力资源调配预案、病人高峰合理分流患者预案等;突发公共卫生事件预案:包括食物中毒抢救预案、甲型H1N1流感防治预案、H7N9流感防治预案等;突发医疗救护事件应急预案:包括职业暴露、生物安全、输血反应、废物意外事件预案、医疗技术损害处置预案等;突发灾害事故应急预案:包括火灾处理和人员疏散预案、电梯意外事件预案、停电预案、停水预案、停气预案及设备供应应急预案;网络信息系统故障预案、信息泄密事件处置预案;节假日期间物资领用、突发事件应急预案;重大医疗纠纷应急处置及引发群众性事件预案;病人意外伤亡、逃亡处置预案等。医院涉及的预案方方面面,需要重视的是预案的编制,无论是重大事件预案,还是专业性预案,均不可随意照搬照抄,必须符合医院的环境条件、技术条件、人员条件和资源条件,注重系统性、实际性。在建立各种预案过程中,要解决突发事件的事前、事发、事中、事后谁来做、怎样做、做什么、何时做、在哪里做等问题,包含突发事件的情景、参与应对的机构和人员、应对所使用的资源、应采取的行动四要素。所采取的应对措施既要严格遵循技术规范,又要遵守法律法规,内容既要非常具体,又要简单明了、容易操作。除此之外,预案在使用过程中要不断修订完善,根据实际情况,每年进行修订,对人员进行调整,对处理流程进行优化,将修订预案当作总结经验的过程、查找薄弱环节的过程和改进工作的过程,以求达到准确无误应对各种突发事件。
2无缝隙开展应急管理教育培训
每当人们在回顾总结突发事件的时候,总存在人群应急处理知识欠缺的问题。医院是救死扶伤的场所,应急知识和能力须人人掌握,全面开展培训非常重要。首先要学习应急管理的法律法规,如《突发事件应对法》《传染病防治法》《公共卫生事件应急条例》等,让全体员工对提高参与应对应急事件的认识,增强责任感。其次要对各种预案进行演练,通过自学自背、讲堂讲授、案例分析、事件评估学习,人人总结经验,人人参加考试,人人熟知流程,使应急知识入脑入心。实施分层演练培训,以各科室为主体,行政后勤科室要开展科学决策、组织协调、后勤保障、物资供应等相关紧急事件预案演练,提高组织管理及科学研判、后勤支撑能力;临床医技科室开展本专业预案的演练,如伤亡抢救、意外抢救,重点训练应对流程的合理性,反应的迅速性,处理事件的冷静性,提高救治能力。要将应急知识培训演练纳入全面质控管理,纳入个人年度继续教育学分管理,纳入新职工岗前培训,确实让每个员工重视。对于人人必须要掌握的火灾事件、电梯事件、地震事件、治安事件等基本逃生本领,每年须开展规模演练,让员工不仅学会保护自身安全,还要具备协助病友及群众逃生的能力。要适应新形势开展紧急事件新闻发言、信息报告制度的培训,通过培训,让员工掌握和理解应急管理专业术语,了解媒体的运作规律,谨慎发言、规范传播信息,按规定向上级报告。创新思路,建立应急志愿者奖励机制,在常青藤志愿服务队中开拓组建一支医院应急志愿者队伍,根据各自专业特点,对应急志愿者开展规范化培训,提高志愿者救援素质。加强群众宣传,制定医院应急处理知识手册,把手册放在候诊厅、病房、医护办公室各个服务窗口,方便医护人员及病友了解医院各个部位的注意事项,以及突发事件应对知识。在电梯间、各应急通道口、有危险危害地方张贴紧急处理事件的方法、标示、示意图。利用微信、短信、网站、电子显示屏、电视等广泛宣传医院应急管理常识,使医院应急管理培训全覆盖,人人训练有素。
3无盲区管控突发事件危险源
危险不以我们的意志为转移,未雨绸缪,做好应急管理,成本最小的是管理控制好突发事件危险源。首先要在顶层设计上重点防范危险源。如在医院所有建筑的设计中,充分体现安全性及预见性,在人性化设计方面更合理;所有的设施设备配备上要保证质量,所有应急装备配备完整。在管理上体制机制完善,科学管理、制度化管理,防止出现漏洞。其次是注重细节,管控好内部危险源。如消防安全危险源,注意定期排查办公区域、服务区域、租赁区域及交通工具消防安全是否有隐患,设施是否完备正常。排查卫生安全危险源,如医院食堂饭菜防护,饮用水防护,血液制品安全及是否存在流行性疾病。放射、生物制品及危险化学物是否存在感染事件隐患。排查网络安全事件危险源,医院的网站是否存在安全漏洞,信息是否存在被监控,医院或工作人员是否存在被网络炒作等。排查建筑安全事件,重点关注医院的办公区域、家属区域、地下建筑、车库等是否存在损坏、坠物、裂缝、门锁不牢等安全隐患。排查人事纠纷事件,医院职工是否存在情绪不稳、群众上访事件,及时了解动态,化解矛盾。排查医院设备安全,定期维护医院电梯、医疗设备、救护车辆、水、电、气设备的完好情况,排查医院毒、麻、精、放药品存放使用安全情况,还要定期排查周边的环境安全,有无山体滑坡、交通事故、化工企业污染、深坑作业、油气站等危险设施、大型聚会场所等。管控好医院外部危险源,所有的自然灾害类、事故灾难、公共卫生、社会安全突发事件都与医院有关。医疗纠纷的发生主要集中在患者死亡、医疗事故、收费价格和项目、服务态度、治疗方案、治疗效果等方面,为此,医护人员需恪尽职守,认真履行岗位职责,严格遵守各项管理制度和诊疗规范,以优质的服务态度、最佳的治疗手段和良好的医患沟通,避免医疗事故的发生;严格落实管控责任,在危险源管控过程中建立问责制度,谁主管谁负责,一岗双责,失职追责,警钟长鸣,严格执行排查制度,保持高度的安全敏感性。建立人防、技防高效通道,充实安全保卫巡查人员,认真落实日常巡查工作,办公区、病房、门诊楼、家属区实行全天候24小时排查,重大节假日前全院组织巡查专班督导排查。医院实行全院监控,及时维护监控设备,实现每个路口、每个通道、每个病区、每个候诊区域全部数字化监控,在人员、设施、机制上保证危险源管控的全覆盖。
作者:夏启芝 单位:湖北省十堰市中医医院
1总则
1.1编制目的
为保障XX市医疗保障局网络和信息安全,提高应对网络安全事件的能力,预防和减少网络安全事件造成的损失和危害,进一步完善网络安全事件应急处置机制,制定本预案。
1.2编制依据
《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《应急预案编制导则》(GBA29639-2013)、《信息技术服务运行维护第3部分:应急响应规范》(GBA28827.3-2012)等相关规定。
1.3工作原则
强化监测,主动防御。强化网络和信息安全防护意识,加强日常安全检测,积极主动防御,做到安全风险早发现。
明确分工,落实责任。加强网络和信息安全组织体系建设,明确网络安全应急工作权责,健全安全信息通报机制,做到安全风险早通报。
快速响应,有效处置。加强日常监管和运维,强化人力、物资、技术等基础资源储备,增强应急响应能力,做到安全问题早处置。
1.4适用范围
本预案适用于市医疗保障局网络和信息安全事件应急工作。
2事件分级与监测预警
2.1事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。
(1)有害程序事件。包括:计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件。包括:拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障。包括:软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件。指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件。指除以上所列事件之外的网络安全事件。
2.2事件分级
按照事件性质、严重程度、可控性和影响范围等因素,将市医疗保障局网络和信息安全事件划分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应特别重大、重大、较大和一般安全应急事件。
(1)Ⅰ级(特别重大)。局网络和信息系统发生全局性瘫痪,事态发展超出控制能力,产生特别严重的社会影响或损害的安全事件。
(2)Ⅱ级(重大)。局网络与信息系统发生大规模瘫痪,对社会造成严重损害,需要局各科室(单位)协同处置应对的安全事件。
(3)Ⅲ级(较大)。局部分网络和信息系统瘫痪,对社会造成一定损害,事态发展在掌控之中的安全事件。
(4)Ⅳ级(一般)。局网络与信息系统受到一定程度的损坏,对社会不构成影响的安全事件。
2.3预警监测
有关科室(单位)应加强日常预警和监测,必要时应启动应急预案,同时向局网络安全和信息化领导小组(以下简称“领导小组”)通报情况。收到或发现预警信息,须及时进行技术分析、研判,根据问题的性质、危害程度,提出安全预警级别。
(1)对发生或可能发生的Ⅳ级安全事件,及时消除隐患避免产生更为严重的后果。
(2)对发生或可能发生的Ⅲ级安全事件,迅速组织技术力量,研判风险,消除影响,并将处置情况和结果报领导小组,由领导小组预警信息。
(3)对发生和可能发生的Ⅱ级安全事件,应迅速启动应急预案,召开应急工作会议,研究确定事件等级,研判事件产生的影响和发展趋势,组织技术力量进行应急处置,并将处置情况报领导小组,由领导小组预警信息。
(4)对于发生和可能发生的Ⅰ级安全事件,迅速启动应急预案,由领导小组向省医疗保障局、市委网络安全和信息化委员会办公室、市公安局通报,并在省级有关部门的指挥下开展应急处置工作,预警信息由省级有关部门。
3应急处置
3.1网页被篡改时处置流程
(1)网页由主办网站的科室(单位)负责随时密切监视显示内容。
(2)发现非法篡改时,通知技术单位派专人处理,并作好必要记录,确认清除非法信息后,重新恢复网站访问。
(3)保存有关记录及日志,排查非法信息来源。
(4)向领导小组汇报处理情况。
(5)情节严重时向公安部门报警。
3.2遭受攻击时处置流程
(1)发现网络被攻击时,立即将被攻击的服务器等设备断网隔离,并及时向领导小组通报情况。
(2)进行系统恢复或重建。
(3)保持日志记录,排查攻击来源和攻击路径。
(4)如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
3.3病毒感染处置流程
(1)发现计算机被感染上病毒后,将该机从网络上隔离。
(2)对该设备的硬盘进行数据备份。
(3)启用杀病毒软件对该机器进行杀毒处理工作。
(4)必要时重新安装操作系统。
3.4软件系统遭受攻击时处置流程
(1)重要的软件系统应做异地存储备份。
(2)遭受攻击时,应及时采取相应措施减少或降低损害,必要时关停服务,断网隔离,并立即向领导小组报告。
(3)网络安全人员排查问题,确保安全后重新部署系统。
(4)检查日志等资料,确定攻击来源。
(5)情况严重时,应保留记录资料并立即向公安部门报警。
3.5数据库安全紧急处置流程
(1)主要数据库系统应做双机热备,并存于异地。
(2)发生数据库崩溃时,立即启动备用系统。
(3)在备用系统运行的同时,尽快对故障系统进行修复。
(4)若两主备系统同时崩溃,应立即向领导小组报告,并向软硬件厂商请求支援。
(5)系统恢复后,排查原因,出具调查报告。
3.6网络中断处置流程
(1)网络中断后,立即安排人员排查原因,寻找故障点。
