時間:2023-08-10 17:12:41
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇信息安全一體化范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
中圖分類號:F291 文獻標識碼:A
0引言
《國家電網公司信息系統安全管理辦法》對建設國網一體化信息安全保障體系的目標給出了指導性意見,就是要增強信息安全防護能力,提升信息安全自主可控能力,防止承載各類業務系統被惡意滲透,防止關鍵業務信息系統數據或信息被竊取或篡改,以確保更有效的抵御各種風險,最終實現國網自上而下信息系統網絡安全、服務器及應用系統、桌面終端、移動存儲介質等全方面的管控,使各層級信息化應用水平及信息安全防護水平達到一個新的高度[1]。
近年來,隨著國家電網公司信息技術的深化應用,信息安全日益重要。澠池縣電業局在市縣一體化信息安全管理策略的設計和實現中以“硬件建設”為基礎,以“軟件建設”為關鍵,以“管理建設”為手段,深化安全管理,持續提升信息化安全水平。
1專業管理的頂層設計和指標體系
1.1市縣一體化頂層設計目標。在現有的信息化平臺基礎上,通過2年的系統建設,分步實施“硬件組體、軟件添翼、管理促飛”信息安全保障體系“三部曲”策略,最終構筑起堅強的市縣一體化信息安全保障體系。
1.2從環境設施上加以提升,從技術流程上加以完善,從管理措施上嚴格要求,以確保更有效的抵御各種風險,實現安全穩定可靠運行。安全保障策略指標值如下:
1.2.1硬件指標:內網網絡部署防火墻、內外網實現“物理隔離”;部署上網行為管理、門禁、防雷等硬件設施;部署數據中心虛擬容災系統;建設市縣網絡主備通道。
1.2.2軟件指標:桌面注冊率達到100%;殺毒軟件安裝率達到100%;無賬戶弱口令;無安全防護漏洞;無違規郵件、網站。
1.2.3管理制度:制定或修編澠池縣電業局《安全移動存儲介質管理辦法》《桌面終端設備安全管理辦法》《計算機信息系統安全管理辦法》《信息網絡運行管理辦法》《計算機信息系統安全管理辦法》《計算機機房管理制度》《計算機設備管理辦法(試行)》《網絡與信息安全突發事件應急預案(試行)》《信息安全保密協議書》《信息系統口令管理辦法》、《信息內外網辦公終端準入管理辦法》。
2市縣一體化策略的實現
2.1硬件組體“搭建體骼”。
2.1.1基礎環境建設。長遠規劃,進行機房資源整合,按照國家二類機房建設要求,改擴建中心機房面積達到160平方米,進行機房區域劃分,增設直流電源室、公共上網區、備品備件室、維修間共128平方米,開展門禁系統、信息防雷系統及監控系統建設,添置網絡測試儀器及相關辦公用品,機房具備防水、防火、防灰塵、防盜、防雷等多種功能,完全滿足運維、管理、辦公需求。
2.1.2數據容災建設。本著同城異地備份、確保數據安全的原則,建設60余平方米數據中心虛擬容災機房,具備實時備份系統數據和集中統一管理的功能,滿足各類系統擴展性和可靠性要求。
2.1.3市縣網絡擴容建設。按照河南省電力公司要求,單獨配置雙千兆路由器,配置雙核心千兆交換機,實現與三門峽供電公司的聯網帶寬達到2*100M,市縣APN備用通道1*10M,省公司至縣局VPN聯網帶寬1*100M的目的。
2.1.4實現內外物理隔離。對邊緣配線間進行改造,加裝樓間層防水防潮裝置,采用防鼠技術措施。對內網和外網采取平行布線模式,終端用戶主機雙配置,實現完全物理上的內外網分離。
2.1.5擴容后備電源。中心機房增設10kVA不間斷UPS電源,與蘭州大學聯合開發了蓄電池除硫裝置,當市電供電系統出現停電或電池容量不足時,以短信形式向維護人員發送告警信息,極大地提高了其設備的維護效率和系統運行安全性,延長UPS電源的使用壽命。
2.1.6從低壓電源側、通信線路、通訊設備及網絡設備全方位、多層次部署機房三級防雷系統,有效地防止雷擊對機房內設備所產生的危害。
2.2軟件添翼“助翼雙翅”。
2.2.1終端用戶防護。按照《國家電網公司信息化“SG186”工程安全防護總體方案》,對信息內外網部署北信源桌面終端標準化管理系統,實現桌面終端安全訪問、安全接入,硬件資產全生命周期應用等功能,桌面終端標準化管理系統級聯至市公司,實現桌面運行監測及相關考核指標的標準化,安裝率達到100%。
2.2.2防病毒防御系統安裝。全網桌面終端安裝Nod32防病毒軟件,安裝率達到100%。對危害桌面終端安全的惡意軟件和功能時刻保持著高度警惕。桌面終端安全系統、智能防御系統等級提升。
2.2.3補丁系統完善。通過標準化的管理流程實時為桌面終端提供標準、最新的補丁漏洞信息及數據更新服務。定期自動從互聯網獲取操作系統軟件廠商的補丁,在仿真的網絡環境中嚴格測試認證后,確保補丁安全,再將安全的補丁分發到實際網絡環境中的計算機終端,并可以進行相關的補丁分發行為控制和流量管理,在簡化人工干預的同時,確保終端系統的安全和網絡的穩定。
2.2.4市縣聯動安全措施。三門峽供電公司部署網管軟件,定期對縣局的終端設備掃描檢測內網安全漏洞,豐富安全技術手段,為縣局信息安全管理提供支撐。同時依據《關于企業使用正版軟件通知》要求,與知名廠商簽訂購置正版操作系統供應協議。省市縣三級所用桌面終端安裝了國網公司下發的正版軟件,增強了基礎層業務應用穩定性和數據的安全性。
2.3管控結合“促力騰飛”。
2.3.1“引教結合”,強化安全管理。通過文件、公告、會議、信息安全競賽等多種渠道,大力宣傳保障網絡與信息安全的重要性。組織信息技術人員和信息員進行網絡與信息安全技術培訓和現場宣貫。對關鍵崗位人員進行全面、嚴格的安全審查和技能考核,對在信息系統安全工作中做出顯著成績的單位和人員應給予獎勵和表彰,對違反國家法律、法規和澠池縣電業局有關規定,造成一定不良影響和后果的,追究其責任。這些措施的實施,使全局范圍內從上到下統一了思想、明確了認識,強化了全員網絡與信息安全意識。
2.3.2強化系統運行維護管理。對信息網絡與系統運行狀況等進行監測和報警,定期對監測和報警記錄進行分析,根據需要采取必要的應對措施。建立安全管理中心,對安全設備、惡意代碼、補丁升級、安全審計等安全設施進行集中管理。嚴格按照有關信息系統事故調查規定,及時報告信息系統事故情況,認真開展信息系統事故原因分析,堅持“四不放過”原則,有效落實整改,確保類似事故不再發生。
2.3.3強化移動存儲規范化管理。移動存儲設備集中授權分發,數據交換前必須通過正確的身份認證,符合密碼復雜度身份認證策略,記錄數據交換過程的工作日志,便于以后進行跟蹤審計,非授權的移動存儲介質,在工作環境不可用。利用信息保密、訪問控制、審計等技術手段,對移動存儲設備實施安全保護,登記存儲信息資產、日志記錄、審計記錄和信息不能被移動存儲設備非法流失,實現存儲設備信息安全的“五不”原則,即:進不來、拿不走、讀不懂、改不了、信不丟。
2.3.4強化弱口令管理。根據“信息安全通報”、“信息安全反違章”檢查的結果,結合其實際,進行全面的信息系統弱口令專項治理工作[2]。對系統本單位及局屬各部門的桌面計算機,信息應用系統、操作系統、中間件和數據庫系統等用戶的訪問賬號及口令進行徹底排查,對不符合口令要求的用戶及系統下發相應的通知,使其進行限期的整改,杜絕信息系統泄密事件的發生。
2.3.5強化安全接入管理。通過在網絡中部署相應的網絡安全檢查策略,確保用戶滿足身份認證的要求,同時用戶的終端設備必須達到一定的安全和策略條件,才可以通過網關設備接入到網絡中并獲得相應的訪問權限。一方面驗證了用戶的身份,避免了非法用戶接入到網絡中,限定了用戶的訪問權限;另一方面也避免了存在安全隱患的終端系統的接入,可以大大消除蠕蟲病毒對網絡系統以及承載的業務所帶來的威脅和影響,實現幫助客戶發現、預防和消除安全威脅的目標。
2.3.6強化保密工作管理。管理嚴格執行“不上網、上網不”紀律[3],重要工作資料不得在外網計算機上留存,嚴禁在信息外網上傳輸、處理涉及國家秘密和澠池縣電業局秘密的信息。嚴格信息系統安全工作人員錄用過程,審查其身份、背景、專業資格,及時終止離崗員工的所有訪問權限。嚴格外部人員訪問程序,對允許訪問人員實行專人全程陪同或監督,并登記備案。
2.3.7強化運行通報管理。為進一步做好信息安全保障工作,定期對信息安全工作進行統計分析,在月報中透明的體現信息安全運維工作,使全體員工及時掌握信息系統的運行情況,更好的為生產經營業務服務,澠池縣電業局每月《澠池縣電業局信息化工作簡報》對當月信息安全運維工作的整體情況進行統計分析。每月一期《澠池縣電業局網絡與信息安全運行月報》,對當月網絡與信息安全運行情況進行統計分析。信息安全運行通報制度的執行,使全體員工對信息安全運維工作有了了解的途徑,增強了全員信息安全意識。
