时间:2022-12-14 09:59:29
导语:在信息安全服务的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1大数据时代“云服务”的特征
在信息发达的现代社会,“云服务”带给我们非常好的数据存储平台。我们可以将自己的信息放到云端,以便于随时随地的应用。将云服务的主要特征划分为以下几个方面:一,方便快捷。“云服务”的普及,使得使用者具有了一个内存大且不易丢失的存储工具,人们只要将数据信息传到上面,就可以放心的查看,使用,大大的节省了时间,给人们的生活带来便捷。二,高性能,高可靠性。“云服务”的各个单元相互独立,不会互相影响,它们有各自的软件及硬件资源,提供了高性能的服务。同时,在云端,提供各种数据的存储以及备份,还可以在工作失误的情况下,提供恢复的服务,大大的提高了使用的可靠性。三,隐私问题的保护和安全性有待提高。每件事情都有两面性,“云服务”也有。如何保证用户的数据不被非法的查看、盗窃、修改,是现在技术方面要着重考虑的问题。
2“云服务”信息安全隐患产生原因
2.1前期开发阶段安全性不高
软件在开发过程中,设计者没有考虑到来自互联网方面的各种危害,没有对软件本身的安全度加固。还有就是监管不到位,使用者没有注意到软件的防护与定期监管,就会使得各种恶意软件有了入侵的机会。
2.2使用者安全意识淡薄
使用者在注册登录的时候设置的密码过于简单,大大的降低了安全度。此外,没有做好安全加固和内部访问设限等都是潜在的安全隐患。
2.3黑客对信息的窃取
因为“云服务”的大范围使用,用户会将很多重要信息传到云端,这样就吸引大部分的竞争者。他们想要窃取并修改对方的信息,以造成对方的巨大损失,这样就产生了很多侵入别人信息内部的黑客。黑客是“云服务”信息安全的重大隐患。
2.4相关使用法律不规范
“云服务”的相关法律法规存在不规范之处,其对于使用者缺乏有效的监管与约束,从而造成了大量的使用者肆意妄为的现象频频发生。
3大数据时代“云服务”信息安全保护的重要性
因为“云服务”使用的范围广泛,大到国家,军队的相关信息,小到企业,个人的相关信息都与“云服务”密切相关。一个信息的泄露有可能影响到全局的发展,所以提高安全性是必要的。信息是一种资源,而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指确保信息完整,不能丢失。当用户将数据传输到云端,要确保数据永久存在,这样才可以让广大的使用者产生信任,吸引更多的使用者。可用性是指数据传输成功后,当用户再次使用,应确保数据仍旧可以被使用。保密性是指信息不能被泄露和修改。最后一个可靠性是指这个平台无论是本身存储方面,还是后期的管理方面,都要确保万无一失。这样才能使“云服务”更加广泛、放心地被使用。
4“云服务”信息安全保护措施
4.1加强技术保护
技术能力的提高是信息安全保护的直接方式。在网络普及的现代,侵权者的手段在不断的提高,过去保护的方法已经被破解,为了信息的安全存储,技术方面的提高迫在眉睫。在各方面迅速发展的情况下,研究新型的技术,培养高技术人才是网络信息安全保护的重大任务。4.2加强监管能力这里的监管包括软件自身的监管,行政监管和本身使用规范的监管三方面。软件自身的监管就是要增强软件自身防恶意侵袭和对软件时刻监管的能力,只有这个能力增强了,软件自身的可靠性也就大大的提高了。行政监管就是网络安全部门要制定相关的制度,必须明确使用者权限以及越权的相关惩罚。本身使用的监管就是使用者本身要有自我约束能力。
4.3增强加密系统
设置加密系统,首先要设定用户权限。具体表现为;为不同用户设置不同的使用权限,当非本人操作时,就会发出报警和自动加锁。其次要对数据进行加密,当用户申请访问数据时,就会有相应的解密,如果解密成功,就可以访问。反之,就会发出报警。当然,针对时间长久遗忘了相关加密信息的使用者,也应该有相关的验证,然后重新获取。
4.4增加相关保护法则
近年来,国家越来越致力于大数据的应用,那么越来越多的重要信息被传入到“云服务”。这些数据都是至关重要的,应该添加重要的法则加以约束。
5结语
大数据和“云服务”的时代已经到来,各行各业得到了迅速的发展,这给我们带来众多益处的同时也带来了更多的机遇和挑战。我们应该积极的面对,不断地发展,提高使用的安全性,让使用者更加放心的使用,让时代快速发展。
作者:张欢 单位:北京市昌平区第一中学
云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注信息安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。
1 云计算服务信息安全管理存在的风险
在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。
(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。
(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖
(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
2 云计算服务信息安全管理的要求
采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。
2.1 安全责任及安全管理水平不变
信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
2.2 资源的所有权及司法管辖关系不变
客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。
客户数据和业务的司法管辖权不应因采用云计算服务而改变。
2.3 坚持先审后用原则
云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
3 云计算服务的信息安全技术能力的要求
云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。
3.1 系统开发与供应链安全及系统与通信保护
云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
3.2 访问控制及配置管理
云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。
3.3 维护及应急响应与灾备
云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。
3.4 审计及风险评估与持续监控
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。
3.5 安全组织与人员及物理与环境保护
云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。
4 结语
本文通过云计算服务中信息安全管理存在的风险、云计算服务信息安全管理及技术能力等方面进行阐述,提出了云计算服务信息安全管理的具体措施及技术能力的具体要求,从管理及技术方面确保云计算服务的信息安全,保障云计算服务安全。
0 引言
随着两化融合进程的不断推进及工业控制系统的逐渐开放,无线传感网络、移动信息互联、物联网技术、精准定位授时等信息技术,在能源、制造、化工、水利、交通等重要领域的控制系统中得到了深入的应用,工业控制系统与IT系统逐步实现了协同工作和信息共享,进一步提高了企业的运营管理水平。但在企业综合效益提升的同时,工业控制系统也开始面临IT系统面临的木马攻击、病毒入侵和信息窃取等安全威胁,如果被敌对势力获取工业控制超级用户管理权限,对核心设施进行恶意攻击的话,不仅会造成经济损失,也将会对人民生命安全造成严重的威胁[1]。
