时间:2023-02-17 10:27:00
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇数据信息网络报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:电力信息网络;防火墙技术;电力行业;网络安全;信息安全 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2017)05-0051-02 DOI:10.13535/ki.11-4406/n.2017.05.024
依据国际互联网的相关权威性调查报告显示,6.9%的互联网行为来源于中国。在我国,将近95%的网络曾经被国内外黑客攻击,造成了极其严重的经济损失。由此可知,我国互联网络中存在着极大的不安全因素。电力企业是我国的支柱型产业,是我国国民经济快速发展的重要基础性行业,对于计算机网络的应用频率也在不断提升与增加,现已经能够对电力企业的相关信息进行全面性的监管管理。因此,需要在电力信息网络中增加相关的安全软件,通过增设防火墙来提升整个网络系统的安全性。
1 防火墙的分类
1.1 包过滤防火墙
包过滤防火墙的应用原理就是对流过防火墙的数据通过进行分析,并且按照原先制定的安全规则对相关的数据包进行拒绝或者是允许等情况的处理。其是根据相关IP、TCP、UDP等一系列的数据包头来设定的安全规则,进而通过对相关协议类型、标准等来进行判断,是否允许数据包通过。包过滤防火墙进行计算机保护的优势在于不需要改动用户机原本的应用程序,只需在网络的层面进行设置。同时这种防火墙的价格相对低廉,相关性能的成本较低,对数据的处理速度快。但是包过滤防火墙在应用的过程中由于其定义较复杂,容易产生配置不当的现象,进而带来一系列的问题。此外,包过滤防火墙对于待定服务的上下文环境的理解能力较弱,只能够由高层来进行服务。与此同时,包过滤防火墙还可以分为静态包过滤以及动态包过滤。
静态包过滤的应用过滤规则是之前制定完成的,进而根据其中的规则来对每一个数据包进行检查,由此来找出相匹配的包过滤规则。其中的规则是根据数据包的报头信息来制定的,包括计算机中的IP源地址、IP目标地址以及相关的传输协议等信息。静态包过滤防火墙在进行信息筛选的时候需要始终遵循“最小特权原则”,明确允许通过的数据包、禁止通过的数据包,工作情况如图1所示。
动态包过滤的过滤规则采用的是动态化的设计方式,能够有效地避免静态化包过滤中出现的问题。通过应用动态化包过滤防火墙,能够对每一个相关的连接进行跟踪,并依据具体的情况来增加或者是更改过滤的规则条件,其工作情况如图2所示:
1.2 防火墙
防火墙是代表客户对服务器连接上的请求进行处理的一种程序,当服务器得到一个客户连接的请示时,其对相关客户的信息进行核实,并通过特定的安全化程序来对相关的请求连接进行处理,而后将处理的结果发送到服务器上。依据服务器做出的回复采取相应的处理措施。服务器在外部网络及内部网络中都能够进行灵活的中间转化。防火墙在应用过程中具有极大的安全性,能够通过专门特定性的服务来编写安全化的应用程序进行处理,而后通过防火墙自身的请求来做出相应的应答,外部网络中的计算机根本没有入侵的机会,从而能够有效地避免不法分子通过数据驱动来对计算机进行攻击。一般情况下,防火墙可以分为普通防火墙和自适应防火墙。
普通防火墙就是通过技术参与到计算机中的一个TCP连接的全过程中,进而能虼蛹扑慊内部发出相关的数据包,并通过防火墙进行数据的分析及处理,进而对计算机内部信息进行保护,这种类型的防火墙是网络安全专家认为的安全系数最高的防火墙,地理服务器技术是其工作的核心技术,工作情况如图3所示:
自适应防火墙是普通防火强的升级版本,能够将普通防火墙的安全性以及包过滤防火墙的高速性等优点进行融合,进而在安全的基础之上有效地提升运行速度。其工作情况如图4所示:
2 防火墙技术在电力信息网络中的应用
随着现代信息技术的发展与提升,在人们日常的生产及生活过程中,所使用的网络需要考虑到相关的安全性,针对其中的安全问题采取适当的解决方式。电力系统是我国国民经济中十分重要的组成部分,电力系统的信息化应用在不断发展。在电力信息网络中应用防火墙能够对现有的网络结构进行加强与固定,使得相关的网络结构无法进行随意的更改。此外,通过应用防火墙还能够对电力信息网络中的模式进行合理的调整、优化。同时还能够支持可信区、不可信区、非军事化区、控制区这四个区域形成独立的网络接口,从物理结构上将受控网络进行分离,进而提升整个网络的安全性。通过应用防火墙系统,在计算机的非军事化区域遭受到相关攻击的时候,所入侵的病毒不会延伸到计算机的内部网络结构之中。
2.1 技术手段方面
电力信息网络在使用的过程中需要传输大量的电力企业数据信息,其中包含了企业内部及生产过程中的关键性数据信息。因此,在电力信息网络中所应用的防火墙需要具有包过滤的功能,通过对电力信息网络中的IP地址、协议类型以及TCP端口的信息等进行过滤判断,检查其是否符合所制定的标准、是否符合相关的规定,进而决定数据包是否能够通过电力信息网络。通过应用包过滤防火墙技术,能够极大程度地提升电力信息网络在传输过程中的安全性能,从而传输正确的数据信息,促使电力企业得以更好的提升与发展。
2.2 防火墙设置
在电力企业中,电力信息网络中所应用的防火墙在设置的时候需要依据当前电力企业中的网络结构进行。通过判断该电力企业中所应用的网络类型与规模来选择适当的防火墙,设计与电力企业相适应的管理系统。由此不仅能够提升整个电力信息网络的安全性能,同时还能够方便相关人员进行日常的维护与管理。例如,电力信息网络中可以通过应用Web Base Managenment管理系统来对整个网络界面进行有效的管理,还可以在网络前台Web中依据图形来进行相关数据的显示,不仅减少了网络管理人员的工作量,还降低了相关的工作难度,进而提升了电力信息网络管理的效果,增强网络使用的安全性。
2.3 防火墙操作系统的选择
在我国,大多数人们所应用的都是Windows操作系统,由于这种系统具有较强的广泛性,在使用的过程中存在的系统漏洞较多,非常容易遭受到网络攻击。因此,在电力信息网络中,可以使用日常人们较少使用的系统,例如Linux操作系统。这种系统相比于Windows系统有着较高的安全性及拓展性的特征,其中源代码的下载是对外开放的,用户能够依据自身的实际情况及特点对代码进行修改。此外,Linux操作系统没有在我国进行推广与普及,大多数人们对于这个系统的了解^少,对Linux系统进行网路攻击的行为也比较少。因此,电力信息网络通过应用Linux操作系统进行相关信息数据的传输能够提升数据信息的安全性。
2.4 制定安全策略
对于电力信息网络来说,所制定的安全策略需要从网络服务访问以及防火墙设计这两个方面展开。其中网络服务访问策略是一个高层次、具体化的策略,主要对电力信息网络中的相关服务进行允许或者是禁止的定义。通常情况下,一个防火墙只能够执行一个访问策略,即允许从内部网络访问外部网络,不允许从外部网络访问内部网络,例如在电力信息网络中的电子邮件服务器。因此,电力信息网络在设置防火墙之前需要制定出相应的服务访问策略,由此才能够对整个网络进行更好的保护。
同时,防火墙的设计策略是针对电力信息网络中的防火墙,通过制定相应的规章制度来进行安全服务。因此,在制定相关策略之前需要对所应用的防火墙性能及缺点进行明确,根据实际情况来设计防火墙策略。通过执行相关的策略能够极大程度地提升防火墙的安全性能,进而保障了电力信息网络的安全。
3 结语
电力信息网络安全在我国的关注度越来越高,它与电力信息系统的正常运转有着直接性的关联,同时也与我国电力企业及个人的日常生活及学习工作有着一定的关联。防火墙是一项能够加强网络信息安全传输及保护的重要技术手段,因此,在电力信息网络中应用防火墙技术能够有效地提升整个电力企业的网络安全性能,由此促进我国电力企业的健康发展。
参考文献
[1] 晏文君.有关电力信息网络系统的安全性研究[J].科协论坛,2013,(12).
