網絡安全的整改措施范文
時間:2023-09-14 17:49:26
導語:如何才能寫好一篇網絡安全的整改措施,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
結合當前工作需要,的會員“yc450071351”為你整理了這篇內網網絡安全檢查和整改工作的總結范文,希望能給你的學習、工作帶來參考借鑒作用。
【正文】
根據省市財政相關工作要求,我局對本年度網絡安全檢查和整改工作進行了梳理,現將相關情況總結如下:
一、2020年度網絡安全檢查工作組織開展情況
自勒索病毒爆發后,我局主要領導和分管領導高度重視,立即對相關工作作出安排。
1、加強領導,完善制度。根據省市工作要求,我局成立以局黨委書記、局長為組長、分管領導為副組長、相關股室股長為成員的網信領導小組,負責我局網絡安全各項具體工作,結合自身實際,健全完善相關制度。
2、加強網絡安全檢查。在前期勒索病毒排查工作基礎上,我局再次組織技術力量,對局內以及我市各預算單位接入財政網絡的情況開展檢查工作。我市要求所有使用財政內網的單位必須按照網絡安全相關規定和上級要求,所有的終端設備必須做到:
1、所有設備必須內外網分離。
2、所有終端電腦必須設置6位三種符號以上的開機密碼。
3、所有終端電腦必須安裝亞信殺毒軟件。
4、所有設備必須使用有線連接。
5、所有終端除正常辦公需要的軟件外,其它無關軟件全部卸載。
3、加強基礎設施建設。我局機房建設時間長,缺乏網絡安全設備,我局在勒索病毒爆發后立即進行整改,按照省市相關文件和網絡安全等級保護制度制定專業的網絡機房建設方案,已通過招標進行實施。
二、存在的主要問題
通過前期的網絡安全檢查和整改,目前我市所有預算單位已規范接入財政網絡,使用人員的安全防范意識明顯提高,全市財政網絡運行總體較為安全平穩。但仍存在一些問題和薄弱環節,主要表現在以下三方面。
1、制度建設方面。我局雖然制訂了《閬中市財政局網絡安全制度》,但根據中省財政部門的要求,仍存在日常管理操作不規范、未定期對安全管理制度進行更新等問題。
2、安全意識方面。在前期工作中,我局對使用財政網絡的用戶,均進行了網絡安全宣傳教育,但宣傳教育的內容比較片面,沒有細化普及安全知識和培訓相關的防范技能。
3、組織保障方面。我局雖然成立網信領導小組,但由于編制受限,沒有專門的網絡安全技術人員,無法分設系統管理員、安全管理員等崗位。
三、整改措施及計劃
1、強化制度建設。根據《中華人民共和國網絡安全法》和中省制定的各項財政網絡安全規定,建立健全網絡安全和應急處置機制,完善各種制度和文件資料。
2、強化組織保障。短期內通過購買服務方式彌補專業技術力量的不足,中長期通過招考引進專業技術人才和專業技術培訓等方式,加強專業技術力量的配備,解決網絡安全人才短缺的問題。
篇2
【關鍵詞】校園網絡;安全問題;對策
一、校園網絡的安全問題
當前,校園網絡安全問題主要存在以下幾方面:
(1)校園網絡安全軟、硬件基礎設施投入不足,沒有建立一套完善的網絡安全系統,大多數學校網絡安全建設和管理費用短缺,網絡設備更新和維護占據了主要經費支出,而網絡安全方面資金投入明顯不足。大多學校校園網絡沒有建立安全防范系統,安全級別較低。
(2)學校網絡使用環境十分混亂。每個學校都為師生提供了公共上網環境,以方便師生工作和學習。這雖然能夠解決廣大師生網絡使用問題,提高學校信息管理人性化水平,為提高校園信息化水平做出了有益貢獻,但是由于缺乏統一管理和監督,學校內部網絡機房的管理十分混亂,存在嚴重的部門條塊分割管理問題。許多網絡機房管理存在諸多缺陷,計算機用戶沒有采用實名登記,導致公共網絡成為校園網重大安全威脅。
(3)電子郵件系統技術不成熟,疏于安全管理。電子郵件是網絡常用溝通工具,幾乎每個網絡用戶都會使用電子郵件。電子郵件在提升溝通效率的同時,也給校園網絡安全造成了致命威脅,許多計算機病毒、不良信息通過電子郵件肆意傳播和擴散,給網絡信息安全造成了重大威脅。因此,校園網絡安全建設要將電子郵件系統作為重點工作對象來抓。當前,大多數校園采用互聯網免費平臺郵件系統,由于這類郵件系統具有很大的公開性和公用性,其網絡安全防范水平較低,很容易讓不良信息有機可乘。
(4)網絡病毒肆虐,嚴重影響網絡信息安全,各種保密信息不斷遭受泄露和丟失,造成嚴重損失。互聯網絡在方便公眾信息生活的同時,也給社會帶來了嚴重的病毒威脅。隨著網絡不斷普及和推廣,網絡病毒的傳播效率越來越快,病毒潛藏能力不斷提升,對網絡信息安全的危害性日益增大。同時,網絡病毒的存在還擠占了用戶電腦資源,嚴重影響了計算機運行速度;例如前不久發生的“紅色代碼”、“尼姆達”等網絡病毒事件,足以警示我們要加強網絡病毒的防范。病毒防范不能采取單機防備方式,而是要從網絡全局規劃和統籌,統一部署和監控,制定完善的網絡病毒防控體系。
(5)校園工作人員網絡安全意識薄弱,缺乏一條完善的網絡安全管理制度。校園網絡經常會發生非法訪問、盜用賬戶、入侵合法數據庫、竊取軟件信息等問題。此外,通過電子郵件等溝通工具對他人進行詆毀、誣賴的情況時有發生。由于大多數學校沒有制定一套完善的網絡安全管理制度,使得校園面臨上述網絡安全問題的困擾,嚴重干擾了廣大師生正常工作和學習活動。
二、校園網絡安全解決方案
(1)規范出口的管理實施校園網的整體安全架構,必須對原有的網絡架構進行改造,首先需要解決的就是多出口的問題。出口如果不進行規范管理,校園網絡安全體系就無法得以實施。因此,作為校園網絡管理機構必須將所有的校園網絡出口統一管理,嚴禁私自開后門的情況出現,為安全的實施提供最基礎的保障。
(2)配備完整的系統的網絡安全設備校園網絡雖然比較復雜,但從整體技術架構來看,還是屬于局域網范疇,因此,在局域網和外部網絡接口處配置統一的網絡安全控制和監管設備即可將絕大多數外部攻擊拒之門外。另外需要注意的是,校園網絡現在基本上都是高速網絡,因此配置安全設備既要考慮到功能同時也必須考慮性能,將配置安全設備后對網絡性能的影響盡可能的降到最低。據此要求,校園網絡需要配備以下安全設備:高性能的硬件防火墻、旁路監聽型的入侵檢測系統、漏洞掃描系統、安全審計系統、旁路監聽型不良內容過濾系統、覆蓋全校范圍的網絡版防病毒系統、網絡故障檢測以及網絡故障診斷設備。通過配置以上安全產品可以實現對校園網絡進行系統的防護、預警和監控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網絡的故障可以迅速定位并解決。
(3)要在全校實施統一的網絡用戶實名登記制。校園網絡是一種公共使用空間,要化解網絡信息安全問題必須首先解決用戶身份信息登記問題,要將身份認證作為校園網絡安全建設的基礎工作。如果不能對用戶信息進行識別和登記,網絡用戶違規成本降低,就會縱容各種網絡違法行為的發生,加劇校園網絡安全嚴重性。同時在全校實施統一的用戶身份認證制,可以有效提高廣大師生網絡安全意識和自覺性。
(4)嚴格規范上網場所的管理,集中進行監控和管理校園網絡建設從教學科研的角度出發,應該鼓勵建設更多的公眾上網場所,給學校師生提供了解網絡和通過網絡學習、工作的方便。但從安全管理的角度來看,對于眾多上網場所的管理,只有使用統一的機房管理軟件、集中身份認證并且進行集中的管理和監控,才可以有效的保證網絡安全。現在,大多校園內的上網場所管理基本處在“網絡管理孤島”的狀態,大量的上網用戶身份無法鑒別,在這些上網場所的行為也基本上是不受控制的;另外,上網場所采用“還原卡”的方式可以簡化機房管理,但這給安全管理帶來了麻煩。根據有關部門規定,上網場所的上網日志要保存至少三個月。因此,要解決用戶上網身份認證、上網日志保存和查詢的問題,最有效的解決辦法就是采用集中身份認證、集中管理監控的方式,具體來說有以下兩點:①用戶使用網絡首先通過統一的校級身份認證系統確認,非合法用戶無法使用校園網絡,合法用戶上網的行為受到統一的監控,并且上網行為日志集中保存在中心服務器上。這樣既可以不給機房管理增加負擔,同時也可以提供至少三個月以上的日志備查。②由于訪問日志直接傳送到中心監控服務器上,保證了這個記錄的嚴肅性和準確性。
(5)提升電子郵件系統使用安全水平,要采用多種安全技術來提升校園電子郵件系統安全水平,要針對落后的安全技術進行升級改造,保證電子郵件系統安全防護措施滿足校園網絡安全管理需要。此外,要將強校園網絡安全監督和日志管理,對所有不良信息進行過濾和識別。
三、結束語
本文介紹了校園網絡安全建設要點,針對當前校園網絡安全問題提出了有效整改措施,希望本文研究能夠為提升高校校園網絡信息安全水平做出有益貢獻,也期待有更多學者投入到相關研究工作中,切實提高網絡安全技術水平。
篇3
關鍵詞:信息安全 等級保護 信息系統 實施
一、引言
我國信息安全面臨的形勢十分嚴峻,維護國家信息安全的任務非常艱巨、繁重。2007年7月20日,公安部、國務院信息辦等4部門在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”,部署在全國范圍內開展重要信息系統安全等級保護定級工作。實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,對信息系統分級實施保護,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。
下文將討論如何根據《信息系統安全等級保護基本要求》關于等級保護的管理規范和技術標準對新系統實施建設和對原有系統實施改建工作。
二、新建系統的安全等級保護規劃與建設
完成系統定級并確定安全需求后,新建和改建系統就進入了實施前的設計過程。
以往的安全保障體系設計是沒有等級概念的,主要是依據本單位業務特點,結合其他行業或單位實施安全保護的實踐經驗而提出的。當引入等級保護的概念后,系統安全防護設計思路會有所不同:
――由于確定了單位內部代表不同業務類型的若干個信息系統的安全保護等級,在設計思路上應突出對等級較高的信息系統的重點保護。
――安全設計應保證不同保護等級的信息系統能滿足相應等級的保護要求。滿足等級保護要求不意味著各信息系統獨立實施保護,而應本著優化資源配置的原則,合理布局,構建縱深防御體系。
――劃分了不同等級的系統,就存在如何解決等級系統之間的互連問題,因此必須在總體安全設計中規定相應的安全策略。
