变更安全管理制度范文
时间:2024-03-05 17:47:25
导语:如何才能写好一篇变更安全管理制度,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1、维护内容
日常运行维护管理的内容主要包括主机维护、存储系统维护、系统软件维护、安全系统维护、应用系统维护、软件版本升级。
(1)主机维护
主要是对小型机、PC服务器进行日常维护。包括硬件外观检查,系统状态指示灯检查,清除灰尘等。
(2)存储系统维护
主要是对数据备份设备进行维护。包括对双机备份系统的日常检查和维护、系统运行日志的监控、服务器系统内存、CPU以及负载检查、服务器系统空间检查、综合调整系统配置使系统性能最优、按照备份管理办法完成对操作系统、数据库及应用系统的日常备份、完成诸如增加用户、修改系统配置、提供系统咨询、解决系统问题等。
(3)系统软件维护
主要是对数据库、中间件、操作系统等系统软件的维护。对运行数据库进行日常检查、维护和操作、调整数据库配置参数等。
(4)安全系统维护
主要是对主要对安全保障的平台进行维护。包括安全系统状态、关键安全功能测试和安全日志检查、服务器系统安全检查,检查系统是否有可疑帐户及工作组、系统安全扫描、漏洞扫描等。
(5)网络维护
主要维护网络设备、链路和相关软件,保证网络的正常运行。包括网络系统状态与联通性检测、Internet网络联通检测等。
(6)应用系统维护
主要是对各个应用软件、应用平台进行维护。包括对应用程序执行情况的监控和维护,系统运行日志的监控等。
(7)软件版本升级
在需要软件升级时,首先应从原厂商那里取得要更新的软件在信息中心模拟环境下首先进行测试,确保正确;并由原厂商提供详细的操作说明,说明可进行软件升级的内容,软件升级、迁移,在原厂商指导下进行;在必要的情况下,应由原厂商提供远程或现场的指导、支持。
2、维护方式及人员安排
对以上内容的维护管理一般分为日常性维护、预防性维护与巡检。
(1)日常性维护管理
维护管理人员应在工作日内每天对各项系统的工作情况按照维护内容进行严格检查。查看各类设备是否清洁,如有粉尘要及时清除。查看各类设备工作是否正常,有无故障,有无隐患。一旦发现问题,应及时报告股室负责人,由股室负责人视问题性质和轻重程度组织安排人员处理解决,问题严重的需及时报告分管领导。
维护管理人员应对每天的检查情况做好检查记录,发现问题的,还应详细记录问题描述、问题处理过程以及处理结果等。
日常维护管理人员由二名信息中心专职人员组成,其中一人负责主机维护、存储系统维护和安全系统维护,另一人负责系统软件维护、应用系统维护和软件版本升级。
(2)预防性维护与巡检
预防性维护主要是针对正常运行的设备、应用软件、系统软件等定期进行设备测试检查,找出隐患,尽早排除。对于系统性能问题予以调整,并定期进行设备的清洁保养。主要工作方式为巡检,由软件集成商进行现场维护。一般情况下要求一个月一次的定期巡检,如遇突况下,要求2小时之内到场。同时,要求做好维护与巡检记录。
二、安全防范管理制度
安全防范管理制度内容主要包括机房安全管理制度、网络安全管理制度、设备安全管理制度、介质和资料安全管理制度、数据备份管理制度、用户权限管理制度、人员安全管理制度、应急管理制度、工作人员安全教育制度。
1、机房安全管理制度
(1)信息中心配备机房安全人员,专门负责机房的防火、防盗,负责机房供电系统、空调系统、通风系统的安全和日常养护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育,提高安全意识。
(2)机房工作人员要进行必要的消防器具使用培训,做到会使用灭火器具。
(3)严禁易燃、易爆、易腐蚀品进入机房。严禁将水洒落在机房设备和地板上。严禁踩踏机房电源插座或网线插座。未经许可,非机房工作人员严禁动用各种电源开关,严禁动用任何线路和设备。
(4)机房工作人员必须严格遵守各项操作规程。拆装设备时,不准带电作业;维修设备时,必须先切断电源,再行维修;禁止使用汽油、酒精等易燃、易爆品清洗带电设备。
(5)机房必须保持安静、整洁,严禁喧哗、会客、吸烟。机房内实际温度应保持在20℃—25℃之间,相对湿度保持为45%—65%。所有进入机房人员必须换拖鞋。
(6)严格执行机房值班制度,做好值班记录。值班记录应载明机房设备使用登记情况,凡机房的系统、设备及其图纸、随机资料等只限在机房内使用,未经批准不得带离机房。
(7)严禁无关人员进入机房。机房禁止会客。对外来参观单位,需由信息中心派专人陪同。
(8)机房内的网络设备、计算机设备采用实时监控、定期养护,确保设备始终处于良好的运行状态。
(9)为保证系统安全,除网络管理员外,任何人未经批准,不准对机房内网络或计算机设备进行操作。
(10)机房值班员应认真负责,及时解决问题。当出现突发事故,机房报警时,值班员应立即报告,并采取紧急措施。
(11)严禁携带病毒盘和游戏进入机房,严禁在因特网上下载与工作无关的内容,以防系统被破坏。
(12)严格机房钥匙管理。机房钥匙不准转借,若丢失应及时采取补救措施。
(13)每周由安全负责人对整个安全情况做一次彻底检查,并作好安全检查记录。
(14)除工作需要,下班后,任何人不许在机房停留。
(15)严格遵守国家及各级有关安全与保密方面的法规和规章制度。
2、网络安全管理制度
(1)部署防病毒软件,通过服务器设置统一的防毒策略,获取完整的病毒活动报表,实施集中的病毒码和程序更新。
(2)部署防火墙,实时监控网络数据包的状态,网络上流量的动态变化,并对非法数据包进行阻断,防范网络上的攻击行为。
(3)部署IDS设备,作为防火墙的合理补充,入侵检测技术IDS可以识别黑客常用入侵与攻击手段、监控网络异常通信、鉴别对系统漏洞及后门的利用、完善网络安全管理,主动发现网络的隐患,帮助防火墙对付网络攻击。
(4)部署漏洞扫描系统,通过对网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在;系统管理员通过了解扫描出来的安全漏洞报告,及时修补漏洞,从根本上解决网络安全问题,有效的阻止入侵事件的发生。
(5)部署物理隔离网闸,对来自可信网及不可信网的数据进行预处理及内容检测、协议分析、访问控制,安全决策、查病毒等一系列安全检测,完全阻断网络间的TCP/IP连接,剥离通用协议,将数据通过专有数据格式由网络的一端发送到另一端,同时集成多种安全技术对进出数据进行安全检测,保证交换信息的安全,并完美的解决了网络间边界防护和安全信息交换的需求。
3、设备安全管理制度
(1)数据中心机房所有设备必需设立设备操作管理档案,详细记录人员对设备操作情况,包括操作人员、操作开始时间、结束时间、操作命令等记录。
(2)数据中心机房所有设备必需设立中心所有设备信息管理档案,详细记录设备及软件的名称、型号、购买日期、保存场地、运行及维修情况等。
(3)如设备出现故障需要维修时,机房值班人员应该全程陪同指明须维修的设备,避免误操作。中心设备如需运出中心机房进行维修,维修前业务软件及数据要完全备份并彻底清理。
(4)定期清理数据中心设备外壳及工作台,需保持设备所在场所干净卫生,严禁在设备周围放置食物、易燃、易爆、易污染等物品。
(5)定期对主机设备进行杀毒、运行状态检查。
(6)严禁非专业维修人员拆卸数据中心相关设备,操作时应配带防静电手腕。
4、介质、资料安全管理制度
(1)介质、资料包括应用软件、系统软件或业务数据的光盘、磁盘、磁带和硬盘以及所有设备的使用说明、维护手册等。
(2)介质、资料入库要登记造册,介质的升级、报废等,由专人负责保管,所有介质、资料应存放在专门的管理柜中。介质、资料的存放地点应通风良好,温湿度适宜,对特殊要求的介质、资料应放置在规定要求的环境内。
(3)运行维护人员因检修设备需要领取介质、资料时,必须先登记。使用归还情况应及时做记录。紧急情况下可口头通知,但事后须及时补填登记。
(4)应定期检查介质、资料的可用性,版本不是最新时应尽快通知设备厂商升级。
(5)淘汰、损废的磁盘、磁带等重要介质要经中心主任同意后集中销毁。
5、数据备份管理制度
