安全審計(jì)制度范文

時(shí)間:2024-03-13 16:44:42

導(dǎo)語:如何才能寫好一篇安全審計(jì)制度,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

安全審計(jì)制度

篇1

第一條為了規(guī)范煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)審查和竣工驗(yàn)收工作,保障煤礦安全,根據(jù)《煤礦安全監(jiān)察條例》以及有關(guān)法律、法規(guī),制定本辦法。

第二條煤礦安全監(jiān)察機(jī)構(gòu)對(duì)煤礦新建、改擴(kuò)建和國(guó)有重點(diǎn)技術(shù)改造工程(以下簡(jiǎn)稱煤礦建設(shè)工程)的安全設(shè)施進(jìn)行設(shè)計(jì)審查與竣工驗(yàn)收工作,適用本辦法。

第三條在編制煤礦建設(shè)工程項(xiàng)目的可行性研究報(bào)告或開采方案時(shí),必須對(duì)其安全條件進(jìn)行論證。

在煤礦建設(shè)工程初步設(shè)計(jì)階段,必須按規(guī)定編制安全專篇。安全專篇包括安全條件的論證、安全設(shè)施的設(shè)計(jì)等內(nèi)容。

煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)必須符合工程建設(shè)強(qiáng)制性標(biāo)準(zhǔn)、煤礦安全規(guī)程和行業(yè)技術(shù)規(guī)范。

第四條煤礦建設(shè)工程的安全設(shè)施必須和主體工程同時(shí)設(shè)計(jì)、同時(shí)施工、同時(shí)投入生產(chǎn)和使用。

第五條煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)審查和竣工驗(yàn)收,由煤礦安全監(jiān)察機(jī)構(gòu)按煤礦設(shè)計(jì)生產(chǎn)能力,實(shí)行分級(jí)負(fù)責(zé)。

設(shè)計(jì)生產(chǎn)能力在120萬噸/年(含120萬噸/年)以上的,由國(guó)家煤礦安全監(jiān)察機(jī)構(gòu)負(fù)責(zé)。

設(shè)計(jì)生產(chǎn)能力在30萬噸/年以上120萬噸/年以下的,由省級(jí)煤礦安全監(jiān)察機(jī)構(gòu)負(fù)責(zé)。

設(shè)計(jì)生產(chǎn)能力在30萬噸/年(含30萬噸/年)以下的,由煤礦所在地煤礦安全監(jiān)察辦事處負(fù)責(zé)。

未設(shè)立煤礦安全監(jiān)察機(jī)構(gòu)的省、自治區(qū)、直轄市,其行政區(qū)域內(nèi)設(shè)計(jì)生產(chǎn)能力在120萬噸/年以下的煤

礦建設(shè)工程安全設(shè)施設(shè)計(jì)審查和竣工驗(yàn)收,由省,自治區(qū),直轄市人民政府指定部門負(fù)責(zé)。

第二章設(shè)計(jì)審查

第六條煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)必須經(jīng)煤礦安全監(jiān)察機(jī)構(gòu)審查同意;未經(jīng)審查同意的,不得施工。

第七條煤礦建設(shè)工程安全設(shè)施設(shè)計(jì),必須由具備相應(yīng)資質(zhì)的設(shè)計(jì)單位承擔(dān)。

第八條煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)應(yīng)當(dāng)對(duì)煤礦的水、火、瓦斯、煤塵、頂板等主要災(zāi)害,提出切實(shí)可行的防治措施。安全設(shè)施設(shè)計(jì)中所確定的設(shè)施、設(shè)備、器材必須符合國(guó)家安全標(biāo)準(zhǔn)和行業(yè)安全標(biāo)準(zhǔn),投資概算應(yīng)當(dāng)列入工程項(xiàng)目總投資概算中。

第九條煤礦建設(shè)工程在初步設(shè)計(jì)批準(zhǔn)前,煤礦企業(yè)應(yīng)當(dāng)按照本辦法第五條的規(guī)定向煤礦安全監(jiān)察機(jī)構(gòu)提交煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)審查的書面申請(qǐng)和設(shè)計(jì)資料。

第十條煤礦安全監(jiān)察機(jī)構(gòu)接到審查申請(qǐng)后,應(yīng)當(dāng)對(duì)煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)進(jìn)行審查。

煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)經(jīng)審查合格的主要標(biāo)準(zhǔn)是:

(一)設(shè)計(jì)須由具備相應(yīng)資質(zhì)的設(shè)計(jì)單位提交;

(二)煤礦安全條件的論證充分,煤礦水、火、瓦斯、煤塵、頂板等主要災(zāi)害的防治措施可行;

(三)符合工程建設(shè)強(qiáng)制性標(biāo)準(zhǔn)、煤礦安全規(guī)程和行業(yè)技術(shù)規(guī)范的要求;

(四)所確定的設(shè)施、設(shè)備、器材符合國(guó)家安全標(biāo)準(zhǔn)和行業(yè)安全標(biāo)準(zhǔn);

(五)符合有關(guān)法律、行政法規(guī)的規(guī)定。

第十一條煤礦安全監(jiān)察機(jī)構(gòu)審查煤礦建設(shè)工程安全設(shè)施設(shè)計(jì),應(yīng)當(dāng)自收到審查申請(qǐng)和設(shè)計(jì)資料起30日內(nèi)審查完畢。經(jīng)審查同意的,應(yīng)當(dāng)以文件批復(fù);經(jīng)審查不同意的,應(yīng)當(dāng)提出審查意見,并以書面形式答復(fù)。

第十二條對(duì)已批準(zhǔn)的煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)作重大變更時(shí),需經(jīng)原審查機(jī)構(gòu)審查同意。

第三章竣工驗(yàn)收

第十三條煤礦建設(shè)工程竣工后或者投產(chǎn)前,應(yīng)當(dāng)經(jīng)煤礦安全監(jiān)察機(jī)構(gòu)對(duì)其安全設(shè)施和條件進(jìn)行驗(yàn)收;未經(jīng)驗(yàn)收或者驗(yàn)收不合格的,不得投入生產(chǎn)。

第十四條煤礦建設(shè)工程達(dá)到驗(yàn)收條件時(shí),煤礦應(yīng)當(dāng)按照本辦法第五條的規(guī)定向有關(guān)煤礦安全監(jiān)察機(jī)構(gòu)提交煤礦建設(shè)工程安全設(shè)施和條件竣工驗(yàn)收書面申請(qǐng)。

第十五條煤礦安全監(jiān)察機(jī)構(gòu)接到驗(yàn)收申請(qǐng)后,應(yīng)當(dāng)組織驗(yàn)收組,對(duì)煤礦建設(shè)工程安全設(shè)施和條件進(jìn)行驗(yàn)收。

第十六條煤礦建設(shè)工程安全設(shè)施和條件經(jīng)竣工驗(yàn)收合格的主要標(biāo)準(zhǔn)是:

(一)安全設(shè)施和條件符合設(shè)計(jì)要求,通過工程質(zhì)量認(rèn)證;

(二)主要生產(chǎn)系統(tǒng)和設(shè)備運(yùn)轉(zhuǎn)正常,具備安全生產(chǎn)條件;

(三)礦井通風(fēng)、防火、防水、防瓦斯、防毒、防塵等安全設(shè)施能夠投入正常使用;

(四)礦長(zhǎng)持有任職資格證書,特種作業(yè)人員持有操作資格證書;

(五)符合其他有關(guān)規(guī)定。

第十七條煤礦安全監(jiān)察機(jī)構(gòu)對(duì)煤礦建設(shè)工程安全設(shè)施和條件進(jìn)行驗(yàn)收,應(yīng)當(dāng)自收到驗(yàn)收申請(qǐng)之日起30日內(nèi)驗(yàn)收完畢,簽署合格或者不合格的意見,并書面答復(fù)。

經(jīng)省級(jí)煤礦安全監(jiān)察機(jī)構(gòu)及煤礦安全監(jiān)察辦事處驗(yàn)收合格的,應(yīng)報(bào)上一級(jí)煤礦安全監(jiān)察機(jī)構(gòu)備案。

第四章罰則

第十八條煤礦建設(shè)工程安全設(shè)施設(shè)計(jì)未經(jīng)煤礦安全監(jiān)察機(jī)構(gòu)審查同意,擅自施工的,由煤礦安全監(jiān)察機(jī)構(gòu)責(zé)令停止施工;拒不執(zhí)行的,由煤礦安全監(jiān)察機(jī)構(gòu)移送地質(zhì)礦產(chǎn)主管部門依法吊銷采礦許可證。

篇2

文章編號(hào):1004-7484(2014)-03-1791-01

消毒供應(yīng)室的醫(yī)護(hù)人員承擔(dān)著醫(yī)院臨床醫(yī)護(hù)用品的回收、清洗、消毒滅菌包裝工作,消毒供應(yīng)室的醫(yī)護(hù)人員每天工作接觸中,隨時(shí)都會(huì)造成職業(yè)暴露性感染和職業(yè)危害,科學(xué)有效的職業(yè)防護(hù)意識(shí)和措施是減少職業(yè)危害及相關(guān)疾病的有效辦法,是確保消毒供應(yīng)人員職業(yè)安全的關(guān)鍵。

1 消毒室的職業(yè)危害因素

1.1 理化性質(zhì)危害 消毒供應(yīng)室的工作環(huán)境是不可避免的傷害之一,消毒供應(yīng)高溫的環(huán)境及熱水蒸汽極易造成身體中暑,高熱病和身體的燙傷。二因?yàn)榉课輻l件因素,冬季還可能造成不同程度的低體溫,風(fēng)濕類疾病的發(fā)生。三消毒供應(yīng)室中的棉球棉絮等一次性材料易產(chǎn)生纖維絮和粉塵,易產(chǎn)生PM2.5長(zhǎng)期吸入容易損傷呼吸系統(tǒng)影響呼吸功能。四消毒供應(yīng)室產(chǎn)生的噪音極易引起聽覺系統(tǒng)及神經(jīng)系統(tǒng)的危害。五消毒供應(yīng)室中使用的各類消毒液、洗滌液對(duì)皮膚黏膜呼吸道都有不同程度的刺激,容易造成人體器官的損害。六紫外線照射易損傷眼睛、皮膚及免疫系統(tǒng)。

1.2 微生物病原體的危害 消毒供應(yīng)室回收臨床使用過的醫(yī)療器械都攜帶病員的體液、血液。且長(zhǎng)期暴露在污染的環(huán)境中,醫(yī)療器械都攜帶大量的病原微生物,消毒供應(yīng)室的工作人員在搬運(yùn),回收、清點(diǎn)、清洗過程中容易造成接觸性的身體損害,清洗器械的污染物容易飛濺到口鼻、眼粘膜等器官,造成消毒供應(yīng)室人員機(jī)體的傷害,是職業(yè)性感染的重要因素之一。

1.3 心理及生理因素 消毒供應(yīng)室中的工作人員要長(zhǎng)期站立操作,要搬運(yùn)接送滅菌物品,長(zhǎng)期的站立工作極易造成肌肉關(guān)節(jié)的勞損,還容易產(chǎn)生下肢靜脈曲張。消毒供應(yīng)室中的工作人員長(zhǎng)期面對(duì)使用過的含有大量病原微生物的物品,工作中極易造成心理的恐慌,易導(dǎo)致心理失衡或抑郁。

1.4 自我防護(hù)意思單薄 供應(yīng)室人員大部分專業(yè)知識(shí)缺乏,工作中有部分人員自我防護(hù)意識(shí)單薄,加上不小心,極易造成機(jī)體的傷害和感染。

2 防護(hù)措施

2.1 加強(qiáng)專業(yè)技能學(xué)習(xí),加強(qiáng)自我防護(hù)意識(shí) 認(rèn)真學(xué)習(xí)規(guī)范制度,制定專業(yè)的職業(yè)安全防護(hù)計(jì)劃,增強(qiáng)工作人員對(duì)職業(yè)感染的危險(xiǎn)認(rèn)識(shí),掌握防護(hù)方法和措施,減少不安全因素發(fā)生,清點(diǎn)清洗污染用品時(shí)要嚴(yán)格按照防護(hù)標(biāo)準(zhǔn),穿好工作衣帽,戴好口罩防護(hù)鏡防護(hù)鞋,防護(hù)圍裙,使用雙層手套,減少感染機(jī)會(huì),進(jìn)行紫外線消毒時(shí)要避免紫外線對(duì)工作人員對(duì)皮膚和眼睛的照射,以免損傷,特殊感染的物品要先消毒在清洗,發(fā)生人體損傷后要及時(shí)處理,對(duì)癥給予個(gè)體注射疫苗。

2.2 科學(xué)選擇供應(yīng)室地址,規(guī)范基礎(chǔ)建設(shè),合理安排消毒流程 消毒供應(yīng)室應(yīng)設(shè)在離手術(shù)室、產(chǎn)房較近的地方,以便醫(yī)療器械的運(yùn)送和回收,消毒科室應(yīng)按三區(qū)分開,避免交叉感染,室內(nèi)應(yīng)配備各類沖洗設(shè)備,減少人工操作中的危害,手術(shù)用敷料應(yīng)使用一次性物品,降低制作中產(chǎn)生各類微塵,并保持室內(nèi)溫濕度,確保清潔的工作環(huán)境

2.3 加強(qiáng)監(jiān)督,規(guī)范工作檢查維護(hù)制度,加強(qiáng)手衛(wèi)生管理制度 工作中應(yīng)規(guī)范操作各類消毒設(shè)施,避免操作不當(dāng)心損壞消毒水機(jī)器,上級(jí)主管部門如感染辦要對(duì)消毒人員進(jìn)行定期操作考核,降低人工損傷,及微生物病原體的危害,加強(qiáng)對(duì)消毒器械的保養(yǎng),杜絕安全隱患,安全閥滅菌器均應(yīng)每半年檢測(cè)一次,對(duì)消毒時(shí)工作人員要加強(qiáng)手衛(wèi)生相關(guān)知識(shí)的培訓(xùn),供應(yīng)室內(nèi)應(yīng)配備快速手消毒液,正確掌握洗手時(shí)機(jī),洗手方法,提高洗手質(zhì)量,和提高手衛(wèi)生的消毒效果