2.3.8強化系統上下線管理。加強應用系統的管理審批流程,形成閉環管理。新建信息系統涉及安全防護措施建設時,明確安全需求,確定安全等級,結合澠池縣電業局安全防護總體策略,進行安全防護方案設計。嚴格規范系統變更、系統重要操作、物理訪問和系統接入申報和審批程序,建立健全變更管理制度。保證所有與外部系統的連接均得到授權和批準,并進行必要的安全隔離,配置嚴格的訪問控制策略,開展必要的安全評估[4]。
2.4激活人力資源,提升管控空間。
2.4.1搭建核心保障體系。成立以科技信息副局長為組長的信息安全保障體系領導小組,各部門負責人為領導小組成員,對澠池縣電業局整體信息安全保障體系工作進行全面督導。領導小組下設工作小組(辦公室設在信息中心),具體負責協調、執行實現信息安全保障策略的各項工作,本單位各部門設有兼職信息管理員,負責配合本單位本部門信息安全保障體系的協調、執行。
2.4.2開展兼職信息員建設,發揮信息管理員潛能。在全局各部門設立兼職信息管理員36名,部門兼職信息管理員由各部門既通曉業務、又熟悉計算機知識的人員擔任,職責為進行基礎性的運維工作、信息安全宣傳、督導與檢查和整改工作。信息員管理以安全員的標準按照專業化管理思路統一管理,設立有合理的薪酬標準及詳細的管理制度,每月定期召開信息安全會議,按月開展信息技術培訓,嚴格執行各種業務考核和工作安排,不斷強化責任心和業務能力,形成全局齊抓共管的局面。
2.4.3績效考核與控制。為保證市縣信息安全保障體系的正常運轉,明確職責分工,對工作項目和內容進行標準化、規范化管理,依據國網公司、省公司等上級單位的相關要求,修訂完善了《澠池縣電業局信息網絡運行管理辦法》等11項管理規范及標準,進一步規范了信息系統運行管理,確保安全保障策略持續、穩步實施。
3結語
近年來,國網公司實施了覆蓋信息系統全生命周期的54項管理措施,立足國產化,積極探索自主可控安全管理模式,結合電網安全需求,加強頂層設計,對電網信息安全工作進行整體規劃,經過努力,澠池縣電業局在網絡信息安全保障策略的設計和實施中的經驗和做法,解決了縣級供電企業信息安全保障體系中存在的一些突出問題和安全漏洞,廣大員工在信息安全等重點環節,從制度執行、行為監控、防治體系等方面,有了穩步提升,總體來看,建成了電網信息安全等級保護縱深防御體系,為市縣一體化的安全、穩定運行提供了強有力的信息安全運行保障,達到了預期的效果和目的。
參考文獻
[1]國家電網公司信息系統安全管理辦法[Z].北京:國家電網公司,2011.
[2]國家電網公司信息網絡運行管理規程(試行)[S].北京:國家電網公司,2003.
[3]國家電網公司信息安全風險評估管理暫行辦法[Z].北京:國家電網公司,2011.
[4]國家電網公司信息系統建轉運實施細則[Z].北京:國家電網公司,2010.
--------------------
概述
智慧信息化整體架構與主要特征
智慧信息化整體架構模型主要包括物聯感知層,網絡通信層,計算與存儲層,數據及服務支撐層,智慧應用層,安全保障體系,運維管理體系,建設質量管理體系等。具有開放性、移動化、集中化、協同化、高滲透等主要特征。
智慧信息系統安全風險分析
根據智慧信息化特征,結合信息安全體系層次模式,逐層分析智慧信息化帶來新的安全風險。
物理屏障層,主要包括場地門禁、設備監控、警衛等。移動性特點帶來物理介質的安全新風險。移動設備和智能終端自身防御能力弱、數量大、分布散、采用無線連接、缺少有效監控等帶來的風險。
安全技術層,主要包括防火墻、防病毒、過濾等安全技術。云計算、物聯網、移動互聯網等技術的開放性、協同性等特征帶來的安全新風險。
管理制度層,主要包括信息安全人事、操作和設備等。智慧信息化環境下信息資源高度集中、服務外包等新模式帶來的管理制度上的新風險。
政策法規層,主要包括信息安全法律、規章和政策等。對各類海量數據整合、共享和智能化的挖掘利用等深度開發帶來的信息管理政策法規上的新風險。
安全素養層,主要包括民眾信息安全意識、方法、經驗等。智慧信息化帶來威脅快速傳播、波及范圍倍增擴大的風險,信息安全威脅的主體發生轉換,社會公眾的高度參與,用戶、技術與管理人員的安全意識和素養帶來的風險比傳統系統更大。
智慧信息系統安全框架
智慧信息系統安全框架如圖2所示。管理終端和其他經過認證授權的可信終端作為智慧信息系統可信組成部分,需要進行邊界防護,防止越權訪問,互聯網用戶等非可信組成部分,要采取安全隔離措施,使其只能訪問受限資源,防止內部數據非法流出。對數據區域、物聯網感知區域、物聯網控制區域以及基礎設施的管理區域進行嚴格的安全域劃分,針對不同的安全域實施安全產品的監測、防護、審計等不同的安全策略以保護數據安全,再配合同步進行的體系建設、安全培訓等安全服務措施,實現智慧信息系統的深度防御。
管理要求
安全保障規劃。信息化主管部門負責智慧信息化發展總體安全保障規劃,各相關領域主管部門負責專項領域安全保障規劃。確定安全目標,提出與業務戰略相一致的安全總體方針及方案。
安全保障需求分析。項目單位分析系統的安全保護等級并通過論證、審核、備案;根據安全目標,分析系統運行環境、潛在威脅、資產重要性、脆弱性等,找出現有安全保護水平的差距,提出安全保障需求。
安全保障設計。項目單位根據系統總體安全方案中要求的安全策略、安全技術體系結構、安全措施和要求落實到產品功能、物理形態和具體規范上。并形成指導安全實施的指導性文件。
安全保障實施。建立安全管理職能部門,通過崗位設置、授權分工及資源配備,為系統安全實施提供組織保障。對項目質量、進度和變更等進行全過程管控及評估。
安全檢測驗收。系統運行前進行安全審查,關注系統的安全控制、權限設置等的正確性、連貫性、完整性、可審計性和及時性等。上線進行安全測試和評估,包括安全符合性查驗,軟件代碼安全測試,漏洞掃描,系統滲透性測試等,確保系統安全性。
運維安全保障。建立系統安全管理行為規范和操作規程,包括機房安全管理制度,資產安全管理制度,介質安全管理制度,網絡安全管理制度,個人桌面終端安全管理制度等并嚴格按照制度監督執行。
優化與持續改進。在系統運行一段時間或重大結構調整后進行評估,對系統各項風險控制是否恰當,能否實現預定目標提出改進建議。
技術要求
計算環境安全要求
服務器、網絡設備、安全設備、終端及機房安全、操作系統、數據庫管理系統應遵循GB/T 22239-2008對應安全保護等級中相關安全控制項要求,并對重要設備的安全配置和安全狀態等進行嚴格的監控與檢測。
網絡虛擬化資源池應支持基于虛擬化實例的獨立的安全管理。多租戶環境下,租戶之間的網絡支持虛擬化安全隔離,各個租戶可以同時對自身的安全資源進行管理。
應提供以密碼技術為前提的安全接入服務,保證終端能夠選擇加密通信方式安全接入云計算平臺。
通信網絡安全要求
對應安全保護等級中網絡安全控制項要求,覆蓋結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等控制項要求。
虛擬網絡資源間的訪問,應實施網絡邏輯隔離并提供訪問控制手段。從區域邊界訪問控制、包過濾、安全審計及完整性保護等方面保護虛擬邊界安全。
智慧網絡應具備網絡接入認證能力,確保可信授權終端接入網絡。采取數據加密、信道加密等措施加強無線網絡及其他信道的安全,防止敏感數據泄漏,保證傳輸數據完整性。
終端安全要求
對應安全保護等級中終端安全及GAT671-2006的安全控制項要求,覆蓋物理安全、身份鑒別、訪問控制、安全審計、惡意代碼防范、入侵防范、資源控制等內容。
建設統一的終端安全管理體系,規范終端的各類訪問、操作及使用行為,確保接入終端的安全合規、可管理、可控制、可審計。在重要終端中嵌入帶有密碼性安全子系統的終端芯片。
應用安全要求
滿足對應安全保護等級中應用安全控制項要求,覆蓋身份鑒別、訪問控制、安全控制、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等內容。
進行可信執行保護,構建從操作系統到上層應用的信任鏈,實現可執行程序的完整性檢驗,防范惡意代碼等攻擊,并在受破壞時恢復。建立統一帳號、認證授權和審計系統,實現訪問可溯。
遵循安全最小化原則,關閉未使用服務組件和端口;加強內存管理,防止駐留剩余信息被非授權獲取;加強安全加固,對補丁與現有系統的兼容性進行測試;限制匿名用戶的訪問權限,支持設置用戶并發連接次數、連接超時限制等,采用最小授權原則。
