序論:速發表網結合其深厚的文秘經驗��,特別為您篩選了11篇銀行安全總結范文。如果您需要更多原創資料�����,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識�����!
篇1
1��、堅持學習教育活動��。每月二次以上召開保衛人員時事政治教育,先進人物事跡教育��,增強他們政治素質和思想覺悟��;及時通報有關金融案件案例�,開展安全分析會�,增強保衛人員的憂患意識和防范意識���。
2���、經常性開展談心交心活動。平時細心觀察���,掌握保衛人員的思想動態�,了解他們工作中的優缺點��。通過針對性談心交心工作�,穩定他們的思想�,幫助解決他們的困難���,及時糾正工作中存在的不足之處����。
3、開展多形式的思想教育活動����。結合黨風廉政建設和文明創建活動,努力引導保衛人員樹立正確的職業價值觀和奉獻的精神�,提高工作積極性�����;樹立正確的職業責任感和吃苦耐勞精神�,提高工作質量;樹立正確的職業風險意識�,提高遵章守紀的自覺性����。
4、開展保衛業務技能的培訓活動���。今年培訓的主要內容有計算機文字錄入、監控系統操作���、消防技能訓練和演練以及守庫應急處置預案演練等活動��。通過多形式的培訓、演練活動�,夯實基礎,提升安全保衛隊伍的綜合管理水平和實戰能力�����。同時還組織保衛人員參加市中支保衛科舉辦的實彈射擊比賽和“應知應會”理論知識競賽活動�����,取得了全轄區團體第二名的好成績��。
二�、 加強內部管理���,落實各項規章制度
1、完善內部制度和應急預案建設����。按照保衛工作的實際,對安全保衛工作的部分規章制度和應急預案進行了完善和修訂��;制訂崗位工作責任表,制作安全保衛工作流程��。按照內控制度規定���,科學合理地設置崗位��,簽訂崗位目標責任書,明確崗位職責�。今年還修改完善了保衛人員及經護隊員一日值班主要工作簡要流程,使每人對各自工作的要求��、目標����、責任有一個更明確的了解��;并認真做好安全保衛工作的電子臺帳���,規范工作底稿���,進一步完善了保衛工作臺帳檔案�。
2、嚴格守庫值班制度�。嚴格實行監控值班室24小時不間斷武裝值班制度�����;明確保衛值班人員和招聘經護隊員二者職責,做到相互配合�����、相互監督���,共同做好安全保衛工作。分管行長每月對保衛值班進行查崗����,保衛負責人每周對保衛值班進行查崗�。
3、強化槍彈管理����。嚴格執行《中國人民銀行××××管理規定》和《中國人民銀行杭州中心支行××××管理實施細則》�,完善和落實××××的使用��、交接�、保養等重要環節及操作流程,堅持雙人管槍��、槍彈分存�、四人單向交接��。并認真審查持槍人員的資格條件��,嚴禁不符合條件人員持槍執行發行庫守衛工作�����,杜絕涉槍案件和事故的發生。
4��、加強安全檢查��,狠抓制度落實���。今年共組織開展12次全行性的安全檢查,對檢查中發現的安全隱患及時整改�;同時����,加強消防安全工作�����,劃分責任區,確定責任人��,今年對支行大樓的線路進行重新整理���,該換的電器設備及電線全部予以更換,確保支行用電安全���;并每月進行消防設施檢查�����,強化消防意識,確保消防安全���。
5���、進一步規范“出入證”(長期證、專用證��、臨時證)管理����。按照《中國人民銀行人民幣發行庫管理辦法》要求���,規范“出入證”審批、發放����;嚴格“出入證”的使用登記�����。
6����、加強出入庫安全管理��。我行因客觀條件限制���,庫區內未能達到“三隔離”的要求�。為確保安全�����,推出“硬件不行���,軟件補”的方計,加強安全管理�,規定在出入庫錢捆裝卸期間,關閉庫區大院鐵拉門���,禁止人員車輛出入,保證出入庫期間安全�����。
7�����、規范監控操作�。加強電視監控系統的管理��,嚴格執行有關規定��,定期維護�����,及時維修。如監控系統發生故障���,要求溫州匯昌公司必須半天內派技術員來行進行維修�,重大故障必須2小時以內到行�。重大節假日前要求溫州匯昌公司派技術員來行進行測試��,保證監控系統正常運行��。
三��、加強綜治工作,創建平安支行
1��、層層簽訂安全目標管理責任書。年初根據和上級行簽訂的“綜治”���、“三防一保”目標管理責任書基礎上,結合我行工作實際情況��,針對各股室不同工作特點��,分別和各股室簽訂“三防一保”���、“創安”、“綜治”工作目標管理責任書��。
篇2
根據上級行關于銀行業金融機構安全評估工作要求�,我行領導高度重視此項工作��,積極傳達文件精神��,組織員工認真學習評估工作有關文件�����,領會其精神實質�����,教育全體員工提高對此項工作的認識��。并召開多次專題會議�,討論部署本行的安全評估工作���,成立了以行長為組長、分管領導為副組長的安全評估工作領導組���,積極開展安全評估工作�����。
二�����、健全工作機構���,理順工作關系是安全評估工作順利完成的保障�����。
為確保安全評估各項準備工作的順利進行�,支行成立了以行長為組長���、分管領導為副組長、專職保衛干部和部門負責人為成員的安全評估領導組指導全行的安全評估工作��,明確各自的工作職責��。同時成立了以分管領導為組長���、會計主管和專職保衛干部為副組長的安全評估工作小組����,具體負責落實安全評估的各項工作事項。健全的工作機構���,為安全評估準備工作提供了組織上的保障��。
篇3
為確保本次“安全生產月”活動有效開展�����,2020年 x月X日,XX安全保衛部轉發省聯社傳達了《關于開展“安全生產月”活動和2020年上半年安全檢查工作的通知》�����,部署了我行“安全生產月”活動的內容和時間�,要求各部門和各網點負責人高度重視此項工作����,廣泛發動全體干部職工,積極參與“安全生產月”活動�����,努力提高全行員工的安全生產意識和安全操作水平。
二��、 廣泛宣傳�,注重實效
宣傳活動當月,一是線上通過微信公眾號開展“安全生產大家談”��、“微課堂”等活動���,二是線下通過各營業網點宣傳展板和廳堂擺放宣傳折頁,��,三是在營業網點設置宣傳咨詢臺����,向過往群眾和員工宣傳安全生產知識�,以“消除事故隱患,筑牢安全防線”為主題組織開展安全生產知識宣傳活動�,向員工和社會公眾普及安全生產知識�����,積極營造全員關心安全生產�����,參與安全發展的濃厚氛圍��。
三�、 開展安全教育,提高員工的安全意識
6月15日晚����,我網點開展了本單位安全檢查自查會����,部署了6月份安全檢查自查工作內容,共同學習了消防安全知識����,使員工學會如何正確使用消防器材�����,火災發生時疏散和逃生的要領等等����。
四���、 開展應急預案演練�,提高防范應急能力
“安全生產月”活動期間�,網點開展了安全教育、防火���、防盜、防搶劫��、防詐騙等應急預案的演練工作�����,通過應急預案的演練���,進一步檢驗和完善了應急預案,提高了員工的防范技能和應急處置能力���,起到了預期效果。
五��、 開展安全檢查�,加強安全管理�����。
“安全生產月”活動期間,XX紀委主任XX和安全保衛部主任深入我網點�,對、營業場所安防設施和消防器材的配備及使用運行情況進行了認真檢查��,對檢查中發現的安全隱患要求及時進行整改�,排除了隱患�,確保了安全生產無事故����。
篇4
在支行領導的支持下,保衛人員建立了監控設施管理檔案��、消防檔案和識別假身份證管理檔案等25類檔案�����,為日常安全保衛工作的持續管理奠定了基礎���。
2、積極主動配合大堂服務
當大堂客戶多時��,大堂經理手忙腳亂���,我們就會主動幫助大堂經理,并禮貌用語引導客戶;比如:幫客戶排號��,去自助區幫客戶取錢���,幫柜員評號等服務等���,得到了客戶的好評��。
3����、加強全員安全防范意識教育和技能培訓
今年以來�,我行把重視和加強對員工的安全教育,全面提高防范意識����,增強防范技能,作為安全防范工作的基礎來抓�,始終堅持“防范勝于治理”的原則,加強安全教育�。主要對員工進行案例教育����,組織員工熟悉“四防預案”,針對今年來銀行案件日趨頻繁的嚴峻局面�����,我們及時整理相關案例和分行下發的各種文件通報通知��,認真組織員工學習進行案例剖析���,針對我行自身的防范工作查找隱患,完善防范措施�,全年進行消防培訓3次���。
加強對前臺網點的防范技能教育��,主要側重學習相關規章制度和基本防范技能,掌握正確的操作程序以及發生緊急情況的應急措施,各種自衛武器報警設備監控裝置消防器材的操作使用等���。每季度舉行應急演練1次,使員工熟練地掌握了突發性事件及遇險的應急方法��,有效地提高了全員安全防范的能力�����。
篇5
一、完善安全防范設施建設����,確保安全保障功能
監控設施的陳舊、老化���,多年來一直困擾著我行,今年根據*行的安排�,我行順利地完成了對監控系統的改造,使監控系統符合了安全防范的要求�����,增強了技術防范能力�����。
同時對*樓的邊門進行了維修改造�,我行*樓的側邊門管理一直不是很好�,進出人員比較多,為了更好地加強邊門的安全檢查防范����,營業部專門召開會議研究了此事�����,要求綜合辦公室對邊門進行改造����,通過改造規范了側邊門的進出人員�����,確保了外來人員無法通過側邊門進入我行主樓��,確保了大樓的安全。