篇3

經(jīng)過近幾年的努力,中國(guó)礦山企業(yè)的安全生產(chǎn)狀況總體上呈現(xiàn)出相對(duì)穩(wěn)定、趨于好轉(zhuǎn)的態(tài)勢(shì)。但重、特大事故時(shí)有發(fā)生,事故總量仍然偏大,礦山安全生產(chǎn)形勢(shì)依然嚴(yán)峻。實(shí)踐證明,要實(shí)現(xiàn)礦山安全生產(chǎn)的長(zhǎng)治久安,就必須建立礦山安全生產(chǎn)長(zhǎng)效機(jī)制。積極有效地開展礦山安全審計(jì)工作,發(fā)揮審計(jì)的監(jiān)督檢查作用,促進(jìn)礦山切實(shí)落實(shí)安全生產(chǎn)主體責(zé)任,認(rèn)真執(zhí)行安全生產(chǎn)的各項(xiàng)法律法規(guī),保證安全生產(chǎn)的必要投入,落實(shí)各項(xiàng)安全防范措施,不斷改善安全生產(chǎn)條件。使礦山生產(chǎn)的運(yùn)行方式、管理形式和監(jiān)督體制等走上正軌,才能使礦山安全生產(chǎn)狀況實(shí)現(xiàn)真正意義上的根本好轉(zhuǎn)。安全審計(jì)作為一項(xiàng)專門針對(duì)企業(yè)安全生產(chǎn)進(jìn)行監(jiān)督和評(píng)價(jià)的獨(dú)立審計(jì)活動(dòng),有助于督促企業(yè)遵守安全生產(chǎn)法律法規(guī),有助于督促企業(yè)執(zhí)行安全設(shè)施“三同時(shí)”,有助于督促企業(yè)生產(chǎn)責(zé)任事故賠償及時(shí)到位,有助于督促企業(yè)安全投入及時(shí)、足額等。從而保證安全生產(chǎn)形勢(shì)根本好轉(zhuǎn)。借鑒相關(guān)學(xué)科知識(shí)建立完善的評(píng)價(jià)指標(biāo)體系,是開展安全審計(jì)的關(guān)鍵。

一、構(gòu)建礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)遵循的原則

安全審計(jì)有別于常規(guī)的財(cái)政、財(cái)務(wù)審計(jì),安全審計(jì)是企業(yè)安全生產(chǎn)主體責(zé)任的人格化,審計(jì)客體由靜態(tài)的會(huì)計(jì)資料,到動(dòng)態(tài)審計(jì)對(duì)象(企業(yè))的主體責(zé)任和社會(huì)責(zé)任,從有形到無形,從客觀反映到抽象分析。安全審計(jì)評(píng)價(jià)指標(biāo)體系是度量企業(yè)安全生產(chǎn)活動(dòng)的有效工具。為了提高這一測(cè)度工具的信度與效度,構(gòu)建該評(píng)價(jià)體系時(shí),必須滿足以下幾個(gè)原則:

(一)重要性原則

在中國(guó)礦山企業(yè)開展安全審計(jì)工作還僅僅處于探討階段,筆者認(rèn)為與要求評(píng)價(jià)指標(biāo)體系的全面性相比較,強(qiáng)調(diào)重要性原則對(duì)實(shí)踐工作的開展更具有指導(dǎo)意義。同時(shí),重要性原則也是在指標(biāo)設(shè)定過程中對(duì)安全審計(jì)工作重點(diǎn)、成本與效率的綜合考慮。當(dāng)然,隨著中國(guó)安全審計(jì)工作的發(fā)展與完善,該指標(biāo)評(píng)價(jià)體系將進(jìn)一步改進(jìn),以滿足全面性原則的要求。

(二)責(zé)任性原則

礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)準(zhǔn)確考評(píng)被審計(jì)單位及內(nèi)部各部門和個(gè)人必須履行的安全生產(chǎn)責(zé)任,即所衡量、評(píng)價(jià)的安全生產(chǎn)活動(dòng)及其結(jié)果應(yīng)是審計(jì)對(duì)象的職責(zé)范圍,是其應(yīng)當(dāng)全部或部分負(fù)責(zé),是可以控制和調(diào)節(jié)的,是其通過主觀努力可以改變的結(jié)果和過程。事故的發(fā)生具有偶然性、不確定性及外部不經(jīng)濟(jì)性等特點(diǎn),進(jìn)一步造成一些企業(yè)盲目追求經(jīng)濟(jì)效益,重生產(chǎn)輕安全,安全管理薄弱;無證或證照不全非法生產(chǎn),超能力、超強(qiáng)度、超定員違法違規(guī)生產(chǎn)。所有這些安全生產(chǎn)主體責(zé)任不落實(shí)是礦山事故易發(fā)、多發(fā)、頻發(fā),重特大事故集中、長(zhǎng)期以來尚未得到切實(shí)有效遏制的根源。責(zé)任性原則是保證安全審計(jì)評(píng)價(jià)結(jié)論切實(shí)有效必須遵循原則之一。

(三)簡(jiǎn)明性原則

安全審計(jì)評(píng)價(jià)指標(biāo)體系中應(yīng)選擇具有代表性、能夠準(zhǔn)確清楚反映問題的指標(biāo)。由于安全審計(jì)評(píng)價(jià)涉及的領(lǐng)域非常廣泛,評(píng)價(jià)指標(biāo)雖然要求全面,但并不是越多越好。如果所選指標(biāo)變量過多,一方面資料難以獲取,另一方面綜合分析過程也很困難。同時(shí)不便于決策者應(yīng)用,而且大大增加了安全審計(jì)工作的復(fù)雜性和冗余度。如果所選指標(biāo)變量過少,就有可能不足以或不能充分表征系統(tǒng)的真實(shí)行為或真實(shí)的行為軌跡。所以指標(biāo)的設(shè)置要圍繞評(píng)價(jià)的目的有針對(duì)性地加以選擇,每個(gè)指標(biāo)的含義要求明確,代表特征要求清楚,無相互交叉重疊現(xiàn)象。

(四)相關(guān)性原則

評(píng)價(jià)體系應(yīng)與礦山安全審計(jì)的目標(biāo)緊密相關(guān),評(píng)價(jià)標(biāo)準(zhǔn)能夠反映信息使用者的需求,能揭示被審計(jì)對(duì)象的具體安全生產(chǎn)狀況及被審單位安全生產(chǎn)主體責(zé)任實(shí)現(xiàn)程度。相關(guān)性原則與簡(jiǎn)明性原則具有內(nèi)在一致性要求。

(五)動(dòng)態(tài)性原則

安全審計(jì)評(píng)價(jià)是一個(gè)隨著審計(jì)項(xiàng)目的發(fā)展而發(fā)展以及安全生產(chǎn)形勢(shì)變化而變化的動(dòng)態(tài)過程,客觀上要求設(shè)置的指標(biāo)體系具有動(dòng)態(tài)特點(diǎn),既能反映該審計(jì)項(xiàng)目的歷史狀況和現(xiàn)狀,在一定的時(shí)期內(nèi)保持相對(duì)的穩(wěn)定性,又能對(duì)未來的變化發(fā)展做出評(píng)價(jià)。同時(shí)能夠適應(yīng)安全生產(chǎn)形勢(shì)變化、安全監(jiān)管工作要求做出相應(yīng)調(diào)整。

(六)地域性原則

不同地區(qū)的自然環(huán)境和社會(huì)環(huán)境不同,所處地區(qū)的地理位置、經(jīng)濟(jì)狀況、水文地質(zhì)等條件不同,對(duì)安全的影響因子也不同,因此應(yīng)按照因地制宜原則,針對(duì)所研究地區(qū)及其主要問題選擇評(píng)價(jià)指標(biāo)。礦山安全評(píng)價(jià)指標(biāo)體系的構(gòu)建尤其注意遵循地域性原則。

二、構(gòu)建礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系設(shè)計(jì)思路

(一)評(píng)價(jià)指標(biāo)體系的維度定位

根據(jù)建立礦山安全審計(jì)評(píng)價(jià)體系的目標(biāo)與原則,從范圍層次上劃分,安全審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)分為總體評(píng)價(jià)標(biāo)準(zhǔn)和具體評(píng)價(jià)標(biāo)準(zhǔn)。所以在試圖建立安全審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)時(shí),也分別從這兩個(gè)方面考慮,先確立總體評(píng)價(jià)標(biāo)準(zhǔn),再逐步完善具體標(biāo)準(zhǔn)。在指標(biāo)體系架構(gòu)中,不僅在礦山安全生產(chǎn)的規(guī)范性、效用管理以及外部效應(yīng)三個(gè)維度進(jìn)行了體系的構(gòu)建(如圖1所示)。并且從安全生產(chǎn)法律法規(guī)、安全內(nèi)控制度、安全設(shè)施“三同時(shí)”、事故處理、安全投入等五個(gè)層面進(jìn)行了體系的設(shè)計(jì)。當(dāng)然,安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)該是動(dòng)態(tài)的、可擴(kuò)充的,審計(jì)人員可以隨時(shí)按照實(shí)際情況增減,以增強(qiáng)其科學(xué)性、有效性,但主要指標(biāo)需保留。

(二)評(píng)價(jià)權(quán)重的分配

評(píng)價(jià)權(quán)重的分配涉及到各評(píng)價(jià)維度的權(quán)重分配以及每一維度內(nèi)各評(píng)價(jià)指標(biāo)之間的權(quán)重分配。在構(gòu)建安全審計(jì)評(píng)價(jià)指標(biāo)體系過程中,要確定評(píng)價(jià)指標(biāo)的權(quán)重值。各項(xiàng)指標(biāo)的權(quán)重值,反映了該指標(biāo)在整個(gè)安全審計(jì)評(píng)價(jià)指標(biāo)體系中所占的比重。權(quán)重值應(yīng)根據(jù)該指標(biāo)對(duì)企業(yè)安全生產(chǎn)水平的影響程度及其實(shí)施的難易程度來確定。指標(biāo)權(quán)重的確定有主觀法和客觀法兩大類,主觀法主要包括專家調(diào)查法、層次分析法等,客觀法主要包括主成分分析法、熵值法和數(shù)據(jù)包絡(luò)法等。

安全審計(jì)評(píng)價(jià)指標(biāo)體系的構(gòu)建過程,應(yīng)該是主觀分析法和客觀分析法相結(jié)合的過程。此外,指標(biāo)體系的構(gòu)造過程可分為指標(biāo)體系框架的構(gòu)建和指標(biāo)篩選兩個(gè)階段,即指標(biāo)初選和指標(biāo)完善的過程。該過程可以概述為:分解總目標(biāo)、構(gòu)造層次結(jié)構(gòu)、建立預(yù)選指標(biāo)集篩選指標(biāo)、最終確立評(píng)價(jià)指標(biāo)體系。

在構(gòu)建安全審計(jì)評(píng)價(jià)指標(biāo)體系過程中,要確定定量指標(biāo)的評(píng)價(jià)基準(zhǔn)值。并應(yīng)按照下列原則確定:凡是國(guó)家或行業(yè)管理部門在有關(guān)政策、規(guī)劃等文件中對(duì)該指標(biāo)已有明確要求值的就應(yīng)選用國(guó)家要求的數(shù)值;凡是國(guó)家或行業(yè)管理部門對(duì)該指標(biāo)尚無明確要求值的,則選用國(guó)內(nèi)重點(diǎn)大型企業(yè)近年來滿足安全管理要求所實(shí)際達(dá)到的中上等以上水平的指標(biāo)值。確保定量指標(biāo)的基準(zhǔn)值代表了行業(yè)安全生產(chǎn)活動(dòng)的平均水平。

需要說明的是,評(píng)價(jià)權(quán)重的分配會(huì)因不同階段、發(fā)展重點(diǎn)、礦山生產(chǎn)特點(diǎn)的不同而有所差別。而對(duì)情況各異的礦山安全生產(chǎn)管理,我們不可能確定一成不變的安全審計(jì)評(píng)價(jià)指標(biāo)體系,也不存在統(tǒng)一的指標(biāo)權(quán)重,即使同一評(píng)價(jià)對(duì)象在不同的歷史時(shí)期也會(huì)有所不同。盡管卓越的績(jī)效評(píng)價(jià)系統(tǒng)對(duì)每個(gè)組織都是獨(dú)特的,即按每個(gè)組織的需要和特點(diǎn)“量體裁衣”,但是反映社會(huì)滿意度的指標(biāo),應(yīng)該在安全審計(jì)評(píng)價(jià)體系中占據(jù)絕對(duì)的比重,社會(huì)評(píng)議信息應(yīng)是評(píng)價(jià)結(jié)論的主要證據(jù)資料。

三、構(gòu)建礦山安全審計(jì)評(píng)價(jià)指標(biāo)體系

(一)安全審計(jì)內(nèi)容

安全審計(jì)評(píng)價(jià)指標(biāo)體系應(yīng)緊緊圍繞安全審計(jì)內(nèi)容設(shè)定??紤]到中國(guó)礦山安全生產(chǎn)實(shí)際以及政府安全監(jiān)管過程中存在的突出問題,筆者主張礦山安全審計(jì)主要內(nèi)容應(yīng)包括以下五部分:

1.安全生產(chǎn)法律法規(guī)遵守和執(zhí)行情況審計(jì)

該審計(jì)主要是對(duì)礦山企業(yè)在生產(chǎn)經(jīng)營(yíng)過程中遵守相關(guān)安全生產(chǎn)法律法規(guī)的情況進(jìn)行評(píng)價(jià),包括定性指標(biāo)和定量指標(biāo)。評(píng)價(jià)時(shí)只需考慮法律法規(guī)的執(zhí)行情況及效果,而不對(duì)法律法規(guī)本身進(jìn)行過多地評(píng)價(jià)。評(píng)價(jià)時(shí)需遵循兩條原則:首先,企業(yè)能否執(zhí)行相關(guān)安全生產(chǎn)法律法規(guī);其次,企業(yè)能否做到持續(xù)、全面執(zhí)行安全生產(chǎn)法律法規(guī)。這也符合性測(cè)試重點(diǎn)之一。

