安全与风险

安全与风险（共12篇）

安全与风险 篇1

摘要：随着我国经济建设和生活水平的不断发展,目前食品安全已经成为人们关注的话题。食品安全和我国人民的身体健康以及生命质量息息相关,但近些年来不断曝光的食品安全事件却显示,目前我国在食品安全方面的问题不容忽视,探析食品安全以及食品安全的风险监测尤为重要。本研究分析食品安全与食品安全风险监测方法。

关键词：食品安全,食品安全风险监测,探析

在近些年来,食品安全类的新闻时有发生,例如“地沟油”“皮鞋酸奶”“三聚氰胺”以及“瘦肉精”等。这些新闻和食品安全均有着极大地关系,与我国人民的身体健康也是息息相关的[1]。同时这一类新闻的时常发生,也牵动着我国消费者的心,导致目前人们对于食品安全产生了不信任的情况。基于这种情况的出现,为了预防食品安全事件的发生,并让我国的消费者能够吃上安全并且卫生的健康放心食品,是目前我国政府和相关部门需要着重关注的问题。在本次研究中,分析了食品安全与食品安全风险监测的方法,现对本研究进行总结,报道如下。

1 食品安全风险监测的概念

食品安全风险监测对于我国人民的身体健康和生命质量均有着极为重要的作用。就食品安全而言,要求我国的食品均无毒无害,并且能够符合相关的营养学要求,对于人体健康不会造成任何急性、亚急性或是慢性的伤害。尤其是在近些年来,我国已经制定出了相关法律法规开始对食品安全风险监测进行了相应的规定。对食品化学污染物及其有害物质的监测也在2000年开始实施。但在当时仅有国家疾病控制中心和9个省级的疾病控制中心对食品安全的有害因素进行监测,同时监测的项目也仅限于重金属污染、儿童食品致病菌污染以及农药的残留[2]。但经多年的研究,尤其是在正式开始实施《食品安全法》后,这种情况开始得到了根本性的改变。目前我国在食品安全风险监测方面的工作开展较好,几乎全部的省级、市级以及大部分的区县级疾病控制中心以及部分的食品检测实验室均可以进行食品安全风险监测,同时在监测的过程中,范围也扩大到了食品生产原材料、食品包装材料、半成品视频等,并且监测的项目也扩展到了兽药残留、有害元素污染物、半成品食品、真菌毒素、致病菌以及食品添加剂等,在指标上也扩大到了上百个。这些指标能够为我国各级部门科学的开展食品安全管理提供充分并且全面的科学技术依据,并且能够对我国的食品安全控制提供非常充足的资料。

2 我国食品安全风险监测的现状分析

对于我国的食品安全风险监测而言,由于起步比较晚,因此目前仍然不成熟。而疾病控制中心作为食品安全风险监测的主力,其基础仍然比较薄弱,同时在软件和硬件方面较为滞后。除少部分经济非常发达的省份有着较为全面的食品安全风险监测实验室的设施,诸多的食品安全风险监测实验室均存在实验室房屋面积较小、检验专业人员数量不足、检验设备老化以及缺少先进检验仪器等情况。尤其是对于一些设立了市级和区县级的疾病控制中心以及经济欠发达地区的疾病控制中心,这种情况更是普遍[3]。有研究显示,在这些地区的食品安全风险监测实验室中,检验人员数量非常少,同时也有3成左右的检验人员并非检验专业毕业的检验人员。另外在食品安全风险监测人员的工资待遇上,目前检验工作的工资待遇往往比较差,同时出差的机会也少,在日常工作过程中会有着信息不畅通的特点。很多检验人员均希望能够得到调到其他科室。另外在仪器方面,由于食品安全风险监测工作划出了疾病控制系统,其设备购置资金来源出现了断裂,这些单位极少自行购买大型的食品安全风险监测仪器。因此对于目前先进的食品安全风险监测掌握不佳,也无法较好的实施食品安全风险监测工作。

3 对食品安全风险监测出现问题的建议

随着我国对于食品安全风险监测问题的不断重视,诸多的问题开始得到了解决。首先在人员问题上,可以加大对于食品安全风险监测单位的人力和财力投入。在人力资源方面,其主要的部门需要按照疾病控制系统人员的配置标准对其进行增加编制的处理。尤其是可以着重引入高素质高学历高知识水平的检验专业人才,通过这种方式能够明显提升检验专业人员的比例[4]。另外可以提升检验专业人员的工资待遇水平,通过这种手段能够留住这些检验专业人员,并可以明显的激励检验专业人员,让他们有着工作的动力,并能够爱岗敬业,自觉的学习新技术并开展新项目。有关部门可以加大对于食品安全风险监测实验室的拨款,让实验室能够采购一些全新的检验仪器,提升食品安全风险监测检验效果。

4 结语

食品安全风险监测在我国的重要性不言而喻,是食品安全能够得到保证的重要条件。通过本研究,发现目前我国在食品安全风险监测方面仍然存在一定的问题。对症的解决这些问题能够明显提升食品安全风险监测效果,保证我国人民的身体健康和生命安全。

参考文献

[1]刘文,李强.食品安全网络舆情监测与干预研究初探[J].中国科技论坛,2012,12(7):44-49.

[2]潘琪,王隽,任树刚,等.宁波市食品安全网络舆情监测与应对研究[J].安徽农业科学,2014,42(32):11504-11505.

[3]何平,王煜红,江小明,等.提高我国食品安全抽检监测有效性的分析和建议[J].中国酿造,2015,34(3):162-165.

[4]唐晓纯.国家食品安全风险监测评估与预警体系建设及其问题思考[J].食品科学,2013,34(15):342-348.

安全与风险 篇2

信息安全风险与信息安全体系结构

摘 要 在计算机、手机、电话等通讯技术迅速发展的今天，信息安全风险成为当下全社会关注的热点问题。作为信息系统安全开发中的引导和约束主体，网络的应用范围无疑是广大的，从最初的游侠网络发展到今时今日的网络区域性，然而在使用网络带来的方便同时人们也面临着网络带来的信息失窃泄露隐患，因此本文针对网络信息安全进行介绍，对网络安全系统的构建问题加以讨论。 关键词 信息安全;风险评估;预防措施 中图分类号：TP393 文献标识码：A 文章编号：1671-759718-0056-01 信息安全的概念经历了一个漫长的发展过程，20世纪90年代以来得到了深化，进入21世纪，日益凸显。信息的存在范围是巨大的，大方向可以影响国家政治与军事的走向，小到企业之间的公司机密的安全，个人的隐秘信息安全等。安全作为信息系统领域的一个重要问题，在信息作战环境中的信息安全尤其举足轻重。如今，网络快速发展，所以网络环境下的信息安全体系是保证信息安全的关键。新一代信息网络体系结构保障了人们的信息安全。 1 信息的发展 在刚刚过去的几十年时间里，人们的不断发明创造，让信息技术发生了日新月异的变化。在现代网络技术逐渐的发展取代了人们传统的信息结构，从以往的写信报纸到了在网络上可以实现多方面信息的获取，实现了人们异地交流同步的最终目的，虽然网络还处于发展初期，但是其影响力超过现代任何一种信息传递模式，为此人们对于网络的依赖性就越发严重。但是由于网络安全问题所带来的信息非法获取以及私人信息泄露、机密信息丢失等问题频繁发生，世界上很多国家都遭到了网络信息窃取所带来的巨大损失，为此不少西方国家率先提出一系列网络信息安全维护措施，但是由于网络自身的特点这些措施所取得的收效并不高。 2 信息安全的重要意义 信息安全不仅关系信息自身的安全，更是对国家安全具有重大战略价值。信息安全关涉一个国家的政治安全，经济问题以及文化问题。信息安全不是一个纯粹的技术问题。信息是国家的眼睛和窗户，为此在我国进入网络信息时代后就更要注重自身网络信息的安全性，信息主导着国家的舆论方向，因此一条错误的信息或扭曲的信息都会在网络环境内造成巨大的破坏，这种破坏是多方向的，可能会引起一系列现实社会中的不安和动荡，因此针对网络信息的特点就需要格外注意这一系列问题。随着信息技术的`不断发展，信息的负面影响不仅仅表现在企业的经济损失，各种关于信息安全的侵权行为也开始肆意横行，网络的快速发展也给这些侵权行为提供了良好的载体，还有各种国家的机密被盗事件的频繁发生等等。因此，信息安全不容忽视，特别是国家信息安全，办公信息系统安全更不容忽视。 3 漏洞扫描技术与网络信息安全管理 3.1 漏洞扫描技术 网络信息化是通过电子计算机网络进行数据共享的一个过程，因此在上网获取信息的同时在一定角度上来讲也属于暴露了个人的信息，因此在网路普及的过程中个人信息的丢失就成为现代人用网安全最需要关注的地方了。从网络数据的共享上来管制信息漏洞，防止信息非法获取以及病毒针对系统漏洞进行个人信息的窃取。漏洞扫描的结果实际上就是系统安全性能的一个评估报告，因此成为网络安全解决方案中的一个重要组成部分。 3.2 网络信息安全体系 网络资源的信息共享是现代计算机技术最为热门的一个方向。网络实现了交流的平台提供，并且对于一些相关的异地化进行同化信息操作，降低交流困难，但是在日益进步的网络信息时代网络信息安全问题又成了热门话题以及网络应用人员的安全隐患，信息安全管理不仅需要还需要合理的信息安全管理政策及制度，而且还需要好的信息安全体系来保障。而在网络技术如此广泛的普及之下，保证上网环境的安全是首要的任务，因此针对于这一问题就要针对以下三方面进行梳理，保证上网的环境安全性，第一确保上网系统漏洞的检测，对防火墙个人信息保护软件等软件进行漏洞修复，对上网条例进行所属签订，对网络环境进行优化检查删除恶意软件。 4 制定信息安全管理策略及制度 1)制度的建立过程是从基础开始做起的，因此为了确保我国网络使用安全以及相关信息保护措施的到位就必须完善相关监管部门的专业技术，作为问题处理的单位相关的监管人员网络安全技术过硬才能灵活应对各类突发事件，并且对于层出不穷的网络信息安全问题进行识别，此外还需要定时定期的培训以及技术经验交流以适应逐渐发展的网络环境。 2)制定信息安全管理制度应遵循如下统一的安全管理原则：①规范化原则;②系统化原则制定安全策略;③综合保障原则;④以人为本原则;⑤首长负责原则;⑥预防原则;⑦风险评估原则;⑧动态原则;⑨成本效益原则。 3)立法保护确保网络安全法的执行力度，吸收西方网络安全工作经验总结出一套适合中国的网络使用安全方案，确保网络信息不出现非法流失。 4)建立既符合我国国情又能跟国际接轨的信息安全策略，确保信息最高的安全程度，保障每一位公民能够切实享受到隐私权，保护每位合法公民的财产不被侵犯。更希望信息安全保护能够走到世界的前沿，保护国家信息的绝对安全。 5 信息安全系统工程 网络安全系统的开发是离不开以下几个方面的。 1)系统构建。系统的构建过程属于细致的专业的过程，因此需要系统开发人员有十分充分的开发技术，并且对开发出的安全系统经常性、周期性的进行维护、检测以及漏洞修复。 2)识别信息安全问题隐患。随着网络科技的发展窃取信息的方式变得越发多种多样，因此识别这些窃取信息的网络安全问题就十分重要。 3)是安全问题的处理。处理技术是随着网络更新换代而发展变化的，由于网络的发展周期太快因此处理问题的方法就不可以局限于时间段而需要及时的针对问题进行处理方式的进化更新，优化相应的处理方式和处理技巧。 6 结束语 信息技术的发展让人类开始步入信息化，网络化的时代，促进了社会的繁荣与进步，给人们的学习，工作，生活带来了极大的方便，也使人们对计算机网络的生活有着极大的依赖性，并且随着网络科技的发展人们的生活与网络的结合会越来越紧密。因此，信息安全成为社会各界关心的问题。它系着个人，企业乃至国家的命脉，一定做好信息安全保护工程。 参考文献 [1]陈媛媛.计算机网络安全与防范策略探析[J].山西煤炭管理干部学院学报，2013(02). [2]王林.计算机网络信息安全防护策略[J].信息安全与技术，2013(05).

