时间:2023-08-18 17:25:19
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇安全保障管理策略范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:档案安全;保障体系;研究综述
2010年5月12日,国家档案局杨冬权局长在全国档案安全系统建设工作会议上提出“建立确保档案安全保密的档案安全体系,全面提升档案部门的安全保障能力”的号召,把档案安全的重要性提升到一个新高度。[1]近年来,档案安全保障体系研究已引起学界的关注,成为较热的一个研究课题。我们课题组也在做档案安全保障体系的研究,笔者期望对学者以往的研究做以归纳提炼,以资研究探索。
笔者于2011年12月22日,在万方数据库中,以“档案安全保障体系”为检索词,起始年“2000”,结束年“2011”检索到论文84篇。在维普中文科技期刊数据库搜索到与“档案安全保障体系”相关内容论文20篇,笔者对其中相关度较高的文章进行了分析研究,综述如下:
1 档案安全保障体系的内涵
档案安全保障体系的建设具有持续性、多样化、可完善性等特点,是一项复杂的系统工程。构建档案安全保障体系的前提是分析档案安全保障体系的理论定位与实际应用的关系。
张美芳、王良城认为,目前,国内外关于档案安全保障体系的理解大致有三层含义:其一,控制环境,降低风险。这里的“环境”,是指档案保管环境、物理环境、社会环境、信息存储环境等,降低环境因素对档案安全的影响,最大可能降低风险。其二,建立安全保障平台,采取安全防护措施,使档案尽可能保持稳定状态。其三,对已经处于不安全环境中的档案,采取各种措施使其达到新的稳定状态,保存其信息的可读、可用和可藏。这三层含义包括档案安全保障体系中社会因素、管理体制、组织体系、策略、政策法规、安全保障技术或安全保护效果的评价等较为宏观的要素。[2]
2 档案安全保障体系的构建目标和指导思想
2.1 构建目标。彭远明认为,档案安全保障体系建设的总体目标是:针对档案的安全需求、管理现状和存在问题进行安全风险分析,提出解决方案和预期目标,制定安全保护策略,形成集预测、保管、利用、抢救一体化的保障体系。[3]杨安莲认为,档案安全保障体系的构建目标应该是:采取全面、科学、系统的安全保障策略,保证档案信息的安全性、完整性和可用性,杜绝敏感信息、秘密信息和重要数据的泄密隐患,确保档案信息的全面安全。[4]
2.2 指导思想。彭远明认为,构建档案安全保障体系的指导思想是:在体系内合理进行安全区域划分,以应用和实效为主导,管理与技术为支撑,结合法规、制度、体制、组织管理,明确等级保护实施办法,确保档案的安全。[5]张美芳、王良城认为,档案安全保障体系建设的指导思想应是:坚持严格保护、有效管理、分类指导、合理利用,以健全法律法规、提高人员素质、加强规划管理、完善基础条件、强化监管手段为重点,立足当前,着眼长远,加快体制机制创新,加强统筹协调,全面增强档案资源保护力度,推动我国档案事业持续健康发展。[6]
3 档案安全保障体系的建设原则
档案安全保障体系的构建应该根据档案安全现状及其面临的威胁与隐患,从档案安全保障工作的整体和全局的视角进行规范,在构建过程中应该遵循一定的原则。彭远明、张艳欣、杨安莲、黄昌瑛、张勇等都提出了档案安全保障体系的建设原则,笔者采用统计归纳的方法,从中提炼出以下共性原则:
3.1 标准规范原则。档案安全保障体系的建构和策略的选择必须符合我国现行法律、法规的规定要求,必须遵循国际、国家的相关标准,严格遵照相关规章制度。[7][8]
3.2 科学实用原则。档案安全保障体系应在充分调查研究的基础上,以档案安全风险分析结果为依据,探寻有针对性的特色理论,制定出科学的防范措施与方法,这些理论、措施与方法应当在实践层面上具有可操作性。[9][10][11]
3.3 全面监控原则。档案安全保障工作是一个系统工程,需要对各个环节进行统一的综合考虑、规划和构架,任何环节的安全缺陷都会造成对档案安全的威胁。[12]
3.4 适度经济原则。根据档案的等级决定建立什么水平的防范体系,根据风险评估和各单位的财力、物力决定资金投入的多少及如何分配使用资金,将资金用在最迫切的地方。既要考虑到系统的可操作性,又要保证安全保密机制的规模与性能满足需要,实现安全保护效率与经济效益兼顾。[13][14][15]
3.5 动态发展原则。档案安全保障体系的建设是一个长期的不断完善的过程,所以,该体系要能够随着安全技术的发展、外部环境的变化、安全目标的调整,不断调整安全策略,改进和完善档案安全的方法与手段,应对不断变化的档案安全环境。[16][17][18][19]
3.6 自主创新原则。加强档案安全保障方面的关键技术的研发,密切跟踪国际先进技术的发展,提高自主创新能力,努力做到扬长避短,为我所用。[20][21]
4 构建档案安全保障体系的方案设计分析
许多学者对档案安全保障体系的建设方案提出了自己的设想,他们从不同的角度切入问题,得出不同的结论,笔者根据学者的研究成果,总结出一套较为完善的档案安全保障体系方案。
4.1 安全管理理论。理论从实践中取得并能指导实践,为实践指明前进的方向。在先进理论的指导下,实践往往能取得较好的成果,理论水平的高低因此也往往预示着现实中该领域的水平高低。
4.1.1 前端控制。前端控制思想具体到安全保障活动中是:档案安全保障的标准化的建设与应用;为开展安全保障活动而制定的计划方案、普查活动;人员配置合理和技术力量的前期储备、设备的选择和环境的控制、整个预防性安全保障活动的监督、检查和评估;为妥善保管档案而选择的装具、包装等;事先制订的应急预案、抢救预案,等等。[22]
4.1.2 全程管理。全程管理是伴随着档案的生命周期而开展的一切安全保障管理活动。[23]包括日常维护、灾难备份、利用与服务、恢复与抢救、质量检查与评估、风险预测,等等。[24]
4.1.3 后期监督。后期监督包括安全保障活动的评估、人员技术水平的评估、财政结算、开展安全保障活动后的总结报告、制度、规范或标准的完善、提供参考性的开展安全保障活动的经验、方法或模式。[25]
