单位网络安全考评制度篇1
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
1.1网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
1.2网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
1.3网络安全策略的设计与实施步骤
(1)确定网络安全需求:确定网络安全需求的范围,评估面临的网络风险。(2)制订可实现的网络安全策略目标。(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、internet网络安全规划等规划内容。(4)制订网络安全系统的日常维护计划。
2网络安全防御与改善措施
网络安全问题是潜藏在我们每一个人身边的现实威胁,网络攻击分分秒秒都在发生,瞄准了企业、政府、军队和有价值的个人和各个行业及领域,威胁无处不在。
2.1网络安全风险评估
网络安全风险评估主要由以下三个步骤所组成:识别网络安全事故的危害、评估危害的风险和控制网络安全风险的措施及管理。而通过进行网络安全风险评估,可以及时防范于风险的危害,及时调整网络安全内容,保障网络安全运行,保证计算机信息管理系统及时应对不断变化的网络安全形势,提高危险的预防和网络安全的防御能力。就网络安全风险评估中的风险控制来说,网络安全风险控制是使网络安全风险降低到企业或者是单位可以接受的程度,当风险发生时,不至于影响企业或单位的正常日常业务运作。网络安全风险控制包括:选择安全控制措施、风险控制(免风险、转移风险、减少危险、减少薄弱点、进行安全监控等)和可接受风险。
2.2网络安全防范管理
做好网络安全防范计划与策略,对网络安全进行防范控制和管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。网络安全防范措施可以有:(1)国家信息安全漏洞共享平台。(2)反网络病毒联盟组织。
2.3建立良好的网络安全机制
要不断地加强计算机信息网络的安全规范化管理力度,建立良好的网络安全机制,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识,防范不良因素的影响。目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。
2.4加强网络安全人员培训
网络安全在今天的非常的重要,对于人才的渴求也非常的大,但是人才的数量非常的有限,需求非常的大,很多的企业进行高薪聘请,但是流动性比较大,对于企业没有真正的感情,这样不利于企业的长期与发展,企业面临着非常研究的形式与考研。正是这样,很多的企业面对于这样的问题进行人才的内部的培养,通过聘请名师进行基础知识以及实践等等方面,对于受训的人员进行系统的考试,对于成绩优异的人员进行进一步培养,作为企业的后备人才。企业应该做到充分调动员工的积极性,建立严明的奖惩制度,对于学习优异的学员进行物质以及精神上的奖励,这样对于员工来说是一种激励,建立考核制度,针对于员工进行周考核、月考核,慢慢的形成制度化,从而真正意义的调动员工的学习。未来的发展竞争会变得更加的激烈,正是这样的原因,一定要进行改革,改革的方向来自于多个方面,但是人才是一切改革的动力,所以人才的储备是未来的竞争重要的组成部分,加强人才的培养是未来发展的保证。
2.5引入网络安全审计系统
网络安全审计系统指主体对客体进行访问和使用情况进行记录和审查,以保证网络安全规则被正确执行,并帮助分析安全事故产生的原因。采用网络安全审计系统可以对潜在的攻击者起到震慑或警告的作用,对于已经发生的系统破坏行为提供有效的追纠证据,为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
3结论
单位网络安全考评制度篇2
abstract:withtheadventoftheinformationage,digitalcommunicationandinformationsharinghasgraduallyintegratedintothepeople'sworkanddailylife.whilepeopleenjoythenetwork,theyhavetoconcerntheinformationsecurityproblemthatnetworksystemstructureandnetworktechnologybring.thecomputernetworkleakageofasecrethasbecomeanimportanthiddentroubleundermoderninformationcondition.therefore,improvingnetworksecurityconsciousness,understandingthebasicnetworksecurityprotectiontechnologyknowledgeissignificanttounitsatalllevelsforensuringthenetworksecurityandputsanendtotheleakageofasecret.thispaperrespectivelyintroducedfromthepointofviewoftheintranetandoutnet.
关键词:网络;安全;内网;外网;技术
Keywords:network;security;intranet;outnet;technology
中图分类号:tp393文献标识码:a文章编号:1006-4311(2012)30-0217-02
0引言
计算机网络泄密已成为现代信息化条件下的一个重要隐患。因此,提高网络安全意识,了解网络安全防护的基本技术知识,对于各级单位做好网络安全,杜绝网络泄密事件的发生具有极其重要的意义。
1内网安全保密技术
内网安全,就是内部局域网的信息防泄密和终端安全管理。很多的单位军工单位对信息防泄密的需求都是相当高的,他们为了防止内部机密信息的泄露,为了有效地避免由于泄密而带来的巨大损失,都在急切地寻找一个能够帮助他们很好的保证这些信息不被泄密出去的有力工具。随着社会的不断发展,信息化程度越来越高,各企事业单位和部门对网络和终端的依赖性很强。对于那些终端数量多、管理人员少的,就会力不从心疲于应付,常常会出现管理不得力的情况,这样对于整个单位和部门的正常工作都是很不利的,所以很需要一个能够帮助他们来统一管理单位和部门内部局域网的终端。
1.1内网的泄密途径大多数安全事件的发生不是主要由外部攻击造成的,而是由内部原因造成的。内网的主要泄密途径包括以下几个方面:通过内网网络交换设备或者直连网线非法接入内网或者计算机终端,获取数据。利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据。内部员工将只允许在局域网内部使用的数据,通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部。内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据。
1.2网络安全管理技术随着网络应用和规模的不断增加,网络管理工作越来越繁重,网络故障也频频出现:不了解网络运行状况,系统出现瓶颈;当系统出现故障后,不能及时发现、诊断;网络设备众多,配置管理非常复杂。因而,加强网络管理,以优化现有网络性能,保障网络安全是十分必要的。要加强对工作人员合法使用计算机的控制,要做好接入控制、用户集中管理、服务器资源授权和用户身份认证管理;能对服务器等重要站点实施强有力的保护措施,包括能隔离网络区域,能进行分级分域管理。必须做好网络监控和防泄密,对于泄密,必须做到能控制文件数据失窃、邮件泄密以及打印泄密,特别是打印泄密。
1.3安全评估技术当前,网络安全已经不再是早期的一种或几种安全产品的堆砌所能解决的问题,而是一个动态的复杂过程,它贯穿于网络信息系统的整个生命周期。这一过程的首要环节就是安全评估。对信息系统和信息技术进行科学、客观、有效的安全评估是解决信息安全问题、保障信息安全的一个重要途径,是确保信息资源安全的有效手段之一,是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。
按照信息安全评估的内容和目的,安全评估包括脆弱性评估、威胁评估、安全防护等级评估、网络攻击效能评估、信息对抗效能评估和信息安全风险管理。其中,“风险”概念揭示了信息系统安全的本质,它不但指明了信息安全问题的根源,也指出了信息安全解决方案的实质,即把残余风险控制在可接受的水平上。国外许多专家认为,信息安全风险管理是信息安全的基础工作和核心任务之一,是最有效的一种措施,是保证信息安全投资回报率优化的科学方法。因此,信息安全风险管理体现了信息安全的本质,是信息安全评估的核心。
1.4安全审计技术安全审计,是指对计算机系统安全方案中的功能提供持续的评估。安全审计系统,是指对信息网络中任一或所有安全相关事件进行记录、分析和再现的处理系统。它通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误,并找到被攻击的原因。因而,安全审计是事故后调查取证的基础,当然也是对计算机系统保密的信心保证。安全审计的主要功能如下:记录关键事件,关于安全事件的界定由安全官员决定。对潜在的攻击者进行威慑或警告。为系统安全管理员提供有价值的系统使用日志,帮助系统管理员及时发现入侵行为和系统漏洞,使安全管理人员可以知道如何对系统安全进行加强和改进。为安全官员提供一组可供分析的管理数据,用于发现何处有违反安全方案的事件,并可根据实际情形调整安全策略。
2外网安全保密技术
相对于内网安全的概念,传统意义上的网络安全更为人熟知和理解。事实上,传统的网络安全考虑的是防范外网对内网的攻击,即我们所说的外网安全。外网的安全模型假设内网都是安全可信的,则威胁都来自于网络外部,其途径主要通过内、外网的边界出口。所以,在外网的安全模型下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
2.1防火墙技术由于tCp/ip协议是在可信环境下为网络互联而设计的开放性协议,在设计过程中就缺乏安全措施的考虑,而防火墙就是用来保护内部用户网络,防止黑客利用tCp/ip本身的内在安全弱点攻击网络设备和用户计算机。到今天,防火墙技术已经非常成熟,防火墙也已成为网络内外网之间互连的标准安全隔离设备。防火墙实质上是用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
