网络安全管理实施细则范文
时间:2023-12-15 17:34:04
导语:如何才能写好一篇网络安全管理实施细则,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)78-0202-02
随机信息技术的发展以及互联网的广泛应用,计算机网网络已经成为人们生活中不可或缺的一部分了,而伴随着网络的发展,计算机网网络安全管理一些不足也逐渐暴露出来,引起了专家、学者以及社会各界的共同关注,成为计算机网网络新时代关注的热点话题。只有维护好我国计算机网网络安全管理,执行相应的安全管理措施,才能显著的提高网络的性能,保证网络的健康、飞速发展。因此,加大对计算机网网络安全管理的讨论以及研究,具有十分重要的理论以及现实意义。
1 计算机网网络安全管理的内涵
广义的计算机网网络安全管理是指保证计算机所有信息完整、真实、可靠、可用以及可控性,使得信息能够得到安全的利用。狭义的计算机网网络安全管理,是采取各种措施,确保网络、信息、系统资源以及计算机安全,避免人力以及各种外力侵害导致正常运行受阻情况的发生,其主要内容包括加密、路由器安全、协议安全、用户的身份认证、访问控制、服务器以及服务器安全机制等,基本特征为网络信息的可控性以及信息的保密以及完整性。
2 计算机网网络安全管理的现状
尽管部分计算机网网络安全管理问题已经得到了重视,但是由于计算机网络瞬息万变以及各种因素的影响,目前计算机网网络安全管理中仍然存在许多问题。
第一,计算机网网络安全管理制度问题。由于网络安全管理技术知识要求很高,我国目前并没有充分重视制度以及法规的制定,或者法规比较落后,已经与当代情况不相适应,或者即使有新的制度但是只局限于比较形式化的规定,没有详细的实施细则,因此很多时候在实践中没有相应的法律法规作为支持,没有做到有法可依。
第二,计算机网网络安全管理技术问题。目前计算机网络安全管理存在一些技术上的盲点以及漏洞,使得很多不法分子有威胁网络安全的切入点,主要包括病毒的入侵、木马程序的潜伏、不正当手段介入网络、高频率信息的干扰等。
第三,外力侵害。我国很多的网吧、机房不具备抵御外界侵害的能力,主要外界侵害包括自然的灾祸以及周围环境侵害等,自然的灾祸指的是自然的灾祸,如雷电、洪涝灾害、火灾、电磁泄露等;周围环境侵害包括断电引起数据、设备损害问题和噪音问题导致的数据高误码率等。
第四,用户意识不高。很多用户在进行计算机网络使用的时候,没有足够的网络安全意识,对于密码、权限、口令等私密的东西没有保护好,随意泄露,或者没有及时修补一些网络漏洞和补丁,黑客可以找到攻击点。
除此以外,还存在网络安全技术人员素质不足、监管不到位等问题
3 改进计算机网网络安全管理对策
针对目前存在的计算机网网络安全管理问题,提出了以下对策。
第一,为了改进计算机网网络安全管理,要加强用户网络安全管理意识。对于密码、权限、口令等比较隐私的东西,用户要保护好,不要随意泄露,对于网络漏洞和补丁,要做到及时修补,不要给有心人有机可乘的机会,进行数据备份,防止突发意外事故发生之后,数据的丢失,保持数据完整性,做到能够及时恢复系统,减少延误损失;
第二,为了改进计算机网网络安全管理,要加强自然等各种外力侵害的防范。在网吧以及机房等公共场所,首先要安装空调,控制室内温度以及湿度,防止温度以及湿度过高,造成网络瘫痪。其次要装好相应的防止雷击的措施,多进行建筑检测,尤其注重电源、网络传输线等的防范措施,最后是防火措施要做好。各种装修材料有可能的话,尽量选择防火的,保持室内通风,放置好防火器等设施;
第三,为了改进计算机网网络安全管理,要加强计算机网网络安全管理技术问题的研究,管理人员要及时更新病毒数据库,强化对病毒的检测以及清除,加强防火墙的建设,发挥防火墙的作用,做到限制服务访问、防止无权限的外部网的入侵、统计相应的网络流量并进行适时限流等,进行网络入侵检测,一旦发生这些情况要及时的制止。要加强检测、扫描以及评估漏洞,减小安全隐患;
第四,为了改进计算机网网络安全管理,要加强对网络安全管理制度的建立和完善。要完善已有的计算机网网络安全管理制度,对一些过于形式化的网络安全管理制度,要缩小范围,提出其操作的细则,对其中有不适应现展的规则进行修正以及改善,使其更能与当代网络发展相适应,对于没有及时建立的法律以及法规,要及时建立,并在实践中不断改进以及发展;
第五,为了改进计算机网网络安全管理,要实施安全加密。主要有非对称以及对称密钥加密的方法,主要原理是应用一些算法,将转出的信息转换成代码和密文,当密文传到接收者手中,又通过相应的配对解密技术,解开代码以及密文的内容以及信息,确保信息只为特定用户接收,防止不必要的泄露;
第六,为了改进计算机网网络安全管理,要提高网络安全技术人员素质。由于计算机网络以及计算机信息技术具有变化速度快、形式多样、种类繁多等特定,而要改进计算机网网络安全管理,人在其中的作用是不言而喻的,只有充分发挥了人的作用,才能更好的保障计算机网网络安全管理,因此要多对网络安全技术人员进行网络安全先进理论以及知识的教育和培训,增强网络安全技术人员对知识的了解以及掌握,提高他们应对网络安全变化的能力。
第七,为了改进计算机网网络安全管理,相关部门要加大监督力度。要加大对计算机网络安全的监督和管理,发现不法事件,要严厉惩罚,树立负面典型,警惕相关人员,防止类似事件再发生。
由于现代计算机网网络安全是保证计算机网络正常运行的关键环节,因此,各方要加强对此重视,更好的维护网络秩序以及网络安全。
参考文献
篇2
【关键词】等级保护;虚拟专网;VPN
1.引言
随着因特网技术应用的普及,以及政府、企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长,VPN技术为企业提供了一种低成本的组网方式。同时,我国现行的“计算机安全等级保护”也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品,为企业提供符合安全等级保护要求、性价比高的网络安全总体解决方案,是当前企业信息系统设计中面临的挑战。
2.信息安全管理体系发展轨迹
