机关安全警示教育(推荐8篇)
日前,广州石油根据油站设备设施、操作流程的安全问题,梳理出8大项安全检查项目,编制了《安全检查流程表》。每项安全检查流程都图文并茂展示标准规范,方便检查人员对照检查,查找存在问题,大大增加了安全检查的效果。
为了加大安全教育,广州石油将油站安全教育工作延伸到机关管理部门。他们一方面加大机关人员的安全意识教育力度,通过定期组织机关人员专题学习培训、开展安全规范作业展览、印制安全常识手册等方式,让安全红线意识入脑入心,提高机关人员的安全管理意识;另一方面实现安全检查全员化,除了坚持安全部门的日常检查、夜查和专业小组联合检查工作外,还将安全检查纳入机关管理人员的挂点帮扶工作中,通过填写《安全检查流程表》,查找安全隐患,及时落实整改。此外,公司实行安全责任与挂点人员挂钩,加大了管理人员安全检查的自觉性和主动性,群防群治,共同把好油站安全关口。
近年, 全国各省检察院机关进行了大量的安全建设投入, 总体上讲, 建设内容主要包括了安全组织和人员体系、安全管理体系、安全技术体系等三个方面。在安全组织和人员体系方面, 通常会建立决策、管理、执行三级组织架构, 并明确各层组织的职责分工和职能, 以及相应的岗位和人员配置要求。针对系统安全相关人员开展有针对性的安全知识、技能和意识培训。同时, 也会根据检察院系统的实际情况, 建立垂直和水平的沟通、协调机制。
在安全管理体系方面, 通常会有等级保护、分级保护的要求, 部分院试点根据ISO27001:2005的要求, 建立相应的安全管理总纲和策略要求, 明确在安全规划建设、软件开发安全、安全风险评估、安全运维维护、敏感信息防护等方面的安全要求, 并编制相应的规章制度、流程, 以及相应的标准规范。
在安全技术体系方面, 通常基于安全域的划分结果, 在域边界、内部部署相应的安全检测、防护、审计等措施, 如防火墙、IDS、IPS、anti-DDo S、Web防火墙等, 并建立综合安全管理平台, 以支撑单位的统一安全管理。同时对各种网络设备、主机进行安全配置和加固, 以减少安全弱点漏洞的存在。
这些安全建设是符合当时的历史条件的, 也取得了一定的成效。当然, 由于对模型的理解、网络与信息系统现状分析和安全建设目标认识的不足, 也出现了一些偏差。通过资料分析, 并综合考虑目前的安全建设现状, 在安全保障体系建设方面的不足主要表现为:
(1) 安全建设往往由相应的责任部门发起, 责任部门往往基于自己管理的网络与系统或区域进行安全建设, 形成了一个个的孤立“烟筒”, 缺乏协作, 对全程全网的安全保障构成了一些不利影响。
(2) 检察机关跟随市场或听从个别厂家的建议进行建设, 对自己的实际需求认识和考虑不足, 缺乏整体、长期的安全建设规划。
(3) 安全技术体系建设往往由办公部门牵头, 对当前及未来业务安全需求认识不充分、不细致, 安全战略与业务发展战略不一致。
(4) 安全建设多侧重于IT基础设施的安全, 业务服务、应用、数据和内容考虑较少, 对业务的安全保障和业务促进作用有限。
(5) 安全建设方案多是各自独立设计和制定的, 不能保证兼容性、互操作性以及与最终目标始终是一致的。
(6) 购买和部署了大量的设备, 但未能有效整合和利用。
(7) 业务部门与系统运维部门的安全需求沟通不充分, 对安全建设目标、内容理解有偏差, 或者具体执行时走样。
这些现象反映的深层次的根本问题是安全保障体系架构方法和设计的不足。这些不足主要是:缺乏有效的方法, 以全局性地把握业务安全需求, 并将其映射到具体的安全管控措施上;架构内容和框架存在一些缺失或薄弱之处, 且与机关单位实际情况匹配度较低, 未能在单位范围内达成广泛的一致;安全建设缺乏科学的规划, 没有一个符合实际情况的可操作的路线图;缺乏有效的测量手段, 以发现存在的不足, 为修补改进明确方向, 促动安全保障能力的不断提升。
2 信息安全建设与架构发展情况
进入信息时代, 作为支撑业务运营的信息系统迅猛发展。为了指导信息系统规划、建设, 出现了多种指导企业信息化架构的方法, 如Zachman、TOGAF、FEA-PMO等, 在这些架构方法中, 也初步涉及了信息安全方面的内容。随着网络与信息安全问题日益突出, 企业、政府、科研机构对信息安全日益重视, 开始在信息化架构中融入更多安全方面的内容。同时, 由于信息安全问题的复杂性、广泛性, 对信息安全建设提出了更高的要求, 一些独立的信息安全架构方法也逐渐进入了研究视野。
2.1 信息安全发展趋势
当前, 检察机关在信息安全建设方面主要呈现如下趋势:
(1) 信息安全建设从IT基础设施安全向业务应用安全、内容和数据安全转移;
(2) 从安全技术措施建设向安全管理、安全运营转移, 更追求技术与管理的协调和平衡;
(3) 从单一设备采购, 走向安全服务采购;
(4) 开展构建信息安全管理平台, 并注重提升安全运维、安全保障能力;
(5) 信息安全管理与单位现有内控体系、审计体系趋向融合。
应这种趋势, 各大咨询公司、厂商和独立的研究组织纷纷提出了符合当前安全趋势和要求, 满足大型机关单位业务和信息化发展需要的信息安全体系架构模型和方法, 着力建立全面、有效的机关单位信息安全体系架构。
2.2 典型的信息安全体系架构
目前, 在信息安全体系架构研究方面, 比较有代表性的有Gartner、IBM、德勤等公司, 以及OSA、SABSA、TOGAF等开放组织等。这里我们重点介绍Gartner、SABSA的安全体系架构方法和框架。
2.2.1 Gartner企业信息安全体系架构
Gartner将企业信息安全体系架构视为企业进行信息安全管理的指南, 用于在企业内部实现统一、协调的信息安全管理。Gartner基于其企业信息安全体系架构实践和对信息安全管理的深入理解, 提出了企业信息安全体系架构 (EISA) 模型。
Gartner认为, 要建立EISA, 必须给组织提供某种机制, 使得组织能够充分利用通用的原则和最佳实践, 将信息安全的业务需求转换成可操作的信息安全和风险管理解决方案。
