安全審計總結精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計總結主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:安全審計總結范文
關鍵詞:不良地質深路塹 設計 施工
一、前言
近年來高等級公路建設在我省方興未艾,不良地質深路塹的處理施工日益增多,如何保證其施工安全,已成為設計、施工、監理三方迫切需要解決的重要問題,本文從設計角度出發,通過對我省三處較為典型的深路塹的不同設計.處理.施工,對不良地質深路塹擋土墻、明洞、抗滑樁等處理施工安全進行了較為系統的總結。
二、津市澧水大橋南端接線擋土墻綜合防護工程
2.1工程概況
津市澧水大橋南端接線工程是津市城市規劃建設的配套工程,又是湘北公路的一部分。該路段原為一座相對高差為100m左右的山丘,原山坡自然坡度一般在1:1.75~1:2.5之間,因澧水大橋南端接線穿越該山嶺中下部寬達42m。大部分地段形成20~30m的高路塹邊坡,而原設計對該路段這一特殊地質條件估計不足,路塹邊坡定為1:1,尤其在邊坡>20m時,也未設臺階進行變坡處理,故其邊坡略顯較陡。1996年底建成通車后,1997年雨季在該路段K0+130~K0+465皇姑山地段右側路塹發生大范圍坍塌,長達215m。該處原砌有高2.2m,頂寬1.0m路塹擋土墻,邊坡面采用了厚40cm的干砌片石條型護坡及半園拱型護坡,均從K0+295~K0+340段被推跨。坍塌土方大量進入行車道,嚴重影響了湘北公路的貫通。
2.2 施工條件
皇姑山地段位于澧水下游近河口地區,冰漬特征極為典型,地面表層為第四系黑色粘土,厚度在1m以內。下部為第三系紅色泥礫粘土巖,產狀不明。泥礫所含礫石大小懸殊、雜亂無章,毫無分選,混集于粘韌紅泥之中。礫石巖性單一,幾乎全部由石英砂巖組成,礫徑超逾1米的巨礫在剖面中比比皆是,經研磨的礫面光滑平整,根據調查和鉆探表明,泥礫層厚在50~60m以上。
坍塌地段位于斷層影響帶內。地表為第四系地層覆蓋,第三系紅色泥礫粘土巖呈單斜構造,受澧水大斷裂影響,地質構造較為復雜,近期尚有活動。
坍塌地段表層由于遭受了較強烈的構造運動和風化作用的影響,節理裂隙發育,組成了良好的透水層和儲水層。而深部的地層受風化作用甚微,透水性較弱,形成相對阻水層。山坡上居民生活廢水及雨水下滲成為土體中地下水的主要來源,北側邊坡體內發育一條厚度達1~1.5m的富水帶,雨季地下水較豐富,邊坡滲水嚴重,局部呈細股狀滲水。
本地區基本地震烈度為Ⅶ度,近期地震對斷層活動有一定影響。
從土質分析,該路段表層為亞粘土夾碎石,所含砂礫約50%以上,具亞膨脹性,滲水性強,下部為紅色泥礫層,冰漬特征極為典型,泥礫所含礫石大小懸殊,粒徑超逾1m的巨礫比比皆是,礫石表面附著的薄層粘泥,遇雨水浸泡,即發生松散破碎,從而導致邊坡失穩,產生坍塌。
原擋土墻斷面尺寸在該地質條件下,抗滑、抗傾覆均未達到規范要求。且原片石護坡采用干砌方式,未能起到防止雨水下滲、保護坡面作用,嚴重影響施工安全。
2.3精心設計:
對冰漬層地質災害的整治,尤其對皇姑山這樣國內罕見的特殊地段,目前還未見有效的整治記載文獻,為此,在整治處理設計中,本著安全、美觀、經濟的原則,設計方在處理設計過程中進行了抗滑樁、壓漿固結法、預應力錨索加固法、重力式擋土墻多方案比選。
通過技術、經濟分析,經專家評審,分析認為冰漬層地基土容許承載力[σ]≥300kPa,基坑開挖淺,施工難度小,且結合當地的大量漂石經加工后可用于擋土墻,就地取材,可大大降低造價。達到穩固、美觀、經濟的目的,最后采用擋土墻為主體工程,通過坡面修整,放緩邊坡,坡面草皮護坡防止雨水沖刷,建立起地表排水和地下排水相結合的綜合排水系統達到綜合整治的目的。綜合整治方案來進行處理。
2.4嚴格監理
鑒于本地區冰漬層的特殊性,建設單位通過招標擇優選取施工單位,并聘請了三名現場監理工程師配合省、地、市三級交通質監站建立了嚴格的質量保證體系,以確保工程安全。
2.5施工安全措施
① 擋土墻基礎開挖,分散跳槽開挖,挖成一段砌筑一段。并采取適當臨時防擋措施,盡量減少基礎開挖范圍,避免因施工開挖引起新的坍塌。
② 施工在旱季進行。
③ 認真及時做好截水肓溝和草皮護坡工作。
④ 坡面上坍體以及裂縫、凹凸不平之處,全部平整夯填并鋪種草皮,防止表水下滲。
⑤ 原有擋土墻損壞、開裂部分,一律拆除,新建擋土墻,結合修筑支撐滲溝及截水盲溝,及時將地下水排出以保證支擋效果。
⑥ 擋土墻主體工程修成以后,應在墻頂面再鋪一層30cm厚的混凝土保護層封頂,以便防止地表水下滲及氣候作用和影響,使填土強度不致降低。
⑦ 擋土墻的墻背應設置30cm的砂墊層,一方面引導墻后滲水沿著預定的路線排出墻體,另一方面砂墊層也可以起到緩沖的作用,削弱墻后土體的任用。
⑧ 施工過程中因基礎開挖,隨時可能誘發新的坍塌,除采取跳槽開挖方法外,應以“快開挖,快支護,快砌筑”為指導思想,加強施工管理,合理計劃工序。
通過以上措施,確保了工程安全施工,工程得以順利竣工。
三、婁湘公路金家沖滑坡明洞整治工程
3.1工程概況
工程位于湘鄉市棋梓橋鎮金家沖,棋梓橋至婁底二級公路K31+150~K31+240段,滑坡前緣寬180m,最大長度為110m,前后緣高差62.55m,總土方量約40萬m3。由于興建公路深切方達18m以上,形成了傾角約40°的邊坡,坡面巖石裸露,降水大量滲入山體,形成了滑坡。目前坡面上已形成多級臺階及環形裂隙,滑坡后緣陡壁高0.6~1.6m。該滑坡地貌特征明顯,是施工期產生、發展和形成的滑坡,范圍較大,地質條件復雜,處于斷層破碎帶及斷層影響帶內,已建擋土墻大部分被破壞,嚴重影響了公路的修建與貫通。
3.2施工條件
本施工場地地質情況復雜,殘積、坡積成因的碎石土由粘性土與碎石混雜而成,厚1.30~2.50m,斷層破碎帶巖石受擠壓破碎嚴重,節理裂隙極發育,巖石多為碎石狀,局部為泥狀,斷層泥遇水極易軟化膨脹,滑坡體下部為砂巖、泥灰粉砂巖、泥灰巖、硅質砂巖、鈣質泥巖。據區域地質資料及勘探表明,工地位于普安堂南北向背斜構造的西南側,區內巖層總的傾向為30°,傾角為38°。有條較大的斷裂從滑坡前緣處通過,與滑坡軸線交角約80°同時與路基中心線交角10°左右,斷層走向NWW傾向NNE,傾角為30°~40°,受該斷裂的影響,勘探區巖石節理發育巖石受擠壓,破碎嚴重,且多風化強烈,除此之外,在勘探區及附近,次一級的小斷裂也較發育。對明洞施工安全修建有一定影響。
3.3精心設計
明洞路線與地形等高線斜交,進、出口洞門形式均采用翼墻式,施工時應注意避免對山體穩定性造成破壞,同時加強觀測記錄,做好防范措施。
襯砌結構設計采用路塹式明洞結構,拱圈采用30號鋼筋混凝土,邊墻采用20號片石混凝土,仰拱采用20號混凝土。回填土設計坡度為1:5,實際回填土坡度為1:10,兩者之差作為坡面土石零星坍的儲備。
對圍巖地下水的影響采用以排為主,防、排、截、堵相結合的綜合治理原則,即在明洞襯砌外設防水層,將水堵在模注襯砌之外,防水層可用復合土載布或橡膠防水板等,其性能應滿足下列要求:拉伸強度25KN/m,拉伸率大于100%,抗滲水壓0.7MP;在墻腳上設有泄水孔,間隔6~10m,將滲水引入明洞內縱向排水溝。在仰拱中央布置集水圓管,排走滲入仰拱低洼處的積水,出仰拱后視情況將水引入側溝或路塹邊溝。以達到排水通暢、防水可靠、經濟合理、不留后患的目的。
對于洞口段,地表水采用以排為主,排、堵、截結合的原則,即在坡面上按常規設置截水天溝,洞門頂部及洞頂坡腳設排水溝,在邊墻背后設滲水盲溝,使洞內外形成一個完整暢通的排水系統。
3.4施工安全措施
① 明洞施工應嚴格執行JTJ042-94《公路隧道施工技術規范》,在施工過程中應認真做好監理管理工作。
② 明洞地處山嶺重丘區,須因地制宜布置好地表各項排、導、防水工程,洞門墻應盡早砌筑,各翼墻、擋土墻須及時砌筑,按施工規范作好泄水孔,水溝均需抹面以保證排水順暢。有關護坡需確保質量。洞外須搞好環保工作,采取防排水工程措施時,注意保護自然環境。
