引論:我們?yōu)槟砹?3篇銀行安全總結范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
作為一名班長,是自分隊長以下全隊人的榜樣,我時刻提醒自己要加強各方面的業(yè)務知識,以便于提高自身的綜合素質。要正確處理苦與樂,得與失、個人利益和集體利益的關系,堅持甘于奉獻、誠實敬業(yè),經(jīng)過這段時間的學習和鍛煉,在工作上取得了一定的進步,細心學習他人長處,改掉自己不足,并虛心向領導、同事請教。對自身嚴格要求,始終把耐得平淡、舍得付出、默默無聞作為自己的準則,寫作參考始終把作風建設的重點放在嚴謹、細致、扎實、求實腳踏實地埋頭苦干上。在工作中,以制度、紀律規(guī)范自己的一切言行,嚴格遵守公司各項規(guī)章制度,尊重領導,團結同志,謙虛謹慎,主動接受來自各方面的意見,不斷改進工作。發(fā)揚吃苦耐勞精神,面對督查事務雜、任務重的工作性質,不怕吃苦,主動找事干,做到“眼勤、嘴勤、手勤、腿勤”,積極適應各種艱苦環(huán)境,在繁重的工作中磨練意志,增長才干。發(fā)揚孜孜不倦的進取精神。加強學習,勇于實踐,博覽群書,在向書本學習的同時注意收集各類信息,廣泛吸取各種“營養(yǎng)”;同時,講究學習方法,端正學習態(tài)度,提高學習效率,努力培養(yǎng)自己具有扎實的理論功底、辯證的思維方法、正確的思想觀點、踏實的工作作風。力求把工作做得更好。
二、關心隊員的生活、確保隊伍的穩(wěn)定。
做為班長,我有責任配合分長抓好隊伍的穩(wěn)定工作。針對隊員的年齡普遍偏小,在家中又是獨生子女,剛參加保安工作,沒有任何的工作經(jīng)驗,隨同分隊長對每一名新入隊的隊員找其談話,了解該隊員的基本情況,有針對性的采取工作方法因人而異,并且陪他們吃第一次飯,使他們盡快融入到保安隊伍中來,主動幫主他們解決一些生活中的困難,使他們充分感受到保安大家庭的溫暖,針對現(xiàn)在保安流動性大的特點,分隊長和我積極聯(lián)系老鄉(xiāng),親屬、朋友招收保安員,通過努力增加了隊員的人數(shù),確保了隊伍的穩(wěn)定,提高了隊伍的凝聚力和戰(zhàn)斗力。
三心得體會、嚴格要求,確保重大活動和節(jié)日的安全
在工作期間,我對每次保衛(wèi)工作都十分得重視,在分隊長的帶領下,充分發(fā)揮帶頭作用,積極響應,號召大家發(fā)揮團隊合作精神,完成了各個時期的重大活動和節(jié)日的安全工作。在活動中,配合隊長組織全隊進行了宣傳動員工作,建立活動宣傳欄,張貼活動標語,讓讓隊員都參與進來,充分調動了大家工作的積極性,把宣傳工作深入到每名隊員,同時還寫了決心書。讓大家體會并認識到保衛(wèi)工作的重要性,同時提醒自己遵紀守法、愛崗敬業(yè)、防止安全生產(chǎn)事故的發(fā)生。利于重大活動及節(jié)日的安全開展。
篇2
二、健全工作機構,理順工作關系是安全評估工作順利完成的保障。
為確保安全評估各項準備工作的順利進行,支行成立了以行長為組長、分管領導為副組長、專職保衛(wèi)干部和部門負責人為成員的安全評估領導組指導全行的安全評估工作,明確各自的工作職責。同時成立了以分管領導為組長、會計主管和專職保衛(wèi)干部為副組長的安全評估工作小組,具體負責落實安全評估的各項工作事項。健全的工作機構,為安全評估準備工作提供了組織上的保障。
篇3
營業(yè)部定期對已經(jīng)安裝的技防設備要求技防檢查,對營業(yè)部內部的要害部門,電腦房,財務部重點設防,有專人負責安全防范工作,并在月份取消了營業(yè)部的現(xiàn)金柜臺,消除了營業(yè)部最大的安全隱患。全體員工針對這一次的專項活動開展系列培訓,由公司的辦公室主任策劃,培訓一共3次,并且在月中旬安排考試,并對考試沒有達到0分以上的員工進行了,經(jīng)濟處罰。
今年月份我營業(yè)部接到市區(qū)企事業(yè)單位安保衛(wèi)協(xié)會組織的“嚴防范,降發(fā)案,保平安”專項活動的通訊后,營業(yè)部領導立即組織成立了證券東路營業(yè)部安全保衛(wèi)領導小組,由營業(yè)部總經(jīng)理擔任安全保衛(wèi)領導小組組長,由營業(yè)部業(yè)務總監(jiān)擔任安全領導小組副組長,由營業(yè)部辦公室主任擔任執(zhí)行副組長,組員為全體員工,在落實上營業(yè)部做到首長負責制,沒有落實到位的首先扣總經(jīng)理的錢,由總經(jīng)理扣副組長,的錢,這一措施有效的杜絕了,安排后得不到落實的狀況。保證了此次活動積極有效的開展起來。
在制度上面,營業(yè)部專門由安全領導小組執(zhí)行副組長根據(jù)“嚴防范,降發(fā)案,保平安”專項活動要求起草了一份營業(yè)部重點崗位,要害部門交接班制度,來訪人員登記制度,進出物品登記制度等等的制度,并且規(guī)定了凡是節(jié)日期間必須召開節(jié)日安全防范工作會議,而且會議必須由營業(yè)部總經(jīng)理,安全保衛(wèi)工作領導小組組長主持召開。而且規(guī)定了由營業(yè)部安全領導小組副組長擔任記錄。
篇4
2警隊的業(yè)余文化活動方面.
篇5
監(jiān)控設施的陳舊、老化,多年來一直困擾著我行,今年根據(jù)*行的安排,我行順利地完成了對監(jiān)控系統(tǒng)的改造,使監(jiān)控系統(tǒng)符合了安全防范的要求,增強了技術防范能力。
同時對*樓的邊門進行了維修改造,我行*樓的側邊門管理一直不是很好,進出人員比較多,為了更好地加強邊門的安全檢查防范,營業(yè)部專門召開會議研究了此事,要求綜合辦公室對邊門進行改造,通過改造規(guī)范了側邊門的進出人員,確保了外來人員無法通過側邊門進入我行主樓,確保了大樓的安全。
二、加強職工的安全防范教育,增強員工防范意識
堅持抓職工的安全防范教育,不斷的完善規(guī)章制度,強化制度的落實,是預防案件消滅隱患,確保銀行安全的重要因素之一,使我行的內控外防機制更趨完善,提高了全員防范意識。任何管理工作首先是人的工作,人的工作的核心是思想教育,保衛(wèi)工作更不能例外。當前保衛(wèi)工作面臨的形勢愈加嚴峻,做好職工的防范教育已成為保衛(wèi)工作的重要課題。防范教育搞好了員工的防范意思就能得到提高,就可以在日常安全防范工作中筑起一道牢固的屏障。所以我們始終把防范教育工作擺在安全保衛(wèi)工作的重要位置。
領導抓、層層抓,確定從領導抓起,一級抓一級,形成層層抓防范教育的工作格局。一是增強領導自身的防范意識,我行領導堅持以身作則,牢固樹立“安全第一”的防范思想,把安全防范教育工作納入重要議事日程,利用各種場合開展防范教育工作,大會小會講安全,定期召開安全工作會議,研究布置安全防范工作,定期組織一線員工學習案件簡報及案件通報的同時,通過具體案例剖析,用活生生血的教訓教育廣大員工、并對照自查。每逢節(jié)假日都親自檢查節(jié)日安全防范工作,按時到網(wǎng)點進行安全檢查,對安全檢查存在的問題,責成辦公室立即處理,做到了快報快辦。
上半年我們組織員工觀看消防知識教育光盤,印發(fā)了火災逃生自救的知識材料,針對每年搞消防演練實際參與的人員少,不能全員參加的情況,保衛(wèi)人員深入到各部室詳細講解消防器材的使用方法及發(fā)生火災后的處理方法,使員工得到教育和培訓,增強了員工的安全防范意識。
三、規(guī)范安全檢查工作,完善規(guī)章制度
對安全保衛(wèi)工作,安全檢查是關健,只有加強檢查的力度,才能發(fā)現(xiàn)問題,只有發(fā)現(xiàn)了問題才能有針對性地加以解決。我行嚴格執(zhí)行上級行的要求去做,堅持網(wǎng)點每日檢查,領導保衛(wèi)部門每月檢查,對檢查中存在的問題積極督促整改、跟蹤監(jiān)督,把隱患消滅在萌芽中。為規(guī)范我們的安全檢查制度,我行加強了對營業(yè)網(wǎng)點側門的驗“證”管理,實行“三證齊全,領導和保衛(wèi)人員陪同”的檢查制度,使安全檢查更加規(guī)范化。
我行領導重視安全保衛(wèi)和案件防范工作,真正做到了領導重視責任到人,年初我行就組織各部(室)、各專業(yè)簽訂了《安全防范責任書》,制定了《***安全保衛(wèi)工作制度》。同時還結合“第二期掃雷工程”和內控檢查,對儲蓄網(wǎng)點進行明查暗訪,對要害崗位人員做到經(jīng)常定期輪換,對現(xiàn)實表現(xiàn)實行考核建立檔案,并對網(wǎng)點門鑰匙及權限卡進行嚴格管理和檢查。我行加強值班工作,常抓不懈,每逢節(jié)假日及各項測試時間,領導親自布置,親自組織測試,帶頭值班,同時還要求保衛(wèi)人員做好安全保障工作。
四、存在問題
(一)、少數(shù)員工防范意識差,有麻痹思想,執(zhí)行制度和規(guī)定不夠嚴格;
(二)、上報的材料有時不夠及時;
(三)、由于經(jīng)費的關系,不能保證每臺微機配置一個滅火器.
