信息安全事件报告范文

时间:2023-04-26 08:17:02

导语:如何才能写好一篇信息安全事件报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全事件报告

篇1

    论文摘要:本文强调审计工作的安全、高效和信息化,从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面,论述构建安全高效的审计信息化安全保障体系的措施。 

审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。 

审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。 

 

一、审计工作的现状及存在的问题 

 

随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。 

(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。 

(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。 

 

二、信息化审计体系的健全 

 

当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。 

信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织iso的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 

    三、主机系统安全审计 

 

信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。 

以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。 

主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。 

 

四、待解决的若干问题 

 

计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。 

保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。 

防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。vpn可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防ddos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。 

从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。 

 

 

参考文献: 

[1]宋新月,内部审计在经济管理中的重要作用浅析[j],知识经济,2009 

篇2

2015年8月,互联网网络安全状况整体评价为良。我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大及以上网络安全事件。在我国互联网网络安全环境方面,除境内木马或僵尸程序的IP地址数量、感染飞客蠕虫感染IP地址数量和境内仿冒网站的数量较7月有所增长外,其他各类网络安全事件数量均有不同程度的下降。总体上,8月公共互联网网络安全态势较7月有所好转,评价指数在良的区间。

2基础网络安全

2015年8月,我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未出现省级行政区域以上的、造成较大影响的基础网络运行故障,未发生较大及以上网络安全事件,但存在一定数量的、流量不大的、针对互联网基础设施的拒绝服务攻击事件。

3重要联网信息系统安全

政府网站和金融行业网站仍然是不法分子攻击的重点目标,安全漏洞是重要联网信息系统遭遇攻击的主要内因。8月,监测发现境内被篡改政府网站数量为166个,较7月的223个下降25.6%,占境内被篡改网站的比例由2.7%下降到了2.2%;境内被植入后门的政府网站数量为550个,较7月的505个增长8.9%,占境内被植入后门网站的比例由3.9%上升到了5.0%;针对境内网站的仿冒页面数量为20239个,较7月的17325个增长16.8%,这些仿冒页面绝大多数是仿冒我国金融机构和著名社会机构。8月,国家信息安全漏洞共享平台(CNVD1)共协调处置了1864起涉及我国政府部门,银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育等相关行业的漏洞事件。这些事件大多数是网站程序存在SQL注入、弱口令以及权限绕过等漏洞,也有部分是信息系统采用的应用软件存在漏洞,可能导致获取后台系统管理权限、信息泄露、恶意文件上传等危害,甚至会导致主机存在被不法分子远程控制的风险。

4公共网络环境安全

2015年8月,根据国家计算机网络应急技术处理协调中心(CNCERT)的监测数据,我国互联网网络安全环境主要指标情况如下。

4.1恶意代码活动监测数据2015年8月,境内251万余个IP地址对应的主机被木马或僵尸程序控制,与7月的近215万个相比增长16.7%。2014年9月~2015年8月,境内被木马或僵尸程序控制的主机IP数量月度统计如图1所示。2015年8月,境内27万余个主机IP感染“飞客”蠕虫,与7月的21万余个相比增长27.1%。2014年9月~2015年8月,境内感染“飞客”蠕虫的主机IP数量月度统计如图2所示。2015年8月,CNCERT捕获了大量新增恶意代码文件,其中,按恶意代码名称统计新增82个;按恶意代码家族统计新增11个。

4.2网站安全监测数据2015年8月,境内被篡改网站的数量为7408个,与7月的8202个相比下降9.7%。2014年9月~2015年8月,境内网站被篡改数量的月度情况统计如图3所示。2015年8月,境内被植入后门的网站数量为10992个,与7月的12920个相比减少17.5%。2014年9月~2015年8月,境内被植入后门的网站数量月度统计如图4所示。2015年8月,CNCERT共监测到针对境内网站的仿冒页面有20239个,涉及域名16872个,IP地址2321个,平均每个IP地址承载8余个仿冒页面。在这2321个IP地址中,91.2%位于境外,中国香港(占境外的32.8%)和美国(占境外的9.9%)居前两位,分别承载了4911个和1023个仿冒页面,如图5所示。

4.3漏洞数据2015年8月,CNVD收集整理信息系统安全漏洞656个。其中,高危漏洞有273个,可被利用来实施远程攻击的漏洞有586个。

篇3

关键词:IC卡;移动支付;信息化;支付安全

在近日召开的中国人民银行科技工作会议上,央行表示今年或将全面推广金融IC卡应用,并可能启动全国范围的芯片卡迁移。

根据中国央行工作人员介绍,IC卡的成本一般比普通的磁条卡高,但保密性更好,基于IC芯片的银行卡能够为持卡人提供更加安全和便捷的支付服务。可以与社保、就医、身份认证等其他需要实名的应用结合在一起,也可以加载会员、折扣等信息或其他附加信息。另外可以与小额支付、无线支付服务无缝连接,小额支付使用脱机方式、大额支付使用联机借贷记授权,可以有效改善持卡人消费支付体验。

目前工商银行和交通银行已经实现了全国性发卡,中国银行、农业银行以及建设银行已经启动了改造工作,另外中信、民生、招商、深发展等银行也在积极地进行IC卡项目策划。

此外,会议上还指出,2011年有以下几个主要任务:一是落实人民银行“两地三中心”信息化安全运营布局:二是推进系统整合,加快数据架构和应用架构建设;三是完成网络改造,提升人民银行网络对内对外服务水平:四是着力推进金融信息安全工作:五是全面推广金融IC卡应用,启动全国范围的芯片卡迁移:六是加快构建统一规范的金融标准体系:七是完成“十二五”信息化规划的编制并组织实施,加强规划对建设项目的指导:八是强化软件开发、认证检测、安全应急、运行维护等综合能力建设,不断提升工作环节的质量和服务水平。

篇4

关键词:windows终端;安全模板;安全策略;自动化部署

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5326-04

Deploying Windows-Based Terminal Security Policy Based on Security Templates

TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment

1 Windows办公终端安全风险

终端计算机作为机构信息处理的一个重要组成部分,其安全事关整个信息系统。近年来的网络安全形势不容乐观,国家互联网应急中心的《2010年上半年中国互联网网络安全报告》指出2010年上半年CNCERT共接收到网络安全事件报告与2009年上半年相比增长105%,给企业造成了不可挽回的经济和政治上的损失。另据市场研究公司NetApplications的最新数据显示,2010年Windows操作系统的全球市场占有率达91%,Windows系统占据着大部分企业、政府部门和学校的办公电脑终端。

很多企事业单位的办公终端数量多,分布地理位置分散又未进行集约管理,管理人员少而负责事务杂,用户计算机水平参差不齐,出现信息安全问题多,管理员疲于奔命。如何更快速有效的对Windows终端进行安全策略部署、管理、监测,是亟需解决的问题。本文将利用安全模板部署工具尝试解决这一问题。

2 安全模板(Security Templates)

安全模板是基于文本的INF文件,该文件以特定格式定义了几个安全区域的安全设置。这些安全区域包括密码和帐户锁定策略,审核、用户权利及安全选项策略,事件日志设置,受限制的组设置,系统服务设置,注册表安全设置和文件系统安全设置。模板文件的某些章节包含由安全描述符定义语言(SDDL)定义的特定访问控制列表(ACL)。

