时间:2022-05-30 11:53:50
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网站安全检测报告范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
1.前言
近些年来,针对煤炭行业事故不断的状况,中央和地方政府一直在下大力很抓煤矿的安全生产。由于煤矿大型机电设备(包括主通风机、提升机、水泵及空气压缩机等)的合理正常运行在矿山安全生产建设中占据着特殊位置,定期对其进行的安全性能检测检验工作就越来越显的尤为重要。通过对大型机电设备的安全性能、技术性能进行检测分析,可以迅速发现设备事故隐患,使矿方及时进行预防和整改。
生命至上,安全为天。针对煤矿机电设备的安全检测检验工作要求以满足客户需求为宗旨,以提高检测工作质量为目的。为此,工作中除了以严肃认真、尽心尽责的态度进行检测、计算和分析外,更要深入研究检测工作质量保证措施,努力实现检测结果的真实准确,从而达到为煤矿安全生产提供强有力技术支持的目的。
2.标准有效是检测工作质量保证的前提
现行有效的安全生产检测检验标准是检测工作进行的前提和依据,任何偏离标准的检测行为都存有潜在的职业风险。因此,当我们新开展一项检测检验工作的时候,首先应选择国家标准、行业标准和地方标准,其次确认标准是否先行有效,再者判断该检测方法能否满足客户需求,最后要对应标准条款要求,从实验室场地、人员素质、环境设施、检测设备等各方面入手,全面评估本实验室的资源能否满足标准方法规定的要求。经研究认为,只有当上述条件均已满足的情况下,新检测项目的工作质量才会从源头处得到保障。对于在用的检测检验标准,实验室要按照年度计划,通过互联网权威网站、专业技术机构等定期(比如半年一次)进行标准查新工作,当发现有过期标准存在时,立即停止现有的检测工作,重新履行标准变更的相关手续。
3.人员设备是检测工作质量保证的基础
任何煤矿机电设备的检测检验活动都是通过专业技术人员操作检测设备来完成的。安全检测行业的重要性和特殊性要求技术人员必须具有很高的职业道德、专业水平和工作经历,应当及时解决检测活动中的技术疑难问题,对被检对象状态迅速作出客观、综合、准确的判断。为此实验室要经常性地组织有关法律法规、岗位职责、检验标准、理论知识和操作技能的宣贯培训。技术人员只有经过考试(或考核)合格后,才可以签发操作证,持证上岗,否则不得从事检测检验工作。配备一定数量的高学历、高职称、高技能人员对检测工作质量保证也有很大好处。
如果检测设备出现问题,那它对于整个检测工作质量的影响将是致命的。因此,一台检测设备从填报购置计划开始,就要对其实施有效控制。实验室首先要收集供应商信息,并对其进行评价工作。此外,所选仪器设备的量程、精度必须满足标准要求,投入使用前要进行技术验证和检定校准。操作仪器的人员必须经过培训和授权。在作业现场,设备使用前后要核查测试环境及设备功能状态是否满足工作质量要求。为防止仪器混淆,每一台设备都应有唯一性标识和档案,其中记载了其检定校准、使用存放、维修保养等信息。当然修复后的设备只有在通过校准或测试表明能正常工作后,方能投入使用。
4.流程一致是检测工作质量保证的重点
实践证明,检测工作质量保证体现在检测过程各个环节,实验室必须实现工作程序标准化,保持步调一致。从与客户协商签署委托合同(协议)、并向检测部门下发任务传递卡开始,整个工作流程就进入了标准化管理。在检测标准未规定优先采用那种检测方法时,应用附加细则对标准加以补充,以确保测试方法的一致性。也就是说,对特定的被检设备,实验室内任何一组人员的检测方法要保持高度统一。
例如对于样品的接受、管理和处置,实验室要规定如下的工作程序:检测工作受理后,双方应做好样品、附件及技术资料的交换登记。检测部门在接到任务后,应组织或指派人员实施。检测人员准备好仪器设备,保证其处于受控状态。重要检测检验用仪器设备,都应有使用说明书。检测人员应保证环境条件符合规定要求,做好环境条件的监控和记录。做好检测前的准备工作,仪器外观检查、通电预热、必要的准备工作。检测人员将接受的样品的控制状态改为“在检”状态,严格按照检测标准或规范及作业指导书进行检测。检测过程中出现边缘数据,应重复测量三次以上确定。检测工作完成后,检测人员将样品的控制状态改为“检毕”状态,按规定存放。已检的样品应由检测人员与客户当面交谈,在清点数量、附件和技术资料后,完成交接。检验过程中填写的原始记录,经审核无误后,交于报告编制人。出具的检测报告经报告编制人、审核人、批准人签字确认后方可交付客户。
5.结果控制是检测工作质量保证的核心
检测检验结果质量控制是有计划的活动,实验室应制定出有确定的控制对象和控制方法的年度计划。监控数据的记录方式要便于发现其变化趋势,在可能的情况下应采用统计技术对结果进行审查。开展结果质量控制的方式有:使用有证标准物质进行监控;参加实验室间比对,三家以上实验室的比对结果更具有说服力,当检测检验结果离群时,启动纠正措施程序,进行纠正措施验证;使用相同的或不同的方法对同一台机电设备进行重复安全检测检验,比较检测结果,该方法适用于正在进行的检验对象,也适用于留样再测对象;对存留物品进行再检测检验,分析留样前后的结果数据;分析一个物品不同特性结果的相关性,如果一个物品不同特性检测结果的关联性表现出脱离相关理论基础,对检测结果就应怀疑。
最后,实验室将记录并计算整理的结果数据,与事前确定的质量控制界限进行比对、分析。当发现质量控制数据将要超出预先确定的判断依据时,应迅速进行分析,并防止出现报告错误的结果。
6.反馈纠正是检测工作质量保证的途径
在长期的煤矿机电设备安全性能检测检验活动中,肯定会出现这样或者那样的问题,检测工作质量就是在不断纠正错误的过程中得到提高的。研究表明,检测工作质量问题可以通过实验室内部或外部审核、管理评审、客户的反馈或员工的观察等各种活动来识别,其中客户反馈极其重要,它既能了解检测人员现场的服务态度,又能知道客户对实验室技术能力、工作效率、工作质量的总体印象。征求客户意见可以由电话咨询或者问卷调查两种方式来进行。
面对通过各种渠道收集到的检测工作质量问题,实验室首先要组织调查、研究分析不符合产生的直接原因,必要时分析诸如检测方法程序、员工技能培训、仪器校准精度等不符合产生的潜在原因。当找到出现问题最根本原因的时候,选择最佳方案完成纠正。最佳纠正措施应考虑:问题的严重程度;风险的大小;问题发生的根本原因和再次发生的可能性;实验室的技术力量和经济水平;消除不符合原因的程度。
中图分类号:o213.1 文献标识码:a 文章编号:1009-914x(2014)20-0120-01
引言
机电设备质量检测的目的是判断机电设备、制作与安装质量是否符合规范要求,为做好机电设备的质量控制、评定机电设备质量等级提供依据,所以机电设备检测工作是非常重要的。下面笔者对机电设备检测工作质量进行了探讨。望得到各位同仁的指导。
一、机电设备的概述
设备通常是人们在生产和生活中所需要的机械、装置和设施等物质资料的总称,机电设备则是应用了机械、电子技术的设备,而通常所说的机械设备又是机电设备最重要的组成部分。
机电设备种类繁多,分类方法也多种多样。机电设备按用途可分为三大类,即产业类机电设备、信息类机电设备和民生类机电设备。产业类机电设备是指用于生产企业的设备,例如自动化生产线、工业机器人,还有其他行业使用的机械设备,如纺织机械、矿山机械等都属于产业类机电设备。信息类机电设备是指用于信息采集、传输和存储处理的电子机械产品。例如,计算机、打印机、复印机、传真机、通讯设备等其他办公自动化设备都属于信息类机电设备。民生类机电设备是指用于人民生活领域的电子机械产品。例如,各种家用电器、家用加工机械、汽车电子化产品、健身运动机械等都属于民生类机电设备。
随着人民生活水平的不断提高,人们在日常生活中对机电设备的需求越来越多,从交通工具到各种家用电器、计算机、打印机等已成为人们生活中不可缺少的机电产品。先进的机电设备不仅能大大提高劳动生产率,减轻劳动强度,改善生产环境,完成人力无法完成的工作,而且作为国家工业基础之一,对整个国民经济的发展,以及科技、国防实力的提高有着直接的、重要的影响,还是衡量一个国家科技水平和综合国力的重要标志。
二、机电设备质量检测方式
1、全部检测。由设备制造、安装单位对设备制造和安装每一道工序都进行检测,检验其质举是否符合要求。