Gartner建议EISA架构应包括业务、信息和技术三个视角以及概念层、逻辑层和实现层三个层面。其中业务视角包括信息安全组织和流程, 信息视角包括执行信息安全职能所需要的各类信息, 技术视角包括基础设施的安全架构、安全服务架构和应用安全架构, 定义了实现安全需求的软硬件配置。概念层描述相对抽象的意图、目标、特性和模型, 在相当长的时期内保持稳定;逻辑层详细描述在对环境、资源等进行各种可能的选择分析和权衡基础上确定的实现概念层目标的各种思想、方法、技术、设计;实现层描述实现概念层目标和逻辑层设计的具体模型、设备。
2.2.2 SABSA的安全架构
SABSA是一个方法论, 它通过开发以风险作为驱动的企业信息安全、企业信息保证结构和交付安全架构解决方案, 以支持企业的关键商务。它是一个开放式的标准, 容纳了大量的框架、模型、方法和步骤。SABSA方法论的核心是SABSA模型, 是推动SABSA开发的一种自上而下的过程方法。这个过程从一开始就分析了所有相关的业务需求, 达到了管理和测量链的可追溯性, 并通过SABSA生命周期里的“战略与规划”、“设计”、“持续管理和措施”几个方面来确保企业内部所有业务保障能力、绩效得到改进和提升。而框架工具是通过实践经验开发的, 其中包含了SABSA矩阵及SABSA商务属性简要表, 以此来进一步支持整个SABSA过程方法。
2.3 安全架构与现有标准、规范的关系
信息安全架构明确了信息安全管理组件及其相互之间的关系。现有的标准规范, 如COBIT、ITIL、ISO27000、COSO及风险管理标准等, 则侧重于阐述某一个方面的安全控制或管理活动。其关系主要表现为:
信息安全架构对COBIT、ITIL等规范的应用提供了方向、适用范围和指导, 并促进了这些规范在具体企业应用中的有机融合, 及聚合成一个无缝的整体。
信息安全架构使用了这些规范中明确的安全组件, 如安全管理和流程控制措施、技术手段等。
信息安全架构可以与这些规范进行无缝集成。
3 信息安全体系架构设计方法和框架
中国企业、政府机关在构建自己的信息安全体系架构时, 在借鉴国际先进经验的基础上, 须基于业务职能、业务运作流程、管理制度、网络与信息系统情况, 根据网络与信息系统利益相关者的期望和需求, 采用科学、合理的设计方法, 构建出满足业务需求的安全体系架构, 做好安全组件的选择和部署, 持续提供安全保障能力。
3.1 信息安全体系架构的三个视角
信息安全体系的建立是为了保障业务顺畅运作。作为支持或承载业务运作的信息系统必须能够驱动和促进业务的发展, 并降低和控制信息安全风险, 这体现为一系列的业务安全支撑能力, 体现在信息资产管理能力、安全预警能力、安全监控与分析能力、智能化安全防护能力、安全应急响应能力、业务连续性与灾难恢复能力等。这种能力依赖管理 (组织、流程) 、技术两个方面以及融入在其中的安全控制措施。因此, 在综合考虑信息安全体系架构时, 可从管理、技术和控制三个视角来综合考虑。
(1) 管理视角, 关注信息安全的安全管理架构。信息安全
管理架构描述组织信息安全工作如何组织、领导、开展, 以及与其它业务管理工作如何沟通、协作, 如何测量、控制和改进安全管理绩效, 以满足来自组织内外的安全管理要求。如同组织内的其它业务管理架构一样, 信息安全管理架构应包括组织、流程、管理制度三个要素。
(2) 技术视角, 关注组织的信息安全技术架构。信息安全技术架构从技术角度描述了组织信息、应用系统和IT基础设施的安全保障措施, 包括数据安全架构、应用安全架构、IT技术设施安全架构以及信息安全基础服务架构等。
(3) 控制视角, 关注组织的信息安全控制架构。信息安全控制架构全面描述了组织信息安全对业务运作流程的要求, 业务运作对信息安全技术的要求, 以及网络与信息系统所采用的安全控制方法、措施。安全控制包括了管理类、流程类、技术类型, 可采用独立方式或内嵌式方式使用。
管理和技术这两个方面是安全控制措施落地的基础和锚点。安全控制措施的选择、组织是依赖于管理、技术方面的安全需求, 并受到环境、资源、技术等条件的约束。因此在设计时应首先设计安全管理、技术体系架构。
3.2 信息安全体系架构的层次模型
组织的信息安全架构必须匹配和满足组织广泛的业务要求, 并与组织的业务发展战略相一致。因此, 组织信息安全体系架构设计必须能够指导组织将业务安全需求转化为可操作、可落地、有机集成的信息安全保障实践, 必须反映不同层级的业务、规划、设计、实施和运维人员的关注, 因此信息安全架构的设计可从需求层、概念层、逻辑层、实现层、服务管理五个层次来考虑组织的信息安全体系架构。
(1) 需求层, 定义了业务对安全的要求。这些期望和要求明确了组织对信息安全的业务需求 (使能业务、业务驱动、业务连续性、合规遵循等) 和保护的信息资产。业务需求为业务使用、运营人员所关注, 阐明了在业务层面的信息安全保障要求。信息资产包括数据资产、IT资产和业务能力资产, 其中业务能力资产是最重要的资产。在进行安全体系架构设计时, 对这些业务需求的细分、理解和把握是成功的基础, 并明确与这些业务需求相关的信息资产是成功的关键。
(2) 概念层, 定义了信息安全体系架构的概念模型。该模型从宏观的、全局的高度明确了体系架构需要保护的信息资产属性、目标和基本原则。是高度抽象的模型, 在较长的时间内保持稳定。概念模型为架构者、规划者所关心, 阐述了实现组织信息安全战略目标所需要的技术、管理策略和流程框架。通过概念层设计, 可以确保业务安全需求得到满足, 指导下层安全组件的选择、组织, 并整合成为一个有机的安全保障系统。
