发布时间:2023-10-09 17:42:41
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇部队信息安全范例,将为您的写作提供有力的支持和灵感!
1消防部队计算机网络的安全隐患
(1)人为因素方面存在的安全隐患
计算机网络技术的普及应用给官兵日常工作带来了极大的方便,只要用一台电脑就可以进行日常办公。然而,消防部队官兵网络安全意识淡薄,缺乏安全知识,或打开网页浏览网络信息后不能及时关闭网页,导致重要信息泄露;或数字证书使用后不能及时从电脑上取下,埋下安全隐患;或使用U盘、移动硬盘等移动数码存储介质时没有进行杀毒处理,极易导致系统感染病毒或造成系统信息泄露;或不注意对杀毒软件进行更新、升级,无法保证杀毒软件的监控功能和查杀功能。另外,消防部队官兵大部分不属于计算机专业,接触计算机网络项目少,缺乏网络安全维护知识,对网络安全防护操作不了解,在系统应用过程中容易出现一机两用、信息泄密、感染病毒等现象。消防部队官兵网络系统安全意识淡薄、安全防护知识缺乏为消防部队的网络系统埋下了极大的安全隐患。
(2)网络基础设施建设以及技术方面存在的安全隐患
由于受投入资金的限制,消防部分的网络信息化建设明显不完善,尤其是调度指挥网的建设以及各种专用网的建设均无法满足现实需求,即没有做到专网专机专用,在网络安全隔离方面也没有设置网闸、硬件防火墙等安全防护设施,而且仅仅采用双网卡接入方式实现部分网络的接入,使网络系统的安全性得不到保障。另外,部分网络为了调试方便,几乎在电脑硬件上不设置任何防护措施,使电脑端口呈开发状态,这样极易给一些不法人员以可乘之机吗,对系统实施恶意攻击,最终导致网络系统瘫痪。在网络安全防护技术应用方面,在安全防护技术方面的投入不足,杀毒软件等安全防护软件不能及时更新、升级,系统漏洞较多,容易受到攻击及病毒感染,甚至造成不同网络的病毒交叉感染,最终系统瘫痪。
(3)数据存储存方面存在的安全隐患
随着系统数量的不断增加,数据的存储问题越来越突出,如何保证数据的完整性、安全性使目前要解决的重要问题。导致系统数据丢失的因素有很多,网络硬件故障、系统管理不善或者自然灾害等情况均可以导致数据丢失。消防部队网络系统数据存储存在的安全风险主要体现在以下几个方面:①操作系统和数据库系统的安全防护能力不高,当系统造成恶意攻击时可导致系统崩溃,进而造成数据丢失;②系统的硬件由于兼容性的限制而无法实现数据的有效备份,一旦计算机硬盘发生故障即可导致存储数据丢失;③系统数据缺乏完善的保密机制,导致数据泄露现象频发。
2消防部队计算机网络安全隐患的应对策略
2.1加强硬件防护
硬件是实现信息化建设的基础设施,是解决网络安全问题的关键所在。首先要加强机房建设,健全机房设备,建立高效的、适用的供电系统、UPS系统、防雷系统等,机房交换机设备、路由器设备要保证具有较好的稳定性性和较高的运行速度,以确保网络通信畅通。机房服务器的运行指标要满足一定要求,保证服务器稳定、高效运行。网闸、硬件防火墙的等设备要符合公安要求,以便实现不同网络之间的对接,这对保证网络的安全运行非常重要。另外,在数据存储方面,一定要加强移动存储介质应用的管理,移动存储介质在对接公安网时要进行杀毒,存储介质在确定不含机密文件的情况下才能插入如联网。网络建设中各种硬件设备一旦发生故障要及时维修或者更换。
2.2加强软件防护
消防部队的网络建设需要安装正版的系统软件,一方面保证系统的性能,另一方面保证系统的安全。在数据库的管理和应用中,需要由专业的计算机网络管理人员进行数据库操作,在设计数据库的过程中要考虑到各数据之间的关系,并正确配置,对数据库的用户数量进行一定限制,明确不同用户的职责范围和使用权限,对于一些机密数据要进行加密处理。为了保证数据的完整性和有效性,要做好数据库数据备份工作,制定完善的数据备份策略。严格遵守软件的开发要求,有必要时需要关闭影响网络安全的服务,以确保系统的安全运行。加强网络安全技术应用,安装杀毒软件,设置防火墙,定期检查和修复系统漏洞,同时注意对杀毒软件的更新。目前应用较广泛的计算机网络安全防范技术有加密技术、防火墙、病毒防护技术、入侵检测技术等。①加密技术是进行网络安全防护的核心技术,经过多样的研究和开发,现代加密技术基本已经实现了数据保密性、数据完整性、数据真实性以及数据可控性的完美结合,在当前的网络信息安全管理中发挥着重要作用。②防火墙是阻挡网络外部风险的重要措施,是一种用于加强网络之间安全访问控制,阻止外部网络用户以非法手段进入内部网络,是一种非常有效的安全策略。根据所采用技术的不同,防火墙可分为多个类型,包括过滤性防火墙、型防火墙、监测型防火墙等等。③病毒是网络安全的最大隐患之一,采用有效的防病毒技术可以防止病毒对计算机系统造成破坏。当前的防病毒技术主要有病毒预防技术、病毒检测技术以及病毒消除技术等。
2.3加强管理
(1)建立健全的网络安全防范机制
其一,制定物理隔离相关规定,并加强执行力度,以消除一机两用的现象;其二,规范网络安全管理和维护,局域网内需安装网络版防病毒软件以及其他安全防护软件,并进行及时更新、升级,以便最大程度消除安全隐患。其三,针对网络病毒制定有效的应急预案,以应对大规模的病毒发作,提高系统运行性能和应急能力。
(2)对主机本身进行安全加固
服务器是网络系统中的关键部分,一定因为服务器问题引发安全问题或者导致系统瘫痪将会造成不可估量的损伤,所以网络系统的安全防护必须要重视对服务器的管理,对重点服务器进行安全加固。服务器加固的方法有多种,常见的有增打补丁、或利用安全扫描技术对系统服务器进行扫描分析,以便找出系统中潜在的安全隐患,并及时消除。另外,对重要的、安全级别较高的系统建立应急预案,同时建立数据安全策略。
(3)制定详细的管理措施
为了进一步加强安全管理,消防部队应根据实际需求制定比较详细的管理细节,同时对计算机系统进行安全风险评估,通过对系统的定期分析了解系统各个层次的安全状况以及潜在的风险,信息安全评估内容包括物理安全、网络安全、系统安全、软件安全、数据安全、应用安全、管理安全等等多个方面,其中尤其要重视软件的安全,详细分析各种安全要素,以保证系统软件的安全应用。
(4)制定完善的访问控制策略
有效的控制访问策略是提高系统安全抵抗能力,缺乏系统数据安全性的重要手段。网络系统的安全控制管理一方面要建立认证系统,为确保系统数据信息的安全性必须要加强访问权限管理。另一方面可以充分应用IP限制技术、或者与MAC绑定技术加强系统访问控制管理。
(5)提高全员的安全意识,加强安全知识学习
随着网络系统的普及应用,提高安全意识是保证网络系统安全性的关键所在。其一,必须要从思想上认识到网络安全防护的重要性,杜绝使用未经杀毒处理、或者其他来历不明的软件,不随便查看、阅读、下载网络上来历不明的邮件或者文件;其二,用户应增强安全防护意识,对计算机系统要设置密码,不使用影响系统完全的服务,取消完全共享,并定期对系统和相关软件进行杀毒,增打补丁。其三,对全体官兵进行网络安全知识教育和普及,并落实网络安全责任,培养高素质的计算机网络安全维护人才。
3结论
网络安全防护是一个比较复杂的、需要长期坚持的任务,随着计算机技术的快速发展,计算机病毒、网络攻击等威胁系统安全的技术也不断升级、更新,让人防不慎防范。在网络安全问题逐渐多样化、复杂化的趋势性,网络安全防护也需要从多方面加强防护措施,建立多层次的、立体的防护体系,全方位维护网络系统的安全。
作者:李哲强 单位:呼伦贝尔市公安消防支队司令部
引用:
[1]唐镇.基层消防部队网络和信息安全问题及管理对策[J].网络安全技术与应用,2015.
[2]郭浩.当前消防部队网络信息安全问题及措施分析[J].信息安全与技术,2013.
中图分类号:TP311 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02
The Public Security Frontier Forces Information Security Construction Discussion
Jiang Haijun
(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)
Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.