篇6
委托人:李靜,北京市百度律師事務所律師。
被上訴人(原審原告):中國銀行鶴崗支行,住所地:黑龍江省鶴崗市工農(nóng)區(qū)解放路66號。
負責人:陳傳海,該行行長。
委托人:何春風,佳木斯市君德律師事務所律師。
上訴人黑龍江省農(nóng)墾總局寶泉嶺分局為與被上訴人中國銀行鶴崗支行借款擔保合同糾紛一案,不服黑龍江省高級人民法院(1998)黑經(jīng)初字第28號民事判決,向本院提起上訴,本院依法組成合議庭進行了審理,現(xiàn)已審理終結。
查明:1989年8月30日,中國銀行鶴崗支行(以下簡稱鶴崗中行)與華寶禽絨有限公司簽訂抵押借款合同,總金額為400萬元,期限16個月,月利率11.34‰,華寶禽絨有限公司以其價值7890417.32元設備作抵押。此后鶴崗中行按合同約定陸續(xù)發(fā)放貸款。合同期滿時,華寶禽絨有限公司未能全部償還借款本息。1991年4月15日,經(jīng)雙方協(xié)商,對1989年8月30日的借款合同予以展期并重新簽訂了借款合同,期限12個月,月利率8.28‰,黑龍江省農(nóng)墾總局寶泉嶺分局(以下簡稱寶泉嶺分局)計劃財務處為該合同提供了擔保。合同到期后華寶禽絨有限公司仍欠鶴崗中行借款本金370萬元。1995年12月22日,鶴崗中行與華寶禽絨有限公司就此筆370萬元欠款又重新簽訂了借款合同,期限9個月,月利率12.06‰,華寶禽絨有限公司以其價值165.5萬元的設備作抵押,寶泉嶺禽絨股份有限公司在提供擔保書的同時還以價值196.7萬元的3棟廠房作抵押,但以上抵押物均未依法辦理登記手續(xù)。1996年11月,華寶禽絨有限公司經(jīng)黑龍江省農(nóng)墾中級法院裁定宣告破產(chǎn),鶴崗中行參加破產(chǎn)分配后受償債權為907452元。本案涉及的抵押物已由黑龍江省農(nóng)墾中級法院在審理以華寶禽絨有限公司和寶泉嶺禽絨股份有限公司為債務人的其他案件中調處給其他債權人。截至1998年4月1日,鶴崗中行尚有借款本金2792548元、利息2172616.71元的債權未受清償。為此,鶴崗中行依據(jù)蓋有寶泉嶺分局財務處公章及負責人名章、落款日期為1995年12月22日、保證數(shù)額為400萬元的不可撤銷擔保書,向黑龍江省高級人民法院提起訴訟,請求判令寶泉嶺分局償付所欠借款本息并承擔本案訴訟費。
黑龍江省高級人民法院認為:華寶禽絨有限公司與鶴崗中行簽訂的借款合同合法有效。寶泉嶺分局作為政企合一單位,具有經(jīng)營職能,財務處系該局主管財務的職能部門,其在職權及授權范圍內的活動應當由寶泉嶺分局承擔責任。故該局財務處出具的不可撤銷擔保書亦為有效保證。鶴崗中行、寶泉嶺分局對寶泉嶺分局曾為華寶禽絨有限公司的借款提供過保證一事均無異議,但雙方對保證的日期持有異議。鑒于本案爭議的保證合同事實存在,數(shù)額明確,但保證時間、期限不明確。按照《最高人民法院關于審理經(jīng)濟合同糾紛案件有關保證若干問題的意見》第12條“債權人與被保證人未經(jīng)保證人同意,變更主合同履行期限的……如保證合同中未約定保證責任期限,保證人仍在被保證人原承擔責任的期限內承擔保證責任。”和第29條“保證合同未約定保證責任期限的,主債務的訴訟時效中斷,保證債務的訴訟時效亦中斷”的規(guī)定,在債權人鶴崗中行從未間斷向主債務人華寶禽絨有限公司主張權利情況下,寶泉嶺分局的保證責任不能免除。寶泉嶺分局辯稱鶴崗中行于1995年與華寶禽絨有限公司、寶泉嶺禽絨股份有限公司簽訂借款合同和抵押、保證合同后,其擔保義務自然終止的理由,因鶴崗中行并未有放棄要求寶泉嶺分局承擔保證責任的意思表示,寶泉嶺分局也未提出相應的證據(jù),故寶泉嶺分局稱其擔保義務自然終止的理由不能成立。寶泉嶺分局作為連帶責任的保證人,在被保證人華寶禽絨有限公司破產(chǎn)后,債權人鶴崗中行的債權在未能全部受償?shù)那闆r下,應當就債權人未能受償?shù)牟糠殖袚WC責任。綜上,寶泉嶺分局主張的不承擔保證責任的理由不能成立,該院不予支持。鶴崗中行依據(jù)保證合同向保證人寶泉嶺分局主張權利的請求符合法律規(guī)定,應予支持。依照《中華人民共和國經(jīng)濟合同法》第十五條和《最高人民法院關于貫徹執(zhí)行〈中華人民共和國企業(yè)破產(chǎn)法(試行)〉若干問題的意見》第61條第1項之規(guī)定,判決如下:寶泉嶺分局于本判決生效后十日內償還鶴崗中行的貸款本金2792548元,利息2172616.71元(計算至1998年4月1日,至本判決生效后十日內的利息按中國人民銀行同期貸款利率計算)。案件受理費35010元,由寶泉嶺分局負擔。
寶泉嶺分局不服黑龍江省高級人民法院的上述民事判決,向本院提起上訴稱:1991年4月15日,鶴崗中行與華寶禽絨有限公司簽訂一份借款合同,金額為400萬元,期限12個月,月利率為8.28‰。寶泉嶺分局的下屬職能部門計劃財務處為此提供了擔保。合同到期后,華寶禽絨有限公司仍欠鶴崗中行借款本金370萬元。1995年12月22日,鶴崗中行與華寶禽絨有限公司又簽訂了一份370萬元的借款合同,用以還清原欠款370萬元。對此借款合同,華寶禽絨有限公司以其價值165.5萬元的設備抵押;寶泉嶺禽絨股份有限公司提供擔保,并簽訂了擔保合同,同時還以價值196.7萬元的三棟廠房作抵押。至此,寶泉嶺分局于1991年出具的擔保合同因原借款合同履行完畢而自動失效。原審判決寶泉嶺分局繼續(xù)承擔擔保責任,屬認定事實不清,懇請查明案件事實,依法作出正確判決。鶴崗中行未作書面答辯,在二審審理中口頭辯稱:原審法院認定事實清楚,寶泉嶺分局出具的擔保有效,其應依法承擔擔保責任,請求駁回上訴,維持原判。
本院還查明:鶴崗中行曾于1996年11月22日向黑龍江省農(nóng)墾中級法院發(fā)出中銀鶴(1996)第33號“關于我們對華寶禽絨有限公司優(yōu)先受償權的報告”稱:“我行于1995年12月22日對該公司(華寶禽絨有限公司)重新辦理了貸款手續(xù),同時辦理了抵押和擔保手續(xù),以該公司固定資產(chǎn)165.5元及寶泉嶺禽絨股份有限公司廠房196.7萬元做為貸款抵押物,不足部門由其擔保單位寶泉嶺禽絨股份有限公司負責償付”。
本院認為:華寶禽絨有限公司曾于1991年4月15日向鶴崗中行借款400萬元,寶泉嶺分局為該400萬元借款出具了擔保書。至1995年12月22日,華寶禽絨有限公司仍欠鶴崗中行370萬元,為此,鶴崗中行與華寶禽絨有限公司就此筆借款重新簽訂了370萬元的借款合同,華寶禽絨有限公司以其自有財產(chǎn)設置了抵押,寶泉嶺禽絨有限公司在為該筆借款提供擔保的同時也設置了抵押。據(jù)此,寶泉嶺分局對1991年4月15日華寶禽絨有限公司借款400萬的擔保已變更為華寶禽絨有限公司的抵押和寶泉嶺禽絨股份有限公司提供的擔保及抵押。鶴崗中行向寶泉嶺分局主張權利的擔保書的落款日期為1995年12月22日,而寶泉嶺分局出示的擔保書則沒有落款日期,該兩份擔保書的擔保金額均為400萬元,而鶴崗中行又不肯出示寶泉嶺分局1991年4月15日向其出具的擔保書。鶴崗中行出示的擔保書除落款日期與1995年12月22日借款合同的落款日期相吻合外,擔保金額與1991年4月15日借款合同的借款金額相符而與本案借款合同不符,且其載明寶泉嶺分局的帳號是該局已不再使用的帳號。鶴崗中行于1996年11月22日給黑龍江省農(nóng)墾中級法院的《關于我們對華寶禽絨有限公司優(yōu)先受償權的報告》也未提及寶泉嶺分局為該370萬元貸款提供擔保的問題。鶴崗中行主張寶泉嶺分局為華寶禽絨有限公司的該370萬元借款提供擔保的依據(jù)不足。寶泉嶺分局關于其為1991年4月15日400萬元貸款的擔保責任應予解除,不應再對1995年的370萬元貸款承擔擔保責任的上訴理由成立,本院予以支持。原審法院認定事實不清,判決由寶泉嶺分局承擔還款責任不當,應予以撤銷。本院根據(jù)《中華人民共和國民事訴訟法》第一百五十三條第一款第(二)、(三)項和第一百五十八條之規(guī)定,判決如下:
一、撤銷黑龍江省高級人民法院(1998)黑經(jīng)初字第28號民事判決。
篇7
1 基層銀行的信息系統(tǒng)遇到的主要安全威脅
由于銀行的信息系統(tǒng)建設一直在不斷地向縱深處發(fā)展,銀行已經(jīng)全面地進入了其業(yè)務的系統(tǒng)整合與數(shù)據(jù)集中的全新發(fā)展階段。這種集約化經(jīng)營數(shù)據(jù)不斷集中的趨勢,從一方面來講是適應銀行業(yè)務不斷發(fā)展的要求,但是從另一方面來講,卻使銀行信息系統(tǒng)的安全風險也集中起來,增加了安全的隱患。具體來講基層銀行信息系統(tǒng)的安全隱患主要包括互聯(lián)網(wǎng)風險和外部機構風險以及不信任網(wǎng)絡風險和結構內部風險,同時還包括災難性的風險等五種安全隱患。
2 基層銀行的信息系統(tǒng)安全規(guī)劃設計與實施的主要原則和等級劃分
2.1 基層銀行的信息系統(tǒng)安全規(guī)劃設計與實施的主要原則
銀行的信息系統(tǒng)安全是一個涉及到規(guī)劃與管理以及技術等很多因素的具有系統(tǒng)性的工程,其屬于一種不斷持續(xù)發(fā)展和動態(tài)發(fā)展的進程。對于基層銀行的信息系統(tǒng)安全規(guī)劃設計與實施來說。技術是實現(xiàn)安全保障的主體性因素,而管理是具備安全保障的靈魂性因素。在安全規(guī)劃與設計中,只有把具有科學性與合理性的管理貫徹落實在信息安全的維護之中,才能夠實現(xiàn)網(wǎng)絡安全在穩(wěn)定性與長期性方面的保證。而銀行信息系統(tǒng)安全的具體原則主要包括了明確責任與安全保護并舉,依照標準和自行保護同時進行,同步建設與動態(tài)調整相互促進,指導監(jiān)督和重點保護齊頭并進四條原則。
2.2 關于基層銀行的信息系統(tǒng)安全等級的介紹
銀行信息系統(tǒng)的安全等級具體指的是對于國家級別的秘密信息和法人以及替他組織和公民專有的信息與公開的信息,同時還包括存儲和傳輸以及處理此類信息涉及到的信息系統(tǒng)的等級,對這些等級實施安全保護,對信息系統(tǒng)里面使用到的信息安全類產(chǎn)品進行一定安全等級的管理,對于信息系統(tǒng)里面出現(xiàn)的信息安全類事件需要分等級地進行回應和處置。依據(jù)信息系統(tǒng)和信息對于國家的安全和經(jīng)濟建設以及社會生活所起作用的重要性,在其遭到破壞以后就國家安全和社會秩序以及公共利益和公民,還包括法人以及其他各種組織在合法權益方面的危害性來講,針對相關信息保密程度和完整程度以及實用性要求和信息系統(tǒng)所要達到的基本性安全保護的水準等因素,筆者總結出信息系統(tǒng)安全保護的五個等級:第一個等級是自主保護,第二個等級是指導保護,第三個等級是監(jiān)督保護,第四個等級是強制保護,第五個等級是專控保護。
