安全審計制度范文

時間:2024-03-13 16:44:42

導語:如何才能寫好一篇安全審計制度,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全審計制度

篇1

第一條為了規(guī)范煤礦建設工程安全設施設計審查和竣工驗收工作,保障煤礦安全,根據(jù)《煤礦安全監(jiān)察條例》以及有關法律、法規(guī),制定本辦法。

第二條煤礦安全監(jiān)察機構對煤礦新建、改擴建和國有重點技術改造工程(以下簡稱煤礦建設工程)的安全設施進行設計審查與竣工驗收工作,適用本辦法。

第三條在編制煤礦建設工程項目的可行性研究報告或開采方案時,必須對其安全條件進行論證。

在煤礦建設工程初步設計階段,必須按規(guī)定編制安全專篇。安全專篇包括安全條件的論證、安全設施的設計等內(nèi)容。

煤礦建設工程安全設施設計必須符合工程建設強制性標準、煤礦安全規(guī)程和行業(yè)技術規(guī)范。

第四條煤礦建設工程的安全設施必須和主體工程同時設計、同時施工、同時投入生產(chǎn)和使用。

第五條煤礦建設工程安全設施設計審查和竣工驗收,由煤礦安全監(jiān)察機構按煤礦設計生產(chǎn)能力,實行分級負責。

設計生產(chǎn)能力在120萬噸/年(含120萬噸/年)以上的,由國家煤礦安全監(jiān)察機構負責。

設計生產(chǎn)能力在30萬噸/年以上120萬噸/年以下的,由省級煤礦安全監(jiān)察機構負責。

設計生產(chǎn)能力在30萬噸/年(含30萬噸/年)以下的,由煤礦所在地煤礦安全監(jiān)察辦事處負責。

未設立煤礦安全監(jiān)察機構的省、自治區(qū)、直轄市,其行政區(qū)域內(nèi)設計生產(chǎn)能力在120萬噸/年以下的煤

礦建設工程安全設施設計審查和竣工驗收,由省,自治區(qū),直轄市人民政府指定部門負責。

第二章設計審查

第六條煤礦建設工程安全設施設計必須經(jīng)煤礦安全監(jiān)察機構審查同意;未經(jīng)審查同意的,不得施工。

第七條煤礦建設工程安全設施設計,必須由具備相應資質的設計單位承擔。

第八條煤礦建設工程安全設施設計應當對煤礦的水、火、瓦斯、煤塵、頂板等主要災害,提出切實可行的防治措施。安全設施設計中所確定的設施、設備、器材必須符合國家安全標準和行業(yè)安全標準,投資概算應當列入工程項目總投資概算中。

第九條煤礦建設工程在初步設計批準前,煤礦企業(yè)應當按照本辦法第五條的規(guī)定向煤礦安全監(jiān)察機構提交煤礦建設工程安全設施設計審查的書面申請和設計資料。

第十條煤礦安全監(jiān)察機構接到審查申請后,應當對煤礦建設工程安全設施設計進行審查。

煤礦建設工程安全設施設計經(jīng)審查合格的主要標準是:

(一)設計須由具備相應資質的設計單位提交;

(二)煤礦安全條件的論證充分,煤礦水、火、瓦斯、煤塵、頂板等主要災害的防治措施可行;

(三)符合工程建設強制性標準、煤礦安全規(guī)程和行業(yè)技術規(guī)范的要求;

(四)所確定的設施、設備、器材符合國家安全標準和行業(yè)安全標準;

(五)符合有關法律、行政法規(guī)的規(guī)定。

第十一條煤礦安全監(jiān)察機構審查煤礦建設工程安全設施設計,應當自收到審查申請和設計資料起30日內(nèi)審查完畢。經(jīng)審查同意的,應當以文件批復;經(jīng)審查不同意的,應當提出審查意見,并以書面形式答復。

第十二條對已批準的煤礦建設工程安全設施設計作重大變更時,需經(jīng)原審查機構審查同意。

第三章竣工驗收

第十三條煤礦建設工程竣工后或者投產(chǎn)前,應當經(jīng)煤礦安全監(jiān)察機構對其安全設施和條件進行驗收;未經(jīng)驗收或者驗收不合格的,不得投入生產(chǎn)。

第十四條煤礦建設工程達到驗收條件時,煤礦應當按照本辦法第五條的規(guī)定向有關煤礦安全監(jiān)察機構提交煤礦建設工程安全設施和條件竣工驗收書面申請。

第十五條煤礦安全監(jiān)察機構接到驗收申請后,應當組織驗收組,對煤礦建設工程安全設施和條件進行驗收。

第十六條煤礦建設工程安全設施和條件經(jīng)竣工驗收合格的主要標準是:

(一)安全設施和條件符合設計要求,通過工程質量認證;

(二)主要生產(chǎn)系統(tǒng)和設備運轉正常,具備安全生產(chǎn)條件;

(三)礦井通風、防火、防水、防瓦斯、防毒、防塵等安全設施能夠投入正常使用;

(四)礦長持有任職資格證書,特種作業(yè)人員持有操作資格證書;

(五)符合其他有關規(guī)定。

第十七條煤礦安全監(jiān)察機構對煤礦建設工程安全設施和條件進行驗收,應當自收到驗收申請之日起30日內(nèi)驗收完畢,簽署合格或者不合格的意見,并書面答復。

經(jīng)省級煤礦安全監(jiān)察機構及煤礦安全監(jiān)察辦事處驗收合格的,應報上一級煤礦安全監(jiān)察機構備案。

第四章罰則

第十八條煤礦建設工程安全設施設計未經(jīng)煤礦安全監(jiān)察機構審查同意,擅自施工的,由煤礦安全監(jiān)察機構責令停止施工;拒不執(zhí)行的,由煤礦安全監(jiān)察機構移送地質礦產(chǎn)主管部門依法吊銷采礦許可證。

篇2

文章編號:1004-7484(2014)-03-1791-01

消毒供應室的醫(yī)護人員承擔著醫(yī)院臨床醫(yī)護用品的回收、清洗、消毒滅菌包裝工作,消毒供應室的醫(yī)護人員每天工作接觸中,隨時都會造成職業(yè)暴露性感染和職業(yè)危害,科學有效的職業(yè)防護意識和措施是減少職業(yè)危害及相關疾病的有效辦法,是確保消毒供應人員職業(yè)安全的關鍵。

1 消毒室的職業(yè)危害因素

1.1 理化性質危害 消毒供應室的工作環(huán)境是不可避免的傷害之一,消毒供應高溫的環(huán)境及熱水蒸汽極易造成身體中暑,高熱病和身體的燙傷。二因為房屋條件因素,冬季還可能造成不同程度的低體溫,風濕類疾病的發(fā)生。三消毒供應室中的棉球棉絮等一次性材料易產(chǎn)生纖維絮和粉塵,易產(chǎn)生PM2.5長期吸入容易損傷呼吸系統(tǒng)影響呼吸功能。四消毒供應室產(chǎn)生的噪音極易引起聽覺系統(tǒng)及神經(jīng)系統(tǒng)的危害。五消毒供應室中使用的各類消毒液、洗滌液對皮膚黏膜呼吸道都有不同程度的刺激,容易造成人體器官的損害。六紫外線照射易損傷眼睛、皮膚及免疫系統(tǒng)。

1.2 微生物病原體的危害 消毒供應室回收臨床使用過的醫(yī)療器械都攜帶病員的體液、血液。且長期暴露在污染的環(huán)境中,醫(yī)療器械都攜帶大量的病原微生物,消毒供應室的工作人員在搬運,回收、清點、清洗過程中容易造成接觸性的身體損害,清洗器械的污染物容易飛濺到口鼻、眼粘膜等器官,造成消毒供應室人員機體的傷害,是職業(yè)性感染的重要因素之一。

1.3 心理及生理因素 消毒供應室中的工作人員要長期站立操作,要搬運接送滅菌物品,長期的站立工作極易造成肌肉關節(jié)的勞損,還容易產(chǎn)生下肢靜脈曲張。消毒供應室中的工作人員長期面對使用過的含有大量病原微生物的物品,工作中極易造成心理的恐慌,易導致心理失衡或抑郁。

1.4 自我防護意思單薄 供應室人員大部分專業(yè)知識缺乏,工作中有部分人員自我防護意識單薄,加上不小心,極易造成機體的傷害和感染。

2 防護措施

2.1 加強專業(yè)技能學習,加強自我防護意識 認真學習規(guī)范制度,制定專業(yè)的職業(yè)安全防護計劃,增強工作人員對職業(yè)感染的危險認識,掌握防護方法和措施,減少不安全因素發(fā)生,清點清洗污染用品時要嚴格按照防護標準,穿好工作衣帽,戴好口罩防護鏡防護鞋,防護圍裙,使用雙層手套,減少感染機會,進行紫外線消毒時要避免紫外線對工作人員對皮膚和眼睛的照射,以免損傷,特殊感染的物品要先消毒在清洗,發(fā)生人體損傷后要及時處理,對癥給予個體注射疫苗。

2.2 科學選擇供應室地址,規(guī)范基礎建設,合理安排消毒流程 消毒供應室應設在離手術室、產(chǎn)房較近的地方,以便醫(yī)療器械的運送和回收,消毒科室應按三區(qū)分開,避免交叉感染,室內(nèi)應配備各類沖洗設備,減少人工操作中的危害,手術用敷料應使用一次性物品,降低制作中產(chǎn)生各類微塵,并保持室內(nèi)溫濕度,確保清潔的工作環(huán)境

2.3 加強監(jiān)督,規(guī)范工作檢查維護制度,加強手衛(wèi)生管理制度 工作中應規(guī)范操作各類消毒設施,避免操作不當心損壞消毒水機器,上級主管部門如感染辦要對消毒人員進行定期操作考核,降低人工損傷,及微生物病原體的危害,加強對消毒器械的保養(yǎng),杜絕安全隱患,安全閥滅菌器均應每半年檢測一次,對消毒時工作人員要加強手衛(wèi)生相關知識的培訓,供應室內(nèi)應配備快速手消毒液,正確掌握洗手時機,洗手方法,提高洗手質量,和提高手衛(wèi)生的消毒效果

篇3

經(jīng)過近幾年的努力,中國礦山企業(yè)的安全生產(chǎn)狀況總體上呈現(xiàn)出相對穩(wěn)定、趨于好轉的態(tài)勢。但重、特大事故時有發(fā)生,事故總量仍然偏大,礦山安全生產(chǎn)形勢依然嚴峻。實踐證明,要實現(xiàn)礦山安全生產(chǎn)的長治久安,就必須建立礦山安全生產(chǎn)長效機制。積極有效地開展礦山安全審計工作,發(fā)揮審計的監(jiān)督檢查作用,促進礦山切實落實安全生產(chǎn)主體責任,認真執(zhí)行安全生產(chǎn)的各項法律法規(guī),保證安全生產(chǎn)的必要投入,落實各項安全防范措施,不斷改善安全生產(chǎn)條件。使礦山生產(chǎn)的運行方式、管理形式和監(jiān)督體制等走上正軌,才能使礦山安全生產(chǎn)狀況實現(xiàn)真正意義上的根本好轉。安全審計作為一項專門針對企業(yè)安全生產(chǎn)進行監(jiān)督和評價的獨立審計活動,有助于督促企業(yè)遵守安全生產(chǎn)法律法規(guī),有助于督促企業(yè)執(zhí)行安全設施“三同時”,有助于督促企業(yè)生產(chǎn)責任事故賠償及時到位,有助于督促企業(yè)安全投入及時、足額等。從而保證安全生產(chǎn)形勢根本好轉。借鑒相關學科知識建立完善的評價指標體系,是開展安全審計的關鍵。

