发布时间:2023-10-11 15:55:09
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇房建安全风险评估,期待它们能激发您的灵感。
为了认真落实公司机电动力部下发的《关于开展安全性能及风险评估专项检查的通知》,按照通知要求结合我矿实际情况,组织各相关单位成立以主管领导为组长的检查工作小组,开展全矿范围内采装、运输、机电设备性能检测及风险评估管理专项检查。现将有关要求通知如下。
一、成立专项检查领导小组
组长:
检查人员:
二、检查内容
1、检查各外委施工单位在用采装、运输设备(机械车辆等),对安全可靠性进行风险评估,对存在缺陷的设备及时消缺改造,淘汰安全性能达不到要求的设备。
2、检查各设备(机械车辆等)摆动部件、限位装置、液压操作手柄防护罩、设备机械电气保护等,逐项排查,对存在隐患的设备立即停止使用。
3、检查各外委施工单位重要设备是否建立出厂验收、入矿检测、使用维护检修、报废处理等各环节数据链。
4、检查各外委施工单位新设备在技术协议、到货验收、安全性能检测等面是否存在问题。
三、工作安排
1、各外委施工单位11月10日起开展自查,至13日对检查出的隐患问题形成自查报告及整改方案,上报机电队。
2、11月16日***煤矿检查工作小组对各外委施工单位进行全方位检查,按照公司机电动力部检查内容逐项检查,发现外委施工单位自查不力或隐瞒的隐患问题设备,立即清理出采场和。
【关键词】:医学检验科;生物安全;风险及防护
【中图分类号】R446.1【文献标识码】A【文章编号】1672-3783(2020)08-24--01
医学检验科需要与病人及大量的临床标本进行接触,这就导致了医学检验科人员长时间的暴露在含有各类微生物及病毒的环境之中[1]。做好标本生物安全的控制与管理,已成为医学检验科的重要内容。本研究自2019年7月起,于医学检验科施行了生物安全风险评估及防护策略,取得较好效果,报告如下。
1资料与方法
1.1一般资料
将医学检验科工作人员作为本次研究的对象,共有工作人员40名,男7名、女32名,均为本科学历,年龄为30-40(35.16±3.35)岁。2019年7月至12月为生物安全风险评估及防护策略实施后时段,2019年1月至6月为实施前时段,实施前后均为相同的40名工作人员。
1.2方法
医学检验科生物安全的风险评估:通过对医学检验科工作人员进行问卷调查、收集与分析近年来生物安全事故资料,医学检验科造成生物安全隐患的风险因素进行评估,包括(1)医学检验科工作人员的安全防范意识不足。主要表现为在进行检验操作时,未严格执行规范的流程或者未配搭防护用具、手部清洁消毒不到位等。(2)医学检验科的工作区域未合理划分。主要表现为工作区域与生活区域的分界模糊,存在各区域之间拥挤或者物品杂乱放置等情况。(3)医学检验科的废弃物未恰当处理。主要表现为一次性的检验器具未恰当处理,包括尿杯、采血针和注射器等消耗品。
医学检验科生物安全的防护策略:针对风险评估结果,制定相应的防护策略,包括(1)加强人员培训和考核。培训内容包括操作规范与流程、消毒标准和日常生物安全防护技术等。(2)加强人员防护意识。将生物安全的防护意识纳入为培训的重点内容,主要使用生物安全事故的实际案例讲解等方法。科主任负责每日工作质量评价。质控员负责每月1次的微生物检测,分析原因并提出整改意见。(3)规范废弃物处理并调整科室布局。对医学检验科的各个区域进行重新划分,区分工作区域与生活区域,各区域张贴醒目标识。废弃物实行分类处理,区分清洁区域污染区,各区域及分类废弃物处理箱均张贴醒目标识。
1.3观察指标
观察实施前、实施后的生物安全事故发生率及医学检验科工作人员的工作效能[2],共4个评估项目,各项0-25分,满分100。
1.4统计学方法
资料数据采用SPSS22.0分析,计量资料以±S表示,进行t检验,P<0.05为差异有统计学意义。
2结果
实施前后均未发生生物安全事故。实施后人员工作效能评分高于实施前,P<0.05差异具有统计学意义,见表1.
3讨论
关键词:安全生产;安全行为;实施监督;6S管理
中图分类号:F530 文献标识码:A
1 控制物的安全状态和人的安全行为
1.1工器具预检严密,设备设施安全管理措施到位
第一,定期检测工器具的安全性能,前移安全关口。检修公司成立工器具检验中心,有效加强了电力检修常用工器具的检验,中心成立至今已完成两万多件工器具检验,严格把好工器具的进场关。第二,设备设施进行升级改造,改善电力检修的安全生产环境,结合兄弟电力企业近年来的事故发生情况,对检修设备所有机械转动部分加装防护罩,减少机械伤害;在触电方面通过改造电气保护、继电保护等减少触电伤害;通过对工作面进行改造,增设作业平台,增设防护网,减少高空坠落和高空落物的伤害等等,通过一系列的改造及时消除安全隐患。
1.2控制人的不安全行为
1.2.1培训教育措施落实到位,安全意识与技能不断提高
第一,坚持定期开展安全活动,通过学习,吸取事故教训,杜绝发生人身和设备事故。第二,修前开展检修规程、文件包的培训,提高参修人员安健环意识,掌握修前机组状态,贯彻“应修必修、修必修好”,确保机组检修后安全稳定运行。第三,每年组织全体员工进行相关安全生产规章制度学习培训,考核合格。第四,全员参与触电急救,消防器材使用培训,考核合格。第五,公司建立安全学习室,利用历次大小修违章图片,对参修人员进行培训,达到提高进步。第六,针对生产重点难点,开展检修技能竞赛,以赛促培,不断提高员工的检修技能水平。
1.2.2强化现场安健环管理,实时监督指导提高
检修过程中进行安健环巡查监督,巡查人员划分责任区域,对发现不规范行为以当面批评说服教育为主,考核为辅的手段,对重复出现违章则从重处罚。定期进行安健环管理的分析与回顾,在大小修期间每周出版一期安健环简报,曝光违章现象,奖励表扬先进,促进现场安健环管理的提高。借鉴沙A管理经验,在工地机组大修中实行优质项目评比活动。
1.2.3积极推进创建星级班组建设,夯实基层管理基础
班组严格执行班前班后会制度,班前会“交任务、交风险、交措施”,工作中“查措施落实、查精神状态,查个人防护品佩带”,班后会总结当天工作和安全情况,“评任务完成情况,评工作中的安全状况,评安全措施的执行情况”。将星级班组创建与月度绩效考核挂钩,实行动态考核机制。星级班组工作小组每月定期检查生产班组,对存在问题提出整改意见,并指导督促整改。开展班组差距分析,对差距存在的问题举一反三,逐项整改。树立本部与工地的班组建设标杆,相互交流学习,共同提高进步。目前,本部生产班组已全部达到四星级水平,驻沙C的生产班组80%以上达到沙C 09年评比的四星级水平。
2 全方位加强安全管理措施
2.1加大安全生产投入,营造良好的安全环境
要搞好安全生产,就必须根据生产需要加大安全费用的投入,首先,从设备设施进行升级改造,改善电力检修的安全生产环境,结合兄弟电力企业近年来的事故发生情况,对检修设备所有机械转动部分加装防护罩,减少机械伤害;在触电方面通过改造电气保护、继电保护等减少触电伤害;通过对工作面进行改造,增设作业平台,增设防护网,减少高空坠落和高空落物的伤害等等。通过一系列的改造及时消除安全隐患。其次,组织各种各样的安全活动,不断提升安全意识。如开展安全知识竞赛、安全活动月、应急演习、个人防护用品培训等等,以提升人员的安全意识。
2.2 加强班组安全建设,用6S管理不断夯实班组安全基础
第一,先对班组的工器具进行整理,班组所有的工器具统一集中工器具仓库管理,需要使用时到仓库借用,由仓库组织维护保养,所有工具形成共享,从源头控制不合格工器具进入检修现场,班组只余留必备的轻便的少量工具放置,既节省人力物力,又空出班房的空间。第二,将班组人员从许多记录本中解脱出来,用网上班组管理系统的“一本通”代替了许多流于形式的记录本,此班组管理系统包括班组工作日记、培训记录、安健环学习、安健环管理等内容,实施了网络“一本通”,班组成员减少了许多繁琐的文字工作,将精力放到实际工作中,用更多的时间查找工作中存在的问题,进而解决问题,逐步实施班组电子化文档管理。第三,营造整洁干净的班房班貌,将一些无用残旧的物件进行清理,适用的修理翻新,根据地势合理摆放,休息室和工具房分开。工器具摆放整齐贴上标识,一个整洁干净的班房任何人都是喜欢的,员工的心情舒畅,自然就少犯错。第四,夯实班组风险管理,NOSA系统的核心也就是风险管理,NOSCAR等级对班组的风险评估要求更细更实。要求班组根据工作实际存在的作业风险班组成员进行学习讨论,评出作业风险等级,风险等级为2级及以上的工作要形成风险工作清单,根据清单编写作业文件包及书面安全工作程序(WSWP),形成文件指导现场作业,控制作业风险,这是一个闭环过程:辨识危险源——分析风险——风险评估——风险控制——有计划工作观察或安健环事件——查找存在不足(安全措施是否充分)——修改风险评估。通过不断循环改进,逐步形成结合实际的现场检修风险管理。第五,培养员工形成良好的NOSCAR安健环行为,对班组成员不断进行安健环培训教育,要求从低到高,一步一步提高,检查考核也从宽松到严格,经过一段时间实施,员工自觉就形成良好的安健环行为习惯。
结语
安全责任重于泰山,企业不仅在控制物和人方面做好以上管理措施,也要不断完善各种安全管理措施,全方位保障安全生产、防范安全事故。使企业在同行业竞争中永立于不败之地。
参考文献
(包头职业技术学院,包头 014035)
(Baotou Vocational & Technical College,Baotou 014035,China)
摘要: 本文从计算机网络面临的各种安全威胁,针对校园网络的安全问题进行研究,从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
Abstract: From all kinds of security threats to computer network, this paper studies the campus network security problem, from two aspects of building security defense system and strengthening the safety management, designs the campus network security policy, establishes the ideas of the P2DR model to establish the campus network security defense system. And it is concluded that the building of a set of effective network security defense system is the necessary way and measures to solve campus network main threats and hidden troubles.