4.1.4 风险管理。构建档案安全的风险管理机制,依次进行安全风险计划制订、风险评估、风险控制、风险报告以及风险反馈。通过评估风险,识别判定风险大小,判定每种风险相对的档案安全保护对策,并通过一定的方式方法进行风险控制,规避、转移或降低风险对档案造成的损害。[26][27]
4.1.5 人才教育培养。树立科学的人才培养观,建立科学合理的档案安全人才培养体系,建立系统的人才资源培训和贮备机制,加大人才培养的力度。[28]做到“有计划、有重点、分层次、分类型、多形式、多途径”地开展档案安全人才的教育和培养。[29]
4.2 安全基础设施
4.2.1 实体安全基础设施。档案实体安全基础设施是指维护档案安全、实施档案正常管理、保障档案开发利用,提供为全社会方便服务等工作而进行的基础建设,包括档案保管环境、档案存储设施、档案利用设备、档案维护监控设备、档案抢救与恢复设施等。[30]
4.2.2 信息安全基础设施。档案信息安全基础设施是为信息安全服务的公共设施,为档案部门的安全保障体系建设提供支撑和服务,主要包括:档案信息系统PKI(网络信任体系)、档案信息灾备中心、档案信息系统应急响应支援中心、档案信息安全测评认证中心、档案信息安全服务中心(外包服务)、档案信息安全执法中心等。[31]
4.3 安全策略
4.3.1 实体安全策略。实体安全必须具备环境安全、设备安全和介质安全等物理支撑环境,注重环境防范、设备监控、介质管理、技术维护等安全措施的完善,消除安全隐患,确保档案安全。[32]
4.3.2 管理安全策略。针对档案安全的管理需求,在完善人员管理、资源管理、利用服务、重点部位维护、灾害防范、突发事件应急处置、专业人才教育培训的基础上,建立健全安全管理机制和制度,并结合管理技术,形成一套比较完备的档案安全管理保障体系。[33][34]
4.3.3 网络系统安全策略。强化操作系统、数据库服务系统的漏洞修补和安全加固,对关键业务的服务器建立严格的审核机制;合理划分安全域及边界,建立有效的访问控制制度;通过实施数据源隐藏,结构化和纵深化区域防御消防黑客入侵、非法访问、系统缺陷、病毒等安全隐患,保证档案系统的持续、稳定、可靠运行。[35][36][37]
4.4 安全技术。技术是影响档案安全的关键因素,档案安全技术是多方面、多层次的,包含预防、保护、修复和维护等技术,可以有效保证档案安全。
4.4.1 基于实体的保护技术。主要有:①各类档案载体的管理与保护技术;②档案损坏的测试与评估技术;③受损档案的修复技术。[38]
4.4.2 基于环境的防护技术。主要有:①库房建筑标准与围护结构功能的设计、施工和实施;②档案保管的设备设施和有效装具;③档案库房和利用环境的监测技术;④温湿度调节与控制技术;⑤有害因素的控制和防护技术。[39]
4.4.3 基于信息的安全技术。主要有:①系统安全技术:操作系统安全和安全审计技术等;②数据安全技术:数据加密技术、应急响应技术、数据备份与容灾技术、基于内容的信息安全技术和数据库安全技术等;③网络安全技术:防火墙技术、防病毒技术、漏洞扫描技术、入侵检测技术、物理隔离技术、服务技术、网络监控技术和虚拟网技术等;④用户安全技术:身份认证技术、数字签名技术和访问控制技术等。[40]
4.4.4 基于灾害的保护技术。主要有:①灾害的预警与防范技术;②档案灾害的应急处置技术;③档案次生危害的防范技术;④灾后受损档案的抢救与恢复技术。[41]
4.5 安全法规制度。完善的档案安全法律法规和制度是保障档案安全的基石,只有不断制定和完善档案安全法规制度,才能做到有法可依、违法必究,才能更好地维护档案的安全。[42]
4.5.1 制定并遵循法规标准。各地方应根据国家标准,结合本地区、本系统、本单位的具体情况,制定相应的规范和标准,以使档案安全管理规范化和标准化。[43]
4.5.2 建立健全档案安全管理制度。包括:档案归档安全制度、档案整理安全制度、档案查阅利用安全制度、档案日常管理维护制度、档案保密制度、档案信息安全管理制度、档案鉴定和销毁制度、档案资料出入库管理制度以及重要档案异地、异质备份制度;[44]受损档案抢救制度、电子档案信息安全制度以及档案安全行政责任制等。
4.5.3 建立完善档案安全管理机制。包括:信息交换机制、法律保障机制、日常防范机制、灾害预警机制、应急处置机制、[45]组织建设机制、制度建设机制、风险管理机制、人员管理机制等。
4.6 安全保护效果评价。对档案安全保障体系评价的目的,是对档案安全保障体系的有效性进行评估。[46]首先,确定待评价系统的范围,选择适当的评价方法,确定适当的评价指标。然后,收集有关数据进行统计分析,得出评价结果,再进行持续改进,以不断提高档案安全保障体系及其具体过程中的有效性和效率。[47]
4.6.1 评价方法。根据被评价对象本身的特性,在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。目前,存在的综合评价方法有:属性融为一体评价方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法。[48]
4.6.2 评价指标。根据国内外的档案安全评估标准,国家对档案安全的基本要求,综合考虑影响档案安全的各种因素,建立档案安全评价指标体系。包括:①物理安全评价指标:环境安全评价、设备安全评价、载体安全评价;[49]②管理安全评价指标:规章制度评价、工作流程评价、管理措施评价、业务技术评价;③技术安全评价指标:保护技术评价、网络技术评价。[50]
5 结语
纵观学者对档案安全保障体系的研究,研究角度和切入点各有不同,观点纷呈,但还是缺乏深入、系统的研究,有待于我们进一步思考、探讨。
注:本文是河南省档案局科技项目《档案安全保障体系现状调查》(项目编号:2011-B-51)阶段性成果之一。
参考文献:
[1]张照余.对建设档案安全保障体系的几点认识[J]. 浙江档案,2011(1):36~39.
