導(dǎo)語：如何才能寫好一篇信息安全管理計劃，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】計算機(jī)；信息安全；管理工作；強(qiáng)化

一、引言

21世紀(jì)是電腦網(wǎng)絡(luò)科技的世紀(jì)，信息借助網(wǎng)絡(luò)傳輸既快速又廣泛的流通與交換，科技進(jìn)步孕育出全球化社會。隨著網(wǎng)絡(luò)的普及化，信息安全的重要性更加凸顯，提升企事業(yè)組織信息安全防御能力，便成當(dāng)務(wù)之急的工作。信息安全維護(hù)旨在確保信息的機(jī)密性、完整性與可用性，我們應(yīng)當(dāng)落實最佳安全實務(wù)準(zhǔn)則及縱深防御策略，以應(yīng)對信息網(wǎng)絡(luò)安全的威脅。有鑒于此，無論是防護(hù)機(jī)制建立、法令規(guī)范修訂、教育培訓(xùn)與人才培養(yǎng)，均須落實執(zhí)行。傳統(tǒng)的信息安全架構(gòu)與信息服務(wù)的安全架構(gòu)是目前經(jīng)常被拿來相比較的議題，大多數(shù)的資料中心發(fā)展成信息服務(wù)中心時，傳統(tǒng)安全防護(hù)架構(gòu)需要面臨擴(kuò)充性以及適用性的挑戰(zhàn)，從信息基礎(chǔ)設(shè)施、運作應(yīng)用程序以及各種不同類型的軟件服務(wù)，增加了管理上的復(fù)雜度。信息服務(wù)的營運管理，為確保信息服務(wù)內(nèi)容與營運品質(zhì)的重要因素，信息服務(wù)的管理，除了技術(shù)面的問題，許多必須注重在政策面的管理。

二、計算機(jī)信息安全管理工作開展思路

一是已知的信息安全脆弱性。假如一個公司或機(jī)構(gòu)曾經(jīng)對其本身的信息系統(tǒng)安全進(jìn)行評估并研析評估資料，則這一公司或機(jī)構(gòu)將可更有效地確保其信息系統(tǒng)的安全，同時可將其先前所存在的弱點的性質(zhì)告知其他公司與機(jī)構(gòu)，以節(jié)省彼此的時間及風(fēng)險。但是，當(dāng)相關(guān)公司擔(dān)心因?qū)θ觞c的矯正不夠徹底而面臨法律問題時，則將影響此種信息分享的方式。舉例而言，若是某一公司或機(jī)構(gòu)只對其系統(tǒng)中經(jīng)確認(rèn)的弱點的90加以改進(jìn)，并將相關(guān)信息與其他公司分享，則這一公司可能會因違反管理標(biāo)準(zhǔn)而遭到處罰。

二是有關(guān)進(jìn)行中的IT 方面的攻擊或持續(xù)存在的威脅的預(yù)警（但不提及“來源與方法”）。信息系統(tǒng)管理人員與網(wǎng)絡(luò)管理人員是最可能首先發(fā)現(xiàn)入侵行動或攻擊行動的人。他們大都不愿意將入侵事件向執(zhí)法單位報告，因為他們擔(dān)心業(yè)主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機(jī)構(gòu)或該公司的名譽(yù)。所以，當(dāng)執(zhí)法單位接獲有關(guān)持續(xù)進(jìn)行的攻擊事件的報告時，應(yīng)設(shè)法對這一信息加以篩選、分析，然后分送給其他可能會受影響的單位。如此一來，將可不在提及遭受攻擊的機(jī)構(gòu)或公司名稱的情形下，確認(rèn)潛在的脆弱性或攻擊行動。在另一方面，出現(xiàn)有計劃的攻擊或刺探行動時，因為這等行動通常普遍可能成為國家安全的隱憂或因為該行動是來自于某一特定的外國，故由執(zhí)法單位進(jìn)行的信息分享方式顯得特別重要。

三是用以對付某種型態(tài)的IT 方面的攻擊的策略。當(dāng)某一機(jī)構(gòu)發(fā)現(xiàn)了一項弱點或被告知某項弱點，而且也找到了解決辦法，則這一機(jī)構(gòu)可能會抗拒與其他機(jī)構(gòu)分享此方面的信息，因為這種解決辦法對業(yè)主而言極具價值。有關(guān)這一方面，政府的職責(zé)應(yīng)在于對相關(guān)信息進(jìn)行事前的篩選后加以分送，這一方面有助于其他機(jī)構(gòu)做好預(yù)防工作，一方面又不至于泄漏關(guān)鍵信息。我們可要求各個公司提供有關(guān)新病毒、網(wǎng)絡(luò)蠕蟲與木馬的信息、某一特定黑客所使用的方法、與選定特定攻擊目標(biāo)的黑客會面所收集到的信息等。這一做法未來將有助于建立與識別相關(guān)的軌跡，并有助于提升入侵偵測的能力以發(fā)揮更佳的保護(hù)效果。

四是通過偵測、分析、防御與應(yīng)變程序進(jìn)行信息服務(wù)的管理，面對所遭遇的問題，通過不斷的持續(xù)改善，依據(jù)所發(fā)掘的異常行為進(jìn)行信息服務(wù)的改善，包括了基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應(yīng)用程序等，增加信息服務(wù)的完整性與可靠度。信息安全管理系統(tǒng)可應(yīng)用于公有信息服務(wù)、私有信息服務(wù)或是混合性的信息服務(wù)架構(gòu)中，通過整體的自我防御機(jī)制，以維持自然的生態(tài)平衡，能夠?qū)τ诋惓５男袨樘卣鬟M(jìn)行應(yīng)對與處置。信息安全管理系統(tǒng)，必須擁有自動化的處理能力，面對外來與內(nèi)在的威脅，進(jìn)行自我的防御與應(yīng)變，以縮小影響的范圍與處理的時效，面對大量的資源而言，必須有效的掌握現(xiàn)有資源的狀態(tài)，以做為資源的調(diào)配上的參考指標(biāo)。

三、計算機(jī)信息安全管理系統(tǒng)構(gòu)建

信息運算環(huán)境下的安全威脅，以風(fēng)險的角度可以分成信息安全技術(shù)、流程、程序、法律以及互信模式等項目進(jìn)行討論，以信息安全技術(shù)而言，為符合服務(wù)導(dǎo)向的架構(gòu)，目前進(jìn)行信息安全的規(guī)劃與設(shè)計時，須先確定提供服務(wù)的內(nèi)容與對象，以確定需要導(dǎo)入的信息安全技術(shù)為何。信息服務(wù)安全的標(biāo)準(zhǔn)化建設(shè)，必須具備以下幾項要件。

第一，信息安全管理系統(tǒng)將相同的理論應(yīng)用在信息運算所提供的信息服務(wù)上，將整個信息架構(gòu)分成了偵測、分析、防御、應(yīng)變等幾個元件。一是偵測：通過信息安全相關(guān)的設(shè)備，如應(yīng)用層防火墻、通訊協(xié)定分析設(shè)備、入侵偵測系統(tǒng)、誘捕系統(tǒng)等，建立信息環(huán)境的偵測點，運用特征比對與行為分析的方式，進(jìn)行異常狀態(tài)的偵測，進(jìn)行信息的收集，以提供后續(xù)的進(jìn)行資料探勘與分析使用。二是分析：大尺度的信息環(huán)境，產(chǎn)生大量的系統(tǒng)日志與網(wǎng)絡(luò)流量等資料，因為信息服務(wù)維運的需求，又必須即時進(jìn)行資料的探勘，以掌握信息服務(wù)的狀態(tài)，若有異常的行為出現(xiàn)，必須進(jìn)行處置以避免影響信息服務(wù)的安全，因此通過建構(gòu)日志系統(tǒng)以提供未來稽核所需要的佐證文件，為規(guī)劃與建構(gòu)信息資料分析平臺不可或缺的考量。三是防御：信息環(huán)境須具備防御的機(jī)制，當(dāng)有異常的行為出現(xiàn)時，必須能夠進(jìn)行自我的防御，以避免影響其它的信息服務(wù)。四是應(yīng)變：針對異常的行為或是威脅進(jìn)行應(yīng)變處置，必須具備自動化應(yīng)變的能力，通過自主的應(yīng)變措施，以提供信息環(huán)境掌控風(fēng)險，并且結(jié)合風(fēng)險評價與改善規(guī)劃，進(jìn)行環(huán)境的調(diào)整，以達(dá)信息服務(wù)的持續(xù)提供。

第二，實現(xiàn)與維護(hù)信息安全計劃。完整的信息安全防護(hù)計劃，可以確保信息架構(gòu)的安全，針對風(fēng)險與威脅都進(jìn)行管理與控制，并且能夠持續(xù)維護(hù)信息安全計劃的有效性，以應(yīng)對新型態(tài)風(fēng)險與威脅的出現(xiàn)，通過應(yīng)變策略的擬定，針對信息服務(wù)的安全性進(jìn)行掌握。另外，還需建構(gòu)與管理信息安全的基礎(chǔ)設(shè)施。通過完整的基礎(chǔ)設(shè)施，能夠提供信息服務(wù)所需的高彈性資源調(diào)配，確保服務(wù)的可靠性，因此通過基礎(chǔ)設(shè)施的保護(hù)，為提供信息服務(wù)的基本要素，同時通過服務(wù)供應(yīng)商，以確保在符合法律、法規(guī)以及客戶的要求下，有能力滿足對于所要求的服務(wù)內(nèi)容。除此之外，確保機(jī)密資料安全防護(hù)。資料的安全防護(hù)為信息服務(wù)的核心原則，所有通過信息服務(wù)進(jìn)行傳輸、存取與保存的資料，必須受到嚴(yán)格的資料安全防護(hù)機(jī)制，對于企業(yè)而言，機(jī)敏的資料必須確實受到安全的防護(hù)，才會考慮是否采用信息服務(wù)模式在其商業(yè)營運上，因此無論采用何種方式使用信息服務(wù)，所有的資料流均必須考慮到資料安全的防護(hù)問題。

第三，實現(xiàn)嚴(yán)謹(jǐn)?shù)拇嫒】刂婆c身份識別管理。使用者可以由不同的管道使用信息服務(wù)，但是不論使用何種方式，均必須確保能夠正確的驗證使用者的身份，并且能夠針對使用者的權(quán)限進(jìn)行有效的管理，以限制能夠提供存取的資料范圍。另外，需建立應(yīng)用程序與環(huán)境的配置。當(dāng)使用者通過信息服務(wù)的使用者界面進(jìn)行服務(wù)內(nèi)容的設(shè)定，信息服務(wù)的架構(gòu)必須由一連串的變更進(jìn)行環(huán)境的配置與設(shè)定，以確定能夠由自動化的程序，建立應(yīng)用程序與環(huán)境的整合。

第四，實施信息治理與稽核管理規(guī)劃。對于信息環(huán)境的管理，必須配合稽核計劃進(jìn)行，以確保所有的信息服務(wù)能夠在可被驗證與舉證的前提下，提供使用者安全上的信賴，其中必須涵蓋日志的收集以及需要進(jìn)行稽核的紀(jì)錄，整體的管理規(guī)劃必須同時配合信息服務(wù)的推出進(jìn)行建構(gòu)。另外，需要實現(xiàn)弱點掃瞄與入侵偵測系統(tǒng)架構(gòu)。在被信任的的信息服務(wù)中，必須實現(xiàn)信息架構(gòu)中的基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應(yīng)用程序的弱點管理機(jī)制，通過管理機(jī)制的建立，以進(jìn)行嚴(yán)格的弱點管理計劃，配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理，其中包括了網(wǎng)絡(luò)、服務(wù)器、基礎(chǔ)設(shè)施等元件，以確定提供信息服務(wù)的內(nèi)容，不因為存在弱點而造成風(fēng)險與威脅。

第五，采用對稱與非對稱式的信息加密防護(hù)策略。該加密過程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內(nèi)容，密文代表加密后內(nèi)容，演算法代表加密規(guī)則、鑰匙代表加密時所要定義的參數(shù)。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這只鑰匙，才能順利加解密。加解密時使用同一把鑰匙，是一直以來的概念，也即密碼學(xué)發(fā)展到此時，均屬對稱式加密，諸如DES、RC2、Blowfish等。于是在加密法強(qiáng)化到難以破解后，鑰匙的交換與保護(hù)，便成為重要課題。無論資料如何加密保護(hù)，鑰匙的傳遞都必須曝露在相對公開的環(huán)境下傳送，非對稱式加密，即是為了解決這樣的困境而誕生的。

四、結(jié)語

信息安全研究中一項重要的目標(biāo)是發(fā)展高度安全、可靠及彈性的信息系統(tǒng)，確保未來使用電腦、網(wǎng)絡(luò)與其他網(wǎng)絡(luò)系統(tǒng)變得和打開電燈或水龍頭一樣的安全及可靠。美國等發(fā)達(dá)國家十分重視保障未來各種信息系統(tǒng)安全的基礎(chǔ)建設(shè)，要求各種信息設(shè)備在出廠時即具有使用者可以信賴的安全性以及可靠度。在預(yù)算范圍內(nèi)發(fā)展高度安全與可靠的系統(tǒng)將是未來追求的目標(biāo)，并需通過全國性的網(wǎng)絡(luò)安全研究發(fā)展程序來達(dá)成。

我國開始關(guān)心數(shù)字社會信息安全的作業(yè)，時間尚短經(jīng)驗的累積不多，許多應(yīng)建立的價值、觀念、制度，大家都還在摸索之中。隨著信息技術(shù)的一日千里，在“運籌于虛擬實境之外，決勝在網(wǎng)頁方寸之中”的數(shù)字社會信息系統(tǒng)安全的環(huán)境下，如何應(yīng)對我國民生息息相關(guān)的信息系統(tǒng)安全作業(yè)等議題，值得展開更深入的思考與討論。傳統(tǒng)的信息安全問題，仍然會出現(xiàn)在信息服務(wù)的環(huán)境中，但伴隨著虛擬化的架構(gòu)、動態(tài)資源的調(diào)配以及跨越不同地理位置的服務(wù)模式，將讓信息安全的問題變得更為復(fù)雜，而且新型態(tài)的安全問題也隨著信息服務(wù)的提供而出現(xiàn)，因此更需要通過技術(shù)的層面以及管理的層面，整體的檢視信息服務(wù)與相關(guān)的架構(gòu)，方能提供信息服務(wù)的使用者在安全防護(hù)上的保障，結(jié)合信息安全監(jiān)控中心，對于信息環(huán)境內(nèi)的狀態(tài)進(jìn)行掌控，保存相關(guān)的系統(tǒng)日志與稽核紀(jì)錄，可做為信息安全事件分析的重要信息來源。

參考文獻(xiàn)

[1]張昱.對計算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[J].廣東科技，2011（10）.

[2]譚濤.淺談計算機(jī)網(wǎng)絡(luò)安全與防范[J].科技信息，2009（29）.

篇2

關(guān)鍵詞：信息安全；安全管理；體系；規(guī)劃設(shè)計

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Computer Information Security Management System Design and Planning

Chen Guo

(Chongqing University of Technology School of Business Information,Chongqing 400054,China)

Abstract:With the acceleration of information technology,information security technology,more and more attention has been paid,in particular,to do computer information security management system planning and construction,which is the information security one of the important issues facing, must be scientific analysis and layout,to safeguard the security of information systems.In this paper,computer information security management point of view,combined with the development of information security-related issues that exist in the effective analysis and discussion,and to make suggestions and countermeasures.

