时间:2023-09-15 17:31:27
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全的整改措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、网络安全责任工作责任制落实情况方面。加强领导,成立了网络安全工作领导小组。为进一步加强全局信息网络系统安全管理工作,我局成立了以陈敏局长为组长、分管领导倪彬副局长为副组长、办公室人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:局长为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。办公室人员负责计算机网络安全管理工作的日常事务。
二、网络安全制度建设情况。为确保计算机网络安全,实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等保障制度。同时,信息安全工作领导小组具有畅通的24小时联系渠道,可以确保能及时发现、处置、上报有害信息。
三、自查工作组织开展和问题整改情况。在接到通知后,我局立刻安排专人对局网络全面自查,进一步加强我局网络安全,并对部分需要计算机设备进行了升级,为主要计算机配备了UPS,每台终端机都安装了防病毒软件,硬件的运行环境符合要求;防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故;目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
四、今年5月以后我局再无使用“向日葵控控”等远程控制工具。
五、网络安全能力建设情况。为保证网络及各种设备安全有效地运行,减少病毒侵入,就网络安全及信息系统安全的相关知识对有关人员进行了培训。期间,各计算机使用人员及管理人员对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复,学习到了实用的网络安全防范技巧,促进了计算机使用人员对网络信息安全的认识力度。
六、网络安全应急预案制修订和应急演练开展情况。利用此次检查契机,制定切合我局网络安区应急预案,并每月月初月末进行一次网络排查、杀毒应急演练。
七、存在的问题和意见建议。1、存在的主要问题:一是由于本单位计算机网络方面的专业技术人员较少,网络安全方面可投入的力量有限。二是规章制度体系初步建立,可能还不够完善,未能覆盖到网络与信息系统安全的所有方面。2、整改措施:一是要继续加强对本单位工作人员的安全意识教育,提高做好安全工作的主动性和自觉性。二是安排专人,密切监测,随时随地解决可能发生的信息系统安全事故。
八、下一步工作计划。通过本次网络安全自查工作,我局发现在网络管理过程中的一些薄弱环节,比如:我局职工网络安全意识不够强;专业技术也有带欠缺;管理制度也不够完善。在以后的工作中,我们将进一步加强安全意识教育和专业技能训练,定期对员工进行培训,注重人防与技防结合,并制定一套完善的网络安全管理制度,确实做好我局网络安全工作。
合规性安全建设
对于电厂的安全防护,绿盟科技建议从物理安全、网络安全、主机安全、应用和数据安全等多个维度进行考虑。物理安全策略的目的是电力监控系统等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保电力监控系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度。
电力监控系统的网络安全主要是指网络信息的完整性、保密性和可用性。主机安全其核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的具体功能是保证主机在数据存储和处理的保密性、完整性、可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的电力监控系统主机安全保护环境。电力监控系统主机包括各种服务器、操作员站等各种以计算机为主体的设备。应用安全,顾名思义就是保障应用程序使用过程和结果的安全,针对应用程序或工具在使用过程中可能出现的计算、传输数据泄露和失窃隐患,通过其他安全工具或策略消除。
此外,绿盟科技重视上线前的安全检测。通过对工控系统的安全性进行分析,发现系统中潜在的安全漏洞,基于发现的安全漏洞与相应的工控设备和系统提供商进行联系,获取相关的漏洞解决方案。漏洞的检测主要从已知漏洞的漏洞扫描来发现系统中潜在的安全隐患。
从四个维度做安全防护
工业控制系统安全是传统IT系统安全的延伸,在工控系统的安全方法论上可参考信息安全的方法论。但同时工业控制系统又具有自身的特点,在属性上优先考虑可用性,然后考虑完整性和保密性。
绿盟科技认为,石油石化行业工业控制系统安全防护应从四个方面考虑。首先,各个工业控制系统的环境是不尽相同的,需要对具体的工业控制系统安全现状进行评估,根据评估结论提出有针对性的抵御安全威胁的防护对策和整改措施,以防范和缓解信息安全风险。其次,需要构建工控系统安全体系架构,对工业控制系统进行纵向分区、横向分层,根据不同作业区域的功能与作用不同,进行不同等级的有针对性的防护,达成安全防护重点突出,使安全防护资源得到合理分配,从而构建工控系统安全防护架构,从根本上建立工业控制系统的安全基础。再次,需要根据前两部的结论有针对性地做具体的安全防护工作。最后是对工业控制系统进行全面监控和审计,构建安全管理平台来对生产网中的链路、网络设备、服务器、存储、负载均衡设备、防火墙、数据库、中间件、业务应用服务等的运行状态和指标参数进行实现实时数据采集和运行状态监控,利用科学、高效的技术手段和已有的成功经验实现对工业控制系统的精细化、及时化、准确化的运维保障和管理。
1.1信息系统漏洞带来的威胁
电力系统应用会涉及到大量的软件系统,无论是生产控制大区的监控系统还是管理信息大区的管理信息系统。而每类软件自身也会带有一定的特点,在长期的使用之下,便会暴露出一定的漏洞,也就是我们所说的BUG,如继续应用这类软件的话,会对系统内的数据及信息安全造成一定的影响,甚至引发系统漏洞对系统防御软件的安全性的影响,为病毒、木马创造入侵环境,对系统信息安全造成巨大的威胁。
1.2恶意网页带来的威胁
当今网络的发达性,各个企业都有着自己的网页,电力企业也是如此,拥有着自己的网页,而且是与Internet直接建立连接的,其中电力系统计算机的使用者也会在工作中不断地访问其他的网页,试图寻找相关有用的信息,这也是不可避免的事实。然而,在点击浏览网页的过程中,不是所有的网页都是安全的,有很多网页的拥有者以及开发者为了达到某种目的会对网页中加入一些恶意程序,通过使用者无意的点击来获取计算机使用的相应权限,并对计算机的信息进行解读、篡改等,其中比较普遍的是网页中带有木马,如果点击这类网站将会把网站中的木马种入到计算机中,继而通过该计算机对电力系统局域网内其他计算机或服务器进行攻击或获取相关的信息,对电力系统的信息安全造成极大的威胁。
2电力系统信息安全的防护措施
2.1建立防火墙,完善杀毒软件
防火墙是一种网络安全系统,对信息网络安全起到一定的防护作用。它将内部网络与外部网络有效隔离,通过对网络数据流量的监控,能够有效地阻止外部网络非法威胁因素对计算机网络的入侵,从而在企业内外网之间形成一道保护屏障。对于电力系统来说,在使用的过程中应建立其防火墙和杀毒软件,一方面防御网络木马攻击,另一方面对侵入到计算机内部的病毒进行有效查杀。当然,在使用防火墙和杀毒软件的过程中,要定期对软件进行升级,因为网络病毒也可能发生变异破解杀毒软件以及防火墙程序,如果不对其进行升级的话,那么这些防御措施也将成为一种摆设,根本起不到任何对网络信息安全保护的作用。另外,为了避免电力系统重要信息的丢失,要定期的对系统内重要信息进行备份,避免意外情况的发生造成重要信息的丢失,同时要加强对电力系统信息安全管理人员的培训,要提高管理人员对相应技术操作的熟练程度,并养成遇事不乱的心态,这样才能进一步提高网络信息安全的保障措施。