③ 為保證施工質量及安全,尤其對隱蔽工程必須建立嚴格的監理制度。
④ 設計、施工、監理密切配合,預想施工中可能出現的問題,提出預防措施。
⑤ 邊墻、邊溝施工,必須分段間隔開挖,要縮短進尺,加快封閉,防止擾動。
⑥ 對部分地段之軟弱巖層,開挖時還應采取擋板支撐等措施,以策安全。
⑦ 對于需要開挖開挖至明洞邊墻基底以下的工程,設計、施工都應采取有力措施,防止基礎下沉、邊墻、拱圈變形。
通過以上措施,本明洞工程安全竣工,獲得建設方一致好評。
四、湘耒高速公路炮石嶺滑坡抗滑樁整治工程
4.1工程概況
工程場地位于衡東縣新塘鎮,在建湘耒高速公路炮石嶺地段K79+500左右,為丘陵地貌,地形起伏較大,相對高差最大約150m,滑坡于一面向北東的“圈椅”內,周圍山體坡面傾角約30~40°,滑坡前緣為一山間埡口,在施工過程中右側產生發較大的滑坡,嚴重影響了高速公路施工的順利進行。
4.2施工條件
工程場地內地質條件復雜,上部土體為碎石土,厚度一般從1.0~8.3m,局部夾粘土層,為泥巖風化后的產物,下部為泥巖,全風化,呈可塑-硬塑狀,具一定的膨脹性,此外,滑坡體南東側為灰白色.灰黑色砂巖,產狀為300~330°∠26~28°。其北東側有一北西向的壓扭性斷層通過,受其影響,區內發育有二條逆斷層,滑坡于這兩條斷層的下盤。該路塹邊坡曾在三十年代由于連降暴雨從而滑動,至五十年代修建省道1820線時,開挖埡口也產生了滑動,新砌擋墻常在一天左右即被推倒,由于當時無法治理,公路被迫改道,施工安全難以保證。
4.3精心設計
設計方經過大量方案比較與計算分析工作,認為單設擋土墻方案相對經濟,且較容易施工,但因其結構尺寸較大,基礎開挖可能誘發新的滑坡,施工安全很難保證,而明洞方案雖能減少新塘聯絡線跨線橋工程和對面山體路塹邊坡的土石方數量,但造價仍顯偏高,考慮到該地段地質情況復雜,滑坡發展規模較大,且新塘聯絡線于此附近上跨湘耒高速公路,整治工作顯得十分重要。本設計采取排水工程和抗滑工程相結合的綜合整治方案,排水工程為了排除地表水,設置了截水溝、排水溝、邊溝;為了攔截滑坡體上方地下水,設置了截水盲溝;抗滑工程以抗滑樁為主,采用了懸臂式抗滑樁+重力式擋土墻組合設計方案。
4.3施工安全措施
本工程所處地區,地質情況復雜,為確保工程質量,要求如下:
① 施工時間宜在旱季進行。
② 施工流程宜坡面排水工程—抗滑樁—分段開挖路基—擋土墻。
③ 截水溝鋪砌時迎水面溝壁應設泄水孔(尺寸10×20cm2),以排泄土壤中水,或采用干砌片石鋪砌。在滑坡體上方標高為133~135m附近截水溝下部設一道截水盲溝,以攔截地下水,引出滑坡體外。施工時應盡量少開挖以保持該地段抗滑功能。
④ 滑體內排水應充分利用滑坡范圍內的自然溝谷作為排除地表水的渠道,及時把水引入排水溝中。為此目的要對自然溝谷進行必要的整修、加固及鋪砌工作,達到不溢流、不滲漏的目的。
⑤ 滑坡內土質松散,地表水易下滲,應進行平整夯實,夯填裂縫(將裂縫兩側土體挖開,挖成寬度不小于0.50m深度不小于1.0m的溝槽,然后用粘性土分層夯填)。
⑥ 設計緊密配合施工,在地下水較為發育地段,事先安裝了抽水設備,加強樁基礎支護,保證施工安全。
⑦ 抗滑樁材料采用C20。縱向受力鋼筋焊接接長、焊接接頭的類型及質量均應符合《鋼筋混凝土工程施工及驗收規范》的要求。
⑧ 施工前應先做好坡面排水,抗滑樁應由兩側向中間靠,跳樁開挖施工。
⑨ 樁后回填應待樁身混凝土強度達到設計強度70%以上時方可進行回填,回填土宜采用砂性土。
⑩ 擋土墻與抗滑樁之間回填土應分層夯實,坡面采用草皮護坡,應注意做好排水工作,防止雨水下漏造成擋土墻破壞。為確保工程安全,施工中應建立嚴格的監測制度,認真做好交接班記錄,發現異常情況,及時反映處理。
通過上述措施,使工程搶在雨季之前完成,有力保障了施工安全,深受各方好評。
五、結束語
第2篇:安全審計總結范文
[關鍵詞] 安全審計;審計手段;異構環境審計
0引言
隨著社會信息化程度的加深,各大中型企事業單位逐漸形成了科學化、多樣化的各類信息系統,往往一個企業的信息化系統就多達十余個,在這種復雜的多系統條件下,如何實現細粒度的精準安全審計已成為審計領域一個熱點問題。
本文首先對目前信息化環境下的細粒度安全審計進行了概要描述,接下來詳細分析了各種安全審計方法特點,最后對異構性多信息化系統環境下的有效審計手段進行分析總結。
1信息系統安全審計簡介
1.1 信息系統安全審計定義
信息系統安全審計主要指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析;審計記錄的結果用于檢查網絡上發生了哪些與安全有關的活動,誰(哪個用戶)對這個活動負責;主要功能包括:安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等[1]。
1.2 信息系統主要安全審計手段
對信息化系統環境下用戶操作行為的安全審計可以通過以下幾種典型手段實現:
(1)基礎日志層面審計:對信息化系統的基礎IT支撐硬件環境內設備的自身日志進行分析的手段。
(2)網絡層面審計:通過采集網絡數據包后進行協議解析還原來分析信息系統網絡活動的審計手段。
(3)業務層面審計:對信息化系統中業務操作行為日志進行記錄審計的手段。
(4)敏感數據專項審計:針對信息化系統定義的具有高風險的企業敏感數據進行細粒度審計的手段。
2安全審計技術特點分析
2.1 概述
基礎層面日志審計、網絡層面審計、業務層面審計及敏感數據專項審計是4種比較典型的對信息化系統的審計手段,本文將對各種審計手段的特點進行分析。
2.2安全審計手段特點分析
2.2.1基礎層面日志審計
基礎層面日志審計面向IT支撐系統中的設備層面,是安全審計的基礎手段之一,通過對設備自身運行日志、配置變更日志等底層設備日志的審計分析,可對目前設備的自身安全運行狀態得出基礎判斷。
2.2.2網絡層面審計
網絡層面審計需利用網絡抓包分析手段對網絡中的數據流進行分析。在分析過程中,主要需重點關注訪問源地址異常、訪問協議異常、訪問次數異常的數據流[2]。
2.2.3業務層面審計
業務層面審計需依賴于良好的業務梳理,形成業務合規操作定義。進行業務審計前,需對信息化系統中業務操作進行日志記錄,結合合規操作定義進行比對審計。
2.2.4 敏感數據專項審計
信息化環境下保有的大量數據中存在著對企業來講極為重要的數據,這些重要的、涉及企業較大利益的敏感數據在安全審計層面需要通過專項審計來滿足審計需求。敏感數據審計通過定義需審計的具體數據內容、數據具體存放位置、數據可被訪問的手段等具體內容,針對違反上述定義的情況對數據進行逐一的細粒度重點審計。
3安全審計手段整合技術
用基礎層面日志審計、網絡層面審計、業務層面審計及敏感數據專項審計等手段雖然可對信息化系統進行安全審計,但復雜多信息化系統環境下大量的審計數據的獲取、過濾、關聯,必然耗費較大的人力且容易出現審計風險[3]。為避免上述問題,本文綜合現有安全審計需求,提出如圖1所示的安全審計手段整合架構。首先將各信息化系統的全量日志送入多日志采集平臺,由平臺統一將各類日志進行標準化處理、過濾后送往不同的二次分析模塊(分為網絡類與設備類及業務數據類兩種),由分析模塊根據自己的審計策略進行關聯分析,最后將各自模塊處理后的數據送入綜合審計平臺,由綜合審計平臺對各層面日志進行關聯化的綜合審計。
4結 論
多信息化系統環境下安全審計的精準實現,需要采用精準化的日志處理及多級關聯審計策略,將日志處理為標準可讀日志后按照信息化系統的審計需求,橫向關聯多層面日志、縱向關聯多時間段日志,最終滿足靈活多變的安全審計需求。
主要參考文獻
[1]國際標準化組織. 信息技術安全性評估準則(ISO/IEC15408-2:1999)[S].1999.
