系统安全安全管理

2024-07-22|版权声明|我要投稿

系统安全安全管理(共12篇)

系统安全安全管理 篇1

摘要:电力系统的安全稳定运行, 在国际上也一直是一个关系到社会稳定和经济发展的共性问题, 为适应“互联网+”和能源互联网的发展, 保障电力工控侧的信息安全, 对电力工控系统的的信息安全提出了更高的要求。目前电力工控系统大量使用类Linux操作系统, 面临着越来越多的安全风险。本文针对Linux系统面临的安全威胁, 从访问控制的角度研究了Linux系统的安全防护并以Linux Security Module框架为基础, 在内核中构建一个访问控制的安全模块, 拦截与仲裁特定的访问行为, 提升工控系统的安全性。

关键词:系统安全,访问控制,安全模块,LSM,安全框架

1 引言

本文针对Linux系统所面临的安全威胁, 从访问控制的角度研究与探讨了Linux系统的安全防护, 采用强制访问控制的方法, 以Linux Security Module (LSM) 框架为基础, 在内核中构建一个访问控制的安全模块, 以此来拦截与仲裁特定的访问行为[1]。通过此种方式构建的安全模块, 既可以规范应用程序的行为, 也可以防范0-day攻击, 在系统补丁发布之前, 保护系统资源。

2 Linux访问控制技术现状

针对Linux系统的安全防护有很多种解决方案, 例如访问控制技术、防火墙技术、入侵检测系统等。在电力工控系统中, 业务系统包括电力企业用于生产、调度、经营、管理的各个业务应用系统, 主要包括SCADA系统、EMS系统、电力市场交易系统、电能量计量系统、继电保护和故障录波信息系统、配网自动化系统、变电站综合自动化系统等, 各业务系统均构建在类Linux系统上, 并针对服务器操作系统按照国网规范进行了等级包括, 包括用户口令设置、Iptables防火墙设置、数据备份等[2], 但在用于登录系统后, 系统内部资源特别是数据资源完全对用户开放, 有必要对用户的访问行为进行控制。

访问控制技术在保证Linux系统的安全性方面具有相当重要的地位, 真正做到了在系统内部构筑一道安全屏障, 以系统中与访问行为相关的主客体资源为关注对象, 并且使用安全规则规定了主体对客体的访问行为。

为了增强Linux系统的安全性并且克服自主访问控制机制所带来的不足, 很多学者和研究人员已经开始采用强制访问控制思想, 比较知名的研究成果有安全增强型Linux (SELinux) 、Linux入侵检测系统 (LIDS) 、域类型增强 (DTE) 等。2001年由Linux的创始人Linus Torvalds提出在Linux内核中需要构建一个通用的访问控制安全框架, 以可加载内核模块的方式, 支持现存各种不同的访问控制安全模块系统Linux Security Module (LSM) [3]。LSM框架是Linux内核中一个通用的轻量级访问控制框架, 它作为一个载体, 使得不同的访问控制模型以可加载内核模块的形式表现出来, 用户完全可以根据需求定制自己的安全模块, 大大提高了Linux系统访问控制机制的灵活性和易用性。

3 自定义安全策略访问控制安全防护实现

3.1 LSM框架原理

LSM安全框架的设计需要提供一个通用、安全、简单的设计模型, 尽量满足不同安全场景的需求, 同时将对内核的影响降低到最小, 使之不影响其他不需要它的人对内核的使用。为次LSM安全框架采用在内核源码中大量安置钩子函数的方法来控制对内核资源对象的访问。当用户执行系统调用时, 沿着内核原有的逻辑层层深入并且分配资源, 接着进行错误检查并且经过传统自主访问控制的检查, 在即将到达需要访问的内核对象之前, 由LSM安全模块的钩子函数对当前访问行为进行一个调用, 此时安全模块可根据设定好的安全策略来进行决策, 仲裁此次的访问行为。

3.2 自定义安全策略防护需求

以SELinux为代表的一系列访问控制安全模块系统在安全策略的制定上显得较为复杂, 原生态的SELinux甚至提供了安全策略编写的元语言标准, 将安全策略单独编译后以rpm包的形式安装进内核, 这类编程式的策略制定方法在准确性以及成功率方面都不能得到有效保证;同时策略调整起来较为复杂。为此本次研究依据EMS系统管理实际需求, 设计并实现一种简单高效的安全策略配置方式, 从文件保护、进程保护、限制进程能力范围等方面来守护系统, 同时使得普通用户 (即并不具备Linux内核专业知识的用户) 也可以成功地自主制定安全策略[4]。针对电力工控系统实际安全需求, 主要实现以下防护功能: (1) 文件系统保护, 实现系统中一些重要文件的保护, 如/bin/login, /etc/passwd等。 (2) 进程保护, 针对系统中一些重要进程的保护, 如提供web容器的httpd进程, EMS进程、SCADA主进程及数据库主进程。 (3) 限制进程的能力范围, 针对系统中应用进程权限范围的限制, 通过在LSM框架中集成capability能力机制, 给指定的进程赋予指定的能力, 例如:CAP_SETUID (设置用户UID的能力) 、CAP_SETGID (设置组ID的能力) 等。

3.3 自定义安全策略防护整体框架

采用基于强制访问控制思想的LSM安全模块, 需要在访问控制流程的某个关键点上, 在访问即将到达受访资源之前进行拦截与仲裁, 如图1所示。

安全模块处于系统调用在内核实现的关键点上, 负责收集当前访问的行为信息, 向安全策略中心进行查询, 并且返回仲裁结果。安全模块包括配置文件子模块、解析子模块以及访问控制子模块。其中配置文件子模块向用户提供安全策略的配置, 它由一系列安全策略配置文件组成, 可根据事先定义好的书写规则为需要保护的对象定义安全策略。解析子模块主要功能为解析安全策略, 该部分向上提供对配置文件的解析, 向下提供对访问控制子模块的安全信息查询, 并且不断监听来自用户空间的信号, 以便当配置文件更新时重新进行解析。该子模块的实现应包含守护进程, 在安全模块初始化时启动, 读取配置文件子模块中的安全策略配置文件, 经过解析、处理之后存储于内核空间, 供访问控制处理子模块调用。访问控制子模块, 主要功能为仲裁访问行为。该部分主要负责安全模块系统的注册、注销、钩子函数的重写等, 主要依托LSM框架所提供的API进行开发。该部分为安全模块的决策处理部分, 对访问控制行为的判定均在此处产生。三个子模块直接互相协作, 实现资源访问的安全控制。

3.4 配置文件子模块实现

安全模块以文件全路径名作为保护标识进行识别, 从三个方面对文件进行保护, 分别是读、写、执行, 同时根据最小授权原则, 针对以上每一项操作都规定适用者集合, 即允许进行此项操作的用户集合, 以用户登录的用户名或者系统内部的UID进行标识, 适用者集合以外的用户无权进行以上三种操作。同时针对文件资源的保护定义为如下形式:文件全路径名映射到三种操作, 每一种操作映射一组授权对象。

进程保护所涉及的受保护资源为系统级的服务进程以及业务系统进程, 如SCADA后台进程、实时数据库等, 以受保护进程的进程名称作为保护标识进行识别, 从进程的杀死、暂停、重启三个方面进行保护, 针对每项操作规定适用者集合, 并在保护配置文件中进行配置。

3.5 解析子模块实现

解析子模块初始化时启动一个内核进程, 在整个安全模块运行的过程中, 该守护进程一直存在, 实现两项工作: (1) 对配置文件进行解析; (2) 不断监听来自用户空间的信号。配置文件解析将用户对安全的配置转换成安全模块可识别的元素, 再共享给访问控制处理子模块;同时当配置文件发生变动时 (例如用户重新配置某些选项) , 守护进程重新对配置文件进行解析, 更新安全策略。

3.6 访问控制子模块设计

访问控制子模块负责拦截访问行为以及对访问行为进行安全检查。拦截访问行为主要依靠LSM安插在内核中的钩子函数完成, 当系统中主体对客体进行访问时, 在访问到达客体之前, 钩子函数会拦截此次访问, 引导其进入访问控制子模块接受安全检查;在对访问行为进行安全检查之前, 还需收集此次访问的行为信息, 一般是从进程上下文或者相关结构体中提取诸如进程UID、进程PID以及欲进行的操作等信息, 然后调用解析子模块中的判断函数, 将提取的信息跟解析之后的安全策略信息比较匹配, 得出最终的安全检查结果, 进而放行或阻止当前的访问行为。

以文件访问open系统调用为例, 系列经过一系列调用流程后, 最终进入inode_permission函数, 该函数正是LSM安全框架安插在open系统调用的内核实现函数中的钩子函数, 定义为int (*inode_permission) (struc tinode*inode, int mask, struct nameidata*nd) , 通过实现该钩子函数并注册后可实现用户访问文件、访问进程时的权限控制。具体实现实例如下:

4 安全防护应用测试

在Cent Os 6.732位操作系统, 2.6.20版本的Linux操作系统内核上对进程保护进行测试, 启动受保护的excp进程, 当bo用户使用./exep命令去尝试执行该可执行文件时, 由于在配置文件中没有赋予bo用户对/home/bo/Desktop/exep文件的执行操作权限, 执行操作被系统拒绝。

5 总结

本文介绍了访问控制技术在加强Linux系统安全性方面的用途, 并以Linux Security Module框架为基础, 在内核中构建一个访问控制的安全模块, 拦截与仲裁特定的访问行为, 通过实际测试, 验证了自定义策略安全防护模块的有效性, 提升了工控系统的安全性。

参考文献

[1]王静.SELinux的访问控制模型的分析与研究.计算机安全, 2008.

[2]林绅文.基于LSM框架的安全增强型文件系统研究.北京邮电大学学报, 2008.02.

[3]陈汗章.访问控制框架及其在Linux中的应用研究.计算机应用研究, 2007.

[4]王成耀.基于Ls M的安全访问控制实现.计算机工程, 2005.

系统安全安全管理 篇2

甲方:

市公安局

分局 乙方(网吧):

为保障网吧互联网络正常运行,保护上网消费人员的身份信息安全,按照国家相关法律、法规之规定,甲、乙双方就网吧安全审计系统安装使用中的保密事项达成如下协议:

1、甲、乙双方工作人员应对网吧信息、上网消费人员的身份信息等承担保密义务;

2、除甲、乙双方工作人员以外,任何单位和个人不得查看、使用网吧安全审计系统;

3、乙方应指定专人负责管理和使用网吧安全审计系统,不得转租、借用或作其他用途;

4、乙方应严格管理系统登录帐号和密码,不得对系统进行任何删除、增加或修改;

5、乙方对甲方依法进行的各类检查、调查工作承担保密义务。

本协议一式三份,市公安局网监支队一份,甲、乙双方各执一份。

甲方:

乙方:

(盖章)

(盖章)年

安全系统DIY 篇3

在Windows XP Professional中,为了增强易用性,默认情况下微软关闭或完全禁止了很多安全特性。这等于在你的系统中开了很多门,甚至不用借助专业的工具就可以实现入侵。以用户权限为例,在安装过程中,Windows会自动创建一个不受任何保护的管理员帐户,并将进行安装操作的人的帐户添加到管理员组。这也就意味着,任何使用这种方式登录的人都可以获得所有的管理权限。

这种特性也会被以同样方式运行的病毒借用。但只要你了解一些常识,并使用正确的工具,你就可以把原本容易被入侵的系统放入一个安全的数字保险箱。

检查隐藏用户

默认情况下,Windows XP会在安装过程中创建四个预先设置好的帐户:Administrator、Guest、Help Assistant以及Support,不过很多人并没有注意到这一点,因为“控制面板”中的“用户帐户”选项只显示其中两类帐户:用户自己的帐户还有Guest。如果想要看到完整的默认帐户以及用户帐户列表,你需要运行“管理工具”下的“计算机管理”控制台单元,然后在“本地用户和组”节点下查看。

要解决这个问题,只要取消用户帐户的所有管理特权,并按照下面介绍的操作给所有具有管理特权的帐户设置一个高强度、安全的密码——这是你应该优先关注的。

启动系统后最好不要显示欢迎屏幕,为了确保只有被授权的人才可以访问系统,最好以传统的Windows登录界面方式进入系统,这种方式从Windows NT时代就开始使用了。