(1)定期、及时的对数据库数据、日志等进行备份。数据备份实行日备、月备。
(3)制作备份的数据要确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
6、用户权限管理制度
(1)用户采用"分级授权,统一管理"方式,即操作员所能进行的业务操作要设定权限级别。
(2)权限级别由专人管理,信息中心由系统管理员管理,主要职责是负责各镇(街道)用户和各单位网管员操作帐户管理,并严格按照各镇(街道)以及各业务单位职责分配部门操作权限。
部门职责分配按照局相关部门规定执行。若部门职责变动应及时通知信息中心,以便重新分配部门权限。
各单位应指派一名网管员,负责本单位内部操作用户的管理,并根据本单位各业务人员的工作职责分配操作权限。
(3)用户只能拥有自己业务范围内的操作权限,系统管理人员以及各单位网管员不得随意授予与其无关的操作权限;对于随意授权造成的后果将追究相关人员的责任。
(4)账号是计算机鉴定操作员合法身份的依据,凡用合法账号登录所进行的操作均视为账号持有者所为。
(5)操作员本人应对密码必须严格保密,不得外泄。若因密码外泄造成损失的,将追究当事人责任。
(6)为防止弱口令,密码应是字母、数字和特殊字符的组合,且不能小于6位。
(7)各单位,镇(街道)由于人员离职、操作员用户必须予以封存,不允许删除。
7、人员安全管理制度
(1)安全管理员、系统管理人员等要重要岗位人员,上岗前要严格进行审查和业务技能考核,择优上岗。
(2)运行维护人员应熟悉系统设备的基本原理和结构,熟悉系统及运行方式,能熟练地进行正常操作,并能够处理系统异常和故障。
(3)定期对各类计算机人员进行法制教育、安全意识教育和防范技能培训。
(4)重要岗位人员调离时,严格按照规定办理调离手续,各种资料的移交,系统密码、操作员密码的更换要在安全管理员监督下完成,并办理接交手续。
(5)调离人员离岗后,不得泄漏任何涉及安全保密的信息。
8、应急管理制度
灾难应急处理流程是对因人为或自然灾害造成的涉及全局的一时难以恢复的破坏性事件的处理流程。具体流程如下:
1)制定应急计划
风险评估
关键业务影响分析;
关键业务持续运行计划;
技术恢复流程制定等。
2)应急设备的维护
提供与设备系统及配置相匹配的备机;
7X24小时的监控与维护
3)应急恢复流程培训
对维护人员进行灾难恢复流程培训
使用灾难发生后会涉及的所有设备
模仿真正灾难发生后的设备配置和系统加载状况
4)应急业务恢复
灾难核实及业务恢复方案启动;
备用设备在约定时间内到位;
供应商提供技术支持和指导;
故障设备的维修;
业务恢复后,恢复计划的回顾和改进。
病毒应急处理流程
病毒应急处理包括在病毒爆发前的预防性处理和病毒爆发后的紧急处理流程。具体内容如下:
病毒处理流程建立
预防性病毒警告
应急病毒防范与处理机制
全网性升级与病毒查杀措施
危害降低机制
后续报告与补救措施
安全事件应急处理流程
安全事件应急处理流程包括:
安全应急流程建立
事件识别
缩小事件影响范围
事件解决
后续报告与处理机制
补救措施
9、工作人员安全教育培训制度
应根据上级规定的培训制度和年度培训计划要求,将系统的学习纳入培训计划并按期完成。
(1)规程学习,根据本单位实际安排有关规程的学习。
(2)现场培训项目,按规定进行反事故演习。
通过培训使维护人员达到以下标准:
1)熟悉系统设备的基本原理和结构,熟悉系统连接及运行方式。
2)能审核设备维修、检测记录,并能根据设备运行情况和巡视结果,分析设备健康状况,掌握设备缺陷和薄弱环节,能对设备状态做出基本评估。
3)熟悉运行规程内容,遇有设备变更时,能及时修订和补充运行规程,保证运行操作、事故处理正确。
4)熟悉设备的操作要领和相应的操作程序。
5)能熟练、正确地进行事故处理。
10、安全保密管理办法
(1)、遵守国家有关法律、法规,严格执行中华人民共和国计算机信息网络安全保密规定。
(2)不得泄漏有关市劳动保障信息系统的机密信息,数据以及文件等
(3)不得泄漏如帐号,密码等信息。
(4)未经授权,任何人不得使用与自己操作权限无关的功能。
(5)不得干扰和妨碍他人的正常工作。
(6)各部门要配合信息中心进行必要的安全检查。如有违反安全保密制度的情况,将视其情节轻重,根据信息中心管理规定,对当事人进行必要的处理。
(7)未经允许严禁擅自复制、下载、传播市劳动保障信息系统数据。
(8)业务数据必须按规定进行日备、月备和年备,并妥善保存备份盘。月终和年终盘备份两份,一份异地(与中心机房不同建筑物)长期保存。非经领导允许,严禁携带数据盘外出。
三、应用程序及数据维护管理制度
1、市劳动保障信息系统需求提交及问题处理规范
所有涉及业务应用系统功能新增、减少、变更以及出现问题的处理均按下述步骤执行。
第一步:需求变更和问题处理申请
各单位在应用软件使用过程中,根据实际工作需要,提出系统功能新增、减少、变更以及发现问题需处理的,首先应由需求提交人(一般情况下为股室负责人)填写《信息系统需求变更和问题处理提交表》(附件一),一表一需求,经单位负责人签字后提交给信息中心指定人员。
各镇(街道)在使用软件过程中提出的新需求和问题处理,集中反映到归口部门后,由该部门按上述过程统一提出申请。
第二步:现场解释和交流
为保证信息中心人员和软件开发人员对业务部门提出的需求和问题有一个正确的理解,需求提出人提交申请后,信息中心指定人员应积极引导其与软件开发人员进行现场交流,对需求和问题进行详尽的解释,并积极参与。
第三步,需求变更、问题处理的评估、实施和意见反馈
分现场即时处理和限时处理:
1、现场即时处理:经现场解释交流后,信息中心人员和软件开发商要共同对需求变更做综合性和可行性评估,在对现有系统和数据没有较大影响或者改变、不涉及其他业务部门业务、技术可行的条件下,各单位的需求变更和问题处理申请经信息中心软件技术人员和开发公司项目经理在签署接收同意意见后实施。并将同意实施意见当场反馈给需求提交人,由需求提交人签字确认已接收到反馈意见。
2、限时处理:若信息中心技术人员和软件开发商中有一方认为提交的需求变更涉及到原有系统和数据的重大改变,不适宜实施变更的,或技术不可行的情况下,需签署接收意见,说明暂不能接收原由后,由信息中心负责组织相关人员开展进一步的评估后确认实施与否。事情重大的,报分管局长同意后实施。并在需求提出日期后二个工作日内将处理意见反馈给需求提交人,由需求提交人签字确认已接收到反馈意见。
需求若涉及其他部门业务的,需业务双方单位负责人签字同意后提交申请;涉及政策调整变更的,需相应行政科室负责人签字同意后提交申请。
若经现场解释交流后,需求提交人认为需求申请需要有所调整或变更的,需重新按申请程序提交申请。
第四步,处理结果反馈
1、信息中心和开发商应尽量满足业务部门的信息需求,并在计划完成日内对系统程序作出相应调整,并使程序达到最大优化。
业务部门有需求调整的,要尽早向信息中心提出,以保证信息中心有充裕的时间完成程序调整。一般的简单需求在信息中心接收后2至3个工作日内完成,稍复杂的在7至10个工作日内完成,涉及到政策变更以及程序调整较大的视具体情况而定。
2、需求变更和问题处理完毕后,开发人员要及时告知信息中心指定人员,由该人员通知需求提交人进行程序的测试和使用,并签字确认处理结果。需求提交人有责任对处理情况及时告知本部门签字领导。
其他事项:
信息中心人员应认真做好各单位需求变更和问题处理登记记录,并将妥善保管、存档。
3、数据后台修改管理办法数据后台修改程序规范
(1)严禁任何业务人员随意地要求信息中心或开发人员进行数据后台修改,也严禁信息中心和开发人员擅自对后台数据进行处理,造成的后果将追究相关当事人的责任。
(2)在前台业务办理出现差错时,应主动积极寻求在前台修正解决的办法。除以下三种特殊情况外,一般情况下不允许进行数据后台修改。
(1)老系统遗留的数据问题;
(2)老系统数据经合并后出现部分信息不准确或缺失;
(3)前台业务处理差错,经业务部门、信息中心、开发商三方共同确认前台操作无法补救或修正的。
(4)由于以上三种情况确需进行数据后台修改的均需严格遵照以下流程进行操作:
第一步:申请