Keywords:Network information security;Level protection
随着科学技术和边防部队勤务工作的深入发展,信息化建设已成为提高边防执法水平的有力途径,全国边防部队近年来已基本实现信息资源网络化。但是,紧随信息化发展而来的网络安全问题日渐凸出,给边防部队管理工作带来了新的挑战,笔者结合边防部队当前网络安全工作实际,就如何构建全方位的网络安全管理体系略陈管见。
一、影响边防部队信息网络安全的主要因素分析
(一)物理层的安全问题。构成网络的一些计算机设备主要包括各种服务器、计算机、路由器、交换机、集线器等硬件实体和通信链路,这些设备分向在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起网络的瘫痪。物理安全是制定区域网安全解决方案时首先应考虑的问题。
(二)计算机病毒或木马的危害。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响网络安全的丰要因素。新型的木马和病毒的界限越来越模糊,木马往往借助病毒强大的繁殖功能使其传播更加广泛。
(三)黑客的威胁和攻击。现在各类打着安全培训旗号的黑客网站不胜枚举,大量的由浅到深的视频教程,丰富的黑客软件使得攻击变得越来越容易,攻击者的年龄也呈现低龄化,攻击越演越烈。黑客入侵的常用手法有:系统溢出、端口监听、端口扫描、密码破解、脚本渗透等。
二、边防部队信息网络安全的特征分析
(一)网络安全管理范围不断扩大。从工作点来看,网络覆盖范围已从机关直接深入到基层一线,从机关办公大楼到沿边沿海的边检站、派出所。凡是有网络接入点的地方,无论是物理线路还是无线上网点都必须进行网络安全管理,点多线长,情况复杂;从工作环节来看,从设备的选购、网络的组建、专线的租用到日常网络应用,从设备维护保养、设备出入库到送修和报废,无一不涉及到网络信息安全,网络安全已渗透到工作的每一个环节。如:某单位被通报发现违规事件,经调查,结果是有人将手机接上公安网计算机充电,而该手机正在无线上网。
(二)安全管理对象类型复杂多样。目前,公安信息网、互联网、业务专网、机要专网在日常工作中频繁使用,成为管理的难点。同时,公安网上各类使用中的网络安全管理软件系统应用有待深化,一些网络管理软件使用功能仅停留在表层,未能成为得力工具。
(三)网络安全问题不断翻新。目前互联网、公安网、业务网、网四种网络必须物理隔离,禁止交叉使用移动存储介质,但四种网络的信息资源在一定范围内却必须共享交流。曾经出现过这种情况,某单位人员在互联网上建立论坛,发表不健康言论,触犯边防部队管理条例。究其原因,是因为我们的网络安全工作一直以来是局限在公安网内部,尚未随着网络应用发展趋势扩展到互联网的管理上。
三、边防部队信息网络安全的技术分析
网络安全产品的自身安全的防护技术网络安全设备安全防护的关键,一个自身不安全的设备不仅不能保护被保护的网络而且一旦被入侵,反而会变为入侵者进一步入侵的平台。
(一)虚拟网技术。虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
(二)防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(三)病毒防护技术。病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。在防火墙、服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(四)入侵检测技术。利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够。需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案;在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
四、边防部队信息网络安全管理体系的对策
网络安全是一个范围相对较大的概念,根据具体的实际情况组成不同安全管控层次或等级的网络系统,既是网络实际发展应用的趋势,更是网络现实应用的一种必然。
(一)提高多层次的技术防范措施。按照网络实际应用中出现故障的原因和现象,参考网络的结构层次,我们可以把网络安全工作的对象分为物理层安全、系统层安全、网络层安全和应用层安全,不同层次反映不同的安全问题,采取不同的防范重点:一是确保物理环境的安全性。包括通信线路的安全、物理设备的安全、机房的安全等。在内网、外网共存的环境中,可以使用不同颜色的网线、网口标记、网口吊牌来标记区分不同的网络,如灰色的公安网专用,红色的互联网专用,黄色的网专用。二是确保软硬件设备安全性。必须预备一定的备用设备,并定期备份重要网络设备设置。对待报废的各类存储类配件,一定要进行消磁处理,确保信息安全。三是提供良好的设备运行环境机房要有严格的防盗、防火、防潮、防静电、防尘、防高温、防泄密等措施,并且有单独的电源供电系统;安装有计算机的办公室要有防尘、防火、防潮、防泄密等措施,电源要符合计算机工作要求。四是完善操作系统的安全性必须设置系统自动升级系统补丁。五是加强密码的管理。存取网络上的任何数据皆须通过密码登录。同时设制复杂的计算机开机密码、系统密码和屏保密码。
(二)建立严格的网络安全管理制度。严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低安全漏洞。我们应通过制度规范协调网络安全的组织、制度建设、安全规划、应急计划,筑起网络安全的第一道防线。
(三)合理开放其它类型的网络应用。目前,很多单位都建立了警营网吧,给官兵提供良好的学习娱乐平台,这种情况下就必须把互联网的网络安全工作纳入安全工作范围,采取多种方法,规范和引导官兵进行互联网的应用,合理开放所需的应用功能,有效控制不合理的功能应用。目前,边防部队的信息网络安全技术的研究仍处于起步阶段,有大量的工作需要我们去探索和开发。公安部已在全国范围内大力推进信息网络安全工作,相信在大家的共同努力下,边防部队将建立起一套完整的网络安全体系,确保信息网络的安全,推动边防部队信息化高度发展。
五、结论
网络信息安全系统建设完成后,将实现信息系统等级保护中有关数据安全保护的基本要求和目标,尤其是应用密码技术和手段对信息系统内部的数据进行透明加密保护。网络信息安全系统还为单位内部机密电子文档的管理提供了一套有效的管理办法,为电子文档的泄密提供了追查依据,解决了信息系统使用方便性和安全共享可控制的难点,为部队深化信息化建设提供技术保障。网络信息安全系统能够有效提高单位的数据安全保护等级,与其他信息系统模块协调工作,实现了资源的整合和系统的融合,形成一个更加安全、高效、可控、完善的信息系统风险监控与等级保护平台,提高了部队内部核心数据,特别是对内部敏感电子文档的安全管理,随着系统的不断完善和扩大,将对部队内部网络和信息系统的安全保护发挥更大作用。
网络信息技术在经济的激烈发展中变得日益先进化,设计到国家发展的各个领域,是国家经济发展的重要力量,但是网络信息技术作为一种无形的技术很容易受到威胁,在长期的使用中会出现一些不良的网络信息、干扰网络系统的病毒以及机密被窃取的现象。公安边防部队作为守卫国家安全的重要组织,在网络信息的安全管理上更是要引起重视,要查找在安全管理中所存在的威胁因素,例如:信息传递以及网络结构管理所面临的问题;网络设备的利用性不高;网络体系中出现恶意的程序;网络信息操作的安全性低。进而根据这些问题找出相应方案去除这些威胁,进而维护好国家的发展与居民的安定。
1 公安边防部队网络信息安全管理面临的问题
在公安边防部队的网络信息使用中,由于一些威胁性因素的存在严重威慑着部队对网络信息的安全管理,下面笔者就和大家共同分析一下,在公安边防部队网络信息安全管理中所面临的为威胁性因素:
1.1 光纤通信网络的安全隐患
在光纤通信网络信息传递的过程中由于缺乏安全的管理,致主要是物理链路方面。使很多病毒以及恶意的软件在中途植入,导致信息大量的丢失,一些不法的想窃取公安边防部队的机密的人员,使用一些高端的技术扫描公安边防部队网络体系所存在的漏洞。进而找出突破口,窃取机密。由于在网络结构的创建过程中,会用到很多的网络设备,在这些网络设备的使用中也会出现泄漏信息的状况,究其原因,主要是由于公安边防部队在信息传递以及网络结构的创建中缺乏安全的管理。
1.2 网络设备的利用性不高
在网络信息的使用中,由于设备的管理与监督力度不够,最终致使设备被窃取;很多网络设备被修理的次数非常的多,导致设备断电等在使用中会出现很多故障以及意外,最终致使公安边防部队的信息以及机密被外泄;还有的情况是因为操作人员技术性能不强进而使用不当致使网络设备破损;由于地区的局限性,所用的设备过于落后,不能够跟得上信息技术的发展与变化,致使信息不灵通,网络设备的利用性不高。
1.3 机房信息接入点的安全隐患,网络体系中出现恶意的程序
网络技术的日益发展使得网络体系也逐渐的日益先进,但是与此同时,相应的窃取机密以及信息的不法科技也在快速的发展。很多肆意窃取公安边防部队信息机密的不法分子,通过高端的科学网络技术,将恶意的程序例如:病毒、木马等植入到网络信息的各种软件之中,公安边防部队的工作人员在使用的过程中,在毫不知情的情况下,系统就会出现安全威胁,进而信息就会被他人窃取。
1.4 网络信息操作安全性能低,违规使用的安全隐患
在网络信息的管理中由于相关管理人员缺乏有效的管理,致使网络信息操作的安全性降低,信息被大量的盗取的现象频频上演,除此之外,由于网络机器设备在使用中,由于各种原因,故障以及意外的高发性也致使网络信息操作的安全性能降低;由于在公安边防部队目前所用的网络信息体系中一些防范技术很少被使用,导致病毒以及木马的入侵,所以最终致使网络信息操作的安全性能降低,信息被盗取。
2 解决公安边防部队网络信息安全管理问题的对策
2.1 强化网络信息人才培养,完善网络安全防护技术
要想提升公安边防部队网络信息的安全管理首要措施一定是从相关的管理人员做起,提升相关的管理人员的综合性修养,进而提升管理的有效性。在提升相关的管理人员的综合性修养的过程中,公安边防部队要创建一套合理的、全面的管理制度。在目前的网络信息管理中缺乏有效的制度,既使有也不符合当下网络信息管理的要求。这样使得网络信息泄密的状况有法规以及法律的约束。在管理的过程中,要多汲取先进的管理经验,结合自身的问题,制度相应的管理制度,为了保证管理的高效性,可以制度相应的奖惩条例。进而在网络信息的管理中,相关的工作要做好分工,责任要有明确的划分,创建一定的责任体系,将公安边防部队的网络信息管理责任规划到专人身上,遏制信息泄露状况的发生。对于一些不是公安边防部队的工作人员,要加强管理以及防范工作,可以录指纹;签订协议等,以防不法人员浑水摸鱼,偷盗机密。相关的管理人员还要对工作中所用到的手机、电脑以及相机等移动的存储物体加强管理,要做好相应的使用登记。还要加强对相关管理人员的技能强化,保证其在工作中能够有足够的能力去应对相关的问题。
2.2 要进一步完善网络安全保密工作
要想确保公安边防部队的网络信息管理的安全性,一定要注重对网络信息安全的防范工作,进而创建防范病毒以及各种威胁因素的检测体系,保证网络信息体系可以在全天中得到检测,进而能够有效的发现系统中所出现的漏洞,并做出相应的弥补和防范,找出问题的根源,将不法的窃取机密的科技以及人员一网打尽,为创建安全的网路信息体系提供可行的条件。要研制出相应的防火墙技能,进而提升对网络信息体系的管理与监督。防火墙虽然对增强网络信息安全方面的作用很重要,但是随着盗窃机密的技术的快速发展,防火墙的保护功能在日渐衰退,所以要想建立保护网络信息体系的防火墙一定要采用高端的科学技术,研发出高端技能的防火墙,进而能够对网络信息体系中的病毒、木马以及恶意的软件做出有效的控制,相关的管理人员要对文件以及机密的加密技术进行研究,使得加密技术能够更加的合理化、先进化、安全化。所以要想促进公安边防部队网络信息管理的安全化,要注重网络信息安全的防范工作,进而促进边防工作人员的信息技术的合理化、安全化。
2.3 要建立网络安全防护机制,制定合理的网络控制措施
公安边防部队可以号召国家的一些重点部门以及单位合理规划自身所用的网络信息体系,站在国家的角度,将所用的网络信息体系融入国家的网络信息建设的规划中,进而扩大网络控制的范围,包括网络安全风险评估、网络安全应急演练等,增强网络控制的力度。公安边防部队可以在网络控制中发挥自身的主导作用,积极的协调、规划好网络信息系统管理的安全工作,并将其落实到位,号召各单位以及部门积极的配合好公安边防部队的网络信息管理的安全工作,进而将有效的管理落到实处。随着工作的信息化,很多部门在工作中都实现了网络化的发展,公安边防部队在网络化工作的过程中,要将报警技术植入到各网络体系的使用中,进而通过报警提示来考核网络信息体系的安全性,若出现问题报警体系就会有提示,然后工作人员可以及时的查找问题的所在位置,并做出相应的防范措施,进而消除病毒、木马、恶意软件等安全威胁。
3 总结
网络信息技术在各个领域的广泛应用带动了我国的经济发展,但是在长期的使用中也出现了各种威胁网络信息安全的因素,尤其公安边防部门这种威胁的威慑性非常的严重,它影响着国家的经济发展以及居民生活的安定,所以一定要找出公安边防部队网络信息安全管理面临的问题,信息传递以及网络结构缺乏安全管理的问题,网络设备的利用性不高,网络体系中出现恶意的程序,网络信息操作安全性能低。针对这些问题,公安边防部队要提升相关管理人员的综合化的修养,并注重网络信息安全的防范工作,制定合理的网络信息控制措施,为公安边防部队的工作人员提供一个稳定的守卫环境以及可靠的信息利用系统。
参考文献:
[1]任志安、钱士侠,论公安机关在群体性治安事件中的法律定位[J].长白学刊,2011(03).