使用MMC系统控制台的“安全模板”管理单元或文本编辑器来更改这些文件,进而使用MMC系统控制台的“安全配置和分析”模块或命令行工具将安全模板所定义的安全设置应用到计算机,利用该模块分析计算机安全配置是否符合政策规定的安全级别,允许管理员跟踪并确保计算机处在合适的安全状态。

3 安全策略部署流程

建立合适的安全策略部署模型是实施有效安全管理的基础,是实现安全管理可持续、可控制、可维护的依据,实现信息系统的可用性、保密性和完整性的保证,所以选择适当的安全策略部署模型非常重要。参考国际通行的APPDRR网络安全模型,安全策略生命周期部署模型见图1。

通过Windows终端安全风险分析确认机构中信息终端中需要实施安全管理的具体对象,找出终端的安全短板和面临的威胁,评估发生安全事件的概率,估算能承受的风险值,为安全策略制定与实施提供依据。

制定安全策略是整个Windows终端安全保障工程的关键环节,是在安全政策和安全管理原则的指导下,在安全风险评估结果和用户需求基础上,根据终端系统要实现的安全目标制定,目的是确保目标终端在应用此策略后能实现相当的安全级别。

策略实施就是在完成Windows终端安全策略制定后,通过一系列的安全技术和方法,利用系统自带的安全管理工具或第三方安全管理软件完成安全策略的实现、测试、部署工作,完成Windows终端系统保护,阻止安全事件发生,保证安全事件发生的概率和危害,都在机构可接受范围之内。

安全策略实施后并非一劳永逸,我们需要定期检测安全策略在Windows终端部署运行情况,安全管理工具是否按既定的方案保护终端计算机,询问用户在操作Windows终端时有无发现因为安全策略实施而导致的异常。在安全事件发生后,提取日志和重现事件来分析造成安全事件的原因,据此纠正Windows终端安全策略。这就要求在部署安全策略时应具有可追溯性,提供必要的安全策略实施备忘文件和终端系统安全日志记录,以保证我们能实现有效的监测和及时的响应。

4 Windows办公终端风险分析

1) Windows终端漏洞层出不穷,利用第三方软件漏洞攻击系统事件频发。从漏洞出现到被恶意利用的时间越来越短,给终端计算机造成严重威胁。终端计算机往往是机构管控的盲端,出现的系统漏洞不能得到及时修补,第三方软件漏洞未能得到重视,给恶意软件提供一个隐蔽的攻击通道。

2) 病毒、木马和恶意软件攻击。它们主要是通过网页浏览、下载软件、局域网和U盘等几个途径传播。Windows终端未能进行正确的权限配置,大多以管理权限运行,导致病毒木马入侵计算机后获得高权限,造成严重危害。

3) 终端缺乏准入规范,造成终端的非授权访问风险,破坏数据的完整性和机密性。用户往往为了方便,将Windows终端设定为自动登陆,有的干脆不设置帐户密码,给Windows终端安全带来隐患。

4) 用户缺乏安全意识和安全知识。用户的不当操作或对系统设置的随意修改造成终端系统安全防线崩溃。如开启Guest帐户,设置不恰当的共享,使用弱密码或空密码,开启不必要的服务项等。

5 安全策略制定

在安全策略规划实施过程中,应当贯彻最小权限和最少服务原则、可追溯性原则、易用性与安全性统一原则和可维护性原则。

1) 最小权限和最小服务原则

帐户安全。帐户安全是信息系统安全的第一道防线,通过密码安全策略来防止用户使用空密码或弱密码,设置帐户锁定策略来防止暴力破解密码,关闭一些特殊帐户如Guest帐户等。

系统服务安全。服务是后台运行的应用程序,为本地和通过网络访问的用户提供某些功能。根据用户需要,禁止不必要的服务,授予或禁止用户具有特定服务项的权限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服务等。

文件系统权限。禁止用户写入某些容易被病毒利用的目录,禁止用户访问某些文件和禁止一些危险程序运行来提高系统安全级别。如禁止用户从硬盘分区根目录下运行程序,避免用户双击硬盘根目录导致误执行病毒程序。

注册表安全。注册表是Windows特有用于保存系统和软件相关信息的数据库,病毒木马经常利用注册表实现得开机自启动功能。有必要对病毒和木马经常利用的注册表项进行安全配置,禁止用户写入某些风险度较高的注册表项,如自启动项,Image File Execution Options映像劫持项等。

网络访问权限设置。办公终端是办公网络的一个有机组成,因此面临着非法入侵、数据泄密和网络滥用等威胁,采取措施控制网络的访问权限,设置一道无形的防火墙。通过“本地安全策略”禁止SAM帐户的匿名枚举,不允许SAM帐户和共享的匿名枚举,禁止匿名SID/名称转换等,通过防火墙关闭危险端口,阻止可疑程序访问该计算机或从该计算机访问网络。

用户权利控制。用户对计算机具有各种权利,这些用户权利将直接决定他们的访问行为。我们要严格控制用户对计算机的访问权利,限制用户使用一些特殊的权利,比如管理审核和安全日志、还原文件及目录权限,降低网络访问程序的运行权限级别。对只进行诸如文字处理、工作管理一类应用的办公终端,使用受限帐户登陆即可,要限制用户使用高权限帐户登陆系统、运行程序。禁止用户随意修改系统配置文件,卸载杀毒软件和非法安装ActiveX控件,开启终端计算机的缓冲区溢出保护功能等。

2) 可追溯性

合适的安全事件日志设定。安全事件日志是安全事件的收集、保存和显示的重要工具,对于安全事件的识别、处理和调查非常重要,在发生安全事件后,可通过安全日志追踪事件产生的来龙去脉。必须在系统安全策略中设置好审核策略和设定事件日志存储、维护和访问控制,保证安全事件日志能在安全事件发生后提供事后分析所应有的功能,方便系统管理员做出相应对策,并可以根据安全事件日志优化安全模板。

审核重点目录和文件的访问,审核重点程序和用户的行为。利用Windows提供的审核功能对一些安全风险较大的目录、文件和程序进行审核,比如对病毒木马容易利用的CMD.exe、Net.exe和Reg.exe等程序设置审核,对权限最大的administrators帐户组的操作进行审核。这些必要的审核方便我们在发生安全事件后可通过事件日志分析事件发生过程,迅速定位安全威胁,进而能使安全响应更准确,提高安全管理的效果和效率。

3) 可扩展性和可维护性

维护信息系统的安全并不是一个静态过程,而是不断的动态变化,用户需求改变、安装软件变化和硬件的改变,都有可能要求重新审视安全策略应用是否达到合适的安全级别,所以安全策略部署过程都应具备良好的可扩展性和可维护性。通过安全模板管理工具对安全模板进行管理,注重安全模板版本管理,每次升级修改都有日志,做到安全策略配置文件的可控可管。