數據安全要求
滿足對應安全保護等級中數據安全控制項要求,覆蓋數據完整性、數據保密性、備份與恢復等內容。
將信息部署或遷移到云計算平臺之前,明確信息類型及安全屬性進行分類分級,對不同類別信息采取不同保護措施,重點防范用戶越權訪問、篡改敏感信息。
在多租戶云計算環境下,通過物理隔離、虛擬化和應用支持多租戶架構等實現不同租戶之間數據和配置安全隔離,保證每個租戶數據安全隱私。確保法律監管部門要求的數據可被找回。
虛擬存儲系統應支持按照數據安全級別建立容錯和容災機制,防止數據損失;建立災備中心,保證數據副本存儲在合同法規允許的位置。
全面有效定位云計算數據、擦除/銷毀數據,并保證數據已被完全消除或使其無法恢復。
密碼技術要求
物理要求。在系統平臺基礎設施方面使用密碼技術。
網絡要求。在安全訪問路徑、訪問控制和身份鑒別方面使用密碼技術。
主機要求。在身份鑒別、訪問控制、審計記錄等方面使用密碼技術。
應用要求。在身份鑒別、訪問控制、審計記錄和通信安全方面應當使用密碼技術。
數據要求。在數據傳輸安全、數據存儲安全和安全通信協議方面使用密碼技術。
安全域劃分與管理研究
智慧信息系統安全域可以分為安全計算域、安全用戶域、安全網絡域。
安全計算域:由一個或多個主機/服務器經局域網連接組成的存儲和處理數據信息的區域,是需要進行相同安全保護的主機/服務器的集合。安全計算域可以細分為核心計算域和安全支撐域。
安全用戶域:由一個或多個用戶終端計算機組成的存儲、處理和使用數據信息的區域。
安全網絡域:支撐安全域的網絡設備和網絡拓撲,防護重點是保障網絡性能和進行各子域的安全隔離與邊界防護。連接安全計算域和安全計算域、安全計算域和安全用戶域之間的網絡系統組成的區域。安全網絡域可以進一步細分為感知網接入域、互聯網接入域、外聯網接入域、內聯網接入域、備份網絡接入域。
安全管理平臺技術要求
對安全事件進行集中收集、高度聚合存儲及分析,實時監控全網安全狀況,并可根據需求提供各種網絡安全狀況審計報告。
智慧監測。針對大數據,通過預警平臺對流量監測分析,為管理者提前預警,避免安全事件擴大化;監聽無線數據包,進行網絡邊界控制,對智慧信息系統內部網絡實施安全保護。
智慧審計。通過運維審計與風險控制系統對系統運維人員的集中賬號和訪問通道管控;通過數據庫審計系統對數據庫訪問流量進行數據報文字段級解析操作,應對來自運維人員或外部入侵的數據威脅;通過綜合日志審計系統實現對違規行為監控,追蹤非法操作的直接證據,推動監測防護策略、管理措施的提升,實現信息安全閉環管理;針對應用層的實時審計、監測及自動防護。
智慧日志分析。對海量原始日志,按照策略進行過濾歸并,減輕日志數據傳輸存儲壓力。對來自各資源日志信息,提供多維關聯分析功能,包括基于源、目的、協議、端口、攻擊類型等多種統計項目報表。多租戶環境支持,支持虛擬化實例,能夠區分不同租戶的日志以及為不同租戶提供統計報表。
智慧協同。根據開放性及應急響應技術要求,安全管理平臺需考慮和周邊系統互聯互通,支持開放的API,相互傳遞有價值安全信息,以進行協同聯動。
除了以上八個技術方面的要求外,智慧信息化安全保障體系還對安全產品、產品安全接口等方面也做出了相關要求。
保障機制
建立責任人體制。建設單位指定信息安全保障第一責任人,明確各環節主體責任,制定安全保障崗位責任制度,并監督落實。
建立追溯查證體系。建立全流程追溯查證體系,對存在的違法入侵進行有效取證,保證證據數據不被改變和刪除。參照ISO/IEC 27037:2012、ISO/IEC27042。
建立監督檢查機制。由信息安全監管部門,通過備案、檢查、督促整改等方式,對建設項目的信息安全保護工作進行指導監督。
建立應急處理機制。參照GB/Z 20986-2007將安全事件依次進行分級,按照分級情況制定應急預案,定期對應急預案進行演練。
建立服務外包安全責任機制。安全服務商的選擇符合國家有關規定,確保提供服務的數據中心、云計算服務平臺等設在境內。
在此后的2007年5月,一個名為Timofoniac的蠕蟲通過電子郵件快速蔓延,并進入西班牙的蜂窩電話網絡,它經常自動撥打惡作劇電話并在電話上留下文本消息。以上只是眾多類似案例中的兩個,事實上,隨著移動信息化的深化,許多專家預測未來會有更多的病毒和蠕蟲蔓延到智能手機等移動設備,嚴重威脅移動信息化的安全。隱患主要體現在以下一些方面:
首先是無線網絡自身的隱患。無線信道是一個開放性的信道,通信標準安全性不高,缺乏身份驗證,沒有統一制定加密標準,對GSM通信的安全性產生了嚴重的影響,手機號碼及密碼等很容易被破譯、竊聽、假冒、篡改,從而帶來了諸多不安全因素。
其次是無線網絡技術應用的隱患。無線網絡裝置Ad hoc給移動性和通信媒體帶來了新的安全問題。Ad hoc網絡和傳統的移動網絡有著許多不同,其中一個主要的區別就是Ad Hoc網絡不依賴于任何固定的網絡設施,而是通過移動節點間的相互協作來進行網絡互聯。由于它具有開放的媒質、分布式的合作、動態的拓撲結構和受限的網絡能力等特點,缺乏物理保護,尤其容易受到攻擊,使得Ad Hoc網絡的安全問題尤為突出。
再者是移動設備丟失所帶來的物理安全隱患。由于沒有建筑、門鎖和看管保證的物理邊界安全保護和其更小的體積,移動無線設備(筆記本電腦、PDA、智能電話等)相對于固定設備更容易丟失和被竊,密碼容易被攻破,企業的銷售數據、財務信息、庫存資料等重要資料會被破解、泄露,從而可能引發重大損失。
如今擺在用戶單位面前的當務之急是如何最有效地保護所有移動設備上存儲的各種敏感信息,如何在獲得工作效率和競爭優勢的同時,有效保障數據安全?筆者提出如下建議:
一是做好信息安全管理、審查,設定單一控制臺集中管理所有桌面電腦、筆記本電腦、手持設備和U盤的安全政策,無縫、自動地加密所有移動端點和外部介質上的敏感數據,確保單位數據安全; 同時提供用戶驗證、受控制的端口訪問及應用限制措施,并針對丟失或者失竊的設備執行數據控制,以防損失進一步擴大。
二是對無線訪問的內部網頁進行安全性認證的整合,在網絡環境中加強防火墻、入侵偵測和弱點掃描,使用戶單位交易內部的主機得到完全的保護,以確保資料安全以及人員存取合法與保密。針對移動的特性,可通過VPN(虛擬專用網)來解決移動上網中的安全問題,就是在公用的Internet網絡上通過隧道協議建立起安全的私有網絡。
三是移動數據安全防護系統能自動檢測、審查及控制連接到網絡上的所有移動端點,系統應支持簡易、全面的移動安全部署,針對整個環境有選擇地自動執行保護機制,防范有人未經授權訪問多用戶操作系統,同時數據恢復要既快速又可靠。
審計是客觀評價個人,組織、制度、程序、項目或產品。審計執行是以確定有效性和可靠性的信息,還提供了一個可內控的評估系統。審計的目標是表達人、組織、系統等的評估意見,審計人員在測試環境中進行評估工作。審計必須出示合理并基本無誤的報表,通常是利用統計抽樣來完成。審計也是用來考察和防止虛假數據及欺騙行為,檢查、考證目標的完整性、準確性,以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現審計的信息化,有利于管理層迅速準確的做出決定,對于政企業發展、社會經濟的進步都具有重要作用。目前,我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題,有待進一步加強和改進。
審計的基礎工作是內部審計,內審是審計監督體系中不可或缺的重要組成部分,是全面經濟管理必不可少的手段,是加強任何機構內部管理的必要,推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的,促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中,在防范風險中發揮著重要作用,也有助于領導層做出正確決策。
一、審計工作的現狀及存在的問題
隨著我國經濟迅猛發展,審計監督力度不斷增強,審計范圍也不斷擴大。當前,審計方式已由財政財務審計向效益審計發展,由賬項基礎審計向制度基礎審計、風險基礎審計發展,由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系,要求審計機關把審計管理工作前移,把質量控制體系貫穿與審計工作中。在此趨勢下,傳統的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務,達到審計目標越發缺乏及時性。
