安全体系论文范文

时间:2023-04-10 18:28:07

导语:如何才能写好一篇安全体系论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

安全体系论文

篇1

根据如上分析,传统的防病毒产品均以分析病毒特征为主,仅仅依靠病毒防护技术是不能解决所有问题的。对于一个大型医院而言,防病毒产品的可管理性往往比病毒的查杀能力更为重要,如果防病毒产品不能做到医院全网安全防护体系的统一集中控制和管理,即使拥有再多的功能也不能满足医院的实际需求。实践证明,一个安全、有效和完善的防病毒解决方案应包含防护技术、安全管理和体系化服务3个层面的内容。网络集中式防病毒体系和管理已成为保障医院网络安全不可缺少的一部分。

1.1防护技术层面从上述我们对恶意软件和传统病毒特征的分析可知,目前传统被动的防护方法已经无法遏制与日俱增的恶意软件和病毒的入侵。因此,我们必须从“主动防范”这种观点出发,针对医院构建一个整体、多层次的防病毒体系。相对于传统的被动式病毒防范技术而言,主动式响应技术可在新的恶意软件和病毒未出现之前就形成防火墙,静候威胁的到来,从而避免恶意软件和病毒所带来的损失。防病毒体系架构如图1所示。

1.1.1基于应用程序的防火墙技术个人防火墙能够按应用程序或其通信特征,阻止/允许任何端口和协议进出。通过个人防火墙技术,可以有效防止恶意软件和病毒通过漏洞进入客户端,更为重要的是,可以有效阻止病毒的传播路径。以ARP木马为例,正常的ARP请求和响应包是由ndisiuo.sys驱动发出,而ARP病毒或者其他ARP攻击通常是利用其他系统驱动伪造ARP数据包发出。因此,在防火墙规则中设定,只允许ndisiuo.sys对外发送ARP数据包(协议号0×806),其他的全部禁止,这样就能在没有最新病毒定义的前提下对病毒进行阻断和有效防护。

1.1.2应用程序控制技术首先设置一份恶意软件的黑名单,然后通过应用程序控制技术对终端的应用程序行为进行全方位监控,如发现与黑名单相近似的行为就进行阻止。以“熊猫烧香”这种经过多次变种的蠕虫病毒为例,如采用传统的被动防护技术,解决的方法是:必须及时捕获每一个变种后的样本,才能有针对性地编写病毒定义。但该种病毒的传播和爆发其实具有很明显的行为特征,它主要是通过U盘传播,利用操作系统在打开U盘或移动硬盘时,自动根据根目录下的autorun.inf文件,执行病毒程序。而赛门铁克公司所提供的系统防护技术可以有效地管控根目录下的autorun.inf文件读写权限,尤其当已受病毒感染的计算机试图往移动存储设备上写入该文件时,可自动终止该病毒进程,并向管理员递送报告。

1.1.3客户端系统加固保证客户端安全的基础条件是客户端自身的安全加固。医院终端大多使用Windows操作系统,此类系统应用广泛,但本身也存在着非常多的安全漏洞,需及时安装操作系统的补丁程序[7]。为了医院整体网络的安全不受个别软件系统漏洞的威胁,必须在医院网络安全管理中加强对操作系统的补丁升级和安全配置。集中管理医院网络中客户端的操作系统补丁升级、系统配置等,可以自动定义客户端操作系统补丁下载、操作系统补丁升级策略以及增强客户端系统安全策略配置并自动下发给运行于各个客户端设备上的模块,模块自动执行管理控制台下发的策略,保证客户端操作系统补丁升级、安全配置策略的有效性。整个管理过程都是自动完成,对终端用户来说完全透明,减少了终端用户的麻烦,降低了医院网络的安全风险,提高了医院网络整体的安全配置管理效率和效用,使医院网络的操作系统补丁及安全配置管理策略得到有效落实。综上所述,通过最新主动防范技术,我们才能有效应对现今的恶意软件和病毒威胁。网络集中式终端安全和管理已成为保障医院网络安全不可缺少的一部分。

1.2安全管理层面在病毒和恶意软件的管理层面上我们需要达到2个目标,即管理技术化与技术管理化。管理技术化体现在客户端的策略和行为控制上,把“三分技术、七分管理”口号变成实际可操作的控制程序,这样就需要我们通过技术手段把对终端用户的管理要求现实化和可执行化。技术管理化要求我们对上述提到的多种安全防护技术进行合理、有效的管理,使防护技术发挥其应有的作用。通过统一、有效和实时的集中式管理,建立完善的安全技术保障体系。赛门铁克公司的阻截恶意软件(SymantecEnd-pointProtection)解决方案适合我院的实际需求。该解决方案主要依靠策略管理服务器来实现。根据我院的实际情况,终端安全管理平台采用“统一控制,二级管理”的架构,此架构与我院现有的行政管理模式相吻合,不仅提高了安全管理的效率,而且又能体现“统一规划,分级管理”的思想。策略服务器是整个终端安全管理的核心,利用策略服务器实现所有安全策略、设定和监控。通过使用控制台,管理员可以创建和管理各种策略、将策略分配给终端、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见。统一控制台简化了客户端的安全管理,提供集中软件更新、策略更新、报告等服务。

1.3体系化服务层面体系化服务是一个产品的完美补充,因为没有任何一个防病毒厂商能做到对已知病毒和未知病毒的快速准确查杀。医院通过构建完善的网络防病毒体系来防御病毒和恶意软件的入侵。一套完善的终端安全体系既是主动与病毒对抗的过程,又是攻守双方博弈的过程。因为攻方始终握有主动权,所以仅仅依靠防病毒产品不能达到完全意义的安全,还需要配合行之有效的管理及合适的安全策略,并且不断根据各种情况调整策略。只有结合防病毒方案提供的安全服务,才能使医院的防护体系及整体安全提升至一个新的高度。根据我院终端的特殊情况,我们制定了一整套完整的客户端安全服务体系,包括日常维护服务、病毒预警服务以及突发事件应急响应服务几部分。

1.3.1日常维护服务日常维护包括每周病毒特征库的更新、每月一次的巡检。其中巡检包括系统脆弱性扫描、安全评估、安全建议等。由于病毒及恶意软件的持续激增,病毒特征库的及时更新及定期巡检显得尤为重要。

1.3.2预警服务病毒威胁预警服务为我院提供了对新病毒感染暴发提前预警、通知和防范的标准化流程。该流程为信息科安全小组管理人员提供必要的信息和预警,以便在病毒威胁到达我院前或病毒尚未泛滥前调整部署相应的安全配置策略,并成功抵御攻击,降低病毒事件的爆发率,减少病毒事件对我院网络终端的影响。

1.3.3突发事件应急响应服务当发现某种未知的病毒威胁或恶意软件传播导致网络或应用瘫痪时,现有防病毒解决方案未能及时对其进行控制,或者当病毒解决方案能及时发现病毒威胁但不能对其进行隔离或有效删除时,需要防病毒软件厂商及时帮助我们解决遇到的问题。我院通常需要在一个时间范围内解决上述问题,我们可以通过提交病毒威胁样本或直接要求应急上门服务的方式,请防病毒软件厂商协助解决这些问题,避免病毒威胁和恶意软件在我院大规模扩散。