2.安全內(nèi)部控制制度設(shè)計(jì)及運(yùn)行情況審計(jì)

該審計(jì)主要是對(duì)礦山企業(yè)安全內(nèi)控制度是否健全,能否保證整個(gè)業(yè)務(wù)處理系統(tǒng)控制目標(biāo)的實(shí)現(xiàn),制度與制度之間的銜接是否緊密協(xié)調(diào)以及內(nèi)控制度是否有效執(zhí)行進(jìn)行評(píng)價(jià)。從而判定礦山企業(yè)各種安全內(nèi)控制度的履行結(jié)果是否達(dá)到預(yù)期目標(biāo),是否結(jié)合企業(yè)安全生產(chǎn)實(shí)際及時(shí)自查修訂完善。為進(jìn)一步確定安全審計(jì)的重點(diǎn)提供決策依據(jù)。

3.安全設(shè)施“三同時(shí)”情況審計(jì)

在安全設(shè)施“三同時(shí)”審計(jì)中,應(yīng)該重點(diǎn)審查和評(píng)價(jià)與被審計(jì)單位安全設(shè)施“三同時(shí)”相關(guān)的下列內(nèi)容:(1)被審計(jì)單位在生產(chǎn)經(jīng)營(yíng)過程中對(duì)相關(guān)的安全生產(chǎn)法律法規(guī)、規(guī)章制度、政策、計(jì)劃、預(yù)算、程序、合同等的遵守情況;(2)安全設(shè)施項(xiàng)目風(fēng)險(xiǎn)的識(shí)別、評(píng)估及應(yīng)對(duì)措施;(3)相關(guān)安全控制活動(dòng)的適當(dāng)性和有效性;(4)有關(guān)安全資產(chǎn)、安全負(fù)債、安全支出項(xiàng)目等財(cái)務(wù)信息和非財(cái)務(wù)信息的獲取、處理、傳遞情況。

4.事故損失及事故責(zé)任履行情況審計(jì)

該審計(jì)主要是對(duì)礦山企業(yè)事故損失及事故責(zé)任履行情況進(jìn)行評(píng)價(jià)。為事故責(zé)任認(rèn)定及事故賠償提供決策依據(jù)。工傷事故賠償審計(jì)主要集中在兩點(diǎn):(1)賠償標(biāo)準(zhǔn)是否合法合規(guī)。(2)賠償額度是否足額、及時(shí)。這一點(diǎn)往往也是事故雙方爭(zhēng)執(zhí)的焦點(diǎn)。有第三方出具相應(yīng)審計(jì)意見,有助于安全監(jiān)管部門執(zhí)法,切實(shí)保障受傷員工合法權(quán)益。

5.安全投入情況審計(jì)

安全投入情況審計(jì)是安全審計(jì)的重點(diǎn)。眾所周知,安全投入不足是造成中國(guó)安全生產(chǎn)形勢(shì)依然嚴(yán)峻的主要原因之一。造成企業(yè)安全投入不足重要原因之一就在于缺乏有效監(jiān)督。近幾年,中國(guó)為擴(kuò)大礦山企業(yè)安全投入資金來源及數(shù)量,建立穩(wěn)定的安全保障資金渠道,頒布了一系列規(guī)定制度。由于安全投入效益的隱蔽性、滯后性、不確定性及其他原因(經(jīng)濟(jì)效益不佳、領(lǐng)導(dǎo)不重視、短期行為等),一些企業(yè)(尤其小型礦山企業(yè))往往在安全投入方面“勤儉節(jié)約”。企業(yè)為了應(yīng)付針對(duì)安全投入狀況的檢查弄虛作假。通過安全投入審計(jì),能夠有效監(jiān)督礦山企業(yè)安全生產(chǎn)費(fèi)用提取及使用情況,確保安全投入足額、及時(shí)。

(二)分級(jí)設(shè)立評(píng)價(jià)指標(biāo)

礦山安全審計(jì)評(píng)價(jià)體系的建立是一項(xiàng)系統(tǒng)工程,需要花很大力氣進(jìn)行研究和實(shí)踐。在這里我們先構(gòu)思一個(gè)指標(biāo)框架,許多指標(biāo)還有待于討論和完善。安全審計(jì)評(píng)價(jià)指標(biāo)體系包括一級(jí)評(píng)價(jià)指標(biāo)和二級(jí)評(píng)價(jià)指標(biāo)兩個(gè)層次。一級(jí)評(píng)價(jià)指標(biāo)包括安全生產(chǎn)法律法規(guī)執(zhí)行情況評(píng)價(jià)指標(biāo)、企業(yè)安全內(nèi)部控制情況評(píng)價(jià)指標(biāo)、安全設(shè)施“三同時(shí)”、事故損失及事故責(zé)任履行情況評(píng)價(jià)指標(biāo)和安全投入情況評(píng)價(jià)指標(biāo)。二級(jí)評(píng)價(jià)指標(biāo)是一級(jí)評(píng)價(jià)指標(biāo)的具體化。具體內(nèi)容(見表1)。

安全審計(jì)的綜合評(píng)價(jià),應(yīng)該以評(píng)價(jià)年度各項(xiàng)二級(jí)定量指標(biāo)的實(shí)際數(shù)據(jù)和各項(xiàng)二級(jí)定性指標(biāo)的專家評(píng)分為基礎(chǔ),按照各二級(jí)指標(biāo)的基準(zhǔn)值和權(quán)重值計(jì)算各單項(xiàng)指標(biāo)得分,再綜合得出該企業(yè)安全管理水平的評(píng)價(jià)總分值。

單項(xiàng)指標(biāo)評(píng)價(jià)分值=權(quán)重值× (1)

當(dāng)>1時(shí),按1計(jì)算。

二級(jí)定性指標(biāo)和定量指標(biāo)都采用百分制測(cè)評(píng)。定性指標(biāo)采用專家評(píng)分平均值。

篇4

1利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子帳號(hào),冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計(jì)算機(jī)網(wǎng)絡(luò)帶來會(huì)計(jì)系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計(jì)及基本要素

安全審計(jì)是一個(gè)新概念,它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評(píng)價(jià)。

沒有網(wǎng)絡(luò)安全,就沒有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu),都會(huì)對(duì)系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的問題。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計(jì)人員通過審計(jì)作出評(píng)價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專門的安全知識(shí),而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀、公正、公平和中立的評(píng)價(jià)。

安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度??刂茰y(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴程度。顯然,安全審計(jì)作為一個(gè)專門的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識(shí)與技能。

安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國(guó)家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國(guó)家、社會(huì)、企業(yè)三位一體的安全審計(jì)體系。其中,國(guó)家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國(guó)家法律,特別是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會(huì)中介機(jī)構(gòu),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會(huì)計(jì)師事務(wù)所、律師事務(wù)所一樣,是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時(shí),他們需要通過中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開網(wǎng)絡(luò)安全專家,他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià),幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。

二、網(wǎng)絡(luò)安全審計(jì)的程序

安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體內(nèi)容、時(shí)間安排、具體的審計(jì)方法和手段。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。

安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對(duì)象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對(duì)安全審計(jì)工作制訂出具體的工作計(jì)劃。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。

1了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?

2了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對(duì)系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營(yíng)性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。

3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?這些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器。

安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià),并提出改進(jìn)和完善的方法和其他意見。安全審計(jì)終結(jié)的評(píng)價(jià),按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個(gè)等級(jí):危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等?;景踩侵父鱾€(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見或罕預(yù)見性、技術(shù)極限性以及窮舉性等,其他小問題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會(huì)造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問題并糾正的能力。

三、網(wǎng)絡(luò)安全審計(jì)的主要測(cè)試

測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對(duì)數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。

下面是對(duì)網(wǎng)絡(luò)環(huán)境會(huì)計(jì)信息系統(tǒng)的主要測(cè)試。

1數(shù)據(jù)通訊的控制測(cè)試

數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說,能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試:(1)抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的。(3)通過假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求,測(cè)試通訊回叫技術(shù)的運(yùn)行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文

件是否加密、密鑰存放地點(diǎn)是否安全。(5)發(fā)送一測(cè)試信息測(cè)試加密過程,檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報(bào)警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請(qǐng)者的過濾能力,只有授權(quán)用戶才能通過防火墻訪問會(huì)計(jì)數(shù)據(jù)。

2硬件系統(tǒng)的控制測(cè)試

硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括:實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3軟件系統(tǒng)的控制測(cè)試

軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)??傮w控制目標(biāo)應(yīng)達(dá)到防止來自硬件失靈、計(jì)算機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行。對(duì)軟件系統(tǒng)的測(cè)試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購(gòu)買,審計(jì)人員應(yīng)對(duì)購(gòu)買訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。

4數(shù)據(jù)資源的控制測(cè)試

數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。

5系統(tǒng)安全產(chǎn)品的測(cè)試

隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場(chǎng)上購(gòu)買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機(jī)構(gòu)或公安部部門的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計(jì)制度

篇5

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展,金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長(zhǎng)的態(tài)勢(shì),信息傳遞的方式和渠道急劇增加,在為金融機(jī)構(gòu)帶來收益和效率的同時(shí),也使信息安全問題更加凸顯。在全球范圍內(nèi),信息安全事件頻發(fā),給銀行和客戶造成經(jīng)濟(jì)損失的同時(shí),也帶來了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平,成為銀行關(guān)注的焦點(diǎn)。信息安全審計(jì)作為信息安全保障工作中的重要一環(huán),能夠促進(jìn)信息安全控制措施的落實(shí),規(guī)范信息安全管理,提高全員信息安全意識(shí),從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國(guó)家標(biāo)準(zhǔn)GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作從整體看應(yīng)包括四個(gè)階段:一是規(guī)劃和建設(shè)階段(Plan,簡(jiǎn)稱“P階段”);二是實(shí)施和運(yùn)行階段(Do,簡(jiǎn)稱“D階段”);三是監(jiān)視和評(píng)審階段(Check,簡(jiǎn)稱“C階段”);四是保持和改進(jìn)(Act,簡(jiǎn)稱“A階段”)。這四個(gè)階段按順序循環(huán)往復(fù),從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱為“PDCA循環(huán)”,如圖1所示。

經(jīng)過近十幾年的努力,金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”,金融行業(yè)的信息安全需求已基本明確,滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過大范圍的規(guī)劃建設(shè),各金融機(jī)構(gòu)已經(jīng)建立了相對(duì)完備的信息安全軟硬件環(huán)境,初步形成了信息安全保障體系。盡管如此,作為關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè),金融行業(yè)對(duì)信息安全有著更高的要求,也面臨著更大的信息安全風(fēng)險(xiǎn)挑戰(zhàn)。近年來,金融行業(yè)頻繁發(fā)生的信息安全事件表明,金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多,其中一個(gè)重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行,而忽視了信息安全工作的檢查和改進(jìn)。從整體上看,金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”,尚未進(jìn)入“C階段”和“A階段”,還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進(jìn)機(jī)制。接下來金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計(jì)是“C階段”的主要手段。它利用傳統(tǒng)財(cái)務(wù)審計(jì)和審計(jì)工作的規(guī)范與嚴(yán)謹(jǐn),結(jié)合信息和保密技術(shù)的工具與手段,對(duì)金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計(jì)結(jié)論,并根據(jù)審計(jì)結(jié)果,對(duì)金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。

為了對(duì)商業(yè)銀行信息科技整個(gè)生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求,滿足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要,銀監(jiān)會(huì)2009年了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》,其中第六十五條規(guī)定:“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況,以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果,決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)?!?/p>

二、國(guó)內(nèi)外信息安全審計(jì)現(xiàn)狀

(一)國(guó)外信息安全審計(jì)發(fā)展與現(xiàn)狀

在建立信息安全審計(jì)制度,開展信息安全審計(jì)研究方面,美國(guó)走在了世界前列。早在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí),美國(guó)就開始提出系統(tǒng)審計(jì)(SYSTEMAUDIT)概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)(EDPAA),1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA),總部設(shè)在美國(guó)芝加哥。自1978年以來,由ISACA發(fā)起的注冊(cè)信息系統(tǒng)審計(jì)師(CISA)認(rèn)證計(jì)劃已經(jīng)成為涵蓋信息系統(tǒng)審計(jì)、控制與安全等專業(yè)領(lǐng)域的被廣泛認(rèn)可的標(biāo)準(zhǔn)。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì),現(xiàn)有會(huì)員兩萬多人。

1999年,美國(guó)國(guó)家審計(jì)署(GAO)《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(第一版),為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供基本準(zhǔn)則和方法。2001年,GAO《聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南》,用于為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供具體指導(dǎo);2009年,GAO《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(第二版),該手冊(cè)成為現(xiàn)階段美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)的事實(shí)標(biāo)準(zhǔn)。

近年來,美國(guó)通過立法賦予信息安全審計(jì)新的意義,并對(duì)企業(yè)實(shí)施信息安全審計(jì)產(chǎn)生重大影響。2002年,美國(guó)安然公司和世通財(cái)務(wù)欺詐案爆發(fā)后,美國(guó)國(guó)會(huì)和政府緊急通過了《薩班斯——奧克斯利法案》(Sarbanes-OxleyAct,簡(jiǎn)稱薩班斯法案)。薩班斯法案第302條款和第404條款明確要求“,通過內(nèi)部控制加強(qiáng)公司治理,包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制,而信息安全審計(jì)正是IT系統(tǒng)內(nèi)部控制的核心?!?006年底生效的《巴塞爾新資本協(xié)議(》BaselII),要求全球銀行必須針對(duì)其市場(chǎng)、信用及營(yíng)運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備,迫使各銀行必須做好風(fēng)險(xiǎn)控管,而這一“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。

