導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇房建安全風(fēng)險(xiǎn)評估，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

1.前言

建筑業(yè)是危險(xiǎn)性較大的行業(yè)之一，安全生產(chǎn)管理的任務(wù)十分艱巨，安全生產(chǎn)不僅關(guān)系到廣大群眾的根本利益，也關(guān)系到企業(yè)的形象，還關(guān)系到國家和民族的形象，甚至影響著社會的穩(wěn)定和發(fā)展。黨的十六屆五中全會確立了“安全生產(chǎn)”的指導(dǎo)原則，我國“十一五”發(fā)展規(guī)劃中首次提出了“安全發(fā)展”的新理念。所有這些表明，安全生產(chǎn)已成為生產(chǎn)經(jīng)營活動的基本保障，更是當(dāng)前建筑工程行業(yè)管理的首要目標(biāo)。

風(fēng)險(xiǎn)評估的目的是為了全面了解建設(shè)安全的總體安全狀況，并明確掌握系統(tǒng)中各資產(chǎn)的風(fēng)險(xiǎn)級別或風(fēng)險(xiǎn)值，從而為工程安全管理措施的制定提供參考。因此可以說風(fēng)險(xiǎn)評估是建立安全管理體系（ISMS）的基礎(chǔ)，也是前期必要的工作。風(fēng)險(xiǎn)評估包括兩個過程：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)[1][2]。風(fēng)險(xiǎn)分析是指系統(tǒng)化地識別風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)類型，風(fēng)險(xiǎn)評價(jià)是指按給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)嚴(yán)重性。

2.風(fēng)險(xiǎn)評估模型與方法

風(fēng)險(xiǎn)評估安全要素主要包括資產(chǎn)、脆弱性、安全風(fēng)險(xiǎn)、安全措施、安全需求、殘余風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)評估的過程中要對以上方面的安全要素進(jìn)行識別、分析。

2.1 資產(chǎn)識別與賦值

一個組織的信息系統(tǒng)是由各種資產(chǎn)組成，資產(chǎn)的自身價(jià)值與衍生價(jià)值決定信息系統(tǒng)的總體價(jià)值。資產(chǎn)的安全程度直接反映信息系統(tǒng)的安全水平。因此資產(chǎn)的價(jià)值是風(fēng)險(xiǎn)評估的對象。

本文的風(fēng)險(xiǎn)評估方法將資產(chǎn)主要分為硬件資產(chǎn)、軟件資產(chǎn)、文檔與數(shù)據(jù)、人力資源、信息服務(wù)等[1][2]。建設(shè)工程的資產(chǎn)主要體現(xiàn)在建筑產(chǎn)品、施工人員、施工機(jī)械等。

風(fēng)險(xiǎn)評估的第一步是界定ISMS的范圍，并盡可能識別該范圍內(nèi)對業(yè)務(wù)過程有價(jià)值的所有事物。

資產(chǎn)識別與賦值階段主要評價(jià)要素為{資產(chǎn)名稱、責(zé)任人、范圍描述、機(jī)密性值C、完整性值I、可用性值A(chǔ)、QC、QI、QA}。QC、QI、QA分別為保密性，完整性，可用性的權(quán)重，QC=C / （C+I+A），QI、QA類似。

2.2 識別重要資產(chǎn)

信息系統(tǒng)內(nèi)部的資產(chǎn)很多，但決定工程安全水平的關(guān)鍵資產(chǎn)是相對有限的，在風(fēng)險(xiǎn)評估中可以根據(jù)資產(chǎn)的機(jī)密性、完整性和可用性這三個安全屬性來確定資產(chǎn)的價(jià)值。

通常，根據(jù)實(shí)際經(jīng)驗(yàn)，三個安全屬性中最高的一個對最終的資產(chǎn)價(jià)值影響最大。換而言之，整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加，較高的屬性值具有較大的權(quán)重。

在風(fēng)險(xiǎn)評估方法中使用下面的公式來計(jì)算資產(chǎn)價(jià)值：

資產(chǎn)價(jià)值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表機(jī)密性賦值；I代表完整性賦值；A代表可用性賦值；Round{}表示四舍五入。

從上述表達(dá)式可以發(fā)現(xiàn)：三個屬性值每相差一，則影響相差兩倍，以此來體現(xiàn)最高安全屬性的決定性作用。在實(shí)際評估中，常常選擇資產(chǎn)價(jià)值大于25的為重要資產(chǎn)。

2.3 威脅與脆弱性分析

識別并評價(jià)資產(chǎn)后，應(yīng)識別每個資產(chǎn)可能面臨的威脅。在識別威脅時(shí)，應(yīng)該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷。需要注意的是，一項(xiàng)資產(chǎn)可能面臨多個威脅，而一個威脅也可能對不同的資產(chǎn)造成影響。

識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，即所謂的威脅源或威脅。建筑企業(yè)的威脅源主要是四個方面：人的不安全行為，物的不安全因素、環(huán)境的不安全因素、管理的不安全因素。

識別資產(chǎn)面臨的威脅后，還應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或概率。評估威脅可能性時(shí)有兩個關(guān)鍵因素需要考慮：威脅動機(jī)和威脅能力。威脅源的能力和動機(jī)可以用極低、低、中等、高、很高（1、2、3、4、5）這五級來衡量。脆弱性，即可被威脅利用的弱點(diǎn)，識別主要以資產(chǎn)為核心，從技術(shù)和管理兩個方面進(jìn)行。在評估中可以分為五個等級：幾乎無（1）、輕微（2）、一般（3）、嚴(yán)重（4）、非常嚴(yán)重（5）。在風(fēng)險(xiǎn)評估中，現(xiàn)有安全措施的識別也是一項(xiàng)重要工作，因?yàn)樗彩菦Q定資產(chǎn)安全等級的一個重要因素。我們要在分析安全措施效力的基礎(chǔ)上，確定威脅利用脆弱性的實(shí)際可能性。

2.4 綜合風(fēng)險(xiǎn)值

資產(chǎn)的綜合風(fēng)險(xiǎn)值是以量化的形式來衡量資產(chǎn)的安全水平。在計(jì)算風(fēng)險(xiǎn)值時(shí)，以威脅最主要影響資產(chǎn)C、I、A三安全屬性所對應(yīng)的系數(shù)QC、QI、QA為權(quán)重。計(jì)算方法為：

威脅的風(fēng)險(xiǎn)值（RT）=威脅的影響值（I）×威脅發(fā)生的可能性（P）；

2.5 風(fēng)險(xiǎn)處理

通過前面的過程，我們得到資產(chǎn)的綜合風(fēng)險(xiǎn)值，根據(jù)組織的實(shí)際情況，和管理層溝通后劃定臨界值來確定被評估的風(fēng)險(xiǎn)結(jié)果是可接收還是不可接收的。

對于不可接收的風(fēng)險(xiǎn)按風(fēng)險(xiǎn)數(shù)值排序或通過區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級，對于風(fēng)險(xiǎn)級別高的資產(chǎn)應(yīng)優(yōu)先分配資源進(jìn)行保護(hù)。

對于不可接收的風(fēng)險(xiǎn)處理方法有四種[3]：

1）風(fēng)險(xiǎn)回避，組織可以選擇放棄某些業(yè)務(wù)或資產(chǎn)，以規(guī)避風(fēng)險(xiǎn)。是以一定的方式中斷風(fēng)險(xiǎn)源，使其不發(fā)生或不再發(fā)展，從而避免可能產(chǎn)生的潛在損失。例如投標(biāo)中出現(xiàn)明顯錯誤或漏洞，一旦中標(biāo)損失巨大，可以選擇放棄中標(biāo)的原則，可能會損失投標(biāo)保證金，但可避免更大的損失。

2） 降低風(fēng)險(xiǎn)：實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接收的程度，實(shí)際上就是設(shè)法減少威脅發(fā)生的可能性和帶來的影響，途徑包括：

a.減少威脅：例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性：例如，通過安全教育和意識培訓(xùn)，強(qiáng)化員工的安全意識等。

c.降低影響：例如災(zāi)難計(jì)劃，把風(fēng)險(xiǎn)造成的損失降到最低。

d.監(jiān)測意外事件、響應(yīng)，并恢復(fù)：例如應(yīng)急計(jì)劃和預(yù)防計(jì)劃，及時(shí)發(fā)現(xiàn)出現(xiàn)的問題。

3）轉(zhuǎn)移風(fēng)險(xiǎn)：將風(fēng)險(xiǎn)全部或者部分轉(zhuǎn)移到其他責(zé)任方，是建筑行業(yè)風(fēng)險(xiǎn)管理中廣泛采用的一項(xiàng)對策，例如，工程保險(xiǎn)和合同轉(zhuǎn)移是風(fēng)險(xiǎn)轉(zhuǎn)移的主要方式。

4）風(fēng)險(xiǎn)自留： 適用于別無選擇、期望損失不嚴(yán)重、損失可準(zhǔn)確預(yù)測、企業(yè)有短期內(nèi)承受最大潛在損失的能力、機(jī)會成本很大、內(nèi)部服務(wù)優(yōu)良的風(fēng)險(xiǎn)。

選擇風(fēng)險(xiǎn)處理方式，要根據(jù)組織運(yùn)營的具體業(yè)務(wù)環(huán)境與條件來決定，總的原則就是控制措施要與特定的業(yè)務(wù)要求匹配。最佳實(shí)踐是將合適的技術(shù)、恰當(dāng)?shù)娘L(fēng)險(xiǎn)消減策略，以及管理規(guī)范有機(jī)結(jié)合起來，這樣才能達(dá)到較好的效果。

通過風(fēng)險(xiǎn)處理后，并不能絕對消除風(fēng)險(xiǎn)，仍然存在殘余風(fēng)險(xiǎn)：

殘余風(fēng)險(xiǎn)Rr =原有的風(fēng)險(xiǎn)Ro-控制R

目標(biāo)：殘余風(fēng)險(xiǎn)Rr≤可接收的風(fēng)險(xiǎn)Rt，力求將殘余風(fēng)險(xiǎn)保持在可接受的范圍內(nèi)，對殘余風(fēng)險(xiǎn)進(jìn)行有效控制并定期評審。

主要評估兩方面：不可接受風(fēng)險(xiǎn)處理計(jì)劃表，主要評價(jià)要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點(diǎn)、已有控制措施、風(fēng)險(xiǎn)處理方式、優(yōu)先處理等級、風(fēng)險(xiǎn)處理措施、處理人員、完成日期}；殘余風(fēng)險(xiǎn)評估表，主要評價(jià)要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點(diǎn)、已有控制措施、增加的控制措施、殘余威脅發(fā)生可能性、殘余威脅影響程度、殘余風(fēng)險(xiǎn)值}。

2.6 風(fēng)險(xiǎn)評估報(bào)告

在風(fēng)險(xiǎn)評估結(jié)束后，經(jīng)過全面分析研究，應(yīng)提交詳細(xì)的《安全風(fēng)險(xiǎn)評估報(bào)告》，報(bào)告應(yīng)該包括[4]：

1） 概述，包括評估目的、方法、過程等。

2） 各種評估過程文檔，包括重要資產(chǎn)清單、安全威脅和脆弱性清單、現(xiàn)有控制措施的評估等級，最終的風(fēng)險(xiǎn)評價(jià)等級、殘余風(fēng)險(xiǎn)處理等。

3）推薦安全措施建議。

3.結(jié)論

目前仍有相當(dāng)一部分施工現(xiàn)場存在各種安全隱患，安全事故層出不群，不僅給人們帶來劇痛的傷亡和財(cái)產(chǎn)損失，還給社會帶來不穩(wěn)定的因素。風(fēng)險(xiǎn)評估是工程安全領(lǐng)域中的一個重要分支，涉及到計(jì)算機(jī)科學(xué)、管理學(xué)、建筑工程安全技術(shù)與管理等諸多學(xué)科，本文的評估方法綜合運(yùn)用了定性、定量的手段來確定建設(shè)工程中各個安全要素，最終衡量出建設(shè)工程的安全狀況與水平，為建立安全管理體系ISMS提供基礎(chǔ)，對建設(shè)工程的風(fēng)險(xiǎn)評估具有一定的借鑒意義。

參考文獻(xiàn)：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

篇2

中圖分類號：F530 文獻(xiàn)標(biāo)識碼：A

1 控制物的安全狀態(tài)和人的安全行為

1.1工器具預(yù)檢嚴(yán)密，設(shè)備設(shè)施安全管理措施到位

第一，定期檢測工器具的安全性能，前移安全關(guān)口。檢修公司成立工器具檢驗(yàn)中心，有效加強(qiáng)了電力檢修常用工器具的檢驗(yàn)，中心成立至今已完成兩萬多件工器具檢驗(yàn)，嚴(yán)格把好工器具的進(jìn)場關(guān)。第二，設(shè)備設(shè)施進(jìn)行升級改造，改善電力檢修的安全生產(chǎn)環(huán)境，結(jié)合兄弟電力企業(yè)近年來的事故發(fā)生情況，對檢修設(shè)備所有機(jī)械轉(zhuǎn)動部分加裝防護(hù)罩，減少機(jī)械傷害；在觸電方面通過改造電氣保護(hù)、繼電保護(hù)等減少觸電傷害；通過對工作面進(jìn)行改造，增設(shè)作業(yè)平臺，增設(shè)防護(hù)網(wǎng)，減少高空墜落和高空落物的傷害等等，通過一系列的改造及時(shí)消除安全隱患。

1.2控制人的不安全行為

1.2.1培訓(xùn)教育措施落實(shí)到位，安全意識與技能不斷提高

第一，堅(jiān)持定期開展安全活動，通過學(xué)習(xí)，吸取事故教訓(xùn)，杜絕發(fā)生人身和設(shè)備事故。第二，修前開展檢修規(guī)程、文件包的培訓(xùn)，提高參修人員安健環(huán)意識，掌握修前機(jī)組狀態(tài)，貫徹“應(yīng)修必修、修必修好”，確保機(jī)組檢修后安全穩(wěn)定運(yùn)行。第三，每年組織全體員工進(jìn)行相關(guān)安全生產(chǎn)規(guī)章制度學(xué)習(xí)培訓(xùn)，考核合格。第四，全員參與觸電急救，消防器材使用培訓(xùn)，考核合格。第五，公司建立安全學(xué)習(xí)室，利用歷次大小修違章圖片，對參修人員進(jìn)行培訓(xùn)，達(dá)到提高進(jìn)步。第六，針對生產(chǎn)重點(diǎn)難點(diǎn)，開展檢修技能競賽，以賽促培，不斷提高員工的檢修技能水平。

1.2.2強(qiáng)化現(xiàn)場安健環(huán)管理，實(shí)時(shí)監(jiān)督指導(dǎo)提高

檢修過程中進(jìn)行安健環(huán)巡查監(jiān)督，巡查人員劃分責(zé)任區(qū)域，對發(fā)現(xiàn)不規(guī)范行為以當(dāng)面批評說服教育為主，考核為輔的手段，對重復(fù)出現(xiàn)違章則從重處罰。定期進(jìn)行安健環(huán)管理的分析與回顧，在大小修期間每周出版一期安健環(huán)簡報(bào)，曝光違章現(xiàn)象，獎勵表揚(yáng)先進(jìn)，促進(jìn)現(xiàn)場安健環(huán)管理的提高。借鑒沙A管理經(jīng)驗(yàn)，在工地機(jī)組大修中實(shí)行優(yōu)質(zhì)項(xiàng)目評比活動。

1.2.3積極推進(jìn)創(chuàng)建星級班組建設(shè)，夯實(shí)基層管理基礎(chǔ)

班組嚴(yán)格執(zhí)行班前班后會制度，班前會“交任務(wù)、交風(fēng)險(xiǎn)、交措施”，工作中“查措施落實(shí)、查精神狀態(tài)，查個人防護(hù)品佩帶”，班后會總結(jié)當(dāng)天工作和安全情況，“評任務(wù)完成情況，評工作中的安全狀況，評安全措施的執(zhí)行情況”。將星級班組創(chuàng)建與月度績效考核掛鉤，實(shí)行動態(tài)考核機(jī)制。星級班組工作小組每月定期檢查生產(chǎn)班組，對存在問題提出整改意見，并指導(dǎo)督促整改。開展班組差距分析，對差距存在的問題舉一反三，逐項(xiàng)整改。樹立本部與工地的班組建設(shè)標(biāo)桿，相互交流學(xué)習(xí)，共同提高進(jìn)步。目前，本部生產(chǎn)班組已全部達(dá)到四星級水平，駐沙C的生產(chǎn)班組80%以上達(dá)到沙C 09年評比的四星級水平。