⒈總體安全設計方法
總體安全設計并非安全等級保護實施過程中必須的執行過程,對于規模較小、構成內容簡單的信息系統,在通過安全需求分析確定了其安全需求后,可以直接進入安全詳細設計。對于有一定規模的信息系統,實施總體安全設計過程。總體安全設計可以按以下步驟實施:
⑴局域網內部抽象處理
一個局域網可能由多個不同等級系統構成,無論局域網內部等級系統有多少,可以將等級相同、安全需求類相同、安全策略一致的系統合并為一個安全域,并將其抽象為一個模型要素,可將之稱為某級安全域。通過抽象處理后,局域網模型可能是由多個級別的安全域互聯構成的模型。
⑵局域網內部安全域之間互聯的抽象處理
根據局域網內部的業務流程、數據交換要求、用戶訪問要求等確定不同級別安全域之間的網絡連接要求,從而對安全域邊界提出安全策略要求和安全措施要求,以實現對安全域邊界的安全保護。
如果任意兩個不同級別的子系統之間有業務流程、數據交換要求、用戶訪問要求等的需要,則認為兩個模型要素之間有連接。通過分析和抽象處理后,局域網內部子系統之間互聯模型如圖1所示。
圖1 局域網內部安全域之間互聯抽象
⑶局域網之間安全域互聯的抽象處理
根據局域網之間的業務流程、數據交換要求、用戶訪問要求等確定局域網之間通過骨干網/城域網的分隔的同級、或不同級別安全域之間的網絡連接要求。
例如,任意兩個級別的安全域之間有業務流程、數據交換要求、用戶訪問要求等的需要,則認為兩個局域網的安全域之間有連接。通過分析和抽象處理后,局域網之間安全域互聯模型如圖2所示。
圖2 局域網之間安全域互聯的抽象
⑷局域網安全域與外部單位互聯的抽象處理
對于與國際互聯網或外部機構/單位有連接或數據交換的信息系統,需要分析這種網絡的連接要求,并進行模型化處理。例如,任意一個級別的安全域,如果這個安全域與外部機構/單位或國際互聯網之間有業務訪問、數據交換等的需要,則認為這個級別的安全域與外部機構/單位或國際互聯網之間有連接。通過分析和抽象處理后,局域網安全域與外部機構/單位或國際互聯網之間互聯模型如圖3所示。
圖3 局域網安全域與外部單位互聯的抽象
⑸安全域內部抽象處理
局域網中不同級別的安全域的規模和復雜程度可能不同,但是每個級別的安全域的構成要素基本一致,即由服務器、工作站和連接它們的網絡設備構成。為了便于分析和處理,將安全域內部抽象為服務器設備(包括存貯設備)、工作站設備和網絡設備這些要素,通過對安全域內部的模型化處理后,對每個安全域內部的關注點將放在服務器設備、工作站設備和網絡設備上,通過對不同級別的安全域中的服務器設備、工作站設備和網絡設備提出安全策略要求和安全措施要求,實現安全域內部的安全保護。通過抽象處理后,每個安全域模型如圖4所示。
圖4 安全域內部抽象
⑹形成信息系統抽象模型
通過對信息系統的分析和抽象處理,最終應形成被分析的信息系統的抽象模型。信息系統抽象模型的表達應包括以下內容:單位的不同局域網絡如何通過骨干網、城域網互聯;每個局域網內最多包含幾個不同級別的安全域;局域網內部不同級別的安全域之間如何連接;不同局域網之間的安全域之間如何連接;局域網內部安全域是否與外部機構/單位或國際互聯網有互聯,等等。
⑺制定總體安全策略
最重要的是制定安全域互連策略,通過限制多點外聯、統一出口既可以達到保護重點、優化配置,也體現了縱深防御的策略思想。
⑻關于等級邊界進行安全控制的規定
針對信息系統等級化抽象模型,根據機構總體安全策略、等級保護基本要求和系統的特殊安全需求,提出不同級別安全域邊界的安全保護策略和安全技術措施。
安全域邊界安全保護策略和安全技術措施提出時要考慮邊界設備共享的情況,如果不同級別的安全域通過同一設備進行邊界保護,這個邊界設備的安全保護策略和安全技術措施要滿足最高級安全域的等級保護要求。
⑼關于各安全域內部的安全控制要求
提出針對信息系統等級化抽象模型,根據機構總體安全策略、等級保護基本要求和系統的特殊安全需求,提出不同級別安全域內部網絡平臺、系統平臺和業務應用的安全保護策略和安全技術措施。
⑽關于等級安全域的管理策略
從全局角度出發,提出單位的總體安全管理框架和總體安全管理策略,對每個等級安全域提出各自的安全管理策略,安全域管理策略繼承單位的總體安全策略。
⒉總體安全設計方案大綱
最后形成的總體方案大綱包括以下內容:信息系統概述,單位信息系統安全保護等級狀況;各等級信息系統的安全需求,信息系統的安全等級保護模型抽象,總體安全策略,信息系統的邊界安全防護策略,信息系統的等級安全域防護策略,信息系統安全管理與安全保障策略。
⒊設計實施方案
實施方案不同于設計方案,實施方案需要根據階段性的建設目標和建設內容將信息系統安全總體設計方案中要求實現的安全策略、安全技術體系結構、安全措施落實到產品功能或物理形態上,提出能夠實現的產品或組件及其具體規范,并將產品功能特征整理成文檔,使得在信息安全產品采購和安全控制開發階段具有依據。實施方案過程如下:
⑴結構框架設計
依據實施項目的建設內容和信息系統的實際情況,給出與總體安全規劃階段的安全體系結構一致的安全實現技術框架,內容包括安全防護的層次、信息安全產品的選擇和使用、等級系統安全域的劃分、IP地址規劃等。
⑵功能要求設計
對安全實現技術框架中使用到的相關信息安全產品,如防火墻、VPN、網閘、認證網關、服務器、網絡防病毒、PKI等提出功能指標要求;對需要開發的安全控制組件,提出功能指標要求。
⑶性能要求設計
對安全實現技術框架中使用到的相關信息安全產品,如防火墻、VPN、網閘、認證網關、服務器、網絡防病毒、PKI等提出性能指標要求;對需要開發的安全控制組件,提出性能指標要求。
⑷部署方案設計
結合信息系統網絡拓撲,以圖示的方式給出安全技術實現框架的實現方式,包括信息安全產品或安全組件的部署位置、連接方式、IP地址分配等;對于需對原有網絡進行調整的,給出網絡調整的圖示方案等。
⑸制定安全策略實現計劃
依據信息系統安全總體方案中提出的安全策略的要求,制定設計和設置信息安全產品或安全組件的安全策略實現計劃。
⑹管理措施實現內容設計
結合系統實際安全管理需要和本次技術建設內容,確定本次安全管理建設的范圍和內容,同時注意與信息系統安全總體方案的一致性。安全管理設計的內容主要考慮:安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。
⑺形成系統建設的安全實施方案
最后形成的系統建設的安全實施方案應包含以下內容:系統建設目標和建設內容、技術實現框架、信息安全產品或組件功能及性能、信息安全產品或組件部署;安全策略和配置;配套的安全管理建設內容;工程實施計劃;項目投資概算。
三、系統改建實施方案設計
與等級保護工作相關的大部分系統是已建成并投入運行的系統,信息系統的安全建設也已完成,因此信息系統的運營使用單位更關心如何找出現有安全防護與相應等級基本要求的差距,如何根據差距分析來設計系統的改建方案,使其能夠指導該系統后期具體的改建工作,逐步達到相應等級系統的保護能力。
⒈確定系統改建的安全需求
第一步,根據信息系統的安全保護等級,參照前述的安全需求分析方法,確定本系統的總的安全需求,包括經過調整的等級保護基本要求和本單位的特殊安全需求。
第二步,由信息系統的運營使用單位自己組織人員或由第三方評估機構采用等級測評方法對信息系統系統安全保護現狀與等級保護基本要求進行符合性評估,得到與相應等級要求的差距項。
第三步,針對滿足特殊安全需求(包括采用高等級的控制措施和采用其他標準的要求)的安全措施進行符合性評估,得到與滿足特殊安全需求的差距項。
⒉差距原因分析
差距項不一定都會作為改建的安全需求,因為存在差距的原因可能有以下幾種情況:
一是整體設計方面的問題,即某些差距項的不滿足是由于該系統在整體的安全策略(包括技術策略和管理策略)設計上存在問題。例如,網絡結構設計不合理,各網絡設備在位置的部署上存在問題,導致某些網絡安全要求沒有正確實現;信息安全的管理策略方向性不明確,導致一些管理要求沒有實現。
二是缺乏相應產品實現安全控制要求。由于安全保護要求都是要落在具體產品、組件的安全功能上,通過對產品的正確選擇和部署滿足相應要求。但在實際中,有些安全要求在系統中并沒有落在具體的產品上。產生這種情況的原因是多方面的,其中目前技術的制約可能是最主要的原因。例如,強制訪問控制,目前在主流的操作系統和數據庫系統上并沒有得到很好的實現。
三是產品沒有得到正確配置。某些安全要求雖然能夠在具體的產品組件上實現,但使用者由于技術能力、安全意識的原因,或出于對系統運行性能影響的考慮等原因,產品沒有得到正確的配置,從而使其相關安全功能沒有得到發揮。例如,登陸口令復雜度檢測沒有啟用、操作系統的審計功能沒有啟用等就是經常出現的情況。
以上情況的分析,只是系統在等級化安全保護上出現差距的主要原因,不同系統有其個性特點,產生差距的原因也不盡相同。
⒊分類處理的改建措施
針對差距出現的種種原因,分析如何采取措施來彌補差距。差距產生的原因不同,采用的整改措施也不同,首先可對改建措施進行分類考慮并針對上述三種情況,主要可從以下幾方面進行:
針對情況一,系統需重新考慮設計網絡拓撲結構,包括安全產品或安全組件的部署位置、連線方式、IP地址分配等。針對安全管理方面的整體策略問題,機構需重新定位安全管理策略、方針,明確機構的信息安全管理工作方向。
針對情況二,將未實現的安全技術要求轉化為相關安全產品的功能/性能指標要求,在適當的物理/邏輯位置對安全產品進行部署。
針對情況三,正確配置產品的相關功能,使其發揮作用。
無論是哪種情況,改建措施的實現都需要將具體的安全要求落到實處,也就是說,應確定在哪些系統組件上實現相應等級安全要求的安全功能。
⒋形成改建措施
篇4
我局始終站在抓安全就是抓穩定,抓安全就是抓發展的高度,把安全工作目標管理責任制納入企業改革、發展和精神文明建設的總體規劃,著力構建黨組統一領導、部門依法監管、單位全面負責、群眾積極參與的格局。局黨組加強領導,提高責任意識,成立了安全生產工作領導小組,由局黨組書記、局長趙時可任組長,局黨組副書記、紀檢組長陳長奇任副組長,黨組的其他成員為領導小組成員,嚴格按照“一崗雙責”的要求,認真履行安全職責,形成主要領導親自抓,分管領導具體抓,全體領導成員齊抓共管的良好局面。局行管處組織協調和抓好日常工作,確保各項工作落實到位。
