前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強網(wǎng)絡(luò)安全保障能力建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。
0 引言
隨著兩化融合進程的不斷推進及工業(yè)控制系統(tǒng)的逐漸開放,無線傳感網(wǎng)絡(luò)、移動信息互聯(lián)、物聯(lián)網(wǎng)技術(shù)、精準定位授時等信息技術(shù),在能源、制造、化工、水利、交通等重要領(lǐng)域的控制系統(tǒng)中得到了深入的應(yīng)用,工業(yè)控制系統(tǒng)與IT系統(tǒng)逐步實現(xiàn)了協(xié)同工作和信息共享,進一步提高了企業(yè)的運營管理水平。但在企業(yè)綜合效益提升的同時,工業(yè)控制系統(tǒng)也開始面臨IT系統(tǒng)面臨的木馬攻擊、病毒入侵和信息竊取等安全威脅,如果被敵對勢力獲取工業(yè)控制超級用戶管理權(quán)限,對核心設(shè)施進行惡意攻擊的話,不僅會造成經(jīng)濟損失,也將會對人民生命安全造成嚴重的威脅[1]。
目前,我國明確提出要做好重要工業(yè)基礎(chǔ)設(shè)施信息安全保障工作,這也對信息安全保障服務(wù)的專業(yè)化程度和服務(wù)體系的建設(shè)提出了更高的要求,加強工業(yè)控制系統(tǒng)信息安全管理水平,提高抵御外來攻擊的能力,降低工業(yè)控制系統(tǒng)造成破壞的概率和可能性,以技術(shù)和管理手段改善工業(yè)控制信息安全現(xiàn)狀,保障國家安全與社會穩(wěn)定,已經(jīng)刻不容緩[2]。本文將圍繞工業(yè)控制系統(tǒng)風險評估、等級保護測評、代碼驗證等核心環(huán)節(jié),設(shè)計并提出工業(yè)控制系統(tǒng)信息安全專業(yè)化服務(wù)體系架構(gòu),進一步完善安全測評與加固、技術(shù)研發(fā)、人才培養(yǎng)以及信息安全咨詢等服務(wù)質(zhì)量,提高服務(wù)效率。
1 構(gòu)建專業(yè)化服務(wù)體系
目前,我國的工業(yè)控制系統(tǒng)信息安全管理和服務(wù)的相關(guān)標準規(guī)范還在醞釀中,僅部分行業(yè)部門出臺了試行的安全評估、測評等相關(guān)服務(wù)規(guī)范,整體安全服務(wù)工作還缺少依據(jù)[3]。綜合工業(yè)控制系統(tǒng)的共性特點、安全需求,其需要的核心服務(wù)主要包括系統(tǒng)安全測評、代碼檢測與環(huán)境驗證、系統(tǒng)建設(shè)與加固、人才培養(yǎng)、滲透測試和網(wǎng)絡(luò)監(jiān)測預警等服務(wù),以及能提供技術(shù)支撐的功能平臺[4]。對工業(yè)控制系統(tǒng)的安全服務(wù)需求進行梳理,提出如下服務(wù)體系架構(gòu),該架構(gòu)圍繞專業(yè)化服務(wù)項目、服務(wù)平臺和支撐環(huán)境建設(shè)展開,將為工控信息安全服務(wù)工作的開展提供組態(tài)化的解決方案。其中,服務(wù)項目是指服務(wù)機構(gòu)或部門要具備的必須的技術(shù)能力和評估水平,服務(wù)平臺是為相關(guān)服務(wù)開展提供技術(shù)支持的功能性平臺,支撐環(huán)境是為服務(wù)的有效性提供驗證和基礎(chǔ)運行的必要條件。
2 服務(wù)能力建設(shè)
2.1 內(nèi)網(wǎng)監(jiān)測與預警服務(wù)能力建設(shè)
根據(jù)工業(yè)控制系統(tǒng)內(nèi)部構(gòu)成情況,實現(xiàn)能夠?qū)?nèi)網(wǎng)非法入侵、惡意攻擊、內(nèi)常規(guī)網(wǎng)絡(luò)木馬、后門事件、常規(guī)蠕蟲事件、僵尸網(wǎng)絡(luò)事件、異常流量(端口流量、協(xié)議流量、IP流量等)事件進行監(jiān)測預警的服務(wù)能力。
2.2 安全咨詢與培訓能力建設(shè)
信息安全咨詢與培訓能力建設(shè)包括對安全體系建設(shè)咨詢、研究項目合作咨詢、測評技術(shù)培訓、系統(tǒng)安全體系培訓等。通過信息咨詢服務(wù)體系定期重要工業(yè)控制系統(tǒng)最新漏洞、脆弱性、病毒等信息,為提高工業(yè)控制系統(tǒng)信息安全提供技術(shù)參考。同時,針對工業(yè)企業(yè)的現(xiàn)場管理流程和規(guī)范,對相關(guān)人員提供培訓服務(wù),主要從培訓課程與實驗環(huán)境兩個方面進行人才培養(yǎng),提升工業(yè)現(xiàn)場人員的安全管理能力和技術(shù)能力,構(gòu)建信息安全知識體系。
2.3 系統(tǒng)建設(shè)與加固服務(wù)能力建設(shè)
以工業(yè)控制系統(tǒng)實際運行情況為基礎(chǔ),參照國際和國內(nèi)的安全標準和規(guī)范,充分利用成熟的信息安全理論成果,為工業(yè)控制系統(tǒng)設(shè)計出兼顧整體性、可操作性,并且融策略、組織、運作和技術(shù)為一體的安全解決方案。安全技術(shù)建設(shè)的總體目標是:根據(jù)工控信息系統(tǒng)等級對應(yīng)的信息安全要求,建立一套可以滿足和實現(xiàn)這些安全要求的安全管理措施。安全管理措施包括適用的安全組織建設(shè)、安全策略建設(shè)和安全運行建設(shè)。安全管理措施與具體的安全要求相對應(yīng),在進行安全管理建設(shè)時,針對各系統(tǒng)現(xiàn)狀和安全要求的差距選擇安全管理措施中對應(yīng)的安全管理手段。信息系統(tǒng)安全建設(shè)與加固的總體目標是:采用等級化和體系化的設(shè)計方法,為工業(yè)企業(yè)訂制一整套的工控系統(tǒng)信息安全保障體系。根據(jù)安全體系的要求進行安全規(guī)劃,將安全體系中的各類安全措施進行打包,形成多個系列的解決方案,并落實安全實施項目規(guī)劃和工作規(guī)劃。
2.4 系統(tǒng)滲透測試服務(wù)能力建設(shè)
根據(jù)工業(yè)控制領(lǐng)域安全性需要,組織工業(yè)控制系統(tǒng)滲透性測試能力建設(shè),以保障工業(yè)控制系統(tǒng)配置、系統(tǒng)漏洞、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)信息定位等方面的安全。所涉及到的技術(shù)不僅僅包括傳統(tǒng)網(wǎng)絡(luò)安全滲透測試技術(shù)還有工業(yè)控制系統(tǒng)滲透測試技術(shù),這些技術(shù)通過對傳統(tǒng)技術(shù)框架的改進方式,實現(xiàn)對工業(yè)控制系統(tǒng)硬件、軟件和協(xié)議的支持。
2.5 代碼檢測與環(huán)境驗證服務(wù)能力建設(shè)
針對工業(yè)控制系統(tǒng)的主要功能、性能指標進行檢測,檢驗系統(tǒng)是否在連續(xù)性、實時性等方面滿足工業(yè)要求,并提供穩(wěn)定性驗證服務(wù)以及實時性驗證服務(wù)。
(1)穩(wěn)定性驗證服務(wù)。通過并發(fā)訪問、單人多線登錄、壓力測試等方法對系統(tǒng)的穩(wěn)定性進行評價,驗證系統(tǒng)的穩(wěn)定性是否符合工業(yè)生產(chǎn)要求。
(2)實時性驗證服務(wù)。通過數(shù)據(jù)完整性、保密性、可用性檢測,對工業(yè)控制系統(tǒng)內(nèi)傳輸數(shù)據(jù)的時間數(shù)量級進行記錄和評估,根據(jù)本行業(yè)的工業(yè)生產(chǎn)標準,驗證系統(tǒng)實時性是否能夠滿足生產(chǎn)要求。
2.6 人才培養(yǎng)能力建設(shè)
從工控安全理論研究、技術(shù)研發(fā)等實驗方面以及工控系統(tǒng)安全服務(wù)兩方面培養(yǎng)高層次信息安全專業(yè)人才,力爭將實驗室建成一流信息安全人才培養(yǎng)基地。利用實驗室的優(yōu)厚技術(shù)條件,進行實際演練,掌握工業(yè)控制系統(tǒng)信息安全領(lǐng)域的關(guān)鍵技術(shù),成為精通信息安全理論與技術(shù)的尖端人才。同時與各工控安全權(quán)威機構(gòu)聯(lián)合,通過共同開發(fā)與研究項目的形式,利用工業(yè)控制系統(tǒng)模擬環(huán)境,提供項目的實驗與開發(fā)環(huán)境,保證技術(shù)領(lǐng)先性,培養(yǎng)可以從事信息安全研究的專業(yè)隊伍,為實現(xiàn)工業(yè)企業(yè)的信息安全保障輸送高質(zhì)量人才。
2.7 系統(tǒng)安全測評服務(wù)能力建設(shè)
測評服務(wù)能力是指為工業(yè)控制信息系統(tǒng)提供安全測評服務(wù),集風險評估、等級保護測評等功能于一體。通過安全測評服務(wù)能力的建設(shè),完善工業(yè)控制系統(tǒng)信息安全產(chǎn)品測評能力與手段,充實工業(yè)控制系統(tǒng)信息安全相關(guān)資源庫,在工控系統(tǒng)物理安全、網(wǎng)絡(luò)安全、主機安全和管理安全等方面,為系統(tǒng)應(yīng)用和控制過程提供最優(yōu)的安全尺度、安全層面、安全平臺。
3 服務(wù)平臺建設(shè)
