序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗�,特別為您篩選了11篇安全審計培訓(xùn)范文。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識�!
篇1
目前,我國的安全生產(chǎn)形勢非常嚴(yán)峻�,在大安全的背景下,如何做好坪山新區(qū)的安全生產(chǎn)工作����,是時刻擺在新區(qū)安全專業(yè)工作者面前的一項艱巨任務(wù)。
一��、坪山新區(qū)開展安全培訓(xùn)工作的重要性
從現(xiàn)有安全事故的統(tǒng)計和分析來看��,導(dǎo)致安全事故發(fā)生的原因多元化但存在一定的規(guī)律�,歸納起來表現(xiàn)為四個方面:一是環(huán)境的不安全條件;二是管理上存在的缺陷;三是物(或機(jī)器)的不安全狀態(tài);四是人的不安全行為。對于事故的預(yù)防和控制��,就是消除或改變環(huán)境的不安全條件����、管理上的缺陷,消除物(或機(jī)器)的不安全狀態(tài)和人的不安全行為��,因此�,應(yīng)從工程技術(shù)、管理控制和培訓(xùn)教育入手,采取相應(yīng)對策�����。其中培訓(xùn)教育對策著重解決的是人的不安全行為問題���。
據(jù)統(tǒng)計�,新區(qū)安全生產(chǎn)領(lǐng)域近期幾起死亡事故都是由于人的不安全行為引起�。人往往會成為事故的受害者和承擔(dān)者,其某種行為的發(fā)生與人的性別�����、年齡�、性格、所處環(huán)境����、受教育或培訓(xùn)程度有密切的關(guān)系�����。大量事故案例證明��,加強(qiáng)安全培訓(xùn)是減少或消除人的不安全行為最直接�����、最有效的方式。
通過安全培訓(xùn)����,可以引導(dǎo)新區(qū)企業(yè)和個體樹立正確的安全意識和安全理念,增強(qiáng)人的安全技能���,改善不良安全習(xí)慣���,達(dá)到避免和減少各類生產(chǎn)安全事故發(fā)生的目的。
二�����、坪山新區(qū)安全培訓(xùn)存在問題剖析
(一)從培訓(xùn)廣度看���,安全培訓(xùn)覆蓋面不足
新區(qū)目前僅安全生產(chǎn)培訓(xùn)機(jī)構(gòu)1家�����,即坪山新區(qū)化技術(shù)學(xué)院����,現(xiàn)有專職教師(大學(xué)本科)5人(其中高級技師2人,技師3人��,經(jīng)省安監(jiān)局考核合格的專職老師2人)���,兼職教師(大學(xué)本科)2人�����,均為技師���。2010年實際培訓(xùn)800人,其種作業(yè)人員600人���,安全培訓(xùn)缺乏應(yīng)有的力度����。
(二)從企業(yè)類型看���,中小企業(yè)安全培訓(xùn)工作薄弱
新區(qū)經(jīng)濟(jì)效益較好,規(guī)模較大�、成立時間較長的大企業(yè)安全生產(chǎn)管理基礎(chǔ)較好,安全培訓(xùn)工作相對比較健全。而中小型企業(yè)由于經(jīng)濟(jì)效益和規(guī)模的制約�����,安全規(guī)章制度不夠健全�����,安全培訓(xùn)工作差強(qiáng)人意���。隨著中小企業(yè)的迅速發(fā)展����,薄弱的安全培訓(xùn)工作使廣大從業(yè)人員安全意識淡薄�����,缺乏應(yīng)有的安全技能和安全知識�,給新區(qū)安全生產(chǎn)工作造成嚴(yán)重的安全隱患。
(三)從培訓(xùn)自主性看�����,安全培訓(xùn)缺乏積極性和主動性
新區(qū)成立以來加大了安全生產(chǎn)宣傳培訓(xùn)教育力度���,利用新聞媒體等各種渠道和方式����,對安全生產(chǎn)法律法規(guī)和安全培訓(xùn)的重要性進(jìn)行了廣泛而深入的宣傳。但是���,仍然存在部分生產(chǎn)經(jīng)營單位對應(yīng)參加的安全培訓(xùn)不能按要求參加��,在思想上對安全培訓(xùn)工作不夠重視��,缺乏必要的工作力度和支持措施�,導(dǎo)致培訓(xùn)率不足的問題�,使安全培訓(xùn)工作一定程度上處于被動應(yīng)付狀態(tài)。
三����、完善坪山新區(qū)安全培訓(xùn)的對策分析
(一)加大安全宣傳力度,強(qiáng)化安全意識
安全意識在安全生產(chǎn)中至關(guān)重要���,強(qiáng)化安全意識的重要手段就是加強(qiáng)安全理念的宣傳����,用先進(jìn)的安全理念引導(dǎo)職工日常工作和生活���。"預(yù)防為主���、安全第一"、"安全就是效益"��、"生產(chǎn)服從安全"等安全觀念���,使新區(qū)企業(yè)樹立安全目標(biāo)���,職工樹立安全方向。
同時�,安全理念能否倡導(dǎo)下去,需要全體職工的認(rèn)同理解和接受執(zhí)行��,要充分利用新聞媒體�,組織開展對安全理念的宣傳學(xué)習(xí)活動,掀起新區(qū)學(xué)習(xí)理念�、踐行理念。要通過開展"安全生產(chǎn)月"�����、"安全警示日"��、"消防宣傳日"等活動,加強(qiáng)宣傳力度�,以各種宣傳教育活動為載體,不斷提高企業(yè)職工的安全素養(yǎng)�����,改進(jìn)其安全意識和行為�����,從而使職工從被動服從管理的狀態(tài)�����,轉(zhuǎn)變成自覺主動地按要求采取行動���,形成良好的安全氛圍��。
(二)成立宣教培訓(xùn)中心�����,提升培訓(xùn)水平
根據(jù)新區(qū)安全培訓(xùn)實際�����,要加速整合新區(qū)安全生產(chǎn)教育培訓(xùn)資源��,搭建新區(qū)安全生產(chǎn)公共教育培訓(xùn)平臺��,探索建立新區(qū)安全生產(chǎn)公共教育培訓(xùn)模式和工作機(jī)制�,充分發(fā)揮安全生產(chǎn)宣教培訓(xùn)中心職能�,全面提升新區(qū)安全生產(chǎn)培訓(xùn)水平。
一是制定并組織實施全區(qū)安全生產(chǎn)宣傳教育計劃��。根據(jù)新區(qū)年度安全生產(chǎn)宣教培訓(xùn)計劃��,開展全區(qū)性重大安全生產(chǎn)宣傳教育活動����,總結(jié)、推廣安全生產(chǎn)科學(xué)技術(shù)��、先進(jìn)典型和先進(jìn)經(jīng)驗��。二是有序開展新區(qū)分類分批培訓(xùn)工作����。根據(jù)不同群體的培訓(xùn)需求,編制印發(fā)公共培訓(xùn)教材���,組織新區(qū)�����、辦事處����、社區(qū)安監(jiān)系統(tǒng)內(nèi)工作人員依法行政的培訓(xùn)學(xué)習(xí),以及生產(chǎn)經(jīng)營單位企業(yè)負(fù)責(zé)人���、安全管理人員�、安全主任培訓(xùn)��、再培訓(xùn)的組織和管理及協(xié)助發(fā)證工作���。三是做好溝通協(xié)調(diào)����、數(shù)據(jù)報送工作���。按照市����、區(qū)有關(guān)事權(quán)劃分,對轄區(qū)內(nèi)安全生產(chǎn)培訓(xùn)教育社會辦學(xué)機(jī)構(gòu)進(jìn)行指導(dǎo)��,同時加強(qiáng)與上級職能部門���、兄弟單位的溝通協(xié)調(diào)�,及時報送和安全生產(chǎn)管理方面的重要信息���。
(三)落實企業(yè)主體責(zé)任,夯實培訓(xùn)體系
我國現(xiàn)行的是"政府統(tǒng)一領(lǐng)導(dǎo)�、部門依法監(jiān)管、企業(yè)全面負(fù)責(zé)��、群眾參與監(jiān)督����、全社會廣泛支持"的安全生產(chǎn)體制。根據(jù)法律法規(guī)相關(guān)規(guī)定�����,企業(yè)是安全生產(chǎn)的責(zé)任主體���,必須依法落實安全生產(chǎn)責(zé)任�,履行安全生產(chǎn)義務(wù),對預(yù)防事故的發(fā)生承擔(dān)相應(yīng)的責(zé)任�,對本單位的安全生產(chǎn)管理工作全面負(fù)責(zé)。
在安全培訓(xùn)方面�����,要建立以企業(yè)為基礎(chǔ)的安全培訓(xùn)體系�,主要加強(qiáng)以下幾方面的工作:一是加強(qiáng)安全培訓(xùn)的組織領(lǐng)導(dǎo)。企業(yè)要把安全培訓(xùn)教育納入企業(yè)的發(fā)展戰(zhàn)略中����,企業(yè)的負(fù)責(zé)人、安全管理人員要自覺成為安全培訓(xùn)的模范和榜樣�,帶頭參加培訓(xùn),熟悉相關(guān)法律�、法規(guī)、規(guī)章制度及安全管理�、事故救援要點;二是制定企業(yè)安全培訓(xùn)規(guī)劃��。企業(yè)要根據(jù)本單位生產(chǎn)發(fā)展的總體戰(zhàn)略目標(biāo)和階段性工作目標(biāo)�����,按照不同級別、不同類別人員����,制定符合企業(yè)實際需要的安全培訓(xùn)長期和短期規(guī)劃;三是加強(qiáng)企業(yè)安全培訓(xùn)制度建設(shè)���。企業(yè)要對安全培訓(xùn)工作登記建檔��,嚴(yán)格培訓(xùn)考核獎懲制度�����,把全員安全培訓(xùn)的理念落實到每個職工身上;四是加大企業(yè)安全培訓(xùn)投入��。企業(yè)要充分認(rèn)識到培訓(xùn)投入是效益最大的投入���、人力資源是第一資源����,高度重視安全培訓(xùn)����,加強(qiáng)對培訓(xùn)設(shè)施、師資、教材的投入�����,為企業(yè)安全培訓(xùn)工作提供堅實的物質(zhì)保障���。
(四)加強(qiáng)安全培訓(xùn)考核����,完善監(jiān)督機(jī)制
篇2
【摘 要】在全國經(jīng)濟(jì)步入“新常態(tài)”���,煤炭企業(yè)困難加劇的大形勢下���,擬就煤礦安全培訓(xùn)機(jī)構(gòu)如何通過內(nèi)部挖潛,積極培養(yǎng)各方面的專門人才�,努力打造職業(yè)化師資隊伍,提高煤礦安全培訓(xùn)效率����,提出了對策和解決辦法。
關(guān)鍵詞 師資建設(shè)�����;深挖潛力;做法初探
安陽鑫龍煤業(yè)(集團(tuán))技工學(xué)校目前是永煤集團(tuán)安陽鑫龍煤業(yè)(集團(tuán))有限責(zé)任公司所屬唯一的三級培訓(xùn)機(jī)構(gòu)�,主要承擔(dān)該公司煤礦特種作業(yè)人員的安全技術(shù)培訓(xùn)工作。近兩年隨著企業(yè)經(jīng)營困難加劇���,該校以打造職業(yè)化師資隊伍為目標(biāo)���,以深挖內(nèi)部師資潛力抓手,不斷強(qiáng)化教師隊伍建設(shè)��,拓寬教師來源渠道����,建立和完善教師培養(yǎng)培訓(xùn)制度,加強(qiáng)優(yōu)秀教師團(tuán)隊的建設(shè)�,尤其是強(qiáng)化專業(yè)課教師的技能訓(xùn)練,建立新型的培訓(xùn)模式��,努力建設(shè)一支“高尚��、卓越�、受人尊敬”的掌握高新技術(shù)�����、技能的專、兼職教師隊伍����。本文從該校三級培訓(xùn)機(jī)構(gòu)師資建設(shè)的角度,提出在現(xiàn)有形勢下提高煤礦安全培訓(xùn)師資建設(shè)水平的對策�。
