你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 个人信息安全应急演练

个人信息安全应急演练范文

发布时间:2023-10-09 17:42:23

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇个人信息安全应急演练范例,将为您的写作提供有力的支持和灵感!

个人信息安全应急演练

篇1

随着计算机和网络通信技术的快速发展,信息技术越来越多地被应用于银行各项业务,银行可以为客户提供“3A”(Anytime,Anywhere,Anyway)服务,信息技术在给业务办理带来巨大方便、高效的同时,也带来了极大的信息安全隐患。从一般概念上来讲,网络信息安全主要指网络信息的完整性、保密性、可用性、真实性和不可抵赖性。但是银行作为一个特殊的机构关乎国家经济命脉和人民生活,银行信息安全自然非常重要,它是指银行信息系统的软硬件资源及其数据受到严格保护,不受恶意的或偶然的原因而遭到更改、破坏、泄露,系统可持续稳定可靠地运行,信息服务不间断。银行信息安全是银行业务开展的基础,是银行经营稳健运行的保障。

2 我国银行信息安全的现状

自1998年3月6日,中国银行业务系统第一次成功办理电子商务交易,从此开始了中国内地网上银行业务发展的序幕。近年来,我国银行业的信息系统经历了地震、泥石流等各种各样的考验,充分说明了我国大陆银行业信息系统建设取得了一定成绩,同时监管层也颁布了《金融机构计算机信息系统安全保护工作暂行规定》、《关于进一步加强银行业金融机构信息安全保障工作的指导意见》等政策法规。目前,各大银行已经意识到网络信息安全的重要性,成立了信息安全专门管理机构,并在信息安全管理机构内养一些专业人才,并增加了信息安全的投入。

虽然中国银行业在信息安全建设方面取得了佳绩,但是银行信息安全危险依然存在,银行信息安全保障依然不能忽视。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪率达到了60%以上。据互联网新闻报道,2009年上海农商银行信息系统出现故障,区域内大量营业网点无法正常办理业务;2010年2月3日中国民生银行网络信息系统出现长达4小时的系统故障,全国范围内无法办理业务;2014年2月支付宝员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司。上述事件严重影响了人民的利益,对金融企业的形象和声誉造成了极大的负面影响,充分暴露出银行业机构在网络信息安全领域有较大隐患,不容小觑。

3 银行信息安全存在的问题

银行信息安全系统的建设是一个庞大复杂的工程,大部分工作牵扯到银行业务管理水平和信息安全技术,目前无论从系统管理的角度还是从安全技术水平的角度,银行信息安全方面都存在着较多问题,下面从这两个方面展开论述。

3.1 从业务管理的角度看银行信息安全存在的问题

⑴对信息安全的认识不到位,信息安全的意识观念薄弱

银行业的信息安全问题,首先是意识和观念的问题。不管是管理层还是底层员工,能认识到网络信息安全的重要性,熟悉信息安全的基本内容和具体工作要求是非常重要的。人们往往认为信息安全的核心安全性取决于核心技术,其实这种思想是错误的,信息安全首先取决于基本规范的实施和安全手段的应用。

⑵重视信息安全产品的投入而忽视管理投入,应急预案不完备

网络信息安全投入不完全是安全产品和工具的投入,还应包括操作流程、应急处理机制策略等方面的投入,还必须配套与安全产品有相适应的过程管理机制。建立合理的流程管理机制需要投入,这些投入与安全体系的完整性有着紧密的联系,否则报警无人处理、入侵无人响应,效果并不理想。应急预案的覆盖范围必须足够广,制定规范性、系统性应急预案并进行实践检验,部分应急预案的制定与银行实际工作情况没有关联,侧重于应急预案的形式,而不注重应急演练实践检验,极少有银行机构做到模拟真实场景进行应急演练和评估风险。

⑶银行缺少信息安全管理的复合型人才

金融管理离不开管理方面的人才,金融企业信息安全管理需要复合型人才,这种复合型人才必须熟悉计算机和网络技术,又要懂银行业务流程和信息安全风险防范知识。目前,这种复合型人才还比较少。各大银行的信息安全专业技术人员大部分都是毕业于计算机或相关专业,他们对计算机专业知识相对比较了解,但是对银行业务的工作流程和信息系统潜在威胁的把握还不够。

3.2从专业技术角度看银行信息安全存在的问题

⑴银行使用的软件安全性比较弱

由于计算机应用软件是银行内部信息的载体,所以软件本身的质量相当重要。目前银行业务系统的软件体系,包括项目管理系统和软件开发生命周期都只注重软件功能、开发速度和市场,很少考虑安全的需要。现在发现管理和技术上存在的安全威胁,主要出现在应用软件安全设计上。

⑵系统漏洞和信息泄密

所谓漏洞一般是指系统设计开发人员在软件开发的时候,故意设置的。这样做的目的是为了保证银行从业人员在某些特殊情况下失去系统访问权限时可以顺利进入系统,正是因这些软件漏洞的存在,给银行业务系统带来了信息安全威胁,这样就会造成信息的泄露。其次,银行的内部职工最熟悉金融企业的计算机应用系统,他们知道那些操作能使计算机系统出现故障、损坏或泄密。某些时候金融企业裁员也可能导致计算机泄密,当裁员时某些系统账号没有及时删除,也可能导致重要敏感信息的泄露。

⑶计算机黑客的恶意入侵

网络黑客是一些具备较强计算机专业技术知识的爱好者,他们可以在他人无法察觉的情况下,利用计算机设备侵入一些重要行业的计算机系统,并从中获的有价值信息或破坏信息系统。大多数的网络黑客主要利用计算机软件系统的漏洞来入侵信息系统,入侵方法高明且多种多样,并且入侵手段更新速度也很快,从而使现有的计算机系统安全产品很难及时做出相应的预防,进而导致计算机网络经常遭到网络黑客的侵入。

⑷计算机病毒和木马

计算机病毒是目前信息安全主要威胁因素之一,而且现在的计算机病毒千奇百怪,多种多样。计算机病毒是一些计算机爱好者刻意编写的程序代码,具有类似于生物病毒的破坏性、传染性、隐蔽性等特点。为了保证银行计算机网络系统的安全运行,应重视防范病毒。另外还有就是木马程序,木马程序是一种由攻击者悄悄安装在受害人计算机上的窃听及控制程序,通常包括控制端和被控制端两个部分,被控制端程序通过网络或其他介质植入受害人计算机,控制端程序则安装在不法分子的计算机设备上,利用控制端远程的和被控制端传送数据,以窃取受害人计算机上的资源,盗取个人信息和各种重要敏感数据,给单位和个人造成相当大的损失。

⑸灾备措施不完善和基础设施故障

银行的灾难备份和恢复能力必须进一步加强,中国银行业的灾备系统类型比较单一,覆盖面还较小,尤其缺乏系统的灾难恢复方案。正因为这些情况的存在,导致了各种各样的自然灾害发生后,无法立刻启动应急预案并快速切换到备份系统,所以才会出现长达数小时的信息服务中断。计算机基础设施可以说是任何计算机系统安全运行的保障,当基础设施出现故障后,势必会造成信息服务的中断,同时这种情况的发生是不可预知的。基础设施的出现故障的原因比较复杂而且多样化,具体包括服务器电源故障、网线老化、通信中断等。

4 银行信息安全风险的应对策略与建议

从以上关于我国银行信息安全问题的分析可以知,构建一套可行的银行信息系统安全保障体系和方法,加强防范信息安全风险势在必行。因此,应做好以下方面的工作。

⑴认真做好相关专业人员的安全意识教育,而且常抓不懈

银行内部比须加强信息安全监管和惩戒力度,明确法律责任,将信息安全的责任落实到每个相关人员,出现问题谁负责追究谁,将违规操作的可能性降到最低。对于银行而言,任何的数据和客户信息都非常重要,必须有严格的保密规定,但是常常在实际工作中出现这样那样的小问题,因此要强化内部员工的安全意识教育和信息安全基础知识培训,此项工作必须常抓不懈,然后将相关内容整理成册,定期的学习考核。必要时,有机会接触重要信息的员工在进入岗位之前必须做出书面承诺,保密承诺要包括重要信息的范围以及泄密需要承担的相应责任,使每一个能接触重要信息的人员明确信息泄露的危害。同时通过培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。

⑵建立与灾备体系相适应的应急管理机制,两者缺一不可

日常生活中突发事件是不可预知的,尤其是各种各样的自然灾害,其破坏力比较大。如果银行能事先把预防措施做到位,做到防患于未然,就可以最大限度地减少经济损失,保证人民财产不受损失,保障国家经济安全运行。首先是要建立完善的应急预案机制,有针对性的强化应急演练,对各种自然灾害事件进行全面有效的风险评估,分类制定科学的应急方案,开展接近于实际情况的模拟应急训练,及时评估应急演练的效果,做到突发事件发生时无死角,有的放矢,同时通过应急演练检验应急预案的实用性、合理性、可行性。接下就是建立与应急机制相适应的灾难备份恢复系统,提高业务可持续性。大型的银行要积极建设“两地三中心”,中小型银行可以考虑选择灾难备份外包服务,使银行具备抵御火灾、地震、暴雨等自然灾害的能力。全面促进业务系统的连续性,着实增强银行防范风险能力。

⑶加大银行信息安全复合型人才的培养力度,拓宽培养渠道

任何科技工作都必须以人才为重心。为了彻底清除银行信息化建设中的障碍,切实保障金融企业信息安全,各大银行要大力培养信息安全复合型人才。首先根据各单位信息安全的人员结构和知识结构,在强化信息安全专业知识教育的同时,还要兼顾计算机专业知识和金融业务知识的培训,而且此项工作必须长期坚持,做好人才储备。在人才培养的同时还要与实践相结合,在学习各类信息安全知识的前提条件下,组织参与培训专业人员针对信息安全制度进行实践检验。

⑷敏感重要数据务必加密,同时安装杀毒软件

首先,加密是确保信息安全的关键技术之一。越来越多的数据要求银行的业务系统在选择加密方式时要尽可能的有多种数据防护需求,在已有的加密方式下,多模加密技术是较好的选择。多模加密技术是将非对称加密算法(如RSA)和对称加密算法(如DES和AES)相结合,在确保数据安全的同时,其多模的特性可以根据需求选择对称或非对称加密方式。另外防范计算机病毒最有效的措施就在银行的各类计算机系统中安装正版的防病毒软件,力争做到病毒防范无死角无遗漏,并且确保杀毒软件能实时更新病毒库。对于新购置的软件和类似于U盘的存储介质,在使用前银行员工须使用杀毒软件进行全面的病毒扫描,确认安全之后方可使用。

⑸进一步推进银行信息化技术法规和标准化体系建设

篇2

在肯定成绩的同时,我们也清醒地看到,经济增长的放缓、全面深化改革的部署以及新技术新业务的融合发展等诸多因素,对电信行业发展和行业管理提出了新的更高要求:

一是进一步推进“宽带内蒙古”工程,大力促进信息消费。认真组织实施“宽带内蒙古”工程,深入落实“宽带中国2014”行动计划,积极推进城市百兆光纤工程,推动宽带业务应用普及深化,不断增强宽带网络支撑经济社会发展的能力。进一步贯彻“光纤到户国家标准”,督促各企业制定实施方案,及时掌握各盟市进展情况,全面实施新建住宅建筑光纤到户,进一步推进已建住宅区光纤到户改造。以培育增值电信市场、壮大增值电信企业为抓手,丰富信息供给,降低信息资费,促进信息消费。大力支持4G网络建设,加快4G网络覆盖和规模商用化进程。指导各企业加快农牧区宽带向相对聚居的行政村(嘎查)延伸,并有针对性地进一步降低农村牧区宽带资费。

二是进一步加快行业转型步伐,充分发挥信息化主力军作用。围绕自治区“8337”工作思路,瞄准能源化工、装备制造、农畜产品加工等优势特色产业,加快行业转型步伐,广泛推行行业信息化应用解决方案,通过信息化手段改造提升传统产业,带动经济结构调整,促进经济增长方式转变。鼓励基础电信企业和有实力的增值企业推广行业特色应用,结合物联网、云计算和移动互联网等新兴业务,大力推动电子政务云平台建设,服务智慧城市建设,进一步提升云计算的聚合效应和服务能力,促进“两化”深度融合。积极促进IPTV、手机电视等三网融合业务应用,努力推动全区信息化应用扩大覆盖、纵深发展,切实发挥好信息通信业整合应用、综合服务的支撑作用。

篇3

事实上,因为信息系统瘫痪影响业务正常运转我们已经不是第一次听到,比如首都机场就曾因离港系统和行李系统出现故障,影响了多个航班的进出港。如今,信息系统的使用大大提高了组织信息处理和业务运行的效率。然而,由于信息系统的广泛使用,使得这些信息系统一旦不能正常支持组织的业务,给整个组织的业务带来的影响越来越大,有时甚至会造成难以估量的损失。正因为业务连续性管理(Business Continuity Management,BCM)对组织的业务和信息安全如此重要,而一旦发生业务中断所造成的损失又如此巨大,使得对业务连续性的关注已经成为信息安全领域关注的一大焦点。

