时间:2023-06-18 10:31:00
导语:在安全审计培训的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:山区道路;安全审计;内容;步骤
道路安全审计(Road Safely Audits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
1 道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
2 山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
3 审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
4 现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减 少相应的成本费用。
5 我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
6 结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
关键词: 桌面终端;安全防护体系;安全要求
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2012)0220131-01
0 前言
随着互联网络和企业网络的发展,信息传播范围和获取手段发生着日新月异的变化。桌面终端在企业员工日常工作中已被广泛使用,成为基本工具。桌面终端需要频繁地访问与企业生产运行密切相关的各种各样的信息系统,大量敏感或信息存储在桌面或移动存储介质中。同时,来自于企业计算机网络外部或内部的攻击活动有增无减,变化无常,加之企业内部桌面非法接入的情况较为普遍,以及桌面安全的管理规章制度没有切实有效的管理手段。目前企业信息安全面临严峻的挑战,如何保证桌面终端的安全,从而保证企业整体信息安全,成为日益突出的问题。同时强有力和切实可行的桌面安全管理手段,也将成为企业信息安全得以保证的基础。
1 桌面终端的安全要求
随着企业信息化建设的迅速发展,终端计算机数量的逐步增加,企业正常、稳定的生产及运行越加依附于企业网络。桌面终端是企业网络的最基本组成部分,也是管理的最薄弱环节,涉及大量敏感或数据,管理较为为复杂,往往成为信息外泄的源头。
企业应根据自身的网络环境,结合基本情况,统一部署防病毒系统和补丁分发系统,并定期对病毒定义文件进行升级和播发安全补丁。同时为了确保终端用户合规接入网络,应建立以端点准入控制系统为基础的安全防护体系,并执行企业制定的安全策略,阻止不符合安全策略的终端用户接入企业网络。终端用户的桌面安全环境需要由完善的桌面管理系统提供保障,除了利用防病毒和补丁系统,来防范和控制木马、恶意软件及内网的攻击行为,还要对企业终端用户的桌面制定相应的安全机制,确保每个接入网络的终端用户都符合企业安全策略,规范终端桌面的安全行为,使桌面终端工作在一个安全的防护体系中,保证企业网络在一个安全、稳定、有较的环境中运行。
2 桌面终端安全防护体系建设
随着信息技术应用的不断深入,企业信息系统集中程度的不断提高,业务对信息系统依赖程度不断加大。现有的安全防护系统仍不能完全预防来自企业内部或外部网络的入侵和攻击,所以需要完善安全防护体系建设,统一建立以防病毒系统、补丁分发系统和端点准入控制系统为基础的桌面安全防护系统,才能使主要依靠信息化应用系统的安全性得到有效保证。
2.1 防病毒系统。防病毒系统体系由总部服务器获取最新病毒定义文件下推到各级单位,实现病毒定义文件的逐级升级。防病毒体系的统一部署,有效地防止了病毒和恶意软件的大面积爆发,为桌面终端安全提供了强有力的保障。
2.2 补丁分发系统。补丁分发系统采用总部服务器过滤最新系统安全补丁并下发到地区公司服务器,地区公司服务器自动下发到终端用户的总体架构方式。补丁管理系统可以帮助企业对网络内各种软件和应用系统进行维护和控制。克服安全漏洞并保持生产环境的稳定性。
2.3 端点准入系统。端点准入安全防护体系由总部服务器下发企业总体安全策略,地区公司接收总部策略后根据本地实际情况制定个性化策略,管理个人计算机。端点准入控制系统需要提供全面的端点保护功能,实现多层次的安全防护策略,有效应对病毒、木马、蠕虫等混合安全威胁,有效应对来自于互联网和内部网络的恶意扫描、恶意入侵等安全威胁。
2.4 桌面安全流量监控体系。通过桌面安全流量监控系统,将桌面安全事件和桌面安全技术支持团队有机联系在一起,建立“发现-定位-处理”循环往复的工作模式,以安全管理团队自上而下的监督、支持和协同作战,推动各级安全管理团队的工作,提升管理水平,保证信息安全在桌面端少出问题,从而增强我们整体的信息安全水平。
2.5 数据文件电子加密。网络中最有价值的是数据,而敏感或数据的安全性越来越重要。网络安全产品大部分都集中在这些数据的,并没有针对数据本身的安全保障提出有效的解决方案。所以建立电子文档加密系统,可以为员工提供方便易用的文件加密工具,切实增强信息安全水平和意识,有效防止敏感信息泄漏。这对提高整体的信息安全也是切实可行的。电子文档加密系统是为桌面用户提供文件加密工具。加密后的文件可有效防范丢失、失窃或在网络上传输时被非法常截获等情况下的信息外泄。
2.6 系统安全审计。建立系统安全审计应为安全部门或管理员提供及时有效的一组管理数据进行分析,以发现在何处发生了违反安全方案的事件。利用安全审计结果,可调整安全政策,堵住出现的漏洞,为此,系统安全审计应该具备以下功能:
1)记录关键事件:由安全相关部门统一定义违犯安全的事件,并决定将什么信息记入审计日志。
2)提供可集中处理审计日志的数据形式:以标准的、可使用的格式输出安全审计信息,使安全官员能够直接利用软件工具处理这些事件。
3)实时安全报警:扩展现有管理工作的能力并将它们与数据链路驱动程序和安全审计能力结合起来,当发生与安全有关的事件时,安全系统就报警通知相应的部门。