4) 易用性与安全性统一

做好需求分析,保证安全性与易用性相统一。信息系统的安全性强度总是和信息系统的易用性相矛盾的,高安全性必然导致易用性下降,用户操作时极易产生挫败感而影响工作效率。我们在设计和实施安全策略前,要做好需求分析,尽可能使系统拥有足够的安全级别,又能保证易用性。比如放开某些安全风险较小的权限和将某些系统设置功能隐藏等。

6 基于安全模块的安全策略部署

6.1 创建与修改安全策略模板

微软在系统管理控制台中提供了“安全模板”管理单元用来创建、修改和管理安全模板文件。“安全模板”管理单元提供了一个功能强大的图形界面,管理员可以方便地按层次结构导航到某个安全属性设置区域进行编辑修改。微软在Windows中提供了七个预配置的安全模板文件供系统管理人员参考,默认情况下,这些管理模板存储在“\%Systemroot%\Security\Templates”目录中,在“安全模板”管理单元可以直接读取。

为了管理和配置方便,我们需要使用虚拟机或专门配置一台母机,安装和终端同样的软件,模拟出相同环境进行调试。

安全模板创建与修改操作步骤如下:

1) 首先,运行MMC命令,打开Microsoft管理控制台,并在“文件”――“选项”确认控制台处于“作者模式”,使用户具有访问所有MMC功能的全部权限。

2) 在“控制台”菜单上,单击“添加/删除管理单元”,然后单击“添加”。选择“安全模板”,单击“添加”――“关闭”――“确定”。将配置好的控制台保存到合适的位置,此处我们使用“D:\SafeSet”。

3) 在“安全模板”管理单元中,右键单击“安全模板”,选择“新加模板搜索路径”,将路径设定为“D:\SafeSet”。

4) 在新建的路径上右击,选择“新加模板”,设置好模板名和描述。

5) 根据定义好的安全策略在控制台上对安全模板进行编辑。每个设置项的属性中都有相关项的解释说明,避免在设置时误操作而引发不良后果。

6) 将该模板以“SafeSetTemplate_Base.inf”保存到“D:\SafeSet”备用。

6.2 测试安全策略模板

微软在系统管理控制台中还提供了“安全配置和分析”管理单元,它是一个图形化实用程序,用于配置和分析与系统安全相关的各个方面。“安全性配置”可以直接配置本地系统的安全性,利用安全数据库,可以导入由“安全模板”创建的安全模板,并将这些模板应用于本地计算机,立即使用模板中指定的级别配置系统安全性。操作步骤如下:

1) 首先在控制台中添加“安全配置和分析”模块,操作步骤类似于上述添加“安全模板”的方法。

2) 右击“安全配置和分析”单元,选择“打开数据库”,导航到“D:\SafeSet”,在“文件名”输入框中输入“SafeSetDb.sdb”,新建安全数据库文件,单击“打开”。

3) 在弹出的“导入模板”对话框,导航到“D:\SafeSet”,导入我们做好的安全模板。

4) 右击“安全配置和分析”单元,选择“立即配置计算机”,在弹出的“配置系统”窗口中设置好错误日志文件路径和文件名,如“D:\SafeSet\SafeSetConfigureLog.txt”,确定并开始执行配置计算机操作。

5) 通过检查日志文件确认应用安全策略模板的过程有无异常。如果发现异常,可以直接在“安全配置和分析”模块中修改相关选项,重新进行配置计算机操作,并导出改后的安全模板设置覆盖原来的模板文件。

6) 尽管部分设置已经被应用,但是它们在执行“Gpupeate.exe”命令或重启计算机之后才生效。所以关闭“安全配置和分析”工具并重启计算机,对照安全策略配置检验表进行检查,检查所做安全策略配置是否达到预期目的,反复进行安全策略模板修改与应用其到试验的系统中,直到符合要求后开始编写自动化部署文件。

6.3 生成安全策略模板自动化部署脚本

使用“安全配置和分析”工具可以实现单台计算机安全策略配置和分析,但使用该工具在多台计算机上完成案例策略配置和分析不方便。微软为此提供了secedit.exe命令行工具以便系统管理员完成企业级的部署,该命令行允许我们使用安全数据库中的安全性设置来配置系统。语法如下:

Secedit /configure /dbfilename [/cfgfilename] [/overwrite] [/areasarea1area2...] [/logfilename] [/quiet]

/dbfilename 定义用来执行安全性配置的数据库。

/cfgfilename 定义导入到数据库的安全性模板。

/logfilename 定义要记录配置操作状态的文件。

利用命令行工具构建安全策略模板自动化部署脚本,并完成其它Windows终端优化和安全配置操作,比如帐户配置、安全登陆操作提示等。

在“D:\SAFESET”中新建“SafeSet.CMD”,用记事本打开并输入以下内容并保存:

@Echo off

Set Soft=XX学院Windows终端系统自动配置程序

Set Grade=Base

Set Version=V1.2.20110202

:Start

CLS

Color FC

Title %Soft%[安全级别:%Grade%][版本:%Version%]

Echo %Soft%[版本:%Version%]

Echo.

Set Choice=

Set /P Choice=脚本将在您的系统中应用设定好的安全策略,请按"Y"键继续,终止运行请按"Q":

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" Goto ConStartPre

If /I "%Choice%"=="Q" Exit

Goto Start

Echo开始用户帐户配置

:ConStartPre

Echo.

Echo.

Set AdminPasswords=

Set UserPasswords=

Set /P AdminPasswords=请输入内置管理帐户Adminstrator的密码(请务必确认后再回车):

Set /P UserPasswords=请输入日常工作帐户User的密码(请务必确认后再回车):

Set Choice=

Set /P Choice=请检查您输入的密码是否正确,请按"Y"键继续,任意键重新输入密码:

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" (GotoConStart) Else Goto ConstartPre

:ConStart

Net user administrator %AdminPasswords% /FULLNAME:"管理用户"

Net user user %UserPasswords% /add /FULLNAME:"日常工作" /USERCOMMENT:"受限用户" /COMMENT:"这是日常工作专用的受限帐户" /EXPIRES:NEVER

Net user guest /active:no

Echo配置帐户完成,开始进行系统安全策略部署...

Secedit /configure /db SecSetDb.sdb /cfgSafeSet Template_Base.inf /overwrite /quiet /logSafeSet ConfigureLog.txt

Echo系统安全策略部署完成,请按任意键退出。

6.4 实施

将在 “D:\SafeSet”目录下生成的所有文件复制到目标机,以管理员权限运行“SafeSet.CMD”脚本,根据提示完成安全策略在Windows终端的部署。我们可以依照上文所述步骤,依据终端计算机等级保护的不同安全需要和不同的安全保护政策,设计出不同的安全策略部署模板,方便管理。

7 安全策略检查与响应

Windows系统管理控台中的“安全配置和分析”管理单元的安全性分析工具,允许系统管理员对Windows终端安全策略部署情况进行检查,提供详细的安全分析结果,对不符合安全策略要求的做出可视化的标记,跟踪并确保在每台计算机上有足够的安全级,检测在系统长期运行过程中出现的安全故障。利用该工具定期检测Windows终端安全策略保护系统情况,保证安全策略得到有效执行。

8 总结

本文提出的使用安全模板结合脚本技术对Windows操作系统进行安全策略部署方法,应用于办公信息系统安全管理工作中,基本实现安全政策要求的可用性、可追溯性、可扩展性和可维护的目标,对于信息安全管理人员应对信息系统安全威胁和进行批量安全策略部署,具有一定的借鉴意义。

参考文献:

[1] 操作系统市场市场的占有率[EB/OL]./operating-system-market-share.aspx?qprid=8&qptimeframe=Y&qpsp=2010&qpnp=1.