对于信息安全管理问题,在上世纪90年代初引起世界主要发达国家的注意,并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》,规定信息安全管理体系与控制要求和实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织(ISO)联合国际电工委员会(IEC)分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》,并向全世界推广。中国国家标准化管理委员会(SAC)于1999年了GB/T 17859《计算机信息系统安全保护等级划分准则》标准,把信息安全管理划分为五个等级,分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分,并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC 27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。
3.信息系统安全的等级
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,国家公安部、保密局、密码管理局和国务院信息化工作办公室等,于2007年联合了《信息安全等级保护管理办法》,就全国机构/企业的信息安全保护问题,进行了行政法规方面的规范,并组织和开展对全国重要信息系统安全等级保护定级工作。同时,制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范(国家标准审批稿),来指导国内机构/企业进行信息安全保护。
在《信息系统安全等级保护基本要求》中,要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面,按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求,对信息流进行不同等级的划分,从而达到有效保护的目的。信息系统的安全保护等级分为五级:第一级为自主保护级,第二级指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
针对政府、企业常用的三级安全保护设计中,主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下,实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。
图1 三级系统安全保护示意图
图2 VPN产品部署示意图
4.VPN技术及其发展趋势
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求,目前VPN技术主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障,协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术,对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。
SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备,无需安装客户端软件,授权用户能够从任何标准的WEB浏览器和互联网安全地连接到企业网络资源。SSL VPN产品最适合于远程单机用户与中心之间的虚拟网构建。
整个VPN通信过程可以简化为以下4个步骤:
(1)客户机向VPN服务器发出连接请求。
(2)VPN服务器响应请求并向客户机发出身份认证的请求,客户机与VPN服务器通过信息的交换确认对方的身份,这种身份确认是双向的。
(3)VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数,形成安全隧道。
(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。
目前国外公开的相关VPN产品多数采用软件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合国家密码产品管理和应用的要求。《商用密码管理条例》(中华人民共和国国务院第273号令,1999年10月7日)第四章第十四条规定:任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。国家密码管理局在2009年针对VPN产品下发了《IPSec VPN技术规范》和《SSL VPN技术规范》,明确要求了VPN产品的技术体系和算法要求。
5.VPN技术在等级保护中的应用
在三级防护四大方面的设计要求中,VPN技术可以说是在四大方面的设计要求中都有广泛的应用:
在安全计算环境的设计要求中:首先在实现身份鉴别方面,在用户访问的中心,系统管理员都统一建立的有用户的用户组和用户名,用户会通过VPN的设备登录访问中心的应用系统,当身份得到鉴别通过时才可访问应用系统;其次在数据的完整性保护和保密性保护上都能够防止用户的数据在传输过程中被恶意篡改和盗取。
在安全区域边界的设计要求中:网络边界子系统的边界控制与VPN功能一体化实现,在保证传输安全性的同时提高网络数据包处理效率。
在安全通信网络的设计要求中:网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道,通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护,为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关,通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输,实现应用数据的加密通信。
在安全管理中心的设计要求中:系统管理中,VPN技术在主机资源和用户管理能够实现很好的保护,对用户登录、外设接口、网络通信、文件操作及进程服务等方面进行监视机制,确保重要信息安全可控,满足对主机的安全监管需要。
