公務(wù)員期刊網(wǎng) 精選范文 信息安全總結(jié)范文

信息安全總結(jié)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全總結(jié)主題范文,僅供參考,歡迎閱讀并收藏。

信息安全總結(jié)

第1篇:信息安全總結(jié)范文

自2020年12月加入***醫(yī)療集團以來擔任信息安全經(jīng)理一職,在這六個月的試用期中通過與各位同事、領(lǐng)導(dǎo)的相處,使我漸漸開始適應(yīng)現(xiàn)在的工作環(huán)境和節(jié)奏,在工作中體會到的領(lǐng)導(dǎo)和同事踏實認真的工作態(tài)度,讓我更加嚴格的要求主機,把工作做好做細。在此,我需真誠的向各位領(lǐng)導(dǎo)和同事表達我深深的謝意,感謝大家在這段時間給予我足夠的寬容、鼓勵和幫助。下面就我六個月的試用期工作進行總結(jié)

1. 已完成項目總結(jié):

1)三級等保測評:根據(jù)國家相關(guān)法律法規(guī)要求,北京和睦家醫(yī)院需通過等級保護三級測評。入職時,此項目已過初測階段進入到整改階段,根據(jù)測評機構(gòu)給出的差異分析報告進行高風(fēng)險項和中風(fēng)險項的整改工作,作為整個項目的執(zhí)行者,之前的工作經(jīng)驗在整改過程中起到了一定的作用,提高了整改工作的效率并編寫了等級保護要求相關(guān)文檔,例如:信息安全應(yīng)急預(yù)案,操作系統(tǒng)基線檢查模板等,同時也存在一些不足,例如對于等級保護要求的一些條例理解不夠深刻,對于等保測評的算分公式不夠熟悉等。在最終測評時,積極配合測評機構(gòu)的測評工作,回答測評機構(gòu)提到的關(guān)鍵問題,使得終測過程較為順利的完成,并以優(yōu)異的分數(shù)通過了三級等保測評,拿到了三級等保報告,當然這也少不了其他同事的共同努力。

2)安全體系建設(shè)--評估階段:根據(jù)領(lǐng)導(dǎo)要求,負責(zé)和睦家信息安全體系建設(shè),作為此項目的負責(zé)人,我將此項目分為三個階段完成,分別為:評估階段,建設(shè)階段,以及運營階段。在評估階段的主要目標是需要評估和睦家現(xiàn)狀,以及為安全體系建設(shè)第二階段做準備,如不做評估的話是無法進行從0-1的安全體系建設(shè),在評估的過程中利用自己的專業(yè)知識并結(jié)合等級保護三級的要求,進行了多維度的評估。完成評估后,列出了安全體系建設(shè)架構(gòu)圖,但由于做評估時有些方向沒有做深入的調(diào)研,導(dǎo)致安全體系架構(gòu)圖的某些模塊無法實現(xiàn),后期會進行一系列的調(diào)整及優(yōu)化。

3)安全意識培訓(xùn):企業(yè)無時無刻都面臨著信息安全的威脅及風(fēng)險,根據(jù)領(lǐng)導(dǎo)要求,作為該項目的負責(zé)人,已于近期針對于和睦家內(nèi)部IT部門進行了安全意識培訓(xùn)工作,培訓(xùn)內(nèi)容包括安全意識概念、密碼安全、系統(tǒng)安全、郵件安全、物理安全、社會工程攻擊等內(nèi)容,通過安全意識培訓(xùn),提升了企業(yè)內(nèi)部對于信息安全的理解以及信息安全的重要性,同時也在一定程度上提升了員工識別信息安全風(fēng)險的技能和意識,但美中不足的是培訓(xùn)內(nèi)容過多,培訓(xùn)時間較長,所以需要對培訓(xùn)的素材進行優(yōu)化。

4)支持其他Site網(wǎng)絡(luò)安全工作情況:

遠程支持**網(wǎng)安檢查,配合IT Manger通過青島市網(wǎng)安的例行檢查,并提出與網(wǎng)安檢查相關(guān)的檢查項及關(guān)鍵點,最終***以較高的分數(shù)通過檢查。

青島互聯(lián)網(wǎng)醫(yī)院上線前審查,配合IT Manager通過青島互聯(lián)網(wǎng)醫(yī)院上線前審查,提供了網(wǎng)絡(luò)安全應(yīng)急預(yù)案的培訓(xùn)以及相關(guān)檢查項的整改方案,并在審查當天進行遠程技術(shù)支持。

***三級等保測評工作,遠程配合***在三級等保終測,并提供相關(guān)漏掃報告,以及技術(shù)答疑等,最終***復(fù)核等保三級測評要求,通過三級等保測評。

2. 正在進行中的項目:

a)安全運營中心部署:根據(jù)三級等保要求以及安全體系建設(shè)需求,需成立安全運營中心,和睦家購買了IBM的SIEM平臺QRadar,目前該項目已完成北京區(qū)域部署,進入到優(yōu)化策略階段,目前已將AD認證類的告警策略優(yōu)化完成,下一步準備優(yōu)化病毒類告警以及服務(wù)器相關(guān)告警,待策略優(yōu)化完成后,部署全國各Site日志采集器和流量采集器,預(yù)計本年度完成全國部署。

b)Knowbe4釣魚郵件測試平臺:由于釣魚郵件對企業(yè)造成的安全風(fēng)險較高,威脅較大,所以準備采購響應(yīng)的釣魚郵件測試平臺,通過該平臺的釣魚郵件測試來提升員工對于防釣魚的安全意識,目前該項目已將報價提交給采購進行價格評估,待采購評估價格后進行購買實施。

c) ***全國安全意識培訓(xùn):為提升和睦家員工的信息安全意識,計劃于本年度完成***全國員工的信息安全意識培訓(xùn),目前已完成北京***部門的培訓(xùn),下一步進行***的信息安全意識培訓(xùn)。

3. 個人能力自我評估:

通過六個月的工作,我發(fā)現(xiàn)了自身存在的一些優(yōu)點與不足:

a)溝通能力方面:樂于與同事及領(lǐng)導(dǎo)積極溝通,并了解自己的任務(wù)和角色,樂于與同事合作以達成目標,但有的時候溝通方式存在一定的問題,導(dǎo)致溝通效果欠佳。在今后的工作中,也會注意自己與領(lǐng)導(dǎo)和同事之間的溝通方式及方法,做到高效溝通。

b)項目管理能力:擅長項目管理,因為之前系統(tǒng)的學(xué)習(xí)過項目管理的知識,所以在工作中可以利用學(xué)習(xí)到的知識去進行高效工作,但偶爾會出現(xiàn)不熟悉企業(yè)內(nèi)部的工作流程導(dǎo)致對于項目的管理出現(xiàn)偏差,我會在未來的工作中盡快的熟悉各項工作流程,避免再次出現(xiàn)同樣的問題。

c) 崗位知識方面:在信息安全體系建設(shè)、安全運營、安全意識培訓(xùn)以及安全事件分析方面較為擅長,由于網(wǎng)絡(luò)安全涉及到的知識面非常廣,在工作的過程中也意識到我所在的崗位上,有些需要用到的信息安全相關(guān)知識自己并不夠?qū)I(yè),所以在今后的工作和生活中還需要加強學(xué)習(xí)相關(guān)崗位知識,并實際運用到工作中。

d)工作態(tài)度方面:工作態(tài)度積極、主動,時常保持良好的狀態(tài)完成工作或解決問題。

第2篇:信息安全總結(jié)范文

一.培訓(xùn)內(nèi)容

這次培訓(xùn)班的課程充實緊湊,涉及到辦公室工作的各大方,

面,具體講授了以下專題:

財政部辦公廳秘書處邱玲處長講授的《認真執(zhí)行國務(wù)

院公文處理辦法進一步提高財政公文質(zhì)量》。內(nèi)容包括:

()年月了《國家行政機關(guān)公文處理辦

法》,相較于舊的《辦法》,作了重要的修改并新增了不少內(nèi)容。(具體內(nèi)容見材料)

()公文辦理中需要注意的問題和常見差錯。其中,主

要講解了“函”這一文體。“函”說白了就是非文件,是一個大類。相較于正式的“文件”,函的形式更靈活、運作的過程更簡便。

府辦公廳秘書處馮宏梅處長講授《關(guān)于國家行政機關(guān)

公文格式的若干問題》。對公文的格式作了具體而詳盡的總結(jié)。

()介紹了公文的種類。分為①文件式(紅頭文件);②信函式、命令式;③會議紀錄、電報;

()介紹了文件式的格式,文件式是公文中最常用的

文體,包括版頭(眉首)、主體、版記三部分,每一部分都有具體而詳盡的規(guī)定;

()介紹了信函式、命令式的格式;

()介紹了會議紀要的格式;

()介紹了省政府辦公廳的動作。即收文、分辦、辦

理、呈送、核稿、審批、發(fā)文(對外發(fā)文)、督辦、返譴、歸檔的全套模式。

廣東省檔案局石大泱處長講授《加強機關(guān)檔案工作、提高檔案水平》。內(nèi)容涉及以下三個方面:

()《檔案法》對機關(guān)檔案工作的規(guī)定。重點指出行政部門形成的檔案是國家檔案的重要組組成部分。受國家重點保護;要求行政部門檔案要集中統(tǒng)一管理,要維護檔案完整。

