時間:2022-12-14 09:59:29
導語:在信息安全服務的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
1大數據時代“云服務”的特征
在信息發達的現代社會,“云服務”帶給我們非常好的數據存儲平臺。我們可以將自己的信息放到云端,以便于隨時隨地的應用。將云服務的主要特征劃分為以下幾個方面:一,方便快捷。“云服務”的普及,使得使用者具有了一個內存大且不易丟失的存儲工具,人們只要將數據信息傳到上面,就可以放心的查看,使用,大大的節省了時間,給人們的生活帶來便捷。二,高性能,高可靠性。“云服務”的各個單元相互獨立,不會互相影響,它們有各自的軟件及硬件資源,提供了高性能的服務。同時,在云端,提供各種數據的存儲以及備份,還可以在工作失誤的情況下,提供恢復的服務,大大的提高了使用的可靠性。三,隱私問題的保護和安全性有待提高。每件事情都有兩面性,“云服務”也有。如何保證用戶的數據不被非法的查看、盜竊、修改,是現在技術方面要著重考慮的問題。
2“云服務”信息安全隱患產生原因
2.1前期開發階段安全性不高
軟件在開發過程中,設計者沒有考慮到來自互聯網方面的各種危害,沒有對軟件本身的安全度加固。還有就是監管不到位,使用者沒有注意到軟件的防護與定期監管,就會使得各種惡意軟件有了入侵的機會。
2.2使用者安全意識淡薄
使用者在注冊登錄的時候設置的密碼過于簡單,大大的降低了安全度。此外,沒有做好安全加固和內部訪問設限等都是潛在的安全隱患。
2.3黑客對信息的竊取
因為“云服務”的大范圍使用,用戶會將很多重要信息傳到云端,這樣就吸引大部分的競爭者。他們想要竊取并修改對方的信息,以造成對方的巨大損失,這樣就產生了很多侵入別人信息內部的黑客。黑客是“云服務”信息安全的重大隱患。
2.4相關使用法律不規范
“云服務”的相關法律法規存在不規范之處,其對于使用者缺乏有效的監管與約束,從而造成了大量的使用者肆意妄為的現象頻頻發生。
3大數據時代“云服務”信息安全保護的重要性
因為“云服務”使用的范圍廣泛,大到國家,軍隊的相關信息,小到企業,個人的相關信息都與“云服務”密切相關。一個信息的泄露有可能影響到全局的發展,所以提高安全性是必要的。信息是一種資源,而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指確保信息完整,不能丟失。當用戶將數據傳輸到云端,要確保數據永久存在,這樣才可以讓廣大的使用者產生信任,吸引更多的使用者。可用性是指數據傳輸成功后,當用戶再次使用,應確保數據仍舊可以被使用。保密性是指信息不能被泄露和修改。最后一個可靠性是指這個平臺無論是本身存儲方面,還是后期的管理方面,都要確保萬無一失。這樣才能使“云服務”更加廣泛、放心地被使用。
4“云服務”信息安全保護措施
4.1加強技術保護
技術能力的提高是信息安全保護的直接方式。在網絡普及的現代,侵權者的手段在不斷的提高,過去保護的方法已經被破解,為了信息的安全存儲,技術方面的提高迫在眉睫。在各方面迅速發展的情況下,研究新型的技術,培養高技術人才是網絡信息安全保護的重大任務。4.2加強監管能力這里的監管包括軟件自身的監管,行政監管和本身使用規范的監管三方面。軟件自身的監管就是要增強軟件自身防惡意侵襲和對軟件時刻監管的能力,只有這個能力增強了,軟件自身的可靠性也就大大的提高了。行政監管就是網絡安全部門要制定相關的制度,必須明確使用者權限以及越權的相關懲罰。本身使用的監管就是使用者本身要有自我約束能力。
4.3增強加密系統
設置加密系統,首先要設定用戶權限。具體表現為;為不同用戶設置不同的使用權限,當非本人操作時,就會發出報警和自動加鎖。其次要對數據進行加密,當用戶申請訪問數據時,就會有相應的解密,如果解密成功,就可以訪問。反之,就會發出報警。當然,針對時間長久遺忘了相關加密信息的使用者,也應該有相關的驗證,然后重新獲取。
4.4增加相關保護法則
近年來,國家越來越致力于大數據的應用,那么越來越多的重要信息被傳入到“云服務”。這些數據都是至關重要的,應該添加重要的法則加以約束。
5結語
大數據和“云服務”的時代已經到來,各行各業得到了迅速的發展,這給我們帶來眾多益處的同時也帶來了更多的機遇和挑戰。我們應該積極的面對,不斷地發展,提高使用的安全性,讓使用者更加放心的使用,讓時代快速發展。
作者:張歡 單位:北京市昌平區第一中學
云計算服務是指將大量用網絡連接的計算資源統一管理和調度,構成一個計算資源池向用戶按需服務。基于云計算是一種提供信息技術服務的模式,積極推進云計算在政府部門的應用,獲取和采用以社會化方式提供的云計算服務,將有利于減少各部門分散重復建設,有利于降低信息化成本、提高資源利用率。但云計算還處于不斷發展階段,技術架構復雜,采用社會化的云計算服務,使用者的數據和業務從自己的數據中心轉移到云服務商的平臺中心,大量數據集中,使云計算面臨新的安全風險。當政府部門采用云計算服務,尤其是社會化的云計算服務時,應特別關注信息安全問題。因此政府部門在采購云計算服務時,要做好采用云計算服務的前期分析和規劃,選擇合適的云服務商,對云計算服務進行運行監管,考慮退出云計算服務和更好云服務商的安全風險,做好在云計算服務的生命周期采取相應的安全技術和管理措施,保障數據和業務的安全,安全使用云計算服務。
1 云計算服務信息安全管理存在的風險
在傳統模式下,客戶的數據和業務系統都位于客戶的數據中心,在客戶的直接管理和控制下。在云計算環境里,客戶將自己的數據和業務系統遷移到云計算平臺上,失去了對這些數據和業務的直接控制能力。存在諸多潛在的風險。
(1)客戶對數據和業務系統的控制能力減弱及與云服務商之間的責任難以界定。客戶數據以及在后續運行過程中生成、獲取的數據都處于云服務商的直接控制下,云服務商具有訪問、利用或操控客戶數據的能力,增加了客戶數據和業務的風險。缺乏數據安全的責任主體界定的問題。
(2)可能產生司法管轄及容易產生對云服務商的過度依賴問題。在云計算環境里,數據的實際存儲位置往往不受客戶控制,客戶的數據可能存儲在境外數據中心,改變了數據和業務的司法管轄關系。由于缺乏統一的標準和接口,不同云計算平臺上的客戶數據和業務難以相互遷移,導致客戶對云服務商過度依賴
(3)數據保護更加困難,所有權保障面臨風險。云計算平臺采用虛擬化等技術實現多客戶共享計算,資源,隨著復雜性的增加,實施有效的數據保護措施更加困難,客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。
2 云計算服務信息安全管理的要求
采用云計算服務期間,為了能夠保障云計算服務的安全,需對客戶和云服務商在信息安全管理方面提出要求。
2.1 安全責任及安全管理水平不變
信息安全管理責任不應隨服務外包而轉移,無論客戶數據和業務是處于內部信息系統還是云服務商的云計算平臺上,客戶都是信息安全的最終責任人。承載客戶數據和業務的云計算平臺應按照政府信息系統安全管理要求進行管理,為客戶提供云計算服務的云服務商應遵守政府信息系統安全管理政策及標準。