防火墙通过有效、细致的访问控制规则来满足用户必要的通信和信息共享需求,屏蔽其他任何未经授权的网络访问,并能够监视网络运行状态。防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全协议、安全操作系统等多方面的内容。防火墙的主要功能有:按照安全策略进行检查,并过滤进出网络的数据包;管理进出网络的访问行为;封堵被禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警等。
2.2虚拟专网技术虚拟专用网(简称Vpn)是近年来随着互联网的发展而迅速发展起来的一种技术。它不是真的专用网络,但却能够实现专用网络的功能,利用公共通信网络实现安全的保密数据通信。其原理是:需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的Vpn设备在公共网上建立一条虚拟的专用通信通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。通过Vpn,授权的业务伙伴就可以在授权范围内使用单位内部的数据,实现数据的安全交换。虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用互联网公众数据网络的长途数据线路。专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
实现Vpn最关键的部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的。隧道是利用一种协议传输另外一种协议的技术,主要利用隧道协议来实现Vpn功能。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。ip隧道的实现机制主要涉及两个方面,其一是第二层与第三层隧道的问题。
2.3入侵检测技术入侵检测技术的研究涉及到计算机、数据库、通信、网络等多方面的知识。一个有效的入侵检测系统,不仅能够正确地识别系统中的入侵行为,而且还要考虑到系统本身的安全以及如何适应网络环境发展的需要。所有这些都表明,入侵检测系统将是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。按照传统的分类,入侵检测的分析方法主要由误用检测和异常检测组成。
2.4网络隔离技术面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——网络隔离技术应运而生。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自身的优势。
2.5匿名通信技术匿名通信系统能隐藏网络通信实体的网络地址、实体间的通信关系等隐私信息,使其不被对手观测。在匿名通信系统中,假定网络内主机之间的通信具有机密性,即网络外的任何主机都不能观察到在网络内信息流的任何信息。同样,主机之间的通信也经过认证,即不存在欺骗行为,可通过链路级认证来保证。此外,还假定通信实体的具体物理位置信息在系统中保密,因为若能知道用户的物理位置,匿名通信也就失去了其意义。
2.6网络安全扫描技术基于网络的漏洞扫描,就是通过网络远程检测目标主机tCp/ip不同端口的服务,记录目标主机给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(如是否能用匿名登录,是否有可写的Ftp目录,是否能用FeL-net,Htip是否是用root在运行)。
3结语
计算机网络安全防护不同于传统意义下的信息保密,它是一个庞大的系统工程,不仅涉及技术人员对产品的采购、使用、维护和保养,也需要各级领导机关制定严密的管理制度和措施作保障。但是,这些管理性的保障措施都是以技术手段为基础的。
参考文献:
[1]王炽鸿.计算机辅助设计[m].北京:机械工业出版社,1998.
[2]丁剑洁.基于度量的软件维护过程管理的研究[D].西北大学,2006.
单位网络安全考评制度篇3
关键词关键词:模糊综合评判;网络安全评价
中图分类号:tp393.08
随着计算机网络技术的飞速发展,互联网以及物联网逐渐改变着我们的生活,社会已经进入到了全新的时代。计算机网络技术的运用改变了原有旧式信息的传递方式,利用互联网进行信息传递也成为了现代重要的信息传播工具。同样地,有关网络信息安全因素也不得不引起我们的关注。首先,因为网络自身存在着软硬件缺失和管理漏洞;其次,网络系统采用实时开放的方式,有着多样化的客户端以及连接自由等特点,又增加了网络攻击的风险。而一旦计算机网络因为受到外部攻击导致不能进行正常工作,将给整个社会带去严重后果。
网络安全评价作为维护网络系统安全最为有效的手段之一,对于保障网络信息安全有着非常重要的作用。网络安全评价通过运用不同的办法对互联网系统进行有可能存在的危险因素进行逐一排查,确定有可能存在的风险以及安全隐患,保障系统安全管理,全面改善网络安全状态,保障网络正常运行。网络安全评价包含以下几方面:主要对网络操作系统和网络设备的配置进行检查:(1)检查安全管理制度的完善程度和执行情况。(2)检查系统账户的权限设置,有无弱口令和多余的授权。(3)检查系统漏洞及修补情况。(4)检查系统审计及日志,观察有无异常。(5)检查网络设备设置,网络安全隔离情况。(6)使用专用软件对系统漏洞和弱口令进行检查。(7)使用网络扫描软件对网络进行扫描,检查网络拓扑情况及网络漏洞。(8)邀请第三方安全评价机构进行评价,邀请第三方如网络完全公司,资深黑客进行网络评价[1][2]。
1模糊综合评判体系的建立
模糊综合评判[3]是建立在模糊数学的根基上,以模糊关系作为综合评判的基本原理,把某些不能被人们确定或不易定量区分的内容定量化,在定量的基础上再重新进行综合评判的一种方法。最常用的模糊合评判方法是根据评判的复杂程度将风险列为多个不同的等级,逐级进行评判的。
1.1单级因素集评判
在做出模糊综合评判时,首先应从因素集U当中的单个因素出发做评判,且确定评判对象对于评语集当中每一个元素的隶属程度。假设评判对象是按照因素集中第1个因素u1。本文在运算中采用了能够考虑所有信息的加权平均型进行计算。
(1)确定评价对象的因素论域
p个评价衡量的指数,u=u1,u2,LL,up。
(2)如何给评语等级论域定位
V=V1,V2,∧Vm,是一个等级群。但不同的等级对应不同的、具体的子集,并且所对应的子集具有不可确定性。
(3)进行单因素评价,并建立相应的不能确定的关系链R
构造不同的等级对应不同具体的子集之后,需从每个单因素ui(i=1,2,LL,p)上逐个进行量化,即要确定从不同的、具体的单个因素来确定、核实相应事物和等级子集的关系(R|ui),从而确定不同的模糊关系矩阵:
矩阵R中第i行第j列元素rij,它所传达的信息为:其中某个条件从因素ui来看对Vj子集的隶属度。而这些被评定事物则是通过向量(R|ui)=(ri1,ri2,LL,rim)来体现的。
(4)确定评价因素的权向量
在进行模糊综合评价的过程中,应该通过确定不同的评价因素及其权向量,由此可得知:a=(a1,a2,LL)。在这里,权向量a内的元素ai本质是因素对于模糊字ui的隶属度,由此可以确定权系数。
(5)对模糊综合评价结果进行向量分析
在具体实际的分析中,通常需要用到最大隶属度原则。但有时候因为使用效果不太好,造成信息的损失度较大,还有可能得出的评价结果不合理的情况发生。
1.2多层因素集评判
在对多因素进行综合评价的时候,需要考虑到更多的因素,很难做到精确分配权重,这个时候可以对这些因素进行集合,并且按照共同属性将其进行分类,并且开展多层次的评判,建立起多级模糊综合评判模型[3]。步骤如下:
(1)把因素集u分为几个子集,记为:u=u1,u2,LL,up。
设第个子集为:
ui=ui1,ui2,∧uim。
(2)对每个ui按单层模型进行综合评判,设各因素权重的分配向量为ai,ui的模糊评判矩阵为Ri,则有:
Bi=aiοRi=bi1,bi2,∧bim。
(3)把u=u1,u2,LL,up中ui的综合评判Bi看作是u中的p个单因素评价,可设新的权重分配为a,则模糊评判矩阵为,再经过模糊合成运算可得二级综合评判结果,即B=aοR。
2局域网信息安全实例研究
2.1影响因子权重和隶属度的确定
当前,用于确定权重最常用的办法是层次分析法以及记分卡法,还有专家调查法以及老手法等等。下面我们主要采用专家调查法进行权重的确定,通过问卷调查的方式进行对原始数据作出评估。
调查问卷表确定权重如表1-表4所示。打分方法如下:针对每位被调查者需要根据自己的亲身经验,评判不同的因素对网络有哪些影响,影响程度是多少,并且在表格中进行打分[4][5]。
网络安全影响因子的隶属度调查问卷包括物理安排、逻辑安排、安全管理三方面,具体内容见表2-表4。打分方法如下:每位被调查者根据自己的经验,分析所给网络安全各项指标属于以下哪种等级:很好、好、一般、差、很差。此次问卷调查的统计结果,此次共针对了10人进行问卷调查。通过此表的分析,我们不难得出结论:影响因子的权重和隶属度。
2.2模糊综合评判
本文在运算中采用了能够考虑所有信息的加权平均型进行计算。运算中仍采用了能够考虑所有信息的模型Ⅳ进行计算。
网络安全的模糊综合评判计算量很大,而且过程也比较繁琐。为提高计算速度和准确性作者在VC环境下根据专家打分法模型编制了专门的计算软件,用于从网络安全两级影响因子权重的选取,到每个影响因子隶属度的确定,进而通过自动计算得n-级模糊综合评判最终评价结果[8][9]。
显然,4.0201介于4到5之间,且更靠近4,所以评价结果就是该单位网络安全状况属于“好”的一类。
3结束语
当前网络安全面临的最大威胁主要是外部的各种网络攻击,本文从定量的角度分析网络攻击所造成的危害,归纳了大部分攻击的特点,借鉴了多属性网络攻击分类的思路,提出了评估网络攻击效果的多项主要因素,并在此基础上应用模糊综合评判方法的现有成果对各项因素进行了量化和处理,该方法具有普遍性,分析结果有一定的参考性。
参考文献:
[1][1]雅各布森(DouglasJacobson),仰礼友,赵红宇.网络安全基础:网络攻防、协议与安全[m].电子工业出版社,2011,3.