[关键词]企业信息 网络安全体系
一、企业信息网络安全现状概述
进入21世纪后,随着国内信息化程度的快速提高,信息网络信息安全越来越多受到关注,信息网络安全产品和厂商短短几年内大量涌现。但是,令人担忧的是,虽然众多的产品和厂商都以信息网络安全的概念在提供服务,但其中包含的实际技术和内容却千差万别。这样的情况,一方面对市场和用户形成了误导,不利于解决用户的实际信息网络安全问题,造成投资浪费;另一方面也不利于创造良性的竞争环境,阻遏了信息网络安全市场的发展。
鉴于此,有必要对信息网络安全进行成体系的理论探讨,形成统一的共识和标准,这样才能让信息网络安全产品和厂商真正满足用户的需求,解决用户的实际问题,推动国家信息化的发展。
二、信息网络安全问题的本质探讨
1.信息网络安全问题的形成原因
信息网络安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:
(1)随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,信息网络已经成了各个单位的生命线,对信息网络稳定性、可靠性和可控性提出高度的要求。
(2)内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对信息网络各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。
(3)由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。
上述三个问题,都是依赖于信息网络,与信息网络的安全紧密相连的,信息网络安全受到广泛的高度重视也就不以为奇。
2.信息网络安全问题的威胁模型
相对于信息网络安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范互联网对信息网络的攻击,即可以说是互联网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。互联网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内互联网边界出口。所以,在互联网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
而信息网络安全的威胁模型与互联网安全模型相比,更加全面和细致,它即假设信息网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自互联网,也可能来自信息网络的任何一个节点上。所以,在信息网络安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的信息网络。由此可见,相比于互联网安全,企业的信息网络安全具有以下特点:
(1)要求建立一种更加全面、客观和严格的信任体系和安全体系;
(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;
(3)要求对信息进行生命周期的完善管理。
三、现有信息网络安全产品和技术分析
自从信息网络安全概念提出到现在,有众多的厂商纷纷自己的信息网络安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。
1.监控审计类
监控审计类产品是最早出现的信息网络安全产品, 50%以上的信息网络安全厂商推出的信息网络安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作,以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。
监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在信息网络发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高信息网络的可控性和可管理性。
2.桌面管理类
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能,
桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对信息网络信息数据提供有效的控制。
3.文档加密类
文档加密类产品也是信息网络安全产品中研发厂商相对较多的信息网络安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。
文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。
4.文件加密类
文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。
文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。
5.磁盘加密类
磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。
磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其他信息网络安全管理控制措施。
四、构建完整的信息网络安全体系
从前面的介绍可以看出,上述的信息网络安全产品,都仅仅解决了信息网络安全部分的问题,并且由于其技术的限制,存在各自的缺点。事实上,要真正构建一个可管理、可信任和可控制的信息网络安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的信息网络安全管理平台。
根据上述分析和信息网络安全的特点,一个整体一致的信息网络安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全信息网络的效果。
身份认证是信息网络安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。信息网络的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
数据保密是信息网络信息安全的核心,其实质是要对信息网络信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对信息网络核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
监控审计是信息网络安全不可缺少的辅助部分,可以实现对信息网络安全状态的实时监控,提供信息网络安全状态的评估报告,并在发生信息网络安全事件后实现有效的取证。
需要再次强调的是,上述四个方面,必须是整体一致的,如果只简单实现其中一部分,或者只是不同产品的简单堆砌,都难以建立和实现有效信息网络安全管理体系。
一、领导重视,投入到位,信息网络基础进一步夯实
近几年来,县委、县政府对我县育龄妇女信息化管理高度重视,将信息化网络建设项目列入计划,确保人、财、物到位,为人口计生信息化建设工作提供了有力保证。
在20*年和20*年,我委和各乡镇计生办共投资五十多万元,对县人口计生委机房重新装修,添置服务器;同时各乡镇计生办也严格按照省市信息化创建标准重新装修了微机房,并为委机关和各乡镇及时更换微机和其他设备。20*年,我委又新增信息化带动工程建设专项资金13万,用于更新设备和建立网络安全互联系统。
目前,我委已经拥有一间20平方米的独立机房,基本达到了防尘、防潮、防火、防静电、防雷电的要求。机房配置了二台服务器并配有不间断电源(其中一台型号为ibm3650ipl)、一台专用打印机、二台工作打印机、三台工作计算机,同时还配备了一台扫描仪,一台路由器和二只交换机(16口和24口)等。另外,我委机关其他股室均配备了1台以上的品牌新电脑、打印机;县计生服务站配备了5想电脑和2台打印机。各乡镇微机房也均已达到了防尘、防潮、防火、防静电、防雷电的要求。据统计,各乡镇计生办、服务所各有1台电脑、1台打印机、1个摄像头和1块1g容量以上的u盘。县乡两级硬件设施的配备,极大地提高了计生干部的电脑操作能力和工作效率。
二、管理规范,人员到位,网络环境建设进一步完善
1、加强信息化队伍建设。为适应新形势下人口计生规划统计工作的要求,去年我们从乡镇计生办抽调了一名同志到规统股负责流动人口计划生育信息平台建立、微机录入和相关报表工作;今年,我委又报请县政府同意在全县机关事业单位选调一名计算机管理员,已经过资格审查、笔试、面试,拟从教育系统选调了一名获得《全国计算机四级证书》的计算机本科毕业的信息管理员,现正在办理调动手续,为加强我县信息化工程建设提供了人才保障。我们在积极参加全市统一组织的大培训的同时,今年我们还将定期开展业务培训、岗位练兵,提高信息队伍的业务技能。
2、完善信息化管理制度。为确保原始数据的完整性、准确性,县、乡、村三级全部建立了每月定期的信息上报、变更、反馈例会制度。我们坚持“公安户口、计生户口和已婚育龄妇女实际生育节育情况”三对照,切实做到“村不漏组、组不漏户、户不漏人、人不漏项、项不出错”。为加强对信息网络的管理,制订了委机关股室管理制度,确保信息管理得到安全有效管理。
3、建立了人口计生局域网。为了使各乡镇能够接入政务网达到与县计生委联网的要求,我委从20*年初就开始着手这项工作;在去年下半年,我们多次与电信部门协商,希望通过电信部门在各乡镇的营业所,牵光缆到乡计生办,然后通过委服务器转接到政务网,但是这种途径费用高,每个乡镇一年要交7200元,全县一年的费用高达十六万多,经协商价格降不下来。今年,我们联系到一家软件公司,可以通过vpn网络技术,通过一台交换机把所有连接到内网的电脑形成一个办公局域网;经过安装初试,我县十九个乡(镇)及璜溪管理处现在已可以同时登录县人口计生委信息平台、网站,并能登录省、市政务信息网。同时,县计生服务站、计生协会也已接入政务专网。
通过加强信息化队伍建成设,完善信息化管理制度,营造高效、快捷的网络环境,我县目前已经建立了育龄妇女信息管理平台,各乡镇通过vpn网络技术,基本上都能登入。我们在信息平台和委网站上可以新的消息,指导各乡镇工作,各乡镇也能通过这个平台及时获取、及时更新,县、乡两级已经达到了信息互通、信息共享的良好局面。
三、健全制度,责任到位,信息化应用程度进一步提高