2.2 資源的所有權及司法管轄關系不變
客戶提供給云服務商的數據、設備等資源,以及云計算平臺上客戶業務系統運行過程中收集、產生、存儲的數據和文檔等都應屬客戶所有,客戶對這些資源的訪問、利用、支配等權利不受限制。
客戶數據和業務的司法管轄權不應因采用云計算服務而改變。
2.3 堅持先審后用原則
云服務商應具備保障客戶數據和業務系統安全的能力,并通過安全審查。客戶應選擇通過審查的云服務商,并監督云服務商切實履行安全責任,落實安全管理和防護措施。
3 云計算服務的信息安全技術能力的要求
云服務商在提供云計算服務時,要相應具備云計算服務的信息安全技術能力要求,以保障云計算環境中客戶信息和業務的安全,具體要求如下。
3.1 系統開發與供應鏈安全及系統與通信保護
云服務商應在開發云計算平臺時對其提供充分保護,對信息系統、組件和服務的開發商提供相應要求,為云計算平臺配置足夠的資源,并充分考慮安全需求。云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信,并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。
3.2 訪問控制及配置管理
云服務商應嚴格保護云計算平臺的客戶數據,在允許人員、進程、設備訪問云計算平臺之前,應對其進行身份標識及鑒別,并限制其可執行的操作和使用的功能。云服務商應對云計算平臺進行配置管理,設置和實現云計算平臺中各類產品的安全配置參數。
3.3 維護及應急響應與災備
云服務商應維護好云計算平臺設施和軟件系統,并對維護所使用的工具、技術、機制以及維護人員進行有效的控制,且做好相關記錄。云服務商應為云計算平臺制定應急響應計劃,并定期演練,確保在緊急情況下重要信息資源的可用性。
3.4 審計及風險評估與持續監控
云服務商應根據安全需求和客戶要求,制定可審計事件清單,明確審計記錄內容,實施審計并妥善保存審計記錄,對審計記錄進行定期分析和審查。云服務商應定期或在威脅環境發生變化時,對云計算平臺進行風險評估,確保云計算平臺的安全風險處于可接受水平。云服務商應制定監控目標清單,對目標進行持續安全監控,并在發生異常和非授權情況時發出警報。
3.5 安全組織與人員及物理與環境保護
云服務商應確保能夠接觸客戶信息或業務的各類人員上崗時具備履行其安全責任的素質和能力,還應在授予相關人員訪問權限之前對其進行審查并定期復查。云服務商應確保機房位于中國境內、機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求,云服務商應對機房進行監控。
4 結語
本文通過云計算服務中信息安全管理存在的風險、云計算服務信息安全管理及技術能力等方面進行闡述,提出了云計算服務信息安全管理的具體措施及技術能力的具體要求,從管理及技術方面確保云計算服務的信息安全,保障云計算服務安全。
0 引言
隨著兩化融合進程的不斷推進及工業控制系統的逐漸開放,無線傳感網絡、移動信息互聯、物聯網技術、精準定位授時等信息技術,在能源、制造、化工、水利、交通等重要領域的控制系統中得到了深入的應用,工業控制系統與IT系統逐步實現了協同工作和信息共享,進一步提高了企業的運營管理水平。但在企業綜合效益提升的同時,工業控制系統也開始面臨IT系統面臨的木馬攻擊、病毒入侵和信息竊取等安全威脅,如果被敵對勢力獲取工業控制超級用戶管理權限,對核心設施進行惡意攻擊的話,不僅會造成經濟損失,也將會對人民生命安全造成嚴重的威脅[1]。
目前,我國明確提出要做好重要工業基礎設施信息安全保障工作,這也對信息安全保障服務的專業化程度和服務體系的建設提出了更高的要求,加強工業控制系統信息安全管理水平,提高抵御外來攻擊的能力,降低工業控制系統造成破壞的概率和可能性,以技術和管理手段改善工業控制信息安全現狀,保障國家安全與社會穩定,已經刻不容緩[2]。本文將圍繞工業控制系統風險評估、等級保護測評、代碼驗證等核心環節,設計并提出工業控制系統信息安全專業化服務體系架構,進一步完善安全測評與加固、技術研發、人才培養以及信息安全咨詢等服務質量,提高服務效率。
1 構建專業化服務體系
目前,我國的工業控制系統信息安全管理和服務的相關標準規范還在醞釀中,僅部分行業部門出臺了試行的安全評估、測評等相關服務規范,整體安全服務工作還缺少依據[3]。綜合工業控制系統的共性特點、安全需求,其需要的核心服務主要包括系統安全測評、代碼檢測與環境驗證、系統建設與加固、人才培養、滲透測試和網絡監測預警等服務,以及能提供技術支撐的功能平臺[4]。對工業控制系統的安全服務需求進行梳理,提出如下服務體系架構,該架構圍繞專業化服務項目、服務平臺和支撐環境建設展開,將為工控信息安全服務工作的開展提供組態化的解決方案。其中,服務項目是指服務機構或部門要具備的必須的技術能力和評估水平,服務平臺是為相關服務開展提供技術支持的功能性平臺,支撐環境是為服務的有效性提供驗證和基礎運行的必要條件。
2 服務能力建設
2.1 內網監測與預警服務能力建設
根據工業控制系統內部構成情況,實現能夠對內網非法入侵、惡意攻擊、內常規網絡木馬、后門事件、常規蠕蟲事件、僵尸網絡事件、異常流量(端口流量、協議流量、IP流量等)事件進行監測預警的服務能力。
2.2 安全咨詢與培訓能力建設
信息安全咨詢與培訓能力建設包括對安全體系建設咨詢、研究項目合作咨詢、測評技術培訓、系統安全體系培訓等。通過信息咨詢服務體系定期重要工業控制系統最新漏洞、脆弱性、病毒等信息,為提高工業控制系統信息安全提供技術參考。同時,針對工業企業的現場管理流程和規范,對相關人員提供培訓服務,主要從培訓課程與實驗環境兩個方面進行人才培養,提升工業現場人員的安全管理能力和技術能力,構建信息安全知識體系。
2.3 系統建設與加固服務能力建設
以工業控制系統實際運行情況為基礎,參照國際和國內的安全標準和規范,充分利用成熟的信息安全理論成果,為工業控制系統設計出兼顧整體性、可操作性,并且融策略、組織、運作和技術為一體的安全解決方案。安全技術建設的總體目標是:根據工控信息系統等級對應的信息安全要求,建立一套可以滿足和實現這些安全要求的安全管理措施。安全管理措施包括適用的安全組織建設、安全策略建設和安全運行建設。安全管理措施與具體的安全要求相對應,在進行安全管理建設時,針對各系統現狀和安全要求的差距選擇安全管理措施中對應的安全管理手段。信息系統安全建設與加固的總體目標是:采用等級化和體系化的設計方法,為工業企業訂制一整套的工控系統信息安全保障體系。根據安全體系的要求進行安全規劃,將安全體系中的各類安全措施進行打包,形成多個系列的解決方案,并落實安全實施項目規劃和工作規劃。
2.4 系統滲透測試服務能力建設
根據工業控制領域安全性需要,組織工業控制系統滲透性測試能力建設,以保障工業控制系統配置、系統漏洞、網絡流量、網絡信息定位等方面的安全。所涉及到的技術不僅僅包括傳統網絡安全滲透測試技術還有工業控制系統滲透測試技術,這些技術通過對傳統技術框架的改進方式,實現對工業控制系統硬件、軟件和協議的支持。