[2][6][24]张美芳,王良城.档案安全保障体系建设研究[J].档案学研究,2010(1):62~65.
[3][5][7][33][41]彭远明.档案安全保障体系构建及其实现策略研究[J].上海档案,2011(4):14~17.
[4][12][15]杨安莲.论电子文件信息安全保障体系的构建[J].档案学研究,2010(10):75~78.
[8] [13] [17]张艳欣.档案安全保障管理机构的构建[J].档案管理,2010(5):7~9.
[9][14][16][29]王茹熠.数字档案信息安全防护对策分析[D].哈尔滨:黑龙江大学,2009.
[10 ][18][19]黄昌瑛.电子档案信息安全保障策略研究[D]. 福州:福建师范大学,2007.
[11][20][21]张勇.数字档案信息安全保障体系研究[D].苏州:苏州大学,2007.
[22][23][25]张美芳,董丽华,金彤.档案安全保障体系的构建[J].中国档案,2010(4):20~21.
[26]陈国云.从风险管理的视角探讨电子文件安全管理问题[J].北京档案,2008(6):16~18.
[27]张迎春.档案安全保障体系研究[D].安徽大学,2011
[28]方国庆.数字档案信息安全保障体系建设中的问题与策略[J].机电兵船档案,2010(5):59~61.
[30]王良城.档案安全保障体系建设基本任务探析[J].中国档案,2010(4):18~19.
[31] [40]项文新.档案信息安全保障体系框架研究[J].档案学研究,2010(2):68~73.
[32][38]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010(3):54~58.
[34]冉君宜.抓好“五个必须”构建档案安全保障体系[J].办公室业务,2010(9):55~56.
[35]陈慰湧,金更达.数字档案馆系统安全策略研究[J].浙江档案,2008(7):21~24.
[36]王凡,朱良兵.档案安全保障体系建设实践[J].贵州水力发电,2010(12):76~78.
[37]周向阳.电子档案信息安全保障体系建设的研究[J].机电兵船档案,2010(5):64~66.
[39]金玉兰.关于加强档案安全保障体系建设的思想[J].北京档案.2010(8):22~23.
[42]曹书芝.网络背景下档案信息的安全保障[J].兰台世界,2006(5):2~3.
[43]宗文萍.基于价值链理论的档案信息安全管理[J].档案学研究,2005(1):38~42.
[44]杨冬权.以丰富馆藏、提高安全保障能力和公共服务能力为重点,实现档案馆事业跨越——在全国档案馆工作会议上讲话[J].档案学研究,2009(6):23~29.
[45]卞咸杰.论档案信息安全保障机制的建立与完善[J].2007(6):18~20.
[46][50]方婷,吴雁平.档案安全保障指标体系建设研究[J].档案管理,2011(6):12~15.
[47]田淑华.电子档案信息安全管理研究[D].太原:中北大学,2009.
关键词:计算机;信息系统安全;现状
计算机信息系统的安全,关乎使用者的信息隐私,对企业而言关乎企业经济发展,在当前的计算机信息系统的应用下,加强信息系统的安全保障工作就显得格外重要。计算机信息系统的安全问题比较多样,对使用者的信息安全有着很大威胁,通过从理论上对计算机信息系统安全防范措施的分析研究,就能从理论上对解决计算机信息系统安全提供支持,更好的促进计算机信息系统的作用发挥。
1计算机信息系统安全类型以及影响因素分析
1.1计算机信息系统安全类型分析
计算机信息系统安全有着诸多类型,其中在计算机的实体安全方面,主要就是信息安全以及网络传输安全和软硬件安全层面。从信息安全层面就是对信息的完整性以及保密性和可用性的安全保障。在网络传输安全层面,由于计算机网络种类多,比较容易出现信息传输中的安全问题,对网络传输的安全得以保证也比较重要[1]。再有就是计算机软硬件的安全,硬件时计算机信息系统的运行载体,在硬件的安全保障方面加强就比较重要。而软件的安全就是在操作系统方面的应用安全性以及管理安全性的保障。计算机信息系统安全类型中的使用者安全内容上,也是对系统安全保障的重要方法。主要就是计算机信息系统使用者的安全意识以及安全技术和法律意识的内容,在这些层面得到了加强,对计算机信息系统的安全性也能有效保障。在当前的计算机使用者安全的现状亟需改善,一些信息乱改以及乱拷贝的问题还比较突出[2]。在使用者的安全层面加强保障,对计算机信息系统安全就能有效保障。计算机信息系统的安全类型中的运行安全也比较重要。计算机运行的安全就是对信息的正确处理,以及对系统功能的充分发挥,保障计算机信息的安全性。在计算机运行安全方面涉及的内容也比较多,其中的风险管理以及审计跟踪和应急处理等管理都是比较重要的内容。例如在风险管理层面,就是对计算机信息系统的安全防护的重要举措,对计算机信息系统可能遇到的安全风险问题加以防御。
1.2计算机信息系统安全影响因素分析
影响计算机信息系统安全的因素表多样,其中病毒是对计算机信息系统的安全有着直接影响的因素。计算机病毒自身有着潜伏性以及和迅速传播的特性,对计算机信息系统的安全有着很大威胁,计算机病毒的出现会造成信息系统的瘫痪,造成信息数据的丢失,对整个网络系统的安全性也有着很大威胁。计算机病毒自身的潜伏性比较突出,会依附在程序上以及软件当中,在计算机信息系统的运行中,会不断的扩大化,造成计算机信息系统的瘫痪,影响计算机的正常使用[3]。计算机信息安全系统的影响因素还体现在软硬件漏洞上。系统的应用过程中,不管是计算机软件还是计算机硬件,都会存在着一些漏洞,这些漏洞就是不法分子攻击的突破口,一些黑客对计算机信息系统漏洞的利用,对系统进行破坏,窃取系统信息等。严重的会对整个网络服务器造成瘫痪,对计算机用户自身的利益有着严重损害。在不同计算机软硬件的系统设置都会存有不同漏洞,这也是计算机信息系统安全的重要影响因素,对这些影响因素加以及时消除就显得比较重要。计算机信息安全的影响因素还体现在人为层面。在受到人为因素的影响下,对计算机信息系统安全也会造成很大威胁。一些计算机用户在安全意识上不强,对计算机系统的应用没有注重安全设置,没有对系统设置访问权限,这就比较容易受到黑客的攻击。在操作过程中的不慎,也会造成信息数据的丢失等[4]。这与这些层面的计算机信息系统安全问题,就要充分重视,对这些影响因素详细分析,找到针对性的应对措施。
