序論:在您撰寫安全管理體系建設時,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導您走向新的創(chuàng)作高度。
第1篇
(一)注重相關組織與責任體系建設1.逐步建立了嚴密而明確的組織體系�。美國煤礦安全生產(chǎn)的組織體系框架大體上包括政府和煤礦企業(yè)兩部分,主要表現(xiàn)為政府監(jiān)督監(jiān)察機構體系�、煤礦企業(yè)內(nèi)部的組織分工職責體系。首先�,在“執(zhí)法”領域,美國煤礦安全生產(chǎn)監(jiān)督機構強調其獨立性����,并在機制上防止檢查人員與礦主、地方政府形成共同利益同盟��。1910年美國在內(nèi)政部下設立礦業(yè)局,但調查人員缺乏執(zhí)法權力。1977年��,美國對《礦山安全和衛(wèi)生法》進行重大修訂���,建立了獨立的安全監(jiān)察部門———礦山安全和衛(wèi)生署���,由勞工部助理部長任局長�����,對所有礦業(yè)生產(chǎn)進行全面和嚴格的監(jiān)察�。監(jiān)督局下設11個地區(qū)監(jiān)察處和65個礦區(qū)辦事處����,由國會與立法事務辦公室和信息與公共事務辦公室這兩大事務辦公室領導和協(xié)調部署工作�����,繼而細分為煤礦安全與健康監(jiān)察司和金屬與非金屬礦安全與健康監(jiān)察司這兩個職能部門繼續(xù)統(tǒng)籌和分配相應工作�。在煤礦安全與健康監(jiān)察司的組織機構劃分下,美國設置的11個地區(qū)的事故調查由副司長負責,主管地區(qū)的監(jiān)察業(yè)務�。其次,在煤礦生產(chǎn)企業(yè)內(nèi)部也有十分明確的組織管理體系�����。煤礦企業(yè)的管理機構設置一般為垂直管理結構�����,具有指揮與命令統(tǒng)一�、控制及時、工作效率高等特點�����。組織管理體系在總體上劃分為礦長�����、副礦長�����、礦井辦事員����、礦井總領班四個主要層級,在副礦長之下設置了各個職能部門的主管:維修主管�、采煤總工程師�、主任會計師等�,專門領導和協(xié)調該部門下的作業(yè)活動���。采煤一線的管理人員是采煤班組的領班,是該班組的關鍵人物,領班必須對他所在的班組的工作、人員培養(yǎng)、安全和行為負責��。2.建立了以礦主為中心的追責體系��。在美國����,煤礦安全事故一般不追究政府的責任�,因為地方政府不負責直接生產(chǎn)��,主要是追究礦主的責任�����。各級政府的職能部門只是依據(jù)有關法律對企業(yè)進行監(jiān)督監(jiān)管����,煤礦安全監(jiān)察員與煤礦沒有任何隸屬關系。1913年成立的勞工部����,安全生產(chǎn)管理是其主要職責之一����。換言之����,美國煤礦安全生產(chǎn)責任體系中����,政府只是監(jiān)察監(jiān)督的作用�,而真正應該為安全事故“買單”的是煤炭企業(yè)����。例如每個煤礦要與兩個以上的救護隊簽訂救護協(xié)議����,煤礦發(fā)生事故由礦主組織搶救,必要時也可向當?shù)鼐烨缶?。一旦發(fā)生煤礦安全生產(chǎn)事故���,美國煤礦企業(yè)需承擔責任����。美國煤礦安全部門執(zhí)法非常嚴格���,礦主也必須遵守煤礦安全管理法律��,嚴格按照安全操作規(guī)程辦事,從而確保了煤礦生產(chǎn)安全���。美國煤礦安全部門對唯利是圖���、違反規(guī)定生產(chǎn)的礦主懲罰嚴厲��。針對不會導致重大人員傷亡的一般性違反規(guī)定行為����,政府督察員每次每項罰款可達5.5萬美元�����。曾經(jīng)違反規(guī)定并承諾改正���、但不守信用的礦主則將被加重處罰���,可能引起傷亡事故和危害礦工健康的嚴重違規(guī)行為將被追究刑事責任。
(二)重視事故災難的預防與應急教育據(jù)美國勞工部發(fā)表的各行業(yè)事故統(tǒng)計數(shù)字��,美國的煤礦業(yè)已成為相當安全的行業(yè)�,煤礦事故率低于金屬、建筑���、運輸?shù)?0多個行業(yè)�。美國煤礦行業(yè)由最初的高死亡率到0.03%的低死亡率���,其中一個重要的原因是新技術的推廣��、《礦業(yè)安全和衛(wèi)生法》以及相關配套規(guī)章的實施����,同時,重視煤礦安全培訓是美國實現(xiàn)安全生產(chǎn)的重要環(huán)節(jié)����。美國20世紀70年代前后的事故調查報告和安全檢查手冊顯示,美國煤礦85%的事故是因“工作人員的不安全行為”所致�,僅15%的事故產(chǎn)生于不安全的設備和環(huán)境。所以����,對煤礦人員的安全培訓具有極其重要的作用。美國煤礦安全應急教育與預防主要有以下幾個方面:1.注重對煤礦工作人員的崗前培訓�����,提高管理實效��?!堵?lián)邦礦山安全與健康法》第115節(jié)明確規(guī)定,新礦工沒有地下采礦經(jīng)驗應接受不少于40小時的培訓��,新礦工沒有地表采礦經(jīng)驗應接受不少于24小時的訓練����,每年所有礦工應不止一次地接受不少于8小時的學習培訓。這樣�����,用可操作性的法律來提高工作人員操作行為的安全性����,增強工作人員的憂患意識。在美國�����,所有礦工在上崗之前要接受培訓�,上崗后,每年還要接受再培訓��。如果發(fā)現(xiàn)礦工未按要求受到安全培訓�,勞工部部長或授權代表必須簽發(fā)命令,要求該礦工立即撤出煤礦�����,直到接受法律規(guī)定的培訓為止。美國所有煤礦都必須制訂礦工培訓計劃���,安排必要的培訓內(nèi)容并保存培訓資格證明�����。煤礦工作人員不光是指礦工�,還包括煤礦經(jīng)營者和管理者�。礦山安全監(jiān)察員必須具有5年以上實際采礦經(jīng)驗,并要在國家礦山健康與安全學院接受培訓�����。根據(jù)安全監(jiān)察員的水平和需要�����,分別對其進行初級培訓(基礎知識和技能培訓)�、高級培訓(提高業(yè)務水平,精通相關技術)和定期培訓����。“安全與生產(chǎn)并非矛盾”已經(jīng)成為美國的行業(yè)目標,這對美國提高煤礦安全水平至關重要�����。在這個目標的引導下����,美國的煤礦企業(yè)和礦工工會都十分重視工人的安全技術培訓��。對于接受脫產(chǎn)培訓的礦工�,給予其與在崗日標準工資相等的培訓期工資。此外��,煤礦企業(yè)還與工會聯(lián)合成立了煤礦工人培訓教育基金�,由礦方按照全礦職工實際工作每工時0.08美元的標準提取資金;該基金每年籌資約2000萬美元����,用于資助礦工接受繼續(xù)教育和培訓進修。為了進一步普及安全培訓�����,礦山安全與健康管理局(MSHA)還啟動了一項新的教育方案———現(xiàn)場培訓服務����,旨在通過充分利用各種資源����,幫助各地區(qū)的礦山實施安全與健康計劃��,達到預防安全事故的目的?���,F(xiàn)場培訓服務的內(nèi)容主要是為礦山提供培訓資料,幫助制定和實施安全方案��,編輯教育材料��,幫助各礦山制定適宜的培訓計劃以滿足其特殊需求�,等等。現(xiàn)場培訓服務承擔更多的是信息�、咨詢、指導等服務功能��。2.預防第一����,建設井下緊急避險設施。2008年12月31日�����,MSHA《地下煤礦避難所(救生艙)最終規(guī)定》要求礦山經(jīng)營者將井下避難所納入應急反應方案(ERP)。2009年12月前所有煤礦井下必須建設避難所�,保證所有人員在井下均有避險位置,并對避險設施的設置�����、功能和維修管理作出具體規(guī)定��,額定防護時間提高到96小時�����。美國在2007年12月煤礦井下已經(jīng)開始使用避難所(救生艙)���。美國煤礦井下的緊急避險設施主要有救生艙和避難硐室。救生艙一般為艙體式結構��,配備必要的設備設施和食物����,既可固定設置,也可隨采掘工程而移動���。有鋼結構硬體式和可充氣軟體式��。硬體式救生艙可容納6~24人��,具備過渡艙��,配備氣動呼吸空氣系統(tǒng)�。軟體式救生艙容量10~36人,在3~5分鐘內(nèi)起動充氣�����,軟體材料具備阻燃���、隔熱��、抗靜電�、高強度等特性����。避難硐室在礦井巷道兩側地層中直接挖掘或利用已有巷道建造而成,布置在主巷或逃生路線上�,配備維持人員生存所必需的相關設備設施和食物等。救生艙至少為每人提供1.4平方米的地面空間和0.85~1.70立方米的立體空間�����;設置供氧、內(nèi)外環(huán)境監(jiān)測��、廢氣清除等系統(tǒng)���,防護時間不低于96小時�;配備雙向通信�����、照明����、排泄物處理��、急救等設備物品及維修工具和滅火器�����;存儲組件或給養(yǎng)的容器應密封�、防水、防火�,醒目標注到期日期及使用說明��。3.高素質的應急救援隊伍與強制性工傷保險制度�����,為礦難提供安全保障����。除了對煤礦工作人員進行嚴格的培訓����,美國的煤礦事故應急救援還有一支高素質的隊伍,有一套規(guī)范的運作程序�����,拉得出�����、救得快���、保障有力��。按規(guī)定����,每個煤礦要與兩個以上的救援隊簽訂救護協(xié)議。煤礦發(fā)生事故由礦主組織搶救���,必要時也可向當?shù)鼐烨缶?�。一支救護隊下井救護�,另一支待命����。任何礦山救護隊不得建在距礦井2小時路程以外的地方。同時�,美國執(zhí)行強制性工傷保險制度,工傷保險具有高度的強制性�,法律強制雇主必須對雇工的工傷事故負責,美國有99%的工人受到聯(lián)邦或州勞工賠償法的保護�����。