[2]郭会茹、孙静静,公安网络信息安全及其防范措施的研究[J].赤峰学院学报(自然科学版),2011(09).
[3]钟婧,群体性治安事件处置原则新探究[J].法制与社会,2010(21) .
[4]苏伟,论社会转型期公安工作中的媒体应对[J].吉林公安高等专科学校学报,2010(01).
[5]许发见,从“维基解密”事件看公安网络安全管理重要性[J].信息网络安全,2011(02).
中图分类号TN91 文献标识码A 文章编号 1674-6708(2014)121-0239-02
0引言
随着计算机和网络技术在消防部队的广泛应用,网络安全和信息保密问题也日益凸显。近几年,公安消防部队发生了一些网络违规事件、失泄密案件大多是通过计算机和网络途径发生的,网络攻击、网络窃密和网上违法犯罪等问题日渐突出。在中央网络安全和信息化领导小组第一次会议明确指出:没有网络安全就没有国家安全。下面,笔者就如何加强公安消防部队网络信息安全工作谈谈自己的看法。
1 当前基层公安消防部队网络信息安全现状
1.1网络安全意识普遍不强。
基层公安消防部队官兵在日常工作中要经常性接触互联网、公安信息网和调度指挥网,台式计算机、移动办公终端(笔记本电脑)基本普及,这给广大官兵日常办公带来了很大的方便。但由于部分官兵网络安全意识不强,甚至淡薄,导致出现以下方面:一是U盘、移动硬盘等移动数码存储介质普遍存在公安信息网和互联网交叉使用的问题,易使电脑感染病毒,甚至造成网络失泄密。二是工作用计算机未及时更新升级杀毒软件,致使杀毒软件无法发挥正常的监控和查杀功能。三是打开办公系统或网页浏览信息后,没有随手关闭的意识,致使一些重要内容被外来人员浏览。四是个别官兵网络安全防范知识匮乏,将个人智能手机等便携式上网设备连接公安网充电或下载资料,造成“一机两用”违规。五是公安网电脑和各类服务器密码设置过于简单,且不能定期更换,易遭到恶意登陆,造成重要信息的外泄。
1.2网络信息安全规章制度落实不力
《公安信息网“八条纪律”和“四个严禁”》、《禁止公安业务用计算机“一机两用”的规定》、《公安网计算机使用管理规定》、网络信息系统日巡检、系统日志周检查和数据库备份制度等一系列网络信息安全规章制度未有效落实在日常工作中,麻痹大意思想不同程度存在,造成了基层公安消防部队网络信息安全隐患事件。
1.3网络安全教育组织不到位
大多数基层部队官兵电脑、网络方面的维护知识较少,对于查杀病毒、杀毒软件升级、设置更改密码等一些基本操作都不精通,工作中普遍存在只使用、不懂维护现象,这些因素致使网络信息安全得不到保障有效。多数基层消防部队开展网络安全教育手段较为单一,多是照本宣科的传达上级规章制度,不少单位甚至将士兵上网行为视作洪水猛兽,这种一味去“堵”、“防”的安全教育管理模式,显然不能从根本上解决问题,也达不到提升官兵自身网络安全意识的效果。另外基层消防部队的合同制消防员和文职人员流动性大,也增加了消防部队网络安全教育的复杂因素。
1.4网络安全技术防范措施和手段较为单一
基层公安消防部队的网络信息安全系统建设普遍不到位,网络安全管理平台、威胁管理(UTM)、防病毒、入侵侦测、安全审计、漏洞扫描、数据备份等安全设备缺口较大。受经费制约,不少基层消防部队在信息化项目建设时不能按照有关规定进行网络安全设计,无法同步建设网络信息安全系统。这种现象致使基层部队网络安全技术防范措施和手段较单一,不能及早发现、消除一些网络安全隐患。
2 加强基层公安消防部队网络信息安全的对策
2.1加强网络信息安全教育
基层消防部队要组织官兵经常性地学习部队网络信息安全规章及禁令,积极开展反面警示及法制教育,从中汲取教训,举一反三,使官兵充分认识到网上违纪违规行为的严重性和危害性。针对网络违纪的倾向性问题,加强思想政治教育、革命人生观教育和忧患意识教育,让青年官兵做到正确认识看待网络技术,正确把握自己的言行。可以邀请保密部门进行专题培训、组织案例剖析以及窃密攻防演示等多种形式,进一步强化官兵依法保护国家秘密的自觉性。要加强对文员和合同制队员的岗前培训与安全保密教育工作,对于日常工作中经常接触公安网和内部信息的人员要严格监督和指导,贯彻落实各项安全管理制度,杜绝违纪泄密事件发生,最大限度地消除隐患,确保网络信息安全。
2.2规范日常网络安全检查
应配责任心强、计算机素质较高的官兵为单位网络安全管理员,严格落实网络信息系统日巡检、系统日志周检查和数据库定期备份制度,并将设备运行参数、安全运行情况、故障处理信息等检查、巡检结果造册登记。同时要定期组织开展计算机网络安全自查,确保不漏一人、一机、一盘、一网,对排查出来的问题要逐项登记,落实整改措施,消除隐患,堵塞漏洞。通过经常性的检查评比,在部队内部营造浓厚的网络信息安全氛围,不断提升官兵做好网络信息安全工作的自觉意识,杜绝各类网络信息违纪泄密事件发生,把隐患消灭在萌芽状态,确保网络信息安全稳定。
2.3加强公安信息网接入边界管理
每台接入公安网的计算机必须安装“一机两用”监控程序、防病毒软件,及时更新操作系统补丁程序,坚决杜绝未注册计算机接入公安网络。计算机、公安信息网、互联网必须实行物理隔离。严禁具有WIFI、蓝牙功能的3G手机连接公安网电脑。除移动接入应用外,严禁笔记本电脑接入公安网。严格落实各类应用系统和网站的登记、备案制度,严格上网内容的审批,防止非网管人员随意登录服务器篡改业务系统程序、开设论坛、聊天室、架设游戏网站、非工作视频下载等违规行为。
2.4加强网络信息安全技术保障
基层消防部队要依据《全国公安消防部队安全保障系统建设技术指导意见》,在建设信息化项目时,制定切实可行的网络安全保障规划,加大投入,确保用于网络安全与保密系统方面的投入不低于信息化建设项目投资总额的10%,逐步配备必要的网络信息安全系统,研究网络安全防范技术,建立网上巡查监控机制,提高计算机网络和信息系统的整体防范能力和
水平。
2.5建立健全网络信息责任机制
基层消防部队要按照“谁主管、谁负责”的原则,严格落实公安网络安全和保密工作军政主官负责制,加强公安网络安全和保密工作的组织领导和监督检查,及时研究解决网络信息安全工作中遇到的问题和困难,督促工作措施落实。要严格落实定期网络安全与保密形势分析制度,在内网网站建立网络安全管理专栏,通报网络运行情况和网络安全管理情况。同时加大对网络违规违纪的查处力度,将网络信息安全防范工作全面贯彻到部队日常安全管理工作中,逐步建立健全对网上违规行为的调查、取证、处罚、通报等查处工作联动机制。凡因管理不善、措施不力、工作不落实,发生网络违规违纪事件的,实行问责制和责任倒查制,对直接责任人进行严肃处理。
参考文献
【中图分类号】TN711 【文献标识码】A 【文章编号】1672-5158(2012)09-0150-01
信息网络是我国从事军事研究工程的重要平台,网络不仅提供了广阔的资源搜寻空间,还能完成一些高难度的计算处理工作,为军事科研提供了很大的帮助。近年来军队逐渐引用内控网络,用以完成各种高难度的数据处理操作,保证数据信号的稳定传输。但由于内控网络的局限性,信息传输流程依旧面临着多方面的安全风险,及时采取针对性措施进行防御,可保障军事网络的安全性。
一、部队内控网传输的风险隐患
军队是国防事业的核心组成,军队信息化改造标志着我国军事科技发展的新方向。内控网络布置于军事基地,能够为科技研究工程提供虚拟化平台,用以完成各项成果的模拟演练,为实战训练提供科学的指导。由于军事科技水平有限,我国部队内控网络在防御功能上还存在缺陷,尤其是信息传输流程相对复杂,造成整个传输流程面临诸多风险。
1、中断风险。计算机网络是军事基地信息传输的主要平台,通过局域网可以实现多项信息的输送,保持军事科研的稳定性。由于网络信息的内容、形式、数量等多种多样,信息传输阶段易发生中断现象,即整条网络在正常状态下失去连接信号,信道内正在执行的传输命令被终止。这种情况多数是由于周围磁场环境所致,阻碍了数据信号的稳定传输。
2、窃取风险。军事科技事关一个国家的安防能力,世界各国都在加强军事体系建设,增强本国军事力量以抵制外来侵略。为了掌握对方的军事动态,黑客开始应用恶意攻击的方式扰乱网络,使军事信息在传输时被窃取Ⅲ。这主要是由于国家与国家之间的军事竞争,不得不采取非法手段捕获信息,以保证实际战斗中掌握军事信息,信息传输面临着窃取的风险。
3、操作风险。操作风险是人为失误引起的风险,研究人员在制定信息传输方案时,没有考虑数据信号的特点,编制的程序方案不符合信息的要求。网络操作时,应设备操控失误而产生不利影响,破坏了数据信息的完整性。如:计算机服务器与数据库之间,调用数据库的信息内容时,未结合服务器的功能模块,使其处于超荷载状态而发生故障。
二、信息传输风险防御的核心系统
根据部队内控网信息传输存在的安全风险,必须要设计切实可行的安全防御系统,这样才能保证信息内容的高效传输,宏观地指挥军队完成各种演练、模拟、改造等任务,建立现代化的军事基地。防范信息传输风险,需采用融入高科技的防御系统,为传输过程提供安全可靠的运行环境。
1、数字系统。内控网络自动监控需要掌握详细地数据运行状况,从宏观上控制军事基地区域的整体动态,这样才能保证传输网络控制功能的发挥。数字系统是现代军事科技的重要组成,其通过数字信号之间的转换,形成多方向的数据层面。使图像经过处理后变化为数字信号,在短时间内完成信号的传递,保护了军事数据传输的安全。