2 全方位加強(qiáng)安全管理措施

2.1加大安全生產(chǎn)投入，營造良好的安全環(huán)境

要搞好安全生產(chǎn)，就必須根據(jù)生產(chǎn)需要加大安全費(fèi)用的投入，首先，從設(shè)備設(shè)施進(jìn)行升級改造，改善電力檢修的安全生產(chǎn)環(huán)境，結(jié)合兄弟電力企業(yè)近年來的事故發(fā)生情況，對檢修設(shè)備所有機(jī)械轉(zhuǎn)動部分加裝防護(hù)罩，減少機(jī)械傷害；在觸電方面通過改造電氣保護(hù)、繼電保護(hù)等減少觸電傷害；通過對工作面進(jìn)行改造，增設(shè)作業(yè)平臺，增設(shè)防護(hù)網(wǎng)，減少高空墜落和高空落物的傷害等等。通過一系列的改造及時(shí)消除安全隱患。其次，組織各種各樣的安全活動，不斷提升安全意識。如開展安全知識競賽、安全活動月、應(yīng)急演習(xí)、個人防護(hù)用品培訓(xùn)等等，以提升人員的安全意識。

2.2 加強(qiáng)班組安全建設(shè)，用6S管理不斷夯實(shí)班組安全基礎(chǔ)

第一，先對班組的工器具進(jìn)行整理，班組所有的工器具統(tǒng)一集中工器具倉庫管理，需要使用時(shí)到倉庫借用，由倉庫組織維護(hù)保養(yǎng)，所有工具形成共享，從源頭控制不合格工器具進(jìn)入檢修現(xiàn)場，班組只余留必備的輕便的少量工具放置，既節(jié)省人力物力，又空出班房的空間。第二，將班組人員從許多記錄本中解脫出來，用網(wǎng)上班組管理系統(tǒng)的“一本通”代替了許多流于形式的記錄本，此班組管理系統(tǒng)包括班組工作日記、培訓(xùn)記錄、安健環(huán)學(xué)習(xí)、安健環(huán)管理等內(nèi)容，實(shí)施了網(wǎng)絡(luò)“一本通”，班組成員減少了許多繁瑣的文字工作，將精力放到實(shí)際工作中，用更多的時(shí)間查找工作中存在的問題，進(jìn)而解決問題，逐步實(shí)施班組電子化文檔管理。第三，營造整潔干凈的班房班貌，將一些無用殘舊的物件進(jìn)行清理，適用的修理翻新，根據(jù)地勢合理擺放，休息室和工具房分開。工器具擺放整齊貼上標(biāo)識，一個整潔干凈的班房任何人都是喜歡的，員工的心情舒暢，自然就少犯錯。第四，夯實(shí)班組風(fēng)險(xiǎn)管理，NOSA系統(tǒng)的核心也就是風(fēng)險(xiǎn)管理，NOSCAR等級對班組的風(fēng)險(xiǎn)評估要求更細(xì)更實(shí)。要求班組根據(jù)工作實(shí)際存在的作業(yè)風(fēng)險(xiǎn)班組成員進(jìn)行學(xué)習(xí)討論，評出作業(yè)風(fēng)險(xiǎn)等級，風(fēng)險(xiǎn)等級為2級及以上的工作要形成風(fēng)險(xiǎn)工作清單，根據(jù)清單編寫作業(yè)文件包及書面安全工作程序（WSWP），形成文件指導(dǎo)現(xiàn)場作業(yè)，控制作業(yè)風(fēng)險(xiǎn)，這是一個閉環(huán)過程：辨識危險(xiǎn)源——分析風(fēng)險(xiǎn)——風(fēng)險(xiǎn)評估——風(fēng)險(xiǎn)控制——有計(jì)劃工作觀察或安健環(huán)事件——查找存在不足（安全措施是否充分）——修改風(fēng)險(xiǎn)評估。通過不斷循環(huán)改進(jìn)，逐步形成結(jié)合實(shí)際的現(xiàn)場檢修風(fēng)險(xiǎn)管理。第五，培養(yǎng)員工形成良好的NOSCAR安健環(huán)行為，對班組成員不斷進(jìn)行安健環(huán)培訓(xùn)教育，要求從低到高，一步一步提高，檢查考核也從寬松到嚴(yán)格，經(jīng)過一段時(shí)間實(shí)施，員工自覺就形成良好的安健環(huán)行為習(xí)慣。

結(jié)語

安全責(zé)任重于泰山，企業(yè)不僅在控制物和人方面做好以上管理措施，也要不斷完善各種安全管理措施，全方位保障安全生產(chǎn)、防范安全事故。使企業(yè)在同行業(yè)競爭中永立于不敗之地。

篇3

HSE是健康（Health）、安全（Safety）和環(huán)境（Environment）三位一體的管理體系， 是一個持續(xù)循環(huán)和不斷改進(jìn)的結(jié)構(gòu)，它由若干個要素組成。關(guān)鍵要素有領(lǐng)導(dǎo)和承諾，方針和戰(zhàn)略目標(biāo)，組織機(jī)構(gòu)、資源和文件，風(fēng)險(xiǎn)評估和管理，規(guī)劃，實(shí)施和監(jiān)測，評審和審核等。而各要素之間也不是孤立的。這些要素中，領(lǐng)導(dǎo)和承諾是核心，方針和戰(zhàn)略目標(biāo)是方向，組織機(jī)構(gòu)、資源和文件作為支持；規(guī)劃、實(shí)施、檢查、改進(jìn)（PDCA）是循環(huán)鏈過程。船級社不同于一般石油化工企業(yè)，在其運(yùn)作過程中存在著特殊的安全和環(huán)保特點(diǎn)，HSE管理體系將滲透到船級社各個層面的現(xiàn)場檢驗(yàn)活動、辦公場所以及日常工作和生活的方方面面，除了各級領(lǐng)導(dǎo)重視、目標(biāo)方針制定、專人負(fù)責(zé)和全員參與外，更要對以下幾個點(diǎn)進(jìn)行關(guān)注和控制。

首先，危害識別和風(fēng)險(xiǎn)控制是HSE管理核心所在，是進(jìn)行HSE管理的一個基礎(chǔ)。而對于船級社而言，工作中存在的主要危害來源包括驗(yàn)船師在現(xiàn)場檢驗(yàn)過程中的安全和環(huán)保問題、管理層、審圖驗(yàn)船師和規(guī)范科研人員所在的辦公場地所提供的工作環(huán)境的安全和環(huán)保問題，同時(shí)還有外包合同中發(fā)生的一些問題。

借鑒于一些國外先進(jìn)船級社的管理模式，危害的識別可以針對不同的工作種類和場地分別通過風(fēng)險(xiǎn)矩陣進(jìn)行排序，例如：在現(xiàn)場檢驗(yàn)工作中可以根據(jù)發(fā)生概率和后果的乘積篩選出高空作業(yè)、封閉處所檢驗(yàn)、狹窄空間檢驗(yàn)、輻射場所、空中墜落、機(jī)械傷害、觸電/高壓、火災(zāi)爆炸事故、有害有毒化學(xué)品泄漏等的風(fēng)險(xiǎn)等級，制定出防控措施以及應(yīng)急反應(yīng)計(jì)劃，如檢驗(yàn)人員職業(yè)安全和健康指南、勞動保護(hù)用品及檢驗(yàn)設(shè)備配備的規(guī)定以及應(yīng)急預(yù)案等文件以降低人員傷亡事故的發(fā)生。鑒于現(xiàn)場驗(yàn)船師的工作場所與船廠、產(chǎn)品制造商、承包方等單位密切相關(guān)，同時(shí)也要求他們遵守各單位的規(guī)章制度，積極參與和配合各單位組織的消防等安全演練，熟悉各類船舶及海上設(shè)施的逃生路線，確保自身的健康和安全。同樣的，在辦公室工作的其他人員也應(yīng)熟悉辦公大樓的結(jié)構(gòu)，定期在指定的負(fù)責(zé)火災(zāi)事故疏導(dǎo)的專人負(fù)責(zé)下進(jìn)行有序的撤離演習(xí)。

第二，船級社應(yīng)做好風(fēng)險(xiǎn)評估的動態(tài)管理工作，定期進(jìn)行內(nèi)部審核和管理評審。采用風(fēng)險(xiǎn)矩陣方法對船級社日常運(yùn)行和工作所涉及的危害進(jìn)行識別是一個不間斷的過程，不是在體系建立之初進(jìn)行一次就可以一勞永逸的事，而是一個動態(tài)管理的過程。定期對以往的管理進(jìn)行總結(jié)，確定風(fēng)險(xiǎn)削減措施和評價(jià)風(fēng)險(xiǎn)控制措施的有效性，找出優(yōu)勢和不足，對國外船級社和同行工作中曾經(jīng)發(fā)生的一些健康安全事故開展調(diào)查，根據(jù)風(fēng)險(xiǎn)評估的結(jié)論，結(jié)合自身的實(shí)際情況，制定新的具體的預(yù)防危險(xiǎn)和控制風(fēng)險(xiǎn)的措施，編制出風(fēng)險(xiǎn)評估報(bào)告，同時(shí)按照HSE管理體系文件的要求，結(jié)合船級社各部門制定的HSE實(shí)施程序，定期或在新的情況發(fā)生時(shí)嚴(yán)格進(jìn)行HSE管理體系內(nèi)部審核和必要的管理評審，完善體系、找出體系運(yùn)行中存在的問題，積極采取糾正和預(yù)防措施，不斷提高管理水平。

隨著造船新技術(shù)新工藝新材料的開發(fā)和應(yīng)用，特別是綠色造船技術(shù)的倡導(dǎo)和發(fā)展，船級社面臨著很大的挑戰(zhàn)，不僅要求不斷地制定出環(huán)保的新法規(guī)，新規(guī)范，而且也對檢驗(yàn)人員提出了新的考驗(yàn)，科學(xué)地識別出與船級社的驗(yàn)船師以及員工的業(yè)務(wù)活動相關(guān)的危害、影響和隱患，或者每隔一段時(shí)間就應(yīng)該重新進(jìn)行一次風(fēng)險(xiǎn)評估，為進(jìn)行現(xiàn)場檢驗(yàn)工作的驗(yàn)船師提供必要的檢測設(shè)備和防護(hù)措施，減低工傷風(fēng)險(xiǎn)，為一線檢驗(yàn)人員提供健康和安全的工作環(huán)境和條件。

第三，船級社應(yīng)加強(qiáng)員工在日常工作生活中的風(fēng)險(xiǎn)安全意識和環(huán)保自律性，針對驗(yàn)船師和各類檢驗(yàn)人員經(jīng)常外出工作活動的特點(diǎn)，對新進(jìn)員工進(jìn)行安全和環(huán)保培訓(xùn)，杜絕酒駕、疲勞駕駛等違規(guī)的行為，自覺地遵守國家相關(guān)的安全法規(guī)和船級社自身編制的交通安全規(guī)定以及各項(xiàng)勞動紀(jì)律，提高員工自身素養(yǎng)和社會責(zé)任感，把安全和環(huán)保的理念帶到平時(shí)的檢驗(yàn)工作中，在社會上維護(hù)船級社的聲譽(yù)。同時(shí)，在實(shí)施船舶、海上設(shè)施及各類產(chǎn)品等規(guī)范的編制、審圖和現(xiàn)場檢驗(yàn)工作中，應(yīng)充分注意其安全性和環(huán)保性，尤其是涉及大氣污染物、污水、固體廢棄物的排放、噪聲控制、有害有毒材料、物質(zhì)的使用、原材料和產(chǎn)品的環(huán)境因素、能源和資源的使用以及各類對生態(tài)造成破壞的環(huán)境因素的方面，利用自身科研力量的優(yōu)勢，積極牽頭組織設(shè)計(jì)單位、船廠、產(chǎn)品供應(yīng)商等單位進(jìn)行專題研究，編寫各類綠色船舶與船舶能效設(shè)計(jì)指數(shù)（EEDI）驗(yàn)證方面的規(guī)范和指南，認(rèn)真按照國際海事組織制定的各類安全公約和防污公約要求以及船級社的法規(guī)和規(guī)范規(guī)定，嚴(yán)格把關(guān)，不僅應(yīng)為業(yè)主、船廠和產(chǎn)品廠提供技術(shù)方面的支持和指導(dǎo)，而且還應(yīng)對維護(hù)和改善安全作業(yè)的條件和環(huán)境負(fù)責(zé)，為在造船行業(yè)中倡導(dǎo)綠色船舶的建造發(fā)揮作用。

例如：在對位于渤海灣海域的旅大油田的海上石油生產(chǎn)儲油平臺（PSP）設(shè)施進(jìn)行設(shè)計(jì)審查時(shí)，船級社發(fā)現(xiàn)鑒于渤海灣冬季寒冷、風(fēng)力大的氣候特性，為了保障操作人員的舒適性，有業(yè)主建議在作業(yè)平臺上安裝擋風(fēng)墻，但同時(shí)又必須考慮到生產(chǎn)的安全性，尤其不能對平臺設(shè)施的本質(zhì)安全性和通風(fēng)造成任何影響，在與業(yè)主、設(shè)計(jì)單位、建造廠等各方的研究和協(xié)調(diào)下，船級社積極參與了結(jié)構(gòu)安全風(fēng)險(xiǎn)評估與對可燃?xì)怏w發(fā)生泄漏具體擴(kuò)散情況的模擬分析和論證，最后通過加裝可燃?xì)怏w泄漏探頭以測量擴(kuò)散濃度、在爆炸可能性高的設(shè)備區(qū)域減少擋風(fēng)墻面積保證能量釋放等方法確保整個平臺的安全生產(chǎn)，彌補(bǔ)了國內(nèi)外的一項(xiàng)空白。

再如，某船廠在對鋼材表面進(jìn)行噴涂作業(yè)中，外包操作工人沒有佩帶適當(dāng)?shù)姆雷o(hù)面罩或任何防護(hù)設(shè)備，現(xiàn)場驗(yàn)船師發(fā)現(xiàn)后有必要及時(shí)地與相關(guān)的安全生產(chǎn)部門溝通并提出停工整改，要求其嚴(yán)格按照勞動保護(hù)手冊，配備好防護(hù)用品后再進(jìn)行工作。這種檢驗(yàn)過程中保持對工作環(huán)境和他人健康負(fù)責(zé)的態(tài)度能充分體現(xiàn)一個船級社的附加增值作用，是值得提倡的。

第四，辦公場地的布置也應(yīng)注意到安全和環(huán)保的問題，應(yīng)建立辦公場所安全管理制度，編制各類事件發(fā)生的應(yīng)急預(yù)案，尤其要針對辦公場所的消防、環(huán)保、計(jì)算機(jī)房安全等，并組織實(shí)施，一些租用的辦公室還應(yīng)與物業(yè)服務(wù)單位簽訂合同，定期對安全管理的內(nèi)容進(jìn)行監(jiān)督管理。如在大樓的各個樓層設(shè)置滅火設(shè)備，定期檢查其使用期限，及時(shí)更換，各樓層過道中應(yīng)張貼應(yīng)急疏散路線示意圖，各辦公室張貼明顯的安全警示標(biāo)志。在專門的地方設(shè)置一些必備的常用藥物以及急救用品，辦公室地板應(yīng)保持平整、嚴(yán)禁辦公場所走道和櫥柜上堆放大型雜物和亂拉電線等不安全因素、所有辦公家具和用品的布置都要盡量做到合理安全，對于玻璃結(jié)構(gòu)構(gòu)件和懸吊的電燈等進(jìn)行定期檢查，以不妨礙人員正常工作和把對員工健康的傷害降低到最低作為首要考慮目的。為辦公室人員準(zhǔn)備干濕兩種廢物箱，做好紙張的回收工作；為吸煙人員設(shè)立具有良好通風(fēng)的吸煙室，為保障員工的身體健康創(chuàng)造條件。除此之外，要求全體員工節(jié)約用水、用電、用紙。比如，可以統(tǒng)一要求每臺電腦設(shè)置雙面打?。ㄌ厥庥猛镜淖C書文件除外），午休期間關(guān)燈，指派專人統(tǒng)計(jì)每月水、電、辦公用紙及其他物品的消耗量，設(shè)定年度節(jié)能計(jì)劃，量化節(jié)約指標(biāo)，把節(jié)能減排落實(shí)到日常的管理中。

