序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇安全審計(jì)培訓(xùn)范文�����。如果您需要更多原創(chuàng)資料�,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)���!
篇1
目前���,我國(guó)的安全生產(chǎn)形勢(shì)非常嚴(yán)峻����,在大安全的背景下��,如何做好坪山新區(qū)的安全生產(chǎn)工作��,是時(shí)刻擺在新區(qū)安全專(zhuān)業(yè)工作者面前的一項(xiàng)艱巨任務(wù)����。
一、坪山新區(qū)開(kāi)展安全培訓(xùn)工作的重要性
從現(xiàn)有安全事故的統(tǒng)計(jì)和分析來(lái)看�,導(dǎo)致安全事故發(fā)生的原因多元化但存在一定的規(guī)律,歸納起來(lái)表現(xiàn)為四個(gè)方面:一是環(huán)境的不安全條件;二是管理上存在的缺陷;三是物(或機(jī)器)的不安全狀態(tài);四是人的不安全行為����。對(duì)于事故的預(yù)防和控制,就是消除或改變環(huán)境的不安全條件���、管理上的缺陷,消除物(或機(jī)器)的不安全狀態(tài)和人的不安全行為����,因此,應(yīng)從工程技術(shù)���、管理控制和培訓(xùn)教育入手�����,采取相應(yīng)對(duì)策��。其中培訓(xùn)教育對(duì)策著重解決的是人的不安全行為問(wèn)題����。
據(jù)統(tǒng)計(jì),新區(qū)安全生產(chǎn)領(lǐng)域近期幾起死亡事故都是由于人的不安全行為引起����。人往往會(huì)成為事故的受害者和承擔(dān)者,其某種行為的發(fā)生與人的性別�、年齡、性格���、所處環(huán)境����、受教育或培訓(xùn)程度有密切的關(guān)系����。大量事故案例證明�,加強(qiáng)安全培訓(xùn)是減少或消除人的不安全行為最直接�、最有效的方式。
通過(guò)安全培訓(xùn)����,可以引導(dǎo)新區(qū)企業(yè)和個(gè)體樹(shù)立正確的安全意識(shí)和安全理念,增強(qiáng)人的安全技能����,改善不良安全習(xí)慣,達(dá)到避免和減少各類(lèi)生產(chǎn)安全事故發(fā)生的目的���。
二��、坪山新區(qū)安全培訓(xùn)存在問(wèn)題剖析
(一)從培訓(xùn)廣度看�,安全培訓(xùn)覆蓋面不足
新區(qū)目前僅安全生產(chǎn)培訓(xùn)機(jī)構(gòu)1家��,即坪山新區(qū)化技術(shù)學(xué)院����,現(xiàn)有專(zhuān)職教師(大學(xué)本科)5人(其中高級(jí)技師2人,技師3人�,經(jīng)省安監(jiān)局考核合格的專(zhuān)職老師2人),兼職教師(大學(xué)本科)2人�,均為技師。2010年實(shí)際培訓(xùn)800人�����,其種作業(yè)人員600人���,安全培訓(xùn)缺乏應(yīng)有的力度�。
(二)從企業(yè)類(lèi)型看�,中小企業(yè)安全培訓(xùn)工作薄弱
新區(qū)經(jīng)濟(jì)效益較好,規(guī)模較大����、成立時(shí)間較長(zhǎng)的大企業(yè)安全生產(chǎn)管理基礎(chǔ)較好,安全培訓(xùn)工作相對(duì)比較健全��。而中小型企業(yè)由于經(jīng)濟(jì)效益和規(guī)模的制約�,安全規(guī)章制度不夠健全,安全培訓(xùn)工作差強(qiáng)人意��。隨著中小企業(yè)的迅速發(fā)展���,薄弱的安全培訓(xùn)工作使廣大從業(yè)人員安全意識(shí)淡薄����,缺乏應(yīng)有的安全技能和安全知識(shí),給新區(qū)安全生產(chǎn)工作造成嚴(yán)重的安全隱患����。
(三)從培訓(xùn)自主性看,安全培訓(xùn)缺乏積極性和主動(dòng)性
新區(qū)成立以來(lái)加大了安全生產(chǎn)宣傳培訓(xùn)教育力度���,利用新聞媒體等各種渠道和方式�����,對(duì)安全生產(chǎn)法律法規(guī)和安全培訓(xùn)的重要性進(jìn)行了廣泛而深入的宣傳���。但是,仍然存在部分生產(chǎn)經(jīng)營(yíng)單位對(duì)應(yīng)參加的安全培訓(xùn)不能按要求參加�,在思想上對(duì)安全培訓(xùn)工作不夠重視,缺乏必要的工作力度和支持措施����,導(dǎo)致培訓(xùn)率不足的問(wèn)題,使安全培訓(xùn)工作一定程度上處于被動(dòng)應(yīng)付狀態(tài)��。
三�����、完善坪山新區(qū)安全培訓(xùn)的對(duì)策分析
(一)加大安全宣傳力度,強(qiáng)化安全意識(shí)
安全意識(shí)在安全生產(chǎn)中至關(guān)重要����,強(qiáng)化安全意識(shí)的重要手段就是加強(qiáng)安全理念的宣傳�����,用先進(jìn)的安全理念引導(dǎo)職工日常工作和生活����。"預(yù)防為主、安全第一"��、"安全就是效益"����、"生產(chǎn)服從安全"等安全觀念,使新區(qū)企業(yè)樹(shù)立安全目標(biāo)�����,職工樹(shù)立安全方向��。
同時(shí),安全理念能否倡導(dǎo)下去�,需要全體職工的認(rèn)同理解和接受執(zhí)行,要充分利用新聞媒體�,組織開(kāi)展對(duì)安全理念的宣傳學(xué)習(xí)活動(dòng),掀起新區(qū)學(xué)習(xí)理念�����、踐行理念���。要通過(guò)開(kāi)展"安全生產(chǎn)月"���、"安全警示日"、"消防宣傳日"等活動(dòng)���,加強(qiáng)宣傳力度��,以各種宣傳教育活動(dòng)為載體����,不斷提高企業(yè)職工的安全素養(yǎng)��,改進(jìn)其安全意識(shí)和行為�����,從而使職工從被動(dòng)服從管理的狀態(tài),轉(zhuǎn)變成自覺(jué)主動(dòng)地按要求采取行動(dòng)���,形成良好的安全氛圍���。
(二)成立宣教培訓(xùn)中心���,提升培訓(xùn)水平
根據(jù)新區(qū)安全培訓(xùn)實(shí)際�,要加速整合新區(qū)安全生產(chǎn)教育培訓(xùn)資源�����,搭建新區(qū)安全生產(chǎn)公共教育培訓(xùn)平臺(tái)���,探索建立新區(qū)安全生產(chǎn)公共教育培訓(xùn)模式和工作機(jī)制��,充分發(fā)揮安全生產(chǎn)宣教培訓(xùn)中心職能�,全面提升新區(qū)安全生產(chǎn)培訓(xùn)水平����。
一是制定并組織實(shí)施全區(qū)安全生產(chǎn)宣傳教育計(jì)劃。根據(jù)新區(qū)年度安全生產(chǎn)宣教培訓(xùn)計(jì)劃�����,開(kāi)展全區(qū)性重大安全生產(chǎn)宣傳教育活動(dòng),總結(jié)�����、推廣安全生產(chǎn)科學(xué)技術(shù)��、先進(jìn)典型和先進(jìn)經(jīng)驗(yàn)�。二是有序開(kāi)展新區(qū)分類(lèi)分批培訓(xùn)工作��。根據(jù)不同群體的培訓(xùn)需求�����,編制印發(fā)公共培訓(xùn)教材�,組織新區(qū)�、辦事處�����、社區(qū)安監(jiān)系統(tǒng)內(nèi)工作人員依法行政的培訓(xùn)學(xué)習(xí)��,以及生產(chǎn)經(jīng)營(yíng)單位企業(yè)負(fù)責(zé)人����、安全管理人員��、安全主任培訓(xùn)����、再培訓(xùn)的組織和管理及協(xié)助發(fā)證工作�。三是做好溝通協(xié)調(diào)、數(shù)據(jù)報(bào)送工作��。按照市����、區(qū)有關(guān)事權(quán)劃分,對(duì)轄區(qū)內(nèi)安全生產(chǎn)培訓(xùn)教育社會(huì)辦學(xué)機(jī)構(gòu)進(jìn)行指導(dǎo)�,同時(shí)加強(qiáng)與上級(jí)職能部門(mén)�、兄弟單位的溝通協(xié)調(diào)�����,及時(shí)報(bào)送和安全生產(chǎn)管理方面的重要信息�。
(三)落實(shí)企業(yè)主體責(zé)任,夯實(shí)培訓(xùn)體系
我國(guó)現(xiàn)行的是"政府統(tǒng)一領(lǐng)導(dǎo)��、部門(mén)依法監(jiān)管�����、企業(yè)全面負(fù)責(zé)���、群眾參與監(jiān)督�、全社會(huì)廣泛支持"的安全生產(chǎn)體制�。根據(jù)法律法規(guī)相關(guān)規(guī)定,企業(yè)是安全生產(chǎn)的責(zé)任主體��,必須依法落實(shí)安全生產(chǎn)責(zé)任����,履行安全生產(chǎn)義務(wù),對(duì)預(yù)防事故的發(fā)生承擔(dān)相應(yīng)的責(zé)任,對(duì)本單位的安全生產(chǎn)管理工作全面負(fù)責(zé)�。
在安全培訓(xùn)方面,要建立以企業(yè)為基礎(chǔ)的安全培訓(xùn)體系���,主要加強(qiáng)以下幾方面的工作:一是加強(qiáng)安全培訓(xùn)的組織領(lǐng)導(dǎo)�。企業(yè)要把安全培訓(xùn)教育納入企業(yè)的發(fā)展戰(zhàn)略中����,企業(yè)的負(fù)責(zé)人、安全管理人員要自覺(jué)成為安全培訓(xùn)的模范和榜樣�,帶頭參加培訓(xùn),熟悉相關(guān)法律�����、法規(guī)�、規(guī)章制度及安全管理���、事故救援要點(diǎn)��;二是制定企業(yè)安全培訓(xùn)規(guī)劃�����。企業(yè)要根據(jù)本單位生產(chǎn)發(fā)展的總體戰(zhàn)略目標(biāo)和階段性工作目標(biāo)�,按照不同級(jí)別、不同類(lèi)別人員��,制定符合企業(yè)實(shí)際需要的安全培訓(xùn)長(zhǎng)期和短期規(guī)劃�����;三是加強(qiáng)企業(yè)安全培訓(xùn)制度建設(shè)���。企業(yè)要對(duì)安全培訓(xùn)工作登記建檔����,嚴(yán)格培訓(xùn)考核獎(jiǎng)懲制度��,把全員安全培訓(xùn)的理念落實(shí)到每個(gè)職工身上����;四是加大企業(yè)安全培訓(xùn)投入。企業(yè)要充分認(rèn)識(shí)到培訓(xùn)投入是效益最大的投入�����、人力資源是第一資源�����,高度重視安全培訓(xùn),加強(qiáng)對(duì)培訓(xùn)設(shè)施���、師資��、教材的投入,為企業(yè)安全培訓(xùn)工作提供堅(jiān)實(shí)的物質(zhì)保障��。
(四)加強(qiáng)安全培訓(xùn)考核,完善監(jiān)督機(jī)制
篇2
【摘 要】在全國(guó)經(jīng)濟(jì)步入“新常態(tài)”,煤炭企業(yè)困難加劇的大形勢(shì)下,擬就煤礦安全培訓(xùn)機(jī)構(gòu)如何通過(guò)內(nèi)部挖潛�����,積極培養(yǎng)各方面的專(zhuān)門(mén)人才�,努力打造職業(yè)化師資隊(duì)伍,提高煤礦安全培訓(xùn)效率���,提出了對(duì)策和解決辦法����。
關(guān)鍵詞 師資建設(shè)����;深挖潛力;做法初探
安陽(yáng)鑫龍煤業(yè)(集團(tuán))技工學(xué)校目前是永煤集團(tuán)安陽(yáng)鑫龍煤業(yè)(集團(tuán))有限責(zé)任公司所屬唯一的三級(jí)培訓(xùn)機(jī)構(gòu)����,主要承擔(dān)該公司煤礦特種作業(yè)人員的安全技術(shù)培訓(xùn)工作����。近兩年隨著企業(yè)經(jīng)營(yíng)困難加劇,該校以打造職業(yè)化師資隊(duì)伍為目標(biāo)�����,以深挖內(nèi)部師資潛力抓手��,不斷強(qiáng)化教師隊(duì)伍建設(shè)�,拓寬教師來(lái)源渠道,建立和完善教師培養(yǎng)培訓(xùn)制度�����,加強(qiáng)優(yōu)秀教師團(tuán)隊(duì)的建設(shè)����,尤其是強(qiáng)化專(zhuān)業(yè)課教師的技能訓(xùn)練����,建立新型的培訓(xùn)模式�����,努力建設(shè)一支“高尚�、卓越、受人尊敬”的掌握高新技術(shù)、技能的專(zhuān)����、兼職教師隊(duì)伍。本文從該校三級(jí)培訓(xùn)機(jī)構(gòu)師資建設(shè)的角度���,提出在現(xiàn)有形勢(shì)下提高煤礦安全培訓(xùn)師資建設(shè)水平的對(duì)策。
1 師資隊(duì)伍建設(shè)工作中存在的普遍問(wèn)題
1.1 專(zhuān)業(yè)課教師引進(jìn)渠道不暢