(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下,基于加強經營管理的內在需要,也是內部審計賴以存在的客觀基礎。但是,現代內部審計的產生卻是一個行政命令產物,強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊,阻礙了內部審計的發展。內部審計很難融入經營管理中,審計工作很難正常開展,很難履行監督評價職能和開展保證咨詢活動,因此就不能充分發揮其應有的內向的作用。
(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監督和服務。但是,我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能,而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高,也有不重視法律、法規的因素,還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段,停留在調賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內部審計的作用尚待開發。審計人員的計算機知識匱乏,不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導致審計人員的知識和審計手段滯后于信息化的發展。
二、信息化審計體系的健全
當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化,逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進,國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務;使用效益更注重民意。
信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標,同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關,信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統的安全性。由此,國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件,基本規范了內部審計機制,健全了內部審計機構;強調機構應加強內審工作,機構內部要形成有權就有責、用權受監督的最佳氛圍;審計委員會直接對領導班子負責,其成員需具有相應的獨立性,委員會成員具良好的職業操守和能力,內審人員應當具備內審人員從業資格,其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題,視具體情況,可以直接向審計委員會或者領導層報告。 轉貼于 三、主機系統安全審計
信息技術審計,或信息系統審計,是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
以技術劃分,信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計,主機審計可以從已有的系統審計記錄中提取相關信息,并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之,為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段,而對計算機信息系統的薄弱環節進行檢測、評估及分析,都可稱作安全審計。
主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上,并按照設計思路監視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。
四、待解決的若干問題
計算機與信息系統廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術體系。
保護網絡設備、設施、介質,對操作系統、數據庫及服務系統進行漏洞修補和安全加固,對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理,形成一套比較完備的信息系統安全管理保障體系。
防火墻是保證網絡安全的重要屏障,也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防DDos系統,可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的,需要從技術、管理等方面進行全面的安全設計和建設,有效提高信息系統的防護、檢側、響應、恢復能力,以抵御不斷出現的安全威脅與風險,保證系統長期穩定可靠的運行。嚴格的安全管理制度,明確的安全職責劃分,合理的人員角色定義,都可以在很大程度上減少網絡的安全隱患。
從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關組織、機構和職責,建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時,能得到及時的響應和支援,信息系統必須建立和逐步完善應急響應支援體系,確保整個信息系統的安全穩定運行。
參考文獻:
中圖分類號: TP399 文獻標識碼: A DOI編號: 10.14025/ki.jlny.2017.01.043
在農業發展過程中,農業檔案是非常重要的組成部分,此部分管理工作的落實和農業發展有著一定的聯系,鑒于農業檔案的重要性,對其進行管理體制的改革,促使農業檔案能夠與時俱進是非常必要的。
1農業檔案信息化管理的重要性
1.1可以快速的提供農業信息
在我國農業發展過程中,傳統的農業發展模式正逐漸被淘汰,農業發展也隨著科技水平的提高而發生了改變。與此同時,因為我國經濟和世界經濟的聯系日益密切,所以我國農業經濟受到了一定的影響,這種情況下,我國農業發展必須要取得更好的效果,因此對農業檔案管理就提出了更高的要求。農業檔案信息化的實現可以促使檔案管理部門更加快速的獲取信息,然后管理部門可以將這些信息提供給需要的對象,這樣各對象就可以根信息來對自己的農業行為進行調整,進而提高農業經濟收益[1]。
1.2可以對農業市場風險進行有效控制
我國農業在發展過程中,農業市場面臨著很大的風險,而市場風險的出現是因為相關企業的滯后行為,在這樣的情況下,當農業檔案實現信息化之后,相關企業就可以對檔案信息進行充分地利用,這樣企業就可以及時采取有效的措施規避風險。
1.3可以加快農業技術傳播
在現代化科技水平不斷提高的基礎上,傳統的農業技術正在逐漸被淘汰,新型的農業技術應運而生。在這樣的情況下,農業技術的傳播就顯得尤為重要,為了做好農業技術傳播工作,對農業檔案進行信息化建設是非常有必要的。信息化的農業檔案傳播速度更快,可以在最快的時間內將農業技術傳播出去,實現農業技術的價值,推動農業的發展。
2農業檔案信息化管理體制構建的有效措施
2.1對管理體制進一步完善
想要推動農業檔案信息化管理的實現,就應從制度方面入手,進一步完善管理體制,完善的管理體制可以為管理工作的有效開展提供有力的依據,同時還可以對管理工作的實施進行規范,在對管理體制進行完善的過程中,應該將為農民服務的理念貫徹其中,應該以這一服務理念為基礎來開展服務工作,然后對檔案管理體制進行完善。
首先,對管理模式進行創新。在檔案管理中,傳統的管理模式正在逐漸被淘汰,新型的管理模式構建是社會發展的必然趨勢,因此,檔案管理部門應契合社會發展要求來創新管理模式,對管理的職責等進行明確劃分,讓各部門能夠明確自身職責,各部門協同合作,進而促使檔案管理工作能夠有效地開展;應該對檔案管理形式進行創新。在開展檔案管理過程中,以往的形式是其他部門將檔案資料送來,這樣的管理方式就使管理部門處于被動地位,因此,檔案管理部門應該及時轉變管理形式,走出檔案管理部門,深入到其他部門中,對檔案管理的重要性進行宣傳,然后讓其他部門能夠認識到檔案管理的法律、工作規范以及標準等,以此促使檔案管理工作得到更多部門的支持;最后對部門協作機制進行創新。檔案管理是開展管理工作的主體,但為了將管理工作更好地落到實處,還需要其他部門的協同合作,因此,管理部門應對協作機制進行創新,農業檔案管理不僅應該在市館中有效地開展,還應該由縣、區檔案部門及其他部門分級分散負責農業檔案信息化管理工作。
