緒論:在尋找寫(xiě)作靈感嗎�����?愛(ài)發(fā)表網(wǎng)為您精選了8篇企業(yè)信息安全管理體系,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享!
篇1
關(guān)鍵詞:信息完全��;技術(shù)���;體系
一��、前言
隨著金川集團(tuán)公司跨國(guó)經(jīng)營(yíng)戰(zhàn)略的實(shí)施��,企業(yè)信息化進(jìn)程不斷深入���,企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視��,但依然存在不少問(wèn)題�����。調(diào)查結(jié)果表明��,造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多�,一是安全技術(shù)保障體系尚不完善��,企業(yè)花了大量的金錢(qián)購(gòu)買(mǎi)了信息安全設(shè)備�����,但是技術(shù)保障不成體系�,達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒(méi)有經(jīng)常化�、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后���。其中���,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%,登錄密碼過(guò)于簡(jiǎn)單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。近年來(lái)��,雖然使用單位對(duì)信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高�����,80%的被調(diào)查單位有專(zhuān)職或兼職的安全管理人員�,但是,很多企業(yè)存在安全觀念薄弱����、安全管理員缺乏培訓(xùn)����、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿(mǎn)足要求等問(wèn)題,也說(shuō)明目前安全管理水平還比較低���。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系���。
二、企業(yè)信息資源安全管理體系構(gòu)建
1�、企業(yè)信息安全組織管理
企業(yè)信息安全組織體系定義為一個(gè)三層的組織,組織架構(gòu)如圖所示:
企業(yè)信息安全組織
l)總經(jīng)理通過(guò)總經(jīng)辦負(fù)責(zé)企業(yè)信息�����、安全的決策事項(xiàng)。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險(xiǎn)管理����,該主管領(lǐng)導(dǎo)一個(gè)有各個(gè)部門(mén)主要負(fù)責(zé)人參加的信息安全管理小組維護(hù)企業(yè)信息安全管理體系���、管理企業(yè)信息安全風(fēng)險(xiǎn)�����。3)總經(jīng)理任命一名信息安全審計(jì)師�����,負(fù)責(zé)企業(yè)信息安全活動(dòng)的審計(jì)�����。4)行政部門(mén)�、業(yè)務(wù)部門(mén)和分支機(jī)構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策����,并在信息安全管理主管的領(lǐng)導(dǎo)下,實(shí)施風(fēng)險(xiǎn)管理計(jì)劃�����。各個(gè)部門(mén)負(fù)責(zé)人有義務(wù)向信息安全主管報(bào)告所管轄部門(mén)的信息安全狀況��,信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級(jí)機(jī)關(guān)報(bào)告企業(yè)信息安全狀況�����。
2���、企業(yè)信息安全政策管理
根據(jù)企業(yè)信息安全風(fēng)險(xiǎn)分析的結(jié)果和信息安全政策制定的原則����,設(shè)計(jì)信息安全政策體系包括以下幾點(diǎn):(1)企業(yè)信息安全風(fēng)險(xiǎn)管理政策:a)信息安全風(fēng)險(xiǎn)定義��,包括風(fēng)險(xiǎn)等級(jí)定義和安全類(lèi)別定義;b)信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行要求�����,包括時(shí)問(wèn)周期要求、范圍要求、基于事件的風(fēng)險(xiǎn)評(píng)估要求:c)信息安全風(fēng)險(xiǎn)評(píng)估責(zé)任��,包括信息安全管理人員責(zé)任和業(yè)務(wù)部門(mén)責(zé)任���。(2)企業(yè)信息安全體系管理政策:a)管理體系的規(guī)劃��,包括規(guī)劃的時(shí)機(jī)、規(guī)劃的內(nèi)容����、規(guī)劃的依據(jù)、規(guī)劃的責(zé)任人:b)管理體系的實(shí)施�����,包括��、培訓(xùn)�����、執(zhí)行獎(jiǎng)懲�。c)管理體系的驗(yàn)證�����,包括周期管理評(píng)審、安全審計(jì)���、事件評(píng)審��、殘留風(fēng)險(xiǎn)評(píng)估�����。d)管理體系的改進(jìn)�����,包括分析和變更控制��。(3)病毒抵御安全政策:a)操作程序一運(yùn)行網(wǎng)絡(luò)管理人員日常工作的程序���。這部分安全政策主要控制的風(fēng)險(xiǎn)是不規(guī)范的管理活動(dòng)造成無(wú)效或低效的管理���。b)關(guān)鍵資源監(jiān)控一識(shí)別出關(guān)鍵設(shè)備并對(duì)關(guān)鍵設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控����。這部分安全政策主要控制的風(fēng)險(xiǎn)是關(guān)鍵資源異常情況不能被及時(shí)發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護(hù)一對(duì)軟件系統(tǒng)及時(shí)地升級(jí)和打補(bǔ)丁���。這部分安全政策主要控制的風(fēng)險(xiǎn)是軟件系統(tǒng)未及時(shí)升級(jí)和/或打補(bǔ)丁而造成的信息故障或者安全事故���。d)敏感資料存儲(chǔ)一對(duì)在業(yè)務(wù)進(jìn)行過(guò)程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風(fēng)險(xiǎn)是由于對(duì)敏感資料存儲(chǔ)不當(dāng)導(dǎo)致資料的丟失或泄漏�。
3、企業(yè)信息安全事件管理
目前�,沒(méi)有任何一種具有代表性的信息安全策略或防護(hù)措施可對(duì)信息、信息系統(tǒng)����、服務(wù)或網(wǎng)絡(luò)提供絕對(duì)的保護(hù)。即使采取了防護(hù)措施�,仍可能存在殘留的弱點(diǎn),使得信息安全防護(hù)變得無(wú)效�,從而導(dǎo)致信息安全事件發(fā)生�����,并對(duì)企業(yè)的業(yè)務(wù)運(yùn)行直接或間接地產(chǎn)生負(fù)面影響����。此外�,以前未被認(rèn)識(shí)到的威脅也將會(huì)不可避免地發(fā)生�。企業(yè)如果對(duì)如何應(yīng)對(duì)這些事件沒(méi)有作好充分準(zhǔn)備,其任何實(shí)際響應(yīng)的效率都會(huì)大打折扣���,甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響�����。因此���,企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作����。信息安全事件管理方案的必要過(guò)程包括:(1)發(fā)現(xiàn)和報(bào)告發(fā)生的信息安全事態(tài),無(wú)論是由企業(yè)人員/顧客引起的還是自動(dòng)發(fā)生的(如防火墻警報(bào))�����。(2)收集有關(guān)信息安全事態(tài)的信息����,由企業(yè)的運(yùn)行支持組人員進(jìn)行評(píng)估�,確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報(bào)。確認(rèn)該事態(tài)是否屬于信息安全事件���,如果是����,則立即作出響應(yīng)���,同時(shí)啟動(dòng)必要的法律取證分析、溝通活動(dòng)�����。(3)進(jìn)行評(píng)審以確定該信息安全事件是否處于控制下�����。(4)如果處于控制下���,則啟動(dòng)任何所需要的進(jìn)一步的后續(xù)響應(yīng),以確保所有相關(guān)信息準(zhǔn)備完畢�,供事件解決后評(píng)審所用����。(5)如果不在控制下,則采取“危機(jī)求助”活動(dòng)并召集相關(guān)人員�,如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組����。(6)在整個(gè)階段按要求進(jìn)行上報(bào),以便進(jìn)一步評(píng)估和決策�。(7)確保所有相關(guān)人員,正確記錄所有活動(dòng)以備后面分析所用�����。(8)確保對(duì)電子證據(jù)進(jìn)行收集和安全保存�,同時(shí)確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視��,以備法律起訴或內(nèi)部處罰所需�。(9)確保包括信息安全事件追蹤和事件報(bào)告更新的變更控制制度得到維護(hù),從而使得信息安全事態(tài)/事件數(shù)據(jù)庫(kù)保持最新���。
4��、企業(yè)信息安全技術(shù)管理
我們所構(gòu)建的信息安全管理體系中,不能忽視技術(shù)的作用�,雖然只使用技術(shù)控制不能保證一個(gè)信息安全環(huán)境��,但是在通常情況下�,它是信息安全項(xiàng)目的基礎(chǔ)部分�����。(1)密碼服務(wù)技術(shù)��。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持�。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊��、密碼機(jī)或軟件�,以及密碼服務(wù)接口構(gòu)成。通常��,企業(yè)會(huì)涉及以下幾個(gè)方面的密碼應(yīng)用:數(shù)字證書(shū)運(yùn)算����、密鑰加密運(yùn)算、數(shù)據(jù)傳輸�、數(shù)據(jù)儲(chǔ)存、數(shù)字簽名、數(shù)字信封�����。(2)故障恢復(fù)技術(shù)����。故障恢復(fù)的主要措施有:群集配置,由多臺(tái)計(jì)算機(jī)組成群集結(jié)構(gòu)���,盡可能消除整個(gè)系統(tǒng)可能存在的單點(diǎn)故障�����;雙機(jī)熱備份�,在任何一臺(tái)設(shè)備失效的情況下��,按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備���,維持業(yè)務(wù)的正常運(yùn)行���;故障恢復(fù)管理,由專(zhuān)門(mén)的集群軟件進(jìn)行管理和監(jiān)控���,使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時(shí)����,能夠根據(jù) 故障情況重新分配任務(wù)。(3)惡意代碼防范技術(shù):惡意代碼防范技術(shù)包括四大系統(tǒng):病毒查殺系統(tǒng)�����、網(wǎng)關(guān)防毒系統(tǒng)��、群件防毒系統(tǒng)����、集中管理系統(tǒng)�����。(4)入侵檢測(cè)技術(shù)��。入侵檢測(cè)系統(tǒng)是實(shí)現(xiàn)入侵檢測(cè)功能的一系列的軟件��、硬件的組合�。入侵檢測(cè)系統(tǒng)以實(shí)時(shí)方式監(jiān)測(cè)網(wǎng)絡(luò)通信,對(duì)其進(jìn)行分析并實(shí)時(shí)安全預(yù)警��,從而使企業(yè)能夠有效管理內(nèi)部人員和資源,并對(duì)外部攻擊進(jìn)行早期預(yù)警和跟蹤����,有效保障系統(tǒng)安全?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源�����。通過(guò)比較這些審計(jì)記錄文件與攻擊簽名是否匹配���,如果匹配立即報(bào)警采取行動(dòng).基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源�。它是利用網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)���。(5)掃描與分析技術(shù)����。端口掃描工具能識(shí)別網(wǎng)絡(luò)上活動(dòng)的計(jì)算機(jī)����,同樣也可以識(shí)別這些計(jì)算機(jī)上的活動(dòng)端口和服務(wù)??梢話呙杼囟?lèi)型的計(jì)算機(jī)����、協(xié)議和資源���,也可進(jìn)行普遍掃描�。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息�����?���?梢宰R(shí)別暴露的用戶(hù)名和組���,顯示開(kāi)放的網(wǎng)絡(luò)共享�����,并暴露配置問(wèn)題和其他服務(wù)器漏洞�。內(nèi)容過(guò)濾器也能有效地保護(hù)機(jī)構(gòu)系統(tǒng)��,使其不受誤用和無(wú)意的拒絕服務(wù)�。
5�、企業(yè)信息安全培訓(xùn)的必要性
