网络安全的整改措施范文

时间:2023-09-14 17:49:26

导语:如何才能写好一篇网络安全的整改措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全的整改措施

篇1

结合当前工作需要,的会员“yc450071351”为你整理了这篇内网网络安全检查和整改工作的总结范文,希望能给你的学习、工作带来参考借鉴作用。

【正文】

根据省市财政相关工作要求,我局对本年度网络安全检查和整改工作进行了梳理,现将相关情况总结如下:

一、2020年度网络安全检查工作组织开展情况

自勒索病毒爆发后,我局主要领导和分管领导高度重视,立即对相关工作作出安排。

1、加强领导,完善制度。根据省市工作要求,我局成立以局党委书记、局长为组长、分管领导为副组长、相关股室股长为成员的网信领导小组,负责我局网络安全各项具体工作,结合自身实际,健全完善相关制度。

2、加强网络安全检查。在前期勒索病毒排查工作基础上,我局再次组织技术力量,对局内以及我市各预算单位接入财政网络的情况开展检查工作。我市要求所有使用财政内网的单位必须按照网络安全相关规定和上级要求,所有的终端设备必须做到:

1、所有设备必须内外网分离。

2、所有终端电脑必须设置6位三种符号以上的开机密码。

3、所有终端电脑必须安装亚信杀毒软件。

4、所有设备必须使用有线连接。

5、所有终端除正常办公需要的软件外,其它无关软件全部卸载。

3、加强基础设施建设。我局机房建设时间长,缺乏网络安全设备,我局在勒索病毒爆发后立即进行整改,按照省市相关文件和网络安全等级保护制度制定专业的网络机房建设方案,已通过招标进行实施。

二、存在的主要问题

通过前期的网络安全检查和整改,目前我市所有预算单位已规范接入财政网络,使用人员的安全防范意识明显提高,全市财政网络运行总体较为安全平稳。但仍存在一些问题和薄弱环节,主要表现在以下三方面。

1、制度建设方面。我局虽然制订了《阆中市财政局网络安全制度》,但根据中省财政部门的要求,仍存在日常管理操作不规范、未定期对安全管理制度进行更新等问题。

2、安全意识方面。在前期工作中,我局对使用财政网络的用户,均进行了网络安全宣传教育,但宣传教育的内容比较片面,没有细化普及安全知识和培训相关的防范技能。

3、组织保障方面。我局虽然成立网信领导小组,但由于编制受限,没有专门的网络安全技术人员,无法分设系统管理员、安全管理员等岗位。

三、整改措施及计划

1、强化制度建设。根据《中华人民共和国网络安全法》和中省制定的各项财政网络安全规定,建立健全网络安全和应急处置机制,完善各种制度和文件资料。

2、强化组织保障。短期内通过购买服务方式弥补专业技术力量的不足,中长期通过招考引进专业技术人才和专业技术培训等方式,加强专业技术力量的配备,解决网络安全人才短缺的问题。

篇2

【关键词】校园网络;安全问题;对策

一、校园网络的安全问题

当前,校园网络安全问题主要存在以下几方面:

(1)校园网络安全软、硬件基础设施投入不足,没有建立一套完善的网络安全系统,大多数学校网络安全建设和管理费用短缺,网络设备更新和维护占据了主要经费支出,而网络安全方面资金投入明显不足。大多学校校园网络没有建立安全防范系统,安全级别较低。

(2)学校网络使用环境十分混乱。每个学校都为师生提供了公共上网环境,以方便师生工作和学习。这虽然能够解决广大师生网络使用问题,提高学校信息管理人性化水平,为提高校园信息化水平做出了有益贡献,但是由于缺乏统一管理和监督,学校内部网络机房的管理十分混乱,存在严重的部门条块分割管理问题。许多网络机房管理存在诸多缺陷,计算机用户没有采用实名登记,导致公共网络成为校园网重大安全威胁。

(3)电子邮件系统技术不成熟,疏于安全管理。电子邮件是网络常用沟通工具,几乎每个网络用户都会使用电子邮件。电子邮件在提升沟通效率的同时,也给校园网络安全造成了致命威胁,许多计算机病毒、不良信息通过电子邮件肆意传播和扩散,给网络信息安全造成了重大威胁。因此,校园网络安全建设要将电子邮件系统作为重点工作对象来抓。当前,大多数校园采用互联网免费平台邮件系统,由于这类邮件系统具有很大的公开性和公用性,其网络安全防范水平较低,很容易让不良信息有机可乘。

(4)网络病毒肆虐,严重影响网络信息安全,各种保密信息不断遭受泄露和丢失,造成严重损失。互联网络在方便公众信息生活的同时,也给社会带来了严重的病毒威胁。随着网络不断普及和推广,网络病毒的传播效率越来越快,病毒潜藏能力不断提升,对网络信息安全的危害性日益增大。同时,网络病毒的存在还挤占了用户电脑资源,严重影响了计算机运行速度;例如前不久发生的“红色代码”、“尼姆达”等网络病毒事件,足以警示我们要加强网络病毒的防范。病毒防范不能采取单机防备方式,而是要从网络全局规划和统筹,统一部署和监控,制定完善的网络病毒防控体系。

(5)校园工作人员网络安全意识薄弱,缺乏一条完善的网络安全管理制度。校园网络经常会发生非法访问、盗用账户、入侵合法数据库、窃取软件信息等问题。此外,通过电子邮件等沟通工具对他人进行诋毁、诬赖的情况时有发生。由于大多数学校没有制定一套完善的网络安全管理制度,使得校园面临上述网络安全问题的困扰,严重干扰了广大师生正常工作和学习活动。

二、校园网络安全解决方案

(1)规范出口的管理实施校园网的整体安全架构,必须对原有的网络架构进行改造,首先需要解决的就是多出口的问题。出口如果不进行规范管理,校园网络安全体系就无法得以实施。因此,作为校园网络管理机构必须将所有的校园网络出口统一管理,严禁私自开后门的情况出现,为安全的实施提供最基础的保障。

(2)配备完整的系统的网络安全设备校园网络虽然比较复杂,但从整体技术架构来看,还是属于局域网范畴,因此,在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外需要注意的是,校园网络现在基本上都是高速网络,因此配置安全设备既要考虑到功能同时也必须考虑性能,将配置安全设备后对网络性能的影响尽可能的降到最低。据此要求,校园网络需要配备以下安全设备:高性能的硬件防火墙、旁路监听型的入侵检测系统、漏洞扫描系统、安全审计系统、旁路监听型不良内容过滤系统、覆盖全校范围的网络版防病毒系统、网络故障检测以及网络故障诊断设备。通过配置以上安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。

(3)要在全校实施统一的网络用户实名登记制。校园网络是一种公共使用空间,要化解网络信息安全问题必须首先解决用户身份信息登记问题,要将身份认证作为校园网络安全建设的基础工作。如果不能对用户信息进行识别和登记,网络用户违规成本降低,就会纵容各种网络违法行为的发生,加剧校园网络安全严重性。同时在全校实施统一的用户身份认证制,可以有效提高广大师生网络安全意识和自觉性。

(4)严格规范上网场所的管理,集中进行监控和管理校园网络建设从教学科研的角度出发,应该鼓励建设更多的公众上网场所,给学校师生提供了解网络和通过网络学习、工作的方便。但从安全管理的角度来看,对于众多上网场所的管理,只有使用统一的机房管理软件、集中身份认证并且进行集中的管理和监控,才可以有效的保证网络安全。现在,大多校园内的上网场所管理基本处在“网络管理孤岛”的状态,大量的上网用户身份无法鉴别,在这些上网场所的行为也基本上是不受控制的;另外,上网场所采用“还原卡”的方式可以简化机房管理,但这给安全管理带来了麻烦。根据有关部门规定,上网场所的上网日志要保存至少三个月。因此,要解决用户上网身份认证、上网日志保存和查询的问题,最有效的解决办法就是采用集中身份认证、集中管理监控的方式,具体来说有以下两点:①用户使用网络首先通过统一的校级身份认证系统确认,非合法用户无法使用校园网络,合法用户上网的行为受到统一的监控,并且上网行为日志集中保存在中心服务器上。这样既可以不给机房管理增加负担,同时也可以提供至少三个月以上的日志备查。②由于访问日志直接传送到中心监控服务器上,保证了这个记录的严肃性和准确性。

(5)提升电子邮件系统使用安全水平,要采用多种安全技术来提升校园电子邮件系统安全水平,要针对落后的安全技术进行升级改造,保证电子邮件系统安全防护措施满足校园网络安全管理需要。此外,要将强校园网络安全监督和日志管理,对所有不良信息进行过滤和识别。

三、结束语

本文介绍了校园网络安全建设要点,针对当前校园网络安全问题提出了有效整改措施,希望本文研究能够为提升高校校园网络信息安全水平做出有益贡献,也期待有更多学者投入到相关研究工作中,切实提高网络安全技术水平。

篇3

关键词:信息安全 等级保护 信息系统 实施

一、引言

我国信息安全面临的形势十分严峻,维护国家信息安全的任务非常艰巨、繁重。2007年7月20日,公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。

下文将讨论如何根据《信息系统安全等级保护基本要求》关于等级保护的管理规范和技术标准对新系统实施建设和对原有系统实施改建工作。

二、新建系统的安全等级保护规划与建设

完成系统定级并确定安全需求后,新建和改建系统就进入了实施前的设计过程。

以往的安全保障体系设计是没有等级概念的,主要是依据本单位业务特点,结合其他行业或单位实施安全保护的实践经验而提出的。当引入等级保护的概念后,系统安全防护设计思路会有所不同:

――由于确定了单位内部代表不同业务类型的若干个信息系统的安全保护等级,在设计思路上应突出对等级较高的信息系统的重点保护。

――安全设计应保证不同保护等级的信息系统能满足相应等级的保护要求。满足等级保护要求不意味着各信息系统独立实施保护,而应本着优化资源配置的原则,合理布局,构建纵深防御体系。