[2][2]斯托林斯(williamSallings),张焕国,王张宜,杨敏.密码编码学与网络安全:原理与实践[m].电子工业出版社,2012,1.
[3][3]李士勇.工程模糊数学及应用[m].哈尔滨工业大学出版社,2004,8.
[4][4]斯托林斯(williamStallings),白国强.网络安全基础:应用与标准[m].清华大学出版社,2011,1.
[5][5]麦克卢尔(StuartmcClure),斯卡姆布智(JoelScambray),库尔茨(GeorgeKurtz),郑林.黑客大曝光:网络安全机密与解决方案[m].清华大学出版社,2010,1.
[6][6]石志国,薛为民,尹浩.计算机网络安全教程[m].清华大学出版社,北京交通大学出版社,2011,2.
[7][7]刘天华,孙阳,朱宏峰.21世纪高等院校计算机系列课程教材・网络安全[m].科学出版社,2010,4.
[8][8]张福群.模糊综合评判在网络安全评价中的应用[J].电子测试,2013,15.
[9][9]浮欣,李超,武捷.模糊综合评判法在网络安全控制效能评估中的应用研究[C].全国计算机安全学术交流会论文集,2010(25).
单位网络安全考评制度篇4
1、抓好《工作规划》的贯彻落实。一是强化组织协调。建立区领导带队检查推进惩防体系建设情况制度,协助区委、区政府加强对落实惩防体系建设任务的情况的督促检查。二是创新考评方式。组织制定推进惩防体系建设检查考评办法及量化标准,合理设置考评指标;依托“预防腐败网”,对各级各部门落实惩防体系建设任务情况进行网上考评,简化考评程序,增强考评实效性。三是注重宣传推广。借助网络、报刊、媒体等宣传载体,对各级各部门落实《工作规划》、建设惩防体系过程中形成的好经验、好做法,及时进行总结宣传,提升工作水平。四是强化责任追究。对贯彻落实《工作规划》不力的单位和个人,依据有关规定进行问责。
2、开展“预防腐败制度创新年”活动。一是清理、规范全区各级各部门预防腐败工作制度,制订《区预防腐败制度汇编》,确保预防腐败工作规范运作;二是积极建立“制度+科技”预防腐败工作模式,充分运用网络、电子监察现代信息技术,把各项制度固化为计算机程序,进一步规范行政权力运行、公共资源交易,强化公共资金监管,有效防范廉政风险;选取部分镇(街道)、区直单位为试点,着力在构建廉政风险防控机制、防止利益冲突长效机制等方面建章立制,堵塞机制制度漏洞,有效预防腐败,形成典型;三是依托“预防腐败网”,设立“惩治和预防腐败工作网上巡礼”专区,对我区推进惩防体系建设的工作措施、机制制度建设情况、特色亮点以及工作成效等进行集中展示,增强工作推进力。
二、加快推进“办事公开示范区”创建工作
1、注重典型带动。一是抓典型深化。对已创建的典型示范单位,依托三级公开网络,采取网上监测、不定期复查的滚动管理模式,督促指导各典型单位进一步完善公开内容、公开载体、制度建设等,提升典型的质量和水平。二是抓典型培育。继续总结推广示范点的运作模式,重新遴选一批办事公开预选示范点,开展典型创建工作,形成地方特色、行业特色、部门特色。运用网络监督、明察暗访等方式,加强对典型创建工作的监督检查。三是抓典型推广。组织开展“四个一”活动,即开展一次办事公开示范点“网上行”活动;组织一次典型经验现场观摩会;召开一个典型创建专题研讨会;表彰一批先进典型。
2、注重领域拓展。一是向司法领域拓展。以区检察院为试点,积极推行网上办案,建立刑事和解协调机制,积极开展不捕说理工作,探索不诉听证工作,推广重大疑难和复杂案件多媒体示证指控犯罪,探索推广量刑建议;公安机关要推动派出所行政处罚案件对外公开;推进治安案件公开调解、法医公开鉴定、交通事故公开处理等工作。二是向厂务领域拓展。以成果鞋业有限公司等为试点,积极推行厂部、车间、班组三级网络公开责任制,建设完善“厂务公开网”、“车间事务网”、“班组电子台账”三级公开网络,开发“手机短信公开”系统,突出将企业发展改革难点、职工群众关注热点和企业生产经营焦点等全面公开。三是向党务领域拓展。制定完善党务公开实施办法及公开目录,对党务公开的内容、形式、程序等进行规范。注重将党务公开与基层党建、“难点村”治理等工作有机结合。推行党务双向公开交流机制,依托三级公开网络,设立党务公开管理专区,将经济社会发展、党员反映问题办理情况等进行公开。四是向效能建设领域拓展。借助网上审批和电子监察系统平台,对行政审批、征收、处罚、政府采购、产权交易、工程招投标的监察信息进行公开,进一步制约和规范权力运行。五是向纠风工作领域拓展。依托“预防腐败网”上的“网上纠风”平台,积极推行网上公开承诺、网上“五卡一书”办理、网上测评和考评验收,及时公开受理、办结群众纠风投诉情况,维护群众利益。六是向项目建设领域拓展。积极运用“重大项目网上信息管理系统”,对政府投资项目的立项、工程招投标、资金拨付、竣工验收等情况进行全面公开,确保项目建设科学、安全。
3、注重网络联动。制定出台《关于进一步规范全区三级网络联动公开的实施意见》,对各类关系广大群众切身利益的事项全部纳入区、镇、村三级网络公开范畴。继续选择条件成熟的区直单位、村(居)建立公开网站,扩大三级网络联动公开覆盖面。设立“网络听证”专区,对各级各部门开展决策听证情况进行事前、事中、事后全过程的网上视频公开,增强公开实效,接受群众监督。
4、注重机制保障。一是建立健全互动交流机制。强化领导层面的互动交流,落实办事公开工作联席会议制度,定期召集各公开责任单位,分析解决存在问题。强化各级公开办之间的互动交流,实行分片挂钩责任制,由区公开办人员分片挂钩联系7个专项公开办,进行统筹协调和具体指导。强化网络管理员之间的互动交流,建立全区网络管理员电子台账,对区、镇、村三级网络管理员的变动、增减等情况实行动态管理。二是建立健全督查预警机制。制定出台《办事公开工作“双预警双约谈”制度》,对首次督查中发现落实办事公开工作不力的牵头单位、落实单位及相关责任人员进行双预警;对专项公开牵头单位、公开责任单位的相关责任人员进行双约谈。三是严格执行责任追究制度。对执行公开工作不力,不作为、乱作为的,依据规定严肃追究有关单位和人员的责任。
三、推进公共资源市场化配置
在工作机制上,建立健全公共资源市场化配置工作联席会议制度,履行好组织协调、监督检查等职责。建立公共资源逆向倒查机制和决策征询制度,对应实行而没有实行市场化配置的公共资源项目要说明理由。在领域拓展上,重点推进垄断性社会资源和基础设施、公用设施、公共服务等领域的市场化配置工作。继续选择一些重点领域或项目,集中力量加以推进,力求取得突破。在平台建设上,完善区级公共资源交易平台建设,升级改造开评标区,建设智能化交易平台,为专家独立、公正评审创造条件。在交易方式上,除招标、拍卖、挂牌外,根据各类公共资源的特点,探索采用公开竞价、网上竞价、竞争性谈判、随机抽取等方式进行公开配置,对部分数额小、技术简单的项目采取简易办法实施。
四、规范政府采购和产权交易
完善政府采购制度,修订完善政府采购具体实施办法,制定网上竞价和招标系统管理办法;全面开展市、区两级网上竞价工作,推行低价跟单采购办法,严格实行“管采分离”制度,完善政府采购电子化管理;积极探索电子竞价、密封报价等交易方式,提高交易的竞价率和增值率;建立国有产权交易信息监测系统,实现对重点交易环节及时有效的跟踪监控。
单位网络安全考评制度篇5
关键词:信息安全;威胁;管理模式;桌面终端
在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。
一、当前信息网络的安全形势
目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBi对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。
据调查统计,90%以上的计算机终端用户使用的是windows2000,Xp或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。
二、企事业单位网络终端计算机安全现状
大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占ip地址(aRp病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、Bt、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。
这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。
现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装Bt下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。
三、通过网络防护与终端防护共筑信息安全长城
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、iDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。
近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。
四、建设桌面终端安全管理系统的意义
伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。
如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的ip/maC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。
这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。
五、结语
企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部it架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。
参考文献:
[1]闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).
