中小企业安全体系构建(共8篇)
1.中小企业安全体系构建 篇一
2.1整体推进原则
该原则主要是电力安全管理体系应是安全制度、安全责任、安全设备、安全培训等多个方面的综合性体系,所以应在把握整体的基础上,从以上多个方面入手进行安全管理工作的创新、控制与预防,最终形成全面覆盖的安全管理体系。
2.2正面引导原则
正面指导原则主要是指可以通过大对安全生产成果、事迹以及先进理念的大量正面宣传,从而起到对电力企业员工的有效引导作用,使人人树立起“安全有我、我要安全”的思想观念,为安全体系的构建创建出良好的环境氛围。
2.3注重实效原则
实效性原则主要是指在进行安全管理方法选取的过程中,应在贴近实际以及切合基层的基础上,不断丰富安全管理内容,并通过安全文化的构建提升安全管理体系的文化吸引力。2.4以人为本原则电力安全管理体系的以人为本原则主要是由于安全管理活动的主体和客体都是人,其对安全管理工作的成效性有着决定性的.影响,所以安全管理体系的构建应充分注重对人员潜能的挖掘并注重调动人员积极性,从而使安全管理体系具备人性化特征。
2.中小企业安全体系构建 篇二
随着企业信息化水平的提升, 大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备, 但信息安全防护理念还停留在防的阶段, 信息安全策略都是在安全事件发生后再补救, 导致了企业信息防范的主动性和意识不高, 信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范, 来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中, 防护设备和防护策略只是其中的一部分, 企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时, 绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前, 应制定企业员工信息安全行为规范, 有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行, 保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训, 强化企业员工对信息安全的概念, 提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时, 就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源, 并且可以根据员工级别分配人员访问权限, 达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构, 在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时, 我们需要重点关注以下几个方面:
3.1 实施终端安全, 规范终端用户行为
在企业信息安全事件中, 数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前, 企业员工对自己的个人行为不规范, 造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为, 我们在建设安全防护体系时, 仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前, 就对用户的终端系统进行安全规范检查, 符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计, 使得企业员工的操作行为符合企业制定的上网行为规范, 从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中, 考虑总部和分支机构的信息化需要, 必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSec VPN, VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接, 这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下, 就必须做好对于移动终端的身份认证识别。其实我们在设备采购时, 可以要求设备商做好多种接入方式的需求, 并且帮助企业搭建认证方式。这将有利于企业日常维护, 提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时, 要面对多个部门和分支结构, 合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下, 根据企业安全优先级及面临的风险程度, 做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护, 真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系, 重要的优势就是能实现对全网安全设备及安全事件的统一管理, 做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志, 如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时, 企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时, 就必须要考虑安全设备日志之间的统一化, 设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划, 实施过程中根据不断出现的情况及时调整安全策略和访问控制, 保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定, 这样才能为企业的信息安全提供生命力和主动性, 真正为企业的核心业务提供安全保障。