2.2部署入侵检测、行为管理及漏洞扫描系统
防火墙及杀毒软件能在一定程度上有效阻止网络攻击,保护信息安全。但我们不能仅限于此简单防护,应当在主要服务器及主要网络边界部署入侵检测系统,通过日常的检测数据分析,提前锁定那些具有威胁性的入侵对象,把风险防范关口前移。同时部署上网行为管理系统,制定严格的策略过滤掉某些不良互联网页,禁止用户访问那些高危的网站,通过上网行为的审计及时发现访问了未知的恶意网站的计算机,并告知用户做好安全防护。此外,还应部署漏洞扫描系统,定期对局域网内部计算机、服务器及网络设备进行漏洞扫描,及早发现主机存在的安全漏洞隐患。对于扫描出来的安全漏洞,根据其漏洞危险等级制定对应的修复、整改措施。
2.3加强信息安全的管理
信息安全不仅要体现在信息网络软件以及硬件的自身防御功能上,而且要体现在对系统使用的管理上。虽然在计算机上企业已经建立了防火墙以及杀毒软件,部署了入侵检测、上网行为管理及漏洞扫描系统,但是,工作人员的不正当操作也有可能使计算机信息系统遭受病毒攻击、木马入侵等。因此,要加强对电力系统信息安全的管理。首先,对工作人员的操作规范进行管理,坚决杜绝浏览一些非正当网站,如果要获取相关信息的话,可以通过正规网站获取,并且在浏览网站过程中,要开启计算机本身自带防火墙的网站过滤、防御、警告功能,一旦浏览的网站有可疑程序,防火墙也将弹出提示,这时任何信息都比不上系统信息的安全性重要,必须要终止该网页的浏览,再另寻其他途径来获取相关的信息。其次,要加强计算机的授权管理、身份认证、跟踪审计等,要严禁无权限的工作人员乱用计算机的现象,在使用计算机办公之前,必须要进行身份认证,并在计算机内安装相应的监控程序,严格控制计算机操作技术人员出现非正常操作。另外,还要做好重要信息系统实行安全等级保护工作。通过划分不同的安全等级,编制不同的安全保护措施对运用中的信息系统进行保护。加强对信息安全的管理,才能进一步保障电力系统信息的安全性。
2.4加强信息的保密工作
随着信息时代的来临,很多企业的重要信息都属于一种高级商业机密,一旦泄漏将会产生不可预估的严重后果。如果是被不法分子获取的话,将对电网企业甚至社会造成极大的打击及负面影响。因此,要加强对信息的保密工作。首先,严禁计算机通过各种方式接入国际互联网,应与企业内部公网实现物理隔离,这样可以避免该计算机内信息的泄漏。同时,在储存信息的过程中,要采用经过认证的实物介质来储存,并且要保证实物储存介质的性,严禁在计算机和非计算机之间进行交叉使用,更不能在连接互联网或其他网络的计算机上使用。其次,加强对信息管理人员以及与信息有关人员的保密工作,要签署相关的保密协议,严格控制这些人员与其他人员进行保密信息的交流,同时要对各人员设置相应的访问权限,对非人员要限制其访问权限。与此同时,还需要相关工作人员做好信息文档的存档、定密、解密、登记、销毁等工作,一旦发现存在信息泄漏的隐患,要及时采取相应的措施,全面提高电力企业系统信息的安全性
。
3结束语
关键词:信息 安全 现状分析 存在问题 防控措施
随着国家电网公司信息化战略的部署和资金、技术的投入,县级供电企业的信息化建设水平得到了很快的提升,供电企业的生产调度和经营管理对计算机和网络信息系统的依赖程度也越来越强,甚至,离开了信息系统的支撑,日常的生产、经营、管理活动已经不能顺利进行。但是,需要引起重视的是,县级供电企业在信息化跃进过程中,在人员、设备、技术和管理中的不足,使信息安全面临的风险也在日益突出。
一、信息安全风险
信息作为一种特殊资源与其它资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。
县级供电公司信息安全的风险有内部的,也有外部的。内部的表现为:网络故障、应用系统故障等;外部的表现为:网络入侵、外部泄密等。内、外部网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取商业秘密和机密信息,非法使用网络资源等,将给企业造成巨大的损失。
二、信息化网络及应用现状分析
在网络硬件方面,已经建成CISCO7603、CISCO4507R为主交换机,主干为千兆的以太网。上联网络连接升级为光纤通信为主,以太网2M为备用的方式。建成了覆盖全公司20多个乡镇供电所及变电所的农村信息网。实现百兆到桌面、三层交换、VLAN等技术普及使用。主要分为两类网络系统,一类是实时系统,有调度自动化系统、设备监控操作系统;另一类是非实时的办公自动化应用系统、电能量采集系统、集中抄表系统。两类网络系统是物理隔离,分网运行的。
在软件方面,各应用主要包括调度自动化系统、负荷监控系统等。计算机及信息网络系统在电力生产、建设等各个领域有着十分广泛的应用,为安全生产、降低成本等方面取得了明显的社会效益和经济效益。
三、信息安全现状分析
按照省、市公司信息化工作的统一部署,我公司信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行了物理隔离。按江苏省电力公司系统集成、数据集中要求,调度系统、电力营销等核心数据都集中在省市公司管理,对公司网站、NOTES、下属企业财务数据都建立了备份策略和容错措施。企业内网和互联网采取了严格的隔离措施,严防内外网机器混用造成信息外联。信息网络按业务划分了10个VLAN,设置了访问控制。采取了统一的域名管理,与市公司共享操作系统LiveUpdate系统,及时派发更新程序,堵塞操作系统漏洞。部署了symantec防病毒软件,通过派发的形式对整个网络部署查、杀毒。全面应用了国网桌面终端管理系统,实时监控客户端的异常情况。采用了国网移动存储介质管理系统,加强对移动存储介质的管理。
但是客观来说,县级供电企业在信息安全管理上人员、技术薄弱,职工信息安全意识不到位,管理流程上存在疏漏,给网络的安全埋伏了很多的不利因素。
四、信息安全存在的问题
1、操作系统及网络安全问题。
目前,电力企业信息网络中使用的硬件设备及操作系统的核心技术基本上来自国外,被认为是易窥视和易打击的“玻璃网”,网络安全处于被窃听、干扰等多种信息安全威胁的脆弱的状态。同时,县级供电企业的操作系统大部分缺乏正版保护,难以得到有效升级和修补,难免受到“木马”与“后门”的威胁;用户习惯于默认密码或管理者设置的初始密码,较容易被他人破解;操作系统不安全的默认设置、共享等都可能给非法入侵提供方便。对于网络设备,用户使用tracert等工具较容易获知核心交换机的IP地址,如果管理端口不加限制,使用空密码,明文密码或默认密码,交换设备有被恶意控制的可能。局域网络布点缺乏有效的规划和管理,对使用普通交换机随意串接,甚至使用无线路由串入,缺乏侦控手段,同时对计算机设备接入也缺乏有效的审查管理,内网外联风险比较突出。
2、应用系统用户身份认证和访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统之间没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。三是用户安全意识不强,习惯于默认密码或管理者设置的初始密码。应用系统人员变换后,延用以前的密码,疏于更换帐号与口令。习惯于使用“保存账号”、“保存密码”的方式登陆应用系统。
3、木马与病毒问题。
随着Internet技术的发展、企业网络环境的壮大和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。同时,黑客攻击的风险增大。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。非正版保护的操作系统和应用软件的使用,为木马与病毒的植入及黑客攻击提供了可能;部分客户机的操作系统和防病毒软件未能及时得到升级,系统用户在使用移动介质在外网和内网之间交换数据时,很容易携入木马与病毒,使之成为发动攻击的肉鸡。