关键词 : 网络安全;安全防范;校园网
Key words: network security;safety;campus network
中图分类号:TP393.1 文献标识码:A
文章编号:1006-4311(2015)02-0199-02
0 引言
随着网络信息技术的高速发展,网络安全问题日渐突出,近年,网络病毒、黑客攻击等屡见不鲜,国家相关部门也一再要求做好网络安全建设和管理工作。校园网络也同样会面临威胁,因此应该在知道的网络功防基础上构建校园网络安全体系,首先要从两方面着手:一是采用一定的技术;二是不断改进管理方法。
1 校园网络存在的安全隐患
目前,校园网络主要存在的安全隐患和漏洞有:
①校园网通过CERNET与Internet相连,在享受Internet带来的方便快捷的同时,也面临着遭遇网络攻击的风险。②校园网内部存在着很大的安全风险,当前,黑客攻击工具在网上很普遍,并不需要很复杂的知识的普通人就能操作,因此存在很大的风险。同时因为内部用户对网络的应用和结构模式有了一定的了解,所以来自校园网内部的安全隐患更大一些。③操作系统存在的安全隐患,校园网络服务器安装的操作系统有Unix、WindowsNT/Windows2000/WindowsXP、Linux等,而这些系统的风险级别不同,例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它们成为了最不安全的操作系统。④伴随着校园内计算机应用越来越普及,接入校园网的节点也逐渐增多,然而大部分节点都没有构建一定的防护措施,因此随时随地都有可能造成病毒猖獗、校园网络被攻击、数据损坏、重要信息丢失、甚至系统瘫痪等严重的后果。
由此可见,采取必要的信息安全防护措施,构建有效的校园网络安全体系尤为重要。
2 构建校园网主动防御系统
现阶段,威胁校园网的安全有来自校内的,也有来自校外的。在进行校园网络安全系统设计的时候,首先就是要了解学校的需要和目标,然后再制定相应的安全措施,但是与此同时需要重点注意的就是,网络上的安全策略和业务目标与安全设计要求相一致。所以网络安全的防御体系必须是动态的、变化的,在设计完成安全防御体系后,就需要不断地适应并随着安全环境的变化而变化,这样就可以确保安全防御系统的良好发展,并保证它的有效性和先进性。
2.1 P2DR模型 美国ISS公司提出的P2DR模型是一种动态的网络安全体系的具有代表性的模型,也是动态安全模型的最初始形态。其中P2DR模型是在整体安全策略的控制和指导下,运动防护工具将系统调整到风险最低的安全状态。而防护、检测和相应则就组成了一个完整的,并且是动态的安全循环系统,同时在安全策略的指导下能够保证信息系统的安全,这也就成为衡量一个网络系统是否是安全的标准,从而对它的安全性能进行评定。
2.2 校园网络安全防范体系 在对网络是否是安全的进行判断后,就可以针对以上校园网网络安全系统的安全系统的应用来实现以下的技术:
①在校园网中配置防火墙和入侵检测系统在校园网的进口处架设了防火墙和网络入侵检测系统。②在校园网中运用VLAN技术按照学校各部门、院系拥有的不同的应用业务和不同的安全等级为依据,如有限制非法访问的需要可以运用VLAN技术。③在校园网中利用软件配置服务器使用二级防火墙,在学生机房配置访问控制列表,并利用软件配置服务器,在服务器上安装双网卡,设置连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,设置学生客户机IP地址与服务器内网IP地址在同一网段,网关IP设置为服务器内网IP地址。机房服务器通过服务器连接到互联网,从而可以起到控制前往Internet的所有用户的流量的功效。④在校园网安装杀毒软件防病毒手段要在整个校园网中,凡是有可能感染和传播病毒的地方都要安装应用,安装相应的防杀毒软件,可以有效地防止病毒在校园网上传播。对杀毒软件要定期进行升级病毒定义码和扫描引擎。⑤制定相关的安全策略是赋予组织机构技术人员或信息资产使用权的人员所要履行的准则,也是陈述它是一个成功的网络安全体系的基础与核心。校园网络的安全策略主要依据的就是校园网的业务需求所要描述的校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容。
2.3 完善安全制度与管理体系 安全防范体系的核心即是安全管理,它贯穿于整个安全防范体系,在安全防范体系中起到了人的作用。网络系统的安全性不仅是技术方面的问题,也是日常相应的规章制度管理的问题,不然对于网络系统的安全来说也只是纸上谈兵。
在建立了学校网络安全防御体系后,学校的网络控制中心主要负责网络设备的正常运行和日常的管理,信息中心主要负责的就是网络上教学资源能够安全管理和储存。对已服务器的日志要做到每日必须检查,每次对重要的数据服务器都要进行异地数据备份。对于操作系统和防病毒软件包,管理员也需及时打补丁和进行升级,不断完善和优化网络安全的管理制度。校园网络的安全管理是一个长期的并且是动态的过程。
3 结论
在信息技术飞速发展的今天,校园网已然成为了学校信息系统的核心,网络的不安全就使得整个校园信息系统变得不安全,甚至会造成对教学秩序的紊乱,所以必须建立一套有效且可实施的网络安全防御系统,来确保校园网络的安全。本文主要是从当今校园网络安全可能面临的一些威胁和存在的攻击入手,对网络攻击的防范进行了设计并将其实现,并且提出了以安全策略为核心,防护、检测和响应为手段,加以技术防范的一种校园网安全防御系统理念,来确保校园网络安全的一个切实的解决方案。本文中所采用的技术不能说是非常完善的,一是因为网络攻击技术都是在不断向前发展的,二是因为笔者的设计水平局限性,并且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的,所以还存在很多有待深入研究的问题。
参考文献:
[1]王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005,6:19-20.
[2]宋劲松.网络入侵检测:分析、发现和报告攻击[M].国防工业出版社,2004,9:26-28.
[3]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3.
伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。
但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。
【 关键词 】 电网;信息网络;安全;防范措施
1 引言
通常人们谈到电网时,大多指的是这些输电配电的网络。但其实电网还有另外一张“网”,就是用于传递信息的互联网。在当前我国电力信息化迅猛发展的过程中,调度中心、电力局、电厂与用户之间的信息通信更为频繁。各种与电力相关的生产、管理、运营网络与“电”一样,成为电网必不可少的重要组成部分。这些网络除了带来更为便捷、高效的工作方式外,也附带了病毒入侵,安全漏洞等网络负面因素。
如何能够确保电网的信息传递完整准确,使得输变电网络有效地运转,为国家各项建设提供基础保障,是当前乃至今后的电力工作中的一项重中之重。
2 电力信息网络安全分析
与普通互联网一样,电力信息网络也同样需要面对各种各样的网络安全威胁,包括对各种网络设备,对网络中传递的信息的威胁,甚至是对不完善的管理制度的威胁。下面本文就电力信息网络可能存在的安全问题进行了分析。
1)网络设备可能存在的安全隐患。目前,不少计算机机房并没有防火、防水、防雷击、防电磁泄漏和干扰等措施。在遭遇自然灾害和意外情况时,抵御能力较差;由于噪音或者电磁干扰,可能导致信号的信噪比下降,误码率增加,破坏信息的完整性;人为造成的设备损坏甚至窃听,更是严重影响了信息的安全性。
2)网络本身的安全。信息网络本身在下面几个主要方面存在安全漏洞:网络系统的结构、软件漏洞、病毒入侵。互联网是一个由无数局域网组成的巨大网络。当人们在局域网间进行通信时,这些信息数据流通常要经过许多网络设备的重重转发,任意两节点间的数据包,不仅会被这两个节点的网卡所接收,也会被处在同一个以太网中的任何一个节点的网卡所捕获。黑客只需要侵入这一以太网上的任一节点,就可以截取在这个以太网上传输的所有数据包。因为互联网上大多数的数据包都没有经过加密,所以黑客通过各种手段很容易对这些数据包进行破解,窃取有用信息。因此,选择合理的网络拓扑结构是信息网络组建时的首要工作。
3)位于网络中的主机或其它设备上的软件可能存在安全漏洞,但没有及时升级更新或打上补丁,又或者软件配置存在安全隐患,使其容易受到攻击也存在感染病毒的可能。
4)蠕虫病毒、ARP欺骗病毒等可能导致网络全部瘫痪。一旦有计算机中的文件感染蠕虫病毒,那么这台计算机和这些文件本身也是蠕虫病毒,可能随着网络的传播,干扰整个网络,使业务无法正常进行。
5)管理制度和人员的安全意识也是网络安全的一大威胁。企业在管理上缺乏必要的规定和监管,对重要甚至的设备或信息的管理不到位,未设置专门的部门或者人员进行专业管理。对员工上网的行为未做必要的规范,导致员工可能通过电子邮件或者其它即时通信方式向外传递敏感信息,泄漏企业机密。
一些员工在信息安全方面的意识较差,例如共享主机或关键设备的账户或密码,密码设置随意,在对外联系时也没有注意到信息的敏感性。这些有意或无意的行为都对电力信息网络带来了安全威胁。
3 电力信息网络安全防范措施
3.1 加强网络安全观念,提升安全防范意识
信息网络安全工作的前提,是提高人员的思想意识。首先要加强宣传教育,使全体人员充分认识到信息网络安全的重要性,树立网络安全观。其次,可以通过丰富多样的培训内容和方式,对全体员工进行网络安全知识的培训,并通过理论考试或者上机实践等方式,让大家充分理解和掌握网络安全的基础知识和技能。再者,员工都应该自觉地遵守信息安全管理的各项规定,培养对网络安全工作的主动性和自觉性,保证信息网络的安全。最后,各级领导也应该转变观念,充分认识到信息网络的安全风险,加大在网络安全方面的投入和工作力度。
3.2 结合多种技术手段,构建安全的信息网络
3.2.1物理的安全防护
物理的安全防护包括物理的分区和各种设备的安全两个方面。
根据国家《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等文件的要求,电力行业的物理分区必须明晰。根据业务的不同,划分为生产控制区和信息管理区两大部分。其中,生产控制区又分为主控制区和非控制区,信息管理区又分为信息内网和信息外网。这些不同的区域分别采用不同的保护等级,并且使用物理隔离装置也就是专用的防火墙,进行隔离。
各区域内部和区域之间的通信设备必须严格按照国家规定,采购品质好,安全性能高的设备。不仅如此,在运输、安装、使用的过程中也要加强安全措施,除了注意防火、防盗、防水、防潮、防静电等外,还需要对重要的设备进行防电磁辐射保护。当设备出现故障或超过使用期限时,要及时处理或销毁。不同安全级别的设备要区别处理,要注意对送出单位进行修理的设备上存储的信息的安全。设备的销毁则一定要送入国家专业机构进行处理。
3.2.2逻辑保护
逻辑的保护主要是进一步将网络进行分区,增加网络防护的深度。当出现入侵时,入侵者需要破解多层的防护。这样即提高了入侵的难度,也为主动防御增加了时间。通过设置交换机或者路由策略,将核心部门的主机集中在一个没有其它用户节点的VLAN中,更好地保护主机中的资源;也可以按照部门或者业务分工划分VLAN,各部门内部的用户节点或服务器独立存在于各自的VLAN中,互不干扰,从而防止病毒的传播和黑客攻击。
3.2.3防火墙
防火墙是一套由应用层网关、包过滤路由器和电路层网关等组成的系统。逻辑上,它处于企业内网和外部互联网之间,提供网络通信,保证企业内网能正常安全地运行。根据防火墙的作用不同,分为两类,主机防火墙和网络防火墙。前者主要在主机受到攻击时进行保护;后者为网络协议的2至7层提供防护。
3.2.4入侵系统
入侵检测系统(IDS)是主动防御攻击的网络安全系统。这一系统通过收集,分析网络的行为、安全日志、数据以及计算机系统中关键点的信息,查看系统或网络中是否有违反安全策略的行为或者被攻击的可能。它与防火墙一起,完善了整个网络安全的防御体系,是网络安全的第二道闸门,在电力信息网络安全工作中发挥着重要作用。其在整个网络布局中的位置示意图如图1所示。
3.3 完善网络安全制度,强化安全管理
要做好电力信息网络安全工作,技术是保障,而管理是关键。因此,需要有一套严密有效的网络安全管理制度,无论是技术人员还是普通用户都需要严格遵守和执行管理规定。这些制度包含几个方面。
1)信息监管。各区域的网络,尤其是信息外网的使用者在上网时,需要加强审查,规范上网信息,以及上传和下载信息的行为。严禁携带,传播信息和不健康的信息,必要时可以使用带保密功能的终端,杜绝有意和无意的泄密事件。
2)设备管理和使用。对各种软、硬件设备,在采购、运输、安装、使用和报废等关键环节,都需要登记造册,由专门的部门以及专人负责保管和维护,确保设备的安全。针对密级较高的设备,可以由专人负责分类存放,甚至可以配置专人专机。一般情况下,不允许使用个人设备、未登记备案的办公设备、未经加密处理的设备接入网络。
3)存储和备份管理。各种存储信息的介质,都需要统一编号登记,按照级别分门别类存放,由专门的部门专门的人员负责。数据是保证信息网络安全的核心,而数据备份是保证数据不受损失的最佳方法。为了防止设备意外损坏、人为操作失误或者其它未知因素导致的数据丢失,需要制定完备的备份恢复策略,保证及时有效地恢复数据,避免系统瘫痪。可以结合实际情况,采取增量备份,完整备份,或者利用第三方工具进行磁带备份等等技术手段,提高数据的安全性,保证数据的完整性。
4)风险评估和检测。在专业的网络安全服务公司的帮助下,结合电力信息网络安全的实际,加强各部门间安全信息的交流与共享,建立风险评估机制和管理机制。 持续研究和发现网络安全漏洞或者缺陷,评估面临的风险和威胁,并且寻求相应的补救方法,做到防患于未然。
3.4 加强人才培养,提高人员素质
成立专门负责信息网络安全的部门或者小组,选择具有专业水平或者学历的人员担当管理人员、技术人员。通过开展学术交流,进修,内部培训等多种方式,对这些人员进行系统全面的培训,在加强责任心,业务能力培养的同时,也加大对计算机网络安全技能的培训,不断更新人员的知识结构。掌握最新的安全防护技能。此外,还可以引进人才,充实到信息网络安全的各个工作岗位。
4 结束语
电力行业是国家的基础行业中尤为重要的一项,关系到国计民生。如何保障电力的稳定运行,如何让电力保障人民生产生活的正常进行,是电力行业一直面临的问题。这其中,电力信息网络的安全工作随着互联网的进一步发展,将会是电力行业的一项新的挑战。
本文通过对电力信息网络中存在的风险进行分析,并从管理和技术上提出几种安全防范措施。目标在于更好地满足电力信息网络安全稳定运行和数据资料的保密性,从而为电力在国家各项建设中发挥作用提供更有利的保障。
参考文献
[1] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[2] 王宏伟.网络安全威胁与对策[J].应用技术.2006,5.
[3] 余勇. 电力系统中的信息安全策略[J].信息网络安全,2003,9.
[4] 王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息,2010,7.
[5] 钟婧文,崔敬.信息系统网络安全问题研究[J].科技致富向导,2010,5.