服務(wù)平臺是服務(wù)開展的重要技術(shù)環(huán)境,平臺的建設(shè)將進一步完善工業(yè)控制領(lǐng)域信息安全服務(wù)體制,提升工業(yè)控制領(lǐng)域信息安全服務(wù)效能,信息安全測評驗證服務(wù)體系,逐步形成工業(yè)控制安全領(lǐng)域的產(chǎn)業(yè)多層次、多渠道、多元化的綜合服務(wù)體系。平臺架構(gòu)如圖2所示。
代碼檢測與環(huán)境驗證子平臺:通過為工業(yè)控制系統(tǒng)提供代碼檢測和環(huán)境驗證等服務(wù),將對工業(yè)控制嵌入式操作系統(tǒng)、應(yīng)用軟件進行代碼安全性驗證,找出軟件代碼的潛在威脅所在,加以防護,提高軟件應(yīng)用的安全性。將代碼檢測和環(huán)境驗證平臺作為技術(shù)支撐,實現(xiàn)工業(yè)控制系統(tǒng)PLC系統(tǒng)安全檢測和嵌入式系統(tǒng)測試服務(wù)。
內(nèi)網(wǎng)監(jiān)控與預警子平臺:對工業(yè)控制系統(tǒng)內(nèi)部網(wǎng)絡(luò)中的安全事件包括:惡意攻擊、非法入侵、內(nèi)網(wǎng)病毒、端口流量異常等進行監(jiān)控,當安全事件發(fā)生時發(fā)出預警信息。
工控系統(tǒng)業(yè)務(wù)管理子系統(tǒng)平臺:對測評、評估等服務(wù)項目提供全生命周期的過程管理,包括服務(wù)隊伍建立、需求分析、資產(chǎn)識別、威脅分析和脆弱性識別等過程的管理,并可以通過內(nèi)建的知識庫為服務(wù)人員提供技術(shù)支持和信息查詢。
工控系統(tǒng)安全測評服務(wù)子平臺:結(jié)合網(wǎng)絡(luò)安全建設(shè)和發(fā)展的實際情況,綜合漏洞挖掘、安全評估、掃描分析和管理體系評估等多種手段,建設(shè)對于工業(yè)控制系統(tǒng)提供專項安全測評、檢測服務(wù)、風險評估等服務(wù)。
4 支撐環(huán)境建設(shè)
4.1 工控模擬實驗?zāi)M環(huán)境建設(shè)
工業(yè)控制系統(tǒng)模擬環(huán)境是根據(jù)工業(yè)控制系統(tǒng)現(xiàn)場實際情況搭建的仿真模擬測試環(huán)境,是開展安全技術(shù)理論研究、漏洞驗證、滲透測試、代碼測試環(huán)境驗證以等研究的基礎(chǔ),同時也是工具集研發(fā)的技術(shù)環(huán)境依托。模擬環(huán)境將以SCADA、DCS等為核心,結(jié)合無線、微波等網(wǎng)絡(luò)技術(shù),針對工業(yè)控制系統(tǒng)安全現(xiàn)狀,將搭建電力、水利、燃氣等重要工業(yè)控制領(lǐng)域的模擬環(huán)境,為開展攻防實驗、技術(shù)研究等奠定基礎(chǔ)。
4.2 軟硬件支撐環(huán)境
軟硬件支撐環(huán)境是整個服務(wù)體系的基礎(chǔ)支撐環(huán)境,能夠為模擬環(huán)境建設(shè)、服務(wù)平臺建設(shè)以及服務(wù)能力建設(shè)提供必要的基礎(chǔ)環(huán)境。軟硬件基礎(chǔ)環(huán)境主要包括基礎(chǔ)網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)存儲和服務(wù)系統(tǒng)和實現(xiàn)平臺自身安全的防病毒、防入侵等安全措施。
5 結(jié)語
工業(yè)控制系統(tǒng)信息安全的需求和目標特性,決定了安全服務(wù)提供方式要區(qū)別于傳統(tǒng)的IT系統(tǒng),非體系化的服務(wù)不僅收效甚微,還很有可能會對工業(yè)現(xiàn)場帶來安全威脅。本文構(gòu)建的服務(wù)體系圍繞服務(wù)能力、服務(wù)平臺和技術(shù)支撐建設(shè),面向工業(yè)控制系統(tǒng)信息安全專業(yè)化服務(wù),進一步實現(xiàn)工控系統(tǒng)信息安全服務(wù)的過程和類別進行體系化,為工業(yè)信息全測評、產(chǎn)品測試、工具研發(fā)和攻防實驗等工作提供思路和依據(jù),為工業(yè)控制系統(tǒng)信息安全保障工作的實施提供了參考思路。
十二五規(guī)劃下的安全探討
本次大會以“構(gòu)筑十二五規(guī)劃下中國信息安全體系”為主題,對當前國內(nèi)外安全威脅、中國電子政務(wù)遇到的安全與挑戰(zhàn)、等級保護落實中的關(guān)鍵問題,以及各行業(yè)在“十二五”期間如何規(guī)劃以應(yīng)對信息安全的挑戰(zhàn)等議題進行了熱烈討論。
中國計算機世界傳媒集團董事葛程遠表示,在信息安全威脅日益嚴峻的今天,“十二五”規(guī)劃以2011年作為開局之年,在規(guī)劃綱要中首次將“加強網(wǎng)絡(luò)與信息安全保障”作為重要的一個章節(jié)突出,顯示出“十二五”期間國家對信息安全的高度重視。“十二五”規(guī)劃綱要中明確指出:健全網(wǎng)絡(luò)與信息安全法律法規(guī),完善信息安全標準體系和認證認可體系,實施信息安全等級保護、風險評估等制度。加快推進安全可控關(guān)鍵軟硬件應(yīng)用試點示范和推廣,加強信息網(wǎng)絡(luò)監(jiān)測、管控能力建設(shè),確?;A(chǔ)信息網(wǎng)絡(luò)和重點信息系統(tǒng)安全。
眾所周知,現(xiàn)階段的信息安全形勢發(fā)生了不少變化,新時代的信息安全堡壘正在逐步建立。工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武表示,“隨著信息化水平不斷提高,網(wǎng)絡(luò)空間與物理空間相互交織、相互滲透、相互影響,網(wǎng)絡(luò)已經(jīng)成為人類活動的重要領(lǐng)域?!?/p>
比如,前不久,美國政府就了一系列政策性文件:4月15日網(wǎng)絡(luò)空間可信身份戰(zhàn)略;5月16日網(wǎng)絡(luò)空間國際戰(zhàn)略;6月8日網(wǎng)絡(luò)空間安全創(chuàng)新和互聯(lián)網(wǎng)經(jīng)濟;7月15日網(wǎng)絡(luò)空間行動戰(zhàn)略。這些都凸現(xiàn)了美國政府對陸??仗熘獾木W(wǎng)絡(luò)空間的高度重視。
中國政府對信息安全工作也十分重視,其中工業(yè)和信息化部的一項非常重要的職責就是協(xié)調(diào)和維護國家信息安全。為了切實履行好這一職責,工業(yè)和信息化部專門設(shè)立了信息安全協(xié)調(diào)司,以指導、監(jiān)督政府部門和重點行業(yè)的重要信息系統(tǒng)基礎(chǔ)信息網(wǎng)絡(luò)安全保障工作,承擔信息安全應(yīng)急協(xié)調(diào),協(xié)調(diào)處理重大事件。而“十二五”規(guī)劃也為加強網(wǎng)絡(luò)與信息安全保障指出了明確方向。不過,國家信息化專家咨詢委員會委員寧家駿認為,目前對國家信息安全發(fā)展戰(zhàn)略的研究不夠。
“頂層設(shè)計的缺失導致中央和地方信息安全保障難以形成統(tǒng)一體系,影響了信息安全保障工作的可持續(xù)發(fā)展;中央和地方分級建設(shè)模式在一定程度上制約了統(tǒng)一體系和統(tǒng)一標準的形成;另外,在技術(shù)上存在先天不足、自主創(chuàng)新可控能力不足,也帶來新的問題?!彼f。
國內(nèi)外安全形勢嚴峻
會上,寧家駿給與會者展示了這樣一組數(shù)據(jù):2011年6月互聯(lián)網(wǎng)網(wǎng)絡(luò)安全主要數(shù)據(jù)顯示,我國境內(nèi)感染網(wǎng)絡(luò)病毒的終端達到815萬個,境內(nèi)篡改網(wǎng)站數(shù)量達3164個,其中篡改政府網(wǎng)站數(shù)量333個,國家信息安全漏洞共享平臺收集整理漏洞447個,其中257個是高危漏洞,可以實施遠程攻擊的則有406個。公安部針對網(wǎng)絡(luò)黑客攻擊破壞活動專項行動打擊,破獲案件169起。同時,網(wǎng)絡(luò)失竊現(xiàn)象嚴重,政府網(wǎng)站也時常發(fā)生被植入木馬病毒的情況。另外,由于基礎(chǔ)網(wǎng)絡(luò)存在一定的相互依賴性,網(wǎng)絡(luò)安全威脅還可能導致災(zāi)難性的骨牌效應(yīng),安全對信息化進程的穩(wěn)定性存在必然的擾動性。
事實上,近兩年國際國內(nèi)由黑客主導的安全事件的影響力以及破壞力一直在不斷上升,黑客行為已經(jīng)脫離了“自由、共享”的初衷,正處于逐步失控的狀態(tài),由此誕生的黑客產(chǎn)業(yè)鏈更是讓信息安全面臨著更大的挑戰(zhàn)。
中國綠色兵團發(fā)起人之一、CHOWNGROUP倡導者李麒是一位長期和黑客以及黑客地下產(chǎn)業(yè)鏈打交道的黑客專家。在他看來,黑客的行為已經(jīng)不局限于利用木馬程序盜取QQ賬號、網(wǎng)絡(luò)游戲賬號、銀行賬號等個人信息為己牟利,一些黑客的行為已經(jīng)開始對國際大事產(chǎn)生影響,“前不久我們發(fā)現(xiàn)越南的黑客將某個政府網(wǎng)站首頁進行了篡改,替換上他們的黑客頁面,用以表現(xiàn)他們在上的一些政治意圖?!?/p>
目前網(wǎng)絡(luò)戰(zhàn)已經(jīng)升級成國與國之間的拉鋸戰(zhàn),各國都創(chuàng)建了屬于自己的精銳“網(wǎng)絡(luò)部隊”。去年5月,美軍網(wǎng)絡(luò)司令部啟動應(yīng)對網(wǎng)絡(luò)攻擊計劃,建立陸??杖婢W(wǎng)絡(luò)戰(zhàn)防御體系,其目的就是打信息戰(zhàn),并形成完備的信息戰(zhàn)體系。