(三)建立安全生產(chǎn)管理的評估標準美國勞工部礦山健康安全管理局(MSHA)對美國礦業(yè)(煤礦/非煤)安全事故保存有全面翔實的統(tǒng)計數(shù)據(jù)�����,該數(shù)據(jù)不僅涵蓋了所有事故相關的信息���,同時還包括了煤炭生產(chǎn)狀況及人員的相關信息��。評估標準具體��,分類清晰����、系統(tǒng)��、全面�����、詳盡�。美國煤礦事故數(shù)據(jù)統(tǒng)計的內(nèi)容包括事故時間、事故地區(qū)�����、事故地點�����、事故分類標準�、事故分級��、事故范圍����、事故報告���。其中����,事故時間除了年度事故和月事故���,還統(tǒng)計日事故��;事故地點包括地面����、采煤面�����、掘進頭��、上下山大巷�、井筒;事故分類標準非常具體���,是按照事故所在地區(qū)�、開采類型���、月份�����、作業(yè)者及承包商�����、傷害類型��、傷亡員工工種���;事故分級為死亡、造成工作日損失的非死亡事故�����、無工作日損失的輕微事故四個等級;事故報告中要明確傷亡人數(shù)���、事故成因�、發(fā)生機制����、傷害類型。美國煤礦事故計量指標體系中:生產(chǎn)指標有兩個���,煤礦作業(yè)次數(shù)和作業(yè)時間��;事故傷亡分類指標中�����,死亡事故率和死亡人數(shù)屬于死亡指標���,造成工作日損失的傷害事故率與其受傷人數(shù)、無工作日損失的傷害事故率與其受傷人數(shù)這四個指標歸為傷害指標���;還有總量指標���,包括人員傷亡總數(shù)和總體事故率��。煤礦事故數(shù)據(jù)統(tǒng)計內(nèi)容和計量指標涉及的信息不僅是事故傷亡人數(shù)和經(jīng)濟損失,還包括事故發(fā)生的原因���、工作條件�����、開采類型及作業(yè)人員工種等相關的重要內(nèi)容���。這些信息越是全面具體,越能及時�����、全面����、準確地研究可能引起事故的原因,并分析正在形成的各種趨勢�,進行綜合研判,從而作出科學的評估��,提出科學控制和預防煤礦事故發(fā)生的有效對策����。
二��、美國煤礦安全管理體系的特點
如今美國的煤礦安全生產(chǎn)管理水平處于世界領先地位����,煤礦安全管理體系頗具特點:第一���,美國的煤礦產(chǎn)量和死亡人數(shù)呈反比例關系�,充分體現(xiàn)了美國煤礦安全生產(chǎn)的理念比較先進�����。保護所有礦工及所有人員的安全��,并非以犧牲人員的生命安全為代價來獲取企業(yè)利益����。美國緊扣“礦工健康權和生命權的保護”這個安全管理核心來推進標準體系建設,循序漸進��,在此基礎上建立并完善配套法規(guī)體系��,提高執(zhí)法力度�,建立的安全管理體系嚴密并且比較實用����。第二��,在責任體系建設中�,政府和煤炭企業(yè)責任明晰化是其最顯著的特點����。政府只履行管理和監(jiān)督的職責,如果發(fā)生煤礦安全生產(chǎn)事故�,煤炭企業(yè)將承擔事故的全部責任。建立以礦主為中心的追責體系�,抓住了責任處罰的主要主體,抓住了重點對象�。煤礦安全管理責任主體有了指向性,而且強調煤礦安全生產(chǎn)監(jiān)督機構的獨立性���,并在機制上防止檢查人員與礦主��、地方政府形成共同利益同盟��。這是非常有先見之明的���。第三���,美國高度重視法制化建設,陸續(xù)頒布和完善《聯(lián)邦礦山安全與健康法》等多部重要法律法規(guī)�����。政府和煤炭企業(yè)根據(jù)出臺的法律法規(guī)��,各自行使權力和履行義務����。雖然世界各國在此方面都建立了相應的法律制度,但均沒有美國的法律具體和完善�。第四,美國十分注重培訓需求管理�����。在培訓方面有比較完備的要求和規(guī)定���,如必須使礦工有明確的技術操作素質和安全急救意識等才能進入煤礦工作���,這些舉措可以利于后繼的煤礦安全生產(chǎn)活動的開展,強調預防第一�,有效規(guī)避了人為礦難的發(fā)生���。
三、美國煤礦安全管理體系建設的啟示
根據(jù)上述分析�,美國煤礦安全管理體系比較成熟,對我國有如下啟示:
(一)重視法律的可操作性��,逐步完善我國煤礦安全管理法規(guī)中國是世界上煤炭產(chǎn)量最高的國家��,中國也是世界上煤礦安全事故發(fā)生率最高的國家之一���。立法是煤礦安全管理的最基本、最管用的方法與手段���。中國適用于煤礦的法律法規(guī)����,除《礦山安全法》����、《煤炭法》外,還包括國務院頒發(fā)的有關礦山安全生產(chǎn)的行政法規(guī)以及各?���。▍^(qū)���、直轄市)人大頒布的有關的地方性法規(guī)、國務院勞動行政主管部門和煤炭企業(yè)的主管部門及其下屬省級政府主管部門下達的有關安全生產(chǎn)的行政規(guī)章���,以及適用于煤礦行業(yè)的安全生產(chǎn)標準規(guī)范《煤礦安全規(guī)程》���、《煤礦救護規(guī)程》等?!兜V山安全法》作為我國煤礦安全管理的基本法相對美國的《聯(lián)邦礦山安全與健康法》,可操作性比較差�。如美國第303節(jié)的第2款規(guī)定:“所有生產(chǎn)作業(yè)區(qū)的通風風流必須符合以下規(guī)定,氧氣含量不低于19.5%(體積)�����,二氧化碳含量不大于0.5%(體積)……任何煤礦空氣的最低數(shù)量在每個工作面應達到三千立方英尺每一分鐘����。”而我國的《礦山安全法》第十七條:“礦山企業(yè)必須對作業(yè)場所中的有毒有害物質和井下空氣含量進行檢測����,保證符合安全標準?!边@樣的籠統(tǒng)規(guī)定對有毒有害物質沒有明確是什么�����,更沒有提到其濃度或密度控制在什么標準范圍內(nèi)����,以及井下空氣含量應符合什么標準�。立法應充分體現(xiàn)“以人為本”的理念,重視礦山職工的生命安全和健康權利保護�,有毒有害物質、含氧量應該增加具體的數(shù)值標準����,以職工的生命健康安全為核心���。雖然在《煤礦安全規(guī)程》第三十條第十一項第二款:“凍結站必須用不燃性材料建筑���,都應有通風裝置。應經(jīng)常測定站內(nèi)空氣中的氨氣�����,氨的濃度不得超過0.004%����?�!边@樣明確的標準利于執(zhí)行和監(jiān)督�,這是該規(guī)程在操作性規(guī)定方面的優(yōu)點�����。但從總體來說���,《礦山安全法》及其各相關法律法規(guī)其可操作性仍有待增強���,因此我們應重視法規(guī)的可操作性,積極學美國的經(jīng)驗將宏觀的規(guī)定�����、措施��、程序細致化�����、具體化,要將權威��、具體�����、可操作的安全標準����、技術標準寫入基本法中,如《礦山安全法》僅僅是規(guī)定職工要進行安全教育����、培訓后才能上崗作業(yè),更應繼續(xù)添加崗前培訓時間的長度���,在職員工定期培訓的時間�,次數(shù)等的規(guī)定�,操作過程中才能強制執(zhí)行這些標準�����,有效增加員工安全操作的系數(shù)�。
(二)注重相關組織與責任體系建設,加強監(jiān)察力度我國作為世界上的幾大采煤大國之一,在煤礦安全生產(chǎn)各方面的體系建設依然存在不足�����。美國煤礦事故發(fā)生率得到了有效的控制����,得益于注重組織體系和責任體系的建設。從我國的國情出發(fā)����,借鑒美國的成功經(jīng)驗,可以從以下方面逐步去完善我國煤礦安全管理的組織和責任體系建設:第一�����,明確責任�����,加強對中央到地方相關的管理組織機構建設?����,F(xiàn)今我國對煤炭的管理機構主要有國家能源局�����、中國煤炭工業(yè)協(xié)會、安全生產(chǎn)監(jiān)督局等�����,盡管相應的組織管理機構不少����,但是缺乏一個比較系統(tǒng)的組織對煤礦生產(chǎn)的各方面進行管理,從而導致煤礦生產(chǎn)亂象迭生��。因此我國在管理機構設置上應注重整合部門機構����,建立和完善監(jiān)管煤礦產(chǎn)業(yè)的統(tǒng)一的機構,合理地進行分工與監(jiān)管����,防止出現(xiàn)部門多卻難以監(jiān)管的現(xiàn)象。美國對煤礦安全生產(chǎn)進行管理的主要是監(jiān)察局��,下設11個地區(qū)監(jiān)察處和65個礦區(qū)辦事處�����,在監(jiān)察局里還有明確的各部門層級劃分����。從中央到地方實現(xiàn)了高效的縱向管理。部門機構臃腫和職責不明晰是我國存在的普遍問題�,因此完善煤礦安全生產(chǎn)組織機構的建設尤為重要,應確定安全生產(chǎn)監(jiān)督管理機構和執(zhí)法人員的權力范圍�����、職責�、行使權力的條件、程序和目的����,抓住源頭、明確主要職能部門的權力邊界與責任是應對安全生產(chǎn)問題的關鍵����。第二,建立和完善煤礦生產(chǎn)單位的組織管理�����。美國的煤礦企業(yè)內(nèi)部具有明確的職位分工和職責��,因此可以極大地提高生產(chǎn)效率并且便于管理。在我國����,煤礦生產(chǎn)亂象迭生,有的采礦工地不僅沒有專門的組織管理部門���,甚至存在著礦工工人臨時招聘���、不經(jīng)培訓隨便上崗等亂象。此類問題不解決將會對工人們的人身安全極為不利����,也無法保證煤礦有序生產(chǎn)。第三��,加大煤礦安全生產(chǎn)監(jiān)察力度�。煤礦安全監(jiān)察員要深入煤礦現(xiàn)場,緊緊盯住那些高瓦斯容易出現(xiàn)事故的礦井����,以及安全生產(chǎn)基礎差的礦井,及時發(fā)現(xiàn)問題和解決問題�����,把事故消滅在萌芽狀態(tài)。對存在重大事故隱患的礦井�,當場下達《停產(chǎn)整頓通知單》���,限時整改����。對不具備基本安全生產(chǎn)條件的小煤礦�,堅決予以關閉。第四�,建立煤礦違規(guī)行政處罰制度。在我國發(fā)生煤礦生產(chǎn)事故后�,相關的監(jiān)察負責人才會來到現(xiàn)場進行勘查,對事前的監(jiān)察工作并不重視����,使煤礦安全生產(chǎn)的監(jiān)督、監(jiān)察環(huán)節(jié)流于形式�。我國煤礦生產(chǎn)的主要負責人承擔的責任范圍不明晰,處罰力度不夠嚴厲���,因此不少開采煤礦的單位會冒極大的風險以污染環(huán)境或者犧牲工人的利益來獲取利潤���,造成了小煤礦�����、黑煤礦一直存在���。我國應該建立嚴格的處罰制度,完善責任追究制度���,加大懲治處罰力度���,實行行業(yè)禁入制度,讓礦主不敢輕易越軌煤礦安全管理紅線���。