()檔案工作與機關(guān)工作的聯(lián)系。石處長指出檔案工作是各項業(yè)務(wù)工作的一個基礎(chǔ),機關(guān)工作的過程、結(jié)果都客觀地記在檔案中。同時,檔案材料也是加強機關(guān)管理的基礎(chǔ)材料、是機關(guān)領(lǐng)導(dǎo)決策的重要參考、是開展機關(guān)各項研究工作的重要材料、是編史修志的第一手材料。

因此,機關(guān)部門應(yīng)對檔案工作給予高度的重視。

政府辦公廳信息處羅展懷處長講授《政務(wù)信息工作理

論與實踐》。主要內(nèi)容包括:

()怎樣看待信息工作。首先認識信息工作的特點:對

現(xiàn)實情況反映快、涉及社會經(jīng)濟的范圍廣、形式靈活。其次是了解信息工作的作用:是領(lǐng)導(dǎo)了解各方面工作的渠道,可以讓領(lǐng)導(dǎo)掌握社會動態(tài);是向領(lǐng)導(dǎo)同志匯報工作、擴大影響的經(jīng)常性渠道;是反映問題和解決問題的一個途徑;可以成為推動政府轉(zhuǎn)變職能、轉(zhuǎn)變工作作風(fēng)的有力手段。

()信息工作的具體內(nèi)容。作為政務(wù)信息,包含了三個

層面:為上級領(lǐng)導(dǎo)服務(wù);為本級領(lǐng)導(dǎo)服務(wù);為下級領(lǐng)導(dǎo)服務(wù)。

二、培訓(xùn)心得

各級領(lǐng)導(dǎo)在培訓(xùn)班上的發(fā)言、授課,對辦公室作為一切工作運轉(zhuǎn)中心的重要地位給予了高度肯定,對今后更好地開展辦公室各項工作提出了新的建議:

邱玲處長在如何提高財政公文質(zhì)量的問題上提出在辦公室的具體工作中,首先要深入學(xué)習(xí)年的新《辦法》,嚴格按照新《辦法》的各項規(guī)定進行公文寫作,務(wù)求格式規(guī)范、內(nèi)容嚴謹;

其次是要深入了解新《辦法》中提出的“函”這一形式,相較于文件,“函”的靈活和運轉(zhuǎn)的簡便有助于減輕繁雜的辦公室事務(wù)。一些重要性、緊急性低的內(nèi)容應(yīng)多用“函”的形式發(fā)出,以簡便流程、減輕辦公室的工作量。

馮宏梅處長在公文格式的問題上提出各級機關(guān)部門應(yīng)嚴格把住公文的格式關(guān),將格式上的錯誤降到最低點。

同時,馮處長也介紹了省政府辦公廳的運作過程以供各級機關(guān)部門參考:①收文,由秘書處資料科收文,包括上級、同級、下級各方面的來文,分為閱卷和辦卷來進行登記,分送承辦的科室;②辦理,由省政府辦公廳綜合一二處辦理,收文后每人簽收,按規(guī)定處理,將不符合要求的文退回,將不屬于本處職權(quán)范圍內(nèi)的文再分送;③承送,報送領(lǐng)導(dǎo)審批;④核稿,是正式文件的核稿,領(lǐng)導(dǎo)審批完付印前由辦公廳主任最后審核,再由秘書處審核一次,有原則性改動的重新審批,沒有原則性改動的可付??;⑤發(fā)文,由發(fā)行科發(fā)文,電報則由省委機要局發(fā)出;⑥督辦,對已發(fā)文進行事后監(jiān)督,包括電話催辦、領(lǐng)導(dǎo)上門等方式;⑦返譴,用領(lǐng)導(dǎo)批示回報表,復(fù)印領(lǐng)導(dǎo)批示,送達先閱先批者處;⑧歸檔,書面存檔,方便以后查閱,將所涉及所有材料羅列。

此外,馮處長建議各級機關(guān)制作政務(wù)動態(tài)通報,將一天內(nèi)重要領(lǐng)導(dǎo)批示,上訪情況等整理制文,第二天放至領(lǐng)導(dǎo)處,以全領(lǐng)導(dǎo)全面掌握情況。

石大泱處長對檔案工作提出了新的要求:首先是要對《檔案法》進行深入學(xué)習(xí),將《檔案法》里的各項規(guī)定落實到各項具體的工作中;其次是認識到檔案工作與機關(guān)工作的密切聯(lián)系,在,具體工作中加大對檔案工作的重視;再次是提出辦公室作為檔案工作的領(lǐng)導(dǎo),應(yīng)如何在具體工作中加強它的領(lǐng)導(dǎo)作用。

羅展懷處長提出了做好信息上報工作的具體內(nèi)容:首先,要保持良好的溝通交流渠道,其中又以人的溝通為主為重;其次是要把握上報住處的最基本的內(nèi)容,這些內(nèi)容包括重大的經(jīng)濟社會動態(tài)、突發(fā)事件、重要的工作部署、領(lǐng)導(dǎo)決策落實的情況、需要上級幫助解決的困難、上級要求上報的內(nèi)容、領(lǐng)導(dǎo)批示的反饋等等;再次是要提高上報信息的針對性。這主要是指內(nèi)容的針對性:考慮內(nèi)容的重要性、綜合性;介紹的經(jīng)驗是否先進和可借鑒性;反映的問題是否需要上級關(guān)注和幫助解決、提出的建議是否針對上級提出來的。

第3篇:信息安全總結(jié)范文

2016年11月29日,普華永道2017年全球信息安全狀況調(diào)查報告(以下簡稱“調(diào)查”)。此次調(diào)查是2016年4月至6月由普華永道和CIO與CSO雜志聯(lián)合在互聯(lián)網(wǎng)上開展的全球范圍調(diào)查研究。調(diào)研對象來自CIO和CSO雜志的讀者與普華永道的客戶群體,涵蓋133個國家,其中超過10,000份調(diào)研來自CEO(首席執(zhí)行官)、CFO(首席財務(wù)官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副總裁)以及IT與安全總監(jiān),48%的受訪企業(yè)年收益超過5億美元。

調(diào)查顯示,在過去12個月中,中國內(nèi)地及香港企業(yè)檢測到的信息安全事件平均數(shù)量高達2,577起,是前次調(diào)查記錄的兩倍,較2014年更是攀升969%。

同時,調(diào)查發(fā)現(xiàn),在過去一年中,全球各行業(yè)檢測到的信息安全事件平均數(shù)量有所下降,為4,782起,比2014年減少3%。

中國受訪企業(yè)在信息安全方面的投資預(yù)算比去年削減了7.6%。值得注意的是,88%的中國受訪企業(yè)認為,他們在信息安全上的投入受到了數(shù)字化的影響,而投入的重點主要集中在那些與企業(yè)自身的商業(yè)戰(zhàn)略及安全監(jiān)管相匹配的網(wǎng)絡(luò)安全方面。此外,31.5%的中國受訪企業(yè)表示其有意在人工智能、機器學(xué)習(xí)等先進安全技術(shù)領(lǐng)域進行投資。

對此,普華永道中國網(wǎng)絡(luò)安全與隱私保護服務(wù)合伙人冼嘉樂認為,“國內(nèi)一些有前瞻性的企業(yè)已經(jīng)在調(diào)整信息安全的投資方向,通過加大對先進網(wǎng)絡(luò)信息安全技術(shù)的投入,來明確并加強其獨有的商業(yè)價值,為業(yè)務(wù)增長保駕護航?!?/p>

根據(jù)調(diào)查反饋,針對信息安全事件的攻擊途徑,49%的中國內(nèi)地及香港受訪者表示,網(wǎng)絡(luò)釣魚欺詐是主要手段,而商務(wù)郵件首先成為重災(zāi)區(qū)。44%的中國受訪企業(yè)認為,內(nèi)部原因是網(wǎng)絡(luò)安全的最大威脅。同時,商業(yè)競爭對手也是不可忽視的因素。34%的中國受訪企業(yè)將攻擊歸因于競爭對手,高于全球數(shù)值(23%)。

在商業(yè)機會和風(fēng)險不斷演變的大環(huán)境中,如何加強物聯(lián)網(wǎng)中各個連接設(shè)備的網(wǎng)絡(luò)安全,如何利用云科技來部署企業(yè)敏感職能已成為企業(yè)探索的主要方向。本期調(diào)查顯示,57%的中國內(nèi)地及香港受訪企業(yè)正在對物聯(lián)網(wǎng)安全策略進行投資(全球為46%),并且已有約45%的IT系統(tǒng)是基于云技術(shù)運行的(全球為48%)。

與此同時,根據(jù)調(diào)查反饋,75%的中國內(nèi)地及香港受訪企業(yè)在使用開源軟件(全球為53%)。受訪企業(yè)認為安全管理服務(wù)和開源軟件能夠有效提升企業(yè)信息安全水平。

冼嘉樂表示,企業(yè)在信息安全方面,應(yīng)當重視員工的信息安全意識培訓(xùn),同時做好企業(yè)數(shù)據(jù)的分類工作、對數(shù)據(jù)分類進行風(fēng)險評估,并按照級別對信息采取相應(yīng)的保護措施;采用科技數(shù)據(jù)保護方案是十分必要的;企業(yè)應(yīng)該加強信息安全的管理,并提高對受訪者身份的識別能力。

第4篇:信息安全總結(jié)范文

關(guān)鍵詞:中小企業(yè);網(wǎng)絡(luò)安全

中圖分類號:TP393.08

中小企業(yè)是整個經(jīng)濟社會的主要組成部分,由于它依然在發(fā)展的初期過程中,因此中小企業(yè)并沒有更多的經(jīng)歷和資金投入到網(wǎng)絡(luò)信息技術(shù)的管理當中。因為網(wǎng)絡(luò)信息安全給中小企業(yè)造成的困擾也不斷發(fā)生,實際上,在我國中小企業(yè)信息丟失的情況時有發(fā)生,我國不少報紙也在不斷呼吁中小企業(yè)增加企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理功能和投入。本文就中小企業(yè)所面臨的網(wǎng)絡(luò)安全問題進行了分析。