二�����、加強職工的安全防范教育�,增強員工防范意識
堅持抓職工的安全防范教育�,不斷的完善規章制度,強化制度的落實����,是預防案件消滅隱患�����,確保銀行安全的重要因素之一�����,使我行的內控外防機制更趨完善,提高了全員防范意識��。任何管理工作首先是人的工作�,人的工作的核心是思想教育����,保衛工作更不能例外�����。當前保衛工作面臨的形勢愈加嚴峻�,做好職工的防范教育已成為保衛工作的重要課題���。防范教育搞好了員工的防范意思就能得到提高,就可以在日常安全防范工作中筑起一道牢固的屏障���。所以我們始終把防范教育工作擺在安全保衛工作的重要位置。
領導抓�、層層抓,確定從領導抓起�����,一級抓一級�,形成層層抓防范教育的工作格局�����。一是增強領導自身的防范意識��,我行領導堅持以身作則�,牢固樹立“安全第一”的防范思想,把安全防范教育工作納入重要議事日程��,利用各種場合開展防范教育工作��,大會小會講安全����,定期召開安全工作會議,研究布置安全防范工作�����,定期組織一線員工學習案件簡報及案件通報的同時���,通過具體案例剖析,用活生生血的教訓教育廣大員工����、并對照自查�����。每逢節假日都親自檢查節日安全防范工作,按時到網點進行安全檢查��,對安全檢查存在的問題����,責成辦公室立即處理����,做到了快報快辦。
上半年我們組織員工觀看消防知識教育光盤����,印發了火災逃生自救的知識材料���,針對每年搞消防演練實際參與的人員少�,不能全員參加的情況����,保衛人員深入到各部室詳細講解消防器材的使用方法及發生火災后的處理方法,使員工得到教育和培訓�����,增強了員工的安全防范意識�����。
三����、規范安全檢查工作���,完善規章制度
對安全保衛工作����,安全檢查是關健�,只有加強檢查的力度���,才能發現問題����,只有發現了問題才能有針對性地加以解決��。我行嚴格執行上級行的要求去做�,堅持網點每日檢查�����,領導保衛部門每月檢查���,對檢查中存在的問題積極督促整改、跟蹤監督����,把隱患消滅在萌芽中�。為規范我們的安全檢查制度,我行加強了對營業網點側門的驗“證”管理�,實行“三證齊全����,領導和保衛人員陪同”的檢查制度���,使安全檢查更加規范化。
我行領導重視安全保衛和案件防范工作�����,真正做到了領導重視責任到人��,年初我行就組織各部(室)��、各專業簽訂了《安全防范責任書》,制定了《***安全保衛工作制度》���。同時還結合“第二期掃雷工程”和內控檢查����,對儲蓄網點進行明查暗訪����,對要害崗位人員做到經常定期輪換�����,對現實表現實行考核建立檔案�����,并對網點門鑰匙及權限卡進行嚴格管理和檢查����。我行加強值班工作��,常抓不懈���,每逢節假日及各項測試時間,領導親自布置��,親自組織測試���,帶頭值班,同時還要求保衛人員做好安全保障工作����。
四、存在問題
(一)����、少數員工防范意識差,有麻痹思想�����,執行制度和規定不夠嚴格�;
(二)�、上報的材料有時不夠及時;
(三)��、由于經費的關系���,不能保證每臺微機配置一個滅火器.
篇6
童瀛遇到的最新的網絡犯罪方法是利用微信紅包賭博,最新的應用是阿里的花唄����,通過大量盜取支付寶用戶賬戶��,幫助該賬戶提升信用�����,再利用信用惡意套取現金���。
網絡犯罪呈現隱密性強、復雜性強�、國際化趨勢等特點�����。然而�����,網絡犯罪的危害性遠比一般的犯罪危害程度更大�����、更廣泛��。以盜竊為例����,一般盜竊案涉案的金額主要是現金,最多達到幾十萬�、幾百萬元的水平����。而童瀛近期遇到的2個江蘇網絡詐騙案的涉案金額則達到1200萬和1300萬元。
DDoS攻擊(分布式拒絕服務攻擊)是比較常見的網絡犯罪攻擊方式��。據統計����,大約有50%的在線游戲公司和700A的商業公司遭受過DDoS攻擊;政府部門的情況更為嚴重�,80%都曾遭受過DDoS攻擊���。
童瀛指出���,DDoS攻擊一般分為3個階段。第一階段是僵尸網絡�����,第二階段是反射攻擊��,第三階段是智能����、物聯網設備�����。1998年���,DDoS攻擊主要來源于技術炫耀者;2003年,進入黑吃黑階段;2008年�,DDoS攻擊組織開始統一市場�����,向上發展��,公安部還曾組織專項打擊行動;2010年以來����,DDoS攻擊呈現全面蔓延的態勢�����。
童瀛總結DDoS攻擊的目的主要是行業競爭�、敲詐性勒索和惡意報復。2014年11月���,南通市多家網吧遭受DDoS攻擊���,就是敲詐性勒索�。今年3月,蘇州蝸牛公司遭遇的DDoS攻擊�,則是惡意報復�。
童瀛表示,作為黑客有高額金錢回報�、網絡犯罪成本低的特性�����,很容易導致網絡犯罪���。然而����,網絡犯罪所需要受到的法律制裁后果也很嚴重。據了解����,目前����,我國法律所界定的網絡犯罪主要有3種����,包括非法侵入計算機系統罪�����、破壞計算機信息系統罪�、利用計算機網絡實施的犯罪(例如網絡傳銷等)。
一般情況下�,只要利用網絡違法所得的金額在5000元���、癱瘓1萬名網絡用戶1個小時以上的時間�����、非法控制了20臺以上的電腦����,公安部門就可以立案�����。 而按照我國刑法286條第1款的規定����,違反國家規定���,對計算機信息系統功能進行刪除����、修改�、增加����、干擾��,造成計算機信息系統不能正常運行,后果嚴重的���,處5年以下有期徒刑或者拘役;后果特別嚴重的���,處5年以上有期徒刑。
因此���,童瀛建議,網安人員在網絡安全的道路上不要走偏����,不要陷入犯罪的漩渦;中小企業要健全應急響應機制����,盡可能多留存日志��,如果遭受攻擊����,最好的應對方法是報警;涉網單位要盡量提高自身的安全;普通網民盡量不要上非法網站,并從官方網站下載相應軟件���。如何保證P2P金融安全
自從余額寶推出之后�����,各個“寶寶”都開始涌現,金融行業在互聯網上得到了迅速的發展���,開啟了互聯網金融時代��。其中,P2P金融作為把投資者����、借貸者拉在一起的平臺和渠道,由于其15%左右的平均投資回報率受眾多投資者追捧���。 然而,作為創新的互聯網+模式���,P2P金融也面臨著雙重的常見風險�,既有來自互聯網的風險���,也有來自金融業的風險����?�!鞍酌弊哟髸鄙?���,萬達電商安全主任工程師林鵬深度解析了如何保證P2P金融安全��。
NSTRT團隊收集了在2014年互聯網金融行業中的134份安全漏洞報告�,其中來自業務設計缺陷的漏洞占主要比例,達到27%�。而P2P的業務流程����,一般包括注冊�、綁卡、充值����、購買理財、回收資金等步驟����。 在注冊環節,羊毛黨擼羊毛(活躍在各P2P平臺上��,專門參加注冊送積分�����、返現等優惠活動��,以此賺取小額獎勵)是一個普遍存在的現象。有時候��,羊毛黨還會和銀行���、平臺內外勾結���,圈起大量注冊用戶綁卡后卷錢跑路。這種現象并不少見��。
“目前已經形成了羊毛黨團體����,內部分工明確�。其中,家庭婦女和學生居多���,基本都是兼職��。很多人不知道P2P是什么,只是為賺錢照著做�����?�!绷柱i說����。 林鵬指出�����,應對羊毛黨的方法是要遏制他們的收入途徑��。在投資方面���,從業務角度防套利,不能讓人空手套白狼;利用羊毛黨防止被平臺反擼的心態�����,減少羊毛黨收益�,提高收益門檻;還有人工識別(客服掛電話)�、機器識別、大數據應用等�。
在綁卡的環節����,容易出現用戶套現行為。雖然一般都有實名驗證身份證號��、姓名和銀行預留姓名的環節���,但小的P2P平臺通常是借用公安部接口校驗身份證信息�����,想要騙過這些小平臺并不難�,因此并沒有起到真正實名驗證的作用��。 林鵬表示����,虛對綁卡環節的用戶套現�,P2P平臺要有4要素驗證,包括身份證���、銀行預留手機���、姓名和銀行卡號,另外還要有小額打款驗證�����。這些內容應該是所有涉及到互聯網金融的公司需要去做的����。
根據調查��,參與P2P業務的以男性為主����,年齡在20~40歲之間���,晚上18點是用戶投資高峰時段����,以微信和新浪微博傳播方式為主�����,尤其是微信的比例達到99.4%��,股票和基金是這些人最關注的投資品種��。林鵬指出,對于P2P平臺來說�,符合這些條件的基本上可以認定為合法用戶���,不符合的懷疑為非法用戶。
是否是非法用戶也可以通過用戶行為判斷���。一般正常的用戶行為包括一整套業務流程,從注冊登錄到充值�����、投資�、回款和提現�。而異常的用戶行為從注冊登錄后就一直停滯在編輯資料的環節。
篇7
一�����、由單一市場向全方位市場轉變���,努力實現路內、路外市場的協調發展����。