2、跟踪检测。监理单位或质从检测单位对重要的项目进行全过程检测,如主机泵安装,对安装的征一道工序都进行检测。
3、关健工序抽检。监理单位或质量检测单位对关健的工序进行抽检,比如电气设务试验,可以抽取几个设备对其中几个试验项目进行检测。
三、加强机电设备检测工作质量的有效措施
1、施行有效的安全生产检测检验标准
有效的安全生产检测检验标准是检测工作进行的前提和依据,任何偏离标准的检测行为都存有潜在的职业风险。因此,当我们新开展一项检测检验工作的时候,首先应选择国家标准、行业标准和地方标准,其次确认标准是否先行有效,再者判断该检测方法能否满足客户需求,最后要对应标准条款要求,从实验室场地、人员素质、环境设施、检测设备等各方面入手,全面评估本实验室的资源能否满足标准方法规定的要求。经研究认为,只有当上述条件均已满足的情况下,新检测项目的工作质量才会从源头处得到保障。
对于在用的检测检验标准,实验室要按照年度计划,通过互联网权威网站、专业技术机构等定期(比如半年一次)进行标准查新工作,当发现有过期标准存在时,立即停止现有的检测工作,重新履行标准变更的相关手续。
2、提高专业技术人员的素质,加强检测设备的管理
任何机电设备的检测检验活动都是通过专业技术人员操作检测设备来完成的。安全检测行业的重要性和特殊性要求技术人员必须具有很高的职业道德、专业水平和工作经历,应当及时解决检测活动中的技术疑难问题,对被检对象状态迅速作出客观、综合、准确的判断。为此实验室要经常性地组织有关法律法规、岗位职责、检验标准、理论知识和操作技能的宣贯培训。技术人员只有经过考试(或考核)合格后,才可以签发操作证,持证上岗,否则不得从事检测检验工作。配备一定数量的高学历、高职称、高技能人员对检测工作质量保证也有很大好处。
如果检测设备出现问题,那它对于整个检测工作质量的影响将是致命的。因此,一台检测设备从填报购置计划开始,就要对其实施有效控制。实验室首先要收集供应商信息,并对其进
评价工作。此外,所选仪器设备的量程、精度必须满足标准要求,投入使用前要进行技术验证和检定校准。操作仪器的人员必须经过培训和授权。在作业现场,设备使用前后要核查测试环境及设备功能状态是否满足工作质量要求。为防止仪器混淆,每一台设备都应有唯一性标识和档案,其中记载了其检定校准、使用存放、维修保养等信息。当然修复后的设备只有在通过校准或测试表明能正常工作后,方能投入使用。
3、紧抓检测工作的各项流程
检测工作质量保证体现在检测过程各个环节,实验室必须实现工作程序标准化,保持步调一致。从与客户协商签署委托合同(协议)、并向检测部门下发任务传递卡开始,整个工作流程就进入了标准化管理。在检测标准未规定优先采用那种检测方法时,应用附加细则对标准加以补充,以确保测试方法的一致性。也就是说,对特定的被检设备,实验室内任何一组人员的检测方法要保持高度统一。
4、提高检测检验结果的质量控制
检测检验结果质量控制是有计划的活动,实验室应制定出有确定的控制对象和控制方法的年度计划。监控数据的记录方式要便于发现其变化趋势,在可能的情况下应采用统计技术对结果进行审查。检测检验结果的质量控制必须做到以下方面:
使用有证标准物质进行监控;参加实验室间的比对,三家以上实验室的比对结果更具有说服力,当检测检验结果离群时,启动纠正措施程序,进行纠正措施验证;使用相同的或不同的方法对同一台机电设备进行重复安全检测检验,比较检测结果,该方法适用于正在进行的检验对象,也适用于留样再测对象;对存留物品进行再检测检验,分析留样前后的结果数据;分析一个物品不同特性结果的相关性,如果一个物品不同特性检测结果的关联性表现出脱离相关理论基础,对检测结果就应怀疑。最后,实验室将记录并计算整理的结果数据,与事前确定的质量控制界限进行比对、分析。当发现质量控制数据将要超出预先确定的判断依据时,应迅速进行分析,并防止出现报告错误的结果。
5、认真做好检测结果的记录报告
在整个机电设备检测工作质量保证流程中,原始记录是为现场工作的有效性提供客观证据,以便达到复现整个检测过程的目的,因此只有通过特定岗位人员的设计、审核、批准、备案后的记录格式才可以使用。在检测活动中,只可应用规定格式的表格进行记录,记录“内容”应在活动进行的当时完成,不得默记、追记或补记。原始记录应有检验、记录、审核人员的签名,对记录的所有改动应有改动人的签名。存档后的记录要有相应的保护和保密措施,以防损坏或丢失。
检测报告是安全检测工作最终的产品,它的准确性和可靠性直接关系客户的切身利益。实验室报告应按客户及检测标准的要求,及时、客观报告检测结果要求的全部信息,其格式应能简洁、明了、正确、全面地表述检测检验内容和结果,防止产生误解和误用。检测报告编制完成后,核验人员应对检测报告的规范性、信息量、数据的准确性和结果的正确性进行核验,并最终由授权签字人批准。已的检测检验报告,凡是出现实质性修改,都应采用追加文件或更换报告的方式,不能以电子、口头的方式通知委托单位。
结语
总之,我们只要施行有效的安全生产检测检验标准,提高专业技术人员的素质,加强检测设备的管理,紧抓检测工作的各项流程,提高检测检验结果的质量控制并认真做好检测结果的记录报告,才能保证机电设备检测工作的质量。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-7925-02
自从1993年2月,第一个图形浏览器Mosaic开发成功以来,便迎来了万维网WWW发展的春天,尤其是1994年中国接入互联网之后,中国的互联网如雨后春笋般发展起来,相应的,各地网站也逐渐发展起来,学校也都建立了自己的网站,并把网站作为学校对外宣传和报道的窗口,成为提高教学、科研、管理效率的重要途径,随之而来,学校网站的安全性也变得日益重要起来,已被各教育机构所重视。
1 学校网站安全的现状
就像互联网的TCP/IP协议在研究时就没有考虑到其安全性一样,www的设计者更多地考虑满足用户应用,如何更好的展现其业务内容。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注网站安全的设计人员眼里是不重要的,大多数网站设计开发者,还有网站维护人员对网站攻防技术的了解甚少,在正常使用过程中,即便存在安全漏洞,正常的使用者并不容易察觉。
在360网站安全检测平台最新的数据统计中,高校网站平均每五个漏洞就有一个高危漏洞,这就意味着中国高校网站依然存在着大量高危漏洞。中国每个高校网站平均每天被黑客攻击113次(包含扫描等行为)。高校网站被黑客入侵后通常受到的侵害有挂马、网站前台和后台被篡改、网站数据库被“拖库”被篡改、网页被挂马、服务器被控制成为“肉鸡”等。其中以网站篡改最为多见,比例占一半以上。[3]
上面只是对高校网站安全检查结果分析,对那些缺乏必要的技术设施和相关防范经验的中小学网站来说更是雪上加霜,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
2 学校网站面临的威胁
2.1 计算机病毒的破坏
计算机病毒影响计算机系统的正常运行、破坏服务器操作系统和文件系统、同时使网站网页被篡改、使服务器的访问速度变慢,甚至是停止服务,造成学校网站系统的瘫痪,是影响学校网站安全的主要因素之一。
2.2 黑客的攻击和威胁
黑客大部分都是精通电脑的高手,能熟练使用各种软件工具,他们通常采用非法手段入侵系统内部,窃听、获取、攻击侵入系统相关敏感性重要信息,修改和破坏系统的正常使用状态,造成数据丢失或系统瘫痪。黑客入侵的常用手段有:端口扫描、端口监听、口令入侵、植入木马等。
2.3 口令入侵
口令入侵是指破解口令或屏蔽口令保护,由于人们的口令保护意识薄弱,设置的口令过于简单,校园内的某些人员为了达到某种目的(包括修改成绩、将上网的费用转嫁他人等),用不正常的手段窃取他人的口令,造成了学校管理上的混乱。
2.4 非正常途径访问或内部破坏
在各级各类学校特别是高校中,有些学生平时不好好学习,为了考试能过关通过非正常的手段获取考试内容;有人越权处理公务;有人为了个人私利窃取机密数据,这些安全隐患都严重地破坏了学校的管理秩序。
2.5 所使用的操作系统安全问题
目前,主要使用的网络操作系统有WINDOWS,UNIX、和Linux等,每一种操作系统都存在各种各样的安全漏洞,许多黑客就是利用这些漏洞进行攻击和入侵,各种病毒也是利用操作系统的漏洞进行传染。如不对服务器系统进行及时打补丁和更新,来弥补不断出现的漏洞,即使安装了防毒软件也会被感染。
3 学校网站安全防范策略