公司目前很多崗位和部門(mén)的員工都從事涉密數(shù)據(jù)相關(guān)工作��,有很多數(shù)據(jù)和信息涉及到公司的機(jī)密和知識(shí)產(chǎn)權(quán)�,但是大多數(shù)員工信息安全意識(shí)差,在平時(shí)的工作中在意識(shí)上和實(shí)際工作中存在很多問(wèn)題���,導(dǎo)致涉密數(shù)據(jù)的外漏��,給公司的生產(chǎn)經(jīng)營(yíng)造成不可挽回的損失���。在有管理組織、政策制度和技術(shù)保障的情況下����,通過(guò)對(duì)涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識(shí)和信息安全操作培訓(xùn)是非常必要的。
三����、結(jié)語(yǔ)
總之,企業(yè)信息安全管理體系是一個(gè)企業(yè)日常經(jīng)營(yíng)和持續(xù)發(fā)展的基本保證����,也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風(fēng)險(xiǎn)對(duì)企業(yè)的危害���。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化�����。信息安全不只是個(gè)技術(shù)問(wèn)題���,而更多的是商業(yè)����、管理和法律問(wèn)題�。實(shí)現(xiàn)信息安全不僅僅需要采用技術(shù)措施,還需要更多地借助于技術(shù)以外的其他手段��。
參考文獻(xiàn):
篇2
[關(guān)鍵詞]信息安全���;管理;控制�����;構(gòu)建
中圖分類(lèi)號(hào):X922�����;F272 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理��、內(nèi)網(wǎng)安全管理等新的安全設(shè)備��,但信息安全防護(hù)理念還停留在防的階段�,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高���,信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求�。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性�。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范����,來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?�;酒髽I(yè)信息安全管理過(guò)程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析����、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略����、選用安全可靠的的防護(hù)產(chǎn)品等�。
2.2 提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中����,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成�。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理����。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范���,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全���、可靠、穩(wěn)定運(yùn)行���,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施���。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)��,強(qiáng)化企業(yè)員工對(duì)信息安全的概念�,提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求���。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)����,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系�。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離�、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)����、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源��,并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限��,達(dá)到企業(yè)敏感信息的安全保障��。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu)��,在滿(mǎn)足終端安全�����、網(wǎng)絡(luò)安全、應(yīng)用安全����、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全�,規(guī)范終端用戶(hù)行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為�。企業(yè)信息安全體系建立前,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范��,造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏��。比如通過(guò)U盤(pán)等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果��。對(duì)于這類(lèi)高危的行為���,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)��,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的�����。應(yīng)該當(dāng)用戶(hù)接入企業(yè)信息化平臺(tái)前,就對(duì)用戶(hù)的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�����。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)�,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶(hù)提升企業(yè)的防護(hù)水平���。
3.2 建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中����,考慮總部和分支機(jī)構(gòu)的信息化需要�����,必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求���。不論是采用SSL VPN還是IPSecVPN����,VPN加密傳輸都是通用的選擇�����。對(duì)于分支機(jī)構(gòu)可以考慮專(zhuān)用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定���。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式�。在這種情況下�����,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別��。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)���,可以要求設(shè)備商做好多種接入方式的需求�,并且?guī)椭髽I(yè)搭建認(rèn)證方式���。這將有利于企業(yè)日常維護(hù)�����,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)��,要面對(duì)多個(gè)部門(mén)和分支結(jié)構(gòu)���,合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵���。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層�����;數(shù)據(jù)鏈路層�;網(wǎng)絡(luò)層�;傳輸層;會(huì)話層�����;表示層;應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)�。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度��,做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略���。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)���。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系����,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視�、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志�,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異���。所以當(dāng)安全事件發(fā)生時(shí)����,企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理��。所以在企業(yè)在構(gòu)建信息安全體系時(shí)����,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化��,設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類(lèi)分析�����。這樣才能做到對(duì)全網(wǎng)安全事件的“可視�����、可控和可管”����。
4 結(jié)束語(yǔ)
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整�。企業(yè)在實(shí)施信息安全防護(hù)過(guò)程中是一個(gè)長(zhǎng)期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃���,實(shí)施過(guò)程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問(wèn)控制,保證備份數(shù)據(jù)的安全性可靠性����。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性�����,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻(xiàn)
[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界����,2012,16:179-180.
[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè)���,2011���,08:69.
[3] 彭佩,張婕���,李紅梅. 企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù)�����,2014���,12:42-45+48.
[4] 劉小發(fā),李良�����,嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計(jì)技術(shù),2013�����,12:25-28.
[5] 白雪祺�����,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察���,2014���,27:81-83.
篇3
【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理�、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段��,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救�,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高,信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求�。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性�����。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范�,來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善��?��;酒髽I(yè)信息安全管理過(guò)程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析�、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型��、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略�����、選用安全可靠的的防護(hù)產(chǎn)品等�����。
