时间:2023-06-06 15:37:15
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇房建安全风险评估范例。如需获取更多原创内容,可随时联系我们的客服老师。
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
1.1中国土木工程建设的安全现状
土木工程建设是多工种、多环节的联合作业,具有生产的流动性、产品的单件性、类型的多样性以及过程的复杂性等特点,致使土木工程建设具有比一般生产活动更大的不确定性和不安全性,因而容易发生安全生产事故,是世界公认的高风险行业之一。历年来,在各行业中,我国土木工程领域事故伤亡人数仅低于道路交通事故和煤矿事故,居第三位。根据国家安全生产监督管理总局的统计,近年来我国土木工程建设领域因安全事故导致的死亡人数均在2000人以上,重特大安全事故时有发生,甚至造成重大人员伤亡。
1.2中国土木工程建设安全事故原因分析
通过对中国工程院重大咨询项目“中国土木工程建设安全风险管理体系的战略与对策”项目组收集到的64起房建工程事故案例、50起桥梁工程事故案例、55起矿山法隧道事故案例、40起盾构/TBM隧道事故案例、68起浅埋暗挖法隧道事故案例、102起明挖法安全事故案例的事故原因进行分析可以发现,造成安全事故的客观原因主要是环境和气象,特别是在地下工程建设领域,工程地质环境、水文地质环境复杂是第一主因。所有主观原因可以归为责任事故和人为因素,通过工程事故的直接主观原因,可以分析出如下几个深层次主观原因:
(1)建筑业快速发展和用工制度造成人员技术水平低。当前我国建筑业快速发展,土木工程建设持续扩张,需要大量的一线熟练操作人员和优秀施工技术与管理人员、监理人员、安全管理人员等各类人才,但在实际工程建设中,上述各类人才资源严重不足。特别是我国土木工程建设用工制度中,一线操作人员很多是以农民工为主的流动人员,缺乏技术和安全培训,安全意识普遍较低,甚至出现野蛮施工现象,进而导致安全事故发生。
(2)赶工期。在我国土木工程建设中,赶工期的问题非常突出,尤其是一些重大工程,政府、业主为了献礼或追求政绩,不尊重科学规律和相关法规,任意规定工期,或者不合理地缩短工期,造成设计方勘察资料不全,设计方案不完善,边设计边施工;造成施工方忽视安全,甚至任意删减施工方案中的安全步骤和措施,酿成重大责任事故。
(3)恶性竞争导致安全投入缺乏。从上世纪末开始,我国部分省市和地区的土木工程建设采用“最低价中标法”,这一国际上通行的评标方式在实际工程中容易走向另一极端,一些投标单位为了谋取项目中标,将投标报价压到最低极限。一旦中标,为了完成项目,而又不要亏本,安全往往就成为了第一牺牲目标,造成安全投入缺乏,安全防护措施不足。
(4)层层转包、以包代管是造成安全事故的重大诱因之一。业主方在工程招投标过程中存在违规现象,违规发包,层层转包,将工程发包给不符合相应资质条件的单位,且分包商为从中谋取利益不得不偷工减料或采用非法手段,给工程留下重大的安全隐患。另一方面,层层转包后导致安全管理上的严重缺失,形成以包代管、以罚代管的现象。
2中国土木工程建设安全风险监控的现状
2.1土木工程建设安全风险监控相关方面的理论研究工作
20世纪90年代,为解决土木工程建设领域安全事故高发问题,国内学者开始将风险管理理论引入土木工程界,开展了诸多有价值的安全风险监控方面的研究工作。丁士昭教授对我国广州地铁首期工程、上海地铁1号线等地铁建设过程中的安全风险和保险模式进行了研究。白峰青将可靠性因子分析方法应用于隧道稳定性的风险决策模型中,完成了隧道工程风险设计和风险决策。孙钧主持了“城市地下工程施工安全的智能控制预测与控制及其三维仿真模拟系统研究”。李元海和朱合华开发的“岩土工程施工监测信息系统”。许铎分析了桥梁工程施工过程中的事故环境的风险特征,给出了各类因素的施工风险水平排序。蒋晓静对工程项目风险管理与风险监控进行了研究。巩春领对大跨度斜拉桥施工期间的风险进行了风险分析和对策研究,采用定性和定量相结合的层次分析法对桥梁施工风险进行了识别和评价。2005~2006年,黄宏伟等在地下工程安全风险研究方面开展了大量的工作。在这些工作基础上,2005年中国土木工程学会召开了中国第一次全国范围的地下工程安全风险分析研讨会,推动了地下工程安全风险研究的全面开展。近年来,土木工程风险管理研究的重心逐步向全局管理和动态管理方面过渡,黄宏伟、陈龙等出版了专著,系统探讨了隧道及地下工程建设和营运的全寿命风险管理的基本理念、基本原理和特点规律,阐述了隧道及地下工程风险决策与控制的方法手段。
2.2中国政府相继制定并颁发了相应的一些法规和标准
2003年,原建设部等九部委联合印发了《关于进一步加强地铁安全管理工作的意见》,对做好地铁规划、设计、施工、运营的安全工作提出了具体要求。2007年,原建设部编发了《地铁与地下工程建设技术风险控制导则》、《地铁及地下工程建设风险管理指南》,对指导中国地铁及地下工程安全风险管理的标准化、程序化和规范化具有促进作用。2007年,原铁道部了《铁路隧道风险评估与管理暂行规定》,规范了铁路隧道风险管理与评估工作,明确铁路隧道建设须循序渐进地建立风险评估与管理体系。2008年,交通运输部将“建立桥隧工程设计和施工安全风险评估制度”纳入该年的工作计划中,为此专门组织有关设计、施工、科研单位开展风险评估管理办法、评估指南、规范等的研究和编制。2009年,交通运输部了《公路隧道建设安全风险评估指南》(试用本),并于2009年2月在山西省太古高速西山隧道、北京市六环路卧龙岗隧道开始了公路隧道风险评估的试点工作。2010年,交通运输部了《关于在初步设计阶段实行公路桥梁和隧道工程安全风险评估制度的通知》,并配套有《公路桥梁和隧道工程设计安全风险评价指南》,对安全风险应对与管理、初步设计与施工图设计阶段安全风险评估等内容均作了详细规定。2011年,交通运输部专门颁布了《公路桥梁和隧道工程施工安全风险评估指南》,明确规定了公路桥梁、隧道工程施工安全风险评估的方法和程序,建立了风险评估指标体系,列出了重大风险控制措施建议。2011年,住房和城乡建设部与国家质量监督检验检疫总局联合了《城市轨道交通地下工程建设风险管理规范》,突出了全过程风险管理理念,明确了规划阶段、可行性阶段、勘察与设计阶段、招投标与合同签订阶段、施工阶段风险等各阶段风险管理办法。为加强土木工程建设风险监控与防范,各地政府相继研究和出台了一系列有关土木工程重大危险源管理办法或安全监控技术规程,如:2005年,香港特区政府的《土木风险管理指导方针》;2006年,河南省建设厅颁布了《河南省建设工程重大危险源安全监控管理暂行办法》;2006年,湖南省建设厅颁布了《湖南省建设工程项目施工安全重大危险源识别和控制管理暂行办法》;2007年,福建省建设厅颁布了《福建省建设工程施工重大危险源辨识与监控技术规程》,并获得了原建设部备案批复。