2结语

篇2

[摘要]日本是对食品贸易安全关注较早的国家之一,其食品安全规制在丰富的理论研究指导下。规制经验比较成熟,食品安全水平较高。本文从食品安全规制的机构设置、法律体系、捡疫检验标准程序、对规制者的规制等多方面对日本食品安全规制的体系进行介绍,并据此提出中国食品安全规制改革的建议。

[关键词]日本;食品安全机制;改革;启示

一、规制与食品安全规制

作为社会性规制的重要组成部分,食品安全规制是以保护消费者的安全、健康、卫生为目的,对食品的生产经营活动制定一定的标准,并禁止、限制特定行为的社会性规制。在国外,食品安全规制已形成三次浪潮,即:行为规范(Practices)、危害性分析(HACCP,又称危害分析与关键点控制)和危险性分析。第一次浪潮为建立良好的生产规范(GMP);第二次浪潮的重点是鉴别、评价和控制食品中危害因子;第三次浪潮的重心已经转移到人类健康和整个食物链。世界卫生组织(WH0)、联合国粮农组织(FAO)于1962年成立食品法典委员会(cAc),其颁布的食品法典,已经成为全球消费者、食品生产和加工者、各国食品管理机构和国际贸易唯一的和最重要的基本参考标准。随着现代食品安全管理第三次浪潮“危险性分析”的到来,对人类健康和整个食物链安全的关注也上升到一个新的高度。众多国际组织和区域性组织都加入了关心食品安全的行列,甚至制定了有关食品安全监管的多边协定,WHO也提出了“全球食品安全战略草案”(D.Banati)。

二、日本食品贸易中的安全规制

1.相互协调的食品贸易安全规制机构

日本负责食品安全的监管部门主要有日本食品安全委员会、厚生劳动省、农林水产省。日本法律明确规定食品安全的管理部门是农林水产省和厚生劳动省。

食品安全委员会(FSc)于2003年7月设立,主要承担食品安全风险评估,对风险管理部门(厚生劳动省、农林水产省等)进行政策指导与监督以及进行风险信息沟通与公开,直属于内阁。食品安全委员会设事务局,负责日常工作。食品安全委员会有权独立对食品添加剂、农药、肥料、食品容器,以及包括转基因食品和保健食品等在内的所有食品的安全性进行科学分析、检验,并指导农林水产省和厚生劳动省的有关部门采取必要的安全对策。

农林水产省成立消费安全局,主要负责:国内生鲜农产品及其粗加工产品在生产环节的质量安全管理;农药、兽药、化肥、饲料等农业投入品在生产、销售与使用环节的监管;进口动植物检疫;国产和进口粮食的质量安全性检查;国内农产品品质、认证和标识的监管;农产品加工环节中推广“危害分析与关键控制点”(HACCP)方法;流通环节中批发市场、屠宰场的设施建设;农产品质量安全信息的搜集、沟通等。

厚生劳动省将原医药局、食品保健部分别改组为医药食品局、食品安全部。增设食品药品健康影响对策官、食品风险信息官等职位,增设进口食品安全对策室,加强进口食品安全管理。食品安全部主要负责:食品在加工和流通环节的质量安全监管;制定食品中农药、兽药最高残留限量标准和加工食品卫生安全标准;对进口农产品和食品的安全检查;核准食品加工企业的经营许可;食物中毒事件的调查处理以及食品安全信息等。

农林水产省和厚生劳动省在职能上既有分工,也有合作,各有侧重。农林水产省主要负责生鲜农产品及其粗加工产品的安全性,侧重在这些农产品的生产和加工阶段;厚生劳动省负责其他食品及进口食品的安全性,侧重在这些食品的进口和流通阶段。农药、兽药残留限量标准则由两个部门共同制定。

2.具有较强时效性、完善的食品安全规制的法律体系

日本《食品卫生法》于1948年颁布并经过多次修订,仅1995年以来就修改了10多次,最近一次修改在2003年5月。为了进一步强调食品安全,2003年日本颁布了《食品安全基本法》,为日本的食品安全行政制度提供了基本的原则和要素。一是确保食品安全:以消费者至上为原则,以科学方法进行风险评估,实现从农场到餐桌全程质量监控。二是地方政府和消费者共同参与。三是协调政策原则:在决定政策之前进行风险评估,重点进行必要的危害管理和预防,并实施风险信息交流。四是建立食品安全委员会,负责进行风险评估,并向风险管理部门也就是农林水产省和厚生劳动省提供科学建议。“消费者至上”、“科学的风险评估”和“从农场到餐桌全程监控”以及加强风险管理的食品安全理念都得到确立。《食品安全基本法》要求在国内和从国外进口的食品供应链的每一环节确保食品安全并允许预防性进口禁运,使日本政府在元法要求出口国遵循和日本国内相同的强制性检验程序时可根据该法对进口产品进行更严格的审查,从而从制度上保证食品安全。日本的食品安全规制法规除了两大基本法之外,还包括了《农药取缔法》、《肥料取缔法》、《家禽传染病预防法》、《牧场法》、《土壤污染防止法》、《农林产品品质规格和正确标识法》、《植物防疫法》、《家畜传染病防治法》、《农药管理法》、《持续农业法》、《改正肥料取缔法》、《饲料添加剂安全管理法》、《转基因食品标识法》、《包装容器法》、农林规格制度(JapaneseAgricuturalStandards,JAS)等。随着国内对有机农产品需求的扩大,日本于1992年颁布了“有机农产品及特别栽培农产品标志标准”和“有机农产品生产管理要领”,并于2000年制定、2001年4月1日正式实施了“日本有机食品生产标准”。《农林物资规格化和质量表示标准法规》(JAS)还规定,转基因食品必须加以标识,经过指定机构认证方能加贴有机食品标识。

3.严格的检验、检疫制度及标准

日本农林水产省和厚生劳动省有完善的农产品质量安全检测监督体系,全国48个道府(县)、市共设有58个食品质量检测机构,负责农产品和食品的监测、鉴定和评估,以及各级政府委托的市场准入和市场监督检验。

日本厚生劳动省颁布了2000多个农产品质量标准和1000多个农药残留标准。农林水产省颁布了351种农产品品质规格。日本希望通过严格的针对进口食品的检验检疫制度,确保进口食品安全。根据新的《食品卫生法》修正案,日本于2006年5月起正式实施《食品残留农业化学品肯定列表制度》,禁止含有未设定最大残留限量标准的农业化学品且其含量超过统一标准的食品的流通。2004年8月公布的《肯定列表》在原来仅制定残留标准的350种农药基础上修改和制定了669种农药、添加剂和动物用药残留标准,基本覆盖了世界上实际使用的700多种农兽药,对没有制定残留限量标准的农兽药设定的“统一标准”数值非常低,仅为O.01PPM,实际上就是禁止尚未制定农兽药残留限量标准的食品进入日本。

综上所述,基于技术性贸易壁垒的日本食品安全规制具有以下特点:

首先,贯彻遵循了消费者至上的基本原则,实施各部门协调一致的食品安全管理策略。食品安全规制部门均把消费者健康保护和利益放在最高地位;严格贯彻产品责任原则,要求食品生产与加工企业对食品安全负有全部责任;在保护健康和保障安全中应用预防性原则(在不确定风险的情况下尽可能采取预防性措施);食品安全管理高效、透明、可靠。强调法规管理机构的一致性、风险管理与风险评估的一致性、利益相关者责任的一致性、各部门协作的一致性、公众的积极参与性。

