时间:2022-11-16 06:48:40
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇银行安全总结范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1、坚持学习教育活动。每月二次以上召开保卫人员时事政治教育,先进人物事迹教育,增强他们政治素质和思想觉悟;及时通报有关金融案件案例,开展安全分析会,增强保卫人员的忧患意识和防范意识。
2、经常性开展谈心交心活动。平时细心观察,掌握保卫人员的思想动态,了解他们工作中的优缺点。通过针对性谈心交心工作,稳定他们的思想,帮助解决他们的困难,及时纠正工作中存在的不足之处。
3、开展多形式的思想教育活动。结合党风廉政建设和文明创建活动,努力引导保卫人员树立正确的职业价值观和奉献的精神,提高工作积极性;树立正确的职业责任感和吃苦耐劳精神,提高工作质量;树立正确的职业风险意识,提高遵章守纪的自觉性。
4、开展保卫业务技能的培训活动。今年培训的主要内容有计算机文字录入、监控系统操作、消防技能训练和演练以及守库应急处置预案演练等活动。通过多形式的培训、演练活动,夯实基础,提升安全保卫队伍的综合管理水平和实战能力。同时还组织保卫人员参加市中支保卫科举办的实弹射击比赛和“应知应会”理论知识竞赛活动,取得了全辖区团体第二名的好成绩。
二、 加强内部管理,落实各项规章制度
1、完善内部制度和应急预案建设。按照保卫工作的实际,对安全保卫工作的部分规章制度和应急预案进行了完善和修订;制订岗位工作责任表,制作安全保卫工作流程。按照内控制度规定,科学合理地设置岗位,签订岗位目标责任书,明确岗位职责。今年还修改完善了保卫人员及经护队员一日值班主要工作简要流程,使每人对各自工作的要求、目标、责任有一个更明确的了解;并认真做好安全保卫工作的电子台帐,规范工作底稿,进一步完善了保卫工作台帐档案。
2、严格守库值班制度。严格实行监控值班室24小时不间断武装值班制度;明确保卫值班人员和招聘经护队员二者职责,做到相互配合、相互监督,共同做好安全保卫工作。分管行长每月对保卫值班进行查岗,保卫负责人每周对保卫值班进行查岗。
3、强化枪弹管理。严格执行《中国人民银行××××管理规定》和《中国人民银行杭州中心支行××××管理实施细则》,完善和落实××××的使用、交接、保养等重要环节及操作流程,坚持双人管枪、枪弹分存、四人单向交接。并认真审查持枪人员的资格条件,严禁不符合条件人员持枪执行发行库守卫工作,杜绝涉枪案件和事故的发生。
4、加强安全检查,狠抓制度落实。今年共组织开展12次全行性的安全检查,对检查中发现的安全隐患及时整改;同时,加强消防安全工作,划分责任区,确定责任人,今年对支行大楼的线路进行重新整理,该换的电器设备及电线全部予以更换,确保支行用电安全;并每月进行消防设施检查,强化消防意识,确保消防安全。
5、进一步规范“出入证”(长期证、专用证、临时证)管理。按照《中国人民银行人民币发行库管理办法》要求,规范“出入证”审批、发放;严格“出入证”的使用登记。
6、加强出入库安全管理。我行因客观条件限制,库区内未能达到“三隔离”的要求。为确保安全,推出“硬件不行,软件补”的方计,加强安全管理,规定在出入库钱捆装卸期间,关闭库区大院铁拉门,禁止人员车辆出入,保证出入库期间安全。
7、规范监控操作。加强电视监控系统的管理,严格执行有关规定,定期维护,及时维修。如监控系统发生故障,要求温州汇昌公司必须半天内派技术员来行进行维修,重大故障必须2小时以内到行。重大节假日前要求温州汇昌公司派技术员来行进行测试,保证监控系统正常运行。
三、加强综治工作,创建平安支行
1、层层签订安全目标管理责任书。年初根据和上级行签订的“综治”、“三防一保”目标管理责任书基础上,结合我行工作实际情况,针对各股室不同工作特点,分别和各股室签订“三防一保”、“创安”、“综治”工作目标管理责任书。
根据上级行关于银行业金融机构安全评估工作要求,我行领导高度重视此项工作,积极传达文件精神,组织员工认真学习评估工作有关文件,领会其精神实质,教育全体员工提高对此项工作的认识。并召开多次专题会议,讨论部署本行的安全评估工作,成立了以行长为组长、分管领导为副组长的安全评估工作领导组,积极开展安全评估工作。
二、健全工作机构,理顺工作关系是安全评估工作顺利完成的保障。
为确保安全评估各项准备工作的顺利进行,支行成立了以行长为组长、分管领导为副组长、专职保卫干部和部门负责人为成员的安全评估领导组指导全行的安全评估工作,明确各自的工作职责。同时成立了以分管领导为组长、会计主管和专职保卫干部为副组长的安全评估工作小组,具体负责落实安全评估的各项工作事项。健全的工作机构,为安全评估准备工作提供了组织上的保障。
为确保本次“安全生产月”活动有效开展,2020年 x月X日,XX安全保卫部转发省联社传达了《关于开展“安全生产月”活动和2020年上半年安全检查工作的通知》,部署了我行“安全生产月”活动的内容和时间,要求各部门和各网点负责人高度重视此项工作,广泛发动全体干部职工,积极参与“安全生产月”活动,努力提高全行员工的安全生产意识和安全操作水平。
二、 广泛宣传,注重实效
宣传活动当月,一是线上通过微信公众号开展“安全生产大家谈”、“微课堂”等活动,二是线下通过各营业网点宣传展板和厅堂摆放宣传折页,,三是在营业网点设置宣传咨询台,向过往群众和员工宣传安全生产知识,以“消除事故隐患,筑牢安全防线”为主题组织开展安全生产知识宣传活动,向员工和社会公众普及安全生产知识,积极营造全员关心安全生产,参与安全发展的浓厚氛围。