轉變工作重點,堅持營銷龍頭地位�。面對2011年以來嚴峻的市場形勢,七分公司快速轉變觀念����,進一步強化營銷工作的龍頭地位���,將路外市場作為營銷工作的重中之重,形成了全體員工立足本職���,人人關心營銷、人人支持營銷的良好局面�����,為營銷工作創造了良好的環境���。今年以來,七分公司福建南石��、莆永項目在同一業主泉州市交通局相繼中標,實現了公司在福建市場滾動發展�����。兩個項目的中標��,很大程度上是公司前期在福建泉(州)廈(門)高速公路在建時與業主和地方建立了良好關系的結果�,也是公司在福建市場實現以生產促經營����,實現良性循環的最好證明����。七分公司在山東青龍高速公路項目的中標,是繼青島海灣���、青島地鐵之后又一區域營銷的成果,再次證明了實力�����、誠信和業績是營銷的保證�。截至2011年6月底�,七分公司共承攬工程任務3項���,累計價值9.5億元,營銷任務完成量在局各子(分)公司中排名第五��。七分公司根據目前的形勢��,采取切實有力措施��,積極介入水利�、環保和機場建設的新市場、新領域��,提早把握國家水利建設的4萬億建設期����,深入細致捕捉水利領域的招標信息,力爭實現新突破�����。
轉變營銷策略�����,加速實現營銷生產一體化�����。按照局推行生產營銷一體化管理的要求���,七分公司按照領導區域分工,負責統一指揮協調分管區域內的營銷����、生產工作,對區域內項目經理部�、辦事處實行一體化管理�����,每月召開區域內的營銷生產協調會��,徹底解決生產營銷“兩張皮”問題����,適應形勢變化和市場需求�。公司在原有西安�����、青島�����、新疆�、蘭州經營性辦事處的基礎上�����,增設青海��、寧夏、廣西����、廣東辦事處����。同時加強對各辦事處的業績考核���。以有力的獎懲機制,調動激發經營性辦事處在推動市場營銷中的積極性�����。此外����,七分公司將機關經營部擴充為經營開發中心�����,在選擇優秀員工補充到經營部����,加強營銷力量的同時�,在部門內部啟用崗位流程化和業務流程化管理,進一步明確崗位職責�����,按照工作業務職責編制業務流程��,建立工作例會的長效機制���。每月召開一次營銷工作專題會,針對當月營銷工作的開展情況�����、任務落實情況進行分析��、總結����、評估,對下月工作再布置�、再安排、再要求��。投標后���,不論是否成功均召開分析會��,總結經驗��,指導、改進后續工作��。公司財務部����、債權管理部�����、責任成本中心與經營部聯合對接�,從財務資金的角度支持和配合營銷工作�,優先確保投標現款保證金和銀行保函資金需求,通過部門的對接���,在資金方面加大對營銷工作的支持��。
重視信用評價工作,加大信用評價獎懲力度�����。七分公司牢固樹立“干好今天的現場,就是明天的市場”的理念���,強化干好在建項目推動營銷工作的意識,高度重視信用評價工作��。公司對《非鐵路工程項目質量信用評價管理及獎懲辦法》進行了修訂���,加大了獎勵力度。建立了以路外信用評價為主����、業主和地方主管部門日常檢查為輔的獎懲機制,建立了以在建項目推動滾動發展為目標����、以在建項目經理為主責的生產經營一體化獎勵機制��,建立了收集業主評價反饋制度�����。公司工程部定期向在建項目業主單位發函��,征詢對在建項目的正式檢查�����、評價結果和對在建項目經理�����、書記的評價意見��,促進項目的綜合進展,推動信用評價工作的穩步提升����。七分公司甘青11標經理部(代局指)在2011年上半年蘭新鐵路甘青公司組織的信用評價中,在全線18個標段中獲第三名���,為局鐵路信用評價做出了積極貢獻。公司瓜星經理部在施工環境惡劣���、難度大�����、物資設備����、人力資源匱乏的條件下��,認真落實各項制度��,強化項目管理���,在甘肅省公路局召開的局管項目部工作會上被評為“2010年度局管建設項目先進標段”。公司武罐3標��、5標����、22標三個項目���,發揮區域集中�、優勢互補效應���,在抓好施工生產的同時�,注重與業主的溝通����,樹立了良好的信譽和形象,在甘肅路外市場信用評價中獲得3個A級資質����,有力的促進了甘肅市場的滾動發展。
二、由規模擴張型向質量效益型轉變�����,提高企業發展的質量和效益�。
七分公司面對急劇變化的市場形勢�,困難和機遇并存,客觀冷靜分析���,果斷向質量效益型企業發展轉變��。
捍衛質量,保衛安全�,全面夯實質量基礎�。自2010年以來�����,七分公司在鞏固安全質量管理制度方面嚴格做到七個堅持:一是堅持內部“曝光臺”制度��。公司各項目經理和安全總監或安質部長是執行安全質量內部曝光臺制度的第一責任人����,每天到現場檢查違規違章����、安全質量隱患��,對存在的問題限期整改���,對常見的安全質量通病令行禁止�,通過負面曝光��,提高質量意識���。二是堅持隧道���、地鐵���、既有線作業領導干部跟班作業制度�����。公司監督轄內各項目部做好施工記錄,做到可追溯���、可分析,加強現場管控力度����。三是堅持重大危險源監控報告制度。公司加強對重大危險源的識別��,責任到人����,實施有效監控,配備專人負責監控量測工作���,建立監控臺帳���,做好動態監控。七分公司將青島地鐵項目部施工區域內的地表建筑物保護特別是12處國家級文物保護�����,列為重大科研攻關課題����,組織召開專家會深入研究,持之以恒跟蹤落實保護措施�����,確保了文物保護的萬無一失�。同時����,公司對高風險項目技術監控��、超前地質預報��、仰拱襯砌至掌子面距離等關鍵控制數據,嚴格執行技術規范“紅線”規定����,并通過手機信息向公司領導定時通報�����。四是堅持火工品管理日檢查���、周通報制度���。公司對火工品的采購���、運輸、入庫�、點收、保管�����、發放�����、監爆���、回庫等各個環節的記錄、臺賬���、安全措施的檢查�����,形成制度化和常態化�����。五是堅持落實隱蔽工程和攪拌站“旁站”制度。七分公司把“旁站”作為抓安全質量工作的關鍵環節���,杜絕出現安全質量監控空白區和死角�,絕不因搶進度而弱化����,明確責任人,“旁站”記錄翔實�,簽字及時,對每一個環節�����,監理�����、協作隊伍負責人和“旁站”記錄人全部簽字確認���,杜絕隱患、規避風險�����。六是堅持推廣“工序工藝安全質量控制卡”制度。公司為每一名管理人員配備控制卡片�,操作人員隨身攜帶,施工過程中嚴格執行��,保證所有工序施工質量安全受控��。七是堅持優質工程(工序)評選�����。在2011年領導干部會議期間�����,公司舉辦全公司樣板工序�����、工程評選����,每類工程(工序)評選出兩個優質樣板予以獎勵�����,并作為全公司“首件”樣板工程��,同時作為標準在全公司推廣��,以推動全公司工程質量上水平�、上檔次�、出精品。
開源節流��,挖潛增效���,提高公司經濟運行現狀。七分公司通過各項措施���,努力改善公司目前的經濟運行狀況����,在全公司上下牢固樹立過“緊”日子思想���,杜絕大手大腳、鋪張浪費��,齊心協力�,抓住“忙”的要點���,深化核算管理�,加大成本管控力度����,開源節流�����,在現有生產經營規模的條件下確保企業經濟效益���。公司堅持和深化經濟活動分析制度�����,對各單位驗工收入、責任成本執行情況����、項目毛利率、現款上繳完成比例�����、資金集中度��、員工收入等主要指標進行格式化的橫向對比�,查漏補缺。對存在的問題�����,公司所屬各單位主要領導要向公司解釋原因�����,提出解決辦法�����,對虧損項目進行專項預防和治理����,按照“虧損原因不清楚不放過�����、沒有實現減虧目標不放過����、虧損責任人沒有處理不放過”的“三不放過”原則����,采取切實措施控制項目經費支出和責任追究��。機關職能部門對其進行專項督察��,限定整改期限�、落實整改措施���,并將整改效果予以通報�����。2010年以來���,七分公司先后出臺《商業匯票結算管理辦法》、《進一步加強現款保證金和銀行函證管理辦法》���、《商業保險集中管理辦法》等文件����,通過群策群力���,集思廣益,資金管理工作取得了一定成效��,一定程度上緩解了公司資金壓力�����。公司采取嚴肅項目現款上繳紀律��;上繳方式由集中繳納改為分月繳納����,財務部每月下達上交款計劃,次月通報完成情況�;問責機制等措施,加強資金集中管理工作����。截至2011年6月底��,公司整體資金集中度在85%以上,取得了長足進步�����。七分公司充分發揮通過商業匯票支付方式緩解公司資金壓力的杠桿作用,加大在建項目推廣并規范采用商業匯票方式(項目繳納100%保證金)延期支付款項�����。截至2011年6月底����,公司辦理了10251萬元銀行承兌匯票票據,保證金賬戶存款8667萬元����,保證金比例達85%�����,確保到期兌付��。七分公司將應收款和已完工未結算的清欠工作作為提高企業效益的一個重要方面�����。由債權管理部牽頭���,項目經理為“雙清”工作第一責任人����,明確清收時限����,強力推行清欠工作目標管理��、責任管理和動態管理���。認真評估業主資金狀況�,敦促業主及時支付各種預付款�����、完整計取驗工計量款�、足額計取風險包干費、最大限度地收取工程欠款����,在各節點上不留遺憾���、環環緊扣���,使各種未清欠的應收賬款降到最低。公司在2011年上半年重點對現款保證金�����、銀行保函等進行了徹底清理、清欠����,取得了較大成效。截至6月底���,共收回各類欠款7829.6萬元。
三����、由勞動密集型向管理密集型轉變�,全面加強企業管理����。