3.1 网站服务器安全策略
3.1.1 服务器的物理安全策略
保证网站服务器的安全是整个网站安全的前提,主要包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等,我们的服务器机房要有相应的三防一抗能力。
3.1.2 服务器的操作系统安全策略。
首先是使用正版的操作系统;第二是及时为系统打补丁;第三是关闭无需运行和危险的服务;第四是加强系统用户管理;第五是做好操作系统的安全配置。
3.1.3 服务器的帐户安全策略
首先要进行帐户更名,因为Administrator和guest是Windows系统默认的系统帐户,攻击者可以通过破解密码而登录服务器,所有要为其进行更名;其次是账号密码设置,账号的密码策略作用于域帐户或本地帐户,其中强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值、密码必须符合复杂性要求等;最后是帐户锁定,当服务器帐户密码不够安全时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险,通过组策略设置帐户锁定策略即可完美解决。
3.1.4 服务器的安全登录系统策略
首先是远程桌面的设置,远程桌面是比较常用的远程登录方式,但是开启“远程桌面”就好像系统打开了一扇门,合法用户可以进来,恶意用户也可以进来,所以要做好安全措施,要做到用户限制和更改窗口设置;其次是telnet连接,如果不使用这项功能,就要把23号端口禁止掉;最后是第三方软件的使用,可用来远程控制的第三方工具软件非常多,这些软件在给我们带来了方便同时也给我们留下了安全隐患,有可能被人植入木马或者留有后门,大家在使用时一定要慎重。
3.2 网站环境安全策略
3.2.1 防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最有效的安全措施之一,利用防火墙可以实现内外网络的隔离,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。
3.2.2 防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对网站构成极大的威胁。一旦病毒入侵网站,防病毒软件会立刻检测到并加以删除。
3.2.3 入侵检测技术
入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.3 网站域名安全策略
3.3.1 域名注册人邮箱不要使用常用邮箱及个人信息
同时要保证域名不被挂马。
3.3.2 域名管理密码不要使用常用、简单的密码
要做好密码管理和保密工作。
3.4 网站管理员队伍的建设
在网站的安全管理系统中,绝对的网站安全是不存在的,制定健全的网站安全管理体制是学校网站安全的重要保证,只有通过网站管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。[2]应做好以下几点:①建立较完备的安全管理制度;②加强人员的安全技术和意识教育;③定期进行重要数据存储备份,落实系统灾难恢复措施;④定期进行系统安全风险评估,监督网站的安全技术和措施的落实情况;⑤定期进行网站安全日志审查与分析记录。
4 结束语
学校网站的安全问题越来越受到人们的重视,该文简要的分析了学校网站存在的几种安全隐患,并探讨了学校网站的几种安全防范措施。总的来说,网站安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网站,随着计算机网络和网站建站技术的进一步发展,学校网站的安全防护技术也必然随着网站的应用的飞速发展而不断向前发展。
参考文献:
该平台由四部分组成:运营核心平台、数据采集子系统、客户服务支撑子系统、安全专家团队。运营核心平台依托网络安全信息数据库,通过对采集到的网络访问信息进行智能分析,实现安全对象管理、安全事件管理、系统脆弱性管理,将发现的高危安全事件生成预警信息通知到客户服务支撑子系统;数据采集子系统部署在客户网络端,能从客户网络的安全监控对象上采集日志数据,并将预处理后的数据信息加密后通过互联网带内方式发送至安全运营服务核心平台进行分析;客户服务支撑子系统提供客户访问界面,供客户查询安全事件,向客户展现安全风险状况和安全风险趋势,同时定期向客户报送安全报表和安全通告,在发生高危安全事件时向客户提供预警;安全专家团队包括安全监控人员、安全分析人员、安全专家组、现场服务人员,安全专家团队负责对安全事件进行实时监控与分析,帮助客户发现真正有威胁的安全事件。据悉,该平台的主要服务功能包括:
以安全事件收集为基础,通过对互联网接入客户安全设备、网络设备、主机设备、服务器等事件收集,归一化处理、关联分析等,为客户提供安全事件管理、网络以及应用安全事件告警、安全事件报表服务。
通过对客户Web网站,针对敏感、低俗关键字、网页挂马检测,SQL注入漏洞、XSS跨站脚本漏洞等进行安全扫描,并与国家网络安全权威漏洞信息数据库比对,发现Web网站系统中存在的安全漏洞和安全隐患,为客户提供完善的漏洞扫描结果报告、网页安全检测报告及安全整改措施建议等服务。
为用户提供安全评估功能,并给出相应的安全加固建议,对可能存在的安全隐患进行预警为用户提供安全评估功能,并给出相应的安全加固建议,对可能存在的安全隐患进行预警。
为客户提供配置安全核查、安全漏洞检测及修复、安全响应支持等功能。(姜妹)
希捷新开放存储平台提供云架构
近日,希捷了Kinetic开放存储平台将重新定义云存储基础设施。希捷Kinetic开放存储平台不仅能简化数据管理,提高性能和可扩展性,还可以同时降低一般云基础设施的总体拥有成本(TCO)。
该平台让各应用和存储设备之间可以直接传递指令,消除了传统数据中心架构中的存储服务器层,进而降低超大规模存储基础设施在购置、部署以及服务支持方面所涉及的费用。通过降低功耗和冷却成本,企业可实现存储密度最大化,同时降低云数据中心扩建成本。
该平台充分利用了希捷在硬件及软件存储系统的优势,将新的即将开放源代码的核心应用程序界面、以太网和希捷硬盘技术相结合。该技术专为在各种云存储软件栈快速实施和部署而设计,可广泛应用于各种存储设施,帮助系统构建商和软件开发商设计新的解决方案,以应对一系列的云数据中心使用案例。
该平台通过重新定义硬件和软件功能,使云服务提供商和独立软件供应商能够优化扩展文件和基于对象的存储。利用Kinetic开放存储平台,应用程序现在可以管理具体的特性和功能,并在任何云存储软件栈快速实施和部署。该技术还可以通过消除性能瓶颈,优化集群管理、数据复制、迁移和主动归档性能,进而提高I/O效率。(张惠)
惠普BIOS自动修复安全解决方案
10月28日,惠普在“惠普商务IT新型态之商务笔记本秋季新品会”上了能自动修复BIOS的安全解决方――HP BiOSphere。
该解决方案能将受到攻击或受损的BIOS系统自动修复到之前未受损的状态。目前,惠普已经将HP BiOSphere加入到包含多重安全防护的HP Client Security解决方案套件中。
该解决方案可抵御由恶意软件袭击及电脑BIOS更新失败造成的系统崩溃,即使BIOS受损亦能进行系统自动修复,从而保证企业用户的不间断工作。不管是恶意攻击、更新失败或是其它意外原因引起的问题,该解决方案都可对电脑BIOS进行修复,确保用户可以连续工作,减少企业员工向IT部门寻求帮助的次数。
该解决方案还加入了一个嵌入式安全控制器“凤凰”芯片,可抵御永久性阻断服务攻击,并可检测、抵御安全威胁,同时可在受到高级持续性攻击后进行自动修复,帮助企业用户抵御恶意软件的攻击,防止宕机。另外,还可为惠普商务笔记本电脑的数据提供自动保护,确保其配置性和管理性,并为HP ClientSecurity解决方案以及HP ClientManagement解决方案提供支持。(杨光)
RiVerbed推出全新应用及网络性能管理产品
近日,Pdverbed宣布推出集成应用感知网络性能管理与应用性能管理功能的全新设备。这一方案通过深层次数据包及网络流分析,提供端对端应用事务监测与终端用户体验(EUE)的性能管理。用户现在可通过该解决方案,实现其关键应用在性能、可用性及生产效率等方面的优化。