业务连续性管理的过程

在信息安全管理国际标准ISO 27001(BS7799)中已经建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中。去年11月BSI了一个新的标准BS25999-1,这是业务连续性管理的最佳实践标准,相应的认证标准BS25999-2也将在今年出台。这对于公共基础设施的提供者,金融电信等信息时代的基础支撑行业来说,不但有了实践的指南还有了检验的标准。

根据这些最佳实践指南,业务连续性管理的实施包括一系列企业管理行为,具体实施过程可以分为以下六个步骤,其中核心是制定并实施业务连续性计划。

下面详细介绍BCM实施过程中各步骤所需要执行的主要任务。

步骤1: 启动项目

项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作。项目启动阶段所包括的工作主要有:

1.得到领导层对项目的支持

组织中信息化或信息安全的领导(如CIO或CSO)应参与项目实施,并通过各种形式(如文件、会议等)向组织内所有成员传达领导层对该项目的重视和支持。最重要的是让管理层知道组织的真正风险在哪里,这些风险造成的后果是什么,每一项风险会造成的潜在损失有多大。没有这种理解,管理层对BCM的支持不能落到实处,也不能保证在实施过程对必要的资源、资金和时间方面的投入,最后可能会导致项目实施的失败。

2.明确项目实施的组织结构和角色责任

项目实施需要合适的人员来完成特定的任务,明确项目实施的组织机构和相关人员的角色责任是项目启动阶段非常重要的一项任务。项目实施的组织机构与组织的规模和涉及的系统有关,一般可以分为项目管理机构和项目实施机构两种。项目管理机构负责项目实施过程中的决策,项目实施机构负责项目的具体实施,可以进一步细分为损害评估小组、服务器恢复小组、网络恢复小组、物理/人员安全小组等等。

3.为项目实施分配资源

包括管理机构和实施机构在内的项目成员通过对项目规模、难度等各方面的估计,确定项目实施所需的资源,包括人员、场地、资金和时间等。引入外部的服务提供商是解决资源不足问题的可行办法。服务提供商可以提供BCM的咨询服务,也可以解决组织在提高业务连续性方面所需的备用设备、场地、设施等方面的需求。

4.安排项目的实施进度与时间

为使项目能够顺利实施,需要将项目实施划成分若干阶段,并安排每个阶段的进度计划和主要任务。由于业务连续性管理可能会涉及到多个部门之间的协调,而且往往复杂度较高,最好在项目实施进度中留出一定的机动时间,保证整个项目最终完成时间不会改变。

在上述几项工作完成后,BCM项目已经明确了项目实施的组织机构,明确了角色和职责,安排了所需的资源,制定了项目的实施时间。接下来,项目就可以进入下一步――业务影响分析阶段。

步骤2: 业务影响分析

业务连续性管理必须考虑到所有可能发生的安全事故和灾难,并对其潜在的损害做出估计,以制定可行的控制策略,进而预防这些事故的发生,而这正是业务影响分析(Business Impact Analysis,BIA)所要关注的方面,它是实施BCM的关键性的一步。

对业务安全性的威胁一般可以分为以下三类:

来自自然的威胁,如飓风、龙卷风、洪水和火灾;

来自人类自己的,如操作员错误、破坏、植入有害代码和恐怖袭击;

其他威胁,如设备故障、软件错误、电信网络中断和电力故障。

最重要的是找出所有的威胁,分析这些威胁发生的概率,估算对组织业务所带来的损失。风险评估与分析是进行业务影响分析的常用方法,它收集定性和定量的信息,包括威胁信息、组织脆弱点信息、已有的安全控制信息等,通过风险分析方法得出风险的大小和可能造成的损失。要注意的是,业务影响分析与风险管理并不完全相同,业务影响分析更为关注业务的中断以及业务中断所带来的损失。BIA阶段一般包括以下这些任务:

1.确定关键业务功能和损失标准

需要确定基本的业务功能,这些业务功能可能包括: IT网络支持、数据处理、会计、软件开发、采购、通信等。由于这些业务功能和它们的实施部门之间存在依赖关系,因此在保护和恢复时也应该按照一定的步骤进行。

明确了威胁和确定了关键的业务功能之后,就可以对每种威胁造成的影响制定特定的损失标准,需要考虑的因素包括利润的损失、运行费用的增加、违反合同造成的损失、生产力方面的损失、组织声望的损失等。这些损失可能是直接的,也可能是间接的,有些是有定量数字的,有些是定性估计的,都应该以合适的方式计入。

2.确定最大容忍时间

确定了组织赖以生存的关键系统之后,应根据事故或灾难所造成的损失标准估计万一不幸事件发生时,组织可以容忍的最大时间。一般来说,最大容忍时间可以分为以下几个级别:

无关紧要:30天;

正常:7天;

重要:72小时;

紧急:24小时;

关键:几分钟到几小时,一般不超过12小时。

3.确定恢复的优先顺序

组织内一般包括有多个业务功能,而组织的各种资源是有限的。在发生较大的事故或灾难(如电力中断、地震)时,多个业务功能都可能会受到影响,所以,必须根据各业务功能的关键程度和最大容忍时间,确定各业务功能恢复的优先顺序,并为关键的业务功能优先提供所需要的资源。

步骤3: 确定恢复策略

确定恢复策略指的是确定和指导备用业务恢复运行策略的选择,以便在指点的恢复时间内恢复信息系统,以支持机构的关键业务。

根据业界的实践,业务中断所造成的损失是随着中断时间的增大而大幅上升的,而恢复业务的费用则随着恢复时间的缩短而大幅上升。对于组织来说,确定恢复策略的一个关键任务就是在业务中断时间和业务恢复费用之间取得适当的平衡。

从备份站点来看,可以分为冷站(cold site)、暖站(warm site)、热站(hot site)三种方式。冷站只提供基本的工作环境、电线、空调等,在恢复时要花费很长的时间,可能会有几个星期;热站则具有完全的配置,一般使用在分钟级或小时级的恢复环境下,也最为昂贵。从备份类型来看,可以分为增量备份、差量备份、完全备份传递三种方式;从备份数据传输方式来看,可以分为手工传送、电子备份传送、实时备份等方式。组织还可以选择与内部或外部机构签订互惠协议,或者与设备供应商签署服务合同。具体选择时,组织要综合考虑逻辑性、可行性、经济性等多方面因素,确定适合自身业务要求的恢复策略。

步骤4: 编制业务连续性计划

业务连续性计划(BCP)样式有多种,但一般都包括以下内容:支持信息、通知/启动、业务恢复和业务复原。

1.支持信息

支持信息部分提供了重要的背景或相关信息,使得BCP更容易被理解、实施和维护。支持信息部分一般包括以下内容:

目的。介绍制定BCP的原因和定义BCP的目标。

范围。说明有哪些部门和运营业务需要实施BCP。另外,BCP所包括的业务中断范围也要说明,如计划可能不会涉及预计持续时间小于四个小时的短期中断。

组织。描述应急团队的整体结构,包括各团队的等级划分、协调机制、角色与职责等。

资源需求。人员、设备、技术/数据、安全、运输、福利和紧急事件的费用。

系统描述。对有必要包括在BCP中的IT系统的一般描述,包括系统的架构、现有安全防护措施等。

变化记录。对BCP变更的记录。

2.通知/启动

也称为应急响应。该部分定义了在探测到系统中断或紧急情况发生或即将到来时采取的初步行动,如通知恢复人员、评估系统损害和实施计划的活动。一般包括以下内容:

告知规程。包括告知树、告知信息、通信方法等。

损害评估。评估事件可能带来的业务影响和损害。

计划的启动。计划的启动条件和恢复策略确定。

3.业务恢复

业务恢复集中于建立临时IT处理能力、修复原系统、在原系统或新设施中恢复运行能力等应急措施。在恢复阶段完成后,系统将可以运行并执行计划中指定的功能。业务恢复计划一般也被称为灾难恢复计划(DRP)。

计划的这一部分应该按照操作手册的形式编排,由一系列简单明确的指令构成,这样恢复团队可以完全按照这些指令进行恢复操作。各种操作之间的相互关系也必须加以明确说明,所有的指令和说明必须明白无误,以免因可能引起误解或不明了而导致时间损失。

4.业务复原

为业务运营复原原有场所或新建场所应采取的步骤等应在此加以说明。需要标明每个团队负责人的责任和任务,一般包括:

提供基础设施,如电力、办公设备等。

系统安装,包括软硬件。

测试被恢复系统的运行。

将应急系统中的运行数据上载到被恢复系统中。

关闭应急系统。

应急场所中敏感信息与材料的处置。

其他操作。

步骤5: 测试和演练计划

技术、业务方法以及员工角色和责任的变化都将影响和降低业务应急计划的效率并最终影响到机构的准备状态。因此,通过对业务应急计划的测试来测量其可用性和有效性是很重要的。测试还将使员工熟悉恢复站点的位置以及中断期间所需的恢复规程。测试的目标是确保机构在启动业务连续性计划后能够按照计划可靠、及时和有效地恢复运行。

测试的过程需要进行详细的规划,测试计划还应该包括每项测试的详细时间表和测试的参与者。测试计划还应该清晰地描述测试范围、场景和后勤。场景可以选择为最糟糕的事故或最有可能发生的事故,并尽量模仿真实情况。

有两种基本的演练方式:

课堂演练 课堂演练的参与者在桌面上对规程进行排演而不实际进行恢复操作。在两种演练类型中课堂演练是最基本和最经济的,应该在执行功能演练之前执行。

功能演练 功能演练比桌面上的演练更进一步,要求虚构事件。功能演练包括模拟和战术演练。通常会为扮演外部机构的角色演员写好脚本或者有真正的相关机构或供应商参与。功能演练可以包括针对备用站点的实际配置和(或)系统切换。

组织对其业务连续性计划一年至少要测试一次。管理层应该参与到测试中并熟悉其在计划启动时的角色和责任。

步骤6: 维护与更新计划

业务连续性计划必须周期性地加以检查和维护。为了使其更加有效,计划必须维持在能够正确反映系统需求、规程、机构架构和策略的就绪状态。计划应该至少每年进行一次针对正确性和完整性的检查,一旦有新的系统、新的业务流程或者新的商业行动计划加入企业的生产系统或者信息系统,引起企业整体系统发生变化时,就更应该强制启动这种检查程序。某些部分应该得到更频繁的检查,如联络清单。根据系统类型和重要程度的不同,对计划内容和规程的评估可能会更加频繁。计划的检查至少要关注以下内容:

运行需求;

安全需求;

技术规程;

硬件、软件和其他设备(类型、规格和数量);

团队成员的姓名和联络信息;

供应商,包括备用和离站供应商协调人的姓名和联络信息;

备用和离站设施需求;

关键记录(电子的或硬拷贝)。

每一次在执行这种检查程序时,最好是与对BCP的改进相互结合。例如,在测试过程中发现的问题、组织为了实现连续性对机构所做的调整或者在保持业务连续性测试时发现了更好的行动方式和计划等等。因此,BCP的维护应该是变化和改进的结合与不断促进。另外,BCP中可能包含有潜在的敏感操作和个人信息,所以对BCP的分发应该根据需要进行标记和控制。(本文作者为BSI中国公司的咨询顾问)

相关

业务连续性管理的关键点

在实行BCM过程中,以下因素是组织应重点考虑的:

争取管理层的支持和参与。没有管理层的支持,业务连续性计划的制定和实施都是十分困难的,很有可能会流产。

建立业务连续性管理文化。通过培训和意识教育,使业务连续性管理成为企业核心价值和有效管理的一部分。

业务连续性计划团队要有明确的组织结构,角色和责任应明确、清晰,要对相关人员进行培训。如果参与人员不能清楚地知道自己该做什么,灾难发生时只能是一片混乱。

篇4

随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合,煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,这些信息系统已经深入到煤矿安全生产的方方面面,而且很多工业系统自动化程度非常的高,比如提升系统、选煤系统等已经实现了无人操作,远程开停、故障闭锁等,操作人员只需要对运行的参数进行观测和记录,大大提高了人员工作效率、增强了企业的核心竞争力。所以今天煤矿企业信息网安全就显得尤为重要,本文将就煤矿企业信息网络安全现状及重要性进行分析和探究。

1现状分析

我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统,并且这些信息系统已经深入到生产经营的方方面面,促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力地提升了煤矿企业管理效率,加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题:

1.1企业管理人员对信息网络安全的重要性认识不足

主要表现在四点,一是没有建立完善的信息网络组织体系,相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案,也没有进行相关的应急演练;三是信息网络安全方面的投入比较少,企业安全防护设施不全;四是企业管理人员对于信息网络安全的知识非常欠缺,只注重信息系统具体应用和预设功能,对于操作可能带来的网络威胁没有防范意识。