(3) 逻辑层, 定义了信息安全体系架构的逻辑模型。逻辑模型由功能逻辑元素组成, 描述了如何通过功能逻辑元素及元素间的控制与合作关系来实现概念模型要求的目标和特征, 与具体的资源和产品无关。逻辑模型为设计者所关心, 是在环境、资源、各种可能选择分析和权衡基础上确定的实现概念层目标的各种思想、方法、技术和设计。逻辑层反映了概念层安全架构的战略, 并将其安全要求抽象为一系列的安全服务, 如实体认证、机密性保护、完整性保护、不可抵赖性等。
(4) 实现层, 定义了信息安全体系架构的实施模型。实施模型由具体的物理实现元素组成, 描述用什么资源和产品来实现逻辑设计方案, 解决部署和配置等方面问题。实施模型涉及具体的资源、产品, 为构建者所关心, 是概念层目标和逻辑层设计的具体实现。
(5) 服务管理层, 定义了信息安全体系架构的安全运维管理模型。运维管理模型主要由一系列的服务和支持设施构成, 描述了系统的操作和服务管理的设计与交付。该模型主要参考ITIL服务管理架构, 解决系统建成后的维护、检测和改进工作。该层为运维和安全管理人员所关注, 是有效提供安全服务的关键。另外, 本层的内容与需求层、概念层、逻辑层、实现层都有关联, 因此在进行上面各层设计时都必须考虑日常运营和管理问题。
这几层之间的主要关系是:需求层为概念层、逻辑层和实现层设计提供的输入;对于概念层、逻辑层和实现层, 其上层模型指导下层模型, 下层模型是上层模型的细化和实现;服务管理层定义了系统建成后的服务、维护管理流程, 并与其他几层密切相关。
3.3 信息安全体系架构设计方法和流程
3.3.1 基于安全域的安全设计方法
在实际的信息安全体系架构设计中, 既可以针对一个整个检察系统、单个业务条线, 也可以针对特定的网络与信息系统, 适用范围差别较大。基于安全域划分的安全设计方法可以屏蔽这些差别, 并应用安全体系架构设计的五个层次、三个视角, 识别出熟悉的安全设计模式, 指导控制措施的选择、组织和应用。
安全域是一个虚拟化的结构, 其具有相似的系列安全需求、策略和安全措施。在实际应用中, 应保证包含IT要素的安全区域有相对于其他区域的明确的边界, 同时, 选择的安全控制措施达到风险管理要求, 高级别安全区域的安全保障能力不因为与其他区域的互访而降低。
安全域也可以指导我们逐级细化需求, 例如在组织维度, 可选择跨组织、组织、业务单元、产品线、部门等不同的粒度。另外, 也可从战略、战术、运作生命周期维度进行不同层次的域划分。
3.3.2 设计流程
信息安全体系架构的设计应首先明确组织的业务使命、安全战略、原则和策略, 进而设计管理和技术体系, 明确安全控制措施。同时, 在设计时应关注安全服务管理要求, 把安全保障能力放在首位。
在实际设计时, 可以根据安全层次模型, 采用域设计方法, 进行逐级、细化设计。设计流程如图所示。
通过信息安全体系架构设计流程, 可以确保安全需求得到有效落实。同时, 也可以反向评估安全控制措施与安全需求的对应情况, 并评估其安全保障绩效。
3.4 信息安全体系架构框架
组织信息安全体系架构提供了一种将业务对信息安全的需求转换成可操作的信息安全和风险管理解决方案的机制。我们根据上述三个视角、五个层次的设计理念, 通过架构设计流程, 就可以构建出组织信息安全体系架构框架。如图所示。
信息安全体系架构框架是组织信息安全建设和运作的蓝图, 是组织构建信息安全保障体系的核心内容。
4 信息安全体系架构的应用
4.1 信息安全体系建设规划
信息安全体系架构可以给出组织的安全建设蓝图, 并保证其与组织的业务发展战略保持一致。因此, 组织可基于安全体系架构, 结合组织信息安全体系建设现状, 通过差距分析, 明确改进方向和目标, 制定中长期安全战略规划。如图所示。
信息安全体系架构设计是与组织的业务发展战略、信息化发展战略相一致的, 因此可以与组织的战略规划、信息化规划有机结合。
4.2 信息安全项目设计
信息安全战略细化设计就是信息安全项目设计。基于信息安全体系建设规划, 可以明确安全建设路线图, 通过识别各种约束管理和要求, 进一步进行项目规划设计。
(1) 项目设计思路与原则
项目设计的基本思路是将改进措施按一定的原则归类组合成可实施的项目。为了确保项目的可实施性, 在设计项目时应遵循范围清晰、同类合并和依赖简化等原则。
(2) 信息安全项目设计
在进行项目设计时, 需要考虑到改进措施覆盖的范围、时间跨度、实施条件的成熟度等因素, 遵循全面覆盖、相对独立和远近结合等原则。项目群实施蓝图设计方法是基于依赖性关系与优先级分析的方法, 通过分析项目间的依赖关系与各项目的优先级顺序确定最终的项目群实施蓝图, 如图所示。
根据项目间的输出输入关系与项目实施的前提条件确定项目间的依赖关系, 根据项目实施的紧迫性与重要性确定项目实施优先级顺序。
结论
信息安全体系架构设计是一个思路和方法, 可以避免和解决当前信息安全建设中存在的部分困惑和问题。组织信息安全体系设计应与组织的业务和信息化建设协调发展, 与组织自身的战略保持一致, 基于对组织自身安全需求的分析, 通过层次化的逐步求精的方法, 建立切实可行、有效的检察机关安全保障体系框架。同时, 信息安全体系是一个开放的体系, 可以与组织现有的流程、制度和信息化架构有机融合。检察机关信息安全体系应该具有持续改进能力, 能够随着业务和信息技术的发展不断自我完善。
参考文献
[1]http://www.gartner.com/Display Document?id=488195
[2]http://www.open security architecture.org/cms/en/foundations
[3]http://www.sabsa.org/white paper request.aspx?pub=Enterprise Security Architecture
[4]Control Objectives for Information and related Technology (COBIT) , Version 4.0, IT Governance Institute, 2005.