2.3土木工程建设安全风险监控的实质性应用
在地铁及地下工程建设领域,北京、上海、南京、深圳、武汉等新建地铁项目大都进行了风险评估与监控。北京市轨道交通建设管理有限公司等单位联合开发了“北京地铁工程建设安全风险控制及信息化管理平台”,建立了一整套包含环境评估、风险分级与设计及施工风险监控预警等地铁工程风险管控关键技术和标准,已在北京11条地铁线路中应用,并在南昌等国内多个地铁建设城市得到推广。上海同是工程科技有限公司依托同济大学开发的“安程地铁工程远程监控管理系统”,基于网络传输、无线通讯、网络数据库、数据分析以及自动预测预警等技术,综合了施工、监理、监测、管理以及多媒体等多种信息,已在上海地铁工程中得到应用。2007年以来,理工大学与意大利Geodata公司合作,借鉴意大利先进的风险管理经验和风险管理信息系统,开展了南京地铁建设的安全风险管理与监控的实际工作。深圳地铁5号线在施工过程中通过全面引入远程监控管理系统,动态采集各项监测数据并进行分析处理,建立完整的超前风险评估体系,构建有效的风险预警和监控指挥系统。武汉地铁运用虚拟器、无线网络及远程监控技术等,实时采集监测数据,构建适用于武汉地铁建设环境安全监测及预警系统。在其它土木工程建设领域也有一些典型应用。在大型隧道建设,如上海沪祟长江隧道、钱塘江隧道等项目中也进行了风险分析与评估研究,并取得了实际成果。以同济大学为主进行的沪崇长江隧道的风险评估项目共提交了17个专题报告,涉及工程建设的各个方面,包括前期选线、施工风险管理、环境保护、运营事故控制以及财务分析等,可以说是国内风险分析与监控技术应用在隧道工程上的第一个大型项目。在大型公共建筑建设,如南京国际展览中心、佳木斯铁路分局篮排球馆、国家体育场“鸟巢”、奥运会羽毛球馆等项目中,采用机、电、光等相结合的监测技术手段对施工过程中的风险因素进行了监控,确保了施工安全。在大型桥梁工程建设,如武汉市二七长江大桥、苏通大桥等工程中对项目总体安全风险进行评价,并制定了相应的安全风险应对措施,最后对评价得出的重大安全风险因素制定监控措施。
3中国土木工程建设安全风险监控存在的问题
总体而言,中国土木工程建设安全风险监控的研究与应用取得初步成果,但目前国内许多单位对于风险监控在认识上仍存在许多误区,在实施中仍有许多不完善、不规范的地方。通过对收集到的安全事故案例进行分析,可以发现我国土木工程建设安全风险监控主要存在以下六个方面的问题。
3.1安全风险监控基础研究与应用缺乏系统性
目前,我国土木工程建设安全风险监控基础理论研究尚属于起步阶段,主要是通过引进、消化吸收国外和金融、保险等其他领域的安全风险理论和研究成果,处于相对分散和自发状态,缺乏统筹协调和系统整合。尽管安全风险监控是安全风险管理关键和最后目标,但有关安全风险管理研究和应用更多地偏重于风险辨识、风险分析和风险评价,而风险监控的研究相对较弱。对土木工程建设安全风险监控的基本内涵、基本理论和基本框架等尚在探索过程中,没有形成普遍共识,总体上呈现专业化程度不高、规范性不强的状态。实际应用中开发的大部分安全风险监控系统,对安全风险的预警和控制关键参数缺乏系统的科学论证,重“监”轻“控”,仅实现监测功能,而对安全风险“如何控”研究不够,尤其对安全风险控制的前置条件和参数阈值研究较少,因而还难以回答和解决安全风险监控“如何控”的核心诉求。
3.2尚未建立科学高效的安全风险监控体系
通过事故案例分析发现,发生工程事故的现场管理普遍不重视安全风险监测,监测工作处于失效状态,除盾构地下工程外,施工管理与技术人员监管不力和不善引起事故的直接原因比例均在20%以上,尤其房建工程中的比例接近40%。土木工程建设安全风险监控实践大多停留在“人工作业”状态,对安全风险控制的认识不够,而且注重“事后控制”。如:针对土木工程建设中实行了强制性工程保险,许多业主、承包人和施工方就片面认为买了保险就安全了。而事实上,购买保险只是转嫁安全风险的一种方式,无法从根本上抑制风险事故的发生,只是提供了经济损失上的补偿手段,并不是安全风险控制的技术措施。土木工程安全风险采用保险合同进行安全风险转移也并不一定是最佳选择,而应该通过科学的安全风险监控,采取合理的安全风险应对策略。又如,例行的安全检查或突发的“事故处理”往往成为工程建设安全风险控制的重心,这种被动的安全风险控制模式无法应对现代大型土木工程建设的安全风险监控要求,缺乏安全风险的事前、事中的过程监控,安全监测结果不能实时反应工程项目的安全风险态势,没有建立有效的安全风险预警、报警机制。
3.3安全风险监控信息化能力建设不足
没有建立统一、规范和权威的土木工程重大危险源数据库及安全风险监控信息系统。对重大安全风险缺乏有效的信息化监控技术与手段,安全风险的度量、监控标准、预警参数等风险监控的关键指标尚待科学论证和优化完善,有关土木工程领域重大危险源的申报、登记、评价、分级等基本上处于分散和自发状态,有关数据标准、接口不一,而且采用传统的“金字塔式”信息传递、交换模式,层次多、效率低。可以说,针对土木工程重大安全风险尚未建立系统有效的信息化监控技术与手段,信息化监控能力建设有待加强。针对具体工程项目开发的诸多安全风险监控应用系统,大多侧重对监控数据本身的存储、分析和对比,没有建立基于现代信息化技术的全过程、实时的安全风险动态识别、分析、评估、预警、监控、反馈一体化的安全风险监控体系。
3.4安全风险监控相关的法规、技术规范与标准滞后
国家和地方制订、颁发的施工规范、标准是开展土木工程安全风险识别、评估和监控的基本依据。虽然,国内已经了一些指导性文件,但是目前国家对土木工程建设安全风险监控还没有合适的操作性较强的、具有一定强制意义的法规体系,因而安全风险监控在项目建设中的地位没有明确。同时,目前相关的技术控制规范不够全面、具体,一些规范落后于时展,对实际工程建设已经失去或部分失去指导意义。例如:按照现有规范要求地下工程施工地面沉降控制标准不大于30mm,实践中,某些风险等级高的工程,该取值偏松,但对有些工程来说,该取值偏严。因此,针对土木工程的不同工法,编制相应的技术规范,应研制适应不同地区工程地质、水文地质和环境条件的风险阈值数据库系统。又如,各省市近年来颁发实施的“建设工程重大危险源管理办法”比较笼统,原则性强,缺乏可操作性,实际推行过程中往往流于形式,效果有限。福建省2007年颁发全国首个《建设工程施工重大危险源辨识与监控技术规程》地方性技术规范,仍处在执行的探索阶段,并未形成最佳做法。
3.5安全风险监控责任主体过于集中在施工企业