[2] 国家互联网应急中心.2010年上半年中国互联网网络安全报告[EB/OL]..cn/UserFiles/File/2010 first half.pdf.

[3] 余磊.信息安全战――企业信息安全建设之道[M].上海:东方出版社,2010.

[4] 程迎春.Windows安全应用策略和实施方案手册[M].北京:人民邮电出版社,2005.

篇5

2005年7月,美国联邦政府审计署向美国国会提交了《信息安全年度报告》(以下简称美国报告),其题目是《信息安全:相关法规执行方面有所成就,但是仍然存在薄弱之处》。美国报告指出,联邦政府各个分支机构以及众多事关国计民生的部门,包括能源、供水、电信、国防以及应急服务部门,他们的日常工作已经广泛依赖计算机信息系统以及电子数据。这些信息系统、数据的安全非常重要,信息安全措施要防止数据篡改,保证核心业务连续性,预防数据欺骗以及阻止敏感信息泄漏。

美国政务的五大安全隐患

美国审计署发现,美国联邦政府24个部门信息系统普遍存在安全隐患,主要体现在以下5个方面:访问控制并未有效实施、软件变更控制并非总是有效、职责划分没有始终如一地执行、业务持续性计划经常是不充分的、部门信息安全规划没有全面地应用。

访问控制

它保证只有经过授权的用户才可以阅读、修改或者删除数据。访问控制包括电子方式以及物理方式,前者包括账号控制、密码控制以及用户权限控制,后者包括门卫、门锁等方式。24个部门中有23个部门在访问控制方面存在隐患。例如,有的信息系统允许用户使用非常简单的词语做密码,这使得黑客很容易破解密码。物理控制方面,有的部门并未有效采用门锁、门卡等手段。

软件变更控制

软件变更控制确保只有经过授权的软件程序才可以被安装,软件变更控制也会监控敏感程序、数据的使用情况。24个部门中有22个存在这方面的漏洞,例如软件系统没有采用正确流程进行升级。此外,有的信息系统在程序调整方面的批准、测试以及实施的文档记录没有良好维护,以至于出错的或者有预谋的程序将会严重威胁到系统安全。

职责划分

职责划分降低个人进行错误操作而没有被发现的风险。24个部门中有14个存在这方面的隐患,主要体现在系统管理和系统安全管理没有很好地分清。例如,有的部门用户可以在系统中添加并不存在的账号并获得很高的权限,用这个账号从事的活动没人监管。

业务连续计划

确保计算机相关的业务在紧急情况下不出现严重中断,例如出现地震、火灾等破坏活动的时候。20个部门存在这一方面的隐患。在审计署2005年4月提交的报告中已经指出,不到一半的部门有应急指挥通讯录,很少的部门记录了重要文件分布情况,大多数机构没有测试、检验、演习他们的业务连续计划以确保灾难发生时可以应用这些计划。

部门级别的安全规划

上述问题的存在,主要是因为各个部门没有强有力的信息安全管理规划。部门级别的安全规划提供工作框架,确保全部门能够理解风险并且有效控制、合理采取措施。这个方面,所有的部门都存在隐患,他们都没有制定全面的信息安全规划,尤其是新型的安全威胁方面,包括垃圾邮件、钓鱼以及间谍程序。

我国可借鉴什么

我国在信息系统安全管理方面开展工作的时间不长,相关经验不多,许多应建立的规章制度还在摸索之中。2005年7月刚刚的《2005中国信息化发展报告》谈到信息安全的时候,提到蠕虫和病毒在网上传播十分猖獗、木马事件潜在威胁巨大、各类网络违法犯罪日益突出,但没有专门介绍电子政务的安全现状。

重视管理机制制度

《2005中国信息化发展报告》指出,要加强对信息安全工作的领导,建立健全信息安全领导责任机制,明确主管领导,落实责任部门,建立和完善信息安全监控体系,加强以密码技术为基础的信息保护和网络信任体系的建设。

重视管理机制制度这一方面,中美两国有相近之处。美国《联邦信息安全管理法案》认为,联邦政府存在信息安全隐患最根本原因是缺乏有效的信息安全管理规划。基于此,美国《联邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不仅如此,考虑到各个机构在信息安全管理规划方面难免出现漏洞,美国《联邦信息安全管理法案》制定了一套完善的评估机制,包括部门定期自检以及管理和预算办公室、国家标准技术研究院以及其他独立机构的评估。

《联邦信息安全管理法案》要求美国联邦政府各个机构的信息安全报告包含如下信息:风险评估情况、政策和流程、个别系统的安全规划、相关培训情况、年度测试和评估情况、采取的对策、信息安全事件报告以及运行连续性。

美国的评估机制,保证了部门领导在意识上定期关注各自部门的信息安全,又使得他们有能力全面深入了解本部门信息安全的方方面面。这样,既提高了部门领导对信息安全的重视程度,又采用完善的制度来提高各个部门发现、报告和共享信息安全隐患的能力。与美国相比,我们还没有明确提出要建立全方位的评估体系。

完善标准法规体系

《2005中国信息化发展报告》指出,抓紧制定信息安全等级保护的管理办法和技术指南,建立信息安全等级保护制度,加强信息安全法制建设和标准化建设。

在标准法规、技术指南方面,我国政府主要精力集中在信息安全等级保护方面。比较而言,美国政府制订的标准法规、技术指南则更为全面。美国《联邦信息安全管理法案》规定,由美国国家标准技术研究院(NIST)负责为政府各个部门提供相关法规制度或技术援助,进行信息安全方面的研究,并且参与国家安全体系相关标准的开发。

安全不仅是技术问题,同时还是社会和法律问题。与美国相比,我国在标准的制定、认证、检测等方面有待于进一步的加强。信息安全标准方面,我国有国家信息安全产品测评认证中心、公安部、国家质量技术监督局等多个部门参与这方面的工作,而美国则在法案中明确表示由美国国家标准技术研究院一家来完成。还有一点值得注意的是,我国信息安全标准的培训、认证和检测机构中,有一些是赢利机构,这在某种程度上降低了其公证性。

加强信息安全培训

《2005中国信息化发展报告》指出,加强信息安全学科、人才培养。

联邦信息安全管理法案要求,联邦政府各个机构对政府雇员以及合同商的雇员进行信息安全培训,这些机构在年度评估报告中要标明参与培训人员的数量以及所占比例。2005年的报告指出,所有24个部门都对本部门60%以上的职员进行了培训。美国报告指出,如果不能提供最新的信息安全培训,将会给政府机构的信息安全带来安全隐患。例如,美国大多数部门没有对雇员提供无线局域网方面的信息安全培训,这使得他们在建设没有认证措施的无线局域网的时候,不了解其安全隐患。

