时间:2023-06-07 15:58:19
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇安全风险防控机制范例。如需获取更多原创内容,可随时联系我们的客服老师。
中图分类号:TM734 文献标识码:A
电力调度作为整个电网中的一个重要组成部分,对于电网系统的正常运行有着非常重要的意义。但是因为一些不可控外力因素的影响,往往也会导致在电力调度的过程中会有一些安全问题的发生,并进一步地影响到了我国电网的正常运行。因此相关的工作人员应当在电力调度的过程中,充分地完善其安全风险的控制工作,这样才能够在保证了电网相关人员安全性的同时,也能够最大限度地减少电力企业的经济损失。
一、我国的电力调度工作现状
随着我国社会经济的不断发展,使得电网的规模也得到了进一步增加,而在这一过程中,电力调度系统中的特征以及运行特点也得到了相应的改变,并使得整个电力系统的运行过程变得更加复杂,这就对整个电网运行过程中的安全控制工作提出了更高的要求。如果电力调度过程中没有很好地进行风险的控制,往往也会导致整个电网运行出现一系列的问题,这不仅会对人们的正常生活与工作造成很大的影响,甚至有时会影响到人们的人身安全,从而给整个国民经济造成了巨大的损失。
我国现阶段的电力调度系统一般分为3个层次:国家电力调度及其分部一级网、省级二级网、地市以及县级三级网。随着国家电网公司三集五大体系建设的开展,电力调度系统逐步推行调控一体化运作的新型电网运行管理模式。随着调控一体化的不断深入,调控中心调度控制组是由两个不同的班组组合而成,两个班组在原先各自的专业领域中都是优秀的班组,但是在客观上仍然存在着思想认知、业务技能、班组文化等方面的差异。而近年来的相关数据也表明,我国在电力调度的过程中依旧存在着诸多的安全隐患,而这些安全隐患也对电力工作人员的人身安全有着很大的威胁。并且大多都是因为没能够遵守规定而引起的。这就导致了在电力调度工作中,相关工作人员的总体素质直接决定了整个国家电网的正常运行。
二、在电力调度工作中所存在的一些安全隐患
我国近年来在进行电力调度工作中发生了许多的安全事故,其发生的原因一方面在于相关的工作人员缺乏足够的专业素质以及专业技能,从而在电力调度的工作中难以很好地按照相关的规定来进行操作,另一方面则是人员责任意识不强,某些调控人员更加关注系统的功能的使用,而忽视对系统的管理,在系统出现安全问题时,部分人员不是去及时查找问题的原因,而是把过错推给设备厂商,并不探究际存在的问题,这对电力调控运行系统的安全运行有较大危害。而在电力调度的工作中,往往也会有一些工作人员因为缺乏整个工作的责任感,而对一些潜在的安全隐患选择了视而不见的态度,并使得这些问题难以得到有效的解决,这也可以说人为因素是整个电力调度过程中发生安全事故的最主要因素,而要想有效地进行电力调度过程中的安全风险控制,就必须针对人为原因来解决在该工作过程中所存在的诸多问题。
三、进行电力调度工作中安全风险控制的具体措施
(一)进行技术以及硬件设备的投入。随着科学技术的不断进步,使得自动化工作设备也开始取代人工进行相关的工作。相对于传统的人工操作,自动化设备有着良好的准确性以及效率,并且能够有效地减少该企业在运营过程中的人力成本。但是在电力调度工作中,相关的电力设备是整个电力调度系统中的核心基础,这就使得整个设备的保障工作也成为了该过程中的一个部分,这就需要电力企业对相关的工作人员进行定期的专业素质培训与考核工作,从而保证工作人员在进行相关工作的过程中,能够充分地按照一定的操作标准来进行操作,并且能够坚决制止一些操作过程中的违规行为。
这也就需要在电力调度工作中,充分地加强对硬件设备以及电力技术的投入,并且需要在设备的采购环节中就进行严格地控制,来保障该电力调度系统的设备质量,并为整个设备后期能够正常运行打下良好的基础。除此之外,电力企业还应当及时采用先进电力设备,并且需要对设备的运行环境进行改善,还需要加大一些在恶劣环境中工作的设备检修力度,一旦发现有安全隐患的存在,就需要及时地采取相应的措施,将问题解决在萌芽阶段。
(二)提升工作人员的个人素质以及技能水平。在进行电力调度工作中,为了能够有效地进行控制安全风险,就需要先建设一个有着高素质的员工队伍。而通过制定符合国家与上级规定的生产责任制度,能够很好地加强所有员工们的责任心,做到风险无大小,一经发现立即处理的效果。而在电力企业的正常运行过程中,还应当对员工们进行定期的考核制度,并且有针对性地对一些安全意识较为薄弱或者业务水平不足的员工进行定期的培训工作,并在其考核通过之后才能继续上岗工作,从而确保所有员工都有着较高的工作素质,并且能够有效地避免误调度等原因而造成的一系列电力调度中的安全事故。
(三)定期开展一些安全风险分析活动。在电力调度工作中开展一些定期的安全风险分析活动,能够有效地促进与激励各个岗位上的员工,并且能够在其工作的过程中对一些可能存在的隐患进行有效的交流。而在安全风险活动的过程中,员工们可以针对不同安全问题采取何种处理方式更为有效来进行探讨,并且能够就最近的安全生产文件来进行相关的组织学习。而且通过对近期出现的一些安全事故进行总结,也能够引起员工们对自身的工作来进行反思。而通过这些学习与反思,能够很好地进行整改措施的落实,并且能使得员工们的安全素质、业务技能等方面的能力得到有效的提升。
(四)进行调度数据文件的有效管理。为了能够充分地提升整个电力调度工作的工作效率以及准确性,就需要对整个电力调度工作中所产生的所有调度数据文件进行合理有效的管理,这也是判断电力调度网络是否正常运行的一个重要的判断依据。而随着电力调度工作中相关数据的不断更新,也使得对其工作流程中相关数据文件的整理对整个电力调度工作的安全运行变得非常重要。而随着互联网技术的不断发展,对相关数据资料在互联网中进行有效地整理更新,也能够很好的方便管理员们进行相关的查阅与检测工作。
(五)进行相关规章制度的有效制定
只有建立一套完整的管理监督制度,才能够充分地确保电力调度工作的安全运行。而在管理的过程中应当将责任落实到每一个工作人员身上,并且形成有章可循的管理机制,来确保该制度中的各项安全措施能够得到落实。而在具体的管理过程中,还应当充分地根据实际的情况来对该管理制度进行适当的改变与调整,从而使得整个管理章程不断地进行完善,有效地预防电力调度工作中安全事故的发生。
结语
电力在人们日常的生活工作中发挥着极大的作用,而电力系统的正常运行也对人们日常的生活工作以及国民经济水平的发展有着非常重要的意义。这也就需要在进行电力调度安全风险控制的过程中,能够有效的进行安全风险管理,来避免人为因素而产生的一系列错误调度,从而进一步的提升我国电力调度工作中的安全管理水平。
参考文献
关键词:角色访问;安全风险;防范;分析
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Role Based Access Control Security Risk and its Prevention
Chen Fang
(Suzhou College of Information Technology,Wujiang215200,China)
Abstract:Computer technology has become a business management essential technology,through establishing office automation model for enterprises to create favorable conditions for the management.Considering that the computer's own risks,enterprises in the design of office automation mode must also pay attention to the security risk prevention.This paper analyzed the role access control under the security risks and preventive measures.