2.3 銀行信息系統(tǒng)安全等級的評估
在對銀行信息系統(tǒng)安全等級考量需要考慮到以下幾個因素:第一個因素是安全系統(tǒng)的類型,也就是信息系統(tǒng)安全利益的主體。第二個因素是信息系統(tǒng)所要處理業(yè)務信息的類別。第三個因素是信息系統(tǒng)服務的范圍,主要包括了其服務的對象與服務網(wǎng)絡所涉及到的范圍。第四個因素是信息系統(tǒng)業(yè)務依賴的程度,也就是手工作業(yè)可以替代信息系統(tǒng)進行業(yè)務處理的程度。
3 基層銀行的信息系統(tǒng)安全設計規(guī)劃和實施的主要內容
3.1 基層銀行信息系統(tǒng)的安全體系和特點
基層銀行信息的安全體系主要包含安全管理的體系與安全技術的體系,這兩者對于銀行信息系統(tǒng)安全維護來說,是兩個不能分割的部分,通常情況下的技術與管理需要相互之間提供一定的支撐,以此來確保兩種功能的有效實現(xiàn)。對安全管理的體系進行構建,其主要是出于信息系統(tǒng)里面各種角色的管理。以一種管理體系文檔化的形式,監(jiān)督和控制各種角色的種種活動,主要是在系統(tǒng)通常運行的維護工作過程中,主要涉及到各種政策和制度以及規(guī)范和流程,同時還包括日志方面的監(jiān)督與控制。這種安全管理體系的組成部分通常分為五個部分,主要是安全管理的組織與人員的安全管理,系統(tǒng)建設的安全管理,系統(tǒng)運維的安全管理以及安全審計的管理。就安全技術的體系來講,其主要功能是對信息系統(tǒng)提供技術安全類的機制設施,其實現(xiàn)形式是信息系統(tǒng)里面部署相應的軟件與硬件,同時對其以正確的形式配置系統(tǒng)的安全功能,以此來實現(xiàn)。安全技術的體系組成部分也是五個部分,主要包括基礎設施的安全和網(wǎng)絡安全以及主機安全和應用安全,同時還有數(shù)據(jù)的安全。
3.2 基層銀行的信息系統(tǒng)安全建設的方法論
依據(jù)國家標準的ISO17799/ISO27001中的信息安全維護的管理標準建立起信息安全的管理體系,其具體內容主要包括以下幾個方面:
(1)計劃,也就是建立ISMS,對于ISMS的相關政策和控制的措施以及過程與流程實施和操作等。
(2)執(zhí)行,其主要是指實施和執(zhí)行ISMS,對ISMS政策與控制措施以及過程和流程的實施和操作等。
(3)查核,其主要是指監(jiān)督和審查ISMS,依照ISMS政策和目標及其實際的經(jīng)驗,用來評鑒和測量其過程的績效,同時把評鑒與測量的結果回饋給相應的管理層,讓其審查。
(4)行動,其主要指的是維持和改進ISMS,依照內部的ISMS稽核和管理層的審查以及其他相應信息的結果采取對應的校正和預防性措施,以便實現(xiàn)信息安全的管理系統(tǒng)的持續(xù)性改進。
3.3 基層銀行的信息系統(tǒng)安全規(guī)劃實施的主要內容
基層銀行的信息系統(tǒng)安全規(guī)劃實施的主要內容包括以下幾個方面:
(1)信息安全的組織建設。其主要是指在組織的內部建立起跨部門式信息安全的協(xié)調與溝通的機制,為的是實現(xiàn)組織內的信息安全管理,同時能夠識別和外部組織有關連的一類風險,對信息安全的職責進行定義與分配,對于信息安全的工作進行定期評審。另外需要建立起專門負責信息安全的管理委員會,不斷地推動信息安全的規(guī)劃與實施,主要出發(fā)點是組織架構層面,此機構主要負責以下事項:對信息系統(tǒng)的安全保障的體系建設進行有力推動;周期性地評估與識別信息系統(tǒng)的安全保障體系;對商業(yè)秘密與技術秘密進行保護,對企業(yè)的利益進行維護;制定出合適的信息系統(tǒng)安全性發(fā)展策略,以此來提高銀行抵御風險的能力。
(2)對于從業(yè)人員的安全管理。其主要是指對全體員工要加強安全防范的意識培養(yǎng),加強與信息安全相關的管理知識的宣傳與普及,對各項安全管理的制度要積極地落實,集合全體員工的力量促進銀行信息的安全保障。人員的安全管理實現(xiàn)形式主要是教育和培訓,期培訓的方式主要分為三種,其一是涉及到管理層的安全意識的教育,此舉主要是針對管理層安全意識的教育和培訓,幫助其了解國家信息安全的政策,同時提高其認識,進而能夠指導好安全建設的工作。其二是技術人員的安全技能類培訓,此舉主要是讓其學習更多的安全管理的理論性與技術性知識,以便其可以有效地掌握相關安全管理的理念,掌握好安全產(chǎn)品的操作與維護以及對于安全事件的處理能力,對信息系統(tǒng)安全進行較好的維護。其三是普通員工安全意識的培養(yǎng),此舉針對的是廣大的信息系統(tǒng)的用戶,對其進行安全培訓,以此來增強其安全防范的意識,發(fā)揮集體的力量來維護系統(tǒng)安全。
(3)對于系統(tǒng)建設的管理,其主要是指信息安全要針對信息系統(tǒng)的集成項目和軟件開發(fā)的項目,對這些項目進行相應的安全需求的分析與規(guī)劃,對于系統(tǒng)的開發(fā)需要對輸入的數(shù)據(jù)驗證和處理過程信息的完整性以及輸出數(shù)據(jù)進行確認,此舉是為了預防應用系統(tǒng)的信息丟失和錯誤以及未授權信息的修改與誤用。其主要的保護手段是加密。
(4)對于系統(tǒng)運維的管理,其主要是指對信息系統(tǒng)日常操作與維護的管理要加強。逐步地建立與完善相關文檔化操作的流程和相應規(guī)范變更的管理流程。同時實行職責分離和分離開發(fā)以及測試和生產(chǎn)環(huán)境,對于第三方的服務交付需要提出相應的要求,以便確保其所提供服務符合相關協(xié)議要求。在系統(tǒng)的規(guī)劃方面,需要對未來容量與性能要求進行考慮,同時還要對相關項目建設進行驗收,驗收時要依照具體標準。對于數(shù)據(jù)備份的策略制定方面,需要確保相關信息的實用性與完整性。此外還包括對于移動介質使用和處置方式的控制與管理。在與外部的組織進行信息交換時要確保其安全性能。此外還包括對于系統(tǒng)運行的監(jiān)控與管理系統(tǒng)的日志記錄工作和審核工作等。
(5)對于安全審計的管理,其主要的措施是建立起相關信息安全事故的報告流程和確保運用有效和持久的手段進行安全事故的管理。為了對信息系統(tǒng)符合相關法律規(guī)定進行確定,需要定期地進行相關信息安全的檢查工作和及時地發(fā)現(xiàn)安全隱患,同時要堅持改進。
(6)有關基礎設施的安全,其主要指的是機房環(huán)境與設備實體安全的保護,以防基礎設施出現(xiàn)非法使用和物理性破壞以及被偷盜的情況發(fā)生,并且要保障這些設備正常運行時需要的電源和溫度以及濕度和防水,同時還包括防塵等。技術設施的安全規(guī)劃主要包括以下內容:中心機房與及其基礎的設施的環(huán)境建設需要做好,具有防雷電的完整設施,同時還包括防電磁干擾的設施完備。主機房的電源需要設置雙回路的備份機制等。
(7)對于信息系統(tǒng)中涉及到的網(wǎng)絡安全問題。網(wǎng)絡安全主要是以硬件和軟件等形式實現(xiàn)數(shù)據(jù)和語音以及圖像和傳真網(wǎng)絡傳輸時的安全保障,對安全域與安全區(qū)間的網(wǎng)絡通訊私密性與完整性以及可靠性要進行提高。網(wǎng)絡安全規(guī)劃的主要內容包括:建立與完善網(wǎng)絡防火墻的安全體系建設,對安全區(qū)域實行隔離,對網(wǎng)絡安全的策略進行強化,監(jiān)控和審計網(wǎng)絡的訪問,以防內部信息出現(xiàn)外泄情形。其具體措施包括以下幾個方面:其一是對IIPS入侵的檢測系統(tǒng)進行建立和完善,以特定檢測技術來識別各種惡意攻擊行為,同時及時的對其攻擊行為進行阻斷,以確保網(wǎng)絡的安全;其二是運用VLAN對網(wǎng)絡進行劃分,對于不同的網(wǎng)絡安全區(qū)域進行隔離;其三是以物理級和網(wǎng)絡級以及系統(tǒng)級等認證手段對網(wǎng)絡用戶的訪問權限實時控制,以便確認出使用者權限及其身份。其四是對于網(wǎng)絡日志進行管理的記錄,以此來保證網(wǎng)絡安全具有審計性。其五是以SSL的安全聯(lián)結機制來保證外部WEB的鏈接安全,比如說網(wǎng)上銀行等。
(8)基層銀行安全信息系統(tǒng)規(guī)劃中涉及到主機的安全,主機系統(tǒng)安全的目標是對主機平臺的系統(tǒng)優(yōu)質高效的運行進行保障,以防主機系統(tǒng)會遭受到外部與內部破壞或者濫用,同時避免與降低因為主機系統(tǒng)問題而造成的影響,主要針對的是業(yè)務系統(tǒng),另外還需要對訪問的控制與安全審計進行協(xié)助應用。其主要規(guī)劃內容包括對主機系統(tǒng)的安全管理進行完善,對賬戶系統(tǒng)的管理要嚴格化,對系統(tǒng)服務要實現(xiàn)有效控制,對系統(tǒng)安全配置進行優(yōu)化。
4 結束語
通過上述分析,我們可以看到現(xiàn)帶信息技術給人們生活帶便利的同時,也給基層銀行信息系統(tǒng)的安全設計規(guī)劃和實施帶來了挑戰(zhàn),本文提出了一些相應的舉措,但是還遠遠不夠,還需要在安全實踐中不斷摸索,不斷改進,不斷適應新的銀行信息風險,保障銀行信息系統(tǒng)的安全運行。
參考文獻:
[1]邱安生.商業(yè)銀行信息系統(tǒng)安全保障體系的設計和實現(xiàn)[D].電子科技大學,2011.
[2]傅志勇.國家開發(fā)銀行企業(yè)銀行信息系統(tǒng)安全解決方案設計與實現(xiàn)[D].山東大學,2008.
[3]趙立洋.商業(yè)銀行信息系統(tǒng)安全審計問題研究[D].天津財經(jīng)大學,2009.
[4]龍延軍.國家開發(fā)銀行信息系統(tǒng)安全總體方案設計[D].四川大學,2004.
[5]高朝勤.信息系統(tǒng)等級保護中的多級安全技術研究[D].北京工業(yè)大學,2012.
[6]劉嘉.基于綜合判定分析的信息系統(tǒng)安全檢驗技術研究[D].北京郵電大學,2011.
篇8