1 師資隊伍建設(shè)工作中存在的普遍問題
1.1 專業(yè)課教師引進(jìn)渠道不暢
目前,隨著煤炭企業(yè)效益的下滑�,安全培訓(xùn)機(jī)構(gòu)師資力量不足、引進(jìn)渠道不暢等老問題更加凸顯出來����。培訓(xùn)機(jī)構(gòu)專業(yè)課教師的缺口日益加大。
1.2 師資隊伍質(zhì)量需要提高
當(dāng)前安陽鑫龍煤業(yè)(集團(tuán))技工學(xué)校專業(yè)課教師主要由兩類人員組成:一是高校畢業(yè)生�。其中大多數(shù)缺乏企業(yè)實踐經(jīng)歷。二是“半路出家”的專業(yè)課教師����,即根據(jù)教學(xué)需要從基層單位選拔部分技術(shù)較好的人員來承擔(dān)專業(yè)的教學(xué)任務(wù),系統(tǒng)的理論知識較薄弱��。
1.3 具有一定知名度的專業(yè)帶頭人嚴(yán)重不足
該校雖然擁有一定數(shù)量的學(xué)科帶頭人��、骨干教師等����,但其數(shù)量與安全培訓(xùn)的發(fā)展規(guī)模相比較��,明顯不足���,具有一定知名度的專業(yè)帶頭人則更少。
1.4 培訓(xùn)教師知識更新速度慢
授課教師雖然具備極其豐富的現(xiàn)場生產(chǎn)技術(shù)管理經(jīng)驗����,但受工作性質(zhì)和條件影響,有些“知識更新”沒有及時跟上�����,在授課時難以取得培訓(xùn)實效��。在授課過程中����,只憑“老教案”進(jìn)行講解,達(dá)不到“針對性�、可操作性”的目的。
1.5 師資培訓(xùn)機(jī)制不健全
要提高培訓(xùn)質(zhì)量�����,就要做好對培訓(xùn)者的培訓(xùn)�����。企業(yè)現(xiàn)在對生產(chǎn)一線員工的培訓(xùn)十分重視�����,但對培訓(xùn)機(jī)構(gòu)師資的培訓(xùn)缺少必要的政策和有效的措施�。
2 現(xiàn)形勢下關(guān)于安全培訓(xùn)師資建設(shè)的做法
2.1 籌建高級培訓(xùn)師工作室,深挖內(nèi)部師資潛力
該校在師資建設(shè)方面深挖內(nèi)部師資潛力�����,選拔了四名既有扎實的理論知識���,又有豐富的現(xiàn)場經(jīng)驗的資深教師組建了高級培訓(xùn)師工作室��,其目的是結(jié)合礦區(qū)生產(chǎn)實際����,對安全培訓(xùn)進(jìn)行“問診把脈”���,高效整合培訓(xùn)內(nèi)容�����,設(shè)計培訓(xùn)授課方式����,分析、總結(jié)現(xiàn)有教學(xué)經(jīng)驗�,提出培訓(xùn)管理與課程完善的合理化建議;根據(jù)培訓(xùn)要求和對象特點編制培訓(xùn)講義�、課件,進(jìn)行培訓(xùn)課程研發(fā)�����,并通過積極聽課���、評課��、調(diào)研等��,對教學(xué)經(jīng)驗不足的教師和新教師進(jìn)行幫教��、指導(dǎo)���,大幅度提高整個教師隊伍的授課技能和培訓(xùn)內(nèi)容的針對性。
2.2 強(qiáng)化“三個師團(tuán)”建設(shè),打造職業(yè)化教師團(tuán)隊
近兩年來���,該校持續(xù)深耕安全知識教師團(tuán)、技能提升導(dǎo)師團(tuán)和潛能開發(fā)講師團(tuán)“三個師團(tuán)”建設(shè)���,并以此為抓手�����,打造職業(yè)化師資團(tuán)隊�����,取得了顯著成效�。其中尤以技能提升導(dǎo)師團(tuán)建設(shè)為重點�����,從鑫龍煤業(yè)現(xiàn)有的技術(shù)能手��、技師�、高級技師中選拔了249人擔(dān)任技能導(dǎo)師,使其有任務(wù)���、有目標(biāo)����,并通過創(chuàng)新“4321”實操考核辦法,強(qiáng)化實操培訓(xùn)效果�����,使職工的技能水平得到不斷提高�����。
2.3 成立專業(yè)化教研組��,提高培訓(xùn)的針對性
為使培訓(xùn)內(nèi)容更加貼近安全生產(chǎn)各專業(yè)工作需要�,該校統(tǒng)籌鑫龍煤業(yè)現(xiàn)有專業(yè)技術(shù)資源,成立了采掘?qū)I(yè)�、機(jī)電專業(yè)、通風(fēng)安全專業(yè)等11個專業(yè)教研組����,讓各專業(yè)化教研組成員在傳統(tǒng)課堂理論P(yáng)PT教學(xué)方法方式的基礎(chǔ)上,重點采用視頻教學(xué)����、案例教學(xué)���、分組討論教學(xué)、現(xiàn)身說法���、動畫播放�、圖紙會審等方式方法��,發(fā)揮自身專業(yè)和現(xiàn)場經(jīng)驗豐富的優(yōu)勢�,把枯燥無味的課本知識����,用解讀員工身邊事等員工喜聞樂見的方式傳授給學(xué)員,既提高了員工學(xué)習(xí)的興趣�����,還達(dá)到與技校專業(yè)教師理論教學(xué)優(yōu)勢互補(bǔ)���,鞏固理論教學(xué)效果目的���。不僅使授課形式實現(xiàn)了的多樣化,還擴(kuò)充了師資隊伍規(guī)模����。
2.4 走出去請進(jìn)來��,確保教師全員持證和知識更新
在“走出去”方面���,該校一是嚴(yán)格按照“承擔(dān)安全培訓(xùn)的教師100%參加每年的知識更新培訓(xùn)”的要求,分批次安排教師參加上級管理部門組織的安全師資再培訓(xùn)和取證培訓(xùn)�,確保安全培訓(xùn)教師全部持證上崗,以滿足安全培訓(xùn)的需求��;二是定期組織教師���、培訓(xùn)管理人員到外部單位考察學(xué)習(xí)培訓(xùn)工作����,引進(jìn)好的培訓(xùn)經(jīng)驗�����。在“請進(jìn)來”方面��,邀請知名專家��、教授以及其他煤炭企業(yè)的高級技術(shù)人員前來開班專題講座���,讓教師與其進(jìn)行交流���、互動����,實現(xiàn)提升授課技能和授課水平的目的����。
2.5 積極參加各種教學(xué)比賽���,以賽促教學(xué)水平提升
近年來����,該校積極鼓勵專�、兼職教師參加國內(nèi)各種教學(xué)比賽,相繼有多名教師的課件�、論文和教案在國家、省級大賽上獲得獎項��,他們在為個人爭取榮譽(yù)的同時�����,也提升了自身的教學(xué)水平。
2.6 開展授課技能大賽�����,促教師技能整體提升
每年舉辦一次“內(nèi)部培訓(xùn)師授課技能大賽”��。為使比賽賽出成績�、水平,要求專兼職教師全員參與說課���,并相互之間進(jìn)行評課��,同時聘請師范院校專家教授進(jìn)行現(xiàn)場指導(dǎo)��,最終以先初賽再決賽的形式選出年度優(yōu)勝者�����。全體專��、兼職教師通過評課�、說課����、培訓(xùn)�����、課件和教案反復(fù)修改和現(xiàn)場比賽�,可有力促進(jìn)教師授課技能的整體提升�。
2.7 建立激勵機(jī)制,提高教師待遇
篇3
道路安全審計(Road Safely Audits�����,簡稱RSA)是從預(yù)防交通事故����、降低事故產(chǎn)生的可能性和嚴(yán)重性人手�,對道路項目建設(shè)的全過程,即規(guī)劃��、設(shè)計��、施工和服務(wù)期進(jìn)行全方位的安全審核���,從而揭示道路發(fā)生事故的潛在危險因素及安全性能����,是國際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項新技術(shù)手段。其目標(biāo)是:確定項目潛在的安全隱患�;確保考慮了合適的安全對策�����;使安全隱患得以消除或以較低的代價降低其負(fù)面影響�,避免道路成為事故多發(fā)路段;保障道路項目在規(guī)劃����、設(shè)計、施工和運(yùn)營各階段都考慮了使用者的安全需求�,從而保證現(xiàn)已運(yùn)營或?qū)⒔ㄔO(shè)的道路項目能為使用者提供最高實用標(biāo)準(zhǔn)的交通安全服務(wù)。
1 道路安全審計的起源與發(fā)展
1991年����,英國版的《公路安全審計指南》問世,這標(biāo)志著安全審計有了系統(tǒng)的體系�。從1991年4月起,安全審計成為英國全境主干道��、高速公路建設(shè)與養(yǎng)護(hù)工程項目必須進(jìn)行的程序�,使英國成為安全審計的重要發(fā)起與發(fā)展國。而我國則是在20世紀(jì)90年代中期開始發(fā)展安全審計,主要有兩個渠道:①以高等院校為主的學(xué)者通過國際學(xué)術(shù)交流與檢索國外文獻(xiàn)��,從理論體系的角度引入道路安全審計的理論��;②通過世界銀行貸款項目的配套科研課題����。在工程領(lǐng)域開展道路安全審計的實踐。
目前���,在澳大利亞��、丹麥��、英國���、冰島、新西蘭和挪威等國已定期地執(zhí)行道路安全審計�����,德國����、芬蘭�、法國�、意大利�、加拿大、荷蘭�����、葡萄牙����、泰國以及美國正處于實驗或試行階段,其他許多國家也在就道路安全審計的引入進(jìn)行檢驗�,比如希臘等國家。國外研究表明��,道路安全審計可有效地預(yù)防交通事故����,降低交通事故數(shù)量及其嚴(yán)重度,減少道路開通后改建完善和運(yùn)營管理費(fèi)用���,提升交通安全文化����,其投資回報是15~40倍。
道路安全審計在我們道路建設(shè)中的重要性�,不僅僅是在提高安全性方面,對經(jīng)濟(jì)性也有幫助����。而山區(qū)道路的安全比起一般道路來講,就更應(yīng)該引起我們的注意��,畢竟山區(qū)道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰(zhàn)��,而且其發(fā)生事故的死亡率也比其他道路高很多�����,因此��,審計對于山區(qū)道路來說是至關(guān)重要的�����。
2 山區(qū)道路安全審計內(nèi)容
加拿大等國家認(rèn)為��,在項目建設(shè)的初步設(shè)計階段進(jìn)行道路安全審計最重要�、最有效,因而早期的道路安全審計主要重點是在項目建設(shè)的初步設(shè)計階段?���,F(xiàn)世界各國都普遍認(rèn)為可在已運(yùn)營的道路和擬建道路項目建設(shè)期的全過程實行安全審計,即在規(guī)劃或可行性研究���、初步設(shè)計�、施工圖設(shè)計����、道路通車前期(預(yù)開通)和開通服務(wù)期(后評估階段)都有所側(cè)重地實行審計。山區(qū)道路安全審計同樣與其他道路的安全審計工作內(nèi)容一樣�����。
3 審計要素
典型的道路安全審計過程為:組建審計組+設(shè)計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結(jié)果+設(shè)計隊研究��、編寫響應(yīng)報告-審計報告及響應(yīng)報告共同構(gòu)成項目安全文件�����。