1中小企業(yè)網(wǎng)絡(luò)安全問題

從當前企業(yè)的內(nèi)外部網(wǎng)絡(luò)中,我們可以認為企業(yè)內(nèi)部信息安全網(wǎng)絡(luò)體系需要所面臨的安全問題有如下內(nèi)容:

1.1外網(wǎng)信息安全

中小企業(yè)主要依靠快速獲得信息、快速轉(zhuǎn)型、快速提供各種解決方案而獲得訂單或資源。然而當前快速信息的來源主要是從網(wǎng)絡(luò)中而來,因此互聯(lián)網(wǎng)的信息交流成為了中小企業(yè)發(fā)展的主要工具,而互聯(lián)網(wǎng)內(nèi)部的黑客攻擊、病毒傳播、垃圾郵件、蠕蟲攻擊等已經(jīng)成為威脅中小企業(yè)外網(wǎng)的主要內(nèi)容。

1.2內(nèi)網(wǎng)信息安全

在摒棄了外網(wǎng)威脅之外,企業(yè)的員工不少利用網(wǎng)絡(luò)處理私人事務(wù),而對計算機進行不當使用,因而造成了企業(yè)網(wǎng)絡(luò)資源大量消耗,帶病毒的U盤、光盤等介質(zhì)在相互電腦之間傳播,間諜軟件在不斷復(fù)制企業(yè)的信息,這都使得不少企業(yè)內(nèi)部信息在網(wǎng)絡(luò)之間泄露給競爭對手。

1.3企業(yè)內(nèi)部網(wǎng)絡(luò)之間信息安全

隨著中小企業(yè)的不斷壯大和發(fā)展,不少企業(yè)已經(jīng)形成了企業(yè)總部、分支機構(gòu)、移動辦公人員、倉儲人員都分開辦公的互動運營模式,而在移動辦公人員所使用的互聯(lián)網(wǎng)電腦之間的信息共享安全成為中小企業(yè)在成長過程之中不得不考慮的問題。

2防范對策

企業(yè)的管理人員應(yīng)該知道,要真正防止中小企業(yè)網(wǎng)絡(luò)安全問題的發(fā)生是不可能的,這是因為隨著網(wǎng)絡(luò)安全防護升級過程,黑客侵入、病毒感染、木馬傳送等技術(shù)也在不斷更新。因此要真正提升企業(yè)網(wǎng)絡(luò)安全更應(yīng)該從根本上進行,即對企業(yè)出入口信息進行嚴格控制和管理,對員工進行管理和教育,并實時對網(wǎng)絡(luò)系統(tǒng)進行漏洞和安全問題檢查,及時提出相應(yīng)的安全評估風(fēng)險,提出補救措施,并有效的防止黑客的入侵和病毒擴散。具體而言要做到實施企業(yè)防火墻控制、入侵檢查防御、網(wǎng)絡(luò)安全漏洞修復(fù)、重要文件及內(nèi)部資料管理等方式。

2.1防火墻實施方案

企業(yè)應(yīng)當從網(wǎng)絡(luò)的內(nèi)部考慮,對于企業(yè)內(nèi)外部使用合適的防火墻管理軟件,而本文所建議的防火墻軟件應(yīng)當設(shè)置為兩臺防火墻,一臺防火墻對業(yè)務(wù)網(wǎng)與企業(yè)內(nèi)網(wǎng)進行隔離,另一臺防火墻對Internet與企業(yè)內(nèi)網(wǎng)之間進行隔離,其中DNS、郵件等對外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進行隔離。

防火墻主要的功能在于保護整個網(wǎng)絡(luò)之間數(shù)據(jù)信息傳遞的交流安全,因為它應(yīng)當設(shè)置的安全過濾權(quán)限為:對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源目的/目標地址之間的審核和管理,嚴格審核外網(wǎng)用戶的非法登錄,限制和記錄外網(wǎng)用戶的數(shù)據(jù)包傳遞。及時防范外部的服務(wù)攻擊,定期檢測和查看防火墻的訪問日志,對防火墻管理人員的嚴格控制。

防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。

2.2入侵檢測方案

在核心交換機監(jiān)控端口部署CA入侵檢測系統(tǒng)(eTrust Intrusion Detection),并在不同網(wǎng)段(本地或遠程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測,對網(wǎng)絡(luò)入侵進行檢測和響應(yīng)。

入侵檢測系統(tǒng)實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),以動態(tài)圖形方式展現(xiàn)出來,使管理員能夠時刻掌握當前內(nèi)外網(wǎng)之間正在進行的連接和訪問情況;運用協(xié)議分析和模式匹配方法,可以有效地識別各種網(wǎng)絡(luò)攻擊和異?,F(xiàn)象,如拒絕服務(wù)攻擊,非授權(quán)訪問嘗試,預(yù)攻擊探測等;當攻擊發(fā)生時,可根據(jù)管理員的配置以多種方式發(fā)出實時報警;對于嚴重的網(wǎng)絡(luò)入侵事件,也可由入侵檢測引擎直接發(fā)出阻斷信號切斷發(fā)生攻擊的連接,還可以動態(tài)地調(diào)整防火墻的防護策略,使得防火墻成為一個動態(tài)的智能的防護體系。

2.3網(wǎng)絡(luò)安全漏洞

不少企業(yè)內(nèi)部為了便于交流,紛紛架設(shè)了WWW、郵件、視頻服務(wù)器,而其中最重要的是企業(yè)內(nèi)部的財務(wù)系統(tǒng)服務(wù)器,對于管理人員而言,無法及時有效的了解每個服務(wù)器之間和網(wǎng)絡(luò)內(nèi)部的安全缺陷和漏洞管理,因此使用漏洞掃描和及時修復(fù)漏洞、對當前漏洞進行分析和評估工作,成為增強網(wǎng)絡(luò)安全性的主要方法。

2.4重要文件及內(nèi)部資料管理

對于中小型企業(yè)定期進行重要資料的管理和備份是很有必要的,這能夠防止企業(yè)內(nèi)部數(shù)據(jù)因為各種軟硬件故障、病毒侵襲和黑客破壞而導(dǎo)致整個系統(tǒng)資源崩潰造成重大的損失。因此中小企業(yè)應(yīng)當積極的選用各種功能完善,使用靈活的備份軟件進行資源的備份和恢復(fù),全面的保護數(shù)據(jù)的安全。

在服務(wù)器、企業(yè)內(nèi)部機子在運行重要數(shù)據(jù)時,要實時動態(tài)加密,自覺的對各種文件進行分級、分類管理、特別對重要的系統(tǒng)文件、重要的可執(zhí)行文件進行寫保護、并使用安全有效的數(shù)據(jù)存儲、備份及時,必要時采用物理或邏輯隔離措施來保證信息資源的安全和穩(wěn)定。

3總結(jié)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,極大地改變了人們的生活方式,中小企業(yè)在享受網(wǎng)絡(luò)技術(shù)帶來好處的同時,也面臨著日益突出的安全問題。筆者針對昆明市某普洱茶城在分布模式下制定的安全防護策略,探討了中小企業(yè)的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全防護是一個綜合性的工程,無論采取何種措施,安全總是相對的,因而作為網(wǎng)絡(luò)安全管理員,應(yīng)隨網(wǎng)絡(luò)安全狀況及安全需求的變化,適度的調(diào)整安全策略,這樣才能做到有的放矢

參考文獻:

[1]張宏.網(wǎng)絡(luò)安全基礎(chǔ)[M].機械工業(yè)出版社,2004(1):21-24.

[2]Anne Carasik-Henmi等.防火墻核心技術(shù)精解[M].中國水利水電出版社,2005(1):10-14.

[3]Paul E.Proctor.入侵檢測實用手冊[M].中國電力出版社,2002(1):24-30,52-57.

第5篇:信息安全總結(jié)范文

由于信息系統(tǒng)本身就存在著非安全因素的威脅,這無疑影響了醫(yī)療保險工作的全面、長期、安全、有效開展,為了解除這些問題和非安全因素的不良影響,就要積極思考科學(xué)的解決方法,采取一些維護系統(tǒng)安全運行的措施,創(chuàng)建一個健全、完善的安全保護系統(tǒng),可以從組織機構(gòu)、管理以及技術(shù)等方面入手:

1.1創(chuàng)建安全組織機構(gòu)

系統(tǒng)的安全運行不是單純依靠某個人的力量就能實現(xiàn)的,而是要通過成立專門的組織機構(gòu),內(nèi)部配置專業(yè)的工作者,負責(zé)整個信息系統(tǒng)的安全監(jiān)督與管理,形成一套規(guī)范化的安全監(jiān)管系統(tǒng),建立責(zé)任制,將具體的責(zé)任和任務(wù)都要落實到人,進而保證系統(tǒng)能夠在一個安全、可靠的環(huán)境中運行。這一專業(yè)機構(gòu)的大體任務(wù)包括:創(chuàng)建具體的工作規(guī)范、安全管理模式以及詳細的規(guī)章制度,再經(jīng)過各個專業(yè)人士的審核通過后嚴格執(zhí)行;開展網(wǎng)絡(luò)信息建設(shè)工作,通過安全檢測的方法來監(jiān)督系統(tǒng)安全,通過瀏覽安全保護方面的信息文件,來探討科學(xué)的安全措施,以達到對安全系統(tǒng)的維護;做好平時的管理、監(jiān)督工作,全面維護信息系統(tǒng)的安全運行,并做好日常的安全總結(jié),并將這些總結(jié)形成文件資料,為以后的工作提供參考、借鑒,同時要積極配合國家安全監(jiān)管部門的監(jiān)督,對于安檢部門的提出的建議和意見要積極采納。