Keywords:Role access;Security risk;Prevention;Analysis
为了保证计算机数据库的安全,企业在创建自动化办公系统时要对数据库访问权限进行设置,而基于角色的访问控制则是常用的访问控制模式。但从实际运用情况看,角色访问控制自身也存在诸多安全隐患,企业必须要制定严格的防范策略才能保证访问控制的有效运行。
一、角色访问控制的风险
随着企业经营规模的扩大改革,计算机办公自动化的作用更加明显。企业纷纷创建了计算机控制中心协调内部运作,对企业内部信息设置了权限访问,以免重要的商业信息被窃取而造成经济损失。角色访问控制是企业管理系统的主要构成,其主要是系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这种被授予“角色”的控制方法,能够为用户的计算机操作提供很大的方便,严格规定了操作系统的权限划分情况,避免企业企业系统运行错杂混乱。
基于角色的访问控制在运行期间也会遇到各种风险,给企业的办公自动化造成诸多阻碍。安全风险是导致角色访问控制失效的主要因素,对企业造成的经济损失较大。其安全风险主要表现为:权限盗用,部分用户私自盗用权限访问系统,对系统内部的信息随意调配使用;系统漏洞,计算机系统自身存在的漏洞造成后期管理混乱,容易引起企业计算机内部控制系统的错乱;人员失误,管理人员在控制系统时没有按照标准操作,给入侵者创造了攻击条件等等。
二、安全风险的防范措施
为了适应市场经济改革发展的需要,企业引进先进的计算机控制系统是不可缺少的。角色访问控制模式的推广提高了企业办公自动化水平,但对于角色权限的设置,企业在制定系统管理计划时要注重风险的防范。笔者认为,企业应从可持续发展角度考虑角色访问控制的风险控制。
(一)权限公平。市场经济体制改革后,企业在市场经营中面临的竞争问题更加严重,同行之间为了赚取更多的经济利益而开展全面竞争活动。企业在引进计算机控制系统后应合理划分权限,对每个管理人员给予一定的管理权,使其能积极参与到系统管理中,企业可根据实际控制需要分配权限。
(二)持续思想。计算机技术的运用是为了保证企业的持续发展。社会主义可持续发展观的核心要求在于发展的“持续性”,这是社会主义市场经济的最根本思想。企业不能盲目地引进角色访问控制模式,而是要将远光放长远。角色访问控制模式引进后,企业还有投入资金配备针对性的安全防御系统。
(三)效率思想。效率优先是我国大型企业创造盈利的基本条件,只有整体生产效率提升了,企业的产量、效率、收益才能稳步增长。因此,企业在经营管理期间要注重效益考核,对基于角色访问控制系统的操控严格管理。只有提升了角色访问控制的效率,才能加快企业内部建设。
三、结论
总之,基于角色访问控制系统的运用不仅维护了企业经营管理的有序进行,也是对内部信息安全管理的重要措施。企业在制定自动化管理模式的同时,应注重角色访问控制潜在的风险隐患。对于潜在的访问控制风险要提前防范,这样才能保证管理系统的高效运行,为企业创造更多的经济效益。
参考文献:
[1]赵亮,茅兵,谢立.访问控制研究综述[J].计算机工程,2004,2
[2]尹志兵,黄红明,熊桂喜.一种基于PMI的访问控制模型及其应用[J].计算机工程,2004,1
[3]董雅莉,邵秀丽,刘Z.面向任务,基于角色的工作流技术在CIMS中的应用[J].计算机应用,2002,10
[4]甘泉,贺也平,韩乃平.一种改进的基于角色的访问控制[J].计算机工程,2006,7
[5]刘洋,艾青,郭晓莉,秦玉平.基于访问控制的数据库安全模型比较研究[J].渤海大学学报(自然科学版),2006,4
合理有效的安全管理,不但能够充分的保障施工人员的安全,也
能从根本上保证建筑工程的平稳进行。本文对建筑施工现场常见
安全风险和控制方法做出了详细论述。
关健词:建筑施工现场、安全风险、控制方法
1引言:随着我国经济的发展,建筑工程项目的迅速增多。在建筑施工的现场,安全是建筑工程的基础。近几年虽然建筑施工现场的安全问题较过去有了很大的改善,但目前仍有一些问题急需解决,各别存在的安全隐患,在很大程度上影响了工程的顺利进行。现代建筑如何在保证质量与效益的同时,对施工现场的安全进行有效的控制,是每个建筑企业都关心的重点问题。本文将对建筑施工现场的常见安全风险进行具体的分析,并针对这些风险提出相应的控制方法。
2建筑施工现场常见的安全风险
2.1建筑企业安全意识的不到位:目前在我国的建筑企业中,仍然存在着安全生产工作的形式主义现象,国家对加强安全生产工作提出了一系列的重要指示,指示中对提高安全生产的重要意义进行了具体的分析。但是部分建筑企业的领导,并没有充分意识到安全生产工作的重要性,没有对人民生命高度负责的积极态度。在安全生产方面得过且过,依然只讲求形式主义,对安全生产工作只摆摆空架子,并没有真正的落到实处。没有把安全生产工作放到应该重视的位置,只重经营、重效益而轻管理,重质量而轻安全,对安全生产的不够重视,直接导致安全生产规章制度的不健全、不落实,甚至形同虚设。平常的一些规章制度只用来应付上级的突击检查。
2.2建筑企业安全生产管理模式落后:由于企业领导不注重安全意识培养,导致了建筑企业安全生产管理模式相对落后,安全生产管理人员的设置不合理,普遍存在专业素质较低,专业水平较差等现象。目前建筑企业的安全生产管理仍然存在凭经验管理,抓事后处理等问题。过分的凭经验管理,使安全管理工作时紧时松,抓抓停停,很难做到对各类事故的有效预防。而形式上的安检工作只不过是做好安全工作的一种表现手段,并不能起到治本的作用。这种凭经验和后事型的管理模式不会从根据上避免事故的发生,更谈不上防患于未然。目前,有些企业为了减少成本,在改制过程中将安全管理部门或人员进行合并或精简,有的安全管理人员,甚至根本不具备应有的安全管理知识和技术水平,所以在实际的工作中,很难起到安全管理和安全监督的作用。