其次,日本通过比较完善的时效性很强的严格食品安全规制法律体系和标准体系,构筑了保证食品安全规制体系和食品贸易的有效的技术性贸易壁垒。日本的食品法规种类很多,涉及了与食品安全有关的所有领域,与法规相关的标准也很多。日本还制定了大量的涉及食品安全的专业、专门法律法规和相关配套规章及实施标准、检验检测标准等。通过完善的法律法规和配套质量标准等,从方方面面完善了食品安全规制法律体系。食品安全法规体系的范围包括了农作物的生态环境质量、生长、采收及加工的全过程。整个法规体系形成一条主线,多个分支,脉络清晰的框架。各法规间相互补充,系统全面。

第三,日本特别强调从农田到餐桌的连续管理,注重从源头上控制食品安全,强调预防规制,抓住了保证食品安全的关键环节。日本和其他西方国家一样强调所有食品安全政策的制定必须建立在风险分析的基础之上,即运用风险评估、风险管理和风险交流3种模式。风险评估的基础是信息的收集、分析和利用,包括食品或饲料的各个环节得到的数据、疾病监督网络、流行病学调查和实验分析等;科学地协调与控制是风险管理的核心,风险交流也需要科学信息的广泛产生和及时获取,这些都体现了法规的科学性。日本将食品安全的行政管理法规和技术要求相融合,对于政府管理具有更强的可操作性,使规制机构责权明确,可依法顺利开展各项工作。日本的《食品卫生法》仅1995年以来就修改了10多次,最近一次修改在2003年5月,可见其效率之高。

此外,日本的食品安全规制还重视食品溯源制度为基础的风险管理、食品与营养标签制度、信息制度,重视信息技术的积极利用,食品安全规制的社会监督,加强信息的供给,确保食品安全规制透明、公正、公开,使规制合理、合法、可信、可靠,使食品安全规制切实达到了保护消费者食用安全,起到了良好的规制效果。

三、日本食品贸易规制经验对我国食品安全规制改革的启示

首先,统一协调的食品安全规制机构和完善的监督管理机制,有效降低制度成本,提高效率,成为确保食品安全的基本保证。西方发达国家食品安全规制的一种重要经验就是由统一协调的国家食品安全规制机构对食品安全进行规制,同时辅之以完善的监督机制,并加强规制规制者。日本尽管由农林水产省和厚生劳动省两个机构负责食品安全规制,后来增加了食品安全委员会,主要承担食品安全风险评估。部门之间综合协调统一,保证了规制高效、经济。借鉴日本等西方发达国家或地区的经验,我国宜组建一个跨部委的国家食品安全规制机构来统一组织、协调、管理与食品安全有关的各项工作。在这一机构的领导和组织下,以风险评估为科学基础,以检测技术为评价和控制食品污染的主要手段,建立快速预警应急系统,完善食品安全标准,建立完善的食品安全监管体系,涵盖食品安全从农田到餐桌的各个方面。

其次。建立、完善一个以食品安全核心法律为基础、相关配套法律法规为补充的食品安全法规新框架,形成了良好的制度框架,有效减少了契约不完备可能造成的败德行为和逆反选择行为的发生。控制源头是保证食品质量与安全的关键。借鉴发达国家食品安全规制的经验,可以对食品从农田到餐桌的全过程实行管理为主线,重新通盘考虑我国食品安全法律法规体系的建设和调整,使法规覆盖整个食品链的全过程。核心法律的建立将会对我国食品控制措施的效能产生深远影响。还要加快相关配套法规体系更新和完善的速度,逐步与国际接轨。我国要根据食品安全形势的变化,加快法规体系更新和完善的速度,防止在发生全球性食品安全事件时形成被动局面。我国还要考虑食品安全立法的国际化。在法律框架下,保证依法规制。

再次,建立和完善预防性的规制体系,加强风险管理。西方国家和地区食品安全规制普遍强调预防性原则,普遍建立以HACCP为基础的预防性的危害与关键点控制体系,加强风险预测与风险管理,同时加强风险交流,将可能发生的食品安全风险降至极致。这样规制成本将大幅度下降,即使发生食品安全事件,对社会的危害也是最低程度的。

篇3

一直以来,安全生产是企业经营发展的最重要基础。企业的安全文化,关乎着企业自身的生产经营,从而具有着十分重要的作用。企业完善的安全生产管理体系,是其管理手段和理念,更是一种企业文化的渗透和影响。

1.凝聚员工共识和力量作用

从企业安全文化的定义中可以理解到安全文化代表的是大多数人所认可的态度和价值观,同时也被大多数人共同遵守,是人们在生产经营活动中奉行的共同的价值观和行为准则。同时,这种共同的价值观把企业员工的自我价值实现与企业的发展凝聚在一起,保证了员工实现自我价值和企业的发展的一致性,从而使企业员工自觉的为企业的发展出谋划策、奉献力量。

2.约束功能

一般而言,企业安全文化教育可以为员工遵守安全规章起到一定的约束作用,这是因为员工在接受安全文化宣传和教育后,自身就会对企业安全有了一种更深层次的体会和了解,在日常生产运营过程中会下意识的对企业安全留心和关注。换而言之,企业安全文化能够对企业的安全发展起到一定的约束作用。然而这一种约束作用,是需要企业花精力去培养的。首先,员工的安全价值观应与企业保持高度一致,从而形成目标一致的行为模式。其次,企业需要从硬性规定方面加强安全文化对员工的约束作用。最后,对安全文化的约束,企业还应密切关注员工的心理状况和心理需求。

3.辐射传导作用

由于企业并不是一个封闭式的集体,而是一个开放性的系统。因此,企业安全文化可以多种与外界沟通交流的方式予以辐射或传播出去,从而将企业本身所提倡的安全观念、安全管理行为以及安全管理模式等扩散到外界,这样一来,如果企业拥有着良好的安全文化,通过彼此之间的辐射和传导,这一安全文化将可能被其他单位或部门吸纳并予以运用,从而间接为社会整体的安全文化建设提供了一定的帮助和促进意义。

二、企业安全文化评价体系的构建

笔者认为,在建立企业安全文化评价体系时应当从宏观和微观两个方面来体现。宏观方面主要评价企业的安全文化建设,而微观方面则主要考察企业安全的氛围状况。

1.宏观方面的安全文化对企业安全文化的宏观评价,可以从以下几个方面着手:首先要关注企业的安全价值观念、安全理念和态度等意识方面的内容,具体外向化的表现为企业所推行的安全政策、制定的安全目标等等,其次还应关注企业对安全管理的奖惩措施以及对员工和社会公众的安全承诺等等,这可以从企业所公开的安全生产资料以及所颁布的相关安全制度等方面进行考察和评价等等。