篇4

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護(hù)堅(jiān)持“積極防御、綜合防范”的方針，需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì)，全面提高信息安全防護(hù)能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護(hù)國家利益，促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標(biāo)和思路

 

貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護(hù)制度的認(rèn)識，我們認(rèn)為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實(shí)體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計(jì)目標(biāo)

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護(hù)意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細(xì)則文件亟需補(bǔ)充，安全管理人員亟需培訓(xùn)。因此，本次規(guī)劃重點(diǎn)在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計(jì)原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計(jì)要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實(shí)用原則

 

安全是為了保障業(yè)務(wù)的正常運(yùn)行，不能為了安全而妨礙業(yè)務(wù)，同時(shí)設(shè)計(jì)的安全措施要可以落地實(shí)現(xiàn)。

 

1.3設(shè)計(jì)依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護(hù)基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險(xiǎn)管理

 

風(fēng)險(xiǎn)管理是基于“資產(chǎn)-價(jià)值-漏洞-風(fēng)險(xiǎn)-保障措施”的思想進(jìn)行保障的。風(fēng)險(xiǎn)評估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)。

 

風(fēng)險(xiǎn)管理是靜態(tài)的防護(hù)策略，是在對方攻擊之前的自我鞏固的過程。風(fēng)險(xiǎn)分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護(hù)需求，設(shè)計(jì)防護(hù)的措施，具體的措施是打補(bǔ)丁，還是調(diào)整管理流程，或者是增加、增強(qiáng)某種安全措施，要根據(jù)用戶對風(fēng)險(xiǎn)的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計(jì)開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對它們的保護(hù)等，策略是模型的核心，所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實(shí)施的。

 

檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時(shí)，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計(jì)貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構(gòu)建安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行，不會進(jìn)入任何非預(yù)期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計(jì)

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

 

邊界防護(hù)體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運(yùn)維人員的訪問通道。

 

行為審計(jì)體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護(hù)業(yè)務(wù)運(yùn)行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進(jìn)一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護(hù)體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計(jì)的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn)，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作，與遠(yuǎn)程辦公實(shí)施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠(yuǎn)程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時(shí)，開啟不同子域的安全隔離。

 

4.終端邊界：重點(diǎn)業(yè)務(wù)系統(tǒng)的終端，如運(yùn)維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點(diǎn)有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠(yuǎn)程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計(jì)體系規(guī)劃

 

行為審計(jì)是指對網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時(shí)提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補(bǔ)牢，可以彌補(bǔ)入侵者下次入侵的危害。

 

行為審計(jì)主要措施包括:一次性口令、運(yùn)維審計(jì)(堡壘機(jī))、曰志審計(jì)以及網(wǎng)絡(luò)行為審計(jì)。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運(yùn)維與安全管理的統(tǒng)一：業(yè)務(wù)運(yùn)維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一：隨時(shí)了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時(shí)了解安全事件波及的范圍、影響的業(yè)務(wù)，同時(shí)確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對安全運(yùn)維平臺的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

 

1.身份認(rèn)證系統(tǒng)：獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。

 

2.補(bǔ)丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理，對于通過測試的補(bǔ)丁、重要的補(bǔ)丁，提供主動推送，或強(qiáng)制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時(shí)了解，對于不能打補(bǔ)丁的系統(tǒng)，要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實(shí)際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達(dá)到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機(jī)房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標(biāo)準(zhǔn)依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中二級、三級安全防護(hù)能力為標(biāo)準(zhǔn)，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計(jì)。

 

3.2安全管理體系的建設(shè)目標(biāo)

 

通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實(shí)現(xiàn)的目標(biāo)是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持，實(shí)現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo)：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則，信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段。”

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進(jìn)行建設(shè)和加強(qiáng)。同時(shí)，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗(yàn)和調(diào)整，以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施，制定嚴(yán)格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實(shí)現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運(yùn)維3.5.1安全風(fēng)險(xiǎn)評估

 

安全風(fēng)險(xiǎn)評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險(xiǎn)評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風(fēng)險(xiǎn)和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾洹?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計(jì)劃

 

通過建立應(yīng)急相應(yīng)機(jī)構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練，可以在發(fā)生緊急事件時(shí)，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運(yùn)行是依靠在各級黨政機(jī)構(gòu)工作的人員來具體實(shí)施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強(qiáng)人事安全管理。

 

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理

 

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo)，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時(shí)還要符合國家與廣電總局關(guān)于等級保護(hù)的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計(jì)，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計(jì)系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計(jì)流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達(dá)標(biāo)階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系：網(wǎng)絡(luò)審計(jì)、運(yùn)維審計(jì)、日志審計(jì)

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù)：建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù)，建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實(shí)安全管理細(xì)則文件制定

 

12.落實(shí)安全運(yùn)維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程，建設(shè)安全運(yùn)維管理平臺

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進(jìn)階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護(hù)體系

 

3.提升整體防護(hù)能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練，協(xié)調(diào)改進(jìn)管理與技術(shù)措施

 

6.源代碼安全審計(jì)服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

 

9.提高運(yùn)維效率，開拓運(yùn)維增值模式

 

篇5

1 引言

通常人們談到電網(wǎng)時(shí)，大多指的是這些輸電配電的網(wǎng)絡(luò)。但其實(shí)電網(wǎng)還有另外一張“網(wǎng)”，就是用于傳遞信息的互聯(lián)網(wǎng)。在當(dāng)前我國電力信息化迅猛發(fā)展的過程中，調(diào)度中心、電力局、電廠與用戶之間的信息通信更為頻繁。各種與電力相關(guān)的生產(chǎn)、管理、運(yùn)營網(wǎng)絡(luò)與“電”一樣，成為電網(wǎng)必不可少的重要組成部分。這些網(wǎng)絡(luò)除了帶來更為便捷、高效的工作方式外，也附帶了病毒入侵，安全漏洞等網(wǎng)絡(luò)負(fù)面因素。

如何能夠確保電網(wǎng)的信息傳遞完整準(zhǔn)確，使得輸變電網(wǎng)絡(luò)有效地運(yùn)轉(zhuǎn)，為國家各項(xiàng)建設(shè)提供基礎(chǔ)保障，是當(dāng)前乃至今后的電力工作中的一項(xiàng)重中之重。

2 電力信息網(wǎng)絡(luò)安全分析

與普通互聯(lián)網(wǎng)一樣，電力信息網(wǎng)絡(luò)也同樣需要面對各種各樣的網(wǎng)絡(luò)安全威脅，包括對各種網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)中傳遞的信息的威脅，甚至是對不完善的管理制度的威脅。下面本文就電力信息網(wǎng)絡(luò)可能存在的安全問題進(jìn)行了分析。

1）網(wǎng)絡(luò)設(shè)備可能存在的安全隱患。目前，不少計(jì)算機(jī)機(jī)房并沒有防火、防水、防雷擊、防電磁泄漏和干擾等措施。在遭遇自然災(zāi)害和意外情況時(shí)，抵御能力較差；由于噪音或者電磁干擾，可能導(dǎo)致信號的信噪比下降，誤碼率增加，破壞信息的完整性；人為造成的設(shè)備損壞甚至竊聽，更是嚴(yán)重影響了信息的安全性。

2）網(wǎng)絡(luò)本身的安全。信息網(wǎng)絡(luò)本身在下面幾個主要方面存在安全漏洞：網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)、軟件漏洞、病毒入侵。互聯(lián)網(wǎng)是一個由無數(shù)局域網(wǎng)組成的巨大網(wǎng)絡(luò)。當(dāng)人們在局域網(wǎng)間進(jìn)行通信時(shí)，這些信息數(shù)據(jù)流通常要經(jīng)過許多網(wǎng)絡(luò)設(shè)備的重重轉(zhuǎn)發(fā)，任意兩節(jié)點(diǎn)間的數(shù)據(jù)包，不僅會被這兩個節(jié)點(diǎn)的網(wǎng)卡所接收，也會被處在同一個以太網(wǎng)中的任何一個節(jié)點(diǎn)的網(wǎng)卡所捕獲。黑客只需要侵入這一以太網(wǎng)上的任一節(jié)點(diǎn)，就可以截取在這個以太網(wǎng)上傳輸?shù)乃袛?shù)據(jù)包。因?yàn)榛ヂ?lián)網(wǎng)上大多數(shù)的數(shù)據(jù)包都沒有經(jīng)過加密，所以黑客通過各種手段很容易對這些數(shù)據(jù)包進(jìn)行破解，竊取有用信息。因此，選擇合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是信息網(wǎng)絡(luò)組建時(shí)的首要工作。

3）位于網(wǎng)絡(luò)中的主機(jī)或其它設(shè)備上的軟件可能存在安全漏洞，但沒有及時(shí)升級更新或打上補(bǔ)丁，又或者軟件配置存在安全隱患，使其容易受到攻擊也存在感染病毒的可能。

4）蠕蟲病毒、ARP欺騙病毒等可能導(dǎo)致網(wǎng)絡(luò)全部癱瘓。一旦有計(jì)算機(jī)中的文件感染蠕蟲病毒，那么這臺計(jì)算機(jī)和這些文件本身也是蠕蟲病毒，可能隨著網(wǎng)絡(luò)的傳播，干擾整個網(wǎng)絡(luò)，使業(yè)務(wù)無法正常進(jìn)行。

5）管理制度和人員的安全意識也是網(wǎng)絡(luò)安全的一大威脅。企業(yè)在管理上缺乏必要的規(guī)定和監(jiān)管，對重要甚至的設(shè)備或信息的管理不到位，未設(shè)置專門的部門或者人員進(jìn)行專業(yè)管理。對員工上網(wǎng)的行為未做必要的規(guī)范，導(dǎo)致員工可能通過電子郵件或者其它即時(shí)通信方式向外傳遞敏感信息，泄漏企業(yè)機(jī)密。

一些員工在信息安全方面的意識較差，例如共享主機(jī)或關(guān)鍵設(shè)備的賬戶或密碼，密碼設(shè)置隨意，在對外聯(lián)系時(shí)也沒有注意到信息的敏感性。這些有意或無意的行為都對電力信息網(wǎng)絡(luò)帶來了安全威脅。

3 電力信息網(wǎng)絡(luò)安全防范措施

3.1 加強(qiáng)網(wǎng)絡(luò)安全觀念，提升安全防范意識

信息網(wǎng)絡(luò)安全工作的前提，是提高人員的思想意識。首先要加強(qiáng)宣傳教育，使全體人員充分認(rèn)識到信息網(wǎng)絡(luò)安全的重要性，樹立網(wǎng)絡(luò)安全觀。其次，可以通過豐富多樣的培訓(xùn)內(nèi)容和方式，對全體員工進(jìn)行網(wǎng)絡(luò)安全知識的培訓(xùn)，并通過理論考試或者上機(jī)實(shí)踐等方式，讓大家充分理解和掌握網(wǎng)絡(luò)安全的基礎(chǔ)知識和技能。再者，員工都應(yīng)該自覺地遵守信息安全管理的各項(xiàng)規(guī)定，培養(yǎng)對網(wǎng)絡(luò)安全工作的主動性和自覺性，保證信息網(wǎng)絡(luò)的安全。最后，各級領(lǐng)導(dǎo)也應(yīng)該轉(zhuǎn)變觀念，充分認(rèn)識到信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，加大在網(wǎng)絡(luò)安全方面的投入和工作力度。

3.2 結(jié)合多種技術(shù)手段，構(gòu)建安全的信息網(wǎng)絡(luò)

3.2.1物理的安全防護(hù)

物理的安全防護(hù)包括物理的分區(qū)和各種設(shè)備的安全兩個方面。

根據(jù)國家《電力二次系統(tǒng)安全防護(hù)規(guī)定》和《電力二次系統(tǒng)安全防護(hù)總體方案》等文件的要求，電力行業(yè)的物理分區(qū)必須明晰。根據(jù)業(yè)務(wù)的不同，劃分為生產(chǎn)控制區(qū)和信息管理區(qū)兩大部分。其中，生產(chǎn)控制區(qū)又分為主控制區(qū)和非控制區(qū)，信息管理區(qū)又分為信息內(nèi)網(wǎng)和信息外網(wǎng)。這些不同的區(qū)域分別采用不同的保護(hù)等級，并且使用物理隔離裝置也就是專用的防火墻，進(jìn)行隔離。

各區(qū)域內(nèi)部和區(qū)域之間的通信設(shè)備必須嚴(yán)格按照國家規(guī)定，采購品質(zhì)好，安全性能高的設(shè)備。不僅如此，在運(yùn)輸、安裝、使用的過程中也要加強(qiáng)安全措施，除了注意防火、防盜、防水、防潮、防靜電等外，還需要對重要的設(shè)備進(jìn)行防電磁輻射保護(hù)。當(dāng)設(shè)備出現(xiàn)故障或超過使用期限時(shí)，要及時(shí)處理或銷毀。不同安全級別的設(shè)備要區(qū)別處理，要注意對送出單位進(jìn)行修理的設(shè)備上存儲的信息的安全。設(shè)備的銷毀則一定要送入國家專業(yè)機(jī)構(gòu)進(jìn)行處理。

3.2.2邏輯保護(hù)

邏輯的保護(hù)主要是進(jìn)一步將網(wǎng)絡(luò)進(jìn)行分區(qū)，增加網(wǎng)絡(luò)防護(hù)的深度。當(dāng)出現(xiàn)入侵時(shí)，入侵者需要破解多層的防護(hù)。這樣即提高了入侵的難度，也為主動防御增加了時(shí)間。通過設(shè)置交換機(jī)或者路由策略，將核心部門的主機(jī)集中在一個沒有其它用戶節(jié)點(diǎn)的VLAN中，更好地保護(hù)主機(jī)中的資源；也可以按照部門或者業(yè)務(wù)分工劃分VLAN，各部門內(nèi)部的用戶節(jié)點(diǎn)或服務(wù)器獨(dú)立存在于各自的VLAN中，互不干擾，從而防止病毒的傳播和黑客攻擊。

3.2.3防火墻

防火墻是一套由應(yīng)用層網(wǎng)關(guān)、包過濾路由器和電路層網(wǎng)關(guān)等組成的系統(tǒng)。邏輯上，它處于企業(yè)內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)之間，提供網(wǎng)絡(luò)通信，保證企業(yè)內(nèi)網(wǎng)能正常安全地運(yùn)行。根據(jù)防火墻的作用不同，分為兩類，主機(jī)防火墻和網(wǎng)絡(luò)防火墻。前者主要在主機(jī)受到攻擊時(shí)進(jìn)行保護(hù)；后者為網(wǎng)絡(luò)協(xié)議的2至7層提供防護(hù)。

3.2.4入侵系統(tǒng)

入侵檢測系統(tǒng)（IDS）是主動防御攻擊的網(wǎng)絡(luò)安全系統(tǒng)。這一系統(tǒng)通過收集，分析網(wǎng)絡(luò)的行為、安全日志、數(shù)據(jù)以及計(jì)算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)的信息，查看系統(tǒng)或網(wǎng)絡(luò)中是否有違反安全策略的行為或者被攻擊的可能。它與防火墻一起，完善了整個網(wǎng)絡(luò)安全的防御體系，是網(wǎng)絡(luò)安全的第二道閘門，在電力信息網(wǎng)絡(luò)安全工作中發(fā)揮著重要作用。其在整個網(wǎng)絡(luò)布局中的位置示意圖如圖1所示。

3.3 完善網(wǎng)絡(luò)安全制度，強(qiáng)化安全管理

要做好電力信息網(wǎng)絡(luò)安全工作，技術(shù)是保障，而管理是關(guān)鍵。因此，需要有一套嚴(yán)密有效的網(wǎng)絡(luò)安全管理制度，無論是技術(shù)人員還是普通用戶都需要嚴(yán)格遵守和執(zhí)行管理規(guī)定。這些制度包含幾個方面。

1）信息監(jiān)管。各區(qū)域的網(wǎng)絡(luò)，尤其是信息外網(wǎng)的使用者在上網(wǎng)時(shí)，需要加強(qiáng)審查，規(guī)范上網(wǎng)信息，以及上傳和下載信息的行為。嚴(yán)禁攜帶，傳播信息和不健康的信息，必要時(shí)可以使用帶保密功能的終端，杜絕有意和無意的泄密事件。