2.3建筑企业安全生产投入的不足:由于建筑企业为了控制成本,和对安全意识的淡薄,导致施工现场的安全防护设施完全不能满足施工安全的需要。主要表现在:(一)很多建筑企业认为安全防护设施的投入是在浪费资源,根本看不到效益,导致施工现场的安全防护设施不完善,甚至阵旧、老化。有些企业为了减少成本,大量的采用不合格的、甚至假冒伪劣的防护产品。(二)一部分特殊工种的工作人员,基本不具备从业资格,没有做到持证上岗,工作人员的自我保护意识又很淡薄,在进行施工时,经常出现违章施工,冒险施工的现象。施工人员往往处在一个充满事故隐患的生产环境中。(三)近几年来,有些建筑企业,为了在某个工程的投标中得到加分,将投入的力量集中在个别的工地,来达到创优的目的。有的甚至将其它工地的安全投入转移到一个工地,导致个别工地的安全生产水平提高了,而其它工地投入却产生了很大的缺失。(四)有些企业总是强调工程的造价低、资金缺乏、拖欠工程等客观理由,在压缩各项支出时,首先压缩的就是安全方面的费用支出。
2.4建筑企业教育培训不到位:建筑企业缺乏有效的安全培训机制,工人缺乏自我的安全防护意识,一般的建筑施工现场,工作人员或者机械设备的操作人员基本都是临时招收的农民工,这些工作人员普遍缺乏基本的安全意识,技术素质也普遍偏低。而建筑企业对农民工的安全教育培训工作又不够重视,缺少相应的培训体系,甚至连最基本的“三级安全教育”都不进行。目前来看,已出现的事故当中,大部分属于这部分人员。
2.5建筑市场管理的空白:目前随着建筑企业经营机制的转变,一些具有较高管理水平的一、二级企业,已经过渡到纯管理型企业,虽然管理水平和管理能力较高,但大部分不具备过硬的劳务施工队伍。这些大型的建筑企业所承揽所有建筑项目,基本都分包给其它的施工队伍,企业只派出几名技术人员到现场配合管理,有的甚至根本不到现场,只是挂个牌做做样子。所以相应的安全管理措施当然达不到标准。
3建筑施工现场安全控制措施
3.1科学的规划、精心的组织:在建筑工程施工之前,建筑企业要根据工程的特点、规模及质量要求,并结合生产的自然环境和条件、施工人员的基本状况、机械设备的配备情况以及物资材料的存放运输条件等。进行安全的管理措施和管理目标详细制定,并生成有效的文件,形成有效的施工安全管理制度条文。管理上要组建相应的机构,明确其责任,要具体落实到人。科学、合理的安全管理制度是施工现场必备安全控制措施。
3.2提高建筑企业领导的安全意识:只有企业的领导对安全的意识提高了,才能对安全控制起到根本的作用:(一)要加强企业法人及主管部门领导的安全培训,使其充分认识到国家对于安全生产和重视,并强化学习国家制定的政策、方针以及法律、法规。让企业领导意识到安全生产的重要意义,树立起企业领导的导向作用。(二)把安全生产与企业领导的政绩挂钩。由企业领导对安全生产的重视程度,决定企业的资质和项目经理的资质,从而在企业的评级和招投标中,起到综合评定的参考作用。(三)加大对安全事故相关责任者的处罚力度,迫使企业的领导者提高安全工作的重视度。树立抓生产、更要抓安全的工作观念。
3.3加强施工人员的安全教育:加强施工人员的安全意识,是建筑施工现场安全控制的最有效手段。建筑企业要建立和完善安全生产的教育培训制度,加强对现场施工人员的安全知识教育;把好监督关,对于一些特殊工种,没有专业技术水平和资格证明的施工人员不得上岗。对于普通的工作者,要进行基本的“三级安全教育”。进行严格的安全考核制度,并采取相应的奖罚措施。
工业控制系统(ICS)是综合运用信息技术、电子技术、通信技术和计算机技术等,对现场设备进行检测控制,实现工业技术生产过程自动化的应用系统。ICS在冶金、电力、石化、水处理、铁路、食品加工等行业,以及军工的航空、航天、船舶、舰艇、潜艇等领域的自动化生产管理系统中都得到了广泛地应用。
1 工业控制系统安全现状
与传统信息系统安全需求不同,ICS设计需要兼顾应用场景与控制管理等多方面因素,并且优先考虑系统的高可用性和业务连续性。鉴于ICS的特定设计理念,缺乏有效的工业安全防御和数据通信保密措施是很多ICS所面临的共同问题。
传统的ICS多为车间/厂区局域网ICS,系统特点包括专有网络、专有操作系统、无以太网络、没有因特网的链接。从网络安全角度,系统是安全的。
现今的ICS开始与互联网或办公网直接/间接互联,形成从控制网到信息网的大系统ICS,系统特点包括以太网无处不在、无线设备、远程配置和监控、Windows和Linux等流行操作系统。从网络安全角度,系统存在巨大安全隐患,很容易被黑客攻击。
2 工业控制系统安全漏洞及风险分析
随着工业信息化进程的快速推进,物联网技术开始在工控领域广泛应用,实现了系统间的协同和信息分享,极大地提高了企业的综合效益。与此同时,暴露在互联网等公共网络中的工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要行业中,其安全事故造成的社会影响和经济损失会更为严重。
2.1工业控制系统安全漏洞
工业控制系统安全漏洞包括:策略与规则漏洞、平台漏洞、网络漏洞。
2.1.1 策略与规则漏洞
缺乏工业控制系统的安全策略、缺乏工业控制系统的安全培训与意识培养、缺乏工业控制系统设备安全部署的实施方法、缺乏工业控制系统的安全审计、缺乏针对工业控制系统的配置变更管理。
2.1.2 平台漏洞
平台漏洞包括:平台配置漏洞、平台硬件漏洞、平台软件漏洞、恶意软件攻击。
(1)平台配置漏洞
包括关键配置信息未备份、关键信息未加密存储、没有采用口令或口令不满足长度和复杂度要求、口令泄露等。
(2)平台硬件漏洞
包括关键系统缺乏物理防护、未授权的用户能够物理访问设备、对工业控制系统不安全的远程访问。
(3)平台软件漏洞
包括拒绝服务攻击(DOS攻击)、采用不安全的工控协议、采用明文传输、未安装入侵检测系统与防护软件等。
(4)恶意软件攻击