4、存储介质管理问题。
目前,县级供电公司虽然推广使用了国家电网移动存储介质管理系统,但是在使用中仍存在三种信息失密可能:一是用户习惯使用注册时的默认密码,不加以个性化更改,这样移动介质被他人获取后很容易被破解,使数据泄密。二是部分用户在移动存储介质注册时,为图使用方便,划分出自由区域,在实际使用时,绕过保密区登陆使用,将工作文档存储在自由区,如此使用移动介质,毫无保密可言,极易形成信息外泄;移动存储介质的交叉使用,也可能造成信息内部失密。另外,机器维修也需加强管理,目前,县级供电公司基本上计算机专职配置为1人,需要管理300台左右的机器和庞大的局域网络,基本上是疲于应付,计算机故障处理、系统重装等一般外包给社会电脑门市,将单机信息保密工作寄托于维修商的良知,风险极大。
5、数据库数据和文件的明文存储。
电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以绕过应用系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。
五、针对信息安全漏洞的防控措施
1、加强信息安全教育。应该将信息纳入到供电企业安全管理中,并与生产安全置于同等重要的位置,长效管理,常抓常新。为了保证安全的成功和有效,信息主管部门应当对企业各级管理人员、用户、技术人员进行安全培训。特别是对基层班组和供电所信息用户,应用能力相对薄弱,亟需开展定期的应用能力培训和考核。所有的职工必须了解并严格执行企业安全策略,明确其对企业信息安全所承担的职责和义务,要求能够保证自己的计算机和相关应用的安全。
2、加强密码管理工作。对网络设备、操作系统等各类密码要妥善治理,杜绝默认密码,出厂密码,无密码和容易猜测的密码,防止非法用户入侵使用。密码要及时更新,特别是有职员调离时密码一定要及时更新。减少应用系统的账号共用、通用。
3、加强信息介质的管理。备份的介质要防止丢失和被盗。移动存储介质注册时要限制使用自由存储区域,减少使用通用密码。建立报废的介质的清除和销毁制度,加强报废介质管理。增加计算机管理人员配备和加强计算机管理网络建立,逐步减少外送维修,防范外修过程中存储介质信息的泄密。
4、加强设备技术投入。应用先进的加密技术和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求。引进进侵检测系统提供企业级的安全检测手段,最大限度地、全天候地实施网络监控。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络治理提供强有力的保障。建议取消DHCP服务,在交换设备上使用MAC地址与IP地址的绑定,加强接入内网设备的有序管理。
5、加强内网外联治理。在管理上,加强内网外联知识与危害性的广泛宣传,对发生内网外联事件的人要严肃处理,捆绑考核。在技术上,内、外网的设备接入要有明显的物理隔离和标志,防止误操作的发生;杜绝计算机内外网混用;严格防范ADSL等设备接入内网终端。
6、加强信息责任制考核。要强化信息安全考核机制的执行,对发生的信息安全事故或隐患,要通过技术手段追踪到责任人,并按照四不放过的要求,组织分析调查,落实考核、落实整改措施,并举一反三,深化对全体职工信息安全养成教育。
六、结束语
综上所述,技术是信息安全的主体,管理是安全的灵魂,信息安全,三分技术,七分管理。只有将有效的安全管理实践自始至终贯彻落实于信息安全工作当中,信息安全的长期性和稳定性才能有所保证。
参考文献:
[1]刘立兵.浅谈计算机网络在电力系统的应用及安全性
事关改革、发展和稳定大局。各地各有关部门要进一步提高对做好学校安全工作重要性和紧迫性的认识,学校安全是社会安全的重要组成部分。以对人民群众高度负责的态度,牢固树立“安全责任重于泰山”思想,按照属地管理”和“谁主管、谁负责”原则,切实把学校安全工作列入重要议事日程,认真履行职责,完善工作措施,坚持常抓不懈,确保全市学校师生生命财产安全。
二、突出重点。切实抓好安全隐患的排查整改工作
成立由政府分管领导牵头、各相关部门参加的学校安全工作排查领导小组和工作专班,各地要迅速行动起来。对辖区内中小学、幼儿园开展拉网式安全隐患大排查,特别是要加大校车安全隐患排查力度。
一是要排查交通安全隐患。各地要按照《省校车交通安全管理办法》省人民政府令第337号)要求。凡是发现有故障的车辆一律不得接送学生,凡是没有取得交警部门统一喷制颜色和张贴校车标志的车辆严禁接送学生。用来接送学生的校车,必须到当地交警部门进行备案,并与交警部门签订《校车交通安全管理责任书》要严格落实校车和驾驶员申报登记制度、校车日常检修制度、校车核载制度、教师跟车及学生接送制度、安全行车教育培训与考核制度、校车档案管理制度。中小学、幼儿园要与校车驾驶人员签订《安全行车责任书》凡是不具备三年以上安全驾驶经历的司机不得驾驶校车,患有高血压、心脏病、癫痫病等有关疾病的司机不得驾驶校车,有嗜酒等不良习好的司机不得驾驶校车,工作责任心不强的司机不得驾驶校车。公安交警部门至少每半年组织开展一次对司机的安全教育,中小学、幼儿园要经常组织校车司机学习安全知识。
二是要排查校舍安全隐患。各地中小学校舍安全工作领导小组成员单位要定期对学校的教学楼、宿舍楼、食堂、厕所、围墙等建筑设施和各类设备设施进行安全隐患排查。做好记录。对排查过程中发现的安全隐患,特别是经技术部门鉴定的各类危房和设施要立即采取警示、修缮、停用、拆除等应对措施,及时消除隐患。建设部门要加强对学校在建工程各个环节的监督管理,确保工程质量,确保施工安全。
三是要排查校园及周边治安安全隐患。校园及周边治安综合治理成员单位要切实履行职责。加强学校及周边治安综合治理工作。各学校要严格执行校园安全管理制度,要按照省综合治理委员会办公室、省教育厅、省公安厅下发的《省中小学幼儿园安全防范标准》要求,配齐保安人员,配全保安器械,严格出、入校管理制度,确保校园安全。
四是要排查饮食卫生安全隐患。卫生、教育部门要进一步加强对学校食堂的监管。加强食品加工、销售流程及食堂从业人员管理,保证学校食品卫生安全,防止食物中毒事件的发生。同时要加强对传染性疾病的预防,认真落实流行疾病防控工作方案,严格执行学校突发公共卫生事件报告制度,加强公共场所日常管理,切实把各项防控措施落到实处。
五是要排查消防安全隐患。消防、教育部门要督促学校按规定配齐各种消防器材和应急照明设施。保证疏散通道、安全出口和消防通道畅通。要指导学校开展火灾逃生演练,不断增强师生的消防安全意识和火灾应急逃生能力。加强冬季学校用电用火管理。
六是要堵塞安全教育漏洞。各学校要配合有关部门切实加强对师生的安全教育工作。增强防范意识,提高自防、自卫、自救能力。要通过举办专题讲座、开展知识竞赛、组织观看录像等多种形式,生动形象地对师生进行预防流行性传染病、食物中毒、人身侵害、火灾、拥挤踩踏、交通事故、溺水、网络安全等方面的安全教育,防患于未然。要结合学校所处环境、季节变化、可能发生的灾难事故和学生特点,进一步制订完善各类应急预案,开展多种形式的安全演练,增强师生自救、互救和第一时间处置突发事件的能力。
制订周密的隐患排查工作方案,各县市区政府要加强领导。明确工作目标,落实排查责任。排查工作要做到有方案、有记录、有整改措施。对排查出的安全隐患,能立即整改的要责令其立即整改;对一时无法整改到位的要明确整改期限,责令其限期整改,并对整改情况进行跟踪督办,确保消除安全隐患。重大隐患要实行挂牌督办,彻底消除不安全因素,确保全市广大师生生命财产安全。市政府近期将组成学校安全工作督查组,对各县市区学校安全隐患整治工作进行督查,并将督查结果予以通报。
三、加强组织领导。严格落实责任制和责任追究制
一、加强教育演练,提升师生自救自护能力