[6] 魏晓著,柳英楠,来风刚.国家电力信息网信息安全防护体系框架与策略.计算机安全,2004,2.
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
[2]黄翠仙,厦门市气象局网络的VLAN设计[J].广西气象.2005(1).
[3]邬伦等,《地理信息系统-原理、方法和应用》.科学出版社.2001.
[论文摘要]近几年来,随着气象信息对人们生产、生活作用的不断加大,它的安全也备受关注。从气象网络的概念、安全的必要性出发,逐一探讨了气象网络安全存在的问题,以及相关的解决措施。
一、气象网络的概念及其结构形式
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,玩忽职守,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
为认真贯彻全国安全生产电视电话会议和__公司安全稳定工作座谈会的会议精神,我局根据__*的相关通知和工作方案要求,结合安全生产实际情况,及时制定下达《__*安全日活动及安全隐患排查治理专项行动工作方案》与《__*安全生产隐患排查治理专项行动督查方案》,成立以局长为组长的安全隐患排查治理专项行动领导小组,以“三查六防”为重点,全员全方位开展“安全日”和安全生产隐患排查治理专项行动,深刻吸取近年来系统内发生的事故教训,落实安全责任,强化全员安全意识、责任意识、风险意识,切实遏制电网重特大事故发生,促进电力安全生产状况持续稳定好转,确保企业和谐稳定。
近段时间,国内、省内的安全生产形势不容乐观,安全生产事故多发,给我局的安全生产敲响了警钟。当前,又正值电网秋季检修预试高峰,以及受冰雪灾害影响和奥运保供电需要,大批的基建、技改工程积压在年内完成,生产、基建任务十分繁重,局系统面临维护安全生产稳定局面和完成年内各项工作任务的双重压力。局党组充分认识到在当前状况下开展一次全面、全方位的安全稳定工作,对保障年内各项工作安全、有序、平稳的完成,维护安全生产稳定局面具有十分重要的意义,精心组织,广泛动员,全面部署,切实以此次安全稳定工作为契机,全面排查局系统事故隐患和安全薄弱环节,提升我局安全生产稳定水平。通过前阶段全局员工的共同努力,团结协作,安全稳定工作取得初步成效。
一、切实开展安全日活动,为安全稳定工作的提供思想保障
按照省公司的统一部署,局系统在全面组织了安全日学习活动,以安全责任教育、安全警示教育,作业行为规范等为主要内容,强化全员安全意识、责任意识、风险意识,营造良好的学习氛围,为下阶段安全隐患排查治理专项活动的全面开展,进行思想动员,奠定思想基础。
坚持全面部署,全员参加原则;安全日活动的学习,不论部门职能,不论岗位职责,不论职务大小,均需全面动员,精心组织,全员投入到学习中央关于加强安全工作的重要指示精神,学习国网公司安全稳定工作座谈会精神和有关安全工作规章制度,并结合各自岗位实际开展讨论,查找安全薄弱环节。
坚持学习内容与岗位实际相结合原则;按照岗位职责、任务分工不同,每位员工学习内容各有侧重。领导干部重点学习国家安全生产法律法规、安全生产职责规范和奖罚规定,包括《国务院关于特大安全事故行政责任追究的规定》、《生产安全事故报告和调查处理条例》、《###公司关于加强安全生产工作的决定》、《###公司安全生产职责规范》等有关内容;各级专业管理人员和基层班组结合岗位实际,重点学习安全作业规程规定、作业行为规范,包括《###公司安全生产职责规范》、《安全生产工作奖惩规定》、《###公司电力安全工作规程》等有关内容。学习内容与岗位实际相结合,并用以指导岗位实际工作中的安全隐患讨论,排查,和改进措施的提出。在深入学习的基础上,结合本部门,本岗位的具体工作开展广泛的讨论,充分认清当前安全生产形势,深入分析本单位、本部门、本岗位安全生产主要问题和薄弱环节,研究针对性措施。
坚持安全日学习与诚信教育相结合原则;针对当前数起安全生产事故暴露出的员工规章制度执行力不强问题,把诚信教育作为安全教育的重要内容,整肃安全管理作风,弘扬讲实话、办实事、求实效的良好风气,加强员工的遵章守纪教育,营造诚实守信的工作氛围。
在开展安全日活动的同时,为切实吸取以往安全事故教训,进一步促进安全隐患排查治理专项行动的深入开展,切实防止各类事故的发生,全局各基层单位、班组还认真组织开展安全事故处理“回头看”活动,以典型的安全事例、安全事故通报为警示教育资料,采取座谈会、安全分析会、现场会、培训班等多种形式对近几年来发生的人身、电网和设备事故进行总结、分析,有些单位还特别结合发生在自己身边的一些违章现象及不安全事件,分析为什么会发生事故,讨论事故的根源是什么,如何更好地吸取事故教训,如何有效降低安全风险、防范事故的发生等等,给了员工们很大的反思空间,进一步强化了员工的安全责任意识和风险意识。
在上述三个坚持的指导原则下,我局切实有效开展安全日活动和以及安全事故处理“回头看”活动,促使全局员工充分认识到目前安全生产严峻形势和全面深入开展安全隐患排查的重要意义,明确了安全隐患排查治理专项行动的各项要求,提高思想,统一认识,强化全员安全意识、法制观念、责任意识,为全面开展安全生产隐患排查提供了思想保障。
二、全面开展安全生产隐患排查治理,维护安全生产稳定局面
1、强化领导、精心组织、周密部署
安全生产隐患排查治理是保障企业安全生产的一项重要活动,我局党委和各部门充分认识隐患排查治理专项活动对维护我局安全生产稳定局面具有的重大意义,高度重视此项工作的开展,严格按照####“三查六防”工作要求,落实规章制度,完善组织机构,制定工作方案。10月13日,成立以局长为组长的安全隐患排查治理专项行动领导小组,同时成立了10个督查小组,下发了《》,细致布置从电网安全隐患、管理性违章、供电安全和供电服务隐患、重大设备隐患、基建安全隐患五个方面出发,全面、全员、全方位开展
安全隐患排查。强化各级领导责任,强调各单位部门主要负责人要亲自抓、负总责,分管领导具体抓、协调指挥,突出安全隐患排查治理问责的精神,层层分解安全责任,层层传递安全压力。各督查组成立后,进一步健全组织和安全责任体系,做具体的部署安排,把安全隐患排查和安全责任落实到每个环节、每个岗位和每个员工。 2、落实责任,各司其责
按照“谁主管、谁负责,谁实施、谁负责”的原则,逐级落实隐患排查责任,各单位部门各司其职,在各自的职责范围,工作范围,将安全生产隐患排查治理作为近期安全生产工作的中心和主线,结合正在开展的秋冬季安全大检查及市局第二轮安全性评价工作,认真落实“以防为主、防治结合”的原则,开展安全隐患排查。
安监处认真做好《外包工程管理规定(试行)》宣贯培训工作,按照新规定要求将重新修订《外包工程管理规定(试行)》,并在12月底前完成对局系统内现有外包工程队伍情况重新梳理工作,以进一步促进施工现场的安全,确保人身安全。生产处具体罗列将生产系统安全隐患排查治理专项行动的重点工作,并将责任落实到处室每个人,进一步深入专项排查行动,包括梳理生产管理各项规章则制度,加强设备的技术监督工作,按照反措和设备评价要求,开展设备缺陷检查、评价,罗列缺陷设备清单,制定设备缺陷整治计划;深刻吸取前阶段安全事故教训,全面开展典型操作票规范化、标准化检查整改,认真做好变电站所用电系统的隐患排查等等。基建处及时召集所有参建单位及监理单位召开“基建系统开展安全生产隐患排查治理专项活动动员大会”,要求所有参建单位与监理单位每周开展隐患分析排查与安全风险识别与预控工作,形成一周一总结和分析、汇报工作机制;根据重大危险源分析结果,对工程建设中的重大危险因素加强跟踪处理,在安全工作中重点做好合理安排施工,减少交叉作业,严格执行安全施工作业票制度,增加安全设施和现场监护;加强对分包单位的安全管理,严格按规定签订分包合同、安全协议;强化对安全通病的治理,如施工的脚手架搭设、施工用电、易燃易爆物品的管理、临边防护、基坑的防坍塌措施等。发展策划处结合当前存在的电网类安全隐患,即时编制完成了《###20__~20__年发展规划》和八个县(市)《县域电力20__~20__年发展规划》。在全省远景饱和负荷水平的基础上,测算分析##地区电网的远景用电需求水平,研究细化2030年电网规划的电力电量平衡方案。市域、县域电力设施布局规划也已全部通过地方政府审查及。其他各单位部门也均按照###关于开展安全隐患排查治理的原则要求,在局系统的统一领导部署下,从各自的部门职能实际出发,开展各自领域的安全隐患排查治理。
3、迅速落实,初见成效。
我局将此次隐患排查专项行动总体分为四个阶段,即部署动员阶段、隐患排查阶段、安全督查阶段、集中总结阶段。部署动员阶段主要抓思想教育,隐患排查阶段主要抓责任落实,安全督查阶段主要以机动式抽查为主,集中总结阶段主要抓经验交流推广。这四个阶段各有侧重,环环相扣。重点围绕对安全管理、电网安全、供电安全和供电服务、重大设备、基建安全、信息安全以及反违章情况等方面开展。
此次隐患排查专项行动到目前为止共排查隐患*条,其中设备安全类*条,安全管理隐患类*条,电网安全类*条,供电和供电服务安全类*条(其中包括高危客户和重要用户类*条),信息安全类*条,多经安全类*条,基建安全类*条。我局将这些排查出的隐患进行统一归纳和分类,对一些不同地点但性质相同的隐患进行了合并,现整理出*条相对重要的各类隐患向__隐患排查治理专项行动领导小组办公室作了汇报,高危客户和重要用户类隐患已由营销处专题向省公司进行上报。
4、广泛宣传,强化监督
为充分发挥舆论宣传和监督管理的作用,在安全隐患排查治理行动中,我局在局主页上开辟了安全隐患排查治理新闻专栏,广泛宣传专项行动的重要意义,及时安全隐患排查专项行动最新动态,各单位部门踊跃发稿,交流安全隐患排查的行动亮点和排查治理成效,形成良好的舆论宣传氛围,促使安全隐患排查深入人心,动员全体员工自觉自主的融入到此次安全隐患排查治理行动中。强化安全隐患排查治理的监督管理,成立以市局领导为首的安全隐患排查治理专项行动督察组,监督、指导、检查各单位部门安全隐患排查治理行动的落实情况,开展不定时地飞行检查和明察暗访活动,以干部问责的精神,严格追究相关人员责任,督促安全隐患排查工作切实开展。
三、安全隐患排查出的问题
1、有关供电安全类隐患:
主要有个别综合变对地距离不够或安装不规范,有些还处于路中间;居民建房与线路安全距离不够以及高低压线安全距离不足等,具体情况和地点各单位相关部门已备有详细台账。针对此类隐患,如果是用户原因引起的,我局采取及时发隐患通知书到用户,督促整改或协助其整改;如果是本单位原因引起的,我们均已安排计划,12月份前都将予以整改。
2、有关基建安全类隐患:
通过对基建现场的专项检查,总体情况较好,但也发现了施工区基坑周围安全围栏设置不符合规范要求,且无安全警示牌;基建现场油漆存放在五金仓库,危险品库无灭火器等隐患。对于此类隐患,有些可以立即整改我们已立即整改,其余的也要求在一周内予以整改,确保基建施工现场的安全。
四、下阶段的工作打算
目前,我局的安全隐患排查治理行动正处于全面深入地进行中,安全隐患排查取得初步成效,但距全面夺取安全隐患排查治理的胜利,尚任重而道远。
下一阶段除了对已排查发现的安全隐患,制定了整改计划,落实了整改人员、资金、措施,加大整改力度外,将继续认真贯彻执行相关会议精神和文件要求,接受省公司安全隐患排查治理专项行动督察组的监督指导,进一步巩固隐患排查专项活动成果,建立健全隐患排查治理的长效机制,强化全局员工的安全意识、责任意识、风险意识,提高我局安全生产管理水平,维护安全生产稳定局面和企业和谐安定。
1、对隐患排查治理工作进行阶段总结,组织各单位部门广泛的相互学习交流,积极推广其中的好经验、好方法。
2、继续结合秋冬季安全大检查、第二轮安评等整治活动,深入开展安全隐患排查治理活动;把安全隐患排查治理作为有效防范安全生产事故的一项重要基础性工作,积极结合隐患排查发现问题的整改,总结经验
关键词:数字图书馆;网络信息安全;网络体系
DOIDOI:10.11907/rjdk.151166
中图分类号:TP309
文献标识码:A 文章编号:16727800(2015)006016703