――划分了不同等级的系统,就存在如何解决等级系统之间的互连问题,因此必须在总体安全设计中规定相应的安全策略。

⒈总体安全设计方法

总体安全设计并非安全等级保护实施过程中必须的执行过程,对于规模较小、构成内容简单的信息系统,在通过安全需求分析确定了其安全需求后,可以直接进入安全详细设计。对于有一定规模的信息系统,实施总体安全设计过程。总体安全设计可以按以下步骤实施:

⑴局域网内部抽象处理

一个局域网可能由多个不同等级系统构成,无论局域网内部等级系统有多少,可以将等级相同、安全需求类相同、安全策略一致的系统合并为一个安全域,并将其抽象为一个模型要素,可将之称为某级安全域。通过抽象处理后,局域网模型可能是由多个级别的安全域互联构成的模型。

⑵局域网内部安全域之间互联的抽象处理

根据局域网内部的业务流程、数据交换要求、用户访问要求等确定不同级别安全域之间的网络连接要求,从而对安全域边界提出安全策略要求和安全措施要求,以实现对安全域边界的安全保护。

如果任意两个不同级别的子系统之间有业务流程、数据交换要求、用户访问要求等的需要,则认为两个模型要素之间有连接。通过分析和抽象处理后,局域网内部子系统之间互联模型如图1所示。

图1 局域网内部安全域之间互联抽象

⑶局域网之间安全域互联的抽象处理

根据局域网之间的业务流程、数据交换要求、用户访问要求等确定局域网之间通过骨干网/城域网的分隔的同级、或不同级别安全域之间的网络连接要求。

例如,任意两个级别的安全域之间有业务流程、数据交换要求、用户访问要求等的需要,则认为两个局域网的安全域之间有连接。通过分析和抽象处理后,局域网之间安全域互联模型如图2所示。

图2 局域网之间安全域互联的抽象

⑷局域网安全域与外部单位互联的抽象处理

对于与国际互联网或外部机构/单位有连接或数据交换的信息系统,需要分析这种网络的连接要求,并进行模型化处理。例如,任意一个级别的安全域,如果这个安全域与外部机构/单位或国际互联网之间有业务访问、数据交换等的需要,则认为这个级别的安全域与外部机构/单位或国际互联网之间有连接。通过分析和抽象处理后,局域网安全域与外部机构/单位或国际互联网之间互联模型如图3所示。

图3 局域网安全域与外部单位互联的抽象

⑸安全域内部抽象处理

局域网中不同级别的安全域的规模和复杂程度可能不同,但是每个级别的安全域的构成要素基本一致,即由服务器、工作站和连接它们的网络设备构成。为了便于分析和处理,将安全域内部抽象为服务器设备(包括存贮设备)、工作站设备和网络设备这些要素,通过对安全域内部的模型化处理后,对每个安全域内部的关注点将放在服务器设备、工作站设备和网络设备上,通过对不同级别的安全域中的服务器设备、工作站设备和网络设备提出安全策略要求和安全措施要求,实现安全域内部的安全保护。通过抽象处理后,每个安全域模型如图4所示。

图4 安全域内部抽象

⑹形成信息系统抽象模型

通过对信息系统的分析和抽象处理,最终应形成被分析的信息系统的抽象模型。信息系统抽象模型的表达应包括以下内容:单位的不同局域网络如何通过骨干网、城域网互联;每个局域网内最多包含几个不同级别的安全域;局域网内部不同级别的安全域之间如何连接;不同局域网之间的安全域之间如何连接;局域网内部安全域是否与外部机构/单位或国际互联网有互联,等等。

⑺制定总体安全策略

最重要的是制定安全域互连策略,通过限制多点外联、统一出口既可以达到保护重点、优化配置,也体现了纵深防御的策略思想。

⑻关于等级边界进行安全控制的规定

针对信息系统等级化抽象模型,根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求,提出不同级别安全域边界的安全保护策略和安全技术措施。

安全域边界安全保护策略和安全技术措施提出时要考虑边界设备共享的情况,如果不同级别的安全域通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施要满足最高级安全域的等级保护要求。

⑼关于各安全域内部的安全控制要求

提出针对信息系统等级化抽象模型,根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求,提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。

⑽关于等级安全域的管理策略

从全局角度出发,提出单位的总体安全管理框架和总体安全管理策略,对每个等级安全域提出各自的安全管理策略,安全域管理策略继承单位的总体安全策略。

⒉总体安全设计方案大纲

最后形成的总体方案大纲包括以下内容:信息系统概述,单位信息系统安全保护等级状况;各等级信息系统的安全需求,信息系统的安全等级保护模型抽象,总体安全策略,信息系统的边界安全防护策略,信息系统的等级安全域防护策略,信息系统安全管理与安全保障策略。

⒊设计实施方案

实施方案不同于设计方案,实施方案需要根据阶段性的建设目标和建设内容将信息系统安全总体设计方案中要求实现的安全策略、安全技术体系结构、安全措施落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档,使得在信息安全产品采购和安全控制开发阶段具有依据。实施方案过程如下:

⑴结构框架设计

依据实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容包括安全防护的层次、信息安全产品的选择和使用、等级系统安全域的划分、IP地址规划等。

⑵功能要求设计

对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、服务器、网络防病毒、PKI等提出功能指标要求;对需要开发的安全控制组件,提出功能指标要求。

⑶性能要求设计

对安全实现技术框架中使用到的相关信息安全产品,如防火墙、VPN、网闸、认证网关、服务器、网络防病毒、PKI等提出性能指标要求;对需要开发的安全控制组件,提出性能指标要求。

⑷部署方案设计

结合信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连接方式、IP地址分配等;对于需对原有网络进行调整的,给出网络调整的图示方案等。

⑸制定安全策略实现计划

依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。

⑹管理措施实现内容设计

结合系统实际安全管理需要和本次技术建设内容,确定本次安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。

⑺形成系统建设的安全实施方案

最后形成的系统建设的安全实施方案应包含以下内容:系统建设目标和建设内容、技术实现框架、信息安全产品或组件功能及性能、信息安全产品或组件部署;安全策略和配置;配套的安全管理建设内容;工程实施计划;项目投资概算。

三、系统改建实施方案设计

与等级保护工作相关的大部分系统是已建成并投入运行的系统,信息系统的安全建设也已完成,因此信息系统的运营使用单位更关心如何找出现有安全防护与相应等级基本要求的差距,如何根据差距分析来设计系统的改建方案,使其能够指导该系统后期具体的改建工作,逐步达到相应等级系统的保护能力。

⒈确定系统改建的安全需求

第一步,根据信息系统的安全保护等级,参照前述的安全需求分析方法,确定本系统的总的安全需求,包括经过调整的等级保护基本要求和本单位的特殊安全需求。

第二步,由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项。

第三步,针对满足特殊安全需求(包括采用高等级的控制措施和采用其他标准的要求)的安全措施进行符合性评估,得到与满足特殊安全需求的差距项。

⒉差距原因分析

差距项不一定都会作为改建的安全需求,因为存在差距的原因可能有以下几种情况:

一是整体设计方面的问题,即某些差距项的不满足是由于该系统在整体的安全策略(包括技术策略和管理策略)设计上存在问题。例如,网络结构设计不合理,各网络设备在位置的部署上存在问题,导致某些网络安全要求没有正确实现;信息安全的管理策略方向性不明确,导致一些管理要求没有实现。

二是缺乏相应产品实现安全控制要求。由于安全保护要求都是要落在具体产品、组件的安全功能上,通过对产品的正确选择和部署满足相应要求。但在实际中,有些安全要求在系统中并没有落在具体的产品上。产生这种情况的原因是多方面的,其中目前技术的制约可能是最主要的原因。例如,强制访问控制,目前在主流的操作系统和数据库系统上并没有得到很好的实现。

三是产品没有得到正确配置。某些安全要求虽然能够在具体的产品组件上实现,但使用者由于技术能力、安全意识的原因,或出于对系统运行性能影响的考虑等原因,产品没有得到正确的配置,从而使其相关安全功能没有得到发挥。例如,登陆口令复杂度检测没有启用、操作系统的审计功能没有启用等就是经常出现的情况。

以上情况的分析,只是系统在等级化安全保护上出现差距的主要原因,不同系统有其个性特点,产生差距的原因也不尽相同。

⒊分类处理的改建措施

针对差距出现的种种原因,分析如何采取措施来弥补差距。差距产生的原因不同,采用的整改措施也不同,首先可对改建措施进行分类考虑并针对上述三种情况,主要可从以下几方面进行:

针对情况一,系统需重新考虑设计网络拓扑结构,包括安全产品或安全组件的部署位置、连线方式、IP地址分配等。针对安全管理方面的整体策略问题,机构需重新定位安全管理策略、方针,明确机构的信息安全管理工作方向。

针对情况二,将未实现的安全技术要求转化为相关安全产品的功能/性能指标要求,在适当的物理/逻辑位置对安全产品进行部署。

针对情况三,正确配置产品的相关功能,使其发挥作用。

无论是哪种情况,改建措施的实现都需要将具体的安全要求落到实处,也就是说,应确定在哪些系统组件上实现相应等级安全要求的安全功能。

⒋形成改建措施

篇4

我局始终站在抓安全就是抓稳定,抓安全就是抓发展的高度,把安全工作目标管理责任制纳入企业改革、发展和精神文明建设的总体规划,着力构建党组统一领导、部门依法监管、单位全面负责、群众积极参与的格局。局党组加强领导,提高责任意识,成立了安全生产工作领导小组,由局党组书记、局长赵时可任组长,局党组副书记、纪检组长陈长奇任副组长,党组的其他成员为领导小组成员,严格按照“一岗双责”的要求,认真履行安全职责,形成主要领导亲自抓,分管领导具体抓,全体领导成员齐抓共管的良好局面。局行管处组织协调和抓好日常工作,确保各项工作落实到位。