近一段時(shí)期,以美國(guó)、加拿大、澳大利亞為主的西方國(guó)家,針對(duì)不同的組織機(jī)構(gòu),以不同的信息安全審計(jì)方式,卓有成效地開展了包括信息系統(tǒng)計(jì)劃與技術(shù)構(gòu)架、信息安全保護(hù)與災(zāi)難恢復(fù)、軟件系統(tǒng)開發(fā)、獲得、實(shí)施及維護(hù)、商業(yè)流程評(píng)估及風(fēng)險(xiǎn)管理等方面的信息安全審計(jì)。

具體來說,針對(duì)各類企業(yè)的信息安全審計(jì),采取了以內(nèi)部審計(jì)為主,從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過渡,一般控制審計(jì)與應(yīng)用控制審計(jì)相結(jié)合的方式;針對(duì)政府機(jī)構(gòu)的信息安全審計(jì),強(qiáng)調(diào)外部審計(jì)與政府內(nèi)部審計(jì)結(jié)合,融入績(jī)效預(yù)算管理體系,關(guān)注系統(tǒng)最終效果。

在亞洲,日本的信息安全審計(jì)始于20世紀(jì)80年代。1983年,通產(chǎn)省公開發(fā)表了《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》,并在全國(guó)軟件水平考試中增加了“系統(tǒng)審計(jì)師”一級(jí)的考試,著手培養(yǎng)從事信息系統(tǒng)審計(jì)的骨干隊(duì)伍。近幾年,東南亞各國(guó)也開始制定電子商務(wù)法規(guī),成立專門機(jī)構(gòu)開展信息系統(tǒng)審計(jì)業(yè)務(wù),并制定技術(shù)標(biāo)準(zhǔn)。

(二)我國(guó)信息安全審計(jì)發(fā)展與現(xiàn)狀

近年來,我國(guó)的信息安全審計(jì)日益受到重視,審計(jì)署以及一些大型國(guó)有銀行也相繼開展了信息安全方面的審計(jì)工作。信息系統(tǒng)審計(jì)規(guī)范的研究和制定方面,我國(guó)已建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系,但在信息系統(tǒng)及信息安全審計(jì)方面,雖有《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》(中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年)以及審計(jì)署對(duì)信息系統(tǒng)審計(jì)相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究,但尚未形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

三、金融行業(yè)信息安全審計(jì)組織與實(shí)施

金融行業(yè)的信息安全審計(jì)(InformationSecurityAudit),是指金融機(jī)構(gòu)為了掌握其信息安全保障工作的有效性,根據(jù)事先確定的審計(jì)依據(jù),在規(guī)定的審計(jì)范圍內(nèi),通過文件審核、記錄檢查、技術(shù)測(cè)試、現(xiàn)場(chǎng)訪談等活動(dòng),獲得審計(jì)證據(jù),并對(duì)其進(jìn)行客觀的評(píng)價(jià),以確定被審計(jì)對(duì)象滿足審計(jì)依據(jù)的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程。金融機(jī)構(gòu)可以單獨(dú)實(shí)施信息安全審計(jì),也可以將信息安全審計(jì)作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實(shí)施。如IT審計(jì)、信息安全等級(jí)保護(hù)建設(shè)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系建設(shè)等。審計(jì)的工作流程和內(nèi)容大致包括六個(gè)方面的活動(dòng)(如圖2所示)。

1.確定審計(jì)目的和范圍。金融機(jī)構(gòu)實(shí)施信息安全審計(jì),首先要明確審計(jì)目的,確定審計(jì)范圍。審計(jì)目的是信息安全審計(jì)工作的出發(fā)點(diǎn)。審計(jì)目的可以從滿足監(jiān)管部門的要求、滿足信息安全國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求、滿足機(jī)構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計(jì)目的,然后要確定審計(jì)范圍。審計(jì)范圍是影響審計(jì)工作量的一個(gè)重要因素。確定審計(jì)范圍,可以從組織機(jī)構(gòu)考慮,如僅對(duì)個(gè)別部門實(shí)施審計(jì),或者在組織全部范圍實(shí)施審計(jì);也可以從業(yè)務(wù)和系統(tǒng)角度考慮,如僅對(duì)核心系統(tǒng)實(shí)施審計(jì),或者僅對(duì)信貸業(yè)務(wù)實(shí)施審計(jì)等。

2.明確審計(jì)依據(jù)。審計(jì)依據(jù)就像一把“尺子”,審計(jì)人員用它來衡量信息安全工作的“長(zhǎng)短”。審計(jì)目的不同,審計(jì)依據(jù)就可能不同,如表1中所示。

3.組建審計(jì)組。審計(jì)組是具體實(shí)施信息安全審計(jì)工作的基本組織單位,應(yīng)由審計(jì)組長(zhǎng)和審計(jì)員組成。管理良好的審計(jì)組是信息安全審計(jì)工作順利實(shí)施并達(dá)成審計(jì)目的的保障。審計(jì)組長(zhǎng)應(yīng)由金融機(jī)構(gòu)內(nèi)部審計(jì)部門的管理者任命。負(fù)責(zé)編制審計(jì)方案和審計(jì)計(jì)劃,選擇審計(jì)員,管理審計(jì)小組,與被審計(jì)對(duì)象溝通等。審計(jì)組長(zhǎng)應(yīng)具備較強(qiáng)的項(xiàng)目管理能力,熟悉被審計(jì)對(duì)象的業(yè)務(wù)和系統(tǒng),了解被審計(jì)對(duì)象面臨的信息安全風(fēng)險(xiǎn)和常用的風(fēng)險(xiǎn)控制措施。審計(jì)員應(yīng)選擇責(zé)任心強(qiáng)、公正、獨(dú)立、熟悉業(yè)務(wù)的人員擔(dān)任,避免審計(jì)員與被審計(jì)對(duì)象存在利害關(guān)系,以免影響審計(jì)結(jié)果的公正性。正式實(shí)施信息安全審計(jì)前,應(yīng)對(duì)審計(jì)組成員進(jìn)行培訓(xùn)。

4.實(shí)施現(xiàn)場(chǎng)審計(jì)。審計(jì)準(zhǔn)備工作就緒后,則可以實(shí)施現(xiàn)場(chǎng)審計(jì)。現(xiàn)場(chǎng)審計(jì)是一項(xiàng)復(fù)雜的系統(tǒng)工程,具有較強(qiáng)的不確定性。因此,現(xiàn)場(chǎng)審計(jì)應(yīng)根據(jù)事先編制的審計(jì)方案和審計(jì)計(jì)劃執(zhí)行,審計(jì)過程中還要做好變更控制?,F(xiàn)場(chǎng)審計(jì)往往由首次會(huì)議開始,至末次會(huì)議結(jié)束。在首次會(huì)議上,審計(jì)組長(zhǎng)應(yīng)向被審計(jì)單位闡明此次審計(jì)的目的、范圍、依據(jù)和審計(jì)計(jì)劃,并提出需要被審計(jì)單位配合的事項(xiàng)。末次會(huì)議上,審計(jì)組長(zhǎng)向被審計(jì)單位說明審計(jì)發(fā)現(xiàn),報(bào)告審計(jì)初步結(jié)果,并與被審計(jì)單位就初步審計(jì)結(jié)果達(dá)成一致?,F(xiàn)場(chǎng)審計(jì)方法通常包括:現(xiàn)場(chǎng)訪談、審閱文件、查看記錄、系統(tǒng)檢查和測(cè)試等。在系統(tǒng)檢查和測(cè)試過程中,可能需要相關(guān)的審計(jì)工具,如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等。現(xiàn)場(chǎng)審計(jì)過程中,應(yīng)做好文檔化工作。對(duì)所發(fā)現(xiàn)的審計(jì)證據(jù)應(yīng)進(jìn)行詳細(xì)記錄,并與被審計(jì)單位人員進(jìn)行現(xiàn)場(chǎng)確認(rèn)。現(xiàn)場(chǎng)審計(jì)應(yīng)注意方式方法,就意見不一致的問題先做好記錄,避免現(xiàn)場(chǎng)與被審計(jì)單位人員發(fā)生爭(zhēng)執(zhí)。

篇6

國(guó)務(wù)院最新的《2016年食品安全重點(diǎn)工作安排的通知》指出,今年突出重點(diǎn)整治的問題包括規(guī)范嬰幼兒配方乳粉產(chǎn)品配方等的注冊(cè)管理,繼續(xù)加強(qiáng)對(duì)嬰幼兒配方乳粉和嬰幼兒輔助食品、乳制品等重點(diǎn)產(chǎn)品的監(jiān)管。同時(shí),“對(duì)進(jìn)口嬰幼兒配方乳粉質(zhì)量安全開展全面檢查?!?/p>

審計(jì):3家乳企存管理問題

省食藥監(jiān)局表示,此次食品安全審計(jì)屬常規(guī)檢查。截至目前,我省獲得食品生產(chǎn)許可的5家企業(yè)均未在國(guó)家專項(xiàng)抽檢中出現(xiàn)不合格嬰幼兒配方乳粉。而針對(duì)此次食品安全審計(jì)發(fā)現(xiàn)的問題,廣州、深圳、潮州市食品藥品監(jiān)管局已督促企業(yè)進(jìn)行整改。

不過,該局強(qiáng)調(diào),截至目前,廣東省獲得食品生產(chǎn)許可的5家企業(yè),“均未在國(guó)家專項(xiàng)抽檢中出現(xiàn)不合格嬰幼兒配方乳粉?!?/p>

通告信息顯示,雅貝氏、高培被查出的問題是:部分制度如質(zhì)量管理制度、衛(wèi)生管理制度等落實(shí)不到位;通過抽查記錄,結(jié)合生產(chǎn)工藝損耗等因素,物料平衡核對(duì)方面存在不平衡的問題。

雅士利生產(chǎn)工廠內(nèi),物料管理制度、質(zhì)量管理制度存在不足,不合格品記錄不完善。

而從屬于雅士利集團(tuán)旗下的施恩,則于今年4月11日主動(dòng)申請(qǐng)停產(chǎn)。

此次被審計(jì)出有不完善處的雅士利公司,5月12日在回應(yīng)記者采訪時(shí)稱,“針對(duì)潮州工廠在審查中發(fā)現(xiàn)了制度還不夠完善的問題,雅士利將及時(shí)排查并進(jìn)行完善?!?/p>

記者留意到,雅士利潮州工廠的食品生產(chǎn)許可證有效期至2017年3月28日。明年3月到期后,該廠是否將停產(chǎn),而將產(chǎn)能遷移到新西蘭工廠?對(duì)此,雅士利方面表示,目前還不確定,到期后,潮州工廠可能還會(huì)繼續(xù)申請(qǐng)?jiān)S可證繼續(xù)生產(chǎn)。而且該公司在山西還有工廠。不過,該公司坦言,新西蘭工廠確實(shí)是以后生產(chǎn)的最主力。

對(duì)雅士利公司旗下的施恩工廠,省食藥監(jiān)局的審計(jì)結(jié)果是在4月份“停產(chǎn)”,這一表述又引來業(yè)界諸多聯(lián)想。此前,有業(yè)內(nèi)人士稱,雅士利目前正在尋找買家拋售該品牌,原因是在蒙牛、中糧的撮合下,雅士利旗下已集結(jié)多美滋、雅士利、歐世蒙牛,并形成互補(bǔ)矩陣,施恩反而顯得多余。

對(duì)此,雅士利方面表示,施恩奶粉并沒有停產(chǎn),只是將施恩奶粉品牌轉(zhuǎn)到歐世蒙牛工廠進(jìn)行生產(chǎn)。“從去年起,雅士利投10.5億元人民幣接手歐世蒙牛,為集中產(chǎn)能和管理,發(fā)揮產(chǎn)能的集約化優(yōu)勢(shì),雅士利將施恩產(chǎn)品轉(zhuǎn)移到歐世蒙牛生產(chǎn)?!睋?jù)透露,施恩位于廣州的工廠將通過出售,進(jìn)一步優(yōu)化企業(yè)的生產(chǎn)布局。

行業(yè):乳企兼并重組突發(fā)展

嬰幼兒配方乳粉食品安全為國(guó)人關(guān)注,為進(jìn)一步加強(qiáng)嬰幼兒配方乳粉食品安全監(jiān)管,查找企業(yè)生產(chǎn)體系性問題,排查隱患,防范食品安全風(fēng)險(xiǎn)。嬰幼兒乳粉食品安全審計(jì)制從去年起成為國(guó)家相關(guān)部門加大監(jiān)管這一領(lǐng)域的常規(guī)動(dòng)作。

繼去年8月,國(guó)家食藥監(jiān)總局首次對(duì)6家嬰幼兒配方乳粉生產(chǎn)企業(yè)食品安全審計(jì)問題的通告后,今年又陸續(xù)多個(gè)相關(guān)通告,部分省級(jí)食藥監(jiān)部門亦將例行檢查中發(fā)現(xiàn)的問題及時(shí)通報(bào)大眾,從而讓公眾和企業(yè)了解乳企生產(chǎn)管理環(huán)節(jié)的狀況。業(yè)界認(rèn)為,此舉對(duì)于重建國(guó)內(nèi)乳制品,特別是國(guó)產(chǎn)嬰幼兒奶粉信心有幫助。

事實(shí)上,近幾年國(guó)家對(duì)嬰幼兒配方乳粉、乳制品從未放松,并有逐年趨嚴(yán)態(tài)勢(shì)。5月12日,記者從國(guó)家食藥監(jiān)總局的《國(guó)務(wù)院辦公廳關(guān)于印發(fā)2016年食品安全重點(diǎn)工作安排的通知》(〔2016〕30號(hào))看到,今年的重點(diǎn)工作中就多次提到嬰幼兒配方乳粉、乳制品。

如在“突出重點(diǎn)問題綜合整治”內(nèi)容里提到,要制定食品安全風(fēng)險(xiǎn)隱患、突出問題和監(jiān)管措施清單。規(guī)范嬰幼兒配方乳粉產(chǎn)品配方、特殊醫(yī)學(xué)用途配方食品、保健食品的注冊(cè)管理;繼續(xù)加強(qiáng)對(duì)嬰幼兒配方乳粉和嬰幼兒輔助食品、乳制品等重點(diǎn)產(chǎn)品監(jiān)管;要求對(duì)進(jìn)口嬰幼兒配方乳粉質(zhì)量安全開展全面檢查。