整個安全審計的時間一般為兩周左右���。為保證安全審計的質(zhì)量�����,審計組人員的構(gòu)成至關(guān)重要����。審計組的人數(shù)依項目的規(guī)模大小一般由26人組成,審計組應(yīng)由不同背景��、不同經(jīng)歷�����、受過培訓(xùn)�、經(jīng)驗豐富、獨(dú)立的人員(與設(shè)計隊無直接關(guān)聯(lián))組成����。審計人員一般應(yīng)具備交通安全、交通工程�、交通運(yùn)行分析、交通心理���、道路設(shè)計���、道路維護(hù)、交通運(yùn)營及管理����、交通法律法規(guī)等方面的知識��,應(yīng)保證審計組人員相互間能平等、自由地交流��、討論和商議安全問題��。審計人員應(yīng)本著對社會(用戶)負(fù)責(zé)的態(tài)度�、安全第一的觀點,依據(jù)道路標(biāo)準(zhǔn)規(guī)范���,對項目各種設(shè)計參數(shù)��、弱勢用戶�、氣候環(huán)境等的綜合組合��,展開道路安全審計��。道路安全審計人員(審計組)與設(shè)計人員(設(shè)計隊)的區(qū)別在于:設(shè)計人員需要綜合考慮項目投資�����、土地��、政治、地理�、地形、環(huán)境���、交通�����、安全等方方面面的因數(shù)�����,限于經(jīng)驗���、時間的約束,對安全問題難免有所偏頗��。而安全審計人員不考慮項目投資��、建設(shè)背景等因數(shù)�,僅僅考慮安全問題,只提安全建議����,最后由設(shè)計人員決定:采納���、改進(jìn)或不采納。因而可以說道路安全審計的關(guān)鍵點為:它是一個正式的��、獨(dú)立進(jìn)行的審計過程�,須由有經(jīng)驗的、有資格的人員從事這一工作��,要考慮到道路的各種用戶���,最重要的一點是只考慮安全問題。
安全審計報告一般應(yīng)包括:設(shè)計人及審計組簡述�����、審計過程及日期��、項目背景及簡況�、圖紙等,對確認(rèn)的每一個潛在危險因素都應(yīng)闡述其地點�、詳細(xì)特征、可能引發(fā)的事故(類型)���、事故的頻率及嚴(yán)重度評估�����、改進(jìn)建議及該建議的可操作性(實用性)等�。審計報告應(yīng)易于被設(shè)計人員接受并實施。響應(yīng)報告應(yīng)由項目設(shè)計人員編寫��,其內(nèi)容—般應(yīng)包括:對審計報告指出的安全缺陷是否接受���,如不接受應(yīng)闡述理由���,對每一改進(jìn)建議應(yīng)一一響應(yīng),采納�����、部分采納或不采納�����,并闡明原因���。
4 現(xiàn)有山區(qū)道路的安全審計
對現(xiàn)狀山區(qū)道路進(jìn)行安全審計����,主要評估現(xiàn)狀道路潛在事故危險性,同時提出改進(jìn)措施以降低未來發(fā)生事故的可能性?��,F(xiàn)狀道路的安全審計與新建道路相類似�,也需進(jìn)行上面所提到的工作���,但現(xiàn)場調(diào)查以及評估資料及文件這兩步與新建道路有所不同����。此時事故資料被作為欲審計資料的重要組成部分����,同時該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細(xì)資料�����。
理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計應(yīng)該建立在有規(guī)律的基礎(chǔ)之上��。它可以以連續(xù)幾年審計的結(jié)果為基礎(chǔ)��,采用滾動式的審計方式對路網(wǎng)中的每條道路都進(jìn)行評估����。對于里程較長的道路(一般>100km)���,其安全審計工作可按兩階段進(jìn)行,即初步審計階段和詳細(xì)審計階段���。前者主要對道路總體上進(jìn)行粗略審計�,給出存在的主要問題及所處位置���,后者則對找到的問題進(jìn)行進(jìn)一步的詳細(xì)分析并提出相應(yīng)的改進(jìn)建議�����。對里程較短的道路(
由于欲審計道路已修建完成并已經(jīng)運(yùn)營�,此時現(xiàn)場調(diào)查就顯得非常重要���。不管是擬建道路或已建道路����、線內(nèi)工程還是線外工程�,安全審計工作必須全方位細(xì)致地進(jìn)行。要考慮不同道路使用者對道路安全性能的不同需求���。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼��;②半徑太小可能使得駕駛員無法在規(guī)定視距范圍內(nèi)看到對方�����;③山體的穩(wěn)定性也可能會影響到駕駛員��。
另外��,現(xiàn)狀山區(qū)道路的安全審計工作還要調(diào)查不同的道路類型��,例如白天���、黑夜����、干燥����、潮濕等情況對道路的影響��。此外�����,對現(xiàn)有道路網(wǎng)絡(luò)的安全審計可結(jié)合養(yǎng)護(hù)工作同時進(jìn)行,這樣可減 少相應(yīng)的成本費(fèi)用�����。
5 我國山區(qū)道路的審計現(xiàn)狀及問題和解決方法
5.1審計現(xiàn)狀及問題
由于目前審計這個名詞在國內(nèi)還算比較新鮮�,國外從起步發(fā)展到現(xiàn)在也不過十來年的時間,各方面都只是處于實驗或者是試行階段��,并沒有固定的一套理論依據(jù)���。而我國相對外國來說又是落后了好幾年���,因此我國現(xiàn)在總體的審計現(xiàn)狀也就處于探索階段,各個方面也是處于起步階段��,不可能對各個方面的審計工作做到非常的完善��。而道路的審計不過是眾多審計工作中的一小部分����,由于其本身的“新鮮性”,又對審計人員的要求較高���,西部一些貧困地區(qū)教育跟不上�����,審計的人才缺乏也不是沒有可能�����,設(shè)備等亦未全部到位�。山區(qū)道路安全審計工作的開展較一般道路可能要更加的困難,因為山區(qū)道路多是停山臨崖����,彎道又多,坡度又大等各方面因素是其工作的開展要難與一般道路��;更有甚者像那些偏僻地區(qū)的山區(qū)道路���,可能路面的質(zhì)量都無法保證�,更不要提進(jìn)行什么安全審計�����。
5.2解決方法
要改善我國目前的這種安全審計情況��,需要全國各個方面的努力與配合����,不過政府要有所規(guī)定,我們民間也要有這方面的意識�。筆者簡單列出幾項:①國家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進(jìn)行安全審計����;②地方政府部門要加強(qiáng)管理;③加強(qiáng)對審計人員的培訓(xùn)����;④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區(qū)���;⑥提高我國的經(jīng)濟(jì)實力��。
6 結(jié)束語
山區(qū)道路的安全審計工作與其他道路的安全審計總體上應(yīng)該說差不多����,當(dāng)然山區(qū)的那種獨(dú)特的環(huán)境使得審計工作的重點可能不僅僅局限與一般的道路�����,不要認(rèn)為山區(qū)道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家���,山區(qū)道路對于我國各個地區(qū)的經(jīng)濟(jì)往來的作用不言而譽(yù)�����。通過安全審計���,加強(qiáng)了全國各地交流。對于我國的經(jīng)濟(jì)發(fā)展有百利而無一害��。國內(nèi)山區(qū)道路建設(shè)的實際情況對道路安全審計進(jìn)行了較為系統(tǒng)的分析研究并得出以下結(jié)論:
篇4
1.空管安全管理體系概述
空管安全管理體系包括空域管理�����、空中交通流量管理和空中交通服務(wù)(包括空中交通管制服務(wù))在內(nèi)的系統(tǒng)性的安全管理問題�。
空管安全管理體系研究現(xiàn)狀
安全始終是民航界的首要問題,在民航界具有重要影響的組織或國家都幾乎一致地將空中交通管理系統(tǒng)的安全管理問題升級為一個具有現(xiàn)代管理學(xué)科意味的系統(tǒng)性安全管理問題來對待��,在繼承傳統(tǒng)安全管理經(jīng)驗(尤其是其中所包含的安全管理文化精髓)的同時����,人們已經(jīng)更加重視依托現(xiàn)代安全管理理念、策略和科學(xué)方法(包括基于電子計算機(jī)技術(shù)的安全管理決策支持工具)去全面解決空管系統(tǒng)的安全管理問題�。目前,還沒有一個標(biāo)準(zhǔn)統(tǒng)一的體系來對空管單位進(jìn)行安全評估和審計�,各單位的標(biāo)準(zhǔn)不一,審計手段也各不相同��。隨著民航業(yè)的飛速發(fā)展�����,空中交通流量的劇增���,工作壓力越來越大�,造成空管單位的安全隱患與日俱增��。
2.空管安全審計
2.1 空管安全審計概述
空管安全審計可以讓管理層有效掌握空中交通服務(wù)系統(tǒng)的安全狀況和需要改進(jìn)的缺陷�,它是一種識別潛在問題的有效手段,是一項未雨綢繆的預(yù)防性安全管理活動���。
作為安全管理體系的一部分���,內(nèi)部安全審計所體現(xiàn)的內(nèi)部安全管理作用在于:確保運(yùn)行安全風(fēng)險得以識別,導(dǎo)致安全問題的誘因得以辨識���;通過強(qiáng)化安全指令和程序的遵守���、人力資源配置����、提高人員素質(zhì)和培訓(xùn)等�����,確保具有良好的安全管理體系架構(gòu)��;確保應(yīng)對突發(fā)緊急情況的安全措施得當(dāng)����;確保設(shè)備性能能夠滿足保證安全所需;在促進(jìn)安全�、監(jiān)測安全性能和處理安全問題方面,保證各項管理措施切實有效��。
2.2空管安全審計原則
(1)安全審計的目的在于了解實際情況���,不得有任何指責(zé)和懲罰方面的暗示���。
(2)被審計者應(yīng)當(dāng)給審計者提供一切相關(guān)安全管理實證或文件,安排必要人員供審計者了解情況。
(3)安全審計應(yīng)當(dāng)客觀地調(diào)查取證�����。
(4)應(yīng)當(dāng)在規(guī)定的時間內(nèi)給被審計單位提供書面報告�����,闡述發(fā)現(xiàn)的問題并提出建議��。
(5)應(yīng)當(dāng)向被審計單位提供有關(guān)審計結(jié)果的反饋意見�����。反饋意見應(yīng)當(dāng)突出審計中所觀察到的問題�����,必須找出不足之處�����,但也要盡可能回避消極的批評�。
2.3空管安全審計計劃
簡介:說明這是哪一項安全審計的正式文件���,介紹報告的各章��。
參考文件列表:列出審計中使用的所有文件依據(jù)背景:描述審計原因�,說明這是正常審計還是由于特殊原因(例如:發(fā)現(xiàn)安全風(fēng)險,觀察到不安全事件等)而進(jìn)行的審計�����。