1.扎实开展安全教育主题(专题)活动。组织开展第二十个全国中小学生安全教育日、第八个福建省学校安全教育周、安全生产月、综治宣传周、5.12防灾减灾日、11.9消防宣传日、12.2交通安全日及特种设备、水上交通安全等主题宣传教育活动,重视抓好安全知识网络竞赛活动、体验式生命教育和平安暑期、寒假专项作业等教育活动。充分利用综合实践活动基地、青少年校外活动中心和社会实践基地等阵地开展安全知识宣传普及活动,积极协调公安、交通、消防、地震、气象等有关部门支持,在各类校外教育实践场所布置、开设一系列安全宣传教育功能室及专题讲座;加强与广播电视、手机媒体、公交电视、户外传媒合作,大力宣传普及综治安全法制和基本常识,及时报道综治安全工作特色亮点和成绩经验。利用“两微”平台、手机短信、校讯通等信息技术,加强学生安全家庭教育和社会宣传,营造保障学生安全的家庭和社会良好氛围,提升全社会综治安全意识。
2.全面落实安全教育课程。贯彻落实教育部《中小学公共安全教育指导纲要》,做到安全教育课程、课时、教师、教材、教研和考核“六落实”,确保各学校每学年安全教育课程不少于12课时,并列入正式课表,每学期开学第一周和放寒暑假前一周必须安排一节安全教育课。组织学生使用好《公共安全教育读本》。建立考核评价体系,落实教师安全教育职责,提高教师安全教育水平。把安全教育纳入学校教研内容之中,积极开展安全教育师资培训,加强课程资源和教学教研课题研究,探索信息化条件下安全教育教学新模式,强化学校安全隐患台帐网络管理平台建设。组织督查调研,总结、交流和推广教育教学成果,举办优质特色课程观摩评比活动,提高公共安全教育课程的实施水平。
3.加强应急逃生疏散演练。按照教育部《中小学幼儿园应急疏散演练指南》,全面落实应急疏散演练制度,将安全演练纳入学校常规管理,中小学校每月至少要开展一次应急疏散演练,幼儿园每季度至少要开展一次应急疏散演练,做到教职员工、学生全覆盖。采取形式多样、内容丰富、学生喜闻乐见的方式,促进应急疏散演练制度化、常态化、规范化。加强与有关部门沟通联系,有效组织防地震、防火灾、防踩踏、防食物中毒、防交通事故、防校园伤害等系列演练活动,提高师生避险、逃生技能和自护自救能力。
二、深化“两项创建”,构建安全文化
4.全面深化“两项创建”工作。进一步健全创建工作机制,创新创建载体,丰富创建内涵,强化创建措施,巩固创建成果,增强创建实效,提升创建动力和活力;不断完善创建考评激励机制,把“两项创建”实效作为精神文明、党建先进评选和绩效考评的前提条件,纳入学校综治安全工作重点和目标责任制考评重要内容,及时总结推广典型经验,形成精品特色,确保完成2015年辖区学校安全标准化建设及“平安校园”等级创建评审达标率不低于65%的任务目标。
5.构建校园安全文化。开展校园安全文化建设活动,制定建设办法与标准,培育2—3所校园安全文化创建示范校。坚持学校安全文化建设与平安校园创建紧密结合,重点夯实校园安全物质文化、构建校园安全制度文化、培养学生安全行为文化、凝聚校园安全精神文化。会同有关部门,深化消防安全、交通安全、防震减灾等安全示范学校建设活动。
三、推进管理创新,提升能力水平
6.加强安全防控机制建设。严格执行中央综治办、教育部、公安部《关于进一步加强学校幼儿园安全防范工作建立健全长效工作机制的意见》和公安部、教育部制定的国家标准GB/T29315-2012《中小学、幼儿园安全技术防范系统要求》等文件规定,不断加大人防、物防和技防建设投入,将“三防”建设纳入学校标准化建设。努力构建新型校园安防体系,加强重点要害部位视频监控、消控、报警等技防设施规范化建设,实现全覆盖和“人机互动”。积极应对和妥善处置重大突发事件,建立健全校园安全管理及保障制度,完善事故预警、应急救援、善后处置预案,推动落实安全管理日志制度。完善校园安全警示标志设置。主动协调配合综治、公安等部门开展“护校安园”行动,加强校园及周边地区巡逻防控和治安排查。健全完善学生人身伤害校方责任险和学生人身意外伤害险制度。
7.推进安全隐患排查治理机制建设。建立隐患排查治理联动机制,健全完善校园安全隐患排查台帐制度、报备制度和挂牌督办制度,做到隐患整改措施、责任、资金、时限、预案“五落实”,推动安全隐患排查治理常态化、规范化和管理信息化。及时总结推广隐患排查治理工作经验,县教育局每学期至少组织2次、各学校必须每月进行1次校园安全隐患排查与整治行动。
8.提升安全教育信息化网络平台应用水平。借助“福建省安全教育信息化网络平台”,创新安全教育方式,探索新媒体信息化条件下学校安全教育教学新模式。开展平台应用操作培训,开设在线安全教育课程,组织线上安全教育活动,布置平安寒暑假作业,实现安全教育教学资源共享;推动互动式安全体验教室(馆)、体验中心建设,进一步增强学校安全教育工作的针对性、实效性和科学性。
9.强化队伍建设与岗位培训。重点加强县、校两级特别是民办学校安全管理(保卫)机构和干部队伍建设,配齐配强专职安全管理(保卫)人员,以适应工作需要。制定培训计划,落实培训经费,有计划地组织教育行政部门学校安全管理人员、学校负责人、安保人员及特种作业人员参加省、市、县、学校四级岗位安全培训,做到持证上岗。将安全教育及管理内容纳入开展校长、教师培训的重要内容,作为师训干训的必修课程。指导推动各校利用教育网络教研平台,开展校(园)长、安全管理(保卫)干部和特殊岗位人员岗位安全远程教育培训。
10.强化信息报送和档案管理。切实履行安全事故和突发事件信息报告职责,严格执行省教育厅有关学校安全事故报告规定,杜绝迟报、瞒报、不实报现象的发生。建立安全工作记事和分析制度,加强安全数据档案管理,做好相关数据统计、报送、分析、建档工作,规范档案材料的收集、分类、整理、成册、入柜管理。
11.加强理论研讨与优秀成果推广。充分发挥“县教师进修学校教研室”的职能作用,组织开展学校安全管理与安全教育实践教学研究及成果推广,总结交流安全教育及管理经验。适时开展《校车安全管理条例》及福建省《实施办法》、《福建省学校安全管理条例》执行情况和公共安全教育进学校进课堂等专题调研和经验推广交流活动。
12.加快推进综治安全信息化建设。按照科技引领、信息支撑的思路,构建纵向贯通、横向集成、互联互通、共享共用、安全可靠的学校综治安全信息(网络)系统,推进省市县校综治安全服务管理信息化平台建设、管理和深度应用,实现互联互通;促进地方和学校建立集治安防控、隐患排查治理、校车管理、安全管理、网格化服务及公共应急指挥等多位一体的校园安全云服务管理平台。主动适应大数据、新媒体时代要求,强化网络平台、微博、微信等新兴传播工具信息综合运用,加强安全教育信息平台、“学校安全”网站(页)建设,及时通过网站(页)信息资讯、解读政策法规、传播安全知识。
四、突出工作重点,构建长效机制
13.有效预防学生溺水和交通事故。加强宣传引导,开展警示教育,建立每日提醒警示制度,即学校门口显目位置设置游泳和交通安全提示牌,利用每天5分钟安全警示教育,开展防溺水、防交通事故警示教育。持续开展防溺水、防交通事故安全教育优质课征集评选活动,充分利用当地新闻媒体,通过家访、《告家长一封信》、手机短信等形式,向学生及家长学生游泳和交通安全提示,增强家长安全意识和监护责任意识。推动建立防溺水、防交通事故分析研判制度和联防联控机制,主动提请当地党委、政府协调有关部门及镇(乡、街道)、村(居)和社区,广泛深入地开展重点水域、路段安全管理及排查巡查,设置安全警示标牌、减速带、隔离带、防护栏等设施,努力降低学生溺水和交通事故发生率。
14.加强校车安全管理。根据县委宣传部、县教育局、县公安局、县交通运输局、县安监局联合下发的《县校车及学生交通安全隐患排查整治百日行动工作方案》,进一步推进集中接送学生车辆和学生道路交通安全综合整治“三年行动”的深入开展,协调、配合有关部门开展专项整治,建立健全集中接送学生车辆和非法营运车辆交通安全举报监督制度,严查接送学生车辆交通违法行为,定期或不定期检查并补充、修缮校园及周边道路交通安全警示标志、标线和防护设施。提请地方政府并会同有关部门推进农村寄宿制学生周末班车开通运营工作,进一步规范规模较大学校校园内交通安全及师生接送车辆安全管理。