作者简介作者简介:彭欢(1983-),男,湖北武汉人,硕士,中南民族大学图书馆助理实验师,研究方向为数字图书馆与网络安全。
0 引言
20世纪90年代以来,伴随着计算机技术和信息技术的发展,有“信息仓库”之称的图书馆,迈入了数字图书馆高速发展与建设期。目前,数字图书馆建设已经成为我国图书馆工作的重点,各图书馆都投入了大量的人力和财力[1]。同时,现代信息技术带来的网络信息安全问题,几乎无一例外地出现在数字图书馆中,并且在数字图书馆这个特定的领域表现出一些鲜明的特点。研究图书馆领域的网络信息安全问题并制定相关对策,成为数字图书馆建设的当务之急。
1 数字图书馆概述
1988年,美国学者伍尔夫(W.Wulf)首次提出了Digital Library这一概念[2]。在中国,数字图书馆这一概念则是在1996年北京召开的第62届国际图联(IFLA)大会上首次提出,IBM公司和清华大学图书馆联手展示了“IBM数字图书馆方案”。从此,数字图书馆进入到国家扶持和大规模研发阶段。21世纪初,国家重点科技项目“中国试验型数字图书馆”通过专家技术鉴定,预示着中国的数字图书馆研究、建设已经初具规模[3]。
目前,数字图书馆尚无一个业界公认的定义,但通过与传统图书馆的对比可以帮助人们更好地理解数字图书馆这一概念[4]。
从表1可以看出,数字图书馆具有如下基本特征:
(1)馆藏资源数字化。在信息载体上,传统图书馆完全依赖于纸质印刷的书刊、报纸等,数字图书馆则依托于电子书、声音、图像等多媒体数字资源;在存储方式上,传统图书馆需要大容量的物理馆藏空间,而数字图书馆则将数字资源存储在光盘、硬盘或者专业的存储服务器上[5]。
(2)服务推送方式网络化。传统图书馆以馆藏资源为中心,读者需要到图书馆查询和获取馆藏资源,接受图书馆的特定服务;而数字图书馆以读者为中心,根据读者的需求为读者定制个性化服务,读者足不出户就可以获取各种图书馆资源。
(3)管理方式高效化。包括对馆藏资源的管理、对读者享有的借阅权限的管理、对馆内各类馆员的权限管理等。这在传统图书馆时代完全依赖于人工、容易出错且不易控制和监督;而在数字图书馆时代,则可以借助专业的管理软件轻松完成,不易出错且便于监督。
2 数字图书馆网络信息安全现状
2.1 网络信息安全概念及特征
网络信息安全可以分为网络安全和信息安全两个层面,网络安全包含系统安全和应用服务安全;信息安全主要指数据安全,包含数据、加密、程序等。对于数字图书馆而言,网络信息安全尤为重要,它是数字图书馆提供优质、高效、连续服务的前提。网络信息安全根据其本质界定,具有以下几个特征[6]:
(1)完整性。信息在传输、存储、处理过程中保持原样性,这是网络信息安全最基本的安全特征。
(2)保密性。保密性指信息不泄漏给非授权人或实体。
(3)可用性。可用性指信息可以被授权实体正确访问,并按要求能正常访问或在非正常情况下能恢复使用的特征,即在系统正常运行时能正确存取所需信息,当系统遭受攻击或破坏时能迅速恢复并投入使用。
(4)可审查性。通信双方在交互过程中不能抵赖所做出的行为,也不能否认所接受到的对方的信息。
2.2 高校数字图书馆网络信息安全问题
文献[2]以30家各类数字图书馆作为样本,对我国数字图书馆的网络信息安全问题进行了详细调查。从调查结果来看,现阶段,我国数字图书馆无一例外地发生过网络信息安全事件,网络信息安全存在着诸多隐患[7]。
从发生的安全事件来看,我国数字图书馆存在的网络信息安全问题可分为内部安全风险和外部安全风险两个方面。
2.2.1 外部安全风险
外部安全风险主要有:
(1)黑客破坏。对于数字图书馆而言,黑客可以制造的危害主要体现在3个方面:①恶意破坏数字图书馆的信息管理系统。现代数字图书馆高度依赖信息管理系统,如果信息管理系统遭到恶意破坏,最严重的情况将是整个图书馆服务的瘫痪以及无法挽回的经济损失;②窃取数字图书馆所拥有的一些特色电子馆藏资源和花巨资购买的数据库资源。现代数字图书馆已经迈入了有偿商业化管理模式,正因为如此,这些有偿使用的信息资源就存在被黑客窃取的风险;③黑客利用非法手段来使用数字图书馆专享的网络资源。如果黑客控制了数字图书馆的网络系统,就可以不受任何限制的窃用数字图书馆精密的信息资源,严重危害数字图书馆的建设、维护和信息安全[8]。
(2)网络病毒。在数字图书馆时代,图书馆内部局域网与Internet之间的联系越来越紧密,使得图书馆的网络设备和服务器感染网络病毒的风险日益增加[9]。如果有网络设备或者服务器感染病毒,则数字图书馆的服务质量会大受影响;情况严重时,会造成数字图书馆的网络或服务器的瘫痪、网络信息服务无法开展,甚至会破坏图书馆信息管理系统,造成无法挽回的损失。
2.2.2 内部安全风险
内部安全风险主要有:
(1)软件风险。主要指操作系统和应用系统本身存在的安全漏洞,这些安全漏洞给黑客和网络病毒留下了可乘之机[10]。
(2)管理人员技术素质不足。目前仍有相当部分数字图书馆网络管理人员不是计算机网络专门人才。一方面,这些管理人员不能及时发现并排除网络信息安全隐患,另一方面,他们在进行网络配制和权限管理时容易留下安全漏洞。
(3)管理制度欠缺,执行不到位。当前,很多高校图书馆存在网络安全管理制度不健全或执行力度不够等问题,这使得网络安全体系的安全控制措施不能充分、有效地发挥其效能,从而给攻击者提供了可乘之机[11]。
综上可知,内部安全风险和外部安全风险是一种相互抑制、滋生的关系。任何一方面的安全风险如果暴露在网络环境里,都会被无限放大,并有可能导致其它安全风险。
3 解决对策
鉴于以上特点,笔者认为,要从根本上解决数字图书馆的网络信息安全问题,需要从以下3个方面入手:①构建一个安全的网络体系,保障网络自身安全和网络业务安全;②建立完善信息安全管理的应急处理机制;③加强管理人员技术素质,制定并落实管理制度。
3.1 构建安全的数字图书馆网络体系
构建一个安全的网络体系是维护整个数字图书馆网络信息安全的基础,而这恰恰是很多数字图书馆建设中的薄弱环节。
图1展示了一个典型的数字图书馆网络安全拓扑。一套完整的数字图书馆网络安全体系至少应该兼顾以下要素:远程接入安全、边界安全、内网安全、信息中心安全、上网行为安全与统一安全管理[12]。针对这些要素制定网络安全方案,设计合理的网络拓扑是构建数字图书馆网络安全体系的关键。
(1)远程接入安全。目前主要有两大远程接入安全技术:IPSec VPN和SSL VPN。IPSec VPN的优势在于保护点对点之间的通信安全;SSL VPN的优势在于Web,它注重的是应用软件的安全性,更多应用于Web的远程安全接入方面。对于数字图书馆而言,鉴于远程接入的移动性特点,可以考虑SSL VPN的安全产品。但同时也要考虑接入安全保障、安全管理平台以及可靠性方面的因素。
(2)边界安全。数字图书馆的网络体系和其它网络体系一样,需要对网络边界进行有效的管理的控制,以防范黑客、网络病毒和其它方面的网络入侵。数字图书馆在选购边界安全产品时除了要考虑产品的攻击防范能力外,还要考虑网络隔离需求、网络优化需求、用户管理需求等。
(3)内网安全。内网安全是最容易被忽视的一个环节。对于目前的网络管理者而言,更多的工作是预防来自外部的攻击,并进行检测和处理,而授予内部网络更多的信任。但统计数字表明,相当多的安全事件是内网用户有意或无意的操作而造成。对于内网安全,笔者认为,应当利用交换机和其它内网安全设备,强制终端用户在接入网络前通过入网强制技术进行身份认证和安全状态评估,帮助管理员实施安全策略,确保终端病毒库和系统补丁得到及时更新,降低病毒和蠕虫蔓延的风险,阻止来自用户内部的安全威胁。
(4)信息中心安全。信息中心是数字图书馆中数据流动最为频繁的区域,任何软硬件故障或其它安全问题都会导致不可预估的损失。对于信息中心安全,可以设置防火墙来应对面向网络层的攻击,部署入侵检测/防御设备来对抗应用层攻击。还有不可忽视的一点是,信息中心数据一定要做好冗余备份,制定灾难恢复策略。
(5)上网行为安全。通过部署上网行为管理(AC),可为不同部门、不同用户、基于时间段进行权限分配;在安全方面,通过安全网关的功能,保障内网用户的上网安全,在内网和外网之间设立一道安全屏障,使得外网威胁无法渗透到内网。
(6)统一安全管理。统一管理主要立足于对全网设备进行主动监控,提前采取主动的干预动作解决网络中的安全问题。在数字图书馆中部署统一管理平台,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,可以提高整个数字图书馆网络的关联分析和整体防御能力。
3.2 建立应急处理机制
在数字图书馆网络信息安全管理过程中,如何应对网络信息安全管理突发事件尤为重要。通过建立信息安全突发事件应急预案、强化科学处理信息安全突发事件等措施来完善信息安全应急处理机制,将对数字图书馆的信息安全管理工作起到关键性作用[13]。
首先要做好网络信息安全风险评估工作。一旦信息系统遭受攻击,就要对遭受攻击后的负面结果有一个预判,根据预判做好补救措施准备;根据安全事件发生的可能性和因此造成后果的严重程度来识别信息系统的安全风险,从而尽可能采取相应措施,减少弱点,避免攻击,保护信息系统免受损害。
其次要建立信息安全突发事件的应急预案。应急预案应当包括信息安全事件发生前采取的危机预警和检测以及预防等措施,还应包括信息安全事件发生后采取的应急处理和恢复措施。这将是处理信息安全事件成功的关键。
最后要科学处理信息安全突发事件。处理信息安全突发事件时要明确处理流程,落实相关处理人员,根据风险评估以及相对应的应急处理预案对号操作,根据预案制定相应的应急处理方案并加以处理。
3.3 加强管理人员技术素质,制定并落实管理制度
国内的数字图书馆大多缺乏专业的信息安全管理人员,或者说管理人员缺乏全面的信息安全管理知识和技能。因此,数字图书馆应适量引进信息安全管理方面的专门人才并对现有管理人员进行全面、系统、科学的安全管理培训,从管理人员素质入手,提高信息安全管理水平[14]。
此外,数字图书馆网络信息安全管理也离不开管理制度的建设和相应的制度执行力。一方面要制定有效的管理措施,对现阶段的管理现状进行改善,防范于未然;另一方面要提高网络信息安全管理工作中的制度执行力,加强管理人员对管理制度的执行意识,并落实监督机制,从而确保整个网络信息安全管理工作和基本效用和基础功能。
4 结语
网络信息安全是数字图书馆各项管理工作的基础,它将贯穿于数字图书馆建设和发展的全过程[15]。要解决数字图书馆的网络信息安全问题,就必须从数字图书馆的实际出发,分析数字图书馆网络信息安全问题的特点,找到一个系统的解决方法。监于此,本文提出了系统解决数字图书馆网络信息安全问题的一套方法。
目前,网络技术和计算机技术依然处于高速发展时期,在此大环境下,数字图书馆的网络信息安全也将面临一些新的问题和挑战。如何发现和解决新的问题、如何改进数字图书馆的网络信息架构,将是后续研究的重点。
参考文献:
[1] 邱均平,楼雯.我国电子图书数字图书馆建设现状的调查分析[J].图书情报工作,2014,58(5):2228.
[2] 王运景,王林毅.浅析高校数字图书馆建设[J].教育教学论坛,2014(1):89.
[3] 魏晓萍.我国数字图书馆研究回顾与展望(19982011)[J].图书馆,2013(4):7290.
[4] 杨莹.数字化图书馆的概念界定与要素分析[J].现代情报,2007(11):8789.
[5] 刘芝奇.数字图书馆建设与发展[J].信息系统工程,2013(1):115116.
[6] 禹玲.解读数字图书馆的网络安全目标与保障体系[J].漯河职业技术学院学报,2014,13(5):8586.
[7] 郑德俊,任妮,熊健,黄水清.我国数字图书馆信息安全管理现状[J].数字图书馆,2010(7):2732.
[8] 保洪才.数字化图书馆网络安全分析与对策探讨[J].兰台世界,2013(1):7273.
[9] 黄革.浅谈数字图书馆网络信息安全[J].黑龙江档案,2013(1):127127.
[10] 马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010,20(4):130135.