一是健全制度。为实现信息化引导服务工作的规范化和优质化,我委先后制定了《*县育龄妇女信息管理办法》和《*县、乡、村资料管理规范》等一系列制度,进一步从制度上规范全县计生系统的信息采集、录入、核查等各个环节,提高信息的准确率,为科学决策提供可靠的数据支撑,从而更好地引导基层开展服务。
二是细化分工。每年年初,我委都要派出一名干部挂点一个乡镇,同时要求各科室按照职责分工对所有的数据进行分化,将核查、引导、带动等各项任务细化到每一个挂点干部;委领导则定期抽查各项工作的落实情况。明确了各科室长为信息化带动工程首要责任人,要求委机关每个干部都要熟练操作和运用wis系统。
三是规范运行。在委机关信息平台建立以后,每月要求各乡镇从县人口计生委网站下载当月育龄妇女信息和各科室核查出需调查落实的信息,由乡镇和村居专干一一核实并录入wis系统,建立定期分析信息制度,严把“三关”,提高信息质量。
四是确保信息质量。信息质量的好坏,首先是信息采集的质量。为此,我们决定从源头上提高信息质量,一方面针对上传到县人口计生委的数据信息中存在的问题,积极协调卫生、公安、民政等部门召开相关系统信息采集员工作调度会,提高数据采集准确率;另一方面,要求村(居)专干必须一个不漏的入户采集数据信息,准确录入到wis系统。其次是定期进行数据分析。各科室每月依据职责分工将各部门通报的信息及委机关干部上户督查掌握的情况与wis系统中数据分析对比,评估数据质量,并将存在的问题和需要进一步调查核实的内容进行梳理,形成分析报告。再次是跟踪落实服务。根据各科室每月数据分析报告,我委分别在每月召开的计生办主任例会和统计员例会上进行通报,分析原因,找准对策;要求各乡镇将需要跟踪服务的对象落实到乡镇分片蹲点干部和村组专干,进行逐一跟踪服务到位。
四、依托网络,服务到位,不断开拓人口信息化服务新领域
我县人口信息化网络的建设,极大地促进了人口和计划生育科学决策和宏观调控,有效地加强和规范了基层管理,增强了计生服务的及时性、针对性和有效性。依托信息网络,搭建信息平台,充分挖掘和延伸信息系统功能,达到人口信息资源的部门间共享,全社会共享,开拓了为育龄群众提供优质服务的新领域。
我县人口信息网络系统的建立,为育龄妇女信息的采集、传输、处理、汇总提供了便利。基层将采集到的育龄信息录入微机,对乡镇没有能力解决的问题,通过网络汇总上报。县人口计生部门对基层上报的问题提出意见后,通过信息网络自上而下逐级反馈,使基层能在最短的时间内得到答复,及时解决问题。同时,充分利用微机对各类统计信息进行整理、归纳和分析,为科学决策,制定年度计划提供依据,创造条件。
目前,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;VLAN,MPLS等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力工业的发展。
2电力信息网安全现状分析
结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。
3电力信息网安全风险分析
计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
4电力信息网安全防护方案
4.1加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
4.2电力信息髓安全防护技术措旌
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
5电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
(4)网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施。
论文摘要:分析了电力系统信息安全的应用与发展存在的安全风险,安全防护方案、安全肪护技术手段及在网络安全工作中应该注意的问题,并对信息安全的解决方繁从技术和管理2个方面进行了研究,探讨了保证电力实时运行控制系统和管理信息网络系统信息安全的有关措施,同时以朝阳供电公司为例,进一步进行有针对性的剖析。
论文关键词:电力;信息安全;解决方案;技术手段
1电力信息化应用和发展
目前,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;VLAN,MPLS等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力工业的发展。
2电力信息网安全现状分析
结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。
3电力信息网安全风险分析
计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
4电力信息网安全防护方案
4.1加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
4.2电力信息髓安全防护技术措旌
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
5电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
(4)网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施。
关键词:电子税务局 功能定位 现状分析
所谓“电子税务局”,是指利用信息技术、特别是互联网技术构建的可以完成传统税务局各项管理与服务职能,并为纳税人提供更加方便、快捷、安全服务的e化的税务机构。电子税务局的核心特征是对传统税务局的扬弃,传统税务局的主体业务和互联网技术相融合,实现纳税人多元化需求的个,提高了税务工作的效率。[1]
一、电子税务局的功能定位
1.提供面向纳税人的在线纳税服务。
电子税务局的在线纳税服务包括:税务信息宣传,包括税务局的基本情况介绍,指导纳税人办税的基本流程,公布税务信息,进行税法宣传;税务登记;税务申报;税务查询;征纳关系调整,包括纳税人意见反馈,举报投诉以及其他涉税事务等。可以看到,对于传统税务局提供的服务,电子税务局都可以提供。不同之处在于,电子税务局在开展上述税收业务时拥有互联网络这个新的技术平台,可以拉近税务机关与纳税人的距离,使纳税人可以在线即时完成涉税事务,降低了纳税人的办税成本,节约纳税人申报的时间;另一方面,也大大提高了税务机关的行政执法效率,降低了征税成本。
2.提供面向税务部门内部的网上服务。
从税务部门内部来看,存在着管理决策部门、业务部门、后勤保障部门等诸多机构。电子税务局应该能够为各部门工作人员提供电子化的办公条件及相应的辅助决策支持系统和税收计会统系统,这无疑可以把工作人员从原有繁重的脑力、体力劳动中彻底解放出来,从而实现办公无纸化、通讯网络化和决策智能化的目标。但电子税务局能够提供的服务不仅仅局限于此,它还可以解决税务部门内部的信息共享问题,做到“一处录入,多处共用”,以保证税务部门信息和实际信息的一致性,并且对这些信息的共享,根据信息保密程度的不同,制定相应的权限控制机制。这使得税务部门内部可以加强配合和协调,充分发挥内部各应用系统的规模效益。
3.其他政府部门的网上服务。[2]
税务、财政、国库、中央银行、审计、工商、劳动、公安等政府部门作为国家重要的经济管理和监督机构,承担着为社会公众提供服务、支持经济发展的重任,各部门之间的数据交换量很大。税务部门需要向财政、国库等部门提供诸如工商税收收入报表、税收收入执行情况分析、财务税收汇总报表、税收工作情况以及其他综合信息资料,而税务部门需要从其他部门获得诸如国库预算收入报表、审计报告等信息。
二、电子税务局建设的现状分析
1.起步晚,底子薄
现行的税务信息化工作一般是由各级税务局的信息中心完成,个别税务机关也是在自己的信息中心的技术支持下勉强实现了尚不成熟的在线申报纳税。而大部分税务机关的信息中心只能基本保障内部办公系统,CTAIS系统的运行和维护。基层税务机关的计算机相关设备多数已经老旧,难以承担起大量的数据交换,老旧的硬件基础运行维护在线纳税申报业务无疑是小车拉大炮,力不从心。而仅仅是允许大量的纳税人在线进行查询,都有可能因为访问量过大而造成系统崩溃。而在实际工作中,即便是重点维护的CTAIS,也时常出现因为内部操作人员访问量过大而出现网络阻塞和掉线等等情况。
2.信息安全保障
各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,电子数据的可靠性、安全性和完整性直接关系到国家税收安全和纳税人的切身利益。数据丢失将直接影响到税务机关正常运转和纳税人的个人信息安全,因此数据安全成为信息化发展重要问题之一。
以数据安全为例,据我国互联网安全中心统计,我国大陆地区159399个IP 地址所对应的主机被通过木马程序秘密控制,我国大陆地区253个IP地址对应的主机被利用作为僵尸网络控制服务器。在对被篡改网站情况的监测分析中,CNCERT/CC发现本月我国大陆地区5835个网站被篡改。网站被篡改的数量为484个,约占大陆被篡改网站的8.29%。在对恶意代码活动情况的监测分析中,CNCERT/CC本月平均每日捕获恶意代码4041次,平均每日捕获新样本407个。在接收的事件报告中,网页恶意代码类事件数量达到152件,网络仿冒类事件数量达到100件。Windows 2000 和 Windows XP 的源代码估计分别约有3500万和 4500万行。平均每1500行会有一个已知的bug 或缺陷,Windows 2000 和 Windows XP 的bug 或缺陷将分别达到2.3万和3万个。
我国信息网络安全事件的主要类型是:感染计算机病毒,收到垃圾电子邮件,遭到网络攻击和网页篡改、失密和被窃现象多有发生等。近年来信息网络安全事件持续上升的主要原因是,随着信息化的快速发展,信息网络使用单位的安全防范意识虽有增强,但信息网络安全管理人员不足、专业素质不高,一些安全防范措施没有发挥应有作用。在这样的大背景之下,以各地基层税务机关现有的技术能力和装备,要保证电子税务局的信息安全,几乎是个不可能完成的任务。[3]
电子税务局是网络经济中现有税务机构的生存形态,是电子政府的一部分。通过对电子税务局建设的功能定位和现状分析,明确建立基于互联网的能够与电子商务企业经营发展模式和技术平台相适配的电子税务局是应对电子商务发展的必然选择,也是我国税收信息化建设的未来重点。
参考文献:
[1] 姚琴. 电子税务:以大数据推动智能化管理 [J]. 世界电信. 2014(Z1).
