導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全管理實(shí)施細(xì)則，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞 計(jì)算機(jī)網(wǎng)；網(wǎng)絡(luò)安全管理；網(wǎng)絡(luò)安全

中圖分類號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2012）78-0202-02

隨機(jī)信息技術(shù)的發(fā)展以及互聯(lián)網(wǎng)的廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的一部分了，而伴隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理一些不足也逐漸暴露出來(lái)，引起了專家、學(xué)者以及社會(huì)各界的共同關(guān)注，成為計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)新時(shí)代關(guān)注的熱點(diǎn)話題。只有維護(hù)好我國(guó)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，執(zhí)行相應(yīng)的安全管理措施，才能顯著的提高網(wǎng)絡(luò)的性能，保證網(wǎng)絡(luò)的健康、飛速發(fā)展。因此，加大對(duì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理的討論以及研究，具有十分重要的理論以及現(xiàn)實(shí)意義。

1 計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理的內(nèi)涵

廣義的計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理是指保證計(jì)算機(jī)所有信息完整、真實(shí)、可靠、可用以及可控性，使得信息能夠得到安全的利用。狹義的計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，是采取各種措施，確保網(wǎng)絡(luò)、信息、系統(tǒng)資源以及計(jì)算機(jī)安全，避免人力以及各種外力侵害導(dǎo)致正常運(yùn)行受阻情況的發(fā)生，其主要內(nèi)容包括加密、路由器安全、協(xié)議安全、用戶的身份認(rèn)證、訪問(wèn)控制、服務(wù)器以及服務(wù)器安全機(jī)制等，基本特征為網(wǎng)絡(luò)信息的可控性以及信息的保密以及完整性。

2 計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理的現(xiàn)狀

盡管部分計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理問(wèn)題已經(jīng)得到了重視，但是由于計(jì)算機(jī)網(wǎng)絡(luò)瞬息萬(wàn)變以及各種因素的影響，目前計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理中仍然存在許多問(wèn)題。

第一，計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理制度問(wèn)題。由于網(wǎng)絡(luò)安全管理技術(shù)知識(shí)要求很高，我國(guó)目前并沒(méi)有充分重視制度以及法規(guī)的制定，或者法規(guī)比較落后，已經(jīng)與當(dāng)代情況不相適應(yīng)，或者即使有新的制度但是只局限于比較形式化的規(guī)定，沒(méi)有詳細(xì)的實(shí)施細(xì)則，因此很多時(shí)候在實(shí)踐中沒(méi)有相應(yīng)的法律法規(guī)作為支持，沒(méi)有做到有法可依。

第二，計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理技術(shù)問(wèn)題。目前計(jì)算機(jī)網(wǎng)絡(luò)安全管理存在一些技術(shù)上的盲點(diǎn)以及漏洞，使得很多不法分子有威脅網(wǎng)絡(luò)安全的切入點(diǎn)，主要包括病毒的入侵、木馬程序的潛伏、不正當(dāng)手段介入網(wǎng)絡(luò)、高頻率信息的干擾等。

第三，外力侵害。我國(guó)很多的網(wǎng)吧、機(jī)房不具備抵御外界侵害的能力，主要外界侵害包括自然的災(zāi)禍以及周圍環(huán)境侵害等，自然的災(zāi)禍指的是自然的災(zāi)禍，如雷電、洪澇災(zāi)害、火災(zāi)、電磁泄露等；周圍環(huán)境侵害包括斷電引起數(shù)據(jù)、設(shè)備損害問(wèn)題和噪音問(wèn)題導(dǎo)致的數(shù)據(jù)高誤碼率等。

第四，用戶意識(shí)不高。很多用戶在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)使用的時(shí)候，沒(méi)有足夠的網(wǎng)絡(luò)安全意識(shí)，對(duì)于密碼、權(quán)限、口令等私密的東西沒(méi)有保護(hù)好，隨意泄露，或者沒(méi)有及時(shí)修補(bǔ)一些網(wǎng)絡(luò)漏洞和補(bǔ)丁，黑客可以找到攻擊點(diǎn)。

除此以外，還存在網(wǎng)絡(luò)安全技術(shù)人員素質(zhì)不足、監(jiān)管不到位等問(wèn)題

3 改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理對(duì)策

針對(duì)目前存在的計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理問(wèn)題，提出了以下對(duì)策。

第一，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，要加強(qiáng)用戶網(wǎng)絡(luò)安全管理意識(shí)。對(duì)于密碼、權(quán)限、口令等比較隱私的東西，用戶要保護(hù)好，不要隨意泄露，對(duì)于網(wǎng)絡(luò)漏洞和補(bǔ)丁，要做到及時(shí)修補(bǔ)，不要給有心人有機(jī)可乘的機(jī)會(huì)，進(jìn)行數(shù)據(jù)備份，防止突發(fā)意外事故發(fā)生之后，數(shù)據(jù)的丟失，保持?jǐn)?shù)據(jù)完整性，做到能夠及時(shí)恢復(fù)系統(tǒng)，減少延誤損失；

第二，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，要加強(qiáng)自然等各種外力侵害的防范。在網(wǎng)吧以及機(jī)房等公共場(chǎng)所，首先要安裝空調(diào)，控制室內(nèi)溫度以及濕度，防止溫度以及濕度過(guò)高，造成網(wǎng)絡(luò)癱瘓。其次要裝好相應(yīng)的防止雷擊的措施，多進(jìn)行建筑檢測(cè)，尤其注重電源、網(wǎng)絡(luò)傳輸線等的防范措施，最后是防火措施要做好。各種裝修材料有可能的話，盡量選擇防火的，保持室內(nèi)通風(fēng)，放置好防火器等設(shè)施；

第三，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，要加強(qiáng)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理技術(shù)問(wèn)題的研究，管理人員要及時(shí)更新病毒數(shù)據(jù)庫(kù)，強(qiáng)化對(duì)病毒的檢測(cè)以及清除，加強(qiáng)防火墻的建設(shè)，發(fā)揮防火墻的作用，做到限制服務(wù)訪問(wèn)、防止無(wú)權(quán)限的外部網(wǎng)的入侵、統(tǒng)計(jì)相應(yīng)的網(wǎng)絡(luò)流量并進(jìn)行適時(shí)限流等，進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，一旦發(fā)生這些情況要及時(shí)的制止。要加強(qiáng)檢測(cè)、掃描以及評(píng)估漏洞，減小安全隱患；

第四，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，要加強(qiáng)對(duì)網(wǎng)絡(luò)安全管理制度的建立和完善。要完善已有的計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理制度，對(duì)一些過(guò)于形式化的網(wǎng)絡(luò)安全管理制度，要縮小范圍，提出其操作的細(xì)則，對(duì)其中有不適應(yīng)現(xiàn)展的規(guī)則進(jìn)行修正以及改善，使其更能與當(dāng)代網(wǎng)絡(luò)發(fā)展相適應(yīng)，對(duì)于沒(méi)有及時(shí)建立的法律以及法規(guī)，要及時(shí)建立，并在實(shí)踐中不斷改進(jìn)以及發(fā)展；

第五，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，要實(shí)施安全加密。主要有非對(duì)稱以及對(duì)稱密鑰加密的方法，主要原理是應(yīng)用一些算法，將轉(zhuǎn)出的信息轉(zhuǎn)換成代碼和密文，當(dāng)密文傳到接收者手中，又通過(guò)相應(yīng)的配對(duì)解密技術(shù)，解開(kāi)代碼以及密文的內(nèi)容以及信息，確保信息只為特定用戶接收，防止不必要的泄露；

第六，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，要提高網(wǎng)絡(luò)安全技術(shù)人員素質(zhì)。由于計(jì)算機(jī)網(wǎng)絡(luò)以及計(jì)算機(jī)信息技術(shù)具有變化速度快、形式多樣、種類繁多等特定，而要改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，人在其中的作用是不言而喻的，只有充分發(fā)揮了人的作用，才能更好的保障計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，因此要多對(duì)網(wǎng)絡(luò)安全技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全先進(jìn)理論以及知識(shí)的教育和培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員對(duì)知識(shí)的了解以及掌握，提高他們應(yīng)對(duì)網(wǎng)絡(luò)安全變化的能力。

第七，為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理，相關(guān)部門(mén)要加大監(jiān)督力度。要加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)督和管理，發(fā)現(xiàn)不法事件，要嚴(yán)厲懲罰，樹(shù)立負(fù)面典型，警惕相關(guān)人員，防止類似事件再發(fā)生。

由于現(xiàn)代計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全是保證計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵環(huán)節(jié)，因此，各方要加強(qiáng)對(duì)此重視，更好的維護(hù)網(wǎng)絡(luò)秩序以及網(wǎng)絡(luò)安全。

參考文獻(xiàn)

篇2

【關(guān)鍵詞】等級(jí)保護(hù)；虛擬專網(wǎng)；VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府、企業(yè)和各部門(mén)及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長(zhǎng)，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí)，我國(guó)現(xiàn)行的“計(jì)算機(jī)安全等級(jí)保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級(jí)保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對(duì)于信息安全管理問(wèn)題，在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國(guó)家的注意，并投入大量的資金和人力進(jìn)行分析和研究。英國(guó)分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）聯(lián)合國(guó)際電工委員會(huì)（IEC）分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)（SAC）于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)，把信息安全管理劃分為五個(gè)等級(jí)，分別針對(duì)不同組織性質(zhì)和對(duì)社會(huì)、國(guó)家危害程度大小進(jìn)行了不同等級(jí)的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對(duì)應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級(jí)

為加快推進(jìn)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，國(guó)家公安部、保密局、密碼管理局和國(guó)務(wù)院信息化工作辦公室等，于2007年聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》，就全國(guó)機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問(wèn)題，進(jìn)行了行政法規(guī)方面的規(guī)范，并組織和開(kāi)展對(duì)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。同時(shí)，制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范（國(guó)家標(biāo)準(zhǔn)審批稿），來(lái)指導(dǎo)國(guó)內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中，要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面，按照身份鑒別、訪問(wèn)控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對(duì)信息流進(jìn)行不同等級(jí)的劃分，從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為專控保護(hù)級(jí)。

針對(duì)政府、企業(yè)常用的三級(jí)安全保護(hù)設(shè)計(jì)中，主要是以三級(jí)安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級(jí)安全的信息安全機(jī)制和服務(wù)支持下，實(shí)現(xiàn)三級(jí)安全計(jì)算環(huán)境、三級(jí)安全通信網(wǎng)絡(luò)、三級(jí)安全區(qū)域邊界防護(hù)和三級(jí)安全管理中心的設(shè)計(jì)。

圖1 三級(jí)系統(tǒng)安全保護(hù)示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢(shì)

VPN即虛擬專用網(wǎng)，是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過(guò)它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄浴Ｍㄟ^(guò)采用加密封裝技術(shù)，對(duì)所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無(wú)需安裝客戶端軟件，授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個(gè)VPN通信過(guò)程可以簡(jiǎn)化為以下4個(gè)步驟：

（1）客戶機(jī)向VPN服務(wù)器發(fā)出連接請(qǐng)求。

（2）VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份認(rèn)證的請(qǐng)求，客戶機(jī)與VPN服務(wù)器通過(guò)信息的交換確認(rèn)對(duì)方的身份，這種身份確認(rèn)是雙向的。

（3）VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開(kāi)始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

（4）最后VPN服務(wù)器將在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國(guó)外公開(kāi)的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國(guó)家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》（中華人民共和國(guó)國(guó)務(wù)院第273號(hào)令，1999年10月7日）第四章第十四條規(guī)定：任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國(guó)家密碼管理局在2009年針對(duì)VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級(jí)保護(hù)中的應(yīng)用