趙時可局長于2013年年初在全市糧食工作會議上,與黨組其他成員和局屬的各公司級企事業單位的法人代表簽訂了2013年度的安全工作目標管理責任書,把安全生產責任控制指標層層分解,提出工作保證措施的具體要求,明確獎懲辦法。各基層單位均與下屬的基層班組和重要崗位的員工層層簽訂了年度的安全工作目標管理責任書,做到安全責任到崗到人,與責任人的政治榮譽和經濟利益掛鉤。
二、認真貫徹落實市委、市政府、省糧食局和市安監局的工作部署。
今年以來,我局對市委、市政府、省糧食局和市安監局部署的開展“安全生產年”和“責任落實年”活動、企業安全生產標準化建設、汛期安全生產工作、全面排查整治危險化學品和煙花爆竹企業安全隱患、開展安全隱患排查整治及大檢查等工作,均采取召開會議傳達貫徹、轉發文件、開展檢查、督促整改、匯報反饋等措施進行落實。從市局到公司、基層單位、班組層層建立健全安全生產監管體系,對安全生產所必需的資金予以保證。按照安全工作目標管理責任制的有關規定,我局堅持做到每月按時上報《安全生產事故月報表》,每月召開一次以上的安全生產工作會議,每季度開展一次以上的安全生產大檢查,工作開展情況及時向有關部門書面反饋。我局還堅持每季度召開一次防范重特大事故會議,傳達貫徹上級的會議和文件精神,進行安全生產形勢分析,布置當前任務,提出工作要求,并形成會議紀要。局職能部門對各基層單位的安全生產工作做到經常性督查,每半年進行安全生產目標責任制落實情況的小結。年終,局黨組對基層單位年度各項工作指標完成情況組織考核時,把安全生產作為重要內容之一,實行安全生產“一票否決”。
三、開展安全生產大檢查,督促整改隱患
根據安全生產責任制的要求,今年以來糧食系統堅持每季度和節假日期間都開展安全生產檢查。我們還按照季節特點、單位實際和安全管理中發現的突出問題,開展了安全生產隱患排查專項行動、消防安全隱患集中整治行動、糧油倉庫和危險化學品檢查及外租部位隱患排查整改等專項檢查。趙時可局長和陳長奇副書記多次在會上強調各級領導要認清當前安全生產的嚴峻形勢,加強工作責任心,認真做好檢查整改,把事故苗頭消滅在萌芽狀態,確保不發生各類問題。
在“安全生產年”和“責任落實年”活動中,市局領導帶隊下基層進行了安全生產抽查、督促,共計發出整改通知書20份,整改率100%。
今年七月,我局落實防汛責任制,抓好防汛檢查,疏通排洪管網和溝渠,落實防汛減災措施,全市糧食系統共檢查126處,發現隱患42個,投入整改資金8.45萬元,整改38個。
在第四季度開展的安全生產大檢查中,我局在抓好糧食生產經營單位安全大檢查的基礎上,在系統內展開拉網式安全隱患排查整治,市局領導帶隊著重加強對糧庫、辦公場所、在建工程、消防、人員密集場所、出租部位、“三合一”場所、危險化學品使用的監管和檢查,共檢點部位45處,發現隱患36個,發出整改通知書14份,整改率100%。
四、宣傳教育,提高職工的安全意識
為了提高基層領導和專兼職安全管理人員的業務素質,注重教育實效,強化現場安全管理,我局針對安全生產管理中發現的薄弱環節,于11月2日在嶺頭培訓中心我局在市糧食購銷公司嶺頭培訓中心會議室舉辦了市糧食系統2013年安全生產培訓班,各單位的分管領導和安全部門的負責同志約50人參加。陳長奇副書記組織與會同志學習了《安全生產法》和國務院第165次、173次常務會議精神,并針對我市糧食系統安全生產工作的重點部位、存在問題、整改措施和安全檢查的主要任務、形式、方法以及事故報告制度做了專題講座,提高了企業領導干部的安全意識和安全管理技能。
局屬各單位也舉辦了形式多樣的安全生產宣傳教育活動。如市糧食批發交易市場新增滅火器192多個,在“119”消防宣傳日,組織了以“全民消防,生命至上”為主題的消防實地演練活動,全體職工及部分經營戶共計70余人到場,現場講解火災逃生技巧,現場演示如何使用滅火器、消防水槍等;市糧食購銷公司、市面粉公司等也組織了火災警示教育、演練,形式生動活潑,增強了干部職工的消防技能和自救知識。
篇5
(一)健全組織管理體系,建立科技風險管理三道防線。安徽省分行成立由行長任組長、分管副行長及各部門負責人參加的信息化建設領導小組及信息安全應急領導小組,制定議事程序,確立工作步驟,審議信息科技重大決策事項及信息科技風險管理、信息安全管理工作。領導小組每季度召開一次會議,對信息化建設工作進行決策、安排和部署。立足于可持續發展戰略,安徽省分行提出了“全面風險管理、全程風險管理、全員風險管理”的管理目標,建立了信息科技風險管理的三道防線。第一道防線由信息科技部門組成,負責生產運行、應用研發、科技管理、信息安全等工作。第二道防線成立由信息科技部門和風險管理部門牽頭,其他部門共同參與的風險管控平臺。依托風險管控平臺,通過檢查、評測和監控及時發現科技工作中的風險隱患,組織召開風險例會,研究制定整改措施、整改方案,結合工作實際制定信息科技風險管理制度和規范。第三道防線由內部審計部門組成,主要職責是對信息科技工作進行專項審計。
(二)推動制度體系建設,構筑安全生產生命線。多年來,安徽省分行每年都對信息科技制度和技術規范進行修訂,對現有信息科技制度體系進行評估,對信息科技制度體系架構進行梳理,逐步建立了制度、實施細則及技術規范三層架構的制度體系。形成了《信息科技制度匯編》,共包括38個科技管理辦法、16個實施細則、9項技術規范,在全行范圍內印發執行,有效指導了信息化建設和風險管理工作的開展。為了保持制度的嚴肅性,使基層分支行操作人員嚴格執行制度,省分行加強制度執行力建設,采取檢查、監控及違規積分等措施,確保制度落地,形成人人“重制度,守制度”良好工作氛圍。
(三)完善技術體系建設,提升技術防范能力1.建設高標準機房。2009年到2011年期間,率先啟動省、市、縣三級機房達標工程改造,共投入2000萬元用于轄內66個機構機房的建設和改造,機構覆蓋面達到90%以上。機房建設突出了“高可用、高可靠、易管理、前瞻性”的理念,對供電、防雷、消防、空調、裝飾系統進行了全面改造,為信息系統安全運行提供了可靠的物理保障。2.健全后備供電保障體系。2012年,利用有限的固定資產指標,為全轄所有市級分行配置了功率在20KVA以上的UPS,為60個縣支行配置了10KVA的UPS;在3個新建辦公樓機構建設了市電雙回路供電、7個行自備發電機;11個行與電力公司、電信或聯通等公司簽訂應急供電協議。形成了UPS、發電機、雙回路供電、移動發電車等多重供電安全保障。3.建立功能完善的監控系統。省、市分行統一建立了機房預警監控系統(包括網絡預警監控系統和機房動力環境監控系統),實現對機房物理環境、重要設備、網絡設備、數據鏈路、業務系統進行實時監測及預警。系統采用分級監控方式,本級行不僅可以監控自身機房及信息系統運行情況,還可以實時監控到轄內行情況,實現科技風險監測的縱橫結合,提升風險預警與防控能力。4.構建高效安全的網絡體系。基層行成立不久,就實現了分網運行,根據業務種類、服務范圍等分為生產網、辦公網和監控網,針對不同的網絡采用不同的安全控制策略;在網絡線路上,采用三家運營商多線路、互為熱備方式實現網絡通訊的高可靠性;結合不同的應用分別采取了防火墻、入侵檢測、內外網隔離等技術防范手段,確保網絡安全。5.部署防病毒系統。部署了覆蓋全行的計算機病毒防治系統,支持防病毒軟件的統一管理和升級,有效防止病毒轉播與蔓延。6.建立省分行級的異地災備中心。通過在異地機房內架設EMC存儲,使用現有網絡在非工作時段進行數據復制,解決了重要數據異地災備問題。同時在存儲中劃分一定的空間供二級分行使用,也解決了二級分行重要數據異地存儲的難題。經過演練測試驗證,災備系統運行穩定,能夠有效地保障數據安全。
(四)加強信息系統應急管理,保持業務連續性省分行嚴格按照《中國農業發展銀行信息系統突發事件應急管理辦法》要求,成立相應組織,切實履行職責,在全轄范圍內每年都組織一次應急演練。2013年僅在網絡應急演練中,就模擬了6個場景,模擬突發網絡故障情況108種,驗證演練數據1638項。通過把演練工作做實做細,使得一些潛在的隱患得以暴露,強化了各級行對突發事件的響應和處置能力。此外還以應急演練為抓手,引入PDCA(策劃-實施-檢查-改進)持續改進機制,不斷完善應急預案及應急物資儲備。在演練策劃階段,針對已有的和潛在的信息科技風險因素進行充分的評估,有重點地制定演練方案;實施階段實時跟蹤監測各類信息科技風險因素的產生和變化,適時調整信息科技風險應對策略和措施;檢查階段對演練情況展開具體分析,對業務具體造成的影響、潛在風險、變化情況等進行收集整理,作為修訂完善應急預案的依據;在改進階段及時修正、完善應急演練預案。通過對應急演練持續改進,大大降低了信息科技風險事件的影響和損失,有效維持業務的不間斷運營。
二、基層行信息科技風險管理工作面臨的挑戰
(一)信息科技風險管理意識及能力尚需提高。一是部分基層行領導存在重業務發展重業務風險防范,輕信息科技建設輕信息科技風險防范的現象,致使科技風險管理不到位。二是一線操作人員風險意識淡薄,認為信息科技風險是信息科技部門的事,與己無關。對移動存儲設備使用、IC卡管理、密碼管理等安全管理規定置若罔聞,非常容易產生操作風險。三是信息科技人員缺乏科技風險管理方面專業系統的培訓,風險管理知識及經驗不足,風險識別、風險評估、風險處置能力不強。
(二)信息科技風險管理制度還需完善。一是信息科技管理制度還不夠完善。比如現有的制度在電子設備采購、管理、報廢等方面進行了規范,但在設備選型、設備更換、固定資產指標使用等方面缺乏統一規定,部分機構出現設備老化、設備帶病工作、設備兼容性差等情況。二是內部管控制度不健全。目前對信息科技風險審計能力不足,缺乏信息科技風險的有效監管。審計部門只對信息科技資產進行審計,缺乏必要的技術力量和技術方法對信息科技風險及信息科技人員行為進行審計。信息科技部門既是運動員,又是裁判員,不能形成有效的制衡機制。三是制度執行不到位。由于基層行信息科技人員不足,技術力量薄弱,科技部門重要崗位缺乏備份人員,內部崗位之間缺乏制約,影響某些規章制度有效落實。
(三)信息安全技術保障體系需進一步提升。一是技術安全標準和技術規范不夠全面,在風險預警、評估、處置等方面存在漏洞。二是在終端安全、網絡準入控制、網絡分區等方面技術手段不足,既增加人力維護成本,又極易產生信息科技安全隱患。三是IT服務外包需進一步規范,在外包合同簽訂、外包人員管理、服務質量的監督等方面需加強監管,在努力提高服務水平的同時,最大限度地保護信息安全。
