網絡安全管理實施細則范文
時間:2023-12-15 17:34:04
導語:如何才能寫好一篇網絡安全管理實施細則,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2012)78-0202-02
隨機信息技術的發展以及互聯網的廣泛應用,計算機網網絡已經成為人們生活中不可或缺的一部分了,而伴隨著網絡的發展,計算機網網絡安全管理一些不足也逐漸暴露出來,引起了專家、學者以及社會各界的共同關注,成為計算機網網絡新時代關注的熱點話題。只有維護好我國計算機網網絡安全管理,執行相應的安全管理措施,才能顯著的提高網絡的性能,保證網絡的健康、飛速發展。因此,加大對計算機網網絡安全管理的討論以及研究,具有十分重要的理論以及現實意義。
1 計算機網網絡安全管理的內涵
廣義的計算機網網絡安全管理是指保證計算機所有信息完整、真實、可靠、可用以及可控性,使得信息能夠得到安全的利用。狹義的計算機網網絡安全管理,是采取各種措施,確保網絡、信息、系統資源以及計算機安全,避免人力以及各種外力侵害導致正常運行受阻情況的發生,其主要內容包括加密、路由器安全、協議安全、用戶的身份認證、訪問控制、服務器以及服務器安全機制等,基本特征為網絡信息的可控性以及信息的保密以及完整性。
2 計算機網網絡安全管理的現狀
盡管部分計算機網網絡安全管理問題已經得到了重視,但是由于計算機網絡瞬息萬變以及各種因素的影響,目前計算機網網絡安全管理中仍然存在許多問題。
第一,計算機網網絡安全管理制度問題。由于網絡安全管理技術知識要求很高,我國目前并沒有充分重視制度以及法規的制定,或者法規比較落后,已經與當代情況不相適應,或者即使有新的制度但是只局限于比較形式化的規定,沒有詳細的實施細則,因此很多時候在實踐中沒有相應的法律法規作為支持,沒有做到有法可依。
第二,計算機網網絡安全管理技術問題。目前計算機網絡安全管理存在一些技術上的盲點以及漏洞,使得很多不法分子有威脅網絡安全的切入點,主要包括病毒的入侵、木馬程序的潛伏、不正當手段介入網絡、高頻率信息的干擾等。
第三,外力侵害。我國很多的網吧、機房不具備抵御外界侵害的能力,主要外界侵害包括自然的災禍以及周圍環境侵害等,自然的災禍指的是自然的災禍,如雷電、洪澇災害、火災、電磁泄露等;周圍環境侵害包括斷電引起數據、設備損害問題和噪音問題導致的數據高誤碼率等。
第四,用戶意識不高。很多用戶在進行計算機網絡使用的時候,沒有足夠的網絡安全意識,對于密碼、權限、口令等私密的東西沒有保護好,隨意泄露,或者沒有及時修補一些網絡漏洞和補丁,黑客可以找到攻擊點。
除此以外,還存在網絡安全技術人員素質不足、監管不到位等問題
3 改進計算機網網絡安全管理對策
針對目前存在的計算機網網絡安全管理問題,提出了以下對策。
第一,為了改進計算機網網絡安全管理,要加強用戶網絡安全管理意識。對于密碼、權限、口令等比較隱私的東西,用戶要保護好,不要隨意泄露,對于網絡漏洞和補丁,要做到及時修補,不要給有心人有機可乘的機會,進行數據備份,防止突發意外事故發生之后,數據的丟失,保持數據完整性,做到能夠及時恢復系統,減少延誤損失;
第二,為了改進計算機網網絡安全管理,要加強自然等各種外力侵害的防范。在網吧以及機房等公共場所,首先要安裝空調,控制室內溫度以及濕度,防止溫度以及濕度過高,造成網絡癱瘓。其次要裝好相應的防止雷擊的措施,多進行建筑檢測,尤其注重電源、網絡傳輸線等的防范措施,最后是防火措施要做好。各種裝修材料有可能的話,盡量選擇防火的,保持室內通風,放置好防火器等設施;
第三,為了改進計算機網網絡安全管理,要加強計算機網網絡安全管理技術問題的研究,管理人員要及時更新病毒數據庫,強化對病毒的檢測以及清除,加強防火墻的建設,發揮防火墻的作用,做到限制服務訪問、防止無權限的外部網的入侵、統計相應的網絡流量并進行適時限流等,進行網絡入侵檢測,一旦發生這些情況要及時的制止。要加強檢測、掃描以及評估漏洞,減小安全隱患;
第四,為了改進計算機網網絡安全管理,要加強對網絡安全管理制度的建立和完善。要完善已有的計算機網網絡安全管理制度,對一些過于形式化的網絡安全管理制度,要縮小范圍,提出其操作的細則,對其中有不適應現展的規則進行修正以及改善,使其更能與當代網絡發展相適應,對于沒有及時建立的法律以及法規,要及時建立,并在實踐中不斷改進以及發展;
第五,為了改進計算機網網絡安全管理,要實施安全加密。主要有非對稱以及對稱密鑰加密的方法,主要原理是應用一些算法,將轉出的信息轉換成代碼和密文,當密文傳到接收者手中,又通過相應的配對解密技術,解開代碼以及密文的內容以及信息,確保信息只為特定用戶接收,防止不必要的泄露;
第六,為了改進計算機網網絡安全管理,要提高網絡安全技術人員素質。由于計算機網絡以及計算機信息技術具有變化速度快、形式多樣、種類繁多等特定,而要改進計算機網網絡安全管理,人在其中的作用是不言而喻的,只有充分發揮了人的作用,才能更好的保障計算機網網絡安全管理,因此要多對網絡安全技術人員進行網絡安全先進理論以及知識的教育和培訓,增強網絡安全技術人員對知識的了解以及掌握,提高他們應對網絡安全變化的能力。
第七,為了改進計算機網網絡安全管理,相關部門要加大監督力度。要加大對計算機網絡安全的監督和管理,發現不法事件,要嚴厲懲罰,樹立負面典型,警惕相關人員,防止類似事件再發生。
由于現代計算機網網絡安全是保證計算機網絡正常運行的關鍵環節,因此,各方要加強對此重視,更好的維護網絡秩序以及網絡安全。
參考文獻
篇2
【關鍵詞】等級保護;虛擬專網;VPN
1.引言
隨著因特網技術應用的普及,以及政府、企業和各部門及其分支結構網絡建設和安全互聯互通需求的不斷增長,VPN技術為企業提供了一種低成本的組網方式。同時,我國現行的“計算機安全等級保護”也為企業在建設信息系統時提供了安全整體設計思路和標準。如何充分利用VPN技術和相關產品,為企業提供符合安全等級保護要求、性價比高的網絡安全總體解決方案,是當前企業信息系統設計中面臨的挑戰。
2.信息安全管理體系發展軌跡
對于信息安全管理問題,在上世紀90年代初引起世界主要發達國家的注意,并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規范》,規定信息安全管理體系與控制要求和實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,是一個全面信息安全管理體系評估的基礎和正式認證方案的根據。國際標準化組織(ISO)聯合國際電工委員會(IEC)分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國國家標準化管理委員會(SAC)于1999年了GB/T 17859《計算機信息系統安全保護等級劃分準則》標準,把信息安全管理劃分為五個等級,分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分,并提出了監管方法。2008年制訂并下發了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規則》和GBT 22080-2008《信息安全管理體系 要求》。
3.信息系統安全的等級
為加快推進信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,國家公安部、保密局、密碼管理局和國務院信息化工作辦公室等,于2007年聯合了《信息安全等級保護管理辦法》,就全國機構/企業的信息安全保護問題,進行了行政法規方面的規范,并組織和開展對全國重要信息系統安全等級保護定級工作。同時,制訂了《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》、《信息系統安全等級保護測評準則》和《信息系統安全等級保護定級指南》等相應技術規范(國家標準審批稿),來指導國內機構/企業進行信息安全保護。
在《信息系統安全等級保護基本要求》中,要求從網絡安全、主機安全、應用安全、數據安全及備份恢復、系統運維管理、安全管理機構等幾方面,按照身份鑒別、訪問控制、介質管理、密碼管理、通信和數據的完整、保密性以及數據備份與恢復等具體要求,對信息流進行不同等級的劃分,從而達到有效保護的目的。信息系統的安全保護等級分為五級:第一級為自主保護級,第二級指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。
針對政府、企業常用的三級安全保護設計中,主要是以三級安全的密碼技術、系統安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下,實現三級安全計算環境、三級安全通信網絡、三級安全區域邊界防護和三級安全管理中心的設計。
圖1 三級系統安全保護示意圖
圖2 VPN產品部署示意圖
4.VPN技術及其發展趨勢
VPN即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