一、構建礦山安全審計評價指標體系應遵循的原則

安全審計有別于常規(guī)的財政、財務審計,安全審計是企業(yè)安全生產(chǎn)主體責任的人格化,審計客體由靜態(tài)的會計資料,到動態(tài)審計對象(企業(yè))的主體責任和社會責任,從有形到無形,從客觀反映到抽象分析。安全審計評價指標體系是度量企業(yè)安全生產(chǎn)活動的有效工具。為了提高這一測度工具的信度與效度,構建該評價體系時,必須滿足以下幾個原則:

(一)重要性原則

在中國礦山企業(yè)開展安全審計工作還僅僅處于探討階段,筆者認為與要求評價指標體系的全面性相比較,強調(diào)重要性原則對實踐工作的開展更具有指導意義。同時,重要性原則也是在指標設定過程中對安全審計工作重點、成本與效率的綜合考慮。當然,隨著中國安全審計工作的發(fā)展與完善,該指標評價體系將進一步改進,以滿足全面性原則的要求。

(二)責任性原則

礦山安全審計評價指標體系應準確考評被審計單位及內(nèi)部各部門和個人必須履行的安全生產(chǎn)責任,即所衡量、評價的安全生產(chǎn)活動及其結果應是審計對象的職責范圍,是其應當全部或部分負責,是可以控制和調(diào)節(jié)的,是其通過主觀努力可以改變的結果和過程。事故的發(fā)生具有偶然性、不確定性及外部不經(jīng)濟性等特點,進一步造成一些企業(yè)盲目追求經(jīng)濟效益,重生產(chǎn)輕安全,安全管理薄弱;無證或證照不全非法生產(chǎn),超能力、超強度、超定員違法違規(guī)生產(chǎn)。所有這些安全生產(chǎn)主體責任不落實是礦山事故易發(fā)、多發(fā)、頻發(fā),重特大事故集中、長期以來尚未得到切實有效遏制的根源。責任性原則是保證安全審計評價結論切實有效必須遵循原則之一。

(三)簡明性原則

安全審計評價指標體系中應選擇具有代表性、能夠準確清楚反映問題的指標。由于安全審計評價涉及的領域非常廣泛,評價指標雖然要求全面,但并不是越多越好。如果所選指標變量過多,一方面資料難以獲取,另一方面綜合分析過程也很困難。同時不便于決策者應用,而且大大增加了安全審計工作的復雜性和冗余度。如果所選指標變量過少,就有可能不足以或不能充分表征系統(tǒng)的真實行為或真實的行為軌跡。所以指標的設置要圍繞評價的目的有針對性地加以選擇,每個指標的含義要求明確,代表特征要求清楚,無相互交叉重疊現(xiàn)象。

(四)相關性原則

評價體系應與礦山安全審計的目標緊密相關,評價標準能夠反映信息使用者的需求,能揭示被審計對象的具體安全生產(chǎn)狀況及被審單位安全生產(chǎn)主體責任實現(xiàn)程度。相關性原則與簡明性原則具有內(nèi)在一致性要求。

(五)動態(tài)性原則

安全審計評價是一個隨著審計項目的發(fā)展而發(fā)展以及安全生產(chǎn)形勢變化而變化的動態(tài)過程,客觀上要求設置的指標體系具有動態(tài)特點,既能反映該審計項目的歷史狀況和現(xiàn)狀,在一定的時期內(nèi)保持相對的穩(wěn)定性,又能對未來的變化發(fā)展做出評價。同時能夠適應安全生產(chǎn)形勢變化、安全監(jiān)管工作要求做出相應調(diào)整。

(六)地域性原則

不同地區(qū)的自然環(huán)境和社會環(huán)境不同,所處地區(qū)的地理位置、經(jīng)濟狀況、水文地質等條件不同,對安全的影響因子也不同,因此應按照因地制宜原則,針對所研究地區(qū)及其主要問題選擇評價指標。礦山安全評價指標體系的構建尤其注意遵循地域性原則。

二、構建礦山安全審計評價指標體系設計思路

(一)評價指標體系的維度定位

根據(jù)建立礦山安全審計評價體系的目標與原則,從范圍層次上劃分,安全審計評價標準分為總體評價標準和具體評價標準。所以在試圖建立安全審計評價標準時,也分別從這兩個方面考慮,先確立總體評價標準,再逐步完善具體標準。在指標體系架構中,不僅在礦山安全生產(chǎn)的規(guī)范性、效用管理以及外部效應三個維度進行了體系的構建(如圖1所示)。并且從安全生產(chǎn)法律法規(guī)、安全內(nèi)控制度、安全設施“三同時”、事故處理、安全投入等五個層面進行了體系的設計。當然,安全審計評價指標體系應該是動態(tài)的、可擴充的,審計人員可以隨時按照實際情況增減,以增強其科學性、有效性,但主要指標需保留。

(二)評價權重的分配

評價權重的分配涉及到各評價維度的權重分配以及每一維度內(nèi)各評價指標之間的權重分配。在構建安全審計評價指標體系過程中,要確定評價指標的權重值。各項指標的權重值,反映了該指標在整個安全審計評價指標體系中所占的比重。權重值應根據(jù)該指標對企業(yè)安全生產(chǎn)水平的影響程度及其實施的難易程度來確定。指標權重的確定有主觀法和客觀法兩大類,主觀法主要包括專家調(diào)查法、層次分析法等,客觀法主要包括主成分分析法、熵值法和數(shù)據(jù)包絡法等。

安全審計評價指標體系的構建過程,應該是主觀分析法和客觀分析法相結合的過程。此外,指標體系的構造過程可分為指標體系框架的構建和指標篩選兩個階段,即指標初選和指標完善的過程。該過程可以概述為:分解總目標、構造層次結構、建立預選指標集篩選指標、最終確立評價指標體系。

在構建安全審計評價指標體系過程中,要確定定量指標的評價基準值。并應按照下列原則確定:凡是國家或行業(yè)管理部門在有關政策、規(guī)劃等文件中對該指標已有明確要求值的就應選用國家要求的數(shù)值;凡是國家或行業(yè)管理部門對該指標尚無明確要求值的,則選用國內(nèi)重點大型企業(yè)近年來滿足安全管理要求所實際達到的中上等以上水平的指標值。確保定量指標的基準值代表了行業(yè)安全生產(chǎn)活動的平均水平。

需要說明的是,評價權重的分配會因不同階段、發(fā)展重點、礦山生產(chǎn)特點的不同而有所差別。而對情況各異的礦山安全生產(chǎn)管理,我們不可能確定一成不變的安全審計評價指標體系,也不存在統(tǒng)一的指標權重,即使同一評價對象在不同的歷史時期也會有所不同。盡管卓越的績效評價系統(tǒng)對每個組織都是獨特的,即按每個組織的需要和特點“量體裁衣”,但是反映社會滿意度的指標,應該在安全審計評價體系中占據(jù)絕對的比重,社會評議信息應是評價結論的主要證據(jù)資料。

三、構建礦山安全審計評價指標體系

(一)安全審計內(nèi)容

安全審計評價指標體系應緊緊圍繞安全審計內(nèi)容設定??紤]到中國礦山安全生產(chǎn)實際以及政府安全監(jiān)管過程中存在的突出問題,筆者主張礦山安全審計主要內(nèi)容應包括以下五部分:

1.安全生產(chǎn)法律法規(guī)遵守和執(zhí)行情況審計

該審計主要是對礦山企業(yè)在生產(chǎn)經(jīng)營過程中遵守相關安全生產(chǎn)法律法規(guī)的情況進行評價,包括定性指標和定量指標。評價時只需考慮法律法規(guī)的執(zhí)行情況及效果,而不對法律法規(guī)本身進行過多地評價。評價時需遵循兩條原則:首先,企業(yè)能否執(zhí)行相關安全生產(chǎn)法律法規(guī);其次,企業(yè)能否做到持續(xù)、全面執(zhí)行安全生產(chǎn)法律法規(guī)。這也符合性測試重點之一。

2.安全內(nèi)部控制制度設計及運行情況審計

該審計主要是對礦山企業(yè)安全內(nèi)控制度是否健全,能否保證整個業(yè)務處理系統(tǒng)控制目標的實現(xiàn),制度與制度之間的銜接是否緊密協(xié)調(diào)以及內(nèi)控制度是否有效執(zhí)行進行評價。從而判定礦山企業(yè)各種安全內(nèi)控制度的履行結果是否達到預期目標,是否結合企業(yè)安全生產(chǎn)實際及時自查修訂完善。為進一步確定安全審計的重點提供決策依據(jù)。

3.安全設施“三同時”情況審計

在安全設施“三同時”審計中,應該重點審查和評價與被審計單位安全設施“三同時”相關的下列內(nèi)容:(1)被審計單位在生產(chǎn)經(jīng)營過程中對相關的安全生產(chǎn)法律法規(guī)、規(guī)章制度、政策、計劃、預算、程序、合同等的遵守情況;(2)安全設施項目風險的識別、評估及應對措施;(3)相關安全控制活動的適當性和有效性;(4)有關安全資產(chǎn)、安全負債、安全支出項目等財務信息和非財務信息的獲取、處理、傳遞情況。

4.事故損失及事故責任履行情況審計

該審計主要是對礦山企業(yè)事故損失及事故責任履行情況進行評價。為事故責任認定及事故賠償提供決策依據(jù)。工傷事故賠償審計主要集中在兩點:(1)賠償標準是否合法合規(guī)。(2)賠償額度是否足額、及時。這一點往往也是事故雙方爭執(zhí)的焦點。有第三方出具相應審計意見,有助于安全監(jiān)管部門執(zhí)法,切實保障受傷員工合法權益。

5.安全投入情況審計

安全投入情況審計是安全審計的重點。眾所周知,安全投入不足是造成中國安全生產(chǎn)形勢依然嚴峻的主要原因之一。造成企業(yè)安全投入不足重要原因之一就在于缺乏有效監(jiān)督。近幾年,中國為擴大礦山企業(yè)安全投入資金來源及數(shù)量,建立穩(wěn)定的安全保障資金渠道,頒布了一系列規(guī)定制度。由于安全投入效益的隱蔽性、滯后性、不確定性及其他原因(經(jīng)濟效益不佳、領導不重視、短期行為等),一些企業(yè)(尤其小型礦山企業(yè))往往在安全投入方面“勤儉節(jié)約”。企業(yè)為了應付針對安全投入狀況的檢查弄虛作假。通過安全投入審計,能夠有效監(jiān)督礦山企業(yè)安全生產(chǎn)費用提取及使用情況,確保安全投入足額、及時。

(二)分級設立評價指標

礦山安全審計評價體系的建立是一項系統(tǒng)工程,需要花很大力氣進行研究和實踐。在這里我們先構思一個指標框架,許多指標還有待于討論和完善。安全審計評價指標體系包括一級評價指標和二級評價指標兩個層次。一級評價指標包括安全生產(chǎn)法律法規(guī)執(zhí)行情況評價指標、企業(yè)安全內(nèi)部控制情況評價指標、安全設施“三同時”、事故損失及事故責任履行情況評價指標和安全投入情況評價指標。二級評價指標是一級評價指標的具體化。具體內(nèi)容(見表1)。

安全審計的綜合評價,應該以評價年度各項二級定量指標的實際數(shù)據(jù)和各項二級定性指標的專家評分為基礎,按照各二級指標的基準值和權重值計算各單項指標得分,再綜合得出該企業(yè)安全管理水平的評價總分值。