包括未安装防病毒软件等。
2.1.3 网络漏洞
(1)网络配置漏洞
包括有缺陷的网络安全架构、口令在传输过程中未加密、未采取细粒度的访问控制策略、安全设备配置不当。
(2)网络硬件漏洞
包括网络设备的物理防护不充分、未采取有效的措施保护物理端口、关键网络设备未备份。
(3)网络边界漏洞
包括未定义网络安全边界、未部署防火墙或配置不当、未采取信息流向控制措施。
2.2 工业控制系统安全风险分析
电力故障、自然灾害、软硬件故障、黑客攻击、恶意代码都会对ICS系统产生影响。其中,电力故障、自然灾害和软/硬件故障,属于信息安全范畴之外,而非法操作、恶意代码和黑客攻击作为信息安全威胁的主要形式,往往很难被发现或控制,对ICS网络安全运行的威胁和影响也最大。
(1)利用USB协议漏洞在U盘中植入恶意代码
U盘内部结构:U盘由芯片控制器和闪存两部分组成,芯片控制器负责与PC的通讯和识别,闪存用来做数据存储;闪存中有一部分区域用来存放U盘的固件,控制软硬件交互,固件无法通过普通手段进行读取。
USB协议漏洞:USB设备设计标准并不是USB设备具备唯一的物理特性进行身份验证,而是允许一个USB设备具有多个输入输出设备的特征。
这样就可以通过U盘固件逆向重新编程,将U盘进行伪装,伪装成一个USB键盘,并通过虚拟键盘输入集成到U盘固件中的恶意代码而进行攻击。
(2)利用组态软件数据库漏洞进行攻击
ICS系统采用的组态软件,缺乏安全防护措施,往往公开访问其实时数据库的途径,以方便用户进行二次开发,从而可利用此漏洞,远程/本地访问数据库,获取全部数据库变量,选取关键数据进行访问并篡改,从而达到攻击目的。
2.3 工业控制系统信息安全风险总结
病毒:可引起工控设备或网络故障,破坏生产过程数据或影响网络正常服务,如蠕虫病毒等。
缓冲区溢出攻击:利用设计漏洞进行的攻击。
拒绝服务攻击:恶意造成拒绝服务,造成目标系统无法正常工作或瘫痪,或造成网络阻塞。
网络嗅探:可捕获主机所在网络的所有数据包,一旦被恶意利用,获取了目标主机的关键信息则可对目标主机实施进一步攻击。
IP欺骗:可通过技术手段利用TCP/IP协议缺陷,伪装成被信任主机,使用被信任主机的源地址与目标主机进行会话,在目标主机不知的情况下实施欺骗行为。
口令破解:攻击者若通过一定手段取得用户口令,提升权限进入目标系统,对目标主机进行完全控制。
3 工业控制系统安全检查
3.1 检查对象
包括工艺、工程分析、控制系统信息安全后果分析、安全防护能力分析等。
3.2 检测方式
包括访谈、现场测试、离线测试、测试床或另外搭建测试环境测试。
3.3 检测内容
应包括信息流转过程中遇到的一切链路、设备(硬件程序、模块组件)、人员等。
管理检查需要准备的资料:信息安全相关管理制度和安全策略;设备保密管理制度;系统运行管理制度、产品供应商(或者商)、系统集成商等提供的资质证明、授权证明、合格证书等。
技术检查需要准备的资料:招标合同技术规格书;详细设备清单;设备配置及使用说明;网络拓扑图;输入输出端口信息;DNC服务器配置及使用说明;设备的连接说明、功能说明、操作手册。
运维检查需要准备的资料:运行维护管理制度、访问控制端口设置情况记录、运行维护报告、应急预案方案、应急演练记录。
3.4 检测重点
重点检查输入输出端口使用、设备安全配置、运维安全措施的落实情况,同时检查资产管理情况,访问控制策略、备份及应急管理等方面。
4 结束语
通过上面的分析与研究,工业控制系统还存在许多的漏洞和安全风险,只有充分认识到这些漏洞,才能利用信息安全手段不断的处置这些漏洞,使风险降到最低。同时我们应该认识到,工业控制系统信息安全技术是一门不断深入发展的技术,随着工业控制系统广泛应用和不断发展,其信息安全必将面临更加严峻的挑战,随之信息安全技术的研究也必将快速推进。
关键词:路桥隧道;安全施工;风险评估;风险控制
Pick to:
With the rapid development of traffic infrastructure construction in our country, road and bridge tunnel has become an important part of highway construction projects, road and bridge tunnel safety risk management is particularly important. Because the tunnel project has the construction is difficult and long construction period, large investment, many characteristics such as complexity of geological factors, making the entire bridge tunnel project construction process is full of a lot of uncertain risk factors, so in highway tunnel construction process may occur at any time the security risk of accident, necessary safety risk assessment and control measures can help to improve and to improve the quality of the construction technology and safety management, reduce the construction safety risk to the degree of control.
