购物车(0)
公司安全防护措施模板(10篇)
时间:2023-06-18 10:36:37
导言:作为写作爱好者,不可错过为您精心挑选的10篇公司安全防护措施,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
根据《中华人名共和国安全生产法》和安全生产标准化建设的要求公司制定出安全生产工作方针、目标和措施如下,要求各部门必须将安全生产落实到实处、做出实效,全面提升公司安全生产管理水平。
一、 安全生产方针:
安全第一,预防为主、综合治理。
二、安全生产目标:
1. 无一次死亡三人(含三人)以上重特大道路交通运输事故,无火灾事故及其他社会影响较大的事故。(按局下达控制指标)
2. 企业职工无因公死亡事故,因工重伤率小于0.1%。(局下达控制指标)
3. 道路佳通责任折合死亡率小于1人/500万公里。(局下达控制指标)
4. 建立安全管理机制、落实安全管理责任。
5. 消防实施按消防部门要求配齐,并保持完好状态。
6. 根据省政府较强劳动职业安全卫生工作要求,落实各项职业健康与职工保护措施。
7. 认真执行《安全生产法》、《江苏省安全生产条例》、《江苏省安全生产监管规定》、《江苏省交通系统安全办公会议制度》和《江苏省交通系统安全检查制度》,有详细记录。对重特大事故隐患要登记、建档、评估分析,事故隐患整改率95%以上,暂时不能整改的重大事故隐患要建立应急预案等防范措施。
8. 职工全员教育率达100%。企业负责人、分管安全负责人和专职安全员安全生产资格证、驾驶员从业资格证持证率100%。GPS监控率100%。
9. 完善安全台账,按时报送报表和工作情况,发生伤亡事故在规定的时间内上报并续报,严格按照“四不放过”原则处理责任事故,事故的调查处理结案不超过法律时效。
10. 切实做好重点时段、重点领域的安全生产工作,做好节假日、重大活动和冰雪、寒潮、大雾、防汛、抗台等极端天气下的交通安全生产工作,特别是做好春运期间的交通安全生产工作。
11. 开展“安全生产年”、“安全生产月”和“安全生产标准化”等建设活动。
三、 实现安全生产方针与目标的措施
危货企业是安全高分险行业,为实现本公司安全生产工作方针与目标,落实安全生产责任制,是安全生产“在控、可控”,现根据危货运输行业的特点和生产经营实际需要,制定下列措施,以保证安全生产工作方针与目标实现。
1. 进一步充实完善安全生产组织架构,加大对安全生产活动的领导组织力度,确保安全生产各项指令畅通无阻,确保安全生产各项指令畅通无阻,确保安全生产活动卓有成效,确保上下同心,条块协力、人人都位安全生产献计献策,达到安全生产全员全面全过程的要求。
2. 认真组织学习安全法律、法规,学习安全生产标准化建设的文件材料,坚持例会制度,加快安全文化建设步伐,加大宣传发动力度,提高员工遵章手机的自觉性,激发参与安全生产标准化建设的主观能动性。
3. 强化安全责任体系,落实安全生产责任,对各项安全生产责任制进行细化,提高各项规章制度的科学性和操作性。
4. 建立健全格了安全生产记录、台账档案,必须达到准确、及时、详实、规范的要求,并且按照要求对上级报送相关资料,及时向下传达安全信息,从分发挥隔了基础台账在安全管理工作的作用。
5. 适当提高安全生产经费的计划提取比例,满足改善安全生产条件所需资金,加强对安全生产经费专款专用的管理,确保各项投入及时有效。
6. 在一车一档的基础上,充实车辆技术状况的详细内容,按规定做好车辆维护保养,保证车辆技术等级达到行业标准规定的技术等级。
7. 加强对车辆安全实施的检查,按规定配齐三角木、警示牌、,灭火器等安全设备,车辆装置防劫和视频监控设施
8. 组织员工紧密联系公司安全生产实际,学习先进可靠的安全新技术、 ,食用油脂安全的新材料。新设备。组织科技攻关小组,针对安全生产中的关键难题进行课题研究。提升安全生产管理工作的科技创新水平。
9. 充分发挥GPS功能实施24小时动态监控,建立动态监控工作台账。配备专业人员负责监控车辆行驶和司机的动态情况,实现对驾驶员和车辆科技信息化管理。
10. 加强现场作业管理,严格执行操作规程和安全生产作业规定,严禁违章行车,违章停车、违章超载,严肃劳动纪律,禁止营运时间抽烟、吃零食、打电话、乱丢垃圾等不文明举动。
11. 抓紧对危险设施或危险场所危险源的识别和确定工作,对重大危险源采取有效防范措施,并按规定报告有关部门备案。建立危险源管理档案,把存在的危险因素、防范措施和应急措施,及时准确如实地告知驾驶员和操作者。
12. 积极开展安全生产自救活动,及时发现安全管理方面存在的缺陷和漏洞,对检查出来的隐患分析原因,制定对策,明确整改要求和时限,落实整改单位和整改责任人,确保整改到位。建立隐患治理档案和台账,重大安全隐患报相关部门备案,切实做到整改措施、整改责任、整改资金、整改时限和整改预案“五到位”。
13. 重视对员工的职业健康管理,有安机科指派专人负责。按规定为员工进行职业健康检查,把作业过程中影响员工健康的因素告诉他们,配备相应的设施,尽力为他们提供符合职业健康要求的工作环境和条件。
14. 紧密联系危货企业行业实际,在制定综合应急预案的基础上,建立健全各项专项应急预案和现场处置方案,报有关部门备案,并通报有关协作单位。开展应急预案的宣传教育,普及生产安全事故预防、避险、自救和互救知识,按计划开展应急预案演练活动。一旦发生事故,及时启动实施应急预案,组织力量救援。
15. 严格执行安全事故报告调查处理制度。一旦发现事故,专职安全管理人员必须及时进行现场处置,及时、准确、如实向有关部门报告,并竭力组织抢救受伤人员,防止事态扩大,跟踪试过发展情况,续报事故信息。每次事故都必须认真编写事故调查报告,分析事故原因,明确事故责任,落实整改措施,吸取经验教训。建好事故档案和台账。不论事故大小,一律按“四不放过”原则严肃查处。
篇2
1 专业背景
对电力企业来讲,电网调度部门需要通过调度自动化系统,及时掌握电网运行状态,做出正确决策,必须要保障调度自动化系统的稳定性,抵御黑客、病毒、恶意代码等各种形式的侵害。可是,对部分电力企业来说,电网二次安全防护系统实用性不高,必须采取一定措施提高性能,才能更好保障调度自动化系统安全稳定。
开封公司2011年第四季度电网二次安全防护系统存在的不安全因素统计显示,电网二次安全防护系统累计维护时间254小时。维护时间较长,如若存在突发时间,可能造成系统可用率低于《调度自动化运行管理规程》和《电力调度技术标准汇编》中单机系统可用率不小于95%的要求。
而结合开封公司实际调查发现,影响电网二次安全防护系统实用性的最主要问题是:IDS误报漏报。要解决电网二次安全防护系统的不安全因素,首先要解决IDS误报漏报这一问题。