在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。
篇3
关键词:二次安防 电力系统 网络安全
一、引言
电力生产直接关系到国计民生,其安全问题一直是国家关注的重点之一。电力监控系统及调度数据网络作为电力系统的重要基础设施,不仅与电力系统生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全运行的重要组成部分。
随着通信技术和网络技术的发展,接入调度数据网的电力控制系统越来越多,调度中心、变电站、电厂、用户等之间的数据交换也越来越频繁,这对电力监控系统和数据网络的安全性、可靠性和实时性提出了新的严峻挑战。
二、本地110kV变电站二次系统现状
目前电力二次系统存在的主要问题有:管理区和生产区存在着双向的数据互换;缺乏加密,认证机制,没有入侵检测等预警机制;没有漏洞扫描和审计手段,接入存在安全隐患等。
随着网络技术的迅猛发展,为满足网络技术在电力系统中的应用,加之通过网络传输远动信息的迫切要求,IEC国际电工委员会在IEC60870-5-101基本远动任务配套标准的基础上,又制定了IEC60870-5-104远动传输规约标准,广东电网公司则据此制定了广东电网DL/T634.5104-2002实施细则。它采用平衡传输模式,通过TCP/IP协议实现网络传输远动信息,适用于调度主站(中心站)EMS系统和子站(远方站)RTU或计算机监控系统之间采用专用Intranet网络进行通讯。
因此,本地电网在当前已建设完成的地调、500kV变电站及220kV变电站生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护的基础上,进一步完善局本部安全防护体系,并结合地区调度数据网建设将安全防护建设范围拓展至110kV变电站。
三、整体解决方案
1. 安全防护目标及重点
电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击,能够抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
安全防护目标是防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的一次系统的事故以及二次系统的崩溃;防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。
2. 安全防护策略
安全防护总体策略是:安全分区、网络专用、横向隔离、纵向认证。
2.1安全分区。
二次系统从逻辑上可划分为生产控制区和生产管理区,其中生产控制区又分为实时控制区(Ⅰ区)和非控制生产区(Ⅱ区);生产管理区又分为调度生产管理区(Ⅲ区)和管理信息区(Ⅳ区),调度系统主要负责安全区Ⅰ、Ⅱ、Ⅲ的安全防护。
2.2网络专用。
在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。并通过采用MPLS-VPN或IPsec-VPN在专网上形成多个相互逻辑隔离的VPN,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。
2.3横向隔离。
采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,在生产控制大区与管理信息大区之间,隔离强度应接近或达到物理隔离,必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。在生产控制大区内部的安全区之间,进行逻辑隔离,采用具有访问控制功能的网络设备、防火墙或者相当功能的设施。
2.4纵向认证。
采用认证、加密等手段实现数据的远方安全传输。
3. 110kV变电站安全防护方案
110kV变电站二次系统安全防护不接入省调,生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其总体设计逻辑结构如下图。该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区域的纵向互联的逻辑结构以及网络安全产品的总体部署。
3.1纵向加密装置
用于生产控制大区的广域边界防护,为电力网关机之间的广域通信提供认证与加密功能,实现数据传输的机密性和完整性保护。
3.2纵向互联防火墙
提供基于策略的会话限制,方便用户对网络中会话的管理,有效抵御内外部对网络的攻击和滥用。
3.3控制区互联交换机
在控制区互联交换机上将站端调度数据网实时VPN业务段地址划分为两个VLAN(VLAN100和VLAN199),其中VLAN100用于远动等自动化业务的接入和通过纵向加密认证装置与调度数据网实时VPN的互联,VLAN199用于保信等其它业务系统的接入和通过防火墙与调度数据网非实时VPN互联。
四、结束语
本文就目前电力监控系统和调度数据网络面临越来越多的安全威胁,进而影响电网安全的形势下,对电力二次系统安全防护的主要目标及防护策略展开分析,并介绍本地区供电局在110kV变电站二次系统安全防护的实施方案。随着计算机技术发展,计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下,才能真正达到保证安全的目的。同时,调度自动化安全防护是一个动态的工作过程,而不是一种状态或目标。随着风险、人员、技术不断地变化发展,以及调度应用与应用环境的发展,安全目标和策略也发生着变化,电力二次系统的安全管理需要不断跟踪并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、高效可靠运行。
参考文献:
[1]国家电力监管委员会,电力二次系统安全防护总体方案[R],2006.
篇4
第一条水利信息网分为政务内网和政务外网,政务内网与政务外网之间实行物理隔离。政务外网分为广域网、部门网和接入网,其中广域网由骨干网、省市网和县区网组成。依据国家有关法律法规,制定本方案。
第二条水利信息网是水利行业各单位计算机网络互连构成的网络系统,是防汛抗旱、水资源管理、水土保持等各类水利信息传输的专用网络,是水利信息化的重要基础设施。
