保障安全(共12篇)
保障安全 篇1
1. 前言
随着信息技术的飞速发展和网络技术在各行业的广泛应用, 世界各国的信息化取得了飞速的发展。信息系统在国民经济和社会信息化的背景下, 提高了办公效率, 改善决策和投资环境, 为信息管理、服务水平的提高提供了强大的技术支持。同时, 由于其信息系统的开放性, 针对信息系统的信息安全事件也频繁发生, 安全威胁越来越严重, 信息系统的信息安全问题已成为世界各国重点关注和亟待解决的问题。
世界各国为了解决信息系统的安全问题, 普遍采用了检查、评估等方法来保证信息系统的安全性, 并建立了相应的法律、标准、规范等, 其中以美国的信息安全检查指标体系最具代表性。我国一些关系到国计民生的重点行业为保证信息系统的安全性, 也采取了安全检查的方法来保证信息系统的安全性。
2. 国外信息系统安全检查评估现状
美国联邦信息安全管理法案 (Federal Information Security Management Act, FISMA) 要求联邦各机构对每一个系统实施“定期的有效性测试与评估, 考察信息安全的策略、流程与措施。评估的频率视风险而定, 但不能少于每年一次”。这种评估包括对管理、运行和技术类控制的测试。该条款不要求联邦机构实施国家标准技术研究院 (National Institute of Standards and Technology, NIST) 的认证和认可指南中所需要的复杂的测试, 而是要求维护一个持续不断的风险评估过程, 以确保安全控制能将风险维持在一种可接受的级别上。该条款还强调了对各系统安全状态的了解, 以便正确地维护系统级的行动和里程碑计划 (Plan of Action and Milestone, POA&M) , 并要求在每年度准确地报告各机构IT安全项目的总体态势。
年度FISMA检查的广度和深度依赖于多种因素。
1) 可接受的风险级别以及系统或信息遭受危害的程度;
2) 系统配置和设置得到在案记录以及持续监督的范围;
3) 补丁管理的实施范围;
4) 最近一次检查的相对综合性;
5) 作为系统认证和认可的组成部分的最近一次深度测试与评估的时间。
行政管理和预算局 (Office of Management and Budget, 以下简称OMB) 在每年夏季公布上一年7月1日至下一年6月30日 (一个会计年度) 的信息安全管理实施报告指南, 要求各部门信息主管及由美国审计总署委派、总统任命、独立于各部门的监察长提交报告, OMB再根据前面两个来源的报告撰写总报告后提交国会审议。
OMB制定了一个考评准则, 满分为100分。在OMB的考评准则中, 大部分是针对广泛人群的提问调查。因此, 得分与某项信息安全工作在部门内实施的范围成正比。0分表示比例小于最低要求, 例如只有29%甚至更低比例的雇员接受过信息安全培训;不同的比例范围将被赋予不同的分数, 总分数由各单项分数汇总而成。
除OMB提交的报告外, 美国还有另外一份由国会众议院监管及政府改革委员会 (Committee on Oversight and Government Reform) 做出的政府信息系统安全评估报告。监管及政府改革委员会做出的报告的基础数据来源也是各部门提交的报告, 但其评价方法是量化的。监管及政府改革委员会特地制定了一套政务信息系统安全检查指标体系, 评分后可以直观地了解政府各部门电子政府信息安全的基本情况。
美国众议院监管及政府改革委员会根据各部门提交的报告, 依照评分框架, 每年春季提出各部门的评分与评级结果。该指标体系提供了一个政府各部门信息安全基本情况的排名方法:首先是依据信息安全检查评分框架对各政府部门进行评分, 然后再根据不同部门的评分或评级的高低对部门进行排序, 得出各部门之间信息安全基本情况的横向比较。
俄罗斯在保障政府信息系统信息安全方面做了大量的工作。俄罗斯宪法把信息安全纳入了国家安全管理范围, 颁布了《联邦信息、信息化和信息网络保护法》, 强调了国家在建立信息资源和信息网络化中的责任。俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段RGIN (Russian Government Internet Network) , 并建成了高效安全的“阿特拉斯”数据传输, 确保俄罗斯联邦各主体行政中心之间文件的网络传输。
他们还确立了《计算机系统安全评估标准》、《产品安全评估软件》等一系列完善的系统安全评估指标。同时, 建立了联邦经济信息保护中心, 负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。俄罗斯十分重视信息安全检查工作, 从法令、机构人员、资金、技术、管理等角度对信息安全检查工作予以全方位的支持和保障。
英国政府非常重视对信息安全法律法规执行情况的监督检查。一些政府部门设有专门的工作小组负责对有关电子政务建设法律法规和规章制度的贯彻落实和监督检查。例如英国教育与技能部有6人工作小组, 专门负责《数据保护法案》和《信息自由法》两法执行情况的监督检查。为形成制约机制, 对法律法规执行情况进行有效的监管, 他们采取了一些行之有效的措施, 如将机关工作人员执行法律法规和规章制度的情况与其业绩和奖惩挂钩, 若有违犯有关规定的行为, 一经发现轻则由人事部门提出警告, 重则开除。
德国在内政部下建立了信息安全局, 负责促进政府、企业和个人在IT应用方面的安全工作, 保证政府信息系统的安全性、实施信息安全技术的合法性及相关标准的统一性等。从确立安全要求, 到应用信息安全技术的计划、设计、实施、评估以及安全检查等, 德国政府进行了多方面的信息安全任务。但是德国信息安全检查工作还存在着一些不足, 例如工作人员责任不清, 授权不明, 检查工作无认证、无标准、无评估, 缺乏经常的监控工作等。
3. 国内信息系统安全检查评估现状
近几年来, 我国电力企业信息化投资占企业总投资的比重越来越大, IT基础设施不断完善, 信息系统越来越多。信息系统安全对电力企业意义重大, 它应该与电网安全一样被重视。
事实上, 2003年, 国家电网公司已将国家电力信息系统的安全运行纳入到电力安全生产管理的范畴, 把信息系统的安全管理纳入电力安全生产体系, 实行了信息系统安全运行报表制度和监督管理制度。电力企业经过多年的电力生产安全管理实践, 形成了一套电力安全生产规章制度, 建立了电力生产安全管理机制, 并且根据现代电力生产管理需求, 基于风险管理的理论, 开展了安全性评价工作。《供电企业安全检查性评价》从生产设备系统、劳动和作业环境、安全生产管理三个方面进行危险性查评诊断, 并坚持“自查、自检、自改”以及专家查评与单位班组自查相结合的原则, 将安全生产管理的重心放到一线班组, 实现安全生产各项管理工作的标准化、规范化, 用规范化的管理实现安全生产的动态过程管理。
供电企业将信息系统安全检查提高到电力安全生产的高度, 并借鉴电力生产安全性评价的做法, 对信息系统安全检查工作常态化, 坚持“自查、自检、自改”, 并坚持安全性评价专家查评与班组自查相结合的原则。