摘要:随着云计算、信息化、虚拟化等技术在企业的广泛应用, 大多数企业实现了核心业务的数字化, 使得企业的管理效率得到了提升。同时数字化成果的积累, 也给企业在核心数据上的带来了越来越多的风险。所以对企业的信息化安全提升提出了新的要求。
关键词:信息安全,管理,控制,构建
参考文献
[1]郝宏志.企业信息管理师[M].北京:机械工业出版社, 2005.
3.如何构建企业信息安全体系 篇三
为了保障企业的信息安全,必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容(如图1所示),四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略,由安全组织(或人员)以安全技术作为工具和手段进行操作,来维持企业网络的安全运行,从而使网络安全可靠。
安全体系的普遍问题
当前大多数企业的信息安全体系普遍存在以下四方面的问题:
信息安全策略方面:许多企业没有统一的安全运行体系;公司的安全策略没有正式的审批和发布过程,没有公司的行政力度进行保障,使得安全策略在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
信息安全组织方面:缺乏完整、有效、责权统一的专门的信息安全组织,只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属,工作的开展与落实有困难;缺少信息安全专业人员,缺乏相应的安全知识和技能,安全培训不足;缺乏对于全员的信息安全意识教育,桌面系统用户的安全意识薄弱。
信息安全技术方面:用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰,网络安全技术的采用缺乏一致性。
信息安全建设与运行方面:没有建立起完善的IT项目建设过程的安全管理机制,应用系统的开发没有同步考虑信息安全的要求,存在信息安全方面的缺陷;日常的安全运维工作常处于被动防御状态;缺乏明确的检查和处罚机制,多数企业在运维管理方面缺乏统一的安全要求和检查;缺乏应急响应机制;对已有安全设施的维护、升级和管理不到位。
面对以上种种问题,企业必须认真考虑下列问题: 企业如何建立信息安全策略体系?企业信息安全组织如何建立?企业信息安全技术是否有效可靠?企业信息安全建设与运行是否有完整的制度保障?要解决这些问题,企业应充分利用成熟的信息安全理论成果,设计出兼顾整体性、具有可操作性,并且融策略、组织、运行和技术为一体的信息安全保障体系,保障企业信息系统的安全。
信息安全策略体系
信息安全策略体系规划为三层架构,包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则(如图2所示),涉及的要素包括信息管理和技术两个方面,覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
技术安全体系
在IAARC信息系统安全技术模型中,包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分,当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素(如图3所示)。
充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施),同时,结合信息安全所保护的对象层次,以及目前主流的信息安全产品和信息安全技术,完善企业信息安全技术体系框架。
整个企业信息安全技术体系的总体框架如图4所示:
物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
网络层安全
要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求,将网络从总体上分成四个安全域,即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
安全边界的防护。边界是不同网络安全区域之间的分界线,是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要,采取相应的安全技术防护手段,制定合理的安全访问控制策略,控制低安全区域的数据向高安全区域流动。
针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN(虚拟专用网)是为通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估,决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略,将其放入隔离区以修复,或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
做好网络设备登录认证。建立集中的网络设备登录认证系统,用于对网络设备维护用户的集中管理,认证用户的身份,决定其是否可以登录到网络设备;通过定义不同级别的用户,授权他们能执行的不同操作,记录并审计用户的登录和操作。
系统层安全
做好系统主机的入侵检测,针对系统主机的网络访问进行监测,及时发现外来入侵和系统级用户的非法操作行为;要做好系统主机的访问控制,系统主机访问控制提供给系统安全管理员最有效的方法,从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固,定期对服务器操作系统和数据库系统进行安全配置和加固,在不影响业务处理能力的前提下对系统的配置进行安全优化,以提高系统自身的抗攻击性,消除安全漏洞,降低安全风险;做好主机的安全审计工作,提供全面的安全审计日志和数据,提升主机审计保护能力,对审计数据的访问进行严格控制,加强对审计数据的完整性保护。
应用层安全
随着各种各样的系统应用不断深化和普及,一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁,应着力抓好六个方面的工作:建立应用安全基础设施;健全应用安全相关规范;改进应用开发过程;组织关键应用安全性测试;加强应用安全相关人员管理;制定应用安全文档及应急预案。