對于承包海外工程項目的企業(yè),工程所在國的業(yè)主對于安全管理特別嚴格,特別是鐵路工程項目,都是政府項目,中國企業(yè)在海外工程項目實施過程中一旦發(fā)生安全事故,不僅僅是人身傷害或者設備損壞,嚴重的將影響中國企業(yè)公司形象。筆者參與的印度鐵路項目為印度政府向世界銀行貸款投資建設,世界銀行全程監(jiān)控項目執(zhí)行過程,一旦發(fā)生惡性安全事故,企業(yè)被列入“黑名單”,恐怕企業(yè)在世界銀行投資的項目和印度將再無立足之地,特別嚴重的還可能造成惡劣的政治和外交影響。這就對海外工程項目的安全管理提出更加嚴峻的考驗。
3實施海外項目安全標準化管理的具體內容
項目部要成為安全生產(chǎn)的責任主體,必須形成“層層負責、事事負責、人人負責”的良好局面,實施安全生產(chǎn)標準化所遵循的原則是“管理制度標準化、人員配備標準化、現(xiàn)場管理標準化和過程控制標準化”,通過以上原則,安全責任有了牢固的基石,使安全標準化得到有力的保障。3.1管理制度標準化沒有規(guī)矩不成方圓。一個項目健全、適用、科學的安全管理制度,是全體項目成員必須遵守的行為準則,其宗旨是全體項目成員的生命安全和企業(yè)的財產(chǎn)安全。“規(guī)范作業(yè)人員的行為安全”一直是項目安全管理工作的重中之重。唯有如此,項目安全生產(chǎn)工作才從職工的行為上得到控制,這也是安全標準化的具體表現(xiàn)。項目部根據(jù)印度鐵路行業(yè)有關建設管理的法律法規(guī)文件和項目合同,結合項目實際情況,編制安全標準化管理制度。制度需明確安全管理目標,組織機構,危險源管理、安全方案、應急管理方案,明確工作要求,細化工作流程,落實人員責任,完善考核制度。編制制度至少包括:安全風險辨識、安全風險評估、重大危險源管理、應急預案和匯報制度等。3.2人員配備標準化。開展安全生產(chǎn)標準化工作涉及到項目全體成員、全過程和全方位,因此,只有項目主要領導高度重視,才能在人、財、物等方面給予支持和投入,以保證安全目標的實現(xiàn)。建立并落實全員安全生產(chǎn)責任制,實現(xiàn)對項目部和分包商的制約功能、監(jiān)督功能和檢查評價功能,落實“管生產(chǎn)必須管安全”的原則,明確各級管理人員、各部門、各個分包商、各個現(xiàn)場施工隊的管理職責。人員配備標準化要求根據(jù)項目工作崗位配備具有相應技能、能力、知識和溝通協(xié)調能力的人員,工作人員素質能力滿足崗位要求。確保項目現(xiàn)場成員接受過安全入場培訓,培訓內容至少包括:當?shù)匕踩煞ㄒ?guī)、項目的安全方針目標、現(xiàn)場工作環(huán)境介紹、安全防護用品的佩戴使用、工作期間可能遇到的危險源、應急計劃、現(xiàn)場福利設施等內容。項目部組織開展安全宣傳周,安全知識競賽,安全討論會,張貼安全海報等方式提高項目成員安全意識。3.3現(xiàn)場管理標準化。將安全管理制度發(fā)放給全體項目成員和全體分包商,使參與項目建設的人員熟悉制度,自覺執(zhí)行制度。同時加強對管理制度執(zhí)行情況的監(jiān)督,將制度執(zhí)行情況納入考核范圍,建立定人、定期、定崗、定責、定點的檢查制度,檢查方式應包括:常規(guī)檢查、專項檢查、突擊檢查等。對制度進行定期評估,使制度和實際情況緊密結合,避免“兩張皮”情況發(fā)生。3.4過程控制標準化。過程控制標準化將現(xiàn)場標準化管理貫穿整個項目過程,將標準化對項目實施全過程管理。為提高項目成員安全風險意識和應急能力,以預案、培訓、演練為主線。針對辦公場所、施工場所和料庫等開展防火安全隱患重點場所,組織消防應急演練和防汛應急演練;對施工現(xiàn)場防高空墜落應急演練;對宿舍區(qū)開展消防、食物中毒等進行專項應急演練。每月召開由業(yè)主、監(jiān)理公司、承包商、分包商和其他相關方參與的安全委員會會議,會議議題至少包括:上月現(xiàn)場安全總體情況、上月安全檢查情況、上月事故狀況、審核發(fā)現(xiàn)問題的關閉情況,下月安全工作計劃等內容。對分包商開展月度安全評級,由業(yè)主代表、監(jiān)理公司代表和承包商代表組織檢查組依據(jù)提前編制月度安全檢查方案對項目工程現(xiàn)場進行安全檢查,要求必須覆蓋全部分包商和高風險作業(yè),根據(jù)檢查情況,對分包商進行打分和評定等級,作為月度安委會的輸入資料,通過月度安全等級評分制度,可以幫助分包商提高遵守法律法規(guī)、合同中安全條款的程度。為控制醫(yī)療衛(wèi)生、職業(yè)環(huán)境、傳染病等職業(yè)健康風險,通過采取重點部位監(jiān)測,職業(yè)危害告知、個人勞動防護等措施,切實履行職業(yè)健康的防范工作,有效保護員工身心健康。開展如下工作:1)職業(yè)健康體檢:項目部應組織所有入職員工(需含外籍員工)進行入職體檢。2)與項目成員簽訂合同時,應將項目實施中可能產(chǎn)生的職業(yè)危害及其后果和防護措施如實告知項目成員,并在勞動合同中明確。3)對工程作業(yè)現(xiàn)場塵毒、噪聲、化學危害、高低溫傷害、輻射傷害等應有防護措施,設置標識,配備防護用品,并留存防護用品發(fā)放記錄。4)應配足、配好勞保規(guī)定的勞動防護用品。5)項目部應建立員工突出疾病或突發(fā)疫情時的應急處置機制;項目部應了解當?shù)爻R娂膊〖捌漕A防措施,密切關注所在國疫情發(fā)展,采取必要預防措施,按規(guī)定做好疫情的報告。6)施工現(xiàn)場設置工人休息帳篷和飲用水,監(jiān)控溫度指數(shù)情況并及時預警提示施工人員避免發(fā)生中暑、曬傷等情況。由于語言、文化和習俗等方面的差異,項目所在國籍勞務人員安全意識淡薄,風險意識缺乏、管理難度較大,需完善項目所在國籍勞務人員的招聘、培訓、考核和解聘等管理工作。聘用當?shù)厥┕す芾砣藛T和安全員,這樣可以提高溝通效率,及時化解矛盾,減小和規(guī)避潛在的工程安全風險。
篇9
一、活動時間
從20xx年1月開始,至20xx年春節(jié)前結束。
二、活動內容
1、深入宣傳中央和省委會議精神。省財貿(mào)系統(tǒng)各級工會在送溫暖活動中,要向廣大職工宣傳黨的十八屆五中全會和省委十三屆八次全會精神,以“十三五”規(guī)劃的遠大目標和美好愿景,激發(fā)廣大職工參與“四個全面”戰(zhàn)略布局和“兩美”浙江建設的工人階級主人翁精神;要向廣大職工群眾和基層工會干部宣傳中央和省委群團工作會議精神,堅定廣大職工群眾和工會干部跟黨走、聽黨話和支持工會改革發(fā)展自覺性;要向困難職工群眾宣傳中央和省委扶貧開發(fā)會議精神,增強他們在黨和政府的幫助下擺脫貧困的信心。
2、多途徑開展走訪慰問,切實做好困難職工的生活幫扶。省財貿(mào)系統(tǒng)各級工會要深入企業(yè)和困難職家庭,實地了解困難職工生活情況和困難企業(yè)的需求。要對因低收入、患重癥大病、子女上學、遭受自然災害或突發(fā)事件影響致困的職工家庭,采取多種措施幫助解決實際問題,普遍開展節(jié)日生活性幫扶,讓困難職工家庭過一個溫暖祥和的節(jié)日。省財貿(mào)工會將于20xx年1月下旬赴省財貿(mào)直屬單位的部分基層企業(yè)走訪慰問,慰問活動安排另行通知。
3、積極做好“兩節(jié)”期間農(nóng)民工維權工作。一是要開展農(nóng)民工工資清欠行動,加強與人社、公安、建設等部門的協(xié)調配合,著力治理企業(yè)拖欠工資和欠薪逃匿等問題,確保廣大農(nóng)民工返鄉(xiāng)前及時拿到工資。二是繼續(xù)開展“農(nóng)民工平安返鄉(xiāng)行動”,積極引導和鼓勵基層企業(yè)工會,通過組織包專車、專列、專機,辦理農(nóng)民工團體票等多種措施,幫助廣大農(nóng)民工解決購票難、乘車難等問題。三是大力開展農(nóng)民工人文關懷活動,對節(jié)日期間堅守工作崗位的職工特別是農(nóng)民工加強人文關懷,通過組織吃年夜飯、進基層送演出等形式豐富他們的節(jié)日生活。
4、開展企業(yè)生活后勤保障和安全生產(chǎn)活動。推動企業(yè)改善職工生產(chǎn)生活條件,落實安全生產(chǎn)責任制,加強“兩節(jié)”期間的安全檢查,消除安全隱患,保障職工身體健康和生命安全。
三、幾點要求
1、加強組織領導。要把“兩節(jié)”送溫暖活動作為工會服務職工的一項民心、民生工程做好做實,切實加強組織領導,精心安排活動內容,積極爭取和運用好黨政賦予的資源手段,廣泛動員社會各界參與到送溫暖活動中來,形成各方通力合作的幫扶工作格局。
2、落實節(jié)儉要求。在送溫暖活動中,省財貿(mào)系統(tǒng)各級工會干部要帶頭落實中央和省委有關清廉節(jié)儉的紀律。既要深入一線,了解困難企業(yè)和困難職工的實際情況,又要帶頭執(zhí)行各項紀律要求,做到輕車簡從、務實清廉。要加大宣傳力度,注意及時發(fā)現(xiàn)、總結送溫暖活動中的典型經(jīng)驗和先進事跡,通過輿論宣傳和引導,動員社會各方面力量廣泛參與,營造全社會共同關心、幫扶困難群眾的良好氛圍。
3、健全困難職工檔案。省財貿(mào)直屬各單位工會要盡快做好本單位困難職工摸底工作,掌握最新的困難職工情況,登錄工會幫扶工作管理系統(tǒng)“”,完成困難職工電子檔案的錄入和上報工作。省財貿(mào)直屬各金融單位工會的困難職工建檔統(tǒng)計到在杭直屬機構。同時報送新增困難職工紙質文檔,以備核對。我會將以工會幫扶工作管理系統(tǒng)中的困難職工檔案為依據(jù),開展好送溫暖活動和幫扶救助。
4、請各市財貿(mào)工會、省財貿(mào)各直屬工會于2016年1月31日前,及時上報《20xx年工會送溫暖活動統(tǒng)計表》(見附件),紙質報表加蓋公章后寄送至省財貿(mào)工會,省財貿(mào)直屬單位工會統(tǒng)計表同時通過工會幫扶工作管理系統(tǒng)填寫報送。
2017年工會春節(jié)送溫暖活動方案【2】
按照市委、市政府和省總工會的工作要求,市總工會決定在20xx年元旦、春節(jié)期間繼續(xù)開展以“心系職工情,溫暖進萬家”為主題的送溫暖活動。現(xiàn)就有關事項通知如下:
一、送溫暖活動的主要內容
(一)切實做好困難職工的調查摸底工作。為落實“先建檔、后幫扶、實名制”的要求,避免重復救助,各級工會要在2015年度幫扶救助的基礎上,對本地本單位的困難職工情況進行全面調查摸底。要認真對照幫扶對象的條件,集中時間,深入困難企業(yè)和困難職工家中,深入進行調查摸底工作,不斷充實完善、認真填寫困難職工檔案調查表;各區(qū)縣總工會要將調查后新增的困難職工信息及時準確詳細地錄入工會幫扶工作軟件系統(tǒng),為實施幫扶救助奠定基礎。