2.2 提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分���,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)�,絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理����。在企業(yè)實(shí)施企業(yè)信息安全前���,應(yīng)制定企業(yè)員工信息安全行為規(guī)范��,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全�����、可靠����、穩(wěn)定運(yùn)行,保證企業(yè)信息安全����。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施�����。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)��,強(qiáng)化企業(yè)員工對(duì)信息安全的概念,提升員工的安全意識(shí)��。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求���。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)��,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系���。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別��、網(wǎng)絡(luò)隔離���、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復(fù)等�����。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源����,并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限,達(dá)到企業(yè)敏感信息的安全保障���。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿(mǎn)足終端安全、網(wǎng)絡(luò)安全��、應(yīng)用安全�、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全,規(guī)范終端用戶(hù)行為
在企業(yè)信息安全事件中��,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為��。企業(yè)信息安全體系建立前�,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范����,造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏����。比如通過(guò)U盤(pán)等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類(lèi)高危的行為�����,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)��,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的����。應(yīng)該當(dāng)用戶(hù)接入企業(yè)信息化平臺(tái)前��,就對(duì)用戶(hù)的終端系統(tǒng)進(jìn)行安全規(guī)范檢查���,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)����。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范�,從終端用戶(hù)提升企業(yè)的防護(hù)水平����。
3.2 建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中��,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求���。不論是采用SSL VPN還是IPSecVPN�����,VPN加密傳輸都是通用的選擇����。對(duì)于分支機(jī)構(gòu)可以考慮專(zhuān)用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定�����。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下���,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別��。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)��,可以要求設(shè)備商做好多種接入方式的需求�����,并且?guī)椭髽I(yè)搭建認(rèn)證方式����。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平�����。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對(duì)多個(gè)部門(mén)和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵�。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層���;網(wǎng)絡(luò)層����;傳輸層;會(huì)話層�����;表示層����;應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)�����。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下���,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度���,做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)���,真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)���。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理�����,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視���、可控和可管”���。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低�����。而且不同安全廠商的日志報(bào)表還存在很大差異��。所以當(dāng)安全事件發(fā)生時(shí)�����,企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理���。所以在企業(yè)在構(gòu)建信息安全體系時(shí)���,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類(lèi)分析��。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”����。
4 結(jié)束語(yǔ)
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過(guò)程中是一個(gè)長(zhǎng)期的持續(xù)的工作�。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過(guò)程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問(wèn)控制���,保證備份數(shù)據(jù)的安全性可靠性��。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定�����,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性����,真正為企業(yè)的核心業(yè)務(wù)提供安全保障����。
參考文獻(xiàn)
[1]郝宏志.企業(yè)信息管理師[M].北京:機(jī)械工業(yè)出版社,2005.
[2]蔣培靜.歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò)���,2008(7):48-49.
作者簡(jiǎn)介
常勝(1982-)����,男,回族��,天津市人?,F(xiàn)為中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司工程師�����。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署�����。
篇4
關(guān)鍵詞:企業(yè)安全生產(chǎn)�;信息化管理;系統(tǒng)
隨著現(xiàn)代企業(yè)管理體系的逐漸復(fù)雜�,企業(yè)管理已經(jīng)稱(chēng)得上是一種系統(tǒng)性工程,為了在這種發(fā)展背景下實(shí)現(xiàn)企業(yè)的相關(guān)發(fā)展�,對(duì)企業(yè)安全生產(chǎn)信息化管理體系的相關(guān)研究就顯得很有必要。
1企業(yè)安全生產(chǎn)管理模式的發(fā)展過(guò)程
1.1發(fā)達(dá)國(guó)家企業(yè)安全生產(chǎn)管理模式
企業(yè)的安全生產(chǎn)管理經(jīng)歷了傳統(tǒng)安全生產(chǎn)管理模式����、對(duì)象性安全生產(chǎn)管理模式、過(guò)程安全生產(chǎn)管理模式以及系統(tǒng)安全生產(chǎn)管理模式四個(gè)階段的發(fā)展���。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和相關(guān)理論體系的完善���,現(xiàn)階段發(fā)達(dá)國(guó)家企業(yè)中普遍采用的是系統(tǒng)安全生產(chǎn)管理模式�����。
1.2我國(guó)企業(yè)安全生產(chǎn)管理模式
雖然現(xiàn)階段發(fā)達(dá)國(guó)家的企業(yè)中大多采用系統(tǒng)安全生產(chǎn)管理模式�,但由于我國(guó)企業(yè)相對(duì)發(fā)展落后�,現(xiàn)階段大部分企業(yè)中還是采用過(guò)程管理模式進(jìn)行自身企業(yè)的安全生產(chǎn)管理。當(dāng)然���,隨著我國(guó)近年來(lái)科技與經(jīng)濟(jì)的飛速發(fā)展�����,很多企業(yè)已經(jīng)開(kāi)始認(rèn)識(shí)到過(guò)程安全生產(chǎn)管理模式的弊端�����,一些大型企業(yè)也開(kāi)始進(jìn)行系統(tǒng)安全生產(chǎn)管理模式的相關(guān)嘗試���,這些都直接促進(jìn)著我國(guó)企業(yè)安全生產(chǎn)管理的相關(guān)發(fā)展。
2企業(yè)安全生產(chǎn)信息化管理體系的運(yùn)行模式
企業(yè)安全生產(chǎn)信息化管理體系的運(yùn)行模式由管理組織決策����、風(fēng)險(xiǎn)評(píng)估�����、隱患排查��、安全信息分類(lèi)�����、生產(chǎn)H標(biāo)制定、相關(guān)考核�、方案?jìng)鬏數(shù)葍?nèi)容組成。在完成企業(yè)安全生產(chǎn)信息化管理體系運(yùn)行模式的規(guī)劃與決策后���,我們就需要對(duì)其生產(chǎn)管理組織機(jī)構(gòu)與責(zé)任制進(jìn)行相關(guān)研究����,以此構(gòu)建企業(yè)安全生產(chǎn)信息化管理體系中的具體功能模塊��,最終完成企業(yè)安全生產(chǎn)信息化管理體系的相關(guān)建設(shè)��。在企業(yè)安全生產(chǎn)信息化管理體系的運(yùn)行中�����,相關(guān)設(shè)計(jì)人員需要對(duì)其績(jī)效進(jìn)行測(cè)量與監(jiān)視,對(duì)具體運(yùn)行效果進(jìn)行優(yōu)化�,并根據(jù)相關(guān)優(yōu)化中得到的信息對(duì)管理體系的外部進(jìn)行評(píng)審,實(shí)現(xiàn)企業(yè)安全生產(chǎn)信息化管理體系的安全�����、健康����、高效運(yùn)行。
3企業(yè)安全生產(chǎn)信息化管理體系的具體架構(gòu)
為了實(shí)現(xiàn)企業(yè)安全生產(chǎn)信息化管理體系的相關(guān)功能�����,筆者結(jié)合自身工作經(jīng)驗(yàn)提出了一種較為符合我國(guó)企業(yè)發(fā)展實(shí)際�����、組織結(jié)構(gòu)也較為完善的企業(yè)安全生產(chǎn)信息化管理體系��,其具體架構(gòu)如下:
3.1理論基礎(chǔ)層
在企業(yè)安全生產(chǎn)信息化管理體系的構(gòu)建中��,理論基礎(chǔ)層是極為重要的一個(gè)組成部分�,也是其最底層����。在企業(yè)的日常生產(chǎn)經(jīng)營(yíng)中�,安全生產(chǎn)理論是隨著相關(guān)技術(shù)不斷發(fā)展而來(lái)的一套完備的理論體系,這也使得相關(guān)理論體系的存在為企業(yè)安全生產(chǎn)信息化管理體系的建立提供了堅(jiān)實(shí)的基礎(chǔ)����。在企業(yè)安全生產(chǎn)信息化管理體系中,理論基礎(chǔ)層由基本管理理論與綜合管理理論兩部分組成�����?���;竟芾砝碚撝傅氖瞧髽I(yè)安全生產(chǎn)中通用的方法與規(guī)則���,綜合管理理論則是由安全教育學(xué)原理���、安全法原理、事故學(xué)理論等多種理論綜合而成����,這些理論都在企業(yè)安全生產(chǎn)信息化管理體系的建設(shè)中發(fā)揮著重要的作用|31����。
3.2技術(shù)實(shí)現(xiàn)層
在企業(yè)安全生產(chǎn)信息化管理體系中�,安全生產(chǎn)信息化管理技術(shù)的實(shí)現(xiàn)層是第二層,其發(fā)展于第一層的理論基礎(chǔ)之上���,通過(guò)多種技術(shù)對(duì)企業(yè)安全生產(chǎn)信息化管理體系進(jìn)行支撐��。企業(yè)安全生產(chǎn)信息化管理的實(shí)現(xiàn)層具有數(shù)據(jù)實(shí)時(shí)采集�����、實(shí)時(shí)共享����、多種數(shù)據(jù)分析等功能�����,并能夠以此確保企業(yè)安全生產(chǎn)信息化管理體系功能的正常運(yùn)轉(zhuǎn)|41����。
3.3功能模塊與業(yè)務(wù)層
在企業(yè)安全生產(chǎn)信息化管理體系中,功能模塊與業(yè)務(wù)層是第三層。第三層主要由安全信息中心���、企業(yè)安全生產(chǎn)基礎(chǔ)管理功能模塊�、企業(yè)安全生產(chǎn)監(jiān)控管理模塊���、企業(yè)安全檢査管理功能模塊��、安全生產(chǎn)風(fēng)險(xiǎn)評(píng)估以及應(yīng)急管理功能模塊�����、企業(yè)安全生產(chǎn)環(huán)境控制管理功能模塊這六大功能模塊構(gòu)成����。這些模塊的存在為企業(yè)安全生產(chǎn)信息化管理體系提供具體服務(wù)的支持�����,是管理體系不可或缺的重要組成部分����。