本次包括用于AppR esponse Xpert的Shark模块,它将网络智能运用到应用性能中;AppResponse Xpert与Profiler设备和Pilot软件的整合,可将应用分析运用到整个性能管理中。此外,Riverbed还为严苛且高性能的应用基础设施引入了新型AppResponse Xpert 6000设备。
集成Shark模块的AppResponse Xpert将终端用户体验、应用事务分析和深层网络智能统一到单台设备中,有助于优化所有应用层、全球网络和各种用户设备的监测并解决性能问题。
Shark模块增加了网络智能,补充AppResponse Xpert现有的终端用户体验监测与事务分析,创造了一个独立且统一的设备,结合终端用户体验、应用事务分析与深层网络智能,同一位置不再需要部署多个设备。(洪蕾)
立华科技单路处理器产品面市
近日,北京立华莱康平台科技有限公司了采用单路Intel Xeon E5-2600系列处理器的网络应用硬件平台FW-8877,适用于应用交付、Web防火墙、UTM、SoC、数据库安全审计、网络管理,云计算,Hadoop等诸多应用。
近几年来,我区农业行政主管部门认真履行法律赋予的重要职责,通过切实加强农业投入品市场管理,制定农业标准化生产技术规范,逐步推行标准化生产。加大有机食品、绿色食品、无公害食品及其无公害生产基地的证和认定工作,加强标识管理,开展集中专项整治行动等,农产品质量安全监管工作取得了一定成效,农产品质量安全水平总体稳步提高。主要表现在:
(一)农产品质量安全抽检合格率一直保持较高水平。自年以来,全区开展了以蔬菜、茶叶农药残留和畜产品兽药残留检测,累计抽检样品1780个,检测合格率为100%。全区未发生因农产品质量安全问题而引起的重大中毒事件。
(二)全社会重视农产品质量安全的氛围正逐步形成。在温饱问题解决之后,消费者的观念便从吃得饱向吃得好、吃得健康转变,消费者的安全意识逐渐增强。生产者为增强农产品市场竞争力,生产行为逐步规范,质量安全意识明显增强。区委、区政府农产品质量安全工作纳入重要议事日程,人大实施监督,政协密切关注。一个全社会关注农产品质量安全的氛围正在形成。
(三)农产品认证和农业标准化生产稳步推进。为实施国家“无公害食品行动计划”,在区政府的鼓励和农业主管部门的指导下,农产品生产者和农产品加工企业加大了产地认定和产品认证力度,培育了一批在市场上有较高知名度的农产品。截止目前,全区通过中国绿色品发展中心认证的农产品已达到18个(其中,有机食品4个,绿色食品5个,无公害农产品9个),先后扶持建立了3万亩蔬菜、1万亩茶叶、4万亩中药材、10万亩干果、2万头生猪等无公害种养殖生产基地。其中木鱼有机茶、宋洛生猪养殖基地已通过产地认定。通过无公害生产示范基地的建设,农业标准化生产水平有所提高,农产品质量安全有所改善。
二、存在的主要问题
虽然我区的农产品质量安全监管工作取得了一定成绩,但必须清醒地看到,农产品质量安全形势仍不容乐观,农产品质量安全监管存在的问题依然不少。
(一)农产品质量安全监管的法律法规尚不健全。目前农产品质量安全监管的主要法律依据是《农产品质量安全法》和年实施的《食品安全法》,但与之相配套的地方性法律法规和实施细则缺位,在实行农产品质量安全分段管理过程中部门监管界限不明确,各环节的衔接措施不到位,监管责任不落实,难于实行全程监管,缺乏明确的不合格农产品退市制度和法律依据等。
(二)农业标准化建设滞后。实行农业标准化生产是解决农产品质量安全的治本之策,农业部和农业厅虽然制定了部分农业标准化生产标准,我区也制定了部分农业生产技术规范,但在生产中难于推广应用,没有落到实处。全区农产品按标准或规范组织生产的还不到10%。
(三)农产品质量安全监管体系尚不完善。
目前,我区虽然成立了农产品质量安全监管管理领导小组,农业主管部门也成立了监督管理办公室,但乡镇还没有相应的机构也没有监管人员,监管工作缺乏系统、连贯、整体性,造成监管工作难度较大。同时,我区缺乏农产品质量安全检测设备,对生产基地、企业、农贸市场、养殖场、超市的农产品难以做到心中有数,无法开展农产品安全自检。因此,完善农产品质量安全检验检测设备迫在眉睫。
(四)农产品质量安全监管投入严重不足。农产品质量安全是我们必须把握的全区农业发展新趋势,那要抓好农产品质量安全工作,必须加大对质量安全工作的人、财、物投入,今年农业部门积极争取,在林区政府的重视支持下,从财政收入中虽然解决了5万元的监管工作经费,但只是杯水车薪,在监测上没有安排专项经费,没有检测手段,与当前农产品质量安全工作要求不相适应,农产品质量安全监管监测工作和力度很难到位。
三、加强我区农产品质量安全监管工作的建议
(一)探索建立农产品质量安全监管组织管理机制
1、建立农产品质量安全自我约束机制。农产品质量安全,首要的问题是要落实责任,实现生产经营主体自我管理,自我约束,不能立足于政府大包大揽。农产品作为人们生活的基本食品,生产经营又十分分散,完全靠政府包揽质量安全管理是难以做到的,也是没有效果的。因此,探索建立农产品质量安全自我约束机制,一方面能依法落实包括农民、个体经营户、农产品生产销售企业和农民专业合作经济组织在内的生产经营主体第一责任。例如,针对农产品生产销售企业和农民专业化合作经济组织农产品质量安全管理,相关法律有严格具体的规定;另一方面,能围绕农产品生产和交易等关键环节,通过自我约束有效加强基地和市场组织管理,着力解决由于农产品生产经营分散而致使农产品质量安全难以有效保障的问题。
2、建立农产质量安全监督机制。一是依托农村基层组织,鼓励农民建立专业合作经济组织,加强农产品生产基地管理,实现农产品质量安全自我教育、自我管理、自我服务;二是依托基层组织建立协会,将基层组织的监管职责与农民自我管理有机结合。基地农民相邻而居,生产生活联系紧密,日常交流频繁畅通,拥有共同的风俗习惯,只要加强日常宣传引导,很容易形成主导性的、共同的、具有约束力的观念意识,这种意识一旦形成,群众即会互相监督。在条件成熟的地域再加以协会框架下实行小组质量联保的办法,即一户出问题,要连累小组其它成员,这样会大大强化农产品质量安全的群众内部监督控制。
(二)探索建立农产品质量安全全程管理机制
保障农产品质量安全,必须建立包括产地环境管理、农业投入品管理、农产品生产管理、农产品流通管理及农产品加工、消费管理等在内的从农田到餐桌的全程管理机制。结合我区实际,实行生产环节基地准出和流通环节的市场准入管理是保障我区农产品安全最有效措施。
1、建立基地准出管理机制。基地准出就是以农产品生产企业、专业合作经济组织、协会为管理主体,全面执行系列管理制度,推行标准化生产,确保从基地流出的农产品质量安全。一是要深入开展培训和宣传。要求农民或农产品生产者严格按照国家规定和生产标准的要求使用农业投入品、执行生产规程;二是切实加强投入品使用管理和技术指导。特别是在经济作物基地,要实行基地用药定点经营制度,统一组织农药供应,严把投入品来源关,并根据技物结合方针,推行专业技术人员咨询和用药处方制度,加强农户病虫害防治的技术指导和服务;三是建立生产记录。按照作物品种和生产批次,详细记录产品播种、收获、加工过程及化肥、农药、添加剂等农业投入品使用的情况,加强生产过程的监督;四是开展产地检测。对上市销售的产品在上市前要认真进行产地检测,检测合格的要出具检测报告并随货同行,不合格产品严禁上市销售。农产品生产企业和专业合作经济组织要自行建立或委托检测机构开展农产品质量检验检测工作。尚不具备检测条件的基地,可由农产品生产企业或农民专业合作组织委托公益性检测机构,根据生产记录和相关情况,有计划、有针对性的对基地产品进行抽检,并向被抽查农户出具质量检测报告单。不合格产品严禁流出基地,并根据协会章程和相应管理制度对相关农户进行教育处理;五是进行产品包装标识。农产品生产企业和专业合作经济组织要依法对所生产的产品进行包装标识,详细注明品名、产地、生产日期、生产者、质量检测等方面情况,抓好农产品生产企业、农民专业合作组织、协会门槛产地准出制度的实施工作,是构筑农产品质量安全的第一道防线。
