序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇安全審計培訓范文���。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識!
篇1
目前�,我國的安全生產(chǎn)形勢非常嚴峻,在大安全的背景下���,如何做好坪山新區(qū)的安全生產(chǎn)工作�����,是時刻擺在新區(qū)安全專業(yè)工作者面前的一項艱巨任務����。
一�����、坪山新區(qū)開展安全培訓工作的重要性
從現(xiàn)有安全事故的統(tǒng)計和分析來看����,導致安全事故發(fā)生的原因多元化但存在一定的規(guī)律,歸納起來表現(xiàn)為四個方面:一是環(huán)境的不安全條件;二是管理上存在的缺陷;三是物(或機器)的不安全狀態(tài);四是人的不安全行為�����。對于事故的預防和控制,就是消除或改變環(huán)境的不安全條件���、管理上的缺陷�,消除物(或機器)的不安全狀態(tài)和人的不安全行為�,因此���,應從工程技術(shù)���、管理控制和培訓教育入手,采取相應對策�����。其中培訓教育對策著重解決的是人的不安全行為問題���。
據(jù)統(tǒng)計�����,新區(qū)安全生產(chǎn)領域近期幾起死亡事故都是由于人的不安全行為引起��。人往往會成為事故的受害者和承擔者��,其某種行為的發(fā)生與人的性別��、年齡��、性格��、所處環(huán)境��、受教育或培訓程度有密切的關(guān)系��。大量事故案例證明�,加強安全培訓是減少或消除人的不安全行為最直接、最有效的方式�����。
通過安全培訓���,可以引導新區(qū)企業(yè)和個體樹立正確的安全意識和安全理念��,增強人的安全技能����,改善不良安全習慣,達到避免和減少各類生產(chǎn)安全事故發(fā)生的目的���。
二����、坪山新區(qū)安全培訓存在問題剖析
(一)從培訓廣度看��,安全培訓覆蓋面不足
新區(qū)目前僅安全生產(chǎn)培訓機構(gòu)1家��,即坪山新區(qū)化技術(shù)學院���,現(xiàn)有專職教師(大學本科)5人(其中高級技師2人,技師3人�����,經(jīng)省安監(jiān)局考核合格的專職老師2人)��,兼職教師(大學本科)2人�,均為技師。2010年實際培訓800人�,其種作業(yè)人員600人,安全培訓缺乏應有的力度���。
(二)從企業(yè)類型看�����,中小企業(yè)安全培訓工作薄弱
新區(qū)經(jīng)濟效益較好��,規(guī)模較大����、成立時間較長的大企業(yè)安全生產(chǎn)管理基礎較好,安全培訓工作相對比較健全�。而中小型企業(yè)由于經(jīng)濟效益和規(guī)模的制約,安全規(guī)章制度不夠健全�����,安全培訓工作差強人意��。隨著中小企業(yè)的迅速發(fā)展��,薄弱的安全培訓工作使廣大從業(yè)人員安全意識淡薄����,缺乏應有的安全技能和安全知識,給新區(qū)安全生產(chǎn)工作造成嚴重的安全隱患�。
(三)從培訓自主性看�����,安全培訓缺乏積極性和主動性
新區(qū)成立以來加大了安全生產(chǎn)宣傳培訓教育力度���,利用新聞媒體等各種渠道和方式,對安全生產(chǎn)法律法規(guī)和安全培訓的重要性進行了廣泛而深入的宣傳����。但是,仍然存在部分生產(chǎn)經(jīng)營單位對應參加的安全培訓不能按要求參加���,在思想上對安全培訓工作不夠重視�����,缺乏必要的工作力度和支持措施,導致培訓率不足的問題�,使安全培訓工作一定程度上處于被動應付狀態(tài)。
三�、完善坪山新區(qū)安全培訓的對策分析
(一)加大安全宣傳力度,強化安全意識
安全意識在安全生產(chǎn)中至關(guān)重要���,強化安全意識的重要手段就是加強安全理念的宣傳��,用先進的安全理念引導職工日常工作和生活��。"預防為主�����、安全第一"����、"安全就是效益"、"生產(chǎn)服從安全"等安全觀念�,使新區(qū)企業(yè)樹立安全目標,職工樹立安全方向����。
同時,安全理念能否倡導下去���,需要全體職工的認同理解和接受執(zhí)行����,要充分利用新聞媒體��,組織開展對安全理念的宣傳學習活動�����,掀起新區(qū)學習理念、踐行理念����。要通過開展"安全生產(chǎn)月"、"安全警示日"�����、"消防宣傳日"等活動�,加強宣傳力度,以各種宣傳教育活動為載體��,不斷提高企業(yè)職工的安全素養(yǎng)���,改進其安全意識和行為���,從而使職工從被動服從管理的狀態(tài)�,轉(zhuǎn)變成自覺主動地按要求采取行動,形成良好的安全氛圍�����。
(二)成立宣教培訓中心,提升培訓水平
根據(jù)新區(qū)安全培訓實際��,要加速整合新區(qū)安全生產(chǎn)教育培訓資源����,搭建新區(qū)安全生產(chǎn)公共教育培訓平臺,探索建立新區(qū)安全生產(chǎn)公共教育培訓模式和工作機制��,充分發(fā)揮安全生產(chǎn)宣教培訓中心職能����,全面提升新區(qū)安全生產(chǎn)培訓水平。
一是制定并組織實施全區(qū)安全生產(chǎn)宣傳教育計劃��。根據(jù)新區(qū)年度安全生產(chǎn)宣教培訓計劃�,開展全區(qū)性重大安全生產(chǎn)宣傳教育活動,總結(jié)�����、推廣安全生產(chǎn)科學技術(shù)����、先進典型和先進經(jīng)驗。二是有序開展新區(qū)分類分批培訓工作�����。根據(jù)不同群體的培訓需求,編制印發(fā)公共培訓教材��,組織新區(qū)����、辦事處、社區(qū)安監(jiān)系統(tǒng)內(nèi)工作人員依法行政的培訓學習���,以及生產(chǎn)經(jīng)營單位企業(yè)負責人�、安全管理人員�����、安全主任培訓��、再培訓的組織和管理及協(xié)助發(fā)證工作�����。三是做好溝通協(xié)調(diào)�����、數(shù)據(jù)報送工作�����。按照市��、區(qū)有關(guān)事權(quán)劃分�,對轄區(qū)內(nèi)安全生產(chǎn)培訓教育社會辦學機構(gòu)進行指導,同時加強與上級職能部門����、兄弟單位的溝通協(xié)調(diào),及時報送和安全生產(chǎn)管理方面的重要信息�����。
(三)落實企業(yè)主體責任��,夯實培訓體系
我國現(xiàn)行的是"政府統(tǒng)一領導��、部門依法監(jiān)管���、企業(yè)全面負責�����、群眾參與監(jiān)督�����、全社會廣泛支持"的安全生產(chǎn)體制�。根據(jù)法律法規(guī)相關(guān)規(guī)定,企業(yè)是安全生產(chǎn)的責任主體���,必須依法落實安全生產(chǎn)責任�,履行安全生產(chǎn)義務���,對預防事故的發(fā)生承擔相應的責任�,對本單位的安全生產(chǎn)管理工作全面負責���。
在安全培訓方面���,要建立以企業(yè)為基礎的安全培訓體系,主要加強以下幾方面的工作:一是加強安全培訓的組織領導�����。企業(yè)要把安全培訓教育納入企業(yè)的發(fā)展戰(zhàn)略中,企業(yè)的負責人�、安全管理人員要自覺成為安全培訓的模范和榜樣,帶頭參加培訓�,熟悉相關(guān)法律�、法規(guī)、規(guī)章制度及安全管理����、事故救援要點;二是制定企業(yè)安全培訓規(guī)劃����。企業(yè)要根據(jù)本單位生產(chǎn)發(fā)展的總體戰(zhàn)略目標和階段性工作目標,按照不同級別��、不同類別人員�,制定符合企業(yè)實際需要的安全培訓長期和短期規(guī)劃;三是加強企業(yè)安全培訓制度建設���。企業(yè)要對安全培訓工作登記建檔���,嚴格培訓考核獎懲制度,把全員安全培訓的理念落實到每個職工身上����;四是加大企業(yè)安全培訓投入�。企業(yè)要充分認識到培訓投入是效益最大的投入��、人力資源是第一資源�,高度重視安全培訓,加強對培訓設施�����、師資�、教材的投入,為企業(yè)安全培訓工作提供堅實的物質(zhì)保障����。
(四)加強安全培訓考核,完善監(jiān)督機制
篇2
【摘 要】在全國經(jīng)濟步入“新常態(tài)”�����,煤炭企業(yè)困難加劇的大形勢下�����,擬就煤礦安全培訓機構(gòu)如何通過內(nèi)部挖潛����,積極培養(yǎng)各方面的專門人才�,努力打造職業(yè)化師資隊伍�����,提高煤礦安全培訓效率�,提出了對策和解決辦法���。
關(guān)鍵詞 師資建設����;深挖潛力����;做法初探
安陽鑫龍煤業(yè)(集團)技工學校目前是永煤集團安陽鑫龍煤業(yè)(集團)有限責任公司所屬唯一的三級培訓機構(gòu),主要承擔該公司煤礦特種作業(yè)人員的安全技術(shù)培訓工作����。近兩年隨著企業(yè)經(jīng)營困難加劇,該校以打造職業(yè)化師資隊伍為目標�,以深挖內(nèi)部師資潛力抓手,不斷強化教師隊伍建設����,拓寬教師來源渠道����,建立和完善教師培養(yǎng)培訓制度���,加強優(yōu)秀教師團隊的建設���,尤其是強化專業(yè)課教師的技能訓練,建立新型的培訓模式���,努力建設一支“高尚�、卓越����、受人尊敬”的掌握高新技術(shù)、技能的專�����、兼職教師隊伍�����。本文從該校三級培訓機構(gòu)師資建設的角度,提出在現(xiàn)有形勢下提高煤礦安全培訓師資建設水平的對策��。
1 師資隊伍建設工作中存在的普遍問題