15.加强消防安全管理。深入开展“清剿火患”行动,强化“四个能力”建设。严格落实消防安全条件、隐患排查整改和日常管理制度措施,强化消防安全“标准化”、“户籍化”管理和火灾风险评估。明确学生宿舍、实验室、图书室、食堂餐厅等重点部位、重点岗位的消防安全责任人,设立单位消防工作机构,配备专(兼)职岗位人员,加强防火巡查和应急疏散演练,开展消防安全优质课征集评选活动。全面提升学校建筑消防设施完好率,提高火灾高危和消防重点单位的人防、物防、技防水平。
16.强化饮食卫生安全管理。严格执行《学校食堂与学生集体用餐卫生管理规定》,规范卫生操作规程。健全完善食堂卫生许可证、健康证、定点采购、索证、登记与食品留样、记录等管理制度,定期检查食堂及饮用水的卫生安全状况,加强人员培训,有效治理校园餐桌污染,强化农村学生营养改善计划的食品安全管理。配合有关部门加强校园周边无证经营饮食摊点卫生安全整治。严防校园食品安全事件的发生。
17.加强校园及周边治安综合治理。强化校园周边综治防范措施,认真贯彻落实闽教安〔2014〕21号文件精神,充分发挥学校及周边综治领导小组及办公室的作用,健全完善部门协同的齐抓共管机制,统筹协调有关部门开展校园及周边治安环境、交通秩序、文化娱乐场所、食品市场、网络诈骗和“护校安园”、“清剿火患”、“六打六治”打非治违等专项整治行动,净化校园周边环境。坚持前端管理、源头防范,实现预知预警、预防预控,主动提请当地政府协调有关部门,深化校园及周边治安突出问题集中整治、挂牌督办、联动推进、督导检查机制,强化校园周边易肇事肇祸、有潜在暴力倾向等重点人员的排查、救治、帮扶、管控,及时化解矛盾纠纷。加强有不良行为学生的教育、矫治、管理,建立心理预警、疏导机制,推进专门学校建设和专门教育工作,开展管制刀具、器械收缴行动,有效预防和控制侵害学生及学生打架斗殴等涉校涉生暴力案件的发生。
18.健全矛盾纠纷排查化解工作机制。落实工作责任,建立领导干部定期接访制度,及时调处、解决不稳定、不安全隐患及突出问题,依法处置活动中的违法行为。健全完善学校矛盾纠纷排查调处、诉求表达和权益保障机制,引导师生依法逐级反映诉求,及时排查、分析、研判教育系统存在的突出矛盾纠纷,建立预警机制,加强学校、班级综治安全信息员队伍建设。强化学生生命教育、心理健康教育和网络安全教育,防止网络诈骗和传销。加强问题学生和教职工的思想引导、心理疏导、行为管控和台账管理,及时排查化解可能发生的师生矛盾纠纷。
五、强化督导检查,有效消除安全隐患
19.加强阶段性督导检查。建立全县学校综治安全管理工作专项督导制度,探索建立安全巡查制度,健全完善督导检查、督查通报、落实整改、限期反馈和“回头看”等工作制度,提高督查效率效能。探索建立学校交叉检查机制,协调并配合有关部门通过定期或不定期的交叉检查、专项督查、随机抽查和明查暗访等方式,重点加强防溺水、校舍安全、校车及学生交通安全、饮食卫生安全、消防安全、实验室危化品安全、网络安全、校外集体活动安全等督导检查,及时发现问题,通报情况,挂牌整治,实现督导检查与隐患整治、规范管理、督查通报、绩效管理有机结合。
六、落实岗位责任,构建履职考评体系
关键词:计算机管理 控制自动化 安全管理
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2012)04(c)-0011-02
计算机的应用越来越广泛,在生活、工作、学习中到处可以看到它的身影,在计算机如此受重用的时代,其安全威胁造成的损失越来越大,也越来越受到广大用户的重视,但计算机安全防护不仅需要自身硬件设备安全性能的提高,更需要完善的外界安全管理。
1 计算机管理中的安全问题
1.1 计算机管理中的物理安全问题
在计算机的使用过程中,其硬件设施、网络设备及物理线路受到水灾、地震、雷电、硬件故障及偷窃盗用等外界环境因素造成计算机的破坏而不能进行工作,如当计算机系统正在工作时,其电源被中断,账号及口令的丢失等,在这些情况下,由于计算机无法运行而造成工作不便,就是一种潜在的自然环境造成的安全问题。
1.2 计算机自身系统存在漏洞
计算机系统软件及硬件方面存在安全方面的隐患,一些非法用户没有授权就能通过这些漏洞非法入侵或访问他人的计算机,致使用户的计算机信息泄露、被篡改、拒绝服务或者系统崩溃等问题的出现,计算机系统漏洞影响软件及硬件设备的范围比较大,如计算机操作系统本身、网络服务软件、路由器及安全防火墙等。在不同的软硬件设备中均存在着不同程度、不同类型的安全漏洞,即使在同种设备不同的版本间或者同种系统不同的设置条件之下都会存在安全漏洞的问题,这些漏洞或者缺点往往会成为黑客或不法分子攻击的首要目标,我国也经常会出现黑客入侵的事件发生,这是由于安全措施不到位造成的。
1.3 计算机网络协议的安全问题
计算机网络协议的安全是其安全管理工作中重要的问题之一,计算机中的协议及构架一般都是网上所共享的,这样就会存在着各种各样的安全隐患或漏洞,也是计算机管理安全威胁的重要来源,因此对于网络协议进行进行安全管理也就是件很重要的事情了。
1.4 计算机病毒所带来的安全问题
在计算机管理中,经常会面临病毒的威胁,而且这些病毒的威胁性及破坏力是无法估计的,会给用户及社会带来灾难性的后果,计算机病毒主要是将自己附带在某个程序中,当这个程序运行时,就会趁机进入到计算机系统中并迅速扩散,这些病毒轻则会是计算机的运行速度降低,重则会使计算机系统死机或者毁坏,致使计算机系统中的文件、数据大量丢失或者主板及的损坏等。计算机病毒的种类是多种多样的,大致可以分为U盘病毒和网络病毒两种,其中网络病毒的形式就更加的多种多样了,像蠕虫、特洛伊木马等病毒,蠕虫是一种不经允许就能把自身复制到计算机网络几点上的程序病毒,并且能将其中的一部分经过网络传递到其他计算机上,导致计算机的内存被大量占用使网速降低或者死机;特洛伊木马是指有预谋性的隐藏在计算机程序的某组指令中,并伪装成合法程序做些计算机用户并不希望出现的事情。
1.5 人为因素的安全威胁
人为因素主要包括有意识和无意识的破坏行为两种,有意识的破坏行为是指一些人存心报复或制造麻烦以达到个人目的进行的恶意破坏行为,这种行为会给计算机带来很大的安全隐患,会造成计算机信息的丢失、篡改或者计算机系统无法正常的运行;无意识的破坏行为,是指操作人员由于安全意识不强或者计算机操作不熟练造成计算机安全配置不当、访问设置不合理、随意将自己的账户转借他人等,都给计算机安全使用带来了隐患。
1.6 有关计算机管理相关的法律法规不健全
有关计算机信息安全的法律法规不完善,国家正逐步意识到计算机信息带来的危害,虽制定了一些法律法规,但重视程度依然不够,法律法规的建立也非常的不完善,这给不法分子带来了很大的可乘之机,相关的法律法规是计算机安全管理得以开展的有效保障,也能对不法分子起到警告防范的作用。
1.7 计算机系统的运维管理不规范
计算机管理除了软硬件等技术性因素的安全防范外,还包括是否采取了有效的运行维护管理措施,计算机管理主要包括制度的管理、机构建设的管理、人员的管理等,制度管理方面的不完善,会造成管理者及使用人员无章可循致使计算机系统的无序运行从而形成一些安全漏洞;与制度管理不完善相比,运行维护机构管理不到位的话,导致的结果会更加严重,如2006年中民航离港系统出现问题,从而使多家机场不能进行正常运行,同年不久之后又出现了同样的问题,致使中国民航频出问题的原因不仅是表面的计算机的技术问题,更是由于其机构管理不完善造成的;对工作人员管理监督不到位也会给计算机的管理带来很大的隐患,如上面所提到的人为因素,如果员工中存在有意破坏者,那么即使计算机硬软件安全做得再好也无法预防,而内部员工对本单位的计算机操作情况更加了解熟悉,若思想教育或管理责任不到位,给其造成的潜在危害性会更大。
2 计算机控制自动化中的安全管理技术
2.1 计算机网络加密技术
