时间:2023-08-10 17:12:41
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇信息安全一体化范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
中图分类号:F291 文献标识码:A
0引言
《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。
近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。
1专业管理的顶层设计和指标体系
1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。
1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:
1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。
1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。
1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。
2市县一体化策略的实现
2.1硬件组体“搭建体骼”。
2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。
2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。
2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。
2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。
2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。
2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。
2.2软件添翼“助翼双翅”。
2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。
2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。
2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。
2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。
2.3管控结合“促力腾飞”。
2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。
2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。
2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。
2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。
2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。
2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。
2.4激活人力资源,提升管控空间。
2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。
2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。
2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。
3结语
近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。
参考文献
[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.
[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.
[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.
[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.
--------------------
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
在此后的2007年5月,一个名为Timofoniac的蠕虫通过电子邮件快速蔓延,并进入西班牙的蜂窝电话网络,它经常自动拨打恶作剧电话并在电话上留下文本消息。以上只是众多类似案例中的两个,事实上,随着移动信息化的深化,许多专家预测未来会有更多的病毒和蠕虫蔓延到智能手机等移动设备,严重威胁移动信息化的安全。隐患主要体现在以下一些方面:
首先是无线网络自身的隐患。无线信道是一个开放性的信道,通信标准安全性不高,缺乏身份验证,没有统一制定加密标准,对GSM通信的安全性产生了严重的影响,手机号码及密码等很容易被破译、窃听、假冒、篡改,从而带来了诸多不安全因素。
其次是无线网络技术应用的隐患。无线网络装置Ad hoc给移动性和通信媒体带来了新的安全问题。Ad hoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于它具有开放的媒质、分布式的合作、动态的拓扑结构和受限的网络能力等特点,缺乏物理保护,尤其容易受到攻击,使得Ad Hoc网络的安全问题尤为突出。
