時間:2023-09-12 17:12:11
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全應(yīng)急演練評估,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
為妥善應(yīng)對和處置我區(qū)重要信息系統(tǒng)突發(fā)事件,確保重要信息系統(tǒng)安全、穩(wěn)定、持續(xù)運(yùn)行,防止造成重大損失和影響,進(jìn)一步提高網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急保障能力,特制定本演練方案:
一、指導(dǎo)思想
以維護(hù)我區(qū)重要業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)及設(shè)備的正常運(yùn)行為宗旨。按照“預(yù)防為主,積極處置”的原則,進(jìn)一步完善XX區(qū)政府信息辦應(yīng)急處置機(jī)制,提高突發(fā)事件的應(yīng)急處置能力。
二、組織機(jī)構(gòu)
(一)應(yīng)急演練指揮部:
總指揮:XX
成員:XX
職責(zé):負(fù)責(zé)信息系統(tǒng)突發(fā)事件應(yīng)急演練的指揮、組織協(xié)調(diào)和過程控制;向上級部門報告應(yīng)急演練進(jìn)展情況和總結(jié)報告,確保演練工作達(dá)到預(yù)期目的。
(二)應(yīng)急演練工作組
組長:XX
成員:XX
職責(zé):負(fù)責(zé)信息系統(tǒng)突發(fā)事件應(yīng)急演練的具體工作;對信息系統(tǒng)突發(fā)事件應(yīng)急演練業(yè)務(wù)影響情況進(jìn)行分析和評估;收集分析信息系統(tǒng)突發(fā)事件應(yīng)急演練處置過程中的數(shù)據(jù)信息和記錄;向應(yīng)急指揮部報告應(yīng)急演練進(jìn)展情況和事態(tài)發(fā)展情況。做好后勤保障工,提供應(yīng)急演練所需人力和物力等資源;做好秩序維護(hù)、安全保障支援等工作;建立與電力、通訊、公安等相關(guān)外部機(jī)構(gòu)的應(yīng)急演練協(xié)調(diào)機(jī)制和應(yīng)急演練聯(lián)動機(jī)制;其它為降低事件負(fù)面影響或損失提供的應(yīng)急支持保障等。
三、演練方案
(一)演練時間
2020年12月5日18時——21時舉行應(yīng)急演練,全辦工作人員參加。
(二)演練內(nèi)容:
1、網(wǎng)絡(luò)通信線路故障及排除;
2、電力故障及排除;
3、機(jī)房溫度過高報警;
(三)演練的目的:
突發(fā)事件應(yīng)急演練以提高區(qū)政府信息辦應(yīng)對突發(fā)事件的綜合水平和應(yīng)急處置能力,以防范信息系統(tǒng)風(fēng)險為目的,建立統(tǒng)一指揮、協(xié)調(diào)有序的應(yīng)急管理機(jī)制和相關(guān)協(xié)調(diào)機(jī)制,以落實和完善應(yīng)急預(yù)案為基礎(chǔ),全面加強(qiáng)信息系統(tǒng)應(yīng)急管理工作,并制定有效的問責(zé)制度。堅持以預(yù)防為主,建立和完善信息系統(tǒng)突發(fā)事件風(fēng)險防范體系,對可能導(dǎo)致突發(fā)事件的風(fēng)險進(jìn)行有效地識別、分析和控制,減少重大突發(fā)事件發(fā)生的可能性,加強(qiáng)應(yīng)急處置隊伍建設(shè),提供充分的資源保障,確保突發(fā)事件發(fā)生時反應(yīng)快速、報告及時、措施得力操作準(zhǔn)確,降低事件可能造成的損失。
四、演練的準(zhǔn)備階段
(一)學(xué)習(xí)教育。
組織學(xué)習(xí)《XX區(qū)信息辦網(wǎng)絡(luò)安全管理制度》、《XX區(qū)信息辦網(wǎng)絡(luò)和信息安全事件應(yīng)急處置和報告制度》、《XX區(qū)政務(wù)網(wǎng)及政府網(wǎng)站突發(fā)事件應(yīng)急預(yù)案》、《XX區(qū)人民政府電子政務(wù)機(jī)房管理制度》,提高工作人員對于突發(fā)事件的應(yīng)急處置意識;熟悉在突發(fā)事件中各自的職責(zé)和任務(wù),保證業(yè)務(wù)的正常開展。
(二)下發(fā)《網(wǎng)絡(luò)安全應(yīng)急演練實施方案》;
(三)演練指揮部全面負(fù)責(zé)各項準(zhǔn)備工作的協(xié)調(diào)與籌劃。
明確責(zé)任,嚴(yán)格組織實施演練活動,確保演練活動順利完成,達(dá)到預(yù)期效果。
(四)應(yīng)急演練組要提前在中心機(jī)房要做好充分準(zhǔn)備,在演練前一天準(zhǔn)備好所有應(yīng)急需要聯(lián)系的電話號碼,檢查供電線路,計劃好斷電點,演練時掐斷電源,模擬供電故障;
并按演練背景做好其它準(zhǔn)備。
五、應(yīng)急演練階段
(一)請我辦信息安全員,講解演練知識及演練過程中的注意事項,并與其他相關(guān)同事一起溫習(xí)應(yīng)急預(yù)案。
(二)按照預(yù)定發(fā)生突發(fā)事故的時間表,總指揮逐項發(fā)出演練通知;
(三)參與部門及人員。
區(qū)政府信息辦全體員工都要參加,把演練當(dāng)成實戰(zhàn),認(rèn)真對待。
(四)演練的事項
1、2020年12月5日18時,發(fā)現(xiàn)網(wǎng)絡(luò)不通,立即報告至網(wǎng)絡(luò)管理員,網(wǎng)絡(luò)管理員立即將此情況報告應(yīng)急演練指揮部。指揮部啟動相關(guān)應(yīng)急預(yù)案并組織人員進(jìn)行故障排除,網(wǎng)絡(luò)故障排除后,網(wǎng)絡(luò)恢復(fù)正常。
2、2020年12月5日19時,在沒有接到任何通知的情況下,突然遭遇不知原因的停電,備用電源無法自啟動,所有設(shè)備陷入癱瘓狀態(tài)。辦公室立即將此情況報告應(yīng)急演練指揮部。指揮部啟動相關(guān)應(yīng)急預(yù)案并組織人員對備用電源進(jìn)行搶修,同時聯(lián)系供電部門進(jìn)行維修與排除。
3、2020年12月5日20時,由于空調(diào)損壞,導(dǎo)致中心機(jī)房溫度過高報警,機(jī)房管理員立即將此情況上報至應(yīng)急指揮部,指揮部啟動相關(guān)應(yīng)急預(yù)案并組織人員進(jìn)行判斷與排除。查明原因后立即打開機(jī)房通風(fēng)備用設(shè)備降溫,以保證機(jī)房設(shè)備正常運(yùn)轉(zhuǎn),同時通知精密空調(diào)維保人員上門維護(hù)。
六、演練要求:
1、加強(qiáng)領(lǐng)導(dǎo),確保演練工作達(dá)到預(yù)期目的。在指揮部的統(tǒng)一部署下,全體工作人員要高度重視,提高認(rèn)識,積極參加,確保演練效果。
中心全體上下按照《開展重點安全隱患整治回頭看百日大會戰(zhàn)工作方案》扎實開展重點安全隱患整治專項行動,中心完成了隱患清單、責(zé)任清單和監(jiān)管清單等“三張清單”梳理制定工作,各科室、分中心根據(jù)“三張清單”逐條逐項組織認(rèn)真深入整改,主要開展了以下工作:
1.消防安全
堅持每周開展安全隱患排查工作,對分中心各值班站點、救護(hù)車進(jìn)行了全面檢查,確保滅火器配置到位并能有效使用,經(jīng)檢查所有站點及救護(hù)車滅火器均配備齊全并在有效期內(nèi)。11月初,檢查小組對我中心的安全生產(chǎn)整治百日大會戰(zhàn)落實情況進(jìn)行了全面檢查。檢查中發(fā)現(xiàn)一些安全問題,雖然情況較輕,中心仍然高度重視,立即整改。中心本著“安全無大小”的原則,繼續(xù)加強(qiáng)安全生產(chǎn)細(xì)節(jié)檢查,層層把關(guān),不放過安全生產(chǎn)的細(xì)枝末節(jié)。
2.信息安全
單位配合市信息中心建立信息系統(tǒng)安全風(fēng)險預(yù)警系統(tǒng),監(jiān)控APT未知來源檢測系統(tǒng),確保第一時間能發(fā)現(xiàn)威脅并及時處理。在做好網(wǎng)絡(luò)、網(wǎng)站和關(guān)鍵信息基礎(chǔ)設(shè)施的信息安全保護(hù)工作基礎(chǔ)上,重點加強(qiáng)互聯(lián)網(wǎng)、專網(wǎng)等網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)安全保護(hù)工作,重點做好指揮調(diào)度系統(tǒng)、電子病歷系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作。中心還根據(jù)應(yīng)急預(yù)案,定期開展應(yīng)急演練,并根據(jù)演練結(jié)果,總結(jié)經(jīng)驗和不足,及時整改。定期對本單位網(wǎng)絡(luò)安全情況進(jìn)行自查,評估風(fēng)險,明確優(yōu)化需求,制定完備的安全策略。對部分信息安全制度進(jìn)行了更新,強(qiáng)化了信息安全宣傳工作。在季度日志分析的基礎(chǔ)上,對日志審計系統(tǒng)及其他信息安全設(shè)備的日志又進(jìn)行了仔細(xì)的分析,及時排查信息安全漏洞及不規(guī)范的網(wǎng)絡(luò)操作。強(qiáng)化了信息安全宣傳,對信息安全制度進(jìn)行了更新。
3.醫(yī)療安全
醫(yī)務(wù)急救科組織全體醫(yī)務(wù)人員進(jìn)行醫(yī)療糾紛典型案例分析會,并集中學(xué)習(xí)了《醫(yī)療糾紛預(yù)防和處理條例》、《醫(yī)療事故處理條例》、《侵權(quán)責(zé)任法》、《執(zhí)業(yè)醫(yī)師法》等法律法規(guī)。此外,還培訓(xùn)“個人防護(hù)知識”、“手衛(wèi)生”等內(nèi)容。
二、存在主要問題
1.信息安全方面
信息安全宣傳活動開展次數(shù)較少,形式不夠豐富。
2.醫(yī)療安全方面
沒有建立《患者診療信息保護(hù)制度》和《員工授權(quán)管理制度》,此外,部分醫(yī)生對已經(jīng)使用的物品不能及時補(bǔ)充。
3.消防安全
消控室值班記錄不符合要求,部分樓層應(yīng)急照明燈,安全出口指示燈不亮;應(yīng)急救援演練預(yù)案未制定;機(jī)房內(nèi)未配置入侵設(shè)施。
三、下步工作計劃
1.針對檢查小組對我中心的百日安全生產(chǎn)整治大會戰(zhàn)檢查的情況,對已發(fā)現(xiàn)的安全隱患問題中心將一一整改落實。在消控室內(nèi)安裝應(yīng)急燈,檢查樓層所有應(yīng)急照明燈和安全出口指示燈,對有問題的燈泡進(jìn)行更換。加強(qiáng)值班記錄的檢查,起草應(yīng)急救援演練預(yù)案,配置機(jī)房入侵設(shè)施。今后,中心對安全生產(chǎn)的細(xì)節(jié)問題將會繼續(xù)加強(qiáng)和跟進(jìn)。
要想把應(yīng)急預(yù)案從書本上走到實踐中去,就一定要通過應(yīng)急預(yù)案的演練來實現(xiàn),這樣可以對于檢驗應(yīng)急預(yù)案編制的可操作性和科學(xué)性進(jìn)行有效檢驗,也能不斷地完善電力系統(tǒng)中的網(wǎng)絡(luò)信息化預(yù)案,能更為有效提高預(yù)案減災(zāi)功能。通過有效編寫演練方案,能夠把應(yīng)急預(yù)案的指導(dǎo)性進(jìn)行實踐化,體現(xiàn)出來演練的實戰(zhàn)性和可操作性。1)在應(yīng)急預(yù)案中,指導(dǎo)性的描述往往應(yīng)用在事件的相關(guān)的處置方式、性質(zhì)、發(fā)生規(guī)模方面,更為豐富的信息則需要提供給演練,這樣才能提高救援恢復(fù)行動的針對性。為了更為有效的開展針對性的工作,編制演練方案過程中,則需要考慮哪些設(shè)備需要進(jìn)行配置,哪些地方的業(yè)務(wù)則會受到影響,哪些人員和部門會受到網(wǎng)絡(luò)中斷的影響,哪些需要進(jìn)行調(diào)試程序等方面。2)為了更好落實各種應(yīng)急救援恢復(fù)任務(wù),以及保證其實施質(zhì)量,具體化一定要體現(xiàn)在執(zhí)行演練的過程中,明確應(yīng)急響應(yīng)程序的可操作化。進(jìn)行量化相關(guān)的反應(yīng)程序,比如,包括工具箱、水晶頭是否到位,多模淡抹光模塊型號是否正確、筆記本及調(diào)試線是否夠用、備件備品是否齊全、備份數(shù)據(jù)是否完整,這些相關(guān)的細(xì)節(jié)問題都應(yīng)該在事前進(jìn)行相應(yīng)的縝密設(shè)計。3)步驟流程化。通過對于演練各個程序的銜接機(jī)型優(yōu)化,合理有序地組合演練各個環(huán)節(jié)的響應(yīng)程序,通過演練程序流程表的編制來實現(xiàn)。這樣能夠有效提高應(yīng)急反應(yīng)反應(yīng)效率,并且提高演練的流暢性。同時,應(yīng)急演練的進(jìn)展也可以被參與人員所更加了解。
2預(yù)防為主的基礎(chǔ)上進(jìn)行監(jiān)控的進(jìn)一步加強(qiáng)
預(yù)防為主的思想肆意一定要在單位的各個環(huán)節(jié)中進(jìn)行強(qiáng)調(diào),在準(zhǔn)備應(yīng)急預(yù)案和實戰(zhàn)演練的基礎(chǔ)上,還應(yīng)該充分做好相關(guān)的信息網(wǎng)絡(luò)系統(tǒng)突發(fā)事件的機(jī)制準(zhǔn)備、思想準(zhǔn)備和工作準(zhǔn)備,使得防范意識不斷提高,同時,也應(yīng)提高信息安全綜合保障水平。通過對于信息安全隱患進(jìn)行一定的日常監(jiān)測,能夠?qū)τ谥卮笮畔踩话l(fā)事件進(jìn)行有效防范和及時發(fā)現(xiàn),為了盡量使得損失最小化,則應(yīng)該通過及時的可控措施來有效控制事件影響范圍。公司的日常工作已經(jīng)建立起有效長效機(jī)制,主要包括信息系統(tǒng)安全保障重點措施、信息安全隱患排查和治理、信息安全風(fēng)險評估以及信息安全等級保護(hù)方面。在相關(guān)的檢查結(jié)果基礎(chǔ)上,對于應(yīng)用系統(tǒng)安全管理、信息設(shè)備安全使用、信息機(jī)房值班等問題進(jìn)行進(jìn)一步加強(qiáng)管理,嚴(yán)格要求并執(zhí)行國家電網(wǎng)公司信息規(guī)定,對于內(nèi)外網(wǎng)計算機(jī)和外設(shè)管理需要進(jìn)一步加強(qiáng),只有這樣,才能有效使得監(jiān)測防控能力不斷增強(qiáng),使得信息系統(tǒng)安全得以保障。
3保障措施分析與思考
在信息安全管理中,除了要保障一定的技術(shù)先進(jìn)性,更為重要的則體現(xiàn)在管理方面。在實際工作中,我們一定要充分考慮到這一點,不斷加強(qiáng)“人防、制防、技防、物防”工作,對于信息安全統(tǒng)一管理進(jìn)一步加強(qiáng)。
3.1應(yīng)急隊伍建設(shè)問題思考在信息安全管理方面,有安全工作小組和網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組,前者主要是由信息技術(shù)人員骨干、各部門信息員組成,后者則是各部門的主要負(fù)責(zé)人組成。通過這樣的分工,就可以從決策、監(jiān)督和具體執(zhí)行三個層面,立體化對于網(wǎng)絡(luò)信息安全提供有力保障。另外,還應(yīng)該對于信息安全專業(yè)人才培養(yǎng)進(jìn)行重視,相關(guān)的信息安全技術(shù)培訓(xùn)可以定期或者不定期展開,相應(yīng)的信息安全應(yīng)急處理知識就能夠讓不同崗位的人員進(jìn)行掌握。