Keywords:Information security;Security management;System;Planning and design

計算機(jī)信息系統(tǒng)是一個較為復(fù)雜管理系統(tǒng)，在它的日常管理過程中，特別是保證其安全運行面臨著一系列問題的。計算機(jī)的管理是涉及到多個方面的問題，不僅包括硬件和軟件上的管理，與此同時在運行環(huán)境以及計算機(jī)病毒防止、計算機(jī)的安全響應(yīng)上都要進(jìn)行有效的維護(hù)，包括通訊故障或者是病毒干擾和感染上都需要采取一些列積極有效的措施，進(jìn)而科學(xué)而有效的保障計算機(jī)的信息技術(shù)安全。我們知道，信息安全技術(shù)已經(jīng)發(fā)展了長達(dá)二十多年，在這個過程中已經(jīng)在不斷的完善，逐漸的形成了一個多學(xué)科的綜合性管理問題，在保障信息技術(shù)安全的進(jìn)程中我們一定要注重綜合全局考慮。而針對于計算機(jī)的信息安全保障問題，我們一定要一個有效的安全保障機(jī)制，從涉及安全威脅的方方面面出發(fā)進(jìn)行布局和規(guī)劃，進(jìn)而建立起安全的保障體系。筆者將結(jié)合相關(guān)的問題在如下幾個方面對其進(jìn)行有效的分析和探討。

一、計算機(jī)安全管理過程中的問題分析

（一）計算機(jī)信息安全維護(hù)過程中，保證網(wǎng)絡(luò)協(xié)議的安全性是其安全管理過程中的重要問題之一。在計算機(jī)的一些協(xié)議中，例如TCP/IP協(xié)議，這些協(xié)議和構(gòu)架一般也都是互聯(lián)網(wǎng)上進(jìn)行信息共享的，這樣一來其中就存在著一定的安全隱患和安全漏洞。這是當(dāng)前計算機(jī)信息安全威脅的一個重要的來源，他對于計算機(jī)系統(tǒng)的破壞也是可想而知的，因此，開展計算機(jī)的信息系統(tǒng)維護(hù)一定要注意對其的防止，加強(qiáng)網(wǎng)絡(luò)上不明信息以及協(xié)議的安全管理，保障信息傳輸?shù)陌踩院涂茖W(xué)性，始終以維護(hù)信息系統(tǒng)的安全為出發(fā)點進(jìn)行全面客觀的分析。

（二）在計算機(jī)工作和運行的過程中存在的安全管理問題，也就是工作環(huán)境中所存在的安全漏洞。在現(xiàn)有的操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)等典型的企業(yè)用戶工作環(huán)境中，其自身一般都會存在許多的安全漏洞，這是計算機(jī)安全的隱患之一，其主要包括了自身體系結(jié)構(gòu)的建設(shè)問題，以及系統(tǒng)錯誤和混亂所帶來的漏洞，而這些底層的安全漏洞往往是不確定的，如果使用不當(dāng)就會造成整個信息系統(tǒng)的崩潰。

（三）計算機(jī)系統(tǒng)產(chǎn)品自身的安全問題。一般來說網(wǎng)絡(luò)用戶大多已經(jīng)采用了網(wǎng)絡(luò)以及相關(guān)的信息安全產(chǎn)品。在這個過程中如果其安全漏洞或錯誤，那么就會導(dǎo)致用戶內(nèi)部網(wǎng)絡(luò)安全防范機(jī)制的失效。與此同時，計算機(jī)的安全隱患也不僅僅是安全產(chǎn)品自身的問題，即使安全產(chǎn)品自身不存在安全方面的隱患和漏洞，但計算機(jī)用戶在對產(chǎn)品進(jìn)行實際的使用過程中，也會由于用戶的配置或使用不當(dāng)從而造成對產(chǎn)品安全性能的破壞，使其自身性能大大的降低或者是喪失。

二、進(jìn)行計算機(jī)信息安全體系的規(guī)劃和建設(shè)

（一）加強(qiáng)信息管理，設(shè)計加密系統(tǒng)進(jìn)行保護(hù)。在信息化程度越來越高的今天，人們利用網(wǎng)絡(luò)進(jìn)行信息的收集以及處理也越來越多，由此也會出現(xiàn)相關(guān)的信息安全問題，如果不多加防護(hù)，就會造成信息的泄露或者是文件的破壞等。針對這一問題，我們開展計算機(jī)的信息安全維護(hù)和系統(tǒng)建設(shè)一定要注意最基礎(chǔ)的信息加密體系建設(shè)。而信息的加密是為了更好的保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件以及相關(guān)口令和控制信息。這樣一來，在網(wǎng)上進(jìn)行數(shù)據(jù)的傳輸也就更加的具有針對性。而在加密管理的過程中一般有鏈路加密、端點加密和節(jié)點加密三種。一個加密網(wǎng)絡(luò)，不僅可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法。

（二）計算機(jī)信息安全審計系統(tǒng)的規(guī)劃和建設(shè)。我們知道，計算機(jī)系統(tǒng)在長期的運行過程中一般會出現(xiàn)這樣或者那樣的問題，如果不對其進(jìn)行長期有效的檢查和維護(hù)的話，潛在的安全威脅就會趁虛而入。所以，加強(qiáng)計算機(jī)的信息安全維護(hù)一定要注意加強(qiáng)安全審計管理體系的建設(shè)，其主要內(nèi)容就是針對系統(tǒng)中的所有資源和行為進(jìn)行審計，其中包括數(shù)據(jù)庫、主機(jī)等。通過有效的審計，并對審計結(jié)果所作的記錄、得出的數(shù)據(jù)進(jìn)行有效的分析，進(jìn)而能更好的開展網(wǎng)絡(luò)安全防范和維護(hù)工作，一旦出現(xiàn)問題就可以及時有效、快速的找出原因進(jìn)行妥善的解決。

（三）計算機(jī)信息安全的系統(tǒng)軟件系統(tǒng)建設(shè)。通常來說計算機(jī)所使用的各種版本的操作系統(tǒng)都存在一定不安全的因素，所以必須采取有效的措施加強(qiáng)安全系統(tǒng)的管理，對其中的數(shù)據(jù)庫軟件以及操作系統(tǒng)進(jìn)行很好的維護(hù)。而這一問題的解決方法就要從系統(tǒng)終端的操作系統(tǒng)上進(jìn)行相應(yīng)的準(zhǔn)備，重要的一點就是要采用統(tǒng)一的、相匹配的版本，這樣一來也可以從軟件系統(tǒng)的角度更好的進(jìn)行維護(hù)和管理。

（四）計算機(jī)的物理環(huán)境安全防護(hù)體系建設(shè)。這一體系建設(shè)主要的就是針對于計算機(jī)所處的外部環(huán)境，也就是物理環(huán)境，包括對機(jī)房的監(jiān)控系統(tǒng)維護(hù)、計算機(jī)所處的溫度等，甚至是漏水和電源情況等時刻進(jìn)行監(jiān)控。同時還需要考慮服務(wù)器的管理問題，保證外部的電源以及環(huán)境的溫濕度。

參考文獻(xiàn)：

[1]李濤.網(wǎng)絡(luò)安全概論[M].網(wǎng)絡(luò)安全,2004

[2]郝文江,李玉霞.基于計算機(jī)技術(shù)對信息的保護(hù)[M].2007,12

篇3

關(guān)鍵詞： 建筑安全；誠信體系；信息化管理

中圖分類號：TU714文獻(xiàn)標(biāo)識碼： A

引言

建筑行業(yè)固有的低效能勞動密集型生產(chǎn)活動特點也決定了其較高的危險性。本文就建筑施工項目安全生產(chǎn)管理方面提出了若干辦法和建議以及相關(guān)法律法規(guī)的健全,與大家共同探討。

1、簡述建筑市場安全管理機(jī)制

1.1、安全管理機(jī)制

1.1.1、安全生產(chǎn)管理目標(biāo)

安全生產(chǎn)管理目標(biāo)必須明確、具體，針對地方、企業(yè)、項目的實際情況制定適用性強(qiáng)、操作性強(qiáng)、針對性強(qiáng)的全面、具體、詳細(xì)的安全生產(chǎn)管理目標(biāo)、兼顧體現(xiàn)行業(yè)、地方、企業(yè)的總體先進(jìn)水平，避免安全生產(chǎn)管理目標(biāo)的過高過大或過低過粗，不利于安全生產(chǎn)管理工作的進(jìn)步及保證項目的安全生產(chǎn)，更不利于保障企業(yè)和職工的生命與財產(chǎn)，違背了“以人為本”的精神，也違背了“安全第一，預(yù)防為主”的安全生產(chǎn)方針及相關(guān)的法律、法規(guī)。

1.1.2、安全生產(chǎn)管理體系

安全生產(chǎn)管理體系的科學(xué)，安全生產(chǎn)管理機(jī)構(gòu)的健全，安全生產(chǎn)管理制度的完善，安全生產(chǎn)責(zé)任制的落實，是確保安全生產(chǎn)最基本、最關(guān)鍵的因素。沒有一個科學(xué)的安全生產(chǎn)管理體系，沒有一個高效運行的安全生產(chǎn)管理機(jī)構(gòu)，沒有一套健全的安全生產(chǎn)管理制度，沒有落實的安全生產(chǎn)責(zé)任制度，安全生產(chǎn)就無從談起。 只有加強(qiáng)制度建設(shè)與落實，方可進(jìn)一步確保安全技術(shù)措施及安全防護(hù)措施的落實，最終保證生產(chǎn)安全，保障企業(yè)及職工的利益。

1.2、證件管理

對于證件的管理指的是特種作業(yè)人員持證上崗、管理人員要求具備相關(guān)證件之后才可以在相關(guān)崗位上工作。作為安全生產(chǎn)的根本要求是管理人員需要做到持證上崗。主要包括有內(nèi)容比較廣泛涉及到項目施工管理之中的任何一個方面，大到目經(jīng)理，小到施工人員。而對與特種作業(yè)，尤其是對周圍設(shè)施有著較為重大危險的作業(yè)要求貫徹執(zhí)行持證上崗制度，特種作業(yè)崗位證需要按照相關(guān)的規(guī)定按期加入到復(fù)檢，按時復(fù)檢、不合格和長期沒有在該崗位的工作人員工作的人員做好管理工作。

1.3、施工技術(shù)機(jī)械管理

施工機(jī)械、施工用電電器元件和一直相關(guān)的其他安全用品等需要具備出廠合格證，或者是質(zhì)量性能檢測報告等件。同時需要定期檢測重要設(shè)施、安全用品的性能；制定各種專項檢查、驗收、維護(hù)、拆除等相關(guān)的管理制度；并且需要不斷做好對于各種安全防護(hù)措施、安全防護(hù)裝置（設(shè)備）的管理；及好對檢查、維護(hù)等過程制造之中出現(xiàn)的重大安全隱患進(jìn)行整改的管理；專項整治的管理工作。

1.4、事故救援管理

施工企業(yè)及項目部制定好救援預(yù)案并保證在安全事故發(fā)生之時可以做到有條不紊，不斷提升安全應(yīng)急能力。同時將應(yīng)急救援人員配備到位，配備救援器材、設(shè)備，定期組織演練。安全事故應(yīng)該急救援預(yù)案需要依據(jù)企業(yè)、項目等等具體情況制訂。

2、建筑企業(yè)安全生產(chǎn)誠信體系建設(shè)

2.1、我國建筑業(yè)安全管理存在的問題

2.1.1、培訓(xùn)缺失

教育和培訓(xùn)時間同樣不足，導(dǎo)致管理人員平常的管理工作之中對安全工作不夠重視，如何把安全管理工作同項目的生產(chǎn)、質(zhì)量及成本管理工作彼此結(jié)合而缺乏常識，可以在第一時間避免安全事故的發(fā)生。而在另外一個方面，當(dāng)前我國對于施工操作人員的安全培訓(xùn)則一般是通過項目部依照相關(guān)的規(guī)章制度來執(zhí)行，這樣就比較缺少較為有效的監(jiān)督以及指導(dǎo)。所以諸多的項目將成本節(jié)約，同時不斷提升勞動生產(chǎn)率，那么在一定的程度之上減少安全培訓(xùn)的時間和強(qiáng)度，使得諸多的施工人員在進(jìn)入到施工現(xiàn)場之后就有一定的危險。而這些都給以后的安全管理工作的種下了安全隱患。

2.1.2、建筑企業(yè)需要不斷地提升安全度

當(dāng)前建筑施工管理的安全管理人員比較少，并且從事安全管理工作的人員素質(zhì)有待提升，于此同時建筑施工內(nèi)部安全管理的投入不夠充分，在安全投入上就變?yōu)槠髽I(yè)利潤挖掘的一種方法。同時安全管理人員的素質(zhì)有待提升，建筑施工企業(yè)全投入不夠，而在安全上投入則變成企業(yè)利潤挖潛的一種變相的手段，做好安全自查、自控工作形式化，企業(yè)安全檢查工作則形同虛設(shè)，建筑企業(yè)如果過分依賴監(jiān)督機(jī)構(gòu)和監(jiān)理單位，其在安全工作在一定的程度之上則是為了應(yīng)付上級的檢查。沒有形成一個嚴(yán)格明確細(xì)化的過程安全控制，全過程安全控制運行體系就沒有辦法獲得高效的運行。建設(shè)工程的流水施工作業(yè)，作業(yè)地點環(huán)境更換頻繁。當(dāng)前工程進(jìn)展以及作業(yè)人員需要面對的工作環(huán)境、作業(yè)條件、施工技術(shù)等等需要不斷發(fā)生變化，此些變化則就給施工企業(yè)產(chǎn)生了較大的安全風(fēng)險。

施工企業(yè)同項目部分離，使得安全措施沒有辦法獲得充分的落實。通常一個施工企業(yè)會承擔(dān)諸多項目的施工作業(yè)，企業(yè)同項目部之間一般是分離狀態(tài)。此種分離可以使得安全管理工作更多的由項目部承擔(dān)。然而，因為項目的臨時性以及建筑市場競爭的逐漸激烈，其在經(jīng)濟(jì)上的壓力也與日俱增，公司的安全措施通常會被漠視。

在建筑施工的現(xiàn)場會存在諸多不安全的因素，建筑施工作為一種作業(yè)強(qiáng)度高、能耗較高以及施工作業(yè)的現(xiàn)場存在一定的制約性，同時施工現(xiàn)場的存在諸多的污染比如說噪聲、有害氣體、熱量以及沙塵等等。同時其勞動對象的規(guī)模的較大并且高空作業(yè)比較多，而此些工人則通常會露天作業(yè)，受到天氣、溫度的影響比較大，而此些則是工人經(jīng)常面對的不利工作環(huán)境以及負(fù)荷。其施工作業(yè)的標(biāo)準(zhǔn)化程度通常達(dá)不到，也會使得施工現(xiàn)場危險因素逐漸增多。而工程的建設(shè)則是需要諸多參加，要求諸多專業(yè)技術(shù)知識；建筑企業(yè)數(shù)量比較多，同時在技術(shù)、人員、裝備、資金等等方面也有一定的差別。而這些也會使得建筑安全生產(chǎn)管理的難度逐漸提升，管理層次比較多，而管理關(guān)系也變得更加的復(fù)雜。

2.2、構(gòu)建企業(yè)安全生產(chǎn)誠信體系的措施

2.2.1、認(rèn)真搞好項目安全生產(chǎn)管理規(guī)劃

項目安全生產(chǎn)管理規(guī)劃,這是保證施工項目安全的十分重要的措施之一。諸多項目在項目總體策劃之中對于安全管理工作，通常較為一筆帶過,缺少具備針對項目不同施工階段存在的特點，編制較為詳盡的安全管理方案,使得安全生產(chǎn)管理過程之中缺少預(yù)見性,工作較為被動。

2.2.2、嚴(yán)格執(zhí)行安全生產(chǎn)責(zé)任制。

需要逐漸樹立“以人為本”思想，將安全生產(chǎn)工作做好，這樣才可以事故的發(fā)生，堅持“安全第一，預(yù)防為主、綜合治理”的方針。在安全生產(chǎn)之中應(yīng)該嚴(yán)格將安全生產(chǎn)責(zé)任制落實，首先應(yīng)該明確具體的安全生產(chǎn)要求；對于具體安全生產(chǎn)程序也需要進(jìn)行落實；其次，需要明確具體的安全生產(chǎn)管理人員，責(zé)任落實到人；再次，需要明確具體的安全生產(chǎn)培訓(xùn)要求；第五，應(yīng)該不斷具體的安全生產(chǎn)責(zé)任。建立安全生產(chǎn)責(zé)任制的考核辦法，使用考核的方式，實現(xiàn)獎優(yōu)罰劣，這樣就可以提升全體從業(yè)人員執(zhí)行安全生產(chǎn)責(zé)任制的自覺性，使得安全生產(chǎn)責(zé)任制的執(zhí)行不斷鞏固。

2.2.3、積極推廣采用新技術(shù)、新工藝

在科學(xué)技術(shù)發(fā)展的推動之下,建筑施工企業(yè)需要不斷地提升其生產(chǎn)工藝,使用最新的技術(shù),努力實現(xiàn)機(jī)械化、自動化進(jìn)程,如此則就可以有效減少工人勞動強(qiáng)度,逐漸提升其施工安全技術(shù)水平,并且給安全生產(chǎn)創(chuàng)造條件。第一,應(yīng)該對“四口”、“五臨邊”依照頒布標(biāo)準(zhǔn)進(jìn)行水平以及立體防護(hù)的同時,同時設(shè)置定型化、工具化的防護(hù)欄桿、防護(hù)門、防護(hù)蓋板以及傳部位防護(hù)罩等防護(hù)用具；第二,應(yīng)該設(shè)置統(tǒng)一的標(biāo)準(zhǔn)化安全警示牌、標(biāo)志牌,將警示牌、標(biāo)志牌的作用及時發(fā)揮出來,發(fā)揮出警示作業(yè)人員促進(jìn)安全生產(chǎn)的作用；第三，應(yīng)該嚴(yán)格檢查鍋爐、提升設(shè)備、塔吊、壓力容器、施工機(jī)具等安全設(shè)施,逐漸提升設(shè)備設(shè)置開門自鎖停靠裝置和防脫落斷繩保險裝置，堅持預(yù)防性電氣絕緣檢測、機(jī)械設(shè)備維修保養(yǎng)、機(jī)械強(qiáng)度試驗以及檢修制度，那么就可以使得傷亡事故在一定的程度之上有所控制。