2 原因分析
对IDS误报漏报率的原因进行分析,寻找出7条末端原因:
(1)经验不足:电网二次安全防护系统投入运行只有一年,维护人员对系统的掌握大多停留在表面,对攻击告警信息的分析能力不够。
(2)人力缺乏“班组人员共计5人,肩负开封地区地调主站、四个集控站的调度自动化系统,子站的自动化设备,以及调度数据专网、电量计费等系统的维护工作。但是,由于班组定员数量是依照全公司的工作需求,进行合理分配的结果,不属于我们的调配范围,因此不是关键因素。
(3)责任心不强:维护人员有时候抱侥幸心理,延长巡视间隔时间,不能自觉进行巡视工作。
(4)规则策略不完善:部分规则策略的检测条件过于严格,在抓到几乎所有的攻击行为的同时,但可能导致一些误报;部分规则策略的检测条件过于放松,这就导致漏过一些攻击
(5)存在后门或:安全防护大区外部存在后门或,时刻威胁调度自动化系统的安全稳定运行。
(6)误操作:使用方法存在过失,经常习惯性操作导致误操作。
(7)系统存在漏洞和开放端口:系统开放与业务无关的端口,提供与业务无关的服务,存在系统漏洞,尤其是新被发现的漏洞。
综上分析结果不难发现,导致IDS误报漏报的要因就是:
(1)规则策略不完善。
(2)存在漏洞和开放端口。
(3)经验不足。
3 对策措施
实施1:完善系统监测规则和策略。
(1)过滤误报。对系统产生的告警,根据所监控的具体网络环境可以判断为明显误报时,可以设置为不告警。
(2)过滤不关心告警。入侵检测系统可以报告很多类型告警事件,比如登录成功、登录失败及探测扫描等。有些事件对于事后分析非常有帮助,但日常监控界面上大量的这些事件有时会影响对主要事件的关注,因此需要标注那些不关心的事件让其不显示,但仍然记录进数据库。
(3)定制关心的安全事件。通过查询系统我们发现,安全厂商仅仅通过定义规则来检测常见的应用、系统攻击事件,而针对具体应用系统的攻击行为和网管人员自身关心的事件可能没有涉及。因此我们针对这一特点,寻求厂商的支持,添加对应规则。
(4)正确判断误报。根据网络环境进行判断,具体判断过程中会有迹象可寻。常见的误报通常会导致大量报警,这样在入侵检测系统运行一段时候后,使用日志分析工具对所有告警进行一个统计分析,选取告警数据前10位的告警,或者直接在控制台界面上选取告警率比较高的报警,通过对这些告警进行分析,协助进行判断,从而达到减少误报漏报才来的影响。
实施1:减少了IDS的误报率和漏报率减少了维护人员对二次安全防护系统的维护工作量,提高了二次安全防护系统的实用性。同时,也从侧面减轻了人力缺乏对系统稳定运行带来的影响。
实施2:修补系统漏洞,关闭系统业务无关的端口及服务。
对IDS系统的系统漏洞进行了检测,并及时修补相关补丁。同时,经过和厂商相关技术人员的交流,关闭与电网调度自动化系统无关的业务端口及服务。
实施2基本完全抵制了攻击利用系统漏洞和相关端口、服务,绕过IDS系统进行攻击的方法,使电网二次安全防护系统的实用性得到了加强,能够有效的保障电网调度自动化系统的安全、稳定、经济运行。
实施3:开展技能培训。
聘请技术工程师向调度自动化班的全员讲解电网二次安全防护系统的整体结构、联接关系、维护方法以及故障处理等过程。
培训后,工作人员对电网二次安全防护系统的故障预判、处理及分析能力大大提高,各项工作能力均得到了显著提升。
4 取得成效
对2012年第四季度电网二次安全防护系统存在的不安全因素再次统计的结果显示:开封公司电网二次安全防护系统累计维护时间51.5小时,比去年同期的254.0小时,减少了79.72%。通过前后对比也发现,IDS误报漏报已经不是影响电网二次安全防护系统实用性的主要问题。
同时,经计算,电网二次安全防护系统的可用率高于97.38%,达到并超过了95%的目标值。可以说,通过以上举措,成功降低了IDS的误报率和漏报率,提高了电网二次安全防护系统的实用性。
5 结语
篇3
1、抓好安全教育
1.1安全教育的现状和存在的问题
安全教育我们喊了许多年,也有不少规定,而建筑劳务市场的现状就象一个多嘴的漏斗,不同环节的流转是自由的和多向的。
首先,所有的安全教育都忽视了一个现实情况,在蓬勃发展的建筑业,普遍反映“劳务工荒”,供求市场的失衡注定上述的教育变成一种形式。
其二,目前劳务工的安全教育由企业买单,由于劳务市场具有很强的流动性,这就严重冲击了企业的主动性和积极性,往往是为了应付政府的监管才不得不去做,变调的目的注定不会收到好的效果。
其三,农民工走入建筑业,对建筑安全的风险知之甚少,思想上的轻视造成主观上对安全教育和安全管理的漠视。第四,安全教育的形式单一,内容肤浅,起不到应有的作用。
1.2安全教育实施措施
针对这种现状,应彻底改变安全教育的现状,实行分级负责分级教育。
(1)政府应勇于挑起对农民工的安全基础教育的责任。农民工应有一个准入制度的约束,从农民工转化为建筑工人也应有一个过程。输出劳务的当地政府作为受益者理应负起这个责任,对输出劳务进行初级培训教育。建设主管部门应负起监管和指导的责任,要达到2个目的:
①了解建筑业的安全风险;②掌握防范安全风险的基本技能,达到初级滤网和规范的作用。
(2)大力培育专业劳务公司,把零散的农民工纳入有序的劳务公司,对劳务公司进行资质评定、资格评审。通过劳务公司使得劳务工达到第2级的安全教育,使劳务工掌握专业的安全技术知识和安全政策法规等。
(3)建筑施工企业在招募劳务工或选择劳务公司后,对其进行三级安全教育,强化工程特点所带来的安全风险和具体作业安全要求。
(4)改进安全教育的形式,利用多媒体技术和平面宣传手段相结合的多种形式,起到主动自我防护的目的,并认识到伤害别人的严重后果。
2、建立安全预警机制
首先建筑施工企业应针对不同的项目特点和不同的施工阶段分析安全风险,作出评估,下达安全预警书到不同的项目。其次每个项目要根据企业下达的安全预警书进行具体化,并做安全防护和重点管理。(1)分层规划安全平面防护图 图中标明“四口”防护位置、临边防护位置,并以颜色区分防护的重要性。现场按照平面图进行防护,并做出安全标识和警示。
(2)建立安全动态防护和检查制度 项目在不同的阶段有不同的安全防护需要,防护的重点和措施也不同。在同一施工阶段安全防护也不是一成不变的,尤其是安装与装饰工程施工时,随着工序的穿插,往往需要临时拆除防护,这就要及时跟进恢复。
(3)根据动态防护的特点,要求项目安全员的检查必须是动态的,应根据动态防护平面图进行定时检查、记录和跟踪落实。
3、严格市场准入,保障安全生产投入