2计算机信息系统安全策略特征以及设计范围及原则
2.1计算机信息系统安全策略特征体现分析
计算机信息系统的安全防范就要注重策略的科学制定,在安全策略的制定方面有着鲜明特征。安全策略实对计算机信息系统安全问题应对的重要举措,在安全策略的完整性以及确定性和有效性特征上比较突出。在策略的整体性安全特征上比较重要,在对计算机信息系统设备的安全保障以及数据信息的安全保障和互联网的安全等,都是比较重要的保护内容[5]。在安全策略当中的确定性特征就是对安全隐患的防范要能确定,而有效性就是安全策略的制定要能有效的防范实际中的信息系统安全问题。
2.2计算机信息系统安全策略设计范围分析
计算机信息系统的安全策略设计要注重范围的有效把握,多方面结合将安全策略的完善性得以呈现。在对计算机信息系统的物理安全策略以及网络安全策略和数据备份策略等,都要能和实际安全现状相结合,在范围上尽量的扩大化,只有这样才能有助于计算机信息系统的安全保障。
2.3计算机信息系统安全策略设计原则分析
对计算机信息系统的安全策略设计过程中,要遵循相应的原则,只有如此才能真正有助于信息系统的安全保障。在对安全信息策略制定中,对先进网络技术科学应用就要注重,还要重视对用户自身的安全风险评估分析,对安全机制的选择科学化,然后和技术应用相结合,从而形成全面的安全防范系统。在计算机信息系统安全策略设计中,在安全管理层面要加强重视,在计算机网络使用中的安全管理办法要完善,在对内外部的管理都要进行全面加强,并要在对安全审计以及跟踪体系加强建设,对网民的安全意识进行加强。从法律层面进行完善制定,做好计算机信息系统安全保障的后盾。
3计算机信息系统安全防范的策略和技术应用探究
3.1计算机信息系统安全防范的策略分析
第一,计算机运行环境的安全策略实施。计算机信息系统的安全防范措施制定要多样化,其中的环境安全方面就比较重要。也就是对计算机的软硬件的运行环境安全性要能加以保障,从具体的方法实施上,就要注重计算机的放置地点以及设施的结构完善化,满足实际应用需求。在计算机设备的放置地点要进行审查,要给计算机设备有足够的摆放空间,具备多个入口以及安全出口,在对环境的防护设备层面,对信息的存放安全房间加以明确化。在空调调节系统的安全性上要加以保障,这就需要从计算机系统的运行温度上以及湿度和洁净度层面加强考虑。计算机系统运行中,有诸多的元器件都有热量散发,高温或者低温对计算机系统元器件会带来损害,所以在温度控制上要充分重视,以及在湿度控制方面要加强,并要保持设备的洁净度以及机房的洁净度等[6]。还要注重防火机制的完善实施,对电源和供电的标准化要得以保证。第二,计算机数据备份策略实施。对计算机数据备份策略的实施,就要对回避储存风险加以重视,以及在数据分类方面妥善处理,对业务数据以及关键系统数据的保护加强重视,在数据备份中可将网络备份系统加以应用,通过集中式管理以及全自动备份和数据库备份、恢复等方法的应用,都能对数据信息的安全性得以保障。还可对备份软件加以应用,这样也能有效保障数据信息的完整性。第三,计算机数据安全策略实施。计算机信息系统的安全保障方面,在数据信息的加密策略实施层面比较重要,在数据信息的加密过程以及被加密数据处理上要加强重视,数据信息加密后要保证不能从系统再进行读取,对数据加密策略的编写中,不要涉及太多的细节,信息数据的加密处理,对语言的简单易懂要充分重视,避免采用高技术词汇。在信息数据的加密策略实施中,主要对普通文件的日常保存以及归纳存档和存储转移,数据信息的加密可结合信息的重要度来选择加密方式。
3.2计算机信息系统安全防范技术应用
第一,防火墙技术的应用。对计算机信息系统安全防范技术应用,就要注重多方面技术应用。在对防火墙技术应用层面就要科学化,这是建立在现代通信网络技术以及信息安全技术基础上的安全防范技术。防火墙技术的应用,主要是设置在不同网络的技术,是不用网络以及安全域间信息唯一出入,在防火墙技术应用下就有着比较强的抗攻击能力,安全信息系统的防护作用上比较突出,能对内部网络安全得以保障。在防护墙技术应用下,能将所有安全软件配置在防火墙上,从而有效对网络存取以及访问实施监控审计。第二,入侵检测技术的应用。计算机信息系统安全防范方面,在入侵检测技术的应用上就能发挥积极作用。入侵检测技术的应用对计算机信息系统运行的安全保障比较突出,能对一些可疑的程序进行检测,并进行拦截,对计算机的信息系统安全性保障有着积极作用。第三,网络加密技术的应用。计算机信息系统安全防范技术的网络加密技术应用比较重要,在替代密码以及置换密码是常规加密中的基本加密形式。若计算机网络传输过程中明文为caesarcipher,那么密文对应为FDHVDUFLSKHU,明文与密文总是相差三个字符,为增加替代密码的破译难度,可适当增加明文密文的解锁过程,进行多级加密。通过网络加密技术的应用,对信息的安全以及传输安全就能起到保障作用。第四,脉冲编码调制技术的应用。计算机信息系统安全保护中,在脉冲编码调制技术的应用方面,进行模拟传输数据的波形在信道实施波形编码后,对时间以及取值离散信号波形,如抽样信号的频率范围设定为fm,在现行的系统抽样频率为2.0fm,大约是6000Hz,所以只有当信号频率f≥2.0fm,才能对信息数据准确读取。当前采用的是二进制编码的方式,在对8位的PCM编码的应用下,就能提高信息的安全保障。
4结束语
综上所述,计算机信息系统的安全问题在当前已经比较突出,加强计算机信息系统的安全保障就显得比较重要。在对计算机信息系统安全的策略以及相应技术的研究分析下,就能为实际的计算机信息系统安全保障起到理论支持作用,希望能通过此次研究分析,对实际的计算机信息系统安全保障起到积极促进作用。
参考文献
[1]邵芳.计算机信息安全存储与利用的浅谈[J].电子世界,2014(9).