單項指標評價分值=權重值× (1)

當>1時,按1計算。

二級定性指標和定量指標都采用百分制測評。定性指標采用專家評分平均值。

篇4

1利用網(wǎng)絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產(chǎn)。

2利用網(wǎng)絡遠距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網(wǎng)絡傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計算機網(wǎng)絡基礎上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟業(yè)務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產(chǎn)的所有權進行轉移。

計算機網(wǎng)絡帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎則是安全。企業(yè)一方面通過網(wǎng)絡開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡安全審計及基本要素

安全審計是一個新概念,它指由專業(yè)審計人員根據(jù)有關的法律法規(guī)、財產(chǎn)所有者的委托和管理當局的授權,對計算機網(wǎng)絡環(huán)境下的有關活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應評價。

沒有網(wǎng)絡安全,就沒有網(wǎng)絡世界。任何一個建立網(wǎng)絡環(huán)境計算機會計系統(tǒng)的機構,都會對系統(tǒng)的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的問題。應該肯定,一個系統(tǒng)運行的安全與否,不能單從雙方當事人的判斷作出結論,而必須由第三方的專業(yè)審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經(jīng)驗,只有他們才能作出客觀、公正、公平和中立的評價。

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業(yè)根據(jù)具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方??刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標所制定的安全控制技術、配置方法及各種規(guī)范制度??刂茰y試是將企業(yè)的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術知識與技能。

安全審計是審計的一個組成部分。由于計算機網(wǎng)絡環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟利益。因此,我們認為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計體系。其中,國家安全審計機關應依據(jù)國家法律,特別是針對計算機網(wǎng)絡本身的各種安全技術要求,對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外,應該發(fā)展社會中介機構,對計算機網(wǎng)絡環(huán)境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業(yè)的計算機網(wǎng)絡系統(tǒng)的安全作出評價的機構。當企業(yè)管理當局權衡網(wǎng)絡系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網(wǎng)絡安全專家,他們對網(wǎng)絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判斷。

二、網(wǎng)絡安全審計的程序

安全審計程序是安全監(jiān)督活動的具體規(guī)程,它規(guī)定安全審計工作的具體內(nèi)容、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準備階段、實施階段以及終結階段。

安全審計準備階段需要了解審計對象的具體情況、安全目標、企業(yè)的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1了解企業(yè)網(wǎng)絡的基本情況。例如,應該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?

2了解企業(yè)的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統(tǒng)的運轉正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復能力;第三,對系統(tǒng)資源使用的授權與限制。當然安全控制目標因企業(yè)的經(jīng)營性質、規(guī)模的大小以及管理當局的要求而有所差異。

3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業(yè)對網(wǎng)絡環(huán)境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

安全審計實施階段的主要任務是對企業(yè)現(xiàn)有的安全控制措施進行測試,以明確企業(yè)是否為安全采取了適當?shù)目刂拼胧?這些措施是否發(fā)揮著作用。審計人員在實施環(huán)節(jié)應充分利用各種技術工具產(chǎn)品,如網(wǎng)絡安全測試產(chǎn)品、網(wǎng)絡監(jiān)視產(chǎn)品、安全審計分析器。

安全審計終結階段應對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對系統(tǒng)數(shù)據(jù)進行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機制和數(shù)據(jù)檢測手段等?;景踩侵父鱾€企業(yè)網(wǎng)絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發(fā)生時不影響系統(tǒng)運行,也不會造成大的損失,且具有隨時發(fā)現(xiàn)問題并糾正的能力。

三、網(wǎng)絡安全審計的主要測試

測試是安全審計實施階段的主要任務,一般應包括對數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測試。

下面是對網(wǎng)絡環(huán)境會計信息系統(tǒng)的主要測試。

1數(shù)據(jù)通訊的控制測試

數(shù)據(jù)通訊控制的總目標是數(shù)據(jù)通道的安全與完整。具體說,能發(fā)現(xiàn)和糾正設備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達到上述控制目標,審計人員應執(zhí)行以下控制測試:(1)抽取一組會計數(shù)據(jù)進行傳輸,檢查由于線路噪聲所導致數(shù)據(jù)失真的可能性。(2)檢查有關的數(shù)據(jù)通訊記錄,證實所有的數(shù)據(jù)接收是有序及正確的。(3)通過假設系統(tǒng)外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰管理和口令控制程序,確認口令文

件是否加密、密鑰存放地點是否安全。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內(nèi)容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數(shù)據(jù)。

2硬件系統(tǒng)的控制測試

硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當?shù)挠涗浥c定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規(guī)程、各硬件的資料歸檔是否完整。

3軟件系統(tǒng)的控制測試

軟件系統(tǒng)包括系統(tǒng)軟件和應用軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計軟件系統(tǒng)??傮w控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統(tǒng)正常運行。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產(chǎn)品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統(tǒng)里。

4數(shù)據(jù)資源的控制測試

數(shù)據(jù)控制目標包括兩方面:一是數(shù)據(jù)備份,為恢復被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應有足夠備份;二是個人應當經(jīng)授權限制性地存取所需的數(shù)據(jù),未經(jīng)授權的個人不能存取數(shù)據(jù)庫。審計測試應檢查是否提供了雙硬盤備份、動態(tài)備份、業(yè)務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據(jù)系統(tǒng)的授權表,檢查存取控制的有效性。

5系統(tǒng)安全產(chǎn)品的測試

隨著網(wǎng)絡系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡安全的軟、硬件產(chǎn)品應運而生,如VPN、防火墻、身份認證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計機構應對這些產(chǎn)品是否有效地使用并發(fā)揮其應有的作用進行測試與作出評價。例如,檢查安全產(chǎn)品是否經(jīng)過認證機構或公安部部門的認征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護功能是否發(fā)揮作用。

四、應該建立內(nèi)部安全審計制度

篇5

一、信息安全概況

隨著信息技術的飛速發(fā)展,金融機構生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長的態(tài)勢,信息傳遞的方式和渠道急劇增加,在為金融機構帶來收益和效率的同時,也使信息安全問題更加凸顯。在全球范圍內(nèi),信息安全事件頻發(fā),給銀行和客戶造成經(jīng)濟損失的同時,也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平,成為銀行關注的焦點。信息安全審計作為信息安全保障工作中的重要一環(huán),能夠促進信息安全控制措施的落實,規(guī)范信息安全管理,提高全員信息安全意識,從而有利于保持和持續(xù)改進銀行信息安全能力和水平。

根據(jù)當前的信息安全管理體系國家標準GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應包括四個階段:一是規(guī)劃和建設階段(Plan,簡稱“P階段”);二是實施和運行階段(Do,簡稱“D階段”);三是監(jiān)視和評審階段(Check,簡稱“C階段”);四是保持和改進(Act,簡稱“A階段”)。這四個階段按順序循環(huán)往復,從而使信息安全得到持續(xù)改進。這種方法也被稱為“PDCA循環(huán)”,如圖1所示。

經(jīng)過近十幾年的努力,金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”,金融行業(yè)的信息安全需求已基本明確,滿足信息安全需求的基礎設施也基本具備。經(jīng)過大范圍的規(guī)劃建設,各金融機構已經(jīng)建立了相對完備的信息安全軟硬件環(huán)境,初步形成了信息安全保障體系。盡管如此,作為關系國計民生的重要基礎產(chǎn)業(yè),金融行業(yè)對信息安全有著更高的要求,也面臨著更大的信息安全風險挑戰(zhàn)。近年來,金融行業(yè)頻繁發(fā)生的信息安全事件表明,金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導致這一局面的因素很多,其中一個重要的原因就是大家普遍重視信息安全的建設和運行,而忽視了信息安全工作的檢查和改進。從整體上看,金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”,尚未進入“C階段”和“A階段”,還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進機制。接下來金融行業(yè)信息安全工作的重心應該轉向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務審計和審計工作的規(guī)范與嚴謹,結合信息和保密技術的工具與手段,對金融機構信息安全工作的成效和不足給出客觀、確定的審計結論,并根據(jù)審計結果,對金融機構的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務連續(xù)性管理和外包等主要方面提出高標準、高要求,滿足商業(yè)銀行信息科技風險管理的需要,銀監(jiān)會2009年了《商業(yè)銀行信息科技風險管理指引》,其中第六十五條規(guī)定:“商業(yè)銀行應根據(jù)業(yè)務性質、規(guī)模和復雜程度,信息科技應用情況,以及信息科技風險評估結果,決定信息科技內(nèi)部審計范圍和頻率。但至少應每三年進行一次全面審計?!?/p>

二、國內(nèi)外信息安全審計現(xiàn)狀

(一)國外信息安全審計發(fā)展與現(xiàn)狀

在建立信息安全審計制度,開展信息安全審計研究方面,美國走在了世界前列。早在計算機進入實用階段時,美國就開始提出系統(tǒng)審計(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會(EDPAA),1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會(ISACA),總部設在美國芝加哥。自1978年以來,由ISACA發(fā)起的注冊信息系統(tǒng)審計師(CISA)認證計劃已經(jīng)成為涵蓋信息系統(tǒng)審計、控制與安全等專業(yè)領域的被廣泛認可的標準。目前該組織在世界上100多個國家設有160多個分會,現(xiàn)有會員兩萬多人。

1999年,美國國家審計署(GAO)《聯(lián)邦信息系統(tǒng)控制審計手冊》(第一版),為美國聯(lián)邦政府實施信息安全審計提供基本準則和方法。2001年,GAO《聯(lián)邦信息系統(tǒng)安全審計管理的計劃指南》,用于為美國聯(lián)邦政府實施信息安全審計提供具體指導;2009年,GAO《聯(lián)邦信息系統(tǒng)控制審計手冊》(第二版),該手冊成為現(xiàn)階段美國聯(lián)邦政府實施信息安全審計的事實標準。

近年來,美國通過立法賦予信息安全審計新的意義,并對企業(yè)實施信息安全審計產(chǎn)生重大影響。2002年,美國安然公司和世通財務欺詐案爆發(fā)后,美國國會和政府緊急通過了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡稱薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過內(nèi)部控制加強公司治理,包括加強與財務報表相關的IT系統(tǒng)內(nèi)部控制,而信息安全審計正是IT系統(tǒng)內(nèi)部控制的核心。”2006年底生效的《巴塞爾新資本協(xié)議(》BaselII),要求全球銀行必須針對其市場、信用及營運等三種金融作業(yè)風險提供相應水準的資金準備,迫使各銀行必須做好風險控管,而這一“金融作業(yè)風險”的防范也正是需要業(yè)務信息安全審計為依托。

近一段時期,以美國、加拿大、澳大利亞為主的西方國家,針對不同的組織機構,以不同的信息安全審計方式,卓有成效地開展了包括信息系統(tǒng)計劃與技術構架、信息安全保護與災難恢復、軟件系統(tǒng)開發(fā)、獲得、實施及維護、商業(yè)流程評估及風險管理等方面的信息安全審計。

具體來說,針對各類企業(yè)的信息安全審計,采取了以內(nèi)部審計為主,從關注安全向關注業(yè)務目標過渡,一般控制審計與應用控制審計相結合的方式;針對政府機構的信息安全審計,強調(diào)外部審計與政府內(nèi)部審計結合,融入績效預算管理體系,關注系統(tǒng)最終效果。

在亞洲,日本的信息安全審計始于20世紀80年代。1983年,通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標準》,并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試,著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年,東南亞各國也開始制定電子商務法規(guī),成立專門機構開展信息系統(tǒng)審計業(yè)務,并制定技術標準。

