发布时间:2023-10-09 17:41:41
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇个人信息安全应急演练,期待它们能激发您的灵感。
关键词 信息安全;安全防护;信息保密
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0024-02
1电力企业的信息安全
1.1什么是信息安全
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
通常来说,信息安全就是要做到五个方面内容:一是进不来,通过设置系统口令、屏保口令等使恶意人员无法进入;二是拿不走,对系统用户有权限区分,低权限用户无法越权获取高权限用户资料;三是看不懂,对重要文件进行加密处理,保证信息不曝露给非法用户;四是改不了,确保只有得到允许的人才能修改数据,其它人无法改动;五是走不脱,使用审计、监控等手段,使得攻击者、破坏者无法走脱。
1.2信息安全总体要求
公司信息安全坚持“双网双机、分区分域、安全接入、动态感知、精益管理、全面防护”总体防护策略,执行信息安全等级保护制度,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
2地市公司信息安全管理
2.1信息安全面临的威胁
随着信息技术的发展以及公司信息化建设的推进,地市公司面临的信息安全威胁越来越多样化。目前,信息安全面临的威胁主要有:一是人为无意失误,如管理漏洞、安全意识不强,操作不当等;二是人为恶意攻击,如计算机病毒等恶意代码;三是软硬件的漏洞和“后门”,如操作系统、数据库及应用系统本身存在的缺陷和漏洞;四是设备故障;五是自然灾害。
2.2信息安全管理
2.2.1安全制度建设
地市公司要根据上级公司的相关要求,结合本公司所面临的信息安全威胁,从网络、终端、应用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括:《计算机机房安全管理制度》、《安全责任制度》、《网络安全制度》、《系统安全风险管理和应急处置制度》、《操作权限管理制度》、《用户登记制度》、《重要设备、介质管理制度》、《信息审查、登记、保存、清除和备份制度》等等。这些信息安全制度在公司信息安全工作中起着根本性、指导性和全局性的作用。
地市公司要根据实际情况制定信息安全通报制度,加大全体员工对信息安全的重视程度,提高信息安全的管理效率。通报分为例行通报、紧急通报两类,通报内容包括:一是围绕信息安全考核指标的日常工作;二是信息安全的专项工作;三是信息安全事件的预警、响应、研判和处置情况。
地市公司要建立信息安全监督制度,要求各单位、部门对危害信息安全的各类危险源点进行自查整改。信通公司作为信息安全主管部门进行现场检查和远程检查。
地市公司要建立信息安全应急处置制度。为了正确、有效和快速地处理信息安全突发事件,最大限度地减少突发事件对公司生产、经营、管理造成的损失和对社会的不良影响,需要定期修订完善应急预案和开展应急演练。同时,地市公司还要定期组织全体信息运维人员学习应急预案,做到熟悉预案,了解如何应对突发事件,明确各自职责和处理程序,真正确保突发事件下的信息安全。
2.2.2人才队伍建设
信息安全工作需要必须的人力资源来支撑。地市公司要按照“谁主管谁负责,谁运营谁负责,谁使用谁负责” 的原则,落实专门机构和人员负责信息安全工作。目前,地市公司的信息安全运维管理由信通公司负责,主要工作包括有系统的安全运维、信息安全的技术保障、信息安全事故应急处理及员工信息安全教育等。地市公司还应根据工作地点及人员分散的特点建立一只信息兼职队伍。通过信息兼职队伍的壮大及能力的提升,使信息安全迈上新的台阶。
2.2.3防护系统建设
安全技术是信息安全的主体,信息安全离不开安全技术的实施和安全产品的部署。地市公司必须要部署防火墙、入侵检测系统、防病毒系统、桌面终端标准化管理系统等各种安全防护系统。这些系统的部署给信息安全提供了多层次、全方位的安全防护。
部署防病毒系统。Symantec endpoint Protection提供端点安全解决方案,它实现防病毒、防间谍软件、防火墙、入侵防御和网络威胁防护等多种功能,并且通过策略的设置,可以防范安全违规事件的发生。它具有系统性和主动性的特点,能够实现全方位多级安全防护。
部署桌面终端管理系统。桌面终端系统应实现对公司内部终端的软硬件、数据保密的集中化和标准化管理,提高公司内部终端的安全性及维护管理的效率。
地市公司还应利用在网络设备上采取IP地址与MAC地址绑定的技术手段限制不明非法的设备接入到信息内网中。同时,还应制定网络接入设备审批制度,严格控制和管理接入信息内网的设备。
2.2.4系统安全建设
系统安全分为物理安全和运行安全两个部分。
物理安全主要是指主机存储设备、网络设备、安全设备及机房辅助设备安全。设备放置在专门的信息机房内,通过门禁系统及机房监控系统保证这些设备自身的安全。地市公司应制定机房管理、机房出入人员管理等制度,对设备安全管理、机房环境管理、人员出入访问控制管理等做出详细的规定。同时,地市公司还应指定专人负责各类设备的管理工作,定期联系专业厂家对设备进行巡检,做到问题早发现,早解决。
运行安全主要是指业务应用系统、网络系统及数据库系统等运行安全。主要系统应采用双机的方式来建设。所有的系统都有专人负责,地市公司定期对系统的运行状态进行巡视、备份等工作。同时,地市公司还要对设备的账户安全、网络安全、服务安全、日志安全等方面开展加固工作,保障系统的安全稳定运行。
2.2.5个人安全建设
地市公司应从管控与培训两个方面开展个人信息安全建设。
所有终端设备应统一安装桌面终端管理系统、防病毒系统和补丁升级系统等安全防护系统。地市公司要每日安排专人监控终端设备,发现问题及时整改,保证桌面终端注册率、防病毒安装率,补丁安装率是100%。
教育培训是提升员工个人信息安全意识和技术水平的重要手段。通过开展安全讲座、建设专题网站、印发宣传手册和巡展宣传展板等多种形式加强信息安全知识的宣传,使每个员工懂得信息安全违规行为的防范知识。
2.2.6信息保密建设
地市公司要严格执行“信息不上网,上网信息不”的保密要求,对发现的违规失密、泄密事件严肃处理。信息保密工作主要有:一是强化信息保密教育培训,使员工明确信息保密安全防护要求;二是加强对终端和网络的保密管理,防止敏感、信息的丢失以及有害信息在网上传播。
1 引言
随着计算机和网络通信技术的快速发展,信息技术越来越多地被应用于银行各项业务,银行可以为客户提供“3A”(Anytime,Anywhere,Anyway)服务,信息技术在给业务办理带来巨大方便、高效的同时,也带来了极大的信息安全隐患。从一般概念上来讲,网络信息安全主要指网络信息的完整性、保密性、可用性、真实性和不可抵赖性。但是银行作为一个特殊的机构关乎国家经济命脉和人民生活,银行信息安全自然非常重要,它是指银行信息系统的软硬件资源及其数据受到严格保护,不受恶意的或偶然的原因而遭到更改、破坏、泄露,系统可持续稳定可靠地运行,信息服务不间断。银行信息安全是银行业务开展的基础,是银行经营稳健运行的保障。
2 我国银行信息安全的现状
自1998年3月6日,中国银行业务系统第一次成功办理电子商务交易,从此开始了中国内地网上银行业务发展的序幕。近年来,我国银行业的信息系统经历了地震、泥石流等各种各样的考验,充分说明了我国大陆银行业信息系统建设取得了一定成绩,同时监管层也颁布了《金融机构计算机信息系统安全保护工作暂行规定》、《关于进一步加强银行业金融机构信息安全保障工作的指导意见》等政策法规。目前,各大银行已经意识到网络信息安全的重要性,成立了信息安全专门管理机构,并在信息安全管理机构内养一些专业人才,并增加了信息安全的投入。
虽然中国银行业在信息安全建设方面取得了佳绩,但是银行信息安全危险依然存在,银行信息安全保障依然不能忽视。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪率达到了60%以上。据互联网新闻报道,2009年上海农商银行信息系统出现故障,区域内大量营业网点无法正常办理业务;2010年2月3日中国民生银行网络信息系统出现长达4小时的系统故障,全国范围内无法办理业务;2014年2月支付宝员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司。上述事件严重影响了人民的利益,对金融企业的形象和声誉造成了极大的负面影响,充分暴露出银行业机构在网络信息安全领域有较大隐患,不容小觑。
3 银行信息安全存在的问题
银行信息安全系统的建设是一个庞大复杂的工程,大部分工作牵扯到银行业务管理水平和信息安全技术,目前无论从系统管理的角度还是从安全技术水平的角度,银行信息安全方面都存在着较多问题,下面从这两个方面展开论述。
3.1 从业务管理的角度看银行信息安全存在的问题
⑴对信息安全的认识不到位,信息安全的意识观念薄弱
银行业的信息安全问题,首先是意识和观念的问题。不管是管理层还是底层员工,能认识到网络信息安全的重要性,熟悉信息安全的基本内容和具体工作要求是非常重要的。人们往往认为信息安全的核心安全性取决于核心技术,其实这种思想是错误的,信息安全首先取决于基本规范的实施和安全手段的应用。
⑵重视信息安全产品的投入而忽视管理投入,应急预案不完备
网络信息安全投入不完全是安全产品和工具的投入,还应包括操作流程、应急处理机制策略等方面的投入,还必须配套与安全产品有相适应的过程管理机制。建立合理的流程管理机制需要投入,这些投入与安全体系的完整性有着紧密的联系,否则报警无人处理、入侵无人响应,效果并不理想。应急预案的覆盖范围必须足够广,制定规范性、系统性应急预案并进行实践检验,部分应急预案的制定与银行实际工作情况没有关联,侧重于应急预案的形式,而不注重应急演练实践检验,极少有银行机构做到模拟真实场景进行应急演练和评估风险。
⑶银行缺少信息安全管理的复合型人才
金融管理离不开管理方面的人才,金融企业信息安全管理需要复合型人才,这种复合型人才必须熟悉计算机和网络技术,又要懂银行业务流程和信息安全风险防范知识。目前,这种复合型人才还比较少。各大银行的信息安全专业技术人员大部分都是毕业于计算机或相关专业,他们对计算机专业知识相对比较了解,但是对银行业务的工作流程和信息系统潜在威胁的把握还不够。
3.2从专业技术角度看银行信息安全存在的问题
⑴银行使用的软件安全性比较弱