由此可见,美国政府更注重日常的培训工作,而不仅仅是学校培养。信息安全,需要有数学算法、软件、硬件等诸多方面的理论支持。但对于很多现有的隐患来说,更重要的是提高普通用户的安全意识。例如美国政府提到的无线局域网问题,我国政府在科研方面正在开发WAPI,希望以此来增强系统的安全性。但是,有许多无线局域网是内置了安全认证程序而根本没有启用。

信息安全是个系统工程,既要有高屋建瓴的顶层设计、整体框架,又要有体贴入微的法规标准、行动指南,还要有资金支持、日常培训以及监察制度,需要恩威并重。同美国信息安全报告谈到的情况相比,在我国政府部门中宣传信息安全的重要性,并且保证相关人员有能力、有方法了解其现状,懂得如何降低风险,这些都是任重而道远的。

链接

国家信息化领导小组第一次会议决定,把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化。

在电子政务建设中和安全相关的主要任务是:

基本建立电子政务网络与信息安全保障体系。要组织建立我国电子政务网络与信息安全保障体系框架,逐步完善安全管理体制,建立电子政务信任体系,加强关键性安全技术产品的研究和开发,建立应急支援中心和数据灾难备份基础设施。

篇6

昆德拉上任时就承认云计算可能存在隐私泄露或其它安全隐患,但表示不能因此而错过云计算的速度和效率[3]。2009年5月召开的云计算倡议工业界峰会[2,7]上,美国产业界认识到云计算在法律法规和政策以及IT安全和隐私方面的挑战,深入讨论了云计算认证认可、访问控制和身份管理、数据和应用安全、可移植性和互操作性以及服务级别协议(SLA等。5月份的《远景分析》中指出了与新技术服务交付模型相关的风险,包括政策的变化、动态应用的实施以及动态环境的安全保障,要求建立一个项目管理办公室来实施工业界最佳实践和政府项目管理方面的政策。10月份国家标准和技术研究所(NIST在《有效安全地使用云计算范式》[8]的研究报告中分析了云计算安全的众多优势和挑战。2010年2月美国启动了政府范围的云计算解决方案的安全认证认可过程的开发[9]。8月CIOC了《联邦部门和机构使用云计算的隐私建议》[10],指出云环境下隐私风险跟法律法规、隐私数据存储位置、云服务商服务条款和隐私保护策略有关,并指出了9类风险,通过使用相关标准、签署隐私保护的补充合同条款、进行隐私门槛分析和隐私影响评估、充分考虑相关的隐私保护法律,可以有效加强云计算环境下的隐私保护。9月非盈利组织MITRE给出了《政府客户云计算SLA考虑》[11]。11月份,NIST、GSA、CIOC以及信息安全及身份管理委员会(ISIMC等组成的团队历时18个月提出了《美国政府云计算安全评估和授权建议方案》[12],该方案由云计算安全要求基线、持续监视、评估和授权三部分组成。12月,在《改革联邦信息技术管理的25点实施计划》中指出安全、互操作性、可移植性是云计算被接纳的主要障碍。2011年1月国土安全部(DHS)给出了《从安全角度看云计算:联邦IT管理者入门》[13]读本,指出了联邦面临的16项关键安全挑战:隐私、司法、调查与电子发现、数据保留、过程验证、多租户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未来的规章制度、云计算应用、有能力的IT人员挑战,NIST了《公共云计算安全和隐私指南》[14]和《完全虚拟化技术安全指南》[15]。2月份的《联邦云计算战略》指出在管理云服务时要主动监视和定期评估,确保一个安全可信的环境,并做出了战略部署,包括推动联邦风险和授权管理项目(FedRAMP、DHS要每6个月或按需一个安全威胁TOP列表并给出合适的安全控制措施和方法,NIST要一些安全技术指南。2011年12月OMB了一项关于“云计算环境下信息系统安全授权”的首席信息官备忘录[16],正式设立FedRAMP项目。2012年2月成立了FedRAMP项目联合授权委员会(JAB[17]并了《FedRAMP概念框架(CONOPS》[18]、《FedRAMP安全控制措施》[19]。

美国联邦政府云计算安全策略分析

美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍,并给予了高度重视。美国联邦政府认为,对于云服务要实施基于风险的安全管理,在控制风险的基础上,充分利用云计算高效、快捷、利于革新等重要优势,并启动了联邦风险和授权管理项目(FedRAMP。首先,明确了云计算安全管理的政府部门角色及其职责:1联合授权委员会(JAB:成立了由国防部(DOD、DHS、GSA三方组成的联合授权委员会JAB,主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等;2FedRAMP项目管理办公室(FedRAMPPMO:设立于GSA,负责管理评估、授权、持续监视过程等,并与NIST合作实施对第三方评估组织的符合性评估;3国土安全部:主要负责监视、响应、报告安全事件,为可信互联网联接提供指南等;4各执行部门或机构:按照DHS、JAB等要求评估、授权、使用和监视云服务等,并每年4月向CIOC提供由本部门CIO和CFO签发的认证;5首席信息官委员会:负责出版和分发来自FedRAMPPMO和JAB的信息。其次,明确了FedRAMP项目相关方的角色和职责(如图1。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC外,还包括云服务商(CSP和第三方评估组织(3PAO。云服务商实现安全控制措施;创建满足FedRAMP需求的安全评估包;与第三方评估机构联系,执行初始的系统评估,以及运行中所需的评估与授权;维护连续监视项目;遵从有关变更管理和安全事件报告的联邦需求。第三方评估组织保持满足FedRAMP所需的独立性和技术优势;对CSP系统执行独立评估,并创建满足FedRAMP需求的安全评估包清单。美国联邦政府注重对云计算安全管理的顶层设计。在政策法规的指导下,以安全控制基线为基本要求,以评估和授权以及监视为管理抓手,同时提供模板、指南等协助手段,建立了云计算安全管理的立体体系(如图2。政策备忘录:OMB于2011年12月8日,为政府级云计算安全提供方向和高级框架。安全控制基线:基于NIST的SP800-53第三版中所描述的安全控制措施指南,补充和增强了控制措施,以应对云计算系统特定的安全脆弱性。FedRAMP的安全控制基线于2012年1月6号单独。运营概念(CONOPS:提供对FedRAMP的运营模型与关键过程的概述。运营模型:FedRAMP的运营模型基于OMB的政策备忘录,明确FedRAMP实现的关键组织,对各个组织运营角色与职责进行抽象描述。关键过程:指“安全评估与授权”、“第三方评估”、“正在进行的评估与授权”,它们为FedRAMP运营过程的三个主要功能。详细的模板与指南:云服务商与第三方评估组织在FedRAMP整个过程中需要这些文档模板作为文档规范。

篇7

为深入贯彻国家电网公司“11.18”安全生产工作会议精神,落实《国家电网公司2007年安全生产工作意见》,进一步加强公司安全生产工作,特提出公司系统2007年安全生产工作意见。

(一)工作思路

紧紧围绕“一强三优”发展战略和“三抓一创”工作思路,坚持“安全第一,预防为主”的方针,更新安全理念,树立科学安全观;以防止电网大面积停电事故为首要任务,强化电网安全措施;以杜绝人员责任事故为重点,深入开展安全生产年活动;进一步强化安全生产各项措施,严厉打击违章违纪,全面实现全年安全生产目标,确保湖南电网安全稳定运行。