1.1 專業(yè)課教師引進渠道不暢
目前���,隨著煤炭企業(yè)效益的下滑�,安全培訓機構(gòu)師資力量不足�����、引進渠道不暢等老問題更加凸顯出來�����。培訓機構(gòu)專業(yè)課教師的缺口日益加大��。
1.2 師資隊伍質(zhì)量需要提高
當前安陽鑫龍煤業(yè)(集團)技工學校專業(yè)課教師主要由兩類人員組成:一是高校畢業(yè)生�。其中大多數(shù)缺乏企業(yè)實踐經(jīng)歷��。二是“半路出家”的專業(yè)課教師����,即根據(jù)教學需要從基層單位選拔部分技術(shù)較好的人員來承擔專業(yè)的教學任務,系統(tǒng)的理論知識較薄弱���。
1.3 具有一定知名度的專業(yè)帶頭人嚴重不足
該校雖然擁有一定數(shù)量的學科帶頭人�����、骨干教師等��,但其數(shù)量與安全培訓的發(fā)展規(guī)模相比較���,明顯不足��,具有一定知名度的專業(yè)帶頭人則更少���。
1.4 培訓教師知識更新速度慢
授課教師雖然具備極其豐富的現(xiàn)場生產(chǎn)技術(shù)管理經(jīng)驗,但受工作性質(zhì)和條件影響�,有些“知識更新”沒有及時跟上,在授課時難以取得培訓實效���。在授課過程中���,只憑“老教案”進行講解,達不到“針對性�����、可操作性”的目的。
1.5 師資培訓機制不健全
要提高培訓質(zhì)量�,就要做好對培訓者的培訓。企業(yè)現(xiàn)在對生產(chǎn)一線員工的培訓十分重視���,但對培訓機構(gòu)師資的培訓缺少必要的政策和有效的措施�。
2 現(xiàn)形勢下關(guān)于安全培訓師資建設的做法
2.1 籌建高級培訓師工作室��,深挖內(nèi)部師資潛力
該校在師資建設方面深挖內(nèi)部師資潛力�����,選拔了四名既有扎實的理論知識�,又有豐富的現(xiàn)場經(jīng)驗的資深教師組建了高級培訓師工作室,其目的是結(jié)合礦區(qū)生產(chǎn)實際�����,對安全培訓進行“問診把脈”���,高效整合培訓內(nèi)容,設計培訓授課方式��,分析�����、總結(jié)現(xiàn)有教學經(jīng)驗,提出培訓管理與課程完善的合理化建議���;根據(jù)培訓要求和對象特點編制培訓講義��、課件����,進行培訓課程研發(fā)��,并通過積極聽課��、評課�����、調(diào)研等���,對教學經(jīng)驗不足的教師和新教師進行幫教���、指導,大幅度提高整個教師隊伍的授課技能和培訓內(nèi)容的針對性。
2.2 強化“三個師團”建設�,打造職業(yè)化教師團隊
近兩年來,該校持續(xù)深耕安全知識教師團��、技能提升導師團和潛能開發(fā)講師團“三個師團”建設��,并以此為抓手�����,打造職業(yè)化師資團隊�����,取得了顯著成效�。其中尤以技能提升導師團建設為重點,從鑫龍煤業(yè)現(xiàn)有的技術(shù)能手���、技師�、高級技師中選拔了249人擔任技能導師��,使其有任務�����、有目標�,并通過創(chuàng)新“4321”實操考核辦法,強化實操培訓效果�,使職工的技能水平得到不斷提高。
2.3 成立專業(yè)化教研組��,提高培訓的針對性
為使培訓內(nèi)容更加貼近安全生產(chǎn)各專業(yè)工作需要�����,該校統(tǒng)籌鑫龍煤業(yè)現(xiàn)有專業(yè)技術(shù)資源���,成立了采掘?qū)I(yè)��、機電專業(yè)��、通風安全專業(yè)等11個專業(yè)教研組��,讓各專業(yè)化教研組成員在傳統(tǒng)課堂理論PPT教學方法方式的基礎上���,重點采用視頻教學、案例教學��、分組討論教學����、現(xiàn)身說法�、動畫播放����、圖紙會審等方式方法,發(fā)揮自身專業(yè)和現(xiàn)場經(jīng)驗豐富的優(yōu)勢��,把枯燥無味的課本知識��,用解讀員工身邊事等員工喜聞樂見的方式傳授給學員��,既提高了員工學習的興趣���,還達到與技校專業(yè)教師理論教學優(yōu)勢互補���,鞏固理論教學效果目的。不僅使授課形式實現(xiàn)了的多樣化��,還擴充了師資隊伍規(guī)模���。
2.4 走出去請進來�����,確保教師全員持證和知識更新
在“走出去”方面����,該校一是嚴格按照“承擔安全培訓的教師100%參加每年的知識更新培訓”的要求��,分批次安排教師參加上級管理部門組織的安全師資再培訓和取證培訓�����,確保安全培訓教師全部持證上崗�,以滿足安全培訓的需求;二是定期組織教師���、培訓管理人員到外部單位考察學習培訓工作�����,引進好的培訓經(jīng)驗����。在“請進來”方面����,邀請知名專家�、教授以及其他煤炭企業(yè)的高級技術(shù)人員前來開班專題講座���,讓教師與其進行交流�、互動���,實現(xiàn)提升授課技能和授課水平的目的����。
2.5 積極參加各種教學比賽����,以賽促教學水平提升
近年來,該校積極鼓勵專��、兼職教師參加國內(nèi)各種教學比賽��,相繼有多名教師的課件���、論文和教案在國家��、省級大賽上獲得獎項���,他們在為個人爭取榮譽的同時��,也提升了自身的教學水平�����。
2.6 開展授課技能大賽,促教師技能整體提升
每年舉辦一次“內(nèi)部培訓師授課技能大賽”�����。為使比賽賽出成績��、水平�,要求專兼職教師全員參與說課,并相互之間進行評課��,同時聘請師范院校專家教授進行現(xiàn)場指導�����,最終以先初賽再決賽的形式選出年度優(yōu)勝者���。全體專�、兼職教師通過評課��、說課、培訓���、課件和教案反復修改和現(xiàn)場比賽��,可有力促進教師授課技能的整體提升���。
2.7 建立激勵機制,提高教師待遇
篇3
道路安全審計(Road Safely Audits��,簡稱RSA)是從預防交通事故�、降低事故產(chǎn)生的可能性和嚴重性人手,對道路項目建設的全過程����,即規(guī)劃、設計�����、施工和服務期進行全方位的安全審核����,從而揭示道路發(fā)生事故的潛在危險因素及安全性能,是國際上近期興起的以預防交通事故和提高道路交通安全為目的的一項新技術(shù)手段�。其目標是:確定項目潛在的安全隱患�;確??紤]了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負面影響����,避免道路成為事故多發(fā)路段;保障道路項目在規(guī)劃����、設計����、施工和運營各階段都考慮了使用者的安全需求,從而保證現(xiàn)已運營或?qū)⒔ㄔO的道路項目能為使用者提供最高實用標準的交通安全服務�����。
1 道路安全審計的起源與發(fā)展
1991年��,英國版的《公路安全審計指南》問世��,這標志著安全審計有了系統(tǒng)的體系�����。從1991年4月起,安全審計成為英國全境主干道��、高速公路建設與養(yǎng)護工程項目必須進行的程序���,使英國成為安全審計的重要發(fā)起與發(fā)展國�。而我國則是在20世紀90年代中期開始發(fā)展安全審計����,主要有兩個渠道:①以高等院校為主的學者通過國際學術(shù)交流與檢索國外文獻,從理論體系的角度引入道路安全審計的理論�;②通過世界銀行貸款項目的配套科研課題。在工程領域開展道路安全審計的實踐����。
目前,在澳大利亞���、丹麥���、英國、冰島���、新西蘭和挪威等國已定期地執(zhí)行道路安全審計��,德國���、芬蘭����、法國���、意大利����、加拿大�、荷蘭��、葡萄牙�����、泰國以及美國正處于實驗或試行階段���,其他許多國家也在就道路安全審計的引入進行檢驗����,比如希臘等國家。國外研究表明�,道路安全審計可有效地預防交通事故,降低交通事故數(shù)量及其嚴重度�����,減少道路開通后改建完善和運營管理費用�����,提升交通安全文化�����,其投資回報是15~40倍���。
道路安全審計在我們道路建設中的重要性����,不僅僅是在提高安全性方面�,對經(jīng)濟性也有幫助。而山區(qū)道路的安全比起一般道路來講����,就更應該引起我們的注意�,畢竟山區(qū)道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰(zhàn)�,而且其發(fā)生事故的死亡率也比其他道路高很多,因此�����,審計對于山區(qū)道路來說是至關(guān)重要的�。
2 山區(qū)道路安全審計內(nèi)容
加拿大等國家認為,在項目建設的初步設計階段進行道路安全審計最重要���、最有效�����,因而早期的道路安全審計主要重點是在項目建設的初步設計階段?����,F(xiàn)世界各國都普遍認為可在已運營的道路和擬建道路項目建設期的全過程實行安全審計,即在規(guī)劃或可行性研究�、初步設計、施工圖設計��、道路通車前期(預開通)和開通服務期(后評估階段)都有所側(cè)重地實行審計。山區(qū)道路安全審計同樣與其他道路的安全審計工作內(nèi)容一樣�����。
3 審計要素
典型的道路安全審計過程為:組建審計組+設計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結(jié)果+設計隊研究�����、編寫響應報告-審計報告及響應報告共同構(gòu)成項目安全文件���。