保险信息系统安全问题关系保险业发展全局, 也关系到社会经济的稳定。现代保险业的运转对信息化的依赖程度与日俱增, 信息化不再只是一种辅助的手段, 而是已成为保险机构的大动脉。
中国保监会早已认识到保险业信息系统安全检查的重要性, 在2008年奥运和2009年国庆期间, 保监会都组织了保险业的信息系统安全大检查。保险业信息安全检查工作以各公司自查为主, 主要围绕“内控与组织管理”和“信息技术管理”两个重点开展。保监会统计信息部负责全行业信息系统安全检查工作的组织领导, 并组织检查组对部分公司进行现场检查;各公司负责各自信息系统的安全检查工作的组织实施。
在保险公司进行自查的基础上, 保监会组织网络与信息安全检查组, 对部分保险公司和部分地区的分公司进行现场检查, 在检查中采用抽查方式对核心业务系统进行安全评测, 根据检查情况和评测结果对被检查单位提出整改意见。
随着电信新技术、新业务的不断涌现, 尤其是互联网的蓬勃发展以及电信运营企业向综和信息服务提供商的战略转型, 传统电信网络与现代通信网络的“网络与信息安全”概念有了很大的不同, 做好网络与信息安全工作显得更加重要与突出。在工业和信息化部的要求下, 各省通信管理局开展了信息系统安全检查工作, 提高了电信网络的抗风险能力, 推动了电信网络信息安全保障工作。
电信信息系统安全检查重点检查计算机安全规章制度的落实情况、安全人员的配备、防病毒措施等, 采取企业自查、分组交叉检查和重点抽查相结合的方式, 督促和检查各企业电信网络安全工作的落实情况, 帮助企业进一步完善电信网络安全防范和应急体系。企业以自查工作为契机和动力, 发现自身存在的问题和不足, 制定整改计划和措施着手解决。通过分组交叉检查对电信企业进行了横向比较分析和总结, 促进了相互学习、取长补短, 提高了网络与信息安全的保障能力和水平。
随着税收信息化的快速推进, 各级税务机关对信息安全越来越重视, 信息安全方面的投入也越来越大。税务系统信息安全检查以非涉密的网络系统和物理环境为检查对象, 检查内容包括安全管理检查和安全技术检查两大部分。检查技术和实施方案按照安全评估和等级保护要求, 结合税务行业标准制定的完善, 确保检查的系统性、完整性、针对性和时效性, 提高了税务信息的安全保障能力。在检查实施过程中, 主要使用了人工检查评估和工具检查评估两种方法。所涉及的过程包括安全管理策略问卷调查、网络安全设备评估、主机系统工具扫描、主机系统人工评估、安全威胁调查、渗透性测试、现场勘察等。
税务系统进行信息安全检查, 按照综合评估、点面结合、以点带面、注重实效的工作思路, 在全面系统检查的同时, 对基础性的安全管理、关键技术平台设备、技术实施、运维监控和风险防范进行重点抽查, 既有全面性的问卷调查, 又有重点性的现场上机检查, 紧密围绕建立网络与信息安全基本保障体系建设, 持续性地进行安全加固和风险防范。
综合上述分析, 我国的信息安全起步较晚, 在信息系统安全检查方面开展工作的时间也不长, 在信息安全检查方面还存在着一些不足。
没有统一完善的标准和规范。我国各行业在进行信息安全检查工作时没有统一完善的行业标准和规范, 在开展信息安全检查工作时存在各级企业或机关自定标准自行检查的情况, 这不利于对各级信息系统进行安全性的横向比较, 也不利于检查工作的持续开展。各行业应制定一套明确、全面的检查标准和规范, 建立一套清晰的信息安全检查工作体系, 增强自身的检查评估能力, 推动信息安全建设的持续发展和深化落实。
缺乏良好的指标体系和监管机制。我国各行业信息安全检查虽然取得了一定的效果, 但各行业都没有建立一个良好的信息系统安全检查指标体系和监管机制。各企业和机关在进行自检时随意性较强, 没有规范的执行流程, 没有一套完善的指标体系;上级指导机构对其没有缺乏统一的监督和管理, 没有建立公开、明确的奖惩机制。
对内部威胁的重视不够。各行业的信息安全建设和检查大多还限制在堵漏洞、做高墙、防外攻这些老路上。实际上, 企业和机关内部数据安全的危害性正在日益上升, 如未经授权的雇员对文件或数据的访问、带有涉密数据的可移动设备遗失或失窃等, 恶意员工故意破坏信息系统甚至泄漏机密等, 但这些还没有引起足够的重视。
对信息安全的认识存在误区。目前各行业还普遍存在以是否发生安全事故作为信息安全工作好坏的衡量标准的现象。一些信息系统的建设时间较短, 没有发生足以引起信息安全管理机构重视的安全事件, 因此就盲目地认为当前信息安全防范工作已经足够, 这样的认识存在着误区, 并对信息安全带来极大的安全隐患。信息安全的处理应该遵循风险管理的原则和方法, 安全事件的防范应该以安全风险防范的方式来处理。
4. 启示
目前, 我国政府对信息系统虽然在信息安全检查方面开展了一些相应的工作, 取得了一定的效果。但与其他行业信息安全检查情况类似, 存在着上述问题。与国外信息安全工作开展较早的国家相比, 我国目前还没有成熟有效的信息系统安全检查方法和相应的管理机制、管理制度和规范等, 在这方面还需要开展很多工作。通过对美、俄、英、德等国信息系统安全检查现状的分析, 在我国政府信息系统安全检查体系建设中可得到以下启示。
加强信息安全基础工作。政府信息系统的信息安全检查评估工作需要依赖已开展的信息安全基础工作, 如信息系统安全性建设、信息安全技术的实施、政府人员的安全教育与培训等。
建立信息安全法规和标准体系。国外的信息安全检查评估大多是针对信息安全标准、法规等进行符合性检查, 这需要建立一套全面完善的法规、标准体系。我国目前在这方面还有很大的不足。
技术与管理并重。国外的信息安全检查很多集中在管理方面, 对技术方面涉及较少。我国在建立信息安全检查指标体系时应该管理与技术并重, 进行全方位的信息安全检查, 来充分保障我国政府信息系统的安全。
自查与监督检查的相结合。政府各部门内部的经常性、规律性的自查可以增强政府人员的信息安全意识, 提高部门信息安全人员的管理和技术水平。监督检查可以在自查的基础上进行针对性的检查和监督, 节约检查时间和成本。
建立信息安全检查评估的管理机制。建立国家层面上的、权威统一的信息安全检查评估管理机制, 对相关工作进行统一的协调和管理, 避免在信息安全检查评估过程中造成检查人员责任不清、授权重叠、授权不足、检查标准降低等情况, 加强对信息安全检查工作的监督管理, 使信息安全检查工作规范、有序地进行, 保证检查工作的高质、高效。
参考文献
[1]Office of Management and Budget.http://www.whitehouse.gov/omb/.
[2]Committee on Oversight and Government Reform.http://oversight.house.gov/.
[3]樊国桢等.美国联邦政府资讯安全管理系统稽核作业与相关标准初探.
[4]刘洋海.浅谈电力企业信息安全性检查.南方电网技术研究.2006, 2 (3) :65-67.
[5]朱惠林.信息安全检查评估在行业系统中的实践初探.江苏科技信息.2008, 10:37-38.