[5]http://www.itil-officialsite.com/
[6]ISO/IEC 27005:2011:Information Technology–Security Techniques–Information Security Risk Management.
关键词:检察机关;信息网络安全;完善措施
伴随着检察机关科技强检的逐步推进,计算机网络技术在检察工作中的应用日趋普及极大的提高了检察事务的工作效率,但其安全性和互联性问题也更加突出。因此如何在检察信息化发展大趋势下防范可能存在的安全隐患,保障网络信息的安全性、可控性、完整性、可用性,将是一个严峻的问题。
一、检察机关信息系统的现状与存在问题
检察机关的信息化建设从2000年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。随着“科技强检”进程的逐步深入,在遇到突发事件时,往往容易造成网络系统的内部混乱,我们所要承受的威胁往往是毁灭性的。
(一)检察信息网络建设的现状
按照高检院“213”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一”也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。
(二)检察信息系统的应用状况与面临的问题
检察信息系统是检察业务工作同以计算机技术为核心的信息技术相结合的产物。目前,检察机关已不同程度地将计算机作为办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。
二、构建网络信息化平台,全面实现检察业务工作规范化
检察机关信息化网络平台的构建是时代的需要。肩负着保证国家法律的统一和正确实施、维护社会公正的历史使命和崇高责任,现代检察工作对专业化和规范化的要求越来越高,为适应这种要求,检察机关有必要运用现代科技手段更进一步促进检察业务网络信息化平台的建设与利用,以适应新的经济发展需要和国家全面推进经济法制建设的需要。在检察工作中,利用信息技术手段,运用科学管理方式,发挥网络潜力和资源共享优势,通过信息化应用,实现网上流程化办案、网上监督和指挥,加快加案节奏。实现在网络信息平台上处理大量的检察业务、检察政务、检察事务,提升检察工作业务水平与管理水平,全方位地履行检察机关的各项职能。
检察机关网络信息化平台是将计算机技术为核心的网络通信、数据库管理以及多媒体技术运用于各项检察工作中去,提高办案水平和工作效率,逐步实现办案现代化和办公自动化。通过检察业务网络信息化管理,可以有效实现上下级之间的工作监督和指导,促进检察工作在适用法律、处理结果等方面的一致性。在每个环节都要最大限度地利用电子技术,保证检察业务准确性。全体检察人员要不断强化科技意识,重视依靠科技进步提高工作质量和效率,在各个业务环节积极探索和实践,增强对检察科技的有效需求,促进检察科技工作的发展。通过各种方式最大限度地利用社会信息资源,同时,也要积极促进检察科技资源与社会的共享,加强执法监督,维护执法公平、公正。
三、加强基层检察机关信息网络保密工作的几点建议
(一)加强人员管理,强化保密意识教育
领导务必高度重视对有关保密法规的学习和理解,要熟知检察机关信息化建设中安全保密的有关规定,牢固树立“保密无小事”的思想意识,切实加强对信息化建设中保密工作的组织领导,通过形式多样的教育方式强化全体干警的保密意识,尤其对网络技术人员进行经常性的保密知识教育.强化保密意识,增强正确认识和处理保密与办案、检务公开之间关系的能力。
(二)加强行政管理,建立安全防范机制
首先坚持技术层面的防范和行政管理并重的原则,根据《计算机信息系统安全与保密管理规定》,结合检察工作的特点,制定符合实际,操作性强的规章制度,以制度管好网络。要禁止无关人员随便进出机房,建立健全出入工作间制度、计算机使用制度、启用信息源的口令、用户标识管理制度、信息介质管理、保密机和密钥管理等制度。二要在执行制度上下功夫。严格按照网络安全保密工作责任制的要求,采取积极有效措施,狠抓规章制度落实,对违反规定的行为,坚决追查处理。切实做到用制度规范行为,按职责实施管理。形成制度化、正规化的网络安全保密管理秩序。
(三)加大软硬件投入,抓好安全体系建设
硬件安全是信息安全的基石,硬件是计算机运行的基础和最根本的保证,没有硬件,也就没有信息系统;软件安全是信息安全的保证,软件是计算机应用的基础和核心,没有软件,信息系统将无法运行。根据当前的网络状况、硬件设备和系统应用等情况,当务之急是分层数据集中存储、备份和恢复,对涉密的重要数据和资料完全进行备份,并将备份所用的存储设备单独放置。有了完整的数据备份,在系统遭到攻击或出现故障时才能保证不泄密、不失密,才能迅速恢复系统,才能正常使用网络开展工作。
(四)引进专业技术人才,提高安全防范水平
重视相应的法律与信息技术复合型人才的培养。检察机关网络管理人员除了必须具备很强的专业素质,还应该一个专业网络管理人员的职责是随时对网络进行维护,防止病毒、黑客程序以及各种恶意的入侵,处理系统中出现的问题,保障局域网的正常运作及信息安全,工作量十分庞大。引进专业的技术人才,首要要保证质量,其次要保证数量。网络安全技术人员必须具备很强的专业素质,并能及时掌握信息安全的最新技术。真正落实“网络安全,以人为本”的原则,定期派他们到外地学习、交流,不断充实自己,提高自身的业务水平、保密观念和责任心,使网络管理人员熟练通过计算机网络对信息进行有效的安全管理,保证网络信息安全。
四、总结