2.2做好農業檔案信息收集工作
在農業檔案管理過程中,檔案信息是基礎部分,若想要對檔案管理進行信息化建設,就必須做好檔案信息收集工作,這樣才能為信息化建設的實現奠定良好的基礎。首先,各區域應該對自身農業發展的實際情況進行深入分析,然后從內容、載體等方面入手對農業檔案信息范圍進行拓展,以此來促使收集到的農業檔案信息更加全面;其次,將檔案信息收集工作提上議事日程。檔案管理信息的收集是一項非常重要的工作,為了將此項工作更好地落實到位,相關部門應該成立一個專門的領導小組,將這一項工作提上議程,然后對信息收集工作的相關內容進行規范,明確信息移交等工作的要求,以此促使信息收集工作取得更好的效果。
2.3促進信息資源共享
在農業檔案管理朝著信息化方向發展的過程中,必須要促進信息資源共享這一目標的實現。首先,完善信息化基礎設施配置。想要實現檔案管理的信息化發展,必須要有相應的基礎設施配置,因此,檔案管理部門必須采購更多的設備,然后對檔案進行電子化構建,以此來為資源共享的實現奠定良好的基礎[2];其次,加強此方面的人才培養力度。農業檔案管理在朝著信息化方向發展過程中,必須要培養此方面的人才,這樣信息化的檔案管理才能有效地落到實處,因此,相關部門應該加強人才培養力度,對檔案管理人員進行計算機技術、信息開發等方面的培養,促使檔案管理人員能緊跟時展潮流;最后,應該構建農業檔案信息資源數據庫,通過這一數據庫的構建,新媒體的應用來促使農業檔案和社會發展相融合,信息化的農業檔案能更好地發揮其作用,推動我國農業的發展。
3結語
在我國農業發展過程中,農業檔案有著不容忽視的作用,鑒于其重要性,應該在社會不斷發展過程中對農業檔案進行信息化建設,相關部門應該對農業檔案信息化建設工作進行深入分析,并提出具體的建設措施,將農業檔案信息化建設嚴格落在實處,只有這樣農業發展才能更快、更穩,我國農業經濟才能在全球經濟發展中占據一席之地。
參考文獻
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2014)106-0209-02
自計算機問世以來,尤其是互聯網技術的快速普及和應用,大大改變了人們的傳統生活方式,加快了社會發展步伐。特別是隨著醫院信息化水平的不斷深入,醫院借助計算機互聯網網絡,醫院不僅可以在網絡上優化配置信息資源,還可以有效提高了管理效率。但是這種方便的背后,卻隱藏了巨大的風險,一些不法分子在利益動機驅使下,利用黑客技術大肆入侵網絡計算機,竊取和篡改他人信息數據,給醫院造成了巨大的經濟損失和不良社會影響,大大危害了網絡健康發展,也對互聯網計算機信息安全造成了更大威脅。
基于上述問題,本文以當前醫院的計算機機房管理為分析對象,深入分析計算機機房信息系統中存在的各種安全問題,并根據研究的情況為其提出了一些有針對性的解決對策和建議。
1 當前醫院計算機機房信息安全問題分析
醫院計算機房是醫院進行管理運營的重要保障,它主要擔當醫院患者的病例管理、醫院的人事檔案管理以及醫院與醫院之間的信息共享等,然而醫院的機房服務器的系統安全直接影響到真個醫院計算機的信息安全。一旦計算機機房遇到了安全風險,則網絡上所有計算機都將面臨安全問題。例如,某臺計算機遭受了網絡攻擊,則網絡上其他計算機都可能會受到攻擊,這種影響會借助網絡擴大到多個醫院電腦,造成重大負面影響。
最近幾年來,計算機技術水平不斷提高,黑客技術也更加隱蔽,更具攻擊性和破壞性。有些黑客為了達到自身目的,經常將計算機機房作為攻擊目標,以獲得更大的收益。因此,醫院計算機房也是最容易受到侵犯的對象,其面臨嚴峻的信息安全問題。例如一家知名網絡公司的計算機機房受到黑客突然攻擊,機房所有服務器全部停止運轉, 導致一百多萬網民不能正常上網,造成了19萬元的經濟損失。后來經警方調查,這是一家專職網絡黑客所為。據媒體透露, 本次事件的起因是黑客向該公司索要“id靚號”被拒絕。所謂“靚號”就是一些比較個性化的id名稱,類似于我們生活當中的“吉祥手機號碼”。2010年11月,某地一所高校醫院計算機房也遭受了黑客攻擊,全院網絡全部陷入癱瘓狀態,真個內部網站無法訪問,網站信息被惡意篡改,嚴重影響了醫院的正常工作和學習,也給醫院造成了重大負面影響。
2 當前醫院計算機房信息安全存在漏洞的原因分析
2.1計算機網絡系統存在安全漏洞
計算機軟件和網絡應用程度都由人工開發設計,這注定了其存在各種安全漏洞和缺陷。這些瑕疵是多種多樣的,例如:我們日常生活中常用的qq聊天工具,用來下載電影的訊雷、電驢軟件,遨游瀏覽器軟件,微軟公司開發的辦公軟件等,這些應用軟件都存在一些技術缺陷與漏洞,而網絡黑客往往就是利用這些瑕疵作為攻擊切入點。此外,在計算機使用過程中也會產生各種安全漏洞。例如:電腦上安裝的微軟公司研發的windows操作系統,其就存在rpc遠程任意代碼運行漏洞,Lunix系列操作系統也有許多可以令緩沖器溢出的漏洞,redhat系統中也存在程序瑕疵,導致非法用戶可通過遠程溢出來獲得root權限等。
目前,因特網中的各種服務器都存在致命的安全漏洞和隱患。例如web服務器、郵件服務器、ftp服務器以及數據庫服務器和流媒體服務器等,都是網絡黑客攻擊的主要目標。此外,還有一些程序腳本語言存在一些設計缺陷和問題,加大了因特網被網侵的風險。
2.2網絡病毒的飛速傳播
隨著信息技術的不斷發展,計算機病毒種類日益多樣化起來,計算機病毒傳播速度較快,影響面廣,令人防不勝防。網絡發達的信息傳播功能為計算機病毒擴散提供了有利條件。醫院計算機房也是網絡病毒的主要侵襲對象,下載一個文件,安裝一個應用軟件,安插一次u盤,訪問一個陌生網站,接收一個文件數據包都可能導致計算機中毒,給計算機帶來重大的安全隱患。
病毒可以通過一網的計算機來來蔓延到其他計算機,最終導致整個網絡上的計算機都被病毒侵害。一旦計算機遭受了病毒侵害,對于醫院的計算機來說,其機房的整個系統就無法正常運轉,計算機的一些應用軟件、信息數據等都會被損害和篡改,導致整個系統癱瘓。
3醫院計算機房安全防范策略
3.1完善網絡病毒防御系統
怎樣防范計算機病毒對計算機網絡的侵犯呢?這是醫院計算機房管理人員必須認真面對的問題。要解決這個問題,首先要樹立積極主動的防御觀念,醫院的計算機管理員要定期對計算機系統、郵件系統及其軟件程序進行維護和更新。采用最新在線病毒檢測軟件安裝在機房服務器上;在單機上安裝殺毒軟件等。機房服務器要安裝防火墻來提高安全防護級別,要使用個人防火墻來提高單機信息安全防護水平,并定期升級防火墻。
管理員要定期掃描系統漏洞,及時找出安全隱患并修復,不斷提高計算機系統運行安全水平;管理員要制定程序補丁管理制度。例如:對醫院端計算機進行軟件安全評估,并對其系統漏洞進行補丁升級,對機房計算機編組管理。除此之外,還要跟蹤最新軟件漏洞信息,并下載補丁進行安裝和修復。機房要明確規定不得擅自使用來路不明的U盤、磁盤,在采用移動設備進行數據轉移時,要先對其進行病毒檢測再使用。
在日常工作中,要提高計算機系統的安全防護等級,如果條件允許的話,可以禁止安裝java和activex控件,這可以有效降低系統被入侵概率。
3.2重視對網絡的軟件系統保護
計算機硬盤的保護,這里推薦采用“還原精靈”來定期備份計算機數據,并在單機上做好系統備份,這樣才能夠保證硬盤數據安全。經過這樣處理,即使聯網電腦數據被全部篡改,都可以在短時間內完全恢復,有效提高了數據安全性。
3.3定期給計算機數據和資料備份
計算機數據安全指是計算機系統安全的重要內容,要不斷提高計算機數據安全性,不僅要做好軟件安全防護,還要做好數據安全備份工作,例如采用單機備份,或者使用專業軟件在線備份,最大程度避免數據受到病毒的侵害。此外,在建設醫院計算機房過程,要選擇合理的軟硬件,根據當前計算機網絡環境變化,采用最新安全技術來提升計算機安全水平,同時加強管理隊伍建設,切實提高管理人員安全觀念,為醫院建立一個安全、高效、穩定的計算機網絡環境。
總之,機房網絡安全防護是一項長期艱巨的工作任務,它涉及多方面的工作內容,例如技術升級,設備更新, 安全管理,人員管理等,還要在制度、監督和考核等方面做好相應工作。在硬件上要加強網絡系統安全建設,同時要發揮機房管理人員的工作主觀能動性,以高度的責任感和使命感來做好計算機安全維護工作。
參考文獻
[1]田尖參,德松加.信息化建設推動醫院管理現代化[J].中國衛生事業管理,2008(10).