[11] 段春乐.数字图书馆主控机房安全分析[J].内蒙古科技与经济,2013(18):6972.
[12] 於建伟.数字图书馆网络安全体系研究[J].武汉船舶职业技术学院学报,2014(1):4649.
[13] 张明震.浅析如何完善高校网络信息安全管理应急处理机制[J].网络安全技术与应用,2014(3):141144.
关键字:全过程;成本管理;成本体系;动态成本
中图分类号:F406文献标识码: A
一、概述
房地产开发企业项目成本的发生是一个过程,涉及到了前期策划、规划、设计、施工、销售等开发全过程环节,因此地产企业的成本控制,就是要在项目开发的全过程中,对上述全部成本构成要素进行规划、控制。成本管理体系通过建立有效的目标成本体系、责任成本控制体系和动态成本管理体系以实现企业利润最大化的目标。房地产项目全过程成本管理流程如下图所示,本文围绕这个流程展开阐述。
1 、房地产项目成本控制是投资控制
房地产项目的成本控制,就是在该项目既定的目标收益或者利润率的前提下,根据对未来销售收入的预期,确定该项目的总成本并且项目实施过程中动态控制支出原则上不超过目标成本值,以保证目标收益或者利润率得以实现的过程。
房地产项目的成本控制是一个动态的投资控制概念,需要经历可行性分析、设计、开发报建、招标采购、招标建设、营销、交楼然后进入物业维护过程,整个开发过程任何环节成本的失控都可能导致项目成本超出目标成本而降低目标收益或目标利润率。
2 、全生命周期贯彻目标成本
经历了2008年启示之后,公司逐步加强了项目全生命周期的目标成本控制,实施过程中动态控制投入,设定警戒比例,实施项目全生命周期目标成本管理。
行业内其它公司对全生命周期成本的作出了上图,揭示了建设过程中各个阶段对成本的影响大小,可以看到随着项目的推进,对成本的影响在逐渐的减少。
(1) 建立目标成本
可行性研究结算做出目标成本估算,规划方案确定后建立执行的目标成本。
各阶段目标成本的编制情况以及深度应符合:
立项阶段:形成项目目标总成本;
规划设计阶段:制定目标成本,并分解形成各专业目标成本;
方案设计阶段:将各专业目标成本分解形成分项工程目标成本;
扩初设计阶段:在分项工程目标成本基础上形成设计限额指标;
施工图设计阶段:根据设计限额指标进行作业,设计出目标成本符合要求的施工图;施工实施阶段:动态监控目标成本执行情况,及时统计已发生成本。
(2)动态执行和控制
项目目标成本重点在于执行和控制。执行目标成本过程分为设计阶段、招标采购阶段、工程施工阶段和结算阶段,营销费用和开发报建费用由于在整个项目费用构成中所占比重不高且弹性较小,故不在本解决方案中讨论。
获取到项目后,成本管理部根据市场信息进一步细化目标成本,给到产品设计中心设计限额指标,设计在限额指标约束下开展设计工作,成本过程中参与设计,对各个阶段图纸进行测算,保证设计成果符合目标成本。施工图出来后,成本在施工图的基础上进行合约规划,确定需要选取的合作单位的要求,同时将工程内容分解到各个合同范围内,对合作单位和材料供应商进行采购。工程建设过程是设计效果呈现和合同履行的阶段,但是施工阶段已经不是影响成本最大的阶段。
目标成本的执行和控制,是保证目标成本得以实现的有力保障,是本解决方案讨论的重点内容。
(3) 房地产行业成本控制现状
房地产行业在中国经历了多年的发展,各房地产企业均不断加强成本控制意识,纷纷研究自己企业的特点并借鉴同行经验,研究产品、材料和工艺,把成本管理从粗放化管理转移到精细化管理上来。
在各大房地产开发企业中,不乏一些企业在成本控制上做得比较成功,如万科、碧桂园、雅居乐,其成本控制能力在行业中处于领先地位,大大增强了他们在激烈的竞争环境下的生存能力。
成功的房地产企业,大抵都有一个共同的特点,就是全民成本意识。他们在项目获取阶段开始构思自己的成本构成,逐个阶段对成本进行严格控制,任何一个阶段超出成本都必须拿出强有力的说明。
项目论证是是否获取项目的必须且最重要的过程,而且产品定位是决定项目成本的最重要因素。要做好项目论证阶段的成本控制,主要是要做好项目的可行性研究分析,基于城市和当地房地产市场的状况作出准确的项目定位、项目成本构成分析和项目运作计划,在成本调研的基础上把握好当地成本情况。
《可行性研究报告》应具备地块基础资料、周边环境及其发展趋势、合作方背景、合作方式及条件、初步规划设计方案、开发节奏及市场定位等基础内容,另外还须包括的成本造价活动有:成本费用估算和控制目标及措施;投资及效益测算、利润体现安排;税务环境及其影响;资金计划;《竞投方案》(仅限招标、拍卖项目);投资风险评估及相应的对策;项目综合评价意见。
3项目定位分析
项目定位直接决定了产品档次和目标客户群,产品档次与项目成本成正比例关系。而且,产品定位根据目标客户确定,直接关系到产品销售情况。要做好项目定位分析,主要从下面这些角度着手考虑。
二、建立完善的目标成本管理体系
1 、城市发展状况
城市发展状况的构成要素很多,其中影响到房地产市场的主要有城市GDP总量、人均GDP、常住人口总量、户籍人口总量、人均可支配收入、房地产投资在固定资产投资中所占比例、城市总体规划、城市交通规划,这些因素直接影响到城市房地产市场的发展。项目经理圈子
2、 城市房地产状况
城市房地产状况直接影响到项目的定位、项目定价和开发节奏,对项目利润率有直接影响。做好城市房地产状况分析,是进行项目分析的重要前提条件,主要需要考虑的因素有房地产市场供求现状、房地产开发投资额、商品房新开工面积、施工面积、竣工面积、商品房销售面积、商品房销售价格走势、土地市场概况、竞争对手分布及实力。项目经理圈子
3 、项目分析
项目分析是整个可行性研究分析中的核心内容,是决定项目走向和项目操作方向的关键过程。转自项目管理者联盟项目分析需要考虑的因素主要有项目概况,包括地理位置、与重要市政设施的相对位置和距离,项目周边以及交通状况、项目现状、项目客户定位、来源以及特征、产品定位、产品面积配比、产品定价分析、项目运作计划、项目里程碑计划、项目风险预计以及控制。精确的项目分析是项目运作的前提和总纲领,是值得重点关注的内容。
三、项目成本估算
可行性研究报告中,针对项目的实际情况,根据预计销售和目标收益率作出项目的成本估算。
1、 项目成本调研
正所谓知己知彼,才能百战百胜。对项目严密的成本调研,才能有助于项目上精确地把握市场制定好目标成本。是否有效进行项目目标成本管理是体现房地产开发企业管理水平的重要标志之一。目标成本管理就是通过制定目标成本,将目标成本按规范的成本结构树层层分解,再通过将预算计划落实到部门与行动上,把目标变成可执行的行动计划,并在执行过程中把实际结果与目标进行对比分析,找出差距,分析原因,制定改进措施。建立完善的目标成本体系,要做到以下几点:
1、确定成本管理体系,包括集团及下属区域公司的成本管理定位-职责-权责,对下属区域公司成本信息监控手段和明确的监控制度要求;
2、制定准确的项目目标成本,全面客观反映项目各项成本信息;
3、规范成本管理流程,定义如何在各个实施阶段完成对目标成本的细化修订,形成最终的目标成本,指导招标、施工、采购等业务活动中的成本费用的使用与管理;
4、充分实现成本信息共享;
5、在制订目标时,要按细项列出清单并划分责任部门,通常建造成本按发生程序划分责任部门,建造成本以外按成本项目划分责任范围。对多个部门承担责任的可以按权重进行分解。目标成本分解后还需要建立控制的标准,分解后的成本责任必须纳入绩效考核的范畴。
四、项目论证阶段的成本控制
项目在论证阶段着重的是土地费用的把控。土地一旦到手,其成本即已基本确定,直至项目结束该成本一般都不会有大的变化。可行性研究报告一般应包括地块基础资料、周边环境及其发展趋势、初步规划设计方案、开发节奏及市场定位、成本费用估算及控制目标和措施、投资及效益测算、利润体现安排、税务环境及其影响、资金计划、投资风险及应对措施、项目综合评价意见等。
五、设计阶段的成本控制
设计阶段的成本控制的重点除了控制好设计费之外,更重要的是通过限额设计等手段从源头上控制好建安成本。根据经验数据显示,设计费一般只占到建设工程全寿命期费用的1%,但正是这少于1%的费用对于工程造价的影响占到了75%以上,可以看出设计阶段的成本控制是整个项目实施阶段造价控制的关键。在满足质量保证的前提下,防止因设计自身失误原因导致成本增加。确保每一设计阶段的成果质量后方能进入下一个设计阶段(包括方案、扩初、施工图设计阶段)。施工图设计合同应具备有关限额设计要求的条款并载明对应的奖惩措施。并且可在施工图完成后由设计、工程、成本人员和监理人员组成小组对施工图的技术性、安全性、周密性、经济性等进行会审,提出修改意见,督促设计单位进行修正,避免或减少因设计不合理导致的投资损失。
六、工程施工阶段的成本控制
工程施工阶段的成本控制重点在于工程供应商的选择管理、材料设备供应商管理、工程进度款管理、设计变更管理、现场签证管理和工程结算管理。
1、工程供应商、材料设备供应商的管理。材料设备费在工程的建安造价中约占70%,工程材料成本控制是项目开发过程的重要内容。在成本目标确定的情况下,首先要明确工程总包、分包、材料分级等的范围、采购方式及权限,确定材料是甲供、乙供或甲定乙供;其次,完善招标流程,规范供应商资质考察、询标、定标、签订合同等程序,本着公开、公平、公正的原则引入各类承包商,充分体现市场竞争力,实现降低成本的目标。另外集团可建立自己的供应商信息库,确立战略合作伙伴,这样既避免了供应商质量的不稳定性,又可以拿到战略合作采购价,对多项目成本的控制起到了良性循环的作用。
2、对于工程进度款的管理,要严格按照合同和流程进行控制。成本管理部要对施工单位上报的节点款、进度款等进行审核,经财务部确定后方可付款。同时对合同进度款累计到达合同金额85%的项目,要停止付款,以便掌握结算时的主动权。项目经理博客
3、设计变更、现场签证的管理。要完善流程,明确各职能部门、各相关责任人的签字权限。防止乱签、多签、责任不明确等漏洞,避免结算时发生“扯皮”现象。如果工程进度要求紧,也要做到同步进行,工程若有增减应及时审价,以避免无法核实的情况发生,引起双方不必要的争议。总之,各职能部门要加强监控,加强预算审查,严格经济签证和工程变更管理。
4、工程结算管理。严格执行项目必须符合竣工方能移交的原则,成本管理部门应对项目进行跟踪分析管理,进行“三算”对比,找出成本超、降的原因,并提出改进措施及意见。
七、营销阶段的成本管理
营销成本主要指项目销售过程中形成的各类费用,包括广告费、推广费、售楼处、样板房等费用。控制营销成本关键还是要提高营销策划水平,使有限的营销投入发挥最大的效用,寻求最大性价比,降低营销成本。项目管理论坛
八、有效进行动态成本管理
动态成本反映的是项目实施过程中的预期成本,通过实时反映目标成本和动态成本的差异,帮助相关部门及时发现问题并解决问题,实现对成本的控制。
动态成本的核心是实时性,要做到在项目实施过程中的任一时间点都能实时掌握项目最新的成本动态,只有这样才能控制成本、辅助营销决策。
动态成本=合同性成本+非合同性成本+待发生成本
由上式可见,合同性成本是动态成本中变动性最大的部分,由于其具有不确定性,导致了成本控制的复杂性。因此,成本管理必须要以合同为中心,抓住三条主线“动态成本”、“实际发生成本”、“实付成本”,方能很好的反映项目成本执行的全貌。可在项目发展的不同阶段根据项目发展的具体情况实时、定期调整成本台账、及时反馈有关成本变动情况,预测成本变动趋势,并通过各种有效途径及时进行调整、消除造成成本异动的不合理因素。
九、成本管理的项目后评估
提高成本预测的准确性是成本管理的难点之一,方法之一是通过后评估来改进,同时可以提高成本管理的有效性,因此在项目工程竣工并在结算完成后要进行项目的后评估,主要从以下几方面评价:
1、比较项目结算成本与可行性研究时的预测成本差异(评价投资估算、项目成本预测的准确、合理性);
2、对比项目结算与《目标成本指导书》的成本差异(评价成本管理工作的有效性);
3、 分析各期《项目动态成本分析报告》(评价项目成本管理的科学合理性)项目管理培训
4、 分析工程承包范围变化,工程量变化等确认设计变更、现场签证等对成本的影响 ;
5、考察项目交付使用一定时期内,主要工程材料的使用效果和耐用程度(评价材料成本的合理性)。
[关键词]建筑施工企业 安全文化