4結(jié)語(yǔ)
隨著我國(guó)經(jīng)濟(jì)與社會(huì)的不斷發(fā)展�����,企業(yè)安全生產(chǎn)信息化是必然的歷史發(fā)展趨勢(shì)。在未來(lái)的企業(yè)競(jìng)爭(zhēng)中����,一家企業(yè)是否擁有完善的安全生產(chǎn)信息化管理體系,將是其自身競(jìng)爭(zhēng)力的重點(diǎn)體現(xiàn)之一為了提高企業(yè)的生產(chǎn)管理效率��,企業(yè)安全生產(chǎn)信息化管理體系的建立也是不可忽視的一個(gè)重要環(huán)節(jié)�����。本文為安全生產(chǎn)信息化管理體系提供了一個(gè)可行性架構(gòu)模型����,希望能夠?yàn)橄嚓P(guān)企業(yè)的安全生產(chǎn)信息化管理體系發(fā)展帶來(lái)一定幫助。
作者:呂鵬 單位:神華煤制油鄂爾多斯分公司
參考文獻(xiàn)
[1]楊宇�����,王堅(jiān).企業(yè)安全生產(chǎn)信息化管理體系的探討m.機(jī)電產(chǎn)品開(kāi)發(fā)與創(chuàng)新,20丨4(6>:29-31.
[2]栩勇,劉繼元.淺談建筑施工企業(yè)安全生產(chǎn)信息化管理的實(shí)際應(yīng)用[J].建筑安全>2015(8>:63-66.
篇5
現(xiàn)階段���,信息技術(shù)已經(jīng)深刻的影響了社會(huì)的發(fā)展���,電力企業(yè)也不例外��。信息技術(shù)已經(jīng)應(yīng)用到電力企業(yè)的各個(gè)角落��,成為企業(yè)信息流組織的重要技術(shù)手段�����,隨著智能化電網(wǎng)的深入建設(shè)�����,信息技術(shù)不僅運(yùn)用于辦公室的信息處理�����,更是延伸到電網(wǎng)的運(yùn)行控制����。信息安全受到破壞不僅僅只使信息本身的可用性�����、完整性���、保密性受到破壞,還可能直接影響到現(xiàn)實(shí)世界的社會(huì)生活、生產(chǎn)�����,甚至直接造成人身傷亡���、財(cái)產(chǎn)損失�。信息技術(shù)的發(fā)展給電力企業(yè)帶來(lái)發(fā)展機(jī)遇的同時(shí)也提出了全新的挑戰(zhàn)����,使信息安全成為電力企業(yè)安全管理不可或缺的重要組成部分。
2信息安全面臨的挑戰(zhàn)與困難
2.1設(shè)備分布點(diǎn)多面廣��,全面防控困難
電力設(shè)施分布于廣大的地域范圍內(nèi)�,需要為每個(gè)電力客戶(hù)提供電能供應(yīng)點(diǎn),還必須建立連接這些電能供應(yīng)點(diǎn)與電源之間的通道��,從而形成電能供應(yīng)網(wǎng)絡(luò)��。隨著智能電網(wǎng)建設(shè)的深入����,信息產(chǎn)生、傳輸���、處理�、保存的設(shè)備也隨電網(wǎng)一同延伸到電網(wǎng)的各個(gè)角落,許多設(shè)備和設(shè)施安裝于野外����,沒(méi)有封閉的安裝環(huán)境,沒(méi)有現(xiàn)場(chǎng)值守人員�,要監(jiān)控所有設(shè)備的狀態(tài)、保證其物理安全�����,幾乎是不可能的���。
2.2蓄意破壞行為泛濫�,防范難度較高
信息安全不僅面對(duì)無(wú)意的����、偶發(fā)的威脅,還必須面對(duì)眾多蓄意的破壞����。潛在的攻擊者可能采取各種已知或未知的手段避開(kāi)或攻破安全限制獲取或破壞信息,這要求信息安全管理人員不僅需要掌握已知的攻擊手段并采取相應(yīng)的防范措施��,還需要不斷對(duì)原先被判為正常的信息訪問(wèn)進(jìn)行審計(jì),發(fā)現(xiàn)可能的未知攻擊手段并采取對(duì)策�,這是一個(gè)艱巨的任務(wù)。攻擊者可能不僅具有高超的手段�����,還可能采取各種方法隱藏自己的蹤跡��,從而提高安全人員的識(shí)別難度�?��;ヂ?lián)網(wǎng)上流傳著各種信息��,包括各種信息安全漏洞以及利用漏洞的方法���,甚至還有漏洞利用工具,社會(huì)上也有眾多技術(shù)愛(ài)好者����、惡作劇人員、敵對(duì)分子���,不管出于何種原因��、何種目的����,他們都極容易成為攻擊者。因此����,信息安全必然面對(duì)廣泛的攻擊來(lái)源和眾多未知的攻擊手段,而且還必須應(yīng)對(duì)蓄意的���、有針對(duì)性的安全性規(guī)則破壞���。
2.3職工安全意識(shí)不高,責(zé)權(quán)界定復(fù)雜
信息網(wǎng)絡(luò)安全管理的最核心關(guān)鍵部分就是管理�,管理水平的高低對(duì)最終的效果是決定性的。電力企業(yè)的應(yīng)用系統(tǒng)已經(jīng)具有相當(dāng)規(guī)模����,幾乎已經(jīng)涉及工作的方方面面,對(duì)每位員工的責(zé)權(quán)進(jìn)行仔細(xì)的界定也是一項(xiàng)艱巨而復(fù)雜的工作���。在實(shí)際的工作中��,仍然存在密碼強(qiáng)度不夠��、在員工之間共享賬號(hào)���、應(yīng)用系統(tǒng)權(quán)限管理不規(guī)范的現(xiàn)象��,從而使信息的安全特性容易或已經(jīng)受到破壞��。
3信息安全管理的常見(jiàn)誤區(qū)
3.1信息安全主要是防病毒
雖然病毒的防范是信息安全工作之一,但部分管理人員卻將病毒防范工作放在信息安全工作的中心�����,而忽略了信息安全工作的其它方面�����,這是一個(gè)嚴(yán)重的誤解��。雖然病毒的入侵是導(dǎo)致信息安全事件的重要因素之一�,但是病毒或木馬的真正目標(biāo)濁使正常用戶(hù)無(wú)法正常使用資源或竊取攻擊者需要的信息,因此����,信息安全工作的目標(biāo)是保護(hù)資源和信息能正常使用且不被非法訪問(wèn)和篡改。
3.2部署了安全系統(tǒng)就安全
近年來(lái)�,隨著信息安全問(wèn)題的日益顯現(xiàn)�,管理層對(duì)信息安全的重視程度有極大的提高�����,也有較大的投入���,許多企業(yè)先后部署了防病毒系統(tǒng)�����、防火墻����、入侵檢測(cè)或入侵防御系統(tǒng)��、安全網(wǎng)關(guān)����、應(yīng)用網(wǎng)關(guān)、安全隔離裝置�、桌面管控系統(tǒng)、移動(dòng)存儲(chǔ)安全注冊(cè)系統(tǒng)����、安全審計(jì)系統(tǒng)等一系列安全系統(tǒng)或設(shè)備�����。這些系統(tǒng)或設(shè)備的部署為保障信息安全提供了技術(shù)上的手段�����,但是����,許多管理人員卻在部署之后疏于管理�����,未定義或更新安全規(guī)則���,從而使所有部署的系統(tǒng)成為擺設(shè),不能發(fā)揮其作用����,反而成為影響性能的累贅。另外���,這種情況下��,還會(huì)造成一種安全假象���,使管理員危機(jī)感降低�,反而不利于信息安全能力的提高���。
3.3物理是安全的
工作實(shí)踐中�,常常發(fā)現(xiàn)許多辦公室沒(méi)有人���,但門(mén)卻開(kāi)著�,計(jì)算機(jī)也沒(méi)有鎖定����;機(jī)房里有人工作,但管理員卻不在現(xiàn)場(chǎng)���,甚至不知道有人工作��。調(diào)查發(fā)現(xiàn)�,許多人認(rèn)為計(jì)算機(jī)沒(méi)什么需要保密的內(nèi)容��,沒(méi)什么值得別人竊取的,不需要特別限制他人使用計(jì)算機(jī)�。而事實(shí)上,如果物理安全得不到保障��,則任何操作系統(tǒng)都是可以被攻破的��,是不安全的��,是可以被攻擊者利用的主機(jī)��。如果一位惡意攻擊者能夠使用網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)���,他幾乎可以做任何事�,包括竊取本機(jī)上的資料��、安裝信息收集后門(mén)��;監(jiān)視使用者本人的使用習(xí)慣�����,獲取使用者信息���,常用密碼及密碼字符的組合方式�����;甚至通過(guò)這臺(tái)計(jì)算機(jī)破壞整個(gè)網(wǎng)絡(luò)的安全性��、竊取網(wǎng)絡(luò)上其他計(jì)算機(jī)上的資料�。如果使用的后門(mén)是一個(gè)特殊的專(zhuān)用工具�,網(wǎng)絡(luò)上沒(méi)有流傳,則病毒和木馬查殺軟件往往無(wú)法發(fā)現(xiàn)�,因此會(huì)長(zhǎng)期的破壞信息安全措施,造成極大的危害���。
3.4內(nèi)部就是安全的
由于許多安全設(shè)施��,如防火墻���、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)���、安全網(wǎng)關(guān)等��,都有一個(gè)假設(shè)———內(nèi)部是安全區(qū)域����,因此有許多管理員接受這個(gè)假設(shè),并將它用于整個(gè)信息安全工作的指導(dǎo)思想中�。但是,可以肯定的是�,事實(shí)上并非如此。內(nèi)部人員作案或內(nèi)外勾結(jié)作案的事件不時(shí)見(jiàn)于報(bào)端���,可以算是典型的反面例證���。
3.5網(wǎng)絡(luò)隔離了就安全
國(guó)家電網(wǎng)公司實(shí)施了網(wǎng)絡(luò)區(qū)域安全隔離措施,將控制網(wǎng)��、信息內(nèi)網(wǎng)�、信息外網(wǎng)在物理上隔離,從而從通信上隔離了攻擊者��。這在一定程度上是非常有效的�,由于通常情況下,攻擊者無(wú)法訪問(wèn)控制網(wǎng)���、信息內(nèi)網(wǎng)的資源,因此無(wú)法直接進(jìn)行攻擊�����。但是,網(wǎng)絡(luò)隔離了并不等于安全了�。例如,網(wǎng)絡(luò)上已經(jīng)出現(xiàn)了“擺渡攻擊”的成功案例���,而且�,整個(gè)電力系統(tǒng)企業(yè)內(nèi)有上百萬(wàn)工作人員����,還有眾多外部合作企業(yè)���,他們都可能是不安全因素的來(lái)源。
4信息安全對(duì)策探析
4.1仔細(xì)劃分安全區(qū)域
由于無(wú)法確知內(nèi)部的安全性���,因此應(yīng)該根據(jù)風(fēng)險(xiǎn)發(fā)生的概率與風(fēng)險(xiǎn)發(fā)生后損失的程度兩方面的因素,將信息處理所涉及的各種要素劃分為不同的安全級(jí)別�,不同的級(jí)別要素部署于不同的安全區(qū)域���。例如�����,重要的設(shè)備、數(shù)據(jù)具有較高的安全級(jí)別�,部署于機(jī)房?jī)?nèi)�,嚴(yán)格控制其訪問(wèn)�����;所有安裝于野外的設(shè)備�,如遠(yuǎn)程通訊通道或遠(yuǎn)程數(shù)據(jù)采集點(diǎn)都是容易受到攻擊的或損壞的���,應(yīng)當(dāng)認(rèn)為是不安全的��,對(duì)其發(fā)出的信息需要進(jìn)行更仔細(xì)的鑒別和更高強(qiáng)度的加密�����;所有桌面終端上都未必是安全的,需要認(rèn)真進(jìn)行身份鑒別����,等等��。劃定各要素的默認(rèn)安全級(jí)別是所有安全措施的基礎(chǔ)��,在此基礎(chǔ)上才能部署相應(yīng)的安全設(shè)施,采取相應(yīng)風(fēng)險(xiǎn)防范措施�����,否則必然造成安全投入的不足與浪費(fèi)����。而且����,關(guān)鍵的安全區(qū)域應(yīng)當(dāng)盡量的小和少,這樣才能比較容易保證安全性。
4.2加強(qiáng)安全硬件部署
為了能夠更加有效的保障信息安全��,需根據(jù)實(shí)際的需求加強(qiáng)安全設(shè)施部署,例如部署防火墻��、入侵檢測(cè)系統(tǒng)����、入侵防御系統(tǒng)保證網(wǎng)絡(luò)入口的安全��;部署安全網(wǎng)關(guān)����、應(yīng)用網(wǎng)關(guān)保證應(yīng)用服務(wù)的安全���;部署審計(jì)系統(tǒng)記錄資源使用情況及用戶(hù)使用行為��,保證事后可追溯性,等等���,從而全方位的保證信息安全���。安全設(shè)施部署后����,還需要認(rèn)真制定防護(hù)規(guī)則����、定期審計(jì)����,發(fā)現(xiàn)潛在的攻擊與隱患�,并及時(shí)修正規(guī)則����,才能真正發(fā)揮安全設(shè)施的作用�����。
4.3嚴(yán)格落實(shí)制度標(biāo)準(zhǔn)
據(jù)不完全統(tǒng)計(jì)���,目前基層電力企業(yè)信息專(zhuān)業(yè)需要執(zhí)行的工作標(biāo)準(zhǔn)有近百項(xiàng)、技術(shù)標(biāo)準(zhǔn)達(dá)數(shù)百項(xiàng)�����,規(guī)定的內(nèi)容涉及信息工作的方方面面���,已經(jīng)比較完備了。每個(gè)信息安全事件調(diào)查中����,幾乎都能找到制度落實(shí)不到位的情況��。例如�����,某電力公司發(fā)生員工修改用戶(hù)電費(fèi)收取費(fèi)用謀利事件,就是因?yàn)闆](méi)有落實(shí)管理員權(quán)限最小化和制約制度�、沒(méi)有落實(shí)事件審計(jì)制度引起的���;某公司應(yīng)用系統(tǒng)投入運(yùn)行后����,發(fā)現(xiàn)開(kāi)發(fā)商利用系統(tǒng)所留后門(mén)以及開(kāi)發(fā)賬號(hào)登錄系統(tǒng)修改數(shù)據(jù)事件�,就是由于未落實(shí)系統(tǒng)開(kāi)發(fā)相關(guān)制度��、系統(tǒng)上下線管理制度,沒(méi)有清理開(kāi)發(fā)賬號(hào)���,沒(méi)有進(jìn)行代碼審查和安全測(cè)試,等等��。安全來(lái)源于過(guò)程,信息安全也不例外���。制度雖然完備,但需要落到實(shí)處才能發(fā)揮其效果��。
4.4提供安全基礎(chǔ)服務(wù)