三、基層行信息科技風險治理展望
(一)加強內控制度建設,鞏固三道防線。內控管理是一項長期而重要的工作,基層行應緊密結合現有業務流程,以完善管理機制、建立健全制度體系為主線,不斷優化現有信息系統,提高信息系統基礎設施的服務保障能力。信息科技風險雖然體現在信息系統的運行操作環節,但往往涉及業務流程和操作模式的合理性、業務需求的質量等眾多方面,防范信息科技風險必須綜合考慮業務需求制定、項目實施、軟件開發、基礎設施建設、運行維護管理等不同環節的各種因素,由業務主管部門、科技管理部門和審計部門協同工作,才能起到事半功倍的效果。各基層行首先應充分認識信息科技安全的緊迫性和重要性,明確信息科技風險管理目標,落實信息科技風險管理責任制,將信息科技風險納入自身的總體風險框架,筑起第一道“思想”防線;其次,在加強信息安全監督、自查力度的同時,還應定期組織轄內信息科技風險的專項檢查,對于日常經營管理和生產運行中發現的操作風險隱患,建立信息系統風險持續跟進機制,及時消除風險隱患,堅守第二道“監查”防線;此外,還應明確業務部門責任,將科技風險管理納入到業務部門日常管理,設立專門的IT審計團隊,培養專業的IT審計人才,對信息科技風險進行評估,督促整改,構建“以查帶審,以審促查”的第三道防線。
(二)重在預防,完善信息風險防控體系。一是建立信息風險監控平臺,通過對現有各類生產系統、監控系統中的可疑數據進行跟蹤與分析,從而有效地對信息科技風險進行預警、評估、處置。平臺采用實時預警和T+1分析相結合的方式,對于風險程度高、要求響應速度快的風險點,依托短信平臺、郵件系統在最短時間內給出預警;對于日常操作和行為信息,采用T+1分析的方式,通過事后追查、責任落實來規避風險。二是完善信息科技風險評估制度,嚴格控制對應用項目外包、軟硬件產品和相關服務外包的風險,建立對外包服務商、產品供應商的信息科技風險的評估機制,實現對第三方全過程的跟蹤管理,防范外包服務的實施風險。三是實施風險管理的全覆蓋。將全省人員按照省、市、縣三級組織實施分級管理,一級管一級,實現從上到下、從省到縣的逐級有序結構,使科技工作風險管控的觸角延伸到每一個人、每一臺計算機、每一項業務。
(三)強化保障體系,持續推動業務連續性管理。首先,應嚴格執行機房值班制度,每日巡查機房,確保將安全隱患消滅于萌芽之中。其次,還應加強后備電源、備品備件的管理,落實各二級分行機房的第二供電保障渠道,有條件的行采用雙回路供電,沒有改造條件的自備發電機,對重要設備還應采取熱備或冷備的方式,消除單點故障隱患。再次,研發推廣桌面(終端)安全系統,包含內網準入、補丁分發、病毒庫升級和主動防御等功能,從源頭防范,確保網絡安全。此外,還必須未雨綢繆,及時修訂應急預案,做好業務連續性規劃、業務恢復機制、風險化解和轉移措施、數據備份方案等多方面的工作,并加強災備演練,以保障在突如其來的災難性事故面前能從容應對,迅速恢復生產,盡可能降低事故造成的損失。
篇6
關鍵詞:網站;安全;檢測;防范;維護;
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)27-6472-03
Web Site Safety Prevention Tips
WANG Zhao-lin
(Office of Human Resources and Social Security of Anhui Province Information Center,Hefei 230061,China)
Abstract: Whether corporate website or personal Web site,Website security is a very important aspect,Because site security problems may cause your Web site credibility, flow, profit, and even political influence。Web sites were brought by black hung horses,Website content has been tampered,The proliferation of viruses, user information leakage problems can bring to the site of catastrophe,Web site security testing and security maintenance is a very important work。Experience in security work through a Web site here, divided into several parts to talk about website security construction and management practices。In practical work, ensure that the site’s normal application.
Key words: website; safe; check; guard; maintain
筆者常常收到上級部門的《關于加強網站安全防護的通知》和網絡與信息安全情況通報,使得我們對網站安全認識進一步提高,對一般網站的安全隱患進行了認真細致的分析,積極研究整改措施,并對網站進行了全面監測,保證了網站的安全運行。
1網站安全防范做法
1.1認真組織系統自查
1)充分認識加強網絡安全管理工作的重要性
領導要高度重視,組織相關部門認真學習《網站安全的工作方案》,要求通過全面的安全檢查,及時掌握網站的安全現狀和面臨的威脅,認真查找隱患,堵塞安全漏洞,完善安全措施,保障網站安全、穩定、高效運行。
2)對照檢查內容,逐條進行檢查
在規定的時間內,我院按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,從網站內容、網站安全體系和管理制度三個方面對網站進行了自查。
3)網站運行和內容方面。
①網站服務器安全。指派專人負責網站的日常運行與維護,確保網站正常運行。②不斷完善網上服務功能,并安排專人對數據進行核查,確保數據準確性。③在網站內容方面,明確相關責任人對相應欄目的內容更新,及時各類網站信息。四是安排多人上班時間讀網,發現錯鏈、斷鏈現象及時糾正。
4)安全防范措施方面。①網站已配備了硬件防火墻,有一定的防攻擊、防病毒等硬件防護措施。②通過與有關技術支持商合作,加強網站的安全防護能力。③利用熱備份和后臺密碼分級管理等手段,提高數據安全性。
5)管理制度方面。①建立了網上信息審核和保密審核制度,凡上傳網站的信息,須經領導審查簽字后方可。②與有關技術支持商明確了各方的職責與分工,并建全落實服務器管理、網站管理數據管理等各項規章制度。③投入必須服務經費,保證網站的安全和順利運行。
1.2網站硬件防護策略
網站系統網絡拓撲結構如圖1。
圖1
1)前端安全設備型號。防火墻:聯想網御PV1408、IPS:聯想網御IPS 630、網絡防篡改:中軟華泰
2)服務器信息。應用服務器:IBM X3850、操作系統:Windows 2008 standard 64bit、數據庫服務器:IBM X3850、操作系統:RHAS 5.4
3)網站系統的前端安全設備有防火墻和入侵防護設備以及網絡防篡改設備,可提供對網站的日常安全的保護功能。同時,應用方面數據庫和應用程序分離,數據庫不提供對外服務可降低安全的隱患。
1.3加強網站安全設備使用
網站部署在兩臺服務器上,一臺存放服務,一臺存放數據庫,采用雙機互相備份的方式及時的備份數據。整個大的網絡環境內部署了一想網御PV1428防火墻和一想網御IPS630,并且針對門戶網站還專門配置了中軟華泰的網站防護系統,可以實現“網站防病毒”、“網站防篡改”、“網站防入侵”的目的。
主要功能如下:
1)執行程序可信度量。通過可信度量技術,對系統中要啟動的執行程序進行真實性和完整性度量,禁止不符合預期的程序啟動。通過上述機制,實現了網站服務器對于病毒、木馬、攻擊程序等惡意代碼自免疫,彌補了殺毒軟件的滯后性問題。
2)程序安裝控制。控制程序安裝行為,禁止非法的程序安裝行為。
3)可信代碼防篡改。對于信任程序的實時保護,禁止任何的破壞和非法修改行為。
4)網頁防篡改保護。在系統底層利用文件過濾驅動技術,實時監控受保護的WEB目錄,實施嚴格的強制訪問控制,禁止對受保護的WEB目錄進行任何非法操作,從源頭上杜絕網頁非法篡改行為的發生。
5)重要資源寫保護控制。對存放在服務器中的重要數據進行實時防篡改保護,禁止非法的篡改行為。
6)防SQL注入攻擊。過濾含有SQL注入關鍵字的數據包,從而起到防SQL注入的效果。
7)防跨站腳本攻擊。過濾含有跨站腳本關鍵字的數據包,從而起到防跨站腳本攻擊的效果。
8)抗黑客掃描:阻止惡意攻擊者的掃描行為,保護服務器的敏感信息。
9)SSL終止:終止SSL安全連接,對數據流進行解碼,檢查明文格式是否含有惡意的流量。
網站工作人員定期對服務器系統進行漏洞掃描、安裝補丁、系統升級,每個月做一次獨立的網站數據備份,確保門戶網站安全暢通運行。
1.4注重網站漏洞修復
經常更新系統軟件,堵塞系統漏洞;比如:JBoss中間件漏洞修復;針對檢測的安全隱患,我們認真分析了出現安全隱患的原因,并積極進行了整改,具體的修復方案及措施如下:
1)JBoss中間件存在非授權訪問漏洞。
解決方案:我們采取的解決方案是在jboss目錄下的server/default/deploy/jmx-console.war/WEB-INF/web.xml文件中增加了httpmethod>HEAD以降低威脅。
2)JBoss中間件的status頁面可匿名訪問。
解決方案:注銷了/ROOT.war/WEB-INF/web.xml文件下的
3)JBoss中間件的web-console頁面可匿名訪問。
解決方案:
(1)找到jboss目錄下的/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml,去掉security-domain>java:/ jaas/web-console的注釋。