在嚴(yán)格落實(shí)生產(chǎn)經(jīng)營(yíng)主體責(zé)任方面,上述通知也要求食品藥品監(jiān)管總局、質(zhì)檢總局等負(fù)責(zé)督促和指導(dǎo)企業(yè)依法建立嬰幼兒配方乳粉等重點(diǎn)產(chǎn)品追溯體系。記者從省食藥監(jiān)局獲悉,今年初,該部門就向省內(nèi)各級(jí)相關(guān)監(jiān)管部門下發(fā)通知,要求區(qū)域內(nèi)的嬰幼兒配方乳粉生產(chǎn)企業(yè)結(jié)合實(shí)際,真實(shí)、準(zhǔn)確、有效記錄生產(chǎn)經(jīng)營(yíng)過程的信息,建立和完善嬰幼兒配方乳粉生產(chǎn)企業(yè)食品安全追溯體系,實(shí)現(xiàn)嬰幼兒配方乳粉生產(chǎn)全過程信息可記錄、可追溯、可管控、可召回、可查詢,全面落實(shí)嬰幼兒配方乳粉生產(chǎn)企業(yè)主體責(zé)任。

國(guó)內(nèi)嬰幼兒奶粉生產(chǎn)企業(yè)和品牌眾多,再加上近年來跨境電商業(yè)態(tài)迅速發(fā)展,吸引更多境外品牌蜂擁而至,進(jìn)一步加大監(jiān)管難度。為此,國(guó)家將推動(dòng)?jì)胗變号浞饺榉燮髽I(yè)兼并重組,近兩年均納入國(guó)家食品安全重點(diǎn)工作安排,今年,上述通知更明確,該項(xiàng)工作內(nèi)容由工業(yè)和信息化部、商務(wù)部、食品藥品監(jiān)管總局負(fù)責(zé)。

專家:全面整治 堵不如疏

篇7

根據(jù)《基本要求》的規(guī)定,二級(jí)要求的系統(tǒng)防護(hù)能力為:信息系統(tǒng)具有抵御一般攻擊的能力,能防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力,系統(tǒng)遭受破壞后,具有恢復(fù)系統(tǒng)主要功能的能力。數(shù)據(jù)恢復(fù)的能力要求為:系統(tǒng)具有一定的數(shù)據(jù)備份功能和設(shè)備冗余,在遭受破壞后能夠在有限的時(shí)間內(nèi)恢復(fù)部分功能。按照二級(jí)的要求,一般情況下分為技術(shù)層面和管理層面的兩個(gè)層面對(duì)信息系統(tǒng)安全進(jìn)行全面衡量,技術(shù)層面主要針對(duì)機(jī)房的物理?xiàng)l件、安全審計(jì)、入侵防范、邊界、主機(jī)安全審計(jì)、主機(jī)資源控制、應(yīng)用資源控制、應(yīng)用安全審計(jì)、通信完整性和數(shù)據(jù)保密性等多個(gè)控制點(diǎn)進(jìn)行測(cè)評(píng),而管理層面主要針對(duì)管理制度評(píng)審修訂、安全管理機(jī)構(gòu)的審核和檢查、人員安全管理、系統(tǒng)運(yùn)維管理、應(yīng)急預(yù)案等方面進(jìn)行綜合評(píng)測(cè)。其中技術(shù)類安全要求按照其保護(hù)的側(cè)重點(diǎn)不同分為業(yè)務(wù)信息安全類(S類)、系統(tǒng)服務(wù)安全類(A類)、通用安全防護(hù)類(G類)三類。水利信息系統(tǒng)通常以S和G類防護(hù)為主,既關(guān)注保護(hù)業(yè)務(wù)信息的安全性,又關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。

2水利科研院所信息安全現(xiàn)狀分析

水利科研院所信息系統(tǒng)結(jié)構(gòu)相對(duì)簡(jiǎn)單,在管理制度上基本建立了機(jī)房管控制度、人員安全管理制度等,技術(shù)上也都基本達(dá)到了一級(jí)防護(hù)的要求。下面以某水利科研單位為例分析。某水利科研單位主機(jī)房選址為大樓低層(3層以下),且不臨街。機(jī)房大門為門禁電磁防盜門,機(jī)房?jī)?nèi)安裝多部監(jiān)控探頭。機(jī)房?jī)?nèi)部劃分為多個(gè)獨(dú)立功能區(qū),每個(gè)功能區(qū)均安裝門禁隔離。機(jī)房鋪設(shè)防靜電地板,且已與大樓防雷接地連接。機(jī)房?jī)?nèi)按照面積匹配自動(dòng)氣體消防,能夠?qū)馂?zāi)發(fā)生進(jìn)行自動(dòng)報(bào)警,人工干預(yù)滅火。機(jī)房?jī)?nèi)已安裝溫度濕度監(jiān)控探頭,對(duì)機(jī)房?jī)?nèi)溫濕度自動(dòng)監(jiān)控并具有報(bào)警功能,機(jī)房配備較大功率UPS電源,能夠保障關(guān)鍵業(yè)務(wù)系統(tǒng)在斷電后2小時(shí)正常工作。機(jī)房采用通信線路上走線,動(dòng)力電路下走線方式。以上物理?xiàng)l件均滿足二級(jí)要求。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為外聯(lián)區(qū)、對(duì)外服務(wù)區(qū)、業(yè)務(wù)處理區(qū)和接入?yún)^(qū)4大板塊,對(duì)外服務(wù)區(qū)部署有VPN網(wǎng)關(guān),外部人員可通過VPN網(wǎng)關(guān)進(jìn)入加密SSL通道訪問業(yè)務(wù)處理區(qū),接入?yún)^(qū)用戶通過認(rèn)證網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。整個(gè)網(wǎng)絡(luò)系統(tǒng)未部署入侵檢測(cè)(IDS)系統(tǒng)、非法外聯(lián)檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量控制系統(tǒng)。由上述拓?fù)浣Y(jié)構(gòu)可以看出,現(xiàn)有的安全防護(hù)手段可基本保障信息網(wǎng)絡(luò)系統(tǒng)的安全,但按照二級(jí)要求,系統(tǒng)內(nèi)缺少IDS系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和非法外聯(lián)檢測(cè)系統(tǒng),且沒有獨(dú)立的數(shù)據(jù)備份區(qū)域,給整個(gè)信息網(wǎng)安全帶來一定的隱患。新的網(wǎng)絡(luò)系統(tǒng)在外聯(lián)區(qū)邊界防火墻下接入了入侵檢測(cè)系統(tǒng)(IDS),新規(guī)劃了獨(dú)立的數(shù)據(jù)備份區(qū)域,在核心交換機(jī)上部署了網(wǎng)絡(luò)審計(jì)系統(tǒng),并在接入?yún)^(qū)安裝了非法外聯(lián)檢測(cè)系統(tǒng)。形成了較為完整的信息網(wǎng)絡(luò)安全防護(hù)體系。

3信息系統(tǒng)安全等級(jí)測(cè)評(píng)的內(nèi)容

3.1信息系統(tǒng)等級(jí)保護(hù)的總體規(guī)劃

信息系統(tǒng)從規(guī)劃到建立是一個(gè)復(fù)雜漫長(zhǎng)的過程,需要做好規(guī)劃。一般情況下,信息系統(tǒng)的安全規(guī)劃分為計(jì)算機(jī)系統(tǒng)、邊界區(qū)域、通信系統(tǒng)的安全設(shè)計(jì)。相應(yīng)的技術(shù)測(cè)評(píng)工作也主要圍繞這3個(gè)模塊展開。

3.2測(cè)評(píng)的要素

信息系統(tǒng)是個(gè)復(fù)雜工程,設(shè)備的簡(jiǎn)單堆疊并不能有效保障系統(tǒng)的絕對(duì)安全,新建系統(tǒng)應(yīng)嚴(yán)格按照等保規(guī)劃設(shè)計(jì),已建系統(tǒng)要對(duì)信息系統(tǒng)進(jìn)行安全測(cè)試,對(duì)于測(cè)評(píng)不合格項(xiàng)對(duì)照整改。信息系統(tǒng)安全測(cè)試范圍很廣,主要在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全、管理安全六大方面展開測(cè)評(píng)。本文僅對(duì)測(cè)評(píng)內(nèi)容要素進(jìn)行描述,對(duì)具體測(cè)試方法及工具不作描述。

3.2.1網(wǎng)絡(luò)安全的測(cè)評(píng)

水利科研院所網(wǎng)絡(luò)安全的測(cè)評(píng)主要參照公安部編制《信息安全等級(jí)測(cè)評(píng)》條件對(duì)網(wǎng)絡(luò)全局、路由和交換設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)展開測(cè)評(píng)。但應(yīng)結(jié)合科研院所實(shí)際有所側(cè)重。水利科研院所信息系統(tǒng)數(shù)據(jù)傳輸量大,網(wǎng)絡(luò)帶寬占用比例相對(duì)較高,因此,在網(wǎng)絡(luò)全局中主要測(cè)試網(wǎng)絡(luò)設(shè)備是否具備足夠的數(shù)據(jù)處理能力,網(wǎng)絡(luò)設(shè)備資源占用情況,確保網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力冗余性??蒲性核乩砦恢孟鄬?duì)分散,因此,需要合理的VLAN劃分,確保局部網(wǎng)絡(luò)攻擊不會(huì)引發(fā)全局癱瘓??蒲性核鶕碛写罅康难芯可?,這類人群對(duì)于制度的約束相對(duì)較差,網(wǎng)絡(luò)應(yīng)用多伴有P2P應(yīng)用,對(duì)出口帶寬影響極大,因此除了用經(jīng)濟(jì)杠桿的手段外,在技術(shù)上要求防火墻配置帶寬控制策略。同時(shí)對(duì)“非法接入和外聯(lián)”行為進(jìn)行檢查。網(wǎng)絡(luò)中應(yīng)配置IDS對(duì)端口掃描,對(duì)木馬、后門攻擊、網(wǎng)絡(luò)蠕蟲等常見攻擊行為監(jiān)視等等。

3.2.2主機(jī)安全測(cè)評(píng)

主機(jī)安全的測(cè)評(píng)主要對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)展開測(cè)評(píng)。通常水利科研院所服務(wù)器種類繁多,從最多見的機(jī)架式服務(wù)器到曙光一類的大型并行服務(wù)器均有部署,同時(shí)操作系統(tǒng)有window系列、Linux、Unix、Solaris等多種操作系統(tǒng),數(shù)據(jù)庫(kù)以主流SQLSERVER、ORACLE為主,早期開發(fā)的系統(tǒng)還有Sybase,DB2等數(shù)據(jù)庫(kù)。對(duì)于window操作系統(tǒng)是容易被攻擊的重點(diǎn),因?yàn)槎?jí)等保為審計(jì)級(jí)保護(hù)所以重點(diǎn)在于身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼4個(gè)方面進(jìn)行測(cè)評(píng),主要審計(jì)重要用戶行為、系統(tǒng)資源的異常使用和重要信息的命令使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。對(duì)于LINUX等其他系統(tǒng)和數(shù)據(jù)庫(kù),主要審計(jì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的身份標(biāo)識(shí)唯一性,口令應(yīng)復(fù)雜程度以及限制條件等。

3.2.3應(yīng)用安全測(cè)評(píng)

水利科研院所內(nèi)部業(yè)務(wù)種類繁多,如OA系統(tǒng),科研管理系統(tǒng),內(nèi)部財(cái)務(wù)系統(tǒng)、網(wǎng)站服務(wù)器群,郵件服務(wù)器等,測(cè)評(píng)的重點(diǎn)主要是對(duì)這些業(yè)務(wù)系統(tǒng)逐個(gè)測(cè)評(píng)身份驗(yàn)證,日志記錄,訪問控制、安全審計(jì)等功能。

3.2.4數(shù)據(jù)安全的測(cè)評(píng)

數(shù)據(jù)安全的測(cè)評(píng)主要就數(shù)據(jù)的完整性、保密性已及備份和恢復(fù)可靠性、時(shí)效性展開測(cè)評(píng)。水利科研院所數(shù)據(jù)量十分龐大,一般達(dá)到上百TB級(jí)數(shù)據(jù)量,一旦遭受攻擊,恢復(fù)任務(wù)十分艱巨,因此備份區(qū)和應(yīng)用區(qū)應(yīng)該選用光纖直連的方式,避免電纜數(shù)據(jù)傳輸效率的瓶頸。日常情況下應(yīng)做好備份計(jì)劃,采用增量備份的方式實(shí)時(shí)對(duì)數(shù)據(jù)備份。

3.2.5物理安全測(cè)評(píng)

機(jī)房的物理安全測(cè)評(píng)主要是選址是否合理,機(jī)房大門防火防盜性能,機(jī)房的防雷擊、防火、防水防潮防靜電設(shè)施是否完好達(dá)標(biāo),溫濕度控制、電力供應(yīng)以及電磁防護(hù)是否符合規(guī)定等物理?xiàng)l件。

3.2.6安全管理測(cè)評(píng)