3.2需要有一定的制度保障只有通過嚴(yán)格的管理制度才能有效保障良好的網(wǎng)絡(luò)信息安全,本公司在此方面制定了相應(yīng)的21管理標(biāo)準(zhǔn)、10個制度,以及一系列的規(guī)范。這樣能夠保障網(wǎng)絡(luò)信息安全工作能夠有章可循,有案可稽。對于不同工作職責(zé)的小組來說,應(yīng)該劃分具體的安全工作的執(zhí)行情況,為了更好能夠保障網(wǎng)絡(luò)基礎(chǔ)、系統(tǒng)運(yùn)行維護(hù)以及開發(fā)建設(shè)等方面的安全,應(yīng)該做好相關(guān)的分工合作、整體統(tǒng)一、分級處理等問題。
3.3做好技術(shù)保障工作為了保障網(wǎng)絡(luò)信息安全,這里采用相關(guān)的較為先進(jìn)的技術(shù)工具和手段,包括:1)更新專業(yè)的防病毒軟件,有效防治計算機(jī)病毒影響;2)旁路監(jiān)聽技術(shù)的設(shè)備進(jìn)行過濾處理,能有效限制訪問不良網(wǎng)絡(luò)信息;3)使用雙層FWSM防火墻防護(hù)托管服務(wù)器群;4)定期對于系統(tǒng)進(jìn)行漏洞掃描;5)建立異地數(shù)據(jù)的容災(zāi)方案以及數(shù)據(jù)備份方案,還有相關(guān)的NTP服務(wù)器、LogServer日志記錄等。
4結(jié)束語
僅供參考
一、總則
(一)編制目的
建立健全通信保障和通信恢復(fù)應(yīng)急工作機(jī)制,提高應(yīng)對突發(fā)事件的組織指揮能力和應(yīng)急處置能力,確保通信安全,保證應(yīng)急通信指揮調(diào)度工作迅速、高效、有序地進(jìn)行,滿足突況下通信保障和通信恢復(fù)的需要,確保通信網(wǎng)絡(luò)安全暢通。
(二)編制依據(jù)
制訂本預(yù)案的依據(jù)是《中華人民共和國電信條例》、《中華人民共和國無線電管理條例》、《電信運(yùn)營企業(yè)(單位)應(yīng)急預(yù)案制定框架指南》、《國家通信保障應(yīng)急預(yù)案》、《市通訊應(yīng)急保障預(yù)案》和《縣突發(fā)公共事件總體預(yù)案》及相關(guān)法規(guī)、條例。
(三)應(yīng)急分級
ⅲ級:因較大突發(fā)公共事件或不可抗力等事件引發(fā)的,有可能造成一個全縣通信故障的情況;通信網(wǎng)絡(luò)故障造成全縣通信故障的情況。
ⅳ級:因一般突發(fā)公共事件或不可抗力等事件引發(fā)的,有可能造成本縣50%以上通信網(wǎng)點通信故障的情況;通信網(wǎng)絡(luò)故障造成本縣50%以上通信網(wǎng)點通信阻斷的情況。
(四)適用范圍
主要用于通信事故、自然災(zāi)害(洪水、地震、冰雪災(zāi)害、臺風(fēng)、泥石流等)、反恐事件、公共突發(fā)事件、重要通信保障任務(wù)、涉及國家安全等應(yīng)急通信保障。同時適用于電信分公司、移動分公司、聯(lián)通分公司所屬通信網(wǎng)絡(luò)、通信設(shè)施在自然災(zāi)害及其它突發(fā)事件中遭到破壞情況下的處置和通信恢復(fù)。
(五)工作原則
1.統(tǒng)一指揮,協(xié)同作戰(zhàn)。
電信分公司、移動分公司、聯(lián)通分公司在縣通信應(yīng)急保障領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下,縣經(jīng)商科技局通信應(yīng)急保障領(lǐng)導(dǎo)小組協(xié)同指導(dǎo)下,根據(jù)本應(yīng)急預(yù)案,認(rèn)真履行各自職責(zé),密切配合,充分發(fā)揮整體效能。
2.實時監(jiān)控,加強(qiáng)防范。
各分公司特別是各分公司網(wǎng)絡(luò)監(jiān)控中心要加強(qiáng)對關(guān)鍵網(wǎng)絡(luò)設(shè)施實時監(jiān)控和防范,一方面要防止不法分子利用網(wǎng)絡(luò)傳播有害信息,另一方面針對一些敵對組織可能會對網(wǎng)絡(luò)發(fā)起的大規(guī)模攻擊和破壞活動,及早發(fā)現(xiàn)苗頭、動態(tài),提前做好應(yīng)急處置工作。
3.快速反應(yīng),控制事態(tài)。在發(fā)生突發(fā)事件、緊急情況時,各單位可以根據(jù)預(yù)案總原則,在迅速上報的同時,及時采取有針對性的應(yīng)急處置措施,防止事態(tài)進(jìn)一步蔓延,將損失和危害降到最小。
4.全程記錄,追查根源。
各單位在發(fā)生網(wǎng)絡(luò)信息安全事故時,要及時做好事故情況記錄,以便與有關(guān)部門緊密配合,追查事故的根源,并協(xié)助相關(guān)部門進(jìn)行處理。
5.出現(xiàn)ⅳ級以上(包括ⅳ級)異常狀態(tài),及時上報縣委政府,要求各相關(guān)部門應(yīng)立即啟動應(yīng)急預(yù)案,組織通信搶修和迂回調(diào)度,在半小時內(nèi)將有關(guān)情況報告縣應(yīng)急通信保障領(lǐng)導(dǎo)小組和各單位市級公司通信值班室或應(yīng)急調(diào)度中心。
二、組織體系
為保證網(wǎng)絡(luò)通信安全,以便在通信網(wǎng)絡(luò)出現(xiàn)阻斷、遭到破壞時,能夠迅速組織力量采取有效保障、處置措施,成立縣通信保障應(yīng)急領(lǐng)導(dǎo)小組和辦公室。各通信分公司也要按此要求成立相應(yīng)領(lǐng)導(dǎo)機(jī)構(gòu)和應(yīng)急救援隊伍。
(一)通信保障應(yīng)急領(lǐng)導(dǎo)機(jī)構(gòu)
1.通信保障應(yīng)急領(lǐng)導(dǎo)小組
組長:局黨委書記、局長
成員:局黨委、班子分管領(lǐng)導(dǎo)
信息股全體人員及熟悉信息工作相關(guān)人員
電信分公司分管副經(jīng)理
移動分公司分管副經(jīng)理
聯(lián)通分公司分管副經(jīng)理
縣辦事處總經(jīng)理
2.通信保障應(yīng)急小組辦公室
應(yīng)急領(lǐng)導(dǎo)小組下設(shè)辦公室,負(fù)責(zé)通信保障應(yīng)急日常工作。辦公室主任由局黨委、班子分管領(lǐng)導(dǎo)兼任,由以下成員組成:
成員:縣交通局分管領(lǐng)導(dǎo)
縣公安局分管局長
縣電力公司副經(jīng)理
電信分公司分管副經(jīng)理
移動分公司分管副經(jīng)理
聯(lián)通分公司分管副經(jīng)理
縣辦事處相關(guān)負(fù)責(zé)人
3.通信應(yīng)急搶險隊伍
辦公室下設(shè)應(yīng)急搶險隊,由各通信分公司應(yīng)急搶險隊伍組成,搶險隊伍具體由網(wǎng)絡(luò)部技術(shù)人員和維護(hù)人員組成,負(fù)責(zé)具體的搶險實施工作。一旦啟動應(yīng)急預(yù)案,各公司應(yīng)急搶險隊伍必須服從縣通信應(yīng)急保障領(lǐng)導(dǎo)小組的統(tǒng)一指揮和調(diào)度。
4.通信網(wǎng)絡(luò)維護(hù)工作
辦公室下設(shè)應(yīng)急搶險隊,由各通信分公司網(wǎng)絡(luò)維護(hù)工作人員組成,負(fù)責(zé)具體的搶險實施工作。一旦啟動應(yīng)急預(yù)案,各公司應(yīng)急搶險隊伍必須服從縣通信應(yīng)急保障領(lǐng)導(dǎo)小組的統(tǒng)一指揮和調(diào)度。
(二)領(lǐng)導(dǎo)小組和辦公室職責(zé)
1.領(lǐng)導(dǎo)小組職責(zé)
領(lǐng)導(dǎo)小組負(fù)責(zé)全面應(yīng)對突發(fā)事件的通信保障、通信恢復(fù)應(yīng)急工作的領(lǐng)導(dǎo)、組織、指揮和協(xié)調(diào),主要職責(zé)如下:
(1)貫徹國家有關(guān)方針、政策及國家信息行業(yè)主管部門相關(guān)文件,落實國家通信保障應(yīng)急工作相關(guān)政策及規(guī)定。
(2)貫徹落實縣通信保障應(yīng)急預(yù)案的相關(guān)要求。
(3)遇重大突發(fā)事件,啟動本預(yù)案,并下達(dá)通信保障應(yīng)急任務(wù)。
(4)在緊急情況下,調(diào)用各通信公司各種資源,做好通信保障的組織、協(xié)調(diào)工作。
(5)結(jié)合重大突發(fā)事件的實際情況,決策實施通信保障應(yīng)急預(yù)案,并向市政府相關(guān)部門和市通信管理部門匯報情況。
(6)完成上級部門安排的其他應(yīng)急保障任務(wù)。
2.辦公室職責(zé)
(1)承擔(dān)縣通信保障應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急通信保障的日常事務(wù)。
(2)管理、指揮、調(diào)度所轄區(qū)域內(nèi)的應(yīng)急資源,并跟蹤、監(jiān)控管理區(qū)域內(nèi)突發(fā)事件狀況,匯總信息,及時上報。
(3)開展通信保障應(yīng)急預(yù)案并組織演練。
(4)組織各專業(yè)應(yīng)急搶險隊搶通、搶修損毀的通信設(shè)施。
三、運(yùn)行機(jī)制
(一)預(yù)警機(jī)制
1.網(wǎng)絡(luò)分析評估
各通信分公司,根據(jù)通信網(wǎng)絡(luò)運(yùn)行情況和網(wǎng)絡(luò)結(jié)構(gòu)變化情況,定期或不定期對網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行評估。根據(jù)評估報告,修訂應(yīng)急預(yù)案,必要時提出網(wǎng)絡(luò)改造方案并組織實施。
2.網(wǎng)絡(luò)薄弱點級別、預(yù)警
各分公司相關(guān)技術(shù)部門、人員對通信網(wǎng)絡(luò)進(jìn)行評估,重點針對網(wǎng)絡(luò)的薄弱環(huán)節(jié),并根據(jù)程度不同,提出預(yù)警。同時,當(dāng)出現(xiàn)雷雨、冰雪、大面積停電和大型活動時,應(yīng)及時提出預(yù)警。
(二)應(yīng)急處置
1.故障信息報告
根據(jù)《電信通信故障上報制度》等相關(guān)規(guī)定,及時與突發(fā)事件有關(guān)的部門、通信管理部門、重要單位和用戶,包括防汛、地震、反恐、醫(yī)療救護(hù)、民航、銀行、鐵路、稅務(wù)、電力等通報相關(guān)信息。
2.應(yīng)急啟動與響應(yīng)
當(dāng)ⅳ級通信突發(fā)事件發(fā)生時,應(yīng)立即將情況上報縣通信保障應(yīng)急工作辦公室,辦公室根據(jù)突發(fā)事件嚴(yán)重性,及時向縣通信保障領(lǐng)導(dǎo)小組上報并提出建議,由領(lǐng)導(dǎo)小組決策并啟動應(yīng)急預(yù)案。需要上級信息行業(yè)主管部門進(jìn)行協(xié)調(diào)的,應(yīng)立即上報。啟動本預(yù)案時,相應(yīng)的分公司通信保障應(yīng)急管理機(jī)構(gòu)應(yīng)提前或同時啟動下級預(yù)案。同時,各通信分公司應(yīng)急搶險隊伍在接到保障通知后5分鐘響應(yīng),盡最快速度到達(dá)指定地點,實施或者準(zhǔn)備實施搶險。
3.業(yè)務(wù)恢復(fù)原則
業(yè)務(wù)恢復(fù)的原則是先重點、后一般。
電路調(diào)度順序為:
(1)縣委、縣政府首長專線。
(2)搶險救災(zāi)指揮部通信聯(lián)絡(luò)電路。
(3)黨政專網(wǎng)電路。
(4)保密、機(jī)要、安全、公安、武警、等重要客戶的出租電路。
(5)地震、防火、防汛、氣象、醫(yī)療急救等部門租用的與防震、防火、防汛、氣象信息、醫(yī)療急救等有關(guān)的電路。
(6)金融、稅務(wù)、電力等與國民經(jīng)濟(jì)密切相關(guān)部門租用的電路。
(7)其他通信電路。
4.通信保障應(yīng)急工作要求
(1)應(yīng)急通信系統(tǒng)應(yīng)保持良好狀態(tài),實行24小時值班,所有人員應(yīng)堅守工作崗位待命。
(2)主動與上級有關(guān)部門聯(lián)系,及時通報有關(guān)情況。
(3)相關(guān)電信運(yùn)營企業(yè)在執(zhí)行通信保障任務(wù)和通信恢復(fù)過程中,應(yīng)顧全大局,積極搞好企業(yè)間的協(xié)作配合,必要時由縣通信保障應(yīng)急工作辦公室進(jìn)行統(tǒng)一協(xié)調(diào)。
(4)在組織執(zhí)行任務(wù)過程中,現(xiàn)場通信保障應(yīng)急指揮機(jī)構(gòu)應(yīng)及時上報任務(wù)執(zhí)行情況。
5.網(wǎng)絡(luò)復(fù)原后處理
網(wǎng)絡(luò)通信一旦復(fù)原后,需立即對網(wǎng)絡(luò)進(jìn)行相關(guān)測試驗證,并由技術(shù)維護(hù)人員及時出具故障報告,分析故障原因,提出相應(yīng)的防范措施。
(三)應(yīng)急處理后評估
1.網(wǎng)絡(luò)維護(hù)與建設(shè)工作改進(jìn)
根據(jù)故障發(fā)生的原因,結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)急處理的過程,總結(jié)分析其中存在的不足,提出包括網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)維護(hù)、物資儲備和人才隊伍建設(shè)等相關(guān)工作的改進(jìn)措施。
2.應(yīng)急預(yù)案改進(jìn)
通過應(yīng)急預(yù)案的演練或?qū)崙?zhàn),查找應(yīng)急預(yù)案中存在的問題,并結(jié)合實際進(jìn)行修訂,使之更加完善。
(四)信息
每次通信保障應(yīng)急處理后,結(jié)合處理過程和總結(jié)分析,及時相關(guān)信息。信息工作要堅持實事求是、把握適度、內(nèi)外有別的原則,統(tǒng)一信息口徑;要加強(qiáng)與新聞媒體的溝通,必要時可報請上級信息行業(yè)主管部門審批。
四、優(yōu)化應(yīng)急工作機(jī)制
通信保障和通信恢復(fù)應(yīng)急任務(wù)結(jié)束后,通信保障應(yīng)急領(lǐng)導(dǎo)小組及辦公室應(yīng)做好突發(fā)事件中公眾電信網(wǎng)絡(luò)設(shè)施損失情況的統(tǒng)計、匯總,以及任務(wù)完成情況的總結(jié)和匯報,針對事件,查找問題,研究整改措施,不斷改進(jìn)優(yōu)化通信保障應(yīng)急工作。
五、應(yīng)急保障
(一)人力保障
各通信分公司要加強(qiáng)人才隊伍建設(shè),加強(qiáng)技術(shù)支撐對網(wǎng)絡(luò)建設(shè)維護(hù)培訓(xùn)、學(xué)習(xí),熟悉網(wǎng)絡(luò)結(jié)構(gòu)、熟悉應(yīng)急預(yù)案,提高技術(shù)支撐的綜合素質(zhì)。
(二)備件保障
加強(qiáng)備品備件的管理工作,定期檢查預(yù)案中相關(guān)備品備件準(zhǔn)備管理工作,確保相關(guān)備件隨時均能及時提供。
(三)機(jī)動通信與物資保障。