[2]梁国权.浅谈计算机系统安全与计算机网络安全[J].黑龙江科技信息,2014(35).
[3]曹寿慕.计算机信息安全的新特点[J].吉林省教育学院学报:学科版,2015(10).
[4]刘永波,谭凯诺.计算机系统安全综述[J].中国高新技术企业,2014(1).
[5]郭辉,孙国春,于秋水.计算机网络的安全性分析[J].网络与信息,2015(8).
关键词:计算机技术;电子政务;安全保障
1电子政务发展及建设问题分析
从概念上来说,电子政务是政府在其进行社会管理和社会服务过程中使用计算机信息技术,超越政府各部门之间的职能和时空的界限和制约,目的是能够达到促使政府政务的公平公正、高效廉洁、为民众提供更加优质的服务。我国电子政务系统的雏形始于1993年,是伴随着计算机信息技术的发展而出现的。随着计算机技术的迅速发展,政府门户网站、政府信息服务平台等新兴的电子政务形式也逐渐得到了应用。目前,基于计算机信息技术的电子政务系统的完善和创新是政府改革过程中的重要内容。但在电子政务实施与发展过程中还存在着许多问题,如政府部门对电子政务系统建设的重视程度不高、专职工作人员自身素质不高、电子政务系统的制度化管理不完善等,以及电子政务系统的安全保护技术不到位等。
(1)安全保障制度不健全。政府部门在对电子政务系统安全保障管理制度不健全、管理不到位,在电子政务系统建设维护时缺乏制度化的管理措施。而且,基于计算机信息技术电子政务的信息安全保障工作缺乏信息安全认证机制,非工作人员随意进入网站机房或者利用用户口令进入到网站系统当中。这些制度上的缺失导致信息技术的安全保障工作难度增大,难以应对紧急突发事件,无法保障系统的信息安全。
(2)内部管理松懈。电子政务系统安全保障近年来问题屡屡发生,如政府门户网站受到攻击、主页受到篡改、信息泄露事件等。分析原因,主要是从事电子政务系统安全保障管理工作的人员的安全意识、保密意识及工作责任心不强。甚至网站信息安全保障工作人员泄露内部的网络结构、用户口令,或者是内部工作人员恶意编写破坏程序等,让门户网站信息的安全系数下降。可见,政府门户网站信息泄露、网页篡改的原因,许多时候并非安全保障技术水平不高所导致,更重要的严格内部保障工作的管理。
2重视安全保障技术体系建设
加强电子政务系统安全保障体系的建设,就必须要提高信息安全保障技术水平,建设完善的政府安全信息技术监控体系。政府主管门户系统安全保障工作的部门,要高度重视电子政务系统的安全技术保障措施的完善,从硬件、软件两个方面加强建设。其一,要构建起完善的互联网病毒防御体系,安装防病毒软件并且及时进行更新,对软件进行升级和维护,切实做到有效抵御互联网上的恶意攻击。其二,在信息安全保障系统中加入入侵检测系统,把入侵检测软件和硬件设备相结合,作为防御病毒体系的补充,入侵检测系统主动寻找、分析系统系统内部的运行情况,将违反安全规则的对象和被攻击的部分检测出来,主动保护系统信息的安全。其三,要在硬件设备上及时更新升级,淘汰落后的硬件设备。防止由于设备使用时间长,导致安全保障能力下降。
3强化安全保障的制度建设
政府的电子政务系统,要严格按照国家对信息安全法律法规的标准建立起完善的信息安全管理制度。一要对计算机实施安全保密措施,定期更换计算机密码,并且对网络的访问权限进行制度化管理,涉及重要内容的信息必须要有专业的工作人员在专门的计算机上进行处理。二要对机房进行有效管理,完善机房的管理制度,对进入机房的设定进行权限规定。禁止携带对设备运行产生威胁的易燃易爆物品,设备的更换、更新进行登记,不定期检查设备的运行状态和机房的安全状况。三要健全巡视上报制度,工作人员要定期对系统的论坛、留言板、门户网站等进行检查巡视,完善信息前关键词和敏感字自动过滤的功能,密切关注社会发展的动态,更新敏感词和关键词,建立起垃圾邮件自动清理功能。如果在巡视过程中发现有违反法律法规的行为,及时向公安网络部门报告。四要与公安部门建立起完善的联系制度,打击网络信息犯罪的行为。通过完善政府电子政务系统安全保障制度,建立起长效的安全保障机制,减少因管理失当而产生的系统信息泄露、黑客入侵等行为的发生。
参考文献
[1]张震,刘芬.行政环境与我国电子政务发展的策略研究[J].中国公共安全(学术版),2007,(4).
[2]樊继福.陕西电子政务发展的策略研究[J].西安邮电学院学报,2006,11,(6).
[3]连成叶,李强.我国当前电子政务发展策略研究[J].福建警察学院学报,2008,(6).