三、 开展安全教育,提高员工的安全意识
6月15日晚,我网点开展了本单位安全检查自查会,部署了6月份安全检查自查工作内容,共同学习了消防安全知识,使员工学会如何正确使用消防器材,火灾发生时疏散和逃生的要领等等。
四、 开展应急预案演练,提高防范应急能力
“安全生产月”活动期间,网点开展了安全教育、防火、防盗、防抢劫、防诈骗等应急预案的演练工作,通过应急预案的演练,进一步检验和完善了应急预案,提高了员工的防范技能和应急处置能力,起到了预期效果。
五、 开展安全检查,加强安全管理。
“安全生产月”活动期间,XX纪委主任XX和安全保卫部主任深入我网点,对、营业场所安防设施和消防器材的配备及使用运行情况进行了认真检查,对检查中发现的安全隐患要求及时进行整改,排除了隐患,确保了安全生产无事故。
在支行领导的支持下,保卫人员建立了监控设施管理档案、消防档案和识别假身份证管理档案等25类档案,为日常安全保卫工作的持续管理奠定了基础。
2、积极主动配合大堂服务
当大堂客户多时,大堂经理手忙脚乱,我们就会主动帮助大堂经理,并礼貌用语引导客户;比如:帮客户排号,去自助区帮客户取钱,帮柜员评号等服务等,得到了客户的好评。
3、加强全员安全防范意识教育和技能培训
今年以来,我行把重视和加强对员工的安全教育,全面提高防范意识,增强防范技能,作为安全防范工作的基础来抓,始终坚持“防范胜于治理”的原则,加强安全教育。主要对员工进行案例教育,组织员工熟悉“四防预案”,针对今年来银行案件日趋频繁的严峻局面,我们及时整理相关案例和分行下发的各种文件通报通知,认真组织员工学习进行案例剖析,针对我行自身的防范工作查找隐患,完善防范措施,全年进行消防培训3次。
加强对前台网点的防范技能教育,主要侧重学习相关规章制度和基本防范技能,掌握正确的操作程序以及发生紧急情况的应急措施,各种自卫武器报警设备监控装置消防器材的操作使用等。每季度举行应急演练1次,使员工熟练地掌握了突发性事件及遇险的应急方法,有效地提高了全员安全防范的能力。
一、完善安全防范设施建设,确保安全保障功能
监控设施的陈旧、老化,多年来一直困扰着我行,今年根据*行的安排,我行顺利地完成了对监控系统的改造,使监控系统符合了安全防范的要求,增强了技术防范能力。
同时对*楼的边门进行了维修改造,我行*楼的侧边门管理一直不是很好,进出人员比较多,为了更好地加强边门的安全检查防范,营业部专门召开会议研究了此事,要求综合办公室对边门进行改造,通过改造规范了侧边门的进出人员,确保了外来人员无法通过侧边门进入我行主楼,确保了大楼的安全。
二、加强职工的安全防范教育,增强员工防范意识
坚持抓职工的安全防范教育,不断的完善规章制度,强化制度的落实,是预防案件消灭隐患,确保银行安全的重要因素之一,使我行的内控外防机制更趋完善,提高了全员防范意识。任何管理工作首先是人的工作,人的工作的核心是思想教育,保卫工作更不能例外。当前保卫工作面临的形势愈加严峻,做好职工的防范教育已成为保卫工作的重要课题。防范教育搞好了员工的防范意思就能得到提高,就可以在日常安全防范工作中筑起一道牢固的屏障。所以我们始终把防范教育工作摆在安全保卫工作的重要位置。
领导抓、层层抓,确定从领导抓起,一级抓一级,形成层层抓防范教育的工作格局。一是增强领导自身的防范意识,我行领导坚持以身作则,牢固树立“安全第一”的防范思想,把安全防范教育工作纳入重要议事日程,利用各种场合开展防范教育工作,大会小会讲安全,定期召开安全工作会议,研究布置安全防范工作,定期组织一线员工学习案件简报及案件通报的同时,通过具体案例剖析,用活生生血的教训教育广大员工、并对照自查。每逢节假日都亲自检查节日安全防范工作,按时到网点进行安全检查,对安全检查存在的问题,责成办公室立即处理,做到了快报快办。
上半年我们组织员工观看消防知识教育光盘,印发了火灾逃生自救的知识材料,针对每年搞消防演练实际参与的人员少,不能全员参加的情况,保卫人员深入到各部室详细讲解消防器材的使用方法及发生火灾后的处理方法,使员工得到教育和培训,增强了员工的安全防范意识。
三、规范安全检查工作,完善规章制度
对安全保卫工作,安全检查是关健,只有加强检查的力度,才能发现问题,只有发现了问题才能有针对性地加以解决。我行严格执行上级行的要求去做,坚持网点每日检查,领导保卫部门每月检查,对检查中存在的问题积极督促整改、跟踪监督,把隐患消灭在萌芽中。为规范我们的安全检查制度,我行加强了对营业网点侧门的验“证”管理,实行“三证齐全,领导和保卫人员陪同”的检查制度,使安全检查更加规范化。
我行领导重视安全保卫和案件防范工作,真正做到了领导重视责任到人,年初我行就组织各部(室)、各专业签订了《安全防范责任书》,制定了《***安全保卫工作制度》。同时还结合“第二期扫雷工程”和内控检查,对储蓄网点进行明查暗访,对要害岗位人员做到经常定期轮换,对现实表现实行考核建立档案,并对网点门钥匙及权限卡进行严格管理和检查。我行加强值班工作,常抓不懈,每逢节假日及各项测试时间,领导亲自布置,亲自组织测试,带头值班,同时还要求保卫人员做好安全保障工作。
四、存在问题
(一)、少数员工防范意识差,有麻痹思想,执行制度和规定不够严格;
(二)、上报的材料有时不够及时;
(三)、由于经费的关系,不能保证每台微机配置一个灭火器.