2.微观方面的安全氛围

除了需要对企业安全文化宏观方面的评价,另一个重要的评价内容在于企业安全氛围的微观考察,并且这种微观层面的安全氛围考察是涉及到企业每个经营管理环节。首先,从组织结构来说,企业安全氛围的构建必须要从组织保障、制度保障等方面着手,以硬性的制度建设来巩固安全文化的形成和培育。其次,安全氛围还涉及到企业生产经营的具体环节,包括资金安全管理、工程建设安全管理、生产安全管理等等。更为重要的是,微观方面的安全氛围必然还涉及到企业的个体。对员工而言,企业安全氛围直接关系到其自身的安全与利益问题,企业应注意员工的心理状况,强化员工对安全风险的认识和了解,增强员工对安全隐患的敏感度等等。

3.保持中立立场评价企业安全文化体系

在某种程度上来说,企业安全文化体系的建设会涉及到各个利益相关者。为了使这一评价体系不受到各方利益的左右和影响,企业在评价安全文化体系建设时,应保持必要的中立立场。然而,现实生活中,如果由企业内部部门或相关人员组织对安全文化体系进行评价,难免会受到一定因素的影响和制约。对此,笔者认为,聘请第三方中介机构或专业机构来对企业安全文化体系进行评价,无疑是保持中立立场的最好办法。第三方工作人员在获取评价资料时应尽量避免与企业发生利益关系,能够至始至终以客观公正的态度完成企业安全文化体系的评价工作。

三、加强企业安全文化评价体系建设的对策

1.坚持安全文化常态化评价

首先,定期组织安全文化评价。建议以季度为单位,每季度对企业安全文化建设情况进行一次评价,每年对企业进行一次全面综合评价,在评价过程中不断总结完善评价体系。其次,定期组织安全文化建设相关人员进行专项培训,提高安全工作人员业务素质和评价水平,通过专业学习,促进安全文化评价体系在实践中充分发挥作用。再者,定期组织同行业内企业安全文化评价交流活动,企业所处内外部环境具有极大的相似性,可以通过同行业内的横向对比,取长补短,促进安全文化评价体系发展成熟。

2.加强安全文化评价的舆论引导作用

安全文化评价体系的良性循环发展,离不开正确的舆论和宣传导向,在强化安全投入的基础上,同样不能忽略了企业安全宣传。首先,建立专门的对外公关部门,具体负责企业形象的维护和应急公关工作,以促进企业和地方和谐发展,企业和居民互惠共赢。其次,企业可以定期举办企业和地方政府之间,企业和相关企业之间,企业和附近居民之间的交流座谈会,通过印发宣传材料,树立一个具有责任感的,有担当的正面的企业形象。

3.开拓创新

篇4

论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。

二、我国信息化中的信息安全问题

近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。超级秘书网

2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。

5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。

篇5

研究结果与分析

1中学生对安全教育的认知情况分析

从表2可以看出,92.81%的中学生认为安全教育很重要,但还有7.19%的中学生认为安全教育不重要。反应出中学生对安全教育知识和技能有一定的求知欲,希望了解和掌握应急自救常识和逃生技巧。在对艾滋病的传播途径这一问题的认识上,75.51%的中学生知道艾滋病是通过性传播、血液传播、母婴传播来的,3.77%的中学生不知道艾滋病的传播途径,还有相当一部分学生认为握手、进餐、拥抱、共用马桶等一般的接触会传染艾滋病。各级学校应将安全教育纳入教学内容,并有一定的课时保证,充分利用学校的各种媒体和载体广泛宣传安全知识。

在对火灾如何逃生的调查中,86.64%的中学生知道应朝安全出口的方向逃生,但仍有13.35%的中学生做出不恰当的选择。在对地震时首先应保护的部位调查中,91.27%的中学生认为首先应保护头部,与2008年发生的汶川大地震后学校、家庭、社会齐抓共管宣传普及地震逃生知识有关。但还有分别3.77%、2.57%、2.40%的中学生认为首先应保护双手、胸部和双脚。因为绝大部分中学生并没有相关经历和实际经验,调查到的是行为知识,而非实际的行为和能力。尽管大多数学生对一些应激知识和技能的认识是正面的、积极的,但还需加强在实践中准确运用的演练。

2中学生对学校校园安全的认知情况分析

校园安全问题已成为社会各界关注的热点问题。保护好每一个学生,使发生在他们身上的意外事故减少到最低限度,已成为中小学教育和管理的重要内容。从表3可以看出,中学生认为打架斗殴居校园安全隐患之首,其次是违章用电,学生私藏凶器和外出上网也会引起一系列安全问题。调查结果还显示,8.05%的中学生认为所在学校(包括宿舍、教室、食堂等)存在很大的安全隐患,67.98%的中学生认为存在一点安全隐患;16.44%的中学生认为学校内和学校周围环境非常安全,但有8.39%的中学生认为很不安全;49.83%的学生知道学校曾出现过安全事故。因此健全学校安全保卫制度,加强学生管理与教育,加强检查消除火灾隐患就显得尤为重要了。

3中学生对学校体育中实施安全教育的认知情况分析

3.1中学生在体育课中接受安全教育情况在被调查的584名中学生中,80.31%的中学生在学校体育中接受过安全教育,19.69%的中学生坦言在学校体育中没有接受过安全教育(表4)。传统的体育教学注重强调对学生进行运动技能培养,而对人心理、行为价值观、情愿态度、卫生保健等知识的培养不太重视,教师在课堂中过分强调学生的体育成绩,忽视安全知识方面的教育,严重阻碍了学生综合素质的全面发展。由于学校体育教学有其独特的功能与特点:教学直观性强、示范性和可操作性强、学生接触范围广、开放性大。在体育课教学中进行安全教育,让学生了解基本的自我防护、救护知识、方法与技巧等,在遇到突发事件或灾害时有应急能力和心理承受能力,避免灾难的发生,这是落实学校教育要树立“健康第一”的教育指导思想的一个具体措施。

3.2中学生认识的学校体育中安全教育的内容表5显示,学校体育中经常进行安全教育的内容排名前5位的依次是地震逃生(43.84%),消防安全(41.95%),交通安全(38.53%),运动损伤的预防、扭伤的处理(36.47%)、网络安全(29.11%)。而对自卫防身术、野外生存、心肺复苏术等不经常进行。除了野外生存技能少于一半的学生不会处理应对外,其他诸如消防安全、交通安全、地震逃生、运动创伤的简单处理和包扎以及运动损伤的预防和扭伤等均有超过70%的中学生表示会处理。但仍反映出学校体育比较强调安全意识的灌输,忽视了安全教育的技能训练,体育课程也根本无法包括安全教育的所有内容。

3.3中学生认识的学校体育与安全教育相结合的途径安全教育内容进入体育课程,必须通过一定的途径。表6显示,中学生认为可通过课外体育活动、体育游戏、体育课和课间操/大课间时进行安全知识讲座与安全演习等安全教育。在课余活动时间开设拓展课程的训练将有利于学生身体素质、心理素质、创新素质和社会适应能力的提高、对突发事件有积极应对的心理准备和身体素质能力。

在体育游戏中组织和开展了小型的安全竞赛活动,将前滚翻运动、跳山羊、跨栏跑等应用在障碍跑的比赛游戏中,使学生们在游戏中掌握了安全知识和技能,同时体会到游戏的乐趣。在学校体育课程内容也可融入安全教育的理论知识和操作演习,教会学生掌握大量的应急逃生自救技巧及在灾难中的应急救人方法。课间操/大课间时间可以进行安全演习,将安全教育的实践内容通过变相的设置(比如规则、器材、场地等的变化),使之成为课间操的拓展内容。只要体育教师探索开发与安全教育有关的体育课程资源,一定可以找到好的结合途径,以实现安全教育的内容与体育课程进行整合。