2）設(shè)備管理和使用。對各種軟、硬件設(shè)備，在采購、運(yùn)輸、安裝、使用和報(bào)廢等關(guān)鍵環(huán)節(jié)，都需要登記造冊，由專門的部門以及專人負(fù)責(zé)保管和維護(hù)，確保設(shè)備的安全。針對密級較高的設(shè)備，可以由專人負(fù)責(zé)分類存放，甚至可以配置專人專機(jī)。一般情況下，不允許使用個人設(shè)備、未登記備案的辦公設(shè)備、未經(jīng)加密處理的設(shè)備接入網(wǎng)絡(luò)。

3）存儲和備份管理。各種存儲信息的介質(zhì)，都需要統(tǒng)一編號登記，按照級別分門別類存放，由專門的部門專門的人員負(fù)責(zé)。數(shù)據(jù)是保證信息網(wǎng)絡(luò)安全的核心，而數(shù)據(jù)備份是保證數(shù)據(jù)不受損失的最佳方法。為了防止設(shè)備意外損壞、人為操作失誤或者其它未知因素導(dǎo)致的數(shù)據(jù)丟失，需要制定完備的備份恢復(fù)策略，保證及時(shí)有效地恢復(fù)數(shù)據(jù)，避免系統(tǒng)癱瘓?？梢越Y(jié)合實(shí)際情況，采取增量備份，完整備份，或者利用第三方工具進(jìn)行磁帶備份等等技術(shù)手段，提高數(shù)據(jù)的安全性，保證數(shù)據(jù)的完整性。

4）風(fēng)險(xiǎn)評估和檢測。在專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司的幫助下，結(jié)合電力信息網(wǎng)絡(luò)安全的實(shí)際，加強(qiáng)各部門間安全信息的交流與共享，建立風(fēng)險(xiǎn)評估機(jī)制和管理機(jī)制。 持續(xù)研究和發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞或者缺陷，評估面臨的風(fēng)險(xiǎn)和威脅，并且尋求相應(yīng)的補(bǔ)救方法，做到防患于未然。

3.4 加強(qiáng)人才培養(yǎng)，提高人員素質(zhì)

成立專門負(fù)責(zé)信息網(wǎng)絡(luò)安全的部門或者小組，選擇具有專業(yè)水平或者學(xué)歷的人員擔(dān)當(dāng)管理人員、技術(shù)人員。通過開展學(xué)術(shù)交流，進(jìn)修，內(nèi)部培訓(xùn)等多種方式，對這些人員進(jìn)行系統(tǒng)全面的培訓(xùn)，在加強(qiáng)責(zé)任心，業(yè)務(wù)能力培養(yǎng)的同時(shí)，也加大對計(jì)算機(jī)網(wǎng)絡(luò)安全技能的培訓(xùn)，不斷更新人員的知識結(jié)構(gòu)。掌握最新的安全防護(hù)技能。此外，還可以引進(jìn)人才，充實(shí)到信息網(wǎng)絡(luò)安全的各個工作崗位。

4 結(jié)束語

電力行業(yè)是國家的基礎(chǔ)行業(yè)中尤為重要的一項(xiàng)，關(guān)系到國計(jì)民生。如何保障電力的穩(wěn)定運(yùn)行，如何讓電力保障人民生產(chǎn)生活的正常進(jìn)行，是電力行業(yè)一直面臨的問題。這其中，電力信息網(wǎng)絡(luò)的安全工作隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，將會是電力行業(yè)的一項(xiàng)新的挑戰(zhàn)。

本文通過對電力信息網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)進(jìn)行分析，并從管理和技術(shù)上提出幾種安全防范措施。目標(biāo)在于更好地滿足電力信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行和數(shù)據(jù)資料的保密性，從而為電力在國家各項(xiàng)建設(shè)中發(fā)揮作用提供更有利的保障。

參考文獻(xiàn)

[1] 李濤.網(wǎng)絡(luò)安全概論[M].北京：電子工業(yè)出版社，2004.

[2] 王宏偉.網(wǎng)絡(luò)安全威脅與對策[J].應(yīng)用技術(shù).2006，5.

[3] 余勇. 電力系統(tǒng)中的信息安全策略[J].信息網(wǎng)絡(luò)安全，2003，9.

[4] 王能輝.我國計(jì)算機(jī)網(wǎng)絡(luò)及信息安全存在的問題和對策[J].科技信息，2010，7.

[5] 鐘婧文，崔敬.信息系統(tǒng)網(wǎng)絡(luò)安全問題研究[J].科技致富向?qū)В?010，5.

篇6

湖北衛(wèi)東控股集團(tuán)有限公司(以下簡稱“衛(wèi)東公司”)的前身是一家建于1964年的地方軍工企業(yè)，在改革的浪潮中一度瀕臨破產(chǎn)邊緣。1994年12月26日發(fā)生的一起導(dǎo)致4人傷亡的爆炸事故，更是讓衛(wèi)東公司付出了血的代價(jià)。2003年底進(jìn)行股份制改革后，企業(yè)不斷發(fā)展壯大。目前，該公司產(chǎn)品涵蓋民用爆炸物品、機(jī)加工產(chǎn)品和軍用產(chǎn)品3大類共40多個品種，是國家工信部民爆器材和民爆專用設(shè)備的定點(diǎn)生產(chǎn)企業(yè)，2009年實(shí)現(xiàn)銷售收入3.2億元。

從事高危行業(yè)的高危產(chǎn)品生產(chǎn)的衛(wèi)東公司，在經(jīng)濟(jì)快速發(fā)展的同時(shí)，企業(yè)領(lǐng)導(dǎo)和員工對安全生產(chǎn)工作高度重視，其中董事局主席顧勇親自指導(dǎo)探索，以塑造企業(yè)的“本質(zhì)安全”為目標(biāo)，不斷在人防、物防、技防等各個環(huán)節(jié)研究建立強(qiáng)化安全管理與控制的新機(jī)制、新模式，形成了一套以“安全違章整改跟進(jìn)法”和“安全生產(chǎn)累進(jìn)獎勵法”為核心的“顧氏管理法”，使安全生產(chǎn)狀況持續(xù)改進(jìn)。目前，衛(wèi)東公司已經(jīng)連續(xù)多年未發(fā)生重傷以上安全事故，2006年輕傷事故率達(dá)到1.7‰，2007年降至1.6‰，2008 年降至0.74‰，2009年為1.25‰,先后被襄樊市安監(jiān)局和湖北省安監(jiān)局命名為“安全管理示范企業(yè)”。

用“安全違章整改跟進(jìn)法”抓違章

走進(jìn)衛(wèi)東公司的每間工房，入口處都懸掛著告示牌，上面附有一個表格，即安全違章整改跟進(jìn)表。這是公司為強(qiáng)化對職工違章行為的監(jiān)控、整改，實(shí)行由董事局主席顧勇親自提出的“安全違章整改跟進(jìn)法”。

“安全違章整改跟進(jìn)表”共有5項(xiàng)內(nèi)容：一是違章行為，包括企業(yè)職工的違章依據(jù)、風(fēng)險(xiǎn)評估，以及可能給職工自身和他人造成的危害；二是對違章行為的整改要求；三是對整改期限的規(guī)定；四是對違章行為進(jìn)行整改的責(zé)任人及投入保障；五是整改跟蹤時(shí)間，明確為1至6個月。

衛(wèi)東公司為構(gòu)建安全違章整改的長效機(jī)制，實(shí)施“安全違章整改跟進(jìn)表”，通過公司每月組織的一次集中隱患排查、分廠每周組織的一次安全檢查和安全管理人員每日進(jìn)行的日常巡查，將排查出來的職工違章行為和各類事故隱患，統(tǒng)一填制在“安全違章整改跟進(jìn)表”中，同時(shí)在公司網(wǎng)絡(luò)、公示欄、大型視屏等公開展示，公示時(shí)間與整改跟蹤時(shí)間一致，為6個月。只有該違章行為在6個月內(nèi)不再重復(fù)出現(xiàn)，才可以確定為整改到位，撤銷公示；若在公示期間再次出現(xiàn)同樣違章，則從重復(fù)出現(xiàn)之日起，連續(xù)追蹤6個月，直至整改到位。

在實(shí)施“安全違章整改跟進(jìn)表”過程中，為消除員工的抵觸心理，違章跟進(jìn)采取不記名方式，即只公布違章行為，以此告訴員工，安全員抓違章，并不是針對員工個人，而只是針對違章行為，希望違章員工和其他同崗位員工能夠真正重視起來，從而徹底消除違章。

“安全違章整改跟進(jìn)法”實(shí)施后，在衛(wèi)東公司起到了警示職工、降低違章、避免事故的作用。每發(fā)現(xiàn)一個職工違章，可使全體職工共同受到教育。特別是公開展示連續(xù)6個月的視覺沖擊，會給每個職工造成深刻記憶，提高職工自律意識和能力。這一方法還保護(hù)了職工的積極性。有的員工說：“以前違章就會被點(diǎn)名，雖然也能起到糾正違章的作用，但感覺還是沒有面子，往往讓人產(chǎn)生抵觸心理。自從公司實(shí)行了違章跟進(jìn)管理法，違章后只是把違章現(xiàn)象寫在公示板上，違章職工不被點(diǎn)名，技安員們把違章的弊端及改進(jìn)方法在底下單獨(dú)和違章職工交流，既保住了個人的面子，又起到糾正違章的作用，真正激發(fā)了我們要安全的主觀能動性。”

“安全違章整改跟進(jìn)法”在2006年實(shí)施當(dāng)年，共統(tǒng)計(jì)各種違章現(xiàn)象27起，主要有超量、違反勞動紀(jì)律、違反工藝操作規(guī)程、違反公司安全令、無證上崗等，職工違章率為1.7%；到2009年，違章現(xiàn)象統(tǒng)計(jì)降低為7起，職工違章率降到0.4%。

靠“安全生產(chǎn)累進(jìn)獎勵法”促整改

從制度上促進(jìn)員工改正違章行為，是一種被動的安全管理方法。衛(wèi)東公司為了引導(dǎo)員工在意識上關(guān)注安全，徹底消除安全隱患，根據(jù)員工生產(chǎn)中的思維規(guī)律，充分發(fā)揮經(jīng)濟(jì)利益對人的行為的引導(dǎo)作用，實(shí)施“安全生產(chǎn)累進(jìn)獎勵法”。

“安全生產(chǎn)累進(jìn)獎勵法”，即：在對管理人員實(shí)行安全風(fēng)險(xiǎn)抵押金管理的同時(shí)，對一線員工實(shí)行安全生產(chǎn)累進(jìn)獎勵。具體獎勵方法是以一個月為考核周期，如員工當(dāng)月安全考核合格，則計(jì)發(fā)當(dāng)月安全獎，并作為全年累進(jìn)獎勵基數(shù)，逐月累進(jìn)，獎勵按基數(shù)逐月累進(jìn)增加。

為體現(xiàn)安全獎勵的公平性，衛(wèi)東公司根據(jù)安全生產(chǎn)風(fēng)險(xiǎn)的大小，把累進(jìn)獎勵級別分為3個等級，確定不同的獎勵系數(shù)。風(fēng)險(xiǎn)高的崗位系數(shù)大，獎勵基數(shù)高。安全獎勵采取按年度發(fā)放的辦法，若員工在年度某月考核不合格或發(fā)生事故出現(xiàn)違章行為，則扣發(fā)某月之前的安全生產(chǎn)累進(jìn)獎；所在分廠發(fā)生重傷以上事故，則扣發(fā)分廠安全累進(jìn)獎；若公司發(fā)生傷亡事故，則公司免去安全累進(jìn)獎。

“安全生產(chǎn)累進(jìn)獎勵法”最大的特點(diǎn)還在于安全生產(chǎn)獎勵的累進(jìn)性，即在獎勵上只“做加法，不做減法”，違章跟進(jìn)將過去的無情處罰變?yōu)橛星樘嵝?，警示員工養(yǎng)成良好的安全行為習(xí)慣，體現(xiàn)出關(guān)愛員工的理念，而每天班前會的重復(fù)，連續(xù)6個月公示的視覺沖擊，讓員工的記憶不斷加深，從而增強(qiáng)員工的自律意識;如果員工全年不違章，可以得到累進(jìn)的高額獎勵，一旦出現(xiàn)安全問題，最嚴(yán)厲的處罰措施是扣發(fā)累進(jìn)獎勵，不影響員工的正常收入，既體現(xiàn)了獎罰分明的原則，又很人性化，為員工所樂意接受。

篇7

一、氣象網(wǎng)絡(luò)的概念及其結(jié)構(gòu)形式

氣象網(wǎng)絡(luò)，簡而言之，指的是將計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用于氣象領(lǐng)域，使氣象信息網(wǎng)絡(luò)化，信息化，方便人們的使用。目前，氣象網(wǎng)絡(luò)按照不同的安全等級劃分成三種網(wǎng)絡(luò)結(jié)構(gòu)形式：（1）內(nèi)部局域網(wǎng)（含機(jī)要內(nèi)網(wǎng)），此網(wǎng)要求安全等級極高，各個部門的計(jì)算機(jī)均在此網(wǎng)上；（2）通過數(shù)字專線與相關(guān)政府職能機(jī)構(gòu)構(gòu)成的政務(wù)專網(wǎng)，通過不同授權(quán)等級共享各級數(shù)據(jù)資源；（3）公眾互聯(lián)網(wǎng)，通過電信寬帶接入氣象網(wǎng)站，供廣大用戶瀏覽。現(xiàn)代社會氣象信息的大量應(yīng)用，越來越彰顯其重要性，然而與此同時(shí)，網(wǎng)絡(luò)的應(yīng)用也給氣象信息安全帶來了大量的潛在隱患，因此，加強(qiáng)氣象網(wǎng)絡(luò)的安全性就非常有必要。

（一）氣象技術(shù)的保障需求。當(dāng)前，隨著氣象業(yè)務(wù)的不斷發(fā)展，氣象應(yīng)用系統(tǒng)越來越多，對網(wǎng)絡(luò)的依賴程度越來越強(qiáng)，網(wǎng)絡(luò)安全早已擺在極其重要的位置。尤其是近幾年來，隨著全球氣候的普遍升溫，世界各個地方都面臨著干旱、洪澇、雨雪、臺風(fēng)等自然災(zāi)害，氣象技術(shù)的觀測、預(yù)報(bào)功能是人們預(yù)防自然災(zāi)害最有利的工具，而病毒、非法侵入系統(tǒng)等不法行為肯定會影響到氣象技術(shù)的發(fā)揮，因此，保障氣象網(wǎng)絡(luò)安全是必需的。要解決這一問題不可能依靠某種單一的安全技術(shù)，必須針對氣象網(wǎng)絡(luò)的應(yīng)用情況，采用綜合的策略，從物理環(huán)境、網(wǎng)絡(luò)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、計(jì)算機(jī)系統(tǒng)和應(yīng)用、安全管理等多方面構(gòu)筑一個完整的安全體系。

（二）氣象網(wǎng)站的安全需要。全國各級氣象網(wǎng)站是公眾了解氣象政務(wù)、天氣預(yù)報(bào)等信息的重要媒體，通過這一媒介，人們可以根據(jù)未來的氣象資料，預(yù)先安排自己的生產(chǎn)生活。當(dāng)前世界聯(lián)系日益緊密，任何因素的波動都可能造成無法估量的損失，因此，人們從氣象網(wǎng)站中及時(shí)獲取有價(jià)值的信息，對于他們來說，是非常重要的。但由于互聯(lián)網(wǎng)的安全性較低，隨時(shí)都有可能遭到有意或無意的黑客攻擊或者病毒傳播。

二、氣象網(wǎng)絡(luò)安全存在的問題

其實(shí)影響氣象網(wǎng)絡(luò)安全的因素有很多，本文從以下幾個方面進(jìn)行論述：

（一）氣象網(wǎng)絡(luò)管理缺陷。由于全國各級氣象網(wǎng)絡(luò)系統(tǒng)在管理制度上普遍存在缺陷，有些基層站沒有專職計(jì)算機(jī)網(wǎng)絡(luò)管理人員，再加上某些基層氣象職工計(jì)算機(jī)水平較低，機(jī)房設(shè)備較差，對氣象網(wǎng)絡(luò)的安全極為不利。其不安全因素主要表現(xiàn)在：

（1）人為的非法操作。在某些基層氣象站閑雜人員擅自進(jìn)入機(jī)房的現(xiàn)象時(shí)有發(fā)生，甚至有人隨意使用外來光磁盤。由于制度不到位，防范意識差，隨意的光盤、磁盤放入，有意無意將黑客裝入，給計(jì)算機(jī)網(wǎng)絡(luò)埋下不安全隱患。