(2)如属线路故障,重新修复线路。
(3)如是路由器、交换机配置问题,应迅速重新导入备份配置。
(4)如是路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。
(5)如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。
3.7发生火灾处置流程
(1)首先确保人员安全,其次确保核心信息资产的安全,条件允许的情况下再确保一般信息资产的安全。
(2)及时疏散无关人员,拨打119报警电话。
(3)现场紧急切断电源,启动灭火装置。
(4)向领导小组报告火灾情况。
4调查与评估
(1)网络和信息安全事件应急处置结束后,由相关科室(单位)自行组织调查的,科室(单位)对事件产生的原因、影响以及责任认定进行调查,调查报告报领导小组。
(2)网络和信息安全事件应急处置结束后,对按照规定需要成立调查组的事件,由领导小组组织成立调查组,对事件产生的原因、影响及责任认定进行调查。
(3)网络和信息安全事件应急处置结束后,对产生社会影响且由省级有关部门进行调查的,按照省级有关部门的要求配合进行事件调查。
5附则
保安班是学校安全工作队伍的重要组成部分,保安班的整体素质如何,直接关系到校园安全工作的整体水平。2007年底,因临时用工制度改革,学校引进新上海物业承担校园安保和清卫服务。为使保安人员尽快适应我校环境,提高保安实际工作的能力和水平,我处与物业公司项目部一起,重点加强了保安队伍的规范化建设。年内组织保安员进行了岗位操作、消防安全等安保业务知识培训。为提升保安整体素质,我处积极协调保安班的教育管理,共同制定奖惩措施及各项工作制度。对于在实际工作中不适应和不称职的保安,及时向项目部提出撤换意见。通过以上措施,保安队伍整体素质有了较大提高,师生普遍反映较好。
08年,我处进一步强化了学生校卫队的工作。指导校卫队制定年度工作计划;组织学生校卫队员学习消防知识、参加灭火演练、开展信息工作培训;参加校内和校园周边的安全巡逻;宣传法制、安全常识等。通过一系列活动,校卫队员的安全防范意识得到增强,在实际工作中发挥了较好的作用。
二、健全制度预案,促进规范有序管理
作为安全保卫工作的职能部门,我处积极发挥自身作用,从加强学校安全工作的组织领导和建立健全校内安全工作制度、突发事件应急预案入手,进一步落实安全工作责任,促进规范有序管理,推动平安和谐校园建设向纵深发展。年初,拟制宁波电大安全综治工作目标管理责任书,并由校长与各部门负责人共同签字,细化安全工作目标,明确管理责任;根据上级要求,结合校内实际,修改完善了内保条例实施方案、安全保卫工作制度等一系列规章制度,努力使安全工作做到有章可循,按章管理;年内,与学生处一起,通过深入调研,反复论证,完成宁波电大处置突发事件工作预案的编制,并以文件形式下发。同时,还进行了宁波电大防恐怖袭击和人为破坏应急预案、宁波电大灭火和应急疏散预案、宁波电大应急救治和疾病预防措施、宁波电大处置食物中毒事件应急预案等,为最大程度地预防各类突发事件和减少突发事件造成的损失,保证师生的生命和财产安全,维护校园稳定提供了制度保障。
三、突出工作重点, 确保校园安全稳定
由于我校与其他普通高校在办学模式上有很大不同,办学形式多样、学生层次复杂,学校教学资源交叉使用频繁,校内各类人员进出难以控制,给安全管理工作带来很大难度。我处根据学校的特点,重点把握以下几个方面,强化安全管理工作。
(一)开展在校生安全防范教育。一年来,我处积极配合学生处通过多形式、多渠道开展在校生的法制教育及交通安全、人身安全、网络安全、危害等方面的宣传教育,进一步增强了在校生的法制观念、安全意识,提高了学生防范自救的能力和参与和谐平安校园建设的积极性。
(二)进一步完善技术防范设施。针对“平安校园”建设对技防设施提出的新要求,我处努力当好参谋,积极开展调研,在校领导的支持下,校内技防设施不断得到完善。08年,学校再投入资金6.5万元在校园主要通道、公共部位安装了监控探头,并对所有监控设施进行了整合,将控制室移至门卫,同时对新建综合楼的安全防范设施进行了规划。目前,校园内重点要害部位实现了监控全覆盖,为确保学校财产安全和及时发现处理安全隐患、事故苗头提供了有力保障。
(四)保持信息渠道畅通,及时发现和化解矛盾。信息工作是安全工作的生命线,我处十分注重安全信息地收集与处理,一年来,充分发挥师生信息员队伍的作用,收集了各类有效信息50余条,通过梳理分析,及时调整工作重点和工作方法,始终坚持把防范工作做在前面。我处还积极联系市公安局经文保支队、江北公安分局、文教派出所、文教街道综治办,掌握第一手相关的社会治安形势资料,结合校内实际,及时开展宣传教育,加强正面引导,使全校师生在敏感时期、敏感事件面前保持冷静态度。平时,我处对校内安全隐患和不稳定因素进行认真排查,并及时采取有效措施进行化解。年内,经我处及时介入并成功调处的各类矛盾纠纷有8起,积极参与协调和处理学生严重违纪事件3起。
(五)及时介入突发事件的处理,积极发挥职能部门作用。今年5月份,成教学生袁某在校外意外被害,家属数十人到校吵闹,我处人员及时介入,积极联络协调警方及相关部门,安排家属食宿,安抚家属情绪,在处理事件的全过程中,较好地发挥了部门作用。
(五)坚持以人为本,努力做好户籍管理工作。一年来,及时圆满完成新教师、新生户口迁入,毕业生户口迁出共474人,补办户口迁移证13人次。
(六)加强监督检查,消除事故隐患。08年,我处加大对重点、要害部位,如档案室、财务室、计算机房、实验室、多媒体教室、食堂等的监督检查力度,督促各部门、各有关责任人切实增强责任心,真正做到防患于未然。一年来,参与全校性的安全大检查4次,我处自行组织的消防专项检查12次,结合平时每日的例行检查和每周安全情况汇总分析,努力做到早发现、早处置、早整改,把事故苗头和安全隐患控制在萌芽状态。
关键字 县级供电企业;信息网络安全;剖析
【中图分类号】TN915.08文献标识码:B文章编号:1673-8500(2013)01-0022-01
县级供电企业信息化建设虽然起步不晚,但由于电网规模的不同导致各地信息化建设层次不齐,随着电力广域网的接入,信息网络的安全问题,成为各县级供电企业目前面临的同样难题,健壮的网络是实现网络安全和业务正常的基础,只有基础层面的网络设备的稳定性、安全性得到了保障,网络的稳定性的实现才成为可能,现以县级供电公司信息网络建设的情况,对网络安全情况进行分析。
1网络建设现状
近年来,县级供电企信息化建设如火如荼,如今硬件环境已经可以满足在信息网络上运行各种系统等应用,实现千兆骨干,百兆到桌面。按照部门、职能、安全重要程度分为许多子网,包括:营销子网、财务子网,办公子网、生产子网、服务器子网等,在核心交换机上为不同子网划分不同的虚拟局域网(vlan)。不同子网分属不同广播域。在应用上,提供文件共享访问,办公自动化、电子邮件等。
2存在问题
随着信息化程度的提高,信息网络的规模不断扩大,网络结构需要进行不断的调整,但在设备安全加固,数据备份、网络安全管理、操作人员安全意识等方面存在一定问题,造成管理吃力,给网络安全埋伏了不利因素,成为急需解决的问题。
3解决办法
3.1制定制度,落实责任。信息网络安全离不开严格的制度和明确的责任分工,为提高网络信息系统整体安全防护能力,强化公司内部信息安全,成立信息安全组织机构,组织机构分为领导小组和工作小组建立切实可行的应急预案和灾难恢复预案,有效预防和正确、快速应对网络及信息安全突发事件,最大限度地减少影响和损失,确保网络系统安全、稳定运行。
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
3.2网络系统安全管理。
3.2.1网络设备。因地理条件和资金限制,一些县级供电企业网络多为星形结构,超过半数的网络结点不能形成环网,网络运行极不稳定,这是目前县公司一些应用推广的阻碍。对于这种情况,如果资金较少,可以考虑根据地理条件在网内建设小型的环网,尽可能多的将结点环起来。
一些公司核心交换机、防火墙都是单机运行,无备用设备,一旦核心出现故障将会造成公司网络全部瘫痪,与上级公司无法连通,因此增加一台核心交换机和一台防火墙,和设备通过跳线相连,实现双机冗余,互为备用。
3.2.2终端管理。按照国家电网公司要求和省、市公司统一部署安排,信息内网所有计算机统一注册使用桌面安全管理系统,统一安装省公司部署的杀毒软件,每台终端设备都进行实名注册,进行IP+MAC+交换机端口多重绑定,严格控制移动存储设备的接入,确保非法设备无法接入内网,信息内外网实行双网双机,内外网之间完全物理分开,内网计算机不得任何方式接入外网,在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
所有计算机在接入信息网络以前必须对所有账号进行处理,不得使用系统默认的用户名,删除不用的账号,禁用来宾用户,所有账号必须设置字母+数字+特殊符号长度在8位以上的密码,并定期更换。
3.2.3分区分域、等级防护。对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
3.3数据备份。对数据备份设立了专人管理,负责数据备份系统的日常管理,针对系统情况和备份内容,分别采用了完全备份、增量备份、差分备份和按需备份,关键数据实现了异地备份。备份内容涵盖了生产、营销、管理等所有关键业务。
3.4UPS电源。网络设备在运行中最大的问题是电压不稳,甚至停电。虽然信息机房报在的办公大楼一般都接了双电源,但仍会有不可预知的电源故障会导致局域网中交换机、路由器、服务器和数据存储器等各类设备无法连续正常工作,因此UPS电源是机房中最重要的保障。在局域网的中心机房中,采用10-20kVA中等功率UPS集中供电的方式已被广泛接受。为了有效提高系统可靠性,一般采用双机热备份或并联供电。
3.5防雷系统。要定期测试机房在建设时已经建立了接地线,查看所有网络设备、服务器、机柜都做到了良好的接地和电源电源零线接地。对机房设备也要安装防雷设备,每台交换机都应安装机架式防雷插排和交换机防雷模块,所有电源都更换防雷插座。
3.6人员培训和管理。信息网络的安全归根结底还是要落实到操作人的头上,操作人员安全意识和操作水平提高了,网络安全管理就做到了事半功倍的效果,因此,需要在人员培训方面特别重视,每周五下午进行一次信息安全知识培训,小的从开关机讲起,大到系统安全策略设置,从各方面进行全面指导。通过公司视频会议系统组织观看信息安全方面教育片和安全事例分析。并与各部室及员工签订信息安全责任书,确保责任落到实处。对所有职工发放信息网络使用安全须知,提高员工对信息安全的认知和增强员工遵守信息安全各项规章制度的自觉性。
关键词:数字图书馆;网络信息安全;网络体系
DOIDOI:10.11907/rjdk.151166
中图分类号:TP309
文献标识码:A 文章编号:16727800(2015)006016703