(2)找到jboss目錄下的
/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml ,去掉部分的注釋。
(3)修改jobss目錄下的server/default/conf/login-config.xml,設置登錄web-console的用戶名和角色。
(4)CVS Web Repository開發工具信息泄露。
解決方案:刪除了CVS Web Repository開發工具的文件。
在今后的工作中,我們將更加重視網站安全工作,嚴格貫徹落實上級有關文件精神,積極采取有力措施,進一步做好網站安全工作。
1.5加強內部數據的管理及監督
網站內部數據關系到用戶的個人基本信息,不管是什么類型的網站都擁有用戶,還有相應的程序員、技術員、管理員、編輯員等等,而加強對這些人員的管理管理,對網站的數據保護至關重要;作為簡單有效的安全措施,口令一直是身份管理普遍采用的方式。網絡接入、電子郵件和Web服務使口令得到了廣泛的應用,口令的安全問題開始被人們關注。我們知道,口令的安全與它的長度和復雜度息息相關,越長越復雜的口令越不容易被黑客破解,但是這樣的口令卻難于記憶。通過建立密碼、口令管理制度來保證安全;1)對于要求設定密碼和口令的用戶,由用戶方指定負責人與系統管理員商定密碼及口令,由系統管理員登記并請用戶負責人確認(簽字或電話通知),之后系統管理員設定密碼及口令,并保存用戶檔案。2)當用戶由于責任人更換或忘記密碼、口令時要求查詢密碼、口令或要求更換密碼及口令的情況下,需向網絡服務管理部門提交申請單,有部門負責人或系統管理員核實后,履行規定的手續,并對用戶檔案做更新記載。3)如果網絡提供用戶自我更新密碼及口令的功能,用戶應自己定期更換密碼及口令,并設專人負責保密和維護工作。要加強網站數據和相關用戶行為的審計,確保數據不丟失、不泄露,確保用戶口令保密、行為安全可靠。
2結論
篇7
諾頓事件如同一記重拳,將眾人
的信息安全意識猛然擊醒。信息安全最顯著的特點是“出現的問題越大,受重視程度越高”,最顯著的成效是“受重視程度越高,出問題的概率越小”。顯然,在當今信息技術廣泛應用,網絡影響力日益增強的時代,信息安全的風險因受到各類威脅而不斷增長。隨著新技術、新應用越來越多,新風險、新問題也將越來越多。2013年,我國信息安全產品的規模已較2012年度增長了21.68%,而未來兩年該規模總量還將出現翻番。作為保障信息安全重要手段之一的檢測與評估工作,必然顯得越來越重要。
專業檢測是信息安全可靠性認定的“首選措施”
信息安全測試與評估(簡稱:信息安全測評)是對信息安全模塊、產品和信息系統的安全性等進行測試、驗證、評價和定級,以明確其安全特性。一般而言,信息安全測評的重點是安全產品的專項性能和信息系統的安全狀態。在實際測評過程中,通常從技術與管理兩個方面進行,同時對內部風險和外部風險進行確認和衡量,有針對性地提出抵御威脅的安全防護對策和整改措施,從而最大限度地確保不出現安全問題或少出現安全問題,努力減少因安全問題而造成的經濟損失和負面影響。早在20世紀80年代,美、英、德、法等西方國家紛紛制定了本國的信息安全評測認證制度,并積極開展測評認證標準領域的合作。經過近20年的努力,終于在1999年形成了既考慮共同的技術基礎,又兼顧各國信息安全主權的國際化標準,即信息技術安全性評估準則(Common Criteria,簡稱CC),CC中的安全要求分為安全功能和安全保證兩大類。1997年,我國開始組織有關單位跟蹤CC發展,并著手制定對應的國家標準,2001年開始正式實施我國的信息安全標準GB/T18336,此后不斷豐富和完善相關標準規范。
當前,社會各界對網絡安全、系統安全、信息安全的依賴性越來越大,對信息安全測評工作的要求越來越高。整體形勢呈現三個特點:一是信息安全的影響力日漸增強。2012年我國IT消費達到1.8萬億,云計算、物聯網、移動互聯網、IPV6、智能終端等網絡新技術應用范圍和服務內容不斷豐富擴大,信息安全成為重點關注內容;二是網絡技術軍事化應用傾向明顯。計算機病毒、高能電磁脈沖、網絡嗅控和攻擊、內網無線注入、微波炸彈等技術成為未來網絡作戰武器,各國網絡備戰步步升級,也成為國際合作與斗爭的重要內容;三是黑客攻擊竊密風險長期存在。我國電腦病毒的感染率高達67%以上,監測發現木馬控制端IP中有49.8%位于境外,美國稱85.7%以上的聯網工業設備存在軟硬件漏洞,出現在政府、軍工、金融等重要信息基礎設施和關鍵信息系統的惡性攻擊和信息竊取事件層出不窮。無疑,組織信息安全測評是確保信息系統建設與應用安全的首選措施。
當前信息安全測評的“主要壓力”和“實施難點”
信息安全所面臨的巨大壓力已傳遞到安全測評領域
據國家互聯網應急中心(CNCERT)統計:北京、廣東、上海等互聯網發達地區受黑客攻擊的竊密數量排名靠前。據中研普華研究表明,與全球信息安全市場相比,我國信息安全行業正處于快速成長期。2006年至2010年,年均復合增長率為18.62%。
信息安全保障服務面臨著三大壓力:一是技術和服務能力壓力。因新技術和新應用發展極其迅速,技術隱患和管理漏洞并存現象較普遍,僅2012年發現技術漏洞總數達6萬個,年度上升達11%以上;新增病毒樣本6.9億個,掛馬頁面92萬個,釣魚網站12.4萬個;安全產品除傳統的防火墻、IDS/IPS、防病毒等產品外,UTM、WEB安全、安全審計、信息加密、身份認證等需求日益增大,NGFW(下一代防火墻)、云計算、移動終端等安全產品相繼涌現,對測評的技術手段和適用性要求越來越高。二是人才和執業資質壓力。信息安全市場高速增長,近三年我國信息安全專業技術人員數量增長40%,信息安全企業資產總額增長36.2%,信息安全服務業務合同值增長255%;信息安全人才十分緊缺,薪酬指數遠領先于其它傳統行業。對測評機構和測評人員而言,必須擁有多項授權資質,有時一項工程必須同時滿足多個管理部門的要求和規定;對從業人員的學習能力要求很高,經常培訓、經常考證成為必然,具有“經驗積累型”加“學習提升型”的職業特點。三是發展模式和能力提升壓力。當前,我國信息安全測評機構總體上有三種編制、五種類型,由于信息安全測評需要的是“學習提升型”+“經驗積累型”人才,需要一種“技術發展不鈍化,人員穩定不僵化”的生態環境,上述各種編制和類型各有特色和千秋,實現融合發展、創新發展是當務之急,即在穩定的前提下確保較強的活力顯得尤為重要!
當前信息安全服務保障的難點持續涌現
國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。信息安全領域面臨的挑戰主要來自于兩個方面:一方面是電子信息產業的創新發展帶來應用技術的不斷推陳出新;另一方面是應用模式不斷創新發展,熱點轉換頻率快,出現應接不暇、不斷淘汰的格局。
信息安全的難點問題主要有四大類:一是對信息泄漏、信息污染等問題的控制和防范,對未經授權信息流出、信息泄漏增添侵權風險,信息污染積累潛在危害等,需要及時發現和堵漏處置;二是對某些組織、某些人出于特殊目的,利用網絡進行信息滲透和攻擊等惡意破壞行為的防范和反擊;三是隨著社會高度信息化,重要信息基礎設施、核心控制系統等安全邊界復雜,尤其是虛擬化應用增多,在惡意行為屢禁不止的情況下,國家利益、社會公共利益、各類主體合法權益面臨更大風險和威脅;四是隨著網絡泛在化、跨界應用普遍化,隨之帶來控制權分散等管理問題,在信息資源管理體系上出現了較多脫節和真空地帶,從而使信息安全問題變得更加廣泛而復雜。因此,信息安全保障能力與信息化應用創新同步發展極為重要,絕不可顧此失彼。
測評領域已成為信息安全“矛”與“盾”的競技場
據中研普華稱,中國(大陸及臺灣)是被全球威脅相關流量攻擊最甚的國家。信息安全測評需求與信息系統應用中的安全需求是正向對應關系,必然上演“矛”與“盾”絞殺戰。目前主要有:一是檢測移動設備的安全隱患。移動通信已成為辦公、商務、社交的有效手段和熱門途徑,且種類繁多而操作系統多樣,據Check Point調研,68%用戶認為安全事故增加與移動通信發展趨勢有關,這已成為防范黑客盜取信息及敏感數據的重要領域。二是檢測QR碼被惡意利用的漏洞。許多零售商和廣告商將使用QR作為時髦的推廣手段,尤其是使用手機掃描二維條形碼,黑客們可借機將用戶轉到一個惡意鏈接、文件或程序上。三是檢測Botnets(僵尸網絡)“綁架”計算機威脅。通過一種或多種傳播手段,用 bot程序(僵尸程序)病毒感染和控制大量主機,實施非法訪問、盜竊數據、啟動拒絕服務(Dos)攻擊或散布垃圾郵件的侵權行為,必須通過測評發現風險、填補漏洞、進行有效防范。四是識別無線路由器組網漏洞。去年,有多款無線路由器被曝存在重大安全漏洞,因無線路由器組網非常隱性,一旦被黑客攻入不易被發現,需增強相關技術檢測手段和被侵入的識別監控能力。五是識別虛擬化、云應用、BYOD隱患。此類應用故障較難判斷、檢測維護復雜,比如,云應用集中了大量數據信息,一旦云服務器遭到入侵或損壞,危害極其嚴重,各終端只能“叫天天不應”了;BYOD(攜帶自己設備辦公)讓人在機場、酒店、咖啡廳等非辦公室地點,通過WLAN也能登錄公司郵箱和業務系統,實現在線辦公,當然外來人員借此潛入網絡的可能性也增大了,非常考驗識別和防范應用漏洞與風險的能力。六是監測重要系統應用中出現的漏洞。系統應用時的負載場景、執行效率、資源占用和兼容性、安全性等狀態處于變化當中,需要對重要系統的應用過程進行必要的監測,及時發現安全漏洞和隱患,把安全事故消滅在萌芽當中。
我國信息安全測評需要進一步規范和強化
多國信息安全測評認證體系(ICCC)表明,規范管理是迅速發展的重要基礎。縱觀美國、英國、德國、法國、芬蘭、瑞典、西班牙和日本、韓國等國家,非常重視建設信息安全測評認證體系,測評工作得到有力推進。其體系建設的共同特點是:有一個測評認證管理協調組織;有一個測評認證實體;有多個技術檢測機構。而且,各國政府為適應信息化時代國際競爭的新形勢,有條件的進行互認也是各國參與國際化和維護自主權的務實選擇。在我國,近年來新增了眾多從事信息安全測評的機構和單位,尤其是執行信息安全等級保護、分級保護以來,信息系統使用單位普遍由專業機構依據管理規范和技術標準實施信息安全測評。