1.2制定科學(xué)的安全管理制度

安全組織機構(gòu)安全管理功能與作用的發(fā)揮需要一套健全、科學(xué)的制度予以保障,只有在制度的規(guī)范約束下,才能確保各項工作都順利有效、有條不紊地開展起來,才能確保系統(tǒng)的安全運行,才能實現(xiàn)信息系統(tǒng)內(nèi)部的穩(wěn)定性。因此,醫(yī)療保險信息系統(tǒng)安全組織機構(gòu)內(nèi)部要創(chuàng)建一套健全、科學(xué)的管理制度,用制度來約束機構(gòu)內(nèi)部的各項工作,具體的制度規(guī)定至少要包含下面一些內(nèi)容:第一,計算機工作中心的安全管理制度。也就是機器所在地環(huán)境要保持整潔、穩(wěn)定和安全,要確保計算機系統(tǒng)配置在一個安全穩(wěn)定、無閑雜人員流動,制定具體的計算機工作中心安全維護制度,使整個機房內(nèi)的一切工作都在安全制度規(guī)定范圍內(nèi)完成。第二,安全管理責(zé)任制度。安全管理工作的開展要分清部門,并具體配置每一個部門的責(zé)任人,全面負責(zé)這一部門的安全工作,形成安全責(zé)任機制,使安全問題同責(zé)任人的薪酬待遇以及職權(quán)的任免形成聯(lián)系,這樣才能實現(xiàn)整個安全管理系統(tǒng)的有效運轉(zhuǎn),實現(xiàn)其功能和作用的有效發(fā)揮。第三,網(wǎng)絡(luò)系統(tǒng)安全威脅監(jiān)管制度。要制定具體、詳細的安全應(yīng)對制度,當系統(tǒng)出現(xiàn)問題時,根據(jù)這些制度規(guī)定來得出解決方案,達到系統(tǒng)安全維護與安全管理的制度化、規(guī)范化。同時也要積極完善其他方面的管理制度,例如:人員操作權(quán)限管理、用戶等級制度等等。

1.3加強安全技術(shù)的引進與使用

安全管理工作的開展除了要有專門的組織機構(gòu)與健全的管理制度外,更重要的是要掌握科學(xué)有效的安全技術(shù),合理的安全技術(shù)是維護系統(tǒng)正常運行,確保網(wǎng)絡(luò)功能合理發(fā)揮的重要保障,要加強對先進安全技術(shù)的引進與實施,增設(shè)更多的安全技術(shù)約束項目,來維護系統(tǒng)的安全,例如:口令保護。可以通過對口令設(shè)置密碼;身份確認機制,也就是通過設(shè)置驗證碼、數(shù)字證明等來進行身份認證;不斷更新升級各種殺毒軟件,創(chuàng)建牢固的防火墻系統(tǒng),病毒掃描儀等來保護信息系統(tǒng);將用戶的主要信息,例如:通訊號碼、網(wǎng)絡(luò)信息等收錄下來,并創(chuàng)建預(yù)警機制,全面監(jiān)督網(wǎng)絡(luò)信息系統(tǒng)安全。

2建設(shè)與維護安全信息系統(tǒng)中的注意事項

2.1要在安全的基礎(chǔ)上來分享信息資源

信息網(wǎng)絡(luò)系統(tǒng)運行的目標與作用就是實現(xiàn)信息的方便傳輸與共享,然而,不能因為單純?yōu)榱司S護系統(tǒng)安全,就避免信息的分享,失去了分享功能的信息系統(tǒng)沒有存在的價值和意義,為了解除這些問題,可以以部門為單位實行權(quán)限管理,也就是說每個部門只有權(quán)力對自身所需要的信息進行查詢、更改與更新,每個部門的數(shù)據(jù)庫都要設(shè)置專業(yè)科員與部門領(lǐng)導(dǎo),在二者的共同制約監(jiān)督下,維護本部門信息安全,當出現(xiàn)其他部門要求信息分享時,必須經(jīng)過領(lǐng)導(dǎo)以及各層科員的審核,這樣就更加維護了信息的安全性。

2.2創(chuàng)建緊急避險策略,應(yīng)對危機

信息系統(tǒng)雖然為人們帶來了便利,解除了人工工作的困難和不便,然而,機器運行下的系統(tǒng)管理也難免會受到來自外部因素的威脅,很多不可預(yù)測的風(fēng)險甚至?xí)斐尚畔⑾到y(tǒng)數(shù)據(jù)的丟失,或者整個信息系統(tǒng)的崩潰,使正常的工作無法有效開展起來。因此,要提前制定一系列應(yīng)對危機的緊急措施,做好應(yīng)急準備,確保災(zāi)難或危機發(fā)生時,能夠積極應(yīng)對。

第6篇:信息安全總結(jié)范文

工業(yè)控制系統(tǒng)是承擔國家經(jīng)濟發(fā)展、維護社會安全穩(wěn)定的重要基礎(chǔ)設(shè)施,電力行業(yè)作為工業(yè)控制領(lǐng)域的重要組成部分,正面臨著嚴峻的信息安全風(fēng)險,亟需對目前的電力工業(yè)控制系統(tǒng)進行深入的風(fēng)險分析。文章從電力終端、網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)安全4個方面分別考察系統(tǒng)的信息安全風(fēng)險,確定系統(tǒng)的典型威脅和漏洞,并針對性地提出了滲透驗證技術(shù)和可信計算的防護方案,可有效增強工控系統(tǒng)抵御黑客病毒攻擊時的防護能力,減少由于信息安全攻擊所導(dǎo)致的系統(tǒng)破壞及設(shè)備損失。

關(guān)鍵詞:

電力工業(yè)控制系統(tǒng);信息安全;風(fēng)險;防護方案

0引言

隨著工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)(IndustrialControlSystem,ICS)獲得了前所未有的飛速發(fā)展,并已成為關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,廣泛應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造等行業(yè)中。調(diào)查發(fā)現(xiàn),半數(shù)以上的企業(yè)沒有對工控系統(tǒng)進行過升級和漏洞修補,部分企業(yè)的工控系統(tǒng)與內(nèi)部管理系統(tǒng)、內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)連接。此外,由于國內(nèi)技術(shù)研發(fā)水平的限制,一些存在漏洞的國外工控產(chǎn)品依然在國內(nèi)的重要裝置上使用。伴隨著信息化與電力工業(yè)[1-4]的深度融合,使得原本相對獨立的智能電網(wǎng)系統(tǒng)越來越多地與企業(yè)管理網(wǎng)互聯(lián)互通,電力系統(tǒng)的網(wǎng)絡(luò)信息安全問題日益突出。工業(yè)控制網(wǎng)絡(luò)[5-6]一旦出現(xiàn)特殊情況,后果將不堪設(shè)想,可能會對能源、交通、環(huán)境等造成直接影響,引發(fā)直接的人員傷亡和財產(chǎn)損失,重點行業(yè)的智能電網(wǎng)系統(tǒng)甚至關(guān)系到一個國家的經(jīng)濟命脈。“震網(wǎng)”、“棱鏡門”以及烏克蘭電力系統(tǒng)被攻擊導(dǎo)致大范圍停電等ICS安全事件,也預(yù)示了智能電網(wǎng)信息安全已經(jīng)不再是簡單的技術(shù)問題。對安全防護方案進行研究已經(jīng)成為國家基礎(chǔ)設(shè)施領(lǐng)域亟需解決的問題。

1國內(nèi)外電力工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

美國很早就已在國家政策層面上關(guān)注工業(yè)控制系統(tǒng)信息安全問題,美國政府于近幾年了一系列安全防護的戰(zhàn)略部署,主要針對關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)控制系統(tǒng)的信息安全防護。美國國家研究理事會于2002年將控制系統(tǒng)攻擊列入緊急關(guān)注事項,于2004年防護控制系統(tǒng)相關(guān)報告,2009年公布了國家基礎(chǔ)設(shè)施保護計劃,2011年了“實現(xiàn)能源供應(yīng)系統(tǒng)信息安全路線圖”等。除此之外,在國家層面上,美國還了兩個國家級專項計劃,用于保護工控系統(tǒng)的信息安全,包括能源部的國際測試床計劃和國土安全部的控制系統(tǒng)安全計劃。我國工業(yè)控制系統(tǒng)信息安全相關(guān)研究仍處于起步階段,工業(yè)控制系統(tǒng)還不成熟,不同行業(yè)的安全防護水平參差不齊,安全防護能力不足,潛在的安全風(fēng)險相當大。電力行業(yè)作為工業(yè)控制領(lǐng)域信息安全防護建設(shè)的先行者,已在信息安全防護建設(shè)方面積累了大量經(jīng)驗:電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護體系建設(shè)過程中始終堅持自主可控的原則,研究信息隔離與交換、縱向加密認證等多項專用安全防護技術(shù),進而形成了多項信息安全行業(yè)技術(shù)規(guī)范和標準;針對關(guān)鍵產(chǎn)品進行自主研發(fā),并統(tǒng)一組織進行嚴格測試,保證關(guān)鍵系統(tǒng)的安全自主可控;各電力企業(yè)相繼建立了信息安全相關(guān)組織體系,建成了較為完善的信息安全管理制度,包括信息安全總體安全防護策略、管理辦法、信息通報和應(yīng)急處置制度,涵蓋了信息安全活動的主要方面;總結(jié)形成了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的信息安全防護策略,建立了多技術(shù)層面的防護體系,做到了物理、網(wǎng)絡(luò)、終端和數(shù)據(jù)的多角度、全方面保護。