作者简介作者简介:彭欢(1983-),男,湖北武汉人,硕士,中南民族大学图书馆助理实验师,研究方向为数字图书馆与网络安全。
0 引言
20世纪90年代以来,伴随着计算机技术和信息技术的发展,有“信息仓库”之称的图书馆,迈入了数字图书馆高速发展与建设期。目前,数字图书馆建设已经成为我国图书馆工作的重点,各图书馆都投入了大量的人力和财力[1]。同时,现代信息技术带来的网络信息安全问题,几乎无一例外地出现在数字图书馆中,并且在数字图书馆这个特定的领域表现出一些鲜明的特点。研究图书馆领域的网络信息安全问题并制定相关对策,成为数字图书馆建设的当务之急。
1 数字图书馆概述
1988年,美国学者伍尔夫(W.Wulf)首次提出了Digital Library这一概念[2]。在中国,数字图书馆这一概念则是在1996年北京召开的第62届国际图联(IFLA)大会上首次提出,IBM公司和清华大学图书馆联手展示了“IBM数字图书馆方案”。从此,数字图书馆进入到国家扶持和大规模研发阶段。21世纪初,国家重点科技项目“中国试验型数字图书馆”通过专家技术鉴定,预示着中国的数字图书馆研究、建设已经初具规模[3]。
目前,数字图书馆尚无一个业界公认的定义,但通过与传统图书馆的对比可以帮助人们更好地理解数字图书馆这一概念[4]。
从表1可以看出,数字图书馆具有如下基本特征:
(1)馆藏资源数字化。在信息载体上,传统图书馆完全依赖于纸质印刷的书刊、报纸等,数字图书馆则依托于电子书、声音、图像等多媒体数字资源;在存储方式上,传统图书馆需要大容量的物理馆藏空间,而数字图书馆则将数字资源存储在光盘、硬盘或者专业的存储服务器上[5]。
(2)服务推送方式网络化。传统图书馆以馆藏资源为中心,读者需要到图书馆查询和获取馆藏资源,接受图书馆的特定服务;而数字图书馆以读者为中心,根据读者的需求为读者定制个性化服务,读者足不出户就可以获取各种图书馆资源。
(3)管理方式高效化。包括对馆藏资源的管理、对读者享有的借阅权限的管理、对馆内各类馆员的权限管理等。这在传统图书馆时代完全依赖于人工、容易出错且不易控制和监督;而在数字图书馆时代,则可以借助专业的管理软件轻松完成,不易出错且便于监督。
2 数字图书馆网络信息安全现状
2.1 网络信息安全概念及特征
网络信息安全可以分为网络安全和信息安全两个层面,网络安全包含系统安全和应用服务安全;信息安全主要指数据安全,包含数据、加密、程序等。对于数字图书馆而言,网络信息安全尤为重要,它是数字图书馆提供优质、高效、连续服务的前提。网络信息安全根据其本质界定,具有以下几个特征[6]:
(1)完整性。信息在传输、存储、处理过程中保持原样性,这是网络信息安全最基本的安全特征。
(2)保密性。保密性指信息不泄漏给非授权人或实体。
(3)可用性。可用性指信息可以被授权实体正确访问,并按要求能正常访问或在非正常情况下能恢复使用的特征,即在系统正常运行时能正确存取所需信息,当系统遭受攻击或破坏时能迅速恢复并投入使用。
(4)可审查性。通信双方在交互过程中不能抵赖所做出的行为,也不能否认所接受到的对方的信息。
2.2 高校数字图书馆网络信息安全问题
文献[2]以30家各类数字图书馆作为样本,对我国数字图书馆的网络信息安全问题进行了详细调查。从调查结果来看,现阶段,我国数字图书馆无一例外地发生过网络信息安全事件,网络信息安全存在着诸多隐患[7]。
从发生的安全事件来看,我国数字图书馆存在的网络信息安全问题可分为内部安全风险和外部安全风险两个方面。
2.2.1 外部安全风险
外部安全风险主要有:
(1)黑客破坏。对于数字图书馆而言,黑客可以制造的危害主要体现在3个方面:①恶意破坏数字图书馆的信息管理系统。现代数字图书馆高度依赖信息管理系统,如果信息管理系统遭到恶意破坏,最严重的情况将是整个图书馆服务的瘫痪以及无法挽回的经济损失;②窃取数字图书馆所拥有的一些特色电子馆藏资源和花巨资购买的数据库资源。现代数字图书馆已经迈入了有偿商业化管理模式,正因为如此,这些有偿使用的信息资源就存在被黑客窃取的风险;③黑客利用非法手段来使用数字图书馆专享的网络资源。如果黑客控制了数字图书馆的网络系统,就可以不受任何限制的窃用数字图书馆精密的信息资源,严重危害数字图书馆的建设、维护和信息安全[8]。
(2)网络病毒。在数字图书馆时代,图书馆内部局域网与Internet之间的联系越来越紧密,使得图书馆的网络设备和服务器感染网络病毒的风险日益增加[9]。如果有网络设备或者服务器感染病毒,则数字图书馆的服务质量会大受影响;情况严重时,会造成数字图书馆的网络或服务器的瘫痪、网络信息服务无法开展,甚至会破坏图书馆信息管理系统,造成无法挽回的损失。
2.2.2 内部安全风险
内部安全风险主要有:
(1)软件风险。主要指操作系统和应用系统本身存在的安全漏洞,这些安全漏洞给黑客和网络病毒留下了可乘之机[10]。
(2)管理人员技术素质不足。目前仍有相当部分数字图书馆网络管理人员不是计算机网络专门人才。一方面,这些管理人员不能及时发现并排除网络信息安全隐患,另一方面,他们在进行网络配制和权限管理时容易留下安全漏洞。
(3)管理制度欠缺,执行不到位。当前,很多高校图书馆存在网络安全管理制度不健全或执行力度不够等问题,这使得网络安全体系的安全控制措施不能充分、有效地发挥其效能,从而给攻击者提供了可乘之机[11]。
综上可知,内部安全风险和外部安全风险是一种相互抑制、滋生的关系。任何一方面的安全风险如果暴露在网络环境里,都会被无限放大,并有可能导致其它安全风险。
3 解决对策
鉴于以上特点,笔者认为,要从根本上解决数字图书馆的网络信息安全问题,需要从以下3个方面入手:①构建一个安全的网络体系,保障网络自身安全和网络业务安全;②建立完善信息安全管理的应急处理机制;③加强管理人员技术素质,制定并落实管理制度。
3.1 构建安全的数字图书馆网络体系
构建一个安全的网络体系是维护整个数字图书馆网络信息安全的基础,而这恰恰是很多数字图书馆建设中的薄弱环节。
图1展示了一个典型的数字图书馆网络安全拓扑。一套完整的数字图书馆网络安全体系至少应该兼顾以下要素:远程接入安全、边界安全、内网安全、信息中心安全、上网行为安全与统一安全管理[12]。针对这些要素制定网络安全方案,设计合理的网络拓扑是构建数字图书馆网络安全体系的关键。
(1)远程接入安全。目前主要有两大远程接入安全技术:IPSec VPN和SSL VPN。IPSec VPN的优势在于保护点对点之间的通信安全;SSL VPN的优势在于Web,它注重的是应用软件的安全性,更多应用于Web的远程安全接入方面。对于数字图书馆而言,鉴于远程接入的移动性特点,可以考虑SSL VPN的安全产品。但同时也要考虑接入安全保障、安全管理平台以及可靠性方面的因素。
(2)边界安全。数字图书馆的网络体系和其它网络体系一样,需要对网络边界进行有效的管理的控制,以防范黑客、网络病毒和其它方面的网络入侵。数字图书馆在选购边界安全产品时除了要考虑产品的攻击防范能力外,还要考虑网络隔离需求、网络优化需求、用户管理需求等。
(3)内网安全。内网安全是最容易被忽视的一个环节。对于目前的网络管理者而言,更多的工作是预防来自外部的攻击,并进行检测和处理,而授予内部网络更多的信任。但统计数字表明,相当多的安全事件是内网用户有意或无意的操作而造成。对于内网安全,笔者认为,应当利用交换机和其它内网安全设备,强制终端用户在接入网络前通过入网强制技术进行身份认证和安全状态评估,帮助管理员实施安全策略,确保终端病毒库和系统补丁得到及时更新,降低病毒和蠕虫蔓延的风险,阻止来自用户内部的安全威胁。
(4)信息中心安全。信息中心是数字图书馆中数据流动最为频繁的区域,任何软硬件故障或其它安全问题都会导致不可预估的损失。对于信息中心安全,可以设置防火墙来应对面向网络层的攻击,部署入侵检测/防御设备来对抗应用层攻击。还有不可忽视的一点是,信息中心数据一定要做好冗余备份,制定灾难恢复策略。
(5)上网行为安全。通过部署上网行为管理(AC),可为不同部门、不同用户、基于时间段进行权限分配;在安全方面,通过安全网关的功能,保障内网用户的上网安全,在内网和外网之间设立一道安全屏障,使得外网威胁无法渗透到内网。
(6)统一安全管理。统一管理主要立足于对全网设备进行主动监控,提前采取主动的干预动作解决网络中的安全问题。在数字图书馆中部署统一管理平台,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,可以提高整个数字图书馆网络的关联分析和整体防御能力。
3.2 建立应急处理机制
在数字图书馆网络信息安全管理过程中,如何应对网络信息安全管理突发事件尤为重要。通过建立信息安全突发事件应急预案、强化科学处理信息安全突发事件等措施来完善信息安全应急处理机制,将对数字图书馆的信息安全管理工作起到关键性作用[13]。
首先要做好网络信息安全风险评估工作。一旦信息系统遭受攻击,就要对遭受攻击后的负面结果有一个预判,根据预判做好补救措施准备;根据安全事件发生的可能性和因此造成后果的严重程度来识别信息系统的安全风险,从而尽可能采取相应措施,减少弱点,避免攻击,保护信息系统免受损害。
其次要建立信息安全突发事件的应急预案。应急预案应当包括信息安全事件发生前采取的危机预警和检测以及预防等措施,还应包括信息安全事件发生后采取的应急处理和恢复措施。这将是处理信息安全事件成功的关键。
最后要科学处理信息安全突发事件。处理信息安全突发事件时要明确处理流程,落实相关处理人员,根据风险评估以及相对应的应急处理预案对号操作,根据预案制定相应的应急处理方案并加以处理。
3.3 加强管理人员技术素质,制定并落实管理制度
国内的数字图书馆大多缺乏专业的信息安全管理人员,或者说管理人员缺乏全面的信息安全管理知识和技能。因此,数字图书馆应适量引进信息安全管理方面的专门人才并对现有管理人员进行全面、系统、科学的安全管理培训,从管理人员素质入手,提高信息安全管理水平[14]。
此外,数字图书馆网络信息安全管理也离不开管理制度的建设和相应的制度执行力。一方面要制定有效的管理措施,对现阶段的管理现状进行改善,防范于未然;另一方面要提高网络信息安全管理工作中的制度执行力,加强管理人员对管理制度的执行意识,并落实监督机制,从而确保整个网络信息安全管理工作和基本效用和基础功能。
4 结语
网络信息安全是数字图书馆各项管理工作的基础,它将贯穿于数字图书馆建设和发展的全过程[15]。要解决数字图书馆的网络信息安全问题,就必须从数字图书馆的实际出发,分析数字图书馆网络信息安全问题的特点,找到一个系统的解决方法。监于此,本文提出了系统解决数字图书馆网络信息安全问题的一套方法。
目前,网络技术和计算机技术依然处于高速发展时期,在此大环境下,数字图书馆的网络信息安全也将面临一些新的问题和挑战。如何发现和解决新的问题、如何改进数字图书馆的网络信息架构,将是后续研究的重点。
参考文献:
[1] 邱均平,楼雯.我国电子图书数字图书馆建设现状的调查分析[J].图书情报工作,2014,58(5):2228.