隨著當(dāng)前電力企業(yè)改革的深入推進(jìn),電力企業(yè)的組織機(jī)構(gòu)變得集約����、扁平����,信息系統(tǒng)也多采用國(guó)家電網(wǎng)公司一級(jí)或國(guó)家電網(wǎng)公司與省公司二級(jí)部署的方式��,遵循五統(tǒng)一的原則建設(shè)應(yīng)用系統(tǒng)。但是�����,由于地域差異�,各地區(qū)電力企業(yè)面臨不同的用戶(hù)、不同的規(guī)劃����、不同的問(wèn)題���,管理側(cè)重點(diǎn)也必然有所不同����,因此應(yīng)用需求也存在差異�����,有必要利用基層單位的力量推進(jìn)開(kāi)發(fā)進(jìn)程。所有應(yīng)用系統(tǒng)都有一些共同的需求�����,在安全方面有身份鑒別、權(quán)限管理�、數(shù)據(jù)傳輸、日志管理�����、備份恢復(fù)等�,如果公司總部統(tǒng)一開(kāi)發(fā)并公開(kāi)服務(wù)的接口調(diào)用、安全協(xié)議等方面的規(guī)范���,并提供接入申請(qǐng)��、審批、注冊(cè)等方面的管理制度�����,方便下級(jí)單位運(yùn)用���。這樣公司總部只開(kāi)發(fā)一次����,保證一個(gè)系統(tǒng)的安全�,就能保證所有系統(tǒng)公共部分的安全���,節(jié)約后續(xù)開(kāi)發(fā)的投資與時(shí)間����,充分發(fā)揮投資效益���。
5結(jié)束語(yǔ)
篇6
主題詞:事故連安全管理控制
01發(fā)電企業(yè)傳統(tǒng)安全管理上存在的不合理性版權(quán)所有!
發(fā)電企業(yè)的產(chǎn)品電能作為一種特殊的商品�����,產(chǎn)���、供�、銷(xiāo)同時(shí)完成�����,在電力供不應(yīng)求時(shí)期,電力生產(chǎn)中的任意故障引起少發(fā)電都會(huì)對(duì)電能質(zhì)量:電壓和頻率產(chǎn)生影響����,并可能引起對(duì)電力用戶(hù)顧客的少供電而使顧客造成直接經(jīng)濟(jì)損失,因此強(qiáng)調(diào)電力生產(chǎn)中的安全始終是第一位的����,只有電力生產(chǎn)的安全可靠,才能帶來(lái)全社會(huì)安全與經(jīng)濟(jì)���。
隨著電力體制改革的不斷深入�����,電力供需矛盾日趨緩和�,電力供應(yīng)已初步形成市場(chǎng)經(jīng)濟(jì),電力法明確規(guī)定電網(wǎng)運(yùn)營(yíng)(調(diào)度)和發(fā)電企業(yè)是兩個(gè)獨(dú)立的經(jīng)濟(jì)實(shí)體�����,即廠、網(wǎng)不再是同一行業(yè)的經(jīng)濟(jì)共同體�,而是兩個(gè)經(jīng)濟(jì)實(shí)體之間的企業(yè)行為,作為發(fā)電企業(yè)在經(jīng)濟(jì)效益許可條件下���,首先要確保自身安全許可����,依靠發(fā)電企業(yè)信譽(yù)���、產(chǎn)品質(zhì)量、優(yōu)質(zhì)競(jìng)價(jià)爭(zhēng)取多發(fā)電�;而電網(wǎng)運(yùn)營(yíng)則應(yīng)有足夠備用容量,在電網(wǎng)經(jīng)濟(jì)與安全許可范圍內(nèi)允許某些發(fā)電企業(yè)在某一時(shí)段多發(fā)電或少發(fā)電,直至不發(fā)電(調(diào)停)���,這是市場(chǎng)機(jī)制下�����,合同約束的企業(yè)行為�。
隨著我國(guó)關(guān)貿(mào)體制改革���,加入wto所帶來(lái)的機(jī)遇與挑戰(zhàn)�����,全球經(jīng)濟(jì)一體化加快,國(guó)際市場(chǎng)進(jìn)一步開(kāi)放���,信息技術(shù)迅猛發(fā)展�,市場(chǎng)競(jìng)爭(zhēng)日趨激烈,發(fā)電企業(yè)如何走向世界����,如何與國(guó)際先進(jìn)的安全生產(chǎn)管理模式接軌,并能得到國(guó)際國(guó)內(nèi)各類(lèi)企業(yè)認(rèn)可或認(rèn)同����,是關(guān)心安全生產(chǎn)的當(dāng)代賢士探討的課題����。
電力供應(yīng)不足時(shí)期,發(fā)電企業(yè)應(yīng)盡可能多發(fā)無(wú)功來(lái)滿(mǎn)足監(jiān)控點(diǎn)電壓��,隨著電網(wǎng)容量的不斷壯和特高壓、超長(zhǎng)遠(yuǎn)距離輸電線路的投運(yùn)����,電網(wǎng)在輕負(fù)荷時(shí)�����,發(fā)電企業(yè)必須吸收無(wú)功�����,進(jìn)相運(yùn)行來(lái)確保監(jiān)控點(diǎn)電壓質(zhì)量����;發(fā)電企業(yè)因設(shè)備可維修性(設(shè)備異常)隨時(shí)可能引起10%的少發(fā)電數(shù)小時(shí);電力設(shè)備的保護(hù)正確動(dòng)作是確保安全(電網(wǎng)或設(shè)備本身)切除故障�,發(fā)生上述情況傳統(tǒng)意義上是不安全的,是事故�。但市場(chǎng)經(jīng)濟(jì)下,電網(wǎng)運(yùn)營(yíng)隨時(shí)能讓這一發(fā)電企業(yè)的負(fù)荷突變3050%(agc投運(yùn))�,直至調(diào)停一臺(tái)機(jī)組�����,后者是正常的市場(chǎng)行為,在合同約束范圍內(nèi)�,則仍是安全的��。前者無(wú)疑會(huì)出現(xiàn)目前的“一流發(fā)電企業(yè)”發(fā)出合格質(zhì)量的電能(電壓和頻率仍能滿(mǎn)足要求)�,恰是不安全的企業(yè)(調(diào)規(guī)規(guī)定)��,毫無(wú)疑問(wèn)�����,傳統(tǒng)安全管理不能確切地反映一個(gè)發(fā)電企業(yè)的安全管理水平��,傳統(tǒng)意義上的安全��,很難獲得國(guó)際國(guó)內(nèi)企業(yè)及其它行業(yè)的安全管理認(rèn)同�����,這不能不引起發(fā)電企業(yè)決策者的警覺(jué),采用先進(jìn)的安全生產(chǎn)管理模式�,提高發(fā)電企業(yè)的安全管理水平是當(dāng)務(wù)之急。
02企業(yè)安全與事故的致因分析
國(guó)際標(biāo)準(zhǔn)化組織(iso)把安全定義為:將傷害對(duì)人或損壞(對(duì)物)的風(fēng)險(xiǎn)限制在可接受的水平狀態(tài)。顯然��,根據(jù)這一定義��,表明發(fā)電企業(yè)不可接受的風(fēng)險(xiǎn)水平狀態(tài)即是不安全的,反之是安全的��,由此可知�,不同的發(fā)電企業(yè)接受風(fēng)險(xiǎn)水平的能力不同����,它與發(fā)電企業(yè)規(guī)模和在電網(wǎng)中位置有關(guān)�����。安全是相對(duì)的���,不是絕對(duì)的,對(duì)于一個(gè)發(fā)電企業(yè)經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)價(jià),分析風(fēng)險(xiǎn)源或事故危險(xiǎn)源(點(diǎn))����,確定了不可接受的風(fēng)險(xiǎn)���,采取必要的安全技術(shù)措施,將不可接受的風(fēng)險(xiǎn)降低至可容許的程度����,使得人和物避免遭受到不可接受風(fēng)險(xiǎn)的傷害����,從而提高了安全管理水平���。
iso定義事故為造成死亡����、職業(yè)相關(guān)病癥��、傷害���、財(cái)產(chǎn)損失或其它損失的意外事故�,造成或可能造成事故的事件��。事故是意外事件����,它是出乎人們的意料之外���,不希望看到的事情����,導(dǎo)致事故發(fā)生的原因是事故的致因因素�,事故致因的因果分析原理、方法有多種形式��,最能反映現(xiàn)代安全原理��、觀點(diǎn)的事故因果連鎖如博德的事故因果連鎖(多米諾骨牌)如圖(一)所示����。
圖中表明,發(fā)電企業(yè)發(fā)生事故的直接原因是人的不安全行為和物的不安全狀態(tài)(俗稱(chēng)設(shè)備異常�����、設(shè)備缺陷)��,具體到每個(gè)人�,則個(gè)人原因和工作條件對(duì)不安全行為的出現(xiàn)和處理設(shè)備缺陷、異常的能力不同�����,發(fā)生事故的機(jī)率不相同�����,圖中,強(qiáng)調(diào)安全管理對(duì)每個(gè)員工的事故起因至關(guān)重要����,管理失誤,安全管理處于松懈狀態(tài)���,失去對(duì)人的安全管理控制��,無(wú)疑將增加事故發(fā)生的概率�。
許多工業(yè)企業(yè)��,在現(xiàn)代安全系統(tǒng)(系統(tǒng)是指相互關(guān)聯(lián)或相互作用的一組要素)工程中采用“人失誤”這一術(shù)語(yǔ)����,按照系統(tǒng)安全的觀點(diǎn),人在發(fā)電企業(yè)的整個(gè)生產(chǎn)過(guò)程中也是構(gòu)成系統(tǒng)的一種元素����,當(dāng)人作為一種系統(tǒng)元素發(fā)揮功能時(shí),會(huì)發(fā)生失誤���。人失誤表明人的行為結(jié)果偏離了規(guī)定的目標(biāo)或超出了可接受的階限�,并產(chǎn)生了不良的后果����。安全管理就是要使人的不安全行為和物的不安全狀態(tài)處于受控狀態(tài),從而減少多米諾骨牌倒牌的可能性���,使事故連鎖中斷���,減少事故的發(fā)生,避免傷亡和損失���。
03發(fā)電企業(yè)的現(xiàn)代安全系統(tǒng)管理
iso對(duì)領(lǐng)導(dǎo)企業(yè)的成功運(yùn)作指明了企業(yè)需要采用的一種系統(tǒng)透明的方式進(jìn)行管理�,針對(duì)所有相關(guān)方的需求�����,實(shí)施并保持持續(xù)改進(jìn)其業(yè)績(jī)的管理體系��,最高管理者可以遵守管理八項(xiàng)原則(顧客為關(guān)注焦點(diǎn)����、領(lǐng)導(dǎo)作用、全員參與�����、過(guò)程方法,管理的系統(tǒng)方法�����、持續(xù)改進(jìn)�����、基于事實(shí)的決策方法�、互利的供方關(guān)系)來(lái)指導(dǎo)工作,現(xiàn)代科學(xué)管理的重要特征是公開(kāi)透明的�,就是依法管理,管理有依據(jù)�����,有準(zhǔn)則���;在管理的執(zhí)行���、實(shí)施中能提供符合性的證據(jù);并進(jìn)行必要的監(jiān)督檢查;對(duì)查出的異常���、不安全�、不符合甚至出現(xiàn)的事故����,有糾正�、糾正措施、預(yù)防措施����,避免出現(xiàn)已出現(xiàn)的不符合和故障,并防止出現(xiàn)潛在的不符合���,從而達(dá)到持續(xù)改進(jìn)的目的��。iso定義滿(mǎn)足規(guī)定的要求稱(chēng)為符合(或合格)�。
傳統(tǒng)的管理模式存在著有理就管�����,管就有理的人治傾向�,人治管理的特征是“上一級(jí)”說(shuō)了算,難以發(fā)揮企業(yè)全員作用,不能發(fā)揮集體智慧����,容易造成違章指揮。而現(xiàn)代化的生產(chǎn)僅靠個(gè)人智慧是難以想象的�����,也是不現(xiàn)實(shí)的�。
發(fā)電企業(yè)安全生產(chǎn)管理具有現(xiàn)代科學(xué)管理的特征,同時(shí)又是中國(guó)特色的社會(huì)主義性質(zhì)所決定的���,我國(guó)安全生產(chǎn)的法律法規(guī)��,明確規(guī)定了“安全第一��、預(yù)防為主”的方針政策�����,安全第一責(zé)任人明確了企業(yè)的最高管理者的作用和職能���,從中國(guó)特色的傳統(tǒng)管理中包含著管理生產(chǎn)必須首先管安全、管安全必須首先管人的這一點(diǎn)出發(fā)�����,發(fā)電企業(yè)主管生產(chǎn)者必須是最高管理者安全管理的當(dāng)然(管理者)代表。
發(fā)電企業(yè)安全生產(chǎn)現(xiàn)代科學(xué)系統(tǒng)管理如圖1所示���。企業(yè)的安全生產(chǎn)委員會(huì)依據(jù)國(guó)家的法律��、法規(guī)和主管行業(yè)的規(guī)定�����、導(dǎo)則、標(biāo)準(zhǔn)���、細(xì)則等�,進(jìn)行依法管理���,在“安全第一����、預(yù)防為主”的方針��、政策下制定安全管理目標(biāo)�����,委托(安全生產(chǎn))管理者代表組織、實(shí)施���、落實(shí)和目標(biāo)分解����,分解到各生產(chǎn)�、職能部門(mén),則有各部門(mén)安全第一責(zé)任人進(jìn)行(安全)目標(biāo)分解����,并制定各部門(mén)計(jì)劃、措施��,運(yùn)用企業(yè)的各項(xiàng)管理標(biāo)準(zhǔn)�,各崗位的工作標(biāo)準(zhǔn)和安全技術(shù)措施來(lái)規(guī)范、約束員工的行為(班組管理略)��。
3.1控制人為失誤
著名的安全學(xué)專(zhuān)家皮特森(petersen)在人失誤致因分析中提出了決策失誤����、過(guò)負(fù)荷、人機(jī)學(xué)方面存在問(wèn)題是發(fā)生事故的致因重要因素����,并提出了企業(yè)領(lǐng)導(dǎo)高度評(píng)價(jià)企業(yè)的員工(具體工作的執(zhí)行層)�,肯定員工的個(gè)人價(jià)值和存在價(jià)值���,同事互相幫助����、關(guān)心���、督促����,并有穩(wěn)定的工作崗位�,減輕同事間的互存壓力���,能使員工的邏輯決策正確率提高�����;員工個(gè)人的性情����、精神得到輕松、釋放���,也能減少下意識(shí)發(fā)生失誤的傾向��,提高決策的正確性�;對(duì)從事的崗位工作進(jìn)行超前的事故預(yù)想�,有事故前的思想準(zhǔn)備,同樣也減少?zèng)Q策失誤����。
人的過(guò)負(fù)荷失誤具體反映在人的身體健康、精神狀態(tài)�����;工作壓力和疲勞��、藥物和酒的作用���;作業(yè)的動(dòng)機(jī)�、態(tài)度��、興奮程度和生物節(jié)律����;對(duì)完成任務(wù)的信息��、擔(dān)心和危險(xiǎn)性的考慮等所產(chǎn)生的生理心理上的過(guò)負(fù)荷能力���,人過(guò)負(fù)荷容易引起人的失誤而造成事故。
