首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 房建安全风险评估范文

房建安全风险评估范文

前言:我们精心挑选了数篇优质房建安全风险评估文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

房建安全风险评估

第1篇

【关键词】:医学检验科;生物安全;风险及防护

【中图分类号】R446.1【文献标识码】A【文章编号】1672-3783(2020)08-24--01

医学检验科需要与病人及大量的临床标本进行接触,这就导致了医学检验科人员长时间的暴露在含有各类微生物及病毒的环境之中[1]。做好标本生物安全的控制与管理,已成为医学检验科的重要内容。本研究自2019年7月起,于医学检验科施行了生物安全风险评估及防护策略,取得较好效果,报告如下。

1资料与方法

1.1一般资料

将医学检验科工作人员作为本次研究的对象,共有工作人员40名,男7名、女32名,均为本科学历,年龄为30-40(35.16±3.35)岁。2019年7月至12月为生物安全风险评估及防护策略实施后时段,2019年1月至6月为实施前时段,实施前后均为相同的40名工作人员。

1.2方法

医学检验科生物安全的风险评估:通过对医学检验科工作人员进行问卷调查、收集与分析近年来生物安全事故资料,医学检验科造成生物安全隐患的风险因素进行评估,包括(1)医学检验科工作人员的安全防范意识不足。主要表现为在进行检验操作时,未严格执行规范的流程或者未配搭防护用具、手部清洁消毒不到位等。(2)医学检验科的工作区域未合理划分。主要表现为工作区域与生活区域的分界模糊,存在各区域之间拥挤或者物品杂乱放置等情况。(3)医学检验科的废弃物未恰当处理。主要表现为一次性的检验器具未恰当处理,包括尿杯、采血针和注射器等消耗品。

医学检验科生物安全的防护策略:针对风险评估结果,制定相应的防护策略,包括(1)加强人员培训和考核。培训内容包括操作规范与流程、消毒标准和日常生物安全防护技术等。(2)加强人员防护意识。将生物安全的防护意识纳入为培训的重点内容,主要使用生物安全事故的实际案例讲解等方法。科主任负责每日工作质量评价。质控员负责每月1次的微生物检测,分析原因并提出整改意见。(3)规范废弃物处理并调整科室布局。对医学检验科的各个区域进行重新划分,区分工作区域与生活区域,各区域张贴醒目标识。废弃物实行分类处理,区分清洁区域污染区,各区域及分类废弃物处理箱均张贴醒目标识。

1.3观察指标

观察实施前、实施后的生物安全事故发生率及医学检验科工作人员的工作效能[2],共4个评估项目,各项0-25分,满分100。

1.4统计学方法

资料数据采用SPSS22.0分析,计量资料以±S表示,进行t检验,P<0.05为差异有统计学意义。

2结果

实施前后均未发生生物安全事故。实施后人员工作效能评分高于实施前,P<0.05差异具有统计学意义,见表1.

3讨论

第2篇

【关键词】安全风险;安全措施;风险评估报告

1.前言

建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。

风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。

2.风险评估模型与方法

风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。

2.1 资产识别与赋值

一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。

本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。

风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。

资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。

2.2 识别重要资产

信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。

通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。

在风险评估方法中使用下面的公式来计算资产价值:

资产价值=10×Round{Log2[(2C+2I+2A)/3]}

其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。

从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。

2.3 威胁与脆弱性分析

识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。

识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。

识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。

2.4 综合风险值

资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:

威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);

2.5 风险处理

通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。

对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。

对于不可接收的风险处理方法有四种[3]:

1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。

2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:

a.减少威胁:例如降低物的不安全因素和人的不安全因素。

b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。

c.降低影响:例如灾难计划,把风险造成的损失降到最低。

d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。

3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。

4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。

选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。

通过风险处理后,并不能绝对消除风险,仍然存在残余风险:

残余风险Rr =原有的风险Ro-控制R

目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。

主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。

2.6 风险评估报告

在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:

1) 概述,包括评估目的、方法、过程等。

2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。

3)推荐安全措施建议。

3.结论

目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。

参考文献:

[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.

第3篇

关键词:消费品安全 政府监管 风险评估 诺模图法 风险矩阵法 RAPEX法

中图分类号:F76 文献标识码:A 文章编号:1674-098X(2014)11(c)-0155-04

欧盟委员会(EC)的2004 RAPEX方法[1]是首个得到政府监管机构广泛应用的消费品安全官方风险评估方法。非政府学术组织EuroSafe在2005年设立风险评估工作组(EuroSafe WGRA),EC在其研究成果基础上形成了2010 RAPEX方法[2],该方法是目前欧盟各成员国政府的正式官方评估方法[3]。受EC健康与消费者保护总司(DG-SANCO)资助的EMARS项目(它提出了著名的锤子案例[4])、英国RPA[5]等风险研究机构都致力于不断发展消费品安全风险评估方法。在正式评估方法中,除了RAPEX方法,诺模图法、风险矩阵法也得到广泛应用[3-5]。而欧盟REACH法规的技术指南文件(TGD)、国际化学品安全规划署(IPCS)的“Risk Assessment Terminology”(2004年),联合国粮农组织/世界卫生组织(FAO/WHO)的“Food Safety Risk Analysis”(2006年)、国际风险管理理事会(IRGC)的“White Paper”(2006年)提供的化学危害风险评估方法主要适用于消费品生产过程[3-5]。美国消费品安全委员会(CPSC)主要应用定性风险评估方法对消费品安全进行A、B、C三级管理,CPSC也使用“安全饮用水法案”(SDWA,1996年)中的评估规则[6],CPSC在化学危害定量评估方法上遵循美国国家科学委员会的NAS指南(1994年)[7]。国际标准化组织的消费者政策委员会(ISO COPOLCO)的指南文件“Consumer product safety a practical guide for suppliers”(2006年)及其标准则主要适用于消费品的设计及生产阶段[3-5]。中国的消费品安全风险评估通则(GB/T22760,2008年)与RAPEX方法基本一致[8]。

该文以政府监管视角选择最广泛使用的2004 RAPEX、2010 RAPEX方法、诺模图法和风险矩阵法应用案例进行比较分析[3-5],并分析消费品安全风险评估方法的进一步发展方向。

1 消费品安全风险评估基本流程

风险和风险评估在各个领域的定义和方法有所不同。在产品安全评价理论中,风险通常表示为伤害事件的发生概率及严重程度的函数,各种消费品安全风险评估方法的基本评估流程是大同小异的,均是在识别消费品危险的基础上,估计各风险要素的程度(至少包括两个基本风险要素:伤害的严重程度和伤害的发生概率),然后用模型将各风险要素合成风险水平/等级(批量评估应先确定单体风险水平)。各个方法的主要区别在于将其他风险要素(例如消费者属性、危险可获得性和危险暴露参数等)的考虑置于哪个阶段,是置于危险识别阶段,还是置于严重程度估计、发生概率估计阶段,抑或直接作为独立风险要素与两个基本要素进行合成(图1)。

在消费品供应链的不同阶段实施安全风险评估应选择与该阶段相适应的风险评估方法,相关评估方法按适用范围分类如图2所示(参考了参考文献[3],但做了补充和修改)。对于政府监管机构而言,更关心的是准备上市和上市后的消费品安全风险,即:消费品在上市时应符合安全的一般要求,而在上市后只要发现产品存在严重安全风险就应及时隔离(risk averse)。因此,以政府监管视角研究上市阶段和上市后消费品安全风险评估方法的有效应用具有必要性。

4 讨论

(1)从应用案例可看出,2010 RAPEX

法与2004 RAPEX法的主要区别在于:2010 RAPEX法将消费人群区分、风险缓减要素区分从后置改为前置,严重程度和发生概率的分等进行了扩充,消费人群区分、风险缓减要素区分仍由主观判定。两个方法中风险要素的打分主观性强,要求评估人员具备足够的专业知识和足够准确的数据来源。未来的评估方法可能将消费人群作为独立风险要素进行识别和估计,在消费品化学危害日益受到重视的情况下,消费人群区分可能相应调整,例如孕妇可能作为弱势人群进行考虑。

(2)斯洛文尼亚诺模图法的输入参数比其他方法增加,各参数的分等扩充,其评估输出(风险等级)相应细化。与RAPEX法比较,它识别出火灾危险风险高于其他危险。危险事件发生时,火灾更容易造成群死群伤,因此该评估结果与事实也是相符的。

(3)比利时风险矩阵法引入了暴露程度这一参数扩充矩阵维度。对后果严重性的赋值中,该方法对导致“所有使用者和旁观者死亡”“所有使用者死亡”“数人死亡”和“一个死亡”的严重度分别区分,且从100分到15分赋值,区分度极大,但在政府监管角度,对“死亡”后果均应0容忍,评估时应加以注意。

(4)该文在参阅相关文献时,发现各个评估方法应用的术语高度不一致。如果对术语名称翻译和定义不加以界定明确,可能导致对同一危险信息,各评估方法的参数输入不一致,其输出大相径庭。

(5)目前的评估方法对化学危害风险的识别能力偏弱。例如对“长期药物接触和辐射暴露”伤害的严重程度从轻到重划分为“腹泻呕吐局部症候”“可逆的内脏损害”“神经系统损害、不可逆的内脏损害”“癌症(白血病)、影响生殖、影响后代、中枢神经系统抑郁症”四等的划分尚嫌粗。欧盟REACH法规的技术指南文件提供了一种化学危害风险评估的有价值的思路。

(6)目前对评估方法的发展研究主要集中在评估模型的改进,从定性向定量向模糊评价发展,但实证研究表明,作为简单、快速、经济、有效(risk averse)和有决断力(resolved)的方法,定性风险评估能对消费品安全风险进行有效评估[3-5]。在政府监管视角,最好把资源直接用于减小风险的努力,而不是尽量达到风险评估的绝对精确。实际上,定量风险评估的大部分输入数据是高度主观的,同时,要生成确切的输出,它要求有一个详尽和全面的时间链模型,这对范围极广的现代消费品领域是难度极大的。对定性风险评估方法而言,应减小评估的主观性,重点应研究伤害严重程度和发生概率的科学分等,其基础工作是尽早形成共享的消费品伤害数据库。

(7)从应用案例可看出,各个评估方法均基于各风险因子相对独立的假设,从而对各个风险因子独立进行评估。有学者研究认为,某些风险因子具有相互联系和影响关系,具有连通性(connectivity),并引入了连通性矩阵的概念,但这一理论在消费品领域尚未有成熟应用。

5 结论

(1)以政府监管视角来看,2004 RAPEX、2010 RAPEX方法和斯洛文尼亚诺模图法均能对消费品安全风险进行有效评估。

(2)未来消费品安全风险评估方法的发展,首先应统一规范术语使用以改善评估的一致性;其次应发展伤害严重程度和发生概率的科学分等体系以减小评估的主观性;另外应注重消费品化学危害风险评估方法的研究。

参考文献

[1] Guidelines for the management of the Community Rapid Information System(RAPEX)and for notifications presented in accordance with Artide 11 of Directive 2001/95/EC[R],Commission Decision 2004/418/EC of 29 April 2004.OJ L 151,2004.

[2] Commission Decision of 16 December 2009 laying down guidelines for the management of the Community Rapid Information System‘RAPEX’established under Artide 12 and of the notification procedure established under Artide 11 of Directive 2001/95/EC(the General Product Safety Directive) (notified under document C(2009) 9843)[R],Commission Decision 2010/15/EU of 26 January 2010. OJ L 22, 2010.

[3] Dirk van Aken.Related risk assessment activities[R].Hague: Voedsel en Waren Autoriteit, 2007.

[4] Enhancing Market Surveillance through Best Practices(EMARS)project.Product Safety-Best Practice Techniques in Market Surveillance[R].Amsterdam: EMARS,2013.

[5] Pete Floyd, Tobe A.Nwaogu,Rocio Salado,et al.RPA REPORTAssured Quality-Establishing a Comparative Inventory of Approaches and Methods Used by Enforcement Authorities for the Assessment of the Safety of Consumer Products Covered by Directive 2001/95/EC on General Product Safety and Identification of Best Practices [R].J497/GPSD Implementation, Norfolk:Risk & Policy Analysts Limited(RPA),2006.

[6] CPSC.Research & Statistics-consumer opinon surrveys[EB/OL].(2014-10-20)[2014-4-29].http://cpsc.gov/en/Research Statistics.

[7] National Research Council.Science and Judgment in Risk Assessment (1994)[M].Washington D.C.:National Academy Press,1994.