终端层安全
加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备(主要是台式计算机、笔记本电脑和其他移动设备等)进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制,包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分,对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括:开发容灾计划,通过对不同等级的信息系统容灾需求分析,确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等,设计容灾方案;备份与恢复基础设施的建设,包括建立异地灾难恢复系统和重要数据的本地备份设施。
信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分,能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育,提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作,组织与职责的清晰定义可以有效地促进信息安全各项工作的进行,包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员,提升整个企业人员安全的水平,同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。
信息安全建设与运行体系
4.中小企业安全体系构建 篇四
燃气企业安全管理体系构建关键性问题分析作者:刘瑛
来源:《科技创新导报》2012年第03期
摘要:燃气企业作为社会的公用事业企业,肩负着为人们生活,生产提供燃气资源和保障燃气安全供应等社会责任。但燃气企业安全管理体系的构建仍然存在一定的问题,这些问题成为事故的隐患,甚至可能产生灾难事故。因此,本文将对燃气企业潜在的影响安全体系构建的关键性问题进行分析,探讨如何建立完善的安全管理体系,确保企业的安全,稳定供气,预防安全事故的发生。
关键词:燃气企业 安全管理体系 安全事故问题
中图分类号:TU906 文献标识码:A 文章编号:1674-008X(2012)01(c)-0201-011 燃气企业安全管理存在问题的原因分析
1.1 日常管理的问题
燃气企业管理体系的安全隐患,大部分集中于日常管理当中,目前社会对燃气需求的新形势要求燃气企业的安全管理体系上升至更高层次,但滞后的日常管理模式制约着体系的更新,常见的问题主要表现为以下儿个方面:首先是企业没有对燃气管道进行检测维修,很多管道甚至使用了几十年,老化现象严重,其安全性和可靠性也是个未知数,随着时间的推移和城市的改造,这些管道随时可能成为事故的“定时炸弹”。其次管道施工时的防范管理措施没有考虑到道路改造或者建筑物施工的影响,譬如燃气管道原本不在道路的下方,城市的改造需要拓宽道路,致使燃气管道在改造后位于道路的下方,而原先的燃气管道没有做出受压加固处理和防火间距处理,道路投入使用后,行驶车辆的压力很容易造成管道受压损坏,从而导致燃气泄露或者破裂。再次,由于使用燃气的用户数目多,而且每年都在以干、万为单位地递增,而燃气入户的用户不配合安全巡检或者错过安检,导致燃气管道泄漏、老化、改动和锈蚀等问题被遗漏,无法有效消除燃气安全隐患。
1.2 事故处置能力的问题
燃气企业自身应对燃气事故的处置能力,是其安全管理体系的重点之一。但燃气企业显然缺乏这方面的能力:首先是企业事故应急抢险队伍装备落后,缺乏比较先进的机具设备和机动性较强的抢险车辆,而抢险队伍缺乏应急演练,处置能力有待提高;二是企业在事故处理方面没有专人负责,检查标准的要求过于笼统,譬如在应急指挥方面不统一,而导致应急反应和运转滞后,再加上应急机制责任落实不到位,燃气事故也就得不到有效处置。再次是燃气企业的现场检测、堵漏、防护等技术装备的配置以及规范设置等,很多时候处置人员到达事故现场
后,由于掌握资料不足和装街制约,不能够在短时间内查明事故原因,事故的处理处于盲目的状态,也难以制定正确的应急战术。
1.3 安全管理的制度问题
安全管理人员是燃气企业安全管理体系的执行者,也是杜绝燃气事故的关键,随着燃气企业的多种经营体制的发展,已经出现安全管理人员综合素质的各种问题,主要表现为:首先是某些经营不规范的燃气企业,为了追求企业效益的最大化,忽视了安全管理人员的专业培训,有些人员没有经过培训就上岗作业,作业后也没有进行复训,对于燃气安全管理的知识知之甚少,既没有能力检测安全隐患,也没有能力进行安全知识宣传。其次是企业的培训机构不够专业,没有权威部门的认可授权,管理人员的知识结构悬殊很大,有些培训只是形式主义,有些是以盈利为目的重复培训,燃气经营单位受到培训条件和l水平的制约,安全培训只是简单的过场。燃气企业安全管理体系构建的要点
2.1 加强燃气企业的日常管理
燃气企业的日常管理包含四方面的工作:(1)辨识危险源,这一项的工作需要企业全体人员参与,采取各种方法进行实施,主要有人、物、环境和管理4个方面,随着企业的发展,辨识工作还要进一步完善或改进。(2)为确保企业生产的安全,安全生产人员要严格遵守设计工艺的规范要求,尤其是在生产任务繁重的时候,要杜绝修改流程的情况发生,对生产进行严格监控,另外复杂环境下地操作,也要防止违规操作,避免事故发生。(3)为了保证企业生产安全,必须加强各级的信息沟通,并制定相应的沟通制度,确保信息传递的完整性,构建完整的沟通渠道。(4)为了避免安全管理考核指标与重大事故预防重视程度的偏倚,应该对安全管理系统进行综合的分析和管理,譬如在关注职工健康和安全的同时,也要兼顾生产的安全工作执行情况,做到两不偏倚。
2.2 提高事故处置能力的方法