在三級(jí)防護(hù)四大方面的設(shè)計(jì)要求中，VPN技術(shù)可以說(shuō)是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用：

在安全計(jì)算環(huán)境的設(shè)計(jì)要求中：首先在實(shí)現(xiàn)身份鑒別方面，在用戶訪問(wèn)的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會(huì)通過(guò)VPN的設(shè)備登錄訪問(wèn)中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過(guò)時(shí)才可訪問(wèn)應(yīng)用系統(tǒng)；其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過(guò)程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計(jì)要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn)，在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過(guò)IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門(mén)服務(wù)器邊界的安全防護(hù)，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問(wèn)控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過(guò)IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計(jì)要求中：系統(tǒng)管理中，VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù)，對(duì)用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制，確保重要信息安全可控，滿足對(duì)主機(jī)的安全監(jiān)管需要。

在信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。

篇3

關(guān)鍵詞：二次安防 電力系統(tǒng) 網(wǎng)絡(luò)安全

一、引言

電力生產(chǎn)直接關(guān)系到國(guó)計(jì)民生，其安全問(wèn)題一直是國(guó)家關(guān)注的重點(diǎn)之一。電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力系統(tǒng)生產(chǎn)、經(jīng)營(yíng)和服務(wù)相關(guān)，而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全運(yùn)行的重要組成部分。

隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來(lái)越多，調(diào)度中心、變電站、電廠、用戶等之間的數(shù)據(jù)交換也越來(lái)越頻繁，這對(duì)電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性和實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。

二、本地110kV變電站二次系統(tǒng)現(xiàn)狀

目前電力二次系統(tǒng)存在的主要問(wèn)題有：管理區(qū)和生產(chǎn)區(qū)存在著雙向的數(shù)據(jù)互換；缺乏加密，認(rèn)證機(jī)制，沒(méi)有入侵檢測(cè)等預(yù)警機(jī)制；沒(méi)有漏洞掃描和審計(jì)手段，接入存在安全隱患等。

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，為滿足網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)中的應(yīng)用，加之通過(guò)網(wǎng)絡(luò)傳輸遠(yuǎn)動(dòng)信息的迫切要求，IEC國(guó)際電工委員會(huì)在IEC60870-5-101基本遠(yuǎn)動(dòng)任務(wù)配套標(biāo)準(zhǔn)的基礎(chǔ)上，又制定了IEC60870-5-104遠(yuǎn)動(dòng)傳輸規(guī)約標(biāo)準(zhǔn)，廣東電網(wǎng)公司則據(jù)此制定了廣東電網(wǎng)DL/T634.5104-2002實(shí)施細(xì)則。它采用平衡傳輸模式，通過(guò)TCP/IP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)傳輸遠(yuǎn)動(dòng)信息，適用于調(diào)度主站（中心站）EMS系統(tǒng)和子站（遠(yuǎn)方站）RTU或計(jì)算機(jī)監(jiān)控系統(tǒng)之間采用專用Intranet網(wǎng)絡(luò)進(jìn)行通訊。

因此，本地電網(wǎng)在當(dāng)前已建設(shè)完成的地調(diào)、500kV變電站及220kV變電站生產(chǎn)控制區(qū)業(yè)務(wù)系統(tǒng)接入調(diào)度數(shù)據(jù)網(wǎng)及相應(yīng)調(diào)度數(shù)據(jù)網(wǎng)邊界的安全防護(hù)的基礎(chǔ)上，進(jìn)一步完善局本部安全防護(hù)體系，并結(jié)合地區(qū)調(diào)度數(shù)據(jù)網(wǎng)建設(shè)將安全防護(hù)建設(shè)范圍拓展至110kV變電站。

三、整體解決方案

1. 安全防護(hù)目標(biāo)及重點(diǎn)

電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是抵御黑客、病毒等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，能夠抵御集團(tuán)式攻擊，重點(diǎn)保護(hù)電力實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防止由此引起電力系統(tǒng)故障。

安全防護(hù)目標(biāo)是防止通過(guò)外部邊界發(fā)起的攻擊和侵入，尤其是防止由攻擊導(dǎo)致的一次系統(tǒng)的事故以及二次系統(tǒng)的崩潰；防止未授權(quán)用戶訪問(wèn)系統(tǒng)或非法獲取信息和侵入以及重大的非法操作。

2. 安全防護(hù)策略

安全防護(hù)總體策略是：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證。

2.1安全分區(qū)。

二次系統(tǒng)從邏輯上可劃分為生產(chǎn)控制區(qū)和生產(chǎn)管理區(qū)，其中生產(chǎn)控制區(qū)又分為實(shí)時(shí)控制區(qū)（Ⅰ區(qū)）和非控制生產(chǎn)區(qū)（Ⅱ區(qū)）；生產(chǎn)管理區(qū)又分為調(diào)度生產(chǎn)管理區(qū)（Ⅲ區(qū)）和管理信息區(qū)（Ⅳ區(qū)），調(diào)度系統(tǒng)主要負(fù)責(zé)安全區(qū)Ⅰ、Ⅱ、Ⅲ的安全防護(hù)。

2.2網(wǎng)絡(luò)專用。

在專用通道上建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離。并通過(guò)采用MPLS-VPN或IPsec-VPN在專網(wǎng)上形成多個(gè)相互邏輯隔離的VPN，以保障上下級(jí)各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。

2.3橫向隔離。

采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離，必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置。在生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間，進(jìn)行邏輯隔離，采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施。

2.4縱向認(rèn)證。

采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。

3. 110kV變電站安全防護(hù)方案

110kV變電站二次系統(tǒng)安全防護(hù)不接入省調(diào)，生產(chǎn)控制大區(qū)可以不再細(xì)分，可將各業(yè)務(wù)系統(tǒng)和裝置均置于控制區(qū)，其總體設(shè)計(jì)邏輯結(jié)構(gòu)如下圖。該圖示意了二次系統(tǒng)安全區(qū)域的劃分、安全區(qū)域之間橫向互聯(lián)的邏輯結(jié)構(gòu)、安全區(qū)域的縱向互聯(lián)的邏輯結(jié)構(gòu)以及網(wǎng)絡(luò)安全產(chǎn)品的總體部署。

3.1縱向加密裝置

用于生產(chǎn)控制大區(qū)的廣域邊界防護(hù)，為電力網(wǎng)關(guān)機(jī)之間的廣域通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性保護(hù)。

3.2縱向互聯(lián)防火墻

提供基于策略的會(huì)話限制，方便用戶對(duì)網(wǎng)絡(luò)中會(huì)話的管理，有效抵御內(nèi)外部對(duì)網(wǎng)絡(luò)的攻擊和濫用。

3.3控制區(qū)互聯(lián)交換機(jī)

在控制區(qū)互聯(lián)交換機(jī)上將站端調(diào)度數(shù)據(jù)網(wǎng)實(shí)時(shí)VPN業(yè)務(wù)段地址劃分為兩個(gè)VLAN（VLAN100和VLAN199），其中VLAN100用于遠(yuǎn)動(dòng)等自動(dòng)化業(yè)務(wù)的接入和通過(guò)縱向加密認(rèn)證裝置與調(diào)度數(shù)據(jù)網(wǎng)實(shí)時(shí)VPN的互聯(lián)，VLAN199用于保信等其它業(yè)務(wù)系統(tǒng)的接入和通過(guò)防火墻與調(diào)度數(shù)據(jù)網(wǎng)非實(shí)時(shí)VPN互聯(lián)。

四、結(jié)束語(yǔ)

本文就目前電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)面臨越來(lái)越多的安全威脅，進(jìn)而影響電網(wǎng)安全的形勢(shì)下，對(duì)電力二次系統(tǒng)安全防護(hù)的主要目標(biāo)及防護(hù)策略展開(kāi)分析，并介紹本地區(qū)供電局在110kV變電站二次系統(tǒng)安全防護(hù)的實(shí)施方案。隨著計(jì)算機(jī)技術(shù)發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全是電力生產(chǎn)安全密不可分的一部分。除了依據(jù)國(guó)家規(guī)定建立可靠的網(wǎng)絡(luò)安全技術(shù)構(gòu)成的安全防護(hù)體系外，還必須建立健全完善的網(wǎng)絡(luò)安全管理制度，形成技術(shù)和管理雙管齊下，才能真正達(dá)到保證安全的目的。同時(shí)，調(diào)度自動(dòng)化安全防護(hù)是一個(gè)動(dòng)態(tài)的工作過(guò)程，而不是一種狀態(tài)或目標(biāo)。隨著風(fēng)險(xiǎn)、人員、技術(shù)不斷地變化發(fā)展，以及調(diào)度應(yīng)用與應(yīng)用環(huán)境的發(fā)展，安全目標(biāo)和策略也發(fā)生著變化，電力二次系統(tǒng)的安全管理需要不斷跟蹤并應(yīng)用新技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估、加強(qiáng)管理，才能保障電力行業(yè)調(diào)度安全穩(wěn)定、高效可靠運(yùn)行。

參考文獻(xiàn)：

[1]國(guó)家電力監(jiān)管委員會(huì)，電力二次系統(tǒng)安全防護(hù)總體方案[R]，2006.

篇4

第一條水利信息網(wǎng)分為政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)，政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)之間實(shí)行物理隔離。政務(wù)外網(wǎng)分為廣域網(wǎng)、部門(mén)網(wǎng)和接入網(wǎng)，其中廣域網(wǎng)由骨干網(wǎng)、省市網(wǎng)和縣區(qū)網(wǎng)組成。依據(jù)國(guó)家有關(guān)法律法規(guī)，制定本方案。

第二條水利信息網(wǎng)是水利行業(yè)各單位計(jì)算機(jī)網(wǎng)絡(luò)互連構(gòu)成的網(wǎng)絡(luò)系統(tǒng)，是防汛抗旱、水資源管理、水土保持等各類水利信息傳輸?shù)膶Ｓ镁W(wǎng)絡(luò)，是水利信息化的重要基礎(chǔ)設(shè)施。

第三條為加強(qiáng)水利信息網(wǎng)的管理，保障水利信息網(wǎng)正常、高效、安全運(yùn)行，促進(jìn)水利信息網(wǎng)健康發(fā)展，推動(dòng)水利信息化工作。

第四條本方案適用于接入水利信息網(wǎng)政務(wù)外網(wǎng)與內(nèi)網(wǎng)的水利行業(yè)各單位。

第二章管理機(jī)構(gòu)

第五條水利信息網(wǎng)的運(yùn)行管理遵循分級(jí)管理的原則，各單位要理順管理體制，明確專門(mén)的網(wǎng)絡(luò)管理部門(mén)，配備專職的技術(shù)人員，設(shè)定崗位，強(qiáng)化責(zé)任，保障網(wǎng)絡(luò)運(yùn)行管理工作的正常進(jìn)行。

第六條市防汛抗旱指揮部辦公室負(fù)責(zé)水利信息網(wǎng)的硬件運(yùn)行管理工作，其主要職責(zé)是：組織制定水利信息網(wǎng)的管理方案、規(guī)范和技術(shù)標(biāo)準(zhǔn)，監(jiān)督和檢查實(shí)施情況；分配水利信息網(wǎng)ip地址；運(yùn)行、監(jiān)視和管理骨干網(wǎng)線路、設(shè)備；指導(dǎo)、檢查和協(xié)調(diào)縣區(qū)網(wǎng)的運(yùn)行管理工作；組織水利信息網(wǎng)資源和運(yùn)行情況的調(diào)查，水利信息網(wǎng)運(yùn)行情況公告、公報(bào)和年報(bào)；組織有關(guān)的技術(shù)培訓(xùn)和交流；水利信息網(wǎng)的技術(shù)咨詢和技術(shù)服務(wù)；與中國(guó)互聯(lián)網(wǎng)管理部門(mén)和其他相關(guān)單位的業(yè)務(wù)聯(lián)系。