对于安全事故的分类及处理,国家有明文规定,但安全事故仍然高居不下,究其原因就是市场准入的门槛太低了。通过对安全事故的统计,发现现在项目施工时在安全防护设施的投入上不能实现同步。建筑业市场竞争比较激烈,压低造价是主要的手段。固定的生产成本是必需的,只能从安全文明施工措施费、管理费、利润中压榨,这就影响了生产中安全措施费的投入,使得安全防护不到位,不仅不能防止事故的发生,而且如果事故发生了也不能起到教育和警示的作用。
篇4
1、抓好安全教育 1.1安全教育的现状和存在的问题 安全教育我们喊了许多年,也有不少规定,而建筑劳务市场的现状就象一个多嘴的漏斗,不同环节的流转是自由的和多向的。 首先,所有的安全教育都忽视了一个现实情况,在蓬勃发展的建筑业,普遍反映“劳务工荒”,供求市场的失衡注定上述的教育变成一种形式。 其二,目前劳务工的安全教育由企业买单,由于劳务市场具有很强的流动性,这就严重冲击了企业的主动性和积极性,往往是为了应付政府的监管才不得不去做,变调的目的注定不会收到好的效果。 其三,农民工走入建筑业,对建筑安全的风险知之甚少,思想上的轻视造成主观上对安全教育和安全管理的漠视。第四,安全教育的形式单一,内容肤浅,起不到应有的作用。 1.2安全教育实施措施 针对这种现状,应彻底改变安全教育的现状,实行分级负责分级教育。 (1)政府应勇于挑起对农民工的安全基础教育的责任。农民工应有一个准入制度的约束,从农民工转化为建筑工人也应有一个过程。输出劳务的当地政府作为受益者理应负起这个责任,对输出劳务进行初级培训教育。建设主管部门应负起监管和指导的责任,要达到2个目的:①了解建筑业的安全风险;②掌握防范安全风险的基本技能,达到初级滤网和规范的作用。
(2)大力培育专业劳务公司,把零散的农民工纳入有序的劳务公司,对劳务公司进行资质评定、资格评审。通过劳务公司使得劳务工达到第2级的安全教育,使劳务工掌握专业的安全技术知识和安全政策法规等。
(3)建筑施工企业在招募劳务工或选择劳务公司后,对其进行三级安全教育,强化工程特点所带来的安全风险和具体作业安全要求。 (4)改进安全教育的形式,利用多媒体技术和平面宣传手段相结合的多种形式,起到主动自我防护的目的,并认识到伤害别人的严重后果。
2、建立安全预警机制 首先建筑施工企业应针对不同的项目特点和不同的施工阶段分析安全风险,作出评估,下达安全预警书到不同的项目。其次每个项目要根据企业下达的安全预警书进行具体化,并做安全防护和重点管理。
(1)分层规划安全平面防护图图中标明“四口”防护位置、临边防护位置,并以颜色区分防护的重要性。现场按照平面图进行防护,并做出安全标识和警示。 (2)建立安全动态防护和检查制度项目在不同的阶段有不同的安全防护需要,防护的重点和措施也不同。在同一施工阶段安全防护也不是一成不变的,尤其是安装与装饰工程施工时,随着工序的穿插,往往需要临时拆除防护,这就要及时跟进恢复。
(3)根据动态防护的特点,要求项目安全员的检查必须是动态的,应根据动态防护平面图进行定时检查、记录和跟踪落实。
篇5
本文针对现阶段企业信息安全出现的问题,结合项目管理领域的一般过程模型,从时间、任务、逻辑方面界定了系统的霍尔三维结构,构建了标准化的ISM结构模型及动态运行框架,为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护,并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。
1 企业信息安全立体防护体系概述
1.1 企业信息安全立体防护体系概念
信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性,提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。
1.2 企业信息安全立体防护体系环境分析
系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变,同时,多样性的防护需求要求有相适应的环境与之配套。
企业信息安全立体防护体系的运行环境主要包括三个方面,即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。
1.3 企业信息安全立体防护体系霍尔三维结构
为平衡信息安全防护过程中的时间性、复杂性和主观性,本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构,如图1所示。
时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程,由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成,并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序,包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容,如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开,形成分层次的树状体系。
2 企业信息安全立体防护体系解释结构模型
2.1 ISM模型简介
ISM(Interpretation Structural Model)技术,是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素,并利用矩阵等工具进行逻辑运算,明确其间的相互关系和层次结构,使复杂系统转化成多级递阶形式。
2.2 企业信息安全立体防护体系要素分析
本文根据企业信息安全的基本内容,将立体防护体系划分为如下15个构成要素:
(1) 网络安全:网络平台实现和访问模式的安全;
(2) 系统安全:操作系统自身的安全;
(3) 数据安全:数据在存储和应用过程中不被非授权用户有意破坏或无意破坏;
(4) 应用安全:应用接入、应用系统、应用程序的控制安全;
(5) 物理安全:物理设备不受物理损坏或损坏时能及时修复或替换;
(6) 用户安全:用户被正确授权,不存在越权访问或多业务系统的授权矛盾;
(7) 终端安全:防病毒、补丁升级、桌面终端管理系统、终端边界等的安全;
(8) 信息安全风险管理:涉及安全风险的评估、安全代价的评估等;
(9) 信息安全策略管理:包括安全措施的制定、实施、评估、改进;
(10) 信息安全日常管理:巡视、巡检、监控、日志管理等;
(11) 标准规范体系:安全技术、安全产品、安全措施、安全操作等规范化条例;
(12) 管理制度体系:包括配套规章制度,如培训制度、上岗制度;
(13) 评价考核体系:指评价指标、安全测评;
(14) 组织保障:包括安全管理员、安全组织机构的配备;