2.7 加强桌面安全管理。建立严格遵守规章制度,依据国家法律法规根据企业本身的实际情况制定相关规章制度,让终端用户遵守相关制度,可以有效的减少终端安全桌面的事故发生。培养终端用户良好的安全意识,安全意识低的必然结果就是导致信息安全实践水平较差,所以培养终端用户的安全意识可以防止利用终端入侵企业网络。加强桌面用户安全培训,经常组织安全培训可以提高终端用户的安全防护知识,提升终端桌面的防御能力。
3 结语
桌面终端是企业网络运行的基础,也是企业信息安全最脆弱的部位,目前企业的安全防护手段不能完全的对桌面终端做到有效的安全管理,所以应该根据需求建立相应的安全体系,不仅能增加桌面终端的安全防护能力,同时也减少企业网络面临的安全威胁,同时应提高终端用户的安全意识,加强安全管理。
参考文献:
如何建立一套针对企业自身特点的信息系统安全体系,最大程度地保证其正常运营,这不是一个单纯的技术问题,而是一个把管理、安全技术、审计等多种因素集成于于一体的系统工程。因此,企业管理层需要在企业发展策略中,高度重视信息安全技术、信息安全管理和审计工作,不仅要在信息系统的软硬件上下功夫,而且不能忽略相关审计工作,加强风险排查,这样才能对企业的业务发展做到同步支持。
1.信息系统安全技术
信息系统安全技术作为信息系统安全体系的基础,在其中起到支撑的作用。在实际工作中,针对企业各自特点制定相关策略。当前企业信息系统安全的现状和面临的主要问题如下:
1.1硬件运维
硬件设备的运维和管理是企业信息系统安全体系的基础保障,但是管理人员容易忽视这一环节。企业信息系统往往会因为硬件设备故障、断电或网络问题造成信息丢失或服务中断。如果针对硬件设备的运维和管理没有相关保障机制,一次发生意外,就会给企业造成不可估量的损失。
当前常见的硬件设备运维保障管理机制有以下几个环节:一是通过设置UPS不间断电源保障系统硬件的持续性运行;二是要对企业信息系统中的网络设备进行定期巡检,在前期的网络环境部署过程中首先考虑网络的连接稳定性;最后是加强信息系统安全管理,严防企业信息丢失和窃取,可以通过对数据信息存储服务器设置物理锁的方式避免非法操作。为了保证系统服务器的安全,管理人员可以采用远程登录的方式访问系统。
1.2入侵防御
病毒入侵一般都拥有固定代码,而入侵威胁是由非法人员需要得知信息系统的漏洞,从而进行人为操纵的信息窃取或系统攻击。特定的防范方法包括:严格制定防火墙访问控制策略,阻止外界对内部资源的非法访问;关闭系统硬件不用的端口;定期对系统进行漏洞扫描和补丁包更新;在信息系统中部署入侵检测系统(IDS)和入侵防御系统(IPS),从而抵御非法入侵。
1.3病毒防范
信息系统的安全配置和管理人员的正规操作对于信息系统病毒的防范非常重要。操作系统是企业信息平台安全的基础,错误的安装配置会使病毒渗入到信息系统当中。针对信息系统安装杀毒软件并进行定期更新是病毒防范的基本措施,这样可以保证系统基本的安全性与稳定性。企业还需要定期对系统进行数据备份。
1.4数据加密
在公共网络进行数据传输的过程中,利用虚拟专用网(VPN)技术设置访问控制策略,实现两个或多个可信网络之间的数据加密与传输。搭建VPN通常使用加密防火墙和路由器,保证数据安全传输[1]。
在企业的局域网中针对内部信息存储、传输的安全问题,可以通过部署安全服务器来实现包括对局域网内资源的管理控制、用户的管理和所有安全相关事件的跟踪和审计。
2.信息系统安全管理
企业信息系统安全体系的建设三分靠技术,七分靠管理。因此,建立和完善管理制度是保障企业信息系统安全的关键和重点。
2.1制定企业信息系统安全管理制度
企业信息系统安全体系的建立和实施对其正常运营非常重要,所有一切的信息系统安全工作都要以公司制定的企业信息系统安全管理制度为基准。
2.2提高企业员工信息系统安全意识
现实中企业管理者的关注焦点大多是生产上的安全,信息安全没有得到足够的重视。实际上,企业员工信息安全意识的高低,在企业的信息系统安全体系建设中起很大作用,企业能够加强员工的信息安全意识,将很大地提高信息系统安全体系实施的成效。
2.3严格执行标准,强化制度落实
在企业信息系统安全体系的建设过程中,必须严格按照信息系统安全操作规程和管理措施执行,最大程度消除信息系统安全隐患。若发现信息系统安全隐患,及时按照相关操作规程处置[2]。
2.4积极学习和应对各种信息系统安全事件
信息技术不断发展,保障信息系统安全的难度也在与日俱增。因此,信息系统安全管理必须要求企业管理人员不断学习,不仅要制定一套完整严密的信息系统安全管理方案,还要有步骤清晰、操作性强的应急预案,这样才能增强信息系统安全管理的危机抵御能力和处理能力。
2.5构建信息系统安全环境平台
面对日渐严峻的信息安全形势,在加强企业信息系统基础安全设施建设的同时,要有机结合员工信息安全意识、技术能力、企业运维管理三者,建立一套综合性强的信息系统安全保障体系,在所有的业务系统中贯彻执行当前的安全管理思路,通过可量化的技术手段,达到信息系统安全管理的最终目的。
3.信息系统安全审计
企业信息系统安全体系的建设是一个长期的、需要不断持续更新、完善的系统工程,通过对信息系统的安全审计,及时发现和解决企业信息系统安全体系的漏洞,才能不断提高企业安全水平和质量。如何建立和执行企业信息系统安全审计,有效加强企业内部的信息系统安全管理和风险控制,满足相关政策法规,成为各行业面临的普遍问题[3]。
信息系统安全审计是指一群拥有相关信息安全专业技能和商业知识的审计人员对企业安全风险以及如何应对风险措施进行评估的一个过程。信息系统安全审计人员通过收集、分析、评估信息系统安全信息,掌握其安全状态,制定安全策略,将系统调整到“最安全”和“最小风险”的状态,确保信息系统安全体系完整、合理、适用[4]。
由于目前信息系统应用已经涉及到企业的各个业务和办公领域,对于信息系统带来的安全管理已经是企业运营不可切割的一部分。所以,企业的信息系统安全审计应该是一个从业务部门到技术部门都必须参与控制的过程。