(二)我國信息安全審計發(fā)展與現(xiàn)狀

近年來,我國的信息安全審計日益受到重視,審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統(tǒng)審計規(guī)范的研究和制定方面,我國已建成了一套比較成熟規(guī)范的法規(guī)、準則體系,但在信息系統(tǒng)及信息安全審計方面,雖有《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》(中國內(nèi)部審計協(xié)會2008年)以及審計署對信息系統(tǒng)審計相關法規(guī)、準則的規(guī)劃及研究,但尚未形成系統(tǒng)的法規(guī)、準則和技術標準體系。

三、金融行業(yè)信息安全審計組織與實施

金融行業(yè)的信息安全審計(InformationSecurityAudit),是指金融機構為了掌握其信息安全保障工作的有效性,根據(jù)事先確定的審計依據(jù),在規(guī)定的審計范圍內(nèi),通過文件審核、記錄檢查、技術測試、現(xiàn)場訪談等活動,獲得審計證據(jù),并對其進行客觀的評價,以確定被審計對象滿足審計依據(jù)的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。金融機構可以單獨實施信息安全審計,也可以將信息安全審計作為其他相關工作的一部分內(nèi)容聯(lián)合實施。如IT審計、信息安全等級保護建設、信息安全風險評估、信息安全管理體系建設等。審計的工作流程和內(nèi)容大致包括六個方面的活動(如圖2所示)。

1.確定審計目的和范圍。金融機構實施信息安全審計,首先要明確審計目的,確定審計范圍。審計目的是信息安全審計工作的出發(fā)點。審計目的可以從滿足監(jiān)管部門的要求、滿足信息安全國際國內(nèi)標準的要求、滿足機構自身信息安全工作要求等合規(guī)性方面考慮。明確了審計目的,然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍,可以從組織機構考慮,如僅對個別部門實施審計,或者在組織全部范圍實施審計;也可以從業(yè)務和系統(tǒng)角度考慮,如僅對核心系統(tǒng)實施審計,或者僅對信貸業(yè)務實施審計等。

2.明確審計依據(jù)。審計依據(jù)就像一把“尺子”,審計人員用它來衡量信息安全工作的“長短”。審計目的不同,審計依據(jù)就可能不同,如表1中所示。

3.組建審計組。審計組是具體實施信息安全審計工作的基本組織單位,應由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實施并達成審計目的的保障。審計組長應由金融機構內(nèi)部審計部門的管理者任命。負責編制審計方案和審計計劃,選擇審計員,管理審計小組,與被審計對象溝通等。審計組長應具備較強的項目管理能力,熟悉被審計對象的業(yè)務和系統(tǒng),了解被審計對象面臨的信息安全風險和常用的風險控制措施。審計員應選擇責任心強、公正、獨立、熟悉業(yè)務的人員擔任,避免審計員與被審計對象存在利害關系,以免影響審計結果的公正性。正式實施信息安全審計前,應對審計組成員進行培訓。

4.實施現(xiàn)場審計。審計準備工作就緒后,則可以實施現(xiàn)場審計?,F(xiàn)場審計是一項復雜的系統(tǒng)工程,具有較強的不確定性。因此,現(xiàn)場審計應根據(jù)事先編制的審計方案和審計計劃執(zhí)行,審計過程中還要做好變更控制?,F(xiàn)場審計往往由首次會議開始,至末次會議結束。在首次會議上,審計組長應向被審計單位闡明此次審計的目的、范圍、依據(jù)和審計計劃,并提出需要被審計單位配合的事項。末次會議上,審計組長向被審計單位說明審計發(fā)現(xiàn),報告審計初步結果,并與被審計單位就初步審計結果達成一致?,F(xiàn)場審計方法通常包括:現(xiàn)場訪談、審閱文件、查看記錄、系統(tǒng)檢查和測試等。在系統(tǒng)檢查和測試過程中,可能需要相關的審計工具,如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫安全審計系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡安全檢查工具、惡意軟件掃描器等。現(xiàn)場審計過程中,應做好文檔化工作。對所發(fā)現(xiàn)的審計證據(jù)應進行詳細記錄,并與被審計單位人員進行現(xiàn)場確認?,F(xiàn)場審計應注意方式方法,就意見不一致的問題先做好記錄,避免現(xiàn)場與被審計單位人員發(fā)生爭執(zhí)。

篇6

國務院最新的《2016年食品安全重點工作安排的通知》指出,今年突出重點整治的問題包括規(guī)范嬰幼兒配方乳粉產(chǎn)品配方等的注冊管理,繼續(xù)加強對嬰幼兒配方乳粉和嬰幼兒輔助食品、乳制品等重點產(chǎn)品的監(jiān)管。同時,“對進口嬰幼兒配方乳粉質量安全開展全面檢查?!?/p>

審計:3家乳企存管理問題

省食藥監(jiān)局表示,此次食品安全審計屬常規(guī)檢查。截至目前,我省獲得食品生產(chǎn)許可的5家企業(yè)均未在國家專項抽檢中出現(xiàn)不合格嬰幼兒配方乳粉。而針對此次食品安全審計發(fā)現(xiàn)的問題,廣州、深圳、潮州市食品藥品監(jiān)管局已督促企業(yè)進行整改。

不過,該局強調(diào),截至目前,廣東省獲得食品生產(chǎn)許可的5家企業(yè),“均未在國家專項抽檢中出現(xiàn)不合格嬰幼兒配方乳粉。”

通告信息顯示,雅貝氏、高培被查出的問題是:部分制度如質量管理制度、衛(wèi)生管理制度等落實不到位;通過抽查記錄,結合生產(chǎn)工藝損耗等因素,物料平衡核對方面存在不平衡的問題。

雅士利生產(chǎn)工廠內(nèi),物料管理制度、質量管理制度存在不足,不合格品記錄不完善。

而從屬于雅士利集團旗下的施恩,則于今年4月11日主動申請停產(chǎn)。

此次被審計出有不完善處的雅士利公司,5月12日在回應記者采訪時稱,“針對潮州工廠在審查中發(fā)現(xiàn)了制度還不夠完善的問題,雅士利將及時排查并進行完善?!?/p>

記者留意到,雅士利潮州工廠的食品生產(chǎn)許可證有效期至2017年3月28日。明年3月到期后,該廠是否將停產(chǎn),而將產(chǎn)能遷移到新西蘭工廠?對此,雅士利方面表示,目前還不確定,到期后,潮州工廠可能還會繼續(xù)申請許可證繼續(xù)生產(chǎn)。而且該公司在山西還有工廠。不過,該公司坦言,新西蘭工廠確實是以后生產(chǎn)的最主力。

對雅士利公司旗下的施恩工廠,省食藥監(jiān)局的審計結果是在4月份“停產(chǎn)”,這一表述又引來業(yè)界諸多聯(lián)想。此前,有業(yè)內(nèi)人士稱,雅士利目前正在尋找買家拋售該品牌,原因是在蒙牛、中糧的撮合下,雅士利旗下已集結多美滋、雅士利、歐世蒙牛,并形成互補矩陣,施恩反而顯得多余。

對此,雅士利方面表示,施恩奶粉并沒有停產(chǎn),只是將施恩奶粉品牌轉到歐世蒙牛工廠進行生產(chǎn)?!皬娜ツ昶?,雅士利投10.5億元人民幣接手歐世蒙牛,為集中產(chǎn)能和管理,發(fā)揮產(chǎn)能的集約化優(yōu)勢,雅士利將施恩產(chǎn)品轉移到歐世蒙牛生產(chǎn)?!睋?jù)透露,施恩位于廣州的工廠將通過出售,進一步優(yōu)化企業(yè)的生產(chǎn)布局。

行業(yè):乳企兼并重組突發(fā)展

嬰幼兒配方乳粉食品安全為國人關注,為進一步加強嬰幼兒配方乳粉食品安全監(jiān)管,查找企業(yè)生產(chǎn)體系性問題,排查隱患,防范食品安全風險。嬰幼兒乳粉食品安全審計制從去年起成為國家相關部門加大監(jiān)管這一領域的常規(guī)動作。

繼去年8月,國家食藥監(jiān)總局首次對6家嬰幼兒配方乳粉生產(chǎn)企業(yè)食品安全審計問題的通告后,今年又陸續(xù)多個相關通告,部分省級食藥監(jiān)部門亦將例行檢查中發(fā)現(xiàn)的問題及時通報大眾,從而讓公眾和企業(yè)了解乳企生產(chǎn)管理環(huán)節(jié)的狀況。業(yè)界認為,此舉對于重建國內(nèi)乳制品,特別是國產(chǎn)嬰幼兒奶粉信心有幫助。

事實上,近幾年國家對嬰幼兒配方乳粉、乳制品從未放松,并有逐年趨嚴態(tài)勢。5月12日,記者從國家食藥監(jiān)總局的《國務院辦公廳關于印發(fā)2016年食品安全重點工作安排的通知》(〔2016〕30號)看到,今年的重點工作中就多次提到嬰幼兒配方乳粉、乳制品。

如在“突出重點問題綜合整治”內(nèi)容里提到,要制定食品安全風險隱患、突出問題和監(jiān)管措施清單。規(guī)范嬰幼兒配方乳粉產(chǎn)品配方、特殊醫(yī)學用途配方食品、保健食品的注冊管理;繼續(xù)加強對嬰幼兒配方乳粉和嬰幼兒輔助食品、乳制品等重點產(chǎn)品監(jiān)管;要求對進口嬰幼兒配方乳粉質量安全開展全面檢查。

在嚴格落實生產(chǎn)經(jīng)營主體責任方面,上述通知也要求食品藥品監(jiān)管總局、質檢總局等負責督促和指導企業(yè)依法建立嬰幼兒配方乳粉等重點產(chǎn)品追溯體系。記者從省食藥監(jiān)局獲悉,今年初,該部門就向省內(nèi)各級相關監(jiān)管部門下發(fā)通知,要求區(qū)域內(nèi)的嬰幼兒配方乳粉生產(chǎn)企業(yè)結合實際,真實、準確、有效記錄生產(chǎn)經(jīng)營過程的信息,建立和完善嬰幼兒配方乳粉生產(chǎn)企業(yè)食品安全追溯體系,實現(xiàn)嬰幼兒配方乳粉生產(chǎn)全過程信息可記錄、可追溯、可管控、可召回、可查詢,全面落實嬰幼兒配方乳粉生產(chǎn)企業(yè)主體責任。

國內(nèi)嬰幼兒奶粉生產(chǎn)企業(yè)和品牌眾多,再加上近年來跨境電商業(yè)態(tài)迅速發(fā)展,吸引更多境外品牌蜂擁而至,進一步加大監(jiān)管難度。為此,國家將推動嬰幼兒配方乳粉企業(yè)兼并重組,近兩年均納入國家食品安全重點工作安排,今年,上述通知更明確,該項工作內(nèi)容由工業(yè)和信息化部、商務部、食品藥品監(jiān)管總局負責。

專家:全面整治 堵不如疏

篇7

根據(jù)《基本要求》的規(guī)定,二級要求的系統(tǒng)防護能力為:信息系統(tǒng)具有抵御一般攻擊的能力,能防范常見計算機病毒和惡意代碼危害的能力,系統(tǒng)遭受破壞后,具有恢復系統(tǒng)主要功能的能力。數(shù)據(jù)恢復的能力要求為:系統(tǒng)具有一定的數(shù)據(jù)備份功能和設備冗余,在遭受破壞后能夠在有限的時間內(nèi)恢復部分功能。按照二級的要求,一般情況下分為技術層面和管理層面的兩個層面對信息系統(tǒng)安全進行全面衡量,技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數(shù)據(jù)保密性等多個控制點進行測評,而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統(tǒng)運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業(yè)務信息安全類(S類)、系統(tǒng)服務安全類(A類)、通用安全防護類(G類)三類。水利信息系統(tǒng)通常以S和G類防護為主,既關注保護業(yè)務信息的安全性,又關注保護系統(tǒng)的連續(xù)可用性。