燃气企业安全管理体系以预防为主,但也不能够忽视安全事故发生时的处置,笔者认为提高事故处置能力的方法主要有三个方面:(1)建立良好的事故分析机制,除了在技术缺陷的层面上分析,还要将组织管理上的问题作为重点对待,将这些问题作为事故分析机制的切入口,我们要通过对企业安全体系组织管理进行漏洞检查,就能够判断事故发生概率。(2)建立安全管理网络,以企业的安全管理目标和制度为基础,构建安全管理网络,一是要从企业的实际出发,将安全管理工作细分,然后落实到各部门,再由各部门落实到人,二是特殊和大型作业的专项负责,一定要做到安全管理无空挡、无死角。(3)加强现场的安全管理,现场是燃气企业安全管理的落脚点,现场既体现了安全管理工作的落实状况,也是燃气企业提高事故防范能力的重要依据,现场的管理重点是通过保证人、设备、环境等的安全,进行现场的安全工作的规范管理,提高安全管理水平。
2.3 企业安全管理制度的完善
5.校园安全保障体系及其构建 篇五
校园安全保障体系及其构建
一、建立明确的领导分工体系
校长全面负责学校安全稳定工作。政教副校长分管学校安全工作。包括安全档案、安全教育、法制教育、治安、消防、交通管理、校园及周边环境的安全。联系政教处,安全办。后勤副校长负责食堂、小卖部食品卫生、基础设施建设、校舍、建筑物、水电气、消防器材、压力容器等安全生产工作或维护更新,联系总务处、办公室、团委。副校长负责学校档案、师德师风、集体上访、教学活动、电教设施设备、危化品、网络与信息等安全生产工作。联系教导处、教科室。
二、明确安全职责及建立工作小组
(一)、建立安全稳定工作领导小组。
由校长任组长,副校长任副组长,其他行政人员为成员。领导小组下设办公室、安全办。
(二)、落实安全责任制。
全校安全稳定由校长负总责;副校长具体负责;行政值周是该周安全主管;各块分管领导为该块安全稳定第一责任人;部门领导为安全具体责任人;年级组长为本年级直接责任人;各班主任是该班安全稳定第一责任人;科任教师是该堂课和课间管理(包含楼道管理)的直接责任人;各部门具体工作人员为直接责任人;值周教师是该周的安全责任人。
(三)、建立安全工作组
1、食品卫生安全工作组 具体职责:
①每周定期召开食品安全会,督促食堂超市工作人员严格执行操作规程,做好食堂内外环境卫生,炊餐具消毒,室内杀虫灭鼠,注意个人卫生、保持良好的习惯。
②定点采购物品,查验合格证、填写进货记录单,确保所购物资符合卫生要求和质优价廉。
③督促从业人员定期体检,杜绝疾病人员从事餐饮工作。④禁止非食堂人员进入食堂操作间和仓库,防止有毒病菌带入。⑤坚持食物按照上级规定时间留样,杜绝中毒事件发生。
2、消防、紧急疏散工作组 具体职责:
①每学期开展一次消防知识讲座,培养学生灭火、防火知识,增强学生自我保护能力。
②每期开展一次消防疏散演练。坚持集合疏散两路纵队进出,任课教师指挥。
3、教育教学活动安全工作组 具体职责:
①任课教师是当堂课安全的第一责任人,从预备铃响到下课铃响这段时间,对学生的安全全程负责。
②上课前清点缺课学生并做好记载,课后将缺课学生名单告知班主任
及时与家长取得联系。上室外课的教师下课前还要注意清点学生是否与上课一致,以防学生私自离校。
③教育学生时,教师必须在现场,不准将学生站在教室外或者留在办公室。
④规范课堂教学行为,严禁体罚和变相体罚学生。⑤严禁擅自脱离课堂和不按操作程序进行实验教学等。⑥学生集合、集会等活动必须制定切实可行的安全预案。
4、校舍场地及设施设备安全工作组 具体职责:
①定期检查。对校舍场地及设施设备进行安全检查,一日一小查,一周一中查,每月一次大排查,特殊情况随时检查,发现险情及时汇报排除。
②经常检查电器设备、消防设施、体育器械、重大教学设备,发现损坏应及时维修、更换。
③加强对实验室、电脑室等特殊场所的管理,按规定操作,发现隐患及时补救。
④各任课老师在电器、教具使用前要进行安全检查,如有故障停止使用,并及时报修。体育器械(包括固定体育器械)在使用前体育教师或活动课辅导教师要先认真检查一遍,确信完好方可组织学生使用;使用时,教师不得离开现场,要随时关注学生活动,加强保护。⑤班主任要加强用电、用水管理。定期检查教室内电器设备,禁止乱拉电线,要按规定接插线,插线前应检查电线绝缘皮是否完好。教育
学生倒开水时注意安全,防止烫伤。
⑥体育、音乐、科学、电脑、美术、英语等专用设施要定期检查,发现有使用损坏、存在安全隐患要及时修补。艺术、微机等专用教室应及时关门、关窗、关灯。严禁学生到专用教室玩耍。
5、预防传染病工作组 具体职责:
①发生疫情时,班主任每天晨检并做好记录,发现学生有传染病早期症状(如发热、皮疹、腹泻、呕吐、黄疸等)以及疑似传染病病人时,及时送卫生院诊治,确保对传染病病人的早发现、早隔离、早报告。②查验计划免疫接种证,督促学生免疫接种,记载学生传染病史。③组织学生参加体育锻炼,培养学生良好的卫生习惯,合理安排作息制度,提高学生肌体的抗病能力。
④预防传染病源进入学校,凡是处在传染病隔离期或恢复期的病人或带菌者(如,伤寒、痢疾、水痘、传染性肝炎等传染病)必须在隔离期满或治疗后经检验为阴性,经医院证明方能返校学校。
⑤切断传播途径,健全环境卫生制度。保持环境整洁,开窗通风,保持空气流通。
⑥加强健康教育宣传,增强学生的卫生意识,预防各种传染病。
6、校园安保组 具体职责:
①严格准入制,来访人员必须凭身份证或其他有效证件登记后,方可进入校园。
②走读生早上到校不得超出规定时间10分钟到校,中午、下午离校凭出入证进出校门。
③住校生周末按照规定在寝室管理员处登记方可留寝,回家学生按照规定离校。周末学生特殊情况需要出校门,必须经班主任批准,门卫同意后方可出入。
④禁止携带管制刀具和危险物品进入校园,坚决打击一切不法分子在校园及周边伤害师生的治安案件。
⑤禁止学生携带无QS标志的任何食品进入校园,防止食物中毒事件发生。
⑥实行24小时值班制、空堂时间加强校园巡逻,发现异常情况及时处理并立即报告学校值周领导。
7、矛盾纠纷排查组 具体职责:
①校内班上的矛盾纠纷原则上由班主任调解,同年级班与班之间的矛盾纠纷原则上由年级组长(或年级分管领导)调解;年级与年级之间的矛盾纠纷原则上由政教处(或学校分管领导)负责调解;校园周边的矛盾纠纷原则上由安全办负责调解。②上述程序调解不成,按司法程序处理。
8、信访稳定安全组 具体职责:
处理来信来访,及时排查不稳定因素,确保不发生上访、集访和群体性事件。
9、安全教育组 具体职责:
①、学校每期开学典礼时对全体学生进行一次安全知识教育,政教处每个月开展一次德育安全主题教育,班主任每周必须对学生进行安全教育。每次安全教育都要有记录。做到安全教育经常化、制度化。②、坚持对学生进行遵纪守法教育,教育学生不携带管制刀具和危险物品(一周一次管制刀具收缴),不打架斗殴,珍爱生命,关爱他人,和谐共处。
③、加强道路交通安全教育,教育学生不乘坐三无车、超速超载车、摩托车,不横穿公路和在公路上追逐、游戏。
④、坚持对学生进行消防知识教育,上下楼道有序靠右慢行,不在走道上追逐打闹,不在宿舍使用蜡烛,防止发生火灾。⑤、严禁学生私自下河塘洗澡,防止溺水事故发生。
⑥、教育学生在体育锻炼、教学实验和参加各种活动中注意安全,不冒险、不违规操作。
7、加强食品卫生安全教育,教育学生不食用三无食品、不自带私菜等食品,防止食物中毒事件发生。
10、周末安全管理组 具体职责:
①、负责周末安全管理和安全教育。
②、行政值周负责周末教师值周、校园保安、值周班主任、寝室管理员到位情况的督查,安办、政教处不定时抽查。
③、负责周末各种事务、事故的全面处理。
④、出现特殊情况负责向学校领导请示,并协同处理。
三、建立隐患和危险源排查整改制度
1、全体教职员工一旦发现事故隐患和危险源,应立即向学校分管领导报告。
2、定期排查事故隐患和危险源,学校每学期开学组织全体中层以上干部集中检查一次,各分管领导每月组织相关科室人员检查一次,并做好记录。
3、掌握事故隐患和危险源分布、发生事故的可能性及其程度,采取相应措施及时整改,对难于立即整改的,应采取防范、监控措施,并逐级上报,加强现场管理。
4、对及时发现事故隐患和危险源,能积极整改并有效防止事故发生的科室、班级或个人,学校将给予表彰和奖励,对存在或发现事故隐患、危险源隐瞒不报的或整改不力的,要给予批评或经济处理。
四、完善安全事故应急救援及处置
1、建立安全事故救援处置领导小组,由校长任璞林同志任组长,副校长麻旭华、王瑞和党书记高玉红为副组长,学校其他行政人员为成员。
2、制定事故应急救援及处置预案。一旦发生安全事故后,现场有关人员应当立即报告学校负责人,不得隐瞒不报、谎报或者拖延不报;学校负责人接到安全事故报告以后,除按《学生安全事故处理(应急)预案》迅速采取有效措施组织抢救外,应当按照国家规定立即如
实向教育行政主管部门和与事故种类相关安全职能部门报告。①火灾事故。应当在第一时间内,拨打火警电话“119”,向消防部门报告和求援施救;与此同时,现场人员应当立即报告学校负责人;学校负责人再按层级向上级有关部门报告;
②治安(刑事)事故。应当在第一时间内,拨打匪警电话“110”,向公安部门报告和求援施救;与此同时,现场人员应当立即报告学校负责人;学校负责人再按层级向上级有关部门报告;
③食品中毒事故。应当拨打急救电话“120”,向卫生防疫部门报告和求援施救,与此同时,现场人员应当立即报告学校负责人;学校负责人再按层级向上级有关部门报告;
④其它事故(意外事故、自然灾害事故等)。应当立即报告学校负责人,由学校负责人再按层级向上级有关部门报告;
3、学校发生安全事故后,应当根据事故的类别、性质按规定的时间和方式向相关部门报告:
(一)一般事故。学校发生无人员死亡,重伤1人或财产损失1万元以下的安全事故后,学校应当在24小时内电话或口头向教育行政主管部门报告,事故处理结束后向教育行政主管部门写出书面结案报告。
(二)重大事故。学校发生死亡1人或重伤3人或财产损失1万元以上的安全事故后,学校应当在立即通过电话或口头向教育行政主管部门报告,24小时内向教育行政主管部门写出书面报告,事故处理结束后向教育行政主管部门写出书面结案报告。
(三)重特大事故。学校发生死亡3人或重伤10人或财产损失5万元以上的安全事故,学校应当在知道事故发生时,立即通过电话或口头向教育行政主管部门和与事故种类相关的有关安全职能部门报告,随后应当根据事故的具体情况,随时补充报告事故的最新情况,8小时内向教育行政主管部门写出书面报告,事故处理结束后向教育行政主管部门写出书面结案报告。
4、安全事故报告的必要内容。事故发生的时间、地点、伤亡情况、事故简要经过、采取的施救措施、事故发生的初步原因、报告单位、报告人及它应当报告的事项。
5、建立健全生产安全应急救援队伍,加大人员培训和训练的力度。
6、接到事故报告后,要针对事故等级,迅速启动相应的救援预案,相关责任人要立即赶赴事故现场。现场指挥要科学调度,果断决策,组织救援和处置工作,决不允许推诿、扯皮,要最大限度减少人员伤亡,降低事故损失。
五、建立安全工作协调机制
6.全面安全管理体系构建探索 篇六
摘要:近年来,我国安全生产形势严峻,事故频发突显安全管理基础不够扎实的问题。从“强化安全意识 树立安全理念”、“健全安全制度 提高执行力度”、“优化技术措施 提升本质安全”、“深化隐患排查 加强闭环管理”四个方面,阐述如何立足安全、夯实基础,构建全面安全管理体系。
关键词:安全生产;闭环管理;长效机制
近年,我国的安全生产形势可谓“总体稳定好转,形势依然严峻”。全国上下对安全生产工作越来越重视,也采取多种措施解决安全生产突出问题,令安全生产事故数量和死亡人数持续下降,大部分地区和重点行业领域安全生产状况稳定好转。但是,事故总量仍然偏大,重特大事故频发的事实凸显出中国安全生产形势依然十分严峻。2013年5月20日,位于山东省章丘市的济南科技有限公司乳化震源药柱生产车间发生爆炸事故,造成33人死亡、19人受伤,直接经济损失6600余万元;2013年5月31日,中储粮黑龙江林甸直属库发生大火,直接经济损失300余万元;2013年6月3日,吉林宝源丰禽业有限公司主厂房发生特别重大火灾爆炸事故,共造成121人死亡、76人受伤,直接经济损失1.82亿元。
不少企业安全生产的责任主体意识淡薄,一味追求生产而忽略安全,存在“经济利益至上”的思想;在安全生产运行体制上,存在着安全监管效力衰减、安全生产措施弱化的痼疾,存在着基层工作不落实,基础工作不牢固的病根;员工安全意识淡薄,存在着侥幸心理、盲目蛮干的现象存在严重违章指挥、违章作业、违反劳动纪律的“三违”现象等等,一句话概括,就是“安全管理基础不扎实”。在这样的背景下,阐述如何立足安全、夯实基础,构建全面安全管理体系。
1.企业安全管理中存在的问题