控制访问方式

要更改“欢迎屏幕”选项,并为不受保护的Administrator帐户添加密码。请在欢迎屏幕上按下Ctrl+Alt+Del组合键两次,打开传统Windows登录对话框,在用户名一栏中输入“Administrator”。保持密码为空,如果可以登录,就说明你的Administrator帐户并没有受到保护。

打开“控制面板”|“用户帐户”|“更改用户登录或注销的方式”,取消对“使用欢迎屏幕”选项的选择,并点击“应用选项”按钮确认更改。

在“用户帐户”窗口中点击“更改帐户”,然后点击“Administrator”图标。点击“创建密码”,然后输入你的密码。在随后出现的对话框中回答有关是否要限制他人对你的文件和文件夹进行访问的问题,选择“是的,仅供我使用”,这样就可以阻止具有有限权限的用户访问由管理员创建的文件了。你还可以通过“计算机管理”控制单元重设密码(如图1),方法会在下面详细介绍。

安全的密码并不单纯指密码的长度必须很长,而是指密码必须很难被猜中。这样的密码必须至少包含15位字符,同时还要包含大小写字母、数字,以及至少一个特殊字符,例如@、#或者$等。密码越复杂越好,不过你要确保自己能记住这样的密码,通常使用句子或者短语作为密码更好记一点。

自动保证密码安全

如果你更改了自己帐户的密码,请确保新密码和老密码有较大不同。当创建和保存新密码的时候,有些工具,例如Keepass(http://keepass.sourceforge.net)相当有用。该软件内置的密码生成器可以根据你的需要创建安全的密码。你可以选择要生成的密码中需要包含哪些字符以及密码的长度,你还可以借助鼠标指针的移动以及键盘输入来生成随机密码。Keepass也可以用来管理你的密码。

别依赖管理特权

一旦将Administrator帐户纳入保护,你就可以开始配置其他用户帐户了。要配置其他用户帐户,请使用Administrator帐户登录,然后打开“本地用户和组”管理单元;在“组”节点下,用右键单击“Administrators”,然后选择“属性”;在“成员”框中选中你想要从该组中删除的帐户,然后点击“删除”按钮确认删除。

如果想要向该组中添加帐户,请在该组的“属性”对话框中重复与上文所述类似的操作,不过在用户的“属性”对话框中点击“添加”按钮。

这样做的不便之处在于被从Administrators组删除的用户只拥有更少的权限,但在进行一些日常操作,例如安装新软件的时候往往需要管理员帐户的协助。要在这种情况下协助用户,你可以通过按下Windows徽标键+L键打开登录界面,并使用管理员帐户登录。

正确使用特权

如果你正在使用非管理员帐户,那么你就必须忍受不少限制。大致来说,如果一个应用程序深入系统的操作越多,那么该程序就需要越高的权限。

甚至Windows XP自带的一些组件也需要管理员权限,例如磁盘碎片整理程序、数据备份程序,还有一些控制面板选项,例如firewall.cpl、main.cpl以及sysdm.cpl等。

下面将要介绍的Runas命令在这里就可以用到。不过对每个应用程序都分别用鼠标右键点击,然后输入密码显得有些麻烦(如图2),尤其是在日常操作经常需要用到的时候。这时候直接修改应用程序的快捷方式就简单多了。

管理模式下运行的应用程序

如果你希望让一个程序运行在管理模式下(而你并没有使用管理员帐户登录),请用鼠标右键点击该程序快捷方式的图标,选择“属性”,在该快捷方式运行的命令前添加“runas /user:[username]”,这样整行命令就变成了“runas /user:[username] “C:[program filename.exe]””。

在这个例子中,“[username]”代表管理员帐户的用户名。当你下一次“通过”该快捷方式启动程序的时候,系统会自动打开一个命令提示行窗口,你需要在这里输入该管理员帐户的密码。在你输入密码的时候,输入的内容并不会显示在命令行窗口中,这是正常的,Windows并不会显示你输入的内容,而且光标的位置也不会随着你的输入移动,不用担心。

联合使用runas命令以及/savecred参数可以实现更方便的操作。该参数让Windows记住你输入的管理员帐户密码。这样完整的命令就变成了:

runas /user:[username] /savecred “C:[programfilename.exe]”

通过这种方式记忆的密码可以通过“用户帐户”|“管理我的网络密码”选项进行管理,而且可以随时从中将密码删除。

没什么用的安全中心

创建一个安全的系统也包含可通过“控制面板”打开的Windows XP安全中心(如图3、4)。通过该功能可以管理的设置包括Windows Update、Windows防火墙,还有病毒扫描程序。因为“安全更新”功能是系统的一个服务,而非一个应用程序,因此它是可以随意操作的。例如,病毒可以欺骗该服务,说防病毒软件目前的病毒定义是最新的,Troj/Bdoor-HK以及W32.Spybot.NLX do这类病毒甚至可以干脆关闭该功能。你不能因为安全中心服务没有报告任何问题就认为你的系统是安全的。而且安全中心服务本身也缺乏有效的防病毒软件和反间谍软件,因此你仍需要自己安装相应的软件。

简单的七个步骤创建安全的Windows XP系统

通过创建一个新的帐户,将该帐户的特权限制到最小,并且禁止该帐户对系统进行任何修改——只需要七个步骤就可以全面提高你系统的安全性。要做到这一点,你可以使用虚拟机(例如运行Virtual PC)或者配置一台安全的“公用”系统。

第一步

要配置一个公用的XP系统,你需要安装免费的Microsoft Shared Computer Toolkit(MSCT),该软件可以从www.microsoft.com/windowsxp/sharedaccess下载;还需要安装User Profile Hive Cleanup(下载地址http://tinyurl.com/5ewty)。同时为了使用Windows磁盘保护(Windows Disk Protection,WDP)功能,你还必须有至少1GB的可用硬盘空间,另外你可能还需要有一个分区管理工具,例如Symantec Norton Partition Magic,用这个工具来更改Windows分区的大小。

第二步

使用管理员帐户登录,并运行uphclean-Setup.msi启动MSCT的安装程序。点击“Next”按钮,接受C:Program FilesMicrosoft Shared Computer Toolkit为默认的安装位置。当安装完成后,你可以打开Getting Started向导。

第三步

在向导的第二步设置全局限制,例如禁止在C盘根目录下创建文件或文件夹。对于公用计算机,最好能启用这里显示的所有选项。

第四步

在向导的第三步,点击“Open User Accounts”设置界面,创建一个受限制的用户帐户。然后点击第四步中显示的“Log off now”注销,并使用新建的帐户登录以便对该帐户进行配置。

第五步

配置好之后,再次使用管理员帐户登录,在向导的第五步点击“Open UserRestrictions”。在“Select a Profile”选项下选择新建的帐户,选中“Lock this Profile”选项。在“Optional Restrictions”选项下还有很多额外的限制,为这个共享帐户启用所有建议的限制,然后点击“OK”按钮应用。

第六步

在向导的第六步点击“Log off now”按钮注销,并使用新帐户登录,测试所有限制。测试完成后再次注销,使用管理员帐户登录,继续其余的配置。

第七步

点击“Windows Disk Protection”,在“Restart Action”选项下选中“Turn On”选项(如图6)。当你设置好所有选项后,点击“OK”重启动系统。现在其他用户就可以安全地登录到系统中来了。

隐形的危胁1:ADS

NTFS文件系统有一个经常被忽略的“特性”,那就是ADS(Alternate Data Stream,可交换数据流)。简单来说,这是一种高级的文件属性,可以被附加到文件或者目录上,该属性中可以包含一定的数据。举例来说,这些附加的数据流可能会包含一些危险的可执行文件,可能造成安全隐患。

事实上,不管是Windows资源管理器还是“dir”命令都无法显示ADS,这也就使得ADS可能成为恶意代码的藏身之处。ADS和下面将要介绍的所谓的“rootkits”都比较麻烦,目前只有很少的防病毒软件可以检测并清理。

除此之外,附加了ADS的文件在Windows中显示时体积上不会有任何变化,这也就意味着,如果使用操作系统自带的功能,你根本无法判断出哪些文件被附加了ADS。甚至还有更糟的:创建ADS的操作并不会受到NTFS访问控制列表的限制——也就是说,任何用户,不管对一个文件或文件夹有没有访问权限,都可以在该文件(夹)上附加ADS。

追踪和删除ADS

Windows XP,甚至微软的下一代操作系统Vista中都没有提供查看ADS的工具。不过在微软网站上有一个开发中的工具:ntfsext.exe,可以为Windows资源管理器提供对ADS的支持(下载地址http://tinyurl.com/4do6h)。

在下载的自解压文件中,你可以找到strmext.zip这个文件。将该文件中的内容解压缩出来,然后将strmext.dll复制到C:WindowsSystem32,并使用下列命令注册该文件:

regsvr32 StrmExt.dll

这样就可以在Windows资源管理器的“文件属性”对话框中添加一个“Streams”选项卡。

为了让这个选项卡出现在“文件夹属性”以及“根目录属性”对话框中,你还需要对注册表的下述键值进行修改:

键1: Hkey_Classes_RootDirectoryshellexPropertySheetHandlers{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}

键2: Hkey_Classes_RootRootshellexPropertySheet-Handlers{C3ED1 679-814B-4DA9-AB00-1CAC71F5E 337}

免费的ADS扫描工具

使用工具在整个分区中所有文件和文件夹上扫描ADS更加容易一些,声称可以做到这一点的程序包括Streams 1.53(www.sysinternals.com/Utilities/Streams.html)、Lads4.0(www.heysoft.de/Frames/f_sw_la_en.htm)、Crucial ADS 1.0(www.crucialsecurity.com/products),还有ADS Locator(www.safernetworking.org/en/tools/tools_ads.html)。

Streams可以删除不需要的ADS,而Lads(如图7)甚至可以跨越局域网工作。Crucial ADS和ADS Locator都有图形界面。一旦你找到了不需要的ADS,解决的方法也是相当简单的:只要将这些文件移动到FAT分区即可,因为ADS只能存在于NTFS分区上。

或者,你也可以使用“Type”命令将文件的内容写入一个新的文件中,这样可以删除原文件中附加的所有ADS信息:

ren config.sys old.sys

type old.sys > config.sys

del old.sys

隐形的危险2:Rootkit

Windows中的rootkit是另一种危险:rootkit会在系统后台偷偷运行,并将自己运行的进程隐藏起来,让用户无法看到。这些进程可以和注册表项、Windows服务,或者其他文件捆绑起来。如果被未知病毒、间谍软件,或者其他程序滥用,rootkit也会变得相当危险。最近一个影响很大的相关事件就是SONY娱乐公司的某些音频CD为了防止被拷贝,会给用户的计算机中安装rootkit。

因此,最好能安装下面列举的两个非常著名的rootkit检测软件:Rootkit Revealer 1.70(www.sysinternals.com/Utilities/RootkitRevealer.html)以及F-Secure Blacklight(www.f-ecure.com/blacklight),并时常运行。

加密文件系统

Windows XP Professional中自带的一个最重要的安全功能就是加密文件系统(Encrypting File System,EFS),该功能可以用于加密保存在NTFS文件系统分区上的所有文件(如图8)。这个功能非常实用和安全:默认情况下,除了加密文件的人之外,其他任何人都无法解密或者修改文件,而且对于自己加密的文件,使用起来和未加密的文件一样方便。

然而要提醒你注意:使用EFS加密的文件和加密该文件的用户的用户名没有任何关系。因为,当第一次使用该功能的时候,Windows XP会自动创建密钥,这些密钥会被保存在用户自己的配置文件中。

如果没有密钥——比如密钥被无意中删除了,或者你重装了Windows——你就无法解密之前加密的文件了。因此在对系统进行一些较大规模的调整或设置之前,你最好使用Windows自带的备份程序将加密后的文件备份起来(备份的文件依然处于被加密的状态)。或者你也可以使用系统自带的证书导出向导将你的证书和密钥导出保存。要导出密钥,在Internet Explorer的“工具”菜单下点击“Internet选项”,接着打开“内容”选项卡,点击“证书”按钮,打开“个人”选项卡,选中你的证书,然后点击“导出”。

关于使用EFS的详细信息,请参考 www.microsoft.com/technet/prodtechnol/winxppro/reskit/c18621675.mspx .