下一步,為適應信息安全測評業務的迅速發展,有必要在三個方面進一步規范和強化:一是規范和強化測評機構與人員管理。避免追求數量而忽視質量,要扎實推進測評機構職業道德、業務素養和服務能力的全面建設,規范實施人員的各類測評活動,確保公正、公平、權威的測評結果;二是規范和強化測評能力建設。打破測評機構因編制和類型差異造成的局限和隔閡,著眼于國家安全大局,配合組織技術培訓和業務交流,力爭顯著提升測評機構、人員的技術能力和業務水平,以適應當今信息安全形勢發展;三是規范和強化新的信息安全測評觀——四個統一。系統應用與安全保障存在著有效性和性價比的問題,既要兼顧信息系統的適用性,也要強調安全測評的合規性,筆者認為應使兩者有機統一,需要樹立新的信息安全測評觀,即綜合考慮測評對象的應用模式、技術架構、安全措施、制度建設四個方面的優化及有機統一,要破除只盯技術和管理兩個部分的片面導向,推動建設“業務應用便捷簡化、安全測評嚴謹細化、風險評估持續深化、制度建設不斷強化”多角度覆蓋的新型信息安全測評保障格局。
作者:蔣力群 來源:信息化建設 2014年6期
篇8
一、工作目標
全面落實《學校安全工作管理規定》,積極開展“安全文明校園”、“交通安全學校”和“等級食堂”的創建工作,不斷提高學校安全管理水平。做到無重大火災、爆炸、重大交通安全、集體急性中毒、踩踏、坍塌等各類學校安全事故。
二、主要工作
1、加強安全教育和培訓,努力提高安全意識和自我防范能力
深入開展學生安全教育活動。各教學班班主任要利用班會課經常對學生進行各方面的安全教育。讓“安全”二字深深地刻在他們幼小的心里,懂得哪些行為是安全的,哪些行為是不安全的,達到他們行為的規范化。任課教師,不管是什么課(包括室內室外課),都要對學生的安全負責,要堅守崗位,保護學生的人生安全。若需要做實驗,教師實驗要規范,把安全問題考慮周全。
經常利用集中學習時間,認真組織全體教師、職工,特別是班主任學習有關學校安全的法律法規、常見事故的預防和突發事件的處置及用水、用火、用電等安全等安全知識。要加強對職工遵守學校安全管理制度和本崗位操作規程的教育培訓,提高他們的責任意識和保護能力。每學期要組織全體學生開展一次緊急疏散、逃生自救演練,增強全體教職工和學生應對突發事件的能力。
2、不斷完善學校安全管理規章制度,全面落實安全管理工作責任制。
學校領導全面抓,分管領導具體抓,發現安全隱患,要及時安排后勤人員和督促相關人員排除。
牢固確立校長是學校安全管理的第一責任人,對學校安全管理工作負總責的意識。把學校安全管理列入學校日常工作的重要議題,定期研究、分析安全工作形勢,及時處理安全工作中存在的突出問題,落實整改措施。逐級簽訂安全管理目標責任書,不斷完善安全工作目標管理辦法,加強對各部門、教職員工安全管理工作的考核,落實獎懲措施。今年,教育局將安全管理工作列入學校辦學質量綜合評估的考核內容。
制定和完善突發事故應急預案。嚴格執行“市教育系統重大問題報告制度”和責任追究制度。及時上報并協助查處各類事故,認真做好事故善后處理工作。對每一起事故,都要按照“四不放過”(即事故原因沒有查清不放過,事故責任者沒有嚴肅處理不放過,廣大職工沒有受到教育不放過,防范措施沒有落實不放過)的要求處理。
經常開展安全檢查和隱患排查活動,認真執行每月一次、開學、放假前以及惡劣天氣前后的安全檢查制度,及時消除各類不安全因素。全面排大危險源,落實重大危險源監控措施,并登記建檔,定期進行檢測、檢驗、安全評價,制定并實施應急預案,消除各類安全隱患。
3、注重設施設備的投入,確保安全管理的各項活動和措施落實到位
在注意教育性投入的同時注意安全設施設備的投入,將安全教育、培訓、活動的經費列入學校支出預算。按規定配足學校門衛,完善和規范學校消防、防盜、防暴等各類安全設施設備,為確保學校安全提供物質保障。學校重點單位,如實驗室、閱覽室、電腦教室、實物保管室、隊部室和各辦公室,由相關人員督促檢查,發現問題及時排除,不能排除的要及時報告有關領導。
4、深入開展專項整治,切實提高安全管理的實效
(2)消防安全專項整治:一要重點加強對寄宿制學校、民工子弟學校的消防安全檢查;二要切實加強對學生宿舍、食堂等學生集中場所疏散通道的整治,確保疏散暢通;三要加強對消防設施、設備的檢查,確保完好齊全。
三、安全工作崗位責任及分工:
(一)組織與制度:
1.建立安全工作領導管理機構,構建學校安全管理網絡健全。
2.制訂本年度安全工作計劃和安全工作預案。
3.制訂安全管理工作各項制度
(二)宣傳教育:
1.結合各種活動,開展安全有關法律法規政策宣傳教育的工作。
2.綜合學科教學,滲透安全知識教育,使安全教育內容真正進課堂。(責任人:各教師)
(三)飲食安全:
1.規范學校食品衛生管理,嚴防學校群體性疾患的發生,衛生保健制度落實。
2.加強學校飲用水的管理,專人負責,定期檢測,確保安全。
3.學校不允許過期、變質食品進入校園。
4.高度重視傳染病的防治工作,堅持學生定期體檢制度。
(四)交通安全
1.接送學生的車輛必須符合公安、交警部門的安全標準,嚴格禁止無證、無牌、無安全保障的車輛接送學生,并落實相應制度
2.開展中小學生交通安全知識教育、小學生交通安全小黃帽活動,學校邀請交通部門有關人員來校對學生進行交通安全講座。增強學生交通安全意識,有效減少交通事故。
(五)校舍安全
1.學校的校舍應符合國家有關安全規定。及消防、衛生、規劃、建設等各種標準。校內在建工程落實嚴格的安全措施,應逐步治理危房,破舊房。
2.校舍安全的定期勘檢檢查,經縣級以上主管部門鑒定的危房,立即制定修繕計劃和方案,盡快修繕、加固或拆建、新建或封閉停用。發現危險校舍、建筑物、構筑應當采取相應的措施,并向主管部門和當地政府報告,限期解決。
3.消防安全工作:學校建筑物必須按照現行有關消防技術規范要求設置疏散樓梯,做到不鎖閉、不封堵、不占用,
4.經常檢查電器設備和消防設施,發現損壞應及時維修、更換。
(六)活動安全:
1、杜絕學生課間奔跑,打鬧現象。
2、總務處做好安全檢查工作,定期對教室以及消防設施進行檢查,對廚房、電腦室進行重點監控,確保學生用電,用水以及其他方面不存在安全隱患。
3、杜絕學生攜帶刀具,棍棒,爆炸品等物品進入學校。
4、結合安全教育周、119消防日、禁毒宣傳教育及放學前“一分鐘教育”等活動,對師生進行交通安全、消防安全、人身安全、危害等多方面教育。
5.學校組織師生參加各種集體外出活動,都必須制訂相應的安全防范措施和安全預案,確定安全負責人,并報教育行政部門批準。
6.春游、秋游活動必須堅持“安全、就近、就地、徒步”的原則,嚴格實施審批制度安全教育不到位,安全措施不落實,安全工作無保障,不得組織春游、秋游。
7.學校活動前,應對活動場所進行安全檢查。
8.組織學生參加加強集體勞動時,要進行勞動安全教育、組織紀律教育,并做好勞動保護。
(七)教學安全:
1.經常檢查教學場地、器材和其它教育教學設施,
2.禁止病、弱及身體不適者參加體育競賽和體育課的劇烈活動。做好運動安全保護措施。
3.實驗室要加強化學藥品和其他危險品的管理,易燃易爆、放射性、劇毒物品要按照公安、消防、衛生等部門的規定嚴格管理,健全安全操作規程,實驗指導師要對實驗全過程進行安全指導和管理。
4.做好上課期間安全工作,建立班級點名制。嚴禁教師中途離開教室或放任自流,加強教師安全意識。
5.利用班隊課、晨會課等時間對學生進行網絡安全教育,提高學生抵制網絡文化中的腐朽、消極和不良內容的能力。
6.提倡學生盡量不要去網吧上網,上網要做有意義的事。
(八)師生心理健康和心理安全教育
1.加強師德教育和教師心理調適工作,學校教職員工要自覺遵守社會公德和職業道德,嚴禁教師歧視、侮辱、體罰或變相體罰學生。
2.加強心理健康教育師資的配備、心理健康教育活動課的開設,努力減輕學生學業負擔和心理負擔,幫助學生克服各種心理壓力,防止和減少學生因心理疾病而發生的傷害事故。
篇9
【關鍵詞】供電所;信息化;管理;創新
一、前言
作為供電所運營過程中的重要工作,對其信息化管理進行創新有著關鍵價值。該項課題的研究,將會更好地提升供電所信息化管理創新的實踐水平,從而有效優化供電所的整體服務效果。本文從介紹其信息化現狀著手本課題的研究。
二、供電所信息化發展現狀
1.目前大部分的供電所在信息系統建設及集成應用方面,系統設計缺乏統一的規劃和目標,信息系統之間分散,關聯性不強,存在“信息孤島”的現象。從這方面來看,目前大部分的供電所基本沒有實現“統一規劃、標準統一、系統集成”的信息化建設目標。
2.各個信息子系統之間是完全隔離的,缺乏數據信息的交換機制,整體系統服務水平落后。這就導致電力企業的各個信息子系統對于整體的業務處理和統計分析的參考價值不大,實際操作困難,不利于電力企業業務處理、信息資源的整合分析、利用,嚴重降低了供電所信息系統的處理效率。
3.供電所業務工作處理流程不夠明確、細致、規范、統一,降低了信息系統的工作效率。目前的業務信息系統存在處理流程模糊,繁瑣等情況,難以實現電力企業業務處理的規范化操作。
三、供電所信息化發展的主要特點
電力行業信息化建設是傳統管理方式的重要發展,原有的供電所管理理念已經不適應當今供電所的發展。供電所要想在新的時代有巨大的發展,就必須更新管理理念,提高管理水平。
1.供電所信息化觀念不強
我國供電所受計劃經濟影響較深,在經營管理中,企業以安全生產為主,忽略了管理提高效益的指導思想。供電所過度注重生產,把生產當成企業的命脈,而且在生產中,過度強調安全性,把工作放在維持穩定上,而不重視企業發展。
2.企業信息化投入較少
我國供電所總資產很多,但是,在基礎設施投入上,個別企業較低。供電所信息化建設沒有得到充分的重視。我國供電所中有超過一半的企業沒有對企業信息化進行投資,對信息技術研究和設備投入不及時不準確。發達國家的信息化投資水平較高,我國在這方面沒有得到充分的認知。供電所信息化建設是真正提高企業整體水平的關鍵,如果做不好這項工作,將嚴重影響企業發展。
3.信息化使企業協調統一
我國供電所一直處于統一管理的形式,國家對企業實現直線約束,實行國家級管理、省級管理、地方管理三級管理,而各個地域之間的差別是很大,在一個省內還有多種管理方式。供電所信息化讓企業的各級管理實現縱向和橫向的雙重管理。能及時發現企業的優勢和存在的問題,企業就可以根據數據分析,對企業現狀有一個明確的認識。在市場競爭中,就可以適時調整策略,隨著變換生產經營方式。