2、建立市场准入管理机制。市场准入就是以农产品经营市场为管理主体,严格加强产品质量监督控制,确保上市产品质量安全。凡进入我区实行市场准入销售的农产品,必须随附四项中任意一项证明材料:一是农产品生产单位或者县级农业行政主管部门指定的机构、乡镇政府、村民委员会出具的产地证明,以及农产品质量安全检验(检疫)合格证明(包括农产品生产企业、农民专业合作经济组织等出具的自律性检测合格证明);二是无公害农产品、绿色食品或者有机农产品等质量安全认证有效证书复印件,以及近一年内农产品质量安全检测机构出具的产品检验(检疫)合格证明;三是农产品生产企业、农民专业合作经济组织以及从事农产品收购的个人与农产品市场主体签订的已明确质量安全责任条款的购销合同复印件;四是进口的农产品应出具我国政府认可的检验检测机构出具的质量安全检验(检疫)合格证明。不能提供上述四项中任意一项所列证明材料的农产品,除农民销售自种自养的少量农产品外,必须进行抽检,抽检合格的才能销售。能提供上述相关证明材料的农产品,农业行政主管部门也可以进行抽检,实行市场准入管理机制,是构筑农产品质量安全第二道防线。
(三)探索建立农产品质量安全对接合作机制
农产品生产流通,面大、量多、链条长、流转快,如果各环节独自为战,不仅社会成本巨大,而且工作难以为继。因此,需要对接合作,降低成本,规范管理。
1、探索建立农业产业化对接合作机制。即龙头企业+生产+农户合作机制,其中龙头企业包括农产品加生产加工营销企业;生产可由专业合作经济组织、农产品协会、或其它中介组织进行管理。在运行过程中,龙头企业与生产签订产供销合同,明确须严格执行质量标准和承担违约责任等事项;生产管理者要采取更加严格检测、管理措施和更加严厉的违约惩处措施,有效减少投机行为和消除侥幸心理,确保达标生产。
2、探索建立上游与下游市场之间的对接合作机制。上游市场对入场交易产品,要严格查验有无合格产地质量证明,合格的要开具检测合格证明,并详细载明批次、数量、质量情况,便于下游市场查验。同时上游市场要利用网站、函件、通报等形式,及时将市场管理和农产品检测等方面情况信息向外公布;下游市场要对上游来的产品进行全面质量查验,并及时查询上游市场管理情况和相关产品质量信息,有针对性的加强对流入本市场产品的管理。对查验出来的问题要及时向上游市场反馈,便于源头上完善。同时,要及时通报移交给当地相关部门,调查核实后进行及时有效的处置。
3、探索建立基地自产自销农户与本地市场产销对接机制。自产自销农户与本地市场产销的对接,可由市场管理者将自产自销农户的家庭住址、联系方式、种植品种、面积数量等方面信息登记后,农户、市场、基层组织或协会三方签订农产品质量安全管理协议,当地市场建立监管档案,明确责任和管理办法,并向农户发放农户自产自销证。农户凭当地组织或协会产品销售单在自产自销区销售产品。市场对自产自销的农产品进行质量抽查,及时掌握产品质量状况。对抽查出的不合格产品,除立即停止销售外,应及时会同基层组织或协会查明原因并追究农户违约责任。通过赔偿损失、上交违约金、限期改正、取消免检资格、限禁上市出售农产品等一系列措施,确保自产自销农产品质量安全。
(四)探索建立政府支持保障机制
一、STP战略概述
企业在市场营销环境分析的基础上,实行STP战略是决定营销成败的关键。二十世纪九十年代,科特勒教授在他的《营销管理》一书中系统提STP战略,成为市场营销思想的一个重大突破。
STP战略具体是指市场细分(Segmentation)、目标市场选择(Targeting)和市场定位(Positioning)。STP认为市场是一个综合体,是多层次、多元化的消费需求几何体,市场细分是指营销者通过市场调研,依据购买者在需求上的各种差异,把某一产品的市场整体划分为若干购买者群的市场分类过程;目标市场选择是根据市场细分标准选择一个或一个以上的细分市场,并作为企业营销对象的决策;科特勒认为,市场定位是指公司设计出自己的产品和形象,从而在目标顾客心中确定与众不同的有价值的地位的过程。STP战略的核心应该是“定位”——通过对企业自身能力和对竞争对手的分析后,将自己的企业、产品和服务在顾客心中确立合适的位置。
二、产品检测市场概述
产品检测作为现代服务业的重要组成部分,检测服务已进入经济生活的方方面面——小到市民家庭的室内空气质量检测,大到重大工程的计量验收等等。我国的检测市场十分巨大,以室内空气质量检测为例,全套的检测一般包括苯、甲醛、氨气、TV0C和氧气等五个项目,对于一个中型城市,按每年2万套新房装修,每户平均收费600元,实际检测率40来计算,每年的检测费就将近五百万元。一般而言,检测机构的业务主要来源于以下几个方面:国家强制要求的年检/校准、贸易方要求的检测、企业为了提高产品质量自行送检或进行实验室比对检验、工商行政管理部门的市场抽检、民用市场检测等。
按照加入WT0的承诺,从2005年12月11日起,我国的检测市场完全放开,国外的检测机构获准在我国设立独立子公司,从事检测服务,我国检测市场的竞争硝烟日渐激烈。据不完全统计,截止到2005年底,仅上海就有各类检测机构近500家。目前国内检测机构主要由三大主体组成——国有检测机构、国外大型检测机构和民营检测公司。国有检测机构主要是各级政府质量技术监督部门下属或相关的事业单位,业务较为稳定,如各省市的计量测试研究所等;国外的大型检测机构数量不多,但综合实力很强,如瑞士通用公证行(SGS)、美国安全检测实验室(UL)、等;民营检测公司的数量较多,但实力相对较弱,面临强大的竞争压力。
中小型检测机构一般来说经营灵活、市场反应快速,但设备较为简单,检测能力有限,业务品种比较单一,存在较大发展难度。文章主要取本土中小型检测机构作为研究对象。
三、中小型检测机构营销中存在的主要问题
(一)市场意识不强。由于产品检测市场化的时间不长,很多机构难以快速适应市场化的要求,缺乏检测专业技术和现代企业管理知识兼备的人才,领导层缺乏有效的市场意识。
(二)营销战略不明确,营销力量小。一方面,很多机构没有明确的战略目标,没有明确的市场定位;另一方面,营销业务人员少、力量弱,甚至很多机构不设立正式的营销业务部,总经理就是直接的业务经理。
(三)民用市场的开拓没有得到充分重视。很多机构对民用市场似乎不太重视,长期以来的业务主要是围绕国家强制要求或贸易方要求的检测项目而开展的,这在一定程度上与民用市场的开拓难度较大以及我国民众的检测意识不强、民用检测市场不成熟等因素有关。
(四)组织内部信息化水平不高、网站友好度低。很多机构并未建立内部局域网,组织内部各部门信息共享度不高。此外,网站作为与客户交流的重要平台,是与用户进行沟通提高服务水平的重要工具,而很多机构的网站友好度很低、更新速度慢,严重影响了企业形象。据观察了解,甚至有机构半年多都未对网站更新过,更不用说想从中查询及时有用的信息。
(五)售后服务水平低。很多机构并未成立专门的客户服务部,对于检测后的服务并没有形成足够的重视,有些机构则干脆将其职能并入综合办公室里,并不能形成有效的客户服务。
虽然如此,随着对市场的理解逐渐深刻,很多中小型检测机构都在努力提高自身的管理营销水平,利用自身对市场的快速灵活反应能力来对这个庞大的检测市场分一杯羹。不同的检测机构应该根据自身情况采用不同的发展策略。
四、中小型检测机构营销战略建议
在制定营销战略前首先要对本机构和竞争对手的能力进行分析,确定自己的资源和能力范围以及增加对对手的认知和分析,在此基础上不断进行市场细分、市场定位和目标市场选择的循环动态分析:
(一)加强市场调查和市场分析工作,为市场细分提供依据。市场调查和市场分析是经营活动主体认识市场形势、分析自身经营状况、预测市场变化趋势进而制定正确的营销战略的一种极为重要的手段。计量检测机构需要通过市场调查活动来了解自身能力、了解竞争对手情况、了解客户需求。市场调查、分析的内容主要包括有:1)需求研究:本机构的市场占有率和覆盖率、现有客户的需求量、市场潜在需求量、竞争对手研究等;2)产品研究:本机构现有检测能力及可能拓展的检测能力、本机构的配套服务能力、竞争对手的服务能力等;3)客户研究:现有客户情况研究、潜在客户研究;4)价格研究:市场平均价格水平、本机构的价格水平、新检测业务的定价水平等。
(二)综合考虑各种因素,进行目标市场选择。在进行市场调查和分析的基础上,综合考虑市场状况、本机构能力和竞争对手的情况后,找出目标市场和本机构资源的最佳结合点,选择最利于自身发展的一个或几个目标市场,以期获得最大期望收益。
(三)重视营销战略的作用,进行准确的市场定位。检测市场的市场定位是根据市场情况,给自己的机构、产品和服务确立一个市场位置,让它在特定的时间和地点对特定的细分用户进行营销,以利于在竞争中获取有利位置的过程。通过对不同目标市场状况的把握,根据自身的不同检测产品的特点可以采用不同的定位策略——避强定位、对抗性定位、创新定位、重新定位等。
(四)不断进行STP的循环动态分析。企业的内外部环境在不断变化,要求企业也要不断对其进行循环动态分析,从而保证STP战略的有效性。