食品安全与道德风险规避 篇3

关键词：食品；安全；道德；风险

中图分类号：B82-052文献标识码：ADOI：10.3963/j.issn.1671—6477.2009.04.002

一、当代食品安全问题的根源与实质

食品安全体现的是食品与人的生命健康之间的关系。简单地讲，食品安全就是食品稳定地满足人的生命健康需要又不对人的身体造成伤害，它体现的是食品的数量质量与人的生命健康之间的关系。食品安全的内涵是多方面的，既包括量的安全也包括质的安全。数量的安全不仅包括社会有稳定的充足的食品供给，也包括个人有购买或获取满足自身生命健康存在所需要食品的能力。而质的安全也包括了多方面的内容，不仅要无毒无害，也要富有营养，还要健康均衡。食品的供应与人的生命健康需求是一对矛盾，具有社会性和历史性。食品的数量和质量随着生产力水平的发展而变化，而人的需求也在随着社会历史的发展而变化。从上世纪70年代至今，当代社会食品供应问题已基本解决。在吃饱问题已经基本解决的基础上，人们开始追求绿色健康营养的食品。但当前，营养缺乏，不健康甚至有毒有害的食品大量出现，食品安全事件频发，食品伤人的事件屡见不鲜，严重危害了人们的身心健康甚至生命安全。食品安全成为影响我国经济社会发展的重大问题。有人形容，“每拿起一次筷子就是一次历险”，反映出当前食品安全的严峻形势。

表面上看来，食品安全问题由技术水平低，管理不到位，法律不健全等原因造成，但其深层原因却在于伦理道德的缺失。在食品供应的链条上，各利益相关方包括生产经营者、监管者、消费者，从不同的利益、立场和价值观出发展开博弈，在博弈中食品伦理的缺位或特定条件下道德的失范就会导致利益对健康的侵害。食品经营与监管者不遵循现有的知识判断标准和饮食安全规则，而是明知某种行为有危害，却为了自身利益，主动做出、参与或者放任此行为的发生，从而对公众健康造成伤害。

近期发生的多起食品安全事件反映出市场经济条件下生产经营者在个体利益与公共健康博弈中伦理道德的缺位与失范。一些企业经营者道德素质低下，为了追求眼前利益和在市场竞争中处于有利地位而不顾消费者的健康，不择手段生产、销售具有安全隐患的食品。首先，违规使用国家明文禁用的高毒、高残留农药或其它化学品，毒素残留严重超过国家标准，成为威胁消费者健康的隐患。如农药超标的水果蔬菜，有抗生素残留的大闸蟹等。第二，在制作、加工处理的过程中违规使用防腐剂、添加剂等，严重威胁消费者的身体健康。如添加三聚氰胺的三鹿奶粉，添加工业染料和吊白块的腐竹等。第三，某些企业用便宜原料生产出几乎没有营养的产品，也使一些消费者深受其害。阜阳劣质奶粉事件便反映了这样的事实，没有营养的奶粉虽然不含有毒成分，但它也能使众多婴儿失去宝贵的生命。在众多食品安全事件中表现出的是对利益的过度追求，生命价值观的缺位，伦理底线的突破，社会责任意识的丧失。当代食品安全问题的根源在于利益与健康冲突中伦理道德的缺失，其实质是利益对健康的侵害。

二、食品道德失范的原因与机理

道德的形成与失范具有社会历史性，它是道德主体与实践环境相互作用的结果。食品道德的失范既与食品本身的特性有关，也受到食品从业人员所处社会环境的影响。当前中国食品道德的实践环境特征主要在于：食品生产还没有完全从提高数量转向提高质量上来，小规模分散经营的状况普遍存在；经济发展水平不高，较低安全水平的食品由于低价格而存在较大的市场空间；市场发育尚未健全；法制化程度不高，标准不完善；政府监管不够全面、高效；大部分消费者的消费观念与权利意识都不是很成熟。由于食品作为一种商品的特殊性，再加上当前食品运行环境中的问题，一些食品生产经营者的行为方式就开始突破了行业规范与道德底线。

首先，食品的经验品和信任品特性导致食品生产经营者责任意识淡漠。食品是一种特殊的商品，在生产流通过程中，其经验品和信任品特性非常突出。所谓经验品特性是指消费者在消费之后才能够做出评判的内在特征，如食品的口感、味道和烹饪特征等；信任品特性主要是指即使消费之后消费者也不能做出真实正确评价的有关食品安全和营养水平等方面的特征，诸如营养素含量、农药残留、病菌含量、激素含量等等。当代食品的种类翻着花样出现，而且在其生产、加工、经营过程中有大量新技术的应用，比如食品添加剂、防腐剂不断推陈出新，食品的经验品和信任品特征变得越来越突出。食品的经验品、信任品特性造成食品生产者与消费者之间信息的不对称，消费者根本不能凭知觉或经验对食品的质量做出合理的评判。在这种情况下，一些食品生产经营者就丧失了责任意识，利用消费者的信息不足，生产经营伪劣、不合格甚至是有毒有害的食品，直接危害消费者的生命健康。

其次，食品市场的外部性引发食品生产经营者诚信的丧失。外部性指的是一个人或厂商的行为不仅使行为人得到好处或坏处，而且可使其他的个人或厂商也得到好处或坏处。食品市场的外部性引发了食品企业诚信的丧失。对于食品生产经营者来说，外部性是这样形成的：优秀厂商生产并出售合乎标准的食品，给消费者带来食品满足感和安全感，而这种食品满足感和安全感可以通过其消费者传递给其他的消费者，这样，某种食品就在消费者心目中留下了良好的印象。当消费者不能准确分辨优质产品和伪劣产品时，就可能凭借着优秀厂商留给他们的印象而实际结果是购买了伪劣的产品，结果给不法厂商带来了收益。反过来，不法厂商生产的伪劣产品不仅影响了消费者的正常食用，而且还给消费者带来了心理上的负面影响，致使其有不安全的食品购买心理，同样这种感觉可以被传递给更多的其他消费者。消费者凭借着伪劣产品在其心目中留下的恶劣印象就会对市场上的产品产生怀疑，也就影响了优秀厂商优质产品的销售。而由于食品的经验品和信任品特性，食品市场的这种外部性问题非常严重。这种外部性就驱使一些不法厂商通过各种手段，人为制造假冒伪劣产品，与正规厂商生产合乎标准的产品一起在市场上流通，进而引发不正当竞争与诚信的丧失，造成食品市场的失灵，其结果是“劣币驱逐良币”。

最后，食品监管的困难造成生产经营者投机心理的产生。食品安全涉及面广，环节多，政府监管受限于人力、物力、财力，在食品的生产经营过程中留有“自由空间”，而“自由空间”的存在滋生

了大量的投机行为。从客观上讲，食品安全涉及从田头到餐桌的整个产品价值链，食品从最新原材料的生产到最终在市场上流通，要经过众多的环节。各个环节中都有可能出现不安全因素，给监管带来很大困难。而我国的食品生产非常分散，除规模化食品企业外，还存在诸多手工作坊和农户，数量极大，有些还地处隐僻，监管信息十分不畅，这更加大了食品监管的难度。从主观上讲，目前我国监督体制尚不完善，职责分工不明，各部门缺乏统一协调和统筹规划。监管部门的很大一部分精力在相互依赖、推诿中消耗掉，造成监管不力。同时，食品监管过程也是监管者自身利益与本职责任博弈的过程，在制度设计不完善的情况下，就可能出现“逆向选择”、重罚轻刑、权力寻租以及“有组织的不负责任”等现象。另外，在食品的监管过程中，存在着部门利益、地方利益与公共健康之间的博弈。部门利益的存在，使得部门可能出现“损公肥私”的情况。地方利益的驱动使地方政府做出与政策目标相反的选择。产地监管部门失职，并不在于他们不知道“人命关天”的道理，而在于地方利益和社会整体利益的错位。这些不作为、不公正的监管行为与监管者的责任相背离，一方面严重侵害了消费者的生命健康权益，另一方面也助长了生产经营者的投机行为。

三、规避食品道德风险的实践对策

食品安全事件的发生与食品伦理道德的失范密切相关，而食品安全问题的解决也不能仅凭安全技术的提高、法律的完善和监管制度的健全来实现。市场的负外部性以及公共产品的生产、分配等问题，使市场具有不可避免的失灵现象。政治干预也同样具有局限性。事实表明，“即使是充分的制度设计及安排也不能消除市场机制本身所固有的缺陷”。因而，伦理的介入就成为一种必然。关于伦理与实践的关系，特里·库珀认为，“我们可以将伦理问题的处理视为一个正在进行中的，在时间和信息的制约下为我们所面临的具体情况设计最好的行动的过程”。因而，在食品管理的实践中要采取相应措施规避道德风险的发生，只有随着道德风险的降低，食品安全事故才会越来越少。

(一)加强伦理教育，打造道德产业

伦理不能仅仅停留在理论研究的层面，而必须使之走向实践，服务于实践。首先，加强伦理教育，重塑道德底线。伦理规范是通过内心信念、教化说服来实现对社会成员的影响的，要对食品从业者进行伦理道德培训，开启个人道德认知能力，灌输“民以食为天，食以安为先”的食品理念，培养其尊重生命、关爱健康的道德观。其次，要建立有效的引导机制，将食品伦理道德观念引入到食品实践的各个环节，做到伦理决策、伦理生产、伦理监管、伦理消费。第三，支持建立食品生产供应链相关企业组成的行业协会，由行业协会主导行业自身的道德自律。充分发挥食品行业协会在生产经营各个环节的积极作用，建设道德产业，实现良心生产。

(二)德法并济，维护道德底线

法律与道德都是人类社会特定经济关系的产物，两者都是调控人们行为的重要机制。在内容上，它们相互渗透，互相包含；从作用与功能来看，它们又相互补充，相互依托。对于食品安全问题来讲，法律和道德缺一不可。食品的法律法规只有在借助于食品道德提升为人们自觉的内心信念和行为标准时，才能有效实施。但如果仅有道德的感化和劝诫，而缺乏法律的强制手段，则由于威慑力量的不足可能导致有些人突破道德底线。同样，如果仅仅依靠严刑峻法而缺少道德手段，人们就会因道德水准的普遍低下而不能自觉遵守法律。因而，要加强两者之间的互动。一方面，要在食品相关法律的制定中，增加食品伦理道德规范内容，加快道德向法律的转化。另一方面，要在建构食品伦理道德体系的同时，完善我国食品安全卫生法律体系，加大惩罚力度，刑罚结合，使投机者一旦越过食品道德的底线就会受到严厉的法律惩罚。

(三)建立食品供应链跟踪系统，规避投机心理带来的危害

由于食品的经验品、信任品特性，有些食品的质量不容易直接判别，甚至在消费之后也不能马上发现问题。比如，辐照食品和转基因食品，如不标识，消费者就很难判别。同时，由于市场的外部性问题，即便出了问题，有些产品也很难追溯到相关责任人。而这也正是造成食品生产经营者发生投机行为的原因。因而，有必要借鉴国外的经验，建立食品供应链跟踪系统，来最大限度地遏制投机行为的发生。食品供应链跟踪系统使得食品具有明确的身份，具有从农田到餐桌的可知性与可追溯性，可以有效地减少投机行为的发生。要求企业将相关标识信息揭示在食品包装上，以便于消费者的识别和认定。供应商通常有着很强的经济驱动性，在实行食品供应链跟踪的情况下，他们就会积极采取措施，避免食品质量或安全问题给其自身或品牌带来负面的影响。而某种产品一旦出现问题，这些标识信息对于追溯责任人能够发挥很大作用。

(四)完善监管制度，缩小“自由空间”

根据世界贸易组织和联合国粮农组织的定义，食品安全监管是指“由国家或地方政府机构实施的强制性管理活动，旨在为消费者提供保护，确保从生产、处理、储存、加工直到销售的过程中食品安全、完整并适于人类食用，同时按照法律规定诚实而准确地贴上标签”。政府对食品市场进行一定的管制对于保障食品安全是必须的。因为仅寄希望于企业的自觉行为，而缺乏有效的外部监督，则很难希望所有的企业都自觉地承担起社会责任。因此，必须加强法制建设。强化外部监督。监管和“自由空间”存在此消彼长的动态关系，监管力度越大，制度越完善，机会主义的“自由空间”就越小。作为我国社会主义市场经济的调控者和管理者，在企业或市场经济环境未完善时，政府要发挥其宏观调控的作用。今后应该在加强食品立法和监管制度的建设方面加大工作力度，尽到其尊重、保护和促进公民食物权的责任。

(五)强化社会监督，增加道德压力

充分发挥舆论的引导和监督作用，给有出现道德失范可能的食品从业人员施加足够的外部压力。要明确社会价值导向，加大宣传力度，使企业把追求利润的行为跟社会的利益紧密结合起来，自觉承担起应负的社会责任。一方面，加强正面引导，塑造道德楷模，保护和宣传那些守法经营为社会提供优质产品的企业，弘扬正义。另一方面，要深入揭露食品安全方面的违法犯罪行为，对那些恶意造假坑害百姓的不法分子予以曝光，使其无地自容。媒体与社会的监督，能够督促食品生产经营者的自律，让其时时慑于媒体的监督和曝光之下。市场经济中每个生产经营者都关注自己的声誉，社会和媒体监督会形成威慑作用，形成对生产经营者的事前约束，使生产经营者不敢越雷池半步。已有诸多证据表明这种间接惩罚在打击劣质产品方面非常有效。通过舆论的引导和监督，最终可以形成一个扬善抑恶、扶正祛邪的社会氛围，最终使假冒伪劣产品失去市场，从根本上杜绝假冒伪劣产品的生产。

(六)维护消费者权益，促进企业遵循道德规范

食品安全问题的解决，不仅需要政府的监管措施与监管手段的创新，还需要消费者的积极参与，共同努力。没有挑剔的食品消费者，就不可能有精致的食品生产者，消费者的自我保护行为是对生产经营者机会主义的最有力约束。作为消费者，要积极维护自身的合法权益，对那些不讲责任的企业要勇敢地拿起法律武器，这样对食品企业形成一种他律的压力，迫使其遵循道德规范，进而逐渐实现食品道德内化。然而，当前我国的消费者的自我保护意识还比较弱，公众对食品安全的意识还比较差，不少消费者购买不安全的食品，使许多不法商人有利可图。因而要通过宣传、教育和培训，增强消费者的食品安全意识和维权意识，增强其自我保护和参与监督能力，这样可以从外部迫使企业树立社会责任意识。

总之，要想从根本上解决食品安全问题，就必须着眼于食品道德观的建设，采取多种措施规避食品道德风险。只有实现了伦理生产、伦理经营，百姓才能吃上放心食品。

[参考文献]

[1]王小锡.论经济与伦理的内在结合[J].哲学研究，2007(6):3-9.