四、信息化運作模式
運行維護工作應與系統監測、現場巡視結合開展。系統采集用戶、線路、變壓器電流、電壓數據,自動反映線路某段線路重、過載、電流不平衡、電壓低、停電等,并發出預警工單。運維人員根據系統發出的預警工單進行現場核實后,制訂相應的整改措施、實施計劃。大型維修或維護計劃應及時上報,由上級領導統籌處理;小型維護、調整電流不平衡、故障急修則可以由供電所直接處理。對于外部發現的缺陷,可以利用現有方式及時錄入外部缺陷處理系統,做到快速定位問題,及時消缺、搶修,更好地實現“預防為主”的目標,提高維護效率。
通過用戶系統定位準確反映有多少用戶供電半徑超距離、用戶密度過大。運維無法解決的線路瓶頸無法通過改造解決以及變壓器重、過載等問題都可以通過預警工單反映出來,及時獲得規劃儲備項目,促進基建落實,減少盲目建設,提高群眾滿意度。
營銷抄核收工作需依靠普通低壓用戶信息化布點,直接實現所有客戶的遠程集抄,大大提高抄表效率。通過系統及時反饋客戶表計是否存在異常。如有異常,則應及時更換處理,從而有效減輕核算工作壓力,降低因電表異常引起的低壓線損。通過不同電流、電壓檢測儀之間的數據核算,及時發現線路段落之間的線損異常情況,并發出預警工單;分析是否存在線路老化或區間表計異常,及時發現問題,及時處理,提高表計管理效率。在收費方面,可以結合預付費表計的推廣,加強收費管理。比如,信譽不佳的客戶可以通過直接預付費表計預付電費后用電。出現停電時,可以通過遠程控制復電。預付費的用戶如果出現電費超期,則可以通過系統直接遠程停電,待用戶繳費后恢復遠程控制,大大減輕了催費壓力。
實現業擴輔助報裝。每個客戶來到營業廳辦理業務,系統能直接定位辦理業務的用戶地點,方便業擴人員勘查現場、處理業務,節省業擴報裝耗時,提升服務質量;同時,系統還能直接反映整個基層供電所運作的狀況,有利于決策者及時制訂合理的解決措施,降低務虛工作不切實際的可能性,做到有的放矢,提高勞動效率。預測經過信息化改造后,供電所人均管理戶數可提升至2000戶以上。如果此舉實施得當,可以大大降低配電網的生產成本,提高供電所的經濟回報率。
五、供電所信息化管理的創新實施策略
1.加強電力信息安全穩定性的評價及控制
保證電力信息安全穩定運行,應采用有效的方法及時評測與控制,防患于未然。如基于風險的暫態穩定評估方法,首先對評估系統的暫態安全風險逐個元件進行分析,然后綜合給出相應的風險值,供電力人員參考分析,做出正確決策。這種評估方法不僅可以分析穩定概率性,也可以定量地分析失穩事件的嚴重性,即事故對系統所造成后果的定性分析。它能有效地把穩定性和經濟性很好地聯系在一起,給出系統暫態穩定風險的指標,并在一定程度上提高輸電線路的傳輸極限,這將有利于增加社會效益。
2.加強電力信息網絡安全教育意識
安全意識和相關技能的教育是電力企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略,并且安全教育應當定期的、持續的進行。在電力企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
3.加強電力行業硬實力功底
所謂電力行業硬實力功底,主要指充分了解電力行業現行發展新狀況、新技術和新資源等,及時了解行業動態,扎實掌握相關技術,作到出現問題有的放矢。應加強技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。
六、結束語
綜上所述,加強對供電所信息化管理創新的研究分析,對于供電所服務質量的提升有著十分重要的意義,因此在今后的實踐中,應該加強對信息化管理創新的重視程度,并注重具體實施策略的可行性與科學性。
參考文獻:
[1] 王建設.電力企業信息化的建設與管理初探[J].電力信息化.2012(02):90-92.
篇10
關鍵詞:支付系統;城市處理中心;CCPC
中圖分類號:F832.31 文獻標識碼:B 文章編號:1007-4392(2011)09-0048-05
一、中國現代化支付城市處理中心(CCPC)現狀分析
(一)CCPC定義及發展現狀
人民銀行中國現代化支付系統由兩級節點構成,第一級為國家處理中心(NPC),第二級為32個省級城市處理中心(CCPC)。中國現代化支付系統城市處理中心(CCPC)上接國家處理中心(簡稱NPC),下聯商業銀行前置機系統(簡稱MBFE)、中央銀行會計集中核算系統(簡稱ABS)、國家金庫會計核算系統(簡稱TBS),處于支付系統的中間環節,擔負著金融機構跨行資金運轉的重任,是國家重要的金融基礎設施,是國民經濟的大動脈(見圖1)。
隨著金融電子信息化建設的加快發展,支付清算系統加快了系統升級改造和更新換代的步伐。2002年大額支付系統試點成功上線以來,小額批量支付系統、境內外幣支付系統、支票影像交換系統、支付管理信息系統、電子商業匯票系統、網上支付跨行清算系統共7大系統陸續在線運行。這些業務系統的陸續上線運行一方面適應和滿足了金融、經濟和社會建設發展的需求,一方面隨著各種用戶及其需求的不斷增加和擴大,對系統應用的要求也越來越高,特別是系統運行時間實現了7×24小時全天候不間斷運行。履行好維護支付清算系統正常運行的職責,確保系統的安全穩定運行,顯得越來越重要。
(二)CCPC業務現狀
以天津CCPC為例,天津CCPC現有大額、小額、支票影像、PMIS、電票、網銀6大系統。近年來,隨著天津市經濟快速發展,不斷有新的參與者加入,各系統業務量也呈現不斷增長趨勢。天津CCPC支付系統直接參與者48家,間接參與者1587家,2010年大額支付系統共處理業務968.5983萬筆,金額25.49萬億元,分別比2009年增長15.58%和33.32%(見圖2)。
2010年全年小額支付系統共處理業務396.69萬包、745.18萬筆,金額1,628.7億元,分別比2009年同期增長52.41%、52.61%和29.56%(見圖3)。
2010年全國支票影像交換系統共處理全國業務560,657筆,金額346.21億元,分別比去年增長-3.24%和12.23%。
2010年度小額支付系統收到查詢業務5177筆,大額支付系統收到查詢業務105,028筆。影像系統收到查詢業務373條,回復率均為100%。
(三)CCPC安全管理現狀
近年來各CCPC逐步完成各自的核心設備更新改造,改造后的CCPC安全運行能力大大增強。在設備安全方面,采用雙機冗余熱備,基本避免了由于設備單點故障引起的系統故障。在信息安全方面,大小額支付系統采用密押機制;全國支票影像交換系統采用數字證書;信息傳輸采用網絡加密技術,有力保障了支付業務數據的安全。在網絡安全方面,部署邊界防火墻,通過訪問控制技術保證系統的訪問安全;部署入侵檢測系統,提高網絡的抗攻擊能力。在安全制度方面,清算總中心先后制定并下發了《中國人民銀行清算總中心支付清算系統運行維護細則》、《中國現代化支付系統運行管理辦法》、《中國人民銀行清算總中心支付清算系統城市處理中心巡檢工作管理規定》、《CCPC日常維護操作指南》等一系列管理規定、辦法,其中對CCPC的人員崗位設置、業務操作、系統維護、信息安全管理、機房環境管理、變更、故障處理及技術支持、日常檢查以及定期巡檢等方面都做出了詳細的規定要求,各地CCPC也根據自己的實際制定了嚴格的內控安全管理制度和業務技術操作規程。在嚴格按照規程檢查、維護下,支付系統的持續穩定運行為各地經濟發展提供了強有力的支撐。
目前,隨著支付清算系統的建設發展,CCPC面臨著七大業務系統并行、系統結構越來越復雜、運行風險較高的現實問題。CCPC作為系統的運行管理者,如何加強CCPC管理,有效控制系統運行風險,保障支付系統安全穩定運行,是急待解決的問題,必須引起重視。
二、CCPC管理存在的問題
(一)資金清算問題
由于各行內部管理模式、計劃資金額度授信不同,資金調度速度差別較大,不足支付的業務進行日間排隊處理。但有的參與者因資金延緩支付,導致日間清算業務排隊、日終清算窗口開啟的現象,或者有的參與者日終不能及時籌措資金而使支付業務被退回,從而降低了社會資金的周轉速度,造成了支付風險,影響現代化支付系統安全穩定運行與支付系統的社會公信力。
(二)查詢查復問題
規范、準確和及時處理支付系統查詢查復業務是確保匯劃資金安全、系統高效運行的有力保障。如果查復行沒有對查詢進行及時查復,將會大大影響資金的及時清算。而在實際工作中,超期未查復的現象時有發生,傳統上CCPC需要手工定期、定時檢查未查復業務,電話提醒查復行進行查復,這在一定程度上降低了查詢查復工作的效率,影響支付系統的高效率運行。
(三)災備體系不完備
CCPC 災難備份系統尚未建立。雖然國家處理中心NPC 已經建立了災難備份系統,但目前各地城市處理中心CCPC 尚未建立能夠快速有效實時接管CCPC的災難備份系統。各省轄內支付清算系統尚未建立有效的應對系統突發事件的應急處置機制。
(四)CA系統不完善
CA事件監控系統是由CA公司開發、清算總中心部署,在各CCPC有效監控支付系統,包括服務器主機設備硬件、應用程序、部分網絡系統以及數據庫等,涵蓋大部分日常運行參數,并可能對系統異常事件提供報警的視窗化實時報警檢測系統。目前CA事件監控系統已經覆蓋了包括大、小額支付系統、影像交換系統在內的絕大部分系統,是必不可少的全時維護工具。但CA事件監控仍然存在一些功能上的不完善,對支付系統的維護工作帶來一些不利的影響。
第一,該系統不能對系統資源的使用情況等提供深入的監控與分析,導致會對支付系統業務正常運行造成影響的安全隱患無法及時預警。第二,監控報警存在延時,且報警方式單一。一般系統中存在異常警告或錯誤信息后,往往會在30分鐘左右后,報警信息才會出現在CA監控界面中。CA事件監控系統的報警只是單一的屏幕提示和短信通知,沒有聲音、圖像等更加直觀的方式提醒技術人員。因此,日常維護中,CCPC不能僅依賴CA事件監控系統,而應按清算總中心要求,定時在主機上以人工方式例行檢查。
(五)主機硬件設備的綁定依賴性