1.2信息孤岛与信息网络安全之间的矛盾日益冲突

早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体,相互独立,之间没有任何联系,随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决,但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用,而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道,这使得信息网络安全面临更加复杂的环境,安全保障的难度大大增加。

1.3信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量

主要原因有三点:(1)煤矿企业地处偏远山区、工作环境和生活环境相对都比较差,很难招聘到高科技人才,即是招到人也很难留下来。(2)企业以煤炭生产、加工、销售为主业,信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。(3)信息安全管理人员长期得不到培训和学习的机会,信息技术知识的储备量有限、业务水平处在较低的一个水平,所以只能依靠外部安全服务公司。

1.4信息网络安全防护设备利用率低,很难发挥应有的功能

煤矿企业在信息网络建设初期都会做网络安全方面的布置,比如在网络边界架设防火墙、入侵检测设备,在内部部署杀毒软件,形成了软硬件相结合的防御模式,可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新,和漏洞修复、打补丁之类的操作,大多数的员工电脑也从不安装杀毒软件,这就做法无形中弱化了我们防御的盾牌和进攻的长矛,使网络安全防护设备长期处于半“休眠”状态。

2重要性

“没有网络安全就没有国家安全”,在浙江乌镇世界互联网大会上提出的网络安全观,足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说,如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”,它改变了企业的生产方式,优化了企业的管理流程,提高了企业管理效率,可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间,存在各种潜在的威胁,比如利用木马、病毒、远程攻击、控制等方式,泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等,这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失,很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN,承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信,如果信息网络安全受到攻击瘫痪,都会对企业的生产经营造成影响,更有甚者可能通过煤矿企业本地发起攻击,致使整个集团的信息网络受到严重威胁,所以煤矿企业管理人员一定要树立正确的信息网络安全观,充分认知信息网络安全的重要性,加快构建关键信息基础设施安全保障体系,增强企业信息网络安全的防御能力。

3总结

总之,信息网络技术发展的今天,信息网络安全已经是每一个煤矿企业必须面对和正视的问题,也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼百战不殆”,煤矿企业应该立即行动起来,通过开展关键信息基础设施网络安全检查,准确掌握企业关键基础设施的网络安全状况,详细评估企业所面临的网络安全威胁,制定对应的防范措施,构建企业信息网络安全的“防火墙”,为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。

参考文献

篇5

一、加强网络安全

认真部署全局网络安全意识

为切实抓好这次活动,自收到通知和全区活动方案后,我局于5月29日召开党组会,对全局开展国家网络信息安全宣传活动周作了详细的布置,明确了相关人员的职责,会后转发《关于开展好全区第三届国家网络安全宣传周活动的通知》到机关各科室和机关各党支部。要求各科室和机关各支部充分利用各种会议、活动、集体学习等有效形式,在全局广泛宣传和普及网络安全教育的法律、法规政策和相关知识,强化全体职工对网络安全教育工作的参与意识和责任意识。

二、精心组织

狠抓落实

为确保宣传周活动不走过场,达到预期效果,我局强化措施,狠抓落实,确保了活动取得实效。成立了以局长。党组书记为组长的宣传活动领导小组,全面负责本次宣传活动的方案拟定、工作部署、组织协调等工作。领导班子成员各负其责,负责督导分管科室,全力按照区委领导小组和局领导小组的工作要求,做好本次宣传周的活动。

三、形式多样

内容丰富

1、针对活动意义和活动目的,确定宣传标语为:共建网络安全,共享网络文明。通过宣传栏和条幅的方式公开宣传。

2、充分利用发放宣传资料的方式,广泛宣传网络安全教育相关知识。

3、全局组织统一培训,对干部职工安全使用支付系统以及办公网络进行系统教育,上好网络安全第一课.

4、局党组成员和科室负责人签署网络安全责任书,确保责任到人、到岗。

5、组织了全局网络使用情况摸底调查,对可能存在的网络安全隐患进行排查。

四、效果明显

深入人心

1、经过这次活动,全局干部职工对网络安全教育有了新的认识。一是对网络安全教育工作重视程度提高了,参与热情提高了;二是对网络安全的漏洞得以填补,使办公网络的使用更加安全,。

2、全局干部职工的网络安全意识明显提高。这次宣传活动中,让全体干部职工基本树立了网络安全教育理念,认识到网络安全教育涉及到日常生活中的每一个人,认识到学习掌握应急知识的重要性。

2020学校“国家网络安全宣传周”活动总结2

网络安全宣传周活动总结2

根据__县教育局转发教育厅《关于开展20__年国家网络安全宣传周活动的通知》精神,9月16日至9月24日__镇中心校组织全镇各中小学校开展了主题为“网络安全为人民,网络安全靠人民”的网络安全宣传周活动,通过主题宣传教育活动,增强学校教职员工、学生网络安全意识,提高网络安全技能,营造网络安全人人有责、人人参与的良好氛围,保障用户合法权益,号召大家共同来维护国家网络安全。现将活动总结如下:

一、加强领导,责任到人

镇中心校高度重视网络安全宣传周活动,把活动列入重要议事日程,加强了组织领导和统筹协调,成立了网络安全宣传周活动领导小组,确保网络安全宣传周活动有序有效开展。

二、积极开展网络安全周主题活动

1、有条件的学校利用LED电子屏辅助宣传。每天滚动播放本次网络安全周主题“网络安全为人民,网络安全靠人民

”及相关宣传标语,在最大范围向教师和学生宣传网络安全周活动。

2、镇初中组织开展了网络安全知识竞赛活动,通过此项活动,进一步加强学生对网络安全知识的了解。

3、9月19日,各学校召开了“网络安全为人民,网络安全靠人民”主题班会,讨论宣传网络安全知识,提高学生网络安全意识,增强识别和应对网络危险的能力。

4、利用升旗仪式,由主持人通过国旗下讲话,向全校师生宣传网络安全常识。

5、通过学习园地、板报的方式对网络安全知识进行宣传。

信息技术和网络的快速发展应用在极大促进经济社会发展的同时,也带来各种新的网络安全问题,病毒木马传播、攻击破坏、网络盗窃诈骗、有害信息蔓延、网络游戏成瘾等都给广大网民的信息安全和财产安全带来巨大威胁。__镇通过此次“网络安全宣传周”活动,加强了网络安全宣传教育,提升了教职工和学生们的网络安全意识和基本技能,构筑出了网络安全的第一道防线,在增强师生的网络安全防范意识和自我保护技能方面都取得了较好的效果。

2020学校“国家网络安全宣传周”活动总结3

为落实省联社及《中国人民银行办公厅关于参加第二届国家网络安全宣传周活动的通知》要求,更好的促进网络安全管理工作,充分发挥网络安全对业务发展的支撑作用。行领导高度重视,在各部门的精心组织、策划下,于20__年6月开展“网络安全宣传周活动”。

主要有以下几个活动形式:

1、对员工的网络安全知识进行指导,在我行内网网站通告,讲授网络安全相关知识;

2、在内网网站网络安全相关学习视频,组织员工进行观看,视频内容包括“《个人信息泄露要防范》、《电脑病毒要防范》”等;

3、向各网点分发网络安全宣传折页。

在活动中,我行员工不但强化了自己的安全意识,更获得了很多新的科学知识,在日常办公中避免不必要的安全漏洞。

2020学校“国家网络安全宣传周”活动总结4

20__年__月__日至__日是首届国家网络信息安全宣传周,为全面加强我校网络安全安全工作,增强师生网络安全意识,依据国家教育局【20__】__号文件精神,结合学校实际情况,我校于20__年__月__日——11月30日在全校范围内广泛深入地开展了国家网络信息安全宣传周活动,现将活动总结如下:

一、加强网络安全

认真部署师生网络安全意识

为切实抓好这次活动,__月__日上午中心校召开小学校长会,对整个网络信息安全宣传活动作了详细的布置,明确了人员的职责,会后下发了《中心小学网络信息安全教育宣传周活动计划。要求各校充分利用各种会议、活动、课堂等有效形式,在全校广泛宣传和普及网络安全教育的法律、法规政策和相关知识,强化全校师生对网络安全教育工作的参与意识和责任意识。

二、精心组织

狠抓落实

为确保宣传周活动不走过场,达到预期效果,全校各部门强化措施,狠抓落实,确保了活动取得实效。成立了以校长组长的宣传活动领导小组,全面负责本次宣传活动的方案拟定、工作部署、组织协调等工作。中心校班子成员各负其责,全力配合学校做好本次宣传周的活动。

三、形式多样

内容丰富

1、针对活动意义和活动目的,确定宣传标语为:共建网络安全,共享网络文明。并张贴在校门口。

2、充分利用板报、班刊广泛宣传网络安全教育相关知识。

3、中心校统一下发光盘,各校组织学生观看影像资料,对学生进行网络安全教育,上好网络安全第一课.

4、全校进行了一次校园网络安全隐患大排查。

5、进行了一次全员参与网络安全演练,各校均于本周举行了网络安全演练。整个撤离过程井然有序,没有意外事故发生。

四、效果明显

深入人心

1、经过这次活动,全校师生对网络安全教育有了新的认识。一是对网络安全教育工作支持重视多了,二是教师和学生亲自参与多了。

2、教师和学生的网络安全意识明显提高。这次宣传活动中,让全校师生基本树立了网络安全教育理念,认识到网络安全教育涉及到日常生活中的每一个人,认识到学习掌握应急知识的重要性。

2020学校“国家网络安全宣传周”活动总结5

为增强校园网络安全意识,提高网络安全防护技能,提高大学生网络安全自我保护意识,提升网络安全问题甄别能力。按照教育部《教育部思想政治工作司关于组织参加首届国家网络安全宣传周活动的通知》(教思政函〔20__〕57号)和省教育厅(教办思政〔20__〕498号)文件精神,化工系于11月29号开展了网络安全宣传周活动。

一、活动主题

共建网络安全、共享网络文明

二、活动时间

20__年11月29日。

三、活动内容

在化工系内广泛宣传关于网络安全的事项

四、活动形式

本次网络安全宣传活动采取多种形式开展:

(一)组织召开网络安全主题教育的团课

通过召开主题教育团课,结合身边典型案例,使学生了解网络安全的重要性以及日常网络生活需要遵守的准则,特别是加强对沉溺于网络学生的教育。

(二)在微信平台上进行网络安全宣传

利用化工系微信平台,对开展网络安全教育活动的方案、计划等相关资料以及宣传活动所取得的成果进行。

(三)开展网络安全知识竞赛

为调动师生的积极性,组织师生开展网络安全知识竞赛,竞赛内容紧扣本次活动主题。竞赛网址:___

(四)开展“网络安全精彩一课“教育活动。

篇6

二、互联网金融信息安全风险分析

互联网金融的迅猛发展,在给我国经济金融带来活力、给大众带来便利的同时,也存在着大量的风险隐患。同所有金融业务一样,互联网金融存在流动性风险、信用风险、洗钱风险等,在此,本文仅从信息安全的角度分析互联网金融风险。

(一)客户端安全认证风险。客户端通常采用用户名和密码方式进行认证,用户计算机在感染病毒、木马程序或被黑客攻击后,用户的账户、密码、验证码等敏感信息会在未经安全认证的情况下,通过键盘记录或屏幕录制等方式,被发送至黑客指定服务器的后端,严重威胁互联网金融账户和密码安全。

(二)信息通信风险。互联网金融业务通过网络在银行、互联网金融机构、用户之间进行数据传输,数据传输过程要求进行数据加密。网络传输系统被侵入或者加密算法被黑客攻破,将导致用户的资金、账号、密码在网络中以明文传输,造成客户信息泄露,严重影响客户资金及信息安全。

(三)系统漏洞风险。互联网金融业务系统无论采用Java技术还是其他技术进行开发,均可能存在一些系统漏洞和安全隐患。黑客会搜寻并利用系统漏洞进行攻击来获得非法利益,给互联网金融业务带来巨大的信息安全风险。

(四)数据安全风险。互联网金融业务数据要求绝对安全和保密。用户基本信息、支付信息、资金信息、业务处理信息、数据交换信息等丢失、泄露和被篡改,都会给商业银行及互联网金融机构带来不可估量的损失。在互联网的开放式环境中,互联网金融业务系统应确保数据输入和传输的完整性、安全性与可靠性,防止对数据的非法篡改,实现对数据非法操作的监控与制止。

(五)系统应急风险。目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P等机构,不能严格执行应急演练计划。电力中断、地震、洪水等灾害的发生,将导致系统数据丢失,给互联网金融机构造成巨大损失。

(六)内部控制风险。互联网金融内控制度是为了保护金融资产的安全完整,形成的一系列具有控制职能的方法、措施和程序。互联网金融业务内控制度建设或执行不到位,会导致业务操作处理过程中出现安全隐患,如由单个系统管理员重置客户密码或调整客户账户信息等,将造成互联网金融信息安全风险。