目的:按照審計計劃描述審計的目標(biāo)和范圍���。如果在審計過程中發(fā)生了影響審計目標(biāo)完成的事件�,應(yīng)當(dāng)在此描述��,并且闡述事件造成的后果�。
人員:列出參加審計的人員
受審計的單位:列出受審計的單位名稱
計劃日期:注上當(dāng)日日期
2.4在空中交通服務(wù)系統(tǒng)的安全審計應(yīng)當(dāng)遵循以下原則:
(1) 觀察結(jié)果和建議的內(nèi)容應(yīng)與最后討論會、審計報告草案及最終審計報告中的談?wù)摶蚍Q述保持一致����。
(2) 審計結(jié)論應(yīng)當(dāng)有充分的證據(jù)支撐;對觀察結(jié)果和建議的闡述應(yīng)當(dāng)清晰簡要��。
(3) 觀察結(jié)果應(yīng)當(dāng)具體明確��,并客觀地陳述觀察結(jié)果�。
(4)要應(yīng)用廣泛接受的航空術(shù)語而不要用縮略語和俗語��。
(5)避免直接批評某個人或某個職位�。
2.5審計員應(yīng)當(dāng)在訪談時應(yīng)當(dāng)遵照以下原則:
(1)聆聽——讓講話的人知道你在聽他講��;
(2)保持中立——不要當(dāng)面表達(dá)不一致的意見����,不要隨意打斷對方的陳述或甚至給予批評;
(3)理解不透徹時——可向?qū)Ψ胶藢?�,以獲得對方對訪談記要的認(rèn)可�����;
(4)使用“什么����,為什么���,在哪里�,什么時候�����,誰,如何”等特殊疑問句��,以引出事實情況�����;
(5)詢問一些深入的問題����,比如“假設(shè)…”,“如果…��,會怎樣”“請給我演示一下…”�����,讓對方給出解釋和例證����。
2.6 安全審計情況的后續(xù)跟蹤
(1) 后續(xù)跟蹤的主要目的在于核實受審計單位是否落實了改進(jìn)計劃。后續(xù)跟蹤可以通過對改進(jìn)計劃實施情況的監(jiān)督來進(jìn)行���,也可通過隨訪跟蹤來進(jìn)行�。
(2)如果進(jìn)行了跟蹤隨訪��,還應(yīng)當(dāng)編制一份隨訪報告,說明改進(jìn)計劃的落實情況��。
如果不符合規(guī)章的情況和隱患尚未消除����,審計組長應(yīng)當(dāng)在跟蹤報告中著重說明,并直接給相關(guān)空中交通服務(wù)單位的高層管理者發(fā)送一本報告副本���。
(3) 審計組長應(yīng)主動向所屬空中交通管理機(jī)構(gòu)報告階段性的審計情況和提交審計報告�����、跟蹤隨訪報告。
3.結(jié)論
本文首先對空管安全管理體系進(jìn)行了概述����,描述了當(dāng)今空管安全管理的現(xiàn)狀及中國民航安全管理的目標(biāo)和空管安全管理體系的構(gòu)成。
綜上所述�����,本文的研究目的是如何通過有效���、科學(xué)的手段對空中交通管制單位運(yùn)行安全審計���,找出安全隱患�����,通過一系列的運(yùn)行管理手段��,消除安全隱患����,使“人─機(jī)─環(huán)境”系統(tǒng)中的運(yùn)行關(guān)鍵因素有機(jī)地結(jié)合���,共同作用于空管運(yùn)行的各個階段�����,切實提高航空安全運(yùn)行質(zhì)量�,從而進(jìn)一步完善我國民航安全運(yùn)行管理�����,切實提高民航安全運(yùn)行質(zhì)量���,最大限度地降低航空事故��,提高空中交通管制單位的自身系統(tǒng)控制能力和安全管理水平���。
參考文獻(xiàn):
[1]空管在線收集整理
[2]駱慈孟.以人為本,確保飛行安全���,空中交通管理, 2000.5
篇5
在計算機(jī)與網(wǎng)絡(luò)迅速發(fā)展的當(dāng)代�,互聯(lián)網(wǎng)已經(jīng)為人類做出了不可小覷的貢獻(xiàn),尤其是在教學(xué)方面����,教師已經(jīng)習(xí)慣運(yùn)用信息化手段來教學(xué),但是就在互聯(lián)網(wǎng)盛行的時代�,出現(xiàn)了很多負(fù)面的非法信息,這使學(xué)生的人生觀以及價值觀都受到了影響���,更有甚者非法站點介入了校園內(nèi)部的網(wǎng)站,竊取了某些信息�����,將其泄漏出去���,使學(xué)生的學(xué)習(xí)以及教師的工作受到了嚴(yán)重的影響�。由此看來,規(guī)范校園網(wǎng)絡(luò)使用行為���,保證校園網(wǎng)絡(luò)能夠健康���、穩(wěn)定地運(yùn)行是目前我國大多數(shù)學(xué)校應(yīng)該重視的問題。
1 校園網(wǎng)網(wǎng)絡(luò)管理現(xiàn)狀
從我國大部分校園網(wǎng)絡(luò)使用情況來看�����,校園網(wǎng)絡(luò)中出現(xiàn)了以下幾種狀況:
(1)首先校園內(nèi)部網(wǎng)絡(luò)使用者沒有經(jīng)過嚴(yán)格的用前培訓(xùn)�,因此有很多校園內(nèi)部使用者都會對校園網(wǎng)絡(luò)產(chǎn)生供給威脅;
(2)校園外部互聯(lián)網(wǎng)接入內(nèi)部�����,校園內(nèi)部網(wǎng)絡(luò)出現(xiàn)了很多的病毒���,同時也受到了攻擊性的威脅����;
(3)很多來自外部的移動終端以及計算機(jī)帶來了很大的隱患�;
(4)網(wǎng)絡(luò)上不良信息以及垃圾郵件對校園網(wǎng)絡(luò)產(chǎn)生的威脅。
2 校園網(wǎng)網(wǎng)絡(luò)安全審計的功能及內(nèi)容
2.1 網(wǎng)絡(luò)安全審計
其指的是依照制定的策略��,使用審計工具,來對用戶以及系統(tǒng)活動進(jìn)行記錄���,并分析數(shù)據(jù)等��,以此來審查網(wǎng)絡(luò)的安全�,避免出現(xiàn)一些人為錯誤���,這樣就能夠掌握系統(tǒng)是否有漏洞�,對資源進(jìn)行科學(xué)��、合理地調(diào)配�����,保證系統(tǒng)能夠健康����、穩(wěn)定地運(yùn)行。
2.2 網(wǎng)絡(luò)安全審計的要點
在管理校園網(wǎng)的過程中����,對網(wǎng)絡(luò)的審計內(nèi)容主要包括以下這么幾點:
2.2.1 實時審計
也就是說對正在發(fā)生的網(wǎng)絡(luò)行為進(jìn)行監(jiān)督�����,爭取能夠在第一時間內(nèi)將非法操作以及不良網(wǎng)站進(jìn)行封堵,或者報警��,監(jiān)督的內(nèi)容不僅包括上網(wǎng)時間����、下載文件的類型,還有上網(wǎng)流量等����。
2.2.2 日志審計
將網(wǎng)絡(luò)運(yùn)行的日志記錄下來,全面管理操作系統(tǒng)的運(yùn)行日志和數(shù)據(jù)訪問日志�����,并對其進(jìn)行分析和處理�。
2.2.3 內(nèi)容審計
此審計也可以在實時審計以及日志審計當(dāng)中使用,審計聊天�、發(fā)帖以及電子郵件中的信息。實時審計主要是對信息的出入口進(jìn)行嚴(yán)密的監(jiān)測����,分析和對比信息中的關(guān)鍵字,對非法文字或者敏感字段進(jìn)行報警,在這些工作進(jìn)行的過程中�,將整個過程記錄在日志當(dāng)中,以此作為審查的原始材料�。
2.2.4 實時跟蹤
這是對那些進(jìn)發(fā)生并且有追溯、挽回可能的活動信息進(jìn)行實時跟蹤�����,將之后的活動信息記錄下來���,以便追溯非法行為或者犯罪行為�����。
3 網(wǎng)絡(luò)安全審計在校園網(wǎng)安全管理中的作用
網(wǎng)絡(luò)安全管理中最為重要的一部分就是網(wǎng)絡(luò)安全審計�,這可以幫助校園維護(hù)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行����,師生上網(wǎng)行為得以規(guī)范等工作更加順利地進(jìn)行。
(1)網(wǎng)絡(luò)安全審計在過濾URL地址等關(guān)鍵字之后���,既能阻止不良網(wǎng)站中的不良信息接入校園網(wǎng)絡(luò)�,與此同時能夠使網(wǎng)絡(luò)得以很大程度的保護(hù)����,保護(hù)其不受外來網(wǎng)絡(luò)中病毒的侵害,使系統(tǒng)中最基本的安全能夠達(dá)到相應(yīng)的標(biāo)準(zhǔn)�����。除此之外���,因為日志審計能夠保存系統(tǒng)運(yùn)行過程當(dāng)中的相關(guān)信息和日志����,因此就能夠在事后進(jìn)行查詢���,將內(nèi)部攻擊的可能性降到最低����,并且能夠使?jié)撛诘碾[患得以震懾�����。
(2)實時審計能夠有效規(guī)范校內(nèi)師生上網(wǎng)過程中的審計內(nèi)容��,監(jiān)督并阻止教職工利用職務(wù)之便或者上班時間濫用網(wǎng)絡(luò)資源����,阻止學(xué)生不規(guī)范上網(wǎng)的行為���,將校園網(wǎng)的有效資源的價值發(fā)揮到最大限度。
(3)內(nèi)容審計能夠?qū)㈥P(guān)鍵詞與敏感詞有效地阻止在外����,避免了垃圾郵件,以及不良信息在校園網(wǎng)絡(luò)中擴(kuò)散����,這樣一來就能夠?qū)π@網(wǎng)絡(luò)中的犯罪行為實施有效監(jiān)控,使學(xué)校的名譽(yù)不被破壞��。
(4)系統(tǒng)分析哪些有價值的日志信息��,能夠使系統(tǒng)管理員及時發(fā)現(xiàn)并修復(fù)系統(tǒng)中隱藏的漏洞��,除此之外����,系統(tǒng)運(yùn)行統(tǒng)計日志能夠?qū)⑾到y(tǒng)性能中存在的問題反應(yīng)出來,使系統(tǒng)管理員有了觀察�、處理網(wǎng)絡(luò)系統(tǒng)的工具。如此一來���,對網(wǎng)絡(luò)性能實施及時調(diào)整��,為關(guān)鍵應(yīng)用提供充足的資源�����,還能使系統(tǒng)管理員具有針對性地進(jìn)行系統(tǒng)維護(hù)��,這對提高工作效率有很大的幫助���。
(5)有效追查已經(jīng)發(fā)生,但還有可能挽回的行為����,不僅能夠追溯違法犯罪的行為,還能夠追溯系統(tǒng)性能的好與壞�����,這對追查已發(fā)生行為具有非常重要的意義��。
4 結(jié)語
近年來����,互聯(lián)網(wǎng)的飛度發(fā)展���,使校園有了更加豐富的教學(xué)資源,給教師帶來了便利的辦公方式和多種多樣的教學(xué)手段�,讓學(xué)生們的課余生活更加精彩,但是卻也給校園網(wǎng)絡(luò)帶來了很大隱患��。因為校園網(wǎng)用戶多�����、規(guī)模大�、使用者的活躍度較高等特點,所以非常難管理����,但是因為其涉及到教師與學(xué)生的日常工作與學(xué)習(xí)中,所以對其進(jìn)行嚴(yán)格管理也是極其重要的一項工作�。使用校園網(wǎng)絡(luò)安全系統(tǒng),能夠使網(wǎng)絡(luò)監(jiān)控效率得以提高��,所以說在學(xué)校具體的使用中�,應(yīng)該根據(jù)校園網(wǎng)的實際情況,對其設(shè)計科學(xué)的審計計策���,讓審計內(nèi)容變得多樣化�,爭取使校園網(wǎng)的有效資源的價值發(fā)揮到最大限度。