整個安全審計的時間一般為兩周左右�����。為保證安全審計的質(zhì)量���,審計組人員的構(gòu)成至關(guān)重要。審計組的人數(shù)依項目的規(guī)模大小一般由26人組成�,審計組應由不同背景、不同經(jīng)歷�����、受過培訓��、經(jīng)驗豐富、獨立的人員(與設計隊無直接關(guān)聯(lián))組成�。審計人員一般應具備交通安全、交通工程���、交通運行分析�、交通心理�����、道路設計�、道路維護、交通運營及管理�����、交通法律法規(guī)等方面的知識��,應保證審計組人員相互間能平等���、自由地交流����、討論和商議安全問題���。審計人員應本著對社會(用戶)負責的態(tài)度�����、安全第一的觀點�,依據(jù)道路標準規(guī)范��,對項目各種設計參數(shù)���、弱勢用戶�����、氣候環(huán)境等的綜合組合�,展開道路安全審計����。道路安全審計人員(審計組)與設計人員(設計隊)的區(qū)別在于:設計人員需要綜合考慮項目投資、土地����、政治、地理�、地形��、環(huán)境�、交通��、安全等方方面面的因數(shù)���,限于經(jīng)驗���、時間的約束,對安全問題難免有所偏頗�����。而安全審計人員不考慮項目投資��、建設背景等因數(shù)�,僅僅考慮安全問題,只提安全建議�,最后由設計人員決定:采納、改進或不采納���。因而可以說道路安全審計的關(guān)鍵點為:它是一個正式的���、獨立進行的審計過程�����,須由有經(jīng)驗的、有資格的人員從事這一工作����,要考慮到道路的各種用戶,最重要的一點是只考慮安全問題��。
安全審計報告一般應包括:設計人及審計組簡述���、審計過程及日期���、項目背景及簡況、圖紙等��,對確認的每一個潛在危險因素都應闡述其地點��、詳細特征��、可能引發(fā)的事故(類型)�、事故的頻率及嚴重度評估、改進建議及該建議的可操作性(實用性)等��。審計報告應易于被設計人員接受并實施。響應報告應由項目設計人員編寫����,其內(nèi)容—般應包括:對審計報告指出的安全缺陷是否接受,如不接受應闡述理由�,對每一改進建議應一一響應,采納����、部分采納或不采納,并闡明原因�����。
4 現(xiàn)有山區(qū)道路的安全審計
對現(xiàn)狀山區(qū)道路進行安全審計����,主要評估現(xiàn)狀道路潛在事故危險性,同時提出改進措施以降低未來發(fā)生事故的可能性?�,F(xiàn)狀道路的安全審計與新建道路相類似�����,也需進行上面所提到的工作,但現(xiàn)場調(diào)查以及評估資料及文件這兩步與新建道路有所不同�����。此時事故資料被作為欲審計資料的重要組成部分���,同時該資料也包括可能導致事故發(fā)生潛在性的一些不利因素的詳細資料。
理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計應該建立在有規(guī)律的基礎之上�。它可以以連續(xù)幾年審計的結(jié)果為基礎,采用滾動式的審計方式對路網(wǎng)中的每條道路都進行評估���。對于里程較長的道路(一般>100km)���,其安全審計工作可按兩階段進行,即初步審計階段和詳細審計階段�����。前者主要對道路總體上進行粗略審計���,給出存在的主要問題及所處位置�����,后者則對找到的問題進行進一步的詳細分析并提出相應的改進建議�����。對里程較短的道路(
由于欲審計道路已修建完成并已經(jīng)運營�,此時現(xiàn)場調(diào)查就顯得非常重要。不管是擬建道路或已建道路�、線內(nèi)工程還是線外工程,安全審計工作必須全方位細致地進行��。要考慮不同道路使用者對道路安全性能的不同需求��。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼��;②半徑太小可能使得駕駛員無法在規(guī)定視距范圍內(nèi)看到對方���;③山體的穩(wěn)定性也可能會影響到駕駛員��。
另外����,現(xiàn)狀山區(qū)道路的安全審計工作還要調(diào)查不同的道路類型�,例如白天、黑夜����、干燥�、潮濕等情況對道路的影響���。此外��,對現(xiàn)有道路網(wǎng)絡的安全審計可結(jié)合養(yǎng)護工作同時進行��,這樣可減 少相應的成本費用��。
5 我國山區(qū)道路的審計現(xiàn)狀及問題和解決方法
5.1審計現(xiàn)狀及問題
由于目前審計這個名詞在國內(nèi)還算比較新鮮,國外從起步發(fā)展到現(xiàn)在也不過十來年的時間��,各方面都只是處于實驗或者是試行階段��,并沒有固定的一套理論依據(jù)����。而我國相對外國來說又是落后了好幾年,因此我國現(xiàn)在總體的審計現(xiàn)狀也就處于探索階段��,各個方面也是處于起步階段���,不可能對各個方面的審計工作做到非常的完善����。而道路的審計不過是眾多審計工作中的一小部分,由于其本身的“新鮮性”�,又對審計人員的要求較高,西部一些貧困地區(qū)教育跟不上��,審計的人才缺乏也不是沒有可能�,設備等亦未全部到位。山區(qū)道路安全審計工作的開展較一般道路可能要更加的困難�,因為山區(qū)道路多是停山臨崖,彎道又多�,坡度又大等各方面因素是其工作的開展要難與一般道路;更有甚者像那些偏僻地區(qū)的山區(qū)道路��,可能路面的質(zhì)量都無法保證�����,更不要提進行什么安全審計�����。
5.2解決方法
要改善我國目前的這種安全審計情況��,需要全國各個方面的努力與配合�,不過政府要有所規(guī)定��,我們民間也要有這方面的意識���。筆者簡單列出幾項:①國家應該頒布相關(guān)的法律制度,嚴格要求進行安全審計���;②地方政府部門要加強管理�;③加強對審計人員的培訓����;④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區(qū)��;⑥提高我國的經(jīng)濟實力�。
6 結(jié)束語
山區(qū)道路的安全審計工作與其他道路的安全審計總體上應該說差不多���,當然山區(qū)的那種獨特的環(huán)境使得審計工作的重點可能不僅僅局限與一般的道路���,不要認為山區(qū)道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家��,山區(qū)道路對于我國各個地區(qū)的經(jīng)濟往來的作用不言而譽�����。通過安全審計,加強了全國各地交流��。對于我國的經(jīng)濟發(fā)展有百利而無一害��。國內(nèi)山區(qū)道路建設的實際情況對道路安全審計進行了較為系統(tǒng)的分析研究并得出以下結(jié)論:
篇4
1.空管安全管理體系概述
空管安全管理體系包括空域管理�、空中交通流量管理和空中交通服務(包括空中交通管制服務)在內(nèi)的系統(tǒng)性的安全管理問題。
空管安全管理體系研究現(xiàn)狀
安全始終是民航界的首要問題���,在民航界具有重要影響的組織或國家都幾乎一致地將空中交通管理系統(tǒng)的安全管理問題升級為一個具有現(xiàn)代管理學科意味的系統(tǒng)性安全管理問題來對待�����,在繼承傳統(tǒng)安全管理經(jīng)驗(尤其是其中所包含的安全管理文化精髓)的同時���,人們已經(jīng)更加重視依托現(xiàn)代安全管理理念、策略和科學方法(包括基于電子計算機技術(shù)的安全管理決策支持工具)去全面解決空管系統(tǒng)的安全管理問題���。目前�����,還沒有一個標準統(tǒng)一的體系來對空管單位進行安全評估和審計����,各單位的標準不一,審計手段也各不相同�。隨著民航業(yè)的飛速發(fā)展,空中交通流量的劇增���,工作壓力越來越大�����,造成空管單位的安全隱患與日俱增����。
2.空管安全審計
2.1 空管安全審計概述
空管安全審計可以讓管理層有效掌握空中交通服務系統(tǒng)的安全狀況和需要改進的缺陷�����,它是一種識別潛在問題的有效手段�,是一項未雨綢繆的預防性安全管理活動�����。
作為安全管理體系的一部分�����,內(nèi)部安全審計所體現(xiàn)的內(nèi)部安全管理作用在于:確保運行安全風險得以識別,導致安全問題的誘因得以辨識����;通過強化安全指令和程序的遵守、人力資源配置�����、提高人員素質(zhì)和培訓等��,確保具有良好的安全管理體系架構(gòu)���;確保應對突發(fā)緊急情況的安全措施得當�;確保設備性能能夠滿足保證安全所需����;在促進安全、監(jiān)測安全性能和處理安全問題方面�����,保證各項管理措施切實有效。
2.2空管安全審計原則
(1)安全審計的目的在于了解實際情況�����,不得有任何指責和懲罰方面的暗示��。
(2)被審計者應當給審計者提供一切相關(guān)安全管理實證或文件���,安排必要人員供審計者了解情況�����。
(3)安全審計應當客觀地調(diào)查取證�����。
(4)應當在規(guī)定的時間內(nèi)給被審計單位提供書面報告����,闡述發(fā)現(xiàn)的問題并提出建議�。
(5)應當向被審計單位提供有關(guān)審計結(jié)果的反饋意見。反饋意見應當突出審計中所觀察到的問題�����,必須找出不足之處��,但也要盡可能回避消極的批評�。
2.3空管安全審計計劃
簡介:說明這是哪一項安全審計的正式文件,介紹報告的各章��。
參考文件列表:列出審計中使用的所有文件依據(jù)背景:描述審計原因���,說明這是正常審計還是由于特殊原因(例如:發(fā)現(xiàn)安全風險����,觀察到不安全事件等)而進行的審計��。
目的:按照審計計劃描述審計的目標和范圍��。如果在審計過程中發(fā)生了影響審計目標完成的事件�,應當在此描述,并且闡述事件造成的后果���。
人員:列出參加審計的人員
受審計的單位:列出受審計的單位名稱
計劃日期:注上當日日期