第三条为加强水利信息网的管理,保障水利信息网正常、高效、安全运行,促进水利信息网健康发展,推动水利信息化工作。
第四条本方案适用于接入水利信息网政务外网与内网的水利行业各单位。
第二章管理机构
第五条水利信息网的运行管理遵循分级管理的原则,各单位要理顺管理体制,明确专门的网络管理部门,配备专职的技术人员,设定岗位,强化责任,保障网络运行管理工作的正常进行。
第六条市防汛抗旱指挥部办公室负责水利信息网的硬件运行管理工作,其主要职责是:组织制定水利信息网的管理方案、规范和技术标准,监督和检查实施情况;分配水利信息网ip地址;运行、监视和管理骨干网线路、设备;指导、检查和协调县区网的运行管理工作;组织水利信息网资源和运行情况的调查,水利信息网运行情况公告、公报和年报;组织有关的技术培训和交流;水利信息网的技术咨询和技术服务;与中国互联网管理部门和其他相关单位的业务联系。
市水利局办公室负责水利信息网政务网站的管理工作,其主要职责是:组织制定水利系统信息管理考评方案和进行考评工作;负责网站的日常维护和信息的更新工作;负责各类水利信息、行政公告、普发性文件、统计资料的审查、页面编辑及对外工作。
第七条县(区)水利(水保)局的网络管理部门负责所属县区网的运行管理工作,其主要职责是:组织制定所属县区网的管理方案、规范和技术标准,监督和检查实施情况;分配所属县区网ip地址;运行、监视所属县区网和所在单位网;指导、检查和协调下级网络的运行管理工作;组织所属县区网及所在单位部门网资源和运行情况的调查,有关数据;组织有关的技术培训和交流;所属县区网的技术咨询和技术服务;与其他相关单位的业务联系。
第三章局域网网络管理与接入
第八条水利信息网局域网包括办公楼的交换机、网线、接口、网络系统等,全部设备均属本局所有,用户只能按规定使用,不能占为己有。
第九条用户使用网络,由市防办负责给以接入、开通和调试。严禁用户擅自接入网络。
第十条入网用户的ip地址、计算机名、分组等基本信息,必须依据《水利信息网命名及ip地址分配规定》(sl307-)进行,由市防办统一分配管理,用户不得擅自更改。
第十一条各用户要爱护网络,不得擅自移动和损害。安装、装潢等施工涉及到网络的要提前与局防办联系,制定防护措施。每个用户都有保护网络设备和线路的义务,发现正在对网络实施损害的行为有权制止,发现网络有损坏的有义务报告。
第十二条加强对接入水利信息网的因特网等其他网络的管理,保证水利信息网与其他网络的安全隔离。
第四章网络服务
第十三条网络服务是指利用水利信息网资源为信息传输和应用系统运行提供的服务。
第十四条水利信息网政务网站是我市水利行业面向社会的窗口,是与公众互动的渠道,面向社会提供水利政务信息和与水利相关的在线服务。
第十五条凡市水利局工作人员,均可到市防办申请办理5m的免费电子邮箱,科室单位申请办理10m的免费邮箱。
第十六条加强系统网站、邮件、文件服务、数据应用服务器、ftp服务器等网络应用的管理,保证网络应用的正常运行。
第五章网络安全
第十七条加强网络安全管理,落实网络安全责任制;定期分析、评估所属网络的安全状况,配备网络安全设施,制定有效的安全保障方案;加强网络安全监视,落实安全保障措施;明确专门的网络安全管理人员,负责网络安全管理工作。
第十八条网络管理部门对于网络故障,要及时发现、及时定位、及时解决;对于影响到骨干网运行的故障,必须及时处理;对于影响到其他上级网络的故障,要及时向上级网络管理部门报告。
第十九条各级网络管理部门要加强计算机网络病毒的防范工作,建立计算机网络病毒防控体系。采取有力措施,预防和控制计算机病毒的产生、传播、复制和扩散,做到及时发现、及时隔离、及时处理,及时升级操作系统和防病毒软件。
第二十条各级网络管理部门要加强用户、系统和设备等的账号口令管理,重要系统和设备的账号口令由专人保管,并严格限定使用范围,严防账号口令泄露。
第二十一条不得在水利信息网上存放或传输任何信息。
第六章网络用户
第二十二条各级网络管理部门负责所属网络用户的监督和管理。
第二十三条网络用户必须遵守国家有关法律法规,遵守水利信息网管理规章制度,配合相关的管理工作。网络用户要积极参加单位组织的网络、信息和安全方面的培训,提高使用技能,增强安全意识。
第二十四条网络用户在遇到网络故障、攻击、事故,收到非法信息,感染计算机病毒时,应及时向本单位网络管理部门报告。
第二十五条网络用户须对本人的网络行为负责,不得有下列行为:
1、私自修改和删除本人计算机的网络配置;
2、私自安装影响网络运行的软件或系统;
3、私自接入他人的网络端口;
4、私自接入未经允许的网络设备;
5、私自接入政务内网等其他网络;
6、在网络上传播信息或违反国家法律、法规的不良信息;
7、安装盗版软件;
8、卸载统一安装的网络防病毒软件;
9、故意制作、下载、传播计算机病毒等恶意程序和其他有害数据;
10、向社会虚假的计算机病毒疫情;
11、未经允许,登录他人计算机信息系统或者使用计算机信息系统资源;
12、其他危害网络安全和信息安全的行为。
第七章网络机房和设备
第二十六条按照网络机房的标准和规范建立专用的网络机房,为网络设备提供良好的运行环境。
第二十七条各级网络管理部门要制定完善的网络机房管理制度,对机房内的温湿度和设备运行情况进行实时监控。无关人员未经允许,不得进入机房。
第二十八条各级网络管理部门要加强网络设备管理,对各类设备进行归类编码,建立档案。实行网络设备责任制,做到专人专管,并对相关操作进行详细记录。
第二十九条各级网络管理部门要对各类设备定期检查、监视和维护,加强访问权限控制;建立关键设备的备份和报修制度;加强各类设备的配置参数管理。
第八章保障措施
第三十条各单位要高度重视水利信息网运行管理工作,加强对运行管理工作的领导。
第三十一条各单位要积极筹措和落实网络运行维护经费,将网络运行维护经费列入部门预算,为网络的正常运行维护提供保障。
第三十二条各单位要建立结构合理、人员相对稳定的网络运行管理队伍,制定培训计划,完善培训制度,加强人员培训和技术交流,提高网络运行和管理的技术水平。
第三十三条各级网络管理部门要加强防汛等重点线路、重点设备、重点应用的管理,重视网络应急预案建设,提高预警、响应和应急处理能力,网络应急预案应报上级网络管理部门备案。