(1)违规生产、违章作业问题比较突出。一是由于隐患排查治理的系统性、有效性不足,存在生产经营设施、装置违规运行或不达标问题,且没有纳入隐患整改范围。二是对动态管理隐患监管不到位,导致安全状况频发,安全事故事件反复出现。三是预防性隐患排查治理机制未健全,安全监控、治理重点不够明确,针对性和有效性有待进一步加强。四是各类技改施工任务较为繁重,期间交叉作业、危险作业多,少数企业与相关方进行安全技术交底时,只有通用性要求,没有针对具体的危险源及其控制措施进行交底和监督管控,安全风险依然较高等。
(2)体系有效运行及闭环管理存在问题。一是安全体系有效运行有待进一步加强,体系文件未得到切实执行,安全痕迹化管理不规范。二是安全管理工作没有形成闭环。
(3)安全生产基础设施存在薄弱环节。一是对消防报警、灭火系统、安全监控等安全技术设施配置不到位、管理不规范,如部分卷烟厂滤嘴辅料仓库未按规定配置火灾自动报警系统,消防泵房内的消火栓生锈未及时维护保养。二是生产设施配置或管理存在明显缺陷。如卷烟仓库安全装置配置和安全管理不达标,存在电气线路铺设不规范,线路未穿管,没有接地保护、配电柜无配电系统图等问题。三是相关方作业场所安全基础设施明显薄弱,工器具陈旧老化、安全设备设施连锁装置失效,操作安全法规、标准无法得到全面落实,存在较大安全隐患。
(4)对特种设备和危险作业管理不到位。一是企业特种设备管理不到位,相关记录不齐全。部分企业防护用具没有配备齐全,台账不完善;特种设备管理台账不完善、更新不及时,特种设备未及时取得检验合格证,特种设备作业人员违章操作;生产现场配电箱电气线路不规范,绝缘用具配置不足、绝缘工具未定期检验等。二是对安全技术要求不清晰,对危险性控制管理措施不到位。危险作业审批记录不规范;对动火作业未进行分级管理、审批时间不符合规范要求;登高作业审批单上无作业人员姓名和特种作业证号码,相关作业人员证件过期未及时复审。
2.企业全面安全管理体系实施
(1)强化安全意识,树立安全理念是安全生产管理的前提和基础。形成一套系统的安全理念体系,依靠全员上下的共同努力,领导重视、员工认同,形成合力。
一是牢固树立三种安全观:“安全第一”的哲学观。在生产活动中要把安全工作放在第一位,尤其是当生产与安全发生矛盾时,生产要服从安全;“安全就是效益”的经济观。实现安全生产,保护职工的安全与健康,不仅是企业的工作责任和任务,而且是保障生产顺利进行、企业效益实现的基本条件。安全不仅能“减损”而且能“增值”,这是企业主要负责人应建立的“安全经济观”;“预防为主”的科学观。“预防为主”就是要做到防微杜渐、防患于未然。在事前就要想到“可能会出什么事,如果出了事怎么办”,做好预防工作,采用超前管理、预期性管理的方法,由事后处理型到事前预防型转变。这样才能真正预防事故,提高安全管理水平。
二是构建安全文化理念体系:重视安全文化理念,安全文化理念应富有特色、内涵丰富、易于记忆、便于理解,包括安全承诺、安全价值观、安全使命、安全愿景、安全方针、安全目标等;做好安全文化理念的宣贯,通过板报、电视、刊物、网络、培训班、研讨会等多样的形式,对全员进行宣传教育,让员工真正理解并铭记于心;安全文化理念固化,让员工处处能看见、时时有提醒,外化于形,固化于心,让安全成为一种习惯。
三是领导重视,逐级推进。领导层应当以有形的方式表达对安全的关注,在安全生产上真正投入时间和资源;制定安全发展的战略规划以推动安全承诺的实施;不断加强安全管理能力和技能水平;对安全实践或实施过程的定期审查,积极质疑安全问题。管理层应起到示范和推进作用,形成严谨的制度化工作方法,营造有益于安全的工作氛围,培育重视安全的工作态度。
(2)健全安全制度,提高执行力度是安全生产管理的有力抓手。伤亡事故中70%以上是由于违章指挥、违章操作、违反劳动纪律等规章制度执行不到位的行为造成的。制定了健全完善的安全管理制度体系,还需要依靠切实有效的执行,才能确保安全管理制度的有效落实。
一是要加强安全教育培训,提高驾驭安全工作能力。加强安全教育培训,解决“知”和“会”的问题,形式与内容结合,让员工喜闻乐见、主动参与;针对不同文化层次、不同岗位、不同工种,合理安排课程,做到规模适宜、内容对口、学而能用;提高安全生产技能培训,牢固掌握安全技术知识和安全操作规程,抓好事故预案演练,提高应急救援、排除险情的技能。
二是要推行人性化安全管理,提高安全工作效率。通过安全道德引导、理解、认同、尊重关爱人性化因素,调动人的激情和活力,使每个员工的安全工作能力得到最佳发挥,自身安全价值得到最大体现,从而产生巨大的安全生产凝聚力和创造力;通过安全道德约束来限制人性弱点,减少安全工作中的错误,提高安全工作效率。
三是要建立执行检查机制,促进执行有效长效。建立考核和奖惩的执行检查机制,把安全生产执行情况与薪酬、奖惩、晋升、考审结合起来,促发全员的执行热情,使执行有效和长效。
四是要讲究执行方法,提高执行力度。复杂过程简单化,简单化的东西量化,从而达到可衡量性;把量化的因素流程化,把流程化的因素框架化。
(3)优化技术措施,提升本质安全是安全生产管理的有效武器。导致事故发生的主要原因,除了人的不安全行为,就是物的不安全因素。不安全因素存在于设计、制造及使用的各个环节。因此,优化安全技术措施,不断提升本质安全水平,能够有效规避安全风险,预防事故的发生。
加大安全投入,推进技术进步,采取科学的管理方式和手段,采用科技含量较高、安全性能可靠的新技术、新工艺、新设备和新材料;抓好企业安全技术改造工程,淘汰落后的特别是危及安全的工艺技术和设备。提高企业机械化、自动化、信息化水平,保证企业的设备、设施和所有安全生产条件在达标的基础上,始终保持在安全、良好的运行状态。
(4)深化隐患排查。日常隐患排查治理工作中,常常存在这样的问题:安全检查有时流于形式,隐患排查不够深入、全面、彻底,达不到良好的效果对隐患的分析不足,忽视归类、总结等工作;隐患的责任界定不够清晰明确,会增加隐患整改跟踪管理的难度;隐患整改时限不够严格,整改工作拖延;整改后验收程序不严格,部分隐患在检查后没有追踪管理,整改效果如何、问题是否得到有效控制、整改方法是否存在问题没有一个很好的评价;隐患考核不严格,落实不到位。因此,需要应用科学的方法对隐患治理工作进行有效管理,在隐患排查治理中应用闭环管理模式,建立一个系统的控制流程,实现系统的管理。