由于计算机应用软件是银行内部信息的载体,所以软件本身的质量相当重要。目前银行业务系统的软件体系,包括项目管理系统和软件开发生命周期都只注重软件功能、开发速度和市场,很少考虑安全的需要。现在发现管理和技术上存在的安全威胁,主要出现在应用软件安全设计上。
⑵系统漏洞和信息泄密
所谓漏洞一般是指系统设计开发人员在软件开发的时候,故意设置的。这样做的目的是为了保证银行从业人员在某些特殊情况下失去系统访问权限时可以顺利进入系统,正是因这些软件漏洞的存在,给银行业务系统带来了信息安全威胁,这样就会造成信息的泄露。其次,银行的内部职工最熟悉金融企业的计算机应用系统,他们知道那些操作能使计算机系统出现故障、损坏或泄密。某些时候金融企业裁员也可能导致计算机泄密,当裁员时某些系统账号没有及时删除,也可能导致重要敏感信息的泄露。
⑶计算机黑客的恶意入侵
网络黑客是一些具备较强计算机专业技术知识的爱好者,他们可以在他人无法察觉的情况下,利用计算机设备侵入一些重要行业的计算机系统,并从中获的有价值信息或破坏信息系统。大多数的网络黑客主要利用计算机软件系统的漏洞来入侵信息系统,入侵方法高明且多种多样,并且入侵手段更新速度也很快,从而使现有的计算机系统安全产品很难及时做出相应的预防,进而导致计算机网络经常遭到网络黑客的侵入。
⑷计算机病毒和木马
计算机病毒是目前信息安全主要威胁因素之一,而且现在的计算机病毒千奇百怪,多种多样。计算机病毒是一些计算机爱好者刻意编写的程序代码,具有类似于生物病毒的破坏性、传染性、隐蔽性等特点。为了保证银行计算机网络系统的安全运行,应重视防范病毒。另外还有就是木马程序,木马程序是一种由攻击者悄悄安装在受害人计算机上的窃听及控制程序,通常包括控制端和被控制端两个部分,被控制端程序通过网络或其他介质植入受害人计算机,控制端程序则安装在不法分子的计算机设备上,利用控制端远程的和被控制端传送数据,以窃取受害人计算机上的资源,盗取个人信息和各种重要敏感数据,给单位和个人造成相当大的损失。
⑸灾备措施不完善和基础设施故障
银行的灾难备份和恢复能力必须进一步加强,中国银行业的灾备系统类型比较单一,覆盖面还较小,尤其缺乏系统的灾难恢复方案。正因为这些情况的存在,导致了各种各样的自然灾害发生后,无法立刻启动应急预案并快速切换到备份系统,所以才会出现长达数小时的信息服务中断。计算机基础设施可以说是任何计算机系统安全运行的保障,当基础设施出现故障后,势必会造成信息服务的中断,同时这种情况的发生是不可预知的。基础设施的出现故障的原因比较复杂而且多样化,具体包括服务器电源故障、网线老化、通信中断等。
4 银行信息安全风险的应对策略与建议
从以上关于我国银行信息安全问题的分析可以知,构建一套可行的银行信息系统安全保障体系和方法,加强防范信息安全风险势在必行。因此,应做好以下方面的工作。
⑴认真做好相关专业人员的安全意识教育,而且常抓不懈
银行内部比须加强信息安全监管和惩戒力度,明确法律责任,将信息安全的责任落实到每个相关人员,出现问题谁负责追究谁,将违规操作的可能性降到最低。对于银行而言,任何的数据和客户信息都非常重要,必须有严格的保密规定,但是常常在实际工作中出现这样那样的小问题,因此要强化内部员工的安全意识教育和信息安全基础知识培训,此项工作必须常抓不懈,然后将相关内容整理成册,定期的学习考核。必要时,有机会接触重要信息的员工在进入岗位之前必须做出书面承诺,保密承诺要包括重要信息的范围以及泄密需要承担的相应责任,使每一个能接触重要信息的人员明确信息泄露的危害。同时通过培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。
⑵建立与灾备体系相适应的应急管理机制,两者缺一不可
日常生活中突发事件是不可预知的,尤其是各种各样的自然灾害,其破坏力比较大。如果银行能事先把预防措施做到位,做到防患于未然,就可以最大限度地减少经济损失,保证人民财产不受损失,保障国家经济安全运行。首先是要建立完善的应急预案机制,有针对性的强化应急演练,对各种自然灾害事件进行全面有效的风险评估,分类制定科学的应急方案,开展接近于实际情况的模拟应急训练,及时评估应急演练的效果,做到突发事件发生时无死角,有的放矢,同时通过应急演练检验应急预案的实用性、合理性、可行性。接下就是建立与应急机制相适应的灾难备份恢复系统,提高业务可持续性。大型的银行要积极建设“两地三中心”,中小型银行可以考虑选择灾难备份外包服务,使银行具备抵御火灾、地震、暴雨等自然灾害的能力。全面促进业务系统的连续性,着实增强银行防范风险能力。
⑶加大银行信息安全复合型人才的培养力度,拓宽培养渠道
任何科技工作都必须以人才为重心。为了彻底清除银行信息化建设中的障碍,切实保障金融企业信息安全,各大银行要大力培养信息安全复合型人才。首先根据各单位信息安全的人员结构和知识结构,在强化信息安全专业知识教育的同时,还要兼顾计算机专业知识和金融业务知识的培训,而且此项工作必须长期坚持,做好人才储备。在人才培养的同时还要与实践相结合,在学习各类信息安全知识的前提条件下,组织参与培训专业人员针对信息安全制度进行实践检验。
⑷敏感重要数据务必加密,同时安装杀毒软件
首先,加密是确保信息安全的关键技术之一。越来越多的数据要求银行的业务系统在选择加密方式时要尽可能的有多种数据防护需求,在已有的加密方式下,多模加密技术是较好的选择。多模加密技术是将非对称加密算法(如RSA)和对称加密算法(如DES和AES)相结合,在确保数据安全的同时,其多模的特性可以根据需求选择对称或非对称加密方式。另外防范计算机病毒最有效的措施就在银行的各类计算机系统中安装正版的防病毒软件,力争做到病毒防范无死角无遗漏,并且确保杀毒软件能实时更新病毒库。对于新购置的软件和类似于U盘的存储介质,在使用前银行员工须使用杀毒软件进行全面的病毒扫描,确认安全之后方可使用。
⑸进一步推进银行信息化技术法规和标准化体系建设
结合银行信息化发展的实际需要,以各种方式协作,分层次和有序的加快银行信息化技术规范和标准的建设进度。组织完善数据中心建设、数据存储、网络互连、安全加密、数据交换、安全认证、客户服务方面标准的制定。对网上银行、移动银行、电子商务等创新产品和服务,制定与之相适应的标准和规范。同时,建立科学的监督策略,通过制度建设,强化技术标准和规范的执行强度。
【关键词】计算机;网络安全;主要隐患;措施
近年来,随着我国逐渐进入信息化时代,计算机网络给人们的生活带来了诸多便利的同时,也存在很多安全隐患。计算机网络技术的开放性特点和人们的不规范使用行为使电脑容易被攻击而导致个人信息泄露。因此,科学的计算机网络安全管理措施对于避免网络安全受到威胁,确保计算机网络信息安全具有重大意义。
1计算机网络安全的主要隐患
1.1计算机病毒入侵
计算机病毒是一种虚拟的程序,是当前计算机网络安全的首要隐患。病毒包括网络病毒和文件病毒等多种类型,具有较强的潜伏性、隐蔽性、损坏性和传染性等特征,如果计算机遭到病毒入侵,一般的杀毒软件并不能彻底清除计算机病毒。
1.2黑客入侵
黑客入侵是常见的一种计算机网络安全威胁。黑客非法入侵到用户的电脑中,窃取用户的网络数据、信息,删除用户数据、盗走用户的账户、密码,甚至财产等。此外,黑客向目标计算机植入病毒时,会导致电脑死机、速度变慢、自动下载、瘫痪等现象,造成系统信息的流失和网络瘫痪。
1.3网络诈骗
计算机网络技术的互通性、虚拟性和开放特性,给很多不法分子可乘之机,不法分子通常针对计算机使用者进行网络诈骗,主要通过淘宝、京东等网络购物平台、QQ、微信等网络交友工具、手机短信等手段散播虚假信息,使防骗意识薄弱的网民掉进网络陷阱之中,进而造成其财产安全受损。
1.4网络漏洞
大部分软件都可能会发网络漏洞,一旦网络漏洞被黑客发现,很快就会被攻击,其中恶意扣费攻击尤为严重。现在比较热门的App软件中有97%是有漏洞的,网络漏洞一般存在于缺乏相对完善的保护系统的个人用户、校园用户以及企业计算机用户中,主要是因为网络管理者的网络防范意识薄弱,缺乏定期系统检查和系统修复,导致网络漏洞被暴露甚至扩大,从而导致个人信息泄露。
2计算机网络安全管理的解决措施
2.1建立防火墙安全防范系统
防火墙是安全管理系统的重要组成部分,所有的数据和信息的传输以及访问操作都要经过防火墙的监测和验证,以防止黑客入侵、病毒侵染、非正常访问等具有威胁性操作的发生,进而提高了网络信息的安全性,对保护信息和应用程序等方面有重要的作用。因此,用户应当建立防火墙安全防范系统,及时安装更新防火墙软件的版本。
2.2定期升级防病毒和杀毒软件
防病毒软件是做好计算机防护工作的必要安全措施。在计算机网络安全管理中,滞后及功能不全的杀毒安全软件将大大增加系统被病毒入侵的机率,因而为了降低病毒入侵的风险,用户最重要的是选择具有优良的安全性能、包含自动报警功能的防病毒和杀毒软件,定期对杀毒软件进行升级以保护系统。
2.3引入新型的网络监控技术
互联网技术的发展日新月异,传统的维护系统的防护技术已经远远不能满足用户的需求,必须进行技术创新,引入新型的网络监控技术。比如:①利用数据加密技术,将重要的数据进行加密处理。②用户需要加强计算机网络的权限设置,建立认证体系等措施方式设置密码和访问权限,控制访问过程,及时对窗口进行安全检查,防止非法入侵,盗取信息,保证网络系统的外部安全性。此外,新兴的计算机入侵检测技术也是继防火墙之后的第二道重要防护关口。
2.4健全应急管理机制
为了妥善应对和处置网络与信息安全突发事件,确保系统的安全运行,健全应急管理机制是必不可缺的管理措施。网络安全应急预案的制定可在计算机网络安全管理的责任制度的基础上,从以下几方面进行完善:①及时对应急预案做出科学调整和动态更新,及时改进可行性低的地方,使应急预案充分发挥应急效果。②在以往的计算机网络安全案例的角度上分析网络安全事件的原因和技术短板,细化网络安全应急预案,提高应急预案的可行性和实用性。③成立信息网络安全事件应急处理小组,落实安全责任制,开展网络与信息安全应急演练,形成科学、有效、反应迅速的应急工作机制,保障重要网络信息系统的稳定运行。
2.5加强安全防范教育,提高用户防范意识
人们的网络安全防范意识极为薄弱,大多数计算机网络安全隐患是由用户使用不当造成的,所以国家相关部门应对计算机用户加强安全防范教育。应该定期组织公益性的安全知识教育讲座普及网络安全知识,对网络安全知识不合格的人应当进行再教育和再培训,制定安全教育责任制,提高用户防范意识。此外,用户更要从自身做起,树立网络信息安全危机意识,自觉增强防范意识,定期查杀病毒,及时更新安全管理软件,不轻易信任陌生人的信息等。
参考文献
[1]意合巴古力,吴思满江.分析计算机网络安全的主要隐患及管理方法[J].网络与信息工程,2016(9):69~70.