目前,隨著煤炭企業(yè)效益的下滑��,安全培訓(xùn)機(jī)構(gòu)師資力量不足�、引進(jìn)渠道不暢等老問(wèn)題更加凸顯出來(lái)。培訓(xùn)機(jī)構(gòu)專(zhuān)業(yè)課教師的缺口日益加大����。
1.2 師資隊(duì)伍質(zhì)量需要提高
當(dāng)前安陽(yáng)鑫龍煤業(yè)(集團(tuán))技工學(xué)校專(zhuān)業(yè)課教師主要由兩類(lèi)人員組成:一是高校畢業(yè)生。其中大多數(shù)缺乏企業(yè)實(shí)踐經(jīng)歷�����。二是“半路出家”的專(zhuān)業(yè)課教師����,即根據(jù)教學(xué)需要從基層單位選拔部分技術(shù)較好的人員來(lái)承擔(dān)專(zhuān)業(yè)的教學(xué)任務(wù),系統(tǒng)的理論知識(shí)較薄弱�。
1.3 具有一定知名度的專(zhuān)業(yè)帶頭人嚴(yán)重不足
該校雖然擁有一定數(shù)量的學(xué)科帶頭人、骨干教師等�,但其數(shù)量與安全培訓(xùn)的發(fā)展規(guī)模相比較,明顯不足���,具有一定知名度的專(zhuān)業(yè)帶頭人則更少�����。
1.4 培訓(xùn)教師知識(shí)更新速度慢
授課教師雖然具備極其豐富的現(xiàn)場(chǎng)生產(chǎn)技術(shù)管理經(jīng)驗(yàn)�����,但受工作性質(zhì)和條件影響��,有些“知識(shí)更新”沒(méi)有及時(shí)跟上�����,在授課時(shí)難以取得培訓(xùn)實(shí)效�����。在授課過(guò)程中���,只憑“老教案”進(jìn)行講解,達(dá)不到“針對(duì)性���、可操作性”的目的����。
1.5 師資培訓(xùn)機(jī)制不健全
要提高培訓(xùn)質(zhì)量�,就要做好對(duì)培訓(xùn)者的培訓(xùn)�。企業(yè)現(xiàn)在對(duì)生產(chǎn)一線員工的培訓(xùn)十分重視����,但對(duì)培訓(xùn)機(jī)構(gòu)師資的培訓(xùn)缺少必要的政策和有效的措施。
2 現(xiàn)形勢(shì)下關(guān)于安全培訓(xùn)師資建設(shè)的做法
2.1 籌建高級(jí)培訓(xùn)師工作室���,深挖內(nèi)部師資潛力
該校在師資建設(shè)方面深挖內(nèi)部師資潛力����,選拔了四名既有扎實(shí)的理論知識(shí)�,又有豐富的現(xiàn)場(chǎng)經(jīng)驗(yàn)的資深教師組建了高級(jí)培訓(xùn)師工作室,其目的是結(jié)合礦區(qū)生產(chǎn)實(shí)際�,對(duì)安全培訓(xùn)進(jìn)行“問(wèn)診把脈”,高效整合培訓(xùn)內(nèi)容�����,設(shè)計(jì)培訓(xùn)授課方式��,分析����、總結(jié)現(xiàn)有教學(xué)經(jīng)驗(yàn),提出培訓(xùn)管理與課程完善的合理化建議�����;根據(jù)培訓(xùn)要求和對(duì)象特點(diǎn)編制培訓(xùn)講義、課件��,進(jìn)行培訓(xùn)課程研發(fā)����,并通過(guò)積極聽(tīng)課、評(píng)課����、調(diào)研等,對(duì)教學(xué)經(jīng)驗(yàn)不足的教師和新教師進(jìn)行幫教��、指導(dǎo)��,大幅度提高整個(gè)教師隊(duì)伍的授課技能和培訓(xùn)內(nèi)容的針對(duì)性���。
2.2 強(qiáng)化“三個(gè)師團(tuán)”建設(shè),打造職業(yè)化教師團(tuán)隊(duì)
近兩年來(lái)����,該校持續(xù)深耕安全知識(shí)教師團(tuán)、技能提升導(dǎo)師團(tuán)和潛能開(kāi)發(fā)講師團(tuán)“三個(gè)師團(tuán)”建設(shè)����,并以此為抓手��,打造職業(yè)化師資團(tuán)隊(duì)���,取得了顯著成效。其中尤以技能提升導(dǎo)師團(tuán)建設(shè)為重點(diǎn)���,從鑫龍煤業(yè)現(xiàn)有的技術(shù)能手��、技師���、高級(jí)技師中選拔了249人擔(dān)任技能導(dǎo)師,使其有任務(wù)�����、有目標(biāo)��,并通過(guò)創(chuàng)新“4321”實(shí)操考核辦法���,強(qiáng)化實(shí)操培訓(xùn)效果���,使職工的技能水平得到不斷提高�����。
2.3 成立專(zhuān)業(yè)化教研組����,提高培訓(xùn)的針對(duì)性
為使培訓(xùn)內(nèi)容更加貼近安全生產(chǎn)各專(zhuān)業(yè)工作需要����,該校統(tǒng)籌鑫龍煤業(yè)現(xiàn)有專(zhuān)業(yè)技術(shù)資源,成立了采掘?qū)I(yè)����、機(jī)電專(zhuān)業(yè)、通風(fēng)安全專(zhuān)業(yè)等11個(gè)專(zhuān)業(yè)教研組�����,讓各專(zhuān)業(yè)化教研組成員在傳統(tǒng)課堂理論P(yáng)PT教學(xué)方法方式的基礎(chǔ)上����,重點(diǎn)采用視頻教學(xué)、案例教學(xué)���、分組討論教學(xué)��、現(xiàn)身說(shuō)法���、動(dòng)畫(huà)播放、圖紙會(huì)審等方式方法���,發(fā)揮自身專(zhuān)業(yè)和現(xiàn)場(chǎng)經(jīng)驗(yàn)豐富的優(yōu)勢(shì)���,把枯燥無(wú)味的課本知識(shí),用解讀員工身邊事等員工喜聞樂(lè)見(jiàn)的方式傳授給學(xué)員�,既提高了員工學(xué)習(xí)的興趣,還達(dá)到與技校專(zhuān)業(yè)教師理論教學(xué)優(yōu)勢(shì)互補(bǔ)�,鞏固理論教學(xué)效果目的。不僅使授課形式實(shí)現(xiàn)了的多樣化�����,還擴(kuò)充了師資隊(duì)伍規(guī)模��。
2.4 走出去請(qǐng)進(jìn)來(lái)�,確保教師全員持證和知識(shí)更新
在“走出去”方面,該校一是嚴(yán)格按照“承擔(dān)安全培訓(xùn)的教師100%參加每年的知識(shí)更新培訓(xùn)”的要求��,分批次安排教師參加上級(jí)管理部門(mén)組織的安全師資再培訓(xùn)和取證培訓(xùn),確保安全培訓(xùn)教師全部持證上崗��,以滿足安全培訓(xùn)的需求����;二是定期組織教師、培訓(xùn)管理人員到外部單位考察學(xué)習(xí)培訓(xùn)工作����,引進(jìn)好的培訓(xùn)經(jīng)驗(yàn)。在“請(qǐng)進(jìn)來(lái)”方面�����,邀請(qǐng)知名專(zhuān)家�、教授以及其他煤炭企業(yè)的高級(jí)技術(shù)人員前來(lái)開(kāi)班專(zhuān)題講座,讓教師與其進(jìn)行交流��、互動(dòng)�����,實(shí)現(xiàn)提升授課技能和授課水平的目的�。
2.5 積極參加各種教學(xué)比賽,以賽促教學(xué)水平提升
近年來(lái)���,該校積極鼓勵(lì)專(zhuān)���、兼職教師參加國(guó)內(nèi)各種教學(xué)比賽,相繼有多名教師的課件�����、論文和教案在國(guó)家���、省級(jí)大賽上獲得獎(jiǎng)項(xiàng)����,他們?cè)跒閭€(gè)人爭(zhēng)取榮譽(yù)的同時(shí)��,也提升了自身的教學(xué)水平��。
2.6 開(kāi)展授課技能大賽��,促教師技能整體提升
每年舉辦一次“內(nèi)部培訓(xùn)師授課技能大賽”�����。為使比賽賽出成績(jī)����、水平�,要求專(zhuān)兼職教師全員參與說(shuō)課����,并相互之間進(jìn)行評(píng)課,同時(shí)聘請(qǐng)師范院校專(zhuān)家教授進(jìn)行現(xiàn)場(chǎng)指導(dǎo)�����,最終以先初賽再?zèng)Q賽的形式選出年度優(yōu)勝者�����。全體專(zhuān)�、兼職教師通過(guò)評(píng)課、說(shuō)課����、培訓(xùn)、課件和教案反復(fù)修改和現(xiàn)場(chǎng)比賽�����,可有力促進(jìn)教師授課技能的整體提升�。
2.7 建立激勵(lì)機(jī)制��,提高教師待遇
篇3
道路安全審計(jì)(Road Safely Audits���,簡(jiǎn)稱(chēng)RSA)是從預(yù)防交通事故、降低事故產(chǎn)生的可能性和嚴(yán)重性人手�,對(duì)道路項(xiàng)目建設(shè)的全過(guò)程,即規(guī)劃�����、設(shè)計(jì)�����、施工和服務(wù)期進(jìn)行全方位的安全審核����,從而揭示道路發(fā)生事故的潛在危險(xiǎn)因素及安全性能���,是國(guó)際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項(xiàng)新技術(shù)手段�����。其目標(biāo)是:確定項(xiàng)目潛在的安全隱患��;確?���?紤]了合適的安全對(duì)策;使安全隱患得以消除或以較低的代價(jià)降低其負(fù)面影響�����,避免道路成為事故多發(fā)路段�����;保障道路項(xiàng)目在規(guī)劃����、設(shè)計(jì)、施工和運(yùn)營(yíng)各階段都考慮了使用者的安全需求�����,從而保證現(xiàn)已運(yùn)營(yíng)或?qū)⒔ㄔO(shè)的道路項(xiàng)目能為使用者提供最高實(shí)用標(biāo)準(zhǔn)的交通安全服務(wù)���。
1 道路安全審計(jì)的起源與發(fā)展
1991年��,英國(guó)版的《公路安全審計(jì)指南》問(wèn)世��,這標(biāo)志著安全審計(jì)有了系統(tǒng)的體系��。從1991年4月起�,安全審計(jì)成為英國(guó)全境主干道、高速公路建設(shè)與養(yǎng)護(hù)工程項(xiàng)目必須進(jìn)行的程序��,使英國(guó)成為安全審計(jì)的重要發(fā)起與發(fā)展國(guó)�。而我國(guó)則是在20世紀(jì)90年代中期開(kāi)始發(fā)展安全審計(jì),主要有兩個(gè)渠道:①以高等院校為主的學(xué)者通過(guò)國(guó)際學(xué)術(shù)交流與檢索國(guó)外文獻(xiàn)��,從理論體系的角度引入道路安全審計(jì)的理論����;②通過(guò)世界銀行貸款項(xiàng)目的配套科研課題����。在工程領(lǐng)域開(kāi)展道路安全審計(jì)的實(shí)踐。
目前���,在澳大利亞�、丹麥��、英國(guó)����、冰島�、新西蘭和挪威等國(guó)已定期地執(zhí)行道路安全審計(jì)��,德國(guó)�����、芬蘭�、法國(guó)、意大利����、加拿大、荷蘭��、葡萄牙�、泰國(guó)以及美國(guó)正處于實(shí)驗(yàn)或試行階段,其他許多國(guó)家也在就道路安全審計(jì)的引入進(jìn)行檢驗(yàn)����,比如希臘等國(guó)家。國(guó)外研究表明���,道路安全審計(jì)可有效地預(yù)防交通事故�,降低交通事故數(shù)量及其嚴(yán)重度,減少道路開(kāi)通后改建完善和運(yùn)營(yíng)管理費(fèi)用�����,提升交通安全文化�����,其投資回報(bào)是15~40倍���。
道路安全審計(jì)在我們道路建設(shè)中的重要性�,不僅僅是在提高安全性方面�����,對(duì)經(jīng)濟(jì)性也有幫助��。而山區(qū)道路的安全比起一般道路來(lái)講����,就更應(yīng)該引起我們的注意�����,畢竟山區(qū)道路的崎嶇以及地勢(shì)的高低相對(duì)與一般道路對(duì)駕駛者來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn),而且其發(fā)生事故的死亡率也比其他道路高很多�,因此,審計(jì)對(duì)于山區(qū)道路來(lái)說(shuō)是至關(guān)重要的����。
2 山區(qū)道路安全審計(jì)內(nèi)容
加拿大等國(guó)家認(rèn)為,在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段進(jìn)行道路安全審計(jì)最重要����、最有效,因而早期的道路安全審計(jì)主要重點(diǎn)是在項(xiàng)目建設(shè)的初步設(shè)計(jì)階段?,F(xiàn)世界各國(guó)都普遍認(rèn)為可在已運(yùn)營(yíng)的道路和擬建道路項(xiàng)目建設(shè)期的全過(guò)程實(shí)行安全審計(jì),即在規(guī)劃或可行性研究�、初步設(shè)計(jì)、施工圖設(shè)計(jì)����、道路通車(chē)前期(預(yù)開(kāi)通)和開(kāi)通服務(wù)期(后評(píng)估階段)都有所側(cè)重地實(shí)行審計(jì)。山區(qū)道路安全審計(jì)同樣與其他道路的安全審計(jì)工作內(nèi)容一樣��。