（2）管理制度不完善。本應(yīng)由管理員操作的部分管理工作，擅自交由其他非工作人員進(jìn)行操作，甚至告訴密碼，致使其他人可以任意進(jìn)行各種操作，隨意打開數(shù)據(jù)庫，造成有意無意的數(shù)據(jù)丟失，有的甚至在與Internet連接的情況下，將數(shù)據(jù)庫暴露，為黑客入侵創(chuàng)造條件；有的人將密碼隨意泄露給別人。

（3）相關(guān)工作人員的失職。氣象部門工作人員的職責(zé)不到位，玩忽職守，在Internet上亂發(fā)信息，為修改文件破壞了硬件，對“垃圾文件”不及時(shí)清除，造成數(shù)據(jù)庫不完整，資料不準(zhǔn)確。

（二）病毒侵入。目前，氣象網(wǎng)絡(luò)安全面臨的最大危險(xiǎn)就是病毒的侵入。當(dāng)前網(wǎng)絡(luò)中，各種各樣的病毒已經(jīng)不計(jì)其數(shù)，并且日有更新，每一個網(wǎng)絡(luò)隨時(shí)都有被攻擊的可能。計(jì)算機(jī)網(wǎng)絡(luò)病毒充分利用操作系統(tǒng)本身的各種安全漏洞和隱患，并對搭建的氣象網(wǎng)關(guān)防護(hù)體系見縫插針，借助多種安全產(chǎn)品在安裝、配置、更新、管理過程中的時(shí)間差，發(fā)起攻擊；有時(shí)黑客會有意釋放病毒來破壞數(shù)據(jù)，而大部分病毒是在不經(jīng)意之間被擴(kuò)散出去的。在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，也會讓氣象網(wǎng)絡(luò)染上病毒。三、解決對策

（一）嚴(yán)格的安全管理制度。面對氣象信息網(wǎng)絡(luò)安全的脆弱性，一方面要采用技術(shù)方面的策略外，另一方面還應(yīng)重視管理方面的安全，注重安全管理制度的加強(qiáng)。針對安全管理的復(fù)雜度，重要的是建立一套完整可行的安全政策，切實(shí)管理和實(shí)施這些政策。我們需要從以下幾個方面入手：

（1）首先加強(qiáng)人員的安全意識，定期進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)；其次，制定安全操作流程，有明確、嚴(yán)格的安全管理制度。再次，責(zé)權(quán)明確，加強(qiáng)安全審計(jì)，詳細(xì)記錄網(wǎng)絡(luò)各種訪問行為，進(jìn)而從中發(fā)現(xiàn)非法的活動。

（2）構(gòu)建安全管理平臺。從技術(shù)上組成氣象安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)，網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件。定期對安全策略的合理性和有效性進(jìn)行核實(shí)，對于氣象網(wǎng)絡(luò)結(jié)構(gòu)的變化，應(yīng)先進(jìn)行安全風(fēng)險(xiǎn)評估，適時(shí)修改安全策略。

（二）防范各種非法軟件攻擊和入侵。網(wǎng)絡(luò)的存在必然會帶來病毒攻擊和入侵發(fā)生。病毒的攻擊，一方面來自外部，由于應(yīng)用系統(tǒng)本身的缺陷，防火墻或路由器的錯誤配置，導(dǎo)致非法攻擊輕而易舉的進(jìn)入網(wǎng)絡(luò)，造成氣象業(yè)務(wù)中斷，數(shù)據(jù)的竊取和篡改等；另一方面的攻擊來自于內(nèi)部，內(nèi)部員工的無意或者惡意的攻擊，也會給網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成威脅。

目前利用防火墻雖然可以阻止各種不安全訪問，降低安全風(fēng)險(xiǎn)，但防火墻不是萬無一失的，因此，作為防火墻的必要補(bǔ)充的入侵檢測系統(tǒng)（IDS），是第二道安全閘門，在全國各級氣象網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)配置IDS，可監(jiān)視信息網(wǎng)絡(luò)系統(tǒng)的運(yùn)行，從中發(fā)現(xiàn)網(wǎng)絡(luò)中違反安全策略的行為和被攻擊的跡象，監(jiān)控用戶的行為，對所有的訪問跟蹤，形成日志，為系統(tǒng)的恢復(fù)和追查攻擊提供基本數(shù)據(jù)。在各級建立IDS可以實(shí)時(shí)對關(guān)鍵服務(wù)器和數(shù)據(jù)進(jìn)行監(jiān)控，對入侵行為，違規(guī)操作進(jìn)行預(yù)警與響應(yīng)，并通過與防火墻聯(lián)動有效阻止來自內(nèi)部和透過防火墻的攻擊行為。

（三）病毒防護(hù)策略。對于網(wǎng)絡(luò)病毒的防范是氣象網(wǎng)絡(luò)的重要組成部分。目前，氣象網(wǎng)絡(luò)的覆蓋面廣，病毒的危害也越來越大，加之傳統(tǒng)的單機(jī)殺毒已無法滿足需求，因此急需一個完善的病毒防護(hù)體系，負(fù)責(zé)病毒軟件的自動分發(fā)、自動升級、集中配置和管理、統(tǒng)一事件和告警處理、保證整個網(wǎng)絡(luò)內(nèi)病毒防護(hù)體系的一致性和完整性。

主要的防范措施是建設(shè)覆蓋全國各級氣象信息網(wǎng)絡(luò)病毒防護(hù)體系，實(shí)現(xiàn)全網(wǎng)的統(tǒng)一升級、查殺、管理，防止病毒的交叉感染。包括網(wǎng)關(guān)級病毒防護(hù)，針對通過Internet出口的流量，進(jìn)行病毒掃描，對郵件、Web瀏覽、FTP下載進(jìn)行病毒過濾，服務(wù)器病毒防護(hù)，桌面病毒防護(hù)，對所有客戶端防病毒軟件進(jìn)行統(tǒng)一管理等。

參考文獻(xiàn)：

篇8

近段時(shí)間，國內(nèi)、省內(nèi)的安全生產(chǎn)形勢不容樂觀，安全生產(chǎn)事故多發(fā)，給我局的安全生產(chǎn)敲響了警鐘。當(dāng)前，又正值電網(wǎng)秋季檢修預(yù)試高峰，以及受冰雪災(zāi)害影響和奧運(yùn)保供電需要，大批的基建、技改工程積壓在年內(nèi)完成，生產(chǎn)、基建任務(wù)十分繁重，局系統(tǒng)面臨維護(hù)安全生產(chǎn)穩(wěn)定局面和完成年內(nèi)各項(xiàng)工作任務(wù)的雙重壓力。局黨組充分認(rèn)識到在當(dāng)前狀況下開展一次全面、全方位的安全穩(wěn)定工作，對保障年內(nèi)各項(xiàng)工作安全、有序、平穩(wěn)的完成，維護(hù)安全生產(chǎn)穩(wěn)定局面具有十分重要的意義，精心組織，廣泛動員，全面部署，切實(shí)以此次安全穩(wěn)定工作為契機(jī)，全面排查局系統(tǒng)事故隱患和安全薄弱環(huán)節(jié)，提升我局安全生產(chǎn)穩(wěn)定水平。通過前階段全局員工的共同努力，團(tuán)結(jié)協(xié)作，安全穩(wěn)定工作取得初步成效。

一、切實(shí)開展安全日活動，為安全穩(wěn)定工作的提供思想保障

按照省公司的統(tǒng)一部署，局系統(tǒng)在全面組織了安全日學(xué)習(xí)活動，以安全責(zé)任教育、安全警示教育，作業(yè)行為規(guī)范等為主要內(nèi)容，強(qiáng)化全員安全意識、責(zé)任意識、風(fēng)險(xiǎn)意識，營造良好的學(xué)習(xí)氛圍，為下階段安全隱患排查治理專項(xiàng)活動的全面開展，進(jìn)行思想動員，奠定思想基礎(chǔ)。

堅(jiān)持全面部署，全員參加原則；安全日活動的學(xué)習(xí)，不論部門職能，不論崗位職責(zé)，不論職務(wù)大小，均需全面動員，精心組織，全員投入到學(xué)習(xí)中央關(guān)于加強(qiáng)安全工作的重要指示精神，學(xué)習(xí)國網(wǎng)公司安全穩(wěn)定工作座談會精神和有關(guān)安全工作規(guī)章制度，并結(jié)合各自崗位實(shí)際開展討論，查找安全薄弱環(huán)節(jié)。

堅(jiān)持學(xué)習(xí)內(nèi)容與崗位實(shí)際相結(jié)合原則；按照崗位職責(zé)、任務(wù)分工不同，每位員工學(xué)習(xí)內(nèi)容各有側(cè)重。領(lǐng)導(dǎo)干部重點(diǎn)學(xué)習(xí)國家安全生產(chǎn)法律法規(guī)、安全生產(chǎn)職責(zé)規(guī)范和獎罰規(guī)定，包括《國務(wù)院關(guān)于特大安全事故行政責(zé)任追究的規(guī)定》、《生產(chǎn)安全事故報(bào)告和調(diào)查處理?xiàng)l例》、《###公司關(guān)于加強(qiáng)安全生產(chǎn)工作的決定》、《###公司安全生產(chǎn)職責(zé)規(guī)范》等有關(guān)內(nèi)容；各級專業(yè)管理人員和基層班組結(jié)合崗位實(shí)際，重點(diǎn)學(xué)習(xí)安全作業(yè)規(guī)程規(guī)定、作業(yè)行為規(guī)范，包括《###公司安全生產(chǎn)職責(zé)規(guī)范》、《安全生產(chǎn)工作獎懲規(guī)定》、《###公司電力安全工作規(guī)程》等有關(guān)內(nèi)容。學(xué)習(xí)內(nèi)容與崗位實(shí)際相結(jié)合，并用以指導(dǎo)崗位實(shí)際工作中的安全隱患討論，排查，和改進(jìn)措施的提出。在深入學(xué)習(xí)的基礎(chǔ)上，結(jié)合本部門，本崗位的具體工作開展廣泛的討論，充分認(rèn)清當(dāng)前安全生產(chǎn)形勢，深入分析本單位、本部門、本崗位安全生產(chǎn)主要問題和薄弱環(huán)節(jié)，研究針對性措施。

堅(jiān)持安全日學(xué)習(xí)與誠信教育相結(jié)合原則；針對當(dāng)前數(shù)起安全生產(chǎn)事故暴露出的員工規(guī)章制度執(zhí)行力不強(qiáng)問題，把誠信教育作為安全教育的重要內(nèi)容，整肅安全管理作風(fēng)，弘揚(yáng)講實(shí)話、辦實(shí)事、求實(shí)效的良好風(fēng)氣，加強(qiáng)員工的遵章守紀(jì)教育，營造誠實(shí)守信的工作氛圍。

在開展安全日活動的同時(shí)，為切實(shí)吸取以往安全事故教訓(xùn)，進(jìn)一步促進(jìn)安全隱患排查治理專項(xiàng)行動的深入開展，切實(shí)防止各類事故的發(fā)生，全局各基層單位、班組還認(rèn)真組織開展安全事故處理“回頭看”活動，以典型的安全事例、安全事故通報(bào)為警示教育資料，采取座談會、安全分析會、現(xiàn)場會、培訓(xùn)班等多種形式對近幾年來發(fā)生的人身、電網(wǎng)和設(shè)備事故進(jìn)行總結(jié)、分析，有些單位還特別結(jié)合發(fā)生在自己身邊的一些違章現(xiàn)象及不安全事件，分析為什么會發(fā)生事故，討論事故的根源是什么，如何更好地吸取事故教訓(xùn)，如何有效降低安全風(fēng)險(xiǎn)、防范事故的發(fā)生等等，給了員工們很大的反思空間，進(jìn)一步強(qiáng)化了員工的安全責(zé)任意識和風(fēng)險(xiǎn)意識。

在上述三個堅(jiān)持的指導(dǎo)原則下，我局切實(shí)有效開展安全日活動和以及安全事故處理“回頭看”活動，促使全局員工充分認(rèn)識到目前安全生產(chǎn)嚴(yán)峻形勢和全面深入開展安全隱患排查的重要意義，明確了安全隱患排查治理專項(xiàng)行動的各項(xiàng)要求，提高思想，統(tǒng)一認(rèn)識，強(qiáng)化全員安全意識、法制觀念、責(zé)任意識，為全面開展安全生產(chǎn)隱患排查提供了思想保障。

二、全面開展安全生產(chǎn)隱患排查治理，維護(hù)安全生產(chǎn)穩(wěn)定局面

1、強(qiáng)化領(lǐng)導(dǎo)、精心組織、周密部署

安全生產(chǎn)隱患排查治理是保障企業(yè)安全生產(chǎn)的一項(xiàng)重要活動，我局黨委和各部門充分認(rèn)識隱患排查治理專項(xiàng)活動對維護(hù)我局安全生產(chǎn)穩(wěn)定局面具有的重大意義，高度重視此項(xiàng)工作的開展，嚴(yán)格按照####“三查六防”工作要求，落實(shí)規(guī)章制度，完善組織機(jī)構(gòu)，制定工作方案。10月13日，成立以局長為組長的安全隱患排查治理專項(xiàng)行動領(lǐng)導(dǎo)小組，同時(shí)成立了10個督查小組，下發(fā)了《》，細(xì)致布置從電網(wǎng)安全隱患、管理性違章、供電安全和供電服務(wù)隱患、重大設(shè)備隱患、基建安全隱患五個方面出發(fā)，全面、全員、全方位開展

安全隱患排查。強(qiáng)化各級領(lǐng)導(dǎo)責(zé)任，強(qiáng)調(diào)各單位部門主要負(fù)責(zé)人要親自抓、負(fù)總責(zé)，分管領(lǐng)導(dǎo)具體抓、協(xié)調(diào)指揮，突出安全隱患排查治理問責(zé)的精神，層層分解安全責(zé)任，層層傳遞安全壓力。各督查組成立后，進(jìn)一步健全組織和安全責(zé)任體系，做具體的部署安排，把安全隱患排查和安全責(zé)任落實(shí)到每個環(huán)節(jié)、每個崗位和每個員工。 2、落實(shí)責(zé)任，各司其責(zé)

按照“誰主管、誰負(fù)責(zé)，誰實(shí)施、誰負(fù)責(zé)”的原則，逐級落實(shí)隱患排查責(zé)任，各單位部門各司其職，在各自的職責(zé)范圍，工作范圍，將安全生產(chǎn)隱患排查治理作為近期安全生產(chǎn)工作的中心和主線，結(jié)合正在開展的秋冬季安全大檢查及市局第二輪安全性評價(jià)工作，認(rèn)真落實(shí)“以防為主、防治結(jié)合”的原則，開展安全隱患排查。

安監(jiān)處認(rèn)真做好《外包工程管理規(guī)定（試行）》宣貫培訓(xùn)工作，按照新規(guī)定要求將重新修訂《外包工程管理規(guī)定（試行）》，并在12月底前完成對局系統(tǒng)內(nèi)現(xiàn)有外包工程隊(duì)伍情況重新梳理工作，以進(jìn)一步促進(jìn)施工現(xiàn)場的安全，確保人身安全。生產(chǎn)處具體羅列將生產(chǎn)系統(tǒng)安全隱患排查治理專項(xiàng)行動的重點(diǎn)工作，并將責(zé)任落實(shí)到處室每個人，進(jìn)一步深入專項(xiàng)排查行動，包括梳理生產(chǎn)管理各項(xiàng)規(guī)章則制度，加強(qiáng)設(shè)備的技術(shù)監(jiān)督工作，按照反措和設(shè)備評價(jià)要求，開展設(shè)備缺陷檢查、評價(jià)，羅列缺陷設(shè)備清單，制定設(shè)備缺陷整治計(jì)劃；深刻吸取前階段安全事故教訓(xùn)，全面開展典型操作票規(guī)范化、標(biāo)準(zhǔn)化檢查整改，認(rèn)真做好變電站所用電系統(tǒng)的隱患排查等等?；ㄌ幖皶r(shí)召集所有參建單位及監(jiān)理單位召開“基建系統(tǒng)開展安全生產(chǎn)隱患排查治理專項(xiàng)活動動員大會”，要求所有參建單位與監(jiān)理單位每周開展隱患分析排查與安全風(fēng)險(xiǎn)識別與預(yù)控工作，形成一周一總結(jié)和分析、匯報(bào)工作機(jī)制；根據(jù)重大危險(xiǎn)源分析結(jié)果，對工程建設(shè)中的重大危險(xiǎn)因素加強(qiáng)跟蹤處理，在安全工作中重點(diǎn)做好合理安排施工，減少交叉作業(yè)，嚴(yán)格執(zhí)行安全施工作業(yè)票制度，增加安全設(shè)施和現(xiàn)場監(jiān)護(hù)；加強(qiáng)對分包單位的安全管理，嚴(yán)格按規(guī)定簽訂分包合同、安全協(xié)議；強(qiáng)化對安全通病的治理，如施工的腳手架搭設(shè)、施工用電、易燃易爆物品的管理、臨邊防護(hù)、基坑的防坍塌措施等。發(fā)展策劃處結(jié)合當(dāng)前存在的電網(wǎng)類安全隱患，即時(shí)編制完成了《###20__~20__年發(fā)展規(guī)劃》和八個縣（市）《縣域電力20__~20__年發(fā)展規(guī)劃》。在全省遠(yuǎn)景飽和負(fù)荷水平的基礎(chǔ)上，測算分析##地區(qū)電網(wǎng)的遠(yuǎn)景用電需求水平，研究細(xì)化2030年電網(wǎng)規(guī)劃的電力電量平衡方案。市域、縣域電力設(shè)施布局規(guī)劃也已全部通過地方政府審查及。其他各單位部門也均按照###關(guān)于開展安全隱患排查治理的原則要求，在局系統(tǒng)的統(tǒng)一領(lǐng)導(dǎo)部署下，從各自的部門職能實(shí)際出發(fā)，開展各自領(lǐng)域的安全隱患排查治理。