防范Web威脅是大勢所趨
目前,黑客攻擊正在從傳統(tǒng)的網(wǎng)絡(luò)層轉(zhuǎn)化為應(yīng)用層,同時越來越多的黑客開始盜取企業(yè)保密信息用于牟利。
“黑客可以盜取企業(yè)的機密信息、圖紙、財務(wù)報表以及核心數(shù)據(jù)等,將這些賣給企業(yè)的競爭對手,這其中也包括一些跨國公司的核心數(shù)據(jù)?!崩铟枵f。
達到這些目的的方式主要是網(wǎng)頁被篡改、掛馬、仿冒三種手法,我國電子政務(wù)網(wǎng)站也深受其害。
“去年我們協(xié)助國家相關(guān)部門對全國31個省市區(qū)的7383個政府對外服務(wù)的網(wǎng)站進行大檢查,發(fā)現(xiàn)這些網(wǎng)站的安全情況不容樂觀。所查的網(wǎng)站一般都存在問題,其中最為突出的就是網(wǎng)頁被篡改,這種情況占到整個安全事件數(shù)量的62.7%,位居第一?!崩铟璞硎荆霸斐蛇@種問題的原因主要是網(wǎng)站的程序設(shè)計時沒有全面考慮安全因素,比如安全代碼優(yōu)化、安全代碼編輯等關(guān)注不夠?!?/p>
李麒認為,造成信息安全形勢嚴峻的一個重要原因是用戶將安全防護重點設(shè)置在網(wǎng)絡(luò)層,而忽略應(yīng)用層,黑客針對Web應(yīng)用層進行攻擊往往讓人防不勝防?!芭c傳統(tǒng)網(wǎng)絡(luò)安全不同,Web安全威脅變化非???,做好控制并不容易,尤其是維護、開發(fā)、上線等過程。針對這樣的情況,用戶不僅要建立整個安全防護體系,同時還針對目前信息安全態(tài)勢做好監(jiān)測,對整個安全指標進行量化。另外,要將安全做到平臺化、周期性、常態(tài)化、制度化,做好預警。最后,要實現(xiàn)安全的易用性,并充分了解當前信息系統(tǒng)的安全狀態(tài),出了問題要有相應(yīng)的機制和應(yīng)急響應(yīng)?!?/p>
建立安全保障長效機制
為了應(yīng)對日益嚴峻的安全形勢,2008年4月國家出臺了關(guān)于加強政府信息系統(tǒng)保密的通知,要求各地區(qū)、部門每半年要進行一個政府信息系統(tǒng)安全檢查。2009年3月又印發(fā)政府信息系統(tǒng)安全檢查辦法,明確了工作原則以及安全檢查的工作要求等,督促各地區(qū)和部門加強政府信息系統(tǒng)的安全防護。
會上,歐陽武還提出應(yīng)大力推廣電子簽名?!熬W(wǎng)絡(luò)的匿名性、行為主體不確定性是互聯(lián)網(wǎng)最大的安全隱患。通過電子簽名技術(shù)可確認行為人和確保網(wǎng)絡(luò)行為的不可抵賴。一旦有了可靠的電子簽名,我們物理世界里面維護安全的最重要的兩個基石――法律和道德在網(wǎng)絡(luò)空間里面也有了應(yīng)用的基礎(chǔ)。”
據(jù)了解,信息安全協(xié)調(diào)司成立三年以來把落實電子簽名法作為一項重要工作來抓。目前,工信部許可可信數(shù)字證書的社會保有量已經(jīng)接近兩千萬,一個可信身份認證服務(wù)系統(tǒng)體系正在形成。
此外,讓計算機信息網(wǎng)絡(luò)等級保護制度更為有效地保護重要領(lǐng)域的信息網(wǎng)絡(luò),建立安全保障的長效機制也是我國信息安全建設(shè)的重點。公安部十一局郭啟全處長表示,目前國家信息安全面臨的新形勢要求我們要重視國家關(guān)鍵信息基礎(chǔ)設(shè)施保護,近幾年公安部、工信部、國家廣電局、密碼局做了大量工作把國家關(guān)鍵基礎(chǔ)設(shè)施梳理出來,保護重點進一步明確。但是,如何全面和整體解決各行業(yè)在信息化建設(shè)中的安全問題,仍是國內(nèi)外信息安全界一直關(guān)注的問題。
各行業(yè)構(gòu)建
信息安全堡壘
電子商務(wù)、電力、醫(yī)療、能源等行業(yè)也都在信息安全領(lǐng)域進行新的嘗試。上海信息安全基礎(chǔ)設(shè)施研究中心副主任顧青表示,“十二五”規(guī)劃中明確指出要積極發(fā)展電子商務(wù),完善面向中小企業(yè)的電子商務(wù)服務(wù),推動面向全社會的信用服務(wù)和網(wǎng)上支付物流配送支撐體系建設(shè)。
根據(jù)中國電子商務(wù)研究中心的統(tǒng)計,截止到今年6月份,電子商務(wù)交易市場達2.9萬億元人民幣的交易額,B2B達2.6萬億元,但在電子商務(wù)的發(fā)展中,網(wǎng)絡(luò)經(jīng)營主體的身份確認機制尚未成型,網(wǎng)絡(luò)市場經(jīng)營行為需要進一步規(guī)范,網(wǎng)絡(luò)市場成型體系有待健全,政府職能部門服務(wù)監(jiān)管有待于改進,網(wǎng)絡(luò)消費者維權(quán)行為有待于保障和解決等問題一直困擾著電子商務(wù)市場。同時,電子商務(wù)對數(shù)字證書認證有非常迫切的需求。因此,市場需要政府職能部門提供電子商務(wù)公信服務(wù),創(chuàng)新監(jiān)管方式方法,維護電子商務(wù)市場秩序,促進第三方認證服務(wù)機構(gòu)提供電子商務(wù)公正服務(wù),培育戰(zhàn)略性新興產(chǎn)業(yè),構(gòu)建完整的電子商務(wù)信任服務(wù)體系。
電監(jiān)會信息安全處處長溫紅子作為電力行業(yè)的代表,對于工控系統(tǒng)基礎(chǔ)性地位級面臨的安全威脅深有感觸:“和IT系統(tǒng)一樣,工控系統(tǒng)也面臨黑客攻擊、惡意代碼、外力破壞、自然災(zāi)害等安全威脅。同樣,工控系統(tǒng)一旦發(fā)生安全事件,損害程度將非常嚴重。比如,因病毒入侵伊朗布什爾核電站的西門子工控系統(tǒng),致使數(shù)臺離心機數(shù)據(jù)錯誤,使伊朗能力倒退兩年。這件事值得我們警惕。”
溫紅子指出,工業(yè)控制系統(tǒng)的安全防護工作任重而道遠,在一些影響國計民生的大行業(yè)中應(yīng)該引起足夠的重視,并亟需建立起可控的安全防護措施。
記者觀察
從來沒有真正的安全,安全是各方博弈的結(jié)果。自IT技術(shù)誕生以來,針對信息安全的討論和爭斗就不絕于耳。
由《計算機世界》主辦的“中國信息安全大會暨中國CSO俱樂部年會”已經(jīng)迎來了第九個年頭,主持人的機敏、專家的博學、演講者的幽默,以及參會者的認真,讓每一屆大會都會碰撞出火花,這讓原來嚴肅的話題產(chǎn)生出不一樣的感覺。
本屆信息安全大會以“十二五規(guī)劃下的信息安全”為主題,來自政府、協(xié)會以及各行業(yè)企業(yè)代表各抒己見,圍繞大會主題介紹了各自下一階段的安全規(guī)劃。安全廠商針對目前的安全技術(shù)熱點以及用戶新應(yīng)用需求,提出了有針對性的安全解決方案,并希望借此幫助企業(yè)在“十二五規(guī)劃”指導下構(gòu)筑更為安全的企業(yè)防護體系,參會者亦對此表示出濃厚的興趣。
計算機世界傳媒集團董事 葛程遠
工業(yè)和信息化部信息安全協(xié)調(diào)司副司長 歐陽武
公安部網(wǎng)絡(luò)安全保衛(wèi)局處長 郭啟全
上海信息安全基礎(chǔ)設(shè)施研究中心副主任 顧青
國家信息化專家咨詢委員會委員 寧家駿
中國綠色兵團發(fā)起人之一、CHOWN GROUP倡導者 李麒
【關(guān)鍵詞】企業(yè);計算機網(wǎng)絡(luò)信息;安全管理
中圖分類號: F279 文獻標識碼: A
前言
文章對企業(yè)計算機網(wǎng)絡(luò)安全存在的問題進行了介紹,對影響企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的因素進行了闡述,通過分析,并結(jié)合自身實踐經(jīng)驗和相關(guān)理論知識,對加強企業(yè)網(wǎng)絡(luò)安全管理措施進行了探討。
二、企業(yè)計算機網(wǎng)絡(luò)安全存在的問題
1.安全意識淡薄
在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,每一臺計算機的安全性都會影響整個系統(tǒng)的安全性能,網(wǎng)絡(luò)安全與每個用戶息息相關(guān)。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點甚至掌握業(yè)務(wù)系統(tǒng)的密碼。在具有嚴格訪問權(quán)限的系統(tǒng)中,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷,甚至有些人隨意改動系統(tǒng)注冊表,使得整個網(wǎng)絡(luò)安全系統(tǒng)失效。
2.網(wǎng)絡(luò)安全體系不健全
當前很多企業(yè)盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統(tǒng)性,對于企業(yè)網(wǎng)絡(luò)信息安全保護缺乏統(tǒng)一的、明確的指導思想,沒有建立一個完善的安全體系,這是引發(fā)安全問題的主要源頭。
3.網(wǎng)絡(luò)黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業(yè)的內(nèi)部資料對于整個企業(yè)經(jīng)營來說相當重要,因為它關(guān)系到整個企業(yè)的生死存亡。企業(yè)存放信息會因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。