參考文獻(xiàn)
篇6
中圖分類號:TP3 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2012)0220131-01
0 前言
隨著互聯(lián)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的發(fā)展����,信息傳播范圍和獲取手段發(fā)生著日新月異的變化。桌面終端在企業(yè)員工日常工作中已被廣泛使用�,成為基本工具。桌面終端需要頻繁地訪問與企業(yè)生產(chǎn)運(yùn)行密切相關(guān)的各種各樣的信息系統(tǒng)��,大量敏感或信息存儲在桌面或移動存儲介質(zhì)中�。同時�,來自于企業(yè)計算機(jī)網(wǎng)絡(luò)外部或內(nèi)部的攻擊活動有增無減,變化無常��,加之企業(yè)內(nèi)部桌面非法接入的情況較為普遍�,以及桌面安全的管理規(guī)章制度沒有切實有效的管理手段。目前企業(yè)信息安全面臨嚴(yán)峻的挑戰(zhàn)��,如何保證桌面終端的安全���,從而保證企業(yè)整體信息安全��,成為日益突出的問題���。同時強(qiáng)有力和切實可行的桌面安全管理手段����,也將成為企業(yè)信息安全得以保證的基礎(chǔ)�����。
1 桌面終端的安全要求
隨著企業(yè)信息化建設(shè)的迅速發(fā)展�����,終端計算機(jī)數(shù)量的逐步增加��,企業(yè)正常���、穩(wěn)定的生產(chǎn)及運(yùn)行越加依附于企業(yè)網(wǎng)絡(luò)�����。桌面終端是企業(yè)網(wǎng)絡(luò)的最基本組成部分�����,也是管理的最薄弱環(huán)節(jié)����,涉及大量敏感或數(shù)據(jù),管理較為為復(fù)雜��,往往成為信息外泄的源頭��。
企業(yè)應(yīng)根據(jù)自身的網(wǎng)絡(luò)環(huán)境��,結(jié)合基本情況����,統(tǒng)一部署防病毒系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng),并定期對病毒定義文件進(jìn)行升級和播發(fā)安全補(bǔ)丁�����。同時為了確保終端用戶合規(guī)接入網(wǎng)絡(luò)�����,應(yīng)建立以端點準(zhǔn)入控制系統(tǒng)為基礎(chǔ)的安全防護(hù)體系��,并執(zhí)行企業(yè)制定的安全策略����,阻止不符合安全策略的終端用戶接入企業(yè)網(wǎng)絡(luò)�。終端用戶的桌面安全環(huán)境需要由完善的桌面管理系統(tǒng)提供保障��,除了利用防病毒和補(bǔ)丁系統(tǒng)����,來防范和控制木馬�、惡意軟件及內(nèi)網(wǎng)的攻擊行為,還要對企業(yè)終端用戶的桌面制定相應(yīng)的安全機(jī)制�,確保每個接入網(wǎng)絡(luò)的終端用戶都符合企業(yè)安全策略,規(guī)范終端桌面的安全行為��,使桌面終端工作在一個安全的防護(hù)體系中�,保證企業(yè)網(wǎng)絡(luò)在一個安全、穩(wěn)定�、有較的環(huán)境中運(yùn)行。
2 桌面終端安全防護(hù)體系建設(shè)
隨著信息技術(shù)應(yīng)用的不斷深入�����,企業(yè)信息系統(tǒng)集中程度的不斷提高���,業(yè)務(wù)對信息系統(tǒng)依賴程度不斷加大?��,F(xiàn)有的安全防護(hù)系統(tǒng)仍不能完全預(yù)防來自企業(yè)內(nèi)部或外部網(wǎng)絡(luò)的入侵和攻擊,所以需要完善安全防護(hù)體系建設(shè),統(tǒng)一建立以防病毒系統(tǒng)���、補(bǔ)丁分發(fā)系統(tǒng)和端點準(zhǔn)入控制系統(tǒng)為基礎(chǔ)的桌面安全防護(hù)系統(tǒng)��,才能使主要依靠信息化應(yīng)用系統(tǒng)的安全性得到有效保證�����。
2.1 防病毒系統(tǒng)�����。防病毒系統(tǒng)體系由總部服務(wù)器獲取最新病毒定義文件下推到各級單位����,實現(xiàn)病毒定義文件的逐級升級�����。防病毒體系的統(tǒng)一部署�,有效地防止了病毒和惡意軟件的大面積爆發(fā)���,為桌面終端安全提供了強(qiáng)有力的保障�。
2.2 補(bǔ)丁分發(fā)系統(tǒng)。補(bǔ)丁分發(fā)系統(tǒng)采用總部服務(wù)器過濾最新系統(tǒng)安全補(bǔ)丁并下發(fā)到地區(qū)公司服務(wù)器�,地區(qū)公司服務(wù)器自動下發(fā)到終端用戶的總體架構(gòu)方式。補(bǔ)丁管理系統(tǒng)可以幫助企業(yè)對網(wǎng)絡(luò)內(nèi)各種軟件和應(yīng)用系統(tǒng)進(jìn)行維護(hù)和控制�。克服安全漏洞并保持生產(chǎn)環(huán)境的穩(wěn)定性���。
2.3 端點準(zhǔn)入系統(tǒng)�����。端點準(zhǔn)入安全防護(hù)體系由總部服務(wù)器下發(fā)企業(yè)總體安全策略��,地區(qū)公司接收總部策略后根據(jù)本地實際情況制定個性化策略����,管理個人計算機(jī)��。端點準(zhǔn)入控制系統(tǒng)需要提供全面的端點保護(hù)功能�,實現(xiàn)多層次的安全防護(hù)策略,有效應(yīng)對病毒���、木馬�����、蠕蟲等混合安全威脅���,有效應(yīng)對來自于互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的惡意掃描���、惡意入侵等安全威脅。
2.4 桌面安全流量監(jiān)控體系�����。通過桌面安全流量監(jiān)控系統(tǒng)���,將桌面安全事件和桌面安全技術(shù)支持團(tuán)隊有機(jī)聯(lián)系在一起�����,建立“發(fā)現(xiàn)-定位-處理”循環(huán)往復(fù)的工作模式���,以安全管理團(tuán)隊自上而下的監(jiān)督、支持和協(xié)同作戰(zhàn)�����,推動各級安全管理團(tuán)隊的工作�����,提升管理水平����,保證信息安全在桌面端少出問題,從而增強(qiáng)我們整體的信息安全水平�。
2.5 數(shù)據(jù)文件電子加密。網(wǎng)絡(luò)中最有價值的是數(shù)據(jù)��,而敏感或數(shù)據(jù)的安全性越來越重要�。網(wǎng)絡(luò)安全產(chǎn)品大部分都集中在這些數(shù)據(jù)的,并沒有針對數(shù)據(jù)本身的安全保障提出有效的解決方案�。所以建立電子文檔加密系統(tǒng),可以為員工提供方便易用的文件加密工具���,切實增強(qiáng)信息安全水平和意識�,有效防止敏感信息泄漏����。這對提高整體的信息安全也是切實可行的。電子文檔加密系統(tǒng)是為桌面用戶提供文件加密工具�。加密后的文件可有效防范丟失、失竊或在網(wǎng)絡(luò)上傳輸時被非法常截獲等情況下的信息外泄�����。
2.6 系統(tǒng)安全審計。建立系統(tǒng)安全審計應(yīng)為安全部門或管理員提供及時有效的一組管理數(shù)據(jù)進(jìn)行分析�,以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計結(jié)果�����,可調(diào)整安全政策���,堵住出現(xiàn)的漏洞��,為此����,系統(tǒng)安全審計應(yīng)該具備以下功能:
1)記錄關(guān)鍵事件:由安全相關(guān)部門統(tǒng)一定義違犯安全的事件�,并決定將什么信息記入審計日志。
2)提供可集中處理審計日志的數(shù)據(jù)形式:以標(biāo)準(zhǔn)的��、可使用的格式輸出安全審計信息���,使安全官員能夠直接利用軟件工具處理這些事件��。
3)實時安全報警:擴(kuò)展現(xiàn)有管理工作的能力并將它們與數(shù)據(jù)鏈路驅(qū)動程序和安全審計能力結(jié)合起來����,當(dāng)發(fā)生與安全有關(guān)的事件時����,安全系統(tǒng)就報警通知相應(yīng)的部門。
2.7 加強(qiáng)桌面安全管理��。建立嚴(yán)格遵守規(guī)章制度����,依據(jù)國家法律法規(guī)根據(jù)企業(yè)本身的實際情況制定相關(guān)規(guī)章制度,讓終端用戶遵守相關(guān)制度�,可以有效的減少終端安全桌面的事故發(fā)生。培養(yǎng)終端用戶良好的安全意識�,安全意識低的必然結(jié)果就是導(dǎo)致信息安全實踐水平較差,所以培養(yǎng)終端用戶的安全意識可以防止利用終端入侵企業(yè)網(wǎng)絡(luò)���。加強(qiáng)桌面用戶安全培訓(xùn)�����,經(jīng)常組織安全培訓(xùn)可以提高終端用戶的安全防護(hù)知識�����,提升終端桌面的防御能力�。
3 結(jié)語
桌面終端是企業(yè)網(wǎng)絡(luò)運(yùn)行的基礎(chǔ),也是企業(yè)信息安全最脆弱的部位����,目前企業(yè)的安全防護(hù)手段不能完全的對桌面終端做到有效的安全管理,所以應(yīng)該根據(jù)需求建立相應(yīng)的安全體系��,不僅能增加桌面終端的安全防護(hù)能力�����,同時也減少企業(yè)網(wǎng)絡(luò)面臨的安全威脅��,同時應(yīng)提高終端用戶的安全意識���,加強(qiáng)安全管理����。
篇7
一�、信息系統(tǒng)審計的內(nèi)涵和外延難以把握
隨著信息技術(shù)的發(fā)展,信息系統(tǒng)在財務(wù)�����、管理領(lǐng)域的應(yīng)用程度不斷提高,功能日趨完善�,其軟硬件結(jié)構(gòu)的復(fù)雜性和涉及領(lǐng)域的廣泛性以及信息處理技術(shù)更新的頻繁性使得審計人員難以同步把握信息系統(tǒng)審計的內(nèi)涵和外延。從外延上看�,信息系統(tǒng)審計主要包括兩個部分,一是對信息系統(tǒng)主體的審計���,二是對信息系統(tǒng)應(yīng)用環(huán)境的審計,包括網(wǎng)絡(luò)環(huán)境��、使用環(huán)境�����、管理使用情況等���。一般說來���,審計信息系統(tǒng)本身相對容易,但審計信息系統(tǒng)的應(yīng)用環(huán)境卻存在較多不確定因素�����,比如某公司的信息系統(tǒng)通過防火墻連接到互聯(lián)網(wǎng),而在防火墻內(nèi)還存在其它系統(tǒng)�,其它系統(tǒng)是不是也在審計范圍之內(nèi)?從內(nèi)涵上看��,信息系統(tǒng)審計主要是對信息系統(tǒng)的安全性和可靠性進(jìn)行評估�、評價。安全性��、可靠性是一個比較廣泛的概念�����,以系統(tǒng)安全性為例���,它包括:ISO開放系統(tǒng)互連安全體系結(jié)構(gòu)�、TCP/IP安全體系�����、開放系統(tǒng)互連的安全管理�����、安全服務(wù)和功能配置����;系統(tǒng)安全涉及的信息安全技術(shù)包括:密碼技術(shù)���、訪問控制技術(shù)、機(jī)密性和完整性保護(hù)技術(shù)���、數(shù)字簽名技術(shù)��、抗抵賴技術(shù)����、預(yù)(報)警機(jī)制����、公證技術(shù)�、防火墻技術(shù)、漏洞檢測技術(shù)��、網(wǎng)絡(luò)隔離技術(shù)��、計算機(jī)病毒防范等��。由于信息技術(shù)本身的限制性�����,絕大部分信息系統(tǒng)本身均存在安全性問題(如防護(hù)級別最高、防護(hù)技術(shù)最好的美國國防部也常有被攻擊的情況)����。