人的才能應(yīng)適應(yīng)崗位職業(yè)的能力����,但能力過(guò)強(qiáng)或過(guò)低都能引起人失誤而造成事故,這是因?yàn)槟芰Φ陀趯?shí)際崗位要求����,他沒(méi)有能力正確處理崗位上可能出現(xiàn)的各種信息而不能勝任工作產(chǎn)生失誤;而能力過(guò)高時(shí)�,精神松滯緊張度過(guò)低,產(chǎn)生對(duì)崗位工作的厭倦情緒���,粗心意、沒(méi)有工作責(zé)任心����,同樣容易發(fā)生人的失誤。這里強(qiáng)調(diào)了能力過(guò)低的人要加強(qiáng)培訓(xùn)和能力強(qiáng)的人必須有較高的責(zé)任心���。
發(fā)電企業(yè)的人失誤主要表現(xiàn)為決策失誤和過(guò)負(fù)荷失誤兩類(lèi)����,控制人失誤的具體措施為規(guī)范人的行為規(guī)范,制定各項(xiàng)工作的管理標(biāo)準(zhǔn)和各崗位的工作標(biāo)準(zhǔn)�����,對(duì)各崗位進(jìn)行動(dòng)態(tài)管理���,擇優(yōu)上崗�、持證上崗���;管理職能部門(mén)加強(qiáng)安全點(diǎn)檢����、質(zhì)量點(diǎn)檢的工作力度�,增強(qiáng)人的安全意識(shí)、責(zé)任意識(shí)���,并創(chuàng)造一個(gè)和諧的工作環(huán)境和良好的干群���、員工間的人際關(guān)系��,使員工為樹(shù)立企業(yè)形象保安全作貢獻(xiàn)�����,有榮譽(yù)感��、使命感�、責(zé)任感���,保持員工有最良好的精神狀態(tài)����,為所做工作作出正確的判斷����,減少工作中的失誤,避免生產(chǎn)中不安全的事件發(fā)生�����,確保企業(yè)的整體利益不受損害�����。
3.2控制物的不安全狀態(tài)
發(fā)電企業(yè)物的不安全狀態(tài)具體表現(xiàn)為運(yùn)行中的設(shè)備異常和設(shè)備缺陷�,而加強(qiáng)運(yùn)行管理、嚴(yán)格執(zhí)行巡回檢查制度和設(shè)備定期切換���、試驗(yàn)�����、維護(hù)制度�����,及時(shí)發(fā)現(xiàn)設(shè)備異常動(dòng)態(tài)�,及時(shí)調(diào)整參數(shù)���,把不安全狀態(tài)消滅在萌芽狀態(tài)��,抑制物的不安全狀態(tài)出現(xiàn)���。設(shè)備異常和存在的缺陷要及時(shí)聯(lián)系檢修修復(fù),質(zhì)量點(diǎn)檢要把好檢修質(zhì)量關(guān)�,三級(jí)點(diǎn)檢起重要作用,做到小缺陷不過(guò)班,缺陷不過(guò)日��,重缺陷輪崗換班檢修不離崗��,緊急缺陷隨叫隨到��,并利用機(jī)組節(jié)假日��、調(diào)停進(jìn)行設(shè)備的重點(diǎn)檢查與治理��,確保運(yùn)行設(shè)備完好率達(dá)到100%���。由此可知���,控制物的不安全狀態(tài)的發(fā)生,人是重要的影響因素��。
3.3安全生產(chǎn)檢查與安全點(diǎn)檢
企業(yè)制定安全目標(biāo)���,分解落實(shí)到各部門(mén)和各班組�����,并制定相應(yīng)的實(shí)施措施來(lái)保證�,這些部門(mén)和班組在執(zhí)行和實(shí)施中效果如何,是否真正落實(shí)到具體的安全生產(chǎn)日常工作中去�,必須進(jìn)行安全監(jiān)督檢查�����。
發(fā)電企業(yè)的安全檢查應(yīng)注意效果���,傳統(tǒng)的安全檢查頻次多����,流于形式����,走過(guò)場(chǎng)。安全檢點(diǎn)應(yīng)做好日常工作中的安全點(diǎn)檢����,根據(jù)各專(zhuān)業(yè)、季節(jié)特性����、節(jié)假日前后進(jìn)行不定期抽查,檢查的重點(diǎn)對(duì)象是作業(yè)現(xiàn)場(chǎng)中物的不安全因素和人的不安全行為��,其目的是及時(shí)發(fā)現(xiàn)不安全因素,以便采取糾正和糾正措施��。
安全點(diǎn)檢主要有安全監(jiān)察網(wǎng)絡(luò)成員負(fù)責(zé)進(jìn)行��,對(duì)于職能部門(mén)的專(zhuān)責(zé)安全點(diǎn)檢員���,日常檢查應(yīng)有計(jì)劃��、有重點(diǎn)�����、有周期進(jìn)行����,而針對(duì)具體項(xiàng)目必須是標(biāo)準(zhǔn)化�����、規(guī)范化的檢查�,有依據(jù)、有評(píng)判標(biāo)準(zhǔn)����,檢查必須設(shè)置安全檢查表���,它是規(guī)范化、程序化�����、標(biāo)準(zhǔn)化的重要標(biāo)志�,例如按周期對(duì)部門(mén)安全工作的符合性檢查時(shí)����,檢查表中表明有哪些安全工作符合性的證據(jù),檢查表編制有安全點(diǎn)檢人員���、專(zhuān)業(yè)管理人員和實(shí)際作業(yè)人員共同進(jìn)行���,以使檢查依據(jù)、評(píng)判標(biāo)準(zhǔn)得到共同認(rèn)可���。發(fā)電企業(yè)自身?xiàng)l件各不相同���,但通常應(yīng)規(guī)定檢查項(xiàng)目(內(nèi)容)、檢查方法或評(píng)判標(biāo)準(zhǔn)�����、結(jié)果確認(rèn)、評(píng)分(或是否來(lái)打分)以及其它關(guān)注的事件����。
針對(duì)季節(jié)性的安全檢查,應(yīng)查明是否有具體措施以及員工對(duì)這些措施的認(rèn)知熟悉程度��,而不是停留在檔案保存上����,應(yīng)敷檢查上。
3.4安全評(píng)價(jià)
發(fā)電企業(yè)安全性評(píng)價(jià)是借助國(guó)外先進(jìn)的安全管理“風(fēng)險(xiǎn)評(píng)估”模式進(jìn)行的���,是與國(guó)際先進(jìn)的安全管理接軌的具體體現(xiàn)�����。貫徹“安全第一��、預(yù)防為主”的方針�,就是要在預(yù)防上下功夫�����,注重安全基礎(chǔ)就是要對(duì)事故進(jìn)行超前控制,安全基礎(chǔ)是保證安全生產(chǎn)必須具備的人員�����、設(shè)備�、環(huán)境、管理等方面的基本條件����,即人����、機(jī)、環(huán)境�、管理四者安全品質(zhì)的優(yōu)化匹配。
發(fā)電企業(yè)安全評(píng)價(jià)是通過(guò)對(duì)生產(chǎn)設(shè)備����、安全管理、勞動(dòng)安全和作業(yè)環(huán)境三個(gè)方面進(jìn)行查評(píng)診斷�,對(duì)安全生產(chǎn)的危險(xiǎn)性進(jìn)行定性和定量評(píng)估,查出可能引發(fā)的危險(xiǎn)因素���,評(píng)估出發(fā)電企業(yè)安全基礎(chǔ)的現(xiàn)狀和水平����,揭示預(yù)知和掌握客觀存在的危險(xiǎn)因素及其嚴(yán)重程度,采取相應(yīng)糾正����、預(yù)防措施,實(shí)現(xiàn)超前控制�,尋求最低的事故率和最小的事故損失,達(dá)到最優(yōu)的安全投資效益����。版權(quán)所有!
發(fā)電企業(yè)安全評(píng)價(jià)的最佳方式應(yīng)是結(jié)合安全檢查的自查自評(píng)與外來(lái)專(zhuān)家相結(jié)合,自查自評(píng)的目的是發(fā)動(dòng)群眾����,全員參與,提高企業(yè)員工的安全素質(zhì)�����,同時(shí)又能看到安全生產(chǎn)現(xiàn)狀存在的不足�����,為糾正���、整改����、預(yù)防工作打下基礎(chǔ),提高企業(yè)自身的安全管理水平��。為防止“當(dāng)局者迷�,旁觀者清”和本企業(yè)上下級(jí)存在情面以及老難問(wèn)題的特點(diǎn),引入外來(lái)和尚(外來(lái)專(zhuān)家)好念經(jīng)的事實(shí)�,比較公正、公平��,而外來(lái)專(zhuān)家具有權(quán)威性��,見(jiàn)多識(shí)廣�����,檢查認(rèn)真�,深入細(xì)致���,不會(huì)影響實(shí)際評(píng)價(jià)的公平�、公正性����,這在許多發(fā)達(dá)國(guó)家企業(yè)引入第三方認(rèn)證是相近的����,目前許多先進(jìn)的發(fā)達(dá)國(guó)家企業(yè)和我國(guó)的部分企業(yè)已開(kāi)始實(shí)施ohsas18001職業(yè)安全衛(wèi)生管理體系的認(rèn)證�����,發(fā)電企業(yè)的安全評(píng)價(jià)年度不宜過(guò)多���,一次為宜��,在安全生產(chǎn)出現(xiàn)滑坡時(shí)可適當(dāng)增加安評(píng)的次數(shù)��。
3.5發(fā)電企業(yè)的危險(xiǎn)源(點(diǎn))評(píng)估
評(píng)估發(fā)電企業(yè)的事故危險(xiǎn)源或危險(xiǎn)點(diǎn)是客觀存在的��,避免這些危險(xiǎn)源完全不發(fā)生事故的可能性也是不現(xiàn)實(shí)的�����,但對(duì)可能發(fā)生的事故必須制定相應(yīng)的應(yīng)急措施和事故預(yù)案�����,以便即使發(fā)生事故�����,能有組織有條不紊地進(jìn)行事故處理�,以防止事故擴(kuò),減少事故發(fā)生的損失�����。
應(yīng)急措施和事故預(yù)案應(yīng)包括企業(yè)的領(lǐng)導(dǎo)小組����,工作小組,應(yīng)急突擊人員���、通訊聯(lián)系�����、醫(yī)療衛(wèi)生保健、應(yīng)急物資準(zhǔn)備��、交通運(yùn)輸?shù)?��,發(fā)電企業(yè)的應(yīng)急措施和事故預(yù)案主要有:防風(fēng)�����、防凍�����、防滑����、防汛、防小動(dòng)物��、防火�、防震、防暴�����、防高低溫��、防全廠停電�����、防軸彎曲、防超速以及計(jì)算機(jī)防病毒�、防干擾等,應(yīng)急措施�、預(yù)案是安全學(xué)習(xí)和活動(dòng)的重要內(nèi)容,也是安全檢查工作的重點(diǎn)���。
3.6安全業(yè)績(jī)?cè)u(píng)審
安全業(yè)績(jī)?cè)u(píng)審是由安全生產(chǎn)管理者代表領(lǐng)導(dǎo)下的工作小組����,進(jìn)行全面審核發(fā)電企業(yè)的安全質(zhì)保體系���、安全監(jiān)察網(wǎng)絡(luò)�、質(zhì)量點(diǎn)檢網(wǎng)絡(luò)�、技術(shù)監(jiān)督網(wǎng)絡(luò)及危險(xiǎn)點(diǎn)控制網(wǎng)絡(luò)的安全工作業(yè)績(jī),審核依據(jù)為國(guó)家的法律法規(guī)��,主管行業(yè)的規(guī)定�����、導(dǎo)則����、標(biāo)準(zhǔn)以及本企業(yè)的管理標(biāo)準(zhǔn)、工作標(biāo)準(zhǔn)�����、規(guī)程�、制度等,對(duì)全年安全工作管理���、安全措施��,各種預(yù)防措施�、糾正措施�、應(yīng)急預(yù)案、安全評(píng)價(jià)和安全檢查中查出問(wèn)題的整改等作全面的審核評(píng)定��,評(píng)審前從發(fā)電企業(yè)各職能管理中收集量的信息�,信息企業(yè)的質(zhì)量點(diǎn)檢、安全監(jiān)察����、技術(shù)監(jiān)督、可靠性管理等���,對(duì)全年發(fā)電企業(yè)發(fā)生的重不安全情況進(jìn)行分析�、統(tǒng)計(jì),找出發(fā)電企業(yè)安全工作中的不足和差距或未能實(shí)現(xiàn)安全目標(biāo)管理的原因或提高安全目標(biāo)管理水平的潛力所在����,審核結(jié)論或?qū)徍税l(fā)現(xiàn)匯總至發(fā)電企業(yè)的最高管理者,為一下年度安全生產(chǎn)目標(biāo)制定提供可靠依據(jù)和正確決策��,進(jìn)入新的一輪pdca循環(huán)的起點(diǎn)����,實(shí)現(xiàn)發(fā)電企業(yè)安全管理工作的持續(xù)改進(jìn),從而不斷提高發(fā)電企業(yè)的安全生產(chǎn)管理水平�。
安全業(yè)績(jī)?cè)u(píng)審在多數(shù)發(fā)電企業(yè)實(shí)際安全管理工作中存在,但缺少這一管理程序并很難提供這一方面的符合性證據(jù)���,這必須引起重視���。
04現(xiàn)代安全生產(chǎn)系統(tǒng)管理綜述
安全生產(chǎn)是人類(lèi)進(jìn)行生產(chǎn)活動(dòng)的客觀需要,是文明進(jìn)步的必然趨勢(shì)�����,是企業(yè)管理永恒的主題���;安全是企業(yè)的生命線���,是企業(yè)爭(zhēng)取效益的前提,也是企業(yè)素質(zhì)��、形象的綜合反映�。
篇7
關(guān)鍵詞:煤炭行業(yè);安全管理�����;問(wèn)題�;對(duì)策
Abstract: in the new period of the coal industry to strengthen the safety management, and to promote the health of the coal industry sustainable development have very important sense, this paper first analyzes the current safety management of the coal industry, the main problems of how to solve and, in order to strengthen the management of the coal industry safety countermeasures were proposed.