作为铁路建筑施工企业前沿阵地的向莆铁路FJ―10标项目部,自承建国家重点工程“建设全长22.17公里的青云山隧道”以来,努力打造以“关爱生命,关注安全”为主旨的企业安全文化,坚持以人为本的安全目标,着力推进安全理念创新,通过安全教育,安全演练等多种形式,广泛普及安全知识,提升全员安全素质,促进了施工生产安全健康向前发展,真正地把大力弘扬企业安全文化,实现长治久安、安全发展落实到了实处。
铁道部副部长卢春房到青云山隧道视察工作时曾经指出,一定要重视架子队的安全文化建设,安全工作搞好了,职工是最大的受益者,一定要把安全文化建设落实到每个架子队、班组、人头,让职工人人参与,打一场安全生产的人民战争。向莆铁路项目部牢记这一教诲,狠抓工作落实。针对企业安全文化建设,向莆铁路项目部结合自身特点,从以下几个方面加大力度,并取得了很大成效。
一、创新项目安全文化先进理念
1、推动安全理念先行
众所周知,思想是行动的先导,要建设富有特色的安全文化,解决好安全理念问题至关重要,向莆铁路项目以袁全祥为首的各级安全管理者,始终把安全放在“高于一切,重于一切,影响一切”的位置,他们突出“以我为中心”的安全教育,注重引导、培植广大职工对安全与健康的自愿、自需、自主意识,克服呆板生硬、自上而下的“填鸭式”教育,积极提倡“以人为本,文化先导”的管理理念,把“安全第一”作为隧道施工安全的首要价值取向,牢固树立了“安全第一,生产第二”的全新安全理念,并将其细化为各个岗位精细化管理的岗位标准,真正把“安全第一”的思想变成了现场实际操作的规范和守则。参建隧道施工的每一名员工,他们都能坚决做到不安全不生产,先安全后生产。而且这种安全理念在任何时候、任何情况下都坚决不动摇。真正把安全理念落实到隧道施工的每一个环节、每一个人的心目之中,真正使安全生产的先进理念为全员所接受。
2、发挥安全理念先导
大家知道,心态安全最能体现安全意识,因为心态安全才是安全生产健康发展的基础和前提。在向莆铁路项目部,无论是管理者还是普通员工,都相当注重心态安全,进而保证安全制度落到实处,促使全员行为安全,项目部把以安全价值为核心的安全理念,作为心态安全文化建设的灵魂。比如,在效益和安全面前,他们从来不盲目追求效益,强逼和诱使一线员工拼设备、拼体力,违章冒险蛮干;又如,组织安全检查,基层员工都明白,抓安全的目的是帮助查出隐患,预防事故,是一件好事情,下面对上级检查不是应付,而是积极配合,主动查找甚至举报事故隐患,故意“小题大做”,把“我要安全”真正变成了员工的内在需求,而不是管理者强逼基层作业一线员工必须完成的硬性指标。如青云山隧道开工以后,在各个工区开展的“三工”教育,很多时候是员工找工班接受教育,工班长找架子队要求教育,架子队请项目部去给他们讲课教育。因此,施工中的“三违”现象得到有效杜绝。
二、提升项目安全文化素质
1、把安全文化建设的主体落实到民工身上
一是注重亲情教育。领导干部通过走出去互相参观学习,定期深入员工宿合,以安全文化联谊活动,帮助员工了解按章作业对家庭、父母、妻儿的好处,以及违章作业给亲人带来的后果。组织签订“安全承诺书”、“夫妻安全公约”,以妻子亲情的力量支持丈夫工作,做到夫妻同心保安全,通过以开展进入隧道前“念一念安全理念,看一看全家福照片”的安全教育,以情感触动员工,提醒每一位职工:安全是对父母最大的孝敬,对妻子最大的关爱,对子女最大的责任。二是注重友情教育。利用党员联保、干部包保、骨干帮教等形式,开展“一带一”重点辅导,“一对一”经常谈心,“一帮一”友情帮教等活动,把安全薄弱环节的高危人员,作为友情帮教的重点对象严加控制,及时掌握他们的思想状况、心理状况。通过友情帮教,使广大员工人人做安全事,个个当安全人。三是注重真情教育。坚持严管干部,善待职工,将严与爱、情与法的道理融入安全管理当中。领导干部带着感情抓安全,无论天晴下雨,每天亲临施工现场,到隧道掌子面,帮助施工队解决安全生产中的实际问题。
2、把安全文化建设的关键点落实到带班队长和工班长身上
首先,施工队长和带班的工班长是生产现场安全工作的第一责任人,自身素质高低直接影响到班组的安全管理,为此,项目部要求工班长必须要有高度的事业心和责任感,每个月教育工班长要带头严格执行安全工作的各项规章制度,工班长的身体力行,被全体员工所尊重、信任,真正成了安全文化建设的兵头将尾。其次,项目部经常开展培训教育,提高全体参建员工安全技能素质,转变全员安全理念,经常评比安全管理先进单位和先进个人,增强了工班长和全员的安全责任意识和荣誉感,经常开展创建安全质量管理标准化工地活动,使一大批安全生产管理者在企业文化建设中成为优秀组织者、参与者和推动者。
三、注重项目安全文化践行
1、明确责任抓好落实
项目部根据铁道部《关于印发加强铁路隧道工程安全工作的若干意见的通知》要求,认真贯彻、组织各参建单位学习,逐项工作落实责任人,建立计划、实施、检查动态台账,制定考核办法,确保工作扎实推进。
2、落实现场安全巡检制度
隧道施工每个作业面成立由现场管理牵头,安全负责人、技术主管等人员组成的现场巡检小组,每天进行安全巡检。重点对现场作业周边环境、初期支护、围岩变化、围岩量测以及火工品管理等情况进行作业前检查,并根据检查情况,以书面形式向现场施工负责人进行作业安全交底,办理交底确认手续。
项目现场管理组对巡检小组的工作状况进行督查,每周参加巡检工作。每周组织现场巡检小组对安全巡检工作进行总结,对存在的问题,认真分析,找出存在的问题,提出改进意见,并督促现场整改。
3、坚持安全防护旁站制度
对有人作业的工作面,必须安排专职防护员。专职防护员应加强对围岩变化、初期支付变形、裂隙发展、危孤石状态等情况的实时观测,有权制止危及围岩和初期支护稳定、影响人员安全撤离的作业,有权制止未经现场安全交底或交底不明确的作业。遇围岩收敛加速、初期支护变形加速、渗水异常、裂隙发展加速等异常情况时,应立即组织作业人员安全撤离。专职防护员由经验丰富的正式职工担任,上岗前组织培训。建立和完善安全防护旁站制度。
4、细化施工队伍作业能力的评价
建立健全现场施工队伍作业能力的评价机制,综合评价每个作业面的施工队伍作业能力,确保施工作业队伍满足隧道施工质量安全需要。项目管理人员在审批开工报告时,应组织监理、设计单位对作业面的施工队伍从队伍人员构成、主要人员素质和资历、主要机具设备性能、施工组织、安全质量保证体系、应急预案等方面进行能力评价。建立作业能力评价台账,施工期间应定期组织过程评价。对不满足要求的,应立即停止施工进行整改。
5、制订应急预案
项目部应督促、指导施工单位制定切实可行的应急预案,防范工程建设风险,建立健全安全保证体系。应急预案应建立在风险评估的基础上,通过评估确定影响隧道施工安全重点危险源,以确保现场人身安全和避免重大财产损失为前提,细化防护措施和应急预案,并定期组织演练,不断改进。对穿越岩溶、采空区的隧道以及反坡排水和富水地段的隧道,需配备救生设施,定期对抢险物资和机械设备进行检查,确保随时调遣和应战,保障施工安全。
向莆铁路项目部在企业安全文化建设中取得的骄人成绩,受到了业主、地方政府和上级的广泛好评。但是成绩只代表过去,向莆项目部不会止步不前,一定会为国家为社会、为党和人民交上一份满意的答卷!
参考文献
[1]叶连优.建筑施工安全的可控性[J].建筑经济.1998.(11).
[2]洪生伟.论优美、舒适、和谐的工作环境[J].交通标准化.2003.(10).
[3]王建桥,陈宝军,王藏虎.强化科学管理提高施工质量[J].水运工程.2003.(02).
[4]于建.施工安全之我见[J].建筑安全.2003.(05).
第一条为了加强和规范城市规划区内集体土地上房屋征收补偿安置行为,切实维护被征收人的合法权益,积极稳妥、可持续地加快城镇化进程,改善人居环境,提高居民生活水平。依据《中华人民共和国土地管理法》、《中华人民共和国物权法》和《国有土地上房屋征收与补偿条例》等法律法规有关精神,结合我市实际,特制定本办法。
第二条国家为了公共利益的需要,征收集体土地上单位、个人的房屋,并对被征收房屋所有权人进行公平补偿、安置的,适用本办法。
第三条集体土地房屋征收补偿安置应当遵循决策民主、程序规范、公开公正的原则。
第四条县(市、区)人民政府(管委会)负责本辖区城市规划区范围内集体土地上房屋征收与补偿工作。
国土资源、住房城乡建设、城乡规划、发展改革、财政、工商、公安、监察、、文物等部门,根据职责分工,互相配合,确保征收与补偿工作的顺利进行。
第五条县(市、区)人民政府(管委会)应成立具有独立法人资格、不以营利为目的的征收补偿实施机构,具体承担各地房屋征收补偿的具体工作。
第二章房屋征收管理
第六条为了保障国家安全、促进国民经济和社会发展等公共利益的需要,有下列情形之一,确需征收集体土地房屋的,由县(市、区)人民政府(管委会)作出房屋征收决定:
(一)国防和外交的需要;
(二)由政府组织实施的能源、交通、水利等基础设施建设的需要;
(三)由政府组织实施的科技、教育、文化、卫生、体育、环境和资源保护、防灾减灾、文物保护、社会福利、市政公用等公共事业的需要;
(四)由政府组织实施的保障性安居工程建设的需要;
(五)由政府依照城乡规划法有关规定组织实施的对危房集中、基础设施落后等地段进行旧城区改建的需要;
(六)法律、行政法规规定的其他公共利益的需要。
第七条确需征收房屋的各项建设活动,应当符合国民经济和社会发展规划、土地利用总体规划、城乡规划和其他专项规划。保障性安居工程建设、旧城区与棚户区改造,应当纳入市、县级国民经济和社会发展年度计划。
第八条县(市、区)人民政府(管委会)在对集体土地上房屋进行征收补偿之前,应当组织有关部门对征收范围内的地上附着物及相关配套设施进行调查登记,对征收范围内的房屋及其建筑物的合法性予以认定。
第九条房屋征收机构应拟定征收补偿方案,报本级人民政府(管委会)审查并备案。房屋征收工作必须吸纳群众代表全程参与,征收补偿方案需经群众会议讨论通过。
房屋补偿与安置方案的内容:房屋征收范围、实施时间、征收依据、安置方式、房屋货币补偿价款的确定原则和支付方式、用于产权调换房屋的面积和地点等情况以及选房原则、回迁政策、搬迁过渡方式和过渡期限、搬迁和临时安置费用的标准、停产停业损失的补偿标准和确定办法、签约期限、房屋补偿与安置费用测算等。
县(市、区)人民政府(管委会)应当组织有关部门对征收补偿方案进行论证并予以公布,征求公众意见。征求意见期限不得少于30日。
第十条县(市、区)人民政府(管委会)应当将征求意见情况和根据公众意见修改的情况及时公布。公布期限不得少于5日。
因旧城区与棚户区改造需要征收房屋,1/2(含)以上被征收人认为征收补偿方案不满意的,县(市、区)人民政府(管委会)应当组织由被征收人和公众代表参加的听证会,并根据听证会情况修改方案。
第十一条被征收人应当配合房屋征收机构对房屋征收范围内房屋的权属、区位、用途、建筑面积等情况组织调查登记。调查结果应当及时向被征收人公布。
第十二条县(市、区)人民政府(管委会)作出房屋征收决定前,应当按照有关规定进行社会稳定风险评估;房屋征收决定涉及被征收人1000人以上的,应当经本级人民政府(管委会)常务会议讨论决定。
作出房屋征收决定前,征收补偿费用应当足额到位、专户存储、专款专用。
第十三条县(市、区)人民政府(管委会)作出房屋征收决定后应当及时公告。公告应当载明征收补偿方案和行政复议、行政诉讼权利等事项。
县(市、区)人民政府(管委会)及房屋征收机构应当做好房屋征收与补偿的宣传、解释工作。
第十四条征收实施期限应根据房屋征收项目的规模等因素合理确定。征收实施期限自房屋征收决定公告之日起一般不得超过1年。
第十五条房屋征收范围确定后,不得在房屋征收范围内实施新建、扩建、改建房屋和改变房屋用途等不当增加补偿费用的行为;违反规定实施的,不予补偿,并追究相关法律责任。
房屋征收机构应当将前款所列事项书面通知有关部门暂停办理相关手续。
第三章房屋征收补偿
第十六条房屋征收补偿实行货币补偿和产权调换方式,被征收人可以自主选择。
第十七条对被征收人的补偿包括:1.被征收房屋价值的补偿;2.因征收房屋造成的搬迁、临时安置的补偿;3.因征收房屋造成的停产停业损失的补偿;4.地上附着物的补偿。
第十八条县(市、区)人民政府(管委会)应根据本地社会经济发展实际,合理确定补偿安置房屋的具体标准。