第4篇

 

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。

 

“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:

 

边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。

 

行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。

 

安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。

 

公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施:

 

1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。

 

4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:

 

1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。

 

3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:

 

1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。

 

2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。

 

3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。

 

IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。

 

安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:

 

1.网络优化改造:主要是安全域的划分,网络结构的改造。

 

2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。

 

3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系:网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台:入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务:建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务,建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程,建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练,协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度,提高应急反应能力

 

9.提高运维效率,开拓运维增值模式

 

5结東语

第5篇

伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。

但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。

在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏

目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏

高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

4.1要加强宣传教育,切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发,提高信息安全防护技术水平

没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。

其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。

第6篇

0引言

 

随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。

 

在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。

 

一、通信运用中加强信息安全和防护的必要性

 

1.1搞好信息安全防护是确保国家安全的重要前提

 

众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。

 

1.2我国信息安全面临的形势十分严峻

 

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

 

二、通信中存在的信息安全问题

 

2.1信息网络安全意识有待加强

 

我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。

 

2.2信息网络安全核心技术贫乏

 

目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。

 

2.3信息网络安全防护体系不完善

 

防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

 

2.4信息网络安全管理人才缺乏

 

高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。

 

三、通信组织运用中的网络安全防护

 

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。

 

3.1数据备份

 

对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。

 

3.2防治病毒

 

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。

 

3.3提高物理安全

 

物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。

 

3.4安装补丁软件

 

为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

 

3.5构筑防火墙

 

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。

 

四、加强通信运用中的信息安全与防护的几点建议

 

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

 

4.1要加强宣传教育,切实增强全民的国防信息安全意识

 

在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

 

4.2要建立完备的信息安全法律法规

 

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

 

4.3要加强信息管理

 

要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

 

4.4要加强信息安全技术开发,提高信息安全防护技术水平

 

没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。

 

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

 

首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。

 

4.6建立和完善计算机系统风险防范的管理制度

 

建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。

 

其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。

 

五、结论

 

通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。

第7篇

关键词:气象网络 安全 计算机技术 病毒

一、气象网络的概念及其结构形式

气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。

(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。

(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。

二、气象网络安全存在的问题

其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:

(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:

(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。

(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。

(3)相关工作人员的失职。气象部门工作人员的职责不到位,玩忽职守,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。

(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。三、解决对策

(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:

(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。

(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。

(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。

目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。

(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。

主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。

参考文献:

[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.

第8篇

[论文摘要]近几年来,随着气象信息对人们生产、生活作用的不断加大,它的安全也备受关注。从气象网络的概念、安全的必要性出发,逐一探讨了气象网络安全存在的问题,以及相关的解决措施。

一、气象网络的概念及其结构形式

气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。

(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。

(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。

二、气象网络安全存在的问题

其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:

(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:

(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。

(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。

(3)相关工作人员的失职。气象部门工作人员的职责不到位,玩忽职守,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。

(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。

三、解决对策

(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:

(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。

(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。

(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。

目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。

(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。

主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。

参考文献

[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.

第9篇

【关键词】气象网络;安全;计算机技术;病毒

1.气象网络的概念及其结构形式

气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。

1.1气象技术的保障需求

当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。

1.2气象网站的安全需要

全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。

2.气象网络安全存在的问题

2.1气象网络管理缺陷

由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:

(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。

(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。

(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。

2.2病毒侵入

目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。

3.解决对策

3.1严格的安全管理制度

面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:

(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。

(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。

3.2防范各种非法软件攻击和入侵

网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。

目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。

3.3病毒防护策略

第10篇

关键词关键词:安全管理;数据中心;信息安全;DDOS

中图分类号:TP309.2 文献标识码:A 文章编号文章编号:16727800(2013)007015203

0 前言

在当今信息化高速发展的时代,政府部门或者金融机构都面临着海量统计数据的处理,它们以信息系统为基础,以互联网为途径,为社会公众提供各种各样的服务。这些机构内部通过信息系统处理海量的数据,既要求具有高效性,保证工作的顺利进行;也要求充分保障流程的安全性,在对公众提供服务的同时,能够抵御互联网的各种安全威胁。这就需要在设计信息系统和相应的安全防御系统架构时,既要在实现上简单可行,又要在管理上统一有效,节约实施和运维成本,真正达到“绿色数据中心”的要求。

1 现有安全隐患

除管理制度上的安全隐患之外,数据中心的主要安全隐患来自于现有网络各种攻击技术。

2.1 数据中心边界

数据中心边界在整个网络架构中起到网关的作用,作为内部应用系统和互联网的信息交互通道,公众通过它来对应用系统进行访问[2]。它允许重要的应用数据通过,首当其冲地遭到各种病毒攻击,针对这一区域采用一些有效的防御措施和解决方案尤为重要。

在数据中心边界,设置一系列安全方案,其中包括:

(1)配置安全预警系统。集病毒扫描、入侵检测(Intrusion Detection)和网络监视功能于一体,实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,通

过使用模式匹配和统计分析的方法,检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,分析可能出现的攻击行为,对各种入侵行为做出响应,同时在不影响网络性能的前提下进行监测,避免由外部攻击造成的损失[3]。并在数据库中记录有关事件,作为事后分析的依据,实时对CPU占用率进行检查,防御DDoS攻击,保持系统的可用性。

(2)部署高性能的防火墙、防病毒网关,过滤掉容易受到病毒袭击的服务端口组,在网络边缘实现病毒监测、拦截和清除等功能。

(3)专网加密机和CA认证中心。专网加密机主要是通过对所传输信息进行加密,接收方用私有密钥对接收到的信息进行解密,避免信息在传输中遭到破坏。认证中心针对信息的安全性、完整性、正确性和不可否认性等问题,采用了数字签名技术,通过数字证书把证书持有者的公开密钥(Public Key)与用户身份信息紧密安全地结合起来,以实现身份确认和不可否认性。

(4)进行应用协议检查。针对HTTP、FTP、SMTP和POP3协议进行内容检查、病毒清除等工作,对互联网与邮件进行访问控制,包括日志记录、认证、授权和审计,以保证互联网服务安全。同时,通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护数据中心资源不受外来侵犯,同时也可以阻止内部用户对外部不良资源的滥用。

另外,为保证互联网数据传输交互的安全性,可通过虚拟专用网络(Virtual Private Network,简称VPN)技术,实现不同地理位置的子部门或者分支机构用户对应用信息系统的安全访问。VPN技术为用户提供了一种通过公用网络安全地对内部专用网络进行远程访问的连接方式。VPN连接使用隧道作为传输通道,而这个隧道是建立在公共网络或专用网络基础之上。使用该技术可以为系统节点之间的数据传输提供点到点的安全通道,能有效提高数据传输的安全性和稳定性[4] 。

2.2 应用信息系统

政府部门或者金融机构通过各类应用信息系统对社会公众提供服务。信息系统通常设计成浏览器/服务器(Browser/Server)体系结构,通过Internet/Intranet模式下的数据库应用,实现不同的人员、从不同的地点、以不同的接入方式(如LAN、WAN、Internet/Intranet等)访问和操作共同的数据库,能有效地保护数据平台和管理访问权限[5]。在系统实体上,应用信息系统包括Web服务器、应用系统、数据库系统以及存储区域。

应用信息系统相对于数据中心的其它两部分而言,有较强的独立性。另外,各应用系统部署时相对独立,为不同的应用系统服务器分配不同的IP地址,当新业务系统上线或者原有应用系统升级时,不会影响到数据中心的架构,不影响其它应用系统及整个网络的正常运行。

2.2.1 Web访问安全

Web服务器对外部的用户提供Web访问的功能,因此其安全保障要求很高。Web服务器保证外部有权限的用户通过它正常地访问数据中心,针对这一区域采用一些有效的防御措施和解决方案也是必不可少的。

针对Web访问可能造成的数据泄密或病毒攻击,采用一系列方案进行处理。首先,用户身份的确认在B/S系统中是不可或缺的,这就需要进行严格的访问控制和用户权限控制[8];其次,需要引入对Web应用进行内容审查和应用隔离机制,删除或者关闭不必要的服务;针对敏感数据,为了保护其在传送过程中的安全,可采用SSL/TLS(Security Socket Layer/Transport Layer Security)加密机制[6];采用网站防护系统对Web服务器进行加固。SSI/TLS是用来解决点到点数据安全传输和传输双方的身份认证而提出来的安全传输协议。它在客户端和服务器之间提供安全通信,允许双方互相认证、使用信息的数字签名来提供完整性、通过加密提供消息保密性。

2.2.2 应用及数据库安全

应用及数据库服务器为应用信息系统的核心部分,也是B/S体系不可缺少的部分。这一部分用到的关键技术有:可扩展标记语言(EXtensible Markup Language,简称XML)、简单对象访问协议(Simple Object Access Protocol,简称SOAP)、AJAX(Asynchronous JavaScript and XML)等。

针对这一区域,可以利用XML数据加密技术、SOAP数字签名技术等,保证应用安全。数字加密技术可以防止公用或私有化信息在网络上被拦截或窃取。数字签名可以验证消息源的可靠性,还可以保证消息发送者不能否认发出的消息[7]。

2.2.3 存储介质安全

数据中心的安全,不但需要有完善的信息安全方案,还需要覆盖到安全存储的部分,这是和传统的数据中心完全不同的地方。数据库靠一系列存储介质来实现对数据的存储。

针对存储部分的安全策略和解决方案主要有:动态和静态的数据加密[8]、存储数据的访问控制、数据的分段管理等。通过对安全问题和存储介质的研究和探索,若干标准也相应被推出,这也是当前的热点课题之一。

2.3 信息安全管理平台

在数据中心内部针对应用信息系统部署了防病毒等一系列安全设备后,可以在一定程度上提高安全防御水平,降低发生泄密事件的概率。在此基础之上,为加强对系统的统一管理,引入信息安全管理平台。

信息安全管理平台的目的是给整个系统(包括数据中心边界和应用信息系统)做实时的监控和维护。

信息安全管理平台实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控,采集安全事件和日志信息,进行整合和关联分析,评估安全风险,审计用户行为,产生安全事故和告警并及时进行应急响应,确保相关系统业务持续运行,协助管理人员排除安全隐患和安全故障,同时为相关部门的信息安全审计和考核提供技术手段和依据,实现全网的安全集中监控、审计和应急响应,全面提升数据中心的信息安全保障能力。

对数据中心的安全运维人员而言,只需通过对信息安全管理平台的监控即可实现对整个系统的监控,大大减少了工作量,提高了工作效率。

3 安全管理制度建设

数据中心应尽力保障数据中心环境中的网络设备和服务器能够稳定、可靠地运行,从而向客户提供高质量的服务。在数据中心安全运行中,人始终是最重要的因素,因此有必要进行相关制度建设,并使进出机房人员遵守数据中心的有关制度,从而确保数据中心的正常运作。在制度建设中,要考虑制度涵盖数据中心的物理安全、网络安全、系统安全和数据安全。建立健全相关安全保密、机房访问、环境管理、设备管理等制度,依据《中华人民共和国计算机信息网络安全保密规定》,严格控制对数据中心和机房的访问,保持所使用的办公环境和机房环境的整齐、清洁、有序[9]。

4 结语

数据中心的建设是一个系统化的工程,不但需要考虑性能、容量、环保,安全性同样值得大家关注。针对纷繁复杂的网络攻击,我们在构建数据中心时,既要考虑到能够有效消除各种安全隐患,又要考虑到系统的灵活性和延续性,便于升级和维护,同时还要求系统能支持数据的完整性、应用的可达性,采用合理的安全体系结构和安全管理制度可以事半功倍。

参考文献:

[1] 李军.DDoS攻击全面解析[J].网络安全技术与应用,2007(9).

[2] 吴晓光.多维度透析数据中心建设[J].金融电子化,2010(12).

[3] 黄迪.电子政务网安全技术研究及应用[D].重庆:重庆大学,2008.

[4] 赵磊.政务网络风险评估与安全控制[D].上海:上海交通大学,2008.

[5] 钟秀玉.基于Web的MIS信息安全设计[J].微计算机信息,2009(6).

[6] 孙静萍.Internet的安全通信协议SSL与SET的剖析和比较[J].现代计算机,2011(4).

[7] 朱鲁华,陈荣两.数据库加密系统的设计与实现[J].计算机工程,2012(8).