2、报警系统。为计算机网络设计报警模块,其核心功能是监控、报警,从两个方面保障部队内网运行的安全性。如:报警系统先感应到部队内控网的异常信号,再及时将情况反馈给管理中心,提醒军区管理人员采取必要的处理措施。报警系统安装于监控管理中心,在接收到异常信号后,第一时间作出报警动作,提醒指挥中心人员对网络进行检查。
3、语音系统。在小范围内建立对讲系统,实现了军事指挥中心的语音信号传输。不仅方便了各种军事信号的定点交换,也使军事科研人员的交流更加快捷。如:监控中心人员通过计算机平台监控军队调度的实况,当发现一些安全隐患或故障问题之后,可用对讲系统及时地汇报情况。对讲系统相比网络传输,语音信息的传递速度更快。
三、军事网络信息安全传输的流程
局域网运用于军事基地信息传输,有助于小范围数据资源的高效利用,保障了信号传递的及时性。当前,我国正处于严峻的军事格局,尤其是在保卫国家独立与方面,国防军队具有极为核心的作用,搞好信息化军事建设也是党和国家高度重视的。为了避免信息传输安全风险的发生,科技研究人员需结合部队建设的要求,设计出安全、稳定、持久的信息传输流程。
1、收集环节。收集输电信号是信息传输的基本要求,引用数字化采集方案,避免人工采集中出现的失误。高科技军事系统要求对经过处理的信号进行采集、A/D转换和记录,再交由计算机处理平台加以调控,捕捉到与军事设备、传感线路等相符的数字信号,指导军队控制中心实施安防操作。
2、分析环节。接收到传输信息后,还需进一步分析、识别、归纳,才能掌握数据信息的内容。军用网络信息分析的流程:将采集到的信号传送到后续单元,对所采集到的数据进行处理和分析,对历史数据和当前数据分析、比较,最终判断信息是否安全。经过这一处理流程,值班人员可系统地掌握输电设备的作业情况。
一、信息不对称理论概述
信息不对称理论是指在市场经济活动中,活动各方对产品和市场信息的获取是不一样的,信息了解比较充分的一方,就处于相对有利的地位;而信息较少的一方,则处于比较不利的地位。该理论认为:市场中卖方比买方更了解交易产品的各种信息,卖方可以通过向买方传递可靠信息而在市场中获益;交易双方中获取信息较少的一方会努力从对方获取商品信息;市场信号显示在一定程度上可以弥补信息不对称的问题;信息不对称是市场经济的弊病,要想减少信息不对称对经济产生的危害,政府应在市场体系中发挥强有力的作用。这一理论为很多市场现象如股市沉浮、就业与失业、信贷配给、商品促销、商品的市场占有等提供了解释,并成为现代信息经济学的核心,被广泛应用到从传统的农产品市场到现代金融市场等各个领域。
在食品安全监管中,消费者委托监管部门对食品生产企业监督管理,由于各自利益目标的不一致和信息不对称的存在,人为了自身利益的最大化,往往不惜损害委托人的利益。因此,食品的质量水平不仅取决于市场调节(如竞争力),也依赖于生产者、消费者和监管者三方的利益博弈关系,而最终的食品安全质量水平则是各方谋取利益最大化的均衡状态。
二、食品安全监管中的信息不对称
经济实力,政治地位和信息三个方面是影响三方博弈能力的关键要素。谁的经济实力强,谁的政治地位优越,谁拥有更多的信息,谁将在博弈中获取更多的优势。那么食品质量三角就会向谁倾斜,食品质量水平就会向有利于谁的方面发生变化,这一方就会在博弈中获取更多的利益。
在食品质量博弈中,生产者对食品质量的优劣往往比较清楚,具有信息优势。而消费者往往从生产者提供的信息中获取较少的食品质量信息,而且,很多的信息是经过生产者处理的,虚假信息很多,而消费者往往真假难辨;或者,借助于监管者获得有限的质量信息,因此,消费者很难拥有第一手的食品质量信息,拥有的食品质量信息最少。监管者,拥有质量监管职能,通过抽样检查能够获取部分食品的第一手质量信息,因此,监管者拥有的食品质量信息比消费者多,但是远远比不上生产者,处于二者之间,即生产者>监管者>消费者。由此,形成了生产者、监管者和消费者的三方之间的信息不对称。
1.食品加工企业与监管部门之间的信息不对称
监管行为具有外部性,而且,这种外部性的效果与监管者的监管行为是呈反相关的,即监管者越努力监管,正的外部性越大,而监管者本人付出的越多。例如:在对违法生产者实施监管处罚时,首先,实施处罚的监管者本人要付出自己的私人成本,这种私人成本表现为在执行时与违法生产者可能发生冲突,甚至受到违法生产者的报复威胁,这样的例子非常多。私人成本的付出,有利于维持市场秩序,提高食品质量,保护消费者的利益,这是正的外部性。但是对付出私人成本的监管者却没有直接的利益回报,因为从法律上说,监管者的工资是固定的,监管者的收益与此没有直接的利益关系。相反的是实施监管的人可能受到来自监管相对人的(生产者)的威胁,而且,监管者受到生产者威武报复的例子是非常多的,因此,从"有限理性人"的角度,监管者实施处罚的积极性不高。可见,监管者行为的外部性导致监管者缺少努力监管的激励。
2.食品加工企业与消费者之间的信息不对称
消费者高度分散,相互独立;而再弱小的生产者都有着较厚实的经济基础。消费者与生产者经济上的不对等,决定了消费者在购买时的弱势地位,这种弱势地位对消费者正当的维权极为不利甚至注定了消费者维权的失败。因为,维权需要维权成本,如收集证据的费用、诉讼费用,可能还律师费等相关费用,有时这些费用虽然不多,但是对单独的消费者来说已经非常高了。而且,生产者利用其经济优势,给消费者维权设置种种障碍,大大增加了维权成本,生产者的反向动作大大增加了消费者的维权成本,导致了消费者与生产者谈判能力的不对等,由此导致了消费者维权往往无果而终。高额的维权成本往往使非常多消费者不得不放弃维权,从而更加助长了生产者的不法经营行为。
3.消费者与监管部门之间的信息不对称
监管者在查处时,若网开一面,查而不处,处而不罚,或避重就轻,在这种情况下,监管者就可能收受不法生产者的贿赂,这对监管者和生产者来说,双方是互利的,而受害的是消费者。而且,获利的成本是消费者支付的,此时,支出成本的消费者,得到收益的却是监管者和生产者,这是社会支出成本,私人得到收益。虽然他们谋取的一元钱,可能给消费者造成100倍、1000倍甚至更大的损失,但是与他们没有直接关系。因此,从"有限理性人"的角度,监管者存在着以法谋私的动机,在监管制度不建全的情况,这种动机更加突出。
三、信息不对称对食品质量安全的影响
信息是影响博弈行为的最重要的因素,生产者的信r息优势决定了其在三方博弈中处于主动地位,消费者的信息劣势决定了其三方博弈中处于被动地位。生产者为了获取自身最大利益,往往利用其信息优势,一边造假,一边虚假信息,虚假的质量信息透导了消费者的逆向选择。而且,搜寻食品质量信息,需要很高的成本费,比如,检测费用,食品消费者特别是终端消费者,不可能为了购买一件食品而检测其质量,因此,消费者的逆向选择是普遍的。而且,搜寻成本就象门槛一样,决定监管者只能对少数食品进行抽查,而导致绝大多数食品在监测之外,大量劣质食品不能被发现。所以,监管者获取的食品的质量信息也是有限的,更何况,这些信息很难及时有效地传到消费者哪里。因此,消费者的的逆向选择是非常严重的,并由此造成逆向淘汰,即质量好的食品被淘汰出市场,质量劣的食品泛滥。而且,生产者的信息优势,还导致了监管者的逆向监管,因为,生产者必然把劣质食品放在暗处,把优质食品放在明处,由此,监管者发现的多为优势食品,而大量的劣质食品却很少发现。无论是生产者的逆向选择还是监管者的逆向监管都导致了食品质量的下降。
四、治理信息不对称的措施
1.加强食品安全信息披露
消费者之所以在食品安全事件中屡次受到伤害,是因为其在信息不对称关系中处于绝对的劣势,获取的食品安全信息最少,质量最差。要提高消费者在食品安全博弈中的话语权,首先要保证食品信息披露的数量和质量,通过购买性的市场行为来淘汰安全质量差的食品和企业。然而,高昂的食品质量检测费用是摆在消费者面前的首要难题,而且食品数量分布之广,购买之频繁也阻碍着消费者获取及时有效的信息。因此,建立以政府部门为中心,带动社会监督机构和少数消费者自行检测的有效食品安全披露体系。采取多样化的信息披露方式、加大抽检范围和检测指标、及时公布检测结果,同事加强公众食品安全信息的普及,从而引导消费者选择有正规生产厂商生产的符合安全指标的商品。此外,消费者可以通过网络互相传递消费心得和选择理念,互相增强自我保护能力,充分发挥社会监督作用,一起揭发各种违法经营行为。
2.建立食品企业及其人员的诚信档案
诚信是当今企业的立身之本,也是一个公司能发展壮大的良性土壤,建立食品企业及其人员的诚信档案,加强食品诚信体系建设,实行企业诚信记录终身唯一制,是对良好企业的一种形象保护和肯定,也是对违法行为的严厉惩罚和永久性警示。日本米面、果蔬、肉制品和乳制品等农产品的生产者、农田所在地、使用的农药和肥料、使用次数、收获和出售日期等信息都要记录在案。农协收集这些信息,为每种农产品分配一个"身份证"号码,供消费者查询。 在德国,食品的食物链原则和可追溯性原则得到了很好的贯彻。以消费者在超市里见到鸡蛋为例,每一枚鸡蛋上,都有一行红色的数字,如果出现食品安全危机,也可以根据编码迅速找到原因;英国食品标准署对食品的追溯能力也在去年的克隆牛风波中得到展示,逐步建立了食品安全信息诚信档案制度。