加強(qiáng)與上級通信管理部門和物資采購中心的溝通配合工作,提前做好相關(guān)準(zhǔn)備工作,一旦發(fā)生通信保障需求,及時請求設(shè)備、物資支援。
(四)交通運(yùn)輸保障
為了保證突發(fā)事件發(fā)生時通信保障應(yīng)急車輛及通信物資能夠迅速抵達(dá)事發(fā)地點,縣交通部門負(fù)責(zé)為應(yīng)急通信物資的調(diào)配提供必要的交通運(yùn)輸工具支持,以保證應(yīng)急物資迅速到達(dá)。
(五)電力保障
突發(fā)事件發(fā)生時,電力部門優(yōu)先保證通信設(shè)施的供電需求。
(六)治安保障
突發(fā)事件發(fā)生后,啟動應(yīng)急預(yù)案后,公安部門要迅速組織人員趕赴突發(fā)事件發(fā)生區(qū)域,維護(hù)社會治安,確保社會穩(wěn)定。因人為破壞引發(fā)通信突發(fā)事件時,公安部門應(yīng)第一時間趕到現(xiàn)場,收集現(xiàn)場資料,迅速開展事故調(diào)查,并維護(hù)現(xiàn)場秩序。
(七)經(jīng)費保障
因通信事故造成的通信保障處置費用,由各級通信保障單位承擔(dān);處置突發(fā)事件產(chǎn)生的通信保障費用,按照國家信息主管部門要求并參照《國家財政應(yīng)急保障預(yù)案》執(zhí)行。
(八)信息保障
通信應(yīng)急領(lǐng)導(dǎo)小組辦公室要建立應(yīng)急保障通信溝通協(xié)調(diào)機(jī)制,各通信公司在執(zhí)行通信保障應(yīng)急任務(wù)過程中,應(yīng)加強(qiáng)與上級通信部門和縣通信應(yīng)急領(lǐng)導(dǎo)小組辦公室的信息溝通協(xié)調(diào),及時反映通信應(yīng)急保障搶險救過程中存在的重大問題,研究解決通信保障過程中出現(xiàn)的問題,確保完成通信保障應(yīng)急任務(wù)。
六、監(jiān)督管理
(一)預(yù)案演練
專業(yè)搶修及維護(hù)隊伍,要按照運(yùn)行維護(hù)體系的組織管理,對所負(fù)責(zé)的搶修及維護(hù)對象(專業(yè)項目)進(jìn)行系統(tǒng)的搶通、恢復(fù)、迂回、替代方面的預(yù)案擬定,運(yùn)作及流程設(shè)計,定期進(jìn)行業(yè)務(wù)培訓(xùn),模擬訓(xùn)練。
(二)宣傳和培訓(xùn)
加強(qiáng)對通信網(wǎng)絡(luò)安全和通信保障應(yīng)急的宣傳教育工作,各公司要定期或不定期地對本公司通信應(yīng)急指揮機(jī)構(gòu)人員和應(yīng)急救險隊伍人員進(jìn)行技術(shù)培訓(xùn)和應(yīng)急演練,保證應(yīng)急預(yù)案的有效性和可操作性,不斷提高通信保障應(yīng)急的能力。
(三)建立通信應(yīng)急工作制度
關(guān)鍵詞:基層央行;會計核算;應(yīng)急管理
中圖分類號:F23 文獻(xiàn)標(biāo)識碼:A 文章編號:1001-828X(2012)05-0-01
一、基層央行會計核算部門應(yīng)急管理的內(nèi)涵與功能
基層央行會計核算部門肩負(fù)著對內(nèi)部資金、發(fā)行基金及整個金融體系的支付系統(tǒng)資金等大量資金運(yùn)動的控制,應(yīng)急管理是基層央行會計核算部門最基礎(chǔ)、最核心的工作之一。目前基層央行會計核算業(yè)務(wù)在社會經(jīng)濟(jì)發(fā)展中的地位日益重要,對維護(hù)國家經(jīng)濟(jì)、金融安全具有重要意義。隨著其電算化、網(wǎng)絡(luò)化建設(shè)有了質(zhì)的飛躍,一旦會計核算業(yè)務(wù)系統(tǒng)出現(xiàn)故障不能及時恢復(fù),將對社會經(jīng)濟(jì)造成較大的不良影響。因此,提高基層央行會計核算業(yè)務(wù)應(yīng)急管理水平,實現(xiàn)應(yīng)急管理工作的規(guī)范化和制度化,對于保持會計核算業(yè)務(wù)連續(xù)穩(wěn)健運(yùn)行、提高會計核算部門有效履職能力、保證資金的安全具有重要意義。
二、當(dāng)前基層央行會計核算部門應(yīng)急管理現(xiàn)行的架構(gòu)研究
隨著金融業(yè)數(shù)據(jù)集中化、網(wǎng)絡(luò)化趨勢推進(jìn),業(yè)務(wù)的實時性和設(shè)備的安全性要求,對會計核算部門應(yīng)急管理工作的要求越來越高。基層央行會計核算部門通過從組織、制度、實踐等方面出發(fā),構(gòu)建起了一套完整有效的應(yīng)急管理工作架構(gòu)。
(一)強(qiáng)化管理以設(shè)立應(yīng)急處置機(jī)構(gòu)體系
基層央行會計核算部門自上而下初步形成分類管理、分級負(fù)責(zé)、條塊結(jié)合、屬地為主的應(yīng)急管理體制,確立了重要業(yè)務(wù)系統(tǒng)發(fā)生災(zāi)難時中心支行直報人民銀行總行、同時上報大區(qū)分行的 “兩級兩層報告制度”,一般清算系統(tǒng)發(fā)生災(zāi)難時由中心支行報告分行、分行再報總行的“三級三層報告制度”等。管理體系的確立,明確了指揮統(tǒng)一、反應(yīng)靈敏的應(yīng)急管理崗位和職責(zé),對應(yīng)急管理的有序運(yùn)轉(zhuǎn)提供了保障。
(二)健全制度以建立突發(fā)事件應(yīng)急預(yù)案
目前,大部分基層會計核算部門已建立起涵蓋金融突發(fā)事件、自然突發(fā)事件、發(fā)行基金防護(hù)、業(yè)務(wù)系統(tǒng)安全、信息網(wǎng)絡(luò)安全等各方面內(nèi)容的多項應(yīng)急預(yù)案,逐步形成了“橫向到邊,縱向到底”的會計核算應(yīng)急預(yù)案體系,較好地保證了應(yīng)急預(yù)案適應(yīng)當(dāng)前工作的實際要求。
(三)通過演練以提高模擬應(yīng)急處置能力
近年來基層央行會計核算部門結(jié)合業(yè)務(wù)特點,合理設(shè)計演練內(nèi)容和方案,制定并實施了多項重點應(yīng)急演練計劃并根據(jù)應(yīng)急響應(yīng)程序進(jìn)行了模擬實戰(zhàn)演練。在應(yīng)急演練過程中基本達(dá)到了會計核算人員熟悉處置不同突發(fā)事件流程、快速有效處置突發(fā)事件的預(yù)期目標(biāo),為防范和應(yīng)對可能發(fā)生的突況積累了寶貴經(jīng)驗。
三、當(dāng)前基層央行會計核算部門應(yīng)急管理的主要問題
我們結(jié)合實際情況進(jìn)行調(diào)查,會計核算部門應(yīng)急管理工作存在的主要問題在于組織聯(lián)動不夠、人員經(jīng)驗不足、演練效果不強(qiáng)和物資保障亟待改善等四方面。造成問題的具體原因如下:
(一)內(nèi)外應(yīng)急協(xié)調(diào)聯(lián)動不暢
突發(fā)事件的防范和處置是一個多單位、多部門、多因素聯(lián)動的過程,涉及到核算操作與業(yè)務(wù)監(jiān)管、技術(shù)部門的橫向協(xié)調(diào),基層央行和上級部門的上下溝通,人民銀行與商業(yè)銀行、公安交通等單位的內(nèi)外配合。但因工作權(quán)限、溝通機(jī)制等條件限制,全面的應(yīng)急聯(lián)動體系一時難以快速建立,不利于整體應(yīng)急救援能力的發(fā)揮。
(二)會計核算應(yīng)急人員技能與要求不對等
由于會計核算部門業(yè)務(wù)操作與系統(tǒng)密切相關(guān),規(guī)范的應(yīng)急管理要求核算人員具備計算機(jī)知識和會計核算業(yè)務(wù)技能兩方面能力,但目前基層核算人員能力有限。加之基層核算人員缺乏處理權(quán)限,一旦出現(xiàn)意外或故障只能向上級行反映,等待解決,應(yīng)急能力弱化。
(三)應(yīng)急演練實際指導(dǎo)性不強(qiáng)
目前基層會計核算應(yīng)急演練仍局限于事先計劃、提前設(shè)定的演練模式,對實際突發(fā)狀況的指導(dǎo)性不強(qiáng)。應(yīng)急演練缺乏靈活性,練的步驟和環(huán)節(jié)都被固定為按部就班的操作流程,演練缺乏具體性。這直接導(dǎo)致了其實戰(zhàn)模擬性不強(qiáng),削弱了對應(yīng)急處置的強(qiáng)化、鞏固效果。
(四)應(yīng)急物資保障機(jī)制不完備
目前基層央行的應(yīng)急管理基礎(chǔ)設(shè)施建設(shè)大多是按照上級行的制度要求開展,有針對性的應(yīng)急管理基礎(chǔ)設(shè)施建設(shè)還不多。應(yīng)急裝備滯后,缺乏一些必要的應(yīng)急物資儲備,應(yīng)急處置資金籌備機(jī)制缺乏,極大制約了應(yīng)急處置實戰(zhàn)能力。
四、基層央行會計核算部門完善應(yīng)急管理的改善措施
會計核算部門在應(yīng)急管理建設(shè)方面的缺陷給安全履職帶來了風(fēng)險隱患,我們亟待從多四方面著手,全面提升基層央行會計核算部門的應(yīng)急管理水平。
(一)強(qiáng)化一線人員應(yīng)急能力
配合上級行建立轄內(nèi)應(yīng)急人才庫,挑選精通網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的科技人員充實人才庫,作為應(yīng)急技術(shù)支持后備力量;梳理提煉以往應(yīng)急工作的經(jīng)驗和成果,匯編學(xué)來發(fā)生的系統(tǒng)事故案例,進(jìn)行有效的操作指導(dǎo),避免出現(xiàn)核算風(fēng)險。
(二)完善部門聯(lián)動機(jī)制
管理部門和業(yè)務(wù)指導(dǎo)部門和轄內(nèi)基層行應(yīng)急管理領(lǐng)導(dǎo)小組要加強(qiáng)溝通,對基層行制訂應(yīng)急預(yù)案的可行性進(jìn)行全面評估、修改完善;建立科技、國庫、營業(yè)部等會計清算部門的應(yīng)急工作聯(lián)動機(jī)制,增強(qiáng)相關(guān)人員的主觀能動性;加強(qiáng)與金融機(jī)構(gòu)、財稅等單位的聯(lián)系,完善應(yīng)急管理的多方溝通及聯(lián)動機(jī)制,確保及時應(yīng)對突發(fā)事件。
(三)改變應(yīng)急演練方式
適當(dāng)增加更具靈活性的常態(tài)演練,將預(yù)案演練日常化,以此培訓(xùn)和檢驗常態(tài)下應(yīng)急查錯、排障、協(xié)調(diào)的處理能力;加強(qiáng)應(yīng)急演練的組織協(xié)調(diào),可選取多個基層行聯(lián)合其他部門和單位進(jìn)行演練,提高演練的實戰(zhàn)性;還應(yīng)建立有效的應(yīng)急處理評估機(jī)制,從演練中不斷提升應(yīng)急水平。
(四)加大會計應(yīng)急物資儲備
完善應(yīng)急物資儲備和調(diào)用制度,保證應(yīng)急物資儲備需求和供應(yīng)。盡快出臺應(yīng)急物資和專項資金保障制度,在財務(wù)預(yù)算中單獨編列應(yīng)急管理費用支出或下?lián)軐m棏?yīng)急資金,切實提高物質(zhì)保障能力;按照“結(jié)構(gòu)科學(xué)、數(shù)量合理、管理有效”的應(yīng)急物資儲備管理原則,對重要業(yè)務(wù)系統(tǒng)易損部件進(jìn)行儲備,便于應(yīng)急處理時調(diào)劑;積極探索省際應(yīng)急物資協(xié)作共享機(jī)制,達(dá)到“分地儲備、戰(zhàn)時共享”的目的。
參考文獻(xiàn):
[1]李春昌.加強(qiáng)中央銀行會計集中核算系統(tǒng)的應(yīng)急管理[J]黑龍江金融,2007(11).
[2]中國人民銀行吉安市中心支行課題組.完善國庫業(yè)務(wù)系統(tǒng)應(yīng)急管理體系的思考[J].金融會計,2008(09).
為了確保奧運(yùn)期間網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定的運(yùn)行,必須保證國內(nèi)外參與2008奧運(yùn)盛事的廣大用戶安全暢通的移動信息服務(wù),所以移動運(yùn)營商需要在已有安全體系的基礎(chǔ)上引入專業(yè)的安全服務(wù),來增強(qiáng)有關(guān)網(wǎng)絡(luò)承載平臺、數(shù)據(jù)業(yè)務(wù)系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)等方面的安全風(fēng)險控制能力,以保證能夠持續(xù)不斷地發(fā)現(xiàn)系統(tǒng)安全風(fēng)險,選擇適當(dāng)控制措施及時進(jìn)行糾正。
日常安全服務(wù)
日常安全服務(wù)主要在非奧運(yùn)賽時進(jìn)行,服務(wù)的內(nèi)容主要包括安全預(yù)警服務(wù)、安全系統(tǒng)評估/抽查、安全加固、安全巡檢等服務(wù)。重點關(guān)注是在檢查奧運(yùn)有關(guān)系統(tǒng)的安全性,修補(bǔ)信息安全的短板,降低出現(xiàn)安全問題的可能性,并對可預(yù)見的安全問題進(jìn)行適當(dāng)?shù)难菥殹>唧w步驟如下:
首先要通過從專業(yè)安全服務(wù)組織獲取安全預(yù)警信息,為奧運(yùn)有關(guān)系統(tǒng)的運(yùn)維人員提供最新的安全動態(tài)、技術(shù)和定制的安全信息。具體包括實時安全漏洞通知、定期安全通告匯總、臨時安全解決方案等。同時將這些信息與建設(shè)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)進(jìn)行結(jié)合,實時反映網(wǎng)絡(luò)運(yùn)行的安全狀況,分析監(jiān)控過程中不正常的網(wǎng)絡(luò)參數(shù)或者業(yè)務(wù)流量,并進(jìn)行同步響應(yīng)。
其次要通過對奧運(yùn)有關(guān)系統(tǒng)進(jìn)行安全風(fēng)險評估,以準(zhǔn)確掌握各個系統(tǒng)的安全風(fēng)險狀況,為安全防護(hù)體系的建設(shè)提供客觀依據(jù)。為了降低安全評估可能給有關(guān)系統(tǒng)帶來的影響,建議對涉及的主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備采用安全專家手工檢查的方式進(jìn)行,而終端設(shè)備的數(shù)量眾多,重要性相對較低,可采用工具自動掃描的方式進(jìn)行安全檢查。同時,可以考慮對奧運(yùn)直接提供服務(wù)的奧運(yùn)產(chǎn)品系統(tǒng)進(jìn)行全面的評估,對奧運(yùn)有關(guān)系統(tǒng)的承載和運(yùn)行支撐平臺進(jìn)行抽查。
再次,在安全評估/抽查以后可以采用修改安全配置、添加安全策略、更新系統(tǒng)補(bǔ)丁、建立安全防護(hù)措施等方式,進(jìn)行安全風(fēng)險點的修補(bǔ)和加固,以促使奧運(yùn)相關(guān)系統(tǒng)的安全風(fēng)險級別降低到安全水平。
由專業(yè)安全服務(wù)組織協(xié)助進(jìn)行安全巡檢工作,一方面對網(wǎng)絡(luò)中的主機(jī)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)進(jìn)行基本的安全檢查,發(fā)現(xiàn)是否有啟動異常服務(wù)、非法訪問等情況存在;另一方面對安全設(shè)備如防火墻、入侵檢測、防病毒、動態(tài)口令認(rèn)證等安全系統(tǒng)進(jìn)行定期安全檢查,核查安全策略,以起到防微杜漸的作用。