【关键词】电力信息系统;安全保障体系;建设原则;思路分析
【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158(2012)09-0046-01
随着计算机技术与互联网技术的发展,电力信息系统的安全在电力企业的正常运营、客户营销、财务管理以及电网调度等方面起着积极地促进作用。黑客与病毒以及安全漏洞在很大程度上威胁着电力企业的正常运营。因此,本文将从电力信息系统的安全保障体系的角度出发,对如何在电力企业中建立电力信息系统的安全保障体系的思路与原则进行有效性研究。
一、关于电力信息系统的概述
电力信息系统包括信息网络、网络服务系统、应用系统、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等系统及上述系统的附属设备。其所涉及的技术有:数据加密技术、入侵检测技术、防火墙、访问控制技术以及网络扫描技术等。在网络硬件方面,已基本实现千兆骨干网、百兆到桌面、三层交换以及VLAN等技术的普遍使用;而在软件方面,主要包括办公信息化系统、一体化整合平台、安全生产管理信息系统、电力地理信息系统、营销管理信息系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、调度、经营、管理等各个领域有着十分广泛的应用,在安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。引发信息系统安全问题的因素包括安全架构在设计上出现问题与管理方面出现问题。
二、针对电力信息系统安全保障体系建设原则的研究
电力信息系统安全保障体系建设不能只是简单地局限在电网运行安全这个方面,需要经过三个阶段:一是信息安全系统的建设;二是信息安全管理的建设;三是信息安全策略的建设。随着信息技术的发展与人们对信息安全人士的加深,电力用户对电网的安全管理与用电需求也在发生着变化,由原先单一的产品逐渐向信息安全的管理与构建转变。由于电力企业在社会经济发展的特殊作用,因此在建设电力信息系统的安全保障体系的过程中,需要坚持以下四项原则:
(一)原则之一——动态性原则
在建设电力信息系统安全保障体系的过程主要坚持动态性原则,主要是因为无论哪个安全保障系统都有可能出现技术或者操作问题,不能为企业运行与管理提供真正的安全。再加上随着黑客技术的发展,安全系统的保障能力也逐渐下降。所以,信息安全系统建设计划要具有可扩展性,可以为电力信息系统提供安全预防与维护以及应急方案,
(二)原则之二——均衡性原则
在建设的过程中坚持均衡性原则,是因为安全保障体系是根据电力企业的安全生茶目标进行设置的,其中所涉及的各项技术都要经过成本与效益方法的分析,以降低施工成本并提升企业的经济效益。
(三)原则之三——立体性原则
在建设的过程中坚持立体性原则,是因为安全保障体系建设不是一个简单地系统建设。它所涉及的内容包括:人文与自然环境、管理知识、相关技术以及法律法规等。因此在建设的过程中,不仅需要从横向的方向进行考虑,还需要从纵向的方向进行考虑,以确保电力网络的信息安全。
(四)原则之四——法令性原则
在建设的过程中坚持法令性原则,是源于《电力二次系统安全防护规定》的相关规定。管理信息大区要访问电力生产控制大区内的数据,需要在两者之间安装电力专用的横向安全隔离设备,而且这类设备是经过国家相关部门认定的。一旦背离法令性原则的设计施工方案都会对电力企业的正常运行带来巨大的经济损失。
三、针对电力信息系统安全保障体系建设思路的研究
(一)思路之一——采取措施加强信息系统的安全运行与管理建设
要加强电力信息系统安全保障体系的安全运行与管理管理建设,需要做到以下三点:
一是要在电力信息系统安全保障体系的建设过程中,建立并完善多层次、动态、全方位的安全管理信息中心,有效控制因为安全技术问题所引起的混乱局面,将和体系安全有关的各项技术与方案聚合在一个具有整体性、安全性与系统性的平台上,充分发挥人力因素、策略因素以及技术因素的优势,从而提升安全保障体系的质量与水平。
二是要了解并掌握安全管理信息中心的基本内容:设置相关机构、完善相关的技术手段、加强基础设施建设、明确各部门的职能、制定严格的规章制度以及培训专业工作人员。
三是利用先进的计算机技术与网络通讯技术研发信息安全的综合管理系统,该系统除了具有分析电网运行信息、监视电网设备运行状态以及应急响应电网运行过程中的异常事件功能之外,还有数据搜集与分析功能、可视浏览功能等。信息安全的综合管理系统在电力信息系统的安全保障体系中扮演着承上启下的纽带作用,它可以搜集电力网络中的各种信息,并将这些信息进行整理归类后进行分析处理,再反馈给管理人员。其中处理的信息包括:统计数据信息、报警数据信息以及历史数据信息等。
(二)思路之二——采取措施加强电力信息系统中的信息安全系统建设
要加强对信息安全系统的建设,需要做到以下三点:
一是要保障电力信息系统中数据对象的安全,可以采取操作系统加固、数据指纹、主机加固、安装防病毒系统以及数据加密的歌方式对需要保护的对象进行保护,同时要加强电力信息系统安全保障体系建设过程中的周围环境的安全保护。
二是采取措施保障系统结构的安全,其主要侧重在体系的应用、网络数据的应用以及信息数据的边界界定,或者物理与逻辑方面的规划,它是信息系统安全的前提条件,这种方式不仅可以有效地降低企业的施工与管理成本,同时也有助于解决数据泄密等问题。
三是保障信息系统流程的安全,其内容包括两个方面的内容,首先是利用访问控制与身份识别等技术手段,其次是加强流程管理等方面对信息流程的安全进行审核与风险评估,从而设计出有效进行信息流动控制的方案。
论文关键词:信息系统;安全管理;体系
现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。
1安全管理体系构建
信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。
金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
2安全管理平台
安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。
2.1安全预警管理
安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。
2.2安全监控管理