[2]特里库珀.行政伦理学：实现行政责任的途径[M].张秀琴，译.北京：中国人民大学出版社，2001:7.

[3]张晓涛.我国食品安全监管体制：现状、问题与对策[J].经济体制改革，2008(1):45-48.

网络风险与安全策略探讨 篇4

计算机网络是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来, 以功能完善的网络软件 (即网络通信协议、网络操作系统及信息交换方式等) 实现网络中资源共享和信息传递的系统。因为计算机网络本身的一些开放性的、不健全的特性, 使其时常面临多方面的风险。通常来说主要有三个方面:一是计算机病毒。种类繁多的计算机病毒利用网络软件和硬件本身存在的缺陷和不足, 依靠自身的“复制”能力, 严重破坏数据, 影响计算机使用, 甚至导致计算机系统瘫痪。由此造成的损失十分巨大。二是黑客和网络不法分子的攻击。这种人为的恶意攻击是计算机网络所面临的最大威胁, 黑客一旦非法入侵资源共享广泛的经济、政治、军事和科学等领域, 盗用、暴露和篡改网络中存储和传输的数据, 其造成的损失是无法估量的。三是计算机操作者非恶意的误操作。如个别用户网络安全意识不足, 网络管理员安全配置存在的漏洞等。

1.1 嗅探攻击

嗅探攻击是利用计算机的网络接口截获目的地为其它计算机的传输数据的工具。比如影音嗅探工具, 现在很多网上的视频只提供在线播放而看不到下载地址, 这时候用这个工具, 他能嗅探到这个视频的真实地址。嗅探器分为软件和硬件两种。

1.2 拒绝服务攻击

拒绝服务攻击是攻击者想办法让目标服务器停止提供服务, 是黑客常用的攻击手段之一, 一般通过向某个站点服务器发送大量的、无用的信息, 从而堵寒该站点的运行, 最终导致网络服务项目终止服务 (例如电子邮件系统或联机功能) 。

1.3 源IP地址欺骗攻击

源IP地址欺骗攻击是指入侵者生成具有伪造的源地址IP包, 用于欺骗目标系统。IP欺骗可以用于突破基于IP地址的访问控制机制。通过IP地址的伪装使得某台主机能够伪装另外的一台主机, 而这台主机通常具有某种特权或被另外的主机所信任, 以蒙混过关。进而开始一系列的攻击。

1.4 口令攻击

网络系统大多使用口令来限制未经授权的访问, 一旦攻击者能猜测或者确定用户的口令, 他就能获得网络的访问权, 并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限, 这是非常危险的。口令的取得通常有三种方法:一是通过网络非法监听得到用户口令;其次是在知道用户的账号后利用一些专门软件强行破解用户口令;再次是利用系统管理员的失误, 在现代的Unix操作系统中, 用户的基本信息存放在passwd文件中, 而所有的口令则经过加密后专门存放在一个叫shadow的文件中。黑客在获得一个服务器的用户口令Shadow文件后, 用暴力破解程序破解用户口令。

1.5 缓冲区溢出攻击

缓冲区溢出是目前最常见的一种安全问题, 这种攻击是属于系统攻击的手段, 操作系统以及应用程序大都存在缓冲区溢出漏洞。缓冲区溢出是由编程错误引起的, 缓冲区是一段连续内存空间, 具有固定的长度。程序的缓冲区被攻击者写入超出其规定长度的内容时, 就会造成缓冲区溢出, 达到攻击的目的。

1.6 破坏信息的完整性

信息完整性是指信息在输入和传输的过程中, 不被非法修改和破坏, 保证数据的一致性。保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。攻击者通过对信息进行篡改, 更改信息的内容等;有时是删除某个消息或消息的某些部分;还有可能在消息中插入一些垃圾信息, 使接收方接收到错误的信息。

2 计算机网络的防护

网络攻击的手段是发展变化、多种多样的, 攻击和防护是矛和盾的关系。所以建立网络安全防护体系, 就同时要走技术和管理相结合的道路。

2.1 物理安全策略

网络防御的物理安全重点在于对整个网络的保护, 它是保护服务器、计算机、网络连接设备等系统免受外部攻击的关键。使用计算机网络时首先要经过身份验证, 防止越权操作。另外, 网络系统的工作环境要得以加强和完善, 网络系统的管理制度要健全, 尽量避免发生人为破坏系统。物理安全策略还包括网络的安全管理, 制定相关的网络管理制度等。

2.2 网络安全防护技术

2.2.1 防火墙技术

防火墙是指在不同网络之间的一系列部件的组合, 按物理结构分为硬件防火墙和软件防火墙, 它是不同网络之间信息的唯一通道, 防火墙是位于内部网或Web站点与Internet之间的一个路由器或一台计算机又称为堡垒主机, 其目的如同一个安全门。实现了被保护对象和外部系统之间的逻辑隔离。在互联网上不防碍人们对风险区域的访问的同时, 通过它来隔离安全区域与风险区域的连接。

2.2.2 网络信息加密技术

信息加密技术是利用数学或物理手段, 对电子信息在传输过程中和存储体内进行保护, 以防止泄漏的技术。通过数据加密技术, 可以在提高数据传输的安全性和完整性。目前较为流行的几种加密体制和加密算法有:RSA算法和CCEP算法等。加密系统的安全不是基于算法而是基于密钥的, 因此加密系统的密钥管理是一个非常重要的问题。为防止破密, 加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡, 这就是硬件加密措施。

2.2.3 身份验证技术

身份验证技术是用户向系统出示自己身份的过程。用户的帐号和口令是防止非法访问的首要防线。传统的静态口令认证技术是现今大多数网络系统所使用的最简单的访问控制方法, 通过口令的匹配来确认用户的合法性, 只有输入正确的口令, 才可以进入网络, 否则访问将被拒绝。为保证口令的安全性, 用户帐号和口令通常是经过加密处理的。

2.2.4 病毒防治技术

计算机网络的病毒类型是多种多样的, 既有微机上常见的某些计算机病毒, 也有专门攻击计算机网络的网络型病毒。网络一旦染上病毒, 影响要远比单机染毒更大, 破坏性也更大。目前, 计算机病毒防治技术, 主要有三种, 分别为特征码扫描法、虚拟执行技术和文件实时监控技术。

2.2.5 入侵检测技术

入侵检测技术是一种用于检测计算机网络中违反安全策略行为的技术, 是一种能够及时发现并报告系统中未授权或异常现象的技术。进行入侵检测的硬件与软件的组合便是入侵检测系统 (简称IDS) 。入侵检测是防火墙的合理补充, 提高了信息安全基础结构的完整性。

2.2.6 数字签名技术

文件加密只能解决传送信息的保密问题, 为防止他人对传输的文件进行破坏, 以及确定发信人的身份还需要采取数字签名技术。数字签名技术可以起到核准、认证和生效作用。身份识别技术使识别者能让对方识别到自己的真正身份, 以确保识别合法者。

网上安全只是相对的, 因为入侵者不只用一种方法入侵, 这就意味着只有堵塞一切漏洞才能防患于未然, 但这显然是不可能的。计算机和网络安全策略、过程与机制被人们认识与接受, 是一个渐进的过程。计算机网络安全维护策略多种多样, 在网络安全技术飞速发展的今天, 只有将不同侧重点的安全防范策略与最新的技术手段有效地结合起来, 科学合理地管理计算机网络, 凡是预见到可能出现的问题, 都应该及时地设防, 健全完善安全管理制度, 不断为我们的电脑请来安全的保护神, 才能确保网络的安全、可靠地运行。

参考文献

[1]戴英侠等.计算机网络安全[M].清华大学出版社, 2005.

[2]张千里.网络安全基础与应用[M].北京:人民邮电出版社, 2007.

房建施工安全风险分析与控制 篇5

摘要：为了实现高效的项目管理，将安全管理与风险管理相结合，事前防范与事发应对相结合，能够大大降低房屋建筑工程的安全风险。本文即分析了房屋建筑施工的安全风险的来源，说明了房建施工安全风险分析管理的基本操作流程，最后提出了房建施工安全风险的控制策略。

关键词：房建施工；安全风险；施工人员；管理

一、房屋建筑施工的安全风险的来源

房屋施工是由人员、设备、环境和管理四方面组成的系统，特点是工序多、作业过程复杂、生产过程始终处于动态变化中，且目前建筑市场存在业务层层分包、主体对安全生产缺乏重视等不良现象。种种分析表明事故的原因主要归咎于人、物、环境三者的相互关系，并受管理的制约。

（一）人的原因

这里的人是指操作工人、管理人员和其他现场人员等。人的不安全行为大多是因为对安全不重视、态度不正确、技能或知识不足、健康或生理状态不佳和劳动条件不良等因素造成的，是事故的重要致因。包括违章指挥、违章作业、违反劳动纪律的“三违”现象。

（二）物的原因

物的不安全状态是生产中的危险源、是构成事故的物质基础。如材料强度不够，防护用品缺乏或有缺陷，存在危险物和有害物等；另外，有些施工机械设备和装置结构不良、年久失修、零部件过度磨损或带“病”作业，加之施工中超负荷运转，加重了设备的老化程度或导致安全防护装置失灵等。

（三）环境的原因

不安全的环境是引发安全事故，是事故的直接原因。不安全的工作环境因素主要有通风不良、噪音过大、物料储放不当等几方面。在外界环境作用下，工人在操作时很难做到思想高度集中，容易造成分心、紧张、烦躁、反应力差等。

（四）管理的原因

管理缺陷会引起设备故障或人员失误，许多事故的发生是由于管理不到位而造成的，管理的原因是事故的直接原因得以存在的前提条件。包括技术指导（即工艺流程、操作方法等）上的缺陷；劳动组织不合理；没有安全操作规程或不健全；对安全工作检查指导不足或有误；教育培训力度不够；事故防范措施不认真落实；安全隐患整改不到位等。

二、房建施工安全风险分析管理的基本操作流程

风险管理是一种事先的主动预防措施，如果在风险发生之后再进行应对，往往时间与人力物力上的损失巨大。风险管理通过研究风险产生的一般规律，对风险可能造成的后果进行分析并预防，通过制定能够对风险进行控制的技术和方法并实施，来以最小的成本获得最大的安全保障。

风险管理在项目伊始就开展其流程，主要包括识别、评价、控制三个阶段。

（一）风险识别

是对项目中可能存在的各种风险进行系统、全面、持续地甄别、归类、分析，因此风险识别不是一个短期的工作，而必须在整个项目周期内定期或不定期进行。

风险识别中，危险源识别最为重要，通常将危险源分为两大类，即第一类危险源和第二类危险源。第一类危险源是由能量和危险物质的存在而产生的危害，可能意外释放能量（能源或能量载体）或危险物质的称作第一类危险源。造成约束、限制能量和危险物质措施失控的各种不安全因素称作第二类危险源。下面列举危险源的分类，即可较为直观地理解这两大分类：

（二）风险的评估

分析项目中所有风险因素对项目主要目标的影响程度，进行排序，以此来确定项目的整体风险。常用的评价方法有：主观评分法、层次分析法、模糊综合评价法、随机抽样统计试验法等。根据GB/T 28002推荐的风险评估简表，将风险等级分为Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ五个等级。评估时采用的交叉评估属于模糊综合评价法的一种。

Ⅰ级为可忽略风险，Ⅱ级为可容许风险，Ⅲ级为中等风险，Ⅳ为重大风险，Ⅴ级为不容许风险。重大损害等约同于《建筑安全事故分级》较重大事故，中度损害约同于一般事故，经济损失以行业平均利润率6% ～15% 制定，轻度损害未造成重大亏损。

（三）风险的控制

根据风险识别与评价得出的结论，对不同危害程度的风险提出相应的应对措施，主要有三种：风险回避，当风险威胁性很大，则可以在项目开展之前考虑放弃，不过回避的同时也失去利益；风险转移，通过将权利和利益转移给其他参与者或者企业内部其他部分，来分散风险；风险控制，主动采取防控措施，针对细节采取方法，来降低风险。