2.2.4、規(guī)范防護(hù)用品采購、保管使用制度

施工現(xiàn)場安全防護(hù)用品這是施工生產(chǎn)過程之中預(yù)防事故、保護(hù)工人安全、健康一種十分重要的輔助手段,錯誤使用防護(hù)用品或者是使用假冒偽劣防護(hù)用品而導(dǎo)致出現(xiàn)的傷亡事故。因此對于偽劣防護(hù)用品流入應(yīng)該做好管理工作，嚴(yán)禁其進(jìn)入到施工場地。

2.3、特種設(shè)備在建筑施工安全管理中應(yīng)采取的對策

加大隱患排查整改力度，依法進(jìn)行定期檢驗。特種設(shè)備的單位應(yīng)該使用經(jīng)檢驗合格的設(shè)備，特種設(shè)備在安全檢驗合格有效期屆滿之前的1個月，使用單位需要向及時向特種設(shè)備檢驗檢測機(jī)構(gòu)提出定期檢驗的要求，未經(jīng)檢驗或者檢驗不合格的設(shè)備，不得繼續(xù)使用。各單位還要加強(qiáng)與外協(xié)隊伍的溝通協(xié)調(diào)，形成整體合力，并對特種設(shè)備依法進(jìn)行定期檢驗，以便于對特種設(shè)備存在的安全隱患和不符合相應(yīng)安全技術(shù)規(guī)范要求的項目進(jìn)行整改和維護(hù)。加強(qiáng)特種設(shè)備操作人員持證上崗管理。為了避免特種作業(yè)操作人員無證上崗，違反特種設(shè)備及特種作業(yè)管理規(guī)定的情況的發(fā)生，要求操作人員必須是經(jīng)考核培訓(xùn)且持有效證件的熟練操作人員進(jìn)行操作，堅決杜絕無證上崗現(xiàn)象。

此外，必須需要加強(qiáng)特種作業(yè)人員的管理工作，特種作業(yè)人員除了必須接受一般員工的安全教育外，還必須接受從事特種工種工作所要求的嚴(yán)格教育培訓(xùn)。主要是三個方面：專業(yè)技術(shù)知識、安全知識、安全操作技能。這三個方面我們在傳授過程當(dāng)中主要是通過安全生產(chǎn)方針政策與法律法規(guī)教育、一般安全生產(chǎn)技術(shù)知識教育、專業(yè)安全生產(chǎn)技術(shù)知識和安全生產(chǎn)技能教育、安全生產(chǎn)意識和事故案例教育來講授。比如說機(jī)械司機(jī)安全教育培訓(xùn)梳理規(guī)范成以月度安全教育培訓(xùn)為主線，其他例行性教育培訓(xùn)（如崗前三級安全教育、班前安全教育等）、突發(fā)事件教育培訓(xùn)（如事故分析處理通報教育等）、季節(jié)性教育培訓(xùn)（如防風(fēng)防臺學(xué)習(xí)培訓(xùn)、防暑降溫與防雷培訓(xùn)等）和專項性教育培訓(xùn)（如應(yīng)急常識及其演練培訓(xùn)、回爐防疏培訓(xùn)、安全操作和技術(shù)攻關(guān)交流與培訓(xùn)等）等為支線，交接班安全生產(chǎn)信息交接以及臨時性安全生產(chǎn)短會為補(bǔ)充的安全教育培訓(xùn)體系。

3、信息化管理的應(yīng)用

3.1、重視起信息化的作用，推動信息化發(fā)展

面對時展的趨勢，我們不得不承認(rèn)，不管是在現(xiàn)在還是在將來，信息技術(shù)化發(fā)展必將成為一個既定的發(fā)展趨勢，所以，作為一個建筑企業(yè)，既然想要在日益激烈的市場競爭中站住腳跟，就必須拋掉陳舊的思想，跟上社會發(fā)展的節(jié)奏，融入社會，全力推動信息化的發(fā)展，增加自己的競爭籌碼。就目前而言，我國的絕大部分的建筑企業(yè)依然沒有重視對于信息化的發(fā)展，這顯然是不行的，這樣的企業(yè)，在未來的科技化的社會競爭中，必將面臨著淘汰的危險。作為一個建筑企業(yè)，就應(yīng)該做到管理辦公信息化，以提高企業(yè)的辦公效率，同時減少企業(yè)對于工作人員的要求，降低建設(shè)成本。而且，相對于人類來說，擁有系統(tǒng)化規(guī)范化處理技術(shù)的計算機(jī)，在核算以及統(tǒng)計規(guī)劃上，擁有著人類所無法比擬的巨大優(yōu)勢。這些，都將成為提高企業(yè)經(jīng)濟(jì)效益的資本，所以，作為建筑企業(yè)，應(yīng)該重視信息化管理的作用，推動信息化技術(shù)的發(fā)展，拋出現(xiàn)今存在的局限性，以及不完全性的弊端，全力發(fā)展信息化技術(shù)。

3.2、重視信息化管理的應(yīng)用，加強(qiáng)軟件的開發(fā)與更新

根據(jù)自身的實際情況，不同的建筑企業(yè)可以建立不同的信息化發(fā)展戰(zhàn)略，以改變建筑工程管理領(lǐng)域信息化應(yīng)用程度較低的現(xiàn)狀。企業(yè)要重視起信息化管理的應(yīng)用，絕不能僅僅使用在施工中的機(jī)械自動化中，在企業(yè)的管理中，同樣要利用起信息化，利用信息技術(shù)改造建筑業(yè)，充分發(fā)揮信息技術(shù)在建筑工程管理中的優(yōu)勢。此外，應(yīng)用軟件同樣也是實現(xiàn)建筑工程管理信息化應(yīng)該具備的條件，而對建筑工程項目的相關(guān)業(yè)務(wù)缺少開發(fā)或者購置與之相應(yīng)的軟件，那么比較難實現(xiàn)信息化建設(shè)的預(yù)期目的，也發(fā)揮不出硬件資源的作用。所以，為了可以不斷推進(jìn)建筑工程管理的信息化，建筑企業(yè)需要對應(yīng)用軟件給予一定程度的重視，不斷做好軟件的開發(fā)以及更新工作。

3.3、數(shù)字管理系統(tǒng)

數(shù)字管理系統(tǒng)是與當(dāng)下計算機(jī)與網(wǎng)絡(luò)技術(shù)在建筑施工領(lǐng)域的不斷推廣相適應(yīng)的，目前我國在建筑施工領(lǐng)域已經(jīng)大面積實現(xiàn)了施工資料和建筑施工管理的電子化與網(wǎng)絡(luò)化，在安全生產(chǎn)管理中，無論是從業(yè)人員和管理人員數(shù)據(jù)的錄入，還是教育培訓(xùn)的進(jìn)行，都可以通過數(shù)字化文檔進(jìn)行，更可以與網(wǎng)絡(luò)鏈接，傳遞與共享相關(guān)資料，而數(shù)字管理系統(tǒng)就是對企業(yè)安全生產(chǎn)管理中產(chǎn)生的數(shù)字化文檔進(jìn)行整理和歸并，一方面以備查閱，同時也便于形成企業(yè)自身的安全管理數(shù)據(jù)庫。

4、結(jié)語

當(dāng)前我國的經(jīng)濟(jì)保持著比較好的增長勢頭，而作為國民經(jīng)濟(jì)支柱產(chǎn)業(yè)的建筑業(yè)表現(xiàn)出良好的發(fā)展，當(dāng)前我國建筑業(yè)較為落后的安全管理將會嚴(yán)重影響到建筑業(yè)的形象以及競爭力，所以安全生產(chǎn)管理工作具有十分重大的意義，因此需要對安全生產(chǎn)管理工作做好深入的探討。

參考文獻(xiàn)：

[1]彭本.建筑安全管理存在的問題及對策研究[D].大連理工大學(xué),2013.

[2]齊新波.建筑生產(chǎn)安全事故預(yù)防基金研究[D].重慶大學(xué),2013.

篇4

【關(guān)鍵詞】網(wǎng)絡(luò)安全；基層醫(yī)院；權(quán)限

【中圖分類號】TP393.08 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01―0087-02

中央縣醫(yī)院能力建設(shè)使基層醫(yī)院信息化建設(shè)得到了迅猛發(fā)展，醫(yī)院信息系統(tǒng)已成為建設(shè)現(xiàn)代化醫(yī)院不可缺少的基礎(chǔ)設(shè)施和支撐環(huán)境。隨著越來越多的傳統(tǒng)的手工流程逐步轉(zhuǎn)變?yōu)檐浖畔⑻幚砹鞒蹋t(yī)院業(yè)務(wù)對于信息系統(tǒng)的依賴也越來越強(qiáng)，但信息安全是網(wǎng)絡(luò)時代產(chǎn)生的一個困擾所有使用者的問題，尤其是醫(yī)院業(yè)務(wù)所產(chǎn)生的數(shù)據(jù)具有隱私程度更高的特點，對于數(shù)據(jù)傳輸與數(shù)據(jù)存儲的安全性的要求更高，因此保障醫(yī)院信息的安全性成為醫(yī)院信息化建設(shè)過程中必須重視的關(guān)鍵問題。信息安全管理是通過維護(hù)信息的機(jī)密性、完整性與可用性來管理并保護(hù)組織所有的信息資產(chǎn)的一項體制。

1 醫(yī)院信息安全現(xiàn)狀

文獻(xiàn)對湖北省醫(yī)院信息安全狀況進(jìn)行了調(diào)查和分析，調(diào)查結(jié)果如下：

醫(yī)院網(wǎng)絡(luò)安全措施方面，湖北省98.10%的二級及以上醫(yī)院已采用網(wǎng)絡(luò)安全措施，其中應(yīng)用情況比較好的有防火墻設(shè)備、上網(wǎng)行為管理和域用戶管理模式，應(yīng)用比例如圖1所示。

體系結(jié)構(gòu)安全措施方面，醫(yī)院信息系統(tǒng)體系結(jié)構(gòu)安全措施主要包括服務(wù)器雙機(jī)熱備、服務(wù)器集群、容錯機(jī)、服務(wù)器負(fù)載均衡等，湖北省二級及以上醫(yī)院信息系統(tǒng)總體采用率如圖2所示。

數(shù)據(jù)安全措施方面，數(shù)據(jù)安全是通過數(shù)據(jù)冗余、密碼認(rèn)證等措施以防數(shù)據(jù)因系統(tǒng)硬件或軟件故障而引起數(shù)據(jù)丟失或泄漏的一種措施。調(diào)查結(jié)果顯示：應(yīng)用率較高的安全措施，如數(shù)據(jù)庫鏡像備份、數(shù)據(jù)冷備份和數(shù)據(jù)離線存儲的應(yīng)用率如圖3所示。

醫(yī)院信息安全制度和應(yīng)急預(yù)案方面，93.51的二級醫(yī)院已制定醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案，其中制定比較完善的占30.93%；95.35%的三級醫(yī)院制定了醫(yī)院信息系統(tǒng)安全制度與措施，其中比較完善的占46.42%。

衛(wèi)生部印發(fā)的衛(wèi)辦綜發(fā)[2011]39號《基于電子病歷的醫(yī)院信息平臺建設(shè)技術(shù)解決方案（1.0版）》中對醫(yī)院信息平臺的安全體系框架給予了指導(dǎo)說明，如圖4所示。

基于電子病歷的醫(yī)院信息平臺安全體系總體框架包括：安全基礎(chǔ)設(shè)施、安全技術(shù)、安全管理三部分：

（1）安全基礎(chǔ)設(shè)施主要為基于電子病歷的醫(yī)院信息平臺安全運行所需的防護(hù)部件，通過安全基礎(chǔ)設(shè)施的安全互聯(lián)、接入控制與邊界防護(hù)、區(qū)域安全、通信安全、數(shù)據(jù)傳輸安全和安全管理等，為形成一體化的安全防護(hù)體系奠定基礎(chǔ)。

（2）安全技術(shù)包含安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、屋里安全及安全管理中心五個方面。

（3）安全管理建設(shè)需建立相應(yīng)的信息安全管理機(jī)構(gòu)、制定相應(yīng)的信息安全管理制度、設(shè)置平臺運行所需的人員、崗位，建立對系統(tǒng)在運行開發(fā)過程中的制度，同時通過日常巡檢、咨詢、評估等運行管理來發(fā)現(xiàn)安全隱患并予以改進(jìn)與提升。

2 醫(yī)院信息安全管理實踐措施

孝感市某醫(yī)院自2008年起開始全面建設(shè)醫(yī)院信息化，在軟件信息系統(tǒng)功能不斷提升改進(jìn)的同時，也不斷地探索實踐信息安全保障的方式，形成了如圖5所示的醫(yī)院信息安全管理體系框架。

2.1 網(wǎng)絡(luò)安全管理

2.1.1 安全網(wǎng)關(guān)技術(shù)

采用路由器與防火墻相結(jié)合的Juniper SSG安全專用網(wǎng)關(guān)，通過網(wǎng)絡(luò)和應(yīng)用層防護(hù)技術(shù)，用于阻斷蠕蟲、間諜軟件、木馬、惡意軟件和其他新興攻擊。此外，SSG安全網(wǎng)關(guān)設(shè)備還整合了防火墻系統(tǒng)ScreenOS，Juniper J系列路由器的廣域網(wǎng)接口模塊以及JUNOS系統(tǒng)廣域網(wǎng)封裝協(xié)議，以提供整合的安全和路由特性，可同時部署為防火墻和路由設(shè)備。

（1）內(nèi)外網(wǎng)隔離：醫(yī)院內(nèi)網(wǎng)與外部互聯(lián)網(wǎng)通過防火墻設(shè)置實現(xiàn)了內(nèi)外網(wǎng)隔離，保證內(nèi)網(wǎng)安全性。

（2）安全防護(hù)與效能：通過使用驗證的防火墻與丨 PSec VPN，加上UTM安全防護(hù)功能，包括IPS、防毒（包括防間諜軟件、防廣告軟件、防釣魚攻擊）、防垃圾郵件，以及Web過濾。

（3）網(wǎng)路分段功能：提供一組網(wǎng)絡(luò)分區(qū)特性，如安全區(qū)域、虛擬路由器和虛擬局域網(wǎng)等，允許管理員將網(wǎng)絡(luò)分割成不同的安全區(qū)域以部署不同的安全策略，從而為不同的用戶群提供不同級別的安全性。

（4）防火墻技術(shù)：通過防火墻技術(shù)，實現(xiàn)網(wǎng)絡(luò)攻擊檢測、DoS和DDoS防護(hù)、用于數(shù)據(jù)包碎片保護(hù)的TCP重組、異常數(shù)據(jù)包防護(hù)等功能。

（5）入侵檢測與防御系統(tǒng)：通過可定制的規(guī)則對本地的運行程序、注冊表的讀寫操作、以及文件讀寫操作進(jìn)行判斷并允許或禁止。通過將入侵檢測與防御軟件安裝在硬件防火墻上，實現(xiàn)高端安全功能整合。

（6）日志記錄和監(jiān)視：日志記錄和監(jiān)視功能能夠?qū)崿F(xiàn)監(jiān)控多個服務(wù)器的系統(tǒng)日志，可進(jìn)行路由跟蹤，可使用VPN隧道監(jiān)視器。

（7）管理：具有本地管理員數(shù)據(jù)庫與外部的管理員數(shù)據(jù)庫，用戶級別分為根管理員、管理員和只讀用戶級別。

2.1.2 上網(wǎng)行為管理

通過將上網(wǎng)行為管理硬件部署在防火墻與交換機(jī)之間，實現(xiàn)P2P流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個方面的功能。

（1）防止帶寬資源濫用：通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、時間段等的細(xì)致帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障院內(nèi)業(yè)務(wù)應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。

（2）防止無關(guān)網(wǎng)絡(luò)行為影響工作效率：上網(wǎng)行為管理產(chǎn)品可基于用戶/用戶組、應(yīng)用、時間等條件的上網(wǎng)授權(quán)策略可以精細(xì)管控所有與工作無關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進(jìn)行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。