3.4中学生认识的影响学校体育中进行安全教育的原因从表7可以看出,中学生认为影响学校体育中进行安全教育的原因排列依次是学生没有兴趣、教师没法去实际操作、学校对体育的要求是不受伤就行、难以体现体育课程的身体练习特征、学校场地器材设施不能满足安全教育、体育教师不重视安全教育以及体育教师不会进行安全教育等方面。可以反映出以下问题:首先教师应促进学生对安全教育的间接兴趣,引导他们认识应急能力对自身生命安全健康的重要性;其次如果学校领导重视体育课程中的安全教育,那么体育教师自然对体育课程的安全教育也相应的重视;最后一些体育教师不进行安全教育的,最主要的原因是学校对体育的要求是不受伤就行,以及体育课程无法承担安全教育的重任,致使体育教师没有在体育课程中实施安全教育。这里面有学校重视程度的问题,也有体育教师自身的原因。

结论与建议

(1)新疆中学生对安全教育重要性的认识总体上良好,对一些应激知识和技能的认识是正面的、积极的,但仍有一部分中学生不了解安全教育,缺乏安全教育的理论知识和实践技能。因此学校可多角度、全方位地做好安全教育宣传,如报告会、专题讲座、知识竞赛、体育图片展、辩论会、黑板报、校广播站、校园网络等,在学生头脑中形成“安全重要”的意识,使学生深刻认识其重要性,了解安全教育的相关知识,加强法制观念、安全防范能力和自我保护能力。

篇6

关键词:电子商务;身份认证;防火墙

一、有关电子商务的安全性要求

1.对电子商务活动安全性的要求:

(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。

(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。

(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。

(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。

2.电子商务的主要安全要素

(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

二、电子商务采用的主要安全技术

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

2.通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论/文/网LunWenNet/Com]

3.应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。

4.用户的认证管理

(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。

(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。

三、电子商务安全需要进一步完善的配套措施

电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:

(1)突破关键技术受制于人的瓶颈。

(2)我国应尽快对电子商务的有关细则进行立法。

(3)大力开发大型商务网站,发展与之相配套的物流公司。

(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。

(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。

(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。[论\文\网LunWenNet\Com]

参考文献:

[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.

[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).

[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003(2).

[4]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(2).

[5]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005(1).

[6]张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).

[7]赵乃真.电子商务技术与应用[M].北京:中国铁道出版社,2003.

篇7

网络安全态势感知是针对网络安全隐患提出的新型技术,其研究历史也是由来已久。20世纪90年代,网络安全态势感知是由Bass等网络信息专家首次提出,通过为了深入研究这项技术,借鉴了空中交通监管态势感知,并其中的理论知识和相关技术运用到网络网络安全态势安全态势感知体系中,并为其发展创造了良好的开端。进入到21世纪初期,网络安全态势感知引入了SILK系统,其作用规模性的监测对网路安全态势感知。同时,很多网络信息计算方面的专家对以后网络安全的发展方向作出了预测,使网络安全隐患处在了一个可控的范围内。根据目前我国网络安全实际情况,关于网络安全态势感知体系正做着积极地研究,但其实际应用的普及度还亟待提高。

2网络安全态势感知体系结构

(1)体系主要技术

网络安全态势感知对网络安全信息的管理有着很好的效果,其效果的实现是结合了多种网络网信息安全技术,比如防火墙、杀毒软件、入侵检测系统等技术,其作用主要表现在对网络安全的实时检测和快速预警。通过实时检测,网络安全态势感知可以对正在运行的网路安全情况进行相应的评估,同时也可以预测网络以后一定时间的变化趋势。

(2)体系组成部分

网络安全态势感知体系可以划分成四个部分。第一部分是特征提取,该层的主要作用是通过防火墙、入侵检测系统、防病毒、流控、日志审计等系统整理并删选网络系统中众多的数据信息,然后从中提取系统所需要的网络安全态势信息;第二部分是安全评估,该部分属于网络安全态势感知体系的核心部分,其作用是分析第一部分所提出的信息,然后结合体系中其他网络安全技术(防火墙、入侵检测系统等)评估网络信息安全的运行状况,给出评估模型、漏洞扫描和威胁评估;第三个部分就是态势感知,这一部分的作用是识别网络安全评估的信息和信息源,然后明确双方之间存在的联系,同时根据评估的结果形成安全态势图,借此来确定网络安全受威胁的程度,并直观反映出网络安全实时状况和发展趋势的可能性;最后一部分是预警系统,这个部分是结合安全态势图,对网络运行中可能受到的安全威胁进行快速的预警,方便安全管理人员可以及时的检查网络安全的运行状况,然后通过针对性的处理措施解决网络安全隐患。

3网络安全态势感知关键技术

(1)数据挖掘技术

随着网络信息技术的成熟,网络中的信息量也在不断增多,同时又需要对这些数据进行快速的分析。针对这种问题,数据挖掘技术就应运而生,其目的是在大量的安全态势信息中找出有价值且能使用的数据模式,以便检测不确定的攻击因素和自动创建检测模型。数据挖掘广义上理解就是挖掘网络中众多的信息,但挖掘出来的信息是人们所需要的,而按照专业人士的解释,数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的,但又有潜在有用的并且最终可理解的信息和知识的非平凡过程。其中提出的信息和知识由可以转换为概念、模式、规则、规律等形式。在知识的发现中数据挖掘是非常重要的环节,目前这项技术开始逐渐进入到网络安全领域,并与入侵检测系统进行了结合,其中运用的分析方法主要包含4种,即关联分析、聚类分析、分类分析以及序列模式分析。关联分析的作用是挖掘各种数据存在的某种联系,就是通过给定的数据,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信的关联规则。序列模式分析与关联分析类似,但其分析更多的是数据之间的前后联系,即使通过给定的数据,找出最大序列,而这个序列必须是用户指定,且属于最小支持度。分类分析对集中的数据进行分析和归类,并根据数据的类别分别设置不同的分析模型,然后再分类其它数据库的数据或者信息记录,一般用的比较多的模型主要包括神经网络模型、贝叶斯分类模型和决策树模型。聚类分析与分类分析都是属于数据的分类,但两者的区别在于前者不需要对类进行提前定义,其分类是不确定的。具体细分下来聚类分析法又包括以密度为基础的分类、模糊聚类、动态聚类。关联分析与序列分析大多用在模式的发展以及特征的构建,分类分析与聚类分析大多用在模型构建完成之后的检测环节。现阶段,虽然数据挖掘已应用到网络安全领域,也具备较好的发展趋势,但使用过程中还是有一些问题需要解决。比如,获得数据挖掘需要的数据途径较少,数据挖掘的信息量过大,效率较低,费时又费力,难以实现实时性。