VPN使用三個方面的技術保證了通信的安全性:隧道協議、身份驗證和數據加密。VPN通道的加密方式成為主要的技術要求,目前VPN技術主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec協議的VPN產品,由IPSec協議提供隧道安全保障,協議包括AH、ESP、ISAKMP等協議。其通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。通過采用加密封裝技術,對所有網絡層上的數據進行加密透明保護。IPSec協議最適合于LAN到LAN之間的虛擬專用網構建。
SSL VPN是基于SSL協議的VPN產品。在企業中心部署SSL VPN設備,無需安裝客戶端軟件,授權用戶能夠從任何標準的WEB瀏覽器和互聯網安全地連接到企業網絡資源。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建。
整個VPN通信過程可以簡化為以下4個步驟:
(1)客戶機向VPN服務器發出連接請求。
(2)VPN服務器響應請求并向客戶機發出身份認證的請求,客戶機與VPN服務器通過信息的交換確認對方的身份,這種身份確認是雙向的。
(3)VPN服務器與客戶機在確認身份的前提下開始協商安全隧道以及相應的安全參數,形成安全隧道。
(4)最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密,然后通過VPN隧道技術進行封裝、加密、傳輸到目的內部網絡。
目前國外公開的相關VPN產品多數采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國家密碼產品管理和應用的要求。《商用密碼管理條例》(中華人民共和國國務院第273號令,1999年10月7日)第四章第十四條規定:任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發了《IPSec VPN技術規范》和《SSL VPN技術規范》,明確要求了VPN產品的技術體系和算法要求。
5.VPN技術在等級保護中的應用
在三級防護四大方面的設計要求中,VPN技術可以說是在四大方面的設計要求中都有廣泛的應用:
在安全計算環境的設計要求中:首先在實現身份鑒別方面,在用戶訪問的中心,系統管理員都統一建立的有用戶的用戶組和用戶名,用戶會通過VPN的設備登錄訪問中心的應用系統,當身份得到鑒別通過時才可訪問應用系統;其次在數據的完整性保護和保密性保護上都能夠防止用戶的數據在傳輸過程中被惡意篡改和盜取。
在安全區域邊界的設計要求中:網絡邊界子系統的邊界控制與VPN功能一體化實現,在保證傳輸安全性的同時提高網絡數據包處理效率。
在安全通信網絡的設計要求中:網絡安全通信的子系統主要是為跨區域邊界的通信雙方建立安全的通道,通過IPSEC協議建立安全的VPN隧道傳輸數據。完成整個應用系統中邊界或部門服務器邊界的安全防護,為內部網絡與外部網絡的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網絡VPN網關,通過IPSEC協議或者SSL協議建立VPN隧道為進出的數據提供加密傳輸,實現應用數據的加密通信。
在安全管理中心的設計要求中:系統管理中,VPN技術在主機資源和用戶管理能夠實現很好的保護,對用戶登錄、外設接口、網絡通信、文件操作及進程服務等方面進行監視機制,確保重要信息安全可控,滿足對主機的安全監管需要。
在信息系統安全等級保護設計中VPN產品的部署示意圖如圖2所示。
篇3
關鍵詞:二次安防 電力系統 網絡安全
一、引言
電力生產直接關系到國計民生,其安全問題一直是國家關注的重點之一。電力監控系統及調度數據網絡作為電力系統的重要基礎設施,不僅與電力系統生產、經營和服務相關,而且與電網調度和控制系統的安全運行緊密關聯,是電力系統安全運行的重要組成部分。
隨著通信技術和網絡技術的發展,接入調度數據網的電力控制系統越來越多,調度中心、變電站、電廠、用戶等之間的數據交換也越來越頻繁,這對電力監控系統和數據網絡的安全性、可靠性和實時性提出了新的嚴峻挑戰。
二、本地110kV變電站二次系統現狀
目前電力二次系統存在的主要問題有:管理區和生產區存在著雙向的數據互換;缺乏加密,認證機制,沒有入侵檢測等預警機制;沒有漏洞掃描和審計手段,接入存在安全隱患等。
隨著網絡技術的迅猛發展,為滿足網絡技術在電力系統中的應用,加之通過網絡傳輸遠動信息的迫切要求,IEC國際電工委員會在IEC60870-5-101基本遠動任務配套標準的基礎上,又制定了IEC60870-5-104遠動傳輸規約標準,廣東電網公司則據此制定了廣東電網DL/T634.5104-2002實施細則。它采用平衡傳輸模式,通過TCP/IP協議實現網絡傳輸遠動信息,適用于調度主站(中心站)EMS系統和子站(遠方站)RTU或計算機監控系統之間采用專用Intranet網絡進行通訊。
因此,本地電網在當前已建設完成的地調、500kV變電站及220kV變電站生產控制區業務系統接入調度數據網及相應調度數據網邊界的安全防護的基礎上,進一步完善局本部安全防護體系,并結合地區調度數據網建設將安全防護建設范圍拓展至110kV變電站。
三、整體解決方案
1. 安全防護目標及重點
電力二次系統安全防護的重點是抵御黑客、病毒等通過各種形式對系統發起的惡意破壞和攻擊,能夠抵御集團式攻擊,重點保護電力實時閉環監控系統及調度數據網絡的安全,防止由此引起電力系統故障。
安全防護目標是防止通過外部邊界發起的攻擊和侵入,尤其是防止由攻擊導致的一次系統的事故以及二次系統的崩潰;防止未授權用戶訪問系統或非法獲取信息和侵入以及重大的非法操作。
2. 安全防護策略
安全防護總體策略是:安全分區、網絡專用、橫向隔離、縱向認證。
2.1安全分區。
二次系統從邏輯上可劃分為生產控制區和生產管理區,其中生產控制區又分為實時控制區(Ⅰ區)和非控制生產區(Ⅱ區);生產管理區又分為調度生產管理區(Ⅲ區)和管理信息區(Ⅳ區),調度系統主要負責安全區Ⅰ、Ⅱ、Ⅲ的安全防護。
2.2網絡專用。
在專用通道上建立調度專用數據網絡,實現與其他數據網絡物理隔離。并通過采用MPLS-VPN或IPsec-VPN在專網上形成多個相互邏輯隔離的VPN,以保障上下級各安全區的縱向互聯僅在相同安全區進行,避免安全區縱向交叉。
2.3橫向隔離。
采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護,在生產控制大區與管理信息大區之間,隔離強度應接近或達到物理隔離,必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。在生產控制大區內部的安全區之間,進行邏輯隔離,采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施。
2.4縱向認證。
采用認證、加密等手段實現數據的遠方安全傳輸。
3. 110kV變電站安全防護方案
110kV變電站二次系統安全防護不接入省調,生產控制大區可以不再細分,可將各業務系統和裝置均置于控制區,其總體設計邏輯結構如下圖。該圖示意了二次系統安全區域的劃分、安全區域之間橫向互聯的邏輯結構、安全區域的縱向互聯的邏輯結構以及網絡安全產品的總體部署。
3.1縱向加密裝置
用于生產控制大區的廣域邊界防護,為電力網關機之間的廣域通信提供認證與加密功能,實現數據傳輸的機密性和完整性保護。
3.2縱向互聯防火墻
提供基于策略的會話限制,方便用戶對網絡中會話的管理,有效抵御內外部對網絡的攻擊和濫用。
3.3控制區互聯交換機
在控制區互聯交換機上將站端調度數據網實時VPN業務段地址劃分為兩個VLAN(VLAN100和VLAN199),其中VLAN100用于遠動等自動化業務的接入和通過縱向加密認證裝置與調度數據網實時VPN的互聯,VLAN199用于保信等其它業務系統的接入和通過防火墻與調度數據網非實時VPN互聯。
四、結束語
本文就目前電力監控系統和調度數據網絡面臨越來越多的安全威脅,進而影響電網安全的形勢下,對電力二次系統安全防護的主要目標及防護策略展開分析,并介紹本地區供電局在110kV變電站二次系統安全防護的實施方案。隨著計算機技術發展,計算機網絡安全是電力生產安全密不可分的一部分。除了依據國家規定建立可靠的網絡安全技術構成的安全防護體系外,還必須建立健全完善的網絡安全管理制度,形成技術和管理雙管齊下,才能真正達到保證安全的目的。同時,調度自動化安全防護是一個動態的工作過程,而不是一種狀態或目標。隨著風險、人員、技術不斷地變化發展,以及調度應用與應用環境的發展,安全目標和策略也發生著變化,電力二次系統的安全管理需要不斷跟蹤并應用新技術,定期進行風險評估、加強管理,才能保障電力行業調度安全穩定、高效可靠運行。
參考文獻:
[1]國家電力監管委員會,電力二次系統安全防護總體方案[R],2006.