3、迅速落實(shí)，初見成效。

我局將此次隱患排查專項(xiàng)行動總體分為四個階段，即部署動員階段、隱患排查階段、安全督查階段、集中總結(jié)階段。部署動員階段主要抓思想教育，隱患排查階段主要抓責(zé)任落實(shí)，安全督查階段主要以機(jī)動式抽查為主，集中總結(jié)階段主要抓經(jīng)驗(yàn)交流推廣。這四個階段各有側(cè)重，環(huán)環(huán)相扣。重點(diǎn)圍繞對安全管理、電網(wǎng)安全、供電安全和供電服務(wù)、重大設(shè)備、基建安全、信息安全以及反違章情況等方面開展。

此次隱患排查專項(xiàng)行動到目前為止共排查隱患*條，其中設(shè)備安全類*條，安全管理隱患類*條，電網(wǎng)安全類*條，供電和供電服務(wù)安全類*條（其中包括高?？蛻艉椭匾脩纛?條），信息安全類*條，多經(jīng)安全類*條，基建安全類*條。我局將這些排查出的隱患進(jìn)行統(tǒng)一歸納和分類，對一些不同地點(diǎn)但性質(zhì)相同的隱患進(jìn)行了合并，現(xiàn)整理出*條相對重要的各類隱患向__隱患排查治理專項(xiàng)行動領(lǐng)導(dǎo)小組辦公室作了匯報(bào)，高危客戶和重要用戶類隱患已由營銷處專題向省公司進(jìn)行上報(bào)。

4、廣泛宣傳，強(qiáng)化監(jiān)督

為充分發(fā)揮輿論宣傳和監(jiān)督管理的作用，在安全隱患排查治理行動中，我局在局主頁上開辟了安全隱患排查治理新聞專欄，廣泛宣傳專項(xiàng)行動的重要意義，及時(shí)安全隱患排查專項(xiàng)行動最新動態(tài)，各單位部門踴躍發(fā)稿，交流安全隱患排查的行動亮點(diǎn)和排查治理成效，形成良好的輿論宣傳氛圍，促使安全隱患排查深入人心，動員全體員工自覺自主的融入到此次安全隱患排查治理行動中。強(qiáng)化安全隱患排查治理的監(jiān)督管理，成立以市局領(lǐng)導(dǎo)為首的安全隱患排查治理專項(xiàng)行動督察組，監(jiān)督、指導(dǎo)、檢查各單位部門安全隱患排查治理行動的落實(shí)情況，開展不定時(shí)地飛行檢查和明察暗訪活動，以干部問責(zé)的精神，嚴(yán)格追究相關(guān)人員責(zé)任，督促安全隱患排查工作切實(shí)開展。

三、安全隱患排查出的問題

1、有關(guān)供電安全類隱患：

主要有個別綜合變對地距離不夠或安裝不規(guī)范，有些還處于路中間；居民建房與線路安全距離不夠以及高低壓線安全距離不足等，具體情況和地點(diǎn)各單位相關(guān)部門已備有詳細(xì)臺賬。針對此類隱患，如果是用戶原因引起的，我局采取及時(shí)發(fā)隱患通知書到用戶，督促整改或協(xié)助其整改；如果是本單位原因引起的，我們均已安排計(jì)劃，12月份前都將予以整改。

2、有關(guān)基建安全類隱患：

通過對基建現(xiàn)場的專項(xiàng)檢查，總體情況較好，但也發(fā)現(xiàn)了施工區(qū)基坑周圍安全圍欄設(shè)置不符合規(guī)范要求，且無安全警示牌；基建現(xiàn)場油漆存放在五金倉庫，危險(xiǎn)品庫無滅火器等隱患。對于此類隱患，有些可以立即整改我們已立即整改，其余的也要求在一周內(nèi)予以整改，確保基建施工現(xiàn)場的安全。

四、下階段的工作打算

目前，我局的安全隱患排查治理行動正處于全面深入地進(jìn)行中，安全隱患排查取得初步成效，但距全面奪取安全隱患排查治理的勝利，尚任重而道遠(yuǎn)。

下一階段除了對已排查發(fā)現(xiàn)的安全隱患，制定了整改計(jì)劃，落實(shí)了整改人員、資金、措施，加大整改力度外，將繼續(xù)認(rèn)真貫徹執(zhí)行相關(guān)會議精神和文件要求，接受省公司安全隱患排查治理專項(xiàng)行動督察組的監(jiān)督指導(dǎo)，進(jìn)一步鞏固隱患排查專項(xiàng)活動成果，建立健全隱患排查治理的長效機(jī)制，強(qiáng)化全局員工的安全意識、責(zé)任意識、風(fēng)險(xiǎn)意識，提高我局安全生產(chǎn)管理水平，維護(hù)安全生產(chǎn)穩(wěn)定局面和企業(yè)和諧安定。

1、對隱患排查治理工作進(jìn)行階段總結(jié)，組織各單位部門廣泛的相互學(xué)習(xí)交流，積極推廣其中的好經(jīng)驗(yàn)、好方法。

篇9

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：B 文章編號：1673-8454（2016）19-0005-06

一、省級數(shù)據(jù)中心的整體架構(gòu)

近年來，福建省教育管理信息中心從更高層次上將過去以單位建設(shè)和運(yùn)營的傳統(tǒng)信息系統(tǒng)整合成以省級為單位的數(shù)據(jù)中心，形成資源共享、互聯(lián)互通、服務(wù)整合的有機(jī)整體，省級數(shù)據(jù)中心實(shí)現(xiàn)虛擬化和動態(tài)管理，為本省提供教育管理信息系統(tǒng)運(yùn)行的云服務(wù)平臺，承載和滿足國家教育管理公共服務(wù)平臺在省級教育行政部門的部署和運(yùn)行，集成和支撐省本級各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng)，服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。

整體設(shè)計(jì)架構(gòu)如圖1所示。

隨著教育管理信息系統(tǒng)的建成，各級各類教育部門對信息系統(tǒng)的依賴程度將會越來越高，逐步形成覆蓋各級各類教育的學(xué)生、教師和學(xué)校及資產(chǎn)等方面的海量信息，這對維持教育管理信息系統(tǒng)安全穩(wěn)定運(yùn)行，保障教育管理信息安全提出了更高的要求

二、省級數(shù)據(jù)中心安全防護(hù)的變化

利用云計(jì)算技術(shù)，省級數(shù)據(jù)中心實(shí)現(xiàn)了計(jì)算資源、網(wǎng)絡(luò)資源、存儲資源的虛擬化和服務(wù)化，同時(shí)數(shù)據(jù)中心的安全威脅和防護(hù)要求也產(chǎn)生了新的變化。云計(jì)算帶來的一個最明顯的變化就是計(jì)算網(wǎng)絡(luò)的邊界發(fā)生了改變，諸多的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)中心云服務(wù)平臺上，保障數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性和進(jìn)行災(zāi)難恢復(fù)將是一個巨大的挑戰(zhàn)，任何一個機(jī)械故障、人為錯誤、黑客攻擊、病毒木馬如果得不到有效的控制，就很有可能造成整個數(shù)據(jù)中心的崩潰。

1.安全防護(hù)對象擴(kuò)大

安全風(fēng)險(xiǎn)并沒有因?yàn)樘摂M化而消失或規(guī)避。盡管單臺物理服務(wù)器可以劃分成多臺虛擬機(jī)使用，但是每臺虛擬機(jī)上承載的業(yè)務(wù)和服務(wù)和傳統(tǒng)單臺服務(wù)器承載的基本相同，同樣虛擬機(jī)面臨的安全問題跟單臺物理機(jī)也是基本相同的，如對業(yè)務(wù)系統(tǒng)的訪問安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、操作系統(tǒng)和應(yīng)用程序的漏洞攻擊等。

數(shù)據(jù)中心需要防護(hù)的對象范圍也擴(kuò)大了。安全防護(hù)需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件，由于 vcenter等本身所處的特殊位置和在整個系統(tǒng)中的重要性，如果漏洞沒能及時(shí)修復(fù)，這必定會給虛擬化平臺帶來一定的安全風(fēng)險(xiǎn)，一旦攻擊者獲得虛擬化平臺的管理權(quán)限，將可以隨意訪問任意一臺虛擬機(jī)，服務(wù)器的業(yè)務(wù)數(shù)據(jù)也就沒有任何安全性可言了。

2.威脅擴(kuò)散速度快

在虛擬化環(huán)境中，同一臺物理服務(wù)器上的不同虛擬機(jī)之間的通訊是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決，相鄰虛擬機(jī)之間的流量交換不通過外部的網(wǎng)絡(luò)交換機(jī)，此時(shí)外部的網(wǎng)絡(luò)安全工具也都無法監(jiān)測到物理服務(wù)器內(nèi)部的流量。其中任何一臺虛擬機(jī)存在安全漏洞被攻擊控制后，攻擊者可通過這臺虛擬機(jī)入侵同一臺服務(wù)器上的其他虛擬機(jī)。

虛擬機(jī)可以根據(jù)實(shí)際需求在不同物理機(jī)之間進(jìn)行動態(tài)遷移，這可能會讓一些重要的虛擬機(jī)遷移到不安全的物理機(jī)上，或者一些測試用的虛擬機(jī)與重要的虛擬機(jī)遷移到同一虛擬局域網(wǎng)，從而帶來安全風(fēng)險(xiǎn)。

3.病毒掃描風(fēng)暴

完成服務(wù)器虛擬化之后，為了保護(hù)虛擬服務(wù)器的安全運(yùn)行，要在每一臺虛擬機(jī)上安裝防病毒等安全軟件，每臺虛擬機(jī)因此要消耗相同的CPU、內(nèi)存等硬件資源，常規(guī)防病毒掃描和病毒碼更新等也需要占用大量資源，這樣隨著虛擬機(jī)數(shù)量的增加，后端存儲的負(fù)荷隨之變大從而影響到系統(tǒng)的運(yùn)行速度。

虛擬機(jī)的初衷是綠色環(huán)保，低碳節(jié)能，沒有業(yè)務(wù)運(yùn)行的時(shí)候可以關(guān)閉虛機(jī)，業(yè)務(wù)恢復(fù)時(shí)開啟虛機(jī)，但關(guān)閉期間病毒代碼是無法更新的，如果多臺虛擬機(jī)同時(shí)開機(jī)更新防病毒軟件的病毒碼，這時(shí)網(wǎng)絡(luò)帶寬也有較大影響。如果所有虛擬機(jī)上的防病毒軟件設(shè)置定期掃描或更新，將會引起“防病毒風(fēng)暴”，影響服務(wù)器應(yīng)用程序的正常運(yùn)行。

三、省級數(shù)據(jù)中心安全運(yùn)維技術(shù)體系構(gòu)建

依據(jù)國家等級保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范，以省級教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護(hù)需求為出發(fā)點(diǎn)，根據(jù)云計(jì)算虛擬化的特點(diǎn)和風(fēng)險(xiǎn)狀況，同時(shí)參考傳統(tǒng)“進(jìn)不來，拿不走，看不到，改不了，走不脫”的防御要求，分別從事前監(jiān)控、事中防護(hù)和事后審計(jì)三個角度進(jìn)行考慮，采用分區(qū)分域、重點(diǎn)保護(hù)的原則，對數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行分區(qū)分域防控，對承載的國家教育管理公共服務(wù)平臺、本級應(yīng)用系統(tǒng)和重點(diǎn)區(qū)域進(jìn)行重點(diǎn)的安全保障，根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的實(shí)際安全威脅，采用適當(dāng)?shù)陌踩Ｕ洗胧?，建立覆蓋物理、網(wǎng)絡(luò)、主機(jī)、存儲、數(shù)據(jù)庫、應(yīng)用的整體信息安全防護(hù)技術(shù)支撐環(huán)境，提升數(shù)據(jù)中心的抗攻擊能力，維持國家教育管理信息系統(tǒng)穩(wěn)定運(yùn)行，保障教育管理信息安全。

1.物理層

（1）機(jī)房安全

機(jī)房是數(shù)據(jù)中心重要的基礎(chǔ)設(shè)施，服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備等是數(shù)據(jù)中心機(jī)房的核心設(shè)備。這些設(shè)備運(yùn)行所需要的環(huán)境因素，如供電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)、機(jī)房與監(jiān)控系統(tǒng)是數(shù)據(jù)中心機(jī)房重要的物理基礎(chǔ)設(shè)施。福建省級教育數(shù)據(jù)中心前身是省教育廳信息中心機(jī)房，由服務(wù)器機(jī)房、網(wǎng)絡(luò)機(jī)房、控制室、配電機(jī)房四部分組成，現(xiàn)有數(shù)據(jù)中心使用面積達(dá)115平方米，安裝了機(jī)房智能、供配電、通風(fēng)，環(huán)境監(jiān)測、防雷接地、門禁等子系統(tǒng)，滿足機(jī)房建設(shè)的相關(guān)標(biāo)準(zhǔn)和要求，符合信息安全等級保護(hù)三級的合規(guī)要求。

（2）資產(chǎn)管理

數(shù)據(jù)中心管理關(guān)鍵在于立足全局，明了擁有的資源，知曉設(shè)備放置在哪里，它們是如何連接到一起的。準(zhǔn)確的資產(chǎn)數(shù)據(jù)是數(shù)據(jù)中心日常運(yùn)維的基礎(chǔ)之一，隨著數(shù)據(jù)中心的設(shè)備數(shù)據(jù)增加，資產(chǎn)信息的準(zhǔn)確性顯得更加重要。對已有的虛擬機(jī)、物理設(shè)備和應(yīng)用系統(tǒng)進(jìn)行標(biāo)記，例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對外開放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對系統(tǒng)的簡短描述。

2.網(wǎng)絡(luò)層

（1）安全區(qū)域的劃分

為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全，將安全區(qū)域劃分作為安全運(yùn)維技術(shù)體系設(shè)計(jì)的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大，支撐的應(yīng)用系統(tǒng)也非常復(fù)雜，因此采用基于安全域的辦法是非常有效的，結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實(shí)際情況和特點(diǎn)，以安全保障合理有效為原則，將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個相對獨(dú)立的安全區(qū)域，根據(jù)各個安全區(qū)域的功能和特點(diǎn)選擇不同的防護(hù)措施。

省級教育數(shù)據(jù)中心既承載著國家教育管理信息系統(tǒng)，又為自建應(yīng)用系統(tǒng)提供運(yùn)營支撐。根據(jù)安全等級保護(hù)要求完成安全區(qū)域劃分，分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫區(qū)及運(yùn)維區(qū)等，同時(shí)在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū)，結(jié)合各個安全區(qū)域的業(yè)務(wù)特點(diǎn)設(shè)計(jì)保護(hù)措施和安全策略，這大大提升了安全防護(hù)的有效性，也體現(xiàn)出重點(diǎn)區(qū)域重點(diǎn)防范的建設(shè)原則。

（2）外網(wǎng)接入?yún)^(qū)

主要實(shí)現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負(fù)載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點(diǎn)分析和需求分析，對該區(qū)域進(jìn)行邊界的防護(hù)，以及對入侵事件的深度檢測及防護(hù)，抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護(hù)系統(tǒng)。