Key words: road and bridge tunnel; Safe construction; Risk assessment; Risk control
中图分类号:TU99 文献标识码:A
根据《公路桥梁、隧道安全评估指南》、《桥梁隧道设计施工有关标准补充规定》及《公路隧道作业要点手册》的有关内容、及实施性施工组织设计,笔者结合目前路桥隧道工程安全风险评估的现状,分析了针对隧道工程安全风险评估所颁布的指南、管理办法等相关制度文件,并总结了保证评估结果客观性的过程控制方法以及践行安全风险评估技术宗旨的方式,通过对目前风险评估过程中存在问题的剖析,本文提出了解决问题的思路,以促使评估成果满足安全风险评估技术针对性、客观性的要求。
隧道工程风险分级和接受准则。
(1)、事故发生概率的等级分成四级,见下表
注:a.当概率值难以取得时,可用频率代替概率。
b.中心值代表所给区间的对数平均值。
(2)、然后对事故发生后果进行人员伤亡和经济损失的等级分析(表格这里就不一一画出了):一是人员伤亡等级标准,二是直接经济损失等级标准(其中不含恢复重建的费用)。
(3)、环境影响等级标准
注:“临时的”意思是在隧道工程施工工期内可以改变好环境;“长期的”意思是在施工工期以内不能改变好环境,但不是永久的,在以后的时间里可以改变的;“永久的”含义为不可逆转或不可恢复的。
(4)、专项风险等级标准
根据事故发生的概率和后果等级,将风险等级分为四级:极高(Ⅳ级)、高度(Ⅲ级)、中度(Ⅱ级)和低度(Ⅰ级)。
风险接受准则与采取的风险处理措施
我们可以将风险分为四个等级:低、中、高、极高。并且根据等级设计相应的接受准则:可忽略、可接受、不期望、不可接受。然后我们再根据接受准则设计出相应处理措施和监测措施等。做好相应的技术准备,在后面的施工中根据风险接受准则与采取的风险处理措施的规定,针对不同的风险事件、结合现场的实际情况拟采取相应的技术对策。并且随着施工的进行,我们要不断的测定安全风险等级,随时改变风险处理措施,做到紧张有序地施工,确保万无一失。
在进行路桥隧道工程中,我们必须成立工程风险评估与管理小组组长、副组长及小组成员必须分好工(组长:负责安全评估与管理工作的领导工作。制定施工阶段风险评估工作实施细则。副组长:根据分组的情况开展本组的管理工作,并向组长负责。成员:在组长及副组长的领导下,开展安全评估与管理工作,成立抢险小组,并落实各项具体措施;与项目部其它相关部门紧密联系,共同抓落实,从人、财、物各方面给予安全评估与管理工作切实的保障。),并且设立安全评估与管理小组办公室(日常工作由项目部安全部负责),设立值班电话等。
4、总结
由于采用了相应的风险对策措施,加强施工过程中风险动态管理,隧道施工的风险会相应地降低,但不可能完全消除,结合初始风险评估结果和制定的对策措施,对隧道残留风险进行评估。根据施工的进展对实行动态跟踪管理,定期反馈,发现问题及时与相关单位进行沟通,不断完善处理措施。项目部领导小组将根据审批后的风险评估方案进行日常工作的实施,有效的开展工程安全风险评估和管理工作,深入现场调查研究,制定合理安全保障措施,确保安全、按期完成路桥隧道工程的施工任务。
这仅是风险管理与控制的开始。在下一步的施工过程中还要加强监控,对风险做好动态管理,从而达到控制风险、减少损失、确保施工安全目的。
参考资料
[1]钱七虎,戎晓力.中国地下工程安全风险管理的现状、问题及相关建议[J]. 岩石力学与工程学报,2008,27( 4) : 649-655
[2]吴波.隧道施工安全风险管理研究与务实[M].北京:中国铁道出版,2010
关键词:企业 计算机信息网络 安全风险 控制方法
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)08-0217-01
随着计算机技术的不断发展,越来越多的企业运用计算机信息技术建立起自己的信息网络,以此来实现对各种资源的有效利用。但是由于计算机网络的联结形式具有多样性,而且终端分布不均匀,使得企业的计算机信息网络很容易受到黑客、恶意软件以及其他不法行为的供给,所以使得计算机信息网络系统的安全问题也受到了越来越多的重视。
1、企业计算机信息网路系统的安全风险
由于不同的企业在生产和经营方式上有着一定的差异,所以不同的企业在计算机信息网络系统的选择和使用方面,也存在着一些区别。无论是企业内部的局域网,还是外部的广域网,都存在着由于自然因素和人为因素所造成的潜在风险。因此,企业计算机信息网络系统所面临的安全风险,可以归纳为以下两个主要方面:
1.1 外部风险
外部风险主要是指企业的计算机信息网络系统中,由于受到自然灾害或者是非法攻击等外部因素所造成的安全风险。在通常情况下,火灾、水灾、盗窃以及等因素都可以称之为外部风险因素,这也是造成计算机信息网络系统遭到破坏的一个主要原因,其主要的破坏层面以硬件系统的破坏为主。同时,由于使用人员非法建立的文件或者是记录,并且通过某种手段企图将他们作为有效的文件或记录,也会对企业的计算机信息网络系统造成潜在的风险。有的操作人员为了获得更多的信息,通过非法手段进入到企业的信息系统中,希望以此来达到对数据的分析和程序的利用。在计算机信息网络系统中面临的最大的威胁,主要是来自黑客的攻击,黑客的攻击主要有两种途径:第一是网络攻击,通过各种非法手段进入到企业的计算机信息系统中,企图破坏相关数据和信息的完整性。第二则是网络侦查的方式,他们不会对企业计算机信息网络系统的正常运行造成影响,而是通过窃取、破译等方式来获得机密信息。无论是使用哪种方式,都会对企业的网络安全造成重大的危害。
1.2 内部风险