市水利局辦公室負(fù)責(zé)水利信息網(wǎng)政務(wù)網(wǎng)站的管理工作，其主要職責(zé)是：組織制定水利系統(tǒng)信息管理考評(píng)方案和進(jìn)行考評(píng)工作；負(fù)責(zé)網(wǎng)站的日常維護(hù)和信息的更新工作；負(fù)責(zé)各類水利信息、行政公告、普發(fā)性文件、統(tǒng)計(jì)資料的審查、頁(yè)面編輯及對(duì)外工作。

第七條縣（區(qū)）水利（水保）局的網(wǎng)絡(luò)管理部門(mén)負(fù)責(zé)所屬縣區(qū)網(wǎng)的運(yùn)行管理工作，其主要職責(zé)是：組織制定所屬縣區(qū)網(wǎng)的管理方案、規(guī)范和技術(shù)標(biāo)準(zhǔn)，監(jiān)督和檢查實(shí)施情況；分配所屬縣區(qū)網(wǎng)ip地址；運(yùn)行、監(jiān)視所屬縣區(qū)網(wǎng)和所在單位網(wǎng)；指導(dǎo)、檢查和協(xié)調(diào)下級(jí)網(wǎng)絡(luò)的運(yùn)行管理工作；組織所屬縣區(qū)網(wǎng)及所在單位部門(mén)網(wǎng)資源和運(yùn)行情況的調(diào)查，有關(guān)數(shù)據(jù)；組織有關(guān)的技術(shù)培訓(xùn)和交流；所屬縣區(qū)網(wǎng)的技術(shù)咨詢和技術(shù)服務(wù)；與其他相關(guān)單位的業(yè)務(wù)聯(lián)系。

第三章局域網(wǎng)網(wǎng)絡(luò)管理與接入

第八條水利信息網(wǎng)局域網(wǎng)包括辦公樓的交換機(jī)、網(wǎng)線、接口、網(wǎng)絡(luò)系統(tǒng)等，全部設(shè)備均屬本局所有，用戶只能按規(guī)定使用，不能占為己有。

第九條用戶使用網(wǎng)絡(luò)，由市防辦負(fù)責(zé)給以接入、開(kāi)通和調(diào)試。嚴(yán)禁用戶擅自接入網(wǎng)絡(luò)。

第十條入網(wǎng)用戶的ip地址、計(jì)算機(jī)名、分組等基本信息，必須依據(jù)《水利信息網(wǎng)命名及ip地址分配規(guī)定》（sl307-）進(jìn)行，由市防辦統(tǒng)一分配管理，用戶不得擅自更改。

第十一條各用戶要愛(ài)護(hù)網(wǎng)絡(luò)，不得擅自移動(dòng)和損害。安裝、裝潢等施工涉及到網(wǎng)絡(luò)的要提前與局防辦聯(lián)系，制定防護(hù)措施。每個(gè)用戶都有保護(hù)網(wǎng)絡(luò)設(shè)備和線路的義務(wù)，發(fā)現(xiàn)正在對(duì)網(wǎng)絡(luò)實(shí)施損害的行為有權(quán)制止，發(fā)現(xiàn)網(wǎng)絡(luò)有損壞的有義務(wù)報(bào)告。

第十二條加強(qiáng)對(duì)接入水利信息網(wǎng)的因特網(wǎng)等其他網(wǎng)絡(luò)的管理，保證水利信息網(wǎng)與其他網(wǎng)絡(luò)的安全隔離。

第四章網(wǎng)絡(luò)服務(wù)

第十三條網(wǎng)絡(luò)服務(wù)是指利用水利信息網(wǎng)資源為信息傳輸和應(yīng)用系統(tǒng)運(yùn)行提供的服務(wù)。

第十四條水利信息網(wǎng)政務(wù)網(wǎng)站是我市水利行業(yè)面向社會(huì)的窗口，是與公眾互動(dòng)的渠道，面向社會(huì)提供水利政務(wù)信息和與水利相關(guān)的在線服務(wù)。

第十五條凡市水利局工作人員，均可到市防辦申請(qǐng)辦理5m的免費(fèi)電子郵箱，科室單位申請(qǐng)辦理10m的免費(fèi)郵箱。

第十六條加強(qiáng)系統(tǒng)網(wǎng)站、郵件、文件服務(wù)、數(shù)據(jù)應(yīng)用服務(wù)器、ftp服務(wù)器等網(wǎng)絡(luò)應(yīng)用的管理，保證網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。

第五章網(wǎng)絡(luò)安全

第十七條加強(qiáng)網(wǎng)絡(luò)安全管理，落實(shí)網(wǎng)絡(luò)安全責(zé)任制；定期分析、評(píng)估所屬網(wǎng)絡(luò)的安全狀況，配備網(wǎng)絡(luò)安全設(shè)施，制定有效的安全保障方案；加強(qiáng)網(wǎng)絡(luò)安全監(jiān)視，落實(shí)安全保障措施；明確專門(mén)的網(wǎng)絡(luò)安全管理人員，負(fù)責(zé)網(wǎng)絡(luò)安全管理工作。

第十八條網(wǎng)絡(luò)管理部門(mén)對(duì)于網(wǎng)絡(luò)故障，要及時(shí)發(fā)現(xiàn)、及時(shí)定位、及時(shí)解決；對(duì)于影響到骨干網(wǎng)運(yùn)行的故障，必須及時(shí)處理；對(duì)于影響到其他上級(jí)網(wǎng)絡(luò)的故障，要及時(shí)向上級(jí)網(wǎng)絡(luò)管理部門(mén)報(bào)告。

第十九條各級(jí)網(wǎng)絡(luò)管理部門(mén)要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范工作，建立計(jì)算機(jī)網(wǎng)絡(luò)病毒防控體系。采取有力措施，預(yù)防和控制計(jì)算機(jī)病毒的產(chǎn)生、傳播、復(fù)制和擴(kuò)散，做到及時(shí)發(fā)現(xiàn)、及時(shí)隔離、及時(shí)處理，及時(shí)升級(jí)操作系統(tǒng)和防病毒軟件。

第二十條各級(jí)網(wǎng)絡(luò)管理部門(mén)要加強(qiáng)用戶、系統(tǒng)和設(shè)備等的賬號(hào)口令管理，重要系統(tǒng)和設(shè)備的賬號(hào)口令由專人保管，并嚴(yán)格限定使用范圍，嚴(yán)防賬號(hào)口令泄露。

第二十一條不得在水利信息網(wǎng)上存放或傳輸任何信息。

第六章網(wǎng)絡(luò)用戶

第二十二條各級(jí)網(wǎng)絡(luò)管理部門(mén)負(fù)責(zé)所屬網(wǎng)絡(luò)用戶的監(jiān)督和管理。

第二十三條網(wǎng)絡(luò)用戶必須遵守國(guó)家有關(guān)法律法規(guī)，遵守水利信息網(wǎng)管理規(guī)章制度，配合相關(guān)的管理工作。網(wǎng)絡(luò)用戶要積極參加單位組織的網(wǎng)絡(luò)、信息和安全方面的培訓(xùn)，提高使用技能，增強(qiáng)安全意識(shí)。

第二十四條網(wǎng)絡(luò)用戶在遇到網(wǎng)絡(luò)故障、攻擊、事故，收到非法信息，感染計(jì)算機(jī)病毒時(shí)，應(yīng)及時(shí)向本單位網(wǎng)絡(luò)管理部門(mén)報(bào)告。

第二十五條網(wǎng)絡(luò)用戶須對(duì)本人的網(wǎng)絡(luò)行為負(fù)責(zé)，不得有下列行為：

1、私自修改和刪除本人計(jì)算機(jī)的網(wǎng)絡(luò)配置；

2、私自安裝影響網(wǎng)絡(luò)運(yùn)行的軟件或系統(tǒng)；

3、私自接入他人的網(wǎng)絡(luò)端口；

4、私自接入未經(jīng)允許的網(wǎng)絡(luò)設(shè)備；

5、私自接入政務(wù)內(nèi)網(wǎng)等其他網(wǎng)絡(luò)；

6、在網(wǎng)絡(luò)上傳播信息或違反國(guó)家法律、法規(guī)的不良信息；

7、安裝盜版軟件；

8、卸載統(tǒng)一安裝的網(wǎng)絡(luò)防病毒軟件；

9、故意制作、下載、傳播計(jì)算機(jī)病毒等惡意程序和其他有害數(shù)據(jù)；

10、向社會(huì)虛假的計(jì)算機(jī)病毒疫情；

11、未經(jīng)允許，登錄他人計(jì)算機(jī)信息系統(tǒng)或者使用計(jì)算機(jī)信息系統(tǒng)資源；

12、其他危害網(wǎng)絡(luò)安全和信息安全的行為。

第七章網(wǎng)絡(luò)機(jī)房和設(shè)備

第二十六條按照網(wǎng)絡(luò)機(jī)房的標(biāo)準(zhǔn)和規(guī)范建立專用的網(wǎng)絡(luò)機(jī)房，為網(wǎng)絡(luò)設(shè)備提供良好的運(yùn)行環(huán)境。

第二十七條各級(jí)網(wǎng)絡(luò)管理部門(mén)要制定完善的網(wǎng)絡(luò)機(jī)房管理制度，對(duì)機(jī)房?jī)?nèi)的溫濕度和設(shè)備運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控。無(wú)關(guān)人員未經(jīng)允許，不得進(jìn)入機(jī)房。

第二十八條各級(jí)網(wǎng)絡(luò)管理部門(mén)要加強(qiáng)網(wǎng)絡(luò)設(shè)備管理，對(duì)各類設(shè)備進(jìn)行歸類編碼，建立檔案。實(shí)行網(wǎng)絡(luò)設(shè)備責(zé)任制，做到專人專管，并對(duì)相關(guān)操作進(jìn)行詳細(xì)記錄。

第二十九條各級(jí)網(wǎng)絡(luò)管理部門(mén)要對(duì)各類設(shè)備定期檢查、監(jiān)視和維護(hù)，加強(qiáng)訪問(wèn)權(quán)限控制；建立關(guān)鍵設(shè)備的備份和報(bào)修制度；加強(qiáng)各類設(shè)備的配置參數(shù)管理。

第八章保障措施

第三十條各單位要高度重視水利信息網(wǎng)運(yùn)行管理工作，加強(qiáng)對(duì)運(yùn)行管理工作的領(lǐng)導(dǎo)。

第三十一條各單位要積極籌措和落實(shí)網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)費(fèi)，將網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)費(fèi)列入部門(mén)預(yù)算，為網(wǎng)絡(luò)的正常運(yùn)行維護(hù)提供保障。

第三十二條各單位要建立結(jié)構(gòu)合理、人員相對(duì)穩(wěn)定的網(wǎng)絡(luò)運(yùn)行管理隊(duì)伍，制定培訓(xùn)計(jì)劃，完善培訓(xùn)制度，加強(qiáng)人員培訓(xùn)和技術(shù)交流，提高網(wǎng)絡(luò)運(yùn)行和管理的技術(shù)水平。

第三十三條各級(jí)網(wǎng)絡(luò)管理部門(mén)要加強(qiáng)防汛等重點(diǎn)線路、重點(diǎn)設(shè)備、重點(diǎn)應(yīng)用的管理，重視網(wǎng)絡(luò)應(yīng)急預(yù)案建設(shè)，提高預(yù)警、響應(yīng)和應(yīng)急處理能力，網(wǎng)絡(luò)應(yīng)急預(yù)案應(yīng)報(bào)上級(jí)網(wǎng)絡(luò)管理部門(mén)備案。