把握不準(zhǔn)信息系統(tǒng)審計的外延和內(nèi)涵,就難以解決以下三個問題:一是難以解決審計力量與審計任務(wù)之間的矛盾���,難以控制審計風(fēng)險����,即不該審的審了�����,該審的卻未審���;二是由于絕大部分信息系統(tǒng)本身均存在安全性問題�,信息系統(tǒng)審計很容易演變成“信息系統(tǒng)是否存在問題源自于審計人員的技術(shù)水平�����,而不是系統(tǒng)本身的安全性和可靠性”���,即����,絕大部分信息系統(tǒng)均存在不安全、不可靠因素�,就看審計人員能否發(fā)現(xiàn)由于信息系統(tǒng)的安全性問題是絕對的,而審計人員的視角和技術(shù)水平是相對的�,信息系統(tǒng)審計的成果部分取決于審計人員對信息系統(tǒng)審計內(nèi)容的把握程度;三是由于審計需要大量的證據(jù)支撐��,對于未造成損失但信息系統(tǒng)存在不安全隱患的問題難以定性,即便是造成了損失��,也難以界定這些損失與信息系統(tǒng)不安全�、不可靠因素之間聯(lián)系。因此���,審計部門應(yīng)根據(jù)“全面審計、突出重點”及“先易后難”�����、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則����,參照國家信息技術(shù)部的有關(guān)標(biāo)準(zhǔn)�����,界定信息系統(tǒng)工作的外延和內(nèi)涵�����,將信息系統(tǒng)審計的主要方向定在:被審計單位的信息系統(tǒng)的安全性��、可靠性是否達(dá)到應(yīng)有的水平或標(biāo)準(zhǔn)�����,而不是系統(tǒng)是否有安全性和可靠性問題�����。
二��、信息系統(tǒng)審計評價標(biāo)準(zhǔn)很難確定
信息系統(tǒng)安全審計����,涉及會計信息處理自動化�、表示代碼化、信息處理與存儲集中化��、內(nèi)部控制程序化等諸多廣泛、復(fù)雜的計算機(jī)專業(yè)技術(shù)環(huán)節(jié)�����,其技術(shù)性較高��。而我國信息系統(tǒng)審計正處于起步階段���,對審計機(jī)關(guān)如何開展信息系統(tǒng)審計尚在積極探索中��,因此�����,目前尚沒有一個完整的���、成熟的具有示范作用的審計案例,也缺少具備實際指導(dǎo)意義的相關(guān)信息系統(tǒng)審計準(zhǔn)則和操作指南��。
近年來���,國家安全部門相繼出臺了多個安全標(biāo)準(zhǔn),例如公安部出臺的《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)�����、《信息安全等級保護(hù)管理辦法》,還有相應(yīng)的安全技術(shù)規(guī)范《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)��、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)��、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)����、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務(wù)器技術(shù)要求》����、《信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)。但在實際操作中��,這些標(biāo)準(zhǔn)在可操作性上還有待提高�,一是信息系統(tǒng)安全等級的確定,缺乏一個等級認(rèn)定的部門�,目前是由各個單位自己定級報送,會存在低報等級風(fēng)險��;二是等級要求沒有量化和詳細(xì)解釋�,等級認(rèn)定存在困難。這些都給具體的審計實務(wù)工作帶來極大的困難�����。因此建議審計部門及時組織總結(jié)實踐經(jīng)驗,規(guī)范信息系統(tǒng)安全審計的有關(guān)概念�����、審計內(nèi)容�、工作流程和技術(shù)方法、形成信息系統(tǒng)安全審計準(zhǔn)則�����、操作指南或?qū)崉?wù)公告的準(zhǔn)則體系����,這是信息系統(tǒng)安全審計得以健康發(fā)展的基礎(chǔ)。
三����、信息系統(tǒng)審計缺乏相應(yīng)的人才
我國目前尚缺乏既熟悉審計業(yè)務(wù)又掌握計算機(jī)技術(shù)同時了解國內(nèi)標(biāo)準(zhǔn)信息系統(tǒng)流程的復(fù)合型人才,進(jìn)行信息系統(tǒng)審計所涉及的知識面非常廣��,涉及會計���、審計��、管理和計算機(jī)等知識�����,而進(jìn)行信息系統(tǒng)安全性審計主要從系統(tǒng)總體安全��、系統(tǒng)運(yùn)行安全�����、數(shù)據(jù)中心安全����、硬件設(shè)備安全和網(wǎng)絡(luò)安全情況五個方面來進(jìn)行�����,每個方面都涉及不同的知識點����。當(dāng)對系統(tǒng)總體安全進(jìn)行審計時,則要求審計人員具有系統(tǒng)總體分析����、系統(tǒng)設(shè)計和系統(tǒng)安全分析的知識��;當(dāng)對系統(tǒng)運(yùn)行進(jìn)行審計時��,則要求審計人員具有系統(tǒng)運(yùn)行管理���、系統(tǒng)維護(hù)和系統(tǒng)安全管理的知識;當(dāng)對數(shù)據(jù)中心安全進(jìn)行審計時���,則要求審計人員具有工程建設(shè)�、數(shù)據(jù)中心安全維護(hù)和災(zāi)備等知識���;當(dāng)對硬件設(shè)備安全進(jìn)行審計時��,則要求審計人員具有設(shè)備采購�、設(shè)備維護(hù)和設(shè)備安全分析等知識��;當(dāng)對網(wǎng)絡(luò)安全情況進(jìn)行審計時��,則要求審計人員具有網(wǎng)絡(luò)安全分析和網(wǎng)絡(luò)防范等知識�。但在當(dāng)前情況下,審計人員能夠掌握上述某一方面的知識都已經(jīng)難能可貴��,更不用說要掌握所有的知識面。建議審計部門加強(qiáng)對審計人員理論培訓(xùn)���,并組織審計人員進(jìn)行實踐���,通過實踐經(jīng)驗來鞏固理論知識���,培養(yǎng)出更多的信息系統(tǒng)審計復(fù)合型人才和相應(yīng)的專業(yè)性人才����。
四�����、信息系統(tǒng)審計需要相應(yīng)的法規(guī)支持和成果考核標(biāo)準(zhǔn)
篇8
天識科技是美國Motorola公司PDA和日本富士通公司PDA指紋算法提供商�,是國內(nèi)銀行總行選用的指紋管理平臺供應(yīng)商,該平臺管理著銀行業(yè)眾多的指紋儀���。是國內(nèi)領(lǐng)先的指紋產(chǎn)品研發(fā)�、生產(chǎn)廠商����,天識科技在全國范圍內(nèi)為中國銀行、中國建設(shè)銀行、中國民生銀行��、中信銀行�����、上海浦東發(fā)展銀行�����、華夏銀行��、興業(yè)銀行�����、福州商業(yè)銀行等超過50家省市分行提供了生物識別應(yīng)用安全產(chǎn)品的全面解決方案�����。天識科技對生物識別技術(shù)的研發(fā)已有10年以上的歷史�,有著豐富的產(chǎn)品設(shè)計、生產(chǎn)組織����、項目實施經(jīng)驗�����,為銀行業(yè)實施各種安全解決方案有15年以上的經(jīng)驗�����。天識科技同時還是美國APPSEC 公司的專注于網(wǎng)絡(luò)應(yīng)用評估����、審計產(chǎn)品的中國金融業(yè)總�����,是用生物識別技術(shù)和Web 應(yīng)用審計技術(shù)完美結(jié)合���,防止非法入侵信息系統(tǒng)整體解決方案的提供商。結(jié)合整體解決方案需要����,公司產(chǎn)品和服務(wù)劃分成生物識別產(chǎn)品系列、審計評估和Cefis安保三個部分�����。
第一部分,生物識別產(chǎn)品系列��。公司擁有自由知識產(chǎn)權(quán)的指紋產(chǎn)品獲得多項國家發(fā)明����,指紋管理平臺TS-Match 是行業(yè)領(lǐng)先的指紋管理平臺,目前管理著國內(nèi)銀行業(yè)眾多的指紋儀�����。
篇9
1.信息系統(tǒng)安全技術(shù)
信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎(chǔ)�,在其中起到支撐的作用�����。在實際工作中���,針對企業(yè)各自特點制定相關(guān)策略�����。當(dāng)前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問題如下:
1.1硬件運(yùn)維
硬件設(shè)備的運(yùn)維和管理是企業(yè)信息系統(tǒng)安全體系的基礎(chǔ)保障�����,但是管理人員容易忽視這一環(huán)節(jié)。企業(yè)信息系統(tǒng)往往會因為硬件設(shè)備故障����、斷電或網(wǎng)絡(luò)問題造成信息丟失或服務(wù)中斷。如果針對硬件設(shè)備的運(yùn)維和管理沒有相關(guān)保障機(jī)制�,一次發(fā)生意外,就會給企業(yè)造成不可估量的損失��。
當(dāng)前常見的硬件設(shè)備運(yùn)維保障管理機(jī)制有以下幾個環(huán)節(jié):一是通過設(shè)置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運(yùn)行����;二是要對企業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)行定期巡檢���,在前期的網(wǎng)絡(luò)環(huán)境部署過程中首先考慮網(wǎng)絡(luò)的連接穩(wěn)定性�����;最后是加強(qiáng)信息系統(tǒng)安全管理�����,嚴(yán)防企業(yè)信息丟失和竊取����,可以通過對數(shù)據(jù)信息存儲服務(wù)器設(shè)置物理鎖的方式避免非法操作。為了保證系統(tǒng)服務(wù)器的安全�,管理人員可以采用遠(yuǎn)程登錄的方式訪問系統(tǒng)。