第三十四条网络运行管理部门要保证骨干网有关设备724小时不间断运行,对于因检修或其他原因需停机的,应提前通知有关部门。
第三十五条各级网络管理部门应加强值班特别是汛期值班工作,加强日常网络维护管理,配备必要的维护软件和工具,落实管理责任制,规范管理流程,提高管理效率,做好工作日志,加强制度落实的检查和考核。
第三十六条各级网络管理部门要加强网络用户服务,规范服务流程,对用户进行定期检查,对网络故障采用多种方式(电话、网络、邮件、上门等)进行维护,保障用户和应用系统的正常工作。
第九章奖励与处罚
第三十七条对于在网络运行管理工作中做出显著成绩的单位和个人,予以表彰和奖励。
第三十九条对于违反本方案第二十五条的网络用户,对于因管理不善和失职,导致网络管理工作失误,造成严重影响的单位和个人,予以通报批评,情节严重的根据有关规定予以追究责任。
第十章附则
篇5
公司各项目监理部:
为进一步加强施工现场的安全管理工作,特下发此方案,望各项目监理组认真贯彻执行。
一、 监理编制内容
1、《安全监理规划》
(1)明确安全监理的范围
(2)规划内容
(3)工作程序和制度措施,
(4)人员配备计划和职责
2、《安全监理实施细则》
(1)实施细则应当明确安全监理的方法
(2)措施和控制要点
(3)对施工单位安全技术措施的检查方案
二、监理审核内容
1、施工单位(含分包单位)资质及人员的审核。
(1)施工单位资质、营业执照、安全生产许可证(附件复印件必须加盖本单位公章)
(2)管理人员及特殊工种上岗证(要求人证相符)
2、主要机械、设备、材料进场的审核
(1)机械、设备、材料生产许可证、出厂合格证及出厂检测报告
(2)机械、设备安装、拆卸单位的资质和人员资质
(3)机械、设备安装及拆卸方案
(4)机械、设备专业检测单位的资质和人员资质
3、施工组织设计中关于安全专项分类审查
(1)施工单位编制的地下管线保护措施方案是否符合强制性标准要求;
(2)基坑支护与降水、土方开挖与边坡防护、模板、起重吊装、脚手架、拆除、爆破等分部分项工程的专项施工方案是否符合强制性标准要求;
(3)施工现场临时用电施工组织设计或者安全用电技术措施和电气防火措施
是否符合强制性标准要求;
(4)冬季、雨季等季节性施工方案的制定是否符合强制性标准要求;
(5)施工总平面布置图是否符合安全生产的要求,办公、宿舍、食堂、道路等临时设施设置以及排水、防火措施是否符合强制性标准要求。
(6)检查施工单位在工程项目上的安全生产规章制度和安全监管机构的建立、健全及专职安全生产管理人员配备情况,督促施工单位检查各分包单位的安全生产规章制度的建立情况。
4、《应急救援预案》审查
(1)审核应急救援组织或者配备应急救援人员。
(2)审核配备救援器材、设备及定期组织演练情况落实。
(3)审核预案中救援、处理措施。
5、专项方案审核
(1)内容的审查
①工程概况:危险性较大的分部分项工程概况、施工平面布置、施工要求和技术保证条件;
②编制依据:相关法律、法规、规范性文件、标准、规范及图纸(国标图集)、施工组织设计等;
③施工计划:包括施工进度计划、材料与设备计划;
④施工工艺技术:技术参数、工艺流程、施工方法、检查验收等;
⑤施工安全保证措施:组织保障、技术措施、应急预案、监测监控等; ⑥劳动力计划:专职安全生产管理人员、特种作业人员等;
⑦计算书及相关图纸。
(2)危险源的分类
①基坑支护、降水工程
②土方开挖工程
③模板工程及支撑体系
④起重吊装及安装拆卸工程
⑤脚手架工程
⑥拆除、爆破工程
⑦其它
附件一:《危险性较大的分部分项工程范围》
(3)专家论证分项审查
①深基坑工程
②模版工程机支撑体系
③起重吊装及安装拆卸工程
④脚手架工程
⑤拆除、爆破工程
⑥其他
附件二:《超过一定规模的危险性较大的分部分项工程范围》
三、建筑起重机械网络安全管理
1、审核建筑起重机械特种设备制造许可证、产品合格证、制造监督检验证明、备案证明等文件;
2、审核建筑起重机械安装单位、使用单位的资质证书、安全生产许可证和特种作业人员的特种作业操作资格证书;
3、审核建筑起重机械安装、拆卸工程专项施工方案;
4、监督安装单位执行建筑起重机械安装、拆卸工程专项施工方案情况;
5、监督检查建筑起重机械的使用情况;
6、发现存在生产安全事故隐患的,应当要求安装单位、使用单位限期整改,对安装单位、使用单位拒不整改的,及时向建设单位报告。
四、监理安全巡检记录
(1)监理人员定期对现场进行安全巡查,并形成巡检记录。施工单位安全员签后字一式三份,建设单位、监理单位、施工单位。
(2)对发现的各类安全事故隐患,应书面通知施工单位,并督促其立即整改
(3)情况严重的,监理单位应及时下达工程暂停令,要求施工单位停工整改,并同时报告建设单位。
(4)施工单位拒不整改或不停工整改的,监理项目部应当及时向工程所在地建设主管部门或工程项目的行业主管部分报告。同时上报监理公司。
附件三:《安全巡检记录》
五、如施工单位没有及时或不上报监理单位需要的资质、方案等,监理项目部对施工单位下发监理通知单,情节严重与建设单位沟通后下发安全隐患停工令,并上报公司。
篇6
一、抓检查整改,加大安全管理力度
(1)突出了计算机安全管理。计算机的应用提高了工作效率,同时也给安全保卫工作带来新的课题。为强化计算机安全管理,我联社根据市办要求切实制定了计算机安全管理办法和计算机集中购置管理办法等,落实了管理责任,使计算机购置、安装、操作、使用、保养、业务备份管理等逐步走向规范化。同时,加大检查落实力度,对全辖计算机安全管理组织检查活动x次,对计算机系统用户和口令保护、数据安全、网络安全、硬件安装、病毒防范等方面进行了地毯式排查整改,确保了全辖计算机管理安全无事故。
(2)强化了检查整改。为促进安全保卫工作制度化、规范化,落实检查效果。年初,我们根据x办指示制定了安全保卫检查实施办法和违规违纪处罚实施细则,采取常规性检查与突击性抽查、白天查与晚上查、下乡随时查与重大节日专题查相结合的办法,时刻注意掌握辖内安全保卫工作动态,整改隐患,堵塞漏洞,防患于未然。今年来,我们采取听、查、问、试等方法,采取百分制形式,查制度看落实、查管理看漏洞、查设施看隐患、查思想看认识等方式将安全保卫工作纳入到每季综合考核工作目标,实行按季考核、按年兑现的工作新举措。