（3）記錄上網(wǎng)軌跡滿足法規(guī)要求：上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風(fēng)險。

（4）管控外發(fā)信息，降低泄密風(fēng)險：上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動泄密、被動泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護(hù)信息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險。

（5）為網(wǎng)絡(luò)管理與優(yōu)化提供決策依據(jù)：上網(wǎng)行為管理產(chǎn)品提供了豐富的網(wǎng)絡(luò)可視化報表，能夠提供詳細(xì)報告讓管理者清晰掌握互聯(lián)網(wǎng)流量的使用情況，找到造成網(wǎng)絡(luò)故障的原因和網(wǎng)絡(luò)瓶頸所在，從而對精細(xì)化管理網(wǎng)絡(luò)并持續(xù)加以優(yōu)化提供了有效依據(jù)。

（6）防止病毒木馬等網(wǎng)絡(luò)風(fēng)險：通過上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強(qiáng)度檢查與網(wǎng)絡(luò)準(zhǔn)入，DOS防御、ARP欺騙防護(hù)等多種安全手段，實現(xiàn)立體式安全護(hù)航，確保組織安全上網(wǎng)。

2.2 外部訪問安全控制管理

2.2.1 外部公眾訪問醫(yī)院宣傳網(wǎng)站的安全管理

對于醫(yī)院對外宣傳網(wǎng)站服務(wù)器，通過內(nèi)網(wǎng)IP映射為外網(wǎng)IP，實現(xiàn)外部訪問，同時也保證了內(nèi)部網(wǎng)站服務(wù)器的安全性。

2.2.2 外部開發(fā)與維護(hù)人員遠(yuǎn)程訪問系統(tǒng)安全管理

醫(yī)院外部開發(fā)與維護(hù)人員遠(yuǎn)程訪問系統(tǒng)皆通過VPN進(jìn)行訪問（虛擬專用網(wǎng)絡(luò)）。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)保證連接的安全。

（1）為不同接入用戶分別建立獨立的VPN連接用戶：不同類別用戶各自擁有獨立的VPN連接用戶，例如，對于信息中心人員，每位員工擁有各自VPN用戶名及密碼，對于外部廠商人員，為每個廠商分配了VPN連接用戶，以在需要時區(qū)分遠(yuǎn)程連接操作的操作者。

（2）安全特性：VPN后臺管理可以為設(shè)置VPN訪問策略；可以通過連接監(jiān)控器管理歷史VPN連接訪問記錄。

2.3 數(shù)據(jù)庫安全管理

數(shù)據(jù)庫是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲的核心，數(shù)據(jù)不僅是各個應(yīng)用系統(tǒng)的基礎(chǔ)，也是醫(yī)院的重要資源。數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)安全的核心部分。

數(shù)據(jù)庫的安全威脅主要有三種：篡改、損壞、竊取。在數(shù)據(jù)庫安全管理層面，提供4種安全管理策略。

2.3.1 用戶注冊管理

系統(tǒng)管理員為不同類別用戶注冊不同用戶名，以方面針對性地進(jìn)行權(quán)限管理與權(quán)限控制。

2.3.2 身份驗證管理

身份驗證管理包括數(shù)據(jù)庫服務(wù)器登錄的身份驗證管理與數(shù)據(jù)庫本身的登錄身份驗證管理。所有的用戶登錄均需要通過驗證用戶名與密碼。系統(tǒng)管理員按操作規(guī)程定期修改數(shù)據(jù)庫服務(wù)器密碼。

2.3.3 存取控制管理

對分配給數(shù)據(jù)庫進(jìn)行操作的用戶根據(jù)用戶類型進(jìn)行存取權(quán)限控制管理。例如管理員類用戶具有最高的讀寫、刪除權(quán)限。

2.4 應(yīng)用系統(tǒng)權(quán)限管理

醫(yī)院所有應(yīng)用系統(tǒng)通過集成平臺集成到統(tǒng)一的醫(yī)院門戶中。門戶下的應(yīng)用權(quán)限分為兩級權(quán)限管理：門戶權(quán)限管理與應(yīng)用系統(tǒng)內(nèi)部權(quán)限管理。門戶系統(tǒng)權(quán)限設(shè)置基于用戶角色進(jìn)行權(quán)限分配，醫(yī)院員工通過分配相應(yīng)角色使用門戶功能；系統(tǒng)功能權(quán)限主要控制操作人是否可以進(jìn)入該功能。

2.4.1 角色設(shè)置

醫(yī)院對相關(guān)的角色進(jìn)行整體分類，劃分了以下角色：醫(yī)生、護(hù)士、藥劑科、門辦、醫(yī)務(wù)處、醫(yī)保辦等、職能科室負(fù)責(zé)人、醫(yī)院副職領(lǐng)導(dǎo)、院長、系統(tǒng)管理員、其他角色。

2.4.2 系統(tǒng)功能權(quán)限設(shè)置

將系統(tǒng)功能進(jìn)行類別的劃分，例如業(yè)務(wù)處理、財務(wù)狀況、醫(yī)療動態(tài)、藥品信息、病人資料、人事行政、總務(wù)后勤、其他信息、系統(tǒng)維護(hù)。

2.4.3 角色具體權(quán)限分配

對所建立的角色分配權(quán)限，當(dāng)新用戶加入時，通過為用戶分配角色，實現(xiàn)相應(yīng)功能權(quán)限的分配。例如000586王新軍藥劑科管理員，具有藥庫系統(tǒng)；藥庫查詢；藥庫報表；藥庫維護(hù)；門診發(fā)藥；工作報表；統(tǒng)計查詢等權(quán)限。

2.5 院內(nèi)終端設(shè)備安全管理

2.5.1 操作系統(tǒng)登錄用戶設(shè)置

院內(nèi)所有終端電腦登錄用戶設(shè)置為不具有操作系統(tǒng)管理權(quán)限，同時對涉及安全操作功能對登錄用戶進(jìn)行了屏蔽。保證了用戶登錄操作系統(tǒng)進(jìn)行應(yīng)用系統(tǒng)操作的同時，也不會因其他誤操作引起終端電腦產(chǎn)生安全漏洞。

2.5.2 終端電腦設(shè)置不能訪問外網(wǎng)

院內(nèi)所有終端電腦安裝默認(rèn)設(shè)置為不能訪問外網(wǎng)，只需接入醫(yī)院內(nèi)網(wǎng)以滿足醫(yī)院業(yè)務(wù)應(yīng)用操作需要。如因業(yè)務(wù)需要確實需要接入外網(wǎng)的終端，須經(jīng)院內(nèi)審核后進(jìn)行設(shè)置。防止因終端電腦任意訪問外網(wǎng)所導(dǎo)致的網(wǎng)絡(luò)病毒的威脅及黑客攻擊。

2.5.3 終端電腦禁用USB接口

院內(nèi)所有終端電腦操作系統(tǒng)設(shè)置為禁止使用USB接口。如因業(yè)務(wù)需要確實需要開通USB接口，須經(jīng)院內(nèi)審批后進(jìn)行設(shè)置開通。防止因接入可能存在病毒及木馬的USB設(shè)備而引起的終端電腦病毒感染，避免終端電腦的文件及信息被竊取。

2.5.4 終端電腦安裝安全防護(hù)軟件

院內(nèi)所有終端電腦上都安裝安全防護(hù)軟件對終端電腦進(jìn)行系統(tǒng)與文件的安全保護(hù)，對有威脅的文件進(jìn)行過濾及清除。及時發(fā)現(xiàn)、定位及清除病毒文件，為終端電腦提供實時的安全防護(hù)。

3 結(jié)束語

醫(yī)院信息安全作為醫(yī)院信息化管理的關(guān)鍵工作之一，是一個復(fù)雜的系統(tǒng)工程，醫(yī)院需要建立一套完整的信息安全管理體系，采用多種技術(shù)手段，建立有效、健全的安全防御體系來全方位的防止來自網(wǎng)絡(luò)內(nèi)外的威脅，最終達(dá)到保護(hù)醫(yī)院信息安全的目的。

參考文獻(xiàn)

[1]孟一清.淺談醫(yī)院信息安全管理[J].中國衛(wèi)生產(chǎn)業(yè)，2011，8（12）：168-169

[2]陳敏，鄭見立.湖北省醫(yī)院信息安全狀況調(diào)查與分析[J].中國醫(yī)院管理，2011，31（5）：20-21

[3]石凌云，詹建國.計算機(jī)網(wǎng)絡(luò)安全服務(wù)器入侵與防御研究[J].電腦知識與技術(shù)，2010，6（15）：4116-4119

[4]房寧.基于VPN技術(shù)及其應(yīng)用的研究[J].計算機(jī)光盤軟件與應(yīng)用，2012，11：32-33

[5]陳凌平，馬宗慶，郭振華.醫(yī)院信息系統(tǒng)安全與管理建設(shè)淺談[J].中國醫(yī)療器械信息，2010，16（3）：21-25

[6]田秀霞，王曉玲，高明，周傲英.數(shù)據(jù)庫服務(wù)――安全與隱私保護(hù)[J]. 軟件學(xué)報，2010，21（5）：991-1006

篇5

關(guān)鍵詞：企業(yè)信息化 信息安全管理 作用

1 企業(yè)信息化

信息化是指培養(yǎng)、發(fā)展以計算機(jī)為主的智能化工具為代表的新生力，并使之造福于社會的歷史過程。信息化代表了一種信息技術(shù)被高度應(yīng)用，信息資源被高度共享，從而使得人的只能潛力以及社會物質(zhì)資源潛力被充分發(fā)揮，個人行為，組織決策和社會運行趨勢于合理化的理想狀態(tài)。信息化是各企業(yè)管理運用中必須強(qiáng)化的一項內(nèi)容。企業(yè)信息化是指企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ)，在一定的深度和廣度上利用計算機(jī)網(wǎng)絡(luò)技術(shù)數(shù)據(jù)庫技術(shù)，控制和集成化管理企業(yè)生產(chǎn)經(jīng)營活動中的各種信息，實現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用，以提高企業(yè)的經(jīng)濟(jì)效益和市場競爭力，這將涉及到對企業(yè)管理理念的創(chuàng)新。管理團(tuán)隊的重組和管理手段的創(chuàng)新。

2 信息安全管理

2.1信息安全管理的概述

管理是一種基本的社會實踐活動，它貫穿于人類社會實踐的歷史過程。信息安全管理是通過對信息活動相關(guān)領(lǐng)域的管理，來實現(xiàn)信息安全管理的目的。信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義上來說，凡是涉及信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是信息安全的研究領(lǐng)域。

2.2信息安全管理的特征

2.2.1基礎(chǔ)性

信息安全管理是保障信息安全的基本途徑，也是實施信息安全活動的主要依托和必備手段。它既是行駛和保障合法權(quán)益的基本手段，也是整個信息社會正常運行的先決條件。信息安全管理的保障能力既是個人素質(zhì)、企業(yè)實力、軍隊?wèi)?zhàn)斗力的重要體現(xiàn)，也是國家和社會安全的重要標(biāo)志。因此，信息安全管理不僅是任何個人、任何組織、任何行業(yè)、任何國家都需要的基本管理活動，而且是其實施信息安全活動的主要依托和必備手段。

2.2.2全局性

信息安全管理是一個龐大、復(fù)雜、動態(tài)的人機(jī)交互系統(tǒng)工程，是由一系列子系統(tǒng)構(gòu)成的一個有機(jī)整體，涉及信息安全管理的人員、資產(chǎn)、技術(shù)、設(shè)備、環(huán)境、體制編制、政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、管理理論、管理方法、教育訓(xùn)練、政治工作及后勤保障等各方面。各個子系統(tǒng)之間既相互滲透又相互促進(jìn)，共同構(gòu)成了信息安全管理的全局。構(gòu)建信息安全管理體系，進(jìn)行全面的信息安全管理，其實質(zhì)在于全面提高整體信息安全管理水平。這就從本質(zhì)上說明了信息安全管理，都不是真正意義上的信息安全管理，只有在總體戰(zhàn)略上完成了信息安全管理的過程，才能稱為信息安全管理。因為當(dāng)今的安全是包括各個領(lǐng)域的大安全，其信息領(lǐng)域的安全尤為重要。

3 動態(tài)性

由現(xiàn)代管理學(xué)可知，管理既是一種活動，也是一個過程。管理系統(tǒng)是一個運動著的有機(jī)體。管理系統(tǒng)內(nèi)部的聯(lián)系及其與環(huán)境的相互作用都是一種運動。管理系統(tǒng)的功能是時間的函數(shù)，因為不論是管理系統(tǒng)要素的狀態(tài)和功能，還是環(huán)境的狀態(tài)或聯(lián)系的狀態(tài)都是在變化的，運動是管理系統(tǒng)的生命。例如在鋼鐵企業(yè)中社會經(jīng)濟(jì)系統(tǒng)中的子系統(tǒng)，為了適應(yīng)外部社會經(jīng)濟(jì)的需要，必須不斷地完善和改變自己的功能，而鋼鐵企業(yè)內(nèi)部各子系統(tǒng)的功能及相互關(guān)系也必須隨之相應(yīng)的發(fā)展變化。

4 安全管理系統(tǒng)對企業(yè)信息化的作用

計算機(jī)安全管理系統(tǒng)與企業(yè)的正常運營有著密不可分的關(guān)系。信息安全管理體系主要分為三個要素，第一是資源條件，即組織中的人、財、物、時間、空間、信息、以及信息環(huán)境等；二是目標(biāo)，信息安全管理目標(biāo)是管理運行的動力和方向；三是管理者與被管理者。對于，企業(yè)而言。安全管理系統(tǒng)，系統(tǒng)信息技術(shù)的發(fā)展不僅改變了企業(yè)的外部環(huán)境，內(nèi)部的管理模式也將因此而發(fā)生改革。企業(yè)信息化程度不斷提高。安全管理系統(tǒng)不僅在內(nèi)部形成網(wǎng)絡(luò)，做到信息共享，使企業(yè)組織整體高效運營，而且企業(yè)還與外部網(wǎng)絡(luò)溝通，形成互聯(lián)網(wǎng)絡(luò)。信息技術(shù)、信息系統(tǒng)和信息作為一種資源已不再僅僅支撐鋼鐵企業(yè)戰(zhàn)略，而且還有助于決定企業(yè)戰(zhàn)略。企業(yè)信息化采用計算機(jī)安全管理系統(tǒng)，采用大量的安全信息技術(shù)，改進(jìn)和強(qiáng)化了企業(yè)物流資、資金流、人員流及信息流的集成管理，對企業(yè)固有的經(jīng)營思想和管理模式產(chǎn)生了強(qiáng)烈沖擊，帶來了根本性變革。計算機(jī)安全信息技術(shù)與企業(yè)的發(fā)展與融合，使企業(yè)競爭戰(zhàn)略不斷創(chuàng)新，提高了企業(yè)競爭力。企業(yè)運用安全信息系統(tǒng)管理，不僅提高了企業(yè)全體員工的整體素質(zhì)，建立良好的管理規(guī)范和管理流程，構(gòu)建扎實的企業(yè)管理基礎(chǔ)，實行科學(xué)管理，從而提高了企業(yè)的整體管理水平。計算機(jī)安全管理系統(tǒng)在企業(yè)內(nèi)部的管理中起著重要性的作用。

5 結(jié)語

計算機(jī)安全管理系統(tǒng)在企業(yè)中的運用是建立國家信息安全保障體系的物質(zhì)基礎(chǔ)。信息管理安全體系與企業(yè)管理是信息安全管理的重要組成部分。近年來，我國計算機(jī)信息安全技術(shù)研究與信息化取得了積極進(jìn)展，但整體上還比較落后，關(guān)鍵是技術(shù)和產(chǎn)品受制于人，計算機(jī)信息安全系統(tǒng)是信息安全保障的關(guān)鍵，也是企業(yè)有效運行的重要條件。為使我國各企業(yè)經(jīng)濟(jì)更好地發(fā)展。必須加強(qiáng)信息安全科學(xué)技術(shù)研究。要健全技術(shù)創(chuàng)新體系，提高我國信息安全自主創(chuàng)新能力，使計算機(jī)安全管理系統(tǒng)更進(jìn)一步。有效地服務(wù)于各行各業(yè)中。

參考文獻(xiàn)：

[1]科飛管理咨詢公司.信息安全管理概論—BS7799理解與實施[M].北京：機(jī)械工業(yè)出版社，2002.