2.5 代碼檢測與環境驗證服務能力建設
針對工業控制系統的主要功能、性能指標進行檢測,檢驗系統是否在連續性、實時性等方面滿足工業要求,并提供穩定性驗證服務以及實時性驗證服務。
(1)穩定性驗證服務。通過并發訪問、單人多線登錄、壓力測試等方法對系統的穩定性進行評價,驗證系統的穩定性是否符合工業生產要求。
(2)實時性驗證服務。通過數據完整性、保密性、可用性檢測,對工業控制系統內傳輸數據的時間數量級進行記錄和評估,根據本行業的工業生產標準,驗證系統實時性是否能夠滿足生產要求。
2.6 人才培養能力建設
從工控安全理論研究、技術研發等實驗方面以及工控系統安全服務兩方面培養高層次信息安全專業人才,力爭將實驗室建成一流信息安全人才培養基地。利用實驗室的優厚技術條件,進行實際演練,掌握工業控制系統信息安全領域的關鍵技術,成為精通信息安全理論與技術的尖端人才。同時與各工控安全權威機構聯合,通過共同開發與研究項目的形式,利用工業控制系統模擬環境,提供項目的實驗與開發環境,保證技術領先性,培養可以從事信息安全研究的專業隊伍,為實現工業企業的信息安全保障輸送高質量人才。
2.7 系統安全測評服務能力建設
測評服務能力是指為工業控制信息系統提供安全測評服務,集風險評估、等級保護測評等功能于一體。通過安全測評服務能力的建設,完善工業控制系統信息安全產品測評能力與手段,充實工業控制系統信息安全相關資源庫,在工控系統物理安全、網絡安全、主機安全和管理安全等方面,為系統應用和控制過程提供最優的安全尺度、安全層面、安全平臺。
3 服務平臺建設
服務平臺是服務開展的重要技術環境,平臺的建設將進一步完善工業控制領域信息安全服務體制,提升工業控制領域信息安全服務效能,信息安全測評驗證服務體系,逐步形成工業控制安全領域的產業多層次、多渠道、多元化的綜合服務體系。平臺架構如圖2所示。
代碼檢測與環境驗證子平臺:通過為工業控制系統提供代碼檢測和環境驗證等服務,將對工業控制嵌入式操作系統、應用軟件進行代碼安全性驗證,找出軟件代碼的潛在威脅所在,加以防護,提高軟件應用的安全性。將代碼檢測和環境驗證平臺作為技術支撐,實現工業控制系統PLC系統安全檢測和嵌入式系統測試服務。
內網監控與預警子平臺:對工業控制系統內部網絡中的安全事件包括:惡意攻擊、非法入侵、內網病毒、端口流量異常等進行監控,當安全事件發生時發出預警信息。
工控系統業務管理子系統平臺:對測評、評估等服務項目提供全生命周期的過程管理,包括服務隊伍建立、需求分析、資產識別、威脅分析和脆弱性識別等過程的管理,并可以通過內建的知識庫為服務人員提供技術支持和信息查詢。
工控系統安全測評服務子平臺:結合網絡安全建設和發展的實際情況,綜合漏洞挖掘、安全評估、掃描分析和管理體系評估等多種手段,建設對于工業控制系統提供專項安全測評、檢測服務、風險評估等服務。
4 支撐環境建設
4.1 工控模擬實驗模擬環境建設
工業控制系統模擬環境是根據工業控制系統現場實際情況搭建的仿真模擬測試環境,是開展安全技術理論研究、漏洞驗證、滲透測試、代碼測試環境驗證以等研究的基礎,同時也是工具集研發的技術環境依托。模擬環境將以SCADA、DCS等為核心,結合無線、微波等網絡技術,針對工業控制系統安全現狀,將搭建電力、水利、燃氣等重要工業控制領域的模擬環境,為開展攻防實驗、技術研究等奠定基礎。
4.2 軟硬件支撐環境
軟硬件支撐環境是整個服務體系的基礎支撐環境,能夠為模擬環境建設、服務平臺建設以及服務能力建設提供必要的基礎環境。軟硬件基礎環境主要包括基礎網絡環境、數據存儲和服務系統和實現平臺自身安全的防病毒、防入侵等安全措施。
5 結語
工業控制系統信息安全的需求和目標特性,決定了安全服務提供方式要區別于傳統的IT系統,非體系化的服務不僅收效甚微,還很有可能會對工業現場帶來安全威脅。本文構建的服務體系圍繞服務能力、服務平臺和技術支撐建設,面向工業控制系統信息安全專業化服務,進一步實現工控系統信息安全服務的過程和類別進行體系化,為工業信息全測評、產品測試、工具研發和攻防實驗等工作提供思路和依據,為工業控制系統信息安全保障工作的實施提供了參考思路。
關鍵詞:網絡環境;排水檔案信息;工作流安全體系
中圖分類號:C270.7 文獻標識碼:A 文章編號:1001-828X(2012)07-0-01
網絡時代的到來,使得各行業的工作方式發生了根本變化。對于排水行業而言,對排水信息的日常歸檔和管理也已主要借助計算機來完成。網絡環境的運行,對排水檔案信息的整理、細化和儲存,都帶來了極大的方便,但凡事都具有兩面性,在方便排水檔案工作的同時,也對檔案信息的安全服務提出了更高的考驗。如何使網絡環境下的排水檔案信息更安全地服務于經濟社會的發展以及生態環境的保護呢?
一、保證網絡環境和硬件設施的安全
網絡環境和硬件設施是排水檔案信息存在的依附體。只有保證二者的安全,才能保證排水檔案信息的安全。環境安全主要是指計算機等網絡設施存放環境的安全,能確保網絡資源的信號暢通,并處于良性運轉狀態。硬件設施安全是指計算機的各個部分都能正常使用,不會因故障而導致排水檔案信息無法正常查找和使用。
二、保證網絡資源的全面建設和安全管理
為保證排水信息能更有效地進行管理,并能在需要時隨時查找到,可在排水行業內部根據區域或者單位建立起局域網,使局域范圍內的排水檔案信息實現資源共享,能在出現任何排水問題需要檔案信息調度時,可以通過局域網站內部的查找,及時地拿到需要的資料,并盡快解決問題。局域網不僅可以極大方便工作,而且能通過信息輸送,及時保證排水系統的安全隱患得到排查,保證一個城市或區域的用水安全,并能在洪澇災害等特殊情況下,保證城市或一個區域的整體安全。局域網建好后,還應注意隨時維護,并加強對網絡資源的管理,能及時更改新的排水系統信息,及時行業內的最新動態,以利于相關工作人員的工作開展,利于整個行業工作的正常有序運作。同時,還應注意警惕病毒的入侵,防范惡意更改,加強對排水檔案信息的安全管理。
三、建設好數據庫,保證排水信息基本資料的安全
排水行業內部的資料是非常復雜的,僅就一個城市而言,整個城市的排水管道情況、排水設施情況以及容易出現問題的排水系統情況等等,都需要在排水檔案信息中有較詳細完整的記錄和存儲。這些龐大復雜的資料,在網絡時代之前,需要耗費工作人員大量的時間進行隨時記錄,并占用大量的空間進行保管存檔,還極易面臨信息丟失或者不完整等不安全情況,而在網絡環境下,這種不安全因素得到了很好的解決,只要建立起一個數據庫,便可以將所有的排水檔案信息存儲起來,并且信息資料更清晰,更方便查找,容易保存。當然,應對數據庫做好安全管理工作,保證電腦的正常運行,數據庫的存儲完好無損,避免排水檔案信息的遺失,從而可以保證排水行業安全工作和為民服務安全到位。
四、做好排水文檔一體化工作流安全體系設計