(二)統(tǒng)籌工會和社會力量,積極開展內容豐富的送溫暖活動。要積極爭取黨政的重視和支持,多方籌集資金,切實做好幫扶工作。要加大工會就業(yè)服務力度,為失業(yè)人員提供有針對性的職業(yè)介紹、技能培訓和創(chuàng)業(yè)指導服務,為有創(chuàng)業(yè)愿望、有創(chuàng)業(yè)能力的下崗失業(yè)困難職工提供創(chuàng)業(yè)指導和小額貸款。要積極做好農(nóng)民工平安返鄉(xiāng)工作和兩節(jié)期間維權幫扶工作,努力幫助農(nóng)民工解決購票難、乘車難、返鄉(xiāng)難等問題;要積極配合有關部門加大對農(nóng)民工工資權益的維護力度,幫助農(nóng)民工足額按時拿到工資。元旦春節(jié)期間,各級工會值班人員要堅守崗位,熱情接待職工群眾的來信來電來訪,為困難職工提供直接、快捷、方便的幫助和服務,并準備必要的資金和生活物品,努力確保隨時提供應急救助。要積極開展人文關懷和精神幫扶工作。
(三)大力推動保障民生政策的落實。各級工會要在走訪過程中,積極宣傳黨委政府在就業(yè)、工資收入、醫(yī)療、社保、教育、住房等方面出臺的各項保障和改善民生的政策措施,調查了解政策的落實情況;對于在走訪中發(fā)現(xiàn)的應該落實而沒有落實的政策問題,要積極主動向政府有關部門反映,推動政策的盡快落實,做到應享盡享。
二、準確把握送溫暖活動的幫扶對象和原則
(一)困難職工的認定標準。困難職工是指城鎮(zhèn)低保家庭或家庭人均月收入略高于本市城鎮(zhèn)居民最低生活保障標準,但由于疾病、子女教育或意外災害等原因,不能維持基本生活的職工(包括困難農(nóng)民工)。具備下列條件之一的職工家庭,可以列入幫扶救助范圍,并納入困難職工檔案管理范圍:
1.低保邊緣戶職工家庭(低保邊緣戶職工家庭指人均月收入高于當?shù)刈畹蜕畋U暇€50%以內的職工家庭)成員中存在患大病、殘疾等特殊困難的職工;
2.低保職工家庭中經(jīng)過政府救助后生活仍然困難的職工;
3.家庭人均月收入高于當?shù)刈畹蜕畋U暇€50%以上,職工本人或家庭主要成員患大病、重病、慢性病(具體病種按國家基本醫(yī)療保險政策及省市相關的配套辦法、規(guī)定執(zhí)行),年自負醫(yī)藥費超過家庭年總收入60%以上的職工;
4.因意外災害、自然災害等原因造成家庭困難的職工;
5.生活特別困難的農(nóng)民工。
(二)申報困難職工的原則。困難職工的幫扶救助實行屬地管理,分級負責,各級地方工會主要救助困難行業(yè)和生產(chǎn)經(jīng)營困難企業(yè)的困難職工;對有困難職工的機關事業(yè)單位和生產(chǎn)經(jīng)營較好的企業(yè)提倡自行救助。
三、嚴格困難職工申報程序
為確保困難職工幫扶救助工作公開、公平、公正,對困難職工實施幫扶救助,困難職工必須按照程序,逐級核實申報。區(qū)縣的困難職工申報程序由各區(qū)縣總工會按照市總工會要求制定。市直的困難職工申報按照以下程序進行:
1.困難職工本人提出申請,并提交有關證明材料(含身份證復印件,屬低保戶的同時提供低保證明復印件);
2.困難職工所在基層工會要逐一入戶調查核實,并統(tǒng)一填寫各類表格;
3.基層工會集體研究;
4.在困難職工所在基層單位公開欄公示5天;
5.報主管部門(委局)工會進行初審、匯總,上報市職工服務中心;
6.市職工服務中心審查;
7.市總工會組織人員分組入戶進行抽查;
8.市困難職工審查委員會集體會審;
9.在日照市總工會網(wǎng)站集中公示7天;
10.批復。
四、切實做好宣傳報道和信息傳報工作
各級工會要高度重視,加強領導,抓緊研究制訂方案,提出切實可行的工作措施,盡快部署,精心組織實施,落實責任,確保各項工作落到實處。要做好開展送溫暖活動的信息、傳報工作,充分利用各種新聞媒體,廣泛宣傳各級黨政對職工群眾的關心愛護,宣傳社會各界對困難職工的支持幫助,宣傳工會開展送溫暖活動的經(jīng)驗、做法,宣傳廣大職工團結友愛、互助互濟的優(yōu)良品德,營造全社會關心支持困難職工群體的良好氛圍。
五、幾點要求
1.各級工會要高度重視,認真落實責任,確保調查摸底的各項內容全面、準確、真實。各基層工會要認真對照填表說明,逐條逐項地認真填寫困難職工檔案表的各項內容,特別是要如實填寫職工的困難狀況,嚴禁弄虛作假;市直各委局(產(chǎn)業(yè))工會要對本系統(tǒng)的困難職工情況進行認真審查、把關,夫妻雙方在區(qū)縣和市直重復申請救助的以男方為主;對弄虛作假、把關不嚴者,要嚴肅批評,并不予救助;對調查表填寫不認真,填寫內容信息不全面、不符合要求的,要退回重報。市職工服務中心、各區(qū)縣總工會要將困難職工信息及時準確詳細地錄入工會幫扶工作軟件系統(tǒng),為實施幫扶救助奠定基礎。
篇10
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網(wǎng)絡仿冒事件和網(wǎng)頁惡意代碼事件,已分別超出去年全年總數(shù)的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網(wǎng)站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現(xiàn)明顯。對政府類和安全管理相關類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業(yè),尤其是以網(wǎng)絡為核心業(yè)務的企業(yè),采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業(yè)正常業(yè)務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產(chǎn)。
2用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網(wǎng)頁設計技術,被廣泛應用在網(wǎng)上銀行、電子商務、網(wǎng)上調查、網(wǎng)上查詢、BBS、搜索引擎等各種互聯(lián)網(wǎng)應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創(chuàng)建或者修改一個ASP文件時,編輯器自動創(chuàng)建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結構的細節(jié),并以此揭示完整的源代碼。
防范技巧:程序員應該在網(wǎng)頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網(wǎng)上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統(tǒng)上頻繁注冊,頻繁發(fā)送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經(jīng)過驗證,從而可以解決這個問題。
登陸驗證。對于很多網(wǎng)頁,特別是網(wǎng)站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發(fā)覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數(shù)。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網(wǎng)頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統(tǒng)就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數(shù)傳遞:假設我們有個網(wǎng)頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進行屏蔽處理的話,黑客就獲得了數(shù)據(jù)庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發(fā)現(xiàn)非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進行檢查,一旦發(fā)現(xiàn)可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數(shù)據(jù)表中以備核查。
第四:對于參數(shù)的情況,頁面利用QueryString或者Quest取得參數(shù)后,要對每個參數(shù)進行判斷處理,發(fā)現(xiàn)異常字符,要利用replace函數(shù)將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網(wǎng)站設置好執(zhí)行權限。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執(zhí)行權限設為“無”好了。
第七:數(shù)據(jù)庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能,但在網(wǎng)頁設計時如果缺少對用戶提交參數(shù)的過濾,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件,導致攻擊事件的發(fā)生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數(shù)據(jù)庫的地址,并將數(shù)據(jù)非法下載到本地。
數(shù)據(jù)庫可能被下載。在IIS+ASP網(wǎng)站中,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名,則該數(shù)據(jù)庫就可以被下載到本地。
數(shù)據(jù)庫可能被解密
由于Access數(shù)據(jù)庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數(shù)據(jù)庫被下載,其信息就沒有任何安全性可言了。