(三)通過應急教育與預防演練����,不斷提高處理突發(fā)事故災難的能力對比我國煤礦現(xiàn)狀與美國煤礦��,可以發(fā)現(xiàn)�����,很大的區(qū)別在于美國政府一直強調煤礦安全監(jiān)察管理機構的獨立性,美國煤礦的成功之處在于垂直的煤礦安全監(jiān)管體制框架�,輪崗式的監(jiān)管人事制度,并在機制上防止監(jiān)察人員與礦主����、地方政府形成共同利益同盟。美國煤礦是把安全放在第一位����,而在我國�����,由于利益驅使��,大多數(shù)煤礦企業(yè)更注重的是利益而不是礦工的安全����。我國煤礦現(xiàn)仍存在很多的不足,我們應該對美國煤礦安全管理經(jīng)驗加以學習���,首先����,要提升素質�、規(guī)范管理����。切實加強隊伍自身建設�����,要督促救援隊伍加強制度建設��,明確人員職責�����、規(guī)范工作程序�����。進一步強化煤礦生產(chǎn)安全事故應急預案的管理和演練����,煤礦企業(yè)要把應急演練與應急預案相結合,提高從業(yè)人員突發(fā)事件現(xiàn)象處置自救能力和企業(yè)應急救援能力����。其次,要積極應用新技術。引進新型��、高效實用的裝備��,不斷優(yōu)化應急救援隊伍裝備結構�����,加大煤礦救援技術研究和培訓�����。最后���,要平戰(zhàn)結合、強化檢查�����。煤礦救援隊伍應遵循“險時搞救援�����,平時搞防范”的原則�����,對于一切有可能發(fā)生的安全事故應防范于未然。
第2篇
在進行信息安全體系建設時��,應對來自終端的威脅給予足夠的重視��,建立有效的終端安全管理體系��。本文分析了終端安全管理體系應包含的內(nèi)容�,闡述了傳統(tǒng)分散式終端安全管理存在的問題,結合作者的工作實踐經(jīng)驗�����,對一體化終端安全管理體系的建設�����,提出了自己的思路和見解�����。
關鍵詞:
終端安全����;一體化�����;體系建設
隨著信息化建設不斷發(fā)展�����,信息安全的重要性日益顯露出來��,在信息安全保護實踐中��,各單位往往對數(shù)據(jù)集中的后臺服務器投入精力較多���,對來自終端的威脅重視不足。信息安全事件調查經(jīng)驗表明��,多數(shù)信息安全事件的突破口來自終端�����,因此在進行信息安全體系建設時����,應對來自終端的威脅給予足夠的重視�����,建立有效的終端安全管理體系。
1典型的終端安全管理體系應包括的內(nèi)容
1.1防病毒及終端入侵防護
包括對全網(wǎng)病毒���、木馬�����、蠕蟲����、流氓軟件��、間諜軟件等惡意代碼的識別��、查殺���,對可疑行為的阻斷和告警�����。此類功能主要是基于代碼檢測引擎和特征庫實現(xiàn)���。
1.2補丁狀態(tài)檢查及分發(fā)
包括檢查是否已安裝操作系統(tǒng)相應的補丁�����,各類防護特征庫是否保持更新��,能夠自動推送安裝補丁和特征庫等��。此類功能主要通過安全軟件讀取系統(tǒng)注冊表及掃描特定位置文件系統(tǒng)����,并自動執(zhí)行后臺腳本實現(xiàn)���。
1.3移動存儲管理
防止內(nèi)部濫用移動介質�����,杜絕內(nèi)外部移動介質在內(nèi)外網(wǎng)交叉使用���,并通過特殊加密技術保證移動介質在非授權環(huán)境下不能被讀取。此類功能主要通過向操作系統(tǒng)底層驅動注入代碼和數(shù)據(jù)加密技術實現(xiàn)��。
1.4終端準入管理
實現(xiàn)對網(wǎng)絡接入終端的安全準入管理與控制�,確保接入網(wǎng)絡終端已安裝要求的防護系統(tǒng)����,且符合安全策略要求����,有效杜絕非法外來終端私自接入網(wǎng)絡�����。此類功能可以基于交換機端口進行控制或使用安全網(wǎng)關進行控制��。
1.5非法外聯(lián)監(jiān)控
用于發(fā)現(xiàn)和阻止內(nèi)部網(wǎng)絡用戶非法建立通路連接互聯(lián)網(wǎng)或非授權網(wǎng)絡的行為��,以此防止引入安全風險或導致信息泄密�����。此類功能通常做法是定期檢查與某個互聯(lián)網(wǎng)地址或非授權網(wǎng)絡的連通性�����,若有連通便會觸發(fā)監(jiān)控報警����。
1.6主機監(jiān)控審計
對終端用戶的操作行為進行管控與審計,對安裝的軟件實行黑白名單管理�����,當用戶的操作違反安全策略時,能夠自動禁止或記錄違規(guī)日志�����。此類功能一般需在終端駐留程序��,根據(jù)設定的操作策略和軟件清單執(zhí)行��。
2傳統(tǒng)分散式終端安全管理存在的問題
(1)產(chǎn)生兼容性問題����。不同的終端安全防護產(chǎn)品均需要操作系統(tǒng)權限并向底層驅動注入代碼實現(xiàn)檢測,各產(chǎn)品之間的操作沖突����、導致兼容性問題已是常見現(xiàn)象,即使能夠和平共存也會造成增加系統(tǒng)資源開銷���,拖累系統(tǒng)變慢等一系列問題���。
(2)缺乏統(tǒng)一管理。在終端上安裝使用多種安全防護產(chǎn)品,缺乏全局性安全管控���,容易形成信息孤島,不利于開展諸如安全數(shù)據(jù)的收集���、匯總��、統(tǒng)計等關聯(lián)分析工作�����,無法系統(tǒng)性展示終端安全全貌���。
(3)防護效果打折扣。不同的終端安全防護產(chǎn)品在功能上各有側重����,組合在一起并不一定能全面覆蓋用戶的安全需求,由于底層機制的類同和兼容性沖突等原因���,經(jīng)常出現(xiàn)安全防護的真空地帶���,產(chǎn)生1+1<2的現(xiàn)象,使防護效果大打折扣。
(4)運行維護成本高�。多種終端安全防護產(chǎn)品同時使用,需同時與多個廠商采購維保服務��,周期長投入大�����,運行上需要維護多套不同的策略表�����,從不同的來源更新補丁包���、特征庫等��,都給運維增加了不小的工作量����。
(5)難以滿足自主可控的要求����。出于國家安全戰(zhàn)略的需要,終端安全防護產(chǎn)品應盡可能滿足自主可控的要求�����。分散部署不同的終端安全防護產(chǎn)品,大多是基于歷史原因分批分步建設形成的��,存在一定的不可控安全風險��。
3一體化終端安全管理體系的建設思路
一體化終端安全管理體系的建設��,應遵循“功能集中���、統(tǒng)一建設”的原則,結合單位已有的終端安全防護現(xiàn)狀�,采用“整合式替代、替代后實現(xiàn)一體化管理”的思路開展����。替代過程中,應充分考慮安全設備國產(chǎn)化的要求���,既實現(xiàn)終端安全防護各項功能��,又可在統(tǒng)一平臺下管理終端資產(chǎn)�����、終端信息��、終端安全防護系統(tǒng)等�,實現(xiàn)終端一體化安全管理。終端一體化安全管理可極大地提高運維效率���,增強終端類安全事件聯(lián)動���,提高終端安全事件預警發(fā)現(xiàn)和處置能力,最終提高單位的信息安全管理水平�。具體實施過程中,應以“資源整合�、統(tǒng)一管理、分級部署��、基準策略�����、量體裁衣����、人力集約”為主要工作目標,最大程度整合單位現(xiàn)有軟硬件資源���、技術人才資源����,節(jié)約資源、資金����、人力成本,集成各類終端管理功能��,邏輯上實行統(tǒng)一管理�����,總部制定基準策略�,各地分支機構針對自己的情況���,定制適合本轄區(qū)情況的安全策略,預留一定擴展空間���,供各級機構在統(tǒng)一終端管理平臺下的本地化處理�����。建議分四個步驟進行:①率先落實國產(chǎn)化替代,一體化終端安全管理體系建設不再考慮國外產(chǎn)品���,實現(xiàn)完全國產(chǎn)自主可控��,這一點無論是在技術上還是在市場上都已不存在問題���。②整合現(xiàn)有終端安全防護系統(tǒng)的功能�,在實現(xiàn)病毒防治����、補丁分發(fā)����、非法外聯(lián)監(jiān)控�����、準入控制����、移動介質管控�、安全策略管理等功能的基礎上,實現(xiàn)各功能模塊的數(shù)據(jù)整合與聯(lián)動。③增加資產(chǎn)管理�����、操作審計等功能,并實現(xiàn)一體化關聯(lián)和統(tǒng)一展現(xiàn)���,進一步完善系統(tǒng)的管理功能���,能夠進行終端狀態(tài)�����、終端信息����、安全事件等信息的展示、分析和處理�,實現(xiàn)對安全事件的及時發(fā)現(xiàn)����、告警和處置����,及時消除安全事件對終端的影響。④在系統(tǒng)建設的基礎上實現(xiàn)科學安全管理���,通過對終端安全狀態(tài)的統(tǒng)一定量評估,實現(xiàn)對各部門、各分支機構的終端安全態(tài)勢評估�,掌握終端安全管理的薄弱環(huán)節(jié),為信息安全管理工作的整改完善提供數(shù)據(jù)支撐��。在功能方面:一體化終端安全管理體系應主要包括但不限于防病毒管理��、終端入侵檢測防護管理�、補丁分發(fā)管理、移動介質管理����、非法外聯(lián)管理、終端準入管理�、主機監(jiān)控審計管理、終端信息管理�����、安全策略管理����、終端運行狀態(tài)統(tǒng)計管理、安全事件管理�、運行報表管理、考核指標管理�、系統(tǒng)管理等功能。實現(xiàn)終端安全防護系統(tǒng)的一體化管理和安全防護系統(tǒng)的資源整合,實現(xiàn)安全防護策略的統(tǒng)一管理���,建立全面�、集中��、統(tǒng)一的終端安全管理體系�����。在管理方面:實現(xiàn)與終端安全管理制度相適應的安全管理要求����,實現(xiàn)總部與各分支機構終端信息的統(tǒng)一集中管理,實現(xiàn)終端安全控制策略的統(tǒng)一配置��、自動篩查�、告警和展現(xiàn),實現(xiàn)定期安全類報表的自動生成和展現(xiàn)�����,實現(xiàn)安全管理人員的統(tǒng)一工作平臺�。
4結語
要實現(xiàn)對信息安全閉環(huán)式管理,僅僅重視信息系統(tǒng)服務端的保護是不夠的�,必須重視對每個入網(wǎng)終端的安全管理���。一體化終端安全管理體系的建設�,從技術上采取了多種手段強化終端的安全防護和管理,為強化單位的信息安全管理提供了必要的手段��。同時�����,我們也必須認識到��,終端安全管理體系的建設不是說建好系統(tǒng)就萬事大吉了�,對一個單位的信息安全管理而言,永遠是“三分技術�����,七分管理”���。再好的技術手段���,也只有和管理制度相結合,并加以強力執(zhí)行�,才能達到預定的安全目標��。
參考文獻:
[1]孟粉霞�,王越����,雷磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應用[J].信息系統(tǒng)工程,2013(8):70~71.