在国际信息安全环境日趋恶劣,国家全面倡导信息安全的大环境下,为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行,依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神,同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准,制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等,率先在企业内建立并实施该体系,全面倡导企业向信息安全生产经营转型,同时积极引导合作伙伴树立信息安全意识,规范自身的生产及合作行为,明确安全风险责任、细化管理要求,立足自身,兼顾第三方,共同打造信息安全的绿色长城,确保企业长足健康发展。通过该安全管理体系的实施,从中全面深入地挖掘现有安全体系的不足之处,并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警,确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先,组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作,将平台安全管理工作落实到具体的责任人,并签署责任状,从而树立全员安全责任意识,实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计,并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核,发现相关漏洞与脆弱点,并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击39处,合作业务信息系统存在各类安全漏洞14处,目前这些漏洞已经全部整改与加固完毕,消除了安全隐患。其次,以信息安全管理为导向,组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队,通过从合作业务管理规范的建立到合作伙伴安全技能培训,从信息安全制度宣贯到系统安全处罚办法的落实执行,从系统安全的定期评估到系统漏洞的及时加固等一系列举措,最终创建一套业务信息系统全新的安全管理模型,提高业务信息系统运行质量和服务能力,提升创新业务品牌形象。从安全管理模型启用至今,未发生一起信息安全事故,这样强化了合作伙伴的信息安全概念,督促合作伙伴在发展业务的同时也重点关注信息安全问题,极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率,此类原因造成创新业务投诉比率和往年相比降低了15%,改变了用户对创新业务的固有印象,建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性,可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系,包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范,业务系统安全管理体系的先进性和时效性在通信行业内名列前茅,同时通过近两年的安全理论研究和安全评估加固实践,针对当前企业业务平台系统在信息安全监管中面临的一些问题,对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上,就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘,从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,通过对此类信息的统计、浓缩、总结、关联和分类,抽象出利于进行判断和比较的特征库,并智能地学习和维护其特征库,从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统,得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许,并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系,确保产品的各项安全性能指标。
2创新点
为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。
3结语
【关键词】煤矿;信息网络信息系统;网络安全
随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合,煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,这些信息系统已经深入到煤矿安全生产的方方面面,而且很多工业系统自动化程度非常的高,比如提升系统、选煤系统等已经实现了无人操作,远程开停、故障闭锁等,操作人员只需要对运行的参数进行观测和记录,大大提高了人员工作效率、增强了企业的核心竞争力。所以今天煤矿企业信息网安全就显得尤为重要,本文将就煤矿企业信息网络安全现状及重要性进行分析和探究。
1现状分析
我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统,并且这些信息系统已经深入到生产经营的方方面面,促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力地提升了煤矿企业管理效率,加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题:
1.1企业管理人员对信息网络安全的重要性认识不足
主要表现在四点,一是没有建立完善的信息网络组织体系,相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案,也没有进行相关的应急演练;三是信息网络安全方面的投入比较少,企业安全防护设施不全;四是企业管理人员对于信息网络安全的知识非常欠缺,只注重信息系统具体应用和预设功能,对于操作可能带来的网络威胁没有防范意识。
1.2信息孤岛与信息网络安全之间的矛盾日益冲突
早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体,相互独立,之间没有任何联系,随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决,但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用,而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道,这使得信息网络安全面临更加复杂的环境,安全保障的难度大大增加。
1.3信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量
主要原因有三点:(1)煤矿企业地处偏远山区、工作环境和生活环境相对都比较差,很难招聘到高科技人才,即是招到人也很难留下来。(2)企业以煤炭生产、加工、销售为主业,信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。(3)信息安全管理人员长期得不到培训和学习的机会,信息技术知识的储备量有限、业务水平处在较低的一个水平,所以只能依靠外部安全服务公司。
1.4信息网络安全防护设备利用率低,很难发挥应有的功能
煤矿企业在信息网络建设初期都会做网络安全方面的布置,比如在网络边界架设防火墙、入侵检测设备,在内部部署杀毒软件,形成了软硬件相结合的防御模式,可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新,和漏洞修复、打补丁之类的操作,大多数的员工电脑也从不安装杀毒软件,这就做法无形中弱化了我们防御的盾牌和进攻的长矛,使网络安全防护设备长期处于半“休眠”状态。
2重要性
“没有网络安全就没有国家安全”,在浙江乌镇世界互联网大会上提出的网络安全观,足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说,如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”,它改变了企业的生产方式,优化了企业的管理流程,提高了企业管理效率,可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间,存在各种潜在的威胁,比如利用木马、病毒、远程攻击、控制等方式,泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等,这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失,很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN,承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信,如果信息网络安全受到攻击瘫痪,都会对企业的生产经营造成影响,更有甚者可能通过煤矿企业本地发起攻击,致使整个集团的信息网络受到严重威胁,所以煤矿企业管理人员一定要树立正确的信息网络安全观,充分认知信息网络安全的重要性,加快构建关键信息基础设施安全保障体系,增强企业信息网络安全的防御能力。
3总结
总之,信息网络技术发展的今天,信息网络安全已经是每一个煤矿企业必须面对和正视的问题,也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼百战不殆”,煤矿企业应该立即行动起来,通过开展关键信息基础设施网络安全检查,准确掌握企业关键基础设施的网络安全状况,详细评估企业所面临的网络安全威胁,制定对应的防范措施,构建企业信息网络安全的“防火墙”,为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。
参考文献
[1]陈龙.煤炭企业网络安全建设与管理探究[J].煤炭技术,2013.
1保险企业信息安全管理的现状
当前的很多保险企业当中仍然存在
的问题就是计算机信息安全管理问题,而且这个问题也是各国企业比较常见的问题,亟待采取有效的解决措施。在一些相对比较发达的企业,就可能会存在更多的信息安全隐患。首先,当前的互联网正在快速地发展和进步,并加大了对信息技术的改革与创新,与此同时也衍生出很多的恶意项目工具,甚至信息系统本身也存在一定程度的漏洞,这些就可能会促使一部分的不法分子有机可乘;其次,保险企业本身并未对信息安全的管理工作给予高度的重视,从而导致信息安全问题层出不穷。如今,我国保险行业得到了快速的发展,加之外界环境因素的影响,从而暴露出越来越多的问题,此时就需要对这些问题进行全面、系统的分析。
1.1缺乏完善的法律法规
如今,虽然现在与计算机信息安全管理有关的条文比较多,但是他们被分散于各种标准、管理办法、法律、法规及道德规范等多个方面,然而,当前并不具备一套系统、完善的法律法规来更进一步地保障信息的安全问题。同时,当前现有的一些法律法规,可能是因为仍然有很大一部分的相关安全技术和手段还没有达到足够的成熟和标准化,这样就更加不容易去执行一些相关的法律法规。因此,如果缺少一些与保险行业相匹配的信息安全管理法律法规,从而导致保险企业无法顺利的开展相关工作,不利于计算机信息安全管理体系的构建。
1.2缺乏足够的重视
当前仍然有很大一部分的保险企业的管理层不是非常注重和关注一些相关的信息安全管理工作,而且他们并没有在进行管理工作的过程中投入足够的人力、物力以及财力等。有很大一部分的保险企业在治理公司过程中,只会对保险企业的适当地调整销售策略、业务规模发展问题、优化组织结构、相关运营流程等给予关注,这些公司都不是足够重视对信息安全管理问题的处理,他们都忽视了信息安全问题会影响保险企业的发展。实际上,在市场经济体系下,大多数保险企业只有在遇到信息安全事件后才会对计算机信息安全管理体系给予重视。此时,就需要保险企业在公司平时进行治理工作的过程中,他们能够投入更多的时间和精力来对现有的信息安全管理体系进行补充和完善,并给予高度的重视,从而有效提高信息安全管理体系建设效率。