三、房建施工安全风险的控制策略

（一）对施工人员进行安全教育

工人是工程建设中的主体，为了保证主体的安全首先要让工人有安全防范意

识。为了加强工人对安全的认识必须对施工人员进行安全教育。建设过程中施工

人员分为好几种，包括整个项目的管理人员；掌控设备的技术人员；从事体力劳

动的工作人员等。这些人分别作不同的工作，存在的安全隐患也各不相同。施工

单位应该针对不同工作人员的安全问题进行相应的安全教育。首先对管理人员的

安全教育，管理人员是整个项目的负责人，其本身就应该有高度的安全隐患意识，同时他们还要对整个工程中的安全问题进行分析和解决。然后对技术人员进行安

全教育，他们掌控的设备只能通过各种开关按钮来调节，在掌控的过程中技术人

员一定集中注意力，小心谨慎的调控机器，防止设备对人造成伤害。最后对体力

劳动的工人进行安全教育，这是最有必要的安全教育，因为他们的风险是最大的，上文提到的风险都与他们有关，强化他们的安全意识可以大大降低意外的发生。

（二）加强施工管理规范以及减少危险源

加强施工管理规范是降低危险的有效措施之一。在建设过程中，完善管理制

度，对施工中的每一个环节都要进行管理检查，监督工作人员做好防范措施，带

好安全帽和其他防护装备。实行责任分担制度，将责任落实到每个人身上，各个

部门做好分内工作，相互协调管理。除此之外，减少危险源也是必要措施。在施

工之前对工程的风险进行评估，尽可能多的减少危险因素。在建设过程中尽量减

少高难度施工，不能避免的高难度工作也要全面做好安全工作。对常用设备进行

高频率检查，保证设备正常运行的同时也要防止意外的发生。对临时搭建的简易

棚板进行安全检查，还要对其他危险源检查和处理。

（三）控制施工资源管理

对施工资源的控制和管理可以有效降低施工风险。施工资源包括施工材料、施工设备和施工环境等因素。

第一，控制施工材料，对材料的来源、检测以及采购严格控制，防止因为材料质量问题导致施工中意外的发生。第二，控制施工环境，在施工进行时必须控制天气环境和自然环境。在风雨天气必须停止施工，风雨天气很容易对工人和机器造成伤害；高温和严寒天气施工也必须停止同时在空气环境严重污染的情况下，也要减少室外作业。对以上施工资源进行管理，可以大幅度降低施工风险。

参考文献

[1]李新海.浅析建筑工程项目安全风险管理[J].四川建材.2011（04）

[2]都秀梅.建筑工程施工安全风险管理研析[J].建筑安全.2011（07）

浅谈城市燃气安全与风险对策措施 篇6

一、天然气主要危险特性

天然气作为易燃气体，主要危险特性可归纳为五点：

易燃性：闪点低（-188℃），引燃温度也相对较低（538℃），引燃时所需能量极小，一般在0.2～0.3mJ之间。

易爆性：与空气混合能形成爆炸性混合物，爆炸极限范围为5%～14%，爆炸下限低，爆炸范围宽，引爆能量小，受热、承受冲击或者遇电火花，接触强氧化剂等都能引起爆炸，爆炸危险性很大。

易积聚静电性： 在容器中发生晃动、高速流经管道或是从容器中高速喷出时，会因摩擦产生静电，若静电导除设施不完善，可能因静电积聚产生数千伏以上的静电电压，在尖锐处引起放电闪火，从而引发火灾爆炸事故。

气化吸热：液化气体通过小孔隙向外排放时，压力迅速降低，体积急剧膨胀，在此过程中由于吸热，会使周围温度急速降低，产生制冷作用，使空气和液化气中的水分以冰霜形态积聚在孔隙周围，这种现象称为“节流效应”，其结果可导致阀门无法关闭或者管路堵塞。这个危险性易被忽视，但可能引发重大事故。此外，由于温度急降，有可能导致冻伤事故的发生。

毒性：天然气本身没有毒，但当空气中含量25%～30%时可引起缺氧产生头痛、头晕、乏力、心跳呼吸加剧等症状，严重时可能导致窒息死亡。

二、燃气事故分析

据2011年燃气事故统计，2011年全国发生燃气事故514起，爆炸爆燃260起，占到全部事故数量的50.6%。其中国内管道事故户内管道泄漏事故发生率最高，约占22.18%，由第三方破坏、施工导致的管道破裂泄漏等事故占到了事故总数的17%。各类型事故分布见图1。

通过初步分析可看出，户内管道泄漏是燃气事故发生概率最大的事故，导致泄漏的原因主要有外部影响、施工及工具材料缺陷、腐蚀、地面运动、误操作等，其中占最多的是第三方破坏；燃气事故中，导致爆炸的事故占到事故总数的一半以上，泄漏有50%以上的概率可导致火灾、爆炸事故的发生。因此，在燃气安全管理中，控制好燃气泄漏是控制事故行之有效的手段。

欧美等国对天然气管道事故严重程度的划分标准一般分为三类，即泄漏、穿孔和破裂。划分标准与管道本身的特征（如直径、管壁厚等）有关。有统计资料表明，在所有干线输气管道事故中，泄漏占40%～80%，穿孔占10%～40%，破裂占1%～5%。

在欧洲，通过对事故的统计和分析，事故原因分为：外部影响、施工和材料缺陷、腐蚀、地面运动、误操作及其他原因。其中，外部影响是导致气体泄漏的主要原因，而且大多数为“孔洞”类型。其次是施工和材料缺陷，这与管道建设年代有关。以前建设的管道，因施工和材料缺陷的事故频率相对较高。由于提高了建设标准以及严格的检测和试压，以后的失效频率逐渐降低。第三个主要因素是腐蚀。

美国在1970～1984年间，天然气长输及集输管道共发生了5872事故，年平均事故404次。经分析，外力是造成天然气管道损坏的主要原因。自1984年7月1日起，美国运输部（DOT）研究与特殊项目委员会（RSPA）将各种失效原因分为五大类，分别是：外力、腐蚀、焊接和材料缺陷、设备和操作及其他。

在加拿大，1985～1995年间的管道失效事故统计，其中68%是输气管道失效事故，1996年发生管道事故69起，1997年88起，1998年54起，其中大部分为气管道事故。

三、风险对策措施

1.企业自身管理

（1）安全管理系统化与标准化

建议各燃气企业在完善现有“安全管理体系”系统化的同时，结合安全标准化的要求，建立和完善基于风险管理的安全管理理念、方针、流程和作业规程。

（2）设施完整性管理

建议各燃气企业在完善现有“安全管理体系”的基础上，完善和推广“设施完整性管理”。完整性适用于输气管道系统是指输送气体设施的所有部分，包括：管道、阀门、管道附件、压缩机组、计量站、调压站、分输站、接收站。

（3）作业安全控制

建立和完善高风险作业控制的“作业安全标准”，完善作业许可证及其审批制度。对于施工单位，制定明确燃气管道及设施保护方案，提供实时的地下管网图纸与详细位置信息，并在方案中明确设定燃气管道保护控制线、开挖方式、悬空管保护方式等要求。

（4）文化、教育与培训

安全文化：建设企业安全文化，影响和构建安全社区氛围；

社会责任：担当企业社会责任，保障社区、城市安全；

应急逃生能力培训：应向周边群众进行应急疏散及自救逃生的技能培训，提高其应急能力。

人员培训：定期进行岗位培训和燃气培训。尤其对燃气管道巡线工、兼职保安队伍加强专业技术培训，提高人员的燃气安全意识及技能，善于发现隐患并排除。另外，加强对相关技术及岗位人员应急能力的培训和提升。

燃气安全宣传教育：对周边用户、居民、企事业员工及施工单位等相关方加强燃气安全教育，通过报纸、电视等媒体，加强周边群众对保护燃气压力管道的意识和责任感。

nlc202309012125

2.政府监管

（1）完善监控机制，提高监管能力

协调规划、城建等政府职能部门在核发施工执照时，凡涉及或影响到燃气管道的，应要求施工建设单位先与燃气公司取得联系，现场技术交底，采取相应防范措施后，再发施工许可；建议增加足够的燃气监管力量，配备执法人员，加强对燃气场所、管道的监察与处罚力度，对燃气违法违规现象进行查处；建立专业的燃气安全专家库，为燃气监察、事故预防及抢险提供技术支持。

（2）宣传与教育

宣传知识：向企业及周边群众、社区、场所宣传燃气安全常识和管线保护知识；发挥社会的参与性，创造全社会的安全氛围。加强各部门信息共享，及时向燃气企业发布台风、地质、地震、水文、气候、白蚁等自然灾害和病虫害预警信息，以便于燃气企业及时做好管线的防护措施。

3.行业协会

（1）发挥行业协会组织的优势，协助政府，联络企业，发挥桥梁作用，增强与政府及企业之间的良好互动与沟通。

（2）协助企业与政府定期组织各项交流活动，例如：在设施完整性、安全标准化、安全管理经验交流等方面的沟通与反馈。

（3）组织力量总结和编制各种专业性指导书、推荐标准和良好作业实践，树立标杆企业，提高整个行业的管理水平。

（4）协助组织各种宣传教育、培训和竞赛等活动，鼓励社区、企业及各种民间组织参与燃气安全管理，提供更多更好的建议和公共监督。

4.第三方检验发证

（1）鼓励发展和培养第三方检验发证机构或组织开展服务，提升检验水平和质量，共同提高燃气行业的设施完整性和可靠性。

（2）协助编制、开发和推广安全检验标准，强化设施完整性、工艺安全、风险管理等设备设施的本质安全。

（3）介绍、推荐和推广国际国内的优秀管理方法与技术，协助组织各种研讨活动，推动企业的安全管理创新与改革，为保障城市燃气安全运行做出贡献。

参考文献：

[1]汪元辉.安全系统工程[M].天津大学出版社，1999.

[2]周伟国，张军，严铭卿.住宅燃气系统的安全性评估[J].煤气与热力，2005，25（7）：1.

[3]何淑静，周伟国.城市燃气安全管理状况的模糊综合评价[J].上海煤气，2004，3.

（责任编辑：赵静）

北京加强居民用户及出租房屋燃气使用安全管理

本刊讯 为吸取近期北京市因燃气器具使用不当而发生的人员伤亡事故教训，进一步加强燃气使用安全管理，北京市市政市容委、首都综治办、市住房和城乡建设委、市公安局专门制定了《居民用户及出租房屋燃气使用安全检查工作方案》，成立本市居民用户燃气使用安全检查领导小组，由北京市市政市容委牵头，于4月份进入实施阶段。期间，北京各区县对居民用户及出租屋组织实施燃气使用安全入户巡检；对居民用户及出租屋安装、使用不合格的燃气器具进行全面统计建档；对检查中发现的问题，按规范要求进行处理。

论述网络与信息安全的风险与对策 篇7

关键词：网络信息,安全,风险控制,管理

网络技术和信息技术在现代社会生活中的各个领域得到广泛应用, 是当前比较先进的科学技术手段, 并且随着网络信息技术的不断发展, 其提供巨大的信息含量和交互功能, 提高了各个领域的工作效率, 这种应用范围的拓宽更是体现出了其自身的重要价值, 但是在这种重要性体现的同时, 其安全问题却受到了人们的广泛关注, 尤其是就当前我国的网络信息应用现状来看, 其中存在的问题较多, 安全问题也日益突出, 风险因素的存在更是给相关使用人员造成较大的损失, 因此, 加强对于网络与信息安全的管理, 合理规避一些风险的存在, 是切实保障网络与信息使用价值的体现, 为使用者提供一个安全的网络空间, 也是社会发展不断进步的必然要求。

1网络与信息安全的风险分析和识别

网络与信息技术在当前我国应用时间不长, 尤其是对于很多行业来说, 其对于网络技术和信息技术的使用仍然是处于初级阶段, 所以因为经验的不足就很可能导致很多问题的出现, 在这些问题中, 安全问题无疑是最为重要的, 也是当前网络与信息技术应用中的重要难题, 具体来说, 对于网络与信息的安全进行分析, 其中存在的主要风险问题有以下几点, 这些问题也是造成安全风险存在的主要原因: (1) 监督机构失位是导致当前我国网络与信息安全问题出现的一个重要原因, 也是一个最为关键的安全风险因素, 缺乏了管理就会衍生更多的安全风险; (2) 技术落后为网络信息安全风险的出现创造了条件, 尤其是一些网络信息技术漏洞的存在更是主要原因; (3) 当前我国很多网络信息技术的应用人员对于安全认识不到位, 意识不到安全问题的重要性, 忽视了自身的安全防护, 当然也正是因为这种意识不到位的问题才导致了黑客攻击、病毒扩散、网络犯罪现象的出现。