如图1,即为五个阶段的隐患闭环管理模式,强调以验收和考核作为整个流程关闭的要素,在没有关闭期间,该隐患将被作为持续监控的对象。
[辨识排查][隐患分析][整改落实][验收评价][绩效考核]
图1 隐患闭环管理模式
①隐患辨识排查。一是要建立隐患排查治理机制,成立隐患排查治理领导小组,领导带队。二是检查要做到全覆盖、全时段、多层级、多类型,建立个人、班组、车间部门、厂级“四级”隐患排查长效机制;开展纵向到底、横向到边的日常检查、联合检查、综合检查、专项检查“四类”隐患排查活动,开展不定时间、不定地点、不打招呼前提下的精细化解剖式检查,确保隐患排查不留死角、盲区,形成了层层排查、梯次管理的隐患排查网络,确保隐患排查的及时到位。三是编制安全检查表,以法律法规、国家标准、行业标准、安全生产标准化规范为依据,编制安全检查表,充分保证检查的科学性和有效性。
②隐患分析。每次检查结束后,对各类安全隐患进行分析和汇总。易于整改的问题,要求责任部门立即进行整改;稍微复杂的问题,一时无法整改的,应根据实际情况划定时间界限,限期整改;整改有难度的问题,应与其他部门协调配合,或者提交安委会进行分析讨论,制定具体整改方案,落实整改经费和相关责任部门,限期整改。
③隐患整改。对隐患整改通知单的内容进行分析,严格按照完好标准和精细化管理标准,制订整改意见,安排专人负责整改,做到“谁负责谁整改谁签字、谁负责谁验收谁签字”的原则;严格按照隐制度,落实责任单位和责任人,限期整改,确保隐患的及时消除。
④验收评价。认真抓好复查验证,收集整改信息,确认整改效果,确保问题得到有效控制,隐患消除。同时对各项隐患整改完成情况进行登记、报告和反馈,对于整改不到位的问题,进一步落实整改,全程监督,直到整改有效完成,确保整改回复率,提高整改有效率。
⑤绩效考核。建立绩效考核奖惩机制,将隐患和整改情况作为考核指标,进行责任追究和落实,对整改不力的行为进行追究落实,提高隐患整改意识。
结束语
本文从“强化安全意识 树立安全理念”、“健全安全制度 提高执行力度”、“优化技术措施 提升本质安全”、“深化隐患排查 加强闭环管理”四个方面,阐述如何立足安全、夯实基础,构建全面安全管理体系。要使安全管理体系充分发挥其应有的作用,还有待于对各系统运行的相互衔接,以及巩固措施进行进一步的研究。
参考文献:
[1]万小乐,冯志刚,辛有东.闭环管理模式在隐患排查治理中的应用[J].安全技术与管理,2011(9):27-29
7.中小学体育安全保障体系的构建 篇七
关键词:安全保障体系,中小学,体育,实施
通过各种途径有效预防体育教学活动中的安全问题,及时控制、处理和救援安全事故的功能系统就是体育安全保障体系。现阶段,我国并未出台相关法律法规明确指出体育课伤害事故的处理方法,导致事故发生后,学校领导手足无措,而一些学校为了从根本上解决该问题,直接取消了大部分体育活动项目,导致学生的身心发展受到了影响。为营造和谐校园环境,预防各种体育安全事故,中小学需构建完善的体育安全保障体系。
1中小学体育教学中发生安全事故的原因
运动竞赛、课外活动、课余训练与体育教学均属于中小学体育活动的内容,该过程的目的明确,同时具有计划性和组织性,是师生在学校创造的环境条件中共同参与的体育运动。因为中小学体育教学中具有许多形式多样的活动项目,所以有许多原因会引发体育安全事故,具体而言,主要分为以下三方面。首先是学生因素,包括学生体育基础较差,动作技术经常出现失误;学生心理素质差;缺乏组织纪律观念,喜欢做冒险行为;不了解体育安全知识;患有特殊疾病或自身体质特异等。其次是教师因素,包括未提前评估体育活动的风险并采取保护措施;业务能力和教学水平不足;教学组织能力差,未根据教学步骤开展教学或违反教学规律;缺乏责任心,未恪守本职工作。最后是学校因素,包括学校未对学生开展或渗透体育安全教育;缺乏完善的体育安全管理制度;学校的体育器材及场地存在隐患。上述因素中,学校方面的因素大多是可以避免的,校方应加强预防,而不是一味地“亡羊补牢”。中小学校还应增强教师的责任感,鼓励其充实自我,不断学习和进步。从整体上来看,学校需构建完善的体育安全保障体系,避免发生各类安全事故。
2中小学校构建体育安全保障体系的方法
2.1构建体育安全事故应急体系
最近几年,在新课程改革深入进行的背景下,各中小学校均在不同程度上增加了体育活动的参与项目、参与人数与组织方式,同时也引发了更多的体育安全事故。为了应对体育活动及课堂教学中可能出现的体育安全事故,尤其是特殊危险情况或重大紧急情况,学校应积极构建体育安全事故应急预案,以便在发生事故后从容应对和处理,这是体育教学的重要工作之一。学校通过构建体育安全事故应急体系,有助于对安全事故做出妥善处理,在最大程度上降低事故的损失。
2.2建立体育风险管理制度
学校制定风险安全管理计划并严格执行的过程就是体育风险管理,对于体育教学活动有控制作用,可以预防伤害或安全意外的目的,该管理方法的理论基础就是“防患于未然”。虽然发生学校体育风险的空间比较稳定,但时间却难以预知,在体育竞赛、课外体育锻炼、体育训练等活动中均有可能发生。体育教师需要全面认识到体育教学活动中的潜在风险,也就是能够识别体育风险,深入了解风险认知,通过分析和统计相关信息资料,尽早发现潜在风险因素,了解项目中可能遇到的风险与其性质,有效预防和从容应对风险。其次是评估学校体育风险,教师在每次开展体育活动前都要提前评估体育风险,针对可能发生的风险及其严重程度探讨如果预防和处理。最后正确应对体育风险,结合风险的特殊性从转移与防范两方面研究其风险管理策略。
2.3健全体育教学安全结构体系
首先要保障人的安全,以人的安全能力、行为、情感、知识等为主要内容。在中小学体育教学中,人的因素往往会对人的安全状态产生影响,其职责包括发起、组织、执行与管理体育教学活动,因此为保障安全需要从学生、教师与其他管理人员方面入手。学校应定期培训体育教师与有关的管理人员,增强其安全防范意识,使其在遇到体育安全事故时可以尽快选择正确的应对措施。另外还要注重学生自律防范能力的提高,实时监测师生动态,根据具体环境采取有效的安全管理措施。比如发生安全事故时及时抢救人员与财产,收集和反馈体育安全事故的信息,明确相关人员的责任。其次是保障物的安全,内容以安全书籍与体育场地器材和安全资金的安全保障为主。其中资金对于任何活动的开展都是非常重要的,资金足够才能培训相关人员,购置体育器材。最后是构建安全管理体系,以设置安全管理机构、制定安全法规、确定事故处理方法与程序等内容为主。