赵时可局长于2013年年初在全市粮食工作会议上,与党组其他成员和局属的各公司级企事业单位的法人代表签订了2013年度的安全工作目标管理责任书,把安全生产责任控制指标层层分解,提出工作保证措施的具体要求,明确奖惩办法。各基层单位均与下属的基层班组和重要岗位的员工层层签订了年度的安全工作目标管理责任书,做到安全责任到岗到人,与责任人的政治荣誉和经济利益挂钩。

二、认真贯彻落实市委、市政府、省粮食局和市安监局的工作部署。

今年以来,我局对市委、市政府、省粮食局和市安监局部署的开展“安全生产年”和“责任落实年”活动、企业安全生产标准化建设、汛期安全生产工作、全面排查整治危险化学品和烟花爆竹企业安全隐患、开展安全隐患排查整治及大检查等工作,均采取召开会议传达贯彻、转发文件、开展检查、督促整改、汇报反馈等措施进行落实。从市局到公司、基层单位、班组层层建立健全安全生产监管体系,对安全生产所必需的资金予以保证。按照安全工作目标管理责任制的有关规定,我局坚持做到每月按时上报《安全生产事故月报表》,每月召开一次以上的安全生产工作会议,每季度开展一次以上的安全生产大检查,工作开展情况及时向有关部门书面反馈。我局还坚持每季度召开一次防范重特大事故会议,传达贯彻上级的会议和文件精神,进行安全生产形势分析,布置当前任务,提出工作要求,并形成会议纪要。局职能部门对各基层单位的安全生产工作做到经常性督查,每半年进行安全生产目标责任制落实情况的小结。年终,局党组对基层单位年度各项工作指标完成情况组织考核时,把安全生产作为重要内容之一,实行安全生产“一票否决”。

三、开展安全生产大检查,督促整改隐患

根据安全生产责任制的要求,今年以来粮食系统坚持每季度和节假日期间都开展安全生产检查。我们还按照季节特点、单位实际和安全管理中发现的突出问题,开展了安全生产隐患排查专项行动、消防安全隐患集中整治行动、粮油仓库和危险化学品检查及外租部位隐患排查整改等专项检查。赵时可局长和陈长奇副书记多次在会上强调各级领导要认清当前安全生产的严峻形势,加强工作责任心,认真做好检查整改,把事故苗头消灭在萌芽状态,确保不发生各类问题。

在“安全生产年”和“责任落实年”活动中,市局领导带队下基层进行了安全生产抽查、督促,共计发出整改通知书20份,整改率100%。

今年七月,我局落实防汛责任制,抓好防汛检查,疏通排洪管网和沟渠,落实防汛减灾措施,全市粮食系统共检查126处,发现隐患42个,投入整改资金8.45万元,整改38个。

在第四季度开展的安全生产大检查中,我局在抓好粮食生产经营单位安全大检查的基础上,在系统内展开拉网式安全隐患排查整治,市局领导带队着重加强对粮库、办公场所、在建工程、消防、人员密集场所、出租部位、“三合一”场所、危险化学品使用的监管和检查,共检点部位45处,发现隐患36个,发出整改通知书14份,整改率100%。

四、宣传教育,提高职工的安全意识

为了提高基层领导和专兼职安全管理人员的业务素质,注重教育实效,强化现场安全管理,我局针对安全生产管理中发现的薄弱环节,于11月2日在岭头培训中心我局在市粮食购销公司岭头培训中心会议室举办了市粮食系统2013年安全生产培训班,各单位的分管领导和安全部门的负责同志约50人参加。陈长奇副书记组织与会同志学习了《安全生产法》和国务院第165次、173次常务会议精神,并针对我市粮食系统安全生产工作的重点部位、存在问题、整改措施和安全检查的主要任务、形式、方法以及事故报告制度做了专题讲座,提高了企业领导干部的安全意识和安全管理技能。

局属各单位也举办了形式多样的安全生产宣传教育活动。如市粮食批发交易市场新增灭火器192多个,在“119”消防宣传日,组织了以“全民消防,生命至上”为主题的消防实地演练活动,全体职工及部分经营户共计70余人到场,现场讲解火灾逃生技巧,现场演示如何使用灭火器、消防水枪等;市粮食购销公司、市面粉公司等也组织了火灾警示教育、演练,形式生动活泼,增强了干部职工的消防技能和自救知识。

篇5

(一)健全组织管理体系,建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组,制定议事程序,确立工作步骤,审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议,对信息化建设工作进行决策、安排和部署。立足于可持续发展战略,安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理”的管理目标,建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成,负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门牵头,其他部门共同参与的风险管控平台。依托风险管控平台,通过检查、评测和监控及时发现科技工作中的风险隐患,组织召开风险例会,研究制定整改措施、整改方案,结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成,主要职责是对信息科技工作进行专项审计。

(二)推动制度体系建设,构筑安全生产生命线。多年来,安徽省分行每年都对信息科技制度和技术规范进行修订,对现有信息科技制度体系进行评估,对信息科技制度体系架构进行梳理,逐步建立了制度、实施细则及技术规范三层架构的制度体系。形成了《信息科技制度汇编》,共包括38个科技管理办法、16个实施细则、9项技术规范,在全行范围内印发执行,有效指导了信息化建设和风险管理工作的开展。为了保持制度的严肃性,使基层分支行操作人员严格执行制度,省分行加强制度执行力建设,采取检查、监控及违规积分等措施,确保制度落地,形成人人“重制度,守制度”良好工作氛围。

(三)完善技术体系建设,提升技术防范能力1.建设高标准机房。2009年到2011年期间,率先启动省、市、县三级机房达标工程改造,共投入2000万元用于辖内66个机构机房的建设和改造,机构覆盖面达到90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性”的理念,对供电、防雷、消防、空调、装饰系统进行了全面改造,为信息系统安全运行提供了可靠的物理保障。2.健全后备供电保障体系。2012年,利用有限的固定资产指标,为全辖所有市级分行配置了功率在20KVA以上的UPS,为60个县支行配置了10KVA的UPS;在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机;11个行与电力公司、电信或联通等公司签订应急供电协议。形成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3.建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统(包括网络预警监控系统和机房动力环境监控系统),实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式,本级行不仅可以监控自身机房及信息系统运行情况,还可以实时监控到辖内行情况,实现科技风险监测的纵横结合,提升风险预警与防控能力。4.构建高效安全的网络体系。基层行成立不久,就实现了分网运行,根据业务种类、服务范围等分为生产网、办公网和监控网,针对不同的网络采用不同的安全控制策略;在网络线路上,采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性;结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防范手段,确保网络安全。5.部署防病毒系统。部署了覆盖全行的计算机病毒防治系统,支持防病毒软件的统一管理和升级,有效防止病毒转播与蔓延。6.建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储,使用现有网络在非工作时段进行数据复制,解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用,也解决了二级分行重要数据异地存储的难题。经过演练测试验证,灾备系统运行稳定,能够有效地保障数据安全。

(四)加强信息系统应急管理,保持业务连续性省分行严格按照《中国农业发展银行信息系统突发事件应急管理办法》要求,成立相应组织,切实履行职责,在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中,就模拟了6个场景,模拟突发网络故障情况108种,验证演练数据1638项。通过把演练工作做实做细,使得一些潜在的隐患得以暴露,强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手,引入PDCA(策划-实施-检查-改进)持续改进机制,不断完善应急预案及应急物资储备。在演练策划阶段,针对已有的和潜在的信息科技风险因素进行充分的评估,有重点地制定演练方案;实施阶段实时跟踪监测各类信息科技风险因素的产生和变化,适时调整信息科技风险应对策略和措施;检查阶段对演练情况展开具体分析,对业务具体造成的影响、潜在风险、变化情况等进行收集整理,作为修订完善应急预案的依据;在改进阶段及时修正、完善应急演练预案。通过对应急演练持续改进,大大降低了信息科技风险事件的影响和损失,有效维持业务的不间断运营。

二、基层行信息科技风险管理工作面临的挑战

(一)信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防范,轻信息科技建设轻信息科技风险防范的现象,致使科技风险管理不到位。二是一线操作人员风险意识淡薄,认为信息科技风险是信息科技部门的事,与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻,非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训,风险管理知识及经验不足,风险识别、风险评估、风险处置能力不强。

(二)信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比如现有的制度在电子设备采购、管理、报废等方面进行了规范,但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定,部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力不足,缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计,缺乏必要的技术力量和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运动员,又是裁判员,不能形成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员不足,技术力量薄弱,科技部门重要岗位缺乏备份人员,内部岗位之间缺乏制约,影响某些规章制度有效落实。

(三)信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面,在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段不足,既增加人力维护成本,又极易产生信息科技安全隐患。三是IT服务外包需进一步规范,在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管,在努力提高服务水平的同时,最大限度地保护信息安全。

三、基层行信息科技风险治理展望

(一)加强内控制度建设,巩固三道防线。内控管理是一项长期而重要的工作,基层行应紧密结合现有业务流程,以完善管理机制、建立健全制度体系为主线,不断优化现有信息系统,提高信息系统基础设施的服务保障能力。信息科技风险虽然体现在信息系统的运行操作环节,但往往涉及业务流程和操作模式的合理性、业务需求的质量等众多方面,防范信息科技风险必须综合考虑业务需求制定、项目实施、软件开发、基础设施建设、运行维护管理等不同环节的各种因素,由业务主管部门、科技管理部门和审计部门协同工作,才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性,明确信息科技风险管理目标,落实信息科技风险管理责任制,将信息科技风险纳入自身的总体风险框架,筑起第一道“思想”防线;其次,在加强信息安全监督、自查力度的同时,还应定期组织辖内信息科技风险的专项检查,对于日常经营管理和生产运行中发现的操作风险隐患,建立信息系统风险持续跟进机制,及时消除风险隐患,坚守第二道“监查”防线;此外,还应明确业务部门责任,将科技风险管理纳入到业务部门日常管理,设立专门的IT审计团队,培养专业的IT审计人才,对信息科技风险进行评估,督促整改,构建“以查带审,以审促查”的第三道防线。