第三十四條網(wǎng)絡(luò)運(yùn)行管理部門(mén)要保證骨干網(wǎng)有關(guān)設(shè)備724小時(shí)不間斷運(yùn)行，對(duì)于因檢修或其他原因需停機(jī)的，應(yīng)提前通知有關(guān)部門(mén)。

第三十五條各級(jí)網(wǎng)絡(luò)管理部門(mén)應(yīng)加強(qiáng)值班特別是汛期值班工作，加強(qiáng)日常網(wǎng)絡(luò)維護(hù)管理，配備必要的維護(hù)軟件和工具，落實(shí)管理責(zé)任制，規(guī)范管理流程，提高管理效率，做好工作日志，加強(qiáng)制度落實(shí)的檢查和考核。

第三十六條各級(jí)網(wǎng)絡(luò)管理部門(mén)要加強(qiáng)網(wǎng)絡(luò)用戶服務(wù)，規(guī)范服務(wù)流程，對(duì)用戶進(jìn)行定期檢查，對(duì)網(wǎng)絡(luò)故障采用多種方式（電話、網(wǎng)絡(luò)、郵件、上門(mén)等）進(jìn)行維護(hù)，保障用戶和應(yīng)用系統(tǒng)的正常工作。

第九章獎(jiǎng)勵(lì)與處罰

第三十七條對(duì)于在網(wǎng)絡(luò)運(yùn)行管理工作中做出顯著成績(jī)的單位和個(gè)人，予以表彰和獎(jiǎng)勵(lì)。

第三十九條對(duì)于違反本方案第二十五條的網(wǎng)絡(luò)用戶，對(duì)于因管理不善和失職，導(dǎo)致網(wǎng)絡(luò)管理工作失誤，造成嚴(yán)重影響的單位和個(gè)人，予以通報(bào)批評(píng)，情節(jié)嚴(yán)重的根據(jù)有關(guān)規(guī)定予以追究責(zé)任。

第十章附則

篇5

公司各項(xiàng)目監(jiān)理部：

為進(jìn)一步加強(qiáng)施工現(xiàn)場(chǎng)的安全管理工作，特下發(fā)此方案，望各項(xiàng)目監(jiān)理組認(rèn)真貫徹執(zhí)行。

一、 監(jiān)理編制內(nèi)容

1、《安全監(jiān)理規(guī)劃》

（1）明確安全監(jiān)理的范圍

（2）規(guī)劃內(nèi)容

（3）工作程序和制度措施，

（4）人員配備計(jì)劃和職責(zé)

2、《安全監(jiān)理實(shí)施細(xì)則》

（1）實(shí)施細(xì)則應(yīng)當(dāng)明確安全監(jiān)理的方法

（2）措施和控制要點(diǎn)

（3）對(duì)施工單位安全技術(shù)措施的檢查方案

二、監(jiān)理審核內(nèi)容

1、施工單位（含分包單位）資質(zhì)及人員的審核。

（1）施工單位資質(zhì)、營(yíng)業(yè)執(zhí)照、安全生產(chǎn)許可證（附件復(fù)印件必須加蓋本單位公章）

（2）管理人員及特殊工種上崗證（要求人證相符）

2、主要機(jī)械、設(shè)備、材料進(jìn)場(chǎng)的審核

（1）機(jī)械、設(shè)備、材料生產(chǎn)許可證、出廠合格證及出廠檢測(cè)報(bào)告

（2）機(jī)械、設(shè)備安裝、拆卸單位的資質(zhì)和人員資質(zhì)

（3）機(jī)械、設(shè)備安裝及拆卸方案

（4）機(jī)械、設(shè)備專業(yè)檢測(cè)單位的資質(zhì)和人員資質(zhì)

3、施工組織設(shè)計(jì)中關(guān)于安全專項(xiàng)分類審查

（1）施工單位編制的地下管線保護(hù)措施方案是否符合強(qiáng)制性標(biāo)準(zhǔn)要求；

（2）基坑支護(hù)與降水、土方開(kāi)挖與邊坡防護(hù)、模板、起重吊裝、腳手架、拆除、爆破等分部分項(xiàng)工程的專項(xiàng)施工方案是否符合強(qiáng)制性標(biāo)準(zhǔn)要求；

（3）施工現(xiàn)場(chǎng)臨時(shí)用電施工組織設(shè)計(jì)或者安全用電技術(shù)措施和電氣防火措施

是否符合強(qiáng)制性標(biāo)準(zhǔn)要求；

（4）冬季、雨季等季節(jié)性施工方案的制定是否符合強(qiáng)制性標(biāo)準(zhǔn)要求；

（5）施工總平面布置圖是否符合安全生產(chǎn)的要求，辦公、宿舍、食堂、道路等臨時(shí)設(shè)施設(shè)置以及排水、防火措施是否符合強(qiáng)制性標(biāo)準(zhǔn)要求。

（6）檢查施工單位在工程項(xiàng)目上的安全生產(chǎn)規(guī)章制度和安全監(jiān)管機(jī)構(gòu)的建立、健全及專職安全生產(chǎn)管理人員配備情況，督促施工單位檢查各分包單位的安全生產(chǎn)規(guī)章制度的建立情況。

4、《應(yīng)急救援預(yù)案》審查

（1）審核應(yīng)急救援組織或者配備應(yīng)急救援人員。

（2）審核配備救援器材、設(shè)備及定期組織演練情況落實(shí)。

（3）審核預(yù)案中救援、處理措施。

5、專項(xiàng)方案審核

（1）內(nèi)容的審查

①工程概況：危險(xiǎn)性較大的分部分項(xiàng)工程概況、施工平面布置、施工要求和技術(shù)保證條件；

②編制依據(jù)：相關(guān)法律、法規(guī)、規(guī)范性文件、標(biāo)準(zhǔn)、規(guī)范及圖紙（國(guó)標(biāo)圖集）、施工組織設(shè)計(jì)等；

③施工計(jì)劃：包括施工進(jìn)度計(jì)劃、材料與設(shè)備計(jì)劃；

④施工工藝技術(shù)：技術(shù)參數(shù)、工藝流程、施工方法、檢查驗(yàn)收等；

⑤施工安全保證措施：組織保障、技術(shù)措施、應(yīng)急預(yù)案、監(jiān)測(cè)監(jiān)控等； ⑥勞動(dòng)力計(jì)劃：專職安全生產(chǎn)管理人員、特種作業(yè)人員等；

⑦計(jì)算書(shū)及相關(guān)圖紙。

（2）危險(xiǎn)源的分類

①基坑支護(hù)、降水工程

②土方開(kāi)挖工程

③模板工程及支撐體系

④起重吊裝及安裝拆卸工程

⑤腳手架工程

⑥拆除、爆破工程

⑦其它

附件一：《危險(xiǎn)性較大的分部分項(xiàng)工程范圍》

（3）專家論證分項(xiàng)審查

①深基坑工程

②模版工程機(jī)支撐體系

③起重吊裝及安裝拆卸工程

④腳手架工程

⑤拆除、爆破工程

⑥其他

附件二：《超過(guò)一定規(guī)模的危險(xiǎn)性較大的分部分項(xiàng)工程范圍》

三、建筑起重機(jī)械網(wǎng)絡(luò)安全管理

1、審核建筑起重機(jī)械特種設(shè)備制造許可證、產(chǎn)品合格證、制造監(jiān)督檢驗(yàn)證明、備案證明等文件；

2、審核建筑起重機(jī)械安裝單位、使用單位的資質(zhì)證書(shū)、安全生產(chǎn)許可證和特種作業(yè)人員的特種作業(yè)操作資格證書(shū)；

3、審核建筑起重機(jī)械安裝、拆卸工程專項(xiàng)施工方案；

4、監(jiān)督安裝單位執(zhí)行建筑起重機(jī)械安裝、拆卸工程專項(xiàng)施工方案情況；

5、監(jiān)督檢查建筑起重機(jī)械的使用情況；

6、發(fā)現(xiàn)存在生產(chǎn)安全事故隱患的，應(yīng)當(dāng)要求安裝單位、使用單位限期整改，對(duì)安裝單位、使用單位拒不整改的，及時(shí)向建設(shè)單位報(bào)告。

四、監(jiān)理安全巡檢記錄

（1）監(jiān)理人員定期對(duì)現(xiàn)場(chǎng)進(jìn)行安全巡查，并形成巡檢記錄。施工單位安全員簽后字一式三份，建設(shè)單位、監(jiān)理單位、施工單位。

（2）對(duì)發(fā)現(xiàn)的各類安全事故隱患，應(yīng)書(shū)面通知施工單位，并督促其立即整改

（3）情況嚴(yán)重的，監(jiān)理單位應(yīng)及時(shí)下達(dá)工程暫停令，要求施工單位停工整改，并同時(shí)報(bào)告建設(shè)單位。

（4）施工單位拒不整改或不停工整改的，監(jiān)理項(xiàng)目部應(yīng)當(dāng)及時(shí)向工程所在地建設(shè)主管部門(mén)或工程項(xiàng)目的行業(yè)主管部分報(bào)告。同時(shí)上報(bào)監(jiān)理公司。

附件三：《安全巡檢記錄》

五、如施工單位沒(méi)有及時(shí)或不上報(bào)監(jiān)理單位需要的資質(zhì)、方案等，監(jiān)理項(xiàng)目部對(duì)施工單位下發(fā)監(jiān)理通知單，情節(jié)嚴(yán)重與建設(shè)單位溝通后下發(fā)安全隱患停工令，并上報(bào)公司。

篇6

一、抓檢查整改,加大安全管理力度

(1)突出了計(jì)算機(jī)安全管理。計(jì)算機(jī)的應(yīng)用提高了工作效率，同時(shí)也給安全保衛(wèi)工作帶來(lái)新的課題。為強(qiáng)化計(jì)算機(jī)安全管理，我聯(lián)社根據(jù)市辦要求切實(shí)制定了計(jì)算機(jī)安全管理辦法和計(jì)算機(jī)集中購(gòu)置管理辦法等，落實(shí)了管理責(zé)任，使計(jì)算機(jī)購(gòu)置、安裝、操作、使用、保養(yǎng)、業(yè)務(wù)備份管理等逐步走向規(guī)范化。同時(shí)，加大檢查落實(shí)力度，對(duì)全轄計(jì)算機(jī)安全管理組織檢查活動(dòng)x次，對(duì)計(jì)算機(jī)系統(tǒng)用戶和口令保護(hù)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、硬件安裝、病毒防范等方面進(jìn)行了地毯式排查整改，確保了全轄計(jì)算機(jī)管理安全無(wú)事故。

(2)強(qiáng)化了檢查整改。為促進(jìn)安全保衛(wèi)工作制度化、規(guī)范化,落實(shí)檢查效果。年初,我們根據(jù)x辦指示制定了安全保衛(wèi)檢查實(shí)施辦法和違規(guī)違紀(jì)處罰實(shí)施細(xì)則,采取常規(guī)性檢查與突擊性抽查、白天查與晚上查、下鄉(xiāng)隨時(shí)查與重大節(jié)日專題查相結(jié)合的辦法,時(shí)刻注意掌握轄內(nèi)安全保衛(wèi)工作動(dòng)態(tài),整改隱患,堵塞漏洞,防患于未然。今年來(lái),我們采取聽(tīng)、查、問(wèn)、試等方法,采取百分制形式,查制度看落實(shí)、查管理看漏洞、查設(shè)施看隱患、查思想看認(rèn)識(shí)等方式將安全保衛(wèi)工作納入到每季綜合考核工作目標(biāo),實(shí)行按季考核、按年兌現(xiàn)的工作新舉措。