長期以來,包括大、小額支付系統、影像系統在內的支付系統服務器主機一直使用IBM品牌產品,網絡設備如交換機、路由器等則是使用CISCO品牌產品。作為國際知名品牌IBM和CISCO,無論是從產品質量、售后服務還是技術支持在業內都是處于領先地位。但由于國外品牌硬件產品內部底層加密保護運行機制的未知性以及設備核心技術的保密性,很難確保那些保存在設備主機中的、隨支付交易流動的數據的安全性。支付系統作為人民幣業務系統的大平臺和國家金融系統的重要組成部分,如果長期在生產系統運行中無法擺脫對國外品牌設備的依賴性,則必然會形成對系統的安全患。
(六)安全管理機構缺失
系統運維要求規定,各地清算中心都應設置安全管理主管崗,并配備兩名安全管理員。但由于目前清算中心人員配備緊張,大部分人員都配備在運行、維護崗,很難成立專門主管安全的科室,一般安全管理員都由其他崗位人員兼任,人員配備緊張導致代崗或一人多崗。此外,安全管理員所應具備的技能沒有明確的規定,并缺乏專業的培訓,實際中,對安全管理職責的履行還存在一定的困難。
三、創新CCPC管理的手段與方法
為提高CCPC運維水平,向直接參與者提供低成本高效率的業務處理和監管服務,全方位保障支付系統安全穩定運行,天津分行清算中心依托信息化優勢,結合工作實際,創新管理手段,改進管理方法。2007年創新性地將“短信平臺”應用到支付系統運維體系中,通過與各直接參與者的短信互動切實、有效地對參與者實施監管并提供服務。2009年開發“支付清算綜合服務系統”,可對天津清算中心的日常技術維護、值班日志、綜合管理、業務數據統計、信息等進行信息處理,有效提高CCPC辦公自動化水平及業務服務水平。2010開發了“支付清算運行監控管理系統”,很大程度上提高了查詢查復率,解決了常期困擾CCPC管理中的查詢查復這一難題。2011年開發“城市處理中心操作終端遠程備份系統”,做為對建立完善災難備份系統的初步嘗試,實現了對支付系統客戶端的遠程管理控制。
(一)短信平臺
短信平臺是CCPC與各金融機構之間業務聯動、信息溝通的信息化載體;是面向支付系統各直接參與者業務信息、通知公告的站點。它實質是向各直接參與者提供“短信監管服務平臺”,通過該平臺,可以超越時間、空間的限制,實現點對點、7×24小時、即時性的溝通與互動。一方面CCPC可以根據業務需要通過短信群發、定時短信提醒等方式系統運行問題、公告提示;另一方面則可以通過這一系統隨時查詢,了解各家直接參與者的意見、建議和要求,從而有效地解決了以往由于各參與者數目眾多且分散而造成的管理程序繁雜、信息傳達不及時、不對稱等一系列問題,從根本上提高了工作效率,降低了溝通成本。因此,短信平臺的搭建與開通,是天津分行清算中心不斷拓寬思路,依托短信平臺實現監管服務、健全運維手段的又一創新。
(二)支付清算綜合服務系統
支付清算綜合服務系統是天津清算中心為加強對支付清算系統的運行管理和服務,提高辦公自動化水平,依托網絡技術和信息處理技術開發的清算中心綜合服務系統。該系統包含MBFE服務子系統、人民銀行支付清算子系統、基礎知識子系統、支付清算風險防范子系統、清算中心服務子系統五大系統。該系統將各種運維日志、檢查情況、統計報表、審批材料、學習資料分別整理上傳,形成了一個管理清晰且高度共享的信息庫。一方面實現了日常運維工作的信息網絡化和管理無紙化,解決了CCPC日常運維工作事件繁鎖、過程文檔多、事后查閱不便的難題;另一方面實現對CCPC業務流程的實時管理與連續監控,便于領導及時掌握工作情況,從源頭上預防、減少差錯事故的發生與危害。
(三)支付清算運行監控管理系統
為提高支付系統的查詢查復率,天津CCPC開發“支付清算運行監控管理系統”。該系統包含對查詢查復業務、排隊業務、退回申請及止付申請的監控、提醒統計及考核統計等。通過對大、小額系統查詢查復信息的后臺監控來發現未查復業務,并對查復行自動短信提醒。這樣一方面節省了人力,另一方面確保了未查復信息的及時發現,大大提高了查復行的查復效率。使用該系統以后,各直接參與者的查復工作更加及時,2010年度小額支付系統收到查詢業務5177筆,大額支付系統收到查詢業務105,028筆,回復率均為100%。
(四)城市處理中心操作終端遠程備份系統
天津CCPC探索建立了城市處理中心操作終端遠程備份系統,即在現有系統基礎上增加一組遠程操作終端。在遭受地震等自然災害威脅或發生突發公共衛生事件,支付系統終端監控機房無法提供持續、正常工作條件,而支付系統主機房及主機、終端仍可以正常使用時,就可以在經分行應急領導小組批準同意后,將支付系統客戶端監控管理切換到位于異地(塘沽中心支行)的遠程監控管理環境,業務運行及技術維護人員進行遠程實際操作,有效保證支付系統的正常運行。天津CCPC終端遠程備份系統能夠快速有效接管CCPC的業務運行管理,并可作為異地CCPC的災難備份系統之一。可作為各地CCPC支付清算系統應對系統突發事件多了一種有效的應急處置手段。
四、加強CCPC管理對策與建議
(一)采取先進的管理手段,杜絕清算窗口的開啟
1.建議實施資金預報制,嚴格頭寸管理。應當要求各直接參與者的資金管理部門安排專人負責監管頭寸,并加強頭寸的預測管理。由專人收集歷史數據,了解日常資金流量規律,把握資金流量大的分支行和重點客戶,有針對性地進行資金監控。尤其是重點時段16:00以后的大額緊急支付,例如資金額度在5000萬以上的要向所屬CCPC一筆一報。這樣CCPC的對資金頭寸的管理由被動變主動,從很大成效上杜絕了清算窗口的開啟。
2.與商業銀行簽訂公約,實施資金拆借與劃撥。建議人民銀行支付管理部門與支付系統的直接參與者簽訂資金拆借公約,在清算窗口時間內,若某一商業銀行(拆借方)清算賬戶因存在資金缺口而導致當日必須清算的業務無法正常清算時,可使用另一商業銀行(被拆借方)在當地人民銀行開立的支付系統清算賬戶進行資金拆借,執行比同業拆借利率較高利率予以償還。其中,人民銀行負責強行拆借資金的受托成交、資金清算和對拆借資金的監督管理。
2011年,人民銀行天津分行經與各支付系統直接參與者協商一致,訂立了《天津市金融機構臨時頭寸資金拆借參與公約》。公約規定,參與簽約的銀行業金融機構按照本公約約定的拆借原則進行臨時頭寸資金拆借和清算賬戶資金的劃撥。對于因日常經營不善,資金流動性監測、控制、管理不到位,致使一年中累計使用三次以上清算賬戶同業拆借的拆入方,由人民銀行給予警告、通報、對清算賬戶實施控制直至取消其支付系統參與者資格的行政處罰。公約執行后,各直接參與者密切關注日間排隊業務情況,有效避免了日終清算窗口開啟的現象。
(二)建制度立機制,推動查詢查復工作
CCPC作為系統的運行管理者,應當要求各直接參與者從思想上高度重視跨行支付系統查詢查復業務,堅決貫徹執行“有疑必查,有查必復、復必詳盡、切實處理”的原則,進一步加強監督管理力度,層層把關,責任到人,由專人負責在每日營業開始后,對本行查詢查復情況進行監控落實,堅決杜絕“查而不復、查而遲復”的現象發生。
一是建議建立查詢查復管理員制度和聯絡員備案制度。CCPC要加大對支付系統查詢查復人員的管理力度,查詢查復聯絡員要切實承擔工作職責,CCPC可利用電話或短信平臺通知商業銀行,若未能及時辦理查復,將受到懲罰。二是建立支付系統查詢查復考核機制。將查詢查復率列入對商業銀行考核的一項重要指標,鼓勵商業銀行在支付系統查詢查復業務管理上的創新,對于取得突出成績或經驗,在考核中予以加分并向轄內各直接參與者推廣。
(三)加強應急管理,做好災備系統建設
一是要加強應急管理相關制度建設。隨著支付清算系統的發展,新系統的掛接不斷增加,結合新系統,不斷修訂完善應急預案,增強預案的可操作性。二是加強應急演練工作。提高應急演練的質量和效率,不斷提高支付清算系統應對突發事件的處置能力。三是完善CCPC災備系統建設。由于NPC已經建立了災難備份系統及CCPC集中備份系統,建議各地CCPC以“快速切換、不間斷運行”為目標,采用建設同城異地災備網絡轉接中心的方式,在不增加過多投入的同時,最大限度地保障支付系統的運行安全與穩定。
(四)完善CA監控系統功能,加強系統風險防范
一是應該減少報警延時時間,“實時監控”的要素即是及時,支付系統隨時都在發送大量的業務數據,如果無法達到實時的要求,會增大支付系統的運行風險。二是應當加大對系統資源以及運行參數方面的深入細化分析,進而更好地保障支付系統的持續穩定良好運行。
(五)加大自主品牌研發力度,擺脫設備依賴性
近年來,我國自主品牌的硬件設備隨其自身技術的不斷發展和制作工藝的逐步完善,其硬件設備運行穩定性大大增強,基本可以勝任金融城市處理中心的需要。可以適當加大購買采用國內自主品牌產品的比率,逐步擺脫對國外品牌主機硬件設備的綁定依賴性。
(六)強化安全組織結構建設,配備專職人員隊伍
建議從總中心一級設立安全管理部,各清算中心設立相應的安全管理科室,逐步建立起一套自上而下的安全管理組織機構。調整業務、技術人員結構比例,配備相應的安全主管,提高其分析、查找和解決異常問題的能力,形成一支運維本領過硬的支付系統安全管理人員隊伍。
(七)暢通運維協調機制,加強對參與者的管理
首先,CCPC要加強對各直接參與者的考核。建議制定對轄內各直接參與者的考核制度和辦法,與各直接參與者簽訂安全管理責任狀,明確參與者責任,由各地清算中心負責督促和協調。
其次,各地CCPC可參考總中心對各CCPC的巡檢、自檢制度,依據總行頒發的原則性制度和辦法,對各直接參與者制定具體的檢查制度和標準,每季度開展巡檢或抽檢工作。一方面要檢查MBFE的運行維護制度落實情況,從制度上保障支付系統的安全;另一方面要檢查運維問題、人員配備及安全隱患。對存在的問題嚴肅追究責任人,督促其制定整改措施并落實到位,謹防重檢查、輕整改的現象發生。
最后,CCPC加強對商業銀行的培訓和業務指導力度。CCPC要定期組織各金融機構開展相關維護、運行、安全方面的相關培訓,提高商業銀行日常業務能力和故障處理能力。當下級節點(ABS、TBS、MBFE)出現問題時,應立即向CCPC報告,CCPC力求在最短的時間內給出解決方案,并指導下級節點迅速排除故障。CCPC也應主動通過下行線路監控系統隨時查看下級節點連接情況、資金清算情況,如有問題及時溝通,要求各參與者及時解決,并將處理結果反饋到CCPC。
參考文獻:
[1]熊立群、譚卡吉,《支付系統運行維護管理探討》,《支付清算》,2011,第6期。
[2]段志田,《第二代支付系統‘一點對接’與支付清算體系的變革》,《支付清算》,2010,第11期。
[3]堵秋瑩,《關于我國支付結算系統現狀及問題分析》,《法制與社會》,2007,第9期。