2010年以來���,七分公司從施工生產管理��、物資管理�����、協作隊伍結算與成本控制等多方面多舉措強化管理,總結出了一套較為有效的管理方法���,促進了企業由勞動密集型向管理密集型轉變���。
加強施工生產組織及計劃管理。一是實行公司領導區域管理�。七分公司進一步落實責任���,加強項目管理力度�,協助項目解決施工生產中存在的問題,保證各在建項目施工生產正?���;?���,確保工程安全質量可控。二是以節點目標責任書推動施工進度�。公司主要領導���、分管領導深入現場����,以召開專題推進會形式�����,制定節點目標責任書,明確時間�、責任人�,推動了現場施工進度和管理�,2011年以來共召開現場專題會議19次�����,三是抓好新中標項目施工調查�����。在新中標項目開工前�,公司組成施工調查小組深入現場詳細調查�,編制調查報告,對項目臨時工程進行規劃�����,形成施工調查報告�,確保經理部進場后能盡快組織施工生產���,為項目管理奠定了良好基礎����。四是強化調度系統管理職能。公司推行各在建項目日完成產值通報制度�����,每天由調度以短信形式通報各在建項目日完成產值情況�����,將短信發送給公司領導�、所有在建項目經理�。對于重���、難點項目的關鍵工序�����,項目經理每天必須給公司領導發專題手機信息�。這樣做一方面讓公司能準確了解現場進度���,另一方面督促項目經理多深入工地�����,多關注工地,較好的促進了施工生產����。五是公司每周在內部網站對各單位日完成產值進行通報,以此督促各在建項目按日分解任務���、按日推進施工進度。六是建立了月度計劃未完成項目回公司交班制度�����。公司要求當月排名最后兩名的項目部黨政主要領導回公司交班�����,說明未完成原因�����,并視情況予以處罰�。同時����,公司會同生產部門和項目主要成員召開專題辦公會,針對落后項目現狀����,梳理產值計劃,明晰節點工期�,采取強力推進措施。
篇8
2海外鐵路工程安全標準化實施的重要性
對于承包海外工程項目的企業��,工程所在國的業主對于安全管理特別嚴格��,特別是鐵路工程項目����,都是政府項目����,中國企業在海外工程項目實施過程中一旦發生安全事故����,不僅僅是人身傷害或者設備損壞,嚴重的將影響中國企業公司形象�。筆者參與的印度鐵路項目為印度政府向世界銀行貸款投資建設����,世界銀行全程監控項目執行過程,一旦發生惡性安全事故�����,企業被列入“黑名單”���,恐怕企業在世界銀行投資的項目和印度將再無立足之地,特別嚴重的還可能造成惡劣的政治和外交影響��。這就對海外工程項目的安全管理提出更加嚴峻的考驗����。
3實施海外項目安全標準化管理的具體內容
項目部要成為安全生產的責任主體,必須形成“層層負責�����、事事負責�����、人人負責”的良好局面��,實施安全生產標準化所遵循的原則是“管理制度標準化��、人員配備標準化���、現場管理標準化和過程控制標準化”,通過以上原則�����,安全責任有了牢固的基石��,使安全標準化得到有力的保障����。3.1管理制度標準化沒有規矩不成方圓���。一個項目健全�、適用��、科學的安全管理制度�����,是全體項目成員必須遵守的行為準則��,其宗旨是全體項目成員的生命安全和企業的財產安全�?!耙幏蹲鳂I人員的行為安全”一直是項目安全管理工作的重中之重���。唯有如此���,項目安全生產工作才從職工的行為上得到控制��,這也是安全標準化的具體表現��。項目部根據印度鐵路行業有關建設管理的法律法規文件和項目合同����,結合項目實際情況,編制安全標準化管理制度�����。制度需明確安全管理目標�,組織機構,危險源管理�����、安全方案���、應急管理方案,明確工作要求���,細化工作流程�����,落實人員責任,完善考核制度��。編制制度至少包括:安全風險辨識����、安全風險評估�、重大危險源管理����、應急預案和匯報制度等�。3.2人員配備標準化。開展安全生產標準化工作涉及到項目全體成員�、全過程和全方位��,因此����,只有項目主要領導高度重視�����,才能在人�����、財���、物等方面給予支持和投入���,以保證安全目標的實現。建立并落實全員安全生產責任制�����,實現對項目部和分包商的制約功能����、監督功能和檢查評價功能����,落實“管生產必須管安全”的原則,明確各級管理人員���、各部門、各個分包商�����、各個現場施工隊的管理職責���。人員配備標準化要求根據項目工作崗位配備具有相應技能�、能力�、知識和溝通協調能力的人員,工作人員素質能力滿足崗位要求�。確保項目現場成員接受過安全入場培訓,培訓內容至少包括:當地安全法律法規�����、項目的安全方針目標���、現場工作環境介紹、安全防護用品的佩戴使用���、工作期間可能遇到的危險源、應急計劃�、現場福利設施等內容��。項目部組織開展安全宣傳周�,安全知識競賽,安全討論會�,張貼安全海報等方式提高項目成員安全意識。3.3現場管理標準化���。將安全管理制度發放給全體項目成員和全體分包商����,使參與項目建設的人員熟悉制度,自覺執行制度����。同時加強對管理制度執行情況的監督�����,將制度執行情況納入考核范圍���,建立定人����、定期�����、定崗��、定責�、定點的檢查制度,檢查方式應包括:常規檢查���、專項檢查、突擊檢查等�。對制度進行定期評估,使制度和實際情況緊密結合�����,避免“兩張皮”情況發生�����。3.4過程控制標準化���。過程控制標準化將現場標準化管理貫穿整個項目過程��,將標準化對項目實施全過程管理�����。為提高項目成員安全風險意識和應急能力���,以預案����、培訓�����、演練為主線�。針對辦公場所����、施工場所和料庫等開展防火安全隱患重點場所,組織消防應急演練和防汛應急演練����;對施工現場防高空墜落應急演練���;對宿舍區開展消防�、食物中毒等進行專項應急演練����。每月召開由業主�、監理公司�����、承包商��、分包商和其他相關方參與的安全委員會會議�,會議議題至少包括:上月現場安全總體情況����、上月安全檢查情況�、上月事故狀況、審核發現問題的關閉情況�,下月安全工作計劃等內容。對分包商開展月度安全評級���,由業主代表、監理公司代表和承包商代表組織檢查組依據提前編制月度安全檢查方案對項目工程現場進行安全檢查����,要求必須覆蓋全部分包商和高風險作業,根據檢查情況�����,對分包商進行打分和評定等級�,作為月度安委會的輸入資料����,通過月度安全等級評分制度,可以幫助分包商提高遵守法律法規��、合同中安全條款的程度����。為控制醫療衛生�、職業環境、傳染病等職業健康風險���,通過采取重點部位監測,職業危害告知���、個人勞動防護等措施�����,切實履行職業健康的防范工作���,有效保護員工身心健康�。開展如下工作:1)職業健康體檢:項目部應組織所有入職員工(需含外籍員工)進行入職體檢�����。2)與項目成員簽訂合同時���,應將項目實施中可能產生的職業危害及其后果和防護措施如實告知項目成員,并在勞動合同中明確�����。3)對工程作業現場塵毒���、噪聲、化學危害���、高低溫傷害���、輻射傷害等應有防護措施�����,設置標識����,配備防護用品,并留存防護用品發放記錄���。4)應配足、配好勞保規定的勞動防護用品�。5)項目部應建立員工突出疾病或突發疫情時的應急處置機制;項目部應了解當地常見疾病及其預防措施�,密切關注所在國疫情發展,采取必要預防措施�����,按規定做好疫情的報告���。6)施工現場設置工人休息帳篷和飲用水��,監控溫度指數情況并及時預警提示施工人員避免發生中暑�、曬傷等情況�����。由于語言��、文化和習俗等方面的差異��,項目所在國籍勞務人員安全意識淡薄�����,風險意識缺乏、管理難度較大�����,需完善項目所在國籍勞務人員的招聘��、培訓����、考核和解聘等管理工作。聘用當地施工管理人員和安全員�����,這樣可以提高溝通效率���,及時化解矛盾,減小和規避潛在的工程安全風險��。
篇9
1網絡安全總體狀況分析
2007年1月至6月期間�����,半年時間內���,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%�����。