防止數(shù)據(jù)庫被下載。由于Access數(shù)據(jù)庫加密機制過于簡單,有效地防止數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規(guī)命名法。為Access數(shù)據(jù)庫文件起一個復雜的非常規(guī)名字,并把它放在幾個目錄下。
使用ODBC數(shù)據(jù)源。在ASP程序設計中,如果有條件,應盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名寫在程序中,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經(jīng)過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數(shù)據(jù)備份。當網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù),可以將備份的數(shù)據(jù)恢復到原始的數(shù)據(jù),保證了網(wǎng)站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,F(xiàn)lashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發(fā)現(xiàn)是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發(fā)語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網(wǎng)頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規(guī)網(wǎng)站下載asp程序,下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改,數(shù)據(jù)庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數(shù)據(jù)庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發(fā)現(xiàn)被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網(wǎng)站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰(zhàn)爭!網(wǎng)站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網(wǎng)絡系統(tǒng),我們只有通過不斷的改進程序,將各種可能出現(xiàn)的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
篇11
在通信領域,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯(lián)系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現(xiàn)實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網(wǎng)絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網(wǎng)絡被毀、指揮系統(tǒng)癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。一旦信息安全出現(xiàn)問題,可能導致整個國家的經(jīng)濟癱瘓,戰(zhàn)爭和軍事領域是這樣,政治、經(jīng)濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告,稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經(jīng)濟,5天就能波及全美經(jīng)濟,7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調:執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發(fā)展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時也涉及到政治、經(jīng)濟、文化等各方面。當今社會,由于國家活動對信息和信息網(wǎng)絡的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導致整個國家能源供應的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設防’,的狀態(tài)下,國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應用系統(tǒng)處在不設防狀態(tài),具有極大的風險性和危險性。其次,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產(chǎn)率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網(wǎng)絡泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協(xié)調不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關法規(guī)的貫徹執(zhí)行。
二、通信中存在的信息安全問題
2.1信息網(wǎng)絡安全意識有待加強
我國的信息在傳輸?shù)倪^程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網(wǎng)絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網(wǎng)絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網(wǎng)絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產(chǎn)權產(chǎn)品少采用的基礎硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網(wǎng)絡安全關鍵技術的研發(fā),避免出現(xiàn)信息泄露的“后門”。
2.3信息網(wǎng)絡安全防護體系不完善
防護體系是系統(tǒng)頂層設計的一個重要組成部分,是保證各系統(tǒng)之間可集成、可互操作的關鍵。以前信息網(wǎng)絡安全防護主要是進行一對一的攻防,技術單一。現(xiàn)代化的信息網(wǎng)絡安全防護體系已經(jīng)成為一個規(guī)模龐大、技術復雜、獨具特色的重要信息子系統(tǒng),并擔負著網(wǎng)絡攻防對抗的重任。因此,現(xiàn)代化信息網(wǎng)絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網(wǎng)絡安全管理人才缺乏
高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網(wǎng)絡安全防護的因素之一。信息網(wǎng)絡安全管理人才不僅要精通計算機網(wǎng)絡技術,還要熟悉安全技術。既要具有豐富的網(wǎng)絡工程建設經(jīng)驗,又要具備管理知識。顯然,加大信息安全人才的培養(yǎng)任重而道遠。
三、通信組織運用中的網(wǎng)絡安全防護
網(wǎng)絡安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡安全。網(wǎng)絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率。
3.1數(shù)據(jù)備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時,另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡通信加密,以防止網(wǎng)絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發(fā)現(xiàn)正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網(wǎng)絡和信息系統(tǒng)安全的基本保障,機房的安全尤為重要,要嚴格監(jiān)管機房人員的出入,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統(tǒng)的安全運行,可以及時關注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明,根據(jù)其附有的解決方法,及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術人員設置的,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規(guī)為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區(qū)和部門內的信息安全實行統(tǒng)一管理。
4.4要加強信息安全技術開發(fā),提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發(fā)和運用。大力發(fā)展防火墻技術,開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡化的國產(chǎn)自主知識產(chǎn)權的防火墻。積極發(fā)展計算機網(wǎng)絡病毒防治技術,加強計算機網(wǎng)絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統(tǒng)網(wǎng)絡風險的防范加強網(wǎng)絡安全防范是風險防范的重要環(huán)節(jié)