奧運(yùn)會期間安全駐點服務(wù)
經(jīng)過在奧運(yùn)開賽之前的充分準(zhǔn)備,奧運(yùn)有關(guān)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)業(yè)已完成,已經(jīng)形成了較為完善的安全管控體系。在奧運(yùn)會期間最重要的就是依據(jù)既定的策略使業(yè)務(wù)系統(tǒng)安全、穩(wěn)定地運(yùn)行,而不適合再進(jìn)行安全建設(shè)的施工操作,需要盡可能少的進(jìn)行網(wǎng)絡(luò)架構(gòu)、主機(jī)系統(tǒng)、安全控制措施等方面的調(diào)整。
針對這個階段的安全防護(hù)特點,適合引入專業(yè)的安全駐點服務(wù)。安全駐點服務(wù)在現(xiàn)場提供奧運(yùn)會期間全網(wǎng)系統(tǒng)的安全職守,主要內(nèi)容包括:奧運(yùn)相關(guān)系統(tǒng)運(yùn)行狀態(tài)安全檢查、第三方維護(hù)人員安全指導(dǎo)、安全檢測系統(tǒng)日志分析(比如入侵檢測系統(tǒng))、安全優(yōu)化需求分析和方案提供、安全事件處理等,同時協(xié)助處理日常安全工作,加快響應(yīng)時間,保證業(yè)務(wù)質(zhì)量。
在安全駐點服務(wù)中的重要工作還包括對緊急安全事件的響應(yīng),這方面在下面進(jìn)行介紹。
應(yīng)急響應(yīng)服務(wù)
應(yīng)急響應(yīng)服務(wù)是在奧運(yùn)有關(guān)網(wǎng)絡(luò)出現(xiàn)緊急安全問題的時候,由專業(yè)安全服務(wù)組織提供有效的預(yù)案流程、技術(shù)手段等綜合措施,對已發(fā)生或可能發(fā)生的有重大危害的網(wǎng)絡(luò)與信息安全事件進(jìn)行響應(yīng),以盡量降低可能造成的損失,并使業(yè)務(wù)盡快恢復(fù)正常運(yùn)轉(zhuǎn)。
經(jīng)過對奧運(yùn)有關(guān)網(wǎng)絡(luò)系統(tǒng)分析,可能會出現(xiàn)的安全事件主要有:網(wǎng)絡(luò)速度緩慢、堵塞,重要業(yè)務(wù)系統(tǒng)出現(xiàn)資源占用異常升高,業(yè)務(wù)應(yīng)用系統(tǒng)出現(xiàn)異常,重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常進(jìn)程、非法訪問、爆發(fā)病毒等,重要系統(tǒng)出現(xiàn)啟動或關(guān)機(jī)異常、系統(tǒng)崩潰,重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)被篡改等。
在出現(xiàn)上述安全事件的時候,可以通過應(yīng)急響應(yīng)服務(wù)對疑似安全事件進(jìn)行準(zhǔn)確判定,對確認(rèn)的安全事件進(jìn)行處理和清除,以盡快恢復(fù)業(yè)務(wù)系統(tǒng)的運(yùn)行,分析和追蹤攻擊源。
關(guān)鍵詞:網(wǎng)絡(luò)安全;桌面安全;制度保障;技術(shù)保障
隨著現(xiàn)代化信息技術(shù)的不斷發(fā)展,醫(yī)療衛(wèi)生管理要求不斷趨向于智能化和計算機(jī)化,這對于加強(qiáng)管理的規(guī)范化、標(biāo)準(zhǔn)化,提高醫(yī)療工作效率,降低醫(yī)療運(yùn)行成本,改善醫(yī)療服務(wù)質(zhì)量起到了重要作用。由于醫(yī)保實時結(jié)算的實施,醫(yī)院基本上都實施了HIS(醫(yī)院信息系統(tǒng)),除此之外很多醫(yī)院陸續(xù)實施了DIS(醫(yī)生工作站)、LIS(檢驗信息系統(tǒng))和RIS(放射科信息系統(tǒng)),有的醫(yī)院還實施了PACS(影像存檔和通訊系統(tǒng)),這就造成了醫(yī)院信息系統(tǒng)的日益龐大,并且復(fù)雜交錯。一個環(huán)節(jié)出現(xiàn)問題,就可能會引起整個醫(yī)院計算機(jī)系統(tǒng)的癱瘓,手工業(yè)務(wù)很難立即恢復(fù),將引起醫(yī)療業(yè)務(wù)紊亂、甚至中止,給醫(yī)院帶來巨大的經(jīng)濟(jì)與形象損失。因此必須從多方面加強(qiáng)醫(yī)院信息系統(tǒng)的安全管理。
1注重網(wǎng)絡(luò)的整體冗余可靠性,運(yùn)用技術(shù)進(jìn)行保障,并定期檢查維護(hù)
(1)必須確立一個正確合理的網(wǎng)絡(luò)建設(shè)目標(biāo)。
這其中包括,采用先進(jìn)的網(wǎng)絡(luò)骨干技術(shù),保證網(wǎng)絡(luò)在相當(dāng)長的一段時間內(nèi)滿足醫(yī)院各個方面的發(fā)展需要;進(jìn)行必要的虛擬網(wǎng)絡(luò)劃分,控制網(wǎng)絡(luò)廣播風(fēng)暴,控制不同的訪問權(quán)限,檢測網(wǎng)絡(luò)中不正常的網(wǎng)絡(luò)流量,保護(hù)網(wǎng)絡(luò)不受侵犯,增加網(wǎng)絡(luò)安全性;對整個系統(tǒng)進(jìn)行完備的安全控制,在網(wǎng)絡(luò)系統(tǒng)各層次采取有效的安全控制策略;通過高性能、高可靠、多技術(shù)交換設(shè)備,采用3層交換技術(shù),提供QoS保證及詳細(xì)的管理信息,對網(wǎng)絡(luò)用戶的變化、設(shè)備的配置等進(jìn)行有效管理,對網(wǎng)絡(luò)運(yùn)行進(jìn)行有效監(jiān)控;還有,就是要保證網(wǎng)絡(luò)有良好的擴(kuò)展性,一方面能夠橫向擴(kuò)展,支持更多的用戶接入,另一方面能夠縱向擴(kuò)展,實現(xiàn)向先進(jìn)技術(shù)和產(chǎn)品的升級。
(2)運(yùn)用合理的網(wǎng)絡(luò)整體構(gòu)思和正確的解決方案。在這里,我們應(yīng)用一個醫(yī)院的實例加以說明。
醫(yī)院網(wǎng)絡(luò)一般分成院內(nèi)骨干層和接入層兩個基本網(wǎng)絡(luò)層次。
骨干層::根據(jù)醫(yī)院計算機(jī)中心的設(shè)計原則,以提高核心設(shè)備的可靠性、可用性為目標(biāo),網(wǎng)絡(luò)交換核心共配置兩臺CiscoCatalyst4506全模塊化骨干級路由交換機(jī)。醫(yī)院的應(yīng)用服務(wù)器與核心交換機(jī)直接相連,客戶端設(shè)備通過第二、三層網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)交換。其中,每臺核心路有交換機(jī)配置兩個電源和機(jī)箱風(fēng)扇,提供電源的供電負(fù)載均衡和冗余備份。同時,每臺交換機(jī)各配置兩塊管理模塊。管理模塊冗余配置,可以相互進(jìn)行備份,具有容錯功能。
兩臺核心交換機(jī)之間采用兩條1Gbps鏈路,利用端口鏈路聚合(Trunking)技術(shù)連接。Trunking技術(shù)可以在擴(kuò)充網(wǎng)絡(luò)帶寬的同時,更好地實現(xiàn)網(wǎng)絡(luò)的冗余連接能力。此外,兩臺核心交換機(jī)各配置一塊第三層交換模塊,模塊之間采用VRRP(虛擬路由冗余協(xié)議)實現(xiàn)網(wǎng)絡(luò)層的冗余連接。
接入層:根據(jù)信息網(wǎng)絡(luò)的設(shè)計所要求的可靠性、可擴(kuò)充性,在接入層配置了CiscoCatalyst2950以太網(wǎng)交換機(jī),提供客戶端設(shè)備第二層交換10M/100Mbps以太網(wǎng)端口。
對于接入層到骨干層的連接,考慮到上行鏈路的負(fù)載以及網(wǎng)絡(luò)鏈路高可靠性的要求,網(wǎng)絡(luò)采用兩條千兆以太網(wǎng)上連方式,每處配置2個千兆上連端口,分別連接到網(wǎng)絡(luò)中心的兩臺核心交換機(jī)。其中一條鏈路為主鏈路,另一條鏈路為備用鏈路,采用生成樹(SpanningTree)技術(shù)進(jìn)行連接配置。當(dāng)主鏈路出現(xiàn)故障時,備用鏈路能快速進(jìn)行切換。
在該方案中,由于骨干層采用兩全相同配置的核心交換機(jī),并且每臺核心交換機(jī)均采用雙電源、雙管理模塊,采用Trunking技術(shù)進(jìn)行互連,交換機(jī)的兩塊第三層模塊可做VRRP;接入層交換機(jī)采用生成樹技術(shù)與核心交換機(jī)進(jìn)行互連,從而保證網(wǎng)絡(luò)無論是從物理設(shè)備,還是從設(shè)備的物理層連接,或者從設(shè)備的第三層連接都能實現(xiàn)高可靠的性能。(3)有了安全冗余的網(wǎng)絡(luò)結(jié)構(gòu),并不是一勞永逸的,同時需要多方面的技術(shù)保障。
其一,網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下,病毒的傳播擴(kuò)散非常迅速,必須應(yīng)用適合于局域網(wǎng)的全方位防病毒產(chǎn)品。醫(yī)院信息網(wǎng)絡(luò)是內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的升級,使網(wǎng)絡(luò)免受病毒的侵襲。
其二,采用入侵檢測系統(tǒng)并加強(qiáng)漏洞掃描。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達(dá)到限制這些活動,以保護(hù)系統(tǒng)的安全。醫(yī)院信息網(wǎng)絡(luò)網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。另外。尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。其三,IP盜用問題的解決。將IP地址和MAC地址相互捆綁,當(dāng)某個IP地址需要進(jìn)入網(wǎng)絡(luò)訪問服務(wù)器時,首先檢查發(fā)出這個IP廣播包的工作站的MAC是否與MAC地址表相符,如果相符就放行。否則不允許進(jìn)入,切實杜絕非法進(jìn)入。
(4)制定相關(guān)的維護(hù)制度、功能預(yù)案,進(jìn)行定期檢查和應(yīng)急演練。
由于醫(yī)療工作的重要性和連續(xù)性,必須制定相關(guān)的制度和應(yīng)急預(yù)案,切實保障醫(yī)院信息網(wǎng)絡(luò)的安全。對于日常情況,應(yīng)根據(jù)維護(hù)制度安排具有良好思想業(yè)務(wù)素質(zhì)的網(wǎng)絡(luò)管理人員來定期檢查網(wǎng)絡(luò)的運(yùn)行情況,保證線路設(shè)備正常運(yùn)轉(zhuǎn),負(fù)責(zé)好網(wǎng)絡(luò)的系統(tǒng)管理,確保網(wǎng)絡(luò)的暢通和安全。制定功能預(yù)案,記錄相關(guān)應(yīng)急操作,確保在突況下有章可循。醫(yī)療單位還應(yīng)根據(jù)自身特點,定期組織應(yīng)急演練,確保在突況下有較好的應(yīng)對能力。
2認(rèn)真總結(jié)醫(yī)院信息系統(tǒng)面臨的桌面安全問題,運(yùn)用技防與人防相結(jié)合的辦法
醫(yī)院信息網(wǎng)絡(luò)的終端工作站,是醫(yī)院信息網(wǎng)絡(luò)的重要組成部分,其分布區(qū)域較多、而且面廣,往往不易于管理。很多時候就是由于終端工作站的小問題,就會造成整個信息網(wǎng)絡(luò)的大問題,并且還會影響到醫(yī)患關(guān)系,產(chǎn)生醫(yī)療糾紛。
(1)我們要認(rèn)真研究總結(jié)終端工作站所面臨的桌面安全問題。
在醫(yī)院這么些年的大規(guī)模信息網(wǎng)絡(luò)應(yīng)用中,我們發(fā)現(xiàn)桌面終端的主要問題有:擅自拆換硬件設(shè)備,擅自安裝外接存儲設(shè)備以及擅自進(jìn)行網(wǎng)絡(luò)共享等等。這些行為給醫(yī)院信息系統(tǒng)帶來的隱患是巨大的。擅自拆換硬件設(shè)備,常見的主要是內(nèi)存、硬盤的丟失或掉包,由于醫(yī)院終端計算機(jī)較多,往往不易發(fā)現(xiàn),這就導(dǎo)致了醫(yī)院財產(chǎn)的損失。擅自安裝外接存儲設(shè)備,主要體現(xiàn)在連接USB移動存儲設(shè)備,進(jìn)行計算機(jī)私用,因為一般醫(yī)院出于安全考慮,是不安裝光、軟驅(qū)的。例如,打印私人的文檔,復(fù)制游戲、電影、小說進(jìn)行娛樂。這就造成一些醫(yī)務(wù)人員的工作分心,有時會影響到醫(yī)患關(guān)系,甚至產(chǎn)生醫(yī)療糾紛。另外,由于私人USB移動存儲設(shè)備,往往帶有病毒,這就會大大增加醫(yī)院信息系統(tǒng)的安全風(fēng)險。再加上少數(shù)醫(yī)務(wù)人員,利用網(wǎng)絡(luò)共享,相互傳播這些內(nèi)容,就更加加劇了風(fēng)險性,這對于醫(yī)院的整體形象以及信息系統(tǒng)的安全是大大不利的。
(2)在技術(shù)方面予以對應(yīng)解決。
針對以上問題,我們在實際工作中,采取了一系列的解決辦法。利用醫(yī)院的物資管理系統(tǒng),對每一臺主機(jī)進(jìn)行編號,詳細(xì)記錄主板、硬盤、CPU、內(nèi)存等硬件信息,進(jìn)行定期的抽查檢測。對于有條件的醫(yī)院,可以引進(jìn)先進(jìn)的安全管理軟件,對客戶端的硬件變更進(jìn)行報警并記錄日志,徹底杜絕這一現(xiàn)象的發(fā)生。針對連接USB移動存儲設(shè)備,最簡單實用的方法,就是在CMOS中禁止USB端口,并對CMOS進(jìn)行加密,杜絕USB存儲設(shè)備所導(dǎo)致的病毒來源,從根源上解決客戶端對服務(wù)器的安全影響。對于網(wǎng)絡(luò)共享,可以應(yīng)用一些桌面軟件,例如美萍、PC-Security,對客戶機(jī)進(jìn)行控制,僅對合法程序給與正常運(yùn)行,其余程序一律不能運(yùn)行。這些軟件還可以控制“我的電腦”,“InternetExplorer”,“控制面板”等,使之不能安裝游戲程序,不能進(jìn)行網(wǎng)絡(luò)共享,杜絕非法操作。
(3)進(jìn)行宣傳教育,制定規(guī)章條例,強(qiáng)化制度約束。
醫(yī)院信息系統(tǒng)的桌面安全管理,就如同一場矛和盾的較量。如何讓這把盾更好的發(fā)揮作用呢?這就需要規(guī)章制度這一強(qiáng)有力的指揮棒了。根據(jù)醫(yī)院信息系統(tǒng)的維護(hù)經(jīng)驗,我們認(rèn)為,首先要進(jìn)行全面的宣傳教育,讓每一位醫(yī)務(wù)人員認(rèn)識了解醫(yī)院信息系統(tǒng)安全的重要性,做到人人心知肚明,主動提高自身覺悟。醫(yī)院必須建立醫(yī)院信息網(wǎng)絡(luò)的使用規(guī)章制度和使用處理條例,讓每一位醫(yī)務(wù)人員充分了解自身的職責(zé)和操作規(guī)范,更好的使用計算機(jī)。對于違規(guī)人員,應(yīng)根據(jù)處理條例進(jìn)行嚴(yán)肅處分,并對相關(guān)科室進(jìn)行處理,杜絕違規(guī)現(xiàn)象的發(fā)生。
醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)與桌面安全是一項長期而復(fù)雜的工程,它涉及了醫(yī)院的方方面面,只有仔細(xì)考慮,嚴(yán)格論證,才能取得好的效果。醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)與桌面安全,沒有適用的通用方案,即使對一所醫(yī)院,也不可能有最優(yōu)的方案,只有較優(yōu)的方案。為了更好的適應(yīng)信息時代的需要,必須一邊分析研究,一邊積極實踐,逐步優(yōu)化,才能探索出一條自己的路。并且通過建立現(xiàn)代醫(yī)院的信息化制度和規(guī)程,把醫(yī)院的實際管理與應(yīng)用相結(jié)合,才能夠達(dá)到理想的管理效果。
參考文獻(xiàn)
【關(guān)鍵詞】金融科技 網(wǎng)絡(luò) 風(fēng)險
計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,為計算機(jī)用戶提供了豐富的網(wǎng)絡(luò)和設(shè)備互聯(lián)的手段。這些多種多樣的互聯(lián)互通方式,正在成為基層行內(nèi)部網(wǎng)絡(luò)規(guī)范化管理工作中,所要面對的最大挑戰(zhàn)之一。而非法外聯(lián)是影響計算機(jī)網(wǎng)絡(luò)安全的重要方面,有效防范非法外聯(lián)對確保基層行各信息系統(tǒng)安全平穩(wěn)運(yùn)行意義重大。
一、基層行內(nèi)部網(wǎng)絡(luò)建設(shè)現(xiàn)狀
人民銀行內(nèi)聯(lián)網(wǎng)經(jīng)過多年的升級改造,已初具規(guī)模。為保證人民銀行內(nèi)聯(lián)網(wǎng)和重要業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行,在內(nèi)聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)之間實施物理隔離,是當(dāng)前內(nèi)聯(lián)網(wǎng)采取的主要安全保密措施。物理隔離能夠在內(nèi)聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)之間提供一條安全邊界,建立一個可信可控的內(nèi)部安全網(wǎng)絡(luò)。
從人民銀行內(nèi)部網(wǎng)絡(luò)二十多年運(yùn)行情況來看,單純的物理隔離手段還不能夠完全將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開來,內(nèi)部網(wǎng)絡(luò)計算機(jī)在使用、管理中還存在一定的安全隱患。
二、非法外聯(lián)概念
非法外聯(lián)是指內(nèi)部網(wǎng)絡(luò)計算機(jī)在未授權(quán)的前提下,通過網(wǎng)絡(luò)設(shè)備建立一條內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通路。非法外聯(lián)行為有很多種,如撥號上網(wǎng)、雙網(wǎng)卡上網(wǎng)、GPRS、紅外等。正常情況下,基層行的局域網(wǎng)會有一個統(tǒng)一的出口,即由網(wǎng)關(guān)來跟上級行聯(lián)結(jié),其局域網(wǎng)是封閉的,不允許聯(lián)結(jié)互聯(lián)網(wǎng),局域網(wǎng)用戶是安全的。但從另一個角度來看,安全是以受限制為代價的,局域網(wǎng)用戶為了達(dá)到某種目的,采用其他方式非法聯(lián)結(jié)互聯(lián)網(wǎng),該聯(lián)結(jié)的風(fēng)險是使主機(jī)同時暴露于內(nèi)網(wǎng)和外網(wǎng)。
三、非法外聯(lián)的危害
由于內(nèi)部工作人員故意或無意的疏忽,在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間開出了新的聯(lián)結(jié)通道,外部的黑客攻擊或者病毒就能夠繞過內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)之間的防護(hù)屏障,順利侵入非法外聯(lián)的計算機(jī),盜竊內(nèi)部網(wǎng)絡(luò)的敏感信息和機(jī)密數(shù)據(jù),甚至利用該機(jī)作為跳板,攻擊、傳染內(nèi)部網(wǎng)絡(luò)的重要服務(wù)器,導(dǎo)致整個內(nèi)部網(wǎng)絡(luò)工作癱瘓。
四、非法外聯(lián)的方式
一是內(nèi)部網(wǎng)絡(luò)計算機(jī)內(nèi)外網(wǎng)線交叉錯接;
二是內(nèi)部網(wǎng)絡(luò)計算機(jī)使用撥號、無線網(wǎng)卡、雙網(wǎng)卡等方式接入外網(wǎng);
三是在內(nèi)部網(wǎng)絡(luò)使用過的計算機(jī)不經(jīng)相關(guān)部門授權(quán)批準(zhǔn)和技術(shù)處理又接入外部網(wǎng)絡(luò)使用。
五、防范非法外聯(lián)的對策
為了保障內(nèi)部網(wǎng)絡(luò)的安全,除了物理隔離外,還必須采取以下措施:
(一)切實加強(qiáng)對計算機(jī)網(wǎng)絡(luò)安全管理工作的組織領(lǐng)導(dǎo)
人民銀行計算機(jī)網(wǎng)絡(luò)安全,關(guān)系到國家金融信息、社會資金、交易結(jié)算安全,關(guān)系到經(jīng)濟(jì)金融穩(wěn)定運(yùn)行。基層行要牢固樹立“信息安全無小事”的意識,始終站在保安全、保穩(wěn)定、促發(fā)展的高度,切實提高對計算機(jī)網(wǎng)絡(luò)安全管理重要性的認(rèn)識,不斷增強(qiáng)工作責(zé)任感和緊迫感,把計算機(jī)網(wǎng)絡(luò)安全管理列入基層行的重要議事日程,加強(qiáng)組織領(lǐng)導(dǎo),健全工作機(jī)制,按照更加嚴(yán)格的標(biāo)準(zhǔn),建立更加嚴(yán)格的制度,采取更加嚴(yán)格的措施,將計算機(jī)網(wǎng)絡(luò)安全抓好、抓實。
(二)嚴(yán)格落實計算機(jī)網(wǎng)絡(luò)安全管理工作責(zé)任
要嚴(yán)格落實總行、分行制定的各項計算機(jī)網(wǎng)絡(luò)安全管理制度,按照“誰主管誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,層層細(xì)化、逐級靠實領(lǐng)導(dǎo)責(zé)任、管理責(zé)任、操作責(zé)任。要結(jié)合本單位工作實際,制訂切實可行的信息安全管理責(zé)任制,做到對每一個部門、每一個崗位、每一個環(huán)節(jié)、每一個人員計算機(jī)安全工作的全面、有效覆蓋。
(三)深入開展計算機(jī)安全管理教育工作
要將計算機(jī)網(wǎng)絡(luò)安全管理教育列入全年培訓(xùn)教育計劃,嚴(yán)格落實培訓(xùn)責(zé)任,細(xì)化培訓(xùn)內(nèi)容、對象和要求,以計算機(jī)網(wǎng)絡(luò)安全管理制度、機(jī)要保密工作制度為核心,以計算機(jī)和網(wǎng)絡(luò)應(yīng)用知識、操作技能為基礎(chǔ),通過舉辦講座、現(xiàn)場演練、警示教育等多種形式,切實加大對全體干部職工的培訓(xùn)教育力度,普及安全知識,增強(qiáng)干部職工的安全防范意識和風(fēng)險應(yīng)對能力。特別是對新入行人員,要及時進(jìn)行系統(tǒng)培訓(xùn),使其全面掌握相關(guān)應(yīng)知、應(yīng)會知識和技能。
(四)進(jìn)一步加大計算機(jī)網(wǎng)絡(luò)安全檢查力度
要針對計算機(jī)安全管理的重要部門、重要系統(tǒng)、重要崗位,圍繞落實身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計、責(zé)任認(rèn)定以及防篡改、防病毒、防攻擊、防癱瘓、防泄密等重要環(huán)節(jié),定期不定期對全行計算機(jī)網(wǎng)絡(luò)安全風(fēng)險狀況進(jìn)行深入檢查和評估,及時發(fā)現(xiàn)薄弱環(huán)節(jié)和安全隱患,及時采取有效措施堵塞漏洞,全面化解風(fēng)險。要加強(qiáng)計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)隊伍建設(shè),認(rèn)真做好重大信息安全事故處置、重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)備份等各項工作,確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行。
(五)確保內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng)、互聯(lián)網(wǎng)嚴(yán)格物理隔離
嚴(yán)格實施內(nèi)外網(wǎng)物理隔離,是防止病毒入侵破壞系統(tǒng)、非法軟件植入竊取信息的重要措施。基層行應(yīng)嚴(yán)格按照總行有關(guān)網(wǎng)絡(luò)安全管理規(guī)定,實行內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng)、互聯(lián)網(wǎng)網(wǎng)絡(luò)及相關(guān)設(shè)備的物理隔離,嚴(yán)禁交叉使用、串用混用和并網(wǎng)運(yùn)行,堅決杜絕非法外聯(lián)現(xiàn)象發(fā)生。
1美國電力行業(yè)信息安全的戰(zhàn)略框架
為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美國能源部出資,能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上,于2011年了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來丨0年的信息安全制定了戰(zhàn)略框架和行動計劃,體現(xiàn)了美國加強(qiáng)國家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險管理原則,明確了至2020年美國能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實施策略及里程碑計劃,指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出:至2020年,要設(shè)計、安裝、運(yùn)行、維護(hù)堅韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅韌。路線圖提出了實現(xiàn)目標(biāo)的5個策略,為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險管理實踐,確保建立的安全控制有效。網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,,(2)評估和監(jiān)測風(fēng)險。實現(xiàn)對能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測,持續(xù)評估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險及其應(yīng)對措施。(3)制定和實施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實現(xiàn)“深度防御”,在網(wǎng)絡(luò)安全事件中能連續(xù)運(yùn)行。(4)開展事件管理。開展網(wǎng)絡(luò)事件的監(jiān)測、補(bǔ)救、恢復(fù),減少對能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析、取證以及總結(jié),促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵機(jī)制及利益相關(guān)者密切合作,確保持續(xù)積極主動的能源傳輸系統(tǒng)安全提升。為及時跟蹤2011路線圖實施情況,能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果,掌握里程碑進(jìn)展情況,使能源利益相關(guān)者為路線圖的實現(xiàn)作一致努力。
2美國電力行業(yè)信息安全的管理結(jié)構(gòu)
承擔(dān)美國電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括:國土安全部(DHS)、能源部(1)0£)、聯(lián)邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(PUC)。2.1國土安全部美國國土安全部是美國聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全,為私營企業(yè)提供專業(yè)援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門、各州、各行業(yè)以及國際社會共享網(wǎng)絡(luò)威脅發(fā)展趨勢,組織協(xié)調(diào)事件響應(yīng)w。
2.2能源部
美國能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé),而是通過指導(dǎo)技術(shù)研發(fā)和協(xié)助項目開發(fā)促進(jìn)私營企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國家能源基礎(chǔ)設(shè)施的可靠性和堅韌性的職責(zé),提供技術(shù)研究和發(fā)展的資金,推進(jìn)風(fēng)險管理策略和信息安全標(biāo)準(zhǔn)研發(fā),促進(jìn)威脅信息的及時共享,為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。
能源部2012年與美國國家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撐電力行業(yè)的信息安全能力評估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險管理。
在201丨路線圖的指導(dǎo)下,能源部啟動了能源傳輸系統(tǒng)的信息安全項目,資助愛達(dá)荷國家實驗室建立SCADA安全測試平臺,發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。
2.3聯(lián)邦能源管理委員會
聯(lián)邦能源管理委員會負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實施監(jiān)管,是獨立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology,NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。
2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructureprotection,CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn),要求各相關(guān)企業(yè)執(zhí)行,旨在保護(hù)電網(wǎng),預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。