保障安全 篇2
管理制度
根据《中华人民共和国计算机信息系统安全保护条例(国务院)》、《中华人民共和国计算机信息网络国际联网管理暂行规定(国务院)》、《计算机信息网络国际联网安全保护管理办法(公安部)》等规定,陕西秦韵医药有限公司将认真开展网络与信息安全工作,明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对一切不良、有毒、违法等信息进行过滤、对用户信息进行保密,确保网络信息和用户信息的安全。
一、网站安全保障措施
1、网站服务器和其他计算机之间设置防火墙,拒绝外来恶意程序的攻击,保障网站正常运行。
2、在网站的服务器及工作站上安装相应的防病毒软件,对计算机病毒、有害电子邮件有效防范,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备由IP地址、身份登记和识别确认功能,对非法帖子或留言做到及时删除并根据需要将重要信息向相关部门汇报。
5、网站信息服务系统建立多种备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能及相关端口,并及时修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名、密码和验证码并绑定IP,以防他人非法登录。
8、网站提供集中管理、多级审核的管理模式,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。
9、不同的操作人员设定不同的用户名和操作口令,且定期更换操作口令,严禁操作人员泄露自己的口令;对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员的操作记录。
二、信息安全保密管理制度
1、充分发挥和有效利用陕西秦韵医药有限公司业务信息资源,保障企业门户网站的正常运行,对网络信息及时、有效、规范的管理。
2、再陕西秦韵医药有限公司门户网站服务器上提供的信息,不得危害国家安全,泄露国家秘密;不得有害社会稳定、治安和有伤风化。
3、本院各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息英气的任何法律责任;
4、各部门制定专人担任信息管理员,负责本网站信息发布工作,不允许用户将其帐号、密码转让或借予他人使用;因密码泄露给本网站以及本单位带来的不利影响由泄密人承担全部责任,并追究该部门负责人的管理责任;
5、不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、商标、著作权、商业秘密或其他专属权利之内容加以上载、张贴。
6、所有信息及时备份,并按规定将系统运行日志和用户使用日志记录保存3月以上且未经审核不得删除;网站管理员不得随意篡改后台操作记录;
7、严格遵循部门负责制的原则,明确责任人的职责,细化工作流程,网站相关信息按照编辑上传→初审→终审通过的审核程序发布,切实保障网络信息的有效性、真实性、合法性;
8、遵守对网站服务信息监视、保存、清除和备份的制度,经常开展玩过有害信息的排查清理工作,对涉嫌违法犯罪的信息及时报告并协助公安机关查处。
三、用户信息安全管理制度
陕西秦韵医药有限公司网站为充分保护用户的个人隐私、保障用户信息安全,特制定用户信息安全管理制度。
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相关规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存再本网站中的非公开内容,但以下情况除外: 1违反相关法律法规或本网站服务协议规定;
2按照主管部门的要求,有必要向相关法律部门提供备案的内容; 3因维护社会个体和公众的权利、财产或人身安全的需要; 4被侵害的第三人提出合法的权利主张;
5为维护用户及社会公共利益、本网站的合法权益的要求; 6事先获得用户的明确授权或其他符合需要公开的相关要求。
4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户帐号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。
6、如用户不慎泄露登录帐号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;再用户提供的有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
陕西秦韵医药有限公司将严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。
单位(章):
保障“入口安全” 篇3
雷晓凌(全国人大代表,广东海洋大学食品科技学院食品质量与安全系主任)
国家打击的力度越来越大仍不断出现不安全食品,这跟监管部门的责任不够明确有关。有人说八个部门管不住一头猪,因为哪个部门都管,都不明确自己的责任。所以不是说监管部门多就能解决问题,而要理顺各部门的责任,明确了自己的责任,就不会出现这么多问题了。
我在今年两会提出要加强食品安全教育。这是参考美国的做法,因为美国较早提倡对全民进行食品安全教育,上世纪90年代就开始了。每年有一个食品安全月,搞普及教育,对儿童、老年作重点培训,因为青少年容易接受一些新的知识,另外培养青少年良好的生活习惯。
辜胜阻(全国人大常委,民建中央副主席)
要从根本上改变监管机构多头各自为政格局,改变多个部门管不好“一头猪”、治不好“一种油”(地沟油)局面,重典治乱,防止“以罚代法”。建立食品可追溯体系,从源头上彻底消除隐患。
要推进堵截与疏导相结合,既要重拳出击,堵住食品安全隐患,又要因势利导,构建食品废料的政府回收利用渠道,降低企业税费负担,引导小作坊小摊贩规范运营。
张立勇(全国人大代表,河南省高级人民法院院长)
建议将生产、销售不符合安全标准食品罪,生产、销售有毒、有害食品罪等5个罪名纳入危害公共安全罪体系,并提高此类犯罪的惩治力度;在食品、添加剂的生产经营、监督管理、进出口等多领域环节,适当增加有关食品安全犯罪的罪名与罪状。
有关部门应制定完善有关食品安全犯罪的司法解释,细化执法标准,统一执法尺度。应当创新社会管理,建起一道法律“防护墙”,形成立法、行政、司法立体网络,震慑违法犯罪。相关的监管体系、检验检测体系、信用信息体系都应当尽快建立或完善。
董协良(全国政协委员,陕西协同生殖医学研究所所长)
餐馆、食堂使用地沟油,是因为其成本低廉,能获取更多利润。有这个牟利冲动,就难保企业不铤而走险。我认为,除了监管、提高检测技术以外,政府部门应该制定政策,通过市场调节,发展地沟油提炼生物柴油的产业链,减少监管成本。
张全国(全国政协委员,河南农业大学副校长)