由申请部门填写《数据后台修改申请单》(附件二),将申请事项写明原由以及修改要求由申请部门负责人签署同意修改的意见后,将申请单递交给信息中心。
各镇(街道)若需申请数据后台修改应先向业务单位提出,由业务部门按上述过程提出申请。
第二步:评估
递交申请后,由信息中心指定人员和开发公司共同对其修改事项进行可行性评估,确实可行的确定修改方案,并需对该数据修改产生的后果进行全面细致的分析。
第三步:确认
开发公司和信息中心对后台数据修改进行评估和风险分析后,根据评估和风险评估结果,签署是否同意修改的意见,若不同意修改,需写明原因。此意见需由开发公司项目经理和信息中心主任分别签署,并需经申请部门负责人确认签字。评估和确认过程信息中心应在申请部门提出申请之日起三个工作日之内完成。
第四步:实施
三方共同确认同意修改的进入实施阶段,一般情况下由信息中心指定人员对数据实施后台修改。修改人需严格根据已定的修改方案实施修改,坚决杜绝随意修改的情况。修改时需由信息中心技术人在场监督。
第五步:记录和结果确认
所有涉及数据后台修改的,应由修改人做好详细的修改过程记录并签字,同时在登记表上做好登记。修改完成后修改结果交由申请部门负责人签字确认。
3、数据定时检查纠错和质量控制制度
(1)对劳动保障信息系统内的所有业务存储数据实行一个月一次的定期检查。
(2)数据检查内容包括是业务数据是否输入错误(主要从逻辑关系上判断)、业务办理数据是否符合政策规定、系统参数设置是否正确、计算公式是否准确等。
(3)明确分工,落实责任,定时做好数据检查纠错工作。
篇2
包括工程概况简述,建设单位、发包单位、设计监理单位名称及责任人姓名联系方式,施工项目及工程主要技术指标,合同额,工程量清单,施工总工期及节点工期,质量环保要求等。
合同风险分析及策略。
二、项目部管理目标
质量目标:单元工程合格率 %,优良率 %,分部工程优良率 %;
安全目标:重伤率 %,生产性死亡为率 %;
进度目标:合同工期完工时间: 年 月 日;
成本目标:实现公司或分公司计划成本目标 万元。
三、应建立、健全如下规章制度(注明编写情况或计划编写时间,并严格执行。不限于以下规章制度)
1) 项目管理人员岗位责任制度;
2) 项目技术管理制度;
3) 项目质量管理制度;
4) 项目安全管理制度;
5) 项目计划,统计与进度管理制度;
6) 项目成本核算制度;
7) 项目材料,机械设备管理制度;
8) 项目现场管理制度;
9) 项目分配与奖励制度;
10) 项目例会及施工日志制度;
11) 项目分包及劳务管理制度;
12) 项目组织协调制度;
13) 项目信息管理制度。
四、本工程资源投入情况
优化配置,动态控制和降低成本。包括人力资源(管理人员、机上人员),以精干、一人多专(岗)为原则,应有组织机构框图,可用于计算管理人员人工费。施工机械型号、数量(包括自有、租赁),租赁设备应详细说明租赁时间租赁地点租赁价格等信息,按照程序办理。
五、项目分包策划
分包项目及分包原因,对分包商考察及其信誉情况,包括分包风险分析、分包价格分析,降低成本的主要办法;如采用招投标方式分包,则招投标文件等应上报获得批准。
甲供材料价格(包括电、柴油等动力燃料)、大众物资材料价格,包括运输费用、装卸车费用、采保费等。
六、项目成本控制
1、项目经理部运行费用测算
应在WORD表格中插入EXCL表格计算(包括计算公式),包括业务费,表格形式反映。
2、项目工程成本测算
应在WORD表格中插入EXCL表格计算(包括计算公式),每项单价均应有成本单价计算过程,表格形式反映。
七、项目变更及索赔点的策划
变更项目分析,索赔阶段性工作计划等。
八、进度控制
项目总工期及节点工期,业主要求和经理部计划。
资源配置、工效和工程量等分析资料。
九、安全控制
按照公司安全管理体系控制并应与公司安全生产管理部要求相符。
十、项目质量控制
按照公司质量管理体系控制并应与公司安全生产管理部要求相符。
十一、项目货币资金需求及资金策划、完工资金回收
表格形式反映。
十二、项目竣工验收阶段管理
篇3
【关键字】 指挥自动化 安全管理
随着信息技术在军事领域的广泛应用,我军指挥自动化水平取得了长足的进步,但是信息安全问题日益突出,信息安全已经成为制约我军指挥自动化系统建设的瓶颈。研究和实践证明,70%以上的安全问题是由于安全管理不善造成,而其中95%可以通过科学的安全管理来避免,因此指挥自动化系统安全管理工作应当引起我们的高度重视。
一、指挥自动化系统安全管理的基本概念
指挥自动化系统安全管理是管理的一种,具备安全管理的一般概念,指挥自动化系统安全管理是指为完成指挥自动化系统安全这一核心任务,设置一个高效的组织机构,建立一套完善的管理制度,充分调动该系统内部人员的积极性和创造性,发挥现有的信息安全技术条件,以期最大限度保证指挥自动化系统以及指挥自动化信息安全的过程。
指挥自动化系统安全管理包括的范围较广,主要包括以下内容:落实安全管理机构以及安全管理人员,明确角色与职责,制定安全规划;开发安全策略;实施风险管理;制定业务连续性计划和灾难恢复计划;选择与实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查,处理安全事件;安全意识与安全教育;人员安全管理等。
二、指挥自动化系统安全管理问题分析
2.1指挥自动化系统安全管理机构不完善
信息安全管理机构是信息安全管理制度制定和实施的有力保障,这个安全机构分为三个层次,领导层、管理层和执行层。我军各级指挥自动化系统在领导层缺乏一个统一的信息安全领导机构;在管理层绝大多数是参谋兼职人员;在执行层更是专业技术人员匮乏。
2.2指挥自动化系统相关人员缺乏信息安全教育
首先信息安全管理人员发生信息安全问题时,完全依靠于技术部门,信息安全管理意识缺乏;其次忽视了对广大系统用户的安全知识和安全意识的教育,导致用户不清楚指挥自动化系统的信息安全的标准和要求,最终导致内部安全事件频发。
2.3指挥自动化系统风险管理得没有有效开展
我军各级指挥自动化系统风险管理工作还处于起步阶段,对指挥自动化系统及其承载的信息等不了解,对系统所面临的威胁不清楚。由于对其信息系统整体安全状况不了解,风险管理和评估工作无法有效开展。
2.4指挥自动化系统安全管理制度不完善
各级指挥自动化系统安全管理制度不完善。一是安全管理内容不全面,如网络安全、设备安全权责不清、责任不明等;二是安全管理制度层次不清,可操作性不强,在实际工作中很难逐级落实。
三、指挥自动化系统安全管理应该把握的几个问题
3.1完善指挥自动化系统安全管理机构
指挥自动化系统安全管理机构是安全管理工作的基本组织保证。在指挥自动化系统管理机构中建立安全管理机构,一是要根据该系统安全工作的具体情况而定,不同安全等级的安全管理机构由于管理任务和要求不一样,管理机构组成也不一样。二是要建立健全管理信息安全工作的职能部门。三是要为信息安全管理配备专职或兼职的安全管理人员。
3.2大力加强指挥自动化系统相关人员的安全教育
目前我军信息安全知识匮乏,人才质量参差不齐。信息安全技术只有通过人的操作才能发挥应有的作用,如果对操作和配置指挥自动化系统的用户没有相应的安全管理,再好的安全技术也难以发挥应有的效力,因此人员安全知识和安全意识的教育是指挥自动化系统安全管理的核心。
3.3扎实推进指挥自动化系统风险管理工作
风险管理是信息安全中非常重要的一环,风险管理工作必须严格按照风险识别、风险评估、风险控制以及效果评价四个步骤进行。风险识别是准确的对资产进行识别,评估资产可能面临的威胁。风险评估主要对识别的风险进行分析和分级。风险控制是通过避免、转移、缓解或承认等策略来控制漏洞所产生的威胁。效果评价是检验风险评估和风险控制的结果是否满足信息系统的安全要求,在目前条件下,这部分工作亦可委托专业机构来完成。
3.4把握好指挥自动化系统安全管理的动态特性
指挥自动化系统安全管理是风险管理的一种,自然离不开管理的动态特性。指挥自动化系统中存在威胁、风险和脆弱性并不是一成不变的,因此安全管理必须因内外环境的变化而做出相应的改变,最大限度达成管理目的。指挥自动化系统安全必须一动态的眼光来看待问题,不仅仅停留在安全策略、计划、规划等描述性的文档上,需要在实践中不断地反馈、修改和完善。