1.3对风险评估力度不够
在信息安全管理体系建设过程中,大多数保险企业不能够准确地评估对于该过程中可能会存在的风险,并未对信息化过程中可能出现的安全风险问题给予综合考虑。一般情况下,他们可能只会考虑到一些相应的信息技术问题,但是并没有认真地思考在运用信息系统之后可能会显现出来的信息安全问题。实际上,保险企业不管是否对信息安全管理系统中所存在的安全风险问题进行评估,从而给保险企业的发展带来不利影响。一旦信息安全管理体系出现比较严重的问题,不仅会造成无法弥补的损失,而且也不能够实行一些正常的业务操作,甚至还可能会造成一些非常严重的后果,比如是企业内部机密泄露、重要数据被盗或被篡改、客户个人信息泄露等问题。因此,越来越多的保险企业由于对风险评估力度不够,从而导致系统本身存在操作失误、缺陷等原因而诱发的一系列安全问题。
1.4未明确安全管理责任划分
对保险企业来说,虽然对信息安全管理体系的建设给予了高度的重视,但是他们缺乏一套与企业发展相匹配的安全管理制度,未明确安全管理责任的划分,从而在一定程度上影响了保险企业的发展。如果这些企业现在还没有制定出一些相关的信息安全管理制度并能够坚持执行,而且企业在出现相应的信息安全问题之后,并不能够非常清晰地划分出具体的责任人,这样时间越来越长,就会在信息安全问题的监管方面出现越来越大的漏洞,自然而然地,也更加不容易去形成一个可以控制的信息安全管理体系。对于一个保险企业而言,在他们公司所出现的一些信息安全管理问题,需要每一位企业员工给予重视,而不能依靠企业当中的某一个人或某一个部门单独负责来对安全管理问题进行处理。对于保险企业而言,他们必须制定出相应的制度并划分出比较明确的责任,而且每个部门都应该有一个负责人来负责信息安全问题,以确保问题发生时能够有人给予立即处理。如果不设置一个负责人的话,就可能对信息安全管理体系的构建问题产生一定的影响,还会阻碍一个企业的信息安全管理工作和任务的完成。因此,对于保险企业而言,在处理这些现实状况以及各种各样问题的时候,则需要结合实际情况构建一套系统、完善的信息安全管理体系,从而使安全风险问题得到有效解决,更好的发挥信息安全管理体系建设的优势,确保保险企业的健康、可持续发展。
2保险企业计算机信息安全管理体系构建的对策
2.1健全和完善安全管理标准
对于保险企业而言,要想更好的推动信息安全管理体系构建,就需要对现有的信息安全管理标准进行健全和完善,并更加深入的分析和归纳信息安全管理标准内容,不仅需要考虑信息技术相关的问题,而且还不能够忽略信息安全管理问题。在进行计算机安全管理研究过程中,为了获取比较良好的研究成果,则需要进一步健全信息安全管理标准,并创建信息安全标准化组织和信息安全管理标准框架,以确保信息安全管理体系构建工作有条不紊的进行。在我们国家,虽然在研究信息安全的时候,不是很早,但是经过当前不断的完善过程,我们国家也制定出了一个更加符合我们国家基本国情的信息安全管理标准。
2.2实现科学的信息安全管理
对于保险企业而言,他们如果想要更好地实现比较科学的信息安全管理,就必须要充分地考虑到信息安全问题可能诱发的不利影响。对于保险企业而言,在信息安全管理方面,不仅需要有效地管理机构安全和人员安全的管理,而且要做好场地设施和技术安全的管理工作。同时,保险企业还需要采取比较科学的方式,从而可以有效地构建一套可实施的、科学合理的计算机系统安全管理体系,并结合实际情况制定一套规范、完善的安全防范措施,选择一些可靠性比较大的、比较稳定的、比较安全的产品,并对现有的安全评估标准和等级进行细化和完善,以便能够进行一些有效的检查策略,从而可以更好地开展信息安全管理工作,为保险企业的发展奠定良好的基础。
2.3重视安全风险评估工作
对保险企业而言,在进行信息化平台建设过程中,就需要适当地进行对安全风险的评估,如果缺乏相应的风险评估工作,将会导致信息安全管理工作无法顺利进行。同时,在信息安全风险评估过程中,还需要制定一套能够有效应对风险的措施和方案,这样可以有效地防止和解决一些突发状况,并确保信息的安全性、有效性。
摘要:数字图书馆网络信息安全实践证明,安全问题不仅是技术问题,更是管理问题,单靠技术不能从真正意义上解决由个人问题所引发的网络信息安全事故或安全隐患。目前,大多数研究者较多地注重技术性问题,但涉及到以人为对象的安全管理研究极少,致使管理存在认识误区、制度缺失或制度执行不力等。因此,对于搞好数字图书馆网络信息安全管理建设的问题除技术外,还应该强化图书馆群体用户的安全意识;完善安全管理制度并强化制度的落实;提升图书馆计算机专业技术人员的责任意识和技能技术。
中图分类号:G250文献标识码:A文章编号:1003-1588(2012)02-0075-02
1序言
目前,国内数字图书馆在网络信息安全应用研究方面(即数据安全、系统安全、知识产权维护和网络安全等)绝大多数都侧重于技术,在网络信息安全实践中,往往过多重视技术方面的问题,认为所有的网络信息安全问题依赖先进的技术手段都能得以解决;其实不然,即使我们采用最先进的技术手段,安全管理缺失,网络信息安全事故依然频繁发生。因此,网络信息安全不仅是技术问题, 更是人的问题,即管理问题。数字图书馆的安全保障不仅需要技术的支撑,更需要以人为对象的安全管理的落实。安全管理包括:安全意识、相应的规章制度和馆员的责任感等。只有安全技术与管理的有机结合,数字图书馆才能在实现资源共享的同时,最大限度地减少网络信息安全事故的发生,并将网络信息安全事故的影响与损失降到最低。
2管理技术在数字图书馆安全保障中的作用
数字图书馆安全保障是指保护计算机网络系统的硬件、软件及系统中的数据,使其不因自然灾害和人为无意或恶意等原因,而导致各种资源的破坏、更改、丢失或者泄密,从而保障网络服务不中断,图书馆工作正常持续进行。数字图书馆基于Internet网络化信息检索、信息加工和信息服务,使图书馆读者服务范围和内容得以延伸和扩展。但其网络系统具有的分布广域性、结构开放性、资源共享性和公用性等特点,以及数字化信息的共享和易于扩散等特性,造成安全不稳定因素增多,风险增大。而数字图书馆要做到既要使网络信息系统为满足多元化读者服务需要,又要使信息在传递和使用过程中更为安全,就必须采取技术、管理等综合措施来保障网络信息安全。先进的安全技术是实现网络信息安全的重要手段,数字图书馆要确保其网络上信息的保密性、完整性和可用性;确保在出现突发故障时能快速提供应急故障的响应手段,快速重组被破坏了的文件或应用,并能有效地防御恶意攻击和破坏,实现对非法入侵的审计与跟踪等,这些就必须依靠技术手段来实现。严格有效的安全管理是实现网络信息安全的根本,它较好地解决了技术无法涉及到的由人的问题所引发的安全事故或隐患,并在其有效管控下使技术得以较好地实施。
目前,我国安全技术的应用研究取得显著成果,不少新兴产品和技术逐渐发展成熟,并被不断地应用在图书馆安全防御体系中。囿于篇幅,本文在此就不予赘述。然而以人为对象的安全管理应用研究,却滞后于技术发展的步伐,管理的瓶颈大大削弱了安全技术产品所本应产生的防护效果,导致疏于管理所引发的安全事故和安全隐患频繁发生,这对图书馆网络信息资源、网络系统的危害也远远大于其它方面造成的危害。可见,仅仅依靠安全技术措施进行防护,防护效果常常不尽如人意。数字图书馆要做到对行为可控、资源可管、事件可查、运行环境可靠,不仅仅取决于安全技术手段,还取决于严格有效的安全管理。只有安全技术手段与严格有效的安全管理有机结合,数字图书馆才能真正保障网络信息系统安全、健康运行,确保重要信息(书目数据、读者个人信息、有偿资源等)不被非法读取、复制、修改、假冒、否认、丢失,甚至毁灭,保证有偿资源不被非法使用。
3数字图书馆网络信息安全管理措施
3.1强化图书馆工作人员及读者的安全责任意识
安全意识的提升对于数字图书馆网络信息安全来说十分重要。在网络信息安全管理过程中,安全意识起着至关重要的作用。尽管数字图书馆的网络设置了多道关卡防止病毒、黑客的入侵以及破坏的发生,但无论多么完善的安全设备都无法完全抵御人为因素所造成的危害。为此,图书馆工作人员,特别是相关技术人员应从思想上高度重视网络信息安全的重要性,充分认识到数字图书馆Internet/ Intranet服务模式所面临的安全问题,减少认识上的模糊性、笼统性及误区,克服麻痹和侥幸心理,以全新的安全管理理念和高度的责任心做好图书馆计算机网络系统和数据资源的安全工作。
另外,我们还要看到员工自身网络安全知识的不足,关于这点,不同岗位的员工有不同的提高途径。安全管理技术人员,他们具有很高的权限,可直接操作关键设备。因此,他们自身应加强相关法律法规和政策的学习,严格遵守馆内各项安全操作规则,积极主动深入地研究和掌握安全管理新技术,并有针对性地进行系统与数据恢复的演练,做到心中有数。同时,图书馆应经常派遣他们参加国内外网络信息安全方面的技术培训,充实他们的网络知识、管理知识,做好网络信息安全的防毒、防黑等技术工作。针对业务服务工作人员,图书馆应通过组织定期或不定期的安全知识教育与安全技能的培训,提高其自我防范意识和能力,使他们自觉遵守馆内上网管理规定。如在工作机上不随意安装外挂程序或不明软件,不随意打开不明邮件,不浏览非法网站。同时,保管好自己的用户名和密码,做好保密工作,对操作系统要定期进行安全检查、扫描和补漏,定期更改系统登录密码等。一些工作人员对制定的安全措施不落实,认为配备最优秀的网络安全产品,就可以高枕无忧了。图书馆应加大检查力度,对相关技术人员可能因安全知识和管理知识不足而导致出现的操作失误、组织管理失误和维护失误的问题进行预防,加大系统安全教育技能培训的投入。
高宏:数字图书馆网络信息安全管理初探
对于读者安全意识薄弱或网络安全知识贫瘠出现的不规范、不负责的操作行为,图书馆应开展多层次、多方位网络信息安全宣传工作。如:发放有关网络安全知识的宣传手册;在电子阅览登机页面温馨提示读者如何安全进行网络操作;设立有问必答网络宣传栏,使读者和安全管理人员有效交流,从而让读者能够更安全的操作网络,图书馆相关工作人员也能及时了解读者的需求并改进工作。
3.2健全安全管理规章制度,强化制度的落实
制定全面、细致、严格、有效的安全管理规章制度并加以落实,是数字图书馆安全保障的有力手段,要做到用制度规范行为, 按职责实施管理,从制度上防范安全问题的发生。首先,从自身实际出发,引进行业先进的安全管理经验和理论,并根据国家、行业相关法律法规,改革、创新现有的图书馆安全管理规章制度。所谓的制度就是在一定范围内“要求成员共同遵守的,按一定程序办事的规程”,科学、细致的安全管理制度,将有利于促使图书馆安全管理工作的责任明确化与具体化。通过强化制度,更有利于调动全体馆员工作主动性、积极性、创造性,更能体现人文关怀的柔性管理,促进管理制度与人性化结合,使制度的建立更科学、更合理、更规范、更“人本位”。其次,把制度确定的各项要求落到实处,图书馆工作人员应对各自的责任和义务等有准确的认知,只有对制度内容等准确认知,才能将责任认识转化为行为准则,最终上升为自觉行为。另外,承担安全管理主管责任的分管领导,应定期督查馆内各项规章制度执行情况,奖罚分明,不合适宜的制度及时修正。
总之,再好的制度单一运行是不能完善地解决网络信息安全问题的。数字图书馆要真正预防和减少来自内外的安全威胁,最大程度地保护网络,最大限度挽回网络信息系统损失,使其安全运行,还需将技术、制度、管理主体(人)的责任相统一,三管齐下。同时,加快网络安全管理人才的引进与培养,最大限度为图书馆的各项业务工作以及信息服务提供保障。
参考文献
\[1\]许晋军,倪波.网络信息安全研究\[J\].现代图书情报技术,2008(1).
\[2\]刘超.数字图书馆的信息安全分析\[J\].现代情报,2009(6).
\[3\]郭洪刚,刘克胜.入侵检测技术及其脆弱性分析\[J\].信息安全技术,2004(5).
\[4\]韩毅,李融等.数字高校图书馆的安全威胁和控制措施\[J\].高校图书馆数字化技术平台,2004(2).