当然,中小型检测机构还需要做很多改进工作以对STP战略的实施给予支持:
(一)及时转变观念,提高市场竞争和服务意识。在市场放开、外资进入的激烈竞争局面即将形成的情况下,要认识到这既是挑战也是机遇,先一步赢得市场的认同就获得了竞争的优势,而市场竞争和服务意识的树立以及对先进的检测服务理念(完善的服务项目和赔偿制度)的学习是赢得市场的关键。
(二)合理选用价格策略。检测机构的产品主要是检测报告,由于产品的特殊性,产品策略相对较难实施,而价格策略是市场营销策略的重要组成部分,它在很大程度上影响着市场需求和购买者的行为。检测机构制定的价格适当,就有利于开拓、巩固和扩大市场,增强产品的竞争力。检测机构要综合分析产品成本、市场需求、市场竞争、消费者行为等影响因素,运用科学的方法、灵活的策略,选择恰当的定价目标,实行符合本机构发展战略的价格策略。
(三)民用检测市场必须加以重视。目前民用检测市场的潜力还没有被充分发掘,但随着人们生活水平的提高和对高质量生活追求的逐渐增加,民用检测市场也将越来越大,提前进入这一市场将会使自己在未来竞争中处于有利位置。对于检测这一特殊产品,也可以使用传统的4P(产品、价格、渠道、促销)市场营销组合或者现代的4C(顾客、成本、方便和沟通)市场营销组合,比如说在业务发展中也可以与相关的厂商开展联合促销等。
(四)提高机构的信息化水平,增强网站的友好度。组织内部效率决定了营销能力水平的高低,增加组织内部的信息共享、提高信息化水平可以有效提高机构的效率,为STP的实施提供有力支持。此外,作为与客户交流的重要工具,中小型检测机构的网站中应增加互动交流功能板块,积极更新网页,增强网站的友好度,提高客户满意度。
(五)充分重视售后服务和情感服务。产品检测服务作为特殊的产品,向客户提供的不仅仅是检测数据和检测报告,更是一种安全保证,良好的售后服务和情感服务会有效的维护好客户。在向企业客户提供服务的同时更应该由专业的技术人员与企业进行沟通,就产品的薄弱不足之处提出意见建议,便于企业改进产品质量;在向个人客户提供服务时,更应注意加强对专业数据的解读,提供专业的建议和意见,这样可以有效提高客户满意度、快速形成良好的口碑效应。
五、结论建议
随着检测市场的放开,激烈竞争已经不可避免,作为在市场中处于相对较弱势地位的本土中小型检测机构来说,通过对自身能力的把握和对竞争对手的分析,利用动态STP营销战略可以有效提高竞争力,但竞争力的提高不能仅仅依赖于几种营销策略组合,文章认为应该还要在以下方面做出努力:
(一)充分利用本土的先发优势,集中资源快速发展核心业务,提高技术水平和扩大组织规模,扩张服务的地理范围,提升组织的竞争力。
随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施;
安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
通过加强对互联网边界的安全防护机制落实,建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施,建立网站系统的综合防护措施。
县政府门户网站加强网络与信息安全整改工作措施
为深入贯彻落实市网络与信息安全协调小组办公室《关于加强网络与信息安全整改工作的通知》(东信安办发〔2014〕4号)文件精神,保障县政府门户网站安全运行,针对我县政府网站存在的问题,我们采取软硬件升级、漏洞修补、加强管理等措施,从三个方面做好了政府网站网络与信息安全工作。
一、对网站漏洞及时进行修补完善
接到省电子产品监督检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后,我们详细研究分析了报告内容,及时联系了网站开发公司,对网站存在的SQL注入高危漏洞进行了修补完善,并在网站服务器上加装安全监控软件,使我县政府网站减少了可能存在的漏洞风险,降低了数据库被注入修改的可能性。
二、加强对硬件安全防护设备的升级
美容中心收到产品当日即发现这些产品有的外包装破损严重,有的甚至就没有外包装,而且有的产品竞已过保质期。美容中心还发现,大量产品存在没有卫生部门的安全检测报告和“合格”标记,、祛斑、防晒等系列化妆品无国家特殊用途化妆品批准文号等质量问题。美容中心认为依尔国际在签订合同时隐瞒了上述事实,虚假宣传,使其上当受骗签订了合同,据此向法院提出诉讼。
依尔国际则辩称,在发给美容中心的货品中,有5万元货品是按照零售价的四折出售,另外还有5万元的货品是赠送品,这些货品都符合国家标准。其中,祛斑、防晒等化妆品均属非卖品,一直作为赠送品,是为了让客户了解产品的使用,不需要特殊用途化妆品批准文号。依尔国际只同意解除加盟连锁店合同,但不同意退还货款。
一中院认为,根据国家相关规定,化妆品投放市场前必须进行卫生质量检验,合格产品应有“合格”标记,不合格产品不得出厂;、祛斑、防晒等特殊用途化妆品须经国务院卫生行政部门批准,在产品上注明批准文号(特殊化妆品是指用于育发、染发、烫发、脱毛、、健美、除臭、祛斑、防晒的化妆品)。依尔国际、祛斑、防晒产品没有批准文号,因此属于不得生产、销售的化妆品。无论该化妆品是用于出售还是赠送,其使用方式并无不同,为了保护使用者的健康和安全,凡是生产特殊用途的化妆品即须取得特殊用途化妆品批准文号。由于依尔国际在签订合同时未将相关情况向美容中心作出如实说明,其行为存在欺诈性质,因此该加盟合同可以撤销,同时双方应将基于该合同所取得的财产相互返还。
据此,法院终审判令撤销《依尔加盟连锁店合同》,依尔国际返还进货款5万元,美容中心退还5万元化妆品及赠品。
本文选自《中国法院网》作者常 鸣
据总结,欺诈的主要特点:
首先是虚假实力的介绍,以此诱惑加盟商。一些特许商的宣传册与网站制作精美,其中充溢着“小投入、大回报”、“超低的投入,巨大的利润回报”、“‘钱’途无忧”之类的诱惑内容,将其自身进行美化包装,如:是某外国公司的中国机构或香港大陆分公司;属于某行业协会的会员;归国某博士任技术顾问等等。这些虚假介绍名头响亮,且难以证实,正好拿来伪装自己。
其次则是特许商自己制造品牌,即以自己的名义正式注册某一商标,以低廉的价格找人代为加工商品,多数为质次价低的商品,再把这些商品冠以其注册的商标,对外宣传为知名品牌。
食品安全测试信息系统。2l世纪国外已出现采用Internet和web技术的LIMs。目前国内外比较具权威性的LIMs由美国ThermoFisherScientific和德国的SAP工商出品,这类LIMS基于web技术,可实现查询和追踪过程的供应链。然而,该管理系统并不适合我国检测机构实验室的体系流程,成本巨大。它主要针对规模化、集团化的企业,检测机构及中小企业无法使用。这些传统的LIMs依旧停留在Web时代,无法满足云时代公众的更多服务需求。
食品安全智能终端技术。目前国外涉及食品安全知识的智能终端主要有英国的food standard agency,向消费者提供餐厅、超市、食品商店等卫生评级信息,帮助消费者选购安全放心的食品。Food safety app主要面向餐饮业经营管理者,提高工作效率,确保工作流程的合规性。国外目前并没有像食品安全智能终端应用这样的基于云端检测报告的食品二维码扫描检测智能终端。
国内有部分软件或网站具有食品安全智能终端的部分功能,例如“我查查”手机客户端,具有通过扫描食品包装盒上条形码,进而阅读质量技术监督局等官方的食品成分信息的功能。该手机客户端与云平台的主要差异在于,“我查查”没有核心的食品安全数据库与标准云支撑,因此提供检索的食品数量有限,且消费者不能很好的了解食品成分代表的营养学意义,提供的信息对于消费者来说,没有经过云计算的处理,信息量有限,参考价值较小;消费者也不能和食品生产企业形成直接的互动。
食品安全大数据挖掘行业应用。目前大数据挖掘已成功运用到国内外金融、医疗健康领域,但是应用在食品行业的大数据挖掘十分欠缺。由于国内食品安全检测行业不能形成完整的食品检验信息化体系,存在数据孤岛的信息化模式,存在数据支撑不足,可靠性不佳等问题都直接影响了数据挖掘及分析的结果,有效的数据挖掘与分析结果才能为决策提供支撑。而云平台的出现,无论是在数据量上、形式上,还是在技术手段上,为大数据挖掘与分析在食品业的应用提供了新的契机。
食品安全云的核心技术
