導(dǎo)語:在安全審計(jì)培訓(xùn)的撰寫旅程中�����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文�����,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�����,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
關(guān)鍵詞:山區(qū)道路��;安全審計(jì)��;內(nèi)容��;步驟
道路安全審計(jì)(Road Safely Audits��,簡(jiǎn)稱RSA)是從預(yù)防交通事故�����、降低事故產(chǎn)生的可能性和嚴(yán)重性人手�����,對(duì)道路項(xiàng)目建設(shè)的全過程�����,即規(guī)劃���、設(shè)計(jì)�����、施工和服務(wù)期進(jìn)行全方位的安全審核���,從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能,是國(guó)際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項(xiàng)新技術(shù)手段���。其目標(biāo)是:確定項(xiàng)目潛在的安全隱患�����;確?����?紤]了合適的安全對(duì)策�����;使安全隱患得以消除或以較低的代價(jià)降低其負(fù)面影響��,避免道路成為事故多發(fā)路段�����;保障道路項(xiàng)目在規(guī)劃��、設(shè)計(jì)��、施工和運(yùn)營(yíng)各階段都考慮了使用者的安全需求�����,從而保證現(xiàn)已運(yùn)營(yíng)或?qū)⒔ㄔO(shè)的道路項(xiàng)目能為使用者提供最高實(shí)用標(biāo)準(zhǔn)的交通安全服務(wù)��。
1 道路安全審計(jì)的起源與發(fā)展
1991年�����,英國(guó)版的《公路安全審計(jì)指南》問世���,這標(biāo)志著安全審計(jì)有了系統(tǒng)的體系��。從1991年4月起��,安全審計(jì)成為英國(guó)全境主干道���、高速公路建設(shè)與養(yǎng)護(hù)工程項(xiàng)目必須進(jìn)行的程序,使英國(guó)成為安全審計(jì)的重要發(fā)起與發(fā)展國(guó)�����。而我國(guó)則是在20世紀(jì)90年代中期開始發(fā)展安全審計(jì)�����,主要有兩個(gè)渠道:①以高等院校為主的學(xué)者通過國(guó)際學(xué)術(shù)交流與檢索國(guó)外文獻(xiàn)���,從理論體系的角度引入道路安全審計(jì)的理論���;②通過世界銀行貸款項(xiàng)目的配套科研課題。在工程領(lǐng)域開展道路安全審計(jì)的實(shí)踐��。
目前,在澳大利亞�����、丹麥�����、英國(guó)�����、冰島�����、新西蘭和挪威等國(guó)已定期地執(zhí)行道路安全審計(jì)��,德國(guó)�����、芬蘭���、法國(guó)��、意大利�����、加拿大�����、荷蘭���、葡萄牙、泰國(guó)以及美國(guó)正處于實(shí)驗(yàn)或試行階段�����,其他許多國(guó)家也在就道路安全審計(jì)的引入進(jìn)行檢驗(yàn)��,比如希臘等國(guó)家��。國(guó)外研究表明���,道路安全審計(jì)可有效地預(yù)防交通事故��,降低交通事故數(shù)量及其嚴(yán)重度��,減少道路開通后改建完善和運(yùn)營(yíng)管理費(fèi)用��,提升交通安全文化���,其投資回報(bào)是15~40倍�����。
道路安全審計(jì)在我們道路建設(shè)中的重要性�����,不僅僅是在提高安全性方面��,對(duì)經(jīng)濟(jì)性也有幫助��。而山區(qū)道路的安全比起一般道路來講�����,就更應(yīng)該引起我們的注意,畢竟山區(qū)道路的崎嶇以及地勢(shì)的高低相對(duì)與一般道路對(duì)駕駛者來說是一個(gè)很大的挑戰(zhàn)�����,而且其發(fā)生事故的死亡率也比其他道路高很多,因此��,審計(jì)對(duì)于山區(qū)道路來說是至關(guān)重要的�����。
2 山區(qū)道路安全審計(jì)內(nèi)容
加拿大等國(guó)家認(rèn)為���,在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段進(jìn)行道路安全審計(jì)最重要��、最有效���,因而早期的道路安全審計(jì)主要重點(diǎn)是在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段。現(xiàn)世界各國(guó)都普遍認(rèn)為可在已運(yùn)營(yíng)的道路和擬建道路項(xiàng)目建設(shè)期的全過程實(shí)行安全審計(jì)��,即在規(guī)劃或可行性研究���、初步設(shè)計(jì)�����、施工圖設(shè)計(jì)�����、道路通車前期(預(yù)開通)和開通服務(wù)期(后評(píng)估階段)都有所側(cè)重地實(shí)行審計(jì)���。山區(qū)道路安全審計(jì)同樣與其他道路的安全審計(jì)工作內(nèi)容一樣�����。
3 審計(jì)要素
典型的道路安全審計(jì)過程為:組建審計(jì)組+設(shè)計(jì)隊(duì)介紹項(xiàng)目情況及提供資料+項(xiàng)目實(shí)施考察-安全性分析研究-編寫安全審計(jì)報(bào)告+審計(jì)組介紹項(xiàng)目審計(jì)結(jié)果+設(shè)計(jì)隊(duì)研究�����、編寫響應(yīng)報(bào)告-審計(jì)報(bào)告及響應(yīng)報(bào)告共同構(gòu)成項(xiàng)目安全文件�����。
整個(gè)安全審計(jì)的時(shí)間一般為兩周左右�����。為保證安全審計(jì)的質(zhì)量�����,審計(jì)組人員的構(gòu)成至關(guān)重要。審計(jì)組的人數(shù)依項(xiàng)目的規(guī)模大小一般由26人組成,審計(jì)組應(yīng)由不同背景��、不同經(jīng)歷�����、受過培訓(xùn)�����、經(jīng)驗(yàn)豐富��、獨(dú)立的人員(與設(shè)計(jì)隊(duì)無直接關(guān)聯(lián))組成���。審計(jì)人員一般應(yīng)具備交通安全��、交通工程���、交通運(yùn)行分析、交通心理���、道路設(shè)計(jì)�����、道路維護(hù)���、交通運(yùn)營(yíng)及管理��、交通法律法規(guī)等方面的知識(shí)�����,應(yīng)保證審計(jì)組人員相互間能平等���、自由地交流、討論和商議安全問題�����。審計(jì)人員應(yīng)本著對(duì)社會(huì)(用戶)負(fù)責(zé)的態(tài)度���、安全第一的觀點(diǎn)�����,依據(jù)道路標(biāo)準(zhǔn)規(guī)范�����,對(duì)項(xiàng)目各種設(shè)計(jì)參數(shù)���、弱勢(shì)用戶、氣候環(huán)境等的綜合組合�����,展開道路安全審計(jì)��。道路安全審計(jì)人員(審計(jì)組)與設(shè)計(jì)人員(設(shè)計(jì)隊(duì))的區(qū)別在于:設(shè)計(jì)人員需要綜合考慮項(xiàng)目投資���、土地���、政治、地理��、地形�����、環(huán)境��、交通��、安全等方方面面的因數(shù),限于經(jīng)驗(yàn)��、時(shí)間的約束�����,對(duì)安全問題難免有所偏頗�����。而安全審計(jì)人員不考慮項(xiàng)目投資��、建設(shè)背景等因數(shù)��,僅僅考慮安全問題��,只提安全建議�����,最后由設(shè)計(jì)人員決定:采納��、改進(jìn)或不采納�����。因而可以說道路安全審計(jì)的關(guān)鍵點(diǎn)為:它是一個(gè)正式的、獨(dú)立進(jìn)行的審計(jì)過程�����,須由有經(jīng)驗(yàn)的��、有資格的人員從事這一工作���,要考慮到道路的各種用戶,最重要的一點(diǎn)是只考慮安全問題���。
安全審計(jì)報(bào)告一般應(yīng)包括:設(shè)計(jì)人及審計(jì)組簡(jiǎn)述��、審計(jì)過程及日期���、項(xiàng)目背景及簡(jiǎn)況、圖紙等���,對(duì)確認(rèn)的每一個(gè)潛在危險(xiǎn)因素都應(yīng)闡述其地點(diǎn)�����、詳細(xì)特征���、可能引發(fā)的事故(類型)���、事故的頻率及嚴(yán)重度評(píng)估、改進(jìn)建議及該建議的可操作性(實(shí)用性)等���。審計(jì)報(bào)告應(yīng)易于被設(shè)計(jì)人員接受并實(shí)施�����。響應(yīng)報(bào)告應(yīng)由項(xiàng)目設(shè)計(jì)人員編寫���,其內(nèi)容—般應(yīng)包括:對(duì)審計(jì)報(bào)告指出的安全缺陷是否接受,如不接受應(yīng)闡述理由���,對(duì)每一改進(jìn)建議應(yīng)一一響應(yīng)�����,采納���、部分采納或不采納,并闡明原因。
4 現(xiàn)有山區(qū)道路的安全審計(jì)
對(duì)現(xiàn)狀山區(qū)道路進(jìn)行安全審計(jì)�����,主要評(píng)估現(xiàn)狀道路潛在事故危險(xiǎn)性�����,同時(shí)提出改進(jìn)措施以降低未來發(fā)生事故的可能性?����,F(xiàn)狀道路的安全審計(jì)與新建道路相類似���,也需進(jìn)行上面所提到的工作,但現(xiàn)場(chǎng)調(diào)查以及評(píng)估資料及文件這兩步與新建道路有所不同��。此時(shí)事故資料被作為欲審計(jì)資料的重要組成部分���,同時(shí)該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細(xì)資料���。
理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計(jì)應(yīng)該建立在有規(guī)律的基礎(chǔ)之上。它可以以連續(xù)幾年審計(jì)的結(jié)果為基礎(chǔ)�����,采用滾動(dòng)式的審計(jì)方式對(duì)路網(wǎng)中的每條道路都進(jìn)行評(píng)估。對(duì)于里程較長(zhǎng)的道路(一般>100km)��,其安全審計(jì)工作可按兩階段進(jìn)行�����,即初步審計(jì)階段和詳細(xì)審計(jì)階段��。前者主要對(duì)道路總體上進(jìn)行粗略審計(jì)�����,給出存在的主要問題及所處位置���,后者則對(duì)找到的問題進(jìn)行進(jìn)一步的詳細(xì)分析并提出相應(yīng)的改進(jìn)建議���。對(duì)里程較短的道路(
由于欲審計(jì)道路已修建完成并已經(jīng)運(yùn)營(yíng),此時(shí)現(xiàn)場(chǎng)調(diào)查就顯得非常重要���。不管是擬建道路或已建道路��、線內(nèi)工程還是線外工程���,安全審計(jì)工作必須全方位細(xì)致地進(jìn)行�����。要考慮不同道路使用者對(duì)道路安全性能的不同需求��。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼�����;②半徑太小可能使得駕駛員無法在規(guī)定視距范圍內(nèi)看到對(duì)方��;③山體的穩(wěn)定性也可能會(huì)影響到駕駛員��。
另外�����,現(xiàn)狀山區(qū)道路的安全審計(jì)工作還要調(diào)查不同的道路類型,例如白天�����、黑夜��、干燥、潮濕等情況對(duì)道路的影響���。此外��,對(duì)現(xiàn)有道路網(wǎng)絡(luò)的安全審計(jì)可結(jié)合養(yǎng)護(hù)工作同時(shí)進(jìn)行�����,這樣可減 少相應(yīng)的成本費(fèi)用�����。
5 我國(guó)山區(qū)道路的審計(jì)現(xiàn)狀及問題和解決方法
5.1審計(jì)現(xiàn)狀及問題
由于目前審計(jì)這個(gè)名詞在國(guó)內(nèi)還算比較新鮮�����,國(guó)外從起步發(fā)展到現(xiàn)在也不過十來年的時(shí)間���,各方面都只是處于實(shí)驗(yàn)或者是試行階段,并沒有固定的一套理論依據(jù)���。而我國(guó)相對(duì)外國(guó)來說又是落后了好幾年�����,因此我國(guó)現(xiàn)在總體的審計(jì)現(xiàn)狀也就處于探索階段��,各個(gè)方面也是處于起步階段���,不可能對(duì)各個(gè)方面的審計(jì)工作做到非常的完善���。而道路的審計(jì)不過是眾多審計(jì)工作中的一小部分,由于其本身的“新鮮性”�����,又對(duì)審計(jì)人員的要求較高���,西部一些貧困地區(qū)教育跟不上�����,審計(jì)的人才缺乏也不是沒有可能�����,設(shè)備等亦未全部到位。山區(qū)道路安全審計(jì)工作的開展較一般道路可能要更加的困難�����,因?yàn)樯絽^(qū)道路多是停山臨崖,彎道又多�����,坡度又大等各方面因素是其工作的開展要難與一般道路�����;更有甚者像那些偏僻地區(qū)的山區(qū)道路��,可能路面的質(zhì)量都無法保證��,更不要提進(jìn)行什么安全審計(jì)���。
5.2解決方法