第11篇

关键字:全过程;成本管理;成本体系;动态成本

中图分类号:F406文献标识码: A

一、概述

房地产开发企业项目成本的发生是一个过程,涉及到了前期策划、规划、设计、施工、销售等开发全过程环节,因此地产企业的成本控制,就是要在项目开发的全过程中,对上述全部成本构成要素进行规划、控制。成本管理体系通过建立有效的目标成本体系、责任成本控制体系和动态成本管理体系以实现企业利润最大化的目标。房地产项目全过程成本管理流程如下图所示,本文围绕这个流程展开阐述。

1 、房地产项目成本控制是投资控制

房地产项目的成本控制,就是在该项目既定的目标收益或者利润率的前提下,根据对未来销售收入的预期,确定该项目的总成本并且项目实施过程中动态控制支出原则上不超过目标成本值,以保证目标收益或者利润率得以实现的过程。

房地产项目的成本控制是一个动态的投资控制概念,需要经历可行性分析、设计、开发报建、招标采购、招标建设、营销、交楼然后进入物业维护过程,整个开发过程任何环节成本的失控都可能导致项目成本超出目标成本而降低目标收益或目标利润率。

2 、全生命周期贯彻目标成本

经历了2008年启示之后,公司逐步加强了项目全生命周期的目标成本控制,实施过程中动态控制投入,设定警戒比例,实施项目全生命周期目标成本管理。

行业内其它公司对全生命周期成本的作出了上图,揭示了建设过程中各个阶段对成本的影响大小,可以看到随着项目的推进,对成本的影响在逐渐的减少。

(1) 建立目标成本

可行性研究结算做出目标成本估算,规划方案确定后建立执行的目标成本。

各阶段目标成本的编制情况以及深度应符合:

立项阶段:形成项目目标总成本;

规划设计阶段:制定目标成本,并分解形成各专业目标成本;

方案设计阶段:将各专业目标成本分解形成分项工程目标成本;

扩初设计阶段:在分项工程目标成本基础上形成设计限额指标;

施工图设计阶段:根据设计限额指标进行作业,设计出目标成本符合要求的施工图;施工实施阶段:动态监控目标成本执行情况,及时统计已发生成本。

(2)动态执行和控制

项目目标成本重点在于执行和控制。执行目标成本过程分为设计阶段、招标采购阶段、工程施工阶段和结算阶段,营销费用和开发报建费用由于在整个项目费用构成中所占比重不高且弹性较小,故不在本解决方案中讨论。

获取到项目后,成本管理部根据市场信息进一步细化目标成本,给到产品设计中心设计限额指标,设计在限额指标约束下开展设计工作,成本过程中参与设计,对各个阶段图纸进行测算,保证设计成果符合目标成本。施工图出来后,成本在施工图的基础上进行合约规划,确定需要选取的合作单位的要求,同时将工程内容分解到各个合同范围内,对合作单位和材料供应商进行采购。工程建设过程是设计效果呈现和合同履行的阶段,但是施工阶段已经不是影响成本最大的阶段。

目标成本的执行和控制,是保证目标成本得以实现的有力保障,是本解决方案讨论的重点内容。

(3) 房地产行业成本控制现状

房地产行业在中国经历了多年的发展,各房地产企业均不断加强成本控制意识,纷纷研究自己企业的特点并借鉴同行经验,研究产品、材料和工艺,把成本管理从粗放化管理转移到精细化管理上来。

在各大房地产开发企业中,不乏一些企业在成本控制上做得比较成功,如万科、碧桂园、雅居乐,其成本控制能力在行业中处于领先地位,大大增强了他们在激烈的竞争环境下的生存能力。

成功的房地产企业,大抵都有一个共同的特点,就是全民成本意识。他们在项目获取阶段开始构思自己的成本构成,逐个阶段对成本进行严格控制,任何一个阶段超出成本都必须拿出强有力的说明。

项目论证是是否获取项目的必须且最重要的过程,而且产品定位是决定项目成本的最重要因素。要做好项目论证阶段的成本控制,主要是要做好项目的可行性研究分析,基于城市和当地房地产市场的状况作出准确的项目定位、项目成本构成分析和项目运作计划,在成本调研的基础上把握好当地成本情况。

《可行性研究报告》应具备地块基础资料、周边环境及其发展趋势、合作方背景、合作方式及条件、初步规划设计方案、开发节奏及市场定位等基础内容,另外还须包括的成本造价活动有:成本费用估算和控制目标及措施;投资及效益测算、利润体现安排;税务环境及其影响;资金计划;《竞投方案》(仅限招标、拍卖项目);投资风险评估及相应的对策;项目综合评价意见。

3项目定位分析

项目定位直接决定了产品档次和目标客户群,产品档次与项目成本成正比例关系。而且,产品定位根据目标客户确定,直接关系到产品销售情况。要做好项目定位分析,主要从下面这些角度着手考虑。

二、建立完善的目标成本管理体系

1 、城市发展状况

城市发展状况的构成要素很多,其中影响到房地产市场的主要有城市GDP总量、人均GDP、常住人口总量、户籍人口总量、人均可支配收入、房地产投资在固定资产投资中所占比例、城市总体规划、城市交通规划,这些因素直接影响到城市房地产市场的发展。项目经理圈子

2、 城市房地产状况

城市房地产状况直接影响到项目的定位、项目定价和开发节奏,对项目利润率有直接影响。做好城市房地产状况分析,是进行项目分析的重要前提条件,主要需要考虑的因素有房地产市场供求现状、房地产开发投资额、商品房新开工面积、施工面积、竣工面积、商品房销售面积、商品房销售价格走势、土地市场概况、竞争对手分布及实力。项目经理圈子

3 、项目分析

项目分析是整个可行性研究分析中的核心内容,是决定项目走向和项目操作方向的关键过程。转自项目管理者联盟项目分析需要考虑的因素主要有项目概况,包括地理位置、与重要市政设施的相对位置和距离,项目周边以及交通状况、项目现状、项目客户定位、来源以及特征、产品定位、产品面积配比、产品定价分析、项目运作计划、项目里程碑计划、项目风险预计以及控制。精确的项目分析是项目运作的前提和总纲领,是值得重点关注的内容。

三、项目成本估算

可行性研究报告中,针对项目的实际情况,根据预计销售和目标收益率作出项目的成本估算。

1、 项目成本调研

正所谓知己知彼,才能百战百胜。对项目严密的成本调研,才能有助于项目上精确地把握市场制定好目标成本。是否有效进行项目目标成本管理是体现房地产开发企业管理水平的重要标志之一。目标成本管理就是通过制定目标成本,将目标成本按规范的成本结构树层层分解,再通过将预算计划落实到部门与行动上,把目标变成可执行的行动计划,并在执行过程中把实际结果与目标进行对比分析,找出差距,分析原因,制定改进措施。建立完善的目标成本体系,要做到以下几点:

1、确定成本管理体系,包括集团及下属区域公司的成本管理定位-职责-权责,对下属区域公司成本信息监控手段和明确的监控制度要求;

2、制定准确的项目目标成本,全面客观反映项目各项成本信息;

3、规范成本管理流程,定义如何在各个实施阶段完成对目标成本的细化修订,形成最终的目标成本,指导招标、施工、采购等业务活动中的成本费用的使用与管理;

4、充分实现成本信息共享;

5、在制订目标时,要按细项列出清单并划分责任部门,通常建造成本按发生程序划分责任部门,建造成本以外按成本项目划分责任范围。对多个部门承担责任的可以按权重进行分解。目标成本分解后还需要建立控制的标准,分解后的成本责任必须纳入绩效考核的范畴。

四、项目论证阶段的成本控制

项目在论证阶段着重的是土地费用的把控。土地一旦到手,其成本即已基本确定,直至项目结束该成本一般都不会有大的变化。可行性研究报告一般应包括地块基础资料、周边环境及其发展趋势、初步规划设计方案、开发节奏及市场定位、成本费用估算及控制目标和措施、投资及效益测算、利润体现安排、税务环境及其影响、资金计划、投资风险及应对措施、项目综合评价意见等。

五、设计阶段的成本控制

设计阶段的成本控制的重点除了控制好设计费之外,更重要的是通过限额设计等手段从源头上控制好建安成本。根据经验数据显示,设计费一般只占到建设工程全寿命期费用的1%,但正是这少于1%的费用对于工程造价的影响占到了75%以上,可以看出设计阶段的成本控制是整个项目实施阶段造价控制的关键。在满足质量保证的前提下,防止因设计自身失误原因导致成本增加。确保每一设计阶段的成果质量后方能进入下一个设计阶段(包括方案、扩初、施工图设计阶段)。施工图设计合同应具备有关限额设计要求的条款并载明对应的奖惩措施。并且可在施工图完成后由设计、工程、成本人员和监理人员组成小组对施工图的技术性、安全性、周密性、经济性等进行会审,提出修改意见,督促设计单位进行修正,避免或减少因设计不合理导致的投资损失。

六、工程施工阶段的成本控制

工程施工阶段的成本控制重点在于工程供应商的选择管理、材料设备供应商管理、工程进度款管理、设计变更管理、现场签证管理和工程结算管理。

1、工程供应商、材料设备供应商的管理。材料设备费在工程的建安造价中约占70%,工程材料成本控制是项目开发过程的重要内容。在成本目标确定的情况下,首先要明确工程总包、分包、材料分级等的范围、采购方式及权限,确定材料是甲供、乙供或甲定乙供;其次,完善招标流程,规范供应商资质考察、询标、定标、签订合同等程序,本着公开、公平、公正的原则引入各类承包商,充分体现市场竞争力,实现降低成本的目标。另外集团可建立自己的供应商信息库,确立战略合作伙伴,这样既避免了供应商质量的不稳定性,又可以拿到战略合作采购价,对多项目成本的控制起到了良性循环的作用。

2、对于工程进度款的管理,要严格按照合同和流程进行控制。成本管理部要对施工单位上报的节点款、进度款等进行审核,经财务部确定后方可付款。同时对合同进度款累计到达合同金额85%的项目,要停止付款,以便掌握结算时的主动权。项目经理博客

3、设计变更、现场签证的管理。要完善流程,明确各职能部门、各相关责任人的签字权限。防止乱签、多签、责任不明确等漏洞,避免结算时发生“扯皮”现象。如果工程进度要求紧,也要做到同步进行,工程若有增减应及时审价,以避免无法核实的情况发生,引起双方不必要的争议。总之,各职能部门要加强监控,加强预算审查,严格经济签证和工程变更管理。

4、工程结算管理。严格执行项目必须符合竣工方能移交的原则,成本管理部门应对项目进行跟踪分析管理,进行“三算”对比,找出成本超、降的原因,并提出改进措施及意见。

七、营销阶段的成本管理

营销成本主要指项目销售过程中形成的各类费用,包括广告费、推广费、售楼处、样板房等费用。控制营销成本关键还是要提高营销策划水平,使有限的营销投入发挥最大的效用,寻求最大性价比,降低营销成本。项目管理论坛

八、有效进行动态成本管理

动态成本反映的是项目实施过程中的预期成本,通过实时反映目标成本和动态成本的差异,帮助相关部门及时发现问题并解决问题,实现对成本的控制。

动态成本的核心是实时性,要做到在项目实施过程中的任一时间点都能实时掌握项目最新的成本动态,只有这样才能控制成本、辅助营销决策。

动态成本=合同性成本+非合同性成本+待发生成本

由上式可见,合同性成本是动态成本中变动性最大的部分,由于其具有不确定性,导致了成本控制的复杂性。因此,成本管理必须要以合同为中心,抓住三条主线“动态成本”、“实际发生成本”、“实付成本”,方能很好的反映项目成本执行的全貌。可在项目发展的不同阶段根据项目发展的具体情况实时、定期调整成本台账、及时反馈有关成本变动情况,预测成本变动趋势,并通过各种有效途径及时进行调整、消除造成成本异动的不合理因素。

九、成本管理的项目后评估

提高成本预测的准确性是成本管理的难点之一,方法之一是通过后评估来改进,同时可以提高成本管理的有效性,因此在项目工程竣工并在结算完成后要进行项目的后评估,主要从以下几方面评价:

1、比较项目结算成本与可行性研究时的预测成本差异(评价投资估算、项目成本预测的准确、合理性);

2、对比项目结算与《目标成本指导书》的成本差异(评价成本管理工作的有效性);

3、 分析各期《项目动态成本分析报告》(评价项目成本管理的科学合理性)项目管理培训

4、 分析工程承包范围变化,工程量变化等确认设计变更、现场签证等对成本的影响 ;

5、考察项目交付使用一定时期内,主要工程材料的使用效果和耐用程度(评价材料成本的合理性)。

第12篇

一、壮大经济总量,形成竞争新优势

1、全力提升工业实力,扶持一批重点企业稳产达产,力促一批在建大项目快投产,推动一批骨干企业上规模,加快一批企业上市及科技创新步伐。全年力争新上规模企业30家、新创品牌或引进品牌23个、新上市企业1家、入驻总部经济企业1家、新增省级创新企业3家以上、国家高新技术企业5家以上。

2、狠抓工业项目建设,确保新投产项目50个、新开工项目50个。

3、鼓励在境内注册建安企业、物流企业,规划建设总部经济园,推进厦门海投科技创业园开发建设,加快工业园区建设,重点推进台湾工业园、科技建材产业园、电机电器产业园连片开发。

4、建设凯悦酒店、鸿鑫广场、玉鹭商城、龙华影剧院等配套设施,建成银塘工业园11万伏变电站,抓好园区绿化、美化、亮化工程,增强吸纳要素、承载项目的能力。

5、加快发展特色农业,培育现代花卉产业,全力推进龙津溪花卉走廊一期22公里6000亩花卉建设,形成现代农业新亮点。

6、成立一批农业协会和专业合作社,推行“公司+基地+农户”等生产经营模式,加大农业科技推广力度,不断提升现代农业发展水平。扶持特色农产品,积极开展创品牌,新增无公害农产品5个、名牌农产品5个,建设一批具有区域竞争优势的农产品生产基地,增强农产品竞争力。

7、深度开发生态旅游,推进马洋溪生态旅游区开发步伐,加快海西国际、天铜山、十里蓝山、泛华温泉等项目建设,力促天柱山旅游度假、中翎射箭等项目开工,积极发展中华汉文苑、龙人古琴等文化创意产业,完善旅游服务中心、温泉管道铺设等旅游基础配套设施。

8、全年完成旅游投入16.7亿元以上,着力打造生态休闲旅游品牌,创建古山重、漂流、天成山、寻梦谷等一批A级景区,培育一批星级乡村旅游经营单位和休闲观光农业。

二、突出项目支撑,增强发展新动力

9、狠抓项目建设,安排重点项目170个,年度投资129.2亿元;为民办实事项目10个,年度投资5.11亿元。

10、全速推进工业项目建设,力促39个新建项目尽快开工,推动47个续建项目加快建设,确保86个工业项目全年完成投资60亿元以上。

11、全力推进民生项目建设,投入3.7亿元,建设龙津溪东岸防洪堤、珪前农业综合开发等14个农业基础设施。投入3亿元,建设北环城路、浦南大桥、高速互通连接线、天然气管道等9个交通能源工程;投入31.8亿元,建设状元大道、污水管网等30个城建环保项目;投入30.7亿元,建设古湖生态城、半月山温泉旅游等31个社会商贸服务业项目;确保京元农贸市场、妇女儿童活动中心等10个为民办实事项目如期完工或建成使用。