[2]劉穎.醫院人力資源管理信息化探討[J].中國數字醫學,2008(9).
[3]侯曉寧.建立健全電算化會計信息系統的內部控制制度[J].時代經貿(下旬刊),2008(2).
[4]謝蘭.關于加強醫院會計電算化管理的探討[J].當代經理人,2006(12).
[5]張震江、趙軍平.院網絡與信息安全的問題和對策[J].醫療衛生裝備,2006(11).
[6]周文杰.醫院信息網絡系統安全[J].中國醫療設備,2008(2).
[7]呂曉娟,等.運用虛擬局域網技術加強醫院網絡安全建設[J].醫學信息(中旬刊),2011(7).
奚國華指出,近年來,我國信息化發展取得了一系列驕人成就,但其背后還存在著一些問題,突出體現在四個方面:一是2007年以來,我國與發達國家在信息化領域差距正在重新拉大。二是我國區域之間,特別是東西部之間的數字鴻溝擴大。三是在網絡空間的發展滯后。四是在發展信息化的核心技術方面缺乏國際競爭力。
奚國華表示,信息化關系國家發展全局,應將大力推進信息化作為一項重大國家戰略任務來抓,建議從五個方面予以推進。
第一,提高各級領導干部對于信息化重要性的認識。將推進信息化納入中央和地方各級機關的重大議事日程,將信息化放到統籌和優先考慮的位置。
第二,完善國家信息化的管理體制。進一步強化國家信息化領導小組,在國家信息化領導小組之下,建立常設辦事機構,匯集全社會的智慧,向國家提出戰略性、全局性、前瞻性的重大建議。
By the new road and bridge projects through high-speed railway bridge under the structural safety problem caused by the analysis of the corresponding
And lead to high-speed railway construction and urban planning and construction coordination of the elaboration
Liu jun Li hai wei
Abstract: The author has been engaged in engineering design, has in recent years has presided over the design: the Beijing-Guangzhou railway crossing Chuzhou Mingguang Road Interchange, across the Beijing-Shanghai railway Zoucheng thirty meters bridge, Yanzhou across the new stone railway overpass north moat, through the Long sea-rail interchange and across the street Kaifeng thirteen Zheng West Temple ditch off the bridge Loening specifically to highway bridges, and so many involved in Luoyang rail Project, in the design process, deeply felt, strides to the development of urban construction, both many railways have gradually restricting some development of the city, so all through the city, more and more demand for more rail, also led to a series of railway safety issues, in 2010 the Ministry of Railways has issued: China Railway Construction [2010] No. 146 "On cross railway lines across the relevant provisions designed to inform," the official documents, made a cross-over high-speed rail on the lower-speed rail, road principles and applicable regulations. In this paper, the needle of the above, by Song County, Luoyang expressway to connect to the Zhengzhou-Xi'an Passenger Dedicated Line across the bridge caused by Luo passenger safety issues specifically related to the analysis of the bridge, a few thoughts from a design point of view.
Keywords: additional displacement; additional stress; surplus capacity; work permit after the settlement
截至2010年,我國鐵路營業里程達到9.1萬公里。隨著城市的發展以及加速城市化進程的城郊團組開發的擴城運動的展開,身處工程行業的同行會經常聽到或碰到鐵路限制了城市發展的情況,為滿足城市發展的需要、平衡及溝通鐵路兩側城市資源,作為城市交通動脈的城市道路,受鐵路路基高低、鐵路兩邊城鎮化程度、拆遷占地等客觀條件所限,需要修建下穿或者上跨既有鐵路的橋梁,有的城市已經把鐵路路基穿成了高架橋,有的城市則修建了多座跨越鐵路的高架橋。尤其是鐵道部2010年度下發的“中鐵建設[2010]146號文”對上跨高速鐵路提出嚴格的限制,下穿高速鐵路的方式幾乎成為各地批復的首選,因而也帶來眾多鐵路安全以及和城市規劃沖突問題等。鐵路多次提速、大量高速鐵路的建設和運營,拉短了城市的時間及空間距離、提高了社會整體效率、給人們出行帶來方便的同時,也給我們帶來了一些思考。前車之鑒,因此在高鐵、客專、城際等高速鐵路紛紛修建的今天,站點選址、線路規劃及鐵路橋梁建設等,需要充分結合地方政府的城市規劃布局,應做好線位及結構安全度的長遠預留。本文僅從高速鐵路橋梁結構安全分析角度出發,針對高速鐵路橋梁設計提出幾點建議,希望能有助于建設管理方及設計方多出精品,希望有益于鐵路和地方和諧發展。
1、工程概況
1.1新建道路概況
洛陽至嵩縣高速公路連接線位于洛陽市洛陽新區境內,起自孫辛路與開元大道交叉口,向南下穿鄭西客運專線洛河特大橋,再過鄭屯村、上跨洛宜鐵路及規劃的騰飛路,終至洛陽至嵩縣高速公路起點溢坡附近,全長3.088Km,設計時速100km/h,設計荷載等級為公路I級。
1.2穿越處既有客專橋梁概況
本項目在K0+050處以分幅方式穿越鄭西客專洛河特大橋的92#及93#孔,臨近橋墩編號為91#~95#,對93#橋墩影響最大,兩線交角90度。該處鄭西客專洛河特大橋上部結構為跨度32m的簡支箱梁,橋下凈高12m,各墩之間的凈寬均為29.9m。洛河特大橋下部為矩形空心橋墩,每墩均設有10根直徑1.0m樁基礎,樁長依次為:92橋墩17.5m、93號橋墩18.5m、94號橋墩24.5m。