[2] 王运景,王林毅.浅析高校数字图书馆建设[J].教育教学论坛,2014(1):89.
[3] 魏晓萍.我国数字图书馆研究回顾与展望(19982011)[J].图书馆,2013(4):7290.
[4] 杨莹.数字化图书馆的概念界定与要素分析[J].现代情报,2007(11):8789.
[5] 刘芝奇.数字图书馆建设与发展[J].信息系统工程,2013(1):115116.
[6] 禹玲.解读数字图书馆的网络安全目标与保障体系[J].漯河职业技术学院学报,2014,13(5):8586.
[7] 郑德俊,任妮,熊健,黄水清.我国数字图书馆信息安全管理现状[J].数字图书馆,2010(7):2732.
[8] 保洪才.数字化图书馆网络安全分析与对策探讨[J].兰台世界,2013(1):7273.
[9] 黄革.浅谈数字图书馆网络信息安全[J].黑龙江档案,2013(1):127127.
[10] 马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010,20(4):130135.
[11] 段春乐.数字图书馆主控机房安全分析[J].内蒙古科技与经济,2013(18):6972.
[12] 於建伟.数字图书馆网络安全体系研究[J].武汉船舶职业技术学院学报,2014(1):4649.
[13] 张明震.浅析如何完善高校网络信息安全管理应急处理机制[J].网络安全技术与应用,2014(3):141144.
一、加强宣传,认真发动,提高认识,增强责任感
创建“平安校园”是“平安尤溪”的重要组成部分,是关心青少年成长,关心教育事业健康发展的又一举措。学校带领广大师生员工认真学习有关文件精神,了解创建目的意义,知晓创建标准过程,理解创建工作和学校常规管理的关系。认真分析我校面临的形势,查找工作中存在的问题。
学校安全教育必须做到年年抓、月月抓、天天抓,始终警钟长鸣。我们不仅把安全列入学校工作计划,而且作为重要的议事内容。无论是学校行政会议,教师会议,还是学生会议等,无时无刻不提“安全”。各处室、年段、班级都紧紧围绕“安全”开展活动。我们以“人人讲安全,事事讲安全,时时讲安全,一生才安全”和“居安思危、防微杜渐,切实加强安全工作”等名言警句来教育学生。黑板报定期刊出安全、法制专刊,升旗仪式上进行安全教育,学校广播定期播放《校园安全教育小品》,每周至少有一个专门法制教育栏目或安全教育栏目,班级板报中每学期还刊出安全和法制教育专版,给师生们以正确的引导。学校利用年段集会、班级活动,加强安全、法制教育,做到早宣传、早认识、早预防。我们充分利用宣传媒体,加强安全教育,使师生们认识到安全工作的重要性、艰巨性、复杂性,增强了遵纪守法的意识,提高了自我防范和自我保护的能力。
二、加强组领导,健全网络,落实责任
为了确保创建目标的顺利实现,学校成立了领导小组由校长任组长,副校长副组长,政教主任、团总支书记总务主任、工会主席、教务主任为成员的领导小组,做到明确分工,齐抓共管。
我们严格遵循“预防为主、防治结合、加强教育、群防群治”的方针,坚持“谁主办、谁负责”,“谁主管、谁负责”的原则。做到校长对全校的安全工作负责,班主任对班级安全工作负责,教职工均有维护学校安全和保护学生安全的责任与义务,做到网络清楚,职责分明。
我们一直把安全列入对年段、对班级、对班主任考核的内容。学期初,校长与各个班级、年段、处室、学生家长等一一签订了安全教育和管理的责任书,做到主要领导负责抓、其他领导分头抓、一级抓一级、层层抓落实,形成党政工团等统一协调齐抓共管的格局,以确保学校师生员工的安全。
三、加强管理,强化落实,积极防控
一年来,学校建立健全并严格执行各种安全管理制度,如教学环节和实验室安全管理制度、食品卫生安全管理制度、寄宿生管理制度、门卫管理制度和验证制度、网络安全管理制度、消防安全管理制度等等,所有制度均形成书面并上墙,对其负责人均定期进行培训,也要求其在管理过程中做好相关记录,,对其存在的问题进行纠正,使问题得到及时妥善处理。定期查找学校存在的各种问题和安全隐患,如定期检查学校校舍、教学设备、生活设施等各类基础设备是否完备;定期检查学校用水用电、防火防盗、等安全设备是否齐全;定期检查食品卫生安全及校园环境卫生,防止食物中毒事件的发生和病毒、传染病的传染等等。对发现的问题和隐患,及时派专人进行整治。加强学生集体活动和外出活动的管理,做到活动有计划、外出有审批,并在活动前做好全面安全教育工作,坚决贯彻就近、徒步、安全原则。与当地公安机关紧密联系,在学校建立了校园报警点,以便发生案件时能及时上报公安部门或教育主管部门。我校历来注重对师生的安全和法制意识的教育,一年来未发生过重大刑事治安案件或群体性安全责任事故。
四、强化教育功能,提高师生的创建意识
我校历来十分重视安全、法律教育工作,将安全、法律教育工作列入学校管理的重要内容,做到常抓不懈、警钟长鸣、重于防患、杜绝隐患,聘请我校治安副校长余承营同志、学校法律顾问杨德潘同志、县法院少年庭长刘友水同志给师生作安全教育专题讲座和法制教育讲座,增强全体师生的自我防护能力,引导学生知法、懂法、守法、护法,在校做一个好学生,在社会做一个好公民;在开学初、重大节假日前和寒暑假前通过班会、国旗下讲话、板报、广播等各种途径对学生进行节前安全教育,印发致家长一封信,让家长配合学校,形成家校联系,共同督促学生的安全问题。学校还积极开展反、禁毒教育活动,通过开展“崇尚科学、反对”、“珍爱生命、远离”的专题讲座,印发相关宣传材料和通过板报、广播等形式教育学生远离和反对,目前,学生没有吸毒和参加组织活动。加强对师生的普法教育,认真宣传《教育法》、《教师法》、《未成年保护法》、《预防未成年人犯罪法》以及社会治安的有关法律、法规。全体师生遵纪守法,形成了良好的校风、教风、学风和工作作风,学校领导廉洁自律、民主管理、依法治教,从未出现师生违法犯罪行为。加强心理健康教育、“特殊生”教育和“苗头性”问题的处理。在校内设立心理教育咨询室,制定特殊生转化工作制度,专门针对严重心理障碍、经常违纪、学习困难、网络痴迷的学生进行教育,促其转变。引导其摆脱低级趣味,追求真、善、美,开展丰富多彩的课余活动,发展个性特长,到目前,没有出现学生因心理问题或学习问题而自杀、出走等现象。学校还积极提供一切优惠政策,为生活困难的学生提供便利条件,使其无后顾之忧,安心学习。
五、开展校园治安综合治理工作,营造良好的育人环境
一年来,学校认真贯彻落实上级相关部门关于学校周边治安综合治理会议精神,把参与社会治安综合治理工作纳入我校的年度工作计划。积极配合有关部门加大对学校周边地区治安秩序的整治力度,对其存在的安全隐患及问题进行全面的排查,重点排查是否存在“三厅两吧一室”等不良场所;是否存在违规违法经营的各类刊点、摊点;是否存在没有达到卫生标准的餐饮店,检查学校周边环境治安秩序是否稳定。将发现的隐患和问题形成书面上报相关主管部门协同整治、清理。通过调查表的形式,通过治理,我们学校及周边环境的治安秩序较为稳定,绝大多数的师生对其表示满意。加强对校园外来人口的管理,设置《来访登记表》对来访人员实行严格的验证、记录制度,防止一些不法人士混进校园,不给为非作歹者有可趁之机。
六、维护学校稳定,做好教学保障工作。版权所有
以“科学发展观”为指导,2010年中心学校总务处。紧紧围绕学校“内涵发展,打造品牌,强化管理,促进发展”为总体要求,同事们共同努力下,坚持以人为本,服务师生,勤于管理,注重实效的工作理念,较好地完成了学校赋予我各项工作任务。现总结自查如下:
不断提高。认真学习党的十七大精神,自学和组织学习的基础上,学习紧紧围绕主题,深刻领会科学发展观的科学内涵,探求发展规律,收到良好效果。学习温总理《政府工作报告》学习《》修正案)学习抗震救灾英雄教师的先进事迹。通过教育学习,大家的精神面貌更加振奋,主人翁意识更加坚定,服务态度更加热情,一、加强学习。工作责任心进一步增强。
向管理要效益。为完善制度,二、积极开展节能减排活动。规范管理,今年制定了关于开展节能减排活动的意见》把牢节电关,减少浪费;针对部分公共部位长明灯现象,明确最终责任人,从点滴做好节电工作。洗刷间,张贴节水宣传录,以提高师生节水意识;加强巡查,及时发现修复坏损水设备,减少跑漏;适时进行管线改造,从源头采取措施,努力做好节水工作。保证了学校用水需要。今年电费开支约1.5万元,比09年减少1万元。争取在安全用电、降低用水方面进一步做好工作。
积极做好校舍维修。积极从多方渠道争取资金完成了对教学楼的部分教室维修粉刷工作;完成了日常房屋和相关设备维修工作。及时对下水道、化粪池的漏水、漏粪影响社区居民的实际问题进行了解决。三、规范操作。
把好质价关。对于纳入政府采购的物品,四、规范物品采购。依据相关政策法规进行规范操作。对于不纳入政府采购的常用物品,坚持做到货比三家”定期比价,及时掌握市场行情,以确保所采购的各类物品质优价廉,全年累计采购常用物品1万余元。工作中能积极做好各部门急需物品的采购工作,努力保证物品急时供给。
提高保障服务水平。严格执行学校制定的各项资产管理制度。做好校产的验收、移交、调拨、报废等方面的日常管理工作;做好各类资产报表的统计工作;做好每学期固定资产清查核和低值品的核对工作,五、加强资产管理。确保各类资产的安全性和数据资料的准确性。做好低值耐用品的日常管理和常用办公用品、设备耗材等物资的保障、发放工作;注意抓好物品管理协调工作,努力使“物尽其用”避免不必要的浪费。全年发放常用办公用品和设备耗材近万元。
提高饭菜质量。确保食堂保障正常。针对学生家庭困难的特点,六、规范食堂管理。主动与他沟通,适时召开师生座谈会,分析情况,征求意见,物价居高不下,成本不断提高的情况下,通过努力使食堂管理逐步规范,伙食保障基本平稳,服务水平不断提高。
努力做好日常维修及通信保障工作。日常维修点多面广项目多,七、建立广泛的信息渠道。为实现维修工作快速及时的承诺,维修管理人员根据学校实际,学生宿舍由以前宿管员每日报修改为主动上门巡察服务,实现了日常维修快速及时的承诺。对公共设施设备的维修,坚持巡视检查制度,发现问题,及时修理,保障了教学服务和教学需要。认真做好通信设施维护工作,确保电话线路的畅通。