(15) 资金保障:指建设、运维费用的投入。
2.3 ISM模型计算
根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析,可得要素关系如表1所示。
对可达矩阵进行区域划分和级位划分,确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R(Si),前因集A(Si)以及可达集R(Si)与前因集A(Si)的交集R(Si)∩A(Si),得到第一级的可达集与前因集(见表2)。
2.4 企业信息安全立体防护结构
结合信息安全防护的特点,企业信息安全立体防护体系15个要素相互联系、相互作用,有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素,双向箭头表示同级影响。
从图2可以看出,企业信息安全防护体系内容为四级递阶结构。从下往上,第一层因素从制度层面阐述了企业信息安全防护,该层的五个因素处于ISM结构的最基层且相互独立,构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下,确定了企业为确保信息安全进行管理活动,是进行立体防护的方法和手段;第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点,其中物理安全是控制基础。第四层要素是企业信息安全的直接需求,作为信息的直接表现形式,数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。
图2 企业信息安全防护解释结构模型
2.5 企业信息安全立体防护过程
企业信息安全立体防护是一个多层次的动态过程,它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展,构建了整体运行框架(见图3)。
从图3 中可以看出,企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行,充分体现出时间维度上的动态性。具体步骤如下:
(1) 综合分析现行的行业标准规范体系,企业内部管理流程、人员组织结构和企业资金实力,建立企业信息安全防护目标,并根据需要将安全防护内容进行等级划分。
(2) 对防护内容进行日常监测(包括统计分析其他公司近期发生的安全事故),形成预警,进而对公司信息系统进行入侵监测,判断其是否潜在威胁。
(3) 若存在威胁,则进一步确定威胁来源,并对危险性进行评估,判断其是否能通过现有措施解决。
(4) 平衡控制成本和实效性,采取防范措施,并分析其效用,最终形成内部信息防护手册。
3 分析及对策
3.1 企业层面
(1) 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域,在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全,就必须遵循一切从整体目标出发的原则,加强信息安全防护的整体布局,在对原有产品升级和重新部署时,应统一规划,统筹安排,追求整体效能和投入产出效应。
(2) 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护,三个层面互相依存、互相作用,其中制度和保障是基础,策略是支撑,技术是手段。要有效维护企业信息安全,企业就必须正确处理好体系间的纵向关系,在寻求技术支撑的同时,更要立足于管理,加强工作间的协调,避免重复投入、重复建设。
(3) 降低系统交互性。在企业信息安全防护体系同级之间,相关要素呈现出了强连接关系,这种交互式的影响,使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设,界定好每个工作环节的边界,准确定位风险源,并确保信息安全策略得到恰当的理解和有效执行,防止在循环状态下风险的交叉影响使防范难度加大。
(4) 关注系统动态性。信息安全防护是一个动态循环的过程,它随着信息技术发展而不断发展。因此,企业在进行信息安全防护时,应在时间维度上对信息安全有一个质的认识,准确定位企业信息安全防护所处的工作阶段,限定处理信息安全风险的时间界限,重视不同时间段上的延续性,并运用恰当的工具方法来对风险加以识别,辨别风险可能所带来的危险及其危害程度,做出防范措施,实现企业信息安全的全过程动态管理。
3.2 政府层面
企业信息安全防护不是一个孤立的系统,它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高,有力的政策是推动企业信息安全防护发展的前提和条件,高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外,还必须借助于政府建立一个积极的环境。
(1) 加强信息安全防护方面的文化建设。一方面,政府应大力宣传信息安全的重要性及相关政策,提高全民信息安全素质,从道德层面上防止信息安全事故的发生;另一方面,政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育,从思想上、理论上提高和强化社会信息安全防护意识和自律意识。
(2) 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准,建立多元监管模式和长效监管机制,保证各项法律、法规和标准得到公平、公正、有效的实施,为企业信息安全创造有力的支持。
(3) 加大信息安全产业投入。政府应高度重视技术人才的培养,加快信息安全产品核心技术的自主研发和生产,支持信息安全服务行业的发展。
4 结 语
本文从企业信息安全防护的实际需求出发,构建企业信息安全防护基本模型,为企业信息安全防护工作的落实提供有效指导,节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。
参考文献
[1] 中国信息安全产品测评认证中心.信息安全理论与技术[M].北京:人民邮电出版社,2003.
[2] 汪应洛.系统工程[M].3版.北京:高等教育出版社,2003.
[3] 齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282?285.
篇6
中图分类号:F426.61 文献标识码:A 文章编号:1009-914X(2016)18-0280-01
0 概述
目前,电力市场化的进程不断深人,用户对电能可靠性和质量的要求也在不断提高,为了提供安全、经济、高效、可靠的用电服务,智能电网应运而生。用电信息采集系统是智能用电环节的重要组成部分,是电量、电费、电价、负荷等用电信息实时数据的主要来源。