信息网络的安全建设关系到了检察机关的未来走势,面对飞速发展的科学技术,只有不断地完善检察机关信息网络安全自主可控的规范化、科学化和高效化,才能使检察事业在新形势下更快的朝着目标迈进。
参考文献:
[1]季辉.通过信息安全服务实现信息系统风险可控[J].信息网络安全,2010.5
机关团体消防安全宣传培训要则
一、机关团体消防安全特点
机关团体一般是指,行使国家内政、外交、军事,带有官方、准官方性质的单位和机构。机关团体是消防法律法规的执行者,更是带头落实者。机关团体办公场所,多为综合性建筑,用电用火经常且量大,一旦发生火灾容易引发负面舆情,造成较大的恶劣社会影响。机关团体必须按照《机关、团体、企业、事业单位消防安全管理规定》(公安部61号令)要求,严格落实消防安全主体责任,全力做好本行业、本系统的消防工作,抓好消防安全知识宣讲、人员培训、疏散演练和防火安全检查工作,最大限度地预防各类火灾事故的发生。
二、机关团体消防安全宣传培训要求
机关团体的负责人既是本单位的消防安全责任人,也是本行业系统消防工作的管理人,必须落实法律规定的消防安全宣传教育和管理责任。机关团体应明确专门部门和人员,抓好本单位和本系统的消防安全工作。
1、机关团体应当按照国家有关规定,结合本单位的特点,建立健全各项消防安全制度和保障消防安全的操作规程,并公布执行。主要包括以下内容:消防安全教育、培训;防火巡查、检查;安全疏散设施管理;消防(控制室)值班;消防设施、器材维护管理;火灾隐患整改;用火、用电安全管理;易燃易爆危险物品和场所防火防爆;专职和义务消防队的组织管理;灭火和应急疏散预案演练;燃气和电气设备的检查和管理(包括防雷、防静电);消防安全工作考评和奖惩;其他必要的消防安全内容。
2、职工及勤杂人员上岗前应经定期消防安全培训,组织灭火和疏散逃生演练,掌握必要的消防安全常识和技能。
3、应将容易发生火灾、一旦发生火灾可能严重危及人身和财产安全以及对消防安全有重大影响的部位确定为消防安全重点部位,设置明显的防火标志,实行严格管理。
4、应根据消防法规的有关规定,建立由职工或专业保安力量参加的业务消防队,配备相应的消防装备、器材,并组织开展消防业务学习和灭火技能训练,提高预防和扑救火灾的能力。
5、单位的消防安全责任人、消防安全管理人;专、兼职消防管理人员;消防控制室的值班、操作人员;其他依照规定应当接受消防安全专门培训的人员,应当接受消防安全专门培训。
6、在公共部位或者显要位置,悬挂张贴消防安全标语,利用展板、宣传栏、黑板报、广告牌、电子显示屏等形式开展消防宣传。
7、单位的消防设施、器材要粘贴提示性或警示性标识,在重点部位、人员聚集区等场所粘贴“严禁烟火”“禁止吸烟”等警示性标识。
三、机关团体消防安全组织人员逃生疏散方法
机关团体人员比较多,一旦发生火灾,组织人员快速、安全疏散是防止人员伤亡的关键。
1、根据本单位实际,研究制定灭火和应急疏散预案,并定期组织演练,使员工熟悉本单位、本区域的疏散通道、安全出口,通过实地演练,掌握疏散逃生的程序和技能。
2、职工要掌握火灾防护装备、器材的位置和使用方法,明确自己的疏散任务,熟悉分工负责的楼层、区域和火灾时人员疏散的通道及安全出口。
3、确认火灾后,(如果有)消防控制室、值班室或值班人员,要及时启动应急广播、火灾事故应急照明或其他警示信号,及时将人员撤离到安全区域。
4、人员通过烟气弥漫的火场时,尽可能用湿毛巾或衣物捂住口鼻,低头弯腰快速前行,不要深呼吸,最大限度地减少将有毒气体吸入体内的可能。
5、一旦身上着火,不要到处乱跑,应就地翻滚,压灭身上的火苗,或将衣服脱下,防止烧伤。
6、疏散人员时,可通过喊话、发出灯光信号等方式,通知或引导人员采取正确方式,沿正确路线有序逃生,并提醒人员不要恐慌,要互相帮助,提高疏散效率。
7、疏散人员时,确认房间内无人后再关闭房门,并做记号。当人员被困无法疏散时,应保持冷静,到相对安全的地方,躲避烟火、等待救援。
四、如何扑救机关团体初起火灾
及时发现火情,有效处置火势,是减少火灾损失和防止火灾扩大蔓延的关键。机关团体的领导和职工都要具备扑救初起火灾的能力,掌握扑救初起火灾的方法:
1、根据本单位的实际情况,研究制订切合实际的灭火预案,并定期组织全体员工演练,熟悉初起火灾的扑救程序和要求;
2、根据场所的规模和人员配备情况,建立消防应急处置队伍,分灭火行动组、通讯联络组、疏散疏导组,一旦发生火灾,各组要按照具体分工,迅速到位。
3、灭火行动组人员要熟知消防设施、器材以及呼吸面罩、缓降器等逃生自救器材的位置和使用方法;
4、设有消防控制室的单位,当值班人员接到火灾报警信号时,要通过无线对讲机或者单位内部电话等方式,立即通知巡查人员或者报警区域的工作人员,迅速赶往现场实地查看,确认火情后,立即通过报警按纽、楼层电话或无线对讲等通讯方式向消防控制室报告。
5、确认火灾后,消防控制室要立即启动消防设施,并通过单位内部电话、无线对讲或广播、警铃等有效方式,发出火警指令,通知有关部门和人员到场及时处置,并拨打119火警电话报警。
6、单位员工都必须熟练掌握消火栓、灭火器等灭火设施、器材的使用方法,确保一旦发现火情,能够及时有效处置。
五、如何检查消除机关团体的火灾隐患
机关团体应当落实逐级消防安全责任制和岗位消防安全责任制,明确逐级和岗位消防安全职责,确定各级、各岗位的消防安全责任人。机关团体应明确专门处室或保安力量,抓好本单位日常消防安全管理和行业系统的消防安全工作。机关团体日常消防安全检查主要内容有有:
1、疏散通道、安全出口和消防车通道是否畅通,防火间距是否被占用;常闭式防火门是否保持常闭状态,闭门器、顺序器是否保持完好,防火卷帘下是否堆放物品;门窗上是否设置了影响逃生和灭火救援的障碍物;