第3篇:安全審計總結范文
數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為,通過對網絡數據的分析,實時地、智能地解析對數據庫服務器的各種操作,并記入審計數據庫中以便日后進行查詢、分析、過濾,實現對目標數據庫系統的用戶操作的監控和審計。它可以監控和審計用戶對數據庫中的數據庫表 、視圖、序列、包、存儲過程、函數、庫、索引、同義詞、快照、觸發器等的創建、修改和刪除等,分析的內容可以精確到SQL操作語句一級。它還可以根據設置的規則,智能的判斷出違規操作數據庫的行為,并對違規行為進行記錄、報警。由于數據庫安全審計系統是以網絡旁路的方式工作于數據庫主機所在的網絡,因此它可以在根本不改變數據庫系統的任何設置的情況下對數據庫的操作實現跟蹤記錄、定位,實現數據庫的在線監控,在不影響數據庫系統自身性能的前提下,實現對數據庫的在線監控和保護,及時地發現網絡上針對數據庫的違規操作行為并進行記錄、報警和實時阻斷,有效地彌補現有應用業務系統在數據庫安全使用上的不足,為數據庫系統的安全運行提供了有力保障。
二、醫院數據庫系統中的實際應用
第一次使用設備,需要更改ip地址以便后期使用,配置ip地址后在ie地址欄中輸入更改的ip地址后,登陸到DBS系統,初次登陸系統需要配置需要審計的數據庫類型,數據庫服務器的ip地址,操作系統及系統版本,配置完成后,便可以使用了.
在系統首頁中可以看到系統概括,其中包括事件類型,大延時數,攻擊事件等.
其中攻擊事中可詳細觀察危險等級,攻擊的源ip,攻擊事件描述,特征規則以及危險等級.比較詳細的了解當前數據庫被攻擊的次數和行為.
延時分析中可以看到什么事件使用了什么語句執行中耗費時間較長的,后期可以用來對數據庫進行優化.
統計分析中可以看到時間和業務量的分布圖,下面的還可以看到這一天的時間內總共執行了多少條SQL語句以及分別是什么類型的語句.還可以以柱狀圖的方式體現各種統計信息,比如客戶端IP,TCP會話,SQL模板等柱狀圖.
還有一項比較重要的功能就是監控高危操作,這個功能需要再策略中心里進行定義,比如SQL中比較危險的DELETE語句,還有醫院中最需要避免的統方操作,這都是可以進行監控的.
三、日常維護
由于這個審計系統中內置了一個500g的硬盤,這個DBS系統和審計數據都是保存在這個硬盤中,隨著審計數據每天增長,硬盤容量也變的相對有限,所以我們要對數據進行維護,設定磁盤預警和數據保留天數.
在系統配置-工作參數中配置磁盤預警和數據處理
磁盤預警中配置預警閥值,保護閥值和處理方式,一般我們設置為預警閥值81%,保護閥值91%,處理方式選擇覆蓋,這表示如果達到閥值的話會覆蓋最早的數據來避免數據超出閥值.
數據保留天數,一般設置30天后刪除(也是默認的保存天數)
第4篇:安全審計總結范文
一、 道路交通安全長效管理機制內涵
道路交通事故通常指人、車在道路上通行時,由于違反交通規則或其它原因發生人員、牲畜和車、物損失的事件。《中華人民共和國道路交通安全法》中對“交通事故”的定義是指車輛在道路上因過錯或者意外造成的人身傷亡或者財產損失的事件。由法律定義引申,筆者認為道路交通安全長效管理機制的內涵應該為:在道路交通的執行、管理過程中能有效預防事故,保證道路交通的順利進行,并能對今后一段時期的道路交通安全工作產生積極影響的運行方式、管理模式和監督體制的總和。而這種長效管理機制首先是切實可行,而又長期有效的;它所形成的規范性條款和規定,并不只局限于現任,無需隨人員的流動或機構的變遷而動。因此它必須具有以下五個特性:
長期性在立法思路、管理策略和采取的措施上,管理效應會對今后相當長一段時期的工作產生影響,而不是一種短期行為。
系統通安全長效管理機制豐富的內涵決定了必須有多項的措施保證其功能的實現。這是一個系統共同作用而產生的效果,不是單一的措施就能完成的。
根本性立足防范,從治本上研究和考慮立法思路、管理策略和采取的措施。
自主性這種機制所產生的效果能使生產經營主體真正形成自我管理的意識,形成自我約束的機制。
有效性有效性是建立長效管理機制的最終目的,只有在實踐的過程中,才能檢驗其存在的真正價值。
二、道路交通安全長效管理機制的構建
筆者認為,構建福建省道路交通安全長效管理機制應從七個層面加以思考,即建立健全四個體系、引進一個制度、實現兩個創新。
(一)建立健全交通安全相關的法律法規體系
當前,應盡快做好道路交通安全主法的配套和細化工作。一要盡快制定和出臺有關單行法規、條例;二要結合實際,通過地方立法,補充和完善道路交通安全法律體系,如對交通主管部門機構設置和人員配置及對交通安全行政執法和處罰進行細化等;三要加強交通安全立法理論研究和司法總結,擴大交通安全立法的公開性、民主性和廣泛性。
(二)建立健全安全目標管理體系
1、加強各級人員對道路交通安全目標管理的認識。道路交通企業領導對安全目標管理要有深刻的認識,要深入調查研究,結合本單位實際情況,制定企業的總目標,并參加全過程的管理;加強對中層和基層干部的思想教育,提高他們對安全目標管理重要性的認識和組織協調能力;還要加強對職工的宣傳教育,普及安全目標管理的基本知識與方法。
2、安全目標管理需要全員參與。安全目標管理是以目標責任者為主的自主管理,因此,必須充分發動群眾,將企業的全體員工科學地組織起來,實行全員、全過程參與,才能保證安全目標的有效實施。
3、安全目標管理需要責、權、利相結合。實施安全目標管理時要明確職工在目標管理中的職責。同時,要賦予他們在日常管理上的權力,還要給予他們應得的利益,責、權、利的有機結合才能調動廣大職工的積極性和持久性。
4、安全目標管理要與其他安全管理方法相結合。在實現安全目標過程中,要依靠和發揮各種安全管理方法的作用,如建立安全生產責任制、制定安全技術措施計劃、開展安全教育和安全檢查等。只有兩者有機結合,才能使企業的安全管理工作做得更好。
(三)建立健全交通部門的預警體系
長期以來,道路交通安全部門的安全管理基本是單一的反饋控制模式。這種模式主要體現了事后把關的安全管理思想,即主要通過對已發生的事故和事故苗子等進行分析,找出原因,然后制定實施對策。隨著道路里程的增加和交通工具密度日益增大,交通運輸生產的系統復雜度和風險度顯著提高。這種單一的管理模式,已經遠遠不能適應現代安全管理的需求。
因此有必要構建先進的交通安全預警系統,綜合利用現有的交通運輸系統安全信息,針對交通運輸生產系統本身或其輸入發生的變化,在其影響運輸生產安全之前就事先將對其可能造成的影響進行分析評價,開展事故安全預測,及時向交通安全部門反饋信息,使其能夠根據得到的前饋信息,科學預見交通運輸生產系統及其要素的安全態勢,采取合理措施對交通運輸生產系統的人、機、環境、管理等四個要素進行事前協調,把事故消滅在萌芽之中,防患于未然。
(四)建立健全道路交通信息化體系
1994年,福建省交通信息化工作開始實施"三步走"的發展戰略。目前已經實現了第一步:普及計算機和推廣應用信息技術的基礎工作;第二步也基本完成:部份數據庫和局域網的建設,基本實現《福建省道路、水運交通信息化1998-2000發展規劃》中提出的目標,全行業信息技術應用達到一定水平。
作為第三步任務目標是建設“數字交通”。它是以我省交通為對象的數字化、網絡化、可視化和智能化的信息集成及應用系統。著力在五個領域取得進展,實現交通政務信息化;交通基礎設施建設與管理信息化;交通運輸生產管理信息化;交通產品營銷信息化;交通科學技術信息化。重點實施交通信息化"123重點工程":抓好電子政務建設;力爭在智能運輸系統(ITS)和物流兩個領域有實質性突破;開發、推廣、應用高速道路聯網收費、交通基礎設施建設質量安全監控、交通公共信息服務三個系統。
(五)引進道路安全審計制度