[2]田永飛.一體化終端安全管理系統(tǒng)應用初探[J].金融科技時代�����,2015(12):45~47.
[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應用的分析[J].計算機安全�����,2007(7):63~65.
第3篇
關鍵詞:民航����;安全管理;管理體系����;建設
民航作為社會經(jīng)濟和技術高度發(fā)展下的一個重要標志,相比于其他的運輸方式�����,運行速度更快、機能性更好��,地區(qū)跨度大����,可以到達其他運輸難以到達的地方�,但同樣民航建設造價高、耗能大����、技術復雜、運輸能力小��,受自然因素影響更大�。作為當前一種廣為推廣的運輸方式,民航仍伴隨著一定的安全風險����,安全系數(shù)仍是民航事業(yè)發(fā)展的核心。近年來�����,在技術日新月異的發(fā)展�、設備不斷優(yōu)化升級��、安全意識逐漸提高的背景下�,我國的民航安全水平有了顯著的改善和提高�,民航安全管理體系的建設也趨于規(guī)范化、科學化����、合理化。但就總體而言�,面對紛繁復雜的安全風險,民航安全管理體系建設還存在一些不穩(wěn)定的因素�,影響和制約了民航安全管理體系的發(fā)展和完善,安全問題依然是民航建設的重要課題���,對此���,下文就我國民航安全管理體系建設的相關方面進行具體的分析和說明。
一���、我國民航安全管理體系的基本內(nèi)涵
民航安全管理體系旨在維護民航的安全�����,作為一種措施體系��,堅持以國家民航發(fā)展和國家安全政策為依據(jù)�,強調對民航發(fā)展的安全性建設,制定民航安全方針和目標����,減少民航風險性因素,保障民航事業(yè)安全����、穩(wěn)定的發(fā)展�。民航安全管理體系建設涉及的內(nèi)容包括:民航安全理論、安全法規(guī)準則���、安全管理信息庫�����、安全監(jiān)督�����、安全文化�、安全管理技術等方面����,將安全意識和安全技術貫徹和落實到民航事業(yè)的各個環(huán)節(jié)中���,構建完善、健全的安全管理體系�,使其處于一個最優(yōu)的狀態(tài)。一方面�����,利用安全管理體系能更快地發(fā)現(xiàn)民航運輸中存在的安全風險和安全隱患����,及時控制和扼制風險。另一方面�,提高了對風險的識別、風險評估和風險控制能力����,使民航安全管理體系作用切實地反饋到民航發(fā)展中,進一步完善和推動民航安全管理體系的建設��,使其處于一個良性循環(huán)的發(fā)展狀態(tài)�。
二、我國民航安全管理體系建設的事實背景
近年來,隨著人們物質生活水平的不斷提高���,對民航的選擇性更大���,民航事業(yè)的發(fā)展取得了顯著的成效,在交通運輸業(yè)中所占據(jù)的比例和起到的影響力也越來越大����。但從客觀事實上來看,民航相對其他的交通運輸業(yè)更具有風險性�,事故危害性更大,影響波及面積也更大�����,不僅是國內(nèi)��,甚至波及國際�,具有高風險性��、突發(fā)性�、國際性,關注度極高���、死亡率也極高的特征�,不僅造成嚴重的生命、財產(chǎn)損失�,而且還會影響國際關系的穩(wěn)定,對整個運輸環(huán)境的安全性產(chǎn)生懷疑��。導致部分人相比于民航的快速性和舒適性����,更愿意選擇比較傳統(tǒng)、安全性能更高的運輸方式�。在國民生產(chǎn)力不斷提升、人們安全意識不斷提高的背景下��,民眾對國航運輸安全性����、舒適性、便捷性等方面提出了更高的標準和要求�����,同樣這也是民航在未來發(fā)展中不斷尋求突破和改善的地方����,是民航能夠真正普及�����,成為一種大眾化的交通運輸形式的核心內(nèi)容����。因而����,強調對民航安全管理體系的建設,有效改進航空系統(tǒng)的安全系數(shù)���,提高民航風險預警�、識別����、控制、管理成為當前民航事業(yè)尋求突破和發(fā)展的核心層面��。在民航運輸發(fā)展初級階段�,對風險缺乏一定的預警性和預見性�����,往往都是在風險形成后對事故特征進行分析,找出原因���,吸取經(jīng)驗��,提高安全警覺性�����,加以改善��,以避免安全事故的再次發(fā)生����。在這個階段�����,對民航安全的管理更多的是偏向于技術和設備方面���,是基于硬性方面的考慮�,而忽略了管理的柔性�,對事故隱患分析不透徹、不全面�����。
20世紀90年代,這一時期正是我國改革開放以來飛速發(fā)展的階段���,國民經(jīng)濟水平有了顯著的改善和提高����,交通運輸業(yè)取得了質的飛躍���,民航行業(yè)內(nèi)部也基本形成了比較系統(tǒng)�、完善���、規(guī)范的運行規(guī)章和監(jiān)督監(jiān)管機制�,飛機運行體系和管理體系雙向發(fā)展��,進一步提高了航運質量�����,降低了事故率�����,但在管理水平��、健全的法規(guī)體系等方面仍存在一些缺陷����,造成一定的風險因素。在此基礎上��,管理體系在長期的發(fā)展�����,不斷兼容��、不斷攻破矛盾下�,日益成熟,不斷完善�����,積極吸取優(yōu)秀的成功經(jīng)驗�����,在民航全面發(fā)展中推行安全管理體系建設�����。
三、我國民航安全管理體系建設探討
民航安全管理體系的建設不是一蹴而就的��,而是需要長期堅持和自始至終地貫徹和落實的���,作為一項系統(tǒng)性��、長期性和艱巨性的任務����,既是民航發(fā)展中的核心內(nèi)容�����,也是一個巨大的挑戰(zhàn)����。那么,如何在有效的時期內(nèi)�,完善民航安全管理體系建設,降低民航運行風險����,提高運行質量水平呢�����?對此,下面就進行具體探討:
(1)正視當前我國民航安全管理水平現(xiàn)狀��。民航安全管理體系的建設必須是在現(xiàn)有的基礎上實施的�,是遵循當前民航發(fā)展的基本特征,明確當前民航安全管理的基本水平����,只有這樣才能有針對性地采取措施,進行對癥下藥�,為制定行之有效的安全管理體系作出有效的鋪墊。我國的民航安全管理體系的建設經(jīng)歷了一個基本的發(fā)展過程����,由對空勤人員適應環(huán)境的心理、生理方面的研究到認識到人文因素的影響�����,強調對飛行員和機務人專業(yè)技能和素質的培養(yǎng)����,形成一個管理框架����。到當前��,我國的民航安全管理體系建設基本已經(jīng)全面步入正軌�,并且都具有很高的完成度和完成效率,將安全管理體系建設的各個方面能具體地管理落實��、操作執(zhí)行到各個環(huán)節(jié)中�,加強每一個環(huán)節(jié)人員、規(guī)章程序���、技術應用等方面的培訓和應用�,以更大限度地發(fā)揮安全管理體系在民航發(fā)展中的作用和價值����。
(2)發(fā)揮安全管理體系建設的兼容性和統(tǒng)籌性。民航安全管理體系的建設并不是單指哪一個體系的安全管理�,而是多方相互交融、相互作用的�����。如:安全管理體系、質量管理體系�、保安管理體系等都是民航建設中的一部分,任何一個體系的安全問題都可以造成整個民航的安全事故���,因為要正確地認識各個體系之間的關系����,實現(xiàn)兼容性的發(fā)展�,既保證各個體系的安全性也能有效發(fā)揮各個體系各自的作用�。而且任何體系的最終目的都是為民航安全建設服務的,在建設宗旨上是整合為一體的�,也就是說安全管理體系的建設要明確目標,具有統(tǒng)一的發(fā)展思路��,發(fā)揮其兼容性和統(tǒng)籌性的作用�,也推進安全管理體系全面、深入地開展�����。
(3)構建良好的安全文化���?��!耙庾R”是行為的先驅����,而文化則是“意識”內(nèi)涵化的表現(xiàn)�,當前,我國民航安全管理體系建設都基本處于一個開放式和多元化的形式�,改變了以往“關門造車”的模式。一方面���,改變了企業(yè)故步自封的態(tài)度�����,加強各企業(yè)之間的相互交流和相互合作�,便于企業(yè)更快地掌握發(fā)展動態(tài)����,積極地吸收先進的管理經(jīng)驗和管理制度,實現(xiàn)企業(yè)安全管理體系建設的優(yōu)化���。另一方面����,樹立企業(yè)安全意識,使企業(yè)在應對市場競爭和挑戰(zhàn)下��,能夠堅持與時俱進的發(fā)展理念�����,在企業(yè)之間相互監(jiān)督的條件下�,將安全意識和安全體系建設切實地落實到具體實踐中,實現(xiàn)企業(yè)之間的良好競爭�。同樣企業(yè)要積極引進安全文化人員,將“安全第一”貫穿始終�,在潛移默化中�,形成良好的安全文化。
(4)建立健全的法律法規(guī)體系���。健全的法律法規(guī)體系的建設為安全管理體系的建設提供了有力的保障����,是使職工能夠明確自身職責����、自覺遵紀守法、接受管理和規(guī)范行為的一個重要的手段�。有效提高了安全管理體系建設的效率����,使管理做到有法可依���、有跡可循����,為民航安全管理水平的提升提供堅實的后盾���。
參考文獻:
[1]孫佳���,高洪江.我國民航安全管理體系建設與實施分析[J].中國鐵路,2012.