篇4
第一條水利信息網分為政務內網和政務外網,政務內網與政務外網之間實行物理隔離。政務外網分為廣域網、部門網和接入網,其中廣域網由骨干網、省市網和縣區網組成。依據國家有關法律法規,制定本方案。
第二條水利信息網是水利行業各單位計算機網絡互連構成的網絡系統,是防汛抗旱、水資源管理、水土保持等各類水利信息傳輸的專用網絡,是水利信息化的重要基礎設施。
第三條為加強水利信息網的管理,保障水利信息網正常、高效、安全運行,促進水利信息網健康發展,推動水利信息化工作。
第四條本方案適用于接入水利信息網政務外網與內網的水利行業各單位。
第二章管理機構
第五條水利信息網的運行管理遵循分級管理的原則,各單位要理順管理體制,明確專門的網絡管理部門,配備專職的技術人員,設定崗位,強化責任,保障網絡運行管理工作的正常進行。
第六條市防汛抗旱指揮部辦公室負責水利信息網的硬件運行管理工作,其主要職責是:組織制定水利信息網的管理方案、規范和技術標準,監督和檢查實施情況;分配水利信息網ip地址;運行、監視和管理骨干網線路、設備;指導、檢查和協調縣區網的運行管理工作;組織水利信息網資源和運行情況的調查,水利信息網運行情況公告、公報和年報;組織有關的技術培訓和交流;水利信息網的技術咨詢和技術服務;與中國互聯網管理部門和其他相關單位的業務聯系。
市水利局辦公室負責水利信息網政務網站的管理工作,其主要職責是:組織制定水利系統信息管理考評方案和進行考評工作;負責網站的日常維護和信息的更新工作;負責各類水利信息、行政公告、普發性文件、統計資料的審查、頁面編輯及對外工作。
第七條縣(區)水利(水保)局的網絡管理部門負責所屬縣區網的運行管理工作,其主要職責是:組織制定所屬縣區網的管理方案、規范和技術標準,監督和檢查實施情況;分配所屬縣區網ip地址;運行、監視所屬縣區網和所在單位網;指導、檢查和協調下級網絡的運行管理工作;組織所屬縣區網及所在單位部門網資源和運行情況的調查,有關數據;組織有關的技術培訓和交流;所屬縣區網的技術咨詢和技術服務;與其他相關單位的業務聯系。
第三章局域網網絡管理與接入
第八條水利信息網局域網包括辦公樓的交換機、網線、接口、網絡系統等,全部設備均屬本局所有,用戶只能按規定使用,不能占為己有。
第九條用戶使用網絡,由市防辦負責給以接入、開通和調試。嚴禁用戶擅自接入網絡。
第十條入網用戶的ip地址、計算機名、分組等基本信息,必須依據《水利信息網命名及ip地址分配規定》(sl307-)進行,由市防辦統一分配管理,用戶不得擅自更改。
第十一條各用戶要愛護網絡,不得擅自移動和損害。安裝、裝潢等施工涉及到網絡的要提前與局防辦聯系,制定防護措施。每個用戶都有保護網絡設備和線路的義務,發現正在對網絡實施損害的行為有權制止,發現網絡有損壞的有義務報告。
第十二條加強對接入水利信息網的因特網等其他網絡的管理,保證水利信息網與其他網絡的安全隔離。
第四章網絡服務
第十三條網絡服務是指利用水利信息網資源為信息傳輸和應用系統運行提供的服務。
第十四條水利信息網政務網站是我市水利行業面向社會的窗口,是與公眾互動的渠道,面向社會提供水利政務信息和與水利相關的在線服務。
第十五條凡市水利局工作人員,均可到市防辦申請辦理5m的免費電子郵箱,科室單位申請辦理10m的免費郵箱。
第十六條加強系統網站、郵件、文件服務、數據應用服務器、ftp服務器等網絡應用的管理,保證網絡應用的正常運行。
第五章網絡安全
第十七條加強網絡安全管理,落實網絡安全責任制;定期分析、評估所屬網絡的安全狀況,配備網絡安全設施,制定有效的安全保障方案;加強網絡安全監視,落實安全保障措施;明確專門的網絡安全管理人員,負責網絡安全管理工作。
第十八條網絡管理部門對于網絡故障,要及時發現、及時定位、及時解決;對于影響到骨干網運行的故障,必須及時處理;對于影響到其他上級網絡的故障,要及時向上級網絡管理部門報告。
第十九條各級網絡管理部門要加強計算機網絡病毒的防范工作,建立計算機網絡病毒防控體系。采取有力措施,預防和控制計算機病毒的產生、傳播、復制和擴散,做到及時發現、及時隔離、及時處理,及時升級操作系統和防病毒軟件。
第二十條各級網絡管理部門要加強用戶、系統和設備等的賬號口令管理,重要系統和設備的賬號口令由專人保管,并嚴格限定使用范圍,嚴防賬號口令泄露。
第二十一條不得在水利信息網上存放或傳輸任何信息。
第六章網絡用戶
第二十二條各級網絡管理部門負責所屬網絡用戶的監督和管理。
第二十三條網絡用戶必須遵守國家有關法律法規,遵守水利信息網管理規章制度,配合相關的管理工作。網絡用戶要積極參加單位組織的網絡、信息和安全方面的培訓,提高使用技能,增強安全意識。
第二十四條網絡用戶在遇到網絡故障、攻擊、事故,收到非法信息,感染計算機病毒時,應及時向本單位網絡管理部門報告。
第二十五條網絡用戶須對本人的網絡行為負責,不得有下列行為:
1、私自修改和刪除本人計算機的網絡配置;
2、私自安裝影響網絡運行的軟件或系統;
3、私自接入他人的網絡端口;
4、私自接入未經允許的網絡設備;
5、私自接入政務內網等其他網絡;
6、在網絡上傳播信息或違反國家法律、法規的不良信息;
7、安裝盜版軟件;
8、卸載統一安裝的網絡防病毒軟件;
9、故意制作、下載、傳播計算機病毒等惡意程序和其他有害數據;
10、向社會虛假的計算機病毒疫情;
11、未經允許,登錄他人計算機信息系統或者使用計算機信息系統資源;
12、其他危害網絡安全和信息安全的行為。
第七章網絡機房和設備
第二十六條按照網絡機房的標準和規范建立專用的網絡機房,為網絡設備提供良好的運行環境。
第二十七條各級網絡管理部門要制定完善的網絡機房管理制度,對機房內的溫濕度和設備運行情況進行實時監控。無關人員未經允許,不得進入機房。
第二十八條各級網絡管理部門要加強網絡設備管理,對各類設備進行歸類編碼,建立檔案。實行網絡設備責任制,做到專人專管,并對相關操作進行詳細記錄。
第二十九條各級網絡管理部門要對各類設備定期檢查、監視和維護,加強訪問權限控制;建立關鍵設備的備份和報修制度;加強各類設備的配置參數管理。
第八章保障措施
第三十條各單位要高度重視水利信息網運行管理工作,加強對運行管理工作的領導。
第三十一條各單位要積極籌措和落實網絡運行維護經費,將網絡運行維護經費列入部門預算,為網絡的正常運行維護提供保障。
第三十二條各單位要建立結構合理、人員相對穩定的網絡運行管理隊伍,制定培訓計劃,完善培訓制度,加強人員培訓和技術交流,提高網絡運行和管理的技術水平。
第三十三條各級網絡管理部門要加強防汛等重點線路、重點設備、重點應用的管理,重視網絡應急預案建設,提高預警、響應和應急處理能力,網絡應急預案應報上級網絡管理部門備案。