[2]马国胜.桌面安全管理系统的应用[J].中国金融电脑,2009,(4).
单位网络安全考评制度篇6
随着全球信息化程度的加深,CDn已经成为互联网上向用户提供服务的重要系统之一,一方面由于CDn位于内容源站和终端用户之间的特殊物理位置,能够抵御一部分对源站的安全攻击,从而提高源站的安全性;另外一方面,随着CDn越来越多地服务于重要国家部门、金融机构、网络媒体、商业大型网站,并经常承担奥运会、国庆等重大活动,保障CDn自身的安全性、确保源站信息内容安全准确地分发给用户也非常重要。一旦CDn出现业务中断、数据被篡改等安全问题,可能对用户使用互联网服务造成大范围严重影响,甚至可能影响社会稳定。
标准工作开展背景
一直以来,国际国内缺乏专门的标准明确CDn应满足的安全要求,今年《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》在中国通信标准化协会(CCSa:ChinaCommunicationsStandardsassociation)立项,“电信网安全防护标准起草组”讨论了征求意见稿,相信CDn安全的标准化工作,能对促进CDn服务商规范安全地提供服务,从整体上提高CDn行业的安全防护水平提供指导。
美英等国家从20世纪70年代就开始研究等级保护、风险评估的相关内容,制订了彩虹系列、BS7799、iSo27001等具有世界影响力的安全标准。随着通信网络在国家政治、经济和社会发展过程中的基础性和全局性作用与日俱增,这些发达国家越来越重视通信网络安全,并上升到国家安全高度。我国也越来越重视网络与信息安全保障,相继了中办【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发【2006】11号《2006―2020年国家信息化发展战略》等文件指导基础信息网络和重要信息系统的安全保障体系建设。
近五年通信网络安全防护工作取得很大成效,指导通信网络从业务安全、网络安全、系统安全、数据安全、设备安全、物理环境安全、管理安全等各方面加固,提高了通信网络运行的稳定性和安全性、基础电信运营企业安全管理的规范性,也促进了通信行业安全服务产业的快速发展。
随着通信网络安全防护工作逐步深入规范开展,2011年工业和信息化部组织开展了增值运营企业的安全防护试点,率先对新浪、腾讯、百度、阿里巴巴、万网、空中信使运营管理的网络单元进行定级备案、安全符合性评测和风险评估。
2011年,“电信网安全防护标准起草组”组织研究起草《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》等8项安全防护标准,工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动、中国电信、华为、中国互联网协会等单位研究人员参与了标准的起草,目前这两项标准的征求意见稿已经在CCSa讨论通过。
根据《通信网络安全防护管理办法》,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高可划分为一级、二级、三级、四级、五级。因此《互联网内容分发网络安全防护要求》明确了一级至五级CDn系统应该满足的安全等级保护要求,级别越高,CDn需满足的安全要求越多或越严格。《互联网内容分发网络安全防护检测要求》明确了对CDn进行安全符合性评测的方法、内容、评价原则等,有助于深入检查企业是否落实了安全防护要求。
CDn安全防护内容
CDn位于内容源站与终端用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率,改善互联网络的拥塞状况,进而提升服务质量。通常CDn内部由请求路由系统、边缘服务器、运营管理系统、监控系统组成,CDn外部与内容源站以及终端用户相连。CDn是基于开放互联网的重叠网,与承载网松耦合。
CDn主要是为互联网上的各种业务应用提供内容分发服务,以显著提高互联网用户的访问速度,所以保障CDn分发的数据内容安全和CDn业务系统安全至关重要,保障CDn的基础设施安全、管理安全,有效实施灾难备份及恢复等也是CDn安全防护应该考虑的重要内容。因此CDn的安全防护可从数据内容安全、业务系统安全、基础设施安全、管理安全、灾难备份及恢复几方面考虑。
(1)CDn数据内容安全
为保障CDn分发的数据内容安全,需要确保CDn与源站数据内容一致,并进行版权保护,记录管理员的操作维护并定期审计,一旦发现不良信息能够及时清除,同时提供防御来自互联网的网络攻击并对源站进行保护的能力。
数据一致性:CDn企业提供对内容污染的防御能力,识别和丢弃污染的内容,保障重要数据内容的一致性和完整性;保证CDn平台内部传输数据的一致性;防止分发的内容被非法引用(即防盗链)。
版权保护:按照源站要求提供内容鉴权、用户鉴权、ip地址鉴权、终端鉴别以及组合鉴权等方式对源站内容进行版权保护。
安全审计:记录管理员(含源站管理员和CDn系统内部管理员)对CDn系统的管理操作,留存日志记录并定期审计。
不良信息清除:一旦发现CDn系统内部含不良信息,应在内容源站或主管部门要求时间内,完成全网服务器屏蔽或清除不良信息。
防攻击和源站保护:引入CDn后不应降低内容源站的安全水平,同时CDn在一定程度上提供对内容源站的抗攻击保护。
(2)CDn业务系统安全
为保障CDn的业务系统安全,需要从结构安全、访问控制、入侵防范等方面进行安全保护,另外鉴于请求路由系统(即DnS系统)在CDn系统中的重要性以及目前DnS系统存在脆弱性,需要保障请求路由系统的安全。
结构安全:CDn企业在节点部署时应考虑防范安全攻击,如为服务器单节点服务能力留出足够的冗余度、配置实时备份节点等。
访问控制:对管理员操作维护进行身份认证并进行最小权限分配,从ip地址等方面限制访问。
入侵防范:关闭不必要的端口和服务,CDn能够抵御一定的安全攻击并快速恢复。
请求路由系统安全:部署多个内部DnS节点进行冗余备份,并对DnS进行安全配置。
(3)CDn基础设施安全
保障CDn的基础设施安全,可从主机安全、物理环境安全、网络及安全设备防护等方面进行保护。
主机安全:企业对CDn的操作系统和数据库的访问进行访问控制,记录操作并定期进行安全审计;操作系统遵循最小授权原则,及时更新补丁,防止入侵;对服务器的CpU、硬盘、内存等使用情况进行监控,及时处置告警信息。
物理环境安全:机房应选择合适的地理位置,对机房访问应进行控制,防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、防尘、电磁防护等方面均应采取一定的防护措施,并确保电力持续供应。
网络及安全设备防护:ip承载网需要从网络拓扑结构、网络保护与恢复、网络攻击防范等方面进行保护。
(4)CDn管理安全
规范有效的管理对于保障信息系统的安全具有重要作用,可从机构、人员、制度等方面进行保障,同时应将安全管理措施贯穿系统建设、系统运维全过程。
机构:通过加强岗位设置、人员配备、授权审批、沟通合作等形成强有力的安全管理机构。
人员:在人员录用、离岗、考核、安全意识教育和培训、外部人员访问等环节加强对人员的管理。
制度:对重要的安全工作制订管理制度,确保制度贯彻执行,根据安全形势的变化和管理需要及时修订完善安全制度。
安全建设:在系统定级备案、方案设计、产品采购、系统研发、工程实施、测试验收、系统交付、选择安全服务商等环节进行安全管理,分析安全需求、落实安全措施。CDn企业在新建、改建、扩建CDn时,应当同步建设安全保障设施,并与主体工程同时验收和投入运行。安全保障设施的新建、改建、扩建费用,需纳入建设项目概算。
安全运维:在系统运行维护过程中对物理环境、介质、网络、业务系统、安全监测、密码、备份与恢复等加强安全管理,提高对恶意代码防范、安全事件处置、应急预案制订与演练的管理。
(5)灾难备份及恢复
可通过配置足够的冗余系统、设备及链路,备份数据,提高人员和技术支持能力、运行维护管理能力,制订完善的灾难恢复预案,提高CDn企业的抗灾难和有效恢复CDn的能力。
冗余系统、设备及链路:运营管理系统、请求路由系统等核心系统应具备冗余能力,在多个省份备份,发生故障后能及时切换;CDn设备的处理能力应有足够的冗余度;核心系统间的链路应有冗余备份。
备份数据:系统配置数据、源站托管数据等关键数据应定期同步备份。
人员和技术支持能力:应为用户提供7×24小时技术支持,员工应经过培训并通过考核才能上岗。
运行维护管理能力:运维人员应能及时发现系统异常事件,在规定事件内上报企业管理人员、客服人员,做好对客户的解释工作。
灾难恢复预案:应根据可能发生的系统故障情况制订详细的灾难恢复预案,组织对预案的教育、培训和演练。
CDn标准展望
2011年制订的CDn标准还只是一个尝试,目前《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》仅对作为第三方对外提供互联网内容分发服务的CDn提出安全防护要求和检测要求,随着后续CDn安全防护工作的深入开展、CDn面临的安全风险不断变化,CDn安全防护标准还会不断修订完善。