A.實(shí)現(xiàn)邊界結(jié)構(gòu)安全。數(shù)據(jù)中心有多條ISP鏈路，包括移動、聯(lián)通、電信等。通過互聯(lián)網(wǎng)邊界部署鏈路負(fù)載均衡設(shè)備避免因ISP鏈路故障帶來的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題。根據(jù)業(yè)務(wù)的重要次序進(jìn)行帶寬分配優(yōu)先，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)，保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。

B.實(shí)現(xiàn)邊界訪問控制。在互聯(lián)網(wǎng)邊界部署邊界萬兆防火墻，一方面滿足數(shù)據(jù)中心萬兆網(wǎng)絡(luò)環(huán)境需求；另一方面滿足互聯(lián)網(wǎng)邊界移動、電信、聯(lián)通等線路接入以及對流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細(xì)粒度的訪問控制，并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包，便于管理人員進(jìn)行分析。同時(shí)在防火墻配置會話監(jiān)控策略，當(dāng)會話處于非活躍一定時(shí)間或會話結(jié)束后，防火墻自動將會話丟棄，訪問來源必須重新建立會話才能繼續(xù)訪問資源。

C.實(shí)現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān)，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù)，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進(jìn)行全面的攔截。截?cái)嗔瞬《就ㄟ^網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量，滿足三級等級保護(hù)中實(shí)現(xiàn)邊界惡意代碼防范的要求。

D.實(shí)現(xiàn)邊界安全審計(jì)。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng)，滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查，提供用戶上網(wǎng)行為日志記錄，不合規(guī)上網(wǎng)行為阻斷等功能。

（3）骨干網(wǎng)絡(luò)區(qū)

核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個功能分區(qū)，是整個運(yùn)行網(wǎng)數(shù)據(jù)中心的核心，其功能是高速可靠地交換數(shù)據(jù)，需要具備高性能、高可靠。各個功能分區(qū)匯聚位置采用獨(dú)立的匯聚交換機(jī)去實(shí)現(xiàn)。

A.實(shí)現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機(jī)配置防火墻板卡和IPS板卡，為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動、實(shí)時(shí)的防護(hù)，監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量進(jìn)行實(shí)時(shí)阻斷，增強(qiáng)數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。

B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能，通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻，為應(yīng)用服務(wù)器區(qū)/數(shù)據(jù)庫服務(wù)器區(qū)/運(yùn)維管理區(qū)邊界提供細(xì)粒度的訪問控制能力，實(shí)現(xiàn)基于源/目的地址、通信協(xié)議、請求的服務(wù)等信息的訪問控制，防止終端接入?yún)^(qū)用戶非法訪問應(yīng)用服務(wù)器區(qū)的資源，并且利用防火墻的多個端口，將實(shí)現(xiàn)多個區(qū)域的有效隔離。

3.平臺層

云安全技術(shù)多集中在虛擬化安全方面。虛擬化環(huán)境下計(jì)算、存儲、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變，帶來了應(yīng)用進(jìn)程間的相互影響更加難以監(jiān)測和跟蹤，數(shù)據(jù)的隔離與訪問控制管理更加復(fù)雜，傳統(tǒng)的分區(qū)域防護(hù)界限模糊，對使用者身份、權(quán)限和行為的鑒別、控制與審計(jì)變得更為重要等一系列問題，對安全提出了更高的要求。

（1）防火墻

傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看虛擬機(jī)內(nèi)的網(wǎng)絡(luò)通信，因而無法檢測或抑制源于同一主機(jī)上的虛擬機(jī)的攻擊。針對服務(wù)器虛擬化面臨的風(fēng)險(xiǎn)，通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無安全防護(hù)系統(tǒng)，減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對服務(wù)器防火墻策略進(jìn)行集中式管理，阻止拒絕服務(wù)攻擊，實(shí)現(xiàn)針對虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護(hù)。

以透明方式在VMware vSphere虛擬機(jī)上實(shí)施安全策略，按照最小授權(quán)訪問的原則，細(xì)化訪問控制策略，嚴(yán)格限制訪問虛擬機(jī)宿主機(jī)和虛擬機(jī)的訪問IP 地址、協(xié)議和端口號，保障虛擬機(jī)在動態(tài)環(huán)境中的安全。

（2）防惡意軟件

為了確保虛擬化平臺及虛擬機(jī)的安全運(yùn)行，必須部署必要的安全工具，在虛擬機(jī)上安裝網(wǎng)絡(luò)殺毒軟件和惡意代碼查殺程序，防止虛擬機(jī)遭受病毒及惡意代碼的侵襲，設(shè)置病毒和惡意代碼查殺策略。及時(shí)更新病毒庫和惡意代碼庫，保證病毒和惡意代碼及時(shí)被清除。

無安全模式以一臺物理機(jī)為管理單位，無需在每個虛擬機(jī)中部署安全防護(hù)程序，集中一臺虛擬安全服務(wù)器中部署運(yùn)行，隨時(shí)在線升級和維護(hù)，分時(shí)掃描各應(yīng)用服務(wù)器虛擬機(jī)，對虛擬環(huán)境的性能不會造成顯著影響，從而避免了“防病毒風(fēng)暴”等現(xiàn)象。

（3）補(bǔ)丁程序更新

虛擬化平臺由于自身設(shè)計(jì)的缺陷，也存在安全隱患。要保證虛擬機(jī)的安全，必須及時(shí)為虛擬機(jī)進(jìn)行漏洞修補(bǔ)和程序升級。即便如此，仍然存在安全隱患，原因在于虛擬機(jī)系統(tǒng)的補(bǔ)丁可能落后于更新，而且承載不同操作系統(tǒng)的虛擬機(jī)可能遲滯不同級別的補(bǔ)丁和更新。所以當(dāng)其他虛擬機(jī)受到保護(hù)時(shí)，這些還沒有更新補(bǔ)丁，容易受到安全威脅的機(jī)器就會影響其他虛擬機(jī)的安全。

4.系統(tǒng)層

安全測試與風(fēng)險(xiǎn)評估。在部署信息系統(tǒng)前，對承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件進(jìn)行安全配置，并在系統(tǒng)正式上線運(yùn)行前進(jìn)行安全測試與風(fēng)險(xiǎn)評估，對于發(fā)現(xiàn)的問題整改完成后再行上線，避免應(yīng)用系統(tǒng)帶病運(yùn)行造成后期整改困難。

（1）部署漏洞掃描系統(tǒng)

如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，能有效避免黑客攻擊行為，做到防患于未然。采用最新的漏洞掃描與檢測技術(shù)，包括快速主機(jī)存活掃描技術(shù)、操作系統(tǒng)識別技術(shù)、智能化端口服務(wù)識別技術(shù)、黑客模擬攻擊技術(shù)、入侵風(fēng)險(xiǎn)評估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用，快速、高效、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時(shí)間內(nèi)修復(fù)漏洞，最大限度地降低系統(tǒng)安全風(fēng)險(xiǎn)，消除安全隱患。

（2）服務(wù)器加固系統(tǒng)

操作系統(tǒng)核心加固通過對操作系統(tǒng)原有系統(tǒng)管理員的無限權(quán)力進(jìn)行分散，使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力，實(shí)現(xiàn)文件強(qiáng)制訪問控制、注冊表強(qiáng)制訪問控制、進(jìn)程強(qiáng)制訪問控制、服務(wù)強(qiáng)制訪問控制、三權(quán)分立的管理、管理員登錄的強(qiáng)身份認(rèn)證、文件完整性監(jiān)測等功能，從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。此外，內(nèi)核加固模塊穩(wěn)定的工作于操作系統(tǒng)下，提升系統(tǒng)的安全等級，為用戶構(gòu)造一個更加安全的操作系統(tǒng)平臺。

5.應(yīng)用層

（1）應(yīng)用服務(wù)區(qū)劃分

應(yīng)用服務(wù)區(qū)主要承載運(yùn)行環(huán)境內(nèi)的應(yīng)用服務(wù)器，包括教育部應(yīng)用的oracle、weblogic等中間件服務(wù)器等。核心區(qū)通過獨(dú)立的防火墻設(shè)備接入應(yīng)用服務(wù)區(qū)。

根據(jù)應(yīng)用系統(tǒng)承載不同的應(yīng)用，實(shí)現(xiàn)不同的功能，不同的管理模式，不同的應(yīng)用系統(tǒng)劃分為不同的保護(hù)等級，應(yīng)用服務(wù)區(qū)分為教育部應(yīng)用區(qū)（三級）、廳主要應(yīng)用區(qū)（三級）、市縣應(yīng)用區(qū)（二級）。

（2）前置服務(wù)區(qū)

提供Web服務(wù)的服務(wù)器被放置在前置服務(wù)區(qū)，主要運(yùn)行網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。在前置服務(wù)器區(qū)邊界部署Web應(yīng)用防火墻，能夠滿足為前置服務(wù)器區(qū)邊界提供強(qiáng)制訪問控制能力以及能夠提供應(yīng)用層針對網(wǎng)站攻擊防護(hù)能力。事前，Web應(yīng)用防火墻提供Web應(yīng)用漏洞掃描功能，檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測、阻斷及防護(hù)。事后，針對當(dāng)前的安全熱點(diǎn)問題，網(wǎng)頁篡改及網(wǎng)頁掛馬，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。從而更有效地對廳網(wǎng)站進(jìn)行全面的保護(hù)，有效降低安全風(fēng)險(xiǎn)。通過部署Web應(yīng)用防火墻彌補(bǔ)防火墻、IPS在應(yīng)用層方面薄弱的防護(hù)能力。

6.數(shù)據(jù)層

（1）數(shù)據(jù)庫安全審計(jì)

數(shù)據(jù)庫服務(wù)區(qū)承載了運(yùn)行環(huán)境下核心應(yīng)用系統(tǒng)的核心數(shù)據(jù)庫。目前共3套核心Oraclerac集群服務(wù)器。在數(shù)據(jù)庫服務(wù)器區(qū)接入交換機(jī)旁路部署兩臺數(shù)據(jù)庫審計(jì)系統(tǒng)，通過技術(shù)手段并結(jié)合管理制度，能夠確保數(shù)據(jù)庫服務(wù)器區(qū)的數(shù)據(jù)庫系統(tǒng)的信息安全；能夠及時(shí)發(fā)現(xiàn)非法用戶以及黑客對數(shù)據(jù)庫錯誤操作和非法操作，并進(jìn)行及時(shí)阻斷；能夠?qū)?shù)據(jù)庫查詢和修改等操作進(jìn)行記錄，并能提供事后追溯；能夠檢測和分析數(shù)據(jù)庫應(yīng)用系統(tǒng)存在的BUG，并能提供相關(guān)報(bào)表信息；對所有數(shù)據(jù)庫操作可實(shí)現(xiàn)字段級的細(xì)粒度審計(jì)，便于數(shù)據(jù)庫管理。

（2）數(shù)據(jù)傳輸安全

保障業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性與保密性。一方面，在外網(wǎng)接入?yún)^(qū)邊界部署IPSECVPN實(shí)現(xiàn)在省級數(shù)據(jù)中心與教育部數(shù)據(jù)中心進(jìn)行數(shù)據(jù)傳輸時(shí)，通過VPN技術(shù)措施進(jìn)行傳輸加密，實(shí)現(xiàn)數(shù)據(jù)通信加密安全；另一方面，在前置服務(wù)器區(qū)部署SSLVPN實(shí)現(xiàn)在福建省教育廳數(shù)據(jù)中心服務(wù)器與外部出差、外部辦公人員應(yīng)用終端之間進(jìn)行數(shù)據(jù)傳輸時(shí)，通過SSLVPN技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募用?，?shí)現(xiàn)數(shù)據(jù)通信加密安全。

（3）數(shù)據(jù)容災(zāi)備份

備份是用戶保護(hù)計(jì)算機(jī)中重要數(shù)據(jù)信息的最佳方式。通過Symantec Netbackup實(shí)現(xiàn)本地統(tǒng)一備份以及遠(yuǎn)程數(shù)據(jù)復(fù)制歸檔的功能，并且在本地配備重復(fù)數(shù)據(jù)刪除功能，通過重刪后的數(shù)據(jù)進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制歸檔，從而降低數(shù)據(jù)的傳輸大小以及對傳輸帶寬的要求。實(shí)現(xiàn)省級教育數(shù)據(jù)中心的各類結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地?cái)?shù)據(jù)備份，制定備份策略，備份服務(wù)器將自動進(jìn)行數(shù)據(jù)的增量備份與全備份操作；實(shí)現(xiàn)各類數(shù)據(jù)的異地歸檔備份數(shù)據(jù)級容災(zāi)，能夠在數(shù)據(jù)中心生產(chǎn)數(shù)據(jù)以及其備份數(shù)據(jù)均產(chǎn)生問題時(shí)，通過容災(zāi)機(jī)房實(shí)現(xiàn)遠(yuǎn)程歸檔備份的數(shù)據(jù)還原操作；實(shí)現(xiàn)教育數(shù)據(jù)中心關(guān)鍵系統(tǒng)的獨(dú)立部署以及本地?cái)?shù)據(jù)備份，大大提高系統(tǒng)的數(shù)據(jù)安全性。

7.運(yùn)維層

（1）安全運(yùn)維管理平臺

安全運(yùn)維管理平臺的主要監(jiān)控對象包括各省級教育數(shù)據(jù)中心所轄硬件設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等）和應(yīng)用系統(tǒng)，主要實(shí)現(xiàn)的功能包括：資產(chǎn)管理、性能監(jiān)控、信息安全告警管理、信息安全事件審計(jì)、信息安全風(fēng)險(xiǎn)管理、工單管理、通告管理及多級聯(lián)動等主要功能。

按照教育部安全運(yùn)維管理平臺統(tǒng)一配置規(guī)范、統(tǒng)一接口標(biāo)準(zhǔn)建設(shè)省級安全運(yùn)維管理平臺，一方面負(fù)責(zé)采集分析省級教育數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件的性能指標(biāo)，實(shí)現(xiàn)省級數(shù)據(jù)中心基礎(chǔ)環(huán)境的業(yè)務(wù)可用性集中監(jiān)測與管理；另一方面收集匯總本級環(huán)境中的安全事件并進(jìn)一步通過關(guān)聯(lián)分析實(shí)現(xiàn)對部署在本級的國家教育管理信息系統(tǒng)的整體安全運(yùn)行態(tài)勢進(jìn)行集中監(jiān)控、分析與管理。最終省級安全運(yùn)維管理平臺通過IPSecVPN構(gòu)建的數(shù)據(jù)加密傳輸通道上報(bào)業(yè)務(wù)可用性運(yùn)行狀態(tài)、重大信息安全風(fēng)險(xiǎn)、重要信息安全事件及信息安全審計(jì)分析報(bào)告等數(shù)據(jù)信息至中央級安全運(yùn)維管理平臺，實(shí)現(xiàn)對全國教育信安全事件的集中監(jiān)測、上報(bào)與響應(yīng)。

（2）應(yīng)用安全監(jiān)測與預(yù)警平臺

應(yīng)用安全監(jiān)測與預(yù)警平臺以應(yīng)用系統(tǒng)為對象，對應(yīng)用系統(tǒng)進(jìn)行漏洞監(jiān)測、實(shí)時(shí)掛馬監(jiān)測、關(guān)鍵字監(jiān)測、可用性監(jiān)測、事后篡改監(jiān)測、安全告警與安全勢態(tài)跟蹤，實(shí)現(xiàn)對應(yīng)用系統(tǒng)的可用性、脆弱性和內(nèi)容安全性進(jìn)行監(jiān)測、預(yù)警。

統(tǒng)一部署的應(yīng)用安全監(jiān)測預(yù)警管理平臺，實(shí)現(xiàn)對部署于數(shù)據(jù)中心的國家教育管理信息系統(tǒng)及自建系統(tǒng)進(jìn)行應(yīng)用安全監(jiān)測與管理；并通過本平臺上報(bào)國家教育管理信息系統(tǒng)的重大安全風(fēng)險(xiǎn)、重要安全事件及應(yīng)用系統(tǒng)安全審計(jì)分析報(bào)告等數(shù)據(jù)信息。

（3）安全運(yùn)維審計(jì)

在運(yùn)維管理區(qū)部署運(yùn)維審計(jì)系統(tǒng)，邏輯上將人與目標(biāo)設(shè)備分離，建立“人-〉主賬號（堡壘機(jī)用戶賬號）-〉授權(quán)―>從賬號（目標(biāo)設(shè)備賬號）的模式；在這種模式下，基于唯一身份標(biāo)識，通過集中管控安全策略的賬號管理、授權(quán)管理和審計(jì)，建立針對維護(hù)人員的“主賬號-〉登錄―〉訪問操作-〉退出”的全過程完整審計(jì)管理，實(shí)現(xiàn)對各種運(yùn)維加密/非加密、圖形操作協(xié)議的命令級審計(jì)。通過細(xì)粒度的安全管控策略，保證服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行，降低人為安全風(fēng)險(xiǎn)，避免安全損失。堡壘機(jī)不僅能記錄操作痕跡，還能回放記錄，追溯責(zé)任，定位問題，運(yùn)維審計(jì)結(jié)果能以各種報(bào)表形式展現(xiàn)，滿足不同人員的需求。

四、結(jié)束語

安全運(yùn)維是確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)，也是信息系統(tǒng)生命周期中的一個長期工作。省級教育數(shù)據(jù)中心安全運(yùn)維技術(shù)保障體系依托統(tǒng)一身份認(rèn)證管理平臺，通過分級和分域進(jìn)行安全管理與保障，實(shí)現(xiàn)各個分域子網(wǎng)安全，實(shí)現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護(hù)，構(gòu)建安全管理中心，提供安全管理、安全監(jiān)控、安全審計(jì)、容災(zāi)備份、應(yīng)急響應(yīng)等安全服務(wù)手段，保證數(shù)據(jù)中心計(jì)算環(huán)境安全，保證承載的國家教育管理公共服務(wù)平臺和本級各類教育管理信息系統(tǒng)的運(yùn)行，最終形成“安全開放、等級保護(hù)、按需防御”的等級化安全保障體系，服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。

參考文獻(xiàn)：

[1]教育部教育管理信息中心.國家教育管理公共服務(wù)平臺省級數(shù)據(jù)中心建設(shè)指南（印發(fā)稿）[Z].2013.

[2]曾德華.省級數(shù)據(jù)中心建設(shè)目標(biāo)、內(nèi)容框架與實(shí)施管理[J].中國教育信息化，2013（13）：8-9.

[3]安宏.國家教育管理信息系統(tǒng)信息安全保障體系建設(shè)[J].中國教育信息化，2013（13）：16-19.

篇10

中圖分類號：TP309.2 文獻(xiàn)標(biāo)識碼：A 文章編號文章編號：16727800（2013）007015203

0 前言

在當(dāng)今信息化高速發(fā)展的時(shí)代，政府部門或者金融機(jī)構(gòu)都面臨著海量統(tǒng)計(jì)數(shù)據(jù)的處理，它們以信息系統(tǒng)為基礎(chǔ)，以互聯(lián)網(wǎng)為途徑，為社會公眾提供各種各樣的服務(wù)。這些機(jī)構(gòu)內(nèi)部通過信息系統(tǒng)處理海量的數(shù)據(jù)，既要求具有高效性，保證工作的順利進(jìn)行；也要求充分保障流程的安全性，在對公眾提供服務(wù)的同時(shí)，能夠抵御互聯(lián)網(wǎng)的各種安全威脅。這就需要在設(shè)計(jì)信息系統(tǒng)和相應(yīng)的安全防御系統(tǒng)架構(gòu)時(shí)，既要在實(shí)現(xiàn)上簡單可行，又要在管理上統(tǒng)一有效，節(jié)約實(shí)施和運(yùn)維成本，真正達(dá)到“綠色數(shù)據(jù)中心”的要求。

1 現(xiàn)有安全隱患

除管理制度上的安全隱患之外，數(shù)據(jù)中心的主要安全隱患來自于現(xiàn)有網(wǎng)絡(luò)各種攻擊技術(shù)。

2.1 數(shù)據(jù)中心邊界

數(shù)據(jù)中心邊界在整個網(wǎng)絡(luò)架構(gòu)中起到網(wǎng)關(guān)的作用，作為內(nèi)部應(yīng)用系統(tǒng)和互聯(lián)網(wǎng)的信息交互通道，公眾通過它來對應(yīng)用系統(tǒng)進(jìn)行訪問[2]。它允許重要的應(yīng)用數(shù)據(jù)通過，首當(dāng)其沖地遭到各種病毒攻擊，針對這一區(qū)域采用一些有效的防御措施和解決方案尤為重要。

在數(shù)據(jù)中心邊界，設(shè)置一系列安全方案，其中包括：

（1）配置安全預(yù)警系統(tǒng)。集病毒掃描、入侵檢測（Intrusion Detection）和網(wǎng)絡(luò)監(jiān)視功能于一體，實(shí)時(shí)捕獲網(wǎng)絡(luò)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的病毒和攻擊特征庫，通

過使用模式匹配和統(tǒng)計(jì)分析的方法，檢測出網(wǎng)絡(luò)上發(fā)生的病毒入侵、違反安全策略的行為和異?，F(xiàn)象，分析可能出現(xiàn)的攻擊行為，對各種入侵行為做出響應(yīng)，同時(shí)在不影響網(wǎng)絡(luò)性能的前提下進(jìn)行監(jiān)測，避免由外部攻擊造成的損失[3]。并在數(shù)據(jù)庫中記錄有關(guān)事件，作為事后分析的依據(jù)，實(shí)時(shí)對CPU占用率進(jìn)行檢查，防御DDoS攻擊，保持系統(tǒng)的可用性。

（2）部署高性能的防火墻、防病毒網(wǎng)關(guān)，過濾掉容易受到病毒襲擊的服務(wù)端口組，在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)病毒監(jiān)測、攔截和清除等功能。

（3）專網(wǎng)加密機(jī)和CA認(rèn)證中心。專網(wǎng)加密機(jī)主要是通過對所傳輸信息進(jìn)行加密，接收方用私有密鑰對接收到的信息進(jìn)行解密，避免信息在傳輸中遭到破壞。認(rèn)證中心針對信息的安全性、完整性、正確性和不可否認(rèn)性等問題，采用了數(shù)字簽名技術(shù)，通過數(shù)字證書把證書持有者的公開密鑰（Public Key）與用戶身份信息緊密安全地結(jié)合起來，以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。

（4）進(jìn)行應(yīng)用協(xié)議檢查。針對HTTP、FTP、SMTP和POP3協(xié)議進(jìn)行內(nèi)容檢查、病毒清除等工作，對互聯(lián)網(wǎng)與郵件進(jìn)行訪問控制，包括日志記錄、認(rèn)證、授權(quán)和審計(jì)，以保證互聯(lián)網(wǎng)服務(wù)安全。同時(shí)，通過實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系，不但可以保護(hù)數(shù)據(jù)中心資源不受外來侵犯，同時(shí)也可以阻止內(nèi)部用戶對外部不良資源的濫用。

另外，為保證互聯(lián)網(wǎng)數(shù)據(jù)傳輸交互的安全性，可通過虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）技術(shù)，實(shí)現(xiàn)不同地理位置的子部門或者分支機(jī)構(gòu)用戶對應(yīng)用信息系統(tǒng)的安全訪問。VPN技術(shù)為用戶提供了一種通過公用網(wǎng)絡(luò)安全地對內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。VPN連接使用隧道作為傳輸通道，而這個隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上。使用該技術(shù)可以為系統(tǒng)節(jié)點(diǎn)之間的數(shù)據(jù)傳輸提供點(diǎn)到點(diǎn)的安全通道，能有效提高數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性[4] 。

2.2 應(yīng)用信息系統(tǒng)

政府部門或者金融機(jī)構(gòu)通過各類應(yīng)用信息系統(tǒng)對社會公眾提供服務(wù)。信息系統(tǒng)通常設(shè)計(jì)成瀏覽器/服務(wù)器（Browser/Server）體系結(jié)構(gòu)，通過Internet/Intranet模式下的數(shù)據(jù)庫應(yīng)用，實(shí)現(xiàn)不同的人員、從不同的地點(diǎn)、以不同的接入方式（如LAN、WAN、Internet/Intranet等）訪問和操作共同的數(shù)據(jù)庫，能有效地保護(hù)數(shù)據(jù)平臺和管理訪問權(quán)限[5]。在系統(tǒng)實(shí)體上，應(yīng)用信息系統(tǒng)包括Web服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及存儲區(qū)域。

應(yīng)用信息系統(tǒng)相對于數(shù)據(jù)中心的其它兩部分而言，有較強(qiáng)的獨(dú)立性。另外，各應(yīng)用系統(tǒng)部署時(shí)相對獨(dú)立，為不同的應(yīng)用系統(tǒng)服務(wù)器分配不同的IP地址，當(dāng)新業(yè)務(wù)系統(tǒng)上線或者原有應(yīng)用系統(tǒng)升級時(shí)，不會影響到數(shù)據(jù)中心的架構(gòu)，不影響其它應(yīng)用系統(tǒng)及整個網(wǎng)絡(luò)的正常運(yùn)行。

2.2.1 Web訪問安全

Web服務(wù)器對外部的用戶提供Web訪問的功能，因此其安全保障要求很高。Web服務(wù)器保證外部有權(quán)限的用戶通過它正常地訪問數(shù)據(jù)中心，針對這一區(qū)域采用一些有效的防御措施和解決方案也是必不可少的。

針對Web訪問可能造成的數(shù)據(jù)泄密或病毒攻擊，采用一系列方案進(jìn)行處理。首先，用戶身份的確認(rèn)在B/S系統(tǒng)中是不可或缺的，這就需要進(jìn)行嚴(yán)格的訪問控制和用戶權(quán)限控制[8]；其次，需要引入對Web應(yīng)用進(jìn)行內(nèi)容審查和應(yīng)用隔離機(jī)制，刪除或者關(guān)閉不必要的服務(wù)；針對敏感數(shù)據(jù)，為了保護(hù)其在傳送過程中的安全，可采用SSL/TLS（Security Socket Layer/Transport Layer Security）加密機(jī)制[6]；采用網(wǎng)站防護(hù)系統(tǒng)對Web服務(wù)器進(jìn)行加固。SSI/TLS是用來解決點(diǎn)到點(diǎn)數(shù)據(jù)安全傳輸和傳輸雙方的身份認(rèn)證而提出來的安全傳輸協(xié)議。它在客戶端和服務(wù)器之間提供安全通信，允許雙方互相認(rèn)證、使用信息的數(shù)字簽名來提供完整性、通過加密提供消息保密性。

2.2.2 應(yīng)用及數(shù)據(jù)庫安全

應(yīng)用及數(shù)據(jù)庫服務(wù)器為應(yīng)用信息系統(tǒng)的核心部分，也是B/S體系不可缺少的部分。這一部分用到的關(guān)鍵技術(shù)有：可擴(kuò)展標(biāo)記語言（EXtensible Markup Language，簡稱XML）、簡單對象訪問協(xié)議（Simple Object Access Protocol，簡稱SOAP）、AJAX（Asynchronous JavaScript and XML）等。

針對這一區(qū)域，可以利用XML數(shù)據(jù)加密技術(shù)、SOAP數(shù)字簽名技術(shù)等，保證應(yīng)用安全。數(shù)字加密技術(shù)可以防止公用或私有化信息在網(wǎng)絡(luò)上被攔截或竊取。數(shù)字簽名可以驗(yàn)證消息源的可靠性，還可以保證消息發(fā)送者不能否認(rèn)發(fā)出的消息[7]。

2.2.3 存儲介質(zhì)安全

數(shù)據(jù)中心的安全，不但需要有完善的信息安全方案，還需要覆蓋到安全存儲的部分，這是和傳統(tǒng)的數(shù)據(jù)中心完全不同的地方。數(shù)據(jù)庫靠一系列存儲介質(zhì)來實(shí)現(xiàn)對數(shù)據(jù)的存儲。

針對存儲部分的安全策略和解決方案主要有：動態(tài)和靜態(tài)的數(shù)據(jù)加密[8]、存儲數(shù)據(jù)的訪問控制、數(shù)據(jù)的分段管理等。通過對安全問題和存儲介質(zhì)的研究和探索，若干標(biāo)準(zhǔn)也相應(yīng)被推出，這也是當(dāng)前的熱點(diǎn)課題之一。

2.3 信息安全管理平臺

在數(shù)據(jù)中心內(nèi)部針對應(yīng)用信息系統(tǒng)部署了防病毒等一系列安全設(shè)備后，可以在一定程度上提高安全防御水平，降低發(fā)生泄密事件的概率。在此基礎(chǔ)之上，為加強(qiáng)對系統(tǒng)的統(tǒng)一管理，引入信息安全管理平臺。

信息安全管理平臺的目的是給整個系統(tǒng)（包括數(shù)據(jù)中心邊界和應(yīng)用信息系統(tǒng)）做實(shí)時(shí)的監(jiān)控和維護(hù)。

信息安全管理平臺實(shí)時(shí)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的安全狀況進(jìn)行統(tǒng)一監(jiān)控，采集安全事件和日志信息，進(jìn)行整合和關(guān)聯(lián)分析，評估安全風(fēng)險(xiǎn)，審計(jì)用戶行為，產(chǎn)生安全事故和告警并及時(shí)進(jìn)行應(yīng)急響應(yīng)，確保相關(guān)系統(tǒng)業(yè)務(wù)持續(xù)運(yùn)行，協(xié)助管理人員排除安全隱患和安全故障，同時(shí)為相關(guān)部門的信息安全審計(jì)和考核提供技術(shù)手段和依據(jù)，實(shí)現(xiàn)全網(wǎng)的安全集中監(jiān)控、審計(jì)和應(yīng)急響應(yīng)，全面提升數(shù)據(jù)中心的信息安全保障能力。

對數(shù)據(jù)中心的安全運(yùn)維人員而言，只需通過對信息安全管理平臺的監(jiān)控即可實(shí)現(xiàn)對整個系統(tǒng)的監(jiān)控，大大減少了工作量，提高了工作效率。

3 安全管理制度建設(shè)

數(shù)據(jù)中心應(yīng)盡力保障數(shù)據(jù)中心環(huán)境中的網(wǎng)絡(luò)設(shè)備和服務(wù)器能夠穩(wěn)定、可靠地運(yùn)行，從而向客戶提供高質(zhì)量的服務(wù)。在數(shù)據(jù)中心安全運(yùn)行中，人始終是最重要的因素，因此有必要進(jìn)行相關(guān)制度建設(shè)，并使進(jìn)出機(jī)房人員遵守?cái)?shù)據(jù)中心的有關(guān)制度，從而確保數(shù)據(jù)中心的正常運(yùn)作。在制度建設(shè)中，要考慮制度涵蓋數(shù)據(jù)中心的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全。建立健全相關(guān)安全保密、機(jī)房訪問、環(huán)境管理、設(shè)備管理等制度，依據(jù)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)安全保密規(guī)定》，嚴(yán)格控制對數(shù)據(jù)中心和機(jī)房的訪問，保持所使用的辦公環(huán)境和機(jī)房環(huán)境的整齊、清潔、有序[9]。

4 結(jié)語

數(shù)據(jù)中心的建設(shè)是一個系統(tǒng)化的工程，不但需要考慮性能、容量、環(huán)保，安全性同樣值得大家關(guān)注。針對紛繁復(fù)雜的網(wǎng)絡(luò)攻擊，我們在構(gòu)建數(shù)據(jù)中心時(shí)，既要考慮到能夠有效消除各種安全隱患，又要考慮到系統(tǒng)的靈活性和延續(xù)性，便于升級和維護(hù)，同時(shí)還要求系統(tǒng)能支持?jǐn)?shù)據(jù)的完整性、應(yīng)用的可達(dá)性，采用合理的安全體系結(jié)構(gòu)和安全管理制度可以事半功倍。

參考文獻(xiàn)：

[1] 李軍.DDoS攻擊全面解析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（9）.

[2] 吳曉光.多維度透析數(shù)據(jù)中心建設(shè)[J].金融電子化，2010（12）.

[3] 黃迪.電子政務(wù)網(wǎng)安全技術(shù)研究及應(yīng)用[D].重慶：重慶大學(xué)，2008.

[4] 趙磊.政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估與安全控制[D].上海：上海交通大學(xué)，2008.

[5] 鐘秀玉.基于Web的MIS信息安全設(shè)計(jì)[J].微計(jì)算機(jī)信息，2009（6）.

[6] 孫靜萍.Internet的安全通信協(xié)議SSL與SET的剖析和比較[J].現(xiàn)代計(jì)算機(jī)，2011（4）.