道路安全審計是有效預防和降低交通事故的重要手段之一。首先,“預防重于治理”,道路建設項目的各個階段實行安全審計是從源頭預防交通事故的重要措施,;其次應盡快開展道路安全審計的法規研究,明確道路安全審計的程序和安全審計人員的責任、義務及權益;第三,要加緊加快道路安全審計指標體系的研究,從而形成一套較完善的評價標準;第四,培育道路安全審計隊伍及建立相應機構,保證審計人員獨立公正地開展工作。
(六)實現交通科技創新
未來交通發展的重點是擴充能力、優化結構、提高質量、改善服務、保障安全、保護環境,任務十分艱巨。科學技術是第一生產力,是交通發展的重要推動力量,對交通發展將產生重大影響。充分依靠科技進步,全面提升交通行業的科技含量,是走新型工業化道路、實現交通更快更好發展的必然選擇。
構建智能交通管理指揮系統結構,其總體目標應為:以信息技術為主導,以計算機通信網絡和智能化指揮控制管理為基礎,初步建成集高新技術應用為一體的智能化道路交通管理體系,基本實現交通指揮現代化、管理數字化、信息網絡化、辦公自動化,進而實現交通管理決策科學化、交通指揮調度信息化、城市快速路網交通管理智能化、交通信號控制自動化以及實現交通管理電子警務和電子政務。
(七)推進安全文化創新
1、進行安全知識教育。安全教育包括新工人上崗教育、事故案例教育、違章教育等等。進行職工的安全知識教育一是要堅持全員教育和重點教育相結合的原則,根據不同的教育對象,授以不同的教育內容和提出不同的要求。
第5篇:安全審計總結范文
衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。
1.物理安全
衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。
2.網絡安全
主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。
3.主機安全
所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。
4.應用安全
衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。
5.數據安全及備份恢復
衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。
二、信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
三、信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。
四、信息安全等級保護實踐經驗
1.規范管理,細化流程
衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續完善
第6篇:安全審計總結范文
關鍵詞:電腦網絡;網絡技術;安全管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 08-0000-02
一、前言
進入21世紀,隨著電腦網絡技術的飛速發展,特別是互聯網和建立在其上Web的迅猛發展,的確為公眾生活、商業運作、政府服務等帶來了極大的便利,可以說電腦網絡技術在很大程度上改變了我們的生活。然而,在電腦網絡技術給我們帶來諸多方便的同時,電腦網絡安全問題也帶來了新的風險。敏感情報的泄露、信息的篡改、數據的破壞和計算機病毒的發作都會給社會生活帶來難以估量的損失。據統計,2011年電腦網絡每天受到的攻擊數達5365783次,電腦網絡安全問題給全世界電腦用戶帶來了不可估計的損失,解決電腦網絡安全管理問題刻不容緩。
然而,電腦網絡安全管理作為綜合、交叉的技術,涉及數學、物理、管理、信息技術和計算機技術等多個領域,目前國內的相關技術發展還比較緩慢。本文基于實踐經驗,從目前電腦網絡技術安全管理存在的問題及電腦網絡技術安全管理的主要技術等方面進行了淺析。
二、目前電腦網絡技術安全管理存在的問題
目前我國電腦網絡安全管理面臨著嚴峻的挑戰,一方面,隨著電子商務及電子采購的開展及社會基礎設施的網絡化趨勢,網絡安全的需求更加迫切;另一方面,黑客攻擊、病毒傳播等網絡攻擊的激增,使得電腦網絡安全變得脆弱。具體來講,目前電腦網絡技術安全管理存在的問題主要有以下方面。黑客、病毒等對電腦網絡技術安全管理的危害,目前網絡上眾多黑客、病毒的大量存在,使得電腦網絡技術的安全管理工作產生了諸多困難;電腦網絡技術安全管理存在信息污染現象;網絡犯罪現象得不到有效控制;電腦網絡安全管理信息網絡化,嚴重影響了青少年的健康成長等。
三、電腦網絡技術安全管理的主要技術
在電腦網絡中,如何對網絡信息載體及信息的處理、傳輸、存儲、訪問提供安全保護以及如何防止非法授權的使用或篡改都是當前電腦網絡安全領域研究的關鍵問題。本文作者通過經驗總結,從訪問控制技術、防火墻技術、網絡隔離技術、入侵檢測技術、安全審計技術等技術對電腦網絡技術安全管理進行探討。
(一)訪問控制技術
訪問控制是在用戶身份認證的基礎上,針對越權使用資源的防范措施,其是電腦網絡安全管理的主要策略。訪問控制技術的主要任務是防止網絡資源被非法使用、非法訪問和不慎操作所造成破壞,同時,其也是維護網絡系統安全、保護網絡資源的重要手段。一般而言,電腦網絡技術安全管理是通過各種安全策略相互配合的,而訪問控制可以說是保證網絡安全最重要的核心策略之一。訪問控制決定需要考慮機構的策略、員工職務的描述、信息的敏感性、用戶的職務需求等多個因素。其有效性取決于對用戶的正確識別。
(二)防火墻技術
所謂防火墻技術,是指將內部網和公眾網絡分開的方法,實際上是一種隔離技術,在兩個網絡通信時執行的一種訪問控制手段。防火墻技術允許用戶同意的人和數據進入網絡,同時將用戶不同意的人和數據拒之門外,從而實現最大限度地阻止網絡中的黑客來訪問自己網絡的目的。
作為電腦網絡技術安全管理最主要的技術,防火墻一般具有以下特性:(1)位置特征。對于一個電腦網絡,所有通過內部和外部的信息都要經過防火墻,這就是防火墻的位置特性。其是有效地保護電腦網絡安全的重要前提。(2)原理特性。利用安全策略來保證授權的信息通過防火墻,這就是其原理特性。防火墻之所以能保護電腦網絡的安全,就是依據過濾機制的原理特性來實現的。(3)系統特征。防火墻的系統必須建立在安全操作系統的基礎上,才會有非常強的抗攻擊能力。
防火強作為電腦網絡技術安全管理的關鍵技術,主要實現了以下幾方面的功能。(1)隔離不同的網絡,防止內部信息泄露。防火墻主要用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據被竊取。(2)創建一個檢查點。防火墻是內部網絡和外部網絡之間的一個檢查點,這就要求所有的數據都要經過這個檢查點。這樣防火墻就可以清楚地監視、過濾和檢查所有進出網絡的流量。(3)審計和記錄內、外部網絡上的活動。防火墻可以對內、外部網絡的存取和訪問進行監控審計。經過防火墻的所有訪問都被記錄下來,并進行日志記錄,同時也能提供網絡使用情況的統計。當發生可疑動作時,防火墻能適時記錄并報警,提供網絡是否受到監視和攻擊的詳細信息。(4)強化安全策略。通過以防火墻為核心的安全方案配置,能將所有安全軟件配置在防火墻上。
因此,防火墻的集中安全管理及與安全策略的有機結合能對網絡安全性能起到較強作用。
(三)網絡隔離技術
網絡隔離是網絡安全隔離技術的一種,它是指使兩個或兩個以上的可路由網絡通過不可路由協議進行數據交換而達到隔離目的。由于其原理是采用了不同的協議,因此也被稱為協議隔離。網絡隔離技術是近些年來出現的電腦網絡技術安全管理技術,它能解決重要單位及要害部門對信息安全性的突出需求。其已經成為網絡安全體系中不可缺少的重要環節,是防止非法入侵、阻擋網絡攻擊的一種簡單而行之有效的手段,它也將在各黨政機關和行業信息安全的連網工作以及信息安全方面起到重要的作用。但由于網絡隔離技術比較復雜,目前仍處于發展階段。