[2]戴宗坤，羅萬伯.信息系統(tǒng)安全.北京：電子工業(yè)出版社，2002：170-172

[3]沈昌祥.風(fēng)險管理與應(yīng)急體系.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（6）：6-7

篇6

【關(guān)鍵詞】醫(yī)院信息化建設(shè)；計算機(jī)網(wǎng)絡(luò)；安全管理；維護(hù)

現(xiàn)代計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，帶動了醫(yī)療行業(yè)信息化建設(shè)的發(fā)展浪潮。隨著醫(yī)院信息化建設(shè)不斷深入，計算機(jī)網(wǎng)絡(luò)覆蓋了醫(yī)院各個部門，醫(yī)院業(yè)務(wù)越來越依靠計算機(jī)網(wǎng)絡(luò)來開展。智能高效的計算機(jī)網(wǎng)絡(luò)對于現(xiàn)代數(shù)字化智慧醫(yī)院的建設(shè)，起到了重要的促進(jìn)作用。但是，醫(yī)院計算機(jī)網(wǎng)絡(luò)為醫(yī)院業(yè)務(wù)帶來高效率服務(wù)的同時，各種安全隱患威脅也隨之而來。從目前的醫(yī)院信息化應(yīng)用發(fā)展的趨勢看，計算機(jī)網(wǎng)絡(luò)一旦發(fā)生問題，將給醫(yī)院信息安全帶來巨大的威脅。輕則影響醫(yī)院業(yè)務(wù)，重則危害公眾利益。因此加強(qiáng)醫(yī)院內(nèi)部計算機(jī)網(wǎng)絡(luò)的安全管理與維護(hù)工作，十分重要。

1醫(yī)院信息化建設(shè)計算機(jī)網(wǎng)絡(luò)安全管理的重要性

1.1計算機(jī)網(wǎng)絡(luò)支撐醫(yī)院信息化建設(shè)

醫(yī)院信息化系統(tǒng)是利用計算機(jī)網(wǎng)絡(luò)和設(shè)備，為醫(yī)院各科室提供患者診療業(yè)務(wù)信息和行政管理信息收集與處理服務(wù)。沒有計算機(jī)網(wǎng)絡(luò)，醫(yī)院信息系統(tǒng)各模塊就無法通信，也無法實現(xiàn)其業(yè)務(wù)功能。建立了覆蓋全院各部門的計算機(jī)網(wǎng)架構(gòu)，才能為建設(shè)全新的數(shù)字化智慧醫(yī)院奠定良好基礎(chǔ)。好比火車和鐵軌，要想火車要開到哪，鐵軌就得鋪設(shè)到哪。

1.2計算機(jī)網(wǎng)絡(luò)在醫(yī)院信息化建設(shè)中的應(yīng)用

在醫(yī)院信息化建設(shè)中，計算機(jī)網(wǎng)絡(luò)的應(yīng)用領(lǐng)域很多，如果進(jìn)行簡單的分類，可以分為信息處理和信息傳遞兩部分。如病人到醫(yī)院就診掛號生成病人就診卡，醫(yī)院檢驗、放射、病理醫(yī)技檢查結(jié)果由計算機(jī)接收處理生成電子檢查單，是信息處理應(yīng)用。醫(yī)生通過就診卡調(diào)取病人就診信息，查看檢查結(jié)果，是信息傳遞應(yīng)用。醫(yī)院信息化建設(shè)通過計算機(jī)網(wǎng)絡(luò)，形成一個智能高效的醫(yī)院信息系統(tǒng)，包含醫(yī)院各類業(yè)務(wù)的數(shù)據(jù)。醫(yī)院各部門通過院內(nèi)計算機(jī)網(wǎng)絡(luò)，按分配的權(quán)限從醫(yī)院系統(tǒng)的數(shù)據(jù)庫中調(diào)閱所需資料，取代了傳統(tǒng)的紙質(zhì)記錄文檔，實現(xiàn)醫(yī)院日常業(yè)務(wù)工作“無紙化”。

1.3計算機(jī)網(wǎng)絡(luò)安全管理是醫(yī)院信息化建設(shè)的重點

醫(yī)院信息系統(tǒng)完全依賴醫(yī)院計算機(jī)網(wǎng)絡(luò)運行，一個安全穩(wěn)定的計算機(jī)網(wǎng)絡(luò)，不但能提高醫(yī)院工作效率，還能促進(jìn)醫(yī)院信息化建設(shè)發(fā)展。一旦醫(yī)院計算機(jī)網(wǎng)絡(luò)發(fā)生安全事故，就會造成醫(yī)院日常工作的癱瘓，而且病患的個人信息也極有可能泄露，從而使病患的隱私受到侵犯。由此可見，做不到醫(yī)院計算機(jī)網(wǎng)絡(luò)的安全與穩(wěn)定，醫(yī)院信息化建設(shè)就象沙灘上建城堡，邊建立，邊破滅。

2醫(yī)院計算機(jī)網(wǎng)絡(luò)安全威脅分析

2.1醫(yī)院內(nèi)部對計算機(jī)網(wǎng)絡(luò)安全管理的漠視

在當(dāng)今信息化時代，醫(yī)院信息化建設(shè)已經(jīng)為醫(yī)院帶來可巨大的經(jīng)濟(jì)效益，醫(yī)院也越來越意識到計算機(jī)網(wǎng)絡(luò)的好處。但在醫(yī)院業(yè)務(wù)對計算機(jī)網(wǎng)絡(luò)依賴日益增加的今天，某些醫(yī)院人員對計算機(jī)網(wǎng)絡(luò)安全的重視，還停留在口頭上。醫(yī)院的醫(yī)務(wù)人員由于自身職業(yè)的緣故，缺乏專業(yè)計算機(jī)知識，不清楚網(wǎng)絡(luò)安全管理與維護(hù)的必要性。有些醫(yī)院信息維護(hù)管理部門管理不善，對于醫(yī)院計算機(jī)網(wǎng)絡(luò)用戶的權(quán)限需求不予限制，予取予求。而用戶獲得權(quán)限后沒有保密意識，權(quán)限被盜用導(dǎo)致數(shù)據(jù)泄密?；蚴轻t(yī)院用戶以工作效率等為借口，漠視醫(yī)院的計算機(jī)網(wǎng)絡(luò)安全管理制度，在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中屢次發(fā)生違規(guī)操作，也同樣危害到計算機(jī)網(wǎng)絡(luò)安全。

2.2計算機(jī)網(wǎng)絡(luò)中硬件設(shè)備問題

（1）一般來說，醫(yī)院計算機(jī)網(wǎng)絡(luò)客戶端連接的設(shè)備，就是計算機(jī)。醫(yī)院的網(wǎng)絡(luò)用戶，是通過操作客戶端的計算機(jī)來接入醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)工作。但醫(yī)院有時候從效益和節(jié)省成本的角度出發(fā)，計算機(jī)設(shè)備淘汰速度較慢。這些計算機(jī)運行速度較慢，容易死機(jī)，影響網(wǎng)絡(luò)工作流程。此外因為客觀條件的原因，目前絕大多數(shù)計算機(jī)使用的都是微軟公司的WINDOWS系列操作系統(tǒng)，有的甚至還在使用WINDOSXP系統(tǒng)。由于WINDOWS操作系統(tǒng)自身的原因，存在的漏洞如不及時修補(bǔ)極易受到攻擊，給計算機(jī)網(wǎng)絡(luò)造成安全威脅。（2）醫(yī)院的宗旨是救死扶傷，為了保障患者的診療業(yè)務(wù)正常開展，醫(yī)院計算機(jī)網(wǎng)絡(luò)要求全天24小時暢通。故醫(yī)院計算機(jī)網(wǎng)絡(luò)各節(jié)點的網(wǎng)絡(luò)設(shè)備，是全天候不間斷運行的。但網(wǎng)絡(luò)電子設(shè)備，總是無法避免發(fā)生故障：如雨天雷擊，炎熱高溫，意外斷電等會導(dǎo)致設(shè)備故障；網(wǎng)絡(luò)線路的斷裂，信號受到干擾，也會導(dǎo)致設(shè)備無法通信。網(wǎng)絡(luò)設(shè)備的故障對計算機(jī)網(wǎng)絡(luò)的破壞具有隱蔽性和突然性，還會造成故障排查上的困難。

2.3病毒侵襲和黑客攻擊

計算機(jī)病毒是一種惡意程序，而計算機(jī)網(wǎng)絡(luò)病毒是在計算機(jī)網(wǎng)絡(luò)上傳播、專門攻擊網(wǎng)絡(luò)薄弱環(huán)節(jié)、破壞網(wǎng)絡(luò)資源的計算機(jī)病毒。病毒尋找計算機(jī)網(wǎng)絡(luò)漏洞進(jìn)行侵入，攻擊網(wǎng)絡(luò)上的主機(jī)，降低計算機(jī)工作效率，讓程序運行發(fā)生錯誤。另一方面，病毒的傳播擴(kuò)散性，使得它會持續(xù)攻擊其他客戶端的計算機(jī)。網(wǎng)絡(luò)病毒的傳播，就會占用網(wǎng)絡(luò)帶寬，堵塞網(wǎng)絡(luò)，引起廣播風(fēng)暴，最后導(dǎo)致計算機(jī)網(wǎng)絡(luò)癱瘓。計算機(jī)病毒的防治一直是令人頭痛的問題，因為病毒制造者一直在修改病毒程序，針對各種漏洞發(fā)動攻擊。和計算機(jī)病毒威脅相伴的，是網(wǎng)絡(luò)黑客攻擊。網(wǎng)絡(luò)黑客出于不同的目的對計算機(jī)網(wǎng)絡(luò)發(fā)動攻擊，他們攻擊醫(yī)院計算機(jī)網(wǎng)絡(luò)可能為了炫耀或報復(fù)，但更多是為了經(jīng)濟(jì)利益。黑客對醫(yī)院網(wǎng)絡(luò)的攻擊方式主要有布置木馬程序，利用系統(tǒng)安全漏洞，盜用IP，竊取用戶賬號權(quán)限等。例如勒索病毒事件，黑客就是利用計算機(jī)系統(tǒng)的漏洞進(jìn)行病毒攻擊并勒索錢財，國外多家醫(yī)院成為病毒感染“重災(zāi)區(qū)”。

3醫(yī)院信息化建設(shè)中計算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)策略分析

3.1完善管理組織機(jī)構(gòu)，建立健全安全制度

俗話說：蛇無頭不行。醫(yī)院要做好計算機(jī)網(wǎng)絡(luò)的安全管理工作，要成立相應(yīng)的安全管理機(jī)構(gòu)，如成立醫(yī)院由醫(yī)院領(lǐng)導(dǎo)組成的信息化安全管理領(lǐng)導(dǎo)小組，全面落實醫(yī)院信息安全工作和醫(yī)院各部門職責(zé)。醫(yī)院要設(shè)立專職負(fù)責(zé)的醫(yī)院信息安全管理的技術(shù)部門，如醫(yī)院信息科。引進(jìn)高水平的專業(yè)人才，設(shè)立專職的信息安全管理人員，打造專業(yè)的技術(shù)團(tuán)隊。同時，結(jié)合醫(yī)院實際情況，建立安全管理制度，完善安全管理機(jī)制，制定各類網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并在醫(yī)院安全領(lǐng)導(dǎo)管理機(jī)構(gòu)和專職技術(shù)部門的監(jiān)督下，認(rèn)真執(zhí)行。

3.2加強(qiáng)計算機(jī)用戶培訓(xùn)，統(tǒng)一信息安全防護(hù)意識

對醫(yī)院職工開展計算機(jī)教育和培訓(xùn)。一方面進(jìn)行基本的計算機(jī)信息安全知識培訓(xùn)，另一方面加強(qiáng)法制教育，內(nèi)容包括計算機(jī)安全法律法規(guī)、國家保密法、計算機(jī)犯罪法等，特別是2017年6月開始執(zhí)行的《中華人民共和國網(wǎng)絡(luò)安全法》。通過教育，明確醫(yī)院各部門在計算機(jī)網(wǎng)絡(luò)安全管理中應(yīng)履行的權(quán)利和義務(wù)，在思想上和行動上統(tǒng)一全院的信息安全防護(hù)意識。

3.3做好醫(yī)院計算機(jī)網(wǎng)絡(luò)與設(shè)備的維護(hù)

按照醫(yī)院的需求，做好每年醫(yī)院信息化建設(shè)的預(yù)算，預(yù)算包含采購醫(yī)院信息化硬件設(shè)備和網(wǎng)絡(luò)改造的資金。及時淘汰老化的計算機(jī)，網(wǎng)絡(luò)客戶端計算機(jī)使用windows7以上操作系統(tǒng)，及時更新補(bǔ)丁修復(fù)操作系統(tǒng)漏洞。對于關(guān)鍵業(yè)務(wù)點的客戶端，可增加多臺計算機(jī)客戶端保障業(yè)務(wù)通暢。根據(jù)醫(yī)院的信息化發(fā)展不斷完善醫(yī)院計算機(jī)網(wǎng)絡(luò)的綜合布線，改造舊網(wǎng)絡(luò)，替換過時的網(wǎng)絡(luò)設(shè)備。按醫(yī)院的實際情況設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，主干線路用光纖，主要設(shè)備和鏈路采用冗余設(shè)計。樓宇間或懸空的網(wǎng)絡(luò)線路要注意防雷或使用光纖連接，主要網(wǎng)絡(luò)設(shè)備配備UPS不間斷電源供電。

3.4做好網(wǎng)絡(luò)訪問控制

要做到網(wǎng)絡(luò)安全防范與保護(hù)，主要策略就是采取網(wǎng)絡(luò)訪問控制。訪問控制就是利用多種技術(shù)手段保護(hù)網(wǎng)絡(luò)資源不被非法訪問和使用。為實現(xiàn)醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全管理，在規(guī)劃醫(yī)院計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時，可以根據(jù)醫(yī)院各部門業(yè)務(wù)和職能的差異劃分不同的區(qū)域，分配各自的地址段。尤其是醫(yī)院信息化系統(tǒng)的重要服務(wù)器，劃分進(jìn)特定的區(qū)域重點防護(hù)，并做好服務(wù)器主機(jī)安全設(shè)置。在網(wǎng)絡(luò)上布置防火墻和安全網(wǎng)關(guān)實現(xiàn)邊界隔離和訪問控制，各區(qū)域按管理規(guī)定劃分訪問權(quán)限，限制或隔離醫(yī)院計算機(jī)網(wǎng)絡(luò)上各區(qū)域間的訪問，控制各客戶端對服務(wù)器重點區(qū)域的訪問。醫(yī)院計算機(jī)網(wǎng)絡(luò)各客戶端啟用IP/MAC地址綁定，防止非法計算機(jī)接入網(wǎng)絡(luò)。加強(qiáng)網(wǎng)絡(luò)用戶登陸網(wǎng)絡(luò)賬號的安全管理，同一用戶登陸進(jìn)行兩種身份鑒定組合，如：采用U盤證書加口令等方式。

3.5提高網(wǎng)絡(luò)防病毒能力

計算機(jī)網(wǎng)絡(luò)容易受到網(wǎng)絡(luò)病毒的攻擊，安裝防病毒軟件能夠有效的避免病毒的侵襲。防病毒軟件包含有網(wǎng)絡(luò)殺毒軟件、病毒防火墻以及入侵檢測系統(tǒng)等。為網(wǎng)絡(luò)上各主機(jī)，尤其是信息系統(tǒng)服務(wù)器安裝正版網(wǎng)絡(luò)殺毒軟件，并設(shè)置防病毒服務(wù)器，對殺毒軟件進(jìn)行自動升級，智能管理。病毒防火墻能檢測和防御通過網(wǎng)絡(luò)的方式來傳播病毒，對于一些網(wǎng)絡(luò)入侵的木馬程序，也能監(jiān)控并清除。計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)可做為防火墻的合理補(bǔ)充，通過數(shù)據(jù)審計和行為分析等手段，及時發(fā)覺網(wǎng)絡(luò)或系統(tǒng)受到攻擊的跡象。此外，為了保障網(wǎng)絡(luò)安全，分析潛在威脅，對各類安全審計日志，要保留足夠長的時間，例如保存半年以上。

3.6應(yīng)用加密技術(shù)

目前看來，我國絕大多數(shù)醫(yī)院的計算機(jī)網(wǎng)絡(luò)使用TCP/IP進(jìn)行具體通信。該協(xié)議過分強(qiáng)調(diào)了開發(fā)性和便利性，造成了很大的安全漏洞。故醫(yī)院信息系統(tǒng)在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)墓こ讨?，可以適當(dāng)?shù)目紤]采用數(shù)據(jù)加密手段，來防止數(shù)據(jù)泄密。加密技術(shù)是利用技術(shù)手段把數(shù)據(jù)變?yōu)閬y碼傳送，接收之后再用特定的手段還原。這就等于是為數(shù)據(jù)加了一層殼后再傳輸，就算數(shù)據(jù)被人中途截獲，沒有正確的方法也無法解密。

4結(jié)語

隨著醫(yī)院信息化建設(shè)的深入發(fā)展，各醫(yī)院不斷壯大基于大型網(wǎng)絡(luò)平臺的醫(yī)療信息系統(tǒng)建設(shè)，在這樣的大環(huán)境下，信息安全顯得尤為重要。國家中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，以及醫(yī)院信息系統(tǒng)安全等級保護(hù)測評的開展，充分說明了問題。加強(qiáng)醫(yī)院計算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)是當(dāng)今醫(yī)院信息安全建設(shè)的核心問題。因此，采取合理的手段，多措并舉，建立一套合理的醫(yī)院計算機(jī)網(wǎng)絡(luò)安全管理和維護(hù)機(jī)制，是未來醫(yī)院信息化建設(shè)順利發(fā)展和滿足信息安全管理需求的重要保障。

參考文獻(xiàn)

[1]潘帆.關(guān)于醫(yī)院計算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J].技術(shù)與市場,2015,22(02):134-135.