童瀛遇到的最新的网络犯罪方法是利用微信红包赌博,最新的应用是阿里的花呗,通过大量盗取支付宝用户账户,帮助该账户提升信用,再利用信用恶意套取现金。
网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而,网络犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例,一般盗窃案涉案的金额主要是现金,最多达到几十万、几百万元的水平。而童瀛近期遇到的2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。
DDoS攻击(分布式拒绝服务攻击)是比较常见的网络犯罪攻击方式。据统计,大约有50%的在线游戏公司和700A的商业公司遭受过DDoS攻击;政府部门的情况更为严重,80%都曾遭受过DDoS攻击。
童瀛指出,DDoS攻击一般分为3个阶段。第一阶段是僵尸网络,第二阶段是反射攻击,第三阶段是智能、物联网设备。1998年,DDoS攻击主要来源于技术炫耀者;2003年,进入黑吃黑阶段;2008年,DDoS攻击组织开始统一市场,向上发展,公安部还曾组织专项打击行动;2010年以来,DDoS攻击呈现全面蔓延的态势。
童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。2014年11月,南通市多家网吧遭受DDoS攻击,就是敲诈性勒索。今年3月,苏州蜗牛公司遭遇的DDoS攻击,则是恶意报复。
童瀛表示,作为黑客有高额金钱回报、网络犯罪成本低的特性,很容易导致网络犯罪。然而,网络犯罪所需要受到的法律制裁后果也很严重。据了解,目前,我国法律所界定的网络犯罪主要有3种,包括非法侵入计算机系统罪、破坏计算机信息系统罪、利用计算机网络实施的犯罪(例如网络传销等)。
一般情况下,只要利用网络违法所得的金额在5000元、瘫痪1万名网络用户1个小时以上的时间、非法控制了20台以上的电脑,公安部门就可以立案。 而按照我国刑法286条第1款的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
因此,童瀛建议,网安人员在网络安全的道路上不要走偏,不要陷入犯罪的漩涡;中小企业要健全应急响应机制,尽可能多留存日志,如果遭受攻击,最好的应对方法是报警;涉网单位要尽量提高自身的安全;普通网民尽量不要上非法网站,并从官方网站下载相应软件。如何保证P2P金融安全
自从余额宝推出之后,各个“宝宝”都开始涌现,金融行业在互联网上得到了迅速的发展,开启了互联网金融时代。其中,P2P金融作为把投资者、借贷者拉在一起的平台和渠道,由于其15%左右的平均投资回报率受众多投资者追捧。 然而,作为创新的互联网+模式,P2P金融也面临着双重的常见风险,既有来自互联网的风险,也有来自金融业的风险。“白帽子大会”上,万达电商安全主任工程师林鹏深度解析了如何保证P2P金融安全。
NSTRT团队收集了在2014年互联网金融行业中的134份安全漏洞报告,其中来自业务设计缺陷的漏洞占主要比例,达到27%。而P2P的业务流程,一般包括注册、绑卡、充值、购买理财、回收资金等步骤。 在注册环节,羊毛党撸羊毛(活跃在各P2P平台上,专门参加注册送积分、返现等优惠活动,以此赚取小额奖励)是一个普遍存在的现象。有时候,羊毛党还会和银行、平台内外勾结,圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。
“目前已经形成了羊毛党团体,内部分工明确。其中,家庭妇女和学生居多,基本都是兼职。很多人不知道P2P是什么,只是为赚钱照着做。”林鹏说。 林鹏指出,应对羊毛党的方法是要遏制他们的收入途径。在投资方面,从业务角度防套利,不能让人空手套白狼;利用羊毛党防止被平台反撸的心态,减少羊毛党收益,提高收益门槛;还有人工识别(客服挂电话)、机器识别、大数据应用等。
在绑卡的环节,容易出现用户套现行为。虽然一般都有实名验证身份证号、姓名和银行预留姓名的环节,但小的P2P平台通常是借用公安部接口校验身份证信息,想要骗过这些小平台并不难,因此并没有起到真正实名验证的作用。 林鹏表示,虚对绑卡环节的用户套现,P2P平台要有4要素验证,包括身份证、银行预留手机、姓名和银行卡号,另外还要有小额打款验证。这些内容应该是所有涉及到互联网金融的公司需要去做的。
根据调查,参与P2P业务的以男性为主,年龄在20~40岁之间,晚上18点是用户投资高峰时段,以微信和新浪微博传播方式为主,尤其是微信的比例达到99.4%,股票和基金是这些人最关注的投资品种。林鹏指出,对于P2P平台来说,符合这些条件的基本上可以认定为合法用户,不符合的怀疑为非法用户。
是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括一整套业务流程,从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停滞在编辑资料的环节。
一、由单一市场向全方位市场转变,努力实现路内、路外市场的协调发展。