4.來自企業(yè)外部的感染
來自企業(yè)外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點,通過入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備,對數(shù)據(jù)進行破壞,使網(wǎng)絡(luò)癱瘓,不能正常運作。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預就能觸發(fā),因而其傳播速度要遠遠大于計算機病毒,其對網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴重。木馬是指附著在應(yīng)用程序中或者單獨存在的一些惡意程序,它可以利用網(wǎng)絡(luò)遠程控制安裝有服務(wù)端程序的主機,實現(xiàn)對主機的控制或者竊取主機上的機密信息。
5.來自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊
企業(yè)防護重點是對外,往往忽視對內(nèi)部防護的重視。利用企業(yè)內(nèi)部計算機對企業(yè)局域網(wǎng)絡(luò)進行攻擊,企業(yè)局域網(wǎng)絡(luò)也會受到嚴重攻擊,當前企業(yè)內(nèi)部攻擊行為大大加強了企業(yè)網(wǎng)絡(luò)安全的風險。
三、影響企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的因素
1.病毒攻擊
目前,計算機病毒的制造者大多利用Internet網(wǎng)絡(luò)進行傳播,因中小企業(yè)防范薄弱管理規(guī)范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統(tǒng),也可能會大量占用網(wǎng)絡(luò)帶寬,阻塞正常流量,如:發(fā)送垃圾郵件的病毒,從而影響企業(yè)計算機網(wǎng)絡(luò)的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本,不注重也不舍得花銷來進行軟件更新的后期升級服務(wù),以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進行攻擊。
3.職員不當操作
中小企業(yè)計算機管理人員配置少,監(jiān)督管理都難以細致,其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎,不細心,不按成型的規(guī)范操作,不遵守制定的相應(yīng)規(guī)章制度。中小企業(yè)中很多職工信息安全意識不強,將自己的生日或工號作為系統(tǒng)口令,或?qū)挝坏馁~號隨意轉(zhuǎn)借他人使用,從而造成信息的丟失或篡改。
四、加強企業(yè)網(wǎng)絡(luò)安全管理措施
1.要加大對計算機網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進步神速,我國在這一領(lǐng)域同發(fā)達國家比,并沒有優(yōu)勢。因此我國更應(yīng)加大投入,刻苦攻關(guān),掌握一些關(guān)鍵的信息技術(shù),以確保我國在信息安全方面的自主能力??梢院敛豢鋸埖卣f,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應(yīng)當像五六十年展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術(shù)革命的挑戰(zhàn),保衛(wèi)國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術(shù)方面,發(fā)達國家一方面極為重視研究開發(fā),美國政府曾為了改進美國政府的計算機安全系統(tǒng),投入巨大的資金;另一方面,又嚴格控制信息安全技術(shù)的出口。以美國為代表的發(fā)達國家,對信息安全產(chǎn)品出口,已作出許多嚴格限制,以維護其在信息技術(shù)領(lǐng)域的絕對優(yōu)勢。
2.關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計算機網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無處不在。尤其是一些機密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性,這時一般會采取對數(shù)據(jù)加密的手段,它是一種保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的一種手段,該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。
3.加強安全管理力度健全管理制度。首先,加強信息安全管理力度應(yīng)積極采取宏觀管理與重點監(jiān)控相結(jié)合的方式,保證信息化項目的安全性。系統(tǒng)的實施及管理部門應(yīng)該全面掌握各單位的計算機網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況,為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時,對重點工程實地考察,對信息安全進行檢查,發(fā)現(xiàn)問題及時解決。
4.事務(wù)管理和故障恢復。事務(wù)管理和故障恢復主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障,保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復的主要措施是進行日志記錄和數(shù)據(jù)復制。計算機同其他設(shè)備一樣,都可能發(fā)生各種各樣的故障,比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等,這些故障可能會造成數(shù)據(jù)庫的數(shù)據(jù)丟失,因此為了保證計算機的安全運行,必須在發(fā)生故障時采取必要的措施恢復數(shù)據(jù)庫,事務(wù)管理和故障恢復就是這個作用,它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時,仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。
五、企業(yè)信息安全新形勢
網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一,具有長期性、復雜性和艱巨性的特點。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展,三網(wǎng)融合開始實施操作,云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾,需求的個性化、數(shù)字的海量化、業(yè)務(wù)的復雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進一步提高對網(wǎng)絡(luò)信息安全重要性的認識,發(fā)展與管理并重,加強部門協(xié)調(diào)配合,加強網(wǎng)絡(luò)基礎(chǔ)管理工作,加強網(wǎng)絡(luò)信息安全保障能力建設(shè),特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化,通過核心技術(shù)掌握自主知識產(chǎn)權(quán),加快發(fā)展自主可控的信息安全產(chǎn)業(yè),建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。
從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā),應(yīng)對多種復雜的安全新問題,應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù),并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系,技術(shù)和管理并重,加強立法建設(shè)、政策制訂、技術(shù)研究、標準制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作,通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境,來共同改善全球的網(wǎng)絡(luò)與信息安全問題。
結(jié)束語
隨著科技的發(fā)展,一些不法份子和黑客通過計算機網(wǎng)絡(luò)竊取企業(yè)商業(yè)機密的現(xiàn)象越來越多,因此,對于計算機網(wǎng)絡(luò)信息安全管理應(yīng)該予以高度重視,否則可能對企業(yè)造成不可預估的損失。
參考文獻
[1]林延君.局域網(wǎng)企業(yè)信息安全系統(tǒng)的設(shè)計與實現(xiàn)[D].大連理工大學,2006年.
[2]陽威特.Web應(yīng)用程序的安全維護[J].計算機應(yīng)用,2000(05).