(3)嚴(yán)格五項(xiàng)管理。一是嚴(yán)格了押運(yùn)安全管理。嚴(yán)格落實(shí)守、押安全制度,嚴(yán)格押運(yùn)操作規(guī)程,確保了營(yíng)業(yè)網(wǎng)點(diǎn)封包安全準(zhǔn)時(shí)接送無(wú)差錯(cuò)，實(shí)現(xiàn)了押運(yùn)無(wú)事故。二是嚴(yán)格了營(yíng)業(yè)、守庫(kù)、值班安全管理。各分社普遍建立了11項(xiàng)安全工作基本制度,制定了“四防”應(yīng)急處置預(yù)案,并能做到制度上墻,內(nèi)容入心,操作熟練。三是嚴(yán)格了槍彈管理。普遍落實(shí)了槍彈管理安全責(zé)任制,嚴(yán)格實(shí)行槍彈分管等“十嚴(yán)”規(guī)范化管理制度,領(lǐng)用、交接手續(xù)嚴(yán)密,登記齊全,責(zé)任明確,并做到部門(mén)每周檢查和領(lǐng)導(dǎo)按月檢查監(jiān)督,保管實(shí)行定人定責(zé)擦洗保養(yǎng)制度，保持性能良好,全年未出現(xiàn)任何違規(guī)持槍或?yàn)E用現(xiàn)象，確保了槍彈管理安全。四是嚴(yán)格了聯(lián)防管理。各網(wǎng)點(diǎn)與四鄰的機(jī)關(guān)單位或居民戶、地方政府及公安派出所都建立了聯(lián)防關(guān)系,簽訂聯(lián)防協(xié)議，并加強(qiáng)了與聯(lián)防戶的聯(lián)誼,使之能招之即來(lái)。五是嚴(yán)格了信息檔案管理。

(4)加強(qiáng)物防建設(shè)。我們牢固樹(shù)立“花錢(qián)保平安”的思想，貫徹從安全出發(fā)、從實(shí)際出發(fā)的原則, 制定科學(xué)合理的安全設(shè)施建設(shè)計(jì)劃,區(qū)別輕重緩急,分步實(shí)施,加大資金投入力度。今年來(lái),在經(jīng)費(fèi)緊張的情況下，先后投入資金1.3萬(wàn)元，不斷改進(jìn)和加強(qiáng)安全設(shè)施建設(shè)，提高物防和技防水平，提高了安全系數(shù)。一是加強(qiáng)了金庫(kù)房安全設(shè)施建設(shè)。新置聯(lián)社中心庫(kù)房大保險(xiǎn)柜x臺(tái)，完善聯(lián)社營(yíng)業(yè)部守庫(kù)房設(shè)備。新置排氣扇一臺(tái)、雙層鐵床x架，加固庫(kù)房門(mén)x只。二是加強(qiáng)了押運(yùn)安全設(shè)施建設(shè) 。

篇7

一、我國(guó)金融會(huì)計(jì)領(lǐng)域應(yīng)用計(jì)算機(jī)的主要發(fā)展過(guò)程

（一）起步階段：我國(guó)金融會(huì)計(jì)電子化工作最早起步于二十世紀(jì)70年代末，在80年代初期得到了初步發(fā)展。這一時(shí)期，計(jì)算機(jī)開(kāi)始在會(huì)計(jì)制表、儲(chǔ)蓄、對(duì)公核算業(yè)務(wù)方面得到初步應(yīng)用，應(yīng)用系統(tǒng)一般在DOS平臺(tái)上單機(jī)運(yùn)行，系統(tǒng)的開(kāi)發(fā)、硬件的選型均不統(tǒng)一，軟件系統(tǒng)的特點(diǎn)也只是模擬手工核算，目的只是為了減少勞動(dòng)強(qiáng)度和工作量，缺乏操作規(guī)范和管理制度。

（二）發(fā)展階段：到80年代中后期，金融電子化工作得到各行重視，各銀行系統(tǒng)紛紛制定本行的電子化發(fā)展規(guī)劃，人民銀行對(duì)整個(gè)金融業(yè)的發(fā)展規(guī)劃也做出了安排。在此期間金融會(huì)計(jì)電子化的應(yīng)用領(lǐng)域和規(guī)模迅速擴(kuò)大，區(qū)域性乃至全國(guó)性的清算網(wǎng)絡(luò)開(kāi)始建設(shè)。這一時(shí)期的另一特點(diǎn)是，一些銀行開(kāi)始了微機(jī)應(yīng)用由單機(jī)向網(wǎng)絡(luò)運(yùn)行的過(guò)渡，如出現(xiàn)城市通存通兌網(wǎng)絡(luò)、同城清算網(wǎng)絡(luò)，業(yè)務(wù)應(yīng)用領(lǐng)域也從單項(xiàng)業(yè)務(wù)發(fā)展向綜合會(huì)計(jì)業(yè)務(wù)過(guò)渡，軟件開(kāi)發(fā)和硬件選型在一定范圍內(nèi)得到統(tǒng)一，操作規(guī)范和管理規(guī)章制度已經(jīng)建立。人總行在這一時(shí)期牽頭制定了金融電子化發(fā)展規(guī)劃和遠(yuǎn)期目標(biāo)設(shè)想，1989年人行全國(guó)電子聯(lián)行清算網(wǎng)絡(luò)系統(tǒng)開(kāi)始啟動(dòng)，同年財(cái)政部頒布實(shí)施了《會(huì)計(jì)核算軟件管理的幾項(xiàng)規(guī)定試行》，以規(guī)范會(huì)計(jì)軟件管理工作。

（三）規(guī)范再發(fā)展階段：進(jìn)入90年代，金融會(huì)計(jì)電子化規(guī)范管理工作得到有關(guān)部門(mén)重視，各行在此基礎(chǔ)上逐漸建立起了本系統(tǒng)的全國(guó)異地電子聯(lián)行清算系統(tǒng)如異地匯劃系統(tǒng)、信用卡清算系統(tǒng)等，在90年代后期一些行會(huì)計(jì)核算在大中城市建立了集中清算中心，財(cái)政部也于1994年7月頒布實(shí)施了《會(huì)計(jì)電算化管理辦法》、《商品化會(huì)計(jì)核算軟件評(píng)審規(guī)則》和《會(huì)計(jì)核算軟件基本功能規(guī)范》。這一時(shí)期會(huì)計(jì)電子化安全問(wèn)題得到進(jìn)一步的重視，網(wǎng)絡(luò)安全問(wèn)題逐漸成為安全防范的主要研究課題。

今后，伴隨電子商務(wù)的發(fā)展，金融會(huì)計(jì)電子化工作向網(wǎng)絡(luò)化發(fā)展，網(wǎng)絡(luò)銀行、電話銀行出現(xiàn)，網(wǎng)絡(luò)安全成為金融會(huì)計(jì)電子化安全工作的重點(diǎn)，電子化的規(guī)章制度和法規(guī)應(yīng)運(yùn)而生，會(huì)計(jì)電子化的安全日益關(guān)系到銀行生存乃至整個(gè)社會(huì)的穩(wěn)定。

二、目前我國(guó)金融會(huì)計(jì)電子化工作中存在的主要安全問(wèn)題

回顧我國(guó)金融電子化的發(fā)展歷程，我們認(rèn)為目前我國(guó)金融會(huì)計(jì)電子化工作主要存在以下安全問(wèn)題：

（一）軟件設(shè)計(jì)、開(kāi)發(fā)中技術(shù)安全措施少、安全級(jí)別低?，F(xiàn)有會(huì)計(jì)應(yīng)用軟件系統(tǒng)在設(shè)計(jì)、開(kāi)發(fā)階段，普遍存在系統(tǒng)需求中安全需求少、軟件設(shè)計(jì)重功能輕安全，軟件設(shè)計(jì)選用語(yǔ)言和數(shù)據(jù)庫(kù)考慮安全性能少，以至軟件投入運(yùn)行后暴露出諸多安全隱患，如數(shù)據(jù)庫(kù)呈開(kāi)放狀態(tài)，易于打開(kāi)，應(yīng)用系統(tǒng)軟件存在安全“BUG”等。這類現(xiàn)象在金融會(huì)計(jì)電子化起步、發(fā)展階段開(kāi)發(fā)的系統(tǒng)更為明顯，并且這些軟件系統(tǒng)在目前還未得到徹底更新?lián)Q版。

（二）硬件自身安全性能低。這主要是在硬件選型上考慮安全性能的比較少，而主要側(cè)重硬件功能和價(jià)格的考察，另外這與在硬件選型上不統(tǒng)一，缺乏金融系統(tǒng)的統(tǒng)一的硬件選型標(biāo)準(zhǔn)有關(guān)系。這樣造成的結(jié)果是由于硬件的安全問(wèn)題直接影響會(huì)計(jì)應(yīng)用系統(tǒng)軟件的正常運(yùn)行。

（三）機(jī)房建設(shè)中存在安全隱患。盡管我們國(guó)家出臺(tái)了《中華人民共和國(guó)計(jì)算機(jī)房、站、場(chǎng)地安全要求》，但這一要求在一些小的機(jī)房、場(chǎng)地建設(shè)中注意的較少，尤其在一些縣支行機(jī)房建設(shè)中安全要求沒(méi)有得到徹底落實(shí)，甚至有的地方?jīng)]有專用的計(jì)算機(jī)房和場(chǎng)地，并且即使建立了專用計(jì)算機(jī)房，由于考慮資金等因素，許多安全設(shè)施并未配置齊全，如有的機(jī)房無(wú)避雷系統(tǒng)、不配備“UPS”系統(tǒng)、“UPS”損壞后不及時(shí)修理、機(jī)房管理不嚴(yán)密等。

（四）網(wǎng)絡(luò)安全問(wèn)題突出。由于我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)時(shí)間比較短，安全經(jīng)驗(yàn)不足，暴露出的網(wǎng)絡(luò)安全問(wèn)題也比較多的。這主要表現(xiàn)在以下幾方面：

一是網(wǎng)絡(luò)傳輸載體本身安全性能不穩(wěn)定。目前我國(guó)網(wǎng)絡(luò)傳輸載體主要分有線和微波兩種，可從我們應(yīng)用會(huì)計(jì)電子化網(wǎng)絡(luò)的實(shí)踐看，這兩種載體都或多或少地存在有安全問(wèn)題。比如電信部門(mén)提供的傳輸線路傳輸質(zhì)量不高，所用電話線路由于多為明線易損壞，而微波載體由于通訊發(fā)送、接收設(shè)備安全性能不高，一些外來(lái)自然因素影響了傳輸效果，甚至導(dǎo)致傳輸線路暫時(shí)中斷。如目前人行電子聯(lián)行系統(tǒng)就存在因雨、雪天氣導(dǎo)致通訊中斷的現(xiàn)象，就是X.25專線也多次發(fā)生過(guò)因電信部門(mén)線路被損壞影響數(shù)據(jù)傳輸?shù)默F(xiàn)象。

二是投入使用的網(wǎng)絡(luò)軟件安全技術(shù)措施少，尤其是地方性局域網(wǎng)絡(luò)。首先由于目前對(duì)于地方建設(shè)的清算和會(huì)計(jì)信息傳輸網(wǎng)絡(luò)的安全技術(shù)規(guī)范還不大明確，并且對(duì)于局域網(wǎng)絡(luò)安全建設(shè)的認(rèn)證、驗(yàn)收還沒(méi)有一個(gè)技術(shù)規(guī)范和認(rèn)證體系，使得局域網(wǎng)絡(luò)建設(shè)缺少安全把關(guān)，使已建成網(wǎng)絡(luò)在安全方面存在較多漏洞和隱患。