1.2入侵防御
病毒入侵一般都擁有固定代碼���,而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞����,從而進(jìn)行人為操縱的信息竊取或系統(tǒng)攻擊���。特定的防范方法包括:嚴(yán)格制定防火墻訪問控制策略�,阻止外界對內(nèi)部資源的非法訪問�;關(guān)閉系統(tǒng)硬件不用的端口;定期對系統(tǒng)進(jìn)行漏洞掃描和補(bǔ)丁包更新���;在信息系統(tǒng)中部署入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)�����,從而抵御非法入侵�����。
1.3病毒防范
信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對于信息系統(tǒng)病毒的防范非常重要��。操作系統(tǒng)是企業(yè)信息平臺安全的基礎(chǔ)�,錯誤的安裝配置會使病毒滲入到信息系統(tǒng)當(dāng)中。針對信息系統(tǒng)安裝殺毒軟件并進(jìn)行定期更新是病毒防范的基本措施��,這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性��。企業(yè)還需要定期對系統(tǒng)進(jìn)行數(shù)據(jù)備份�。
1.4數(shù)據(jù)加密
在公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)倪^程中,利用虛擬專用網(wǎng)(VPN)技術(shù)設(shè)置訪問控制策略��,實現(xiàn)兩個或多個可信網(wǎng)絡(luò)之間的數(shù)據(jù)加密與傳輸���。搭建VPN通常使用加密防火墻和路由器,保證數(shù)據(jù)安全傳輸[1]�����。
在企業(yè)的局域網(wǎng)中針對內(nèi)部信息存儲�、傳輸?shù)陌踩珕栴}�����,可以通過部署安全服務(wù)器來實現(xiàn)包括對局域網(wǎng)內(nèi)資源的管理控制���、用戶的管理和所有安全相關(guān)事件的跟蹤和審計。
2.信息系統(tǒng)安全管理
企業(yè)信息系統(tǒng)安全體系的建設(shè)三分靠技術(shù)���,七分靠管理����。因此�����,建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點����。
2.1制定企業(yè)信息系統(tǒng)安全管理制度
企業(yè)信息系統(tǒng)安全體系的建立和實施對其正常運(yùn)營非常重要,所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準(zhǔn)����。
2.2提高企業(yè)員工信息系統(tǒng)安全意識
現(xiàn)實中企業(yè)管理者的關(guān)注焦點大多是生產(chǎn)上的安全,信息安全沒有得到足夠的重視。實際上���,企業(yè)員工信息安全意識的高低�,在企業(yè)的信息系統(tǒng)安全體系建設(shè)中起很大作用�,企業(yè)能夠加強(qiáng)員工的信息安全意識,將很大地提高信息系統(tǒng)安全體系實施的成效����。
2.3嚴(yán)格執(zhí)行標(biāo)準(zhǔn),強(qiáng)化制度落實
在企業(yè)信息系統(tǒng)安全體系的建設(shè)過程中��,必須嚴(yán)格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行��,最大程度消除信息系統(tǒng)安全隱患�。若發(fā)現(xiàn)信息系統(tǒng)安全隱患����,及時按照相關(guān)操作規(guī)程處置[2]�。
2.4積極學(xué)習(xí)和應(yīng)對各種信息系統(tǒng)安全事件
信息技術(shù)不斷發(fā)展��,保障信息系統(tǒng)安全的難度也在與日俱增���。因此,信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學(xué)習(xí)�����,不僅要制定一套完整嚴(yán)密的信息系統(tǒng)安全管理方案��,還要有步驟清晰���、操作性強(qiáng)的應(yīng)急預(yù)案,這樣才能增強(qiáng)信息系統(tǒng)安全管理的危機(jī)抵御能力和處理能力���。
2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺
面對日漸嚴(yán)峻的信息安全形勢�,在加強(qiáng)企業(yè)信息系統(tǒng)基礎(chǔ)安全設(shè)施建設(shè)的同時��,要有機(jī)結(jié)合員工信息安全意識����、技術(shù)能力、企業(yè)運(yùn)維管理三者��,建立一套綜合性強(qiáng)的信息系統(tǒng)安全保障體系����,在所有的業(yè)務(wù)系統(tǒng)中貫徹執(zhí)行當(dāng)前的安全管理思路,通過可量化的技術(shù)手段��,達(dá)到信息系統(tǒng)安全管理的最終目的�。
3.信息系統(tǒng)安全審計
企業(yè)信息系統(tǒng)安全體系的建設(shè)是一個長期的、需要不斷持續(xù)更新�、完善的系統(tǒng)工程,通過對信息系統(tǒng)的安全審計���,及時發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞���,才能不斷提高企業(yè)安全水平和質(zhì)量�����。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計����,有效加強(qiáng)企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風(fēng)險控制,滿足相關(guān)政策法規(guī)����,成為各行業(yè)面臨的普遍問題[3]。
信息系統(tǒng)安全審計是指一群擁有相關(guān)信息安全專業(yè)技能和商業(yè)知識的審計人員對企業(yè)安全風(fēng)險以及如何應(yīng)對風(fēng)險措施進(jìn)行評估的一個過程���。信息系統(tǒng)安全審計人員通過收集����、分析��、評估信息系統(tǒng)安全信息,掌握其安全狀態(tài)�����,制定安全策略��,將系統(tǒng)調(diào)整到“最安全”和“最小風(fēng)險”的狀態(tài)�,確保信息系統(tǒng)安全體系完整、合理���、適用[4]���。
由于目前信息系統(tǒng)應(yīng)用已經(jīng)涉及到企業(yè)的各個業(yè)務(wù)和辦公領(lǐng)域��,對于信息系統(tǒng)帶來的安全管理已經(jīng)是企業(yè)運(yùn)營不可切割的一部分�����。所以�����,企業(yè)的信息系統(tǒng)安全審計應(yīng)該是一個從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過程��。
從信息系統(tǒng)本身來說�����,安全審計的要點主要是以下兩個方面:
3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計
數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn)��,保護(hù)數(shù)據(jù)的安全�����、完整���,避免其被惡意破壞����、盜竊�����。對用戶身份進(jìn)行控制,避免非授權(quán)訪問數(shù)據(jù)�����,是數(shù)據(jù)訪問環(huán)節(jié)的安全控制措施��。除此之外�����,對數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)����。首先,應(yīng)雇傭具備任職資格或經(jīng)過適當(dāng)培訓(xùn)的人員���,避免誤操作�;其次����,所有操作都應(yīng)該經(jīng)過授權(quán)且有記錄,數(shù)據(jù)文件被正確保存且經(jīng)過充分備份���,以備正確的恢復(fù)�����。
在信息系統(tǒng)中,有些數(shù)據(jù)需要在兩個子系統(tǒng)或多個子系統(tǒng)中相互傳輸�,在這個過程中很可能會出現(xiàn)問題,尤其是在需要手工錄入或同步傳輸?shù)那闆r����,因此在進(jìn)行信息系統(tǒng)安全審計的過程中要重點關(guān)注以下方面:數(shù)據(jù)在傳輸?shù)倪^程中可能會發(fā)生變化��,如何進(jìn)行校驗����;核心數(shù)據(jù)庫可能會被物理分散的服務(wù)器取代;當(dāng)一個信息系統(tǒng)取代原有的信息系統(tǒng)時���,會進(jìn)行數(shù)據(jù)的傳輸����。要保證傳輸?shù)臄?shù)據(jù)是完整����、可靠并且經(jīng)過批準(zhǔn)的�����,數(shù)據(jù)的全部傳輸過程要準(zhǔn)確�����,并且在約定時間內(nèi)完成���。
3.2內(nèi)部控制審計
篇10
一���、主要成績:
1�、加強(qiáng)信息化建設(shè),今年以來已投入資金余約250萬元,進(jìn)行了機(jī)房服務(wù)器�����、核心交換機(jī)及全院舊計算機(jī)���、打印機(jī)的更新工作�����,已正常投入運(yùn)行��。目前正在進(jìn)行醫(yī)院信息系統(tǒng)升級和電子病歷系統(tǒng)上線���、調(diào)試和人員培訓(xùn)工作����,下月初將進(jìn)行匯集交換機(jī)���、接入層交換機(jī)安裝和全院的千兆網(wǎng)絡(luò)改造����、安裝檢驗系統(tǒng)和中科美侖公司的影像系統(tǒng),初步實現(xiàn)以電子病歷為中心的醫(yī)院信息化建設(shè)�。
2��、加強(qiáng)網(wǎng)絡(luò)維護(hù)���,保證全院信息系統(tǒng)和醫(yī)保系統(tǒng)����、農(nóng)保系統(tǒng)����,居民健康檔案系統(tǒng)、婦幼信息系統(tǒng)�、財務(wù)管理系統(tǒng)正常運(yùn)行。移動公司已在我院安裝了無線網(wǎng)絡(luò)����,基本實現(xiàn)全院的外網(wǎng)的無線網(wǎng)絡(luò)覆蓋。
3���、加強(qiáng)醫(yī)院信息系統(tǒng)安全等級保護(hù)工作�,已安裝防火墻����、桌面管理軟件,下月初將安裝數(shù)據(jù)庫安全審計系統(tǒng)���,確保信息系統(tǒng)安全��,防止信息泄密�。
二、目前存在的問題:
1����、我院目前正在進(jìn)行醫(yī)院信息系統(tǒng)升級和上電子病歷系統(tǒng),目前新舊系統(tǒng)都在運(yùn)行�,因數(shù)據(jù)庫不相同,無法同時上傳新舊系統(tǒng)的數(shù)據(jù)��,可能造成上傳數(shù)據(jù)不完整�,要到8月底才能完成改成��。