(3)严格五项管理。一是严格了押运安全管理。严格落实守、押安全制度,严格押运操作规程,确保了营业网点封包安全准时接送无差错,实现了押运无事故。二是严格了营业、守库、值班安全管理。各分社普遍建立了11项安全工作基本制度,制定了“四防”应急处置预案,并能做到制度上墙,内容入心,操作熟练。三是严格了枪弹管理。普遍落实了枪弹管理安全责任制,严格实行枪弹分管等“十严”规范化管理制度,领用、交接手续严密,登记齐全,责任明确,并做到部门每周检查和领导按月检查监督,保管实行定人定责擦洗保养制度,保持性能良好,全年未出现任何违规持枪或滥用现象,确保了枪弹管理安全。四是严格了联防管理。各网点与四邻的机关单位或居民户、地方政府及公安派出所都建立了联防关系,签订联防协议,并加强了与联防户的联谊,使之能招之即来。五是严格了信息档案管理。
(4)加强物防建设。我们牢固树立“花钱保平安”的思想,贯彻从安全出发、从实际出发的原则, 制定科学合理的安全设施建设计划,区别轻重缓急,分步实施,加大资金投入力度。今年来,在经费紧张的情况下,先后投入资金1.3万元,不断改进和加强安全设施建设,提高物防和技防水平,提高了安全系数。一是加强了金库房安全设施建设。新置联社中心库房大保险柜x台,完善联社营业部守库房设备。新置排气扇一台、双层铁床x架,加固库房门x只。二是加强了押运安全设施建设 。
篇7
一、我国金融会计领域应用计算机的主要发展过程
(一)起步阶段:我国金融会计电子化工作最早起步于二十世纪70年代末,在80年代初期得到了初步发展。这一时期,计算机开始在会计制表、储蓄、对公核算业务方面得到初步应用,应用系统一般在DOS平台上单机运行,系统的开发、硬件的选型均不统一,软件系统的特点也只是模拟手工核算,目的只是为了减少劳动强度和工作量,缺乏操作规范和管理制度。
(二)发展阶段:到80年代中后期,金融电子化工作得到各行重视,各银行系统纷纷制定本行的电子化发展规划,人民银行对整个金融业的发展规划也做出了安排。在此期间金融会计电子化的应用领域和规模迅速扩大,区域性乃至全国性的清算网络开始建设。这一时期的另一特点是,一些银行开始了微机应用由单机向网络运行的过渡,如出现城市通存通兑网络、同城清算网络,业务应用领域也从单项业务发展向综合会计业务过渡,软件开发和硬件选型在一定范围内得到统一,操作规范和管理规章制度已经建立。人总行在这一时期牵头制定了金融电子化发展规划和远期目标设想,1989年人行全国电子联行清算网络系统开始启动,同年财政部颁布实施了《会计核算软件管理的几项规定试行》,以规范会计软件管理工作。
(三)规范再发展阶段:进入90年代,金融会计电子化规范管理工作得到有关部门重视,各行在此基础上逐渐建立起了本系统的全国异地电子联行清算系统如异地汇划系统、信用卡清算系统等,在90年代后期一些行会计核算在大中城市建立了集中清算中心,财政部也于1994年7月颁布实施了《会计电算化管理办法》、《商品化会计核算软件评审规则》和《会计核算软件基本功能规范》。这一时期会计电子化安全问题得到进一步的重视,网络安全问题逐渐成为安全防范的主要研究课题。
今后,伴随电子商务的发展,金融会计电子化工作向网络化发展,网络银行、电话银行出现,网络安全成为金融会计电子化安全工作的重点,电子化的规章制度和法规应运而生,会计电子化的安全日益关系到银行生存乃至整个社会的稳定。
二、目前我国金融会计电子化工作中存在的主要安全问题
回顾我国金融电子化的发展历程,我们认为目前我国金融会计电子化工作主要存在以下安全问题:
(一)软件设计、开发中技术安全措施少、安全级别低。现有会计应用软件系统在设计、开发阶段,普遍存在系统需求中安全需求少、软件设计重功能轻安全,软件设计选用语言和数据库考虑安全性能少,以至软件投入运行后暴露出诸多安全隐患,如数据库呈开放状态,易于打开,应用系统软件存在安全“BUG”等。这类现象在金融会计电子化起步、发展阶段开发的系统更为明显,并且这些软件系统在目前还未得到彻底更新换版。
(二)硬件自身安全性能低。这主要是在硬件选型上考虑安全性能的比较少,而主要侧重硬件功能和价格的考察,另外这与在硬件选型上不统一,缺乏金融系统的统一的硬件选型标准有关系。这样造成的结果是由于硬件的安全问题直接影响会计应用系统软件的正常运行。
(三)机房建设中存在安全隐患。尽管我们国家出台了《中华人民共和国计算机房、站、场地安全要求》,但这一要求在一些小的机房、场地建设中注意的较少,尤其在一些县支行机房建设中安全要求没有得到彻底落实,甚至有的地方没有专用的计算机房和场地,并且即使建立了专用计算机房,由于考虑资金等因素,许多安全设施并未配置齐全,如有的机房无避雷系统、不配备“UPS”系统、“UPS”损坏后不及时修理、机房管理不严密等。
(四)网络安全问题突出。由于我国计算机网络建设时间比较短,安全经验不足,暴露出的网络安全问题也比较多的。这主要表现在以下几方面:
一是网络传输载体本身安全性能不稳定。目前我国网络传输载体主要分有线和微波两种,可从我们应用会计电子化网络的实践看,这两种载体都或多或少地存在有安全问题。比如电信部门提供的传输线路传输质量不高,所用电话线路由于多为明线易损坏,而微波载体由于通讯发送、接收设备安全性能不高,一些外来自然因素影响了传输效果,甚至导致传输线路暂时中断。如目前人行电子联行系统就存在因雨、雪天气导致通讯中断的现象,就是X.25专线也多次发生过因电信部门线路被损坏影响数据传输的现象。
二是投入使用的网络软件安全技术措施少,尤其是地方性局域网络。首先由于目前对于地方建设的清算和会计信息传输网络的安全技术规范还不大明确,并且对于局域网络安全建设的认证、验收还没有一个技术规范和认证体系,使得局域网络建设缺少安全把关,使已建成网络在安全方面存在较多漏洞和隐患。