3.加大处罚力度,提高违法成本
食品企业在违法行为获取的利益比被发现受到处罚所支付的成本高,是他们肆无忌惮进行一次次违法行为,导致一波波食品安全事件的主要原因。我国现有的《食品安全法》处罚力度过轻,对生产者的约束力不够,不能反映其监管效用。而在美国,一旦被查出食品安全有问题,食品供应商和销售商将面临严厉的处罚和数目惊人的巨额罚款。对于二恶英事件中的肇事者,德国检察部门提起刑事诉讼,同时受损农场则拟提出民事赔偿,数额可能高达每周4000万至6000万欧元,完全可能让肇事者破产。德国有刑事诉讼外加巨额赔偿,韩国规定造毒食品10年内禁营业法国通过标签上的保质期,一旦发现有过期食品,商店就得关门。因此,要建立健全严格监督食品监管者的规章制度,坚决打击监管过程中的寻租和设租行为,提高监管者的违法成本,促进监管者秉公执法,以保证法规得以有效实施。
4.提高消费者的维权能力
维权是消费者在自身利益受到不法侵害时通过采取法律措施来维护其合法权益不收伤害的保护,能够对生产者甚至监管者的违法或不当行为起到惩罚作用,也是提高消费者自身博弈能力的关键因素。在网络发达的今天,维权行为通过快速的传递和报道,不仅能将食品安全事件及时、全面、客观的呈现,而且对生产者的企业形象和商誉会产生致命影响,特别是能通过股票价格反映的上市公司。因此,加强消费者的维权意识,提高消费者的维权能力,会对食品质量的监管起到重要的补充作用。为此,政府应广泛普及《消费者权益保护法》,让权益受到侵害的消费者能通过法律捍卫自己的合法权益;其次,加强消费者协会工作,提高其影响力,建立健全消费者维权救助体系,设立消费者维权就救助资金;此外,还要加强维权的咨询工作,为消费者维权提供全方位的咨询服务。
参考文献:
1企业网络信息安全的内部威胁的分析
1.1随意更改IP地址
企业网络使用者对于计算机IP地址的更改是常见的信息安全问题,一方面更改IP地址后,可能与其他计算机产生地址冲突,造成他人无法正常使用的问题,另一方面更改IP的行为将使监控系统无法对计算机的网络使用进行追溯,不能准确掌握设备运行状况,出现异常运行等问题难以进行核查。
1.2私自连接互联网
企业内部人员通过拨号或宽带连接的形式,将计算机接入互联网私自浏览网络信息,使企业内部网络与外界网络环境的隔离状态被打破,原有设置的防火墙等病毒防护体系不能有效发挥作用,部分木马、病毒将以接入外网的计算机为跳板,进而侵入企业网络内部的其他计算机。
1.3随意接入移动存储设备
移动硬盘、U盘等移动存储设备的接入是当前企业内部网络信息安全的最大隐患,部分企业内部人员接入的移动存储设备已经感染了病毒,而插入计算机的时候又未能进行有效的病毒查杀,这使得病毒直接侵入企业计算机,形成企业信息数据的内外网间接地交换,造成机密数据的泄漏。
1.4不良软件的安装
部分企业尽管投入了大量资金在内部网络建设与信息安全保护体系构建之中,但受版权意识不足、软件购置资金较少等原因的限制,一些企业在计算机上安装的是盗版、山寨软件,这些软件一方面不能保证计算机的正常使用需求,对企业内部网络的运行造成一定影响,同时这些软件还可能预装了部分插件,用于获取企业内部资料信息,这都对内网计算机形成了一定的威胁。
1.5人为泄密或窃取内网数据资料
受管理制度不完善、监控力度不完善等因素的影响,一些内部人员在企业内部网络中获取了这些数据信息,通过携带的移动存储设备进行下载保存,或者连接到外网进行散播,这是极为严重的企业网络信息安全的内部威胁问题。
2企业网络信息安全的内部威胁成因分析
2.1企业网络信息安全技术方面
我国计算机与网络科学技术的研究相对滞后,在计算机安全防护系统和软件方面的开发仍然无法满足企业的实际需求,缺少适合网络内部和桌面电脑的信息安全产品,这使得当前企业网络内部监控与防护工作存在这漏洞,使企业管理人员不能有效应对外部入侵,同时不能对企业内部人员的操作行为进行监控管理。
2.2企业网络信息安全管理方面
在企业中,内部员工对于信息安全缺乏准确的认知,计算机和内部网络的使用较为随意,这给企业网络安全带来了极大的隐患。同时,企业信息管理部门不能从自身实际情况出发,完善内部数据资料管理体系,在内部网络使用上没有相应的用户认证以及权限管理,信息资料也没有进行密级划定,任何人都能随意浏览敏感信息。另外,当前企业网络信息安全的内部威胁大多产生于内部员工,企业忽视了对员工的信息安全管理,部分离职员工仍能够登录内部网络,这使得内部网络存在着极大的泄密风险。
3企业网络信息安全的内部威胁解决对策
3.1管控企业内部用户网络操作行为
对企业内部用户网络操作行为的管控是避免出现内部威胁的重要方法,该方法能够有效避免企业网络资源非法使用的风险。企业网络管理部门可在内部计算机上安装桌面监控软件,为企业网络信息安全管理构筑首层访问控制,从而实现既定用户在既定时间内通过既定计算机访问既定数据资源的控制。企业应对内部用户或用户组进行权限管理,将内部信息数据进行密级划分,将不同用户或用户组能够访问的文件和可以执行的操作进行限定。同时,在用户登录过程中应使用密码策略,提高密码复杂性,设置口令锁定服务器控制台,杜绝密码被非法修改的风险。
3.2提高企业网络安全技术水平
首先管理部门应为企业网络构建防火墙,对计算机网络进程实施跟踪,从而判断访问网络进程的合法性,对非法访问进行拦截。同时,将企业网络IP地址与计算机MAC地址绑定,避免IP地址更改带来的网络冲,同时对各计算机的网络行为进行有效追踪,提高病毒传播与泄密问题的追溯效率。另外,可通过计算机属性安全控制的方式,降低用户对目录和文件的误删除和修改风险。最后,应对企业网络连接的计算机进行彻底的病毒查杀,杜绝病毒的内部蔓延。
3.3建立信息安全内部威胁管理制度
企业网络信息安全管理工作的重点之一,就是制定科学而完善的信息安全管理制度,并将执行措施落到实处。其中,针对部分企业人员将内部机密资料带离企业的行为,在情况合理的条件下,应进行规范化的登记记录。针对企业网络文件保存,应制定规律的备份周期,将数据信息进行汇总复制加以储存。针对离职员工,应禁止其带走任何企业文件资料,同时对其内部网络登录账号进行注销,防止离职员工再次登入内部网络。
3.4强化企业人员网络安全培训
加强安全知识培训,使每位计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。加大对计算机信息系统的安全管理,防范计算机信息系统泄密事件的发生。加强网络知识培训,通过培训,掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
4结语
综上所述,信息安全是当前企业网络应用和管理工作的要点之一,企业应严格管控企业内部用户网络操作行为,提高企业网络安全技术水平,建立信息安全内部威胁管理制度,强化企业人员网络安全培训,进而对企业网络信息安全内部威胁进行全面控制,从而提高敏感信息与机密资料的安全性。
参考文献
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
心血管内科是医院中具有高医疗风险的科室之一,其相关疾病具有突发性和多变性的特点,使得护理更有其特殊性,进而导致护理风险伴随着整个医疗活动的全过程,有时甚至还会引起法律纠纷[1]。因此,认真剖析心血管内科护理工作中的不安全因素,探索相应的防范对策,提高护理人员的抗风险能力,是摆在心血管内科护理人员面前的首要任务。现对心血管内科护理过程中存在的不安全因素及相应的防范对策总结如下。
临床资料
2009年10月~2011年10月收治心血管内科患者115例,男69例,女46例,年龄43~81岁,平均59.7岁。其中高血压冠心病59例,心肌梗死56例。对所有入选患者的临床资料进行回顾性分析,总结分析出心血管内科护理中的不安全因素。
心血管内科护理中的不安全因素
护理人员因素:由于心内科护理人员中的工作量较大,大多数护士长期超负荷工作,精神紧张度高,容易产生厌烦心理,服务态度差,甚至出现差错事故,导致护理纠纷的产生。加上个别护理人员的工作经验不足,其法制观念、安全意识达不到社会及人们对护理服务质量的要求。部分护士不能和患者及家属进行有效沟通,没有对其护理行为履行告知义务,这也是导致护理纠纷的主要原因。此外,护理记录作为司法鉴定的法律依据[2],其书写规范与否也是比较突出的风险因素。
患者因素:心内科的病种较为复杂,疾病变化快,很多疾病诸如急性心力衰竭、急性心肌梗死等,随时都有出现生命危险的可能。由于护理工作是一项护患双方共同参与的活动,需要患者及家属的配合及支持[3]。但在实际工作中,部分患者执行医嘱的力度不够,比如患者病情不重,就对疾病产生轻视心理,擅自离开病房和医院或者请假不按时返回,有时诸多外界因素均能导致患者的疾病发作。同时,部分患者及家属对疾病缺少认识,对医疗的期望值过高,一旦病情恶化,往往把责任完全归咎于医护人员,进而引起矛盾和冲突。
其他因素:心血管内科的诊疗技术日新月异,部分护士临床经验不丰富,未能及时掌握新理论、新技术、新护理方法,在抢救患者时,除颤仪、监护仪等医疗器械出现故障或护士对仪器操作不熟练、应急能力差等均对患者的抢救产生不良后果,严重时将直接危及患者的生命安全,这必然会引起护患纠纷。医院的环境也存在着一定的因素,比如病房的地面湿滑容易摔倒,医源性噪音较大容易引起患者的情绪改变,病房走廊之间的加床等,都会引起护患纠纷。