[2] 乔晓锋. 云计算在税务系统的应用―以北京市国家税务局为例 [J]. 中国税务. 2014(02).
[3] 覃先文,刘卫明等. 完善我国电子商务税收征管的设想[J]. 税务研究. 2014(02).
一、提高认识,加强领导
全市各级劳动保障部门要高度重视信息系统的安全管理工作,强化数据安全意识,加强对信息系统安全工作的领导。认真贯彻落实国家在信息安全方面的法律、法规和政策规定,加强业务数据的科学管理,采用安全技术,应用安全产品,建立完备的网络管理、数据维护、数据备份等工作机制;按照“谁主管、谁负责,预防为主、综合治理,制度防范与技术防范相结合”的原则,逐级建立信息系统安全管理领导问责制和岗位责任制。
二、建立制度,责任到人
各单位要有专人负责本单位信息系统的安全工作,根据本单位的具体情况建立健全信息系统安全管理制度,包括:人员管理、密码口令、机房安全、设备安全、系统运行、网络通信、数据管理、紧急情况处理流程等,明确责任,将安全管理工作落实到人。要定期检查制度执行情况,加强监督并不断完善规范。
三、堵塞漏洞,全面防范
(一)加强应用系统安全。加强对计算机管理人员和操作人员管理,根据其工作职责的不同,设置使用权限。通过对用户身份认证管理,保证用户的合法性。
信息系统必须有全面、规范、严格的用户管理策略。重要的信息系统必须有双人互备做为系统管理员,系统管理员必须对信息系统中各类设备加设口令,严禁采用系统默认超级管理员用户名或口令;由系统管理员对操作人员账号实行集中管理,对操作人员按职责分组管理,设定用户访问权限,严禁跨岗位越权操作;对信息系统的用户身份、主机身份、事件类型等应进行安全审计,并留存审计日志和妥善保存。
信息系统必须使用正版软件,并及时进行系统升级或更新补丁;信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的信息系统要有防止非法入侵措施。
(二)加强数据安全管理。通过系统权限、数据权限、角色权限的管理,建立数据库系统的权限管理机制。通过安全审计记录,跟踪用户对数据库的操作。根据信息的重要程度和安全要求,采取不同层次的数据备份制度。对通过网络传输的重要信息,应进行数据加密处理。
全市各类信息系统的业务数据要有完整可靠的备份机制和策略,我市金保工程实施前,要求各单位务必于2008年12月底前将业务数据在市劳动和社会保障数据管理中心进行实时备份。各责任单位要具有在规定时间内恢复系统功能和业务数据的能力,对各类信息系统及设备要有应急处理预案,市局信息化工作领导小组要对应急预案进行备案登记,并不定期进行数据安全应急演习。
系统管理人员调离工作岗位时,必须移交全部技术资料和有关数据,设有口令密钥的要及时进行更换,并确认对业务不会造成危害后方可调离。
操作人员应严格遵守软件的操作规范,离开操作岗位时,必须退出应用软件操作界面或锁定计算机,以防他人进行未经授权的操作。操作人员应注意自己用户名和口令的保密,并定期或不定期修改口令,避免出现他人借用或盗用本人帐号引起不良后果。
(三)加强网络平台安全。全市统一的劳动保障市域网络平台已构建了一套安全、高效的网络管理体系,对联入网络的所有机器设备实行准入机制,并进行统一管理和集中的病毒防护。对于目前未纳入统一管理,分散在各级业务经办机构独立运行的局域网要配备有效的防病毒软件,防止网络环境的病毒感染和泛滥。凡在业务内网运行,用于处理业务的计算机要与外网实行物理隔离,一律不得连接公共互联网。建立网络安全扫描和网络实时监控预警系统,对网络攻击进行检测和告警,及时发现网络系统安全漏洞,防止非法攻击对网络平台的损害。
(四)加强机房和设备安全。机房建设要符合有关国家标准,注意防雷、防泄漏、防火、防盗。存储信息的备份介质要防尘、防潮、防霉变,保障系统的设备和数据的安全。
服务器或存储设备发生故障时,要尽量现场维修,系统管理员要在现场监督;确需要送出维修时,须卸除存储部件或删除业务数据,防止数据泄露。
(五)加强数据保护工作。各单位要严格执行国家信息安全和保密工作的有关规定,保护企业商业秘密和劳动者个人隐私,避免数据通过网络等渠道扩散。要重点做好业务数据库的保护工作,不得随意对数据库进行操作,确因工作需要,必须具备完善的技术方案和安全保障措施,避免给业务经办带来重大损失。
四、加强监管,定期考核
全市各类劳动保障信息系统责任管理单位应定期向*市劳动和社会保障局信息化工作领导小组上报信息网络安全自查报告,市局信息化工作领导小组将不定期组织专业技术人员对存在安全隐患的各类信息系统进行综合安全评估、检查指导,协助提出整改方案,限期整改。因不及时整改而发生重大案件和事故的,追查相关人员责任;对违反国家相关法律法规的,由公安机关依法进行处罚,构成犯罪的,由司法机关依法追究刑事责任。
五、强化培训,提高素质
关键字:企业;统计信息化;建设;发展道路;探究
1.企业统计信息化发展概述
自我国《“十一五”国家统计信息化建设规划纲要》颁布以来,统计信息化在社会发展中迅速发展和普及,并逐渐成为了我国社会现代化发展的主要标志。企业统计信息化是指在计算机和互联网技术的基础上,利用其数据处理功能开发并构建企业的统计信息源,并完成信息收集,加工处理以及管理,等任务,从而有效改善企业运营中的统计工作。企业统计信息化发展的本质在于利用现代化信息技术和手段处理更多的数据信息,因此提升企业的核心竞争力和运营效益。随着市场竞争的日趋激烈,企业的发展已越来越注重对市场信息的采集和处理,统计信息化的发展成为了企业竞争核心力量的重要构成,也为我国市场经济的发展奠定了坚实的基础。我国企业统计信息化发展的日渐成熟,已经渗透到了业务,会计和统计三大领域,使得企业运营过程中的数据处理逐渐成为了一个有机的整体,这在巩固企业传统传统统计业务的同时,也有效实现了现代化统计业务的发展,这对于提升我国企业和市场的运营效率具有重要意义。
2.企业统计信息化发展框架分析
2.1企业统计信息源
在企业统计信息化发展进程中,信息源的构建是整体信息网络的核心。作为企业统计信息的初始来源,统计信息源的质量决定了整个统计系统信息供给的效率,因此为了全促进升企业的统计信息化发展,就必须首先完善统计信息源。就现阶段我国市场的发展状况进行分析,企业统计信息源中数据的来源主要包括企业所处的市场和企业自身两方面,市场竞争中产生的数据信息使得企业统计能够在市场微观环境中更具针对性,而源自企业自身内部的数据信息则为企业统计信息的进一步完善提供了重要参考。
2.2企业统计信息系统构建方式
企业统计信息的系统化实现是信息网络构建的直观提现。在统计信息系统的构建中,主要包含了子系统和数据交换系统两种。最为常见的子系统构建方式是依照企业的具体职能进行构建,如在统计信息系统下发展计划信息系统,生产调度信息系统以及产品质量监督系统等,通过子系统完成产品的检验和信息的处理,以保证企业整体统计信息系统的良好运转。企业统计信息的交换系统更加注重对数据信息的交互。交换系统通过在企业中不同部门之间搭建信息流通渠道,以保证企业信息化发展的整体性,同时,交换系统也为企业之间的信息交流提供了极大的便利。信息交换系统在实现企业内部和企业之间信息交互这一双重职能的同时,也具有数据信息的安全维护功能,这也为企业实现统计信息化过程中的安全性提供了重要保障。