第十九条对认定标准范围内房屋主体的补偿:
1.被征收人选择货币补偿的:
对县(市、区)人民政府(管委会)认定标准范围内的房屋主体,由具有相应资质的房地产价格评估机构评估确定,予以货币补偿。
房地产价格评估机构由被征收人协商选定;协商不成的,通过多数决定、随机选定等方式确定,具体办法由各县(市、区)人民政府(管委会)制定。房地产价格评估机构应当独立、客观、公正地开展房屋征收评估工作,任何单位和个人不得干预。
2.被征收人选择房屋产权调换的:
对房屋建筑面积在县(市、区)人民政府(管委会)所认定标准建筑面积(含)以内的房屋主体,均按不超出认定标准的建筑面积给予住房安置(人均面积不少于35平方米)。安置住房回购价格以建安成本价计算。
被征收房屋超出面积参照《市人民政府关于印发市建设征收土地地上附着物和青苗补偿费标准的通知》(政〔〕42号),减半货币补偿,不再安置住房。
对货币补偿或安置房屋回购价格有异议的,可以在接到房地产评估报告之日起5日内向作出房地产价格评估的机构提出书面复核评估申请,对复核结果有异议的,可以向市房地产价格评估专家委员会申请鉴定。如对市房地产价格评估专家委员会鉴定结果仍有异议,在补偿决定规定的期限内不搬迁的,由作出房屋征收决定的县(市、区)人民政府(管委会)依法申请人民法院强制执行。
第二十条对被征收人按期搬迁的奖励。县(市、区)人民政府(管委会)可结合实际情况,制定《搬迁奖励实施方案》。对被征收人在规定的搬迁期限内签订征收补偿协议、完成搬迁、交付被征收房屋的,可按搬迁奖励实施方案给予不同档次的奖励。
《搬迁奖励实施方案》由房屋征收机构根据项目所在地的实际情况制订,报同级人民政府(管委会)批准后执行。
第二十一条对非住宅房屋因征收造成停产停业损失的补偿,由县(市、区)人民政府(管委会)集体土地房屋征收补偿安置机构,根据房屋被征收前的效益、停产停业期限等因素,会同价格、工商、税务等主管部门根据实际情况确定。
第二十二条国家、省、市重点工程项目有专门征收安置补偿标准的,从其规定。
第二十三条对被征收人地上其它附着物的补偿,按照《市人民政府关于印发市建设征收土地地上附着物和青苗补偿费标准的通知》(政〔〕42号)执行。
第二十四条实施房屋征收应当先补偿后搬迁。县(市、区)国土资源部门应当依法建立集体土地房屋征收补偿安置档案。
第四章安置房屋建设与管理
第二十五条安置房屋由县(市、区)人民政府(管委会)根据城乡规划要求,统一规划、统一配套、统一建设、统一调配安置、统一管理。
第二十六条房屋安置应当公开安置房源、公开认定的安置面积、公开被征收人的搬迁时间等内容。
第二十七条安置房屋建设应当符合国家工程建设质量和安全标准。
第五章被征收房屋居民利益保障
第二十八条县(市、区)人民政府(管委会)要妥善安排好城市规划区内群众在过渡安置期间的就学、困难群众的生活等相关问题。
第二十九条村民转为城市居民后,统一纳入城市就业管理范围。因集体土地征收增加的就业岗位,要优先安排原村村民。符合条件的未就业原村民,可享受有关就业扶持政策。
第三十条村民转为城市居民后,要按照城市社区管理模式,逐步完善城市医疗、就学、养老等社会保障体系。符合享受城市居民最低生活保障条件的,应及时纳入城镇最低生活保障。
第六章法律责任
第三十一条房屋征收补偿安置工作人员、、弄虚作假、、索贿受贿的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十二条任何单位、个人阻挠和破坏房屋征收补偿安置工作的,由行政机关依法予以处罚;构成犯罪的,依法追究刑事责任。
第三十三条被征收人不得伪造、涂改有关权属证明文件,不得谎报瞒报有关数据、冒领多领征收安置补偿款,一经查实将追究相关责任;构成犯罪的,依法追究刑事责任。
第三十四条被征收人围攻、漫骂、殴打工作人员,无理阻扰征收补偿安置工作正常进行的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究其刑事责任。
第七章附则
工业控制系统是承担国家经济发展、维护社会安全稳定的重要基础设施,电力行业作为工业控制领域的重要组成部分,正面临着严峻的信息安全风险,亟需对目前的电力工业控制系统进行深入的风险分析。文章从电力终端、网络层、应用层、数据安全4个方面分别考察系统的信息安全风险,确定系统的典型威胁和漏洞,并针对性地提出了渗透验证技术和可信计算的防护方案,可有效增强工控系统抵御黑客病毒攻击时的防护能力,减少由于信息安全攻击所导致的系统破坏及设备损失。
关键词:
电力工业控制系统;信息安全;风险;防护方案
0引言
随着工业化和信息化的深度融合以及物联网的快速发展,工业控制系统(IndustrialControlSystem,ICS)获得了前所未有的飞速发展,并已成为关键基础设施的重要组成部分,广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中。调查发现,半数以上的企业没有对工控系统进行过升级和漏洞修补,部分企业的工控系统与内部管理系统、内网甚至互联网连接。此外,由于国内技术研发水平的限制,一些存在漏洞的国外工控产品依然在国内的重要装置上使用。伴随着信息化与电力工业[1-4]的深度融合,使得原本相对独立的智能电网系统越来越多地与企业管理网互联互通,电力系统的网络信息安全问题日益突出。工业控制网络[5-6]一旦出现特殊情况,后果将不堪设想,可能会对能源、交通、环境等造成直接影响,引发直接的人员伤亡和财产损失,重点行业的智能电网系统甚至关系到一个国家的经济命脉。“震网”、“棱镜门”以及乌克兰电力系统被攻击导致大范围停电等ICS安全事件,也预示了智能电网信息安全已经不再是简单的技术问题。对安全防护方案进行研究已经成为国家基础设施领域亟需解决的问题。
1国内外电力工业控制系统信息安全现状
美国很早就已在国家政策层面上关注工业控制系统信息安全问题,美国政府于近几年了一系列安全防护的战略部署,主要针对关键基础设施和工业控制系统的信息安全防护。美国国家研究理事会于2002年将控制系统攻击列入紧急关注事项,于2004年防护控制系统相关报告,2009年公布了国家基础设施保护计划,2011年了“实现能源供应系统信息安全路线图”等。除此之外,在国家层面上,美国还了两个国家级专项计划,用于保护工控系统的信息安全,包括能源部的国际测试床计划和国土安全部的控制系统安全计划。我国工业控制系统信息安全相关研究仍处于起步阶段,工业控制系统还不成熟,不同行业的安全防护水平参差不齐,安全防护能力不足,潜在的安全风险相当大。电力行业作为工业控制领域信息安全防护建设的先行者,已在信息安全防护建设方面积累了大量经验:电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则,研究信息隔离与交换、纵向加密认证等多项专用安全防护技术,进而形成了多项信息安全行业技术规范和标准;针对关键产品进行自主研发,并统一组织进行严格测试,保证关键系统的安全自主可控;各电力企业相继建立了信息安全相关组织体系,建成了较为完善的信息安全管理制度,包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度,涵盖了信息安全活动的主要方面;总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。
2电力工业控制系统的概念和特点
电力工业控制系统主要由数据采集及监控系统(SupervisoryControlandDataAcquisition,SCADA)、分布式控制系统(DistributedControlSystem,DCS)以及其他配置在关键基础设施上的控制系统如可编程逻辑控制器(ProgrammableLogicController,PLC)等组成,具有实时性、可靠性、分布性、系统性等特点。SCADA系统的主要功能是采集通信和遥测数据,下发遥控和调度命令,多用于输电调度、变电站及发电厂监控、电力市场运营、用电信息采集及配电自动化系统等[7-8]。电力工业控制系统涉及的电力、信息和业务高度统一。电力的传输过程包括:电厂发电、线路输电、变压器变电、用户配电及用电组成,电力通信网络己经覆盖了电力控制系统的各个环节,在控制原则上采用“安全分区、网络专用、物理隔离、纵向认证”的方式,且具有以下特点。1)系统响应速度快。电力工业控制系统与传统工业系统相比,不允许出现过大的延迟和系统震荡,响应必须准时可靠,以应付现场不同的工控情况。2)系统威胁源更多。如恐怖组织、工业间谍、恶意入侵者等,攻击者通过多种形式的网络攻击对工控系统网络进行破坏和入侵,包括后门攻击、IP碎片攻击、畸形包攻击、DoS攻击、暴力破解、通信抓包等,一旦攻破工控系统的安全防线,将会对工业通信网络和基础设施造成严重破坏。3)系统数据量大。电力工业控制系统涉及大量电力数据的采集、传输以及信息共享,包括系统的输变电参量、用电终端的用电量等,需要通过这些实时信息来确保电力调度的精确、快速。
3影响电力工业控制系统信息安全的风险分析
3.1电力终端的风险分析
与传统信息控制系统相比,电力工业控制系统的安全防护主要集中在终端生产设备及其操作过程。终端生产设备(如PLC、操作员工作站、工程师操作站等)作为电力系统最终的控制单元,直接控制生产运行,监控系统的运行数据信息。终端服务器的安全是计算机设备在操作系统及数据库系统层面的安全[9]。在电力工控系统网络中,缺乏合适的终端物理安全防护方法。地震、强风、暴雨等自然灾害是影响信息系统物理安全的重大威胁,易造成设备损毁、网络瘫痪、数据丢失等工业事故。除此之外,由于接地不良引起的静电干扰以及电磁干扰也会造成系统不稳定,同时机房安全设施自动化水平低,不能有效监控环境和信息系统工作状况。终端部署位置要谨慎考量,安排在高层时存在消防不易达、雨水渗透等安全隐患,部署在地下则易出现水蒸气结露、内涝、积水等隐患。工控系统应设置避雷装置,雷电容易引起强电流或高电压,极易击穿电子元件,使设备直接损毁或瘫痪。另一方面,电力设备的损坏、检修、改造等都可能导致外部电力供应中断,电力供应的突然中断除了会造成系统服务停止外,还有可能产生电力波动,如果控制系统不能把电力波动的范围控制在10%内,或没有部署稳压器和过电压保护设备,极有可能对系统电子设备带来严重的物理破坏。强电电缆和通信线在并行铺设时,可能会产生感应电流和干扰信号,极易导致通信线缆中传输的数据信息被破坏或无法识别。除了电磁干扰之外,还应防止设备寄生耦合干扰,设备耦合干扰会直接影响工控设备的性能,使得无法准确量测或采集当前信息。
3.2网络风险分析
建立安全的网络环境是保障系统信息安全的重要部分,因此必须对工控网络进行全面深入的风险分析。信息网络的安全稳定可以保障工控设备的安全运行,为企业提供可靠、有效的网络服务,确保数据传输的安全性、完整性和可用性。对于电力工业控制系统内的网络基础设施环境,基于业务和操作要求常有变动,且通常很少考虑潜在的环境变化可能会造成的安全影响,随着时间的推移,安全漏洞可能已经深入部分基础设施,有的漏洞可能通过后门连接到工控系统,严重威胁到工业控制系统的稳定运行[10]。由于安全设备配置不当,防火墙规则和路由器配置不当也易造成通信端风险。缺乏正确配置的防火墙可能允许不必要的网络数据传递,如在控制网和企业网之间的数据传输,可能导致对系统网络的恶意攻击和恶意软件的传播,敏感数据容易受到监听;网络设备的配置应进行存储或备份,在发生意外事故或配置更改时,可以通过程序恢复网络设备的配置来维持系统的可用性,防止数据丢失;若数据在传输过程中不进行加密或加密等级不够,极易被窃听或拦截,使得工控系统受到监视;另外,在通信过程中使用的通信协议通常很少或根本没有内置的安全功能,导致电力工控系统存在极大的安全风险。电力工控系统本身对可靠性、稳定性及兼容性的要求都很高,如果发生破坏或安全事故,造成的国民经济损失将不可估量。
3.3应用风险分析
应用层运行着工控系统的各类应用,包括网络应用以及特定的业务应用,如电子商务、电子政务等。对应用风险进行分析就是保护系统各种业务的应用程序能够安全运行。很多电力工控设备没有身份验证机制,即使有,多数也为设备厂商默认的用户名和密码,极易被猜出或破解,通常不会定期进行密码更换,风险极大。同时要防止应用系统的资源(如文件、数据库表等)被越权使用的风险。对关键部件缺乏冗余配置,导致应用程序对故障的检测能力、处理能力、恢复能力不足,缺乏对程序界面输入格式的验证以及注入攻击的验证,如SQL注入攻击等,系统面临暴露数据库的风险。