内部风险一般只是指计算机信息网络系统在正常运行过程中所存在的风险,这往往是由系统本身的特性所决定的。一般常见的内部风险主要有:操作人员的安全意识不强,登陆系统的账号和口令等随意转接给他人,没有访问权限的人员进入到企业计算机系统中会造成网络安全风险的产生;由于计算机软件本身不可避免的存在着一些漏洞,这些漏洞的存在也会成为黑客攻击的首选目标。有的软件中留有“后门”,通常都是由软件开发公司留下的,一般不为外人所知。一旦后门遇到攻击,将会造成无法估量的后果。另外,防火墙等产品自身的安全等级如果达到不到信息安全的等级要求,也会对系统的安全产生一定的威胁。
2、企业信息网络系统的风险控制方法
只有对企业计算机网络系统的安全风险进行科学的分析,才能够采取有针对性的措施,对于不同的风险类型采取相对应的风险控制方法。为了有效的保证计算机信息网络系统的安全性,就要从信息的产生到消亡的整个过程进行严密的监控,形成完整的数据控制方法,达到对系统安全风险的控制。
2.1 数据信息的输入和传输
在企业进行信息系统的输入阶段,为了保证数据的正确性和合法性,一般可以通过加密技术对要传输的数据进行加密,然后再通过网络进行传输,这样则能够避免信息在传输的过程中遭到篡改或者是窃取,从而保证企业信息的安全性,当前常用的加密方法有很多,可以根据实际的情况采用文件加密或者是文件夹加密等方式。
2.2 数据信息的接收与处理
当企业受到由外部传输而获得的需要处理的订单信息时,需要利用预编程序质量对于该信息进行处理和控制,处理完成后的信息再次输出时,便可以将信息输出到企业所运用的如磁盘、交卷等信息媒介,这时惬意应当关注的是对获得的信息数据的安全性进行控制。如果需要对信息使用过程中产生的数据进行存储,则需要控制用户对数据的使用情况,同时也应当掌握用户对数据的存储状况,这也是对计算机信息网络风险控制十分必要的一环。
2.3 结果数据信息的保存和处理
这是风险控制的最后一环.即对数据使用过后的处置,如存储的方法和地址、保存的时间和清除等。有些用户不再使用的数据应妥善处理.防止被一些人当做“废物”加以利用,即对这些被废弃的信息加以研究,获得有用信息,这对系统的安全构成一种威胁。
2.4 网络管理和安全管理
上述风险控制方法在计算机风险控制中起着重要的作用,与此同时,我们也需要一个良好的管理平台,确保计算机设备的各项功能获得有充分的发挥。网络管理对于网络资源的最优化、监控和有效利用是至关重要的。
3、结语
随着计算机网络在现代企业中的应用越来越广泛,计算机信息网络安全问题也受到了更多的重视。企业计算机信息系统共安全保护是一项复杂的工作,不仅要保护计算机本身的设备安全,同时更要注重对计算机内部信息和数据的保护,因此,我们应当从多个方面对企业计算机信息系统的安全风险进行客观的分析,并且采取有针对性的控制措施,以此来保证企业计算机信息网络安全系统的安全性,保证企业信息和数据的安全性。
参考文献
[1] 祝峰.如何构建安全的企业信息网络[J].网络安全技术与应用,2010(04).
[2] 张希武,陈宇.全面提升企业信息网络整体安全防护水平[J].网络与信息,2011(10).
[3] 王旭东,王萍韵.谈如何建立企业计算机信息网络运行管理体系[A].2002安徽省电力工业计算机应用学术会议[C],2002.
教育部基础教育司副司长俞伟跃表示,教育部将中小学生安全教育内容纳入学科课程标准中,加强学生自我保护意识。同时教育部还出台了《中小学公共安全教育指导纲要》,进一步明确不同年级、不同学段学生安全教育要求。同时,鼓励各地结合地方课程和校本课程建设,开发中小学安全教育课程。
《关于加强中小学幼儿园安全风险防控体系建设的意见》从几个方面对建立健全学校安全风险防控系统体系进行了系统的设计和全面规定。首先是明确学校安全风险防控的总体要求,提出了学校安全风险防控体系建设的指导思想、基本原则和工作目标。其次是完善学校安全风险预防体系,要求健全学校安全教育机制,完善有关学校安全的国家标准体系,要求健全学校安全教育机制,完善有关学校安全的国家标准体系和认证制度。再次是健全学校安全风险管控机制,落实主要责任。同时,完善学校安全事故和风险化解机制。最后,强化领导责任和保障机制,要求加强组织领导,强化基础保障,健全督导与考核机制。
俞ピ咎傅溃各级人民政府教育督导机构要将学校安全工作作为教育督导的重要内容,对重大安全事故或者产生重大影响的校园安全事件,要组织专项督导并向社会公布督导报告。对学校安全事故频发的地区,要以约谈、挂牌督办等方式督促其限期整改。教育部门要将安全风险防控工作的落实情况,作为考核学校依法办学和学校领导班子工作的重要内容。
关键词:科技计划 廉政风险 构建要素 实施途径
中图分类号:F224.11 文献标识码:A
文章编号:1004-4914(2015)10-076-02
科技计划管理廉政风险因素存在于科研规划、科研立项、项目执行、项目验收和成果转化的各个环节之中。目前,科研工作者、科技管理部门相关人员的不良行为和腐败问题时有发生,损害了科技工作者和政府部门的公信力。因此,建立健全科技计划管理廉政风险防控体系,对于保障科技计划管理中的权力行使安全,资金运用安全,项目建设安全和干部成长安全具有重要的理论及现实意义。
一、国内文献简述
近年来,国内相关研究渐渐增多。葛平(2010)分析认为,项目审批是廉政风险的关键环节,存在着人员风险、程序风险以及体制机制风险,应该从排查确定风险点、制定防控措施、推进制度创新、加强监督管理和强化责任落实等方面加以防控。张臻(2011)认为,虽然系统内部评估对于提高科技经费使用效率有积极意义,但是透明度和监督力度不够,难以达到外部监督的效果。王江(2012)从信息不对称导致的风险、时间节点风险、项目过程管理风险、经费的预算和管理风险等四个方面,对国家重大科技项目在管理中的风险类型进行了分析。张东(2013)提出,要加强科技计划的精细化管理,实行科技计划全生命周期的过程管理模式。逐步加强中期检查,从执行质量、进度、财务支出等方面跟踪控制,尽可能地降低财政风险。孔庆深(2013)提出,要加强对廉政风险防控预警管理制度建设。以提升抗风险能力为基础,强化廉政思想教育的制度;以甄别廉政风险等级为重点,强化廉政风险区域的制度;以规范风险监控为关键,强化从严从实的制度;以考核修正廉政风险等级为手段,强化等级转化的制度。