12、强化三维招商,力争新批办外资项目20个、合同利用外资1.87亿美元,民企项目35个、注册资本13亿元,在引办投资50亿元大项目上有新突破。

13、积极创造条件,争取沃尔玛、新华都等大型购物企业进驻。主动招商引商,参与各大招商活动,举办投资说明会,吸引更多大企业落户,争取更多大项目落地建设。

14、破解发展难题,切实加大征地赔青和土地平整力度,清理整顿闲置土地,盘活土地存量,优化土地增量,统筹建设用地指标,优先保障重点项目,不断满足项目用地需求。全面落实耕地占补平衡制度,年度土地整理复垦开发新增耕地面积1160亩,土地整理规模2000亩。

15、积极引进周边发达地区金融机构,完善政银企沟通协调机制,继续办好政银企对接会,创新金融产品,扩大信贷规模,不断满足项目融资需求。

16、继续推行招工引工奖励机制,加强跨地区劳务协作,建立新的跨地区劳务输入基地4个,积极开展省外招工引工,鼓励外出青年返乡就业,新增城镇就业人员2000人,不断满足企业用工需求。

17、深化“重在提请、主动服务”,规划建设行政服务中心,推进行政审批制度改革,建立项目建设评估协调机制,实行“绿色通道、容缺预审”,审批项目能减则减,审批权限能放则放,审批效率能快则快,最大程度地提高办事效率。

三、打造田园风光,展示城乡新面貌

18、加快县城新区开发建设,重点推进总投资5.5亿元,集体育馆、城市展览中心、青少年活动中心、文化馆、博物馆、图书馆、科技馆等为一体的文体中心项目,以及总投资5亿元的五星级大酒店、总投资10亿元的裕德园广场等城建项目,完成迎宾路、武德路、西环路、人民路延伸等城区道路配套,推动县城向西拓展。

19、持续深化岩溪小城镇建设,建成污水处理厂、垃圾中转站、农贸市场等基础设施,实施湖珠、顶山、霞美等5个农村土地整治项目,加快顶宫安置小区工程建设。

20、抓好陈巷、枋洋、坂里、林墩等城镇建设,推进陈巷文教片区、枋洋新镇区、坂里知青缘、林墩新区等镇区改造,加快古湖生态城建设,实施夜景工程、立面改造和主干道亮化。

21、突出整治,全力推进“田园风光、生态之城”重点示范区域建设,抓好上蔡大学、高濑、古农古老堀等“三村”村容整洁,完成官九线官山至岩溪段、奎山至夫坊村、陈积线、角路段等“四路”整改整治,开展武安镇区、岩溪镇区、经济开发区、生态旅游区、银塘工业区等“五区”整治整理,积极实施交通道路景观、河道景观工程。

22、开展违法占地和违法建房专项整治,严厉打击各类违法占地、违法建房和私自买卖土地行为。

23、持续深化村容整洁工作,继续推进陈巷、枋洋农村环境连片整治,开展十佳优美村庄、十佳绿色村庄、十佳卫生村庄等创建活动,组织十星文明户、村容整洁示范户、五好文明家庭等评比活动。

24、保护生态,强势推进流域水环境综合整治,抓好总量减排工作,加大排污企业环境监管力度,保障工业企业和污水处理厂污水处理设施稳定运行,确保工业污水达标排放,节能减排目标在控制指标以内,城乡环境空气质量稳定在国家二级标准以上,集中式饮用水源水质达国家二类地表水标准。

25、逐步缩小矿山开采范围,加大矿区水土流失治理,建设拦沙坝3座,绿化矿山550亩,强化石材加工污染整治,严厉查处各种偷排、漏排现象,确保石材加工废水零排放,积极引导石材加工企业转产转型。

26、加强活盘水库、内寮水库、福信取水口等3个城镇集中式饮用水源管理,加快建设农村饮水安全工程,推进大枋水库区域生态保护与发展。

27、加大养殖污染整治力度,全面拆除禁养区内所有养殖场,严格落实禁养区外养殖场治理措施,全县范围内禁养牛蛙等重污染养殖,切实提高流域水环境质量。

28、持之以恒推进造林绿化,继续实施城乡绿化一体化“四绿”工程,抓好造林绿化规划设计,科学选择造林绿化树种,加强名木古树保护管理,严禁新种桉树,加快现有桉树替换树种造林,推动造林树种乡土化、珍贵化和多样化,切实提高森林净化涵养水分能力。

四、加强社会管理,构建和谐新风尚

29、完善公共服务体系,认真抓好教育工作,推进省级义务教育均衡发展试点县工作,完成三中综合楼、珪前小学综合楼等8个教育建设项目,筹办县第三实验幼儿园,积极开展扶困助学和奖教奖学活动,全面加强教师队伍建设,切实提高教育教学质量。

30、着力发展文体事业,加快建设射击馆、沙滩排球场等文体设施,积极举办各类文体活动,继续推进有线电视整体转换,着力开展文化乡镇、文化村庄、文化企业等创建活动,扶持培育文化创意产业,加快“文化”建设步伐。

31、着力改善医疗卫生条件,启动县卫生监督所、武安社区卫生服务中心建设,探索县医院公立医院改革,试行村级卫生所基本药物制度,方便群众看病,减轻群众负担。

32、全面加强人口计生工作,深入开展幸福家庭创建活动,不断提高计生优质服务水平。出生人口政策符合率达到93%以上,政策外多孩率控制在1%以内;人口出生率控制在12.5‰以内;人口和计划生育统计准确率达到95%以上;当年社会抚养费(包括补报往年)征收面达到100%,征收额达到70%以上;县财政计生经费投入达到人均达40元以上(不含回拨乡镇的社会抚养费);乡级财政计生经费投入按大小乡镇分别达到人均8元、10元以上;人口计生基础知识育龄群众知晓率达90%以上;群众对计生工作满意或基本满意率达92%以上。

33、完善社会保障体系,推进城乡社会保障一体化,健全完善城乡居民社会保障制度,提高新农保参保率、新农合参合率,做好社会保障卡发放工作,努力扩大养老、失业、医疗等社会保险覆盖面。

34、推进保障性安居工程建设,新建经济适用房、公租房、限价房、危旧房改造等保障性住房1200套,逐步解决城乡中低收入家庭和困难家庭住房问题。

35、完成科山双口宅、湖珠鼓鸣2个地质灾害点搬迁重建。

36、健全完善社会救助制度,建立社会救助保障标准与物价上涨挂钩联动机制,加快银塘社会福利中心、上宫社区综合服务站和林溪、美宫农村幸福园建设,整合社会互助、医疗、教育、住房、法律等社会救助资源,依法保障困难家庭、老年人、残疾人和孤残儿童等社会弱势群体权益。

37、完善综治维稳体系,切实加强社会治安综合管理,严厉打击各类刑事犯罪活动,不断提高群众社会治安满意率,确保群众对社会治安满意率达95%以上,党委和政府抓社会治安的满意度达85%以上,平安建设知晓率达75以上。

38、扎实抓好社会维稳工作,建立重大建设项目社会稳定风险评估机制,不断完善“大调解”工作体系,妥善解决群众合理诉求,有效化解社会矛盾纠纷。

第13篇

二OO七年元月十七日

各位领导、同志们:

20__年是__送变电史上不平凡的一年,不仅施工产值创历史最高,而且在施工点多且分散、施工工期要求紧、施工难度大、施工环境复杂等诸多不利于安全生产的情况下,确保了年度安全目标的顺利实现。这些成绩的取得主要得益于国网公司、省公司等上级领导的正确领导和殷切关怀,公司各级领导对安全生产工作的高度重视和采取的一系列有力措施,公司全体员工在日常工作中严守规程、制度,遵章守纪。

回顾过去的20__年,我们根据省公司安全生产工作会议精神,以“一个落实、二个坚持、三个加强”为具体工作思路,即:明确责任、加强考核,落实安全生产责任制;坚持管理创新,坚持作业标准化;加强安全培训,加强分包管理,加强重点防范(防高坠、防物体打击、防触电、防交通事故等),并明确了年度安全目标。认真贯彻落实国家电网公司一系列有关安全工作的管理规定,以开展“爱心活动”、实施“平安工程”和组织开展春、秋季安全大检查等活动为契机,在公司范围内大力开展反违章和安全施工生产专项整治活动,确保了公司安全生产局面的基本稳定。现将20__年公司在安全生产方面所做的主要工作总结如下。

一、20__年公司安全生产的总体状况

1、年度安全目标的实现情况。20__年公司未发生人员重伤及以上事故,没有发生性质恶劣的人身轻伤事故,没有发生重大施工机械、设备损坏、火灾及负主要责任的重大交通事故,没有发生重大电网、环境污染和垮坍塌事故。全年共发生一般人身轻伤事故4起,其他未遂事故一起,负次要责任的交通事故一起,事故发生频数与上年度持平;轻伤事故率为1.6‰,控制在6‰以内;±500kV龙政线发生一类障碍两次,比上年减少四次;全面完成公司年初确定的年度安全生产目标。并且走出了五月份公司安全生产状况不好的“怪圈”,振奋了精神,鼓舞了士气。

2、安全生产状况的总体评价。公司安全组织保证体系和安全监督管理体系健全、运转正常,公司的安全方针、目标明确,安全目标和安全责任得到了分解和较好地贯彻执行,各级领导的安全管理意识与去年相比得到了增强,在安全防护设施、安全防护用品以及安措资金等资源投入上均有保障,思想认识上都十分重视安全生产工作。

各工程项目部、施工队对下发的事故快报和有关上级安全文件精神能及时传达学习,并能及时组织人员开展安全自查、自纠活动;安全规章制度和管理台帐齐全并趋于规范;作业指导书的编审批手续齐备,其针对性和可操作性较以前有较大提高;安全技术交底、双方签证手续、安全教育、工作票及安全例会等安全管理例行工作基本能正常开展;施工机械、工器具和安全防护用品管理正在逐步规范;安全文明施工主要控制环节均处于可控状态,特别是送电线路分包商队伍现场安全控制的整体水平较上半年有了较大提高,部分220KV变电所工程如:220KV竹溪变、龙泉变等施工现场视觉形象比以前有较大改观。安全生产的总体趋势较好。但施工现场违章现象仍大量存在,有些习惯性违章仍痼疾难除,现场安全控制水平还有待提高,变电所安全文明施工难以达到常态化。安全生产的形势依然严峻。

二、一年来所做的主要工作

(一)夯实基础努力实现安全生产可控、在控与能控

企业的安全生产是企业综合管理水平的集中体现,扎实工作,夯实基础,实现安全生产可控在控,是抓好企业安全生产的首要条件和基本保证。

1、各级领导思想统一,行动一致,齐抓共管。各级领导亲自带头履行安全职责,在安排施工生产的同时布置安排安全工作,切实把安全工作放在一切工作首位。

2、完善制度,依法监管。为更好地落实安全生产责任制、加大反违章力度,组织制定了公司《岗位人员安全责任考核办法》、修订了公司《反违章工作管理办法》和《安全奖考核办法》。

对基层单位的安全管理制度进行了一次全面梳理,从下至上、上下结合,提炼出公司施工生产30个主要岗位保证安全的基本制度,作为公司安全管理的红线制度。

3、及时总结、分析、查找安全生产中存在的管理短板和薄弱环节,制订防范措施。除每月定期召开安全生产分析会外,不定期召开安全工作会和安全生产专题会议,旨在及时总结、分析、查找特定阶段公司安全生产中存在的管理短板和薄弱环节,研究制订解决问题的具体措施。如:公司分别于3月31日、7月29日组织召开了上半年和下半年的安全生产工作会,部署安排迎峰度夏期间和下半年施工生产安全工作;12月25日组织召开确保年内安全生产的专题会议,会议对公司年内安全生产中存在的主要危险点进行了认真识别和评价并对拟采取的预控措施进行了讨论。会后,公司立即下发了皖送变电安监〔20__〕248号文《关于切实采取措施做好年内安全工作的通知》,对公司年内安全生产工作提出了具体措施和要求。

4、针对重点、难点工作,采取非常规手段强化现场监管。面对“五一”、国庆长假期间停电施工的5304、5904和5307线等生产技改项目以及宣富线、京沪电气化铁路、平肥线等工程,施工时间紧、任务重、难度大、安全风险高等特点,公司及时组织召开专门会议对安全工作进行了统筹安排。施工期间公司各位领导都明确了具体分工,各工程和作业点安全工作责任到人,进一步加强了现场的领导,取得了较好效果。

5、有针对性开展专项安全检查。公司通过对各类安全检查中发现的问题进行归类、系统分析,及时查找安全生产中存在的主要问题,有针对性地开展专项安全检查。分别于“全国安全生产月”活动期间会同物资管理部到500KV宣富线、220KV渦谯线、110KV广德东郊变开断、500KV巢湖变、220KV库山变等工程,组织开展了施工机械、工器具的专项安全监督检查;八月初,为吸取湖南电建“7.4”塔吊倾倒人身事故教训,会同物资管理部对公司所有行吊、塔吊、门吊、吊车等起吊设备、施工机械、工器具、安全防护用品等进行了全面检查;九月份,会同工程管理部组织开展线路施工跨越架、土建脚手架安全专项检查,着重做好 电力线及铁路、等级公路等重要跨越架和变电所施工脚手架的安全检查。通过实施专项监督检查,及时消除事故隐患,做好重点防范。