3.企业统计信息化建设与发展的基本要求
在企业统计信息化建设的实现过程中,由于数据信息的处理必须按照信息流转的基本规律,所以企业的生产和运营方式必须以统计信息化为基准进行相应调整,以此保证企业运营决策内容的及时性和有效性。此外,为了保证企业的统计职能可以在市场竞争中灵活的调整,就要进一步加强其与企业信息管理系统的结合,这就对企业统计信息系统的建设提出了以下要求。
3.1统计信息化工作应注重规范化
在企业统计信息发展的具体落实过程中,为了有效保证系统数据信息处理的有效性,必须注重数据信息统计的规范化,使得企业的信息统计能够在统一的科学标准下进行。强调企业统计工作的而规范性,要求企业能够把不同部门基础统计工作的基础内容进行严格的界定,并通过建立对应的制度,保证数据信息处理的每个环节都能够满足企业统计信息化发展的实际要求。注重对企业数据信息处理的规范化建设,不仅为企业长期稳定的运营提供了有力保障,也在一定程度上优化了市场竞争的整体环境。
3.2开展统计信息化应满足企业管理要求
随着市场中企业竞争的日趋激烈,企业管理的效率和质量在运营中的地位也越来越重要,这就要求企业在统计信息化发展中要满足企业管理的要求。在开展统计信息化过程中,企业综合统计部门的决策要以管理部门的决策需求为参照,通过对企业数据信息的集中处理,为管理部门提供实效性的数据信息,如企业当下的总资产情况,财务负债情况,以及企业员工技改投资的具体标准等,从而为企业管理部门决策的制定提供更为准确,全面的信息参考,使得企业统计信息管理的整体水平得以提升。
4.企业统计信息化实现方式探究
4.1加强企业统计信息的系统化管理
在企业信息化发展进程中,开展系统化的信息管理能够进一步加快企业中数据信息的交流效率,这对于企业统计信息化的实现具有重要意义。系统化管理模式的建立要求企业的统计信息管理能够在适应企业运营环境的同时,对运营环境起到良性的影响作用,从而促进企业中不同部门之间的信息交流,增强企业统计信息化发展的整体性。就企业统计信息化系统的发展进程分析,当下我国市场中企业的统计信息系统正处于电子数据处理系统向信息报告系统过度的阶段,企业的信息扩展和决策支持领域都有待于进一步完善,所以为了推动企业的统计信息化发展,企业主体还应针对其系统化管理的具体需求进行相应的决策调整。
4.2构建企业信息化网络结构
在企业统计信息化网络结构的构建中,不同企业应根据自身的实际运营规模组建相应的网络结构。如对于规模较小的企业来说,统计信息的网络结构建设就要针对企业员工个人。企业通过对不同员工的计算机进行分块化信息管理,使得每一部计算机能够独自完成数据的收集,加工和传输,这不仅节约了企业成本,也能够极大的提升网络结构的工作效率。规模较大的企业则适用于大中型的计算机联系系统。由于大规模企业在运营中涉及到更为庞大的数据信息结构,所以信息的处理与交互必须依赖于多台计算机共同完成,这也有助于提升企业的运营效率。
4.3加强培养企业的统计信息化意识
在企业统计信息化发展进程中,统计信息化意识的培养在信息的处理中起到了决定性作用,所以为了促进统计信息化的实现,企业必须在实际运营中强化统计信息化意识。在企业培养人才的过程中,不仅要针对信息和数据库的管理能力进行培训,还要与此同时建立起员工的统计信息化意识,使其在处理信息时能够本能的利用统计信息技术加以处理,从而全面有效的提高员工的信息处理能力,为企业运营效率的提升铺设了基础。
4.4完善企业统计信息化平台
企业统计信息化发展的总体目标在于其统计信息平台的构架和完善。企业发展统计信息化,其目的就在于为企业创造一个数据信息交互平台,以此为企业的统计服务,网络数据处理以及业务发展等多个领域创造发展空间,进而促进企业运营能力的整体性提升。完善企业统计信息化平台,要求企业要以统计数据化建设为主体,通过对数据库,网络存储系统和数据分析子系统等支柱系统进行调整和改进,以此实现企业中大范围信息内容的交互和共享。
参考文献
[1]王淑清,刘玉田.浅议当下我国企业统计信息化建设与发展[J].北京:社会经济出版社.2013,(14)
21世纪进入了信息化的时代。现代信息技术在各行各业都引起了革命,同样引起了会计理论与会计实务的重要转变。面对波涛汹涌的信息化浪潮,会计理论和实务不应只是被动地适应,而应主动地实施转变。现有的关于会计信息化的论著往往只是从会计实务被动地受到信息化冲击的角度进行研究的,研究的内容也较为分散,不够系统。本文拟换一个角度,即从会计理论与实务主动应对信息化挑战的角度,系统性地考察信息化背景下会计理论与会计实务发生的转变。
一、会计信息化的含义
会计信息化是同会计电算化既相联系又相区别的概念。会计电算化是会计记账、算账、报账以及会计信息的分析预测、决策等都依靠电子计算机来进行的方式。会计信息化是在会计电算化的基础上,会计理论和会计实务主动应对现代信息技术和网络发展所实施的转变的总称。会计信息化着眼于利用现代信息技术,有效配置会计信息资源,推动会计事务网络化、自动化,构建起主动、迅捷、共享、开放的现代会计信息系统。会计信息化不仅表现为会计实务对现代信息技术的运用,而且表现为会计模式的重构和创新,表现为会计模式的转变对构建开放的、现代会计信息系统的有力的推动。因此,会计信息化概念强调了信息化背景下会计模式的主动转变和对信息化系统建立的有力的反作用。
二、信息化背景下会计理论的转变
理论是实践的反映,又反过来指导实践。会计信息化背景下,会计工作面临的环境和面对的问题都发生了很大的变化。会计理论必须适应现代信息技术和网络运用带来的新变化,做出相应的转变,形成体现信息化时代的新的会计思想,才能构建新一代会计信息系统。会计理论的转变主要体现在四个方面:
1.会计服务对象的转变
会计理论首先要确定会计服务对象是谁的问题。传统会计的服务对象,一是指独立控制生产资源,承担义务,进行运营的经济单位;二是指具有独立经济利益的公司、企业或机构。在过去的工业生产条件下,会计的服务对象是可以明确的,这就是相对稳定的、独立核算的生产者。但信息技术和网络技术的发展,使企业的内在结构、运营机制发生了重要的变化。在网络交易的基础上,出现了所谓网络企业,其没有稳定的结构,没有实在的物质设备,没有实体组织结构,它们多为临时性的联结,暂时性的同盟,不稳定的利益共同体,今天可以存在,明天就可能消失,或者以虚拟的形式存在,实际空间又不可把握,在这样的企业状态下,会计服务对象该如何确定?如何克服虚拟企业的一次性和不可靠性,避免因不确定性导致的风险?适应于信息经济发展的需要,服务于新形式企业的发展,会计理论必须对服务对象做出新的界定。为此,会计的服务对象不应再拘泥于单个独立的、稳定的实体企业,而应扩展为以实际进行的经营行为和实际经济联系为着眼点的、相对的服务对象。会计服务对象的扩展,可以使会计处理和会计报告的适应性范围扩大到网络公司或虚拟公司。