(七)外包管理风险。由于专业技术人员不足,许多互联网金融机构通过购买第三方外部服务的方式来获取技术支持。外包服务管理不到位、外包服务公司经营不善或破产,都会给互联网金融机构带来数据泄密的风险,严重影响互联网金融业务安全稳定运行。

(八)操作风险。操作风险来源于机构内部员工或用户的错误操作、恶意操作。互联网金融机构员工对业务不熟悉,可能导致业务操作风险,从而危及互联网金融业务的总体安全。同样,互联网金融业务也可能因为客户缺乏网络安全知识、安全意识淡薄而面临相当高的操作风险。

(九)法律风险。法律风险来源于网上交易过程中违反相关法律、法规和制度,以及未能遵守有关权利义务的规定。电子商务和互联网金融业务在我国正处于加快发展阶段,政府相关法律法规对网上交易权利与义务的规定仍不清晰,互联网金融存在着相当大的法律风险。

三、互联网金融信息安全风险防范

(一)构建互联网金融信息安全保障体系。一是改善互联网金融的运行环境。在硬件配置方面,加大对计算机信息安全设备的投入,增强系统的抗攻击、防病毒能力;在系统运行方面,通过身份识别、分级授权、短信验证等多种登录方式,限制非法用户登录互联网金融网站。二是加强数据安全管理。将互联网金融纳入现代金融体系的发展规划,制订统一的技术标准规范;利用数字证书与加密技术保障互联网金融业务的交易主体的信息安全,防范交易过程中的不法行为。三是开发具有自主知识产权的信息安全技术。大力发展国产加密技术、密钥管理技术及数字签名技术,提高信息系统的安全技术水平和关键设备的安全防御能力,保护互联网金融安全。

(二)健全互联网金融信息风险管理体系。一是加强互联网金融机构的内部控制。互联网金融机构应制定完备的计算机安全管理办法和互联网金融风险防范制度,加强制度学习落实,完善业务操作规程;充实内部科技力量,建立从事防范互联网金融信息风险的专业技术队伍。二是加快社会信用体系建设。以人民银行的企业、个人征信系统为基础,建立客观全面的企业、个人信用评估体系和电子商务身份认证体系,避免互联网金融业务提供者因信息不对称作出不利选择;针对从事互联网金融业务的机构建立信用评价体系,降低互联网金融业务的不确定性,避免客户因不了解互联网金融机构的业务服务质量而作出逆向选择。

篇7

【关键词】快递业 服务业 政策问题 行业监管

一、我国快递业发展中存在的困惑和问题

(一)诚信体制不健全

目前一些物流企业诚信缺失现象依然屡见不鲜,主要表现承诺过度,实际服务较差而且不承担任何责任,违反规定泄漏其顾客的商业资料,经营代收货款业务不善而携款潜逃。最近几年,在我国陕西、河南、四川、内蒙古等省区,物流企业携款潜逃事件时有发生,货款数额十分庞大,甚至导致了当地第三方物流企业的诚信危机。

快递行业的发展陷入发展瓶颈,最主要的原因就是国内快递企业尚未建立健全的诚信体制,快递企业在加盟店模式下迅速扩张,在爆仓、同质化竞争、消费者投诉高的恶劣环境下,由于缺乏加盟快递公司的有效管理和培训,采用加盟模式的快递公司很容易因为区域发展不平衡,利益多元化导致出现诚信问题,加盟商都想维护自身利益,所以不严格按照按快递企业管理制度来处理业务,牺牲了诚信。追根究底,是中国诚信体系不健全带来的问题。

(二)从业人员素质偏低,高端人才匮乏

我国快运快递业还处在起步阶段,技术水平相对比较落后,从业员工素质不高。在大多数人的心目中,快递配送仅仅是出卖苦力、简单重复的体力劳动,因此各快递公司在招收快递员时,对收派员的文化素质要求不高,基本条件是热悉城市交通路况,有摩托车驾驶执照,自备自行车或者摩托车。有的快递公司对员工只进行简单的培训,根本达不到从业的要求,有的快递公司甚至根本不进行入职前的培训,随招随用。虽然有很多企业抛出看似丰厚的薪Y招工,但现实情况是,快递员付出的劳动与回报并不成正比。

(三)相关政策法规不完善

快递业是个一个新兴的行业,从1979年我国进行这个服务以来,,快递业的迅速发展背后,是相关法律法规的滞后。目前市场上对快递业规范的法律法规少之又少,我国虽然在2007年9月21日正式公布《快递服务》邮政行业标准,但是并不能对各快递企业最切实的利益做出规定和保障,不能完全解决快递市场的混乱局面,全国各地快递业"先签后验"行规依旧。

另外一直以来野蛮暴力分拣和用户个人信息泄露是快递行业最为人诟病的两大问题。由于相关法律法规的不健全,快递企业及快递员野蛮暴力分拣的行为无法得到有效约束,纵容了野蛮暴力分拣现象的滋长。2015年北京市政府常务会议审议通过了《北京市快递安全管理办法》,构建快递安全责任、保障和监管体系外,还针对规范安全管理制度、快递运单信息安全、快递车辆通行、应急演练、末端投递等事宜做了明确规定。此外,还在快递安全责任体系中明确了政府、企业和用户三方责任。细化了许可条件,并从生产场地、服务网点、职业资格、运营车辆、跟踪查询能力等方面,明确了快递企业的服务能力。

二、我国快递业应对发展困惑的策略分析

(一)加强快递企业诚信体系建设

规范快递物流行业自律。相关政府和部门要积极引导快递物流经营户遵守服务承诺,自觉清理快递企业与消费者之间的协议中的“霸王条款”,避免出现服务意识淡薄、法律意识不强、设置条款不合理、收费标准随意等问题。同时,各级政府和部门要结合日常巡查和消费投诉举报发现的问题行政约谈快递企业,积极向快递企业宣传快递物流行业相关规范,倡导诚信经营,促其提高信用意识,完善信用制度。

(二)加强快递从业人员培训考核

对快递企业和快递市场来说,提高快递员素质,有针对性的对其进行培训,才能更适应快递市场飞速发展。对于快递企业的中层管理人员要不断提高其综合管理能力,丰富管理经验,提高创新能力和执行能力;加强快递操作人员的技术等级培训,不断提升操作人员的业务水平和操作技能,增强严格履行岗位职责的能力。岗位技能培训应通过技能评定制度,强化“师带徒制”,中心内部业务培训由部门内部自行安排,若确有必要,可与相关培训机构合作。

(三)完善快递行业法律法规,加强执法与监管

通过法律规章来规范快递行业发展、遏制暴力分拣等乱象,已经成为公众的普遍诉求。针对“双十一”过后快递包裹激增,野蛮分拣、个人信息安全等问题再次成为热点。2015年11月,国务院法制办就《快递条例(征求意见稿)》公开征求意见。意见稿规定,快递公司及从业人员以抛扔、踩踏或者其他危害快件安全的方法处理快件的,最高可罚款5万元。

规章制度的出台,只是解决了“制”的问题,尚未解决“治”的问题,从动机上来讲很有“必要”,但从效果来预判却未必是“必然”。与庞大的快递员队伍相比,监管执法的力量显得太过薄弱,条例在监督和执行方面仍然面临困难,实际效果可能有限。对此,在加大监管和执法力度的同时,还需加强行业自律和第三方监督,同时推进快递行业整改,有效保护消费者权益。将日常监管与专项检查有机结合起来,对物流经营主体是否取得有效许可、是否办理营业执照、是否超范围经营、是否相符登记事项等进行逐一检查造册、实施分类监管。

作为消费者也要加强对快递行业的监督,保护自身权益。收件人需坚持先验货后签字,对于破损快件坚决拒收。同时要警惕快递新型诈骗,对于以第三方物流担保交易、预付物流费为由的各种汇款要求,坚决不予置理。对于快递公司和快递员的不合理态度和行为要勇于投诉和举报,督促快递业健康发展。

篇8

一、系统建设背景

加强国民经济动员信息化建设是打赢信息化战争的重要保障,是建立和完善甘肃省应急体系的客观需要。为了贯彻落实国家、经济动员办公室关于加强国民经济动员信息化建设的指示精神,提高甘肃省适应信息化条件下防卫作战需要的国民经济动员能力,甘肃省经济动员办公室在甘肃省发展和改革委员会的领导下,联合甘肃省信息中心(甘肃省经济研究院)和厦门精图信息技术有限公司,设计开发了“甘肃省国民经济动员管理信息系统”。

二、系统建设概述

甘肃省国民经济动员管理信息系统是利用计算机技术、3S技术、网络技术等多种高新技术手段,融合国防动员学、经济学、地理学、管理学、运筹学等多学科的技术原理,开发完成的符合国家国民经济动员行业标准、满足国民经济动员信息化建设需求、具有自主知识产权的动员工作管理平台。该系统将GIS技术与经济动员工作有机结合,构造了完整的经济动员信息管理体系,实现了潜力调查、平战转换能力分析、预案管理、资源预警、网上演练、突发事件处理等辅助决策功能,完成了甘肃省2007年国民经济动员潜力调查数据库的建设。

三、系统的基本功能

⒈潜力数据的收集、审核、汇总、分析和维护功能

⑴动员资源管理

动员资源管理模块是国民经济动员管理信息系统的基础模块之一,负责国民经济动员潜力调查数据的收集、自动汇总等工作。

该模块采用“AJAX异步传输”技术,实现快速数据收集、查询汇总、统计分析、数据输出等功能。

⑵数据收集

系统提供3种数据收集方式:

①提供“潜力调查软件”,2004年1月向全市正式,2004年9月完成首次数字化的(采用计算机软件进行的)潜力调查,共收集数据8000余条。

②提供远程填报功能,经过授权的统计局或行业主管部门,可以直接通过网络用预设账号登录系统,直接填报、查询、管理属于自己的数据。

③提供本地录入修改功能,还提供“填报督办”功能,作为辅助监督手段。

⑶潜力数据的汇总

系统提供按地区汇总功能,可以查看甘肃省、各市(州)的动员潜力汇总数据。

系统提供查询汇总功能,对指定条件下查询出来的结果自动进行汇总。

由于地区的汇总数据要从各个潜力调查单位汇总得到,当某个单位的数据发生变化时,系统实现了对应的地区汇总数据的自动更新,从而实现了动员潜力管理的动态化。

⑷数据输出

系统提供按指定字段显示功能、数据导入导出功能、报表打印功能。

⒉基于地理空间信息的查询、分析和辅助决策功能

动员单位在地理空间上的分布,无疑是影响动员潜力转化的重要因素。该系统采用地理信息技术,建立了甘肃省1∶25万基础地理信息数据库和甘肃省动员潜力专题空间数据库。

该系统提供数据查询、保障能力分析(也称为平战转换能力分析)、辅助决策等功能。

⑴数据查询

系统提供面向“地区”和面向“动员单位”的数据查询。

①地区查询

系统可以对甘肃省及各地州市进行动员潜力信息查询,例如,查询甘肃省的“城市设施配置情况、铁路运输情况”等。

系统还可以对地区进行跨行业的多指标查询,用于查询一个或几个地区综合的动员潜力情况。例如,可查询兰州市、白银市、金昌市的国土面积、国内生产总值、国家财政收入、总人口(人口数)、专用技术人员总数、医生总数、加油站总数、汽车加油站数量等反应地区动员综合实力的指标。系统自动进行数据查询与汇总,并把查询汇总的结果直观地显示出来。

系统还可以选择专题图工具,利用统计图表,进行地区间的实力对比分析。

②单位查询

系统可以查询动员单位的具体情况,例如查看甘肃省医院情况,可以指定条件进行单位过滤,便于分层次动员。

③企业查询(也称相关性查询)

根据企业和产品(或物资)的关联关系,系统可以查询某种产品(或物资)的生产企业或储备企业;还可以选择专题图工具,利用统计图表,进行地区间的实力对比分析。

⑵分析功能

①模块抽组能力分析功能

为了便于“行业结对、模块抽组”,该系统建立了“医疗卫生保障模块”、“军需给养保障模块”、“建材物资保障模块”、“油料保障模块”。每一个模块又分为三到五个级别,例如:“医疗卫生保障模块”分为“一级医疗模块”、“二级医疗模块” 、“三级医疗模块”。“一级医疗模块”包括医生、护士、床位、CT机等指标,相当于一个野战医院规模。同样,“军需给养保障模块”也分为多个级别。

该系统可以对甘肃省或者对各地州市进行“模块抽组能力分析”,通过抽组能力分析功能,可以对地区的保障能力进行评估分析,科学地下达保障和动员任务。

②生成模块抽组方案功能

该系统可以根据地区模块抽组能力分析的结果,利用“按比例分配”、“重点选择”等分配方法,直接生成抽组方案。例如:从“兰州市和白银市”抽组三级医疗模块,执行“生成动员方案”命令,系统自动生成WORD格式的动员抽组方案:方案的第一部分是方案描述;第二部分是每个医疗模块的组成信息,包括:参加抽组的医院,抽组的医生、护士等指标,抽组的数量;第三部分是每个参与动员的医院参与抽组医疗模块的对应关系。这使抽组方案清晰明确。