第4篇
關鍵詞:民航 安全管理體系 體系選擇 建議
中圖分類號:V328 文獻標識碼:A 文章編號:1672-3791(2014)04(a)-0230-01
民航安全是民航行業(yè)生命賴以存在和發(fā)展的基礎�,是維護民航乘客利益的核心。民航業(yè)在安全上沒有小問題��,一旦發(fā)生問題�����,通常是大問題����,其影響波及的面積不僅是國內(nèi)��,甚至也會波及到國際上��,損失也往往是慘重的�����。因此�,民航安全管理體系建設是我國民航業(yè)發(fā)展的基礎和核心建設�����。如何通過持續(xù)的風險預警��、風險識別配合事先的風險控制�、事后的風險管理將風險降到最低,這已經(jīng)成為決定我國民航業(yè)乃至世界民航業(yè)的安全管理體系建設的關鍵所在����。
1 我國民航安全管理體系建設的現(xiàn)狀
在討論我國民航安全管理體系建設的深層次問題之前���,筆者認為有必要先闡釋和澄清一些相關概念��,以便更好地認識我國民航安全管理體系建設發(fā)展到今天的整體狀況�。換句話說,理清這些相關概念���,是建立民航安全管理體系的基礎性工作����。
“民航安全管理體系”(safe management system ��,簡稱為SMS)的本質是成立��、建設一個系統(tǒng)的����、全面的、完整的���、清楚的安全風險管理以及安全基礎運行的系統(tǒng)���,它是由美國聯(lián)邦航空管理局FAA在1996年對其自身的安全管理體系從傳統(tǒng)向現(xiàn)代改革時提出的一個民航安全管理方面的模型,并得到國際民航組織(International Civil Aviation Organization����,簡稱為ICAO)的大力倡導。由“國際標準化組織”(簡稱為ISO)頒布的ISO 9000質量標準體系則是一套由ISO和IAF在2008年8月20日聯(lián)合的適用于全球最廣范圍的質量管理體系標準��,它擁有一整套完備的有關質量的術語、體系規(guī)范����、程序規(guī)范、技術規(guī)范��,自成體系�。而且更重要的是,該套質量管理體系標準可以全面地適用于安全管理的實踐操作層面��。而在民航安全管理體系上ISO 9000質量標準體系大力推薦的是質量管理體系(Quality Management System�����,簡稱為QMS)該安全管理體系中最主要的就是八項原則�,即“以顧客為關注焦點、領導作用�����、全員參與�����、過程方法����、管理的系統(tǒng)方法、持續(xù)改進�、基于事實的決策方法、與供方互利關系”��。在這八項基本原則中��,最重要的就是“以顧客為關注焦點”以及“持續(xù)改進”這兩個根本原則����。從以上八項基本原則可以看出,QMS體系主要將重心放在“人”上���。
安全管理理論發(fā)展到現(xiàn)代已經(jīng)發(fā)生了巨大的改變��,最有效的提高一個系統(tǒng)的整體安全管理水平的方式是在一個系統(tǒng)的安全思想的統(tǒng)籌下進行分析��,即要保證系統(tǒng)的每一個階段都是安全的���,每一個階段都必須將其潛在的危險降到最低,這才是建設我國民航業(yè)卓越的安全管理體系的根本所在�。
2 構建并貫徹合理的安全目標和指標體系
民航安全管理體系建設不是一蹴而就的事情,而是一項系統(tǒng)性的、長期性的���、艱巨性的任務���。隨著SMS和QMS雙體系的不斷發(fā)展,國際上對民航業(yè)的要求越來越多�、越來越高、越來越細���。中國為了應對這一挑戰(zhàn)��,應該適時制定一套完整的安全目標��,并開發(fā)配套的指標體系����,緊隨國際民航安全管理體系建設發(fā)展的腳步�����,及時地��、持續(xù)地更新自身管理體系����,力圖將挑戰(zhàn)變成機遇,以趕上甚至超越國際一流水平�。
首先在領導層面,應進行全面的初步安全評估���,合理規(guī)劃風險控制����,擬定合理的安全目標和各項體系指標�����,構建一套適合企業(yè)自身的SMS方案����。其次,不能紙上談兵�,關鍵還要嚴格執(zhí)行安全管理方案,將安全目標��、風險管理落到實處���。例如�����,設置安全風險預警閥值�����,實現(xiàn)對整個系統(tǒng)的動態(tài)����、實時監(jiān)控,保證安全指標信息的及時采集�、傳遞、分析和交流�����,確保安全管理文件的準確性和可行性�。最后,但也是最重要的一點���,應完善安全管理體系中的應急處理系統(tǒng)����,一旦發(fā)生安全問題����,可以立即形成有效的應急方案�,全面調度一切可利用的資源�,其他各個部門迅速響應、配合����,將時間的后果控制在最小的影響范圍內(nèi)��。
3 以人為本�����,建設成熟的機務隊伍
民航安全管理體系建設是民航業(yè)的生命所在�����,而民航安全管理最核心的運作單位還是“人”��,因此��,我國民航業(yè)在安全管理上還應大力培養(yǎng)高素質的機務隊伍��。
從實踐層面看�,機務人員往往最先發(fā)現(xiàn)安全問題��,并第一時間地分析問題���、處理問題,他們是站在民航業(yè)安全管理體系的最前線的戰(zhàn)士���,因此�����,建設一支成熟的機務隊伍對于建設我國民航安全管理體系至關重要����。具體而言����,應提升企業(yè)、甚至是整個產(chǎn)業(yè)的安全文化素養(yǎng)�����,尤其是在機務人員的具體培訓中�,應當貫徹安全理念,將安全指標作為每一個機務人員的考核標準����。其次�����,對飛機進行可控性維修��,絕不守株待兔����,而是主動出擊���,發(fā)現(xiàn)問題、解決問題�。嚴格的領導和組織各項機務工作,不放過任何一個細節(jié)�����。事前要組織嚴格縝密的預先檢查�,進行過程中要開展全方位的嚴格的過程監(jiān)督,事后更要無縫銜接嚴格的反饋程序和后續(xù)跟進事項��。
4 結語
中國加入世界貿(mào)易組織之后�,作為經(jīng)濟發(fā)展先頭兵的我國民航業(yè)越來越得到社會����、政府的關注����,而大眾對我國民航業(yè)越來越高的期待也意味著對我國民航安全管理體系進一步建設和完善的急切呼喚。在民航安全的哲學中����,一個好的過程不僅重要,相應地產(chǎn)生一個好的結果更加重要���?����?梢哉f��,在民航安全管理上���,就是“以成敗論英雄”。只有“嚴”字打頭�����,嚴格指揮、嚴格把關���、嚴格用人�����、嚴格檢查�����、嚴格操作����,真正貫徹安全管理體系中的規(guī)章制度�����,在一言一行����、一鉚一釘中實踐“安全第一”的理念�,真正把安全作為航空的第一要事,才能將我國民航安全管理體系建設帶上一個新的高度����。
參考文獻
[1] ICAO安全管理手冊(SMM)[G].國際民航組織��,Doc 9859 AN/460(第一版)�,2006.
[2] 張建平.空管安全管理體系與質量管理體系的差異分析[J].北京:空中交通管理�����,2007(4):40-43.
[3] 向維�,李明,吳超����,等.航空不安全事件人為因素分析R-S-TER模型的構建與應用研究[J].中國安全科學學報,2009(19):152-159.
第5篇
關鍵詞:信息化����;信息安全;安全管理
1企業(yè)信息安全現(xiàn)狀
近幾年����,隨著行業(yè)信息化建設逐步深入,伴隨著OA辦公自動化�、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用,與生產(chǎn)經(jīng)營息息相關的關鍵業(yè)務對信息系統(tǒng)的依賴程度越來越高���,企業(yè)也逐步認識到信息安全的重要性�����,企業(yè)員工的安全意識也都得到逐步提高��。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設指南和各類信息安全制度��,并通過這幾年信息安全檢查工作�����,促進企業(yè)的信息安全水平得到了進一步提高�。由于企業(yè)信息安全意識不斷提高��,企業(yè)不斷加大信息安全方面的投入�,如建立標準化的機房��、購買與部署各類信息安全軟件和設備等�����。但是木馬、病毒�、垃圾郵件、間諜軟件����、惡意軟件、僵尸網(wǎng)絡等也隨著計算機技術的發(fā)展不斷更新�,攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應對外部的攻擊�����,也要應對來自于企業(yè)內(nèi)部的信息安全威脅�,安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術問題����,還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風險導向意識�,一味注重“技術”的作用,忽略“管理”的重要性�����,就很難發(fā)揮信息安全技術的作用����,無法把企業(yè)的各項信息安全措施落到實處����,企業(yè)的信息安全也就無從談起����。只有切實發(fā)揮管理作用,企業(yè)的信息安全才能得到有效保障����。
2企業(yè)信息安全體系架構
在談到信息安全時,大多數(shù)剛接觸的人都比較疑惑�����,都說保障信息安全十分重要�,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構��。2.1信息�����。對企業(yè)來說��,信息是一種無形資產(chǎn)��,具有一定商業(yè)價值���,以電子����、影像����、話語等多種形式存在,必須進行保護��。2.2信息安全���。主要是指防止信息泄露��、被篡改����、被損壞或被非法辨識與控制�,避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構��。在保障企業(yè)信息安全過程中,信息安全技術是保障信息安全的重要手段�。通過上文對企業(yè)信息安全現(xiàn)狀的分析,不難看出企業(yè)信息安全體系主要分為技術����、管理兩個重要體系,進一步細分則涉及安全運維方面��。2.3.1信息安全技術體系作用��。主要是指通過部署信息安全產(chǎn)品����,合理制定安全策略,實現(xiàn)防止信息泄露�、被篡改、被損壞等安全目標����。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺,如防火墻類產(chǎn)品���、防攻擊類產(chǎn)品����、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等,而信息安全技術則是指實現(xiàn)信息安全產(chǎn)品的技術基礎�。2.3.2信息安全管理體系作用��。完善信息安全組織機構�、制度,細化職責分工���,制定執(zhí)行標準�����,確保日常管理�、檢查等制度有效執(zhí)行����,最大程度發(fā)揮信息安全技術體系作用,確保信息安全相關保護措施有效執(zhí)行�����。通過上文簡單介紹���,對信息安全以及信息安全系統(tǒng)有了大概了解����。可以看出單純借助技術或管理無法保障企業(yè)信息安全����,因此,建立企業(yè)信息安全管理體系的重要性也就不言而喻���。
3信息安全管理體系概念
3.1信息安全管理���。運用技術、管理手段��,做好信息安全工作整體規(guī)劃���、組織��、協(xié)調與控制����,確保實現(xiàn)信息安全目標�����。3.2管理體系。體系是指相互關聯(lián)和相互作用的一組要素����,而管理體系則是建立方針和目標并實現(xiàn)這些目標的體系。3.3信息安全管理體系(ISMS)���。在一定組織范圍內(nèi)建立、完成信息安全方針和目標����,采取或運用方法的體系。作為管理活動最終結果����,包含方針、原則�、目標、方法��、過程����、核查表等眾多要素。3.4建立信息安全管理體系的目的�����。作為企業(yè)總管理體系的一個子體系,目的是建立��、實施�、運行、監(jiān)視���、評審�����、保持和改進信息安全����。3.5信息安全管理體系涉及的要素�����。3.5.1信息安全組織機構����。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件�。編制信息安全管理體系的方針、過程����、程序和其他必需的文件等。3.5.3資源���。提供體系運轉所需的資金��、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業(yè)的信息安全管理體系之前��,如果沒有設置相應的信息安全組織機構�����,那么建立體系所需要的資源(資金����、人員等)就無法得到保障,企業(yè)的信息安全制度和策略也就無法貫徹落實�,企業(yè)的信息安全管理體系就形同虛設起不到任何作用。因此�,企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據(jù)職責分為三個層次。4.1信息安全決策機構��。信息安全決策機構處于安全組織機構的第一個層次�,是本單位信息安全工作的最高管理機構。應以單位主要領導負責���,對信息安全規(guī)劃�����、信息安全策略和信息安全建設方案等進行審批�,并為企業(yè)信息安全工作提供各類必要資源����。4.2管理機構。處于安全組織機構的第二個層次�����,在決策機構的領導下��,主要負責企業(yè)日常信息安全的管理����、監(jiān)督以及安全教育與培訓等工作��,此類工作大部分都由企業(yè)的信息化部門承擔�����。4.3執(zhí)行機構�。處于信息安全組織機構的第三個層次�����,在管理機構的領導下��,負責保證信息安全技術體系的有效運行及日常維護����,通過具體技術手段落實安全策略�����,消除安全風險��,以及發(fā)生安全事件后的具體響應和處理����,執(zhí)行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成���。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節(jié)中,已明確了信息安全管理體系建立的10項強制性要求和步驟�����。企業(yè)應結合自身實際情況�,遵照這些內(nèi)容和步驟,建立自己的信息安全管理體系�,并形成相應的體系文件。5.1建立的步驟���。(1)結合企業(yè)實際��,明確體系邊界與范圍��,并編制體系范圍文件�。(2)明確體系策略�,構建目標框架、風險評價的準則等���,形成方針文件�����。(3)確定風險評估方法�����。(4)識別信息安全風險��,主要包括信息安全資產(chǎn)�、責任、威脅以及造成的后果等���。(5)進行安全風險分析評價�,編制評估報告�����,確定信息安全資產(chǎn)保護清單�。(6)明確安全保護措施,編制風險處理計劃�。(7)制定工作目標�����、措施�����。(8)管理者審核、批準所有殘余風險�。(9)經(jīng)管理層授權實施和運行安全體系。(10)準備適用性聲明���。以上步驟解釋不詳盡之處����,參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分�����。5.2信息安全管理體系涉及的文件��。文件作為體系的主要元素����,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業(yè)實際�����,確保員工遵照要求嚴格執(zhí)行���。而且也要符合企業(yè)的實際情況和信息安全需要�。在實際工作中,企業(yè)員工應按照文件要求嚴格執(zhí)行���。5.2.1體系文件類型主要涉及方針�����、程序與記錄三類����。方針類主要是指管理體系方針與信息安全方針�����,涵蓋硬件�、網(wǎng)絡、軟件�����、訪問控制等����;程序類主要是指“過程文件”,涉及輸入��、處理與輸出三個環(huán)節(jié)�,結果常以“記錄”形式出現(xiàn);記錄類主要是記錄程序文件結果����,常以是表格形式出現(xiàn)。至于適用性聲明文件�,企業(yè)應結合自身情況,參照ISO/IEC27001:2005標準的附錄A���,有選擇性地作出聲明���,并形成聲明文件。5.2.2體系必須具備的文件���。主要包括方針�、風險評估��、處理����、文件控制�����、記錄控制�����、內(nèi)部審核���、糾正與預防、控制措施有效性測量�����、管理評審與適用性聲明等�。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務���、管理與信息系統(tǒng)等情況�,制定自己獨有的信息方針�����、程序類文件。5.2.4文件的符合性�����。文件必須符合相關法律法規(guī)�����、ISO/IEC27001:2005標準以及企業(yè)實際要求�,保證與企業(yè)其他體系文件協(xié)調一致��,避免沖突�����,同時在文字描述準確且無二義�����。