第三十四條網絡運行管理部門要保證骨干網有關設備724小時不間斷運行,對于因檢修或其他原因需停機的,應提前通知有關部門。
第三十五條各級網絡管理部門應加強值班特別是汛期值班工作,加強日常網絡維護管理,配備必要的維護軟件和工具,落實管理責任制,規范管理流程,提高管理效率,做好工作日志,加強制度落實的檢查和考核。
第三十六條各級網絡管理部門要加強網絡用戶服務,規范服務流程,對用戶進行定期檢查,對網絡故障采用多種方式(電話、網絡、郵件、上門等)進行維護,保障用戶和應用系統的正常工作。
第九章獎勵與處罰
第三十七條對于在網絡運行管理工作中做出顯著成績的單位和個人,予以表彰和獎勵。
第三十九條對于違反本方案第二十五條的網絡用戶,對于因管理不善和失職,導致網絡管理工作失誤,造成嚴重影響的單位和個人,予以通報批評,情節嚴重的根據有關規定予以追究責任。
第十章附則
篇5
公司各項目監理部:
為進一步加強施工現場的安全管理工作,特下發此方案,望各項目監理組認真貫徹執行。
一、 監理編制內容
1、《安全監理規劃》
(1)明確安全監理的范圍
(2)規劃內容
(3)工作程序和制度措施,
(4)人員配備計劃和職責
2、《安全監理實施細則》
(1)實施細則應當明確安全監理的方法
(2)措施和控制要點
(3)對施工單位安全技術措施的檢查方案
二、監理審核內容
1、施工單位(含分包單位)資質及人員的審核。
(1)施工單位資質、營業執照、安全生產許可證(附件復印件必須加蓋本單位公章)
(2)管理人員及特殊工種上崗證(要求人證相符)
2、主要機械、設備、材料進場的審核
(1)機械、設備、材料生產許可證、出廠合格證及出廠檢測報告
(2)機械、設備安裝、拆卸單位的資質和人員資質
(3)機械、設備安裝及拆卸方案
(4)機械、設備專業檢測單位的資質和人員資質
3、施工組織設計中關于安全專項分類審查
(1)施工單位編制的地下管線保護措施方案是否符合強制性標準要求;
(2)基坑支護與降水、土方開挖與邊坡防護、模板、起重吊裝、腳手架、拆除、爆破等分部分項工程的專項施工方案是否符合強制性標準要求;
(3)施工現場臨時用電施工組織設計或者安全用電技術措施和電氣防火措施
是否符合強制性標準要求;
(4)冬季、雨季等季節性施工方案的制定是否符合強制性標準要求;
(5)施工總平面布置圖是否符合安全生產的要求,辦公、宿舍、食堂、道路等臨時設施設置以及排水、防火措施是否符合強制性標準要求。
(6)檢查施工單位在工程項目上的安全生產規章制度和安全監管機構的建立、健全及專職安全生產管理人員配備情況,督促施工單位檢查各分包單位的安全生產規章制度的建立情況。
4、《應急救援預案》審查
(1)審核應急救援組織或者配備應急救援人員。
(2)審核配備救援器材、設備及定期組織演練情況落實。
(3)審核預案中救援、處理措施。
5、專項方案審核
(1)內容的審查
①工程概況:危險性較大的分部分項工程概況、施工平面布置、施工要求和技術保證條件;
②編制依據:相關法律、法規、規范性文件、標準、規范及圖紙(國標圖集)、施工組織設計等;
③施工計劃:包括施工進度計劃、材料與設備計劃;
④施工工藝技術:技術參數、工藝流程、施工方法、檢查驗收等;
⑤施工安全保證措施:組織保障、技術措施、應急預案、監測監控等; ⑥勞動力計劃:專職安全生產管理人員、特種作業人員等;
⑦計算書及相關圖紙。
(2)危險源的分類
①基坑支護、降水工程
②土方開挖工程
③模板工程及支撐體系
④起重吊裝及安裝拆卸工程
⑤腳手架工程
⑥拆除、爆破工程
⑦其它
附件一:《危險性較大的分部分項工程范圍》
(3)專家論證分項審查
①深基坑工程
②模版工程機支撐體系
③起重吊裝及安裝拆卸工程
④腳手架工程
⑤拆除、爆破工程
⑥其他
附件二:《超過一定規模的危險性較大的分部分項工程范圍》
三、建筑起重機械網絡安全管理
1、審核建筑起重機械特種設備制造許可證、產品合格證、制造監督檢驗證明、備案證明等文件;
2、審核建筑起重機械安裝單位、使用單位的資質證書、安全生產許可證和特種作業人員的特種作業操作資格證書;
3、審核建筑起重機械安裝、拆卸工程專項施工方案;
4、監督安裝單位執行建筑起重機械安裝、拆卸工程專項施工方案情況;
5、監督檢查建筑起重機械的使用情況;
6、發現存在生產安全事故隱患的,應當要求安裝單位、使用單位限期整改,對安裝單位、使用單位拒不整改的,及時向建設單位報告。
四、監理安全巡檢記錄
(1)監理人員定期對現場進行安全巡查,并形成巡檢記錄。施工單位安全員簽后字一式三份,建設單位、監理單位、施工單位。
(2)對發現的各類安全事故隱患,應書面通知施工單位,并督促其立即整改
(3)情況嚴重的,監理單位應及時下達工程暫停令,要求施工單位停工整改,并同時報告建設單位。
(4)施工單位拒不整改或不停工整改的,監理項目部應當及時向工程所在地建設主管部門或工程項目的行業主管部分報告。同時上報監理公司。
附件三:《安全巡檢記錄》
五、如施工單位沒有及時或不上報監理單位需要的資質、方案等,監理項目部對施工單位下發監理通知單,情節嚴重與建設單位溝通后下發安全隱患停工令,并上報公司。
篇6
一、抓檢查整改,加大安全管理力度
(1)突出了計算機安全管理。計算機的應用提高了工作效率,同時也給安全保衛工作帶來新的課題。為強化計算機安全管理,我聯社根據市辦要求切實制定了計算機安全管理辦法和計算機集中購置管理辦法等,落實了管理責任,使計算機購置、安裝、操作、使用、保養、業務備份管理等逐步走向規范化。同時,加大檢查落實力度,對全轄計算機安全管理組織檢查活動x次,對計算機系統用戶和口令保護、數據安全、網絡安全、硬件安裝、病毒防范等方面進行了地毯式排查整改,確保了全轄計算機管理安全無事故。
(2)強化了檢查整改。為促進安全保衛工作制度化、規范化,落實檢查效果。年初,我們根據x辦指示制定了安全保衛檢查實施辦法和違規違紀處罰實施細則,采取常規性檢查與突擊性抽查、白天查與晚上查、下鄉隨時查與重大節日專題查相結合的辦法,時刻注意掌握轄內安全保衛工作動態,整改隱患,堵塞漏洞,防患于未然。今年來,我們采取聽、查、問、試等方法,采取百分制形式,查制度看落實、查管理看漏洞、查設施看隱患、查思想看認識等方式將安全保衛工作納入到每季綜合考核工作目標,實行按季考核、按年兌現的工作新舉措。