转变工作重点,坚持营销龙头地位。面对2011年以来严峻的市场形势,七分公司快速转变观念,进一步强化营销工作的龙头地位,将路外市场作为营销工作的重中之重,形成了全体员工立足本职,人人关心营销、人人支持营销的良好局面,为营销工作创造了良好的环境。今年以来,七分公司福建南石、莆永项目在同一业主泉州市交通局相继中标,实现了公司在福建市场滚动发展。两个项目的中标,很大程度上是公司前期在福建泉(州)厦(门)高速公路在建时与业主和地方建立了良好关系的结果,也是公司在福建市场实现以生产促经营,实现良性循环的最好证明。七分公司在山东青龙高速公路项目的中标,是继青岛海湾、青岛地铁之后又一区域营销的成果,再次证明了实力、诚信和业绩是营销的保证。截至2011年6月底,七分公司共承揽工程任务3项,累计价值9.5亿元,营销任务完成量在局各子(分)公司中排名第五。七分公司根据目前的形势,采取切实有力措施,积极介入水利、环保和机场建设的新市场、新领域,提早把握国家水利建设的4万亿建设期,深入细致捕捉水利领域的招标信息,力争实现新突破。
转变营销策略,加速实现营销生产一体化。按照局推行生产营销一体化管理的要求,七分公司按照领导区域分工,负责统一指挥协调分管区域内的营销、生产工作,对区域内项目经理部、办事处实行一体化管理,每月召开区域内的营销生产协调会,彻底解决生产营销“两张皮”问题,适应形势变化和市场需求。公司在原有西安、青岛、新疆、兰州经营性办事处的基础上,增设青海、宁夏、广西、广东办事处。同时加强对各办事处的业绩考核。以有力的奖惩机制,调动激发经营性办事处在推动市场营销中的积极性。此外,七分公司将机关经营部扩充为经营开发中心,在选择优秀员工补充到经营部,加强营销力量的同时,在部门内部启用岗位流程化和业务流程化管理,进一步明确岗位职责,按照工作业务职责编制业务流程,建立工作例会的长效机制。每月召开一次营销工作专题会,针对当月营销工作的开展情况、任务落实情况进行分析、总结、评估,对下月工作再布置、再安排、再要求。投标后,不论是否成功均召开分析会,总结经验,指导、改进后续工作。公司财务部、债权管理部、责任成本中心与经营部联合对接,从财务资金的角度支持和配合营销工作,优先确保投标现款保证金和银行保函资金需求,通过部门的对接,在资金方面加大对营销工作的支持。
重视信用评价工作,加大信用评价奖惩力度。七分公司牢固树立“干好今天的现场,就是明天的市场”的理念,强化干好在建项目推动营销工作的意识,高度重视信用评价工作。公司对《非铁路工程项目质量信用评价管理及奖惩办法》进行了修订,加大了奖励力度。建立了以路外信用评价为主、业主和地方主管部门日常检查为辅的奖惩机制,建立了以在建项目推动滚动发展为目标、以在建项目经理为主责的生产经营一体化奖励机制,建立了收集业主评价反馈制度。公司工程部定期向在建项目业主单位发函,征询对在建项目的正式检查、评价结果和对在建项目经理、书记的评价意见,促进项目的综合进展,推动信用评价工作的稳步提升。七分公司甘青11标经理部(代局指)在2011年上半年兰新铁路甘青公司组织的信用评价中,在全线18个标段中获第三名,为局铁路信用评价做出了积极贡献。公司瓜星经理部在施工环境恶劣、难度大、物资设备、人力资源匮乏的条件下,认真落实各项制度,强化项目管理,在甘肃省公路局召开的局管项目部工作会上被评为“2010年度局管建设项目先进标段”。公司武罐3标、5标、22标三个项目,发挥区域集中、优势互补效应,在抓好施工生产的同时,注重与业主的沟通,树立了良好的信誉和形象,在甘肃路外市场信用评价中获得3个A级资质,有力的促进了甘肃市场的滚动发展。
二、由规模扩张型向质量效益型转变,提高企业发展的质量和效益。
七分公司面对急剧变化的市场形势,困难和机遇并存,客观冷静分析,果断向质量效益型企业发展转变。
捍卫质量,保卫安全,全面夯实质量基础。自2010年以来,七分公司在巩固安全质量管理制度方面严格做到七个坚持:一是坚持内部“曝光台”制度。公司各项目经理和安全总监或安质部长是执行安全质量内部曝光台制度的第一责任人,每天到现场检查违规违章、安全质量隐患,对存在的问题限期整改,对常见的安全质量通病令行禁止,通过负面曝光,提高质量意识。二是坚持隧道、地铁、既有线作业领导干部跟班作业制度。公司监督辖内各项目部做好施工记录,做到可追溯、可分析,加强现场管控力度。三是坚持重大危险源监控报告制度。公司加强对重大危险源的识别,责任到人,实施有效监控,配备专人负责监控量测工作,建立监控台帐,做好动态监控。七分公司将青岛地铁项目部施工区域内的地表建筑物保护特别是12处国家级文物保护,列为重大科研攻关课题,组织召开专家会深入研究,持之以恒跟踪落实保护措施,确保了文物保护的万无一失。同时,公司对高风险项目技术监控、超前地质预报、仰拱衬砌至掌子面距离等关键控制数据,严格执行技术规范“红线”规定,并通过手机信息向公司领导定时通报。四是坚持火工品管理日检查、周通报制度。公司对火工品的采购、运输、入库、点收、保管、发放、监爆、回库等各个环节的记录、台账、安全措施的检查,形成制度化和常态化。五是坚持落实隐蔽工程和搅拌站“旁站”制度。七分公司把“旁站”作为抓安全质量工作的关键环节,杜绝出现安全质量监控空白区和死角,绝不因抢进度而弱化,明确责任人,“旁站”记录翔实,签字及时,对每一个环节,监理、协作队伍负责人和“旁站”记录人全部签字确认,杜绝隐患、规避风险。六是坚持推广“工序工艺安全质量控制卡”制度。公司为每一名管理人员配备控制卡片,操作人员随身携带,施工过程中严格执行,保证所有工序施工质量安全受控。七是坚持优质工程(工序)评选。在2011年领导干部会议期间,公司举办全公司样板工序、工程评选,每类工程(工序)评选出两个优质样板予以奖励,并作为全公司“首件”样板工程,同时作为标准在全公司推广,以推动全公司工程质量上水平、上档次、出精品。