2、安全疏散指示标志、火灾事故应急照明设置是否正常、醒目,是否保持完整好用;
3、灭火和应急疏散预案是否制定并组织职工进行演练,职工的消防知识掌握如何;
4、设有消防控制室的单位,消防控制室或值班人员是否在岗在位,消防控制室人员是否经过培训后持证上岗;消防控制室人员是否坚持24小时值班,每班不少于2人。消防控制设备运行是否正常,连接消防控制室的各类报警设施以及通讯器材是否畅通好用;值班记录是否齐全,填写是否认真;
5、消防水源是否充足,室内、室外消火栓、水泵接合器有无损坏、埋压、遮挡、圈占等影响使用的情况;
6、消防器材、灭火器具配备是否充足并完整好用;
7、电气线路是否老化,有无私拉乱扯等违法违规现象,电气设备有无违章使用情况;
8、水泵房、配电室、风机房、电梯机房等重点部位的安全管理措施是否落实;
9、厨房和餐厅的燃油、燃气管理阀门有无破损、泄漏;灶台、油烟罩和烟道清冼是否及时;就餐结束后,厨房和餐厅的火源电源是否切断,有无遗留火种等;
10、通过各种形式,督促检查下属单位、场所的消防安全工作,推动各项消防安全制度的落实。
对检查发现的火灾隐患,应立即改正;不能立即改正的,应当记录在案并加强整改期间的安全防范,确保消防安全。
六、机关团体消防安全提示、标语
1、预防火灾是全社会的共同责任
2、落实消防主体责任 创建平安和谐社会
3、消防安全你我行动
和谐河南爱在其中
4、弘扬平安消防文化
提升生命安全意识
5、消防安全是金 和谐家园是福
6、珍爱生命从防火做起
杜绝火患从自我做起
7、火灾教训是明镜 安全经验是明灯
8、遇到火情莫慌张 快拨119找消防
9、病魔乘体虚而入 火灾因麻痹而生
10、安全来自长期警惕 火灾源于瞬间麻痹
11、齐做消防安全的有心人 争当落实责任的带头人
1、认真学习、宣传、贯彻、落实国家有关安全生产法律、法规、文件、标准,根据以上要求组织制定本单位的安全生产制度、安全生产技术标准、安全生产管理标准、安全生产技术规程、公司安全生产技术措施计划等,并负责监督检查其执行情况。
2、组织安全检查。定期组织所在公司的安全检查,及时发现安全隐患,协调和督促有关部门对查出的安全隐患制定防范措施和整改计划,并检查监督安全隐患整改工作的完成情况,对拒不整改或未及时整改安全隐患的单位或个人会同有关部门采取相应处罚措施并勒令其限期整改。
3、深入现场进行安全监督,负责建立动火、登高等危险行为审批制度和审批、登记,检查安全管理制度执行情况,及时发现并纠正违章。督促并协调解决有关安全生产的重大问题,遇有危及安全生产、人身财产安全的紧急情况有权责令其立即停止作业并排除危险,并立即报告有关领导。
4、制订适合本公司的安全应急预案,并定期进行演练,通过在演练中发现的问题不断完善应急预案,负责应急预案的实施。
5、按照国家有关规定编制企业专用消防器材的配置和采购计划、并定期组织检验、维修,确保消防设施和器材完好、有效。
6、组织对员工进行安全思想、安全管理和安全技术的教育、培训,定期组织安全考核。
7、参加新建、改建、扩建工程及大修、技改技措项目的劳动保护设施的审查、验收,保证符合职业安全卫生要求。
8、负责一般事故的调查、分析、统计上报,提出处理意见,协助调查、处理重大工伤事故及其他事故,并参与制订纠正和预防措施,分析事故原因总结事故教训,采取有效措施防止事故再次发生。
9、对法律、法规、规章要求持证上岗的岗位、工种、设备应配合有关部门及时办理相关资格证、执业或职业证,无相关证书的不得上岗操作。
10、组织对职工进行防火宣传教育,定期组织有关人员进行防火检查和演习。
11、如本公司规章制度和漯河市平平食品有限责任公司安全生产目标管理规范、本承诺书要求,因工作不力导致严重安全责任事故,未完成安全生产目标的,本人将自愿接受公司处罚,并承担相应刑事、行政、民事责任。
安全员(签字):
存在的主要问题和解决办法
问题一:机关来人、车辆随便出入,外单位车辆夜间停放问题。
解决办法:
(一)机关人员实行出入证制度。机关大院工作人员一律凭出入证出入机关,未携带出入证的机关工作人员(县领导除外)禁止入内。
(二)外单位办事人员一律凭有效证件填写来客登记,保安人员与机关各单位办公室相关人员通报,得到确切答复后方可进入。
(三)机关召开的各种会议,由组织会议的一名工作人员到县政府门口迎候、引导参会人员。
(四)机关院内各单位施工人员、施工车辆由施工单位到县政府办公室秘书二股,办理临时出入证。未办理出入证的施工人员、施工车辆禁止入内。
(五)进入机关的车辆一律凭车证出入,并在指定位置停放。无证车辆禁止入内。
(六)会后各单位开展一次检查,对关系车辆全部清理。并建立检查机制,不定期对机关院内车辆进行检查,确保无关系车辆停放。
建议:人大办、政协办、发改局、统计局、民宗局各安装一部内线电话,方便保安人员联系。在内线电话安装之前,各单位每天保证一人到警卫室值班。
问题二:非本单位人员到机关打球、打水、上厕所问题
解决办法:责令机关保安人员严禁上述人员入内。
问题三:个别单位存在值班缺岗、空岗问题。
解决办法:各单位严格落实24小时值班制度。同时,严肃值班纪律,强化领导带班制,严禁出现缺岗、空岗现象,保证24小时联络畅通。
问题四:机关大院和门店房相通问题。
解决办法:与茗仁茶叶店老板沟通,将其后门封闭。
问题五:县人大机关西墙部分没有防护网问题
解决办法:建议县人大办公室尽快安装防护网。
问题六:个别保安人员素质偏低,责任心不强,更换过于频繁,保安人员变动后队伍补充不及时,导致不利于管理,保卫力量偏弱的问题。