根據高鐵設計資料,93號墩:單樁富余承載力為[P]-P =3502.50KN-3154.08KN=348.42 KN。橋樁工后允許沉降不大于6mm。
1.3 穿越區域自上而下各層巖土依次為:
①黏質黃土(Q4al):硬塑,局部軟塑。基本承載力&&=120Kpa。
②粗圓礫土(Q4al+pl):中密―密實,飽和。基本承載力&&=500Kpa。
③黏質黃土(Q3al+pl):硬塑。基本承載力&&=150Kpa。
④粗圓礫土(Q3al+pl):中密―密實,飽和。基本承載力&&=600Kpa。
⑤黏質黃土(Q2dl+pl):中密―密實,飽和。基本承載力&&=250Kpa。
⑥粗圓礫土(Q2al+pl):中密―密實,飽和。基本承載力&&=600Kpa。
⑦泥巖、砂巖(N):全風化,巖石風化呈土狀、砂礫狀,局部夾全風化礫巖。基本承載力&&=300~350Kpa。
⑧礫巖(N):雜色強風化,泥質膠結,巖心成礫石狀。基本承載力&&=350Kpa。
2、各穿越方案引起既有鐵路橋樁附加內力及附加豎向位移分析
2.1 方案一:橋梁方式穿越
采用1-40m梁橋(樁柱式臺,樁長30m,如圖2.1)分幅穿越客專洛河特大橋,單幅橋寬均為14.5m。
2.1.1 新建結構與客專橋墩相對位置關系及分析工況擬定
工況一:擬建橋分幅從客專洛河特大橋92及93孔跨中穿過,如圖2.2,新建橋墩樁基距離客專橋墩樁基最近距離為18.47m;
工況二:考慮最不利情況,擬建橋從靠近客專洛河特大橋93號橋墩兩側穿過,橋邊緣至93號墩間凈距僅為20cm,如圖2.3,新建橋墩樁基距離客專橋墩樁基最近距離為15.8m;
2.1.2 定量分析(有限元模擬)
2.1.2.1模型簡化
本模擬采用MAIDS-GTS有限元軟進行模擬分析,模型的結構為:100m*80m*50m(長*寬*高),單元網格數量為33579個,土體模擬為摩爾庫倫本構的四面體單元,樁模擬為彈性本構的線單元,樁土接觸模擬為樁接觸單元;模型結構如圖2.4、圖2.5所示:
樁接觸面:計算模型中采用梁單元模擬樁基礎,樁土作用模擬為摩擦接觸面,軟件涉及的計算參數主要如下:
最終剪力:輸入最大摩擦力,超過該值認為樁土之間摩擦力消失;
剪切剛度模量:面內切向方向剛度系數;
法向剛度模量:面外垂直方向的剛度系數。
荷載:本模型中荷載有自重荷載、恒載及活載長期效應組合產生的樁頂反力模擬為樁頂節點集中力荷載、作用在路面運營車輛的荷載(按公路-I級)模擬為面荷載。
根據鄭西客專洛河特大橋竣工圖,計算該橋每根墩樁上施加的節點力:92號樁橋墩樁FZ1=2795.55KN,93號橋墩樁FZ2=2810.589KN,94號橋墩樁FZ3=2728.944KN。
新建橋樁上根據橋博軟件分析,按最不利情況施加的節點力:FZ=5752.88KN;
臺后路基模擬成面荷載:P1= P2=22KN/m3×3m=54KN/m2。
約束:本模型中對土體的前后、左右及下底面進行節點約束,上頂面為自由面;對客專橋樁和新建橋樁進行轉角約束,約束方向為Rz。
2.1.2.3運算步驟:
為了更準確的計算出新建公路對原有客專洛河特大橋的影響,將運算過程分五步:
Step1:計算土體在自重作用下應力、位移,然后歸零;
Step2:計算客專洛河特大橋橋樁在客專荷載作用下的位移和應力情況;
Step3:把所有的位移和變形清零;
Step4:計算僅考慮新建橋樁(道路)工程時,樁周土體及客專橋樁的軸力、位移;
Step5:計算全部新建工程對客專橋樁及樁周土體的影響。
2.1.2.4 計算分析結果
(1)方案一工況一計算位移、軸力云圖與分析(僅選取影響最大的93號墩)
①因新建工程產生的影響―位移
③小結:通過運用MIDAS-GTS有限元軟件模擬計算分析,得出新建橋梁從客專跨中穿過的工況一產生的影響總結如下:(注釋:①②③同后)
1)新建公路橋樁的豎直最大位移為-14.04mm,因新建工程產生的最大附加位移:
客專橋92號墩10號樁的最大豎直位移為-0.796mm,影響率①為5.66%;93號橋墩7號樁的最大豎直位移-1.934mm,影響率為13.77%;94號墩4號樁的最大豎直位移為-0.756mm,影響率為5.38%。
2)新建公路橋樁的樁頂軸力為-5745.65KN,因新建工程產生的最大附加軸力③:
92號墩10號樁為-19.11KN;93號墩7號橋樁為-21.7KN;94號橋墩4號橋樁為-17.86KN。
(2)方案一工況二 計算位移、軸力云圖與分析
①因新建工程產生的影響―位移
③小結:通過運用MIDAS-GTS有限元軟件模擬計算分析,得出新建橋梁從靠近客專93號墩旁穿過的工況二產生的影響總結如下:
1)新建公路橋樁的豎直最大位移為-16.38mm,因新建工程產生的最大附加位移:
客專橋92號墩10號樁的最大豎直位移為-0.288mm,影響率①為1.75% ②;93號橋墩7號樁的最大豎直位移-3.258mm,影響率為19.89%;94號墩4號樁的最大豎直位移為-0.29mm,影響率為1.77%。
2)新建公路橋樁的樁頂軸力為-5745.65KN,因新建工程產生的最大附加軸力③:
對93號墩7號樁影響最大為-50.052KN;對92號墩及94號墩影響較小,可以忽略。
注釋:①影響率=擬建公路橋樁的最大沉降/客專洛河特大橋相應橋樁的最大沉降。
②樁號參考圖3.3。
③最大附加軸力為施工完成后的軸力-原有客專洛河特大橋樁的軸力。
2.2方案二、三、四均以道路方式分幅穿越客專洛河特大橋,路基填土高度分別為3m、1m、0.3m,單幅道路寬均為14.0m。工況一:線位從客專跨中穿越,路基的中線距離93號橋墩中線的距離為16.3m;工況二:線位從靠近客專93號墩穿越,路基的中線距離93號橋墩中線的距離為8.7m;
2.2.1工況一、二91~95號墩的樁基頂部最大附加沉降分布曲線圖
2.2.3由以上分析數據統計有:既有橋墩距離新建結構越近、路基填土越高則受影響越大;93號墩受影響最大;
3、結論
通過如上運用有限元軟件MADIS-GTS對四種穿越方案進行模擬分析,得出如下結論:
(1)、按方案一、三及四,即橋梁方式和1m 、30cm高路基的道路方式穿越客專,產生附加沉降及樁軸力均滿足設計要求,均能確保既有客專橋梁安全;按方案二,即3m高路基的道路方式穿越,如果線位不居中布設,偏向93號墩則附加沉降超出6mm,會危及客專橋梁安全,附加軸力在149.3~320.6 KN間,占用單樁承載儲備較大,也不利于客專橋梁安全。
(2)鑒于目前建設的城際、客專、高鐵等,較常見的上部結構多為32m的標準跨徑,根據如上計算分析,采用小于2米高路基的道路穿越,現有設計的變形及承載力富余儲備,可確保下穿工程不影響既有鐵路橋梁的安全,且新建道路從跨中穿越最安全。
(3)考慮建成后道路路基自重和過往的車輛荷載均直接作用在既有橋樁持力土層上,并且建設中為確保道路壓實滿足規范質量要求,重型機械設備作業均會對臨近橋樁產生負摩阻及相應的擾動影響,因此建議采用橋梁穿越方式為首選,由以上計算分析可知,單孔40m跨橋梁方案能確保下穿工程不影響既有鐵路的安全。且建設期間及建成后結構自重或車輛荷載均通過新建橋樁作用在遠離既有橋樁的位置,因此產生影響均較小。
(4)對于在建和處于設計階段的類似鐵路橋梁,建議經由城鎮時,應充分結合當地近遠期規劃,除了線位做好預留外,在有規劃需求部位建議考慮增加樁基的沉降和承載力富余的儲備,如有近期穿越需求處,則可以根據路基填土高度,先做好路基,再實施高速鐵路的橋墩。
參考文獻
1、陳培炎,徐振華. 地基強度與變形計算[M].西寧:青海人民出版社,1978.
2、賴瓊華. 巖土的變形模量取值探討[J].巖土力學與工程學報,2001,(10).
3、槽漢志.樁的軸的軸向荷載傳遞及荷載沉降曲線的數值計算方法.巖石工程學報.1986.