防范措施
加强护理人员的法制观念:科室全体护理人员应加强对《医疗事故处理条例》、《医务人员道德规范及实施办法》等相关法律知识的学习,增强法制观念和职业责任感,并能在发生医患纠纷时采用法律武器捍卫自己的权利。科室护士长要经常对医护人员进行医疗安全教育,做到警钟长鸣,使护理人员学法、知法、懂法、守法,避免护患纠纷的发生。
提高护理人员的护理水平:高度的责任心、敏锐的观察力、过硬的技术、及时果断的处理是架起患者对护理人员理解与信任的桥梁。为了彻底杜绝心血管内科护理中的不安全因素,最关键的措施就是提高护理人员的护理水平。应制订严格的护士培训计划,尤其加强对新上岗护士的业务培训,使之熟练掌握心内科疾病护理方面的基本知识,提高其观察问题、分析问题、解决问题的能力。每天通过疾病护理查房、业务听课等形式学习新知识、新进展,让护理人员不断学习新的理论知识。加强基本功训练,熟练掌握各项技术操作规程,特别是心电监护仪、除颤器的正确使用,做到工作中井井有条,抢救患者时忙而不乱,杜绝科室中不安全因素发生。
加强护患沟通和交流:在护理工作中,语言交流技巧十分重要,护理人员要讲究语言的艺术性与技巧性,使用文明的语言和患者进行沟通交流,态度诚恳,仪表大方,绝不能语调生硬,敷衍了事,对部分素质较差的患者和家属的过激语言、行为应耐心解释、安慰,避免纠纷的发生。充分利用晨、晚间护理机会,询问患者的睡眠及饮食情况,给予患者更多的人文关怀,以实际行动来感召他们,以提高患者及家属的理解与信任。加强对患者及家属的健康教育,及时听取患者的意见和建议,耐心解答患者及家属关心的问题,尊重患者,建立融洽的护患关系。
加强护理记录的书写及管理:护理记录是住院患者医疗文件记录中的重要组成部分,护理人员必须从法律高度严肃对待护理记录的书写,禁止涂改、潦草,对疾病名称及药物描述应规范。另外,护理记录的及时性、客观性也是封堵安全隐患、保护护士自身的需要。护士观察病情要有预见性,尤其对危重患者,记录要及时、准确,内容全面,一旦发现异常情况及时报告医生,避免医护记录矛盾。
护士是一个医院提供医疗服务的主体,护理工作直接关系到医院的形象、声誉、经济效益,为患者提供安全有序、优质护理是护患双方共同的目标。因此,心血管内科护理人员应进一步加强法制观念,积极学习新知识,努力提高自身的素质和护理水平,加强护患沟通,加强对护理记录的书写及管理,努力完善护理工作中的各个环节,严格把各项护理制度落到实处,为患者提供安全的治疗环境和高质量的护理服务,杜绝各种护理纠纷的发生。
参考文献
1 企业网络信息安全的内部威胁的分析
1.1 随意更改IP地址
企业网络使用者对于计算机IP地址的更改是常见的信息安全问题,一方面更改IP地址后,可能与其他计算机产生地址冲突,造成他人无法正常使用的问题,另一方面更改IP的行为将使监控系统无法对计算机的网络使用进行追溯,不能准确掌握设备运行状况,出现异常运行等问题难以进行核查。
1.2 私自连接互联网
企业内部人员通过拨号或宽带连接的形式,将计算机接入互联网私自浏览网络信息,使企业内部网络与外界网络环境的隔离状态被打破,原有设置的防火墙等病毒防护体系不能有效发挥作用,部分木马、病毒将以接入外网的计算机为跳板,进而侵入企业网络内部的其他计算机。
1.3 随意接入移动存储设备
移动硬盘、U盘等移动存储设备的接入是当前企业内部网络信息安全的最大隐患,部分企业内部人员接入的移动存储设备已经感染了病毒,而插入计算机的时候又未能进行有效的病毒查杀,这使得病毒直接侵入企业计算机,形成企业信息数据的内外网间接地交换,造成机密数据的泄漏。
1.4 不良软件的安装
部分企业尽管投入了大量资金在内部网络建设与信息安全保护体系构建之中,但受版权意识不足、软件购置资金较少等原因的限制,一些企业在计算机上安装的是盗版、山寨软件,这些软件一方面不能保证计算机的正常使用需求,对企业内部网络的运行造成一定影响,同时这些软件还可能预装了部分插件,用于获取企业内部资料信息,这都对内网计算机形成了一定的威胁。
1.5 人为泄密或窃取内网数据资料
受管理制度不完善、监控力度不完善等因素的影响,一些内部人员在企业内部网络中获取了这些数据信息,通过携带的移动存储设备进行下载保存,或者连接到外网进行散播,这是极为严重的企业网络信息安全的内部威胁问题。
2 企业网络信息安全的内部威胁成因分析
2.1 企业网络信息安全技术方面
我国计算机与网络科学技术的研究相对滞后,在计算机安全防护系统和软件方面的开发仍然无法满足企业的实际需求,缺少适合网络内部和桌面电脑的信息安全产品,这使得当前企业网络内部监控与防护工作存在这漏洞,使企业管理人员不能有效应对外部入侵,同时不能对企业内部人员的操作行为进行监控管理。
2.2 企业网络信息安全管理方面
在企业中,内部员工对于信息安全缺乏准确的认知,计算机和内部网络的使用较为随意,这给企业网络安全带来了极大的隐患。同时,企业信息管理部门不能从自身实际情况出发,完善内部数据资料管理体系,在内部网络使用上没有相应的用户认证以及权限管理,信息资料也没有进行密级划定,任何人都能随意浏览敏感信息。另外,当前企业网络信息安全的内部威胁大多产生于内部员工,企业忽视了对员工的信息安全管理,部分离职员工仍能够登录内部网络,这使得内部网络存在着极大的泄密风险。
3 企业网络信息安全的内部威胁解决对策
3.1 管控企业内部用户网络操作行为
对企业内部用户网络操作行为的管控是避免出现内部威胁的重要方法,该方法能够有效避免企业网络资源非法使用的风险。企业网络管理部门可在内部计算机上安装桌面监控软件,为企业网络信息安全管理构筑首层访问控制,从而实现既定用户在既定时间内通过既定计算机访问既定数据资源的控制。企业应对内部用户或用户组进行权限管理,将内部信息数据进行密级划分,将不同用户或用户组能够访问的文件和可以执行的操作进行限定。同时,在用户登录过程中应使用密码策略,提高密码复杂性,设置口令锁定服务器控制台,杜绝密码被非法修改的风险。
3.2 提高企业网络安全技术水平
首先管理部门应为企业网络构建防火墙,对计算机网络进程实施跟踪,从而判断访问网络进程的合法性,对非法访问进行拦截。同时,将企业网络IP地址与计算机MAC地址绑定,避免IP地址更改带来的网络冲,同时对各计算机的网络行为进行有效追踪,提高病毒传播与泄密问题的追溯效率。另外,可通过计算机属性安全控制的方式,降低用户对目录和文件的误删除和修改风险。最后,应对企业网络连接的计算机进行彻底的病毒查杀,杜绝病毒的内部蔓延。
3.3 建立信息安全内部威胁管理制度
企业网络信息安全管理工作的重点之一,就是制定科学而完善的信息安全管理制度,并将执行措施落到实处。其中,针对部分企业人员将内部机密资料带离企业的行为,在情况合理的条件下,应进行规范化的登记记录。针对企业网络文件保存,应制定规律的备份周期,将数据信息进行汇总复制加以储存。针对离职员工,应禁止其带走任何企业文件资料,同时对其内部网络登录账号进行注销,防止离职员工再次登入内部网络。
3.4 强化企业人员网络安全培训
加强安全知识培训,使每位计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。加大对计算机信息系统的安全管理,防范计算机信息系统泄密事件的发生。加强网络知识培训,通过培训,掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
4 结语
综上所述,信息安全是当前企业网络应用和管理工作的要点之一,企业应严格管控企业内部用户网络操作行为,提高企业网络安全技术水平,建立信息安全内部威胁管理制度,强化企业人员网络安全培训,进而对企业网络信息安全内部威胁进行全面控制,从而提高敏感信息与机密资料的安全性。
[中图分类号] F326[文献标识码] A
[文章编号] 1673-0461(2008)04-0031-03
基金项目:本文是国家863计划项目“主要农产品质量全程跟踪与溯源技术研究与应用”(2006AA10Z265)的阶段性研究成果。
一、农产品质量安全问题中的信息不对称分析
1.消费者和生产者之间及生产者和生产者之间的博弈分析
(1)消费者和生产者之间博弈的策略矩阵
假定市场中只有两类农产品生产主体:A企业只生产符合一定标准的优质安全农产品,B企业只生产质量较低的普通农产品。设农产品生产企业的利润为π,产品销售量为Q,销售价格为P,单位成本为C,则企业的利润模型为π=PQ-QC,再设πA为A企业所获利润,πB为B企业所获利润,PA为市场中优质安全农产品的价格,PB为普通农产品的价格。UA为消费者消费优质安全农产品所获得的效用,UB为消费者消费普通农产品所获得的效用。则消费者和生产者之间博弈的策略矩阵如表1所示。
经过如此反复地连续动态博弈,直至整个市场被普通农产品甚至是劣质农产品所取代。正是由于农产品市场中的这种“柠檬效应”,会降低消费者对优质安全农产品的预期,可能出现πA
(2)生产者之间博弈的策略矩阵