开源节流,挖潜增效,提高公司经济运行现状。七分公司通过各项措施,努力改善公司目前的经济运行状况,在全公司上下牢固树立过“紧”日子思想,杜绝大手大脚、铺张浪费,齐心协力,抓住“忙”的要点,深化核算管理,加大成本管控力度,开源节流,在现有生产经营规模的条件下确保企业经济效益。公司坚持和深化经济活动分析制度,对各单位验工收入、责任成本执行情况、项目毛利率、现款上缴完成比例、资金集中度、员工收入等主要指标进行格式化的横向对比,查漏补缺。对存在的问题,公司所属各单位主要领导要向公司解释原因,提出解决办法,对亏损项目进行专项预防和治理,按照“亏损原因不清楚不放过、没有实现减亏目标不放过、亏损责任人没有处理不放过”的“三不放过”原则,采取切实措施控制项目经费支出和责任追究。机关职能部门对其进行专项督察,限定整改期限、落实整改措施,并将整改效果予以通报。2010年以来,七分公司先后出台《商业汇票结算管理办法》、《进一步加强现款保证金和银行函证管理办法》、《商业保险集中管理办法》等文件,通过群策群力,集思广益,资金管理工作取得了一定成效,一定程度上缓解了公司资金压力。公司采取严肃项目现款上缴纪律;上缴方式由集中缴纳改为分月缴纳,财务部每月下达上交款计划,次月通报完成情况;问责机制等措施,加强资金集中管理工作。截至2011年6月底,公司整体资金集中度在85%以上,取得了长足进步。七分公司充分发挥通过商业汇票支付方式缓解公司资金压力的杠杆作用,加大在建项目推广并规范采用商业汇票方式(项目缴纳100%保证金)延期支付款项。截至2011年6月底,公司办理了10251万元银行承兑汇票票据,保证金账户存款8667万元,保证金比例达85%,确保到期兑付。七分公司将应收款和已完工未结算的清欠工作作为提高企业效益的一个重要方面。由债权管理部牵头,项目经理为“双清”工作第一责任人,明确清收时限,强力推行清欠工作目标管理、责任管理和动态管理。认真评估业主资金状况,敦促业主及时支付各种预付款、完整计取验工计量款、足额计取风险包干费、最大限度地收取工程欠款,在各节点上不留遗憾、环环紧扣,使各种未清欠的应收账款降到最低。公司在2011年上半年重点对现款保证金、银行保函等进行了彻底清理、清欠,取得了较大成效。截至6月底,共收回各类欠款7829.6万元。
三、由劳动密集型向管理密集型转变,全面加强企业管理。
2010年以来,七分公司从施工生产管理、物资管理、协作队伍结算与成本控制等多方面多举措强化管理,总结出了一套较为有效的管理方法,促进了企业由劳动密集型向管理密集型转变。
加强施工生产组织及计划管理。一是实行公司领导区域管理。七分公司进一步落实责任,加强项目管理力度,协助项目解决施工生产中存在的问题,保证各在建项目施工生产正常化,确保工程安全质量可控。二是以节点目标责任书推动施工进度。公司主要领导、分管领导深入现场,以召开专题推进会形式,制定节点目标责任书,明确时间、责任人,推动了现场施工进度和管理,2011年以来共召开现场专题会议19次,三是抓好新中标项目施工调查。在新中标项目开工前,公司组成施工调查小组深入现场详细调查,编制调查报告,对项目临时工程进行规划,形成施工调查报告,确保经理部进场后能尽快组织施工生产,为项目管理奠定了良好基础。四是强化调度系统管理职能。公司推行各在建项目日完成产值通报制度,每天由调度以短信形式通报各在建项目日完成产值情况,将短信发送给公司领导、所有在建项目经理。对于重、难点项目的关键工序,项目经理每天必须给公司领导发专题手机信息。这样做一方面让公司能准确了解现场进度,另一方面督促项目经理多深入工地,多关注工地,较好的促进了施工生产。五是公司每周在内部网站对各单位日完成产值进行通报,以此督促各在建项目按日分解任务、按日推进施工进度。六是建立了月度计划未完成项目回公司交班制度。公司要求当月排名最后两名的项目部党政主要领导回公司交班,说明未完成原因,并视情况予以处罚。同时,公司会同生产部门和项目主要成员召开专题办公会,针对落后项目现状,梳理产值计划,明晰节点工期,采取强力推进措施。
2海外铁路工程安全标准化实施的重要性
对于承包海外工程项目的企业,工程所在国的业主对于安全管理特别严格,特别是铁路工程项目,都是政府项目,中国企业在海外工程项目实施过程中一旦发生安全事故,不仅仅是人身伤害或者设备损坏,严重的将影响中国企业公司形象。笔者参与的印度铁路项目为印度政府向世界银行贷款投资建设,世界银行全程监控项目执行过程,一旦发生恶性安全事故,企业被列入“黑名单”,恐怕企业在世界银行投资的项目和印度将再无立足之地,特别严重的还可能造成恶劣的政治和外交影响。这就对海外工程项目的安全管理提出更加严峻的考验。