(二)工作目标

突出“三保”:保命、保网、保主设备。

确保“六无”:无生产人身死亡事故、无重大电网事故、无重大设备事故、无水电厂垮坝事故、无重大生产场所火灾事故、无特大交通事故。

实现“三少一杜绝”:减少一般电网和设备事故、减少输电线路一类障碍、减少违章违纪、杜绝110千伏及以上恶性误操作事故。

(三)具体工作意见

第一条 建立开展“爱心活动”、实施“平安工程”常态机制。开展“爱心活动”、实施“平安工程”,是公司全面落实科学发展观,促进和谐企业建设的重大战略,是坚持以人为本、确保安全稳定的重大举措,是一项长期的重要工作。为抓好这项工作,一是要制订安全生产开展“爱心活动”、实施“平安工程”工作制度,建立开展“爱心活动”、实施“平安工程”工作的常态机制。二是在认真总结2006年安全生产开展“爱心活动”、实施“平安工程”工作经验的基础上,继续开展“无违章工作现场”活动,以保护人的生命、杜绝责任事故、确保电网平安为根本目的,把工作重心放在员工、班组、作业现场,深入落实公司贯彻《国家电网公司安全生产开展“爱心活动”、实施“平安工程”十条措施》的实施意见。三是建设“平安文化”,培育“平安理念”,树立“风险可以防范、失误应该避免、事故能够控制、违章就是事故”的理念,大力营造“以人为本、珍惜生命、遵章守纪、安全文明”的氛围,让“奉献爱心”融入员工的人生观和价值观,夯实和谐企业的基础,促进和谐企业的建设。

第二条 扎实开展“安全生产年”活动,全面实现2007年安全生产目标。按照公司决定,2007年为“安全生产年”。各单位领导要高度重视,加强组织领导,深刻领会活动的重要意义,扎实开展好“安全生产年”活动。一是要结合安全生产实际,按照公司“安全生产年”活动方案进行部署和安排,认真研究制订工作方案和措施,落实各项工作的部门、责任人,确保取得实效。二是要广泛宣传动员,应充分运用公司系统广播、电视、报刊、安全信息平台等媒体,大力宣传“遵章守纪,构建和谐”的主题,大力宣传公司《安全生产“违章下岗”实施规定》,以“三铁”反“三违”, 树立“遵章光荣、违章下岗” 的良好意识,保障员工平安。三是通过开展一系列安全活动,落实“安全生产年”活动的措施,促进安全生产责任制的落实,在安全生产方面做到领导更加重视、气氛更加浓厚、措施更加得力、员工更加自觉、设备更加健康、电网更加安全,全面实现2007年安全生产目标。

第三条 加强管理,强化措施,提高电网安全稳定运行水平。

确保电网安全稳定运行,是公司安全工作的重要任务。在加强电网管理方面,一是坚持电网统一调度,严肃调度纪律,严格执行调度规程和有关规定,保证生产、调度系统指令畅通,切实维护好电网运行秩序。二是根据电网负荷、设备健康状况等运行情况的变化,合理安排电网运行方式,按照规定留有必须的旋转备用和事故备用,确保电网安全稳定和可靠供电。三是要认真吸取国内外电网事故教训,积极开展大电网安全稳定问题及低频振荡问题的研究,完善电网安全稳定控制措施,利用科技手段,加强低周低压减载装置管理,构筑保证电网安全稳定的“三道防线”。四是提高电网事故应急处理水平,根据电网运行特点,制定电网事故处理预案和滚动修编黑启动方案。重点落实防止枢纽变电站全停和保厂(站)用电措施,组织实施电网反事故演习,提高调度、运行人员处理事故和应对突发事件的能力。五是做好各类安全检查工作,认真开展春季、夏季、秋季和冬季的安全大检查工作,做好重要政治活动和节假日保电检查及各类专项安全检查工作。检查工作必须加强领导,精心组织,力戒形式主义,做到有计划、有布置、有重点、有落实、有反馈。

在强化继电保护专业管理方面,一是针对2006年继电保护存在的问题,加强管理,认真做好电网元件、35千伏及以下重合闸等保护、自动装置的技术监督工作,排查整改设备隐患,进一步提高继电保护正确动作率。二是认真落实国家电网公司《防止电网事故十八项重大反事故措施》,各单位要对照继电保护反措相关要求,全面检查落实反措情况,明确时间要求和责任人。三是加强继电保护全过程的技术监督,依据相关技术规程、规范,重点做好继电保护装置和综合自动化装置投产验收工作,继电保护反事故措施未落实的工程项目,不得交接和验收。

在生产技术管理、监督工作方面,一是开展对设备的整治,使设备更加健康。二是推进设备评估,开展状态检修工作。以设备评估结果为主要依据,以主变压器为突破口大力推进输变电设备状态检修工作,2007年要对40%以上已到大修期限的主变压器进行状态评估,根据评估结果重新确定大修时间。三是强化设备薄弱环节的监督,发挥新技术、新设备、新方法在技术监督方面的作用,及时排查、整改缺陷,提高设备健康水平。四是落实电力设施保护的技防和人防措施,保证设备安全。

第四条 建立安全生产风险管理体系,开展好安全风险评估和安全性评价工作。按照《国家电网公司安全生产风险管理体系规范》要求,一是要建立健全安全生产风险管理体系,深入推进安全生产风险评估的研究及试点工作。以安全生产风险评估为重点,强化安全生产预防意识和基础管理,针对人身事故和人员责任事故的突出问题,认真研究防范人身事故和人员责任事故的安全风险评估标准,通过对人的行为以及影响人的行为的各种因素、各个环节进行评价,找出存在问题,提高防范风险的针对性、可操作性和实用性措施,消除隐患,努力减少人身事故和人员责任事故。二是结合《国家电网公司企业安全风险评估标准》,着力开展安全风险评估宣传动员和教育培训工作,使各级人员牢固树立安全风险意识,增强员工安全风险和危害的辨识能力,为实施安全生产风险管理做好准备。三是试点单位(长沙、株洲、永州电业局和东江电厂)要按照国家电网公司关于安全风险评估两个文件的要求,结合实际制定方案,组织评估,加强过程控制,注重实效。公司将组织专家进行评审,积累和总结经验,以便推广和持续改进。四是做好安全性评价工作,开展好输电网、县级企业、并网电厂设备和基建工程项目的安全性评价工作,组织排查电网薄弱环节和设备重大隐患,实施重大隐患监控整改,实现安全风险评估和安全性评价工作的闭环管理。通过开展安全风险评估和安全性评价工作,逐步建立符合企业实际的安全生产风险管理体系,逐步实现安全管理从事后管理向预防管理为主转变,从要我安全到我要安全、我会安全转变。