(五)应用系统操作和使用过程中存在的安全问题。金融会计电子化工作在应用会计微机系统方面存在的主要安全问题就是操作和管理人员安全意识淡薄,当然具体管理工作薄弱也是一个不可忽视的一点。首先,在操作人员方面,主要表现为操作密码管理不严格,存在密码口令使用周期过长、密码泄密、操作用户离岗不签退应用系统、窃密等问题,这主要源于操作人员安全意识淡薄;其次,业务部门管理人员安全意识淡薄,对于一些安全管理制度检查落实不到位,尤其对安全操作与方便业务处理两者之间的关系处理不妥当,在管理中突出表现就是违背安全规定设置和配备操作岗位和操作人员,出现违规操作、违规兼岗现象,对计算机房疏于管理;第三,系统管理人员安全职责履行不到位。系统管理员的两项重要职责就是保证自己操作的安全和会计应用系统运行的安全。目前有的系统管理员对以上两项职责履行不到位,存在重视自身操作安全忽视对用户操作安全的检查,有的疏于对计算机电源、硬件设备的定期安全检查、检修,对会计应用系统的操作和运行状况不能做到定期检查。第四,在具体安全管理方面,手段比较少,对软、硬件的安全检查更少。银行会计部门每年都要搞安全检查,但往往只是注重业务操作管理制度落实情况的检查,很少联合科技部门对会计应用系统软硬件的安全状况进行检查。即使对业务操作安全方面的检查,由于只是对操作现场简单了解一下,也很难发现日常存在的一些安全问题。
(六)制度和法规建设滞后,直接降低了会计应用系统的运行安全性能。比如人总行组织开发推广的“中央银行会计核算系统”我们在1993年就开始了推广应用工作,1996年已推广到系统内多数营业机构,而真正的管理办法《中央银行会计核算系统》到1997年方出台,这在当时为许多行管理此系统安全形成许多不便。另外,法律制度的滞后也使一些机构无所适从,比如目前印鉴技术已发展到电子印鉴逐渐取代传统印鉴阶段,电子印鉴的安全系数不断得到提高,但是现在的法律不认可电子印鉴。还有伴随金融电子联行的普及和异地汇划网络的建设,异地汇兑处理手续也发生了变化,《支付结算会计核算处理手续》有的环节已不适应电子化形势,但至今未做出改变,这使得一些电子联行处理手续合理不合法。另外,即使有的行及时制定了有关的操作规程和管理办法,但由于基层行没有制定切实可行的安全实施细则,加之操作和管理人员安全意识的淡薄,现有制度没有落实到位的还很多。比如人民银行电子联行“管理制度”明确规定了核查制度,可在基层卫星小站和县支行很少将此规定落到实处。
三、解决金融会计电子化安全问题的几点建议
为防范和解决金融会计电子化工作中的安全问题,确保会计工作在电子化条件下安全、高效地开展,笔者特建议如下:
(一)程序设计、开发阶段加强系统安全技术措施的运用。首先,要求业务部门谋划系统业务需求时,要充分考虑到诸多安全因素,对系统安全提出明确、具体的业务需求,一改过去重功能轻安全的做法;其次,在软件系统设计开发阶段,软件编辑人员应选用安全性能高的数据库、运用严密的编程语言开发软件,尽量减少程序上的安全“BUG”;再次,在硬件选型时,要尽量采用安全性能高、运行质量好的设备,减少硬件安全隐患;四是建议有关部门,尽快制定出金融系统软件开发规范和硬件选型标准,尤其明确安全规范。
(二)会计计算机系统应用阶段安全防范。
1.建议各银行对会计系统内计算机房建设情况进行一次安全大检查,对于不符合《中华人民共和国计算机房、站、场地安全要求》的责令立即进行整改。
2.各家银行有必要对自家先投入使用的会计计算机系统进行一次自我分析,目的是发现和解决系统设计、开发阶段遗留的安全隐患,并在此基础上对旧版本软件进行换版升级。
3.加强计算机安全教育,提高操作人员和管理人员的计算机安全意识。金融会计电子化的安全防范措施最基本的还是人的因素。因此,需要尽更大的努力去提高人们对计算机安全的认识,尤其对会计系统安全的认识,各级教育部门和业务管理部门在这方面应做更多的教育工作。超级秘书网
篇8
一、突出业务型,改良队伍素质
我市现有保密队伍普遍存在技术人才不足,业务能力不强,人员素质参差不齐的问题。有的工作定位在“看门守摊”,有的思迁不思变,思调不思干,有的精神不振,缺乏激情。保密事业发展靠人,人是决定因素。因此,我们首先要坚持以人为本,在改良保密队伍素质上下功夫。
1、树立奉献精神
虽然我们长期为保密事业辛勤工作,任劳任怨,最后付出与回报可能有落差。但是,我们不应该专注个人得失,应该更多的看到我们所从事的事业为经济社会发展提供安全保障的重要作用和它的神圣意义,多想一想过去无数先烈付出的比我们多得多,多重温一下入党时的誓言,保持清醒头脑,坚定理想信念,讲求正确的人生观、价值观,树立奉献精神,甘当无名小卒。“人往高处走,高处不胜寒;水往低处流,低处纳百川”。平凡的岗位也有它的乐趣,也能干出不平凡的事业。“活着并工作着是美丽的”,知足常乐未尝不可。
2、加强教育培训
学习培训是提高保密人员业务知识和业务能力最便捷、最有效的途径,我们可以根据实际需要,切实开展教育培训活动。一是编印保密手册,突出针对性、指导性和可操作性,将上级有关保密工作的规定和要求进行“瘦身”,然后编印成册,提供全市领导干部和党政机关人员学习、应用。二是对全市保密员进行一次普查,弄清基本情况,组织专门培训,落实持证上岗,签订保密协议。三是采取“请进来、走出去”的办法,邀请省、市有关专家举办专题辅导讲座,不定期地组织保密干部到外地参观学习,或参加省、市组织的各类专业培训。通过各类培训活动,不断提高人员整体素质。
3、吸纳技术人才
吸纳保密技术人才,加强保密技术人才队伍建设,是适应新时期保密工作的需要。其一是成立保密技术专家委员会。拟从保密、公安、国安、信息产业、高校等单位筛选物色技术专家,组成专家委员会,在网络安全管理中充分发挥专家的技术支撑作用。其二是组建市保密技术检查中心。我市保密技术检查中心市编委已行文同意成立,当前要抓紧筹备,选调好政治上成熟可靠,既有实践经验又有专业水平的技术人才,使市保密技术检查中心尽快挂牌运作,开展业务,发挥作用。
二、体现灵活性,改进工作方法
改进工作方法,必须摒弃传统思维定势,改变单一的老习惯、老办法,围绕工作任务的完成和工作目标的实现多元思考,创新方法,灵活应对。
1、变被动为主动
保密工作部门不能停留于以往只接受工作任务,只负责上传下达,扮演“接收器”和“传声筒”的角色,应该独立思考,擅变求变,主动出击。除了完成省保密局和市保密委等上级工作任务做好“规定动作”之外,注意从自身职责范围出发,策划确定好各个时期应予推进的目标任务,安排好工作要点,完成“自选动作”。振奋精神,更新观念,主动作为,实现从“要”向“我要干”转变。