参 考 文 献
[1]戴宗坤,罗万伯,唐三平,黄元飞,刘永澄,《信息系统安全》,金城出版社,2001
篇4
近年来,随着信息安全等级保护工作机制的不断完善,主管部门监督检查力度的不断加大,信息系统开展等级测评的数量稳步增长,测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据,可以得出以下结论:一是较早开展等级测评的行业,经过测评和整改建设,测评符合率逐年提高;二是随着等级测评工作的持续推进,近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱,测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计,其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高,信息系统的建设、使用、运维阶段存在一些较普遍的问题。
信息系统安全保护措施落实情况分析
整体而言,随着等级测评工作的持续推进,党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升,在管理和技术两方面主要采取了以下安全措施:
信息安全管理措施落实情况
在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障,其安全管理措施一般也能得到有效落实,在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反,部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门,其信息安全专业人员的配备达不到标准规范的要求,安全责任部门地位偏低权限不足,很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。
信息安全技术措施落实情况
多数单位通过部署边界安全设备,强化入侵防范措施来提高网络的安全性;通过加固操作系统和数据库的安全策略,启用安全审计,安装杀毒软件等措施,来提高主机安全防护水平;通过开发应用系统的安全模块,从身份鉴别、访问控制、日志记录等方面,强化业务应用的安全性;通过部署数据备份设备、加密措施,加强对数据安全的保护。
信息系统常见安全问题分析
随着等级测评工作的覆盖面进一步扩大,近年来初次测评的单位和基层部门仍发现一些典型问题。
信息安全意识有待提高
很多单位对当前日趋严峻的网络安全形势认识不足,将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧,完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题,根源还是安全意识薄弱。
信息安全管理有待加强
信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。
信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版,未结合本单位实际进行修订,导致缺乏可操作性。
系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范,导致安全功能缺失、应用层漏洞频现。在系统验收阶段,很多单位仅注重业务功能验收,缺乏专门的安全性测试;电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”(即等级测评报告、风险评估报告和系统备案证明)。
系统运维管理不到位。在系统运维管理方面,部分单位运维和开发岗位不分,职责不清,存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录,数据备份策略不明,应急预案不完善并缺乏演练。
关键技术措施有待落实
分析近年来的测评结果,安全技术措施不足问题主要体现在以下几个方面:
在物理安全方面,随着电子政务集约化建设的推进,大量信息系统已经集中到高规格的专业机房,但仍有部分单位自有机房条件简陋,位置选择不规范,出入管理较随意,防盗防破坏、防雷防火防潮能力较差,环境监控措施不足。
在网络安全方面,常见网络和安全设备的配置不到位,如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等;较普遍缺少专业审计系统。部分单位设备老旧,安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时,还违规接通互联网,存在极大的安全隐患。
在主机安全方面,部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外,由于主流操作系统和数据库很少支持强制访问控制机制,相关要求普遍未落实。
在应用安全方面,很多应用软件安全功能不足,缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试,相当一部分系统存在高危风险,如SQL注入、跨站脚本、文件上传等漏洞,以及弱口令、网页木马等问题。
在数据安全方面,较常见的是数据保密性和完整性措施薄弱。此外,部分信息系统的备份和恢复措施欠完善,缺乏有效的灾难恢复手段。
针对新技术的等级保护测评标准有待出台
随着浙江政务服务网的大力推进,省内各级政务云平台的建设使用已全面开展,有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视,对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域,在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。
重要信息系统安全保护对策建议
针对上述存在的问题,本文提出以下对策建议,以供参考。
提高信息安全意识
提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念,加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展,还应通过多种方式开展信息安全政策解读和信息安全标准宣贯,强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训,落实信息安全相关岗位“持证上岗”的要求。
加强信息安全管理
“三分技术,七分管理”,各单位应转变观念,将“信息安全”与“系统稳定、功能正常”同等重视起来,将安全管理要求与自身业务紧密结合,制订完善的体系化的安全管理制度。
在系统建设管理过程中,应要求开发人员遵循安全编码规范进行开发;在系统验收环节,应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求,验收阶段完成等级测评,未通过测评的应不予验收。
在系统运维管理方面,应加强制定信息系统日常管理操作的详细规范,明确定义工作流程和操作步骤,使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理,建立完善应急灾备措施,定期开展演练,确保备份的有效性。
落实关键技术措施
针对测评发现的问题,各单位应根据系统所定级别,结合自身条件,综合考虑问题的影响范围、严重程度、整改难度等因素,制定整改计划,有步骤地落实相关技术措施。对于策略配置类的问题及时纠正;对于整改难度大、需要添置硬件或修改代码的问题,应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题,建议国家加强相关产业政策的引导,促进安全厂商研发技术、推出产品,解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理,督促关键技术措施的落实。
加快新技术的等级保护测评标准编制工作