实际上,在文件夹级别上进行加密更好,因为这样可自动加密此后在该文件夹中新建的文件以及子文件夹。在Windows资源管理器中显示你想要加密的文件所在的文件夹图标,用鼠标右键单击该文件夹,选择“属性”;在随后出现的“属性”对话框中点击“高级”按钮,然后选中“加密内容以便保护数据”选项;在随后出现的“确认属性更改”对话框中,你可以直接接受默认选中的“将更改应用于该文件夹、子文件夹和文件”这个选项。

如果经常需要加密或解密文件/文件夹,你也可以将加密命令放在右键菜单中。要做到这一点,运行“Regedit”打开“注册表编辑器”,定位到“Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”,新建一个名为“EncryptionContextMenu”的DWORD项,将其数值设置为“1”。

进一步的信息

安全检查保障信息系统安全 篇4

随着信息技术的飞速发展和网络技术在各行业的广泛应用, 世界各国的信息化取得了飞速的发展。信息系统在国民经济和社会信息化的背景下, 提高了办公效率, 改善决策和投资环境, 为信息管理、服务水平的提高提供了强大的技术支持。同时, 由于其信息系统的开放性, 针对信息系统的信息安全事件也频繁发生, 安全威胁越来越严重, 信息系统的信息安全问题已成为世界各国重点关注和亟待解决的问题。

世界各国为了解决信息系统的安全问题, 普遍采用了检查、评估等方法来保证信息系统的安全性, 并建立了相应的法律、标准、规范等, 其中以美国的信息安全检查指标体系最具代表性。我国一些关系到国计民生的重点行业为保证信息系统的安全性, 也采取了安全检查的方法来保证信息系统的安全性。

2. 国外信息系统安全检查评估现状

美国联邦信息安全管理法案 (Federal Information Security Management Act, FISMA) 要求联邦各机构对每一个系统实施“定期的有效性测试与评估, 考察信息安全的策略、流程与措施。评估的频率视风险而定, 但不能少于每年一次”。这种评估包括对管理、运行和技术类控制的测试。该条款不要求联邦机构实施国家标准技术研究院 (National Institute of Standards and Technology, NIST) 的认证和认可指南中所需要的复杂的测试, 而是要求维护一个持续不断的风险评估过程, 以确保安全控制能将风险维持在一种可接受的级别上。该条款还强调了对各系统安全状态的了解, 以便正确地维护系统级的行动和里程碑计划 (Plan of Action and Milestone, POA&M) , 并要求在每年度准确地报告各机构IT安全项目的总体态势。

年度FISMA检查的广度和深度依赖于多种因素。

1) 可接受的风险级别以及系统或信息遭受危害的程度;

2) 系统配置和设置得到在案记录以及持续监督的范围;

3) 补丁管理的实施范围;

4) 最近一次检查的相对综合性;

5) 作为系统认证和认可的组成部分的最近一次深度测试与评估的时间。

行政管理和预算局 (Office of Management and Budget, 以下简称OMB) 在每年夏季公布上一年7月1日至下一年6月30日 (一个会计年度) 的信息安全管理实施报告指南, 要求各部门信息主管及由美国审计总署委派、总统任命、独立于各部门的监察长提交报告, OMB再根据前面两个来源的报告撰写总报告后提交国会审议。

OMB制定了一个考评准则, 满分为100分。在OMB的考评准则中, 大部分是针对广泛人群的提问调查。因此, 得分与某项信息安全工作在部门内实施的范围成正比。0分表示比例小于最低要求, 例如只有29%甚至更低比例的雇员接受过信息安全培训;不同的比例范围将被赋予不同的分数, 总分数由各单项分数汇总而成。

除OMB提交的报告外, 美国还有另外一份由国会众议院监管及政府改革委员会 (Committee on Oversight and Government Reform) 做出的政府信息系统安全评估报告。监管及政府改革委员会做出的报告的基础数据来源也是各部门提交的报告, 但其评价方法是量化的。监管及政府改革委员会特地制定了一套政务信息系统安全检查指标体系, 评分后可以直观地了解政府各部门电子政府信息安全的基本情况。

美国众议院监管及政府改革委员会根据各部门提交的报告, 依照评分框架, 每年春季提出各部门的评分与评级结果。该指标体系提供了一个政府各部门信息安全基本情况的排名方法:首先是依据信息安全检查评分框架对各政府部门进行评分, 然后再根据不同部门的评分或评级的高低对部门进行排序, 得出各部门之间信息安全基本情况的横向比较。

俄罗斯在保障政府信息系统信息安全方面做了大量的工作。俄罗斯宪法把信息安全纳入了国家安全管理范围, 颁布了《联邦信息、信息化和信息网络保护法》, 强调了国家在建立信息资源和信息网络化中的责任。俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段RGIN (Russian Government Internet Network) , 并建成了高效安全的“阿特拉斯”数据传输, 确保俄罗斯联邦各主体行政中心之间文件的网络传输。

他们还确立了《计算机系统安全评估标准》、《产品安全评估软件》等一系列完善的系统安全评估指标。同时, 建立了联邦经济信息保护中心, 负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。俄罗斯十分重视信息安全检查工作, 从法令、机构人员、资金、技术、管理等角度对信息安全检查工作予以全方位的支持和保障。

英国政府非常重视对信息安全法律法规执行情况的监督检查。一些政府部门设有专门的工作小组负责对有关电子政务建设法律法规和规章制度的贯彻落实和监督检查。例如英国教育与技能部有6人工作小组, 专门负责《数据保护法案》和《信息自由法》两法执行情况的监督检查。为形成制约机制, 对法律法规执行情况进行有效的监管, 他们采取了一些行之有效的措施, 如将机关工作人员执行法律法规和规章制度的情况与其业绩和奖惩挂钩, 若有违犯有关规定的行为, 一经发现轻则由人事部门提出警告, 重则开除。

德国在内政部下建立了信息安全局, 负责促进政府、企业和个人在IT应用方面的安全工作, 保证政府信息系统的安全性、实施信息安全技术的合法性及相关标准的统一性等。从确立安全要求, 到应用信息安全技术的计划、设计、实施、评估以及安全检查等, 德国政府进行了多方面的信息安全任务。但是德国信息安全检查工作还存在着一些不足, 例如工作人员责任不清, 授权不明, 检查工作无认证、无标准、无评估, 缺乏经常的监控工作等。

3. 国内信息系统安全检查评估现状

近几年来, 我国电力企业信息化投资占企业总投资的比重越来越大, IT基础设施不断完善, 信息系统越来越多。信息系统安全对电力企业意义重大, 它应该与电网安全一样被重视。

事实上, 2003年, 国家电网公司已将国家电力信息系统的安全运行纳入到电力安全生产管理的范畴, 把信息系统的安全管理纳入电力安全生产体系, 实行了信息系统安全运行报表制度和监督管理制度。电力企业经过多年的电力生产安全管理实践, 形成了一套电力安全生产规章制度, 建立了电力生产安全管理机制, 并且根据现代电力生产管理需求, 基于风险管理的理论, 开展了安全性评价工作。《供电企业安全检查性评价》从生产设备系统、劳动和作业环境、安全生产管理三个方面进行危险性查评诊断, 并坚持“自查、自检、自改”以及专家查评与单位班组自查相结合的原则, 将安全生产管理的重心放到一线班组, 实现安全生产各项管理工作的标准化、规范化, 用规范化的管理实现安全生产的动态过程管理。

供电企业将信息系统安全检查提高到电力安全生产的高度, 并借鉴电力生产安全性评价的做法, 对信息系统安全检查工作常态化, 坚持“自查、自检、自改”, 并坚持安全性评价专家查评与班组自查相结合的原则。

保险信息系统安全问题关系保险业发展全局, 也关系到社会经济的稳定。现代保险业的运转对信息化的依赖程度与日俱增, 信息化不再只是一种辅助的手段, 而是已成为保险机构的大动脉。

中国保监会早已认识到保险业信息系统安全检查的重要性, 在2008年奥运和2009年国庆期间, 保监会都组织了保险业的信息系统安全大检查。保险业信息安全检查工作以各公司自查为主, 主要围绕“内控与组织管理”和“信息技术管理”两个重点开展。保监会统计信息部负责全行业信息系统安全检查工作的组织领导, 并组织检查组对部分公司进行现场检查;各公司负责各自信息系统的安全检查工作的组织实施。

在保险公司进行自查的基础上, 保监会组织网络与信息安全检查组, 对部分保险公司和部分地区的分公司进行现场检查, 在检查中采用抽查方式对核心业务系统进行安全评测, 根据检查情况和评测结果对被检查单位提出整改意见。

随着电信新技术、新业务的不断涌现, 尤其是互联网的蓬勃发展以及电信运营企业向综和信息服务提供商的战略转型, 传统电信网络与现代通信网络的“网络与信息安全”概念有了很大的不同, 做好网络与信息安全工作显得更加重要与突出。在工业和信息化部的要求下, 各省通信管理局开展了信息系统安全检查工作, 提高了电信网络的抗风险能力, 推动了电信网络信息安全保障工作。

电信信息系统安全检查重点检查计算机安全规章制度的落实情况、安全人员的配备、防病毒措施等, 采取企业自查、分组交叉检查和重点抽查相结合的方式, 督促和检查各企业电信网络安全工作的落实情况, 帮助企业进一步完善电信网络安全防范和应急体系。企业以自查工作为契机和动力, 发现自身存在的问题和不足, 制定整改计划和措施着手解决。通过分组交叉检查对电信企业进行了横向比较分析和总结, 促进了相互学习、取长补短, 提高了网络与信息安全的保障能力和水平。

随着税收信息化的快速推进, 各级税务机关对信息安全越来越重视, 信息安全方面的投入也越来越大。税务系统信息安全检查以非涉密的网络系统和物理环境为检查对象, 检查内容包括安全管理检查和安全技术检查两大部分。检查技术和实施方案按照安全评估和等级保护要求, 结合税务行业标准制定的完善, 确保检查的系统性、完整性、针对性和时效性, 提高了税务信息的安全保障能力。在检查实施过程中, 主要使用了人工检查评估和工具检查评估两种方法。所涉及的过程包括安全管理策略问卷调查、网络安全设备评估、主机系统工具扫描、主机系统人工评估、安全威胁调查、渗透性测试、现场勘察等。

税务系统进行信息安全检查, 按照综合评估、点面结合、以点带面、注重实效的工作思路, 在全面系统检查的同时, 对基础性的安全管理、关键技术平台设备、技术实施、运维监控和风险防范进行重点抽查, 既有全面性的问卷调查, 又有重点性的现场上机检查, 紧密围绕建立网络与信息安全基本保障体系建设, 持续性地进行安全加固和风险防范。

综合上述分析, 我国的信息安全起步较晚, 在信息系统安全检查方面开展工作的时间也不长, 在信息安全检查方面还存在着一些不足。

没有统一完善的标准和规范。我国各行业在进行信息安全检查工作时没有统一完善的行业标准和规范, 在开展信息安全检查工作时存在各级企业或机关自定标准自行检查的情况, 这不利于对各级信息系统进行安全性的横向比较, 也不利于检查工作的持续开展。各行业应制定一套明确、全面的检查标准和规范, 建立一套清晰的信息安全检查工作体系, 增强自身的检查评估能力, 推动信息安全建设的持续发展和深化落实。

缺乏良好的指标体系和监管机制。我国各行业信息安全检查虽然取得了一定的效果, 但各行业都没有建立一个良好的信息系统安全检查指标体系和监管机制。各企业和机关在进行自检时随意性较强, 没有规范的执行流程, 没有一套完善的指标体系;上级指导机构对其没有缺乏统一的监督和管理, 没有建立公开、明确的奖惩机制。

对内部威胁的重视不够。各行业的信息安全建设和检查大多还限制在堵漏洞、做高墙、防外攻这些老路上。实际上, 企业和机关内部数据安全的危害性正在日益上升, 如未经授权的雇员对文件或数据的访问、带有涉密数据的可移动设备遗失或失窃等, 恶意员工故意破坏信息系统甚至泄漏机密等, 但这些还没有引起足够的重视。

对信息安全的认识存在误区。目前各行业还普遍存在以是否发生安全事故作为信息安全工作好坏的衡量标准的现象。一些信息系统的建设时间较短, 没有发生足以引起信息安全管理机构重视的安全事件, 因此就盲目地认为当前信息安全防范工作已经足够, 这样的认识存在着误区, 并对信息安全带来极大的安全隐患。信息安全的处理应该遵循风险管理的原则和方法, 安全事件的防范应该以安全风险防范的方式来处理。

4. 启示

目前, 我国政府对信息系统虽然在信息安全检查方面开展了一些相应的工作, 取得了一定的效果。但与其他行业信息安全检查情况类似, 存在着上述问题。与国外信息安全工作开展较早的国家相比, 我国目前还没有成熟有效的信息系统安全检查方法和相应的管理机制、管理制度和规范等, 在这方面还需要开展很多工作。通过对美、俄、英、德等国信息系统安全检查现状的分析, 在我国政府信息系统安全检查体系建设中可得到以下启示。

加强信息安全基础工作。政府信息系统的信息安全检查评估工作需要依赖已开展的信息安全基础工作, 如信息系统安全性建设、信息安全技术的实施、政府人员的安全教育与培训等。

建立信息安全法规和标准体系。国外的信息安全检查评估大多是针对信息安全标准、法规等进行符合性检查, 这需要建立一套全面完善的法规、标准体系。我国目前在这方面还有很大的不足。

技术与管理并重。国外的信息安全检查很多集中在管理方面, 对技术方面涉及较少。我国在建立信息安全检查指标体系时应该管理与技术并重, 进行全方位的信息安全检查, 来充分保障我国政府信息系统的安全。

自查与监督检查的相结合。政府各部门内部的经常性、规律性的自查可以增强政府人员的信息安全意识, 提高部门信息安全人员的管理和技术水平。监督检查可以在自查的基础上进行针对性的检查和监督, 节约检查时间和成本。

建立信息安全检查评估的管理机制。建立国家层面上的、权威统一的信息安全检查评估管理机制, 对相关工作进行统一的协调和管理, 避免在信息安全检查评估过程中造成检查人员责任不清、授权重叠、授权不足、检查标准降低等情况, 加强对信息安全检查工作的监督管理, 使信息安全检查工作规范、有序地进行, 保证检查工作的高质、高效。

参考文献

[1]Office of Management and Budget.http://www.whitehouse.gov/omb/.

[2]Committee on Oversight and Government Reform.http://oversight.house.gov/.

[3]樊国桢等.美国联邦政府资讯安全管理系统稽核作业与相关标准初探.

[4]刘洋海.浅谈电力企业信息安全性检查.南方电网技术研究.2006, 2 (3) :65-67.

航空安全保卫系统安全分析浅探 篇5

航空安全保卫系统安全分析浅探

摘要:本文应用安全管理的系统安全分析理论与方法,较为系统地厘清了航空安全保卫系统的风险管理理论与方法.航空安全保卫系统风险管理理论与方法的`构建,首先应在合理分解诸如公安行政、民航机场、航空公司等子系统功能的基础上,采用检查表方法准确全面地识别危害安全保卫的内外部危险源,其次从可能性和危害性二者有机结合的维度科学细致地评价危险性,并兼顾定量与定性二法对危险性进行分级,最后从外部环节控制、危害空房安全行为控制、航空保安系统完善三个维度制定出航空安全保卫系统的风险化解策略.作 者:魏中许    贺元骅    WEI Zhong-xu    HE Yuan-hua  作者单位:中国民用航空飞行学院空防安全研究所,广汉,618307 期 刊:中国公共安全(学术版)   Journal:CHINA PUBLIC SECURITY 年,卷(期):, “”(1) 分类号:X913.4 关键词:航空安全保卫    系统安全分析    危险源    危险性评价    风险控制   

 

地铁票务系统信息安全管理思考 篇6

关键词:地铁;票务系统;AFC;收益审核;安全管理

中图分类号:TP319     文献标识码:A      文章编号:1006-8937(2014)35-0064-02

随着计算机技术的快速发展,在现代化经济不断发展的今天,计算机技术在各个生活及经济领域中得到广泛的应用,其中,随着地铁的逐步开放,计算机技术及网络技术在地铁建设中发挥了重要作用,构建了集计算机技术、网络技术及自动化技术于一体的地铁票务系统。但是,人们在享受新技术带来革命性变化时,因计算机网络终端分布不均、开放性、互联性等特点,计算机技术也给人们带来了许多问题,尤其是网络安全问题。在互联网时代下,为了确保地铁正常运营,这就要求构建的地铁票务系统必须有足够强的安全措施,加强地铁票务系统信息的安全管理,减少人力、物力资源及经济的损失,以促进我国轨道交通的建设与发展。为此,本文对地铁票务系统的信息安全管理进行探讨,包括地铁票务系统的日常安全管理工作、自动售检票系统(AFC)及票务等安全管理工作。

1  加强日常安全管理工作

在日常安全管理工作中,首先应严格落实安全生产责任制,在地铁票务中心,要求票务中心的领导及全体员工都签署了《安全生产、消防、综合治理目标管理责任书》,将生产安全责任制度落实到实处,明确员工的责任和义务,提高员工的安全意识。在条件允许的情况下,对全体员工进行三级安全专业培训,包括运营分公司级别、中心级别、车站(班组)级别三个安全培训,有针对性地加强安全专业知识培训,可以达到良好的效果。

其次,加强票务中心工作现场的安全检查力度,定期由客运部牵头会同票务中心、站务中心、安保部及计划财务部对票务系统进行安全监察,作为票务系统管理机构,可以深入到票务中心、车站票亭等对人员操作安全、工作环境及AFC设备等进行安全检查,若发现系统存在安全隐患,应下发整改通知单,待下次检查,确认是否整改。

再次,建立一套安全网络,推进安全管理工作的开展,要求地铁票务管理部门在票务中心建立一套安全网络,每月定期开展安全例会,车站每周举行一次安全例会,讨论各项安全工作,全面贯彻落实上级下达的安全管理事项,由于票务职员是票务安全管理的一员,加强票务支援的安全教育工作,对薪金职员进行不同等级的安全培训工作,逐级通过考试合格后方能上岗,加强车站票务SLE系统的日常维护和检修工作,以保证票务系统正常运营。

最后,建立危险源管理流程,在地铁运营中,既要做好OHSAS 18000职业健康安全管理体系的贯标工作》、《城市轨道交通安全评价》等安全认证和取证工作,也要提前制定一套科学、有效的危险管理控制流程,通过地铁票务安全管理部门组织各个部门召开安全例会,从票务系统运营的危险源为出发点,包括AFC设备、票务备品、安全管理制度、票务作业环境及票务人员安全意识等;进而有效辨识出危险源所属的部门,由各危险源所属部门向票务中心申报,经上级领导批准后,各个班组安排工作人员对相应的危险源进行整改,确保票务工作存在的危险源均处于管控状态,定期对整改的危险源进行巡查,以保证票务系统的安全性和可靠性。

2  自动售检票系统(AFC)信息安全管理

自动售检票系统是票务管理的重要组成部分,主要由ACC、LC、SC、SLE及票务五个层次组成。其中,ACC系统主要由数据库系统、域控制器、运营管理系统、监控系统、报表查询系统及车票初始化设备组成,在C/S模式下,可以调用数据库中的信息;在车站终端设备(SLE)中,主要包括自动售票机、闸机、自动验票机、自动增值机等设备,除闸机外,控制主机均为工控机。在自动售检票系统中,采用Windows2007 Server操作系统,管理终端均为个人PC电脑。在现有的安全管理中,自动售检票实现了信息安全管理,包括:

①硬件冗余,通过在中央自动检售票系统核心交换机之间设置网络冗余连接,有效避免了单点网络故障影响系统运作。

②边界防护,在中央自动检售票系统与通信系统及各个银行系统的连接边界,设置防火墙,并制定了严格的访问控制策略,只开放特定的IP地址,确保了系统网络的安全性。

③数据安全,采用数据备份的方式,每天对每个车站系统数据库进行一次备份,将同时生成的两个备份文件分别保存在监控终端电脑和服务器上。

④安全管理制度的落实,制定《地铁自动检售票系统使用管理规定》、《自动检售票系统数据管理办法》、《AFC中心机房管理制度》等。但是,随着新形势及新技术的发展,为了实现票务系统的统一管理,现有的自动检售票系统难以满足新形势的需求。

基于此,为了加强自动检售票系统的信息安全管理,应建立基于LeagView的自动检售票系统安全管理架构,如图1所示。自动检售票系统安全管理主要分为与管理员交互的Web客户端、LeagView服务和运行在各个被管理设备上的代理程序等三个层次,在Web客户端模式下,可以允许维护人员实时管理自动售检票系统,其具有分权限的功能。然而,在账户和权限控制管理中,一旦管理员拥有超级管理员账户口令,管理人员就可以浏览、执行系统中的任何文件和程序。在远程控制管理中,通过LeagView系统对远程终端进行维护操作,在远程监视模式下,管理人员可以看远程桌面的屏幕;在远程交互控制模式下,管理人员既可以看到桌面屏幕信息,也可以操作鼠标和键盘。

除此之外,在系统运行监控上,在自动检售票系统安全管理中,网络拓扑和设备配置是基础工作,只要对其进行简单的配置,LeagView系统就可以自动发现网络上所有可控制管理的网络设备和主机设备,同时也可以发现两者之间的物理连接关系。由于系统运行监控涉及的内容较多,包括网络系统监控、主机系统监控、数据库系统监控及终端设备运行状态监控等,其中,对于数据库系统监控,主要包括整个数据库系统参数和单个数据库参数的监控,如数据库名称、数据库空间利用率及数据库服务的启动时间等,通过参数的配置,可以加强数据库服务进程状态时间、SQL执行效率事件的处理。

总而言之,对于自动检售票系统的信息安全管理是地铁交通一考通成功的关键,必须确定系统运行的安全性和可靠性。在设计自动检售票系统中,必须制定一套完善的安全管理制度,并重点加强设备、网络安全的管理,防范一卡通攻击,以保证自动售检票系统设备能够安全运行。

3  票务安全管理

为了加强地铁票务系统信息安全管理,还必须加强票务的管理,以规范的安全管理制度为依据,从上述的日常安全管理工作概述可知,作为地铁票务部门的管理人员,为了加强票务的安全管理,必须将票务系统运营中产生的信息详细记录在案,并制定相应的规范制度,如《票务管理规定》、《自动检售票系统数据管理办法》、《AFC中心机房管理制度》、《车站票务管理手册》以及《车站票务应急处理程序》等,将制定的安全管理制度落实实处,及时发现票务工作中出现的错误,并予以纠正,有效防止票务舞弊的发生。除此之外,在票务管理中还应做到以下几方面的要求。

3.1  加强票务系统数据管理

数据库是票务系统的核心部分,在票务管理中,必须认真核对系统中的数据,当核对发现差异时,作为票务部门的管理人员,应积极帮助自动售检票系统设备的技术人员共同找出引起差异的原因,以保证系统数据更加安全、可靠。然而,对于自动生成的数据来说,因系统自身的原因,对数据的审核会比较困难,如自动售票机无法实现每日清点的功能,这就在一定程度上增加了审核的难度。而半自动售票机的实现,可以有效防止票务舞弊现象的发生,其收入都是以系统数据为准。

3.2  加强节假日的票卡管理

在大型活动庆典及节假日期间,导致车站大客流发生,这就要求必须制定每个车站车票的最低保有数量,并且配送足够的预制单程票,确保票卡及时配送到位,有效缓解车站客流总量。在票务运营中,若客运人员不及时疏散客流,站厅将会滞留很多乘客,这给票务运作造成了很大压力。因此,作为客运值班员和站务员,必须注重节假日期间的票务管理,以保证票务系统的正常运营。

3.3  加强各种票务数据的管理

票务系统运行中,将会产生大量的票务数据,如客运量、客运收入、票务营销数据、平均票价等。作为地铁票务部门的管理人员,应将产生的各种数据及时传输到上一级的票务系统管理服务器中,然后票务中心、客运部对提供的票务数据进行分析研究,最后生成报告,以便为今后的客运、调度部门制定运营计划和票务工作计划提供详实、可行的依据。

4  结  语

在现代经济不断发展的今天,地铁已成为了人们出行的重要交通方式。在地铁交通运输中,票务系统是重要的组成部分,为了确保地铁的顺利运行,就必须加强票务系统的安全管理,尤其是自动检售票系统的信息安全管理,加大自动检售票系统的设计,实现基于LeagView的自动检售票系统安全管理,并加强日常的安全管理工作和票务管理,以保证票务系统的正常运行。

参考文献:

[1] 陈祥.数据仓库在地铁票务系统的应用[D].广州:华南理工大学,2012.

[2] 刘薇.地铁票务管理系统的设计与实现[D].成都:电子科技大学,2012.

[3] 叶芳.南京地铁票务系统安全管理研究[J].中国高新技术企业,2014,(15):103-104.

[4] 黄佳崴.浅析地铁票务安全管理[J].科技视界,2012,(35):231-233.

[5] 牛凤午.深圳地铁自动售检票系统信息安全管理建设[D].天津:复旦大学,2008.

[6] 张超.地铁票务收益安全管理探讨[J].民营科技,2010,(7):133.

[7] 孙璇,陈秋月.浅析票务系统安全管理[J].科技致富向导,2012,(30):406.

除此之外,在系统运行监控上,在自动检售票系统安全管理中,网络拓扑和设备配置是基础工作,只要对其进行简单的配置,LeagView系统就可以自动发现网络上所有可控制管理的网络设备和主机设备,同时也可以发现两者之间的物理连接关系。由于系统运行监控涉及的内容较多,包括网络系统监控、主机系统监控、数据库系统监控及终端设备运行状态监控等,其中,对于数据库系统监控,主要包括整个数据库系统参数和单个数据库参数的监控,如数据库名称、数据库空间利用率及数据库服务的启动时间等,通过参数的配置,可以加强数据库服务进程状态时间、SQL执行效率事件的处理。

总而言之,对于自动检售票系统的信息安全管理是地铁交通一考通成功的关键,必须确定系统运行的安全性和可靠性。在设计自动检售票系统中,必须制定一套完善的安全管理制度,并重点加强设备、网络安全的管理,防范一卡通攻击,以保证自动售检票系统设备能够安全运行。

3  票务安全管理

为了加强地铁票务系统信息安全管理,还必须加强票务的管理,以规范的安全管理制度为依据,从上述的日常安全管理工作概述可知,作为地铁票务部门的管理人员,为了加强票务的安全管理,必须将票务系统运营中产生的信息详细记录在案,并制定相应的规范制度,如《票务管理规定》、《自动检售票系统数据管理办法》、《AFC中心机房管理制度》、《车站票务管理手册》以及《车站票务应急处理程序》等,将制定的安全管理制度落实实处,及时发现票务工作中出现的错误,并予以纠正,有效防止票务舞弊的发生。除此之外,在票务管理中还应做到以下几方面的要求。

3.1  加强票务系统数据管理

数据库是票务系统的核心部分,在票务管理中,必须认真核对系统中的数据,当核对发现差异时,作为票务部门的管理人员,应积极帮助自动售检票系统设备的技术人员共同找出引起差异的原因,以保证系统数据更加安全、可靠。然而,对于自动生成的数据来说,因系统自身的原因,对数据的审核会比较困难,如自动售票机无法实现每日清点的功能,这就在一定程度上增加了审核的难度。而半自动售票机的实现,可以有效防止票务舞弊现象的发生,其收入都是以系统数据为准。

3.2  加强节假日的票卡管理

在大型活动庆典及节假日期间,导致车站大客流发生,这就要求必须制定每个车站车票的最低保有数量,并且配送足够的预制单程票,确保票卡及时配送到位,有效缓解车站客流总量。在票务运营中,若客运人员不及时疏散客流,站厅将会滞留很多乘客,这给票务运作造成了很大压力。因此,作为客运值班员和站务员,必须注重节假日期间的票务管理,以保证票务系统的正常运营。

3.3  加强各种票务数据的管理

票务系统运行中,将会产生大量的票务数据,如客运量、客运收入、票务营销数据、平均票价等。作为地铁票务部门的管理人员,应将产生的各种数据及时传输到上一级的票务系统管理服务器中,然后票务中心、客运部对提供的票务数据进行分析研究,最后生成报告,以便为今后的客运、调度部门制定运营计划和票务工作计划提供详实、可行的依据。

4  结  语

在现代经济不断发展的今天,地铁已成为了人们出行的重要交通方式。在地铁交通运输中,票务系统是重要的组成部分,为了确保地铁的顺利运行,就必须加强票务系统的安全管理,尤其是自动检售票系统的信息安全管理,加大自动检售票系统的设计,实现基于LeagView的自动检售票系统安全管理,并加强日常的安全管理工作和票务管理,以保证票务系统的正常运行。

参考文献:

[1] 陈祥.数据仓库在地铁票务系统的应用[D].广州:华南理工大学,2012.

[2] 刘薇.地铁票务管理系统的设计与实现[D].成都:电子科技大学,2012.

[3] 叶芳.南京地铁票务系统安全管理研究[J].中国高新技术企业,2014,(15):103-104.

[4] 黄佳崴.浅析地铁票务安全管理[J].科技视界,2012,(35):231-233.

[5] 牛凤午.深圳地铁自动售检票系统信息安全管理建设[D].天津:复旦大学,2008.

[6] 张超.地铁票务收益安全管理探讨[J].民营科技,2010,(7):133.

[7] 孙璇,陈秋月.浅析票务系统安全管理[J].科技致富向导,2012,(30):406.

除此之外,在系统运行监控上,在自动检售票系统安全管理中,网络拓扑和设备配置是基础工作,只要对其进行简单的配置,LeagView系统就可以自动发现网络上所有可控制管理的网络设备和主机设备,同时也可以发现两者之间的物理连接关系。由于系统运行监控涉及的内容较多,包括网络系统监控、主机系统监控、数据库系统监控及终端设备运行状态监控等,其中,对于数据库系统监控,主要包括整个数据库系统参数和单个数据库参数的监控,如数据库名称、数据库空间利用率及数据库服务的启动时间等,通过参数的配置,可以加强数据库服务进程状态时间、SQL执行效率事件的处理。

总而言之,对于自动检售票系统的信息安全管理是地铁交通一考通成功的关键,必须确定系统运行的安全性和可靠性。在设计自动检售票系统中,必须制定一套完善的安全管理制度,并重点加强设备、网络安全的管理,防范一卡通攻击,以保证自动售检票系统设备能够安全运行。

3  票务安全管理

为了加强地铁票务系统信息安全管理,还必须加强票务的管理,以规范的安全管理制度为依据,从上述的日常安全管理工作概述可知,作为地铁票务部门的管理人员,为了加强票务的安全管理,必须将票务系统运营中产生的信息详细记录在案,并制定相应的规范制度,如《票务管理规定》、《自动检售票系统数据管理办法》、《AFC中心机房管理制度》、《车站票务管理手册》以及《车站票务应急处理程序》等,将制定的安全管理制度落实实处,及时发现票务工作中出现的错误,并予以纠正,有效防止票务舞弊的发生。除此之外,在票务管理中还应做到以下几方面的要求。

3.1  加强票务系统数据管理

数据库是票务系统的核心部分,在票务管理中,必须认真核对系统中的数据,当核对发现差异时,作为票务部门的管理人员,应积极帮助自动售检票系统设备的技术人员共同找出引起差异的原因,以保证系统数据更加安全、可靠。然而,对于自动生成的数据来说,因系统自身的原因,对数据的审核会比较困难,如自动售票机无法实现每日清点的功能,这就在一定程度上增加了审核的难度。而半自动售票机的实现,可以有效防止票务舞弊现象的发生,其收入都是以系统数据为准。

3.2  加强节假日的票卡管理

在大型活动庆典及节假日期间,导致车站大客流发生,这就要求必须制定每个车站车票的最低保有数量,并且配送足够的预制单程票,确保票卡及时配送到位,有效缓解车站客流总量。在票务运营中,若客运人员不及时疏散客流,站厅将会滞留很多乘客,这给票务运作造成了很大压力。因此,作为客运值班员和站务员,必须注重节假日期间的票务管理,以保证票务系统的正常运营。

3.3  加强各种票务数据的管理

票务系统运行中,将会产生大量的票务数据,如客运量、客运收入、票务营销数据、平均票价等。作为地铁票务部门的管理人员,应将产生的各种数据及时传输到上一级的票务系统管理服务器中,然后票务中心、客运部对提供的票务数据进行分析研究,最后生成报告,以便为今后的客运、调度部门制定运营计划和票务工作计划提供详实、可行的依据。

4  结  语

在现代经济不断发展的今天,地铁已成为了人们出行的重要交通方式。在地铁交通运输中,票务系统是重要的组成部分,为了确保地铁的顺利运行,就必须加强票务系统的安全管理,尤其是自动检售票系统的信息安全管理,加大自动检售票系统的设计,实现基于LeagView的自动检售票系统安全管理,并加强日常的安全管理工作和票务管理,以保证票务系统的正常运行。

参考文献:

[1] 陈祥.数据仓库在地铁票务系统的应用[D].广州:华南理工大学,2012.

[2] 刘薇.地铁票务管理系统的设计与实现[D].成都:电子科技大学,2012.

[3] 叶芳.南京地铁票务系统安全管理研究[J].中国高新技术企业,2014,(15):103-104.

[4] 黄佳崴.浅析地铁票务安全管理[J].科技视界,2012,(35):231-233.

[5] 牛凤午.深圳地铁自动售检票系统信息安全管理建设[D].天津:复旦大学,2008.

[6] 张超.地铁票务收益安全管理探讨[J].民营科技,2010,(7):133.

系统安全安全管理 篇7

在1946年2月14日情人节的当天, 人类历史上第一台计算机ENIAC诞生, 同时现代科技也找到了它发展的最重要的“情人”, 开启了一个新的时代和应用纪元, 可能谁也不会预见那个庞然大物会在新世纪变得那样的便捷和重要。也正是因为这一次革命性的改变, 使人类也完全地步入了信息化时代, 大量的事件和人类信息被信息化、数据化, 世界上甚至是宇宙中的每个个体都可以是计算机中1和0的代码。计算机不仅应用在军方、政府的体系里, 万千的百姓也都可以利用信息化提供的优势使生活变得更加的便捷, 企业也可以利用新时代的技术使生意拓展到世界各地。但与此同时出现的问题也是同样的明显, 那就是信息安全和数据安全的问题, 个人和企业信息的外泄会造成不良的后果。所以, 对信息系统进行必要的管理就显得十分的必要, 对于企业也更是如此。所以, 对企业中出现的信息管理问题必须采取相应的措施进行解决和改进。

1 信息系统安全及数据安全的隐患

1.1 信息系统安全及数据安全的主要威胁

信息系统安全和数据安全通常情况下统称为网络安全, 网络的安全一般会受到中断威胁、伪造威胁、修改威胁、侦听威胁四个方面:中断威胁主要是针对信息系统的硬件损坏或者针对系统系统软件的攻击, 导致信息系统无法正常的使用, 属于破坏信息系统可用性的攻击, 例如破坏信息系统硬盘等一个硬件, 导致整个信息系统无法正常地使用;伪造威胁是指一个没有经过授权的客体, 通过伪造插入到信息系统中, 属于破坏信息系统真实性的攻击, 例如在网络中插入一些虚假的信件等;修改威胁是指在伪造身份的基础上, 对信息系统的完整性进行破坏, 例如修改信息系统中的数据文件、应用程序等;侦听威胁, 顾名思义, 就是通过没有授权的客体入侵到信息系统中, 对信息系统的保密性进行破坏, 例如对信息系统进行搭线窃听、非法拷贝文件等。

1.2 信息系统安全及数据安全的主要攻击

随着互联网的普及, 大量的病毒和黑客的出现对信息系统安全和数据的安全都产生了很大的威胁, 尤其是一些黑客的攻击行为。通过分析发现, 目前对于信息系统安全和数据安全的攻击主要有冒充攻击、重放攻击、修改攻击、拒绝服务攻击四种:冒充攻击就是一个实体冒充成信息系统中的一个实体, 对信息系统的鉴别序列进行获取, 然后就可以获得信息系统中的一些权限, 对信息系统的安全构成威胁;重放攻击就是通过获取的有效数据, 利用重播的方式获取信息系统的信任, 例如在远程登录信息系统时, 如果口令不及时的修改, 就很可能被第三者获取, 并用于冒充攻击;修改攻击是针对信息系统中的一些信件和权限的攻击, 例如信息系统中一个信件的阅读权限为王某, 那么早遭受到修改攻击后, 权限可能就变成李某等, 对信息系统的正常运行带来很大危险;拒绝服务攻击是一种严重后果的攻击, 可以对信息系统的正常运行和管理进行破坏, 通常情况下, 这种攻击都是具有一定的针对性, 例如通过发送大量的垃圾信件, 使网络发送过载, 降低信息系统的性能, 甚至直接导致信息系统的瘫痪。

2 信息系统安全及数据安全的管理技术

2.1 访问控制技术

访问控制技术是一个出现很早的安全管理技术, 最初是针对单机进行设计。随着互联网的普及, 访问控制技术也得到了很大的发展, 现在访问控制技术已经是信息系统安全和数据安全防范和保护的主要策略, 访问控制技术主要就是保证资源不被非法的访问和使用, 访问控制技术通常都包括了入网访问控制、服务器安全控制、目录级控制和属性指等。

对信息系统的访问也需要网络审计技术, 例如:电子签章审计, 网络数据库审计及电子商务软件系统等类型的审计技术。在网络化的电子商务环境中, 很多商业信息都是以电子文件的形式进行存储和传递的。因此, 传统的盖章已经失效, 出现了电子签章审计。电子签章技术的特点是应用面广泛, 可以应用在任何需要的信息上, 其实质是一种特殊加密的数据, 并不等同于传统的签章。为了保障数据信息的可靠性和完整性, 出现了数据库审计技术, 对数据库的审计可以采用计算机随机抽样, 通过计算、比较进行综合分析;也可以采用实时数据审计软件以保障数据的安全性和稳定性;也有通过实时数据备份技术进行审计工作, 但若想充分应用数据备份技术必须将其同整个设计过程相融合进行。

2.2 防火墙技术

随着计算机和互联网的普及, 防火墙 (Firewall) 已经成为了人尽皆知的一个词汇。防火墙通过把网络分成内部和外部, 可以对信息系统安全和数据安全进行很好地保护, 防火墙通过对服务、方向、用户、行为进行控制, 保证只有经过授权的数据包才可以通过, 防火墙按照网络体系结构, 可以分为工作在应用层的网关级防火墙、工作在传输层的电路级防火墙、工作在网络层的路由器级防火墙、工作在数据链路层的网桥级防火墙、工作在物理层的中继器级防火墙, 按照防火墙的应用技术可以分为应用代理防火墙、电路级网关、包过滤防火墙。

由于防火墙技术的特点, 其存在一定的局限性, 现实中存在一些防火墙无法防范的安全威胁, 例如一些不经过防火墙的攻击、不能防止网络内部的攻击、不能防止传送已感染病毒的数据。同时, 由于不同公司的防火墙策略不同, 对防火墙的管理和配置也有很大的难度, 容易出现一些安全上的漏洞。

2.3 信息安全检测

信息安全检测就是入侵检测系统 (Intrusion Detection Systems, IDS) , 通过软件和硬件进行结合, 对入侵进行检测。入侵检测系统可以对一些入侵信息系统和数据的行为做出实时的响应, 入侵检测是系统动态安全的核心技术之一。对于信息系统安全和数据安全的管理, 通常都是采用防火墙这样的静态安全防御技术和入侵检测系统这样的动态安全防御技术相结合的方式, 根据入侵检测系统收集信息的来源, 可以分成基于网络的入侵检测系统、基于主机的入侵检测系统、基于应用的入侵检测系统, 目前, 常用的入侵检测技术主要有统计分析技术、预测模式生成技术、基于神经网络的检测技术、状态转移分析技术、模式匹配技术、数据挖掘技术、针对分布式入侵的检测技术。入侵检测技术是随着互联网而发展起来的一种安全技术, 随着互联网的发展和信息系统安全和数据安全管理要求的提高, 入侵检测系统的发展也会出现大规模分布式的检测技术、数据挖掘技术、更先进的检测算法、入侵响应技术等。

2.4 隐患扫描技术

信息系统安全和数据安全问题的存在一个主要原因就是不知道漏洞的存在, 对于漏洞的修补也不够及时, 这给信息系统安全和数据安全带来了很大的隐患。而隐患扫描技术就是通过模拟黑客攻击, 对系统的漏洞进行扫描, 之后向安全管理人员提供一个可靠的安全性分析报告。目前对于隐患扫描的主要方法有基于单片机系统的安全评估系统、基于客户的安全评估系统、采用网络探测方式的安全评估系统、采用管理者方式的安全评估系统。信息系统中安全防护最弱的部分就是最容易出现安全问题的地方;而隐患扫描技术可以通过扫描找到系统中薄弱的部分, 然后相关的管理人员就可以针对找到的问题进行优化。

2.5 VPN技术

VPN就是虚拟专用网络 (Virtual Private Network) , VPN技术就是通过构建一个具有安全、独立的虚拟网络, 这样的虚拟网络就是利用互联网等公用网络的节点, 在虚拟网络之间采用一些加密和认证技术来通信, 极大的提高系统安全和数据安全。VPN技术由于其安全、可靠的互联网通道, 拥有实现网络安全、简化网络设计和管理、降低成本、良好的扩展性、完全控制的主动权等优点, 被广泛的应用在信息系统安全和数据安全管理中, 是很多企业的首选安全技术。目前VPN的主要技术有隧道技术、加解密技术、密钥管理技术、使用者与设备身份鉴别技术

4 结语

时代在不断地发展中, 信息行业作为这个时代知识更新速度最快的行业面对的挑战更是巨大, 相信随着互联网的普及, 针对信息系统安全和数据安全的威胁和攻击也会越来越多, 而信息系统安全和数据安全的管理技术也会越来越完善。为了应对信息系统安全和数据安全复杂多变的威胁, 将来的管理技术不会是一项安全技术, 而是强调整体性、融合性、开放性, 随着信息系统安全和数据安全管理技术的发展, 建设完善的安全技术体系、安全管理体系、安全保障体系必将是将来网络安全的发展趋势。

参考文献

[1]董建峰.信息系统的安全风险、审计策略及存在的问题[J].商情, 2011 (50) :132-132.

[2]瞿才.数据化管理在营销终端的应用[J].中国皮革, 2011 (17) :28-29.

[3]郑琼李晓雄.企业内部控制体系在信息化管理下的改进[J].商业会计, 2012, (2) :60-61.

系统安全安全管理 篇8

1 倡导“1”个关键, 即作业现场全程严格执行标准化作业流程

牢固树立“风险可以防范、失误应该避免、事故能够控制”的安全理念, 有效提高作业危险点的分析能力和控制措施的针对性, 实现现场关键环节的过程控制和事后督察, 不断提高标准化作业水平和现场安全掌控能力。标准化作业流程纳入标准化的组织体系中, 从管理机构、体系、记录、培训、总结等方面均服从标准化管理, 在各个层面建立和落实好技术标准、管理标准、工作标准, 科学指导和规范农电各项管理工作流程;制定考核标准和管理办法, 对标准化建设情况进行定期考评和验收, 不断提高农电安全管理水平。

2 抓实“2”项措施, 即“两票”、作业指导书 (卡) 的应用

“两票”填写和评价标准统一。在没有进行标准化管理以前, 各变电站在执行“两票”的过程中, 由于对“两票”技术规范理解上的差异, “两票”的填写和评价标准争议较大。为此, 要明确“两票”管理要求和评价标准, 对“两票”的填写进行逐栏说明, 提高“两票”合格率和规范性。现场标准化作业指导书 (卡) 应突出安全和质量两条主线, 做到安全可靠、简明实用、可操作性强, 达到事前管理、过程控制的要求和预控目标。

3 规范“3”步走流程, 做到“三提前、三到位、三评价”

采取“三提前”策略。一是提前召开作业布置会。由工作负责人在作业前组织各班组负责人召开检修作业布置会, 宣读检修工作计划, 对设备基本情况、现场勘察情况、作业分工、注意事项等进行详细介绍。二是提前准备工具票 (卡) 。作业班组针对检修计划, 结合具体检修工作的性质及作业现场实际情况, 提前做好人员配置及物料、工具安排等前期准备工作。三是提前开展培训学习。根据作业任务由工作负责人组织各班组人员提前进行票 (卡) 集中学习, 并针对特殊作业项目提前进行工艺培训。

落实“三到位”措施。在施工过程中, 要做到现场安全措施落实到位、现场监护人监护到位、管理人员跟踪监督到位, 全面杜绝习惯性违章行为。按现场作业类型将人员安全风险划分为4个等级。高危风险等级:工程建设人员;重要风险等级:检修抢修人员;次要风险等级:抄表维护人员;一般风险等级:其他人员。通过构建新型安全风险管控体系, 强化对安全风险等级的识别和管控, 突出不同专业安全风险的差异性、专业性和针对性, 不断提升全员安全风险防范意识。

实施“三评价”制度。一是检修作业安全评价。检修工作完成后, 应履行工作终结手续, 票书卡及时归档, 检修信息汇总整理, 对检修作业安全进行总结评价。二是星级作业现场评价。根据现场情况完善星级现场打分表, 对作业任务完成情况进行星级评价, 并召开检修例会, 总结分析检修工作中存在的问题, 提出整改意见。三是作业班组绩效评价。绩效考核组每月中旬将各班组上个月检修现场作业情况、各项工作完成情况、各种评价结果进行汇总。

4 遵循“4”不伤害原则, 确保安全生产

在倡导“以人为本、构建和谐社会”的今天, 要牢固树立“安全第一、预防为主、综合治理”的思想观念, 在作业过程中应当做到不伤害自己、不伤害他人、不被他人伤害、保护他人不被伤害“四不伤害”。首先要强化自我保护意识。在工作中, 针对自己的安全, 该做什么, 不该做什么, 应该怎么去做, 自己必须清清楚楚。其次要强化联保意识。在作业过程中, 要看一看会不会危及他人的安全, 要多留意和观察周边的安全状况, 关键时刻要多提醒身边的同事, 一个提醒, 就可能防止一次事故, 就可能挽救一个生命。再次要注意周围同事的行为, 他们的行为对自己的安全会不会构成威胁, 发现违章要及时制止, 绝不能视而不见, 更不能盲从。最后要有关注他人安全的意识。把保护他人的安全当作自己的一种责任和义务, 要形成“人人爱我、我爱人人”的好风气, 增强员工的凝聚力, 提高全员的安全意识。

5 做到“5”清楚, 增强安全管控能力

系统安全安全管理 篇9

1 存在问题及原因分析

1.1 缺乏系统认知

护理人员对《病人安全目标》缺乏系统认知。

1.2 查对制度执行不严格

①在给药、采血、输液、输血、手术及实施各种介入与有创诊疗时未采用两种方法识别病人。②执行医嘱、治疗过程中存在问题:人力不足导致部分科室办公室班录完医嘱后, 由本人复核即取药;长期输液应下午摆药, 有部分科室因人员不足和摆药后易丢失两项原因, 改为次日晨摆药;长期以来临时医嘱由中班独自转抄、摆药、加药。3项问题均存在缺乏第二人二次查对环节, 为查对薄弱之处。③原有床头卡字迹小不易辨认, 饮食及护理级别的转盘易被随意转动, 起不到查对作用。

1.3 制度及流程不完善

①未使用“腕带”, 无使用制度及流程。②缺少部分制度、流程、规范:如病人识别制度、用药后观察制度、高危药品管理规范等;缺少病人自杀、地震、导管滑脱、外出未归、等应急预案;核心制度执行不力。③关键流程管理不完善:急诊室与病房、手术室、ICU之间流程管理具体识别措施不严谨, 无交接规范及流程。手术室与病房、与ICU之间, 产房与病房之间流程管理存在同样的问题。④接获“危急值”无统一规范记录的要求。⑤口头医嘱较多, 易出现混乱, 导致医患纠纷和不必要的浪费。⑥病房药柜内同时存放口服药、注射药、外用药及纳肛药品;部分药物拆掉原包装, 堆放在纸盒内, 并有混放现象;高浓度电解质, 如10%氯化钾、10%氯化钠与各种10 mL规格的药物码放在一起。以上药物品种、数目不定, 处于无序状态。⑦床护比平均1︰0.26, 与1︰0.4相距较远, 每年招聘护士远远赶不上病人增加的速度, 床护比不升反降。

1.4 压疮与跌倒管理不完善

在传统观念中, 压疮的出现是护士工作未尽职, 通常采取责罚的方式管理, 在检查中起到一票否决的作用, 因此压疮上报率极低, 住院后出现的压疮上报率几乎为0。缺少压疮与跌倒管理网络及流程, 警示标志不全。

1.5 尚未建立主动报告医疗隐患与不良事件的机制与体系

不能自愿报告的原因包括担心受批评、害怕处罚、承担责任等。在传统差错管理中, 甚至形成只要上级未发现, 或者差错纠纷未严重到隐瞒不住的地步, 决不上报。

2 对策

2.1 全员培训, 普及《病人安全目标知识》

我院于2007年9月、2008年3月举办2期《病人安全目标》知识讲座, 采用多媒体教学形式, 组织全院护士参加, 同时购买《病人安全目标知识问答》, 人手一册, 要求各科室个人自学与组织学习相结合, 大科组织2次书面考核, 护理部组织知识竞赛, 对优胜者给予奖励.达到“人人掌握安全目标, 个个熟知评估标准”要求。

2.2 严格执行查对制度

①在采血、给药、输液、输血、手术及实施各种介入与有创诊疗时采用姓名、住院号作为识别病人的2种方法。②强调各护理单元不得以任何借口随意简化工作流程, 改变常规, 影响核心制度的执行。制订并严格执行“医嘱处理流程”, 增加临时医嘱处理后查对环节, 恢复下午摆药, 以保证2次核对。③改制床头牌及等级护理饮食卡:改制后的床头牌为无色有机玻璃, 上半部分用来插放等级护理、饮食、药物阳性、慎防压疮、绝对卧床等警示标牌, 下半部分为床号、姓名、性别、年龄、住院日期, 住院号等项目。所有标志色彩醒目、字迹清晰、一目了然, 投入使用后反映良好。④建立腕带识别标志制度及制订使用流程, 组织学习执行。订制的腕带上有我院标志图案、医院全称和病人信息。全院所有医疗护理单元均使用腕带作为手术、昏迷、意识不清、无自主能力、重症病人, 在各项治疗操作前辨识病人的一种手段。⑤护理部组织人员查找、讨论、补充、修订完善各项制度及应急预案, 对所开展的新技术、新业务及时制订护理常规、操作规程。⑥采用腕带作为关键流程具体识别措施, 制订《病人转科交接记录》, 交接流程, 统一交接内容, 并要求病情记录在危重护理记录单上。⑦建立接获危急值制度、流程, 制订接获危急值报告本, 统一规范, 与医疗、各辅助检查部门协作, 共同执行。⑧取消口头医嘱的关键在于, 医生树立起非抢救时不得下口头医嘱的观念, 从源头抓起。因此护理部与医教处协调, 由医教处规范, 科室主任督促, 医、护联合检查, 逐渐杜绝口头医嘱现象。⑧将护理人力资源不足情况上报院领导, 有计划招聘持有注册证的护士, 同时对现有护理人员灵活调配。

2.3 病房用药安全管理

①将药品柜分区, 针剂按常规用药, 专科用药, 抢救用药等分类放置, 口服药物单独存放在分隔好的抽屉内。②将散放的药品归入多层抽屉塑料盒, 定量并贴上标示, 方便取用, 同时可起到避光的作用。③10%氯化钾、10%氯化钠以原装盒置于塑料筐内, 与其余药物分开, 10%氯化钾贴上红底白字标志, 10%氯化钠蓝底白字标志, 标志大小8 cm×12 cm, 标有剂量、数量, 达到醒目要求。④用隔板分隔抽屉, 每个抽屉由原来存放10种药物增加到20种。⑤各科室自行核定药物的种类、数量, 制订出《药品交班表》, 采用“四定、五常法”管理, 由办公室班负责, 各班执行。《药品交班表》呈报护理部备案, 作为检查依据。⑥毒麻药品双锁放置、五专管理。

2.4 建立压疮上报制度

①成立伤口造口护理小组, 建立压疮上报制度、制定网络成员职责、病人入院发生危险因素与评估工作流程、伤口护理会诊制度及流程。要求无论新发生或带入压疮要求在24 h内上报到护理部。②病人床头设有谨防压疮、跌倒、坠床等警示标志, 卫生间、走廊有预防跌倒的警示标识, 提高了病人及护理人员的安全意识, 杜绝了安全隐患, 保障病人安全。

2.5 制订不良事件上报表, 建立上报网络

各护理单元护士长为责任人, 并设1名有责任心的主管护师为联络员, 护理部1名干事负责收集报表。

2.6 建立“病人安全质量管理”网络

建立护理部主任、科护士长、护士长三级管理体系。有计划地跟踪检查, 以保证每一项措施能够落实到位。制订出“护理安全质量检查表”, 每月对全院的各护理单元进行检查, 督促措施的落实, 纠正偏差, 以此保证各项护理安全工作中实施。

3 实施效果

通过学习, 我院护士《病人安全目标》相关知识考核通过率达100%, 建立了安全管理新理念, 大家认识到:“错误人人皆有, 错误往往是来自不良的系统设计, 作业流程及工作条件等, 促使工作人员出错或疏于发现错误”[1]。大多数医疗错误的发生不是因为个人的鲁莽, 而是医疗系统出现了偏差。“构建一个更安全的保健系统, 最大的挑战是改变理念:从指责犯错误的个体到视错误为促进安全性的机会”[2]。而一半以上的医疗不良事件是由可预防的医疗错误所致。根据海恩法则, 我们懂得:一起严重的事故绝非偶然, 其背后必然有29起轻微事故和300起未遂先兆以及1 000起事故隐患。所以在安全文化认知中我们承认高风险、易发生差错, 认可护士对降低风险负有责任, 公开承诺病人安全, 公开交流安全事件, 创造非惩罚性环境, 以利报告差错与不安全事件。

安全意识得到强化, 在2008年等级医院评审中, 护理制度、流程、常规、应急预案考核合格率为100%。所有的科室均能按要求使用腕带, 转送病人有完善的识别措施及流程, 并能坚持使用转科表。特殊情况下医护沟通良好, 90%的科室能够按要求使用接获危急值记录单, 抢救时沟通良好并能及时记录。病房药柜通过一系列的改革, 增加了药品存放的空间, 改变了药品混放、不知数量、不定品种的局面, 口服药、注射药、外用药严格各自分类分开放置。1年来病人坠床、烫伤、跌倒事件发生率为0, 床护比也提高了1︰0.34。未出现差错及影响医疗护理秩序的纠纷。

然而, 也应该看到压疮上报无明显改善, 仍是仅上报带入压疮, 不良事件上报仅有2例, 差错事故上报情况也不容乐观, 多数科室上报率为0。

4 体会

若要有效地实施《病人安全目标》, 首先要让全体人员知道为什么这么做, 即其产生的背景、重要性、必要性及目的。其次, 要有分解可具体执行的计划, 以保障目标逐步的实现。第三, 制订质量标准, 把已经实施的工作逐步纳入质量控制的轨道, 定期检查, 对表现出色给予肯定, 不足的科室及时反馈限期完成, 以保障计划的实施。

医、护、技通力合作有利于安全目标的实施, 院级领导的介入、统筹与协调能够加快和有效实施病人安全目标。病人安全目标能否持久实施, 质量是否得以持续改进, 上级主管部门督促检查是关键, 没有检查考核, 实施的质量、力度都将大打折扣, 目标达成的时间也会延长, 甚至不了了之, 消失于日常工作中。

建立非惩罚性不良事件的信息报告系统并使之良好运行尚须努力, 病人安全的落实任重而道远。医学文化创造了近乎完美的期望值, 并将差错归因于粗心或无能, 责任划分阻碍了差错浮出水面, 也阻碍了有关如何纠正它们的相互交流[3]。因此建立不良事件报告系统, 应当学习安全文化新理念, 转变观念, 尤其是领导层、管理层, 更应当明白个别事件或差错的发生, 是由多种因素共同促成的, 一味责备某个人并不能改变这些因素, 同样的差错很可能还会在某时或某地重现。没有领导者的引导, 免于曝光处罚、追究责任制度保障, 不良事件上报系统建立将是一句空话, 差错不能在一定范围内自由讨论交流, 系统将不能在伤害发生之前鉴定并纠正自身的不足, 病人安全保障将仍处于事后聪明的表象, 不能从根本上杜绝差错的发生。

摘要:[目的]探讨实施《病人安全目标》, 构建更加安全的护理系统。[方法]通过学习目标内容, 制订护理安全实施计划, 完善相关制度、流程、规范、应急预案、表格等, 组织实施、检查、督促落实。[结果]安全意识强化, 减少诊疗操作错误, 提高用药安全, 减少病人意外伤害。[结论]各级人员转变观念, 把一味追究个人责任, 转变为改善促成差错的系统, 是保障病人安全的关键。

关键词:病人安全,安全护理系统,不良事件

参考文献

[1]Institute of Medicine.To err is human:Building a safer health syw-tem[M].Washington, DC:National Academies Press, 1999:1-4.

[2]Julie J M.Creating a safe learning organization[J].Frontiers of Health Services Management, 2005, 22 (1) :41-44.

信号系统保证安全门安全联动应用 篇10

关键词:信号,屏蔽门,联动

1 前言

近年来, 我国经济快速增长, 人民生活日益富裕, 汽车数量不断上升, 再加上人口数量居高不下, 城市交通设施的建设不够完善, 使我国的城市交通承受着特别大的压力。因此, 解决城市交通问题已刻不容缓, 建设高效率的轨道交通网自然被各大城市提上了日程, 它以安全、正点的显著特色成为人们出行的首选。

保障轨道交通行车安全、提高交通效率核心的是信号系统, 而防止乘客坠轨等意外、降低行车噪音对车站的影响, 节约能源的是安全门系统。如何更有效的实现信号系统与安全门的安全联动功能, 更好的保障行车安全、提高运输效率、节约能源成了我们新的研究课题。本文着重研究了信号系统与安全门安全联动中的站台安全门联动设备布置方案。

2 信号系统控制安全门的原理

信号系统在CBTC (基于通信的列车控制Communication Based Train Control) 或BLOC (点式控制) 级别时, ATP (列车自动防护) 子系统均提供车门与安全门的联动功能, 保证列车车门与安全门的同步开关。车载ATP/ATO (列车自动防护/列车自动运行) 子系统通过无线通信传输信息至站台PSD (安全门) , 然后通过DCS (数据通信系统) 有线网络到CI (计算机联锁) 子系统, 由CI子系统转发控制命令至安全门系统。CI与安全门控制系统可通过继电器接口直接连接。

控制连接如图1所示。

3 站台PSD布置方案

在站台区域实现安全门联动控制时, 信号系统DCS子系统在车站内为站台与安全门的联动提供地-车无线通道。PSD联动控制器可以确保列车在驶入站台的时候车载ATP/ATO可以与地面PSD联动控制器建立关联。

3.1 岛式站台无线覆盖方案

岛式站台, 为路轨在两旁, 站台像岛屿一样被夹在中间的站台。

3.1.1 岛式站台双网覆盖方案1

在岛式站台实现安全门联动, 一种方式就是仿照CBTC系统进行双网的组网结构。用这种方式组网, 在一个车站需要四台PSD联动设备, 分别放置在两条线路的站台两端, 分布如图2所示。

这种PSD联动方式的优点是可靠性高, 系统有双网冗余, 有一套设备故障不影响系统的正常运行。缺点是造价较高, 在一个车站需要4台PSD联动设备。

3.1.2 岛式站台双网覆盖方案2

岛式站台双网覆盖还有第二种组网方案, 这种方案在一个车站只需要两台PSD联动设备, 分别放在两条线路的驶离站台端, 分布如图3所示。这种方案和第一种方案相比, 地面减少了PSD联动设备, 但是车载的两套无线设备不是分别放在列车的车头和车尾, 而是都安装在车头的位置。

这种PSD联动方式的优点是可靠性高, 系统有双网冗余, 有一套设备故障不影响系统的运行, 并且造价比第一种方案要低。缺点是需要改造我们的车载VOBC (车载控制器) 机柜, 目前已有的VOBC机柜只能安装一套无线设备, 需要改造成能够安装两套无线设备的VOBC机柜。

同时, 此方案要求车头永远朝着列车运行方向前进, 列车不能进行换端运行。

3.1.3 岛式站台双网覆盖方案3

岛式站台双网覆盖的第三种方案, 就是利用第一种方案中列车两端车载无线设备分别是红网和蓝网的特点, 对应在两条线路的两端各放置一套单网的设备, 分布如图4所示。用这种方式组网, 在一个车站仍需要四台PSD联动设备, 但是每一套设备不同于第一种方案的双网结构, 都是单网结构的。

这种PSD联动方式的优点是可靠性高, 系统有双网冗余, 有一套设备故障不影响系统的运行, 并且造价低于第一种双网覆盖方案。缺点是在一条线路上我们需要另外生产一种单网的AP (接入点) 箱, 在整条线路上可能就会出现两种AP箱———单网和双网, 系统安装和维护麻烦。

3.1.4 岛式站台单网覆盖方案

为了降低造价, 岛式车站也可以采用单网覆盖方案, 按照站台是否为折返站台有以下情况:

非折返站台, 全线上下行, 在线路驶离站台端布置一台PSD联动设备, 分布如图5所示。

对于岛式折返站台, 全线上下行, 除了在线路驶离站台端布置一台PSD联动设备, 还需要在进行折返的线路站台的另一端布置一台PSD联动设备, 布置有以下两种情况:

折返只可能在上下行其中一条线路上进行, PSD联动设备大致的布置如图6所示。

折返可能在上下行进行, PSD联动设备大致的布置如图7所示。

这种PSD联动方式的优点是在非折返站台一个方向只安装一套PSD联动设备, 同时也不对车载设备作任何改动, 是降低造价且最省事省时的一种方案。缺点是, 单网覆盖方案会降低系统的可靠性, 如果车载或者地面无线设备故障将会导致信号系统与安全门的联动功能无法运行。

3.2 侧式站台无线覆盖方案

侧式站台, 又称为相对式站台或对向式站台, 是指路轨在中央, 而站台在左右两侧的站台。

侧式站台, 上行和下行的线路均在站台中间, 距离近, 因此PSD联动设备只需要两套就可以实现双网覆盖。将这两套设备分别放在线路的站台两端, 可以安装在上行或下行线路附近, 但是需要有天线同时覆盖两条线路隧道, 分布如图8所示。

4 总结

信号系统与安全门安全联动的应用———站台PSD联动设备的布置要根据各车站实际情况综合考虑, 既要考虑车站站台整体布局, PSD联动设备布置的合理性, 同时也要考虑信号系统数据传输的实时、高效、安全、可靠, 确保实现信号系统对站台安全门安全联动。

参考文献

[1]郜洪民, 尹逊政, 李博.面向城际铁路、客运专线的站台安全门车-地联动控制系统[J].铁道通信信号, 2010, 46.

[2]卢光霖, 陈韶章, 李晋, 等.城市轨道交通站台屏蔽门/安全门车地联动自动控制系统[A].中国城市轨道交通新技术 (第三集) [C].2009.

[3]付文刚.信号系统与屏蔽门系统的逻辑与控制[J].城市轨道交通研究, 2009.

[4]孙增田.广州地铁屏蔽门系统的方案比选[J].地铁与轻轨, 2002.

计算机系统安全与计算机网络安全 篇11

[关键词]病毒威胁问题 安全措施 网络安全

[中图分类号]TN915.08 [文献标识码]A [文章编号]1672—5158(2013)05—0037—01

引言

随着现代信息建设的飞速发展,计算机已普遍应用到日常的工作生活中。越来越多信息资源可以为大家所共享,为我们的生活和工作都提供了很大的便利。与此同时网络陷阱也越来越多,计算机病毒种类各异无处不在,黑客猖獗防不胜防。还有很多不法分子利用网络进行诈骗、贩卖个人信息或是公司的商业机密。致使人们的隐私受到了严重的侵害。提高计算机信息网络安全性已成为人们亟待解决的重点问题。

该文对计算机综合应用中出现的一系列问题进行简单剖析,以找到更好的方法完善整套计算机系统的安全运行。

1、病毒的危害性

计算机病毒的定义是由人为编制一系列程序,对计算机功能数据破坏的程序代码或者计算机指令,它们都能一定程度上侵害使用者的隐私权利,甚至财产安全。计算机病毒具有破坏性、传染n生、隐蔽性以及潜伏性的特点,面对计算机病毒的肆虐问题,与之相对的是一系列人工预防,自动检测等等。

2、计算机系统安全问题

计算机系统漏洞严重威胁着计算机的安全,漏洞就是计算机系统中未经管理员允许,却进行访问或提高访问层次的软硬件,它是计算机系统中的一种缺陷,主要包括以下几种方式,物理漏洞、软件漏洞、不兼容漏洞等,其中物理漏洞就是相关人员访问那些不允许访问的地方;所谓的不兼容是由系统集中过程中各部分环节间的不同引起的,缺乏安全性。计算机的系统漏洞一般表现在操作系统,数据库上,相应的开发工具,应用程序等。从系统正式应用的那一天开始,其系统的漏洞就会逐渐的暴露出来。但是关于系统的系列问题,如果脱离了系统存在的环境以及其具体的时间运用,它是没有意义的。只有针对具体的系统版本结合具体情形对系统漏洞进行一系列讨论才能找到可行的具体方法。在一系列的系统安全中,确保运行的安全是系统安全的重要保障,所谓的系统安全是指计算机信息系统在运行过程中得到的保证,计算的得到的信息知识能够得到正确处理,系统各个环节的功能都能正常使用。有些因素影响着系统的运作安全。如工作人员一系列的误操作;如果业务人员自身专业水平低下,其综合素质比较低,则系统的安全问题就出现于一系列的误操作。系统不能正确的对数据进行处理。还有一些误删操作,比如把重要程序,数据当作垃圾软件或者病毒软件删除了。计算机病毒的升级,随着科技的日益进步,越来越多病毒程序,对存在的系统漏洞,进行一系列攻击,从而导致系统出现瘫痪,影响日常生活的使用,泄露使用者的隐私权权,侵犯使用者的财产信息安全。

3、网络的安全性

网络类型可从区域范围和上网方式划分为局域网、区域网、广域网和拨号上网。普通拨号上网的用户与局域网用户相比,普通拨号上网的用户在预防黑客的对抗中,往往处于不利的地位。由于计算机网路的开放性、互联性,致使网络为病毒或是黑客的攻击提高机会。又因操作系统和网络软件在设计上存在缺陷和错误,让不法者有机会加以利用。网络安全问题主要为系统漏洞问题,不法者利用恶意代码通过漏洞进入计算机系统对主机进行攻击或者控制电脑;欺骗技术攻击,通过将局域网中的某台计算机设置为网关IP地址,导致网络中数据包转发异常而是某一段网络无法访问;还有计算机病毒攻击,计算机病毒是威胁网络安全的最主要因素,病毒程序轻者降低系统工作效率,重者导致系统崩溃、数据丢失,造成无可挽回的损失;再有就是黑客攻击,他们可以窃取个人的账号密码和个人信息等。不要小看这些网络安全问题,被人盗用账号损失的可能不仅仅是几千元钱,被盗用的账号如果被黑客利用作为跳板从事网络破坏活动,那么你可能拥有的麻烦将无法估计。

3.1计算机网络的安全性

对保密性的保证:对于网络应用只可以在具有授权允许下才能进行;保持资料信息的完整性,在一系列存储以及传递的过程中不被修改,信息包的保存;未授权者没有想关的权利;对于静态信息进行可操作性,以及对动态信息的可浏览性。

3.2威胁计算机网络安全的种类因素

非授权访问,主要是指对网络设备以及信息资源进行非正常的使用或超越权限的使用;假冒合法用户,主要指利用各种假冒或欺骗的手段非法获得合法用户的使用全,已达到占用合法用户资源的目的;数据完整性破坏,有意或无意的修改或破坏信息系统;病毒攻击;黑客入侵。

3.3计算机安全的防范功能

网络安全机制应该具备一些基本防范功能,以应对目前计算机网络安全缺失的现状,比如是否能够进行身份识别,存取权限的系列控制、数字签名,密钥管理等一些功能的实现。

3.4基础防治措施

首先经常修改密码。这种方法看似简单,却也是最有效的方法之一。黑客破解密码的方法有很多,但也需要机器长时间的运行才能够获得所需要的账号密码。所以经常更换密码对盗用就显得十分奏效了。在密码的设置上也要加以注意,不要选择常用字做密码、用单词和符号混合组成密码、使用9个以上的字符做密码,对WhMows系统来说,密码最少要由9个字符组成才算安全,在大小写字母结合的情况下设置的密码安全性能更高。使用杀毒软件不定期地不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。最后是在使用电脑时需要注意一些小的细节,如不要随便打开陌生人的邮件附件;关闭不安全服务;不随意共享文件;不从不受信任的网站上下载软件。

4、用户程序安全性能

用户程序的安全性问题,体现在程序的兼容性问题,程序的漏洞以及稳定性问题,程序的病毒n生以及蠕虫程序,以及程序的耗时性与死锁问题。用户程序由于不同原因而存在不同的缺陷,有些缺陷是设计进行的时候不符合逻辑规定留下来的,有些缺陷是程序员无意识犯下的,有些是故意造成的。程序的开发中要防止有意的冲击性缺陷。程序设计要正规,方便,简洁,减少逻辑错误,确定逻辑顺序的正确性,猜出程序中存在的安全隐患。如今随着科技技术与互联网的延伸,计算机病毒在形式上难以辨别,所以对于一系列防毒杀毒系统有了更高的要求,做到更先进,更规范。针对计算机网络安全中面临的一系列问题,我国科研机构展开了一系列的研究,进行病毒的预防研究,这一定程度上能够针对计算机病毒日益猖狂的局势,避免陷入被动的局势,促进网络信息安全的全面化。

结束语

科技的不断进步,使得计算机互联网技术飞速发展。网络信息已经成为社会发展的重要组成部分,它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式的和开放性,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击。因此,网络信息资源的安全已成为一个重要的话题。在网络信息化时代,网络安全也越来越受的重视。虽然现在用于网络安全防护的产品有很多,但是黑客们仍旧是无孔不入,各类病毒更是防不胜防,对经济造成了严重的危害。我们应广泛的使用安全技术,如防火墙、数据加密技术等提高电脑自身的安全防御性能;学习了解常用的网络防范措施,减少病毒攻击的可能性,已达到安全使用互联网的目的。

参考文献

[1]陈立新.计算机:病毒防治百事通[M].北京:清华大学出版社,2008

矿用移动安全管理系统 篇12

矿用移动安全管理系统由天地 (常州) 自动化股份有限公司研制推出。该系统定位于将传统的矿山生产管理系统与工业移动网络、智能移动终端相结合, 从网络、数据到业务应用进行融合性拓展, 并创造出多种创新性应用, 实现了随时随地的移动办公。

通过该系统业务平台, 可将移动互联网、物联网的应用模型拓展到数字矿山领域, 极大地丰富了矿山用户的移动化应用体验。通过一系列设计独特的功能模块, 实现了企业通信录、E拍、EMASS信息发布和人员定位手机版等功能, 充分提高了企业生产管理和安全管理的实效性、便利性。

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com

上一篇:中职英语情境教学法下一篇:探究兴趣和创新意识论文

付费复制
期刊天下网10年专业运营,值得您的信赖

限时特价:7.98元/篇

原价:20元
微信支付
已付款请点这里联系客服
欢迎使用微信支付
扫一扫微信支付
微信支付:
支付成功
已获得文章复制权限
确定
常见问题