3 審計(jì)要素
典型的道路安全審計(jì)過(guò)程為:組建審計(jì)組+設(shè)計(jì)隊(duì)介紹項(xiàng)目情況及提供資料+項(xiàng)目實(shí)施考察-安全性分析研究-編寫(xiě)安全審計(jì)報(bào)告+審計(jì)組介紹項(xiàng)目審計(jì)結(jié)果+設(shè)計(jì)隊(duì)研究��、編寫(xiě)響應(yīng)報(bào)告-審計(jì)報(bào)告及響應(yīng)報(bào)告共同構(gòu)成項(xiàng)目安全文件��。
整個(gè)安全審計(jì)的時(shí)間一般為兩周左右。為保證安全審計(jì)的質(zhì)量��,審計(jì)組人員的構(gòu)成至關(guān)重要�����。審計(jì)組的人數(shù)依項(xiàng)目的規(guī)模大小一般由26人組成�����,審計(jì)組應(yīng)由不同背景�、不同經(jīng)歷、受過(guò)培訓(xùn)���、經(jīng)驗(yàn)豐富����、獨(dú)立的人員(與設(shè)計(jì)隊(duì)無(wú)直接關(guān)聯(lián))組成���。審計(jì)人員一般應(yīng)具備交通安全、交通工程�、交通運(yùn)行分析、交通心理���、道路設(shè)計(jì)���、道路維護(hù)��、交通運(yùn)營(yíng)及管理����、交通法律法規(guī)等方面的知識(shí)���,應(yīng)保證審計(jì)組人員相互間能平等���、自由地交流、討論和商議安全問(wèn)題�����。審計(jì)人員應(yīng)本著對(duì)社會(huì)(用戶)負(fù)責(zé)的態(tài)度��、安全第一的觀點(diǎn)�����,依據(jù)道路標(biāo)準(zhǔn)規(guī)范�,對(duì)項(xiàng)目各種設(shè)計(jì)參數(shù)���、弱勢(shì)用戶、氣候環(huán)境等的綜合組合�����,展開(kāi)道路安全審計(jì)�。道路安全審計(jì)人員(審計(jì)組)與設(shè)計(jì)人員(設(shè)計(jì)隊(duì))的區(qū)別在于:設(shè)計(jì)人員需要綜合考慮項(xiàng)目投資、土地��、政治�����、地理���、地形�、環(huán)境���、交通����、安全等方方面面的因數(shù)����,限于經(jīng)驗(yàn)、時(shí)間的約束�����,對(duì)安全問(wèn)題難免有所偏頗���。而安全審計(jì)人員不考慮項(xiàng)目投資�、建設(shè)背景等因數(shù)��,僅僅考慮安全問(wèn)題���,只提安全建議�����,最后由設(shè)計(jì)人員決定:采納��、改進(jìn)或不采納����。因而可以說(shuō)道路安全審計(jì)的關(guān)鍵點(diǎn)為:它是一個(gè)正式的����、獨(dú)立進(jìn)行的審計(jì)過(guò)程��,須由有經(jīng)驗(yàn)的���、有資格的人員從事這一工作,要考慮到道路的各種用戶����,最重要的一點(diǎn)是只考慮安全問(wèn)題。
安全審計(jì)報(bào)告一般應(yīng)包括:設(shè)計(jì)人及審計(jì)組簡(jiǎn)述�、審計(jì)過(guò)程及日期、項(xiàng)目背景及簡(jiǎn)況�����、圖紙等���,對(duì)確認(rèn)的每一個(gè)潛在危險(xiǎn)因素都應(yīng)闡述其地點(diǎn)�����、詳細(xì)特征����、可能引發(fā)的事故(類(lèi)型)、事故的頻率及嚴(yán)重度評(píng)估��、改進(jìn)建議及該建議的可操作性(實(shí)用性)等��。審計(jì)報(bào)告應(yīng)易于被設(shè)計(jì)人員接受并實(shí)施����。響應(yīng)報(bào)告應(yīng)由項(xiàng)目設(shè)計(jì)人員編寫(xiě)���,其內(nèi)容—般應(yīng)包括:對(duì)審計(jì)報(bào)告指出的安全缺陷是否接受�����,如不接受應(yīng)闡述理由�����,對(duì)每一改進(jìn)建議應(yīng)一一響應(yīng)��,采納�、部分采納或不采納�,并闡明原因。
4 現(xiàn)有山區(qū)道路的安全審計(jì)
對(duì)現(xiàn)狀山區(qū)道路進(jìn)行安全審計(jì)����,主要評(píng)估現(xiàn)狀道路潛在事故危險(xiǎn)性����,同時(shí)提出改進(jìn)措施以降低未來(lái)發(fā)生事故的可能性?���,F(xiàn)狀道路的安全審計(jì)與新建道路相類(lèi)似,也需進(jìn)行上面所提到的工作��,但現(xiàn)場(chǎng)調(diào)查以及評(píng)估資料及文件這兩步與新建道路有所不同���。此時(shí)事故資料被作為欲審計(jì)資料的重要組成部分��,同時(shí)該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細(xì)資料����。
理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計(jì)應(yīng)該建立在有規(guī)律的基礎(chǔ)之上����。它可以以連續(xù)幾年審計(jì)的結(jié)果為基礎(chǔ),采用滾動(dòng)式的審計(jì)方式對(duì)路網(wǎng)中的每條道路都進(jìn)行評(píng)估����。對(duì)于里程較長(zhǎng)的道路(一般>100km)�,其安全審計(jì)工作可按兩階段進(jìn)行���,即初步審計(jì)階段和詳細(xì)審計(jì)階段�����。前者主要對(duì)道路總體上進(jìn)行粗略審計(jì),給出存在的主要問(wèn)題及所處位置����,后者則對(duì)找到的問(wèn)題進(jìn)行進(jìn)一步的詳細(xì)分析并提出相應(yīng)的改進(jìn)建議。對(duì)里程較短的道路(
由于欲審計(jì)道路已修建完成并已經(jīng)運(yùn)營(yíng)��,此時(shí)現(xiàn)場(chǎng)調(diào)查就顯得非常重要����。不管是擬建道路或已建道路、線內(nèi)工程還是線外工程�����,安全審計(jì)工作必須全方位細(xì)致地進(jìn)行�����。要考慮不同道路使用者對(duì)道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼�����;②半徑太小可能使得駕駛員無(wú)法在規(guī)定視距范圍內(nèi)看到對(duì)方���;③山體的穩(wěn)定性也可能會(huì)影響到駕駛員�。
另外��,現(xiàn)狀山區(qū)道路的安全審計(jì)工作還要調(diào)查不同的道路類(lèi)型�,例如白天、黑夜��、干燥���、潮濕等情況對(duì)道路的影響�����。此外����,對(duì)現(xiàn)有道路網(wǎng)絡(luò)的安全審計(jì)可結(jié)合養(yǎng)護(hù)工作同時(shí)進(jìn)行,這樣可減 少相應(yīng)的成本費(fèi)用��。
5 我國(guó)山區(qū)道路的審計(jì)現(xiàn)狀及問(wèn)題和解決方法
5.1審計(jì)現(xiàn)狀及問(wèn)題
由于目前審計(jì)這個(gè)名詞在國(guó)內(nèi)還算比較新鮮����,國(guó)外從起步發(fā)展到現(xiàn)在也不過(guò)十來(lái)年的時(shí)間,各方面都只是處于實(shí)驗(yàn)或者是試行階段�,并沒(méi)有固定的一套理論依據(jù)。而我國(guó)相對(duì)外國(guó)來(lái)說(shuō)又是落后了好幾年�����,因此我國(guó)現(xiàn)在總體的審計(jì)現(xiàn)狀也就處于探索階段��,各個(gè)方面也是處于起步階段��,不可能對(duì)各個(gè)方面的審計(jì)工作做到非常的完善���。而道路的審計(jì)不過(guò)是眾多審計(jì)工作中的一小部分,由于其本身的“新鮮性”��,又對(duì)審計(jì)人員的要求較高��,西部一些貧困地區(qū)教育跟不上�,審計(jì)的人才缺乏也不是沒(méi)有可能,設(shè)備等亦未全部到位。山區(qū)道路安全審計(jì)工作的開(kāi)展較一般道路可能要更加的困難����,因?yàn)樯絽^(qū)道路多是停山臨崖,彎道又多���,坡度又大等各方面因素是其工作的開(kāi)展要難與一般道路�����;更有甚者像那些偏僻地區(qū)的山區(qū)道路���,可能路面的質(zhì)量都無(wú)法保證,更不要提進(jìn)行什么安全審計(jì)���。
5.2解決方法
要改善我國(guó)目前的這種安全審計(jì)情況�����,需要全國(guó)各個(gè)方面的努力與配合����,不過(guò)政府要有所規(guī)定���,我們民間也要有這方面的意識(shí)����。筆者簡(jiǎn)單列出幾項(xiàng):①?lài)?guó)家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進(jìn)行安全審計(jì)����;②地方政府部門(mén)要加強(qiáng)管理;③加強(qiáng)對(duì)審計(jì)人員的培訓(xùn)���;④提高我國(guó)的教育水平和人們的交通安全意識(shí)��;⑤交通安全部門(mén)要深入到偏僻的山區(qū)���;⑥提高我國(guó)的經(jīng)濟(jì)實(shí)力。
6 結(jié)束語(yǔ)
山區(qū)道路的安全審計(jì)工作與其他道路的安全審計(jì)總體上應(yīng)該說(shuō)差不多�,當(dāng)然山區(qū)的那種獨(dú)特的環(huán)境使得審計(jì)工作的重點(diǎn)可能不僅僅局限與一般的道路���,不要認(rèn)為山區(qū)道路的流量沒(méi)有城市道路那么多而忽視它���,我國(guó)是個(gè)多山的國(guó)家,山區(qū)道路對(duì)于我國(guó)各個(gè)地區(qū)的經(jīng)濟(jì)往來(lái)的作用不言而譽(yù)����。通過(guò)安全審計(jì)�,加強(qiáng)了全國(guó)各地交流���。對(duì)于我國(guó)的經(jīng)濟(jì)發(fā)展有百利而無(wú)一害���。國(guó)內(nèi)山區(qū)道路建設(shè)的實(shí)際情況對(duì)道路安全審計(jì)進(jìn)行了較為系統(tǒng)的分析研究并得出以下結(jié)論:
篇4
1.空管安全管理體系概述
空管安全管理體系包括空域管理、空中交通流量管理和空中交通服務(wù)(包括空中交通管制服務(wù))在內(nèi)的系統(tǒng)性的安全管理問(wèn)題���。
空管安全管理體系研究現(xiàn)狀
安全始終是民航界的首要問(wèn)題�,在民航界具有重要影響的組織或國(guó)家都幾乎一致地將空中交通管理系統(tǒng)的安全管理問(wèn)題升級(jí)為一個(gè)具有現(xiàn)代管理學(xué)科意味的系統(tǒng)性安全管理問(wèn)題來(lái)對(duì)待�,在繼承傳統(tǒng)安全管理經(jīng)驗(yàn)(尤其是其中所包含的安全管理文化精髓)的同時(shí),人們已經(jīng)更加重視依托現(xiàn)代安全管理理念����、策略和科學(xué)方法(包括基于電子計(jì)算機(jī)技術(shù)的安全管理決策支持工具)去全面解決空管系統(tǒng)的安全管理問(wèn)題。目前���,還沒(méi)有一個(gè)標(biāo)準(zhǔn)統(tǒng)一的體系來(lái)對(duì)空管單位進(jìn)行安全評(píng)估和審計(jì)�,各單位的標(biāo)準(zhǔn)不一���,審計(jì)手段也各不相同�。隨著民航業(yè)的飛速發(fā)展,空中交通流量的劇增�,工作壓力越來(lái)越大,造成空管單位的安全隱患與日俱增����。
2.空管安全審計(jì)
2.1 空管安全審計(jì)概述
空管安全審計(jì)可以讓管理層有效掌握空中交通服務(wù)系統(tǒng)的安全狀況和需要改進(jìn)的缺陷,它是一種識(shí)別潛在問(wèn)題的有效手段�,是一項(xiàng)未雨綢繆的預(yù)防性安全管理活動(dòng)。
作為安全管理體系的一部分���,內(nèi)部安全審計(jì)所體現(xiàn)的內(nèi)部安全管理作用在于:確保運(yùn)行安全風(fēng)險(xiǎn)得以識(shí)別����,導(dǎo)致安全問(wèn)題的誘因得以辨識(shí)���;通過(guò)強(qiáng)化安全指令和程序的遵守��、人力資源配置���、提高人員素質(zhì)和培訓(xùn)等���,確保具有良好的安全管理體系架構(gòu)���;確保應(yīng)對(duì)突發(fā)緊急情況的安全措施得當(dāng)���;確保設(shè)備性能能夠滿足保證安全所需;在促進(jìn)安全�、監(jiān)測(cè)安全性能和處理安全問(wèn)題方面,保證各項(xiàng)管理措施切實(shí)有效�����。
2.2空管安全審計(jì)原則