单位网络安全考评制度篇7
关键词:网络系统;安全测试;安全评估
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)13-3019-04
1网络安全评估技术简介
当前,随着网络技术和信息技术的发展与应用,人们对于网络的安全性能越来越关注,网络安全技术已从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究、加强顶层设计,提出系统的、完整的解决方案。
网络信息系统安全评估的目的是为了让决策者进行风险处置,即运用综合的策略来解决风险。信息系统可根据安全评估结果来定义安全需求,最终采用适当的安全控制策略来管理安全风险。
安全评估的结果就是对信息保护系统的某种程度上的确信,开展网络安全系统评估技术研究,可以对国防军工制造业数字化网络系统、国家电子政务信息系统、各类信息安全系统等的规划、设计、建设、运行等各阶段进行系统级的测试评估,找出网络系统的薄弱环节,发现并修正系统存在的弱点和漏洞,保证网络系统的安全性,提出安全解决方案。
2网络安全评估理论体系和标准规范
2.1网络安全评估所要进行的工作是:
通过对实际网络的半实物仿真,进行测试和安全评估技术的研究,参考国际相关技术标准,建立网络安全评估模型,归纳安全评估指标,研制可操作性强的信息系统安全评测准则,并形成网络信息安全的评估标准体系。
2.2当前在网络技术上主要的、通用的、主流的信息安全评估标准规范
2.2.1欧美等西方国家的通用安全标准准则
1)美国可信计算机安全评价标准(tCSeC)
2)欧洲网络安全评价标准(itSeC)
3)国际网络安全通用准则(CC)
2.2.2我国制定的网络系统安全评估标准准则
1)《国家信息技术安全性评估的通用准则》GB/t18336标准
2)公安部《信息网络安全等级管理办法》
3)BmZ1-2000《信息系统分级保护技术要求》
4)《GJB2646-96军用计算机安全评估准则》
5)《计算机信息系统安全保护等级划分准则》等
3安全评估过程模型
目前比较通用的对网络信息系统进行安全评估的流程主要包括信息系统的资产(需保护的目标)识别、威胁识别、脆弱性识别、安全措施分析、安全事件影响分析以及综合风险判定等。
对测评流程基本逻辑模型的构想如图1所示。
在这个测试评估模型中,主要包括6方面的内容:
1)系统分析:对信息系统的安全需求进行分析;
2)识别关键资产:根据系统分析的结果识别出系统的重要资产;
3)识别威胁:识别出系统主要的安全威胁以及威胁的途径和方式;
4)识别脆弱性:识别出系统在技术上的缺陷、漏洞、薄弱环节等;
5)分析影响:分析安全事件对系统可能造成的影响;
6)风险评估:综合关键资产、威胁因素、脆弱性及控制措施,综合事件影响,评估系统面临的风险。
4网络系统安全态势评估
安全态势评估是进行网络系统级安全评估的重要环节,合理的安全态势评估方法可以有效地评定威胁级别不同的安全事件。对系统安全进行评估通常与攻击给网络带来的损失是相对应的,造成的损失越大,说明攻击越严重、网络安全状况越差。通过攻击的损失可以评估攻击的严重程度,从而评估网络安全状况。
结合网络资产安全价值进行评估的具体算法如下:
设SeRG为待评估安全事件关联图:
定义
iF(threatta){addSeRGttoHighighimpactSetandReport}
其中,SeRG表示安全事件关联,SeRGStatei表示攻击者获取的直接资源列表;aSV(a)表示对应资产a的资产安全价值;ta表示可以接受的威胁阀值;HighimpactSet表示高风险事件集合。
常用的对一个网络信息系统进行安全态势评估的算法有如下几种。
4.1专家评估法(Delphi法)
专家法也称专家征询法(Delphi法),其基本步骤如下:
1)选择专家:这是很重要的一步,选的好与不好将直接影响到结果的准确性,一般情况下,应有网络安全领域中既有实际工作经验又有较深理论修养的专家10人以上参与评估,专家数目太少时则影响此方法的准确性;
2)确定出与网络系统安全相关的m个被评估指标,将这些指标以及统一的权数确定规则发给选定的各位专家,由他们各自独立地给出自己所认为的对每一个指标的安全态势评价(Xi)以及每一个评价指标在网络系统整体安全态势评估中所占有的比重权值(wi);
3)回收专家们的评估结果并计算各安全态势指标及指标权数的均值和标准差:
计算估计值和平均估计值的偏差
4)将计算结果及补充材料返还给各位专家,要求所有的专家在新的基础上重新确定各指标安全态势及所占有的安全评价权重;
5)重复上面两步,直至各指标权数与其均值的离差不超过预先给定的标准为止,也就是各专家的意见基本趋于一致,以此时对该指标的安全评价作为系统最终安全评价,并以此时各指标权数的均值作为该指标的权数。
归纳起来,专家法评估的核心思想就是采用匿名的方式,收集和征询该领域专家们的意见,将其答复作统计分析,再将分析结果反馈给领域专家,同时进一步就同一问题再次征询专家意见,如此反复多轮,使专家们的意见逐渐集中到某个有限的范围内,然后将此结果用中位数和四分位数来表示。对各个征询意见做统计分析和综合归纳时,如果发现专家的评价意见离散度太大,很难取得一致意见时,可以再进行几轮征询,然后再按照上述方法进行统计分析,直至取得较为一致的意见为止。该方法适用于各种评价指标之间相互独立的场合,各指标对综合评价值的贡献彼此没有什么影响。若评价指标之间不互相独立,专家们比较分析的结果必然导致信息的重复,就难以得到符合客观实际的综合评价值。
4.2基于“熵”的网络系统安全态势评估
网络安全性能评价指标选取后,用一定的方法对其进行量化,即可得到对网络系统的安全性度量,而可把网络系统受攻击前后的安全性差值作为攻击效果的一个测度。考虑到进行网络攻击效果评估时,我们关心的只是网络系统遭受攻击前后安全性能的变化,借鉴信息论中“熵”的概念,可以提出评价网络性能的“网络熵”理论。“网络熵”是对网络安全性能的一种描述,“网络熵”值越小,表明该网络系统的安全性越好。对于网络系统的某一项性能指标来说,其熵值可以定义为:
Hi=-log2Vi
式中:Vi指网络第i项指标的归一化参数。
网络信息系统受到攻击后,其安全功能下降,系统稳定性变差,这些变化必然在某些网络性能指标上有所体现,相应的网络熵值也应该有所变化。因此,可以用攻击前后网络熵值的变化量对攻击效果进行描述。
网络熵的计算应该综合考虑影响网络安全性能的各项指标,其值为各单项指标熵的加权和:
式中:n-影响网络性能的指标个数;
?ai-第i项指标的权重;
Hi第i项指标的网络熵。
在如何设定各网络单项指标的权重以逼真地反映其对整个网络熵的贡献时,设定的普遍通用的原则是根据网络防护的目的和网络服务的类型确定?ai的值,在实际应用中,?ai值可以通过对各项指标建立判断矩阵,采用层次分析法逐层计算得出。一般而言,对网络熵的设定时主要考虑以下三项指标的网络熵:
1)网络吞吐量:单位时间内网络结点之间成功传送的无差错的数据量;
2)网络响应时间:网络服务请求和响应该请求之间的时间间隔;
3)网络延迟抖动:指平均延迟变化的时间量。
设网络攻击发生前,系统各指标的网络熵为H攻击发生后,系统各指标的网络熵为,则网络攻击的效果可以表示为:
eH=H'-H
则有:
利用上式,仅需测得攻击前后网络的各项性能指标参数(Vi,Vi'),并设定好各指标的权重(?ai),即可计算出网络系统性能的损失,评估网络系统受攻击后的结果。eH是对网络攻击效果的定量描述,其值越大,表明网络遭受攻击后安全性能下降的越厉害,也就是说网络安全性能越差。
国际标准中较为通用的根据eH值对网络安全性能进行评估的参考标准值如表1所示。
4.3模糊综合评判法
模糊综合评判法也是常用的一种对网络系统的安全态势进行综合评判的方法,它是根据模糊数学的基本理论,先选定被评估网络系统的各评估指标域,而后利用模糊关系合成原理,通过构造等级模糊子集把反映被评事物的模糊指标进行量化(即确定隶属度),然后利用模糊变换原理对各指标进行综合。
模糊综合评判法一般按以下程序进行:
1)确定评价对象的因素论域U
U={u1,u2,…,un}
也就是首先确定被评估网络系统的n个网络安全领域的评价指标。
这一步主要是确定评价指标体系,解决从哪些方面和用哪些因素来评价客观对象的问题。
2)确定评语等级论域V
V={v1,v2,…,vm}
也就是对确定的各个评价指标的等级评定程度,即等级集合,每一个等级可对应一个模糊子集。正是由于这一论域的确定,才使得模糊综合评价得到一个模糊评判向量,被评价对象对评语等级隶属度的信息通过这个模糊向量表示出来,体现出评判的模糊性。