再者是移动设备丢失所带来的物理安全隐患。由于没有建筑、门锁和看管保证的物理边界安全保护和其更小的体积,移动无线设备(笔记本电脑、PDA、智能电话等)相对于固定设备更容易丢失和被窃,密码容易被攻破,企业的销售数据、财务信息、库存资料等重要资料会被破解、泄露,从而可能引发重大损失。
如今摆在用户单位面前的当务之急是如何最有效地保护所有移动设备上存储的各种敏感信息,如何在获得工作效率和竞争优势的同时,有效保障数据安全?笔者提出如下建议:
一是做好信息安全管理、审查,设定单一控制台集中管理所有桌面电脑、笔记本电脑、手持设备和U盘的安全政策,无缝、自动地加密所有移动端点和外部介质上的敏感数据,确保单位数据安全; 同时提供用户验证、受控制的端口访问及应用限制措施,并针对丢失或者失窃的设备执行数据控制,以防损失进一步扩大。
二是对无线访问的内部网页进行安全性认证的整合,在网络环境中加强防火墙、入侵侦测和弱点扫描,使用户单位交易内部的主机得到完全的保护,以确保资料安全以及人员存取合法与保密。针对移动的特性,可通过VPN(虚拟专用网)来解决移动上网中的安全问题,就是在公用的Internet网络上通过隧道协议建立起安全的私有网络。
三是移动数据安全防护系统能自动检测、审查及控制连接到网络上的所有移动端点,系统应支持简易、全面的移动安全部署,针对整个环境有选择地自动执行保护机制,防范有人未经授权访问多用户操作系统,同时数据恢复要既快速又可靠。
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
中图分类号: TP399 文献标识码: A DOI编号: 10.14025/ki.jlny.2017.01.043
在农业发展过程中,农业档案是非常重要的组成部分,此部分管理工作的落实和农业发展有着一定的联系,鉴于农业档案的重要性,对其进行管理体制的改革,促使农业档案能够与时俱进是非常必要的。
1农业档案信息化管理的重要性
1.1可以快速的提供农业信息
在我国农业发展过程中,传统的农业发展模式正逐渐被淘汰,农业发展也随着科技水平的提高而发生了改变。与此同时,因为我国经济和世界经济的联系日益密切,所以我国农业经济受到了一定的影响,这种情况下,我国农业发展必须要取得更好的效果,因此对农业档案管理就提出了更高的要求。农业档案信息化的实现可以促使档案管理部门更加快速的获取信息,然后管理部门可以将这些信息提供给需要的对象,这样各对象就可以根信息来对自己的农业行为进行调整,进而提高农业经济收益[1]。
1.2可以对农业市场风险进行有效控制
我国农业在发展过程中,农业市场面临着很大的风险,而市场风险的出现是因为相关企业的滞后行为,在这样的情况下,当农业档案实现信息化之后,相关企业就可以对档案信息进行充分地利用,这样企业就可以及时采取有效的措施规避风险。
1.3可以加快农业技术传播
在现代化科技水平不断提高的基础上,传统的农业技术正在逐渐被淘汰,新型的农业技术应运而生。在这样的情况下,农业技术的传播就显得尤为重要,为了做好农业技术传播工作,对农业档案进行信息化建设是非常有必要的。信息化的农业档案传播速度更快,可以在最快的时间内将农业技术传播出去,实现农业技术的价值,推动农业的发展。
2农业档案信息化管理体制构建的有效措施
2.1对管理体制进一步完善
想要推动农业档案信息化管理的实现,就应从制度方面入手,进一步完善管理体制,完善的管理体制可以为管理工作的有效开展提供有力的依据,同时还可以对管理工作的实施进行规范,在对管理体制进行完善的过程中,应该将为农民服务的理念贯彻其中,应该以这一服务理念为基础来开展服务工作,然后对档案管理体制进行完善。
首先,对管理模式进行创新。在档案管理中,传统的管理模式正在逐渐被淘汰,新型的管理模式构建是社会发展的必然趋势,因此,档案管理部门应契合社会发展要求来创新管理模式,对管理的职责等进行明确划分,让各部门能够明确自身职责,各部门协同合作,进而促使档案管理工作能够有效地开展;应该对档案管理形式进行创新。在开展档案管理过程中,以往的形式是其他部门将档案资料送来,这样的管理方式就使管理部门处于被动地位,因此,档案管理部门应该及时转变管理形式,走出档案管理部门,深入到其他部门中,对档案管理的重要性进行宣传,然后让其他部门能够认识到档案管理的法律、工作规范以及标准等,以此促使档案管理工作得到更多部门的支持;最后对部门协作机制进行创新。档案管理是开展管理工作的主体,但为了将管理工作更好地落到实处,还需要其他部门的协同合作,因此,管理部门应对协作机制进行创新,农业档案管理不仅应该在市馆中有效地开展,还应该由县、区档案部门及其他部门分级分散负责农业档案信息化管理工作。
2.2做好农业档案信息收集工作
在农业档案管理过程中,档案信息是基础部分,若想要对档案管理进行信息化建设,就必须做好档案信息收集工作,这样才能为信息化建设的实现奠定良好的基础。首先,各区域应该对自身农业发展的实际情况进行深入分析,然后从内容、载体等方面入手对农业档案信息范围进行拓展,以此来促使收集到的农业档案信息更加全面;其次,将档案信息收集工作提上议事日程。档案管理信息的收集是一项非常重要的工作,为了将此项工作更好地落实到位,相关部门应该成立一个专门的领导小组,将这一项工作提上议程,然后对信息收集工作的相关内容进行规范,明确信息移交等工作的要求,以此促使信息收集工作取得更好的效果。
2.3促进信息资源共享
在农业档案管理朝着信息化方向发展的过程中,必须要促进信息资源共享这一目标的实现。首先,完善信息化基础设施配置。想要实现档案管理的信息化发展,必须要有相应的基础设施配置,因此,档案管理部门必须采购更多的设备,然后对档案进行电子化构建,以此来为资源共享的实现奠定良好的基础[2];其次,加强此方面的人才培养力度。农业档案管理在朝着信息化方向发展过程中,必须要培养此方面的人才,这样信息化的档案管理才能有效地落到实处,因此,相关部门应该加强人才培养力度,对档案管理人员进行计算机技术、信息开发等方面的培养,促使档案管理人员能紧跟时展潮流;最后,应该构建农业档案信息资源数据库,通过这一数据库的构建,新媒体的应用来促使农业档案和社会发展相融合,信息化的农业档案能更好地发挥其作用,推动我国农业的发展。