6體系實施與運行
主要包括策略控制措施����、過程和程序,涉及制定和實施風險處理計劃��、選擇控制措施與驗證有效性、安全教育培訓��、運行管理��、資源管理以及安全事件應急處理等�����。
7體系的監(jiān)視與評審
主要指對照策略���、目標與實際運行情況�����,監(jiān)控與評審運行狀態(tài)����,主要涉及有效性評審��、控制措施測試驗證�、風險評估、內(nèi)部審核�����、管理評審等環(huán)節(jié),并根據(jù)評審結果編制與完善安全計劃�����。
8體系的保持和改進
主要是依據(jù)監(jiān)視與評審結果����,有針對性地持續(xù)改進���。主要包括改進措施�����、制定完善措施�����、整改總結等���,同時需相關方進行溝通,確保達到預計改進標準��。
9結語
第6篇
關鍵詞:企業(yè)信息化���;信息安全管理體系���;信息安全保障
1 企業(yè)信息安全需求與目標
近年來隨著企業(yè)信息系統(tǒng)建設的不斷發(fā)展�����,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)�����。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點制造企業(yè)�����,公司的發(fā)展對高速動車行業(yè)產(chǎn)生著舉足輕重的作用�����;從企業(yè)信息安全現(xiàn)狀分析��,公司IT部門主管深深意識到����,盡管從自身情況來看���,在信息安全方面已經(jīng)做了很多工作���,如部署了防火墻�����、SSL VPN�、入侵檢測系統(tǒng)����、入侵防御系統(tǒng)����、防病毒系統(tǒng)、文檔加密���、終端安全管理系統(tǒng)等��。但是安全系統(tǒng)更多的在于防堵來自某個方面的安全威脅��,無法產(chǎn)生協(xié)同效應�,距離國際同行業(yè)企業(yè)還存在一定的差距�。
公司通過可行性研究及論證��,決定借助外力�����,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點��,以科研項目方式�,通過研究國家安全標準體系及國家對央企和上市企業(yè)的信息化安全要求���,分析企業(yè)目前的現(xiàn)狀和國際標準ISO27001之間的差距����,繼而完善企業(yè)信息安全體系的規(guī)劃與設計��,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標準和管理體系����。目標是使公司信息安全從管理到技術均得到全面加強,建立一個有責(職責)��、有序(秩序)�����、有效(效率)的信息安全管理體系,預防信息安全事件的發(fā)生�����,確保更小的業(yè)務損失���,提供客戶滿意度��,獲取更多的管理支持���。在行業(yè)內(nèi)樹立標桿和示范,提升企業(yè)形象���,贏取客戶信任���,增強競爭力��。同時��,使信息安全體系通過信息安全管理體系通過ISO 27001認證標準�。
2 企業(yè)信息安全管理體系建設過程
凡事預則立,不預則廢�。對于信息安全管理建設的工作也先由計劃開始��。信息安全管理體系建設分為四個階段:實施安全風險評估�、規(guī)劃體系建設方案��、建立信息安全管理體系��、體系運行及改進��。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求�����,即有效地保護企業(yè)信息系統(tǒng)的安全�����,確保信息安全的持續(xù)發(fā)展��。本文結合作者經(jīng)驗��,重點論述上述幾個方面的內(nèi)容�����。
2.1 確立范圍
首先是確立項目范圍,從機構層次及系統(tǒng)層次兩個維度進行范圍的劃分����。從機構層次上,可以考慮內(nèi)部機構:需要覆蓋公司的各個部門��,其包括總部�����、事業(yè)部����、制造本部、技術本部等�;外部機構:則包括公司信息系統(tǒng)相連的外部機構,包括供應商��、中間業(yè)務合作伙伴���、及其他合作伙伴等�����。
從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機系統(tǒng)正常運行的設施�����。包括機房環(huán)境����、門禁、監(jiān)控等����;網(wǎng)絡系統(tǒng):構成信息系統(tǒng)網(wǎng)絡傳輸環(huán)境的線路介質,設備和軟件��;服務器平臺系統(tǒng):支撐所有信息系統(tǒng)的服務器����、網(wǎng)絡設備、客戶機及其操作系統(tǒng)����、數(shù)據(jù)庫、中間件和Web系統(tǒng)等軟件平臺系統(tǒng)�����;應用系統(tǒng):支撐業(yè)務、辦公和管理應用的應用系統(tǒng)��;數(shù)據(jù):整個信息系統(tǒng)中傳輸以及存儲的數(shù)據(jù)����;安全管理:包括安全策略、規(guī)章制度���、人員組織����、開發(fā)安全����、項目安全管理和系統(tǒng)管理人員在日常運維過程中的安全合規(guī)、安全審計等��。
2.2 安全風險評估
企業(yè)信息安全是指保障企業(yè)業(yè)務系統(tǒng)不被非法訪問��、利用和篡改�����,為企業(yè)員工提供安全�����、可信的服務��,保證信息系統(tǒng)的可用性���、完整性和保密性���。
本次進行的安全評估,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評估
通過企業(yè)的安全控制現(xiàn)狀調查���、訪談����、文檔研讀和ISO27001的最佳實踐比對�����,以及在行業(yè)的經(jīng)驗上進行“差距分析”�����,檢查企業(yè)在安全控制層面上存在的弱點���,從而為安全措施的選擇提供依據(jù)���。
評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面�,包括信息安全策略����、安全組織、資產(chǎn)分類與控制����、人員安全、物理和環(huán)境安全��、通信和操作管理�����、訪問控制�����、系統(tǒng)開發(fā)與維護���、安全事件管理�����、業(yè)務連續(xù)性管理��、符合性���。
2.2.2 企業(yè)安全技術類評估
基于資產(chǎn)安全等級的分類,通過對信息設備進行的安全掃描�、安全設備的配置,檢查分析現(xiàn)有網(wǎng)絡設備�����、服務器系統(tǒng)����、終端、網(wǎng)絡安全架構的安全現(xiàn)狀和存在的弱點�,為安全加固提供依據(jù)。
針對企業(yè)具有代表性的關鍵應用進行安全評估�����。關鍵應用的評估方式采用滲透測試的方法����,在應用評估中將對應用系統(tǒng)的威脅��、弱點進行識別�����,分析其和應用系統(tǒng)的安全目標之間的差距�����,為后期改造提供依據(jù)���。
提到安全評估,一定要有方法論�����。我們以ISO27001為核心�,并借鑒國際常用的幾種評估模型的優(yōu)點,同時結合企業(yè)自身的特點�����,建立風險評估模型:
在風險評估模型中�,主要包含信息資產(chǎn)���、弱點、威脅和風險四個要素��。每個要素有各自的屬性����,信息資產(chǎn)的屬性是資產(chǎn)價值,弱點的屬性是弱點在現(xiàn)有控制措施的保護下�����,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴重程度����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴重程度��,風險的屬性是風險級別的高低�。風險評估采用定性的風險評估方法,通過分級別的方式進行賦值��。
2.3 規(guī)劃體系建設方案
企業(yè)信息安全問題根源分布在技術��、人員和管理等多個層面���,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系��,并最終落實到管理措施和技術措施�,才能確保信息安全。
規(guī)劃體系建設方案是在風險評估的基礎上����,對企業(yè)中存在的安全風險提出安全建議,增強系統(tǒng)的安全性和抗攻擊性��。
在未來1-2年內(nèi)通過信息安全體系制的建立與實施���,建立安全組織����,技術上進行安全審計��、內(nèi)外網(wǎng)隔離的改造���、安全產(chǎn)品的部署����,實現(xiàn)以流程為導向的轉型。在未來的 3-5 年內(nèi)��,通過完善的信息安全體系和相應的物理環(huán)境改造和業(yè)務連續(xù)性項目的建設����,將企業(yè)建設成為一個注重管理,預防為主�����,防治結合的先進型企業(yè)�����。
2.4 企業(yè)信息安全體系建設
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎上�,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預警(Warn)�、保護(Protect)、檢測(Detect)��、反應(Response)��、恢復(Recover)和反擊(Counter-attack)����,體系應該兼顧攘外和安內(nèi)的功能。
安全體系的建設一是涉及安全管理制度建設完善;二是涉及到信息安全技術���。首先�����,針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針�、安全技術策略和安全管理策略等����。安全總體方針涉及安全組織機構、安全管理制度�、人員安全管理、安全運行維護等方面的安全制度�����。安全技術策略涉及信息域的劃分�、業(yè)務應用的安全等級、安全保護思路����、說以及進一步的統(tǒng)一管理、系統(tǒng)分級�、網(wǎng)絡互聯(lián)���、容災備份、集中監(jiān)控等方面的要求�。
其次,信息安全技術按其所在的信息系統(tǒng)層次可劃分為物理安全技術���、網(wǎng)絡安全技術���、系統(tǒng)安全技術、應用安全技術���,以及安全基礎設施平臺��;同時按照安全技術所提供的功能又可劃分為預防保護類�、檢測跟蹤類和響應恢復類三大類技術���。結合主流的安全技術以及未來信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術包括:
2.5 體系運行及改進
信息安全管理體系文件編制完成以后�,由公司企劃部門組織按照文件的控制要求進行審核。結合公司實際���,在體系文件編制階段��,將該標準與公司的現(xiàn)有其他體系���,如質量����、環(huán)境保護等體系文件�����,改歸并的歸并�。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個月的努力�����,批準并實施了信息安全管理系統(tǒng)的文檔��。至此����,信息安全管理體系將進入運行階段。
有人說�����,信息系統(tǒng)的成功靠的是“三分技術,七分管理���,十二分執(zhí)行”��?!皥?zhí)行”是要需要在實踐中去體會����、總結與提高。對于信息系統(tǒng)安全管理體系建設更是如此��!在此期間���,以IT部門牽頭���,加強宣傳力度,組織了若干次不同層面的宣導培訓�����,充分發(fā)揮體系本身的各項功能����,及時發(fā)現(xiàn)存在的問題,找出問題根源��,采取糾正措施����,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的����。
3 總結
總結項目,建立健全的信息安全管理制度是進行安全管理的基礎��。當然�,體系建設過程中還存在不足,如崗位原有職責與現(xiàn)有安全職責的界定����,員工的認知及接受程度還有待提高,體系在各部門領導重視程度���、執(zhí)行力度�����、審核效果存在差距等等����。最終,在公司各部門的共同努力下��,體系經(jīng)歷了來自國際知名品牌認證公司DNV及中國認可委(CNAS)的雙重檢驗�,并通過嚴格的體系審核。確認了公司在信息安全管理體系達到國內(nèi)和國際信息安全管理標準��,提升公司信息安全管理的水平�����,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐�。
[參考文獻]
[1]沈昌祥.《信息系統(tǒng)安全導論》.電子工業(yè)出版社,2003.7.