通过抽组方案功能,可以把“需”和“供”两条线联接起来,做到“均衡持续、好中选优”,随时保证作战部队的保障需求。

③空间分析功能

该系统提供距离量算、面积量算、叠置分析等功能。

④网络分析功能

该系统可以实现任意两点间的最优路径分析、任意多点间的最短路径分析,某桥梁或路段被毁时的路径分析等网络分析功能。

⑶辅助决策功能

①选址分析功能

假如油料由白银市保障,医疗物资由兰州市保障,军需给养由定西市保障,那么,在哪里选择一个地址,从该地出发,依次到达三处保障地点,走过的路程最短而经济呢?系统提供选址分析功能,可通过选址分析模型,找到最佳的参考方案。

②资源调度分析功能

资源调度分析功能(也称为动态预案生成模型) 允许用户同时对多个指标进行调度,对任意一个调度命令,可以指定动员指标的调度来源:是否考虑库存、是否考虑在动员时限内的生产能力;可以指定动员指标的调度顺序:是先调度新生产的产品呢,还是先调度库存产品;可指定本次动员是按平时的生产能力调度,还是按战时的生产能力调度。

对集结地点的选择:如果是突发事件,可利用系统提供的查询功能查找此地点,或用鼠标直接标出集结地点,还可以通过“选址分析”来确定集结地点。

对供应地点的选择:如果事先指定了集结地点,可以用“就近选择”功能,系统根据距离的远近,自动选择距离集结地点最近的可动员单位,直到满足动员需求;也可以从某个区县中选择可动员单位;还可以事先通过复杂的空间分析选择可动员单位。系统提供按距离、按综合实力、按可动员量排序功能,用户可以优先选择距离最近的、质量等综合实力最好、可动员数量最多的可动员单位进行动员。

在命令的时间限制等全部设置好后,执行分析命令,系统自动运行 “多目标规划运筹学模型”,生成保存为网页的“动态预案”。预案内容包括:

――每个调度指标的具体实施方案:各个供应地点向各个集结地点供应的资源数、各个供应地点到各个集结地点的最短路径、参考距离。

――参考地图:各个参与动员的单位以S表示,各个集结地点以D表示,用箭头表示动员指标的集结方向,用蓝线标识最佳路径。

通过输出结果能够看到,当选择的供应地点的可动员量大于需求量时,一些距离较远的或质量等综合实力差的,没有参与动员,这是系统优化的结果。

资源调度分析功能充分应用了地理空间分析技术、运筹学技术、网络分析技术、WEB动态网页生成技术,能对多个国民经济动员指标同时进行资源调度分析,生成的预案保证“快速高效、经济低耗、持续均衡、好中选优”,实现“精确动员”、“科学动员”,发挥潜力资源的最大效能。

⑷预案管理

制作国民经济动员预案,是为了提高国民经济在应付未来战争和突发事件过程中的应变能力、加快平战转换速度。在平时依据可靠的数据调查和合理的预测分析,根据各种不同假设条件,预先制定一系列动员实施方案。

①预案分类

该系统根据预案的用途,把预案分为“生产性预案、保障性预案、预防性预案、储备性预案和其他综合性预案”5大类。

根据预案的生成和编制方式,系统创造性地把预案又分为“静态预案”和“动态预案”两类。

――“静态预案”,即甘肃省或各个行业管理部门,根据需要制定的预案,例如:《甘肃省粮食供给保障预案》、《甘肃省应急救援物资保障预案》。这些预案具有强制性、科学性和规范性,可以大量收集并纳入该系统的管理,便于国民经济动员工作参照执行。

――“动态预案”,即由前面演示的“资源调度分析模型”自动生成的预案。

②动员预案管理

通过比较“静态预案”和“动态预案”的特点,可以看到,“静态预案”是定性预案,“动态预案”是“定量预案”。这样,该系统的预案管理把“静态”和“动态”相结合,“定性”和“定量”相结合,形成了完整的预案管理体系。

③预案的管理流程

该系统对预案管理,建立了如下流程:预案制作预案呈报预案审批预案预案执行监控预案评价。通过预案管理流程的信息化,使动员工作更加科学合理。

④动员预案执行

对于该系统的“动员预案”,都可以模拟执行。预案执行后,系统自动把各个参与动员指标的供应数量在此指标的“可动员量”中扣除,这样,可以制作一系列关联的预案,例如“平战转换阶段预案”、“部队机动保障预案” 、“城市防空作战保障预案”,并进行模拟,观察各个重点动员指标可动员量的变化情况,从而进行方案调整。

⑤动员潜力的监控(资源预警监控中心)

动员预案执行后,各个动员单位的可动员量会逐渐减少,该系统为了监控各个重点动员指标可动员量的变化,建立了“资源预警监控中心”。

该预警监控中心可以监控每一个地区或单位的每一个指标,可以设置指标的“上限”和“下限”范围:上限用于监控指标的生产是否过剩,下限是动员资源的可动员量的最大极限。当动员指标超过这些范围时,系统自动用红色指示灯报警。

监控缓冲区域用黄色标识,当监控指标达到此范围时,为了预防动员指标超过预警范围,指挥人员必须采用培训、扩充或扩大生产等措施,补充动员资源。

⑸文档管理模块

用户可以把经济动员文档资料利用文档管理模块进行管理。系统提供对国民经济动员的档案分类管理功能,可以方便地增加、删除文档类别、更改类别名称。

系统提供制作命令、指示、计划,通知通报等文档模板功能,用户可以利用这些模板编写“经济动员文档”。

①信息管理功能

该系统提供信息交换、网上演练等功能。

②信息交换管理

该模块主要包括“收件箱”、“发件箱”、“发个人信息”、“发群体信息”、“系统信息”、“系统信息管理”、“突发事件管理”、“战情通报”等功能。

③信息指挥调度中心

为了方便用户对网上演练信息和公文流转信息的管理,该系统建立了信息指挥调度中心,根据经济动员人员编制特点,系统对经济动员应用中的各种信息进行了如下分类:

――根据用户级别设置,把用户上级发来的信息分为命令信息、批示信息等;

――把用户下级发送来的信息分为反馈信息、申请信息等;

――把系统功能产生的内部信息分为填报预警、资源预警信息等。

在信息指挥调度中心,当收到新信息时,系统自动进行闪烁提示。

⑹网上演练

该系统以“信息交换管理”模块作为支撑,以“信息指挥调度中心”模块作为辅助手段,建立了网上演练功能模块。

当打开“战情通报”窗口时,具有权限的用户可以查看各个系统用户的在线状态,可以对参战小组下达命令或指示,通报预案的执行情况或事件的进展情况;各个责任单位根据这些情况,修正预案或采取新的措施。

网上演练功能为所有用户提供了共同的信息交换接口(即“战情通报”),为多用户协同处理某件突发事件提供了信息交换与共享工具,为检验某个动员预案的可行性及实施效果提供了手段。

“突发事件管理”:可以利用网上演练功能,按时序记录某次突发事件或某个预案的执行过程,通过事件回放对预案进行改进或总结事件的处理经验。

四、系统信息安全管理

⒈用户管理

该系统的建设注重系统安全,同时注重应用方便,用户管理采用用户、用户组关系网的管理模式,一个用户组可包含一组具有相同权限的用户。

为了和工作实际相结合,方便网上演练,系统提供用户级别设置,例如新建一个用户组,可以指定为:“基层人员级”、“中层领导级”、“高层领导级”;同时可以设置某个用户组的上下级,便于用户进行信息交换。

⒉ 信息安全

(1)功能层安全:可以限制某些用户的功能,例如,没经过授权的用户,不能应用“设置用户系统权限”、“资源调度分析”等系统功能。

(2)数据库层的安全:为了方便管理,有关表分类管理,可以用“类表权限”和“个表权限”进行授权;权限分为“无权限”、“查看”、“编辑” 和“完全控制”。

(3)数据安全精确到某条记录:某填报用户只对自己填报的那一条记录有查看、编辑权限。

(4)操作审计:该系统管理的任何数据都是十分重要的,需要监控用户对系统的操作,保证数据的安全。系统的审计信息详细记录了每个用户在何时、利用哪台计算机对哪些数据进行了何种操作。

⒊系统的维护管理

该系统通过贯彻国家及经济动员相关标准,提供系统维护接口、二次开发组件,保持系统的可拓展性和生命力。

⑴贯彻国家和经济动员相关标准

该系统除贯彻执行了国家有关标准,贯彻执行了《国民经济动员指标编码体系》、《国民经济动员管理信息系统软件开发规范》等经济动员行业标准,使系统能和各级经动信息系统方便地进行信息交换。

⑵动员潜力数据库维护

――动员潜力指标维护:可增加、删除动员指标、设置动员指标单位。

――动员潜力数据库维护:包括可增加、修改动员潜力调查表,设计表结构、表头等,导入各地上报的潜力调查数据,备份数据库等。

――动员专业地图维护:系统提供潜力调查数据空间配准接口,提供自动和手动定位配准功能。

⑶下载更新潜力数据功能

利用笔记本电脑,根据需要和权限,可以随时更新下载服务器上的最新潜力数据,导入到系统中。这样便于在网络被破坏的情况下,进行离线移动指挥。

⑷单位可动员潜力的维护

该系统通过“设置地区可动员量”、“设置实体可动员量”, 为设置和调节各个动员单位的动员潜力提供了接口;为模块抽组中的模块设置和管理提供了接口。

五、总结

该系统提供的强大的查询功能和丰富、直观的表现方式,可随时随地、准确掌握真实可靠的动员潜力数据,形象直观地供军地双方使用;实现经济动员潜力管理的科学化、可视化、动态化,使经济动员工作复杂问题简单化、模糊问题精确化、抽象问题可视化,为经济动员潜力的快速转化提供了有力工具;充分体现了国民经济动员平战结合的思想,为国民经济动员工作由传统模式向现代模式转换提供了有效的辅助决策支持平台。

篇9

第一章 总 则

第一条 为了规范通信设施的建设,提高通信服务质量,保障通信安全,促进通信业的健康发展,维护通信用户和通信业务经营者的合法权益,根据《中华人民共和国网络安全法》、国务院《电信条例》和有关法律、行政法规,结合本省实际,制定本条例。

第二条 本省行政区域内通信设施的建设和保护、通信服务的规范、通信安全的保障以及通信业监督管理等活动,适用本条例。

本条例所称通信,是指个人、组织相互之间利用有线、无线的电磁系统或者光电系统传送、发射、接收语音、文字、数据、图像以及其他形式信息,实现信息互通的活动。

本条例所称通信设施,是指为社会公众提供通信服务,用于实现通信功能的交换设备、传输设备和配套设备等;通信基础设施,是指通信机房、通信光缆、电缆、通信杆路、移动基站等通信设施。

第三条 县级以上人民政府应当将通信业纳入国民经济和社会发展规划,将通信基础设施专项规划纳入城乡规划,加强通信业监管体系建设,统筹协调解决通信业发展中的重大问题。

第四条 省通信管理机构应当根据本省国民经济和社会发展规划组织编制全省通信行业发展规划并对全省通信业实施监督管理。省通信管理机构可以委托有关行政机关或者具有管理公共事务职能的组织(以下与省通信管理机构统称通信管理机构)履行有关监管职责。

县级以上人民政府经济和信息化、网信、住房和城乡建设、城乡规划、公安、环境保护、无线电管理等有关行政主管部门按照各自职责,做好通信业相关工作。

乡镇人民政府、街道办事处和村(居)民委员会协助做好通信设施建设、保护等方面的相关工作。

第二章 通信设施

第五条 设区的市、自治州人民政府城乡规划行政主管部门会同通信管理机构编制通信基础设施专项规划,报本级人民政府批准后实施。

编制通信基础设施专项规划,应当符合城市总体规划、县城总体规划和土地利用总体规划,并遵循统筹协调、集约建设的原则,避免重复建设和资源浪费。

第六条 省通信管理机构应当组织协调推进全省通信基础设施均衡建设,加强农村通信基础设施建设和城市旧城区通信基础设施改造,完善网络覆盖。

第七条 规划道路、桥梁、隧道等公共基础设施,应当同步考虑通信设施建设需要,及时与通信管理机构协商预留通信管线等事宜。

新建、改建、扩建民用建筑,建设单位应当按照国家标准将配套通信设施纳入建设项目的设计文件,随主体工程同步施工、验收并将所需经费纳入建设项目概算,但移动通信基站应当由通信业务经营者建设并承担所需费用。

第八条 通信业务经营者进入居民住宅内新建或者改建通信设施的,应当征得业主同意;在其他已有建筑物上新建或者改建通信设施,应当事先告知建筑物的所有人、管理人或者使用人。