(2)信息融合技术

信息融合技术也叫做数据融合技术,或者是多传感器数据融合,它是处理多源数据信息的重要工具和方法,其作用的原理是将各种数据源的数据结合在一起然后再进行形式化的描述。就信息论而言,相比于单源的数据信息,多源数据信息在提供信息量具有更好的优势。信息融合的概念在很早以前就提出,而由于近些年高级处理技术和高效处理硬件的应用,信息的实时融和逐渐成为网络信息技术领域研究的新趋势,其研究的重点就是对海量的多源信息的处理。正是基于这种研究,信息融合技术的理论研究以及实际应用取得显著的效果。就信息融合的标准而言,美国数据融合专家组成立之初就进行了相应的工作,且创建了数据融合过程的通用模型,也就是JDL模型,该模型是目前数据融合领域常用的概念模型。这个模型主要有四个关于数据融合处理的过程,即目标提取、态势提取、威胁提取和过程提取。这些过程在划分上并不是根据事件的处理流程,每个过程也并没有规定的处理顺序,实际应用的时候,这些过程通常是处于并行处理的状态。目标提取就是利用各种观测设备,将不同的观测数据进行收集,然后把这些数据联合在一起作为描述目标的信息,进而形成目标趋势,同时显示该目标的各种属性,如类型、位置和状态等。态势提取就是根据感知态势图的结果将目标进行联系,进而形成态势评估,或者将目标评估进行联系。威胁提取就是根据态势评估的结果,将有可能存在威胁的建立威胁评估,或者将这些结果与已有的威胁进行联系。过程提取就是明确怎样增强上述信息融合过程的评估能力,以及怎样利用传感器的控制获得最重要的数据,最后得出最大限度提高网络安全评估的能力。

(3)信息可视化技术

信息可视化技术就是利用计算机的图像处理技术,把数据信息变为图像信息,使其能够以图形或者图像的方式显示在屏幕上,同时利用交互式技术实现网络信息的处理。在计算技术不断发展的条件下,信息可视化的的研究也得到了不断的开拓。目前信息可视化研究的领域不再局限于科学计算数据的研究,工程数据以及测量数据同样也实现了信息的可视化。利用信息可视化技术,可以有效地得知隐藏在数据信息中的规律,使网路信息的处理能获得可靠的依据。就计算机安全而言,目前网络安全设备在显示处理信息结果上,只是通过简单的文字描述或者图表形式,而其中的关键信息常常很难被提取出来。网络安全态势感知体系的主要作用就是通过融合和分类多源信息数据,使网络安全里人员在进行决策和采取措施时能及时和找准切入点。这就需要将态势感知最后得出的结果用可视化的形式显示计算机系统中,充分发挥人类视觉中感知和处理图像的优势,从而保证网络的安全状态能得到有效地监控以及预测。故而,作为网络安全态势感知体系的关键技术,可视化技术的发展以及实际应用有了显著的效果,对于网络安全态势感知中的攻击威胁和流量信息发挥重要的作用。同时,可视化技术的主要作用就是将态势感知的结果以人们便于认识的形式呈现出来,那么就需要考虑到态势信息的及时性和直观性,最后显示的形式不能太过复杂。此外,未来网络安全态势感知体系中可视化技术,还需要解决怎样把具有攻击威胁的信息与网络流量信息进行一定的联系,且为了加强显示信息的时效性和规模性,还需要制定相关的标准,保证安全态势的显示能规范统一。

4金税工程网络安全态势感知模型实例分析

对金税工程网络安全需求为牵引,通过数据挖掘深入感知IT资源(采集的要素信息),构建出金税工程网络安全态势感知模型。模型分解可分解为要素信息采集、事件归一化、事件预处理、态势评估、业务评估、预警与响应、流程处理、用户接口(态势可视化)、历史数据分析九个部分。

(1)要素信息采集:

信息采集对象包括资产、拓扑、弱点、性能、事件、日志等。

(2)事件归一化:

对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展。

(3)事件预处理:

也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。

(4)态势评估:

包括关联分析、态势分析、态势评价,核心是事件关联分析。关联分析就是要使用采用数据融合(Da⁃taFusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。

(5)业务评估:

包括业务风险评估和业务影响评估,还包括业务合规审计。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。

(6)预警与响应:

态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。

(7)流程处理:

主要是指按照运维流程进行风险管理的过程。安全管理体系中,该功能是由独立的运维管理系统担当。

(8)用户接口(态势可视化):

实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。

(9)历史数据分析:

这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。在安全管理系统中,除了具备态势感知能力,还具备历史数据挖掘能力。

5结束语

篇8

论文摘要:在建筑施工过程中却隐藏着许多可能导致事故发生的危险因素。准确无误地找出导致事故发生的危险因素(导致事故发生的原因),要先了解与控制可能导致事故发生的危险因素是必要且关键的,对保证建筑工程的施工安全(事故不发生)是极其重要的。 

一、 安全施工原则 

危险因素预防控制是一项复杂的系统工程,涉及整个建设施工过程。在控制过程中,要求对危险因素预防控制突出重点,针对重大危险因素和具有重要影响的关键因素,进行重点控制。 

1、危险因素预防控制的一般原则 ①立足消除和降低危险,构建系统安全,落实个人防护;②预防为主,防控结合,预案与应急措施联动机制;③动态跟踪,重点控制,应变策略。对极不可承受的危险要禁止作业,对重大危险要立即整改,对中度危险要限期整改,对轻度危险要加强监控和保护,对尚可忽略的危险,按照常规进行管理。 

危险因素预防控制的一般原则告诉我们,危险因素控制措施依次包括消除危险因素、降低和限制危险、使用个体防护装置等。在选择危险控制措施时,优先选用图中底层的措施,只有下一层的措施不能使用,或受到技术、经济和管理等实际因素制约时,才选用上一层措施。 

2 、危险因素预防控制的事故预防原则 。事故预防可以分为事故发生前的预防及事故发生时的防止和减少事故损失的预防。这是一种发现、识别各种危险因素及其危险性并对其进行消除、控制的手段和措施。其基本目标是采取措施约束、限制危险因素的产生、发展和作用。一般按照以下优先次序进行选择:根除危险因素;限制和减少危险因素;隔离、屏蔽防止危险因素产生连锁作用;采用故障安全措施;减少故障及失误;安全规程;矫正行动。 

3 、应急安全技术和管理措施 。当事故发生时,必须及时采取应急安全技术和管理措施,最大限度地减少人员伤亡和事故损失,选择安全技术和管理措施的原则一般按照以下优先次序进行选择:隔离危险因素;薄弱环节防控;个体防护措施;避难和救生行为;救援行动。 

4、建筑施工危险因素预防控制措施的一般方法。 制定安全目标、指标、组建机构、落实人员职责;制定管理方案,包括管理措施和技术措施等;制定程序文件、作业指导书、操作规程、作业规范、管理制度等;加强监督、检查、测量及测试;对危险作业、危险设备、危险场所,加强运行控制。 

二、 施工安全控制措施 

建筑工程施工安全控制管理对象是整个施工过程的具体危险因素,施工过程的危险因素包括技术工艺因素、材料因素、机械设备因素、环境因素、管理因素等五大类因素,每种因素都包含一定数量的具体危险因素。根据建筑工程的施工过程危险因素预防控制工作可分为:施工准备阶段的安全方案制定和初始评审及相关准备工作;工程实体施工全过程(基础施工阶段、主体施工阶段、装饰安装阶段)的危险因素识别分析、预报和定期评价分析、根据评价分析结果采取相应的控制措施;发生事故后的应急管理和紧急救援等不同阶段的内容。 