3实施海外项目安全标准化管理的具体内容
项目部要成为安全生产的责任主体,必须形成“层层负责、事事负责、人人负责”的良好局面,实施安全生产标准化所遵循的原则是“管理制度标准化、人员配备标准化、现场管理标准化和过程控制标准化”,通过以上原则,安全责任有了牢固的基石,使安全标准化得到有力的保障。3.1管理制度标准化没有规矩不成方圆。一个项目健全、适用、科学的安全管理制度,是全体项目成员必须遵守的行为准则,其宗旨是全体项目成员的生命安全和企业的财产安全。“规范作业人员的行为安全”一直是项目安全管理工作的重中之重。唯有如此,项目安全生产工作才从职工的行为上得到控制,这也是安全标准化的具体表现。项目部根据印度铁路行业有关建设管理的法律法规文件和项目合同,结合项目实际情况,编制安全标准化管理制度。制度需明确安全管理目标,组织机构,危险源管理、安全方案、应急管理方案,明确工作要求,细化工作流程,落实人员责任,完善考核制度。编制制度至少包括:安全风险辨识、安全风险评估、重大危险源管理、应急预案和汇报制度等。3.2人员配备标准化。开展安全生产标准化工作涉及到项目全体成员、全过程和全方位,因此,只有项目主要领导高度重视,才能在人、财、物等方面给予支持和投入,以保证安全目标的实现。建立并落实全员安全生产责任制,实现对项目部和分包商的制约功能、监督功能和检查评价功能,落实“管生产必须管安全”的原则,明确各级管理人员、各部门、各个分包商、各个现场施工队的管理职责。人员配备标准化要求根据项目工作岗位配备具有相应技能、能力、知识和沟通协调能力的人员,工作人员素质能力满足岗位要求。确保项目现场成员接受过安全入场培训,培训内容至少包括:当地安全法律法规、项目的安全方针目标、现场工作环境介绍、安全防护用品的佩戴使用、工作期间可能遇到的危险源、应急计划、现场福利设施等内容。项目部组织开展安全宣传周,安全知识竞赛,安全讨论会,张贴安全海报等方式提高项目成员安全意识。3.3现场管理标准化。将安全管理制度发放给全体项目成员和全体分包商,使参与项目建设的人员熟悉制度,自觉执行制度。同时加强对管理制度执行情况的监督,将制度执行情况纳入考核范围,建立定人、定期、定岗、定责、定点的检查制度,检查方式应包括:常规检查、专项检查、突击检查等。对制度进行定期评估,使制度和实际情况紧密结合,避免“两张皮”情况发生。3.4过程控制标准化。过程控制标准化将现场标准化管理贯穿整个项目过程,将标准化对项目实施全过程管理。为提高项目成员安全风险意识和应急能力,以预案、培训、演练为主线。针对办公场所、施工场所和料库等开展防火安全隐患重点场所,组织消防应急演练和防汛应急演练;对施工现场防高空坠落应急演练;对宿舍区开展消防、食物中毒等进行专项应急演练。每月召开由业主、监理公司、承包商、分包商和其他相关方参与的安全委员会会议,会议议题至少包括:上月现场安全总体情况、上月安全检查情况、上月事故状况、审核发现问题的关闭情况,下月安全工作计划等内容。对分包商开展月度安全评级,由业主代表、监理公司代表和承包商代表组织检查组依据提前编制月度安全检查方案对项目工程现场进行安全检查,要求必须覆盖全部分包商和高风险作业,根据检查情况,对分包商进行打分和评定等级,作为月度安委会的输入资料,通过月度安全等级评分制度,可以帮助分包商提高遵守法律法规、合同中安全条款的程度。为控制医疗卫生、职业环境、传染病等职业健康风险,通过采取重点部位监测,职业危害告知、个人劳动防护等措施,切实履行职业健康的防范工作,有效保护员工身心健康。开展如下工作:1)职业健康体检:项目部应组织所有入职员工(需含外籍员工)进行入职体检。2)与项目成员签订合同时,应将项目实施中可能产生的职业危害及其后果和防护措施如实告知项目成员,并在劳动合同中明确。3)对工程作业现场尘毒、噪声、化学危害、高低温伤害、辐射伤害等应有防护措施,设置标识,配备防护用品,并留存防护用品发放记录。4)应配足、配好劳保规定的劳动防护用品。5)项目部应建立员工突出疾病或突发疫情时的应急处置机制;项目部应了解当地常见疾病及其预防措施,密切关注所在国疫情发展,采取必要预防措施,按规定做好疫情的报告。6)施工现场设置工人休息帐篷和饮用水,监控温度指数情况并及时预警提示施工人员避免发生中暑、晒伤等情况。由于语言、文化和习俗等方面的差异,项目所在国籍劳务人员安全意识淡薄,风险意识缺乏、管理难度较大,需完善项目所在国籍劳务人员的招聘、培训、考核和解聘等管理工作。聘用当地施工管理人员和安全员,这样可以提高沟通效率,及时化解矛盾,减小和规避潜在的工程安全风险。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
他们坦然面对记者说出了这背后的故事。
国税总局在风险评估实践中总结出的差距分析法
有句话是这么说的:道路是什么,道路是人在没有路的地方用脚踩出来的。
人生的道路是这样,信息安全之路也是这样。当安全威胁成为信息化进程最大阻碍的时候,如何踩出一条网络信息安全之路,就成为政府主管部门思考的问题。