2電力工業(yè)控制系統(tǒng)的概念和特點

電力工業(yè)控制系統(tǒng)主要由數(shù)據(jù)采集及監(jiān)控系統(tǒng)(SupervisoryControlandDataAcquisition,SCADA)、分布式控制系統(tǒng)(DistributedControlSystem,DCS)以及其他配置在關(guān)鍵基礎(chǔ)設(shè)施上的控制系統(tǒng)如可編程邏輯控制器(ProgrammableLogicController,PLC)等組成,具有實時性、可靠性、分布性、系統(tǒng)性等特點。SCADA系統(tǒng)的主要功能是采集通信和遙測數(shù)據(jù),下發(fā)遙控和調(diào)度命令,多用于輸電調(diào)度、變電站及發(fā)電廠監(jiān)控、電力市場運營、用電信息采集及配電自動化系統(tǒng)等[7-8]。電力工業(yè)控制系統(tǒng)涉及的電力、信息和業(yè)務(wù)高度統(tǒng)一。電力的傳輸過程包括:電廠發(fā)電、線路輸電、變壓器變電、用戶配電及用電組成,電力通信網(wǎng)絡(luò)己經(jīng)覆蓋了電力控制系統(tǒng)的各個環(huán)節(jié),在控制原則上采用“安全分區(qū)、網(wǎng)絡(luò)專用、物理隔離、縱向認證”的方式,且具有以下特點。1)系統(tǒng)響應(yīng)速度快。電力工業(yè)控制系統(tǒng)與傳統(tǒng)工業(yè)系統(tǒng)相比,不允許出現(xiàn)過大的延遲和系統(tǒng)震蕩,響應(yīng)必須準時可靠,以應(yīng)付現(xiàn)場不同的工控情況。2)系統(tǒng)威脅源更多。如恐怖組織、工業(yè)間諜、惡意入侵者等,攻擊者通過多種形式的網(wǎng)絡(luò)攻擊對工控系統(tǒng)網(wǎng)絡(luò)進行破壞和入侵,包括后門攻擊、IP碎片攻擊、畸形包攻擊、DoS攻擊、暴力破解、通信抓包等,一旦攻破工控系統(tǒng)的安全防線,將會對工業(yè)通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施造成嚴重破壞。3)系統(tǒng)數(shù)據(jù)量大。電力工業(yè)控制系統(tǒng)涉及大量電力數(shù)據(jù)的采集、傳輸以及信息共享,包括系統(tǒng)的輸變電參量、用電終端的用電量等,需要通過這些實時信息來確保電力調(diào)度的精確、快速。

3影響電力工業(yè)控制系統(tǒng)信息安全的風(fēng)險分析

3.1電力終端的風(fēng)險分析

與傳統(tǒng)信息控制系統(tǒng)相比,電力工業(yè)控制系統(tǒng)的安全防護主要集中在終端生產(chǎn)設(shè)備及其操作過程。終端生產(chǎn)設(shè)備(如PLC、操作員工作站、工程師操作站等)作為電力系統(tǒng)最終的控制單元,直接控制生產(chǎn)運行,監(jiān)控系統(tǒng)的運行數(shù)據(jù)信息。終端服務(wù)器的安全是計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全[9]。在電力工控系統(tǒng)網(wǎng)絡(luò)中,缺乏合適的終端物理安全防護方法。地震、強風(fēng)、暴雨等自然災(zāi)害是影響信息系統(tǒng)物理安全的重大威脅,易造成設(shè)備損毀、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失等工業(yè)事故。除此之外,由于接地不良引起的靜電干擾以及電磁干擾也會造成系統(tǒng)不穩(wěn)定,同時機房安全設(shè)施自動化水平低,不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作狀況。終端部署位置要謹慎考量,安排在高層時存在消防不易達、雨水滲透等安全隱患,部署在地下則易出現(xiàn)水蒸氣結(jié)露、內(nèi)澇、積水等隱患。工控系統(tǒng)應(yīng)設(shè)置避雷裝置,雷電容易引起強電流或高電壓,極易擊穿電子元件,使設(shè)備直接損毀或癱瘓。另一方面,電力設(shè)備的損壞、檢修、改造等都可能導(dǎo)致外部電力供應(yīng)中斷,電力供應(yīng)的突然中斷除了會造成系統(tǒng)服務(wù)停止外,還有可能產(chǎn)生電力波動,如果控制系統(tǒng)不能把電力波動的范圍控制在10%內(nèi),或沒有部署穩(wěn)壓器和過電壓保護設(shè)備,極有可能對系統(tǒng)電子設(shè)備帶來嚴重的物理破壞。強電電纜和通信線在并行鋪設(shè)時,可能會產(chǎn)生感應(yīng)電流和干擾信號,極易導(dǎo)致通信線纜中傳輸?shù)臄?shù)據(jù)信息被破壞或無法識別。除了電磁干擾之外,還應(yīng)防止設(shè)備寄生耦合干擾,設(shè)備耦合干擾會直接影響工控設(shè)備的性能,使得無法準確量測或采集當前信息。

3.2網(wǎng)絡(luò)風(fēng)險分析

建立安全的網(wǎng)絡(luò)環(huán)境是保障系統(tǒng)信息安全的重要部分,因此必須對工控網(wǎng)絡(luò)進行全面深入的風(fēng)險分析。信息網(wǎng)絡(luò)的安全穩(wěn)定可以保障工控設(shè)備的安全運行,為企業(yè)提供可靠、有效的網(wǎng)絡(luò)服務(wù),確保數(shù)據(jù)傳輸?shù)陌踩?、完整性和可用性。對于電力工業(yè)控制系統(tǒng)內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境,基于業(yè)務(wù)和操作要求常有變動,且通常很少考慮潛在的環(huán)境變化可能會造成的安全影響,隨著時間的推移,安全漏洞可能已經(jīng)深入部分基礎(chǔ)設(shè)施,有的漏洞可能通過后門連接到工控系統(tǒng),嚴重威脅到工業(yè)控制系統(tǒng)的穩(wěn)定運行[10]。由于安全設(shè)備配置不當,防火墻規(guī)則和路由器配置不當也易造成通信端風(fēng)險。缺乏正確配置的防火墻可能允許不必要的網(wǎng)絡(luò)數(shù)據(jù)傳遞,如在控制網(wǎng)和企業(yè)網(wǎng)之間的數(shù)據(jù)傳輸,可能導(dǎo)致對系統(tǒng)網(wǎng)絡(luò)的惡意攻擊和惡意軟件的傳播,敏感數(shù)據(jù)容易受到監(jiān)聽;網(wǎng)絡(luò)設(shè)備的配置應(yīng)進行存儲或備份,在發(fā)生意外事故或配置更改時,可以通過程序恢復(fù)網(wǎng)絡(luò)設(shè)備的配置來維持系統(tǒng)的可用性,防止數(shù)據(jù)丟失;若數(shù)據(jù)在傳輸過程中不進行加密或加密等級不夠,極易被竊聽或攔截,使得工控系統(tǒng)受到監(jiān)視;另外,在通信過程中使用的通信協(xié)議通常很少或根本沒有內(nèi)置的安全功能,導(dǎo)致電力工控系統(tǒng)存在極大的安全風(fēng)險。電力工控系統(tǒng)本身對可靠性、穩(wěn)定性及兼容性的要求都很高,如果發(fā)生破壞或安全事故,造成的國民經(jīng)濟損失將不可估量。

3.3應(yīng)用風(fēng)險分析

應(yīng)用層運行著工控系統(tǒng)的各類應(yīng)用,包括網(wǎng)絡(luò)應(yīng)用以及特定的業(yè)務(wù)應(yīng)用,如電子商務(wù)、電子政務(wù)等。對應(yīng)用風(fēng)險進行分析就是保護系統(tǒng)各種業(yè)務(wù)的應(yīng)用程序能夠安全運行。很多電力工控設(shè)備沒有身份驗證機制,即使有,多數(shù)也為設(shè)備廠商默認的用戶名和密碼,極易被猜出或破解,通常不會定期進行密碼更換,風(fēng)險極大。同時要防止應(yīng)用系統(tǒng)的資源(如文件、數(shù)據(jù)庫表等)被越權(quán)使用的風(fēng)險。對關(guān)鍵部件缺乏冗余配置,導(dǎo)致應(yīng)用程序?qū)收系臋z測能力、處理能力、恢復(fù)能力不足,缺乏對程序界面輸入格式的驗證以及注入攻擊的驗證,如SQL注入攻擊等,系統(tǒng)面臨暴露數(shù)據(jù)庫的風(fēng)險。

