導(dǎo)語：如何才能寫好一篇信息安全管理計(jì)劃，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】計(jì)算機(jī)；信息安全；管理工作；強(qiáng)化

一、引言

21世紀(jì)是電腦網(wǎng)絡(luò)科技的世紀(jì)，信息借助網(wǎng)絡(luò)傳輸既快速又廣泛的流通與交換，科技進(jìn)步孕育出全球化社會。隨著網(wǎng)絡(luò)的普及化，信息安全的重要性更加凸顯，提升企事業(yè)組織信息安全防御能力，便成當(dāng)務(wù)之急的工作。信息安全維護(hù)旨在確保信息的機(jī)密性、完整性與可用性，我們應(yīng)當(dāng)落實(shí)最佳安全實(shí)務(wù)準(zhǔn)則及縱深防御策略，以應(yīng)對信息網(wǎng)絡(luò)安全的威脅。有鑒于此，無論是防護(hù)機(jī)制建立、法令規(guī)范修訂、教育培訓(xùn)與人才培養(yǎng)，均須落實(shí)執(zhí)行。傳統(tǒng)的信息安全架構(gòu)與信息服務(wù)的安全架構(gòu)是目前經(jīng)常被拿來相比較的議題，大多數(shù)的資料中心發(fā)展成信息服務(wù)中心時(shí)，傳統(tǒng)安全防護(hù)架構(gòu)需要面臨擴(kuò)充性以及適用性的挑戰(zhàn)，從信息基礎(chǔ)設(shè)施、運(yùn)作應(yīng)用程序以及各種不同類型的軟件服務(wù)，增加了管理上的復(fù)雜度。信息服務(wù)的營運(yùn)管理，為確保信息服務(wù)內(nèi)容與營運(yùn)品質(zhì)的重要因素，信息服務(wù)的管理，除了技術(shù)面的問題，許多必須注重在政策面的管理。

二、計(jì)算機(jī)信息安全管理工作開展思路

一是已知的信息安全脆弱性。假如一個(gè)公司或機(jī)構(gòu)曾經(jīng)對其本身的信息系統(tǒng)安全進(jìn)行評估并研析評估資料，則這一公司或機(jī)構(gòu)將可更有效地確保其信息系統(tǒng)的安全，同時(shí)可將其先前所存在的弱點(diǎn)的性質(zhì)告知其他公司與機(jī)構(gòu)，以節(jié)省彼此的時(shí)間及風(fēng)險(xiǎn)。但是，當(dāng)相關(guān)公司擔(dān)心因?qū)θ觞c(diǎn)的矯正不夠徹底而面臨法律問題時(shí)，則將影響此種信息分享的方式。舉例而言，若是某一公司或機(jī)構(gòu)只對其系統(tǒng)中經(jīng)確認(rèn)的弱點(diǎn)的90加以改進(jìn)，并將相關(guān)信息與其他公司分享，則這一公司可能會因違反管理標(biāo)準(zhǔn)而遭到處罰。

二是有關(guān)進(jìn)行中的IT 方面的攻擊或持續(xù)存在的威脅的預(yù)警（但不提及“來源與方法”）。信息系統(tǒng)管理人員與網(wǎng)絡(luò)管理人員是最可能首先發(fā)現(xiàn)入侵行動(dòng)或攻擊行動(dòng)的人。他們大都不愿意將入侵事件向執(zhí)法單位報(bào)告，因?yàn)樗麄儞?dān)心業(yè)主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機(jī)構(gòu)或該公司的名譽(yù)。所以，當(dāng)執(zhí)法單位接獲有關(guān)持續(xù)進(jìn)行的攻擊事件的報(bào)告時(shí)，應(yīng)設(shè)法對這一信息加以篩選、分析，然后分送給其他可能會受影響的單位。如此一來，將可不在提及遭受攻擊的機(jī)構(gòu)或公司名稱的情形下，確認(rèn)潛在的脆弱性或攻擊行動(dòng)。在另一方面，出現(xiàn)有計(jì)劃的攻擊或刺探行動(dòng)時(shí)，因?yàn)檫@等行動(dòng)通常普遍可能成為國家安全的隱憂或因?yàn)樵撔袆?dòng)是來自于某一特定的外國，故由執(zhí)法單位進(jìn)行的信息分享方式顯得特別重要。

三是用以對付某種型態(tài)的IT 方面的攻擊的策略。當(dāng)某一機(jī)構(gòu)發(fā)現(xiàn)了一項(xiàng)弱點(diǎn)或被告知某項(xiàng)弱點(diǎn)，而且也找到了解決辦法，則這一機(jī)構(gòu)可能會抗拒與其他機(jī)構(gòu)分享此方面的信息，因?yàn)檫@種解決辦法對業(yè)主而言極具價(jià)值。有關(guān)這一方面，政府的職責(zé)應(yīng)在于對相關(guān)信息進(jìn)行事前的篩選后加以分送，這一方面有助于其他機(jī)構(gòu)做好預(yù)防工作，一方面又不至于泄漏關(guān)鍵信息。我們可要求各個(gè)公司提供有關(guān)新病毒、網(wǎng)絡(luò)蠕蟲與木馬的信息、某一特定黑客所使用的方法、與選定特定攻擊目標(biāo)的黑客會面所收集到的信息等。這一做法未來將有助于建立與識別相關(guān)的軌跡，并有助于提升入侵偵測的能力以發(fā)揮更佳的保護(hù)效果。

四是通過偵測、分析、防御與應(yīng)變程序進(jìn)行信息服務(wù)的管理，面對所遭遇的問題，通過不斷的持續(xù)改善，依據(jù)所發(fā)掘的異常行為進(jìn)行信息服務(wù)的改善，包括了基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應(yīng)用程序等，增加信息服務(wù)的完整性與可靠度。信息安全管理系統(tǒng)可應(yīng)用于公有信息服務(wù)、私有信息服務(wù)或是混合性的信息服務(wù)架構(gòu)中，通過整體的自我防御機(jī)制，以維持自然的生態(tài)平衡，能夠?qū)τ诋惓５男袨樘卣鬟M(jìn)行應(yīng)對與處置。信息安全管理系統(tǒng)，必須擁有自動(dòng)化的處理能力，面對外來與內(nèi)在的威脅，進(jìn)行自我的防御與應(yīng)變，以縮小影響的范圍與處理的時(shí)效，面對大量的資源而言，必須有效的掌握現(xiàn)有資源的狀態(tài)，以做為資源的調(diào)配上的參考指標(biāo)。

三、計(jì)算機(jī)信息安全管理系統(tǒng)構(gòu)建

信息運(yùn)算環(huán)境下的安全威脅，以風(fēng)險(xiǎn)的角度可以分成信息安全技術(shù)、流程、程序、法律以及互信模式等項(xiàng)目進(jìn)行討論，以信息安全技術(shù)而言，為符合服務(wù)導(dǎo)向的架構(gòu)，目前進(jìn)行信息安全的規(guī)劃與設(shè)計(jì)時(shí)，須先確定提供服務(wù)的內(nèi)容與對象，以確定需要導(dǎo)入的信息安全技術(shù)為何。信息服務(wù)安全的標(biāo)準(zhǔn)化建設(shè)，必須具備以下幾項(xiàng)要件。

第一，信息安全管理系統(tǒng)將相同的理論應(yīng)用在信息運(yùn)算所提供的信息服務(wù)上，將整個(gè)信息架構(gòu)分成了偵測、分析、防御、應(yīng)變等幾個(gè)元件。一是偵測：通過信息安全相關(guān)的設(shè)備，如應(yīng)用層防火墻、通訊協(xié)定分析設(shè)備、入侵偵測系統(tǒng)、誘捕系統(tǒng)等，建立信息環(huán)境的偵測點(diǎn)，運(yùn)用特征比對與行為分析的方式，進(jìn)行異常狀態(tài)的偵測，進(jìn)行信息的收集，以提供后續(xù)的進(jìn)行資料探勘與分析使用。二是分析：大尺度的信息環(huán)境，產(chǎn)生大量的系統(tǒng)日志與網(wǎng)絡(luò)流量等資料，因?yàn)樾畔⒎?wù)維運(yùn)的需求，又必須即時(shí)進(jìn)行資料的探勘，以掌握信息服務(wù)的狀態(tài)，若有異常的行為出現(xiàn)，必須進(jìn)行處置以避免影響信息服務(wù)的安全，因此通過建構(gòu)日志系統(tǒng)以提供未來稽核所需要的佐證文件，為規(guī)劃與建構(gòu)信息資料分析平臺不可或缺的考量。三是防御：信息環(huán)境須具備防御的機(jī)制，當(dāng)有異常的行為出現(xiàn)時(shí)，必須能夠進(jìn)行自我的防御，以避免影響其它的信息服務(wù)。四是應(yīng)變：針對異常的行為或是威脅進(jìn)行應(yīng)變處置，必須具備自動(dòng)化應(yīng)變的能力，通過自主的應(yīng)變措施，以提供信息環(huán)境掌控風(fēng)險(xiǎn)，并且結(jié)合風(fēng)險(xiǎn)評價(jià)與改善規(guī)劃，進(jìn)行環(huán)境的調(diào)整，以達(dá)信息服務(wù)的持續(xù)提供。

第二，實(shí)現(xiàn)與維護(hù)信息安全計(jì)劃。完整的信息安全防護(hù)計(jì)劃，可以確保信息架構(gòu)的安全，針對風(fēng)險(xiǎn)與威脅都進(jìn)行管理與控制，并且能夠持續(xù)維護(hù)信息安全計(jì)劃的有效性，以應(yīng)對新型態(tài)風(fēng)險(xiǎn)與威脅的出現(xiàn)，通過應(yīng)變策略的擬定，針對信息服務(wù)的安全性進(jìn)行掌握。另外，還需建構(gòu)與管理信息安全的基礎(chǔ)設(shè)施。通過完整的基礎(chǔ)設(shè)施，能夠提供信息服務(wù)所需的高彈性資源調(diào)配，確保服務(wù)的可靠性，因此通過基礎(chǔ)設(shè)施的保護(hù)，為提供信息服務(wù)的基本要素，同時(shí)通過服務(wù)供應(yīng)商，以確保在符合法律、法規(guī)以及客戶的要求下，有能力滿足對于所要求的服務(wù)內(nèi)容。除此之外，確保機(jī)密資料安全防護(hù)。資料的安全防護(hù)為信息服務(wù)的核心原則，所有通過信息服務(wù)進(jìn)行傳輸、存取與保存的資料，必須受到嚴(yán)格的資料安全防護(hù)機(jī)制，對于企業(yè)而言，機(jī)敏的資料必須確實(shí)受到安全的防護(hù)，才會考慮是否采用信息服務(wù)模式在其商業(yè)營運(yùn)上，因此無論采用何種方式使用信息服務(wù)，所有的資料流均必須考慮到資料安全的防護(hù)問題。

第三，實(shí)現(xiàn)嚴(yán)謹(jǐn)?shù)拇嫒】刂婆c身份識別管理。使用者可以由不同的管道使用信息服務(wù)，但是不論使用何種方式，均必須確保能夠正確的驗(yàn)證使用者的身份，并且能夠針對使用者的權(quán)限進(jìn)行有效的管理，以限制能夠提供存取的資料范圍。另外，需建立應(yīng)用程序與環(huán)境的配置。當(dāng)使用者通過信息服務(wù)的使用者界面進(jìn)行服務(wù)內(nèi)容的設(shè)定，信息服務(wù)的架構(gòu)必須由一連串的變更進(jìn)行環(huán)境的配置與設(shè)定，以確定能夠由自動(dòng)化的程序，建立應(yīng)用程序與環(huán)境的整合。

第四，實(shí)施信息治理與稽核管理規(guī)劃。對于信息環(huán)境的管理，必須配合稽核計(jì)劃進(jìn)行，以確保所有的信息服務(wù)能夠在可被驗(yàn)證與舉證的前提下，提供使用者安全上的信賴，其中必須涵蓋日志的收集以及需要進(jìn)行稽核的紀(jì)錄，整體的管理規(guī)劃必須同時(shí)配合信息服務(wù)的推出進(jìn)行建構(gòu)。另外，需要實(shí)現(xiàn)弱點(diǎn)掃瞄與入侵偵測系統(tǒng)架構(gòu)。在被信任的的信息服務(wù)中，必須實(shí)現(xiàn)信息架構(gòu)中的基礎(chǔ)設(shè)施、系統(tǒng)平臺以及應(yīng)用程序的弱點(diǎn)管理機(jī)制，通過管理機(jī)制的建立，以進(jìn)行嚴(yán)格的弱點(diǎn)管理計(jì)劃，配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理，其中包括了網(wǎng)絡(luò)、服務(wù)器、基礎(chǔ)設(shè)施等元件，以確定提供信息服務(wù)的內(nèi)容，不因?yàn)榇嬖谌觞c(diǎn)而造成風(fēng)險(xiǎn)與威脅。

第五，采用對稱與非對稱式的信息加密防護(hù)策略。該加密過程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內(nèi)容，密文代表加密后內(nèi)容，演算法代表加密規(guī)則、鑰匙代表加密時(shí)所要定義的參數(shù)。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這只鑰匙，才能順利加解密。加解密時(shí)使用同一把鑰匙，是一直以來的概念，也即密碼學(xué)發(fā)展到此時(shí)，均屬對稱式加密，諸如DES、RC2、Blowfish等。于是在加密法強(qiáng)化到難以破解后，鑰匙的交換與保護(hù)，便成為重要課題。無論資料如何加密保護(hù)，鑰匙的傳遞都必須曝露在相對公開的環(huán)境下傳送，非對稱式加密，即是為了解決這樣的困境而誕生的。

四、結(jié)語

信息安全研究中一項(xiàng)重要的目標(biāo)是發(fā)展高度安全、可靠及彈性的信息系統(tǒng)，確保未來使用電腦、網(wǎng)絡(luò)與其他網(wǎng)絡(luò)系統(tǒng)變得和打開電燈或水龍頭一樣的安全及可靠。美國等發(fā)達(dá)國家十分重視保障未來各種信息系統(tǒng)安全的基礎(chǔ)建設(shè)，要求各種信息設(shè)備在出廠時(shí)即具有使用者可以信賴的安全性以及可靠度。在預(yù)算范圍內(nèi)發(fā)展高度安全與可靠的系統(tǒng)將是未來追求的目標(biāo)，并需通過全國性的網(wǎng)絡(luò)安全研究發(fā)展程序來達(dá)成。

我國開始關(guān)心數(shù)字社會信息安全的作業(yè)，時(shí)間尚短經(jīng)驗(yàn)的累積不多，許多應(yīng)建立的價(jià)值、觀念、制度，大家都還在摸索之中。隨著信息技術(shù)的一日千里，在“運(yùn)籌于虛擬實(shí)境之外，決勝在網(wǎng)頁方寸之中”的數(shù)字社會信息系統(tǒng)安全的環(huán)境下，如何應(yīng)對我國民生息息相關(guān)的信息系統(tǒng)安全作業(yè)等議題，值得展開更深入的思考與討論。傳統(tǒng)的信息安全問題，仍然會出現(xiàn)在信息服務(wù)的環(huán)境中，但伴隨著虛擬化的架構(gòu)、動(dòng)態(tài)資源的調(diào)配以及跨越不同地理位置的服務(wù)模式，將讓信息安全的問題變得更為復(fù)雜，而且新型態(tài)的安全問題也隨著信息服務(wù)的提供而出現(xiàn)，因此更需要通過技術(shù)的層面以及管理的層面，整體的檢視信息服務(wù)與相關(guān)的架構(gòu)，方能提供信息服務(wù)的使用者在安全防護(hù)上的保障，結(jié)合信息安全監(jiān)控中心，對于信息環(huán)境內(nèi)的狀態(tài)進(jìn)行掌控，保存相關(guān)的系統(tǒng)日志與稽核紀(jì)錄，可做為信息安全事件分析的重要信息來源。

參考文獻(xiàn)

[1]張昱.對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[J].廣東科技，2011（10）.

[2]譚濤.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全與防范[J].科技信息，2009（29）.

篇2

關(guān)鍵詞：信息安全；安全管理；體系；規(guī)劃設(shè)計(jì)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Computer Information Security Management System Design and Planning

Chen Guo

(Chongqing University of Technology School of Business Information,Chongqing 400054,China)

Abstract:With the acceleration of information technology,information security technology,more and more attention has been paid,in particular,to do computer information security management system planning and construction,which is the information security one of the important issues facing, must be scientific analysis and layout,to safeguard the security of information systems.In this paper,computer information security management point of view,combined with the development of information security-related issues that exist in the effective analysis and discussion,and to make suggestions and countermeasures.