2006年,为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件),形成与国际标准相衔接的中国特色的信息安全标准体系,以更好应对未来日益严峻的信息安全威胁,国务院信息化工作办公室会同相关部门,组织了三项信息安全试点,包括:电子政务信息安全试点、信息安全风险评估试点、信息安全管理标准应用试点。总共有三十余家试点单位参加了相关试点工作。
因为涉及国家信息安全未来标准和技术道路的探索,所有的试点单位一直都仿佛蒙上一层神秘的面纱。这些探索者究竟做了一些什么工作?它们的先行又为我国信息安全事业踏出什么样的实践之路?近日,在国信办召开的全国地方信息安全处长会议间歇,记者走近本次试点工作六个优秀试点单位代表,揭开了一直罩在这些试点单位头上那层神秘的面纱,看到了他们的努力和汗水,以及试点工作探*索出来的宝贵经验。政务驰入安全互联网模式
试点方向:电子政务信息安全
访谈人物:河南省济源市信息办副主任焦依平
电子政务是国家信息化的重中之重,而信息安全又是电子政务顺利完成的重中之重。
为贯彻落实中办发27号文件精神,研究解决电子政务信息安全建设和管理中的一些共性问题,探索电子政务信息安全保障方法,国信办会同国家保密局、国家密码管理局、公安部十一局,从2005年10月开始,在广东、河南、天津、重庆4个省市开展了电子政务信息安全试点。
这4个试点具体方向各有不同,其中河南济源市探索的方向是如何基于互联网开展电子政务建设、保障信息安全问题。“我们按照‘保安全,促应用’的思路,构建了基于互联网的电子政务信息安全保障体系,探索出了一条低成本建设电子政务的新路子。”焦依平现在谈起试点,依然抑制不住激动的心情。
焦依平介绍说,济源市通信光纤现已覆盖到村,政务部门全部接入了互联网,但是统计下来,济源市政务信息中部分总量不超过3%。如果仅为了3%的信息传递投入巨资建专网,显然投入和效益不能平衡,这也与电子政务建设的初衷相违背。为此,济源市按照国信办和河南省信息办的要求,不拉专线,完全基于互联网,开展电子政务建设。
济源市试点系统建设内容包括以下几项:一是基于互联网建设连接全市所有党政部门和乡镇的电子政务网络;二是在互联网上建设政务办公、项目审批管理、12345便民热线、新农村信息服务等4个应用系统;三是在进行网络和应用系统建设的同时开展信息安全试点,建设基于互联网电子政务信息安全支撑平台。
那么,如何真正用技术实现政务网络互联网办公的安全需求呢?焦依平介绍说,试点工程遵循信息安全系统工程思想,按照“适度安全,促进应用,综合防范”的原则和等级保护的要求,采用集成创新的技术路线,综合运用以密码为核心的信息安全技术,合理配置信息安全保密设备和安全策略,建设一个技术先进、安全可靠的基于互联网的电子政务信息安全支撑平台,形成一体化的分级防护安全保障体系,为电子政务提供可靠、有效的安全保障。
从安全技术实现上,据焦依平介绍,济源市试点工程的安全支撑平台涉及网络安全和应用安全两部分,本次试点网络安全系统共建设7个安全子系统:一是VPN系统,由VPN密码机、VPN客户端和VPN管理系统组成,共同完成域间安全互联、移动安全接入、用户接入控制与网络边界安全等功能,其中中心机房的VPN密码机带有防火墙功能;二是统一身份认证与授权管理系统,完成用户统一身份认证、授权管理等功能;三是网络防病毒系统,部署于安全服务区,完成网络防病毒功能;四是网页防篡改系统,部署于政府网站,提供网站立即恢复的手段和功能;五是入侵检测系统,部署于中心交换机,对网络入侵事件进行主动防御;六是网络审计系统部署于中心交换机,对网络事件进行记录,方便事后追踪;七是桌面安全防护系统,部署在用户终端,提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护。
对于目前试点效果,焦依平认为,从实际效果来说,一是低成本建设了安全的政务网络,实际投入620万元,比原计划专网方式预算总投资节约48.3%;二是实现了安全政务办公和可信政务服务,全市各部门已100%实现了安全互联,网络可达乡镇,试点村;三是实现了安全的移动办公,打破了电子政务应用只能在本地访问的局限。而从长远来讲,济源市已经初步建成安全、开放、实用的全面基于互联网的电子政务系统。
电子政务内外互通
试点方向:电子政务信息安全
访谈人物:广东省信息中心副主任曾强
目前,妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同,广东省的试点方向主要是通过等级保护,探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说,面对国信办试点布置的这个大命题,广东省将试点命题细化成以下几个方面:由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点;由省政府办公厅完成视频会议系统省府门户网站试点;由佛山市政府完成财税库银互联互通系统试点;由江门市政府完成开放互联环境下的信息安全解决方案试点;由佛山市南海区政府完成大社保6个分系统横向互联互通试点。