國務(wù)院日前六項意見提出,全面開放鐵路建設(shè)市場,對新建鐵路實行分類投資建設(shè);研究設(shè)立鐵路發(fā)展基金,吸引社會法人投入。
國務(wù)院《關(guān)于改革鐵路投融資體制加快推進鐵路建設(shè)的意見》提出,推進鐵路投融資體制改革,多方式多渠道籌集建設(shè)資金。全面開放鐵路建設(shè)市場,對新建鐵路實行分類投資建設(shè)。向地方政府和社會資本放開城際鐵路、市域鐵路、資源開發(fā)性鐵路和支線鐵路的所有權(quán)、經(jīng)營權(quán)。同時,研究設(shè)立鐵路發(fā)展基金,以中央財政性資金為引導,吸引社會法人投入。鐵路發(fā)展基金主要投資國家規(guī)定的項目,社會法人不直接參與鐵路建設(shè)、經(jīng)營,但保證其獲取穩(wěn)定合理回報?!笆濉焙笕?,繼續(xù)發(fā)行政府支持的鐵路建設(shè)債券,并創(chuàng)新鐵路債券發(fā)行品種和方式?!兑庖姟访鞔_,不斷完善鐵路運價機制,穩(wěn)步理順鐵路價格關(guān)系?!兑庖姟愤€提出,加大力度盤活鐵路用地資源,鼓勵土地綜合開發(fā)利用。
北京市政基礎(chǔ)設(shè)施六大領(lǐng)域向社會資本開放
日前,市發(fā)展改革委公布了關(guān)于《引進社會資本推動市政基礎(chǔ)設(shè)施領(lǐng)域建設(shè)試點項目實施方案》的政策顯示,全市包括軌道交通、城市道路、綜合交通樞紐、污水處理、固廢處置等6個市政基礎(chǔ)設(shè)施領(lǐng)域,全面向社會資本開放。6個領(lǐng)域推試點項目126個總投資3380億元,擬引進社會資本1300億元。
此次市政基礎(chǔ)設(shè)施領(lǐng)域向社會資本開放,首期啟動6個領(lǐng)域項目總投資約1620億元,擬引進社會投資約680億元。 結(jié)合“十二五”規(guī)劃,后期擬再選取99個項目進行細化論證和重點推進,總投資約1760億元,預計引進社會投資約620億元。
市發(fā)展改革委方面介紹,今后,重大公共項目建設(shè)信息會提前向社會公布,各類技術(shù)經(jīng)濟指標和經(jīng)營標準,也會及時向社會公布,讓感興趣、符合條件的企業(yè)都能參與競爭。
按照《實施方案》,基礎(chǔ)設(shè)施和市政公用項目,原則以劃撥方式供地。土地使用權(quán)期限與特許經(jīng)營期限一致,特許經(jīng)營期滿后,應(yīng)連同地上物一并無償交給政府。涉及一體化建設(shè)的項目,分情況采取協(xié)議出讓、租賃、招拍掛出讓等方式供地。
市發(fā)展改革委相關(guān)負責人表示,本市其他領(lǐng)域,如養(yǎng)老、醫(yī)療、文化創(chuàng)意產(chǎn)業(yè)、體育、旅游等吸引民間投資的政策研究也在同步展開,各領(lǐng)域可以相互借鑒,相互促進。
養(yǎng)老服務(wù)業(yè)
國務(wù)院:
加快發(fā)展養(yǎng)老服務(wù)業(yè)
8月16日召開的國務(wù)院常務(wù)會議,確定深化改革加快發(fā)展養(yǎng)老服務(wù)業(yè)的任務(wù)措施。會議指出,要在政府“保基本、兜底線”的基礎(chǔ)上,銳意改革創(chuàng)新,發(fā)揮市場活力,推動社會力量成為發(fā)展養(yǎng)老服務(wù)業(yè)的“主角”,到2020年全面建成以居家為基礎(chǔ)、社區(qū)為依托、機構(gòu)為支撐的覆蓋城鄉(xiāng)的多樣化養(yǎng)老服務(wù)體系,把服務(wù)億萬老年人的“夕陽紅”事業(yè)打造成蓬勃發(fā)展的朝陽產(chǎn)業(yè),使之成為調(diào)結(jié)構(gòu)、惠民生、促升級的重要力量。一要加強養(yǎng)老服務(wù)能力建設(shè)。二要分層分類提供養(yǎng)老服務(wù)。三要創(chuàng)新養(yǎng)老服務(wù)模式。四要切實加強農(nóng)村養(yǎng)老服務(wù)。五要推動醫(yī)養(yǎng)融合發(fā)展,探索醫(yī)療機構(gòu)與養(yǎng)老機構(gòu)合作新模式。
節(jié)能環(huán)保產(chǎn)業(yè)
《關(guān)于加快發(fā)展節(jié)能環(huán)保產(chǎn)業(yè)的意見》印發(fā)
日前國務(wù)院印發(fā)《關(guān)于加快發(fā)展節(jié)能環(huán)保產(chǎn)業(yè)的意見》,提出到2015年,我國節(jié)能環(huán)保產(chǎn)業(yè)總產(chǎn)值要達到4.5萬億元。這既表明隨著中國政府發(fā)力,中國節(jié)能環(huán)保產(chǎn)業(yè)將迎來大發(fā)展的黃金期,同時,這也是新一屆政府統(tǒng)籌穩(wěn)增長、調(diào)結(jié)構(gòu)、促改革、惠民生,推出的又一項重大舉措。
寬帶建設(shè)
國務(wù)院“寬帶中國”戰(zhàn)略及實施方案
日前《國務(wù)院關(guān)于印發(fā)“寬帶中國”戰(zhàn)略及實施方案的通知》,以加強戰(zhàn)略引導和系統(tǒng)部署,推動我國寬帶基礎(chǔ)設(shè)施快速健康發(fā)展。
《通知》強調(diào),要將寬帶網(wǎng)絡(luò)作為國家戰(zhàn)略性公共基礎(chǔ)設(shè)施,加強頂層設(shè)計和規(guī)劃引導,統(tǒng)籌關(guān)鍵核心技術(shù)研發(fā)、標準制定、信息安全和應(yīng)急通信保障體系建設(shè),促進網(wǎng)絡(luò)建設(shè)、應(yīng)用普及、服務(wù)創(chuàng)新和產(chǎn)業(yè)支撐的協(xié)同,加快構(gòu)建寬帶、融合、安全、泛在的下一代國家信息基礎(chǔ)設(shè)施,全面支撐經(jīng)濟發(fā)展和服務(wù)社會民生。
通知提出了兩個階段性發(fā)展目標,即:到2015年,基本實現(xiàn)城市光纖到樓入戶、農(nóng)村寬帶進鄉(xiāng)入村,固定寬帶家庭普及率達到50%等內(nèi)容。到2020年,寬帶網(wǎng)絡(luò)全面覆蓋城鄉(xiāng),固定寬帶家庭普及率達到70%等目標,形成較為健全的網(wǎng)絡(luò)與信息安全保障體系。
小微企業(yè)發(fā)展
國務(wù)院對金融支持小微企業(yè)提具體要求
日前,國務(wù)院辦公廳對外《關(guān)于金融支持小微企業(yè)發(fā)展的實施意見》,對小微金融服務(wù)做出全面部署?!兑庖姟窂陌藗€方面對金融支持小微企業(yè)發(fā)展做出具體要求。并逐條明確要求各相關(guān)部委按職責分工負責。
意見首先提出,確保實現(xiàn)小微企業(yè)貸款增速和增量“兩個不低于”的目標,即在風險總體可控的前提下,確保小微企業(yè)貸款增速不低于各項貸款平均水平、增量不低于上年同期水平。意見明確,要在盤活存量中擴大小微企業(yè)融資增量,在新增信貸中增加小微企業(yè)貸款份額。同時,要求各銀行業(yè)金融機構(gòu)單列小微企業(yè)信貸計劃。意見還包括加快豐富和創(chuàng)新小微企業(yè)金融服務(wù)方式、著力強化對小微企業(yè)的增信服務(wù)和信息服務(wù)等其他內(nèi)容。
信息消費
國務(wù)院發(fā)文
促信息消費擴內(nèi)需
近日國務(wù)院印發(fā)《關(guān)于促進信息消費擴大內(nèi)需的若干意見》,指出要加強信息基礎(chǔ)設(shè)施建設(shè),加快信息產(chǎn)業(yè)優(yōu)化升級,大力豐富信息消費內(nèi)容,提高信息網(wǎng)絡(luò)安全保障能力,推動面向生產(chǎn)、生活和管理的信息消費快速健康增長。到2015年,使信息消費規(guī)模超過3.2萬億元,年均增長20%以上,帶動相關(guān)行業(yè)新增產(chǎn)出超過1.2萬 億元;基于互聯(lián)網(wǎng)的新型信息消費規(guī)模達到2.4萬億元,年均增長30%以上。
《意見》從五個方面提出了促進信息消費的主要任務(wù)。一是加快信息基礎(chǔ)設(shè)施演進升級。 二是增強信息產(chǎn)品供給能力。三是培育信息消費需求。四是提升公共服務(wù)信息化水平。五是加強信息消費環(huán)境建設(shè)。
行政收費
10月1日起商標注冊費等收費標準將降低
國家發(fā)展改革委、財政部日前宣布,自2013年10月1日起,降低14個部門20個行政事業(yè)性收費項目的收費標準,主要涉及公安、司法、交通、農(nóng)業(yè)、工商等部門。此次降低收費標準每年可減輕企業(yè)和社會負擔約2億元。
據(jù)國家發(fā)改委介紹,降低的收費標準具體包括機動車抵押登記費、因私護照費(因丟失補發(fā)護照)、長江干線船舶引航費、公證費(證明財產(chǎn)繼承、贈與、接受遺贈)、國內(nèi)植物檢疫費、農(nóng)機產(chǎn)品測試檢驗費、商標注冊收費以及翻譯專業(yè)資格、專利人資格、衛(wèi)生專業(yè)技術(shù)資格等部分考試考務(wù)費等。
根據(jù)通知,公證收費中的財產(chǎn)繼承、贈與、接受遺贈收費標準,由原來按固定比例收取改為分段遞減累計收取,并大幅度降低;機動車抵押登記費由現(xiàn)行的每輛次100元降為每輛次70元;商標注冊費中的紙件商標注冊申請,由每件1000元降為每件800元;國內(nèi)植物檢疫費標準降低20%;專利人資格考試和翻譯專業(yè)資格考試等考試考務(wù)費標準降幅達25%—50%。
環(huán)境監(jiān)管
環(huán)境監(jiān)管“十二五”規(guī)劃
印發(fā)
環(huán)境保護部、國家發(fā)展改革委、財政部日前聯(lián)合印發(fā)《國家環(huán)境監(jiān)管能力建設(shè)“十二五”規(guī)劃》,以總量減排、質(zhì)量改善、風險防范、基礎(chǔ)完善為著力點,開展能力建設(shè),切實加強環(huán)境監(jiān)管能力。《規(guī)劃》將實施基礎(chǔ)、保障、人才等三大工程,總投資400億元。