目前,我国明确提出要做好重要工业基础设施信息安全保障工作,这也对信息安全保障服务的专业化程度和服务体系的建设提出了更高的要求,加强工业控制系统信息安全管理水平,提高抵御外来攻击的能力,降低工业控制系统造成破坏的概率和可能性,以技术和管理手段改善工业控制信息安全现状,保障国家安全与社会稳定,已经刻不容缓[2]。本文将围绕工业控制系统风险评估、等级保护测评、代码验证等核心环节,设计并提出工业控制系统信息安全专业化服务体系架构,进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量,提高服务效率。
1 构建专业化服务体系
目前,我国的工业控制系统信息安全管理和服务的相关标准规范还在酝酿中,仅部分行业部门出台了试行的安全评估、测评等相关服务规范,整体安全服务工作还缺少依据[3]。综合工业控制系统的共性特点、安全需求,其需要的核心服务主要包括系统安全测评、代码检测与环境验证、系统建设与加固、人才培养、渗透测试和网络监测预警等服务,以及能提供技术支撑的功能平台[4]。对工业控制系统的安全服务需求进行梳理,提出如下服务体系架构,该架构围绕专业化服务项目、服务平台和支撑环境建设展开,将为工控信息安全服务工作的开展提供组态化的解决方案。其中,服务项目是指服务机构或部门要具备的必须的技术能力和评估水平,服务平台是为相关服务开展提供技术支持的功能性平台,支撑环境是为服务的有效性提供验证和基础运行的必要条件。
2 服务能力建设
2.1 内网监测与预警服务能力建设
根据工业控制系统内部构成情况,实现能够对内网非法入侵、恶意攻击、内常规网络木马、后门事件、常规蠕虫事件、僵尸网络事件、异常流量(端口流量、协议流量、IP流量等)事件进行监测预警的服务能力。
2.2 安全咨询与培训能力建设
信息安全咨询与培训能力建设包括对安全体系建设咨询、研究项目合作咨询、测评技术培训、系统安全体系培训等。通过信息咨询服务体系定期重要工业控制系统最新漏洞、脆弱性、病毒等信息,为提高工业控制系统信息安全提供技术参考。同时,针对工业企业的现场管理流程和规范,对相关人员提供培训服务,主要从培训课程与实验环境两个方面进行人才培养,提升工业现场人员的安全管理能力和技术能力,构建信息安全知识体系。
2.3 系统建设与加固服务能力建设
以工业控制系统实际运行情况为基础,参照国际和国内的安全标准和规范,充分利用成熟的信息安全理论成果,为工业控制系统设计出兼顾整体性、可操作性,并且融策略、组织、运作和技术为一体的安全解决方案。安全技术建设的总体目标是:根据工控信息系统等级对应的信息安全要求,建立一套可以满足和实现这些安全要求的安全管理措施。安全管理措施包括适用的安全组织建设、安全策略建设和安全运行建设。安全管理措施与具体的安全要求相对应,在进行安全管理建设时,针对各系统现状和安全要求的差距选择安全管理措施中对应的安全管理手段。信息系统安全建设与加固的总体目标是:采用等级化和体系化的设计方法,为工业企业订制一整套的工控系统信息安全保障体系。根据安全体系的要求进行安全规划,将安全体系中的各类安全措施进行打包,形成多个系列的解决方案,并落实安全实施项目规划和工作规划。
2.4 系统渗透测试服务能力建设
根据工业控制领域安全性需要,组织工业控制系统渗透性测试能力建设,以保障工业控制系统配置、系统漏洞、网络流量、网络信息定位等方面的安全。所涉及到的技术不仅仅包括传统网络安全渗透测试技术还有工业控制系统渗透测试技术,这些技术通过对传统技术框架的改进方式,实现对工业控制系统硬件、软件和协议的支持。
2.5 代码检测与环境验证服务能力建设
针对工业控制系统的主要功能、性能指标进行检测,检验系统是否在连续性、实时性等方面满足工业要求,并提供稳定性验证服务以及实时性验证服务。
(1)稳定性验证服务。通过并发访问、单人多线登录、压力测试等方法对系统的稳定性进行评价,验证系统的稳定性是否符合工业生产要求。
(2)实时性验证服务。通过数据完整性、保密性、可用性检测,对工业控制系统内传输数据的时间数量级进行记录和评估,根据本行业的工业生产标准,验证系统实时性是否能够满足生产要求。
2.6 人才培养能力建设
从工控安全理论研究、技术研发等实验方面以及工控系统安全服务两方面培养高层次信息安全专业人才,力争将实验室建成一流信息安全人才培养基地。利用实验室的优厚技术条件,进行实际演练,掌握工业控制系统信息安全领域的关键技术,成为精通信息安全理论与技术的尖端人才。同时与各工控安全权威机构联合,通过共同开发与研究项目的形式,利用工业控制系统模拟环境,提供项目的实验与开发环境,保证技术领先性,培养可以从事信息安全研究的专业队伍,为实现工业企业的信息安全保障输送高质量人才。
2.7 系统安全测评服务能力建设
测评服务能力是指为工业控制信息系统提供安全测评服务,集风险评估、等级保护测评等功能于一体。通过安全测评服务能力的建设,完善工业控制系统信息安全产品测评能力与手段,充实工业控制系统信息安全相关资源库,在工控系统物理安全、网络安全、主机安全和管理安全等方面,为系统应用和控制过程提供最优的安全尺度、安全层面、安全平台。
3 服务平台建设
服务平台是服务开展的重要技术环境,平台的建设将进一步完善工业控制领域信息安全服务体制,提升工业控制领域信息安全服务效能,信息安全测评验证服务体系,逐步形成工业控制安全领域的产业多层次、多渠道、多元化的综合服务体系。平台架构如图2所示。
代码检测与环境验证子平台:通过为工业控制系统提供代码检测和环境验证等服务,将对工业控制嵌入式操作系统、应用软件进行代码安全性验证,找出软件代码的潜在威胁所在,加以防护,提高软件应用的安全性。将代码检测和环境验证平台作为技术支撑,实现工业控制系统PLC系统安全检测和嵌入式系统测试服务。
内网监控与预警子平台:对工业控制系统内部网络中的安全事件包括:恶意攻击、非法入侵、内网病毒、端口流量异常等进行监控,当安全事件发生时发出预警信息。
工控系统业务管理子系统平台:对测评、评估等服务项目提供全生命周期的过程管理,包括服务队伍建立、需求分析、资产识别、威胁分析和脆弱性识别等过程的管理,并可以通过内建的知识库为服务人员提供技术支持和信息查询。
工控系统安全测评服务子平台:结合网络安全建设和发展的实际情况,综合漏洞挖掘、安全评估、扫描分析和管理体系评估等多种手段,建设对于工业控制系统提供专项安全测评、检测服务、风险评估等服务。
4 支撑环境建设
4.1 工控模拟实验模拟环境建设
工业控制系统模拟环境是根据工业控制系统现场实际情况搭建的仿真模拟测试环境,是开展安全技术理论研究、漏洞验证、渗透测试、代码测试环境验证以等研究的基础,同时也是工具集研发的技术环境依托。模拟环境将以SCADA、DCS等为核心,结合无线、微波等网络技术,针对工业控制系统安全现状,将搭建电力、水利、燃气等重要工业控制领域的模拟环境,为开展攻防实验、技术研究等奠定基础。
4.2 软硬件支撑环境
软硬件支撑环境是整个服务体系的基础支撑环境,能够为模拟环境建设、服务平台建设以及服务能力建设提供必要的基础环境。软硬件基础环境主要包括基础网络环境、数据存储和服务系统和实现平台自身安全的防病毒、防入侵等安全措施。
5 结语
工业控制系统信息安全的需求和目标特性,决定了安全服务提供方式要区别于传统的IT系统,非体系化的服务不仅收效甚微,还很有可能会对工业现场带来安全威胁。本文构建的服务体系围绕服务能力、服务平台和技术支撑建设,面向工业控制系统信息安全专业化服务,进一步实现工控系统信息安全服务的过程和类别进行体系化,为工业信息全测评、产品测试、工具研发和攻防实验等工作提供思路和依据,为工业控制系统信息安全保障工作的实施提供了参考思路。
关键词:网络环境;排水档案信息;工作流安全体系
中图分类号:C270.7 文献标识码:A 文章编号:1001-828X(2012)07-0-01
网络时代的到来,使得各行业的工作方式发生了根本变化。对于排水行业而言,对排水信息的日常归档和管理也已主要借助计算机来完成。网络环境的运行,对排水档案信息的整理、细化和储存,都带来了极大的方便,但凡事都具有两面性,在方便排水档案工作的同时,也对档案信息的安全服务提出了更高的考验。如何使网络环境下的排水档案信息更安全地服务于经济社会的发展以及生态环境的保护呢?