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網(wǎng)絡安全教育的投入。其次,重要數(shù)據(jù)和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數(shù)字、字母和其他字符。加密處理可以防止內部信息在網(wǎng)絡上被非授權用戶攔截。第六,嚴格執(zhí)行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統(tǒng)風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發(fā)展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發(fā)達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執(zhí)行。
篇12
計算機和互聯(lián)網(wǎng)的出現(xiàn)給我們的生活和工作帶來了革命性的變革,從政治、軍事、宗教、商業(yè)、金融到個人生活都與其有著緊密的聯(lián)系。它以其高速、共享、開放以及互聯(lián)等種種特性,給我們提供了快速、便捷的信息交流平臺、生產(chǎn)控制平臺和海量的資源共享平臺。總之,它給我們生活和工作帶來的便捷前所未有。但是,無論什么事物的存在總會具有兩面性,計算機與互聯(lián)網(wǎng)在帶給我們了無比巨大便利的同時,也帶來了許多信息安全方面的隱患。
雖然計算機互聯(lián)網(wǎng)具有互連、開放等特性,給我們帶來了很大的便利,但由于其安全機制尚不健全、人們的網(wǎng)絡安全意識不強,也使得這些優(yōu)點成為了我們信息網(wǎng)絡安全的巨大隱患。惡意軟件、系統(tǒng)漏洞尤其是黑客攻擊都使我們信息網(wǎng)絡安全面臨著巨大的威脅。所以,必須要有足夠安全的防范措施,才能讓計算機與互聯(lián)網(wǎng)可以被我們完全掌控、運用,否則它會帶給我們更為嚴重的利益損害,從個人的基本數(shù)據(jù)信息、企業(yè)的財務資金信息到國家的國防安全信息都可能會被篡改、盜用、破壞,而且目前互聯(lián)網(wǎng)攻擊方式越來越多、越來越復雜,這意味著我們的信息網(wǎng)絡安全將面臨著更大的威脅。
2 信息網(wǎng)絡安全的定義
狹義上來說,信息網(wǎng)絡安全主要是在網(wǎng)絡中,信息的應用和傳輸必須要保證完整性與私密性。后來許多專業(yè)人士與學者依據(jù)信息安全的發(fā)展和運用狀態(tài),將信息安全總結為四個技術要點。1)機密性:所謂的機密性就是指的信息在傳輸和使用的過程當中,不被沒有經(jīng)過合法授權的人瀏覽與使用。2)真實性:真實性指的是信息與信息系統(tǒng)自身不被惡意、不合法的偽造與篡改。3)可用性:可用性是指信息的存在具有實際的使用價值,且能夠被合法的授權者所瀏覽、使用。4)可控性:可控性說的是信息與信息系統(tǒng)自身能夠被使用者操作、監(jiān)控,不出現(xiàn)任何異常拒絕指令的現(xiàn)象。
如今,由于社會發(fā)展與個人的需要,互聯(lián)網(wǎng)的覆蓋范圍仍在繼續(xù)、并將持續(xù)擴大,如果不對信息網(wǎng)絡安全問題加大重視,一旦有較大的問題出現(xiàn),小則會引起個人利益受損,大則會導致社會次序混亂,相信這種結果是誰都不希望發(fā)生的。
3 當前信息網(wǎng)絡安全所面臨的主要威脅
3.1 黑客的惡意攻擊
如今,計算機和互聯(lián)網(wǎng)已經(jīng)被大范圍地投入到了我們的生活當中,社會當中的部分人也擁有了較強的計算機網(wǎng)絡操作、控制能力。他們有的出于興趣愛好、有的出于金錢指使,對其他網(wǎng)絡系統(tǒng)發(fā)起惡意的攻擊、破壞,以滿足自身的各種“成就感”。在這些攻擊行為當中,一部分是主動的進行系統(tǒng)破壞或是更改、刪除重要的信息,另一部分是被動的進行監(jiān)聽,竊取他人網(wǎng)絡交流信息,導致信息外泄。
3.2 各種病毒、木馬
如今,各種病毒、木馬在互聯(lián)網(wǎng)上泛濫,同時一些間諜軟件、流氓軟件也入侵到許多企業(yè)或個人計算機內。這些信息網(wǎng)絡安全威脅的存在,主要是由于操作人員對計算機和互聯(lián)網(wǎng)的不良操作,比如未安裝殺毒軟件、沒有及時更新病毒庫和系統(tǒng)補丁,還有就是接入一些安全狀況不明的的網(wǎng)站,下載、安裝一些有“后門”的不良應用軟件等。通常這些問題會降低計算機和網(wǎng)絡的運行速度,造成計算機及網(wǎng)絡的癱瘓。
3.3 系統(tǒng)漏洞
我國絕大多數(shù)個人或企業(yè),使用的都是微軟所開發(fā)的Windows操作系統(tǒng)。由于一個計算機操作系統(tǒng)過于龐大、復雜,所以它不可能一次性地發(fā)現(xiàn)并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷被完善。但是,據(jù)一些消息稱,微軟公司對于漏洞信息披露的反應時間為1~2周。但是在這段時間內,這些長久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用,造成對計算機信息網(wǎng)絡安全的威脅。另外,對于開源的Linux系統(tǒng)而言,由于其自身的種種特性使得它具有高于一般系統(tǒng)的安全性,但它的漏洞修補也更加困難。
3.4 網(wǎng)絡硬件系統(tǒng)不牢固
當然,網(wǎng)絡硬件系統(tǒng)不牢固是一個普遍性的問題。當日本被投下原子彈之后,全世界都見證了其殺傷力,美國政府本著建立一種能夠抵御核彈攻擊的信息交流系統(tǒng)而開發(fā)了如今我們所使用的互聯(lián)網(wǎng)。雖然較之前的信息交流系統(tǒng)相比,互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)具有了較高的穩(wěn)定性和安全性。但其仍然存在的脆弱性也不可忽視,比如雷電所引發(fā)的硬件故障,各種傳輸過程當中受其他因素影響所出現(xiàn)的信息失真等。
4 信息網(wǎng)絡安全防范對策
4.1 防火墻技術
“防火墻”非常形象地說明了其在網(wǎng)絡安全方面的應用。它能在互聯(lián)網(wǎng)和內部網(wǎng)之間建立安全網(wǎng)關,以此來達到屏蔽非法用戶侵入的目的。它的具體作用是對網(wǎng)絡間的數(shù)據(jù)信息傳輸實施控制與監(jiān)管,并將通信量、數(shù)據(jù)來源等所有相關信息進行記錄,從而保證信息網(wǎng)絡安全。目前,防火墻可以分為三類。
第一,硬件防火墻。目前市面上大多數(shù)的硬件防火墻都是基于專用的硬件平臺,說得直白一點,它們的組成基本上都基于普通計算機構架,與我們平常所見到的計算機沒有多少差異。但與普通計算機不同的是,它運行的都是一些經(jīng)過簡化或裁減處理的常用舊版操作系統(tǒng),比如FreeBSD與inuxUnix等,所以它自身也還存在著來自操作系統(tǒng)的一些不可避免的安全影響。
第二,軟件防火墻。軟件防火墻的本質其實就是普通的軟件產(chǎn)品,與我們平常所使用到的軟件并無二異,需要經(jīng)過在操作系統(tǒng)中安裝完成過后才能起到作用,也就是說它必須獲得計算機操作系統(tǒng)的支持。它的作用與硬件防火墻相同,都是為了保證信息網(wǎng)絡安全,但前者一般運用于不同的網(wǎng)絡之間,后者運用于單獨的計算機系統(tǒng)。
第三,芯片級防火墻。ASIC(Application Specific IntegratedCircuit)芯片是一種可以為專門目的設計而成的集成電路,它具有體積小、性能高、保密性強等特點。也就是說,基于ASIC的芯片級防火墻不僅具有較高的運作能力,其自身的安全漏洞也相對較少。
4.2 數(shù)據(jù)加密技術
這種技術是通過密匙和加密算法,將原本可讀的重要敏感信息轉換成并無實際意義的密文,而這種密文只有被指定的合法信息使用者才可以恢復原先的真實數(shù)據(jù)信息。常用的加密方式有線路加密和端對端加密兩種。有線路加密的重心作用發(fā)揮在線路上,而對于信源與信宿不考慮。端對端加密是指從發(fā)送者端發(fā)出的信息通過專業(yè)加密軟件,把明文(原文)加密成密文,隨后,進入TCP/IP數(shù)據(jù)包封裝透過互聯(lián)網(wǎng)。當這些經(jīng)過加密的信息到達目的終端,由合法收件人使用對應的密匙進行解密,把密文恢復成可讀的語言信息。
4.3 網(wǎng)絡入侵檢測技術
這種信息網(wǎng)絡安全防范技術可以通過硬件或是軟件對互聯(lián)網(wǎng)中的數(shù)據(jù)、信息進行分析,
再與已知的網(wǎng)絡入侵特征進行對比,要是發(fā)現(xiàn)有疑似違反安全策略的行為或者是有被攻擊的跡象,就會瞬間切斷網(wǎng)絡連接或者是通知防火墻系統(tǒng)調整訪問控制策略。它的主要功能包括幾方面:第一,識別網(wǎng)絡黑客常用的入侵和攻擊手段;第二,時時監(jiān)測網(wǎng)絡中存在的異常通信;第三,監(jiān)察系統(tǒng)中存在的漏洞和后門;第四,完善和提高網(wǎng)絡的安全管理質量。
可以看出,入侵檢測系統(tǒng)就是防火墻、IDS系統(tǒng)、防病毒和漏洞掃描系統(tǒng)等技術的綜合體,它涵蓋了所有的優(yōu)點和阻止功能,并能在計算機網(wǎng)絡系統(tǒng)中實現(xiàn)對安全事件的深度檢測和共同防御,也能在完全不影響網(wǎng)絡性能的前提下對網(wǎng)絡進行監(jiān)控和檢測,從而最大化地提高信息網(wǎng)絡的安全性。
5 結束語
除了上述幾種信息網(wǎng)絡安全防范對策之外,目前還有網(wǎng)絡安全掃描、訪問認證控制技術等,可以幫助我們做好信息網(wǎng)絡安全保障工作。另外一方面,操作者自身也還需要提高信息網(wǎng)絡安全防范意識與自身的計算機能力水平,這樣才能有效防止信息網(wǎng)絡安全受到威脅與損害。
參考文獻
[1] 王軼軍.淺談計算機信息網(wǎng)絡安全問題的分析與對策[J].黑龍江科技信息,2011,(6):77-78.
[2] 馬學強.計算機信息網(wǎng)絡安全[J].計算機光盤軟件與應用,2012,(5):33-34.