我也同样担心农产品安全问题,化肥、农药的过量施用肯定会导致水土污染,但通过科学施肥、发展绿色环保型农药等技术,就会降低这些污染,国家应该加强农产品安全监控,保证提供给大家放心的农产品。
贾康(全国政协委员,财政部财政科学研究所所长)
一些发达国家成功治理的经验表明,唯有采取生态化的生产方式逐步替代过度依赖化学品投入的生产方式,渐进改良农业生态系统,同时倡导、执行并最终建立起自然生态型的良性农业耕作体系和农业食品体系,才能有效防治污染,降低“病从口入”风险。
有关部门需积极研究以加强生态农业发展为导向的政策措施,财税、农业等部门通力合作,在深入调研、认真吸取国际经验、专家意见的基础上,设计具有针对性的政策措施,矫治化肥、农药的过度使用,形成促进农业生态化的政策体系,争取在我国农业现代化过程中少走弯路,最终实现“后来居上”。
保障安全 篇4
关键词:安全,系统安全,交接班安全流程
1 安全的定义
生产过程中的安全,即安全生产,指的是“不发生工伤事故、职业病、设备或财产损失的状况,即指人不受伤害,物不受损失。”工程上的安全性是用概率上的近似客观量来衡量安全的程度的。
系统工程中的安全概念与传统的安全定义大不相同。长期以来,人们一直把安全和危险看作截然不同的、相互对立的概念。系统安全包含许多创新的安全新概念,认为世界上没有绝对安全的事,任何事物中都包含有不安全的因素,具有一定的危险性。安全只是一个相对的概念。它是一种模糊数学的概念,危险性是对安全性的隶属度;当危险性低于某种程序时,人们就认为是安全的。安全性(S)与危险性(D)互为补数,即:
S=1-D。
安全工作贯穿于系统整个寿命期间。所以安全工作必须全方位地贯彻安全第一、预防为主的方针。安全生产重要的物质基础之一是可靠性高的安全装置。
2 系统安全的特点
系统安全是指在系统寿命期内应用系统安全工程和系统安全管理方法,辩识系统中的危险源,并采取控制措施使其危险性最小,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统一词源于希腊语,有“共同”和“给以位置”的含义,指由相互作用、相互依存的若干元素结合而成的具有特定功能的有机整体。系统安全泛指系统中的安全性,它与系统中的可靠性等同为系统的特定性能指示。系统安全创新了安全观念:安全的相对性;安全贯穿于系统的整个寿命期间;危险源是事故发生的根本原因;系统可靠性和系统安全性相辅相成。
系统安全是早在一个新系统构思阶段就必须考虑其安全性问题,制定并开始执行安全工作规划,把系统安全工作贯穿于整个系统寿命期间,直到系统报废为止。在新系统的构思、可行性论证、设计、制造、试运转、运转、维修直到废弃的各个阶段都要辨识、评价、控制系统中的危险源。系统中存在的危险源是事故发生的根本原因。危险源是可能导致事故的潜在的不安全因素。系统安全的基本内容就是辩识系统中的危险源,采取措施消除和控制系统中的危险源。
可靠性和安全性都是判断、评价系统性能的重要指标。可靠性表明系统在规定的条件下,在规定的时间内完成规定功能的性能。系统由于性能低下而不能完成规定的功能的现象,称为故障或失效。系统可靠性越高,发生故障的可能性越小,完成规定功能的可靠性越大。安全性表明系统在规定的条件下,在规定的时间内不发生事故,不造成人员伤害或财物损失的情况下,完成规定功能的性能。在许多情况下,系统不可靠会导致系统不安全;提高系统安全性的一个重要方面,应该从提高系统可靠性入手。可靠性着眼于维持系统功能的发挥,实现系统目标;安全性着眼于防止事故发生,避免人员伤亡和财物损失。可靠性研究故障发生前直到故障发生为止的系统状态;安全性侧重于故障发生后故障对系统的影响,故障是可靠性和安全性的连接点。采取提高系统可靠性的措施,既可以保证系统的功能,又可以提高系统的安全性。
预防事故发生最适当的对策是在原因分析的基础上得出来的,以间接原因及基础原因为对象的对策是根本的对策。采取对策越迅速、越及时而且越确切落实,事故发生的概率越小[1](图1)。
3 动力能源保障部系统安全的日常保障机制
经过多年的积累,先后制定并完善了《设备运行流程》、《设备维修流程》和《设备巡视流程》等几十项流程以及各种规章制度,这些都是动力能源保障部系统安全的有效保障。但是一直缺乏一个系统安全流程,尤其是交接班的安全流程。由于每天进行交接班是一个十分重要的环节,因此在每天的日常工作中它是一个关键的连接点。下面是笔者创新的日常交接班安全流程,其作用是对动力能源保障部的系统安全进行日常保障。要说明的是,图2中设备是否正常主要是指危险源及其制约是否正常,环境是否整洁和清扫是指5S意义上的概念。
这个安全流程兼顾了人的因素、物的因素和环境因素,应该是比较合理的。因为事故的发生不是单一因素造成的,也并非个人偶然失误或者单纯设备故障形成的,而是各种因素综合作用的结果[2]。
参考文献
[1]隋鹏程.安全原理[M].北京:化学工业出版社,2005.
安全经费保障制度 篇5
安全经费保障制度
1、经费保障制度是学校为安全工作提供必要的经费和物质保障,确保安全工作各项措施贯彻落实的安全管理制度。
2、后勤在年终做好下年安全经费预算并报学校,学校根据情况在年初做好全年安全经费预算,并保障安全改造经费的落实。
3、学校每学年安排一定比例的安全工作专项经费,用于安全隐患整治、安全知识宣传、事故应急救援、先进个人的奖励等。
4、安全工作集体奖分配中,出现安全事故的责任人或拒不完成学校布置安全任务的教职工,不得分配安全工作集体奖,未按时完成学校布置安全工作任务或完成情况不好的将扣除部分奖。
5、学校对安全工作中成绩突出的个人,给予一定的安全工作专项奖。
6、学校应尽力保证安全工作专项经费逐年增加和投入。
拾万镇中心小学校
户外安全GPS保障 篇6
现在,当我们投身于户外,手里要是有台GPs手持机,就可以为自己提供最大的行进安全保障。GPs手持机个头小便于携带,而且没有。使用消费,只有购买时的一次性投资。即使投资二、三千元,但对于生命而言,金钱太微不足道了。手持机有个较大的屏幕简单实用的功能键开机后能很快地知道此时此地的经纬度、海拔高度等等,如果是带地图功能的就更便捷了能够直观地在电子地图上显示出“此点”位置。
初始定位
当穿越活动开始时,开启GPS手持机,为了更准确更快速地定位,一定不要移动。很快,手持机的屏幕就会出现搜索的卫星及其信号强度指示,同时还有经纬数值、海拔高度,这时说明定位成功了。下面就可以出发了。出发前还必须要做的一件事就是要反此时定位的经纬度数据即“点”的数据保存在机子里,以便需要返回时能准确回到起始点,GPS手持机都有个“航迹”画面,是以点连成的曲线来显示手持机运动的轨迹也就好比是我们走过的脚印,好了,我们就使用这个画面出发了。
轨迹记录
行进的过程中,不管是大路还是小道都会遇到岔道。在岔道口最好停顿休息一下,让GPS手持机在静止状态准确地定位,再把这个“点”的坐标数据存储起来,并且给这个点编号或起个名字,之后按选择的道路继续前进,再遇到的岔道口或显著的不可移动的比如岩石和大树,都要停下来定位并存“点”。
拒绝迷路