Keywords:Information security;Security management;System;Planning and design

計(jì)算機(jī)信息系統(tǒng)是一個(gè)較為復(fù)雜管理系統(tǒng)，在它的日常管理過程中，特別是保證其安全運(yùn)行面臨著一系列問題的。計(jì)算機(jī)的管理是涉及到多個(gè)方面的問題，不僅包括硬件和軟件上的管理，與此同時(shí)在運(yùn)行環(huán)境以及計(jì)算機(jī)病毒防止、計(jì)算機(jī)的安全響應(yīng)上都要進(jìn)行有效的維護(hù)，包括通訊故障或者是病毒干擾和感染上都需要采取一些列積極有效的措施，進(jìn)而科學(xué)而有效的保障計(jì)算機(jī)的信息技術(shù)安全。我們知道，信息安全技術(shù)已經(jīng)發(fā)展了長達(dá)二十多年，在這個(gè)過程中已經(jīng)在不斷的完善，逐漸的形成了一個(gè)多學(xué)科的綜合性管理問題，在保障信息技術(shù)安全的進(jìn)程中我們一定要注重綜合全局考慮。而針對于計(jì)算機(jī)的信息安全保障問題，我們一定要一個(gè)有效的安全保障機(jī)制，從涉及安全威脅的方方面面出發(fā)進(jìn)行布局和規(guī)劃，進(jìn)而建立起安全的保障體系。筆者將結(jié)合相關(guān)的問題在如下幾個(gè)方面對其進(jìn)行有效的分析和探討。

一、計(jì)算機(jī)安全管理過程中的問題分析

（一）計(jì)算機(jī)信息安全維護(hù)過程中，保證網(wǎng)絡(luò)協(xié)議的安全性是其安全管理過程中的重要問題之一。在計(jì)算機(jī)的一些協(xié)議中，例如TCP/IP協(xié)議，這些協(xié)議和構(gòu)架一般也都是互聯(lián)網(wǎng)上進(jìn)行信息共享的，這樣一來其中就存在著一定的安全隱患和安全漏洞。這是當(dāng)前計(jì)算機(jī)信息安全威脅的一個(gè)重要的來源，他對于計(jì)算機(jī)系統(tǒng)的破壞也是可想而知的，因此，開展計(jì)算機(jī)的信息系統(tǒng)維護(hù)一定要注意對其的防止，加強(qiáng)網(wǎng)絡(luò)上不明信息以及協(xié)議的安全管理，保障信息傳輸?shù)陌踩院涂茖W(xué)性，始終以維護(hù)信息系統(tǒng)的安全為出發(fā)點(diǎn)進(jìn)行全面客觀的分析。

（二）在計(jì)算機(jī)工作和運(yùn)行的過程中存在的安全管理問題，也就是工作環(huán)境中所存在的安全漏洞。在現(xiàn)有的操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)等典型的企業(yè)用戶工作環(huán)境中，其自身一般都會存在許多的安全漏洞，這是計(jì)算機(jī)安全的隱患之一，其主要包括了自身體系結(jié)構(gòu)的建設(shè)問題，以及系統(tǒng)錯(cuò)誤和混亂所帶來的漏洞，而這些底層的安全漏洞往往是不確定的，如果使用不當(dāng)就會造成整個(gè)信息系統(tǒng)的崩潰。

（三）計(jì)算機(jī)系統(tǒng)產(chǎn)品自身的安全問題。一般來說網(wǎng)絡(luò)用戶大多已經(jīng)采用了網(wǎng)絡(luò)以及相關(guān)的信息安全產(chǎn)品。在這個(gè)過程中如果其安全漏洞或錯(cuò)誤，那么就會導(dǎo)致用戶內(nèi)部網(wǎng)絡(luò)安全防范機(jī)制的失效。與此同時(shí)，計(jì)算機(jī)的安全隱患也不僅僅是安全產(chǎn)品自身的問題，即使安全產(chǎn)品自身不存在安全方面的隱患和漏洞，但計(jì)算機(jī)用戶在對產(chǎn)品進(jìn)行實(shí)際的使用過程中，也會由于用戶的配置或使用不當(dāng)從而造成對產(chǎn)品安全性能的破壞，使其自身性能大大的降低或者是喪失。

二、進(jìn)行計(jì)算機(jī)信息安全體系的規(guī)劃和建設(shè)

（一）加強(qiáng)信息管理，設(shè)計(jì)加密系統(tǒng)進(jìn)行保護(hù)。在信息化程度越來越高的今天，人們利用網(wǎng)絡(luò)進(jìn)行信息的收集以及處理也越來越多，由此也會出現(xiàn)相關(guān)的信息安全問題，如果不多加防護(hù)，就會造成信息的泄露或者是文件的破壞等。針對這一問題，我們開展計(jì)算機(jī)的信息安全維護(hù)和系統(tǒng)建設(shè)一定要注意最基礎(chǔ)的信息加密體系建設(shè)。而信息的加密是為了更好的保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件以及相關(guān)口令和控制信息。這樣一來，在網(wǎng)上進(jìn)行數(shù)據(jù)的傳輸也就更加的具有針對性。而在加密管理的過程中一般有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。一個(gè)加密網(wǎng)絡(luò)，不僅可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法。

（二）計(jì)算機(jī)信息安全審計(jì)系統(tǒng)的規(guī)劃和建設(shè)。我們知道，計(jì)算機(jī)系統(tǒng)在長期的運(yùn)行過程中一般會出現(xiàn)這樣或者那樣的問題，如果不對其進(jìn)行長期有效的檢查和維護(hù)的話，潛在的安全威脅就會趁虛而入。所以，加強(qiáng)計(jì)算機(jī)的信息安全維護(hù)一定要注意加強(qiáng)安全審計(jì)管理體系的建設(shè)，其主要內(nèi)容就是針對系統(tǒng)中的所有資源和行為進(jìn)行審計(jì)，其中包括數(shù)據(jù)庫、主機(jī)等。通過有效的審計(jì)，并對審計(jì)結(jié)果所作的記錄、得出的數(shù)據(jù)進(jìn)行有效的分析，進(jìn)而能更好的開展網(wǎng)絡(luò)安全防范和維護(hù)工作，一旦出現(xiàn)問題就可以及時(shí)有效、快速的找出原因進(jìn)行妥善的解決。

（三）計(jì)算機(jī)信息安全的系統(tǒng)軟件系統(tǒng)建設(shè)。通常來說計(jì)算機(jī)所使用的各種版本的操作系統(tǒng)都存在一定不安全的因素，所以必須采取有效的措施加強(qiáng)安全系統(tǒng)的管理，對其中的數(shù)據(jù)庫軟件以及操作系統(tǒng)進(jìn)行很好的維護(hù)。而這一問題的解決方法就要從系統(tǒng)終端的操作系統(tǒng)上進(jìn)行相應(yīng)的準(zhǔn)備，重要的一點(diǎn)就是要采用統(tǒng)一的、相匹配的版本，這樣一來也可以從軟件系統(tǒng)的角度更好的進(jìn)行維護(hù)和管理。

（四）計(jì)算機(jī)的物理環(huán)境安全防護(hù)體系建設(shè)。這一體系建設(shè)主要的就是針對于計(jì)算機(jī)所處的外部環(huán)境，也就是物理環(huán)境，包括對機(jī)房的監(jiān)控系統(tǒng)維護(hù)、計(jì)算機(jī)所處的溫度等，甚至是漏水和電源情況等時(shí)刻進(jìn)行監(jiān)控。同時(shí)還需要考慮服務(wù)器的管理問題，保證外部的電源以及環(huán)境的溫濕度。

參考文獻(xiàn)：

[1]李濤.網(wǎng)絡(luò)安全概論[M].網(wǎng)絡(luò)安全,2004

[2]郝文江,李玉霞.基于計(jì)算機(jī)技術(shù)對信息的保護(hù)[M].2007,12

篇3

關(guān)鍵詞： 建筑安全；誠信體系；信息化管理

中圖分類號：TU714文獻(xiàn)標(biāo)識碼： A

引言

建筑行業(yè)固有的低效能勞動(dòng)密集型生產(chǎn)活動(dòng)特點(diǎn)也決定了其較高的危險(xiǎn)性。本文就建筑施工項(xiàng)目安全生產(chǎn)管理方面提出了若干辦法和建議以及相關(guān)法律法規(guī)的健全,與大家共同探討。

1、簡述建筑市場安全管理機(jī)制

1.1、安全管理機(jī)制

1.1.1、安全生產(chǎn)管理目標(biāo)

安全生產(chǎn)管理目標(biāo)必須明確、具體，針對地方、企業(yè)、項(xiàng)目的實(shí)際情況制定適用性強(qiáng)、操作性強(qiáng)、針對性強(qiáng)的全面、具體、詳細(xì)的安全生產(chǎn)管理目標(biāo)、兼顧體現(xiàn)行業(yè)、地方、企業(yè)的總體先進(jìn)水平，避免安全生產(chǎn)管理目標(biāo)的過高過大或過低過粗，不利于安全生產(chǎn)管理工作的進(jìn)步及保證項(xiàng)目的安全生產(chǎn)，更不利于保障企業(yè)和職工的生命與財(cái)產(chǎn)，違背了“以人為本”的精神，也違背了“安全第一，預(yù)防為主”的安全生產(chǎn)方針及相關(guān)的法律、法規(guī)。

1.1.2、安全生產(chǎn)管理體系

安全生產(chǎn)管理體系的科學(xué)，安全生產(chǎn)管理機(jī)構(gòu)的健全，安全生產(chǎn)管理制度的完善，安全生產(chǎn)責(zé)任制的落實(shí)，是確保安全生產(chǎn)最基本、最關(guān)鍵的因素。沒有一個(gè)科學(xué)的安全生產(chǎn)管理體系，沒有一個(gè)高效運(yùn)行的安全生產(chǎn)管理機(jī)構(gòu)，沒有一套健全的安全生產(chǎn)管理制度，沒有落實(shí)的安全生產(chǎn)責(zé)任制度，安全生產(chǎn)就無從談起。 只有加強(qiáng)制度建設(shè)與落實(shí)，方可進(jìn)一步確保安全技術(shù)措施及安全防護(hù)措施的落實(shí)，最終保證生產(chǎn)安全，保障企業(yè)及職工的利益。

1.2、證件管理

對于證件的管理指的是特種作業(yè)人員持證上崗、管理人員要求具備相關(guān)證件之后才可以在相關(guān)崗位上工作。作為安全生產(chǎn)的根本要求是管理人員需要做到持證上崗。主要包括有內(nèi)容比較廣泛涉及到項(xiàng)目施工管理之中的任何一個(gè)方面，大到目經(jīng)理，小到施工人員。而對與特種作業(yè)，尤其是對周圍設(shè)施有著較為重大危險(xiǎn)的作業(yè)要求貫徹執(zhí)行持證上崗制度，特種作業(yè)崗位證需要按照相關(guān)的規(guī)定按期加入到復(fù)檢，按時(shí)復(fù)檢、不合格和長期沒有在該崗位的工作人員工作的人員做好管理工作。

1.3、施工技術(shù)機(jī)械管理

施工機(jī)械、施工用電電器元件和一直相關(guān)的其他安全用品等需要具備出廠合格證，或者是質(zhì)量性能檢測報(bào)告等件。同時(shí)需要定期檢測重要設(shè)施、安全用品的性能；制定各種專項(xiàng)檢查、驗(yàn)收、維護(hù)、拆除等相關(guān)的管理制度；并且需要不斷做好對于各種安全防護(hù)措施、安全防護(hù)裝置（設(shè)備）的管理；及好對檢查、維護(hù)等過程制造之中出現(xiàn)的重大安全隱患進(jìn)行整改的管理；專項(xiàng)整治的管理工作。

1.4、事故救援管理

施工企業(yè)及項(xiàng)目部制定好救援預(yù)案并保證在安全事故發(fā)生之時(shí)可以做到有條不紊，不斷提升安全應(yīng)急能力。同時(shí)將應(yīng)急救援人員配備到位，配備救援器材、設(shè)備，定期組織演練。安全事故應(yīng)該急救援預(yù)案需要依據(jù)企業(yè)、項(xiàng)目等等具體情況制訂。

2、建筑企業(yè)安全生產(chǎn)誠信體系建設(shè)

2.1、我國建筑業(yè)安全管理存在的問題

2.1.1、培訓(xùn)缺失

教育和培訓(xùn)時(shí)間同樣不足，導(dǎo)致管理人員平常的管理工作之中對安全工作不夠重視，如何把安全管理工作同項(xiàng)目的生產(chǎn)、質(zhì)量及成本管理工作彼此結(jié)合而缺乏常識，可以在第一時(shí)間避免安全事故的發(fā)生。而在另外一個(gè)方面，當(dāng)前我國對于施工操作人員的安全培訓(xùn)則一般是通過項(xiàng)目部依照相關(guān)的規(guī)章制度來執(zhí)行，這樣就比較缺少較為有效的監(jiān)督以及指導(dǎo)。所以諸多的項(xiàng)目將成本節(jié)約，同時(shí)不斷提升勞動(dòng)生產(chǎn)率，那么在一定的程度之上減少安全培訓(xùn)的時(shí)間和強(qiáng)度，使得諸多的施工人員在進(jìn)入到施工現(xiàn)場之后就有一定的危險(xiǎn)。而這些都給以后的安全管理工作的種下了安全隱患。

2.1.2、建筑企業(yè)需要不斷地提升安全度

當(dāng)前建筑施工管理的安全管理人員比較少，并且從事安全管理工作的人員素質(zhì)有待提升，于此同時(shí)建筑施工內(nèi)部安全管理的投入不夠充分，在安全投入上就變?yōu)槠髽I(yè)利潤挖掘的一種方法。同時(shí)安全管理人員的素質(zhì)有待提升，建筑施工企業(yè)全投入不夠，而在安全上投入則變成企業(yè)利潤挖潛的一種變相的手段，做好安全自查、自控工作形式化，企業(yè)安全檢查工作則形同虛設(shè)，建筑企業(yè)如果過分依賴監(jiān)督機(jī)構(gòu)和監(jiān)理單位，其在安全工作在一定的程度之上則是為了應(yīng)付上級的檢查。沒有形成一個(gè)嚴(yán)格明確細(xì)化的過程安全控制，全過程安全控制運(yùn)行體系就沒有辦法獲得高效的運(yùn)行。建設(shè)工程的流水施工作業(yè)，作業(yè)地點(diǎn)環(huán)境更換頻繁。當(dāng)前工程進(jìn)展以及作業(yè)人員需要面對的工作環(huán)境、作業(yè)條件、施工技術(shù)等等需要不斷發(fā)生變化，此些變化則就給施工企業(yè)產(chǎn)生了較大的安全風(fēng)險(xiǎn)。

施工企業(yè)同項(xiàng)目部分離，使得安全措施沒有辦法獲得充分的落實(shí)。通常一個(gè)施工企業(yè)會承擔(dān)諸多項(xiàng)目的施工作業(yè)，企業(yè)同項(xiàng)目部之間一般是分離狀態(tài)。此種分離可以使得安全管理工作更多的由項(xiàng)目部承擔(dān)。然而，因?yàn)轫?xiàng)目的臨時(shí)性以及建筑市場競爭的逐漸激烈，其在經(jīng)濟(jì)上的壓力也與日俱增，公司的安全措施通常會被漠視。

在建筑施工的現(xiàn)場會存在諸多不安全的因素，建筑施工作為一種作業(yè)強(qiáng)度高、能耗較高以及施工作業(yè)的現(xiàn)場存在一定的制約性，同時(shí)施工現(xiàn)場的存在諸多的污染比如說噪聲、有害氣體、熱量以及沙塵等等。同時(shí)其勞動(dòng)對象的規(guī)模的較大并且高空作業(yè)比較多，而此些工人則通常會露天作業(yè)，受到天氣、溫度的影響比較大，而此些則是工人經(jīng)常面對的不利工作環(huán)境以及負(fù)荷。其施工作業(yè)的標(biāo)準(zhǔn)化程度通常達(dá)不到，也會使得施工現(xiàn)場危險(xiǎn)因素逐漸增多。而工程的建設(shè)則是需要諸多參加，要求諸多專業(yè)技術(shù)知識；建筑企業(yè)數(shù)量比較多，同時(shí)在技術(shù)、人員、裝備、資金等等方面也有一定的差別。而這些也會使得建筑安全生產(chǎn)管理的難度逐漸提升，管理層次比較多，而管理關(guān)系也變得更加的復(fù)雜。

2.2、構(gòu)建企業(yè)安全生產(chǎn)誠信體系的措施

2.2.1、認(rèn)真搞好項(xiàng)目安全生產(chǎn)管理規(guī)劃

項(xiàng)目安全生產(chǎn)管理規(guī)劃,這是保證施工項(xiàng)目安全的十分重要的措施之一。諸多項(xiàng)目在項(xiàng)目總體策劃之中對于安全管理工作，通常較為一筆帶過,缺少具備針對項(xiàng)目不同施工階段存在的特點(diǎn)，編制較為詳盡的安全管理方案,使得安全生產(chǎn)管理過程之中缺少預(yù)見性,工作較為被動(dòng)。

2.2.2、嚴(yán)格執(zhí)行安全生產(chǎn)責(zé)任制。

需要逐漸樹立“以人為本”思想，將安全生產(chǎn)工作做好，這樣才可以事故的發(fā)生，堅(jiān)持“安全第一，預(yù)防為主、綜合治理”的方針。在安全生產(chǎn)之中應(yīng)該嚴(yán)格將安全生產(chǎn)責(zé)任制落實(shí)，首先應(yīng)該明確具體的安全生產(chǎn)要求；對于具體安全生產(chǎn)程序也需要進(jìn)行落實(shí)；其次，需要明確具體的安全生產(chǎn)管理人員，責(zé)任落實(shí)到人；再次，需要明確具體的安全生產(chǎn)培訓(xùn)要求；第五，應(yīng)該不斷具體的安全生產(chǎn)責(zé)任。建立安全生產(chǎn)責(zé)任制的考核辦法，使用考核的方式，實(shí)現(xiàn)獎(jiǎng)優(yōu)罰劣，這樣就可以提升全體從業(yè)人員執(zhí)行安全生產(chǎn)責(zé)任制的自覺性，使得安全生產(chǎn)責(zé)任制的執(zhí)行不斷鞏固。