Keywords: coal industry; Safety management; Problem; countermeasures
中圖分類(lèi)號(hào):TU714 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
煤炭行業(yè)是事故頻發(fā)的行業(yè),近些年大大小小的煤礦事故��,不僅造成了大量的人員傷亡����,給眾多家庭造成了無(wú)法估量和彌補(bǔ)的重大損失,且因每起煤礦事故都要花去大量的費(fèi)用�����,用于搶救費(fèi)����、撫恤金以及子女教育等����,給國(guó)家造成了巨大的經(jīng)濟(jì)損失�。另外,煤礦塵肺在我國(guó)患者眾多���,給數(shù)千萬(wàn)的礦工帶來(lái)了巨大痛苦���。眾多的煤礦事故背后,往往與人為因素有著很大關(guān)系���,安全管理不到位便是其中至為嚴(yán)重的一個(gè)問(wèn)題����。
一���、新時(shí)期煤炭行業(yè)安全管理存在的主要問(wèn)題
1�、對(duì)安全管理的認(rèn)識(shí)不到位
加強(qiáng)煤炭行業(yè)的安全管理雖然已經(jīng)是老生常談的問(wèn)題����,但正是這種再三強(qiáng)調(diào)的問(wèn)題,因部分管理者已經(jīng)聽(tīng)得麻木,而實(shí)際上并未在思想上予以高度重視��,僅片面強(qiáng)調(diào)煤炭行業(yè)的經(jīng)濟(jì)效益�,而忽略了行業(yè)安全的重要性,不僅沒(méi)有制定相應(yīng)的安全管理規(guī)章制度�����,且在平時(shí)的具體管理工作中�����,也往往在安全問(wèn)題上顯得松懈����。部分煤炭企業(yè)的領(lǐng)導(dǎo)甚至認(rèn)為�,過(guò)分強(qiáng)調(diào)安全問(wèn)題,反而從反面說(shuō)明了煤炭企業(yè)存在較大的不安全因素���,對(duì)于穩(wěn)定員工人心是不利的�����,在這種思想認(rèn)識(shí)下����,煤炭業(yè)的安全問(wèn)題就無(wú)從談起。
2��、安全管理目標(biāo)不合理�����,安全培訓(xùn)不到位
安全管理目標(biāo)的制定上�,部分煤炭企業(yè)并不能?chē)?yán)格按照自身特點(diǎn),有針對(duì)性地制定相應(yīng)目標(biāo)��,以最大化保證煤炭開(kāi)采的安全性���,而是迫于壓力���,僅制定能基本保證較大煤礦事故免于發(fā)生的安全管理目標(biāo),而不能使目標(biāo)盡量覆蓋所有可能引發(fā)事故的問(wèn)題���。另外����,對(duì)于企業(yè)員工的安全培訓(xùn)還不到位���,部分煤炭企業(yè)為盡量減少額外開(kāi)支�����,不斷壓縮員工的培訓(xùn)機(jī)會(huì)�����,使得很多員工在并沒(méi)有全面接受到安全教育知識(shí)時(shí)�,便匆匆上崗作業(yè),一旦發(fā)生事故��,不僅自身面臨較大危險(xiǎn)����,且使得整個(gè)煤礦作業(yè)面臨更大風(fēng)險(xiǎn)�����。
3����、先進(jìn)的信息技術(shù)使用不足
隨著信息時(shí)代的到來(lái),各個(gè)行業(yè)均因技術(shù)革新而實(shí)現(xiàn)了更好發(fā)展��,但在煤炭行業(yè)中,部分企業(yè)還是沿用舊有的存在諸多問(wèn)題的�、老化缺乏修理設(shè)備,更無(wú)從談使用先進(jìn)的生產(chǎn)技術(shù)和設(shè)備�。礦井勘測(cè)和開(kāi)采的不斷深入,必然需要具有較高科技含量的設(shè)施來(lái)保證人身安全��,但部分企業(yè)為節(jié)約開(kāi)采成本��,一拖再拖����,遲遲不肯更新含有高新技術(shù)的生產(chǎn)和勘測(cè)設(shè)備,為煤炭行業(yè)的安全作業(yè)埋下了隱患����。
4、監(jiān)管體系不健全
各級(jí)政府和煤炭生產(chǎn)安全監(jiān)督部門(mén)在應(yīng)盡職責(zé)上還沒(méi)落實(shí)到位�,部分地區(qū)的監(jiān)管部門(mén)在工作責(zé)任、工作范圍和所擁有的職權(quán)上存在著不對(duì)稱(chēng)現(xiàn)象��,致使對(duì)煤炭行業(yè)的安全管理問(wèn)題雖然投入較大�,但收效并不樂(lè)觀,尤其是一些經(jīng)常出問(wèn)題的小煤礦����,監(jiān)督管理力度不夠使得安全管理資金投入大部分付之東流����。
5�����、法律法規(guī)不完善
現(xiàn)行的煤炭行業(yè)安全管理方面的法律法規(guī)實(shí)施已久����,大多頒布于計(jì)劃經(jīng)濟(jì)體制下,并沒(méi)有隨著我國(guó)經(jīng)濟(jì)形勢(shì)的發(fā)展�,并根據(jù)煤炭行業(yè)的發(fā)展現(xiàn)狀,作出相應(yīng)調(diào)整�����,尤其對(duì)于當(dāng)下數(shù)量眾多的小型煤礦�����,由于它們興起的時(shí)間較晚�,使得針對(duì)他們的相關(guān)法律法規(guī)較為欠缺�,而小煤礦又是安全問(wèn)題頻發(fā)的煤炭企業(yè),由此��,為整個(gè)煤炭行業(yè)的安全管理埋下了一定隱患。
二�、新時(shí)期加強(qiáng)煤炭行業(yè)安全管理的主要對(duì)策
1、提高對(duì)安全管理的思想認(rèn)識(shí)
煤炭行業(yè)管理層應(yīng)樹(shù)立起高度的安全管理思想認(rèn)識(shí)����,轉(zhuǎn)變管理理念,不僅狠抓煤炭行業(yè)的經(jīng)濟(jì)效益����,且要同步強(qiáng)化安全管理成效,盡量避免煤礦事故的發(fā)生����,為煤炭行業(yè)的長(zhǎng)遠(yuǎn)發(fā)展起到促進(jìn)作用。應(yīng)樹(shù)立安全優(yōu)先�,一切工作均要以人身安全為前提的工作思路,將安全管理貫徹于煤炭工作的方方面面��,并能給煤炭行業(yè)的管理工作注入人文關(guān)懷��,一切工作從職工的利益出發(fā)���,懷著感情抓安全��,并堅(jiān)信煤礦事故可以避免�����,從源頭上做好煤炭行業(yè)的安全管理���,在保障職工安全的前提下��,提高煤炭行業(yè)的經(jīng)濟(jì)效益���。
2、制定合理的安全管理目標(biāo)�����,強(qiáng)化職工安全培訓(xùn)
安全管理目標(biāo)的制定要堅(jiān)持以人為本的原則�,調(diào)動(dòng)廣大職工參與到安全管理中來(lái),讓每個(gè)職工認(rèn)識(shí)到他們作為個(gè)體人的發(fā)展價(jià)值�����,從而將安全思想牢記心間�,與領(lǐng)導(dǎo)者一并強(qiáng)化安全意識(shí)����,以促進(jìn)安全管理的落實(shí)�。讓每個(gè)職工參與安全管理�����,才能從根本上保證安全管理目標(biāo)的實(shí)現(xiàn)����。其次,應(yīng)強(qiáng)化安全培訓(xùn)���。鑒于我國(guó)煤礦作業(yè)職工很多是臨時(shí)工���、農(nóng)民工,不僅缺乏安全作業(yè)意識(shí)�,且缺乏相應(yīng)的安全技術(shù)知識(shí),因此����,應(yīng)通過(guò)培訓(xùn)讓每一個(gè)員工樹(shù)立起“安全第一”的理念,并通過(guò)在煤炭行業(yè)內(nèi)部營(yíng)造一種尊重人���、關(guān)心人的氛圍�,讓每一個(gè)員工感受到被關(guān)心����、被理解��,從而認(rèn)識(shí)到自身的價(jià)值�,并由此強(qiáng)化自身安全意識(shí)����。另外,還應(yīng)定期對(duì)煤炭職工進(jìn)行安全技術(shù)知識(shí)的培訓(xùn)�,使所有職工均掌握基本的安全作業(yè)技能,最終為煤炭行業(yè)的安全管理提供最大保證�。
3、充分利用信息技術(shù)強(qiáng)化安全管理
煤礦行業(yè)相關(guān)領(lǐng)導(dǎo)應(yīng)增加對(duì)煤礦安全生產(chǎn)的投入�����,積極引進(jìn)先進(jìn)的生產(chǎn)技術(shù)和設(shè)備���,逐漸淘汰落后的存在重大安全隱患的作業(yè)設(shè)備�����,以盡量避免因生產(chǎn)設(shè)備引發(fā)煤礦事故�。另外�����,應(yīng)積極借鑒國(guó)外先進(jìn)的生產(chǎn)技術(shù)和管理經(jīng)驗(yàn)�,并使有條件的煤炭企業(yè)與國(guó)外大型煤炭企業(yè)展開(kāi)合作,通過(guò)引進(jìn)國(guó)外先進(jìn)的生產(chǎn)設(shè)備或技術(shù)等���,加強(qiáng)煤炭作業(yè)的安全���。此外,還應(yīng)借助計(jì)算機(jī)技術(shù)構(gòu)建煤炭行業(yè)的安全作業(yè)信息系統(tǒng)���,建立安全監(jiān)測(cè)系統(tǒng)����,以利用信息技術(shù)不斷提高煤炭行業(yè)的安全管理落實(shí)程度�。
4、健全監(jiān)管體系
首先���,各級(jí)政府要加強(qiáng)對(duì)煤炭行業(yè)安全管理的監(jiān)督����,落實(shí)好安全管理的人員、機(jī)構(gòu)�����、資金和裝備���,并定期對(duì)煤炭安全管理中出現(xiàn)的重大問(wèn)題進(jìn)行研究����,從宏觀上加強(qiáng)對(duì)安全管理的監(jiān)控��。其次�,煤礦安全監(jiān)督部門(mén)應(yīng)強(qiáng)化自身的責(zé)任意識(shí),嚴(yán)格對(duì)安全管理的落實(shí)情況進(jìn)行檢查��,并為安全管理者提供相關(guān)咨詢(xún)����,幫助他們盡可能地消除安全隱患,督促煤炭行業(yè)安全管理者認(rèn)真落實(shí)管理責(zé)任��。再次�,應(yīng)加強(qiáng)社會(huì)輿論的監(jiān)督力度,設(shè)立舉報(bào)電話����,認(rèn)真接聽(tīng)群眾的相關(guān)投訴�����,并通過(guò)嚴(yán)格核查,對(duì)確實(shí)存在安全管理問(wèn)題的煤炭企業(yè)進(jìn)行嚴(yán)肅清查��。最后���,在煤礦職工內(nèi)部構(gòu)建起安全監(jiān)控機(jī)制�,保證能自下而上順利實(shí)現(xiàn)對(duì)安全隱患的舉報(bào)��,以全方位不斷提高煤礦行業(yè)的安全管理水平��。
5�����、完善相關(guān)法律法規(guī)
應(yīng)與時(shí)俱進(jìn)調(diào)整煤炭行業(yè)相關(guān)的法律法規(guī)��,以適應(yīng)煤炭行業(yè)新的發(fā)展形勢(shì)���,盡快健全《礦山安全法實(shí)施條例》�����,并不斷完善《煤炭法》以及《礦產(chǎn)資源法》等相關(guān)的法律法規(guī)�,不僅要在法律法規(guī)中體現(xiàn)安全管理意識(shí),并盡量設(shè)置專(zhuān)門(mén)針對(duì)煤炭行業(yè)安全管理的法規(guī)文件�����,以強(qiáng)化煤炭行業(yè)管理人員以及所有相關(guān)人員對(duì)煤礦安全作業(yè)重要性的認(rèn)識(shí)�。另外,還應(yīng)加強(qiáng)對(duì)違法進(jìn)行煤礦管理人員的懲處力度�����,尤其對(duì)于因安全管理意識(shí)淡薄而造成重大煤礦事故的人員應(yīng)嚴(yán)懲不貸�,以儆效尤。