在穿越行进中发现前方是悬崖必须要按原路返回,或者发现自己迷路了要安全返回前一个岔路口甚至出发起始点,如果只用指南针和地图就非常不方便,这时GPS手持机的优势就凸显出来了。现在就前面说到的航迹现在就很好的派上用场了,航迹里的点是按秒为时间单位自动间隔记录的,这样就最大可能地准确地记录了“原路”。既然是按原路返回,那么按照走过的航迹行进就可以了。GPS手持机的屏幕画面还须是“航迹画面”,把比例尺放大,为的是把航迹放大减小误差。在画面的中央有一个小箭头代表此时此点的位置箭头的方向就是行进的方向降低行进速度,让箭头与原路航迹的方向一致,同时修正自己的位置,让箭头尽量与原路航迹重台。需要注意的是大多手持机能够自动记录的行迹点是3000到5000个,为了节约内存,它会自行删除若干个自以为没用的点。比如行走了A点、B点、c点几乎是直线的一段路它往往会把B点删除。如累恰好在B点的位置人为保存了一个参照物航点M,你就会发现在航迹画面上这个M点不在A点与c点绘成的航迹上。因此前文里说到的在岔路口和参照物处人为保存航点是多么的重要在依原路航迹返回时,不能过于依赖航迹重台,还要注意当参照物“点”出现在画面上时要尽量向参照物靠拢随时修正行进路线。
旅途司南
有些GPS手持机不具备电子指南针专项功能不急有办法让它实现该功能打开手持机的功能设置在“参照方向”里可以选择“真北”或“磁北”。这样,在“航迹画面”的一角会有一个带有“N”的箭头,不管我们向任何方向行进,这个箭头的方向始终指“北”,于是就实现了指南针的功能。在“导航画面”,里一般能个罗盘的图标,通过它也可以实现该功能。这样的GPS手持机必须移动才能实现指南针功能,因此在停止移动时其显示的“北”是不准确的,谨慎参考。
保障手部安全 篇7
这种“工具”能帮助您握、抓、推、扭转, 还能帮你操作设备。此外, 这种非凡的“工具”不仅能感受温度变化而且也有敏感的触觉。但是您不可能购买到这种工具, 因为它就是您的双手。如果您不时刻警惕的话, 这种非凡的工具就可能被机器伤害、被物体挤伤或者被各种各样具有锋利边缘的工具割伤, 例如:凿子、刀子或锯子。另外, 它还可能遭受灼伤、骨折、皮炎或扭伤等伤害。在工业环境中约30%的损时工作事件与手部伤害有关。为了自己、同事和家人, 无论上下班都应尽量避免手部的伤害。本期我们将介绍手部安全防护方面的要点。
事故案例1:某企业一员工搬运货箱, 当放下货箱时, 被货箱压住右手, 导致右手拇指被严重压伤。
事故案例2:2005年5月, 某企业一员工在乘坐皮带上升时, 手被运动中的绞车钢丝绳夹住, 导致4根手指被钢丝绳夹断。
认识我们的双手
人类的手非常灵活, 可以旋转、伸缩、抓、推等。如果不能充分利用双手, 我们的工作将会陷入严重的障碍。图1是手部各部位的基本功能分布。但在工业生产中, 由于人机交互界面最直接的接触方式是手部, 因此约1/3的伤害与手部有关, 某石油公司年度安全事故统计结果如图2所示。
手部伤害的类别
机械伤害
机械设备的窄 (扭) 点是导致手部伤害的主要地方, 手部可能被运动的机械部件间夹伤、割伤、划伤或者被卷入机械设备等, 如:传送带系统、旋转的机械部分、机械设备防护罩等。
在以上设备附件工作时需注意:
●知晓该设备的运转方式, 确保设备的防护罩到位;
●不要穿短袖, 旋转设备周围不要佩戴手套及配戴首饰;
●将你的手尽可能地远离该区域;
●不要盲目依赖于劳保用品;
●自动化设备可能会突然自动运转;
●团队工作时, 沟通非常重要, 预防该设备可能会伤害到甚至夺去你的手。
手动工具
90%的此类事故发生于右手, 但50%的事故发生于左手。由于工具缺陷, 使用不适当的工具, 以及工作中的场所管理不规范等易导致此类事故的发生。
●扳手:选择正确尺寸的扳手, 拉扳手而不要推扳手 (逆时针方向使用) , 不要将扳手当锤子使用;
●螺丝刀:不要将你正工作于其上的物品拿在手上;
●刀:只向远离于你身体的方向切割, 刀片要尽量短, 千万不要将刀具当成螺丝刀使用;
●锤子:检查锤子是否有裂缝, 锤头是否松动, 捶击面是否凸凹不平, 确保根据具体工作选用合适的锤子;
●电锯/钻:确保所有的防护装置到位, 所有的电线经过检查。
接触伤害
●烫伤或者冻伤:如高、低温度的表面, 锅炉, 液氮瓶, 电线灼伤, 摩擦等;
●腐蚀性的物质:酸、碱、生物制剂等;
●被锋利的工具或材料刺伤、划伤, 如玻璃、钢丝绳等。
如在上述场所工作时您必须认识潜在的危险和隐患, 正确佩戴相应的手套, 认真读取物品上的标签。当手部接触到化学品后, 应立即用大量的清水冲洗15min以上, 并及时就医。
其他伤害
●搬运货物时压伤、扭伤手臂;
●振动设备打击手部;
●化学品辐射;
●长时间重复劳动导致的肌肉损伤, 如长期以不良姿势使用键盘、鼠标等。
在搬运前先思考。货物重量不应超过20kg, 以背部直立的姿势搬运。远离振动设备和化学品辐射区域。使用键盘和鼠标时, 抬高手臂, 每隔1h休息一下。
10种减少手部伤害的方法
●使用恰当的工具;
●使用导向绳保持手部远离货物;
●当使用小刀切割时, 总要保持从身体向外切割;
●注意松散衣服可能绞入旋转的设备;
●更换砂轮时断开打磨机;
●工作时戴好恰当的手套;
●用固定夹固定被加工的物件, 不要一手持被加工物, 另一手操作打磨机;
●计划您的工作并按需要获取帮助;
●警惕蓄积能量, 使手部远离夹挤点和冲撞危险源;
●意识到他人的行为并留心于所做工作。
保障安全距离 篇8
随着城市不断发展, 很多“老”危化品生产及仓储设施所需的外部安全距离不断遭到新出现的工矿企业甚至住宅区蚕食, 形成了严重的安全隐患。例如, 民用爆破器材仓储库区, 一旦发生爆炸事故, 将会对安全距离以内的人员、建筑、设施等造成极大危害。因此, 笔者下面从保障安全距离的角度, 以民爆器材仓储设施为例, 谈谈应如何避免“老”设施与“新”环境之间的不合理, 同时也为其他行业提供一些参考借鉴。
首先, 对于民爆器材仓储设施来说, 在选址设计时, 就要与周边住户、工厂等“目标”留出足够的安全距离。且在条件允许的情况下, 应尽量多预留一些安全距离, 以避免日后这些“老”设施, 随着城市发展, 与“新”环境产生矛盾, 形成安全隐患。对于其他行业来说, 为类似设施预留一定安全距离, 也会在很大程度上避免日后这些“老”设施在“新”环境中成为安全隐患。
其次, 应尽早将库区外部安全距离控制图报送当地土地、建设、规划等行政主管部门备案。很多主管部门虽知道民爆仓储库区需要与周边建筑及设施保持一定安全距离, 但对于不同存药量的库房, 具体应与各“目标”保持多少安全距离才符合要求, 则无法准确掌握。因此, 企业尽早将外部安全距离控制图报送各主管部门, 可以使其在审批库区周边新建、扩建工程项目时, 能够根据图纸划定的控制圈, 简单、直观地确定某项目是否进入“控制圈”内, 从而避免因“新”项目形成安全隐患。对于其他行业来说, 将设施相关材料报送给当地政府或本企业相关职能部门, 使其在制定发展规划时, 充分了解“老”设施的情况, 能够为日后省去很多“麻烦”。