3.4数据安全风险分析
虽然电力系统内外网已进行了物理隔离,但在管理信息大区中积累了大量的电力敏感数据,如电力市场的营销数据、居民用电数据、电力企业财务报表、人力资源数据等,内部人员、运维人员或程序开发人员过多地对电力数据库进行访问,易造成这些敏感数据的泄露或被篡改。当前数据库中,不仅仅包含用电数据,居民的个人信息也都存储在内,居民的人身财产风险越来越大。电网资源、调度、运维、检修等数据容易被批量查询,进而导出敏感信息,缺少对敏感字符的过滤将带来极大的风险。这些电力数据往往缺乏定期备份,如果人为误操作或删除、更改数据,或者数据库本身发生故障、宕机、服务器硬件故障,数据易丢失。
险应对方案
针对电力工控系统面临的安全风险,可首先采用渗透技术模拟黑客攻击,在完成对工控系统信息收集的基础上,使用漏洞扫描技术,以检测出的漏洞为节点进行攻击,以此来验证系统的防御功能是否有效。当发现系统存在漏洞或安全风险时,应主动采取安全防护措施,使用可信计算技术以及安全监测技术抵御来自系统外部的恶意攻击,建立工控系统安全可靠的防护体系。
4.1渗透验证技术
4.1.1信息收集
1)公共信息采集首先分析网站的结构,查看源文件中隐藏的连接、注释内容、JS文件;查看系统开放的端口和服务;暴力探测敏感目录和文件,收集网站所属企业的信息,采用的手段包括查询DNS、查询Whois信息、社会工程学等。2)使用搜索引擎目前比较常用的搜索引擎为GoogleHacking,其搜索关键字符的能力非常强大,例如:①Intext字符:可用于正文检索,适用于搜索较为明确的目标,使用某个字符作为搜索条件,例如可以在Google的搜索框中输入:intext:工控,搜索结果将显示所有正文部分包含“工控”的网页;②Filetype字符:可以限定查询词出现在指定的文档中,搜索指定类型的文件,例如输入:filetype:xls.将返回所有excel文件的URL,可以方便地找到系统的文档资料;③Inurl字符:Inurl字符功能非常强大,可以直接从网站的网址挖掘信息,准确地找到需要的信息及敏感内容,例如输入:inurl:industry可以搜索所有包含industry这个关键词的网站。
4.1.2漏洞扫描
漏洞扫描是指通过手动输入指令或使用自动化工具对系统的终端通信及控制网络进行安全检测。1)使用基于主机的漏洞扫描技术对系统终端进行检测。基于主机的漏洞扫描器由管理器、控制台和组成。漏洞扫描器采用被动、非破坏性的检测手段对主机系统的内核、文件属性、系统补丁等可能出现的漏洞进行扫描。管理器直接运行在网络环境中,负责整个扫描过程;控制台安装在终端主机中,显示扫描漏洞的报告;安装在目标主机系统中,执行扫描任务。这种扫描方式扩展性强,只需增加扫描器的就可以扩大扫描的范围;利用一个集中的服务器统一对扫描任务进行控制,实现漏洞扫描管理的集中化,可以很好地用于电动汽车充电桩、自动缴费机、变电站系统及用电信息采集等终端上。2)利用特定的脚本进行扫描,以此判断电力系统是否存在网络中断、阻塞或延迟等现象,以及严重时是否会出现系统崩溃;另一方面,漏洞扫描还可以针对已知的网络安全漏洞进行检测,查明系统网络端口是否暴露、是否存在木马后门攻击、DoS攻击是否成立、SQL注入等常见漏洞及注入点是否存在、检测通信协议是否加密等。3)考虑到需要对系统具体应用的漏洞状态进行检测,因此可由前台程序提供当前系统应用的具体信息与漏洞状态,由后台程序进行具体的监听及检测,并及时调用漏洞检测引擎。需要注意的是,在电力生产大区中,尤其是安全I区中,为了避免影响到系统的稳定性,一般不使用漏洞扫描,具体防护方式需要根据安全要求而定。
4.1.3渗透攻击验证
1)暴力破解。暴力破解是指通过穷举不同的用户名及密码组合来获得合法的登录身份,只要密码不超过破译的长度范围,在一定时间内是能够破解出来的,但破解速度过慢,是效率很低的一种攻击方式,并且攻击不当可能会造成系统的过载,使登录无法被响应。此外,如果系统限制了登录次数,那么暴力破解的成功率则会非常低。2)DoS攻击。DoS攻击即拒绝服务,指的是通过耗尽目标的资源或内存来发现系统存在的漏洞和风险点,使计算机或网络无法正常提供服务。这种攻击会使系统停止响应或崩溃,直接导致控制设备宕机。攻击手段包括计算机网络带宽攻击和连通性攻击、资源过载攻击、洪水攻击、半开放SYN攻击、编外攻击等,其根本目的都是使系统主机或网络无法及时接受和处理请求信息,具体表现为主机无法实现通信或一直处于挂机状态,严重时甚至直接导致死机。
4.2安全防护技术
4.2.1可信计算技术
可信计算技术[12-14]是基于硬件安全模块支持下的可信计算平台实现的,已广泛应用于安全防护系统中。国际可信计算组织提出了TPM(TrustedPlatformModule)规范,希望成为操作系统硬件和软件可信赖的相关标准和规范。可信计算从微机芯片、主板、硬件结构、BIOS等软硬件底层出发,在硬件层为平台嵌入一个规范化且基于密码技术的安全模块,基于模块的安全功能,建立一个由安全存储、可信根和信任链组成的保护机制,从网络、应用、数据库等方面实现可信计算的安全目标。在保证主机系统信息安全的前提下,为企业提供安全可靠的防护系统。TPM芯片包含CPU、RAM、算法加速器等,应用时首先验证系统的初始化条件是否满足,然后在启动BIOS之前依次验证BIOS和操作系统的完整性,只有在确定BIOS没有被修改的情况下才可启动BIOS,然后利用TPM安全芯片内的加密模块验证其他底层固件,只有平台的可靠性认证、用户身份认证、数字签名以及全面加密硬盘等所有验证全部通过后,整个计算机系统才能正常启动。构建软硬件完整信任链是建立可信环境服务平台的关键。可信工控环境由以下几个模块组成:可信工控模块、度量信任根、验证信任根。可信工控模块是可信服务平台功能架构的核心,作为工控系统的信任根,主要用来存储信任根和报告信任根的作用,并为系统其他组件提供存储保护功能;度量信任根以及验证信任根利用可信工控模块提供的安全环境及保护机制实现相应的验证和度量功能。要构建可信工控安全环境,首先要加载度量信任根和验证信任根,并与可信工控模块中的完整性证书相匹配,完成对自身系统的安全诊断;然后对度量验证的完整性进行度量,将实际度量值与参考证书中的值进行比较,度量通过后将执行控制权交给度量验证,度量验证对操作系统进行度量、验证以及存储;最后通过与标准值的对比来验证工控系统相应设备引擎、通信引擎、应用引擎的运行是否可信。工控可信服务平台从硬件到软件的完整信任链传递为:系统启动后首先执行固化在ROM里的安全引导程序,该程序通过ARM硬件技术确保不会被篡改;然后,由安全引导程序计算安全区操作系统内核的RIM值,并与其对应的RIM值进行比较,验证通过则加载操作系统,并将控制权传递给可信工控模块;可信工控模块对安全区应用层进行进程验证,即加载初始进程、可信工控模块主进程及相应的辅助进程等的RIM值进行比较验证;最后,可信工控模块对非安全区域的程序进行初始化,如操作系统、可信应用程序等,对其RIM值进行比较验证。
4.2.2安全监测技术
安全监测技术[15-19]是指通过全面、丰富的数据采集,对信息进行分析和预处理,解析监控得到的数据,并与设定参数进行比对,根据结果采用相应的防护策略对系统进行全面监管。针对目前电力工控系统存在的安全风险,基于对工控网络数据的采集和协议分析,可使用数据分析算法提前处理安全威胁,使针对工控网络及关键设备的攻击得到有效监管和处理。1)数据采集。电力工控系统的数据采集不同于一般的IT系统,需要在保障系统稳定运行的前提下进行,不能因为操作不当造成链路堵塞。根据采集方式的不同可以将数据采集分为3类:通过采集采集数据、通过协议直接采集、通过抓包工具获取数据。一般来说,需要采集的信息为防火墙、路由器、交换机、IDS/IPS、网络审计设备、正/反向隔离装置以及纵向加密认证装置的具体数据,包括IP地址、MAC地址、出厂型号、配置信息、用户管理信息、权限等级设置等。除此之外,还应对含有攻击信息的数据进行监测,包括DoS攻击、重复扫描攻击、数据包攻击等。抓包分析是指使用抓包工具抓取协议数据包,再利用相关协议和规范对抓取的数据包进行解析。2)数据处理。数据处理主要是对采集到的数据和工控协议数据包进行解析和处理,剔除不需要的多余数据和垃圾数据,将与安全事件相关的数据从中选取出来,如配电自动化等业务的上传数据、下载数据,电力数据流量信息和电压、电流参数信息等,对采集到的数据进行关联分析,对分析得到的威胁进行确认,并对结果进行二次过滤,最后将解析得到的数据使用统一格式保存,用于后续的风险监测。3)构建安全监测系统。安全监测系统基于以上数据分析,设定监测参数的阈值,通过监测数据及操作的一致性来实现对工控系统的异常监控、运行管理、配电网分析等。当工控系统中的流量遭到非法抓包或者系统指令遭到恶意篡改时,应及时对数据进行过滤并发出告警信息,具体流程为:基于函数库编写相关脚本程序,抓取网络数据包;按照工控协议和标准对数据参数进行解析;根据监测系统的安全等级要求,设置系统的风险阈值;将解析得到的参数与设置的阈值相比较。电力工业控制系统采用安全监测技术,针对工业控制网络中出现的数据及进行的操作,采用网络抓包、数据分析及参数比对的方式进行风险监测与分析,对工控系统信息安全风险中典型的指令篡改、畸形数据包和异常流量等安全威胁进行全面监测。
5结语
随着工业化和信息化的发展和融合,电力工业信息化的趋势已不可阻挡,保障系统信息安全是维护电力工业控制系统稳定运行的重要前提,是开展电力工业建设的坚实基础。针对相应的工控安全需求及系统运行状况,选择合适的安全防护技术,全方位地对电力工业控制系统的风险进行分析和考察,才能确保电力网络的安全、可靠,减少由于信息安全风险造成的设备损失。
作者:张盛杰 顾昊旻 李祉岐 应欢 单位:中国电力科学研究院 安徽南瑞继远软件有限公司 北京国电通网络技术有限公司
参考文献:
[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[2]李鸿培,忽朝俭,王晓鹏,等.工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59,62.
[3]李文武,游文霞,王先培,等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.
[4]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].计算机研究与发展,2015,52(5):1109-1126.
[5]王刚军.电力信息安全的监控与分析[J].电网技术,2004,28(9):50-53.
[6]王保义.电力信息系统信息安全关键技术的研究[D].保定:华北电力大学,2009.
[7]王栋.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,40(2):6-11.
[8]党林.电力企业网络病毒防御方案分析[J].科技传播,2012(7):175-176.
[9],秦浩.防病毒系统在青海电力调度数据网中的设计与应用[J].青海电力,2012,31(3):61-63.
[10]高昆仑,赵保华.全球能源互联网环境下可信计算技术研究与应用探讨[J].智能电网,2015,3(12):1103-1107.
[11]王欢欢.工控系统漏洞扫描技术的研究[D].北京:北京邮电大学,2015.
[12]张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.
[14]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015(4):35-40.
[15]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[C]//信息安全漏洞分析与风险评估大会,2012.
[17]俞海国,马先,徐有蕊,等.电网工业控制系统安全威胁监测系统设计及应用[J].电力信息与通信技术,2016,14(7):76-80.