3.4數(shù)據(jù)安全風(fēng)險分析

雖然電力系統(tǒng)內(nèi)外網(wǎng)已進行了物理隔離,但在管理信息大區(qū)中積累了大量的電力敏感數(shù)據(jù),如電力市場的營銷數(shù)據(jù)、居民用電數(shù)據(jù)、電力企業(yè)財務(wù)報表、人力資源數(shù)據(jù)等,內(nèi)部人員、運維人員或程序開發(fā)人員過多地對電力數(shù)據(jù)庫進行訪問,易造成這些敏感數(shù)據(jù)的泄露或被篡改。當前數(shù)據(jù)庫中,不僅僅包含用電數(shù)據(jù),居民的個人信息也都存儲在內(nèi),居民的人身財產(chǎn)風(fēng)險越來越大。電網(wǎng)資源、調(diào)度、運維、檢修等數(shù)據(jù)容易被批量查詢,進而導(dǎo)出敏感信息,缺少對敏感字符的過濾將帶來極大的風(fēng)險。這些電力數(shù)據(jù)往往缺乏定期備份,如果人為誤操作或刪除、更改數(shù)據(jù),或者數(shù)據(jù)庫本身發(fā)生故障、宕機、服務(wù)器硬件故障,數(shù)據(jù)易丟失。

險應(yīng)對方案

針對電力工控系統(tǒng)面臨的安全風(fēng)險,可首先采用滲透技術(shù)模擬黑客攻擊,在完成對工控系統(tǒng)信息收集的基礎(chǔ)上,使用漏洞掃描技術(shù),以檢測出的漏洞為節(jié)點進行攻擊,以此來驗證系統(tǒng)的防御功能是否有效。當發(fā)現(xiàn)系統(tǒng)存在漏洞或安全風(fēng)險時,應(yīng)主動采取安全防護措施,使用可信計算技術(shù)以及安全監(jiān)測技術(shù)抵御來自系統(tǒng)外部的惡意攻擊,建立工控系統(tǒng)安全可靠的防護體系。

4.1滲透驗證技術(shù)

4.1.1信息收集

1)公共信息采集首先分析網(wǎng)站的結(jié)構(gòu),查看源文件中隱藏的連接、注釋內(nèi)容、JS文件;查看系統(tǒng)開放的端口和服務(wù);暴力探測敏感目錄和文件,收集網(wǎng)站所屬企業(yè)的信息,采用的手段包括查詢DNS、查詢Whois信息、社會工程學(xué)等。2)使用搜索引擎目前比較常用的搜索引擎為GoogleHacking,其搜索關(guān)鍵字符的能力非常強大,例如:①Intext字符:可用于正文檢索,適用于搜索較為明確的目標,使用某個字符作為搜索條件,例如可以在Google的搜索框中輸入:intext:工控,搜索結(jié)果將顯示所有正文部分包含“工控”的網(wǎng)頁;②Filetype字符:可以限定查詢詞出現(xiàn)在指定的文檔中,搜索指定類型的文件,例如輸入:filetype:xls.將返回所有excel文件的URL,可以方便地找到系統(tǒng)的文檔資料;③Inurl字符:Inurl字符功能非常強大,可以直接從網(wǎng)站的網(wǎng)址挖掘信息,準確地找到需要的信息及敏感內(nèi)容,例如輸入:inurl:industry可以搜索所有包含industry這個關(guān)鍵詞的網(wǎng)站。

4.1.2漏洞掃描

漏洞掃描是指通過手動輸入指令或使用自動化工具對系統(tǒng)的終端通信及控制網(wǎng)絡(luò)進行安全檢測。1)使用基于主機的漏洞掃描技術(shù)對系統(tǒng)終端進行檢測。基于主機的漏洞掃描器由管理器、控制臺和組成。漏洞掃描器采用被動、非破壞性的檢測手段對主機系統(tǒng)的內(nèi)核、文件屬性、系統(tǒng)補丁等可能出現(xiàn)的漏洞進行掃描。管理器直接運行在網(wǎng)絡(luò)環(huán)境中,負責(zé)整個掃描過程;控制臺安裝在終端主機中,顯示掃描漏洞的報告;安裝在目標主機系統(tǒng)中,執(zhí)行掃描任務(wù)。這種掃描方式擴展性強,只需增加掃描器的就可以擴大掃描的范圍;利用一個集中的服務(wù)器統(tǒng)一對掃描任務(wù)進行控制,實現(xiàn)漏洞掃描管理的集中化,可以很好地用于電動汽車充電樁、自動繳費機、變電站系統(tǒng)及用電信息采集等終端上。2)利用特定的腳本進行掃描,以此判斷電力系統(tǒng)是否存在網(wǎng)絡(luò)中斷、阻塞或延遲等現(xiàn)象,以及嚴重時是否會出現(xiàn)系統(tǒng)崩潰;另一方面,漏洞掃描還可以針對已知的網(wǎng)絡(luò)安全漏洞進行檢測,查明系統(tǒng)網(wǎng)絡(luò)端口是否暴露、是否存在木馬后門攻擊、DoS攻擊是否成立、SQL注入等常見漏洞及注入點是否存在、檢測通信協(xié)議是否加密等。3)考慮到需要對系統(tǒng)具體應(yīng)用的漏洞狀態(tài)進行檢測,因此可由前臺程序提供當前系統(tǒng)應(yīng)用的具體信息與漏洞狀態(tài),由后臺程序進行具體的監(jiān)聽及檢測,并及時調(diào)用漏洞檢測引擎。需要注意的是,在電力生產(chǎn)大區(qū)中,尤其是安全I區(qū)中,為了避免影響到系統(tǒng)的穩(wěn)定性,一般不使用漏洞掃描,具體防護方式需要根據(jù)安全要求而定。

4.1.3滲透攻擊驗證

1)暴力破解。暴力破解是指通過窮舉不同的用戶名及密碼組合來獲得合法的登錄身份,只要密碼不超過破譯的長度范圍,在一定時間內(nèi)是能夠破解出來的,但破解速度過慢,是效率很低的一種攻擊方式,并且攻擊不當可能會造成系統(tǒng)的過載,使登錄無法被響應(yīng)。此外,如果系統(tǒng)限制了登錄次數(shù),那么暴力破解的成功率則會非常低。2)DoS攻擊。DoS攻擊即拒絕服務(wù),指的是通過耗盡目標的資源或內(nèi)存來發(fā)現(xiàn)系統(tǒng)存在的漏洞和風(fēng)險點,使計算機或網(wǎng)絡(luò)無法正常提供服務(wù)。這種攻擊會使系統(tǒng)停止響應(yīng)或崩潰,直接導(dǎo)致控制設(shè)備宕機。攻擊手段包括計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊、資源過載攻擊、洪水攻擊、半開放SYN攻擊、編外攻擊等,其根本目的都是使系統(tǒng)主機或網(wǎng)絡(luò)無法及時接受和處理請求信息,具體表現(xiàn)為主機無法實現(xiàn)通信或一直處于掛機狀態(tài),嚴重時甚至直接導(dǎo)致死機。

4.2安全防護技術(shù)

4.2.1可信計算技術(shù)

可信計算技術(shù)[12-14]是基于硬件安全模塊支持下的可信計算平臺實現(xiàn)的,已廣泛應(yīng)用于安全防護系統(tǒng)中。國際可信計算組織提出了TPM(TrustedPlatformModule)規(guī)范,希望成為操作系統(tǒng)硬件和軟件可信賴的相關(guān)標準和規(guī)范??尚庞嬎銖奈C芯片、主板、硬件結(jié)構(gòu)、BIOS等軟硬件底層出發(fā),在硬件層為平臺嵌入一個規(guī)范化且基于密碼技術(shù)的安全模塊,基于模塊的安全功能,建立一個由安全存儲、可信根和信任鏈組成的保護機制,從網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫等方面實現(xiàn)可信計算的安全目標。在保證主機系統(tǒng)信息安全的前提下,為企業(yè)提供安全可靠的防護系統(tǒng)。TPM芯片包含CPU、RAM、算法加速器等,應(yīng)用時首先驗證系統(tǒng)的初始化條件是否滿足,然后在啟動BIOS之前依次驗證BIOS和操作系統(tǒng)的完整性,只有在確定BIOS沒有被修改的情況下才可啟動BIOS,然后利用TPM安全芯片內(nèi)的加密模塊驗證其他底層固件,只有平臺的可靠性認證、用戶身份認證、數(shù)字簽名以及全面加密硬盤等所有驗證全部通過后,整個計算機系統(tǒng)才能正常啟動。構(gòu)建軟硬件完整信任鏈是建立可信環(huán)境服務(wù)平臺的關(guān)鍵??尚殴た丨h(huán)境由以下幾個模塊組成:可信工控模塊、度量信任根、驗證信任根??尚殴た啬K是可信服務(wù)平臺功能架構(gòu)的核心,作為工控系統(tǒng)的信任根,主要用來存儲信任根和報告信任根的作用,并為系統(tǒng)其他組件提供存儲保護功能;度量信任根以及驗證信任根利用可信工控模塊提供的安全環(huán)境及保護機制實現(xiàn)相應(yīng)的驗證和度量功能。要構(gòu)建可信工控安全環(huán)境,首先要加載度量信任根和驗證信任根,并與可信工控模塊中的完整性證書相匹配,完成對自身系統(tǒng)的安全診斷;然后對度量驗證的完整性進行度量,將實際度量值與參考證書中的值進行比較,度量通過后將執(zhí)行控制權(quán)交給度量驗證,度量驗證對操作系統(tǒng)進行度量、驗證以及存儲;最后通過與標準值的對比來驗證工控系統(tǒng)相應(yīng)設(shè)備引擎、通信引擎、應(yīng)用引擎的運行是否可信。工控可信服務(wù)平臺從硬件到軟件的完整信任鏈傳遞為:系統(tǒng)啟動后首先執(zhí)行固化在ROM里的安全引導(dǎo)程序,該程序通過ARM硬件技術(shù)確保不會被篡改;然后,由安全引導(dǎo)程序計算安全區(qū)操作系統(tǒng)內(nèi)核的RIM值,并與其對應(yīng)的RIM值進行比較,驗證通過則加載操作系統(tǒng),并將控制權(quán)傳遞給可信工控模塊;可信工控模塊對安全區(qū)應(yīng)用層進行進程驗證,即加載初始進程、可信工控模塊主進程及相應(yīng)的輔助進程等的RIM值進行比較驗證;最后,可信工控模塊對非安全區(qū)域的程序進行初始化,如操作系統(tǒng)、可信應(yīng)用程序等,對其RIM值進行比較驗證。