要改善我國(guó)目前的這種安全審計(jì)情況��,需要全國(guó)各個(gè)方面的努力與配合���,不過政府要有所規(guī)定,我們民間也要有這方面的意識(shí)�����。筆者簡(jiǎn)單列出幾項(xiàng):①國(guó)家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進(jìn)行安全審計(jì)��;②地方政府部門要加強(qiáng)管理�����;③加強(qiáng)對(duì)審計(jì)人員的培訓(xùn)�����;④提高我國(guó)的教育水平和人們的交通安全意識(shí)��;⑤交通安全部門要深入到偏僻的山區(qū)���;⑥提高我國(guó)的經(jīng)濟(jì)實(shí)力���。
6 結(jié)束語
山區(qū)道路的安全審計(jì)工作與其他道路的安全審計(jì)總體上應(yīng)該說差不多,當(dāng)然山區(qū)的那種獨(dú)特的環(huán)境使得審計(jì)工作的重點(diǎn)可能不僅僅局限與一般的道路���,不要認(rèn)為山區(qū)道路的流量沒有城市道路那么多而忽視它���,我國(guó)是個(gè)多山的國(guó)家,山區(qū)道路對(duì)于我國(guó)各個(gè)地區(qū)的經(jīng)濟(jì)往來的作用不言而譽(yù)�����。通過安全審計(jì)��,加強(qiáng)了全國(guó)各地交流���。對(duì)于我國(guó)的經(jīng)濟(jì)發(fā)展有百利而無一害��。國(guó)內(nèi)山區(qū)道路建設(shè)的實(shí)際情況對(duì)道路安全審計(jì)進(jìn)行了較為系統(tǒng)的分析研究并得出以下結(jié)論:
(1)道路安全審計(jì)獨(dú)立于設(shè)計(jì)和標(biāo)準(zhǔn)�����。是以安全為核心的審計(jì)��,其對(duì)象為一切與交通安全相關(guān)的工程和設(shè)施��,它可分階段���、按步驟的實(shí)施,審計(jì)的結(jié)果為安全審計(jì)報(bào)告���。
第2篇
關(guān)鍵詞: 桌面終端�����;安全防護(hù)體系�����;安全要求
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2012)0220131-01
0 前言
隨著互聯(lián)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的發(fā)展��,信息傳播范圍和獲取手段發(fā)生著日新月異的變化��。桌面終端在企業(yè)員工日常工作中已被廣泛使用��,成為基本工具���。桌面終端需要頻繁地訪問與企業(yè)生產(chǎn)運(yùn)行密切相關(guān)的各種各樣的信息系統(tǒng)�����,大量敏感或信息存儲(chǔ)在桌面或移動(dòng)存儲(chǔ)介質(zhì)中�����。同時(shí)�����,來自于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)外部或內(nèi)部的攻擊活動(dòng)有增無減���,變化無常���,加之企業(yè)內(nèi)部桌面非法接入的情況較為普遍���,以及桌面安全的管理規(guī)章制度沒有切實(shí)有效的管理手段��。目前企業(yè)信息安全面臨嚴(yán)峻的挑戰(zhàn)���,如何保證桌面終端的安全,從而保證企業(yè)整體信息安全���,成為日益突出的問題��。同時(shí)強(qiáng)有力和切實(shí)可行的桌面安全管理手段���,也將成為企業(yè)信息安全得以保證的基礎(chǔ)。
1 桌面終端的安全要求
隨著企業(yè)信息化建設(shè)的迅速發(fā)展��,終端計(jì)算機(jī)數(shù)量的逐步增加��,企業(yè)正常、穩(wěn)定的生產(chǎn)及運(yùn)行越加依附于企業(yè)網(wǎng)絡(luò)�����。桌面終端是企業(yè)網(wǎng)絡(luò)的最基本組成部分�����,也是管理的最薄弱環(huán)節(jié)���,涉及大量敏感或數(shù)據(jù)��,管理較為為復(fù)雜���,往往成為信息外泄的源頭。
企業(yè)應(yīng)根據(jù)自身的網(wǎng)絡(luò)環(huán)境��,結(jié)合基本情況���,統(tǒng)一部署防病毒系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)�����,并定期對(duì)病毒定義文件進(jìn)行升級(jí)和播發(fā)安全補(bǔ)丁���。同時(shí)為了確保終端用戶合規(guī)接入網(wǎng)絡(luò)��,應(yīng)建立以端點(diǎn)準(zhǔn)入控制系統(tǒng)為基礎(chǔ)的安全防護(hù)體系��,并執(zhí)行企業(yè)制定的安全策略�����,阻止不符合安全策略的終端用戶接入企業(yè)網(wǎng)絡(luò)���。終端用戶的桌面安全環(huán)境需要由完善的桌面管理系統(tǒng)提供保障�����,除了利用防病毒和補(bǔ)丁系統(tǒng)���,來防范和控制木馬���、惡意軟件及內(nèi)網(wǎng)的攻擊行為,還要對(duì)企業(yè)終端用戶的桌面制定相應(yīng)的安全機(jī)制�����,確保每個(gè)接入網(wǎng)絡(luò)的終端用戶都符合企業(yè)安全策略,規(guī)范終端桌面的安全行為��,使桌面終端工作在一個(gè)安全的防護(hù)體系中�����,保證企業(yè)網(wǎng)絡(luò)在一個(gè)安全、穩(wěn)定�����、有較的環(huán)境中運(yùn)行��。
2 桌面終端安全防護(hù)體系建設(shè)
隨著信息技術(shù)應(yīng)用的不斷深入����,企業(yè)信息系統(tǒng)集中程度的不斷提高����,業(yè)務(wù)對(duì)信息系統(tǒng)依賴程度不斷加大。現(xiàn)有的安全防護(hù)系統(tǒng)仍不能完全預(yù)防來自企業(yè)內(nèi)部或外部網(wǎng)絡(luò)的入侵和攻擊�����,所以需要完善安全防護(hù)體系建設(shè)����,統(tǒng)一建立以防病毒系統(tǒng)��、補(bǔ)丁分發(fā)系統(tǒng)和端點(diǎn)準(zhǔn)入控制系統(tǒng)為基礎(chǔ)的桌面安全防護(hù)系統(tǒng)����,才能使主要依靠信息化應(yīng)用系統(tǒng)的安全性得到有效保證��。
2.1 防病毒系統(tǒng)�����。防病毒系統(tǒng)體系由總部服務(wù)器獲取最新病毒定義文件下推到各級(jí)單位����,實(shí)現(xiàn)病毒定義文件的逐級(jí)升級(jí)����。防病毒體系的統(tǒng)一部署,有效地防止了病毒和惡意軟件的大面積爆發(fā)�����,為桌面終端安全提供了強(qiáng)有力的保障����。
2.2 補(bǔ)丁分發(fā)系統(tǒng)����。補(bǔ)丁分發(fā)系統(tǒng)采用總部服務(wù)器過濾最新系統(tǒng)安全補(bǔ)丁并下發(fā)到地區(qū)公司服務(wù)器��,地區(qū)公司服務(wù)器自動(dòng)下發(fā)到終端用戶的總體架構(gòu)方式����。補(bǔ)丁管理系統(tǒng)可以幫助企業(yè)對(duì)網(wǎng)絡(luò)內(nèi)各種軟件和應(yīng)用系統(tǒng)進(jìn)行維護(hù)和控制?����?朔踩┒床⒈3稚a(chǎn)環(huán)境的穩(wěn)定性����。
2.3 端點(diǎn)準(zhǔn)入系統(tǒng)。端點(diǎn)準(zhǔn)入安全防護(hù)體系由總部服務(wù)器下發(fā)企業(yè)總體安全策略����,地區(qū)公司接收總部策略后根據(jù)本地實(shí)際情況制定個(gè)性化策略,管理個(gè)人計(jì)算機(jī)�����。端點(diǎn)準(zhǔn)入控制系統(tǒng)需要提供全面的端點(diǎn)保護(hù)功能,實(shí)現(xiàn)多層次的安全防護(hù)策略�����,有效應(yīng)對(duì)病毒����、木馬、蠕蟲等混合安全威脅�����,有效應(yīng)對(duì)來自于互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的惡意掃描�����、惡意入侵等安全威脅�����。
2.4 桌面安全流量監(jiān)控體系����。通過桌面安全流量監(jiān)控系統(tǒng)����,將桌面安全事件和桌面安全技術(shù)支持團(tuán)隊(duì)有機(jī)聯(lián)系在一起�����,建立“發(fā)現(xiàn)-定位-處理”循環(huán)往復(fù)的工作模式��,以安全管理團(tuán)隊(duì)自上而下的監(jiān)督�����、支持和協(xié)同作戰(zhàn)�����,推動(dòng)各級(jí)安全管理團(tuán)隊(duì)的工作�����,提升管理水平�����,保證信息安全在桌面端少出問題����,從而增強(qiáng)我們整體的信息安全水平。
2.5 數(shù)據(jù)文件電子加密��。網(wǎng)絡(luò)中最有價(jià)值的是數(shù)據(jù)����,而敏感或數(shù)據(jù)的安全性越來越重要。網(wǎng)絡(luò)安全產(chǎn)品大部分都集中在這些數(shù)據(jù)的�����,并沒有針對(duì)數(shù)據(jù)本身的安全保障提出有效的解決方案��。所以建立電子文檔加密系統(tǒng)����,可以為員工提供方便易用的文件加密工具,切實(shí)增強(qiáng)信息安全水平和意識(shí)�����,有效防止敏感信息泄漏����。這對(duì)提高整體的信息安全也是切實(shí)可行的����。電子文檔加密系統(tǒng)是為桌面用戶提供文件加密工具����。加密后的文件可有效防范丟失����、失竊或在網(wǎng)絡(luò)上傳輸時(shí)被非法常截獲等情況下的信息外泄。
2.6 系統(tǒng)安全審計(jì)�����。建立系統(tǒng)安全審計(jì)應(yīng)為安全部門或管理員提供及時(shí)有效的一組管理數(shù)據(jù)進(jìn)行分析�����,以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件��。利用安全審計(jì)結(jié)果��,可調(diào)整安全政策����,堵住出現(xiàn)的漏洞,為此,系統(tǒng)安全審計(jì)應(yīng)該具備以下功能:
1)記錄關(guān)鍵事件:由安全相關(guān)部門統(tǒng)一定義違犯安全的事件����,并決定將什么信息記入審計(jì)日志。
2)提供可集中處理審計(jì)日志的數(shù)據(jù)形式:以標(biāo)準(zhǔn)的��、可使用的格式輸出安全審計(jì)信息�����,使安全官員能夠直接利用軟件工具處理這些事件����。
3)實(shí)時(shí)安全報(bào)警:擴(kuò)展現(xiàn)有管理工作的能力并將它們與數(shù)據(jù)鏈路驅(qū)動(dòng)程序和安全審計(jì)能力結(jié)合起來,當(dāng)發(fā)生與安全有關(guān)的事件時(shí)��,安全系統(tǒng)就報(bào)警通知相應(yīng)的部門����。
2.7 加強(qiáng)桌面安全管理。建立嚴(yán)格遵守規(guī)章制度��,依據(jù)國(guó)家法律法規(guī)根據(jù)企業(yè)本身的實(shí)際情況制定相關(guān)規(guī)章制度��,讓終端用戶遵守相關(guān)制度��,可以有效的減少終端安全桌面的事故發(fā)生。培養(yǎng)終端用戶良好的安全意識(shí)�����,安全意識(shí)低的必然結(jié)果就是導(dǎo)致信息安全實(shí)踐水平較差��,所以培養(yǎng)終端用戶的安全意識(shí)可以防止利用終端入侵企業(yè)網(wǎng)絡(luò)�����。加強(qiáng)桌面用戶安全培訓(xùn)�����,經(jīng)常組織安全培訓(xùn)可以提高終端用戶的安全防護(hù)知識(shí)��,提升終端桌面的防御能力����。
3 結(jié)語
桌面終端是企業(yè)網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)�����,也是企業(yè)信息安全最脆弱的部位����,目前企業(yè)的安全防護(hù)手段不能完全的對(duì)桌面終端做到有效的安全管理�����,所以應(yīng)該根據(jù)需求建立相應(yīng)的安全體系��,不僅能增加桌面終端的安全防護(hù)能力��,同時(shí)也減少企業(yè)網(wǎng)絡(luò)面臨的安全威脅��,同時(shí)應(yīng)提高終端用戶的安全意識(shí)��,加強(qiáng)安全管理����。
參考文獻(xiàn):
第3篇
如何建立一套針對(duì)企業(yè)自身特點(diǎn)的信息系統(tǒng)安全體系�����,最大程度地保證其正常運(yùn)營(yíng)��,這不是一個(gè)單純的技術(shù)問題��,而是一個(gè)把管理��、安全技術(shù)、審計(jì)等多種因素集成于于一體的系統(tǒng)工程����。因此,企業(yè)管理層需要在企業(yè)發(fā)展策略中��,高度重視信息安全技術(shù)�����、信息安全管理和審計(jì)工作�����,不僅要在信息系統(tǒng)的軟硬件上下功夫��,而且不能忽略相關(guān)審計(jì)工作��,加強(qiáng)風(fēng)險(xiǎn)排查�����,這樣才能對(duì)企業(yè)的業(yè)務(wù)發(fā)展做到同步支持����。
1.信息系統(tǒng)安全技術(shù)
信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎(chǔ),在其中起到支撐的作用����。在實(shí)際工作中,針對(duì)企業(yè)各自特點(diǎn)制定相關(guān)策略����。當(dāng)前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問題如下:
1.1硬件運(yùn)維