2水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結構相對簡單,在管理制度上基本建立了機房管控制度、人員安全管理制度等,技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下),且不臨街。機房大門為門禁電磁防盜門,機房內(nèi)安裝多部監(jiān)控探頭。機房內(nèi)部劃分為多個獨立功能區(qū),每個功能區(qū)均安裝門禁隔離。機房鋪設防靜電地板,且已與大樓防雷接地連接。機房內(nèi)按照面積匹配自動氣體消防,能夠對火災發(fā)生進行自動報警,人工干預滅火。機房內(nèi)已安裝溫度濕度監(jiān)控探頭,對機房內(nèi)溫濕度自動監(jiān)控并具有報警功能,機房配備較大功率UPS電源,能夠保障關鍵業(yè)務系統(tǒng)在斷電后2小時正常工作。機房采用通信線路上走線,動力電路下走線方式。以上物理條件均滿足二級要求。網(wǎng)絡拓撲結構分為外聯(lián)區(qū)、對外服務區(qū)、業(yè)務處理區(qū)和接入?yún)^(qū)4大板塊,對外服務區(qū)部署有VPN網(wǎng)關,外部人員可通過VPN網(wǎng)關進入加密SSL通道訪問業(yè)務處理區(qū),接入?yún)^(qū)用戶通過認證網(wǎng)關訪問互聯(lián)網(wǎng)。整個網(wǎng)絡系統(tǒng)未部署入侵檢測(IDS)系統(tǒng)、非法外聯(lián)檢測系統(tǒng)、網(wǎng)絡安全審計系統(tǒng)以及流量控制系統(tǒng)。由上述拓撲結構可以看出,現(xiàn)有的安全防護手段可基本保障信息網(wǎng)絡系統(tǒng)的安全,但按照二級要求,系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡安全審計系統(tǒng)和非法外聯(lián)檢測系統(tǒng),且沒有獨立的數(shù)據(jù)備份區(qū)域,給整個信息網(wǎng)安全帶來一定的隱患。新的網(wǎng)絡系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測系統(tǒng)(IDS),新規(guī)劃了獨立的數(shù)據(jù)備份區(qū)域,在核心交換機上部署了網(wǎng)絡審計系統(tǒng),并在接入?yún)^(qū)安裝了非法外聯(lián)檢測系統(tǒng)。形成了較為完整的信息網(wǎng)絡安全防護體系。

3信息系統(tǒng)安全等級測評的內(nèi)容

3.1信息系統(tǒng)等級保護的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個復雜漫長的過程,需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計算機系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。

3.2測評的要素

信息系統(tǒng)是個復雜工程,設備的簡單堆疊并不能有效保障系統(tǒng)的絕對安全,新建系統(tǒng)應嚴格按照等保規(guī)劃設計,已建系統(tǒng)要對信息系統(tǒng)進行安全測試,對于測評不合格項對照整改。信息系統(tǒng)安全測試范圍很廣,主要在網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開測評。本文僅對測評內(nèi)容要素進行描述,對具體測試方法及工具不作描述。

3.2.1網(wǎng)絡安全的測評

水利科研院所網(wǎng)絡安全的測評主要參照公安部編制《信息安全等級測評》條件對網(wǎng)絡全局、路由和交換設備、防火墻、入侵檢測系統(tǒng)展開測評。但應結合科研院所實際有所側重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大,網(wǎng)絡帶寬占用比例相對較高,因此,在網(wǎng)絡全局中主要測試網(wǎng)絡設備是否具備足夠的數(shù)據(jù)處理能力,網(wǎng)絡設備資源占用情況,確保網(wǎng)絡設備的業(yè)務處理能力冗余性??蒲性核乩砦恢孟鄬Ψ稚ⅲ虼?,需要合理的VLAN劃分,確保局部網(wǎng)絡攻擊不會引發(fā)全局癱瘓。科研院所擁有大量的研究生,這類人群對于制度的約束相對較差,網(wǎng)絡應用多伴有P2P應用,對出口帶寬影響極大,因此除了用經(jīng)濟杠桿的手段外,在技術上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯(lián)”行為進行檢查。網(wǎng)絡中應配置IDS對端口掃描,對木馬、后門攻擊、網(wǎng)絡蠕蟲等常見攻擊行為監(jiān)視等等。

3.2.2主機安全測評

主機安全的測評主要對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)展開測評。通常水利科研院所服務器種類繁多,從最多見的機架式服務器到曙光一類的大型并行服務器均有部署,同時操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng),數(shù)據(jù)庫以主流SQLSERVER、ORACLE為主,早期開發(fā)的系統(tǒng)還有Sybase,DB2等數(shù)據(jù)庫。對于window操作系統(tǒng)是容易被攻擊的重點,因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評,主要審計重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關事件。對于LINUX等其他系統(tǒng)和數(shù)據(jù)庫,主要審計操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的身份標識唯一性,口令應復雜程度以及限制條件等。

3.2.3應用安全測評

水利科研院所內(nèi)部業(yè)務種類繁多,如OA系統(tǒng),科研管理系統(tǒng),內(nèi)部財務系統(tǒng)、網(wǎng)站服務器群,郵件服務器等,測評的重點主要是對這些業(yè)務系統(tǒng)逐個測評身份驗證,日志記錄,訪問控制、安全審計等功能。

3.2.4數(shù)據(jù)安全的測評

數(shù)據(jù)安全的測評主要就數(shù)據(jù)的完整性、保密性已及備份和恢復可靠性、時效性展開測評。水利科研院所數(shù)據(jù)量十分龐大,一般達到上百TB級數(shù)據(jù)量,一旦遭受攻擊,恢復任務十分艱巨,因此備份區(qū)和應用區(qū)應該選用光纖直連的方式,避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應做好備份計劃,采用增量備份的方式實時對數(shù)據(jù)備份。

3.2.5物理安全測評

機房的物理安全測評主要是選址是否合理,機房大門防火防盜性能,機房的防雷擊、防火、防水防潮防靜電設施是否完好達標,溫濕度控制、電力供應以及電磁防護是否符合規(guī)定等物理條件。

3.2.6安全管理測評

安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類,流程管理,人員管理和設備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規(guī)定》、《安全審核與檢查管理制度》、《授權和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設計和采購安全管理規(guī)定》、《系統(tǒng)實施安全管理規(guī)定》、《系統(tǒng)測試驗收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號密碼管理規(guī)定》等基本規(guī)章制度。同時對管理制度本身進行也要規(guī)范管理,如版本控制,評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎設施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓記錄》、《各項審批和批準執(zhí)行記錄》、《產(chǎn)品的測試選型測試結果記錄》、《系統(tǒng)驗收測試記錄報告》、《介質歸檔查詢等的等級記錄》、《主機系統(tǒng),網(wǎng)絡,安全設備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應急預案培訓,演練,審查記錄》等。

4測評的方式方法

按照《基本要求》在等級測評中,對二級及二級以上的信息系統(tǒng)應進行工具測試。

4.1測試目的工具測試

是利用各種測試工具,通過對目標系統(tǒng)的掃描、探測等操作,使其產(chǎn)生特定的響應等活動,查看分析響應結果,獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否得以有效實施的一種方法。工具測試種類繁多,這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統(tǒng)本身存在的漏洞,同時也可以通過不同的區(qū)域接入測試工具所得到的測試結果判斷出不同區(qū)域之間的訪問控制情況。利用工具測試并結合其他的核查手段能為測試結果提供客觀準確的保障。

4.2測試流程

收集信息→規(guī)劃接入點→編制《工具測試作業(yè)指導書》→現(xiàn)場測試→結果整理。收集信息主要是對網(wǎng)絡設備、安全設備、主機設備型號、IP地址、操作系統(tǒng)以及網(wǎng)絡拓撲結構等信息進行收集。規(guī)劃接入點是保證不影響整個信息系統(tǒng)網(wǎng)絡正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規(guī)劃隨著網(wǎng)絡結構,訪問控制,主機位置等情況的不同而不同,但應該遵循以下規(guī)則。(1)由低級別系統(tǒng)向高級別系統(tǒng)探測。(2)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測。(3)由外聯(lián)接口向系統(tǒng)內(nèi)部探測。(4)跨網(wǎng)絡隔離設備(包括網(wǎng)絡設備和安全設備)要分段探測。

4.3測試手段

利用漏洞掃描器、滲透測試工具集、協(xié)議分析儀、網(wǎng)絡拓撲結構生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié),為整改方案的編制提供依據(jù)。

5云計算與等級保護

近年來,隨著水利科研院各自的云計算中心相繼建立,云計算與以往的計算模式安全風險差異很大,面臨的風險也更大,因為以往的系統(tǒng)多數(shù)為集中式管理范圍較小,安全管理和設備資源是可控的,而云計算是分布式管理,是一個動態(tài)變化的計算環(huán)境,這種環(huán)境在某種意義上是無序的,這種虛擬動態(tài)的運行環(huán)境更不可控,傳統(tǒng)的安全邊界消失。同時,云計算在認證、授權、訪問控制和數(shù)據(jù)保密這些方面這對于信息網(wǎng)絡安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計算面臨的7宗罪(風險),說明云安全的狀況變化非???,現(xiàn)有的技術和管理體系并不完全適應于云計算的模式,如何結合自身特點制定出適合云計算的等級保護體系架構是今后研究的方向。

6結語

篇8

推行電子政務建設是促進政府行政改革的重要手段,對于轉變政府職能,推動政府的現(xiàn)代化進程,帶動和促進我國社會信息化的發(fā)展都有重要的現(xiàn)實意義。電子政務的建設既要考慮目前政府的組織機構與業(yè)務現(xiàn)狀,又要滿足未來電子政務發(fā)展需求,這就要求電子政務系統(tǒng)的設計具有系統(tǒng)性、綜合性、變更性和可持續(xù)性。同時,由于電子政務是依賴于信息技術和網(wǎng)絡技術而存在,并通過因特網(wǎng)為企業(yè)和個人用戶提供服務。因此,電子政務的首要問題是如何保障其信息安全[5]。電子政務的安全問題,從電子政務的概念提出就成為備受關注的問題之一。隨著各國電子政務的實踐的發(fā)展,其安全問題也日益突出,成為制約電子政務進一步發(fā)展的首要因素。電子政務的發(fā)展關系到國家政治、經(jīng)濟、社會、文化等多個方面,而電子政務的發(fā)展需要安全保障。對電子政務安全問題的成因進行分析,是解決其安全問題的前提條件。只有對電子政務所面臨的安全風險與隱患進行全面深入的了解,才有可能針對性地做好安全防范工作,建立起有效的安全防范體系和風險控制機制。