3中小学校实施体育安全保障体系的方法
3.1科学构建运行机制
若一个体系缺乏运行机制,或者机制的缺乏活力,那么体系的实施就仅仅是流于形式。为有效实施安全保障体系,中小学校需要构建相应的运行机制。首先要管理好安全保障体系的目标,以针对体育安全事故而制定的预防目标为主;其次是运行安全保障体系,以控制体育安全事故的预防过程与应急措施为主;最后是综合评价体育安全保障体系的实施效果,尽早将体育教学活动中的潜在安全隐患消除。对体育安全保障体系的各个环节(包括策划、运行、审核与评价)进行循环管理。
3.2严格落实管理制度
只是构建安全保障体系无法达到保障安全的目的,必须要严格执行与认真落实,将制度作为奉行标准,使其充分发挥作用。为有效落实安全保障制度,作为制度策划者和决定者的领导需要给予充分重视,建立安全责任制,将制度中潜在的人为隐患消除,使广大教师与学生能够自觉遵守和维护安全保障体系制度。另外,要通过多种途径实施安全保障措施,以专业教师、班主任、保卫人员等为对象,动员各方力量,有机结合社会、家庭和学校,调动社会与学生家庭力量积极参与,达到有效实施安全保障体系的目的。比如,学校在排查体育场地隐患、安全事故预防因素时,应虚心接受学生家长与社会力量的监督,主动和家长沟通,听取各方建议,完善体育安全工作。
3.3加大经费投入力度
中小学校实施体育安全保障工作的一个重要基础就是加大经费投入力度,学校体育教学的安全性在很大程度上取决于经费多少。在经费充足的情况下,学校可以尽快建设各种场地器材,购买安全书籍与标准体育器材,为学生提供学习和锻炼的机会,顺利运行体育安全保障体系。学校领导应及时更新观念,在体育安全体系方面投入更多的经费,使经费保障工作得到完善。
4结语
综上所述,体育教学虽然能锻炼学生体质,为学生带来愉快的体验,但是其同时也有潜在的安全隐患,无论是学生、教师还是学校方面出现问题,均可能引起体育安全事故,影响学生的健康成长。因此中小学校需要针对体育教学构建安全事故应急体系、风险管理制度和安全保障,全面提高对安全事故的预防与应对能力,降低事故发生率,严格落实制度,认真贯彻实施,保障体育教学的安全性。
参考文献
[1]谢翔,莫伟彬,邓启烈.中小学体育安全保障体系的构建与实施[J].山东体育科技,2013(1):76-80.
[2]何鑫,王秀香,鹿辉,等.中小学学校体育伤害事故保障体系现存的问题及其构建建议[J].搏击(体育论坛),2015(1):26-28.
8.企业网络安全防护体系构建研究 篇八
关键词:企业网络建设;安全防护体系;网络环境;安全风险;网络信息安全 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2015)18-0012-02 DOI:10.13535/j.cnki.11-4406/n.2015.18.007
网络的信息共享和交流给人们的日常生活、工作和学习带来了极大的便利,但与此同时,蠕虫、木马、病毒等在网络中层出不穷,严重威胁着网络信息安全。如何构建企业网络安全防护体系是当前企业进行信息化建设必须要考虑的问题,应结合企业网络的特点,优化企业网络设置,引进先进的网络安全技术,构建灵活安全的企业网络防护体系,推动现代化企业的可持续发展。
1 企业网络面临的安全风险
1.1 网络出口多,管理难度大
企业网络出口多,用户数量庞大,给企业网络的运营管理带来很大难度。随着企业网络业务的快速发展,业务人员的流动性大,再加上很多工作人员网络行为不规范,随意上传或者下载网络信息,而导致企业网络服务器和计算机感染病毒,严重影响企业网络安全。
1.2 物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.3 入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2 构建企业网络安全防护体系
2.1 企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检
查依据,为企业构建网络安全防护体系提供重要参考。
2.2 合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。
首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3 基于入侵檢测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4 分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3 结语
如何构建企业网络安全防护体系成为当前企业主管部门的重要课题,企业网络安全防护体系构建应结合企业网络的特点和自身存在的问题,多维度、多层次、多角度分析企业网路安全防护体系,探究企业网络的潜在风险,采用动态防护策略,提高企业网络的安全性和稳定性。
参考文献
[1] 张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010,(4).
[2] 刘宇.三峡梯调中心网络安全防护体系的设计与实现[D].重庆大学,2006.
[3] 周祥.企业分布式防护安全体系的研究[D].合肥工业大学,2006.
作者简介:唐克(1986-),男,上海人,供职于上海江南长兴造船有限责任公司,研究方向:网络安全。
【中小企业安全体系构建】推荐阅读:
企业纳税管理体系构建08-15
企业管理者综合素质体系的构建08-12
日本中小企业信用担保体系对我国的启示10-18
企业信息安全体系建设07-10
电信企业计算机网络安全构建策略分析10-19
云南省财政厅关于2012年省级中小企业信用担保体系建设项目申报有关事项的通知06-16
中小企业局安全汇报题纲09-09
建设安全文化体系引领企业和谐发展07-19
中小型公司企业网络规划与安全设计10-16