(1)安全審計(jì)的目的在于了解實(shí)際情況����,不得有任何指責(zé)和懲罰方面的暗示。
(2)被審計(jì)者應(yīng)當(dāng)給審計(jì)者提供一切相關(guān)安全管理實(shí)證或文件��,安排必要人員供審計(jì)者了解情況����。
(3)安全審計(jì)應(yīng)當(dāng)客觀地調(diào)查取證。
(4)應(yīng)當(dāng)在規(guī)定的時(shí)間內(nèi)給被審計(jì)單位提供書(shū)面報(bào)告���,闡述發(fā)現(xiàn)的問(wèn)題并提出建議�。
(5)應(yīng)當(dāng)向被審計(jì)單位提供有關(guān)審計(jì)結(jié)果的反饋意見(jiàn)�。反饋意見(jiàn)應(yīng)當(dāng)突出審計(jì)中所觀察到的問(wèn)題�����,必須找出不足之處�����,但也要盡可能回避消極的批評(píng)���。
2.3空管安全審計(jì)計(jì)劃
簡(jiǎn)介:說(shuō)明這是哪一項(xiàng)安全審計(jì)的正式文件,介紹報(bào)告的各章���。
參考文件列表:列出審計(jì)中使用的所有文件依據(jù)背景:描述審計(jì)原因�����,說(shuō)明這是正常審計(jì)還是由于特殊原因(例如:發(fā)現(xiàn)安全風(fēng)險(xiǎn)�����,觀察到不安全事件等)而進(jìn)行的審計(jì)�����。
目的:按照審計(jì)計(jì)劃描述審計(jì)的目標(biāo)和范圍���。如果在審計(jì)過(guò)程中發(fā)生了影響審計(jì)目標(biāo)完成的事件,應(yīng)當(dāng)在此描述����,并且闡述事件造成的后果。
人員:列出參加審計(jì)的人員
受審計(jì)的單位:列出受審計(jì)的單位名稱(chēng)
計(jì)劃日期:注上當(dāng)日日期
2.4在空中交通服務(wù)系統(tǒng)的安全審計(jì)應(yīng)當(dāng)遵循以下原則:
(1) 觀察結(jié)果和建議的內(nèi)容應(yīng)與最后討論會(huì)����、審計(jì)報(bào)告草案及最終審計(jì)報(bào)告中的談?wù)摶蚍Q(chēng)述保持一致。
(2) 審計(jì)結(jié)論應(yīng)當(dāng)有充分的證據(jù)支撐���;對(duì)觀察結(jié)果和建議的闡述應(yīng)當(dāng)清晰簡(jiǎn)要�����。
(3) 觀察結(jié)果應(yīng)當(dāng)具體明確��,并客觀地陳述觀察結(jié)果����。
(4)要應(yīng)用廣泛接受的航空術(shù)語(yǔ)而不要用縮略語(yǔ)和俗語(yǔ)���。
(5)避免直接批評(píng)某個(gè)人或某個(gè)職位�����。
2.5審計(jì)員應(yīng)當(dāng)在訪談時(shí)應(yīng)當(dāng)遵照以下原則:
(1)聆聽(tīng)——讓講話的人知道你在聽(tīng)他講��;
(2)保持中立——不要當(dāng)面表達(dá)不一致的意見(jiàn)�,不要隨意打斷對(duì)方的陳述或甚至給予批評(píng);
(3)理解不透徹時(shí)——可向?qū)Ψ胶藢?shí)�����,以獲得對(duì)方對(duì)訪談?dòng)浺恼J(rèn)可����;
(4)使用“什么,為什么�����,在哪里��,什么時(shí)候����,誰(shuí),如何”等特殊疑問(wèn)句,以引出事實(shí)情況�;
(5)詢(xún)問(wèn)一些深入的問(wèn)題,比如“假設(shè)…”����,“如果…����,會(huì)怎樣”“請(qǐng)給我演示一下…”,讓對(duì)方給出解釋和例證��。
2.6 安全審計(jì)情況的后續(xù)跟蹤
(1) 后續(xù)跟蹤的主要目的在于核實(shí)受審計(jì)單位是否落實(shí)了改進(jìn)計(jì)劃�����。后續(xù)跟蹤可以通過(guò)對(duì)改進(jìn)計(jì)劃實(shí)施情況的監(jiān)督來(lái)進(jìn)行����,也可通過(guò)隨訪跟蹤來(lái)進(jìn)行。
(2)如果進(jìn)行了跟蹤隨訪�����,還應(yīng)當(dāng)編制一份隨訪報(bào)告����,說(shuō)明改進(jìn)計(jì)劃的落實(shí)情況����。
如果不符合規(guī)章的情況和隱患尚未消除���,審計(jì)組長(zhǎng)應(yīng)當(dāng)在跟蹤報(bào)告中著重說(shuō)明�����,并直接給相關(guān)空中交通服務(wù)單位的高層管理者發(fā)送一本報(bào)告副本����。
(3) 審計(jì)組長(zhǎng)應(yīng)主動(dòng)向所屬空中交通管理機(jī)構(gòu)報(bào)告階段性的審計(jì)情況和提交審計(jì)報(bào)告��、跟蹤隨訪報(bào)告�����。
3.結(jié)論
本文首先對(duì)空管安全管理體系進(jìn)行了概述�����,描述了當(dāng)今空管安全管理的現(xiàn)狀及中國(guó)民航安全管理的目標(biāo)和空管安全管理體系的構(gòu)成�。
綜上所述�,本文的研究目的是如何通過(guò)有效���、科學(xué)的手段對(duì)空中交通管制單位運(yùn)行安全審計(jì)�����,找出安全隱患�����,通過(guò)一系列的運(yùn)行管理手段,消除安全隱患�,使“人─機(jī)─環(huán)境”系統(tǒng)中的運(yùn)行關(guān)鍵因素有機(jī)地結(jié)合,共同作用于空管運(yùn)行的各個(gè)階段�,切實(shí)提高航空安全運(yùn)行質(zhì)量,從而進(jìn)一步完善我國(guó)民航安全運(yùn)行管理�����,切實(shí)提高民航安全運(yùn)行質(zhì)量�,最大限度地降低航空事故,提高空中交通管制單位的自身系統(tǒng)控制能力和安全管理水平��。
參考文獻(xiàn):
[1]空管在線收集整理
[2]駱慈孟.以人為本,確保飛行安全��,空中交通管理, 2000.5
篇5
在計(jì)算機(jī)與網(wǎng)絡(luò)迅速發(fā)展的當(dāng)代��,互聯(lián)網(wǎng)已經(jīng)為人類(lèi)做出了不可小覷的貢獻(xiàn)�,尤其是在教學(xué)方面,教師已經(jīng)習(xí)慣運(yùn)用信息化手段來(lái)教學(xué)����,但是就在互聯(lián)網(wǎng)盛行的時(shí)代,出現(xiàn)了很多負(fù)面的非法信息�����,這使學(xué)生的人生觀以及價(jià)值觀都受到了影響��,更有甚者非法站點(diǎn)介入了校園內(nèi)部的網(wǎng)站���,竊取了某些信息�,將其泄漏出去���,使學(xué)生的學(xué)習(xí)以及教師的工作受到了嚴(yán)重的影響�。由此看來(lái)�����,規(guī)范校園網(wǎng)絡(luò)使用行為,保證校園網(wǎng)絡(luò)能夠健康����、穩(wěn)定地運(yùn)行是目前我國(guó)大多數(shù)學(xué)校應(yīng)該重視的問(wèn)題。
1 校園網(wǎng)網(wǎng)絡(luò)管理現(xiàn)狀
從我國(guó)大部分校園網(wǎng)絡(luò)使用情況來(lái)看����,校園網(wǎng)絡(luò)中出現(xiàn)了以下幾種狀況:
(1)首先校園內(nèi)部網(wǎng)絡(luò)使用者沒(méi)有經(jīng)過(guò)嚴(yán)格的用前培訓(xùn),因此有很多校園內(nèi)部使用者都會(huì)對(duì)校園網(wǎng)絡(luò)產(chǎn)生供給威脅��;
(2)校園外部互聯(lián)網(wǎng)接入內(nèi)部���,校園內(nèi)部網(wǎng)絡(luò)出現(xiàn)了很多的病毒����,同時(shí)也受到了攻擊性的威脅����;
(3)很多來(lái)自外部的移動(dòng)終端以及計(jì)算機(jī)帶來(lái)了很大的隱患�����;
(4)網(wǎng)絡(luò)上不良信息以及垃圾郵件對(duì)校園網(wǎng)絡(luò)產(chǎn)生的威脅�����。
2 校園網(wǎng)網(wǎng)絡(luò)安全審計(jì)的功能及內(nèi)容
2.1 網(wǎng)絡(luò)安全審計(jì)
其指的是依照制定的策略,使用審計(jì)工具����,來(lái)對(duì)用戶以及系統(tǒng)活動(dòng)進(jìn)行記錄,并分析數(shù)據(jù)等����,以此來(lái)審查網(wǎng)絡(luò)的安全,避免出現(xiàn)一些人為錯(cuò)誤��,這樣就能夠掌握系統(tǒng)是否有漏洞�����,對(duì)資源進(jìn)行科學(xué)���、合理地調(diào)配���,保證系統(tǒng)能夠健康、穩(wěn)定地運(yùn)行�。
2.2 網(wǎng)絡(luò)安全審計(jì)的要點(diǎn)
在管理校園網(wǎng)的過(guò)程中,對(duì)網(wǎng)絡(luò)的審計(jì)內(nèi)容主要包括以下這么幾點(diǎn):
2.2.1 實(shí)時(shí)審計(jì)
也就是說(shuō)對(duì)正在發(fā)生的網(wǎng)絡(luò)行為進(jìn)行監(jiān)督��,爭(zhēng)取能夠在第一時(shí)間內(nèi)將非法操作以及不良網(wǎng)站進(jìn)行封堵,或者報(bào)警�,監(jiān)督的內(nèi)容不僅包括上網(wǎng)時(shí)間、下載文件的類(lèi)型�,還有上網(wǎng)流量等。
2.2.2 日志審計(jì)
將網(wǎng)絡(luò)運(yùn)行的日志記錄下來(lái)����,全面管理操作系統(tǒng)的運(yùn)行日志和數(shù)據(jù)訪問(wèn)日志,并對(duì)其進(jìn)行分析和處理���。
2.2.3 內(nèi)容審計(jì)
此審計(jì)也可以在實(shí)時(shí)審計(jì)以及日志審計(jì)當(dāng)中使用����,審計(jì)聊天���、發(fā)帖以及電子郵件中的信息���。實(shí)時(shí)審計(jì)主要是對(duì)信息的出入口進(jìn)行嚴(yán)密的監(jiān)測(cè)��,分析和對(duì)比信息中的關(guān)鍵字�����,對(duì)非法文字或者敏感字段進(jìn)行報(bào)警,在這些工作進(jìn)行的過(guò)程中�,將整個(gè)過(guò)程記錄在日志當(dāng)中,以此作為審查的原始材料��。
2.2.4 實(shí)時(shí)跟蹤
這是對(duì)那些進(jìn)發(fā)生并且有追溯�����、挽回可能的活動(dòng)信息進(jìn)行實(shí)時(shí)跟蹤�����,將之后的活動(dòng)信息記錄下來(lái)�����,以便追溯非法行為或者犯罪行為���。
3 網(wǎng)絡(luò)安全審計(jì)在校園網(wǎng)安全管理中的作用
網(wǎng)絡(luò)安全管理中最為重要的一部分就是網(wǎng)絡(luò)安全審計(jì)����,這可以幫助校園維護(hù)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行����,師生上網(wǎng)行為得以規(guī)范等工作更加順利地進(jìn)行���。
(1)網(wǎng)絡(luò)安全審計(jì)在過(guò)濾URL地址等關(guān)鍵字之后,既能阻止不良網(wǎng)站中的不良信息接入校園網(wǎng)絡(luò)����,與此同時(shí)能夠使網(wǎng)絡(luò)得以很大程度的保護(hù),保護(hù)其不受外來(lái)網(wǎng)絡(luò)中病毒的侵害���,使系統(tǒng)中最基本的安全能夠達(dá)到相應(yīng)的標(biāo)準(zhǔn)�����。除此之外����,因?yàn)槿罩緦徲?jì)能夠保存系統(tǒng)運(yùn)行過(guò)程當(dāng)中的相關(guān)信息和日志���,因此就能夠在事后進(jìn)行查詢(xún)�����,將內(nèi)部攻擊的可能性降到最低,并且能夠使?jié)撛诘碾[患得以震懾。
(2)實(shí)時(shí)審計(jì)能夠有效規(guī)范校內(nèi)師生上網(wǎng)過(guò)程中的審計(jì)內(nèi)容�,監(jiān)督并阻止教職工利用職務(wù)之便或者上班時(shí)間濫用網(wǎng)絡(luò)資源,阻止學(xué)生不規(guī)范上網(wǎng)的行為���,將校園網(wǎng)的有效資源的價(jià)值發(fā)揮到最大限度���。
(3)內(nèi)容審計(jì)能夠?qū)㈥P(guān)鍵詞與敏感詞有效地阻止在外,避免了垃圾郵件��,以及不良信息在校園網(wǎng)絡(luò)中擴(kuò)散���,這樣一來(lái)就能夠?qū)π@網(wǎng)絡(luò)中的犯罪行為實(shí)施有效監(jiān)控���,使學(xué)校的名譽(yù)不被破壞。