从技术处理的角度来看,评语等级数m通常取3≤m≤7,若m过大会超过人的语义能力,不易判断对象的等级归属;若m过小又可能不符合模糊综合评判的质量要求,故其取值以适中为宜。取奇数的情况较多,因为这样可以有一个中间等级,便于判断被评事物的等级归属,具体等级可以依据评价内容用适当的语言描述,比如评价数据管理制度,可取V={号,较好,一般,较差,差};评价防黑客入侵设施,可取V={强,中,弱}等。
3)进行单因素评价,建立模糊关系矩阵R
在构造了等级模糊子集后,就要逐个对各被评价指标ui确定其对各等级模糊子集vi的隶属程度。这样,可得到一个ui与vi间的模糊关系数据矩阵:
R=|r21r22…r2m|
式中:
rij表示U中因素ui对应V中等级vi的隶属关系,即因素ui隶属于vi的等级程度。
4)确定评判因素的模糊权向量集
一般说来,所确定的网络安全的n个评价指标对于网络整体的安全态势评估作用是不同的,各方面因素的表现在整体中所占的比重是不同的。
因此,定义了一个所谓模糊权向量集a的概念,该要素权向量集就是反映被评价指标的各因素相对于整体评价指标的重要程度。权向量的确定与其他评估方法相同,可采用层次分析等方法获得。权向量集a可表示为:
a=(a1,a2,…,an)
并满足如下关系:
5)将a与R合成,得到被评估网络系统的模糊综合评判向量B
B=a・R
B=a・R=(a1,a2,…,an)|r21r22…r2m|
式中:
rij表示的是模糊关系数据矩阵R经过与模糊权向量集a矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集a矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
6)对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b1,b2,…,bn)
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量进行归一化处理:
bj'=bj/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
[1]逮昭义.计算机通信网信息量理论[m].北京:电子工业出版社,1997:57-58.
[2]张义荣.计算机网络攻击效果评估技术研究[J].国防科技大学学报,2002(5).
单位网络安全考评制度篇8
(一)评价信息技术内控制度建设和执行程度
建立完善的信息技术内控制度并高效执行,以保障信息应用系统安全稳定运行和安全风险的有效防范,是内控制度建设的意义所在。评价被审计单位内控制度建设和执行的经济性、效率性和效果性,可从以下几方面入手。
1.人民银行信息安全管理部门根据业务工作和系统运行的需要,明确要求基层人民银行根据自身业务实际情况,制定《机房人员出入管理制度》、《计算机机房运行管理制度》、《机房安全管理制度》、《网络安全运行制度》、《重要业务系统运行管理制度》等内控制度。审计人员在明确基层央行应建立的信息技术内控制度数量的前提下,调查了解被审计单位建立的信息技术内控制度数量,由此得出内控制度健全率(内控制度健全率=已建立的内控制度数/应建立的内控制度数×100%)。内控制度健全率<100%,反映出被审计单位存在业务领域的制度真空,内控制度健全率>100%,则反映出被审计单位存在制度冗余,此两种情况的出现表明被审计单位在内控制度建设方面均未实现经济性的预期目标。
2.信息技术内控制度建设的目的,不是为了“满足审计和检查需要”或“上级行要求”,而是要充分发挥内控制度的约束和监督作用,防范系统风险及操作风险,指导业务工作规范开展以保障应用系统的安全平稳运行。通过审阅被审计单位提供的档案资料,审计人员应分析并判断被审计单位对于各项内控制度是否有效执行,并将有效执行的内控制度数量进行统计,计算得出内控制度的执行率(内控制度执行率=有效执行的内控制度数/已建立的内控制度数×100%)。若制度执行率<100%,表示被审计单位虽然建立了相应的内控制度,但并未有效执行,存在制度建设和制度执行的不对等,无法实现以一定的投入取得最大的产出,反映出被审计单位在内控制度建设方面未实现效率性的预期目标。3.防范信息系统安全风险和操作风险是基层人民银行信息技术内控制度建设的最终目的,评价内控制度建设的效果性,可以通过加权风险控制率指标来衡量。按照业务种类及系统类型对风险操作进行分类划分,并根据风险所造成的危害程度赋予相应的权重,经过加权计算即可得出风险加权控制率。审计人员通过加权风险控制率指标可以直观地评价被审计单位内控制度建设的效果性。加权风险控制率指标越高(趋于100%),反映被审计单位信息技术内控制度建设的效果性越接近预期效果,实现了风险控制的绩效目标,相反则反映出被审计单位信息技术内控制度建设的效果性不佳,未实现绩效目标。
(二)评价信息技术组织人员配备及管理情况
科学合理的组织人员管理是保障信息技术工作有序开展的重要条件,同时也是发挥人力资源效率最大化的基础。绩效审计中应引入对被审计单位组织人员管理的审计评价,通过对被审计单位人员的岗位设置、人员分工、绩效考核、人员培训、转岗提拔等内容的审计,评价被审计单位在组织人员管理的经济性、效率性和效果性。1.通过岗位设置的完整率指标及岗位人员胜任率指标评价组织人员管理的经济性。审计人员在信息技术绩效审计过程中应全面掌握被审计单位的人员基本情况及岗位设置情况,将被审计单位设置的岗位与规章要求设置的岗位进行对比,计算得出岗位设置完整率指标(现有岗位数量/应设岗位数量×100%)。通过向各岗位工作人员本人及服务对象进行问卷调查,统计工作人员胜任岗位工作的情况,得出岗位人员胜任率指标(胜任岗位人员数/接受调查岗位人员数×100%)。将岗位设置完整率与岗位人员胜任率加权合并为组织人员管理经济率指标(岗位设置完整率×50%+岗位人员胜任率×50%),来评价被审计单位组织人员管理的经济性。2.以被审计单位人员分工的平衡性评价组织人员管理的效率性。合理分配工作任务,能够发挥每一名工作人员的积极性和创造性,挖掘工作人员的潜在能力,不断提升整体的工作效率。在以往的信息技术审计中,通过现场检查和问卷调查,发现大量的工作任务往往集中在少部分人的身上,工作任务分配不平衡,整体工作效率较低。假设被审计单位科技人员有n名工作人员,则理想状态下每人的工作量应为部门工作总量的1/n×100%,审计工作中通过对科技部门负责人和所有工作人员开展调查,可以掌握每名员工的工作量占比情况,若个体工作量相对于部门工作总量的占比均趋于1/n×100%,则反映出该部门分工平衡,人员管理效率较高,若少数人员工作量占比过高而其他人员工作量占比过低,则表示被审计部门分工不平衡,人员管理效率较低。3.以岗位考核、转岗提拔情况综合评价组织人员管理的效果性。在信息技术绩效审计中,审计人员往往忽视被审计单位工作人员岗位考核和转岗提拔情况的综合评价。如果岗位考核的优秀结果过于集中在少数人,客观上反映出被审计单位存在工作人员不能胜任工作岗位,或工作任务分配不均等情况,没有实现组织人员管理的预期效果。作为一个需要不断引入新技术、更新成员的特殊部门,通过统计审计期内被审计单位的人员岗位流动和干部提拔情况,能够分析和比较科技部门在全行人才培养和转岗提拔方面的占比和排名,从而对被审计单位信息技术组织人员管理的效果性做合理的评价。
二、信息技术绩效审计的指标
(一)业务信息类系统绩效审计
评价业务信息类系统建设的成本控制。在业务信息类系统建设阶段,要查看项目成本是否得到有效控制,是否存在超预算情况,并分析其原因。根据成本支出情况,计算成本使用的效率。主要绩效审计指标为:资金节约率(资金是否有节约,节约资金/项目总投入资金)、成本降低率(计划成本-实际成本支出/计划成本支出)、实际超支额占原预算总额的比例(超支额/预算总额)。评价业务信息类系统的生命周期。将实际使用年限与计划使用年限进行比较,检查评价是否存在使用周期过短情况。查看正在使用和已停用的信息化项目,分析已停用项目的使用年限和停用原因表1风险加权控制率指标计算表序号i风险操作数量R(i)业务操作总量S(i)权重w(i)加权风险控制率指标1-ii=1Σw(i)×R(i)/S(i)观察思考(业务发展变化、项目自身功能缺陷),从而评价项目的使用周期长短。主要绩效审计指标为:实际使用年限与计划使用年限之比(实际使用年限/计划使用年限)、停用项目占所有自建项目之比(停用项目数量/所有自建项目数量)。评价业务信息类系统的资源利用率。将系统实际使用范围和计划相比较,评价是否存在系统功能、资源闲置情况;通过查看系统的各项使用功能,与计划功能相比较,通过比较评价系统功能的完整性。主要绩效审计指标为:实际功能占计划功能比例(实际使用功能/计划功能)、功能有效使用率(分四个级次:经常、一般、较少、未使用)。评价业务信息类系统的维护成本。通过调查掌握系统的后期维护情况,评价是否存在后期维护成本偏高、不经济情况。一是检查项目维护的成本支出,通过与项目建设成本相比较,判断维护成本高低;二是通过询问科技人员维护工作量,计算每月或每年维护该系统花费的工作量[小时/月(年)],从而评价维护工作量的大小。主要绩效审计指标为:项目维护成本占项目建设成本之比(维护支出/项目建设成本)、系统维护工作量占科技人员工作时间(月均维护时间/月工作时间)。