虽然《中华人民共和国安全生产法》、《中华人民共和国建筑法》、《建设工程安全生产管理条例》、《建筑施工企业安全生产许可证管理规定》、《生产安全事故报告和调查处理条例》等对有关土木工程项目的各级安全生产职责做出了原则规定,但在实际执行过程中,施工单位几乎承担了全部的安全责任。常常出现“把规划风险压成勘察风险—把勘察风险压成设计风险—把设计风险转嫁为施工风险”的现象,最终造成建设工程安全事故集中在施工阶段爆发,并主要由施工企业承担的局面。实际上,任何土木工程项目的不同建设阶段,政府主管部门、建设单位、勘察单位、设计单位、施工单位、监理单位等都应负有各自的安全风险监控责任,施工方作为工程安全唯一责任主体无法根本避免事故的发生。因此,在土木工程建设过程中必须在理论和实践中重构风险安全监控责任体系,进一步科学区分安全风险监控的责任主体,增加各方对安全问题的重视程度。
3.6安全风险监控队伍不规范,专业水平参差不齐
安全风险监控作为安全风险管理的重要手段,是预防安全事故的重要屏障。在工程建设中加强安全风险监测,进行必要的安全风险评估咨询工作是规避工程风险的重要手段。如果在工程建设中加强工程监测及安全风险评估咨询工作,可以最大程度的保证施工安全。但目前,国内对于监测单位资质、监测人员技术素质没有相应的管理和评价体系,使得监测队伍不够规范;土木工程建设项目开发速度、规模日益加大,专业规范的监测队伍紧缺,使得国内工程监测市场鱼龙混杂。当前国内很多地方对实行“第三方监测”进行了探索和实践,实践表明,实施“第三方监测”是保证施工安全和工程质量十分重要的举措,有效地避免了施工过程中可能发生的事故。对收集到的房建工程、桥梁工程、地下工程事故案例的原因分析发现,几乎所有发生安全事故的工程都没有实行“第三方监测”制度。但目前针对“第三方监测”既没有国家性的法规进行明确规范和管理,也无监测内容、责任主体、监测指标和数据标准要求,作为安全监控重要举措的“第三方监测”,实际上处于无序工作状态。
4中国土木工程建设安全风险监控对策
4.1系统开展土木工程建设安全风险监控基础理论研究,建立健全相关法律法规和技术规范
当前迫切需要在安全风险辨识、安全风险分析和安全风险评价相关研究基础上,开展土木工程建设安全风险监控的基本理论、基本内涵、基本框架和指标体系研究,在安全风险监控基础理论方面形成共识,解决安全风险“如何控”的理论与技术问题。土木工程建设安全风险监控需要政府部门以及行业强有力的法规作指导和规范。国内在这方面的法规还很不健全,亟待加强。应梳理完善现有的《中华人民共和国建筑法》、《中华人民共和国安全生产法》、《建设工程安全生产管理条例》等法律法规关于安全风险监控等方面的条款内容,在法律法规方面重视和完善安全风险监控,明确项目参建各方安全风险监控责任。同时,针对土木工程建设不同类型、不同工法,编制相应的安全风险监控技术规范,研制适应不同地区工程地质、水文地质和环境条件的风险阈值数据库系统。
4.2转变土木工程建设安全风险监控理念,构建安全风险监控工作体系
从国内外土木工程安全风险监控的理论与实践分析来看,土木工程建设安全风险均显示出可控性的特点,即绝大部分工程事故是可以通过技术和管理手段来避免的。同时,业内已普遍认识到,必须转变安全风险监控理念,创新发展安全风险监控工作体系。在安全风险监控理念方面,应变被动控制为主动控制,事后控制为预防控制和过程控制。在安全风险监控工作体系方面,应构建包含安全风险监控法、安全风险动态管理机制、安全风险持续改进机制、安全风险系统评价机制等方面的土木工程建设安全风险监控工作体系。各级安监、质检等部门应对本地区土木工程建设安全生产的运行状况包括安全风险监控工作体系推行等情况进行持续评价与督查。
4.3构建科学高效的土木工程安全风险监控信息系统,提高安全风险监控信息化能力
随着现代信息技术、计算机技术、通信和网络传感技术等的进步,开发建立基于WEB、GPS和GIS等的安全风险监控信息系统已成为提高土木工程安全风险监控能力与水平的基本方向。安全风险监控信息系统对土木工程重大安全风险源应具有自动识别、分析评估、动态监控(自动巡检和实时监控)、反馈闭合、空间分布管理等主要功能,自动分析事故临界状态转化的各种参数的变化趋势,及时发现事故征兆,发出预警信息或应急控制指令,实现土木工程安全风险监控的信息化跨越。
4.4推行土木工程建设安全风险监控制度,规范安全风险监控专业队伍管理和评价体系
应大力推行土木工程建设安全风险“第三方监控”制度,赋予“第三方监控”相应的责权主体,改变目前工程监测“走过场”局面,切实有效避免施工过程中可能发生的事故。推行与“注册结构工程师”、“注册岩土工程师”、“注册建造工程师”、“注册安全工程师”等类似的“注册风险监控师”执业资格考试制度,培养安全风险监控专业人才。推行安全风险监控诚信制度,对于篡改监测数据等行为实行一票否决,切实提高监测数据的准确性。建立包含“注册风险监控师”数量、安全风险监控设备与软件、监控业绩与用户评价等指标体系在内的监控单位资质考评制度和管理制度,提高安全风险监控专业队伍水平。
5结语
[关键词] 电子政务 信息安全 等级保护 风险评估
1 概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
2 电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
3 电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。
3.1 加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。
3.2 构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
3.2.1法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
3.2.2电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。
3.2.3等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
4 完善安全服务是维护电子政务安全实施的有力保障
4.1 安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。
4.2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。
参考文献:
[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
关键词:隧道 不良地质 平导 竖井 岩溶富水 高瓦斯 优化
1概况
南充~大竹~梁平(川渝界)高速公路(以下简称南大梁高速公路)起于南充市高坪区谭家沟,接南充至广安高速公路,经蓬安县、营山县、达州渠县,止于大竹县石桥铺镇川渝界,与重庆规划的梁平至忠县高速公路相接,全长142.226km,是四川高速公路路网规划的重要出川通道成都至万源至陕西及成都至大竹至湖北、上海高速公路的组成部分,设计时速80km,道路等级为双向四车道高速公路。