(3)嚴格五項管理。一是嚴格了押運安全管理。嚴格落實守、押安全制度,嚴格押運操作規程,確保了營業網點封包安全準時接送無差錯,實現了押運無事故。二是嚴格了營業、守庫、值班安全管理。各分社普遍建立了11項安全工作基本制度,制定了“四防”應急處置預案,并能做到制度上墻,內容入心,操作熟練。三是嚴格了槍彈管理。普遍落實了槍彈管理安全責任制,嚴格實行槍彈分管等“十嚴”規范化管理制度,領用、交接手續嚴密,登記齊全,責任明確,并做到部門每周檢查和領導按月檢查監督,保管實行定人定責擦洗保養制度,保持性能良好,全年未出現任何違規持槍或濫用現象,確保了槍彈管理安全。四是嚴格了聯防管理。各網點與四鄰的機關單位或居民戶、地方政府及公安派出所都建立了聯防關系,簽訂聯防協議,并加強了與聯防戶的聯誼,使之能招之即來。五是嚴格了信息檔案管理。
(4)加強物防建設。我們牢固樹立“花錢保平安”的思想,貫徹從安全出發、從實際出發的原則, 制定科學合理的安全設施建設計劃,區別輕重緩急,分步實施,加大資金投入力度。今年來,在經費緊張的情況下,先后投入資金1.3萬元,不斷改進和加強安全設施建設,提高物防和技防水平,提高了安全系數。一是加強了金庫房安全設施建設。新置聯社中心庫房大保險柜x臺,完善聯社營業部守庫房設備。新置排氣扇一臺、雙層鐵床x架,加固庫房門x只。二是加強了押運安全設施建設 。
篇7
一、我國金融會計領域應用計算機的主要發展過程
(一)起步階段:我國金融會計電子化工作最早起步于二十世紀70年代末,在80年代初期得到了初步發展。這一時期,計算機開始在會計制表、儲蓄、對公核算業務方面得到初步應用,應用系統一般在DOS平臺上單機運行,系統的開發、硬件的選型均不統一,軟件系統的特點也只是模擬手工核算,目的只是為了減少勞動強度和工作量,缺乏操作規范和管理制度。
(二)發展階段:到80年代中后期,金融電子化工作得到各行重視,各銀行系統紛紛制定本行的電子化發展規劃,人民銀行對整個金融業的發展規劃也做出了安排。在此期間金融會計電子化的應用領域和規模迅速擴大,區域性乃至全國性的清算網絡開始建設。這一時期的另一特點是,一些銀行開始了微機應用由單機向網絡運行的過渡,如出現城市通存通兌網絡、同城清算網絡,業務應用領域也從單項業務發展向綜合會計業務過渡,軟件開發和硬件選型在一定范圍內得到統一,操作規范和管理規章制度已經建立。人總行在這一時期牽頭制定了金融電子化發展規劃和遠期目標設想,1989年人行全國電子聯行清算網絡系統開始啟動,同年財政部頒布實施了《會計核算軟件管理的幾項規定試行》,以規范會計軟件管理工作。
(三)規范再發展階段:進入90年代,金融會計電子化規范管理工作得到有關部門重視,各行在此基礎上逐漸建立起了本系統的全國異地電子聯行清算系統如異地匯劃系統、信用卡清算系統等,在90年代后期一些行會計核算在大中城市建立了集中清算中心,財政部也于1994年7月頒布實施了《會計電算化管理辦法》、《商品化會計核算軟件評審規則》和《會計核算軟件基本功能規范》。這一時期會計電子化安全問題得到進一步的重視,網絡安全問題逐漸成為安全防范的主要研究課題。
今后,伴隨電子商務的發展,金融會計電子化工作向網絡化發展,網絡銀行、電話銀行出現,網絡安全成為金融會計電子化安全工作的重點,電子化的規章制度和法規應運而生,會計電子化的安全日益關系到銀行生存乃至整個社會的穩定。
二、目前我國金融會計電子化工作中存在的主要安全問題
回顧我國金融電子化的發展歷程,我們認為目前我國金融會計電子化工作主要存在以下安全問題:
(一)軟件設計、開發中技術安全措施少、安全級別低。現有會計應用軟件系統在設計、開發階段,普遍存在系統需求中安全需求少、軟件設計重功能輕安全,軟件設計選用語言和數據庫考慮安全性能少,以至軟件投入運行后暴露出諸多安全隱患,如數據庫呈開放狀態,易于打開,應用系統軟件存在安全“BUG”等。這類現象在金融會計電子化起步、發展階段開發的系統更為明顯,并且這些軟件系統在目前還未得到徹底更新換版。
(二)硬件自身安全性能低。這主要是在硬件選型上考慮安全性能的比較少,而主要側重硬件功能和價格的考察,另外這與在硬件選型上不統一,缺乏金融系統的統一的硬件選型標準有關系。這樣造成的結果是由于硬件的安全問題直接影響會計應用系統軟件的正常運行。
(三)機房建設中存在安全隱患。盡管我們國家出臺了《中華人民共和國計算機房、站、場地安全要求》,但這一要求在一些小的機房、場地建設中注意的較少,尤其在一些縣支行機房建設中安全要求沒有得到徹底落實,甚至有的地方沒有專用的計算機房和場地,并且即使建立了專用計算機房,由于考慮資金等因素,許多安全設施并未配置齊全,如有的機房無避雷系統、不配備“UPS”系統、“UPS”損壞后不及時修理、機房管理不嚴密等。
(四)網絡安全問題突出。由于我國計算機網絡建設時間比較短,安全經驗不足,暴露出的網絡安全問題也比較多的。這主要表現在以下幾方面:
一是網絡傳輸載體本身安全性能不穩定。目前我國網絡傳輸載體主要分有線和微波兩種,可從我們應用會計電子化網絡的實踐看,這兩種載體都或多或少地存在有安全問題。比如電信部門提供的傳輸線路傳輸質量不高,所用電話線路由于多為明線易損壞,而微波載體由于通訊發送、接收設備安全性能不高,一些外來自然因素影響了傳輸效果,甚至導致傳輸線路暫時中斷。如目前人行電子聯行系統就存在因雨、雪天氣導致通訊中斷的現象,就是X.25專線也多次發生過因電信部門線路被損壞影響數據傳輸的現象。
二是投入使用的網絡軟件安全技術措施少,尤其是地方性局域網絡。首先由于目前對于地方建設的清算和會計信息傳輸網絡的安全技術規范還不大明確,并且對于局域網絡安全建設的認證、驗收還沒有一個技術規范和認證體系,使得局域網絡建設缺少安全把關,使已建成網絡在安全方面存在較多漏洞和隱患。
(五)應用系統操作和使用過程中存在的安全問題。金融會計電子化工作在應用會計微機系統方面存在的主要安全問題就是操作和管理人員安全意識淡薄,當然具體管理工作薄弱也是一個不可忽視的一點。首先,在操作人員方面,主要表現為操作密碼管理不嚴格,存在密碼口令使用周期過長、密碼泄密、操作用戶離崗不簽退應用系統、竊密等問題,這主要源于操作人員安全意識淡薄;其次,業務部門管理人員安全意識淡薄,對于一些安全管理制度檢查落實不到位,尤其對安全操作與方便業務處理兩者之間的關系處理不妥當,在管理中突出表現就是違背安全規定設置和配備操作崗位和操作人員,出現違規操作、違規兼崗現象,對計算機房疏于管理;第三,系統管理人員安全職責履行不到位。系統管理員的兩項重要職責就是保證自己操作的安全和會計應用系統運行的安全。目前有的系統管理員對以上兩項職責履行不到位,存在重視自身操作安全忽視對用戶操作安全的檢查,有的疏于對計算機電源、硬件設備的定期安全檢查、檢修,對會計應用系統的操作和運行狀況不能做到定期檢查。第四,在具體安全管理方面,手段比較少,對軟、硬件的安全檢查更少。銀行會計部門每年都要搞安全檢查,但往往只是注重業務操作管理制度落實情況的檢查,很少聯合科技部門對會計應用系統軟硬件的安全狀況進行檢查。即使對業務操作安全方面的檢查,由于只是對操作現場簡單了解一下,也很難發現日常存在的一些安全問題。