2.4在空中交通服務系統(tǒng)的安全審計應當遵循以下原則:
(1) 觀察結(jié)果和建議的內(nèi)容應與最后討論會��、審計報告草案及最終審計報告中的談論或稱述保持一致��。
(2) 審計結(jié)論應當有充分的證據(jù)支撐���;對觀察結(jié)果和建議的闡述應當清晰簡要�。
(3) 觀察結(jié)果應當具體明確���,并客觀地陳述觀察結(jié)果���。
(4)要應用廣泛接受的航空術(shù)語而不要用縮略語和俗語。
(5)避免直接批評某個人或某個職位��。
2.5審計員應當在訪談時應當遵照以下原則:
(1)聆聽——讓講話的人知道你在聽他講�����;
(2)保持中立——不要當面表達不一致的意見����,不要隨意打斷對方的陳述或甚至給予批評;
(3)理解不透徹時——可向?qū)Ψ胶藢?�,以獲得對方對訪談記要的認可���;
(4)使用“什么����,為什么,在哪里�,什么時候,誰�����,如何”等特殊疑問句����,以引出事實情況���;
(5)詢問一些深入的問題���,比如“假設…”,“如果…����,會怎樣”“請給我演示一下…”,讓對方給出解釋和例證�。
2.6 安全審計情況的后續(xù)跟蹤
(1) 后續(xù)跟蹤的主要目的在于核實受審計單位是否落實了改進計劃。后續(xù)跟蹤可以通過對改進計劃實施情況的監(jiān)督來進行��,也可通過隨訪跟蹤來進行����。
(2)如果進行了跟蹤隨訪��,還應當編制一份隨訪報告�,說明改進計劃的落實情況�����。
如果不符合規(guī)章的情況和隱患尚未消除����,審計組長應當在跟蹤報告中著重說明,并直接給相關(guān)空中交通服務單位的高層管理者發(fā)送一本報告副本���。
(3) 審計組長應主動向所屬空中交通管理機構(gòu)報告階段性的審計情況和提交審計報告���、跟蹤隨訪報告。
3.結(jié)論
本文首先對空管安全管理體系進行了概述��,描述了當今空管安全管理的現(xiàn)狀及中國民航安全管理的目標和空管安全管理體系的構(gòu)成�����。
綜上所述����,本文的研究目的是如何通過有效�����、科學的手段對空中交通管制單位運行安全審計���,找出安全隱患�����,通過一系列的運行管理手段�,消除安全隱患,使“人─機─環(huán)境”系統(tǒng)中的運行關(guān)鍵因素有機地結(jié)合�,共同作用于空管運行的各個階段,切實提高航空安全運行質(zhì)量���,從而進一步完善我國民航安全運行管理���,切實提高民航安全運行質(zhì)量,最大限度地降低航空事故����,提高空中交通管制單位的自身系統(tǒng)控制能力和安全管理水平�。
參考文獻:
[1]空管在線收集整理
[2]駱慈孟.以人為本,確保飛行安全�����,空中交通管理����, 2000.5
篇5
在計算機與網(wǎng)絡迅速發(fā)展的當代,互聯(lián)網(wǎng)已經(jīng)為人類做出了不可小覷的貢獻�����,尤其是在教學方面��,教師已經(jīng)習慣運用信息化手段來教學�����,但是就在互聯(lián)網(wǎng)盛行的時代�����,出現(xiàn)了很多負面的非法信息�,這使學生的人生觀以及價值觀都受到了影響,更有甚者非法站點介入了校園內(nèi)部的網(wǎng)站����,竊取了某些信息�����,將其泄漏出去��,使學生的學習以及教師的工作受到了嚴重的影響����。由此看來����,規(guī)范校園網(wǎng)絡使用行為����,保證校園網(wǎng)絡能夠健康、穩(wěn)定地運行是目前我國大多數(shù)學校應該重視的問題��。
1 校園網(wǎng)網(wǎng)絡管理現(xiàn)狀
從我國大部分校園網(wǎng)絡使用情況來看�����,校園網(wǎng)絡中出現(xiàn)了以下幾種狀況:
(1)首先校園內(nèi)部網(wǎng)絡使用者沒有經(jīng)過嚴格的用前培訓����,因此有很多校園內(nèi)部使用者都會對校園網(wǎng)絡產(chǎn)生供給威脅����;
(2)校園外部互聯(lián)網(wǎng)接入內(nèi)部�����,校園內(nèi)部網(wǎng)絡出現(xiàn)了很多的病毒����,同時也受到了攻擊性的威脅;
(3)很多來自外部的移動終端以及計算機帶來了很大的隱患�;
(4)網(wǎng)絡上不良信息以及垃圾郵件對校園網(wǎng)絡產(chǎn)生的威脅。
2 校園網(wǎng)網(wǎng)絡安全審計的功能及內(nèi)容
2.1 網(wǎng)絡安全審計
其指的是依照制定的策略�,使用審計工具,來對用戶以及系統(tǒng)活動進行記錄���,并分析數(shù)據(jù)等�,以此來審查網(wǎng)絡的安全����,避免出現(xiàn)一些人為錯誤,這樣就能夠掌握系統(tǒng)是否有漏洞,對資源進行科學�、合理地調(diào)配,保證系統(tǒng)能夠健康���、穩(wěn)定地運行��。
2.2 網(wǎng)絡安全審計的要點
在管理校園網(wǎng)的過程中����,對網(wǎng)絡的審計內(nèi)容主要包括以下這么幾點:
2.2.1 實時審計
也就是說對正在發(fā)生的網(wǎng)絡行為進行監(jiān)督�����,爭取能夠在第一時間內(nèi)將非法操作以及不良網(wǎng)站進行封堵���,或者報警,監(jiān)督的內(nèi)容不僅包括上網(wǎng)時間����、下載文件的類型,還有上網(wǎng)流量等�。
2.2.2 日志審計
將網(wǎng)絡運行的日志記錄下來,全面管理操作系統(tǒng)的運行日志和數(shù)據(jù)訪問日志�,并對其進行分析和處理。
2.2.3 內(nèi)容審計
此審計也可以在實時審計以及日志審計當中使用,審計聊天����、發(fā)帖以及電子郵件中的信息。實時審計主要是對信息的出入口進行嚴密的監(jiān)測����,分析和對比信息中的關(guān)鍵字,對非法文字或者敏感字段進行報警���,在這些工作進行的過程中���,將整個過程記錄在日志當中,以此作為審查的原始材料��。
2.2.4 實時跟蹤
這是對那些進發(fā)生并且有追溯���、挽回可能的活動信息進行實時跟蹤���,將之后的活動信息記錄下來,以便追溯非法行為或者犯罪行為���。
3 網(wǎng)絡安全審計在校園網(wǎng)安全管理中的作用
網(wǎng)絡安全管理中最為重要的一部分就是網(wǎng)絡安全審計�����,這可以幫助校園維護網(wǎng)絡安全穩(wěn)定運行���,師生上網(wǎng)行為得以規(guī)范等工作更加順利地進行����。
(1)網(wǎng)絡安全審計在過濾URL地址等關(guān)鍵字之后�,既能阻止不良網(wǎng)站中的不良信息接入校園網(wǎng)絡,與此同時能夠使網(wǎng)絡得以很大程度的保護���,保護其不受外來網(wǎng)絡中病毒的侵害�,使系統(tǒng)中最基本的安全能夠達到相應的標準���。除此之外��,因為日志審計能夠保存系統(tǒng)運行過程當中的相關(guān)信息和日志���,因此就能夠在事后進行查詢�,將內(nèi)部攻擊的可能性降到最低,并且能夠使?jié)撛诘碾[患得以震懾�����。
(2)實時審計能夠有效規(guī)范校內(nèi)師生上網(wǎng)過程中的審計內(nèi)容,監(jiān)督并阻止教職工利用職務之便或者上班時間濫用網(wǎng)絡資源���,阻止學生不規(guī)范上網(wǎng)的行為���,將校園網(wǎng)的有效資源的價值發(fā)揮到最大限度。
(3)內(nèi)容審計能夠?qū)㈥P(guān)鍵詞與敏感詞有效地阻止在外��,避免了垃圾郵件�����,以及不良信息在校園網(wǎng)絡中擴散��,這樣一來就能夠?qū)π@網(wǎng)絡中的犯罪行為實施有效監(jiān)控��,使學校的名譽不被破壞�����。
(4)系統(tǒng)分析哪些有價值的日志信息��,能夠使系統(tǒng)管理員及時發(fā)現(xiàn)并修復系統(tǒng)中隱藏的漏洞���,除此之外����,系統(tǒng)運行統(tǒng)計日志能夠?qū)⑾到y(tǒng)性能中存在的問題反應出來,使系統(tǒng)管理員有了觀察�、處理網(wǎng)絡系統(tǒng)的工具。如此一來�����,對網(wǎng)絡性能實施及時調(diào)整��,為關(guān)鍵應用提供充足的資源��,還能使系統(tǒng)管理員具有針對性地進行系統(tǒng)維護�,這對提高工作效率有很大的幫助。
(5)有效追查已經(jīng)發(fā)生�����,但還有可能挽回的行為�,不僅能夠追溯違法犯罪的行為,還能夠追溯系統(tǒng)性能的好與壞���,這對追查已發(fā)生行為具有非常重要的意義��。
4 結(jié)語
近年來��,互聯(lián)網(wǎng)的飛度發(fā)展�,使校園有了更加豐富的教學資源�,給教師帶來了便利的辦公方式和多種多樣的教學手段,讓學生們的課余生活更加精彩��,但是卻也給校園網(wǎng)絡帶來了很大隱患��。因為校園網(wǎng)用戶多��、規(guī)模大�、使用者的活躍度較高等特點,所以非常難管理��,但是因為其涉及到教師與學生的日常工作與學習中���,所以對其進行嚴格管理也是極其重要的一項工作��。使用校園網(wǎng)絡安全系統(tǒng)����,能夠使網(wǎng)絡監(jiān)控效率得以提高�����,所以說在學校具體的使用中,應該根據(jù)校園網(wǎng)的實際情況�,對其設計科學的審計計策,讓審計內(nèi)容變得多樣化����,爭取使校園網(wǎng)的有效資源的價值發(fā)揮到最大限度。
參考文獻
篇6
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2012)0220131-01