從CNCERT/CC掌握的半年情況來看����,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段�����,且攻擊行為趨利化特點表現明顯���。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能�����。對中小企業����,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索���,影響企業正常業務的開展。對于個人用戶����,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號����、銀行賬號����、密碼等����,竊取用戶的私有財產��。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術����,被廣泛應用在網上銀行�����、電子商務�、網上調查��、網上查詢���、BBS���、搜索引擎等各種互聯網應用中。但是���,該解決方案在為我們帶來便捷的同時�����,也帶來了嚴峻的安全問題����。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論���。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中��,當創建或者修改一個ASP文件時����,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件����,攻擊者可以直接下載,這樣源程序就會被下載�。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔�。對以BAK為后綴的文件要特別小心����。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前�����,可以被某些搜索引擎機動追加為搜索對象��。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位�����,并能在瀏覽器中查看到數據庫地點和結構的細節��,并以此揭示完整的源代碼��。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密���,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼�����。
3.2對ASP頁面進行加密�����。為有效地防止ASP源代碼泄露�,可以對ASP頁面進行加密�。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中���;二是使用微軟的ScriptEncoder對ASP頁面進行加密����。3.3程序設計與驗證不全漏洞
驗證碼�����。普遍的客戶端交互如留言本�����、會員注冊等僅是按照要求輸入內容�,但網上有很多攻擊軟件,如注冊機��,可以通過瀏覽WEB��,掃描表單���,然后在系統上頻繁注冊,頻繁發送不良信息�����,造成不良的影響�,或者通過軟件不斷的嘗試��,盜取你的密碼�����。而我們使用通過使用驗證碼技術���,使客戶端輸入的信息都必須經過驗證����,從而可以解決這個問題�����。
登陸驗證���。對于很多網頁,特別是網站后臺管理部分�����,是要求有相應權限的用戶才能進入操作的���。但是,如果這些頁面沒有對用戶身份進行驗證���,黑客就可以直接在地址欄輸入收集到的相應的URL路徑���,避開用戶登錄驗證頁面�,從而獲得合法用戶的權限���。所以,登陸驗證是非常必要的����。
SQL注入。SQL注入是從正常的WWW端口訪問��,而且表面看起來跟一般的Web頁面訪問沒什么區別�,所以目前市面的防火墻都不會對SQL注入發出警報�����,如果管理員沒查看IIS日志的習慣�,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式��,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數�����。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼���,利用執行SQL語句來判斷用戶是否為合法用戶����。試想�,如果黑客在密碼文本框中輸入''''OR0=0�,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的�����,最后結果就是該黑客成為了合法的用戶����。
B.用戶輸入:假設網頁中有個搜索功能�����,只要用戶輸入搜索關鍵字��,系統就列出符合條件的所有記錄,可是��,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表���,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22����,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句��,這種情況很常見��?��?墒牵绻诳蛯⒌刂纷優镠TTP://……asp?id=22anduser=0��,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話�,黑客就獲得了數據庫的用戶名��,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用���,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式���,可以構造出各種各樣的sql入侵。作為程序員����,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符�;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符���,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺�,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入�,立即終止程序,但不進行提示�,同時���,將黑客IP�、動作、日期等信息保存到日志數據表中以備核查���。
第四:對于參數的情況�,頁面利用QueryString或者Quest取得參數后����,要對每個參數進行判斷處理��,發現異常字符�,要利用replace函數將異常字符過濾掉,然后再做下一步操作�����。
第五:只給出一種錯誤提示信息����,服務器都只提示HTTP500錯誤��。
第六:在IIS中為每個網站設置好執行權限��。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了�,對于那些通過網站后臺管理中心上傳的文件存放的目錄�����,就更吝嗇一點吧����,執行權限設為“無”好了���。
第七:數據庫用戶的權限配置��。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限����,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇���,同學錄等網站系統都提供了文件上傳功能���,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件����,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前�,加入文件類型判斷模塊,進行過濾��,防止ASP���、ASA、CER等類型的文件上傳����。
暴庫。暴庫��,就是通過一些技術手段或者程序漏洞得到數據庫的地址��,并將數據非法下載到本地��。
數據庫可能被下載�����。在IIS+ASP網站中���,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名��,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單���,即使設置了密碼����,解密也很容易���。因此,只要數據庫被下載��,其信息就沒有任何安全性可言了�。
防止數據庫被下載����。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載�,就成了提高ASP+Access解決方案安全性的重中之重���。以下兩種方法簡單�、有效。
非常規命名法�����。為Access數據庫文件起一個復雜的非常規名字��,并把它放在幾個目錄下��。
使用ODBC數據源�。在ASP程序設計中���,如果有條件����,應盡量使用ODBC數據源���,不要把數據庫名寫在程序中����,否則����,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密�。經過MD5加密,再結合生成圖片驗證碼技術����,暴力破解的難度會大大增強。
使用數據備份�����。當網站被黑客攻擊或者其它原因丟失了數據�,可以將備份的數據恢復到原始的數據����,保證了網站在一些人為的���、自然的不可避免的條件下的相對安全性�����。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能�,所以這種ASP腳本的木馬后門�����,不會被殺毒軟件查殺����。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除��。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單���,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬����。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密����,躲藏殺毒軟件�,怎么辦�?