测试管理信息技术。食品安全信息传递过程中最重要的是食品质量信息,而食品质量信息的数据来源的存在多样性、复杂性、碎片化特征,在质量数据采集系统的技术上需要针对不同的用户群体研发相应的产品,由于食品质量检测自身具有专业性和复杂性,针对不同的用户开发基于云服务的测试管理系列软件。支持由面向个人客户的定制开发转变为面向群体客户的通用系统研发,实现系统表单和流程的自定义功能,推进先进信息化手段收集海量测试数据,保证数据格式统一规范。设计时按照企业食品加工及检测工艺流程、自有检测能力、信息化能力的不同,调试开发测试管理信息系统的多个版本,即针对中小食品企业的普通版、针对流通经销商超市的商超快捷版、针对大型食品企业的定制版、针对大中型综合专业检测机构的专业版等。
食品安全知识管理技术。通过数据挖掘技术,分析提取食品安全标准、法规、条例中的信息数据,使非结构化的标准知识转变为结构化;发挥专家智力支持,构建及时有效、完整准确、可跨平台操作的食品安全云平台知识管理系统,通过建立食品安全标准法规、专家知识、学术社区等方面知识库,方便快捷为政府管理部门、食品企业、经销商、超市、检测机构、消费者不同用户主体提供在线应用服务,为食品安全信息咨询、分析评估、消费者食品安全知识科普提供数据支撑,同时解决监管科学性,有效建立食品生产企业与消费者间的沟通渠道,正确引导消费。
食品安全监管信息技术。根据食品安全生产、流通、餐饮环节监管需求开发基于云服务的监管服务应用系统,如电子追溯系统、投诉举报一体化平台、安全风险监测分析系统、舆情分析与应急指挥平台等,提供许可、量化分级、检验检测、监督意见、专项整治、信用档案、示范创建、从业人员培训、风险监测预警、监督执法、食品安全知识、食品中毒管理、黑名单制度、投诉举报等功能。
食品安全云的技术路线方法探索
食品安全云的技术路线。食品安全云是为公众提供信息、产品和服务。通过各方有效手段,收集企业自检与送检、政府监督抽查数据,搜集国内外标准、知识及专家论坛信息,开发电子追溯系统、安全监管平台等。食品安全云的主要产品测试信息管理系统、食品安全知识管理系统、食品安全监管系统和终端应用。通过开发以上产品为政府提业规划、监督管理、风险防控等服务;为食品生产企业提供规范生产、产品创新、品牌打造等服务;为消费者提供消费者参与、明白消费的服务;为媒体提供舆情引导、监管等服务等。
数据信息采集系统的关键技术。数据信息采集系统的技术核心是“软件适配器”,技术设计利用UniFlow工作流中间件技术实现了流程逻辑与业务逻辑的分离,能够可视化的进行业务流程的分析、定义和业务单元的组装,从而使应用开发人员关注业务逻辑的实现,降低了复杂流程应用的开发难度。流程设计器通过调用引擎的流程定义接口完成流程定义的功能;工作流引擎完成对运行时流程的控制功能,它对外提供了流程定义接口、管理监控接口、客户接口,应用系统可以通过这些接口同工作流引擎进行交互;流程监控工具通过调用工作流引擎的接口对运行中的流程进行监控和管理。
测试信息管理系统技术。测试信息管理系统实现表单和流程的自定义是LIMS3.0的关键技术。通过对各类表单以及实验流程的抽象化,利用Hibernate+freemarker和JBPM实现表单和流程的自定义;基于Struts+Spring+JBPM+ Hibernate的多层架构,展现层使用Struts来实现MVC模式,通过page-taglib实现分页;采用JSTL与自定义标签,使用Ajax技术使系统具有较好的用户体验;业务逻辑层利用Spring的IOC来维护业务对象之间的关联,利用Spring的AOP进行声明式事务管理,采用DomainObject模型;持久化层使用hibernate来实现,通过DAO模式封装PO对象;将JBPM与Spring整合;结合Freemarker模板技术实现动态表单定义模型。
第二条本办法所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含有线、无线等网络,下同)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,包括互联网、局域网、移动网等。
第三条*市行政区域范围内计算机信息系统的安全保护管理,适用本办法。
第四条*市公安局主管全市计算机信息系统安全保护管理工作。
*市公安局公共信息网络安全监察分局具体负责市区范围内(萧山区、余杭区除外)计算机信息系统安全保护管理工作。
各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息系统安全保护管理工作。
国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,在各自职责范围内负责计算机信息系统安全保护管理的有关工作。
第五条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门,应当建立协调合作管理机制,共同做好计算机信息系统安全保护管理工作。
第六条公安机关、国家安全机关、保密机关、信息化行政主管部门及政府其他有关职能部门在履行管理职责过程中,应当保护计算机信息系统使用单位和个人的合法权益,保守其秘密。
计算机信息系统使用单位和个人应当协助公安机关等有关职能部门做好计算机信息系统的安全保护管理工作。在公安机关等有关职能部门依法履行管理职责时,使用单位和个人应当如实提供本单位计算机信息系统的技术资料。
第七条计算机信息系统的安全保护工作,重点维护下列涉及国家事务、公共利益、经济建设、尖端科学技术等重要领域和单位(以下简称重点安全保护单位)的计算机信息系统的安全:
(一)各级国家机关;
(二)金融、证券、保险、期货、能源、交通、社会保障、邮电通信及其他公用事业单位;
(三)重点科研、教育单位;
(四)有关国计民生的企业;
(五)从事国际联网的互联单位、接入单位及重点政务、商务、新闻网站;
(六)向公众提供上网服务的单位;
(七)互联网络游戏、手机短信转发、各类聊天室等互动栏目的开发、运营和维护单位;
(八)其他对社会公共利益有重大影响的计算机信息系统使用单位。
第二章计算机信息系统使用单位的安全管理
第八条计算机信息系统使用单位应当建立人员管理、机房管理、设备设施管理、数据管理、磁介质管理、输入输出控制管理和安全监督等制度,健全计算机信息系统安全保障体系,保障本单位计算机信息系统安全。
第九条计算机信息系统使用单位应当确定本单位的计算机信息系统安全管理责任人。安全管理责任人应履行下列职责:
(一)组织宣传计算机信息系统安全保护管理方面的法律、法规、规章和有关政策;
(二)组织实施本单位计算机信息系统安全保护管理制度和安全保护技术措施;
(三)组织本单位计算机从业人员的安全教育和培训;
(四)定期组织检查计算机信息系统的安全运行情况,及时排除安全隐患。
第十条计算机信息系统使用单位应当配备本单位的计算机信息系统安全技术人员。安全技术人员应履行下列职责:
(一)严格执行本单位计算机信息系统安全保护技术措施;
(二)对计算机信息系统安全运行情况进行检查测试,及时排除安全隐患;
(三)计算机信息系统发生安全事故或违法犯罪案件时,应立即向本单位报告,并采取妥善措施保护现场,避免危害的扩大;
(四)负责收集本单位的网络拓扑结构图及信息系统的其他相关技术资料。
第十一条重点安全保护单位应当建立并执行以下安全保护管理制度:
(一)计算机机房安全管理制度;
(二)安全管理责任人、安全技术人员的安全责任制度;
(三)网络安全漏洞检测和系统升级管理制度;
(四)操作权限管理制度;
(五)用户登记制度;
(六)信息审查、登记、保存、清除和备份制度;
(七)信息保密制度;
(八)信息系统安全应急处置制度;
(九)其他相关安全保护管理制度。
第十二条重点安全保护单位应当落实以下安全保护技术措施:
(一)系统重要部分的冗余措施;
(二)重要信息的异地备份措施和保密措施;
(三)计算机病毒和有害数据防治措施;
(四)网络攻击防范和追踪措施;
(五)安全审计和预警措施;
(六)信息群发限制措施;
(七)其他相关安全保护技术措施。
第十三条重点安全保护单位的安全管理责任人和安全技术人员,应当经过计算机信息系统安全知识培训。
第十四条重点安全保护单位应当对其主服务器输入输出数据进行24小时监控,发现异常数据应注意保护现场,并同时报告公安机关等有关职能部门。
第十五条使用和销售计算机信息系统安全专用产品,必须是依法取得计算机信息系统安全专用产品销售许可证的产品。
进入本市销售计算机信息系统安全专用产品的销售单位,其销售产品目录应报市公安局备案。