已有建筑物的所有人、管理人或者使用人应当为新建、改建通信设施提供通行便利和必要的场地,场地使用费按照国家和省人民政府的规定执行。

第九条 通信业务经营者不得通过与建筑物的建设单位、所有人、管理人或者使用人签订排他性协议等方式,阻碍其他通信业务经营者接入和使用配套通信设施,限制通信用户自主选择权。建筑物的建设单位、所有人、管理人或者使用人应当为各通信业务经营者提供平等接入和使用配套通信设施的条件。

第十条 通信业务经营者应当在大型公共场所和建筑物内的移动通信信号盲区、弱区,设置移动通信网络室内分布系统。

移动通信网络室内分布系统的设计、建设应当符合国家有关标准,满足多套移动蜂窝网络数据系统共享要求。

第十一条 省通信管理机构应当根据通信行业发展规划和通信基础设施专项规划,组织通信业务经营者开展通信设施共建共享工作,推进通信网与广播电视传输网、互联网的共建共享,避免资源浪费和重复建设。

通信业务经营者应当根据技术可行、节约资源、合理负担的原则,协商共建共享通信设施。新建、改建、扩建杆塔、基站、管道等通信设施应当实行联合建设;已有的管道、杆塔、基站等通信设施应当开放共享,不具备共享条件的应当采取技术改造、扩建等方式进行共建共享。因资源整合或者布局调整,移动通信基站等通信设施不再使用的,应当及时拆除。

第十二条 通信业务经营者在建筑物上附挂通信线路或者设置小型天线、移动通信基站等通信设施时,应当符合建筑物荷载要求,保证建筑物安全、正常使用;造成人身伤害、财产损失的,应当依法承担赔偿责任。

第十三条 鼓励设区的市、县(市)人民政府统筹规划建设地下综合管廊,为通信线路入地提供条件。具备通信线路入地条件的,在城市规划区内不得建设架空通信线路,城市建成区内已有的架空通信线路应当逐步入地。

在风景名胜区、文物保护区和历史文化街区、名镇、名村建设通信设施,应当采取景观化或者隐蔽化建设方案。

第十四条 通信设施建设应当文明、安全施工,避免或者减少影响居民、单位的正常生产生活。施工结束后,应当将施工过程中损坏的建筑物、绿地、道路等恢复原状;不能恢复原状的,应当按照国家相关规定给予补偿或者赔偿。

第三章 通信服务

第十五条 在本省经营通信业务,应当依法取得行政许可。运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省通信管理机构备案。

通信业务经营者许可或者备案事项发生变更的,应当向原许可或者备案机关办理变更手续。

第十六条 通信业务经营者应当执行国家服务标准,为通信用户提供准确、安全、便捷、畅通和价格合理的通信服务,采取多种形式广泛听取通信用户意见,提升服务质量。

第十七条 通信用户办理网络接入、变更、注销等手续时,应当提供真实身份信息,通信业务经营者应当对通信用户身份信息进行核验。通信用户不提供真实身份信息的,通信业务经营者不得为其提供通信服务。

第十八条 通信业务经营者应当通过系统监控、日常巡查、定期查访等方式加强对通信业务商的管理,及时采取有效措施规范商的行为。

第十九条 通信业务经营者应当公开服务项目及其资费标准,为通信用户交费和查询提供方便。通信用户要求提供收费清单的,通信业务经营者应当免费提供。收费清单应当按照国家规定详细记录相关内容。

第二十条 通信业务经营者在为用户办理入网、变更、注销等手续时,应当根据国家相关要求签订通信服务协议。通信服务协议中不得含有对通信用户不公平、不合理的条款,通信服务协议中的限制性条件及其他需要注意的事项,通信业务经营者应当用显著的方式告知通信用户。

通信服务协议有效期间,通信业务经营者有义务保存所订立的协议。

第二十一条 通信业务经营者对固定语音、移动语音、短信息、固定宽带、移动数据等业务进行组合销售时,应当另行提供单项业务服务。

第二十二条 通信用户产生超出前三个月平均通信费用五倍以上的异常通信费用时,通信业务经营者应当立即告知通信用户,并采取相应的措施。

第二十三条 通信业务经营者应当规范消费提醒方式,采用相对固定的渠道和统一方式向通信用户提供消费提醒服务。

因通信用户预付通信费不足可能导致暂停通信服务的,通信业务经营者应在合理的时段内,提前提醒通信用户及时交纳通信费用。

通信业务经营者未按照国家规定提供消费提醒服务,不得向通信用户收取通信费用违约金。

第二十四条 通信业务经营者应当定期委托有资质的第三方检测机构对计费系统进行检测,向社会公布检测结果并向省通信管理机构报告。

省通信管理机构应当不定期地对通信业务经营者的计费系统进行抽查,将抽查结果告知通信业务经营者并向社会公布。

第二十五条 通信业务经营者、电子信息内容提供者未与通信用户约定,不得向其发送商业性电子信息。

通信业务经营者发现电子信息内容提供者违反前款规定发送商业性电子信息的,应当暂停或者停止为其提供相关的通信资源或者服务,并保存有关记录。

第二十六条 因工程施工或者通信设施建设等原因可能影响正常通信服务的,通信业务经营者应当提前七十二小时告知相关用户;可能对通信服务造成重大影响的,应当向省通信管理机构报告。

第二十七条 通信用户申告通信服务故障的,通信业务经营者应当及时修复。故障发生在城镇的,通信业务经营者应当自接到申告之日起四十八小时内修复;故障发生在农村的,通信业务经营者应当自接到申告之日起七十二小时内修复;因特殊原因不能在上述时限内修复的,通信业务经营者应当及时通知通信用户,并免收故障期间的服务费用。但是,属于通信用户终端设备的原因造成通信服务障碍的除外。

第二十八条 通信业务经营者在通信服务中,不得有下列行为:

(一)未征得通信用户同意,为其开通约定以外的通信服务项目;

(二)无正当理由拒绝、拖延或者中止提供通信服务;

(三)不履行公开作出的承诺或者作虚假宣传;

(四)擅自增加收费项目、提高与通信用户约定的资费标准或者擅自改变与通信用户约定的计费方式、收费方法,伪造、篡改通信用户的计费数据及其他与计费有关的记录;

(五)捏造、散布虚假事实损害其他通信业务经营者的合法权益或者贬低、诋毁其他通信业务经营者的企业形象、商业信誉、业务品牌,恶意对其他通信业务经营者的服务或者产品实施不兼容行为,欺骗、误导或者强迫用户不使用其他通信业务经营者依法提供的服务;

(六)其他损害通信用户或者其他通信业务经营者合法权益的行为。

第二十九条 通信用户认为通信业务经营者侵犯自己合法权益的,可以向通信业务经营者投诉,通信业务经营者应当在接到投诉之日起十五日内答复;对答复结果不满意或者通信业务经营者在十五日内未答复的,通信用户可以向省通信管理机构或者其设立的专门申诉机构申诉,收到申诉的机构应当自收到申诉之日起三十日内处理并向申诉者反馈处理结果。

通信用户认为通信业务经营者侵犯自己合法权益的,也可以向消费者委员会投诉或者向人民法院起诉。

第四章 通信安全

第三十条 省通信管理机构应当建立健全应急通信相关制度,确保通信畅通。

第三十一条 通信业务经营者应当根据通信管理机构的要求加强应急通信保障体系建设,制定通信保障应急预案,并开展应急演练。

通信业务经营者在执行应急通信保障任务时,应当服从通信管理机构的统一调度指挥,采取相应的应急措施。

第三十二条 经公安交通管理部门批准,执行应急通信任务的通信车辆在确保安全的前提下,可以不受禁止机动车通行标志的限制。

第三十三条 任何个人和组织不得窃取或者以其他非法方式获取用户个人信息,不得非法出售或者非法向他人提供用户个人信息。

第三十四条 通信业务经营者应当建立健全用户个人信息保护制度,采取技术措施和其他必要措施,确保收集的用户个人信息安全。

通信业务经营者收集、使用用户个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围。通信业务经营者不得违反法律、行政法规的规定和双方的约定收集、使用用户个人信息;不得泄露、篡改、毁损其收集的用户个人信息。

通信业务经营者在发生或者可能发生用户个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第三十五条 通信业务经营者应当依法加强对通信用户、传输信息的管理,发现法律法规禁止、传输的信息的,应当立即停止传输、消除相关信息并保存有关记录,向有关主管部门报告。

第三十六条 通信业务经营者应当采取技术、管理手段防范和打击利用通信网络实施的诈骗行为。

通信业务经营者应当规范号码传送和使用管理,严格按照国家相关规定和标准传送真实号码,建立虚假号码主叫监测和处置机制,对发现的虚假主叫号码应当立即予以处置。

通信业务经营者应当采取措施保证出租通信线路的正当使用,不得私自转接国际来话和为非法网络电话、改号电话提供语音接入服务。

第三十七条 通信用户对于他人利用电话、短信等方式进行骚扰的行为,可以向通信业务经营者举报。通信业务经营者接到举报后,应当及时向有关部门报告,并协助有关部门采取措施予以查处。

第三十八条 建立健全打击生产、销售和使用非法移动通信基站等违法行为的联动机制,质量技术监督、工商行政管理等行政主管部门,无线电管理机构和通信管理机构应当配合公安机关对相关违法行为的查处。

第三十九条 通信业务经营者建设移动通信基站应当符合国家电磁辐射安全标准,并按照国家环境保护相关规定开展电磁辐射环境影响评估,公布评估结果。

通信业务经营者应当委托具备检测资质的机构对电磁辐射有争议的移动通信基站进行检测,检测结果应当在基站建设范围内公示,机构出具的检测报告应当向社会公开。

县级以上人民政府环境保护行政主管部门应当履行电磁辐射监管职责,对电磁辐射不符合国家标准的移动通信基站,应当依法处理。

通信管理机构应当会同环境保护行政主管部门、新闻媒体开展通信设施电磁辐射安全知识的宣传教育。

第四十条 通信业务经营者应当加强通信设施的维护和管理,履行下列义务,保障通信设施安全运行:

(一)在通信设施周围设置警示标志、围墙、栅栏等必要保护设施;

(二)对通信设施运行状态进行评估;

(三)建立通信设施日常巡查、维护、检修制度,做好巡查、维护、检修记录;

(四)对通信机房、基站、重要传输线路进行重点监测,并保存监测记录。

第四十一条 在国家规定的通信设施安全保护范围内,实施下列可能影响通信设施安全行为的,建设单位或者施工单位应当事先告知通信设施所有人,并采取必要的安全防护措施:

(一)建造建筑物、构筑物;

(二)新建、改建、扩建公路、铁路、桥梁、隧道、城市轨道交通等公共设施;

(三)铺设各类地下工程管线;

(四)采矿;

(五)建设生产易燃、易爆物品或者排放腐蚀性物质的工厂;

(六)其他可能影响通信安全的行为。

第四十二条 禁止下列危害通信设施安全的行为:

(一)侵占、盗窃、破坏、毁损通信设施;

(二)在国家规定的通信设施安全保护范围内挖砂、取土、堆土;

(三)在埋有通信光缆、电缆、通信管道的地面上倾倒含酸、碱、盐等腐蚀性的废液、废渣;

(四)在通信设施上附挂管线、物件,栓系牲畜或者攀爬通信杆塔;

(五)涂改、移动、拆除或者毁损通信设施保护标志;

(六)其他危害通信设施安全的行为。

第四十三条 任何单位和个人不得阻碍合法的通信设施建设或者从事危害通信设施安全的行为,不得擅自改动、迁移他人的通信设施。确因特殊情况需要改动、迁移的,应当与通信设施所有人协商一致后方可施工。

第五章 监督管理

第四十四条 通信管理机构应当建立健全通信业的监督管理制度,通过日常巡查、专项检查等方式开展监督检查,并及时在通信管理机构网站公布相关信息。

第四十五条 通信管理机构应当重点加强对通信业务经营者推进通信普遍服务、通信服务质量、通信业务公平竞争、通信用户投诉处理等情况的监督检查。

省通信管理机构进行监督管理时,可以采取下列措施:

(一)进入通信业务经营者相关场所进行检查和调查取证,提取相关资料、数据;

(二)询问当事人和其他有关的组织和个人;

(三)责令终止传输违法信息;

(四)向社会公开通信业务经营者的服务质量状况;

(五)法律法规规定的其他措施。

第四十六条 城市、县人民政府城乡规划行政主管部门应当会同通信管理机构加强通信基础设施专项规划执行情况的监督管理。

第四十七条 通信管理机构应当会同县级以上人民政府住房和城乡建设、教育等行政主管部门加强居民住宅小区、学校等特定区域通信服务的监督管理,保障通信用户的自由选择权。

第四十八条 通信管理机构及其他行政机关实施监督管理,不得妨碍被监督管理对象正常的生产经营活动,不得索取或者收受被监督管理对象的财物或者谋取其他利益。

第六章 法律责任

第四十九条 违反本条例第九条规定,建筑物的建设单位、所有人、管理人或者使用人未为通信业务经营者提供平等接入和使用配套通信设施条件的,由省通信管理机构责令改正,拒不改正的,处一万元以上五万元以下罚款;通信业务经营者与建设单位、所有人、管理人或者使用人签订排他性协议,阻碍其他通信业务经营者接入和使用配套通信设施的,由省通信管理机构责令改正,拒不改正的,处五万元以上十万元以下罚款。