1 智能量测
智能量测(高级量测体系“AMI”)是一套完整的包括智能电表、先进通讯网络、采集器与集中器、后台软件的系统,它能够利用双向通信系统和记录有用户详细负荷信息的智能电表,定时和即时获得用户带有时标的多种计量值,如用电量,用电需求,电压,电流等信息,同时向用户端命令和信息,与用户建立紧密联系。
1.1 智能量测的概念
2006年8月,美国联邦能源政策委员会定义了AMI的概念:AMI是1个计量系统,它能够每小时或以更高频率记录用户的用电行为或其它参数,并通过通信网络将测量数据传送到每一个中心。通过用户人口能够实现用户侧设备和电力公司之间的双向通信,即智能电能表将用户的各种用电耗能信息同时发送给本地用户和电力公司,智能电能表通过本地实时数据显示告知用户耗能情况、电力公司提供的实时电价信息,用户根据这些信息可合理地控制本地负荷的耗电量,达到提升经济效益和节能的双重目的。
1.2 用电信息采集系统
电力用户用电信息采集系统是对电力用户的用电信息进行采集、处理和实时、监控的系统,实现用电信息的自动采集、计量异常和电能质量监测、用电分析和管理,具备相关信息、分布式能源的监控、智能用电设备的信息交互等功能的自动化系统。
采集器是用于采集多个电能表电能信息,?并可与集中器交换数据的设备。采集器依据功能可分为基本型采集器和简易型采集器。基本型采集器抄收和暂存电能表数据,并根据集中器的命令将储存的数据上传给集中器。简易型采集器直接转发集中器与电能表间的命令和数据。
2 用电信息采系统安全防护体系
用电信息采集系统是营销业务应用的核心业务系统,其采集、传输、存储、处理和使用的客户信息、用电信息以及电费信息等不仅是电力行业的核心数据资料,而且涉及到国家政治、军事以及社会生活的各个层面,具有较高的保密性,信息的非法使用和泄漏将可能带来不可挽回的损失。而且随着信息技术在电力行业的广泛应用,用电信息采集系统由于大量使用了通信技术、网络技术等新技术,使自身的安全问题变得更加复杂、更加紧迫。信息安全问题显得越来越重要,它不仅威胁到电力系统的安全、稳定、经济和优质运行,而且影响着电力系统信息化的实现进程。
基于以上因素,安全防护的要求也需要在现有采集系统建设的基础上提升到更高的层次,以达到国家电网公司信息系统建设的安全防护总体要求,为营销业务应用系统提供准确、可靠、有效、实时的基础数据。
2.1 信息系统的安全目标
保护信息和信息系统免遭偶发的或有意的非授权泄露、修改、破坏或丧失处理信息能力,实质是保护信息的安全性,即机密性、完整性、可用性、可控性和不可否认性。信息安全属性还包括可控性、不可否认性、实用性、合法性、可追溯性、稳定性、可靠性等。
2.2 用采系统面临的风险攻击
根据用电信息采集系统面临针对其机密性、完整性、可用性等风险攻击。
2.2.1针对机密性的攻击
窃听是指在未经授权的情况下访问或拦截信息。主站系统与用电终端之间通过公共信道传输用电信息,攻击者可在采集通道上采取一定技术手段获取用电终端采集的用户用电信息。如果窃取的信息是明文,则信息的机密性被破坏,如果是密文信息,攻击者也可通过流量分析手段来获取主站与终端所传信息的变化规律,进而掌握不应被公开的机密信息。
2.2.2针对完整性的攻击
篡改是指攻击者拦截或访问信息后,修改信息使其对自己有利。攻击者首先要破坏原有信道,使信息传输通道中断,然后将从主站系统接收到的信息篡改后,发送到用电终端。例如,攻击者对主站系统发到用电终端的电费充值信息的篡改将给售电企业造成严重的经济损失。
2.2.3针对可用性的攻击
伪装是指攻击者假扮成信息的合法发送方向接收方发送信息或假扮成信息的合法接收方获取发送方发出的信息。如果伪装的是控制信息将会导致用电终端的误动作,干扰电力用户的正常用秩序。
重放是指攻击者获得发送方所发信息,再重新发送到接收方。攻击者首先拦截主站系统向用电终端发送的充值信息,然后攻击者定期向用电终端重发这条信息,以期获得多次充值,这类攻击同样会给售电企业带来巨大的经济损失。
攻击者可通过中断通信信道或向服务端发送大量虚假请求信息占用信道或服务端系统的资源,致使正常请求不能被应答。攻击者中断了用电终端和主站系统的信道,使用电终端的请求不可达,从而使主站与终端不能正常通信,影响系统的稳定运行。
2.3 主站安全防护现状
因为有了安全防护的需求,建设安全防护体系特别重要。目前系统主站已根据电力二次系统安全防护总体方案,采用一定的通用安全防护措施;公网信道在采集终端和系统主站之间构成一条无线虚拟专网(VPN)通道,采取了一些安全防护措施;现在使用的各种采集终端,很少采取有效的安全防护措施;现有电表内装有逻辑加密卡芯片或CPU卡芯片两种安全模块,后者因其更高的安全级别逐步为多个网省电力公司所采用。
2.4 用电信息采集系统安全防护具体措施
针对上面已提到的用电信息采集系统存在的各种安全风险逐一介绍对应的安全防护具体措施。对应安全防护措施也分为如下五部分:物理安全防护、网络安全防护、主机安全防护、应用安全防护和数据安全防护。应用安全防护包括对于主站应用系统本身的防护,用户接口安全防护、系统间数据接口的安全防护、系统内数据接口的安全防护。 主要包括数据完整性、数据机密性、数据备份和恢复。系统本身应从应用系统安全、身份认证机制、用户权限及访问控制、应用安全审计、剩余信息保护、数据存储保密、数据存储完整、抗抵赖、软件容错、资源控制、应用数据的备份与恢复等方面进行安全防护。
用户远程连接应用系统需进行身份认证,制定数据加密、访问控制等安全措施,并采用密码技术保证通信过程中数据的完整性。
篇7
电力行业是我国经济社会发展的重要基础支柱行业,在新的经济社会发展形势下,电力行业尤其是电力系统的发展呈现出新的特点和趋势。电力系统自动化水平、智能化建设的不断推进对电力二次系统的安全防护工作提出了新的要求,需要结合新时期电力系统发展的特点,从故障安全管理、电力系统安全稳定运行等角度出发,加强电力系统的二次安全防护措施,确保电力系统的安全稳定运行。
1电力系统二次安全防护的现状分析
1.1电力系统内防效果有限电力系统内防效果有限是电力系统二次安全防护工作体系中存在的一个较为严重的问题,内防效果是针对电力系统的外防工作效果来说的,由于目前大部分的电力系统安全防护措施都是应对系统外部安全问题的,一旦电力系统的内部遭受到攻击,就会产生由于缺乏有效内防措施而产生电力系统运行维护故障,对电力系统的安全稳定性产生一定的影响。因此,为了提升电力系统的二次防护效果,就必须采取相应的措施对电力系统的内防水平进行提升。