图1 项目线位
全长8168m的华蓥山隧道为南大梁高速公路最长隧道,其正穿北北东向的华蓥山山脉,距两端洞口各1km范围为非可溶岩,中部为可溶岩,从洞口至洞身依次穿越侏罗系中下统自流井组(J1-2z)、珍珠冲组(J1z)泥岩、页岩夹砂岩;三叠系上统须家河组(T3xj)砂岩、泥岩夹煤层;三叠系中、下统雷口坡组(T2l)和嘉陵江组(T1j)灰岩、白云岩等地层(见图2),该隧的修建使从渠县至大竹的行车时间由1.5小时缩短为15分钟。
图2 隧道地质剖面示意图
华蓥山隧道含10余种不良地质,主要有煤层、采空区、岩溶断层破碎带、岩溶洞穴、岩溶涌突水(泥)、硬石膏、盐溶角砾岩、软弱围岩、瓦斯、H2S等,瓦斯等级为高瓦斯。隧道穿越的煤系地层和采空区长度分别为1929m和157m,岩溶段长度为6082m,断层破碎带和盐溶角砾岩长度分别为105m和350m,稳定涌水量为19万方/天,开挖初期最大总涌水量为59万方/天。调查资料表明华蓥山隧道地下水由南向北流,即由隧道右侧流向左侧,受隧道两端接线高程限制,隧道只能处于地下水水平循环带内。
总体而言,隧道具有施工工期短、施工组织复杂、施工安全风险高、营运通风复杂、防灾救援困难等特点。
2辅助坑道比选
根据国内施工设备、施工技术水平及隧道特点,若只靠隧道进、出口两个工区施工,则华蓥山隧道施工期约为6.5年。而南大梁高速公路控制工期为4年。因此,仅凭进、出口两个工区施工无法满足4年工期要求,必须开辟新的工区,采取长隧短打方式来缩短隧道施工期,而要实现长隧短打就必须增设辅助坑道。结合隧道地形、地貌和地质,可供选择的辅助坑道主要有平导、斜井和竖井等。
考虑到隧道洞身大部分位于地下水发育的三叠系中下统雷口坡组(T2l)和嘉陵江组(T1j)可溶岩地层,采用斜、竖井辅助施工可能会因新增工区排水困难而导致施工进度缓慢,也有可能发生大量涌突水(泥)而淹没施工区,甚至导致斜竖井施工区报废,施工安全和投资风险高,因此不能采用斜、竖井辅助施工方案。
排除斜、竖井辅助施工方案后,只能利用平导辅助施工,但对其设置位置、净空断面大小、支护方式、施工运输量大小和方式、能否作为隧道营运通风、防灾救援和排水通道等方案必须加以论证。
2011年5月笔者根据《公路隧道通风照明设计规范》(JTJ026.1-1999)进行通风计算,计算结果表明隧道必须采用分两段送排式通风,而送排式通风风道既可考虑平导,也可新建通风竖井予以解决。为此,笔者根据平导功能不同拟定三个比选方案,比选结果见表1。
表1 辅助坑道不同功能方案比较
方案名称 方案一 方案二 方案三
不贯通平导+竖井分两段送排式通风 贯通平导兼作防灾救援通道+竖井分两段送排式通风 平导贯通兼做通风、防灾救援通道
压入式通风 两段送排通风 四段送排通风
方案简述 平导仅作辅助施工和排水,此时需增设两座通风竖井。 平导除辅助施工和排水外,还兼做防灾救援通道使用,此时需增设两座通风竖井。 平导除辅助施工和排水外,还兼做通风和防灾救援通道使用,此时不需设通风竖井。
平导支护面积 平导作为临时设施,以喷锚支护为主,净空面积24.85m2。 平导作为永久设施,采用复合式衬砌,净空面积24.85m2。 平导作为永久设施,采用复合式衬砌,净空面积65.78m2。
火灾通风 三段排烟通风 根据火灾位置采用压入或吸出式通风
防灾救援 左右隧道互为防灾救援通道,平导不做为防灾救援通道使用,车辆人员只能撤离到非事故隧道内。防灾救援通风必须利用竖井进行。 左右隧道和平导同时作为防灾救援通道,车辆和人员撤离到非事故隧道或平导内均可,防灾救援通风必须利用竖井进行。 左右隧道和平导同时作为防灾救援通道,车辆和人员先撤离到兼做风道的平导内,防灾救援通风不需要竖井。
建安费 1.722亿(含通风竖井) 2.639亿(含通风竖井) 6.20亿 6.11亿 6.17亿
优缺点 优点:
1、满足平导缩短隧道施工工期要求;
2、平导充分起到了施工超前地质预报和施工营运期间截排水功能;
3、隧道营运通风方案技术简单,风道最短,通风能耗最少,风机功率最小,火灾排烟时效性好;
4、建安费最省。
缺点:
1、平导未起到防灾救援通道作用。 优点:
1、满足平导缩短隧道施工工期要求;
2、平导充分起到了施工超前地质预报和施工运营期间排水功能;
3、隧道营运通风方案技术简单,风道最短,通风能耗最少,风机功率最小,火灾排烟时效性好;
4、平导兼做防灾救援通道,降低了火灾事故情况下人员撤离的安全风险。
缺点:
1、平导位于两隧道之间,不能充分截断隧道主要地下水来源(右洞右侧),截排水能力较低。
2、建安费较方案一多0.917亿元。 优点:
1、节省了地下风机房、通风竖井和联络风道等通风土建工程费用;
2、平导兼做防灾救援通道,降低了火灾事故条件下人员安全风险。
缺点:
1、不满足平导缩短施工工期、超前地质预报要求;
2、建安费最大,较方案一多4.4亿元;
3、因营运通风需要,平导内需设置通风隔墙,人为切断了左右隧道间联系,人员和车辆需先撤离到平导内后再通过平导撤出洞外,平导净空有限,人员车辆撤离和救援效率较低;
4、平导位于两隧道之间,不能充分截断隧道主要地下水来源(右洞右侧),截排水能力较低;
5、隧道营运通风方案技术复杂,影响因素众多,特别是分两段和分四段营运通风控制复杂,风道长,通风能耗大,风机功率大,火灾发生时烟流在隧道内流过的距离长。
比选结果表明:方案一建安费最省,既满足缩短隧道施工工期、超前地质预报和排水要求,又满足营运通风和防灾救援要求,且相对简单,便于管理,因此设计选择方案一,即平导仅作辅助施工和排水方案,营运通风通过单独设置竖井予以解决。
3平导设计
平导位置主要考虑三个方案,方案A是平导设在华蓥山隧道右洞测设线右侧45m处,即地下水来源方向,平导终点坑底高程较隧道路面低2.2m左右;方案B是平导设在隧道左、右洞中间,坑底高程较隧道路面低8m以上;方案C是平导仍设在隧道左右中洞之间,但坑底高程较隧道路面低1m左右。三方案相比较,方案A的优点是平导充分截排了来自右侧(南侧)的地下水,使隧道位置地下水大为减少,有助于隧道施工,营运期间隧道地下水也较少,降低因岩溶水及季节性降水不均衡性可能造成淹没隧道和破坏隧道结构的风险,使隧道发生渗漏水的可能性较小。对于隧道右洞而言,方案B、C截排地下水作用不大,且方案B的坑底较隧道路面低很多,不利于平导辅助隧道施工,方案C的平导和连接隧道左、右洞之间的车行、人行横通道相互贯通,导致通道太多,不利于隧道发生灾害事故时左、右洞之间互为疏散救援和火灾条件下的通风管理。因此设计选用了方案A,即平导设在华蓥山隧道右洞测设线右侧45m处,综合考虑工期及竖井地下水疏排等因素,确定在隧道进、出口端分别设置3150.5m和2612m平导。