关于如何解决在不同的电子政务系统之间,安全实现互联互通以及资源共享问题,曾强介绍说,试点工作中,广东省综合运用等级保护和风险评估相结合的方法,确定了解决互联互通问题的基本思路:一是明确系统的重要程度,确定系统安全等级,采取与系统安全等级相适应的安全保护措施;二是按照有条件互联、共享可控制的原则,确定需要共享的系统和应用以及需要共享的数据,保证只共享那些确实需要共享的数据,以保护系统中原有信息的安全;三是在进行系统互联的部门之间建立共同的安全管理机制,明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制;四是对系统互联的安全风险进行评估,全面分析低安全等级的系统给高安全等级的系统带来的安全风险;五是针对系统互联的安全风险,确定关键的安全控制要素,如互联边界的访问控制、系统互联的安全传输等,并落实具体的安全措施,保障系统互联、数据共享的安全。
在以上措施的执行下,广东省取得了初步成功,形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。
风险规避预先保障
试点方向:信息安全风险评估
访谈人物:国家税务总局处长李建彬
上海市信息化委员会信息安全测评中心
总工程师应力
信息网络,风险无处不在,防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。
国家税务总局在广东地税南海数据中心所进行的风险评估试点,最大的亮点就是具有创新精神的“差距分析法”。
李建彬在介绍广东南海试点经验时,将差距分析法用一句话概括,就是“通过找出安全目标与现实系统差距,从而得出风险分析报告”。在试点工作中,李建彬感触最深的就是,要对系统生命周期的整个过程都持续不断地引入风险评估,尽量避免“先运行,后评估”的亡羊补牢式工作流程,以降低信息系统整体的信息安全风险等级。此外,李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点:
首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性,通过风险评估可以识别系统的类别和安全级别,从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切,可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用,不同行业的系统有着不同的安全要求,必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后,通过安全风险评估工作进一步完善系统安全总体设计。
上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家),涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年,上海市了《上海市公共信息系统安全测评管理办法》,又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后,上海市信息委又出台了关于风险评估工作的实施意见,明确建立自评估与检查评估制度的原则、工作安排。
上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时,多次强调要引导各单位进行自评估建设,让信息安全风险评估成为政府及企事业信息安全建设的常态,在系统的设计阶段、验收阶段、运行阶段,都需要进行风险评估工作,形成“预防为主,持续改进”的风险评估机制。应力认为,对信息安全主管机关来说,风险评估是一种管理措施,通过风险评估,领导者可以了解信息系统的安全现状,从而为管理决策提供依据。
信息安全重在管理
试点方向:信息安全管理标准应用
访谈人物:北京市海淀区信息办主任张泽根
深交所ISMS项目组张兴东
有专家提出:“信息安全系统是三分技术,七分管理。”可见信息安全管理在整个信息安全保障体系中的重要性。
国信办网络与信息安全组与全国信息安全标准化技术委员会共同于2006年3月开始,在北京市、上海市、国家税务总局、中国证监会和武汉钢铁(集团)公司选取了相关单位,对国际上通用的,也是已经列入国家标准制、修订计划的两个信息安全管理标准,即ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理使用规则》,组织了应用试点。
北京市海淀区信息办张泽根主任在具体介绍北京市海淀区信息安全管理体系实践经验时,感触最深的就是在参考国际标准ISO/IEC27001和ISO/IEC17799的基础上,结合海淀区原有ISO9001管理体系,取得了事半功倍的实际效果。通过ISMS的运行实践,海淀区信息办建立了信息安全管理体系,为进一步通过ISO/IEC27001认证做了很好的准备,同时还对ISMS与风险评估和等级保护的关系进行了有益的探索。ISMS为解决海淀区信息安全问题,提供了良好的方法和管理机制,并且为政府的信息化建设通过避免安全事故和合理分配经费两种方式很好地节约了建设经费。
但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