一、保证网络环境和硬件设施的安全
网络环境和硬件设施是排水档案信息存在的依附体。只有保证二者的安全,才能保证排水档案信息的安全。环境安全主要是指计算机等网络设施存放环境的安全,能确保网络资源的信号畅通,并处于良性运转状态。硬件设施安全是指计算机的各个部分都能正常使用,不会因故障而导致排水档案信息无法正常查找和使用。
二、保证网络资源的全面建设和安全管理
为保证排水信息能更有效地进行管理,并能在需要时随时查找到,可在排水行业内部根据区域或者单位建立起局域网,使局域范围内的排水档案信息实现资源共享,能在出现任何排水问题需要档案信息调度时,可以通过局域网站内部的查找,及时地拿到需要的资料,并尽快解决问题。局域网不仅可以极大方便工作,而且能通过信息输送,及时保证排水系统的安全隐患得到排查,保证一个城市或区域的用水安全,并能在洪涝灾害等特殊情况下,保证城市或一个区域的整体安全。局域网建好后,还应注意随时维护,并加强对网络资源的管理,能及时更改新的排水系统信息,及时行业内的最新动态,以利于相关工作人员的工作开展,利于整个行业工作的正常有序运作。同时,还应注意警惕病毒的入侵,防范恶意更改,加强对排水档案信息的安全管理。
三、建设好数据库,保证排水信息基本资料的安全
排水行业内部的资料是非常复杂的,仅就一个城市而言,整个城市的排水管道情况、排水设施情况以及容易出现问题的排水系统情况等等,都需要在排水档案信息中有较详细完整的记录和存储。这些庞大复杂的资料,在网络时代之前,需要耗费工作人员大量的时间进行随时记录,并占用大量的空间进行保管存档,还极易面临信息丢失或者不完整等不安全情况,而在网络环境下,这种不安全因素得到了很好的解决,只要建立起一个数据库,便可以将所有的排水档案信息存储起来,并且信息资料更清晰,更方便查找,容易保存。当然,应对数据库做好安全管理工作,保证电脑的正常运行,数据库的存储完好无损,避免排水档案信息的遗失,从而可以保证排水行业安全工作和为民服务安全到位。
四、做好排水文档一体化工作流安全体系设计
数据库的建设及使用,还需要做好网络环境下文档一体化工作流安全体系设计,这是一系列更为具体的工作,具体内容涵括:归档电子文件的采集、鉴定、整理、录入、归档保管、移交、使用以及归档管理者责任界定等各个环节,在这些环节中,要保证环环相扣,有序运作,各个阶段的工作必须保证做到位,并保证信息的准确无误,丝毫的差错可能会酿成整个排水档案信息的大错,使得整个数据信息无法安全使用。对整个流程进行安全体系设计,将是保证排水信息准确无误,安全使用,保证排水行业工作安全的有效途径。
五、完善智能档案信息管理系统
通过进一步完善排水档案的动态信息与静态信息建设,对城市排水档案进行综合化、模拟化分析,构建污水处理厂调度、泵站调度等相应模型,并且随着时间的推移而不断补充、修正、完善。当完成城市排水档案的信息化、数字化建设之后,将转变传统的纸质文字、图像、声音存储模式,将重要材料分布于网络媒体中,并通过计算机网络实现资源共享、信息共享。通过档案信息建设,对城市排水管网、污水处理厂、泵站等动态信息进行综合管理,可以通过计算机浏览,并且任意放大、缩小、移动等;同时系统还可以与相关数据库进行连接,实现数据的实时交换,同时采取必要的安全防范措施;系统界面以中文为主,一切功能通过菜单进行操作,在输入属性资料过程中,可以对选项菜单进行优化,以提高参数记忆能力;同时系统的操作应注意安全性,由专人负责管理,避免数据内容的任意篡改或删除;通过应用网络信息,实现了信息共享,更利于提高城市排水管理单位的交互性。
六、提高排水行业工作人员的网络工作能力和安全意识
网络环境下的档案工作人员,必须适应新的形势,转变观念,改变原有的人工为主的档案整理保管工作,而逐渐学会运用计算机,并能逐步熟练各项操作,以保证排水档案信息在网络时代,能更安全有效地管理。工作人员业务素质的提高,需要一个过程,不可急于求成,避免工作人员技术不到位即上岗操作,对排水信息的安全存储带来麻烦,出现信息遗失等错误,影响整个排水信息的安全服务。另外,应聘请专门的网络技术人员,对习惯于手工操作的老员工进行专门培训,使他们尽快学会相关的技术工作,准确进行计算机操作。同时,在加强业务素质提高的同时,应同步提高他们安全保管信息的意识,以保证所有排水信息的安全完整。
七、结语
网络环境下,排水行业各单位应积极转变观念,充分利用计算机带来的便捷,并加强排水档案信息安全意识。建好数据库,设计好文档一体化工作流安全体系,开设局域网并进行安全管理,同时提高工作人员的业务技能和安全意识,从各环节全面做好工作,以保证排水档案信息的服务安全。
参考文献:
[1]赵毅强,张晖.网络环境下档案信息服务安全对策[J].黑龙江档案,2009(03).