平导断面大小由施工运输方式及运输量大小决定。其除承担隧道左、右洞两个工作面施工外,同时还要承担自身工作面施工,因此出碴进料量大,加之隧道为高瓦斯工区,应选用安全防爆型、污染小、装碴能力强、出碴运行平稳、安全高效的运输设备,且平导断面应满足双向行车,在此条件下,设计选用SS(D)B16梭矿作为平导有轨运输设备,结合通风、排水管路及人行安全等因素综合拟定平导内轮廓为5.41m×6.36m(宽×高、有仰拱)和5.02m×6.03m(宽×高、无仰拱)。
4竖井设计
(1)原施工图设计
综合考虑施工便道、地表场坪、运营维护、工程投资、风险管控等因素,本着解决营运通风、防灾救援的目的,分别于华蓥山隧道左洞左侧和右洞右侧设置一座竖井。其中左洞竖井距隧道进口4481m,与左洞设计线距离为87.25m,内径7.5m,井深461m;右洞竖井距隧道进口3181m,与右洞设计线距离为87.25m,内径8m,井深393m。左、右洞竖井分别通过联络风道与地下风机房连接。
目前常用的竖井施工方法有正井法和反井法。正井法是从井口开始全断面开挖,采用罐笼提升运输洞碴及材料。这种方法国内采用最多,但效率相对较低,也存在一些安全隐患,诸如在施工过程中可能出现岩溶涌突水(泥)而造成淹井乃至人员伤亡事故。反井法优点是施工费用较低,山上施工场地以及机械设备相对较少,不需要在山上弃碴,有利于环境保护,缺点是一方面需要进口扩孔设备,另一面是只有在主洞施工至竖井时方能开始竖井施工。
本隧竖井均位于沟谷深切、山高坡陡的华蓥山上,大规模修建施工便道较困难,再者本隧不需利用竖井加快主洞施工进度,因此竖井具备反井法施工最基本的条件。加之本隧竖井施工还存在岩溶涌突水(泥)风险,因此本隧竖井要求采用反井法施工。
(2)优化设计
交通运输部分别于2014年5月29日和2014年7月14日新颁布了《公路隧道设计规范第二册交通工程与附属设施》(JTGD70/2-2014)和《公路隧道通风设计细则》(JTG/TD70/2-02-2014)。考虑到新规范和细则在CO设计浓度卫生标准、机动车有害气体基准排放量、隧道最小通风换气次数和换气风速、隧道机械防烟与排烟标准等方面均较老规范作了较大的调整,同时考虑到华蓥山隧道的竖井和地下风机房均尚未施工,因此有必要对华蓥山隧道运营通风进行优化设计。
结合换气通风论证分析,按公路隧道通风新规范和细则参数进行通风计算后的结论表明:取消华蓥山隧道左洞竖井、改竖井分两段送排式通风为全射流通风是可行的,隧道右洞近期和中期也可采用全射流通风,远期采用竖井分两段送排式通风。优化后的运营通风系统取消了原设计的左洞竖井(深464m)和地下风机房、4台轴流风机及其相应控制设备;优化后的竖井距隧道进口3209m,设置于右洞设计线左侧145m处,内径7m,井深341m。优化后的竖井方案较原施工图节约土建工程费用约3200万元,节约机电设备费约240万元。
5值得思考的问题
华蓥山隧道于2011年3月开始动工,但直至2011年12月中旬,由于洞口征地拆迁困难等原因,致使隧道主洞在施工200多米后而平导尚未施工,因此建设方及施工组织评审专家就当时的现状认为再施工平导对展开施工作业面、缩短工期等作用不大,并提请行政主管部门取消了平导。
截至目前,华蓥山隧道进口在施工过程中已不同程度地发生了8次涌水,其中有两段为隧道后方底板冒水,最大冒水量多达9.4万方/天,这给隧道施工带来了极大的困难和风险,堵水工作也极大地占据了宝贵的施工时间,施工进度尤其缓慢,断层破碎带及其影响带平均月进尺约30m。截至目前,施工方对隧道底板冒水的治理已经投入大量的人力及物力,但处治效果依然不理想。由此看来,华蓥山隧道(尤其是进口)设置平导是很有必要的,其至少可以起到以下作用。
(1)加快施工进度,缩短工期。
(2)解决施工期间和运营期间排水,降低因岩溶水及季节性降水不均衡性可能造成淹没隧道和破坏隧道结构的风险。
(3)本隧通过岩溶水平循环带,岩溶管道水发育,施工中揭穿岩溶管道水的可能性极大。施工中若遇岩溶管道水,平导可对其进行开放式处理,即通过平导排水使隧道侧岩溶水处于泄压状态,平导对隧道岩溶水发挥着释能降压的作用。
(4)尽管平导的实施增加了遇到岩溶的次数和风险,但平导可以提前探明隧道前方岩溶管道水及管道充填情况,对隧道相应不良地质处理更具有指导性和针对性,降低了隧道大断面处理岩溶施工安全风险及难度。即使平导在施工过程中遇到岩溶管道水或管道充填物,但因其断面小也比较容易处理。
(5)平导采取的超前地质预报措施可以充分预测其掌子面前方瓦斯、H2S等有毒有害气体赋存情况,使隧道瓦斯、H2S等有毒有害气体处治更有的放矢。平导在施工中即使遇到瓦斯和H2S等有毒有害气体,但因其单位时间内溢出的瓦斯、H2S较少(断面小的缘故)和断面风速较大,瓦斯和H2S不易聚集,更易将平导范围内的有毒有害气体降至安全浓度以下,施工中平导可以在不增加瓦斯和H2S等风险的条件下通过煤层瓦斯段。
6结语
(1)华蓥山隧道目前为四川省在建的最复杂高风险隧道,其风险等级为Ⅳ级和Ⅲ级,笔者通过梳理本隧的难点及对不同辅助坑道方案进行抽丝剥茧的比选分析,提出了平导与竖井组合的辅助坑道解决方案。就设计而言,其对缩短隧道施工工期、降低安全风险、满足营运通风及防灾救援等具有积极作用。
(2)本隧施工实践证明,平导对降低岩溶富水高瓦斯隧道施工、运营风险和加快施工进度均具有举足轻重的作用。因此,在以后类似隧道的设计和施工中,对平导的取舍问题应持谨慎态度。
(3)本隧切实结合新规范、细则对通风竖井进行了优化,节约投资约3440万元,达到了既满足运营通风和防灾救援通风,又减小工程规模、降低工程风险和节约工程投资的效果。
(4)值得一提的是,华蓥山隧道在设计别强调“以超前地质预报为基础和核心”、“针对具体不良地质制定针对性处理措施”、“建立施工过程中环境监控和应急报警系统”、“制定施工阶段专项应急预案”、“建立施工阶段风险评估与管理制度”和“重视隧道运营安全、可靠性”等一系列设计思路,要求施工中充分贯彻“动态设计、动态施工、动态管理”理念,同时要求将超前地质预报、信息化设计施工、风险管理、环境监控等手段落到实处并贯穿于隧道施工全过程。至此,截至目前,华蓥山隧道施工未发生一起安全事故,这在一定程度上佐证了设计指导思想的正确性。因此本隧设计理念对类似高风险隧道具有一定指导意义。
参考文献
[1] 铁建设【2008】105号,《铁路隧道超前地质预报技术指南》[ S].
[2] DB42/T561-2009,《湖北省公路隧道地质超前预报规程》[ S].
[3]TB10120-2002,《铁路瓦斯隧道技术规范》[ S].
[4]JTJ026.1-1999,《公路隧道通风照明设计规范》[s]
[5]JTGD70/2-2014,《公路隧道设计规范第二册交通工程与附属设施》[s]
[6] JTG/TD70/2-02-2014,《公路隧道通风设计细则》[s]