计算机加密技术是控制自动化中重要的安全技术之一,它能有效的保护计算机内的文件、数据、口令及控制信息,这种技术是把重要的信息及数据变为乱码进行传送,到达目的地之后再用不同或相同的手段进行还原。这种加密技术包括算法及密钥两个元素,其算法就是把普通的信息和一串数字进行结合,生成不能理解的密文;而密钥就是对密文或数据进行解密或编码的一种算法。对于一些重要的信息可以通过密钥技术及管理机制来保证其安全性,这种加密技术所提供的安全功能主要有:访问控制、数据起源认证、机密性、抗重放攻击、无连接完整性及有限数据流机密。
2.2 隐通道分析技术
计算机系统中的信息一般只能从高安全向低安全级别的主体发送,但隐通道却能使低级别安全信息向高安全级主体流动,这种技术的运用,可以让用户以逆反系统安全的策略传递信息给别的用户,而且这种通信方法不会被系统的访问控制检测及控制,隐通道主要包括存储及定时隐通道两种,需要信息往来的用户可以事先议定某种编码进行正常系统的操作,这种方式的运用也可以有效的预防数据及重要文件的泄漏。
2.3 数字水印技术
这种技术主要是将需要隐藏的信息通过某些算法嵌入到多媒体内容中,并且不影响原内容的使用及价值,且不会被人们的感觉系统所察觉或者注意到的一种技术,嵌入的水印可以为一段序列号、文字、标识等,这种水印也是不可察觉的,与原来的数据紧密地结合在一起难以区分,并能够经历一些源数据不被破坏的操作而保存下来,这种技术的运用是预防非法盗取信息操作的重要技术,也是研究的重要方向之一。
2.4 防火墙技术
防火墙技术也是计算机安全管理中重要安全预防技术和安全保障手段,它是一种在不同的网络或者网络安全区域间一系列部件组合的技术。在网络通信时,它会进行访问控制,让每个进出网络的连接都被检查,以防所保护的网络遭到外界的干扰或者破坏。防火墙的安全问题主要有两个方面即防火墙的设计是否合理和使用是否恰当。防火墙的很多配置需要系统管理人员的大量手工操作及修改,如果系统管理人员对防火墙技术不是很熟悉,那么在配置过程中就可能遗留较多的安全漏洞。防火墙能屏蔽掉大量的不安全服务并降低风险,从而大大提高了内部网络环境的安全性。
2.5 入侵检测技术
这种检测系统主要有软件及硬件组成的,能够检测或发现入侵或有攻击性的系统,这种系统是定时进行检测的,检测范围为计算机的系统配置、漏洞,程序版本存在的缺陷及特定的某种攻击模式等。依据检测对象不同,可以分为网络型及主机型两种检测系统,主机型入侵检测系统是以应用程序的日志或者系统的日志等为数据源,对主机进行信息的收集并进行分析,这种主机型系统一般保护的是所在的系统。而这种入侵检测技术经常被用在被监督的系统上,以检测系统的运行是否合法。
3 计算机管理中安全管理工作的防范措施
3.1 提高计算机管理人员及相关人员的综合素质
对计算机管理维护人员应该进行专业知识及先进技能的培训,同时对于所有相关人员要进行思想、职业、道德等方面的教育,并加强计算机安全管理意识方面的提高。在计算机安全管理工作中仅依靠计算机自身控制自动化安全的提高是不够的,人是活动中的主动性因素,其能动作用是非常关键的,因此对计算机管理维护人员及相关人员综合素质的提高是非常有必要的。
3.2 建立完善的计算机安全运行维护管理机制
对于计算机网络系统来说,绝对的安全是不存在的,完善的安全管理机制是保证计算机安全的重要手段,完善的计算机管理制度、机构及高素质的管理人员这些都是安全管理机制所不可缺少的,在日常的管理维护工作中,可以引进风险评估的方法,分析计算机管理安全方面所面临的威胁,评估其隐患一旦发生所造成的后果,并有针对性的提出相应的防护策略及整改措施,从而将安全风险化解,保障计算机的正常运行。另外,对相关人员及工作流程也要进行相应的规范,并制定一些奖惩措施,最大限度的发挥安全管理机制有效性。
3.3 有关计算机安全法律法规的完善
为了防止计算机犯罪,国家应制定相应的法律法规进行保障,大环境的重视对于计算机管理工作的开展更具有意义。像具有综合性的信息安全法的建立,我国现阶段信息安全法的体现重点应在:计算机基础信息网络安全如互联网、电视网络等,核心信息系统如军队、政府部门等,重要信息系统如铁路、民航、证券、银行等关系到国计民生的部门。这些有关计算机安全的法律法规的建立,能让很多部门与单位计算机管理工作有法可依、有章可循。
4 结语
随着计算机技术的不断发展,新的安全问题也是层出不穷,这需要加强计算机自身硬件软件安全性能的提高外,还需要拥有完善的安全管理体制及高素质的管理维护工作人员,更需要国家相关法律的支持,以使计算机能正常地运行。
参考文献
[1] 张馨予.当代网络技术与其风险规避[J].黑龙江科技信息,2010(2).
[2] 肖映明.谈如何做好调度自动化系统安全管理工作[J].大科技:科技天地,2011(13).
1、加强安全教育和培训,努力提高安全意识和自我防范能力
深入开展学生安全教育活动。各教学班班主任要利用班会课经常对学生进行各方面的安全教育。让“安全”二字深深地刻在他们幼小的心里,懂得哪些行为是安全的,哪些行为是不安全的,达到他们行为的规范化。任课教师,不管是什么课(包括室内室外课),都要对学生的安全负责,要坚守岗位,保护学生的人生安全。若需要做实验,教师实验要规范,把安全问题考虑周全。
经常利用集中学习时间,认真组织全体教师、职工,特别是班主任学习有关学校安全的法律法规、常见事故的预防和突发事件的处置及用水、用火、用电等安全等安全知识。要加强对职工遵守学校安全管理制度和本岗位操作规程的教育培训,提高他们的责任意识和保护能力。每学期要组织全体学生开展一次紧急疏散、逃生自救演练,增强全体教职工和学生应对突发事件的能力。
2、不断完善学校安全管理规章制度,全面落实安全管理工作责任制。
学校领导全面抓,分管领导具体抓,发现安全隐患,要及时安排后勤人员和督促相关人员排除。
牢固确立校长是学校安全管理的第一责任人,对学校安全管理工作负总责的意识。把学校安全管理列入学校日常工作的重要议题,定期研究、分析安全工作形势,及时处理安全工作中存在的突出问题,落实整改措施。逐级签订安全管理目标责任书,不断完善安全工作目标管理办法,加强对各部门、教职员工安全管理工作的考核,落实奖惩措施。今年,教育局将安全管理工作列入学校办学质量综合评估的考核内容。
制定和完善突发事故应急预案。严格执行“市教育系统重大问题报告制度”和责任追究制度。及时上报并协助查处各类事故,认真做好事故善后处理工作。对每一起事故,都要按照“四不放过”(即事故原因没有查清不放过,事故责任者没有严肃处理不放过,广大职工没有受到教育不放过,防范措施没有落实不放过)的要求处理。
经常开展安全检查和隐患排查活动,认真执行每月一次、开学、放假前以及恶劣天气前后的安全检查制度,及时消除各类不安全因素。全面排大危险源,落实重大危险源监控措施,并登记建档,定期进行检测、检验、安全评价,制定并实施应急预案,消除各类安全隐患。
3、注重设施设备的投入,确保安全管理的各项活动和措施落实到位
在注意教育性投入的同时注意安全设施设备的投入,将安全教育、培训、活动的经费列入学校支出预算。按规定配足学校门卫,完善和规范学校消防、防盗、防暴等各类安全设施设备,为确保学校安全提供物质保障。学校重点单位,如实验室、阅览室、电脑教室、实物保管室、队部室和各办公室,由相关人员督促检查,发现问题及时排除,不能排除的要及时报告有关领导。
4、深入开展专项整治,切实提高安全管理的实效
(1)饮食卫生安全专项整治:一要严把安全关,严格执行“索证登记”、“生熟分开”、“餐具消毒”等食品安全、食品卫生的管理制度,每天做好24小时留样工作,杜绝食物中毒和传染病的发生。二要严把质量关,学校领导要高度重视食堂工作,要经常听取师生的意见和建议,在增加花色品种和提高饭菜质量上下功夫。三要严把价格关,各校要充分发挥监督小组和膳食委员会的功能,加强对食堂的民主管理。食堂经营情况要定期向师生公布,利润要严格控制在规定范围之内。