1.2防护手段较为单一防护手段单一也是目前电力系统二次防护体系中存在的主要问题之一,防火墙是我国电力系统二次防护采取的主要措施,这种防护技术虽然能够在电力系统数据和信息管理方面发挥一定的作用,但是这种防护手段无法对所有的攻击进行防护,并且随着相关攻击手段的不断强化,防火墙技术的水平也受到一定的挑战,需要提高电力系统二次防护技术手段的多元化,提高电力系统的安全稳定运行。
1.3电力工作人员防护素质有待提高电力系统的相关工作人员无法独立完成防护操作系统也是当前电力系统二次防护工作中面临的主要问题。在实际应用过程中,电力系统的配置、调试和维修都是由相关的生产厂家负责完成的,一旦出现紧急问题,电力系统的相关工作人员由于缺乏相关的独立操作能力,无法在第一时间内解决故障问题,造成较为严重的后果。
2实现电力系统二次安全防护措施
2.1二次安全防护总体策略的制定
为了保证电力系统二次安全防护措施能够在电力系统安全稳定运行方面发挥重要作用,要结合电力系统运行中相关故障的表现以及电力系统二次攻击问题等,制定科学的电力系统的二次安全防护总体策略。要从专用网络建设、纵向认证措施、横向隔离方法以及电力系统安全分区等方面做好二次安全防护的措施制定工作。根据电力系统的实际情况,做好电力系统隔离配置、检测设备和防护设备,通过二次防护措施体系的构建,提升电力系统二次安全防护措施的有效性,为电力系统的安全稳定运行奠定良好的基础。
2.2安全网络的构建
安全网络系统的构建是电力系统二次防护措施的重要方面,安全网络系统的建立主要从以下几个方面开展。首先,要在电力系统安全防火墙技术中融入入侵检测技术的应用,对电力系统入侵进行有效防护,提高防火墙技术的相关性能。其次,做好入侵防护网络建立,当入侵检测技术检测到相关的入侵行为时,要能够通过相关程序的操作对入侵行为进行制止,以此来保证电力系统二次防护工作的效果。
2.3软件应用系统软件防护体系的建立
建立软件应用系统防护体系也是电力系统二次防护技术体系建立的重要方面,电力系统能量管理系统、变电自动化系统等都是电力系统中常用的应用软件系统,也是二次防护体系构建的重点,要采取措施对这些应用系统进行安全加固,在实际操作过程中,要对电力系统主机、电力系统数据库和相关的操作系统进行加固。首先,对主机的安全防护主要是对主机的防护控制能力、安全补丁系统等进行强化和优化。其次,在电力系统数据库方面,主要是通过电力系统数据库日志管理强度加强、数据库相关程序审核等进行安全防护策略强化。需要注意的是,电力系统应用软件操作系统的安全防护策略、数据库的安全防护措施等都是在安全区中开展的,从这个角度上来说,安全区是电力系统二次防护的最主要防护对象之一。
2.4防火墙安全防护措施
防火墙是目前电力系统安全防护的主要措施,同时防火墙技术在电力系统二次防护体系中占据着十分重要的地位。防火墙安全技术包括软件技术和硬件技术,主要是在电力系统内外网络的边界地段发挥重要作用。包过滤防火墙技术是电力系统二次防护体系建设中最为常用的一种防火墙技术,主要是根据数据目的的地址、数据端口以及数据源地址等数据信息的标志信息对相关的信息进行系统、有效的审查,如果审查的结果符合包过滤防火墙技术的信息过滤规则,则能够顺利通过防火墙,将信息数据包传送到相关的目的地,但是如果审查的结果不符合过滤防火墙技术的信息过滤规则,则该数据信息包将会被丢弃。根据包过滤防火墙技术在电力系统二次防护体系中的应用,将包过滤防火墙技术分为两种基本的类型,一种是动态的包过滤防火墙,这种防火墙技术能够对防火墙的过滤规则根据实际的情况进行动态的设置,对电力系统中任意一条信息进行追踪,并且结合电力系统的运行安全需要,对防火墙中的过滤规则进行适时的调整。另一种是静态的包过滤防火墙,这种防火墙技术主要是按照一定的规则对电力系统的相关数据包进行过滤审查,如果无法满足静态过滤准则,则会被丢弃,在实际应用过程中具有一定的绝对性。
3结语
对电力系统二次防护措施和体系进行构建,既是确保电力系统安全稳定运行的重要措施,也是促进电力系统智能化发展的重要基础。根据电力系统二次防护过程中存在的内防水平低、防护种类单一以及工作人员素质不高等问题,需要从安全网络、软件防护策略以及防火墙技术等方面采取措施,建设电力系统二次防护措施体系,确保电力系统的安全稳定运行。
参考文献
[1]郑泽银,游建宏.电力二次安全防护技术在工业控制系统中的应用[J].黑龙江科技信息,2016(14):62.
[2]李明明,秦宇翔.电力系统二次安全防护策略研究[J].科技传播,2016(14):175+206.
[3]李巧媛.电力系统二次安全防护策略深析[J].科技展望,2014,(21):151.
篇8
为确保声屏障工程的施工安全和劳动人身安全,公司给予了人力、物力、财力的全力支持。施工之初,公司成立了工程施工安全领导小组,组长:*副组长:*(常务)成员:*。工程施工现场安全工作组,组长:*副组长:*(常务)*成员:*,加强对安全工作的领导和管理。
在基础开挖工作中,根据施工进度和现场实际情况,制定了《施工现场安全注意事项》
一、进入施工现场人员必须身穿防护服。
二、横越线路时必须做到:一站、二看、三通过,注意左右机车、车辆的动态及脚下有无障碍物。
三、严禁在运行中的机车、车辆前面抢越。
四、严禁在钢轨上、车底下、枕木头、道心里坐卧或停留,严禁将钢筋、钢管等金属物横放在两条钢轨上。
五、顺线路行走时,应走两线路中间,随时注意机车、车辆的动态。
六、必须横越停有机车、车辆的线路时,先确认机车、车辆暂不移动,然后在机车、车辆较远处越过。
七、注意爱护行车设备、站场设备及各种表示牌(灯)等站场标志。
八、当防护员发出报警信号后,施工人员应立即离开行车线路躲避,以保证行车和人身安全。
九、施工中较长的施工工具及材料应顺线路摆放,以免侵入限界造成事故。
7月17日基础混凝土浇注完成后,根据工程进度和施工内容的变化,我们对施工现场安全注意事项及时进行了修订和补充。
一、施工现场安全工作制度
1、定期召开安全工作会议,认真传达贯彻路局有关施工安全文件,组织学习工程指挥部有关工程施工的文件和电报,结合工程实际情况,制定相应的贯彻措施。
2、每天召开安全碰头会,总结安全工作,研究解决施工中存在的问题,制定相应的安全措施,研究制定次日的安全关键和相应的防护措施。
3、每天派出专人参加施工队的班前会,对前日的安全工作进行点评,布置当日的安全工作重点和安全注意事项。
二、施工现场安全防护措施
1、施工现场设立警戒表识和安全警示标志,加强对施工人员的安全教育,不穿防护服,绝对不能进入施工现场。
2、施工现场两端施工队设专人进行安全防护,配备喇叭并保证作用良好。
3、派出专人到车站联系行车计划,提前掌握车流状况,作好安全防护准备工作。