二、国外经验借鉴
1.健全的制度和法规保障。美国从科技计划的管理程序到相关机构,都有法律法规或制度约束,保证了科技计划实施管理的规范性。科技预算、科技计划的制定、组织实施、评估、知识产权管理都已经形成一套完整的程序。德国政府建立了一整套完整的项目审批制度,由政府提出研究框架,经过申报、审查、评估等环节,政府组织专家委员会研究审批,期间大量的工作由中介组织负责。
2.美国重视科技评估工作。美国科技评估机构分为三个层次:一是国会科技评估机构,二是州政府科技评估机构,三是大专院校和科研院所的科技评估机构。在美国的科技评估工作中,对事前评估、事中评估、事后评估都很受重视,但不同评估机构的职能不同、评估的对象不同,侧重点也不同。评估结果具有相当大的影响力,评估的项目完成情况和项目承担人的评价结果不好将影响所在单位日后申报项目的机会。
3.欧盟注重监控、评估与审计。欧盟从1984年开始实行科技框架计划,从项目立项生效开始,项目委员会就启动对项目的监控,整个监控覆盖了项目团队的分工、变更到项目进程等各个环节,形成了完善的监控机制。欧盟已形成较完善的科技项目研究成果的评估机制,并通过制度化的形式予以规范化。欧盟主要是由第三方审计机构完成科技计划的审计管理工作,第三方机构的行为受到法律约束,出具的审计报告必须承担法律责任。
4.发达国家重视项目的结题验收工作。政府如果是资助或出资者,则不直接组织验收工作,一般由社会咨询评估机构(独立的中介机构)来实施。在验收的具体执行过程中,针对不同的项目,不同的研究内容,其评价目的及方法有所不同,均建立合理的评价指标体系,使得结题评价科学、严谨、可靠。
三、科技计划管理廉政风险防控体系的构建
作者认为,科技计划管理廉政风险防控体系是由防控主体、防控运行体系、防控机制建设、防控结点四大要素构成的(见下表)。
1.防控主体。包括政府、企业-高校-科研院所、中介机构为代表的科技计划管理机构和人员等。政府是资金下达和监管部门,涉及到相应的职能部门和科技管理人员;企业-高校-科研院所是科研最重要的主体,涉及到直接参与研究的科研人员、间接为科研服务的管理人员、监督和管理科研经费的财务、监查人员等;中介机构是指由中介组织进行的科技计划的立项、监管、评估的科技中介机构。
2.防控运行体系。即五个子体系:第一,查找识别体系是防控腐败风险的前提和基础,是对科技管理人员发生腐败行为的各种可能性的一种分析和推理。第二,分权防范体系是防控腐败风险的关键,建立分权制权的监督约束机制,防止权力滥用,保证权力规范、安全运行。第三,监督控制体系是防控腐败风险的重要手段,运用现代信息技术,规范工作流程,加强内部制衡。第四,预警处置体系是防控腐败风险的重点环节,通过对腐败迹象的及时提醒、严肃处置,把腐败问题解决在萌芽状态。第五,保护激励体系是防控腐败风险的重要工作。是保护和激励科研及管理人员勤政廉政,规范权力行使,树立正确导向。
3.防控机制建设。即加强与完善五个机制建设:包括监督管理机制、考核评估机制、纠错整改机制、责任追究机制、预防教育机制。这五个机制与五个运行体系相互作用与配合,以其达到科技计划管理廉政风险防控的最终目的。
4.防控结点,即建立“三道防线”:前期制定预防措施、中期加强监督管理、后期处置风险等。采用阶段性的防控理念及思路,将科技计划管理廉政风险降到最低。
四、科技计划管理廉政风险防控体系的实施途径
1.加强制度建设,规范行业行为。制度建设在科技计划廉政风险防控体系中居于重要地位。科技腐败风险的查找、防范和预警处置等都要通过制度来实现和促进,离开制度的规范和约束,就不可能建立起科学的廉政风险防控体系。建立包括对科技管理部门、科研人员和科研单位系列的科技计划管理制度,如科研人员和单位信誉制度,科学家信誉制度等。在建立制度时要注意:一是要增强制度的完备性,使各项规定形成完整的体系,使之无隙可乘,真正发挥制度的规范、约束作用;二是要增强制度的操作性,设计时要对可能出现的违背制度的现象进行全面分析,并制定相应的约束办法;三是要增强制度的实效性。强化对制度执行情况的监督检查,对有令不行、有令不止的,及时严肃查处,维护制度的权威。
2.健全网络平台,规范工作流程。通过网络平台建设,规范工作流程。科技计划管理部门要运用网络平台技术、规范操作。具体包括:一是严格项目申报、项目评审管理。项目实行网上申报、网上专家评审,形成专家评审把关、行风监督员和纪检组双重监督的管理机制。二是严格项目立项管理。除了签订项目实施合同书外,还需要签订项目廉政合同书。三是严格项目经费管理。利用科技计划管理系统平台,对所有在研项目的进展进行跟踪、查询和全程监控。四是严格项目实施、项目验收管理。在项目实施阶段,依据项目实施方案,对科技项目进行跟踪管理、对项目的实施过程实行进展评估;在项目验收过程中,由高校院所的专家,以及科技、财政、纪检等部门工作人员组成的验收组,严格按照政策法规的要求组织验收评审会,对项目进行验收。
3.开展诚信教育,严守职业操守。加强对科研人员的道德教育和信誉管理,在对他们进行教育引导的同时,也通过一系列的手段措施督促他们遵守科研伦理道德。对于那些不遵守科研伦理道德、违背科研诚信的单位和人员,通过严格的惩处措施和舆论监督,使其难以在学术界立足。积极开展诚信教育,无论是科研人员、科技管理者,还是政府职能部门的相关工作人员,都要加强法制观念,加强诚信教育,严守职业操守。
4.创新工作思路,探索积累经验。建立健全科技计划管理廉政风险防控体系没有以往经验可循、没有固定模式可依,这就要求不断探索,积累经验。所以,必须用创新的思路和改革的办法来破解难题。一是在工作载体上创新。在把握廉政风险防控的总体要求和原则的基础上,结合各自实际,因地制宜,创新工作载体,形成各自特色。二是在方式方法上创新。积极探索运用现代科学技术防控腐败风险,积极推进电子政务、电子监察平台建设,实现网络监督、快速预警、流程监控、刚性约束。三是在落实措施上创新。按照内部防范与外部监控、事前防范与预警处置、专防专控与社会参与、科研主体统一管理与部门垂直管理、纪委组织协调与部门具体实施相结合的要求,层层抓落实的工作机制。