1 、材料因素控制措施 ①建立安全物质材料和建筑实体材料招投标制度;②建立安全物质材料和建筑实体材料进场复检制度,确保使用的材料符合国家相关质量安全标准。 

2、 机械设备因素控制措施 ①选用安全性能较高的机械设备;②指定专人操作危险性较大的机械设备,特殊设备操作人员持证上岗;③定期检修保养机械设备、及时更换零部件,确保机械设备安全正常运转。

3 、技术工艺因素控制措施 

1)在施工组织设计中进行专项安全施工方案设计、采用成熟的施工工艺标准和安全技术标准等。专项安全施工方案应包括内容有:临时用电安全方案、基坑护坡支护安全方案、脚手架搭拆安全方案、模板支撑体系安全设计方案、高处作业临边洞口安全防护方案、建筑构配件吊装安全方案。 

2) 使岗位安全化、操作标准化,根据各个工种所涉及的危险因素和技术工艺特征,编制科学合理的安全操作规程、安全作业指导书,通过专门的培训教育或岗前的技术交底,使岗位安全操作规程和作业指导书,真正落到实处。施工企业对岗位安全操作规程和作业指导书,要根据施工进度和实际状况进行定期检查和修正。 

4、 环境因素控制措施 ①根据工程项目所在地的地质、地形、气象条件、周围环境,科学合理地布置施工现场,保证施工现场安全、整洁、有序;②指定专人接收天气预报,及时掌握天气变化趋势,以便采取对策;③根据工程项目施工组织设计和专项安全施工方案设计的平面布置要求,指定专人对施工现场进行安全性管理。 

5 、管理因素控制措施 

1)加强教育培训,增强安全意识和自我保护能力。增强各级领导及相关作业人员的安全意识、安全知识和操作技能的掌握程度,对涉及危险因素管理的相关领导和人员进行定期专门的安全教育和培训。培训内容包括:危险因素管理的目标和意义;施工项目危险因素的辨识和评价;危险因素触发条件及控制措施;危险因素管理的日常操作要求和事故应急处理措施等。 

2) 建立健全各项危险因素管理的规章制度。在对危险因素进分析的基础上,有针对性地建立健全各项危险管理的规章制度。其中包括安全生产责任制、重大危险因素控制实施细则、安全操作规程、培训制度、交替班制度、检查制度、信息反馈制度、危险作业审批制度、异常情况紧急措施和安全考核奖惩制度等各项管理制度。 

3 )明确安全责任,定期安全检查。对施工中的各个系统层面的危险因素管理确定各级负责人,并明确他们各自应负的具体责任,特别要明确各级单位对归属区域的危险因素定期检查的责任。包括作业人员的每天自查、职能部门定期检查、企业领导的不定期督察等。 

6 、应急管理措施 

虽然我们对施工过程各阶段的危险因素进行了有效的控制,但是,具体到每个工程的实际情况,危险因素的状态和产生的作用是有很大不同的,这就决定了施工危险因素的复杂性。由于种种原因,不可能完全避免安全事故的发生,因此当事故发生时,应急救援是必不可少的。编制安全事故的应急救援预案是做好应急救援工作的前提。建筑施工的应急管理工作一般应按如下步骤展开进行:①根据建筑工程施工常见的六类安全事故结合工程具体情况编制应急预案;②落实应急人员,建立应急组织;③储备应急物质,布置应急设备;④组织员工进行应急培训和应急演练。 

参考文献: 

篇9

一、网上信息安全的法律保护

随着互联网技术的发展,大量的信息在互联网上进行传播,不可避免地会侵犯他人的合法权益,而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。从这个意义上来说,一个人可以不上网,但是他的合法权益被他人通过互联网侵犯却是有可能的,因此,加强与互联网相关的立法建设,对于全体国民都是非常重要的。

此外,要加强信息系统安全研究、建设的统一管理,使之纳入有序化、规范化、法制化的轨道上。当前我国的信息与网络安全研究处在忙于封堵现有实际信息系统安全漏洞的阶段。要想从根本上解决问题,应该在国家有关主管部门组织下,从基础研究入手,为我国信息与网络安全构筑自主、创新、完整的理论体系和基础构件的支撑,推动我国信息安全产业的发展。

互联网世界是人类现实世界的延伸,是对现实社会的虚拟,因此,现实社会中大多数的法律条款还是适用于互联网的。互联网是信息传播的一种工具,从这个意义上讲,互联网只不过是一种新兴的媒体,各种法律在互联网上同样适用,有关互联网的运行规则应和其他媒体一样都必须遵守国家法律的规定,任何违法行为都要受到法制的制裁。随着互联网技术的发展,为了规范与互联网相关的行为,有关部门已经制定了一些法律法规,互联网世界已经有了初步的“游戏规则”。

互联网一贯以信息自由著称,据此有人认为实施有关互联网的立法会限制网络的发展,这种观点是错误的。在互联网这个虚拟的世界里,如同现实世界一样,没有绝对自由,如果网络失去规则,那么自由也就无从说起,这一点已经被无数的事实所证明。最近,针对网上日益猖撅的不法行为,许多国家都已经着手加强网上立法和打击不法行为的力度,中国也应该加强这方面的工作,只有这样,才能够给广大网民提供一个更加自由的空间。 二、网上信息安全的技术保护

在今天的信息时代,确保防止信息的泄漏,并保证其整体完整性和真实性是人们所迫切需要的,除了制订相应的法律来保护外,还应采用技术手段加以控制。

随着各种管理工具功能的丰富和性能的增强,在网络高手眼里,网络几乎是一个透明的世界。如微软的SMS等已经能够提供非常强的技术实现手段,能对网上用户的各种使用情况进行详细的监测和控制,从而使网络管理员拥有至高无上的权利。再如,一些网络设备提供的系统管理功能可以方便地观察远程用户系统配置和运行的情况,在网络世界里,只要向所需要监测的用户下载一个(Agent)程序,该用户所有的信息几乎可以天一漏网的被获取。这也就不可避免地带来了信息易于泄漏的严重问题。

随着互联网的普及,人们对网络的安全问题越来越重视。1999年,不少新病毒直接利用网络作为自己的传播途径,例如 Happy.梅丽莎、探索者蠕虫、BuhbleBoy、MiniZip等等。还有众多病毒借助于网络传播得更快,例如让人谈毒色变的恶性病毒CIH、C盘杀手等等。

信息泄漏是另一个重要的安全问题, 1999年初 PentiumIII处理器的序列号和微软产品中的GUID标识因为可能导致使用者的个人信息泄露,曾引起了一场不小的风波,另外,互联网存在着不少木马程序,如果不慎使用,就等于给自己的机器开了一个后门,个人信息和重要数据可能在不知不觉中就被黑客盗走。这些都说明了互联网并非是一块充满阳光的和谐乐土。

另外,黑客入侵网站在1999年被报道的频率相当高。黑客频频得手的事件说明了互联网在安全方面存在着相当多的弱点和漏洞,国内站点和个人用户应对此有充分认识,避免出现不必要的损失。