从信息系统本身来说,安全审计的要点主要是以下两个方面:
3.1数据及数据传输审计
数据是信息系统的重要资产,保护数据的安全、完整,避免其被恶意破坏、盗窃。对用户身份进行控制,避免非授权访问数据,是数据访问环节的安全控制措施。除此之外,对数据的操作和保存也是数据安全控制的重要环节。首先,应雇佣具备任职资格或经过适当培训的人员,避免误操作;其次,所有操作都应该经过授权且有记录,数据文件被正确保存且经过充分备份,以备正确的恢复。
在信息系统中,有些数据需要在两个子系统或多个子系统中相互传输,在这个过程中很可能会出现问题,尤其是在需要手工录入或同步传输的情况,因此在进行信息系统安全审计的过程中要重点关注以下方面:数据在传输的过程中可能会发生变化,如何进行校验;核心数据库可能会被物理分散的服务器取代;当一个信息系统取代原有的信息系统时,会进行数据的传输。要保证传输的数据是完整、可靠并且经过批准的,数据的全部传输过程要准确,并且在约定时间内完成。
3.2内部控制审计
内部控制审计是企业为实现管理目标而形成的自律系统。在审计过程中要对审计对象的系统环境是否符合要求、规程制度是否完善、执行情况是否到位进行审查。在信息系统中,可以通过检查以下几个方面来验证企业内控制度和执行的效果:(1)控制信息系统的资源存储,包括物理存储资源存储(终端、连接盒、服务器、相关文档等)和逻辑资源存储(软件、系统文件、表和数据等)。(2)把控信息系统资源的使用。用户的新增、变化、删除必须经过授权,用户只能对其授权范围内的资源进行操作。(3)按一定标准划分信息系统资源。可以系统资源的滥用、数据的非法修改以及减少人为误操作。(4)身份和访问控制审计。按照时间顺序建立一个档案簿,包含信息的创建、修改和删除的详细过程及其操作人员。它采用的是授权证明,控制什么人什么时候访问了什么数据。(5)确认处理过程的准确性。(6)管理人员对信息系统的所有修改都应该保证是经过授权、评估和审核,并且有记录文档,保证风险最低且有效控制。(7)入侵防御审计。入侵防御涵盖的范围远广于传统的入侵检测。入侵防御策略的合理设置会把风险缩小到最小范围。(8)漏洞和病毒管理审计。定期检查系统漏洞和防病毒措施,根据具体问题原因进行分析处置,及时采取相关措施。
关键词:校园网络;信息安全;对策
随着我国高校信息化建设的逐步深入,学校教学科研管理工作对信息系统的依赖程度越来越高;教育信息化建设中大量的数据资源,成为学校成熟的业务展示和应用平台,信息化安全是业务应用发展需要关注的核心和重点在未来的教育信息化规划中占有非常重要的地位。但随着网络应用的不断发展,高校业务应用和网络系统日益复杂,信息网络受到越来越多的各方面威胁,各种攻击手法层出不穷,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著。
1校园网信息安全风险分析
1.1网络层风险分析
网络层风险主要是指来自互联网的各种攻击、探测、网络病毒威胁。例如端口探测扫描、DDOS攻击等。
1.2系统层风险分析
系统层包括各类服务器、办公电脑、移动终端等操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面,一方面来自系统本身存在的漏洞,另一方面来自对管理员对系统的配置和管理。
1.3数据风险分析
数据库系统平台是应用系统的核心,数据是学校应用系统的基石。学校系统的网络与互联网教育网互通,数据风险主要包括:数据存储风险,保存在数据库及文件服务器中的数据可能受到泄漏攻击;数据通信风险,处于通信状态的数据,由于在网络中传输,存在信息泄漏或窃取的风险。远程管理可通过明文传输协议TELNET,FTP,SMTP,POP3,这样任何一个人都可以在内部窃听数据,通过简单的软件还原数据包,从而获得机密资料以及管理员口令,威胁所有服务器安全。
1.4应用风险分析
大多数学校的主要应用系统为门户网站与校园应用系统。针对这一Web系统面临的风险主要有:网页篡改、利用漏洞对服务器内应用系统攻击、非法侵入、弱认证方式等。
1.5安全管理风险分析
目前大多数学校安全管理人员较少、管理较为分散。基于上述现状,一旦整个信息网爆发病毒或被黑客攻击,则安全管理员将无法从众多的安全设备中快速定位故障,不能及时处理,可能将导致多个重要业务系统瘫痪,严重影响相关的教学和生活。安全管理问题具体表现为:未实现以业务系统为核心的安全管理自动化处理流程;对业务系统风险未进行统一和实时管理;缺乏完整的安全管理方案,安全管理人员少,工作量大;缺少安全监控能力,无法探测和掌握来自外部或者内部的针对主机、Web系统、数据库等的可疑行为。
2校园网信息安全需求与对策
2.1网络层安全
在安全模型中,网络层中进行的各类传输活动的安全都应得到关注。网络层主要考虑如下方面的内容:网络结构与网段划分、网络访问控制、安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。信息系统网络层加强安全的对策:(1)部署下一代防火墙,优化配置控制策略实现外部网络与内部网络的安全隔离。(2)部署入侵防御系统全面监测网络和系统资源,及时发现并实施有效的阻断网络内部违规操作和黑客攻击行为。(3)部署堡垒机系统对管理员日常维护进行权限管理和日志审计。(4)部署网络防毒设备,用以发现网络中的各种恶意程序,同时弥补单机杀毒产品病毒库的不足。
2.2系统层安全
系统层主要考虑如下方面的内容:系统保护、用户管理、访问控制、密码管理、安全审计、入侵防范、系统日志、资源控制。信息系统系统层加强安全的对策:(1)办公设备和服务器补丁需要及时更新,应配置漏洞扫描系统及时进行漏洞检查。(2)缺乏主机系统层面的审计手段,但可以使用网络层面部署的堡垒主机进行操作审计。(3)无法对网络中所有设备的安全策略配置做到统一标准,如果采取人工配置,不仅对人员能力要求高,而且费时费力,效率很低,应采用漏洞扫描系统的安全配置核查功能来进行检查。(4)对终端和服务器支持安装防病毒软件的,需要安装防病毒软件系统,应部署网络防病毒软件系统,且与防毒墙使用的是不同的病毒库。