(六)制度和法規建設滯后,直接降低了會計應用系統的運行安全性能。比如人總行組織開發推廣的“中央銀行會計核算系統”我們在1993年就開始了推廣應用工作,1996年已推廣到系統內多數營業機構,而真正的管理辦法《中央銀行會計核算系統》到1997年方出臺,這在當時為許多行管理此系統安全形成許多不便。另外,法律制度的滯后也使一些機構無所適從,比如目前印鑒技術已發展到電子印鑒逐漸取代傳統印鑒階段,電子印鑒的安全系數不斷得到提高,但是現在的法律不認可電子印鑒。還有伴隨金融電子聯行的普及和異地匯劃網絡的建設,異地匯兌處理手續也發生了變化,《支付結算會計核算處理手續》有的環節已不適應電子化形勢,但至今未做出改變,這使得一些電子聯行處理手續合理不合法。另外,即使有的行及時制定了有關的操作規程和管理辦法,但由于基層行沒有制定切實可行的安全實施細則,加之操作和管理人員安全意識的淡薄,現有制度沒有落實到位的還很多。比如人民銀行電子聯行“管理制度”明確規定了核查制度,可在基層衛星小站和縣支行很少將此規定落到實處。
三、解決金融會計電子化安全問題的幾點建議
為防范和解決金融會計電子化工作中的安全問題,確保會計工作在電子化條件下安全、高效地開展,筆者特建議如下:
(一)程序設計、開發階段加強系統安全技術措施的運用。首先,要求業務部門謀劃系統業務需求時,要充分考慮到諸多安全因素,對系統安全提出明確、具體的業務需求,一改過去重功能輕安全的做法;其次,在軟件系統設計開發階段,軟件編輯人員應選用安全性能高的數據庫、運用嚴密的編程語言開發軟件,盡量減少程序上的安全“BUG”;再次,在硬件選型時,要盡量采用安全性能高、運行質量好的設備,減少硬件安全隱患;四是建議有關部門,盡快制定出金融系統軟件開發規范和硬件選型標準,尤其明確安全規范。
(二)會計計算機系統應用階段安全防范。
1.建議各銀行對會計系統內計算機房建設情況進行一次安全大檢查,對于不符合《中華人民共和國計算機房、站、場地安全要求》的責令立即進行整改。
2.各家銀行有必要對自家先投入使用的會計計算機系統進行一次自我分析,目的是發現和解決系統設計、開發階段遺留的安全隱患,并在此基礎上對舊版本軟件進行換版升級。
3.加強計算機安全教育,提高操作人員和管理人員的計算機安全意識。金融會計電子化的安全防范措施最基本的還是人的因素。因此,需要盡更大的努力去提高人們對計算機安全的認識,尤其對會計系統安全的認識,各級教育部門和業務管理部門在這方面應做更多的教育工作。超級秘書網
篇8
一、突出業務型,改良隊伍素質
我市現有保密隊伍普遍存在技術人才不足,業務能力不強,人員素質參差不齊的問題。有的工作定位在“看門守攤”,有的思遷不思變,思調不思干,有的精神不振,缺乏激情。保密事業發展靠人,人是決定因素。因此,我們首先要堅持以人為本,在改良保密隊伍素質上下功夫。
1、樹立奉獻精神
雖然我們長期為保密事業辛勤工作,任勞任怨,最后付出與回報可能有落差。但是,我們不應該專注個人得失,應該更多的看到我們所從事的事業為經濟社會發展提供安全保障的重要作用和它的神圣意義,多想一想過去無數先烈付出的比我們多得多,多重溫一下入黨時的誓言,保持清醒頭腦,堅定理想信念,講求正確的人生觀、價值觀,樹立奉獻精神,甘當無名小卒。“人往高處走,高處不勝寒;水往低處流,低處納百川”。平凡的崗位也有它的樂趣,也能干出不平凡的事業。“活著并工作著是美麗的”,知足常樂未嘗不可。
2、加強教育培訓
學習培訓是提高保密人員業務知識和業務能力最便捷、最有效的途徑,我們可以根據實際需要,切實開展教育培訓活動。一是編印保密手冊,突出針對性、指導性和可操作性,將上級有關保密工作的規定和要求進行“瘦身”,然后編印成冊,提供全市領導干部和黨政機關人員學習、應用。二是對全市保密員進行一次普查,弄清基本情況,組織專門培訓,落實持證上崗,簽訂保密協議。三是采取“請進來、走出去”的辦法,邀請省、市有關專家舉辦專題輔導講座,不定期地組織保密干部到外地參觀學習,或參加省、市組織的各類專業培訓。通過各類培訓活動,不斷提高人員整體素質。
3、吸納技術人才
吸納保密技術人才,加強保密技術人才隊伍建設,是適應新時期保密工作的需要。其一是成立保密技術專家委員會。擬從保密、公安、國安、信息產業、高校等單位篩選物色技術專家,組成專家委員會,在網絡安全管理中充分發揮專家的技術支撐作用。其二是組建市保密技術檢查中心。我市保密技術檢查中心市編委已行文同意成立,當前要抓緊籌備,選調好政治上成熟可靠,既有實踐經驗又有專業水平的技術人才,使市保密技術檢查中心盡快掛牌運作,開展業務,發揮作用。
二、體現靈活性,改進工作方法
改進工作方法,必須摒棄傳統思維定勢,改變單一的老習慣、老辦法,圍繞工作任務的完成和工作目標的實現多元思考,創新方法,靈活應對。
1、變被動為主動
保密工作部門不能停留于以往只接受工作任務,只負責上傳下達,扮演“接收器”和“傳聲筒”的角色,應該獨立思考,擅變求變,主動出擊。除了完成省保密局和市保密委等上級工作任務做好“規定動作”之外,注意從自身職責范圍出發,策劃確定好各個時期應予推進的目標任務,安排好工作要點,完成“自選動作”。振奮精神,更新觀念,主動作為,實現從“要”向“我要干”轉變。
2、既“合縱”又“聯橫”
保密工作部門的組織協調能力如何,直接關系到工作進展的順暢程度和工作效果的好壞。我們要做到既“合縱”又“聯橫”,不斷提高組織協調能力。“合縱”就是上下組織。首先我們要善于向領導匯報請示工作,積極爭取領導支持重視,由“抓領導”轉化為“領導抓”。其次是與各縣(區)、市直單位要加強溝通,部署任務,上傳下達,督促檢查,保持工作上的緊密聯系;“聯橫”就是協調左右。一是要加強與市保密委各成員單位的工作研究,完善保密工作協調聯系機制,推動部門配合,發揮整體效能。二是統籌好跨行業垂直部門的保密工作,處理好垂直管理與分塊管理的關系。另則通過互通信息,整合力量,加強配合,力促保密執法順利開展。
3、堅持督查與整改相結合
我市于每月15日開展保密督查的“督查日”制度,作為保密督查常規化、制度化的手段和載體,在實際操作中顯示強盛生命力,是推動“查漏補缺”工程的有效嘗試。我們要繼續執行好“督查日”制度,通過督查幫助發現隱患,及時通報情況,提出整改意見。同時堅持督查與整改相結合,以完善管理為目的,對受檢單位存在問題的整改實行全程跟蹤,避免出現“檢查力度不少,過后問題依舊”的被動狀況,講究督查的實際效果,實現手段與目的相統一。
三、強調規范化,改善安全管理
隨著新技術,新手段的廣泛應用,保密工作的安全形勢日益嚴峻。強調規范化,依法行政,按法律法規辦事,“不擇手段”地加強安全管理,是確保國家秘密安全的關健所在。