[2]何薇.關(guān)于醫(yī)院計算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J/OL].企業(yè)改革與管理,2014(14):23.

篇7

【關(guān)鍵詞】創(chuàng)新視角 乙烯化工 車間安全管理 研究

一、乙烯化工車間管理現(xiàn)狀分析

2011年10月某化工廠聚氯乙烯車間發(fā)生中毒事故，死亡2人。事故的主要原因是：該廠聚氯乙烯車間聚合工段在清理6號聚合釜時，違章作業(yè)，擅自打開聚合釜排污閥排污，排污后未將閥門關(guān)閉就投入使用。然后清理8號釜，由于8號聚合釜的出料閥未關(guān)嚴(yán)，結(jié)果6號聚合釜出料時，漿料串入8號釜，造成清理8號釜的2名操作工中毒窒息死亡。

2012年10月，某有機(jī)化工廠中試車間T-1804工段投料開車，在啟動壓縮機(jī)向高壓乙烯球罐充壓乙烯時，球罐安全閥啟跳，乙烯氣泄漏爆燃著火。燒傷3人，其中1人死亡，2人重傷。

二、分析事故發(fā)生的原因

事故發(fā)生的直接原因是高壓球罐的安全閥啟跳，罐內(nèi)部分高壓乙烯氣體經(jīng)安全閥導(dǎo)向管高速噴出，產(chǎn)生強(qiáng)烈振蕩造成導(dǎo)向管第二彎頭處焊縫斷裂，尾部導(dǎo)向管飛出，由于碰撞產(chǎn)生火花，造成乙烯氣空間爆燃。經(jīng)計算在安全閥啟跳期間，至少有11m3（標(biāo)準(zhǔn)態(tài)）的乙烯氣漏出，乙烯氣在空氣中的爆炸范圍是3%～29%。事故發(fā)生的其他原因是：①高壓球罐安全閥不到開啟壓力，提前啟跳，造成大量乙烯氣跑出。該安全閥規(guī)定正常開啟壓力為17MPa，與本工段的操作壓力15MPa相差2MPa，如安全閥正常啟跳是可以避免事故發(fā)生的。該安全閥為上海閥門廠生產(chǎn)的彈簧封閉全啟式安全閥，使用前，經(jīng)調(diào)試檢測合格。其標(biāo)準(zhǔn)開啟壓力為17MPa，允許誤差為3%，最低開啟壓力限為16.49MPa。事故后，測試該閥三次的開啟壓力為：16.05MPa，15.9MPa，16.3MPa，其平均值才達(dá)16.1MPa，既低于標(biāo)準(zhǔn)，又超出了合格范圍。分析其提前啟跳的原因，主要是安全閥本身質(zhì)量問題。事故發(fā)生后，該閥送航天部11所重新調(diào)校，經(jīng)調(diào)試40余次才達(dá)合格標(biāo)準(zhǔn)，說明其可靠性和穩(wěn)定性欠佳。②安全閥導(dǎo)向管在高速高壓氣體沖擊下，由于導(dǎo)向管固定不夠牢固產(chǎn)生強(qiáng)烈振蕩和位移，又因?qū)蚬苡幸缓缚谖慈咐?，造成在此焊口處斷裂，并因碰撞產(chǎn)生火花，導(dǎo)致乙烯氣爆燃后果。另外，事故的發(fā)生也同超壓操作有關(guān)。

事故責(zé)任分析：①中試車間主管領(lǐng)導(dǎo)在T一1804工段開車過程中，在安全方面提出的要求不夠全面，管理不到位。②T-1804工段長作為這次開車工作的直接指揮者和參加者，在高壓球罐壓力上升很快，壓力已接近15MPa時，未及時采取排水或停壓縮機(jī)措施，因本人已死亡，不再追究責(zé)任。③這次開車的班長，當(dāng)球罐壓力上升速度很快時，沒有及時提醒工段長應(yīng)按操作法要求采取相應(yīng)措施，對此次事故的發(fā)生負(fù)有責(zé)任。④壓縮機(jī)崗位操作工在壓縮機(jī)啟動后，壓力上升很快，接近15MPa時，未嚴(yán)密注意觀察壓力變化情況，未能及時發(fā)現(xiàn)壓力超過車間規(guī)定的乙烯球罐操作壓力及采取相應(yīng)措施，也未及時填寫崗位記錄，對此事故的發(fā)生負(fù)有責(zé)任。⑤廠《安全管理制度》規(guī)定：“廠長應(yīng)對本企業(yè)安全工作負(fù)全面責(zé)任”。對T-1804工段高壓乙烯球罐爆燃，造成重大人身傷亡事故，廠長、主管廠長負(fù)有領(lǐng)導(dǎo)責(zé)任。

三、改進(jìn)措施

（一）防止同類事故發(fā)生的措施。

①加強(qiáng)安全教育，從管理上嚴(yán)格要求；操作人員加強(qiáng)自我保護(hù)能力，保證高壓生產(chǎn)裝置的安全運行。②乙烯高壓生產(chǎn)的裝置要求安全附件齊全，靈敏可靠，在設(shè)計、購入、安裝、檢驗、操作等各個環(huán)節(jié)，都要嚴(yán)格執(zhí)行《壓力容器安全監(jiān)察規(guī)程》，在實際生產(chǎn)中要絕對保證安全裝置準(zhǔn)確可靠。③嚴(yán)格執(zhí)行安全防爆規(guī)定，乙烯生產(chǎn)裝置區(qū)域內(nèi)的設(shè)備、儀表以及生產(chǎn)所使用的工器具，必須符合防爆要求，達(dá)到設(shè)計規(guī)范，嚴(yán)禁明火產(chǎn)生，防止爆燃事故的發(fā)生。④改善現(xiàn)場條件，這次事故中安全閥的導(dǎo)向管斷裂，說明導(dǎo)向管的安裝還需進(jìn)一步改進(jìn)，要重新設(shè)計安裝導(dǎo)向管。⑤增加安全聯(lián)鎖裝置，將乙烯高壓球罐的壓力警報和壓縮機(jī)開關(guān)進(jìn)行聯(lián)鎖，當(dāng)達(dá)到報警壓力時，壓縮機(jī)自動停機(jī)，以保證高壓乙烯球罐不超壓。⑥將壓力表PIA改裝為PRA，增加壓力記錄儀表，記錄設(shè)備壓力變化情況，有利于加強(qiáng)安全生產(chǎn)管理，為分析生產(chǎn)異常情況和事故原因提供數(shù)據(jù)。

（二）乙烯車間加強(qiáng)安全管理保障檢修。

切記安全，工作開始之前，氯乙烯車間領(lǐng)導(dǎo)、安全員再次以及多次強(qiáng)調(diào)安全注意事項，安全帽及勞保要佩戴整齊，避免在有物體墜落的地方發(fā)生安全事故。遇到酸、堿、有凍傷可能的作業(yè)，橡膠手套、防化服要穿戴完善。遇到高溫高壓的設(shè)備及管線，切記泄壓置換合格后進(jìn)行作業(yè)，以免出現(xiàn)不必要的傷害。有維修設(shè)備的，按照停送電作業(yè)制度，一定要認(rèn)真檢查，確認(rèn)維修完畢或是可以停用的，方可聯(lián)系電工進(jìn)行停送電作業(yè)，千萬不可馬虎。需要登高作業(yè)的，除有登高作業(yè)許可外，安全帶佩戴好，監(jiān)護(hù)人員隨時待命。

（三）乙烯現(xiàn)場安全管理全面升級。

所有施工檢維修作業(yè)執(zhí)行公司相關(guān)程序文件，HSE監(jiān)管人員對每一項施工作業(yè)都進(jìn)行風(fēng)險評價，制定有控制措施的施工方案，對用火、高空、受限空間、起吊等危險作業(yè)，進(jìn)行升級管理，加強(qiáng)監(jiān)護(hù)。裝置的安全監(jiān)督人員及時到現(xiàn)場簽發(fā)各類票證，檢查安全措施的落實情況。裝置生產(chǎn)準(zhǔn)備人員嚴(yán)格按照RAP作業(yè)票證進(jìn)行管理，無票證嚴(yán)禁進(jìn)行各項作業(yè)。在聚苯乙烯裝置現(xiàn)場，每天都能看到總包、監(jiān)理和施工各單位及車間技術(shù)人員在現(xiàn)場檢查安全，重點部位加強(qiáng)監(jiān)管，禁止帶煙火進(jìn)入現(xiàn)場。

參考文獻(xiàn)：

[1]楊祖一.乳化炸藥連續(xù)生產(chǎn)專用設(shè)備及工藝技術(shù)危險評價方法探討[J].爆破器材.2002，06.

[2]李利，姚丹丹.丙烯腈生產(chǎn)過程中的主要危險及有害因素分析[J].安全.2004，02.

[3]李茂齡.模糊綜合評判方法在工業(yè)企業(yè)電氣安全評價中的應(yīng)用[J].安全.2004，03.

[4]王崇義.10000M～3煤氣柜爆炸事故分析[J].安全.2004，06.

篇8

關(guān)鍵字：基建施工管理安全質(zhì)量基建工程安全質(zhì)量一體化管理信息系統(tǒng)

Design and implementation of infrastructure project integration managementof safety and quality information system

Zhan Yun Teng1.2

(1.Northeeast Dianli University Department of Information Engineering.JiLin 132012; 2.TianJin ChengXi Power Supply Company of State Grid TianJin 300000)

Abstract：Summarizes the Tianjin West Division safety problems of quality management in recent years in infrastructure construction experience and the existing company, expounds the present situation of Tianjin West Branch infrastructure project construction management, further improve the company capital construction engineering safety quality integrated management system is divided into the west of Tianjin, to strengthen the mechanism construction of Tianjin West Branch construction engineering safety quality integration management, so as to realize the standardization, the company safety and quality management of West Tianjin power supply branch of the comprehensive, informationization, process standardization, standardization and diversification.

Keywords:The capital construction management;Safety and quality;Construction project integration management of safety and quality information system

中圖分類號：TU71文獻(xiàn)標(biāo)識碼： A

為深入貫徹天津市電力公司發(fā)展戰(zhàn)略和適應(yīng)“十二五”電網(wǎng)建設(shè)高速發(fā)展的形勢，根據(jù)國家電網(wǎng)公司在全系統(tǒng)實施“三集五大”體系工作中“大建設(shè)”體系建設(shè)的總體思路和部署，按照電網(wǎng)建設(shè)的客觀規(guī)律、科學(xué)程序和集約化、扁平化、專業(yè)化工作方向，秉承“細(xì)實”的工作理念，結(jié)合城西電網(wǎng)建設(shè)實際，近些年，國家電網(wǎng)公司一直將工程的質(zhì)量、安全工作作為頭等大事來抓，在各種會議上，國家電網(wǎng)領(lǐng)導(dǎo)不斷強(qiáng)調(diào)各網(wǎng)省公司領(lǐng)導(dǎo)要高度重視基建工程建設(shè)過程中的質(zhì)量、安全工作。

1電網(wǎng)基建工程管理當(dāng)前存在的差距

近年來，我國國民經(jīng)濟(jì)迅速發(fā)展，人們對電力需求日益提高，但我國電網(wǎng)基建工程質(zhì)量、安全的管理發(fā)展相對緩慢，與國外發(fā)達(dá)國家相比還存在差距。差距主要體現(xiàn)在以下幾個方面：

（1）電網(wǎng)基建工程項目建設(shè)的依賴性很強(qiáng)?，F(xiàn)在電網(wǎng)基建工程項目建設(shè)主要依賴施工技術(shù)人員，項目沒有科學(xué)的管理和有效的監(jiān)督，所以對整個工程項目建設(shè)的質(zhì)量安全沒有提供保障；

（2）質(zhì)量管理流于形式，電網(wǎng)基建工程項目缺乏監(jiān)管力度；

（3）管理人員及相關(guān)工作人員責(zé)任制落實不到位。在基建工程中，一方面是一些管理人員自身不負(fù)責(zé)任、不清楚自己的管理職責(zé)、存在慣性思維、抱有僥幸心理，法律意識淡薄而使管理成為一句口號，給工程質(zhì)量和安全埋下隱患；另一方面是管理辦法的實施沒有到位，而導(dǎo)致相關(guān)管理人員無法履行自己的管理職責(zé)；

（4）管理人員不具備相應(yīng)的專業(yè)管理資質(zhì)和管理經(jīng)驗。電力基建工程的質(zhì)量和投資效果重在管理，而管理水平的高低取決于管理人員專業(yè)水平的高低。在基建工程管理中一些管理人員可能不具備相應(yīng)的管理資質(zhì)，或其本身空有理論而沒有管理經(jīng)驗，更有甚者既不具備管理理論又沒有實際管理經(jīng)驗。這樣的管理必然會給基建工程埋下質(zhì)量和安全隱患；

（5）電力基建工程的合同糾紛。在電力基建工程建設(shè)中，建設(shè)單位、施工單位和監(jiān)理單位之間發(fā)生各種合同糾紛、合同違約屢見不鮮，其直接原因就是盲目簽訂合同、不合理簽訂合同以及合同本身不完善存在歧義或漏洞，在簽訂合同時存在相互隱瞞欺騙，在履行合同時鉆法律空子偷工減料。

基于上述原因，將安全、質(zhì)量預(yù)案根據(jù)實際工作科學(xué)進(jìn)行合并，形成一體預(yù)案管理模式，并且規(guī)范依據(jù)文件列表及內(nèi)容，加強(qiáng)對業(yè)主項目部、施工項目部、監(jiān)理項目部在安全、質(zhì)量工作方面的管理，并建立相應(yīng)的規(guī)章制度、考核辦法，為構(gòu)建適應(yīng)堅強(qiáng)智能電網(wǎng)建設(shè)要求的大建設(shè)體系，提高電網(wǎng)建設(shè)安全質(zhì)量和工藝水平，提升建設(shè)管理效率與效益提供保障。

本課題在《國家電網(wǎng)公司“十一五”信息發(fā)展規(guī)劃》及國家電網(wǎng)公司“SG186工程”框架的指導(dǎo)下，結(jié)合天津城西分公司信息化建設(shè)發(fā)展需要和基建工程質(zhì)量、安全管理體系化、規(guī)范化發(fā)展要求，將質(zhì)量、安全一體化預(yù)案內(nèi)容與天津市電力公司基建部已經(jīng)梳理完成的工程建設(shè)標(biāo)準(zhǔn)化節(jié)點內(nèi)容相結(jié)合，將安全、質(zhì)量的管理內(nèi)容進(jìn)行細(xì)化，建立健全工程安全、質(zhì)量管理體系、流程再造，設(shè)計并建立一個基建工程安全、質(zhì)量管理生命周期過程全程化、關(guān)鍵工程安全、質(zhì)量管理環(huán)節(jié)在控實時化、安全、質(zhì)量檔案規(guī)范化、審核工作流程化，以及建設(shè)制度、技術(shù)規(guī)范全員培訓(xùn)落實的新型基建工程安全、質(zhì)量管理體系。本課題在實現(xiàn)電網(wǎng)建設(shè)工程安全質(zhì)量管理工作的標(biāo)準(zhǔn)化、全面化、信息化、流程化、規(guī)范化、多樣化方面具有重要意義。

2電網(wǎng)基建工程管理系統(tǒng)相關(guān)概況研究

目前國內(nèi)外相關(guān)行業(yè)對于基建工程安全和質(zhì)量一體化預(yù)案管理和依據(jù)性文件標(biāo)準(zhǔn)庫的研究還處于初級階段，由于標(biāo)準(zhǔn)不明確，造成各個網(wǎng)省公司難以有效管理各個參建單位在安全、質(zhì)量方面的工作。