[2]闫丽华,贡伟国.由哈尔滨城市排水档案管理工作中存在的问题引出的思考[J].城建档案,2002(03) .
[关键词]政府行业;信息系统;等级保护;误区
doi:10.3969/j.issn.1673-0194.2013.02.040
[中图分类号]G203[文献标识码]A[文章编号]1673-0194(2012)24-0085-03
1 前言
等级保护原本是军事领域的安全保密体系,为了在计算机世界中实现这一体系,研究人员苦心奋斗多年。随着网络时代的到来,等级保护有了新的内涵:从保护对象上,不再局限于军事领域的大型主机,而是所有对国计民生有重要影响的信息系统;从实施的安全策略上,不再局限于军事安全保密规则,而是用于各种安全保护策略;从测评角度看,不再限于个别信息安全产品的静态测评,而是考查网络系统在实际运行中表现出的综合保护能力,是涵盖了架构、功能、管理和配置等各方面检查的全面、综合、动态的测评。一句话,等级保护逐步从一种技术思想发展为今天贯穿了信息安全保障各个工作环节的一个过程和一种制度。等级保护标准是等级保护思想进化历史的快照。各个标准的兴衰历史表明,标准必须与时俱进,跟得上用户的需求,才能得到有关各方(政府、用户与厂商等等)的积极响应,而只有得到积极响应的标准才能称得上有生命。
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
各级各类政府部门在推行信息安全等级保护工作的过程中,由于对相关政策和要求“吃不透”,在实施过程中出现了多种误读。本文旨在分析政府行业信息安全等级保护中存在的政策理解误区并提出相关建议。
2 国内信息安全等级保护实施现状
2.1 起源
中国早在1984年就开始收集国外等级保护的相关资料。1994年的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)被视为中国实施等级保护的法律基础。2004年的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和2007年《信息安全等级保护管理办法》(公通字[2007]43号)等文件明确了等级保护的定位、基本内容、流程和工作要求以及相关部门的职责任务,为开展等级保护工作提供了规范保障。简单地说,中国实施等级保护的基本任务是:系统分等级保护、产品分等级管理、事件分等级处置。
随着《信息系统等级保护安全设计技术要求》(GB/T25070)的和实施,中国的等级保护国家标准和行业标准已有50多个,等级保护标准体系已初步形成。
2.2 实施现状
《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称43号文件)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)的出台,标志我国信息安全等级保护工作进入实质的实施阶段。自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。回顾我国的等级保护工作,可以看到两大成效,即定级保护的定级备案工作成效显著;各种政策标准体系日趋完善。
目前来看,定级工作已经圆满完成,接下来是建设和整改工作,之后进行一些等级测评工作,工作不断地暴露出一些问题和政策理解误区需要解决。
3 等级保护认识误区
不少部门和单位对等级保护的认识存在一定误区,较集中的问题是:等级保护的投资较高,对现有投资是一种浪费。用户经常会反映一些问题,历年来在安全建设方面已经进行了大量投资,现在建设等级保护是否要“推倒重来”。
对于是否要“推倒重来”,可以从两方面考虑:
(1)按照国家相关规定,三级以上网络不能采用国外产品。对于这种底线原则,应该毫不含糊地执行,而由此产生的重复投资,只能说明前期的安全建设没有遵循统一的标准。
(2)目前信息系统中存在着大量没有更新、升级,甚至淘汰落后的设备,通过等级保护的实施,需要对原有网络系统进行加固,重新购买某些产品的服务,这种投资不能称之为重复投资。
4 定级备案对象误区
4.1 定级范围
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)规定了信息安全等级保护的定级范围,包括:
(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业,部门的生产、调度、管理、办公等重要信息系统。
(3)市(地)级以上党政机关的重要网站和办公信息系统。
(4)涉及国家秘密的信息系统。
4.2 定级对象确定误区
政府行业在实际开展信息安全等级保护定级过程中,由于没有对相关信息系统进行深入的定级对象分析,包括信息系统管理组织机构、业务应用、物理位置和运行环境等,经常会产生以下误区。
4.2.1 定级对象安全责任单位不明确
按照要求,作为定级对象的信息系统应能够唯一确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等工作,则这个下级单位可作为定级对象安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应当是这些下级单位共同所属的上级单位。
而在实际定级对象确定过程中,很多单位和部门存在着安全责任单位确定的随意性,例如对于一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,可能随意指定一家下属单位作为安全责任单位等情况,而其他下属单位认为该系统的安全责任单位并非自己,存在疏忽和大意的情况,导致在定级对象备案、测评、整改过程中产生很多低效率环节。
4.2.2 定级对象不具备信息系统的基本要素
按照要求,作为定级对象的信息系统应该是由相关的或配套的设施设备按照一定的应用目标和规则组合而成的有形实体。
而在实际定级对象确定过程中,则存在将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象的情况,这些单一的系统组件往往不具备信息系统的基本要求,因此不应作为定级对象。
4.2.3 定级对象业务应用不单一或不独立
按照要求,定级对象应承担单一或独立的业务应用,该业务应用的业务流程独立,与其他业务应用没有数据交换且独享所有信息处理设备。
而在实际定级对象确定过程中,有很多应用系统其实是作为其他业务应用系统的一个分支或一部分,而不属于(公信安[2007]861号)文件规定的定级范围。例如船舶过闸收费系统、水情信息监测系统等只是作为一套遥测或监控系统,本质上是为上层业务系统提供数据支撑或实时监控的,与其他业务应用会发生数据交换,不应单独作为定级对象。
5 等保级别确定误区
5.1 安全保护等级划分原则
《信息安全等级保护管理办法》(公通字[2007]43号)规定了信息系统的安全保护等级划分原则,见表1。
5.2 不同级别系统基本要求项的差异
按照要求,应根据“业务信息”和“系统服务”的需求确定整个系统的安全保护等级,不同级别的系统中,信息安全等级保护的基本要求有很大差异,对技术要求和管理要求的级别也不同,见表2。
5.3 定级误区
政府行业在实际开展等级保护定级过程中,经常会因为各种原因造成定级偏高或偏低的情况。
5.3.1 定级偏高
如果系统定级偏高,则会造成该信息系统信息安全过度保护,会增加技术安全防护费用,同时大量增加管理成本。信息系统的测评的频率和要求也相应提高,造成资源浪费。同时由于级别越高,系统的技术和管理要求越高,致使信息系统的易用性受到影响。总的来说,系统定级偏高,会形成“好钢没用在刀刃上”的后果。
5.3.2 定级偏低
如果系统定级偏低,则会造成该信息系统安全保护不到位,没有根据系统侵害客体以及侵害客体的实际情况确定系统保护等级,相应的技术防护水平和安全管理要求难以满足安全需求,且系统安全测评的频率和要求也随之降低。系统一旦发生安全问题,会形成管理部门的过度责任。
6 实施和测评误区
6.1 系统定级后就完成了等级保护
很多部门和单位认为系统完成了定级也就完成了等级保护。其实,完成等级保护定级工作并不是万事大吉,而是刚刚开始。套用一句广告词:“你才刚上路呢。”由于对政策的不理解,很多用户认为完成定级就是完成了等级保护。其实,自定级只是等级保护的入门工作。
涉及等级保护的相关文件已经明确提出系统的安全问题遵循“谁建设谁维护”的原则。安全本身是动态的,这就决定了等级保护是长期、持续性的工作。等级保护最大的推动力是每半年或一年一次的系统检查,检查将统一用户对等级保护建设的认识。
6.2 将安全测评等同于等级保护
在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。而不能认为系统做了安全测评就是完成了等级保护。
7 结语
当今的信息产业已经成为国民经济重要支柱之一,政府信息系统对于提高政府公共服务能力,建设责任政府、法制政府和服务政府提供着重要支撑和保障。同时,政府信息系统的安全性问题也越来越重要,必然成为我国开展信息系统安全等级保护的重点。在政府部门开展信息系统安全等级保护过程中,必须严格按照等保相关规定和文件的要求,深入剖析政策内涵,做到政策理解到位,定级范围合理,等保级别准确,实施过程完整,测评及时有效。
主要参考文献
[1]朱继锋,赵英杰,杨贺,等.等级保护思想的演化[J].信息安全与通信保密,2011(4).