继续坚持不间断保洁,八、高标准做好校园保洁保绿工作。高标准做好校园绿化和校园保洁工作。为进一步提高保洁水平。加强岗位操作制度和巡检制度的落实。花木养护工作在做好浇水、施肥、剪修和防治虫害的同时,注重在养肥养秀方面下功夫。通过共同努力,校园绿化和保洁水平不断提升。
以“区级治安安全示范单位”建设为目标,九、进一步深化“平安校园”建设。根据学校年度安全工作部署。强化校内社会治安综合治理,努力确保师生人身安全、学校财产安全,切实维护学校的安全稳定,较好地完成了年初制订的工作计划,基本实现了预期目标。健全制度预案,促进规范有序管理。灭火和应急疏散预案、应急救治和疾病预防措施、处置食物中毒事件应急预案等,为最大程度地预防各类突发事件和减少突发事件造成的损失,保证师生的生命和财产安全,维护校园稳定提供了制度保障。突出工作重点,确保校园安全稳定。校内各类人员进出难以控制,给安全管理工作带来很大难度,年秋学校通过各方努力将后门通道进行了封堵。开展在校生安全防范教育。一年来,积极配合派出所、交警队、森林派出所等单位通过多形式、多渠道开展在校生的法制教育及交通安全、人身安全、网络安全、危害、森林火灾等方面的宣传教育,进一步增强了校生的法制观念、安全意识,提高了学生防范自救的能力和参与和谐平安校园建设的积极性。校园主要通道、公共部位安装了监控探头,并对所有监控设施进行了整合,将控制室移至门卫室。目前,校园内重点要害部位实现了监控全覆盖,为确保学校财产安全和及时发现处理安全隐患、事故苗头提供了有力保障。贯彻防消结合的消防工作方针,落实防火责任制。为确保学校的防火安全,严格执行消防安全制度,每月进行全面的消防专项检查,对校内所有消防设施、器材进行定期保养、更新。确保了消防设施配备合理、安全有效。为提高处置能力,2010年秋季组织了一次由保安、宿管员和各重点防范部位责任人参加的消防安全教育和灭火演练。上海商学院火灾事故发生后,立即组织了一次彻底的校内消防隐患排查,同时配合政教处,针对如何预防宿舍火灾及火灾发生时的处置办法,专门给学生干部、寝室长和宿管人员上培训课。加强监督检查,消除事故隐患。2010年,加大对重点、要害部位,如档案室、财务室、计算机房、实验室、多媒体教室、食堂等的监督检查力度,督促各部门、各有关责任人切实增强责任心,真正做到防患于未然。一年来,参与全校性的安全大检查4次,自行组织的消防专项检查12次,结合平时每日的例行检查和每周安全情况汇总分析,努力做到早发现、早处置、早整改,把事故苗头和安全隐患控制在萌芽状态。
认真履行部门职能,一年来。取得了一些成绩,基本实现了年初制定的工作目标。但面对社会治安新形势,以及建设平安、文明、和谐校园对安全保卫职能部门新要求,还存在较大差距。需要我今后的工作中不断地探索、创新,积极地开拓进取。进一步做好后勤保障、创安、综合治理工作,依靠全体师生的共同努力,扎实推进“平安和谐校园”建设,合力打造和谐稳定的教书育人环境,努力办好人民满意的教育。
一、加强宣传,提高认识,增强责任感
创建“平安校园”是关心青少年成长,关心教育事业健康发展的又一举措。学校带领广大师生员工认真学习有关文件精神,了解创建目的意义,知晓创建标准过程,理解创建工作和学校常规管理的关系。认真分析我校面临的形势,查找工作中存在的问题。学校安全教育必须做到年年抓、月月抓、天天抓,始终警钟长鸣。我们不仅把安全列入学校工作计划,而且作为重要的议事内容。无论是学校行政会议,教师会议,还是学生会议等,无时无刻不提“安全”。各处室、年段、班级都紧紧围绕“安全”开展活动。我们以“人人讲安全,事事讲安全,时时讲安全,一生才安全”和“居安思危、防微杜渐,安全第一”等名言警句来教育学生。宣传栏定期刊出安全、法制专刊,升旗仪式上进行安全教育,学校广播定期播放《校园安全教育常识》,班级板报中定期出版安全和法制教育专版,给学生们以正确的引导。各班利用晨会、班队会,加强安全、法制教育,做到早宣传、早认识、早预防。我们还充分利用微信群、公众号等宣传媒体,加强安全教育,使学生、家长认识到安全工作的重要性、艰巨性、复杂性,增强了遵纪守法的意识,提高了自我防范和自我保护的能力。
二、加强组织,健全网络,落实责任
为了确保创建目标的顺利实现,学校成立了领导小组,由校长任组长,分管副校长为副组长,其他行政为成员的领导小组,做到职责明确,分工协作,齐抓共管。
我们严格遵循“预防为主、防治结合,加强教育、群防群治”的工作方针,坚持“谁主办、谁负责”,“谁主管、谁负责”的原则。做到校长对全校的安全工作负责,班主任对班级安全工作负责,教职工均有维护学校安全和保护学生安全的责任与义务,做到网络清楚,职责分明。
我们一直把安全列入对各处室、各班主任考核的内容。学期初,校长与各处室、各班主任、学生家长等一一签订了安全教育和管理的责任书,做到主要领导亲自抓、分管领导具体抓,其他领导分头抓、一级抓一级、层层抓落实,形成统一协调齐抓共管的格局,以确保学校师生员工的安全。
三、加强管理,强化落实,积极防控
一学期来,学校建立健全并严格执行各项安全管理制度,如教学活动和实验室安全管理制度、食品卫生安全管理制度、门卫管理制度和验证制度、网络安全管理制度、消防安全管理制度等等,对所有制度进行汇编,做到人手一册,对其负责人进行培训,对其存在的问题进行纠正,使问题得到及时妥善处理。定期查找学校存在的各种安全隐患,如定期检查学校校舍、教学设备、生活设施等各类基础设备是否存在隐患;定期检查学校用水用电、防火防盗等安全设备是否存在隐患;定期检查食品卫生安全及校园环境,防止食物中毒事件的发生和病毒、传染病的传染等等。对发现的问题和隐患,及时派专人进行整治。与当地公安机关紧密联系,在学校建立了一键报警设备,以便发生案件时能及时上报公安局。
四、强化教育功能,提高师生安全防范意识
我校历来十分重视安全、法制教育工作,将安全、法制教育工作列入学校管理的重要内容,做到常抓不懈、警钟长鸣。本学期聘请法治副校长和派出所民警给师生作安全教育专题讲座和法制教育讲座,增强全体师生的自我防护能力,引导学生知法、懂法、守法、护法,在校做一个好学生,在社会做一个好公民。在开学初、重大节假日前和暑假前通过班会、国旗下讲话、板报、广播等各种途径对学生进行节前安全教育,印发致家长一封信,让家长配合学校,形成家校联系,共同督促学生的安全问题。学校还积极开展反、禁毒教育活动,通过开展“崇尚科学、反对”、“珍爱生命、远离”的专题讲座,印发相关宣传材料和通过板报、广播等形式教育学生远离和反对,全校师生员工没有吸毒和参加组织活动。加强对师生的普法教育,认真学习宣传《教育法》、《教师法》、《未成年人保护法》、《预防未成年人犯罪法》以及社会治安的有关法律、法规。全体师生遵纪守法,形成了良好的校风、教风、学风和工作作风,学校领导廉洁自律、民主管理、依法治教,从未出现师生违法犯罪行为。加强心理健康教育、“特殊生”教育和“苗头性”问题的处理。在校内设立心理教育咨询室,制定特殊生转化工作措施,专门针对严重心理障碍、经常违纪、学习困难、网络痴迷的学生进行教育,促其转变。学校还积极提供一切优惠政策,为生活困难的学生提供便利条件,使其无后顾之忧,安心学习。
五、开展校园治安综合治理,营造良好育人环境
一学期来,我校认真贯彻落实上级相关部门关于学校周边治安综合治理会议精神,把参与社会治安综合治理工作纳入学校工作计划。积极配合有关部门加大对学校周边地区治安秩序的整治力度,对其存在的安全隐患及问题进行全面的排查,重点排查是否存在“三厅两室一吧”等不良场所;是否存在违规违法经营的各类刊点、摊点;是否存在没有达到卫生标准的餐饮店,检查学校周边环境治安秩序是否稳定。通过综合治理,我们学校及周边环境的治安秩序较为稳定,绝大多数的师生表示满意。加强对校园外来人员的管理,设置《来访登记表》对来访人员实行严格的验证、记录制度,防止一些不法分子混进校园,不给为非作歹者有可乘之机。
六、维护学校稳定,做好教学保障工作
没有安全,何以生存,遑论发展;而信息时代安全的核心内容之一,便是信息安全。盖缘于此,世界上主要发达国家始终十分重视信息安全工作。
1998年5月22日,美国克林顿政府颁布了《保护美国关键基础设施》总统令(PDD63),围绕“信息安全”成立了包括全国信息安全委员会、全国信息安全同盟、关键基础设施保障办公室、首席信息官委员会等10余各全国性机构。同年,美国国家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年发表了《总统国家安全战略报告》,首次将信息安全明确列入其中。布什政府在911之后成立了国土安全部、国家KIP委员会,并于2002年和2003年陆续颁布了《国家保障数字空间安全策略》、《国家安全战略报告》和《网络空间安全国家战略计划》。奥巴马总统上台不久,就亲自主导了为期60天的信息安全评估项目,并于2009年5月公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,并提出相应的行动计划。在此基础上,美国政府成立了网络安全办公室,任命了网络安全协调官。2010年6月,美国国防部正式成立了由战略司令部领导的网络战司令部,于2010年10月正式运行。2015年年底,美国《网络安全法》获得正式通过,成为美国当前规制网络安全信息共享的一部较为完备的法律,首次明确了网络安全信息共享的范围,并通过修订2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。
俄罗斯则早在1995年便颁布了《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。1997年俄罗斯出台的《俄罗斯国家安全构想》中明确提出,“保障国家安全应把保障国家经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。2000年普京总统批准了《国家信息安全学说》,明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容。