2�、檢驗系統(tǒng)要下月才能安裝���,暫時不能上傳檢驗檢測結(jié)果。
三���、下半年信息化建設(shè)工作計劃:
1�、下月初將進(jìn)行全院的網(wǎng)絡(luò)改造��、安裝檢驗系統(tǒng)和中科美侖公司的影像系統(tǒng),初步實現(xiàn)以電子病歷為中心的醫(yī)院信息化建設(shè)�。
篇11
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入�����、干擾��、破壞、竊用及其他意外事故所采取的各種必要措施��,以確保信息完整�、可用、無泄露���,保持網(wǎng)絡(luò)穩(wěn)定�����、安全地運(yùn)行���。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]��。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題
企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確��。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行����,但企業(yè)對網(wǎng)絡(luò)安全的重要性依然認(rèn)識不足��,缺乏網(wǎng)絡(luò)安全規(guī)劃��,沒有明確的網(wǎng)絡(luò)安全目標(biāo)[3]��。(2)網(wǎng)絡(luò)安全意識不足����。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡(luò)安全的重要性��,企業(yè)網(wǎng)絡(luò)安全存在很大隱患。(3)網(wǎng)絡(luò)安全設(shè)施不健全����。無論大型企業(yè),還是中小企業(yè)��,都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題���,以致設(shè)施陳舊�����、不完整����,面對外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露���、竊用等現(xiàn)象��。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案�。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化����、分散化等特點[4]�,缺乏系統(tǒng)性����、協(xié)同性��、靈活性�,面對萬物互聯(lián)和更高級的威脅,傳統(tǒng)防護(hù)手段捉襟見肘、防不勝防[5]��。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求��,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的�����,內(nèi)外都不會一成不變��,所以企業(yè)網(wǎng)絡(luò)安全需求是一個動態(tài)過程���,具有時效性��?;诖耍獪?zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求�����,必須對企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析�,一般而言�,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全��、邊界安全及文件傳輸安全等方面[6]�����,具體體現(xiàn)在以下幾個方面:(1)網(wǎng)絡(luò)安全策略需求��。安全策略的有效性���、完整性和實用性是企業(yè)網(wǎng)絡(luò)安全的一個重要需求�����。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單�,而且沒有形成完整的體系����,對企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足���。(2)網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整����、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu)��,負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定�、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運(yùn)行管理等�。(3)網(wǎng)絡(luò)安全運(yùn)行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系����,采用實用的運(yùn)行管理方法,對服務(wù)器安全�、網(wǎng)絡(luò)訪問可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理�。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計原則
網(wǎng)絡(luò)安全方案的設(shè)計原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計網(wǎng)絡(luò)安全方案,避免失于偏頗和“詞不達(dá)意”�,設(shè)計原則可以有很多,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則�。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。(2)簡單適用原則。過于復(fù)雜的方案漏洞多��,本身就不安全��。(3)系統(tǒng)性原則����。企業(yè)網(wǎng)絡(luò)安全面對的威脅是多方面的,只專注于一點無法保障網(wǎng)絡(luò)安全����。(4)需求、風(fēng)險與代價平衡原則����。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價���,所以要學(xué)會取舍����,平衡風(fēng)險與代價�����。(5)可維護(hù)性原則。沒有任何系統(tǒng)可以做到無懈可擊����,要做到能隨時調(diào)整、升級��、擴(kuò)充��。(6)技術(shù)與管理相結(jié)合原則��。在改善安全技術(shù)的同時也要加強(qiáng)管理����,減少管理漏洞,對于復(fù)雜的安全形勢����,要多做預(yù)案,提前防范突發(fā)事件��。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實安全域的防護(hù)策略���、制定訪問控制策略����、檢查網(wǎng)絡(luò)邊界、分級防護(hù)等��。從企業(yè)網(wǎng)絡(luò)安全需求及特點出發(fā)��,將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域����、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域����,如圖1所示?�;ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)����,服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域��,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域�。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)�����,便于各個安全子域內(nèi)部署相應(yīng)等級的防護(hù)策略��。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示)�,作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全�����。安全網(wǎng)關(guān)不是單一的防火墻�,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設(shè)備�。該設(shè)備運(yùn)用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺上����,按需開啟多種功能,其由硬件�、軟件、網(wǎng)絡(luò)技術(shù)組成��。UTM在硬件上可以采用X86��、ASIC、NP架構(gòu)中的一種�����,X86架構(gòu)適于百兆網(wǎng)絡(luò)�,若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級�、維護(hù)及開發(fā)周期方面,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢�。UTM軟件上可以集成防病毒、入侵檢測����、內(nèi)容過濾�����、防垃圾郵件����、流量管理等多種功能,通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升���。UTM管理結(jié)構(gòu)基于管理分層、功能分級思想���,包含集中管理與單機(jī)管理的雙重管理機(jī)制�,實現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫���,用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸�,發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進(jìn)行隔離���,先于攻擊達(dá)成實現(xiàn)防護(hù)����,與防火墻功能上互補(bǔ)���,并支持串行接入模式���,采用基于策略的防護(hù)方式�,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示)��,可實時監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程���,發(fā)現(xiàn)入侵行為即報警���、阻斷,同時還能精確阻擊SQL注入攻擊���。IDS是入侵檢測系統(tǒng)(intrusiondetectionsystem)的英文縮寫���,能對網(wǎng)絡(luò)數(shù)據(jù)傳輸實時監(jiān)視��,發(fā)現(xiàn)可疑報警或采取其他主動反應(yīng)措施�����,屬于監(jiān)聽設(shè)備����,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式���,可部署在核心交換機(jī)上���,對進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測,如圖1所示���。