1、強化要害部門、部位的管理
我市保密要害部門、部位已經過省里的審查確認,當務之急是規范管理。要嚴格按照中央、省出臺的管理實施細則要求,著重抓好人員的行為規范和保密場所的安全防范,落實好保密要害部門、部位的職責和監督管理,加強動態監測,不定期開展自查自糾,對照相關規定及時進行“補課”,進一步規范操作,改善管理。
2、抓好信息公開與保密
從今年5月1日起,國務院《政府信息公開條例》正式施行,各級政府行政機關的信息都要面對公開與保密的選擇。我們應做好充分準備,堅持“誰公開,誰審查、誰負責”的原則,明確審查機構和人員,建立審查制度,落實責任,防范泄密。對公權力大、公益性強、公眾關注度高的部門應列入重點管理,要加強業務培訓,以公開為常態,以不公開為特例,力促科學、準確、規范定密,使信息該保的保住,該公開的能公開,確保公開與保密的規范化運行。
篇9
【 關鍵詞 】 內蒙古電力公司信息系統;信息安全;風險評估;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業信息安全的研究只停留于網絡安全防御框架與防御技術的應用層面,缺少安全評估方法與模型研究。文獻[1]-[3]只初步分析了信息安全防護體系的構架與策略,文獻[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術構建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術的改進與應用。少數文獻對電力信息安全評估模型進行了討論,但對于安全風險評估模型的研究都不夠深入。文獻[6]、文獻[7]只定性指出了安全風險分析需要考慮的內容;文獻[8]討論了一種基于模糊數學的電力信息安全評估模型,這種模型本質上依賴于專家的經驗,帶有主觀性;文獻[9]只提出了一種電力信息系統安全設計的建模語言和定量化評估方法,但是并未對安全風險的評估模型進行具體分析。
本文介紹了內蒙古電力信息系統風險評估的相關工作,并探討了內蒙古電力信息系統風險評估工作在推動行業信息安全保護方面帶給我們的啟示。
2 內蒙古電力信息安全風險評估工作
隨著電網規模的日益擴大,內蒙古電力信息系統日益復雜,電網運行對信息系統的依賴性不斷增加,對電力系統信息安全的要求也越來越高。因此,在電力行業開展信息安全風險評估工作,研究電力信息安全問題,顯得尤為必要。
根據國家關于信息安全的相關標準與政策,并根據實際業務情況,內蒙古電力公司委托北京數字認證股份有限公司(BJCA)對信息系統進行了有效的信息安全風險評估工作。評估的內容主要包括系統面臨的安全威脅與系統脆弱性兩個方面,以解決電力信息系統面臨的的安全風險。
3 電力系統信息安全風險評估的解決方案
通過對內蒙古電力信息系統的風險評估工作,我們可以總結出電力信息系統風險評估的解決方案。
4 電力信息系統風險評估的流程
電力信息系統風險評估的一般流程。
(1) 前期準備階段。本階段為風險評估實施之前的必需準備工作,包括對風險評估進行規劃、確定評估團隊組成、明確風險評估范圍、準備調查資料等。
(2) 現場調查階段:實施人員對評估信息系統進行詳細調查,收集數據信息,包括信息系統資產組成、系統資產脆弱點、組織管理脆弱點、威脅因素等。
(3) 風險分析階段:根據現場調查階段獲得的相關數據,選擇適當的分析方法對目標信息系統的風險狀況進行綜合分析。
(4) 策略制定階段:根據風險分析結果,結合目標信息系統的安全需求制定相應的安全策略,包括安全管理策略、安全運行策略和安全體系規劃。
5 數據采集
在風險評估實踐中經常使用的數據采集方式主要有三類。
(1) 調查表格。根據一定的采集目的而專門設計的表格,根據調查內容、調查對象、調查方式、工作計劃的安排而設計。常用的調查表有資產調查表、安全威脅調查表、安全需求調查表、安全策略調查表等。
(2) 技術分析工具。常用的是一些系統脆弱性分析工具。通過技術分析工具可以直接了解信息系統目前存在的安全隱患的脆弱性,并確認已有安全技術措施是否發揮作用。
(3) 信息系統資料。風險評估還需要通過查閱、分析、整理信息系統相關資料來收集相關資料。如:系統規劃資料、建設資料、運行記錄、事故處理記錄、升級記錄、管理制度等。
a) 分析方法
風險評估的關鍵在于根據所收集的資料,采取一定的分析方法,得出信息系統安全風險的結論,因此,分析方法的正確選擇是風險評估的核心。
結合內蒙電力信息系統風險評估工作的實踐,我們認為電力行業信息安全風險分析的方法可以分為三類。
定量分析方法是指運用數量指標來對風險進行評估,在風險評估與成本效益分析期間收集的各個組成部分計算客觀風險值,典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法等。
定性分析方法主要依據評估者的知識、經驗、歷史教訓、政策走向及特殊案例等非量化資料對系統風險狀況做出判斷的過程。在實踐中,可以通過調查表和合作討論會的形式進行風險分析,分析活動會涉及來自信息系統運行和使用相關的各個部門的人員。
綜合分析方法中的安全風險管理的定性方法和定量方法都具有各自的優點與缺點。在某些情況下會要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。
表1概括介紹了定量和定性方法的優點與缺點。
b) 質量保證
鑒于風險評估項目具有一定的復雜性和主觀性,只有進行完善的質量控制和嚴格的流程管理,才能保證風險評估項目的最終質量。風險評估項目的質量保障主要體現在實施流程的透明性以及對整體項目的可控性,質量保障活動需要在評估項目實施中提供足夠的可見性,確保項目實施按照規定的標準流程進行。在內蒙古電力風險評估的實踐中,設立質量監督員(或聘請獨立的項目監理擔任)是一個有效的方法。質量監督員依照相應各階段的實施標準,通過記錄審核、流程監理、組織評審、異常報告等方式對項目的進度、質量進行控制。
6 內蒙古電力信息安全風險評估的啟示
為了更好地開展風險評估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風險評估制度
信息安全風險管理是發達國家信息安全保障工作的通行做法。按照風險管理制度,適時開展風險評估工作,或建立風險評估的長效機制,將風險評估工作與信息系統的生命周期和安全建設聯系起來,讓風險評估成為信息安全保障工作運行機制的基石。
6.2 編制電力信息系統風險評估實施細則
由于所有的信息安全風險評估標準給出的都是指導性文件,并沒有給出具體實施過程、風險要素識別方法、風險分析方法、風險計算方法、風險定級方法等,因此建議在國標《信息安全風險評估指南》的框架下,編制適合電力公司業務特色的實施細則,根據選用的或自定義的風險計算方法,,制各種模板,以在電力信息系統實現評估過程和方法的統一。