2.会计处理前提的转变
会计核算和会计处理要以企业的可持续经营为前提。企业如果预期会被清算或破产,会计分析和处理将难以进行。在实体经济企业中,往往拥有实物资产,这些实物资产会在生产过程中使用,也会被出售或转换,并且在实物资产使用和配置的过程中,逐步清偿其所承担的债务。以企业持续经营为前提,才能解决企业的资产计价和费用分配等问题。而在信息化条件下,网络公司没有大量实物资产,其联盟有时扩张,有时缩小,甚至可能解散。网络环境下必须对持续经营前提假设做相应的转变,使之适合于虚拟企业。虚拟企业的可持续存在,不在于其所用实物资产,而在于其组成的目的和实现目的的过程具有内在同一性,在于其占有一定的市场空间,保持一定的业务联系,并持续发展着。只有确立网络公司可持续经营的新的前提,才能通过会计确认、计量和报告,实现企业自身的权利和承担相应的义务。
3.会计划分期间的转变
会计处理过程的进行,无论是结算账目、编制报表,还是计算收入、费用和损益,以及提供财务状况、会计信息,都需要将企业的经营活动划分为不同的时期。信息网络的发展,使得企业经营费用和经营成果的核算、财务报表的编制、会计各类信息的生成和提供,都可以实时地在网上完成。网络公司的不稳定性,造成了会计传统分期规定的不适应性和不确定性。在这样的情况下,一方面仍然有必要坚持会计分期假设,因为执行统一的会计期间核算可以使企业会计处理有共同的时间维度,提供的财务信息具有可比性和可用性;另一方面,适应于网络企业经营的新特点和新要求,基于网络在线、实时反馈的功能,会计分期假设也应有所调整,会计期间可以进一步细分,加大一定时期(如一年)的会计分期数量,比如一个月、一周,但也不能无限细分。因为,评价一个企业的经营业绩及发展前景,瞬时数据是没有意义的。只有一定时间的会计信息,才能反映企业经济业务连续性和周期性的全貌。
4.会计计量标准的转变
传统的会计理论认为,最好的会计计量单位是货币,货币计量标准包括货币计量、币种唯一、币值稳定等内容。在货币计量假设下,各个公司的会计核算、财务运转的计量单位是货币,公司经营绩效和经营状况的考察,也要以货币为计量标准。信息经济的发展,使得知识和人力资本提高企业经营效果的作用越来越突出,影响企业运营效果的信息日益复杂化和多样化,非货币信息的作用越来越大,货币信息在企业决策中的价值和地位有所下降。电子货币的出现,弱化了记账本位币的币种唯一性,加大了货币风险,冲击了币值的稳定。面对这种形势,货币计量假设必须做出相应转变。会计计量手段不应仅仅局限于货币,而应实现多元化。对于网络交易,会计计量尺度在一定范围内可使用电子货币,电子货币计量的数据和结果,再折合为记账本位币,由此制成会计报表。通过不同货币计量单位的计量和换算,既可准确反映企业财务状况,又可以提供具有可比性的会计信息。
三、信息化背景下会计实务的转变
为了应对会计信息化对会计工作提出的种种挑战,会计实务也必须做出相应的转变,以适应企业及经济社会发展的新阶段、新形势的需求。
1.对会计人员要求的转变
会计核算是传统会计的主要业务。会计人员只对企业经济业务进行完整、连续和系统的记录和计算,为投资者和债权人提供反映管理人员经营责任的会计信息,处于一种被动的、事后监督的状态。会计信息化使事后监督变为事前监督,会计人员的职能也从日常会计处理走向财务管理的前沿。由于会计信息化条件下,从数据记录、计算,到财务报告完成,会计核算的整个过程,都可以由计算机网络完成,会计人员不在束缚于单调繁杂的日常事务中,将精力转向财务管理的前沿。会计人员要学会研究和分析会计信息,找到其与企业生产经营的内在联系,揭示隐藏着的问题,提出解决问题的对策建议,做好企业管理的参谋。会计人员要能分析和构建相关信息处理模型,并通过模型在计算机网络上的运用,来提供用户需求的各种有价值的信息。在信息化背景下,会计人员的素质和能力要有新的转变。不仅要具备会计知识和能力,而且要掌握有关信息网络技术和经济的知识和技能,要有运用经济管理的相关知识,分析企业经营现状,提出问题和解决问题的能力。
2.会计信息系统的转变
信息经济发展使会计运作和企业经营之间发生了实时的、不间断的、全方位的和多方面的联系和联结,会计信息和业务信息可实现集成和同步。企业生产者和经营者直接将生产和经营信息输入会计信息网络,自动进行会计信息处理,形成可以高度共享的网络数据结构系统。会计管理层次减少,一种新的组织结构代替原有的垂直的组织结构,整个会计组织呈现扁平化的趋势。在业务过程高度集中的网络组织中,电子计算机的数据库内汇集了各方面、各种类的会计账目数据,企业各层级人员可随时调取和处理数据,企业管理机构可通过计算机网络信息数据和调节指令,管理企业生产和资金的运动。新的信息化会计系统由此形成。新会计信息系统具有数据、信息生成和处理、企业管理决策和调节政策依凭等多重功能,在企业人财物的流动和企业资金的循环和周转中,实现了销、数据核算和财务监控的一体化管理。企业决策系统的有效实施和运行,日益依赖于会计信息系统的时效性和有用性。
3.会计实务运作方式的转变
过去财务核算要用人工记录数据,造册做账,制定财务报表等一系列运作方式得以完成。在会计信息化系统的基础上,人工操作流程可以大大简化,在基本的凭证数据输入系统之后,过去的许多报表、注册的项目不需保留,因为这些项目可以随时通过网络程序运行得到结果,账簿可以自动生成并显示任意一项会计数据。甚至报表也可以动态自动地生成。由于计算机不仅能够大量存储信息,而且能够及时准确地自动进行数据处理,会计信息的输入和传递方式也发生了变化。企业内部和外部的系统相互联结、沟通,输入的信息数据可以实时共享、共同构建,传统的企业垂直型的学习传递系统,逐步被水平型的信息管理模式所取代。
手工核算时,按照复式记账原则,分别登记总项目账与明细项目账户,为了确保会计信息的真实性,要核对总项目的记录数据同明细项目记录数据的一致性。在计算机处理系统中,除账证核对以外,原来的账账核对、帐表核对,成为不必要的事务,人工操作完全可以省去,有计算机按照一定程序,即可给出账账、账表之间计算的结果。在信息化条件下,会计账簿格式的标准化程度大为提高,账表信息数据的内容也更为复杂、更为适用。会计实务运作方式的转变,使会计的服务对象进一步扩大,服务质量进一步提升。
4.内部控制方式的转变
随着计算机技术推广与普及,在会计管理领域开始广泛会计记账、编制会计报表等方面应用计算机技术,使得会计核算与管理工作真正体现了系统化,极大地提高会计工作的时效性。
一、我国当前会计电算化发展出现的问题
(一)思想认识不全面。其一,有的人觉得实现会计电算化还太早,它不过是一个编制程序的工具,是简单地使用计算机取得以往的手工记账方法,只是会计管理部门的任务等。其二,大部分企业电算化的应用局限于取代手工核算,只是从降低会计工作者的劳动强度、提升成本核算效率等层面角度推行会计电算化,还没有意识到构建完整的会计信息系统对于一个企业的重要作用,导致目前会计提供的会计信息难以及时、准确地服务于企业的正确决策以及管理工作。