（五）應(yīng)用系統(tǒng)操作和使用過(guò)程中存在的安全問(wèn)題。金融會(huì)計(jì)電子化工作在應(yīng)用會(huì)計(jì)微機(jī)系統(tǒng)方面存在的主要安全問(wèn)題就是操作和管理人員安全意識(shí)淡薄，當(dāng)然具體管理工作薄弱也是一個(gè)不可忽視的一點(diǎn)。首先，在操作人員方面，主要表現(xiàn)為操作密碼管理不嚴(yán)格，存在密碼口令使用周期過(guò)長(zhǎng)、密碼泄密、操作用戶離崗不簽退應(yīng)用系統(tǒng)、竊密等問(wèn)題，這主要源于操作人員安全意識(shí)淡薄；其次，業(yè)務(wù)部門(mén)管理人員安全意識(shí)淡薄，對(duì)于一些安全管理制度檢查落實(shí)不到位，尤其對(duì)安全操作與方便業(yè)務(wù)處理兩者之間的關(guān)系處理不妥當(dāng)，在管理中突出表現(xiàn)就是違背安全規(guī)定設(shè)置和配備操作崗位和操作人員，出現(xiàn)違規(guī)操作、違規(guī)兼崗現(xiàn)象，對(duì)計(jì)算機(jī)房疏于管理；第三，系統(tǒng)管理人員安全職責(zé)履行不到位。系統(tǒng)管理員的兩項(xiàng)重要職責(zé)就是保證自己操作的安全和會(huì)計(jì)應(yīng)用系統(tǒng)運(yùn)行的安全。目前有的系統(tǒng)管理員對(duì)以上兩項(xiàng)職責(zé)履行不到位，存在重視自身操作安全忽視對(duì)用戶操作安全的檢查，有的疏于對(duì)計(jì)算機(jī)電源、硬件設(shè)備的定期安全檢查、檢修，對(duì)會(huì)計(jì)應(yīng)用系統(tǒng)的操作和運(yùn)行狀況不能做到定期檢查。第四，在具體安全管理方面，手段比較少，對(duì)軟、硬件的安全檢查更少。銀行會(huì)計(jì)部門(mén)每年都要搞安全檢查，但往往只是注重業(yè)務(wù)操作管理制度落實(shí)情況的檢查，很少聯(lián)合科技部門(mén)對(duì)會(huì)計(jì)應(yīng)用系統(tǒng)軟硬件的安全狀況進(jìn)行檢查。即使對(duì)業(yè)務(wù)操作安全方面的檢查，由于只是對(duì)操作現(xiàn)場(chǎng)簡(jiǎn)單了解一下，也很難發(fā)現(xiàn)日常存在的一些安全問(wèn)題。

（六）制度和法規(guī)建設(shè)滯后，直接降低了會(huì)計(jì)應(yīng)用系統(tǒng)的運(yùn)行安全性能。比如人總行組織開(kāi)發(fā)推廣的“中央銀行會(huì)計(jì)核算系統(tǒng)”我們?cè)?993年就開(kāi)始了推廣應(yīng)用工作，1996年已推廣到系統(tǒng)內(nèi)多數(shù)營(yíng)業(yè)機(jī)構(gòu)，而真正的管理辦法《中央銀行會(huì)計(jì)核算系統(tǒng)》到1997年方出臺(tái)，這在當(dāng)時(shí)為許多行管理此系統(tǒng)安全形成許多不便。另外，法律制度的滯后也使一些機(jī)構(gòu)無(wú)所適從，比如目前印鑒技術(shù)已發(fā)展到電子印鑒逐漸取代傳統(tǒng)印鑒階段，電子印鑒的安全系數(shù)不斷得到提高，但是現(xiàn)在的法律不認(rèn)可電子印鑒。還有伴隨金融電子聯(lián)行的普及和異地匯劃網(wǎng)絡(luò)的建設(shè)，異地匯兌處理手續(xù)也發(fā)生了變化，《支付結(jié)算會(huì)計(jì)核算處理手續(xù)》有的環(huán)節(jié)已不適應(yīng)電子化形勢(shì)，但至今未做出改變，這使得一些電子聯(lián)行處理手續(xù)合理不合法。另外，即使有的行及時(shí)制定了有關(guān)的操作規(guī)程和管理辦法，但由于基層行沒(méi)有制定切實(shí)可行的安全實(shí)施細(xì)則，加之操作和管理人員安全意識(shí)的淡薄，現(xiàn)有制度沒(méi)有落實(shí)到位的還很多。比如人民銀行電子聯(lián)行“管理制度”明確規(guī)定了核查制度，可在基層衛(wèi)星小站和縣支行很少將此規(guī)定落到實(shí)處。

三、解決金融會(huì)計(jì)電子化安全問(wèn)題的幾點(diǎn)建議

為防范和解決金融會(huì)計(jì)電子化工作中的安全問(wèn)題，確保會(huì)計(jì)工作在電子化條件下安全、高效地開(kāi)展，筆者特建議如下：

（一）程序設(shè)計(jì)、開(kāi)發(fā)階段加強(qiáng)系統(tǒng)安全技術(shù)措施的運(yùn)用。首先，要求業(yè)務(wù)部門(mén)謀劃系統(tǒng)業(yè)務(wù)需求時(shí)，要充分考慮到諸多安全因素，對(duì)系統(tǒng)安全提出明確、具體的業(yè)務(wù)需求，一改過(guò)去重功能輕安全的做法；其次，在軟件系統(tǒng)設(shè)計(jì)開(kāi)發(fā)階段，軟件編輯人員應(yīng)選用安全性能高的數(shù)據(jù)庫(kù)、運(yùn)用嚴(yán)密的編程語(yǔ)言開(kāi)發(fā)軟件，盡量減少程序上的安全“BUG”；再次，在硬件選型時(shí)，要盡量采用安全性能高、運(yùn)行質(zhì)量好的設(shè)備，減少硬件安全隱患；四是建議有關(guān)部門(mén)，盡快制定出金融系統(tǒng)軟件開(kāi)發(fā)規(guī)范和硬件選型標(biāo)準(zhǔn)，尤其明確安全規(guī)范。

（二）會(huì)計(jì)計(jì)算機(jī)系統(tǒng)應(yīng)用階段安全防范。

1.建議各銀行對(duì)會(huì)計(jì)系統(tǒng)內(nèi)計(jì)算機(jī)房建設(shè)情況進(jìn)行一次安全大檢查，對(duì)于不符合《中華人民共和國(guó)計(jì)算機(jī)房、站、場(chǎng)地安全要求》的責(zé)令立即進(jìn)行整改。

2.各家銀行有必要對(duì)自家先投入使用的會(huì)計(jì)計(jì)算機(jī)系統(tǒng)進(jìn)行一次自我分析，目的是發(fā)現(xiàn)和解決系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)階段遺留的安全隱患，并在此基礎(chǔ)上對(duì)舊版本軟件進(jìn)行換版升級(jí)。

3.加強(qiáng)計(jì)算機(jī)安全教育，提高操作人員和管理人員的計(jì)算機(jī)安全意識(shí)。金融會(huì)計(jì)電子化的安全防范措施最基本的還是人的因素。因此，需要盡更大的努力去提高人們對(duì)計(jì)算機(jī)安全的認(rèn)識(shí)，尤其對(duì)會(huì)計(jì)系統(tǒng)安全的認(rèn)識(shí)，各級(jí)教育部門(mén)和業(yè)務(wù)管理部門(mén)在這方面應(yīng)做更多的教育工作。超級(jí)秘書(shū)網(wǎng)

篇8

一、突出業(yè)務(wù)型，改良隊(duì)伍素質(zhì)

我市現(xiàn)有保密隊(duì)伍普遍存在技術(shù)人才不足，業(yè)務(wù)能力不強(qiáng)，人員素質(zhì)參差不齊的問(wèn)題。有的工作定位在“看門(mén)守?cái)偂?，有的思遷不思變，思調(diào)不思干，有的精神不振，缺乏激情。保密事業(yè)發(fā)展靠人，人是決定因素。因此，我們首先要堅(jiān)持以人為本，在改良保密隊(duì)伍素質(zhì)上下功夫。

1、樹(shù)立奉獻(xiàn)精神

雖然我們長(zhǎng)期為保密事業(yè)辛勤工作，任勞任怨，最后付出與回報(bào)可能有落差。但是，我們不應(yīng)該專注個(gè)人得失，應(yīng)該更多的看到我們所從事的事業(yè)為經(jīng)濟(jì)社會(huì)發(fā)展提供安全保障的重要作用和它的神圣意義，多想一想過(guò)去無(wú)數(shù)先烈付出的比我們多得多，多重溫一下入黨時(shí)的誓言，保持清醒頭腦，堅(jiān)定理想信念，講求正確的人生觀、價(jià)值觀，樹(shù)立奉獻(xiàn)精神，甘當(dāng)無(wú)名小卒?！叭送咛幾?，高處不勝寒；水往低處流，低處納百川”。平凡的崗位也有它的樂(lè)趣，也能干出不平凡的事業(yè)?！盎钪⒐ぷ髦敲利惖摹?，知足常樂(lè)未嘗不可。

2、加強(qiáng)教育培訓(xùn)

學(xué)習(xí)培訓(xùn)是提高保密人員業(yè)務(wù)知識(shí)和業(yè)務(wù)能力最便捷、最有效的途徑，我們可以根據(jù)實(shí)際需要，切實(shí)開(kāi)展教育培訓(xùn)活動(dòng)。一是編印保密手冊(cè)，突出針對(duì)性、指導(dǎo)性和可操作性，將上級(jí)有關(guān)保密工作的規(guī)定和要求進(jìn)行“瘦身”，然后編印成冊(cè)，提供全市領(lǐng)導(dǎo)干部和黨政機(jī)關(guān)人員學(xué)習(xí)、應(yīng)用。二是對(duì)全市保密員進(jìn)行一次普查，弄清基本情況，組織專門(mén)培訓(xùn)，落實(shí)持證上崗，簽訂保密協(xié)議。三是采取“請(qǐng)進(jìn)來(lái)、走出去”的辦法，邀請(qǐng)省、市有關(guān)專家舉辦專題輔導(dǎo)講座，不定期地組織保密干部到外地參觀學(xué)習(xí)，或參加省、市組織的各類專業(yè)培訓(xùn)。通過(guò)各類培訓(xùn)活動(dòng)，不斷提高人員整體素質(zhì)。

3、吸納技術(shù)人才

吸納保密技術(shù)人才，加強(qiáng)保密技術(shù)人才隊(duì)伍建設(shè)，是適應(yīng)新時(shí)期保密工作的需要。其一是成立保密技術(shù)專家委員會(huì)。擬從保密、公安、國(guó)安、信息產(chǎn)業(yè)、高校等單位篩選物色技術(shù)專家，組成專家委員會(huì)，在網(wǎng)絡(luò)安全管理中充分發(fā)揮專家的技術(shù)支撐作用。其二是組建市保密技術(shù)檢查中心。我市保密技術(shù)檢查中心市編委已行文同意成立，當(dāng)前要抓緊籌備，選調(diào)好政治上成熟可靠，既有實(shí)踐經(jīng)驗(yàn)又有專業(yè)水平的技術(shù)人才，使市保密技術(shù)檢查中心盡快掛牌運(yùn)作，開(kāi)展業(yè)務(wù)，發(fā)揮作用。