目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准,尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚,随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用,安全标准相对滞后的问题更加突出,应进一步加快相关新标准的制定。
篇5
关键词:燃气工程管理问题对策
1燃气工程管理存在问题
1.1安全管理
现阶段,燃气工程管理方面,对于施工中的安全管理并没有放到一个首要位置,没有认识到安全施工的重要性,安全管理的意识比较单薄。对于国家在燃气工程方面的法律法规以及标准规范等文件,不能及时传达,也没有做好贯彻落实。此外,对于施工现场的安全监管不到位,包括检查不到位、处罚不到位,导致人们对于施工安全工作不重视,燃气工程施工存在较大的安全隐患。
1.2施工现场管理
目前很多人气工程的施工现场管理存在着各种各样的问题。首先施工现场的环境破坏严重,如在施工中会产生大量的扬尘,影响着施工人员的呼吸道、肺部等。再比如施工垃圾、施工现场坑坑洼洼的地面等,让施工现场又脏,又乱。并且执行力度也不到位,如施工原材料道路堆放,损坏的设备不及时维修,没有协调好施工单位跟施工人员的利益关系等,不仅影响着施工的进展,还加大了施工成本。
1.3成本管理
燃气工程在成本管理问题,主要在于对于工程的成本估算和管理差距过大,预算是从图纸上算的,主要是设计图纸与实际有偏差,变更较多,导致计算与预算偏差比较大。在加上编制的预算,也不够合理,导致企业资金无法实现正常的运作和流动,造成成本管理失衡,而且对于成本的管理,没有实现动态化的管理,经常出现成本超出预算的情况,由此导致燃气工程的经济效益偏低。
2加强燃气工程管理的对策
2.1强化安全管理
安全管理制度也是燃气工程管理的重点内容之一,建立安全管理制度,对施工现场进行规范化管理,保证施工的安全。首先,加强宣传和培训。提升人们的安全意识,需要加大对施工安全的宣传和教育。其次,加强对施工现场的检查。对施工现场以及人员操作进行检查,检查施工现场是否存在安全隐患,检查施工人员是否严格按照操作规范施工,排除可能出现的安全隐患。最后,落实安全生产管理责任制。将安全生产的责任落实到具体的责任人,才能确保燃气工程的安全开展。
2.2做好施工现场的管理
为了做好燃气工程的管理,需要做好施工现场的管理。首先要提高施工现场环境保护意识,可以通过增加相关设备,如防尘设备扬尘器等方式,来减少施工现场的环境污染。并且定期检查施工现场的隐患,保证施工现场安全,还可以通过洒水的方式保证施工现场的湿润和清洁。其次做好材料的管理,燃气工程设计到的材料比较多,需要合理的摆放各种物料,保证第一时间可以找到所需的物料。并且做好物料的使用登记,提高物料的利用率。此外完善各种施工管理制度,如财务制度、安全生产管理制度、用人制度、培训制度等,以此来保证施工现场的有序进行。
2.3加强信息网络技术的应用
燃气工程施工时,可以借助信息网络技术,实现燃气工程管理工作的统一规划和部署,可以在短时间内,迅速地掌握燃气工程的相关数据,确保各项管理工作得到有效地落实。借助信息网络技术,可以实现对燃气工程管理工作的实时调整,既保证了工程的施工质量,也让工程管理工作效率得到很大地提升。例如,利用信息网络技术,实时地监控工程的成本数据、工程进度等数据,保证工程保质保量地完成。
2.4注重施工方案的设计
做好施工方案的设计,严格按照要求进行设计,并对设计方案进行审核,提升设计方案的质量。在进行施工方案设计之前,需要做好现场的勘察工作,也就是专门人员根据施工的现场情况,绘制地形图,结合相关的地质资料,分析施工的可行性,做好因地制宜地进行设计,保证设计的合理性。在进行设计时,需要考虑到可能出现的意外情况,比如,地下管道和图纸不符或者存在隐蔽构筑物的情况,需要做好设计的变更。
2.5加强施工的质量管理
首先,技术人员到达施工现场,进行现场的复核,比如,检查施工放线,检查施工材料的质量等,从施工的源头进行质量的控制,避免出现质量问题。其次,加强施工过程的监管。施工需要严格遵循施工的工艺和顺序进行,如果出现设计方面的变更,需要设计部门、监理部门和建设单位三方同意。最后,贯彻工地例会制度。定期开展工地例会,对燃气工程施工进行定期检查,提出施工中存在的问题,做好相关部门的沟通,及时给出解决方案。做好施工材料的检查,保证施工材料的质量,对于存在质量问题或者不合格的材料,坚决不予使用。此外,做好施工记录。将施工材料进行收集、整理,形成完成的施工档案,方便人们通过档案了解到施工的情况。
2.6重视燃气工程的竣工验收
竣工验收是工程施工的最后环节,同样需要给与高度重视。竣工验收时,需要按照国家的法律法规、施工合同要求等进行验收,对于施工不合格的工程,不予支付费用。燃气工程验收工作,需要审核施工资料以及现场检查结合的方式,共同进行。竣工验收需要按照如下文件进行验收:主观部门对于竣工验收的规定性文件;国家颁布的相关质量标准、施工规范、验收规范等;施工合同;设计图纸、说明书、设计文件以及变更文件等。
篇6
我是鲁Q 营运客车驾驶员,营运线路为 至 ,本人保证严格遵守安全法律、法规和公司各项安全管理制度,承诺在营运客车运营中做好以下工作:
1、严格按照安全操作规程作业,服从公安、交通和企业管理人员的安全管理。
2、保证在运营过程中做到“六不”:不超员;不随意变更运行线路、班次、站点;不发生服务质量投诉事件;不超速行驶、不长时间占用超车道;不违反规定捎载货物(特别是易燃易爆等化学危险品);不关停车载卫星定位终端或加装影响其正常使用的辅助设施。
3、保证每天始发班前进行安全例检,在运营中、收车后对车辆进行安全检查,保证车辆技术状况始终保持良好,保证乘客门应急控制器、应急出口、安全锤、灭火器等安全设施、设备齐全有效。
4、确保GPS卫星定位装置的完好、数据传输准确,车辆全程在线,始终处于有效监控之中,如出现故障,及时报修。
5、保证在运营过程中严格按照规定的运行线路、途经站点运行,在主要路口、学校、城镇、油库附近等特殊路段,减速慢行,确保安全。
6、严格执行公司驾驶员管理制度。不疲劳驾驶,不超速、超员行驶,不酒后驾驶,不违章超车,不违规捎货,开车时不发生与他人闲谈、吸烟、饮食、接打手机等妨碍安全行车的行为。及时对车辆进行燃气补充,确保车辆正常运行,杜绝因燃气不足而缺班情况发生,严禁载客加气。运营中不强超抢会,主动避让大型货车,保持中速行驶,做到礼让三先。
7、保证严格执行夜间10时至次日5时禁止发车制度,夜间不私自移动车辆、承接包车业务。
8、保证在发车前,向乘车旅客讲解安全乘车注意事项,途中做到文明服务,安全驾驶。
特此承诺。
篇7
一、基本情况及财务状况
我公司于年月批准设立,并依法取得了《企业法人营业执照》、《特种行业经营许可证》、《税务登记证》和《组织机构代码证》等证照,是一家具有独立法人资格的有限责任公司,注册资金为万元,实际注资万元,持续资本万元。公司坚持“促进经济发展,为市内中小企业和个人提供速效融资渠道,为股东增加收入,为社会创造财富”的宗旨,遵循平等、自愿、诚信、互利的原则,依法经营,自觉维护典当市场的经营秩序。截止年月日,我公司资产总额为万元,其中流动资产余额为万元(包括货币资金余额万元,发放贷款及垫款余额万元),固定资产净值为万元,年度实现利息及综合费收入万元,上缴税金万元,捐赠万元,共支出业务及管理费用万元,本年度净利润为万元。
二、经营与主要工作措施
(一)广泛宣传,树立形象,扩大影响。为了扩大典当的社会影响,提高企业经济效益,我公司利用各种方式不断加大宣传力度。一是组织人员利用休息日和节假日,到流动人员较多的房产交易中心、机动车交易中心、各大商场等商业繁华地段散发宣传册,并充分利用网络信息量大和覆盖面广的特点,在互联网上进行推介。广泛宣传典当的性质、特点以及公司的经营范围、经营理念等,为广大客户提供一个良好的融资平台。
(二)抓住机遇,调整思路,努力增收。2014年,典当业发展形势不错,典当业务量不断扩大,效益不断提高,支持中小企业发展的能力明显增强。我公司抓住机遇,针对不断变化的市场形势,在面临许多不确定性,充分发挥典当业务快捷方便的特点,采取切实可行的措施:一是周密组织,精心运作,提高资金使用率;二是积极发展和建立新的资产优良、经济效益正处于上升期的优质客户群体,重点是民营中小企业;三是积极开辟扩大机动车、库存物资典当业务;四是加强与各商业银行的联系,努力扩大资金规模,做大业务总量;五是根据市场情况,充分利用典当业务方式灵活多样的特点,千方百计增加收入,保持了经济效益的稳定增长。截止年底,公司共发放典当金额万元,实现收入万元,完成税金上交万元,取得了良好开端。
(三)规范经营,防范风险,遵纪守法。公司遵循“平等、自愿、诚信、互利”原则,遵纪守法,照章纳税,对内对外树立了良好的公司形象。
1、自公司成立至今严格按照《典当管理办法》规定办事,做到先到工商部门变更名称、股权和注册资本、法定代表人、法定地址、设立分支机构的情况;自开业以来,公司法定代表人、个人股东和其他高级管理人员无变更情况和无任何故意犯罪情况。
2、在典当经营业务中,公司按照《典当管理办法》的经营规则开展典当业务,对当户无当金利息预扣现象;综合费率的收取未超过规定范围;也无“单一客户业务比例达到注册资本25%且当金金额超过1000万元,单笔业务额超过1000万元以上”的情况发生。
3、根据《典当管理办法》和文件以及市公安局关于典当行安全管理的有关规定,我公司严格按照《典当经营场所安全防范标准》执行,强化安全防范和管理,使企业经营场所、保管库房及其安全防范设施安装、设置等至今完整无缺,无任何变更,有效防范各种安全事故的发生;
4、按照商办建函〔2010〕1365号文件要求的相关内容,我公司安排专人负责,及时、准确、完整地报送信息统计月份、季度、年度的情况;
5、为保证典当行的规范及可持续性发展,加强对典当从业人员的管理和培训,提高管理人员素质,是典当行的首要任务。公司员工认真学习了商务部、公安部2005年4月联合颁发的《典当行管理办法》,规范经营管理,坚决杜绝超业务范围和超过规定标准收取利息及综合费等违规行为;严格按照《典当管理办法》有关规定,对不动产抵押做好他项权证登记,对动产质押填报《典当物品登记表》,与公安机关一道做好治安防控工作;没有任何吸收或变相吸收存款、非法集资、发放信用贷款、故意收当赃物、抽逃资金等严重违法违规行为。
(四)加强建设,订立制度,强化管理。为了使公司从业人员爱岗敬业,遵纪守法,公司加强了机构建设,制定了规章制度,强化内部管理。在组织机构建设方面:公司设立总经理,下设四个部门:估价部、财务部、办公室和保安部。制定了安全管理制度、财务管理制度、管理人员工作职责、金库管理制度、劳动用工制度、内部管理制度、内部审计制度、现金管理制度、消防安全管理制度、治安保卫制度、重要空白凭证管理制度和业务工作规则等一系列的规章制度,用以规范职工的言行,做到有章可循,有法可依。
(五)2014年典当行当票领取、使用和结存情况。公司从2014年下半年起,公司按照商务部的要求,实现了当票、续当票上网机打,公开透明。对当票(续当票)的领取、使用和结存均严格按照《典当管理办法》及有关法律、法规的相关规定办理,有效地杜绝了滥开、滥用、转让、出借和遗失等违规现象和事故的发生。2014年使用当票份,有效使用份。其中:手写当票份,手写当票号,结存:手写当票份,机打当票份,机打当票号:,结存:机打当票份。2014年使用续当票份,有效使用份。其中:手写续当票份,手写续当票号:,结存:手写续当票份,机打续当票份,机打续当票号:,结存:机打续当票份。
篇8
关键词:网站;防篡改技术;WEB;动态网页
中图分类号:TP399 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02
Anti-tampering Technology Application of Government Portal WEB
Li Xuefeng
(Qingyuan Informatization Technology Equipment Office,Qingyuan511515,China)
Abstract:Website WEB government departments,security has become an important part of the building site,the government portal,security system,safety management system should be split from the technical safeguards and security are two aspects to the construction,construction safety management system,including technical management specifications,personnel and organizational structure,emergency response services,security,safety training in four aspects;safety precautions main WEB tamper system construction.
Keywords:Website;Anti-tampering technology;WEB;Dynamic pages
一、前言
随着互联网WEB技术的应用发展,网站在信息发展中越来越重要,由于互联网是个开放的网络,网站的信息都随时被查询、阅读、下载或转载。网站内容复制容易,转载速度快,后果难以预料,网页如果被篡改,将直接危害该网站的利益,尤其是政府门户部门的网站,网上的重要新闻、重大方针政策以及法规等具有权威性,一旦被黑客篡改,将严重损害政府的形象,破坏群众对政府部门的信任。如果没有坚固的安全体系和有效的事件响应能力,无异于将重要信息暴露于外。由此看来,网络安全问题已成为政府部门网站建设的一项重要内容。
政府部门的网络安全不是纯粹的技术问题,它涉及了一个政府的政治、军事、经济等多方面的安全。同时影响网络安全的因素也是多方面的,如计算机病毒的传播、黑客的破坏、管理人员的安全防范意识不强等等。因此做好政府门户网站的安全不是件轻而易举的事情。
二、建立网站安全管理制度
在管理制度上,加强网络和信息安全管理等方面的管理制度建设工作,为政府门户网站的建设、运行、维护和管理提供依据保障,构筑促进电子政务安全发展的环境,形成适用于政府门户网站安全的需要。我们必须按照管理制度的要求,提高我们保护网络安全意识,建立一系列安全管理制度。
由于网络的复杂性,必然导致网络安全防护的复杂性。“三分技术,七分管理”这句话是对网络安全非常客观的描述。任何网络仅在技术上是做不到完整的安全的。根据管理规范内容的重要程度和安全管理的复杂性特点,安全管理体系应包括技术管理规范、人员与组织结构、应急事件安全响应服务、安全培训等四个方面的内容。
(一)技术管理规范
面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还要加强网络的安全管理。如:(1)非、网机器不允许混用。(2)非网机器不允许运行信息,网机器不允许上非网。(3)必须严格按照安全等级、安全域划分,制定相应的安全保密制度。(4)不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。
(二)人员与组织结构
网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。另外,应建立安全专家小组,负责安全问题的重大决策。
(三)应急事件响应
当一个严重网络漏洞出现或重大安全事件发生时,有可能威胁到系统的正常运行时,值班工程师,将会立刻通知系统管理员,并告知补救的措施。在网站出现非正常运行时,值班工程师将立刻到现场,帮助分析问题的原因,在尽可能短的时间内恢复网站正常工作,并做出事故分析报告,并提交上级主管部门。在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行。
(四)安全培训
系统管理员是直接和系统打交道的工作者,在整个信息系统维护中的地位非常重要。所以非常有必要给系统管理员进行有效的系统安全培训,掌握计算机安全的高级知识,了解黑客使用的流行手段,掌握各种主流操作系统上所需的安全策略、各种安全防御工具等技能,并能采取必要的防范措施。从众多的信息安全事件分析来看,人员的安全意识、系统和网络管理员的安全技术水平和实际的安全知识直接影响到整个系统安全状况。而信息系统的全面安全不仅和管理员的安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高工作人员的安全理论实践水平和安全意识。
三、建立有效安全技术措施
在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。目前常见网站被攻击事件有SQL注入攻击和跨站脚本攻击,其更加有效的狙击手段是什么呢?主要采取的安全手段:第一,对于SQL注入攻击:采用对SQL查询语句中的查询参数进行过滤;使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能,解决恶意用户通过地址栏恶意攻击的问题等,这些手段是控制SQL注入的,还包括其它的一些过滤处理,和其它的对用户输入数据的验证来防止SQL注入攻击。第二,对于跨站脚本攻击:在对于不支持HTML的内容直接实行编码处理的办法,来从根本上解决跨站问题。而对于支持Html的内容,我们有专门的过滤函数,会对数据进行安全处理,虽然这种方式目前是安全的,但不代表以后也一定是安全的,因为攻击手段会不断翻新,过滤函数库也会不断更新。另外对于外站访问和直接访问也需要做判断,从一定程度上也可以避免跨站攻击。近年来,出现了网站WEB防篡改系统(也叫WEB应用防火墙),可使系统修改检测时间缩小到毫秒级,而且,由于采用的事件触发技术,系统监测基本不额外占用系统资源。目前主流的网页防篡改技术主要包括如下三种技术:
(一)外挂扫描技术
外挂扫描技术也叫外挂轮询技术,是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。采用从外部逐个扫描网页文件的方式来判断对网页的非法修改,采用这种技术一般会有一定的时间间隔,而且网站文件越多,时间间隔越长,不能保证被黑客修改的网页不被访问者看到。
(二)核心内嵌技术
核心内嵌技术是将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。采用核心内嵌技术的防篡改系统,其篡改检测模块运行于Web服务器软件内部,与Web服务器无缝结合。每次Web服务器对外发送网页时,系统都进行网页防篡改检测,从而能够实时地确保每个网页的真实性。
(三)事件触发技术
事件触发技术是利用操作系统的文件系统接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复。事件触发技术是把系统的篡改检测模块嵌入到操作系统内核,因此所有的文件非法变更事件都会被事件触发器无延迟的获取,该机制完全区别于扫描技术和核心内嵌技术,不需要与备份库对比分析的繁琐过程,因此可以做到监控的实时性和系统资源低占用率。是当前比较先进的一种防篡改检测技术。
四、WEB防篡改三种技术应用比较
传统的网页保护技术有基于轮询检测检测技术、内嵌技术、事件触发机制等,大量实践表明,轮询检测技术检测效率较低,对服务器负载以及带宽资源消耗较大,而且不能完全杜绝短时间出现外部访问到非法篡改后的网站,是第一代网页防篡改技术,在过去带宽资源相对不丰富,应用系统对系统应用资源较少的情况下使用,但不能实时对网页进行恢复,往往比较滞后;随着技术发展,网站上运行的各类应用逐渐增多,服务器负载将是网页防篡改技术面临的最大挑战,内嵌技术的应用在一定程度上降低了篡改的几率,但其部署方式较为复杂,加密算法的选择严重影响到了服务器的负载,而且时常会出现大量网页外部不可访问的状况,这属于第二代监测技术;基于事件触发机制被大量事实证明是服务器的负载最小的一种检测技术,简单,成熟,可靠,已经成为目前最主流的检测技术,结合事件触发机制的基于文件过滤驱动级多因子检测技术是第三代全新防篡改技术,通过文件底层驱动技术从根本上解决了文件检测的准确度,以及针对子文件夹的保护,程序后台运行监测程序,一旦发现文件属性变化,则立即从安全目录中(不对外提供访问)加以恢复,效率和安全性都得到了较好的保证,对大中型网站均可以起到很好的保护效果。
五、总结
综上所述,要搞好政府门户网站的安全建设,不是轻而易举的,而是一项复杂的、综合的、系统的信息安全工程。
参考文献:
篇9
关键词:管理制度 安全 进度 质量 成本
电力建设企业主要负责大中型发电机组的建设,因为其涉及时间长、工作难度大、质量要求严格等,现在普遍运用项目法施工的模式进行管理,项目管理的好坏直接影响企业的信誉、效益。本人从事电力建设项目管理多年,在实践中进行了认真的探索,总结了一些有效的经验并在随后的项目实践中得到了验证,主要如下:各项管理制度的完善,包括各类施工文件的编制;加强安全工作的管理;对进度、质量、成本工作的有效控制。
1.完善项目部的管理制度,认真编制开工前的各类施工文件
1.1制订项目部的管理制度
项目部成立后要根据施工任务和项目实际情况尽快制订项目部的管理制度,有了好的制度就会为随后施工工程的开展奠定坚实的基础,项目前期劳动力进场人数要少一结,随着施工进度的推进,劳动力的需求也会呈直线上升,而有了严格的管理制度会在工程全面展开后对现场施工能进行有效的管理,真正起到事半功倍的效果。项目部需要制订的主要制度如下:
①项目部各部门岗位职责
②项目部综合管理方面的相关制度,包括职工考勤和收入管理发放办法;项目部例会制度;项目部消防管理制度;项目部交通安全管理制度等。
③施工管理方面相关的制度,包括施工图纸、资料管理制度;施工技术交底制度;图纸会审制度;工程变更管理制度;工序交接制度;计量管理制度;施工用电、水管理制度等。
④施工质量管理方面相关的制度,包括质量验收制度;质量事故报告和处理制度;原材料质量检验和跟综制度;质量奖惩制度;见证取样制度等。
⑤安全管理方面的相关制度,包括安全施工责任制度;安全工作例会制度;安全施工作业票管理制度;安全奖惩制度;安全事故处理、统计、报告制度等。
⑥材料、设备管理方面的相关制度,包括材料领用制度;设备保管制度等。
⑦机械设备管理方面的制度,包括施工机械入场检验制度;施工机械定期检查、保养、维护制度;起重机械管理制度等。
⑧经营和财务管理方面的制度,包括工程结算管理办法;项目成本核算办法等。
以上制度的编制要做到易于理解,便于执行,并能提高工作效率的作用,在制度汇编完成后要请公司相关职能部室进行制度的评审,评审后由项目部经理批准执行。
1.2编制项目开工前的各类施工文件
开工前施工文件的编制主要有本项目的施工大纲、工作程序、施工组织设计等。
①质量保证大纲,作为项目管理的指导性文件,质量保证大纲起着关键的作用,它具体提出了本项目施工质量必须满足的原则和目标,包括为使施工要达到相应的质量所必须的控制,具有强制性,本项目的全体施工人员都必须遵照执行。
②质量保证大纲程序,大纲程序具体规定了各项工作的流程。
③施工组织设计和作业指导书,是指导工程施工的重要技术经济文件,编制过程中要多方听取意见,然后进行多方案技术经济比较,最后择优选用,以达到保证工程质量,保证施工安全,降低施工成本,提高经济效益,加快施工进度的要求。
2.加强对安全工作的管理,重在事故的预防和事故后果的缓解
2.1针对可能发生的事故,主要采取的措施是要防止事故的发生,事故发生的主要原因是人的不安全行为、物的不安全状态所造成。针对人的不安全的行为采取的主要措施是加强对进入施工现场人员的安全教育,新进场员工必须参加三级安全教育,经安规考试合格后方可上岗作业;其次,每周安排安全学习,并结合施工情况,针对各施工阶段的危险控制重点,教育员工如何做好安全控制措施。要树立这样一个观念:除不可抗拒的自然因素外,一切事故都可以预防和避免。培训是企业给从业人员的最大实惠和福利,企业和从业人员都将从中受益,最终实现良性循环,是一个双赢的结果。对物的不安全状态主要是加强施工现场的安全检查监督力度,及时发现安全隐患,避免事故的发生。要建立安全检查及安全例会制度,每月安委会组织安全生产大检查及安全例会,每周安全部门组织周安全检查,每日安全员现场巡查,对检查发现问题按“三定”(定人,定时间,定项目)原则督促整改。在目前情况下,安全大检查仍然是安全管理的重要有效手段和方法,在相当一段时间内还要坚持。
2.2对于一些虽然采取了各种措施后仍有可能发生的事故主要是采取各种应急预案,尽最大可能减轻事故的后果。可制定的主要预案应该包括:
①火灾事故处置应急预案
②化学危险品事故处置应急预案
③机械设备事故处置应急预案
④射线事故应急预案
⑤食品中毒应急预案
⑥防台风、防汛应急预案等
对制定的应急预案要有演习计划,定期组织演习,验证应急预案及响应的有效性。做到万一发生事故能真正起到应急的作用,保证人员和财产的安全。
3.加强对项目施工进度、质量、成本的有效控制
3.1对项目施工进度的控制
首先要根据项目进度目标编制施工组织总进度计划,对工程准备工作及各项任务做出时间上的安排。在此基础上编制年度、季度、月度工程计划,确保实现合同中规定的各里程碑进度目标。在对施工进度控制过程中要注意以下内容:
①及时做好各项施工准备,加强作业管理和调度。在各施工过程开始之前,应对施工技术物资供应,施工环境等做好充分准备。
②随时掌握各施工过程持续时间的变化情况以及设计变更等引起的施工内容的增减,施工内部条件与外部条件的变化等,及时分析研究,采取相应措施。
篇10
关键词:人员密集场所;隐患成因;防范措施
随着我国经济的快速发展和人民生活水平的不断提高,人们对待生活的品位也在迅速增长,对于一些人员密集场所的环境要求和空间要求也就更高,现在一些宾馆、饭店、歌厅、舞厅从以前的几十平方米到现在的上千平方米,室内装修也越来越奢侈、豪华,甚至很多都是可燃材料装修;更为严重的是有的场所缺少安全出口、堵塞安全出口,占用消防设施等严重的违规问题,这些问题极易造成群死群伤的恶性火灾事故。笔者结合工作实际,主要就人员密集场所火灾隐患的成因及预防对策问题进行探讨。
一、人员密集场所的特点
(一)场所所在建筑使用性质变更。酒吧、网吧、饭店等人员密集场所很少使用独立的建筑,经营者一般都是租用建筑物的一部份进行装修和改造,有的是在商场、办公楼的某个楼层,有的在停用的仓库或厂房内,有的在居民住宅楼首层,有的甚至在居民住宅楼内改建。这些建筑原设计不是用作人员密集场所,内部的消防设计不能满足人员密集场所的相关要求。将这些建筑随意改为人员密集场所不仅改变了建筑的使用性质,也给场所带来了“先天性的火灾隐患”。
(二)建筑面积比较小。一般为几十或几百平方米不等,通常设置在建筑底层,楼层高度4~5米。租赁户或经营户为“充分”利用空间,将楼层分隔成两层,有的甚至在中间形成一个小中庭,由于底层楼层分隔必然会引起安全出口数量不足,人员聚集的多,人员疏散困难。这是造成群死群伤事故的重要原因。
(三)人员密集场所经营项目的多样性。酒吧、网吧、卡拉OK房、美容美发店、茶艺楼等,应有尽有。
(四)装修相对高档化。由于商业需要,最大限度地吸引顾客而赢利,往往因造型和突出宣传效果而采用大量木材、塑料、纤维织品等可燃易燃材料进行装修,直接导致火灾荷载大幅度增加。
(五)安全出口、疏散通道设置不符合要求。设置的门多数是推拉门、转门等,门向内开启,而且有的还在门口1.4米范围内设置踏步;疏散通道采用木板等可燃材料搭建,宽度不够;室外疏散小巷宽度达不到3米的要求。
二、人员密集场所火灾隐患的成因
(一)违章装饰装修。《建筑内部装修设计防火规范》明确规定了建筑物顶棚、墙面等部位以及窗帘、帷幕等装饰织物必须满足的燃烧性能等级要求。然而有的装饰工程设计、施工单位任意降低防火标准,人为造成很多火灾隐患。
(二)消防安全管理制度不健全。各类人员密集场所用火用电、防火检查、控制室值班、员工培训、消防设施维修保养、火灾隐患整改、灭火和应急疏散演练以及消防安全操作规程等必须建立消防安全管理制度。有的虽然建立了一些内部管理制度,但不符合本单位或公共场所安全管理的实际,制度内容不具体、不全面,有的规定内容与现行消防法律法规规定不相一致,缺乏可操作性。
(三)某些人员密集场所未经消防审核,有的未经验收擅自投入使用,或随意改变建筑物内部结构,擅自改变场所的使用性质;有的验收不合格就投入使用,而与之相匹配的消防安全基础设施没有跟上,事后又无法弥补,有的消防水压不足、室内消火栓数量不足,致使消防设施先天不足,留下了火灾隐患,增大了发生火灾的危险性。
(四)消防器材和安全疏散设施不符合规范要求,设置位置不够合理。有的建筑内部缺少自动消防设施或建筑消防设施不能正常运行,一旦发生火灾事故,不能发挥应有的作用。
三、人员密集场所火灾隐患预防及对策
(一)进一步加强消防安全管理。主要采取以下措施:
1.从源头抓起,严把“四关”
一是督促各设计单位严把设计关。严格按照《建筑设计防火规范》、《建筑内部装修设计防火规范》和《高层民用建筑设计防火规范》的要求,对各类公共娱乐场所的消防设计进行规范设计施工,对不符合规范要求的设计要退回重新设计,严把建筑工程图纸的审核关。同时,设计施工图纸必须报相关的审图机构进行防火审核,严把验收关;工程竣工后,严格进行消防验收,严把开业检查关;开业使用前,必须经当地公安消防机构进行防火安全检查,检查合格后方可投入使用或者开业;二是建章立制,从制度管理上扼制火灾隐患的形成。公共娱乐场所要根据场所的使用情况,严格落实消防安全责任制,建立健全消防安全教育、培训制度,防火检查、巡查制度,安全疏散管理制度,消防设施、器材维护管理制度,用火、用电、用气安全管理制度,消防值班制度,火灾隐患整改制度,配电房操作规程,消防控制设备操作规程等消防安全管理制度和消防安全操作规程。并严格贯彻执行各种消防安全管理制度。要用制度规范人的行动,从制度管理上遏止火灾隐患的形成;三是加强消防安全知识培训,提高员工素质。营业性场所要加强员工的消防宣传培训,要组织员工学习国家法律、法规,学习消防安全常识,开展警示教育,以增强员工的消防法制意识,增长消防安全知识。新员工必须通过消防安全培训方可上岗,消防控制室值班人员必须经过培训取得上岗证件后方可上岗值班。每名员工每年至少要进行一次消防安全培训。通过培训,要使每名员工自觉提高消防意识,主动消除火灾隐患;四是积极采取不燃化防火处理。严格控制采用可燃易燃材料装修(饰)顶棚、墙面、隔断、地面等;对于增设的楼梯、室内楼板应符合建筑耐火等级的要求,钢楼梯可采用涂刷防火漆、外包混凝土等措施予以防火保护,楼板应采用符合耐火极限要求的材料;对设置有厨房的,应采用实体墙与其他部位分隔开。
(二)对场所管理的基本要求。一是人员密集的公共建筑不宜在窗口、阳台等部位设置金属栅栏,必须设置时,应有从内部易于开启的装置。窗口、阳台等部位应设置辅助疏散逃生设施;二是人员密集场所平时需要控制人员随意出入的疏散用门,或设有门禁系统的居住建筑外门,应保证火灾时不需要使用钥匙等任何工具即能从内部打开,并应在显著位置设置标识和使用提示;三是凡属人员密集的场所应按《建筑灭火器配置设计规范》设定为中危险级,在选配灭火器种类时,应选用4kg储压式ABC型干粉灭火器,在灭火器的设置上还应注意每一个灭火器配置点灭火器不应少于2具,不宜多于5具,并应设在明显和便于取用的地点,且不得影响安全疏散;四是人员密集场所电气设备多,必须按照国家的有关电气设计和施工验收标准的规定,由具有电工资格的技术人员负责进行设计和施工安装,严禁超负荷用电,严禁私自搭接临时线路;五是设置在多种用途建筑内的人员密集场所,应采用耐火极限不低于1.0h的楼板和2.0h的隔墙与其他部位隔开,并应满足各自不同工作或使用时间对安全疏散的要求。设有人员密集场所的建筑内的疏散楼梯宜通至屋面,且宜在屋面设置辅助疏散设施;六是人员密集的生产加工车间应保持疏散通道畅通,通向疏散出口的主要疏散通道的净宽度不应小于2.0m,其他疏散通道净宽度不应小于1.5m,且走道地面上应划出明显的标示线。员工集体宿舍隔墙的耐火极限不应低于1.0h,且应砌至梁、板底。
参考文献:
1.《中华人民共和国消防法》
2.公安部第107号令,《消防监督检查规定》