(4)系統(tǒng)分析哪些有價(jià)值的日志信息�����,能夠使系統(tǒng)管理員及時(shí)發(fā)現(xiàn)并修復(fù)系統(tǒng)中隱藏的漏洞��,除此之外���,系統(tǒng)運(yùn)行統(tǒng)計(jì)日志能夠?qū)⑾到y(tǒng)性能中存在的問(wèn)題反應(yīng)出來(lái)�,使系統(tǒng)管理員有了觀察、處理網(wǎng)絡(luò)系統(tǒng)的工具����。如此一來(lái),對(duì)網(wǎng)絡(luò)性能實(shí)施及時(shí)調(diào)整��,為關(guān)鍵應(yīng)用提供充足的資源�����,還能使系統(tǒng)管理員具有針對(duì)性地進(jìn)行系統(tǒng)維護(hù)����,這對(duì)提高工作效率有很大的幫助。
(5)有效追查已經(jīng)發(fā)生���,但還有可能挽回的行為��,不僅能夠追溯違法犯罪的行為���,還能夠追溯系統(tǒng)性能的好與壞,這對(duì)追查已發(fā)生行為具有非常重要的意義��。
4 結(jié)語(yǔ)
近年來(lái)����,互聯(lián)網(wǎng)的飛度發(fā)展����,使校園有了更加豐富的教學(xué)資源��,給教師帶來(lái)了便利的辦公方式和多種多樣的教學(xué)手段�,讓學(xué)生們的課余生活更加精彩�����,但是卻也給校園網(wǎng)絡(luò)帶來(lái)了很大隱患���。因?yàn)樾@網(wǎng)用戶多����、規(guī)模大�����、使用者的活躍度較高等特點(diǎn)�,所以非常難管理,但是因?yàn)槠渖婕暗浇處熍c學(xué)生的日常工作與學(xué)習(xí)中����,所以對(duì)其進(jìn)行嚴(yán)格管理也是極其重要的一項(xiàng)工作�����。使用校園網(wǎng)絡(luò)安全系統(tǒng)�����,能夠使網(wǎng)絡(luò)監(jiān)控效率得以提高�����,所以說(shuō)在學(xué)校具體的使用中����,應(yīng)該根據(jù)校園網(wǎng)的實(shí)際情況�,對(duì)其設(shè)計(jì)科學(xué)的審計(jì)計(jì)策,讓審計(jì)內(nèi)容變得多樣化�,爭(zhēng)取使校園網(wǎng)的有效資源的價(jià)值發(fā)揮到最大限度。
參考文獻(xiàn)
篇6
中圖分類(lèi)號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2012)0220131-01
0 前言
隨著互聯(lián)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的發(fā)展�����,信息傳播范圍和獲取手段發(fā)生著日新月異的變化�。桌面終端在企業(yè)員工日常工作中已被廣泛使用��,成為基本工具�����。桌面終端需要頻繁地訪問(wèn)與企業(yè)生產(chǎn)運(yùn)行密切相關(guān)的各種各樣的信息系統(tǒng)�,大量敏感或信息存儲(chǔ)在桌面或移動(dòng)存儲(chǔ)介質(zhì)中����。同時(shí)���,來(lái)自于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)外部或內(nèi)部的攻擊活動(dòng)有增無(wú)減����,變化無(wú)常���,加之企業(yè)內(nèi)部桌面非法接入的情況較為普遍����,以及桌面安全的管理規(guī)章制度沒(méi)有切實(shí)有效的管理手段��。目前企業(yè)信息安全面臨嚴(yán)峻的挑戰(zhàn)�����,如何保證桌面終端的安全,從而保證企業(yè)整體信息安全��,成為日益突出的問(wèn)題�。同時(shí)強(qiáng)有力和切實(shí)可行的桌面安全管理手段,也將成為企業(yè)信息安全得以保證的基礎(chǔ)�����。
1 桌面終端的安全要求
隨著企業(yè)信息化建設(shè)的迅速發(fā)展�,終端計(jì)算機(jī)數(shù)量的逐步增加,企業(yè)正常��、穩(wěn)定的生產(chǎn)及運(yùn)行越加依附于企業(yè)網(wǎng)絡(luò)�����。桌面終端是企業(yè)網(wǎng)絡(luò)的最基本組成部分��,也是管理的最薄弱環(huán)節(jié)����,涉及大量敏感或數(shù)據(jù),管理較為為復(fù)雜,往往成為信息外泄的源頭��。
企業(yè)應(yīng)根據(jù)自身的網(wǎng)絡(luò)環(huán)境�,結(jié)合基本情況,統(tǒng)一部署防病毒系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)����,并定期對(duì)病毒定義文件進(jìn)行升級(jí)和播發(fā)安全補(bǔ)丁。同時(shí)為了確保終端用戶合規(guī)接入網(wǎng)絡(luò)�����,應(yīng)建立以端點(diǎn)準(zhǔn)入控制系統(tǒng)為基礎(chǔ)的安全防護(hù)體系�,并執(zhí)行企業(yè)制定的安全策略��,阻止不符合安全策略的終端用戶接入企業(yè)網(wǎng)絡(luò)����。終端用戶的桌面安全環(huán)境需要由完善的桌面管理系統(tǒng)提供保障,除了利用防病毒和補(bǔ)丁系統(tǒng)��,來(lái)防范和控制木馬�、惡意軟件及內(nèi)網(wǎng)的攻擊行為,還要對(duì)企業(yè)終端用戶的桌面制定相應(yīng)的安全機(jī)制����,確保每個(gè)接入網(wǎng)絡(luò)的終端用戶都符合企業(yè)安全策略����,規(guī)范終端桌面的安全行為��,使桌面終端工作在一個(gè)安全的防護(hù)體系中���,保證企業(yè)網(wǎng)絡(luò)在一個(gè)安全�����、穩(wěn)定�、有較的環(huán)境中運(yùn)行���。
2 桌面終端安全防護(hù)體系建設(shè)
隨著信息技術(shù)應(yīng)用的不斷深入�����,企業(yè)信息系統(tǒng)集中程度的不斷提高�����,業(yè)務(wù)對(duì)信息系統(tǒng)依賴(lài)程度不斷加大?��,F(xiàn)有的安全防護(hù)系統(tǒng)仍不能完全預(yù)防來(lái)自企業(yè)內(nèi)部或外部網(wǎng)絡(luò)的入侵和攻擊���,所以需要完善安全防護(hù)體系建設(shè),統(tǒng)一建立以防病毒系統(tǒng)��、補(bǔ)丁分發(fā)系統(tǒng)和端點(diǎn)準(zhǔn)入控制系統(tǒng)為基礎(chǔ)的桌面安全防護(hù)系統(tǒng)����,才能使主要依靠信息化應(yīng)用系統(tǒng)的安全性得到有效保證。
2.1 防病毒系統(tǒng)��。防病毒系統(tǒng)體系由總部服務(wù)器獲取最新病毒定義文件下推到各級(jí)單位��,實(shí)現(xiàn)病毒定義文件的逐級(jí)升級(jí)��。防病毒體系的統(tǒng)一部署��,有效地防止了病毒和惡意軟件的大面積爆發(fā)���,為桌面終端安全提供了強(qiáng)有力的保障。
2.2 補(bǔ)丁分發(fā)系統(tǒng)��。補(bǔ)丁分發(fā)系統(tǒng)采用總部服務(wù)器過(guò)濾最新系統(tǒng)安全補(bǔ)丁并下發(fā)到地區(qū)公司服務(wù)器����,地區(qū)公司服務(wù)器自動(dòng)下發(fā)到終端用戶的總體架構(gòu)方式�����。補(bǔ)丁管理系統(tǒng)可以幫助企業(yè)對(duì)網(wǎng)絡(luò)內(nèi)各種軟件和應(yīng)用系統(tǒng)進(jìn)行維護(hù)和控制���。克服安全漏洞并保持生產(chǎn)環(huán)境的穩(wěn)定性�����。
2.3 端點(diǎn)準(zhǔn)入系統(tǒng)�。端點(diǎn)準(zhǔn)入安全防護(hù)體系由總部服務(wù)器下發(fā)企業(yè)總體安全策略,地區(qū)公司接收總部策略后根據(jù)本地實(shí)際情況制定個(gè)性化策略���,管理個(gè)人計(jì)算機(jī)����。端點(diǎn)準(zhǔn)入控制系統(tǒng)需要提供全面的端點(diǎn)保護(hù)功能����,實(shí)現(xiàn)多層次的安全防護(hù)策略,有效應(yīng)對(duì)病毒����、木馬�����、蠕蟲(chóng)等混合安全威脅����,有效應(yīng)對(duì)來(lái)自于互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的惡意掃描�����、惡意入侵等安全威脅��。
2.4 桌面安全流量監(jiān)控體系�。通過(guò)桌面安全流量監(jiān)控系統(tǒng),將桌面安全事件和桌面安全技術(shù)支持團(tuán)隊(duì)有機(jī)聯(lián)系在一起��,建立“發(fā)現(xiàn)-定位-處理”循環(huán)往復(fù)的工作模式�,以安全管理團(tuán)隊(duì)自上而下的監(jiān)督、支持和協(xié)同作戰(zhàn)�����,推動(dòng)各級(jí)安全管理團(tuán)隊(duì)的工作��,提升管理水平���,保證信息安全在桌面端少出問(wèn)題�,從而增強(qiáng)我們整體的信息安全水平���。
2.5 數(shù)據(jù)文件電子加密����。網(wǎng)絡(luò)中最有價(jià)值的是數(shù)據(jù)���,而敏感或數(shù)據(jù)的安全性越來(lái)越重要�。網(wǎng)絡(luò)安全產(chǎn)品大部分都集中在這些數(shù)據(jù)的�,并沒(méi)有針對(duì)數(shù)據(jù)本身的安全保障提出有效的解決方案。所以建立電子文檔加密系統(tǒng)�,可以為員工提供方便易用的文件加密工具,切實(shí)增強(qiáng)信息安全水平和意識(shí)�����,有效防止敏感信息泄漏�。這對(duì)提高整體的信息安全也是切實(shí)可行的。電子文檔加密系統(tǒng)是為桌面用戶提供文件加密工具����。加密后的文件可有效防范丟失�����、失竊或在網(wǎng)絡(luò)上傳輸時(shí)被非法常截獲等情況下的信息外泄�����。
2.6 系統(tǒng)安全審計(jì)��。建立系統(tǒng)安全審計(jì)應(yīng)為安全部門(mén)或管理員提供及時(shí)有效的一組管理數(shù)據(jù)進(jìn)行分析���,以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計(jì)結(jié)果�����,可調(diào)整安全政策�����,堵住出現(xiàn)的漏洞�,為此,系統(tǒng)安全審計(jì)應(yīng)該具備以下功能:
1)記錄關(guān)鍵事件:由安全相關(guān)部門(mén)統(tǒng)一定義違犯安全的事件����,并決定將什么信息記入審計(jì)日志。
2)提供可集中處理審計(jì)日志的數(shù)據(jù)形式:以標(biāo)準(zhǔn)的����、可使用的格式輸出安全審計(jì)信息,使安全官員能夠直接利用軟件工具處理這些事件�。
3)實(shí)時(shí)安全報(bào)警:擴(kuò)展現(xiàn)有管理工作的能力并將它們與數(shù)據(jù)鏈路驅(qū)動(dòng)程序和安全審計(jì)能力結(jié)合起來(lái),當(dāng)發(fā)生與安全有關(guān)的事件時(shí)��,安全系統(tǒng)就報(bào)警通知相應(yīng)的部門(mén)�����。
2.7 加強(qiáng)桌面安全管理��。建立嚴(yán)格遵守規(guī)章制度���,依據(jù)國(guó)家法律法規(guī)根據(jù)企業(yè)本身的實(shí)際情況制定相關(guān)規(guī)章制度�����,讓終端用戶遵守相關(guān)制度����,可以有效的減少終端安全桌面的事故發(fā)生。培養(yǎng)終端用戶良好的安全意識(shí)�����,安全意識(shí)低的必然結(jié)果就是導(dǎo)致信息安全實(shí)踐水平較差���,所以培養(yǎng)終端用戶的安全意識(shí)可以防止利用終端入侵企業(yè)網(wǎng)絡(luò)�����。加強(qiáng)桌面用戶安全培訓(xùn)�����,經(jīng)常組織安全培訓(xùn)可以提高終端用戶的安全防護(hù)知識(shí)��,提升終端桌面的防御能力����。
3 結(jié)語(yǔ)
桌面終端是企業(yè)網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)��,也是企業(yè)信息安全最脆弱的部位�,目前企業(yè)的安全防護(hù)手段不能完全的對(duì)桌面終端做到有效的安全管理,所以應(yīng)該根據(jù)需求建立相應(yīng)的安全體系,不僅能增加桌面終端的安全防護(hù)能力���,同時(shí)也減少企業(yè)網(wǎng)絡(luò)面臨的安全威脅�����,同時(shí)應(yīng)提高終端用戶的安全意識(shí),加強(qiáng)安全管理����。
篇7
一、信息系統(tǒng)審計(jì)的內(nèi)涵和外延難以把握