我国政府高度重视信息安全工作,早在1994年,国务院便以147号令颁布了《中华人民共和国计算机信息系统安全保护条例》;2003年国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》;2006年公布了《国家突发公共事件总体应急预案》和《国家网络与信息安全事件应急预案》,确定了4大公共事件及网络信息安全事件的应急措施预案;2007年制定了《国家突发事件应对法》。此外,信息产业部、工信部以及各地方政府和部门在近十余年时间里也陆续出台了各类与信息安全相关的法律法规。信息安全在我国的国家层面上受到高度重视,目前已上升为国家战略。相应地,信息安全工作也已成为各行各业信息化战略规划和信息化建设中不可或缺的内容,气象部门也不例外。
信息安全是一个永恒的主题,信息安全工作永远没有终结的一刻。在国家大力倡导信息化、互联网+、大数据应用和信息安全的现在,认真系统地回顾和审视气象信息安全工作,是完全必要的,因为这可使我们及早发现问题、查漏补缺,使气象信息安全工作进一步发挥出应有的作用。
二、信息安全的本质
(一)信息安全的内涵和特征
信息是气象部门最宝贵的资产,是气象部门赖以立身的最为珍贵的资源。因此,必须对所有气象信息进行妥善的保护。
按业界的规范定义,信息安全主要指信息的保密性、完整性和可用性的保持,即:通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,保护信息在其生命周期内的产生、传输、交换、处理和存储等各个环节中,信息的保密性、完整性和可用性不被破坏,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取业务回报。其中:保密性是指确保只有那些被授予特定权限的人才能够访问到信息;完整性是指保证信息和处理方法的正确性和完整性;可用性则是指确保那些已被授权的用户在其需要的时候,确实可以访问到所需信息。此属常识,不予展开。
信息安全具有如下特征:
1. 信息安全是系统的安全
信息产生于系统、存在于系统、被系统所使用并由系统发挥其作用,所有与信息相关的各系统皆必须纳入信息安全的视野,予以充分的关注和考虑。此外,信息安全是整体的安全,所有与信息相关的部分由信息串联而构成一个相对完整的系统,它的安全直接关系到信息的安全。
2. 信息安全是动态的安全
信息的安全保障是一个动态的过程,没有永久的安全,也不存在满足信息安全的充分条件,信息安全问题不可能一劳永逸地予以解决。保护信息安全不可能是绝对的,而是多种约束条件下的折衷的选择。随着事物的发展和技术的进步,约束条件必然发生变化,而约束条件的变化又将必然导致信息安全方针、策略和措施的相应调整和变化。
3. 信息安全是无边界的安全
网络的广泛互联使得信息系统环境的边界越来越模糊,传统意义上的国界、前方和后方正在消失,人们几乎可以从任何地点、任何时间对任何对象发起网络攻击,因此信息安全是广泛的、无国界的,它无法单凭一个国家、地区或部门就能完全控制,需要从全球信息化角度综合考虑和整体布局。
4. 信息安全是非传统的安全
传统的具有典型外在物理特征的安全因素(如:军事、自然灾害、人为暴力破坏等等)已无法涵盖信息安全所应考虑的全部范畴。在没有诸如军事入侵、自然灾害、传统意义上的恐怖袭击等情况下,信息和信息系统的安全依然会受到诸如计算机病毒、黑客攻击、计算机犯罪、信息垃圾和信息污染等严重威胁。国家的电信、金融、能源、交通等核心领域,气象部门的数据通信、信息处理等核心系统,可能在极短的时间内被攻击瘫痪,导致社会运转的瘫痪和气象业务的崩溃,而此时所有系统的物理器件并未因此而发生实质性的损伤。
信息安全既是信息技术问题,也是组织管理问题。因为信息安全最终必将落实到信息系统的安全层面上,并最终由一个个具体的信息技术和相关产品的有机组合予以实现,没有符合实际的明确的安全目标和方针、科学的设计、认真的维护、以及不断地主动发现新的安全问题并及时予以解决,是无法有效地形成安全环境的;就一个部门而言,一个相对安全的环境的构成必须从人的行为规范、安全体系的科学设计以及部门内部安全环境的构成等诸多方面综合考虑、整体设计,方才可能。因此信息安全并非单纯是技术和技术产品问题,更是组织管理问题,无法单凭技术手段予以解决。
此外,从法律、舆论以及信息战和虚拟空间等更高层面考虑,信息安全也是社会问题和国家安全问题。此非本文所考虑的范围,故不予展开。
(二)信息安全的一些认识误区
应当承认,由于各种原因,至今气象部门的一些同事中,对信息安全仍存在一定的认识误区,以下问题应予充分重视:
1. 单纯的安全技术和产品的应用不能解决信息安全
信息安全问题并非单纯的技术问题,信息安全技术和产品的简单应用并不意味着部门整体的信息安全,不能指望简单地规划了DMZ区、在局域网出入端配置了防火墙、在个人电脑中安装了杀毒软件、远程通信采用VPN技术后,部门的信息安全问题便可基本解决。事实上,诸如防火墙、堡垒机、杀毒软件等安全产品,仅仅是构建部门信息安全防护体系的砖石,如果没有科学的整体设计和有效的实施方案,单凭砖石和瓦块的简单甚至随意堆垒,是无法构建成有效的安全防护体系的。因此:
防火墙+ 堡垒机+ 杀毒软件≠信息安全
2. 业务连续性的有效保障不能替代部门的信息安全
业务连续性的有效保障是部门行政领导最为关注的安全问题之一,为此往往不惜代价不计成本,而建立业务备份中心或灾难备份中心是目前较为流行的保障措施。但备份中心的建立也并不一定意味着部门整体的信息安全,因为业务连续性的保障仅属于信息安全三要素中“信息可用性”的范畴,如果不同时考虑信息的保密性和完整性,同样无法从整体上解决部门的信息安全问题;而信息的私密性和完整性与备份中心之间并无必然联系。因此:
备份中心≠信息安全
3. 网络防御不能代替信息安全
传统意义上的网络安全包括网络协议安全、网络设备安全和网络架构安全,侧重于网络自身的健壮性以及抗网络攻击的能力。然而如果网络上运行的系统自身存在一定缺陷、软件存在BUG,以及人为操作失误(如:误删除、误修改等),则上述内容和措施便将束手无策。所以,网络的抗攻击和抗偷盗能力不能完全解决信息安全问题。
类似的认识误区还有若干,限于篇幅,不再枚举。
三、基于风险管理的信息安全管理
(一)信息安全管理
统计结果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%则是因内部员工的疏忽或有意违规而造成的。站在全局的高度上来考察信息和网络安全的全貌就会发现:安全问题实际上都是人的问题,单凭技术手段是无法予以根本解决的。
信息安全是一个多层面、多因素的过程,如果仅凭一时的需要,头疼医头脚疼医脚地制定一些控制措施和引入某些技术产品,难免挂一漏万、顾此失彼,使得信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全的整体水平。
对于信息安全而言,技术和产品是基础,管理才是关键。如同砖瓦建材需要良好的设计和施工才能搭建成坚固耐用的建筑,安全技术和安全产品需要通过管理的组织职能方才能够发挥出最佳效果。事实充分证明,管理良好的系统远比技术虽然高超但管理混乱不堪的系统安全得多。因此,先进科学的、易于理解且方便操作的安全策略对信息安全至关重要;而建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续的安全。
所谓信息安全管理,是指部门或组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动和过程;是通过维护信息的保密性、完整性和可用性,来管理和保护组织所有的信息资产的一项体制;是部门或组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动。有效的信息安全管理要尽量做到在有限的成本下,保证将安全风险控制在可接受的范围之内。
信息安全管理包括:安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面内容。
(二)基于风险的信息安全
1. 安全和风险
步履蹒跚的耄耋老人终日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不稳而跌倒的可能,不如身边陪有专人看护安全;然即便家中有专人看护,也不如将老人长期安置在医院,在全套设备和专业医护人员看护下安全,如此等等。可见,所谓安全都是相对而言的,没有绝对的安全;而安全的效果或等级越高,往往付出的代价或成本也越高,信息安全也是如此。
安全是相对于风险而言的,某种安全水平的达到意味着某种或某类风险的得以规避:双机热备技术可以避免单点故障所导致的业务中断,两地三中心灾备模式可以保证即便在发生局地严重灾害时部门业务的连续性。但绝对的安全是没有的:双机热备技术无法避免供电系统故障的风险,而大型陨石撞击地球,将导致生态系统的崩溃和物种灭绝,遑论灾备两地三中心以及部门业务连续性了。
然而,风险是由可能性与后果的组合来计算和度量的。尽管两地三中心灾备模式无法应对地球遭遇大型陨石撞击的毁灭性灾害,但该灾害发生的可能性却微乎其微,未来数百年几乎没有可能。因此此灾虽然为害甚烈,但发生的可能性却几近于零,不必予以考虑。
2. 风险管理
绝对的零风险是不存在的,要想实现零风险也是不现实的。同时,规避风险是需要代价的,规避的风险种类越多,所付出的代价往往越大。就计算机系统而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之间做出一种平衡。
所以,根本上说,信息安全是一个风险管理过程,而不是一个技术实现过程。
风险管理是指如何在一个肯定有风险的环境里,利用有限的资源把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略等。理想的风险管理,是一连串排好优先次序的过程,使导致最大损失及最可能发生的安全事件优先处理、而相对风险较低的事件则押后处理。
风险管理的首要内容之一,是风险识别和风险评估。因为,信息安全体系的建立首先需要确定信息安全的需求,而获取信息安全需求的主要手段就是安全风险评估。因此,信息安全风险评估是信息安全管理体系建立的基础;没有风险评估,信息安全管理体系的建立就没有依据。