我們可以利用一些FTP客戶端軟件(例如cuteftp����,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件�,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬�,可以將代碼插入到指定web文件中�����,平常情況下不會顯示����,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高��。BeyondCompare2這時候就會作用比較明顯了���。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕��。
大家在查找web空間的asp木馬時�,最好幾種方法結合起來����,這樣就能有效的查殺被隱藏起來的asp木馬���。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁�,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證����,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性�,不能過于簡單�����,還要注意定期更換�。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改���,數據庫文件名稱也要有一定復雜性���。
要盡量保持程序是最新版本���。
不要在網頁上加注后臺管理程序登陸頁面的鏈接�。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面�����,下次維護時再通過上傳即可��。
要時常備份數據庫等重要文件�。
日常要多維護����,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵�,除非自己能識別出所有木馬文件,否則要刪除所有文件��。重新上傳文件前��,所有asp程序用戶名和密碼都要重置���,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施�����,您的網站只能說是相對安全了�����,決不能因此疏忽大意�,因為入侵與反入侵是一場永恒的戰爭�!網站安全是一個較為復雜的問題,嚴格的說����,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序���,將各種可能出現的問題考慮周全�,對潛在的異常情況進行處理���,才能減少被黑客入侵的機會。
參考文獻
篇10
他們坦然面對記者說出了這背后的故事。
國稅總局在風險評估實踐中總結出的差距分析法
有句話是這么說的:道路是什么�,道路是人在沒有路的地方用腳踩出來的。
人生的道路是這樣�,信息安全之路也是這樣。當安全威脅成為信息化進程最大阻礙的時候�����,如何踩出一條網絡信息安全之路����,就成為政府主管部門思考的問題����。
2006年,為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件)�,形成與國際標準相銜接的中國特色的信息安全標準體系,以更好應對未來日益嚴峻的信息安全威脅����,國務院信息化工作辦公室會同相關部門��,組織了三項信息安全試點��,包括:電子政務信息安全試點、信息安全風險評估試點����、信息安全管理標準應用試點�?�?偣灿腥嗉以圏c單位參加了相關試點工作���。
因為涉及國家信息安全未來標準和技術道路的探索�����,所有的試點單位一直都仿佛蒙上一層神秘的面紗��。這些探索者究竟做了一些什么工作����?它們的先行又為我國信息安全事業踏出什么樣的實踐之路�����?近日�����,在國信辦召開的全國地方信息安全處長會議間歇���,記者走近本次試點工作六個優秀試點單位代表����,揭開了一直罩在這些試點單位頭上那層神秘的面紗�����,看到了他們的努力和汗水�����,以及試點工作探*索出來的寶貴經驗���。政務馳入安全互聯網模式
試點方向:電子政務信息安全
訪談人物:河南省濟源市信息辦副主任焦依平
電子政務是國家信息化的重中之重,而信息安全又是電子政務順利完成的重中之重����。
為貫徹落實中辦發27號文件精神,研究解決電子政務信息安全建設和管理中的一些共性問題��,探索電子政務信息安全保障方法�,國信辦會同國家保密局、國家密碼管理局����、公安部十一局,從2005年10月開始�����,在廣東��、河南、天津�、重慶4個省市開展了電子政務信息安全試點。
這4個試點具體方向各有不同�,其中河南濟源市探索的方向是如何基于互聯網開展電子政務建設、保障信息安全問題���?���!拔覀儼凑铡0踩?����,促應用’的思路��,構建了基于互聯網的電子政務信息安全保障體系�����,探索出了一條低成本建設電子政務的新路子���?����!苯挂榔浆F在談起試點,依然抑制不住激動的心情����。
焦依平介紹說,濟源市通信光纖現已覆蓋到村�����,政務部門全部接入了互聯網����,但是統計下來�����,濟源市政務信息中部分總量不超過3%。如果僅為了3%的信息傳遞投入巨資建專網���,顯然投入和效益不能平衡�,這也與電子政務建設的初衷相違背��。為此���,濟源市按照國信辦和河南省信息辦的要求,不拉專線�,完全基于互聯網�����,開展電子政務建設��。
濟源市試點系統建設內容包括以下幾項:一是基于互聯網建設連接全市所有黨政部門和鄉鎮的電子政務網絡�;二是在互聯網上建設政務辦公��、項目審批管理���、12345便民熱線����、新農村信息服務等4個應用系統;三是在進行網絡和應用系統建設的同時開展信息安全試點����,建設基于互聯網電子政務信息安全支撐平臺。
那么�,如何真正用技術實現政務網絡互聯網辦公的安全需求呢?焦依平介紹說����,試點工程遵循信息安全系統工程思想����,按照“適度安全,促進應用��,綜合防范”的原則和等級保護的要求,采用集成創新的技術路線�����,綜合運用以密碼為核心的信息安全技術�,合理配置信息安全保密設備和安全策略,建設一個技術先進����、安全可靠的基于互聯網的電子政務信息安全支撐平臺��,形成一體化的分級防護安全保障體系���,為電子政務提供可靠���、有效的安全保障。
從安全技術實現上�����,據焦依平介紹,濟源市試點工程的安全支撐平臺涉及網絡安全和應用安全兩部分�����,本次試點網絡安全系統共建設7個安全子系統:一是VPN系統,由VPN密碼機�����、VPN客戶端和VPN管理系統組成��,共同完成域間安全互聯�、移動安全接入、用戶接入控制與網絡邊界安全等功能���,其中中心機房的VPN密碼機帶有防火墻功能;二是統一身份認證與授權管理系統�,完成用戶統一身份認證、授權管理等功能����;三是網絡防病毒系統,部署于安全服務區�,完成網絡防病毒功能;四是網頁防篡改系統����,部署于政府網站,提供網站立即恢復的手段和功能�;五是入侵檢測系統,部署于中心交換機��,對網絡入侵事件進行主動防御�;六是網絡審計系統部署于中心交換機,對網絡事件進行記錄�,方便事后追蹤��;七是桌面安全防護系統�����,部署在用戶終端���,提供網絡防護����、病毒防護�、存儲安全���、郵件安全等一體化的終端安全保護。
對于目前試點效果,焦依平認為���,從實際效果來說���,一是低成本建設了安全的政務網絡,實際投入620萬元���,比原計劃專網方式預算總投資節約48.3%�;二是實現了安全政務辦公和可信政務服務����,全市各部門已100%實現了安全互聯���,網絡可達鄉鎮��,試點村���;三是實現了安全的移動辦公,打破了電子政務應用只能在本地訪問的局限�����。而從長遠來講,濟源市已經初步建成安全����、開放、實用的全面基于互聯網的電子政務系統�。
電子政務內外互通
試點方向:電子政務信息安全
訪談人物:廣東省信息中心副主任曾強
目前,妨礙電子政務系統互聯互通的主要原因就是由此帶來的信息安全問題���。跟濟源市試點方向不同,廣東省的試點方向主要是通過等級保護�����,探索解決省�����、市���、縣(區)電子政務系統的信息共享與互聯互通問題����。曾強介紹說����,面對國信辦試點布置的這個大命題,廣東省將試點命題細化成以下幾個方面:由廣東省民政廳及東莞�、深圳兩市民政局以及地下救助站完成民政4個業務系統縱向互聯互通試點;由省政府辦公廳完成視頻會議系統省府門戶網站試點��;由佛山市政府完成財稅庫銀互聯互通系統試點��;由江門市政府完成開放互聯環境下的信息安全解決方案試點��;由佛山市南海區政府完成大社保6個分系統橫向互聯互通試點����。
關于如何解決在不同的電子政務系統之間���,安全實現互聯互通以及資源共享問題�,曾強介紹說����,試點工作中����,廣東省綜合運用等級保護和風險評估相結合的方法���,確定了解決互聯互通問題的基本思路:一是明確系統的重要程度,確定系統安全等級�����,采取與系統安全等級相適應的安全保護措施��;二是按照有條件互聯�、共享可控制的原則����,確定需要共享的系統和應用以及需要共享的數據,保證只共享那些確實需要共享的數據����,以保護系統中原有信息的安全;三是在進行系統互聯的部門之間建立共同的安全管理機制�����,明確系統互聯后的安全管理責任��、管理邊界��、安全事件協同處理等機制;四是對系統互聯的安全風險進行評估�,全面分析低安全等級的系統給高安全等級的系統帶來的安全風險;五是針對系統互聯的安全風險�,確定關鍵的安全控制要素,如互聯邊界的訪問控制��、系統互聯的安全傳輸等����,并落實具體的安全措施���,保障系統互聯�、數據共享的安全�。