综上所述,科技计划管理廉政风险因素存在各个科研主体和科研环节之中。需要建立健全科技计划管理廉政风险防控体系,基于系统角度从制度、技术、方法等多层面加强防控运行体系、防控机制建设,建立“三道防线”,有效遏制科技计划管理中的各种腐败行为,进而提高科技工作者和政府部门的公信力。
[本文为2014年沈阳市科技计划项目“科技计划管理廉政风险防控体系建设研究”、2014年沈阳市事业经费项目“沈阳市科技人员科研诚信制度建设研究”阶段性成果。]
参考文献:
[1] 葛平.项目审批环节廉政风险分析及治理[J].中国监察,2010(4):44-45
[2] 张臻.我国科研经费管理政策研究[D].上海:上海交通大学,2011
[3] 王江.国家重大科技项目管理的风险控制[J].中国基础科学,2012(01):33-36
[4] 张东.辽宁省科技计划管理创新思路及对策研究[J].科技创新导报,2013(7):34
[5] 孔庆深.浅谈廉政风险防控管理制度建设的途径与方法[J].改革与开放,2013(4):40
[6] 潘慧.部分发达国家科技计划管理经验对我国的启示[J].广东科技,2011(11):91-93
[7] 黄宝中,李莲靖等.发达国家科技计划项目管理经验及其启示[J].中国科技论坛,2008(8):136-138
[8] 陈启杰,吴治富.欧盟重大科技项目的监控机制及其启示[J].市场周刊(理论研究),2009(5):78-80
关键词:廉政风险点 防控措施 运行机制
为有效增强对腐败现象发生的动态预警,从源头上预防和控制腐败,最大限度地减少腐败滋生的土壤条件,最大限度地减少党员干部的犯错机率,总书记在十七届五中全会明确提出了推进廉政风险防控机制建设的任务。
推进廉政风险防控机制建设,是完善惩防腐败体系建设的重要举措,是一项增强预防腐败实效的制度创新。目前,全局在如何建立廉政风险防控机制方面还处于探索之中,我们认为有必要对如何结合我局实际,深入推进廉政风险防控机制建设做进一步的研究探讨。笔者以为,廉政风险防控机制的基本架构应当具备风险排查、防控措施、运行机制这三个基本的要素,继续推进全局廉政风险防控机制建设,就要重点把握好这三个关键环节。
1.查风险点,是廉政风险防控机制建设的关键环节
风险点管理是安全生产中预防和控制事故的一种方法。在廉政建设中引入风险点管理,是一种机制创新。廉政风险点就是指权力运行流程中可能产生廉政风险的具体环节或岗位等。对廉政风险点进行分析排查与预控,是基于一种逆向思维,它从可能发生的后果来提醒人们注意各种腐败行为的危险,具有很强的警示作用。
我们说每一项权力,就是一个风险点。查找风险点其实就是一个晒权力、点问题、严管控的过程,因而全面梳理和排查廉政风险点是防控机制建设的重要基础和关键环节,其目的就在于明确风险范围和风险点。
2.防控措施,是廉政风险防控机制建设的核心内容
廉政风险防范管理的核心,就是要通过加强制度机制的约束和制衡来化解、转移和降低风险,同时依靠制度机制的优化达到防止主观偏差和客观环境侵扰的效果,所以制定切实可行的防控措施,就成为风险防控机制建设的核心内容。“防”是立足把工作做在风险未发生之前,类似“扎篱笆”;“控”是把工作做在风险尚未转化为腐败之前,把问题解决在萌芽状态,隐患。
首先,要坚持“内控优先,制度先行”的原则,按照“权力运行到哪里,风险防控措施就跟进到哪里”的要求,紧紧抓住正确行使权力这个关键,对现有制度措施进行全面梳理,有针对性筑牢前期预防、中期监控和后期处置三道防线,对腐败易发多发环节进行防控,并适时将防范措施上升、固化为制度,构建“一项权力建立一项制度”,使各项制度成为“条条高压线”、“道道防护堤”。
其次,要强化遵守制度、落实制度的意识。要把按制度操作,按制度办事作为一种习惯,把遵守制度、落实制度当作一种理念,真正做到风险防范不麻痹,思想意识不淡化,制度落实无死角,最终形成用制度规范用权行为、按制度办事、靠制度管人的风险防控机制。
3.运行机制,是廉政风险防控机制建设的保障要素
廉政风险防控机制建设是一项系统工程,为保障机制的有效建立和科学规范运行,我们还要注重整体推进、同步跟进督查、评估、考核、整改、责任追究等配套措施,努力形成一整套行之有效的内部管理有制度、岗位操作有标准、出现问题能修正、事后考核有依据的风险防控管理制度体系,让权力接受全方位的监督、全过程的制约。为此,必须形成四个运作机制:
首先,健全综合工作机制。要依托路局腐败风险防控办公室的领导,构建形成各级党组把“舵”,分管领导把“脉”,中层干部把“关”,个人把“度”的上下一体、左右联动、通畅有效的层层抓落实的综合工作机制。通过对廉政风险实施常态化、规范化、制度化管理,防止和弥补制度设计和制度执行这两个层面的缺失,努力形成具有我局特色的“大小有界、运行公开、过程留痕、全程监控”的权力运行机制。
其次,完善考核监督机制。为做到有制度的地方就有评价覆盖,不致出现内控盲点,我们要遵循“立体、宽带、刚性”的监督思路,加强纪检监察、审计、组织人事等部门的联动,整合各方监督资源,全方位开展监督,完善考核评价体系。通过廉政承诺、述职述廉、重大事项报告等方法,切实加强对“三重一大”决策制度、领导干部廉洁自律等情况的监督考核,将考核结果纳入党风廉政建设责任制和业绩考核体系,作为评定干部实绩的重要依据。
第三,强化责任追究机制。要把强化问责作为提升制度执行力的重要抓手,针对各岗位具体用权事项中制度不落实、防范措施不到位的,实现责任倒查,借助内控问责的威慑力,把风险防控当作“高压线”,使预防腐败的责任落实到每个重点岗位、关键环节,保证廉政风险防控机制的有效运行。