4、加强现场安全巡查力度和巡查频次,认真检查作业现场的工具和材料的摆放,避免侵线,发现问题立即督促整改。
5、对于登高作业,施工队派出专人现场盯控,防止高空坠落伤害,防止材料、工具和人员侵入接触网的安全限界,防止触电事故的发生,杜绝断网的行车事故。
6、制作专用工具,解决架设h型钢和吸声板难题,从根本上防止触电事故和行车事故的发生。
7、搬运金属材料时,采取有效防护措施,防止轨道电路短路,影响行车安全。
三、应急预案
1、施工安排坚持“先难后易、先内后外”的原则,科学、合理的安排进度。
2、帮助施工队合理调配劳动力,科学施工,分组分段,倒排工期,严格按进度计划完成当日施工任务。
3、制作辅助器械,减轻劳动强度,在确保绝对安全的前提下,加快工程进度。
4、提高安全意识,增强反恐防爆观念,加强内部治安秩序,加强对施工现场的安全巡查,特别要加强夜间的安全巡查,对进入施工现场的闲散人员,严加盘查,劝其离开,如发现可疑迹象和故意破坏行为,应立即报警。
7月27日正线开通以后,我们根据《*铁路局营业线施工及安全管理实施细则》、《技规》、《行规》的有关规定,重新修订了《施工现场安全管理办法》。
一、声屏障施工现场必须全部设立施工安全警戒线。按照《技规》第395条第一款第一项基本建筑限界图的规定,距离钢轨头部外侧1.6米以外设立施工安全警戒线。施工人员以及施工材料、工具和备品,严禁侵入施工安全警戒线以内。
二、声屏障基础抹面作业方式,采取分段作业,100米以内为一段作业面,施工现场(包括安装吸声板)不得超过3个作业面。根据施工现场的了望条件,以作业面两端为起点,向两端延伸50至80米处各设立一名安全防护员,安全防护员要全神贯注、精力集中,佩带臂章,手持喇叭,站姿面向来车方向。在接到来车通知或看到有机车、车辆、轨道车移动时,立即吹响喇叭,警示施工人员停止作业。施工人员听到警示信号后,立即停止一切作业并站稳抓牢躲避列车和移动车辆。列车、车辆在作业面内通过时严禁人员走动和其它作业。待列车全部通过或移动车辆远离作业面后,重新作业。
篇9
通过几年来从事市政工程安全管理工作发现,当前市政工程施工现场存在诸多安全隐患,归纳起来主要有以下几点:一是工人安全思想认识淡薄,凭经验、侥幸心理蛮干,而忽视各种安全技术操作规程,不考]生产过程中经常变化的复杂因素,放松警惕,进而引发事故;二是现场的安全管理不到位,安全生产责任制没有真正落实,现场工地上虽配备了一定比例的专职安全员,但有的安全员责任心不强,业务素质差,没有真正履行职责、起到巡查纠错的作用;三是个别参建单位的安全责任不明确,对土建单位提供的脚手架、钢管、电箱等只有使用权利,没有维护管理的责任;四是现在不少施工单位将桩基施工、钢筋笼子加工、路基开挖、挡土墙施工、防撞墙施工、桥面防水及附属工程等分部分项工程分包给多个施工队伍,这些分包队伍由于人员少,工程量不大往往不按要求设置专职安全员,工人在工作中违章操作、违章指挥、违反劳动纪律现象突出,造成安全管理混乱;五是各分包队伍进入施工现场后,各自为政,安全责任不明确,造成现场混乱、隐患较多,且无人予以整改落实,普遍隐患存在如:桩基开钻后无人围护、钢筋笼子吊装时无专人指挥、碗扣支架超载使用等现象时有发生;施工用电管理混乱,多个施工队伍合用一个配电箱,造成超负荷和线路负载不均匀;有的无插头直接用电线塞入插孔,电线、电缆随地乱拖,有的不执行三级配电二级保护,一机、一闸、一漏、一箱、一锁的规定,直接从分箱接至用电设备;有的漏电保护器失灵,严重影响用电安全;现场用火管理混乱,在无任何遮挡的情况下随意气割、电焊,甚至在明火作业区存放易燃易爆品;在同一立体作业区有多个施工队伍同时作业,人手多杂,管理无序,多人不带安全帽作业。
面对上述问题,我们如何做好市政工程的安全管理呢?
一、抓好安全教育,从思想上认识到安全管理的重要性
(一)安全教育的现状和存在的问题
安全教育我们喊了许多年,也有不少规定,而建筑劳务市场的现状就像一个多嘴的漏斗,不同环节的流转是自由的和多向的。首先,所有的安全教育都忽视了一个现实情况,在蓬勃发展的建筑业,普遍反映“劳务工荒”,供求市场的失衡注定上述的教育变成一种形式。其次,目前劳务工的安全教育由企业买单,由于劳务市场具有很强的流动性,这就严重冲击了企业的主动性和积极性,往往是为了应付政府的监督才不得不去做,变调的目的注定不会收到好的效果。再次,农民工走入建筑业,对建筑安全的风险知之甚少,思想上的轻视造成主观上对安全教育和安全管理的漠视。第四,安全教育的形式单一,内容肤浅,起不到应有的作用。
(二)安全教育实施措施
针对这种现状,应彻底改变安全教育的现状,实行分级负责分级教育。(1)政府应勇于挑起对农民工的安全基础教育的责任。农民工应有一个准入制度的约束,从农民工转化为建筑工人也应有一个过程。输出劳务的当地政府作为受益者理应负起这个责任,对输出劳务进行初级培训教育。建设主管部门应负起监管和指导的责任,要达到两个目的:一是了解建筑业的安全风险;二是掌握防范安全风险的基本技能,达到初级滤网和规范的作用。(2)大力培育专业劳务公司,把零散的农民工纳入有序的劳务公司,对劳务公司进行资质评定、资格评审。通过劳务公司使得劳务工达到第2级的安全教育,使劳务工掌握专业的安全技术知识和安全政策法规等。(3)建筑施工企业在招募劳务工或选择劳务公司后,对其进行三级安全教育,强化工程特点所带来的安全风险和具体作业安全要求。(4)改进安全教育的形式,利用多媒体技术和平面宣传手段相结合的多种形式,起到主动自我防护的目的,并认识到伤害别人的严重后果。
二、建立安全预警机制,做好安全防护和重点管理
首先,建筑施工企业应针对不同的项目特点和不同的施工阶段分析安全风险,做出评估,下达安全隐患通知书到不同的项目。其次,每个项目要根据企业下达的安全预警书进行具体化,并做安全防护和重点管理。
1.分区域规划现场存在的安全风险。图中标明安全风险级别,并以颜色区分风险级别。现场按照平面图进行防护,并根据不同的风险进行安全标识和警示。
2.建立安全动态防护和检查制度,项目在不同的阶段有不同的安全防护需要,防护的重点和措施也不同。在同一施工阶段安全防护也不是一成不变的,尤其是碗扣支架与道路交叉施工时,随着工序的穿插,往往需要临时拆除防护,这就要及时跟进恢复。
3.根据动态防护的特点,要求项目安全员的检查必须是动态的,应根据动态防护平面图进行定时检查、记录和跟踪落实。
三、严格市场准入,保障安全生产投入
对于安全事故的分类及处理,国家有明文规定,但安全事故仍然居高不下,究其原因就是市场准入的门槛太低了。通过对安全事故的统计,发现现在项目施工时在安全防护措施的投入上不能实现同步。建筑业市场竞争比较激烈,压低造价是主要的手段。固定的生产成本是必需的。只能从安全文明施工措施费、管理费、利润中压榨,这就影响了生产中安全措施费的投入,使得安全防护不到位,不仅不能防止事故的发生,而且如果事故发生了也不能起到教育和警示的作用。