第7篇
關鍵詞:醫(yī)院信息標準化建設����;網(wǎng)絡安全;管理體系
由于信息化技術的日益發(fā)展����,很多醫(yī)療信息系統(tǒng)都在發(fā)展過程中進行了優(yōu)化,大大推動了醫(yī)療診斷技術水平的提升��,使診斷工作更為精細化,有效提升了員工績效水平和醫(yī)療工作的整體品質����。與此同時�����,其復雜性也在日益提高��,使得醫(yī)院安全問題凸顯����,同時面臨多種惡意軟件入侵,對醫(yī)院網(wǎng)絡產(chǎn)生了重大的負面影響����。因此,在技術水平達標的同時��,還需要人工操作來確保網(wǎng)絡的安全�。2018年4月,國務院印發(fā)《國務院關于推進“推進互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》�,提出各類醫(yī)療機構今年要逐步完善和繼續(xù)完善“互聯(lián)網(wǎng)醫(yī)療衛(wèi)生體系”,發(fā)展在線醫(yī)療�����,提高醫(yī)院管理水平。通過《國務院關于推進“推進互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》宣告了“互聯(lián)網(wǎng)醫(yī)療健康”安全時代的正式到來���。以國家標準2.0級網(wǎng)絡防護工程為指導���,遵循“一個中心、三個防護”防護工程的基本理念���,從安全信息管理服務中心體系建設工作開始����,并初步構建了醫(yī)院網(wǎng)絡安全三級防護管理體系����,以有效迎接新網(wǎng)絡時代的安全管理挑戰(zhàn),確?��!盎ヂ?lián)網(wǎng)健康”��,醫(yī)院安全信息化體系建設穩(wěn)步健康有序發(fā)展���。
1醫(yī)院信息標準化建設中網(wǎng)絡安全管理體系建設的重要原因探析
患者只需在線注冊、就診、付款���、入住和離開醫(yī)院即可完成醫(yī)療流程����。此外����,信息化體系建設還可以有效提高醫(yī)務人員的日常工作效率��,降低醫(yī)務人員的勞動強度��,為患者及時提供便捷高質量的基本醫(yī)療健康服務�。從各級醫(yī)院的財務角度看,醫(yī)院財務信息化體系建設不僅可以有效提高各級醫(yī)院財務管理水平��,密切各直屬科室之間的協(xié)作關系�����,為加強醫(yī)院醫(yī)務檔案管理進行信息化��、財務管理和物資管理工作創(chuàng)造條件���,降低醫(yī)院的商業(yè)保險和運營成本�,提高醫(yī)院的整體效益。網(wǎng)絡安全管理體系主要是廣泛指負責管理網(wǎng)絡系統(tǒng)安全管理策略����、安全動態(tài)計算網(wǎng)絡環(huán)境、安全網(wǎng)絡區(qū)域活動限制和安全網(wǎng)絡通信等網(wǎng)絡安全防護機制的管理平臺或服務區(qū)域�。過去,醫(yī)院率先采取了“被動防御”安全戰(zhàn)略�����,并針對安全網(wǎng)絡威脅不斷采取了安全防護控制措施�����,缺乏安全統(tǒng)一規(guī)劃和安全集中管理��。安全信息資源綜合使用管理效率低�����,對安全威脅的監(jiān)測反應慢�,難以建立形成有效的安全威脅防護管理體系。隨著我國醫(yī)院安全信息化體系建設的不斷發(fā)展�����,各種新信息技術的不斷推廣和醫(yī)院互聯(lián)網(wǎng)服務的不斷普及,醫(yī)院必然需要自主開發(fā)一套能夠適應當前網(wǎng)絡健康管理時代的網(wǎng)絡安全管理系統(tǒng)��。
2醫(yī)院信息標準化建設中網(wǎng)絡安全管理體系建設遇到的問題
2.1缺乏統(tǒng)一標準和依據(jù)
醫(yī)院信息化建設具有高度的系統(tǒng)性和復雜性�����,需要各部門密切配合���,對醫(yī)院進行統(tǒng)一規(guī)劃,明確每一步的建設目標����。但是,從醫(yī)院信息化建設的現(xiàn)狀來看�,對醫(yī)院的實際發(fā)展缺乏重視,在投入之前沒有充分考慮到醫(yī)院的長遠發(fā)展目標���。另外�����,信息化建設沒有統(tǒng)一的規(guī)則��,影響了信息化建設的工作�,對新項目的實施也有一定的影響,造成了資源的浪費�����。
2.2網(wǎng)絡安全性較低
醫(yī)院的網(wǎng)絡安全的問題往往是高度復雜動態(tài)的���,將對醫(yī)院領導和安全系統(tǒng)運營人員產(chǎn)生重要直接影響����。此外��,還有一些新型網(wǎng)絡安全病毒和一些黑客在網(wǎng)絡安全應用方面的潛在問題���。雖然很多大型醫(yī)院都已經(jīng)采取了一些相應的技術措施手段來徹底解決這些安全問題��,但由于醫(yī)療軟件技術能力較差�、技術水平不過關等因素�����,并沒有有效地解決這些網(wǎng)絡安全上的問題����。
3網(wǎng)絡安全管理體系建設原則
從醫(yī)院建設安全網(wǎng)絡管理信息中心的總體目標要求出發(fā)����,在國家標準2.0級網(wǎng)絡防護的技術指導下���,結合自身醫(yī)院網(wǎng)絡安全管理工作實踐經(jīng)驗�����,醫(yī)院首先明確了以下網(wǎng)絡安全管理原則:①安全管理與網(wǎng)絡技術支持并重�,同時合理規(guī)劃醫(yī)院建設安全管理體系和網(wǎng)絡技術支持能力���,用安全管理體系建設指導網(wǎng)絡技術支持能力體系建設,用網(wǎng)絡技術支持能力建設確保安全管理體系的有效實施�。②集中控制安全能力和分散安全管理權限,整合安全人力資源��,提高安全管理效率�,注重員工建立準確識別和有效消除快速安全網(wǎng)絡威脅的管理能力;通過集中的人力資源綜合管理和權力控制��,分散對上級行政部門權力的管理限制���,以及通過依靠集中審計行政能力控制來有效降低醫(yī)院員工違法越權的安全風險�。基于上述安全原則����,醫(yī)院已已經(jīng)開始對公司現(xiàn)有的醫(yī)院網(wǎng)絡安全保障管理能力系統(tǒng)和網(wǎng)絡技術支持管理能力體系進行不斷改造和升級完善。
4網(wǎng)絡安全管理體系建設標準
建立安全管理中心的前提是醫(yī)院應有一套合法�����、兼容�、可行的安全管理體系。通過驗證基本2.0級防護要求�,結合醫(yī)院自身的安全管理經(jīng)驗,并將實施能力作為重要標準考慮在內(nèi)�����,建立2.0級安全管理體系框架��,以確保管理體系的管理方向和可行性��。為便于實施�����,醫(yī)院將管理體系文件分為4個層次。一級安全文件根據(jù)有關國家安全法律法規(guī)�、相關安全行業(yè)政策法規(guī)和公立醫(yī)院安全管理要求,確定醫(yī)院總體上的網(wǎng)絡安全保障政策和發(fā)展策略���,在此基礎上研究構建公立醫(yī)院第三級安全網(wǎng)絡管理體系���,定義全球安全要求,并在安保管理����、人員管理、資產(chǎn)管理�、安保大樓管理和維護以及應急支持管理的組織中建立安全標準。輔助文檔中的信息總量���,更新和調整物理安全要求�、政策和政策�,以應用于特定領域�。二級安全操作和維護系統(tǒng),規(guī)定了適用于文件安全系統(tǒng)維護和維護管理第一級操作和操作的安全要求����,并規(guī)定了操作和禁止規(guī)則�����。三級規(guī)范文件要求是具體的企業(yè)工作人員操作管理規(guī)范����,以便于確保操作人員的實際操作管理效果能夠滿足您的預期���,并減少故障和其他行為造成的潛在安全風險��。例如�,確定您的服務器安全技術增強(windowsserversecuritymanual)的項目操作步驟和項目實施經(jīng)驗效果���,并及時制定技術要求以便于確保您的服務器安全滿足特定項目安全要求�����,并制定安全增強管理體系安全增強基礎的各項相關技術要求����。四級文件是用于數(shù)據(jù)篩選����、跟蹤和分析的安全操作管理記錄����,為了減少操作和維護人員的工作量����,提高時尚管理的效率,節(jié)省紙張�,醫(yī)院開始嘗試非常規(guī)檢查表。四層文件管理體系四級文件管理體系有效提高了人民醫(yī)院安全生產(chǎn)管理體系的工作靈活性和市場適應性:第一層體系決定了整體網(wǎng)絡安全政策和策略以及其他體系制定的方向����。二級管理體系手冊側重于對個別具體管理問題的有效管理,根據(jù)實際需要進行制定����,具有較強的基本相關性和實際適用性,確保一級管理體系的基本靈活性和實際適應性��;第三方操作手冊特別注重管理細節(jié)和長期實施���,可根據(jù)長期實施管理效果反復迭替換代�,這些都是我們確保一級管理體系長期實施管理效果的最終重要目的�����;四級注冊表格針對醫(yī)院在建立管理體系時����,特別注重對人員安全風險的管理和控制,建立持續(xù)改進管理體系的能力��。成立了“網(wǎng)絡和信息安全委員會”�,作為主要決策機構。根據(jù)網(wǎng)絡標準2.0要求����,管理員職位分為3個職能:系統(tǒng)管理員、審核管理員和安全管理員����。醫(yī)院和外部員工通過一系列系統(tǒng)文件進行標準化。合同檢查員工的安全日常行為���,并初步確定合同員工的安全和財產(chǎn)保密管理責任���;同時提出關于修訂企業(yè)管理體系目標評審和上層建筑管理要求的具體要求,建立促進管理體系建設持續(xù)完善改進的長效機制���,確保穩(wěn)定性���,實施安全管理體系的靈活性和能力��,并明確各級修訂和審查體系文件的要求��。