[2]张戈.等级保护的三大误区[N].电脑商报,2008-03-03.
[3]中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例[S].1994.
随着数字档案馆的建设和发展,档案馆从关注单个应用和单个资源的建设逐渐走向从集成的角度考虑架构层面和整体服务模式的问题,也即是档案信息集成服务的问题。档案信息集成服务是将档案信息资源各要素有机地链接成一个整体,即通过网络来收集内外部网络的档案信息,利用标准来规范网上的档案信息格式,管理网上档案信息的转换和提取,分析复杂的档案信息,理顺档案信息之间的逻辑关系,利用数据挖掘等技术提取有用的档案信息,利用可视化等技术为档案信息用户提供一站式集成检索服务,它具有个性化、智能化、性、协作性、高效集成的特点。
1全面质量管理在档案信息集成服务中的应用分析
档案信息集成服务是一项复杂的系统工程,在现阶段要想做好该项工作,则应根据用户的参与互动,定期了解档案用户需求、分析现有档案信息集成服务中的现状、找出存在的问题,根据问题分析找出相应的对策,并不断加强各部门之间的协同合作以及对档案信息集成服务效果和绩效持续的掌握和测评等。然而,这些的实现则需要有一套科学并行之有效的管理理论和方法。当前,将全面质量管理思想和方法应用于档案信息服务质量改进,从管理制度上和流程上规范档案信息集成服务,降低成本和减少风险。因此,全面质量管理在档案信息集成服务中的应用是一种较为理想的选择,并具有十分积极的意义。
1.1全面质量管理在档案信息集成服务中的应用过程
目前,在具体应用方面,根据全面质量管理中PDCA循环步骤,可以将档案信息集成服务全面质量管理分为以下四个阶段进行:
第一个阶段:计划阶段(P)。这个阶段的主要内容是通过用户调查访问以及情况反馈,确定档案信息集成服务使命,找寻档案信息集成服务中存在的问题及其形成原因,确定近期档案信息集成服务发展计划、经费投入分配等。
第二个阶段:执行阶段(D)。这个阶段是实施计划阶段所规定的内容,在确立档案信息集成服务方式前提下,根据档案信息用户需求、确定档案信息资源集成共享的原则,建立跨部门资源共享、协调合作机制,不断调整档案信息集成服务方式以及流程、提高工作效率。
第三个阶段:检查阶段(C)。这个阶段主要是在计划执行过程中或实施之后,检查执行情况是否符合计划的预期结果。
第四个阶段:处理阶段(A)。主要是根据检查结果,对比预期结构,采取相应的措施进行调整。
这四个阶段没有终点,只有起点,顺序执行的过程,也是档案信息集成服务综合效益不断得到提高的过程。这四个阶段具体规定了档案信息集成服务的质量管理与实施流程。
1.2基于全面质量管理的档案信息集成服务组织变革
在档案信息集成服务中真正实施全面质量管理,笔者构建基于全面质量管理的“四力”组织变革模型,围绕档案信息集成服务战略规划,从曰常操作、跨系统管理、档案信息集成服务计划等方面实现档案信息机构跨系统的资源重组与服务整合、多种异构档案数字资源系统的共享以及通过档案资源调度等与其他应用系统无缝集成来为用户提供更多服务。
1.2.1基于全面质量管理的档案信息集成服务组织变革模型
(1)全面质量战略计划的“牵引力”:档案信息集成服务全面质量战略主要是设计高效的集成服务业务流程,缩短服务时间,最大限度利用各类档案资源,提高服务效率,为用户提供卓越的档案信息集成服务;保持以“人为中心”以及“利益均衡”的柔性集成管理原则,在管理过程中体现出和谐、协作、利益共享,使管理刚柔相济,更加科学、实用、高效。
(2)提高组织中的人所产生的“执行力”:其主要任务是在全面质量战略计划的“牵引力”下,改变组织领导方式,建立横向协调机制,促进各个档案信息服务机构的资源共享,协同工作;协调组织内上下级之间的关系,调动员工的积极性。培育学习型组织,激发员工学习的积极性提高组织中的人的综合素质以及技术技能,提高组织的核心竞争力;调动档案用户参与的欲望,实现档案信息资源、档案服务机构以及用户的集成管理。这种由人的因素所产生的“执行力”在全面质量管理中起到推动作用。
(3)整合组织中的物所带来的“运营力”:在全面质量战略“牵引力”下的推动下,一方面,通过流程重组,跨部门的合作和资源共享提高效率,变革组织结构。另一方面,强调建立以集成服务质量为核心,服务流程为评估对象的效益评估机制,用户满意度以及档案机构集成效益为标准的双互动反馈机制,即用户与档案信息服务机构以及档案信息服务机构之间的反馈机制。
(4)全面质量战略计划的“支撑力”:关注用户的需求,强调团队合作的理念,通过人力资源的全面整合,持续改进质量,提升组织文化。组织文化是指一个组织在长期的生存发展中形成的,为组织多数成员共同遵循的基本信念、价值标准和行为规范。它能引导员工始终不渝地为实现企业的目标而努力,促进员工使命感、自豪感、归属感的形成,从而使员工在潜意识中形成一种对企业强烈的向心力。[9]组织文化的提升形成了全面质量管理的“支撑力”。
基于“四力”作用的全面质量管理的档案信息集成服务组织变革模型中全面质量战略为档案信息集成服务全面质量管理指明了方向,为其确定远景目标和实现目标的路径,是档案信息集成服务全面质量管理前进的“牵引力”;全面质量文化是员工共同遵循的价值标准,属于全面质量管理的土壤,是实施档案信息集成服务全面质量管理的“支撑力”;全面质量战略和全面质量文化是组织领导与组织学习、组织结构与效益评估的驱动器,对其分别形成右左推动力;组织领导和组织学习在左右推动力作用下,再加上自身变革所产生的创新对档案信息集成服务全面质量管理形成强大的“执行力”;同理,组织结构、效益评估在左右推动力作用下,加上自身变革所带来的适应性对档案信息集成服务全面质量管理带来高效的“运营力”。“执行力”和“运营力”在“牵引力”的拉动下,“支撑力”的驱动下,推动档案信息集成服务全面质量管理沿着战略所确定的方向和路径前进。