篇13
一、我國鐵路交通運輸行業(yè)現(xiàn)狀
中國鐵路運輸行業(yè)已有127年的歷史。與計算機、通訊、生物等高新技術行業(yè)相比,它是個傳統(tǒng)行業(yè)。進入21世紀,世界鐵路交通運輸行業(yè)正由傳統(tǒng)行業(yè)向現(xiàn)代行業(yè)轉變。世界發(fā)達國家鐵路在較高的起點上,以全新的方式,用較短的時間,完成了由傳統(tǒng)行業(yè)向現(xiàn)代行業(yè)的升級,使鐵路這個傳統(tǒng)行業(yè)展現(xiàn)出了全新的面貌。而中國鐵路交通運輸行業(yè)建設起步并不晚,但與世界發(fā)達國家相比,差距很大,還存在很多問題。
改革開放以前,國家鐵路實行“政企合一”的計劃管理體制。這種管理體制,與國家宏觀計劃經(jīng)濟的整體基礎相適應,也與鐵路當時自身經(jīng)營的環(huán)境與條件相適應。當時我國經(jīng)濟技術落后,資金資源嚴重短缺,不可能優(yōu)先發(fā)展資金和技術密集度要求較高的航空和公路運輸,適合中國國情、運價低廉的鐵路運輸因而長期處于壟斷優(yōu)勢地位,沒有面臨生存競爭方面的任何挑戰(zhàn)。
進入新時期之后,國家經(jīng)濟運行體制由計劃經(jīng)濟向市場經(jīng)濟轉變,鐵路運輸行業(yè)隨之出現(xiàn)了許多問題,這些問題集中表現(xiàn)在運能短缺上。運能短缺一方面是鐵路物質基礎相當薄弱的基本情況的客觀存在,另一方面是不斷擴大的對客貨運輸?shù)木薮笮枨蟆T诙叩墓餐饔孟拢F路運能短缺的問題不可避免。
進入上世紀90年代,全社會爆發(fā)出來的巨大貨運需求壓向鐵路,國民經(jīng)濟發(fā)展急需的石油、棉花、糧食、煤炭、磷礦石等重要原材料運輸嚴重受阻,影響東部地區(qū)電力供應缺口加大,迫使不少工廠半停產(chǎn)運行。因鐵路發(fā)展不足致使國家損失巨大。同時,對局部區(qū)域鐵路客運列車而言,一方面有些落后地區(qū)根本就沒有開通鐵路交通運輸;另一方面普遍超員嚴重,特別是在重大節(jié)假日。客運全面緊張已成為嚴重的社會問題。
二、鐵路交通運輸行業(yè)存在的問題
首先,我國鐵路總體規(guī)模發(fā)展不足且各地區(qū)間發(fā)展不平衡。建國六十多年來,我國鐵路運輸業(yè)雖然有了較快的發(fā)展,但近些年,隨著市場經(jīng)濟改革的進一步縱深和國民經(jīng)濟發(fā)展增速,鐵路運輸行業(yè)隨之出現(xiàn)了許多問題,這些問題集中表現(xiàn)在鐵路總體規(guī)模發(fā)展不足致使運能短缺。目前,隨著我國國民經(jīng)濟的快速發(fā)展,全社會爆發(fā)出來的巨大客貨運需求一起壓向鐵路,致使鐵路運能與運量的矛盾突出,因鐵路運輸能力不足造成的后果更加一覽無余。同時,我國鐵路現(xiàn)狀各地區(qū)間發(fā)展且不平衡。東部地區(qū)鐵路較發(fā)達,而中西部地區(qū)特別是西部地區(qū)鐵路比較落后,甚至一些落后地區(qū)根本就沒有開通鐵路交通運輸。這種現(xiàn)實狀況將不利于各地區(qū)間的協(xié)調發(fā)展,也對國民經(jīng)濟的健康發(fā)展產(chǎn)生了不利的影響。
其次,鐵路運輸業(yè)的屬性未明,阻礙了鐵路運輸業(yè)的健康發(fā)展。在我國目前鐵路政企不分的經(jīng)營管理體制下,鐵路運輸業(yè)在市場經(jīng)濟體制中,究竟是純粹公益性行業(yè)還是市場主體是不明確的,其屬性處于模糊狀態(tài)。這種屬性未明直接結果是人們不把鐵路運輸業(yè)當成企業(yè)看,認為鐵路運輸業(yè)要承擔的是更多的社會責任,鐵路運輸業(yè)即使經(jīng)營入不敷出,政府也是應該財政補貼的。正是這種長期的屬性未明,造成鐵路運輸業(yè)缺乏市場競爭的能力和失去降低成本、創(chuàng)造利潤的激情和動力。目前,盡管隨著不斷的國企改革,鐵道部給鐵路運輸企業(yè)下放了許多經(jīng)營權和其他相關權利,但這只是名義上的下放。鐵路運輸企業(yè)還遠未成為市場主體。
再次,高壟斷致使鐵路系統(tǒng)內部缺乏競爭機制和服務質量不高。雖然我國鐵路運輸業(yè)進行了現(xiàn)代企業(yè)制度的改制,但由于改革缺乏正確的引導,在重復中耗費了巨大的改革成本后而收效甚微。企業(yè)國有資本的獨占性未從根本上改變,相對獨立經(jīng)營的體系也尚未建立,仍屬于壟斷式國有企業(yè)。壟斷致使鐵路系統(tǒng)內部缺乏競爭機制,扼殺了其競爭活力,使其在日趨激烈的市場競爭面前視而不見、反應遲鈍,是造成鐵路運輸業(yè)效能下降的主要原因之一。
最后,鐵路沿線小站安全管理上存在著管理滯后、缺乏持續(xù)性等弊端。鐵路沿線小站的安全在鐵路運輸安全中占據(jù)著非常重要的地位,不僅影響著鐵路運輸業(yè)本身的生產(chǎn)效率和經(jīng)濟效益,也對社會政治和經(jīng)濟有著重大影響。目前基層站段對沿線小站的安全管理,存在著管理被動和“以罰代管”等現(xiàn)象。站段安全專職人員一般在事故發(fā)生后,在進行安全總結分析后,對有關人員進行處罰,而未進行各種安全業(yè)務指導和教育。這種單獨“以罰代管”形式的效果,只能是暫時緩解沿線小站面臨的嚴峻鐵路運輸安全,帶來的后果卻是鐵路員工心理上產(chǎn)生的反抗情緒。這種滯后的安全管理模式是缺乏穩(wěn)定性和持續(xù)性,將會大大削弱了鐵路運輸安全的基礎。
三、鐵路交通運輸行業(yè)發(fā)展的戰(zhàn)略步驟
首先是實現(xiàn)鐵路交通運輸主業(yè)和輔業(yè)的分離。根據(jù)2005年底鐵道部的統(tǒng)計數(shù)據(jù),中國鐵路現(xiàn)在職工人數(shù)228.41萬,其中運輸主業(yè)職工152.68萬人,可見非運輸主業(yè)職工隊伍較龐大,這是世界上其他國家的鐵路行業(yè)所沒有的現(xiàn)象,勢必會嚴重制約著鐵路運輸主業(yè)的發(fā)展。鐵路系統(tǒng)中的社會公共部門,如公檢法、醫(yī)院和學校等社會性、事業(yè)性單位應剝離出鐵路系統(tǒng),這些單位可以說都與鐵路運輸沒有直接關系,長期“捆綁”在一起將導致運輸主業(yè)專業(yè)優(yōu)勢不突出,競爭能力低下。另外,還應剝離鐵路系統(tǒng)中的輔助產(chǎn)業(yè),即工業(yè)、建筑、工程、通信和物資五大公司和若干勘測設計院,還與國家郵電網(wǎng)并存的鐵路通信網(wǎng)等也應被剔除出去。這些部門雖與鐵路運輸相關,但由于沒有實行分賬獨立核算,產(chǎn)業(yè)屬性不同,容易導致職責不清。
其次是對鐵路運輸行業(yè)進行規(guī)范股份制改造。股份制是一百多年來被實踐證明為行之有效的資產(chǎn)組織形式,既可以迅速聚集社會資本,又可以完善公司法人治理結構。鐵路行業(yè)在完成主輔業(yè)分離的前提下,選擇業(yè)內的優(yōu)質資產(chǎn),即盈利能力強、管理效率高的資產(chǎn),結合主干線、客運專線和城際客運鐵路等項目建設,尋求境內外投資者,進行股份制改造,可實現(xiàn)企業(yè)持續(xù)快速發(fā)展。
最后是推動股份制改造成功的企業(yè)上市融資。實行股份制改造的目的是拓寬融資渠道,解決鐵路建設資金主要依賴于鐵路建設基金的收取與國家開發(fā)銀行的長期借貸而成的長期性的極度短缺問題。其它渠道資金的進入為鐵路加快建設速度和更大程度擴展規(guī)模注入了強勁的動力,更重要的是有助于幫助鐵路部門引進新的經(jīng)營管理理念、建立新機制。而其他渠道資金的籌集主要是通過公司上市來解決的。相比客運而言,貨運業(yè)務彼此獨立性較強,更容易把市場前景較好的優(yōu)良資產(chǎn)單獨剝離出去進行公司化改制;而且,貨運的國際市場開放程度高,可以更好地吸收地方政府、社會和國際投資。因此,應按照先貨運后客運的次序推動股份制改造成功的企業(yè)上市融資。
四、鐵路交通運輸行業(yè)發(fā)展的戰(zhàn)略措施
首先,積極通過多種方式籌集建設基金。在我國,制約鐵路交通運輸發(fā)展的關鍵性問題是資金問題。美國鐵路建設之所以能在1887年一年中鋪軌2萬多公里,一個重要的原因就是擁有發(fā)達完善的資本市場,可以迅速吸收國內外的投資資金。我國的資本市場雖不發(fā)達,但卻具備了許多吸收投資的有利條件。在籌集資金的過程中,除了在國內外金融市場上進行股本融資這一方式外,可以選擇的方式還有直接債務融資、利用國際貸款以及融資租賃等。
其次,明確政府的角色定位,積極轉變政府職能,推進現(xiàn)代企業(yè)規(guī)范制改革。在“政企分開”的基礎上,還需要對鐵路運輸行業(yè)進行規(guī)范的公司制改造,建立有效激勵、嚴格約束、責權利相統(tǒng)一的法人治理機構。積極落實鐵路運輸企業(yè)的市場主體地位,完善資產(chǎn)經(jīng)營責任制;實現(xiàn)政企分開、社企分開、事企分開和減員增效,組建客運公司及專業(yè)貨運公司,為實現(xiàn)運輸專業(yè)化打下良好基礎。