通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。
1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。
2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。
4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
2.3安全防护与响应管理
在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。
2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。
2.4安全反击管理
安全反击管理包括安全事件的取证管理和安全事件的追踪反击。
1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。
2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。
3安全管理措施建议
在安全管
理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。
5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
关键词:山区高速公路;事故频发;安全保障技术
一、山区高速公路事故特点
通过对我国现有山区高速公路交通事故数据进行分析,山区高速公路交通事故主要呈现出以下主要特征:
交通事故以重大恶通事故为主;交通事故形态以追尾碰撞事故为主,其次是侧面碰撞、碰撞路侧固定物和翻车事故;从肇事车型来看,事故车型以大货车为主,其中超载货车事故率高;从事故时间分布特征来看,夜间交通事故多发;从驾驶员条件来看,交通事故中以新驾驶员和外地驾驶员为主;从气象条件来看,恶劣天气极易诱发大面积交通事故。此外,由于驾驶员处置意外事件和采取措施不当诱发的交通事故比例高。
二、事故成因
道路交通系统是由人、车辆、道路和交通环境共同组成的一个复杂系统,系统中的任何一个要素都可能对行车安全产生不利的影响。
(一)道路因素
(1)道路线形:①平曲线:平曲线半径与交通事故率关系很大,曲率越大,事故率愈高,尤其是曲率大于10°以上时,事故率急剧增加;②竖曲线:道路竖曲线半径过小时,易造成驾驶员视野变小,视距变短,发生事故;③纵坡:长大纵坡对载重汽车行驶很不利,在山区高速公路的翻山越岭路段,车辆往往需要长时间的连续爬坡,使车速减慢,妨碍后续的快速车辆,使超车需求增多,“强超硬会”的可能性增大,另一方面,下坡会使制动器制动效能减弱,更易发生交通事故;④线形组合:交通安全的可靠性不仅与平面线形、纵坡有关,而且与线形组合是否协调密切相关,虽然线形标准都符合规范,但线形组合不利仍然会导致事故增加。
(2)路面质量:路面强度、稳定性、平整度和抗滑性是影响山区高速公路安全行驶的重要因素。由于高速公路具有车速高的特点,路面结构中较小的破损都可能导致大的交通事故。在美国宾夕法尼亚州的交通事故调查中发现,路面湿润、降雪、结冰时的事故率分别为路面干燥时的2倍、5倍和8倍。
(二)交通环境的影响
(1)山区地质水文及气象条件复杂,道路填挖方高度大,两侧山体塌方、滑坡或者落石等地质灾害影响行车安全;(2)以往的山区高速公路建设往往将工作重点放在道路主体工程的设计和施工,而忽视了交通标志、标线等交通安全设施的投入和完善,从而导致较严重事故的发生。
(三)驾驶员因素
主要有以下因素组成:①严重超载;②措施不当;③疏忽大意;④行车间距不够;⑤疲劳驾驶;⑥超速驾驶。
(四)车辆因素
车辆因素主要体现在制动性能失效、灯光失效、转向失效等机械故障,从而导致驾驶员在高速行驶下无法及时避免交通事故的发生。其中,因制动不良、制动失效引发的交通事故达70%,是车辆引发山区高速路公路交通事故的主要原因。
三、安保技术措施
山区高速公路多地处崇山峻岭,沿线地形起伏大,地质状况复杂。一旦发生交通事故,事故的严重度高,因此,保障山区高速公路的行车安全意义重大。山区高速公路在设计及运营管理过程中应根据实际地形判定交通事故危险路段,并建设完备的交通安全保障技术体系。总体上看,山区高速公路交通安全保障技术体系应包括如下五个层面:①交通管理措施;②控制车辆速度;③主动安全保障技术;④被动安全保障技术;⑤交通安全监控和紧急救援系统。
四、管理措施
交通管理措施包括了超限超载治理策略和限制通行策略。如前所述,超限运输是诱发交通事故的重要原因,山区高速公路宜在主线及各匝道入口设置超限检测,限制超载车辆进入高速公路;同时,应基于气象台站的宏观天气预报以及在高速公路沿线设置的专用气象检测器进行气象检测,在不利气象条件下制定高速公路限制通行策略,包括控制匝道入口车流、限制车辆运行速度、关闭高速公路等通行策略。
(一)管控车辆速度
超速不仅极易引发交通事故,同时还导致事故的严重度高。山区高速公路应采用一系列的工程技术措施来控制车辆的运行速度;应在高速公路主线、匝道、隧道及连接线上设置完善的限速标志,根据不同的车型、不同的气象条件,限速标志应能提供不同的车辆限速标准;通过设置减速带控制车辆速度,在山区高速公路的长下坡路段、隧道出口与下坡连接路段、高速公路连接线上的小半径平曲线路段均应施划有路面减速带。当车辆通过减速带时会产生强烈震动,并导致驾驶员产生不舒服的感觉,从而达到车辆减速的目的。
进行车辆超速检测,当检测到有车辆超速时,进行违章车辆抓怕并将相关信息传输至监控中心,监控中心或利用声音提醒违章车辆驾驶员控制车速、或在可变信息板上显示超速车辆的牌照号码,同时在收费站进行违章超速车辆处理。这些措施均能大大减少超速行驶的车辆数,并有效确保行车安全。
(二)主动安全保障技术
主动交通安全技术又称为积极交通安全技术,是指避免发生交通事故的各种技术措施的统称,目的为“防止事故”。山区高速公路的主动安全保障技术一般包括:优化道路线形、完善道路标志标线和强化道路信息三个方面。
(三)被动安全保障技术
被动交通安全技术又称为消极交通安全技术,是指交通事故时和交通事故后减轻或避免对乘员及车辆伤害程度的各种技术措施的统称,目的为“减轻事故后果”。山区高速公路的被动安全技术主要包括:提高护栏等级、设置避险车道和优化停车带三个方面。
(四)监控及紧急救援