1.2.2基于全面质量管理的档案信息集成服务组织变革内容
根据“四力”作用的全面质量管理档案信息集成服务组织变革模型可以看到档案信息集成服务的内容主要包括档案信息集成服务计划、档案信息集成服务部门跨系统管理、曰常操作等:
(1)档案信息集成服务计划。档案信息集成服务计划的内容包括几个部分:①实施档案信息集成服务全面质量管理的长期目标和当前目标;②明确持续集成服务质量改进的组织结构和任务;③整合跨系统档案信息资源,建立集成服务的资源共享机制;④建立横向协调机制,促进人力资源调整,确定团队合作的组织结构;⑤确定优化效益的激励机制与惩罚机制;⑥确定档案信息集成服务用户互动方式;⑦提高档案信息集成服务效益的流程改进方案;⑧明确适当的用户反馈机制以及档案信息服务机构之间的反馈机制等。
(2)档案信息集成服务部门跨系统管理。跨系统管理是由于档案信息集成服务的跨系统资源共享,协同服务产生的。它也是全面质量管理的重要环节,其主要内容包括:①跨系统用户服务方式的确定;②跨系统用户模型以及使用管理;③档案信息集成服务动态联盟的构建以及协同管理;④跨系统服务质量评价与控制;⑤跨系统服务知识产权的政策;⑥跨系统服务利益分享原则等。
(3)曰常管理。由负责评价档案信息集成服务质量的专业人员组成的质量改进团队负责在档案信息集成服务日常操作中不断持续改进质量,解决档案信息集成服务中存在的具体问题,为用户提供能够满足其各方需求、并能支持档案信息创新型服务。
交流以及跨系统交流贯穿于曰常管理、档案信息集成服务部门跨系统管理、档案信息集成服务计划三大模块之间,贯穿于档案信息集成服务全面质量管理的全过程。正是通过各种形式的交流,以及全面质量战略计划的“牵引力”、提高组织中的人所产生的“执行力、整合组织中的物所带来的“运营力”以及提升组织文化所形成的“支撑力”的作用下,使三大功能模块之间才建立起了顺畅的信息传递和反馈机制,保证了档案信息集成服务全过程中全面质量管理的顺利进行,最终实现异构档案信息资源的共享以及面向用户的一站式档案集成服务。
2实施档案信息集成服务全面质量管理的措施
引入全面质量管理思想和方法,形成一个相对合理的档案信息集成服务决策机制、合理的组织机构、科学公平的评估机制、高效的组织学习机制,提高档案信息集成服务效益。因此,建立科学高效的档案信息集成服务全面质量管理措施十分重要。
2.1制定切实可行的全面质量管理实施计划
计划是行动的先导。档案信息集成服务要想实施全面质量管理,必须要有一套切实可行的计划。在当前,为了制订出切实可行的计划,档案信息服务部门的首要任务是评估用户的需求,通过各种方式对用户尤其是核心用户的需求进行充分的调查分析,了解用户的具体需要及其对档案信息集成服务的要求;并根据用户需求以及档案信息服务的对象、经济状况、基本服务条件、国家政策等实际情况,制定出服务的发展总体规划以及近期的目标,确定服务质量的标准、方针和目标,并制定相应的具体实施措施。另外,在制定具体实施计划时,还要注意到档案信息集成服务全面质量管理是一个持续不断改进的过程,它需要档案信息服务部门每个工作人员的积极配合和参与,并明确各层管理者担任的相应责任。具体而言,即是作为最高管理者,应当具有强烈的责任感和使命感,其职责主要在于阐明档案信息集成服务全面质量管理的价值,确立档案信息集成服务的发展目标,建立组织内外的沟通渠道,在质量控制与用户期望值之间建立密切的联系。作为中层或低层管理人员,应当成为全面质量管理获得成功的柱石,承担具体项目的管理责任,推动档案信息集成服务在各方面的改进和发展,确保档案信息集成服务工作质量符合或超过标准。
2.2培养全组织“质量至上”的新质量观
全面质量管理所带来的是一种文化上的转变,是观念的更新。档案信息集成服务全面质量管理的实施,需要转变传统观念,在全组织中培养一种“质量至上”的新质量观。在培养全组织新质量观方面,一是要对全组织成员实施质量管理培训和教育。通过培训教育使全组织员工明了档案信息集成服务全面质量管理的意义和价值以及相关操作等,牢固树立“质量第一”和“用户第一”的思想和宗旨,为档案信息集成服务全面质量管理奠定思想基础,创造良好的组织文化氛围。二是以人为本,充分调动各级人员的积极性,推动全员参与。因为只有以人为本,全体员工的积极参与,才能够集思广益,调动全员的积极性,让全面质量管理真正深入到档案信息集成服务工作的每一个环节和细节,才能真正实现对档案信息集成服务全过程进行质量控制与管理。三是在档案信息集成服务全面质量管理实施的过程中,要把用户放在中心位置,让用户需求来引导档案信息服务工作的决策。也即是,实施全面质量管理的档案信息服务部门需要以顾客的角度进行思考,“以用户的眼睛看世界”,将用户满意作为档案信息集成服务质量评判的最基本标则。
2.3建立科学的全面质量管理控制体系
随着国家对农村信息化建设投入的不断提高,农民应用现代信息技术的意愿不断增强,现代信息技术在指导农业生产、促进农民增收等方面也取得了喜人成果,农民的文化水平得到了有效提升。近年来,一些学者在信息服务方面做了相关研究,例如郑风田、许竹青以手机载体为例,进行了信息沟通技术对渔民收入、社会角色的研究等[1~3];吴元元研究了以信息为基础的公共治理[4];王可山探讨了食品安全信息的经济学属性[5];张莉侠、刘刚发现上海市民最信任政府信息[6];何坪华、焦金芝、刘华楠等研究表明消费者安全意识程度和电视信息对重大食品安全事件关注度显著影响[7];周应恒、霍丽、彭晓佳认为信息强化对消费行为具有影响等[8]。然而,随着近年来非法添加剂等食品安全事件不断爆发,食品安全问题正在向边远农村地区和城乡结合部转移,使原本食品安全监管就很薄弱的农村地区,更易发生重大问题[9],而现有文献鲜有对我国农村居民食品安全信息服务需求的研究。关注我国农村居民利用信息技术获得食品安全知识的状况,特别是《食品安全法》实施以来,我国农村居民对食品安全信息服务的需求,成为我国农村现代化和信息化进程的现实问题之一,为此,本文拟以实证分析方法对该问题进行探讨。