在以上措施的執行下,廣東省取得了初步成功���,形成了《廣東省電子政務系統定級規范》���、《廣東省電子政務系統互聯互通安全規范》等地方指導性文件。
風險規避預先保障
試點方向:信息安全風險評估
訪談人物:國家稅務總局處長李建彬
上海市信息化委員會信息安全測評中心
總工程師應力
信息網絡���,風險無處不在�����,防患于未然是上上之策��。這也是風險評估安全保障的內涵所在���。國信辦于2005年2月組織北京市、上海市���、黑龍江省����、云南省�、中國人民銀行、國家稅務總局��、國家電網公司��、國家信息中心等地方和部門開展信息安全風險評估試點工作�����。
國家稅務總局在廣東地稅南海數據中心所進行的風險評估試點,最大的亮點就是具有創新精神的“差距分析法”���。
李建彬在介紹廣東南海試點經驗時,將差距分析法用一句話概括��,就是“通過找出安全目標與現實系統差距���,從而得出風險分析報告”����。在試點工作中��,李建彬感觸最深的就是��,要對系統生命周期的整個過程都持續不斷地引入風險評估���,盡量避免“先運行��,后評估”的亡羊補牢式工作流程��,以降低信息系統整體的信息安全風險等級���。此外��,李建彬還提出在風險評估工作具體實施過程中必須重點考慮以下幾點:
首先是風險評估與等級保護有密切的關系�����。類別和級別都是信息系統的固有屬性�����,通過風險評估可以識別系統的類別和安全級別����,從而落實“等級保護”這一國家政策����。但是系統的安全級別不應該一刀切,可考慮將系統最高安全級別部分的安全等級作為系統的安全等級��。其次是系統分析是系統安全評估的基礎工作�。再次是行業性系統安全要求在風險評估中起決定作用,不同行業的系統有著不同的安全要求��,必須為不同行業���、不同類型的系統制定適應其特點的系統安全要求���。最后,通過安全風險評估工作進一步完善系統安全總體設計����。
上海市在很早的時候就開始對風險評估進行探索。2002年上海市就確立180家重點信息安全責任單位(2004年調整為163家)�����,涉及重要政府部門���、公共事業單位、基礎網絡和涉及國計民生的重要信息系統�����。2006年�����,上海市了《上海市公共信息系統安全測評管理辦法》�����,又于2007年1月出臺了《上海市市級機關信息系統建設與管理指南》����。之后,上海市信息委又出臺了關于風險評估工作的實施意見���,明確建立自評估與檢查評估制度的原則�����、工作安排。
上海市信息安全測評中心總工程師應力博士在介紹上海市的風險評估實踐經驗時�,多次強調要引導各單位進行自評估建設,讓信息安全風險評估成為政府及企事業信息安全建設的常態���,在系統的設計階段����、驗收階段��、運行階段��,都需要進行風險評估工作,形成“預防為主��,持續改進”的風險評估機制���。應力認為,對信息安全主管機關來說�,風險評估是一種管理措施,通過風險評估��,領導者可以了解信息系統的安全現狀����,從而為管理決策提供依據。
信息安全重在管理
試點方向:信息安全管理標準應用
訪談人物:北京市海淀區信息辦主任張澤根
深交所ISMS項目組張興東
有專家提出:“信息安全系統是三分技術�,七分管理?���!笨梢娦畔踩芾碓谡麄€信息安全保障體系中的重要性��。
國信辦網絡與信息安全組與全國信息安全標準化技術委員會共同于2006年3月開始�����,在北京市�、上海市、國家稅務總局�����、中國證監會和武漢鋼鐵(集團)公司選取了相關單位�����,對國際上通用的���,也是已經列入國家標準制��、修訂計劃的兩個信息安全管理標準,即ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理使用規則》�,組織了應用試點。
北京市海淀區信息辦張澤根主任在具體介紹北京市海淀區信息安全管理體系實踐經驗時��,感觸最深的就是在參考國際標準ISO/IEC27001和ISO/IEC17799的基礎上����,結合海淀區原有ISO9001管理體系,取得了事半功倍的實際效果�。通過ISMS的運行實踐���,海淀區信息辦建立了信息安全管理體系����,為進一步通過ISO/IEC27001認證做了很好的準備,同時還對ISMS與風險評估和等級保護的關系進行了有益的探索�。ISMS為解決海淀區信息安全問題,提供了良好的方法和管理機制����,并且為政府的信息化建設通過避免安全事故和合理分配經費兩種方式很好地節約了建設經費。
篇11
但是�����,在世界范圍內���,黑客活動越來越猖狂�,黑客攻擊者無孔不入�����,對信息系統的安全造成了很大的威脅���,對社會造成了嚴重的危害。除此之外�����,互聯網上黑客網站還在不斷增加�����,這就給黑客更多的學習攻擊的信息�����,在黑客網站上����,學習黑客技術����、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯網的威脅����。如何才能保障信息系統的信息安全����,怎樣才能確保網絡信息的安全性����,尤其是網絡上重要的數據的安全性。
在通信領域�,信息安全尤為重要,它是通信安全的重要環節�。在通信組織運作時���,信息安全是維護通信安全的重要內容��。通信涉及到我們生活的許多方面��,小到人與人之間聯系的紐帶����,大到國與國之間的信息交流�����。因此,研究信息安全和防護具有重要的現實意義���。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知�,未來的社會是信息化的社會�,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點��,如果信息安全防護工作跟不上�����,一個國家可能面臨信息被竊���、網絡被毀��、指揮系統癱瘓���、制信息權喪失的嚴重后果。因此�����,信息安全防護不僅是未來戰爭勝利的重要保障,而且將作為交戰雙方信息攻防的重要手段����,貫穿戰爭的全過程。一旦信息安全出現問題���,可能導致整個國家的經濟癱瘓��,戰爭和軍事領域是這樣,政治��、經濟��、文化�、科技等領域也不例外。信息安全關系到國家的生死存亡�,關系到世界的安定和平。比如�����,美國加利弗尼亞州銀行協會的曾經發出一份報告����,稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞��,造成的后果將是致命的,3天就會影響加州的經濟���,5天就能波及全美經濟�����,7天會使全世界經濟遭受損失。鑒于信息安全如此重要�,美國國家委員會早在2000年初的《國家安全戰備報告》里就強調:執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》�����,第一次把信息安全擺在戰略地位�����。并從理論和時間中加強信息安全的防護�。近年來��,我國也越來越重視信息安全問題���,相關的研究層出不窮����,為我國信息安全的發展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分�����,它不僅體現在軍事信息安全上�����,同時也涉及到政治�����、經濟�、文化等各方面�����。當今社會�,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統遭到破壞��,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓����、國防力量的削弱和社會秩序的混亂,其后果不堪設想�。由于我國信息化起步較晚,目前信息化系統大多數還處在“不設防’�,的狀態下,國防信息安全的形勢十分嚴峻�。具體體現在以卜幾個方面:首先����,全社會對信息安全的認識還比較模糊�。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足����,信息安全觀念還十分淡薄。因此�,在研究開發信息系統過程中對信息安全問題不夠重視,許多應用系統處在不設防狀態�����,具有極大的風險性和危險性。其次�����,我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患�。無論是在計算機硬件上�����,還是在計算機軟件上�����,我國信息化系統的國產率還較低��,而在引進國外技術和設備的過程中����,又缺乏必要的信息安全檢測和改造。再次�����,在軍事領域���,通過網絡泄密的事故屢有發生��,敵對勢力“黑客”攻擊對我軍事信息安全危害極大�。最后�����,我國國家信息安全防護管理機構缺乏權威�����,協調不夠�,對信息系統的監督管理還不夠有力。各信息系統條塊分割�����、相互隔離�����,管理混亂�����,缺乏與信息化進程相一致的國家信息安全總體規劃��,妨礙了信息安全管理的方針�����、原則和國家有關法規的貫徹執行�����。