數據庫的建設及使用,還需要做好網絡環境下文檔一體化工作流安全體系設計,這是一系列更為具體的工作,具體內容涵括:歸檔電子文件的采集、鑒定、整理、錄入、歸檔保管、移交、使用以及歸檔管理者責任界定等各個環節,在這些環節中,要保證環環相扣,有序運作,各個階段的工作必須保證做到位,并保證信息的準確無誤,絲毫的差錯可能會釀成整個排水檔案信息的大錯,使得整個數據信息無法安全使用。對整個流程進行安全體系設計,將是保證排水信息準確無誤,安全使用,保證排水行業工作安全的有效途徑。
五、完善智能檔案信息管理系統
通過進一步完善排水檔案的動態信息與靜態信息建設,對城市排水檔案進行綜合化、模擬化分析,構建污水處理廠調度、泵站調度等相應模型,并且隨著時間的推移而不斷補充、修正、完善。當完成城市排水檔案的信息化、數字化建設之后,將轉變傳統的紙質文字、圖像、聲音存儲模式,將重要材料分布于網絡媒體中,并通過計算機網絡實現資源共享、信息共享。通過檔案信息建設,對城市排水管網、污水處理廠、泵站等動態信息進行綜合管理,可以通過計算機瀏覽,并且任意放大、縮小、移動等;同時系統還可以與相關數據庫進行連接,實現數據的實時交換,同時采取必要的安全防范措施;系統界面以中文為主,一切功能通過菜單進行操作,在輸入屬性資料過程中,可以對選項菜單進行優化,以提高參數記憶能力;同時系統的操作應注意安全性,由專人負責管理,避免數據內容的任意篡改或刪除;通過應用網絡信息,實現了信息共享,更利于提高城市排水管理單位的交互性。
六、提高排水行業工作人員的網絡工作能力和安全意識
網絡環境下的檔案工作人員,必須適應新的形勢,轉變觀念,改變原有的人工為主的檔案整理保管工作,而逐漸學會運用計算機,并能逐步熟練各項操作,以保證排水檔案信息在網絡時代,能更安全有效地管理。工作人員業務素質的提高,需要一個過程,不可急于求成,避免工作人員技術不到位即上崗操作,對排水信息的安全存儲帶來麻煩,出現信息遺失等錯誤,影響整個排水信息的安全服務。另外,應聘請專門的網絡技術人員,對習慣于手工操作的老員工進行專門培訓,使他們盡快學會相關的技術工作,準確進行計算機操作。同時,在加強業務素質提高的同時,應同步提高他們安全保管信息的意識,以保證所有排水信息的安全完整。
七、結語
網絡環境下,排水行業各單位應積極轉變觀念,充分利用計算機帶來的便捷,并加強排水檔案信息安全意識。建好數據庫,設計好文檔一體化工作流安全體系,開設局域網并進行安全管理,同時提高工作人員的業務技能和安全意識,從各環節全面做好工作,以保證排水檔案信息的服務安全。
參考文獻:
[1]趙毅強,張暉.網絡環境下檔案信息服務安全對策[J].黑龍江檔案,2009(03).
[2]閆麗華,貢偉國.由哈爾濱城市排水檔案管理工作中存在的問題引出的思考[J].城建檔案,2002(03) .
[關鍵詞]政府行業;信息系統;等級保護;誤區
doi:10.3969/j.issn.1673-0194.2013.02.040
[中圖分類號]G203[文獻標識碼]A[文章編號]1673-0194(2012)24-0085-03
1 前言
等級保護原本是軍事領域的安全保密體系,為了在計算機世界中實現這一體系,研究人員苦心奮斗多年。隨著網絡時代的到來,等級保護有了新的內涵:從保護對象上,不再局限于軍事領域的大型主機,而是所有對國計民生有重要影響的信息系統;從實施的安全策略上,不再局限于軍事安全保密規則,而是用于各種安全保護策略;從測評角度看,不再限于個別信息安全產品的靜態測評,而是考查網絡系統在實際運行中表現出的綜合保護能力,是涵蓋了架構、功能、管理和配置等各方面檢查的全面、綜合、動態的測評。一句話,等級保護逐步從一種技術思想發展為今天貫穿了信息安全保障各個工作環節的一個過程和一種制度。等級保護標準是等級保護思想進化歷史的快照。各個標準的興衰歷史表明,標準必須與時俱進,跟得上用戶的需求,才能得到有關各方(政府、用戶與廠商等等)的積極響應,而只有得到積極響應的標準才能稱得上有生命。
《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)規定,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。
各級各類政府部門在推行信息安全等級保護工作的過程中,由于對相關政策和要求“吃不透”,在實施過程中出現了多種誤讀。本文旨在分析政府行業信息安全等級保護中存在的政策理解誤區并提出相關建議。
2 國內信息安全等級保護實施現狀
2.1 起源
中國早在1984年就開始收集國外等級保護的相關資料。1994年的《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)被視為中國實施等級保護的法律基礎。2004年的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和2007年《信息安全等級保護管理辦法》(公通字[2007]43號)等文件明確了等級保護的定位、基本內容、流程和工作要求以及相關部門的職責任務,為開展等級保護工作提供了規范保障。簡單地說,中國實施等級保護的基本任務是:系統分等級保護、產品分等級管理、事件分等級處置。
隨著《信息系統等級保護安全設計技術要求》(GB/T25070)的和實施,中國的等級保護國家標準和行業標準已有50多個,等級保護標準體系已初步形成。
2.2 實施現狀
《信息安全等級保護管理辦法》(公通字[2007]43號)(以下簡稱43號文件)和《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)的出臺,標志我國信息安全等級保護工作進入實質的實施階段。自從2007年6月份以來,全國范圍內的重要系統普遍開展了信息安全等級保護工作,到目前為止,定級工作已經基本結束,將進入整改階段。回顧我國的等級保護工作,可以看到兩大成效,即定級保護的定級備案工作成效顯著;各種政策標準體系日趨完善。
目前來看,定級工作已經圓滿完成,接下來是建設和整改工作,之后進行一些等級測評工作,工作不斷地暴露出一些問題和政策理解誤區需要解決。
3 等級保護認識誤區
不少部門和單位對等級保護的認識存在一定誤區,較集中的問題是:等級保護的投資較高,對現有投資是一種浪費。用戶經常會反映一些問題,歷年來在安全建設方面已經進行了大量投資,現在建設等級保護是否要“推倒重來”。
對于是否要“推倒重來”,可以從兩方面考慮:
(1)按照國家相關規定,三級以上網絡不能采用國外產品。對于這種底線原則,應該毫不含糊地執行,而由此產生的重復投資,只能說明前期的安全建設沒有遵循統一的標準。
(2)目前信息系統中存在著大量沒有更新、升級,甚至淘汰落后的設備,通過等級保護的實施,需要對原有網絡系統進行加固,重新購買某些產品的服務,這種投資不能稱之為重復投資。
4 定級備案對象誤區
4.1 定級范圍
《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)規定了信息安全等級保護的定級范圍,包括:
(1)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(2)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業,部門的生產、調度、管理、辦公等重要信息系統。