篇10
中图分类号:TP393.08
随着电网企业信息化建设的逐步推进,大批信息系统相继投入运行,信息系统几乎贯穿于电网企业的各项工作环节,信息化建设对于提高国家电网公司经营生产管理水平、支撑集团化运作、集约化发展发挥了重要作用。但同时,若信息系统存在信息安全方面的问题,就会影响电力系统的安全、稳定运行,进而影响电网的可靠供电。因此,信息系统安全成为电网企业信息化工作的重中之重。
1 电网企业信息安全防护总体思路
电网企业信息系统安全防护要贯彻国家有关信息安全防护政策,全面落实国家电网公司信息安全相关的各项政策和制度,平衡信息安全风险和防护成本之间的关系,优化资源配置,在有限的成本下,使风险最小化,最大程度地保障信息系统的安全稳定运行,同时根据信息安全等级保护制度的相关要求,着重加强与公司重大利益相关的重要系统的安全防护。电网企业信息安全防护应遵循“分区分域、安全接入、动态感知、精益管理、全面防护”的安全策略,完善防护机制,健全信息安全管理措施和安全技术手段,完善信息安全基础支撑平台,提升信息安全综合治理水平,满足公司智能电网建设和“三集五大”对信息安全的需求。
2 电网企业信息安全防护措施
2.1 安全域划分
2.1.1 安全域的定义
安全域是由一组具有相同安全保障需求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。安全域是一组具有安全防护共性的系统的逻辑集合,一个安全域可以包括一个或多个物理或逻辑网段。分域防护的目标不仅是为了实现边界防护,而且是一组在网络、主机、应用等多个层次上深层防护措施的体现。
2.1.2 安全域的划分
安全域的划分应依据总体防护方案中定义的“二级系统统一成域,三级系统独立成域”的方法进行,结合某省电力公司的应用系统使用情况,将整个信息系统共计分为8个安全域。
2.1.3 安全域的实现
安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制,安全域的实体展现为一个或多个物理网段或逻辑网段的集合。
2.2 信息系统边界安全
边界安全防护是检测出入边界的数据信息,并对其进行有效控制的防护措施。根据边界类型的不同,需采取不同的防护措施。
信息系统边界主要分为信息外网边界和信息内网边界两大类,其中信息外网边界主要包括纵向边界和横向域间边界;信息内网边界主要包括纵向边界、横向域间边界和第三方边界。
2.2.1 信息外网域及边界安全
根据电网企业安全域的划分,外网包含外网桌面终端系统域、外网应用系统域和二级系统域共3个区域,对其防护主要从边界网络访问控制方面考虑。
(1)实施边界网络访问控制:在外网边界部署防火墙,对进出内部网络的数据流制定访问控制策略;在外网系统域的边界处部署防火墙,对进出内部网络的数据流制定访问控制策略;(2)外网桌面终端病毒防护:通过部署杀毒软件,实现对外网桌面终端的防病毒管理;(3)入侵防护系统:在互联网出口处,部署入侵防护系统(Intrusion Prevention System,IPS),同时在IPS上开启针对蠕虫病毒、网络病毒的入侵防护功能,主动发现主要的攻击行为和恶意信息的传输;(4)外网网络、数据库审计:在网络核心处部署网络审计、数据库审计系统,通过网络审计系统可以对信息外网进行监控,分析主机负载,发现网络瓶颈,并绘制出直观的流量曲线图、柱状图,有效发现网上出现的异常流量。
通过数据库审计可以主动收集各类对数据库的访问,进行记录和分析的措施,弥补数据库日志审计对实际活动记录的不足,有效保护重要的数据库系统,审计的结果有助于系统管理人员分析各类服务器被访问的情况,并通过访问还原技术,清楚地看到对数据库系统进行访问的过程情况。
2.2.2 信息内网域及边界安全
信息内网边界安全防护主要从边界网络访问控制、入侵检测、终端安全防护、链路冗余等方面考虑。
(1)边界网络访问控制:建立各应用系统汇聚层,不同应用系统之间采用VLAN技术逻辑隔离,禁止直接互访,并在汇聚交换机与核心交换机之间部署防火墙,检测经过的所有数据,对进出内部网络的数据流制定访问控制策略。在信息内网纵向向上边界处部署防火墙,对进出内部网络的数据流制定访问控制策略。在信息内网第三方边界处部署防火墙,对进出第三方边界的数据流制定访问控制策略。在信通网络接入边界部署防火墙,对进出信通网络的数据流制定访问控制策略;(2)实施入侵检测:采用入侵检测系统(Intrusion DetectionSystems,IDS)对于流经内网边界和重要信息系统的信息流进行入侵检测,通过入侵检测系统发现主要的攻击行为和各种恶意信息的传输。因此,在安全域的建设中,在核心交换机上旁路和三级系统汇聚层部署入侵检测系统,同时对主、备核心交换机进行检测;(3)外网网络、数据库审计:部署网络审计、数据库审计系统,通过网络审计系统可以对信息外网进行监控,分析主机负载,发现网络瓶颈,并绘制出直观的流量曲线图、柱状图,有效发现网上出现的异常流量。通过数据库审计可以主动收集各类对数据库的访问,进行记录和分析的措施,弥补数据库日志审计对实际活动记录的不足,有效保护重要的数据库系统,审计的结果有助于系统管理人员分析各类服务器被访问的情况,并通过访问还原技术,清楚地看到对数据库系统进行访问的过程情况。
2.3 主机系统安全
(1)主机安全加固:采取调整主机的系统、网络、服务等配置的措施来提升主机的安全性,主要加固措施包括补丁加载、账户及口令的设置、登录控制、关闭无用的服务、文件和目录权限控制等;(2)进行补丁管理:各种操作系统均存在安全漏洞,应定时安装、加载操作系统补丁,避免安全漏洞造成的主机风险。但针对不同的应用系统,安装操作系统补丁可能会对其造成不同程度的影响,因此,应在测试环境中先行测试安装操作系统补丁是否会对应用系统造成不良影响,确保安全无误后,方可应用于正式环境中;(3)加强防病毒管理:实时监控防病毒软件的运行情况,对未安装防病毒软件或未及时升级更新病毒库的主机,确认其位置和未安装或未及时更新的原因,及时解决问题,并采取措施确保不再发生。
3 结束语
信息安全防护是国家电网公司“十二五”期间信息化保障体系的重要组成部分,也是未来信息发展的趋势。本文对信息系统电网企业信息系统安全防护思路及措施开展了研究与探讨,提出了安全域划分、信息系统边界安全、主机系统安全的防护方案和实现方法,能够有效提高电网企业信息系统的可靠性和安全性,具备较好的可行性和应用价值。
参考文献:
