好投稿
搜索

期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 安全审计培训

安全审计培训精品(七篇)

时间:2023-07-02 09:21:35

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇安全审计培训范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

安全审计培训

篇(1)

关键词:山区道路;安全审计;内容;步骤

道路安全审计(RoadSafelyAudits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。

1道路安全审计的起源与发展

1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。

目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。

道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。

2山区道路安全审计内容

加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。

3审计要素

典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。

整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。

安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。

4现有山区道路的安全审计

对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。

理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(<30km)可直接进行第二阶段的工作。而对里程在30km~100km的道路,两阶段审计工作可根据具体情况灵活进行。

由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。

另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减少相应的成本费用。

5我国山区道路的审计现状及问题和解决方法

5.1审计现状及问题

由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。

5.2解决方法

要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。

6结束语

山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:

(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。

篇(2)

尽管针对信息系统的监理工作已经开展了多个年头,但是其主要的工作目标仍然集中在以系统集成为代表的信息基础设施建设以及以软件研发为代表的应用系统建设,对于认知度和重要性日益提高的信息安全,监理体系的发展尚有很长的路要走。

作为信息监理体系中的一个分支和必要组成部分,信息安全监理既保有信息监理的基本特征,同时又有很多个性特质,这主要是信息安全本身的特性使然。

在实践中,信息安全不但与通常的监理对象一样具有规划、实施、运营等等清晰的工作周期,而且由于信息安全工作在变更、响应、教育方面的高要求,使得信息安全监理在开展过程中需要关注更多的问题。处理好这些问题,信息安全才能真正保障。

认识篇:安全监理 并不遥远

基于多年对信息技术产业的关心和促进,我国已经形成一系列的法规、条例和标准用于信息领域相关工作的规范和管理。针对信息安全领域,于1994年2月18日的《中华人民共和国计算机信息系统安全保护条例》,是我国信息系统安全体系的核心法律依据;而作为GB17859-1999国家标准的《计算机信息系统安全等级保护划分准则》则为我国的信息安全工作提供了标准上的支持。特别是2006年上旬公安部的《信息安全等级保护管理办法(试行)》,也称7号文件,其中针对不同等级的信息系统明确的在监管和监管资质方面进行了规定。这些法规标准的出台和实施为信息安全的监理工作提供了有效的生长环境,同时也预示着信息安全监理的大幕正在拉开,通过第三方的监理手段提高信息安全工作有效性正成为产业中一股新的力量。

重视实施

在信息安全工作体系当中,监理可以发挥极为重要的作用,有效的监理工作可以节约资源并保障信息安全工作的顺利开展。

在实施信息安全的过程中,监理机制可以保障安全特性与系统核心的工作目标适配,避免安全目标与系统目标之间发生冲突。即使对于信息安全本身,其保密性、完整性和可用性三大基本要求之间也存在着潜在的冲突,例如,在很多时候为了提高保密性的要求而可能会损害到信息的可用性,这些问题的权衡和建议体现了监理工作在整个系统体系设计层次的作用。

基于资源有限这一基本原理,在实施信息安全工作的过程中一个非常重要的问题在于使用合适的资源对不同类型的信息资产进行保护。很多信息安全工程或是没有分清保护的重点,或是对某些信息资产投放了过度的资源,这对于系统的安全乃至系统本身的运转都会造成不良影响。监理机制能够在资源调配上起到监管作用,从设计阶段就发现信息安全系统中潜藏的缺陷。

作为监理机制最重要的作用之一,监督信息安全的实施过程是信息安全监管的重中之重。即使拥有完善的信息安全系统设计也并不能保证信息安全工作的成功,保证实施方按照设计方案正确的进行实施与对设计方案的分析一样重要。在很多信息安全工程中存在着执行不利的问题,监理工作非常适合在执行过程中的发挥保障作用,在这类相对确定且可变性较低的层面可以充分发挥监理的标准化能力及管理能力。

从规范到管理

众所周知,在信息安全体系中管理制度和人员的因素与其它信息工程相比要占据更重要的地位。从信息安全制度规范的实施到安全意识技能培训,往往受制于企业内部的阻力。通过监理的形式促进这些工作的开展,除了可以有效的提高信息安全工作的质量,同时还可以推进整套工作的进展。

一个容易被忽视的信息安全问题是信息安全体系建设完成之后的管理,在一个信息安全系统建设完成之后并不代表着工作的结束,运营过程中的监管是不容忽视的。一个应用系统层面的变更带来的往往是生产力的促进和提高,而这种变更所带来的安全层面的变更往往会对信息安全体系造成巨大的破坏。所以在信息安全体系建设之后的生命周期当中,监理机制仍能够起到重要作用,保证信息安全工作的延续性。

对比篇:拨开安全监理与审计的迷雾

审计通常是指审计方在接受委托后,通过收集各种信息和证据从而对审计目标是否达到了预先设定的目标进行判断和指导,延伸到信息安全领域就是通过对计算机系统的数据进行记录和检验从而了解系统是否达到了要求的安全指标。而依照《信息系统工程监理暂行办法》,信息系统监理是指依法设立且具备相应资质的监理单位受托依据国家有关法规和标准对信息系统工程项目实施监督及管理。从概念上分析,这两种服务的目的都在于降低信息系统工程实施过程中的风险,从基本出发点上是完全相同的。

走出概念的误区

在实际的工作范畴以及作用等方面,监理和审计并不完全相同。

就一个信息安全体系来说,本身就需要记录充分的信息予以存档留待需要时分析,这也是审计机制中最核心的鉴证功能。但是一个成熟的信息审计过程并不仅仅如此,更重要的是通过第三方的力量对目标信息的真实性、完整性、可靠性进行验证,从而为决策行为提供充分有效的证明。从不同的视角对一个安全系统进行分析,可以更加真实的还原信息系统的安全现状,同时可以利用审计机构所具备的知识和经验,完善系统设计,以提高实施成功率。

从这一点来看,信息安全审计服务与信息安全监理服务的作用有一定的交叉性。而在此基础之上,信息安全监理还具有一些信息安全审计不具备的职能。首先信息安全监理需要履行监管的职责,也即不仅仅象信息安全审计过程一样要进行咨询、分析、建议,还要对整个安全体系的实施乃至运行采取强于审计工作的控制,以第三方的力量稳定项目发展的轨道。另外,信息安全监理还需要在项目开展过程中协调客户与实施方等多方之间的关系,保证参与方确实的履行合同条款,去除隐藏的欺诈行为。也就是说信息安全监理更侧重于项目成功的保障,而信息安全审计更侧重于信息的可信性。

值得一提的是,在针对项目范畴的信息审计在关注信息可信的基础上也包含了对信息系统有效性的审计,集中体现于对项目完成后系统运营状态的审计,在对于这一生命周期的关注上信息安全审计要强于信息安全监理。

正确实践

在实际的信息安全项目当中,信息安全监理与信息安全审计也有很多区别,集中体现于工作主体上的差异。

对于监理来说,必须由第三方完成相关工作,否则就失去了公正性和监管力。而对于审计来说,除了聘用外部机构对系统的安全性开展审计工作之外,很多情况下审计工作也可以由组织内部的信息安全团队完成。在通常情况下,基本的信息安全审计都是由内部人员定期执行并向管理层进行反馈,利用外部力量进行审计的情况相对较少,这也与国内用户对第三方审计的认知不够有关。

另外,审计和监理服务所面向的服务对象也有一定的差异。信息审计所具有的公证性目标,在执行信息安全审计时往往服务于类似管理层这样发起审计要求的局部对象。而信息安全监理则往往服务于用户和实施方两方,即使在特定情况下监理机制作用于组织内部的不同部门和层级,也具有作用多个对象的特征。

总体来看,在作用方面信息安全监理与信息安全审计处于相互融合、互相支撑的关系。在一个成功的信息安全项目当中,两者的作用都不容忽视,应该根据具体需要进行具体选择,并开展符合实际应用环境的具体应用。

实践篇:安全规划 重在督导

缺乏规划性是很多信息安全项目失败的主因,所以监理机构有责任向用户提出实施规划方面的建议。建议的方面有很多,而主要的原则面则基于成熟的信息安全项目操作经验。

安全原则不容忽视

首先我们要在规划制订过程中树立以人为本的意识,对计算机系统进行安全管理要充分结合对人的管理。授权最小化是安全管理的核心原则之一,保障权限授予的合理并减少冗余是任何安全体系成功的基础。

另外,在安全规划中不能忽视却常常被忽视的一个问题就是物理安全,协助用户分析如何管理各种存储介质,完善用户所在建筑物的安全管理,都是在监理工作过程中需要注意的问题。

对于安全事件的响应也是监理应该重点关心的方向,很多用户的信息安全体系具有完善的保护计划,但是在执行保护工作的过程中却常常因为缺乏健全的响应计划而导致信息资产的损失。特别是对于那些服务范围只涉及建设过程的监理,如果在规划阶段忽视了运营过程中的响应机制,就会给客户遗留一个缺乏后续保障的安全体系。

除此以外,还有很多问题值得关注,但相对来说有更多的范例可以借鉴,同时也更加容易通过规范来保障。信息安全监理应该在全局掌握的基础上,重点关注那些相对容易忽视、可变性较高、人员协调需要较强的范畴。

有效沟通是保障

规划的建立只是开始,在整个信息安全监理工作过程中,应该通过与用户的充分沟通,形成一套切实可行的安全管理制度。一般常见的安全管理制度包括了权限管理、操作规章、定期检测制度、信息分级、信息销毁、介质管理、响应计划、变更管理、员工培训等等。在形成制度的同时,一个更加不容忽视的问题在于制度的学习和实践,这也是监理机构发挥督管作用的重要阵地。

在实际工作过程中,制度的推行往往在客户方遇到一定的阻碍,而面对这种阻碍,往往会导致实施方降低项目的推进力。在这种情况下,监理方应该及时、确实的把握双方的思维动向,缓冲双方之间的矛盾,以便于达到项目协调的作用。

另外,监理方还应该对照双方确认完成的制度条款,通过检验手段保证安全管理工作能够顺利实施。这样既能够保证用户得到有效的安全保护系统,同时也是对实施方的工作成果负责,在此基础上监理方才能对双方的利益开展协调。在监理工作当中还有一个需要高度重视的问题,那就是监理方本身对于制度的遵守和执行。

作为用户与实施方的媒介,监理方必须严格依照实现制订的标准完成监理工作,这是获得信任的基础。同时监理方也应该尽力遵守用户和实施方之间的协议以及制订出的制度(例如进场制度),只有得到两方的尊重,才能顺利保证监理工作的开展。

教育在信息安全体系中的重要性已无需多言。信息安全所包含的知识跨越了很多领域,既有计算机技术,又覆盖了安防意识的范畴,而且还包含了诸如物理安全、社交工程学等很多与计算机科学没有直接联系的内容。

篇(3)

三亚凤凰国际机场航班流量随着三亚知名度的扩大而不断增加。xx年更是达到了创纪录的年旅客吞吐量1000万人次,本场航班量不断突破历史新高。面对航班量大,全国天气条件复杂,航行通告量大增,该同志每天接班后,及时了解本场的飞行计划和飞行动态,针对外航临时包机,公务机飞行,提前准备,按照站调岗位提供的 fpl电报,制作提供pib。

安全审计工作是今年各项工作的重中之重,它直接关系到空管站全年安全责任目标的落实。在安全审计准备阶段,该同志一心扑在工作上,牺牲了很多休息时间,做了大量的资料分类归档工作,协助飞服室领导健全了航行情报岗位各项规章制度,使得飞服室航行情报岗位以优异成绩顺利通过安全审计。

今年以来,由于航班量大增,需要上机延伸服务的航班量也大增,所需要的pib同时大量增加。该同志认真做好cnms系统的报文检查,及时修改报文,作到所提供的航行资料及时、准确、完整。

在专机和重要飞行保障工作中,该同志能够认真完成专机和重要飞行的保障工作。收到每一项重要飞行计划,该同志都能及时了解飞行动态,根据飞行计划提前制作pib航线数据,为专机和重要飞行任务提供了航行情报保障。

除了完成航行通告处理工作外,还及时给塔台、站调提供三XX情报区内的数据资料(包括一级航行通告,三亚航线光盘数据,明语摘要,三亚飞行程序换页资料等)。当遇到特殊航行通告时(如机场关闭、跑道关闭、禁航等通告),该同志在信息通报工作方面,及时、准确地向塔台、站调等部门提供 重要信息的航行通告。

在做好本职工作的前提下,积极配合飞行报告席位的工作。做到互相提醒,互相弥补。航行情报工作对航行资料的准确性、及时性和完整性要求极高,该同志在每次收到总局下发的换页资料时,都能在第一时间及时修订航行资料,保证了航行资料的准确、完整。

这两年新进同志较多,该同志在和新同志一起工作时,能够做好传帮带,把自己多年的工作经验与新同志进行分享,帮助新同志较快地胜任了航行情报岗位工作。节假日,航班量增多,工作量也随之增大。为了保障节假日的飞行安全,该同志把渴望与家人团聚的念头深深地埋在心底,从未在这时候提出休假,都能以工作为重。

篇(4)

研究院的安全服务主要包含四大独立服务:安全服务、监测服务、睿眼通和信息安全应急响应指挥平台。服务内容主要包括以下几个方面:

首先是安全咨询。以“业务需求管理”为核心出发点,依托ISO27001、ISO17799等国际信息安全标准和法规及行业规范,融合自上而下的指导方针、管理策略、业务流程运行规则、系统操作指南,建立信息安全管理体系。

其次是安全培训。安全培训旨在提高客户的信息安全意识和技能,为最大程度上提高客户的整体安全防卫意识和安全防卫技能,真正把信息安全管理体系落到实处,提供强力有效的技术支撑保障。

再次是安全评估。对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性评估,为客户信息安全管理体系策划提供基础。

最后是安全加固。结合等级保护国家政策及行业规范,通过现场调研,合理使用安全加固工具等为客户提供安全加固服务,主要提供主机加固、系统加固、数据库加固、应用服务器加固、应用加固等服务,安全补丁、安全策略调优、配置优化等服务。

七大监测服务主要包括下几个方面:

第一,“睿眼”外网安全监测预警服务平台是一套软硬件一体化监测平台,以大数据技术为依托,集成了Web漏洞扫描检测技术、采用远程监测对外网网站提供7×24小时实时安全监测服务。通过对网站的不间断监测服务及时发现威胁,从而提升网站的安全防护能力和网站服务质量,并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。

第二,“睿眼”移动安全监测预警服务平台,为政府和企事业单位搭建一个应用App统一存放、统一管理、统一安全监测的AppStroe平台,通过此平台进一步提升用户办事体验,同时方便国家、省部级对下级单位进行移动App管理和统计。

第三,“睿眼”内网安全监测预警服务平台,基于对内网网络系统安全运行的考虑,平台提供对内网的实时安全监测、分析和预警功能。

睿眼通

睿眼通是七大监测预警服务平台提供给客户的一款智能移动终端,基于客户对信息安全情况的即时需求,以七大监测预警服务平台监测结果为主线,可以成为客户处理信息安全问题、了解安全状态趋势、掌握最新安全资讯的贴心助手,随时随地了解网站及信息系统等的整体运行情况。

信息安全应急响应指挥平台

应急响应指挥平台通过各大监测预警服务平台实时监测结果,对告警的安全故障或安全威胁,以最短的时间进行故障排查定位和应急处理。

安全产品

公司安全产品包括堡垒主机系统、系统安全加固、审计系统和信息共享管理系统。

(1)堡垒主机系统。堡垒主机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。堡垒主机系统软件扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。

(2)系统安全加固。系统安全加固V1.0产品是软硬件相结合的产品,通过硬件USB-KEY,提高了服务器系统的安全性,克服单纯使用软件防护的局限性;软件部分包括服务器操作系统安全增强软件、服务器安全,以及统一安全管理平台软件。

(3)审计系统

①日志审计系统。日志审计系统一方面可以集中收集、长时间存放所有的记录日志,避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生,另一方面日志审计系统强大的日志审计功能可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段,从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成,大大减少信息部门的工作量。

②网络安全审计系统。网络安全审计系统主要通过旁路监视并记录对数据库服务器的各类操作行为,通过对各类网络行为的分析,实时地、智能地监控审计,并将审计数据存储,以便日后进行查询、分析,实现对整个网络环境内的操作访问行为的监控和审计。

篇(5)

在武汉洪山监狱服刑的兰世立自从今年2月以来,就没见过他的亲人和律师。

四年前,被称为“中国民营航空第一人”的兰世立,曾和王石、冯仑一起到武汉洪山监狱看望同时背负“首富”和“首骗”名号的牟其中。他当时肯定想不到,三年后他也会监居于此。

2009年3月14日,民航中南局用明传电报的方式,要求东星航空公司停飞;在多次申请行政复议无果之后,东星航空的实际控制人东星集团在今年2月8日向广州市白云区人民法院提起行政诉讼,请求判令民航中南局的行政处罚决定无效。2月24日,广州市白云区法院正式受理此案,5月9日开庭审理。

这是中国民航史上首个民告官案例,本刊曾在3月25日以《兰世立:首富的绝笔》为题报道。

为何延期举证?

在东星集团总裁助理、兰世立的侄女兰剑敏眼里,事情早该有个了断。

5月9日是第一天庭审。这场主角缺席的庭审进行了将近四个小时,双方各有一名代表和一名律师出席庭审。

法庭审判员表示,此案争议的主要问题有六个:一是东星集团作为东星航空股东是否具备行政诉讼主体资格,二是时间是否在法定诉讼时效内,三是民航中南局作出的停飞决定属于行政强制措施还是行政处罚,四是停飞的事实依据是否充分,五是这一行政行为的法律依据何在,六是执行停飞决定的程序是否合理合法。

民航中南局代表认为,东星航空公司已经破产清算,东星集团没有行政主体资格。对此,兰剑敏向《中国经济和信息化》记者表示,东星集团是东星航空的全盘出资人,作为东星航空公司的股东和直接利害关系人,它在法律上均可以作为东星航空的行政主体对被告进行行政诉讼。

2009年8月26日,湖北省武汉市中级人民法院裁定东星航空有限公司破产清算,东星航空由此成为中国航空业界首个破产企业。但是,直到当年年底破产清算才正式结束。这也是东星集团两年后才提讼的原因。按照法律规定,直到这时,东星航空的股东才能落实主体资格,取代破产管理人来代表东星航空。

然而,这个案子的开庭审理还是比预期晚了两个月。这是因为民航中南局“申请延期两个月举证”。这是庭审的另外一个焦点。法庭上,东星集团看到民航中南局要求逾期举证的申请。民航中南局逾期举证的理由是:分级管理路程较远导致收集证据困难。

“行政诉讼法第一条第一款,被告不提供或者无正当理由逾期提供证据的,视为被诉具体行政行为没有相应的证据。”非法律专业出身的兰剑敏,因为打这场官司,对法律条文出口成章。她理解不了,这次是在民航中南局注册地,何以还会有“路程较远”的问题。

她还提到,行政处罚法要求处罚之前就应有相应证据,民航中南局作为行政单位作出行政处罚决定应当是依照法律程序查明事实,搜集了足够的证据之后才对被处罚机构进行行政处罚,不应该出现需要延期举证的情况。

针对民航中南局所下的停飞决定是否有充分的法律依据和事实依据,民航中南局方面表示,要求东星航空停飞的决定属于行政强制措施,其法律依据是安全生产法的相关规定。此外,民航中南局在勒令东星航空停飞前的一段时间内,就已经确认东星航空存在不少安全隐患问题,如超时飞行、身体有缺陷的飞行员驾机飞行等。再加上公司因经营不善而濒临破产边缘,所以民航中南局才会下这个停飞决定。

民航中南局人认为,在作出暂停飞行的决定之前,东星航空已严重资不抵债,濒临破产。公司董事全部缺位,员工思想极不稳定,安全投入无法保证。东星航空2009年初发生了包括员工摔伤在内的多起事故,东星航空在适航飞行、飞行员稳定、对人员培训投入、公司管理流程方面存在诸多问题。根据《安全生产法》第56条规定,民航主管部门在紧急情况下可以采取行政强制措施。当时东星航空的乱象已经危及到飞行安全,必须马上停飞。

对于民航中南局提到的东星航空员工思想不稳定的情况,兰剑敏解释了其中的原因:2009年3月7日,武汉市交委下了一个文件,要求飞行员签订降薪协议,薪水降到国航的普通薪金标准。员工便产生思想波动。当时武汉市交委曾经让兰世立来做飞行员的工作。兰剑敏还指出,民航中南局发出停飞行政行为的时候,并未对东星航空的任何工作作业进行检查。

对于民航中南局所下停飞决定的程序问题,东兴集团律师严义明认为,其操作程序值得商榷,毕竟停飞事关重大,民航中南局应派人直接找到东星航空相关责任人进行交办,而不应该使用明传电报。

武汉的沉默

2009年3月14日,星期六,武汉结束了持续多日的阴雨,天气转晴,温度适宜。政府部门一般在周末都不上班。但就在这一天,东星航空与民航中南局的矛盾集中爆发。

当天,武汉市政府办公厅给民航中南局发出一封《关于停飞东星航空公司航班的函》;民航中南局称,应武汉市人民政府请求,暂停东星航空公司航线航班经营许可;武汉市地税局稽查局出具税务稽查报告,认定东星航空涉嫌隐匿资金、逃避追缴欠税款共计5000余万元;武汉市公安局经侦处于当天立案侦查,在广东珠海将准备出关的兰世立抓获。

第二天,周日。武汉市交委和中航集团接管了东星航空有限公司。东星走入破产重组程序。

自从兰世立入狱以来,兰剑敏一直在想方设法让他摆脱囹圄。她每次探监聊起公司的事情就会很生气,这个时候,以个性刚烈知名的兰世立却反过来劝她:“做大事的人是没时间生气的,你有更多的事情要做。”

兰剑敏告诉本刊记者,自东星集团对民航中南局提讼后,湖北省洪山监狱就不再允许兰世立的亲人和律师去探望兰世立。今年1月24日,她最后一次见到兰世立时,他的状况很不好,人变得又黑又瘦。

自从东星航空被停飞,舆论就十分关注此事。很多人认为,从某种角度讲,东星航空“死得有些冤”。

“和国有航空公司这个嫡长子相比,东星航空等民营航空企业真是姥姥不疼、舅舅不爱。”一位业内专家在接受本刊记者采访时如是说。民营航空在我们国家发展过程中,政策和政府支持的力度很小,比如在资源分配上就极不平衡。

“仅是申请航线,东星航空遭遇的困难就不是你能想象到的。”兰剑敏说,包括航时,这些东西都不是轻易能够拿得到的。实际上除了飞行员以外,民营航空公司根本就不能公平地去跟国营航空公司竞争。为了拿到航线,东星航空的高管曾经天天住在审批部门附近,求爷爷告奶奶,去争取国营民航企业轻而易举就能到手的东西。

至于东星航空被停飞,还有一个特殊背景,2008年下半年,金融危机蔓延全球,东星航空陷入了困境。兰剑敏告诉本刊记者,2009年2月11日,由武汉市政府牵头,财政局、税务局、国土局等多个部门组成一个工作组,商量如何促进中航集团对东星航空的收购。各部门什么时间干完什么工作几乎都以军令状的形式下达。

但在2009年3月13日,东星航空发表声明,拒绝被中航集团收购。有分析人士指出,此举显然触怒了中航集团和武汉市政府。

针对这个问题,当记者致电相关部门时,武汉市市长秘书袁善腊手机关机,交委新闻发言人覃诗章的手机直接进入手机秘书服务台,交委主任彭俊的手机通了但一直无人接听,市交委副主任邓万想两部手机皆畅通但无人接听。武汉市交委办公室一位不愿透露姓名的工作人员告诉《中国经济和信息化》记者:“你别找彭主任了,现在这个事情统一由市宣传部管,彭主任不会接受采访的。”截至发稿时,记者给交委主任等人发去的短信仍无回复。

据兰剑敏透露,民航中南局曾申请不公开审理,法院没有批准。兰剑敏对庭审结果很乐观。她告诉记者,目前一审暂停,如果双方没有最新的证据或者突破性的证据提供,一般不会有二审。虽然法院尚未宣判,具体结果仍未可知,但若根据庭审表现判定,东星集团胜诉的把握比较大,正常情况下会在五月底前有结果。严义明也表示,东星集团有信心获胜。

但是,中国政法大学刑事诉讼法教授洪道德告诉《中国经济和信息化》记者,这类行政诉讼的胜率很小。这倒不是说明民告官一定告不赢,而是民航中南局应该能够承担得了证明责任。也有业内人士表示,民航管理局以安全问题停飞一家航空公司完全说得过去,当时东星航空资金短缺必然会影响到飞行航材、飞行人员等方面,这些都和安全息息相关。因此,这次东星航空胜诉的可能性不大。

究竟是否安全?

5月9日的庭审过程中,民航中南局为证明当时其作出停飞决定的依据是东星航空存在安全隐患问题,将所有东星航空成立以来的违规案例向法庭出示。对此,兰剑敏向本刊记者说,东星航空自2008年12月12日获得民航局的安全审计报告,拿到了94.6%的得分。“是民航局自己做的安全审计报告,让我们每个航空公司去参加,同意我们飞了我们才飞的。现在又说这不代表安全,可笑不可笑?”

东星集团认为,安全审计之前的安全隐患不至于停飞。而且,从民航中南局提交的每日安全审计报告可以看出,安全审计后到民航中南局下停飞决定之日,没有一起安全审计是足以构成停飞决定的。因此,民航中南局的停飞决定是毫无依据的行政行为。

“被告方提出了一个非常语出惊人的观点:安全审计报告的94.6%不能说明飞行安全问题,并举例说,川航当年的得分超过97%,而在审计报告出来的第三天就出了一起安全事故。那么到底什么条件可以说明航空公司无安全问题?”东星集团提出的这个问题,也在拷问民航监管部门:安全的标准是什么?航空局安全审核的参考价值有多大?这些问题都伴随中国航空史上首例民告官事件一起出现。

法庭上,主审法官多次问民航中南局律师:“除了安全生产法以外,相关法律法规有没有规定,民航主管部门可以在哪些情况下做出停飞决定?”、“民航方面的法律法规有没有规定哪些情况下做出停飞决定?”民航中南局代表三次表示“没有非常明确的法律条文”。他还表示:“至于到底怎么认定该不该停飞?这是个世界性难题,我们发展中国家的法律不可能规定到这么细。”

上海泛洋律师事务所高级合伙人刘春泉律师在接受《中国经济和信息化》记者采访时表示,民航中南局拿出的理由是安全,这是无法反驳的理由。但这里面有个问题,就是安全的标准认定问题,东航、南航、国航就不存在这些问题吗?如果他们也存在这些问题,民航局也会让他们停飞吗?

此外,监管部门的工作程序也值得商榷。

北京市蓝鹏律师事务所主任律师张起淮曾表示,民航中南局的做法没有按照政府职能部门依法行政的规定实施,其中可能还掺杂了一些个人的恩怨,在程序上存在着诸多的漏洞和问题。不管民航中南局的停飞决定是否有充分依据,都应该依法行政,否则民营航空企业的头上将永远悬着一把剑。

刘春泉律师称,民航史上的首例民告官不是坏事,会使民航系统优化,民航系统应积极配合,而不是抵触。即便败诉,也是申张法制的表现。

篇(6)

【关键词】 社保基金; 联网审计; 应用困境; 实践对策

一、研究现状述评

实施社保基金联网审计,是社保基金审计方式的创新,更是信息化时代对社保基金实现动态监督管理的客观要求。基于信息化环境下,对社保基金联网审计的研究述评大致可归纳为以下三个方面:

(一)关于社保基金计算机联网审计的研究

我国开展计算机联网审计比较晚,尤其是对社会保障基金联网审计的研究,目前仍然处于试点探索阶段。2001年3月审计署在信息化建设总体目标和构想中提出了审计系统信息化建设的总体目标是用五年左右时间,建成对财政、税务、海关等部门和国有企事业单位的财务信息系统、电子数据系统实施有效监督的联网审计信息化系统,改变目前审计手工作业的现状。2004年国家审计署以“金审工程”建设为背景,在计算机审计实践和相关软件技术研究的基础上设立的“联网审计技术研究与应用”项目通过了中科院组织的可行性技术专家论证,标志着我国联网审计研究工作的正式启动,进入了科研攻关阶段。张平(2006)依据现代软件新技术理论,深入研究了联网模式下的计算机辅助审计,从社保联网审计(SNA)系统需求分析出发,完成了联网审计系统的总体设计,并研究认为SNA系统的目标是将手工审计与计算机审计相结合,在联网模式下进行审计。由胜勇(2007)对数据约简及其在社保联网审计中的应用进行了研究,使用Java等工具开发了一个基于数据库系统的数据约简工具D.B.Reduced,并将该工具应用于社保联网审计中,对社保业务数据进行约简,预期效果较好。宝晓娜(2009)重点研究了基于CGSP的社保审计网格及门户技术,对社保审计网格的虚拟数据库和网格文件系统展开了深入研究,并指出社保审计网格门户继承了Grid sphere框架提供的核心Port let基本功能。

(二)关于社保基金计算机联网审计技术的研究

计算机审计技术是开展联网审计的重要保证。2005年初,山东青岛市审计局对社保计算机审计的技术方法进行了探讨,编写了《社会保障计算机审计实务》一书,系统阐述了信息化环境下养老保险等各项社保基金审计技术。浙江省审计厅联合浙江大学计算机系进行过计算机技术在社保审计中的应用研究,初步实现了对养老保险业务的联网监督。为解决计算机审计技术要求高的难题,青岛市审计局运用PB9.0+SQL SERVER2000技术,自主开发了对养老、医疗等五项社保基金征缴环节的计算机审计技术。李媛媛(2007)在现有安全审计系统的基础上,结合广州市财政系统功能和业务特点,提出了一种新型的计算机安全审计系统—财政安全审计系统(Finance Security Audit System,简称FSAS),并根据财政业务系统面临的问题,提出了FSAS系统的应用、体系结构设计和关键审计模块的审计技术。陈伟(2008)认为,计算机审计技术是为了满足信息化环境下审计的需要,以计算机为基础对信息系统数据进行审计的技术,联网审计技术主要由数据采集、数据传输、数据存储和数据分析这四部分组成。谢岳山(2009)对联网环境下的电子签章、网络数据库和电子商务软件系统三大类关键要素的审计技术展开了探讨,认为联网环境下信息系统的审计需要多种计算机审计技术支持。李春洋(2011)研究发现,计算机审计技术在信息化环境下存在审计业务能力与信息化发展水平不均衡、审计机关信息化程度与被审计对象不对称、计算机审计系统操作性不强等问题,并提出了加强理论研究、推进审计软件开发、加快数据库建设,完善联网审计体系等推进审计技术发展的建议。