第五条 健全安全生产应急管理体系,组织制定各类应急预案。按照《国家电网公司应急工作管理规定》的要求,一是要落实应急保障体系的建设,首先要建立各级应急机构,健全抢险救灾物质的储备制度,配齐专(兼)职人员,组建应急抢修队伍。二是要规范公司应急预案体系的结构,补充完善各类应急预案。各单位要定时间、定部门组织编写好各类应急预案,做好评审和上报备案,确保预案符合实际,以满足各类突发事件的需要。三是加强应急预案演练,提高应对重大事故、自然灾害等突发事件的处置能力。四是积极响应各级政府对公共卫生和社会治安等突发事件的应急管理要求,促进应急处置的协调配合和职责落实,建立联动协调机制。五是开展专项监督检查,重点监督14个地级城市电网大面积停电应急处置预案编制、演练和评估工作及电厂的黑启动工作方案编制、演练和评估工作,加强应急管理工作制度化、规范化和系统化建设。

第六条 深入推进反事故斗争,减少事故。反事故斗争是公司系统安全生产的长期任务。各单位、各部门要按照《国家电网公司反事故斗争二十五条重点措施》的要求,继续深入落实公司反事故斗争二十七条措施,切实抓好领导层、管理层、执行层三个层面的“对照检查”,落实安全责任制。二是要把反事故斗争与安全工作实际结合起来,与公司安全目标结合起来,突出开展反人员责任事故的斗争。各单位都要制定实施措施,强化针对性和可操作性。三是要突出重点,强化措施,充分吸取国外大面积停电事故和去年华中电网 “7.1”大面积停电事故教训,开展隐患排查与治理,强化电网应急处置工作,确保不发生重大电网事故。四是与重大设备事故作斗争。开展主设备隐患清理整治工作,对可能构成重大设备事故的主设备建立档案,重点监督,及时发现和消除重大设备隐患。在变电方面,开展变压器专项整治活动,大幅度减少变压器(和高抗)强迫停运事件。进一步做好变电站的接地改造工作和220千伏变电站瓷瓶探伤技术的监督及红外测温工作,开展变电站直流系统和非电量保护的全面清查与整改,减少故障。在输电方面,进一步做好输电线路防雷击、防污闪、防山火、防冰灾工作和红外测温工作,重点对35千伏及以上运行年限超过30年的老旧输变电设备或缺陷较多的设备进行综合治理,减少线路故障率。在基建方面,重点突出对大型施工机具缺陷的排查。在水电厂方面,要突出大坝和主机、主变的技术监督工作,提高水电厂设备健康水平。

通过反事故斗争,杜绝由于人员责任、设备问题和外部因素造成的人身、电网、设备事故,确保公司2007年度安全目标的全面实现。

第七条 落实安全监督体系职责,强化专项安全监督。为充分发挥安全监督体系的作用,必须认真履行安全监察体系的职责,进一步完善常规监督、专项监督、事故监察三者相结合的监督机制。落实安全监督职责,要强化全面、全员、全过程、全方位安全管理的监督,做到责任到位、措施到位,不断强化执行力。要进一步落实事故监察职责,严格贯彻执行《电力生产事故调查规程》和《国家电网公司人身伤亡统计分析管理规定》,做好事故调查处理与统计分析工作,按照“四全”安全监督与管理要求,将农电生产和人身伤亡事故、通信安全、计算机网络与信息安全事件统一纳入事故管理体系。全面开展人身伤亡事故统计分析,掌握事故规律,深刻吸取事故教训,采取预防措施。在开展专项安全监督方面,针对2006年安全生产的薄弱环节,一是开展以防人员责任事故为主的现场专项安全监督,着重贯彻新《安规》,重点打击26种严重违章行为,减少直至杜绝人员责任事故。二是开展应急预案专项安全监督,督促应急体系的建设,补充完善各类应急预案,提高应对突发事件的处理能力与速度。三是开展危险点分析与预控措施的专项安全生产监督,促进现场作业危险点分析与预控措施的有效实施,将作业中的风险降到最低,有效防范人员责任事故的发生。四是开展班组建设专项安全监督,以班组建设安全管理部分为标准,以现场安全管理为重点,强化基础管理,促进创建“无违章班组”和“无违章工作现场”活动的开展,夯实企业的安全基础。五是开展“两措”费用落实情况的专项安全监督,督促各单位足额划拨“两措”费用,保证“两措”费用真正落到生产一线。六是开展交通安全专项监督,监督《七项硬性措施》贯彻执行情况,确保交通安全。七是开展消防专项监督,重点是无人值班变电站消防报警装置是否完好和消防设施是否齐备。

第八条 加强安全教育培训,提高员工安全素质。安全教育培训是提高员工安全素质、保障安全生产的重要措施。全面提高员工安全素质,必须加大培训力度,创新培训工作机制。一是要突出分层次、分级培训,充分发挥基层班组和车间的作用,建立车间、班组培训制度,并下达培训次数、指标,检查考核培训效果;二是要突出针对性,注重现场培训、岗位培训和实际操作,缺什么,补(培训)什么。对厂、局(公司)领导干部的安全培训要集中组织,分批开展,学习安全生产方针政策和法律、法规以及国内外先进的安全管理理念和现代安全管理知识等,提高领导干部安全管理水平。今年要对安监人员组织持证上岗培训,学习安全生产方针政策及法律法规、规程规定、安全生产风险管理方法,提高安全监察人员业务能力。对一线人员的培训重点是岗位技能、标准化作业和《安规》培训,做到真正懂业务、懂技术,熟悉标准,能实施标准化作业,做到持证上岗。新人员入厂培训,要强化纪律教育,必须将26种严重违章行为作为重点培训内容,象“三大纪律八项注意”一样提出来,使他们牢牢记住,为以后拒绝违章打下基础。针对2006年作业现场中出现的违章现象,必须强化《安规》、“双票”、“26种严重违章行为”和标准化作业指导书等安全规程制度的培训,注重提高解决岗位实际问题和“三不伤害”的能力,让大家读规程、懂规程,做到按章指挥,照规程办事。

第九条 加强建设项目全过程安全监督与管理。根据国家电网公司对基建安全管理的规定,落实《国家电网公司建设项目安全风险管理若干规定》,规范建设项目全过程安全监督与管理。一是要加强基建施工单位工程项目管理力度,各施工基建单位一定要根据各自施工能力承接业务,不得超能力承接,再层层转包。对电网新、改、扩建工程,必须组织技术力量,妥善管理,精心组织施工,严格遵守有关规章制度,确保安全。送变电公司要特别加强特高压试验示范工程施工现场安全监督与管理,定期开展施工现场安全检查,督促落实安全组织措施、技术措施,确保特高压试验示范工程建设安全;二是要进一步落实安全生产责任制,重点落实项目法人的安全责任和监理部门责任制,加强对各类危险场所、重要施工作业点的安全监理,以确保施工全过程的安全。三是要加强现场安全文明施工,继续开展安全文明施工竞赛活动,全面推行安全性评价,对500千伏电网工程都要进行施工项目安全性评价,严格执行危险点分析和安全预控措施。四是要加强外包施工队伍的管理,发包单位必须严格审查外包施工队伍的安全资质,未经安全资质审查或审查不合格的坚决不能录用。在签订合同时应有“如果分包方不遵守安全规程,甲方可以随时更换”的条款,促使他们加强安全管理。发现外包员工违规,要马上清退。五是要按照公司要求签订《施工安全协议书(范本)》,以规范基建工程分(承)包工程安全管理,降低企业安全风险,严禁以包代管。六是要认真吸取“7.4”和“11.19”事故的教训,开展施工机械安全隐患专项安全监督,仔细排查,杜绝各类施工机械超期服役,确保人身和设备安全。七是严格招投标管理,加强承包商和供货商资质管理和业绩考核,推行安全业绩与工程项目招投标联动机制。八是要关心关爱施工单位一线人员、农民工的基本利益,充分调动积极性,构建和谐文明施工氛围。