(二)重在预防,完善信息风险防控体系。一是建立信息风险监控平台,通过对现有各类生产系统、监控系统中的可疑数据进行跟踪与分析,从而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式,对于风险程度高、要求响应速度快的风险点,依托短信平台、邮件系统在最短时间内给出预警;对于日常操作和行为信息,采用T+1分析的方式,通过事后追查、责任落实来规避风险。二是完善信息科技风险评估制度,严格控制对应用项目外包、软硬件产品和相关服务外包的风险,建立对外包服务商、产品供应商的信息科技风险的评估机制,实现对第三方全过程的跟踪管理,防范外包服务的实施风险。三是实施风险管理的全覆盖。将全省人员按照省、市、县三级组织实施分级管理,一级管一级,实现从上到下、从省到县的逐级有序结构,使科技工作风险管控的触角延伸到每一个人、每一台计算机、每一项业务。

(三)强化保障体系,持续推动业务连续性管理。首先,应严格执行机房值班制度,每日巡查机房,确保将安全隐患消灭于萌芽之中。其次,还应加强后备电源、备品备件的管理,落实各二级分行机房的第二供电保障渠道,有条件的行采用双回路供电,没有改造条件的自备发电机,对重要设备还应采取热备或冷备的方式,消除单点故障隐患。再次,研发推广桌面(终端)安全系统,包含内网准入、补丁分发、病毒库升级和主动防御等功能,从源头防范,确保网络安全。此外,还必须未雨绸缪,及时修订应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前能从容应对,迅速恢复生产,尽可能降低事故造成的损失。

篇6

关键词:网站;安全;检测;防范;维护;

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)27-6472-03

Web Site Safety Prevention Tips

WANG Zhao-lin

(Office of Human Resources and Social Security of Anhui Province Information Center,Hefei 230061,China)

Abstract: Whether corporate website or personal Web site,Website security is a very important aspect,Because site security problems may cause your Web site credibility, flow, profit, and even political influence。Web sites were brought by black hung horses,Website content has been tampered,The proliferation of viruses, user information leakage problems can bring to the site of catastrophe,Web site security testing and security maintenance is a very important work。Experience in security work through a Web site here, divided into several parts to talk about website security construction and management practices。In practical work, ensure that the site’s normal application.

Key words: website; safe; check; guard; maintain

笔者常常收到上级部门的《关于加强网站安全防护的通知》和网络与信息安全情况通报,使得我们对网站安全认识进一步提高,对一般网站的安全隐患进行了认真细致的分析,积极研究整改措施,并对网站进行了全面监测,保证了网站的安全运行。

1网站安全防范做法

1.1认真组织系统自查

1)充分认识加强网络安全管理工作的重要性

领导要高度重视,组织相关部门认真学习《网站安全的工作方案》,要求通过全面的安全检查,及时掌握网站的安全现状和面临的威胁,认真查找隐患,堵塞安全漏洞,完善安全措施,保障网站安全、稳定、高效运行。

2)对照检查内容,逐条进行检查

在规定的时间内,我院按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,从网站内容、网站安全体系和管理制度三个方面对网站进行了自查。

3)网站运行和内容方面。

①网站服务器安全。指派专人负责网站的日常运行与维护,确保网站正常运行。②不断完善网上服务功能,并安排专人对数据进行核查,确保数据准确性。③在网站内容方面,明确相关责任人对相应栏目的内容更新,及时各类网站信息。四是安排多人上班时间读网,发现错链、断链现象及时纠正。

4)安全防范措施方面。①网站已配备了硬件防火墙,有一定的防攻击、防病毒等硬件防护措施。②通过与有关技术支持商合作,加强网站的安全防护能力。③利用热备份和后台密码分级管理等手段,提高数据安全性。

5)管理制度方面。①建立了网上信息审核和保密审核制度,凡上传网站的信息,须经领导审查签字后方可。②与有关技术支持商明确了各方的职责与分工,并建全落实服务器管理、网站管理数据管理等各项规章制度。③投入必须服务经费,保证网站的安全和顺利运行。

1.2网站硬件防护策略

网站系统网络拓扑结构如图1。

图1

1)前端安全设备型号。防火墙:联想网御PV1408、IPS:联想网御IPS 630、网络防篡改:中软华泰

2)服务器信息。应用服务器:IBM X3850、操作系统:Windows 2008 standard 64bit、数据库服务器:IBM X3850、操作系统:RHAS 5.4

3)网站系统的前端安全设备有防火墙和入侵防护设备以及网络防篡改设备,可提供对网站的日常安全的保护功能。同时,应用方面数据库和应用程序分离,数据库不提供对外服务可降低安全的隐患。

1.3加强网站安全设备使用

网站部署在两台服务器上,一台存放服务,一台存放数据库,采用双机互相备份的方式及时的备份数据。整个大的网络环境内部署了一想网御PV1428防火墙和一想网御IPS630,并且针对门户网站还专门配置了中软华泰的网站防护系统,可以实现“网站防病毒”、“网站防篡改”、“网站防入侵”的目的。

主要功能如下:

1)执行程序可信度量。通过可信度量技术,对系统中要启动的执行程序进行真实性和完整性度量,禁止不符合预期的程序启动。通过上述机制,实现了网站服务器对于病毒、木马、攻击程序等恶意代码自免疫,弥补了杀毒软件的滞后性问题。

2)程序安装控制。控制程序安装行为,禁止非法的程序安装行为。

3)可信代码防篡改。对于信任程序的实时保护,禁止任何的破坏和非法修改行为。

4)网页防篡改保护。在系统底层利用文件过滤驱动技术,实时监控受保护的WEB目录,实施严格的强制访问控制,禁止对受保护的WEB目录进行任何非法操作,从源头上杜绝网页非法篡改行为的发生。

5)重要资源写保护控制。对存放在服务器中的重要数据进行实时防篡改保护,禁止非法的篡改行为。

6)防SQL注入攻击。过滤含有SQL注入关键字的数据包,从而起到防SQL注入的效果。

7)防跨站脚本攻击。过滤含有跨站脚本关键字的数据包,从而起到防跨站脚本攻击的效果。

8)抗黑客扫描:阻止恶意攻击者的扫描行为,保护服务器的敏感信息。

9)SSL终止:终止SSL安全连接,对数据流进行解码,检查明文格式是否含有恶意的流量。

网站工作人员定期对服务器系统进行漏洞扫描、安装补丁、系统升级,每个月做一次独立的网站数据备份,确保门户网站安全畅通运行。

1.4注重网站漏洞修复

经常更新系统软件,堵塞系统漏洞;比如:JBoss中间件漏洞修复;针对检测的安全隐患,我们认真分析了出现安全隐患的原因,并积极进行了整改,具体的修复方案及措施如下:

1)JBoss中间件存在非授权访问漏洞。

解决方案:我们采取的解决方案是在jboss目录下的server/default/deploy/jmx-console.war/WEB-INF/web.xml文件中增加了httpmethod>HEAD以降低威胁。

2)JBoss中间件的status页面可匿名访问。

解决方案:注销了/ROOT.war/WEB-INF/web.xml文件下的

3)JBoss中间件的web-console页面可匿名访问。

解决方案:

(1)找到jboss目录下的/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml,去掉security-domain>java:/ jaas/web-console的注释。

(2)找到jboss目录下的

/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml ,去掉部分的注释。

(3)修改jobss目录下的server/default/conf/login-config.xml,设置登录web-console的用户名和角色。

(4)CVS Web Repository开发工具信息泄露。

解决方案:删除了CVS Web Repository开发工具的文件。

在今后的工作中,我们将更加重视网站安全工作,严格贯彻落实上级有关文件精神,积极采取有力措施,进一步做好网站安全工作。

1.5加强内部数据的管理及监督

网站内部数据关系到用户的个人基本信息,不管是什么类型的网站都拥有用户,还有相应的程序员、技术员、管理员、编辑员等等,而加强对这些人员的管理管理,对网站的数据保护至关重要;作为简单有效的安全措施,口令一直是身份管理普遍采用的方式。网络接入、电子邮件和Web服务使口令得到了广泛的应用,口令的安全问题开始被人们关注。我们知道,口令的安全与它的长度和复杂度息息相关,越长越复杂的口令越不容易被黑客破解,但是这样的口令却难于记忆。通过建立密码、口令管理制度来保证安全;1)对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。2)当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管理部门提交申请单,有部门负责人或系统管理员核实后,履行规定的手续,并对用户档案做更新记载。3)如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。要加强网站数据和相关用户行为的审计,确保数据不丢失、不泄露,确保用户口令保密、行为安全可靠。

2结论

篇7

诺顿事件如同一记重拳,将众人

 

的信息安全意识猛然击醒。信息安全最显著的特点是“出现的问题越大,受重视程度越高”,最显著的成效是“受重视程度越高,出问题的概率越小”。显然,在当今信息技术广泛应用,网络影响力日益增强的时代,信息安全的风险因受到各类威胁而不断增长。随着新技术、新应用越来越多,新风险、新问题也将越来越多。2013年,我国信息安全产品的规模已较2012年度增长了21.68%,而未来两年该规模总量还将出现翻番。作为保障信息安全重要手段之一的检测与评估工作,必然显得越来越重要。

 

专业检测是信息安全可靠性认定的“首选措施”

 

信息安全测试与评估(简称:信息安全测评)是对信息安全模块、产品和信息系统的安全性等进行测试、验证、评价和定级,以明确其安全特性。一般而言,信息安全测评的重点是安全产品的专项性能和信息系统的安全状态。在实际测评过程中,通常从技术与管理两个方面进行,同时对内部风险和外部风险进行确认和衡量,有针对性地提出抵御威胁的安全防护对策和整改措施,从而最大限度地确保不出现安全问题或少出现安全问题,努力减少因安全问题而造成的经济损失和负面影响。早在20世纪80年代,美、英、德、法等西方国家纷纷制定了本国的信息安全评测认证制度,并积极开展测评认证标准领域的合作。经过近20年的努力,终于在1999年形成了既考虑共同的技术基础,又兼顾各国信息安全主权的国际化标准,即信息技术安全性评估准则(Common Criteria,简称CC),CC中的安全要求分为安全功能和安全保证两大类。1997年,我国开始组织有关单位跟踪CC发展,并着手制定对应的国家标准,2001年开始正式实施我国的信息安全标准GB/T18336,此后不断丰富和完善相关标准规范。