[7]《国家突发公共事件总体应急预案》[ S].
[8]《四川省安全生产事故灾难应急预案》[ S].
关键词:高校 安全风险 安全教育 安全管理体系
虽然目前高校安全得到了高度重视并采取了诸多有效措施,但在学生安全管理方面仍存在不少的漏洞,安全事件仍时有发生,一些安全管理问题需要长期关注和不懈努力,完全杜绝安全事件发生不太现实,我们要做的就是做好风险管理和控制,减少不安全事件发生,把风险降低到最低的程度。
一、高校学生面临的安全风险
1.由心理问题引发的安全问题
进入大学后,全新的生活、学习、人际关系环境带来的适应问题,之后又面临经济的、学习的甚至预期的就业等种种压力,这样一部分同学因为心理承受能力差,就产生了心理问题甚至精神障碍,如果自身不能很好调适,又得不到学校、老师等外部关怀,就有可能发展成精神疾病,甚至发生自杀或攻击他人的安全事件。
2.网络引发的安全问题
当前大学生的生活日益网络化、数字化,网络对高校学生安全的影响日益加剧,一方面互联网的开放性、隐蔽性、虚拟性使大量不良的黄色、暴力等信息充斥集中,部分大学生沉溺网络,严重伤害部分大学生的身心健康,甚至走上自残或者犯罪道路,另一方面许多不法分子利用网络开展各种犯罪活动,如网络诈骗、盗窃等造成大学生财产损失和人身伤害。
3.消防安全问题
由于高校规模扩大,高校学生和设施密度不断增大,特别是部分高校老旧建筑物多,电气线路老化,消防和防火设施也不完善。再加上高校消防制度宣传贯不力,管理不到位,师生消防意识不强,部分学生宿舍内违规用电,私拉乱接电源,乱丢烟头等导致近年来我国高校火灾事故频发,更有2008年11月14日上海商学院学生宿舍火灾4名女生被迫跳楼身亡的惨剧。校园里学生公寓和礼堂、会场、食堂、超市等人群聚集的公共场所的消防安全应该引起高度重视。
4.食品安全
随着高校后勤社会化发展,高校食堂由社会力量承包,社会餐饮企业追求利润最大化,食品品质、安全和卫生状况有所下降,高校食堂食物中毒事故发生率不断上升[1](高校食堂卫生安全隐患及其消除)。另外当前高校周边有许多大排档、小饭馆、街边烧烤、小食摊点,这些摊点、饭馆规模较小,经营不正规,甚至没有正规执照,没有为了降低成本,以劣充优,卫生条件差,食品安全隐患重重。
5.交通安全
随着我国高等教育的发展和扩招,高校校园面积一般都比较大,校内各种车辆均有通行,许多高校门口就是主干道,车流量大,特别是一些郊区的高校,周围交通状况更为复杂,学生为采购物品、休闲或其它消费,常常出入校门时要穿越交通要道,若安全意识不强或管理设施不到位,也常常酿成严重交通事故甚至人员伤亡。
6.治安安全
校园治安问题可区分为校园内治安问题和校园周边治安问题。大学生由于不同的生活习惯、道德水准、性格差异等,常发生矛盾引起冲突甚至打架斗殴。还有个别学生素质不高,物品失窃现象也会时有发生。另外校外人员入内盗窃、行凶抢劫以及诈骗等刑事案件亦时有发生。现在的大学校园,尤其是新校区,大都是城乡结合部,治安状况比较复杂。同时校园周边还形成了不少私营网吧、小饭店、个体的出租房等,这些地方往往也是与学生相关的安全事件常发生的地方。
7、政治安全
大学生是未来国家建设的主力军,也就成为西方敌对势力得主要拉拢腐蚀的对象[2]。西方思潮、价值观和宗教的渗透使得部分大学生思想上动摇、价值观扭曲,甚至成为敌对势力的帮手,开展非法集会、间谍等破坏活动,影响校园和社会稳定。
8、因学校自身管理因素可能引发的安全问题
现在的大学生多数自我意识较强,也有不够成熟的地方,理解和处理问题易片面冲动。学校在实施管理和服务的诸多方面都可能产生或引发安全问题,如公寓管理、水电供应安全、食品安全、餐饮供应的质量和价格等,各类管理制度和管理措施的执行等,这些都可能引发校方与学生之间的纠纷、摩擦,如处理不当,亦可能产生安全问题,甚至酿成影响稳定的重大事件。
二、高校学生安全管理体系建设
近年来高校学生安全事故频发,不少学生的人身和财产受到伤害,造成这种局面的原因不少,高校没有足够的防范措施是其中极为重要的原因,从而暴漏当前高校学生安全管理体制的问题,高校缺乏一个有效的对学生安全风险预警和防控、指挥与协调的平台-安全风险管理体系[3]。如何建立高校学生安全管理体系,本文提出以下几个方面的建议。
1.梳理现有安全管理制度,建立完善的安全管理制度体系
“凡事预则立,不预则废”,要想建立起切实有效的高校安全管理体系,必须制定好高校学生安全管理制度体系[3]。应在对当前学生所面临的安全风险进行充分认识的基础上,认真梳理高校现有的各项规章制度,制定完善、便于执行的安全制度体系,包括建立健全学校校园安全保卫制度、宿舍管理制度、食堂管理制度、值班制度、消防制度、请销假制度、师生定期健康体检制度和情况报告制度等安全、卫生制度,制定和完善突发安全事件应急预案,建立责任追究制度,使学校安全工作有章可循,使安全安全首先有制度保证。
2.明确划分安全责任
高校内部的每个部门、岗位都要有安全责任并承担相应的义务,编织严密的安全责任网络,层层落实安全责任制,签订《学生安全工作责任书》,包括与学生安全没有直接关系的部门和人员,设立科学的安全评估和奖惩机制,并加大、宣传和考核力度,约束不安全行为和防止不安全因素的发生,营造全员安全观念,以确保安全措施的有效落实。
3.加强安全基本建设,提供可靠硬件保障
一要加大安全投入,要按照国家和教育部对高校校园安全事故防范的要求和相关文件规定,加快改善校园学习环境和生活环境,加大校园监控探头、监控摄像机等各项校园安全设施的建设,确保校园安全设施的建设符合高校校园安全防范规定;二要加强安全保卫部门的机构建设、职责完善、人员与设备的配备,积极协调当地公安部门和其他监管部门加强校园周边环境的治理力度,创造良好的周边环境,确保人防、物防、技防的顺利建设,从而从硬件上保证学校的安全。
4.构建安全文化体系
高校要充分发挥各种媒介的力量,做到宣传舆论到位,通过文化的渗透和制度的制定、执行以及考核,加强师生对学生安全管理工作的了解和认知。同时高校保卫部门要经常对师生进行安全管理业务上的指导,引导师生参与到安全管理工作中来,充分发挥他们的主体作用。把具有文化专长的教师发动起来,参加到校园安全文化建设中来,如担任社团指导,开设讲座等,不断提高师生的业务素质和组织能力,提高安全意识与防范技能,调动大家重视安全的积极性,让“安全”观念深入人心,并贯彻到教学、科研和学习生活中,创建安全的校园环境。
5.强化学生安全教育,培养学生安全素质。