第十条 落实责任,强化农电安全生产管理工作。认真贯彻《国家电网公司关于加强安全生产工作的决定》和《国家电网公司安全生产职责规范》的要求,按照“谁主管、谁负责”的原则,以农电六项机制为手段, 进一步提高农电安全管理水平。一是理顺农电安全保证和监督体系的关系,做到职责明确,界面清晰,农电安全保证体系以安全管理为主,农电安全监督体系以监督为主,按照职责分工全面落实各自的责任。二是进一步落实农电监督体系的职责,规范农电安全事故调查监督统计考核机制,将农电生产人身事故纳入各级安全监督事故调查统计体系,按照农电安全管理考核制度,统一监管考核。三是为防止农电人身事故,要立足农村供电所,全面落实“三防十要”反事故措施,开展农电标准化作业,强化作业现场安全风险防范,规范作业人员的行为,杜绝工作的随意性,确保现场安全。四是继续开展县供电企业安全性评价,今年完成全部县供电企业的安全性评价查评工作,夯实农电安全基础。五是加强农电员工的培训教育,开展县供电企业负责人、供电所长、工作负责人的《安规》和安全知识调考工作,提高安全技能和防范意识,提高遵守工作纪律和执行规章制度的自觉性。六是进一步做好农村安全用电“三道防线”的构建工作,第一是做好农村安全用电宣传工作;第二是做好台区总保护和家用漏电保护器使用的调研,规范台区总保护器的运用,提高台区总保护器的安装率、投运率和正确动作率;第三是加大整治低压线路工作的力度,着力整治农村危及人身安全的低压线路,防止对地距离不够或线路断线导致的事故。

第十一条 加强多经和交通安全管理工作。根据国家电网公司对多经系统安全管理的规定,在安全管理上实行“谁主管,谁负责”的要求,多经系统要加大力度,提高安全管理和监督水平。一是要进一步建立健全安全生产规章制度,完善安全生产保障体系和监督体系。监督体系要有专门的机构和人员,充分发挥安全生产保障体系和监督体系的作用。二是针对多经系统施工队伍杂,“三工”、外聘劳务队伍多的特点,要参照基建系统的管理模式,加强对外包队伍和“三工”人员的安全管理和监督,严格审查外包队伍的安全资质,签订合同及安全责任书,明确双方职责。三是施工前必须进行安全教育和安全技术措施交底,认真审查施工“三措”,在安全管理和监督工作上禁止以包代管。四是原则要求“三工”人员应从有法人资质的劳务队伍中招用,降低企业安全风险。

篇8

关键词:信息;网络安全;管理策略

中图分类号:F270文献标志码:A文章编号:1673-291X(2010)30-0015-02

随着企业信息网络建设与不断的发展,信息化已成为企业发展的大趋势,信息网络安全就显得尤为重要。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

一、信息网络的安全管理系统的建立

信息网络安全管理系统的建立,是实现对信息网络安全的整体管理。它将使安全管理与安全策略变得可视化、具体化、可操作,在将与整体安全有关的各项安全技术和产品组合为一个规范的、整体的、集中的安全平台上的同时,使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,从而提高用户在安全领域的整体安全效益。下面对信息网络安全管理系统技术需求和功能要求进行分析。

(一)技术分析

1.在信息网络安全管理系统的设计上,应该用到以下技术:安全综合管理系统体系结构构造理论和技术;安全部件之间的联动技术;安全部件互动协议与接口技术;网络拓扑结构自动发掘技术;网络数据的相关性分析和统计分析算法;网络事件的多维描述技术。

2.信息网络安全管理系统应具有安全保密第一:安全保密与系统性能是相互矛盾的,彼此相互影响、相互制约,在这种情况下,系统遵循安全与保密第一的原则,信息网络安全管理系统在设计、实施、运行、管理、维护过程中,应始终把系统的安全与保密放在首要的位置。在信息网络安全管理系统设计,尤其在身份认证、信任管理和授权管理方面,应采用先进的加密技术,实现全方位的信任和授权管理。因此,对信息安全管理系统而言,针对单个系统的全部管理并非是本系统的重点,而应该投入更多的力量在于:集中式、全方位、可视化的体现;独立安全设备管理中不完善或未实现的部分;独立安全设备的数据、响应、策略的集中处理。

(二)功能分析

1.分级管理与全网统一的管理机制:网络安全是分区域和时段的,实施分级与统一的管理机制可以对全网进行有效的管理,不仅体现区域管理的灵活性,还表现在抵御潜在网络威胁的有效性,管理中心可以根据自己网络的实际情况配置自己的策略,将每日的安全事件报告给上一级,由上一级进行统一分析。上一级可以对全网实施有效的控制,比如采用基于web的电子政务的形式,要求下一级管理中心更改策略、打补丁、安全产品升级等。

2.安全设备的网络自动拓扑:系统能够自动找出正确的网络结构,并以图形方式显示出来,给用户管理网络提供极大的帮助。这方面的内容包括:自动搜索用户关心的安全设备;网络中安全设备之间的拓扑关系;根据网络拓扑关系自动生成拓扑图;能够反映当前安全设备以及网络状态的界面。

3.安全设备实时状态监测:安全设备如果发生故障而又没有及时发现,可能会造成很大的损失。所以必须不间断地监测安全设备的工作状况。如某一设备不能正常工作,则在安全设备拓扑图上应能直观的反映出来。实时状态监测的特点是:(1)高度兼容性:由于各种安全设备的差别很大,实时状态监测具有高度兼容性,支持各种常用协议,能够最大程度地支持现有的各种安全设备。(2)智能化:状态监测有一定的智能化,对安全设备的运行状态提前作出预测,做到防患于未然。(3)易用性:实时状态监测不是把各种设备的差别处理转移给用户,而是能够提供易用的方式帮助用户管理设备。

4.高效而全面的反应报警机制:报警形式多样:如响铃、邮件、短消息、电话通知等。基于用户和等级的报警:可以根据安全的等级,负责处理问题的用户,做出不同方式、针对不同对象的报警响应。

5.安全设备日志统计分析:可以根据用户需求生成一段时间内网络设备与安全设备各种数据的统计报表。

二、信息网络的安全策略

企业信息网络面临安全的威胁来自:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞:网络软件不可能是百分之百的无缺陷和无漏洞的,这些是因为安全措施不完善所招致。

(一)物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受破坏和攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室。

(二)访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。访问控制可以说是保证网络安全最重要的核心策略之一。

1.入网访问控制:入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。

2.权限控制:网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限。

(三)目录级控制策略

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。

三、网络安全管理策略

在网络安全中,除了采用技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制定有关网络操作;使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。