(四)入侵檢測技術
入侵檢測是一種對網絡系統的運行狀態進行監視,發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證系統資源的機密性、完整性與可用性的技術。入侵檢測的作用就在于及時地發現各種攻擊以及攻擊企圖并作出反應。
一個完整的入侵檢測系統一般具備下列特點。(1)經濟性。為了保證系統安全策略的實施而引入的入侵檢測系統必須不能妨礙系統的正常運行。(2)時效性。入侵檢測系統必須及時地發現各種入侵行為,理想情況是在事前發現攻擊企圖,比較現實的情況則是在攻擊行為發生的過程中檢測到。如果是事后才發現攻擊的結果,必須保證實效性,因為一個已經被攻擊過的系統往往就意味著后門的引入以及后續的攻擊行為。(3)安全性。入侵檢測系統自身必須安全,如果入侵檢測系統自身的安全性得不到保障,首先意味著信息的無效,而更嚴重的是入侵者控制了入侵檢測系統即獲得了對系統的控制權,因為一般情況下入侵檢測系統都是以特權狀態運行的。(4)可擴展性。可擴展性有兩方面的意義,首先是機制與數據的分離,在現在機制不變的前提下能夠對新的攻擊進行檢測,如使用特征碼來表示攻擊特性;另一方面是體系結構的可擴展性,在有必要的時候可以在不對系統的整體結構進行修改的前提下對檢測手段進行加強,以保證能夠檢測到新的攻擊。
(五)安全審計技術
安全審計是一個電腦網絡必須支持的功能特性,它記錄用戶使用計容機網絡系統進行所有活動的過程,是提高安全性的重要工具。因此,安全審計在提高系統的可靠性、安全性等方面可以發揮重要的作用,它不僅能夠識別訪問記錄,還能指出系統目前的使用用戶。在確定是否有網絡攻擊時,審計信息對于確定問題和攻擊源是很重要的。另外,通過對安全事件的不斷收集與積累并的口以分析,有選擇地對其中的某些站點或用戶進行審計跟蹤,以便對發現或可能產生的破壞提供有力的證據。
四、結束語
總之,隨著網絡及其應用技術的飛速發展,人們對互聯網的依賴越來越強,網絡已經成為人們生活中不可缺少的—部分。但是,電腦網絡作為一把雙刃劍,在加快人類社會信息化進程的同時,也給保障網絡及信息安全帶來了極大的挑戰。在人類社會進入信息化時代的今天,人們對信息的安全傳輸、安全存儲、安全處理的要求越來越迫切,而且顯得尤為重要,它不僅關系到每個人的切身利益,而且也關系到戰爭的勝負、國家的安危、科技的進步、經濟的發展。因此,加快培養網絡安全應用型人才、普及網絡安全知識和掌握網絡安全技術迫在眉睫。
利用電腦網絡技術安全管理技術,可以對現有的一些業務和網絡進行優化,提高性能,降低成本。同時,隨著問題的逐漸解決,電腦網絡一定會日益煥發出前所未有的活力。
參考文獻:
[1]任大偉.淺析計算機網絡安全與防范[J].國土資源高等職業教育研究,2011,3
[2]淳于凌,韓佳岐.淺談數字圖書館網絡安全問題與對策[J].才智,2011,29
[3]任大偉.淺析計算機網絡安全與防范[J].國土資源高等職業教育研究,2011,3
第7篇:安全審計總結范文
【關鍵詞】電力監控系統 內網安全監視 閉環管控
1 引言
隨著電力監控系統安全防護工作和信息系統安全等級保護工作的深入開展,各級電力公司部署了大量監控系統安全防護設備(系統)。上述安全防護設備的運行和管理一直處于松散狀態,產生海量的運行數據及安全事件使管理人員疲于應對,無法做到對電力監控系統安全狀態的全面掌控,同時缺乏集中監控和統計分析手段,難以及時發現安全隱患。為解決安全防護設備缺乏有效集中監管的現狀,本文對電力監控系統內網安全監視閉關管控技術進行研究,實現了全省電力監控系統安防設備(系統)實時在線監控及量化管理。
本文根據閉環管理相關理論為基礎,結合電力監控系統內網安全事件的特點,在電力系統內率先提出了“監視分析管理解決總結”的安全事件閉環管控機制,有效地解決了內網安全事件分析結果不直觀、處理過程無監控、處理結果無歸檔等問題。該系統將安全事件按照七個基本程序進行管理,即事件發現、事件分析、事件處理、事件變更、事件管控、事件關閉、事件總結。七個環節環環緊扣,缺一不可。
為實現對安全事件的科學分類和有效管理,湖北省電力調控中心針對安全告警事件開展了深入研究,同時也借鑒了一些先進的理論和模型。
2 閉環管控系統
2.1 閉環管控相關理論及模型
2.1.1 PDCA循環
PDCA循環又名戴明環,是管理學中的一個通用模型[1]。最早由休哈特(Walter A. Shewhart)于1930年構想,后來被美國質量管理專家戴明(Edwards Deming)博士在1950年再度挖掘出來,并加以廣泛宣傳和運用于持續改善產品質量的過程中。它是全面質量管理所應遵循的科學程序,包括質量管理活動的全部過程,這個過程按照PDCA循環,不停頓地運轉。它不僅在質量管理體系中運用,也適用于一切循序漸進的管理工作,可以使管理工作能夠不斷創新發展,理順管理者的工作思路。在管理的過程中,注重檢查及反饋,以達到不斷改進策略,提升管理水平的目的[2]。PDCA循環,如圖1所示。
其中P (Plan) 計劃,包括方針和目標的確定,以及活動規劃的制定;D (Do) 執行,根據已知的信息,設計具體的方法、方案和計劃布局;再根據設計和布局,進行具體運作,實現計劃中的內容;C (Check) 檢查,總結執行計劃的結果,分清哪些對了,哪些錯了,明確效果,找出問題;A (Action) 處理,對檢查的結果進行處理,對成功的經驗加以肯定,并予以標準化;對于失敗的教訓也要總結,引起重視。對于沒有解決的問題,應提交給下一個PDCA循環中去解決。
2.1.2 IDEAL模型
IDEALSM是SEI推出的過程改進模型。該模型將過程改進分為五個階段來完成,形成一個螺旋推進、循環往復的改進策略。而且該模型還強調每個改進周期內的閉環機制,即:改進問題有被識別、具體的改進措施有被納入計劃,且被執行、被驗證和總結。IDEAL[3]模型結構,如圖2所示。
其中I代表Initiating(初始化),確定改進的目標并獲得改進的基礎結構;D代表Diagnosing(診斷),確定現狀與改進目標之間的差異;E代表Establishing(建設),計劃如何達成目標;A代表Acting(行動),根據計劃開展工作;L代表Learning(學習),從經驗中學習,以提高未來過程的效能。
上V理論及模型廣泛應用于各行各業,得到了充分的驗證,以及普遍的認可。本文提出的電力監控系統內網安全監視閉環管控系統充分繼承了PDCA循環和IDEAL模型的精髓,實現了從事件發現、事件分析、事件定位、事件處理、事件控制、事件提升的閉環管理。
2.2 閉環管控系統架構
電力監控系統內網安全監視閉環管控系統是集安全監視、安全分析、安全運維、安全執行、安全審計于一體的管理中心[4,5],其系統架構如圖3所示。
2.2.1 數據采集
數據采集是閉環管控的基礎,其實現了對電力專用安全防護設備(橫向物理隔離設備、縱向加密認證裝置)、防火墻、入侵監測系統(IDS/IPS)、防病毒系統,以及電力調度系統內部關鍵應用的數據采集。
其中,事件獲取是采用Syslog方式獲取各種安全防護設備的事件內容;事件過濾是將大量無需關注、不重要的安全事件過濾掉;事件歸并和聚合是對重復事件進行歸并,所有重復事件只記錄其第一次發生時間、最后一次發生時間和發生的次數;事件轉發是將初步處理后得到的安全事件提交分析引擎。
2.2.2 通信管理
通信管理是整個系統架構中的重要組成部分,主要實現對原始信息的監聽以及上下級協同告警信息的。