(二)会计的基础工作不满足电算化的条件。会计的基础工作是实施好会计电算化的基本保障。计算机处理企业经济业务和各种会计实务问题必须事前设计好的处理方法,主要包括了会计信息的输入、业务处理流程以及相关会计制度均应当标准以及规范化,以此确保会计电算化信息系统有序实施。有的企业会计基础工作很不扎实、全面,进而使得经会计电算化处理的会计信息质量不是非常可靠。
(三)会计人员业务水平较差。当前,有的企业的会计人员对于计算机技术掌握不好,他们只是会使用一些简单的财务软件。而对于计算机的硬件与软件方面的知识了解不多,万一计算机在运行过程发生故障,就无能为力。尽管商家在销售财务软件时均对会计人员开展了专门的培训工作,然而一些会计人员因为理解能力与操作能力都很有限,在上机过程中时常发生操作失误。有的操作失误很可能使得他们大量的工作付之东流,而严重的失误甚至会造成破坏数据的完整性和系统瘫痪。
(四)会计信息系统本身的安全以及保密性比较低。企业的财务数据对于保密性的要求非常高,它对于一个企业的发展关系重大。就当前的软件厂商而言,真正在保密性方面深入研发的厂商少之又。通常所说的加密,也不过是针对软件自身的加密,预防盗版。此外在进入系统的时候设置一些口令、声音监控、指纹识别等技术手段以及设置使用权限措施,无法真正达到保密目的。安全性方面,更加令人担忧,一旦系统崩溃,或遭到病毒袭击,难以复原原有的数据。
(五)电算化会计应用范围受到局限。当前,我们国家的会计电算化工作只是完成了对外报告会计的电算化,内部报告会计并未实现电算化,更非真正意义上的会计电算化。真正意义上的会计电算化应当是对外报告以及内部报告会计的电算化紧密结合。既然对外报告和内部报告会计的数据的来源相同,内部报告会计的电算化就能够采取对外报告会计的电算化供应的数据信息,生成会计报表。但是,因为内部报告会计的标准性以及可操作性均不如对外报告会计,所以,它在企业难以全面推广,这也就造成内部报告会计专业软件研发举步维艰。尽管有部分软件研发厂家已经涉足于ERP软件的研发,但是这项技术还很不成熟,与企业的实际要求差距非常大。
二、会计电算化未来发展趋势的展望
(一)会计电算化得到推广与普及应用,范围广泛的信息网络就可以确立。首先,以计算机取代手工记账的企业将不断增加。如今计算机取代手工记账早已成为企业的自觉性的需求,各个企业实施会计电算化之后,通常在3个月以后大部分均可以完成以计算机取代手工记账。其次,电算化会计信息系统的处理,是一种比较先进的技术,所以具备良好的发展潜力。伴随经济的发展以及电子信息技术的进步,它势必得到推广与普及应用;此外,因网络信息技术的快速发展,大范围广泛的信息网络的建立也是指日可待。
(二)网络财务是会计电算化工作的最终目标。由于企业间的竞争日益激烈,这就要求企业必须加强内部的运营管理工作,向管理要效益,特别是要强化财务管理工作。我们国家的软件研发厂商提出了网络财务的研发战略,使得企业可以进一步顺应时代需求。毫无疑问,网络财务是会计电算化工作的最终目标。网络财务以因特网技术为基础,以财务管理工作为中心,业务和财务管理工作综合化,支持网上贸易,可以完成各类远程操作、以及财务在线管理工作,并且可以处置电子单据以及开展电子货币的结算工作,它是一种新兴的财务管理方式,是网上贸易的关键构成部分。
(三)向管理综合化方面发展。会计电算化仅仅为企业电算化管理工作的一个构成部分,要求有关部门电算化的帮助,网络、信息数据库以及计算机科学的发展也为向管理综合化方面发展提供了技术方面的可能性。从发展方向而言,会计电算化将逐渐和其余相关部门的电算化有机结合,从简单的会计业务的电算化转为财务、统计、管理等综合信息数据库,综合运用会计信息数据的趋势发展。
安全(不良)事件报告没有形成网络上报模式,各家医院采用自己的管理方式,有的采用电话报告,手工记录模式,有的采用网络化上报模式。国外对医疗安全(不良)事件管理信息化实施相对较早,美国早于1987年启动了用药差错事件监测系统,并逐步发展到对医院感染和警讯事件网络监测[6]。英国于2003年建立了国家报告和学习系统(PeportingandLearningSystem,RLS),由专门机构(NationalReportingandLearningService,NPLS)负责实施监测与管理[7]。我国中国医院协会于2009年建立“医疗安全(不良)事件报告系统”,面向全国实现医疗安全(不良)事件的上报。此外,某些医院建立院级医疗安全(不良)事件上报与监测系统。(不良)事件在定义上的不一致、分级标准不一致、管理方式不一、信息系统建设不一致等,均带来了目前医疗安全(不良)事件监测的数据信息标准的不同,尽管军队医院统一采用了“军字一号”,但是各所医院关于医疗安全(不良)事件信息之间存在严重的异构问题,如数据元的名称、定义、数据类型、表达格式和数据元允许值不同等,难以实现在全军层面的统一报告、统一管理,难以保证数据内容的一致性、可比性,难以完成数据的实时交换和相关信息的共享。医疗安全(不良)事件信息标准研究十分必要,建立在信息标准之上的医疗安全(不良)事件上报与管理系统研发迫在眉睫。
医疗安全(不良)事件信息标准的研究
军队医疗安全(不良)事件主题数据集研究医疗安全(不良)事件管理业务活动包括:事件上报、事件处置、事件管理、统计分析、改进评估和信息反馈(图1),这些活动对应信息可以在“军字一号”和其他辅助系统采集,整个流程可以通过医院网络实现,以满足事件及时发现、报告、处置、改进、奖惩等管理项目。围绕医疗安全(不良)事件管理这一主题,根据相关管理活动,设置5个基本数据集,分别是:医疗安全(不良)事件上报的基本数据集、处置基本数据集、奖惩基本数据集、统计分析基本数据集、改进评估基本数据集。信息涉及军人基本信息,以及入出院诊疗服务过程中所有发生影响其安全,造成不良事件的信息,如医疗质量、护理质量、医疗保障、医技辅诊、患者安全、医务人员安全、后勤安全等信息。军队医院医疗安全(不良)事件数据元及其标准化制定数据元标准是实现信息系统集成和数据交换与共享的标准[8]。军队医院医疗安全(不良)事件的上报与管理信息标准化,是建立在管理需求分析,信息系统支持分析之上的,数据元的组织以建立数据元分类框架和编码规则为基础[9]。本研究依据医疗安全(不良)事件各基本数据集,建立满足管理需要的数据元分类,共设置119个数据元(表1)。参照卫生部颁布的数据元描述规范标准,对标准约定的5项22个数据元属性进行裁剪和补充,研究确定11个数据元属性,如标识符、数据元名称、英文名称、简称、同一名称、定义、数据元类型、数据元允许值、表示格式、使用指南、采集方法。对军队医院医疗安全(不良)事件包含的119个数据元进行了规范化描述(图1).