3结语
在我国农业发展过程中,农业档案有着不容忽视的作用,鉴于其重要性,应该在社会不断发展过程中对农业档案进行信息化建设,相关部门应该对农业档案信息化建设工作进行深入分析,并提出具体的建设措施,将农业档案信息化建设严格落在实处,只有这样农业发展才能更快、更稳,我国农业经济才能在全球经济发展中占据一席之地。
参考文献
中图分类号TP39 文献标识码A 文章编号 1674-6708(2014)106-0209-02
自计算机问世以来,尤其是互联网技术的快速普及和应用,大大改变了人们的传统生活方式,加快了社会发展步伐。特别是随着医院信息化水平的不断深入,医院借助计算机互联网网络,医院不仅可以在网络上优化配置信息资源,还可以有效提高了管理效率。但是这种方便的背后,却隐藏了巨大的风险,一些不法分子在利益动机驱使下,利用黑客技术大肆入侵网络计算机,窃取和篡改他人信息数据,给医院造成了巨大的经济损失和不良社会影响,大大危害了网络健康发展,也对互联网计算机信息安全造成了更大威胁。
基于上述问题,本文以当前医院的计算机机房管理为分析对象,深入分析计算机机房信息系统中存在的各种安全问题,并根据研究的情况为其提出了一些有针对性的解决对策和建议。
1 当前医院计算机机房信息安全问题分析
医院计算机房是医院进行管理运营的重要保障,它主要担当医院患者的病例管理、医院的人事档案管理以及医院与医院之间的信息共享等,然而医院的机房服务器的系统安全直接影响到真个医院计算机的信息安全。一旦计算机机房遇到了安全风险,则网络上所有计算机都将面临安全问题。例如,某台计算机遭受了网络攻击,则网络上其他计算机都可能会受到攻击,这种影响会借助网络扩大到多个医院电脑,造成重大负面影响。
最近几年来,计算机技术水平不断提高,黑客技术也更加隐蔽,更具攻击性和破坏性。有些黑客为了达到自身目的,经常将计算机机房作为攻击目标,以获得更大的收益。因此,医院计算机房也是最容易受到侵犯的对象,其面临严峻的信息安全问题。例如一家知名网络公司的计算机机房受到黑客突然攻击,机房所有服务器全部停止运转, 导致一百多万网民不能正常上网,造成了19万元的经济损失。后来经警方调查,这是一家专职网络黑客所为。据媒体透露, 本次事件的起因是黑客向该公司索要“id靓号”被拒绝。所谓“靓号”就是一些比较个性化的id名称,类似于我们生活当中的“吉祥手机号码”。2010年11月,某地一所高校医院计算机房也遭受了黑客攻击,全院网络全部陷入瘫痪状态,真个内部网站无法访问,网站信息被恶意篡改,严重影响了医院的正常工作和学习,也给医院造成了重大负面影响。
2 当前医院计算机房信息安全存在漏洞的原因分析
2.1计算机网络系统存在安全漏洞
计算机软件和网络应用程度都由人工开发设计,这注定了其存在各种安全漏洞和缺陷。这些瑕疵是多种多样的,例如:我们日常生活中常用的qq聊天工具,用来下载电影的讯雷、电驴软件,遨游浏览器软件,微软公司开发的办公软件等,这些应用软件都存在一些技术缺陷与漏洞,而网络黑客往往就是利用这些瑕疵作为攻击切入点。此外,在计算机使用过程中也会产生各种安全漏洞。例如:电脑上安装的微软公司研发的windows操作系统,其就存在rpc远程任意代码运行漏洞,Lunix系列操作系统也有许多可以令缓冲器溢出的漏洞,redhat系统中也存在程序瑕疵,导致非法用户可通过远程溢出来获得root权限等。
目前,因特网中的各种服务器都存在致命的安全漏洞和隐患。例如web服务器、邮件服务器、ftp服务器以及数据库服务器和流媒体服务器等,都是网络黑客攻击的主要目标。此外,还有一些程序脚本语言存在一些设计缺陷和问题,加大了因特网被网侵的风险。
2.2网络病毒的飞速传播
随着信息技术的不断发展,计算机病毒种类日益多样化起来,计算机病毒传播速度较快,影响面广,令人防不胜防。网络发达的信息传播功能为计算机病毒扩散提供了有利条件。医院计算机房也是网络病毒的主要侵袭对象,下载一个文件,安装一个应用软件,安插一次u盘,访问一个陌生网站,接收一个文件数据包都可能导致计算机中毒,给计算机带来重大的安全隐患。
病毒可以通过一网的计算机来来蔓延到其他计算机,最终导致整个网络上的计算机都被病毒侵害。一旦计算机遭受了病毒侵害,对于医院的计算机来说,其机房的整个系统就无法正常运转,计算机的一些应用软件、信息数据等都会被损害和篡改,导致整个系统瘫痪。
3医院计算机房安全防范策略
3.1完善网络病毒防御系统
怎样防范计算机病毒对计算机网络的侵犯呢?这是医院计算机房管理人员必须认真面对的问题。要解决这个问题,首先要树立积极主动的防御观念,医院的计算机管理员要定期对计算机系统、邮件系统及其软件程序进行维护和更新。采用最新在线病毒检测软件安装在机房服务器上;在单机上安装杀毒软件等。机房服务器要安装防火墙来提高安全防护级别,要使用个人防火墙来提高单机信息安全防护水平,并定期升级防火墙。
管理员要定期扫描系统漏洞,及时找出安全隐患并修复,不断提高计算机系统运行安全水平;管理员要制定程序补丁管理制度。例如:对医院端计算机进行软件安全评估,并对其系统漏洞进行补丁升级,对机房计算机编组管理。除此之外,还要跟踪最新软件漏洞信息,并下载补丁进行安装和修复。机房要明确规定不得擅自使用来路不明的U盘、磁盘,在采用移动设备进行数据转移时,要先对其进行病毒检测再使用。
在日常工作中,要提高计算机系统的安全防护等级,如果条件允许的话,可以禁止安装java和activex控件,这可以有效降低系统被入侵概率。
3.2重视对网络的软件系统保护
计算机硬盘的保护,这里推荐采用“还原精灵”来定期备份计算机数据,并在单机上做好系统备份,这样才能够保证硬盘数据安全。经过这样处理,即使联网电脑数据被全部篡改,都可以在短时间内完全恢复,有效提高了数据安全性。
3.3定期给计算机数据和资料备份
计算机数据安全指是计算机系统安全的重要内容,要不断提高计算机数据安全性,不仅要做好软件安全防护,还要做好数据安全备份工作,例如采用单机备份,或者使用专业软件在线备份,最大程度避免数据受到病毒的侵害。此外,在建设医院计算机房过程,要选择合理的软硬件,根据当前计算机网络环境变化,采用最新安全技术来提升计算机安全水平,同时加强管理队伍建设,切实提高管理人员安全观念,为医院建立一个安全、高效、稳定的计算机网络环境。