如何保障交叉作业安全 篇9
企业的生产实践中, 往往会存在同一生产区域同时有多个作业单位作业, 形成交叉作业的情况。在交叉作业过程中, 有时会由于各单位之间不熟悉、沟通不畅, 以及多个作业之间相互“干扰”等原因, 导致作业风险增加, 甚至因此引发事故。对于企业来说, 应如何做好交叉作业中各作业单位之间的协调工作, 如何避免多个作业之间相互“干扰”, 从而保障交叉作业时的安全?本期就让我们来谈一谈如何保障交叉作业时的安全。
近期话题征稿
如何避免安全生产责任书变成“一纸空文”
逐级签订安全生产责任书, 是企业落实安全生产责任的重要手段之一。但目前, 部分企业认为, 逐级签订完安全生产责任书就算“万事大吉”, 缺乏与之配套的辅助措施, 致使安全生产责任书变成“一纸空文”。那么, 对于企业来说, 在逐级签订安全生产责任书之后, 还应开展哪些相关措施, 避免此种现象发生, 保障各级安全生产责任落到实处?希望大家积极讨论。 (截稿日期:2016年11月25日)
如何避免上级安全要求在基层执行时“走样”
目前, 有些企业在向基层单位下达安全要求时, 会因为基层单位对于要求的理解存在偏差, 而导致在执行过程中“走样”, 甚至与上级安全要求的本意大相径庭, 致使各项安全要求无法有效落实。那么, 对于企业来说, 应如何更好地保障基层单位理解上级安全要求的本意, 避免基层单位在理解上出现偏差、在执行时“走样”?希望大家积极讨论。 (截稿日期:2016年12月23日)
如何把握安全教育的“度”
安全教育是企业安全生产工作的重要组成部分, 是提升员工安全素质的重要途径。企业通过开展经常性的安全教育, 能够不断更新员工的安全知识技能, 提醒员工不忘安全、牢记安全。但在企业的生产实践中, 有时过于频繁的安全教育, 反而会使员工觉得安全教育不过是走走形式, 甚至产生抵触心理, 适得其反。那么, 对于企业来说, 应如何把握好安全教育的“度”, 既能够不断提升员工的安全素质, 又能避免员工对安全教育出现“审美疲劳”, 甚至抵触心理?希望大家积极讨论。 (截稿日期:2017年1月23日)
征稿要求:1 500字以内为宜, 请选择其中一个话题阐述观点。并在来稿中注明作者姓名、单位、职务、通联地址、邮编、电话、E-mail以及身份证号码, 以便您的文章刊发后, 给您寄样刊及稿费。来稿请发至ankang1@263.net (请在邮件上注明“论坛”投稿字样) 。如有问题也可在易安网论坛www.esafety.cn/bbs与主持人交流。
如何保障电力调控安全 篇10
1 电力调控存在的安全风险
(1) 调控员安全意识淡薄, 未严格遵守规程, 交接班不清或未认真了解系统运行方式, 导致误下命令;当工作量大, 操作任务比较繁重时, 拟写调控命令容易出现错误;在与现场进行核对的过程中, 由于现场回报不清或交接班时没有对工作交接清楚就匆忙进行操作也容易造成错误。
(2) 调控员安全责任心不强, 使用调控术语不规范, 凭经验主观判断, 造成误下令。
(3) 班组基础管理存在漏洞, 安全活动会开展不正常或流于形式;班组对于设备参数资料管理不到位, 使调控员在调控运行工作中没有准确的参考依据。
(4) 调控员未严格执行调控操作管理制度, 工作许可及工作结束手续不清, 造成误送电;当线路有多个工作组在工作时, 工作结束时没有全部回报工作终结就送电, 或者用户在未得到当班调控员的许可就在用户专用线上工作也容易造成事故。
2 安全风险的预控防范
(1) 切实提高调控员的安全思想意识, 安全知识、业务技能和职业道德教育同步开展, 加强调控员的责任心和集体荣誉感。
(2) 按照月度工作计划和设备停电检修计划来开展实战性反事故演习和班组安全日活动, 超前预控可能发生的事故, 提前防范工作安全隐患。
(3) 将一事一控和交接班制度有机结合, 根据当日天气、负荷预测、运行方式、作业计划、故障处理、设备异常和缺陷等情况进行分析, 对照交接班内容和现场设备实际情况, 填写一事一控卡并与交接班记录同步交接, 做到未雨绸缪、措施到位。
(4) 严格执行“两票三制”, 坚持调控命令的预发制, 调令复诵制等。调令隔班复审、隔班预告, 严格认真审核调控命令票和操作票, 并进行严格考核, 加强调控危险点的分析与预控, 做到每项工作都要有危险点分析, 严格执行规章制度, 坚决开展反习惯性违章, 杜绝误调控、误操作事故的发生。
境外企业安全保障措施 篇11
提高境外中国企业及工作人员的安全防范意识,加强安全保护工作,是维护国家利益,实施“走出去”战略的需要,也是维护企业外派人员生命财产安全的需要。
严格遵守当地法规
境外企业和外派劳务人员的公司首先要加强员工人身与财产的安全防范意识,制定具体有效的控制手段,避免各种风险的发生。
国内各类企业必须严格遵守境外投资开办企业、承包工程、劳务合作等业务的核准规定,把好安全闸门。特别是在劳务合作方面,要避免违规操作和盲目开拓。要把维护外派劳务人员合法权益作为经营的出发点,不能为谋求企业利益而躲避政府管理、变通行业规则上煞费苦心,以致使许多外派劳务人员入境后往往因待遇低、条件差、无法适应,或无工义务,非法滞留。例如,在俄罗斯,有些中国劳务公司和中国包工头不遵守俄罗斯劳工法和相关规定,屡屡发生俄罗斯警察检查中国劳工驻地,发现违规现象,警察强制执行后导致矛盾激化,甚至暴力冲突。
外派劳务经营企业还必须熟悉承包工程和劳务市场的国别政策、劳务工资和服务标准等规定,了解市场的动向及变化。如韩国即将取消产业研修制度,全面实施雇佣许可制度;俄罗斯议会规定禁止外国人在当地经营商业零售业务等,及时做出外派劳务调整,避免因跟不上政策变化而导致违规。
加强境外安全机制
据中国土木工程集团公司凯明工程咨询公司李海生经理介绍,中国企业赴海外投资,首先要了解目标投资国政权是否稳定,政治体制、法制是否健全,对该国的安全状况要做到心中有数。对在那些社会比较动荡、治安较差的地区进行投资,更要制定具体的防范手段。特别是大中型企业和工程承包企业,应该设立安全保卫部门,专门负责安全保卫事务以及处理突发事件,把人身伤害、财产损失降到最低。在先期进入某一市场时,务必要审慎选择代理商。总之,我们应遵循国际通行标准,建立安全保障长效机制。
中信国际合作公司关于海外员工安全保障的措施是和跨国安全保障公司合作。公司发给每个员工保障卡,上有该安全保障公司在世界各地的分支机构和合作单位电话,公司员工一旦在国外出现安全问题需要救助,可以在任何时候拨打此公司设在该地区的分支机构电话。
中国土木工程集团公司是最早进入国际市场的中国公司之一,其前身是铁道部援外办公室。公司对外派人员发放各地的安全生活手册,并制定培训计划。
中国石油石化系统全面推行HSE管理体系,HSE是英文单词“健康”、“安全”和“环境”的缩写,就是指在管理中一切以人为中心,满足人对健康、安全和保护环境的要求。HSE是国际石油界通行的管理体系。面对我国加入WTO后与国际接轨的新形势,中国石油石化及时调整战略,率先让人们感受到这个与国际接轨的新型管理体系的影响力。