(二)计算机基础设施绩效审计
1.机房绩效审计指标
(1)机房建设绩效审计指标
衡量科技机房的建设是否符合当前的业务需要,应从“必须在机房内运行的设备数量”着手,计算出合理的机房容积,再根据机房高度计算出机房面积。其中机房高度应在2-3米间,过高则浪费空间、增大机房空调负荷浪费电力,过低则不易摆放服务器机柜等设备、不易散热,同样造成浪费。机房建设费用的测算,则应通过评估招标文件来进行测定。随着人民银行各类业务系统的集中化程度不断加强,省会以下地市中支的系统维护业务目前正显现萎缩态势,地市中支机房一般按C类标准建设,足以满足目前及今后一个时期的业务需要。
(2)机房电子设备绩效审计指标
机房电子设备数量对机房建设的考核。设R=必须在机房内运行的设备数量/实际运行在机房内的设备数量。当R>1时,机房建设不能满足当前业务需要;当R<1时,机房建设存在浪费。机房电子设备可分为网络设备、服务器和辅助维护设备(如UpS电源和空调、新风系统和机房监控系统)。网络设备方面,地市中支的系统维护业务逐步上移到省会及以上机构,各业务系统对网络的依赖性却大大提高。审计中,应评价地市中支对机房网络设备以及办公大楼综合布线的投入能否满足当前以及今后一个时期的业务系统对于网络传输的带宽需求和不间断安全运行的保障要求。服务器设备方面,目前主要包括入侵检测系统、防病毒系统、网络监控系统等安全监测系统和aBS、tBS的业务系统等一些重要业务系统两大类型。审计中主要关注服务器各项参数设置的合规性,服务器运行状况,业务系统维护管理情况等内容,参考各类设备的维护制度,制定相应绩效考核内容,通过统计人员支出、服务器运行频率、系统差错率等参数,评价服务器设备工作的经济性、效率性和效果性。安全监测系统主要用于保护网络内部数据及其他系统的安全运行,应属于辅系统。对安全监测系统的绩效审计,主要看安全监测系统所占用的系统资源和保护网络系统安全运行的时间,如果安全监测系统所占用的系统资源过高,则其对业务系统运行反而造成影响,要扣除相应的绩效值。其绩效审计值=安全系数-购买成本*权重-系统占用*权重。2.网络建设绩效审计指标衡量网络建设绩效的主要指标有:网络线路连通性风险(一般采用2条不同服务商的主干线,设a服务商的风险率为Ra、B服务商的风险率为Rb,则2条主干线的风险率为“1-(1-Ra(1-Rb))”,其值在0-1之间。风险率越低,则表示出现网络连通性风险的可能性越低。网络带宽绩效审计,网络带宽是否满足业务需要,是指即使在业务高峰的情况下,网络带宽仍略大于业务流量,不至于出现数据包拥堵。测算此数值,应统计所有业务系统的网络需求。因2条主干线是各自独立的,所以不能分担网络需求,故每条主干线的网络带宽应为业务需要带宽之和。网络设备绩效审计,其中网络设备包括核心路由器、核心交换机和楼层交换机,以及办公楼布线、办公室信息点、办公室交换机等。核心路由器、核心交换机从数量上来说必须有主备机两套,还应从性能上对其进行绩效审计,即路由器处理能力的审计,可通过调阅路由器运行日志或观测路由器运行状态来得出相关数据,一般要检测两个指标:一是日常路由器负载应在5%-10%之间。二是路由器峰值负载不得高于80%。对楼层交换机的绩效审计则应从性能和数量两方面考虑,楼层交换机个数应为楼层放置点的(1+20%)倍,或至少保留2个备用楼层交换机。楼层交换机接口应为楼层信息点的(1+20%)倍,但不建议超过24个,如该楼层确实信息点较多(超过20个),可考虑使用再次接入小型交换机来解决。
(三)it项目采购和外包服务绩效指标探索
单位网络安全考评制度篇9
【关键词】网络安全评价;神经网络;实践应用
1引言
随着我国网络技术的不断发展,信息划时代已经到来,信息技术遍布于各个领域中,并且在不同领域中有很好的应用。互联网的使用在我国比较多,在改变人们生活方式的同时,也在很大程度上提高了人们的生活质量。
在此前提下,网络安全已经成为人们关注的焦点问题,需要网络研究人员采用神经网络对网络安全进行必要的评价和监控,挖掘出网络问题的不同因素。选用不同的方法来顺利实施安全评价,在很大程度要保证评价的科学性和真实性,由此神经网络技术的应用能够保证网络安全评价的客观性。
2计算机网络安全评价原理
在计算机网络安全评价中,安全评价有很大的发展空间和效果,评价对象呈现出一个多元化趋势,不单单是对系统的评价。系统的组成要素并不单一,建立有自身的目标范围,由此可以说明网络的建设也是通过这种方法进行。系统虽然是人们开发的产物,但是在很大程度上系统之间也有很大差异,有关研究者需要在差异的前提下实现对内涵的了解,对其中出现的一些信息和数据进行必要的掌握和明确。在网络进行安全评价中,其中的关联性对研究对象来说起到了决定性的作用,主要分析了研究对象的变动情况。安全评价原理中最为重要的就是惯性原理,它是安全评价中尤为重要的一个组成部分,惯性原理以角度的变化对研究对象进行研究,在研究的过程中会产生很大的不间断性,根据这种不间断性可以对研究对象未来的发展方向进行明确,给予清晰的定位。网络安全评估原理还可以用质变和量变之间的关系来实现。
3神经网络在计算机网络安全评价的应用
3.1计算机网络安全
计算机网络安全的维护主要是存储中的不同数据,采用多种不同的方法对数据进行实时性的保护,一般情况下可以分为物理和逻辑两种不同的保护措施;在对网络安全进行分析时,需要在最大程度上确保数据不受风险影响,以完好的状态进行存储,使数据能够持续不断应用到实践中。
3.2计算机网络安全评价体系
计算机网络安全评价体系能够在很大程度上对网络中的安全问题实施全方位的评价,在对安全评价体系建立的过程中,应在最大程度上对现实情况进行研究和考量,评价是实施必须要符合评价标准,在此基础上还需要对影响因素进行必要的选择来确保选项的全面性,只有这样可以使评价系统在网络安全评价中发挥一定的作用,对不同的影响因素明确之后才可以进行评价指标的确定。在对网络进行安全评价时,对指标的要求比较高,需要进行不同级别的划分。
4计算机网络安全评价模型构建
4.1Bp神经网络机理
Bp神经网络中的Bp算法的传播是通过信号来完成,并且对传播方向进行有效的分析和判断,信号进行正向传播,数据需要从输入层传导到隐匿层,在传导的过程中应对数据进行必要的分层管理,然后通过输出层输出。如果数据传导和现实情况有明显差异时,可以断定数据处理在整个传递的过程中出现了某些问题,对于出现的问题必须寻找根源并对其进行解决。在此前提下,如果信号进行反向传播,能够在很大程度上使数据起到关键性的作用。在此过程中,使异常数据进行必要的传导,把差异平均分给各层面,在采取同一方法,把数据偏差降低到最低,想要把偏差降到最小需要对数据进行不断重复传导才能符合要求。
4.2计算机网络安全评价模型设计
(1)输入层。Bp神经网络的构建需要有不同的原则进行支撑,这就需要神经节点和评价指标相互对应,在由评价内容来分层限制评价指标,指标个数在很大程度上影响着节点数,也就是说指标数必须要和节点数相同。
(2)隐匿层。隐匿层中应用最为广泛的就是单隐匿层,在设计网络时需要确定节点数,因为节点数和网络功能有必然的联系,但是不能说节点数越高作用越大,如果某些层面的节点数增多会给网络造成不必要的问题,当然,节点数也要保持一定的数量,如果过少会大大影响容错性能。在进行网络设计时,应使实际状况和主观判断相互结合,对不同环节进行数字的表达。
4.3计算机网络安全评价
计算机网络安全评价模型,对网络安全评价的具体步骤分为几个方面:(1)构建计算机网络安全评价体系;(2)使用粒子群优化算法优化Bp神经系统,克服Bp神经网络自身局限性。
优化方法:(1)将Bp网络的目标向量、传递函数和结构等初始化;(2)对粒子群的初始速度、初始位置、动量系数、迭代次数、参数维数和规模等进行设置;(3)利用粒子群训练集训练Bp神经网络,评价适应度值;(4)将每个粒子的历史,最好的适应度值与当前适应度值相比较,如果当前适应度值比历史最好的适应度值优,则将粒子当前适应度值保存,作为个体粒子历史最好的适应度值;(5)计算粒子的惯性权值。
(6)各个粒子速度和位置进行更新,每个粒子与粒子群之间的系统适应度值误差,应当分别记录;(7)对系统适应度值误差进行判断,当误差超过允许的最大迭代次数,或达到已经设定好的误差限值,结束训练。粒子的全局历史,最优位置就是Bp神经网络的最优阈值和最佳权值。利用优化后的Bp神经网络模型,对计算机网络安全进行评价。
5结束语
由此可以看出,随着信息化时代的到来,网络运用越来越广泛,网络安全问题也是人们需要克服的一大难题,所以在对网络进行网络评价时应采用神经网络这一科学手段,降低网络的风险,加快网络的更好发展。
参考文献
[1]李忠武,陈丽清.计算机网络安全评价中神经网络的应用研究[J].现代电子技术,2014,10:80-82.