总之,机房网络安全防护是一项长期艰巨的工作任务,它涉及多方面的工作内容,例如技术升级,设备更新, 安全管理,人员管理等,还要在制度、监督和考核等方面做好相应工作。在硬件上要加强网络系统安全建设,同时要发挥机房管理人员的工作主观能动性,以高度的责任感和使命感来做好计算机安全维护工作。
参考文献
[1]田尖参,德松加.信息化建设推动医院管理现代化[J].中国卫生事业管理,2008(10).
[2]刘颖.医院人力资源管理信息化探讨[J].中国数字医学,2008(9).
[3]侯晓宁.建立健全电算化会计信息系统的内部控制制度[J].时代经贸(下旬刊),2008(2).
[4]谢兰.关于加强医院会计电算化管理的探讨[J].当代经理人,2006(12).
[5]张震江、赵军平.院网络与信息安全的问题和对策[J].医疗卫生装备,2006(11).
[6]周文杰.医院信息网络系统安全[J].中国医疗设备,2008(2).
[7]吕晓娟,等.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011(7).
奚国华指出,近年来,我国信息化发展取得了一系列骄人成就,但其背后还存在着一些问题,突出体现在四个方面:一是2007年以来,我国与发达国家在信息化领域差距正在重新拉大。二是我国区域之间,特别是东西部之间的数字鸿沟扩大。三是在网络空间的发展滞后。四是在发展信息化的核心技术方面缺乏国际竞争力。
奚国华表示,信息化关系国家发展全局,应将大力推进信息化作为一项重大国家战略任务来抓,建议从五个方面予以推进。
第一,提高各级领导干部对于信息化重要性的认识。将推进信息化纳入中央和地方各级机关的重大议事日程,将信息化放到统筹和优先考虑的位置。
第二,完善国家信息化的管理体制。进一步强化国家信息化领导小组,在国家信息化领导小组之下,建立常设办事机构,汇集全社会的智慧,向国家提出战略性、全局性、前瞻性的重大建议。
By the new road and bridge projects through high-speed railway bridge under the structural safety problem caused by the analysis of the corresponding
And lead to high-speed railway construction and urban planning and construction coordination of the elaboration
Liu jun Li hai wei
Abstract: The author has been engaged in engineering design, has in recent years has presided over the design: the Beijing-Guangzhou railway crossing Chuzhou Mingguang Road Interchange, across the Beijing-Shanghai railway Zoucheng thirty meters bridge, Yanzhou across the new stone railway overpass north moat, through the Long sea-rail interchange and across the street Kaifeng thirteen Zheng West Temple ditch off the bridge Loening specifically to highway bridges, and so many involved in Luoyang rail Project, in the design process, deeply felt, strides to the development of urban construction, both many railways have gradually restricting some development of the city, so all through the city, more and more demand for more rail, also led to a series of railway safety issues, in 2010 the Ministry of Railways has issued: China Railway Construction [2010] No. 146 "On cross railway lines across the relevant provisions designed to inform," the official documents, made a cross-over high-speed rail on the lower-speed rail, road principles and applicable regulations. In this paper, the needle of the above, by Song County, Luoyang expressway to connect to the Zhengzhou-Xi'an Passenger Dedicated Line across the bridge caused by Luo passenger safety issues specifically related to the analysis of the bridge, a few thoughts from a design point of view.