信息化手段在檔案管理中的深入應(yīng)用確實給檔案管理工作帶來了革命性的變化,使檔案信息實現(xiàn)了跨地區(qū)跨部門遠距離共享,突破了時間空間的限制,為檔案管理工作和檔案應(yīng)用注入了新的活力。但萬事都有兩面性,在信息化應(yīng)用普及的同時,同樣帶來了不可忽視的安全隱患,由于電子信息的特殊性質(zhì)造成檔案信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致檔案信息系統(tǒng)的安全性有所欠缺,給檔案管理工作帶來不利影響。特別是當前很多部門在信息系統(tǒng)建設(shè)時重應(yīng)用輕安全,在系統(tǒng)設(shè)計初期很少考慮安全問題,這對信息化條件下的檔案管理是一個極大的隱患,因此理清檔案信息化所面臨的安全威脅并在系統(tǒng)建設(shè)時采取有效的措施,保證檔案信息的完整與安全,使之具有隨時正常運轉(zhuǎn)的功能,防止涉密數(shù)據(jù)信息的泄漏,已成為檔案管理者的當務(wù)之急。
一、大數(shù)據(jù)時代檔案信息安全面臨的實際風險
檔案信息化建設(shè)是以轉(zhuǎn)變觀念為前提的創(chuàng)新性檔案工作,當前絕大多數(shù)單位的檔案管理人員習慣于傳統(tǒng)式的手工管理,檔案管理人員中缺乏信息技術(shù)專業(yè)知識,對信息化條件下檔案安全管理缺乏有效的智力支持,其安全理念仍停留在防盜、防火、防潮等傳統(tǒng)紙質(zhì)檔案的安全管理層面,信息安全觀念淡薄,孰知隨著信息技術(shù)在檔案工作中的應(yīng)用,檔案數(shù)字化和網(wǎng)絡(luò)化工作的不斷推進,檔案安全管理面臨新的挑戰(zhàn)。
(一)計算機病毒風險。在檔案信息化工作的信息安全問題中,計算機病毒發(fā)生的頻率高,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復,特別是系統(tǒng)中多年積累的重要檔案數(shù)據(jù)的丟失,損失是災(zāi)難性的。
(二)網(wǎng)絡(luò)安全風險。隨著信息技術(shù)在檔案管理工作的應(yīng)用不斷推進,檔案管理逐步向信息化和網(wǎng)絡(luò)化發(fā)展,網(wǎng)絡(luò)的應(yīng)用規(guī)模和覆蓋范圍不斷擴大,如何保證網(wǎng)絡(luò)安全已成為檔案信息化工作重點之一。比如網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。檔案信息網(wǎng)工程建設(shè)中,由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程,耐壓值很低。因此,在網(wǎng)絡(luò)工程的設(shè)計和施工中,必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害。再比如要整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇,任何開發(fā)廠商必然有其Back-Door。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析,選擇安全性盡可能高的操作系統(tǒng)。
(三)應(yīng)用系統(tǒng)的安全風險。應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān),它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性,包括很多方面。信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在有些網(wǎng)絡(luò)系統(tǒng)中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,其經(jīng)濟、社會影響和政治影響很嚴重。
(四)管理的安全風險。管理是檔案信息化安全中最重要的部分。責權(quán)不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等),無法進行實時的檢測、監(jiān)控、報告與預警。同時,當事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發(fā)現(xiàn)非法入侵行為。
二、大數(shù)據(jù)時代保障檔案信息安全的對策
保障檔案信息安全,必須要建設(shè)檔案信息化安全系統(tǒng),首先必須全面進行檔案信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。培養(yǎng)檔案信息安全專門人才和加強檔案信息安全管理工作必須與檔案信息安全防護系統(tǒng)建設(shè)同步進行,才能真正發(fā)揮信息安全防護系統(tǒng)和設(shè)備的作用。
(一)確保檔案信息環(huán)境的安全。伴隨著我國數(shù)據(jù)的增多以及數(shù)據(jù)種類的增多,存儲檔案信息的方式也在不斷改變,以往的檔案信息主要以紙質(zhì)完成儲存,進入信息時代后,檔案信息的存儲主要依靠光盤以及磁盤,現(xiàn)在我們已經(jīng)進入大數(shù)據(jù)時代,檔案信息的儲存則主要依靠網(wǎng)絡(luò)來實現(xiàn)。盡管現(xiàn)在的檔案信息存儲起來比較方便,但是仍然會受到外界環(huán)境如溫度、磁場等的影響。綜上所述,我們首先要做的是保障數(shù)據(jù)時代檔案信息存儲的外界環(huán)境的穩(wěn)定。大數(shù)據(jù)時代的來臨,給檔案信息的存儲工作提出了更高的要求,因此我們要不斷努力確保大環(huán)境的安全,這樣才能從根本上保障存儲載體的安全與穩(wěn)定,盡量確保檔案信息的安全,減少檔案信息問題的出現(xiàn)。同時要保障檔案信息的軟硬件環(huán)境安全,為了確保檔案信息的軟硬件環(huán)境安全,我們需要定期查看數(shù)據(jù)信息的儲存載體是否安全穩(wěn)定,充分發(fā)揮監(jiān)控視頻的作用,利用高科技的分析軟件科學分析網(wǎng)絡(luò),同時還要運用防火墻防御外界的威脅,提升檔案信息的內(nèi)部環(huán)境。
(二)明確大數(shù)據(jù)時代檔案管理的目標。確定要運用檔案來做什么,只有明確了目標,才能高效地進行檔案管理,妥善保留有用的檔案信息,銷毀沒用的檔案信息,從而有效地節(jié)省查找檔案信息的時間。確定了目標,才能把人力資源和時間資源利用在有用的檔案信息的查找和管理上,以提高服務(wù)質(zhì)量。此外,還應(yīng)該把檔案信息安全分類管理,可以將檔案信息管理安全分為檔案數(shù)據(jù)采集安全、檔案信息管理系統(tǒng)安全、檔案數(shù)據(jù)提供利用安全,設(shè)立專門的檔案部門,安排專門的檔案人員負責各個檔案部分的管理工作,每個環(huán)節(jié)都設(shè)立問責制,以提高檔案信息安全管理的質(zhì)量和效率。大數(shù)據(jù)時代由于數(shù)據(jù)內(nèi)容過于龐大,造成了檔案信息失真和不規(guī)律,一些錯誤的信息參雜進來使信息混亂,這對于檔案信息數(shù)據(jù)分析人員來說無疑是一個很大的挑戰(zhàn),這就要求檔案信息數(shù)據(jù)分析人員在檢驗和查詢時要注意信息的真實有效性。因此,在收集檔案大數(shù)據(jù)信息之后,檔案管理人員應(yīng)該積極進行分析和校驗,成立不同的數(shù)據(jù)模型,將數(shù)據(jù)分類存放,刪除不準確的檔案信息,確保保管的檔案信息真實有效。
(三)緊密追蹤大數(shù)據(jù)進展趨勢。運用大數(shù)據(jù)信息改變了各行各業(yè)的運營模式的同時,也提高了工作效率。大數(shù)據(jù)時代的信息具備數(shù)據(jù)量大、運作速度快、更新速度快的特點,當然還具備隨機性和?馱有裕?一般以文字、音頻、視頻為載體進行儲存和傳播,但是很多文字、圖片、音頻、視頻會出現(xiàn)格式不符的問題,這是一大挑戰(zhàn),信息的傳遞應(yīng)該更具便捷性。隨著人們對信息的處理工具要求更高,檔案信息應(yīng)該不斷借鑒大數(shù)據(jù)中非結(jié)構(gòu)化數(shù)據(jù)庫的處理方法,應(yīng)避免因為非內(nèi)容性問題導致的檔案信息流失的現(xiàn)象。
(四)建立檔案數(shù)據(jù)庫保證檔案信息安全。保障檔案信息安全的最重要內(nèi)容是完善信息數(shù)據(jù)庫的建設(shè),用戶通過網(wǎng)絡(luò)信息平臺進行交流和溝通,在大數(shù)據(jù)時代,信息數(shù)據(jù)庫的信息內(nèi)容直接關(guān)系到檔案信息是否安全。由于檔案信息具有數(shù)量繁多、種類繁多、構(gòu)造復雜等特點,增加了建設(shè)檔案信息數(shù)據(jù)庫的難度,檔案管理人員對于數(shù)據(jù)庫的精準篩查是保障數(shù)據(jù)庫準確性、穩(wěn)定性和完整性的前提條件。此外,建立檔案數(shù)據(jù)中心也是保障檔案信息安全的必要手段,隨著檔案數(shù)據(jù)信息的累計,檔案數(shù)據(jù)問題的不斷涌現(xiàn),以往的檔案數(shù)據(jù)中心由于設(shè)備落后、空間狹小、監(jiān)控缺乏,己不足以支撐檔案數(shù)據(jù)信息的安全,因此,檔案數(shù)據(jù)中心的建立應(yīng)該以運用現(xiàn)代化技術(shù)為標準,以提供快速化、自動化、管理集中化的服務(wù)。檔案管理部門要建立完整的檔案信息安全防護體系,必須根據(jù)檔案信息化工作實際情況,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)籌規(guī)劃,分步實施。信息安全面臨的問題很多,我們可以根據(jù)安全需求的輕重緩急,解決存在安全問題的信息安全,從技術(shù)的成熟度綜合考慮,分步實施。技術(shù)成熟能快速見效的安全系統(tǒng)先實施。
關(guān)鍵詞:等級保護;測評;信息安全;管理
中圖分類號:TP393
文獻標志碼:C
文章編號:1006-8228(2011)12-60-02
0 引言