2.3应用层安全
应用层是对于现有业务系统应通过技术、管理、培训等多种手段对应用系统代码、安全功能、数据、开发、外包、测试、部署等方面所涉及的安全问题进行预防性和发现性安全防护。主要的方法有:功能验证、性能测试、渗透性测试、编码安全培训、制度流程约束等。其中有关制度流程约束的部分可参考管理和运维体系中的相关制度和流程。信息系统应用层加强安全的对策:(1)在应用开发之初进行相关审计模块的开发。(2)部署WEB应用防火墙系统来进行安全防护,加强SQL注入、XSS攻击、端口扫描和应用层DDoS等攻击手段的防范措施。
2.4数据层安全
数据层主要考虑如下方面的内容:数据可用性、完整性和保密性,确保数据不会修改、丢失和泄漏。信息系统数据层加强安全的对策:(1)对数据库的操作行为进行审计,可以使用部署的数据库安全审计系统来实现。(2)对数据库的操作用户进行身份鉴别和限制,可以使用堡垒主机来实现。(3)数据的备份和恢复措施需加强,应建设本地存储和本地容灾备份系统。
一、云计算的发展
所谓云计算,其属于现代化的主流的商业计算模型,其将计算任务在大量计算机构成资源池中分布,并确保不同的应用系统具有结合实际需求来获取计算力和存储空间以及提供信息服务的技术。简而言之,就是在网络载体下,根据实际需求,提供动态而又可伸缩的廉价的计算服务。云计算给大数据提供的弹性扩展较大,存储空间与计算资源更加便宜,因而越来越多的中小企业开始利用云计算进行企业会计和审计工作的开展,但是从中也存在诸多的挑战需要我们来应对[1]。
二、云计算对会计工作带来的挑战与对策分析
一是在资产确认方面。企业资产管理的前提就是要对企业经济现状予以掌握,而这就需要在会计工作中进行资金控制。而随着云计算的发展,企业在商业模式上也发生了巨变,会计人员能借助云计算来实现会计数据的全部操作,也能在云数据中实施资产确认使得资产确认服务变得更加容易,并非传统的采用会计程序才能确认资产持有者的资产,企业在资产确认时,也不用始终将其在用户终端上保持。但是其带来的挑战就是会计人员难以结合云计算模式来精准判断实有资产,这样不仅在确认资产时所需的辅助数据较多,而且需要确认资产的固定时间才能对企业资产的实际价值进行判断,最终导致资产确认难度增加,加上原有的会计系统又难以支持云计算的应用,所以在资产确认方面的挑战和变化存在较大的差异。这就需要会计人员加强对云计算技术的学习和应用的过程中,切实注重大数据作用的发挥,既要对资产固定时间进行精准确认,又要优化原有的会计系统,与云计算接轨,才能更好地强化资产确认工作的开展。二是在收入区分方面。在互联网下的会计工作随着商业模式的转变,必须要对工作机制进行调整和优化,那么有关会计资金较的所有环节必须重新处理。所以,为加强对这一挑战的处理,必须要为云计算技术的应用成立完善的应对交易活动全程的管理机制,还要强化数据资源的调节和处理,而这显然对会计人员的要求更高,必然要能精准判断企业在市场中所处的环境。三是成本计算方面,就成本计算而言,其作为会计工作的核心所在,随着云计算技术的应用,需要会计人员精准确认会计成本情况,并确保成本计算具有较强的时效性,同时还要在供应商认可的前提下才能应用,成本计算工作的实施又难以结合传统的评价模式来控制,需要确保统计的全面性和高效性,因此,势必会导致会计工作量的增加,进而影响会计工作效果和成本计算,尤其是且商业活动自身的实际价值受到影响,加上迁移费用也会增加,需要精准掌握经济活动资金的使用情况,再结合其对资源价值进行精准判断。而这些显然会增加成本计算的难度和有效性。因此,为了强化成本计算工作的开展,发挥云计算的有事,需要充分发挥云计算在计算方面的优势,及时掌握企业资金的流动情况,注重资源价值的判断,借助自身的专业优势,切实提升企业成本计算工作质量,才能促进经济价值的提升,以达到良好的应对效果。尤其是要在加强云计算的应用上着力。加强对云计算技术应用的基础数据服务支持,加强部门的沟通协调和联动配合,让云计算为企业财务共享服务提供高效优质的服务[2]。
三、云计算对审计工作带来的挑战与对策分析
一是在内控工作方面。因为企业内控成效对经营管理有着直接影响,因此在企业会计审计中,加强云计算的应用,需要企业内部会计数据资源清晰,并具有独立完善的审核体系,才能更好地控制企业内部审计数据。所以在审计中应用云计算,必须要注重审计计算体系的完善,构建完善的控制机制,才能更好地应对云计算对审计带来的挑战。二是在云审计平台方面,也面临着诸多的挑战。比如必须要建立基于云计算的审计平台,且在技术含量上达标,强化对其的人工和成本的投入。而这对企业势必存在一定的难度和风险,同时审计工作人员的专业能力也有待提升。所以为应对这些挑战,需要我们切实注重云计算技术的学习,结合其运行的原理和实际需求,加强对审计人员的培训和深造,才能在挑战下逐渐地完善和优化。三是在信息安全审计方面,这是最为主要的挑战之一。所以其应对的首要工作就是保障信息安全性,建立安全的云环境,切实完善审计证据收集的机制和流程,完善信息安全的环节,在审计证据审计时避免信息泄露,采取科学的审计方法,必须系统存在漏洞,加强对数据篡改违法行为的打击,切实注重信息安全审计工作的开展,将大数据技术与云计算技术进行有机地结合起来,尤其是需要加强信息安全预防,强化信息安全审计。尤其是为了有效地应对黑客攻击、病毒传播、系统漏洞等来自安全技术的攻击,就要用安全技术的手段去防卫,并将其在云审计平台中应用,以达到良好的审计效果[3]。
四、结语
综上所述,云计算的发展及其对会计、审计的挑战核心就在于如何转变现有的模式,并在现有模式转变中要与云计算相契合,这样才能在应对挑战的同时,切实提升云计算的应用成效,以达到企业可持续发展的目的。
参考文献
[1]姬金铎.云计算的发展及其对会计、审计的挑战[J].金融经济,2019(12).