(2)消防安全专项整治:一要重点加强对寄宿制学校、民工子弟学校的消防安全检查;二要切实加强对学生宿舍、食堂等学生集中场所疏散通道的整治,确保疏散畅通;三要加强对消防设施、设备的检查,确保完好齐全。
二、工作目标
全面落实《学校安全工作管理规定》,积极开展“安全文明校园”、“交通安全学校”和“等级食堂”的创建工作,不断提高学校安全管理水平。做到无重大火灾、爆炸、重大交通安全、集体急性中毒、踩踏、坍塌等各类学校安全事故。
三、安全工作岗位责任及分工:
(一)组织与制度:
1.建立安全工作领导管理机构,构建学校安全管理网络健全。
2.制订本年度安全工作计划和安全工作预案。
3.制订安全管理工作各项制度
(二)宣传教育:
1.结合各种活动,开展安全有关法律法规政策宣传教育的工作。
2.综合学科教学,渗透安全知识教育,使安全教育内容真正进课堂。(责任人:各教师)(三)饮食安全:
1.规范学校食品卫生管理,严防学校群体性疾患的发生,卫生保健制度落实。
2.加强学校饮用水的管理,专人负责,定期检测,确保安全。
3.学校不允许过期、变质食品进入校园。
4.高度重视传染病的防治工作,坚持学生定期体检制度。
(四)交通安全
1.接送学生的车辆必须符合公安、交警部门的安全标准,严格禁止无证、无牌、无安全保障的车辆接送学生,并落实相应制度
2.开展中小学生交通安全知识教育、小学生交通安全小黄帽活动,学校邀请交通部门有关人员来校对学生进行交通安全讲座。增强学生交通安全意识,有效减少交通事故。
(五)校舍安全
1.学校的校舍应符合国家有关安全规定。及消防、卫生、规划、建设等各种标准。校内在建工程落实严格的安全措施,应逐步治理危房,破旧房。
2.校舍安全的定期勘检检查,经县级以上主管部门鉴定的危房,立即制定修缮计划和方案,尽快修缮、加固或拆建、新建或封闭停用。发现危险校舍、建筑物、构筑应当采取相应的措施,并向主管部门和当地政府报告,限期解决。
3.消防安全工作:学校建筑物必须按照现行有关消防技术规范要求设置疏散楼梯,做到不锁闭、不封堵、不占用,
4.经常检查电器设备和消防设施,发现损坏应及时维修、更换。
(六)活动安全:
1、杜绝学生课间奔跑,打闹现象。
2、总务处做好安全检查工作,定期对教室以及消防设施进行检查,对厨房、电脑室进行重点监控,确保学生用电,用水以及其他方面不存在安全隐患。
3、杜绝学生携带刀具,棍棒,爆炸品等物品进入学校。
4、结合安全教育周、119消防日、禁毒宣传教育及放学前“一分钟教育”等活动,对师生进行交通安全、消防安全、人身安全、危害等多方面教育。
5.学校组织师生参加各种集体外出活动,都必须制订相应的安全防范措施和安全预案,确定安全负责人,并报教育行政部门批准。
6.春游、秋游活动必须坚持“安全、就近、就地、徒步”的原则,严格实施审批制度安全教育不到位,安全措施不落实,安全工作无保障,不得组织春游、秋游。
7.学校活动前,应对活动场所进行安全检查。
8.组织学生参加加强集体劳动时,要进行劳动安全教育、组织纪律教育,并做好劳动保护。
(七)教学安全:
1.经常检查教学场地、器材和其它教育教学设施,
2.禁止病、弱及身体不适者参加体育竞赛和体育课的剧烈活动。做好运动安全保护措施。
3.实验室要加强化学药品和其他危险品的管理,易燃易爆、放射性、剧毒物品要按照公安、消防、卫生等部门的规定严格管理,健全安全操作规程,实验指导师要对实验全过程进行安全指导和管理。
4.做好上课期间安全工作,建立班级点名制。严禁教师中途离开教室或放任自流,加强教师安全意识。
5.利用班队课、晨会课等时间对学生进行网络安全教育,提高学生抵制网络文化中的腐朽、消极和不良内容的能力。
6.提倡学生尽量不要去网吧上网,上网要做有意义的事。
(八)师生心理健康和心理安全教育
1.加强师德教育和教师心理调适工作,学校教职员工要自觉遵守社会公德和职业道德,严禁教师歧视、侮辱、体罚或变相体罚学生。
2.加强心理健康教育师资的配备、心理健康教育活动课的开设,努力减轻学生学业负担和心理负担,帮助学生克服各种心理压力,防止和减少学生因心理疾病而发生的伤害事故。
(十)与其他部门协作做好校园周边整治工作
一、数字化档案安全思想及其发展
我国数字化档案安全思想经历了从无到有、从简单到复杂、从模仿到创新等不断成熟和发展的过程。回顾数字化档案安全思想的发展意义深远,不仅有利于从理论上搭建数字化档案安全思想框架,而且有利于从实践上提高数字化档案管理的安全水平。在数字化档案安全管理的初期,我们还是习惯于传统的档案管理思维模式,主要侧重于对于档案实体的安全保护。重实体、轻信息的安全思想来源于档案管理的数字化状况和现代化程度不高的现实,计算机的普及和应用经历了较为缓慢的过程,办公自动化更是需要资金、人才、制度等多方面的投入之后才逐步实现。因此,数字化档案在初期只是作为传统纸质档案的副本和补充而存在。在管理制度上,鉴于传统档案存在形态和现代数字档案并存的状况,国家制订了兼顾新旧两种管理模式的相关行业标准,即“双套制”档案管理模式,可谓档案管理的“双保险”。这些规定和标准对数字化档案的管理和保存都是按照传统的档案管理模式进行,数字化档案的收集、整理和归档等环节都是按照传统纸质档案的标准进行,只是在格式和载体上进行了数字化处理。这种固守传统档案安全思想的弊端显而易见,无法体现出数字化档案的本质,不适应信息化时代对档案安全的要求。模仿传统档案管理的做法表面上体现出因循守旧的依赖心理,深层来说是不接受、不认同数字化档案管理的立场,从长远来说不利于对数字化档案安全的尝试和探索,不能快速有效地建立起数字化档案管理体系。思想上的落后直接影响到管理制度的改进和档案管理的数字化进程,尤其是管理制度上的“双套制”为数字化档案的合法化设置了一定障碍,行业内对数字化档案的安全性、稳定性和独立性等仍保持怀疑态度。随着现代化的深入发展,人们对数字化档案的认识逐步深入,档案信息成为档案安全管理的重点,档案实体与档案信息被当成数字化档案管理的主要内容。数字化档案与传统纸质档案的基本区别在于储存环境和存储原理的不同,即档案信息存在方式的差异。信息存在方式的差异要求档案安全管理必须根据计算机技术的要求进行,围绕数字化档案信息的建立、传播、储存等数字化周期进行,这样才能符合数字化档案的信息化本质。根据计算机技术安全特点,信息化档案安全要保证档案信息的真实性、有效性和完整性,即保证信息与原始信息完全一致,承载档案信息的电子设备安全可靠,数字化档案文件信息完整无缺,也就是说数字化信息必须从头到尾地进行系统而全面的管理。数字化档案安全的全程管理还涉及风险管理这一新的理念,能够更好地应对数字化档案信息面临的风险和安全问题,最大限度地减少事故风险,主要通过数字化档案的风险识别、等级和评估等实现对电子文件的风险监控。风险控制的思想介入到档案信息管理中,就为政府和企事业单位的数字化档案信息的全面整理和集中保存提供了思想基础,为全面实现数字化档案信息的宏观管理提供了可能。随着大数据时代的来临,数字化档案信息面临更大的安全挑战,这已经成为关系国家安全的全局性问题,数字化档案信息安全的顶层设计被提上议事日程。从世界范围来看,信息安全已经对各国在保障国家安全方面提出了重要挑战,政治、军事、经济等各个领域都涉及信息安全问题,档案信息也不例外。从各国保卫各自信息安全的经验来说,从国家战略角度审视档案信息安全已经成为广泛共识。从技术上来说,由于计算机软件和硬件的核心技术都掌握在西方发达国家手中,我国在数字化档案信息上面临很大的技术难题,信息安全领域中频繁发生的泄密事件为档案信息的安全问题敲响了警钟,我国相关部门开始研发和制定相关技术和制度,来防范和应对可能发生的档案信息安全危机。从国家政策来说,针对档案信息安全的政策、法规还不健全,在档案信息的安全保障方面还处于探索阶段。进入新世纪之后,我国政府开始重视国家安全信息保障问题,并在2003年成立国家信息化领导小组,对信息安全问题提出了初步的设想,包括指导方针、基本原则、主要任务等。可以说,档案信息安全思想在国家信息安全思想逐步完善的过程中成熟起来,在思想认识上逐步深入,在实践措施上逐步完善。从以上我国对数字化档案信息安全的认识可以看出,我们对于数字化档案信息的安全意识不断增强,在理论和实际上都取得了很大的进步。当然,与面临的困难和挑战相比,我国数字化档案信息安全管理还有很长的路要走。