2.4北美電力可靠性公司
北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監(jiān)管下,制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn),開展可靠性監(jiān)測、分析、評估、信息共享,確保大電力系統(tǒng)的可靠性。
NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險管理過程指南》,提供了網(wǎng)絡(luò)安全風(fēng)險管理的指導(dǎo)方針。
歸屬NERC的電力行業(yè)協(xié)凋委員會(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者,其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào),以提高電力行業(yè)的可靠性和堅韌性'NERC通過其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢感知、事件管理以及協(xié)調(diào)和溝通的能力,與電力企業(yè)進(jìn)行及時、可靠和安全的信息共享和溝通。通過電網(wǎng)安全年會(GridSecCon)、簡報,提供威脅應(yīng)對策略、最佳實踐的討論共享和培訓(xùn)機(jī)會;組織電網(wǎng)安全演練(GridEx)檢查整個行業(yè)應(yīng)對物理和網(wǎng)絡(luò)事件的響應(yīng)能力,促2.5州公共事業(yè)委員會美國聯(lián)邦政府對地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會負(fù)責(zé)監(jiān)管地方電力公司的信息安全,大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過監(jiān)管權(quán)力,成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國公用事業(yè)監(jiān)管委員協(xié)會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯(lián)盟協(xié)會,也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作,呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅,定期審查各自的政策和程序,以確保與適用標(biāo)準(zhǔn)、最佳實踐的一致性%
3美國電力行業(yè)信息安全的硏究資源
參與美國電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會、國土安全部所屬的能源行業(yè)控制系統(tǒng)工作組,重點幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時,能源部所屬的多個國家實驗室提供網(wǎng)絡(luò)安全測試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。
3.1國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)
根據(jù)2007能源獨立與安全法令,美_國家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月,NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39,信息安全風(fēng)險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意義的信息安全改進(jìn)建議。2014年2月,根據(jù)13636行政令,了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版,以幫助組織識別、評估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險。
NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實驗平臺用于檢測符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能,以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實踐的實施。
3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會
智能電網(wǎng)網(wǎng)絡(luò)安全委員會其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風(fēng)險管理流程、安全測試和認(rèn)證等研究,致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。在NIST的領(lǐng)導(dǎo)下,SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架,為組織級研究、設(shè)計、研發(fā)和實施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。
3.3國家電力行業(yè)信息安全組織(NESC0)
能源部組建的國家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO),集結(jié)了美國國內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開發(fā)商以及用戶,致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源,開展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。
3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)
隸屬國土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成,在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會框架下運(yùn)作。在能源部的資助下,ESCSWG編制了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購用語指南》。3.5能源部所屬的國家實驗室
3.5.1愛達(dá)荷國家實驗室(INL)
愛達(dá)荷W家實驗室成立于1949年,是為美國能源部在能源研究、國家防御等方面提供支撐的應(yīng)用工程實驗室。近十年來,INL與電力行業(yè)合作,加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。
在美國能源部的資助下,INL建立了包含美國國內(nèi)和國際上多種控制系統(tǒng)的SCADA安全測試平臺以及無線測試平臺等資源,目的對SCADA進(jìn)行全面、徹底的評估,識別控制系統(tǒng)脆弱點,并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統(tǒng)信息安全項目,INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測惡意流量對SCADA實時網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國國土安全部控制系統(tǒng)安全項目,INL開發(fā)并實施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專家的安全意識和防御能力。1NL的相關(guān)研究報告有《SCADA網(wǎng)絡(luò)安全評估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全:深度防御戰(zhàn)略》、《控制系統(tǒng)評估中常見網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。
3.5.2太平洋西北國家實驗室(PNNL)
太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室,研究解決美國在能源、環(huán)境和國家安全等方面最緊迫的問題。
PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念,有助于實現(xiàn)遠(yuǎn)程訪問設(shè)備與控制中心之間的安全通信。的相關(guān)研究報告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項。
3.5.3桑迪亞國家實驗室(SNL)
桑迪亞國家實驗室是能源部所屬的多學(xué)科國家實驗室,也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報告有《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)網(wǎng)絡(luò)漏洞評估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護(hù)安全框架》、《過程控制系統(tǒng)的安全指標(biāo)》I1'《高級計量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下,SNL開展了關(guān)于供應(yīng)鏈威脅的研究項目,形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策h(yuǎn)i。
4美國電力行業(yè)信息安全的運(yùn)作策略
4.1標(biāo)準(zhǔn)只作為網(wǎng)絡(luò)安全的基線
NERC的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)(CIP)作為強(qiáng)制性標(biāo)準(zhǔn),是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標(biāo)準(zhǔn)與電網(wǎng)規(guī)劃準(zhǔn)則、系統(tǒng)有功平衡與調(diào)頻、無功平衡與調(diào)壓、安全穩(wěn)定運(yùn)行等系列標(biāo)準(zhǔn)相并列,成為北美大電網(wǎng)可靠性標(biāo)準(zhǔn)的重要組成部分。目前強(qiáng)制執(zhí)行的是CIP-002至C⑴-009共8個標(biāo)準(zhǔn)的第3版。文獻(xiàn)1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過FERC批準(zhǔn)即將于2016年實施。第5版新增了CIP-010配置變更管理和漏洞評估、C1P-011信息保護(hù)2個強(qiáng)制標(biāo)準(zhǔn)。
目前配電系統(tǒng)沒有強(qiáng)制標(biāo)準(zhǔn),但NIST將C1P標(biāo)準(zhǔn)融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標(biāo)準(zhǔn),但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作,NIST組織編制了《美國智能電網(wǎng)信息安全指南》,提出了一個普適性的智能電網(wǎng)信息安全分析框架,為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險評估、風(fēng)險識別以及安全要求的實施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險管理過程指南》提供了電力行業(yè)信息安全風(fēng)險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i,通過行業(yè)實踐幫助組織評估、優(yōu)化和改善網(wǎng)絡(luò)安全功能,促進(jìn)網(wǎng)絡(luò)安全行動和投資的有序開展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標(biāo)準(zhǔn)。文獻(xiàn)f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施,可見自愿標(biāo)準(zhǔn)的執(zhí)行率偏低強(qiáng)制執(zhí)行的CIP標(biāo)準(zhǔn)在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實發(fā)揮了基礎(chǔ)作用,然而網(wǎng)絡(luò)威脅的快速變化以及每個組織面對的風(fēng)險的獨特性,強(qiáng)制性標(biāo)準(zhǔn)在某種程度上影響企業(yè)采取超過但不同于最低標(biāo)準(zhǔn)的合適的防護(hù)措施。文獻(xiàn)丨3]提出目前將強(qiáng)制性的解決方案擴(kuò)展到配電網(wǎng)不是有效的方法,聯(lián)邦政府也在考慮縮小強(qiáng)制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標(biāo)準(zhǔn)的符合度,監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略,包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險管理等。無論是強(qiáng)制性的標(biāo)準(zhǔn)還是非強(qiáng)制性的標(biāo)準(zhǔn)都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略
對能源傳輸系統(tǒng)安全風(fēng)險的認(rèn)知缺失或識別能力的不足,缺少有效的安全策略和技術(shù)環(huán)境訓(xùn)練的人員,將阻礙能源行業(yè)的持續(xù)安全。安全文化建設(shè)已成為201丨路線圖的首要策略,以提升電力行業(yè)網(wǎng)絡(luò)安全運(yùn)作的主動性。2011路線圖提出重點從最佳實踐、教育、認(rèn)證等方面加強(qiáng)信息安全文化建設(shè),以實現(xiàn)能源傳輸系統(tǒng)的最佳實踐被廣泛使用、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長等中長期目標(biāo)'最佳實踐傳遞的目標(biāo)效果是網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習(xí)慣。相關(guān)國家實驗室圍繞各自研究方向總結(jié)了評估方法、漏洞補(bǔ)救措施、操作指南等一系列最佳實踐。如INL根據(jù)其多年SCADA漏洞評估經(jīng)驗,編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評估方法》等。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》,為工業(yè)控制系統(tǒng)提供了能及時發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實踐融入了安全框架、指南和導(dǎo)則中,如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等。NESCO、NERC等通過電網(wǎng)安全年會等多種方式提供了最佳實踐的交流機(jī)會。