网络设计与规划之初,要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内,并与非可控区域间隔300米外,在现实条件无法满足的情况下,对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高,避免在楼顶。在单位,重要的政府机关、机要及军政、部队网络要与互联网物理隔离,不同等级的网络之间采用最小耦合。在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调,将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命,减少故障的发生机率。机房的消防一定要采用气体联动消防,切勿使用水或传统的干粉,这些方法虽然可以灭火,但对设备的影响,却是不可逆的,它的影响远大于灭火本身。
2网络层安全防护策略
网络层安全防护应从网络拓扑结构进行分析,防护的方法是:在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据,发现违规操作后告警并阻断,形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统,利用安全审计系统对全网行为、数据库进行实时审计,通过网络分析系统抓取数据包,准确、及时定位故障,还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域,保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的ACL管理控制策略配合使用形成用户的不同域安全防护。
3系统层安全防护策略
对操作系统和数据库系统配置高强度用户名及密码,启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令,禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置,管理员分级分权限控制,对重要信息(文件、数据库等)进行标记,设定访问控制策略进行访问控制,开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口,利用系统组策略关闭不必要的服务。
4应用层安全防护策略
对重要的应用层系统及软件如WWW、DNS系统进行备份,可制作双机备份系统,一主一备,一旦一个系统出现故障,另一个系统自动启动,实现应用层的无缝实时切换。数据是网络的核心,因此保护数据也是应用层安全防护的要点。最好的方法是建立异地容灾备份中心,可简称为两地三中心。本地有数据中心及备份中心,异地有容灾中心。数据备份采用光纤SAN网络架构,ISCSI协议与TCP/IP协议不同,两网之间不进行网络通信,保证网络的安全。
5管理层安全
安全的最高境界不是产品,也不是服务,而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位管理程序,就没有真正的信息安全。对人员的管理和安全制度的制订是否有效,直接影响这一层的安全问题。管理层安全包括管理制度、管理技术。管理制度须制订一系列的安全管理制度,普及安全教育,包括:用户守则的制订。管理技术包括安全理论知识的培训、对安全产品使用培训、建立安全信息分发系统、及时通报最新安全事件、建立安全论坛、交流安全技术等。
6结束语
1.1飞行培训机构运营要点
1.1.1运行安全管理
安全是航空业的首要任务,飞行培训机构也不例外。飞行培训机构承担绝大多数培训飞行运行安全职责,地面运行期间更是如此。采取“全员参与”策略,是飞行培训机构安全管理的不二法门。关于航空器的可靠性,尽管局方在飞行培训机构认证和飞机设计制造时就根据相关规章对其进行了严格评估和审查,但是日新月异的新技术开发和发展,会导致旧的规则不适用,而局方并没要求飞行培训机构采取新的、更严格的检测规程。因此,在特定情况下,飞行培训机构也要承担一部分航空器的安全责任。
1.1.2航空器可靠性保持
保持航空器的可靠性离不开优秀的维修工程师,因此维修工程师是飞行培训机构最重要的资产。尽管“100小时检修”是所有航空器都要求的,但是不同航空器的“100小时检修”存在着一定差异。航空器之间“100小时检修”工作量也存在着较大差异,有的所花费时间可能是其他航空器的两倍。拆卸引擎以及更换刹车、轮胎、电机等部件不仅仅影响现金流的成本问题,视情维修可能会导致学员等待时间过长,甚至取消飞行培训活动,进而令相关人员产生挫败感和不信任感,致使学员退学。
1.1.3融资与保险
机队融资是影响飞行培训机构绩效的关键因素。融资方案的选择依据需要而定,10~20年的贷款和反租等是机队融资的通常做法。飞机等资产的采购成本仅仅是飞行培训机构成本的50%,选择恰当的资产折旧方式会极大地影响航空器的实际成本。另外,保险越来越成为飞行培训机构面临的最大挑战。从潜在承保人视角设身处地地进行风险评估,是获得承保人认可的有效途径。
1.1.4燃油与运营成本
燃油价格在未来下降的可能性越来越小,尽管飞行培训机构对燃油消耗问题一直很关注,却很少对其进行专业性评估和审查。影响飞行培训机构燃油消耗的两个主要因素包括机队结构和飞行小时数。另外,飞行培训机构通常关注人力资源成本以及非定期停工的收入损失等显而易见的运营成本,却很少关注那些难以估算的隐性成本。
1.1.5学员吸引和保留能力建设
学员是飞行培训机构的收入来源,因此很多飞行培训机构花大量时间和金钱招募潜在的飞行学员。招生简章、基础设施条件、现代化的航空器,甚至教员和接待员的友好态度都会影响潜在学员的选择。当然,学员入学只是成功的第一步,关键是要让学员完成学业。毕业的学员很可能成为回头客,尤其是那些希望增加航空器型别的校友。
1.2飞行培训机构运营流程
飞行培训机构的运营主要包括3大部分:首先是招募飞行学员,其次是对招募来的学员进行地面理论和飞行培训,最后是对毕业学员进行跟踪。招募学员时,飞行培训机构要拟定招生计划,制定招生简章,做好营销管理和宣传工作。关于市场营销,一定不得作虚假宣传,尤其是不得承诺所有入学学员最终都能获得飞行执照。对于报名学员要进行体检,这是作为一名飞行员的必要前提条件。体检在入学后也是必要的,并确保体检证明在有效期内。对于办理入学手续的学员,一定要做好安全教育和宣传工作,同时在入学手续中附带各种安全手册。入学后的教育环节按地面理论知识培训和飞行技能训练两阶段进行。首先是地面理论知识教学阶段,教学内容应包含获执照等级所要求的航空知识,并最终通过地面理论知识考核。没有通过航空知识考核的学员,不得进行下一步飞行训练。飞行训练的科目分为本场基本驾驶术训练和转场训练两大类。两类都有飞行教员带飞训练和单飞训练环节。只有通过资质考核并获得学员驾照的学员才能进行单飞训练。无论是带飞还是单飞训练,都要做好阶段性检查,目的是对学员在各个阶段掌握的驾驶术和飞行经历进行评估,以确定学员的资质和能力。毕业后跟踪是很多飞行培训机构忽视的一个环节,这无疑是一项巨大损失。据IAOPA调查发现,很多培训机构的学员来源是靠毕业学员的口碑宣传。因此,对毕业学员进行跟踪,有利于提高飞行培训机构的影响力,降低招生成本。学员跟踪,可以充分发挥校友会的职能,在创校纪念日邀请毕业学员回校参观考察,不定期对个别学员进行回访,加强学员档案管理等。
2飞行培训机构的安全管理
安全是飞行培训机构的基础,应将其放在首要地位,即便是在开展与飞行培训间接相关的业务时,也应将安全放在最高优先级别上。建立安全信息收集与制度,加强安全培训与教育,运用安全操作规程及时识别和消除不安全的因素,营造一个安全工作和安全运行的环境。
2.1安全体制机制建立
作为安全管理的首要责任人,飞行培训机构校长、总经理和首席飞行教员拥有如下职权和责任:调查和处理安全事故、事件和风险;拟定和阐述事故、事件报告程序;飞行安全信息;强化已建立的安全工作程序;代表本机构就安全相关问题与政府机构和专业组织进行沟通协调;与员工商谈安全管理问题等。飞行教员和维修主管对安全负直接责任。应当授予飞行教员在任何时候、任何地点评估飞行安全的绝对权威,尤其在单飞训练时。一旦飞行教员对运行安全有质疑,他们都有立即延迟和终止飞行训练的毋容置疑的权威。制定培训机构运营手册(FSOM),并且定时维护和更新。每年都要就一致性、安全性和运行程序等对FSOM进行一次核查。建立运行安全审计程序,为相关责任人提供常规审计规程。建立安全隐患和事故报告制度,所有工作人员和学员都有责任将危险事件或观察到的不安全行为报告给相关人员。一旦发生事故,必须尽快报告给相关主管。运行安全审计中,一旦发现与安全规则不相符的状况,应立即启动根源(rootcause)分析。根源分析一定要追溯至相关责任人(维修主管和首席飞行教员),并由他们给出整改措施。对于那些危害安全的短期行为,应立即阻止。对于危害安全运行的长期行为,则应对安全审计程序进行修订,确保将来不再发生类似情况。运行安全审计工作总责任人可以指派给首席飞行教员。首席飞行教员不仅经验丰富,而且熟悉飞行运行政策和程序,最适合评估自己和飞行教员的一致性。另外再指派一名安全主任,主要负责制定和月度安全简报。如果有必要,还可设一个由有管理经验的人员组成的安全委员会,负责指导和监督所有与地面和飞行运行安全相关的问题,并将其工作内容编入FSOM中。
2.2安全教育与培训
学员有权获得诸如航空器适航指令以及机身翻修和螺旋桨、配件需要检查的间隔时间等飞机维修记录。要严格按照本单位拟定的特定程序和民航行业规程向飞行学员、飞行教员和其他工作人员提供安全继续教育,制定飞机手册和飞行培训手册,并确保其得到有效使用。飞机手册的主要内容包括:完整的飞机制造商和训练模拟机清单;飞机制造商提供的操作手册。每个飞行学员都应有所用飞机的操作手册副本。对于没有飞机操作手册的老旧飞机,应该有标语牌和限制要求。新学员在入学时就应颁发上课证、飞行训练大纲副本(包括当局批准的飞行训练大纲或针对CCARI-141部学校的特殊课程大纲)。此外,培训机构最好自己拟定一份安全守则,具体内容可包括:对于带飞或单飞操作的最低天气标准;航空器地面运行规则;与飞机相关的紧急程序;飞机舷梯及飞机地面操作程序;火灾处理程序;飞行中飞机安全保障程序;飞机维修报告程序,如何确定维修问题已得到解决;飞机燃油储备量;飞行区域和高度说明书;通信频率和应答机等材料。安保工作对象主要是飞机和飞机使用者。制定绝密级的安保制度和计划,每半年审查一次。指派一名安保秘书,主要负责编制和月度安保简报。安保工作尤其要确保飞机安全。未获批准,任何人不得接触飞机舱门和点火钥匙。不得把飞机钥匙放在未锁的飞机里,要保证飞机钥匙在任何情况下都是安全的,不得公开。使用航空器时,应核实所有的学员和飞机租赁者的身份和国籍。当有人提供任何可能会带来安全隐患的信息时,应及时通知政府安全部门。
3地面运行管理
3.1停机坪运行管理
停机坪运行包括加油车、保障设备设施以及行人和航空器的运行。停机坪运行管理旨在防止航空器、车辆和人员等的不当运行而造成事故。具体管理内容包括机位分配、航空器机坪运行、航空器维护、地面运行秩序、监护与警卫、机坪卫生和保洁等,最终达到安全、有序和高效的目的。维持停机坪运行安全,关键在于保持高度警觉性,即使在不履行特定职责的情况下,也要有高度清醒的安全意识。
3.2航空器地面运行规范
3.2.1舱门与除冰操作规程
在引擎启动之前和地面运行期间,一定要关好飞机门。在启动和滑行期间,如需要通风,一定要用手撑着舱门。另外,由于雪、冰、雾等原因需要为航空器除冰,一定要通知相关部门。只有清除所有的污物,才允许飞机起飞。
3.2.2引擎启动操作规程
训练飞行前,必须完全按照飞行员操作手册(POH)进行操作。只能在指定的区域完成发动机起动程序。未放单飞的学员操作时,飞行教员必须在场。在启动发动机时,要完全遵循飞行员操作手册及所附清单。飞机引擎对于冷冻温度很敏感,此时启动发动机会损坏发动机。当环境温度低于20,℃时,需要对引擎进行预热,否则不得起飞或滑出机库。在机坪上启动引擎之前,飞行员须确保螺旋桨周边包括飞机后面的螺旋桨有效弹射区内是净空。由于旋转中的螺旋桨有潜在危险,因此在引擎运转期间,任何人不得靠近、登机或从飞机上下来。在启动之前,飞行员应该面对窗户大声宣称“CLEAR”。如果航空器正在注油,应该在注油完成后启动发动机。
3.2.3安全带的使用
在启动发动机以及飞机滑行、起飞和着陆操作过程中,飞行学员、教员都必须系好安全带和肩带。具体规范要求参见CCAR-91部。
3.2.4乘员简报
所有航空器乘员都要接受完整的乘员简报。简报内容包括吸烟、位置、紧急出口和灭火器、个人物品存放以及客舱消毒程序等。
3.2.5滑行程序
航空器滑行只能由飞行学员、教员、维修工程和其他经授权的人员操作。未经授权,不得进入滑行道及滑出机库。滑行前,需要测试航空器的制动装置,制动装置的使用应保持在最低限度,滑行速度要遵守相关规定。无特殊情况,航空器必须沿滑行道中心线滑行。
3.2.6停机程序
发动机完全关闭和螺旋桨停止旋转之前,任何人不得离开飞机。停机前,要确定飞机是否停在合适的停机区域,控制锁是否已安装妥当,窗户和通风口是否关闭,安全带是否已整理好。在训练结束后,每架航空器要捆绑式固定。停稳后,飞行员必须确保飞机已经拴系或固定,所有的电子开关已经关闭,所有废弃物和私人物品拿出航空器,侧通风口是关闭的。如果航空器在机坪上没有专人看管,一定要锁好舱门和行李舱。在注油坪或其他任何区域停泊航空器时,飞行员应该保持高度谨慎,确保航空器与其他车辆之间的净距。
3.2.7其他地面运行限制
所有私人汽车只能停放在指定的停车区,不得停靠在办公或停机区附近。灯塔灯的开关应置于“ON”位置后关机。为了安全起见,应从远处再次确认主开关是否已经置于“ON”。离开飞机时,要仔细检查主控机是否为“OFF”。
3.3飞机养护和差错管理
3.3.1飞机养护规程
飞行员有责任保持飞机内饰干净整洁。在完成每一次飞行后,要取出所有废弃物,并对垃圾容器进行处理。不得携带开口饮料(例如没有盖子的咖啡杯等)上飞机。每次飞行结束后,飞行员应该固定好飞机,扣好安全带,关闭门窗锁和通风口。如需打蜡或清洁,应尽快通报调度部门。飞行员不得使用软布和清洁剂以外的任何物品清洁飞机窗户。
3.3.2飞机缺陷报告制度
飞行前、后和飞行过程中,要关注飞机所有的可能缺陷,一旦发现,应立即报告。飞机资料夹是详细描述偏差的“应答器表”,一旦发现与当前状态不符,就应该引起足够重视。当飞机有明显缺陷时,绝对不允许飞行。如无经理或维修技师确认,不适航部件需马上进行维修。
3.3.3检查和定期维护
所有飞机维护工作都严格遵守相关规章和程序,并尽可能将检修计划带来的训练冲突降到最低。禁止在飞机上和注油区吸烟;不得将罐、耳机等放在飞机仪表盘上;尤其在夜间,雨刮器也会影响视线。
4结语
为切实加强对全省政府系统办公业务资源网(以下简称省政府专网)的安全管理,确保重要网络办公应用系统运行稳定、安全可控,根据《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(〔2008〕17号)精神,经省政府同意,现就加强省政府专网安全管理工作通知如下:
一、提高认识,认清形势,高度重视新形势下省政府专网安全管理工作
省政府专网是以省政府办公厅为枢纽的全省政府系统办公业务资源网,是全省电子政务建设的重要组成部分,也是我省推进电子政务建设的重要基础。省政府专网自1997年开始建设使用以来,不断升级完善,目前已连接各省辖市政府及170家省直单位。其网上的主要办公应用有公文交换、信息采编、应急值班、公务邮件会议通知报名等办公应用系统。同时建设了省政府专网网站,为各联网单位提供了信息共享平台。
当前,网络安全形势十分严峻。国内外敌对势力大肆利用各种手段对我各级政府信息系统进行网络攻击、破坏,窃密手段不断翻新,窃密活动十分猖獗。随着信息化建设的不断推进和新技术的发展运用,泄密风险、泄密渠道和泄密隐患明显增多,网络安全管理难度明显加大。同时,一些单位和人员信息安全和保密意识淡薄,管理机制不健全,制度不落实,技术防护措施不完善,违规操作行为有禁不止等问题比较突出。网络安全涉及国家安全,各地、各部门必须站在维护国家安全和利益、保障中原经济区建设顺利进行、加快中原崛起和振兴的战略高度,充分认识信息化条件下政府信息系统安全管理面临的严峻形势,采取切实有效措施,加强省政府专网安全管理工作,保障其安全、稳定运行。
二、加强领导,明确责任,健全省政府专网安全管理责任制
各地、各部门要把省政府专网安全管理工作列入重要议事日程,加强领导,落实责任,完善措施,强化监管,切实抓紧抓好。省政府办公厅负责规划建设省级政府专网平台,制定网络对接、信息交换、安全技术及运行管理标准规范,并对省级政府专网平台安全负责。
各地、各部门要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,建立健全省政府专网安全管理责任制,把责任落实到具体岗位和个人。一要明确一名主管领导,负责本地、本部门省政府专网安全管理工作,及时研究解决工作中存在的问题,统筹协调和保障工作的开展。二要指定一个内设机构具体承担本单位省政府专网安全管理工作,负责组织落实本单位网络信息安全保密管理制度,完善防护措施,开展信息安全保密教育和监督检查等。三要指定一位安全观念强、富有责任心、懂安全防护技术的工作人员担任专职或兼职省政府专网安全员,负责日常检查、维护、联系等工作。四要制定完善网络管理岗位责任制度和办法,与网络管理、使用人员签订安全保密责任书,明确省政府专网安全管理责任。
三、强化教育,加强培训,提高网络安全意识和防护技能
各地、各部门要结合实际,认真组织开展对省政府专网分管领导、工作人员的教育培训,加强对国家保密法律、法规和网络安全保密管理规定的深入学习,特别是要对网络管理人员和专兼职网络安全员开展岗位任职培训。当前,要严格落实省政府专网安全管理工作要求,一是严禁将网络、信息系统和国际互联网等公共信息网接入省政府专网;二是严禁在计算机与连接省政府专网计算机之间交叉使用U盘等移动存储设备;三是严禁在没有防护措施的情况下将国际互联网等公共信息网上的数据拷贝到省政府专网;四是严禁计算机、连接互联网的计算机与连接省政府专网的计算机混用。行政机关及其工作人员要切实遵守信息安全和保密管理各项规定,做到令行禁止,杜绝安全隐患。
四、完善措施,增强能力,夯实安全工作基础
(一)实行严格的网络隔离。省政府专网是非的全省政府系统内部办公网络,要与网络以及国际互联网等公共信息网物理隔离,专网专用。
(二)实行严格的接入管理。省政府办公厅对省政府专网实行严格的网络接入审批制度,拟接入省政府专网的单位要以书面形式向省政府办公厅提出申请。对已经接入省政府专网的单位,必须按照省政府办公厅统一分配的域名、IP(网络之间互连的协议)地址段等配置相关设备,未经批准不得随意改动;符合安全要求的单位要将本单位办公局域网整体接入省政府专网;如将接入省政府专网的网络向下连接或改变省政府专网连接方式、范围,或利用省政府专网开展新的纵向办公应用,须先制定网络系统方案和工作方案,并报省政府办公厅电子政务办公室审核。
(三)实行严格的内容管理。连接省政府专网的计算机、服务器和其他设备不得用于存储、处理、传输涉及国家秘密的信息。接入省政府专网的用户不得利用省政府专网制作、复制或传播各类不良信息,不得从事干扰其他省政府专网用户、破坏网络服务和网络设备的活动,如在网络上不真实的信息、散布计算机病毒等。
(四)实行计算机配置管理和安全审计。各单位要对连接省政府专网的计算机和移动存储设备实行配置管理,统一编号、统一标志、统一登记;对办公用计算机逐步加装安全审计工具,定期进行安全审计。
(五)增强网络安全保障能力。各地、各部门要加快信息安全防护设施建设,将信息安全防护设施建设、运行、维护、检查和管理费用纳入预算,保证资金落实。同时,要加快建立健全以身份认证、访问控制、安全审计、责任认定、病毒防护等为主要内容的网络安全体系,完善网络安全技术防护手段。
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
关键词:电力系统;计算机网络;可靠供电;安全体系;信息安全战略
中图分类号:TM715文献标识码: A 文章编号:
一、电力系统的信息安全体系
信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。
信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。
作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。
信息安全应该实行分层保护措施,有以下五个方面,
①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力系统的信息安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。
(二)安全技术策略
为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:
1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。
5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
6.建立信息安全身份认证体系。CA是Certificate Authority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。
(三)组织管理策略
信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
2.安全策略与制度。应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
3.安全组织与岗位。企业的组织体系应实行“统一组织、分散管理”的方式,建立以信息中心作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。