网络信息安全的风险就是一个事件产生我们所不希望的后果的可能性。风险分析要对安全风险做出全面的、综合的分析, 其主要组成包含风险识别和风险评估, 风险分析的过程包括统计概率, 评估影响, 对风险的不确定性及可能性等因素进行考察、预测、收集、分析, 在此基础上有效处置风险及妥善处理风险, 制定一整套系统而科学的管理方法, 使用户避免和减少风险损失。

2网络与信息安全控制管理措施

2.1完善法律法规建设

因为当前我国对于网络技术和信息技术的应用还缺乏比较丰富的经验, 所以说, 方面都存在欠缺, 尤其是对于法律的建设来说存在较大的问题, 基于这一点, 在今后的相关工作中, 必须加强对于网络与信息法律的构建, 尤其是要重点针对当前常见的一些网络与信息安全问题进行充分的分析论证, 进而相对应的建立完善的管理约束法律, 比如“网络犯罪法”、“信息保护法”等都需要进行全面的构建, 给予网络与信息技术的安全应用以法律保障;另外, 建立了相应的法律制度并不是目的, 而是一个基础, 其最为关键的还是要加强对于这些法律制度的应用, 只有保障这些法律法规能够切实的应用到具体的实际中才能够确保该措施的可行性, 因此, 建立相应的监督管理机构也是必不可少的。

2.2创新网络信息技术措施

对于当前的网络信息安全风险来说, 很多安全问题的出现都是因为相应的技术存在漏洞导致的, 很多不法分子正是运用这些漏洞来实施违法犯罪行为, 最终影响了网络信息的安全, 基于这一点, 加强对于当前网络信息技术的完善就成了必不可少的一部分, 尤其是要重点针对一些存在的漏洞进行深度修复, 切实提高安全水平, 构建一个有效安全地网络信息使用平台。

信息安全技术防范措施主要有防火墙技术、计算机病毒防范技术、信息加密技术、漏洞扫描和修复技术、系统备份和还原技术等, 综合运用多种技术措施控制安全事件的发生。

2.3加大投入力度

对于网络和信息技术的安全控制来说, 还必须加大相应的资金投入, 这种投入是多方面的: (1) 要加大政策的投入力度, 即对于一些能够有利于网络信息安全的企事业单位进行政策上的扶持, 在税收等方面给予优惠的政策, 重点是一些安全管理科研机构, 其对于安全管理技术的革新具有重要意义; (2) 加大人才的投入力度, 网络信息技术作为一种比较新型的技术手段, 其对于相关人员的知识储备要求比较严格, 需要更加高素质的人才来进行相关的安全控制管理工作, 国家必须在今后加大对于人才的投入力度; (3) 加大资金的投入力度是所有措施的一个基础保障, 因为资金问题是制约任何工作进展的主要问题, 具备了充足的资金, 网络与信息安全管理机构才能够采取充分的措施进行相关安全控制的管理。

2.4切实提高网络信息安全保护宣传力度

针对因为网络信息技术使用人员自身对于安全问题意识不到位造成的安全问题来说, 加强信息安全的重视程度就能够在较大程度上确保其对于网络和信息技术应用的安全性, 具体的措施可以是通过加大宣传的力度来进行, 采取多种形式的宣传途径, 比如电视、纸质媒体、广播、网络等都应该加强宣传, 对于具体的宣传内容来说, 应该包括以下几点: (1) 对于网络信息安全的重要性进行重点宣传, 这是提高网络信息安全意识的一个重点; (2) 加强对于具体提高安全系数措施的宣传, 引导人们如何提高自身对于网络信息技术使用的安全度; (3) 加大对于危害网络信息安全行为的处罚的宣传力度, 杜绝一些违法犯罪行为的出现。

3结束语

综上所述, 网络信息安全是一个系统化的工程, 需要全面部署系统的安全需求, 对威胁到系统安全的因素进行辨别、分析、论证和评估, 采取多种应对措施综合防控潜在的风险, 提高从业人员的思想认识和信息安全管理水平, 健全相应的管理措施, 构建有效的信息安全防控体系, 建立一个安全、高效的信息网络系统为经济建设服务。

参考文献

[1]郝晓玲, 胡克瑾.信息安全评估方法与应用研究[J].情报杂志, 2003 (02) .

国家考试安全形势与风险规避 篇8

一、认清形势, 提高规避风险的认识

当前, 我国社会正处于转型时期, 在实现以工业化、城市化为标志的现代化的同时, 还要完成以计划经济为特征的总体性社会向以市场经济为特征的多元化社会的转变, 旧的社会资源分配体系、控制机制、整合机制正在趋于解体, 而新的体系与机制尚未完善并充分发挥作用。转型时期社会自身具有的脆弱性, 使我国面临诸多社会安全隐患, 如贫富差距过大、社会越轨和犯罪激增、传染病控制难度加大、道德失范、信任危机等。

由于我国是考试的发源地, 各种考试名目繁多, 是名副其实的考试大国, 从一定意义上来说, 考试承载了太多的社会功能, 考试功利性特点十分突出。在这一特殊的历史时期, 一向具有较高公信力的国家统一考试, 已经面临着越来越大的社会风险和安全隐患。主要表现为:一是考试作弊之风越演越烈。在考场上, 夹带、抄袭、交头接耳等传统作弊方法不仅没有退出历史舞台。而且方法和手段还在不断翻新, 同时手机、商务通、扫描与无线传输、网络甚至间谍器材等高新技术手段也竞相登场, 一些网络枪手、助考公司还明码标价, 有恃无恐, 开展五花八门的所谓“考试服务”。二是失密、泄密事件时有发生。近年来, 尽管各级考试机构采取了各种措施, 但是失密泄密现象还是屡屡见诸报端。如2007年进行的国家司法考试、卫生专业资格考试以及一级建造师考试等。三是部分考试工作人员丧失原则, 参与作弊。这是近年来威胁国家考试的重大安全隐患, 少数工作人员直接参与作弊, 滋生了新的“考场腐败”。

当前, 考试作弊呈现新的特点:一是人员复杂化。作弊者既有考试工作人员和参考人员, 也有社会其他人员, 有的作弊者之间彼此并不认识, 仅仅存在利益关系, 以金钱为纽带。二是环节多样化。从命题、制卷、试卷保管到考试报名、领卷、组织考试、监考、评卷、考试信息发布等一系列程序化的运作过程中, 都存在着作弊的空间。三是工具现代化。作弊工具从简单的考场传抄发展到现在普遍使用手机、对讲机、针孔摄像机等, 真可谓五花八门, 手段更加隐蔽。教育部考试中心主任戴家干于2005年5月28日向媒体透露:防止作弊光靠教育已不能适应新形势的要求, 矛盾双方的对抗手段也早已从道德层面延伸到技术层面。四是方式群体化。作弊方式由个体作弊、共同串通作弊逐步演化为有计划、有组织、有预谋的利用现代通讯工具群体性、团伙性作弊, 对社会的危害性也更大。五是目的功利化。考试作弊的目的表面上是为了提高考试成绩, 而成绩的背后则是为了获得一定的经济利益, 一些不法分子甚至将考试作弊作为生财之道。每逢国家考试之前, 就有一部分不法人员公开出售作弊笔、针孔摄像机、微型无线隐形耳机等作弊工具, 且销路不错;有的在高校校园或者公共场所张贴广告, 明码实价公开招聘或者应聘“枪手”, 甚至在一些城市出现了专找“枪手”的“中介公司”, 有的中介机构通过网络、QQ等形式明码标价包考试过关, 包获得考试真题或考试标准答案等。上述借考牟利的情况, 形成了看似繁荣的畸形“考试经济”, 在社会上造成了不良影响。

二、分析成因, 提高规避风险的信心

当前大规模考试面临如此严峻的安全隐患, 绝非偶然, 有其深层原因。

(一) 考试的高利害性是考试作弊的根本动力

在激烈竞争的现代社会, 考试其实就是一场竞技, 带有非常强的功利性和目的性。考试成绩及格与否或通过与否在很大程度上意味着成功与失败、荣誉与耻辱、奖励与惩罚, 正是考试的高利害性, 使得一部分人敢于铤而走险, 甚至孤注一掷。

(二) 人情社会是考试作弊滋生的温床

中国号称礼仪之邦, 人们习惯于建立各种人情网、关系网, 通过人情或关系办事, 这为考试作弊的滋生提供了沃土。有些考试工作人员或丢不起人情面子, 或经不起利益诱惑, 最后就会纵容、包庇甚至参与主导考试作弊。

(三) 缺乏有效的监督为考试作弊提供了空间

考试作弊泛滥的一个重要原因在于我们对各种形式的考试作弊缺乏有效的监督。当前考试管理中, 由于缺乏监督机制, 或机制不健全, 或机制可操作性不强, 或监督水平和技术跟不上作弊的水平与技术, 或考试监督不力, 使考试作弊有机可乘。尤其是考试工作人员作弊现象更加突出, 近年来出现的多起试卷泄密事件都是因为考试管理机构内部制度不健全, 监督制约机制疲软乏力, 致使监督上盲区频现, 给作弊者以可乘之机。

(四) 狭隘的考试观念助长了考试作弊之风

教育专家、上海交通大学教授熊丙奇认为, 考试作弊事实上已经构成泄露国家秘密罪。在我国许多法律条文中都可以找到相关的法律依据。他说, “对于白纸黑字的法律条文, 业界内外人士, 大多没有敬畏之心, 有法不依, 执法不严, 或者说, 考试法律责任的主体包括考试机构工作人员、考生及社会人员还没有从法律层面去认识考试作弊和考试作弊对社会的危害性”。大多数人法律意识淡薄, 对考试作弊不以为意, 认可同情考试作弊者。有的人甚至视考试作弊者为弱势群体。正是这些狭隘的考试观念助长了考试作弊之风的蔓延。国家教育部考试中心主任戴家干在回答记者和网友提问时说, “我们不应把考试作弊者当做弱势群体看待, 如果不对他们进行严厉处理, 对社会、对大多数人是不公平的”。

(五) 法规建设的相对滞后使作弊行为的处理缺乏刚性

由于我国尚未制定统一规范各类国家级考试的《国家考试法》, 人们对国家级考试中的作弊行为通常仅视为违纪行为。作为考试机构对考生及考试工作人员往往只是停留在考试诚信教育, 并进行必要的道德约束, 对考试作弊行为的处理也只是行政约束, 还远远没有上升到法律层面, 更谈不上涉嫌犯罪。虽然各级考试管理机构出台了一些规章制度及部门条例, 但由于法律效力较弱, 约束力不强使得对作弊行为的处理缺乏力度。

(六) 考试作弊风险成本过低让作弊者无所畏惧

多数考试作弊, 尤其是团伙性作弊均以营利性为目的, 作弊者所获得的利益往往大大高于作弊所付出的成本, 作弊者被抓后充其量受到考试纪律的处理, 仅伤其皮毛而未动其筋骨, 从而使作弊者无所顾忌。与此同时, 还带来一种令人倍感忧虑的情况, 即平时诚实应考的考生眼看作弊者屡屡得手而没有得到应有的处罚, 感到自己“吃了亏”, 久而久之也会自觉地加入到作弊的行列之中。如2007年“西安研考作弊案”, 这是一起涉及国家级考试的重大作弊案件, 但西安雁塔公安分局却以“治安处罚法和刑法没有明确条文”为由, 拒绝受理此案, 8名作弊者被释放。此事引起了社会的广泛关注, 《法制日报》还开辟专栏对“研考作弊案”是否构成犯罪的问题进行了激烈的讨论。其实, 这些年来, 不光是国家公务员考试、研究生考试, 其他国家级考试也常有类似情况发生。

三、强化对策, 加大规避风险的力度

长期以来, 我国的考试制度一直在严格的行政纪律约束下平稳地运行, 对考试报名、命题、制卷、试卷保管、监考、评卷、成绩核发等一系列程序化的运作始终强调加强纪律, 以防止和杜绝作弊。但是由于国家级考试作弊呈现出了许多新的特点, 考试安全形势日益严峻, 因此, 我们必须标本兼治, 软硬兼施, 重点加强考试管理制度建设、法制建设、技术建设, 进一步加强队伍建设, 打造诚信考试, 只有这样才能确保国家级考试安全、平稳有序地进行。

(一) 加强法制建设

据统计, 目前我国涉及考试的法律、法规和规章有3000多部, 其中绝大多数是部门规章和规章以下的规范性文件, 缺乏应有的权威性, 难以有效遏制肆无忌惮的考试作弊行为。国家考试是国家意志的体现, 也是关乎每一位参考人员的切身利益和社会稳定的大事。而考试作弊造成考试不公平, 并破坏整个社会的公平, 已经成为一种公害。因此必须认真对待和处理考试作弊问题, 将其纳入法律规范。一方面国家考试既要强调纪律层面和道德层面的规范, 更应当重视将其纳入立法的视野, 既要依赖于纪律、规章等制度的约束, 更需要法律的刚性规定。道理很简单, 考试纪律在很大程度上可以约束参考人员和考试工作人员, 却往往对考场之外的疯狂作弊者无能为力。因此, 单纯依靠行政纪律或规章制度管理和规范考试行为是远远不够的。另一方面由于考试已成为现代社会公民求生存、求发展的重要途径, 为了获取较好的考试成绩或者经济利益, 总有一些考生和社会人员不惜铤而走险。而我国的考试立法严重滞后, 对治理考试作弊和解决考试纠纷缺乏可诉性的法律依据, 考生的合法权益常常得不到及时有效的司法救助。传统的行政干预在解决严重的考试作弊和考试纠纷时往往捉襟见肘。因此, 从国家考试事业发展的长远要求考虑, 应尽快出台覆盖面更广、更有针对性的专门《考试法》, 通过立法和司法手段, 规范国家级考试的设立及运作, 提升考试的质量, 维护考试的公平与公正。

(二) 强化制度建设

考试工作是一项涉及众多环节并有众多主体参与的工作, 必须规范考试工作人员和应试人员的行为:一是必须严肃工作纪律, 严格工作程序。考试工作中的重要工作程序包括:考试命题工作程序、报名资格审查程序、试卷印刷程序、试卷运送与交接程序、考试施测程序、评卷与登分程序等。二是应制定相应的行为规则。包括试卷保管规则、报名工作规则、考试实施规则、考点考场设置规则、考场规则、监考人员守则、巡视人员守则、违纪处理规定、评卷登分规则、保密责任书等。三是建立相应的制度, 包括岗位目标责任制、保密制度、监督机制、回避制度、应急处理机制等, 明确行为失当应承担的责任, 并加大人事考试责任事故追究力度。

(三) 重视技术建设

1. 提高考试的技术设计水平。

通过对答题卡和试卷的设计和分配, 可以阻扰甚至切断抄袭者和被抄袭者之间的信息联系;在电子考试实施中, 基于大容量的电子题库, 通过为不同的应试人员生成内容不同的试卷, 可以杜绝应试人员之间的直接抄袭。

2. 提高考场的技术建设水平。

加强考场基础设施建设, 建立标准化考场, 提高考试管理的科技含量, 充分利用现代信息技术, 对考场进行监控, 可以创造一个“无法作弊”的考试环境。通过计算机随机编排考场、自动生成考场和准考证号与座位号, 可以将应试人员在一定范围内打散, 切断熟识人员之间的信息联系;将照片、指纹等身份信息数字化并进行采集, 可以逐步消除考试过程中的替考现象;利用视频联通, 建立统一的国家和省级考务管理与服务平台, 实现大规模考试网上巡查、应急指挥、考务综合管理、视频会议、考生服务、网上考试和诚信档案等功能;启用无线电信号监控巡逻车在考点外巡查, 可以及时查处可疑信号源;通过在考点实施电子屏蔽, 可以有效防止手机短信作弊等。

3. 进行考后技术分析。

随着客观题在大规模考试中的应用和光电阅读机在信息采集中的使用, 可以采集到客观题答题信息, 为考后对考场抄袭情况的分析提供信息基础。

4. 加大试卷保密室硬件建设。

运用网络、传输、存储、摄像集成技术, 建立试卷保密室远程监控系统, 做到试卷保密室一举一动均记录在案, 既能即时检查试卷保密室情况, 又可以随机抽查保密室24小时全程情况, 堵死一切可能发生试题泄密的源头。

(四) 狠抓队伍建设

严格的规章制度和严密的工作程序要靠人来实施、落实。尤其在我国当前考试法规还不甚健全的情况下, 更应发挥人的作用, 加强队伍建设。

在监考教师队伍建设中, 必须把好“三关”:一是把好选拔关。选拔那些责任心强、敢于坚持原则、廉洁自律、作风正派、业务熟悉的教师担任考场的监考员, 建立监考人员监考业绩档案库。二是把好培训关。强化对监考老师考风考纪教育和业务培训, 建立考务工作人员资格准入制度, 对其进行严格的法制意识、管理知识和考试专业知识训练。三是把好奖惩关。运用激励机制, 增强考试工作人员的光荣感和责任感, 把教师监考工作的业绩与各种人事政策挂钩, 对认真履行监考职责的监考员, 要给予表彰奖励, 在晋升职称、工资福利待遇等方面予以倾斜。

近年来, 在处理各类国家级考试作弊案件中, 有一个问题已经引起了广泛关注, 即相当数量的利用假证件作弊以及试卷泄密等案件都与考试机构工作人员有或多或少的牵连。国家级考试考务工作的实践也证明, 只有加强对考试工作人员的教育和管理, 增强其法制意识、纪律意识和责任意识, 细化每一个工作环节的规范管理和操作程序, 才能从源头上解决替考等严重考试作弊案件的发生。因此, 要有针对性地在考试工作人员中创造性地开展政治教育、法制教育、警示教育和业务培训, 教育和引导他们树立强烈的责任意识、安全意识、服务意识、大局意识, 鞭策他们时刻保持清醒的头脑, 要经得起人情关和金钱关的考验, 切实改进思想作风和工作作风。

(五) 加大考试风险成本

所谓“风险成本”是指人们采取某种行为的危险程度和可能付出的代价。如果某种行为的风险成本很低, 而可能得到的效益很高, 就会有很多人选择这种行为。风险成本的高低在一定程度上决定着人们的行为路径与方式。国家考试作弊的风险成本主要表现在两个方面, 一是作弊行为人实施作弊行为之后被追究法律责任的可能性的大小。二是考试作弊行为人被查到之后所受到的法律追究和惩罚的严厉程度。

浅析企业信息安全风险与对策 篇9

关键词：企业,信息安全,风险,对策

1 企业信息安全风险的现状

1.1 企业信息安全管理机制不健全

在社会法律法规、技术监管、安全标准等方面还存在诸多的不完善之处, 同时, 由于企业信息管理是一个不断发展的动态过程, 企业的网络安全软硬件技术、管理人员的保密意识以及对商业间谍的防范措施等都会影响到企业的信息安全[1]。从总体上来讲, 信息安全管理机制的缺失是企业信息安全面临的最大问题。

1.2 企业信息安全技术不足

现代信息安全技术是以密码技术、病毒技术、数据恢复技术、操作系统维护技术、数据库技术以及网络技术等所组成的系统技术[2]。而由于企业对相关技术的认识和技术管理人才培养的局限性, 导致在计算机信息应用过程中难免会出现一些漏洞缺陷。另外, 在面对外部信息窃取攻击行为时, 部分安全技术管理人员防范能力较弱, 不能从根本上抵御黑客的攻击, 这就导致企业的信息安全完面临严重的泄密危险。

1.3 企业员工缺乏安全管理的责任心和防范意识

目前, 企业信息安全事件最突出的便是信息泄密, 其主要表现为员工的无意泄密、故意泄密以及离职后信息资源的自我利用, 可以说, 企业内部的信息安全风险远远大于外部风险。然而, 针对内部信息安全问题, 企业却并无一个全面、系统、有效的保障体系, 尤其是在员工责任心建设以及信息安全防范意识建设方面, 一直是企业信息安全体系建设的弱点所在。

2 企业信息安全风险的对策

2.1 网络安全

2.1.1 保证安全的外部人员连接

在日常工作中, 外部合作伙伴经常会提出联入企业内网的需求, 由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准, 因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY及全面管控外部单位的网络接入等。

2.1.2 远程接入控制

随着VPN技术的不断发展, 远程接入的风险已降低到企业的可控范围, 而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY, 动态口令牌等硬件认证方式的远程接入要更加的安全。

2.1.3 网络划分

在过去, 企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟, 非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSEC技术[4]有效提高企业网络安全, 实现对位于公司防火墙内部终端的完全管控。

2.1.4 网络入侵检测系统

网络入侵检测系统作为防火墙的补充, 主要用于监控网络传输, 在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备, 入侵检测系统能有效防控企业外部的恶意攻击行为, 随着信息技术的发展, 各大安全厂商如赛门铁克, 思科等均研发出来成熟的入侵检测系统产品。

2.1.5 无线网络安全

无线网络现在已遍布企业的办公区域, 给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全, 信息管理部门需要使用更新更安全的协议 (如无线保护接入WPA或WPA2) ;使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。

2.2 访问控制

2.2.1 密码策略

高强度的密码需要几年时间来破解, 而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害, 企业必须制定密码策略并利用技术手段保证执行。

2.2.2 用户权限管理

企业的员工从进入公司到离职是一个完整的生命周期, 要便捷有效地在这个生命周期中对员工的权限进行管理, 需要企业具有完善的身份管理平台, 从而实现授权流程的自动化, 并实现企业内应用的单点登陆。

2.2.3 公钥系统

公钥系统是访问控制乃至信息安全架构的核心模块, 无线网络访问授权, VPN接入, 文件加密系统等均可以通过公钥系统提升安全水平, 因此企业应当部署PKI/CA系统。

2.3 监控与审计

2.3.1 病毒扫描与补丁管理

企业需要统一的防病毒系统和终端管理系统, 在终端定期更新病毒定义, 进行病毒自扫描, 自动更新操作系统补丁, 以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端, 或对终端进行定制, 在终端接入企业内网时, 终端管理系统会在隔离区域对该终端进行综合评估打分, 通过评估后方能接入内网。才能保证系统的安全策略被有效执行。

2.3.2 恶意软件防控

主流的恶意软件防控体系主要由五部分构成:防病毒系统; 内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。

2.4 培训与宣传

提高企业管理层和员工的信息安全意识, 是信息安全管理工作的基础。了解信息安全的必要性, 管理层才会支持信息安全管理建设, 用户才会配合信息管理部门工作。利用定期培训, 宣传海报, 邮件等方式定期反复对企业用户进行信息安全培训和宣传, 能有效提高企业信息安全管理水平。

3 结束语

当前, 越来越多的企业已经把信息安全看做影响业务发展的核心因素之一, 信息安全管理已经成为企业管理的重点。本文对信息安全政策, 安全管理手段等方面进行了剖析, 结合当前国际主流的信息安全解决办法, 为企业做好, 做强信息安全管理体系给出了一些通用性的标准, 对企业构建信息安全管理体系, 消除信息安全隐患, 避免信息安全事件造成的损失, 确保信息系统安全、稳定运行具有探索意义。

参考文献

[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学, 2012.

农网工程安全风险分析与管理 篇10

关键词：农网工程,安全风险分析,管理研究

引言

随着中国特色社会主义现代化建设的发展, 人们的电量需求不断的增加, 而在市场经济环境中, 供电企业要想获得最高的利益并且在市场中占有一席, 就要不断地提高电网工程的质量, 减少不必要的浪费, 而对电网的安全风险的分析有利于减少不必要的浪费。而在农村电网的工程建设中, 存在着比较多的安全隐患问题, 为了减少这些安全隐患问题, 供电企业要找专门的人员对农村电网中的安全隐患问题进行风险分析, 这样可以保障农村电网的安全, 可以大大的提高供电企业的经济效益以及社会效益。

1 对农村电网的安全风险的分析

把握好问题的各个环节是最先要做的工作, 才可以知道这个问题是在哪个环节发生, 更好地解决这些问题, 同时防止问题再次发生, 在农网工程的建设中也是同样适用的, 以下几个环节是对农网建设中存在的安全风险进行分析:

1.1 农村电网工程开展前

农村电网工程在施工之前, 要有专门的工作人员制定一个比较好的方案, 这个方案要包括电网线路经过的地方以及其他的一些信息, 同时可以根据这些信息制定一个农村电网施工计划。这份计划一定要尽可能的详细全面, 这样可以提高工程的预见性, 这样就可以大大的减少一些不必要的安全隐患问题, 同时也可以提前做好防范准备。在这个阶段, 相关工作人员进行分析, 把一些可能出现的问题写下来, 同时想出有效解决这些问题的方法, 如果在施工过程中出现这些问题的话, 就可以有备无患了。同时也可以减少一些不必要的成本费用, 大大的使农村电网工程的进度提前。

1.2 农村电网工程施工期间

不论是农村电网建设工程项目还是其他的有关的工程项目, 安全是首先要关注的, 必须把它放在第一位, 这个阶段比施工开展前的准备阶段更为重要, 同时要考虑的问题更加的多并且要更加全面, 例如施工人员在施工过程中的安全问题, 农网工程建设本来就是为人服务的, 在建设过程中要注意人的安全, 这样可以减少事故纠纷问题, 减少一些成本费用。与此同时, 还有在农村电网建设施工过程中那些机械是否安全, 如果机械不安全的话, 主要表现在机架是否稳固, 这也是为了保障施工人员的安全, 同时也可以大大的提高农村电网工程的质量。

1.3 农村电网工程竣工后

农网工程在竣工之后, 就需要其他有关部门对农村电网进行后期管理工作。但是有关的维修管理的部门单位在这个时期会认为如果在前期电网的使用材料好, 工程也好的话, 就不需要太过关注这个电网。可是, 线路就跟人的皮肤一样要不定期的进行维护, 这样才能够保证线路可以比较长久的使用运行, 如果没有维护好的话, 可能会导致电线的短路等等现象的出现。所以由上可知, 即使在竣工后, 农网也需要有专业的人员进行专业的维护, 只有这样电网才能够更好地为人服务, 为供电企业增加经济效益。

2 农村电网安全工程的安保体系和监管的状况分析

2.1 农村电网工程安保体系的建立方面

农村电网建设过程中存在着安全风险, 需要供电企业组织相关的人员成立监督小组对农网工程建设进行安全保障。与此同时建立专门的工作组处理农网工程建设中的相关问题, 保证在农网建设过程中发生的事有人管, 使得农网建设的顺利开展。但是这个安保体系仍然存在着一些问题, 主要是以下几个: (1) 自2008年开始, 农村电网建设项目在不断的增加, 使得在管理方面存在着一些小瑕疵。由于管理人员缺乏对一些问题的管理, 会大大的增加建设风险。 (2) 农网建设要管的东西太多, 导致对安全的管理力度不够。

2.2 农村电网工程监管方面

保障农村电网建设工程安全的两个方面之一的监管方面, 对于保障农村电网安全是非常有用的。对农村电网的监管可以保证线路的正常的运行, 并且可以及时地发现问题。但是在有些农村地区由于缺少专门的监管人员, 这会大大的提高农村电网的安全隐患。

3 对农村电网工程安全问题的建议

农村电网在建设的时候需要相关的部门进行考察, 监管, 所以说, 相关部门的人就必须要负责任, 如果不够负责, 就会不仔细不认真, 导致农网建设中会出现安全隐患问题。因此, 要不断的提高工作人员的责任意识。同时为了保障农村电网建设的安全, 要做到以下几点:

3.1 要科学的预见农村电网建设中存在的问题, 不断地提高相关人员的责任感

在农网建设过程中可能会出一些安全问题, 所以, 这就需要相关人员科学的预见农网建设中存在的安全风险问题, 这同时需要工作人员对农网建设的各个环节非常的了解, 为了保障施工人员的安全以及后期使用过程中的安全, 这就需要上述三个环节的工作要非常的安全。与此同时工作人员要不断的提高自己的责任意识, 知道这是关乎人们日常生活的, 并且与施工人员生命有关的, 这就要不断加强监管、以及勘测等等。

3.2 不断地提高农村电网建设的质量

预见问题仅仅是农村电网建设工程中的一个保障安全的工作, 目前在农网工程安全风险因素并不一定是所有的都可以被预见的, 所以说, 供电企业的项目管理部门和安监部门人员需要有目的性地对农村电网建设过程中存在安全问题以及造成这些安全问题的因素进行认真和彻底的调查: (1) 有专门的部门来组织人员进行相关的调查, 最好是通过农村电网建设工程领导小组, 来检查农村电网建设中存在的安全问题, 检查的时候要有目的性和针对性, 不断地提高检查的力度和效度。 (2) 是要求工作人员通过持续改进排除农村电网建设过程中存在的安全风险因素, 这是由于在施工的时候会有很多不明确的影响因素, 会使得产生一些其他的不安全的风险, 并且它可以在任何时间发生。所有, 它需要定期或不定期由相关人员对农村电网建设工作进行了仔细的调查来排除在农村电网建设中存在的安全风险因素。 (3) 相关部门要建立一个常态机制去对农村电网建设中的安全风险因素进行排查, 实现无死角、全覆盖。此外, 不断地提高工程的质量, 这是供电企业要重点的关注的。

3.3 农村电网工程建设一定要保证安全

农村电网建设是为人服务的, 在建设施工的过程中一定要保障安全, 只有不断地加强农网建设工程的过程安全管控, 才能够保障农村电网的顺利施工。在这个环节不能够有一点侥幸心理, 相关部门要组织相关的工作小组对农村电网建设工程中存在的安全隐患问题进行排查, 这样可以减少在施工中出现的安全事故, 大大的提高提高施工人员的工作积极性, 不断地提高工程的质量。保障农网建设的安全进行。

3.4 农村电网建设中存在的一些违章行为一定要严厉查处

在农村电网建设中, 由于工程量大, 承建的外包施工单位较多, 管理水平、施工人员素质参差不齐, 在施工过程中出现不同程度的违章行为, 为农村电网建设带来了潜在的安全风险。虽然违章不一定会酿成事故, 但事故必然存在违章。所以要总结以往农村电网建设中存在的问题, 从中吸取经验教训, 不断地提高工作人员对农村电网建设中安全问题的科学预测。同时严厉查处农村电网建设中存在违反安全工作规程规定的行为, 从而能够确保农网电网建设施工安全。

4 结束语

通过以上的分析, 在农网工程建设中存在着比较多的安全隐患问题, 这就使得专业人员来排查这些问题, 正如我国现任主席以前说的那样“安全工作永远在路上”, 于此可知, 安全隐患风险在农网工程建设中是存在的, 但是这个安全风险是可以降低的, 但这就使得供电企业的专门人员要重视这些问题。只有做好这些事情, 才能够使得农村电网能够更加的安全, 更好的为人们的生活和工作服务。

参考文献

[1]李春鹏.高密市110k V姚哥庄农网改造工程风险评价研究[D].华北电力大学, 2012.

[2]董华杰, 刘振华.农网工程安全风险分析与管控措施浅谈[J].硅谷, 2014, 22:166+159.

[3]郭晓东.浅谈农网工程安全风险分析与管控措施[J].科技创新与应用, 2015, 35:175.

[4]黄贵, 杨剑.农网工程安全风险分析与管控措施[J].农村电工, 2013, 10:4~5.

[5]李俊松.基于影响分区的大型基坑近接建筑物施工安全风险管理研究[D].西南交通大学, 2012.

[6]刘海印.农网管控系统工程安全管理系统分析与设计[D].云南大学, 2013.

安全与风险 篇11

关键词：建筑业；建筑施工项目；风险管理

1.引言

随着科技的飞速发展和人们生活节奏的不断加快，社会环境瞬息万变，各大型工程项目所涉及的不确定因素日益增多，面临的风险也越来越多，风险所致损失规模也越来越大，这些都促使科研人员和实际管理人员从理论上和实践上重视对工程项目安全管理的风险管理。

2.建筑施工安全风险控制

2.1建筑施工安全风险控制的原则

通过风险评价，确定了风险等级，就需对不同等级的风险采取不同的控制措施。采取风险控制措施的一般原则是：（1）消除风险、降低风险、个人防护；（2）预防措施、保护措施、应急措施；（3）对极不可承受的风险要禁止作业，对重大风险要立即整改，对中度风险要限期整改，对轻度风险要加强监测和保护，对尚可忽略的风险，稍加注意，不必采取措施。

2.2建筑施工安全风险控制的方法

〖JP3〗建筑施工安全风险控制的一般方法有：确定安全目标、指标，组建机构，落实职责；制定管理方案，包括管理措施和技术措施等；制定程序文书、作业指导书、操作规程、作业规范、管理制度等必要的文件；加强监督、检查、测量及测试；对危险作业、危险设备、危险场所，加强运行控制；组织员工培训，提高从业人员特别是关键岗位人员的安全意识和工作能力；发现事故苗头、隐患，及时分析原因并采取纠正和预防措施。〖JP〗

2.3建筑施工安全重大危险源控制

贯彻国家《安全生产法》，建立“企业负责、国家监察、行业管理、社会监督”的安全生产管理体系；落实建设施工安全责任制，有效开展城市建设施工安全管理。

制订和实施现场大型施工机械安装、运行、拆卸和外架工程安装的检验检测制度。

开展施工安全重大危险源的辨识和项目施工安全风险评价，对可能影响社区安全的施工项目进行城市建设施工安全重大危险源登记。重大危险源登记的主要内容应包括：工程名称、危险源类别、地址（地段）、建设开发单位、施工单位及联系人、联系办法、重大危险源可能造成的危害、施工安全主要措施和应急救援预案（工作）。

建立城市建设施工安全（政府的）和项目施工安全（企业的）联动应急救援预案和运行机制。

制订和实施对项目施工安全承诺和现场安全管理绩效考评（评价）制度。促使企业建立和完善施工安全长效机制。

3.建筑施工安全管理模式分析

建筑施工安全生产管理模式创新的思路是：以法律制度为基础，以事故防范为目标，以企业自我约束为主体，以科技进步和管理方式现代化为手段，以强化宣传教育、提高职工素质为保障，以遏制或减少重特大事故为重点，以不断健全和完善政府监督管理机制为关键的现代安全生产管理模式。为此，要做好以下几个方面的建设。

3.1管理方式的创新

转变观念，实质是使主观认识符合不断发展变化的客观实际，适应新形势的要求，在安全生产监督管理方式要有所创新。一是要实现从事后查处的被动型管理向事前预防的主动型管理转变。今后安全生产监管工作的重点应放在重特大事故隐患、重大危险源的预防控制、治理和整改上。简言之，就是防患于未然。二是要实现由经验型管理向技术型、专业化管理转变。过去，安全生产的管理更多的是凭借经验的积累，规章制度的约束等。诚然这种管理方式起到一定作用，但是，随着当今生产社会化和专业化的迅速发展以及产业分工的日益技术化，这一传统管理方式，无疑已不适应时代的要求，应更多地依靠先进技术和专业化、职业化队伍来实施有效的监管。三是管理客体应由单一所有制企业为主的“小安全”管理向全社会企业的“大安全”管理转变。一方面，随着计划经济体制向市场经济体制的转变，非公有制经济已成为社会主义市场经济的重要组成部分。另一方面，近年来发生的重特大事故大都集中在乡镇、私营企业。为此，安全生产管理方式必须适应经济市场化和所有制结构的新变化及事故多发的特点，即由过去只注重对国有企业的管理转向对各种所有制企业，尤其是要强化对非公有制中小和外资企业的安全生产监督管理工作。

3.2管理手段的创新

科学技术是第一生产力。当今世界科学技术在生产力和经济发展中的作用日益突出。要实现安全生产的根本性改善，必须紧紧依靠科技进步，大力发展安全科学技术，从硬件上做到本质安全，从本质上为遏制或减少重特大事故发生提供技术手段，使企业的安全生产转移到依靠科技进步的轨道上，大力采用先进的科技成果，淘汰落后的施工技术、工艺和设备，从而减少伤亡事故的发生。今后安全科学技术研究和发展的重点：一是在控制重特大事故与职业病危害的关键技术上要有所突破，力争重点解决一些带有共性和全局性的关键技术问题；要抓好重大危险源监控和重特大事故隐患整改研究。二是加强安全生产的技术基础工作，推进安全生产工作的信息化建设。健全安全生产信息网络和安全生产信息與事故统计网络体系。三是实施安全科技示范工程，推进安全科技成果产业化。重大危险源的普查、评估与监控，企业职业危害风险分级与分级管理，新型、多功能安全防护用品的开发生产等将作为实施示范工程的重点。

3.3企业制度的创新

从微观层次上看，企业是国家经济的细胞，是先进生产力的载体和经济增长的主体。安全生产工作的落脚点是企业。企业安全生产管理制度的创新是安全生产宏观管理制度创新的基础。只要企业的安全生产管理工作做好了，安全生产形势就有一个根本性的好转，生产力的发展就有了基本的保障。当前，要逐步实现企业经营管理者和员工从“要我安全”向“我要安全和我会安全”转变，并形成企业安全生产的自我约束和激励机制。为此，一是要适应经济全球化的要求，按照国际规范建立企业职业安全卫生管理体系。另一方面，借鉴发达国家的经验，强化企业安全管理，提高企业安全管理水平，是建立现代企业制度的重要内容，也是确保企业安全生产，提高企业国际竞争能力的重要措施。二是建设项目必须进行劳动安全卫生预评价工作。开展建设项目劳动安全卫生预评价是建设项目前期工作的必经程序，是安全生产监督管理工作中的一项基础性工作，是建设项目做到本质安全，不留事故隐患，从源头治理事故发生的重要保证之一。今后新建、改建、扩建的工程建设项目，必须进行劳动安全卫生预评价，以保证安全生产设施与主体工程同时设计、同时施工、同时投产使用，不给安全生产留下隐患。凡应进行预评价而未进行评价的建设项目，没有开工或没有竣〖JP3〗工的建设项目应立即进行预评价，已经竣工投产的建设项目必须对其安全状况进行综合评价，存在安全生产隐患的必须限期整改。未进行预评价的建设项目一律不予批准开工建设，未经预评价或评价不合要求的竣工项目应停止生产运行。三是加快市场经济条件下安全生产中介组织的发展，建立和健全安全生产认证、咨询和服务体系。

此外，企业应根据自身的特点，利用多种方式创造各具特色的企业安全文化，使职工在心理、思想和行为上形成安全生产的自我意识，创造安全环境氛围。加强车间班组的安全文化建设，倡导清洁生产、文明生产、安全生产。当前，应突出抓好企业经营管理者，尤其是非公有制企业和乡镇企业法人代表的安全教育和培训。同时，应加强对职工上岗特别是特种工种人员的培训和教育。企业要建立安全生产现代管理机制，树立良好的安全生产形象，以增强市场竞争能力，从容应对国际经济一体化的挑战。（作者单位：南京永业建筑安装有限公司）

参考文献：

[1]丁传波.施工企业安全评价研究，建筑技术.2004.

[2]魏安能.建立建筑施工安全保证体系的构想，建筑安全，2005.

云计算安全威胁与风险分析 篇12

作为一种IT服务的趋势,云计算正在被广泛地推广、应用,同时也遇到很多问题,亟待解决,其中最受关注的就是安全问题。对云计算面临的安全威胁与风险进行分析,有助于认清云计算的利弊,充分利用云计算的优势,并采取适当措施避免损失。

本文首先介绍了云计算的分类与发展,阐述了当前云计算的安全状况,并在调研众多云计算安全威胁与风险分析的资料后,结合实际工作经验,指出了云计算中特有或影响更明显的几类风险,并给出相应的对策。

2 云计算的发展与安全现状

对云计算的定义比较多,本文选取了比较中肯、全面、系统的NIST(National Institute of Standards and Technoligy,美国国家标准技术研究院)定义:云计算是对基于网络的、可配置的共享计算资源池能够方便地随需访问的一种模式。其中,资源池包括网络、服务器存储、应用与服务。

云计算的基本特征包括虚拟化的资源池,基于网络的访问,按需自助式服务,快速、弹性,使用成本可计量,本文讨论的云计算安全威胁与风险就与这些特征有关。云计算的交付模式指从用户体验的角度来讲,可分为三种服务模式:以基础设施作为服务(Iaa S);以开发平台作为服务(Paa S);以软件应用作为服务(Saa S),不同服务模式的安全与风险亦存在差异。

谷歌在2007年10月宣布了全球的云计划,但在云计算服务领域起步较早的却是电子商务公司亚马逊(Amazon.com),其于2007年起提供了名为弹性计算云EC2(Elastic Computing Cloud)的服务,让小软件公司可以按需购买亚马逊数据中心的处理能力。紧随谷歌、亚马逊之后,IBM、英特尔、AMD、微软等IT巨头纷纷进入云计算及虚拟化领域。

当前,中国云计算产业经过导入和准备阶段后,产业生态链的构建正在进行中,在政府的监管下,云计算服务提供商与软硬件、网络基础设施服务商以及云计算咨询规划、交付、运维、集成服务商,终端设备厂商等一同构成了云计算的产业生态链,为用户提供服务。到目前,北京、天津、青岛、济南、南京、上海、无锡、杭州、成都、重庆、深圳、佛山等地都建立了大型的云计算中心。

在云计算如火如荼的发展与应用中,也出现了不少问题。根据IDC的调查,安全问题一直是云计算中最受关注的焦点问题之一。国内的报告也有类似的结论,调查的受访对象表示出于“对技术安全性方面的担忧”阻碍其迁移到云计算平台。

实际上,近年亚马逊、谷歌、微软等大型云服务商不断爆出各种安全事故,更加剧了人们的担忧。如2009年3月,谷歌文档云服务(现在的云端硬盘)发生大批用户的个人文件外泄事件;2009年7月、2010年2月和2011年7月,谷歌App Engine因故障意外宕机数小时;2012年4月,谷歌云服务之一Gmail故障,影响到3300多万用户。2009年2月和7月、2011年4月和8月,亚马逊云计算服务多次中断,导致其托管的网站如回答服务Quora、跟踪服务Four Square瘫痪。2011年5月,微软云交换在线、云托管套件服务都出现了故障,其北美的客户都受到影响;2012年2月底,微软云计算平台Windows azure部分服务因为闰年设置问题导致所有集群的服务管理功能被禁用。

因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的安全问题。

3 云计算安全威胁与风险分析

这里的安全威胁指某些人、事或物对云计算平台中的数据保密性、完整性、真实性,资源的可用性,事件的可审查性产生的危害。风险则指由于云计算平台存在的脆弱性,人为或自然的威胁导致安全事件发生以及由此所造成的影响。

下边分析的安全威胁和风险,主要是云计算中特有的,或者是在云计算中表现更突出的问题。每类威胁与风险分析都包括描述、影响、实例以及对策。

3.1 云服务的对外接口或API函数存在漏洞的风险

服务提供商通过软件接口或API函数让客户与云平台进行交互,在公共云中,客户通过互联网访问云平台上的资源。这些接口能控制大量的虚拟机,甚至有提供商用于控制整个云系统的操作接口。一些第三方组织基于这些接口为客户提供增值服务,这更增加了层次化的API复杂性。远程访问机制及Web浏览器的使用也增加了这些接口的漏洞存在并被利用的可能性。亚马逊2011年10月就修补了其EC2服务上的一个控制接口的加密漏洞,该漏洞能被黑客用于创建、修改和删除镜像,并能修改管理员密码等。

对策:云服务提供商应全面审查接口设计模式是否安全;API相关的依赖链应该清晰;API中对数据传输使用加密机制;确保强度足够的用户认证与访问控制。云服务客户只使用推荐的接口或API,禁用被摒弃的接口。

3.2 资源共享引发的风险

云计算是资源池化的,多租户与资源共享是其重要特征。云计算中使用硬盘分区、CPU缓冲等机制,而为了保证可动态扩展,云计算中的计算能力、存储与网络资源在多用户间共享,这些都难以保证良好的隔离性。这种风险会导致云平台中某租户的恶意行为影响到同个环境下其它租户的声誉,或者攻击者能对共享环境下的其它用户数据进行非法操作。如2009年,由于发现有大量垃圾邮件发出,反垃圾邮件组织Spamhaus把亚马逊整个美国的EC2平台IP地址均列入黑名单。另外,云计算为实现资源池化使用了虚拟化技术,黑客可利用虚拟机管理系统自身的漏洞,入侵到宿主机或同个宿主机上的其它虚拟机。当前已有黑客演示了基于虚拟机Hypervisor的rookit攻击即blue pill;2009年黑客大会上的Cloudburst也演示了其能利用VM ware中显示函数的漏洞实现对宿主操作系统的攻击。

对策:增强对计算、存储和网络的安全监控,使用高强度的划分和隔离机制,防止一个用户访问另一个用户正在活动的或残留的数据,提升对管理性的访问或操作的验证与访问控制,定期实施漏洞扫描与配置审计等。

3.3 存储与传输中数据丢失或泄露的风险

云计算环境中,大量客户资源、财务数据、关键业务记录等重要的私密数据被集中存储和相互传输。在未做备份的情况下对数据删除、修改,把数据存储于不可靠的介质上,密钥的丢失导致数据无法解密,发生意外灾难但缺乏合适的备份与存档,都可能带来严重的数据丢失事故。如2011年10月,阿里云服务器磁盘错误,导致Team Cola公司的数据丢失;由于管理员操作失误,2011年3月,15万谷歌用户的邮件与聊天记录丢失。另一方面,云计算使用分布式架构,意味着比传统的基础设施有更多的数据传输,同步分布在不同机器上的镜像,云基础设施与远程Web客户端通信,信息在云间交换,当加密强度不够的数据在传输时,攻击者能通过实施嗅探、中间人攻击、重放攻击来窃取或篡改数据。

对策:进行集中化的身份认证,对数据访问进行分级管理及详细记录。对传输的数据使用HTTPS或基于SSL的VPN进行高强度的加密。正确的使用数据快照、多地点冗余与容灾技术等。

3.4 云计算服务被不法分子利用的风险

出于抢占市场或其它目的的考虑,某些云服务提供商对登记流程管理不严格,云服务较容易获得。不法分子能以很低的成本,利用云计算平台发送大量垃圾邮件、制造或托管恶意代码、大规模的破解密码、实施DDOS攻击、制造及管理僵尸网络等。如有报道指出,亚马逊EC2被用于Zeus僵尸网络、Info Stealer木马、微软Office与Adobe PDF的漏洞攻击等恶意代码的托管;2011年4月,黑客利用亚马逊EC2服务对索尼的Play Station Network及Online Entertainment服务进行攻击,导致这些网站多次长时间下线,大量用户的私人信息被泄露。此外,黑客在窃取合法用户的证书后,能窃听后者的活动与交易,修改数据,返回伪造信息,并把后者的客户重定向到不合法的站点,即出现云计算中合法的账户或服务被劫持的情况。这样,云计算环境成为黑客的一个很强大的攻击平台或有利可图的活动场所。

对策:云服务提供商在客户注册时加强后者的合法性验证,尽量全面的审查客户及内部的网络流量情况以避免恶意利用,尽量采用强度更高的双因子认证。

3.5 被特定云平台锁定的风险

目前,没有能保证云计算数据、应用或服务实现可移植性的通用标准,这使用户难以做到跨云的迁移。当云提供商破产或倒闭时,这种数据被锁定的结果是灾难性的,即使到时能迁移,其成本也是非常昂贵的。可以说,客户存储越多数据到云中,被锁定的数据会越多,风险会越大。如Saa S中,客户数据存储在云提供商设计的数据库中,导出的数据格式不一定能导入到其它提供商的数据库中。Paa S中,不同提供商间存在API层面的兼容问题。Iaa S中提供商内部的云环境间移植问题不大,但实现不同供应商订制的云环境间的移植,还需要像OVF(Open Virtual Format)这种开放标准被支持。

对策:将云计算相关研究机构联合起来,尽快制订保证云中数据可移植性的工业标准,而有些新的云计算厂商则以较成功的如亚马逊平台为标准。云客户应该要求在合同中写明数据被锁定后的解决方案。

3.6 来自法规遵从的风险

使用云计算可能不满足某些工业标准或法律规定的需求而产生矛盾或纠纷:有些法规要求特定数据不能与其它数据混杂保存在共享的服务器或数据库上;有些国家严格限制本国公民的私密数据保存于其它国家;有些银行监管部门要求客户将数据保留在本国等。从某种程度上来说,使用公共云就不能达到PCI DSS(支付卡行业安全标准)的要求。如亚马逊公司曾告诫客户不要提供支付卡行业标准的服务,直到2010年底,才声明其某些云平台已满足PCI DSS合规性要求。

对策:在云平台建设前做好相关法规的调研,并切实遵守实施。云客户对数据有特殊要求时,不得使用不遵守相应特殊法规的云平台。

3.7 调查、审计的风险

云计算中,计算、存储、带宽服务可在全球范围内跨国获取,而用户提供的账户信息可能是伪造的,加上不同国家和地区对违法行为的取证需求不尽相同,因此对基于云计算平台的网络犯罪行为很难进行追查。当平台中的资源来自多个、多层次的第三方供应商时,溯源更为困难。另一方面,云计算平台存储有多家客户数据,在调查取证过程中,供应商不一定配合,如果配合,将给其它客户的业务带来风险。如谷歌多次向美国政府提交维基解密志愿者的邮箱数据,这意味着Gmail的用户存在隐私被泄露的风险。再者,在资质审计的过程中,服务商未必提供必要的信息,使得第三方机构不一定能对服务商进行准确的、客观的评估。

对策:需要研究并使用更合理的第三方审计与隐私保护机制。

3.8 其他风险

除了以上七类风险,云计算中还有影响较大的安全威胁与风险。

1)存在有恶意企图的内部人员带来的风险。尽管对于大多数组织来说,存在有恶意企图的内部人员都是有可能的,但在云计算模式下被增强了,因为在这种场景下,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让他能获取敏感数据甚至得到整个云服务平台的完全控制权,但难以被发现。这要求云服务提供商加强对雇员的审查,把整个信息安全与管理操作透明化。

2)云服务平台长期发展的风险。在IT市场的激烈竞争下,在政策的变化下,由于不充分的商业战略或资金缺乏,将导致一些提供商破产或被大公司收购,云服务因此可能被中断或变动。

3)管理、控制不全面的风险。客户把大部分数据控制权交给了提供商,但服务水平协议中不可能面面俱到地详细指明提供商对各安全问题的承诺。更进一步的云提供商可能把服务外包给第三方,而后者很可能不提供在服务水平协议中指出的问题的保证。不过,这种风险对Iaa S影响大,对Saa S的影响小。

4)不是云计算特有的或者影响较小的安全威胁风险还包括:恶意用户与黑客的集中性攻击,云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。

4 结束语

与传统数据中心服务相比,云计算具有诸多优点如规模化效益,能实现快速、智能的资源扩展等。但也要意识到文中分析的这几类安全威胁与风险,采取适当的措施,扬长避短,让更多的应用受益于云计算服务。

参考文献

[1]NIST.SP800-144:Guidelines on security and privacy in publiccloud computing[R],2005.

[2]Cloud Security Alliance:Security Guidance for Critical Areas of Focus in Cloud Computing V3.0[R],2011,https://cloudsecurityalliance.org/csaguide.pdf.

[3]ENISA:cloud computing benefits risks and recommendations for information security[R],2009.

[4]Cloud Security Alliance:Top Threats to Cloud Computing V.10[R],2010,https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf.

[5]IDC:New IDC IT Cloud Services Survey:Top Benefits and Challenges[R],2009.http://blogs.idc.com/ie/?p=730.