重视获取公共信息
境外企业与人员要多与驻外使(领)馆沟通,要重视驻外使(领)馆通报的事项。政府应提供支持,建立相应的信息平台。有些地区的出国劳务人员由于缺乏组织性,及时获得可靠信息的可能性比较小,因此需要政府、商会或行业协会等机构在信息上的大力支持,建立有效的信息渠道。8月10日,商务部设立的800—888—5678“全国对外劳务合作语音咨询电话系统”正式开通。咨询服务内容包括:出国务工特别提示、外派劳务公司的合法性、外派劳务项目的真实性、报名前应注意事项、出国务工的程序和条件、签署合同的注意事项、外派劳务收费标准、在国外工作注意事项、外派劳务纠纷处理、各地商务主管部门联系电话查询等。公众可以随时通过电话免费查询。强化备用金和保险意识
浅析信息安全保障体系 篇12
0、信息安全现状及原因分析
自信息化建设伊始, 每个单位都会从管理和技术两个层面重视信息化安全建设工作:在管理层面, 主要会从完善建章立制、组建管理机构、配备专业人员、落实资金投入等方面入手, 搭建起信息化安全建设的日常管理和运维架构, 为确保信息化安全提供必需的组织保障;在技术层面, 主要是从部署信息安全产品、采用最新信息安全技术等方面入手, 构建起信息化安全的基本防护体制, 为确保信息化安全提供必要的技术支撑。
通过上述两个方面的有机结合, 基本抵御住了大部分的信息安全威胁, 保障了各单位信息化的基本安全。但是, 现实情况残酷地告诉我们, 我国整体的信息化安全防护效果还是差强人意, 一些信息安全事件仍有发生, 电脑感染病毒成为“肉鸡”等安全事件不时被报道。根据《2010年全国信息网络安全状况与计算机病毒疫情调查分析报告》的不完全统计, 2009年5月至2010年5月, 54%的被调查单位发生过信息网络安全事件, 比上一年上升5%。
为什么“安全产品部署了一堆、安全制度制订了一批, 安全问题和隐患却没有得到很好地改善”的现象依然会存在呢?笔者认为主要原因在于以下两个方面:
0.1信息安全防护能力较弱
我国信息化工程自上世纪九十年代开始建设以来整体信息化率不断提高, 信息化程度基本普及。但是信息化理论、专业人才等方面与世界平均水平还有较大差距, 特别是对信息化安全的认识严重不足, 信息化安全防护水平和能力较弱。而信息化建设是一个循序渐进的、长期发展的过程, 信息化安全防护会紧密地伴随全过程的每一个环节。要实现持续、有效的信息化安全防护, 就需要不间断的信息化投入 (包括知识技术、专业人才、专项资金等) , 但是这种投入的“投入产出比”只能通过其它部门的“收益”来间接体现, 直观上几乎感觉不到信息化投入带来的“好处”所在, 这就很大程度上制约了对信息化投入的积极性和主动性, 几乎每个单位都存在信息化投入滞后的情况, 也就一定程度上导致我国目前整体信息化防护能力较差。
但是信息化技术的发展日新月异, 新威胁、新风险不断推陈出新, 缺少必要的、及时的信息化投入将进一步削弱信息化安全防护能力。
0.2信息安全制度执行力偏弱
信息化技术造成的危害和损失不会像火灾、台风、地震等自然灾害那样直观明了, 它只是通过应用软件的“数据异常”等现象来间接的、隐蔽的体现, 这就容易给人以错觉感——信息化系统“没有”安全问题, 也就容易给人以麻痹思想, 不能及时树立起必要的信息安全意识。而且还容易导致员工对信息安全防护措施的不理解, 甚至产生抵触情绪, 加之国人的“法规遵从”思维还未完全地建立起来, 就易造成已有的信息安全规章制度总是不能严格执行到位, 严重影响信息安全措施的实施效果和防护力度。
当然, 除此之外, 还可列举很多其它因素。但究其根本, 在于“重病毒防护, 轻安全管理”的传统信息安全防护理念和措施已经无法适应信息化技术日新月异的发展趋势, 必须从多方面入手, 建立一个涵盖信息化各层面的立体信息安全保障体系, 才能及时有效的保障当前的信息化安全。
1、信息安全保障体系概述
信息安全保障体系, 就是由信息系统、信息安全技术、人、管理、操作等元素有机结合, 能够对信息系统进行综合防护, 保障信息系统安全可靠运行、保障信息的“保密性、完整性、可用性、可控性、抗抵赖性”的具有“WPDRR”能力的综合性信息系统防护体系。
简而言之, 这个保障体系就是以“WPDRR”模型 (即:预警Warning、保护Protect、检测Detect、响应React、恢复Restore) 为基础, 从技术和管理两个层面出发, 分“信息安全策略”、“信息安全组织”、“信息安全管理”和“信息安全技术”四个领域来制定保障信息安全的一系列规范。
1.1信息安全策略体系, 是信息安全保障体系的核心内容, 其它各部分都是以此策略体系为目标进行建设与实施;
1.2信息安全组织体系, 是安全工作的管理和实施体系, 监督各种安全工作的开展, 协调各部门在安全实施中的分工和合作, 保证安全目标的实现。
1.3信息安全管理体系, 是对安全生命周期中各个安全环节的要求, 包括安全工程管理机制, 安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。
1.4信息安全技术体系, 是信息安全保障体系的重要支撑, 是对实现信息安全的具体措施, 包括了身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复。
通过信息安全保障体系的实施, 能够为各单位搭建起一个符合自身情况的、系统的、全面的信息安全保护体制, 能有效地提高各单位防范信息安全风险和安全隐患的能力。但是信息安全保障体系的内容比较抽象, 实施起来有些难度。如何构建一个符合自身实际状况的信息安全保障体系就成为一道摆在每个单位面前的难题。笔者认为, 借助信息安全等级保护制度不失为一条有效的、便捷的途径, 因为信息等级保护制度的内容具有很强的指导性和可操作行, 从某种程度上来说就像是信息系统安全保障体系内容的具体化体现。
2、信息安全等级保护
信息安全等级保护制度是国家根据“我国国民经济和社会信息化进程全面加快, 网络与信息系统的普及程度越来越高, 业已成为国家的关键基础设施”的现状, 为确保国家整体信息安全颁布的一系列用于指导全国各行各业信息安全保卫工作的条令条例形成的一项国家制度。
这个制度的核心是信息安全等级保护。所谓信息安全等级保护, 就是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护, 对信息系统中使用的信息安全产品实行按等级管理, 对信息系统中发生的信息安全事件分等级响应、处置。
信息等级保护将各行各业的信息系统根据其重要性和危害性进行按等级划分, 并进行差异化等级管理, 同时从技术和管理两个方面提出了各个级别的信息系统应当具备的安全保护能力和具体的措施要求。
2.1技术类安全要求, 通常与信息系统提供的技术安全机制有关, 主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等几个层面。