2.2.3、積極推廣采用新技術(shù)、新工藝

在科學(xué)技術(shù)發(fā)展的推動(dòng)之下,建筑施工企業(yè)需要不斷地提升其生產(chǎn)工藝,使用最新的技術(shù),努力實(shí)現(xiàn)機(jī)械化、自動(dòng)化進(jìn)程,如此則就可以有效減少工人勞動(dòng)強(qiáng)度,逐漸提升其施工安全技術(shù)水平,并且給安全生產(chǎn)創(chuàng)造條件。第一,應(yīng)該對“四口”、“五臨邊”依照頒布標(biāo)準(zhǔn)進(jìn)行水平以及立體防護(hù)的同時(shí),同時(shí)設(shè)置定型化、工具化的防護(hù)欄桿、防護(hù)門、防護(hù)蓋板以及傳部位防護(hù)罩等防護(hù)用具；第二,應(yīng)該設(shè)置統(tǒng)一的標(biāo)準(zhǔn)化安全警示牌、標(biāo)志牌,將警示牌、標(biāo)志牌的作用及時(shí)發(fā)揮出來,發(fā)揮出警示作業(yè)人員促進(jìn)安全生產(chǎn)的作用；第三，應(yīng)該嚴(yán)格檢查鍋爐、提升設(shè)備、塔吊、壓力容器、施工機(jī)具等安全設(shè)施,逐漸提升設(shè)備設(shè)置開門自鎖?？垦b置和防脫落斷繩保險(xiǎn)裝置，堅(jiān)持預(yù)防性電氣絕緣檢測、機(jī)械設(shè)備維修保養(yǎng)、機(jī)械強(qiáng)度試驗(yàn)以及檢修制度，那么就可以使得傷亡事故在一定的程度之上有所控制。

2.2.4、規(guī)范防護(hù)用品采購、保管使用制度

施工現(xiàn)場安全防護(hù)用品這是施工生產(chǎn)過程之中預(yù)防事故、保護(hù)工人安全、健康一種十分重要的輔助手段,錯(cuò)誤使用防護(hù)用品或者是使用假冒偽劣防護(hù)用品而導(dǎo)致出現(xiàn)的傷亡事故。因此對于偽劣防護(hù)用品流入應(yīng)該做好管理工作，嚴(yán)禁其進(jìn)入到施工場地。

2.3、特種設(shè)備在建筑施工安全管理中應(yīng)采取的對策

加大隱患排查整改力度，依法進(jìn)行定期檢驗(yàn)。特種設(shè)備的單位應(yīng)該使用經(jīng)檢驗(yàn)合格的設(shè)備，特種設(shè)備在安全檢驗(yàn)合格有效期屆滿之前的1個(gè)月，使用單位需要向及時(shí)向特種設(shè)備檢驗(yàn)檢測機(jī)構(gòu)提出定期檢驗(yàn)的要求，未經(jīng)檢驗(yàn)或者檢驗(yàn)不合格的設(shè)備，不得繼續(xù)使用。各單位還要加強(qiáng)與外協(xié)隊(duì)伍的溝通協(xié)調(diào)，形成整體合力，并對特種設(shè)備依法進(jìn)行定期檢驗(yàn)，以便于對特種設(shè)備存在的安全隱患和不符合相應(yīng)安全技術(shù)規(guī)范要求的項(xiàng)目進(jìn)行整改和維護(hù)。加強(qiáng)特種設(shè)備操作人員持證上崗管理。為了避免特種作業(yè)操作人員無證上崗，違反特種設(shè)備及特種作業(yè)管理規(guī)定的情況的發(fā)生，要求操作人員必須是經(jīng)考核培訓(xùn)且持有效證件的熟練操作人員進(jìn)行操作，堅(jiān)決杜絕無證上崗現(xiàn)象。

此外，必須需要加強(qiáng)特種作業(yè)人員的管理工作，特種作業(yè)人員除了必須接受一般員工的安全教育外，還必須接受從事特種工種工作所要求的嚴(yán)格教育培訓(xùn)。主要是三個(gè)方面：專業(yè)技術(shù)知識、安全知識、安全操作技能。這三個(gè)方面我們在傳授過程當(dāng)中主要是通過安全生產(chǎn)方針政策與法律法規(guī)教育、一般安全生產(chǎn)技術(shù)知識教育、專業(yè)安全生產(chǎn)技術(shù)知識和安全生產(chǎn)技能教育、安全生產(chǎn)意識和事故案例教育來講授。比如說機(jī)械司機(jī)安全教育培訓(xùn)梳理規(guī)范成以月度安全教育培訓(xùn)為主線，其他例行性教育培訓(xùn)（如崗前三級安全教育、班前安全教育等）、突發(fā)事件教育培訓(xùn)（如事故分析處理通報(bào)教育等）、季節(jié)性教育培訓(xùn)（如防風(fēng)防臺學(xué)習(xí)培訓(xùn)、防暑降溫與防雷培訓(xùn)等）和專項(xiàng)性教育培訓(xùn)（如應(yīng)急常識及其演練培訓(xùn)、回爐防疏培訓(xùn)、安全操作和技術(shù)攻關(guān)交流與培訓(xùn)等）等為支線，交接班安全生產(chǎn)信息交接以及臨時(shí)性安全生產(chǎn)短會為補(bǔ)充的安全教育培訓(xùn)體系。

3、信息化管理的應(yīng)用

3.1、重視起信息化的作用，推動(dòng)信息化發(fā)展

面對時(shí)展的趨勢，我們不得不承認(rèn)，不管是在現(xiàn)在還是在將來，信息技術(shù)化發(fā)展必將成為一個(gè)既定的發(fā)展趨勢，所以，作為一個(gè)建筑企業(yè)，既然想要在日益激烈的市場競爭中站住腳跟，就必須拋掉陳舊的思想，跟上社會發(fā)展的節(jié)奏，融入社會，全力推動(dòng)信息化的發(fā)展，增加自己的競爭籌碼。就目前而言，我國的絕大部分的建筑企業(yè)依然沒有重視對于信息化的發(fā)展，這顯然是不行的，這樣的企業(yè)，在未來的科技化的社會競爭中，必將面臨著淘汰的危險(xiǎn)。作為一個(gè)建筑企業(yè)，就應(yīng)該做到管理辦公信息化，以提高企業(yè)的辦公效率，同時(shí)減少企業(yè)對于工作人員的要求，降低建設(shè)成本。而且，相對于人類來說，擁有系統(tǒng)化規(guī)范化處理技術(shù)的計(jì)算機(jī)，在核算以及統(tǒng)計(jì)規(guī)劃上，擁有著人類所無法比擬的巨大優(yōu)勢。這些，都將成為提高企業(yè)經(jīng)濟(jì)效益的資本，所以，作為建筑企業(yè)，應(yīng)該重視信息化管理的作用，推動(dòng)信息化技術(shù)的發(fā)展，拋出現(xiàn)今存在的局限性，以及不完全性的弊端，全力發(fā)展信息化技術(shù)。

3.2、重視信息化管理的應(yīng)用，加強(qiáng)軟件的開發(fā)與更新

根據(jù)自身的實(shí)際情況，不同的建筑企業(yè)可以建立不同的信息化發(fā)展戰(zhàn)略，以改變建筑工程管理領(lǐng)域信息化應(yīng)用程度較低的現(xiàn)狀。企業(yè)要重視起信息化管理的應(yīng)用，絕不能僅僅使用在施工中的機(jī)械自動(dòng)化中，在企業(yè)的管理中，同樣要利用起信息化，利用信息技術(shù)改造建筑業(yè)，充分發(fā)揮信息技術(shù)在建筑工程管理中的優(yōu)勢。此外，應(yīng)用軟件同樣也是實(shí)現(xiàn)建筑工程管理信息化應(yīng)該具備的條件，而對建筑工程項(xiàng)目的相關(guān)業(yè)務(wù)缺少開發(fā)或者購置與之相應(yīng)的軟件，那么比較難實(shí)現(xiàn)信息化建設(shè)的預(yù)期目的，也發(fā)揮不出硬件資源的作用。所以，為了可以不斷推進(jìn)建筑工程管理的信息化，建筑企業(yè)需要對應(yīng)用軟件給予一定程度的重視，不斷做好軟件的開發(fā)以及更新工作。

3.3、數(shù)字管理系統(tǒng)

數(shù)字管理系統(tǒng)是與當(dāng)下計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)在建筑施工領(lǐng)域的不斷推廣相適應(yīng)的，目前我國在建筑施工領(lǐng)域已經(jīng)大面積實(shí)現(xiàn)了施工資料和建筑施工管理的電子化與網(wǎng)絡(luò)化，在安全生產(chǎn)管理中，無論是從業(yè)人員和管理人員數(shù)據(jù)的錄入，還是教育培訓(xùn)的進(jìn)行，都可以通過數(shù)字化文檔進(jìn)行，更可以與網(wǎng)絡(luò)鏈接，傳遞與共享相關(guān)資料，而數(shù)字管理系統(tǒng)就是對企業(yè)安全生產(chǎn)管理中產(chǎn)生的數(shù)字化文檔進(jìn)行整理和歸并，一方面以備查閱，同時(shí)也便于形成企業(yè)自身的安全管理數(shù)據(jù)庫。

4、結(jié)語

當(dāng)前我國的經(jīng)濟(jì)保持著比較好的增長勢頭，而作為國民經(jīng)濟(jì)支柱產(chǎn)業(yè)的建筑業(yè)表現(xiàn)出良好的發(fā)展，當(dāng)前我國建筑業(yè)較為落后的安全管理將會嚴(yán)重影響到建筑業(yè)的形象以及競爭力，所以安全生產(chǎn)管理工作具有十分重大的意義，因此需要對安全生產(chǎn)管理工作做好深入的探討。

參考文獻(xiàn)：

[1]彭本.建筑安全管理存在的問題及對策研究[D].大連理工大學(xué),2013.

[2]齊新波.建筑生產(chǎn)安全事故預(yù)防基金研究[D].重慶大學(xué),2013.

篇4

【關(guān)鍵詞】網(wǎng)絡(luò)安全；基層醫(yī)院；權(quán)限

【中圖分類號】TP393.08 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01―0087-02

中央縣醫(yī)院能力建設(shè)使基層醫(yī)院信息化建設(shè)得到了迅猛發(fā)展，醫(yī)院信息系統(tǒng)已成為建設(shè)現(xiàn)代化醫(yī)院不可缺少的基礎(chǔ)設(shè)施和支撐環(huán)境。隨著越來越多的傳統(tǒng)的手工流程逐步轉(zhuǎn)變?yōu)檐浖畔⑻幚砹鞒蹋t(yī)院業(yè)務(wù)對于信息系統(tǒng)的依賴也越來越強(qiáng)，但信息安全是網(wǎng)絡(luò)時(shí)代產(chǎn)生的一個(gè)困擾所有使用者的問題，尤其是醫(yī)院業(yè)務(wù)所產(chǎn)生的數(shù)據(jù)具有隱私程度更高的特點(diǎn)，對于數(shù)據(jù)傳輸與數(shù)據(jù)存儲的安全性的要求更高，因此保障醫(yī)院信息的安全性成為醫(yī)院信息化建設(shè)過程中必須重視的關(guān)鍵問題。信息安全管理是通過維護(hù)信息的機(jī)密性、完整性與可用性來管理并保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制。

1 醫(yī)院信息安全現(xiàn)狀

文獻(xiàn)對湖北省醫(yī)院信息安全狀況進(jìn)行了調(diào)查和分析，調(diào)查結(jié)果如下：

醫(yī)院網(wǎng)絡(luò)安全措施方面，湖北省98.10%的二級及以上醫(yī)院已采用網(wǎng)絡(luò)安全措施，其中應(yīng)用情況比較好的有防火墻設(shè)備、上網(wǎng)行為管理和域用戶管理模式，應(yīng)用比例如圖1所示。

體系結(jié)構(gòu)安全措施方面，醫(yī)院信息系統(tǒng)體系結(jié)構(gòu)安全措施主要包括服務(wù)器雙機(jī)熱備、服務(wù)器集群、容錯(cuò)機(jī)、服務(wù)器負(fù)載均衡等，湖北省二級及以上醫(yī)院信息系統(tǒng)總體采用率如圖2所示。

數(shù)據(jù)安全措施方面，數(shù)據(jù)安全是通過數(shù)據(jù)冗余、密碼認(rèn)證等措施以防數(shù)據(jù)因系統(tǒng)硬件或軟件故障而引起數(shù)據(jù)丟失或泄漏的一種措施。調(diào)查結(jié)果顯示：應(yīng)用率較高的安全措施，如數(shù)據(jù)庫鏡像備份、數(shù)據(jù)冷備份和數(shù)據(jù)離線存儲的應(yīng)用率如圖3所示。

醫(yī)院信息安全制度和應(yīng)急預(yù)案方面，93.51的二級醫(yī)院已制定醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案，其中制定比較完善的占30.93%；95.35%的三級醫(yī)院制定了醫(yī)院信息系統(tǒng)安全制度與措施，其中比較完善的占46.42%。

衛(wèi)生部印發(fā)的衛(wèi)辦綜發(fā)[2011]39號《基于電子病歷的醫(yī)院信息平臺建設(shè)技術(shù)解決方案（1.0版）》中對醫(yī)院信息平臺的安全體系框架給予了指導(dǎo)說明，如圖4所示。

基于電子病歷的醫(yī)院信息平臺安全體系總體框架包括：安全基礎(chǔ)設(shè)施、安全技術(shù)、安全管理三部分：

（1）安全基礎(chǔ)設(shè)施主要為基于電子病歷的醫(yī)院信息平臺安全運(yùn)行所需的防護(hù)部件，通過安全基礎(chǔ)設(shè)施的安全互聯(lián)、接入控制與邊界防護(hù)、區(qū)域安全、通信安全、數(shù)據(jù)傳輸安全和安全管理等，為形成一體化的安全防護(hù)體系奠定基礎(chǔ)。

（2）安全技術(shù)包含安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、屋里安全及安全管理中心五個(gè)方面。

（3）安全管理建設(shè)需建立相應(yīng)的信息安全管理機(jī)構(gòu)、制定相應(yīng)的信息安全管理制度、設(shè)置平臺運(yùn)行所需的人員、崗位，建立對系統(tǒng)在運(yùn)行開發(fā)過程中的制度，同時(shí)通過日常巡檢、咨詢、評估等運(yùn)行管理來發(fā)現(xiàn)安全隱患并予以改進(jìn)與提升。

2 醫(yī)院信息安全管理實(shí)踐措施

孝感市某醫(yī)院自2008年起開始全面建設(shè)醫(yī)院信息化，在軟件信息系統(tǒng)功能不斷提升改進(jìn)的同時(shí)，也不斷地探索實(shí)踐信息安全保障的方式，形成了如圖5所示的醫(yī)院信息安全管理體系框架。

2.1 網(wǎng)絡(luò)安全管理

2.1.1 安全網(wǎng)關(guān)技術(shù)

采用路由器與防火墻相結(jié)合的Juniper SSG安全專用網(wǎng)關(guān)，通過網(wǎng)絡(luò)和應(yīng)用層防護(hù)技術(shù)，用于阻斷蠕蟲、間諜軟件、木馬、惡意軟件和其他新興攻擊。此外，SSG安全網(wǎng)關(guān)設(shè)備還整合了防火墻系統(tǒng)ScreenOS，Juniper J系列路由器的廣域網(wǎng)接口模塊以及JUNOS系統(tǒng)廣域網(wǎng)封裝協(xié)議，以提供整合的安全和路由特性，可同時(shí)部署為防火墻和路由設(shè)備。

（1）內(nèi)外網(wǎng)隔離：醫(yī)院內(nèi)網(wǎng)與外部互聯(lián)網(wǎng)通過防火墻設(shè)置實(shí)現(xiàn)了內(nèi)外網(wǎng)隔離，保證內(nèi)網(wǎng)安全性。

（2）安全防護(hù)與效能：通過使用驗(yàn)證的防火墻與丨 PSec VPN，加上UTM安全防護(hù)功能，包括IPS、防毒（包括防間諜軟件、防廣告軟件、防釣魚攻擊）、防垃圾郵件，以及Web過濾。

（3）網(wǎng)路分段功能：提供一組網(wǎng)絡(luò)分區(qū)特性，如安全區(qū)域、虛擬路由器和虛擬局域網(wǎng)等，允許管理員將網(wǎng)絡(luò)分割成不同的安全區(qū)域以部署不同的安全策略，從而為不同的用戶群提供不同級別的安全性。

（4）防火墻技術(shù)：通過防火墻技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊檢測、DoS和DDoS防護(hù)、用于數(shù)據(jù)包碎片保護(hù)的TCP重組、異常數(shù)據(jù)包防護(hù)等功能。

（5）入侵檢測與防御系統(tǒng)：通過可定制的規(guī)則對本地的運(yùn)行程序、注冊表的讀寫操作、以及文件讀寫操作進(jìn)行判斷并允許或禁止。通過將入侵檢測與防御軟件安裝在硬件防火墻上，實(shí)現(xiàn)高端安全功能整合。