1電子政務安全隱患分析

由于電子政務系統(tǒng)具有網(wǎng)絡化的業(yè)務服務特點,因此很容易遭到各種各樣的攻擊,如賬號被盜用、被監(jiān)聽和截取信息包、搭載木馬程序、掃描端口、占用服務器帶寬、破壞數(shù)據(jù)完整性等[5]。電子政務安全隱患的成因,可以從多個方面和多個角度進行分析。從攻擊者威脅行為的動機角度分析,可以分為利益驅動、技術驅動、信息驅動等幾個方面;從系統(tǒng)防范的角度分析,可以分為技術問題和管理問題。文章主要從技術和管理兩方面討論電子政務安全隱患。技術隱患指電子政務信息系統(tǒng)本身的技術漏洞,是系統(tǒng)自身的技術缺陷;管理隱患則包含內(nèi)部和外部威脅,來自內(nèi)部的威脅如內(nèi)部人員的惡意破壞、管理人員、執(zhí)行人員的違規(guī)和違法操作、內(nèi)部管理的疏漏等。來自于外部的威脅,如駭客入侵和攻擊、病毒傳染和蔓延、信息間諜的潛入和竊密、網(wǎng)絡攻擊和破壞、信息戰(zhàn)爭及自然災害等。

1.1技術隱患分析

技術隱患包括基礎網(wǎng)絡、操作系統(tǒng)和數(shù)據(jù)庫以及應用平臺等方面的隱患。在基礎網(wǎng)絡方面,網(wǎng)絡拓撲結構設計不合理或缺乏可擴展性,可能會因某結點遭到破壞而導致整個系統(tǒng)癱瘓,其通信線路也易遭物理破壞和搭線竊聽;操作系統(tǒng)和數(shù)據(jù)庫方面,由于目前所使用的計算機網(wǎng)絡操作系統(tǒng),多偏重于考慮系統(tǒng)使用的方便性,其結構和代碼設計相對在系統(tǒng)的安全機制上考慮還不夠精細,或多或少地存在安全漏洞;數(shù)據(jù)庫管理系統(tǒng)基于分級理念對數(shù)據(jù)庫進行管理,同時數(shù)據(jù)庫管理系統(tǒng)的安全與操作系統(tǒng)的安全相配套,這使得系統(tǒng)的安全出現(xiàn)不穩(wěn)定因素。應用平臺方面的隱患主要表現(xiàn)在“后門攻擊”,即在開發(fā)電子政務系統(tǒng)的應用功能時,往往留有所謂的“后門”,以便程序員在應用層面進行定期維護或升級,該“后門”一旦被非法人員發(fā)現(xiàn),其破壞性就有可能波及整個系統(tǒng)。

1.2管理隱患分析

管理隱患包括身份和口令、資源管理和制度法規(guī)等多方面的隱患。身份和口令隱患主要表現(xiàn)在用戶名和口令過于簡單,在驗證時極易導致合法身份被冒用,采用靜態(tài)口令很容易在日志記錄中被竊取,內(nèi)部用戶身份級別劃定不嚴格也會導致信息使用級別的混亂。資源管理隱患是內(nèi)部用戶使用資源時,對重要文件不加密,重要信息進行長期共享,傳遞信息時無身份認證,電子郵件大量群發(fā)時缺乏信息保密安全意識的資源管理行為。制度法規(guī)方面的隱患主要表現(xiàn)在網(wǎng)絡信息安全法規(guī)目前尚未健全,尤其在涉及到政府各部門橫向信息交流時的安全約束機制。多見行政規(guī)定代替法規(guī),缺少統(tǒng)一標準,又大多不全面細化,起不到真正監(jiān)管電子政務信息系統(tǒng)安全的作用。近年來還出現(xiàn)了一種新的安全隱患,即直接在網(wǎng)絡上假冒政府或某些職能部門的名義開設網(wǎng)站,以牟取非法利益。隨著形勢的發(fā)展電子政務系統(tǒng)中可能還會出現(xiàn)新的安全隱患,并且這些安全隱患相互作用,彼此糾結,使得系統(tǒng)安全的維護變得非常困難。綜上所述,可將電子政務安全主要隱患來源設計如圖1所示。在現(xiàn)實中,很多的安全隱患是由內(nèi)外因素共同引發(fā)的。例如病毒的破壞,往往是由于內(nèi)部管理的疏漏和人員安全實施的薄弱造成的。來自于系統(tǒng)內(nèi)部和外部的因素,針對上述安全隱患,需要分別考慮不同的安全隱患的各自特點,制定出針對性的專門的防范措施和危機救援措施。文中通過對電子政務的研究和對政府組織管理、行政事務管理等方面的理解,給出了電子政務安全體系結構及其設計。

2電子政務的安全體系

電子政務的安全主要是系統(tǒng)安全和數(shù)據(jù)安全。電子政務的安全目標就是要在確保電子政務的正常運行的同時,維護電子政務系統(tǒng)的安全,也就是維護信息的安全和網(wǎng)絡的安全。從而保證電子政務信息的可用性、完整性、保障性、保密性和不可否認性。2.1電子政務安全體系結構電子政務通過網(wǎng)絡系統(tǒng)實現(xiàn)信息資源的共享與交互,提高了政府處理政務的工作效率,提供了政務系統(tǒng)的可擴充性。但同時,隨著計算機網(wǎng)絡技術的發(fā)展和計算機安全問題的日益復雜,增加了電子政務系統(tǒng)安全的復雜性和脆弱性。因此,建立一個穩(wěn)定可靠的電子政務系統(tǒng)除了加強計算機及網(wǎng)絡等方面的技術安全保障措施外,還必須建立健全法制管理措施對系統(tǒng)的日常操作、運行、維護、審計、監(jiān)督及文檔管理進行統(tǒng)一管理。電子政務系統(tǒng)結構中電子政務安全體系是最重要的組成部分之一,是電子政務系統(tǒng)運行的必要保障體系,文中從技術安全和安全管理兩方面談論電子政務的安全問題。安全技術系統(tǒng)涉及物理層安全、網(wǎng)絡基礎平臺安全、信息資源層安全與業(yè)務應用層安全。安全管理系統(tǒng)包括政務的安全組織、安全策略、安全標準、安全評估與審計及安全制度,其中安全組織包括決策機構、專家小組、管理機制與執(zhí)行維護機構等。電子政務的安全體系結構如圖2所示。

2.2電子政務安全體系設計

電子政務系統(tǒng)本身是一個非常復雜的系統(tǒng),其安全問題也是一個綜合性很強的問題。要確保電子政務的安全不僅僅是政府各機構、各部門內(nèi)部的事情,也是一個國家層面的事情,因為政務信息的安全涉及不同國家之間、不同政治集團之間的利益關系,它的安全保障問題需要從國家范圍來統(tǒng)一規(guī)劃,以抵御外來的信息安全威脅。因此,構建一個綜合性的安全保障體系,要從安全技術、安全管理、及相關支撐體系等方面提供全方位的保護和保障。安全管理系統(tǒng)和安全技術系統(tǒng)是相輔相成的,在建設電子政務系統(tǒng)時,在對安全技術系統(tǒng)進行設計時,必須同時考慮安全管理系統(tǒng)的建設和實施。安全管理系統(tǒng)與安全技術系統(tǒng)的相互關系如圖3所示。在這一安全體系中,安全技術系統(tǒng)是核心問題,它涉及理論研究和技術開發(fā),安全系統(tǒng)應用,及構建綜合防護系統(tǒng)的等問題;安全管理系統(tǒng)是安全保障的關鍵,其中包括安全制度、安全組織、安全審計、安全標準及安全評估等內(nèi)容的管理。

2.2.1安全技術系統(tǒng)設計

文中對電子政務安全技術系統(tǒng)從物理安全、網(wǎng)絡基礎平臺安全、信息資源安全和應用平臺安全等方面進行設計。首先,由于電子政務系統(tǒng)包含著大量的信息資源,拓構非常復雜,不僅關系到政府辦公外網(wǎng)與政府非網(wǎng)的連接也有非網(wǎng)與網(wǎng)之間的連接。因此,物理安全首先應保證物理連接方面的安全,防止電力中斷、電磁泄漏、保證物理結構合理和可擴展性。對網(wǎng)與非網(wǎng)之間的連接,采用雙布線、雙交換機、雙處理設備,且兩套線路和設備之間不進行物理連接;辦公單位與數(shù)據(jù)中心的連接均用防火墻進行邏輯隔離,根據(jù)過濾規(guī)則來判斷網(wǎng)絡數(shù)據(jù)是否能夠通過防火墻,用以加強網(wǎng)絡之間訪問控制,保證可信的數(shù)據(jù)傳輸及對非法訪問的拒絕;使用基于物理隔離的數(shù)據(jù)交換技術對政府外網(wǎng)數(shù)據(jù)進行審查,保證通行可信數(shù)據(jù),拒絕非法請求。綜合運用防火墻、入侵檢測技術、漏洞掃描技術、病毒防治技術和安全審計技術、操作系統(tǒng)安全策略和數(shù)據(jù)庫安全策略構建統(tǒng)一的網(wǎng)絡基礎平臺安全策略,及時更新防毒軟件、識別駭客入侵的各種方法和手段、檢測內(nèi)部人員的誤操作、資源濫用和惡意行為、多層次安全審計,幫助用戶對內(nèi)外網(wǎng)行為進行追蹤、實時的報警和響應。定期或不定期地調(diào)用網(wǎng)絡安全性分析軟件發(fā)現(xiàn)網(wǎng)絡安全漏洞。由于操作系統(tǒng)的問題是隨著時間的延續(xù)而逐漸出現(xiàn)的,不是在進行一次安全加固后就能解決,所以要通過采用安全工具及時從網(wǎng)絡進行升級、定時掃描,建立完善的分類報表來加強安全。數(shù)據(jù)庫方面可通過及時下載安全補丁、分階段建立數(shù)據(jù)庫、制定完善的口令策略和修改系統(tǒng)參數(shù)等措施來加強數(shù)據(jù)庫安全,從保證數(shù)據(jù)對象的安全著手保證信息數(shù)據(jù)的安全。應用安全主要涉及到信息傳輸?shù)陌踩?、信息存儲的安全及對網(wǎng)絡傳輸信息內(nèi)容的審計等方面,可根據(jù)安全構成與其相互關系,建立在PKI(安全存儲公鑰基礎設施,PublicKeyInfrastructure)體系的CA(CertificateAuthority,證書授權中心)身份認證的基礎上,通過設計CA身份認證的系統(tǒng),形成基于公鑰密碼體制的安全用基礎環(huán)境,為安全體系上其他應用系統(tǒng)解決內(nèi)部授權訪問、數(shù)據(jù)完整性、審計、抗否認提供保證。

2.2.2安全管理系統(tǒng)設計

安全管理是一項綜合管理,是對電子政務的所有安全問題和環(huán)節(jié)進行管理,如保證設施的安全、信息的安全和運行過程的安全。本文從管理職能的角度將安全管理系統(tǒng)分為安全組織、安全策略和制度、安全標準、安全評估、安全審計等5個方面。安全組織設計包括如何建立安全決策組織、安全指導小組、安全專家小組、安全領導小組、建立網(wǎng)絡日常管理機構、建立維護單元等。安全政策和制度包括制定與政府信息系統(tǒng)安全等級相對應的安全措施不力和要求,對參與系統(tǒng)開發(fā)和運行的企業(yè)的要求和約束,同時執(zhí)行系統(tǒng)安全審計與安全問題報告制度與程序。如制定國家公務員捷足先登安全規(guī)范、安全策略制定規(guī)范、物理層安全建設規(guī)范、數(shù)字證書管理規(guī)范、系統(tǒng)管理規(guī)范及應急系統(tǒng)構建規(guī)范等。安全等級的分類與等級相應的安全措施,對參與系統(tǒng)開發(fā)和運行的單位、人員的要求,系統(tǒng)安全審計,安全問題的報告制度和程序,緊急情況的處理和應急措施有關。安全標準包括制定具體的,針對每一個安全等級的政務信息系統(tǒng)的安全標準、運行的規(guī)范、數(shù)據(jù)和軟件的備份、系統(tǒng)的物理安全。制定安全標準,電子政務系統(tǒng)中的信息可參照標準執(zhí)行確保在該標準下的安全。從而保證安全管理,節(jié)約各部門和系統(tǒng)在安全問題上消耗的人力、財力和資源。安全評估主要從政治、經(jīng)濟、技術等方面分析,明確并規(guī)范哪些子系統(tǒng)需要專網(wǎng),哪些子系統(tǒng)需要加密措施,并確定系統(tǒng)中信息資源的安全級別。分析電子政務系統(tǒng)中的各子系統(tǒng)會有哪些潛在的威脅、威脅的嚴重程度如何、威脅將造成什么樣的后果、系統(tǒng)對此到底需要什么樣的安全措施。電子政務在建成和運行的過程中,都應接受有關部門的安全審計,以確保政務的安全政策與安全標準得到落實。安全審計主要通過人工審記或由計算機自動分析處理審計的方法,記錄和跟蹤網(wǎng)絡狀態(tài)的變化,對用戶的活動、程序和文件的使用情況進行監(jiān)控,并對程序和文件的使用及對文件的處理過程等加以記錄。