隨著信息技術(shù)的發(fā)展���,信息系統(tǒng)在財(cái)務(wù)����、管理領(lǐng)域的應(yīng)用程度不斷提高�����,功能日趨完善�,其軟硬件結(jié)構(gòu)的復(fù)雜性和涉及領(lǐng)域的廣泛性以及信息處理技術(shù)更新的頻繁性使得審計(jì)人員難以同步把握信息系統(tǒng)審計(jì)的內(nèi)涵和外延。從外延上看�,信息系統(tǒng)審計(jì)主要包括兩個(gè)部分,一是對(duì)信息系統(tǒng)主體的審計(jì),二是對(duì)信息系統(tǒng)應(yīng)用環(huán)境的審計(jì)�,包括網(wǎng)絡(luò)環(huán)境、使用環(huán)境�����、管理使用情況等�。一般說(shuō)來(lái),審計(jì)信息系統(tǒng)本身相對(duì)容易���,但審計(jì)信息系統(tǒng)的應(yīng)用環(huán)境卻存在較多不確定因素��,比如某公司的信息系統(tǒng)通過(guò)防火墻連接到互聯(lián)網(wǎng)�����,而在防火墻內(nèi)還存在其它系統(tǒng)�,其它系統(tǒng)是不是也在審計(jì)范圍之內(nèi)����?從內(nèi)涵上看,信息系統(tǒng)審計(jì)主要是對(duì)信息系統(tǒng)的安全性和可靠性進(jìn)行評(píng)估���、評(píng)價(jià)����。安全性、可靠性是一個(gè)比較廣泛的概念��,以系統(tǒng)安全性為例��,它包括:ISO開(kāi)放系統(tǒng)互連安全體系結(jié)構(gòu)��、TCP/IP安全體系�、開(kāi)放系統(tǒng)互連的安全管理��、安全服務(wù)和功能配置�����;系統(tǒng)安全涉及的信息安全技術(shù)包括:密碼技術(shù)����、訪問(wèn)控制技術(shù)、機(jī)密性和完整性保護(hù)技術(shù)���、數(shù)字簽名技術(shù)�、抗抵賴(lài)技術(shù)�����、預(yù)(報(bào))警機(jī)制、公證技術(shù)�、防火墻技術(shù)、漏洞檢測(cè)技術(shù)�、網(wǎng)絡(luò)隔離技術(shù)、計(jì)算機(jī)病毒防范等����。由于信息技術(shù)本身的限制性,絕大部分信息系統(tǒng)本身均存在安全性問(wèn)題(如防護(hù)級(jí)別最高���、防護(hù)技術(shù)最好的美國(guó)國(guó)防部也常有被攻擊的情況)���。
把握不準(zhǔn)信息系統(tǒng)審計(jì)的外延和內(nèi)涵,就難以解決以下三個(gè)問(wèn)題:一是難以解決審計(jì)力量與審計(jì)任務(wù)之間的矛盾����,難以控制審計(jì)風(fēng)險(xiǎn),即不該審的審了�,該審的卻未審;二是由于絕大部分信息系統(tǒng)本身均存在安全性問(wèn)題���,信息系統(tǒng)審計(jì)很容易演變成“信息系統(tǒng)是否存在問(wèn)題源自于審計(jì)人員的技術(shù)水平���,而不是系統(tǒng)本身的安全性和可靠性”���,即,絕大部分信息系統(tǒng)均存在不安全�����、不可靠因素��,就看審計(jì)人員能否發(fā)現(xiàn)由于信息系統(tǒng)的安全性問(wèn)題是絕對(duì)的���,而審計(jì)人員的視角和技術(shù)水平是相對(duì)的,信息系統(tǒng)審計(jì)的成果部分取決于審計(jì)人員對(duì)信息系統(tǒng)審計(jì)內(nèi)容的把握程度���;三是由于審計(jì)需要大量的證據(jù)支撐�����,對(duì)于未造成損失但信息系統(tǒng)存在不安全隱患的問(wèn)題難以定性,即便是造成了損失�����,也難以界定這些損失與信息系統(tǒng)不安全�、不可靠因素之間聯(lián)系。因此��,審計(jì)部門(mén)應(yīng)根據(jù)“全面審計(jì)����、突出重點(diǎn)”及“先易后難”、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則����,參照國(guó)家信息技術(shù)部的有關(guān)標(biāo)準(zhǔn),界定信息系統(tǒng)工作的外延和內(nèi)涵��,將信息系統(tǒng)審計(jì)的主要方向定在:被審計(jì)單位的信息系統(tǒng)的安全性����、可靠性是否達(dá)到應(yīng)有的水平或標(biāo)準(zhǔn),而不是系統(tǒng)是否有安全性和可靠性問(wèn)題��。
二���、信息系統(tǒng)審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)很難確定
信息系統(tǒng)安全審計(jì)����,涉及會(huì)計(jì)信息處理自動(dòng)化��、表示代碼化、信息處理與存儲(chǔ)集中化��、內(nèi)部控制程序化等諸多廣泛�����、復(fù)雜的計(jì)算機(jī)專(zhuān)業(yè)技術(shù)環(huán)節(jié)���,其技術(shù)性較高�。而我國(guó)信息系統(tǒng)審計(jì)正處于起步階段�����,對(duì)審計(jì)機(jī)關(guān)如何開(kāi)展信息系統(tǒng)審計(jì)尚在積極探索中����,因此�,目前尚沒(méi)有一個(gè)完整的、成熟的具有示范作用的審計(jì)案例���,也缺少具備實(shí)際指導(dǎo)意義的相關(guān)信息系統(tǒng)審計(jì)準(zhǔn)則和操作指南�����。
近年來(lái)�,國(guó)家安全部門(mén)相繼出臺(tái)了多個(gè)安全標(biāo)準(zhǔn),例如公安部出臺(tái)的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)�����、《信息安全等級(jí)保護(hù)管理辦法》�,還有相應(yīng)的安全技術(shù)規(guī)范《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)�、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)�、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)��。但在實(shí)際操作中����,這些標(biāo)準(zhǔn)在可操作性上還有待提高,一是信息系統(tǒng)安全等級(jí)的確定����,缺乏一個(gè)等級(jí)認(rèn)定的部門(mén),目前是由各個(gè)單位自己定級(jí)報(bào)送���,會(huì)存在低報(bào)等級(jí)風(fēng)險(xiǎn)���;二是等級(jí)要求沒(méi)有量化和詳細(xì)解釋?zhuān)燃?jí)認(rèn)定存在困難���。這些都給具體的審計(jì)實(shí)務(wù)工作帶來(lái)極大的困難。因此建議審計(jì)部門(mén)及時(shí)組織總結(jié)實(shí)踐經(jīng)驗(yàn)�����,規(guī)范信息系統(tǒng)安全審計(jì)的有關(guān)概念�、審計(jì)內(nèi)容、工作流程和技術(shù)方法���、形成信息系統(tǒng)安全審計(jì)準(zhǔn)則��、操作指南或?qū)崉?wù)公告的準(zhǔn)則體系���,這是信息系統(tǒng)安全審計(jì)得以健康發(fā)展的基礎(chǔ)。
三�、信息系統(tǒng)審計(jì)缺乏相應(yīng)的人才
我國(guó)目前尚缺乏既熟悉審計(jì)業(yè)務(wù)又掌握計(jì)算機(jī)技術(shù)同時(shí)了解國(guó)內(nèi)標(biāo)準(zhǔn)信息系統(tǒng)流程的復(fù)合型人才,進(jìn)行信息系統(tǒng)審計(jì)所涉及的知識(shí)面非常廣���,涉及會(huì)計(jì)、審計(jì)�、管理和計(jì)算機(jī)等知識(shí)�����,而進(jìn)行信息系統(tǒng)安全性審計(jì)主要從系統(tǒng)總體安全�����、系統(tǒng)運(yùn)行安全��、數(shù)據(jù)中心安全���、硬件設(shè)備安全和網(wǎng)絡(luò)安全情況五個(gè)方面來(lái)進(jìn)行,每個(gè)方面都涉及不同的知識(shí)點(diǎn)�。當(dāng)對(duì)系統(tǒng)總體安全進(jìn)行審計(jì)時(shí),則要求審計(jì)人員具有系統(tǒng)總體分析�、系統(tǒng)設(shè)計(jì)和系統(tǒng)安全分析的知識(shí);當(dāng)對(duì)系統(tǒng)運(yùn)行進(jìn)行審計(jì)時(shí)��,則要求審計(jì)人員具有系統(tǒng)運(yùn)行管理��、系統(tǒng)維護(hù)和系統(tǒng)安全管理的知識(shí)�;當(dāng)對(duì)數(shù)據(jù)中心安全進(jìn)行審計(jì)時(shí),則要求審計(jì)人員具有工程建設(shè)���、數(shù)據(jù)中心安全維護(hù)和災(zāi)備等知識(shí)���;當(dāng)對(duì)硬件設(shè)備安全進(jìn)行審計(jì)時(shí)�����,則要求審計(jì)人員具有設(shè)備采購(gòu)��、設(shè)備維護(hù)和設(shè)備安全分析等知識(shí)����;當(dāng)對(duì)網(wǎng)絡(luò)安全情況進(jìn)行審計(jì)時(shí)�,則要求審計(jì)人員具有網(wǎng)絡(luò)安全分析和網(wǎng)絡(luò)防范等知識(shí)。但在當(dāng)前情況下��,審計(jì)人員能夠掌握上述某一方面的知識(shí)都已經(jīng)難能可貴��,更不用說(shuō)要掌握所有的知識(shí)面�。建議審計(jì)部門(mén)加強(qiáng)對(duì)審計(jì)人員理論培訓(xùn),并組織審計(jì)人員進(jìn)行實(shí)踐���,通過(guò)實(shí)踐經(jīng)驗(yàn)來(lái)鞏固理論知識(shí)���,培養(yǎng)出更多的信息系統(tǒng)審計(jì)復(fù)合型人才和相應(yīng)的專(zhuān)業(yè)性人才����。
四�、信息系統(tǒng)審計(jì)需要相應(yīng)的法規(guī)支持和成果考核標(biāo)準(zhǔn)
篇8
天識(shí)科技是美國(guó)Motorola公司PDA和日本富士通公司PDA指紋算法提供商�����,是國(guó)內(nèi)銀行總行選用的指紋管理平臺(tái)供應(yīng)商�����,該平臺(tái)管理著銀行業(yè)眾多的指紋儀�。是國(guó)內(nèi)領(lǐng)先的指紋產(chǎn)品研發(fā)、生產(chǎn)廠商����,天識(shí)科技在全國(guó)范圍內(nèi)為中國(guó)銀行、中國(guó)建設(shè)銀行�����、中國(guó)民生銀行�、中信銀行、上海浦東發(fā)展銀行��、華夏銀行、興業(yè)銀行�、福州商業(yè)銀行等超過(guò)50家省市分行提供了生物識(shí)別應(yīng)用安全產(chǎn)品的全面解決方案。天識(shí)科技對(duì)生物識(shí)別技術(shù)的研發(fā)已有10年以上的歷史����,有著豐富的產(chǎn)品設(shè)計(jì)、生產(chǎn)組織�、項(xiàng)目實(shí)施經(jīng)驗(yàn),為銀行業(yè)實(shí)施各種安全解決方案有15年以上的經(jīng)驗(yàn)�。天識(shí)科技同時(shí)還是美國(guó)APPSEC 公司的專(zhuān)注于網(wǎng)絡(luò)應(yīng)用評(píng)估、審計(jì)產(chǎn)品的中國(guó)金融業(yè)總��,是用生物識(shí)別技術(shù)和Web 應(yīng)用審計(jì)技術(shù)完美結(jié)合����,防止非法入侵信息系統(tǒng)整體解決方案的提供商。結(jié)合整體解決方案需要���,公司產(chǎn)品和服務(wù)劃分成生物識(shí)別產(chǎn)品系列��、審計(jì)評(píng)估和Cefis安保三個(gè)部分����。
第一部分��,生物識(shí)別產(chǎn)品系列。公司擁有自由知識(shí)產(chǎn)權(quán)的指紋產(chǎn)品獲得多項(xiàng)國(guó)家發(fā)明���,指紋管理平臺(tái)TS-Match 是行業(yè)領(lǐng)先的指紋管理平臺(tái)�,目前管理著國(guó)內(nèi)銀行業(yè)眾多的指紋儀�。
篇9
1.信息系統(tǒng)安全技術(shù)
信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎(chǔ)���,在其中起到支撐的作用���。在實(shí)際工作中,針對(duì)企業(yè)各自特點(diǎn)制定相關(guān)策略����。當(dāng)前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問(wèn)題如下:
1.1硬件運(yùn)維