二、體現(xiàn)靈活性，改進(jìn)工作方法

改進(jìn)工作方法，必須摒棄傳統(tǒng)思維定勢(shì)，改變單一的老習(xí)慣、老辦法，圍繞工作任務(wù)的完成和工作目標(biāo)的實(shí)現(xiàn)多元思考，創(chuàng)新方法，靈活應(yīng)對(duì)。

1、變被動(dòng)為主動(dòng)

保密工作部門(mén)不能停留于以往只接受工作任務(wù)，只負(fù)責(zé)上傳下達(dá)，扮演“接收器”和“傳聲筒”的角色，應(yīng)該獨(dú)立思考，擅變求變，主動(dòng)出擊。除了完成省保密局和市保密委等上級(jí)工作任務(wù)做好“規(guī)定動(dòng)作”之外，注意從自身職責(zé)范圍出發(fā)，策劃確定好各個(gè)時(shí)期應(yīng)予推進(jìn)的目標(biāo)任務(wù)，安排好工作要點(diǎn)，完成“自選動(dòng)作”。振奮精神，更新觀念，主動(dòng)作為，實(shí)現(xiàn)從“要”向“我要干”轉(zhuǎn)變。

2、既“合縱”又“聯(lián)橫”

保密工作部門(mén)的組織協(xié)調(diào)能力如何，直接關(guān)系到工作進(jìn)展的順暢程度和工作效果的好壞。我們要做到既“合縱”又“聯(lián)橫”，不斷提高組織協(xié)調(diào)能力?！昂峡v”就是上下組織。首先我們要善于向領(lǐng)導(dǎo)匯報(bào)請(qǐng)示工作，積極爭(zhēng)取領(lǐng)導(dǎo)支持重視，由“抓領(lǐng)導(dǎo)”轉(zhuǎn)化為“領(lǐng)導(dǎo)抓”。其次是與各縣（區(qū)）、市直單位要加強(qiáng)溝通，部署任務(wù)，上傳下達(dá)，督促檢查，保持工作上的緊密聯(lián)系；“聯(lián)橫”就是協(xié)調(diào)左右。一是要加強(qiáng)與市保密委各成員單位的工作研究，完善保密工作協(xié)調(diào)聯(lián)系機(jī)制，推動(dòng)部門(mén)配合，發(fā)揮整體效能。二是統(tǒng)籌好跨行業(yè)垂直部門(mén)的保密工作，處理好垂直管理與分塊管理的關(guān)系。另則通過(guò)互通信息，整合力量，加強(qiáng)配合，力促保密執(zhí)法順利開(kāi)展。

3、堅(jiān)持督查與整改相結(jié)合

我市于每月15日開(kāi)展保密督查的“督查日”制度，作為保密督查常規(guī)化、制度化的手段和載體，在實(shí)際操作中顯示強(qiáng)盛生命力，是推動(dòng)“查漏補(bǔ)缺”工程的有效嘗試。我們要繼續(xù)執(zhí)行好“督查日”制度，通過(guò)督查幫助發(fā)現(xiàn)隱患，及時(shí)通報(bào)情況，提出整改意見(jiàn)。同時(shí)堅(jiān)持督查與整改相結(jié)合，以完善管理為目的，對(duì)受檢單位存在問(wèn)題的整改實(shí)行全程跟蹤，避免出現(xiàn)“檢查力度不少，過(guò)后問(wèn)題依舊”的被動(dòng)狀況，講究督查的實(shí)際效果，實(shí)現(xiàn)手段與目的相統(tǒng)一。

三、強(qiáng)調(diào)規(guī)范化，改善安全管理

隨著新技術(shù)，新手段的廣泛應(yīng)用，保密工作的安全形勢(shì)日益嚴(yán)峻。強(qiáng)調(diào)規(guī)范化，依法行政，按法律法規(guī)辦事，“不擇手段”地加強(qiáng)安全管理，是確保國(guó)家秘密安全的關(guān)健所在。

1、強(qiáng)化要害部門(mén)、部位的管理

我市保密要害部門(mén)、部位已經(jīng)過(guò)省里的審查確認(rèn)，當(dāng)務(wù)之急是規(guī)范管理。要嚴(yán)格按照中央、省出臺(tái)的管理實(shí)施細(xì)則要求，著重抓好人員的行為規(guī)范和保密場(chǎng)所的安全防范，落實(shí)好保密要害部門(mén)、部位的職責(zé)和監(jiān)督管理，加強(qiáng)動(dòng)態(tài)監(jiān)測(cè)，不定期開(kāi)展自查自糾，對(duì)照相關(guān)規(guī)定及時(shí)進(jìn)行“補(bǔ)課”，進(jìn)一步規(guī)范操作，改善管理。

2、抓好信息公開(kāi)與保密

從今年5月1日起，國(guó)務(wù)院《政府信息公開(kāi)條例》正式施行，各級(jí)政府行政機(jī)關(guān)的信息都要面對(duì)公開(kāi)與保密的選擇。我們應(yīng)做好充分準(zhǔn)備，堅(jiān)持“誰(shuí)公開(kāi)，誰(shuí)審查、誰(shuí)負(fù)責(zé)”的原則，明確審查機(jī)構(gòu)和人員，建立審查制度，落實(shí)責(zé)任，防范泄密。對(duì)公權(quán)力大、公益性強(qiáng)、公眾關(guān)注度高的部門(mén)應(yīng)列入重點(diǎn)管理，要加強(qiáng)業(yè)務(wù)培訓(xùn)，以公開(kāi)為常態(tài)，以不公開(kāi)為特例，力促科學(xué)、準(zhǔn)確、規(guī)范定密，使信息該保的保住，該公開(kāi)的能公開(kāi)，確保公開(kāi)與保密的規(guī)范化運(yùn)行。

篇9

【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng)；信息安全；風(fēng)險(xiǎn)評(píng)估；探索與思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面，缺少安全評(píng)估方法與模型研究。文獻(xiàn)[1]-[3]只初步分析了信息安全防護(hù)體系的構(gòu)架與策略，文獻(xiàn)[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護(hù)體系。這些成果都局限于單純的信息安全保障技術(shù)的改進(jìn)與應(yīng)用。少數(shù)文獻(xiàn)對(duì)電力信息安全評(píng)估模型進(jìn)行了討論，但對(duì)于安全風(fēng)險(xiǎn)評(píng)估模型的研究都不夠深入。文獻(xiàn)[6]、文獻(xiàn)[7]只定性指出了安全風(fēng)險(xiǎn)分析需要考慮的內(nèi)容；文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評(píng)估模型，這種模型本質(zhì)上依賴于專家的經(jīng)驗(yàn)，帶有主觀性；文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計(jì)的建模語(yǔ)言和定量化評(píng)估方法，但是并未對(duì)安全風(fēng)險(xiǎn)的評(píng)估模型進(jìn)行具體分析。

本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的相關(guān)工作，并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作在推動(dòng)行業(yè)信息安全保護(hù)方面帶給我們的啟示。

2 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估工作

隨著電網(wǎng)規(guī)模的日益擴(kuò)大，內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜，電網(wǎng)運(yùn)行對(duì)信息系統(tǒng)的依賴性不斷增加，對(duì)電力系統(tǒng)信息安全的要求也越來(lái)越高。因此，在電力行業(yè)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，研究電力信息安全問(wèn)題，顯得尤為必要。

根據(jù)國(guó)家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策，并根據(jù)實(shí)際業(yè)務(wù)情況，內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司（BJCA）對(duì)信息系統(tǒng)進(jìn)行了有效的信息安全風(fēng)險(xiǎn)評(píng)估工作。評(píng)估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個(gè)方面，以解決電力信息系統(tǒng)面臨的的安全風(fēng)險(xiǎn)。

3 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的解決方案

通過(guò)對(duì)內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作，我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的解決方案。

4 電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程

電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一般流程。

（1） 前期準(zhǔn)備階段。本階段為風(fēng)險(xiǎn)評(píng)估實(shí)施之前的必需準(zhǔn)備工作，包括對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行規(guī)劃、確定評(píng)估團(tuán)隊(duì)組成、明確風(fēng)險(xiǎn)評(píng)估范圍、準(zhǔn)備調(diào)查資料等。

（2） 現(xiàn)場(chǎng)調(diào)查階段：實(shí)施人員對(duì)評(píng)估信息系統(tǒng)進(jìn)行詳細(xì)調(diào)查，收集數(shù)據(jù)信息，包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素等。

（3） 風(fēng)險(xiǎn)分析階段：根據(jù)現(xiàn)場(chǎng)調(diào)查階段獲得的相關(guān)數(shù)據(jù)，選擇適當(dāng)?shù)姆治龇椒▽?duì)目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析。

（4） 策略制定階段：根據(jù)風(fēng)險(xiǎn)分析結(jié)果，結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略，包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。

5 數(shù)據(jù)采集

在風(fēng)險(xiǎn)評(píng)估實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。

（1） 調(diào)查表格。根據(jù)一定的采集目的而專門(mén)設(shè)計(jì)的表格，根據(jù)調(diào)查內(nèi)容、調(diào)查對(duì)象、調(diào)查方式、工作計(jì)劃的安排而設(shè)計(jì)。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。

（2） 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過(guò)技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性，并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用。

（3） 信息系統(tǒng)資料。風(fēng)險(xiǎn)評(píng)估還需要通過(guò)查閱、分析、整理信息系統(tǒng)相關(guān)資料來(lái)收集相關(guān)資料。如：系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級(jí)記錄、管理制度等。

a） 分析方法

風(fēng)險(xiǎn)評(píng)估的關(guān)鍵在于根據(jù)所收集的資料，采取一定的分析方法，得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論，因此，分析方法的正確選擇是風(fēng)險(xiǎn)評(píng)估的核心。

結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的實(shí)踐，我們認(rèn)為電力行業(yè)信息安全風(fēng)險(xiǎn)分析的方法可以分為三類。

定量分析方法是指運(yùn)用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀風(fēng)險(xiǎn)值，典型的定量分析方法有因子分析法、聚類分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。

定性分析方法主要依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過(guò)程。在實(shí)踐中，可以通過(guò)調(diào)查表和合作討論會(huì)的形式進(jìn)行風(fēng)險(xiǎn)分析，分析活動(dòng)會(huì)涉及來(lái)自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個(gè)部門(mén)的人員。

綜合分析方法中的安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。在某些情況下會(huì)要求采用定量方法，而在其他情況下定性的評(píng)估方法更能滿足組織需求。

表1概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)。

b） 質(zhì)量保證

鑒于風(fēng)險(xiǎn)評(píng)估項(xiàng)目具有一定的復(fù)雜性和主觀性，只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理，才能保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對(duì)整體項(xiàng)目的可控性，質(zhì)量保障活動(dòng)需要在評(píng)估項(xiàng)目實(shí)施中提供足夠的可見(jiàn)性，確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在內(nèi)蒙古電力風(fēng)險(xiǎn)評(píng)估的實(shí)踐中，設(shè)立質(zhì)量監(jiān)督員（或聘請(qǐng)獨(dú)立的項(xiàng)目監(jiān)理?yè)?dān)任）是一個(gè)有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn)，通過(guò)記錄審核、流程監(jiān)理、組織評(píng)審、異常報(bào)告等方式對(duì)項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。

6 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估的啟示

為了更好地開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，可以采取以下安全措施及管理辦法。

6.1 建立定期風(fēng)險(xiǎn)評(píng)估制度

信息安全風(fēng)險(xiǎn)管理是發(fā)達(dá)國(guó)家信息安全保障工作的通行做法。按照風(fēng)險(xiǎn)管理制度，適時(shí)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，或建立風(fēng)險(xiǎn)評(píng)估的長(zhǎng)效機(jī)制，將風(fēng)險(xiǎn)評(píng)估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來(lái)，讓風(fēng)險(xiǎn)評(píng)估成為信息安全保障工作運(yùn)行機(jī)制的基石。