医疗安全(不良)事件上报与管理系统研发与应用
在建立医疗安全(不良)事件信息标准基础上,设计出基于网络管理的医疗安全(不良)事件上报与监控系统(图2),研发出符合本院实际的包括信息采集、不良事件监测、不良事件处理、不良事件数据库和信息平台的医疗安全(不良)事件信息系统(图4-5)。实现了医疗安全(不良)事件的网络上报,依据HIS的不良事件的网络化实时监控,以及不良事件数据挖掘、统计分析,以及对持续改进的评估与反馈。例如:对年度医疗安全(不良)事件报告的科室数据分析(图5)。提高了医疗安全(不良)事件的综合问题分析能力,特别是对医院管理中的系统运行问题、流程问题和质量难点,进行深入分析,为实现医疗质量问题的可视、可控的精确化管理,奠定较好的信息基础[10]。
在军队医院范围内实现医疗安全(不良)事件的上报与管理,需要建立统一的信息标准,本研究根据医院不良事件管理的需要,研究了医疗安全(不良)事件上报与管理主题数据集、数据元标准,并利用HIS和医院信息网络研发了不良事件实时监控与管理系统。本研究结果可以作为军队医疗安全(不良)事件上报与管理的示范。由于本研究是基于一家医院的管理需求,难免对其他医院相关管理有需求考虑不全,有待今后进一步完善补充。
本文作者:姚远刘留宾冯丹刘月辉刘丽华工作单位:北京总医院医疗质量管理控制办公室
关键词:供电系统;计算机;局域网;安全管理
引言
随着信息化建设在各行各业的不断广泛使用, 供电企业的计算机网络建设工程也发展的越来越快,不断引进越来越多的集成化的信息,既然是网络就一定存在其不安全因素,信息泄露的风险随着信息化程度的不断升高变得越来越多。计算机局域网的安全问题,成了供电企业信息化发展过程中的焦点问题。如何保障供电企业计算机局域网工作的正常、安全、可靠运行成为了计算机管理运维人员的工作中的核心任务。
一、县级供电企业的网络安全问题
基于县级供电企业的网络现状和应用系统的普及程度,我们认为现在最可能受到外界或者内部破坏的重要数据信息有五大块,分别是:MIS 系统、用电管理系统、财务管理系统、OA 系统以及单独一块用于原始数据采集的 SCADA 系统等。SCADA系统一旦遭到破坏 ,原始数据将无法采集 ,也无法向服务器传送有用的抽样信息,管理人员也无从了解电网实时数据和原始信息。如果用电管理系统被破坏,所有用电用户的基本信息都不存在,靠人工重新输入信息将浪费大量的人力物力和时间,并且不是全部信息都可以手工恢复的。这对供电企业将造成直接和间接经济损失,引起工作混乱,更进一步波及MIS系统,正常的生产和管理将直接受到影响。MIS 系统由于数据库的开放,为内部或者外部的入侵者开了一个方便之门,他们可以通过内部局域网访问网内的任何一台微机上的信息,并进行破坏,从而让一个子系统或者多个子系统甚至整个MIS 系统陷于瘫痪。OA 系统流转着供电企业的所有办公文档,一旦发生办公系统内部重要数据的丢失和篡改,或者数据库由于各种原因的损坏,正常的工作将受到影响,以至于打乱企业办公。
二、保证电力信息网络安全的措施
(一)多层病毒防御体系
考虑局域网的安全性和网内信息传递的频繁,一旦一台机器感染病毒极易在整个局域网内扩散和传播。如果服务器被感染,其感染文件将成为病毒感染的源头,会迅速从桌面感染发展到整个网络的病毒爆发。 所以在局域网内应布置多平台网络版病毒防护软件。要求防病毒软件具有零度网络管理,可以从局域网中的任意一台工作站派发杀病毒软件程序至整个局域网络的功能,在所有的病毒入口及出口处防护应用系统;保证平台、协议的无关性;保护所有文件、电子邮件、HTML 文档;通过查杀软盘、光盘、可移动硬盘、手提电脑连接、Modem 拨号上网、文件服务器、邮件服务器、Internet 服务器或服务器与Internet 连接的进出,提供全面保护。
由于基层的网络与局域网通过光纤连接在一起,各个应用系统之间有信息传递, 为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,基层网络和局域网有业务关系的单机上安装单机版反病毒系统。这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,既保证了重点网络的安全,又降低了企业在防病毒方面的投资。对防病毒软件要求有全天候的强大的技术支持,可以通过电话、传真、传统邮件、电子邮件在任何需要的时候获取技术支持。如果新病毒出现,公司应立即送出新的杀毒文件。在Internet上应能很容易地获得软件的升级及最新的杀病毒技术。
(二)防火墙保护
防火墙保护是所有连入互联网的企业内部网不可缺少的屏障。由于黑客入侵,系统安全问题尤为突出。采用完善的防火墙,可使计算机充分利用安全的电子手段, 尽可能减少关键数据所面临的危险,为整个网络筑起一道高墙,将黑客及未授权的应用拒于门外。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的通过,不符合的拒绝。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),是非常有效的网络安全技术。它置于两个网络之间,并且具有如下特性:①所有内部对外部的通信都必须通过防火墙,反之亦然;②只有按安全策略所定义的授权,通信才允许通过;③防火墙本身具有抗入侵能力;④防火墙是网络的要塞点,是达到网络安全目的有效手段,因此尽可能将安全措施都集中于这一点上;⑤防火墙可以强化安全策略的实施;⑥防火墙可以记录内、外网络通信时所发生的一切(如果需要的话)。总之,防火墙的存在限制了可能产生的网络安全问题,以免给整个网络带来灾难。由于SCADA 系统网段和其他应用系统之间存在物理上连通,虽然SCADA 系统有一些应用层的安全措施,如口令保护等,但是一些入侵者可以简单地利用网络层和传输层的攻击方法攻击SCADA 系统的服务器。为了保护SCADA 系统,就必须在SCADA 系统与办公网段之间进行严格的访问控制,实现访问控制的简单有效的方法就是在两个系统之间设置防火墙。根据事先制定的安全策略,在防火墙上配置相应访问规则,并对进出两个系统的数据进行检查,非授权的连接不允许通过。为了保护局域网不被来自上级网络及基层网络的非法访问、越权访问或者防止入侵者侵入上级网络后再对局域网进行攻击,有必要在此设置一个访问控制防火墙。通过对特定网段建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。