4总结与思考
通过研究可以得到三点结论。第一,目前我国农村居民对食品安全信息的关注在增强,对食品标签信息中的生产日期、保质期和营养成份表最为关注,并重视观察婴幼儿食品、食用油和乳制品的标签信息,但是对致敏成分、转基因产品的标签等关注度较低。大多数的农村居民能够了解禽流感疫情、禁用剧毒农药等安全监管政策,对下架、准入等食品安全监管手段也有一定了解,但是对食品安全法的知晓率较低。第二,农户期望的信息途径首选电视传媒,表明信息传播工具的普及性和传递内容的呈现形式影响较大。同时,对信息传播主体的信任度也是主要影响因素,例如亲朋好友、同事邻居和专家学者。农户迫切需要了解的食品安全信息内容有食品营养知识、质量认证知识和投诉渠道。对政府提供信息服务的第一诉求是有效打击食品安全的违法犯罪行为。第三,农户对食品安全信息服务需求的显著影响因素为女性比例、监管措施认知、婴幼儿食品标签信息、食用油标签信息和标签营养成分信息。
一、消防安全网格化管理工作现状
近年来,西宁市坚定不移地推行乡镇、街道消防安全“网格化”管理模式,构建了“机制健全、责任明晰、力量整合、管理规范”的基层消防工作新格局,筑牢了社会火灾防控根基,西宁市共建立街道级消防安全网格40个,乡镇级消防安全网格98个,街道乡镇划分小网格1356个;全市共落实网格长1065名,网格员2346名,网格信息员2980名。就目前的消防安全形势和社会面消防安全水平现状而言,消防安全网格化管理工作遭遇了现实瓶颈,只有突破瓶颈,才能实现消防管理的进一步优化升级。
(一)工作经费保障难题有待突破。目前部分地区的消防安全网格化管理工作保障性经费尚未实现纳入地方财政预算足额保障,难以满足随着城市建设发展逐年递增的要求。部分经济实力较强的乡镇街道投入资金,为乡镇专职消防队、志愿消防队或“保消合一”队伍配备了消防装备和器材,但后续的管理和保养工作经费却未能跟上,导致装备和器材闲置损坏报废的情况出现。
(二)基层消防部门负担有待减轻。基层消防部门的监督干部数量有限,管辖范围大、列管单位多,消防安全形势复杂,时刻面临着工作能力与工作成效的考验。消防安全网格化管理工作再次将公安消防部门作为主力军,一旦遇到当地相关部门重视程度不够、责任意识不强的情况,基层消防部门的角色将由“推动”变为“拖动”,工作负担进一步加重。
(三)网格工作效能有待全面提升。从全市档案台账看,消防安全网格化管理工作组织健全,各级网格均建立了消防安全委员会或消防办公室,部分县区建立了完善的联席会议制度,定期讨论解决消防安全问题,部署消防专项工作。但网格化工作中走形式走过场的心态依然普遍存在,工作效能有待进一步提升。
二、社会服务管理创新工作带来的机遇
构建“网格化管理、信息化支撑、全程化服务、法治化保障”的社会管理新体系,提升社区网格化服务管理水平,加强基层基础建设,其为消防工作带来的机遇主要有以下几点。
(一)政府高位部署推进。政府高度重视社区网格化服务管理工作调度会议。对网格员招录工作、信息平台建设工作和社区网格化服务管理体制机制创新工作十分重视。
(二)各级各部门广泛联动。政府牵头建立了联动工作机制,并就矛盾纠纷排查调处、社区网格员招录、社会管理综合信息平台建设和志愿者队伍建设等工作进行了培训与交流,消防安全管理工作作为一项重要内容被纳入培训交流。
(三)经费保障落实有力。政府明确网格管理员属政府服务公益性岗位,固定的岗位、稳定的工资能够创造一个栓心留人的工作环境,适当的绩效考核能够有效增加工作动力,有效的经费保障必然使网格管理员成为一个颇受欢迎的岗位。
(四)信息平台功能强大。依托现代信息技术,西宁市加快社区网络基础设施建设,整合社区现有部门专网和业务应用系统,建设了全市社会管理综合信息平台。从火灾隐患整治角度而言,社区网格员可以对所负责网格的火灾隐患实施深入排查并实时录入社会管理综合信息平台,能够深入并实时掌握社区基层火灾隐患查改情况;从火灾扑救角度而言,消防员可以在火灾发生的第一时间迅速详细掌握建筑结构性质、内部人员情况、周边水源情况等重要信息。
三、消防管理和社会服务管理创新工作对接中的主要问题
(一)网格划分有所不同。在全国“清剿火患”战役中推广的消防安全网格化管理是以各级行政辖区为单元划分乡镇街道级网格、村(居)委员会级网格、村组楼院社会单位级网格。西宁市社会服务管理创新工作则是以100户左右的规模为标准,将4个区、3个县、4个开发(新)区下辖的156个村委会、352个居委会和45个家委会划分为3689个网格。不同的网格划分将导致管理体制上的差异,给对接工作造成障碍。
(二)网格员的流动性。政府招聘的网格员以劳务派遣的方式进行用工管理,依法签订劳动合同。据了解,西宁市类似的劳务用工岗位年流动率达20%以上,工作人员岗前培训的问题、岗位工作经验积累传授的问题和稳定并留住人才的问题需要得到妥善解决。
(三)火灾隐患举报投诉的处理。依据西宁市社会服务管理创新工作的网格划分方式,全市共有3689个网格,按每周平均每个网格发现隐患4处计,每周将有14756处隐患录入系统,传送到消防支队网络终端等待支队按照火灾隐患举报投诉流程处理,较大的工作量将给消防部门带来压力。
四、借西宁市社会服务管理创新工作实现消防管理优化升级
针对消防管理和社会服务管理创新工作对接中出现的主要问题,同时借鉴外省市消防部门在对接跟进工作中的经验,笔者浅谈几点工作建议。