(三)关于社保基金计算机联网审计软件的研究

目前我国有部分审计机关对社保基金计算机联网审计软件开展了相关研究,如江苏南通市成功开发部署AO系统,将审计经验和计算机语言有机结合,极大提高了审计效率;山东青岛市审计局在社保基金审计中探索运用计算机辅助审计,开发了养老、医疗等五项社保基金征缴计算机审计软件系统,成为山东省审计机关自主开发成功的首个社保基金计算机审计软件系统;黑龙江省审计厅进行了养老保险联网审计软件研发,系统顺利上线并通过审计署验收;江苏太仓市审计局建立了几十个养老保险审计指标,通过构建方法模型研发联网审计应用软件,进行养老保险业务联网审计。钮铭钢(2011)探索了运用审计软件AO实施养老保险基金审计,研究认为被审计单位的财务数据由业务数据自动生成,取得凭证表,通过AO软件“采集转换—业务数据”功能导入。岳桂云(2010)对计算机审计软件流程标准化进行了探讨,研究指出审计软件的流程标准化包括业务流程和数据流程两大部分。陈伟(2009)阐析了目前国内流行的审计软件有:现场审计实施系统(AO软件)、北京通审软件技术公司开发的通审2000、金剑审计系统2005和中审法规软件等。汪孝竹(2006)认为,由于软件公司的开发人员仅从自身专业角度出发,并不了解审计实务,既精通计算机编程又熟悉审计业务的复合型人才很少,导致审计软件不实用,因而审计系统计算机人才缺乏问题,是制约审计软件开发的因素之一。

二、现阶段我国开展社保基金联网审计面临的现实困境

社保基金联网审计实现了“预算跟踪+联网核查”相结合,是一种新型的审计方式。与传统的审计方法相比,该审计方式突出的优势体现在快速采集与准确转换相结合,采集数据和分析数据的效率极大提高;实时监控与动态预警相结合,能及时发现并查处违规操作问题;远程审计与现场审计相结合,拓展了审计范围等方面。根据前文的研究现状述评可知,我国在联网审计方面已取得了一定成果,部分审计机关也开始了对联网审计的试点探索工作,但在实际应用中推广联网审计之路仍然漫长曲折,诸多困境制约着该审计模式的运行和发展:

(一)数据安全与网络安全保障措施不足,联网审计存在较大的审计风险

由于社保中心数据库的数据涉及机密,不能轻易暴露在外网,但当前审计单位审计信息系统的网络化却威胁着社保基金联网审计系统的数据安全与网络安全,网络资源共享更使联网审计信息面临着安全威胁。在联网审计环境下,社保业务信息的电子化以磁介质为主要存储载体,这使攻击者对原始数据进行非法修改或删除,且不留篡改痕迹成为现实,这将无法保护数据的完整性,大大增加了审计风险。由于联网审计系统数据安全控制不足,或因审计单位不严格遵守审计信息保密规定,使得信息被窃取,更常见的是由于审计人员操作失误,导致业务数据丢失,或由于审计人员擅自更改微机设置,使联网审计操作系统被破坏,造成数据损失。各种各样的审计风险(如图1所示),使社保基金业务数据的安全性难以得到保证。再加上计算机病毒的肆意侵袭,也威胁到联网审计的数据安全和网络安全,甚至破坏整个联网审计系统,审计风险即随之增加。

(二)联网审计缺乏专门的技术规范,尚未建立起统一的法律法规制度体系

我国在社保审计领域中运用联网审计技术还处于试点阶段,目前国家尚未出台专门的联网审计技术规范,相关的法律制度很欠缺。联网审计是审计方式的创新,以往的社保基金审计法律法规体系,已不能完全指导和规范联网审计的实践与操作,也不能完全解决联网审计实务中出现的所有新问题。虽然有些实现联网审计的地方出台了相关的地方性规章制度,但还缺乏统一的联网审计法律法规体系,造成了审计机关能否具有与被审计单位联网取得数据的权力、有没有随时获取被审计单位数据并进行审计的权力等一系列阻碍联网审计应用的问题。此外,联网审计尚缺乏一套标准的审计程序及与此相配套的审计文书,在联网审计的技术规范、操作流程及分析模型方面尚未建立起统一的标准,致使审计人员无法根据相对统一的标准对社保基金展开审计工作,不同地区不同审计人员使用的审计方法与技术各不相同,联网审计效果得不到根本保证。

(三)审计人员的综合素质难以满足联网审计工作需要,缺乏复合型审计人才

联网审计是一项对计算机技术和审计业务知识要求很高的工作,这就要求审计人员不但要具备丰富的财务及审计知识,并熟悉审计政策、法规和其他审计依据,而且又要掌握计算机基础知识和网络技术,并对被审计单位计算机软硬件系统有充分的了解。在审计实务中,很多审计人员停留在传统的审计模式上,无法适应信息化环境下新形势的发展要求,特别是在基层审计部门,有些审计人员尽管财会审计经验丰富,但对计算机技术与网络知识了解不多;而有些审计人员的计算机技术水平较高,但与审计相关的财务知识不够扎实。由此可见,目前我国很缺乏复合型审计人才,能够完全胜任联网审计的专业技术人才也非常稀缺。

三、社保基金联网审计应用困境的实践对策探讨

结合信息化环境下社保基金联网审计的应用困境,运用计算机、审计、社会保障等相关学科的专业知识,借助现代审计体系和技术方法探讨解决社保基金联网审计困境的实践对策,以推进社保基金联网审计向更深层次发展,提升社保基金审计监管的技术水平。

(一)强化安全防范措施,保障联网审计的数据安全与网络安全

⒈建立数据安全控制规程。为保证联网系统中数据的安全性,建立数据安全规程,强化数据安全控制,对系统中的数据应规定审计人员的使用权限,规定哪些人员可以查阅哪些审计数据,审计人员只有经过授权才能访问系统数据。

⒉采取数据专网传输措施。考虑到社保中心数据在网络传输中的安全性,应采用专网传输方式进行社保中心财务、业务数据采集,为数据安全保驾护航。

⒊依靠技术设备保障网络安全。社保联网审计专网与社保中心内部使用的业务系统网络不能够联通,应严格实施审计专网与互联网物理隔离措施。同时强化外网安全保护措施,采取先进的防火墙技术,安装网络版杀毒软件,防止病毒入侵,保护联网审计网络安全。

(二)强化技术规范与制度建设,为联网审计提供制度保障

⒈完善社保基金联网审计立法体系。审计机关应在总结联网审计探索经验的基础上,结合联网审计实践情况,出台有关社保基金联网审计的规章制度,制定《社保基金联网审计实施办法》、出台《社保基金联网审计网络化管理实施办法》,增强联网审计单位的法律制度意识。同时,审计机关应从优化外部环境和建立内部控制制度两方面着手为社保基金联网审计提供制度保障。

⒉加快社保基金联网审计规范化建设。规范化建设就是从社保基金联网审计系统的整体出发,对各地区开展联网审计的操作流程、审计程序、软件要求等各个环节制订规程,规范管理。审计署可以在系统技术层面上出台建设标准及社保基金联网审计操作指南,明确岗位权限、联网审计程序等操作要求,不断促进社保基金联网审计规范化发展。

⒊构建社保基金联网审计标准化管理体系。标准化管理体系的建设分三个阶段进行:首先,提出联网审计标准化管理需求;其次,为联网审计系统的运行制定具体标准;最后,组织监督联网审计单位落实标准。社保基金联网审计系统的标准化体现在硬件与软件两方面。在硬件方面,统一联网审计单位的数据中心机房建设标准,配备全国统一的硬件设备;在软件方面,使用统一技术支持的联网审计软件标准,完善联网审计软件研发与技术支持商管理制度等。

(三)强化技能培训并革新教育模式,不断提高联网审计自主创新能力

⒈加强知识技能培训。一方面,社保基金审计机构应强化对审计人员的继续教育,加强财会知识及社保知识培训;另一方面,对审计人员进行计算计技能培训与社保基金信息化技术培训,通过开展“联网审计专业技术培训月”等形式,提高审计人员的联网审计工作能力。

⒉引进复合型审计人才。首先加强对现有审计人员的培训,制定审计人员在职学习规划;其次采用招聘政府雇员等人才引进方式,引进联网审计所需的复合型人才,满足联网审计长期发展需要。

⒊强化培训与激励。具体的做法有:建立专门的联网审计工作领导小组;对熟练掌握联网审计技术者、在联网审计专业技术知识年度考核中表现优秀者及在联网审计工作中取得突出业绩者等颁发奖励;对“社保基金联网审计运用能手”实行“三个优先”(评先评优、职务晋升、学习培训)的激励机制。

【参考文献】

[1] 钱润红,崔云.社会保险基金审计方式探讨[J].贵州大学学报(社会科学版),2010(4):21-24.

[2] 喻婷.社会保险基金绩效审计评价体系研究[D].西南财经大学硕士学位论文,2010:15-22.

[3] 李蕊爱.企业职工基本养老保险资金的审计探索[J].中国审计,2010(22):35-37.

篇(7)

[论文摘要]通过对电力系统计算机网络存在的网络安全问厦的分析,提出相应的安全对策,并介绍应用于电力系统计算机网络的网络安全技术。

[论文关键词】电力信息安全策略

在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。

研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。

一、电力系统的信息安全体系

信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。

信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。

作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。

信息安全应该实行分层保护措施,有以下五个方面,

①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。

二、电力系统的信息安全策略

电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:

(一)设备安全策略

这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。

(一)安全技术策略

为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:

1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。

2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。

3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。

4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。

5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。

6.建立信息安全身份认证体系。CA是CertificateAuthority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。

(三)组织管理策略

信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。

1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。

2.安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。

3.安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式,建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。

相关文章
热门文章
相关期刊