（6）日志記錄和監(jiān)視：日志記錄和監(jiān)視功能能夠?qū)崿F(xiàn)監(jiān)控多個(gè)服務(wù)器的系統(tǒng)日志，可進(jìn)行路由跟蹤，可使用VPN隧道監(jiān)視器。

（7）管理：具有本地管理員數(shù)據(jù)庫與外部的管理員數(shù)據(jù)庫，用戶級別分為根管理員、管理員和只讀用戶級別。

2.1.2 上網(wǎng)行為管理

通過將上網(wǎng)行為管理硬件部署在防火墻與交換機(jī)之間，實(shí)現(xiàn)P2P流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個(gè)方面的功能。

（1）防止帶寬資源濫用：通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、時(shí)間段等的細(xì)致帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障院內(nèi)業(yè)務(wù)應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。

（2）防止無關(guān)網(wǎng)絡(luò)行為影響工作效率：上網(wǎng)行為管理產(chǎn)品可基于用戶/用戶組、應(yīng)用、時(shí)間等條件的上網(wǎng)授權(quán)策略可以精細(xì)管控所有與工作無關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進(jìn)行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。

（3）記錄上網(wǎng)軌跡滿足法規(guī)要求：上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風(fēng)險(xiǎn)。

（4）管控外發(fā)信息，降低泄密風(fēng)險(xiǎn)：上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動(dòng)泄密、被動(dòng)泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護(hù)信息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

（5）為網(wǎng)絡(luò)管理與優(yōu)化提供決策依據(jù)：上網(wǎng)行為管理產(chǎn)品提供了豐富的網(wǎng)絡(luò)可視化報(bào)表，能夠提供詳細(xì)報(bào)告讓管理者清晰掌握互聯(lián)網(wǎng)流量的使用情況，找到造成網(wǎng)絡(luò)故障的原因和網(wǎng)絡(luò)瓶頸所在，從而對精細(xì)化管理網(wǎng)絡(luò)并持續(xù)加以優(yōu)化提供了有效依據(jù)。

（6）防止病毒木馬等網(wǎng)絡(luò)風(fēng)險(xiǎn)：通過上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險(xiǎn)插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強(qiáng)度檢查與網(wǎng)絡(luò)準(zhǔn)入，DOS防御、ARP欺騙防護(hù)等多種安全手段，實(shí)現(xiàn)立體式安全護(hù)航，確保組織安全上網(wǎng)。

2.2 外部訪問安全控制管理

2.2.1 外部公眾訪問醫(yī)院宣傳網(wǎng)站的安全管理

對于醫(yī)院對外宣傳網(wǎng)站服務(wù)器，通過內(nèi)網(wǎng)IP映射為外網(wǎng)IP，實(shí)現(xiàn)外部訪問，同時(shí)也保證了內(nèi)部網(wǎng)站服務(wù)器的安全性。

2.2.2 外部開發(fā)與維護(hù)人員遠(yuǎn)程訪問系統(tǒng)安全管理

醫(yī)院外部開發(fā)與維護(hù)人員遠(yuǎn)程訪問系統(tǒng)皆通過VPN進(jìn)行訪問（虛擬專用網(wǎng)絡(luò)）。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)保證連接的安全。

（1）為不同接入用戶分別建立獨(dú)立的VPN連接用戶：不同類別用戶各自擁有獨(dú)立的VPN連接用戶，例如，對于信息中心人員，每位員工擁有各自VPN用戶名及密碼，對于外部廠商人員，為每個(gè)廠商分配了VPN連接用戶，以在需要時(shí)區(qū)分遠(yuǎn)程連接操作的操作者。

（2）安全特性：VPN后臺管理可以為設(shè)置VPN訪問策略；可以通過連接監(jiān)控器管理歷史VPN連接訪問記錄。

2.3 數(shù)據(jù)庫安全管理

數(shù)據(jù)庫是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲的核心，數(shù)據(jù)不僅是各個(gè)應(yīng)用系統(tǒng)的基礎(chǔ)，也是醫(yī)院的重要資源。數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)安全的核心部分。

數(shù)據(jù)庫的安全威脅主要有三種：篡改、損壞、竊取。在數(shù)據(jù)庫安全管理層面，提供4種安全管理策略。

2.3.1 用戶注冊管理

系統(tǒng)管理員為不同類別用戶注冊不同用戶名，以方面針對性地進(jìn)行權(quán)限管理與權(quán)限控制。

2.3.2 身份驗(yàn)證管理

身份驗(yàn)證管理包括數(shù)據(jù)庫服務(wù)器登錄的身份驗(yàn)證管理與數(shù)據(jù)庫本身的登錄身份驗(yàn)證管理。所有的用戶登錄均需要通過驗(yàn)證用戶名與密碼。系統(tǒng)管理員按操作規(guī)程定期修改數(shù)據(jù)庫服務(wù)器密碼。

2.3.3 存取控制管理

對分配給數(shù)據(jù)庫進(jìn)行操作的用戶根據(jù)用戶類型進(jìn)行存取權(quán)限控制管理。例如管理員類用戶具有最高的讀寫、刪除權(quán)限。

2.4 應(yīng)用系統(tǒng)權(quán)限管理

醫(yī)院所有應(yīng)用系統(tǒng)通過集成平臺集成到統(tǒng)一的醫(yī)院門戶中。門戶下的應(yīng)用權(quán)限分為兩級權(quán)限管理：門戶權(quán)限管理與應(yīng)用系統(tǒng)內(nèi)部權(quán)限管理。門戶系統(tǒng)權(quán)限設(shè)置基于用戶角色進(jìn)行權(quán)限分配，醫(yī)院員工通過分配相應(yīng)角色使用門戶功能；系統(tǒng)功能權(quán)限主要控制操作人是否可以進(jìn)入該功能。

2.4.1 角色設(shè)置

醫(yī)院對相關(guān)的角色進(jìn)行整體分類，劃分了以下角色：醫(yī)生、護(hù)士、藥劑科、門辦、醫(yī)務(wù)處、醫(yī)保辦等、職能科室負(fù)責(zé)人、醫(yī)院副職領(lǐng)導(dǎo)、院長、系統(tǒng)管理員、其他角色。

2.4.2 系統(tǒng)功能權(quán)限設(shè)置

將系統(tǒng)功能進(jìn)行類別的劃分，例如業(yè)務(wù)處理、財(cái)務(wù)狀況、醫(yī)療動(dòng)態(tài)、藥品信息、病人資料、人事行政、總務(wù)后勤、其他信息、系統(tǒng)維護(hù)。

2.4.3 角色具體權(quán)限分配

對所建立的角色分配權(quán)限，當(dāng)新用戶加入時(shí)，通過為用戶分配角色，實(shí)現(xiàn)相應(yīng)功能權(quán)限的分配。例如000586王新軍藥劑科管理員，具有藥庫系統(tǒng)；藥庫查詢；藥庫報(bào)表；藥庫維護(hù)；門診發(fā)藥；工作報(bào)表；統(tǒng)計(jì)查詢等權(quán)限。

2.5 院內(nèi)終端設(shè)備安全管理

2.5.1 操作系統(tǒng)登錄用戶設(shè)置

院內(nèi)所有終端電腦登錄用戶設(shè)置為不具有操作系統(tǒng)管理權(quán)限，同時(shí)對涉及安全操作功能對登錄用戶進(jìn)行了屏蔽。保證了用戶登錄操作系統(tǒng)進(jìn)行應(yīng)用系統(tǒng)操作的同時(shí)，也不會因其他誤操作引起終端電腦產(chǎn)生安全漏洞。

2.5.2 終端電腦設(shè)置不能訪問外網(wǎng)

院內(nèi)所有終端電腦安裝默認(rèn)設(shè)置為不能訪問外網(wǎng)，只需接入醫(yī)院內(nèi)網(wǎng)以滿足醫(yī)院業(yè)務(wù)應(yīng)用操作需要。如因業(yè)務(wù)需要確實(shí)需要接入外網(wǎng)的終端，須經(jīng)院內(nèi)審核后進(jìn)行設(shè)置。防止因終端電腦任意訪問外網(wǎng)所導(dǎo)致的網(wǎng)絡(luò)病毒的威脅及黑客攻擊。

2.5.3 終端電腦禁用USB接口

院內(nèi)所有終端電腦操作系統(tǒng)設(shè)置為禁止使用USB接口。如因業(yè)務(wù)需要確實(shí)需要開通USB接口，須經(jīng)院內(nèi)審批后進(jìn)行設(shè)置開通。防止因接入可能存在病毒及木馬的USB設(shè)備而引起的終端電腦病毒感染，避免終端電腦的文件及信息被竊取。

2.5.4 終端電腦安裝安全防護(hù)軟件

院內(nèi)所有終端電腦上都安裝安全防護(hù)軟件對終端電腦進(jìn)行系統(tǒng)與文件的安全保護(hù)，對有威脅的文件進(jìn)行過濾及清除。及時(shí)發(fā)現(xiàn)、定位及清除病毒文件，為終端電腦提供實(shí)時(shí)的安全防護(hù)。

3 結(jié)束語

醫(yī)院信息安全作為醫(yī)院信息化管理的關(guān)鍵工作之一，是一個(gè)復(fù)雜的系統(tǒng)工程，醫(yī)院需要建立一套完整的信息安全管理體系，采用多種技術(shù)手段，建立有效、健全的安全防御體系來全方位的防止來自網(wǎng)絡(luò)內(nèi)外的威脅，最終達(dá)到保護(hù)醫(yī)院信息安全的目的。

參考文獻(xiàn)

[1]孟一清.淺談醫(yī)院信息安全管理[J].中國衛(wèi)生產(chǎn)業(yè)，2011，8（12）：168-169

[2]陳敏，鄭見立.湖北省醫(yī)院信息安全狀況調(diào)查與分析[J].中國醫(yī)院管理，2011，31（5）：20-21

[3]石凌云，詹建國.計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器入侵與防御研究[J].電腦知識與技術(shù)，2010，6（15）：4116-4119

[4]房寧.基于VPN技術(shù)及其應(yīng)用的研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，11：32-33

[5]陳凌平，馬宗慶，郭振華.醫(yī)院信息系統(tǒng)安全與管理建設(shè)淺談[J].中國醫(yī)療器械信息，2010，16（3）：21-25

[6]田秀霞，王曉玲，高明，周傲英.數(shù)據(jù)庫服務(wù)――安全與隱私保護(hù)[J]. 軟件學(xué)報(bào)，2010，21（5）：991-1006

篇5

關(guān)鍵詞：企業(yè)信息化 信息安全管理 作用

1 企業(yè)信息化

信息化是指培養(yǎng)、發(fā)展以計(jì)算機(jī)為主的智能化工具為代表的新生力，并使之造福于社會的歷史過程。信息化代表了一種信息技術(shù)被高度應(yīng)用，信息資源被高度共享，從而使得人的只能潛力以及社會物質(zhì)資源潛力被充分發(fā)揮，個(gè)人行為，組織決策和社會運(yùn)行趨勢于合理化的理想狀態(tài)。信息化是各企業(yè)管理運(yùn)用中必須強(qiáng)化的一項(xiàng)內(nèi)容。企業(yè)信息化是指企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ)，在一定的深度和廣度上利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)數(shù)據(jù)庫技術(shù)，控制和集成化管理企業(yè)生產(chǎn)經(jīng)營活動(dòng)中的各種信息，實(shí)現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用，以提高企業(yè)的經(jīng)濟(jì)效益和市場競爭力，這將涉及到對企業(yè)管理理念的創(chuàng)新。管理團(tuán)隊(duì)的重組和管理手段的創(chuàng)新。

2 信息安全管理

2.1信息安全管理的概述

管理是一種基本的社會實(shí)踐活動(dòng)，它貫穿于人類社會實(shí)踐的歷史過程。信息安全管理是通過對信息活動(dòng)相關(guān)領(lǐng)域的管理，來實(shí)現(xiàn)信息安全管理的目的。信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義上來說，凡是涉及信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是信息安全的研究領(lǐng)域。

2.2信息安全管理的特征

2.2.1基礎(chǔ)性

信息安全管理是保障信息安全的基本途徑，也是實(shí)施信息安全活動(dòng)的主要依托和必備手段。它既是行駛和保障合法權(quán)益的基本手段，也是整個(gè)信息社會正常運(yùn)行的先決條件。信息安全管理的保障能力既是個(gè)人素質(zhì)、企業(yè)實(shí)力、軍隊(duì)?wèi)?zhàn)斗力的重要體現(xiàn)，也是國家和社會安全的重要標(biāo)志。因此，信息安全管理不僅是任何個(gè)人、任何組織、任何行業(yè)、任何國家都需要的基本管理活動(dòng)，而且是其實(shí)施信息安全活動(dòng)的主要依托和必備手段。

2.2.2全局性

信息安全管理是一個(gè)龐大、復(fù)雜、動(dòng)態(tài)的人機(jī)交互系統(tǒng)工程，是由一系列子系統(tǒng)構(gòu)成的一個(gè)有機(jī)整體，涉及信息安全管理的人員、資產(chǎn)、技術(shù)、設(shè)備、環(huán)境、體制編制、政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、管理理論、管理方法、教育訓(xùn)練、政治工作及后勤保障等各方面。各個(gè)子系統(tǒng)之間既相互滲透又相互促進(jìn)，共同構(gòu)成了信息安全管理的全局。構(gòu)建信息安全管理體系，進(jìn)行全面的信息安全管理，其實(shí)質(zhì)在于全面提高整體信息安全管理水平。這就從本質(zhì)上說明了信息安全管理，都不是真正意義上的信息安全管理，只有在總體戰(zhàn)略上完成了信息安全管理的過程，才能稱為信息安全管理。因?yàn)楫?dāng)今的安全是包括各個(gè)領(lǐng)域的大安全，其信息領(lǐng)域的安全尤為重要。

3 動(dòng)態(tài)性

由現(xiàn)代管理學(xué)可知，管理既是一種活動(dòng)，也是一個(gè)過程。管理系統(tǒng)是一個(gè)運(yùn)動(dòng)著的有機(jī)體。管理系統(tǒng)內(nèi)部的聯(lián)系及其與環(huán)境的相互作用都是一種運(yùn)動(dòng)。管理系統(tǒng)的功能是時(shí)間的函數(shù)，因?yàn)椴徽撌枪芾硐到y(tǒng)要素的狀態(tài)和功能，還是環(huán)境的狀態(tài)或聯(lián)系的狀態(tài)都是在變化的，運(yùn)動(dòng)是管理系統(tǒng)的生命。例如在鋼鐵企業(yè)中社會經(jīng)濟(jì)系統(tǒng)中的子系統(tǒng)，為了適應(yīng)外部社會經(jīng)濟(jì)的需要，必須不斷地完善和改變自己的功能，而鋼鐵企業(yè)內(nèi)部各子系統(tǒng)的功能及相互關(guān)系也必須隨之相應(yīng)的發(fā)展變化。

4 安全管理系統(tǒng)對企業(yè)信息化的作用

計(jì)算機(jī)安全管理系統(tǒng)與企業(yè)的正常運(yùn)營有著密不可分的關(guān)系。信息安全管理體系主要分為三個(gè)要素，第一是資源條件，即組織中的人、財(cái)、物、時(shí)間、空間、信息、以及信息環(huán)境等；二是目標(biāo)，信息安全管理目標(biāo)是管理運(yùn)行的動(dòng)力和方向；三是管理者與被管理者。對于，企業(yè)而言。安全管理系統(tǒng)，系統(tǒng)信息技術(shù)的發(fā)展不僅改變了企業(yè)的外部環(huán)境，內(nèi)部的管理模式也將因此而發(fā)生改革。企業(yè)信息化程度不斷提高。安全管理系統(tǒng)不僅在內(nèi)部形成網(wǎng)絡(luò)，做到信息共享，使企業(yè)組織整體高效運(yùn)營，而且企業(yè)還與外部網(wǎng)絡(luò)溝通，形成互聯(lián)網(wǎng)絡(luò)。信息技術(shù)、信息系統(tǒng)和信息作為一種資源已不再僅僅支撐鋼鐵企業(yè)戰(zhàn)略，而且還有助于決定企業(yè)戰(zhàn)略。企業(yè)信息化采用計(jì)算機(jī)安全管理系統(tǒng)，采用大量的安全信息技術(shù)，改進(jìn)和強(qiáng)化了企業(yè)物流資、資金流、人員流及信息流的集成管理，對企業(yè)固有的經(jīng)營思想和管理模式產(chǎn)生了強(qiáng)烈沖擊，帶來了根本性變革。計(jì)算機(jī)安全信息技術(shù)與企業(yè)的發(fā)展與融合，使企業(yè)競爭戰(zhàn)略不斷創(chuàng)新，提高了企業(yè)競爭力。企業(yè)運(yùn)用安全信息系統(tǒng)管理，不僅提高了企業(yè)全體員工的整體素質(zhì)，建立良好的管理規(guī)范和管理流程，構(gòu)建扎實(shí)的企業(yè)管理基礎(chǔ)，實(shí)行科學(xué)管理，從而提高了企業(yè)的整體管理水平。計(jì)算機(jī)安全管理系統(tǒng)在企業(yè)內(nèi)部的管理中起著重要性的作用。

5 結(jié)語

計(jì)算機(jī)安全管理系統(tǒng)在企業(yè)中的運(yùn)用是建立國家信息安全保障體系的物質(zhì)基礎(chǔ)。信息管理安全體系與企業(yè)管理是信息安全管理的重要組成部分。近年來，我國計(jì)算機(jī)信息安全技術(shù)研究與信息化取得了積極進(jìn)展，但整體上還比較落后，關(guān)鍵是技術(shù)和產(chǎn)品受制于人，計(jì)算機(jī)信息安全系統(tǒng)是信息安全保障的關(guān)鍵，也是企業(yè)有效運(yùn)行的重要條件。為使我國各企業(yè)經(jīng)濟(jì)更好地發(fā)展。必須加強(qiáng)信息安全科學(xué)技術(shù)研究。要健全技術(shù)創(chuàng)新體系，提高我國信息安全自主創(chuàng)新能力，使計(jì)算機(jī)安全管理系統(tǒng)更進(jìn)一步。有效地服務(wù)于各行各業(yè)中。

參考文獻(xiàn)：

[1]科飛管理咨詢公司.信息安全管理概論—BS7799理解與實(shí)施[M].北京：機(jī)械工業(yè)出版社，2002.