(一)建立网格管理员消防业务定期培训机制。依托网格监管中心建立“上岗必训、分批轮训、特事特训”的培训机制,将消防安全培训演练作为其中的一部分,对网格管理员进行普及掌握。上岗必训,即由网格监管中心组织新招录的网格管理员开展岗前消防业务知识培训;分批轮训,即分季节、分重点时段由各消防大队联系本地网格监管分中心,安排年度培训计划,结合网格员四项基本职责进行细化培训;特事特训,即根据不同的专项行动任务目的要求,有选择地对网格员进行任务分配和专项培训。
十几年来,勤劳智慧的蓝盾人凭借高度民族使命感和责任感,自主研发出十个系列、近50个型号的产品,多项产品通过公安、保密、军队等权威主管部门的检测认证。
蓝盾拥有AAA级企业信用等级,在经营活动中始终坚持“诚信服务”,追求细致卓越,高效服务客户,以客户需求为导向,在发展过程中逐步形成了涵盖安全产品研发及销售、安全集成及安全服务的完整业务体系,形成了强大的综合服务能力。蓝盾已成为一家安全产品、安全服务、安全集成多业务齐头并进的综合性信息安全企业。
蓝盾建立了以广州营销总部为中心,以北京、上海、重庆为支点,辐射全国的营销和技术服务体系。作为华南地区信息安全第一品牌,蓝盾目前已拥有覆盖全国,涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的近千余家客户。蓝盾雄厚的实力和一流的服务为公司赢得了广大客户的高度赞誉。
1.安全产品
蓝盾拥有包括安全网关、安全审计、应用安全在内的三大类、十大系列、50多个品种的安全产品线,可基本满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求。
2.安全集成
作为主营业务之一,蓝盾安全集成业务包括自有的和第三方的信息系统安全产品销售、基础信息系统建设、应用信息系统开发、信息系统运维服务、信息系统安全运营等。蓝盾已为政府、教育、金融、电力、医疗等行业的多家客户提供了信息安全系统整体解决方案。
有别于传统的系统集成业务,蓝盾安全集成业务以公司自有信息安全产品和业务整合为基础,以信息系统安全运营服务平台为基础结构,建立了覆盖产品研发、方案设计、销售和集成、工程实施、管网建设和运营服务的一整套信息系统安全运营业务支持体系,成功实现了从传统信息系统集成业务到以信息安全产品为基础、提供信息系统安全运营整体服务的战略跨越,从而确立了公司整体解决方案在信息安全市场中的领先地位。
3.安全服务
蓝盾提供的安全服务主要包括安全咨询与评估、专业化安全检测与防护、安全认证培训服务、安全运营及管理、安全技术支持等。经过多年积累,蓝盾已为上百家客户提供了专业化的服务,构建了覆盖不同行业客户及客户不同发展阶段的信息安全服务体系。
信息安全产品的研发、生产和销售是蓝盾业务体系的基础。它对信息安全集成及信息安全服务的发展起着至关重要的作用。安全产品业务能够有效促进公司安全集成与安全服务业务的实现和业务量的提升。安全集成与安全服务业务同时还会促进安全产品技术和应用水平的提升。随着技术实力和安全产品竞争力的提高,蓝盾提供整体解决方案的能力也在逐渐增强。在安全集成业务收入快速增长的同时,蓝盾自有安全产品的销售额也在快速增加。
技术创新 缔造优势
蓝盾始终以自主创新为发展原动力,以领先的技术研发抢占市场。经过多年的探索和积累,蓝盾已掌握了信息安全领域内的主要核心技术,并拥有该领域内近百项软件著作权。蓝盾目前掌握的主要技术处于国内领先地位,其中蓝盾DDoS防御网关采用的零积累智能识别技术达到了国际先进水平。
凭借领先的技术实力,蓝盾先后实施了包括公安部科技攻关项目在内的多项国家级、部级、省市区级的重点信息安全科研项目,并在公安部等部委制定服务器安全类产品和安全审计类产品行业技术标准的过程种发挥了重要作用。
此外,蓝盾还成功地为北京奥运会和残奥会提供了信息安全产品和服务,并因此获得了北京奥组委颁发的荣誉奖章。
专业资质 彰显实力
安全行业是国家强制性保护的行业,获得资质或许可的多少是衡量信息安全企业竞争实力的重要标准。
蓝盾具有技术优势及综合服务能力,已拥有商用密码产品销售许可证、军队网络采购信息资格认证、信息系统产品检测证书、军用信息安全产品认证证书、产品销售许可证、中国信息安全认证中心产品认证证书、广州市自主创新产品证书,并取得了计算机信息系统安全服务一级资质证书、计算机信息系统集成一级资质证书、计算机信息系统集成乙级证书、信息安全应急处理服务资质、信息安全风险评估服务资质等业务资质,还获得了包括信息安全产品、信息安全集成及信息安全服务在内的所有业务类别的较高级别资质和许可,是业内获得资质和许可最全的企业之一。
综合服务 铸就品牌
蓝盾的各业务模块能相互促进,共同发展,从而形成了较强的综合服务能力。
蓝盾的信息安全产品可满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求,并能为客户设计和实施信息安全方面的整体解决方案,满足客户系统化、个性化的安全需求。
此外,蓝盾还可以为客户提供安全咨询与评估、安全检测与防护、安全认证培训服务等专业化的安全服务。蓝盾完整的业务体系及丰富的产品种类可满足不同行业客户的信息安全需求,增强公司的综合竞争力。
蓝盾建立了辐射全国的营销和技术服务体系,这为公司掌握信息安全领域的最新市场动态、及时响应客户需求提供了重要保证。
客户稳定 促进增长
信息安全行业的特殊性决定了下游客户对信息安全提供商存在一定的依赖性。随着社会各界对信息安全要求的逐步提高,下游客户在信息安全系统建设和升级的过程中会对安全产品、安全集成及安全服务产生交叉消费和重复消费。
因此,下游用户对信息安全领域的投入是持续性的。蓝盾现有的客户资源既是稳定的业务来源,也是宣传品牌、扩大影响力的最好载体,这有利于新市场及新客户的开拓,也为公司的持续盈利提供了重要保障。
精英汇聚 引领成功
购物车(0)