關(guān)鍵詞 危險品 安全管理 保障措施
中圖分類號:X921 文獻(xiàn)標(biāo)識碼:A
1針對極端危機(jī)情境的應(yīng)急演練常態(tài)化
1.1 應(yīng)急管理制度的建立健全
國家“十一五”發(fā)展規(guī)劃綱要明確規(guī)定,建立健全應(yīng)急管理體系,加強(qiáng)指揮信息系統(tǒng)、應(yīng)急物質(zhì)保障、專業(yè)救災(zāi)搶險隊伍、應(yīng)急標(biāo)準(zhǔn)體系以及運(yùn)輸、現(xiàn)場通訊保障等重點領(lǐng)域和重點項目的建設(shè),建設(shè)國家、省、市三級安全生產(chǎn)應(yīng)急救援指揮中心和國家、區(qū)域、骨干專業(yè)應(yīng)急救援體系。
為認(rèn)真貫徹落實“安全第一、預(yù)防為主、綜合治理”的方針,規(guī)范中國石化集團(tuán)勝利石油工程有限公司測井公司應(yīng)急管理工作,提高測井公司應(yīng)對突發(fā)事件的應(yīng)急救援水平,增強(qiáng)綜合處置突發(fā)事件的能力,預(yù)防和控制次生災(zāi)害的發(fā)生,保障測井公司員工和公眾的生命安全,最大限度地預(yù)防和減少特大事件及其造成的損害,維護(hù)測井公司的安全生產(chǎn)和社會穩(wěn)定,促進(jìn)測井公司全面、協(xié)調(diào)、可持續(xù)發(fā)展,測井公司依據(jù)國家有關(guān)法律、法規(guī)、標(biāo)準(zhǔn),以及中國石化、勝利油田和山東省、東營市相關(guān)管理規(guī)定、應(yīng)急預(yù)案等文件制定了綜合應(yīng)急預(yù)案。
發(fā)生測井公司級發(fā)生放射性、爆炸物品、火災(zāi)爆炸、人員重傷死亡以及公眾關(guān)注容易引發(fā)輿情的事件立即上報,時限20分鐘以內(nèi),每半小時一次持續(xù)報告。其他突發(fā)事件不得超過40分鐘,境外事件不得超過5個小時。
1.2應(yīng)急演練演練內(nèi)容
包括測井公司在內(nèi)的油田各單位應(yīng)制定年度應(yīng)急演練計劃,按照“先單項后綜合、桌面推演與現(xiàn)場實戰(zhàn)相結(jié)合、循序漸進(jìn)、時空有序”等原則,合理安排演練的頻次、規(guī)模、形式、內(nèi)容、時間、地點以及責(zé)任人等。
公司每半年至少組織1次綜合性應(yīng)急演練,三級單位每季度至少組織1次綜合性應(yīng)急(或現(xiàn)場處置方案)演練;成建制四級單位每月至少組織1次現(xiàn)場處置方案演練。
各單位應(yīng)急演練應(yīng)以相關(guān)應(yīng)急預(yù)案或應(yīng)急處置程序為基礎(chǔ),編制應(yīng)急演練腳本。演練腳本應(yīng)體現(xiàn)和執(zhí)行應(yīng)急預(yù)案所有環(huán)節(jié),達(dá)到檢驗預(yù)案、鍛煉隊伍、提高應(yīng)急處置能力的目的。
應(yīng)急演練主要包括以下三種形式:
(1)桌面演練:沒有時間壓力情況下,發(fā)現(xiàn)和解決預(yù)案中的問題,取得一些有建設(shè)性的討論結(jié)果,鍛煉演習(xí)人員解決問題的能力,明確相互協(xié)作和職責(zé)劃分問題,此演練是功能演習(xí)和全面演習(xí)的基礎(chǔ)。桌面演練通常在會議室舉行,由應(yīng)急組織的代表或關(guān)鍵崗位人員參加,按照應(yīng)急預(yù)案和標(biāo)準(zhǔn)行動程序,討論所應(yīng)急采取的應(yīng)急行動。討論問題不受時間限制;采取口頭評論形式,并形成書面總結(jié)和改進(jìn)建議。主要特點是口頭“走一遍”應(yīng)急響應(yīng)的場景,成本低。
(2)功能演練:功能演練是指針對某項應(yīng)急響應(yīng)功能或其中某些應(yīng)急響應(yīng)行動舉行的演練活動,可分為單項演習(xí)和組合演習(xí),需要調(diào)用有限的資源開展現(xiàn)場演習(xí)并形成書面報告,目的是為了熟練和檢驗?zāi)承┗静僮骰蛲瓿赡承┨囟ㄈ蝿?wù)所需的技術(shù)和實戰(zhàn)能力。
(3)全面演練:全面演練是針對應(yīng)急預(yù)案中全部或大部分應(yīng)急響應(yīng)功能開展演練。全面演練一般要求持續(xù)幾個小時,采取交互式方式進(jìn)行,演練過程要求盡量真實,調(diào)用更多的應(yīng)急人員和資源,來開展人員、設(shè)備及其他資源的實戰(zhàn)性演練,以檢驗相互協(xié)調(diào)的總體反應(yīng)和應(yīng)急能力。
1.3演練資料總結(jié)歸檔
應(yīng)急演練結(jié)束后,演練單位要對演練的組織過程、效果進(jìn)行評估,提出持續(xù)改進(jìn)措施,完善應(yīng)急預(yù)案,形成演練總結(jié)報告,存檔并報上一級主管部門備案。
演練結(jié)束后做好總結(jié),總結(jié)內(nèi)容應(yīng)包括:
(1)參加演練的單位、部門、人員和演練的地點;
(2)起止時間;演練過程和各相應(yīng)時間節(jié)點;
(3)演練項目和內(nèi)容;
(4)演練過程中的環(huán)境條件;
(5)演練動用設(shè)備、物資;
(6)演練效果;
(7)持續(xù)改進(jìn)的建議;
(8)演練過程記錄的文字、音像資料等。
2提升對危險品可能引起的社會安全危機(jī)的認(rèn)知
測井公司生產(chǎn)經(jīng)營過程中涉及有放射性源、爆炸物品,公司的人員聚集場所多,存在發(fā)生工業(yè)生產(chǎn)事故、自然災(zāi)害、公共衛(wèi)生、社會安全事件等風(fēng)險。加強(qiáng)各類突發(fā)事件的風(fēng)險源分析,排查公司生產(chǎn)、生活、大型活動中,易發(fā)、高發(fā)突發(fā)事件的類型及各類施工、活動場所,做好各類事件的危害預(yù)測,分析突發(fā)事件與各類次生災(zāi)害、次生事件的關(guān)系、緊密程度,為科學(xué)制定應(yīng)對措施提供依據(jù)。
公司通過宣傳和培訓(xùn),使各單位應(yīng)將應(yīng)急培訓(xùn)納入本單位年度培訓(xùn)計劃,每年年底前編制完成下年度應(yīng)急培訓(xùn)計劃,并上報公司應(yīng)急指揮中心辦公室。
同時各單位應(yīng)定期開展單位負(fù)責(zé)人、分管領(lǐng)導(dǎo)、應(yīng)急管理人員、應(yīng)急救援人員、從業(yè)人員等各級各類人員,特別是新入廠、轉(zhuǎn)崗員工的應(yīng)急培訓(xùn)。
應(yīng)急培訓(xùn)的主要內(nèi)容有:
(1)危險源辨識、危害因素識別與風(fēng)險分析。
(2)應(yīng)急救援知識與技能,個人防護(hù)、自救、互救等基本知識。
(3)應(yīng)急職責(zé)、應(yīng)急響應(yīng)及實施程序。
(4)應(yīng)急設(shè)施、設(shè)備、器材的性能與使用方法。
(5)應(yīng)急對策與防護(hù)措施。
(6)相關(guān)應(yīng)急預(yù)案、應(yīng)急處置程序。
(7)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)和規(guī)章。
測井公司應(yīng)急指揮中心辦公室會同組織、宣傳和培訓(xùn)等有關(guān)部門,通過各種宣傳手段,向員工和各單位周邊公眾廣泛宣傳應(yīng)急法律法規(guī)和普及安全生產(chǎn)突發(fā)事件預(yù)防、避險、自救、互救和應(yīng)急處置知識。
應(yīng)急指揮中心辦公室組織測井公司應(yīng)急培訓(xùn),內(nèi)容應(yīng)包括:培訓(xùn)時間、培訓(xùn)內(nèi)容、培訓(xùn)師資、培訓(xùn)人員、培訓(xùn)效果、培訓(xùn)考核記錄等。
3加大危險品管理信息化等安全投入
首先進(jìn)一步完善危險品動態(tài)監(jiān)管數(shù)據(jù)庫、庫區(qū)數(shù)字化監(jiān)控系統(tǒng)、生產(chǎn)運(yùn)行監(jiān)控指揮系統(tǒng)三大與危險品有關(guān)的信息管理系統(tǒng),實現(xiàn)數(shù)據(jù)共享與實時更新,同時由異地數(shù)據(jù)定時更新保存變?yōu)楫惖財?shù)據(jù)實時更新保存。其次打造危險品數(shù)據(jù)采集、數(shù)據(jù)使用、數(shù)據(jù)管理三個方面的堅固可靠的信息安全體系,加強(qiáng)危險品管理信息化工作在網(wǎng)絡(luò)安全、數(shù)據(jù)安全和系統(tǒng)應(yīng)用安全三個方面的信息安全考核,確保危險品管理信息系統(tǒng)安全。
論文摘要:證券行業(yè)作為金融服務(wù)業(yè),是一個高度依賴信息技術(shù)的行業(yè)。信息安全是維護(hù)資本市場穩(wěn)定的前提和基礎(chǔ),沒有信息安全就沒有資本市場的穩(wěn)定。介紹了維護(hù)好證券行業(yè)信息安全的重要意義,分析了行業(yè)信息安全現(xiàn)狀以及存在的問題,并提出了相應(yīng)的對策。
近年來,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴(kuò)大,社會影響力不斷增強(qiáng).成為國民經(jīng)濟(jì)巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護(hù)資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發(fā)展,改革創(chuàng)新深入推進(jìn),市場交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強(qiáng),交易時問內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護(hù)交易正常,對于資本市場來說至關(guān)重要。
1 證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面
健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場的平穩(wěn)運(yùn)行,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護(hù)通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng),部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(biāo)(機(jī)密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機(jī)構(gòu)為實現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。
1.3 it治理方面
整個證券業(yè)處于高度信息化的背景下,it治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標(biāo)的可能性,良好的it治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力,規(guī)避it風(fēng)險。通過建立it治理機(jī)制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強(qiáng)對信息化項目的有效管理,保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題:一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數(shù)指標(biāo);是lt治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機(jī)威脅事件,都時刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機(jī)構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護(hù)能力有待加強(qiáng);四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn);五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。
1.5 it人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)it隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計,2008年初,在整個證券行業(yè)中,103家證券公司共有it人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達(dá)到了行業(yè)協(xié)會的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的it隊伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任,it隊伍建設(shè)是行業(yè)信息安全it作的根本保障。但是,it人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強(qiáng)。
2 采取的對策和措施
2.1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實施上.要堅持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實。
2.2深入開展證券行業(yè)it治理工作
2.2.1提高it治理意識
中國證券業(yè)協(xié)會要進(jìn)一步加強(qiáng)it治理理念的教育宣傳工作,特別是對會員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn),將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強(qiáng)化證券經(jīng)營機(jī)構(gòu)的it治理意識,提高他們it治理的積極性。
2.2.2通過設(shè)立it治理試點形成以點帶面的示范效應(yīng)
根據(jù)it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以cobit模型、itfl模型等其他模型為補(bǔ)充,規(guī)范信息技術(shù)部門的各項控制和管理流程。同時,證監(jiān)會指定一批證券公司和基金公司作為lt試點單位,進(jìn)行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優(yōu)秀范例,以點帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標(biāo)準(zhǔn)積極落實信息安全等級保護(hù)