[2]戴宗坤，羅萬伯.信息系統(tǒng)安全.北京：電子工業(yè)出版社，2002：170-172

[3]沈昌祥.風(fēng)險(xiǎn)管理與應(yīng)急體系.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（6）：6-7

篇6

【關(guān)鍵詞】醫(yī)院信息化建設(shè)；計(jì)算機(jī)網(wǎng)絡(luò)；安全管理；維護(hù)

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，帶動(dòng)了醫(yī)療行業(yè)信息化建設(shè)的發(fā)展浪潮。隨著醫(yī)院信息化建設(shè)不斷深入，計(jì)算機(jī)網(wǎng)絡(luò)覆蓋了醫(yī)院各個(gè)部門，醫(yī)院業(yè)務(wù)越來越依靠計(jì)算機(jī)網(wǎng)絡(luò)來開展。智能高效的計(jì)算機(jī)網(wǎng)絡(luò)對于現(xiàn)代數(shù)字化智慧醫(yī)院的建設(shè)，起到了重要的促進(jìn)作用。但是，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)為醫(yī)院業(yè)務(wù)帶來高效率服務(wù)的同時(shí)，各種安全隱患威脅也隨之而來。從目前的醫(yī)院信息化應(yīng)用發(fā)展的趨勢看，計(jì)算機(jī)網(wǎng)絡(luò)一旦發(fā)生問題，將給醫(yī)院信息安全帶來巨大的威脅。輕則影響醫(yī)院業(yè)務(wù)，重則危害公眾利益。因此加強(qiáng)醫(yī)院內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的安全管理與維護(hù)工作，十分重要。

1醫(yī)院信息化建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理的重要性

1.1計(jì)算機(jī)網(wǎng)絡(luò)支撐醫(yī)院信息化建設(shè)

醫(yī)院信息化系統(tǒng)是利用計(jì)算機(jī)網(wǎng)絡(luò)和設(shè)備，為醫(yī)院各科室提供患者診療業(yè)務(wù)信息和行政管理信息收集與處理服務(wù)。沒有計(jì)算機(jī)網(wǎng)絡(luò)，醫(yī)院信息系統(tǒng)各模塊就無法通信，也無法實(shí)現(xiàn)其業(yè)務(wù)功能。建立了覆蓋全院各部門的計(jì)算機(jī)網(wǎng)架構(gòu)，才能為建設(shè)全新的數(shù)字化智慧醫(yī)院奠定良好基礎(chǔ)。好比火車和鐵軌，要想火車要開到哪，鐵軌就得鋪設(shè)到哪。

1.2計(jì)算機(jī)網(wǎng)絡(luò)在醫(yī)院信息化建設(shè)中的應(yīng)用

在醫(yī)院信息化建設(shè)中，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用領(lǐng)域很多，如果進(jìn)行簡單的分類，可以分為信息處理和信息傳遞兩部分。如病人到醫(yī)院就診掛號生成病人就診卡，醫(yī)院檢驗(yàn)、放射、病理醫(yī)技檢查結(jié)果由計(jì)算機(jī)接收處理生成電子檢查單，是信息處理應(yīng)用。醫(yī)生通過就診卡調(diào)取病人就診信息，查看檢查結(jié)果，是信息傳遞應(yīng)用。醫(yī)院信息化建設(shè)通過計(jì)算機(jī)網(wǎng)絡(luò)，形成一個(gè)智能高效的醫(yī)院信息系統(tǒng)，包含醫(yī)院各類業(yè)務(wù)的數(shù)據(jù)。醫(yī)院各部門通過院內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)，按分配的權(quán)限從醫(yī)院系統(tǒng)的數(shù)據(jù)庫中調(diào)閱所需資料，取代了傳統(tǒng)的紙質(zhì)記錄文檔，實(shí)現(xiàn)醫(yī)院日常業(yè)務(wù)工作“無紙化”。

1.3計(jì)算機(jī)網(wǎng)絡(luò)安全管理是醫(yī)院信息化建設(shè)的重點(diǎn)

醫(yī)院信息系統(tǒng)完全依賴醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行，一個(gè)安全穩(wěn)定的計(jì)算機(jī)網(wǎng)絡(luò)，不但能提高醫(yī)院工作效率，還能促進(jìn)醫(yī)院信息化建設(shè)發(fā)展。一旦醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)發(fā)生安全事故，就會造成醫(yī)院日常工作的癱瘓，而且病患的個(gè)人信息也極有可能泄露，從而使病患的隱私受到侵犯。由此可見，做不到醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的安全與穩(wěn)定，醫(yī)院信息化建設(shè)就象沙灘上建城堡，邊建立，邊破滅。

2醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全威脅分析

2.1醫(yī)院內(nèi)部對計(jì)算機(jī)網(wǎng)絡(luò)安全管理的漠視

在當(dāng)今信息化時(shí)代，醫(yī)院信息化建設(shè)已經(jīng)為醫(yī)院帶來可巨大的經(jīng)濟(jì)效益，醫(yī)院也越來越意識到計(jì)算機(jī)網(wǎng)絡(luò)的好處。但在醫(yī)院業(yè)務(wù)對計(jì)算機(jī)網(wǎng)絡(luò)依賴日益增加的今天，某些醫(yī)院人員對計(jì)算機(jī)網(wǎng)絡(luò)安全的重視，還停留在口頭上。醫(yī)院的醫(yī)務(wù)人員由于自身職業(yè)的緣故，缺乏專業(yè)計(jì)算機(jī)知識，不清楚網(wǎng)絡(luò)安全管理與維護(hù)的必要性。有些醫(yī)院信息維護(hù)管理部門管理不善，對于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)用戶的權(quán)限需求不予限制，予取予求。而用戶獲得權(quán)限后沒有保密意識，權(quán)限被盜用導(dǎo)致數(shù)據(jù)泄密。或是醫(yī)院用戶以工作效率等為借口，漠視醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度，在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中屢次發(fā)生違規(guī)操作，也同樣危害到計(jì)算機(jī)網(wǎng)絡(luò)安全。

2.2計(jì)算機(jī)網(wǎng)絡(luò)中硬件設(shè)備問題

（1）一般來說，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)客戶端連接的設(shè)備，就是計(jì)算機(jī)。醫(yī)院的網(wǎng)絡(luò)用戶，是通過操作客戶端的計(jì)算機(jī)來接入醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)工作。但醫(yī)院有時(shí)候從效益和節(jié)省成本的角度出發(fā)，計(jì)算機(jī)設(shè)備淘汰速度較慢。這些計(jì)算機(jī)運(yùn)行速度較慢，容易死機(jī)，影響網(wǎng)絡(luò)工作流程。此外因?yàn)榭陀^條件的原因，目前絕大多數(shù)計(jì)算機(jī)使用的都是微軟公司的WINDOWS系列操作系統(tǒng)，有的甚至還在使用WINDOSXP系統(tǒng)。由于WINDOWS操作系統(tǒng)自身的原因，存在的漏洞如不及時(shí)修補(bǔ)極易受到攻擊，給計(jì)算機(jī)網(wǎng)絡(luò)造成安全威脅。（2）醫(yī)院的宗旨是救死扶傷，為了保障患者的診療業(yè)務(wù)正常開展，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)要求全天24小時(shí)暢通。故醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)各節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備，是全天候不間斷運(yùn)行的。但網(wǎng)絡(luò)電子設(shè)備，總是無法避免發(fā)生故障：如雨天雷擊，炎熱高溫，意外斷電等會導(dǎo)致設(shè)備故障；網(wǎng)絡(luò)線路的斷裂，信號受到干擾，也會導(dǎo)致設(shè)備無法通信。網(wǎng)絡(luò)設(shè)備的故障對計(jì)算機(jī)網(wǎng)絡(luò)的破壞具有隱蔽性和突然性，還會造成故障排查上的困難。

2.3病毒侵襲和黑客攻擊

計(jì)算機(jī)病毒是一種惡意程序，而計(jì)算機(jī)網(wǎng)絡(luò)病毒是在計(jì)算機(jī)網(wǎng)絡(luò)上傳播、專門攻擊網(wǎng)絡(luò)薄弱環(huán)節(jié)、破壞網(wǎng)絡(luò)資源的計(jì)算機(jī)病毒。病毒尋找計(jì)算機(jī)網(wǎng)絡(luò)漏洞進(jìn)行侵入，攻擊網(wǎng)絡(luò)上的主機(jī)，降低計(jì)算機(jī)工作效率，讓程序運(yùn)行發(fā)生錯(cuò)誤。另一方面，病毒的傳播擴(kuò)散性，使得它會持續(xù)攻擊其他客戶端的計(jì)算機(jī)。網(wǎng)絡(luò)病毒的傳播，就會占用網(wǎng)絡(luò)帶寬，堵塞網(wǎng)絡(luò)，引起廣播風(fēng)暴，最后導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)癱瘓。計(jì)算機(jī)病毒的防治一直是令人頭痛的問題，因?yàn)椴《局圃煺咭恢痹谛薷牟《境绦?，針對各種漏洞發(fā)動(dòng)攻擊。和計(jì)算機(jī)病毒威脅相伴的，是網(wǎng)絡(luò)黑客攻擊。網(wǎng)絡(luò)黑客出于不同的目的對計(jì)算機(jī)網(wǎng)絡(luò)發(fā)動(dòng)攻擊，他們攻擊醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)可能為了炫耀或報(bào)復(fù)，但更多是為了經(jīng)濟(jì)利益。黑客對醫(yī)院網(wǎng)絡(luò)的攻擊方式主要有布置木馬程序，利用系統(tǒng)安全漏洞，盜用IP，竊取用戶賬號權(quán)限等。例如勒索病毒事件，黑客就是利用計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)行病毒攻擊并勒索錢財(cái)，國外多家醫(yī)院成為病毒感染“重災(zāi)區(qū)”。

3醫(yī)院信息化建設(shè)中計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)策略分析

3.1完善管理組織機(jī)構(gòu)，建立健全安全制度

俗話說：蛇無頭不行。醫(yī)院要做好計(jì)算機(jī)網(wǎng)絡(luò)的安全管理工作，要成立相應(yīng)的安全管理機(jī)構(gòu)，如成立醫(yī)院由醫(yī)院領(lǐng)導(dǎo)組成的信息化安全管理領(lǐng)導(dǎo)小組，全面落實(shí)醫(yī)院信息安全工作和醫(yī)院各部門職責(zé)。醫(yī)院要設(shè)立專職負(fù)責(zé)的醫(yī)院信息安全管理的技術(shù)部門，如醫(yī)院信息科。引進(jìn)高水平的專業(yè)人才，設(shè)立專職的信息安全管理人員，打造專業(yè)的技術(shù)團(tuán)隊(duì)。同時(shí)，結(jié)合醫(yī)院實(shí)際情況，建立安全管理制度，完善安全管理機(jī)制，制定各類網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并在醫(yī)院安全領(lǐng)導(dǎo)管理機(jī)構(gòu)和專職技術(shù)部門的監(jiān)督下，認(rèn)真執(zhí)行。

3.2加強(qiáng)計(jì)算機(jī)用戶培訓(xùn)，統(tǒng)一信息安全防護(hù)意識

對醫(yī)院職工開展計(jì)算機(jī)教育和培訓(xùn)。一方面進(jìn)行基本的計(jì)算機(jī)信息安全知識培訓(xùn)，另一方面加強(qiáng)法制教育，內(nèi)容包括計(jì)算機(jī)安全法律法規(guī)、國家保密法、計(jì)算機(jī)犯罪法等，特別是2017年6月開始執(zhí)行的《中華人民共和國網(wǎng)絡(luò)安全法》。通過教育，明確醫(yī)院各部門在計(jì)算機(jī)網(wǎng)絡(luò)安全管理中應(yīng)履行的權(quán)利和義務(wù)，在思想上和行動(dòng)上統(tǒng)一全院的信息安全防護(hù)意識。

3.3做好醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)與設(shè)備的維護(hù)

按照醫(yī)院的需求，做好每年醫(yī)院信息化建設(shè)的預(yù)算，預(yù)算包含采購醫(yī)院信息化硬件設(shè)備和網(wǎng)絡(luò)改造的資金。及時(shí)淘汰老化的計(jì)算機(jī)，網(wǎng)絡(luò)客戶端計(jì)算機(jī)使用windows7以上操作系統(tǒng)，及時(shí)更新補(bǔ)丁修復(fù)操作系統(tǒng)漏洞。對于關(guān)鍵業(yè)務(wù)點(diǎn)的客戶端，可增加多臺計(jì)算機(jī)客戶端保障業(yè)務(wù)通暢。根據(jù)醫(yī)院的信息化發(fā)展不斷完善醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的綜合布線，改造舊網(wǎng)絡(luò)，替換過時(shí)的網(wǎng)絡(luò)設(shè)備。按醫(yī)院的實(shí)際情況設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，主干線路用光纖，主要設(shè)備和鏈路采用冗余設(shè)計(jì)。樓宇間或懸空的網(wǎng)絡(luò)線路要注意防雷或使用光纖連接，主要網(wǎng)絡(luò)設(shè)備配備UPS不間斷電源供電。

3.4做好網(wǎng)絡(luò)訪問控制

要做到網(wǎng)絡(luò)安全防范與保護(hù)，主要策略就是采取網(wǎng)絡(luò)訪問控制。訪問控制就是利用多種技術(shù)手段保護(hù)網(wǎng)絡(luò)資源不被非法訪問和使用。為實(shí)現(xiàn)醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全管理，在規(guī)劃醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，可以根據(jù)醫(yī)院各部門業(yè)務(wù)和職能的差異劃分不同的區(qū)域，分配各自的地址段。尤其是醫(yī)院信息化系統(tǒng)的重要服務(wù)器，劃分進(jìn)特定的區(qū)域重點(diǎn)防護(hù)，并做好服務(wù)器主機(jī)安全設(shè)置。在網(wǎng)絡(luò)上布置防火墻和安全網(wǎng)關(guān)實(shí)現(xiàn)邊界隔離和訪問控制，各區(qū)域按管理規(guī)定劃分訪問權(quán)限，限制或隔離醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)上各區(qū)域間的訪問，控制各客戶端對服務(wù)器重點(diǎn)區(qū)域的訪問。醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)各客戶端啟用IP/MAC地址綁定，防止非法計(jì)算機(jī)接入網(wǎng)絡(luò)。加強(qiáng)網(wǎng)絡(luò)用戶登陸網(wǎng)絡(luò)賬號的安全管理，同一用戶登陸進(jìn)行兩種身份鑒定組合，如：采用U盤證書加口令等方式。

3.5提高網(wǎng)絡(luò)防病毒能力

計(jì)算機(jī)網(wǎng)絡(luò)容易受到網(wǎng)絡(luò)病毒的攻擊，安裝防病毒軟件能夠有效的避免病毒的侵襲。防病毒軟件包含有網(wǎng)絡(luò)殺毒軟件、病毒防火墻以及入侵檢測系統(tǒng)等。為網(wǎng)絡(luò)上各主機(jī)，尤其是信息系統(tǒng)服務(wù)器安裝正版網(wǎng)絡(luò)殺毒軟件，并設(shè)置防病毒服務(wù)器，對殺毒軟件進(jìn)行自動(dòng)升級，智能管理。病毒防火墻能檢測和防御通過網(wǎng)絡(luò)的方式來傳播病毒，對于一些網(wǎng)絡(luò)入侵的木馬程序，也能監(jiān)控并清除。計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)可做為防火墻的合理補(bǔ)充，通過數(shù)據(jù)審計(jì)和行為分析等手段，及時(shí)發(fā)覺網(wǎng)絡(luò)或系統(tǒng)受到攻擊的跡象。此外，為了保障網(wǎng)絡(luò)安全，分析潛在威脅，對各類安全審計(jì)日志，要保留足夠長的時(shí)間，例如保存半年以上。

3.6應(yīng)用加密技術(shù)

目前看來，我國絕大多數(shù)醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)使用TCP/IP進(jìn)行具體通信。該協(xié)議過分強(qiáng)調(diào)了開發(fā)性和便利性，造成了很大的安全漏洞。故醫(yī)院信息系統(tǒng)在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)墓こ讨?，可以適當(dāng)?shù)目紤]采用數(shù)據(jù)加密手段，來防止數(shù)據(jù)泄密。加密技術(shù)是利用技術(shù)手段把數(shù)據(jù)變?yōu)閬y碼傳送，接收之后再用特定的手段還原。這就等于是為數(shù)據(jù)加了一層殼后再傳輸，就算數(shù)據(jù)被人中途截獲，沒有正確的方法也無法解密。

4結(jié)語

隨著醫(yī)院信息化建設(shè)的深入發(fā)展，各醫(yī)院不斷壯大基于大型網(wǎng)絡(luò)平臺的醫(yī)療信息系統(tǒng)建設(shè)，在這樣的大環(huán)境下，信息安全顯得尤為重要。國家中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，以及醫(yī)院信息系統(tǒng)安全等級保護(hù)測評的開展，充分說明了問題。加強(qiáng)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)是當(dāng)今醫(yī)院信息安全建設(shè)的核心問題。因此，采取合理的手段，多措并舉，建立一套合理的醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理和維護(hù)機(jī)制，是未來醫(yī)院信息化建設(shè)順利發(fā)展和滿足信息安全管理需求的重要保障。

參考文獻(xiàn)

[1]潘帆.關(guān)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J].技術(shù)與市場,2015,22(02):134-135.