其中原始信息監聽主要通過標準的514端口對各類安全防護裝置(系統)的syslog告警信息進行監聽,為數據采集功能提供重要支撐;同時,閉環管理系統可以采用多級部署,利用信息加密隧道實現對于上下級事件的同步感知,使全網的安全防護及閉環管理工作形成有機的整體,避免安全防護工作出現短板導致安全事件的發生。
2.2.3 分析引擎
該系統實現了事件類型關聯、事件內容關聯、資產信息關聯,能夠通過特定算法從大量安全事件數據中挖掘當前的安全趨勢和規律[6,7]。關聯分析類型如下:
①基本關聯,根據事件的基本屬性信息關聯分析結果;
②攻擊關聯,根據安全設備發出的告警事件,結合目標資產的類型生成關聯分析結果;
③位置關聯,根據事件來源的位置或者目標資產的物理位置,生成關聯分析結果;
④角色關聯,根據事件相關用戶名結合事件基本屬性,生成關聯分析結果;
⑤因果關聯,根據事件類型結合事件行為結果,生成關聯分析結果。
2.2.4 閉環管控
該系統通過安全監視發現問題,通過事件統計分析問題,通過策略執行處理問題,通過權限管理和安全審計控制問題處理過程,通過知識管理總結問題,提升安全事件處理能力。
其中,安全監視主要是指內網安全監視平臺,主要實現對安全事件的采集、分析及告警;問題跟蹤是對安全事件進行管理,使安全事件管理的質量評定與工作績效相結合,提高維護人員的主動性;權限管理對事件處理的人員、權限、時限、內容及步驟進行嚴格控制,加強在操作過程中的安全防護,減少因非法操作和誤操作而帶來的系統性風險;執行管控是對解決問題過程進行全程監督和審計,形成事中、事后的審查機制,從而提高運維人員的自律性;知識管理是建立內網安全事件的專家知識庫,實現知識的統一搜集、整理、管理[8,9]。
2.3 閉環管控流程
電力監控系統內網安全監視閉環管控系統將安全事件的發現、分析、處理、控制、提升形成管理閉環,整個過程可分為7個階段,分別是“事件監視與告警”、“事件分析與診斷”、“事件處理”、“變更管理”、“配置管控”、“恢復與確認”、“總結與改進”[10,11]。如圖4所示。
第1階段-事件監視與報警。
值班人員通過內網安全監視應用對電力監控系統安全情況進行監視,及時發現安全事件,并通知相關人員進行處理。值班人員采用二種方式(即內網安全監視的事件告警和值班電話)集中發現和記錄內網安全事件,通過創建安全事件工單對事件進行集中流程化處理。
閉環管控系統會對收集上來的事件之間相關性采用過濾、合并、關聯的技術手段分析出有效的事件處理切入點,將多個相關事件合并生成一個流程工單處理解決,簡化值班人員處理安全事件流程,提高其工作效率。在生成事件工單后,值班人員將工單轉給相關系統管理員,由系統管理員對事件信息進行核實后進行進一步處理。
第2階段-事件分析與診斷。
系統管理員在分析事件的過程中可以與相關的運維人員一起協同分析,并由系統管理員根據事件緊急度、優先級、及影響范圍再次確定事件級別合理性。系統管理員可以使用內網安全監視閉環管控提供的事件分析工具,通過過濾、合并、匯總、分析等規則,采用圖形化分析手段,直觀解析事件關系,幫助運維人員理清思路、找到解決方法。在事件原因和解決思路明確后,系統管理員將事件工單指派給相應的運維人員處理。(如圖4)
第3階段-事件處理。
在運維人員明確解決方案后,將開展事件的處理工作。據事件具體情況進一步由二線、三線運維人員介入處理。
運維人員處理過程中,可以借助知識庫管理系統直接提供類似關聯事件處理經驗以供參考。如果處理事件不涉及到資產配置的變更,則直接處理并將處理完的結果提交值班人員確認;如果處理事件涉及到資產配置的變更時,則要提出變更申請,執行相關變更流程,完成變更后再提交處理結果由值班人員確認。
第4階段-變更管理。
在事件處理的過程中,如果涉及到資產配置的變更,則需要啟動變更管理流程。由運維人員提出變更方案,方案中包括涉及資產、變更內容、風險評估、應急預案、回退措施等子項,變更方案提交給系統管理員審批,經審批后指派相關運維人員進行處理,如果變更方案不通過則重新由運維人員提交新的變更方案。在系統管理員審核通過后,系統將自動關聯管控機策略,開啟相關資源的“操作通道”,授權相關運維人員完成配置變更操作。
第5階段-配置變更操作管控。
運維人員在獲得資產配置變更操作授權之后,將使用運維專用機對相關資產進行配置修改,同時系統管理員可以實時監視運維人員操作行為,并對不合規操作強制阻斷。在強制阻斷后,運維人員需要重新考慮變更方案,重新開始新的變更流程。對于運維人員操作全過程采用內容錄像方式保存,提高操作全程記錄審計能力。
運維專用機對資源帳號密a采用統一記錄與管理,運維人員無法獲取系統資源帳號及密碼,只有“系統管理員”根據具體事件工單涉及的相關設備進行“動態式”授權,后臺自動建立訪問控制策略后,運維人員才能操作和修改資源配置。這樣能夠有效的防止密碼外泄,加強相關人員操作訪問的權限、時限控制,減少因非法操作和誤操作而帶來的系統性風險。
第6階段-恢復與確認。
在運維人員事件處理完畢,系統恢復正常工作后,運維人員將事件工單提交給發現事件的值班人員,由值班人員對事件處理結果進行確認,采用檢查資源狀態、電話回訪等方式確認事件是否解決。同時,值班人員將進行事件處理的滿意度調查,由值班人員填寫事件處理滿意度調查結果和評價。
第7階段-總結與改進。
在事件恢復后,運維人員對處理內容、方法進行總結,系統自動將處理經驗生成事件處理報告并提交系統管理員,系統管理員對事件處理報告進行審核,對滿足經典經驗的知識進行標注,將經驗納入知識庫中。通過對搜集、整理的內網安全事件處理經驗進行專家評審,提高知識專業性,形成專家知識庫。
3 應用效果
本文提出的閉環管理模式進一步規范了事件管理的程序和標準,豐富和發展了適用于電力監控系統內網安全事件的管理方法,使安全管理工作邁上規范化、程序化的運行軌道。湖北省電力調控中心通過內網安全監視閉環管控系統的建設,使系統管理員可以跟蹤事件處理流程,能夠及時了解事件處理進度;另外,每周定期查看事件處理操作記錄,也可以審計處理操作的合規性。同時,通過建立健全良性的激勵約束機制,發揮系統管理人員在工作中的主觀能動性,促進了執行效果和執行效率的同步提升。以內網安全監視的閉環管控為例,2015年安全事件數量與去年相比下降較為明顯,湖北電網每日安全事件數量基本控制在10個以內。安全事件曲線,如圖5所示。
另外,系統管理員生成運維人員績效報告和事件全程審計報告。績效報告對運維人員績效進行統計,包括對事件請求量、事件解決量、事件解決率、事件平均解決時間、事件滿意度平均值、事件處理及時率等指標,通過統計分析對安全狀態、安全工作進行全面的評估分析,為進一步提高業務能力,進一步改進監視策略提供依據。事件全程審計報告記錄事件整個處理過程,對從事件發生、到流程處理、到操作過程、到解決完畢進行全程監督和審計,提高對問題在事中、事后的掌控力度。
4 結語
通過理論和實踐證明,電力監控系統內網安全監視閉環管控系統有助于電力監控系統安全防護體系由邊界防護向縱深防御發展,解決了電網調度系統對關鍵安全設備、服務器的日志集中采集和統一管理問題,實現了對安全設備的實時告警與運行狀態監測,為電網調度系統提供全面的安全基礎支撐,能夠及時掌握電力監控系統存在的安全隱患,采取有效措施阻止惡意攻擊行為,保障電網的內網運行安全。
參考文獻:
[1]宋華明,韓玉啟.PDCA模式下的一體化管理體系.南京理工大學[J],2002(2):10-12.
[2]陳建亞.現代通信網監控與管理[M].北京郵電大學出版社,2000.
[3]McFeeley Bob. IDEAL: A User's Guide for Software Process Improvement[M] Software Engineering Institute, CMU/SEI-96-HB-001, February 1996.