結(jié)語(yǔ):鑒于當(dāng)前煤礦事故時(shí)有發(fā)生�,為國(guó)家和個(gè)人造成了無(wú)法估量的重大損失,煤炭行業(yè)的安全管理問(wèn)題愈加受到重視�����,應(yīng)認(rèn)清目前煤礦安全管理中存在的主要問(wèn)題�����,并通過(guò)提高相關(guān)人員的思想認(rèn)識(shí),制定合理的安全管理目標(biāo)���,強(qiáng)化安全培訓(xùn)����,充分利用信息技術(shù)���,健全監(jiān)督體系,以及完善相關(guān)法律法規(guī)等措施����,全方位強(qiáng)化安全管理的落實(shí),為煤炭行業(yè)的安全生產(chǎn)和健康發(fā)展提供強(qiáng)有力的保障�。
參考文獻(xiàn):
[1] 張曉東.煤礦安全管理的創(chuàng)新思考[J].現(xiàn)代商貿(mào)工業(yè),2010(19)
[2] 范軍玉.淺談我國(guó)煤炭行業(yè)安全管理問(wèn)題[J].財(cái)經(jīng)界(學(xué)術(shù)版),2011(05)
篇8
[摘 要]隨著網(wǎng)絡(luò)信息技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展,我國(guó)眾多的企業(yè)開(kāi)始進(jìn)行信息化建設(shè)��,以提高企業(yè)運(yùn)營(yíng)管理的質(zhì)量和水平����。基于此��,本文主要對(duì)我國(guó)企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問(wèn)題�、解決的方法進(jìn)行論述����,以提高企業(yè)信息化的建設(shè)��。
[關(guān)鍵詞]企業(yè)���;信息化建設(shè)���;網(wǎng)絡(luò)安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中圖分類(lèi)號(hào)]F270.7 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2017)10-00-01
0 引 言
在互聯(lián)網(wǎng)時(shí)代,企業(yè)應(yīng)用網(wǎng)絡(luò)信息技術(shù)和計(jì)算機(jī)技術(shù)�,逐步建立了網(wǎng)絡(luò)信息化平臺(tái),以對(duì)海量信息數(shù)據(jù)進(jìn)行有效收集��,為企業(yè)的運(yùn)行和發(fā)展提供有效依據(jù)�。但是企業(yè)在信息化建設(shè)中還存在一些問(wèn)題,其中一個(gè)嚴(yán)重的問(wèn)題就是��,企業(yè)信息數(shù)據(jù)容易遭受到網(wǎng)絡(luò)攻擊或竊取����,即網(wǎng)絡(luò)安全問(wèn)題。這些問(wèn)題的存在�,非常不利于企業(yè)的信息化建設(shè),不利于企業(yè)的進(jìn)一步發(fā)展���。因此���,相關(guān)人員需要對(duì)企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問(wèn)題以及解決方法進(jìn)行研究和分析�,以全面提高企業(yè)信息化建設(shè)的質(zhì)量和水平�����,更好地推進(jìn)企業(yè)的進(jìn)步與發(fā)展���。
1 企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問(wèn)題
1.1 外部因素
時(shí)代的發(fā)展和社會(huì)的進(jìn)步使網(wǎng)絡(luò)信息安全問(wèn)題日益嚴(yán)重���。例如����,企業(yè)在進(jìn)行市場(chǎng)競(jìng)爭(zhēng)時(shí),需要獲得大量準(zhǔn)確的信息并保證其安全�,但一些不法分子應(yīng)用網(wǎng)絡(luò)攻擊和非法鏈接等方式@取企業(yè)內(nèi)部大量信息,并將此類(lèi)信息在市場(chǎng)中出售牟利���,這種情況的出現(xiàn)加劇了企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題的程度��。
1.2 內(nèi)部因素
企業(yè)在信息化的建設(shè)過(guò)程中���,沒(méi)有對(duì)自身的網(wǎng)絡(luò)信息安全問(wèn)題給予足夠的重視�����,因此����,沒(méi)有采用高質(zhì)量的信息安全管理模式����,進(jìn)行有效的網(wǎng)絡(luò)信息防護(hù),使網(wǎng)絡(luò)黑客應(yīng)用網(wǎng)絡(luò)病毒和信息竊取手段���,輕易獲取企業(yè)內(nèi)部的各種信息數(shù)據(jù)�。同時(shí)��,企業(yè)內(nèi)部工作人員也沒(méi)有受過(guò)良好的網(wǎng)絡(luò)信息安全培訓(xùn)����,在應(yīng)用中存在操作不規(guī)范等問(wèn)題,導(dǎo)致企業(yè)的信息安全受到嚴(yán)重威脅���。
2 提高企業(yè)網(wǎng)絡(luò)安全管理水平的方法
2.1 加強(qiáng)企業(yè)信息化系統(tǒng)的管理
企業(yè)需要在信息化建設(shè)中加強(qiáng)對(duì)信息化系統(tǒng)的管理質(zhì)量和水平��,提升企業(yè)網(wǎng)絡(luò)安全管理的效率����。具體來(lái)講,首先�,企業(yè)需要樹(shù)立起網(wǎng)絡(luò)安全管理的意識(shí),對(duì)工作中存在的網(wǎng)絡(luò)安全問(wèn)題及時(shí)處理����,建立完備的網(wǎng)絡(luò)安全管理平臺(tái),對(duì)企業(yè)運(yùn)行發(fā)展中的重要信息數(shù)據(jù)進(jìn)行集中性保存��。其次��,定期對(duì)企業(yè)員工開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)工作��,提升員工信息化系統(tǒng)規(guī)范操作的能力���,對(duì)重要信息進(jìn)行加密處理,并做好多重備份工作���。最后���,企業(yè)員工應(yīng)定期使用網(wǎng)絡(luò)安全軟件對(duì)操作環(huán)境進(jìn)行檢查�,有效處理和抵御各類(lèi)網(wǎng)絡(luò)病毒的攻擊和入侵��。
2.2 應(yīng)用有效的數(shù)據(jù)信息加密技術(shù)
企業(yè)需要應(yīng)用有效的數(shù)據(jù)加密技術(shù)���,提升網(wǎng)絡(luò)信息管理質(zhì)量和水平�����,保障網(wǎng)絡(luò)信息的安全��,更好的開(kāi)展企業(yè)信息化建設(shè)工作���,為企業(yè)的進(jìn)步和發(fā)展打好基礎(chǔ)。第一���,企業(yè)需要有效的應(yīng)用鏈路加密��、節(jié)點(diǎn)加密��、端對(duì)端加密等多種技術(shù)����,提高企業(yè)網(wǎng)絡(luò)信息加密的強(qiáng)度,為重要的業(yè)務(wù)數(shù)據(jù)和信息做好保護(hù)���。第二��,企業(yè)需要在應(yīng)用網(wǎng)絡(luò)信息數(shù)據(jù)加密技術(shù)的同時(shí)����,對(duì)重要數(shù)據(jù)信息進(jìn)行切實(shí)有效的存儲(chǔ)���,使其具有完整性�����,為提升企業(yè)數(shù)據(jù)信息安全水平打好基礎(chǔ)�。
2.3 部署高質(zhì)量的安全防護(hù)軟件
企業(yè)需要合理應(yīng)用各類(lèi)的防護(hù)軟件����,提升自身網(wǎng)絡(luò)信息安全的強(qiáng)度。例如現(xiàn)在已經(jīng)普遍應(yīng)用的360安全衛(wèi)士�、騰訊電腦管家、金山毒霸等�����,合理應(yīng)用可以提高企業(yè)整個(gè)網(wǎng)絡(luò)信息安全管理的質(zhì)量�����,同時(shí)對(duì)外部的非法鏈接進(jìn)行有效抵制��,對(duì)網(wǎng)絡(luò)病毒攻擊和入侵進(jìn)行有效預(yù)防����。
2.4 設(shè)置必要的安全管理權(quán)限
企業(yè)需要依據(jù)自身的需求,建立嚴(yán)密���、分層的安全管理權(quán)限系統(tǒng)��,對(duì)登錄到系統(tǒng)中的用戶(hù)進(jìn)行嚴(yán)格的管理權(quán)限設(shè)定�。通過(guò)這種方式����,使操作系統(tǒng)或應(yīng)用系統(tǒng)的用戶(hù),需要掌握不同的權(quán)限密碼才能進(jìn)行不同權(quán)限的操作��、進(jìn)行數(shù)據(jù)信息的獲得�,然后進(jìn)行這些數(shù)據(jù)信息的應(yīng)用。
2.5 配置防火墻和訪問(wèn)控制模式
企業(yè)在信息化建設(shè)中需建立高效的防火墻系統(tǒng)���,設(shè)置專(zhuān)業(yè)化訪問(wèn)控制模式����,提升網(wǎng)絡(luò)信息安全能力,有效抵御各種網(wǎng)絡(luò)風(fēng)險(xiǎn)�����,保障企業(yè)的內(nèi)部網(wǎng)絡(luò)安全���。
2.6 信息隱藏模式的有效應(yīng)用
企業(yè)可以有效應(yīng)用信息隱藏技術(shù)�����,提高網(wǎng)絡(luò)信息安全質(zhì)量和水平��,保障信息及數(shù)據(jù)安全�����。例如����,采用高效的編碼修改方法進(jìn)行數(shù)據(jù)嵌入�����,如矩陣編碼����,其可減少修改幅度;擴(kuò)頻嵌入��,其使編碼更加專(zhuān)業(yè)化�、高級(jí)化、復(fù)雜化���,很難進(jìn)行破譯����,降低密文信號(hào)的能量����,使其不易被檢測(cè)到,增強(qiáng)信息的安全性和保密性��。這些模式有利于企業(yè)對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行有效抵御���,保障企業(yè)信息化建設(shè)的穩(wěn)定性和安全性�����,實(shí)現(xiàn)企業(yè)應(yīng)有的經(jīng)濟(jì)效益和社會(huì)價(jià)值����。
3 結(jié) 語(yǔ)
對(duì)企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全管理問(wèn)題進(jìn)行分析,有利于企業(yè)應(yīng)用各種有效的方法���,提高企業(yè)網(wǎng)絡(luò)安全管理的質(zhì)量和水平�����,保障企業(yè)網(wǎng)絡(luò)和信息管理的安全性���,最終為企業(yè)實(shí)現(xiàn)良好的信息化建設(shè)做出重要貢獻(xiàn)。
主要參考文獻(xiàn)
[1]程華.對(duì)企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全管理問(wèn)題探討[J].民營(yíng)科技��,2016(1).
[2]李永湘.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問(wèn)題研究[J].科技資訊����,2016(8).