现在假定市场上只有两个企业,既C企业和D企业,且均追求利润最大化。若市场上两个企业均提供高质量的农产品,在完全竞争条件下,市场价格为PCg=PDg=10,产量QCg=QDg=1/2Q,假设两个企业生产边际成本均为0,每个企业生产高质量农产品收益分别为10×1/2Q=5Q。若市场上两企业均提供较低质量的普通农产品,则市场价格为PCn=PDn=5,产量QCn=QDn=1/2Q,则两企业的收益均为5×1/2Q=2.5Q。
①若市场信息是完全的,则A、B两个企业博弈矩阵如表2所示。
②若A企业生产高质量农产品,B企业提供的是普通农产品,由于“柠檬市场”效应,消费者认为市场中高质量农产品的数量只占50%,则对整个市场的农产品按平均价格(1/2×10+1/2×5=7.5)来购买。在此前提下,表2所示的收益矩阵会发生改变。
如表3所示,当农产品的“柠檬市场”存在时,提供高质量农产品的企业收益反而下降,由5Q跌为3.75Q,而生产普通农产品的企业反而占尽“外部性”便宜,收益由该得的2.5Q升至为3.75Q,更加刺激了普通农产品的供应,从而抑制了高质量农产品的生产。经过数轮市场选择,不管是C企业还是D企业,其最优战略都是(不生产,不生产),博弈双方陷入了“囚陡困境”。C、D两个企业的这种“囚陡困境”选择,不仅降低了双方企业的总收益,而且降低了整个社会的福利。所以,这一解是不稳定的,更非帕累托最优。
二、农产品质量安全问题的影响
农产品在人类生产生活中居于特殊地位, 由其引发的有害效应对社会和经济的影响将是全方位的。从市场供给与需求的角度看, 涉及到的利益主体有广义的生产者(供给方) 、消费者(需求方)、政府(市场管理方) 三方面。
1.消费者的健康损害、收入损失及偏好改变
获得安全、营养和健康的农产品是每一个消费者的最基本的权益。农产品质量安全问题的发生首先损害的是消费者的生命和健康,尤其是这种损害具有不可逆性,更可能导致潜在的死亡和疾病总数的增加。此外,消费者会因食源性疾患遭受收入损失。这种损失可能包括医疗费、误工费及其他一些机会收益。据有关专家估计,我国每年食物中毒人数至少在20~40 万人。由此推算出的经济损失可以想像,这种相对收入损失更可能使贫穷者的经济陷入恶性循环状态。
随着收入水平的提高,消费者对质量安全性高的农产品有强烈的偏好,因此愿意支付更高的价钱。问题是信息的不对称与供给者的机会主义行为妨碍了消费者的选择。因此,改善信息的供给,规范市场秩序是促使消费者改变偏好的前提,也是利用市场机制进行农产品安全管理的机理所在。
2.生产者损失及行为改变
提高农产品安全性会影响生产经营成本,进而削弱产品价格竞争力。对利润最大化的追求增加了其采取机会主义行为的可能性,他们有两种可能的选择:一是通过降低农产品质量以降低成本;二是通过加强生产管理、营销工作以实现产品差别化,通过优质优价机制实现利润目标。如果市场上劣质农产品与安全性高的农产品鱼目混珠,而消费者又无法作出有效辨别,提高农产品安全性的成本不能在销售时得到消费者认可并支付,就会降低生产者提高农产品质量安全的积极性。
3.政府规制的成本
保障公民的农产品供给安全、营养、健康是政府公共管理的责任。然而,政府对市场进行规制是有经济成本的,一部分体现在政府预算中的公共管理支出部分,另一部分则是政策作用于生产者导致的生产成本的提高部分。管理成本可以通过预算调节来解决, 而生产成本只能通过消费者付费来解决。因此,要实现农产品质量安全的有效供给,就必须提高供给者的积极性,使供给方的改善质量安全的努力通过消费者支付意愿的表达为需求方承认。这里关键是政府通过行政机制最大限度地为消费者提供获取相关信息的保障,限制企业采取机会主义行为,以维护市场公正。
三、解决农产品质量安全问题的经济理论探讨
通过前文论述而知,农产品买卖双方信息不对称造成了买方的逆向选择,逆向选择对农产品生产起着“质量促退加速器”的作用。买方对农产品质量难以判断这一事实,是导致“质量促退加速器”启动的根本原因。因此,利用市场机制解决农产品质量安全问题的关键是解决消费者信息缺失的问题,克服供给者的机会主义倾向,这有赖于强化农产品市场中的“正的”信号显示以消除农产品质量信息的不对称。如何达到此目的,主要面临两个问题:一是如何用最小的代价来识别农产品质量安全中的信用信息,这是交易成本问题;二是谁来促进市场信息的流动,这是市场中介问题。本文试图从以下几个方面来对此作些探讨:
1.以合理的价格依存机制保障农产品的优质优价
质优产品必须得到一个合理的价格才能使期望的经济利益得以实现,这要求不同质量类别的产品之间要有合理的价格依存机制。如果利润用π表示,价格用P表示,成本用C表示,有机农产品用1表示, 绿色农产品用2表示,无公害农产品用3表示,普通农产品用4表示,要想增加有机农产品等优质品的比例,必须使得π1>π2 >π3>π4。一般来说,产品的品质越好,花费的成本也就越高,所以会有C1>C2>C3>C4。因此,为了保持合理的投资利润率,某种质量产品价格的决定不但要考虑到生产该种产品的成本、利润,而且还要考虑到其他质量级别的价格水平,P1、P2、P3、P4之间的价格比例会影响生产者对下一个生产过程的决策选择。只有保障π1>π2 >π3>π4时,农产品平均质量升级的利益诱导机制才会有效。
2.以商业信用为产品质量提供担保
当质量信息真假难辨时,商业信用就成为市场上最稀缺的商品。根据经验观察,以商业信用为产品质量提供担保可以是质优产品卖方采取的有效行为。
商业信用是区分不同质量产品的有效信息。一般说来,资产是生产者过去长期经营的结果,也是未来继续经营的投资,所谓“有恒产者有恒心”,资产规模大,往往可看作生产者长期经营的表示,一定程度上资产可以代表信用;广告宣传的花费,是生产者的沉没成本,并不增加商品的功能,只能通过扩大销售量收回,销售量的扩大是商品被社会广泛认同的结果;固定的销售地点,便于消费者多次购买,一般认为重复博弈中,会有长期利益对短期利益的制约,有利于买卖双方的守信;商标注册的目的是便于买方识别商品,敢于与众不同的商品是好商品;生产者个人资料的公布,使生产者的质保承诺便于兑现,表示生产者愿意为产品质量承担损失和风险;愿意开放生产过程增加了质量信息的透明度,是生产者赢得社会信任的表示。如果卖方主动在市场向买方传递这类信息,是其拥有良好的个人信用的表示,信誉好的生产者希望消费者记住这些信息,通过这些信息把商品突出出来。
因此我们认为卖方的资产K、固定的销售地点P、广告宣传A、产品是否有商标M、卖方向市场提供的个人信息G,共同构成了卖方的信用函数U:
U (X)=F(K,P,A ,M ,G)
根据以上模型,应用一定的数学方法对各个自变量进行赋值处理,可计算出不同生产者的U(x)值,就能对优质品生产者进行成功的信号分离。为保证社会上对优质品的需求,还需要设计一个与生产者商业信用相关的、以经济利益为诱导的激励约束机制,使商业信用好的生产者的守信行为符合经济理性原则,使良好的商业信用能长期保持下去[2]。
3.以农产品认证体系改善信息传递机制
在理性有限的前提下,买方不可能具备所有商品的知识。因此,在信息不完全的市场上,消费者做出购买决策之前,必然伴随一系列搜寻过程。由此发生的搜寻成本(或信息成本)就是消费者支付产品价格之外不得不支付的交易费用。交易费用越高,则消费者购买行为的效率越低。从买方的立场上看,与其花很多时间和精力去了解农产品质量安全方面的专业知识,不如找到一种权威的和更易辨识的替代信息。认证制度所提供的,恰恰就是这种替代信息。
认证活动的本质在于认证机构以自身的无形资产(信用)作为抵押,为被认证产品进行担保,从而使信息交换更加顺畅,促进了市场信息的有效转化。从信息经济学的角度看,认证的信用机制作为传递产品质量信息的辅助手段,能够有效解决信息不对称的问题,降低市场信息交换成本,是一种节约交易费用的制度安排。因此,从消费者的利益出发,任何强制性认证和自愿性认证都可以提供必要的农产品信息,因而都是有价值的。对于那些与人身安全直接相关的农产品质量信息来说,消费者甚至更赞同强制性认证制度[3]。在当今这样复杂的市场体系中,消费者和生产者之间难以建立起交互信用关系,因此,借助认证机构的信用中介功能不失为一种实现信息有效传递的手段。
4.以政府规制影响消费者以及生产者的行为
从理论上讲, 只要降低消费者获得农产品质量信息的成本,就能有效约束“败德行为”和正确表达消费者偏好。但在实际中,任何单个消费者全面获得这些信息的成本(包括搜寻信息的成本和验证其真实性的成本) 是极其高昂的,这时政府的介入,发挥其公共服务职能成为必需。政府通过制定生产标准规范以及市场秩序管理等可以限制供给者的机会主义行为, 认证体系作为一种为消费者提供低成本农产品质量安全信息的途径也需要政府的严格规范。政府进行规制的基本原理,就是基于农产品质量安全具有外部性。政府通过行政手段促进农产品质量安全信息的传递可以影响消费者以及生产者的行为, 以达到最大限度地改善市场环境、提高市场效率的目的。
[参考文献]
[1]王艳霞.农产品质量管理的信息经济学分析[J].经济问题,2004,(9).
[2]徐金海.农产品市场中的“柠檬问题”及其解决思路[J].当代经济研究,2002,(8).
[3]王晓霞.农产品认证制度的经济学分析[J]. 世界标准化与质量管理,2006,(9).