(3)市(地)級以上黨政機關的重要網站和辦公信息系統。
(4)涉及國家秘密的信息系統。
4.2 定級對象確定誤區
政府行業在實際開展信息安全等級保護定級過程中,由于沒有對相關信息系統進行深入的定級對象分析,包括信息系統管理組織機構、業務應用、物理位置和運行環境等,經常會產生以下誤區。
4.2.1 定級對象安全責任單位不明確
按照要求,作為定級對象的信息系統應能夠唯一確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等工作,則這個下級單位可作為定級對象安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應當是這些下級單位共同所屬的上級單位。
而在實際定級對象確定過程中,很多單位和部門存在著安全責任單位確定的隨意性,例如對于一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,可能隨意指定一家下屬單位作為安全責任單位等情況,而其他下屬單位認為該系統的安全責任單位并非自己,存在疏忽和大意的情況,導致在定級對象備案、測評、整改過程中產生很多低效率環節。
4.2.2 定級對象不具備信息系統的基本要素
按照要求,作為定級對象的信息系統應該是由相關的或配套的設施設備按照一定的應用目標和規則組合而成的有形實體。
而在實際定級對象確定過程中,則存在將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象的情況,這些單一的系統組件往往不具備信息系統的基本要求,因此不應作為定級對象。
4.2.3 定級對象業務應用不單一或不獨立
按照要求,定級對象應承擔單一或獨立的業務應用,該業務應用的業務流程獨立,與其他業務應用沒有數據交換且獨享所有信息處理設備。
而在實際定級對象確定過程中,有很多應用系統其實是作為其他業務應用系統的一個分支或一部分,而不屬于(公信安[2007]861號)文件規定的定級范圍。例如船舶過閘收費系統、水情信息監測系統等只是作為一套遙測或監控系統,本質上是為上層業務系統提供數據支撐或實時監控的,與其他業務應用會發生數據交換,不應單獨作為定級對象。
5 等保級別確定誤區
5.1 安全保護等級劃分原則
《信息安全等級保護管理辦法》(公通字[2007]43號)規定了信息系統的安全保護等級劃分原則,見表1。
5.2 不同級別系統基本要求項的差異
按照要求,應根據“業務信息”和“系統服務”的需求確定整個系統的安全保護等級,不同級別的系統中,信息安全等級保護的基本要求有很大差異,對技術要求和管理要求的級別也不同,見表2。
5.3 定級誤區
政府行業在實際開展等級保護定級過程中,經常會因為各種原因造成定級偏高或偏低的情況。
5.3.1 定級偏高
如果系統定級偏高,則會造成該信息系統信息安全過度保護,會增加技術安全防護費用,同時大量增加管理成本。信息系統的測評的頻率和要求也相應提高,造成資源浪費。同時由于級別越高,系統的技術和管理要求越高,致使信息系統的易用性受到影響。總的來說,系統定級偏高,會形成“好鋼沒用在刀刃上”的后果。
5.3.2 定級偏低
如果系統定級偏低,則會造成該信息系統安全保護不到位,沒有根據系統侵害客體以及侵害客體的實際情況確定系統保護等級,相應的技術防護水平和安全管理要求難以滿足安全需求,且系統安全測評的頻率和要求也隨之降低。系統一旦發生安全問題,會形成管理部門的過度責任。
6 實施和測評誤區
6.1 系統定級后就完成了等級保護
很多部門和單位認為系統完成了定級也就完成了等級保護。其實,完成等級保護定級工作并不是萬事大吉,而是剛剛開始。套用一句廣告詞:“你才剛上路呢。”由于對政策的不理解,很多用戶認為完成定級就是完成了等級保護。其實,自定級只是等級保護的入門工作。
涉及等級保護的相關文件已經明確提出系統的安全問題遵循“誰建設誰維護”的原則。安全本身是動態的,這就決定了等級保護是長期、持續性的工作。等級保護最大的推動力是每半年或一年一次的系統檢查,檢查將統一用戶對等級保護建設的認識。
6.2 將安全測評等同于等級保護
在我國,目前主管部門安全認可的依據多數是系統安全測評的結果。主管部門根據系統測評結果判斷,如果殘余風險可以接受,則允許系統投入運行或繼續運行,否則信息系統便沒有達到特定安全等級的安全要求。沒有最終的主管認可過程,等級保護無法落到實處。從這個意義上講,進行等級保護建設、實施風險管理過程后的系統安全測評及行政認可是等級保護的落腳點。而不能認為系統做了安全測評就是完成了等級保護。
7 結語
當今的信息產業已經成為國民經濟重要支柱之一,政府信息系統對于提高政府公共服務能力,建設責任政府、法制政府和服務政府提供著重要支撐和保障。同時,政府信息系統的安全性問題也越來越重要,必然成為我國開展信息系統安全等級保護的重點。在政府部門開展信息系統安全等級保護過程中,必須嚴格按照等保相關規定和文件的要求,深入剖析政策內涵,做到政策理解到位,定級范圍合理,等保級別準確,實施過程完整,測評及時有效。
主要參考文獻
[1]朱繼鋒,趙英杰,楊賀,等.等級保護思想的演化[J].信息安全與通信保密,2011(4).
[2]張戈.等級保護的三大誤區[N].電腦商報,2008-03-03.
[3]中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例[S].1994.
隨著數字檔案館的建設和發展,檔案館從關注單個應用和單個資源的建設逐漸走向從集成的角度考慮架構層面和整體服務模式的問題,也即是檔案信息集成服務的問題。檔案信息集成服務是將檔案信息資源各要素有機地鏈接成一個整體,即通過網絡來收集內外部網絡的檔案信息,利用標準來規范網上的檔案信息格式,管理網上檔案信息的轉換和提取,分析復雜的檔案信息,理順檔案信息之間的邏輯關系,利用數據挖掘等技術提取有用的檔案信息,利用可視化等技術為檔案信息用戶提供一站式集成檢索服務,它具有個性化、智能化、性、協作性、高效集成的特點。
1全面質量管理在檔案信息集成服務中的應用分析
檔案信息集成服務是一項復雜的系統工程,在現階段要想做好該項工作,則應根據用戶的參與互動,定期了解檔案用戶需求、分析現有檔案信息集成服務中的現狀、找出存在的問題,根據問題分析找出相應的對策,并不斷加強各部門之間的協同合作以及對檔案信息集成服務效果和績效持續的掌握和測評等。然而,這些的實現則需要有一套科學并行之有效的管理理論和方法。當前,將全面質量管理思想和方法應用于檔案信息服務質量改進,從管理制度上和流程上規范檔案信息集成服務,降低成本和減少風險。因此,全面質量管理在檔案信息集成服務中的應用是一種較為理想的選擇,并具有十分積極的意義。
1.1全面質量管理在檔案信息集成服務中的應用過程
目前,在具體應用方面,根據全面質量管理中PDCA循環步驟,可以將檔案信息集成服務全面質量管理分為以下四個階段進行:
第一個階段:計劃階段(P)。這個階段的主要內容是通過用戶調查訪問以及情況反饋,確定檔案信息集成服務使命,找尋檔案信息集成服務中存在的問題及其形成原因,確定近期檔案信息集成服務發展計劃、經費投入分配等。
第二個階段:執行階段(D)。這個階段是實施計劃階段所規定的內容,在確立檔案信息集成服務方式前提下,根據檔案信息用戶需求、確定檔案信息資源集成共享的原則,建立跨部門資源共享、協調合作機制,不斷調整檔案信息集成服務方式以及流程、提高工作效率。
第三個階段:檢查階段(C)。這個階段主要是在計劃執行過程中或實施之后,檢查執行情況是否符合計劃的預期結果。
第四個階段:處理階段(A)。主要是根據檢查結果,對比預期結構,采取相應的措施進行調整。
這四個階段沒有終點,只有起點,順序執行的過程,也是檔案信息集成服務綜合效益不斷得到提高的過程。這四個階段具體規定了檔案信息集成服務的質量管理與實施流程。
1.2基于全面質量管理的檔案信息集成服務組織變革
在檔案信息集成服務中真正實施全面質量管理,筆者構建基于全面質量管理的“四力”組織變革模型,圍繞檔案信息集成服務戰略規劃,從曰常操作、跨系統管理、檔案信息集成服務計劃等方面實現檔案信息機構跨系統的資源重組與服務整合、多種異構檔案數字資源系統的共享以及通過檔案資源調度等與其他應用系統無縫集成來為用戶提供更多服務。
1.2.1基于全面質量管理的檔案信息集成服務組織變革模型
(1)全面質量戰略計劃的“牽引力”:檔案信息集成服務全面質量戰略主要是設計高效的集成服務業務流程,縮短服務時間,最大限度利用各類檔案資源,提高服務效率,為用戶提供卓越的檔案信息集成服務;保持以“人為中心”以及“利益均衡”的柔性集成管理原則,在管理過程中體現出和諧、協作、利益共享,使管理剛柔相濟,更加科學、實用、高效。
(2)提高組織中的人所產生的“執行力”:其主要任務是在全面質量戰略計劃的“牽引力”下,改變組織領導方式,建立橫向協調機制,促進各個檔案信息服務機構的資源共享,協同工作;協調組織內上下級之間的關系,調動員工的積極性。培育學習型組織,激發員工學習的積極性提高組織中的人的綜合素質以及技術技能,提高組織的核心競爭力;調動檔案用戶參與的欲望,實現檔案信息資源、檔案服務機構以及用戶的集成管理。這種由人的因素所產生的“執行力”在全面質量管理中起到推動作用。
(3)整合組織中的物所帶來的“運營力”:在全面質量戰略“牽引力”下的推動下,一方面,通過流程重組,跨部門的合作和資源共享提高效率,變革組織結構。另一方面,強調建立以集成服務質量為核心,服務流程為評估對象的效益評估機制,用戶滿意度以及檔案機構集成效益為標準的雙互動反饋機制,即用戶與檔案信息服務機構以及檔案信息服務機構之間的反饋機制。
(4)全面質量戰略計劃的“支撐力”:關注用戶的需求,強調團隊合作的理念,通過人力資源的全面整合,持續改進質量,提升組織文化。組織文化是指一個組織在長期的生存發展中形成的,為組織多數成員共同遵循的基本信念、價值標準和行為規范。它能引導員工始終不渝地為實現企業的目標而努力,促進員工使命感、自豪感、歸屬感的形成,從而使員工在潛意識中形成一種對企業強烈的向心力。[9]組織文化的提升形成了全面質量管理的“支撐力”。
基于“四力”作用的全面質量管理的檔案信息集成服務組織變革模型中全面質量戰略為檔案信息集成服務全面質量管理指明了方向,為其確定遠景目標和實現目標的路徑,是檔案信息集成服務全面質量管理前進的“牽引力”;全面質量文化是員工共同遵循的價值標準,屬于全面質量管理的土壤,是實施檔案信息集成服務全面質量管理的“支撐力”;全面質量戰略和全面質量文化是組織領導與組織學習、組織結構與效益評估的驅動器,對其分別形成右左推動力;組織領導和組織學習在左右推動力作用下,再加上自身變革所產生的創新對檔案信息集成服務全面質量管理形成強大的“執行力”;同理,組織結構、效益評估在左右推動力作用下,加上自身變革所帶來的適應性對檔案信息集成服務全面質量管理帶來高效的“運營力”。“執行力”和“運營力”在“牽引力”的拉動下,“支撐力”的驅動下,推動檔案信息集成服務全面質量管理沿著戰略所確定的方向和路徑前進。
1.2.2基于全面質量管理的檔案信息集成服務組織變革內容
根據“四力”作用的全面質量管理檔案信息集成服務組織變革模型可以看到檔案信息集成服務的內容主要包括檔案信息集成服務計劃、檔案信息集成服務部門跨系統管理、曰常操作等:
(1)檔案信息集成服務計劃。檔案信息集成服務計劃的內容包括幾個部分:①實施檔案信息集成服務全面質量管理的長期目標和當前目標;②明確持續集成服務質量改進的組織結構和任務;③整合跨系統檔案信息資源,建立集成服務的資源共享機制;④建立橫向協調機制,促進人力資源調整,確定團隊合作的組織結構;⑤確定優化效益的激勵機制與懲罰機制;⑥確定檔案信息集成服務用戶互動方式;⑦提高檔案信息集成服務效益的流程改進方案;⑧明確適當的用戶反饋機制以及檔案信息服務機構之間的反饋機制等。
(2)檔案信息集成服務部門跨系統管理。跨系統管理是由于檔案信息集成服務的跨系統資源共享,協同服務產生的。它也是全面質量管理的重要環節,其主要內容包括:①跨系統用戶服務方式的確定;②跨系統用戶模型以及使用管理;③檔案信息集成服務動態聯盟的構建以及協同管理;④跨系統服務質量評價與控制;⑤跨系統服務知識產權的政策;⑥跨系統服務利益分享原則等。
(3)曰常管理。由負責評價檔案信息集成服務質量的專業人員組成的質量改進團隊負責在檔案信息集成服務日常操作中不斷持續改進質量,解決檔案信息集成服務中存在的具體問題,為用戶提供能夠滿足其各方需求、并能支持檔案信息創新型服務。
交流以及跨系統交流貫穿于曰常管理、檔案信息集成服務部門跨系統管理、檔案信息集成服務計劃三大模塊之間,貫穿于檔案信息集成服務全面質量管理的全過程。正是通過各種形式的交流,以及全面質量戰略計劃的“牽引力”、提高組織中的人所產生的“執行力、整合組織中的物所帶來的“運營力”以及提升組織文化所形成的“支撐力”的作用下,使三大功能模塊之間才建立起了順暢的信息傳遞和反饋機制,保證了檔案信息集成服務全過程中全面質量管理的順利進行,最終實現異構檔案信息資源的共享以及面向用戶的一站式檔案集成服務。
2實施檔案信息集成服務全面質量管理的措施
引入全面質量管理思想和方法,形成一個相對合理的檔案信息集成服務決策機制、合理的組織機構、科學公平的評估機制、高效的組織學習機制,提高檔案信息集成服務效益。因此,建立科學高效的檔案信息集成服務全面質量管理措施十分重要。
2.1制定切實可行的全面質量管理實施計劃