2、既“合纵”又“联横”
保密工作部门的组织协调能力如何,直接关系到工作进展的顺畅程度和工作效果的好坏。我们要做到既“合纵”又“联横”,不断提高组织协调能力。“合纵”就是上下组织。首先我们要善于向领导汇报请示工作,积极争取领导支持重视,由“抓领导”转化为“领导抓”。其次是与各县(区)、市直单位要加强沟通,部署任务,上传下达,督促检查,保持工作上的紧密联系;“联横”就是协调左右。一是要加强与市保密委各成员单位的工作研究,完善保密工作协调联系机制,推动部门配合,发挥整体效能。二是统筹好跨行业垂直部门的保密工作,处理好垂直管理与分块管理的关系。另则通过互通信息,整合力量,加强配合,力促保密执法顺利开展。
3、坚持督查与整改相结合
我市于每月15日开展保密督查的“督查日”制度,作为保密督查常规化、制度化的手段和载体,在实际操作中显示强盛生命力,是推动“查漏补缺”工程的有效尝试。我们要继续执行好“督查日”制度,通过督查帮助发现隐患,及时通报情况,提出整改意见。同时坚持督查与整改相结合,以完善管理为目的,对受检单位存在问题的整改实行全程跟踪,避免出现“检查力度不少,过后问题依旧”的被动状况,讲究督查的实际效果,实现手段与目的相统一。
三、强调规范化,改善安全管理
随着新技术,新手段的广泛应用,保密工作的安全形势日益严峻。强调规范化,依法行政,按法律法规办事,“不择手段”地加强安全管理,是确保国家秘密安全的关健所在。
1、强化要害部门、部位的管理
我市保密要害部门、部位已经过省里的审查确认,当务之急是规范管理。要严格按照中央、省出台的管理实施细则要求,着重抓好人员的行为规范和保密场所的安全防范,落实好保密要害部门、部位的职责和监督管理,加强动态监测,不定期开展自查自纠,对照相关规定及时进行“补课”,进一步规范操作,改善管理。
2、抓好信息公开与保密
从今年5月1日起,国务院《政府信息公开条例》正式施行,各级政府行政机关的信息都要面对公开与保密的选择。我们应做好充分准备,坚持“谁公开,谁审查、谁负责”的原则,明确审查机构和人员,建立审查制度,落实责任,防范泄密。对公权力大、公益性强、公众关注度高的部门应列入重点管理,要加强业务培训,以公开为常态,以不公开为特例,力促科学、准确、规范定密,使信息该保的保住,该公开的能公开,确保公开与保密的规范化运行。
篇9
【 关键词 】 内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
作者简介:
篇10
根据监狱安排部署,为进一步增强监区防控公共安全风险意识和责任意识,提高对公共安全风险的有效控制和应对能力,提升安全防范意识和法治理念,吴忠监狱二监区按照《吴忠监狱开展“公共安全防范警示教育宣传月”活动实施方案》要求,扎实开展"公共安全防范警示教育宣传月"活动。现就活动开展情况总结如下:
一、开展“公共安全防范警示教育宣传月”活动安排及内容。
(一)根据活动实施方案,成立活动领导小组,任务分工,责任到人。
自接到监狱活动通知后,监区党支部会议研究,紧锣密鼓组织实施,根据《吴忠监狱开展“公共安全防范警示教育宣传月”活动实施方案》的要求,细化了活动内容,制定了活动流程,成立了由监区长任组长,教导员任副组长,监区其余警察为成员的活动领导小组。
为配合活动各项环节的实施,确保实效,监区集中组织学习了活动实施细则,统筹安排,按照责任分工,使得整个活动的目标明确 、组织设置完善、任务配套合理,确保了本次活动的顺利开展。
(二)“公共安全防范警示教育宣传月”活动主要内容。
1.组织开展“公共安全隐患大排查”活动。
在监区范围内组织开展了一次公共安全风险隐患大排查,重点对监内外各类火灾隐患、食品卫生、突发事件等进行排查,全面细致查找在开展公共安全教育培训、落实公共安全管理、防范公共安全风险能力等方面的风险点和薄弱环节,针对存在的问题隐患进行风险评估,制定整改方案和应急预案,进一步完善工作机制。
2.组织开展矛盾问题集中排查教育化解活动。
依托狱政部门开展的矛盾纠纷大排查大调处专项活动,认真抓落实。
3.组织开展“公共安全防范警示教育集中宣传日”活动 。
组织开展了一次“公共安全防范警示教育集中宣传日”活动,采取摆放宣传展板、悬挂标语、实物演示和组织服刑人员现身说法等形式开展,努力提升警察职工罪犯安全防范意识和自救技能。
4.利用新媒体开设“公共安全防范警示教育”主题宣传专栏。
监区充分发挥吴忠监狱门户网站、监狱政务微博、狱内电视台、电子屏等的作用,开设“公共安全防范警示教育”主题宣传专栏。宣传公共安全防范常识,推送安全防范等主题教育宣传内容,实现“公共安全防范警示教育”的“移动化、可视化”,进行互动交流,增强互动体验,方便警察职工罪犯学习安全防范知识。
5.开展各类警示教育。
(1).开展加强治安防范、对涉众型经济犯罪及新型互联网金融领域犯罪防范、加强打击传销及规范直销、网络安全等方面的警示教育。
(2).开展加强用水、用电、用气等生活常识、加强食品药品安全、加强公共卫生管理和公共卫生安全方面的警示教育。
(3).开展强化监区警察防火消防意识和自防自救能力、加强安全生产等方面的警示教育。
二、“公共安全防范警示教育宣传月”活动取得的成绩。
1.排查了监区内外各方面的风险点和薄弱环节,针对存在的问题隐患进行风险评估,制定整改方案和应急预案,进一步完善了工作机制。
2.提升了监区警察罪犯安全防范意识和自救技能。
3.提高了监区警察的健康和卫生安全防范理念。
4.提升了监区警察的安全素质和服刑人员的安全防范技能。
三、主要存在问题。
本次“公共安全防范警示教育”活动顺利结束,我狱按照监狱活动安排,圆满完成各项活动内容,实现了既定目标,收到预期效果,活动成效斐然,在肯定成绩的同时,也存在一些问题和不足,主要体现在:
(一)生产车间还存在一定的安全隐患。
在排查安全隐患的过程中发现,监区车间由于原料和成品的堆放,存在一定的安全隐患。
(二)个别警察思想认识不到位。
个别警察由于工作压力大,任务重,对组织开展活动有看法,存在一定的认识误区。
通过宣传教育,监区警察和服刑人员公共安全防范知识得到普及,安全防范意识得到全面提升,树立起了公共安全人人有责、人人尽责的良好氛围。