交通安全监控及事故紧急救援是保障交通安全的重要措施,具有预警、服务和控制三大功能,系统主要包括气象环境监测系统、车辆安全行驶系统、智能化信息系统、事故紧急救援系统等子系统。一般要求在山区高速公路建设过程中,同步装备交通安全监控系统,管理部门可依托该系统加强雨、雪、雾、夜间等特殊天气和时段条件下高速公路的管理,以便及时采取相应措施,确保道路安全畅通。同时还可对汽车行驶状态进行监测,如发现占道、超速、事故等情况,可及时予以处理,确保行车安全。
五、结语
对山区高速公路交通事故的防治,还需要针对事故的特点和成因采取引导与强制相结合的防控措施。本文主要分析了山区高速公路交通事故的特点,提出了山区高速公路交通安全保障技术体系。该体系涵盖交通管理、车速控制、主动安全、被动安全、交通安全监控等工程技术措施,这些措施不仅能强化道路的服务功能,还能有效确保山区高速公路的行车安全,在山区高速公路建设及运营过程中应逐步实施。
【参考文献】
第一条 为加强证券期货业信息安全保障工作的组织协调,建立、健全信息安全管理制度和运行机制,提高行业信息安全保障工作水平,切实保护投资者合法权益,根据国家有关法律、法规和相关规定,制定本办法。
第二条本办法适用于证券期货市场的监管机构、行业自律组织及经营机构。监管机构为中国证券监督管理委员会(以下简称“中国证监会”);行业自律组织包括证券、期货交易所及其通信公司,证券登记结算公司、中国证券业协会和中国期货业协会;经营机构包括证券、期货公司,基金管理公司及证券、期货投资咨询公司。
第二章 安全职责划分
第三条 中国证监会负责证券期货行业信息安全保障工作的监督管理及组织协调。
第四条 证券、期货交易所及其通信公司,登记结算公司,证券、期货公司,基金管理公司,证券、期货投资咨询公司等是各自信息系统安全运营管理的责任主体单位(以下简称“主体单位”)。
第五条证券交易所负责证券交易、信息及市场监管信息系统的安全运营。证券通信公司受证券交易所及证券登记结算公司、经营机构的委托,负责通信系统的安全运营,保障交易、结算等业务数据的及时安全传送。期货交易所负责期货交易和结算处理、信息、市场监管信息系统及通信系统的安全运营。
第六条 证券登记结算公司负责证券登记、结算业务信息系统的安全运营。
第七条 中国证券业协会负责证券公司、基金管理公司、证券投资咨询公司等会员单位信息安全保障的组织、协调工作。
中国期货业协会负责期货公司、期货投资咨询公司等会员单位信息安全保障的组织、协调工作。
第八条 证券、期货公司,基金管理公司及证券、期货投资咨询公司负责总部及下属经营机构信息系统的安全运营。
第三章 安全目标与基本原则
第九条 信息安全保障工作的总体目标是确保信息和信息系统的完整性、保密性、可用性、时效性、可审查性和可控性,切实保护市场参与各方的合法权益,促进证券期货市场的持续、稳定、健康发展。
第十条 信息安全保障工作的具体目标是:
(一) 保护证券期货业信息系统的物理环境、设备设施和运行环境,保证信息系统的环境安全;
(二) 确保信息内容的合法性,保护信息在采集、传输、使用和存储过程中的保密性、完整性、可用性、时效性、可审查性和可控性,保证信息的安全;
(三) 提高证券期货业人员的信息安全意识、安全专业素质以及安全管理与服务水平;
(四) 提高信息系统的可用率和灾难恢复能力,为业务的可持续性运行提供保障。
第十一条 信息安全保障工作应遵循以下基本原则:
(一) 责任制原则:安全管理应做到“谁主管,谁负责”、“谁运营,谁负责”,注重以法律手段明确与他方的责任关系,通过契约、协调等方式与他方进行责任划分,明确进行风险转移,通过责任主体制约他方。
(二) 规范化原则:遵循国内、国际的信息安全标准及行业规范,对信息系统实行等级保护。
(三) 全面统筹原则:信息安全保障工作应贯穿于信息化全过程,坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合。
(四) 实用性原则:在确保信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,运用科学的经营管理方法,降低成本,保障安全运行。
第四章 安全保障要求
第十二条 主体单位应建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系,保持三个体系稳定、均衡发展。
第十三条 主体单位应建立明确的信息安全组织体系:
(一) 建立决策层、管理层和执行层三层工作关系,明确信息安全主管领导,落实信息安全管理部门,指定信息安全执行岗位;
(二) 设立专职的安全管理员和安全审计员岗位,分别负责信息安全工作的实施和审计;
(三) 通过多种安全培训方式加强信息安全人才队伍的建设,提高信息安全工作人员的技能水平,提高员工安全意识。
第十四条 主体单位应建立全面的信息安全管理体系:
(一) 制定统一的信息安全策略和全面、可操作的信息安全管理制度,指导和规范信息系统的安全规划与建设,确保策略和制度得到恰当的理解并得到有效的遵循和执行;
(二) 加强信息系统资产安全管理,保护信息系统设备、软件、数据和技术文档的安全,实行信息系统资产管理责任制,实现等级管理、密级管理,重点保护核心信息系统资产的安全;
(三) 强化信息系统的物理安全保护,执行严格的机房安全管理、环境安全管理和有效的物理控制措施;
(四) 建立信息系统网络、系统、应用等各层面的安全管理流程,实现对信息系统规划、建设、运行、维护各个阶段的安全管理,开发与运营独立管理,严格执行日常的实时管理和定期管理工作;
(五) 实现对信息系统的安全风险管理,对信息资产、威胁和脆弱性的状况进行定期评估,及时发现安全隐患并进行预防性的保护,选择适用、有效的安全措施。
第十五条 主体单位应建立有效的信息安全技术体系:
(一) 建立完善的安全预警体系,及时发现安全隐患;
(二) 强化现有的安全防护体系,实现对核心业务系统的重点保护;
(三) 建立有效的安全监控体系,监控核心业务系统,为进一步完善信息安全体系提供决策依据;
(四) 建立全面的应急响应体系,制定规范、完整的应急处理和响应流程,定期进行应急恢复的演练和测试,完善信息安全通报机制;
(五) 按照不同的安全保护等级建立相应的灾难恢复体系,定期进行灾难恢复的演练和测试,确保灾难发生后能够充分发挥备份的效能,降低造成的影响和损失。
第五章 附 则
第十六条 中国证监会对证券期货业信息系统安全保障情况组织安全检查,检查方式包括自检查、委托检查等方式。