0 前言
隨著互聯(lián)網(wǎng)絡和企業(yè)網(wǎng)絡的發(fā)展�,信息傳播范圍和獲取手段發(fā)生著日新月異的變化。桌面終端在企業(yè)員工日常工作中已被廣泛使用����,成為基本工具。桌面終端需要頻繁地訪問與企業(yè)生產(chǎn)運行密切相關(guān)的各種各樣的信息系統(tǒng)�,大量敏感或信息存儲在桌面或移動存儲介質(zhì)中。同時�����,來自于企業(yè)計算機網(wǎng)絡外部或內(nèi)部的攻擊活動有增無減����,變化無常,加之企業(yè)內(nèi)部桌面非法接入的情況較為普遍�����,以及桌面安全的管理規(guī)章制度沒有切實有效的管理手段。目前企業(yè)信息安全面臨嚴峻的挑戰(zhàn)�����,如何保證桌面終端的安全��,從而保證企業(yè)整體信息安全��,成為日益突出的問題�。同時強有力和切實可行的桌面安全管理手段����,也將成為企業(yè)信息安全得以保證的基礎。
1 桌面終端的安全要求
隨著企業(yè)信息化建設的迅速發(fā)展�����,終端計算機數(shù)量的逐步增加��,企業(yè)正常��、穩(wěn)定的生產(chǎn)及運行越加依附于企業(yè)網(wǎng)絡�。桌面終端是企業(yè)網(wǎng)絡的最基本組成部分�����,也是管理的最薄弱環(huán)節(jié)�����,涉及大量敏感或數(shù)據(jù)�����,管理較為為復雜����,往往成為信息外泄的源頭�����。
企業(yè)應根據(jù)自身的網(wǎng)絡環(huán)境��,結(jié)合基本情況�,統(tǒng)一部署防病毒系統(tǒng)和補丁分發(fā)系統(tǒng),并定期對病毒定義文件進行升級和播發(fā)安全補丁����。同時為了確保終端用戶合規(guī)接入網(wǎng)絡�����,應建立以端點準入控制系統(tǒng)為基礎的安全防護體系����,并執(zhí)行企業(yè)制定的安全策略����,阻止不符合安全策略的終端用戶接入企業(yè)網(wǎng)絡�����。終端用戶的桌面安全環(huán)境需要由完善的桌面管理系統(tǒng)提供保障�,除了利用防病毒和補丁系統(tǒng),來防范和控制木馬���、惡意軟件及內(nèi)網(wǎng)的攻擊行為��,還要對企業(yè)終端用戶的桌面制定相應的安全機制����,確保每個接入網(wǎng)絡的終端用戶都符合企業(yè)安全策略,規(guī)范終端桌面的安全行為���,使桌面終端工作在一個安全的防護體系中�,保證企業(yè)網(wǎng)絡在一個安全���、穩(wěn)定���、有較的環(huán)境中運行。
2 桌面終端安全防護體系建設
隨著信息技術(shù)應用的不斷深入��,企業(yè)信息系統(tǒng)集中程度的不斷提高�,業(yè)務對信息系統(tǒng)依賴程度不斷加大。現(xiàn)有的安全防護系統(tǒng)仍不能完全預防來自企業(yè)內(nèi)部或外部網(wǎng)絡的入侵和攻擊�����,所以需要完善安全防護體系建設�,統(tǒng)一建立以防病毒系統(tǒng)、補丁分發(fā)系統(tǒng)和端點準入控制系統(tǒng)為基礎的桌面安全防護系統(tǒng)���,才能使主要依靠信息化應用系統(tǒng)的安全性得到有效保證���。
2.1 防病毒系統(tǒng)�。防病毒系統(tǒng)體系由總部服務器獲取最新病毒定義文件下推到各級單位�,實現(xiàn)病毒定義文件的逐級升級。防病毒體系的統(tǒng)一部署�,有效地防止了病毒和惡意軟件的大面積爆發(fā),為桌面終端安全提供了強有力的保障�����。
2.2 補丁分發(fā)系統(tǒng)�����。補丁分發(fā)系統(tǒng)采用總部服務器過濾最新系統(tǒng)安全補丁并下發(fā)到地區(qū)公司服務器�,地區(qū)公司服務器自動下發(fā)到終端用戶的總體架構(gòu)方式�。補丁管理系統(tǒng)可以幫助企業(yè)對網(wǎng)絡內(nèi)各種軟件和應用系統(tǒng)進行維護和控制?�?朔踩┒床⒈3稚a(chǎn)環(huán)境的穩(wěn)定性�����。
2.3 端點準入系統(tǒng)����。端點準入安全防護體系由總部服務器下發(fā)企業(yè)總體安全策略,地區(qū)公司接收總部策略后根據(jù)本地實際情況制定個性化策略,管理個人計算機�。端點準入控制系統(tǒng)需要提供全面的端點保護功能,實現(xiàn)多層次的安全防護策略�,有效應對病毒、木馬����、蠕蟲等混合安全威脅,有效應對來自于互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡的惡意掃描����、惡意入侵等安全威脅。
2.4 桌面安全流量監(jiān)控體系����。通過桌面安全流量監(jiān)控系統(tǒng),將桌面安全事件和桌面安全技術(shù)支持團隊有機聯(lián)系在一起�����,建立“發(fā)現(xiàn)-定位-處理”循環(huán)往復的工作模式����,以安全管理團隊自上而下的監(jiān)督、支持和協(xié)同作戰(zhàn)���,推動各級安全管理團隊的工作����,提升管理水平,保證信息安全在桌面端少出問題�����,從而增強我們整體的信息安全水平����。
2.5 數(shù)據(jù)文件電子加密。網(wǎng)絡中最有價值的是數(shù)據(jù)����,而敏感或數(shù)據(jù)的安全性越來越重要。網(wǎng)絡安全產(chǎn)品大部分都集中在這些數(shù)據(jù)的����,并沒有針對數(shù)據(jù)本身的安全保障提出有效的解決方案�。所以建立電子文檔加密系統(tǒng),可以為員工提供方便易用的文件加密工具�����,切實增強信息安全水平和意識,有效防止敏感信息泄漏�。這對提高整體的信息安全也是切實可行的。電子文檔加密系統(tǒng)是為桌面用戶提供文件加密工具���。加密后的文件可有效防范丟失����、失竊或在網(wǎng)絡上傳輸時被非法常截獲等情況下的信息外泄�。
2.6 系統(tǒng)安全審計。建立系統(tǒng)安全審計應為安全部門或管理員提供及時有效的一組管理數(shù)據(jù)進行分析�����,以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件�����。利用安全審計結(jié)果��,可調(diào)整安全政策�,堵住出現(xiàn)的漏洞,為此��,系統(tǒng)安全審計應該具備以下功能:
1)記錄關(guān)鍵事件:由安全相關(guān)部門統(tǒng)一定義違犯安全的事件�,并決定將什么信息記入審計日志�����。
2)提供可集中處理審計日志的數(shù)據(jù)形式:以標準的����、可使用的格式輸出安全審計信息�����,使安全官員能夠直接利用軟件工具處理這些事件���。
3)實時安全報警:擴展現(xiàn)有管理工作的能力并將它們與數(shù)據(jù)鏈路驅(qū)動程序和安全審計能力結(jié)合起來��,當發(fā)生與安全有關(guān)的事件時�,安全系統(tǒng)就報警通知相應的部門����。
2.7 加強桌面安全管理。建立嚴格遵守規(guī)章制度���,依據(jù)國家法律法規(guī)根據(jù)企業(yè)本身的實際情況制定相關(guān)規(guī)章制度,讓終端用戶遵守相關(guān)制度�,可以有效的減少終端安全桌面的事故發(fā)生�����。培養(yǎng)終端用戶良好的安全意識�,安全意識低的必然結(jié)果就是導致信息安全實踐水平較差����,所以培養(yǎng)終端用戶的安全意識可以防止利用終端入侵企業(yè)網(wǎng)絡。加強桌面用戶安全培訓����,經(jīng)常組織安全培訓可以提高終端用戶的安全防護知識,提升終端桌面的防御能力�。
3 結(jié)語
桌面終端是企業(yè)網(wǎng)絡運行的基礎,也是企業(yè)信息安全最脆弱的部位�,目前企業(yè)的安全防護手段不能完全的對桌面終端做到有效的安全管理,所以應該根據(jù)需求建立相應的安全體系�,不僅能增加桌面終端的安全防護能力,同時也減少企業(yè)網(wǎng)絡面臨的安全威脅����,同時應提高終端用戶的安全意識,加強安全管理���。
篇7
一�、信息系統(tǒng)審計的內(nèi)涵和外延難以把握
隨著信息技術(shù)的發(fā)展,信息系統(tǒng)在財務���、管理領域的應用程度不斷提高����,功能日趨完善�,其軟硬件結(jié)構(gòu)的復雜性和涉及領域的廣泛性以及信息處理技術(shù)更新的頻繁性使得審計人員難以同步把握信息系統(tǒng)審計的內(nèi)涵和外延。從外延上看�,信息系統(tǒng)審計主要包括兩個部分,一是對信息系統(tǒng)主體的審計�����,二是對信息系統(tǒng)應用環(huán)境的審計���,包括網(wǎng)絡環(huán)境��、使用環(huán)境��、管理使用情況等��。一般說來�����,審計信息系統(tǒng)本身相對容易�����,但審計信息系統(tǒng)的應用環(huán)境卻存在較多不確定因素��,比如某公司的信息系統(tǒng)通過防火墻連接到互聯(lián)網(wǎng)�����,而在防火墻內(nèi)還存在其它系統(tǒng)���,其它系統(tǒng)是不是也在審計范圍之內(nèi)?從內(nèi)涵上看����,信息系統(tǒng)審計主要是對信息系統(tǒng)的安全性和可靠性進行評估、評價��。安全性�、可靠性是一個比較廣泛的概念,以系統(tǒng)安全性為例���,它包括:ISO開放系統(tǒng)互連安全體系結(jié)構(gòu)�、TCP/IP安全體系、開放系統(tǒng)互連的安全管理��、安全服務和功能配置�;系統(tǒng)安全涉及的信息安全技術(shù)包括:密碼技術(shù)、訪問控制技術(shù)�、機密性和完整性保護技術(shù)、數(shù)字簽名技術(shù)����、抗抵賴技術(shù)、預(報)警機制�、公證技術(shù)、防火墻技術(shù)����、漏洞檢測技術(shù)、網(wǎng)絡隔離技術(shù)�����、計算機病毒防范等�����。由于信息技術(shù)本身的限制性,絕大部分信息系統(tǒng)本身均存在安全性問題(如防護級別最高�����、防護技術(shù)最好的美國國防部也常有被攻擊的情況)���。