[2]何薇.關(guān)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J/OL].企業(yè)改革與管理,2014(14):23.

篇7

［關(guān)鍵詞］ 信息化技術(shù)； 食品安全； 管理； 作用

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 047

［中圖分類號］ TS201.6 ［文獻(xiàn)標(biāo)識碼］ A ［文章編號］ 1673 - 0194（2012）19- 0077- 01

近些年，伴隨著社會經(jīng)濟(jì)的發(fā)展，食品安全問題引起了人們越來越廣泛的關(guān)注。食品安全無小事，這是長期實(shí)踐得出的正確結(jié)論，引起了社會各界人士的共鳴。在當(dāng)代，隨著全球化的不斷深入，食品安全問題已經(jīng)超越了國界，成為全世界人民面臨的共同問題。對于中國來說，其食品安全正處于一個(gè)重要的轉(zhuǎn)折期。這個(gè)轉(zhuǎn)折期就是由長期的食品短缺，過渡到食品相對過剩。這個(gè)轉(zhuǎn)折期能否順利度過，在很大程度上要依賴于管理的力量。但是，中國的食品安全管理現(xiàn)狀令人擔(dān)憂，管理的功效并沒有得到充分發(fā)揮。針對這種現(xiàn)狀，我們必須創(chuàng)新思維，為管理注入新的思想。在這種情況下，信息化技術(shù)的作用逐漸凸顯出來，成為攻克各種食品安全問題的“良藥”。由此可見，如何加大信息化技術(shù)在食品安全管理中的應(yīng)用程度，是我們必須認(rèn)真面對的重點(diǎn)課題與難點(diǎn)課題。

1 我國食品安全信息化管理現(xiàn)狀分析

從世界范圍看，我國食品安全問題已經(jīng)相當(dāng)嚴(yán)重。近些年，食品安全問題頻發(fā)，如“毒奶粉事件”、“地溝油事件”、“瘦肉精事件”等。這些食品安全問題，既損害了民眾的身心健康，也擾亂了正常的市場秩序，還玷污了我國的國際形象。

伴隨著食品安全形勢的發(fā)展，黨和政府加大了對食品安全問題的重視程度，并接連出臺了一些相關(guān)的政策、文件、法規(guī)。例如，科技部將食品安全列為“十五”重大科技專項(xiàng)，并聯(lián)合其他部門，設(shè)立2億元的關(guān)鍵技術(shù)研究資金。再如，農(nóng)業(yè)部從2001年開始實(shí)施“無公害食品行動(dòng)計(jì)劃”，將無公害的農(nóng)產(chǎn)品作為重要的戰(zhàn)略目標(biāo)。除此之外，國務(wù)院八部委聯(lián)合提出了“三綠工程”，即綠色消費(fèi)、綠色通道、綠色市場，對食品質(zhì)量安全實(shí)行全程控制。在21世紀(jì)，綠色生產(chǎn)與綠色消費(fèi)已成為社會關(guān)注的熱點(diǎn)話題。

現(xiàn)在，在許多大中城市的帶動(dòng)下，很多城市都實(shí)行了市場準(zhǔn)入制度。但是，目前我國的市場監(jiān)控體系還不夠健全，監(jiān)督手段還有待提高，許多安全質(zhì)量信息未能實(shí)現(xiàn)共享。在這種情況下，食品安全信息化管理逐漸得到重視，實(shí)施范圍和力度都在不斷加大。

2 加強(qiáng)食品安全信息化管理的發(fā)展趨勢分析

伴隨著食品安全信息化管理的不斷深入，人們切身感受到這種管理方式帶來的好處，并對其有了新的認(rèn)識。與其他管理方式相比，信息化管理具有無法比擬的優(yōu)勢。這種優(yōu)勢主要體現(xiàn)在以下幾個(gè)方面：

數(shù)據(jù)管理優(yōu)勢。信息化管理，顧名思義，就是用現(xiàn)代信息技術(shù)來管理食品安全。有信息技術(shù)就會有數(shù)據(jù)庫。依靠強(qiáng)大的數(shù)據(jù)管理系統(tǒng)，食品安全管理有了充足的、可靠的、實(shí)用的數(shù)據(jù)信息。有了這些數(shù)據(jù)信息，用戶可以根據(jù)自身的需求，快速查閱各種所需的信息，如政策法規(guī)、安全標(biāo)準(zhǔn)、技術(shù)指標(biāo)等，為廣大用戶提供了優(yōu)質(zhì)的信息服務(wù)，實(shí)現(xiàn)信息共享。

檔案管理優(yōu)勢。 除了數(shù)據(jù)管理以外，信息化管理還提供了相對健全的檔案管理系統(tǒng)，如企業(yè)注冊登記系統(tǒng)、產(chǎn)品認(rèn)證系統(tǒng)、信用記錄系統(tǒng)等等。這些檔案管理系統(tǒng)，為日常的工作記錄提供了極大的便利。而且，它還能為決策者提供全面的信息服務(wù)。

信用跟蹤優(yōu)勢。通過信息化管理，可以對生產(chǎn)、運(yùn)輸、銷售、消費(fèi)等各個(gè)環(huán)節(jié)進(jìn)行跟蹤性的記錄和調(diào)查，以充分保證產(chǎn)品的質(zhì)量。根據(jù)記錄和調(diào)查的結(jié)果，完善信用系統(tǒng)，以提高信用管理的便捷性和真實(shí)性。

風(fēng)險(xiǎn)評價(jià)優(yōu)勢。在信息技術(shù)的幫助下，我們可以采用先進(jìn)的風(fēng)險(xiǎn)評價(jià)方法，建立和完善風(fēng)險(xiǎn)預(yù)警與評價(jià)體系。根據(jù)預(yù)警和評價(jià)的結(jié)果，對市場發(fā)展形勢作出準(zhǔn)確的預(yù)測，進(jìn)而為決策者提供必要的支持，提高工作效率。

技術(shù)指導(dǎo)優(yōu)勢。食品安全的信息化管理，還能為食品生產(chǎn)提供可靠的專家系統(tǒng)。在這種系統(tǒng)的幫助下，產(chǎn)品生產(chǎn)者可以獲取各種各樣的技術(shù)指導(dǎo)，這不僅從源頭上保證了食品的安全，而且保證了生產(chǎn)者的利益。

基于以上分析，我們不難得出這樣的結(jié)論：實(shí)行食品安全信息化管理，是今后食品安全管理工作的必然選擇。西方發(fā)達(dá)國家已在這方面取得豐碩的成果，也積累了許多寶貴的經(jīng)驗(yàn)。而我國還處于探索階段，在應(yīng)用的過程中困難重重。

3 結(jié)束語

綜上所述，在新的市場環(huán)境下，加強(qiáng)食品安全管理是一項(xiàng)系統(tǒng)工程。要想夯實(shí)該項(xiàng)工程的基礎(chǔ)，就必須加大信息技術(shù)應(yīng)用的廣度和深度。而在應(yīng)用信息技術(shù)的過程中，我們要注意幾個(gè)問題：首先，我們要對信息技術(shù)應(yīng)用的重要性和必要性有一個(gè)清晰的認(rèn)識；其次，我們要對信息技術(shù)在食品安全管理中的應(yīng)用現(xiàn)狀有一個(gè)全面的認(rèn)識；最后，我們要采取各項(xiàng)有效措施，提高應(yīng)用的針對性與實(shí)效性。只有這樣，才能真正實(shí)現(xiàn)信息技術(shù)與食品安全管理的有機(jī)統(tǒng)一，才能真正實(shí)現(xiàn)食品安全管理事業(yè)的又好又快發(fā)展。

主要參考文獻(xiàn)

［1］ 方海． 國外食品安全信息化管理體系研究及對我國的借鑒意義［D］． 上海：華東師范大學(xué)，2006．

篇8

關(guān)鍵字：基建施工管理安全質(zhì)量基建工程安全質(zhì)量一體化管理信息系統(tǒng)

Design and implementation of infrastructure project integration managementof safety and quality information system

Zhan Yun Teng1.2

(1.Northeeast Dianli University Department of Information Engineering.JiLin 132012; 2.TianJin ChengXi Power Supply Company of State Grid TianJin 300000)

Abstract：Summarizes the Tianjin West Division safety problems of quality management in recent years in infrastructure construction experience and the existing company, expounds the present situation of Tianjin West Branch infrastructure project construction management, further improve the company capital construction engineering safety quality integrated management system is divided into the west of Tianjin, to strengthen the mechanism construction of Tianjin West Branch construction engineering safety quality integration management, so as to realize the standardization, the company safety and quality management of West Tianjin power supply branch of the comprehensive, informationization, process standardization, standardization and diversification.

Keywords:The capital construction management;Safety and quality;Construction project integration management of safety and quality information system

中圖分類號：TU71文獻(xiàn)標(biāo)識碼： A

為深入貫徹天津市電力公司發(fā)展戰(zhàn)略和適應(yīng)“十二五”電網(wǎng)建設(shè)高速發(fā)展的形勢，根據(jù)國家電網(wǎng)公司在全系統(tǒng)實(shí)施“三集五大”體系工作中“大建設(shè)”體系建設(shè)的總體思路和部署，按照電網(wǎng)建設(shè)的客觀規(guī)律、科學(xué)程序和集約化、扁平化、專業(yè)化工作方向，秉承“細(xì)實(shí)”的工作理念，結(jié)合城西電網(wǎng)建設(shè)實(shí)際，近些年，國家電網(wǎng)公司一直將工程的質(zhì)量、安全工作作為頭等大事來抓，在各種會議上，國家電網(wǎng)領(lǐng)導(dǎo)不斷強(qiáng)調(diào)各網(wǎng)省公司領(lǐng)導(dǎo)要高度重視基建工程建設(shè)過程中的質(zhì)量、安全工作。

1電網(wǎng)基建工程管理當(dāng)前存在的差距

近年來，我國國民經(jīng)濟(jì)迅速發(fā)展，人們對電力需求日益提高，但我國電網(wǎng)基建工程質(zhì)量、安全的管理發(fā)展相對緩慢，與國外發(fā)達(dá)國家相比還存在差距。差距主要體現(xiàn)在以下幾個(gè)方面：

（1）電網(wǎng)基建工程項(xiàng)目建設(shè)的依賴性很強(qiáng)?，F(xiàn)在電網(wǎng)基建工程項(xiàng)目建設(shè)主要依賴施工技術(shù)人員，項(xiàng)目沒有科學(xué)的管理和有效的監(jiān)督，所以對整個(gè)工程項(xiàng)目建設(shè)的質(zhì)量安全沒有提供保障；

（2）質(zhì)量管理流于形式，電網(wǎng)基建工程項(xiàng)目缺乏監(jiān)管力度；

（3）管理人員及相關(guān)工作人員責(zé)任制落實(shí)不到位。在基建工程中，一方面是一些管理人員自身不負(fù)責(zé)任、不清楚自己的管理職責(zé)、存在慣性思維、抱有僥幸心理，法律意識淡薄而使管理成為一句口號，給工程質(zhì)量和安全埋下隱患；另一方面是管理辦法的實(shí)施沒有到位，而導(dǎo)致相關(guān)管理人員無法履行自己的管理職責(zé)；

（4）管理人員不具備相應(yīng)的專業(yè)管理資質(zhì)和管理經(jīng)驗(yàn)。電力基建工程的質(zhì)量和投資效果重在管理，而管理水平的高低取決于管理人員專業(yè)水平的高低。在基建工程管理中一些管理人員可能不具備相應(yīng)的管理資質(zhì)，或其本身空有理論而沒有管理經(jīng)驗(yàn)，更有甚者既不具備管理理論又沒有實(shí)際管理經(jīng)驗(yàn)。這樣的管理必然會給基建工程埋下質(zhì)量和安全隱患；

（5）電力基建工程的合同糾紛。在電力基建工程建設(shè)中，建設(shè)單位、施工單位和監(jiān)理單位之間發(fā)生各種合同糾紛、合同違約屢見不鮮，其直接原因就是盲目簽訂合同、不合理簽訂合同以及合同本身不完善存在歧義或漏洞，在簽訂合同時(shí)存在相互隱瞞欺騙，在履行合同時(shí)鉆法律空子偷工減料。

基于上述原因，將安全、質(zhì)量預(yù)案根據(jù)實(shí)際工作科學(xué)進(jìn)行合并，形成一體預(yù)案管理模式，并且規(guī)范依據(jù)文件列表及內(nèi)容，加強(qiáng)對業(yè)主項(xiàng)目部、施工項(xiàng)目部、監(jiān)理項(xiàng)目部在安全、質(zhì)量工作方面的管理，并建立相應(yīng)的規(guī)章制度、考核辦法，為構(gòu)建適應(yīng)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)要求的大建設(shè)體系，提高電網(wǎng)建設(shè)安全質(zhì)量和工藝水平，提升建設(shè)管理效率與效益提供保障。

本課題在《國家電網(wǎng)公司“十一五”信息發(fā)展規(guī)劃》及國家電網(wǎng)公司“SG186工程”框架的指導(dǎo)下，結(jié)合天津城西分公司信息化建設(shè)發(fā)展需要和基建工程質(zhì)量、安全管理體系化、規(guī)范化發(fā)展要求，將質(zhì)量、安全一體化預(yù)案內(nèi)容與天津市電力公司基建部已經(jīng)梳理完成的工程建設(shè)標(biāo)準(zhǔn)化節(jié)點(diǎn)內(nèi)容相結(jié)合，將安全、質(zhì)量的管理內(nèi)容進(jìn)行細(xì)化，建立健全工程安全、質(zhì)量管理體系、流程再造，設(shè)計(jì)并建立一個(gè)基建工程安全、質(zhì)量管理生命周期過程全程化、關(guān)鍵工程安全、質(zhì)量管理環(huán)節(jié)在控實(shí)時(shí)化、安全、質(zhì)量檔案規(guī)范化、審核工作流程化，以及建設(shè)制度、技術(shù)規(guī)范全員培訓(xùn)落實(shí)的新型基建工程安全、質(zhì)量管理體系。本課題在實(shí)現(xiàn)電網(wǎng)建設(shè)工程安全質(zhì)量管理工作的標(biāo)準(zhǔn)化、全面化、信息化、流程化、規(guī)范化、多樣化方面具有重要意義。

2電網(wǎng)基建工程管理系統(tǒng)相關(guān)概況研究

目前國內(nèi)外相關(guān)行業(yè)對于基建工程安全和質(zhì)量一體化預(yù)案管理和依據(jù)性文件標(biāo)準(zhǔn)庫的研究還處于初級階段，由于標(biāo)準(zhǔn)不明確，造成各個(gè)網(wǎng)省公司難以有效管理各個(gè)參建單位在安全、質(zhì)量方面的工作。

在國網(wǎng)公司范圍內(nèi)，基建工程的一體化管理雖然時(shí)有提及，但依然缺乏明確的制度指導(dǎo)和實(shí)施辦法，也還處于研究摸索階段。

目前在基建工程中，進(jìn)度、造價(jià)、安全、質(zhì)量、技術(shù)五大專業(yè)中，安全和質(zhì)量的管理一直是比較薄弱的環(huán)節(jié)，沒有成熟的管理模型可以參考。

2.1 研究意義

對當(dāng)前的基建工程管理現(xiàn)狀進(jìn)行深入調(diào)研，重點(diǎn)對于安全管理和質(zhì)量管理方面的現(xiàn)實(shí)情況。廣泛收集基建工程中安全質(zhì)量方面的頻發(fā)問題，結(jié)合當(dāng)前的實(shí)際管理情況，進(jìn)行深入分析研究。

組織行業(yè)專家和基建工程管理內(nèi)部人員，結(jié)合前期的調(diào)研分析成果和同行業(yè)的有益做法，形成一套切合實(shí)際的基建工程安全、質(zhì)量一體化管理制度和管理辦法。并按照公司要求，組織進(jìn)行培訓(xùn)課件的編寫，制定培訓(xùn)和推廣計(jì)劃。

分析目前在建項(xiàng)目的安全、質(zhì)量預(yù)案所引用的依據(jù)性文件，形成文件列表，結(jié)合天津地區(qū)地址情況和氣象情況，形成適用于整個(gè)天津地區(qū)的依據(jù)性文件資料知識庫，廣泛收集各個(gè)參建單位的意見，形成最終版資料知識庫。

2.2 基建工程安全質(zhì)量一體化管理信息系統(tǒng)總體原則及設(shè)計(jì)目標(biāo)