Keywords: additional displacement; additional stress; surplus capacity; work permit after the settlement
截至2010年,我国铁路营业里程达到9.1万公里。随着城市的发展以及加速城市化进程的城郊团组开发的扩城运动的展开,身处工程行业的同行会经常听到或碰到铁路限制了城市发展的情况,为满足城市发展的需要、平衡及沟通铁路两侧城市资源,作为城市交通动脉的城市道路,受铁路路基高低、铁路两边城镇化程度、拆迁占地等客观条件所限,需要修建下穿或者上跨既有铁路的桥梁,有的城市已经把铁路路基穿成了高架桥,有的城市则修建了多座跨越铁路的高架桥。尤其是铁道部2010年度下发的“中铁建设[2010]146号文”对上跨高速铁路提出严格的限制,下穿高速铁路的方式几乎成为各地批复的首选,因而也带来众多铁路安全以及和城市规划冲突问题等。铁路多次提速、大量高速铁路的建设和运营,拉短了城市的时间及空间距离、提高了社会整体效率、给人们出行带来方便的同时,也给我们带来了一些思考。前车之鉴,因此在高铁、客专、城际等高速铁路纷纷修建的今天,站点选址、线路规划及铁路桥梁建设等,需要充分结合地方政府的城市规划布局,应做好线位及结构安全度的长远预留。本文仅从高速铁路桥梁结构安全分析角度出发,针对高速铁路桥梁设计提出几点建议,希望能有助于建设管理方及设计方多出精品,希望有益于铁路和地方和谐发展。
1、工程概况
1.1新建道路概况
洛阳至嵩县高速公路连接线位于洛阳市洛阳新区境内,起自孙辛路与开元大道交叉口,向南下穿郑西客运专线洛河特大桥,再过郑屯村、上跨洛宜铁路及规划的腾飞路,终至洛阳至嵩县高速公路起点溢坡附近,全长3.088Km,设计时速100km/h,设计荷载等级为公路I级。
1.2穿越处既有客专桥梁概况
本项目在K0+050处以分幅方式穿越郑西客专洛河特大桥的92#及93#孔,临近桥墩编号为91#~95#,对93#桥墩影响最大,两线交角90度。该处郑西客专洛河特大桥上部结构为跨度32m的简支箱梁,桥下净高12m,各墩之间的净宽均为29.9m。洛河特大桥下部为矩形空心桥墩,每墩均设有10根直径1.0m桩基础,桩长依次为:92桥墩17.5m、93号桥墩18.5m、94号桥墩24.5m。
根据高铁设计资料,93号墩:单桩富余承载力为[P]-P =3502.50KN-3154.08KN=348.42 KN。桥桩工后允许沉降不大于6mm。
1.3 穿越区域自上而下各层岩土依次为:
①黏质黄土(Q4al):硬塑,局部软塑。基本承载力&&=120Kpa。
②粗圆砾土(Q4al+pl):中密―密实,饱和。基本承载力&&=500Kpa。
③黏质黄土(Q3al+pl):硬塑。基本承载力&&=150Kpa。
④粗圆砾土(Q3al+pl):中密―密实,饱和。基本承载力&&=600Kpa。
⑤黏质黄土(Q2dl+pl):中密―密实,饱和。基本承载力&&=250Kpa。
⑥粗圆砾土(Q2al+pl):中密―密实,饱和。基本承载力&&=600Kpa。
⑦泥岩、砂岩(N):全风化,岩石风化呈土状、砂砾状,局部夹全风化砾岩。基本承载力&&=300~350Kpa。
⑧砾岩(N):杂色强风化,泥质胶结,岩心成砾石状。基本承载力&&=350Kpa。
2、各穿越方案引起既有铁路桥桩附加内力及附加竖向位移分析
2.1 方案一:桥梁方式穿越
采用1-40m梁桥(桩柱式台,桩长30m,如图2.1)分幅穿越客专洛河特大桥,单幅桥宽均为14.5m。
2.1.1 新建结构与客专桥墩相对位置关系及分析工况拟定
工况一:拟建桥分幅从客专洛河特大桥92及93孔跨中穿过,如图2.2,新建桥墩桩基距离客专桥墩桩基最近距离为18.47m;
工况二:考虑最不利情况,拟建桥从靠近客专洛河特大桥93号桥墩两侧穿过,桥边缘至93号墩间净距仅为20cm,如图2.3,新建桥墩桩基距离客专桥墩桩基最近距离为15.8m;
2.1.2 定量分析(有限元模拟)
2.1.2.1模型简化
本模拟采用MAIDS-GTS有限元软进行模拟分析,模型的结构为:100m*80m*50m(长*宽*高),单元网格数量为33579个,土体模拟为摩尔库伦本构的四面体单元,桩模拟为弹性本构的线单元,桩土接触模拟为桩接触单元;模型结构如图2.4、图2.5所示:
桩接触面:计算模型中采用梁单元模拟桩基础,桩土作用模拟为摩擦接触面,软件涉及的计算参数主要如下:
最终剪力:输入最大摩擦力,超过该值认为桩土之间摩擦力消失;
剪切刚度模量:面内切向方向刚度系数;
法向刚度模量:面外垂直方向的刚度系数。
荷载:本模型中荷载有自重荷载、恒载及活载长期效应组合产生的桩顶反力模拟为桩顶节点集中力荷载、作用在路面运营车辆的荷载(按公路-I级)模拟为面荷载。