[4]胡炎,董名垂,n英鐸.電力工業信息安全的思考[J].電力系統自動化,2002(7):1-4.
[5]高雷,肖政,韋衛.安全關聯分析相關技術的研究.計算機應用,2002(7):1526-1528.
[6]劉雪飛,馬恒太,張秉權.NIDS報警信息關聯分析進展研究.計算機科學,2004,3(12):61-64.
[7]李亞琴.網絡安全事件關聯分析方法的研究與實現[D].華中科技大學,2006.
[8]王保義,張少敏.電力企業信息網絡系統的綜合安全策略[J].華北電力技術, 2003(4):19-22.
[9]劉康平,李增智.網絡告警序列中的頻繁情景規則挖掘算法閉[J].小型微型計算機系統,2003,24(5):891-894.
第8篇:安全審計總結范文
關鍵詞:統一管理;即時可用;受控保護;權限管理;信息加密
1行業和企業現狀
煙草行業是一個分布式機構,在實際辦公環境中,存在各種各樣的電子文檔交互、分享、協作、審核等活動,其中存在較大的安全風險,電子文檔泄漏的途徑非常多,如移動介質拷貝復制、無線傳輸、互聯網軟件傳輸共享等,任何一個環節都很輕易的造成電子文檔的泄漏,企業的信息安全保密主要依靠員工的職業素養和安全意識,但是不能保證每名員工都具有高度自覺性,如果有人故意想竊取或傳播企業信息,途徑很多,防不勝防。因此,根據國家《信息安全等級保護管理辦法》和行業信息安全“五防”要求,我們在電子文檔“防泄漏”和“防篡改”管理方面存在緊迫需求。當前電子文檔管理中存在具體問題如下:(1)企業電子文檔分散。電子文檔分散于員工辦公電腦、服務器、移動存儲介質、郵箱、互聯網工具等。如果存放資料的設備發生損壞、丟失,互聯網企業停止運營,資料在互聯網上未加密傳輸存儲,都會造成電子文檔即丟失、泄露、篡改;(2)安全管控薄弱。沒有統一權限管理標準,存在越權獲取電子文檔的現象,無法審計追蹤,造成權限分配混亂和盲區,加劇電子文檔安全威脅;(3)協作效率低下。完成一項任務,常常需要多人協作完成,而在此協作過程中,多人共用電子文檔又會帶來電子文檔的修改同步、變更記錄、文件增刪不統一的問題。同時,受網絡和地域限制,移動辦公、遠程或家庭辦公需求難以滿足;(4)知識分享不暢。自行保管電子文檔,不知道要分享給誰、如何分享,工作經驗無法傳承。
2國內外現狀
經研究顯示,電子文檔及相關信息的安全方面主要采用以下措施:(1)采用安全掃描工具加防火墻技術模式構建網絡安全屏障。防火墻對在其管理范圍之內的網絡通信進行掃描,能夠過濾部分不安全因素。(2)設置層級權限訪問控制機制。按照職能分配權限,當用戶需要超權限訪問相應文檔時,需對身份、操作、訪問目標進行合法驗證。(3)建立信息加密解密機制。電子文檔在存儲和傳輸環節進行加密,保證敏感信息被非法截取時,非法用戶沒有密鑰難以破譯。對文檔信息采用消息摘要算法進行加密,使用私鑰加密摘要,保證電子文檔信息完整性及不可否認性。
3主要研究內容
針對信息安全的大環境和煙草行業的實際情況,以信息化安全控制技術和云計算技術為基礎,研究企業電子文檔安全內控解決方案,主要包含以下內容:
3.1電子文檔集中統一管理
企業電子文檔作為企業或機構信息資產進行管理,杜絕個人管理的各種不規范性。員工經辦或保存的重要文件要集中統一管理,防止由于人員離職轉崗、辦公電腦損壞及更換、增刪查改、病毒木馬破壞等造成文件損壞或丟失。如財務報表、人事勞資資料、營銷報表、零售戶資料、專賣案卷、各類公文、分析報告、“三項工作”投資計劃、卷煙購進文件及合同、內部會議紀要等。
3.2電子文檔系統即時可用性
當需要讀取電子文檔時,調取出來的信息是信息生成時的狀態,同時要采取存儲技術保證信息在儲存過程中不因存儲設備故障造成數據丟失,不因病毒傳播造成數據損壞。而且在訪問性能方面要達到企業級,消除大量人員訪問及文檔生成時造成的延遲現象。
3.3建立嚴密的受控保護機制
電子文檔作為企業信息資產,在企業及機構內部使用過程中的安全防泄露需要達到"看得見,拿不走;拿得走,用不了"目標,這個方面主要包括:對從內網拷貝到外網使用的文件進行內容過濾,企業能夠根據工作實際設置敏感關鍵字,系統根據關鍵字控制哪些文件可以從內網拷貝到外網使用,哪些文件不能從內網拷貝到外網使用;內部人員將受控文件通過U盤、網絡通信工具、網絡存儲等方式傳遞給沒有讀取權限的其他人員時,其他人員無法打開文件或者文件內容異常顯示,以確保信息不被泄露;文件所有人設置電子文檔的操作權限和流通范圍,決定哪些人可以對此文件進行什么操作,此設置對系統管理員同樣有效。
3.4建立精準訪問權限分級管理機制
首先要對使用者進行權限分類,通過預先設置權限組、部門權限等,對使用者權限進行全面精確控制,同時簡化普通使用者有關權限使用的操作。其次對電子文件的操作要有明確的分類,如查看、編輯、保存、刪除等。確保電子文檔訪問安全,預防惡意操作和誤操作所造成的電子文檔數據丟失損失。
3.5電子文檔做明確的分類管理
依照企業組織結構,應分為“用戶電子文檔”、“部門資料”和“企業庫”三類基本的電子文檔。“用戶電子文檔”專用于存放用戶個人的辦公電子文檔,由用戶本人自主管理,自由創建、修改、刪除文件,并可通過權限將個人電子文檔權限分配給其他用戶。“部門電子文檔”專用于存放部門內部的辦公電子文檔,由部門負責人進行統一管理。部門成員可在部門文件夾中電子文檔,實現部門內的文件共享。“企業庫”用于存放企業內部定型的結果性電子文檔,管理企業中固化的檔案資料。
4技術關鍵
4.1建立企業云存儲架構
建立企業私有的文檔云,電子文檔數據統一存儲在文檔云上。通過集中存儲方式將分散電子文檔聚集于服務器端,實現對企業電子文檔進行集中存儲和統一管理,預防因電子文檔分散帶來的電子文檔丟失、誤刪除等安全事故。通過集群、日志審計和策略化權限、版本、回收站等技術,確保系統,訪問和內容三方面安全,預防設備宕機、誤操作、權限漏洞等帶來的電子文檔安全隱患。
4.2研究電子文檔安全內控管理軟件
在企業私有文檔云的基礎上開發電子文檔安全內控管理軟件。在設計上致力于增強企業統一管理特性,強化部門安全無縫協作,簡化分享操作流程。映射企業組織架構,按照部門和崗位職責,制定不同的分級權限角色,賦予管理者不同的系統權限,平衡并制約管理員權限,保障安全的系統管理和訪問,通過CA身份認證系統相結合,將用戶真實身份與系統帳號進行統一綁定管理,作為安全審計的基礎信息,提供多種分享方式和網絡訪問方式,方便用戶快速獲得所需電子文檔,提高企業內部分享協作效率。支持本地硬盤式操作,保留用戶操作習慣,簡易的操作,以培訓零成本,在企業內部可快速推廣使用。
4.3支持在復雜的網絡環境中使用的能力
企業內網在線訪問是必須具備的基礎功能,同時還應具備離線訪問和遠程訪問功能。無網絡環境下,用戶運行客戶端程序,通過客戶端身份驗證,即可以離線形式登錄客戶端,并在權限控制范圍內,對本地緩存的電子文檔進行新建、修改、刪除等管理操作。當用戶下次在線登錄客戶端時,離線狀態下更新的電子文檔數據將同步到服務器端,確保文件版本一致。當用戶不在辦公區域的時候,可利用pc電腦或者移動設備,連接互聯網,通過身份認證以加密方式訪問企業私有云,查閱下載資料。
4.4用戶身份管理與認證授權技術
需要提供密碼認證、USBkey認證、IP地址過濾等認證方式以保證用戶訪問不同密級文檔,并據此進行相應的訪問授權。身份管理與認證授權集中在訪問控制、身份管理、統一授權、安全審計四個方面,實現統一用戶管理和組織機構信息、統一認證和授權服務、統一資源管理服務、基于角色的訪問控制模型(RBAC)、統一的安全審計、統一的接口規范。
4.5電子文檔透明加密解密
當用戶在系統內部打開或編輯內部文件時,系統在后臺對電子文檔加密解密屬性進行判斷,對未加密的文件進行加密,對已加密的文件自動解密。用戶退出內部系統后,由于應用程序無法得到自動解密的服務而無法打開指定文件,從而起到保護文件的目的[3]。加密解密操作在系統底層完成,用戶無需進行任何操作及等待,對用戶操作文檔沒有任何影響。
4.6電子文檔的使用行為審計機制
實時監測文檔相關的各種操作,判斷文檔開啟進程是否有信息攔截行為,同時設計內容分析模塊,能夠主動分析和記錄文檔性及等級,對可能泄密操作執行相應的阻攔策略。對用戶在企業外部環境中處理信息行為起到提醒和警示作用,審計功能能及時發現信息泄密的相關人員、環節等重要隱患,提高信息化部門的管理水平,是加強文件處理監管工作的非常有效的工具[4]。
5總結
本文主要討論了企業內部電子文檔內部管理存在的主要問題,通過對各個問題的分析,提出電子文檔的安全管理系統體系架構,該架構主要集成了電子文檔的讀寫、存儲、分發、傳輸、加密解密、銷毀各環節的防泄密措施。在硬件控制方面,依據該系統構建安全域,以文檔集中存儲文件服務器為中心,構建信息終端系統的準入控制機制。在軟件控制方面,采取了集中存儲和嚴格的終端防泄密管控措施,對敏感信息文檔訪問時采取了利用權限分級管理、加密解密技術、用戶身份認證技術等多種技術來保證敏感信息的泄露[4]。敏感信息防泄密管理不僅是煙草企業的關鍵問題,也是涉及到國家安全或其他企業生存的關鍵問題。
參考文獻:
[1]查振興,王振,李強.電子文檔安全管理的研究及應用[J].電子世界,2013.