把握不準信息系統(tǒng)審計的外延和內(nèi)涵,就難以解決以下三個問題:一是難以解決審計力量與審計任務之間的矛盾��,難以控制審計風險����,即不該審的審了,該審的卻未審��;二是由于絕大部分信息系統(tǒng)本身均存在安全性問題�,信息系統(tǒng)審計很容易演變成“信息系統(tǒng)是否存在問題源自于審計人員的技術(shù)水平,而不是系統(tǒng)本身的安全性和可靠性”���,即�����,絕大部分信息系統(tǒng)均存在不安全��、不可靠因素��,就看審計人員能否發(fā)現(xiàn)由于信息系統(tǒng)的安全性問題是絕對的��,而審計人員的視角和技術(shù)水平是相對的��,信息系統(tǒng)審計的成果部分取決于審計人員對信息系統(tǒng)審計內(nèi)容的把握程度����;三是由于審計需要大量的證據(jù)支撐,對于未造成損失但信息系統(tǒng)存在不安全隱患的問題難以定性,即便是造成了損失����,也難以界定這些損失與信息系統(tǒng)不安全、不可靠因素之間聯(lián)系����。因此,審計部門應根據(jù)“全面審計���、突出重點”及“先易后難”�����、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則�,參照國家信息技術(shù)部的有關(guān)標準,界定信息系統(tǒng)工作的外延和內(nèi)涵�����,將信息系統(tǒng)審計的主要方向定在:被審計單位的信息系統(tǒng)的安全性����、可靠性是否達到應有的水平或標準,而不是系統(tǒng)是否有安全性和可靠性問題����。
二���、信息系統(tǒng)審計評價標準很難確定
信息系統(tǒng)安全審計��,涉及會計信息處理自動化�����、表示代碼化����、信息處理與存儲集中化�、內(nèi)部控制程序化等諸多廣泛�、復雜的計算機專業(yè)技術(shù)環(huán)節(jié)���,其技術(shù)性較高�。而我國信息系統(tǒng)審計正處于起步階段��,對審計機關(guān)如何開展信息系統(tǒng)審計尚在積極探索中��,因此�����,目前尚沒有一個完整的���、成熟的具有示范作用的審計案例��,也缺少具備實際指導意義的相關(guān)信息系統(tǒng)審計準則和操作指南����。
近年來���,國家安全部門相繼出臺了多個安全標準����,例如公安部出臺的《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)、《信息安全等級保護管理辦法》�,還有相應的安全技術(shù)規(guī)范《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡基礎安全技術(shù)要求》(GB/T20270-2006)�、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)��、《信息安全技術(shù)服務器技術(shù)要求》�、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標準。但在實際操作中�����,這些標準在可操作性上還有待提高�,一是信息系統(tǒng)安全等級的確定,缺乏一個等級認定的部門�����,目前是由各個單位自己定級報送����,會存在低報等級風險�����;二是等級要求沒有量化和詳細解釋,等級認定存在困難�。這些都給具體的審計實務工作帶來極大的困難。因此建議審計部門及時組織總結(jié)實踐經(jīng)驗�,規(guī)范信息系統(tǒng)安全審計的有關(guān)概念、審計內(nèi)容�����、工作流程和技術(shù)方法�、形成信息系統(tǒng)安全審計準則、操作指南或?qū)崉展娴臏蕜t體系��,這是信息系統(tǒng)安全審計得以健康發(fā)展的基礎�����。
三����、信息系統(tǒng)審計缺乏相應的人才
我國目前尚缺乏既熟悉審計業(yè)務又掌握計算機技術(shù)同時了解國內(nèi)標準信息系統(tǒng)流程的復合型人才,進行信息系統(tǒng)審計所涉及的知識面非常廣���,涉及會計���、審計����、管理和計算機等知識���,而進行信息系統(tǒng)安全性審計主要從系統(tǒng)總體安全���、系統(tǒng)運行安全、數(shù)據(jù)中心安全�����、硬件設備安全和網(wǎng)絡安全情況五個方面來進行���,每個方面都涉及不同的知識點����。當對系統(tǒng)總體安全進行審計時�,則要求審計人員具有系統(tǒng)總體分析����、系統(tǒng)設計和系統(tǒng)安全分析的知識;當對系統(tǒng)運行進行審計時,則要求審計人員具有系統(tǒng)運行管理�、系統(tǒng)維護和系統(tǒng)安全管理的知識;當對數(shù)據(jù)中心安全進行審計時�,則要求審計人員具有工程建設、數(shù)據(jù)中心安全維護和災備等知識��;當對硬件設備安全進行審計時���,則要求審計人員具有設備采購����、設備維護和設備安全分析等知識�;當對網(wǎng)絡安全情況進行審計時,則要求審計人員具有網(wǎng)絡安全分析和網(wǎng)絡防范等知識���。但在當前情況下�����,審計人員能夠掌握上述某一方面的知識都已經(jīng)難能可貴��,更不用說要掌握所有的知識面�。建議審計部門加強對審計人員理論培訓��,并組織審計人員進行實踐,通過實踐經(jīng)驗來鞏固理論知識���,培養(yǎng)出更多的信息系統(tǒng)審計復合型人才和相應的專業(yè)性人才��。
四���、信息系統(tǒng)審計需要相應的法規(guī)支持和成果考核標準
篇8
天識科技是美國Motorola公司PDA和日本富士通公司PDA指紋算法提供商,是國內(nèi)銀行總行選用的指紋管理平臺供應商�,該平臺管理著銀行業(yè)眾多的指紋儀。是國內(nèi)領先的指紋產(chǎn)品研發(fā)����、生產(chǎn)廠商,天識科技在全國范圍內(nèi)為中國銀行����、中國建設銀行、中國民生銀行���、中信銀行��、上海浦東發(fā)展銀行�、華夏銀行���、興業(yè)銀行�����、福州商業(yè)銀行等超過50家省市分行提供了生物識別應用安全產(chǎn)品的全面解決方案�����。天識科技對生物識別技術(shù)的研發(fā)已有10年以上的歷史����,有著豐富的產(chǎn)品設計�、生產(chǎn)組織、項目實施經(jīng)驗��,為銀行業(yè)實施各種安全解決方案有15年以上的經(jīng)驗�����。天識科技同時還是美國APPSEC 公司的專注于網(wǎng)絡應用評估�����、審計產(chǎn)品的中國金融業(yè)總�,是用生物識別技術(shù)和Web 應用審計技術(shù)完美結(jié)合��,防止非法入侵信息系統(tǒng)整體解決方案的提供商��。結(jié)合整體解決方案需要���,公司產(chǎn)品和服務劃分成生物識別產(chǎn)品系列、審計評估和Cefis安保三個部分��。
第一部分�,生物識別產(chǎn)品系列。公司擁有自由知識產(chǎn)權(quán)的指紋產(chǎn)品獲得多項國家發(fā)明��,指紋管理平臺TS-Match 是行業(yè)領先的指紋管理平臺����,目前管理著國內(nèi)銀行業(yè)眾多的指紋儀。
篇9
1.信息系統(tǒng)安全技術(shù)
信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎�����,在其中起到支撐的作用�。在實際工作中,針對企業(yè)各自特點制定相關(guān)策略��。當前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問題如下:
1.1硬件運維
硬件設備的運維和管理是企業(yè)信息系統(tǒng)安全體系的基礎保障�����,但是管理人員容易忽視這一環(huán)節(jié)。企業(yè)信息系統(tǒng)往往會因為硬件設備故障���、斷電或網(wǎng)絡問題造成信息丟失或服務中斷。如果針對硬件設備的運維和管理沒有相關(guān)保障機制��,一次發(fā)生意外���,就會給企業(yè)造成不可估量的損失�����。
當前常見的硬件設備運維保障管理機制有以下幾個環(huán)節(jié):一是通過設置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運行���;二是要對企業(yè)信息系統(tǒng)中的網(wǎng)絡設備進行定期巡檢,在前期的網(wǎng)絡環(huán)境部署過程中首先考慮網(wǎng)絡的連接穩(wěn)定性����;最后是加強信息系統(tǒng)安全管理,嚴防企業(yè)信息丟失和竊取�����,可以通過對數(shù)據(jù)信息存儲服務器設置物理鎖的方式避免非法操作。為了保證系統(tǒng)服務器的安全�,管理人員可以采用遠程登錄的方式訪問系統(tǒng)。
1.2入侵防御