計劃是行動的先導。檔案信息集成服務要想實施全面質量管理,必須要有一套切實可行的計劃。在當前,為了制訂出切實可行的計劃,檔案信息服務部門的首要任務是評估用戶的需求,通過各種方式對用戶尤其是核心用戶的需求進行充分的調查分析,了解用戶的具體需要及其對檔案信息集成服務的要求;并根據用戶需求以及檔案信息服務的對象、經濟狀況、基本服務條件、國家政策等實際情況,制定出服務的發展總體規劃以及近期的目標,確定服務質量的標準、方針和目標,并制定相應的具體實施措施。另外,在制定具體實施計劃時,還要注意到檔案信息集成服務全面質量管理是一個持續不斷改進的過程,它需要檔案信息服務部門每個工作人員的積極配合和參與,并明確各層管理者擔任的相應責任。具體而言,即是作為最高管理者,應當具有強烈的責任感和使命感,其職責主要在于闡明檔案信息集成服務全面質量管理的價值,確立檔案信息集成服務的發展目標,建立組織內外的溝通渠道,在質量控制與用戶期望值之間建立密切的聯系。作為中層或低層管理人員,應當成為全面質量管理獲得成功的柱石,承擔具體項目的管理責任,推動檔案信息集成服務在各方面的改進和發展,確保檔案信息集成服務工作質量符合或超過標準。
2.2培養全組織“質量至上”的新質量觀
全面質量管理所帶來的是一種文化上的轉變,是觀念的更新。檔案信息集成服務全面質量管理的實施,需要轉變傳統觀念,在全組織中培養一種“質量至上”的新質量觀。在培養全組織新質量觀方面,一是要對全組織成員實施質量管理培訓和教育。通過培訓教育使全組織員工明了檔案信息集成服務全面質量管理的意義和價值以及相關操作等,牢固樹立“質量第一”和“用戶第一”的思想和宗旨,為檔案信息集成服務全面質量管理奠定思想基礎,創造良好的組織文化氛圍。二是以人為本,充分調動各級人員的積極性,推動全員參與。因為只有以人為本,全體員工的積極參與,才能夠集思廣益,調動全員的積極性,讓全面質量管理真正深入到檔案信息集成服務工作的每一個環節和細節,才能真正實現對檔案信息集成服務全過程進行質量控制與管理。三是在檔案信息集成服務全面質量管理實施的過程中,要把用戶放在中心位置,讓用戶需求來引導檔案信息服務工作的決策。也即是,實施全面質量管理的檔案信息服務部門需要以顧客的角度進行思考,“以用戶的眼睛看世界”,將用戶滿意作為檔案信息集成服務質量評判的最基本標則。
2.3建立科學的全面質量管理控制體系
隨著國家對農村信息化建設投入的不斷提高,農民應用現代信息技術的意愿不斷增強,現代信息技術在指導農業生產、促進農民增收等方面也取得了喜人成果,農民的文化水平得到了有效提升。近年來,一些學者在信息服務方面做了相關研究,例如鄭風田、許竹青以手機載體為例,進行了信息溝通技術對漁民收入、社會角色的研究等[1~3];吳元元研究了以信息為基礎的公共治理[4];王可山探討了食品安全信息的經濟學屬性[5];張莉俠、劉剛發現上海市民最信任政府信息[6];何坪華、焦金芝、劉華楠等研究表明消費者安全意識程度和電視信息對重大食品安全事件關注度顯著影響[7];周應恒、霍麗、彭曉佳認為信息強化對消費行為具有影響等[8]。然而,隨著近年來非法添加劑等食品安全事件不斷爆發,食品安全問題正在向邊遠農村地區和城鄉結合部轉移,使原本食品安全監管就很薄弱的農村地區,更易發生重大問題[9],而現有文獻鮮有對我國農村居民食品安全信息服務需求的研究。關注我國農村居民利用信息技術獲得食品安全知識的狀況,特別是《食品安全法》實施以來,我國農村居民對食品安全信息服務的需求,成為我國農村現代化和信息化進程的現實問題之一,為此,本文擬以實證分析方法對該問題進行探討。
4總結與思考
通過研究可以得到三點結論。第一,目前我國農村居民對食品安全信息的關注在增強,對食品標簽信息中的生產日期、保質期和營養成份表最為關注,并重視觀察嬰幼兒食品、食用油和乳制品的標簽信息,但是對致敏成分、轉基因產品的標簽等關注度較低。大多數的農村居民能夠了解禽流感疫情、禁用劇毒農藥等安全監管政策,對下架、準入等食品安全監管手段也有一定了解,但是對食品安全法的知曉率較低。第二,農戶期望的信息途徑首選電視傳媒,表明信息傳播工具的普及性和傳遞內容的呈現形式影響較大。同時,對信息傳播主體的信任度也是主要影響因素,例如親朋好友、同事鄰居和專家學者。農戶迫切需要了解的食品安全信息內容有食品營養知識、質量認證知識和投訴渠道。對政府提供信息服務的第一訴求是有效打擊食品安全的違法犯罪行為。第三,農戶對食品安全信息服務需求的顯著影響因素為女性比例、監管措施認知、嬰幼兒食品標簽信息、食用油標簽信息和標簽營養成分信息。
一、消防安全網格化管理工作現狀
近年來,西寧市堅定不移地推行鄉鎮、街道消防安全“網格化”管理模式,構建了“機制健全、責任明晰、力量整合、管理規范”的基層消防工作新格局,筑牢了社會火災防控根基,西寧市共建立街道級消防安全網格40個,鄉鎮級消防安全網格98個,街道鄉鎮劃分小網格1356個;全市共落實網格長1065名,網格員2346名,網格信息員2980名。就目前的消防安全形勢和社會面消防安全水平現狀而言,消防安全網格化管理工作遭遇了現實瓶頸,只有突破瓶頸,才能實現消防管理的進一步優化升級。
(一)工作經費保障難題有待突破。目前部分地區的消防安全網格化管理工作保障性經費尚未實現納入地方財政預算足額保障,難以滿足隨著城市建設發展逐年遞增的要求。部分經濟實力較強的鄉鎮街道投入資金,為鄉鎮專職消防隊、志愿消防隊或“保消合一”隊伍配備了消防裝備和器材,但后續的管理和保養工作經費卻未能跟上,導致裝備和器材閑置損壞報廢的情況出現。
(二)基層消防部門負擔有待減輕。基層消防部門的監督干部數量有限,管轄范圍大、列管單位多,消防安全形勢復雜,時刻面臨著工作能力與工作成效的考驗。消防安全網格化管理工作再次將公安消防部門作為主力軍,一旦遇到當地相關部門重視程度不夠、責任意識不強的情況,基層消防部門的角色將由“推動”變為“拖動”,工作負擔進一步加重。
(三)網格工作效能有待全面提升。從全市檔案臺賬看,消防安全網格化管理工作組織健全,各級網格均建立了消防安全委員會或消防辦公室,部分縣區建立了完善的聯席會議制度,定期討論解決消防安全問題,部署消防專項工作。但網格化工作中走形式走過場的心態依然普遍存在,工作效能有待進一步提升。
二、社會服務管理創新工作帶來的機遇
構建“網格化管理、信息化支撐、全程化服務、法治化保障”的社會管理新體系,提升社區網格化服務管理水平,加強基層基礎建設,其為消防工作帶來的機遇主要有以下幾點。
(一)政府高位部署推進。政府高度重視社區網格化服務管理工作調度會議。對網格員招錄工作、信息平臺建設工作和社區網格化服務管理體制機制創新工作十分重視。
(二)各級各部門廣泛聯動。政府牽頭建立了聯動工作機制,并就矛盾糾紛排查調處、社區網格員招錄、社會管理綜合信息平臺建設和志愿者隊伍建設等工作進行了培訓與交流,消防安全管理工作作為一項重要內容被納入培訓交流。
(三)經費保障落實有力。政府明確網格管理員屬政府服務公益性崗位,固定的崗位、穩定的工資能夠創造一個栓心留人的工作環境,適當的績效考核能夠有效增加工作動力,有效的經費保障必然使網格管理員成為一個頗受歡迎的崗位。
(四)信息平臺功能強大。依托現代信息技術,西寧市加快社區網絡基礎設施建設,整合社區現有部門專網和業務應用系統,建設了全市社會管理綜合信息平臺。從火災隱患整治角度而言,社區網格員可以對所負責網格的火災隱患實施深入排查并實時錄入社會管理綜合信息平臺,能夠深入并實時掌握社區基層火災隱患查改情況;從火災撲救角度而言,消防員可以在火災發生的第一時間迅速詳細掌握建筑結構性質、內部人員情況、周邊水源情況等重要信息。