【摘要】快递行业迅速发展,成为我国服务行业的重要领域,不过快递行业的发展始终面临着种种障碍和困难,这些障碍和困惑在一定程度上束缚了快递行业的发展。这些问题包括政策方面的问题,也包括行业监管和市场秩序方面的问题,更包括自身发展中存在的问题。本文通过分析我国快递业存在的问题和困惑,并针对性的提出解决策略,为我国快递业的健康发展,提升竞争力,为经济发展提供更好的服务提供参考意义。
【关键词】快递业 服务业 政策问题 行业监管
一、我国快递业发展中存在的困惑和问题
(一)诚信体制不健全
目前一些物流企业诚信缺失现象依然屡见不鲜,主要表现承诺过度,实际服务较差而且不承担任何责任,违反规定泄漏其顾客的商业资料,经营代收货款业务不善而携款潜逃。最近几年,在我国陕西、河南、四川、内蒙古等省区,物流企业携款潜逃事件时有发生,货款数额十分庞大,甚至导致了当地第三方物流企业的诚信危机。
快递行业的发展陷入发展瓶颈,最主要的原因就是国内快递企业尚未建立健全的诚信体制,快递企业在加盟店模式下迅速扩张,在爆仓、同质化竞争、消费者投诉高的恶劣环境下,由于缺乏加盟快递公司的有效管理和培训,采用加盟模式的快递公司很容易因为区域发展不平衡,利益多元化导致出现诚信问题,加盟商都想维护自身利益,所以不严格按照按快递企业管理制度来处理业务,牺牲了诚信。追根究底,是中国诚信体系不健全带来的问题。
(二)从业人员素质偏低,高端人才匮乏
我国快运快递业还处在起步阶段,技术水平相对比较落后,从业员工素质不高。在大多数人的心目中,快递配送仅仅是出卖苦力、简单重复的体力劳动,因此各快递公司在招收快递员时,对收派员的文化素质要求不高,基本条件是热悉城市交通路况,有摩托车驾驶执照,自备自行车或者摩托车。有的快递公司对员工只进行简单的培训,根本达不到从业的要求,有的快递公司甚至根本不进行入职前的培训,随招随用。虽然有很多企业抛出看似丰厚的薪Y招工,但现实情况是,快递员付出的劳动与回报并不成正比。
(三)相关政策法规不完善
快递业是个一个新兴的行业,从1979年我国进行这个服务以来,,快递业的迅速发展背后,是相关法律法规的滞后。目前市场上对快递业规范的法律法规少之又少,我国虽然在2007年9月21日正式公布《快递服务》邮政行业标准,但是并不能对各快递企业最切实的利益做出规定和保障,不能完全解决快递市场的混乱局面,全国各地快递业"先签后验"行规依旧。
另外一直以来野蛮暴力分拣和用户个人信息泄露是快递行业最为人诟病的两大问题。由于相关法律法规的不健全,快递企业及快递员野蛮暴力分拣的行为无法得到有效约束,纵容了野蛮暴力分拣现象的滋长。2015年北京市政府常务会议审议通过了《北京市快递安全管理办法》,构建快递安全责任、保障和监管体系外,还针对规范安全管理制度、快递运单信息安全、快递车辆通行、应急演练、末端投递等事宜做了明确规定。此外,还在快递安全责任体系中明确了政府、企业和用户三方责任。细化了许可条件,并从生产场地、服务网点、职业资格、运营车辆、跟踪查询能力等方面,明确了快递企业的服务能力。
二、我国快递业应对发展困惑的策略分析
(一)加强快递企业诚信体系建设
规范快递物流行业自律。相关政府和部门要积极引导快递物流经营户遵守服务承诺,自觉清理快递企业与消费者之间的协议中的“霸王条款”,避免出现服务意识淡薄、法律意识不强、设置条款不合理、收费标准随意等问题。同时,各级政府和部门要结合日常巡查和消费投诉举报发现的问题行政约谈快递企业,积极向快递企业宣传快递物流行业相关规范,倡导诚信经营,促其提高信用意识,完善信用制度。
(二)加强快递从业人员培训考核
对快递企业和快递市场来说,提高快递员素质,有针对性的对其进行培训,才能更适应快递市场飞速发展。对于快递企业的中层管理人员要不断提高其综合管理能力,丰富管理经验,提高创新能力和执行能力;加强快递操作人员的技术等级培训,不断提升操作人员的业务水平和操作技能,增强严格履行岗位职责的能力。岗位技能培训应通过技能评定制度,强化“师带徒制”,中心内部业务培训由部门内部自行安排,若确有必要,可与相关培训机构合作。
(三)完善快递行业法律法规,加强执法与监管
通过法律规章来规范快递行业发展、遏制暴力分拣等乱象,已经成为公众的普遍诉求。针对“双十一”过后快递包裹激增,野蛮分拣、个人信息安全等问题再次成为热点。2015年11月,国务院法制办就《快递条例(征求意见稿)》公开征求意见。意见稿规定,快递公司及从业人员以抛扔、踩踏或者其他危害快件安全的方法处理快件的,最高可罚款5万元。
规章制度的出台,只是解决了“制”的问题,尚未解决“治”的问题,从动机上来讲很有“必要”,但从效果来预判却未必是“必然”。与庞大的快递员队伍相比,监管执法的力量显得太过薄弱,条例在监督和执行方面仍然面临困难,实际效果可能有限。对此,在加大监管和执法力度的同时,还需加强行业自律和第三方监督,同时推进快递行业整改,有效保护消费者权益。将日常监管与专项检查有机结合起来,对物流经营主体是否取得有效许可、是否办理营业执照、是否超范围经营、是否相符登记事项等进行逐一检查造册、实施分类监管。
作为消费者也要加强对快递行业的监督,保护自身权益。收件人需坚持先验货后签字,对于破损快件坚决拒收。同时要警惕快递新型诈骗,对于以第三方物流担保交易、预付物流费为由的各种汇款要求,坚决不予置理。对于快递公司和快递员的不合理态度和行为要勇于投诉和举报,督促快递业健康发展。
参考文献:
基础设施不断优化,一流网络平台基本建成。近年来,金华市信息网络建设取得跨越式发展,以无线传感网、射频识别、信息技术应用等为基础的物联网技术应用快速推进,建成了一批综合交通、安防监控等方面的智慧基础设施,共建率超70%,共享率超60%,信息基础设施指数达到0?郾744,信息基础设施已成为我市经济和社会发展的重要支撑。2014年,金华市列入国家首批“宽带中国”示范城市,完成信息基础设施固定资产投资21?郾1亿元,同比增长38?郾72%。目前拥有2条国家一级和10条国家二级光缆干线,建有浙中第一个双线接入的国家4A级IDC机房,是全省第二大信息传输枢纽。近期,启动建设电信的华东云计算中心、移动的金义信息中心,建设电信互联网骨干网络CHINANET的浙江省第二中心节点,担负浙江乃至华东地区到华南的主要互联网流量。截至2014年底,我市拥有网络室外基站2?郾4万个;建设室内基站4903个;移动电话信道187万个;无线接入点AP数4?郾4万个;移动电话用户达到933万个;宽带用户达到178万个;IDC机房机柜数1286个,3G网络实现对城区、乡镇、工业园区、主要高速路、道路的网络覆盖,信息基础设施建设在全国处于领先水平。
智慧应用成效显著,社会管理创新稳步推进。电子政务在改善公共服务、加强社会管理、强化综合监管、完善宏观调控等方面发挥了重要作用,促进了政府职能转变。政府门户网站成为信息公开、网上办事和政民互动的重要窗口,金华政府门户网站进入全国地市级门户网站前40名。有序推进省网上政务大厅金华分厅建设,建立健全市、县、乡、村四级联动的综合政务服务体系。“金”字工程等一批电子政务重要业务系统建设扎实推进,通过食品药品安全、社会治安、安全生产、环境保护、城市管理、质量监管、人口和法人管理等方面电子政务的有效应用,极大地提升了社会管理能力和水平。
社会和公共事业信息化发展迅速,教育、医疗、社会保障、文化等民生重点领域信息化取得显著进展。到2014年底,公办学校教育计算机网千兆宽带学校接通率达90%以上,县级以上医院、市本级所有卫生院(社区服务中心)全部实现信息化管理,城乡居民社会养老保险、劳动力市场等信息系统普及应用,全面发行加载金融功能的社会保障卡,目前已发行380万张。同时国家与省智慧城市试点全面推进。列入国家住建部智慧城市试点城市,率先启动智慧车联网、智慧商城、智慧警务等项目。其中,智慧车联网项目获得省政府批准,列入省政府第三批智慧城市试点项目,并通过省级专家组评审。
“两化”融合有序推进,企业转型升级动力增强。在工业领域,信息技术已广泛应用于企业生产工艺、内部管理、产品研发、市场销售、能耗与排放监控等环节,特别在设计研发数字化、生产装备智能化、内部管理精准化和产业链协同化等方面具有良好基础。全市重点骨干企业装备的信息化程度达到60%以上,70%以上的企业开展了计算机辅助设计(CAD),50%的企业实施了企业资源计划工程(ERP),信息化带动工业化成效显著。汽车、五金、纺织等产业集群被列为我省产业集群“两化”深度融合试验区,金华市高新技术产业园区、永康市,东阳市列为省两化融合综合性示范区,培育了今飞机械集团、康恩贝生物制药公司、横店东磁等一批信息化示范试点企业。近两年,我市共组织实施市“两化”融合重点项目142个,项目总投资达5?郾49亿元,有效提升两化融合水平,促进产业转型升级。
农村信息化快速推进,公共服务水平得到提升。进一步加快农村信息化进程,全面构建“富农、惠农、便农、乐农”的农业农村信息化服务体系。金华市100%行政村覆盖远程视频互动系统,90%以上乡(镇、街道)建立了综合信息服务平台(www?郾9191?郾cn)。全面启动“光通村”、村级治安监控、村级电子围栏报警系统、乡村电子图书阅览室、农民视频互动教育培训系统、农家乐信息服务点和“村邮站”便民服务点等建设工作。一批信息化建设先进县、乡(镇)、村被列入省农村信息化示范创星"十百千"工程,其中示范县3个,示范乡镇13个,示范村60个。
信息产业快速发展,电子商务异军突起。2014年,全市电子信息制造业规上企业实现工业总产值383?郾6亿元,同比增长6?郾5%,重点发展智能终端、新型电子元器件、磁性材料、太阳能光伏、新型光源等特色产业。全市软件和信息服务业实现主营收入330亿元,同比增长36%。全市实现电子商务交易额2356?郾3亿元;实现网络零售额942?郾6亿元,同比增长40?郾96%,占全省网络零售额的16?郾71%,总量列全省第二。涌现了一批知名电子商务企业,在全国行业电子商务网站100强中,我市占有8席,行业商务网站已成为列杭州之后的省内第二大集聚区。网上网下市场加快融合发展,义乌国际商贸城、永康五金城等传统有形市场与电子商务无形市场互动发展,义乌商城集团与淘宝实施战略合作,联合建设网上商城。金华市区创建国家级电子商务示范基地,成为省内继杭州之后的第二个城市。
在充分肯定我市智慧城市建设基础不断夯实的同时,我们也清醒地看到,金华在智慧城市建设还面临不少困难和挑战。一是认识水平亟待提高。无论是对智慧城市建设,还是对相关的现代信息网络技术应用;无论是理论研究,还是具体实践方面,还较为欠缺,社会各界没有形成共识。二是体制机制有待创新。金华市信息化建设存在职能交叉的弊端。政务云项目未启动,还没有引入政务云建设创新模式,政府投资信息化项目存在重复建设等问题。三是信息孤岛问题较为突出。信息系统大多根据条条规划来建设,系统之间实现共享的信息较为有限,应用效率不高,特别是人口信息资源共享建设与应用需求之间的矛盾突出。四是智慧城市建设投入不足。五是信息系统安全建设滞后。信息安全管理制度有待完善,执行力度有待提高,部分重要信息系统仍缺乏等级保护认定。应急预案不够完善,缺乏必要的应急演练。
二、今后的发展思路和目标
紧紧围绕“百姓富裕、浙中崛起”总目标,走集约、智能、绿色、低碳的新型城镇化道路,坚持政府主推、市场主导、企业主体,突出以人为本、需求为先,以转变发展方式为主线,以信息基础设施为支撑,以信息技术应用为重点,大力推进以网络化、智能化为主要特征的面向未来的智慧城市建设,全面提高城市现代化水平,助推新型城市化建设,让市民共享智慧城市和新型城市化建设成果。力争到2020年,建成以高度发达的电子商务为特色的信息经济体系,以高效便捷的公共服务和城市管理为重点的智慧应用体系,以高速泛在的宽带城市、无线城市为支撑的下一代城市信息基础设施体系,以自主可靠的防护机制为保障的网络安全体系,智慧城市建设成为金华提升城市竞争力和软实力的强大支撑和重要基础,智慧城市建设总体处于全省前列。具体目标包括:
――智慧应用效能逐步增强。智慧车联网、智慧商城等智慧城市试点项目成功实施,形成一批智慧城市建设标准和运营模式;智慧生活初具雏形,信息化应用有效促进信息消费,基于网络的智能化医疗、教育、交通、养老等公共服务基本涵盖全体市民;信息经济蓬勃发展,信息技术引领带动新产业、新技术、新模式、新业态发展,信息化与工业化融合指数达到85;智慧城管不断深化,基于网格化的城市综合管理平台覆盖率达到99%;智慧政务普及应用,政府电子政务核心业务信息化覆盖率达95%以上,县(市、区)级达到70%以上,信息化助力政府改革创新的效应不断凸显;智慧城市区域示范效应明显,形成一批示范性智慧社区、智慧村庄、智慧园区、智慧商圈、智慧新城。
――信息基础设施能级跃升。宽带城市、无线城市基本建成,城市基本实现无线宽带全覆盖和主要公共场所无线局域网全覆盖。商务楼宇光缆通达率达100%,城市住宅光纤全覆盖,实现百兆接入能力,家庭平均接入带宽达到20Mbps,构建起多层次、广覆盖、多热点的无线宽带网络;行政村全部实现通光缆,自然村全部实现通宽带。基本建成下一代广播电视网、下一代通信网和下一代互联网,“三网融合”取得突破性进展。人口、法人等基础数据库和经济社会重点领域信息资源综合数据库、专业数据库建设取得重大进展,实现海量数据共享。
――信息经济处于省内领先。信息产业集聚区域布局进一步优化,产业创新能力和竞争力不断增强。从加快发展信息产业、扩大信息消费、推进信息化应用和促进两化深度融合四个维度推进信息经济发展,重点打造国际电子商务中心和全国智慧物流中心,培育浙江省数字内容产业中心,参与创建信息化和工业化深度融合国家示范区。信息产业主营业务收入达到2000亿元,年均增长20%以上。电子商务交易额突破1万亿元。培育一批具有国际竞争力和创新活力的企业,重点培育主营业务收入分别超百亿元的新型电子元器件、软件和通信运营服务、电子商务与网络经济三大产业集群。
――信息安全可信可控可靠。城市网络安全保障体系和管理制度基本建立,基础网络和要害信息系统安全可控,重要信息资源安全得到切实保障,居民、企业和政府的信息得到有效保护。安全防护、风险抵御、监测预警、应急处置、灾难恢复、网络保密等信息安全保障能力进一步提升,网络信任、信用体系建设取得重大进展,全民信息安全意识普遍提高,数据容灾备份体系初步建立。
三、主要建设任务
着眼于信息惠民,构建普惠化公共服务体系。加快实施信息惠民工程。推进智慧医院、远程医疗建设,普及应用电子病历和健康档案,实现卫生服务站全市联网,推动医疗物联网试点项目,促进优质医疗资源纵向流动。建立公共就业信息服务平台,加快推进就业信息全国联网。加快社会保障信息化体系建设,推进医保费用跨市即时结算。以便民利民为基点,以信息技术为支撑,打造容纳社会保障、公共交通、卫生医疗、金融支付、小额支付等功能于一体的市民卡综合服务平台。围绕促进教育公平、提高教育质量和满足市民终身学习需求,建设完善教育信息化基础设施,构建利用信息化手段扩大优质教育资源覆盖面的有效机制,推进优质教育资源共享与服务。加强数字图书馆、数字档案馆、数字博物馆等公益设施建设。鼓励发展基于移动互联网的旅游服务系统和旅游管理信息平台。
着眼于透明高效,构建精细化社会管理体系。推进政府办事网上公开,深化政府信息公开,整合集聚网上公共服务,抓好“四张清单一张网”、信息资源共享与交换平台、网上公共服务平台等信息化项目建设。建立全面设防、一体运作、精确定位、有效管控的社会治安防控体系。整合各类视频图像信息资源,推进公共安全视频联网应用。完善社会化、网络化、网格化的城乡公共安全保障体系,构建反应及时、恢复迅速、支援有力的应急保障体系。在食品药品、消费品安全、检验检疫等领域,建设完善具有溯源追查、社会监督等功能的市场监管信息服务体系,建设透明厨房、阳光食堂,推进药品阳光采购。整合信贷、纳税、履约、产品质量、参保缴费和违法违纪等信用信息记录,加快诚信信息系统建设。完善群众诉求表达和受理的8890便民网络平台。
着眼于宜居城市,促进智慧化生活环境建设。建立环境信息智能分析系统、预警应急系统和环境质量管理公共服务系统,对重点地区、重点企业和污染源实施智能化远程监测。依托城市统一公共服务信息平台建设社区公共服务信息系统,拓展社会管理和服务功能,发展面向家政、养老、社区照料和病患陪护的信息服务体系,为社区居民提供便捷的综合信息服务。推广智慧家庭,鼓励将医疗、教育、安防、政务等社会公共服务设施和服务资源接入家庭,提升家庭信息化服务水平。
着眼于创新驱动,建立现代化产业发展体系。立足当前基础,继续做大做强电子元器件与材料两大优势特色产业,大力发展汽车电子及智能装备产业,加快推进产业集聚、提升产业层次,完善电子产品制造业产业链。利用好国家现代服务业综合试点的重大机遇,加快发展电子商务、信息软件、通信服务、现代物流、文化创意、物联网、互联网金融、服务外包等网络服务业,构建完备的信息服务产业生态体系,提升网络经济的规模和质量,打造我市网络经济的升级版。运用现代信息化手段,加快建立城市物流配送体系以及新型农业生产经营体系。加速工业化与信息化深度融合,提升企业生产“智造”能力,建设完善中小企业公共信息服务平台。
着眼于能级提升,建设智能化基础设施。加快构建城乡一体的宽带网络,推进下一代互联网和广播电视网建设,全面推广“三网融合”。推动城市公用设施、建筑等智能化改造,完善建筑数据库、房屋管理等信息系统和服务平台。加快智能电网建设。健全防灾减灾预报预警信息平台,建设全过程智能水务管理系统,实现从水源地监测到水龙头水管理的全过程在线监控,保障饮水安全。建设交通诱导、出行信息服务、公共交通、综合客运枢纽、综合运行协调指挥等智能系统,与国内特别是省内智慧交通领域领先企业共同建设智慧交通,并部署面向终端用户的车联网应用。推进北斗导航卫星地基增强系统建设,发展差异化交通信息增值服务。建设智能物流信息平台和仓储式物流平台枢纽,基本建成金华国际物流园物流公共服务平台。
着眼于集约利用,推进信息资源充分共享。统筹城市地理空间信息、法人信息、中小企业信用库及建筑物数据库等资源,加快智慧城市公共信息平台和应用体系建设。以信息资源集约采集、充分共享为目标,大力推进信息资源共享应用,不断完善集中与分布相结合的信息资源体系。建立健全电子政务网络服务体系,充分依托电子政务网络完善政府信息查询系统,依法公开政府信息,办理行政管理和公共服务事项,提高行政效能。以城市统一的地理空间框架和人口、法人等信息资源为基础,叠加各部门、各行业相关业务信息,加快促进跨部门协同应用。整合已建政务信息系统,统筹新建系统,实现基础信息资源和业务信息资源的集约化采集、网络化汇聚和统一化管理。以政务信息资源开发利用为核心,将企业信用、产品质量、食品药品安全、综合交通、公用设施、环境质量等重点领域信息资源向社会开放,市政公用企事业单位、公共服务事业单位等机构将教育、医疗、就业、旅游、生活等信息资源向社会开放。支持社会力量应用信息资源发展便民、惠民、实用的新型信息服务。鼓励发展以信息知识加工和创新为主的数据挖掘、商业分析等新型服务,加速信息知识向产品、资产及效益转化。
一、我国互联网网络安全形势
(一)基础网络防护能力明显提升,但安全隐患不容忽视
根据工信部组织开展的2011年通信网络安全防护检查情况,基础电信运营企业的网络安全防护意识和水平较2010年均有所提高,对网络安全防护工作的重视程度进一步加大,网络安全防护管理水平明显提升,对非传统安全的防护能力显著增强,网络安全防护达标率稳步提高,各企业网络安全防护措施总体达标率为98.78%,较2010年的92.25%、2009年的78.61%呈逐年稳步上升趋势。
但是,基础电信运营企业的部分网络单元仍存在比较高的风险。据抽查结果显示,域名解析系统(DNS)、移动通信网和IP承载网的网络单元存在风险的百分比分别为6.8%、17.3%和0.6%。涉及基础电信运营企业的信息安全漏洞数量较多。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计,2011年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203个,其中高危漏洞73个;发现直接面向公众服务的零日DNS漏洞23个,应用广泛的域名解析服务器软件Bind9漏洞7个。涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心(CNCERT)监测,2011年每天发生的分布式拒绝服务攻击(DDoS)事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。2011年7月15日域名注册服务机构三五互联DNS服务器遭受DDoS攻击,导致其负责解析的大运会官网域名在部分地区无法解析。8月18日晚和19日晚,新疆某运营商DNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。
(二)政府网站安全事件显著减少,网站用户信息泄漏引发社会高度关注
据CNCERT监测,2011年中国大陆被篡改的政府网站为2807个,比2010年大幅下降39.4%;从CNCERT专门面向国务院部门门户网站的安全监测结果来看,国务院部门门户网站存在低级别安全风险的比例从2010年的60%进一步降低为50%。但从整体来看,2011年网站安全情况有一定恶化趋势。在CNCERT接收的网络安全事件(不含漏洞)中,网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接收的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及帐号、密码信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。
(三)我国遭受境外的网络攻击持续增多
2011年,CNCERT抽样监测发现,境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,虽然其数量较2010年的22.1万大幅降低,但其控制的境内主机数量却由2010年的近500万增加至近890万,呈现大规模化趋势。其中位于日本(22.8%)、美国(20.4%)和韩国(7.1%)的控制服务器IP数量居前三位,美国继2009年和2010年两度位居榜首后,2011年其控制服务器IP数量下降至第二,以9528个IP控制着我国境内近885万台主机,控制我国境内主机数仍然高居榜首。在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制,其中美国有3328个IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位;仿冒境内银行网站的服务器IP有95.8%位于境外,其中美国仍然排名首位——共有481个IP(占72.1%)仿冒了境内2943个银行网站的站点,中国香港(占17.8%)和韩国(占2.7%)分列二、三位。总体来看,2011年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2011年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。此外,CNCERT在2011年还监测并处理多起境外IP对我国网站和系统的拒绝服务攻击事件。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。
(四)网上银行面临的钓鱼威胁愈演愈烈
随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。2011年初,全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。据CNCERT监测,2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃,3月-12月发现针对我国网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件,较2010年增长近2.5倍,占总接收事件的35.5%;重点处理网页钓鱼事件1833件,较2010年增长近两倍。