信息安全等級保護作為國家信息安全工作的一項基本制度、基本國策,已經(jīng)在全國實行多年,各信息系統(tǒng)運營使用單位都深刻認識到等級保護制度的重要性。在我國信息安全等級保護制度中,等級保護分五個工作環(huán)節(jié)――定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查。其中,等級測評是等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標準,對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行的檢測評估活動,是信息安全等級保護工作的重要環(huán)節(jié)。
隨著等級保護工作的不斷推進,等級測評機構(gòu)的體系建設(shè)也在不斷深入,全國等級測評機構(gòu)的數(shù)量在不斷增加,測評機構(gòu)的品質(zhì)和能力、測評人員的水平和素質(zhì)、測評競爭環(huán)境等諸多方面的問題將不斷出現(xiàn)。因此,加強對等級測評機構(gòu)的合理、有效監(jiān)管,對提升測評行業(yè)質(zhì)量,保證測評數(shù)據(jù)公正、客觀,以及保障重點行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。
1 國家層面對測評機構(gòu)的監(jiān)管模式
測評工作作為等級保護制度中最重要工作環(huán)節(jié),具有明顯的專業(yè)性和技術(shù)性恃點,其政策導向性強。因此,僅有相關(guān)測評技術(shù)標準是不夠的,測評機構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。
2009年7月公安部開始信息安全等級保護測評體系建設(shè)試點工作,其目的是探索信息安全等級保護測評體系建設(shè)和管理的模式和經(jīng)驗,保證全國重要信息系統(tǒng)等級保護安全建設(shè)工作的順利開展。試點工作主要在浙江、重慶、河南、廣東等省市展開。其主要內(nèi)容是根據(jù)《信息安全等級保護管理辦法》和有關(guān)技術(shù)標準完成五個方面的工作:一是檢驗并完善等級測評機構(gòu)應(yīng)具備的條件;二是檢驗并完善等級測評機構(gòu)建設(shè)的主要內(nèi)容;三是檢驗并完善等級測評人員管理的主要內(nèi)容;四是檢驗并完善等級測評工作規(guī)范性要求的主要內(nèi)容;五是檢驗并完善測評機構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點工作情況分析,國家對等級保護測評機構(gòu)的監(jiān)管模式采用的是能力評估和政府干預相結(jié)合的模式。
從工作程序上分為四個步驟:
(1)各測評機構(gòu)向設(shè)區(qū)的市級以上所在地公安網(wǎng)安部門申請,公安網(wǎng)安部門根據(jù)《信息安全等級保護測評工作管理規(guī)范(試行)》對測評機構(gòu)所提交的申請材料進行審核,審核通過后,提交給上一級公安網(wǎng)安部門報批,并予以受理。
(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報的測評機構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級保護評估中心,由評估中心按照《信息安全等級測評機構(gòu)能力要求(試行)》對各測評機構(gòu)進行能力評估。能力評估通過后,由評估中心將能力評估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準。
(3)各省公安網(wǎng)安部門收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對測評機構(gòu)審核的意見及相關(guān)證書,下發(fā)給各地網(wǎng)安部門。
(4)公安部信息安全等級保護評估中心在網(wǎng)站上公布測評機構(gòu)名單,接受社會監(jiān)督。
能力評估的內(nèi)容和要求上,分為組織管理能力、測評實施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風險控制能力、可持續(xù)發(fā)展能力等七個方面和基本要求、約束性要求等兩個部分。
2 浙江省等級測評機構(gòu)現(xiàn)有監(jiān)管模式
浙江省信息等級保護工作一直處于國內(nèi)前列,2006年就頒布了《浙江省信息安全等級保護管理辦法》(省政府第223號令),并在同年開展了全國等級保護試點項目。通過多年積累的經(jīng)驗,2007年浙江省開始在測評機構(gòu)管理、測評工作模式等方面進行探索,初步形成具有浙江特色的等級保護測評機構(gòu)監(jiān)管模式。
(1)以社會協(xié)會管理為主,政府監(jiān)管為輔的管理模式
浙江省結(jié)合實際,政府層面出臺了《浙江省信息安全等級保護測評機構(gòu)管理規(guī)定(試行)》,明確了省內(nèi)從事等級測評工作的單位性質(zhì)、條件和義務(wù)等要素。社會協(xié)會層面出臺了《浙江省信息安全測評機構(gòu)資信等級評定管理辦法(試行)》實現(xiàn)測評機構(gòu)資信等級一、二級管理,形成測評機構(gòu)管理行業(yè)規(guī)范,變政府由市場參與主體向市場監(jiān)管主體轉(zhuǎn)變,由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預向間接宏觀調(diào)控轉(zhuǎn)變。
(2)建立以行業(yè)自律管理為主的監(jiān)管體系
嚴格測評機構(gòu)行業(yè)自律管理,測評機構(gòu)間簽署《信息安全等級保護測評機構(gòu)行業(yè)自律公約》,強化機構(gòu)自律化管理,進一步規(guī)范測評機構(gòu)行為和工作秩序。
(3)建立機構(gòu)統(tǒng)一管理標準,??貙彶闄C構(gòu)自身及人員能力建設(shè)
全省測評機構(gòu)必須按照“審核標準統(tǒng)一,管理規(guī)范標準統(tǒng)一、技術(shù)標準統(tǒng)一、測評工具標準統(tǒng)一、報告樣式標準統(tǒng)一”的五統(tǒng)一規(guī)范開展測評工作,并由政府組織機構(gòu)年審,設(shè)立準入準出機制。測評機構(gòu)的能力審查對測評過程中技術(shù)人員行為的規(guī)范性、合理性和程序標準性,對機構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定,規(guī)范申請、審核、查驗和推薦流程,組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對機構(gòu)背景、管理水平、資格和技術(shù)能力進行量化評價,作為推薦依據(jù)。同時,嚴格規(guī)范測評機構(gòu)工作程序,加強對機構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導,要求健全人員管理、項目管理、文檔管理、設(shè)備管理、保密制度等各項制度,要求制定《質(zhì)量手冊》、《程序文件》、《作業(yè)指導書》、《測評過程記錄表單》等測評實施過程文檔,完善測評實施規(guī)程。
全省機構(gòu)都已被要求必須獲得CMA中國計量認證,并被引導和鼓勵去獲得CNAS實驗室認證、ISO27001認證等。所有從業(yè)人員必須獲得初級以上“測評師”技術(shù)證書,測評工作中持證上崗。對測評從業(yè)人員要進行錄用考核、備案和背景審查等工作。
3 現(xiàn)有監(jiān)管模式的不足
在現(xiàn)行的測評機構(gòu)監(jiān)管模式中,我們側(cè)重于對測評機構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊成立、注冊資本多少、法人資格、公司已有的資質(zhì)、測評人員已獲得的技術(shù)認證等)的監(jiān)管;僅關(guān)注機構(gòu)是否已具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等制度,而對這些制度的落實情況及執(zhí)行情況缺乏有效監(jiān)督;對測評活動實施過程中的合法性,有效性問題缺乏必要的考量。
4 對測評機構(gòu)進行有效性監(jiān)管方法的探討
(1)對測評機構(gòu)的測評大綱實行報備審核
測評大綱應(yīng)是等級測評機構(gòu)的整體測評策略性文件,能綜合反映不同測評機構(gòu)從事等級測評活動的經(jīng)驗、知識、測評方法和測評程序?;趯Ρ粶y評單位的利益保護以及對測評機構(gòu)的監(jiān)管要求,測評大綱應(yīng)具有法律效力,須報公安機關(guān)審核備案后使用。測評機構(gòu)只有按照測評大綱中明確的指標嚴格檢測、測評,其測評結(jié)果才能真實地反映被測單位計算機信息
系統(tǒng)的安全狀況,為安全整改建設(shè)提供科學的依據(jù)和指南。
(2)對等級測評活動的各周期程序?qū)嵭斜O(jiān)督指導
等級測評流程分為四個階段:測評準備、方案編制、現(xiàn)場測評及報告編制,政府部門的督導工作須貫穿其中。如,在測評準備階段,為了避免測評小組成員和委托人之間存在利害關(guān)系,影響測評結(jié)果的公平、客觀、真實,測評機構(gòu)在確定測評小組成員名單后讓測評委托人確認簽字,確認書要留檔備查,未經(jīng)確認開展的項目測評報告不具有法律效力。方案編制中,必須明確測評對象、范圍、依據(jù)法律法規(guī)和標準、制定具體的測評檢查表,記錄文件要測評雙方簽字確認,方案和測評過程文檔應(yīng)留檔備查。現(xiàn)場測評中,測評小組必須使用可信、安全等級測評工具采集數(shù)據(jù),測評工具要向公安機關(guān)報備,現(xiàn)場測評要按照檢測程序全面檢測關(guān)鍵測評項,依據(jù)測評標準客觀、公正、準確評價,政府主管部門應(yīng)隨機駐點督查現(xiàn)場測評過程實施情況。測評報告反映的是被測評單位信息系統(tǒng)的安全保護現(xiàn)狀,應(yīng)具有法律效力,報告要使用標準模板,起草過程中測評機構(gòu)和測評人員應(yīng)當遵守國家的有關(guān)法律法規(guī),保守被測評單位秘密、保障被測單位利益,政府部門有必要明確測機構(gòu)及其工作人員的法律責任來規(guī)范其職業(yè)道德。測評機構(gòu)的測評結(jié)果直接對信息系統(tǒng)運營使用單位的建設(shè)、整改和運營成本,以及對監(jiān)管部門的行政監(jiān)管成本產(chǎn)生影響,也就是說,測評報告對國家和社會都會產(chǎn)生影響。因此,測評機構(gòu)要對自身的測評行為負責,政府主管部門將對機構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。