安全管理主要就制定的制度文檔和記錄文檔展開評(píng)測(cè)。制度文檔主要分為3類,流程管理,人員管理和設(shè)備管理。記錄文檔主要為制度文檔的具體實(shí)施形式。在滿足二級(jí)的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責(zé)管理規(guī)定》、《安全審核與檢查管理制度》、《授權(quán)和審批管理規(guī)定》、《信息安全制度管理規(guī)范》、《內(nèi)部人員安全管理規(guī)定》、《外部人員安全管理規(guī)定》、《系統(tǒng)設(shè)計(jì)和采購(gòu)安全管理規(guī)定》、《系統(tǒng)實(shí)施安全管理規(guī)定》、《系統(tǒng)測(cè)試驗(yàn)收和交付安全管理規(guī)定》、《軟件開發(fā)安全管理規(guī)定》、《系統(tǒng)運(yùn)維和監(jiān)控安全管理規(guī)定》、《網(wǎng)絡(luò)安全管理規(guī)定》、《系統(tǒng)安全管理規(guī)定》、《賬號(hào)密碼管理規(guī)定》等基本規(guī)章制度。同時(shí)對(duì)管理制度本身進(jìn)行也要規(guī)范管理,如版本控制,評(píng)審修訂流程等。需要制定的記錄文檔有《機(jī)房出入登記記錄》、《機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄》、《各類評(píng)審和修訂記錄》、《人員考核、審查、培訓(xùn)記錄》、《各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄》、《產(chǎn)品的測(cè)試選型測(cè)試結(jié)果記錄》、《系統(tǒng)驗(yàn)收測(cè)試記錄報(bào)告》、《介質(zhì)歸檔查詢等的等級(jí)記錄》、《主機(jī)系統(tǒng),網(wǎng)絡(luò),安全設(shè)備等的操作日志和維護(hù)記錄》、《機(jī)房日常巡檢記錄》、《安全時(shí)間處理過程記錄》、《應(yīng)急預(yù)案培訓(xùn),演練,審查記錄》等。

4測(cè)評(píng)的方式方法

按照《基本要求》在等級(jí)測(cè)評(píng)中,對(duì)二級(jí)及二級(jí)以上的信息系統(tǒng)應(yīng)進(jìn)行工具測(cè)試。

4.1測(cè)試目的工具測(cè)試

是利用各種測(cè)試工具,通過對(duì)目標(biāo)系統(tǒng)的掃描、探測(cè)等操作,使其產(chǎn)生特定的響應(yīng)等活動(dòng),查看分析響應(yīng)結(jié)果,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種方法。工具測(cè)試種類繁多,這里特指適用于等保測(cè)評(píng)過程中的工具測(cè)試。利用工具測(cè)試不僅可以直接獲得系統(tǒng)本身存在的漏洞,同時(shí)也可以通過不同的區(qū)域接入測(cè)試工具所得到的測(cè)試結(jié)果判斷出不同區(qū)域之間的訪問控制情況。利用工具測(cè)試并結(jié)合其他的核查手段能為測(cè)試結(jié)果提供客觀準(zhǔn)確的保障。

4.2測(cè)試流程

收集信息→規(guī)劃接入點(diǎn)→編制《工具測(cè)試作業(yè)指導(dǎo)書》→現(xiàn)場(chǎng)測(cè)試→結(jié)果整理。收集信息主要是對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備型號(hào)、IP地址、操作系統(tǒng)以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等信息進(jìn)行收集。規(guī)劃接入點(diǎn)是保證不影響整個(gè)信息系統(tǒng)網(wǎng)絡(luò)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測(cè)試。接入點(diǎn)的規(guī)劃隨著網(wǎng)絡(luò)結(jié)構(gòu),訪問控制,主機(jī)位置等情況的不同而不同,但應(yīng)該遵循以下規(guī)則。(1)由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測(cè)。(2)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測(cè)。(3)由外聯(lián)接口向系統(tǒng)內(nèi)部探測(cè)。(4)跨網(wǎng)絡(luò)隔離設(shè)備(包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備)要分段探測(cè)。

4.3測(cè)試手段

利用漏洞掃描器、滲透測(cè)試工具集、協(xié)議分析儀、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成工具更能迅速可靠地找到系統(tǒng)的薄弱環(huán)節(jié),為整改方案的編制提供依據(jù)。

5云計(jì)算與等級(jí)保護(hù)

近年來,隨著水利科研院各自的云計(jì)算中心相繼建立,云計(jì)算與以往的計(jì)算模式安全風(fēng)險(xiǎn)差異很大,面臨的風(fēng)險(xiǎn)也更大,因?yàn)橐酝南到y(tǒng)多數(shù)為集中式管理范圍較小,安全管理和設(shè)備資源是可控的,而云計(jì)算是分布式管理,是一個(gè)動(dòng)態(tài)變化的計(jì)算環(huán)境,這種環(huán)境在某種意義上是無序的,這種虛擬動(dòng)態(tài)的運(yùn)行環(huán)境更不可控,傳統(tǒng)的安全邊界消失。同時(shí),云計(jì)算在認(rèn)證、授權(quán)、訪問控制和數(shù)據(jù)保密這些方面這對(duì)于信息網(wǎng)絡(luò)安全也提出了更高的要求。由云安全聯(lián)盟和惠普公司列出了云計(jì)算面臨的7宗罪(風(fēng)險(xiǎn)),說明云安全的狀況變化非常快,現(xiàn)有的技術(shù)和管理體系并不完全適應(yīng)于云計(jì)算的模式,如何結(jié)合自身特點(diǎn)制定出適合云計(jì)算的等級(jí)保護(hù)體系架構(gòu)是今后研究的方向。

6結(jié)語

篇8

推行電子政務(wù)建設(shè)是促進(jìn)政府行政改革的重要手段,對(duì)于轉(zhuǎn)變政府職能,推動(dòng)政府的現(xiàn)代化進(jìn)程,帶動(dòng)和促進(jìn)我國(guó)社會(huì)信息化的發(fā)展都有重要的現(xiàn)實(shí)意義。電子政務(wù)的建設(shè)既要考慮目前政府的組織機(jī)構(gòu)與業(yè)務(wù)現(xiàn)狀,又要滿足未來電子政務(wù)發(fā)展需求,這就要求電子政務(wù)系統(tǒng)的設(shè)計(jì)具有系統(tǒng)性、綜合性、變更性和可持續(xù)性。同時(shí),由于電子政務(wù)是依賴于信息技術(shù)和網(wǎng)絡(luò)技術(shù)而存在,并通過因特網(wǎng)為企業(yè)和個(gè)人用戶提供服務(wù)。因此,電子政務(wù)的首要問題是如何保障其信息安全[5]。電子政務(wù)的安全問題,從電子政務(wù)的概念提出就成為備受關(guān)注的問題之一。隨著各國(guó)電子政務(wù)的實(shí)踐的發(fā)展,其安全問題也日益突出,成為制約電子政務(wù)進(jìn)一步發(fā)展的首要因素。電子政務(wù)的發(fā)展關(guān)系到國(guó)家政治、經(jīng)濟(jì)、社會(huì)、文化等多個(gè)方面,而電子政務(wù)的發(fā)展需要安全保障。對(duì)電子政務(wù)安全問題的成因進(jìn)行分析,是解決其安全問題的前提條件。只有對(duì)電子政務(wù)所面臨的安全風(fēng)險(xiǎn)與隱患進(jìn)行全面深入的了解,才有可能針對(duì)性地做好安全防范工作,建立起有效的安全防范體系和風(fēng)險(xiǎn)控制機(jī)制。

1電子政務(wù)安全隱患分析

由于電子政務(wù)系統(tǒng)具有網(wǎng)絡(luò)化的業(yè)務(wù)服務(wù)特點(diǎn),因此很容易遭到各種各樣的攻擊,如賬號(hào)被盜用、被監(jiān)聽和截取信息包、搭載木馬程序、掃描端口、占用服務(wù)器帶寬、破壞數(shù)據(jù)完整性等[5]。電子政務(wù)安全隱患的成因,可以從多個(gè)方面和多個(gè)角度進(jìn)行分析。從攻擊者威脅行為的動(dòng)機(jī)角度分析,可以分為利益驅(qū)動(dòng)、技術(shù)驅(qū)動(dòng)、信息驅(qū)動(dòng)等幾個(gè)方面;從系統(tǒng)防范的角度分析,可以分為技術(shù)問題和管理問題。文章主要從技術(shù)和管理兩方面討論電子政務(wù)安全隱患。技術(shù)隱患指電子政務(wù)信息系統(tǒng)本身的技術(shù)漏洞,是系統(tǒng)自身的技術(shù)缺陷;管理隱患則包含內(nèi)部和外部威脅,來自內(nèi)部的威脅如內(nèi)部人員的惡意破壞、管理人員、執(zhí)行人員的違規(guī)和違法操作、內(nèi)部管理的疏漏等。來自于外部的威脅,如駭客入侵和攻擊、病毒傳染和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)攻擊和破壞、信息戰(zhàn)爭(zhēng)及自然災(zāi)害等。

1.1技術(shù)隱患分析

技術(shù)隱患包括基礎(chǔ)網(wǎng)絡(luò)、操作系統(tǒng)和數(shù)據(jù)庫(kù)以及應(yīng)用平臺(tái)等方面的隱患。在基礎(chǔ)網(wǎng)絡(luò)方面,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)不合理或缺乏可擴(kuò)展性,可能會(huì)因某結(jié)點(diǎn)遭到破壞而導(dǎo)致整個(gè)系統(tǒng)癱瘓,其通信線路也易遭物理破壞和搭線竊聽;操作系統(tǒng)和數(shù)據(jù)庫(kù)方面,由于目前所使用的計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng),多偏重于考慮系統(tǒng)使用的方便性,其結(jié)構(gòu)和代碼設(shè)計(jì)相對(duì)在系統(tǒng)的安全機(jī)制上考慮還不夠精細(xì),或多或少地存在安全漏洞;數(shù)據(jù)庫(kù)管理系統(tǒng)基于分級(jí)理念對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理,同時(shí)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全與操作系統(tǒng)的安全相配套,這使得系統(tǒng)的安全出現(xiàn)不穩(wěn)定因素。應(yīng)用平臺(tái)方面的隱患主要表現(xiàn)在“后門攻擊”,即在開發(fā)電子政務(wù)系統(tǒng)的應(yīng)用功能時(shí),往往留有所謂的“后門”,以便程序員在應(yīng)用層面進(jìn)行定期維護(hù)或升級(jí),該“后門”一旦被非法人員發(fā)現(xiàn),其破壞性就有可能波及整個(gè)系統(tǒng)。

1.2管理隱患分析

管理隱患包括身份和口令、資源管理和制度法規(guī)等多方面的隱患。身份和口令隱患主要表現(xiàn)在用戶名和口令過于簡(jiǎn)單,在驗(yàn)證時(shí)極易導(dǎo)致合法身份被冒用,采用靜態(tài)口令很容易在日志記錄中被竊取,內(nèi)部用戶身份級(jí)別劃定不嚴(yán)格也會(huì)導(dǎo)致信息使用級(jí)別的混亂。資源管理隱患是內(nèi)部用戶使用資源時(shí),對(duì)重要文件不加密,重要信息進(jìn)行長(zhǎng)期共享,傳遞信息時(shí)無身份認(rèn)證,電子郵件大量群發(fā)時(shí)缺乏信息保密安全意識(shí)的資源管理行為。制度法規(guī)方面的隱患主要表現(xiàn)在網(wǎng)絡(luò)信息安全法規(guī)目前尚未健全,尤其在涉及到政府各部門橫向信息交流時(shí)的安全約束機(jī)制。多見行政規(guī)定代替法規(guī),缺少統(tǒng)一標(biāo)準(zhǔn),又大多不全面細(xì)化,起不到真正監(jiān)管電子政務(wù)信息系統(tǒng)安全的作用。近年來還出現(xiàn)了一種新的安全隱患,即直接在網(wǎng)絡(luò)上假冒政府或某些職能部門的名義開設(shè)網(wǎng)站,以牟取非法利益。隨著形勢(shì)的發(fā)展電子政務(wù)系統(tǒng)中可能還會(huì)出現(xiàn)新的安全隱患,并且這些安全隱患相互作用,彼此糾結(jié),使得系統(tǒng)安全的維護(hù)變得非常困難。綜上所述,可將電子政務(wù)安全主要隱患來源設(shè)計(jì)如圖1所示。在現(xiàn)實(shí)中,很多的安全隱患是由內(nèi)外因素共同引發(fā)的。例如病毒的破壞,往往是由于內(nèi)部管理的疏漏和人員安全實(shí)施的薄弱造成的。來自于系統(tǒng)內(nèi)部和外部的因素,針對(duì)上述安全隱患,需要分別考慮不同的安全隱患的各自特點(diǎn),制定出針對(duì)性的專門的防范措施和危機(jī)救援措施。文中通過對(duì)電子政務(wù)的研究和對(duì)政府組織管理、行政事務(wù)管理等方面的理解,給出了電子政務(wù)安全體系結(jié)構(gòu)及其設(shè)計(jì)。

2電子政務(wù)的安全體系

電子政務(wù)的安全主要是系統(tǒng)安全和數(shù)據(jù)安全。電子政務(wù)的安全目標(biāo)就是要在確保電子政務(wù)的正常運(yùn)行的同時(shí),維護(hù)電子政務(wù)系統(tǒng)的安全,也就是維護(hù)信息的安全和網(wǎng)絡(luò)的安全。從而保證電子政務(wù)信息的可用性、完整性、保障性、保密性和不可否認(rèn)性。2.1電子政務(wù)安全體系結(jié)構(gòu)電子政務(wù)通過網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)信息資源的共享與交互,提高了政府處理政務(wù)的工作效率,提供了政務(wù)系統(tǒng)的可擴(kuò)充性。但同時(shí),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和計(jì)算機(jī)安全問題的日益復(fù)雜,增加了電子政務(wù)系統(tǒng)安全的復(fù)雜性和脆弱性。因此,建立一個(gè)穩(wěn)定可靠的電子政務(wù)系統(tǒng)除了加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)等方面的技術(shù)安全保障措施外,還必須建立健全法制管理措施對(duì)系統(tǒng)的日常操作、運(yùn)行、維護(hù)、審計(jì)、監(jiān)督及文檔管理進(jìn)行統(tǒng)一管理。電子政務(wù)系統(tǒng)結(jié)構(gòu)中電子政務(wù)安全體系是最重要的組成部分之一,是電子政務(wù)系統(tǒng)運(yùn)行的必要保障體系,文中從技術(shù)安全和安全管理兩方面談?wù)撾娮诱?wù)的安全問題。安全技術(shù)系統(tǒng)涉及物理層安全、網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全、信息資源層安全與業(yè)務(wù)應(yīng)用層安全。安全管理系統(tǒng)包括政務(wù)的安全組織、安全策略、安全標(biāo)準(zhǔn)、安全評(píng)估與審計(jì)及安全制度,其中安全組織包括決策機(jī)構(gòu)、專家小組、管理機(jī)制與執(zhí)行維護(hù)機(jī)構(gòu)等。電子政務(wù)的安全體系結(jié)構(gòu)如圖2所示。