根据郑西客专洛河特大桥竣工图,计算该桥每根墩桩上施加的节点力:92号桩桥墩桩FZ1=2795.55KN,93号桥墩桩FZ2=2810.589KN,94号桥墩桩FZ3=2728.944KN。
新建桥桩上根据桥博软件分析,按最不利情况施加的节点力:FZ=5752.88KN;
台后路基模拟成面荷载:P1= P2=22KN/m3×3m=54KN/m2。
约束:本模型中对土体的前后、左右及下底面进行节点约束,上顶面为自由面;对客专桥桩和新建桥桩进行转角约束,约束方向为Rz。
2.1.2.3运算步骤:
为了更准确的计算出新建公路对原有客专洛河特大桥的影响,将运算过程分五步:
Step1:计算土体在自重作用下应力、位移,然后归零;
Step2:计算客专洛河特大桥桥桩在客专荷载作用下的位移和应力情况;
Step3:把所有的位移和变形清零;
Step4:计算仅考虑新建桥桩(道路)工程时,桩周土体及客专桥桩的轴力、位移;
Step5:计算全部新建工程对客专桥桩及桩周土体的影响。
2.1.2.4 计算分析结果
(1)方案一工况一计算位移、轴力云图与分析(仅选取影响最大的93号墩)
①因新建工程产生的影响―位移
③小结:通过运用MIDAS-GTS有限元软件模拟计算分析,得出新建桥梁从客专跨中穿过的工况一产生的影响总结如下:(注释:①②③同后)
1)新建公路桥桩的竖直最大位移为-14.04mm,因新建工程产生的最大附加位移:
客专桥92号墩10号桩的最大竖直位移为-0.796mm,影响率①为5.66%;93号桥墩7号桩的最大竖直位移-1.934mm,影响率为13.77%;94号墩4号桩的最大竖直位移为-0.756mm,影响率为5.38%。
2)新建公路桥桩的桩顶轴力为-5745.65KN,因新建工程产生的最大附加轴力③:
92号墩10号桩为-19.11KN;93号墩7号桥桩为-21.7KN;94号桥墩4号桥桩为-17.86KN。
(2)方案一工况二 计算位移、轴力云图与分析
①因新建工程产生的影响―位移
③小结:通过运用MIDAS-GTS有限元软件模拟计算分析,得出新建桥梁从靠近客专93号墩旁穿过的工况二产生的影响总结如下:
1)新建公路桥桩的竖直最大位移为-16.38mm,因新建工程产生的最大附加位移:
客专桥92号墩10号桩的最大竖直位移为-0.288mm,影响率①为1.75% ②;93号桥墩7号桩的最大竖直位移-3.258mm,影响率为19.89%;94号墩4号桩的最大竖直位移为-0.29mm,影响率为1.77%。
2)新建公路桥桩的桩顶轴力为-5745.65KN,因新建工程产生的最大附加轴力③:
对93号墩7号桩影响最大为-50.052KN;对92号墩及94号墩影响较小,可以忽略。
注释:①影响率=拟建公路桥桩的最大沉降/客专洛河特大桥相应桥桩的最大沉降。
②桩号参考图3.3。
③最大附加轴力为施工完成后的轴力-原有客专洛河特大桥桩的轴力。
2.2方案二、三、四均以道路方式分幅穿越客专洛河特大桥,路基填土高度分别为3m、1m、0.3m,单幅道路宽均为14.0m。工况一:线位从客专跨中穿越,路基的中线距离93号桥墩中线的距离为16.3m;工况二:线位从靠近客专93号墩穿越,路基的中线距离93号桥墩中线的距离为8.7m;
2.2.1工况一、二91~95号墩的桩基顶部最大附加沉降分布曲线图
2.2.3由以上分析数据统计有:既有桥墩距离新建结构越近、路基填土越高则受影响越大;93号墩受影响最大;
3、结论
通过如上运用有限元软件MADIS-GTS对四种穿越方案进行模拟分析,得出如下结论:
(1)、按方案一、三及四,即桥梁方式和1m 、30cm高路基的道路方式穿越客专,产生附加沉降及桩轴力均满足设计要求,均能确保既有客专桥梁安全;按方案二,即3m高路基的道路方式穿越,如果线位不居中布设,偏向93号墩则附加沉降超出6mm,会危及客专桥梁安全,附加轴力在149.3~320.6 KN间,占用单桩承载储备较大,也不利于客专桥梁安全。
(2)鉴于目前建设的城际、客专、高铁等,较常见的上部结构多为32m的标准跨径,根据如上计算分析,采用小于2米高路基的道路穿越,现有设计的变形及承载力富余储备,可确保下穿工程不影响既有铁路桥梁的安全,且新建道路从跨中穿越最安全。
(3)考虑建成后道路路基自重和过往的车辆荷载均直接作用在既有桥桩持力土层上,并且建设中为确保道路压实满足规范质量要求,重型机械设备作业均会对临近桥桩产生负摩阻及相应的扰动影响,因此建议采用桥梁穿越方式为首选,由以上计算分析可知,单孔40m跨桥梁方案能确保下穿工程不影响既有铁路的安全。且建设期间及建成后结构自重或车辆荷载均通过新建桥桩作用在远离既有桥桩的位置,因此产生影响均较小。