第五十条 违反本条例第十七条规定,通信业务经营者为不提供真实身份信息的用户提供通信服务的,或发现用户使用假冒、伪造、变造的证件仍然为其办理登记手续的,由省通信管理机构责令改正;拒不改正或者情节严重的,处五万元以上二十万元以下罚款,情节特别严重的,处二十万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第五十一条 违反本条例第二十五条规定,未与通信用户约定向其发送商业性电子信息的,由省通信管理机构责令改正,予以警告,可以并处一万元以上三万元以下罚款。

第五十二条 违反本条例第二十八条第一至第三项规定,通信业务经营者在通信服务中损害通信用户权益的,由省通信管理机构责令改正、赔礼道歉、赔偿损失;拒不改正的,予以警告,并处一万元以上十万元以下罚款。

第五十三条 违反本条例第三十三条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供用户个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上五倍以下罚款;没有违法所得的,处一万元以上十万元以下罚款。

违反本条例第三十四条规定,通信业务经营者违反法律、行政法规的规定和双方的约定收集、使用用户个人信息或者泄露、篡改、毁损其收集的用户个人信息的,由省通信管理机构责令改正,可以根据情节单处或者并处警告、没收违法所得,处违法所得一倍以上五倍以下罚款;没有违法所得的,处一万元以上五万元以下罚款。

第五十四条 违反本条例第四十二条第二至第五项规定,危害通信设施安全的,由省通信管理机构责令改正;造成损失的,依法予以赔偿。

第五十五条 违反本条例第四十三条规定,阻碍通信设施建设的,由公安机关按照相关规定责令改正,依法处理;擅自改动、迁移他人通信设施的,由省通信管理机构责令改正,并处一万元以上三万元以下罚款;造成损失的,依法予以赔偿。

第五十六条 通信管理机构及其他有关部门有下列情形之一的,对直接负责的主管人员和其他责任人员依法给予处分;构成犯罪的,依法追究刑事责任:

(一)未编制或者组织实施通信基础设施专项规划的;

(二)未依法履行通信设施建设和保护监督职责的;

(三)未依法履行应急通信组织协调职责的;

(四)其他玩忽职守、滥用职权和徇私舞弊的行为。

篇10

中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)84-0188-02

1 计算机及网络攻击方式

针对计算机网络的攻击方式主体涵盖口令入侵、程序欺骗、拒绝服务、邮件攻击与木马攻击手段等。口令入侵通过应用合法用户相关账号以及密码登陆主机,并进行攻击。该行为的实现需要获取主机合法用户账号,并对其口令实施破译。通常来讲入侵方式包括缺省进入界面法、网络监听、暴力破解与漏洞入侵等。前者首先位于被攻击对象主机之中调用可行驶入侵程序且能显现伪造登陆界面,录入相关信息后,相关入侵程序便可将相应的用户录入信息发送至攻击方主机。监听方式为非法获取用户口令手段,监听方利用中途截获方式获得用户口令账号等信息。而暴力入侵则在掌握用户相关信息后借助专项软件实施破解攻击行为。利用漏洞主体针对计算机系统中存在的安全漏洞、后门与设计缺陷实施攻击,进而非法掌握用户信息。程序欺骗网络攻击中,攻击人通过表面合法程序的编写,令其发送至FTP站点以及主页之中,欺骗用户进行下载。该类软件可对用户实施的计算机操作行为展开跟踪并予以记录,进而将用户信息传输给攻击方。一般常用方式包括逻辑炸弹、蠕虫攻击、贪婪程序入侵等。拒绝服务则主体面向攻击方网络系统相关服务器传送较多无用且需要回复的冗余信息,通过耗尽其带宽以及资源的方式,令其网络系统不堪重负直至瘫痪崩溃,无法提供正常快速的网络服务。一般攻击活动中多应用分布式的拒绝提供服务的攻击,即调用多个计算机在同一时间对目标机器网络进行拒绝服务的集中影响攻击。其主体方式包括资源耗尽攻击、修改配置攻击、物理破坏、分布式拒绝提供服务影响攻击等方式。基于电子邮件的攻击方式是一类常用的非法手段,攻击方利用邮件炸弹与CGI程序发送较多内容信息、无用文件至目标邮箱之中,令邮箱面临撑爆威胁而无法正常应用。该类攻击方式主要包括饱和电子邮件影响攻击、邮件欺骗攻击等。特洛伊木马攻击主体为相关木马程序入侵至用户计算机系统中,展开直接的攻击影响,一般常常被伪装为程序软件与游戏等,欺骗用户点击打开或由网络中下载,一旦攻击邮件或程序被执行打开后,便会激活其中嵌入的木马令其装入计算机之中,并位于系统之中隐蔽,是可随windows系统而执行的破坏程序。当计算机系统连入互联网时,该木马程序便可向攻击人发出通知,将相关IP信息、预先设置端口等内容呈现出来,攻击人则可在获取该类信息后,对其参数、文件、口令、注册表、浏览器之中的内容进行随意修改。进行木马安装的实践方式包括发送电子邮件、程序更新升级、安装补丁与服务器等。攻击系统漏洞的方式为,主体利用计算机与网络体系软硬件工具中包含的安全漏洞,截获访问目标网络的相关权利,进而实现攻击。一般漏洞攻击方式包括缓冲区溢出影响攻击、病毒入侵攻击、后门攻击等。计算机系统受到网络入侵与影响攻击后,将受导致整体瘫痪,无法正常应用服务,令用户面临财产、个人信息的不良窃取丢失威胁,为此我们应探讨有效的防护对抗策略,进而提升计算机与网络系统安全性能水平,净化网络应用环境。

2 计算机与网络攻击的有效对抗防护

2.1 有效对抗防护技术

计算机与网络攻击的有效对抗防护技术丰富多样,且始终处于不断变化发展之中,为此,我们应探究技术创新,持续变更防护手段,优化对抗效果。可利用信息加密手段技术进行网络优化及验证加密。还可继续拓展应用防火墙技术,对网络出入数据包展开全面监察与过滤,并管控各项访问实践行为,对非法入侵访问进行有效封堵,并记录相关进入防火墙的各项信息与活动,做好网络攻击入侵的全面检测与快速告警。我们还可利用病毒预警技术进行有效的防护对抗,通过自动发觉、有效判断,分析计算机系统中各项信息、内存与文件的安全性,是否包含病毒。一般我们可将病毒预警同防火墙技术有效结合,进而构建病毒防火墙体系,做好各项网络传输文件信息与数据的全面监控,当发觉病毒入侵时,可将其快速过滤。另外可通过访问控制管理技术做好计算机系统各项资源的安全保护,杜绝其被非法获取访问。对于入侵攻击行为,我们可进行深入的分析探究,总结其特征,令计算机安全系统可对各项入侵行为、具体事件与实践过程进行快速响应。该技术可作为防火墙技术的有效补充,辅助计算机网络与系统对抗入侵行为,进而提升管理人员安全控制水平,确保信息安全体系的良好全面性。

2.2 科学对抗防护措施

为强化防护对抗,我们应完善对抗实验室创建,提升计算机网络对抗能效,通过对抗训练,位于封闭模拟系统中,实现基本战术研究、练习,明晰网络攻击以及对抗防御科学方式,并验证网络攻击与预防的全新方式实践效果。可创建网络对抗体系即应急管理小组,对网络信息展开实时监控,搜集运行信息资讯,实施对抗预警管理,研究对抗科学方式及相关预案。同时应提高网络对抗水平,基于战略目标快速研发网络技术、攻防策略,通过理论分析、规划设计,明确对抗管理原则,做好效果预期与协调管控。另外我们应依据计算机网络对抗现实特征,强化电磁损坏、相关结构体系、病毒感染、网络渗透及安全防护的科学研究,通过对抗演练做好相关理论的研究与发展。再者,应强化网络安全人才建设,扩充专家团队、指挥战术团队建设,培养基础操作管理人员队伍,完善网络安全对抗防护体系。

3 网络攻击方式的发展延伸

伴随对抗计算机网络攻击技术手段的扩充发展,未来网络攻击行为也将继续更新变化,发展出混合蠕虫影响攻击、隐蔽攻击以及自动更新影响等方式。前者具有自我快速繁殖能力,令攻击影响波及范围更宽,通过一次攻击便可影响较多系统漏洞。隐蔽攻击则会做到影响隐蔽、不留痕迹,并在未来基于黑客手段形成多变代码、隐蔽通道、内核后门以及嗅探后门等,将令对抗防护难度显著提升。通过自动更新功能,攻击方可令用户请求进行重新定向,一旦用户进行程序更新并连接至厂商站点进行下载之时,便会由于获取恶意程序而受到不良攻击影响。随着网络技术的发展,还可形成路由器以及服务器攻击影响方式。路由器可谓网络体系核心,DNS服务器则进行域名的相关解析,倘若攻击方进行路由器的影响破坏攻击,实施路由表篡改或服务器影响变更,便可令整体网络系统处于无序状态,形成紊乱现象,进而引发严重的破坏。为此,我们应依据网络攻击方式的发展延伸方向,制定有效科学、切实可行的对抗应用策略,进而做好安全防护管理,提升计算机网络安全水平。

4 结论

总之,针对计算机网络攻击影响方式、实践特征,我们应探究其具体规律、发展方向趋势,做好对抗策略制定,优化人才培养、扩充技术研究,才能提升防护水平,真正营造可靠、安全的网络应用环境,激发计算机技术优势价值。

篇11

中图分类号:TP309 文献标识码:A 文章编号:1672-7800(2012)003-0145-02

作者简介:黄心海(1970-),男,山东夏津人,人民医院信息中心助理工程师,研究方向为信息系统、网络维护。

1 医院信息系统安全

1.1 操作系统安全

目前医院服务器和客户端的操作系统一般多采用微软的Windows家族系列产品,对于用户帐号、用户权限、网络访问以及文件访问等实行严格的控制和管理,及时下载和打好系统补丁,尽可能关闭不需要的端口。终端用户使用无软驱、光驱的工作站,利用软件屏蔽USB接口,只允许连接键盘、鼠标、打印机等外部设备。随着现代信息交流需求的增加,Internet使用用户在医院也在不断增加,外网的不安定因素直接威胁到医院信息系统的安全,如黑客恶意攻击和计算机病毒、木马程序等,所以必须做到内外网物理隔离,需要交换信息时采用U盘或移动硬盘作为存储介质,只能由信息技术部门在指定的终端上操作,先在独立的计算机上进行查杀病毒及木马的工作,才可在内网终端进行拷贝等相关操作。

1.2 医院信息系统功能模块安全

大型医院信息系统由多种功能模块组成,如HIS、LIS、PACS、EMR、OA、病案系统等,信息量大,要求实现全程追踪和动态管理。作为一个联机事务系统,其中一些关键模块如果出现问题就可能影响其它多个部门的工作。所以对各类人员的账号及工作权限要严格管理。并且可以考虑多台服务器组成集群结构,如门诊挂号、收费采用一台服务器,PACS系统采用另一台服务器,同时增设总服务器,在总服务器中全套备份所有医院管理系统中的应用软件,每日在总服务器中备份各个管理系统中产生的数据,与此同时也做好光盘的备份,若有一台分服务器出现异常,该系统就转到总服务器进行。这样,既可以加强数据安全性,又可以减轻来自患者就医高峰期的网络压力。

1.3 数据库安全

大型医院计算机信息系统多选用Oracle、 SQL Server等大型数据库来管理各种医疗信息及工作。系统每日24h不停运行,一旦发生中断或将数据库中的信息丢失,就会造成无法弥补的损失。这就要求系统在发生故障时能自动将数据恢复到断点,确保数据库中信息的完整性。作为一个联机事务系统,医院的数据库记录时刻都处于动态变化之中,定时异地备份是不够的,因为一旦系统崩溃,势必存在部分数据的丢失,所以建立一套实时备份系统,对医院来说是非常重要的。现在很多医院采用磁盘阵列的方式对数据进行实时备份,但是成本比较高,安全性也不强。根据医院这个特殊的网络系统,建议设计数据保护计划来实现文件系统和网络数据全脱机备份。数据异地备份不要选择在网络高峰期备份数据,一般选择每日夜间自动备份关键数据。