[2]馬瑗.電子文件與檔案管理工作的關系[J].民營科技,2014.
[3]韓詩源,尹浩然,張藝穎.基于WindowsNT系統內核的透明加密系統原理[J].無線互聯科技,2012.
第9篇:安全審計總結范文
關鍵詞:信息系統 審計 內容 方法
信息系統審計是一種新的審計類型。信息系統成為被審單位內部管理和控制的重要手段和工具。信息系統的安全性、可靠性已經直接影響被審計單位的財務信息質量。
審計機關實施審計的信息很多來源于被審計單位的信息系統,這些信息系統是否安全、可靠和有效是審計工作順利開展的重要前提。對信息系統審計已成為當今審計發展的大勢所趨,越來越受到審計機關的重視。
一、 信息系統審計的概念
所謂信息系統審計,是指通過對被審單位信息系統的組成部分及其規劃、研發、實施、運行、維護等過程進行審查,就被審計單位的信息系統的安全、可靠、有效和效率性以及信息系統能否有效地使用組織資源并幫助實現組織目標發表意見。信息系統審計的目標是對被審單位信息系統的安全、可靠、有效和效率以及能否有效地使用組織資源、實現組織目標等發表審計意見并提出改進建議。信息系統審計是非常重要的它是審計機關維護國家信息安全的重要手段;是新形勢下防范審計風險的重要手段;是查處打擊新型犯罪手段的重要手段。
二、信息系統審計的內容
信息系統審計的內容是由信息系統審計的對象所決定的,信息系統的審計對象是被審計單位的計算機信息系統及其相關內部控制措施,并覆蓋信息系統生命周期的各個階段。因此信息系統審計的內容主要由信息系統內部控制審計、信息系統組成部分
審計以及信息系統生命周期審計所組成。
㈠信息系統內部控制審計
根據內部控制在信息系統中的作用和范圍不同把信息系統內部控制分為一般控制和應用控制。一般控制是適用于所有應用系統為應用系統提供環境上的保證,其目的在于保證所有的信息處理的準確性、完整性和可靠性。應用控制與具體的應用系統有關,其目的在于確保數據處理完整正確。
㈡信息系統組成部分的審計
信息系統由人、計算機硬件、系統軟件、應用軟件所組成。由于硬件、系統軟件的可靠程度較高,因此這部分審計以應用軟件審計為主要內容。應用程序是信息系統的核心,其對經濟業務的處理是否正確,直接關系到信息系統的可靠性。
㈢信息系統生命周期的審計
信息系統的生命周期包括信息系統的規劃、開發、設計、編碼、測試等全過程,直接關系著信息系統的質量,因此應對信息系統的生命周期過程及其文檔進行審計。
三、信息系統審計的主要技術方法
信息系統審計過程分為準備階段、實施階段和終結階段,其中準備階段和終結階段的技術方法與一般審計無很大區別。審計
實施階段的信息系統審計技術方法分為了解、描述和測試的方法。
㈠信息系統了解的方法
信息系統的調查了解方法在信息系統審計的各項內容中都能用到,包括:①詢問法。是指與被審計單位人員面對面交談,詢問有關情況以收集審計證據的方法。詢問前應收集相關的背景資料,確定合適的詢問對象,詢問過程中應做好記錄并要求被詢問對象簽字。詢問后應對談話的內容進行評價和總結。②檢查法。主要是檢查與信息系統有關的文檔,以了解信息系統的總體情況、控制情況以及開發設計情況等,為得出審計結論收集審計證據。檢查中應做好相應記錄并將檢查過程和結果記入工作底稿中。③觀察法。是審計人員對信息系統的物理環境、硬件設施和辦公場所,對信息系統的開發設計、構成和操作情況進行了解,對控制措施的實施進行實地查看的方法。觀察前應確定觀察對象
的位置和陪同人員,觀察過程中做好記錄并對觀察結果進行評價和總結。
㈡信息系統描述的方法
信息系統描述的方法包括文字描述法、表格描述法和圖形描述法,在使用過程中各種描述方法可以搭配使用。①文字描述法。是指對被審計單位的信息系統功能、結構、控制政策措施以及生命周期過程等在了解的基礎上,通過文字來進行描述的方法。②表格描述法。是審計人員運用標準的或自行設計的表格,對信息系統的有關情況進行描述的方法。③圖形描述法。是指審計人員對信息系統的組織結構、功能、生命周期以及業務處理流程等用圖形的方式來加以描述的方法。
㈢信息系統測試的方法
信息系統測試的方法是信息系統審計中獨有的技術方法,主要是一些計算機輔助方法,主要包括:①測試數據法。是指審計人員設計一套虛擬的業務數據,將其輸入到計算機中,觀察比較輸出是否與預期相符。如果相符,說明內部控制存在并符合既定要求或應用程序正確。②平行模擬法。是指審計人員開發一個與被審計單位信息系統或程序模塊功能完全相同的模擬系統,將被審計單位的真實數據放入模擬系統中運行,觀察其輸出是否與被審計單位信息系統相一致。③嵌入審計模塊法。是在被審計單位的信息系統中加入為審計而編寫的程序代碼。嵌入的模塊成為信息系統的組成部分,并可以在特定的時間間隔或是條件觸發時為審計人員提供有關數據和報告。④虛擬實體法。是對測試數據法的改良,一般是在信息系統中建立虛擬的實體,然后將虛擬實體的有關數據與真實的數據一起輸入信息系統進行處理,最后將虛擬實體的輸出結果與預期進行比較,確定信息系統的控制功能是否發生作用。⑤受控處理法。是指審計人員在對被審計單位的真實業務數據在處理之前先進行核實,核實之后在被審計單位的信息系統桑監督處理或親自處理,并將處理結果與預期結果進行比較分析,以判斷被審計單位的系統是否符合規定的要求。⑥受控再處理法。是將已經由被審計單位處理過的真實數據,在審計人員的監督下,或由審計人員親自在相同的信息系統或以前保存的程序副本上再處理一次,將二次處理的結果與以前處理的結果相比較,判斷當前的信息系統程序是否符合既定要求。⑦程序代碼檢查法。是通過檢查源程序代碼的內部運行邏輯來發現存在的問題,并對程序是否符合規章制度的規定、能否完成預定功能及其質量進行評判的方法。
參考文獻:
1、《信息系統審計內容與方法》執筆:莊明來 吳沁紅 李俊 中國時代經濟出版社