[2]郑刚.计算机网络安全评价中神经网络的应用研究[J].网络安全技术与应用,2014,09:55+57.
[3]耿仲华.计算机网络安全评价中对于神经网络的应用探究[J].网络安全技术与应用,2014,09:87-88.
[4]武仁杰.神经网络在计算机网络安全评价中的应用研究[J].计算机仿真,2011,11:126-129.
作者简介:
单位网络安全考评制度篇10
关键词:企业;职工;安全;教育
一、强力抓“四建”,夯实职工安全素质教育工作的基础
一要建网络。要建立完善职工安全素质教育网络,形成县(市)、乡镇(街道)和委局(系统)、基层企业单位大三级职工安全素质教育网络;基层企业单位要建立小三级职工安全素质教育网(如,企业建立公司、车间、班组三级职工安全素质教育网),形成“金字塔”式的职工安全素质教育工作组织网络体系。
二要建队伍。加强专兼职职工安全素质教育队伍建设,确保职工安全素质教育工作顺利开展。目前,基层以上组织的纪检监察和工会干部队伍已经成为职工安全素质教育工作的主力军,随着各级职工安全素质教育工作队伍的新老交替和从事、分管这项工作的人员的调整,各级都要不断加强职工安全素质教育队伍建设,按照规定配齐专兼职职工安全素质教育工作人员,确保有人干事。
三要建制度。一是层层建立职工安全素质教育责任制。各级党政主要领导要层层签订职工安全素质教育责任书,尤其是企业一把手必须签订职工安全素质教育责任书。二是建立职工安全素质教育监督检查制度。定期检查和定期通报是督促工作进展的有效手段,要在工作中不断深化和完善这个制度。三是建立职工安全素质教育举报制度。凡是没有按照要求实行厂务公开的,没有建立职代会制度的企业,职工举报一经查实,应该给予举报人一定数额的经济奖励,并注意为举报人保密;要给予企业相应的经济处罚和媒体曝光。
四要建平台。基层职工安全素质教育工作除了传统的公开栏、宣传栏、板报、厂报、文件、广播电视、会议和职代会等平台,要充分利用好现代媒体,发挥网络、短信、公开电话等平台的作用,不断创新厂务公开形式,拓展民主管理渠道。如山东诸城兴贸玉米开发有限公司在职工安全素质教育工作中进行了有益探索,收到良好效果:一是他们在公司所属单位推广使用oa网络办公系统,职工可以随时登录系统了解全公司的大事、要事和职工安全素质教育工作的进程;可以通过内部沟通交流平台自由发表意见和建议;厂务公开领导小组成员轮流定时上网,收集职工提出的意见和建议,集体研究后对职工的疑问给予及时的解答,形成了良好的互动交流机制。二是该公司利用群发机给职工代表发短信,就职工安全素质教育工作发动全体职工代表通过短信提案,一个月就收到278条职工代表短信提案。三是利用录音笔、摄像机加强暗访监督。为加强对职工安全素质教育工作的监督,公司为职工安全素质教育督查室配备录音笔和6台摄像机,对职工短信提供的线索进行暗访,避免在考勤、岗位定级、干部选拔以及各种费用等问题上有人暗箱操作。定期召开会议,采取事前先播放暗访录音录像,再进行评议的方式和“职工评议干部、干部相互评议、上级评议下级”的考评模式,对全体干部进行考评,发挥了职工安全素质教育工作的威力。
二、合力抓“四全”,规范职工安全素质教育内容
目前,职工安全素质教育工作机构大都附设在各级工会组织,单凭工会的力量难以达到预期效果。各级职工安全素质教育工作机构(工会组织)必须会同纪检监察、公检法司以及企业主管部门,整合各方面资源形成职工安全素质教育工作的合力。职工安全素质教育工作要注重全员性、全面性、全程性和全方位。
全员性。职工安全素质教育工作不仅仅是在职职工分内的事,也是退休职工应该关注的内容。不仅仅是企业内部人员的事,企业外部人员更发挥着举足轻重的作用。很多单位就是因为惧怕对外往来中的问题暴露才不公开、假公开。只有发动全体职工和相关的人员都参与进来,职工安全素质教育工作才会有广泛的群众基础。
全面性。职工安全素质教育工作不仅仅涉及企业发展规划和生产经营等重大事项、职工的政治权利和民主权益,更应该包括涉及职工具体经济利益的“细节”。职工安全素质教育工作的“细节”,正是广大职工关注的热点。切忌在职工安全素质教育工作中只公开大事要事,不公开具体敏感事项;只让职工在宏观民主政治建设方面发挥民主管理作用,在一些具体利益方面把职工抛在脑后。
全程性。整个职工安全素质教育工作的过程要让职工参与和监督,切不可只让职工了解公开的结果。失去监督的权力必定产生腐败,同理,缺少监督的过程也必定会出现问题。
全方位。不论是厂务公开还是民主管理工作,不应该仅仅局限于一个点、一条线、一个侧面,都应该是全方位、立体式的。公开要全方位、立体式公开;民主管理更要全方位、立体式管理,否则必定会“捡了芝麻漏了西瓜”,达不到职工安全素质教育工作的预期目的。就一个企业来说,既要有上级和下属、基层群众的“纵向”监督,也要有相关业务单位和社会各界的“横向”监督,更要有八小时以外的群众监督,形成立体的全方位的民主监督和民主管理,方能发挥职工民主管理的应有作用。
三、着力抓好“三个参与”,提供职工安全素质教育保障
抓好源头参与。源头参与包括三级参与:一是县(市、区)一级的源头参与。主要是在职工安全素质教育工作组织领导、政策性文件制定等方面参与,把职工安全素质教育纳入对各级党政一把手的考核考评。二是乡镇(街道)、委局(系统)一级的源头参与。主要是督促同级党政把职工安全素质教育纳入重要日程,纳入对所属企业单位党政一把手的考核考评。三是企业建立的职工安全素质教育工作领导机构一定要有同级的职工安全素质教育工作机构人员(纪检和工会干部)参加,确保能够参得上,参得准,参得好。
抓好社会参与。对于职工安全素质教育工作的社会监督不可或缺。纪检监察、工会、劳动、公检法司及企业主管部门的监督检查,能够有效地督促企业把职工安全素质教育工作落到实处。人大、政协外部监督和媒体等外部舆论监督,以及社会公众的有效监督,更能增强企业职工安全素质教育工作的实效。