2.2管理类安全要求, 通常与信息系统中各种角色参与的活动有关, 主要是通过控制各种角色的活动, 从政策、制度、规范、流程以及记录等方面作出规定来实现。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运行维护管理等几个方面。
3、等级保护与安全保障体系的结合
借助信息安全风险分析可知, 企业信息系统的安全需求是全方位和整体的, 需要从技术、管理等方面进行全面的安全设计和建设, 有效提高企业信息系统的防护、检侧、响应和恢复能力, 以抵御不断出现的安全威胁与风险, 才能保证系统长期稳定可靠的运行。
通过对比可以发现, 信息安全保障体系与信息安全等级保护制度的内容在技术和管理方面是互相对应的:
3.1信息安全策略体系
信息安全策略 (或可称为安全方针) , 是一个单位结合自身情况提出来的信息安全目标、框架和总体要求, 它被用于指导信息安全工作的开展, 而且遵循动态发展的规律。而这也是信息等级保护制度的基本要求。
目前, 很多单位对制定信息安全策略 (或安全方针) 认识不足, 没有制定一套合理的、有效的信息安全策略 (或安全方针) 。即使制订了, 也没有得到很好的遵从, 而且常常是若干时间内“一成不变”, 与本单位信息化应用的更新步调和信息化安全技术的发展趋势很不匹配, 无法适应不断变化的信息安全环境, 已经成为信息化安全的一大隐患。
各单位应该按照信息等级保护制度的“管理要求”中的“安全管理制度”规定, 制定并发布符合自身现状的信息安全策略及安全方针, 并根据自身发展现状及时地评审和修订该策略。
3.2信息安全组织体系
信息安全组织, 就是要建立一个信息安全决策、管理、执行以及监管的机构, 明确各级机构的角色与职责, 完善信息安全管理与控制的流程。
几乎每个单位都成立了一个信息安全工作的领导机构, 但由于各种原因, 很多此类机构的实际工作效率不高, 未能发挥应有的效能, 各部门的分工合作也不太顺畅, 拖累了单位整体安全目标的实现。
各单位应该按照信息等级保护制度的“管理要求”中的“安全管理机构”规定, 建立适合自身各级系统的安全管理机构, 完善岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等各项规定, 提高工作效率和监管能力。
3.3信息安全管理体系
信息安全管理, 就是一个单位在信息安全组织、运作、技术体系标准化、制度化后形成的一整套关于信息安全的管理规定。
由于管理知识和经营理念的偏差, 很大部分单位对于信息安全工程的管理、安全风险识别和控制机制、应急响应机制等内容的理解和掌握能力较差, 抵御不断出现的安全威胁与风险的水平较低, 无法确保系统长期稳定可靠的运行。
各单位应该按照信息等级保护制度的“管理要求”中的有关规定, 大力普及信息安全知识, 增强员工信息安全意识, 提高信息系统安全建设和运维管理水平。
3.4信息安全技术体系
信息安全技术, 是指能实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能的各种成熟的信息安全技术与产品。
由于员工素质和专业技术能力的参差不齐, 使得相当部分单位的信息化工作人员对于信息安全知识的理解不透彻, 过于依赖防火墙、防病毒系统、入侵检测系统等安全产品的部署, 而且这种部署很多时候只是简单的堆叠, 产品之间只是起到简单的“加”功效, 没有根据实际状况融合成一个整体而达到“乘”效应。
各单位应该按照信息等级保护制度的“技术要求”, 根据信息系统级别的差异, 制定合理的安全防护方案并依据方案有效规划安全产品布局, 加大安全技术和措施的融合力度, 尽可能实现安全效能的最大化。
4、等级保护实施原则
信息等级保护制度的“分级保护”原则, 有效地解决了信息安全保护“因一次性投入过大而无法及时到位”的问题, 也有效地解决了信息安全保护建设中“或者因超前建设而浪费, 或者因投入过低而不足”的现象, 实现了保护和投入的有效统一, 促进了信息安全防护能力的提高。
信息等级保护制度的“共同保护”原则, 规定了信息安全保障工作并不全部是信息系统单位自身的责任, 而是国家、行业主管、各单位本身以及社会组织共同承担的职责, 而且需要在国家有关等级保护管理机关的指导和监督下完成, 具有国家强制性的特点, 有效地解决了信息安全制度执行力偏弱的现象。
要想真正利用好等级保护制度, 在具体实施过程中需要严格遵循以下原则:
4.1熟悉信息安全等级保护制度是基础
虽然信息等级保护制度的实施在2007年就开始启动了, 但到目前为止真正了解、理解、掌握信息等级保护制度内容的人员还不多。所以首要工作是对各单位信息部门的从业人员进行信息等级保护制度内容“扫盲”和“入门”的培训工作, 要积极通过各种形式的学习, 普及信息等级保护制度的内容, 让他们成为“握有入门钥匙”的“种子”人员, 并通过“以点带面”的方式推广信息等级保护制度。
4.2正确的系统定级是关键
《信息系统安全保护等级定级指南》中阐述了如何对信息系统的安全级别进行定级, 并提供了量化流程和方法。各单位信息部门应该以此指南为蓝本认真研读, 结合本单位的实际情况, 制定出适合本单位现状的具体定级方法和指导意见, 并根据该具体定级方法和指导意见确定好本单位全部信息系统的正确等级。
4.3准确的风险评估是保障
信息系统安全风险评估是指依据国家有关信息安全技术标准, 对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程, 是信息安全保障体系建立过程中的重要的评价方法和决策机制。
及时准确的风险评估, 将使得各单位对其自身信息安全的状况作出准确的判断, 增强信息安全保障体系建立的准确性。
4.4持续的信息安全建设和运维是核心
完成上述步骤后, 就可参照《信息系统安全等级保护基本要求》中针对已经确定了安全保护等级的信息系统, 提出的具体保护要求, 进行必要的信息安全建设和运行维护, 并且持续不断的完善, 这样才能真正建立起一套与本单位相适应的、完备的安全保障体系。
结束语
由于各单位业务模式和信息技术仍在不断的更新和发展, 各单位自身的信息系统始终处在不断变革的过程中, 新的安全漏洞和威胁不断出现, 信息资产仍会不断出现新的安全脆弱点, 这些因素都可能会影响到整个信息系统的安全风险状态和安全等级。所以建立一套动态的安全状况跟踪和监控机制是非常必要的。在建立等级保护体系后, 还需要一个有效的、持续性的验证方法, 才能确保信息系统在不断发展的同时保证符合信息安全等级保护制度的基本要求, 才能不断地完善信息安全保障体系。
参考文献
[1]江西省公安厅网络安全保卫总队, 《信息安全等级保护工作资料汇编》, 2009-10-15
[2]庞南、刘旸、方明, 《信息安全管理教程》, 2007-1
[3]江西神舟信息安全评估中心, 《信息安全等级保护工作实用教材》, 2011-5