5網(wǎng)絡安全技術能力建設
在安全維護管理體系中心建設的基礎上���,醫(yī)院已經(jīng)開始研究建設安全技術管理能力,以便于滿足安全維護管理系統(tǒng)中心的要求���。醫(yī)院作為一個安全系統(tǒng)管理區(qū)域�,安全維護管理系統(tǒng)中心負責系統(tǒng)的安全管理操作�����、維護和監(jiān)督管理�����。因此�����,建立安全維護管理體系中心的主要目標是建立一個完全具有高度完善集中控制管理能力的安全維護管理域。安全維護管理區(qū)域主應負責執(zhí)行包括收集和管理綜合安全管理數(shù)據(jù)���、運行安全設備以及安全維護和監(jiān)督管理整個醫(yī)院網(wǎng)絡的安全任務,為整個醫(yī)院網(wǎng)絡過程提供必要的醫(yī)院網(wǎng)絡安全基礎硬件設施和安全維護服務�,以及足夠的自我保護能力,以確保自身在網(wǎng)絡中的安全�����,避免對重要的安全�����、審計和管理服務造成損害�。由于原有醫(yī)院網(wǎng)管區(qū)域具有一定的集中控制能力,醫(yī)院在現(xiàn)有網(wǎng)管區(qū)域的基礎上�����,采用以下方式完成安全管理建設技術能力�。
5.1終端網(wǎng)絡保護
前端計算機通信系統(tǒng)的網(wǎng)絡終端擔保是整個網(wǎng)絡敏感區(qū)域的一個核心。其終端主要是連接內(nèi)聯(lián)網(wǎng)和連接外聯(lián)網(wǎng)之間的網(wǎng)絡連接���,負責從敏感區(qū)的核心節(jié)點發(fā)送數(shù)據(jù)���,僅易受攻擊���。因此,通?��?梢詾槊總€主機66學術論壇/AcademicForum系統(tǒng)部署一個安全網(wǎng)絡管理文件系統(tǒng)�。為了提高主機服務器系統(tǒng)的網(wǎng)絡安全級別�����??梢詮母旧蠈碜跃W(wǎng)絡連接終端的安全攻擊進行免疫,并在它們已經(jīng)進入安全下一階段之前預先阻止�。
5.2區(qū)域網(wǎng)絡運維安全設計
(1)建立檢測網(wǎng)絡安全漏洞的系統(tǒng)。通過自動部署互聯(lián)網(wǎng)絡檢測安全漏洞����,檢測中心系統(tǒng)人員可以24h時間掃描和自動檢測指定區(qū)域內(nèi)的互聯(lián)網(wǎng)。對系統(tǒng)性能進行安全特性評估��,實現(xiàn)技術���、管理�����、安全防護的有效集成�。為全球用戶同時使用各種區(qū)域性的網(wǎng)絡服務降低安全風險,并提供強有力的網(wǎng)絡技術支持�����。(2)創(chuàng)建審核和運維系統(tǒng)�。通過對網(wǎng)絡安全管理設備���、網(wǎng)絡安全管理設備�、應用管理系統(tǒng)��、安全事件等網(wǎng)絡日志相關信息數(shù)據(jù)進行全面的網(wǎng)絡日志相關信息分析收集和日志相關性信息分析�,管理者不僅可以通過搜索和實時分析日常網(wǎng)絡使用中的記錄,正確維護日志數(shù)據(jù)�,定義日志審核設備,方便員工隨時查看��,并隨時跨平臺監(jiān)控整個數(shù)據(jù)中心的安全狀態(tài)���。(3)建立完整的微觀分析和深度流量跟蹤系統(tǒng)����。通過自動建立完整的用戶微觀數(shù)據(jù)分析和用戶深度風險流量檢測跟蹤分析系統(tǒng),可以實時部署專門的高標準風險流量檢測分析平臺�����,準確快速收集用戶流量���,進行深度恢復和全面分析�����。為了在大量會話流量中快速發(fā)現(xiàn)這些隱藏的整個會話進程行為����,挖掘這些可能使其隱藏的潛在危險����,提供會話進程的所有數(shù)據(jù)審計處理能力,并不斷提高其進程追蹤和對攻擊源的預測能力��。
5.3整合現(xiàn)有安全資源
醫(yī)院將在保障自身安全和區(qū)域安全管理的基礎上�����,轉移現(xiàn)有的保障功能,包括資源���,非病毒系統(tǒng)���、維持和平行動管理系統(tǒng)和安全系統(tǒng)納入安全管理領域。此外����,通過研究在服務區(qū)內(nèi)設立專用安全通道和具體的基礎設施安全設施,優(yōu)化全市安全設施功能整合���,注重安全設施綜合利用,減少不必要的安全設備�����,提高安全設備維護和安全系統(tǒng)運行效率�,完成對全市現(xiàn)有安全防護體系的綜合優(yōu)化。
5.4優(yōu)化集中控制
在完善現(xiàn)行安全監(jiān)管制度的基礎上�,該院先后研發(fā)了航站樓和門診部的安全監(jiān)控和安全管理系統(tǒng),為彌補醫(yī)院現(xiàn)有綜合門診終端保障體系的不足�����,對醫(yī)院基礎設施進行集中控制和建設,以及醫(yī)院管理系統(tǒng)的現(xiàn)有背景操作和系統(tǒng)維護�����,抗病毒防御系統(tǒng)與醫(yī)院客戶犯罪風險檢查系統(tǒng)密切配合�。因此,集中審計和宣傳系統(tǒng)完成了建立集中管理和維護系統(tǒng)進行審計和宣傳的任務���。預防和控制覆蓋整個醫(yī)院網(wǎng)絡的信息資源�����。
6醫(yī)院構建網(wǎng)絡安全管理體系
為有效適應未來最嚴峻的網(wǎng)絡安全發(fā)展形勢�,醫(yī)院還對各級應急保障體系進行了修訂���。新的應急支持系統(tǒng)由兩部分組成:綜合計劃和專項計劃��?��?傮w實施計劃詳細規(guī)定了醫(yī)院應急救援支持的主要組織職能結構,確定了醫(yī)院事件預警分類管理標準��,并詳細規(guī)定了事件預警和應急響應工作程序、物資供應支持�����、培訓和其他一般工作規(guī)定:為特定類型的緊急情況和醫(yī)院系統(tǒng)的關鍵系統(tǒng)制定詳細的應急和應急方案服務按照“目標選擇��、非目標選擇��、綜合規(guī)劃”的醫(yī)院應急救援管理機制可以確保��,使醫(yī)院應急系統(tǒng)人員在統(tǒng)一系統(tǒng)的技術指導下�,能夠有效應對網(wǎng)絡上的各種突發(fā)事件。以安全網(wǎng)絡管理中心為工作起點����,對信息網(wǎng)絡保護系統(tǒng)進行了升級,提高了風險信息的準確性��,與公立醫(yī)院安全信息網(wǎng)絡資源管理�、網(wǎng)絡資源安全風險管理及威脅有關�,建立安全網(wǎng)絡。然后�����,在發(fā)展安全管理能力的基礎上,圍繞“響應性”完善安全運行體系建設�����,提高響應速度和應對網(wǎng)絡安全威脅的能力���。在技術上���,嘗試將連接機制引入安全體系,開發(fā)建設“主動防護�、動態(tài)防護、全局防護�、精確防護”的網(wǎng)絡安全防護體系,緊跟醫(yī)院信息“醫(yī)療衛(wèi)生互聯(lián)網(wǎng)”建設步伐在網(wǎng)絡時代����,促進了醫(yī)院網(wǎng)絡安全建設的發(fā)展。
參考文獻:
[1]胡列倫,李倩.醫(yī)院信息化建設中網(wǎng)絡安全保護研究[J].中國寬帶,2021(07):31.
[2]龔克.分析醫(yī)院信息化建設中網(wǎng)絡安全保護方案設計[J].數(shù)碼設計(上),2021,10(06):18.
[3]詹振坤.醫(yī)院信息化建設中計算機網(wǎng)絡安全管理與維護工作思考[J].無線互聯(lián)科技,2021,18(10):25-26.
[4]巫新玲,李文俠.人工智能下醫(yī)院網(wǎng)絡安全信息化的建設路徑探索[J].大眾標準化,2021(11):182-184.
[5]廖文韜.醫(yī)院信息化建設中的網(wǎng)絡安全體系建構[J].電腦編程技巧與維護,2021(07):163-164.
[6]劉小洲,黃桂新,張武軍,等.現(xiàn)代醫(yī)院管理制度下的醫(yī)院信息化建設推進機制探討[J].現(xiàn)代醫(yī)院,2018,18(03):368-371.
[7]姜濤.寧夏醫(yī)科大學總醫(yī)院醫(yī)院集團信息化建設優(yōu)化[D].銀川:寧夏大學,2014.
[8]謝言.國家扶貧開發(fā)工作重點縣中醫(yī)醫(yī)院信息化建設現(xiàn)狀調查及影響因素分析[D].武漢:湖北中醫(yī)藥大學,2013.
[9]張宇.醫(yī)院信息化建設改革實證研究[D].南昌:南昌大學,2012.