从当前高校的实际情况来看,做好安全教育工作应重点抓好以下方面:一要建立一支高效的安全教育工作队伍,包括安保队伍、辅导员等学生管理队伍、心理咨询和辅导教师队伍、专业教师队伍和学生骨干队伍,使他们懂安全、熟知识、掌技能;二要完善安全教育内容,建立以安全知识与防范技能为核心的内容体系,包括法律法规和校规校纪教育、安全知识教育和心理健康教育,使广大师生知法、懂法、守法、用法,了解和掌握诸如起居安全、用电安全、交通安全、社交安全、突发事件应急反应以及避灾、逃生等最基本的安全文化知识和自我保护技能;引导大学生学会心理调适,提高心理调适能力,预防因心理问题引发安全事件。三要综合运用各种安全教育的手段,包括日常教育、文化活动、舆论宣传、讲座等,特别是将安全教育纳入正规的教学中,编制安全教育教材,利用已有的教学体系,强化安全教育等。还要做好学生的各种安全事故应急演练,突出重点,提高学生的防范意识和防范队伍;四要积极分析和研究新形势下学生工作遇到的新情况和新问题,不断探索切实可行的安全教育方法和途径,真正使安全教育成为学校育人工作的重要环节,
6.建立校园维稳机制,维护校园政治稳定
一要通过高校辅导员、党员等学生骨干及时掌握学生的思想动态,特别是境外敌对势力、民族分裂势力以及“”等活动的活动,加强对学生的思想政治教育;二要特别注意学生的网络上的动向,防止学生相信或者通过网络传谣、进行敌对活动等网络政治安全事件的发生;三要搭建维稳平台,制定维稳工作预案,确保“”敏感期等的校园政治稳定和学校无群体闹事事件。
7.加强学生安全风险管理机制建设,制定科学应急响应预案
7.1完善安全信息管理机制,及时识别危险源
7.1.1学生报到后应立即通过查阅学生档案、学生家庭情况调查表、新生心理普查、入校体检等手段对全体新生进行摸底排查,初步确定家庭困难、家庭变故(单亲家庭、再婚家庭等),少数民族、心理可能存在缺陷、身体缺陷或者患有疾病的学生名单,初步建立起特殊学生信息档案[4]。之后,通过辅导员、任课教师、学生骨干的观察、了解,对特殊学生名单和信息档案进行补充,争取建立比较完善的特殊学生信息档案暨学生风险档案,为后续工作的开展做好铺垫。
7.1.2建立学生安全形势报告制度
建立学生安全信息基层日报、二级学院周报的制度,学校的安全保卫或者学生工作部门设立专门的会议和机构,负责收集整理各类影响学生安全的信息,以便于后续的分析和解决。
7.1.3建立师生员工思想动态调查和汇报机制
学校各级组织围绕学校广大师生员工普遍关注的热点、难点问题,通过集中座谈、个别走访、调查问卷、意见信箱或电子邮件等各种形式定期进行思想动态分析,主要包括思想倾向和影响师生员工稳定的各种倾向性、苗头性问题,在调查研究基础上,做好总结归纳、形成书面分析报告,逐层报告,及时发现影响学生安全的问题。
7.1.4在经过安全管理基础知识培训之后,专职教师、辅导员、行政人员和学生骨干,根据各自所处的生活、学习、工作环境中不安全因素等,按照危害类别填写危险源清单上报安全管理职能部门。职能部门也可以组织专家、教师和学生骨干依据设计好的安全检查表定期对校园区域和部门进行逐一检查,辨识出可能危害学生安全的各类问题,形成安全检查表。
7.2建立学生安全形势分析研讨机制
由高校学校领导牵头,学生安全保卫部门和学生工作部门负责组织,建立包括学校领导,安全保卫部门、学生工作部门、院系学生工作领导、专家、教师、心里辅导老师、辅导员和学生骨干组成的学生安全形势分析小组,定期召开学生安全形势分析会,分析从各方面汇总的学生安全信息,找出危害学生安全的隐患和危险源,评估其危害,商讨解决办法,提出解决方案建议,包括制度的改进与完善、新的措施的提出、安全警示的等等。定期召开安全形势研讨会,分析研究学生面临的新的安全形势,提出解决措施。
7.3风险控制机制
7.3.1学生管理部门、安全保卫部门将学生安全形势分析会、学生安全形势研讨会等学生安全风险评估的结果及时、准确地反馈给学校领导和院系及基层学生安全管理工作者,保证改正和控制措施得以及时有效的实施,并跟踪措施的实施及问题的解决效果。
7.3.2根据不同时期学生面临的安全形势安全警示,包括夏季游泳安全警示、假期出游安全警示、政治敏感时期的维稳警示等等。
7.3.3根据学生安全形势分析会、学生安全形势研讨会等学生安全形势评估结果,对现有的学生管理工作机构和人员配备、学生安全制度体系、学生安全管理工作流程和方案等进行修正,并跟踪新制度、新方案、新方法的实施结果,发现问题及时再予以纠正。
7.3.4制定科学的应急响应预案,做好应急演练
高校应在全面评价学生面临的潜在的安全事故风险和应急响应需求的基础上,依据国家相关法律、法规和行业规范的要求,科学制定安全事故和突发事件应急预案,预案要简明实用,便于操作,针对性强,切忌空话连篇、言之无物。同时要定期进行应急演练,测试预案的效果,不断修正,并让广大师生熟悉应急预案的内容和操作流程,最大程度减少安全事故和突发事件的危害。
加强高校学生的安全教育,不断增强大学生的安全意识和自我保护防范能力,已成为全社会的共识,有着迫切的必要性。建立完善的高校学生安全管理体系将帮助高校有效地预防、规避和控制学生安全风险,对高校的学生安全管理工作有非常重要的现实意义。
参考文献
[1]关德军.高校食堂卫生安全隐患及其消除[J].安庆师范学院学报(社会科学版),2007(1)70-71.
[2]孔德瑞. 当代大学生信仰体系教育研究[D]. 兰州理工大学, 2011.
关键词:气象网络 安全 计算机技术 病毒
一、气象网络的概念及其结构形式
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,玩忽职守,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
[论文摘要]近几年来,随着气象信息对人们生产、生活作用的不断加大,它的安全也备受关注。从气象网络的概念、安全的必要性出发,逐一探讨了气象网络安全存在的问题,以及相关的解决措施。
一、气象网络的概念及其结构形式
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。超级秘书网
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
1.1国家卫生部文件
文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求,工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。
1.2浙江省卫生厅文件
为加强医疗卫生行业信息安全管理,提高信息安全意识,以信息安全等级保护标准促进全行业的信息安全工作,提高全省卫生系统信息安全保护与信息安全技术水平,强化信息安全的重要性。2011年6月7日,浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》(浙卫发〔2011〕131号),并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作,浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度,并明确了医疗卫生单位重要信息系统的划分和定级,具有很强的指导性和操作性。