4.2.2安全監(jiān)測技術(shù)

安全監(jiān)測技術(shù)[15-19]是指通過全面、豐富的數(shù)據(jù)采集,對信息進行分析和預(yù)處理,解析監(jiān)控得到的數(shù)據(jù),并與設(shè)定參數(shù)進行比對,根據(jù)結(jié)果采用相應(yīng)的防護策略對系統(tǒng)進行全面監(jiān)管。針對目前電力工控系統(tǒng)存在的安全風(fēng)險,基于對工控網(wǎng)絡(luò)數(shù)據(jù)的采集和協(xié)議分析,可使用數(shù)據(jù)分析算法提前處理安全威脅,使針對工控網(wǎng)絡(luò)及關(guān)鍵設(shè)備的攻擊得到有效監(jiān)管和處理。1)數(shù)據(jù)采集。電力工控系統(tǒng)的數(shù)據(jù)采集不同于一般的IT系統(tǒng),需要在保障系統(tǒng)穩(wěn)定運行的前提下進行,不能因為操作不當造成鏈路堵塞。根據(jù)采集方式的不同可以將數(shù)據(jù)采集分為3類:通過采集采集數(shù)據(jù)、通過協(xié)議直接采集、通過抓包工具獲取數(shù)據(jù)。一般來說,需要采集的信息為防火墻、路由器、交換機、IDS/IPS、網(wǎng)絡(luò)審計設(shè)備、正/反向隔離裝置以及縱向加密認證裝置的具體數(shù)據(jù),包括IP地址、MAC地址、出廠型號、配置信息、用戶管理信息、權(quán)限等級設(shè)置等。除此之外,還應(yīng)對含有攻擊信息的數(shù)據(jù)進行監(jiān)測,包括DoS攻擊、重復(fù)掃描攻擊、數(shù)據(jù)包攻擊等。抓包分析是指使用抓包工具抓取協(xié)議數(shù)據(jù)包,再利用相關(guān)協(xié)議和規(guī)范對抓取的數(shù)據(jù)包進行解析。2)數(shù)據(jù)處理。數(shù)據(jù)處理主要是對采集到的數(shù)據(jù)和工控協(xié)議數(shù)據(jù)包進行解析和處理,剔除不需要的多余數(shù)據(jù)和垃圾數(shù)據(jù),將與安全事件相關(guān)的數(shù)據(jù)從中選取出來,如配電自動化等業(yè)務(wù)的上傳數(shù)據(jù)、下載數(shù)據(jù),電力數(shù)據(jù)流量信息和電壓、電流參數(shù)信息等,對采集到的數(shù)據(jù)進行關(guān)聯(lián)分析,對分析得到的威脅進行確認,并對結(jié)果進行二次過濾,最后將解析得到的數(shù)據(jù)使用統(tǒng)一格式保存,用于后續(xù)的風(fēng)險監(jiān)測。3)構(gòu)建安全監(jiān)測系統(tǒng)。安全監(jiān)測系統(tǒng)基于以上數(shù)據(jù)分析,設(shè)定監(jiān)測參數(shù)的閾值,通過監(jiān)測數(shù)據(jù)及操作的一致性來實現(xiàn)對工控系統(tǒng)的異常監(jiān)控、運行管理、配電網(wǎng)分析等。當工控系統(tǒng)中的流量遭到非法抓包或者系統(tǒng)指令遭到惡意篡改時,應(yīng)及時對數(shù)據(jù)進行過濾并發(fā)出告警信息,具體流程為:基于函數(shù)庫編寫相關(guān)腳本程序,抓取網(wǎng)絡(luò)數(shù)據(jù)包;按照工控協(xié)議和標準對數(shù)據(jù)參數(shù)進行解析;根據(jù)監(jiān)測系統(tǒng)的安全等級要求,設(shè)置系統(tǒng)的風(fēng)險閾值;將解析得到的參數(shù)與設(shè)置的閾值相比較。電力工業(yè)控制系統(tǒng)采用安全監(jiān)測技術(shù),針對工業(yè)控制網(wǎng)絡(luò)中出現(xiàn)的數(shù)據(jù)及進行的操作,采用網(wǎng)絡(luò)抓包、數(shù)據(jù)分析及參數(shù)比對的方式進行風(fēng)險監(jiān)測與分析,對工控系統(tǒng)信息安全風(fēng)險中典型的指令篡改、畸形數(shù)據(jù)包和異常流量等安全威脅進行全面監(jiān)測。

5結(jié)語

隨著工業(yè)化和信息化的發(fā)展和融合,電力工業(yè)信息化的趨勢已不可阻擋,保障系統(tǒng)信息安全是維護電力工業(yè)控制系統(tǒng)穩(wěn)定運行的重要前提,是開展電力工業(yè)建設(shè)的堅實基礎(chǔ)。針對相應(yīng)的工控安全需求及系統(tǒng)運行狀況,選擇合適的安全防護技術(shù),全方位地對電力工業(yè)控制系統(tǒng)的風(fēng)險進行分析和考察,才能確保電力網(wǎng)絡(luò)的安全、可靠,減少由于信息安全風(fēng)險造成的設(shè)備損失。

作者:張盛杰 顧昊旻 李祉岐 應(yīng)歡 單位:中國電力科學(xué)研究院 安徽南瑞繼遠軟件有限公司 北京國電通網(wǎng)絡(luò)技術(shù)有限公司

參考文獻:

[1]鄒春明,鄭志千,劉智勇,等.電力二次安全防護技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J].電網(wǎng)技術(shù),2013,37(11):3227-3232.

[2]李鴻培,忽朝儉,王曉鵬,等.工業(yè)控制系統(tǒng)的安全研究與實踐[J].計算機安全,2014(5):36-59,62.

[3]李文武,游文霞,王先培,等.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護與控制,2011,39(10):140-147.

[4]王繼業(yè),孟坤,曹軍威,等.能源互聯(lián)網(wǎng)信息技術(shù)研究綜述[J].計算機研究與發(fā)展,2015,52(5):1109-1126.

[5]王剛軍.電力信息安全的監(jiān)控與分析[J].電網(wǎng)技術(shù),2004,28(9):50-53.

[6]王保義.電力信息系統(tǒng)信息安全關(guān)鍵技術(shù)的研究[D].保定:華北電力大學(xué),2009.

[7]王棟.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動化,2016,40(2):6-11.

[8]黨林.電力企業(yè)網(wǎng)絡(luò)病毒防御方案分析[J].科技傳播,2012(7):175-176.

[9],秦浩.防病毒系統(tǒng)在青海電力調(diào)度數(shù)據(jù)網(wǎng)中的設(shè)計與應(yīng)用[J].青海電力,2012,31(3):61-63.

[10]高昆侖,趙保華.全球能源互聯(lián)網(wǎng)環(huán)境下可信計算技術(shù)研究與應(yīng)用探討[J].智能電網(wǎng),2015,3(12):1103-1107.

[11]王歡歡.工控系統(tǒng)漏洞掃描技術(shù)的研究[D].北京:北京郵電大學(xué),2015.

[12]張向宏,耿貴寧.基于可信計算的工業(yè)控制安全體系架構(gòu)研究[J].保密科學(xué)技術(shù),2014(8):4-13.

[14]周曉敏,李璇,黃雙.工業(yè)控制系統(tǒng)信息安全仿真平臺的設(shè)計與實現(xiàn)[J].可編程控制器與工廠自動化,2015(4):35-40.

[15]彭勇,江常青,謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進展[C]//信息安全漏洞分析與風(fēng)險評估大會,2012.

[17]俞海國,馬先,徐有蕊,等.電網(wǎng)工業(yè)控制系統(tǒng)安全威脅監(jiān)測系統(tǒng)設(shè)計及應(yīng)用[J].電力信息與通信技術(shù),2016,14(7):76-80.