基建工程安全質(zhì)量一體化管理信息系統(tǒng)的總體設(shè)計(jì)目標(biāo)是: 為了加快建設(shè)“一強(qiáng)三優(yōu)”現(xiàn)代公司，早日建成“世界一流電網(wǎng)、國際一流企業(yè)”，按照“三抓一創(chuàng)”工作思路和“四個(gè)服務(wù)”的總體要求，充分結(jié)合天津電力公司的實(shí)際，符合天津城西分公司的發(fā)展需求，深入貫徹落實(shí)“三更兩全一強(qiáng)”的建設(shè)思路，在遵循《國家電網(wǎng)公司“十一五”信息發(fā)展規(guī)劃》，基于國家電網(wǎng)公司“SG186工程”框架的指導(dǎo)下，結(jié)合天津城西分公司信息化建設(shè)發(fā)展需要和基建工程質(zhì)量、安全管理體系化、規(guī)范化發(fā)展要求，進(jìn)行城西供電分公司質(zhì)量安全一體化管理系統(tǒng)的建設(shè)。將質(zhì)量、安全一體化預(yù)案內(nèi)容與天津市電力公司基建部已經(jīng)梳理完成的工程建設(shè)標(biāo)準(zhǔn)化節(jié)點(diǎn)內(nèi)容相結(jié)合，將安全、質(zhì)量的管理內(nèi)容進(jìn)行細(xì)化，建立健全工程安全、質(zhì)量管理體系、流程再造，提升對安全、質(zhì)量管理的整體水平，逐步建立基建工程安全、質(zhì)量管理生命周期過程全程化、關(guān)鍵工程安全、主梁管理環(huán)節(jié)在控實(shí)時(shí)化、安全、質(zhì)量檔案規(guī)范化、審核工作流程化，以及建設(shè)制度、技術(shù)規(guī)范全員培訓(xùn)落實(shí)的新型基建工程安全、質(zhì)量管理體系。從而實(shí)現(xiàn)天津城西供電分公司安全質(zhì)量管理工作的標(biāo)準(zhǔn)化、全面化、信息化、流程化、規(guī)范化、多樣化。

基建工程安全質(zhì)量一體化管理信息系統(tǒng)應(yīng)滿足以下設(shè)計(jì)原則：通過統(tǒng)一組織搭建天津市電力公司城西供電分公司基建工程安全、質(zhì)量一體化管理系統(tǒng)，運(yùn)用信息技術(shù)手段，強(qiáng)化工程建設(shè)關(guān)鍵安全、質(zhì)量節(jié)點(diǎn)的信息化管控，強(qiáng)化建設(shè)管理縱向各層級信息的雙向互動(dòng)以及與其他業(yè)務(wù)之間的橫向共享，及時(shí)掌控在建工程安全、質(zhì)量的信息和最新進(jìn)展動(dòng)態(tài)，切實(shí)提升管理效率，持續(xù)深入推進(jìn)“三集五大”體系建設(shè)，為公司科學(xué)發(fā)展作出更大貢獻(xiàn)。

2.3 基建工程安全質(zhì)量一體化管理體系框架

城西公司領(lǐng)導(dǎo)提出依靠信息化的手段解決管理人員過少的問題，“用電腦幫助人腦，用電腦約束人員”，通過信息化系統(tǒng)的建設(shè)，進(jìn)一步規(guī)范基建工程安全、質(zhì)量管理工作流程，細(xì)化管理細(xì)節(jié)，增加管理維度，使基建工程的安全、質(zhì)量管理工作真正完全落地，全面保證設(shè)計(jì)項(xiàng)目部、施工項(xiàng)目部、監(jiān)理項(xiàng)目部完全按照業(yè)主項(xiàng)目部的要求開展質(zhì)量、安全管理工作，結(jié)合天津城西分公司信息化建設(shè)發(fā)展需要和基建工程質(zhì)量、安全管理體系化、規(guī)范化發(fā)展要求，基建工程安全質(zhì)量一體化管理體系框架如圖1所示。

圖1 基建工程安全質(zhì)量一體化管理體系框架

3基建工程安全質(zhì)量一體化管理系統(tǒng)設(shè)計(jì)

3.1主要的系統(tǒng)技術(shù)介紹

（1）系統(tǒng)架構(gòu)的研究：擬采用三層架構(gòu)，將系統(tǒng)分為UI層，業(yè)務(wù)邏輯層，數(shù)據(jù)訪問層，目前三層架構(gòu)的思想已經(jīng)很成熟。研究三層架構(gòu)，有助于理解系統(tǒng)架構(gòu)。

Struts+Hibernate+Spring現(xiàn)在已經(jīng)逐漸成為開發(fā)網(wǎng)站的主流架構(gòu)，本系統(tǒng)擬采用MVC（Model-View-Controller）設(shè)計(jì)模式的思想，將Struts2、Spring和Hibernate整合在一起；擬采用Struts2框架來解決用戶接口層，及其與后端應(yīng)用層之間的交互。即，控制層由Action類進(jìn)行請求分發(fā),并執(zhí)行相關(guān)的業(yè)務(wù)處理。然后將控制權(quán)交給JSP，讀出數(shù)據(jù)，數(shù)據(jù)持久層擬采用非侵入的ORM框架Hibernate，并通過使用javascript實(shí)現(xiàn)驗(yàn)證，同時(shí)達(dá)到提高用戶體驗(yàn)的效果。

（2）數(shù)據(jù)庫的設(shè)計(jì)以及優(yōu)化：針對數(shù)據(jù)庫的設(shè)計(jì)，結(jié)合實(shí)際的應(yīng)用以及理論知識的要求，設(shè)計(jì)出滿足需求的數(shù)據(jù)庫，并且，針對后期的維護(hù)，擬從查詢數(shù)據(jù)庫中表的數(shù)據(jù)來探討數(shù)據(jù)庫的查詢的優(yōu)化方法，例如在模糊查詢中是否使用索引，以及建立索引之后的效率會相對于沒有建立時(shí)的不同，需要深入的研究數(shù)據(jù)庫的設(shè)計(jì)和優(yōu)化。

本系統(tǒng)擬采用Microsoft SQL Server 2005數(shù)據(jù)庫。Microsoft SQL Server 2005 是一個(gè)全面的數(shù)據(jù)庫平臺，使用集成的商業(yè)智能 (BI)工具提供了企業(yè)級的數(shù)據(jù)管理。Microsoft SQL Server 2005數(shù)據(jù)庫引擎為關(guān)系型數(shù)據(jù)和結(jié)構(gòu)化數(shù)據(jù)提供了更安全可靠的存儲功能，可以構(gòu)建和管理用于業(yè)務(wù)的高可用和高性能的數(shù)據(jù)應(yīng)用程序。

（3）用戶體驗(yàn)和界面的友好性研究：本系統(tǒng)擬使用Ajax，jQuery等技術(shù)和JavaScript插件，來提高用戶體驗(yàn)和用戶交互性。對于與用戶界面以及操作方面進(jìn)行研究，讓界面更加美觀，操作更加人性化，提高用戶交互性和用戶體驗(yàn)。例如用戶操作成功之后自動(dòng)跳轉(zhuǎn)，減少用戶的操作次數(shù)。

（4）網(wǎng)站安全性研究：為防止系統(tǒng)被非法入侵造成合法用戶的損失,擬加入一些過濾技術(shù),加密一些字符內(nèi)容或者某個(gè)網(wǎng)頁（如用MD5算法對用戶密碼進(jìn)行加密）。

（5）用戶權(quán)限研究：系統(tǒng)基于角色的權(quán)限管理，每個(gè)角色都有不同的權(quán)限，然后將角色授予用戶。從而達(dá)到權(quán)限的安全，用戶權(quán)限分配合理。

3.2 系統(tǒng)軟件架構(gòu)

目前三層(多層)體系結(jié)構(gòu)是數(shù)據(jù)庫應(yīng)用系統(tǒng)構(gòu)架方案的主流，如圖3所示。數(shù)據(jù)層(Data Service)、應(yīng)用層(Business Logic)、展示層(Presentation)應(yīng)為三層應(yīng)相互獨(dú)立，保證其高聚合，低耦合的軟件特性。展示層負(fù)責(zé)與用戶交互并把相應(yīng)請求通過調(diào)用中間層的組件傳遞給應(yīng)用層。應(yīng)用層的組件通過SQL等方式向第三層的組件提出資源及其他數(shù)據(jù)請求并執(zhí)行具體的事務(wù)邏輯[5]。

圖3基建工程安全質(zhì)量一體化管理系統(tǒng)軟件架構(gòu)圖

3.3 系統(tǒng)硬件架構(gòu)

應(yīng)急管理系統(tǒng)應(yīng)保證其安全性，高可靠性和具有高性能的軟硬件以便日后進(jìn)行擴(kuò)展。應(yīng)能方便查詢可用人力資源、應(yīng)急物資、工程車輛信息等的要求。系統(tǒng)物理架構(gòu)類型主要有三種，分別為客戶機(jī)/服務(wù)器結(jié)構(gòu)、終端/主機(jī)結(jié)構(gòu)、瀏覽器/服務(wù)器結(jié)構(gòu)。

底層平臺硬件應(yīng)包括電源及應(yīng)急后備電源、應(yīng)急通訊系統(tǒng)，視頻圖像監(jiān)視系統(tǒng)，視頻會議系統(tǒng)等基本應(yīng)用的網(wǎng)絡(luò)服務(wù)器及其硬件設(shè)施。其中應(yīng)急通訊系統(tǒng)在應(yīng)急救援中起到至關(guān)重要的作用，建立通訊網(wǎng)時(shí)應(yīng)以環(huán)網(wǎng)為主，或應(yīng)用電網(wǎng)系統(tǒng)中已有的光纖通信網(wǎng)，盡量避免無線公網(wǎng)通信，以保證其安全性、穩(wěn)定性及可靠性。

4結(jié)束語

從21世紀(jì)的整體趨勢來看，工程建設(shè)領(lǐng)域的信息化將會進(jìn)一步將數(shù)字化數(shù)據(jù)的信息應(yīng)用在項(xiàng)目的全過程，在項(xiàng)目的各個(gè)階段、各個(gè)過程均起到核心管控作用。同時(shí)隨著國網(wǎng)公司基建工程業(yè)主、監(jiān)理、施工三個(gè)項(xiàng)目部標(biāo)準(zhǔn)化建設(shè)工作的深入，信息系統(tǒng)的應(yīng)用情況（主要體現(xiàn)在各參建項(xiàng)目部數(shù)據(jù)錄入的及時(shí)、準(zhǔn)確、完整性三個(gè)方面）也已作為對參建項(xiàng)目部考核評價(jià)的重要內(nèi)容之一。因此不難預(yù)料，今后五年內(nèi)各類信息化管理系統(tǒng)在電網(wǎng)建設(shè)工程中的應(yīng)用應(yīng)呈井噴態(tài)勢，只不過都需要在其自身管控的廣度與專業(yè)深度之間找到平衡而已。

參考文獻(xiàn)

[1]毛鶴琴，張遠(yuǎn)林．施工項(xiàng)目質(zhì)量與安全管理[M]．建筑工業(yè)出版社，2002

[2]李慧民．工程項(xiàng)目管理案例分析[M]．中國建筑工業(yè)出版社，2006

[3]田元福．建設(shè)工程項(xiàng)目管理[M]．清華大學(xué)出版社，2005

[4]孫衛(wèi)琴、李洪成．Tomcat與Java Web開發(fā)技術(shù)詳解[M]．北京：電子工業(yè)出版社，2004

[5]曾云飛．基于Struts框架的電子政務(wù)研究和實(shí)現(xiàn) [M]．東北大學(xué)出版社， 2005

[6]王路群．Java高級程序設(shè)計(jì)[M]．北京：中國水利水電出版社，2006

[7]常晉義．管理信息系統(tǒng)[M]．高等教育出版社，2005

[8]雷萬云．信息化與信息管理實(shí)踐之道[M]．清華大學(xué)出版社，2012

[9]劉瑞廷．信息管理實(shí)用技術(shù)教程[M]．北京：清華大學(xué)出版社， 2006

[10] 薩師煊，王 珊．?dāng)?shù)據(jù)庫系統(tǒng)概論[M]．北京：高等教育出版社，2000

[11] 張亮.電氣安全[J].電氣工業(yè),2005(10)

[12] Robert J. Ellison. Security and Project Management[Z]. Carnegie MellonUniversity Software Engineering Institute, 2006

[13]ChrisHendrickson. Project Management for Construction[M]. Prentice Hall,2008

[14] Layne K,Lee．Developing fully functional.E-government:A four stage.model[J]．Government

Information Quarterly，2001(18):122-136

[15] Sang Yi-Shun．The adoption of electronic tax filing systems：an empirical study[J]．Government Information Quarterly，2002（20）：333-352

[16] Paul T JaegeLBenShneiderman,Kenneth R Fleis-chmann,et a1．Communityresponse grids:e-government,socialnetworks,and effective emergencymanagement[J].

Telecommunications Policy,2007.31(11-12):592-604

[17] 薛明,李紅燕.一種基于模板的管理Web頁面用戶交互表單的方法[J].北京大學(xué)學(xué)報(bào)(自然科學(xué)版),2004, 1(03):473-479.

[18] 肖文峰.通用表單工作流管理系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)時(shí)代,2005, 1(06):25-27.

[19] 程建霞,楊波,孫麗達(dá),王小唯,潘啟樹.基于稿件管理數(shù)據(jù)庫信息共享的表單批量輸出方法[J].編輯學(xué)報(bào),2004,1(03):190-191.

[20] 劉鴻洋.項(xiàng)目管理方法在XY公司STT電力工程項(xiàng)目中的應(yīng)用研究[D].武漢:華中科技大學(xué),2010 23-34.

[21] K.Knoll and SJarvenpaa. Information Technology Alignmentor “Fit” in HighlyTurbulent Environments: the Concept ofFlexibility[Z],Proceedings of the 1994Computer PersonnelResearch Conference on Reinventing 18,1994:1-14,

[22] G. Fakas, a and B. Karakostas. workflow management system based on intelligentcollaborative objects[J]. Information and Software Technology. 1999, 41(13):907-915.

[23] Leymann F. Workflow-based applications[J]. IBM Systems Journal, 1997, 36(1):102-123.

[24] 樂勛.基于表單化管理的電力建設(shè)項(xiàng)目質(zhì)量控制研究[J].電子世界,2011,1,(12): 32-34.

[25] 陳厚勇,馮朝柄,肖舜富.采用過程方法建立和實(shí)施一體化管理體系[J].中國質(zhì)量認(rèn)證,2002,2: 27-31

[26] 陳雁.淺談質(zhì)量、環(huán)境、職業(yè)健康安全管理體系在建設(shè)工程項(xiàng)目管理中的應(yīng)用[J].安徽建筑,2010, 06:191-192

[27] 許曉華.從質(zhì)量管理到項(xiàng)目管理一論質(zhì)量管理體系與項(xiàng)目管理體系的關(guān)系[J].水利建設(shè)與管理,2008,04: 56-57

[28] Wilkinson, G.., Dale, B. G.. Integrated Management System: A model based ontotal quality approach[J].Managing Service Quality, 2001,318-330

篇9

[關(guān)鍵詞]信息化 ； 危險(xiǎn)品運(yùn)輸； 安全； 運(yùn)用

中圖分類號：X913.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2014）23-0229-01

引言

某大型國企成品油運(yùn)輸公司（以下簡稱“公司”）主要為其所屬的油田、煉化、銷售等企業(yè)提供專業(yè)化運(yùn)輸服務(wù)，在全國31個(gè)省市自治區(qū)設(shè)立了分公司，在481個(gè)城市設(shè)立了配送中心（車隊(duì)），現(xiàn)有各類危險(xiǎn)品運(yùn)輸車輛12398臺，車輛行駛區(qū)域遍布全國各地。

運(yùn)輸距離長、地域跨度大、安全風(fēng)險(xiǎn)高的特點(diǎn)及承運(yùn)物質(zhì)易燃易爆、有毒有害的特性，就決定了危險(xiǎn)品運(yùn)輸安全管理的難度。公司作為國內(nèi)規(guī)模最大的危險(xiǎn)品道路運(yùn)輸企業(yè)，多年來始終積極探索危險(xiǎn)品運(yùn)輸安全管控的有效手段，建成了全國信息化平臺，形成了“連成線、蓋住片、全天候、全覆蓋”的信息服務(wù)網(wǎng)絡(luò)，推動(dòng)危險(xiǎn)品運(yùn)輸?shù)目茖W(xué)化、規(guī)范化、信息化管理。

1 強(qiáng)化車輛運(yùn)行過程管控

全面推行車輛GPS監(jiān)控系統(tǒng)，建成了覆蓋全國的監(jiān)控平臺，最大限度的防范超定速、超路線、超范圍、超規(guī)則等違章行為。

1.1 建立有利于安全管控的監(jiān)控平臺

“寶石花”車輛監(jiān)控平臺，是公司在近10年GPS監(jiān)控使用經(jīng)驗(yàn)的基礎(chǔ)上自主研發(fā)和設(shè)計(jì)的，主要是利用傳感器、信息資訊、衛(wèi)星定位、無線傳輸?shù)燃夹g(shù)，及時(shí)獲取“人、車、貨、路、天氣”的安全五要素信息，具有里程統(tǒng)計(jì)、分段限速、線路偏離報(bào)警、違規(guī)?？繄?bào)警、各類報(bào)表匯總等特色功能，配合使用集衛(wèi)星定位語音導(dǎo)航、衛(wèi)星定位監(jiān)控、免提直接通話和視頻監(jiān)控為一體的“四合一”終端，監(jiān)控面覆蓋危險(xiǎn)品車輛運(yùn)行的全過程，實(shí)現(xiàn)了對危險(xiǎn)品運(yùn)輸車輛的“零距離”管控目標(biāo)。