风险管理的另一项重要内容,就是对风险评估的结果进行相应的风险处置,只有对已知风险逐一进行有针对性的妥善处置,才能化解和规避这些风险,达到信息安全的目的。因此,风险处置是信息安全的核心。从本质上讲,风险处置的最佳集合就是信息安全管理体系的控制措施集合;而控制目标、控制手段、实施指南的逻辑梳理、以形成这些风险控制措施集合的过程,就是信息安全体系的建立过程。亦即,信息安全管理体系的核心就是这些最佳控制措施的集合。
需要强调的是,由于信息安全风险和事件不可能完全避免,因此信息安全管理必须以风险管理的方式,不求完全消除风险,但求限制、化解和规避风险。而好的风险管理过程可以让气象部门以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平,使气象部门可以用一种一致的、条理清晰的方式来组织有限的资源,确定风险处置优先级,更好地管理风险,而不是将保贵的资源用于解决所有可能的风险。
事物是在不断变化的,新的风险不断出现,因此风险管理过程需要不断改进、完善、更新和提高。
四、当前气象信息安全存在的问题
尽管气象部门至今尚未发生重大信息安全事件,但这并不能说明气象部门的信息安全工作已万事大吉,信息安全体系固若金汤。依照信息安全管理的规范考察,气象部门的信息安全工作至少存在如下问题:
(一)基础工作存在缺失
1. 信息安全目标
通常意义下的信息安全目标,一般都是确保信息的机密性、完整性、可用性,以及可控性和不可否认性等等。但部门不同,具体的情况不同,安全性需求的程度、信息安全所面临的风险、付出的代价也各有不同;如:就信息的机密性而言,军事部门的要求远远高于气象部门;而就信息的可用性而言,气象部门对业务连续性的要求也较土地勘测管理部门为高。因此,泛泛的信息安全目标没有任何意义,所有可用的信息安全目标都是切合部门具体实际情况的,是本土化、部门化的。
没有切合气象部门具体实际情况的、具有鲜明气象特色的信息安全目标,是目前存在的突出问题。
必须明确,气象部门信息安全目标的确定,是管理层的职责。管理层对信息安全目标的要求,决定了气象部门信息安全工作的走向。气象信息业务部门负责气象信息安全既定目标的具体落实,其工作的质量和效率,决定了气象部门是否能够达到信息安全管理的目标。
2. 信息安全方针
信息安全方针是为信息安全工作提供与业务需求和法律法规相一致的管理指示及相应的支持举措。信息安全方针应该做到:对本部门的信息安全加以定义,陈述管理层对信息安全的意图,明确分工和责任,约定信息安全管理的范围,对特定的原则、标准和遵守要求进行说明,等等。气象部门的信息安全方针至少应当说明以下问题:气象信息安全的整体目标、范围以及重要性,气象信息安全工作的基本原则,风险评估和风险控制措施的架构,需要遵守的法规和制度,信息安全责任分配,信息系统用户和运行维护人员应该遵守的规则,等等。
遗憾的是,以此为基本内容的信息安全方针,至今在气象部门尚未确立。
3. 信息安全组织机构
为有效实施部门的信息安全管理,保障和实施部门的信息安全,在部门内部建立信息安全组织架构(或指定现有单位承担其相应职责)是十分必要的。
在一个部门或机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍。因此,建立信息安全组织并落实相应责任,是该部门实施信息安全管理的第一步。这些组织机构需要高层管理者的参与(如本部门信息化领导小组),以负责重大决策,提供资源并对工作方向、职责分配给出清晰的说明,等等。此外,信息安全组织成员还应包括与信息安全相关的所有部门(如行政、人事、安保、采购、外联),以便各司其责,协调配合。
遗憾的是,类似的组织机构在气象部门内即便已经存在,至今也未真正履行其应负的职责。
4. 信息资产管理
信息资产管理的主要内容包括:识别信息资产,确定信息资产的属主及责任方,信息资产的安全需求分类,以及各类信息资产的安全策略和具体措施,等等。
就气象部门而言,对信息资产(即:气象信息资源和气象信息系统)进行识别、明确归属以及分类等工作,有利于信息安全措施的有效实施。以分类为例:我们知道,对某特定气象资料或业务系统实施过多和过度的保护不仅浪费资源,而且不利于资料效益的充分发挥和系统的正常运行;而若保护不力,则更可能导致气象信息数据和系统产生重大安全隐患,乃至出现安全事故。对气象信息资产进行分类,可明确界定各具体资产的保护需求和等级,如此可以根据类别的不同,调整合适的资源、财力、物力,对重要的气象信息资源和系统实施有针对性的、符合其特点的信息安全重点保护,如此等等。
同样遗憾的是,气象部门至今尚未实施真正意义上的完整的气象信息资产管理。
类似缺失的基础工作还有很多,不再枚举。
基础工作的缺失,导致气象信息安全工作的不扎实、不稳固,是气象信息安全工作长期滞后于信息化基础建设的主要原因之一。
(二)完整的信息安全管理体系尚未建成
按照ISO的定义,信息安全管理体系(ISMS:Information Security Management System)是“组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合”。
信息安全管理体系要求部门或组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择安全事件控制目标和相应处置措施等一系列活动,来建立信息安全管理体系。该体系是基于系统、全面、科学的安全风险评估而建立起来的,它体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其它地方、行业的相关要求。该体系强调全过程管理和动态控制,本着控制费用与风险相平衡的原则,合理选择安全控制方式。该体系同时强调保护部门所拥有的关键性信息资产(而不见得是全部信息资产),确保需要保护的信息的保密性、完整性和可用性,以最佳效益的形式维护部门的合法利益、保持部门的业务连续性。
由于基础性工作尚未全部就绪,目前气象部门尚未建立真正意义上的、基于风险管理的科学而完整的气象信息安全管理体系。
在气象部门建立完整的信息安全管理体系,可以对气象部门的关键信息资产进行全面系统的保护,在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度;并使气象部门在信息安全工作领域实现动态的、系统地、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平。此外,完整的信息安全管理体系的建立,也可使部门外协作单位对气象部门的安全能力充满信心,这一点在当前大数据应用浪潮正在全社会迅速漫延的背景下,尤其重要。
(三)业务格局的分散加大了安全管理问题的复杂度
目前气象部门依然沿用着已延续数十年的国省地县四级业务层级,而业务系统的属地化,以及诸如“具备业务功能意味着拥有业务系统、拥有业务系统意味着拥有信息资产以及基础资源和设施”等传统观念的束缚,使得各个业务系统在地理分布上呈现出全国遍地开花的局面,各级业务单位都拥有自己的信息业务系统和相应的局地信息业务环境。彼此通过内部专网(VPN)或甚至通过互联网进行互联,在全国形成网状与树状相结合的、十分复杂的业务网络结构。
由于各级单位都在当地拥有各自规模不等的信息业务系统及相应环境(包括为业务系统提供数据支撑的气象数据库),因此各单位都面临着本单位的信息安全管理问题。尤其是一些气象数据在各级业务单位的广泛复制,使得各级业务单位中数据同质化现象十分突出,也为这些数据的保密性和完整性(包括一致性)的保持增加了大量变数。此外,由于编制所限,地县两级业务单位中IT技术人员奇缺,既无法保障信息业务系统的日常维护,更无法为本单位信息安全提供专业化管理。
这种业务格局的分散,加大了气象部门信息安全管理问题的复杂度。
限于篇幅,其余问题不再枚举。
五、建立完整的气象信息安全管理体系
综上所述,在气象部门建立完整的气象信息安全管理体系,是非常必要的;就目前全社会所倡导的大数据应用和云计算趋势而言,这项工作具有较强的紧迫性,应尽早开展相应的工作。归纳起来,有如下几点:
(一)适时着手建立完整的气象信息安全管理体系
1. 完成基础性工作
应尽早明确信息安全的方针,为气象部门信息安全工作确定目标、范围、责任、原则、标准、架构和法律法规。
应以适当方式组建或明确气象信息安全的管理和实施机构,并确保所有相关单位能够悉数纳入其中,明确分工和职责,以便各司其职,彼此协调工作。
应在管理层的统一组织下,以适当的形式,全面完成气象部门内部的信息资产普查、归属认定、安全需求等级划分以及安全等级保护措施等,制定气象信息资产管理策略、制度和方法,逐步推广实施,从而完成气象信息资产的有效管理。
2. 适时进行信息安全风险评估并制订风险处置方案
制定风险评估方案、选择评估方法,以此为依据完成气象信息安全风险要素识别,发现系统存在的威胁和系统的脆弱性,并确定相应的控制措施。在此基础上,对所有风险逐一判断其发生的可能性和影响的范围及程度,综合各种分析结果,最终逐一判定这些风险各自的等级。
在风险等级判定的基础上,以“将风险始终控制在可接受范围内”为宗旨,制订有针对性的风险处置方案,包括:可接受风险的甄别和确定,不可接受风险的控制程度,风险处置方式的选择和控制措施的确定,制订具体的气象信息安全方案和综合控制措施,科学合理地运用“减低风险”、“转移风险”、“规避风险”和“接受风险”等方法,形成综合的气象信息安全风险处置方案,并部署实施。
3. 建立完整的气象信息安全管理体系
在上述工作以及其它相关工作的基础上,参照BS 7799-2:2002 《信息安全管理体系规范》、 ISO/ IEC17799:2000《信息技术-信息安全管理实施细则》等国际标准,以及GB/T22080-2008《信息安全管理体系要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T20984-2007《信息安全风险评估规范》等国家标准,完成组织落实、措施落实、方案落实和相应文档的编写,以及所有相关的审查、职责界定和制度建设,以构成气象部门的信息安全管理体系。
(二)将信息安全管理体系纳入气象信息化战略之中