 

当前,社会各界对网络安全、系统安全、信息安全的依赖性越来越大,对信息安全测评工作的要求越来越高。整体形势呈现三个特点:一是信息安全的影响力日渐增强。2012年我国IT消费达到1.8万亿,云计算、物联网、移动互联网、IPV6、智能终端等网络新技术应用范围和服务内容不断丰富扩大,信息安全成为重点关注内容;二是网络技术军事化应用倾向明显。计算机病毒、高能电磁脉冲、网络嗅控和攻击、内网无线注入、微波炸弹等技术成为未来网络作战武器,各国网络备战步步升级,也成为国际合作与斗争的重要内容;三是黑客攻击窃密风险长期存在。我国电脑病毒的感染率高达67%以上,监测发现木马控制端IP中有49.8%位于境外,美国称85.7%以上的联网工业设备存在软硬件漏洞,出现在政府、军工、金融等重要信息基础设施和关键信息系统的恶性攻击和信息窃取事件层出不穷。无疑,组织信息安全测评是确保信息系统建设与应用安全的首选措施。

 

当前信息安全测评的“主要压力”和“实施难点”

 

信息安全所面临的巨大压力已传递到安全测评领域

 

据国家互联网应急中心(CNCERT)统计:北京、广东、上海等互联网发达地区受黑客攻击的窃密数量排名靠前。据中研普华研究表明,与全球信息安全市场相比,我国信息安全行业正处于快速成长期。2006年至2010年,年均复合增长率为18.62%。

 

信息安全保障服务面临着三大压力:一是技术和服务能力压力。因新技术和新应用发展极其迅速,技术隐患和管理漏洞并存现象较普遍,仅2012年发现技术漏洞总数达6万个,年度上升达11%以上;新增病毒样本6.9亿个,挂马页面92万个,钓鱼网站12.4万个;安全产品除传统的防火墙、IDS/IPS、防病毒等产品外,UTM、WEB安全、安全审计、信息加密、身份认证等需求日益增大,NGFW(下一代防火墙)、云计算、移动终端等安全产品相继涌现,对测评的技术手段和适用性要求越来越高。二是人才和执业资质压力。信息安全市场高速增长,近三年我国信息安全专业技术人员数量增长40%,信息安全企业资产总额增长36.2%,信息安全服务业务合同值增长255%;信息安全人才十分紧缺,薪酬指数远领先于其它传统行业。对测评机构和测评人员而言,必须拥有多项授权资质,有时一项工程必须同时满足多个管理部门的要求和规定;对从业人员的学习能力要求很高,经常培训、经常考证成为必然,具有“经验积累型”加“学习提升型”的职业特点。三是发展模式和能力提升压力。当前,我国信息安全测评机构总体上有三种编制、五种类型,由于信息安全测评需要的是“学习提升型”+“经验积累型”人才,需要一种“技术发展不钝化,人员稳定不僵化”的生态环境,上述各种编制和类型各有特色和千秋,实现融合发展、创新发展是当务之急,即在稳定的前提下确保较强的活力显得尤为重要!

 

当前信息安全服务保障的难点持续涌现

 

国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。信息安全领域面临的挑战主要来自于两个方面:一方面是电子信息产业的创新发展带来应用技术的不断推陈出新;另一方面是应用模式不断创新发展,热点转换频率快,出现应接不暇、不断淘汰的格局。

 

信息安全的难点问题主要有四大类:一是对信息泄漏、信息污染等问题的控制和防范,对未经授权信息流出、信息泄漏增添侵权风险,信息污染积累潜在危害等,需要及时发现和堵漏处置;二是对某些组织、某些人出于特殊目的,利用网络进行信息渗透和攻击等恶意破坏行为的防范和反击;三是随着社会高度信息化,重要信息基础设施、核心控制系统等安全边界复杂,尤其是虚拟化应用增多,在恶意行为屡禁不止的情况下,国家利益、社会公共利益、各类主体合法权益面临更大风险和威胁;四是随着网络泛在化、跨界应用普遍化,随之带来控制权分散等管理问题,在信息资源管理体系上出现了较多脱节和真空地带,从而使信息安全问题变得更加广泛而复杂。因此,信息安全保障能力与信息化应用创新同步发展极为重要,绝不可顾此失彼。

 

测评领域已成为信息安全“矛”与“盾”的竞技场

 

据中研普华称,中国(大陆及台湾)是被全球威胁相关流量攻击最甚的国家。信息安全测评需求与信息系统应用中的安全需求是正向对应关系,必然上演“矛”与“盾”绞杀战。目前主要有:一是检测移动设备的安全隐患。移动通信已成为办公、商务、社交的有效手段和热门途径,且种类繁多而操作系统多样,据Check Point调研,68%用户认为安全事故增加与移动通信发展趋势有关,这已成为防范黑客盗取信息及敏感数据的重要领域。二是检测QR码被恶意利用的漏洞。许多零售商和广告商将使用QR作为时髦的推广手段,尤其是使用手机扫描二维条形码,黑客们可借机将用户转到一个恶意链接、文件或程序上。三是检测Botnets(僵尸网络)“绑架”计算机威胁。通过一种或多种传播手段,用 bot程序(僵尸程序)病毒感染和控制大量主机,实施非法访问、盗窃数据、启动拒绝服务(Dos)攻击或散布垃圾邮件的侵权行为,必须通过测评发现风险、填补漏洞、进行有效防范。四是识别无线路由器组网漏洞。去年,有多款无线路由器被曝存在重大安全漏洞,因无线路由器组网非常隐性,一旦被黑客攻入不易被发现,需增强相关技术检测手段和被侵入的识别监控能力。五是识别虚拟化、云应用、BYOD隐患。此类应用故障较难判断、检测维护复杂,比如,云应用集中了大量数据信息,一旦云服务器遭到入侵或损坏,危害极其严重,各终端只能“叫天天不应”了;BYOD(携带自己设备办公)让人在机场、酒店、咖啡厅等非办公室地点,通过WLAN也能登录公司邮箱和业务系统,实现在线办公,当然外来人员借此潜入网络的可能性也增大了,非常考验识别和防范应用漏洞与风险的能力。六是监测重要系统应用中出现的漏洞。系统应用时的负载场景、执行效率、资源占用和兼容性、安全性等状态处于变化当中,需要对重要系统的应用过程进行必要的监测,及时发现安全漏洞和隐患,把安全事故消灭在萌芽当中。

 

我国信息安全测评需要进一步规范和强化

 

多国信息安全测评认证体系(ICCC)表明,规范管理是迅速发展的重要基础。纵观美国、英国、德国、法国、芬兰、瑞典、西班牙和日本、韩国等国家,非常重视建设信息安全测评认证体系,测评工作得到有力推进。其体系建设的共同特点是:有一个测评认证管理协调组织;有一个测评认证实体;有多个技术检测机构。而且,各国政府为适应信息化时代国际竞争的新形势,有条件的进行互认也是各国参与国际化和维护自主权的务实选择。在我国,近年来新增了众多从事信息安全测评的机构和单位,尤其是执行信息安全等级保护、分级保护以来,信息系统使用单位普遍由专业机构依据管理规范和技术标准实施信息安全测评。

 

下一步,为适应信息安全测评业务的迅速发展,有必要在三个方面进一步规范和强化:一是规范和强化测评机构与人员管理。避免追求数量而忽视质量,要扎实推进测评机构职业道德、业务素养和服务能力的全面建设,规范实施人员的各类测评活动,确保公正、公平、权威的测评结果;二是规范和强化测评能力建设。打破测评机构因编制和类型差异造成的局限和隔阂,着眼于国家安全大局,配合组织技术培训和业务交流,力争显著提升测评机构、人员的技术能力和业务水平,以适应当今信息安全形势发展;三是规范和强化新的信息安全测评观——四个统一。系统应用与安全保障存在着有效性和性价比的问题,既要兼顾信息系统的适用性,也要强调安全测评的合规性,笔者认为应使两者有机统一,需要树立新的信息安全测评观,即综合考虑测评对象的应用模式、技术架构、安全措施、制度建设四个方面的优化及有机统一,要破除只盯技术和管理两个部分的片面导向,推动建设“业务应用便捷简化、安全测评严谨细化、风险评估持续深化、制度建设不断强化”多角度覆盖的新型信息安全测评保障格局。

 

作者:蒋力群 来源:信息化建设 2014年6期

 

篇8

一、工作目标

全面落实《学校安全工作管理规定》,积极开展“安全文明校园”、“交通安全学校”和“等级食堂”的创建工作,不断提高学校安全管理水平。做到无重大火灾、爆炸、重大交通安全、集体急性中毒、踩踏、坍塌等各类学校安全事故。

二、主要工作

1、加强安全教育和培训,努力提高安全意识和自我防范能力

深入开展学生安全教育活动。各教学班班主任要利用班会课经常对学生进行各方面的安全教育。让“安全”二字深深地刻在他们幼小的心里,懂得哪些行为是安全的,哪些行为是不安全的,达到他们行为的规范化。任课教师,不管是什么课(包括室内室外课),都要对学生的安全负责,要坚守岗位,保护学生的人生安全。若需要做实验,教师实验要规范,把安全问题考虑周全。

经常利用集中学习时间,认真组织全体教师、职工,特别是班主任学习有关学校安全的法律法规、常见事故的预防和突发事件的处置及用水、用火、用电等安全等安全知识。要加强对职工遵守学校安全管理制度和本岗位操作规程的教育培训,提高他们的责任意识和保护能力。每学期要组织全体学生开展一次紧急疏散、逃生自救演练,增强全体教职工和学生应对突发事件的能力。