在國網(wǎng)公司范圍內(nèi)，基建工程的一體化管理雖然時有提及，但依然缺乏明確的制度指導(dǎo)和實施辦法，也還處于研究摸索階段。

目前在基建工程中，進(jìn)度、造價、安全、質(zhì)量、技術(shù)五大專業(yè)中，安全和質(zhì)量的管理一直是比較薄弱的環(huán)節(jié)，沒有成熟的管理模型可以參考。

2.1 研究意義

對當(dāng)前的基建工程管理現(xiàn)狀進(jìn)行深入調(diào)研，重點對于安全管理和質(zhì)量管理方面的現(xiàn)實情況。廣泛收集基建工程中安全質(zhì)量方面的頻發(fā)問題，結(jié)合當(dāng)前的實際管理情況，進(jìn)行深入分析研究。

組織行業(yè)專家和基建工程管理內(nèi)部人員，結(jié)合前期的調(diào)研分析成果和同行業(yè)的有益做法，形成一套切合實際的基建工程安全、質(zhì)量一體化管理制度和管理辦法。并按照公司要求，組織進(jìn)行培訓(xùn)課件的編寫，制定培訓(xùn)和推廣計劃。

分析目前在建項目的安全、質(zhì)量預(yù)案所引用的依據(jù)性文件，形成文件列表，結(jié)合天津地區(qū)地址情況和氣象情況，形成適用于整個天津地區(qū)的依據(jù)性文件資料知識庫，廣泛收集各個參建單位的意見，形成最終版資料知識庫。

2.2 基建工程安全質(zhì)量一體化管理信息系統(tǒng)總體原則及設(shè)計目標(biāo)

基建工程安全質(zhì)量一體化管理信息系統(tǒng)的總體設(shè)計目標(biāo)是: 為了加快建設(shè)“一強(qiáng)三優(yōu)”現(xiàn)代公司，早日建成“世界一流電網(wǎng)、國際一流企業(yè)”，按照“三抓一創(chuàng)”工作思路和“四個服務(wù)”的總體要求，充分結(jié)合天津電力公司的實際，符合天津城西分公司的發(fā)展需求，深入貫徹落實“三更兩全一強(qiáng)”的建設(shè)思路，在遵循《國家電網(wǎng)公司“十一五”信息發(fā)展規(guī)劃》，基于國家電網(wǎng)公司“SG186工程”框架的指導(dǎo)下，結(jié)合天津城西分公司信息化建設(shè)發(fā)展需要和基建工程質(zhì)量、安全管理體系化、規(guī)范化發(fā)展要求，進(jìn)行城西供電分公司質(zhì)量安全一體化管理系統(tǒng)的建設(shè)。將質(zhì)量、安全一體化預(yù)案內(nèi)容與天津市電力公司基建部已經(jīng)梳理完成的工程建設(shè)標(biāo)準(zhǔn)化節(jié)點內(nèi)容相結(jié)合，將安全、質(zhì)量的管理內(nèi)容進(jìn)行細(xì)化，建立健全工程安全、質(zhì)量管理體系、流程再造，提升對安全、質(zhì)量管理的整體水平，逐步建立基建工程安全、質(zhì)量管理生命周期過程全程化、關(guān)鍵工程安全、主梁管理環(huán)節(jié)在控實時化、安全、質(zhì)量檔案規(guī)范化、審核工作流程化，以及建設(shè)制度、技術(shù)規(guī)范全員培訓(xùn)落實的新型基建工程安全、質(zhì)量管理體系。從而實現(xiàn)天津城西供電分公司安全質(zhì)量管理工作的標(biāo)準(zhǔn)化、全面化、信息化、流程化、規(guī)范化、多樣化。

基建工程安全質(zhì)量一體化管理信息系統(tǒng)應(yīng)滿足以下設(shè)計原則：通過統(tǒng)一組織搭建天津市電力公司城西供電分公司基建工程安全、質(zhì)量一體化管理系統(tǒng)，運用信息技術(shù)手段，強(qiáng)化工程建設(shè)關(guān)鍵安全、質(zhì)量節(jié)點的信息化管控，強(qiáng)化建設(shè)管理縱向各層級信息的雙向互動以及與其他業(yè)務(wù)之間的橫向共享，及時掌控在建工程安全、質(zhì)量的信息和最新進(jìn)展動態(tài)，切實提升管理效率，持續(xù)深入推進(jìn)“三集五大”體系建設(shè)，為公司科學(xué)發(fā)展作出更大貢獻(xiàn)。

2.3 基建工程安全質(zhì)量一體化管理體系框架

城西公司領(lǐng)導(dǎo)提出依靠信息化的手段解決管理人員過少的問題，“用電腦幫助人腦，用電腦約束人員”，通過信息化系統(tǒng)的建設(shè)，進(jìn)一步規(guī)范基建工程安全、質(zhì)量管理工作流程，細(xì)化管理細(xì)節(jié)，增加管理維度，使基建工程的安全、質(zhì)量管理工作真正完全落地，全面保證設(shè)計項目部、施工項目部、監(jiān)理項目部完全按照業(yè)主項目部的要求開展質(zhì)量、安全管理工作，結(jié)合天津城西分公司信息化建設(shè)發(fā)展需要和基建工程質(zhì)量、安全管理體系化、規(guī)范化發(fā)展要求，基建工程安全質(zhì)量一體化管理體系框架如圖1所示。

圖1 基建工程安全質(zhì)量一體化管理體系框架

3基建工程安全質(zhì)量一體化管理系統(tǒng)設(shè)計

3.1主要的系統(tǒng)技術(shù)介紹

（1）系統(tǒng)架構(gòu)的研究：擬采用三層架構(gòu)，將系統(tǒng)分為UI層，業(yè)務(wù)邏輯層，數(shù)據(jù)訪問層，目前三層架構(gòu)的思想已經(jīng)很成熟。研究三層架構(gòu)，有助于理解系統(tǒng)架構(gòu)。

Struts+Hibernate+Spring現(xiàn)在已經(jīng)逐漸成為開發(fā)網(wǎng)站的主流架構(gòu)，本系統(tǒng)擬采用MVC（Model-View-Controller）設(shè)計模式的思想，將Struts2、Spring和Hibernate整合在一起；擬采用Struts2框架來解決用戶接口層，及其與后端應(yīng)用層之間的交互。即，控制層由Action類進(jìn)行請求分發(fā),并執(zhí)行相關(guān)的業(yè)務(wù)處理。然后將控制權(quán)交給JSP，讀出數(shù)據(jù)，數(shù)據(jù)持久層擬采用非侵入的ORM框架Hibernate，并通過使用javascript實現(xiàn)驗證，同時達(dá)到提高用戶體驗的效果。

（2）數(shù)據(jù)庫的設(shè)計以及優(yōu)化：針對數(shù)據(jù)庫的設(shè)計，結(jié)合實際的應(yīng)用以及理論知識的要求，設(shè)計出滿足需求的數(shù)據(jù)庫，并且，針對后期的維護(hù)，擬從查詢數(shù)據(jù)庫中表的數(shù)據(jù)來探討數(shù)據(jù)庫的查詢的優(yōu)化方法，例如在模糊查詢中是否使用索引，以及建立索引之后的效率會相對于沒有建立時的不同，需要深入的研究數(shù)據(jù)庫的設(shè)計和優(yōu)化。

本系統(tǒng)擬采用Microsoft SQL Server 2005數(shù)據(jù)庫。Microsoft SQL Server 2005 是一個全面的數(shù)據(jù)庫平臺，使用集成的商業(yè)智能 (BI)工具提供了企業(yè)級的數(shù)據(jù)管理。Microsoft SQL Server 2005數(shù)據(jù)庫引擎為關(guān)系型數(shù)據(jù)和結(jié)構(gòu)化數(shù)據(jù)提供了更安全可靠的存儲功能，可以構(gòu)建和管理用于業(yè)務(wù)的高可用和高性能的數(shù)據(jù)應(yīng)用程序。

（3）用戶體驗和界面的友好性研究：本系統(tǒng)擬使用Ajax，jQuery等技術(shù)和JavaScript插件，來提高用戶體驗和用戶交互性。對于與用戶界面以及操作方面進(jìn)行研究，讓界面更加美觀，操作更加人性化，提高用戶交互性和用戶體驗。例如用戶操作成功之后自動跳轉(zhuǎn)，減少用戶的操作次數(shù)。

（4）網(wǎng)站安全性研究：為防止系統(tǒng)被非法入侵造成合法用戶的損失,擬加入一些過濾技術(shù),加密一些字符內(nèi)容或者某個網(wǎng)頁（如用MD5算法對用戶密碼進(jìn)行加密）。

（5）用戶權(quán)限研究：系統(tǒng)基于角色的權(quán)限管理，每個角色都有不同的權(quán)限，然后將角色授予用戶。從而達(dá)到權(quán)限的安全，用戶權(quán)限分配合理。

3.2 系統(tǒng)軟件架構(gòu)

目前三層(多層)體系結(jié)構(gòu)是數(shù)據(jù)庫應(yīng)用系統(tǒng)構(gòu)架方案的主流，如圖3所示。數(shù)據(jù)層(Data Service)、應(yīng)用層(Business Logic)、展示層(Presentation)應(yīng)為三層應(yīng)相互獨立，保證其高聚合，低耦合的軟件特性。展示層負(fù)責(zé)與用戶交互并把相應(yīng)請求通過調(diào)用中間層的組件傳遞給應(yīng)用層。應(yīng)用層的組件通過SQL等方式向第三層的組件提出資源及其他數(shù)據(jù)請求并執(zhí)行具體的事務(wù)邏輯[5]。

圖3基建工程安全質(zhì)量一體化管理系統(tǒng)軟件架構(gòu)圖

3.3 系統(tǒng)硬件架構(gòu)

應(yīng)急管理系統(tǒng)應(yīng)保證其安全性，高可靠性和具有高性能的軟硬件以便日后進(jìn)行擴(kuò)展。應(yīng)能方便查詢可用人力資源、應(yīng)急物資、工程車輛信息等的要求。系統(tǒng)物理架構(gòu)類型主要有三種，分別為客戶機(jī)/服務(wù)器結(jié)構(gòu)、終端/主機(jī)結(jié)構(gòu)、瀏覽器/服務(wù)器結(jié)構(gòu)。

底層平臺硬件應(yīng)包括電源及應(yīng)急后備電源、應(yīng)急通訊系統(tǒng)，視頻圖像監(jiān)視系統(tǒng)，視頻會議系統(tǒng)等基本應(yīng)用的網(wǎng)絡(luò)服務(wù)器及其硬件設(shè)施。其中應(yīng)急通訊系統(tǒng)在應(yīng)急救援中起到至關(guān)重要的作用，建立通訊網(wǎng)時應(yīng)以環(huán)網(wǎng)為主，或應(yīng)用電網(wǎng)系統(tǒng)中已有的光纖通信網(wǎng)，盡量避免無線公網(wǎng)通信，以保證其安全性、穩(wěn)定性及可靠性。

4結(jié)束語

從21世紀(jì)的整體趨勢來看，工程建設(shè)領(lǐng)域的信息化將會進(jìn)一步將數(shù)字化數(shù)據(jù)的信息應(yīng)用在項目的全過程，在項目的各個階段、各個過程均起到核心管控作用。同時隨著國網(wǎng)公司基建工程業(yè)主、監(jiān)理、施工三個項目部標(biāo)準(zhǔn)化建設(shè)工作的深入，信息系統(tǒng)的應(yīng)用情況（主要體現(xiàn)在各參建項目部數(shù)據(jù)錄入的及時、準(zhǔn)確、完整性三個方面）也已作為對參建項目部考核評價的重要內(nèi)容之一。因此不難預(yù)料，今后五年內(nèi)各類信息化管理系統(tǒng)在電網(wǎng)建設(shè)工程中的應(yīng)用應(yīng)呈井噴態(tài)勢，只不過都需要在其自身管控的廣度與專業(yè)深度之間找到平衡而已。

參考文獻(xiàn)

[1]毛鶴琴，張遠(yuǎn)林．施工項目質(zhì)量與安全管理[M]．建筑工業(yè)出版社，2002

[2]李慧民．工程項目管理案例分析[M]．中國建筑工業(yè)出版社，2006

[3]田元福．建設(shè)工程項目管理[M]．清華大學(xué)出版社，2005

[4]孫衛(wèi)琴、李洪成．Tomcat與Java Web開發(fā)技術(shù)詳解[M]．北京：電子工業(yè)出版社，2004

[5]曾云飛．基于Struts框架的電子政務(wù)研究和實現(xiàn) [M]．東北大學(xué)出版社， 2005

[6]王路群．Java高級程序設(shè)計[M]．北京：中國水利水電出版社，2006

[7]常晉義．管理信息系統(tǒng)[M]．高等教育出版社，2005

[8]雷萬云．信息化與信息管理實踐之道[M]．清華大學(xué)出版社，2012

[9]劉瑞廷．信息管理實用技術(shù)教程[M]．北京：清華大學(xué)出版社， 2006

[10] 薩師煊，王 珊．?dāng)?shù)據(jù)庫系統(tǒng)概論[M]．北京：高等教育出版社，2000

[11] 張亮.電氣安全[J].電氣工業(yè),2005(10)

[12] Robert J. Ellison. Security and Project Management[Z]. Carnegie MellonUniversity Software Engineering Institute, 2006

[13]ChrisHendrickson. Project Management for Construction[M]. Prentice Hall,2008

[14] Layne K,Lee．Developing fully functional.E-government:A four stage.model[J]．Government

Information Quarterly，2001(18):122-136

[15] Sang Yi-Shun．The adoption of electronic tax filing systems：an empirical study[J]．Government Information Quarterly，2002（20）：333-352

[16] Paul T JaegeLBenShneiderman,Kenneth R Fleis-chmann,et a1．Communityresponse grids:e-government,socialnetworks,and effective emergencymanagement[J].

Telecommunications Policy,2007.31(11-12):592-604

[17] 薛明,李紅燕.一種基于模板的管理Web頁面用戶交互表單的方法[J].北京大學(xué)學(xué)報(自然科學(xué)版),2004, 1(03):473-479.

[18] 肖文峰.通用表單工作流管理系統(tǒng)的設(shè)計[J].計算機(jī)時代,2005, 1(06):25-27.

[19] 程建霞,楊波,孫麗達(dá),王小唯,潘啟樹.基于稿件管理數(shù)據(jù)庫信息共享的表單批量輸出方法[J].編輯學(xué)報,2004,1(03):190-191.

[20] 劉鴻洋.項目管理方法在XY公司STT電力工程項目中的應(yīng)用研究[D].武漢:華中科技大學(xué),2010 23-34.

[21] K.Knoll and SJarvenpaa. Information Technology Alignmentor “Fit” in HighlyTurbulent Environments: the Concept ofFlexibility[Z],Proceedings of the 1994Computer PersonnelResearch Conference on Reinventing 18,1994:1-14,

[22] G. Fakas, a and B. Karakostas. workflow management system based on intelligentcollaborative objects[J]. Information and Software Technology. 1999, 41(13):907-915.

[23] Leymann F. Workflow-based applications[J]. IBM Systems Journal, 1997, 36(1):102-123.

[24] 樂勛.基于表單化管理的電力建設(shè)項目質(zhì)量控制研究[J].電子世界,2011,1,(12): 32-34.