6.3 加強風險評估基礎設施建設,統一選配風險評估工具
風險評估工具是保障風險評估結果可信度的重要因素。應根據選用的評估標準和評估方法,選擇配套的專業風險評估工具,向分支機構配發或推薦。如漏洞掃描、滲透測試等評估輔助工具,及向評估人員提供幫助的資產分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統。
6.4 統一組織實施核心業務系統的評估
由于評估過程本身的風險性,對于重要的實時性強、社會影響大的核心業務系統的評估,由電力公司統一制定評估方案、組織實施、指導加固整改工作。
6.5 以自評估為主,自評估和檢查評估相結合
自評估和檢查評估各有優缺點,要發揮各自優勢,配合實施,使評估的過程、方法和風險控制措施更科學合理。自評估時,通過對實施過程、風險要素識別、風險分析、風險計算方法、評估結果、風險控制措施等重要環節的科學性、合理性進行分析,得出風險判斷。
6.6 風險評估與信息系統等級保護應結合起來
信息系統等級保護若與風險評估結合起來,則可相互促進,相互依托。等級保護的級別是依據系統的重要程度和安全三性來定義,而風險評估中的風險等級則是綜合考慮了信息的重要性、安全三性、現有安全控制措施的有效性及運行現狀后的綜合結果。通過風險評估為信息系統確定安全等級提供依據。確定安全等級后,根據風險評估的結果作為實施等級保護、安全等級建設的出發點和參考,檢驗網絡與信息系統的防護水平是否符合等級保護的要求。
參考文獻
[1] 魏曉菁, 柳英楠, 來風剛. 國家電力信息網信息安全防護體系框架與策略. 計算機安全,2004,6.
[2] 魏曉菁,柳英楠,來風剛. 國家電力信息網信息安全防護體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構建電力信息網安全防護框架. 電力信息化,2004,2(7).
[4] 梁運華,李明,談順濤. 電力企業信息網網絡安全層次式防護體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開培,李俊娥. 一種安全的電力系統計算機網絡構建方案. 電網技術,2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統信息安全風險評估策略研究. 計算機安全,2007,6.
[7] 阮文峰. 電力企業網絡系統的安全風險分析和評估. 計算機安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評判法的電力系統信息安全評估. 電力系統自動化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統建模和定量安全評估. 電力系統自動化,2005,29(10).
作者簡介:
篇10
根據監獄安排部署,為進一步增強監區防控公共安全風險意識和責任意識,提高對公共安全風險的有效控制和應對能力,提升安全防范意識和法治理念,吳忠監獄二監區按照《吳忠監獄開展“公共安全防范警示教育宣傳月”活動實施方案》要求,扎實開展"公共安全防范警示教育宣傳月"活動。現就活動開展情況總結如下:
一、開展“公共安全防范警示教育宣傳月”活動安排及內容。
(一)根據活動實施方案,成立活動領導小組,任務分工,責任到人。
自接到監獄活動通知后,監區黨支部會議研究,緊鑼密鼓組織實施,根據《吳忠監獄開展“公共安全防范警示教育宣傳月”活動實施方案》的要求,細化了活動內容,制定了活動流程,成立了由監區長任組長,教導員任副組長,監區其余警察為成員的活動領導小組。
為配合活動各項環節的實施,確保實效,監區集中組織學習了活動實施細則,統籌安排,按照責任分工,使得整個活動的目標明確 、組織設置完善、任務配套合理,確保了本次活動的順利開展。
(二)“公共安全防范警示教育宣傳月”活動主要內容。
1.組織開展“公共安全隱患大排查”活動。
在監區范圍內組織開展了一次公共安全風險隱患大排查,重點對監內外各類火災隱患、食品衛生、突發事件等進行排查,全面細致查找在開展公共安全教育培訓、落實公共安全管理、防范公共安全風險能力等方面的風險點和薄弱環節,針對存在的問題隱患進行風險評估,制定整改方案和應急預案,進一步完善工作機制。
2.組織開展矛盾問題集中排查教育化解活動。
依托獄政部門開展的矛盾糾紛大排查大調處專項活動,認真抓落實。
3.組織開展“公共安全防范警示教育集中宣傳日”活動 。
組織開展了一次“公共安全防范警示教育集中宣傳日”活動,采取擺放宣傳展板、懸掛標語、實物演示和組織服刑人員現身說法等形式開展,努力提升警察職工罪犯安全防范意識和自救技能。
4.利用新媒體開設“公共安全防范警示教育”主題宣傳專欄。
監區充分發揮吳忠監獄門戶網站、監獄政務微博、獄內電視臺、電子屏等的作用,開設“公共安全防范警示教育”主題宣傳專欄。宣傳公共安全防范常識,推送安全防范等主題教育宣傳內容,實現“公共安全防范警示教育”的“移動化、可視化”,進行互動交流,增強互動體驗,方便警察職工罪犯學習安全防范知識。
5.開展各類警示教育。
(1).開展加強治安防范、對涉眾型經濟犯罪及新型互聯網金融領域犯罪防范、加強打擊傳銷及規范直銷、網絡安全等方面的警示教育。
(2).開展加強用水、用電、用氣等生活常識、加強食品藥品安全、加強公共衛生管理和公共衛生安全方面的警示教育。
(3).開展強化監區警察防火消防意識和自防自救能力、加強安全生產等方面的警示教育。
二、“公共安全防范警示教育宣傳月”活動取得的成績。
1.排查了監區內外各方面的風險點和薄弱環節,針對存在的問題隱患進行風險評估,制定整改方案和應急預案,進一步完善了工作機制。
2.提升了監區警察罪犯安全防范意識和自救技能。
3.提高了監區警察的健康和衛生安全防范理念。
4.提升了監區警察的安全素質和服刑人員的安全防范技能。
三、主要存在問題。
本次“公共安全防范警示教育”活動順利結束,我獄按照監獄活動安排,圓滿完成各項活動內容,實現了既定目標,收到預期效果,活動成效斐然,在肯定成績的同時,也存在一些問題和不足,主要體現在:
(一)生產車間還存在一定的安全隱患。
在排查安全隱患的過程中發現,監區車間由于原料和成品的堆放,存在一定的安全隱患。
(二)個別警察思想認識不到位。
個別警察由于工作壓力大,任務重,對組織開展活動有看法,存在一定的認識誤區。
通過宣傳教育,監區警察和服刑人員公共安全防范知識得到普及,安全防范意識得到全面提升,樹立起了公共安全人人有責、人人盡責的良好氛圍。