(3)對測評人員實行從錄用到離職的全程監(jiān)督
等級測評涉及用戶單位的核心業(yè)務(wù)系統(tǒng),是一項高技術(shù)的專業(yè)安全服務(wù),需要具有一定政治素質(zhì)、道德素質(zhì)和專業(yè)素質(zhì)的測評人員來支撐。管理應(yīng)進一步加大對測評人員的政治背景、從業(yè)背景、專業(yè)背景、技術(shù)素養(yǎng)的審查力度,建立完備測評人員檔案庫,考量測評機構(gòu)測評人員穩(wěn)定性,重點加大對離職測評人員的管控,明確保密條約,關(guān)注人員離職去向。
(4)制定測評機構(gòu)優(yōu)劣考量機制,促進誠信服務(wù)的企業(yè)文化
等級測評的執(zhí)行主體是測評機構(gòu),測評機構(gòu)的企業(yè)文化是否具有凝聚性,企業(yè)價值觀是否誠信,內(nèi)部管理模式是否健康,關(guān)乎其市場競爭力,更關(guān)乎測評機構(gòu)能否為信息系統(tǒng)安全等級保護工作提供安全、客觀、公正的檢測評估服務(wù)。因此,要求測評企業(yè)必須有一定的政治覺悟,要嚴格遵守國家有關(guān)法律法規(guī),要承擔社會責任和法律責任,不能唯利是圖。政府部門要定期開展管理評審,制定考量測評機構(gòu)優(yōu)劣評判標準,完善被測評單位滿意度反饋機制,建立機構(gòu)誠信狀況、信用狀況、評級結(jié)果等信息公開機制,將政府監(jiān)管和社會監(jiān)督結(jié)合起來,通過評星評級、市場退出和獎懲機制的建立,鼓勵誠信機構(gòu),懲戒不誠信機構(gòu),增加機構(gòu)不規(guī)范測評行為的風險成本。
(5)規(guī)范價格體系,推動測評機構(gòu)良性發(fā)展
等級測評是近兩年才興起的行業(yè),政府要引導建立良好的測評市場價格體系,借鑒其他行業(yè)自律的經(jīng)驗手段,避免惡性價格競爭,要保障等級測評有一定的利潤空間,以使得測評機構(gòu)能朝更專業(yè)、更具實力方向發(fā)展,充分調(diào)動測評機構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專業(yè)能力、測評人員素質(zhì)的內(nèi)在動力。
一、總體要求和目標
按照“全面檢查、嚴格督查、徹底整治”的總要求,確保全市學校安全形勢持續(xù)穩(wěn)定為目標,以更加堅決的態(tài)度、更加有力的行動和更加有效的措施,在全市各大中專院校、中小學校及幼兒園集中開展學校安全生產(chǎn)隱患大排查大整治行動督導檢查,全面落實學校安全生產(chǎn)責任,進一步提高學校安全保障水平,為我市教育發(fā)展和改革,為全國“兩會”順利召開提供堅強的安全穩(wěn)定基礎(chǔ)。
二、督查時間
2018年3月6日至14日
三、督查范圍
各縣(市、區(qū))教育局(文教體局),各級各類學校(含幼兒園)。
四、督查內(nèi)容
1.組織師生按時返校情況。教職員工是否及時到崗,學生是否按時返校。
2.落實學生資助政策情況。是否積極落實國家資助政策,是否出現(xiàn)學生因家庭經(jīng)濟困難而輟學。
3.實驗室及實習、實訓保障情況。高校實驗室、實習場所及其設(shè)施設(shè)備配置是否符合教學需要,運行維護是否符合國家規(guī)范。職業(yè)院校落實《職業(yè)學校學生實習管理規(guī)定》情況以及校內(nèi)實訓基地和校外實習基地條件是否滿足教學計劃需要,管理制度是否健全,“雙師型”教師是否滿足教育教學需要。
4.后勤保障情況。學校網(wǎng)絡(luò)、多媒體設(shè)備、教學終端等各種教學設(shè)施設(shè)備及生活設(shè)施設(shè)備是否經(jīng)過檢修維護,飲食、住宿、水電暖等各項后勤保障工作是否到位。
5.經(jīng)費保障機制落實情況。是否統(tǒng)一城鄉(xiāng)義務(wù)教育學校生均公用經(jīng)費基準定額并落實資金,是否對學生規(guī)模不足100人的村小學和教學點按100人核定公用經(jīng)費。是否落實高職生均撥款制度,是否采取措施保障今年生均財政撥款標準不低于12000元。
6.開學主題教育活動情況。是否認真落實《中小學生守則(2017年修訂)》,做到上墻、入屏,并開展愛學習、愛勞動、愛祖國“三愛”和節(jié)糧、節(jié)水、節(jié)電“三節(jié)”教育活動以及安全防范主題教育活動。高校是否做好新生心理健康狀況普查和心理危機排查工作。
7.各級各類學校開學條件保障和學校安全風險防控等工作情況,各縣(市、區(qū))教育行政部門和學校落實國家、省、市安全工作有關(guān)文件情況。
8、落實《關(guān)于做好全國“兩會”期間和新學期教育法治、學校安全穩(wěn)定工作的通知》和《關(guān)于轉(zhuǎn)發(fā)市安委辦<關(guān)于做好全國“兩會”和中央巡視組巡視xx期間安全生產(chǎn)工作的緊急通知>的通知》情況。
9.落實“黨政同責、一崗雙責、齊抓共管”和“安全工作崗位職責”情況。
10.開展安全隱患網(wǎng)格化管理,健全隱患排查治理機制,消除安全隱患情況。
11.校舍安全管理情況,是否建立中小學校校舍安全年檢制度,定期對校舍進行安全隱患排查,并將排查信息錄入全國中小學校校舍信息管理系統(tǒng),消除所有D級危房。高校是否建立危舊房屋排查整治臺賬,對D級危房是否及時封存并落實拆除措施。
12.學校食品與飲水衛(wèi)生安全管理情況。是否加強食品安全和衛(wèi)生防疫工作,不斷完善學校食品安全管理制度和食堂就餐環(huán)境。食堂證照是否齊全,場所、設(shè)備是否符合要求,是否落實物資采購、運輸儲藏、烹飪配餐、餐廚具消毒、食品留樣、食品添加劑管理等制度。自備水源、二次供水及直飲水設(shè)施、食堂蓄水池等是否清潔、消毒,是否進行水質(zhì)檢測。
13.宿舍安全管理情況,宿舍安排和設(shè)施設(shè)備是否符合標準,宿舍管理員配備和24小時在崗情況,宿舍值班、巡查、點名查鋪落實情況。
14. 學校“三防”建設(shè)落實情況。學校是否配齊必要的安全防護、應(yīng)急處置裝備,校園重點部位是否安裝視頻監(jiān)控。水、電、暖、氣設(shè)施設(shè)備、鍋爐及電梯等特種設(shè)備的安全管理情況,易燃易爆及危險化學品安全管理情況。
15.消防設(shè)施、滅火器材、消防安全標識,校園疏散通道、安全出口是否符合要求。是否強化校園消防安全防控,進行電器火災(zāi)綜合治理,落實消防安全責任制,定期檢查消防設(shè)施和器材配置及完好有效情況,組織開展消防演練和應(yīng)急疏散演練。
16.學校日常安全管理、門衛(wèi)管理、校園網(wǎng)絡(luò)、集體活動管理情況。是否采取措施有效防止校園擁擠踩踏事故,維持好高峰時段學生上下樓秩序。
17. 校車安全管理。是否制定《校車安全管理條例》實施辦法和省級校車服務(wù)方案,校車管理機構(gòu)及協(xié)調(diào)工作機制是否健全。是否存在使用拼裝車、報廢車、未取得校車使用許可車輛接送學生,以及未取得校車駕駛資格人員駕駛校車、超速、超員、不按許可路線行駛等違法行為。是否按照要求設(shè)置校車站點,校車運營是否按照耍求落實各項安全管理制度,學校門口道路是否設(shè)置警示牌、減震帶。是否針對不同季節(jié)交通安全特點,完善事故應(yīng)急處置預案,開展事故逃生演練和應(yīng)急處置演練。
18.安全教育課“五落實”情況,防溺水、防食物中毒、防火、防交通事故、防校園暴力和欺凌、防重污染天氣、防自然災(zāi)害、防用電事故、防踩踏、防、防傳染病、心理健康及生理健康等安全宣傳教育情況,開展安全演練情況。
19.學校安全風險防范救助機制建設(shè)情況。
20.高校校園安全穩(wěn)定情況。是否落實反恐怖工作責任制要求,強化反恐防范知識宣傳教育,全面清繳恐怖音視頻,完善反恐防范工作預案,強化應(yīng)急處突工作準備,加強網(wǎng)絡(luò)安全和輿情引導,確保高校安全穩(wěn)定。是否加強高校實驗室安全管理,構(gòu)建由學校、二級單位、實驗室組成的三級聯(lián)動的安全管理責任體系,建立實驗室全生產(chǎn)周期安全運行機制,建立實驗室安全準入制度,開展實驗室重大危險源專項定期檢查,開展實驗室安全應(yīng)急能力建設(shè),建立實驗室安全年度報告制度等,及時消除安金隱患。
21.防范非法入侵校園導致學生傷亡情況。是否制定健全輿情信息分析安全預警快速反應(yīng)和排查化解聯(lián)動處置機制和工作責任制,是否加強安全保衛(wèi)工作隊伍建設(shè),是否定期開展安全應(yīng)急演練工作,是否經(jīng)常性對師生開展反警示教育。
22. 校園欺凌和暴力治理情況。是否集中對學生開展以校園欺凌治理為主題的專題教育,是否建立學校安全風險預防、管控與處置制度和工作機制,是否制定完善安全預警快速反應(yīng)和聯(lián)動處置機制,形成防治學生欺凌和暴力的工作合力。
23.校園周邊綜合防控工作開展情況。警校聯(lián)動機制是否建立,校園周邊公安機關(guān)高峰勤務(wù)、“護學崗”和群防群治機制是否健全,校園周邊警務(wù)室民警是否經(jīng)常到校溝通聯(lián)系、指導工作,教育行政部門是否經(jīng)常協(xié)調(diào)有關(guān)部門對校園及周邊治安亂點和重點隱患進行專項排查整改,非法出版物、網(wǎng)吧、娛樂場所、危險玩具銷售整治,加強校園及周邊治安環(huán)境綜合治理工作。
五、督查分組
按照我局聯(lián)系縣、校制度和安全工作“一崗雙責”要求,市教育局成立14個督查組,各局領(lǐng)導班子成員任組長,帶領(lǐng)分管處室、直屬事業(yè)單位負責人,對所聯(lián)系縣(市、區(qū))(至少抽查三所學校)和分包學校進行督查。各督查組第一名成員為本組聯(lián)系人。
六、工作要求
各縣(市、區(qū))教育行政部門和各級各類學校要立即再開展一次自查,做到全覆蓋。要針對以上督查內(nèi)容逐條對照,對排查出現(xiàn)的問題及時整改。