病毒入侵一般都擁有固定代碼���,而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞����,從而進行人為操縱的信息竊取或系統(tǒng)攻擊�����。特定的防范方法包括:嚴格制定防火墻訪問控制策略�����,阻止外界對內(nèi)部資源的非法訪問���;關(guān)閉系統(tǒng)硬件不用的端口�;定期對系統(tǒng)進行漏洞掃描和補丁包更新����;在信息系統(tǒng)中部署入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS),從而抵御非法入侵��。
1.3病毒防范
信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對于信息系統(tǒng)病毒的防范非常重要。操作系統(tǒng)是企業(yè)信息平臺安全的基礎���,錯誤的安裝配置會使病毒滲入到信息系統(tǒng)當中���。針對信息系統(tǒng)安裝殺毒軟件并進行定期更新是病毒防范的基本措施,這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性��。企業(yè)還需要定期對系統(tǒng)進行數(shù)據(jù)備份�����。
1.4數(shù)據(jù)加密
在公共網(wǎng)絡進行數(shù)據(jù)傳輸?shù)倪^程中����,利用虛擬專用網(wǎng)(VPN)技術(shù)設置訪問控制策略�,實現(xiàn)兩個或多個可信網(wǎng)絡之間的數(shù)據(jù)加密與傳輸。搭建VPN通常使用加密防火墻和路由器����,保證數(shù)據(jù)安全傳輸[1]。
在企業(yè)的局域網(wǎng)中針對內(nèi)部信息存儲���、傳輸?shù)陌踩珕栴}�����,可以通過部署安全服務器來實現(xiàn)包括對局域網(wǎng)內(nèi)資源的管理控制��、用戶的管理和所有安全相關(guān)事件的跟蹤和審計���。
2.信息系統(tǒng)安全管理
企業(yè)信息系統(tǒng)安全體系的建設三分靠技術(shù)��,七分靠管理���。因此,建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點�����。
2.1制定企業(yè)信息系統(tǒng)安全管理制度
企業(yè)信息系統(tǒng)安全體系的建立和實施對其正常運營非常重要����,所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準。
2.2提高企業(yè)員工信息系統(tǒng)安全意識
現(xiàn)實中企業(yè)管理者的關(guān)注焦點大多是生產(chǎn)上的安全��,信息安全沒有得到足夠的重視����。實際上���,企業(yè)員工信息安全意識的高低,在企業(yè)的信息系統(tǒng)安全體系建設中起很大作用�����,企業(yè)能夠加強員工的信息安全意識����,將很大地提高信息系統(tǒng)安全體系實施的成效。
2.3嚴格執(zhí)行標準�,強化制度落實
在企業(yè)信息系統(tǒng)安全體系的建設過程中��,必須嚴格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行��,最大程度消除信息系統(tǒng)安全隱患�。若發(fā)現(xiàn)信息系統(tǒng)安全隱患,及時按照相關(guān)操作規(guī)程處置[2]��。
2.4積極學習和應對各種信息系統(tǒng)安全事件
信息技術(shù)不斷發(fā)展����,保障信息系統(tǒng)安全的難度也在與日俱增。因此,信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學習��,不僅要制定一套完整嚴密的信息系統(tǒng)安全管理方案�,還要有步驟清晰、操作性強的應急預案����,這樣才能增強信息系統(tǒng)安全管理的危機抵御能力和處理能力。
2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺
面對日漸嚴峻的信息安全形勢�����,在加強企業(yè)信息系統(tǒng)基礎安全設施建設的同時�����,要有機結(jié)合員工信息安全意識��、技術(shù)能力��、企業(yè)運維管理三者����,建立一套綜合性強的信息系統(tǒng)安全保障體系,在所有的業(yè)務系統(tǒng)中貫徹執(zhí)行當前的安全管理思路���,通過可量化的技術(shù)手段�����,達到信息系統(tǒng)安全管理的最終目的�����。
3.信息系統(tǒng)安全審計
企業(yè)信息系統(tǒng)安全體系的建設是一個長期的����、需要不斷持續(xù)更新、完善的系統(tǒng)工程�����,通過對信息系統(tǒng)的安全審計����,及時發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞���,才能不斷提高企業(yè)安全水平和質(zhì)量���。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計,有效加強企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風險控制,滿足相關(guān)政策法規(guī)�����,成為各行業(yè)面臨的普遍問題[3]���。
信息系統(tǒng)安全審計是指一群擁有相關(guān)信息安全專業(yè)技能和商業(yè)知識的審計人員對企業(yè)安全風險以及如何應對風險措施進行評估的一個過程���。信息系統(tǒng)安全審計人員通過收集、分析�、評估信息系統(tǒng)安全信息,掌握其安全狀態(tài)���,制定安全策略��,將系統(tǒng)調(diào)整到“最安全”和“最小風險”的狀態(tài)���,確保信息系統(tǒng)安全體系完整、合理�、適用[4]。
由于目前信息系統(tǒng)應用已經(jīng)涉及到企業(yè)的各個業(yè)務和辦公領域����,對于信息系統(tǒng)帶來的安全管理已經(jīng)是企業(yè)運營不可切割的一部分���。所以,企業(yè)的信息系統(tǒng)安全審計應該是一個從業(yè)務部門到技術(shù)部門都必須參與控制的過程�����。
從信息系統(tǒng)本身來說����,安全審計的要點主要是以下兩個方面:
3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計
數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn),保護數(shù)據(jù)的安全����、完整,避免其被惡意破壞�����、盜竊�。對用戶身份進行控制,避免非授權(quán)訪問數(shù)據(jù)�,是數(shù)據(jù)訪問環(huán)節(jié)的安全控制措施����。除此之外��,對數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)���。首先,應雇傭具備任職資格或經(jīng)過適當培訓的人員�,避免誤操作;其次��,所有操作都應該經(jīng)過授權(quán)且有記錄�����,數(shù)據(jù)文件被正確保存且經(jīng)過充分備份��,以備正確的恢復��。
在信息系統(tǒng)中����,有些數(shù)據(jù)需要在兩個子系統(tǒng)或多個子系統(tǒng)中相互傳輸,在這個過程中很可能會出現(xiàn)問題����,尤其是在需要手工錄入或同步傳輸?shù)那闆r,因此在進行信息系統(tǒng)安全審計的過程中要重點關(guān)注以下方面:數(shù)據(jù)在傳輸?shù)倪^程中可能會發(fā)生變化�,如何進行校驗�;核心數(shù)據(jù)庫可能會被物理分散的服務器取代���;當一個信息系統(tǒng)取代原有的信息系統(tǒng)時��,會進行數(shù)據(jù)的傳輸�。要保證傳輸?shù)臄?shù)據(jù)是完整���、可靠并且經(jīng)過批準的�,數(shù)據(jù)的全部傳輸過程要準確���,并且在約定時間內(nèi)完成���。
3.2內(nèi)部控制審計
篇10
一、主要成績:
1�、加強信息化建設,今年以來已投入資金余約250萬元�,進行了機房服務器、核心交換機及全院舊計算機���、打印機的更新工作����,已正常投入運行�。目前正在進行醫(yī)院信息系統(tǒng)升級和電子病歷系統(tǒng)上線、調(diào)試和人員培訓工作����,下月初將進行匯集交換機、接入層交換機安裝和全院的千兆網(wǎng)絡改造���、安裝檢驗系統(tǒng)和中科美侖公司的影像系統(tǒng)�,初步實現(xiàn)以電子病歷為中心的醫(yī)院信息化建設����。
2、加強網(wǎng)絡維護�,保證全院信息系統(tǒng)和醫(yī)保系統(tǒng)、農(nóng)保系統(tǒng)����,居民健康檔案系統(tǒng)、婦幼信息系統(tǒng)�����、財務管理系統(tǒng)正常運行����。移動公司已在我院安裝了無線網(wǎng)絡�����,基本實現(xiàn)全院的外網(wǎng)的無線網(wǎng)絡覆蓋�����。
3�����、加強醫(yī)院信息系統(tǒng)安全等級保護工作��,已安裝防火墻���、桌面管理軟件,下月初將安裝數(shù)據(jù)庫安全審計系統(tǒng)��,確保信息系統(tǒng)安全����,防止信息泄密。
二、目前存在的問題:
1�、我院目前正在進行醫(yī)院信息系統(tǒng)升級和上電子病歷系統(tǒng),目前新舊系統(tǒng)都在運行��,因數(shù)據(jù)庫不相同����,無法同時上傳新舊系統(tǒng)的數(shù)據(jù)���,可能造成上傳數(shù)據(jù)不完整��,要到8月底才能完成改成��。
2�、檢驗系統(tǒng)要下月才能安裝��,暫時不能上傳檢驗檢測結(jié)果��。
三���、下半年信息化建設工作計劃:
1���、下月初將進行全院的網(wǎng)絡改造、安裝檢驗系統(tǒng)和中科美侖公司的影像系統(tǒng),初步實現(xiàn)以電子病歷為中心的醫(yī)院信息化建設�。
篇11
1.1網(wǎng)絡安全概念及特征
網(wǎng)絡安全是指為防范網(wǎng)絡攻擊、侵入���、干擾���、破壞、竊用及其他意外事故所采取的各種必要措施��,以確保信息完整�����、可用�、無泄露,保持網(wǎng)絡穩(wěn)定��、安全地運行��。其主要特征是保證網(wǎng)絡信息的完整性����、可用性和機密性[2]。
1.2企業(yè)網(wǎng)絡安全面臨的主要問題
企業(yè)網(wǎng)絡安全面臨的問題歸納如下:(1)網(wǎng)絡安全目標不明確�����。雖然《網(wǎng)絡安全法》已于2017年6月1日起施行,但企業(yè)對網(wǎng)絡安全的重要性依然認識不足��,缺乏網(wǎng)絡安全規(guī)劃�����,沒有明確的網(wǎng)絡安全目標[3]��。(2)網(wǎng)絡安全意識不足����。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡安全的重要性��,企業(yè)網(wǎng)絡安全存在很大隱患�����。(3)網(wǎng)絡安全設施不健全����。無論大型企業(yè),還是中小企業(yè)�����,都存在網(wǎng)絡安全基礎設施投入不足的問題,以致設施陳舊����、不完整,面對外部攻擊和各種漏洞很容易發(fā)生信息丟失�、泄露、竊用等現(xiàn)象���。(4)缺乏完整的網(wǎng)絡安全解決方案�。企業(yè)網(wǎng)絡安全防護呈現(xiàn)碎片化����、分散化等特點[4],缺乏系統(tǒng)性�、協(xié)同性、靈活性���,面對萬物互聯(lián)和更高級的威脅�,傳統(tǒng)防護手段捉襟見肘���、防不勝防[5]����。
1.3企業(yè)網(wǎng)絡安全需求
企業(yè)因網(wǎng)絡安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡因素與外部網(wǎng)絡形勢共同決定的���,內(nèi)外都不會一成不變�,所以企業(yè)網(wǎng)絡安全需求是一個動態(tài)過程�����,具有時效性�。基于此�,要準確把握企業(yè)網(wǎng)絡安全需求�����,必須對企業(yè)網(wǎng)絡安全現(xiàn)狀進行調(diào)查分析��,一般而言�,企業(yè)網(wǎng)絡安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6]�,具體體現(xiàn)在以下幾個方面:(1)網(wǎng)絡安全策略需求。安全策略的有效性��、完整性和實用性是企業(yè)網(wǎng)絡安全的一個重要需求。目前的企業(yè)網(wǎng)絡安全策略文檔過于簡單���,而且沒有形成完整的體系���,對企業(yè)網(wǎng)絡安全的指導性不足。(2)網(wǎng)絡安全組織需求���。企業(yè)應建立結(jié)構(gòu)完整�、職能清晰的網(wǎng)絡安全組織機構(gòu)���,負責企業(yè)網(wǎng)絡安全策略制定���、網(wǎng)絡安全培訓、網(wǎng)絡安全運行管理等���。(3)網(wǎng)絡安全運行管理需求�����。企業(yè)應建立科學高效的運行管理體系��,采用實用的運行管理方法����,對服務器安全、網(wǎng)絡訪問可控性����、網(wǎng)絡監(jiān)控等進行管理。
2企業(yè)網(wǎng)絡安全解決方案
2.1企業(yè)網(wǎng)絡安全方案設計原則
網(wǎng)絡安全方案的設計原則旨在指導企業(yè)科學合理地設計網(wǎng)絡安全方案���,避免失于偏頗和“詞不達意”����,設計原則可以有很多�,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多����。(2)簡單適用原則��。過于復雜的方案漏洞多���,本身就不安全�。(3)系統(tǒng)性原則��。企業(yè)網(wǎng)絡安全面對的威脅是多方面的,只專注于一點無法保障網(wǎng)絡安全�。(4)需求、風險與代價平衡原則�。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價�����,所以要學會取舍��,平衡風險與代價����。(5)可維護性原則。沒有任何系統(tǒng)可以做到無懈可擊�,要做到能隨時調(diào)整、升級�、擴充。(6)技術(shù)與管理相結(jié)合原則�。在改善安全技術(shù)的同時也要加強管理,減少管理漏洞�,對于復雜的安全形勢,要多做預案�����,提前防范突發(fā)事件。
2.2企業(yè)網(wǎng)絡安全解決方案
2.2.1網(wǎng)絡分域防護方案網(wǎng)絡分域防護的原則是落實安全域的防護策略�、制定訪問控制策略、檢查網(wǎng)絡邊界����、分級防護等。從企業(yè)網(wǎng)絡安全需求及特點出發(fā)��,將網(wǎng)絡組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域��、服務區(qū)域�、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域,如圖1所示����。互聯(lián)網(wǎng)域接入互聯(lián)網(wǎng)服務���,服務區(qū)域即企業(yè)服務器放置區(qū)域��,外聯(lián)域接入分公司區(qū)域�����,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡互聯(lián)的核心設備區(qū)域�。如此劃分的目的是保證具有相同防護需求的網(wǎng)絡及系統(tǒng)處于同一安全子域內(nèi)�����,便于各個安全子域內(nèi)部署相應等級的防護策略�����。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設置安全網(wǎng)關(guān)(如圖1所示)�����,作為企業(yè)網(wǎng)絡系統(tǒng)的物理屏障�,以保護內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻���,而是綜合了防病毒�����、入侵檢測和防火墻的一體化安全設備�����。該設備運用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念���,將多種安全特性的防護策略整合到統(tǒng)一的管理平臺上����,按需開啟多種功能��,其由硬件�����、軟件��、網(wǎng)絡技術(shù)組成����。UTM在硬件上可以采用X86、ASIC�����、NP架構(gòu)中的一種�����,X86架構(gòu)適于百兆網(wǎng)絡,若是千兆網(wǎng)絡應采用ASIC架構(gòu)或NP架構(gòu)��。在升級��、維護及開發(fā)周期方面��,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢�����。UTM軟件上可以集成防病毒���、入侵檢測、內(nèi)容過濾�����、防垃圾郵件�����、流量管理等多種功能���,通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升���。UTM管理結(jié)構(gòu)基于管理分層�����、功能分級思想�,包含集中管理與單機管理的雙重管理機制���,實現(xiàn)功能設置管理和數(shù)據(jù)分析能力�����。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫����,用于監(jiān)視網(wǎng)絡或網(wǎng)絡設備上的數(shù)據(jù)傳輸��,發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進行隔離�����,先于攻擊達成實現(xiàn)防護�����,與防火墻功能上互補,并支持串行接入模式���,采用基于策略的防護方式�����,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間�,或核心交換機與內(nèi)部服務器之間(如圖1所示),可實時監(jiān)測外部數(shù)據(jù)向內(nèi)部服務器的傳輸過程���,發(fā)現(xiàn)入侵行為即報警��、阻斷�����,同時還能精確阻擊SQL注入攻擊�����。IDS是入侵檢測系統(tǒng)(intrusiondetectionsystem)的英文縮寫��,能對網(wǎng)絡數(shù)據(jù)傳輸實時監(jiān)視��,發(fā)現(xiàn)可疑報警或采取其他主動反應措施����,屬于監(jiān)聽設備,其安全策略包括異常入侵檢測���、誤用入侵檢測兩種方式�����,可部署在核心交換機上����,對進出內(nèi)網(wǎng)與內(nèi)部服務器的數(shù)據(jù)進行監(jiān)測��,如圖1所示���。