(4)对于在建和处于设计阶段的类似铁路桥梁,建议经由城镇时,应充分结合当地近远期规划,除了线位做好预留外,在有规划需求部位建议考虑增加桩基的沉降和承载力富余的储备,如有近期穿越需求处,则可以根据路基填土高度,先做好路基,再实施高速铁路的桥墩。
参考文献
1、陈培炎,徐振华. 地基强度与变形计算[M].西宁:青海人民出版社,1978.
2、赖琼华. 岩土的变形模量取值探讨[J].岩土力学与工程学报,2001,(10).
3、槽汉志.桩的轴的轴向荷载传递及荷载沉降曲线的数值计算方法.岩石工程学报.1986.
关键词:
终端安全;一体化;体系建设
随着信息化建设不断发展,信息安全的重要性日益显露出来,在信息安全保护实践中,各单位往往对数据集中的后台服务器投入精力较多,对来自终端的威胁重视不足。信息安全事件调查经验表明,多数信息安全事件的突破口来自终端,因此在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。
1典型的终端安全管理体系应包括的内容
1.1防病毒及终端入侵防护
包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀,对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。
1.2补丁状态检查及分发
包括检查是否已安装操作系统相应的补丁,各类防护特征库是否保持更新,能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统,并自动执行后台脚本实现。
1.3移动存储管理
防止内部滥用移动介质,杜绝内外部移动介质在内外网交叉使用,并通过特殊加密技术保证移动介质在非授权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密技术实现。
1.4终端准入管理
实现对网络接入终端的安全准入管理与控制,确保接入网络终端已安装要求的防护系统,且符合安全策略要求,有效杜绝非法外来终端私自接入网络。此类功能可以基于交换机端口进行控制或使用安全网关进行控制。
1.5非法外联监控
用于发现和阻止内部网络用户非法建立通路连接互联网或非授权网络的行为,以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非授权网络的连通性,若有连通便会触发监控报警。
1.6主机监控审计
对终端用户的操作行为进行管控与审计,对安装的软件实行黑白名单管理,当用户的操作违反安全策略时,能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序,根据设定的操作策略和软件清单执行。
2传统分散式终端安全管理存在的问题
(1)产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测,各产品之间的操作冲突、导致兼容性问题已是常见现象,即使能够和平共存也会造成增加系统资源开销,拖累系统变慢等一系列问题。
(2)缺乏统一管理。在终端上安装使用多种安全防护产品,缺乏全局性安全管控,容易形成信息孤岛,不利于开展诸如安全数据的收集、汇总、统计等关联分析工作,无法系统性展示终端安全全貌。
(3)防护效果打折扣。不同的终端安全防护产品在功能上各有侧重,组合在一起并不一定能全面覆盖用户的安全需求,由于底层机制的类同和兼容性冲突等原因,经常出现安全防护的真空地带,产生1+1<2的现象,使防护效果大打折扣。
(4)运行维护成本高。多种终端安全防护产品同时使用,需同时与多个厂商采购维保服务,周期长投入大,运行上需要维护多套不同的策略表,从不同的来源更新补丁包、特征库等,都给运维增加了不小的工作量。
(5)难以满足自主可控的要求。出于国家安全战略的需要,终端安全防护产品应尽可能满足自主可控的要求。分散部署不同的终端安全防护产品,大多是基于历史原因分批分步建设形成的,存在一定的不可控安全风险。
3一体化终端安全管理体系的建设思路