篇9

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設的推進,我校信息化建設初具規(guī)模,軟硬件設備配備完成,運行保障的基礎技術手段基本具備。網(wǎng)絡中心技術力量雄厚,承擔網(wǎng)絡系統(tǒng)管理和應用支持的專業(yè)技術人員達20余人;針對重要應用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段,保障了核心業(yè)務系統(tǒng)在一般情況下的正常運行,具備了基本的安全防護能力|6];日常運行管理規(guī)范,按照信息基礎設施運行操作流程和管理對象的不同,確定了網(wǎng)絡系統(tǒng)運行保障管理的角色和崗位,初步建立了問題處理的應急響應機制。由網(wǎng)絡中心進行日常管理的主要有六大業(yè)務應用系統(tǒng),即網(wǎng)絡通信平臺、認證計費系統(tǒng)、校園一卡通、電子校務系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡通信平臺是大學各大業(yè)務平臺的基礎核心,是整個校園網(wǎng)的基礎,其他應用系統(tǒng)都運行在高校的基礎網(wǎng)絡環(huán)境上;認證計費系統(tǒng)是針對用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認證計費的管理方式;校園一卡通系統(tǒng)建設在物理專網(wǎng)上,主要實現(xiàn)學生校園卡消費管理,校園卡與大學網(wǎng)絡有3個物理接口;電子校務系統(tǒng)是大學最重要的業(yè)務應用系統(tǒng),系統(tǒng)中存儲著重要的教務工作數(shù)據(jù)、學生考試信息、財務數(shù)據(jù)等重要數(shù)據(jù)信息;大學主頁網(wǎng)站系統(tǒng)為大學校園的互聯(lián)網(wǎng)窗口起到學校對外介紹宣傳的功能;郵件系統(tǒng)主要為大學教師與學生提供郵件收發(fā)服務,目前郵件系統(tǒng)注冊用1.2面臨的主要問題

 

通過等級保護差距分析和風險評估,目前大學所面臨的信息安全風險和主要問題如下:

 

(1)高校領域沒有總體安全標準指引,方向不明確,缺少主線。

 

(2)對國際國內(nèi)信息安全法律法規(guī)缺乏深刻意識和認識。

 

(3)信息安全機構不完善,缺乏總體安全方針與策略,職責不夠明確。

 

(4)教職員工和學生數(shù)量龐大,管理復雜,人員安全意識相對薄弱,日常安全問題多。

 

()建設投資和投入有限,運維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對松散,缺乏安全監(jiān)管及檢查機制,無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃,難以全面提升管理

 

(8)缺乏監(jiān)控、預警、響應、恢復的集中運行管理手段,無法提高安全運維能力。

 

2建設思路

 

2.1建設原則和工作路線

 

學校信息安全建設的總體原則是:總體規(guī)劃、適度防護,分級分域、強化控制,保障核心、提升管理,支撐應用、規(guī)范運維。

 

依據(jù)這一總體原則,我們的信息安全體系建設工作以風險評估為起點,以安全體系為核心,通過對安全工作生命周期的理解從風險評估、安全體系規(guī)劃著手,并以解決方案和策略設計落實安全體系的各個環(huán)節(jié),在建設過程中逐步完善安全體系,以安全體系運行維護和管理的過程等全面滿足安全工作各個層面的安全需求,最終達到全面、持續(xù)、突出重點的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術信息系統(tǒng)安全等級保護基本要求》GBT22239-2008、《信息系統(tǒng)等級保護安全建設技術方案設計要求》(征求意見稿),并吸納了IATF模型[7]中“深度防護戰(zhàn)略,,理論,強調(diào)安全策略、安全技術、安全組織和安全運行4個核心原則,重點關注計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡等多個層次的安全防護,構建信息系統(tǒng)的安全技術體系和安全管理體系,并通過安全運維服務和itsm[8]集中運維管理(基于IT服務管理標準的最佳實踐),形成了集風險評估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預警、應急響應、系統(tǒng)恢復、安全審計和違規(guī)取證于一體的安全運維體系架構(見圖2),從而實現(xiàn)并覆蓋了等級保護基本要求中對網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和管理安全的防護要求,以滿足信息系統(tǒng)全方位的安全保護需求。

 

(1)安全策略:明確信息安全工作目的、信息安全建設目標、信息安全管理目標等,是信息安全各個方面所應遵守的原則方法和指導性策略。

 

(2)安全組織:是信息安全體系框架中最重要的

 

各級組織間的工作職責,覆蓋安全管理制度、安全管理機構和人員安全管理3個部分。

 

(3)安全運行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統(tǒng)持續(xù)運行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應用過程和人員的操作執(zhí)行,該部分以國家等級保護制度為依據(jù),覆蓋系統(tǒng)建設管理、系統(tǒng)運維管理2個部分。

 

(4)安全技術:是從技術角度出發(fā),落實學校組織機構的總體安全策略及管理的具體技術措施的實現(xiàn),是對各個防護對象進行有效地技術措施保護。安全技術注重信息系統(tǒng)執(zhí)行的安全控制,針對未授權的訪問或誤用提供自動保護,發(fā)現(xiàn)違背安全策略的行為,并滿足應用程序和數(shù)據(jù)的安全需求。安全技術包含通信網(wǎng)絡、計算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺。該部分以國家等級保護制度為依據(jù),覆蓋物理層、網(wǎng)絡層、主機層、應用層和數(shù)據(jù)層5個部分。

 

()安全運維:安全運維服務體系架構共分兩層,實現(xiàn)人員、技術、流程三者的完美整合,通過基于ITIL[9]的運維管理方法,保障基礎設施和生產(chǎn)環(huán)境的正常運轉,提升業(yè)務的可持續(xù)性,從而也體現(xiàn)了安全運3重點建設工作

 

3.1安全滲透測試

 

2009年4月,學校對38個網(wǎng)站、2個關鍵系統(tǒng)和6臺主機系統(tǒng)進行遠程滲透測評。通過測評,全面、完整地了解了當前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個高危漏洞,并針對高危漏洞分析了系統(tǒng)所面臨的各種風險,根據(jù)測評結果發(fā)現(xiàn)被測系統(tǒng)存在的安全隱患。滲透測試主要任務包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測評、提升權限測評、獲取代碼、滲透測評報告。

 

3.2風險評估和安全加固

 

2009年5月,依據(jù)安全滲透測試結果,對大學的六大信息系統(tǒng)進行了安全測評。根據(jù)評估結果得出系統(tǒng)存在的安全問題,并對嚴重的問題提出相應的風險控制策略。主要工作任務包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場檢測、資產(chǎn)分析、威脅分析、脆弱性分析和風險分析。通過風險評估最終得出了威脅的數(shù)量和等級,表1、表2為威脅的數(shù)量和等級統(tǒng)計。2009年6月和9月,基于風險評估結果,對涉及到的網(wǎng)絡設備(4臺)和主機設備(14臺)進行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對全校的網(wǎng)絡、重要信息系統(tǒng)及管理層面的全面評估和了解整理出符合大學實際的安全需求,并結合實際業(yè)務要求,對學校整體信息系統(tǒng)的安全工作進行規(guī)劃和設計,并通過未來3年的逐步安全建設,滿足學校的信息安全目標及國家相關政策和標準學校依據(jù)國際國內(nèi)規(guī)范及標準,參考業(yè)界的最佳實踐ISMS[10](信息安全管理體系),結合我校目前的實際情況,制定了一套完整、科學、實際的信息安全管理體系,制定并描述了網(wǎng)絡與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立,使學校的組織結構布局更加合理,人員安全意識也明顯提高,從而保證了網(wǎng)絡暢通和業(yè)務正常運行,提高了IT服務質量。通過制度、流程、標準及規(guī)范,加強了日常安全工作執(zhí)行能力,提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護體系

 

根據(jù)網(wǎng)絡與信息系統(tǒng)各節(jié)點的網(wǎng)絡結構、具體的應用以及安全等級的需求,可以考慮使用邏輯隔離技術(VLAN或防火墻技術)將整個學校的網(wǎng)絡系統(tǒng)劃分為3個層次的安全域:第一層次安全域包括整個學校網(wǎng)絡信息系統(tǒng);第二層次安全域將各應用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應用系統(tǒng)內(nèi)部根據(jù)應用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎設施包括:CA安全區(qū):主要承載CAServer、主從LDAP、數(shù)據(jù)庫、加密機、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機等;RA注冊區(qū):主要承載各院所的RA注冊服務器,為各院所的師生管理提供數(shù)字證書注冊服務。

 

應用安全支撐平臺為各信息系統(tǒng)提供應用支撐服務、安全支撐服務以及安全管理策略,使得信息系統(tǒng)建立在一個穩(wěn)定和高效的應用框架上,封裝復雜的業(yè)務支撐服務、基礎安全服務、管理服務,并平滑支持業(yè)務系統(tǒng)的擴展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認證、統(tǒng)一訪問授權、統(tǒng)一審計管理、數(shù)據(jù)安全引擎、單點登錄等功能。

 

4.2安全運維體系

 

ITSM集中運維管理解決方案面對學校日益復雜的IT環(huán)境,整合以往對各類設備、服務器、終端和業(yè)務系統(tǒng)等的分割管理,實現(xiàn)了對IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運維管理理念,達到了技術、功能、服務三方面的完全整合,實現(xiàn)了IT服務支持過程的標準化、流程化、規(guī)范化,極大地提高了故障應急處理能力,提升了信息部門的管理效率和服務水平。

 

根據(jù)終端安全的需求,系統(tǒng)應建設一套完整的技術平臺,以實現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略,對網(wǎng)內(nèi)所有終端計算機上的軟硬件資源、以及計算機上的操作行為進行有效管理。實現(xiàn)將以網(wǎng)絡為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強制實施、終端用戶安全狀態(tài)的集中審計;對用戶事前身份和安全級別的認證、事中安全狀態(tài)定期安全檢測,內(nèi)容包括定期的安全風險評估、安全加固、安全應急響應和安全巡檢。

 

4.3安全審計體系

篇10

【關鍵詞】信息系統(tǒng) 網(wǎng)絡安全 評價指標

根據(jù)國家網(wǎng)絡和信息系統(tǒng)的安全性要求,結合多年的網(wǎng)絡管理經(jīng)驗,從以下五個指標對信息系統(tǒng)網(wǎng)絡安全進行評價:

1.實體與環(huán)境安全

實體與環(huán)境指計算機設備及計算機網(wǎng)管人員工作的場所,這個場所內(nèi)外的環(huán)境條件必須滿足計算機設備和網(wǎng)管人員的要求。對于各種災害、故障要采取充分的預防措施,萬一發(fā)生災害或故障,應能采取應急措施,將損失降到最低限度??梢詮囊韵聨讉€方面來檢查:

(1)機房周圍環(huán)境

機房是否建在電力、水源充足、自然環(huán)境清潔、通訊、交通運輸方便的地方。

(2)機房周圍100m內(nèi)有無危險建筑

危險建筑:指易燃、易爆、有害氣體等存在的場所,如加油站、煤氣站、煤氣管道等。

(3)有無監(jiān)控系統(tǒng)

監(jiān)控系統(tǒng):指對系統(tǒng)運行的外圍環(huán)境、操作環(huán)境實施監(jiān)控(視)的設施,及時發(fā)現(xiàn)異常,可根據(jù)使用目的不同配備以下監(jiān)視設備,如紅外線傳感器、監(jiān)視攝像機等設備。

(4)有無防火、防水措施

防火:指機房內(nèi)安裝有火災自動報警系統(tǒng),或有適用于計算機機房的滅火器材,如鹵代烷1211和1301自動消防系統(tǒng)或滅火器。

防水:指機房內(nèi)無滲水、漏水現(xiàn)象,如機房上層有用水設施需加防水層,有暖氣裝置的機房沿機房地面周圍應設排水溝,應注意對暖氣管道定期檢查和維修。是否裝有漏水傳感器。

(5)機房有無環(huán)境測控設施(溫度、濕度和潔凈度),如溫濕度傳感器

溫度控制:指機房有空調(diào)設備,機房溫度保持在18—24攝氏度。

濕度控制:指相對濕度保持在40%—60%。

潔凈度控制:機房和設備應保持清潔、衛(wèi)生,進出機房換鞋,機房門窗具有封閉性能。

(6)有無防雷措施(具有防雷裝置,接地良好)

計算機機房是否符合GB 157《建筑防雷設計規(guī)范》中的防雷措施。

在雷電頻繁區(qū)域,是否裝設有浪涌電壓吸收裝置。

(7)有無備用電源和自備發(fā)電機

(8)是否使用UPS

UPS:(Uninterruptible Power System),即不間斷電源,是一種含有儲能裝置,以逆變器為主要組成部分的恒壓頻的不間斷電源。主要用于給單臺計算機、計算機網(wǎng)絡系統(tǒng)或其它電力電子設備提供不間斷的電力供應。

(9)是否有防靜電措施(采用防靜電地板,設備接地良好)

當采用地板下布線方式時,可鋪設防靜電活動地板。

當采用架空布線方式時,應采用靜電耗散材料作為鋪墊材料。

通信設備的靜電地板、終端操作臺地線應分別接到總地線母體匯流排上定期(如一周)對防靜電設施進行維護和檢驗。

(10)是否保證持續(xù)供電

設備是否采用雙路市電供電,提供冗余備份,并配有實時告警監(jiān)控設備。是否與空調(diào)、照明用電分開,專線供電。

(11)是否有防盜措施

中心有人值班,出入口安裝防盜安全門,窗戶安裝金屬防護裝置,機房裝有無線電遙控防盜聯(lián)網(wǎng)設施。

2.組織管理與安全制度

(1)有無專門的信息安全組織機構和專職的信息安全人員

信息安全組織機構的成立與信息安全人員的任命必須有有關單位的正式文件。

(2)有無健全的信息安全管理的規(guī)章制度

是否有健全的規(guī)章制度,而且規(guī)章制度上墻;是否嚴格執(zhí)行各項規(guī)章制度和操作規(guī)程,有無違章操作的情況。

(3)是否有信息安全人員的配備,調(diào)離有嚴格的管理制度

(4)設備與數(shù)據(jù)管理制度是否完備

設備實行包干管理負責制,每臺設備都應有專人負責保管(包括說明書及有關附件);在使用設備前,應掌握操作規(guī)程,閱讀有關手冊,經(jīng)培訓合格后方可進行相關操作;禁止在計算上運行與業(yè)務無關的程序,未經(jīng)批準,不得變更操作系統(tǒng)和網(wǎng)絡設置,不得任意加裝設備。

(5)是否有登記建檔制度

登記建檔是做好網(wǎng)絡安全工作的前提,一些技術資料對網(wǎng)絡安全工作很重要,要注意收集和保存。可從以下幾個方面檢查相關文檔:

策略文檔(如,法規(guī)文件、指示)、系統(tǒng)文檔(如,系統(tǒng)用指南、系統(tǒng)管理員手冊、系統(tǒng)設計和需求文檔、采購文檔)、及安全相關的文檔(如以前的審計報告、風險評估報告、系統(tǒng)測試結果、系統(tǒng)安全計劃、安全策略)都可提供系統(tǒng)使用的或計劃的安全控制方面的信息。任務影響分析或資產(chǎn)重要性評估可提供有關系統(tǒng)和數(shù)據(jù)重要性及敏感性的信息。

設計資料,如網(wǎng)絡拓撲結構圖,綜合布線結構圖等。

安裝資料,包括安裝竣工及驗收的技術文件和資料。

設備升級維修記錄等。

(6)是否有緊急事故處理預案

為減少計算機系統(tǒng)故障的影響,盡快恢復系統(tǒng),應制定故障的應急措施和恢復規(guī)程以及自然災害時的措施,制成手冊,以備參考。

(7)是否有完整的信息安全培訓計劃和培訓制度

開展網(wǎng)絡安全教育是為了使所有人員了解網(wǎng)絡安全的基本常識及網(wǎng)絡安全的重要性,要堅持經(jīng)常的、多樣化的安全教育工作,廣播、圖片、標語、報告培訓班都是可以采用的宣傳教育方式。

(8)各類人員的安全職責是否明確,能否勝任網(wǎng)絡安全管理工作

應對網(wǎng)絡管理人員嚴格分工,使其職責分明,要對網(wǎng)絡管理人員定期進行安全培訓及考核,對關鍵崗位人員,應該持有相應的認證。

3.安全技術措施

(1)是否有災難恢復的技術對策

是否為網(wǎng)絡中斷和災難做好準備,以及如何快速反應將中斷和損失降至最小。災難恢復措施包括災難預防制度、災難演習制度及災難恢復制度。

(2)是否有系統(tǒng)安全審計功能

安全審計功能主要是監(jiān)控來自網(wǎng)絡內(nèi)部和外部的用戶活動,偵察系統(tǒng)中存在現(xiàn)有和潛在的威脅,對與安全有關的活動的相關信息進行識別,記錄,存儲和分析,安全審計系統(tǒng)往往對突發(fā)事件進行報警和響應。

(3)是否有系統(tǒng)操作日志

系統(tǒng)操作日志:指每天開、關機,設備運行狀況等文字記錄。

(4)是否有服務器備份措施

服務器數(shù)據(jù)備份是預防災難的必要手段。隨著對網(wǎng)絡應用的依賴性越來越強和網(wǎng)絡數(shù)據(jù)量的日益增加,企業(yè)對數(shù)據(jù)備份的要求也在不斷提高。許多數(shù)據(jù)密集型的網(wǎng)絡,重要數(shù)據(jù)往往存儲在多個網(wǎng)絡節(jié)點上,除了對中心服務器備份之外,還需要對其他服務器或工作站進行備份,有的甚至要對整個網(wǎng)絡進行數(shù)據(jù)備份,即全網(wǎng)備份。網(wǎng)絡備份需要專業(yè)備份軟件,Backup Exec就是其中的一種,是為中小企業(yè)提供的基于Windows平臺的網(wǎng)絡備份與恢復解決方案。

(5)是否有防黑客入侵設施

防黑客入侵設施主要是設置防火墻和入侵檢測等設施。

防火墻是為了監(jiān)測并過濾所有內(nèi)部網(wǎng)與外部網(wǎng)之間的信息交換,保護著內(nèi)部網(wǎng)絡敏感的數(shù)據(jù)不被偷竊和破壞,并記錄內(nèi)外通訊的有關狀態(tài)信息日志。防火墻有三種類型,包括過濾防火墻、型防火墻和狀態(tài)監(jiān)測型防火墻。

入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其分析,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

(6)是否有計算機病毒防范措施

計算機病毒防范措施:備有病毒預防及消除的軟、硬件產(chǎn)品,并能定期的升級。設置客戶端級防護、郵件服務器級防護和應用服務器級防護。

4.網(wǎng)絡與通信安全

(1)放置通信設施的場所是否設有醒目標志

從安全防范的角度考慮,安裝有關通信設備的地方不應加標志。配線架或MODEM柜應加鎖,禁止無關人員入內(nèi)。

(2)重要通信線路及通信控制裝置是否均有備份

重要的通信線雙重化以及線路故障時采用DDN通信線或電話線ISDN等后備功能;從計算中心連出的重要通信線路應采用不同路徑備份方式。

(3)是否采取加密措施

數(shù)據(jù)加密技術是保護傳輸數(shù)據(jù)免受外部竊聽的最好辦法,其可以將數(shù)據(jù)變只有授權接收者才能還原并閱讀的編碼。其過程就是取得原始信息并用發(fā)送者和接收者都知道的一種特殊信息來制作編碼信息形成密文。

(4)系統(tǒng)運行狀態(tài)有無安全審計跟蹤措施

安全審計是模擬社會檢察機構在計算機系統(tǒng)中監(jiān)視、記錄和控制用戶活動的一種機制。它是影響系統(tǒng)安全的訪問和訪問企圖留下線索,以便事后分析和追查,其目標是檢測和判定對系統(tǒng)的惡意攻擊和誤操作,對用戶的非法活動起到威懾作用,為系統(tǒng)提供進一步的安全可靠性。

(5)網(wǎng)絡與信息系統(tǒng)是否加有訪問控制措施

訪問控制措施:指能根據(jù)工作性質和級別高低,劃分系統(tǒng)用戶的訪問權限。對用戶進行分組管理,并且應該是針對安全性問題而考慮的分組。

5.軟件與信息安全

(1)操作系統(tǒng)及數(shù)據(jù)庫是否有訪問控制措施

把整個系統(tǒng)的用戶根據(jù)需要分為不同級別;不同級別的用戶享有對系統(tǒng)的文件、數(shù)據(jù)、網(wǎng)絡、進程等資源的權限,并進行記費管理;還可根據(jù)不同的用戶設置不同的安全策略,將超級用戶的權限細化(可分為系統(tǒng)管理員、安全管理員、數(shù)據(jù)庫管理員、用戶管理員等)。

(2)應用軟件是否有防破壞措施

對應用程序安全的考慮可以遵循如下的方向:對通用應用,如消息傳遞、文件保護、軟硬件交付等,制定通用技術要求;對于特定的復雜應用,可分解為通用應用,同時考慮互操作性問題。一般來講,應用程序的安全機制應該包括以下內(nèi)容:身份標識與鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)可用性、配置管理等。

(3)對數(shù)據(jù)庫及系統(tǒng)狀態(tài)有無監(jiān)控設施

可以使用系統(tǒng)安全檢測工具來定期掃描系統(tǒng),查看系統(tǒng)是否存在各種各樣的漏洞。

(4)是否有用戶身份識別措施

身份認證與數(shù)字簽名策略,身份認證是證明某人或某物身份的過程,當用戶之間建立連接時,為了防止非法連接或被欺騙,就可實施身份確認,以確保只有合法身份的用戶才能與之建立連接。

(5)系統(tǒng)用戶信息是否采用備份