三、消防管理和社會服務管理創新工作對接中的主要問題
(一)網格劃分有所不同。在全國“清剿火患”戰役中推廣的消防安全網格化管理是以各級行政轄區為單元劃分鄉鎮街道級網格、村(居)委員會級網格、村組樓院社會單位級網格。西寧市社會服務管理創新工作則是以100戶左右的規模為標準,將4個區、3個縣、4個開發(新)區下轄的156個村委會、352個居委會和45個家委會劃分為3689個網格。不同的網格劃分將導致管理體制上的差異,給對接工作造成障礙。
(二)網格員的流動性。政府招聘的網格員以勞務派遣的方式進行用工管理,依法簽訂勞動合同。據了解,西寧市類似的勞務用工崗位年流動率達20%以上,工作人員崗前培訓的問題、崗位工作經驗積累傳授的問題和穩定并留住人才的問題需要得到妥善解決。
(三)火災隱患舉報投訴的處理。依據西寧市社會服務管理創新工作的網格劃分方式,全市共有3689個網格,按每周平均每個網格發現隱患4處計,每周將有14756處隱患錄入系統,傳送到消防支隊網絡終端等待支隊按照火災隱患舉報投訴流程處理,較大的工作量將給消防部門帶來壓力。
四、借西寧市社會服務管理創新工作實現消防管理優化升級
針對消防管理和社會服務管理創新工作對接中出現的主要問題,同時借鑒外省市消防部門在對接跟進工作中的經驗,筆者淺談幾點工作建議。
(一)建立網格管理員消防業務定期培訓機制。依托網格監管中心建立“上崗必訓、分批輪訓、特事特訓”的培訓機制,將消防安全培訓演練作為其中的一部分,對網格管理員進行普及掌握。上崗必訓,即由網格監管中心組織新招錄的網格管理員開展崗前消防業務知識培訓;分批輪訓,即分季節、分重點時段由各消防大隊聯系本地網格監管分中心,安排年度培訓計劃,結合網格員四項基本職責進行細化培訓;特事特訓,即根據不同的專項行動任務目的要求,有選擇地對網格員進行任務分配和專項培訓。
十幾年來,勤勞智慧的藍盾人憑借高度民族使命感和責任感,自主研發出十個系列、近50個型號的產品,多項產品通過公安、保密、軍隊等權威主管部門的檢測認證。
藍盾擁有AAA級企業信用等級,在經營活動中始終堅持“誠信服務”,追求細致卓越,高效服務客戶,以客戶需求為導向,在發展過程中逐步形成了涵蓋安全產品研發及銷售、安全集成及安全服務的完整業務體系,形成了強大的綜合服務能力。藍盾已成為一家安全產品、安全服務、安全集成多業務齊頭并進的綜合性信息安全企業。
藍盾建立了以廣州營銷總部為中心,以北京、上海、重慶為支點,輻射全國的營銷和技術服務體系。作為華南地區信息安全第一品牌,藍盾目前已擁有覆蓋全國,涉及政府、電信、金融、軍隊、能源、交通、教育、流通、郵政、制造等行業的近千余家客戶。藍盾雄厚的實力和一流的服務為公司贏得了廣大客戶的高度贊譽。
1.安全產品
藍盾擁有包括安全網關、安全審計、應用安全在內的三大類、十大系列、50多個品種的安全產品線,可基本滿足客戶在網絡邊界安全、安全審計與合規、應用安全等方面的信息安全需求。
2.安全集成
作為主營業務之一,藍盾安全集成業務包括自有的和第三方的信息系統安全產品銷售、基礎信息系統建設、應用信息系統開發、信息系統運維服務、信息系統安全運營等。藍盾已為政府、教育、金融、電力、醫療等行業的多家客戶提供了信息安全系統整體解決方案。
有別于傳統的系統集成業務,藍盾安全集成業務以公司自有信息安全產品和業務整合為基礎,以信息系統安全運營服務平臺為基礎結構,建立了覆蓋產品研發、方案設計、銷售和集成、工程實施、管網建設和運營服務的一整套信息系統安全運營業務支持體系,成功實現了從傳統信息系統集成業務到以信息安全產品為基礎、提供信息系統安全運營整體服務的戰略跨越,從而確立了公司整體解決方案在信息安全市場中的領先地位。
3.安全服務
藍盾提供的安全服務主要包括安全咨詢與評估、專業化安全檢測與防護、安全認證培訓服務、安全運營及管理、安全技術支持等。經過多年積累,藍盾已為上百家客戶提供了專業化的服務,構建了覆蓋不同行業客戶及客戶不同發展階段的信息安全服務體系。
信息安全產品的研發、生產和銷售是藍盾業務體系的基礎。它對信息安全集成及信息安全服務的發展起著至關重要的作用。安全產品業務能夠有效促進公司安全集成與安全服務業務的實現和業務量的提升。安全集成與安全服務業務同時還會促進安全產品技術和應用水平的提升。隨著技術實力和安全產品競爭力的提高,藍盾提供整體解決方案的能力也在逐漸增強。在安全集成業務收入快速增長的同時,藍盾自有安全產品的銷售額也在快速增加。
技術創新 締造優勢
藍盾始終以自主創新為發展原動力,以領先的技術研發搶占市場。經過多年的探索和積累,藍盾已掌握了信息安全領域內的主要核心技術,并擁有該領域內近百項軟件著作權。藍盾目前掌握的主要技術處于國內領先地位,其中藍盾DDoS防御網關采用的零積累智能識別技術達到了國際先進水平。
憑借領先的技術實力,藍盾先后實施了包括公安部科技攻關項目在內的多項國家級、部級、省市區級的重點信息安全科研項目,并在公安部等部委制定服務器安全類產品和安全審計類產品行業技術標準的過程種發揮了重要作用。
此外,藍盾還成功地為北京奧運會和殘奧會提供了信息安全產品和服務,并因此獲得了北京奧組委頒發的榮譽獎章。
專業資質 彰顯實力
安全行業是國家強制性保護的行業,獲得資質或許可的多少是衡量信息安全企業競爭實力的重要標準。
藍盾具有技術優勢及綜合服務能力,已擁有商用密碼產品銷售許可證、軍隊網絡采購信息資格認證、信息系統產品檢測證書、軍用信息安全產品認證證書、產品銷售許可證、中國信息安全認證中心產品認證證書、廣州市自主創新產品證書,并取得了計算機信息系統安全服務一級資質證書、計算機信息系統集成一級資質證書、計算機信息系統集成乙級證書、信息安全應急處理服務資質、信息安全風險評估服務資質等業務資質,還獲得了包括信息安全產品、信息安全集成及信息安全服務在內的所有業務類別的較高級別資質和許可,是業內獲得資質和許可最全的企業之一。
綜合服務 鑄就品牌
藍盾的各業務模塊能相互促進,共同發展,從而形成了較強的綜合服務能力。
藍盾的信息安全產品可滿足客戶在網絡邊界安全、安全審計與合規、應用安全等方面的信息安全需求,并能為客戶設計和實施信息安全方面的整體解決方案,滿足客戶系統化、個性化的安全需求。
此外,藍盾還可以為客戶提供安全咨詢與評估、安全檢測與防護、安全認證培訓服務等專業化的安全服務。藍盾完整的業務體系及豐富的產品種類可滿足不同行業客戶的信息安全需求,增強公司的綜合競爭力。
藍盾建立了輻射全國的營銷和技術服務體系,這為公司掌握信息安全領域的最新市場動態、及時響應客戶需求提供了重要保證。
客戶穩定 促進增長
信息安全行業的特殊性決定了下游客戶對信息安全提供商存在一定的依賴性。隨著社會各界對信息安全要求的逐步提高,下游客戶在信息安全系統建設和升級的過程中會對安全產品、安全集成及安全服務產生交叉消費和重復消費。
因此,下游用戶對信息安全領域的投入是持續性的。藍盾現有的客戶資源既是穩定的業務來源,也是宣傳品牌、擴大影響力的最好載體,這有利于新市場及新客戶的開拓,也為公司的持續盈利提供了重要保障。
精英匯聚 引領成功