硬件設(shè)備的運(yùn)維和管理是企業(yè)信息系統(tǒng)安全體系的基礎(chǔ)保障,但是管理人員容易忽視這一環(huán)節(jié)��。企業(yè)信息系統(tǒng)往往會(huì)因?yàn)橛布O(shè)備故障�����、斷電或網(wǎng)絡(luò)問(wèn)題造成信息丟失或服務(wù)中斷�����。如果針對(duì)硬件設(shè)備的運(yùn)維和管理沒(méi)有相關(guān)保障機(jī)制,一次發(fā)生意外�,就會(huì)給企業(yè)造成不可估量的損失。
當(dāng)前常見(jiàn)的硬件設(shè)備運(yùn)維保障管理機(jī)制有以下幾個(gè)環(huán)節(jié):一是通過(guò)設(shè)置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運(yùn)行�����;二是要對(duì)企業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)行定期巡檢��,在前期的網(wǎng)絡(luò)環(huán)境部署過(guò)程中首先考慮網(wǎng)絡(luò)的連接穩(wěn)定性����;最后是加強(qiáng)信息系統(tǒng)安全管理,嚴(yán)防企業(yè)信息丟失和竊取�����,可以通過(guò)對(duì)數(shù)據(jù)信息存儲(chǔ)服務(wù)器設(shè)置物理鎖的方式避免非法操作��。為了保證系統(tǒng)服務(wù)器的安全����,管理人員可以采用遠(yuǎn)程登錄的方式訪問(wèn)系統(tǒng)。
1.2入侵防御
病毒入侵一般都擁有固定代碼����,而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞�����,從而進(jìn)行人為操縱的信息竊取或系統(tǒng)攻擊���。特定的防范方法包括:嚴(yán)格制定防火墻訪問(wèn)控制策略,阻止外界對(duì)內(nèi)部資源的非法訪問(wèn)���;關(guān)閉系統(tǒng)硬件不用的端口;定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和補(bǔ)丁包更新�����;在信息系統(tǒng)中部署入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)����,從而抵御非法入侵。
1.3病毒防范
信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對(duì)于信息系統(tǒng)病毒的防范非常重要���。操作系統(tǒng)是企業(yè)信息平臺(tái)安全的基礎(chǔ)��,錯(cuò)誤的安裝配置會(huì)使病毒滲入到信息系統(tǒng)當(dāng)中��。針對(duì)信息系統(tǒng)安裝殺毒軟件并進(jìn)行定期更新是病毒防范的基本措施��,這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性����。企業(yè)還需要定期對(duì)系統(tǒng)進(jìn)行數(shù)據(jù)備份。
1.4數(shù)據(jù)加密
在公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)倪^(guò)程中����,利用虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)設(shè)置訪問(wèn)控制策略,實(shí)現(xiàn)兩個(gè)或多個(gè)可信網(wǎng)絡(luò)之間的數(shù)據(jù)加密與傳輸�。搭建VPN通常使用加密防火墻和路由器,保證數(shù)據(jù)安全傳輸[1]�����。
在企業(yè)的局域網(wǎng)中針對(duì)內(nèi)部信息存儲(chǔ)����、傳輸?shù)陌踩珕?wèn)題,可以通過(guò)部署安全服務(wù)器來(lái)實(shí)現(xiàn)包括對(duì)局域網(wǎng)內(nèi)資源的管理控制���、用戶的管理和所有安全相關(guān)事件的跟蹤和審計(jì)���。
2.信息系統(tǒng)安全管理
企業(yè)信息系統(tǒng)安全體系的建設(shè)三分靠技術(shù),七分靠管理�。因此�,建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點(diǎn)�。
2.1制定企業(yè)信息系統(tǒng)安全管理制度
企業(yè)信息系統(tǒng)安全體系的建立和實(shí)施對(duì)其正常運(yùn)營(yíng)非常重要,所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準(zhǔn)����。
2.2提高企業(yè)員工信息系統(tǒng)安全意識(shí)
現(xiàn)實(shí)中企業(yè)管理者的關(guān)注焦點(diǎn)大多是生產(chǎn)上的安全,信息安全沒(méi)有得到足夠的重視�����。實(shí)際上�����,企業(yè)員工信息安全意識(shí)的高低���,在企業(yè)的信息系統(tǒng)安全體系建設(shè)中起很大作用,企業(yè)能夠加強(qiáng)員工的信息安全意識(shí)��,將很大地提高信息系統(tǒng)安全體系實(shí)施的成效���。
2.3嚴(yán)格執(zhí)行標(biāo)準(zhǔn)�,強(qiáng)化制度落實(shí)
在企業(yè)信息系統(tǒng)安全體系的建設(shè)過(guò)程中���,必須嚴(yán)格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行���,最大程度消除信息系統(tǒng)安全隱患����。若發(fā)現(xiàn)信息系統(tǒng)安全隱患����,及時(shí)按照相關(guān)操作規(guī)程處置[2]。
2.4積極學(xué)習(xí)和應(yīng)對(duì)各種信息系統(tǒng)安全事件
信息技術(shù)不斷發(fā)展���,保障信息系統(tǒng)安全的難度也在與日俱增���。因此��,信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學(xué)習(xí)�����,不僅要制定一套完整嚴(yán)密的信息系統(tǒng)安全管理方案���,還要有步驟清晰��、操作性強(qiáng)的應(yīng)急預(yù)案��,這樣才能增強(qiáng)信息系統(tǒng)安全管理的危機(jī)抵御能力和處理能力���。
2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺(tái)
面對(duì)日漸嚴(yán)峻的信息安全形勢(shì),在加強(qiáng)企業(yè)信息系統(tǒng)基礎(chǔ)安全設(shè)施建設(shè)的同時(shí)��,要有機(jī)結(jié)合員工信息安全意識(shí)����、技術(shù)能力���、企業(yè)運(yùn)維管理三者,建立一套綜合性強(qiáng)的信息系統(tǒng)安全保障體系����,在所有的業(yè)務(wù)系統(tǒng)中貫徹執(zhí)行當(dāng)前的安全管理思路�����,通過(guò)可量化的技術(shù)手段,達(dá)到信息系統(tǒng)安全管理的最終目的����。
3.信息系統(tǒng)安全審計(jì)
企業(yè)信息系統(tǒng)安全體系的建設(shè)是一個(gè)長(zhǎng)期的��、需要不斷持續(xù)更新��、完善的系統(tǒng)工程����,通過(guò)對(duì)信息系統(tǒng)的安全審計(jì)����,及時(shí)發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞,才能不斷提高企業(yè)安全水平和質(zhì)量����。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計(jì)��,有效加強(qiáng)企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風(fēng)險(xiǎn)控制���,滿足相關(guān)政策法規(guī)��,成為各行業(yè)面臨的普遍問(wèn)題[3]�����。
信息系統(tǒng)安全審計(jì)是指一群擁有相關(guān)信息安全專(zhuān)業(yè)技能和商業(yè)知識(shí)的審計(jì)人員對(duì)企業(yè)安全風(fēng)險(xiǎn)以及如何應(yīng)對(duì)風(fēng)險(xiǎn)措施進(jìn)行評(píng)估的一個(gè)過(guò)程�����。信息系統(tǒng)安全審計(jì)人員通過(guò)收集�����、分析�、評(píng)估信息系統(tǒng)安全信息�,掌握其安全狀態(tài)���,制定安全策略��,將系統(tǒng)調(diào)整到“最安全”和“最小風(fēng)險(xiǎn)”的狀態(tài)�����,確保信息系統(tǒng)安全體系完整、合理��、適用[4]�����。
由于目前信息系統(tǒng)應(yīng)用已經(jīng)涉及到企業(yè)的各個(gè)業(yè)務(wù)和辦公領(lǐng)域����,對(duì)于信息系統(tǒng)帶來(lái)的安全管理已經(jīng)是企業(yè)運(yùn)營(yíng)不可切割的一部分�����。所以��,企業(yè)的信息系統(tǒng)安全審計(jì)應(yīng)該是一個(gè)從業(yè)務(wù)部門(mén)到技術(shù)部門(mén)都必須參與控制的過(guò)程�。
從信息系統(tǒng)本身來(lái)說(shuō)��,安全審計(jì)的要點(diǎn)主要是以下兩個(gè)方面:
3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計(jì)
數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn)����,保護(hù)數(shù)據(jù)的安全���、完整�����,避免其被惡意破壞�����、盜竊����。對(duì)用戶身份進(jìn)行控制�,避免非授權(quán)訪問(wèn)數(shù)據(jù),是數(shù)據(jù)訪問(wèn)環(huán)節(jié)的安全控制措施�����。除此之外���,對(duì)數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)。首先�����,應(yīng)雇傭具備任職資格或經(jīng)過(guò)適當(dāng)培訓(xùn)的人員�����,避免誤操作����;其次����,所有操作都應(yīng)該經(jīng)過(guò)授權(quán)且有記錄,數(shù)據(jù)文件被正確保存且經(jīng)過(guò)充分備份���,以備正確的恢復(fù)���。
在信息系統(tǒng)中,有些數(shù)據(jù)需要在兩個(gè)子系統(tǒng)或多個(gè)子系統(tǒng)中相互傳輸�,在這個(gè)過(guò)程中很可能會(huì)出現(xiàn)問(wèn)題��,尤其是在需要手工錄入或同步傳輸?shù)那闆r�,因此在進(jìn)行信息系統(tǒng)安全審計(jì)的過(guò)程中要重點(diǎn)關(guān)注以下方面:數(shù)據(jù)在傳輸?shù)倪^(guò)程中可能會(huì)發(fā)生變化,如何進(jìn)行校驗(yàn)�;核心數(shù)據(jù)庫(kù)可能會(huì)被物理分散的服務(wù)器取代����;當(dāng)一個(gè)信息系統(tǒng)取代原有的信息系統(tǒng)時(shí)�,會(huì)進(jìn)行數(shù)據(jù)的傳輸�。要保證傳輸?shù)臄?shù)據(jù)是完整、可靠并且經(jīng)過(guò)批準(zhǔn)的�����,數(shù)據(jù)的全部傳輸過(guò)程要準(zhǔn)確�,并且在約定時(shí)間內(nèi)完成。
3.2內(nèi)部控制審計(jì)
篇10
一�、主要成績(jī):
1、加強(qiáng)信息化建設(shè)��,今年以來(lái)已投入資金余約250萬(wàn)元�����,進(jìn)行了機(jī)房服務(wù)器�、核心交換機(jī)及全院舊計(jì)算機(jī)�����、打印機(jī)的更新工作,已正常投入運(yùn)行�����。目前正在進(jìn)行醫(yī)院信息系統(tǒng)升級(jí)和電子病歷系統(tǒng)上線����、調(diào)試和人員培訓(xùn)工作����,下月初將進(jìn)行匯集交換機(jī)��、接入層交換機(jī)安裝和全院的千兆網(wǎng)絡(luò)改造���、安裝檢驗(yàn)系統(tǒng)和中科美侖公司的影像系統(tǒng),初步實(shí)現(xiàn)以電子病歷為中心的醫(yī)院信息化建設(shè)�����。
2����、加強(qiáng)網(wǎng)絡(luò)維護(hù),保證全院信息系統(tǒng)和醫(yī)保系統(tǒng)�����、農(nóng)保系統(tǒng)��,居民健康檔案系統(tǒng)����、婦幼信息系統(tǒng)�����、財(cái)務(wù)管理系統(tǒng)正常運(yùn)行��。移動(dòng)公司已在我院安裝了無(wú)線網(wǎng)絡(luò)����,基本實(shí)現(xiàn)全院的外網(wǎng)的無(wú)線網(wǎng)絡(luò)覆蓋。