一体化终端安全管理体系的建设,应遵循“功能集中、统一建设”的原则,结合单位已有的终端安全防护现状,采用“整合式替代、替代后实现一体化管理”的思路开展。替代过程中,应充分考虑安全设备国产化的要求,既实现终端安全防护各项功能,又可在统一平台下管理终端资产、终端信息、终端安全防护系统等,实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率,增强终端类安全事件联动,提高终端安全事件预警发现和处置能力,最终提高单位的信息安全管理水平。具体实施过程中,应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约”为主要工作目标,最大程度整合单位现有软硬件资源、技术人才资源,节约资源、资金、人力成本,集成各类终端管理功能,逻辑上实行统一管理,总部制定基准策略,各地分支机构针对自己的情况,定制适合本辖区情况的安全策略,预留一定扩展空间,供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行:①率先落实国产化替代,一体化终端安全管理体系建设不再考虑国外产品,实现完全国产自主可控,这一点无论是在技术上还是在市场上都已不存在问题。②整合现有终端安全防护系统的功能,在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上,实现各功能模块的数据整合与联动。③增加资产管理、操作审计等功能,并实现一体化关联和统一展现,进一步完善系统的管理功能,能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理,实现对安全事件的及时发现、告警和处置,及时消除安全事件对终端的影响。④在系统建设的基础上实现科学安全管理,通过对终端安全状态的统一定量评估,实现对各部门、各分支机构的终端安全态势评估,掌握终端安全管理的薄弱环节,为信息安全管理工作的整改完善提供数据支撑。在功能方面:一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。在管理方面:实现与终端安全管理制度相适应的安全管理要求,实现总部与各分支机构终端信息的统一集中管理,实现终端安全控制策略的统一配置、自动筛查、告警和展现,实现定期安全类报表的自动生成和展现,实现安全管理人员的统一工作平台。
4结语
要实现对信息安全闭环式管理,仅仅重视信息系统服务端的保护是不够的,必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设,从技术上采取了多种手段强化终端的安全防护和管理,为强化单位的信息安全管理提供了必要的手段。同时,我们也必须认识到,终端安全管理体系的建设不是说建好系统就万事大吉了,对一个单位的信息安全管理而言,永远是“三分技术,七分管理”。再好的技术手段,也只有和管理制度相结合,并加以强力执行,才能达到预定的安全目标。
参考文献:
[1]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(8):70~71.
[2]田永飞.一体化终端安全管理系统应用初探[J].金融科技时代,2015(12):45~47.
2广播电台信息安全工作的展开
我国于2003年7月出台了第一部关于信息安全的纲要性文件:国家信息化领导小组关于加强信息安全保障工作的要求》。其中有明确提出:对于网络和信息系统安全的潜在威胁、保护措施、薄弱环节等进行评估,综合考虑网络与信息系统的重要性、程度和面临风险等因素,进行相应的等级安全建设和管理。坚持积极防御、综合防御的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息发展,保护公众利益,维护国家安全。2006年至今,国家信息安全保障体系建设取得了实际性进展。围绕中办第27号文件展开各项信息安全保障工作,信息安全法律法规、标准化和人才培养工作取得新成果。目前,信息安全工作主要围绕风险评估和等级保护两个重点展开,信息安全风险评估是指依据相关信息安全技术和管理标准,对信息系统进行安全性评价的过程。而等级保护则是对评估结果作出相应的措施保护。
3广播电台信息安全工作建议
(1)培养专业人才队伍。目前,在广播电台行业内部信息技术和管理方面缺少人才队伍,不能适应当前传播媒介的快速发展态势。因此,要加强行业内信息安全负责人员的技能培养和理论知识的培训,还需要定时开展信息安全评估和等级保护测评等工作,让信息安全负责人员积累经验、锻炼队伍,培养出一批既了解广播电台行情,又掌握信息安全保障技能的人才队伍,有了最基本的人才队伍保障,广播电台的发展才能更加稳定。此外,还要牢固树立信息安全工作人员的保密观,使工作人员充分了解到新时期广播电台信息安全保护工作的重要性。
(2)促进广播电台的标准化和制度化。新时代的广播电台具有播出媒体信息流量大、专业化设备负责、传输渠道更新快、传播网点逐渐复杂化等多种特点,因此需要修订适合的信息安全系列的标准、制定和完善相关的制度,促进广播电台的标准化、制度化进程,加强对其的指导,使广播电台的行业信息安全工作有标准可遵循、有制度所制约,从而更好地促进信息安全工作朝规范化、科学化前进。