硬件設(shè)備的運(yùn)維和管理是企業(yè)信息系統(tǒng)安全體系的基礎(chǔ)保障,但是管理人員容易忽視這一環(huán)節(jié)����。企業(yè)信息系統(tǒng)往往會(huì)因?yàn)橛布O(shè)備故障、斷電或網(wǎng)絡(luò)問題造成信息丟失或服務(wù)中斷����。如果針對(duì)硬件設(shè)備的運(yùn)維和管理沒有相關(guān)保障機(jī)制,一次發(fā)生意外����,就會(huì)給企業(yè)造成不可估量的損失。
當(dāng)前常見的硬件設(shè)備運(yùn)維保障管理機(jī)制有以下幾個(gè)環(huán)節(jié):一是通過設(shè)置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運(yùn)行����;二是要對(duì)企業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)行定期巡檢,在前期的網(wǎng)絡(luò)環(huán)境部署過程中首先考慮網(wǎng)絡(luò)的連接穩(wěn)定性���;最后是加強(qiáng)信息系統(tǒng)安全管理�,嚴(yán)防企業(yè)信息丟失和竊取,可以通過對(duì)數(shù)據(jù)信息存儲(chǔ)服務(wù)器設(shè)置物理鎖的方式避免非法操作���。為了保證系統(tǒng)服務(wù)器的安全����,管理人員可以采用遠(yuǎn)程登錄的方式訪問系統(tǒng)�。
1.2入侵防御
病毒入侵一般都擁有固定代碼,而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞�,從而進(jìn)行人為操縱的信息竊取或系統(tǒng)攻擊���。特定的防范方法包括:嚴(yán)格制定防火墻訪問控制策略�,阻止外界對(duì)內(nèi)部資源的非法訪問�;關(guān)閉系統(tǒng)硬件不用的端口;定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和補(bǔ)丁包更新���;在信息系統(tǒng)中部署入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)����,從而抵御非法入侵���。
1.3病毒防范
信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對(duì)于信息系統(tǒng)病毒的防范非常重要�。操作系統(tǒng)是企業(yè)信息平臺(tái)安全的基礎(chǔ),錯(cuò)誤的安裝配置會(huì)使病毒滲入到信息系統(tǒng)當(dāng)中�。針對(duì)信息系統(tǒng)安裝殺毒軟件并進(jìn)行定期更新是病毒防范的基本措施,這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性����。企業(yè)還需要定期對(duì)系統(tǒng)進(jìn)行數(shù)據(jù)備份。
1.4數(shù)據(jù)加密
在公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)倪^程中���,利用虛擬專用網(wǎng)(VPN)技術(shù)設(shè)置訪問控制策略�,實(shí)現(xiàn)兩個(gè)或多個(gè)可信網(wǎng)絡(luò)之間的數(shù)據(jù)加密與傳輸���。搭建VPN通常使用加密防火墻和路由器���,保證數(shù)據(jù)安全傳輸[1]。
在企業(yè)的局域網(wǎng)中針對(duì)內(nèi)部信息存儲(chǔ)����、傳輸?shù)陌踩珕栴},可以通過部署安全服務(wù)器來實(shí)現(xiàn)包括對(duì)局域網(wǎng)內(nèi)資源的管理控制����、用戶的管理和所有安全相關(guān)事件的跟蹤和審計(jì)���。
2.信息系統(tǒng)安全管理
企業(yè)信息系統(tǒng)安全體系的建設(shè)三分靠技術(shù),七分靠管理���。因此�,建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點(diǎn)���。
2.1制定企業(yè)信息系統(tǒng)安全管理制度
企業(yè)信息系統(tǒng)安全體系的建立和實(shí)施對(duì)其正常運(yùn)營(yíng)非常重要�,所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準(zhǔn)����。
2.2提高企業(yè)員工信息系統(tǒng)安全意識(shí)
現(xiàn)實(shí)中企業(yè)管理者的關(guān)注焦點(diǎn)大多是生產(chǎn)上的安全,信息安全沒有得到足夠的重視����。實(shí)際上����,企業(yè)員工信息安全意識(shí)的高低,在企業(yè)的信息系統(tǒng)安全體系建設(shè)中起很大作用�,企業(yè)能夠加強(qiáng)員工的信息安全意識(shí),將很大地提高信息系統(tǒng)安全體系實(shí)施的成效。
2.3嚴(yán)格執(zhí)行標(biāo)準(zhǔn)�,強(qiáng)化制度落實(shí)
在企業(yè)信息系統(tǒng)安全體系的建設(shè)過程中,必須嚴(yán)格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行����,最大程度消除信息系統(tǒng)安全隱患。若發(fā)現(xiàn)信息系統(tǒng)安全隱患�,及時(shí)按照相關(guān)操作規(guī)程處置[2]。
2.4積極學(xué)習(xí)和應(yīng)對(duì)各種信息系統(tǒng)安全事件
信息技術(shù)不斷發(fā)展����,保障信息系統(tǒng)安全的難度也在與日俱增。因此�,信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學(xué)習(xí),不僅要制定一套完整嚴(yán)密的信息系統(tǒng)安全管理方案���,還要有步驟清晰����、操作性強(qiáng)的應(yīng)急預(yù)案�,這樣才能增強(qiáng)信息系統(tǒng)安全管理的危機(jī)抵御能力和處理能力。
2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺(tái)
面對(duì)日漸嚴(yán)峻的信息安全形勢(shì)����,在加強(qiáng)企業(yè)信息系統(tǒng)基礎(chǔ)安全設(shè)施建設(shè)的同時(shí),要有機(jī)結(jié)合員工信息安全意識(shí)、技術(shù)能力���、企業(yè)運(yùn)維管理三者�,建立一套綜合性強(qiáng)的信息系統(tǒng)安全保障體系�,在所有的業(yè)務(wù)系統(tǒng)中貫徹執(zhí)行當(dāng)前的安全管理思路,通過可量化的技術(shù)手段���,達(dá)到信息系統(tǒng)安全管理的最終目的�。
3.信息系統(tǒng)安全審計(jì)
企業(yè)信息系統(tǒng)安全體系的建設(shè)是一個(gè)長(zhǎng)期的�、需要不斷持續(xù)更新、完善的系統(tǒng)工程����,通過對(duì)信息系統(tǒng)的安全審計(jì),及時(shí)發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞���,才能不斷提高企業(yè)安全水平和質(zhì)量�。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計(jì)�,有效加強(qiáng)企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風(fēng)險(xiǎn)控制���,滿足相關(guān)政策法規(guī)���,成為各行業(yè)面臨的普遍問題[3]����。
信息系統(tǒng)安全審計(jì)是指一群擁有相關(guān)信息安全專業(yè)技能和商業(yè)知識(shí)的審計(jì)人員對(duì)企業(yè)安全風(fēng)險(xiǎn)以及如何應(yīng)對(duì)風(fēng)險(xiǎn)措施進(jìn)行評(píng)估的一個(gè)過程����。信息系統(tǒng)安全審計(jì)人員通過收集、分析����、評(píng)估信息系統(tǒng)安全信息,掌握其安全狀態(tài)���,制定安全策略�,將系統(tǒng)調(diào)整到“最安全”和“最小風(fēng)險(xiǎn)”的狀態(tài)�,確保信息系統(tǒng)安全體系完整、合理���、適用[4]�。
由于目前信息系統(tǒng)應(yīng)用已經(jīng)涉及到企業(yè)的各個(gè)業(yè)務(wù)和辦公領(lǐng)域���,對(duì)于信息系統(tǒng)帶來的安全管理已經(jīng)是企業(yè)運(yùn)營(yíng)不可切割的一部分���。所以�,企業(yè)的信息系統(tǒng)安全審計(jì)應(yīng)該是一個(gè)從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過程���。
從信息系統(tǒng)本身來說���,安全審計(jì)的要點(diǎn)主要是以下兩個(gè)方面:
3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計(jì)
數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn),保護(hù)數(shù)據(jù)的安全�、完整,避免其被惡意破壞���、盜竊���。對(duì)用戶身份進(jìn)行控制,避免非授權(quán)訪問數(shù)據(jù)���,是數(shù)據(jù)訪問環(huán)節(jié)的安全控制措施����。除此之外�,對(duì)數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)。首先����,應(yīng)雇傭具備任職資格或經(jīng)過適當(dāng)培訓(xùn)的人員,避免誤操作�;其次,所有操作都應(yīng)該經(jīng)過授權(quán)且有記錄����,數(shù)據(jù)文件被正確保存且經(jīng)過充分備份,以備正確的恢復(fù)����。
在信息系統(tǒng)中,有些數(shù)據(jù)需要在兩個(gè)子系統(tǒng)或多個(gè)子系統(tǒng)中相互傳輸���,在這個(gè)過程中很可能會(huì)出現(xiàn)問題�,尤其是在需要手工錄入或同步傳輸?shù)那闆r���,因此在進(jìn)行信息系統(tǒng)安全審計(jì)的過程中要重點(diǎn)關(guān)注以下方面:數(shù)據(jù)在傳輸?shù)倪^程中可能會(huì)發(fā)生變化���,如何進(jìn)行校驗(yàn);核心數(shù)據(jù)庫可能會(huì)被物理分散的服務(wù)器取代���;當(dāng)一個(gè)信息系統(tǒng)取代原有的信息系統(tǒng)時(shí)���,會(huì)進(jìn)行數(shù)據(jù)的傳輸���。要保證傳輸?shù)臄?shù)據(jù)是完整、可靠并且經(jīng)過批準(zhǔn)的���,數(shù)據(jù)的全部傳輸過程要準(zhǔn)確����,并且在約定時(shí)間內(nèi)完成�。
3.2內(nèi)部控制審計(jì)
內(nèi)部控制審計(jì)是企業(yè)為實(shí)現(xiàn)管理目標(biāo)而形成的自律系統(tǒng)。在審計(jì)過程中要對(duì)審計(jì)對(duì)象的系統(tǒng)環(huán)境是否符合要求�、規(guī)程制度是否完善、執(zhí)行情況是否到位進(jìn)行審查���。在信息系統(tǒng)中�,可以通過檢查以下幾個(gè)方面來驗(yàn)證企業(yè)內(nèi)控制度和執(zhí)行的效果:(1)控制信息系統(tǒng)的資源存儲(chǔ)�,包括物理存儲(chǔ)資源存儲(chǔ)(終端、連接盒����、服務(wù)器、相關(guān)文檔等)和邏輯資源存儲(chǔ)(軟件���、系統(tǒng)文件����、表和數(shù)據(jù)等)����。(2)把控信息系統(tǒng)資源的使用。用戶的新增�、變化、刪除必須經(jīng)過授權(quán)�,用戶只能對(duì)其授權(quán)范圍內(nèi)的資源進(jìn)行操作。(3)按一定標(biāo)準(zhǔn)劃分信息系統(tǒng)資源����。可以系統(tǒng)資源的濫用����、數(shù)據(jù)的非法修改以及減少人為誤操作。(4)身份和訪問控制審計(jì)���。按照時(shí)間順序建立一個(gè)檔案簿����,包含信息的創(chuàng)建、修改和刪除的詳細(xì)過程及其操作人員�。它采用的是授權(quán)證明,控制什么人什么時(shí)候訪問了什么數(shù)據(jù)���。(5)確認(rèn)處理過程的準(zhǔn)確性�。(6)管理人員對(duì)信息系統(tǒng)的所有修改都應(yīng)該保證是經(jīng)過授權(quán)���、評(píng)估和審核�,并且有記錄文檔�,保證風(fēng)險(xiǎn)最低且有效控制。(7)入侵防御審計(jì)���。入侵防御涵蓋的范圍遠(yuǎn)廣于傳統(tǒng)的入侵檢測(cè)���。入侵防御策略的合理設(shè)置會(huì)把風(fēng)險(xiǎn)縮小到最小范圍。(8)漏洞和病毒管理審計(jì)����。定期檢查系統(tǒng)漏洞和防病毒措施,根據(jù)具體問題原因進(jìn)行分析處置�,及時(shí)采取相關(guān)措施。
第4篇
關(guān)鍵詞:校園網(wǎng)絡(luò);信息安全;對(duì)策
隨著我國(guó)高校信息化建設(shè)的逐步深入,學(xué)校教學(xué)科研管理工作對(duì)信息系統(tǒng)的依賴程度越來越高�;教育信息化建設(shè)中大量的數(shù)據(jù)資源,成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺(tái)�,信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)在未來的教育信息化規(guī)劃中占有非常重要的地位。但隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展����,高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜,信息網(wǎng)絡(luò)受到越來越多的各方面威脅���,各種攻擊手法層出不窮,外部攻擊�、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著����。
1校園網(wǎng)信息安全風(fēng)險(xiǎn)分析
1.1網(wǎng)絡(luò)層風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)層風(fēng)險(xiǎn)主要是指來自互聯(lián)網(wǎng)的各種攻擊、探測(cè)���、網(wǎng)絡(luò)病毒威脅���。例如端口探測(cè)掃描、DDOS攻擊等�。
1.2系統(tǒng)層風(fēng)險(xiǎn)分析
系統(tǒng)層包括各類服務(wù)器、辦公電腦、移動(dòng)終端等操作系統(tǒng)層面的安全風(fēng)險(xiǎn)����。系統(tǒng)層面臨的安全風(fēng)險(xiǎn)主要來自兩個(gè)方面,一方面來自系統(tǒng)本身存在的漏洞����,另一方面來自對(duì)管理員對(duì)系統(tǒng)的配置和管理。
1.3數(shù)據(jù)風(fēng)險(xiǎn)分析
數(shù)據(jù)庫系統(tǒng)平臺(tái)是應(yīng)用系統(tǒng)的核心����,數(shù)據(jù)是學(xué)校應(yīng)用系統(tǒng)的基石。學(xué)校系統(tǒng)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)教育網(wǎng)互通���,數(shù)據(jù)風(fēng)險(xiǎn)主要包括:數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)�,保存在數(shù)據(jù)庫及文件服務(wù)器中的數(shù)據(jù)可能受到泄漏攻擊����;數(shù)據(jù)通信風(fēng)險(xiǎn),處于通信狀態(tài)的數(shù)據(jù)�,由于在網(wǎng)絡(luò)中傳輸,存在信息泄漏或竊取的風(fēng)險(xiǎn)�。遠(yuǎn)程管理可通過明文傳輸協(xié)議TELNET,F(xiàn)TP����,SMTP�,POP3�,這樣任何一個(gè)人都可以在內(nèi)部竊聽數(shù)據(jù),通過簡(jiǎn)單的軟件還原數(shù)據(jù)包���,從而獲得機(jī)密資料以及管理員口令�,威脅所有服務(wù)器安全����。
1.4應(yīng)用風(fēng)險(xiǎn)分析
大多數(shù)學(xué)校的主要應(yīng)用系統(tǒng)為門戶網(wǎng)站與校園應(yīng)用系統(tǒng)。針對(duì)這一Web系統(tǒng)面臨的風(fēng)險(xiǎn)主要有:網(wǎng)頁篡改���、利用漏洞對(duì)服務(wù)器內(nèi)應(yīng)用系統(tǒng)攻擊、非法侵入����、弱認(rèn)證方式等。
1.5安全管理風(fēng)險(xiǎn)分析
目前大多數(shù)學(xué)校安全管理人員較少�、管理較為分散?��;谏鲜霈F(xiàn)狀�,一旦整個(gè)信息網(wǎng)爆發(fā)病毒或被黑客攻擊,則安全管理員將無法從眾多的安全設(shè)備中快速定位故障�,不能及時(shí)處理,可能將導(dǎo)致多個(gè)重要業(yè)務(wù)系統(tǒng)癱瘓���,嚴(yán)重影響相關(guān)的教學(xué)和生活���。安全管理問題具體表現(xiàn)為:未實(shí)現(xiàn)以業(yè)務(wù)系統(tǒng)為核心的安全管理自動(dòng)化處理流程;對(duì)業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)未進(jìn)行統(tǒng)一和實(shí)時(shí)管理���;缺乏完整的安全管理方案�,安全管理人員少����,工作量大;缺少安全監(jiān)控能力�,無法探測(cè)和掌握來自外部或者內(nèi)部的針對(duì)主機(jī)、Web系統(tǒng)���、數(shù)據(jù)庫等的可疑行為����。
2校園網(wǎng)信息安全需求與對(duì)策
2.1網(wǎng)絡(luò)層安全
在安全模型中����,網(wǎng)絡(luò)層中進(jìn)行的各類傳輸活動(dòng)的安全都應(yīng)得到關(guān)注���。網(wǎng)絡(luò)層主要考慮如下方面的內(nèi)容:網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制�、安全審計(jì)、邊界完整性檢查����、網(wǎng)絡(luò)入侵防范、惡意代碼防范����、網(wǎng)絡(luò)設(shè)備防護(hù)。信息系統(tǒng)網(wǎng)絡(luò)層加強(qiáng)安全的對(duì)策:(1)部署下一代防火墻����,優(yōu)化配置控制策略實(shí)現(xiàn)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的安全隔離����。(2)部署入侵防御系統(tǒng)全面監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)資源,及時(shí)發(fā)現(xiàn)并實(shí)施有效的阻斷網(wǎng)絡(luò)內(nèi)部違規(guī)操作和黑客攻擊行為�。(3)部署堡壘機(jī)系統(tǒng)對(duì)管理員日常維護(hù)進(jìn)行權(quán)限管理和日志審計(jì)。(4)部署網(wǎng)絡(luò)防毒設(shè)備���,用以發(fā)現(xiàn)網(wǎng)絡(luò)中的各種惡意程序���,同時(shí)彌補(bǔ)單機(jī)殺毒產(chǎn)品病毒庫的不足���。
2.2系統(tǒng)層安全
系統(tǒng)層主要考慮如下方面的內(nèi)容:系統(tǒng)保護(hù)、用戶管理�、訪問控制、密碼管理�、安全審計(jì)、入侵防范���、系統(tǒng)日志�、資源控制����。信息系統(tǒng)系統(tǒng)層加強(qiáng)安全的對(duì)策:(1)辦公設(shè)備和服務(wù)器補(bǔ)丁需要及時(shí)更新,應(yīng)配置漏洞掃描系統(tǒng)及時(shí)進(jìn)行漏洞檢查���。(2)缺乏主機(jī)系統(tǒng)層面的審計(jì)手段�,但可以使用網(wǎng)絡(luò)層面部署的堡壘主機(jī)進(jìn)行操作審計(jì)����。(3)無法對(duì)網(wǎng)絡(luò)中所有設(shè)備的安全策略配置做到統(tǒng)一標(biāo)準(zhǔn)���,如果采取人工配置,不僅對(duì)人員能力要求高���,而且費(fèi)時(shí)費(fèi)力����,效率很低���,應(yīng)采用漏洞掃描系統(tǒng)的安全配置核查功能來進(jìn)行檢查���。(4)對(duì)終端和服務(wù)器支持安裝防病毒軟件的,需要安裝防病毒軟件系統(tǒng)�,應(yīng)部署網(wǎng)絡(luò)防病毒軟件系統(tǒng),且與防毒墻使用的是不同的病毒庫���。
2.3應(yīng)用層安全
應(yīng)用層是對(duì)于現(xiàn)有業(yè)務(wù)系統(tǒng)應(yīng)通過技術(shù)���、管理�、培訓(xùn)等多種手段對(duì)應(yīng)用系統(tǒng)代碼、安全功能����、數(shù)據(jù)���、開發(fā)、外包���、測(cè)試�、部署等方面所涉及的安全問題進(jìn)行預(yù)防性和發(fā)現(xiàn)性安全防護(hù)���。主要的方法有:功能驗(yàn)證����、性能測(cè)試�、滲透性測(cè)試、編碼安全培訓(xùn)���、制度流程約束等���。其中有關(guān)制度流程約束的部分可參考管理和運(yùn)維體系中的相關(guān)制度和流程。信息系統(tǒng)應(yīng)用層加強(qiáng)安全的對(duì)策:(1)在應(yīng)用開發(fā)之初進(jìn)行相關(guān)審計(jì)模塊的開發(fā)����。(2)部署WEB應(yīng)用防火墻系統(tǒng)來進(jìn)行安全防護(hù)�,加強(qiáng)SQL注入���、XSS攻擊�、端口掃描和應(yīng)用層DDoS等攻擊手段的防范措施���。
2.4數(shù)據(jù)層安全
數(shù)據(jù)層主要考慮如下方面的內(nèi)容:數(shù)據(jù)可用性�、完整性和保密性�,確保數(shù)據(jù)不會(huì)修改、丟失和泄漏����。信息系統(tǒng)數(shù)據(jù)層加強(qiáng)安全的對(duì)策:(1)對(duì)數(shù)據(jù)庫的操作行為進(jìn)行審計(jì),可以使用部署的數(shù)據(jù)庫安全審計(jì)系統(tǒng)來實(shí)現(xiàn)����。(2)對(duì)數(shù)據(jù)庫的操作用戶進(jìn)行身份鑒別和限制,可以使用堡壘主機(jī)來實(shí)現(xiàn)���。(3)數(shù)據(jù)的備份和恢復(fù)措施需加強(qiáng)���,應(yīng)建設(shè)本地存儲(chǔ)和本地容災(zāi)備份系統(tǒng)。
第5篇
一、云計(jì)算的發(fā)展
所謂云計(jì)算����,其屬于現(xiàn)代化的主流的商業(yè)計(jì)算模型���,其將計(jì)算任務(wù)在大量計(jì)算機(jī)構(gòu)成資源池中分布����,并確保不同的應(yīng)用系統(tǒng)具有結(jié)合實(shí)際需求來獲取計(jì)算力和存儲(chǔ)空間以及提供信息服務(wù)的技術(shù)�。簡(jiǎn)而言之,就是在網(wǎng)絡(luò)載體下����,根據(jù)實(shí)際需求,提供動(dòng)態(tài)而又可伸縮的廉價(jià)的計(jì)算服務(wù)���。云計(jì)算給大數(shù)據(jù)提供的彈性擴(kuò)展較大����,存儲(chǔ)空間與計(jì)算資源更加便宜�,因而越來越多的中小企業(yè)開始利用云計(jì)算進(jìn)行企業(yè)會(huì)計(jì)和審計(jì)工作的開展,但是從中也存在諸多的挑戰(zhàn)需要我們來應(yīng)對(duì)[1]�。
二、云計(jì)算對(duì)會(huì)計(jì)工作帶來的挑戰(zhàn)與對(duì)策分析
一是在資產(chǎn)確認(rèn)方面。企業(yè)資產(chǎn)管理的前提就是要對(duì)企業(yè)經(jīng)濟(jì)現(xiàn)狀予以掌握���,而這就需要在會(huì)計(jì)工作中進(jìn)行資金控制���。而隨著云計(jì)算的發(fā)展,企業(yè)在商業(yè)模式上也發(fā)生了巨變���,會(huì)計(jì)人員能借助云計(jì)算來實(shí)現(xiàn)會(huì)計(jì)數(shù)據(jù)的全部操作����,也能在云數(shù)據(jù)中實(shí)施資產(chǎn)確認(rèn)使得資產(chǎn)確認(rèn)服務(wù)變得更加容易���,并非傳統(tǒng)的采用會(huì)計(jì)程序才能確認(rèn)資產(chǎn)持有者的資產(chǎn)���,企業(yè)在資產(chǎn)確認(rèn)時(shí),也不用始終將其在用戶終端上保持�。但是其帶來的挑戰(zhàn)就是會(huì)計(jì)人員難以結(jié)合云計(jì)算模式來精準(zhǔn)判斷實(shí)有資產(chǎn),這樣不僅在確認(rèn)資產(chǎn)時(shí)所需的輔助數(shù)據(jù)較多���,而且需要確認(rèn)資產(chǎn)的固定時(shí)間才能對(duì)企業(yè)資產(chǎn)的實(shí)際價(jià)值進(jìn)行判斷�,最終導(dǎo)致資產(chǎn)確認(rèn)難度增加����,加上原有的會(huì)計(jì)系統(tǒng)又難以支持云計(jì)算的應(yīng)用���,所以在資產(chǎn)確認(rèn)方面的挑戰(zhàn)和變化存在較大的差異。這就需要會(huì)計(jì)人員加強(qiáng)對(duì)云計(jì)算技術(shù)的學(xué)習(xí)和應(yīng)用的過程中���,切實(shí)注重大數(shù)據(jù)作用的發(fā)揮,既要對(duì)資產(chǎn)固定時(shí)間進(jìn)行精準(zhǔn)確認(rèn)�,又要優(yōu)化原有的會(huì)計(jì)系統(tǒng),與云計(jì)算接軌����,才能更好地強(qiáng)化資產(chǎn)確認(rèn)工作的開展。二是在收入?yún)^(qū)分方面���。在互聯(lián)網(wǎng)下的會(huì)計(jì)工作隨著商業(yè)模式的轉(zhuǎn)變����,必須要對(duì)工作機(jī)制進(jìn)行調(diào)整和優(yōu)化���,那么有關(guān)會(huì)計(jì)資金較的所有環(huán)節(jié)必須重新處理�。所以���,為加強(qiáng)對(duì)這一挑戰(zhàn)的處理���,必須要為云計(jì)算技術(shù)的應(yīng)用成立完善的應(yīng)對(duì)交易活動(dòng)全程的管理機(jī)制����,還要強(qiáng)化數(shù)據(jù)資源的調(diào)節(jié)和處理����,而這顯然對(duì)會(huì)計(jì)人員的要求更高,必然要能精準(zhǔn)判斷企業(yè)在市場(chǎng)中所處的環(huán)境�。三是成本計(jì)算方面,就成本計(jì)算而言���,其作為會(huì)計(jì)工作的核心所在�,隨著云計(jì)算技術(shù)的應(yīng)用�,需要會(huì)計(jì)人員精準(zhǔn)確認(rèn)會(huì)計(jì)成本情況,并確保成本計(jì)算具有較強(qiáng)的時(shí)效性�,同時(shí)還要在供應(yīng)商認(rèn)可的前提下才能應(yīng)用,成本計(jì)算工作的實(shí)施又難以結(jié)合傳統(tǒng)的評(píng)價(jià)模式來控制����,需要確保統(tǒng)計(jì)的全面性和高效性,因此����,勢(shì)必會(huì)導(dǎo)致會(huì)計(jì)工作量的增加�,進(jìn)而影響會(huì)計(jì)工作效果和成本計(jì)算�,尤其是且商業(yè)活動(dòng)自身的實(shí)際價(jià)值受到影響,加上遷移費(fèi)用也會(huì)增加�,需要精準(zhǔn)掌握經(jīng)濟(jì)活動(dòng)資金的使用情況,再結(jié)合其對(duì)資源價(jià)值進(jìn)行精準(zhǔn)判斷���。而這些顯然會(huì)增加成本計(jì)算的難度和有效性。因此���,為了強(qiáng)化成本計(jì)算工作的開展����,發(fā)揮云計(jì)算的有事����,需要充分發(fā)揮云計(jì)算在計(jì)算方面的優(yōu)勢(shì),及時(shí)掌握企業(yè)資金的流動(dòng)情況���,注重資源價(jià)值的判斷�,借助自身的專業(yè)優(yōu)勢(shì)�,切實(shí)提升企業(yè)成本計(jì)算工作質(zhì)量���,才能促進(jìn)經(jīng)濟(jì)價(jià)值的提升,以達(dá)到良好的應(yīng)對(duì)效果���。尤其是要在加強(qiáng)云計(jì)算的應(yīng)用上著力���。加強(qiáng)對(duì)云計(jì)算技術(shù)應(yīng)用的基礎(chǔ)數(shù)據(jù)服務(wù)支持,加強(qiáng)部門的溝通協(xié)調(diào)和聯(lián)動(dòng)配合���,讓云計(jì)算為企業(yè)財(cái)務(wù)共享服務(wù)提供高效優(yōu)質(zhì)的服務(wù)[2]�。
三���、云計(jì)算對(duì)審計(jì)工作帶來的挑戰(zhàn)與對(duì)策分析
一是在內(nèi)控工作方面����。因?yàn)槠髽I(yè)內(nèi)控成效對(duì)經(jīng)營(yíng)管理有著直接影響�,因此在企業(yè)會(huì)計(jì)審計(jì)中,加強(qiáng)云計(jì)算的應(yīng)用����,需要企業(yè)內(nèi)部會(huì)計(jì)數(shù)據(jù)資源清晰,并具有獨(dú)立完善的審核體系����,才能更好地控制企業(yè)內(nèi)部審計(jì)數(shù)據(jù)�。所以在審計(jì)中應(yīng)用云計(jì)算�,必須要注重審計(jì)計(jì)算體系的完善,構(gòu)建完善的控制機(jī)制����,才能更好地應(yīng)對(duì)云計(jì)算對(duì)審計(jì)帶來的挑戰(zhàn)。二是在云審計(jì)平臺(tái)方面����,也面臨著諸多的挑戰(zhàn)。比如必須要建立基于云計(jì)算的審計(jì)平臺(tái)�,且在技術(shù)含量上達(dá)標(biāo)���,強(qiáng)化對(duì)其的人工和成本的投入����。而這對(duì)企業(yè)勢(shì)必存在一定的難度和風(fēng)險(xiǎn)���,同時(shí)審計(jì)工作人員的專業(yè)能力也有待提升�。所以為應(yīng)對(duì)這些挑戰(zhàn)�,需要我們切實(shí)注重云計(jì)算技術(shù)的學(xué)習(xí)���,結(jié)合其運(yùn)行的原理和實(shí)際需求,加強(qiáng)對(duì)審計(jì)人員的培訓(xùn)和深造�,才能在挑戰(zhàn)下逐漸地完善和優(yōu)化。三是在信息安全審計(jì)方面�,這是最為主要的挑戰(zhàn)之一。所以其應(yīng)對(duì)的首要工作就是保障信息安全性����,建立安全的云環(huán)境,切實(shí)完善審計(jì)證據(jù)收集的機(jī)制和流程�,完善信息安全的環(huán)節(jié),在審計(jì)證據(jù)審計(jì)時(shí)避免信息泄露�,采取科學(xué)的審計(jì)方法,必須系統(tǒng)存在漏洞�,加強(qiáng)對(duì)數(shù)據(jù)篡改違法行為的打擊,切實(shí)注重信息安全審計(jì)工作的開展���,將大數(shù)據(jù)技術(shù)與云計(jì)算技術(shù)進(jìn)行有機(jī)地結(jié)合起來���,尤其是需要加強(qiáng)信息安全預(yù)防,強(qiáng)化信息安全審計(jì)�。尤其是為了有效地應(yīng)對(duì)黑客攻擊、病毒傳播、系統(tǒng)漏洞等來自安全技術(shù)的攻擊���,就要用安全技術(shù)的手段去防衛(wèi)�,并將其在云審計(jì)平臺(tái)中應(yīng)用����,以達(dá)到良好的審計(jì)效果[3]。
四���、結(jié)語
綜上所述����,云計(jì)算的發(fā)展及其對(duì)會(huì)計(jì)���、審計(jì)的挑戰(zhàn)核心就在于如何轉(zhuǎn)變現(xiàn)有的模式���,并在現(xiàn)有模式轉(zhuǎn)變中要與云計(jì)算相契合���,這樣才能在應(yīng)對(duì)挑戰(zhàn)的同時(shí)�,切實(shí)提升云計(jì)算的應(yīng)用成效�,以達(dá)到企業(yè)可持續(xù)發(fā)展的目的。
參考文獻(xiàn)
[1]姬金鐸.云計(jì)算的發(fā)展及其對(duì)會(huì)計(jì)�、審計(jì)的挑戰(zhàn)[J].金融經(jīng)濟(jì),2019(12).
第6篇
網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃之初�,要考慮核心機(jī)房及數(shù)據(jù)中心的選址問題���。機(jī)房要選擇在可控區(qū)域內(nèi)���,并與非可控區(qū)域間隔300米外,在現(xiàn)實(shí)條件無法滿足的情況下�,對(duì)機(jī)房采取安全屏蔽措施。機(jī)房對(duì)樓層的選擇盡量就低不就高����,避免在樓頂。在單位����,重要的政府機(jī)關(guān)、機(jī)要及軍政�、部隊(duì)網(wǎng)絡(luò)要與互聯(lián)網(wǎng)物理隔離,不同等級(jí)的網(wǎng)絡(luò)之間采用最小耦合����。在物理環(huán)境安全中要注重通風(fēng)、降溫及消防����。在機(jī)房?jī)?nèi)采用機(jī)房專用精密空調(diào)���,將機(jī)房的整體溫度控制在21℃±2℃范圍內(nèi)�����。適度的溫度可以延長(zhǎng)服務(wù)器的使用壽命,減少故障的發(fā)生機(jī)率�����。機(jī)房的消防一定要采用氣體聯(lián)動(dòng)消防��,切勿使用水或傳統(tǒng)的干粉����,這些方法雖然可以滅火,但對(duì)設(shè)備的影響����,卻是不可逆的,它的影響遠(yuǎn)大于滅火本身�����。
2網(wǎng)絡(luò)層安全防護(hù)策略
網(wǎng)絡(luò)層安全防護(hù)應(yīng)從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析��,防護(hù)的方法是:在網(wǎng)絡(luò)邊界部署抗拒絕服務(wù)攻擊系統(tǒng)��、防火墻�����、入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)�����,發(fā)現(xiàn)違規(guī)操作后告警并阻斷��,形成防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的邊界防護(hù)安全域����。在核心交換機(jī)旁路部署安全審計(jì)系統(tǒng)、網(wǎng)絡(luò)分析系統(tǒng)及漏洞掃描系統(tǒng)�����,利用安全審計(jì)系統(tǒng)對(duì)全網(wǎng)行為��、數(shù)據(jù)庫進(jìn)行實(shí)時(shí)審計(jì)��,通過網(wǎng)絡(luò)分析系統(tǒng)抓取數(shù)據(jù)包,準(zhǔn)確��、及時(shí)定位故障��,還原數(shù)據(jù)包行為來取證違規(guī)違紀(jì)操作�����。將服務(wù)器劃分為內(nèi)����、外服務(wù)器域,保護(hù)不同的應(yīng)用數(shù)據(jù)����。利用虛擬局域網(wǎng)技術(shù)、身份認(rèn)證準(zhǔn)入機(jī)制及三層交換的ACL管理控制策略配合使用形成用戶的不同域安全防護(hù)�����。
3系統(tǒng)層安全防護(hù)策略
對(duì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)配置高強(qiáng)度用戶名及密碼�����,啟用登陸失敗處理�����、傳輸加密等措施��。對(duì)用戶主機(jī)使用8位以上的口令����,禁用guest用戶、更改administrator用戶名��。對(duì)服務(wù)器主機(jī)進(jìn)行訪問控制的配置��,管理員分級(jí)分權(quán)限控制�����,對(duì)重要信息(文件�����、數(shù)據(jù)庫等)進(jìn)行標(biāo)記�����,設(shè)定訪問控制策略進(jìn)行訪問控制��,開啟服務(wù)器日志審計(jì)功能。通過軟件防火墻關(guān)閉服務(wù)器及用戶主機(jī)端口����,利用系統(tǒng)組策略關(guān)閉不必要的服務(wù)。
4應(yīng)用層安全防護(hù)策略
對(duì)重要的應(yīng)用層系統(tǒng)及軟件如WWW����、DNS系統(tǒng)進(jìn)行備份,可制作雙機(jī)備份系統(tǒng)��,一主一備�����,一旦一個(gè)系統(tǒng)出現(xiàn)故障��,另一個(gè)系統(tǒng)自動(dòng)啟動(dòng)��,實(shí)現(xiàn)應(yīng)用層的無縫實(shí)時(shí)切換����。數(shù)據(jù)是網(wǎng)絡(luò)的核心,因此保護(hù)數(shù)據(jù)也是應(yīng)用層安全防護(hù)的要點(diǎn)�����。最好的方法是建立異地容災(zāi)備份中心,可簡(jiǎn)稱為兩地三中心��。本地有數(shù)據(jù)中心及備份中心�����,異地有容災(zāi)中心�����。數(shù)據(jù)備份采用光纖SAN網(wǎng)絡(luò)架構(gòu)��,ISCSI協(xié)議與TCP/IP協(xié)議不同��,兩網(wǎng)之間不進(jìn)行網(wǎng)絡(luò)通信��,保證網(wǎng)絡(luò)的安全�����。
5管理層安全
安全的最高境界不是產(chǎn)品����,也不是服務(wù)����,而是管理����。沒有好的管理思想��、嚴(yán)格的管理制度�����、負(fù)責(zé)的管理人員和實(shí)施到位管理程序�����,就沒有真正的信息安全��。對(duì)人員的管理和安全制度的制訂是否有效��,直接影響這一層的安全問題�����。管理層安全包括管理制度����、管理技術(shù)����。管理制度須制訂一系列的安全管理制度��,普及安全教育�����,包括:用戶守則的制訂����。管理技術(shù)包括安全理論知識(shí)的培訓(xùn)����、對(duì)安全產(chǎn)品使用培訓(xùn)、建立安全信息分發(fā)系統(tǒng)��、及時(shí)通報(bào)最新安全事件�����、建立安全論壇��、交流安全技術(shù)等。
6結(jié)束語
第7篇
1.1飛行培訓(xùn)機(jī)構(gòu)運(yùn)營(yíng)要點(diǎn)
1.1.1運(yùn)行安全管理
安全是航空業(yè)的首要任務(wù)��,飛行培訓(xùn)機(jī)構(gòu)也不例外��。飛行培訓(xùn)機(jī)構(gòu)承擔(dān)絕大多數(shù)培訓(xùn)飛行運(yùn)行安全職責(zé)����,地面運(yùn)行期間更是如此。采取“全員參與”策略��,是飛行培訓(xùn)機(jī)構(gòu)安全管理的不二法門�����。關(guān)于航空器的可靠性�����,盡管局方在飛行培訓(xùn)機(jī)構(gòu)認(rèn)證和飛機(jī)設(shè)計(jì)制造時(shí)就根據(jù)相關(guān)規(guī)章對(duì)其進(jìn)行了嚴(yán)格評(píng)估和審查����,但是日新月異的新技術(shù)開發(fā)和發(fā)展,會(huì)導(dǎo)致舊的規(guī)則不適用��,而局方并沒要求飛行培訓(xùn)機(jī)構(gòu)采取新的�����、更嚴(yán)格的檢測(cè)規(guī)程。因此��,在特定情況下�����,飛行培訓(xùn)機(jī)構(gòu)也要承擔(dān)一部分航空器的安全責(zé)任����。
1.1.2航空器可靠性保持
保持航空器的可靠性離不開優(yōu)秀的維修工程師,因此維修工程師是飛行培訓(xùn)機(jī)構(gòu)最重要的資產(chǎn)��。盡管“100小時(shí)檢修”是所有航空器都要求的����,但是不同航空器的“100小時(shí)檢修”存在著一定差異�����。航空器之間“100小時(shí)檢修”工作量也存在著較大差異��,有的所花費(fèi)時(shí)間可能是其他航空器的兩倍����。拆卸引擎以及更換剎車��、輪胎�����、電機(jī)等部件不僅僅影響現(xiàn)金流的成本問題����,視情維修可能會(huì)導(dǎo)致學(xué)員等待時(shí)間過長(zhǎng)����,甚至取消飛行培訓(xùn)活動(dòng),進(jìn)而令相關(guān)人員產(chǎn)生挫敗感和不信任感�����,致使學(xué)員退學(xué)�����。
1.1.3融資與保險(xiǎn)
機(jī)隊(duì)融資是影響飛行培訓(xùn)機(jī)構(gòu)績(jī)效的關(guān)鍵因素�����。融資方案的選擇依據(jù)需要而定,10~20年的貸款和反租等是機(jī)隊(duì)融資的通常做法�����。飛機(jī)等資產(chǎn)的采購成本僅僅是飛行培訓(xùn)機(jī)構(gòu)成本的50%����,選擇恰當(dāng)?shù)馁Y產(chǎn)折舊方式會(huì)極大地影響航空器的實(shí)際成本。另外����,保險(xiǎn)越來越成為飛行培訓(xùn)機(jī)構(gòu)面臨的最大挑戰(zhàn)。從潛在承保人視角設(shè)身處地地進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,是獲得承保人認(rèn)可的有效途徑��。
1.1.4燃油與運(yùn)營(yíng)成本
燃油價(jià)格在未來下降的可能性越來越小����,盡管飛行培訓(xùn)機(jī)構(gòu)對(duì)燃油消耗問題一直很關(guān)注��,卻很少對(duì)其進(jìn)行專業(yè)性評(píng)估和審查����。影響飛行培訓(xùn)機(jī)構(gòu)燃油消耗的兩個(gè)主要因素包括機(jī)隊(duì)結(jié)構(gòu)和飛行小時(shí)數(shù)�����。另外�����,飛行培訓(xùn)機(jī)構(gòu)通常關(guān)注人力資源成本以及非定期停工的收入損失等顯而易見的運(yùn)營(yíng)成本����,卻很少關(guān)注那些難以估算的隱性成本�����。
1.1.5學(xué)員吸引和保留能力建設(shè)
學(xué)員是飛行培訓(xùn)機(jī)構(gòu)的收入來源�����,因此很多飛行培訓(xùn)機(jī)構(gòu)花大量時(shí)間和金錢招募潛在的飛行學(xué)員����。招生簡(jiǎn)章、基礎(chǔ)設(shè)施條件�����、現(xiàn)代化的航空器,甚至教員和接待員的友好態(tài)度都會(huì)影響潛在學(xué)員的選擇����。當(dāng)然,學(xué)員入學(xué)只是成功的第一步�����,關(guān)鍵是要讓學(xué)員完成學(xué)業(yè)�����。畢業(yè)的學(xué)員很可能成為回頭客�����,尤其是那些希望增加航空器型別的校友����。
1.2飛行培訓(xùn)機(jī)構(gòu)運(yùn)營(yíng)流程
飛行培訓(xùn)機(jī)構(gòu)的運(yùn)營(yíng)主要包括3大部分:首先是招募飛行學(xué)員,其次是對(duì)招募來的學(xué)員進(jìn)行地面理論和飛行培訓(xùn)�����,最后是對(duì)畢業(yè)學(xué)員進(jìn)行跟蹤����。招募學(xué)員時(shí),飛行培訓(xùn)機(jī)構(gòu)要擬定招生計(jì)劃�����,制定招生簡(jiǎn)章�����,做好營(yíng)銷管理和宣傳工作��。關(guān)于市場(chǎng)營(yíng)銷��,一定不得作虛假宣傳�����,尤其是不得承諾所有入學(xué)學(xué)員最終都能獲得飛行執(zhí)照��。對(duì)于報(bào)名學(xué)員要進(jìn)行體檢��,這是作為一名飛行員的必要前提條件�����。體檢在入學(xué)后也是必要的,并確保體檢證明在有效期內(nèi)�����。對(duì)于辦理入學(xué)手續(xù)的學(xué)員��,一定要做好安全教育和宣傳工作��,同時(shí)在入學(xué)手續(xù)中附帶各種安全手冊(cè)�����。入學(xué)后的教育環(huán)節(jié)按地面理論知識(shí)培訓(xùn)和飛行技能訓(xùn)練兩階段進(jìn)行����。首先是地面理論知識(shí)教學(xué)階段,教學(xué)內(nèi)容應(yīng)包含獲執(zhí)照等級(jí)所要求的航空知識(shí)��,并最終通過地面理論知識(shí)考核�����。沒有通過航空知識(shí)考核的學(xué)員,不得進(jìn)行下一步飛行訓(xùn)練�����。飛行訓(xùn)練的科目分為本場(chǎng)基本駕駛術(shù)訓(xùn)練和轉(zhuǎn)場(chǎng)訓(xùn)練兩大類�����。兩類都有飛行教員帶飛訓(xùn)練和單飛訓(xùn)練環(huán)節(jié)����。只有通過資質(zhì)考核并獲得學(xué)員駕照的學(xué)員才能進(jìn)行單飛訓(xùn)練��。無論是帶飛還是單飛訓(xùn)練����,都要做好階段性檢查��,目的是對(duì)學(xué)員在各個(gè)階段掌握的駕駛術(shù)和飛行經(jīng)歷進(jìn)行評(píng)估��,以確定學(xué)員的資質(zhì)和能力��。畢業(yè)后跟蹤是很多飛行培訓(xùn)機(jī)構(gòu)忽視的一個(gè)環(huán)節(jié)�����,這無疑是一項(xiàng)巨大損失。據(jù)IAOPA調(diào)查發(fā)現(xiàn)�����,很多培訓(xùn)機(jī)構(gòu)的學(xué)員來源是靠畢業(yè)學(xué)員的口碑宣傳��。因此�����,對(duì)畢業(yè)學(xué)員進(jìn)行跟蹤�����,有利于提高飛行培訓(xùn)機(jī)構(gòu)的影響力��,降低招生成本�����。學(xué)員跟蹤����,可以充分發(fā)揮校友會(huì)的職能����,在創(chuàng)校紀(jì)念日邀請(qǐng)畢業(yè)學(xué)員回校參觀考察��,不定期對(duì)個(gè)別學(xué)員進(jìn)行回訪�����,加強(qiáng)學(xué)員檔案管理等��。
2飛行培訓(xùn)機(jī)構(gòu)的安全管理
安全是飛行培訓(xùn)機(jī)構(gòu)的基礎(chǔ)�����,應(yīng)將其放在首要地位�����,即便是在開展與飛行培訓(xùn)間接相關(guān)的業(yè)務(wù)時(shí)��,也應(yīng)將安全放在最高優(yōu)先級(jí)別上��。建立安全信息收集與制度����,加強(qiáng)安全培訓(xùn)與教育,運(yùn)用安全操作規(guī)程及時(shí)識(shí)別和消除不安全的因素����,營(yíng)造一個(gè)安全工作和安全運(yùn)行的環(huán)境。
2.1安全體制機(jī)制建立
作為安全管理的首要責(zé)任人��,飛行培訓(xùn)機(jī)構(gòu)校長(zhǎng)����、總經(jīng)理和首席飛行教員擁有如下職權(quán)和責(zé)任:調(diào)查和處理安全事故、事件和風(fēng)險(xiǎn)����;擬定和闡述事故、事件報(bào)告程序��;飛行安全信息��;強(qiáng)化已建立的安全工作程序�����;代表本機(jī)構(gòu)就安全相關(guān)問題與政府機(jī)構(gòu)和專業(yè)組織進(jìn)行溝通協(xié)調(diào)�����;與員工商談安全管理問題等。飛行教員和維修主管對(duì)安全負(fù)直接責(zé)任�����。應(yīng)當(dāng)授予飛行教員在任何時(shí)候�����、任何地點(diǎn)評(píng)估飛行安全的絕對(duì)權(quán)威��,尤其在單飛訓(xùn)練時(shí)�����。一旦飛行教員對(duì)運(yùn)行安全有質(zhì)疑��,他們都有立即延遲和終止飛行訓(xùn)練的毋容置疑的權(quán)威����。制定培訓(xùn)機(jī)構(gòu)運(yùn)營(yíng)手冊(cè)(FSOM)�����,并且定時(shí)維護(hù)和更新�����。每年都要就一致性、安全性和運(yùn)行程序等對(duì)FSOM進(jìn)行一次核查�����。建立運(yùn)行安全審計(jì)程序�����,為相關(guān)責(zé)任人提供常規(guī)審計(jì)規(guī)程����。建立安全隱患和事故報(bào)告制度,所有工作人員和學(xué)員都有責(zé)任將危險(xiǎn)事件或觀察到的不安全行為報(bào)告給相關(guān)人員��。一旦發(fā)生事故����,必須盡快報(bào)告給相關(guān)主管。運(yùn)行安全審計(jì)中����,一旦發(fā)現(xiàn)與安全規(guī)則不相符的狀況,應(yīng)立即啟動(dòng)根源(rootcause)分析��。根源分析一定要追溯至相關(guān)責(zé)任人(維修主管和首席飛行教員),并由他們給出整改措施�����。對(duì)于那些危害安全的短期行為�����,應(yīng)立即阻止����。對(duì)于危害安全運(yùn)行的長(zhǎng)期行為,則應(yīng)對(duì)安全審計(jì)程序進(jìn)行修訂��,確保將來不再發(fā)生類似情況��。運(yùn)行安全審計(jì)工作總責(zé)任人可以指派給首席飛行教員����。首席飛行教員不僅經(jīng)驗(yàn)豐富����,而且熟悉飛行運(yùn)行政策和程序,最適合評(píng)估自己和飛行教員的一致性����。另外再指派一名安全主任�����,主要負(fù)責(zé)制定和月度安全簡(jiǎn)報(bào)��。如果有必要��,還可設(shè)一個(gè)由有管理經(jīng)驗(yàn)的人員組成的安全委員會(huì)��,負(fù)責(zé)指導(dǎo)和監(jiān)督所有與地面和飛行運(yùn)行安全相關(guān)的問題��,并將其工作內(nèi)容編入FSOM中�����。
2.2安全教育與培訓(xùn)
學(xué)員有權(quán)獲得諸如航空器適航指令以及機(jī)身翻修和螺旋槳��、配件需要檢查的間隔時(shí)間等飛機(jī)維修記錄����。要嚴(yán)格按照本單位擬定的特定程序和民航行業(yè)規(guī)程向飛行學(xué)員�����、飛行教員和其他工作人員提供安全繼續(xù)教育,制定飛機(jī)手冊(cè)和飛行培訓(xùn)手冊(cè)����,并確保其得到有效使用。飛機(jī)手冊(cè)的主要內(nèi)容包括:完整的飛機(jī)制造商和訓(xùn)練模擬機(jī)清單����;飛機(jī)制造商提供的操作手冊(cè)。每個(gè)飛行學(xué)員都應(yīng)有所用飛機(jī)的操作手冊(cè)副本�����。對(duì)于沒有飛機(jī)操作手冊(cè)的老舊飛機(jī)����,應(yīng)該有標(biāo)語牌和限制要求。新學(xué)員在入學(xué)時(shí)就應(yīng)頒發(fā)上課證����、飛行訓(xùn)練大綱副本(包括當(dāng)局批準(zhǔn)的飛行訓(xùn)練大綱或針對(duì)CCARI-141部學(xué)校的特殊課程大綱)。此外����,培訓(xùn)機(jī)構(gòu)最好自己擬定一份安全守則��,具體內(nèi)容可包括:對(duì)于帶飛或單飛操作的最低天氣標(biāo)準(zhǔn);航空器地面運(yùn)行規(guī)則��;與飛機(jī)相關(guān)的緊急程序��;飛機(jī)舷梯及飛機(jī)地面操作程序��;火災(zāi)處理程序����;飛行中飛機(jī)安全保障程序;飛機(jī)維修報(bào)告程序��,如何確定維修問題已得到解決��;飛機(jī)燃油儲(chǔ)備量��;飛行區(qū)域和高度說明書����;通信頻率和應(yīng)答機(jī)等材料。安保工作對(duì)象主要是飛機(jī)和飛機(jī)使用者����。制定絕密級(jí)的安保制度和計(jì)劃,每半年審查一次。指派一名安保秘書�����,主要負(fù)責(zé)編制和月度安保簡(jiǎn)報(bào)�����。安保工作尤其要確保飛機(jī)安全��。未獲批準(zhǔn)�����,任何人不得接觸飛機(jī)艙門和點(diǎn)火鑰匙����。不得把飛機(jī)鑰匙放在未鎖的飛機(jī)里,要保證飛機(jī)鑰匙在任何情況下都是安全的����,不得公開。使用航空器時(shí)��,應(yīng)核實(shí)所有的學(xué)員和飛機(jī)租賃者的身份和國(guó)籍����。當(dāng)有人提供任何可能會(huì)帶來安全隱患的信息時(shí),應(yīng)及時(shí)通知政府安全部門�����。
3地面運(yùn)行管理
3.1停機(jī)坪運(yùn)行管理
停機(jī)坪運(yùn)行包括加油車��、保障設(shè)備設(shè)施以及行人和航空器的運(yùn)行�����。停機(jī)坪運(yùn)行管理旨在防止航空器�����、車輛和人員等的不當(dāng)運(yùn)行而造成事故�����。具體管理內(nèi)容包括機(jī)位分配����、航空器機(jī)坪運(yùn)行、航空器維護(hù)�����、地面運(yùn)行秩序、監(jiān)護(hù)與警衛(wèi)��、機(jī)坪衛(wèi)生和保潔等�����,最終達(dá)到安全�����、有序和高效的目的��。維持停機(jī)坪運(yùn)行安全����,關(guān)鍵在于保持高度警覺性,即使在不履行特定職責(zé)的情況下��,也要有高度清醒的安全意識(shí)�����。
3.2航空器地面運(yùn)行規(guī)范
3.2.1艙門與除冰操作規(guī)程
在引擎啟動(dòng)之前和地面運(yùn)行期間�����,一定要關(guān)好飛機(jī)門。在啟動(dòng)和滑行期間��,如需要通風(fēng)����,一定要用手撐著艙門�����。另外����,由于雪、冰�����、霧等原因需要為航空器除冰��,一定要通知相關(guān)部門��。只有清除所有的污物�����,才允許飛機(jī)起飛。
3.2.2引擎啟動(dòng)操作規(guī)程
訓(xùn)練飛行前����,必須完全按照飛行員操作手冊(cè)(POH)進(jìn)行操作。只能在指定的區(qū)域完成發(fā)動(dòng)機(jī)起動(dòng)程序����。未放單飛的學(xué)員操作時(shí),飛行教員必須在場(chǎng)��。在啟動(dòng)發(fā)動(dòng)機(jī)時(shí)�����,要完全遵循飛行員操作手冊(cè)及所附清單����。飛機(jī)引擎對(duì)于冷凍溫度很敏感,此時(shí)啟動(dòng)發(fā)動(dòng)機(jī)會(huì)損壞發(fā)動(dòng)機(jī)�����。當(dāng)環(huán)境溫度低于20,℃時(shí)��,需要對(duì)引擎進(jìn)行預(yù)熱,否則不得起飛或滑出機(jī)庫��。在機(jī)坪上啟動(dòng)引擎之前�����,飛行員須確保螺旋槳周邊包括飛機(jī)后面的螺旋槳有效彈射區(qū)內(nèi)是凈空�����。由于旋轉(zhuǎn)中的螺旋槳有潛在危險(xiǎn)��,因此在引擎運(yùn)轉(zhuǎn)期間�����,任何人不得靠近����、登機(jī)或從飛機(jī)上下來����。在啟動(dòng)之前,飛行員應(yīng)該面對(duì)窗戶大聲宣稱“CLEAR”��。如果航空器正在注油,應(yīng)該在注油完成后啟動(dòng)發(fā)動(dòng)機(jī)����。
3.2.3安全帶的使用
在啟動(dòng)發(fā)動(dòng)機(jī)以及飛機(jī)滑行、起飛和著陸操作過程中��,飛行學(xué)員�����、教員都必須系好安全帶和肩帶�����。具體規(guī)范要求參見CCAR-91部��。
3.2.4乘員簡(jiǎn)報(bào)
所有航空器乘員都要接受完整的乘員簡(jiǎn)報(bào)�����。簡(jiǎn)報(bào)內(nèi)容包括吸煙��、位置��、緊急出口和滅火器����、個(gè)人物品存放以及客艙消毒程序等。
3.2.5滑行程序
航空器滑行只能由飛行學(xué)員�����、教員����、維修工程和其他經(jīng)授權(quán)的人員操作。未經(jīng)授權(quán)�����,不得進(jìn)入滑行道及滑出機(jī)庫����?���;星埃枰獪y(cè)試航空器的制動(dòng)裝置�����,制動(dòng)裝置的使用應(yīng)保持在最低限度,滑行速度要遵守相關(guān)規(guī)定��。無特殊情況��,航空器必須沿滑行道中心線滑行����。
3.2.6停機(jī)程序
發(fā)動(dòng)機(jī)完全關(guān)閉和螺旋槳停止旋轉(zhuǎn)之前,任何人不得離開飛機(jī)����。停機(jī)前,要確定飛機(jī)是否停在合適的停機(jī)區(qū)域����,控制鎖是否已安裝妥當(dāng),窗戶和通風(fēng)口是否關(guān)閉�����,安全帶是否已整理好����。在訓(xùn)練結(jié)束后,每架航空器要捆綁式固定。停穩(wěn)后��,飛行員必須確保飛機(jī)已經(jīng)拴系或固定��,所有的電子開關(guān)已經(jīng)關(guān)閉�����,所有廢棄物和私人物品拿出航空器�����,側(cè)通風(fēng)口是關(guān)閉的��。如果航空器在機(jī)坪上沒有專人看管��,一定要鎖好艙門和行李艙����。在注油坪或其他任何區(qū)域停泊航空器時(shí)��,飛行員應(yīng)該保持高度謹(jǐn)慎�����,確保航空器與其他車輛之間的凈距。
3.2.7其他地面運(yùn)行限制
所有私人汽車只能停放在指定的停車區(qū)����,不得停靠在辦公或停機(jī)區(qū)附近����。燈塔燈的開關(guān)應(yīng)置于“ON”位置后關(guān)機(jī)。為了安全起見�����,應(yīng)從遠(yuǎn)處再次確認(rèn)主開關(guān)是否已經(jīng)置于“ON”����。離開飛機(jī)時(shí),要仔細(xì)檢查主控機(jī)是否為“OFF”�����。
3.3飛機(jī)養(yǎng)護(hù)和差錯(cuò)管理
3.3.1飛機(jī)養(yǎng)護(hù)規(guī)程
飛行員有責(zé)任保持飛機(jī)內(nèi)飾干凈整潔��。在完成每一次飛行后�����,要取出所有廢棄物,并對(duì)垃圾容器進(jìn)行處理����。不得攜帶開口飲料(例如沒有蓋子的咖啡杯等)上飛機(jī)。每次飛行結(jié)束后��,飛行員應(yīng)該固定好飛機(jī)����,扣好安全帶,關(guān)閉門窗鎖和通風(fēng)口�����。如需打蠟或清潔�����,應(yīng)盡快通報(bào)調(diào)度部門�����。飛行員不得使用軟布和清潔劑以外的任何物品清潔飛機(jī)窗戶��。
3.3.2飛機(jī)缺陷報(bào)告制度
飛行前�����、后和飛行過程中�����,要關(guān)注飛機(jī)所有的可能缺陷��,一旦發(fā)現(xiàn)��,應(yīng)立即報(bào)告����。飛機(jī)資料夾是詳細(xì)描述偏差的“應(yīng)答器表”,一旦發(fā)現(xiàn)與當(dāng)前狀態(tài)不符����,就應(yīng)該引起足夠重視。當(dāng)飛機(jī)有明顯缺陷時(shí)�����,絕對(duì)不允許飛行�����。如無經(jīng)理或維修技師確認(rèn),不適航部件需馬上進(jìn)行維修�����。
3.3.3檢查和定期維護(hù)
所有飛機(jī)維護(hù)工作都嚴(yán)格遵守相關(guān)規(guī)章和程序��,并盡可能將檢修計(jì)劃帶來的訓(xùn)練沖突降到最低��。禁止在飛機(jī)上和注油區(qū)吸煙�����;不得將罐����、耳機(jī)等放在飛機(jī)儀表盤上;尤其在夜間����,雨刮器也會(huì)影響視線。
4結(jié)語
第8篇
為切實(shí)加強(qiáng)對(duì)全省政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)(以下簡(jiǎn)稱省政府專網(wǎng))的安全管理,確保重要網(wǎng)絡(luò)辦公應(yīng)用系統(tǒng)運(yùn)行穩(wěn)定�����、安全可控,根據(jù)《國(guó)務(wù)院辦公廳關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》(〔2008〕17號(hào))精神,經(jīng)省政府同意,現(xiàn)就加強(qiáng)省政府專網(wǎng)安全管理工作通知如下:
一��、提高認(rèn)識(shí),認(rèn)清形勢(shì),高度重視新形勢(shì)下省政府專網(wǎng)安全管理工作
省政府專網(wǎng)是以省政府辦公廳為樞紐的全省政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng),是全省電子政務(wù)建設(shè)的重要組成部分,也是我省推進(jìn)電子政務(wù)建設(shè)的重要基礎(chǔ)。省政府專網(wǎng)自1997年開始建設(shè)使用以來,不斷升級(jí)完善,目前已連接各省轄市政府及170家省直單位�����。其網(wǎng)上的主要辦公應(yīng)用有公文交換��、信息采編����、應(yīng)急值班��、公務(wù)郵件會(huì)議通知報(bào)名等辦公應(yīng)用系統(tǒng)����。同時(shí)建設(shè)了省政府專網(wǎng)網(wǎng)站,為各聯(lián)網(wǎng)單位提供了信息共享平臺(tái)。
當(dāng)前,網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻��。國(guó)內(nèi)外敵對(duì)勢(shì)力大肆利用各種手段對(duì)我各級(jí)政府信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊�����、破壞,竊密手段不斷翻新,竊密活動(dòng)十分猖獗����。隨著信息化建設(shè)的不斷推進(jìn)和新技術(shù)的發(fā)展運(yùn)用,泄密風(fēng)險(xiǎn)����、泄密渠道和泄密隱患明顯增多,網(wǎng)絡(luò)安全管理難度明顯加大����。同時(shí),一些單位和人員信息安全和保密意識(shí)淡薄,管理機(jī)制不健全,制度不落實(shí),技術(shù)防護(hù)措施不完善,違規(guī)操作行為有禁不止等問題比較突出。網(wǎng)絡(luò)安全涉及國(guó)家安全,各地����、各部門必須站在維護(hù)國(guó)家安全和利益、保障中原經(jīng)濟(jì)區(qū)建設(shè)順利進(jìn)行�����、加快中原崛起和振興的戰(zhàn)略高度,充分認(rèn)識(shí)信息化條件下政府信息系統(tǒng)安全管理面臨的嚴(yán)峻形勢(shì),采取切實(shí)有效措施,加強(qiáng)省政府專網(wǎng)安全管理工作,保障其安全����、穩(wěn)定運(yùn)行。
二�����、加強(qiáng)領(lǐng)導(dǎo),明確責(zé)任,健全省政府專網(wǎng)安全管理責(zé)任制
各地�����、各部門要把省政府專網(wǎng)安全管理工作列入重要議事日程,加強(qiáng)領(lǐng)導(dǎo),落實(shí)責(zé)任,完善措施,強(qiáng)化監(jiān)管,切實(shí)抓緊抓好。省政府辦公廳負(fù)責(zé)規(guī)劃建設(shè)省級(jí)政府專網(wǎng)平臺(tái),制定網(wǎng)絡(luò)對(duì)接�����、信息交換�����、安全技術(shù)及運(yùn)行管理標(biāo)準(zhǔn)規(guī)范,并對(duì)省級(jí)政府專網(wǎng)平臺(tái)安全負(fù)責(zé)��。
各地����、各部門要按照“誰主管誰負(fù)責(zé)��、誰運(yùn)行誰負(fù)責(zé)��、誰使用誰負(fù)責(zé)”的原則,建立健全省政府專網(wǎng)安全管理責(zé)任制,把責(zé)任落實(shí)到具體崗位和個(gè)人��。一要明確一名主管領(lǐng)導(dǎo),負(fù)責(zé)本地��、本部門省政府專網(wǎng)安全管理工作,及時(shí)研究解決工作中存在的問題,統(tǒng)籌協(xié)調(diào)和保障工作的開展����。二要指定一個(gè)內(nèi)設(shè)機(jī)構(gòu)具體承擔(dān)本單位省政府專網(wǎng)安全管理工作,負(fù)責(zé)組織落實(shí)本單位網(wǎng)絡(luò)信息安全保密管理制度,完善防護(hù)措施,開展信息安全保密教育和監(jiān)督檢查等�����。三要指定一位安全觀念強(qiáng)�����、富有責(zé)任心��、懂安全防護(hù)技術(shù)的工作人員擔(dān)任專職或兼職省政府專網(wǎng)安全員,負(fù)責(zé)日常檢查�����、維護(hù)�����、聯(lián)系等工作����。四要制定完善網(wǎng)絡(luò)管理崗位責(zé)任制度和辦法,與網(wǎng)絡(luò)管理����、使用人員簽訂安全保密責(zé)任書,明確省政府專網(wǎng)安全管理責(zé)任��。
三����、強(qiáng)化教育,加強(qiáng)培訓(xùn),提高網(wǎng)絡(luò)安全意識(shí)和防護(hù)技能
各地�����、各部門要結(jié)合實(shí)際,認(rèn)真組織開展對(duì)省政府專網(wǎng)分管領(lǐng)導(dǎo)����、工作人員的教育培訓(xùn),加強(qiáng)對(duì)國(guó)家保密法律����、法規(guī)和網(wǎng)絡(luò)安全保密管理規(guī)定的深入學(xué)習(xí),特別是要對(duì)網(wǎng)絡(luò)管理人員和專兼職網(wǎng)絡(luò)安全員開展崗位任職培訓(xùn)。當(dāng)前,要嚴(yán)格落實(shí)省政府專網(wǎng)安全管理工作要求,一是嚴(yán)禁將網(wǎng)絡(luò)��、信息系統(tǒng)和國(guó)際互聯(lián)網(wǎng)等公共信息網(wǎng)接入省政府專網(wǎng);二是嚴(yán)禁在計(jì)算機(jī)與連接省政府專網(wǎng)計(jì)算機(jī)之間交叉使用U盤等移動(dòng)存儲(chǔ)設(shè)備;三是嚴(yán)禁在沒有防護(hù)措施的情況下將國(guó)際互聯(lián)網(wǎng)等公共信息網(wǎng)上的數(shù)據(jù)拷貝到省政府專網(wǎng);四是嚴(yán)禁計(jì)算機(jī)����、連接互聯(lián)網(wǎng)的計(jì)算機(jī)與連接省政府專網(wǎng)的計(jì)算機(jī)混用。行政機(jī)關(guān)及其工作人員要切實(shí)遵守信息安全和保密管理各項(xiàng)規(guī)定,做到令行禁止,杜絕安全隱患����。
四、完善措施,增強(qiáng)能力,夯實(shí)安全工作基礎(chǔ)
(一)實(shí)行嚴(yán)格的網(wǎng)絡(luò)隔離。省政府專網(wǎng)是非的全省政府系統(tǒng)內(nèi)部辦公網(wǎng)絡(luò),要與網(wǎng)絡(luò)以及國(guó)際互聯(lián)網(wǎng)等公共信息網(wǎng)物理隔離,專網(wǎng)專用����。
(二)實(shí)行嚴(yán)格的接入管理。省政府辦公廳對(duì)省政府專網(wǎng)實(shí)行嚴(yán)格的網(wǎng)絡(luò)接入審批制度,擬接入省政府專網(wǎng)的單位要以書面形式向省政府辦公廳提出申請(qǐng)��。對(duì)已經(jīng)接入省政府專網(wǎng)的單位,必須按照省政府辦公廳統(tǒng)一分配的域名�����、IP(網(wǎng)絡(luò)之間互連的協(xié)議)地址段等配置相關(guān)設(shè)備,未經(jīng)批準(zhǔn)不得隨意改動(dòng);符合安全要求的單位要將本單位辦公局域網(wǎng)整體接入省政府專網(wǎng);如將接入省政府專網(wǎng)的網(wǎng)絡(luò)向下連接或改變省政府專網(wǎng)連接方式�����、范圍,或利用省政府專網(wǎng)開展新的縱向辦公應(yīng)用,須先制定網(wǎng)絡(luò)系統(tǒng)方案和工作方案,并報(bào)省政府辦公廳電子政務(wù)辦公室審核�����。
(三)實(shí)行嚴(yán)格的內(nèi)容管理��。連接省政府專網(wǎng)的計(jì)算機(jī)�����、服務(wù)器和其他設(shè)備不得用于存儲(chǔ)�����、處理、傳輸涉及國(guó)家秘密的信息��。接入省政府專網(wǎng)的用戶不得利用省政府專網(wǎng)制作��、復(fù)制或傳播各類不良信息,不得從事干擾其他省政府專網(wǎng)用戶�����、破壞網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)設(shè)備的活動(dòng),如在網(wǎng)絡(luò)上不真實(shí)的信息�����、散布計(jì)算機(jī)病毒等�����。
(四)實(shí)行計(jì)算機(jī)配置管理和安全審計(jì)��。各單位要對(duì)連接省政府專網(wǎng)的計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備實(shí)行配置管理,統(tǒng)一編號(hào)����、統(tǒng)一標(biāo)志�����、統(tǒng)一登記;對(duì)辦公用計(jì)算機(jī)逐步加裝安全審計(jì)工具,定期進(jìn)行安全審計(jì)。
(五)增強(qiáng)網(wǎng)絡(luò)安全保障能力�����。各地��、各部門要加快信息安全防護(hù)設(shè)施建設(shè),將信息安全防護(hù)設(shè)施建設(shè)�����、運(yùn)行�����、維護(hù)��、檢查和管理費(fèi)用納入預(yù)算,保證資金落實(shí)����。同時(shí),要加快建立健全以身份認(rèn)證、訪問控制����、安全審計(jì)�����、責(zé)任認(rèn)定�����、病毒防護(hù)等為主要內(nèi)容的網(wǎng)絡(luò)安全體系,完善網(wǎng)絡(luò)安全技術(shù)防護(hù)手段��。
第9篇
在全球信息化的推動(dòng)下����,計(jì)算機(jī)信息網(wǎng)絡(luò)作用不斷擴(kuò)大的同時(shí)��,信息網(wǎng)絡(luò)的安全也變得日益重要����,一旦遭受破壞,其影響或損失也十分巨大�����,電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障��,是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化����、繼電保護(hù)及安全裝置、廠站自動(dòng)化�����、配電網(wǎng)自動(dòng)化�����、電力負(fù)荷控制�����、電力營(yíng)銷�����、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)�����、經(jīng)營(yíng)和管理方面的多領(lǐng)域����、復(fù)雜的大型系統(tǒng)工程����。應(yīng)結(jié)合電力工業(yè)特點(diǎn)����,深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系�����,保證電網(wǎng)安全穩(wěn)定運(yùn)行��,提高電力企業(yè)社會(huì)效益和經(jīng)濟(jì)效益��,更好地為國(guó)民經(jīng)濟(jì)高速發(fā)展和滿足人民生活需要服務(wù)�����。
研究電力系統(tǒng)信息安全問題��、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容�����。
關(guān)鍵詞:電力系統(tǒng)��;計(jì)算機(jī)網(wǎng)絡(luò)����;可靠供電;安全體系�����;信息安全戰(zhàn)略
中圖分類號(hào):TM715文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):
一��、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)�����,保護(hù)計(jì)算機(jī)硬件��、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞��、更改和泄露����。包括保密性、完雅性��、可用性、真實(shí)性�����、可靠性��、責(zé)任性等幾個(gè)方面��。
信息安全涉及的因素有�����,物理安全�����、信息安全����、網(wǎng)絡(luò)安全、文化安全��。
作為全方位的��、整體的信息安全體系是分層次的��,不同層次反映了不同的安全問題。
信息安全應(yīng)該實(shí)行分層保護(hù)措施����,有以下五個(gè)方面��,
①物理層面安全����,環(huán)境安全、設(shè)備安全�����、介質(zhì)安全��,②網(wǎng)絡(luò)層面安全��,網(wǎng)絡(luò)運(yùn)行安全����,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全�����,③系統(tǒng)層面安全,操作系統(tǒng)安全����,數(shù)據(jù)庫管理系統(tǒng)安全,④應(yīng)用層面安全�����,辦公系統(tǒng)安全��,業(yè)務(wù)系統(tǒng)安全�����,服務(wù)系統(tǒng)安全��,⑤管理層面安全�����,安全管理制度��,部門與人員的組織規(guī)則��。
二�����、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大�����、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)����。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮��,并在實(shí)際運(yùn)行中嚴(yán)格管理����。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)充分考慮安全問題��。將一些重要的設(shè)備��,如各種服務(wù)器����、主干交換機(jī)、路由器等盡量實(shí)行集中管理��。各種通信線路盡量實(shí)行深埋、穿線或架空����,并有明顯標(biāo)記,防止意外損壞�����。對(duì)于終端設(shè)備����,如工作站、小型交挾機(jī)�����、集線器和其它轉(zhuǎn)接設(shè)備要落實(shí)到人����,進(jìn)行嚴(yán)格管理。
(二)安全技術(shù)策略
為了達(dá)到保障信息安全的目的�����,要采取各種安全技術(shù)�����,其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)����,它通過單一集中的安全檢查點(diǎn),強(qiáng)制實(shí)糟相應(yīng)的安全策略進(jìn)行檢查����,防止對(duì)重要信息資源進(jìn)行非法存取和訪問。電力系統(tǒng)的生產(chǎn)����、計(jì)量����、營(yíng)銷、調(diào)度管理等系統(tǒng)之間�����,信息的共享�����、整合與調(diào)用,都需要在不同網(wǎng)段之間對(duì)這些訪問行為進(jìn)行過濾和控制����,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源��。
2.病毒防護(hù)技術(shù)��。為免受病毒造成的損失�����,要采用的多層防病毒體系��。即在每臺(tái)Pc機(jī)上安裝防病毒軟件客戶端��,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件����,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略����,在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒庫的升級(jí)分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度�����,才能有效的防止和控制病毒的侵害�����。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))��。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域����,每一個(gè)VLAN都包含1組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有相同的屬性��。但由于它是邏輯而不是物理劃分�����,所以同一個(gè)LAN內(nèi)的各工作站無須放置在同一物理空間里��,既這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段����。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中��,有助于控制流量、控制廣播風(fēng)暴��、減少設(shè)備投資�����、簡(jiǎn)化網(wǎng)絡(luò)管理�����、提高網(wǎng)絡(luò)的安全性����。
4.?dāng)?shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進(jìn)行備份��,按其重要程度確定數(shù)據(jù)備份等級(jí)����。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心��,采用先進(jìn)災(zāi)難恢復(fù)技術(shù)��,對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案����,并進(jìn)行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng)��,從而保證信息系統(tǒng)的可用性和可靠性����。
5.安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善����,應(yīng)該引入集中智能的安全審計(jì)系統(tǒng),通過技術(shù)手段����,實(shí)現(xiàn)自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志�����、數(shù)據(jù)庫訪問日志����、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)�����,及時(shí)自動(dòng)分析系統(tǒng)安全事件����,實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。
6.建立信息安全身份認(rèn)證體系����。CA是Certificate Authority的縮寫,即證書授權(quán)����。在電子商務(wù)系統(tǒng)中,所有實(shí)體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的����。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整�����、合理的CA體系����。CA體系由證書審批部門和證書操作部門組成��。電力市場(chǎng)交易系統(tǒng)就其實(shí)質(zhì)來說��,是一個(gè)典型的電子商務(wù)系統(tǒng)��,它必須保證交易數(shù)據(jù)安全����。在電力市場(chǎng)技術(shù)支持系統(tǒng)中�����,作為市場(chǎng)成員交易各方的身份確認(rèn)��、物流控制����、財(cái)務(wù)結(jié)算、實(shí)時(shí)數(shù)據(jù)交換系統(tǒng)中�����,均需要權(quán)威��、安全的身份認(rèn)證系統(tǒng)。在電力系統(tǒng)中����,電子商務(wù)逐步擴(kuò)展到電力營(yíng)銷系統(tǒng)�����、電力物質(zhì)采購系統(tǒng)��、電力燃料供應(yīng)系統(tǒng)等許多方面����。因此,建立全國(guó)和網(wǎng)��、省公司的cA機(jī)構(gòu)����,對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證,對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì)����,并開展與銀行之間、上下級(jí)CA機(jī)構(gòu)之間�����、其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究及試點(diǎn)工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一�����,“三分技術(shù)�����、七分管理”��。沒有管理����,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品�����,如果沒有科學(xué)的組織管理配合����,都會(huì)形同虛設(shè)。
1.安全意識(shí)與安全技能�����。通過普及安全知識(shí)的培訓(xùn),可以提高電力企業(yè)職員安全知識(shí)和安全意識(shí)��,使他們具備一些基本的安全防護(hù)意識(shí)和發(fā)現(xiàn)解決某些常見安全問題的能力��。通過專業(yè)安全培訓(xùn)提高操作維護(hù)者的安全操作技能�����,然后再配合第三方安全技術(shù)和產(chǎn)品����,將使信息安全保障工作得到提升�����。
2.安全策略與制度��。應(yīng)該從企業(yè)發(fā)展角度對(duì)整體的信息安全工作提供方針性指導(dǎo)��,制定一套指導(dǎo)性的�����、統(tǒng)一的安全策略和制度。沒有標(biāo)準(zhǔn)��,無法衡量信息的安全��,沒有法規(guī)��,無從遵循信息安全的制度����,沒有策略,無法形成安全防護(hù)體系�����。安全策略和制度管理是法律管理的形式化��、具體化�����,是法規(guī)與管理的接口和信息安全得以實(shí)現(xiàn)的重要保證����。
3.安全組織與崗位。企業(yè)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式�����,建立以信息中心作為企業(yè)的信息安全管理機(jī)構(gòu)��,全面負(fù)責(zé)企業(yè)范圍內(nèi)的信息安全管理和維護(hù)工作�����。安全崗位是信息系統(tǒng)安全管理機(jī)構(gòu)�����,根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位��,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列�����。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作��,使各級(jí)信息技術(shù)部門也因此會(huì)很好配合信息安全推行工作����。