關鍵詞:
終端安全;一體化;體系建設
隨著信息化建設不斷發展,信息安全的重要性日益顯露出來,在信息安全保護實踐中,各單位往往對數據集中的后臺服務器投入精力較多,對來自終端的威脅重視不足。信息安全事件調查經驗表明,多數信息安全事件的突破口來自終端,因此在進行信息安全體系建設時,應對來自終端的威脅給予足夠的重視,建立有效的終端安全管理體系。
1典型的終端安全管理體系應包括的內容
1.1防病毒及終端入侵防護
包括對全網病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識別、查殺,對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實現。
1.2補丁狀態檢查及分發
包括檢查是否已安裝操作系統相應的補丁,各類防護特征庫是否保持更新,能夠自動推送安裝補丁和特征庫等。此類功能主要通過安全軟件讀取系統注冊表及掃描特定位置文件系統,并自動執行后臺腳本實現。
1.3移動存儲管理
防止內部濫用移動介質,杜絕內外部移動介質在內外網交叉使用,并通過特殊加密技術保證移動介質在非授權環境下不能被讀取。此類功能主要通過向操作系統底層驅動注入代碼和數據加密技術實現。
1.4終端準入管理
實現對網絡接入終端的安全準入管理與控制,確保接入網絡終端已安裝要求的防護系統,且符合安全策略要求,有效杜絕非法外來終端私自接入網絡。此類功能可以基于交換機端口進行控制或使用安全網關進行控制。
1.5非法外聯監控
用于發現和阻止內部網絡用戶非法建立通路連接互聯網或非授權網絡的行為,以此防止引入安全風險或導致信息泄密。此類功能通常做法是定期檢查與某個互聯網地址或非授權網絡的連通性,若有連通便會觸發監控報警。
1.6主機監控審計
對終端用戶的操作行為進行管控與審計,對安裝的軟件實行黑白名單管理,當用戶的操作違反安全策略時,能夠自動禁止或記錄違規日志。此類功能一般需在終端駐留程序,根據設定的操作策略和軟件清單執行。
2傳統分散式終端安全管理存在的問題
(1)產生兼容性問題。不同的終端安全防護產品均需要操作系統權限并向底層驅動注入代碼實現檢測,各產品之間的操作沖突、導致兼容性問題已是常見現象,即使能夠和平共存也會造成增加系統資源開銷,拖累系統變慢等一系列問題。
(2)缺乏統一管理。在終端上安裝使用多種安全防護產品,缺乏全局性安全管控,容易形成信息孤島,不利于開展諸如安全數據的收集、匯總、統計等關聯分析工作,無法系統性展示終端安全全貌。
(3)防護效果打折扣。不同的終端安全防護產品在功能上各有側重,組合在一起并不一定能全面覆蓋用戶的安全需求,由于底層機制的類同和兼容性沖突等原因,經常出現安全防護的真空地帶,產生1+1<2的現象,使防護效果大打折扣。
(4)運行維護成本高。多種終端安全防護產品同時使用,需同時與多個廠商采購維保服務,周期長投入大,運行上需要維護多套不同的策略表,從不同的來源更新補丁包、特征庫等,都給運維增加了不小的工作量。
(5)難以滿足自主可控的要求。出于國家安全戰略的需要,終端安全防護產品應盡可能滿足自主可控的要求。分散部署不同的終端安全防護產品,大多是基于歷史原因分批分步建設形成的,存在一定的不可控安全風險。
3一體化終端安全管理體系的建設思路
一體化終端安全管理體系的建設,應遵循“功能集中、統一建設”的原則,結合單位已有的終端安全防護現狀,采用“整合式替代、替代后實現一體化管理”的思路開展。替代過程中,應充分考慮安全設備國產化的要求,既實現終端安全防護各項功能,又可在統一平臺下管理終端資產、終端信息、終端安全防護系統等,實現終端一體化安全管理。終端一體化安全管理可極大地提高運維效率,增強終端類安全事件聯動,提高終端安全事件預警發現和處置能力,最終提高單位的信息安全管理水平。具體實施過程中,應以“資源整合、統一管理、分級部署、基準策略、量體裁衣、人力集約”為主要工作目標,最大程度整合單位現有軟硬件資源、技術人才資源,節約資源、資金、人力成本,集成各類終端管理功能,邏輯上實行統一管理,總部制定基準策略,各地分支機構針對自己的情況,定制適合本轄區情況的安全策略,預留一定擴展空間,供各級機構在統一終端管理平臺下的本地化處理。建議分四個步驟進行:①率先落實國產化替代,一體化終端安全管理體系建設不再考慮國外產品,實現完全國產自主可控,這一點無論是在技術上還是在市場上都已不存在問題。②整合現有終端安全防護系統的功能,在實現病毒防治、補丁分發、非法外聯監控、準入控制、移動介質管控、安全策略管理等功能的基礎上,實現各功能模塊的數據整合與聯動。③增加資產管理、操作審計等功能,并實現一體化關聯和統一展現,進一步完善系統的管理功能,能夠進行終端狀態、終端信息、安全事件等信息的展示、分析和處理,實現對安全事件的及時發現、告警和處置,及時消除安全事件對終端的影響。④在系統建設的基礎上實現科學安全管理,通過對終端安全狀態的統一定量評估,實現對各部門、各分支機構的終端安全態勢評估,掌握終端安全管理的薄弱環節,為信息安全管理工作的整改完善提供數據支撐。在功能方面:一體化終端安全管理體系應主要包括但不限于防病毒管理、終端入侵檢測防護管理、補丁分發管理、移動介質管理、非法外聯管理、終端準入管理、主機監控審計管理、終端信息管理、安全策略管理、終端運行狀態統計管理、安全事件管理、運行報表管理、考核指標管理、系統管理等功能。實現終端安全防護系統的一體化管理和安全防護系統的資源整合,實現安全防護策略的統一管理,建立全面、集中、統一的終端安全管理體系。在管理方面:實現與終端安全管理制度相適應的安全管理要求,實現總部與各分支機構終端信息的統一集中管理,實現終端安全控制策略的統一配置、自動篩查、告警和展現,實現定期安全類報表的自動生成和展現,實現安全管理人員的統一工作平臺。
4結語
要實現對信息安全閉環式管理,僅僅重視信息系統服務端的保護是不夠的,必須重視對每個入網終端的安全管理。一體化終端安全管理體系的建設,從技術上采取了多種手段強化終端的安全防護和管理,為強化單位的信息安全管理提供了必要的手段。同時,我們也必須認識到,終端安全管理體系的建設不是說建好系統就萬事大吉了,對一個單位的信息安全管理而言,永遠是“三分技術,七分管理”。再好的技術手段,也只有和管理制度相結合,并加以強力執行,才能達到預定的安全目標。
參考文獻:
[1]孟粉霞,王越,雷磊.統一終端安全管理系統在內網中的分析及應用[J].信息系統工程,2013(8):70~71.
[2]田永飛.一體化終端安全管理系統應用初探[J].金融科技時代,2015(12):45~47.
2廣播電臺信息安全工作的展開
我國于2003年7月出臺了第一部關于信息安全的綱要性文件:國家信息化領導小組關于加強信息安全保障工作的要求》。其中有明確提出:對于網絡和信息系統安全的潛在威脅、保護措施、薄弱環節等進行評估,綜合考慮網絡與信息系統的重要性、程度和面臨風險等因素,進行相應的等級安全建設和管理。堅持積極防御、綜合防御的方針,全面提高信息安全防護能力,重點保障基礎信息網絡和重要信息系統安全,創建安全健康的網絡環境,保障和促進信息發展,保護公眾利益,維護國家安全。2006年至今,國家信息安全保障體系建設取得了實際性進展。圍繞中辦第27號文件展開各項信息安全保障工作,信息安全法律法規、標準化和人才培養工作取得新成果。目前,信息安全工作主要圍繞風險評估和等級保護兩個重點展開,信息安全風險評估是指依據相關信息安全技術和管理標準,對信息系統進行安全性評價的過程。而等級保護則是對評估結果作出相應的措施保護。
3廣播電臺信息安全工作建議
(1)培養專業人才隊伍。目前,在廣播電臺行業內部信息技術和管理方面缺少人才隊伍,不能適應當前傳播媒介的快速發展態勢。因此,要加強行業內信息安全負責人員的技能培養和理論知識的培訓,還需要定時開展信息安全評估和等級保護測評等工作,讓信息安全負責人員積累經驗、鍛煉隊伍,培養出一批既了解廣播電臺行情,又掌握信息安全保障技能的人才隊伍,有了最基本的人才隊伍保障,廣播電臺的發展才能更加穩定。此外,還要牢固樹立信息安全工作人員的保密觀,使工作人員充分了解到新時期廣播電臺信息安全保護工作的重要性。
(2)促進廣播電臺的標準化和制度化。新時代的廣播電臺具有播出媒體信息流量大、專業化設備負責、傳輸渠道更新快、傳播網點逐漸復雜化等多種特點,因此需要修訂適合的信息安全系列的標準、制定和完善相關的制度,促進廣播電臺的標準化、制度化進程,加強對其的指導,使廣播電臺的行業信息安全工作有標準可遵循、有制度所制約,從而更好地促進信息安全工作朝規范化、科學化前進。