2.2電子政務(wù)安全體系設(shè)計(jì)

電子政務(wù)系統(tǒng)本身是一個(gè)非常復(fù)雜的系統(tǒng),其安全問題也是一個(gè)綜合性很強(qiáng)的問題。要確保電子政務(wù)的安全不僅僅是政府各機(jī)構(gòu)、各部門內(nèi)部的事情,也是一個(gè)國(guó)家層面的事情,因?yàn)檎?wù)信息的安全涉及不同國(guó)家之間、不同政治集團(tuán)之間的利益關(guān)系,它的安全保障問題需要從國(guó)家范圍來統(tǒng)一規(guī)劃,以抵御外來的信息安全威脅。因此,構(gòu)建一個(gè)綜合性的安全保障體系,要從安全技術(shù)、安全管理、及相關(guān)支撐體系等方面提供全方位的保護(hù)和保障。安全管理系統(tǒng)和安全技術(shù)系統(tǒng)是相輔相成的,在建設(shè)電子政務(wù)系統(tǒng)時(shí),在對(duì)安全技術(shù)系統(tǒng)進(jìn)行設(shè)計(jì)時(shí),必須同時(shí)考慮安全管理系統(tǒng)的建設(shè)和實(shí)施。安全管理系統(tǒng)與安全技術(shù)系統(tǒng)的相互關(guān)系如圖3所示。在這一安全體系中,安全技術(shù)系統(tǒng)是核心問題,它涉及理論研究和技術(shù)開發(fā),安全系統(tǒng)應(yīng)用,及構(gòu)建綜合防護(hù)系統(tǒng)的等問題;安全管理系統(tǒng)是安全保障的關(guān)鍵,其中包括安全制度、安全組織、安全審計(jì)、安全標(biāo)準(zhǔn)及安全評(píng)估等內(nèi)容的管理。

2.2.1安全技術(shù)系統(tǒng)設(shè)計(jì)

文中對(duì)電子政務(wù)安全技術(shù)系統(tǒng)從物理安全、網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全、信息資源安全和應(yīng)用平臺(tái)安全等方面進(jìn)行設(shè)計(jì)。首先,由于電子政務(wù)系統(tǒng)包含著大量的信息資源,拓構(gòu)非常復(fù)雜,不僅關(guān)系到政府辦公外網(wǎng)與政府非網(wǎng)的連接也有非網(wǎng)與網(wǎng)之間的連接。因此,物理安全首先應(yīng)保證物理連接方面的安全,防止電力中斷、電磁泄漏、保證物理結(jié)構(gòu)合理和可擴(kuò)展性。對(duì)網(wǎng)與非網(wǎng)之間的連接,采用雙布線、雙交換機(jī)、雙處理設(shè)備,且兩套線路和設(shè)備之間不進(jìn)行物理連接;辦公單位與數(shù)據(jù)中心的連接均用防火墻進(jìn)行邏輯隔離,根據(jù)過濾規(guī)則來判斷網(wǎng)絡(luò)數(shù)據(jù)是否能夠通過防火墻,用以加強(qiáng)網(wǎng)絡(luò)之間訪問控制,保證可信的數(shù)據(jù)傳輸及對(duì)非法訪問的拒絕;使用基于物理隔離的數(shù)據(jù)交換技術(shù)對(duì)政府外網(wǎng)數(shù)據(jù)進(jìn)行審查,保證通行可信數(shù)據(jù),拒絕非法請(qǐng)求。綜合運(yùn)用防火墻、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)、病毒防治技術(shù)和安全審計(jì)技術(shù)、操作系統(tǒng)安全策略和數(shù)據(jù)庫(kù)安全策略構(gòu)建統(tǒng)一的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全策略,及時(shí)更新防毒軟件、識(shí)別駭客入侵的各種方法和手段、檢測(cè)內(nèi)部人員的誤操作、資源濫用和惡意行為、多層次安全審計(jì),幫助用戶對(duì)內(nèi)外網(wǎng)行為進(jìn)行追蹤、實(shí)時(shí)的報(bào)警和響應(yīng)。定期或不定期地調(diào)用網(wǎng)絡(luò)安全性分析軟件發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。由于操作系統(tǒng)的問題是隨著時(shí)間的延續(xù)而逐漸出現(xiàn)的,不是在進(jìn)行一次安全加固后就能解決,所以要通過采用安全工具及時(shí)從網(wǎng)絡(luò)進(jìn)行升級(jí)、定時(shí)掃描,建立完善的分類報(bào)表來加強(qiáng)安全。數(shù)據(jù)庫(kù)方面可通過及時(shí)下載安全補(bǔ)丁、分階段建立數(shù)據(jù)庫(kù)、制定完善的口令策略和修改系統(tǒng)參數(shù)等措施來加強(qiáng)數(shù)據(jù)庫(kù)安全,從保證數(shù)據(jù)對(duì)象的安全著手保證信息數(shù)據(jù)的安全。應(yīng)用安全主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)等方面,可根據(jù)安全構(gòu)成與其相互關(guān)系,建立在PKI(安全存儲(chǔ)公鑰基礎(chǔ)設(shè)施,PublicKeyInfrastructure)體系的CA(CertificateAuthority,證書授權(quán)中心)身份認(rèn)證的基礎(chǔ)上,通過設(shè)計(jì)CA身份認(rèn)證的系統(tǒng),形成基于公鑰密碼體制的安全用基礎(chǔ)環(huán)境,為安全體系上其他應(yīng)用系統(tǒng)解決內(nèi)部授權(quán)訪問、數(shù)據(jù)完整性、審計(jì)、抗否認(rèn)提供保證。

2.2.2安全管理系統(tǒng)設(shè)計(jì)

安全管理是一項(xiàng)綜合管理,是對(duì)電子政務(wù)的所有安全問題和環(huán)節(jié)進(jìn)行管理,如保證設(shè)施的安全、信息的安全和運(yùn)行過程的安全。本文從管理職能的角度將安全管理系統(tǒng)分為安全組織、安全策略和制度、安全標(biāo)準(zhǔn)、安全評(píng)估、安全審計(jì)等5個(gè)方面。安全組織設(shè)計(jì)包括如何建立安全決策組織、安全指導(dǎo)小組、安全專家小組、安全領(lǐng)導(dǎo)小組、建立網(wǎng)絡(luò)日常管理機(jī)構(gòu)、建立維護(hù)單元等。安全政策和制度包括制定與政府信息系統(tǒng)安全等級(jí)相對(duì)應(yīng)的安全措施不力和要求,對(duì)參與系統(tǒng)開發(fā)和運(yùn)行的企業(yè)的要求和約束,同時(shí)執(zhí)行系統(tǒng)安全審計(jì)與安全問題報(bào)告制度與程序。如制定國(guó)家公務(wù)員捷足先登安全規(guī)范、安全策略制定規(guī)范、物理層安全建設(shè)規(guī)范、數(shù)字證書管理規(guī)范、系統(tǒng)管理規(guī)范及應(yīng)急系統(tǒng)構(gòu)建規(guī)范等。安全等級(jí)的分類與等級(jí)相應(yīng)的安全措施,對(duì)參與系統(tǒng)開發(fā)和運(yùn)行的單位、人員的要求,系統(tǒng)安全審計(jì),安全問題的報(bào)告制度和程序,緊急情況的處理和應(yīng)急措施有關(guān)。安全標(biāo)準(zhǔn)包括制定具體的,針對(duì)每一個(gè)安全等級(jí)的政務(wù)信息系統(tǒng)的安全標(biāo)準(zhǔn)、運(yùn)行的規(guī)范、數(shù)據(jù)和軟件的備份、系統(tǒng)的物理安全。制定安全標(biāo)準(zhǔn),電子政務(wù)系統(tǒng)中的信息可參照標(biāo)準(zhǔn)執(zhí)行確保在該標(biāo)準(zhǔn)下的安全。從而保證安全管理,節(jié)約各部門和系統(tǒng)在安全問題上消耗的人力、財(cái)力和資源。安全評(píng)估主要從政治、經(jīng)濟(jì)、技術(shù)等方面分析,明確并規(guī)范哪些子系統(tǒng)需要專網(wǎng),哪些子系統(tǒng)需要加密措施,并確定系統(tǒng)中信息資源的安全級(jí)別。分析電子政務(wù)系統(tǒng)中的各子系統(tǒng)會(huì)有哪些潛在的威脅、威脅的嚴(yán)重程度如何、威脅將造成什么樣的后果、系統(tǒng)對(duì)此到底需要什么樣的安全措施。電子政務(wù)在建成和運(yùn)行的過程中,都應(yīng)接受有關(guān)部門的安全審計(jì),以確保政務(wù)的安全政策與安全標(biāo)準(zhǔn)得到落實(shí)。安全審計(jì)主要通過人工審記或由計(jì)算機(jī)自動(dòng)分析處理審計(jì)的方法,記錄和跟蹤網(wǎng)絡(luò)狀態(tài)的變化,對(duì)用戶的活動(dòng)、程序和文件的使用情況進(jìn)行監(jiān)控,并對(duì)程序和文件的使用及對(duì)文件的處理過程等加以記錄。

篇9

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn),我校信息化建設(shè)初具規(guī)模,軟硬件設(shè)備配備完成,運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚,承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行,具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范,按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同,確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位,初步建立了問題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng),即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心,是整個(gè)校園網(wǎng)的基礎(chǔ),其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上,主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理,校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng),系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù),目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問題

 

通過等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估,目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問題如下:

 

(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引,方向不明確,缺少主線。

 

(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。

 

(3)信息安全機(jī)構(gòu)不完善,缺乏總體安全方針與策略,職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大,管理復(fù)雜,人員安全意識(shí)相對(duì)薄弱,日常安全問題多。

 

()建設(shè)投資和投入有限,運(yùn)維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對(duì)松散,缺乏安全監(jiān)管及檢查機(jī)制,無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃,難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段,無法提高安全運(yùn)維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù),分級(jí)分域、強(qiáng)化控制,保障核心、提升管理,支撐應(yīng)用、規(guī)范運(yùn)維。

 

依據(jù)這一總體原則,我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),以安全體系為核心,通過對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手,并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié),在建設(shè)過程中逐步完善安全體系,以安全體系運(yùn)行維護(hù)和管理的過程等全面滿足安全工作各個(gè)層面的安全需求,最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見稿),并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略,,理論,強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則,重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù),構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系,并通過安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐),形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見圖2),從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求,以滿足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略:明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等,是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織:是信息安全體系框架中最重要的

 

各級(jí)組織間的工作職責(zé),覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。

 

(3)安全運(yùn)行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行,該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā),落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn),是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制,針對(duì)未授權(quán)的訪問或誤用提供自動(dòng)保護(hù),發(fā)現(xiàn)違背安全策略的行為,并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。

 

()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層,實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合,通過基于ITIL[9]的運(yùn)維管理方法,保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn),提升業(yè)務(wù)的可持續(xù)性,從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作

 

3.1安全滲透測(cè)試

 

2009年4月,學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過測(cè)評(píng),全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個(gè)高危漏洞,并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn),根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。

 

3.2風(fēng)險(xiǎn)評(píng)估和安全加固

 

2009年5月,依據(jù)安全滲透測(cè)試結(jié)果,對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問題,并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí),表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月,基于風(fēng)險(xiǎn)評(píng)估結(jié)果,對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求,并結(jié)合實(shí)際業(yè)務(wù)要求,對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì),并通過未來3年的逐步安全建設(shè),滿足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn),參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系),結(jié)合我校目前的實(shí)際情況,制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立,使學(xué)校的組織結(jié)構(gòu)布局更加合理,人員安全意識(shí)也明顯提高,從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行,提高了IT服務(wù)質(zhì)量。通過制度、流程、標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)了日常安全工作執(zhí)行能力,提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求,可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域:第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括:CA安全區(qū):主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器,為各院所的師生管理提供數(shù)字證書注冊(cè)服務(wù)。

 

應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略,使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上,封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù),并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。

 

4.2安全運(yùn)維體系

 

ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境,整合以往對(duì)各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理,實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運(yùn)維管理理念,達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合,實(shí)現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化,極大地提高了故障應(yīng)急處理能力,提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求,系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái),以實(shí)現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略,對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對(duì)終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實(shí)施、終端用戶安全狀態(tài)的集中審計(jì);對(duì)用戶事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè),內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計(jì)體系

篇10

【關(guān)鍵詞】信息系統(tǒng) 網(wǎng)絡(luò)安全 評(píng)價(jià)指標(biāo)

根據(jù)國(guó)家網(wǎng)絡(luò)和信息系統(tǒng)的安全性要求,結(jié)合多年的網(wǎng)絡(luò)管理經(jīng)驗(yàn),從以下五個(gè)指標(biāo)對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià):

1.實(shí)體與環(huán)境安全

實(shí)體與環(huán)境指計(jì)算機(jī)設(shè)備及計(jì)算機(jī)網(wǎng)管人員工作的場(chǎng)所,這個(gè)場(chǎng)所內(nèi)外的環(huán)境條件必須滿足計(jì)算機(jī)設(shè)備和網(wǎng)管人員的要求。對(duì)于各種災(zāi)害、故障要采取充分的預(yù)防措施,萬一發(fā)生災(zāi)害或故障,應(yīng)能采取應(yīng)急措施,將損失降到最低限度??梢詮囊韵聨讉€(gè)方面來檢查:

(1)機(jī)房周圍環(huán)境

機(jī)房是否建在電力、水源充足、自然環(huán)境清潔、通訊、交通運(yùn)輸方便的地方。

(2)機(jī)房周圍100m內(nèi)有無危險(xiǎn)建筑

危險(xiǎn)建筑:指易燃、易爆、有害氣體等存在的場(chǎng)所,如加油站、煤氣站、煤氣管道等。

(3)有無監(jiān)控系統(tǒng)