三、网上信息安全的管理

长期以来,信息安全问题一直没有引起国人足够的重视,安全意识差是一种普遍的现象。而今天,当人们开始意识到信息安全的重要性时,却又对系统的安全问题产生一种本能的恐惧。

我们对信息安全问题有个基本的观点,不能因为信息技术存在信息安全问题,就不去发展信息技术。对于国家来说,信息化是必然的。从经济角度来看。信息化为我们提供了良好的发展机遇。

信息安全问题说到底,首先是一个管理问题。特别是在我国信息安全产业刚刚起步的今天,信息安全的管理便显得尤为重要了。

1人员安全与日常操作管理

常言道“三分技术,七分管理”。安全方案的实现。离不开管理,人员是管理的核心。人员管理除了技术层次的要求(比如:学历、个人技能。工作经验等),还应有安全性要 求,保证从事网络信息工作的人员都应有良好的品质和可靠的工作动机,不能有任何犯罪记录和不良嗜好。对工作人员要有一套完整的管理措施,它包括人员筛选录用政策、上网和离职控制、安全教育、安全检查等一系列制度。安全教育和培训的目的,在于使所有工作人员信息安全地位和作用及个人在其中的安全责任,熟悉工作环境的操作过程,使其有能力来正确地执行安全的策略,减少人为的因素或操作不当而给系统带来不必要的损失或风险。

2系统连续性管理

系统备份、恢复策略的存在,是为了满足系统业务连续不间断的要求,避免由于自然灾难、事故、设备的损坏和恶意的破坏行为带来系统不停顿服务功能的丧失。

3.按程序操作

内部网络的不安全主要体现在对网络的违规使用,如越权使用某些业务,查看、修改机密文件或数据库等,同时也包括一些对计算机系统或网络的恶意攻击。

四、网上信息安全的保护措施

为了保证计算机系统、网络系统和信息的安全,近年来针对不同的问题研发了许多技术和产品,解决了安全需求的特定方面的问题。主要包括

1防火墙产品:防火墙产品主要提供被保护网络与外部网络之间的进出控制。它是被保护网络与外部网络之间的一道屏障,根据各种过滤原则来判断网络数据是否能够通过防火墙。

2 VPN设备:VPN设备实现了利用公共网络建立自己的虚拟专网。VPN设备负责给发送到对方的数据包进行加密并重新打包,当到达对方VPN设备的时候再拆包、脱密,而在公共网络上看到的只是两个PVN设备。

3系统日志审计工具:许多系统都提供了系统日志,其中包含了有关系统安全方面的有价值的信息。在系统投入使用的时候,网管员对系统日志进行配置,使其尽可能多地保留一些有用的信息。

4信息网关:信息网关为计算机内的电子文件引入了密级、电子印章和网关证的概念。信息网关负责检查出入网络的文件是否具有网关证,是否按照所具有的密级进行了加密。在检查合格后才能传出网络。

5.授权和身份认证系统:授权和身份认证系统加强7原有的基于账户和口令的控制,提供了授权、访问控制、用户身份识别、对等实体鉴别、抗抵赖等功能。信息加密是信息安全应用中最早开展有效手段之一。信息加密的目的是保护网上传输的数据。

6安全路由器:安全路由器提供了某些基于地址或服务的过滤机制,可以在一定程度上限制网络访问。

7.安全性分析工具:安全性分析工具用于自动发现网络上的安全漏洞,给出安全性分析报告。

篇10

质量标准体系、检验检测体系、认证认可体系、法律法规体系等在内在一体化工作网络。在这个系统中,各个相关部门(系统)为保证实现农产品质量安全的共同目标而分工合作。

2当前我国农产品标准体系质量安全标准体系的现状与问题

2.1农产品质量安全标准体系不完善

首先,没有根据农业生产产业链条上下游协调的原则做好相关标准体系的配套工作。例如从初始的农产品生产到中间的加工及流通环节,标准之间不能很好地衔接起来,甚至出现重复及冲突的情况。其次,标准的时效性差。在标准的使用过程中,随着经济科技的发展变化,必然会出现不能很好服务经济、社会发展需要的情况。这时就必须及时对标准进行复审和修订。显然,这一方面,我们的工作做的还很不到位。再次,“标准化水平偏低,标准国际交流少,国际标准的采标率低。”农业质量安全标准普遍低于国际标准,与国际标准差异较大,使农产品的出口受到严重影响。最后,相关的法律法规体系不健全,使农产品质量安全标准体系失去了有力的支撑。标准实施的效果也大大减弱。

2.2风险评估体系需进一步完善

在世界范围内,以风险分析为基础的农产品安全标准己成为一种趋势。《农产品质量安全法》明确规定,“制定农产品质量安全标准,应当充分考虑农产品质量安全风险评估结果,并广泛听取农产品生产者、销售者和消费者的意见”。风险评估已成为一项基本法律制度。2014年,农业部组织制订并印发了《2014年国家农产品质量安全风险评估计划》,为农产品质量安全风险评估工作的全面推进提供了重要指南。但这些远远不够。我们还未建立一套完整、有效的风险分析、评估、通报、信息交流共享、预警及管理体系;在各地、各部门之间还需进一步加强信息沟通和交流。

2.3标准的协调管理性较差

目前,我国农产品管理涉及农业、商业、卫生、质检等多个部门,但各部门之间协调性较差,造成制定出的标准在技术内容上难以协调和统一,同一管理领域存在两项或两项以上标准的现象时有发生。这就严重影响了标准实施的效果,难以对农产品质量安全进行有效监管。

3完善我国农产品标准体系质量安全标准体系的建议

3.1构建完善的农产品质量安全法律法规体系

纵观发达国家,他们为了加强农产品质量安全管理,都建立了一套涵盖“从农田到餐桌”整条农产品链的法律法规体系。我国也应建立涵盖所有农产品质量安全领域的法律法规体系,同时根据实际情况的变化对相应的法律法规逐步做出调整,使其顺应时展的趋势。

3.2建立以风险评估为基础的农产品质量安全标准体系

一要加强对国际先进标准的研究和转化工作,提高对国际标准的采标率,从整体上提升我国相关标准的水平。二要以风险分析评估为基础,加强农产品质量安全标准的市场适用性,提高企业、市场在标准制定过程参与的广度和深度。三要加强相关标准之间的协调性和配套性,建立一个满足当前需要、适应长远发展的农产品质量安全标准综合体。四要加强农产品质量安全标准工作的信息化进程,利用信息技术、信息网络提高管理水平。

3.3完善相关的配套制度与体系

一方面,要健全农产品质量安全检验检测体系。政府和相关部门要加大资金投入,必要时多方融资,建立完备的资金筹措机制;要科学、合理设置检验检测机构,配备高素质的检验检测人员,建立有效的组织机制;要加强对现有检验检测资源的优化、整合,使其发挥出最大经济效益。

另一方面,要建立健全农产品质量认证认可体系。“要坚持以无公害产品认证为基础,涵盖有机农产品、绿色食品和名牌产品的农产品质量安全认证体系,坚持产品认证、管理体系认证相结合,加强对认证机构的监督检查。同时也要建立在相互信任基础上的国际互认活动,积极开展国际交流与合作。

4结论