解决办法:建议保安公司认真培训,挑选一批素质高、形象好、责任心强的保安人员充实到县委、县政府机关。
注:自6月10日起,县委、县政府机关开始正式实行出入证制度。明天(6·6),保安公司将保安队伍配齐。
1 办公自动化的主要特点
从信息处理的多层面和复杂性来讲,办公自动化可分以下三个层面或阶段。
1)行文处理自动化:主要指纵向和横向单位传递来的各类文件之接收,批阅与办理过程。本单位发往上级单位文件的拟稿、审核、签发等过程-本单位内部各种材料的形成以及逐级审核,审批过程。
2)事务处理自动化:主要包括各种行政事务,秘书事务,督办事务、专业事务、个人事务。
3)辅助决策自动化:该层次的自动化是建立在前两个方面自动化基础上的,专门为负责人i[总各方面信息,并就各种问题做出正确决策提供准确、全面、及时的依据而建立。
2 办公自动化的安全因素
根据办公自动化的特点,系统的安全主要包括数据与信息的完整性和系统安全两个方面。数据与信息的完整性指数据不发生损坏或丢失,具有完全的可靠性和准确性?系统安全指防止故意窃取和损坏数据。威胁数据完整性和系统安全的因素如下。
2.1 数据完整性威胁因素
1)人类自身方面:主要是意外操作、蓄意破坏等。
2)自然灾难方面:包括地震、水灾,火灾,电磁等。
3)逻辑问题方面:包括应用软件错误、文件损坏、数据交换错误,操作系统错保、不恰当的用户需求等。
4)硬件故障方面:主要指硬件系统的各个组成部分,如芯片、主板、存储介质,电源、I/0控制器等发生故障。
5)来自网络故障方面:网络故障包括网络连接问题,网络接口卡和驱动程序问题以及辐射问题等。
2.2 系统安全威胁因素
物理设备威胁、线缆连接威胁、身份鉴别威胁,病毒或编程威胁等。
3 办公自动化系统安全设计
由于众多的因素造成了对数据完整性威胁和安全威胁,因此,办公自动化网络系统必须有一套完整的策略和安全措施来保障整个系统的安全。
3.1 设计原则
1)安全性第一的原则:我们宁愿牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性能受到的影响。
2)多重保护的原则:即建立一个多重护系统,当一重保护被攻破时,其它重保护仍可保护信息系统的安全。
3)多层次(OSI参考模型中的逻辑层次)的原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码,在应用层之上启动代理服务等。
4)多个安全单元的原则:把整个网络的安全性赋予多个安全单元,形成多道安全防线。
5)网络分段的原则:网络分段可分为物理分段和逻辑分段。网络可通过交换器连接各段。
6)最小授权的原则:对特权网络要有制约措施。
7)综合性原则:计算机网络系统的安全应从物理上,技术上、管理制度上全面采取措施,尽可能地排除安全漏洞。
3.2 建立安全措施
安全威胁主要有4个方面:一是外界黑客或非法用户的侵入,二是病毒的侵害,三是内部人员闯入,获取非授权的资料;四是设备发生问题影响网络运行。我们需制定一系列的措施防止这类事情发生。主要措施如下。
1)建立规范的规章制度;
2)划分工作人员的权限;
3)设定各种信、设备资源的使用权限;
4)采用专用加密工具;
5)完善认证/授权的技术控制手段;
6)采用数字签名技术和第三方确认的控制措施;
7)定期进行病毒检查;
8)定时备份。
3.3 防止数据丢失
1)利用磁带机对文件服务器上的系统数据进行定期备份。
2)采用UPS来防止外部电源断电而引起的对网络使用的伤害。
3)利用磁盘做好重要数据的冗余备份,提高网上重要设备的自身容错能力。
4)设计主辅机可以共享磁盘阵列资源,双机可以互为备份,两台机器之间可以均衡负载。
3.4 防止非法访问通过防火墙并利用CISCO路由器白带软件来实现
1)授权控制:控制特定的用户在特定的时间内使用特定的应用。管理员可以制定用户授权策略,决定哪些服务器或应用可以被用户访问。
2)数据加密:在通信节点配备Firewallgateway,可以将各个节点定义成为一个加密域,形成了一个虚拟专用网VPN.
3)地址转换:管理员可决定哪些IP地址能够接入Internet,哪些地址被屏蔽掉,不能接入Internet。
4)规定用户在系统中各种操作的权利。
3.5 基于角色的访问控制
基于角色的访问控制的基本思想是将权限与角色联系起来,在系统中根据工作应用的需要为不同的工作岗位创建相应的角色。同时根据用户职务和责任指派合适的角色,用户通过所指派的角色获得相应的权限,实现对文件的访问。根据应用的需求建立用户一角色一权限这三者之间多对多的映射关系是整个办公自动化系统安全可靠和高效运行的关键。在用户申请某操作时,系统需要检测用户所拥有的角色集,并根据这些角色集中所包含的权限来判断该用户是否能进行该操作。
4 结束语
系统安全在办公自动化网络系统中占据着尤为重要的地位。本文对系统安全设计进行了简要的阐述,针对非法访问,数据丢失和访问控制模式进行了较为详细的论述。随着我国信息化建设的逐步发展,尤其是。电子政务”的兴起,办公自动化网络系统的热潮将会得到更迅速的发展。
参考文献
[l]谢希仁.计算机网络[M].北京:电子工业出版社,2002.
[2]吴功宜,吴英.计算机网络应用技术教程[M].2版.北京:清华大学出版社,2006.
[3]潘瑜.计算机网络安全技术[M].北京:科学出版社,2007.
[4]闰宏生,王雪莉,杨军.计算机网络安全与防护[M].北京:电子工业出版社,2009.
[5]姜浩.办公自动化系统及其应用[M].北京:清华大学出版社,2004.