1.4 病毒及木马防范

安装软硬件防火墙,如大型医院医保需要利用外网上传和下载数据,要求使用专线,屏蔽其它端口,医保服务器放在防火墙之后。在服务器上安装正版网络版防病毒软件,定期升级更新,工作站安装相应的杀毒客户端,在服务器上编写网络登陆脚本,实现客户端病毒库开机自动更新及软件版本升级,一般每星期更新一次。

1.5 应急预案

平时做好在紧急情况下的应急演练,对于突发严重情况,可采用单机应急程序,保证门诊、检验、药房等重要部门正常工作,不能影响患者就医,待网络正常后再将数据补入。24 h工作的关键部门准备备用工作站、打印机等相关设备,一旦出现问题,可以立即使用备用设备,以免影响正常工作。

2 网络设备安全

2.1 硬件设置对网络安全的影响

2.1.1 物理拓扑结构及网络构架

采用双核心双上联的构架,双核心即内网中有两台核心交换机互为热备份。双上联即每个接入层交换机带两个光纤模块分别接在不同的汇聚交换机上,解决单链接的单点故障问题,以提高网络的可靠性,保证网络不间断运行。一般大型医院采用三层交换与VLan结合的配置方法,三层交换即核心层、汇聚层、接入层,三层交换技术就是“二层交换技术+路由转发”,既解决了不同IP子网间的数据交换,又解决了传统路由低速、复杂所造成的网络瓶颈问题。大型医院的工作站较多,一个VLan下的IP地址数量不能满足要求,一般按地理位置划分多个VLan,各VLan间可依靠Cisco7609路由模块进行互访。

2.1.2 服务器

中心机房使用不间断电源(UPS)以保证断电后至少12 h服务器不会停止工作,防止因突然停电造成的数据库及服务器、交换机等硬件的损坏。目前大部分医院中心服务器采用的都是双机热备份+磁盘阵列柜RAID-5的模式,当前使用的服务器发生故障时,备份服务器能在极短时间内自动切换接管工作,启动数据库,一般能在几分钟内恢复业务处理。这样只做到了一台服务器出现故障时,能保证信息系统的正常运行,如果阵列出现故障,整个系统仍要停止运行,一般在条件允许的情况下应该备有应急服务器。应急服务器在日常工作时,通过数据库的备份服务实时地进行异地备份,保证数据与中心服务器的同步,当双机服务器或阵列出现故障时,系统能顺利转移到应急服务器上运行,所有用户的使用方法保持不变,患者数据信息连续,不仅方便了操作人员,而且大大提高了系统的安全性。

2.1.3 中心机房

中心机房面积应大于100m\+2、双线路供电、木质地板,还要考虑到如机柜间距离、温湿度、接地防雷、防静电等多种因素。

2.1.4 综合布线

大型医院一般为楼群建筑,医院主干线以及各大楼之间采用多模光纤,并留有备份。光纤到机器端采用6类屏蔽双绞线,线路之间避免交叉缠绕,室外线路要至少高于地面5~10cm,避免暴晒、雨淋等恶劣环境下使网线外皮开裂造成短路、断路。与强电保持30cm 以上距离,以减少相互干扰。新增网点,距离交换机尽可能短,一般在1.5~90m之间,特殊情况距离较远可在中间增加HUB以减少信号衰减。线路两端做好标记,出现问题时可以迅速找到相关位置进行处理。尽量减少HUB的多层使用,这样可减少事故中间环节。

2.2 外界环境对网络设备安全的影响

温度过高或过低都能导致计算机电路产生逻辑错误,还能损坏电源、电容等硬件设备,缩短机器寿命,因此无中央空调的建筑应在中心机房使用各式空调,降温至25℃左右。

南方及沿海城市气候潮湿,会使计算机中的集成电路和金属元器件氧化、生锈腐蚀,应该保持相对湿度40%~70%。

机器内部的电源、风扇、接线器容易吸附灰尘,灰尘的阻塞会使集成电路温度增高,影响散热,缩短机器寿命,造成机器自动重启、死机等故障,所以中心机房尽量保持无人员流动、半封闭环境,一般一年除尘一次。

静电是北方气候干燥地区在网络使用中经常面临的比较严重的问题,计算机元器件和集成电路对静电非常敏感,最常见的情况是引起工作站死机,因此应该做好机器接地放静电的措施。

医院大型医疗设备、无线发射设备和网络设备自身等,都能产生较强的电磁辐射。如ECT、核磁、放疗设备等,它们会使网络设备的一些部件失效,降低网络信号强度,甚至产生错误数据。所以一般尽量远离大型设备,做好大型设备防辐射建设,如需接入可考虑使用屏蔽双绞线来增强网络抗干扰能力。

2.3 人为因素对网络设备安全的影响

(1)对全院职工进行计算机基础知识和相关技能培训,特别是对中心管理人员进行相关教育,学习计算机管理的相关法律、法规,按照国家《信息系统安全等级保护基本要求》标准制定计算机管理制度并严格执行。医院患者个人信息要求保密度较高,做好各类人员的权限分配尤为重要。

(2)小型机柜尽量放置在无人区或配电竖井中,以免噪声影响他人正常办公。

(3)各种网络设备用电应与照明电路使用不同的线路,强电、弱电分开,一般至少保证有两条供电线路,由于医院的特殊性,一般都能保证24h不断电。

(4)医院其它部门如需施工,应与信息管理部门做好协调工作,做好防范措施,以免造成不必要的损失。

3 结束语

现代科技的发展使得计算机技术及网络技术日新月异,无论是医院的日常工作还是战略发展都离不开计算机网络系统的支持,它不但提高了医疗工作效率,也极大地方便了患者就医。信息系统及网络安全已成为医院信息安全的重要问题,这就要求我们提高认识,防患于未然。综合采用网络设施改造,应用网络安全技术及产品,完善网络安全技术服务及加强制定网络安全管理制度等多种安全措施,尽可能排除和降低网络运行中的风险,为医院计算机信息系统提供良好的运行环境,保障患者及医院自身信息的安全和切身利益,加快医院信息化建设的步伐。

参考文献:

篇12

中图分类号TP3 文献标识码 A 文章编号 1674-6708(2015)138-0084-02

在科技快速发展的过程中,Internet技术在世界发展飞速,它在给人们创造便利的时刻,也带来了威胁。虽然我们使用软件技术系统,但是互联网无论在哪个国家应用,其计算机网络的安全性都成为网络时展的关键性问题。科技的进展使得计算机成为工具,虚拟网络形成,网络犯罪就原生于此。由于其犯罪的隐蔽性等特点,表现出多样的犯罪。

1 网络安全威胁大致分析

1)病毒侵袭。主要指的是在计算机网络正常使用的过程中,病毒会对计算机系统造成破坏,从而影响到计算机系统的正常工作,甚至会造成系统瘫痪的现象。另外,由于病毒具有较强的传播性,因此,在计算机网络正常使用的过程中,可能通过网络数据的传输,对其他计算机系统造成一定的破坏。

2)有两类黑客攻击:即破坏性、非破坏性。

3)内外部泄密。主要指的是一些非法人员,在找到某个服务器网段内IP地址之后,并根据其地址运用ARP的欺骗手段,来对计算机系统进行网络攻击,致使计算机系统出现问题,甚至造成系统瘫痪无法运行。

4)计算机系统漏洞的威胁。在日常计算机使用的过程中,经常会发现计算机系统会提示使用者计算机此时已存在漏洞,急需修补的现象,这标志着计算机系统需要及时更新来填补系统漏洞。而很多计算机使用者经常会忽略这个操作,并不重视对计算机漏洞的修补,而这些漏洞也将成为网络黑客攻击的有利条件,致使存在系统漏洞的计算机在使用的过程中,有极大的可能会被黑客所攻击,从而对计算机网络的正常使用构成一定的影响,也给计算机系统内的信息带来安全威胁。

2 计算机网络系统安全威胁的防范措施

1)合理运用防火墙技术。防火墙对于熟悉计算机的人员都不陌生,防火墙作为计算机网络安全的重要保护层,对网络数据有着过滤的功能,将一些存在异样的数据信息包过滤,确保计算机系统接收数据包的安全性,从而有效避免网络病毒的传播。

2)实施物理网络安全措施。众所周知,计算机网络在使用的过程中,需要有着物理通信线路以及相应的实体设备作为支持的,而实施的物理网络安全措施,主要是为了避免这些物理通信链路以及实体设备等受到人为的破坏、自然灾害的破坏,为计算机网络的运行营造一个安全可靠的外部工作环境。另外,由于计算机网络运行是一项较为复杂的工程,其中涉及到的因素比较多,因此,解决安全的方案的制定需要从整体和宏观上进行控制把握。网络安全解决方案是整合网络信息系统安全,将各种系统技术措施等整合起来,构筑网络安全防护系统体系。只要我们做到技术和管理,安全技术和措施相结合,同时增强立、执法的执行力度,建立备份和恢复机制,制定标准措施,才能绕开网络威胁和避免被攻击。此外,由于病毒、犯罪等技术是分布在世界各处,因此必须进行全球协作。

3)在网络系统安全策略中,不仅需要采取网络技术措施保护网络,还须加强网络的行政管理,制定规章制度。对于确保网络系统的安全、运行,将会起到良好的功能性效应。 网络的安全管理,不仅要看所采用的技术和防范手段,而且要看它所采取的管理手段和执行保护法律、法规的力度强弱。网络的管理手段,包括对用户的职业教育、建立相应的管理机构、不停完善和加强管理功能培训、加强计算机及网络的立、执法力度等。加强安全管理、加大用户的法律、法规和道德观念,提升使用者的安全防范意识,对防止犯罪、抵制黑客攻击和防止病毒干扰,是重要的手段。

4)信息加密措施主要是安全保护网络资源。

5)病毒防范措施。(1)将病毒风险防控工作纳入信息科技考核要点;(2)能够以技术手段查找根源,定位病毒感染主机、追击感染源,做好预防工作;(3)加大力度惠及,提高觉悟。

3 网络系统安全将来发展方向

1)网络系统管理和安全管理方面。随着科技的不断发展,网络化技术的发展也极为迅速,而且,网络所遍布的范围也越来越广,而要确保计算机网络发展有着更好的延续性,就必须向着网络系统管理以及安全管理方向发展,全面提升计算机网络安全管理意识,进而有效的避免或降低被黑客的攻击以及病毒的破坏。网络越先进,安全越重要。在日常工作中,我们始终把系统安全稳定运行作为信息科技的要务,并结合实际情况,采取措施保证安全生产。一是强化员工安全意识。二是加大信息系统安全检查力度。三是细化应急预案。四是创新安全防范技术。我们还应探讨和发现隐性问题,把问题消灭在源头。

2)标准化网络方面。由于互联网没有设定区域,这使得各国如果不在网络上截断Internet与本国的联系就控制不了人们的见闻。这将使针对网络通讯量或交易量纳税的工作产生不可见的效果。国家数据政策的不确定性将反映在混乱的条款中。标准化网络一是提升了个人信息安全的识别,提示了风险的隐蔽、可见性,提高整改防控意识。二是使安全生产有了明确的量化标的。三是建立了激励与约束。四是采取现场检查方式进行监管检查,风险提示明确,问题处理表述清楚。五是规范工作流程。六是采取各点详查、随机抽查、现场提问使网点安全生产落实到实处。七是监管评价与重点工作考核结合。

3)网络软件系统方面。随着网络信息系统法律法规健全,计算机软件和网络安全物权法需要制定。

4)计算机网络系统法律、法规方面。在目前社会中,利用网络信息系统的犯罪猖獗。法律、法规是规范人们通常社会行为的准则,明确网络系统工作人员和最终用户的权利和义务。

5)网络系统密码技术方面。在系统中,使用密码技术可以确保信息的隐密,完全、确定性。伴随系统利用密码技术,智能卡和数字认证将会变得领先,用户需要将密码和验证码存放在稳妥的地方。所以,一定采取网络安全手段,研究网络安全发展趋势,坚决贯彻执行网络信息系统法律法规。(1)利用虚拟网络技术,防止基于监听的入侵手段。(2)利用防火墙技术保护网络免遭黑客攻击。(3)安全扫描技术为发现网络漏洞提供了保障。(4)利用病毒防护技术可以防、查和杀毒。(5)利用入侵检测技术提供实时的入侵检测及采取相应的防护手段(6)采用认证和数字签名技术。认证技术用以解决网络通讯过程中通讯双方的身份,数字签名技术用于通信过程中的不可抵赖要求的实现。(7)要对移动存储设备安全管理系统上线工作给予高度重视,按照要求在规定时限内完成工作;要增强信息系统安全的责任意识,以风险管控为前提,做好系统的日常维护和定期

演练。

6)加强网络技术和新型网络产品的开发研制、增强系统保护能力。

7)实行网络域名注册实名制。

8)加强网络道德教育、加强安全意识教育。

参考文献

[1]刘远生,辛一.计算机网络安全[M].清华大学出版社,2009:5-8.

[2]网络技术专业分析[N].重庆晚报,2012-08-13.

精选范文
学术杂志
友情链接