信息安全与信息化发展息息相关,是一切信息化工作的基础,涉及到信息化工作的方方面面。气象部门是以信息采集、分析处理和为工作特征的典型的信息应用部门,气象业务系统是典型的信息系统,因此信息安全对于气象部门尤为重要。气象事业的健康发展离不开信息化,也同样离不开信息安全。气象信息安全应当是气象信息化工作中最为重要的内容之一,气象信息安全管理体系的构建和持续改进也应当成为未来气象信息化战略中极其重要的内容。
信息安全是管理问题而非技术问题,从某种角度看,信息安全管理体系是以策略为核心,以管理为基础,以技术为手段的安全理念的具体落实。有什么样的理念,就有什么样的方针、策略、制度措施和体系架构。无法想象在管理理念和安全意识十分落后的思维环境中,能够构建起科学完备的信息安全管理体系来。因此,安全管理理念的全面提高和安全意识的充分到位,是气象信息安全所有工作正常开展的前提。就气象部门管理层而言,着力消除曾长时间弥漫于全部门信息安全领域的重技术轻管理的观念,将关注点从研究安全技术和产品应用转移到信息资产管理、风险识别和控制以及整体安全战略的制定等管理层面上来,是其不可推卸的责任。应当在全部门倡导信息安全意识、制定并推行信息安全制度、确定信息安全责任、组织信息安全培训,构建起完整的气象信息安全管理体系。
六、结语
在政府大力强调信息安全意识,强力推动信息安全工作的背景下,各行各业均把信息安全工作列入本部门或单位的工作议程,气象部门也是如此。但如何科学有效地构建起具有鲜明气象特色的信息安全防护体系,充分把控所有已知的安全风险,使有限的投入得到最大限度的安全回报,这是气象部门管理层和IT工作者需要认真研究并努力实践的工作。
信息安全首先是意识问题、观念问题,要想真正打造安全的业务环境,在气象部门全体员工中(特别是在管理层干部中)树立良好的安全意识,是至关重要的。
2014年,在深刻领会主席“没有信息化就没有现代化”的重要指示精神后,气象部门提出了“没有信息化就没有气象现代化”的口号。那么,针对提出的“没有信息安全就没有国家安全”的另一重要论断,气象部门是否也应提出相应的口号――
“没有信息安全,就没有气象业务安全”。
2020年,在县委县政府的坚强领导和上级主管部门的精心指导下,吉安县立中学领导班子精诚团结,积极进取,努力工作。全体行政坚持“依法治校、民主理校、国学立校、科研兴校、特色办校、质量强校”的办学理念和“德才兼备,身心健康,全面发展、特长明显”的人才标准,全面贯彻国家教育方针,扎实实施素质教育,坚持“科学化、规范化、精细化”的管理策略,向管理要效益,以质量求发展,不断改善办学条件,优化校园环境,完善教育教学设施装备,努力创办高质量、有特色的品牌高中,取得了明显成效。现总结如下:
(一)党建工作
强化组织领导,建立健全体制机制。本学期学校党建工作逐步规范化、制度化和常态化。调整了学校党总支和党支部的组成人员,规范了党费上缴制度,建立党建工作台账。
强化示范引领,学习教育从严从实。通过落实“主题党日”、深入开展第二批“不忘初心,牢记使命”主题教育,受到省委“不忘初心、牢记使命”主题教育办公室的通报表扬。组织全体党员观看“建国70周年阅兵”等活动,净化了党员的思想,发挥了党员干部的模范带头作用。
(二)教师专业发展
10月份开展青年教师试卷讲评大赛。比赛全面展示了青年教师的各方面综合素质和独特的人格魅力,促进了教师自身素质的提升和教学质量的提高,也彰显了青年老师的无限潜力。
继续实施了导师制。青年教师导师制,主要目的是通过“一对一”的导师指导制度,明确师傅和徒弟各自的责任和义务,充分发挥优秀教师的示范和传、帮、带作用,不断提高青年教师的思想素质、教学水平和科研能力。
(三)教育科研
1.继续落实“六环节”教学模式。加大教师与学生培训力度,课堂采取“导、思、议、展、评、测”方式,全面稳步推进高效课堂。
2.加强对教师课改进行监督与指导。学校专门成立学科教学督导小组,11月份开展课堂教学调研活动,对教师的课堂教学教学进行随堂听课,发现问题,及时反馈,专项指导,取得一定成效。
3.大兴教研之风,科研成果丰硕。多位老师科研课题获得国家或省级立项,胡燕萍老师的教学论文《诗歌鉴赏》和《浅谈〈囚绿记〉教学重点》发在《中国语文报》发表,周婷老师撰写的《浅谈高中学生解题能力培养的策略》在《中学生报》上发表,在省、市、县各级优质课比赛中,我校老师多人次获奖:周婷老师全国中学生数学教学改革创新优质课大赛获省二等奖,参加省中小学优秀教研成果评比课件比赛获省一等奖;张花莲老师参加省中小学优秀教研成果评比教案比赛获省二等奖;周一松老师参加第十一届省中学物理教学改革创新大赛优质课获二等奖;余斌老师在全省中小学实验说课比赛中获得省三等奖;万智欣老师在全市高中历史教师教学技能比赛中获市级一等奖;余斌老师在全市中小学实验教学说课评比活动中获高中生物一等奖;彭贞老师在全市中小学实验教学说课评比活动中获高中化学一等奖;彭珺儒在全市中小学实验教学说课评比活动获高中物理二等奖;胡艺方在全市地理教师优质课比赛中二等;刘梅花在全市地理教师优质课比赛中获二等奖;尹叶青在全市高中英语优质课大赛中获二等奖;蒋丽华在全市政治教师优质课比赛中获一等奖;龙进春在全省中小学实验说课比赛中获省级三等奖;吴文红在全市高中历史教师教学技能比赛中获二等奖。
4.学科竞赛成绩斐然。数学竞赛获全国二等奖6人,三等奖1人,省一等奖4人,省二等奖1人,省三等奖4人;物理竞赛获全国二等奖8人,全国三等奖8人;化学竞赛获省一等奖5人,省二等奖9人,省三省奖18人;生物竞赛获全国二等奖2人,全国三等奖5人;全国中小学电脑制作比赛获全国二等奖1人,省级二等奖1人,市级三等奖1人,总获奖达72人次之多。
5.举办2020届高三第一次高考研讨。各位备课组充分准备,深入学习,积极研讨,为后阶段复习指明了方向,取得了较好的效果。
(四)教学常规
加强教学常规管理,规范教学行为,提高教育教学质量。严格按照上级要求,规范课堂教学行为,强化教学过程,重视教学细节,继续实行随堂听课制度。落实每周一次检查制度,写好检查情况并及时与教师、学生反馈。
坚持每日上课情况登记。每周每班发放一本《上课情况登记册》,及时记录各班每节课的上课情况,及时掌握教师的教学实况,进一步确保学生安全。
(五)学生管理
学校学生管理工作始终本着以“管理育人、服务育人、教育育人”的原则,“让每一个学生都能在这里演绎精彩”,是县中人永恒的追求。
学校实行半封闭管理,对学校东门和北门进行封闭。每月开展主题教育,一年有八个活动主题,如“安全与行为规范教育月”“文明礼貌教育月”教育实践活动等。政工处、团委、学生会联合起来,以征文、演讲、书信等形式开展系列活动,让学生在活动中接受教育、健康成长,树立社会主义核心价值观,营造清新向上、文明和谐的校园文化环境。校团委荣获五四红旗团委。
(六)安全教育
健全各项制度,确保安全管理规范有序。学校继续完善了一系列安全工作制度:《教师上课学生安全工作流程》《各类突发事件应急预案》《传染病预防和控制措施》《学校安全事故报告制度》《校内安全定期检查制度》《门卫制度》《班主任法制、安全、文明教育工作责任状》《安全工作管理试行办法》《校园饮食卫生管理条例》《饮用水管理制度》《校舍安全管理制度》《用电和用火安全管理制度》等。
坚持“以防为主”的方针,按照“以人为本,防范严密,控制有力,全面设防”的要求,全面提高“人防” “物防”“技防”的立体安全防范网络。抓实思想教育,着力提升宣传教育实效。坚持开展包括自救自护常识、消防安全、食品安全、网络安全、校舍安全、校园周边环境安全、危险化学药品安全、学生居住地安全、用电安全、防踩踏、防溺水、防、防、防暴恐、防盗抢、防诈骗、防传销、防煤气中毒、防疾病、防欺凌等安全教育。每周都有安全工作安排,经常性的在升旗仪式上对安全工作进行专题讲解和知识宣传,在全校营造 “人人讲安全,个个重安全”的良好氛围。
(七)教学质量
在全体师生的大力支持下,尤其是20全体师生奋力拼博下,2019年我校高考迈上了一个新台阶。全校文化类本科上线740人,其中一本上线331人;600分以上99人;全市考取清华北大的人数共22人,我校就有8人。考取清华北大人数列全省第七名,全市第一名,并且连续三年获得全市文科状元。获得县级高考先进单位荣誉称号。
(八)校园建设
本学期完成了教师生活区停车场建设工程,并把生活区与教学区隔离开来,使得学校布局更加合理,同学的出行安全更有保障。完成了新建综合楼的拆迁工作,12月27日已经动工建设。
(九)后勤管理服务
学校的公寓管理以优质服务为基础,以科学管理为手段,达到服务育人的目的,实现“服务、管理、育人”有机结合,采用学生公寓物业托管、学校监管相结合的办法,本学年学校加强了寝室管理力度,更换了学生寝室铁架床,使得学生安全更有保障,寝室内务和就寝纪律也明显好转。
学校食堂本着“高标准,严要求,高质量,严管理”的原则,加强食堂工作管理和食品安全监督,切实保障师生饮食安全。本学期完成了学校食堂的升级改造工作,极大的改善了师生用餐条件,取得了满意的效果。
(十)体艺教育
体艺工作取得较好成绩。一年来,我校抓实体育艺术工作,参加县中小学田径运动会成绩喜人,取得了全县团体总分第一名的好成绩;举办了吉安县立中学第二届艺术节暨洪山基金颁奖晚,节目水平有较大提高,得到了观众的一致好评。
(十一)脱贫攻坚
我校积极响应县委县政府号召,打赢脱贫攻坚战。继续开展“脱贫攻坚,结对帮扶”工作,全校行政每人挂点2-4户贫困户,每月按规定前往吉安县桐坪镇枫冈村开展扶贫工作,全校党员与金家岭社区结对帮扶,深入一线,了解户情,结合帮扶对象的家庭状况,致贫原因,扶贫需求等综合因素,做到因户因人,精准施策。
一年来,学校领导班子凝心聚力,真抓实干,攻坚克难,使我校的各项工作都取得了可喜的成绩,荣获了2019年县办学绩效考核先进单位,高考先进单位,十七届全国创新英语大赛优秀生源基地,吉安县中小学田径运动会高中组团体总分第一名等荣誉。
在取得成绩的同时,仍然面临一些不容忽视的困难和问题:一是学生德智体美劳全面发展的要求还无法得到完全满足,尤其是对一些体艺特长生的培养还有欠缺。二是学生养成教育效果欠佳,学生在校园使用手机现象还时有发生,三是教师对“六环节”高效课堂推进的热情不高,对如何提高教育教学水平的研究热度不高;四是学校的后勤保障有待进一步加强,公寓的内务管理还需进一步完善。