2、不断完善学校安全管理规章制度,全面落实安全管理工作责任制。

学校领导全面抓,分管领导具体抓,发现安全隐患,要及时安排后勤人员和督促相关人员排除。

牢固确立校长是学校安全管理的第一责任人,对学校安全管理工作负总责的意识。把学校安全管理列入学校日常工作的重要议题,定期研究、分析安全工作形势,及时处理安全工作中存在的突出问题,落实整改措施。逐级签订安全管理目标责任书,不断完善安全工作目标管理办法,加强对各部门、教职员工安全管理工作的考核,落实奖惩措施。今年,教育局将安全管理工作列入学校办学质量综合评估的考核内容。

制定和完善突发事故应急预案。严格执行“市教育系统重大问题报告制度”和责任追究制度。及时上报并协助查处各类事故,认真做好事故善后处理工作。对每一起事故,都要按照“四不放过”(即事故原因没有查清不放过,事故责任者没有严肃处理不放过,广大职工没有受到教育不放过,防范措施没有落实不放过)的要求处理。

经常开展安全检查和隐患排查活动,认真执行每月一次、开学、放假前以及恶劣天气前后的安全检查制度,及时消除各类不安全因素。全面排大危险源,落实重大危险源监控措施,并登记建档,定期进行检测、检验、安全评价,制定并实施应急预案,消除各类安全隐患。

3、注重设施设备的投入,确保安全管理的各项活动和措施落实到位

在注意教育性投入的同时注意安全设施设备的投入,将安全教育、培训、活动的经费列入学校支出预算。按规定配足学校门卫,完善和规范学校消防、防盗、防暴等各类安全设施设备,为确保学校安全提供物质保障。学校重点单位,如实验室、阅览室、电脑教室、实物保管室、队部室和各办公室,由相关人员督促检查,发现问题及时排除,不能排除的要及时报告有关领导。

4、深入开展专项整治,切实提高安全管理的实效

(2)消防安全专项整治:一要重点加强对寄宿制学校、民工子弟学校的消防安全检查;二要切实加强对学生宿舍、食堂等学生集中场所疏散通道的整治,确保疏散畅通;三要加强对消防设施、设备的检查,确保完好齐全。

三、安全工作岗位责任及分工:

(一)组织与制度:

1.建立安全工作领导管理机构,构建学校安全管理网络健全。

2.制订本年度安全工作计划和安全工作预案。

3.制订安全管理工作各项制度

(二)宣传教育:

1.结合各种活动,开展安全有关法律法规政策宣传教育的工作。

2.综合学科教学,渗透安全知识教育,使安全教育内容真正进课堂。(责任人:各教师)

(三)饮食安全:

1.规范学校食品卫生管理,严防学校群体性疾患的发生,卫生保健制度落实。

2.加强学校饮用水的管理,专人负责,定期检测,确保安全。

3.学校不允许过期、变质食品进入校园。

4.高度重视传染病的防治工作,坚持学生定期体检制度。

(四)交通安全

1.接送学生的车辆必须符合公安、交警部门的安全标准,严格禁止无证、无牌、无安全保障的车辆接送学生,并落实相应制度

2.开展中小学生交通安全知识教育、小学生交通安全小黄帽活动,学校邀请交通部门有关人员来校对学生进行交通安全讲座。增强学生交通安全意识,有效减少交通事故。

(五)校舍安全

1.学校的校舍应符合国家有关安全规定。及消防、卫生、规划、建设等各种标准。校内在建工程落实严格的安全措施,应逐步治理危房,破旧房。

2.校舍安全的定期勘检检查,经县级以上主管部门鉴定的危房,立即制定修缮计划和方案,尽快修缮、加固或拆建、新建或封闭停用。发现危险校舍、建筑物、构筑应当采取相应的措施,并向主管部门和当地政府报告,限期解决。

3.消防安全工作:学校建筑物必须按照现行有关消防技术规范要求设置疏散楼梯,做到不锁闭、不封堵、不占用,

4.经常检查电器设备和消防设施,发现损坏应及时维修、更换。

(六)活动安全:

1、杜绝学生课间奔跑,打闹现象。

2、总务处做好安全检查工作,定期对教室以及消防设施进行检查,对厨房、电脑室进行重点监控,确保学生用电,用水以及其他方面不存在安全隐患。

3、杜绝学生携带刀具,棍棒,爆炸品等物品进入学校。

4、结合安全教育周、119消防日、禁毒宣传教育及放学前“一分钟教育”等活动,对师生进行交通安全、消防安全、人身安全、危害等多方面教育。

5.学校组织师生参加各种集体外出活动,都必须制订相应的安全防范措施和安全预案,确定安全负责人,并报教育行政部门批准。

6.春游、秋游活动必须坚持“安全、就近、就地、徒步”的原则,严格实施审批制度安全教育不到位,安全措施不落实,安全工作无保障,不得组织春游、秋游。

7.学校活动前,应对活动场所进行安全检查。

8.组织学生参加加强集体劳动时,要进行劳动安全教育、组织纪律教育,并做好劳动保护。

(七)教学安全:

1.经常检查教学场地、器材和其它教育教学设施,

2.禁止病、弱及身体不适者参加体育竞赛和体育课的剧烈活动。做好运动安全保护措施。

3.实验室要加强化学药品和其他危险品的管理,易燃易爆、放射性、剧毒物品要按照公安、消防、卫生等部门的规定严格管理,健全安全操作规程,实验指导师要对实验全过程进行安全指导和管理。

4.做好上课期间安全工作,建立班级点名制。严禁教师中途离开教室或放任自流,加强教师安全意识。

5.利用班队课、晨会课等时间对学生进行网络安全教育,提高学生抵制网络文化中的腐朽、消极和不良内容的能力。

6.提倡学生尽量不要去网吧上网,上网要做有意义的事。

(八)师生心理健康和心理安全教育

1.加强师德教育和教师心理调适工作,学校教职员工要自觉遵守社会公德和职业道德,严禁教师歧视、侮辱、体罚或变相体罚学生。

2.加强心理健康教育师资的配备、心理健康教育活动课的开设,努力减轻学生学业负担和心理负担,帮助学生克服各种心理压力,防止和减少学生因心理疾病而发生的伤害事故。

篇9

【关键词】供电所;信息化;管理;创新

一、前言

作为供电所运营过程中的重要工作,对其信息化管理进行创新有着关键价值。该项课题的研究,将会更好地提升供电所信息化管理创新的实践水平,从而有效优化供电所的整体服务效果。本文从介绍其信息化现状着手本课题的研究。

二、供电所信息化发展现状

1.目前大部分的供电所在信息系统建设及集成应用方面,系统设计缺乏统一的规划和目标,信息系统之间分散,关联性不强,存在“信息孤岛”的现象。从这方面来看,目前大部分的供电所基本没有实现“统一规划、标准统一、系统集成”的信息化建设目标。

2.各个信息子系统之间是完全隔离的,缺乏数据信息的交换机制,整体系统服务水平落后。这就导致电力企业的各个信息子系统对于整体的业务处理和统计分析的参考价值不大,实际操作困难,不利于电力企业业务处理、信息资源的整合分析、利用,严重降低了供电所信息系统的处理效率。

3.供电所业务工作处理流程不够明确、细致、规范、统一,降低了信息系统的工作效率。目前的业务信息系统存在处理流程模糊,繁琐等情况,难以实现电力企业业务处理的规范化操作。

三、供电所信息化发展的主要特点

电力行业信息化建设是传统管理方式的重要发展,原有的供电所管理理念已经不适应当今供电所的发展。供电所要想在新的时代有巨大的发展,就必须更新管理理念,提高管理水平。

1.供电所信息化观念不强

我国供电所受计划经济影响较深,在经营管理中,企业以安全生产为主,忽略了管理提高效益的指导思想。供电所过度注重生产,把生产当成企业的命脉,而且在生产中,过度强调安全性,把工作放在维持稳定上,而不重视企业发展。

2.企业信息化投入较少

我国供电所总资产很多,但是,在基础设施投入上,个别企业较低。供电所信息化建设没有得到充分的重视。我国供电所中有超过一半的企业没有对企业信息化进行投资,对信息技术研究和设备投入不及时不准确。发达国家的信息化投资水平较高,我国在这方面没有得到充分的认知。供电所信息化建设是真正提高企业整体水平的关键,如果做不好这项工作,将严重影响企业发展。

3.信息化使企业协调统一

我国供电所一直处于统一管理的形式,国家对企业实现直线约束,实行国家级管理、省级管理、地方管理三级管理,而各个地域之间的差别是很大,在一个省内还有多种管理方式。供电所信息化让企业的各级管理实现纵向和横向的双重管理。能及时发现企业的优势和存在的问题,企业就可以根据数据分析,对企业现状有一个明确的认识。在市场竞争中,就可以适时调整策略,随着变换生产经营方式。

四、信息化运作模式

运行维护工作应与系统监测、现场巡视结合开展。系统采集用户、线路、变压器电流、电压数据,自动反映线路某段线路重、过载、电流不平衡、电压低、停电等,并发出预警工单。运维人员根据系统发出的预警工单进行现场核实后,制订相应的整改措施、实施计划。大型维修或维护计划应及时上报,由上级领导统筹处理;小型维护、调整电流不平衡、故障急修则可以由供电所直接处理。对于外部发现的缺陷,可以利用现有方式及时录入外部缺陷处理系统,做到快速定位问题,及时消缺、抢修,更好地实现“预防为主”的目标,提高维护效率。

通过用户系统定位准确反映有多少用户供电半径超距离、用户密度过大。运维无法解决的线路瓶颈无法通过改造解决以及变压器重、过载等问题都可以通过预警工单反映出来,及时获得规划储备项目,促进基建落实,减少盲目建设,提高群众满意度。

营销抄核收工作需依靠普通低压用户信息化布点,直接实现所有客户的远程集抄,大大提高抄表效率。通过系统及时反馈客户表计是否存在异常。如有异常,则应及时更换处理,从而有效减轻核算工作压力,降低因电表异常引起的低压线损。通过不同电流、电压检测仪之间的数据核算,及时发现线路段落之间的线损异常情况,并发出预警工单;分析是否存在线路老化或区间表计异常,及时发现问题,及时处理,提高表计管理效率。在收费方面,可以结合预付费表计的推广,加强收费管理。比如,信誉不佳的客户可以通过直接预付费表计预付电费后用电。出现停电时,可以通过远程控制复电。预付费的用户如果出现电费超期,则可以通过系统直接远程停电,待用户缴费后恢复远程控制,大大减轻了催费压力。

实现业扩辅助报装。每个客户来到营业厅办理业务,系统能直接定位办理业务的用户地点,方便业扩人员勘查现场、处理业务,节省业扩报装耗时,提升服务质量;同时,系统还能直接反映整个基层供电所运作的状况,有利于决策者及时制订合理的解决措施,降低务虚工作不切实际的可能性,做到有的放矢,提高劳动效率。预测经过信息化改造后,供电所人均管理户数可提升至2000户以上。如果此举实施得当,可以大大降低配电网的生产成本,提高供电所的经济回报率。

五、供电所信息化管理的创新实施策略

1.加强电力信息安全稳定性的评价及控制

保证电力信息安全稳定运行,应采用有效的方法及时评测与控制,防患于未然。如基于风险的暂态稳定评估方法,首先对评估系统的暂态安全风险逐个元件进行分析,然后综合给出相应的风险值,供电力人员参考分析,做出正确决策。这种评估方法不仅可以分析稳定概率性,也可以定量地分析失稳事件的严重性,即事故对系统所造成后果的定性分析。它能有效地把稳定性和经济性很好地联系在一起,给出系统暂态稳定风险的指标,并在一定程度上提高输电线路的传输极限,这将有利于增加社会效益。

2.加强电力信息网络安全教育意识

安全意识和相关技能的教育是电力企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略,并且安全教育应当定期的、持续的进行。在电力企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。

3.加强电力行业硬实力功底

所谓电力行业硬实力功底,主要指充分了解电力行业现行发展新状况、新技术和新资源等,及时了解行业动态,扎实掌握相关技术,作到出现问题有的放矢。应加强技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。

六、结束语

综上所述,加强对供电所信息化管理创新的研究分析,对于供电所服务质量的提升有着十分重要的意义,因此在今后的实践中,应该加强对信息化管理创新的重视程度,并注重具体实施策略的可行性与科学性。

参考文献:

[1] 王建设.电力企业信息化的建设与管理初探[J].电力信息化.2012(02):90-92.

篇10

关键词:支付系统;城市处理中心;CCPC

中图分类号:F832.31 文献标识码:B 文章编号:1007-4392(2011)09-0048-05

一、中国现代化支付城市处理中心(CCPC)现状分析

(一)CCPC定义及发展现状

人民银行中国现代化支付系统由两级节点构成,第一级为国家处理中心(NPC),第二级为32个省级城市处理中心(CCPC)。中国现代化支付系统城市处理中心(CCPC)上接国家处理中心(简称NPC),下联商业银行前置机系统(简称MBFE)、中央银行会计集中核算系统(简称ABS)、国家金库会计核算系统(简称TBS),处于支付系统的中间环节,担负着金融机构跨行资金运转的重任,是国家重要的金融基础设施,是国民经济的大动脉(见图1)。

随着金融电子信息化建设的加快发展,支付清算系统加快了系统升级改造和更新换代的步伐。2002年大额支付系统试点成功上线以来,小额批量支付系统、境内外币支付系统、支票影像交换系统、支付管理信息系统、电子商业汇票系统、网上支付跨行清算系统共7大系统陆续在线运行。这些业务系统的陆续上线运行一方面适应和满足了金融、经济和社会建设发展的需求,一方面随着各种用户及其需求的不断增加和扩大,对系统应用的要求也越来越高,特别是系统运行时间实现了7×24小时全天候不间断运行。履行好维护支付清算系统正常运行的职责,确保系统的安全稳定运行,显得越来越重要。

(二)CCPC业务现状

以天津CCPC为例,天津CCPC现有大额、小额、支票影像、PMIS、电票、网银6大系统。近年来,随着天津市经济快速发展,不断有新的参与者加入,各系统业务量也呈现不断增长趋势。天津CCPC支付系统直接参与者48家,间接参与者1587家,2010年大额支付系统共处理业务968.5983万笔,金额25.49万亿元,分别比2009年增长15.58%和33.32%(见图2)。

2010年全年小额支付系统共处理业务396.69万包、745.18万笔,金额1,628.7亿元,分别比2009年同期增长52.41%、52.61%和29.56%(见图3)。

2010年全国支票影像交换系统共处理全国业务560,657笔,金额346.21亿元,分别比去年增长-3.24%和12.23%。

2010年度小额支付系统收到查询业务5177笔,大额支付系统收到查询业务105,028笔。影像系统收到查询业务373条,回复率均为100%。

(三)CCPC安全管理现状

近年来各CCPC逐步完成各自的核心设备更新改造,改造后的CCPC安全运行能力大大增强。在设备安全方面,采用双机冗余热备,基本避免了由于设备单点故障引起的系统故障。在信息安全方面,大小额支付系统采用密押机制;全国支票影像交换系统采用数字证书;信息传输采用网络加密技术,有力保障了支付业务数据的安全。在网络安全方面,部署边界防火墙,通过访问控制技术保证系统的访问安全;部署入侵检测系统,提高网络的抗攻击能力。在安全制度方面,清算总中心先后制定并下发了《中国人民银行清算总中心支付清算系统运行维护细则》、《中国现代化支付系统运行管理办法》、《中国人民银行清算总中心支付清算系统城市处理中心巡检工作管理规定》、《CCPC日常维护操作指南》等一系列管理规定、办法,其中对CCPC的人员岗位设置、业务操作、系统维护、信息安全管理、机房环境管理、变更、故障处理及技术支持、日常检查以及定期巡检等方面都做出了详细的规定要求,各地CCPC也根据自己的实际制定了严格的内控安全管理制度和业务技术操作规程。在严格按照规程检查、维护下,支付系统的持续稳定运行为各地经济发展提供了强有力的支撑。

目前,随着支付清算系统的建设发展,CCPC面临着七大业务系统并行、系统结构越来越复杂、运行风险较高的现实问题。CCPC作为系统的运行管理者,如何加强CCPC管理,有效控制系统运行风险,保障支付系统安全稳定运行,是急待解决的问题,必须引起重视。

二、CCPC管理存在的问题

(一)资金清算问题

由于各行内部管理模式、计划资金额度授信不同,资金调度速度差别较大,不足支付的业务进行日间排队处理。但有的参与者因资金延缓支付,导致日间清算业务排队、日终清算窗口开启的现象,或者有的参与者日终不能及时筹措资金而使支付业务被退回,从而降低了社会资金的周转速度,造成了支付风险,影响现代化支付系统安全稳定运行与支付系统的社会公信力。

(二)查询查复问题

规范、准确和及时处理支付系统查询查复业务是确保汇划资金安全、系统高效运行的有力保障。如果查复行没有对查询进行及时查复,将会大大影响资金的及时清算。而在实际工作中,超期未查复的现象时有发生,传统上CCPC需要手工定期、定时检查未查复业务,电话提醒查复行进行查复,这在一定程度上降低了查询查复工作的效率,影响支付系统的高效率运行。

(三)灾备体系不完备

CCPC 灾难备份系统尚未建立。虽然国家处理中心NPC 已经建立了灾难备份系统,但目前各地城市处理中心CCPC 尚未建立能够快速有效实时接管CCPC的灾难备份系统。各省辖内支付清算系统尚未建立有效的应对系统突发事件的应急处置机制。

(四)CA系统不完善

CA事件监控系统是由CA公司开发、清算总中心部署,在各CCPC有效监控支付系统,包括服务器主机设备硬件、应用程序、部分网络系统以及数据库等,涵盖大部分日常运行参数,并可能对系统异常事件提供报警的视窗化实时报警检测系统。目前CA事件监控系统已经覆盖了包括大、小额支付系统、影像交换系统在内的绝大部分系统,是必不可少的全时维护工具。但CA事件监控仍然存在一些功能上的不完善,对支付系统的维护工作带来一些不利的影响。

第一,该系统不能对系统资源的使用情况等提供深入的监控与分析,导致会对支付系统业务正常运行造成影响的安全隐患无法及时预警。第二,监控报警存在延时,且报警方式单一。一般系统中存在异常警告或错误信息后,往往会在30分钟左右后,报警信息才会出现在CA监控界面中。CA事件监控系统的报警只是单一的屏幕提示和短信通知,没有声音、图像等更加直观的方式提醒技术人员。因此,日常维护中,CCPC不能仅依赖CA事件监控系统,而应按清算总中心要求,定时在主机上以人工方式例行检查。

(五)主机硬件设备的绑定依赖性

长期以来,包括大、小额支付系统、影像系统在内的支付系统服务器主机一直使用IBM品牌产品,网络设备如交换机、路由器等则是使用CISCO品牌产品。作为国际知名品牌IBM和CISCO,无论是从产品质量、售后服务还是技术支持在业内都是处于领先地位。但由于国外品牌硬件产品内部底层加密保护运行机制的未知性以及设备核心技术的保密性,很难确保那些保存在设备主机中的、随支付交易流动的数据的安全性。支付系统作为人民币业务系统的大平台和国家金融系统的重要组成部分,如果长期在生产系统运行中无法摆脱对国外品牌设备的依赖性,则必然会形成对系统的安全患。

(六)安全管理机构缺失

系统运维要求规定,各地清算中心都应设置安全管理主管岗,并配备两名安全管理员。但由于目前清算中心人员配备紧张,大部分人员都配备在运行、维护岗,很难成立专门主管安全的科室,一般安全管理员都由其他岗位人员兼任,人员配备紧张导致代岗或一人多岗。此外,安全管理员所应具备的技能没有明确的规定,并缺乏专业的培训,实际中,对安全管理职责的履行还存在一定的困难。

三、创新CCPC管理的手段与方法

为提高CCPC运维水平,向直接参与者提供低成本高效率的业务处理和监管服务,全方位保障支付系统安全稳定运行,天津分行清算中心依托信息化优势,结合工作实际,创新管理手段,改进管理方法。2007年创新性地将“短信平台”应用到支付系统运维体系中,通过与各直接参与者的短信互动切实、有效地对参与者实施监管并提供服务。2009年开发“支付清算综合服务系统”,可对天津清算中心的日常技术维护、值班日志、综合管理、业务数据统计、信息等进行信息处理,有效提高CCPC办公自动化水平及业务服务水平。2010开发了“支付清算运行监控管理系统”,很大程度上提高了查询查复率,解决了常期困扰CCPC管理中的查询查复这一难题。2011年开发“城市处理中心操作终端远程备份系统”,做为对建立完善灾难备份系统的初步尝试,实现了对支付系统客户端的远程管理控制。

(一)短信平台

短信平台是CCPC与各金融机构之间业务联动、信息沟通的信息化载体;是面向支付系统各直接参与者业务信息、通知公告的站点。它实质是向各直接参与者提供“短信监管服务平台”,通过该平台,可以超越时间、空间的限制,实现点对点、7×24小时、即时性的沟通与互动。一方面CCPC可以根据业务需要通过短信群发、定时短信提醒等方式系统运行问题、公告提示;另一方面则可以通过这一系统随时查询,了解各家直接参与者的意见、建议和要求,从而有效地解决了以往由于各参与者数目众多且分散而造成的管理程序繁杂、信息传达不及时、不对称等一系列问题,从根本上提高了工作效率,降低了沟通成本。因此,短信平台的搭建与开通,是天津分行清算中心不断拓宽思路,依托短信平台实现监管服务、健全运维手段的又一创新。

(二)支付清算综合服务系统

支付清算综合服务系统是天津清算中心为加强对支付清算系统的运行管理和服务,提高办公自动化水平,依托网络技术和信息处理技术开发的清算中心综合服务系统。该系统包含MBFE服务子系统、人民银行支付清算子系统、基础知识子系统、支付清算风险防范子系统、清算中心服务子系统五大系统。该系统将各种运维日志、检查情况、统计报表、审批材料、学习资料分别整理上传,形成了一个管理清晰且高度共享的信息库。一方面实现了日常运维工作的信息网络化和管理无纸化,解决了CCPC日常运维工作事件繁锁、过程文档多、事后查阅不便的难题;另一方面实现对CCPC业务流程的实时管理与连续监控,便于领导及时掌握工作情况,从源头上预防、减少差错事故的发生与危害。

(三)支付清算运行监控管理系统

为提高支付系统的查询查复率,天津CCPC开发“支付清算运行监控管理系统”。该系统包含对查询查复业务、排队业务、退回申请及止付申请的监控、提醒统计及考核统计等。通过对大、小额系统查询查复信息的后台监控来发现未查复业务,并对查复行自动短信提醒。这样一方面节省了人力,另一方面确保了未查复信息的及时发现,大大提高了查复行的查复效率。使用该系统以后,各直接参与者的查复工作更加及时,2010年度小额支付系统收到查询业务5177笔,大额支付系统收到查询业务105,028笔,回复率均为100%。

(四)城市处理中心操作终端远程备份系统

天津CCPC探索建立了城市处理中心操作终端远程备份系统,即在现有系统基础上增加一组远程操作终端。在遭受地震等自然灾害威胁或发生突发公共卫生事件,支付系统终端监控机房无法提供持续、正常工作条件,而支付系统主机房及主机、终端仍可以正常使用时,就可以在经分行应急领导小组批准同意后,将支付系统客户端监控管理切换到位于异地(塘沽中心支行)的远程监控管理环境,业务运行及技术维护人员进行远程实际操作,有效保证支付系统的正常运行。天津CCPC终端远程备份系统能够快速有效接管CCPC的业务运行管理,并可作为异地CCPC的灾难备份系统之一。可作为各地CCPC支付清算系统应对系统突发事件多了一种有效的应急处置手段。

四、加强CCPC管理对策与建议

(一)采取先进的管理手段,杜绝清算窗口的开启

1.建议实施资金预报制,严格头寸管理。应当要求各直接参与者的资金管理部门安排专人负责监管头寸,并加强头寸的预测管理。由专人收集历史数据,了解日常资金流量规律,把握资金流量大的分支行和重点客户,有针对性地进行资金监控。尤其是重点时段16:00以后的大额紧急支付,例如资金额度在5000万以上的要向所属CCPC一笔一报。这样CCPC的对资金头寸的管理由被动变主动,从很大成效上杜绝了清算窗口的开启。

2.与商业银行签订公约,实施资金拆借与划拨。建议人民银行支付管理部门与支付系统的直接参与者签订资金拆借公约,在清算窗口时间内,若某一商业银行(拆借方)清算账户因存在资金缺口而导致当日必须清算的业务无法正常清算时,可使用另一商业银行(被拆借方)在当地人民银行开立的支付系统清算账户进行资金拆借,执行比同业拆借利率较高利率予以偿还。其中,人民银行负责强行拆借资金的受托成交、资金清算和对拆借资金的监督管理。

2011年,人民银行天津分行经与各支付系统直接参与者协商一致,订立了《天津市金融机构临时头寸资金拆借参与公约》。公约规定,参与签约的银行业金融机构按照本公约约定的拆借原则进行临时头寸资金拆借和清算账户资金的划拨。对于因日常经营不善,资金流动性监测、控制、管理不到位,致使一年中累计使用三次以上清算账户同业拆借的拆入方,由人民银行给予警告、通报、对清算账户实施控制直至取消其支付系统参与者资格的行政处罚。公约执行后,各直接参与者密切关注日间排队业务情况,有效避免了日终清算窗口开启的现象。

(二)建制度立机制,推动查询查复工作

CCPC作为系统的运行管理者,应当要求各直接参与者从思想上高度重视跨行支付系统查询查复业务,坚决贯彻执行“有疑必查,有查必复、复必详尽、切实处理”的原则,进一步加强监督管理力度,层层把关,责任到人,由专人负责在每日营业开始后,对本行查询查复情况进行监控落实,坚决杜绝“查而不复、查而迟复”的现象发生。

一是建议建立查询查复管理员制度和联络员备案制度。CCPC要加大对支付系统查询查复人员的管理力度,查询查复联络员要切实承担工作职责,CCPC可利用电话或短信平台通知商业银行,若未能及时办理查复,将受到惩罚。二是建立支付系统查询查复考核机制。将查询查复率列入对商业银行考核的一项重要指标,鼓励商业银行在支付系统查询查复业务管理上的创新,对于取得突出成绩或经验,在考核中予以加分并向辖内各直接参与者推广。

(三)加强应急管理,做好灾备系统建设

一是要加强应急管理相关制度建设。随着支付清算系统的发展,新系统的挂接不断增加,结合新系统,不断修订完善应急预案,增强预案的可操作性。二是加强应急演练工作。提高应急演练的质量和效率,不断提高支付清算系统应对突发事件的处置能力。三是完善CCPC灾备系统建设。由于NPC已经建立了灾难备份系统及CCPC集中备份系统,建议各地CCPC以“快速切换、不间断运行”为目标,采用建设同城异地灾备网络转接中心的方式,在不增加过多投入的同时,最大限度地保障支付系统的运行安全与稳定。

(四)完善CA监控系统功能,加强系统风险防范

一是应该减少报警延时时间,“实时监控”的要素即是及时,支付系统随时都在发送大量的业务数据,如果无法达到实时的要求,会增大支付系统的运行风险。二是应当加大对系统资源以及运行参数方面的深入细化分析,进而更好地保障支付系统的持续稳定良好运行。

(五)加大自主品牌研发力度,摆脱设备依赖性

近年来,我国自主品牌的硬件设备随其自身技术的不断发展和制作工艺的逐步完善,其硬件设备运行稳定性大大增强,基本可以胜任金融城市处理中心的需要。可以适当加大购买采用国内自主品牌产品的比率,逐步摆脱对国外品牌主机硬件设备的绑定依赖性。

(六)强化安全组织结构建设,配备专职人员队伍

建议从总中心一级设立安全管理部,各清算中心设立相应的安全管理科室,逐步建立起一套自上而下的安全管理组织机构。调整业务、技术人员结构比例,配备相应的安全主管,提高其分析、查找和解决异常问题的能力,形成一支运维本领过硬的支付系统安全管理人员队伍。

(七)畅通运维协调机制,加强对参与者的管理

首先,CCPC要加强对各直接参与者的考核。建议制定对辖内各直接参与者的考核制度和办法,与各直接参与者签订安全管理责任状,明确参与者责任,由各地清算中心负责督促和协调。

其次,各地CCPC可参考总中心对各CCPC的巡检、自检制度,依据总行颁发的原则性制度和办法,对各直接参与者制定具体的检查制度和标准,每季度开展巡检或抽检工作。一方面要检查MBFE的运行维护制度落实情况,从制度上保障支付系统的安全;另一方面要检查运维问题、人员配备及安全隐患。对存在的问题严肃追究责任人,督促其制定整改措施并落实到位,谨防重检查、轻整改的现象发生。

最后,CCPC加强对商业银行的培训和业务指导力度。CCPC要定期组织各金融机构开展相关维护、运行、安全方面的相关培训,提高商业银行日常业务能力和故障处理能力。当下级节点(ABS、TBS、MBFE)出现问题时,应立即向CCPC报告,CCPC力求在最短的时间内给出解决方案,并指导下级节点迅速排除故障。CCPC也应主动通过下行线路监控系统随时查看下级节点连接情况、资金清算情况,如有问题及时沟通,要求各参与者及时解决,并将处理结果反馈到CCPC。

参考文献:

[1]熊立群、谭卡吉,《支付系统运行维护管理探讨》,《支付清算》,2011,第6期。

[2]段志田,《第二代支付系统‘一点对接’与支付清算体系的变革》,《支付清算》,2010,第11期。

[3]堵秋莹,《关于我国支付结算系统现状及问题分析》,《法制与社会》,2007,第9期。