[25] 陳厚勇,馮朝柄,肖舜富.采用過程方法建立和實施一體化管理體系[J].中國質(zhì)量認(rèn)證,2002,2: 27-31

[26] 陳雁.淺談質(zhì)量、環(huán)境、職業(yè)健康安全管理體系在建設(shè)工程項目管理中的應(yīng)用[J].安徽建筑,2010, 06:191-192

[27] 許曉華.從質(zhì)量管理到項目管理一論質(zhì)量管理體系與項目管理體系的關(guān)系[J].水利建設(shè)與管理,2008,04: 56-57

[28] Wilkinson, G.., Dale, B. G.. Integrated Management System: A model based ontotal quality approach[J].Managing Service Quality, 2001,318-330

篇9

[關(guān)鍵詞]信息化 ； 危險品運輸； 安全； 運用

中圖分類號：X913.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2014）23-0229-01

引言

某大型國企成品油運輸公司（以下簡稱“公司”）主要為其所屬的油田、煉化、銷售等企業(yè)提供專業(yè)化運輸服務(wù)，在全國31個省市自治區(qū)設(shè)立了分公司，在481個城市設(shè)立了配送中心（車隊），現(xiàn)有各類危險品運輸車輛12398臺，車輛行駛區(qū)域遍布全國各地。

運輸距離長、地域跨度大、安全風(fēng)險高的特點及承運物質(zhì)易燃易爆、有毒有害的特性，就決定了危險品運輸安全管理的難度。公司作為國內(nèi)規(guī)模最大的危險品道路運輸企業(yè)，多年來始終積極探索危險品運輸安全管控的有效手段，建成了全國信息化平臺，形成了“連成線、蓋住片、全天候、全覆蓋”的信息服務(wù)網(wǎng)絡(luò)，推動危險品運輸?shù)目茖W(xué)化、規(guī)范化、信息化管理。

1 強(qiáng)化車輛運行過程管控

全面推行車輛GPS監(jiān)控系統(tǒng)，建成了覆蓋全國的監(jiān)控平臺，最大限度的防范超定速、超路線、超范圍、超規(guī)則等違章行為。

1.1 建立有利于安全管控的監(jiān)控平臺

“寶石花”車輛監(jiān)控平臺，是公司在近10年GPS監(jiān)控使用經(jīng)驗的基礎(chǔ)上自主研發(fā)和設(shè)計的，主要是利用傳感器、信息資訊、衛(wèi)星定位、無線傳輸?shù)燃夹g(shù)，及時獲取“人、車、貨、路、天氣”的安全五要素信息，具有里程統(tǒng)計、分段限速、線路偏離報警、違規(guī)?？繄缶⒏黝悎蟊韰R總等特色功能，配合使用集衛(wèi)星定位語音導(dǎo)航、衛(wèi)星定位監(jiān)控、免提直接通話和視頻監(jiān)控為一體的“四合一”終端，監(jiān)控面覆蓋危險品車輛運行的全過程，實現(xiàn)了對危險品運輸車輛的“零距離”管控目標(biāo)。

“寶石花”車輛監(jiān)控平臺是目前國內(nèi)功能最全、容量最大、穩(wěn)定性最高、覆蓋面最廣的監(jiān)控指揮體系，被交通部指定為該企業(yè)的唯一并網(wǎng)平臺，和交通部物聯(lián)網(wǎng)無縫對接。

1.2 健全有效的監(jiān)控體系

公司建立了總調(diào)度室、二級單位、配送中心（車隊）三級監(jiān)控管理體系，在北京和烏魯木齊設(shè)立了2個GPS總監(jiān)控室，在運輸主業(yè)單位設(shè)立了52個監(jiān)控中心，在基層配送中心（車隊）設(shè)立了480個監(jiān)控室，全公司專兼職監(jiān)控員已達(dá)1108人。按照“分級管理、各負(fù)其責(zé)，有效監(jiān)控、全面覆蓋”的原則，詳細(xì)界定了各級管理體系的監(jiān)控管理內(nèi)容，制定了各級監(jiān)控管理主體及調(diào)度員、監(jiān)控員、駕駛員等相關(guān)責(zé)任人的考核辦法，考核結(jié)果直接與二級單位的年終評比、單位班子成員的業(yè)績兌現(xiàn)、各級監(jiān)控人員的獎金掛鉤，并每月進(jìn)行一次考核通報，確保各級監(jiān)控管理責(zé)任落實到位。

1.3 完善具體的管控措施

通過GPS監(jiān)控平臺，對車輛出車前、行車中、收車后三個重點環(huán)節(jié)，實施有效的動態(tài)管控。一是出車前的風(fēng)險提示。當(dāng)班調(diào)度在安排駕駛員出車前，對車輛行駛線路的風(fēng)險控制點進(jìn)行重點交代，并向駕駛員發(fā)放行車路線的“三規(guī)一限”（規(guī)定線路、規(guī)定時間、規(guī)定停車地點，分段限速）警示圖，超前做好風(fēng)險預(yù)防和控制。調(diào)度員將當(dāng)日車輛任務(wù)信息及時發(fā)送給監(jiān)控員，監(jiān)控員根據(jù)各自管控的車輛和區(qū)域，對運行的車輛進(jìn)行實時監(jiān)控。二是行車中的動態(tài)監(jiān)控。通過監(jiān)控平臺及時向運行車輛發(fā)送調(diào)度、安全警示、天氣變化、道路通行等提示信息，并對行駛過程中出現(xiàn)的超速行駛、偏離規(guī)定路線、未按時到達(dá)目的地、亂停亂放等違章行為進(jìn)行實時的提醒、警示和處理，查明原因后按規(guī)定進(jìn)行處罰。三是收車后的過程排查。通過監(jiān)控平臺的軌跡回放功能，基層配送中心（車隊）的監(jiān)控員對每臺車的運行過程進(jìn)行跟蹤回放，對未及時發(fā)現(xiàn)的違章行為按規(guī)定進(jìn)行處罰。并根據(jù)地理信息提供的固定停車點位，對歸場車輛進(jìn)行點名，使用系統(tǒng)圍欄功能，對歸場車輛進(jìn)行管理，避免車輛被盜或私自出車。

各級監(jiān)控員認(rèn)真履行“早點名、日監(jiān)控、晚控制、勤提示、嚴(yán)糾錯、細(xì)統(tǒng)計、精分析、善指導(dǎo)”的工作職責(zé)，對行駛車輛進(jìn)行24小時不間斷監(jiān)控，每天統(tǒng)計當(dāng)日車輛運行情況，填報監(jiān)控日志，對車輛運行效率、監(jiān)控上線率、車輛分布、超速、違規(guī)等內(nèi)容按層級形成報表，為不同的管理者提供關(guān)注的信息，以確保各相關(guān)部門掌握整體情況。

2 強(qiáng)化生產(chǎn)管理過程管控

為了提高對車輛運行的指揮和管控能力，將管控延伸至生產(chǎn)管理的全過程，公司建成了北京、烏魯木齊兩個生產(chǎn)調(diào)度指揮中心和52個運輸主業(yè)單位的可視化調(diào)度指揮系統(tǒng)，及覆蓋全國609個地市級配送中心（車隊）的遠(yuǎn)程視頻監(jiān)控、視頻會議和電話會議系統(tǒng)，實現(xiàn)了兩級生產(chǎn)調(diào)度部門的實時音視頻交流和安全生產(chǎn)指令傳達(dá)，對各級生產(chǎn)管理人員的管理行為及車輛歸場、停放情況進(jìn)行重點監(jiān)控，安全管控手段更加有力。

3 強(qiáng)化駕駛員操作行為管控

在“人、車、路、環(huán)境”的交通管理因素中，“人”是最難管控、也是起到?jīng)Q定性作用的因素。為了更好的規(guī)范和控制駕駛員的駕車行為，公司采用了現(xiàn)代視頻監(jiān)控信息技術(shù)，在危險品運輸車輛上安裝4個防爆視頻攝像頭。駕駛室副駕駛座位斜上方的攝像頭，可以直接監(jiān)控駕駛員的操作行為，有效杜絕了駕車不系安全帶、接打電話、抽煙等嚴(yán)重違章行為及其他各類不安全行為，還可對駕駛室前方10米以內(nèi)道路情況進(jìn)行監(jiān)控和錄像，如遇突發(fā)事件，錄像內(nèi)容可作為有效證據(jù)，并可用于事件的原因分析。駕駛室頂部的攝像頭，主要用于監(jiān)控罐體的裝油口。駕駛室左右兩側(cè)的攝像頭，主要用于監(jiān)控罐體的卸油口和車輛油箱。基層配送中心（車隊）的監(jiān)控員對駕駛員執(zhí)行運輸任務(wù)過程中的操作行為進(jìn)行實時監(jiān)控，全力保障車輛運行安全，有效控制運輸過程中的數(shù)質(zhì)量問題，確保只有“規(guī)定動作”，杜絕“自選動作”。

4 強(qiáng)化突發(fā)事件應(yīng)急處置管控

危險品運輸突發(fā)事件的偶發(fā)性、時間不確定性、地點隨機(jī)性和后果的嚴(yán)重性，給應(yīng)急救援處置工作到來了巨大挑戰(zhàn)。公司結(jié)合實際，開發(fā)實施了應(yīng)急搶險指揮系統(tǒng)，在北京、烏魯木齊生產(chǎn)調(diào)度指揮中心設(shè)立了應(yīng)急指揮中心，在自主設(shè)計的應(yīng)急搶險車上安裝通信終端，遇有突發(fā)事件，應(yīng)急搶險救援車根據(jù)指令第一時間趕赴現(xiàn)場，通過終端設(shè)備將前方的音視頻畫面?zhèn)魉椭翍?yīng)急指揮中心的大屏幕，實現(xiàn)了空間、地域的跨越，為科學(xué)合理處置突發(fā)事件提供實況信息，并可將應(yīng)急指令一線直達(dá)，應(yīng)對和處置突發(fā)事件的能力得到顯著提高。

5 取得的成效

5.1 違章現(xiàn)象明顯減少

自2004年以來，公司在車輛總數(shù)大幅增加的情況下，車輛違章超速報警頻次由以前每年的5000次/千臺下降到目前的46.5次/千臺；車輛偏離行駛路線、隨意停放從以前的253車次/天下降到目前的8.6車次/天。各類違規(guī)違章駕車行為得到有效遏制，安全生產(chǎn)形勢日趨好轉(zhuǎn)。

5.2 事件總量大幅降低

遠(yuǎn)程視頻監(jiān)控系統(tǒng)與GPS監(jiān)控系統(tǒng)聯(lián)合應(yīng)用至今，公司的車輛被盜和數(shù)質(zhì)量事件明顯減少，各類事故事件得到有效控制。

篇10

關(guān)鍵詞：信息安全管理；測評；要素；指標(biāo)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進(jìn)入信息化社會，社會發(fā)展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經(jīng)濟(jì)、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程，其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實現(xiàn)信息安全目標(biāo)，就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略（包括計劃、程序、流程與記錄等）、風(fēng)險評估、控制目標(biāo)的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]，強(qiáng)調(diào)了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進(jìn)行測量，根據(jù)測量的結(jié)果對組織信息安全管理情況進(jìn)行評價并進(jìn)一步指導(dǎo)信息安全管理，提高信息安全管理能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個研究熱點[2]。

信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映，不僅是對過去和現(xiàn)在的能力展現(xiàn)，而且為未來發(fā)展提供保障和動力。在我國，目前關(guān)于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標(biāo)準(zhǔn)、方法等。因此，開展信息安全管理測評研究，對組織信息化建設(shè)既具有重要的現(xiàn)實意義也具有長遠(yuǎn)的持續(xù)發(fā)展意義。

1 信息安全管理測評發(fā)展綜述與需求

關(guān)于信息安全測評，美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對其信息安全實踐進(jìn)行獨立測評，以確認(rèn)其有效性。這種測評主要包括對管理、運行和技術(shù)三要素的控制和測試，其頻率視風(fēng)險情況而定，但不能少于每年一次。在獨立評價的基礎(chǔ)上，聯(lián)邦管理與預(yù)算局應(yīng)向國會上報評價匯總結(jié)果；而聯(lián)邦審計署則需要周期性地評價并向國會匯報各機(jī)構(gòu)信息安全策略和實踐的有效性以及相關(guān)要求的執(zhí)行情況。

2003年7月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》，其包括以下內(nèi)容[3]：

1） 角色和職責(zé)：介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責(zé)。

2） 信息安全測量背景：介紹測量定義、進(jìn)行信息安全測量的好處、測量類型、幾種可以進(jìn)行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

3） 測量發(fā)展和執(zhí)行過程：介紹用于信息安全測量發(fā)展的方法。

4） 測量項目執(zhí)行：討論可以影響安全測量項目的技術(shù)執(zhí)行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標(biāo)準(zhǔn)化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27，該文檔是根據(jù)CISWG的最佳實踐和測量小組的報告改編。

2005年8月31日，美國國際系統(tǒng)安全工程協(xié)會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻(xiàn)背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個貢獻(xiàn)文檔。

2009年國際標(biāo)準(zhǔn)化組織（ISO）了ISO/IEC 27004：2009（信息技術(shù)一安全技術(shù)一信息安全管理測量）標(biāo)準(zhǔn)，為如何建立及測量ISMS及其控制措施提供了指導(dǎo)性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強(qiáng)，不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來保護(hù)組織的重要信息資產(chǎn)，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運行情況進(jìn)行科學(xué)的評價，進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實現(xiàn)目標(biāo)，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息安全風(fēng)險管理、安全投入優(yōu)化和安全實現(xiàn)變更的客觀依據(jù)，有助于降低安全風(fēng)險，減少安全事件的概率和影響，改進(jìn)安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內(nèi)容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價的綜合。信息安全管理測量的結(jié)果是信息安全績效評價的依據(jù)。信息安全管理測量比較具體，信息安全管理評價則通過具體來反映宏觀。

2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實體及其屬性、基礎(chǔ)測評方式、基礎(chǔ)測評變量、導(dǎo)出測評制式、導(dǎo)出測評變量、測評方法、測評基線、測評函數(shù)、分析模型、指示器、決策準(zhǔn)則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進(jìn)行測評（即實體及其屬性），用什么指標(biāo)體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數(shù)來計算測評結(jié)果（即測評函數(shù)），用什么模型來分析測評結(jié)果（即分析模型），用什么方式來使分析結(jié)果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。

決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測評的結(jié)果。決策準(zhǔn)則可能出自或基于對預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計劃和探索中導(dǎo)出，或作為統(tǒng)計控制限度或統(tǒng)計信心限度計算出來。

可測評概念是實體屬性與信息需求之間的抽象關(guān)系，體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想。可測評概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象，例如，過程、產(chǎn)品、系統(tǒng)、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項（信息安全管理測評要素）。屬性是實體可測評的、物理的或抽象的性質(zhì)。一個屬性是能被人或自動手段定量或定性區(qū)分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關(guān)的屬性。一個給定屬性可能被結(jié)合到支持不同信息需求的多個測評構(gòu)造中。信息安全管理測評主要測評的是每一項控制措施的屬性（信息安全管理測評指標(biāo)）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標(biāo)的一組操作，可以有多種測評方法?；A(chǔ)測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據(jù)屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎(chǔ)測評是對于控制項的指標(biāo)可以直接測評出來的量。導(dǎo)出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據(jù)屬性之間的關(guān)系來定義，他捕獲多個屬性或多個實體的相同屬性的信息，其功能依賴于基礎(chǔ)測評的，是兩個或更多基礎(chǔ)測評值得函數(shù)。

測評尺度是一組連續(xù)或離散的數(shù)字量值（如小數(shù)/百分比/自然數(shù)等）或離散的可數(shù)量值（如高/中/低/等）。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。

測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數(shù)（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應(yīng)于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應(yīng)于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準(zhǔn)，以表達(dá)他們相對于此量的量級。只有用相同測評單位表達(dá)的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。

測評函數(shù)是將兩個或更多測評變量結(jié)合成導(dǎo)出測評變量的算法。導(dǎo)出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運算方式。分析模型是將一個或多個測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價。測評方法和測評尺度影響分析模型的選擇。

測評計劃定義了測評實施的目標(biāo)、方法、步驟和資源。測評頻率是測評計劃的執(zhí)行頻率。測評計劃應(yīng)按規(guī)定的頻度定期地或在必要的時候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時候包括ISMS初始規(guī)劃和實施以及ISMS本身或運行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標(biāo)體系是信息安全測評的基礎(chǔ)，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)，對他們進(jìn)行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn)，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個方面，提出了133個控制措施供使用者在信息安全管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌?qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標(biāo)體系的實踐中，通常以控制措施的實施情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過對預(yù)選指標(biāo)集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發(fā)生次數(shù)或觀察經(jīng)過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結(jié)合產(chǎn)生一個不同的基礎(chǔ)測評。測評方法可能采用多種方式實現(xiàn)。測評規(guī)程描述給定機(jī)構(gòu)背景下測評方法的特定實現(xiàn)。

測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數(shù)字規(guī)則（如計數(shù)）的量化。這些規(guī)則可能通過人或自動手段來實現(xiàn)。

測評方法的可能例子有：調(diào)查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試（相關(guān)技術(shù)有設(shè)計測試和操作有效性測試等）、統(tǒng)計（相關(guān)技術(shù)有描述統(tǒng)計、假設(shè)檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計過程控制（SPC， statistical Process control） 圖和時序分析等）。

4 結(jié)束語

當(dāng)前，信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評，其中信息安全風(fēng)險評估可通過對重要信息資產(chǎn)面臨的風(fēng)險、脆弱性的評價掌握組織的信息安全狀況；信息安全審計則只是對信息安全相關(guān)行為和活動提供相關(guān)證據(jù)；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息安全管理的有效性進(jìn)行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據(jù)，也能為組織信息安全管理過程的持續(xù)改進(jìn)提供足夠的幫助，達(dá)到更好地管理信息安全的最終目的。

參考文獻(xiàn)：

[1] 閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31