(五)工业控制系统安全事件呈现增长态势
继2010年伊朗布舍尔核电站遭到Stuxnet病毒攻击后,2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11月Stuxnet病毒转变为专门窃取工业控制系统信息的Duqu木马。2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合CNCERT处置安全漏洞,但在处置过程中部分企业也表现出产品安全开发能力不足的问题。
(六)手机恶意程序现多发态势。
随着移动互联网生机勃勃的发展,黑客也将其视为攫取经济利益的重要目标。2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08%,其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。从手机平台来看,约有60.7%的恶意程序针对Symbian平台,该比例较2010年有所下降,针对Android平台的恶意程序较2010年大幅增加,有望迅速超过Symbian平台。2011年境内约712万个上网的智能手机曾感染手机恶意程序,严重威胁和损害手机用户的权益。
(七)木马和僵尸网络活动越发猖獗
2011年,CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。根据工业和信息化部互联网网络安全信息通报成员单位报告,2011年截获的恶意程序样本数量较2010年增加26.1%,位于较高水平。黑客在疯狂制造新的恶意程序的同时,也在想方设法逃避监测和打击,例如,越来越多的黑客采用在境外注册域名、频繁更换域名指向IP等手段规避安全机构的监测和处置。
(八)应用软件漏洞呈现迅猛增长趋势
2011年,CNVD共收集整理并公开信息安全漏洞5547个,较2010年大幅增加60.9%。其中,高危漏洞有2164个,较2010年增加约2.3倍。在所有漏洞中,涉及各种应用程序的最多,占62.6%,涉及各类网站系统的漏洞位居第二,占22.7%,而涉及各种操作系统的漏洞则排到第三位,占8.8%。除预警外,CNVD还重点协调处置了大量威胁严重的漏洞,涵盖网站内容管理系统、电子邮件系统、工业控制系统、网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够,质量控制不严格,发生安全事件后应急处置能力薄弱等问题。由于相关产品用户群体较大,因此一旦某个产品被黑客发现存在漏洞,将导致大量用户和单位的信息系统面临威胁。这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。
(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点
2011年,DDoS仍然是影响互联网安全的主要因素之一,表现出三个特点。一是DDoS攻击事件发生频率高,且多采用虚假源IP地址。据CNCERT抽样监测发现,我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%,对其溯源和处置难度较大。二是在经济利益驱使下的有组织的DDoS攻击规模十分巨大,难以防范。例如2011年针对浙江某游戏网站的攻击持续了数月,综合采用了DNS请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式,攻击峰值流量达数十个Gbps。三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省部级政府网站都遭受过流量转嫁攻击,且这些流量转嫁事件多数是由游戏私服网站争斗引起。
二、国内网络安全应对措施
(一)相关互联网主管部门加大网络安全行政监管力度
坚决打击境内网络攻击行为。针对工业控制系统安全事件愈发频繁的情况,工信部在2011年9月专门印发了《关于加强工业控制系统信息安全管理的通知》,对重点领域工业控制系统信息安全管理提出了明确要求。2011年底,工信部印发了《移动互联网恶意程序监测与处置机制》,开展治理试点,加强能力建设。6月起,工信部组织开展2011年网络安全防护检查工作,积极将防护工作向域名服务和增值电信领域延伸。另外还组织通信行业开展网络安全实战演练,指导相关单位妥善处置网络安全应急事件等。公安部门积极开展网络犯罪打击行动,破获了2011年12月底CSDN、天涯社区等数据泄漏案等大量网络攻击案件;国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用,有力支撑各部门做好网络安全工作。
(二)通信行业积极行动,采取技术措施净化公共网络环境
面对木马和僵尸程序在网上的横行和肆虐,在工信部的指导下,2011年CNCERT会同基础电信运营企业、域名从业机构开展14次木马和僵尸网络专项打击行动,次数比去年增加近一倍。成功处置境内外5078个规模较大的木马和僵尸网络控制端和恶意程序传播源。此外,CNCERT全国各分中心在当地通信管理局的指导下,协调当地基础电信运营企业分公司合计处置木马和僵尸网络控制端6.5万个、受控端93.9万个。根据监测,在中国网民数和主机数量大幅增加的背景下,控制端数量相对2010年下降4.6%,专项治理工作取得初步成效。
(三)互联网企业和安全厂商联合行动,有效开展网络安全行业自律
2011年CNVD收集整理并漏洞信息,重点协调国内外知名软件商处置了53起影响我国政府和重要信息系统部门的高危漏洞。中国反网络病毒联盟(ANVA)启动联盟内恶意代码共享和分析平台试点工作,联合20余家网络安全企业、互联网企业签订遵守《移动互联网恶意程序描述规范》,规范了移动互联网恶意代码样本的认定命名,促进了对其的分析和处置工作。中国互联网协会于2011年8月组织包括奇虎360和腾讯公司在内的38个单位签署了《互联网终端软件服务行业自律公约》,该公约提倡公平竞争和禁止软件排斥,一定程度上规范了终端软件市场的秩序;在部分网站发生用户信息泄露事件后,中国互联网协会立即召开了“网站用户信息保护研讨会”,提出安全防范措施建议。
(四)深化网络安全国际合作,切实推动跨境网络安全事件有效处理
作为我国互联网网络安全应急体系对外合作窗口,2011年CNCERT极推动“国际合作伙伴计划”,已与40个国家、79个组织建立了联系机制,全年共协调国外安全组织处理境内网络安全事件1033起,协助境外机构处理跨境事件568起。其中包括针对境内的DDoS攻击、网络钓鱼等网络安全事件,也包括针对境外苏格兰皇家银行网站、德国邮政银行网站、美国金融机构Wells Fargo网站、希腊国家银行网站和韩国农协银行网站等金融机构,加拿大税务总局网站、韩国政府网站等政府机构的事件。另外CNCERT再次与微软公司联手,继2010年打击Waledac僵尸网络后,2011年又成功清除了Rustock僵尸网络,积极推动跨境网络安全事件的处理。2011年,CNCERT圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和我国大连举办的国际会议上正式了中文版和英文版的成果报告“抵御垃圾邮件建立互信机制”,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。
三、2012年值得关注的网络安全热点问题
随着我国互联网新技术、新应用的快速发展,2012年的网络安全形势将更加复杂,尤其需要重点关注如下几方面问题:
(一)网站安全面临的形势可能更加严峻,网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差,其中存储的用户信息极易被窃取,黑客在得手之后会进一步研究利用所窃取的个人信息,结合社会工程学攻击网上交易等重要系统,可能导致更严重的财产损失。
(二)随着移动互联网应用的丰富和3G、wifi网络的快速发展,针对移动互联网智能终端的恶意程序也将继续增加,智能终端将成为黑客攻击的重点目标。由于Android手机用户群的快速增长和Android应用平台允许第三方应用的特点,运行Android操作系统的智能移动终端将成为黑客关注的重点。
(三)随着我国电子商务的普及,网民的理财习惯正逐步向网上交易转移,针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化,可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体,实施更具威胁的攻击。
(四)APT攻击将更加盛行,网络窃密风险加大。APT攻击具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节,2012年APT攻击将更加系统化和成熟化,针对重要和敏感信息的窃取,有可能成为我国政府、企业等重要部门的严重威胁。
(五)随着2012年ICANN正式启动新通用顶级域名(gTLD)业务,新增的大量gTLD及其多语言域名资源,将给域名滥用者或欺诈者带来更大的操作空间。
(六)随着宽带中国战略开始实施,国家下一代互联网启动商用试点,以及无线城市的大规模推进和云计算大范围投入应用,IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。
关键词 计算机;网络;对抗方式
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)84-0188-02
1 计算机及网络攻击方式
针对计算机网络的攻击方式主体涵盖口令入侵、程序欺骗、拒绝服务、邮件攻击与木马攻击手段等。口令入侵通过应用合法用户相关账号以及密码登陆主机,并进行攻击。该行为的实现需要获取主机合法用户账号,并对其口令实施破译。通常来讲入侵方式包括缺省进入界面法、网络监听、暴力破解与漏洞入侵等。前者首先位于被攻击对象主机之中调用可行驶入侵程序且能显现伪造登陆界面,录入相关信息后,相关入侵程序便可将相应的用户录入信息发送至攻击方主机。监听方式为非法获取用户口令手段,监听方利用中途截获方式获得用户口令账号等信息。而暴力入侵则在掌握用户相关信息后借助专项软件实施破解攻击行为。利用漏洞主体针对计算机系统中存在的安全漏洞、后门与设计缺陷实施攻击,进而非法掌握用户信息。程序欺骗网络攻击中,攻击人通过表面合法程序的编写,令其发送至FTP站点以及主页之中,欺骗用户进行下载。该类软件可对用户实施的计算机操作行为展开跟踪并予以记录,进而将用户信息传输给攻击方。一般常用方式包括逻辑炸弹、蠕虫攻击、贪婪程序入侵等。拒绝服务则主体面向攻击方网络系统相关服务器传送较多无用且需要回复的冗余信息,通过耗尽其带宽以及资源的方式,令其网络系统不堪重负直至瘫痪崩溃,无法提供正常快速的网络服务。一般攻击活动中多应用分布式的拒绝提供服务的攻击,即调用多个计算机在同一时间对目标机器网络进行拒绝服务的集中影响攻击。其主体方式包括资源耗尽攻击、修改配置攻击、物理破坏、分布式拒绝提供服务影响攻击等方式。基于电子邮件的攻击方式是一类常用的非法手段,攻击方利用邮件炸弹与CGI程序发送较多内容信息、无用文件至目标邮箱之中,令邮箱面临撑爆威胁而无法正常应用。该类攻击方式主要包括饱和电子邮件影响攻击、邮件欺骗攻击等。特洛伊木马攻击主体为相关木马程序入侵至用户计算机系统中,展开直接的攻击影响,一般常常被伪装为程序软件与游戏等,欺骗用户点击打开或由网络中下载,一旦攻击邮件或程序被执行打开后,便会激活其中嵌入的木马令其装入计算机之中,并位于系统之中隐蔽,是可随windows系统而执行的破坏程序。当计算机系统连入互联网时,该木马程序便可向攻击人发出通知,将相关IP信息、预先设置端口等内容呈现出来,攻击人则可在获取该类信息后,对其参数、文件、口令、注册表、浏览器之中的内容进行随意修改。进行木马安装的实践方式包括发送电子邮件、程序更新升级、安装补丁与服务器等。攻击系统漏洞的方式为,主体利用计算机与网络体系软硬件工具中包含的安全漏洞,截获访问目标网络的相关权利,进而实现攻击。一般漏洞攻击方式包括缓冲区溢出影响攻击、病毒入侵攻击、后门攻击等。计算机系统受到网络入侵与影响攻击后,将受导致整体瘫痪,无法正常应用服务,令用户面临财产、个人信息的不良窃取丢失威胁,为此我们应探讨有效的防护对抗策略,进而提升计算机与网络系统安全性能水平,净化网络应用环境。