A Study of Information Asymmetry in Quality Safety Problems of Agricultural Products and the Countermeasure
Wu Xiuli1,LI Shuchao1,Zheng Guosheng1,Yang Xinting2
[摘要] 目的 探讨心内科护理管理中的不安全因素及防范对策。方法 选择2013年1月—2013年6月于该院心内科就诊的患者120例做为对照组,进行常规护理管理;选择2013年7月—2013年12月于该院心内科就诊的患者120例做为观察组,进行安全护理管理;比较两组患者治疗过程中不安全事件的发生情况,分析其中的不安全因素并探讨相应的防范对策。结果 观察组患者与对照组相比,不安全事件和投诉事件发生率均明显降低,P<0.01,差异具有统计学意义;护理人员在实施安全护理管理后的业务考核评分显著高于实施安全护理管理前的评分,P<0.01,差异具有统计学意义。结论 在护理管理过程中,加强对不安全事件的管理,有利于提高护理人员业务能力,能够有效促进医患关系和谐发展。
[
关键词 ] 心内科;不安全因素;防范对策
[中图分类号]R473
[文献标识码] A
[文章编号] 1672-5654(2014)12(b)-0045-02
随着人们安全意识和维权意识的不断提升,在医疗诊治护理过程中,保证患者安全已成为避免医患纠纷的关键。护理安全是指在对患者进行护理的过程中,保证患者未发生法律法规外的任何机体结构与功能和心理上的创伤、损害等[1-2]。为提高护理安全,降低护理纠纷的发生率,该院心内科对护理管理中存在的不安全因素进行分析,并探讨制定相应防范措施,总结如下。
1 资料与方法
1.1 一般资料
选择2013年1月—2013年6月于该院心内科就诊的患者120例做为对照组,其中男性68例,女性52例;年龄53~81岁,平均年龄(63.9±4.4)岁;选择2013年7月—2013年12月于该院心内科就诊的患者120例做为观察组,其中男性70例,女性50例;年龄(54~82)岁,平均年龄(64.3±4.2)岁。两组患者在年龄、性别等方面均无明显差异,具有可比性。
1.2 管理方法
对照组患者进行常规护理管理,观察组患者进行安全护理管理。通过对不安全因素的分析与探讨,安全管理小组成员进行了相应对策的制定:①制定合理的排班制度,使护理人员有足够的时间进行休息与精神调整,明确各人分管事务与分管病床,确保各人任务高效完成;定期对护理人员进行业务基础知识培训与医疗法规相关知识培训,提高护理人员安全意识和自我保护意识,确保护理工作安全有效地进行,从而降低医患纠纷发生的可能。②自患者入院起即开始对患者进行疾病的发生发展相关知识以及治疗方法等知识的教育与宣传,及时对患者进行心理辅导和不良情绪的疏导,帮助患者建立治疗信心;同时,对患者家属进行疾病期间生活知识的教育,使患者家属能够积极配合医护人员对患者进行监督,保证患者建立健康的生活习惯;两者相结合促进患者积极配合治疗,促进患者疾病的好转,减少医疗矛盾纠纷的发生。③每日定时对病房环境进行清洁与消毒,定时通风换气,于病房内张贴病房环境与疾病关系的知识公告,促进患者及其家属主动配合保持病患环境安静、整洁,从而有效提高患者的诊疗环境,使患者保持良好的治疗心态,从而促进患者疾病的转归,减少不安全事件的发生。④定期对医护人员进行医疗器械与药品知识讲座与宣传,并对新进护理人员进行培训,确保护理人员对医疗器械与药品足够熟悉,降低医疗差错事故的出现,避免医患纠纷事件的发生。
1.3 观察指标
观察并记录两组患者治疗过程中出现的不安全事件、投诉事件,并进行组间比较;在安全护理管理前后对护理人员进行业务能力考核,并进行比较。
1.4 统计方法
所有数据均利用spss 17.0统计软件进行处理,计量资料用均数加减标准差表示,用t检验;计数资料用%表示,用χ2检验。当两组数据间P<0.05时认为两组结果差异具有统计学意义。
2 结果
2.1 两组患者不安全事件事件发生情况比较
由表1可知,观察组患者与对照组相比,不安全事件和投诉事件发生率均明显降低,P<0.01,差异具有统计学意义。
2.2 护理人员业务能力考核比较
由表2可知,护理人员在实施安全护理管理后的业务考核评分显著高于实施安全护理管理前的评分,P<0.01,差异具有统计学意义。
3 讨论
为加强心内科护理安全,本研究对护理管理中存在的不安全因素进行分析,并探讨制定相应防范措施。
抽取心内科管理层人员和部分护理人员成立安全管理小组对心内科护理过程中的可能存在的不安全因素进行探讨与分析,确定在患者治疗过程中可能导致不安全事件发生的因素包括:①护理工作人员因素:心内科工作往往具有工作量巨大、繁杂琐碎的特点,护理工作人员往往长期处于超负荷工作的状态,这极易导致护理人员精神高度紧张,反应性下降而影响工作效率,还会因此产生厌烦情绪而对患者态度较差,严重者可导致差错事故的发生,最终造成医患纠纷的高发。同时,由于护理人员业务能力参差不齐,部分护理人员工作经验不足,安全意识淡薄,不能够及时有效地与患者及其家属沟通并达成共识,最终也将造成医患矛盾出现或加深。②患者因素:由于患者对疾病相关知识不了解,且心血管疾病一般病程较长,病情较重,患者需长期治疗,这些因素均会导致患者在承受疾病的痛苦与压力的同时,还会产生如对疾病的治疗产生不安甚至是恐惧等精神压力,使得患者不愿配合疾病的治疗,最终导致患者疾病治疗时机的延误,病程的延长。同时,心血管相关疾病的性质要求患者尽量保持健康的饮食,患者需禁烟、禁酒等,但患者往往难以遵从医嘱,这便导致患者疾病的治疗存在一定阻碍。③医院环境因素:由于医院内病床较多,患者与患者家属常常处于一个较为嘈杂的环境中,这些严重地影响了患者的休息,降低了患者的医疗质量,同时,由于患者活动范围局限于病房,这将导致病房环境较差,如有部分病人不爱护公共卫生,随意丢弃生活废物以及医疗废物,将大大提高患者院内感染的几率,诱发医患纠纷。④其他因素:由于医疗科技的迅速革新,医疗药物的快速换代,导致护理人员对医疗器械的使用与注意事项,对药物的用法用量与不良反应等不熟悉,这些因素均大大增加了医疗不安全事件的发生几率。通过对以上不安全因素的分析与探讨,安全管理小组成员进行了相应对策的制定:包括①制定合理的排班制度;②开展健康教育。③病房消毒和清洁;④定期对医护人员进行医疗器械与药品知识讲座与宣传等,从而有效避免医患纠纷事件的发生[3-5]。
研究结果发现进行安全护理管理能够有效提高护理人员业务素质,减少不安全事件和投诉事件发生。管理前不安全时间发生率为13.33%,管理后为8.33%,管理前投诉事件发生率为2.50%,管理后降低至0.83%,充分说明加强对安全因素的管理带来了极为积极的影响。跟贾俊格等人的研究结果一致[6]。因此我们认为,在护理管理过程中,加强对不安全事件的管理,有利于提高护理人员业务能力,能够有效促进医患关系和谐发展。
[
参考文献]
[1] 张静.心血管内科护理不安全因素分析及防范对策[J].中国社区医师(医学专业),2012(11):321-322.
[2] 何俊芹.心血管内科护理不安全因素分析及防范[J].中国社区医师(医学专业),2012(36):258.
[3] 梁秀萍.心血管内科护理中不安全因素分析及防范对策[J].中外医疗,2012(31):182-183.
[4] 袁敏.心血管内科护理管理中风险因素分析及安全防范对策[J].中国保健营养,2012(20):4597.
【关键词】 心血管内科护理;不安全因素;防范措施
【中图分类号】R473.5 【文献标识码】A 【文章编号】1003-8183(2013)11-0156-02
心血管疾病严重威胁患者生命安全,本次研究特就心血管内科护理的不安全因素及应对护理措施进行分析。
1 资料与方法
1.1临床资料:选择100例于2012年1月至2013年8月间在我院心血管内科进行治疗的患者,其中,女性患者占46例,男性患者占54例,患者年龄范围居于42至17周岁,年龄平均值为(61.4±4.6)岁。21例冠心病患者,17风湿性心脏病患者,14例心肌炎患者,18例心绞痛患者,30例心肌梗死患者。将患者分为对照组和观察组两组,每组各有50例患者,两组患者病情、性别、年龄等差异不具有统计学意义(P>0.05)。
1.2护理方法:对对照组患者进行常规护理,在此护理基础上分析护理不安全因素并采取防范措施对观察组患者加强护理。
1.2.1护理不安全因素
1.2.1.1护理因素:护理人员责任感不强,缺乏护理安全意识,护理工作中存在诸多问题,无法及时识别潜在的护理风险;工作态度不严谨,配药时不认真核对导致药物剂量或者配伍出错;没有准确及时地对患者的病情变化、用药情况以及护理过程中出现的各种问题进行记录;护理工作安排不合理,护理人员工作强度过大[1]。
1.2.1.2患者自身因素:患者缺乏治疗积极性和护理配合度,不认真遵守医院规定和医嘱进行治疗。
1.2.2防范对策
1.2.2.1强化安全护理观念:对全部护理人员进行安全教育和职业道德教育,不断提高其责任意识和安全意识。积极推动各项规章制度的健全,建立和完善护理纠纷处理和索赔程序,使护患双方利益得到良好维护。成立护理质量监控小组,推动护理工作的有序进行,降低护患纠纷发生率。
1.2.2.2规范护理流程:对护理流程进行统一和规范,对护理记录的书写进行规范和监督;由年资较高的护理人员带领年资较低的护理人员,同时加强对各种护理器械使用的培训和考察;鼓励护理人员进行培训以使专业素质和技能不断得到提高[2]。
1.2.2.3加强护患交流:经常与患者进行沟通和交流,向患者讲解病情以及治疗方面的相关知识,关心、体贴患者,增强患者的信任感,同时提高治疗积极性,减少护患纠纷的发生率[3]。
1.3观察指标:对两组患者的护理满意度和护理不良事件发生率进行比较和分析。
1.4统计学方法:本次研究中进行数据统计和分析的专业性软件为SPSS11.0,采用t检测计量资料,采用x2检验计数资料,若P
2 结果
2.1两组患护理满意度比较:对照组34例患者对护理质量满意,占68%,7例患者比较满意,占14%,9例患者不满意,占18%,护理满意度为82%;观察组39例患者对护理质量满意,占78%,9例患者比较满意,占18%,2例患者不满意,占4%,护理满意度为96%。两组患者护理满意度差异具有统计学意义(P
2.2两组患者护理不良事件发生情况比较 对照组2例患者投诉,占4%,3例患者出现不良反应,占6%,2例患者由于设备不良引发问题,占4%,1例患者存在用药问题,占2%,不良事件发生率为16%;观察组没有患者投诉,1例患者出现不良反应,占2%,没有患者由于设备不良引发问题,2例患者存在用药问题,占4%,不良事件发生率为6%。两组患者不良事件发生率差异具有统计学意义(P
3 讨论
心血管疾病在临床上具有较高的发病率,病情发展迅速,严重威胁患者的身体健康和生命安全,在对患者进行对症治疗的同时必须进行护理干预,在进行常规护理的基础上分析护理不安全因素并采取防范措施对患者加强护理能够降低护理不良事件的发生率,提高患者的治疗积极性,取得更加理想的治疗效果。
本次研究中,对照组护理满意度为82%,观察组护理满意度为96%,对照组不良事件发生率为16%,观察组不良事件发生率为6%,两组患者护理满意度度以及不良事件发生率差异均具有统计学意义(P
参考文献