監(jiān)控系統(tǒng):指對(duì)系統(tǒng)運(yùn)行的外圍環(huán)境、操作環(huán)境實(shí)施監(jiān)控(視)的設(shè)施,及時(shí)發(fā)現(xiàn)異常,可根據(jù)使用目的不同配備以下監(jiān)視設(shè)備,如紅外線傳感器、監(jiān)視攝像機(jī)等設(shè)備。

(4)有無防火、防水措施

防火:指機(jī)房?jī)?nèi)安裝有火災(zāi)自動(dòng)報(bào)警系統(tǒng),或有適用于計(jì)算機(jī)機(jī)房的滅火器材,如鹵代烷1211和1301自動(dòng)消防系統(tǒng)或滅火器。

防水:指機(jī)房?jī)?nèi)無滲水、漏水現(xiàn)象,如機(jī)房上層有用水設(shè)施需加防水層,有暖氣裝置的機(jī)房沿機(jī)房地面周圍應(yīng)設(shè)排水溝,應(yīng)注意對(duì)暖氣管道定期檢查和維修。是否裝有漏水傳感器。

(5)機(jī)房有無環(huán)境測(cè)控設(shè)施(溫度、濕度和潔凈度),如溫濕度傳感器

溫度控制:指機(jī)房有空調(diào)設(shè)備,機(jī)房溫度保持在18—24攝氏度。

濕度控制:指相對(duì)濕度保持在40%—60%。

潔凈度控制:機(jī)房和設(shè)備應(yīng)保持清潔、衛(wèi)生,進(jìn)出機(jī)房換鞋,機(jī)房門窗具有封閉性能。

(6)有無防雷措施(具有防雷裝置,接地良好)

計(jì)算機(jī)機(jī)房是否符合GB 157《建筑防雷設(shè)計(jì)規(guī)范》中的防雷措施。

在雷電頻繁區(qū)域,是否裝設(shè)有浪涌電壓吸收裝置。

(7)有無備用電源和自備發(fā)電機(jī)

(8)是否使用UPS

UPS:(Uninterruptible Power System),即不間斷電源,是一種含有儲(chǔ)能裝置,以逆變器為主要組成部分的恒壓頻的不間斷電源。主要用于給單臺(tái)計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或其它電力電子設(shè)備提供不間斷的電力供應(yīng)。

(9)是否有防靜電措施(采用防靜電地板,設(shè)備接地良好)

當(dāng)采用地板下布線方式時(shí),可鋪設(shè)防靜電活動(dòng)地板。

當(dāng)采用架空布線方式時(shí),應(yīng)采用靜電耗散材料作為鋪墊材料。

通信設(shè)備的靜電地板、終端操作臺(tái)地線應(yīng)分別接到總地線母體匯流排上定期(如一周)對(duì)防靜電設(shè)施進(jìn)行維護(hù)和檢驗(yàn)。

(10)是否保證持續(xù)供電

設(shè)備是否采用雙路市電供電,提供冗余備份,并配有實(shí)時(shí)告警監(jiān)控設(shè)備。是否與空調(diào)、照明用電分開,專線供電。

(11)是否有防盜措施

中心有人值班,出入口安裝防盜安全門,窗戶安裝金屬防護(hù)裝置,機(jī)房裝有無線電遙控防盜聯(lián)網(wǎng)設(shè)施。

2.組織管理與安全制度

(1)有無專門的信息安全組織機(jī)構(gòu)和專職的信息安全人員

信息安全組織機(jī)構(gòu)的成立與信息安全人員的任命必須有有關(guān)單位的正式文件。

(2)有無健全的信息安全管理的規(guī)章制度

是否有健全的規(guī)章制度,而且規(guī)章制度上墻;是否嚴(yán)格執(zhí)行各項(xiàng)規(guī)章制度和操作規(guī)程,有無違章操作的情況。

(3)是否有信息安全人員的配備,調(diào)離有嚴(yán)格的管理制度

(4)設(shè)備與數(shù)據(jù)管理制度是否完備

設(shè)備實(shí)行包干管理負(fù)責(zé)制,每臺(tái)設(shè)備都應(yīng)有專人負(fù)責(zé)保管(包括說明書及有關(guān)附件);在使用設(shè)備前,應(yīng)掌握操作規(guī)程,閱讀有關(guān)手冊(cè),經(jīng)培訓(xùn)合格后方可進(jìn)行相關(guān)操作;禁止在計(jì)算上運(yùn)行與業(yè)務(wù)無關(guān)的程序,未經(jīng)批準(zhǔn),不得變更操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置,不得任意加裝設(shè)備。

(5)是否有登記建檔制度

登記建檔是做好網(wǎng)絡(luò)安全工作的前提,一些技術(shù)資料對(duì)網(wǎng)絡(luò)安全工作很重要,要注意收集和保存??蓮囊韵聨讉€(gè)方面檢查相關(guān)文檔:

策略文檔(如,法規(guī)文件、指示)、系統(tǒng)文檔(如,系統(tǒng)用指南、系統(tǒng)管理員手冊(cè)、系統(tǒng)設(shè)計(jì)和需求文檔、采購(gòu)文檔)、及安全相關(guān)的文檔(如以前的審計(jì)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告、系統(tǒng)測(cè)試結(jié)果、系統(tǒng)安全計(jì)劃、安全策略)都可提供系統(tǒng)使用的或計(jì)劃的安全控制方面的信息。任務(wù)影響分析或資產(chǎn)重要性評(píng)估可提供有關(guān)系統(tǒng)和數(shù)據(jù)重要性及敏感性的信息。

設(shè)計(jì)資料,如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,綜合布線結(jié)構(gòu)圖等。

安裝資料,包括安裝竣工及驗(yàn)收的技術(shù)文件和資料。

設(shè)備升級(jí)維修記錄等。

(6)是否有緊急事故處理預(yù)案

為減少計(jì)算機(jī)系統(tǒng)故障的影響,盡快恢復(fù)系統(tǒng),應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害時(shí)的措施,制成手冊(cè),以備參考。

(7)是否有完整的信息安全培訓(xùn)計(jì)劃和培訓(xùn)制度

開展網(wǎng)絡(luò)安全教育是為了使所有人員了解網(wǎng)絡(luò)安全的基本常識(shí)及網(wǎng)絡(luò)安全的重要性,要堅(jiān)持經(jīng)常的、多樣化的安全教育工作,廣播、圖片、標(biāo)語、報(bào)告培訓(xùn)班都是可以采用的宣傳教育方式。

(8)各類人員的安全職責(zé)是否明確,能否勝任網(wǎng)絡(luò)安全管理工作

應(yīng)對(duì)網(wǎng)絡(luò)管理人員嚴(yán)格分工,使其職責(zé)分明,要對(duì)網(wǎng)絡(luò)管理人員定期進(jìn)行安全培訓(xùn)及考核,對(duì)關(guān)鍵崗位人員,應(yīng)該持有相應(yīng)的認(rèn)證。

3.安全技術(shù)措施

(1)是否有災(zāi)難恢復(fù)的技術(shù)對(duì)策

是否為網(wǎng)絡(luò)中斷和災(zāi)難做好準(zhǔn)備,以及如何快速反應(yīng)將中斷和損失降至最小。災(zāi)難恢復(fù)措施包括災(zāi)難預(yù)防制度、災(zāi)難演習(xí)制度及災(zāi)難恢復(fù)制度。

(2)是否有系統(tǒng)安全審計(jì)功能

安全審計(jì)功能主要是監(jiān)控來自網(wǎng)絡(luò)內(nèi)部和外部的用戶活動(dòng),偵察系統(tǒng)中存在現(xiàn)有和潛在的威脅,對(duì)與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別,記錄,存儲(chǔ)和分析,安全審計(jì)系統(tǒng)往往對(duì)突發(fā)事件進(jìn)行報(bào)警和響應(yīng)。

(3)是否有系統(tǒng)操作日志

系統(tǒng)操作日志:指每天開、關(guān)機(jī),設(shè)備運(yùn)行狀況等文字記錄。

(4)是否有服務(wù)器備份措施

服務(wù)器數(shù)據(jù)備份是預(yù)防災(zāi)難的必要手段。隨著對(duì)網(wǎng)絡(luò)應(yīng)用的依賴性越來越強(qiáng)和網(wǎng)絡(luò)數(shù)據(jù)量的日益增加,企業(yè)對(duì)數(shù)據(jù)備份的要求也在不斷提高。許多數(shù)據(jù)密集型的網(wǎng)絡(luò),重要數(shù)據(jù)往往存儲(chǔ)在多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上,除了對(duì)中心服務(wù)器備份之外,還需要對(duì)其他服務(wù)器或工作站進(jìn)行備份,有的甚至要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份,即全網(wǎng)備份。網(wǎng)絡(luò)備份需要專業(yè)備份軟件,Backup Exec就是其中的一種,是為中小企業(yè)提供的基于Windows平臺(tái)的網(wǎng)絡(luò)備份與恢復(fù)解決方案。

(5)是否有防黑客入侵設(shè)施

防黑客入侵設(shè)施主要是設(shè)置防火墻和入侵檢測(cè)等設(shè)施。

防火墻是為了監(jiān)測(cè)并過濾所有內(nèi)部網(wǎng)與外部網(wǎng)之間的信息交換,保護(hù)著內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞,并記錄內(nèi)外通訊的有關(guān)狀態(tài)信息日志。防火墻有三種類型,包括過濾防火墻、型防火墻和狀態(tài)監(jiān)測(cè)型防火墻。

入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下,由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng),所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

(6)是否有計(jì)算機(jī)病毒防范措施

計(jì)算機(jī)病毒防范措施:備有病毒預(yù)防及消除的軟、硬件產(chǎn)品,并能定期的升級(jí)。設(shè)置客戶端級(jí)防護(hù)、郵件服務(wù)器級(jí)防護(hù)和應(yīng)用服務(wù)器級(jí)防護(hù)。

4.網(wǎng)絡(luò)與通信安全

(1)放置通信設(shè)施的場(chǎng)所是否設(shè)有醒目標(biāo)志

從安全防范的角度考慮,安裝有關(guān)通信設(shè)備的地方不應(yīng)加標(biāo)志。配線架或MODEM柜應(yīng)加鎖,禁止無關(guān)人員入內(nèi)。

(2)重要通信線路及通信控制裝置是否均有備份

重要的通信線雙重化以及線路故障時(shí)采用DDN通信線或電話線ISDN等后備功能;從計(jì)算中心連出的重要通信線路應(yīng)采用不同路徑備份方式。

(3)是否采取加密措施

數(shù)據(jù)加密技術(shù)是保護(hù)傳輸數(shù)據(jù)免受外部竊聽的最好辦法,其可以將數(shù)據(jù)變只有授權(quán)接收者才能還原并閱讀的編碼。其過程就是取得原始信息并用發(fā)送者和接收者都知道的一種特殊信息來制作編碼信息形成密文。

(4)系統(tǒng)運(yùn)行狀態(tài)有無安全審計(jì)跟蹤措施

安全審計(jì)是模擬社會(huì)檢察機(jī)構(gòu)在計(jì)算機(jī)系統(tǒng)中監(jiān)視、記錄和控制用戶活動(dòng)的一種機(jī)制。它是影響系統(tǒng)安全的訪問和訪問企圖留下線索,以便事后分析和追查,其目標(biāo)是檢測(cè)和判定對(duì)系統(tǒng)的惡意攻擊和誤操作,對(duì)用戶的非法活動(dòng)起到威懾作用,為系統(tǒng)提供進(jìn)一步的安全可靠性。

(5)網(wǎng)絡(luò)與信息系統(tǒng)是否加有訪問控制措施

訪問控制措施:指能根據(jù)工作性質(zhì)和級(jí)別高低,劃分系統(tǒng)用戶的訪問權(quán)限。對(duì)用戶進(jìn)行分組管理,并且應(yīng)該是針對(duì)安全性問題而考慮的分組。

5.軟件與信息安全

(1)操作系統(tǒng)及數(shù)據(jù)庫(kù)是否有訪問控制措施

把整個(gè)系統(tǒng)的用戶根據(jù)需要分為不同級(jí)別;不同級(jí)別的用戶享有對(duì)系統(tǒng)的文件、數(shù)據(jù)、網(wǎng)絡(luò)、進(jìn)程等資源的權(quán)限,并進(jìn)行記費(fèi)管理;還可根據(jù)不同的用戶設(shè)置不同的安全策略,將超級(jí)用戶的權(quán)限細(xì)化(可分為系統(tǒng)管理員、安全管理員、數(shù)據(jù)庫(kù)管理員、用戶管理員等)。

(2)應(yīng)用軟件是否有防破壞措施

對(duì)應(yīng)用程序安全的考慮可以遵循如下的方向:對(duì)通用應(yīng)用,如消息傳遞、文件保護(hù)、軟硬件交付等,制定通用技術(shù)要求;對(duì)于特定的復(fù)雜應(yīng)用,可分解為通用應(yīng)用,同時(shí)考慮互操作性問題。一般來講,應(yīng)用程序的安全機(jī)制應(yīng)該包括以下內(nèi)容:身份標(biāo)識(shí)與鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)可用性、配置管理等。

(3)對(duì)數(shù)據(jù)庫(kù)及系統(tǒng)狀態(tài)有無監(jiān)控設(shè)施

可以使用系統(tǒng)安全檢測(cè)工具來定期掃描系統(tǒng),查看系統(tǒng)是否存在各種各樣的漏洞。

(4)是否有用戶身份識(shí)別措施

身份認(rèn)證與數(shù)字簽名策略,身份認(rèn)證是證明某人或某物身份的過程,當(dāng)用戶之間建立連接時(shí),為了防止非法連接或被欺騙,就可實(shí)施身份確認(rèn),以確保只有合法身份的用戶才能與之建立連接。

(5)系統(tǒng)用戶信息是否采用備份