6.2 編制電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則

由于所有的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件，并沒(méi)有給出具體實(shí)施過(guò)程、風(fēng)險(xiǎn)要素識(shí)別方法、風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)定級(jí)方法等，因此建議在國(guó)標(biāo)《信息安全風(fēng)險(xiǎn)評(píng)估指南》的框架下，編制適合電力公司業(yè)務(wù)特色的實(shí)施細(xì)則，根據(jù)選用的或自定義的風(fēng)險(xiǎn)計(jì)算方法，，制各種模板，以在電力信息系統(tǒng)實(shí)現(xiàn)評(píng)估過(guò)程和方法的統(tǒng)一。

6.3 加強(qiáng)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)設(shè)施建設(shè)，統(tǒng)一選配風(fēng)險(xiǎn)評(píng)估工具

風(fēng)險(xiǎn)評(píng)估工具是保障風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評(píng)估標(biāo)準(zhǔn)和評(píng)估方法，選擇配套的專業(yè)風(fēng)險(xiǎn)評(píng)估工具，向分支機(jī)構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測(cè)試等評(píng)估輔助工具，及向評(píng)估人員提供幫助的資產(chǎn)分類庫(kù)、威脅參考庫(kù)、脆弱性參考庫(kù)、可能性定義庫(kù)、算法庫(kù)等評(píng)估輔助專家系統(tǒng)。

6.4 統(tǒng)一組織實(shí)施核心業(yè)務(wù)系統(tǒng)的評(píng)估

由于評(píng)估過(guò)程本身的風(fēng)險(xiǎn)性，對(duì)于重要的實(shí)時(shí)性強(qiáng)、社會(huì)影響大的核心業(yè)務(wù)系統(tǒng)的評(píng)估，由電力公司統(tǒng)一制定評(píng)估方案、組織實(shí)施、指導(dǎo)加固整改工作。

6.5 以自評(píng)估為主，自評(píng)估和檢查評(píng)估相結(jié)合

自評(píng)估和檢查評(píng)估各有優(yōu)缺點(diǎn)，要發(fā)揮各自優(yōu)勢(shì)，配合實(shí)施，使評(píng)估的過(guò)程、方法和風(fēng)險(xiǎn)控制措施更科學(xué)合理。自評(píng)估時(shí)，通過(guò)對(duì)實(shí)施過(guò)程、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)算方法、評(píng)估結(jié)果、風(fēng)險(xiǎn)控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進(jìn)行分析，得出風(fēng)險(xiǎn)判斷。

6.6 風(fēng)險(xiǎn)評(píng)估與信息系統(tǒng)等級(jí)保護(hù)應(yīng)結(jié)合起來(lái)

信息系統(tǒng)等級(jí)保護(hù)若與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái)，則可相互促進(jìn)，相互依托。等級(jí)保護(hù)的級(jí)別是依據(jù)系統(tǒng)的重要程度和安全三性來(lái)定義，而風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合結(jié)果。通過(guò)風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)。確定安全等級(jí)后，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果作為實(shí)施等級(jí)保護(hù)、安全等級(jí)建設(shè)的出發(fā)點(diǎn)和參考，檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。

參考文獻(xiàn)

[1] 魏曉菁， 柳英楠， 來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略. 計(jì)算機(jī)安全，2004，6.

[2] 魏曉菁，柳英楠，來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究. 電力信息化，2004，2（1）.

[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護(hù)框架. 電力信息化，2004，2（7）.

[4] 梁運(yùn)華，李明，談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護(hù)體系探究. 電力信息化，2003，2（1）.

[5] 周亮，劉開(kāi)培，李俊娥. 一種安全的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù)，2004，28（23）.

[6] 陳其，陳鐵，姚林等. 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估策略研究. 計(jì)算機(jī)安全，2007，6.

[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)分析和評(píng)估. 計(jì)算機(jī)安全，2003（4）.

[8] 叢林，李志民，潘明惠等. 基于模糊綜合評(píng)判法的電力系統(tǒng)信息安全評(píng)估. 電力系統(tǒng)自動(dòng)化，2004，28（12）.

[9] 胡炎，謝小榮，辛耀中. 電力信息系統(tǒng)建模和定量安全評(píng)估. 電力系統(tǒng)自動(dòng)化，2005，29（10）.

作者簡(jiǎn)介：

篇10

根據(jù)監(jiān)獄安排部署，為進(jìn)一步增強(qiáng)監(jiān)區(qū)防控公共安全風(fēng)險(xiǎn)意識(shí)和責(zé)任意識(shí)，提高對(duì)公共安全風(fēng)險(xiǎn)的有效控制和應(yīng)對(duì)能力，提升安全防范意識(shí)和法治理念，吳忠監(jiān)獄二監(jiān)區(qū)按照《吳忠監(jiān)獄開(kāi)展“公共安全防范警示教育宣傳月”活動(dòng)實(shí)施方案》要求，扎實(shí)開(kāi)展"公共安全防范警示教育宣傳月"活動(dòng)?，F(xiàn)就活動(dòng)開(kāi)展情況總結(jié)如下：

    一、開(kāi)展“公共安全防范警示教育宣傳月”活動(dòng)安排及內(nèi)容。

（一）根據(jù)活動(dòng)實(shí)施方案，成立活動(dòng)領(lǐng)導(dǎo)小組，任務(wù)分工，責(zé)任到人。

自接到監(jiān)獄活動(dòng)通知后，監(jiān)區(qū)黨支部會(huì)議研究，緊鑼密鼓組織實(shí)施，根據(jù)《吳忠監(jiān)獄開(kāi)展“公共安全防范警示教育宣傳月”活動(dòng)實(shí)施方案》的要求，細(xì)化了活動(dòng)內(nèi)容，制定了活動(dòng)流程，成立了由監(jiān)區(qū)長(zhǎng)任組長(zhǎng)，教導(dǎo)員任副組長(zhǎng)，監(jiān)區(qū)其余警察為成員的活動(dòng)領(lǐng)導(dǎo)小組。

為配合活動(dòng)各項(xiàng)環(huán)節(jié)的實(shí)施，確保實(shí)效，監(jiān)區(qū)集中組織學(xué)習(xí)了活動(dòng)實(shí)施細(xì)則，統(tǒng)籌安排，按照責(zé)任分工，使得整個(gè)活動(dòng)的目標(biāo)明確 、組織設(shè)置完善、任務(wù)配套合理，確保了本次活動(dòng)的順利開(kāi)展。

（二）“公共安全防范警示教育宣傳月”活動(dòng)主要內(nèi)容。

    1.組織開(kāi)展“公共安全隱患大排查”活動(dòng)。

在監(jiān)區(qū)范圍內(nèi)組織開(kāi)展了一次公共安全風(fēng)險(xiǎn)隱患大排查，重點(diǎn)對(duì)監(jiān)內(nèi)外各類火災(zāi)隱患、食品衛(wèi)生、突發(fā)事件等進(jìn)行排查，全面細(xì)致查找在開(kāi)展公共安全教育培訓(xùn)、落實(shí)公共安全管理、防范公共安全風(fēng)險(xiǎn)能力等方面的風(fēng)險(xiǎn)點(diǎn)和薄弱環(huán)節(jié)，針對(duì)存在的問(wèn)題隱患進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定整改方案和應(yīng)急預(yù)案，進(jìn)一步完善工作機(jī)制。

2.組織開(kāi)展矛盾問(wèn)題集中排查教育化解活動(dòng)。

依托獄政部門(mén)開(kāi)展的矛盾糾紛大排查大調(diào)處專項(xiàng)活動(dòng)，認(rèn)真抓落實(shí)。

3.組織開(kāi)展“公共安全防范警示教育集中宣傳日”活動(dòng) 。

組織開(kāi)展了一次“公共安全防范警示教育集中宣傳日”活動(dòng)，采取擺放宣傳展板、懸掛標(biāo)語(yǔ)、實(shí)物演示和組織服刑人員現(xiàn)身說(shuō)法等形式開(kāi)展，努力提升警察職工罪犯安全防范意識(shí)和自救技能。

4.利用新媒體開(kāi)設(shè)“公共安全防范警示教育”主題宣傳專欄。

監(jiān)區(qū)充分發(fā)揮吳忠監(jiān)獄門(mén)戶網(wǎng)站、監(jiān)獄政務(wù)微博、獄內(nèi)電視臺(tái)、電子屏等的作用，開(kāi)設(shè)“公共安全防范警示教育”主題宣傳專欄。宣傳公共安全防范常識(shí)，推送安全防范等主題教育宣傳內(nèi)容，實(shí)現(xiàn)“公共安全防范警示教育”的“移動(dòng)化、可視化”，進(jìn)行互動(dòng)交流，增強(qiáng)互動(dòng)體驗(yàn)，方便警察職工罪犯學(xué)習(xí)安全防范知識(shí)。

5.開(kāi)展各類警示教育。

（1）.開(kāi)展加強(qiáng)治安防范、對(duì)涉眾型經(jīng)濟(jì)犯罪及新型互聯(lián)網(wǎng)金融領(lǐng)域犯罪防范、加強(qiáng)打擊傳銷及規(guī)范直銷、網(wǎng)絡(luò)安全等方面的警示教育。

（2）.開(kāi)展加強(qiáng)用水、用電、用氣等生活常識(shí)、加強(qiáng)食品藥品安全、加強(qiáng)公共衛(wèi)生管理和公共衛(wèi)生安全方面的警示教育。

（3）.開(kāi)展強(qiáng)化監(jiān)區(qū)警察防火消防意識(shí)和自防自救能力、加強(qiáng)安全生產(chǎn)等方面的警示教育。

二、“公共安全防范警示教育宣傳月”活動(dòng)取得的成績(jī)。                   

1.排查了監(jiān)區(qū)內(nèi)外各方面的風(fēng)險(xiǎn)點(diǎn)和薄弱環(huán)節(jié)，針對(duì)存在的問(wèn)題隱患進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定整改方案和應(yīng)急預(yù)案，進(jìn)一步完善了工作機(jī)制。

2.提升了監(jiān)區(qū)警察罪犯安全防范意識(shí)和自救技能。

3.提高了監(jiān)區(qū)警察的健康和衛(wèi)生安全防范理念。

4.提升了監(jiān)區(qū)警察的安全素質(zhì)和服刑人員的安全防范技能。

三、主要存在問(wèn)題。

本次“公共安全防范警示教育”活動(dòng)順利結(jié)束，我獄按照監(jiān)獄活動(dòng)安排，圓滿完成各項(xiàng)活動(dòng)內(nèi)容，實(shí)現(xiàn)了既定目標(biāo)，收到預(yù)期效果，活動(dòng)成效斐然，在肯定成績(jī)的同時(shí)，也存在一些問(wèn)題和不足，主要體現(xiàn)在：

（一）生產(chǎn)車間還存在一定的安全隱患。

在排查安全隱患的過(guò)程中發(fā)現(xiàn)，監(jiān)區(qū)車間由于原料和成品的堆放，存在一定的安全隱患。

（二）個(gè)別警察思想認(rèn)識(shí)不到位。

個(gè)別警察由于工作壓力大，任務(wù)重，對(duì)組織開(kāi)展活動(dòng)有看法，存在一定的認(rèn)識(shí)誤區(qū)。

通過(guò)宣傳教育，監(jiān)區(qū)警察和服刑人員公共安全防范知識(shí)得到普及，安全防范意識(shí)得到全面提升，樹(shù)立起了公共安全人人有責(zé)、人人盡責(zé)的良好氛圍。