“寶石花”車輛監(jiān)控平臺是目前國內(nèi)功能最全、容量最大、穩(wěn)定性最高、覆蓋面最廣的監(jiān)控指揮體系，被交通部指定為該企業(yè)的唯一并網(wǎng)平臺，和交通部物聯(lián)網(wǎng)無縫對接。

1.2 健全有效的監(jiān)控體系

公司建立了總調(diào)度室、二級單位、配送中心（車隊(duì)）三級監(jiān)控管理體系，在北京和烏魯木齊設(shè)立了2個(gè)GPS總監(jiān)控室，在運(yùn)輸主業(yè)單位設(shè)立了52個(gè)監(jiān)控中心，在基層配送中心（車隊(duì)）設(shè)立了480個(gè)監(jiān)控室，全公司專兼職監(jiān)控員已達(dá)1108人。按照“分級管理、各負(fù)其責(zé)，有效監(jiān)控、全面覆蓋”的原則，詳細(xì)界定了各級管理體系的監(jiān)控管理內(nèi)容，制定了各級監(jiān)控管理主體及調(diào)度員、監(jiān)控員、駕駛員等相關(guān)責(zé)任人的考核辦法，考核結(jié)果直接與二級單位的年終評比、單位班子成員的業(yè)績兌現(xiàn)、各級監(jiān)控人員的獎(jiǎng)金掛鉤，并每月進(jìn)行一次考核通報(bào)，確保各級監(jiān)控管理責(zé)任落實(shí)到位。

1.3 完善具體的管控措施

通過GPS監(jiān)控平臺，對車輛出車前、行車中、收車后三個(gè)重點(diǎn)環(huán)節(jié)，實(shí)施有效的動(dòng)態(tài)管控。一是出車前的風(fēng)險(xiǎn)提示。當(dāng)班調(diào)度在安排駕駛員出車前，對車輛行駛線路的風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行重點(diǎn)交代，并向駕駛員發(fā)放行車路線的“三規(guī)一限”（規(guī)定線路、規(guī)定時(shí)間、規(guī)定停車地點(diǎn)，分段限速）警示圖，超前做好風(fēng)險(xiǎn)預(yù)防和控制。調(diào)度員將當(dāng)日車輛任務(wù)信息及時(shí)發(fā)送給監(jiān)控員，監(jiān)控員根據(jù)各自管控的車輛和區(qū)域，對運(yùn)行的車輛進(jìn)行實(shí)時(shí)監(jiān)控。二是行車中的動(dòng)態(tài)監(jiān)控。通過監(jiān)控平臺及時(shí)向運(yùn)行車輛發(fā)送調(diào)度、安全警示、天氣變化、道路通行等提示信息，并對行駛過程中出現(xiàn)的超速行駛、偏離規(guī)定路線、未按時(shí)到達(dá)目的地、亂停亂放等違章行為進(jìn)行實(shí)時(shí)的提醒、警示和處理，查明原因后按規(guī)定進(jìn)行處罰。三是收車后的過程排查。通過監(jiān)控平臺的軌跡回放功能，基層配送中心（車隊(duì)）的監(jiān)控員對每臺車的運(yùn)行過程進(jìn)行跟蹤回放，對未及時(shí)發(fā)現(xiàn)的違章行為按規(guī)定進(jìn)行處罰。并根據(jù)地理信息提供的固定停車點(diǎn)位，對歸場車輛進(jìn)行點(diǎn)名，使用系統(tǒng)圍欄功能，對歸場車輛進(jìn)行管理，避免車輛被盜或私自出車。

各級監(jiān)控員認(rèn)真履行“早點(diǎn)名、日監(jiān)控、晚控制、勤提示、嚴(yán)糾錯(cuò)、細(xì)統(tǒng)計(jì)、精分析、善指導(dǎo)”的工作職責(zé)，對行駛車輛進(jìn)行24小時(shí)不間斷監(jiān)控，每天統(tǒng)計(jì)當(dāng)日車輛運(yùn)行情況，填報(bào)監(jiān)控日志，對車輛運(yùn)行效率、監(jiān)控上線率、車輛分布、超速、違規(guī)等內(nèi)容按層級形成報(bào)表，為不同的管理者提供關(guān)注的信息，以確保各相關(guān)部門掌握整體情況。

2 強(qiáng)化生產(chǎn)管理過程管控

為了提高對車輛運(yùn)行的指揮和管控能力，將管控延伸至生產(chǎn)管理的全過程，公司建成了北京、烏魯木齊兩個(gè)生產(chǎn)調(diào)度指揮中心和52個(gè)運(yùn)輸主業(yè)單位的可視化調(diào)度指揮系統(tǒng)，及覆蓋全國609個(gè)地市級配送中心（車隊(duì)）的遠(yuǎn)程視頻監(jiān)控、視頻會議和電話會議系統(tǒng)，實(shí)現(xiàn)了兩級生產(chǎn)調(diào)度部門的實(shí)時(shí)音視頻交流和安全生產(chǎn)指令傳達(dá)，對各級生產(chǎn)管理人員的管理行為及車輛歸場、停放情況進(jìn)行重點(diǎn)監(jiān)控，安全管控手段更加有力。

3 強(qiáng)化駕駛員操作行為管控

在“人、車、路、環(huán)境”的交通管理因素中，“人”是最難管控、也是起到?jīng)Q定性作用的因素。為了更好的規(guī)范和控制駕駛員的駕車行為，公司采用了現(xiàn)代視頻監(jiān)控信息技術(shù)，在危險(xiǎn)品運(yùn)輸車輛上安裝4個(gè)防爆視頻攝像頭。駕駛室副駕駛座位斜上方的攝像頭，可以直接監(jiān)控駕駛員的操作行為，有效杜絕了駕車不系安全帶、接打電話、抽煙等嚴(yán)重違章行為及其他各類不安全行為，還可對駕駛室前方10米以內(nèi)道路情況進(jìn)行監(jiān)控和錄像，如遇突發(fā)事件，錄像內(nèi)容可作為有效證據(jù)，并可用于事件的原因分析。駕駛室頂部的攝像頭，主要用于監(jiān)控罐體的裝油口。駕駛室左右兩側(cè)的攝像頭，主要用于監(jiān)控罐體的卸油口和車輛油箱?；鶎优渌椭行模ㄜ囮?duì)）的監(jiān)控員對駕駛員執(zhí)行運(yùn)輸任務(wù)過程中的操作行為進(jìn)行實(shí)時(shí)監(jiān)控，全力保障車輛運(yùn)行安全，有效控制運(yùn)輸過程中的數(shù)質(zhì)量問題，確保只有“規(guī)定動(dòng)作”，杜絕“自選動(dòng)作”。

4 強(qiáng)化突發(fā)事件應(yīng)急處置管控

危險(xiǎn)品運(yùn)輸突發(fā)事件的偶發(fā)性、時(shí)間不確定性、地點(diǎn)隨機(jī)性和后果的嚴(yán)重性，給應(yīng)急救援處置工作到來了巨大挑戰(zhàn)。公司結(jié)合實(shí)際，開發(fā)實(shí)施了應(yīng)急搶險(xiǎn)指揮系統(tǒng)，在北京、烏魯木齊生產(chǎn)調(diào)度指揮中心設(shè)立了應(yīng)急指揮中心，在自主設(shè)計(jì)的應(yīng)急搶險(xiǎn)車上安裝通信終端，遇有突發(fā)事件，應(yīng)急搶險(xiǎn)救援車根據(jù)指令第一時(shí)間趕赴現(xiàn)場，通過終端設(shè)備將前方的音視頻畫面?zhèn)魉椭翍?yīng)急指揮中心的大屏幕，實(shí)現(xiàn)了空間、地域的跨越，為科學(xué)合理處置突發(fā)事件提供實(shí)況信息，并可將應(yīng)急指令一線直達(dá)，應(yīng)對和處置突發(fā)事件的能力得到顯著提高。

5 取得的成效

5.1 違章現(xiàn)象明顯減少

自2004年以來，公司在車輛總數(shù)大幅增加的情況下，車輛違章超速報(bào)警頻次由以前每年的5000次/千臺下降到目前的46.5次/千臺；車輛偏離行駛路線、隨意停放從以前的253車次/天下降到目前的8.6車次/天。各類違規(guī)違章駕車行為得到有效遏制，安全生產(chǎn)形勢日趨好轉(zhuǎn)。

5.2 事件總量大幅降低

遠(yuǎn)程視頻監(jiān)控系統(tǒng)與GPS監(jiān)控系統(tǒng)聯(lián)合應(yīng)用至今，公司的車輛被盜和數(shù)質(zhì)量事件明顯減少，各類事故事件得到有效控制。

篇10

關(guān)鍵詞：信息安全管理；測評；要素；指標(biāo)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進(jìn)入信息化社會，社會發(fā)展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經(jīng)濟(jì)、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程，其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運(yùn)行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實(shí)現(xiàn)信息安全目標(biāo)，就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略（包括計(jì)劃、程序、流程與記錄等）、風(fēng)險(xiǎn)評估、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測評等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]，強(qiáng)調(diào)了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進(jìn)行測量，根據(jù)測量的結(jié)果對組織信息安全管理情況進(jìn)行評價(jià)并進(jìn)一步指導(dǎo)信息安全管理，提高信息安全管理能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]。

信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映，不僅是對過去和現(xiàn)在的能力展現(xiàn)，而且為未來發(fā)展提供保障和動(dòng)力。在我國，目前關(guān)于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標(biāo)準(zhǔn)、方法等。因此，開展信息安全管理測評研究，對組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長遠(yuǎn)的持續(xù)發(fā)展意義。

1 信息安全管理測評發(fā)展綜述與需求

關(guān)于信息安全測評，美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對其信息安全實(shí)踐進(jìn)行獨(dú)立測評，以確認(rèn)其有效性。這種測評主要包括對管理、運(yùn)行和技術(shù)三要素的控制和測試，其頻率視風(fēng)險(xiǎn)情況而定，但不能少于每年一次。在獨(dú)立評價(jià)的基礎(chǔ)上，聯(lián)邦管理與預(yù)算局應(yīng)向國會上報(bào)評價(jià)匯總結(jié)果；而聯(lián)邦審計(jì)署則需要周期性地評價(jià)并向國會匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況。

2003年7月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》，其包括以下內(nèi)容[3]：

1） 角色和職責(zé)：介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責(zé)。

2） 信息安全測量背景：介紹測量定義、進(jìn)行信息安全測量的好處、測量類型、幾種可以進(jìn)行信息安全測量的控制、成功測量的重要因素、測量對管理、報(bào)告和決策的作用。

3） 測量發(fā)展和執(zhí)行過程：介紹用于信息安全測量發(fā)展的方法。

4） 測量項(xiàng)目執(zhí)行：討論可以影響安全測量項(xiàng)目的技術(shù)執(zhí)行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計(jì)劃要素》[4]，2005年國際標(biāo)準(zhǔn)化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27，該文檔是根據(jù)CISWG的最佳實(shí)踐和測量小組的報(bào)告改編。

2005年8月31日，美國國際系統(tǒng)安全工程協(xié)會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻(xiàn)背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個(gè)貢獻(xiàn)文檔。

2009年國際標(biāo)準(zhǔn)化組織（ISO）了ISO/IEC 27004：2009（信息技術(shù)一安全技術(shù)一信息安全管理測量）標(biāo)準(zhǔn)，為如何建立及測量ISMS及其控制措施提供了指導(dǎo)性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強(qiáng)，不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來保護(hù)組織的重要信息資產(chǎn)，但是體系建立起來了，不少管理者都對ISMS的運(yùn)行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運(yùn)行情況進(jìn)行科學(xué)的評價(jià)，進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實(shí)現(xiàn)目標(biāo)，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息安全風(fēng)險(xiǎn)管理、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù)，有助于降低安全風(fēng)險(xiǎn)，減少安全事件的概率和影響，改進(jìn)安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內(nèi)容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價(jià)的綜合。信息安全管理測量的結(jié)果是信息安全績效評價(jià)的依據(jù)。信息安全管理測量比較具體，信息安全管理評價(jià)則通過具體來反映宏觀。

2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實(shí)體及其屬性、基礎(chǔ)測評方式、基礎(chǔ)測評變量、導(dǎo)出測評制式、導(dǎo)出測評變量、測評方法、測評基線、測評函數(shù)、分析模型、指示器、決策準(zhǔn)則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進(jìn)行測評（即實(shí)體及其屬性），用什么指標(biāo)體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數(shù)來計(jì)算測評結(jié)果（即測評函數(shù)），用什么模型來分析測評結(jié)果（即分析模型），用什么方式來使分析結(jié)果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。

決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測評的結(jié)果。決策準(zhǔn)則可能出自或基于對預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和探索中導(dǎo)出，或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來。

可測評概念是實(shí)體屬性與信息需求之間的抽象關(guān)系，體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想?？蓽y評概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險(xiǎn)、績效、能力、成熟度和客戶價(jià)值等。實(shí)體是能通過測評屬性描述的對象。一個(gè)實(shí)體是測評其屬性的一個(gè)對象，例如，過程、產(chǎn)品、系統(tǒng)、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性。實(shí)踐中，一個(gè)實(shí)體可被歸類于多個(gè)上述類別。他可以是有形的也可是無形的。信息安全管理測評的實(shí)體包括信息安全管理體系建立過程中所有的控制項(xiàng)（信息安全管理測評要素）。屬性是實(shí)體可測評的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性，其中只有一些可能對測評有價(jià)值。測評模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測評構(gòu)造中。信息安全管理測評主要測評的是每一項(xiàng)控制措施的屬性（信息安全管理測評指標(biāo)）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作，可以有多種測評方法。基礎(chǔ)測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據(jù)屬性和量化他的方法來定義，他捕獲單獨(dú)屬性的信息，其功能獨(dú)立于其他測評。信息安全管理基礎(chǔ)測評是對于控制項(xiàng)的指標(biāo)可以直接測評出來的量。導(dǎo)出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據(jù)屬性之間的關(guān)系來定義，他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息，其功能依賴于基礎(chǔ)測評的，是兩個(gè)或更多基礎(chǔ)測評值得函數(shù)。

測評尺度是一組連續(xù)或離散的數(shù)字量值（如小數(shù)/百分比/自然數(shù)等）或離散的可數(shù)量值（如高/中/低/等）。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個(gè)測評尺度上的量值后賦給測評變量。

測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數(shù)（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應(yīng)于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應(yīng)于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個(gè)特定量。他被用作比較相同種類量值的基準(zhǔn)，以表達(dá)他們相對于此量的量級。只有用相同測評單位表達(dá)的量值才能直接比較。測評單位的例子有公尺、公斤和小時(shí)等。

測評函數(shù)是將兩個(gè)或更多測評變量結(jié)合成導(dǎo)出測評變量的算法。導(dǎo)出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運(yùn)算方式。分析模型是將一個(gè)或多個(gè)測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價(jià)。測評方法和測評尺度影響分析模型的選擇。

測評計(jì)劃定義了測評實(shí)施的目標(biāo)、方法、步驟和資源。測評頻率是測評計(jì)劃的執(zhí)行頻率。測評計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息安全測評指標(biāo)體系是信息安全測評的基礎(chǔ)，是對指定屬性的評價(jià)，這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)，對他們進(jìn)行評價(jià)為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn)，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個(gè)方面，提出了133個(gè)控制措施供使用者在信息安全管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌?qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面。在建立信息安全管理測評指標(biāo)體系的實(shí)踐中，通常以控制措施的實(shí)施情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過對預(yù)選指標(biāo)集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過時(shí)間等。同樣的測評方法可能適用于多個(gè)屬性。然而，每一個(gè)屬性和測評方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測評。測評方法可能采用多種方式實(shí)現(xiàn)。測評規(guī)程描述給定機(jī)構(gòu)背景下測評方法的特定實(shí)現(xiàn)。

測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數(shù)字規(guī)則（如計(jì)數(shù)）的量化。這些規(guī)則可能通過人或自動(dòng)手段來實(shí)現(xiàn)。

測評方法的可能例子有：調(diào)查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試（相關(guān)技術(shù)有設(shè)計(jì)測試和操作有效性測試等）、統(tǒng)計(jì)（相關(guān)技術(shù)有描述統(tǒng)計(jì)、假設(shè)檢驗(yàn)、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計(jì)過程控制（SPC， statistical Process control） 圖和時(shí)序分析等）。

4 結(jié)束語

當(dāng)前，信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評，其中信息安全風(fēng)險(xiǎn)評估可通過對重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評價(jià)掌握組織的信息安全狀況；信息安全審計(jì)則只是對信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù)；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價(jià)。因此，非常有必要對信息安全管理的有效性進(jìn)行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據(jù)，也能為組織信息安全管理過程的持續(xù)改進(jìn)提供足夠的幫助，達(dá)到更好地管理信息安全的最終目的。

參考文獻(xiàn)：

[1] 閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31