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護(hù)工作中的作用非常關(guān)鍵.應(yīng)進(jìn)一步明確監(jiān)管部門推動行業(yè)信息安全等級保護(hù)工作的任務(wù)和工作機(jī)制,統(tǒng)一部署、組織行業(yè)的等級保護(hù)丁作,為該項丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護(hù)的行業(yè)要求,對照標(biāo)準(zhǔn)逐條落實。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護(hù)情況進(jìn)行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施.且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。
2.4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平
2.4.1以等級保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃
等級保護(hù)是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強(qiáng)網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護(hù)能力
對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強(qiáng)管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測試,進(jìn)行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險;在網(wǎng)上交易方面,采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式,加強(qiáng)訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強(qiáng)網(wǎng)站保護(hù),提高對惡意代碼的防護(hù)能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進(jìn)行安全意識考核,從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實推進(jìn)行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強(qiáng)應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機(jī)結(jié)合。
2.6抓好人才隊伍建設(shè)
證券行業(yè)要采取切實可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強(qiáng)lt人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機(jī)構(gòu)應(yīng)采取采取請進(jìn)來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系,對信息技術(shù)人員進(jìn)行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。
近年來,隨著信息安全等級保護(hù)工作機(jī)制的不斷完善,主管部門監(jiān)督檢查力度的不斷加大,信息系統(tǒng)開展等級測評的數(shù)量穩(wěn)步增長,測評覆蓋率顯著提升。通過統(tǒng)計分析本單位近些年測評的數(shù)百個信息系統(tǒng)的數(shù)據(jù),可以得出以下結(jié)論:一是較早開展等級測評的行業(yè),經(jīng)過測評和整改建設(shè),測評符合率逐年提高;二是隨著等級測評工作的持續(xù)推進(jìn),近期才開展首次測評的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱,測評得分明顯偏低。通過對物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等10個層面的測評結(jié)果進(jìn)行統(tǒng)計,其中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、系統(tǒng)運(yùn)維管理等方面的不符合率相對較高,信息系統(tǒng)的建設(shè)、使用、運(yùn)維階段存在一些較普遍的問題。
信息系統(tǒng)安全保護(hù)措施落實情況分析
整體而言,隨著等級測評工作的持續(xù)推進(jìn),黨政機(jī)關(guān)、企事業(yè)單位對信息系統(tǒng)安全等級保護(hù)的認(rèn)識和重視程度得到普遍提升,在管理和技術(shù)兩方面主要采取了以下安全措施:
信息安全管理措施落實情況
在信息安全管理方面呈現(xiàn)出兩級分化的特點。一些重點行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊伍力量足、信息安全投入經(jīng)費有保障,其安全管理措施一般也能得到有效落實,在機(jī)構(gòu)、人員、制度、建設(shè)管理、運(yùn)維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求。這一類的典型包括銀行、證券、電力等行業(yè)主管部門對信息安全監(jiān)管嚴(yán)格的幾大行業(yè)。相反,部分對信息系統(tǒng)管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門,其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求,安全責(zé)任部門地位偏低權(quán)限不足,很難制定并有效貫徹落實結(jié)合本單位實際的信息安全管理制度。
信息安全技術(shù)措施落實情況
多數(shù)單位通過部署邊界安全設(shè)備,強(qiáng)化入侵防范措施來提高網(wǎng)絡(luò)的安全性;通過加固操作系統(tǒng)和數(shù)據(jù)庫的安全策略,啟用安全審計,安裝殺毒軟件等措施,來提高主機(jī)安全防護(hù)水平;通過開發(fā)應(yīng)用系統(tǒng)的安全模塊,從身份鑒別、訪問控制、日志記錄等方面,強(qiáng)化業(yè)務(wù)應(yīng)用的安全性;通過部署數(shù)據(jù)備份設(shè)備、加密措施,加強(qiáng)對數(shù)據(jù)安全的保護(hù)。
信息系統(tǒng)常見安全問題分析
隨著等級測評工作的覆蓋面進(jìn)一步擴(kuò)大,近年來初次測評的單位和基層部門仍發(fā)現(xiàn)一些典型問題。
信息安全意識有待提高
很多單位對當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢認(rèn)識不足,將信息安全工作視為被動應(yīng)付上級檢查、被動應(yīng)對安全事件的任務(wù)來消極對待。一些單位認(rèn)為取得“基本符合”的測評結(jié)論就高枕無憂,完成測評備案就完成了等級保護(hù)。由此造成對信息安全合規(guī)的落實不夠、資金和人員投入不足、重建設(shè)輕運(yùn)維、有制度無執(zhí)行、有預(yù)案不演練等問題,根源還是安全意識薄弱。
信息安全管理有待加強(qiáng)
信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面。
信息安全管理制度不完善。基層單位信息安全管理制度不全、人員配備不足、授權(quán)審批流于形式、執(zhí)行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版,未結(jié)合本單位實際進(jìn)行修訂,導(dǎo)致缺乏可操作性。
系統(tǒng)建設(shè)管理不到位。系統(tǒng)建設(shè)過程中落實信息安全“同步建設(shè)”原則不到位。在軟件開發(fā)階段較普遍未遵循安全編碼規(guī)范,導(dǎo)致安全功能缺失、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗收階段,很多單位僅注重業(yè)務(wù)功能驗收,缺乏專門的安全性測試;電子政務(wù)類項目較普遍未按規(guī)定在項目驗收環(huán)節(jié)完成“一證兩報告”(即等級測評報告、風(fēng)險評估報告和系統(tǒng)備案證明)。
系統(tǒng)運(yùn)維管理不到位。在系統(tǒng)運(yùn)維管理方面,部分單位運(yùn)維和開發(fā)崗位不分,職責(zé)不清,存在一人身兼數(shù)職現(xiàn)象。很多單位在信息資產(chǎn)管理、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄,數(shù)據(jù)備份策略不明,應(yīng)急預(yù)案不完善并缺乏演練。
關(guān)鍵技術(shù)措施有待落實
分析近年來的測評結(jié)果,安全技術(shù)措施不足問題主要體現(xiàn)在以下幾個方面:
在物理安全方面,隨著電子政務(wù)集約化建設(shè)的推進(jìn),大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機(jī)房,但仍有部分單位自有機(jī)房條件簡陋,位置選擇不規(guī)范,出入管理較隨意,防盜防破壞、防雷防火防潮能力較差,環(huán)境監(jiān)控措施不足。
在網(wǎng)絡(luò)安全方面,常見網(wǎng)絡(luò)和安全設(shè)備的配置不到位,如未合理劃分區(qū)域、未精細(xì)配置訪問控制策略、未對重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計系統(tǒng)。部分單位設(shè)備老舊,安全產(chǎn)品本身存在一定缺陷導(dǎo)致無法滿足等級保護(hù)要求。個別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時,還違規(guī)接通互聯(lián)網(wǎng),存在極大的安全隱患。
在主機(jī)安全方面,部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補(bǔ)丁、不關(guān)閉非必要服務(wù)等問題。此外,由于主流操作系統(tǒng)和數(shù)據(jù)庫很少支持強(qiáng)制訪問控制機(jī)制,相關(guān)要求普遍未落實。
在應(yīng)用安全方面,很多應(yīng)用軟件安全功能不足,缺少身份鑒別、審計日志、信息加密等能力。由于很少進(jìn)行安全掃描、滲透測試,相當(dāng)一部分系統(tǒng)存在高危風(fēng)險,如SQL注入、跨站腳本、文件上傳等漏洞,以及弱口令、網(wǎng)頁木馬等問題。
在數(shù)據(jù)安全方面,較常見的是數(shù)據(jù)保密性和完整性措施薄弱。此外,部分信息系統(tǒng)的備份和恢復(fù)措施欠完善,缺乏有效的災(zāi)難恢復(fù)手段。
針對新技術(shù)的等級保護(hù)測評標(biāo)準(zhǔn)有待出臺
隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn),省內(nèi)各級政務(wù)云平臺的建設(shè)使用已全面開展,有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云。同時涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對等級保護(hù)工作越來越重視,對云計算、工控系統(tǒng)、移動APP等的測評需求不斷加大。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》未涉及云計算、工業(yè)控制、移動互聯(lián)等領(lǐng)域,在測評實踐中已遇到諸多不適應(yīng)情況。針對這些新技術(shù)新應(yīng)用的等級保護(hù)測評標(biāo)準(zhǔn)需求已非常迫切。
重要信息系統(tǒng)安全保護(hù)對策建議
針對上述存在的問題,本文提出以下對策建議,以供參考。
提高信息安全意識
提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念,加強(qiáng)信息安全培訓(xùn)。除了通過強(qiáng)化工作考核和安全檢查來督促信息安全工作的深入開展,還應(yīng)通過多種方式開展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫,強(qiáng)化對全員的安全意識教育和考查。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn),落實信息安全相關(guān)崗位“持證上崗”的要求。
加強(qiáng)信息安全管理
“三分技術(shù),七分管理”,各單位應(yīng)轉(zhuǎn)變觀念,將“信息安全”與“系統(tǒng)穩(wěn)定、功能正常”同等重視起來,將安全管理要求與自身業(yè)務(wù)緊密結(jié)合,制訂完善的體系化的安全管理制度。
在系統(tǒng)建設(shè)管理過程中,應(yīng)要求開發(fā)人員遵循安全編碼規(guī)范進(jìn)行開發(fā);在系統(tǒng)驗收環(huán)節(jié),應(yīng)認(rèn)真做好安全性驗收測試。在電子政務(wù)領(lǐng)域應(yīng)落實國家對電子政務(wù)項目管理的制度要求,驗收階段完成等級測評,未通過測評的應(yīng)不予驗收。
在系統(tǒng)運(yùn)維管理方面,應(yīng)加強(qiáng)制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范,明確定義工作流程和操作步驟,使日常運(yùn)行管理制度化、規(guī)范化。對信息資產(chǎn)按重要性進(jìn)行分類梳理,建立完善應(yīng)急災(zāi)備措施,定期開展演練,確保備份的有效性。
落實關(guān)鍵技術(shù)措施
針對測評發(fā)現(xiàn)的問題,各單位應(yīng)根據(jù)系統(tǒng)所定級別,結(jié)合自身條件,綜合考慮問題的影響范圍、嚴(yán)重程度、整改難度等因素,制定整改計劃,有步驟地落實相關(guān)技術(shù)措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題,應(yīng)在充分測試和試運(yùn)行的基礎(chǔ)上實施整改。對于強(qiáng)制訪問控制、敏感標(biāo)記、雙因子鑒別等難點問題,建議國家加強(qiáng)相關(guān)產(chǎn)業(yè)政策的引導(dǎo),促進(jìn)安全廠商研發(fā)技術(shù)、推出產(chǎn)品,解決市場供應(yīng)問題。各級主管部門應(yīng)通過測評、整改、監(jiān)督檢查、再測評的閉環(huán)管理,督促關(guān)鍵技術(shù)措施的落實。
加快新技術(shù)的等級保護(hù)測評標(biāo)準(zhǔn)編制工作
目前公安部信息安全等級保護(hù)評估中心在牽頭起草針對云計算安全的等級保護(hù)標(biāo)準(zhǔn),尚處于征求意見階段。其余新技術(shù)領(lǐng)域的等級保護(hù)標(biāo)準(zhǔn)制定工作進(jìn)度更晚,隨著智慧城市、云計算、大數(shù)據(jù)、移動互聯(lián)、工業(yè)控制等新技術(shù)的快速應(yīng)用,安全標(biāo)準(zhǔn)相對滯后的問題更加突出,應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定。