二�、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中��,特別是軍事信息����,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息�,以便了解和掌握對方的新措施。更有甚者��,在信息網絡運行管理和使用中�����,更多的是考慮效益��、速度和便捷���。而把安全�、保密等置之度外�����。因此�����,我們更要深層次地加強網絡安全方面的觀念�,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護����。
2.2信息網絡安全核心技術貧乏
目前����,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用��,忽略了一定的安全隱患���。技術上的落后��,使得設備受制于人���。因此,我們要加大對信息網絡安全關鍵技術的研發����,避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統頂層設計的一個重要組成部分����,是保證各系統之間可集成、可互操作的關鍵���。以前信息網絡安全防護主要是進行一對一的攻防,技術單一?�,F代化的信息網絡安全防護體系已經成為一個規模龐大���、技術復雜��、獨具特色的重要信息子系統��,并擔負著網絡攻防對抗的重任�����。因此����,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容���。
2.4信息網絡安全管理人才缺乏
高級系統管理人才缺乏����,已成為影響我軍信息網絡安全防護的因素之一�����。信息網絡安全管理人才不僅要精通計算機網絡技術�,還要熟悉安全技術����。既要具有豐富的網絡工程建設經驗,又要具備管理知識���。顯然��,加大信息安全人才的培養任重而道遠�����。
三����、通信組織運用中的網絡安全防護
網絡安全是通信系統安全的重要環節�。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注�����,如何防范病毒入侵���、保護信息安全是人們關心的問題����,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發生的概率��,進而降低通信組織中信息安全事故發生的概率�。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料�����,保證資料的安全和完整����。設置口令,定期更換��,以防止人為因素導致重要資料的泄露和丟失���。利用鏡像技術,在磁盤子系統中有兩個系統進行同樣的工作��,當其中一個系統故障時�����,另一個系統仍然能正常工作��。加密對網絡通信加密,以防止網絡被竊聽和截取�,尤其是絕密文件更要加密處理,并定期更換密碼�����。另外����,文件廢棄處理時對重要文件粉碎處理��,并確保文件不可識別�。
3.2防治病毒
保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件�,定期檢查病毒�����。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性����,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本����。一旦發現正在流行的病毒�,要及時采取相應的措施����,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統安全的基本保障��,機房的安全尤為重要����,要嚴格監管機房人員的出入,堅決執行出入管理制度���,對機房工作人員要嚴格審查,做到專人專職���、專職專責�。另外���,可以在機房安裝許多裝置以確保計算機和計算機設備的安全�����,例如用高強度電纜在計算機的機箱穿過���。但是�����,所有其他裝置的安裝���,都要確保不損害或者妨礙計算機的操作���。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅��,要及時安裝各種安全補丁程序�����,不要給入侵者以可乘之機。一旦系統存在安全漏洞���,將會迅速傳播����,若不及時修正,可能導致無法預料的結果��。為了保障系統的安全運行���,可以及時關注一些大公司的網站上的系統安全漏洞說明�,根據其附有的解決方法��,及時安裝補丁軟件�����。用戶可以經常訪問這些站點以獲取有用的信息����。
3.5構筑防火墻
構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的�,能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊���,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬�����。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰�,我們有必要從以下幾個方面著手,加強國防信息安全建設�����。
4.1要加強宣傳教育�,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念��、紀律觀念和法制觀念��,強化社會各界的信息安全意識���,營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢��,自覺針對存在的薄弱環節��,采取各種措施��,把這項工作做好;另一方面要結合工作實際�����,進行以安全防護知識��、理論����、技術以及有關法規為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規
信息安全需要建立完備的法律法規保護���。自國家《保密法》頒布實施以來���,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》��、《中華人民共和國計算機信息系統安全保護條例》�����、《計算機信息系統國際聯網保密管理規定》�����、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》�、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規�,但從整體上看,我國信息安全法規建設尚處在起步階段����,層次不高,具備完整性��、適用性和針對性的信息安全法律體系尚未完全形成�����。因此�,我們應當加快信息安全有關法律法規的研究,及早建立我國信息安全法律法規體系�����。
4.3要加強信息管理
要成立國家信息安全機構����,研究確立國家信息安全的重大決策���,制定和國家信息安全政策����。在此基礎上,成立地方各部門的信息安全管理機構����,建立相應的信息安全管理制度���,對其所屬地區和部門內的信息安全實行統一管理��。
4.4要加強信息安全技術開發�����,提高信息安全防護技術水平
沒有先進�、有效的信息安全技術�,國家信息安全就是一句空話。因此�,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發和運用�����。大力發展防火墻技術����,開發出高度安全性����、高度透明性和高度網絡化的國產自主知識產權的防火墻���。積極發展計算機網絡病毒防治技術�����,加強計算機網絡安全管理���,為保護國家信息安全打卜一個良好的基礎��。
4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節
首先����,可以采取更新技術、更新設備的方式���。并且要加強工作人員風險意識,加大網絡安全教育的投入����。其次��,重要數據和信息要及時備份��,也可采用影像技術提高資料的完整性�。第三�����,及時更新殺毒軟件版本��,殺毒軟件可將部分病毒拒之門外���,殺毒軟件更新提高了防御病毒攻擊的能力�。第五����,對重要信息采取加密技術,密碼設置應包含數字�、字母和其他字符�。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六��,嚴格執行權限控制,做好信息安全管理工作�。“三分技術,七分管理”�����,可見信息安全管理在預防風險時的重要性����,只有加強監管和管理,才能使信息安全更上一個臺階�。
4.6建立和完善計算機系統風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準����。首先,要高度重視安全問題�����。隨著信息技術的發展����,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力�����、物力�����、財力來研究和防范風險。在研究安全技術和防范風險的策略時���,可以借鑒國外相關研究���,尤其是一些發達國家,他們信息技術起步早����,風險評估研究也很成熟,我們可以借鑒他們的管理措施�����,結合我們的實際��,應用到風險防范中�����,形成風險管理制度,嚴格執行��。