2医院信息安全等级保护
依据上述行业文件要求,全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责,按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。
2.1系统定级
2.1.1确定对象
我省医院信息化发展较早,各类系统比较完善,但数量繁多。将出现多达几十甚至上百个定级对象的状况,这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背,不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则(GB17859-1999)》等标准,结合我省医院信息化现状及发展需要,经卫生信息化专家和信息安全专家多次论证,本着突出重点、按类归并、相对独立、节约费用的原则,从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑,把医院信息系统划分为以下几类,如表1所示。
2.1.2等级评定
医院重要信息系统的信息安全和系统服务应用被破坏时,产生的危害主要涉及公民的个人隐私、就医权利及合法权益,对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3],即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高,结合业务服务及系统应用范畴,实行保护重点、以点带面原则,参考定级如表2所示。
2.2系统定级备案
省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案;各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。
2.3等级保护测评
医院重要信息系统完成定级备案后,应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》(浙等保〔2010〕9号)选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构,启动等级测评工作,结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息,详细了解信息安全保护现状,分析所收集的资料和数据,查找发现医院重要信息系统漏洞和安全隐患,针对测评报告结果进行分析反馈、沟通协商,明确等级保护整改工作目标、整改流程及注意事项,共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后,医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。
2.4等级保护规划建设整改
根据《信息系统安全等级保护实施指南》及省实施方案,结合医院信息系统的安全需求分析,判断安全保护现状,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划[4]等,用以指导信息系统安全建设工程实施。引进第三方安全技术服务商,协助完成系统安全规划、建设及整改工作。建设,整改实施过程中按照详细设计方案,设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5],将规划设计阶段的安全方针和策略,切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点,并结合医院自身信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。
3医院重要信息系统安全等级保护成效
各级医院按照国家有关信息安全等级保护政策、标准,结合卫生行业政策和要求,全面落实信息系统信息安全等级保护工作,保障信息系统安全可靠运行,提高安全管理运维水平。
3.1明确系统安全保护目标
通过推行各级医院信息安全等级保护工作,梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级,从而根据标准全面、系统、深入地掌握系统潜在的风险隐患,安全漏洞。明确需要重点保护的应用系统及信息资产,提出行之有效的保护措施,有针对性地提高保护等级,实现重点目标重点保护。
3.2建立安全管理保障体系
安全管理保障体系是开展信息安全工作的保障,指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导,配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系,包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练,形成长期的安全风险管控机制。
3.3加强安全意识和管理能力
通过落实等级保护制度的各项要求,认识安全意识在信息安全工作中的重要性和必要性,调动安全保护的自觉主动性,加大安全保护的资金投入力度,优化安全管理资源及策略,主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训,强化安全管理员和责任人的安全意识,提高风险分析和安全性评估等能力,信息系统安全整体管理水平将得到提高。
3.4强化安全保护技术实施
医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念,进一步结合终端安全、身份认证、网络安全、容灾技术,建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议,增强对应用系统的授权访问,终端计算机的安全控制,网络流量的异常监控,业务与数据安全保障,恶意软件和攻击行为的防御、发现及阻击等功能,深层次提高抵御外部和内部信息安全威胁的能力。
3.5优化第三方技术服务
与安全技术服务机构建立长期稳定的合作关系,引进并优化第三方技术资源,搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施,完善信息安全管理制度,同时通过安全技术管理培训强化医院工作人员信息安全保护意识,提高信息安全队伍的技术与管理水平,共同为医院系统信息化建设的快速发展保驾护航。总之,医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平,有利于医院信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。
4结束语