2 计算机与网络攻击的有效对抗防护
2.1 有效对抗防护技术
计算机与网络攻击的有效对抗防护技术丰富多样,且始终处于不断变化发展之中,为此,我们应探究技术创新,持续变更防护手段,优化对抗效果。可利用信息加密手段技术进行网络优化及验证加密。还可继续拓展应用防火墙技术,对网络出入数据包展开全面监察与过滤,并管控各项访问实践行为,对非法入侵访问进行有效封堵,并记录相关进入防火墙的各项信息与活动,做好网络攻击入侵的全面检测与快速告警。我们还可利用病毒预警技术进行有效的防护对抗,通过自动发觉、有效判断,分析计算机系统中各项信息、内存与文件的安全性,是否包含病毒。一般我们可将病毒预警同防火墙技术有效结合,进而构建病毒防火墙体系,做好各项网络传输文件信息与数据的全面监控,当发觉病毒入侵时,可将其快速过滤。另外可通过访问控制管理技术做好计算机系统各项资源的安全保护,杜绝其被非法获取访问。对于入侵攻击行为,我们可进行深入的分析探究,总结其特征,令计算机安全系统可对各项入侵行为、具体事件与实践过程进行快速响应。该技术可作为防火墙技术的有效补充,辅助计算机网络与系统对抗入侵行为,进而提升管理人员安全控制水平,确保信息安全体系的良好全面性。
2.2 科学对抗防护措施
为强化防护对抗,我们应完善对抗实验室创建,提升计算机网络对抗能效,通过对抗训练,位于封闭模拟系统中,实现基本战术研究、练习,明晰网络攻击以及对抗防御科学方式,并验证网络攻击与预防的全新方式实践效果。可创建网络对抗体系即应急管理小组,对网络信息展开实时监控,搜集运行信息资讯,实施对抗预警管理,研究对抗科学方式及相关预案。同时应提高网络对抗水平,基于战略目标快速研发网络技术、攻防策略,通过理论分析、规划设计,明确对抗管理原则,做好效果预期与协调管控。另外我们应依据计算机网络对抗现实特征,强化电磁损坏、相关结构体系、病毒感染、网络渗透及安全防护的科学研究,通过对抗演练做好相关理论的研究与发展。再者,应强化网络安全人才建设,扩充专家团队、指挥战术团队建设,培养基础操作管理人员队伍,完善网络安全对抗防护体系。
3 网络攻击方式的发展延伸
伴随对抗计算机网络攻击技术手段的扩充发展,未来网络攻击行为也将继续更新变化,发展出混合蠕虫影响攻击、隐蔽攻击以及自动更新影响等方式。前者具有自我快速繁殖能力,令攻击影响波及范围更宽,通过一次攻击便可影响较多系统漏洞。隐蔽攻击则会做到影响隐蔽、不留痕迹,并在未来基于黑客手段形成多变代码、隐蔽通道、内核后门以及嗅探后门等,将令对抗防护难度显著提升。通过自动更新功能,攻击方可令用户请求进行重新定向,一旦用户进行程序更新并连接至厂商站点进行下载之时,便会由于获取恶意程序而受到不良攻击影响。随着网络技术的发展,还可形成路由器以及服务器攻击影响方式。路由器可谓网络体系核心,DNS服务器则进行域名的相关解析,倘若攻击方进行路由器的影响破坏攻击,实施路由表篡改或服务器影响变更,便可令整体网络系统处于无序状态,形成紊乱现象,进而引发严重的破坏。为此,我们应依据网络攻击方式的发展延伸方向,制定有效科学、切实可行的对抗应用策略,进而做好安全防护管理,提升计算机网络安全水平。
4 结论
总之,针对计算机网络攻击影响方式、实践特征,我们应探究其具体规律、发展方向趋势,做好对抗策略制定,优化人才培养、扩充技术研究,才能提升防护水平,真正营造可靠、安全的网络应用环境,激发计算机技术优势价值。
参考文献
各县(市)区教育局、社会事务局(办)、市直初中学校:
根据省教育厅关于做好2019年高中阶段学校招生工作的有关要求、《市教育局关于印发襄阳市2019年普通高中招生录取实施方案的通知》(襄教发〔2019〕16号)及《市教育局关于下达2019年全市高中阶段教育招生计划的通知》(襄教发〔2019 〕56号)精神,现将我市2019年高中阶段学校招生网上填报志愿工作通知如下:
一、网上填报志愿对象
网上填报志愿对象为襄阳市2019年应届初中毕业生且未被“自主招生”、“指标到校招生”和“特长生招生”录取的考生。
二、网上填报志愿方式
采取分散填报与集中填报相结合的方式。即个人具备网上填报条件的考生可自行上网填报,不具备网上填报条件的考生由毕业初中学校集中组织,由考生自主填报。
三、网上填报志愿前期准备工作
网上填报志愿前必须准备好相应条件:一是上网必须的电脑;二是分辨率为1024*768及以上;三是浏览器为IE9.0及以上;四是网速2M以上;五是A4幅面激光打印机。
四、填报志愿及打印《考生志愿表》时间
网上填报志愿时间安排在中考成绩公布后进行。具体时间为:7月11日8:00至7月12日18:00。填报志愿结束后初中学校统一打印《考生志愿表》,打印时间为7月12日18:00至7月13日17:00。
五、网上填报志愿工作步骤
第一步:学习政策。初中学校要将《2019年襄阳市中考考生网上填报志愿须知》(附件一)、《2019年襄阳市普通高中填报志愿招生信息表》(附件二)、《2019年襄阳市职业高中填报志愿招生信息表》(附件三)、《2019年考生网上填报志愿流程》(附件四)以及《2019年襄阳市职业高中报考指南》(美篇)印发和转发给每一位考生,并组织考生认真学习有关规定和要求,引导考生和家长明确招生政策,明确录取规则,熟练掌握网报志愿的操作步骤和流程。
第二步:登录“湖北省高中阶段学校招生管理信息系统” http://gzjd.hubzs.com.cn/,“用户名”为考生本人中考报名号,初始密码为考生本人身份证号(身份证号中含有x的要输入大写X),验证码随机提供。考生首次登录时必须修改初始密码后才能继续进行操作(修改后的新密码考生必须牢记,否则就不能重复登录和以后查询自己的录取状态)。填报志愿期间登录时若出现密码遗忘或错误等情况,可拨打县(市)区招生考试机构电话要求初始化密码(市直学校直接联系市统招办),县(市)区招生考试机构登记好来电时间、来电号码,可通过比对考生相关信息等方法,确认来电系考生本人后,将密码初始化并直接告知考生。
第三步:核对考生信息。考生进入系统后,要核对个人信息(姓名、中考报名号、联系人、联系电话、联系人住址等),如发现错误,要及时与市、县(市)区招生考试管理机构联系。考生信息中的联系电话号码若有变化可及时更正,以免影响后期信息畅通。
第四步:填报志愿。每个考生都要填报两类志愿,即普通高中志愿和职业高中(中职和技校)志愿。普通高中设计了8个平行志愿,职业高中设计了12个平行志愿。填报时一定要做到两个必须:必须尽量“填满”志愿;必须有梯度地按照优、良、中、一般的顺序选报志愿,要将自己希望就读的学校填报在前面。录取时,普通高中第一批,职业高中第二批,所以,若一心一意就读职业高中的学生就不要填报普通高中志愿。
中考成绩为A等的考生,均能按第一志愿录取。中考成绩低于襄阳四中五中招生录取资格线的考生不要填报襄阳四中或襄阳五中。
考生填报志愿时,不需要输入任何字符,只要在相应的志愿栏中,用鼠标点击即可选择学校。选择注明有“(高收费)”的学校时,一定要根据家庭条件和自己意愿慎重填报,因为填报这样的学校录取后,高中学校要按发改部门备案的收费标准高收费。
志愿选报完后,一定要点击“提交保存”,才能使填报信息上传成功,如果不点击“提交保存”,那么所填报的志愿打印出来是一张白纸。“提交保存”成功后,要点击“安全退出”,否则,他人有可能会误改已填报的志愿。
考生在填报志愿规定时间内对所填志愿可以进行反复修改,系统会自动记录每次修改操作过程,包括登录人、登录时间、IP地址、填报或更改的信息等。
第五步:打印《考生志愿表》。填报志愿系统于2019年7月12日18:00(下午6:00)关闭后,任何人就不能登录系统填报志愿了,初中学校可统一打印《考生志愿表》。《考生志愿表》为A4幅面纸,用激光打印机打印一式二份,一份由学校装入考生档案,一份交市统招办。
第六步:签字确认。考生及家长(监护人)认真核对《考生志愿表》,并在相应栏目签字确认。考生本人签名不得由其他人代签。手工修改《考生志愿表》一律无效。
第七步:上交《考生志愿表》。考生将签字确认后的《考生志愿表》*主任,学校集中整理,按中考报名号从小号到大号的顺序整理好,于2019年7月14日交到各县(市)区招生考试机构,各县(市)区和市直初中归总后,于7月15日交市统招办。
六、网上填报志愿组织管理及工作职责
网上填报志愿工作在市教育局统一领导下,由市统招办负责实施与管理。各县(市)区招生考试管理机构、初中学校等配合做好相关工作。
1、市统招办职责:负责网上填报志愿的宣传、培训、制定工作方案; 负责网上填报志愿流程设计;协助相关部门对网上填报志愿过程中发生的违纪、违规行为进行查处。
2、县(市)区招生考试管理机构职责:根据相关文件要求,结合本地实际制定网上填报志愿实施办法;负责对学校有关负责人、班主任的培训工作;负责检查学校集中填报志愿所在地的硬件设备、网络运行、安全等工作;负责考生密码的初始化;负责组织、检查学校《考生志愿表》的签字确认、汇总及报送工作。
3、初中学校职责:负责考生网上填报志愿的具体实施,制定本校工作方案和应急预案,为不具备上网条件的考生提供网上填报志愿的设备和场所;负责通知考生及家长在规定的时间内填报志愿;负责对考生、家长进行志愿填报培训;负责《考生志愿表》打印;组织考生校对、签字、确认;负责将签字后的《考生志愿表》整理、上交。各学校要指定专人负责填报志愿工作,并将填报志愿负责人的姓名及联系方式传送到县(市)区招生考试机构存档(各地将初中学校填报志愿负责人信息汇总后的Excel电子表(表样见附件五)于2019年7月7日发至455989611@qq.com。
七、网上填报志愿工作要求
1、重视培训和宣传工作,层层开展培训。各初中学校要培训到每个班主任、要落实到每个考生。
2、抓住关键环节,确保志愿信息采集质量。要加强对网上填报志愿的组织管理,加强对考生网上填报志愿的指导与服务,重点在以下四个环节:一是填报方法宣传环节。要求每个考生在正式上机前充分酝酿、认真演练、学习填报方法,提高上机操作的准确率和效率;二是上机操作环节。考生上机填报时要按流程规范操作,以免误填、漏填、错填;三是签字确认环节。《考生志愿表》必须由考生本人、家长(法定监护人)校对、签字确认,考生对自己签字确认的志愿负责,学校做好督促检查工作,防止代签、漏签;四是交接检查环节。班主任要了解核对全班学生志愿填报情况。对放弃填报志愿的考生要逐一核实,防止错漏。
3、加强领导,明确责任,确保网络和信息安全。各县(市)区教育(教体)局负责人是考生填报志愿第一责任人,市、县(市)区招生考试管理机构负责人及各初中学校校长是考生填报志愿直接责任人,具体负责该地区、该学校网上填报志愿的全面工作。各地各校要成立工作专班,确定工作人员,明确各自工作职责,建立工作责任制,实行责任追究制。切实做好网上填报志愿系统安全防范和信息安全保密,防范黑客攻击和病毒侵袭,防止考生身份信息和志愿信息泄露。积极协调争取电力、通信、公安和网络运营等部门和单位的支持,确保网络安全畅通。要从网络接入、电力保障、设备配备和组织管理等多个方面,防范和应对可能出现的异常现象。建立网上填报志愿重大问题报告制度,在填报志愿过程中出现重大问题要及时上报及时处理,杜绝群体性事件发生。确保网上填报志愿工作顺利进行。
附件:
1.2019年襄阳市中考考生网上填报志愿须知
2.2019年襄阳市普通高中填报志愿招生信息表
3.2019年襄阳市职业高中填报志愿招生信息表
4.2019年考生网上填报志愿流程
5.2019年襄阳市中考填报志愿学校负责人信息汇总表