第7篇:信息安全總結(jié)范文

鐘群鵬教授解釋說,安全分窄義和廣義兩類:窄義的安全包括國家安全、社會安全和公共安全廣義的安全包括環(huán)境安全、技術(shù)安全、城市安全和經(jīng)濟安全等?,F(xiàn)代社會,由于安全與社會、科技、經(jīng)濟發(fā)展等互相依賴、互相制約,安全的社會重要性日益凸顯。

各種安全問題,如采礦安全、交通安全、食品安全、信息安全,都可能對經(jīng)濟建設(shè)、社會發(fā)展和人民生活形成困擾。因此與之相關(guān)的安全文化、安全技術(shù)和安全管理等概念應(yīng)運而生。

從社會進步的角度來看,安全是人民安居樂業(yè)的基本保證,是以人為本的重要內(nèi)涵;從經(jīng)濟發(fā)展的角度來看,安全是減少事故損失的有效手段,是國際經(jīng)濟貿(mào)易市場的準入條件,是經(jīng)濟持續(xù)、健康、協(xié)調(diào)、科學(xué)發(fā)展的重要保證。鐘群鵬教授說:社會已經(jīng)開始感覺到對某種公共安全專業(yè)人才的需要,目前已經(jīng)有數(shù)十所高校招收和培養(yǎng)安全科學(xué)技術(shù)和工程專業(yè)的本科生或大專生。加強對安全科學(xué)技術(shù)的研究,盡快地發(fā)展這方面的高等教育,對構(gòu)建和諧社會非常重要。(經(jīng)濟日報)

河北實施職工安全素質(zhì)提升工程

【本刊訊】 3月月27閂下午,河北省職上安全生產(chǎn)知識電視培訓(xùn)活動正式活動。按照培訓(xùn)計劃;全省2006年至2008年3年內(nèi)將培訓(xùn)150萬名安全生產(chǎn)高素質(zhì)職工。在全省范圍內(nèi)組織此類培訓(xùn)活動在全國尚不多見。全總紀檢組組長、書記處長記張鳴起,國家安監(jiān)總局副局長孫作山,河北省副省長付雙建等領(lǐng)導(dǎo)出席啟動儀式并講話。

據(jù)對大量的安全生產(chǎn)事故發(fā)生情況分析來看,由于缺乏嚴格的安全培訓(xùn)而導(dǎo)致從業(yè)人員安全素質(zhì)低下,不具備必要的安 全生產(chǎn)知識和操作技能;從而出現(xiàn)違章作業(yè),是造成事故的主要原因之。為提高廣大職工安全生產(chǎn)素質(zhì),省政府辦公廳印子《河北省職工安全生產(chǎn)知識電視培訓(xùn)活動方案》,提出3年內(nèi)培訓(xùn)150萬名職工的計劃。據(jù)悉,今年的培訓(xùn)范圍主要在煤礦、非煤礦山、建筑、化工、冶金5個高危行行。重點培訓(xùn)這些行業(yè)中的非公企業(yè)、小型企業(yè)職工《含合同工、農(nóng)民勞務(wù)工、輪換工、協(xié)議工、季節(jié)工)。為突出重點培訓(xùn)小企業(yè)職工,各地由縣(市、區(qū))培訓(xùn)活動領(lǐng)導(dǎo)小組辦公室組織培訓(xùn)的人數(shù)要占到80%左右,由大中型企業(yè)組織培訓(xùn)的人數(shù)占到20%左右。

培訓(xùn)內(nèi)容為《全國職工安全生產(chǎn)知識、電視培訓(xùn)教學(xué)光盤》和《職工安全生產(chǎn)知識》中的有關(guān)內(nèi)容;其包括事故起因與預(yù)防、安全技術(shù)、工業(yè)衛(wèi)生、班組安全建設(shè)、工會勞動保護監(jiān)督及鍋爐、起重;電器、危險化學(xué)品、防火等內(nèi)容,各地各單位可選擇適合本行業(yè);本企業(yè)的內(nèi)容進行培訓(xùn)。(工人日報)

投身安全生產(chǎn)同樣能出政績

近日,河南滎陽市政府在2005午度工作總結(jié)表彰會卜,給市安檢局局長安保興、黨組書記陳劍分別記個人三等功,兩人披紅戴花上臺領(lǐng)獎。滎陽市政府的記功決定在滎陽市安全生產(chǎn)史卜的尚屬首次,市領(lǐng)導(dǎo)在會上明確告訴各級干部,抓安全生產(chǎn)工作同樣能出政績。

目前,滎陽市有各類土產(chǎn)經(jīng)營單位18000多家,煤礦、非煤礦山、?;髽I(yè)、煙花爆竹、機械制造等行業(yè)門類比較齊全,安全監(jiān)管任務(wù)―卜分繁重。

滎陽市安檢局緊緊圍繞“抓安全、保穩(wěn)定、促發(fā)展”這個大局,充分發(fā)揮市政府安委會辦公室的作用,協(xié)調(diào)各鄉(xiāng)鎮(zhèn);各委局齊抓共管?聯(lián)合執(zhí)法。首先是狠抓了各級安監(jiān)機構(gòu)建設(shè)?構(gòu)建全市四級安壘生產(chǎn)網(wǎng)絡(luò);:其次是一手抓安全生產(chǎn)教育培訓(xùn)、增強子部、職工及廣大市民的安全意識;提高他們的安全生產(chǎn)技能。近年來共培訓(xùn)廠長、經(jīng)理、各級安全管理人員;特種作業(yè)人員5700多人;另一手抓安全隱患排查,整改各類隱患7400多條,查處安全生產(chǎn)違法違規(guī)案件140多起。在加大安全生產(chǎn)許可力度方面,全市10家煙花爆竹企業(yè)全部獲得安全生產(chǎn)許可證。140多家危險化學(xué)晶生產(chǎn)經(jīng)營企業(yè)和190多家非煤礦山企業(yè),都經(jīng)過安全評價和評審,創(chuàng)出了連續(xù)11個無生產(chǎn)經(jīng)營性死亡事故的好成績,名:列鄭州市安全生產(chǎn)工作前茅。

安全生產(chǎn)形勢的穩(wěn)定,有力促進了滎陽市經(jīng)濟的快速發(fā)展。全市:GDP從2004年的113億元增長到145億元財政收入從2004年4.2億元增長到5.8億元,名列河南省綜合實力前五名。(中國安全生產(chǎn)報)

央企要率先實現(xiàn)安全生產(chǎn)五個轉(zhuǎn)變

日前,從相關(guān)部門獲悉,央企要率先實現(xiàn)安全生產(chǎn)五個轉(zhuǎn)變:從人治向法治轉(zhuǎn)變,從被動防范向源頭管理轉(zhuǎn)變,從集中開展安全檢查向規(guī)范化、經(jīng)常化、制度化管理轉(zhuǎn)變,從事后查處向強化基礎(chǔ)轉(zhuǎn)變,從控制傷亡事故為主向全面做好職業(yè)健康工作轉(zhuǎn)變。

國資委主任李榮融說:“國資委將認真履行出資人安全生產(chǎn)職責(zé),通過進一步改進內(nèi)部工作程序,督促安全生產(chǎn)隱患整改,完善事故報告、事故跟蹤、事故調(diào)查、事故檔案管理和安全生產(chǎn)業(yè)績考核制度,督促企業(yè)負責(zé)人切實落實企業(yè)安全生產(chǎn)主體責(zé)任?!?/p>

據(jù)不完全統(tǒng)計,2005年中央企業(yè)發(fā)生重大以上安全事故25起(含境外),造成207人死亡(含失蹤),158人受傷。事故主要發(fā)生在建筑、危險化學(xué)品、交通、煤礦各非煤礦山企業(yè)。與―亡年相比,事故增加5起,死亡人數(shù)減少8人,受傷人數(shù)加127人。其中,煤礦事故減少2起,死亡人數(shù)減少13人,但建筑事故勘n9起,死亡人數(shù)增加95人。(工人日報)

安全事故超標官員難獲晉升

安監(jiān)總局新聞發(fā)言人表示,安全事故發(fā)生數(shù)量化指標即將出臺。此指標會納入地方政績考核的指標體系里去,與職務(wù)晉升、各種待遇掛鉤,沒有完成指標的官員不許提拔、不許獎勵、不許晉升,從而建立起一種激勵約束機制。劉于那些忽視安全生產(chǎn),從而導(dǎo)致生產(chǎn)安全事故發(fā)生地方政府的負責(zé)人;國家會依據(jù)有關(guān)規(guī)定嚴肅加以追究,爭取使每個人的生命價值進一步得到尊重和珍惜。(北京晨報)

煤炭專家“檢討”下井太少

“我盡管是搞煤炭的;卻很少下礦井;至于下到小煤窯的機會更是微乎其微?!?/p>

在全國政協(xié)工會界的小組討論中,全國政協(xié)委員、中煤國際工程集:團北京華宇工程有15艮公司副總工程師曾濤在談及政協(xié)調(diào)整界別設(shè)置時的一番“檢討”發(fā)人深思。

“反映社情民意;是政協(xié)的重要職責(zé)之一。但在我們的政協(xié)委員中,又有幾個是真正的工人、農(nóng)民?”

“老百姓生活中普遍存在的住房難、看病難、子女上學(xué)難等問題,在座的委員們恐十白都不存在。就煤炭系統(tǒng)來說。這些問題對我來說也不存在,但廣大礦工卻為這些問題煩惱。”

“委員們對老百姓的苦惱;困難沒有切膚之痛,如果再缺乏深入調(diào)查、了解,委員的發(fā)言、建議在反映勞動人民真實心聲上就難免打折扣。”

由此,曾濤委員建議,政協(xié)組織在調(diào)整界別設(shè)置時,應(yīng)該增加一線工人、農(nóng)民的代表。同時,各界別的參政議政也應(yīng)體現(xiàn)各自特色,比如工會界委員就應(yīng)該在維護勞動者權(quán)益方面更好地發(fā)揮作用。(中國安全生產(chǎn)報)

為偏賠償金竟多報礦難人數(shù)

2005年8月7日,廣東興寧大興煤礦發(fā)生透水事故,121名礦工被困井下。大興煤礦屬下的永半煤礦配套組組長張某友為騙賠償金,竟將其所在班組只有14中工人被困井下,造成有關(guān)部門對外公布被困井下人數(shù)虛增2人,變成123人。后來他看騙不到錢又十白被追究責(zé)任,又假報兩名礦工已出礦回家了。

前日,興寧市法院審結(jié)這宗詐騙案,判決張某友犯詐騙罪。鑒于張某友在犯罪過程中;自動放棄犯罪,犯罪行為沒有造成損害,依法予以免除處罰。(廣州日報)

“上海通用”召回部份凱越轎車

上海通用汽車有限公司日前決定自2006年3月3日開始,對部分別克凱越轎車實施召回。