【关键词】办公局域网;安全因素;管理措施
随着网络技术的不断发展,在现代机关单位中都建立有属于自己的办公局域网。机关办公局域网的建立,能有效提升机关的办公效率。机关局域网虽然仅是小型的办公网络,但却也存在着较大的安全隐患,而这些安全隐患的存在,对机关单位各方面的利益造成极大的威胁。因此,必须要全面分析机关单位办公局域网中潜在的安全影响因素,并制定有效、可行的安全管理措施,以保证机关单位办公局域网的安全,从而保障机关单位的自身利益。
1.办公局域网改善概述
局域网的组成部分包括硬件与软件,前者是计算机之间相互连通的重要渠道,主要进行局域网中的物理连接;而后者主要进行局域网中的各项操作活动,能实现计算机之间的资源共享及信息分配。在现代办公模式下,对办公局域网具有以下几点安全要求:(1)机密性要高,要保证单位内部信息的不外漏;(2)完整性要高,即要保证单位信息、资料的完整性;(3)可用性要强,即要确保办公主体可拥有足够的信息访问权限;(4)可控性要高,即能有效控制单位局域网中的数据、信息流向与动态;(5)审查性要好,即要实现对办公局域网的监管与控制;(6)加密性强,即能在办公局域网中进行信息、数据加密。
2.机关办公局域网安全影响因素
2.1病毒入侵
计算机病毒能以多种途径入侵计算机网络,并通过快速复制、繁殖及扩散,破坏计算机系统。病毒一旦侵入计算机系统后,就会导致办公信息、数据丢失或破坏,给机关单位经济利益带来巨大的影响。
2.2操作系统的安全性
机关办公局域网中使用的计算机操作系统往往存在一定程度的安全漏洞,主要包括系统软件与应用软件两个方面。系统软件本身的漏洞,导致计算机病毒更加容易入侵。由于机关单位的内部文件较为机密,导致黑客容易利用软件漏洞攻击计算机系统,窃取重要数据。
2.3人为因素
大部分机关工作人员对局域网安全知识的了解不深,且缺乏安全专业知识,对局域网的管理、监督不到位,导致部分不法人员进行机关局域网的破坏,从而窃取机密。
2.4硬件设施损坏
机关局域网系统的硬件配置不合理同样是影响局域网安全的主要因素,如用于提供服务及数据存储的服务器质量不过关、路由设备的线路故障等,都会影响整个办公局域网的可靠性及稳定性。
3.机关办公局域网安全管理措施
3.1病毒感染的安全管理
要有效预防病毒对单位办公局域网的感染,绝不能仅靠单一的防范渠道,而应全方位、多角度及多方面进病毒的全面防范。主要的病毒安全管理措施如下:(1)网络隔离。一方面,应从路由器着手进行隔离防护,屏蔽全部的IP 地址,并再放行单位办公所需的IP地址;另一方面,应采用防火墙进行病毒的隔离防护,通过防火墙进行数据的过滤,并合理控制网络访问,避免出现高风险的网络活动,能有效防范病毒的入侵;(2)建立防毒系统。鉴于网络病毒的多样性、特殊性,因此应用各种杀毒产品及时发现与消除病毒,通过建立全面的防毒系统,用户终端要及时升级系统及补丁,并严禁访问外部网络及具有安全隐患的网页,能很好地保证机关办公局域网的安全,从而保证机关单位的自身利益。
3.2 建立网络安全预警系统
对于机关单位而言,对办公局域网安全风险的防范,应先及时发现安全风险因素。因此,机关单位必须要建立全面的网络预警系统,以从多方面、多角度入手,根据安全漏洞分析及攻击条件等因素進行全面安全系数评估,以便及时发出安全预警信号,及时发现及消除安全因素,从而防范网络风险事故的发生。
3.3数据加密及备份管理
在办公局域网中存储的相关信息、数据都是机关单位重要的生产资料。在机关单位实际办公时,为了避免单位重要数据、资料的丢失或破坏给企业带来经济损失,机关单位必须要加强对数据的加密保护及备份管理工作,才能切实保证单位数据、资料的安全,从而保证单位的利益。
3.4加强设备运行环境的管理
由于网络服务器对运行环境、负荷的要求比较严格,因此机关单位必须要合理布置局域网的中心机房及设备,以保证中心机房及设备所处于的环境能符合相关的规范要求,以防网络服务器出现超负荷工作,从而保证局域网网络的安全。另外,机关单位在计算机的使用上,必须要定期维护与保养设备,以保证设备的良好运行状态,才能更好地确保办公局域网的安全。
3.5提高操作人员的安全防范技能水平及防范意识
由于部分操作人员对网络风险的认识及防范意识不足,导致机关办公局域网的安全受到极大的威胁。因此,机关单位为了保证办公局域网的安全,除了落实全面的安全防范措施以外,还要加强对单位员工关于网络安全方面的培训,以培养员工的安全风险意识及提高人员的安全防范技能,并建立完全安全管理制度及监督制度,以加强对局域网的安全管理,有利于保证机关办公局域网的安全。
3.6虚拟局域网与网络分段技术的应用
局域网虚拟技术是当前保证办公局域网安全的一种重要技术,该技术能实现对网络的护理划分,不仅有利于更好地利用与分配网络资源,且能有效管理局域网中的上网用户,能有效防止因非法用户端接入网络、网络病毒攻击及IP信息盗用等导致的网络系统故障,从而提高办公局域网的安全性。通过网络分段,使机关单位的重要信息、数据能与局域网内高风险的上网用户隔离,有利于防范机关重要信息、数据被窃取、破坏。而且,网络分段不仅能有效保证局域网的安全,且能有效防止来自Internet 的威胁,当机关办公局域网的某一环节受到攻击时,网络分段就能将安全风险有效的控制在该环节中,避免安全风险向整个网络蔓延,能全方位地保护机关单位的网络安全。
4.结束语
综上所述,办公局域网作为现代机关办公体系的重要部分,其安全性直接影响着机关单位的利益。因此必须要注重对机关办公局域网的安全防护,全面合理分析局域网中潜在的安全因素,积极采取有效的安全管理措施,才能有效保证机关办公局域网的安全性,从而保障机关单位的利益。
【参考文献】
[1]马哲.浅析办公局域网的安全风险及防护措施[J].计算机光盘软件与应用,2012,18(3):63-64.
[2]申庆宏,孟杰,张春芳.企事业单位机关办公局域网管理方式探讨[J].内蒙古科技与经济,2011,24(5):89-90.
[3]詹青霞,吴彩彬.浅谈机关办公局域网的安全影响因素[J].信息与电脑(理论版),2011,16(4):22.
[4]高雪珺.浅谈计算机办公局域网络的安全防护措施[J].大众文艺,2011,22(13):293.
【机关安全警示教育】推荐阅读:
当前机关安全保卫工作中05-28
机关综治安全工作总结06-01
机关食堂安全管理办法07-03
网络安全责任书机关05-28
机关安全生产管理制度07-21
机关幼儿园安全工作汇报材料06-03
机关健康教育工作记录09-12
机关感恩教育活动汇报材料09-16
机关作风效能建设暨干部警示教育大会讲话06-07