3�����、加強(qiáng)醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作,已安裝防火墻�、桌面管理軟件,下月初將安裝數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)�����,確保信息系統(tǒng)安全��,防止信息泄密���。
二�����、目前存在的問(wèn)題:
1、我院目前正在進(jìn)行醫(yī)院信息系統(tǒng)升級(jí)和上電子病歷系統(tǒng)�����,目前新舊系統(tǒng)都在運(yùn)行���,因數(shù)據(jù)庫(kù)不相同����,無(wú)法同時(shí)上傳新舊系統(tǒng)的數(shù)據(jù),可能造成上傳數(shù)據(jù)不完整��,要到8月底才能完成改成��。
2�����、檢驗(yàn)系統(tǒng)要下月才能安裝�,暫時(shí)不能上傳檢驗(yàn)檢測(cè)結(jié)果。
三���、下半年信息化建設(shè)工作計(jì)劃:
1�����、下月初將進(jìn)行全院的網(wǎng)絡(luò)改造��、安裝檢驗(yàn)系統(tǒng)和中科美侖公司的影像系統(tǒng)����,初步實(shí)現(xiàn)以電子病歷為中心的醫(yī)院信息化建設(shè)�����。
篇11
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入���、干擾���、破壞、竊用及其他意外事故所采取的各種必要措施���,以確保信息完整���、可用、無(wú)泄露�����,保持網(wǎng)絡(luò)穩(wěn)定�、安全地運(yùn)行���。其主要特征是保證網(wǎng)絡(luò)信息的完整性�����、可用性和機(jī)密性[2]��。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問(wèn)題
企業(yè)網(wǎng)絡(luò)安全面臨的問(wèn)題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確����。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行,但企業(yè)對(duì)網(wǎng)絡(luò)安全的重要性依然認(rèn)識(shí)不足���,缺乏網(wǎng)絡(luò)安全規(guī)劃,沒(méi)有明確的網(wǎng)絡(luò)安全目標(biāo)[3]�。(2)網(wǎng)絡(luò)安全意識(shí)不足。從企業(yè)的決策者到普通員工并沒(méi)有充分意識(shí)到網(wǎng)絡(luò)安全的重要性����,企業(yè)網(wǎng)絡(luò)安全存在很大隱患����。(3)網(wǎng)絡(luò)安全設(shè)施不健全��。無(wú)論大型企業(yè)�,還是中小企業(yè),都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問(wèn)題���,以致設(shè)施陳舊�����、不完整��,面對(duì)外部攻擊和各種漏洞很容易發(fā)生信息丟失�、泄露�、竊用等現(xiàn)象����。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化���、分散化等特點(diǎn)[4],缺乏系統(tǒng)性���、協(xié)同性�����、靈活性�����,面對(duì)萬(wàn)物互聯(lián)和更高級(jí)的威脅,傳統(tǒng)防護(hù)手段捉襟見(jiàn)肘����、防不勝防[5]��。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求��,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢(shì)共同決定的����,內(nèi)外都不會(huì)一成不變�����,所以企業(yè)網(wǎng)絡(luò)安全需求是一個(gè)動(dòng)態(tài)過(guò)程����,具有時(shí)效性?���;诖?�,要準(zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求��,必須對(duì)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析,一般而言�,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6]�����,具體體現(xiàn)在以下幾個(gè)方面:(1)網(wǎng)絡(luò)安全策略需求�。安全策略的有效性����、完整性和實(shí)用性是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要需求�。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過(guò)于簡(jiǎn)單����,而且沒(méi)有形成完整的體系,對(duì)企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足���。(2)網(wǎng)絡(luò)安全組織需求�。企業(yè)應(yīng)建立結(jié)構(gòu)完整�、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu),負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定�����、網(wǎng)絡(luò)安全培訓(xùn)�、網(wǎng)絡(luò)安全運(yùn)行管理等。(3)網(wǎng)絡(luò)安全運(yùn)行管理需求�。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系��,采用實(shí)用的運(yùn)行管理方法�,對(duì)服務(wù)器安全�����、網(wǎng)絡(luò)訪問(wèn)可控性�、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理���。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則
網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計(jì)網(wǎng)絡(luò)安全方案��,避免失于偏頗和“詞不達(dá)意”����,設(shè)計(jì)原則可以有很多�����,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則��。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多�����。(2)簡(jiǎn)單適用原則��。過(guò)于復(fù)雜的方案漏洞多��,本身就不安全��。(3)系統(tǒng)性原則����。企業(yè)網(wǎng)絡(luò)安全面對(duì)的威脅是多方面的�����,只專(zhuān)注于一點(diǎn)無(wú)法保障網(wǎng)絡(luò)安全。(4)需求�����、風(fēng)險(xiǎn)與代價(jià)平衡原則�����。沒(méi)有任何方案可以做到絕對(duì)安全����,追求過(guò)高的安全性要付出巨大代價(jià)����,所以要學(xué)會(huì)取舍,平衡風(fēng)險(xiǎn)與代價(jià)�。(5)可維護(hù)性原則。沒(méi)有任何系統(tǒng)可以做到無(wú)懈可擊����,要做到能隨時(shí)調(diào)整、升級(jí)��、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則���。在改善安全技術(shù)的同時(shí)也要加強(qiáng)管理,減少管理漏洞�,對(duì)于復(fù)雜的安全形勢(shì)���,要多做預(yù)案��,提前防范突發(fā)事件。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實(shí)安全域的防護(hù)策略���、制定訪問(wèn)控制策略、檢查網(wǎng)絡(luò)邊界�����、分級(jí)防護(hù)等��。從企業(yè)網(wǎng)絡(luò)安全需求及特點(diǎn)出發(fā)����,將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域�����、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域���,如圖1所示���?�;ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)���,服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域�����,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域�����。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)���,便于各個(gè)安全子域內(nèi)部署相應(yīng)等級(jí)的防護(hù)策略����。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示)����,作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全�����。安全網(wǎng)關(guān)不是單一的防火墻���,而是綜合了防病毒、入侵檢測(cè)和防火墻的一體化安全設(shè)備�。該設(shè)備運(yùn)用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念�,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺(tái)上���,按需開(kāi)啟多種功能�����,其由硬件�、軟件、網(wǎng)絡(luò)技術(shù)組成�。UTM在硬件上可以采用X86、ASIC�����、NP架構(gòu)中的一種���,X86架構(gòu)適于百兆網(wǎng)絡(luò)����,若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)����。在升級(jí)�、維護(hù)及開(kāi)發(fā)周期方面��,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢(shì)���。UTM軟件上可以集成防病毒、入侵檢測(cè)���、內(nèi)容過(guò)濾、防垃圾郵件���、流量管理等多種功能,通過(guò)模式匹配實(shí)現(xiàn)特征庫(kù)統(tǒng)一和效率提升��。UTM管理結(jié)構(gòu)基于管理分層�、功能分級(jí)思想���,包含集中管理與單機(jī)管理的雙重管理機(jī)制�,實(shí)現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫(xiě)��,用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸���,發(fā)現(xiàn)異常數(shù)據(jù)可以即時(shí)中斷傳輸或進(jìn)行隔離�����,先于攻擊達(dá)成實(shí)現(xiàn)防護(hù)��,與防火墻功能上互補(bǔ)�����,并支持串行接入模式���,采用基于策略的防護(hù)方式����,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間����,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示)�,可實(shí)時(shí)監(jiān)測(cè)外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過(guò)程���,發(fā)現(xiàn)入侵行為即報(bào)警��、阻斷����,同時(shí)還能精確阻擊SQL注入攻擊。IDS是入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem)的英文縮寫(xiě)��,能對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)時(shí)監(jiān)視�,發(fā)現(xiàn)可疑報(bào)警或采取其他主動(dòng)反應(yīng)措施,屬于監(jiān)聽(tīng)設(shè)備��,其安全策略包括異常入侵檢測(cè)����、誤用入侵檢測(cè)兩種方式,可部署在核心交換機(jī)上,對(duì)進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測(cè)�,如圖1所示。