二、数字化档案信息安全管理的制约因素
数字化档案信息安全管理起步晚、基础薄,为了发挥数字化档案的价值必须进行开放和利用,这就涉及多个环节的安全问题。因此,数字化和信息化不是简单的更新技术问题,而是要受到很多制约,包括顶层设计、专业人才、技术设备、资金等多个方面。顶层设计方面,数字化档案信息管理不够科学、系统,缺乏宏观、全面的规划和设计,直接影响到档案信息管理的效率和水平。由于历史和现实的各种原因,目前我国的数字化档案管理系统还没有形成独立、专业的系统,在管理模式上呈现出很高的行政化色彩。在整个数字化档案管理系统中,能够体现数字化、专业化的内容相对单一,很多地方仅仅是增加了技术人员和操作岗位,而不是根据数字化档案管理的专业需要加以设置。因此,数字化档案管理与传统的纸质档案管理在管理体制上并没有很大提升,技术上的先进性和便利性被制度的落后和僵化所掩盖。如果这种现状不改变,数字化档案管理将无法从根本上摆脱分段式、分散式管理模式,无法实现档案信息管理的标准统一和规范格式。更为重要的是,如果不能从顶层设计入手提升数字化档案信息的管理水平,中央与地方的联系和统筹将受到很大制约,人为的隔阂将加大地区之间的不平衡。受制于资金、技术、人员等方面的影响,数字化档案管理的地区差异非常明显,而档案信息具有自己特殊性,各级档案部门在权限上也不一样,很难对数字化档案信息进行有效的统一和管理。由于缺乏宏观的协调统一,数字化档案管理的微观生存也会产生很多问题,数字化水平较高的地方即使能够探索出一些有益的经验和做法,也很难进行有效的推广;数字化水平较低的地方即使有提升自身的需要和诉求,也很难靠自身的努力完成。“信息不对称”已经成为制约我国数字化档案信息管理工作的重要因素,数字化档案信息管理的顶层设计已经成为亟待解决的重要问题。专业人才方面,数字化档案信息管理缺乏既懂计算机技术又懂档案信息知识的复合型人才。就我国目前的实际来说,从事档案管理工作的基本上都是档案专业,在计算机技术方面只是具备一定的计算机技术常识,缺乏计算机网络技术和安全管理技能。很多档案管理人员在思想意识上还停留在传统纸质管理阶段,认为传统的经验就能完全应对新形势的变化,这种思想阻碍了数字化档案管理技术的及时更新,这是造成很多数字化档案信息泄密、损坏和丢失等问题的根源。与此同时,数字化档案信息管理逐步进入信息剧增、多元、混杂的大数据时代,档案数据的真实性、完整性和有效性等面临越来越大的挑战,档案信息的保护、传播和利用等都将面临新的环境。这就要求档案管理人员采取新的思维方式,挖掘出大数据时代档案信息的潜在价值,由原来的管理向服务转变。就目前的现状来看,要转变档案管理的思想还很困难。法律法规方面,数字化档案管理的法制建设还处于起步阶段,档案管理的法律保障还不健全。近些年来,计算机技术和信息技术的发展越来越快,相关领域的硬件和软件更新日新月异,对档案信息管理的要求也越来越高。相比之下,针对数字化档案管理的法律、法规的制定、完善等却显得缓慢,这其中既有法律领域自身的特点决定,又有思想意识跟不上信息时展要求的原因。与西方国家相比,我国在数字化档案信息管理上主要依赖行政部门和行业协会等来制约和引导,针对数字化档案管理的专门法律、法规还非常缺乏,这就造成数字化档案信息管理的法律空白,不能有效地阻止和防范不法之徒的破坏、窃取,不能有效打击信息犯罪和档案案件。尤其是数字化信息档案在存在形态上容易造成相关犯罪证据的获取、求证,不仅容易给国家和单位造成不可估量的重大损失,而且还可能让不法分子逍遥法外,造成非常恶劣的社会影响。电子设备和软件支持方面,数字化档案信息管理系统还比较落后,还没有建立起适应数字化档案信息保存、传播和利用的完整体系。受制于资金、制度和组织等因素,数字化档案信息管理仍然借助于传统的设备和技术,基本上靠经验和既有条件去开展档案管理,这样很容易造成档案信息的欠缺、丢失,因为数字化档案信息在电子状态下存在各种新的安全问题。无论是计算机设备,还是网络技术,都存在各种漏洞,都需要进行加密、备份等安全处理措施。如果缺乏应有的设备更新和软件升级,数字化档案信息很容易暴露在黑客等看不见、摸不着的危机之下,造成无法挽回的信息损失。总之,数字化档案信息安全面临越来越明显的困难和挑战,有关部门和学界都在密切关注和想方设法解决这些问题,从不同层面改善和推进数字化档案信息安全建设。
三、数字化档案信息安全建设策略
数字化档案信息安全建设是一个系统工程,必须从战略高度加以认识和操作,这样才能从根本上确保信息化时代对档案信息的安全要求。在微观层面,要从数字化档案信息的全部环节入手,查找造成数字化信息危险的各种缺陷和漏洞,制定相应的整改措施,杜绝此类事件的发生。
首先,从国家层面做好数字化档案信息安全的顶层设计,从权威、全局的角度做好档案信息数字化安全建设的总体规划。从现在的管理制度来说,对数字化档案信息管理影响最大的包括政府部门的五年规划、相关领域(信息、网络等)的行业规划和自身建设规划等自上而下的规划和管理,这些规划涉及各个行业的方方面面,需要国家部门的协调和组织。尤其是建立档案信息安全管理中的等级设置、风险控制、应急响应和恢复机制等,这既符合现有信息安全建设的一般规定,又要体现档案信息安全的特殊性。
其次,从法律法规角度规范数字化档案信息安全管理,为信息化时代的档案信息建设提供良好的环境和氛围。随着社会主义法制国家的建设不断深入,全社会对信息安全的认识也在提高。要站在社会主义法制建设的立场和视野,从根本上解决数字化档案信息安全管理的法律问题,根据信息化时代的要求和档案信息的特点制定详细、有效的法律法规,既保证数字化档案信息的安全,又能促进数字化档案信息的开放、开发和利用,确保数字化档案信息的完整、真实和有效。加强信息化安全执法力度,合理数字化档案信息安全管理的责任和义务,对于有意窃取、丢失和损坏数字化档案信息的机构和个人,要根据相关法律法规严肃处理,依法追究相关信息安全管理责任人的责任,对信息化犯罪形成震慑,确保数字化档案信息安全。
再次,提高数字化档案信息安全管理的技术水平,通过技术创新提升信息安全等级。档案管理部门要根据自身条件研发有效的数字化档案信息安全软件,配置信息安全所需的设备,加强数字化档案信息安全的研讨,提高数字化档案管理的技术含量。档案管理科研部门要加强与业务部门的联系和沟通,及时发现和解决档案工作中存在的问题,建立有效的操作标准和工作机制。数字化档案信息的风险控制要从管理系统设计开始,对电子文件的元数据加强管理,制定电子文件备份制度,“确保电子文件的长期可读,确保档案信息资源的绝对安全。”根据信息化时代的档案安全操作要求制定工作评价标准,缩减和优化操作规程,避免档案信息安全的重复建设和无效劳动,加强信息安全的检查和监督,做到有的放矢、有章可循。建立行业标准,档案信息安全管理要加强自身建设,及时更新和反馈行业内部出现的新问题,借鉴国外和其他行业的安全管理经验,总结和提炼具有时代精神的术语、等级、权限等信息安全数据库,建立档案信息安全事故案例库,推动建设数字化档案信息安全管理走向规范化、制度化轨道。
最后,大力培养和引进数字化档案信息安全所需的专门人才,保障数字化档案信息安全建设的可持续发展。数字化和信息化虽然表面看是技术和设备的更新,但是最内在的还是人的因素,人才是信息化、数字化的核心和归宿,档案信息安全的最终决定力量还是人力因素。因此,档案信息安全管理人才一方面必须懂得先进的科学技术,尤其是计算机和网络安全技术,另一方面还要懂得档案信息管理知识,尤其是数字化状态下的档案管理技能。不仅基层档案管理人员要掌握数字化档案管理,而且更需要领导和决策层懂得现代档案管理规律,勇于提拔和任用既懂实践又懂理论的档案人才和技术人才,为保持档案信息安全管理活力提供保障。
作者:张苏 单位:济南市市中区档案局