市公安局应定期通告,公布合格的计算机信息系统安全专用产品目录。
保密技术专用产品的管理,按照国家和省、市的有关规定执行。
第十六条计算机信息系统使用单位发现计算机信息系统中发生安全事故和违法犯罪案件时,应在24小时内向当地公安机关报告,并做好运行日志等原始记录的现场保留工作。涉及重大安全事故和违法犯罪案件的,未经公安机关查勘或同意,使用单位不得擅自恢复、删除现场。涉及其他管理部门法定职权的,公安机关应当在接到报告后及时通知有关部门。
第十七条计算机信息系统发生突发性事件或存在安全隐患,可能危及公共安全或损害公共利益时,公安机关等有关职能部门应当及时通知计算机信息系统使用单位采取安全保护措施,并有权对使用单位采取暂停联网、停机检查、备份数据等应急措施,计算机信息系统使用单位应当予以配合。
突发性事件或安全隐患消除之后,公安机关等有关职能部门应立即解除暂停联网或停机检查措施,恢复计算机信息系统的正常工作。
第三章计算机信息系统安全检测
第十八条重点安全保护单位的计算机信息系统进行新建、改建、扩建的,其安全保护设计方案应报公安机关备案。
系统建成后,重点安全保护单位应进行1至6个月的试运行,并委托符合条件的检测机构对其系统进行安全保障体系检测,检测合格的,系统方能投入正式运行。重点安全保护单位应将检测合格报告书报公安机关备案。
计算机信息系统的建设、检测等按照国家和省、市的有关规定执行。
第十九条计算机信息系统安全保障体系检测包括以下内容:
(一)安全保护管理制度和安全保护技术措施的制定和执行情况;
(二)计算机硬件性能和机房环境;
(三)计算机系统软件和应用软件的可靠性;
(四)技术测试情况和其他相关情况。
市公安局应当根据计算机信息系统安全保护的行业特点,会同有关部门制定并公布重点行业计算机信息系统安全保障体系的安全要求规范。
第二十条重点安全保护单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当委托符合条件的检测机构对受影响的部分进行检测,确保其符合该行业计算机信息系统安全保障体系的安全要求规范。
第二十一条重点安全保护单位应加强对计算机信息系统的安全保护,定期委托符合条件的检测机构对计算机信息系统进行安全保障体系检测,并将检测合格报告书报公安机关备案。对检测不合格的,重点安全保护单位应当按照该行业计算机信息系统安全保障体系的安全要求规范进行整改,整改后达到要求的,系统方能继续运行。
第二十二条公安机关应当会同有关部门,按照国家有关规定和相关行业安全要求规范,对重点安全保护单位的计算机信息系统安全保障体系进行检查。检查内容包括:
(一)安全保护管理制度和安全保护技术措施的落实情况;
(二)计算机信息系统实体的安全;
(三)计算机网络通讯和数据传输的安全;
(四)计算机软件和数据库的安全;
(五)计算机信息系统安全审计状况和安全事故应急措施的执行情况;
(六)其他计算机信息系统的安全情况。
第二十三条公安机关等有关职能部门发现重点安全保护单位的计算机信息系统存在安全隐患、可能危及公共安全或损害公共利益的,可委托符合条件的检测机构对其安全保障体系进行检测。经检测发现存在安全问题的,重点安全保护单位应当立即予以整改。
第二十四条检测机构进行计算机信息系统安全检测时,应保障被检测单位各种活动的正常进行,并不得泄露其秘密。
检测机构应当严格按照国家有关规定和相关规范进行检测,并对其出具的检测报告承担法律责任。
第四章计算机信息网络公共秩序管理
第二十五条互联网络接入单位以及申请从事互联网信息服务的单位和个人,除应当按照国家有关规定办理相关手续外,还应当自网络正式联通之日起30日内到公安机关办理安全备案手续。
第二十六条用户在接入单位办理入网手续时,应当填写用户备案表。接入单位应当定期将接入本网络的用户情况报当地公安机关备案。
第二十七条设立互联网上网服务营业场所,应当按照《互联网上网服务营业场所管理条例》的规定向公安机关申请信息网络安全审核。经公安机关审核合格,发给互联网上网服务营业场所信息网络安全许可证明后,再向文化、工商部门办理有关审批手续。
互联网上网服务营业场所经营单位变更营业场所地址或者对营业场所进行改建、扩建,变更计算机数量或者其他重要事项的,应当经原审核机关同意。
互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的,应当依法到工商行政管理部门办理变更登记或者注销登记,并到文化行政部门、公安机关办理相关手续。
第二十八条互联网上网服务营业场所经营单位必须使用固定的IP地址联网,并按规定落实安全保护技术措施。
互联网上网服务营业场所经营单位应按规定对上网人员进行电子实名登记,登记内容包括姓名、身份证号码、上网起止时间,并应记录上网信息。登记内容和记录备份保存时间不得少于60日,在保存期内不得修改或者删除。
第二十九条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经授权查阅他人电子邮箱,或者以赢利和非正常使用为目的,未经允许向第三方公开他人电子邮箱地址;
(二)故意向他人发送垃圾邮件,或者冒用他人名义发送电子邮件;(三)利用计算机信息网络传播有害手机短信;
(四)侵犯他人隐私、窃取他人帐号、进行网上诈骗活动;
(五)未经计算机信息网络所有者同意,扫描他人信息网络漏洞;
(六)利用计算机信息网络鼓动公众恶意评论他人或公开他人隐私,或者暗示、影射对他人进行人身攻击;
(七)其他危害计算机信息网络安全的行为。
第三十条从事信息网络经营、服务的单位和个人应当遵守下列规定:
(一)制订安全保护管理制度,对本网络用户进行安全教育;
(二)落实安全保护技术措施,保障本网络的运行安全和其的信息安全;
(三)建立电子公告系统的信息审核制度,设立信息审核员,发现有害信息的,应在做好数据保存工作后及时删除;
(四)发现本办法第二十九条中各类情况时应保留有关稽核记录,并立即向公安机关报告;
(五)落实信息群发限制、匿名转发限制和有害数据防治措施;
(六)落实系统运行和上网用户使用日志记录措施;
(七)按公安机关要求报送各类接入状况及基础数据。
第三十一条发现计算机信息网络传播病毒、转发垃圾邮件、转发有害手机短信或传播有害信息的,信息网络的经营、服务单位和个人应当采取技术措施予以防护和制止,并在24小时内向公安机关报告。
对不采取技术措施予以防护和制止的信息网络经营、服务单位和个人,公安机关有权责令其采取技术措施,或主动采取有关技术措施予以防护和制止。
第三十二条公安机关应对计算机信息网络的安全状况、公共秩序状况进行经常性监测,发现危害信息安全和危害公共秩序的事件应及时进行处理,并及时通知有关单位和个人予以整改。
第五章法律责任
第三十三条违反本办法规定,有下列行为之一的,给予警告,责令限期改正,并可处以1000元以上10000元以下罚款;情节严重的,可以给予6个月以内停机整顿的处罚:
(一)计算机信息系统使用单位未建立安全保护管理制度或未落实安全保护技术措施,危害计算机信息系统安全的;
(二)计算机信息系统使用单位不按照规定时间报告计算机信息系统中发生的安全事故和违法犯罪案件,造成危害的;
(三)重点安全保护单位的计算机信息系统未经检测或检测不合格即投入正式运行的。
第三十四条违反本办法规定,销售计算机信息系统安全专用产品未向公安机关备案的,给予警告,责令限期改正,并可处以200元以上2000元以下罚款。
第三十五条违反本办法规定,接入单位或从事互联网信息服务的单位和个人不办理安全备案手续的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十六条违反本办法规定,未取得互联网上网服务营业场所信息网络安全许可证明从事互联网上网服务经营活动的,责令限期补办手续,并可处以1000元以上10000元以下的罚款。
第三十七条有本办法第二十九条规定行为之一的,给予警告,责令限期改正,并可处以1000元以上5000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十八条违反本办法第三十条和第三十一条第一款规定的,给予警告,责令限期改正,并可处以1000元以上10000元以下的罚款;情节严重的,可以给予6个月以内停机整顿的处罚。
第三十九条计算机信息系统使用单位的安全管理责任人和安全技术人员不履行本办法规定的职责,造成安全事故或重大损害的,给予警告,并可建议其所在单位按照相关规定给予其行政处分。