6、加强了分包管理。为加强分包管理,公司在严格审查分包商资质和工作业绩把好准入关的基础上,采取了在劳务分包合同中设立安全文明施工专项费用,由项目部考核使用;选派人员参与分包工程全过程安全管理,做到重点监督;重视安全绩效考核,前10名的分包商优先参与工程投标等一系列措施,促进了分包管理。

7、坚持实施差异化管理。每月定期召开安全分析会,会上对上月安全工作进行总结,对下月施工中存在的危险点进行分析、评价,依据评价结果有差别地实施管理。对于安全风险相对较大的施工作业点,分别由公司、分公司领导和相关部门的工程管理、安全监察人员到现场监督和监护,保证了施工安全。

8、加大安全检查考核力度。公司不定期组织日常安全检查,有针对性地开展专项安全检查,遵照上级要求组织开展了春、秋季安全大检查、基建安全专项检查等,全年共查找出违章648次,违章计分1020分,违章罚款95905元。并依据检查结果,对照公司制订的《安全奖管理办法》分季度对各基层单位进行安全考核,考核结果是,最低分0分,最高分96分,考核平均分85.8分。较好地促进了安全管理制度的落实。

9、重视安全教育培训。除对员工进行日常岗前安全教育培训外,为提高分包商的安全技能,分别在送电分公司后勤基地,组织分包队伍进行实地组塔培训,使其掌握高处作业的安全措施要点;邀请首都经贸大学安全工程学院教授到公司讲授安全管理理论;开展一期项目部、施工队专职安全员培训班,共有来自施工一线的48名安全员参加了学习;针对送电线路施工带电跨越增多的实际,公司安全监察部会同人力资源部邀请安庆电力技校的老师在送电分公司培训举办了一期送电线路带电作业安全技能培训班,来自送电分公司(包括分包商队伍)各作业班组的65名员工参加了培训,提高了送电线路带跨越架搭设技能水平;与__省?设厅联合在潜山举办了一期专职安全管理人员和项目经理安全资质培训班,本次培训班共有120人参加了学习,满足了当前施工生产对特殊管理人员的需求。

10、重视车辆交通安全管理。车辆交通安全管理是20__年公司安全重点工作之一,为此公司安全监察部首先以文件要求各单位确定了车辆管理部门和具体车辆管理人员,并明确车管部门和人员的工作职责,初步完善了公司车管网络,明晰管理责任范围。其次,加强了对现场车辆交通安全的监督和检查,重点是对外租车辆的车况、车容车貌和客货混装情况进行了检查,通过对驾驶人员安全常识的考问,对驾驶人员的驾驶技能进行考核和评价,全年共纠正交通安全违章四十余起,较好地避免了交通安全事故的发生。还有,为吸取宏源大件公司“7.22”交通事故教训,公司及时下发了《安全事故快报》,在公司范围内对“7.22”交通事故情况进行了通报,并制订了防范对策。要求全体驾驶人员停工学习事故案例,结合实际进行事故原因分析,书写事故带来的教训和事故防范措施,做到举一反三,防止类似事故再次发生。9月2日,公司召开了车辆交通安全管理工作会。公司各基层单位的车管领导和专职车辆安全管理人员、机关车队的有关负责人参加了会议。会议对当前公司车辆安全工作进行了认真的总结和分析,对如何更好地落实制度、加强考核、明确责任,消除隐患以及如何更好地抓好今后车辆交通安全工作提出了对策和具体要求。9月22日,公司安监部会同公司工会,组织开展机动车辆驾驶人员驾驶技能竞赛活动,共有60名驾驶人员参加了比赛。进一步推动了驾驶人员的交通安全意识和驾驶技能。

11、积极开展各类安全活动,提高员工安全生产意识。按照公司年初安全工作计划,结合“全国安全生产月”活动的开展,公司安全监察部会同公司工会分别到500KV宣富线、220KV渦谯线、110KV广德东郊变开断、500KV巢湖变、220KV库山变等工程,组织开展“安规知识有奖竞赛”活动。本次活动共1200余名员工(其中近千名分包商职工)参加了竞赛,并对部分优胜者给予了一定的物质奖励。提高了员工的安全意识和对安规知识的掌握,激励了员工的工作热情。

(二)探索创新不断提升安全文明施工水平

1、管理创新,安全策划高起点。公司在芜湖开发区变、宣城龙泉变创建“安全文明施工样板工地”的基础上,编制出版了公司《变电工程安全文明施工标准化图册》,规范和统一了变电所安全文明施工标准。在公司上下的共同努力下,20__年__省电力公司授予我公司施工的500千伏蚌滁线、平肥线、220千伏巢湖地区线路工程、500千伏淮宿变、蚌埠变、220千伏龙泉变和竹溪变等工程为“20__年度__省电力基建系统安全文明施工标准化工地”称号。且500千伏淮宿变、蚌埠 变、220千伏竹溪变等工程安全文明施工还得到了国网公司秋季安全检查组的领导、专家的一致好评。

2、防护设施创新落实高处作业100防坠落措施。为真正体现“以人为本”的安全理念,达到本质安全,我们始终要求高处作业要落实100%防高坠人身保护措施,目前,变电分公司、运检分公司在施工作业过程中高处作业人员已基本做到100防坠落保护,送电分公司成建制施工队也基本落实高处防坠措施,分包队伍中大部分员工在大部分高处作业时间内能实施人身防护措施,在人身防护方面取得了可喜进步。

3、理念更新,积极开展安全文化建设。大力开展“爱心活动”,实施“平安工程”,并以“员工平安工程”为实施重点。为此,公司组织编制了《安全温馨提示》卡、编制出版了送电施工、变电施工、土建施工《危险点辨识和预控手册》等,发放至各施工作业点,做到人手一册;按照不同岗位的不同要求对安全规程进行分类,对必须熟练掌握的条文内容,要求考试100合格,并配以漫画制成《安全施工口袋书》发放给每名员工;在公司《安全简报》上开辟“安全生产大家谈”栏目,为全体员工提供了一个畅谈安全生产的平台;组织评比“安全之星”及时奖励安全立功个人和集体、在生产车间(班组)开展“安全生产流动示范岗”等活动;组织学习省公司编发的《近年来国网公司人身事故案例汇编》和《杨总复信》,大力开展“学习领悟杨?复信精神”和如何吸取事故教训讨论活动,全体员工畅谈学习体会。

通过全面的企业安全文化建设,把科学的电网安全观与先进?安全管理理念融入到企业的共同愿景。以多种形式的安全教育、宣传及活动的开展,极大地宣扬了安全工作中的好人好事,倡导了人人讲安全的良好风气,并依靠安全文化为支撑,营造良好的安全工作氛围。

(三)加强输电线路运行维护,提高电网可靠性

1、加强线路巡视和线路通道清障。20__年,运检分公司坚持做好运行线路的巡视和线路走廊内的通道清障工作。全年共进行定期巡视12次,特殊巡视38次,监察巡视6次,夜巡34次,故障巡视2次,累计发现缺陷71处,其中危急缺陷1处,一般缺陷70处,故障查找率为100。根据实际情况对龙政线通道障碍进行危险点分析,并按轻重缓急,分重点清障和全面清障两步进行,注重在效果上下工夫,全年共清除树木障碍11000余棵,毛竹13000余棵,阻止线路下焚烧油秸杆300余处。保证了维护线路的可靠运行。

2、重视线路外破及电力设施保护工作。一是加大了护线宣传力度,印刷了大量的宣传保护电力设施的宣传单、宣传画,工作班组利用巡线间隙沿线进行散发、宣传,另外积极联系地方政府下发宣传告示,在线路沿线张贴,宣传电力法及电力设施保护条例,累计张贴告示250余张,散发宣传单7000余张、宣传挂历1500余份,护线宣传扑克3000付,有效地避免了因烧荒、焚烧秸杆造成的线路故障,收到很好的社会效果。二是积极与政府有关部门协作,对龙政线15个爆破危险点建立了动态管理和控制,并逐个和六潜高速、六武高速、六武铁路穿越线路的施工单位签定了《电力设施保护区施工作业安全协议书》,对确保线路的安全运行起到良好的效果。三是配合当地安监部门查处关闭龙政线金寨县斑竹园板场村堰口采石场和金寨县古碑七邻石料厂金邻石料厂2处,配合霍山安监部门对辽宁路桥建设总公司六潜高速公司03标段项目部和LY032项目部下达《安全生产监督检查行政执法文书/整改指令书》2份。此外分公司还对龙政线施工爆破、洛清线违章建房等外力破坏共下达了消除隐患通知书6份。四是加强群众护线员的管理,组织召开了每年一次的护线员经验交流和表彰会,通过护线员会议对好的护线方法进行推广,对优秀护线员进行表彰和奖励,对平时工作责任心不强的予以辞退,从而提高了护线员护线的质量。

(四)认真吸取事故教训,完善事故应急机制

1、去年公司发生了“3.25””线路跳闸事故,虽然事故没有造成人员伤害,其后果也并不严重但给公司的安全生产敲响了警钟。事故发生后,公司立即成立了事故调查组,严格按照“四不放过”原则对事故进行调查处理,对照公司安全奖罚规定从严处理了事故相关责任人,并对一些人员的分工进行了调整。同时,认真分析了公司安全管理中存在的“短板”、薄弱环节和薄弱部位,并研究制订了九项对策,落实了责任部门和具体责任人。使得广大职工从中受到了很大教育,尤其是如何吸取事故教训,作好安全防范措施,杜绝类似事故的再次发生以及如何抓好下步安全工作等有了新的认识。

2、针对国网系统一季度连续发生几起安全事故,安全生产所面临的严峻形势,四月五日和六日全公司停工两天,公司及基层单位主要领导分别到各工程项目部亲自组织安全学习,亲自传达安全形势、事故快报以及上级安全工作指示精神,直至每位员工(包括分包商员工),使得各级领导和全体员工从事故中,深刻剖析事故的原因,时时刻刻在头脑中绷紧“安全”这根弦。

3、六月初,按照公司的统一部署,各基层单位、工程项目部、施工队充分利用安全分析会、安全日活动、安全生产月活动等多种形式,开展蚌埠供电公司“5.12”事故分析活动,每名员工结合各自岗位和工作经历的实际,仔细分析事故原因,从中吸取事故教训,并以作业班组为单位书写学习体会。

4、按照国网公司要求,公司组织开展“安全周”活动和基建安全生产整顿工作。7月11日至7月12日期间,停工学习国家电网公司7月9日召开的电视电话会议和刘振亚总经理讲话精神,组织开展“安全周”活动。各单位在学习国网系统发生的四起事故的基础上,每位员工进行自我剖析,认真分析、仔细查找各单位安全管理、施工现场存在的漏洞和隐患,结合各自工作实际制订和实施防范措施。

5、去年,我们及时组织修订完善了公司各类安全事故应急救援预案,并先后聘请了合肥市急救中心的专家分别到送电分公司、变电、运检分公司基地和东通道工程施工项目部进行急救知识和心肺复苏培训班,共计130余人参加了培训、学习,在部分施工现场组织事故救援演练,逐步完善了公司事故应急机制。

三、存在的主要问题

1、施工机械、工器具检查把关不严,特别是分包队伍自备工器具进场检查和管理存在漏洞。

2、安全文明施工特别是变电所施工中不能严格遵照《安全文明施工二次策划》要求组织实施并保持常态化管理。

3、班前会、安全日活动等安全例行工作没有结合工程实际,针对性、实效性不够。

4、施工用电、脚手架搭设、安全教育(主要是临时用工的岗前教育)的要求有所松懈。

5、施工现场违章现象仍然大量存在,特别是习惯性违章屡禁不止,施工现场的安全生产和文明施工没有完全得到有效控制。

四、20__年安全工作计划

20__年公司职业安全健康和环境管理工作的总体思路是:以省公司安全生产工作会议精神为指导,以实现公司安全目标为中心,以“培训为本、管理科学、责任落实、监督到位”为具体工作思路,即:坚持安全培训,提高员工安全技能;推行风险管理,科学制订防范措施;完善管理体系,落实各级安全责任;强化安全监督,提高现场安全控制力。充分发 挥安全生产领导体系、保证体系和监督体系的作用,继续开展“爱心活动”,实施“平安工程”,深化反违章活动。重点做好高处坠落、物体打击、电伤害、交通事故等防范措施和安全管理红线制度的落实。坚持继承和创新相结合,打牢安全基础,提升安全管理整体水平,实现安全生产的“可控、在控、能控”。具体措施如下:

1、以人为本,坚持不懈地抓好安全培训工作。

在公司逐步建立的长期、中期、短期,企业内部培训与送外受训,传统手段与现代多媒体手段相结合的教育培训机制基础上,重点做好分包队伍和临时工的培训,分工种、分层次的建立安全考核试题库,按照不同岗位的不同要求对安全规程进行分类,对必须熟练掌握的条文内容,要求考试百分之百合格,并达到安全教育率百分之百。继续联系外聘教师分期分批给安全监察人员讲授安全技术和安全管理知识,提高安监人员的专业素质和业务能力。保持与政府有关部门联系,做好特殊工种的培训取证工作。通过培训进一步提高员工的安全技能和安全意识。

2、积极推行安全风险管理,建立并完善风险管理机制。

在认真做好危险点辨识和评价的基础上,结合公司施工生产实际,制定切实可行的实施方案和工作目标,扎实开展安全风险评估和分析;科学制订安全风险防范措施,注重其针对性、可靠性、可操作性,保证实施方法容易为基层一线员工接受和掌握,应对和规避安全风险;大力开展全员风险意识和风险知识培训,着力开展作业人员危害辨识和风险防范能力培训,有效实施风险管理措施,最大限度化解和消除安全风险;研究解决风险管理与目前诸多安全管理手段的整合与统一,从安全管理长效机制建设出发,逐步建立和完善公司安全风险管理机制,规范安全生产管理方式、方法和流程,提高企业整体安全管理效率和水平。

3、完善安全责任体系,促进监督管理到位。

加大对施工生产现场的安全监督检查和考核力度,尤其要完善各分公司对项目部,项目部对施工队的分级检查考核机制,完善公司安全生产责任体系。充分发挥施工生产一线安全生产保证和监督两个体系各自的功能和协同作用,通过安全生产两个体系的协调配合,从工作的每个细节入手,按照“三个百分之百”要求,达到对作业现场的“四全”(全面、全员、全过程、全方位)监督与管理,控制工作任务安全。

4、组织开展专项安全检查,着力解决安全生产中存在的突出问题。

定期对公司安全生产状况进行总结分析,及时查找安全管理“短板”和薄弱环节,对安全生产中存在的较突出问题,适时组织专项安全监督检查,及早消除安全隐患。第一要组织开展分包工程安全管理专项监督检查,重点检查《国家电网公司电力建设工程分包、劳务分包及临时用工管理规定(试行)》(国家电网基建[20O5]531号)在公司的实际执行情况。第二是组织开展施工机械、工器具和安全防护用品管理的专项安全监督检查,重点检查施工机械、工器具和安全防护用品的进场检查、日常维护、检验试验等管理工作。第三是组织开展施工用电和防电害专项安全监督?查,重点检查施工用电设备、设施的完?性,施工用电的可靠性、规范?以及施工作业现场防感应电、防触电等措施的落实情况。第四是组织开展施工脚手架和线路跨越架的专项安全监督检查,重点对照建设部相关标准规范和施工技术措施要求,检查建筑施工脚手架搭设的规范性和送电线路跨越架特别是跨越带电线路、高等级公路、铁路等重要跨越架的可靠性。

5、深入开展反违章活动,狠抓安全规章制度的落实。

为进一步开展国家电网公司安全生产“反违章”活动,深刻领会刘振亚总经理“违章就是事故之源,违章就是伤亡之源,见违章不管、不制止,长期解决不好违章问题,就是失职、失责”的讲话精神,在总结20__年开展反事故斗争经验的基础上,分析工作中的差距和薄弱环节,深入开展安全生产反违章活动。在加强现场的安全检查考核的同时,全面推行“安全生产示范班组”活动,进行“零违章班组”创建活动试点。通过正反两个方面对违章现象予以表彰或曝光,促使作业现场到达“三个百分之百”要求,落实“四全”(全面、全员、全过程、全方位)安全监督与管理和公司安全管理红线制度,不断提高安全生产“可控、能控、在控”水平。

6、重视作业现场常态管理,提高安全文明施工整体水平。

20__年,公司在芜湖开发区变、宣城龙泉变创建“安全文明施工样板工地”的基础上,编制出版了公司《变电工程安全文明施工标准化图册》,规范和统一了变电所安全文明施工标准,送电线路施工的安全文明施工策划也得到了完善;500千伏淮宿变、蚌埠变、220千伏竹溪变等工程安全文明施工得到了国网公司秋季安全检查组领导和专家的一致好评。今年变电所工程的安全文明施工要着重抓好作业现场的日常管理并保持常态化,力图做到统一标准、统一要求、统一管理,消除工程项目间、施工队伍间、作业工序间、施工阶段间的差异。送电线路施工着重做好现场安全防护设施、作业人员的个体安全防护和劳动保护用品(具)的配置与使用的规范化、标准化。全面提高公司安全文明施工的整体水平。

7、努力完善和规范施工机械、工器具的管理。

针对各基层单位工作实际,制订切实可行的管理办法并组织有效实施,以加强对施工机械设备、工器具和安全防护用品的发放、保管、维修和检查、试验等管理工作,特别要做好分包商自备或租赁的施工机械设备、工器具和安全防护用品的管理。确保其使用完好、不超期服役,采取有效手段实现管理的可追溯性,保证物的安全状态。

8、吸取事故教训,完善应急机制。

及时组织学习各类安全事故案例,分析事故致因,有机结合工作实际,有针对性地制订防范措施,吸取事故教训,避免同类事故的重复发生。分期分批到各工程项目部进行员工心肺复苏等紧急救护培训,修订公司安全生产事故应急救援预案,结合“5.17”安全警示日活动的开展,到工程项目部组织事故应急救援演练,进一步完善公司事故应急救援机制,将可能发生的事故损失和影响程度降到最低。

9、做好线路的运行维护,确保电网运行安全。

要不断总结输电线路的运行维护经验,积极做好运行输电线路的安全性评价和《规范》考评工作,运用科学手段作好事故隐患的分析与预控,结合实际进行动态、闭环管理。加大防范雷害、冰闪、雾闪、污闪等自然灾害和其他外力破坏事件发生的工作力度,降低运行线路故障跳闸率,努力消除设备隐患,提高设备安全可靠性。超前防范,完善预案,做好运行线路迎峰度夏和迎峰度冬工作,确保不发生人员责任的电网事故。

10、加强车辆交通安全管理。

在组织施工生产安全监督检查的同时,保证车辆交通安全管理的监督检查到位,并把交通安全管理的检查结果作为安全考核的重要组成部分。继续通过组织开展机动车驾驶员交规知识竞赛和驾驶技能比武活动,提高驾驶人员的业务水平和安全行车意识。

11、大力开展安全文化创建工作,提高全员安全意识。

?入开展“爱心活动”,实施“平安工程”,把“员工平安工?”作为实施重点。继续组织开展“全国安全生产月”活动和“5.17”?全警示日活动;组织开展安全知识竞赛、“安全在我心中、风险在我手中”等以安全生产为主题的职工安全演讲活动;继续在公司《安全简报》上开辟“安全生产大家谈”栏目,为广大员工提供一个畅谈安全生产的平台;坚持组织评比“安全之星”,适时奖励安全立功个人和集体,大力弘扬安全生产中的先进事迹。倡导人人讲安全的良好风气,营造和谐的安全生产氛围。

第14篇

工业控制系统是承担国家经济发展、维护社会安全稳定的重要基础设施,电力行业作为工业控制领域的重要组成部分,正面临着严峻的信息安全风险,亟需对目前的电力工业控制系统进行深入的风险分析。文章从电力终端、网络层、应用层、数据安全4个方面分别考察系统的信息安全风险,确定系统的典型威胁和漏洞,并针对性地提出了渗透验证技术和可信计算的防护方案,可有效增强工控系统抵御黑客病毒攻击时的防护能力,减少由于信息安全攻击所导致的系统破坏及设备损失。

关键词:

电力工业控制系统;信息安全;风险;防护方案

0引言

随着工业化和信息化的深度融合以及物联网的快速发展,工业控制系统(IndustrialControlSystem,ICS)获得了前所未有的飞速发展,并已成为关键基础设施的重要组成部分,广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中。调查发现,半数以上的企业没有对工控系统进行过升级和漏洞修补,部分企业的工控系统与内部管理系统、内网甚至互联网连接。此外,由于国内技术研发水平的限制,一些存在漏洞的国外工控产品依然在国内的重要装置上使用。伴随着信息化与电力工业[1-4]的深度融合,使得原本相对独立的智能电网系统越来越多地与企业管理网互联互通,电力系统的网络信息安全问题日益突出。工业控制网络[5-6]一旦出现特殊情况,后果将不堪设想,可能会对能源、交通、环境等造成直接影响,引发直接的人员伤亡和财产损失,重点行业的智能电网系统甚至关系到一个国家的经济命脉。“震网”、“棱镜门”以及乌克兰电力系统被攻击导致大范围停电等ICS安全事件,也预示了智能电网信息安全已经不再是简单的技术问题。对安全防护方案进行研究已经成为国家基础设施领域亟需解决的问题。

1国内外电力工业控制系统信息安全现状

美国很早就已在国家政策层面上关注工业控制系统信息安全问题,美国政府于近几年了一系列安全防护的战略部署,主要针对关键基础设施和工业控制系统的信息安全防护。美国国家研究理事会于2002年将控制系统攻击列入紧急关注事项,于2004年防护控制系统相关报告,2009年公布了国家基础设施保护计划,2011年了“实现能源供应系统信息安全路线图”等。除此之外,在国家层面上,美国还了两个国家级专项计划,用于保护工控系统的信息安全,包括能源部的国际测试床计划和国土安全部的控制系统安全计划。我国工业控制系统信息安全相关研究仍处于起步阶段,工业控制系统还不成熟,不同行业的安全防护水平参差不齐,安全防护能力不足,潜在的安全风险相当大。电力行业作为工业控制领域信息安全防护建设的先行者,已在信息安全防护建设方面积累了大量经验:电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则,研究信息隔离与交换、纵向加密认证等多项专用安全防护技术,进而形成了多项信息安全行业技术规范和标准;针对关键产品进行自主研发,并统一组织进行严格测试,保证关键系统的安全自主可控;各电力企业相继建立了信息安全相关组织体系,建成了较为完善的信息安全管理制度,包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度,涵盖了信息安全活动的主要方面;总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。

2电力工业控制系统的概念和特点

电力工业控制系统主要由数据采集及监控系统(SupervisoryControlandDataAcquisition,SCADA)、分布式控制系统(DistributedControlSystem,DCS)以及其他配置在关键基础设施上的控制系统如可编程逻辑控制器(ProgrammableLogicController,PLC)等组成,具有实时性、可靠性、分布性、系统性等特点。SCADA系统的主要功能是采集通信和遥测数据,下发遥控和调度命令,多用于输电调度、变电站及发电厂监控、电力市场运营、用电信息采集及配电自动化系统等[7-8]。电力工业控制系统涉及的电力、信息和业务高度统一。电力的传输过程包括:电厂发电、线路输电、变压器变电、用户配电及用电组成,电力通信网络己经覆盖了电力控制系统的各个环节,在控制原则上采用“安全分区、网络专用、物理隔离、纵向认证”的方式,且具有以下特点。1)系统响应速度快。电力工业控制系统与传统工业系统相比,不允许出现过大的延迟和系统震荡,响应必须准时可靠,以应付现场不同的工控情况。2)系统威胁源更多。如恐怖组织、工业间谍、恶意入侵者等,攻击者通过多种形式的网络攻击对工控系统网络进行破坏和入侵,包括后门攻击、IP碎片攻击、畸形包攻击、DoS攻击、暴力破解、通信抓包等,一旦攻破工控系统的安全防线,将会对工业通信网络和基础设施造成严重破坏。3)系统数据量大。电力工业控制系统涉及大量电力数据的采集、传输以及信息共享,包括系统的输变电参量、用电终端的用电量等,需要通过这些实时信息来确保电力调度的精确、快速。

3影响电力工业控制系统信息安全的风险分析

3.1电力终端的风险分析

与传统信息控制系统相比,电力工业控制系统的安全防护主要集中在终端生产设备及其操作过程。终端生产设备(如PLC、操作员工作站、工程师操作站等)作为电力系统最终的控制单元,直接控制生产运行,监控系统的运行数据信息。终端服务器的安全是计算机设备在操作系统及数据库系统层面的安全[9]。在电力工控系统网络中,缺乏合适的终端物理安全防护方法。地震、强风、暴雨等自然灾害是影响信息系统物理安全的重大威胁,易造成设备损毁、网络瘫痪、数据丢失等工业事故。除此之外,由于接地不良引起的静电干扰以及电磁干扰也会造成系统不稳定,同时机房安全设施自动化水平低,不能有效监控环境和信息系统工作状况。终端部署位置要谨慎考量,安排在高层时存在消防不易达、雨水渗透等安全隐患,部署在地下则易出现水蒸气结露、内涝、积水等隐患。工控系统应设置避雷装置,雷电容易引起强电流或高电压,极易击穿电子元件,使设备直接损毁或瘫痪。另一方面,电力设备的损坏、检修、改造等都可能导致外部电力供应中断,电力供应的突然中断除了会造成系统服务停止外,还有可能产生电力波动,如果控制系统不能把电力波动的范围控制在10%内,或没有部署稳压器和过电压保护设备,极有可能对系统电子设备带来严重的物理破坏。强电电缆和通信线在并行铺设时,可能会产生感应电流和干扰信号,极易导致通信线缆中传输的数据信息被破坏或无法识别。除了电磁干扰之外,还应防止设备寄生耦合干扰,设备耦合干扰会直接影响工控设备的性能,使得无法准确量测或采集当前信息。

3.2网络风险分析

建立安全的网络环境是保障系统信息安全的重要部分,因此必须对工控网络进行全面深入的风险分析。信息网络的安全稳定可以保障工控设备的安全运行,为企业提供可靠、有效的网络服务,确保数据传输的安全性、完整性和可用性。对于电力工业控制系统内的网络基础设施环境,基于业务和操作要求常有变动,且通常很少考虑潜在的环境变化可能会造成的安全影响,随着时间的推移,安全漏洞可能已经深入部分基础设施,有的漏洞可能通过后门连接到工控系统,严重威胁到工业控制系统的稳定运行[10]。由于安全设备配置不当,防火墙规则和路由器配置不当也易造成通信端风险。缺乏正确配置的防火墙可能允许不必要的网络数据传递,如在控制网和企业网之间的数据传输,可能导致对系统网络的恶意攻击和恶意软件的传播,敏感数据容易受到监听;网络设备的配置应进行存储或备份,在发生意外事故或配置更改时,可以通过程序恢复网络设备的配置来维持系统的可用性,防止数据丢失;若数据在传输过程中不进行加密或加密等级不够,极易被窃听或拦截,使得工控系统受到监视;另外,在通信过程中使用的通信协议通常很少或根本没有内置的安全功能,导致电力工控系统存在极大的安全风险。电力工控系统本身对可靠性、稳定性及兼容性的要求都很高,如果发生破坏或安全事故,造成的国民经济损失将不可估量。

3.3应用风险分析

应用层运行着工控系统的各类应用,包括网络应用以及特定的业务应用,如电子商务、电子政务等。对应用风险进行分析就是保护系统各种业务的应用程序能够安全运行。很多电力工控设备没有身份验证机制,即使有,多数也为设备厂商默认的用户名和密码,极易被猜出或破解,通常不会定期进行密码更换,风险极大。同时要防止应用系统的资源(如文件、数据库表等)被越权使用的风险。对关键部件缺乏冗余配置,导致应用程序对故障的检测能力、处理能力、恢复能力不足,缺乏对程序界面输入格式的验证以及注入攻击的验证,如SQL注入攻击等,系统面临暴露数据库的风险。

3.4数据安全风险分析

虽然电力系统内外网已进行了物理隔离,但在管理信息大区中积累了大量的电力敏感数据,如电力市场的营销数据、居民用电数据、电力企业财务报表、人力资源数据等,内部人员、运维人员或程序开发人员过多地对电力数据库进行访问,易造成这些敏感数据的泄露或被篡改。当前数据库中,不仅仅包含用电数据,居民的个人信息也都存储在内,居民的人身财产风险越来越大。电网资源、调度、运维、检修等数据容易被批量查询,进而导出敏感信息,缺少对敏感字符的过滤将带来极大的风险。这些电力数据往往缺乏定期备份,如果人为误操作或删除、更改数据,或者数据库本身发生故障、宕机、服务器硬件故障,数据易丢失。

险应对方案

针对电力工控系统面临的安全风险,可首先采用渗透技术模拟黑客攻击,在完成对工控系统信息收集的基础上,使用漏洞扫描技术,以检测出的漏洞为节点进行攻击,以此来验证系统的防御功能是否有效。当发现系统存在漏洞或安全风险时,应主动采取安全防护措施,使用可信计算技术以及安全监测技术抵御来自系统外部的恶意攻击,建立工控系统安全可靠的防护体系。

4.1渗透验证技术

4.1.1信息收集

1)公共信息采集首先分析网站的结构,查看源文件中隐藏的连接、注释内容、JS文件;查看系统开放的端口和服务;暴力探测敏感目录和文件,收集网站所属企业的信息,采用的手段包括查询DNS、查询Whois信息、社会工程学等。2)使用搜索引擎目前比较常用的搜索引擎为GoogleHacking,其搜索关键字符的能力非常强大,例如:①Intext字符:可用于正文检索,适用于搜索较为明确的目标,使用某个字符作为搜索条件,例如可以在Google的搜索框中输入:intext:工控,搜索结果将显示所有正文部分包含“工控”的网页;②Filetype字符:可以限定查询词出现在指定的文档中,搜索指定类型的文件,例如输入:filetype:xls.将返回所有excel文件的URL,可以方便地找到系统的文档资料;③Inurl字符:Inurl字符功能非常强大,可以直接从网站的网址挖掘信息,准确地找到需要的信息及敏感内容,例如输入:inurl:industry可以搜索所有包含industry这个关键词的网站。

4.1.2漏洞扫描

漏洞扫描是指通过手动输入指令或使用自动化工具对系统的终端通信及控制网络进行安全检测。1)使用基于主机的漏洞扫描技术对系统终端进行检测。基于主机的漏洞扫描器由管理器、控制台和组成。漏洞扫描器采用被动、非破坏性的检测手段对主机系统的内核、文件属性、系统补丁等可能出现的漏洞进行扫描。管理器直接运行在网络环境中,负责整个扫描过程;控制台安装在终端主机中,显示扫描漏洞的报告;安装在目标主机系统中,执行扫描任务。这种扫描方式扩展性强,只需增加扫描器的就可以扩大扫描的范围;利用一个集中的服务器统一对扫描任务进行控制,实现漏洞扫描管理的集中化,可以很好地用于电动汽车充电桩、自动缴费机、变电站系统及用电信息采集等终端上。2)利用特定的脚本进行扫描,以此判断电力系统是否存在网络中断、阻塞或延迟等现象,以及严重时是否会出现系统崩溃;另一方面,漏洞扫描还可以针对已知的网络安全漏洞进行检测,查明系统网络端口是否暴露、是否存在木马后门攻击、DoS攻击是否成立、SQL注入等常见漏洞及注入点是否存在、检测通信协议是否加密等。3)考虑到需要对系统具体应用的漏洞状态进行检测,因此可由前台程序提供当前系统应用的具体信息与漏洞状态,由后台程序进行具体的监听及检测,并及时调用漏洞检测引擎。需要注意的是,在电力生产大区中,尤其是安全I区中,为了避免影响到系统的稳定性,一般不使用漏洞扫描,具体防护方式需要根据安全要求而定。

4.1.3渗透攻击验证

1)暴力破解。暴力破解是指通过穷举不同的用户名及密码组合来获得合法的登录身份,只要密码不超过破译的长度范围,在一定时间内是能够破解出来的,但破解速度过慢,是效率很低的一种攻击方式,并且攻击不当可能会造成系统的过载,使登录无法被响应。此外,如果系统限制了登录次数,那么暴力破解的成功率则会非常低。2)DoS攻击。DoS攻击即拒绝服务,指的是通过耗尽目标的资源或内存来发现系统存在的漏洞和风险点,使计算机或网络无法正常提供服务。这种攻击会使系统停止响应或崩溃,直接导致控制设备宕机。攻击手段包括计算机网络带宽攻击和连通性攻击、资源过载攻击、洪水攻击、半开放SYN攻击、编外攻击等,其根本目的都是使系统主机或网络无法及时接受和处理请求信息,具体表现为主机无法实现通信或一直处于挂机状态,严重时甚至直接导致死机。

4.2安全防护技术

4.2.1可信计算技术

可信计算技术[12-14]是基于硬件安全模块支持下的可信计算平台实现的,已广泛应用于安全防护系统中。国际可信计算组织提出了TPM(TrustedPlatformModule)规范,希望成为操作系统硬件和软件可信赖的相关标准和规范。可信计算从微机芯片、主板、硬件结构、BIOS等软硬件底层出发,在硬件层为平台嵌入一个规范化且基于密码技术的安全模块,基于模块的安全功能,建立一个由安全存储、可信根和信任链组成的保护机制,从网络、应用、数据库等方面实现可信计算的安全目标。在保证主机系统信息安全的前提下,为企业提供安全可靠的防护系统。TPM芯片包含CPU、RAM、算法加速器等,应用时首先验证系统的初始化条件是否满足,然后在启动BIOS之前依次验证BIOS和操作系统的完整性,只有在确定BIOS没有被修改的情况下才可启动BIOS,然后利用TPM安全芯片内的加密模块验证其他底层固件,只有平台的可靠性认证、用户身份认证、数字签名以及全面加密硬盘等所有验证全部通过后,整个计算机系统才能正常启动。构建软硬件完整信任链是建立可信环境服务平台的关键。可信工控环境由以下几个模块组成:可信工控模块、度量信任根、验证信任根。可信工控模块是可信服务平台功能架构的核心,作为工控系统的信任根,主要用来存储信任根和报告信任根的作用,并为系统其他组件提供存储保护功能;度量信任根以及验证信任根利用可信工控模块提供的安全环境及保护机制实现相应的验证和度量功能。要构建可信工控安全环境,首先要加载度量信任根和验证信任根,并与可信工控模块中的完整性证书相匹配,完成对自身系统的安全诊断;然后对度量验证的完整性进行度量,将实际度量值与参考证书中的值进行比较,度量通过后将执行控制权交给度量验证,度量验证对操作系统进行度量、验证以及存储;最后通过与标准值的对比来验证工控系统相应设备引擎、通信引擎、应用引擎的运行是否可信。工控可信服务平台从硬件到软件的完整信任链传递为:系统启动后首先执行固化在ROM里的安全引导程序,该程序通过ARM硬件技术确保不会被篡改;然后,由安全引导程序计算安全区操作系统内核的RIM值,并与其对应的RIM值进行比较,验证通过则加载操作系统,并将控制权传递给可信工控模块;可信工控模块对安全区应用层进行进程验证,即加载初始进程、可信工控模块主进程及相应的辅助进程等的RIM值进行比较验证;最后,可信工控模块对非安全区域的程序进行初始化,如操作系统、可信应用程序等,对其RIM值进行比较验证。

4.2.2安全监测技术

安全监测技术[15-19]是指通过全面、丰富的数据采集,对信息进行分析和预处理,解析监控得到的数据,并与设定参数进行比对,根据结果采用相应的防护策略对系统进行全面监管。针对目前电力工控系统存在的安全风险,基于对工控网络数据的采集和协议分析,可使用数据分析算法提前处理安全威胁,使针对工控网络及关键设备的攻击得到有效监管和处理。1)数据采集。电力工控系统的数据采集不同于一般的IT系统,需要在保障系统稳定运行的前提下进行,不能因为操作不当造成链路堵塞。根据采集方式的不同可以将数据采集分为3类:通过采集采集数据、通过协议直接采集、通过抓包工具获取数据。一般来说,需要采集的信息为防火墙、路由器、交换机、IDS/IPS、网络审计设备、正/反向隔离装置以及纵向加密认证装置的具体数据,包括IP地址、MAC地址、出厂型号、配置信息、用户管理信息、权限等级设置等。除此之外,还应对含有攻击信息的数据进行监测,包括DoS攻击、重复扫描攻击、数据包攻击等。抓包分析是指使用抓包工具抓取协议数据包,再利用相关协议和规范对抓取的数据包进行解析。2)数据处理。数据处理主要是对采集到的数据和工控协议数据包进行解析和处理,剔除不需要的多余数据和垃圾数据,将与安全事件相关的数据从中选取出来,如配电自动化等业务的上传数据、下载数据,电力数据流量信息和电压、电流参数信息等,对采集到的数据进行关联分析,对分析得到的威胁进行确认,并对结果进行二次过滤,最后将解析得到的数据使用统一格式保存,用于后续的风险监测。3)构建安全监测系统。安全监测系统基于以上数据分析,设定监测参数的阈值,通过监测数据及操作的一致性来实现对工控系统的异常监控、运行管理、配电网分析等。当工控系统中的流量遭到非法抓包或者系统指令遭到恶意篡改时,应及时对数据进行过滤并发出告警信息,具体流程为:基于函数库编写相关脚本程序,抓取网络数据包;按照工控协议和标准对数据参数进行解析;根据监测系统的安全等级要求,设置系统的风险阈值;将解析得到的参数与设置的阈值相比较。电力工业控制系统采用安全监测技术,针对工业控制网络中出现的数据及进行的操作,采用网络抓包、数据分析及参数比对的方式进行风险监测与分析,对工控系统信息安全风险中典型的指令篡改、畸形数据包和异常流量等安全威胁进行全面监测。

5结语

随着工业化和信息化的发展和融合,电力工业信息化的趋势已不可阻挡,保障系统信息安全是维护电力工业控制系统稳定运行的重要前提,是开展电力工业建设的坚实基础。针对相应的工控安全需求及系统运行状况,选择合适的安全防护技术,全方位地对电力工业控制系统的风险进行分析和考察,才能确保电力网络的安全、可靠,减少由于信息安全风险造成的设备损失。

作者:张盛杰 顾昊旻 李祉岐 应欢 单位:中国电力科学研究院 安徽南瑞继远软件有限公司 北京国电通网络技术有限公司

参考文献:

[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.

[2]李鸿培,忽朝俭,王晓鹏,等.工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59,62.

[3]李文武,游文霞,王先培,等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.

[4]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].计算机研究与发展,2015,52(5):1109-1126.

[5]王刚军.电力信息安全的监控与分析[J].电网技术,2004,28(9):50-53.

[6]王保义.电力信息系统信息安全关键技术的研究[D].保定:华北电力大学,2009.

[7]王栋.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,40(2):6-11.

[8]党林.电力企业网络病毒防御方案分析[J].科技传播,2012(7):175-176.

[9],秦浩.防病毒系统在青海电力调度数据网中的设计与应用[J].青海电力,2012,31(3):61-63.

[10]高昆仑,赵保华.全球能源互联网环境下可信计算技术研究与应用探讨[J].智能电网,2015,3(12):1103-1107.

[11]王欢欢.工控系统漏洞扫描技术的研究[D].北京:北京邮电大学,2015.

[12]张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.

[14]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015(4):35-40.

[15]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[C]//信息安全漏洞分析与风险评估大会,2012.

[17]俞海国,马先,徐有蕊,等.电网工业控制系统安全威胁监测系统设计及应用[J].电力信息与通信技术,2016,14(7):76-80.

第15篇

一、主要工作目标

(一)信息消费规模快速增长。到2017年,信息消费规模超过172亿元,其中基于互联网的新型信息消费规模达到69亿元,年均增长30%以上;带动电子信息产业主营业务收入超过50亿元;电子商务交易额超过400亿元,年均增长32%;网络零售交易额75亿元,年均增长36%。

(二)信息基础设施显著改善。到2015年,初步建成适应我市经济社会发展需要的下一代信息基础设施;到2017年,完成下一代广播电视网络(ngb)改造,固定宽带家庭普及率达到70%以上,3g/lte(4g)用户普及率达到70%以上,行政村通宽带比例达到100%。4g网络实现全市重点乡镇、高速公路、县际干道、主要景区有效覆盖,各区市县城区深度覆盖。城市家庭宽带接入能力基本达到每秒30兆比特(mbps),__主城区及有条件的区市县城区达到500兆比特(mbps)以上,农村家庭达到10兆比特(mbps)。云服务水平达到为全社会广泛提供服务的能力。网络与信息安全保障能力明显增强。智慧城市、两化融合、电子商务、三网融合建设取得长足进展。

二、加快推进信息基础设施改造升级工程

加快以宽带网络、移动通信基础设施和三网融合等为主要内容的信息基础设施建设,持续加大信息基础设施的共建共享,发挥其对扩大信息消费的重要支撑作用。

(一)宽带网络基础设施建设。制订我市“宽带中国”战略实施方案;加快宽带网络升级,推进光纤和有线电视入户。启动实施“城市宽带提速计划”、“农村宽带普及计划”、“视听乡村”、“农村校通宽带计划”、“应用创新推广计划”、“宽带体验提升计划”和“宽带产品研发计划”7大专项计划。(责任单位:市经济和信息化委、市文广新局、市财政局、市委农工委,各通信、广电运营企业)

(二)移动通信基础建设。统筹第三代移动通信(3g)、无线局域网(wlan)、lte(4g)等无线移动宽带网络协调发展,优化网络结构,提升网络质量。组织实施td—lte产业化及应用示范,推动开展基于td—lte的行业应用。(责任单位:市经济和信息化委,各通信运营企业)

(三)三网融合建设。加快通信和广电业务双向进入。推动地面数字电视覆盖网和高清交互式电视网络基础设施建设,加快广播电视模数转换进程,加快建设下一代广播电视网。积极争取实施一批三网融合示范工程。(责任单位:市文广新局、市经济和信息化委、市发展改革委、市财政局,各通信、广电运营企业)

三、增强信息产品供给能力

努力增强信息产品供给能力,提升广播影视节目水平,促进信息产业做大做强。

(一)加快电子信息产业发展。加快华蓥市、邻水县和武胜县等区市县及相关园区电子信息制造业发展,重点支持华蓥市电子产业配套基地建设。积极引进和发展云计算、物联网、软件等战略性新兴产业。(责任单位:市经济和信息化委、市财政局,各相关区市县人民政府,各园区管委会)

(二)提高信息产品应用能力。积极参与__省北斗卫星导航系统在自然灾害预警与救助、公共安全综合应用、城乡建设、智慧景区管理、林火预警应急等领域的开展应用。(责任单位:市经济和信息化委、市发展改革委、市财政局、市住房城乡规划建设局、市公安局、市国土资源局、市林业局、市旅游局等)

(三)强化广播影视产品服务能力。加快打造__红色影视文化城。大力宣传,积极邀请影

视制作单位到我市拍摄一批质量高、有影响的红色影视剧。(责任单位:市文广新局、市发展改革委、市经济和信息化委、市互联网信息办公室,协兴生态文化旅游园区管委会)

四、拓展信息消费领域

加快推进智慧城市、两化融合、教育信息化等重点工程建设,激发市场活力、改善消费环境,拓展信息消费领域,积极培育多元化信息消费市场,有效发挥信息消费拉动内需的重要作用。

(一)智慧城市建设工程。推进智慧城市健康发展;启动实施智能电网、智能交通等建设。大力推进数字化城市管理信息系统和“数字__”地理空间框架建设。加快市政公用服务信息化和市政公用设施信息化建设。创新服务模式,加快智慧旅游、智慧医疗、智慧园区、智慧社区、智慧家庭等建设。(责任单位:市住房城乡规划建设局、市发展改革委、市经济和信息化委、市科技局、市公安局、市财政局、市国土资源局、市交通运输局、市文广新局、市卫生局、市旅游局,各区市县人民政府,各园区管委会)

(二)两化深度融合专项工程。支持信息技术企业与工业企业战略合作、融合发展,实施两化深度融合数字园区、重点企业信息化示范应用等重点建设。(责任单位:市经济和信息化委,各有关园区管委会)

(三)教育信息化推进工程。大力实施教育信息化“三通两平台”建设。着力推进农村中小学宽带接入与网络条件下的教学环境建设,力争实现网络“校校通”;着力推动优质数字教育资源的普遍应用,力争实现优质资源“班班通”;着力推进网络学习空间建设,力争实现实名制学习空间“人人通”;着力教育资源公共服务平台建设,探索“企业竞争提供、政府评估准入、学校自主选择”的新机制,加大资源建设投入;着力教育管理公共服务平台建设,提升教育管理现代化水平。(责任单位:市教育局、市发展改革委、市经济和信息化委、市财政局、市互联网信息办公室)

(四)农业信息化推进工程。推动农村公共服务体系建设,在新农村示范片区,建设一批农村信息化服务平台和农业生产经营信息化示范基地,推动农村党员远程教育,推进__特色农产品网络销售。(责任单位:市委农工委、市委组织部、市发展改革委、市经济和信息化委、市农业局、市科技局、市商务局、市气象局、市文广新局)

(五)电子商务发展工程。支持电子商务与物流信息化集成创新、移动电子商务等试点示范,培育城市社区、农产品电子商务;支持面向中小微企业的电子商务业务发展,支持网络零售平台做大做强;支持和鼓励金融机构为中小网商提供小额贷款服务。(责任单位:市商务局、市发展改革委、市经济和信息化委、市财政局、市农业局、市林业局、人行__市中心支行、市国税局、市地税局、市工商局、市政府金融办、__质监局)

(六)视听文化信息消费内容和业态发展工程。搭建数字文化产品开发、运营、推广平台,促进动漫、游戏、数字音乐、网络出版、网络艺术品等数字文化内容消费,推动手机报、电子书等新媒体创新发展。加快推进广播电视视听信息内容建设及服务提升,建立广播电视视听服务平台,加快实施“视听乡村”计划,大力发展数字影院。(责任单位:市文广新局、市互联网信息办公室、市发展改革委、市经济和信息化委)

(七)公共服务信息化水平提升工程。推动各级政府部门、市政公用企事业单位、公共服务事业单位等机构开放信息资源。支持企业参与政府公共服务云平台建设和运营,鼓励政府购买相应服务。大力发展移动互联业务。加快推进全市政务信息化工程建设,积极推进电子政务建设管理规范和评估体系建设。(责任单位:市发展改革委、市经济和信息化委、市互联网信息办公室)

(八)民生领域信息服务水平提升工程。实施“信息惠民”工程,提升公共服务均等普惠水平。加快推进电视“户户通”、广播“村村响”、地面数字电视传输覆盖网、“行政村通宽带”工程建设。完善医疗卫生管理和服务信息系统。推进养老机构、社区、家政、医疗护理机构协同信息服务。建立公共就业信息服务平台。加快社会保障公共服务体系建设。提高面向残疾人的信息无障碍服务能力。大力推进金融ic卡在公共服务领域的一卡多应用。(责任单位:市级相关部门,各区市县人民政府,各园区管委会)

(九)推动信息消费延伸和增值。探索实施物联网应用示范工程项目,扩大物联网应用范围。搭建区域、行业物联网集成应用平台,推动协同发展。大力推动地理信息产业、互联网金融的发展。着力推进旅游信息化,建设一批数字化景区。(责任单位:市级相关部门,各区市县人民政府,各有关园区管委会)

五、加强信息消费环境建设

加强信息安全保障能力建设,规范信息消费市场秩序,进一步促进信息消费环境建设,为有效扩大信息消费提供有力保障。

(一)构建安全的信息消费环境。推进数字证书认证、等级保护、风险评估、安全测评规范化建设。(责任单位:市经济和信息化委、市发展改革委、市政府金融办、市财政局、市公安局、市

保密局、人行__市中心支行、__银监分局)

(二)提升信息安全保障能力。提升网络与信息安全监管能力。建立健全网络信息安全应急工作机制。建立信息安全评估制度。加强政府和信息系统安全管理,加强网络与信息安全监管。加强个人信息保护。(责任单位:市经济和信息化委、市财政局、市发展改革委、市公安局、市保密局、市互联网信息办公室、__质监局)

(三)规范信息消费市场秩序。依法加强对信息服务、网络交易行为、产品及服务质量等的监管,查处侵犯知识产权、网络欺诈等违法犯罪行为。鼓励符合条件的第三方信用服务机构开展商务信用评估,强化社会监督。(责任单位:市经济和信息化委、市财政局、市工商局、市科技局、市公安局、市发展改革委、__质监局、市文广新局、市互联网信息办公室)

六、完善支持政策措施

进一步破解体制机制障碍,制定并实施合理财税支持政策,改善企业融资环境,加强政策法规体系建设,更好促进信息产业发展和信息消费增长。

(一)加大财税政策支持力度。鼓励符合条件的企业发行企业债券用于智慧城市建设。大力培育互联网企业、电子商务企业并支持其通过高新技术企业认定,依法享受高新技术企业所得税优惠税率。落实国家有关企业研发费用税前加计扣除政策。建立电子商务发展专项资金。对符合小型微利企业条件的电子商务企业按规定予以减免企业所得税。做好推进相关企业营业税改增值税改革试点。加大现有支持小微企业税收政策落实力度,切实减轻互联网小微企业负担。(责任单位:市政府金融办、市财政局、市商务局、市科技局、市国税局、市地税局、市经济和信息化委、人行__市中心支行、__银监分局,各区市县人民政府,各园区管委会)

(二)切实改善企业融资环境。培育创新性、成长性互联网企业在创业板上市或在全国中小企业股份转让系统挂牌融资。完善信息服务业创业投资扶持政策。鼓励金融机构针对互联网企业特点创新金融产品和服务方式,开展知识产权质押融资。鼓励融资性担保机构帮助互联网小微企业增信融资。(责任单位:市政府金融办、市发展改革委、市经济和信息化委、市科技局、市委农工委、市商务局、__银监分局、人行__市中心支行)

(三)改进和完善通信服务。完善通信与广电普遍服务补偿机制,加大通信与广电普遍服务财政支持力度。鼓励民间资本参与宽带网络基础设施建设。保障企业实现平等接入,用户实现自主选择。(责任单位:市财政局、市文广新局、市经济和信息化委)

(四)加强对基础设施建设运营的支持。各级人民政府和园区管委会要做好信息基础设施用地与城市总体规[!]划、土地利用总体规划、交通建设规划、产业园区建设规划的衔接,制定信息基础设施建设专章,同步规划、同步建设、同步验收,给予必要的政策资金支持。国土资源部门要加大对通信和广电机房、基站等项目征地、供地、办证等的支持力度,提前介入,切实提高办事效率。电力部门对通信、广电运营企业的基站、机房、数据中心等用电执行一般工业电价,大型数据中心(用电变压器在315千伏安以上)用电执行大工业电价。指导老旧小区“光纤入户”建设改造工作,对新建住宅“光纤入户”的设计、施工、竣工验收等,依照相关国家和地方标准严格把关。(责任单位:各区市县人民政府,各园区管委会,市发展改革委、市经济和信息化委、市国土资源局、市住房城乡规划建设局、市财政局、__供电公司、爱众股份公司,各通信、广电运营企业)

(五)积极推进政府购买公共信息服务。对适合市场化方式提供的公共信息化服务事项,采用政府购买服务的方式开展建设和运维服务。重点包括电子政务、产业园区信息化平台和企业服务信息化平台建设,以及由公共财政资金安排、政府部门组织实施、市场主体较为成熟的公益性公共信息化服务和管理事项,优先列入政府购买服务的范围。(责任单位:市财政局、市发展改革委、市经济和信息化委、市民政局、市交通运输局、市住房城乡规划建设局、市公安局、市卫生局、市气象局等,各区市县人民政府,各园区管委会)

(六)加强政策环境和标准体系建设。制定信息安全应急预案。研究制定政府信息系统建设、运行维护、服务外包管理办法。加大知识产权保护力度。加强信息化教育培训工作和科普知识宣传。各地、各有关部门按照国家相关要求,制订相应的政策措施。(责任单位:市经济和信息化委、市发展改革委、__质监局、市政府法制办等,各区市县人民政府,各园区管委会)

扩展阅读
推荐期刊
精品推荐