安全生产管理机构设置

2024-09-19

安全生产管理机构设置(精选8篇)

1.安全生产管理机构设置 篇一

浙江****工程有限公司

〔2015〕15号

关于成立安全生产管理科的决定

公司各科室、各作业施工队:

根据相关法律、法规要求和我公司实际需要,做好公司的设备和安全生产的各项管理工作,经公司领导班子研究,决定成立公司安全科,*** 任科长,科员 ***、***、***、*** 组成,特此通知。

浙江*****有限公司公司 2015年07月01日

此文件 呈:总经理、副总经理 抄送:各部门、各项目部

安全科工作职责

一、认真贯彻执行安全生产的方针、政策、法律法规,结合本公司实际制定公司安全生产、文明施工与环境管理制度,并对其执行情况予以监督。

二、负责制定本年度安全生产、文明施工管理目标,对目标完成情况进行监督、检查和考核。

三、参与审核安全技术方案与措施,监督检查安全技术方案与措施的执行情况,推进安全技术进步,参与公司投资项目新建、购置、更新改造的技术经济分析与论证。

四、负责安全生产检查工作,对检查出的事故隐患期限整改。

五、负责组织公司重伤及以上安全事故调查、分析、处理并及时上报有关部门;负责办理工伤人员医疗费用报销审批手续,裁决工伤索赔纠纷。

六、负责公司安全生产的宣传工作,组织安全活动交流。

七、负责公司安全生产管理人员的业务管理与培训,并对安全员业务水平评估。

八、负责施工现场环境保护、噪音防治工作的指导和监督。

九、负责管理公司的安全生产文明施工奖励基金,按公司有关规定执行。

十、做好安全设施、劳保用品合格情况的监督工作。

2.安全生产管理机构设置 篇二

关键词:操作系统,安全,密码

0 引言

操作系统安全是一组面向计算机和用户的程序,是用户程序和计算机硬件之间的软接口,其目的是最大限度地、高效地、合理地使用计算机资源。操作系统的主要任务之一是为用户管理资源,这些资源包括计算资源、存储资源和外部设备。操作系统安全和其他系统安全的不同之处在于:操作系统需要提供一系列保护机制,使得用户操作、程序运行、资源分配和访问等不发生冲突,在一定的安全策略下实现资源共享和分离。

访问控制系统一般包括以下几个实体。主体(Subject);客体(Object);安全访问政策。

1 操作系统安全管理策略

网络面临的威胁和攻击,可以归纳为以下几个方面:

(1)操作不当

人为操作不当,出现配置或管理误操作,可能使设备出现不正常运转、损害设备、破坏信息,甚至网络瘫痪。内部缺乏健全的管理制度或制度执行不力,给内部人员违规和犯罪留下缝隙。与外部的威胁相比,内部的攻击和犯罪更加难以防范。

(2)非法访问

没有预先经过同意就使用网络或计算机资源,可以视为非法侵入。通过非法手段,避开系统访问控制机制,对网络设备及资源进行非正常使用,扩大权限,越权提取信息,假冒身份进入网络系统进行违法操作,合法用户以未授权方式进行操作。

(3)窃取数据

使用非法工具对信息流向、流量、频率和长度等参数进行分析,推出有用信息(账户、口令等)。以非法手段窃取对数据的使用权、增加、删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应,恶意添加、修改数据,干扰用户正常使用。窃取数据的同时会伴随着病毒的传播,尤其是网络病毒的传播危害性更大。

在Windows系统中,对操作系统安全构成威胁的问题主要有以下几种。(1)计算机病毒。(2)特洛伊木马。特洛伊木马必须具有以下几项功能才能成功地入侵计算机系统:1入侵者要写出一段程序进行非法操作,程序的行为方式不会引起用户的怀疑;2必须设计出某种策略使受骗者接受这段程序;3必须使受骗者运行该程序;4入侵者必须有某种手段回收由特洛伊木马发作而为他带来的实际利益。(3)隐蔽通道。(4)天窗。针对不同威胁和攻击采用不对的防范措施:

(1)关闭不必要的服务和端口。

端口如同一个房间的窗口,对于一个系统而言,多余的服务和端口是操作系统的安全隐患。每种服务对应一个端口,关闭端口即禁止了相应的服务。对于默认共享,系统初始装好后,所以的驱动器都打开了共享,很容易被非法入侵,可以使用“netshare”命令来查看以及关闭相应共享。

(2)使用审核机制。

审核机制是操作系统最基本的入侵检测方法。当有非法者访问系统时,都会被记录在安全日志中,提供给管理员备案查找。审核策略在缺省情况下都是没有开启的,常用的审核系统登录事件、审核账户管理、审核登录事件、审核对象访问都要开启,其它的策略根据需要再增加。

(3)用户的安全管理。

1保证用户口令的安全;2防止用户自己的文件和目录被非授权读写;3防止运行特洛伊木马;4用crypt命令加密不愿让任何用户(包括超级用户)看到的文件;5在离开终端时,确保用Ctrl+D或Exit命令退出系统。在用户管理中可以使用账户克隆的方法进行账户密码的保护,保证用户账号的安全。

2 账户克隆步骤

(1)使用regedt32命令,打开HKEY_LOCAL_MACHINE中的SAM,打开属性,允许完全控制,如图1所示。

(2)将F值复制下来,如图2所示。

(3)将F值粘贴到GUEST中,如图3所示。

(4)将Administrator的数值V复制下来,如图4所示。

(5)将V的数值粘贴到GUEST的V中,如图5所示。

(6)为GUEST设置密码,如图6所示。

当然,也可以将guest权限还原,在本地用户和组里,新建个Guest 1,在把Guest 1的数值F、V复制到Guest的F、V里,就可以还原Guest的权限。

3 结束语

安全是一个整体,完整的安全解决方案不仅包括网络安全、系统安全、应用安全等技术手段,还需要以人为核心的策略和管理支持。长期以来,人们侧重于以技术手段的考量来进行安全管理,从早期的加密技术直到现在各种安全产品及技术的研发。但是效果却不尽人意,事实上许多复杂、多变的安全威胁和隐患靠产品是无法消除的。因此管理已成为信息安全保障能力的重要基石。

参考文献

[1]张树强,魏汝浩.依靠数据集中防范技术风险[J].金融电子化.2004.

[2]关潮辉,薛琴.木马的攻击与防范技术研究[J].信息网络安全.2010.

[3]杜丽君.嵌入式Linux文件系统的构建[D].电子科技大学.2007.

3.安全密码的设置 篇三

一、选择可靠的加密方式

信息在本地存储的安全性要远远高于网络存储,因此秘密信息应采用本地存储,并选择可靠的加密方式进行保护。可靠是指:

1.加密算法安全

使用那些采用强加密算法的软件进行加密,使其无法被暴力破解,如RAR3.0,7z压缩,而office2007之前的版本则不安全。

2.程序安全

程序自身没有安全漏洞,攻击者不能采用绕过密码等方式读取或破译文件,如windows系统,就能够通过外接方式绕过登录密码直接读取文件。

二、密码设置避免弱口令

1.密码口令的位数应在8~12位

如果攻击者使用暴力破解方式,以现在的计算速度,8位以下的密码都是不安全的,破解的时间会非常短,单机在几天甚至几分钟即可完成破解。

2.使用字母、数字、符号混合方式组合密码

密码口令不能由单一字母或数字组成,在程序允许的范围内应尽量使用混合组合的方式,如id*jo20I(DJO2K6^A,就是强度很高的密码,可以大幅提高暴力猜解的难度。

3.避免使用有规律的字母和数字组合

类似APPle20111221这样的密码,由于使用了“单词+年份”的组合方式,虽然对穷举式暴力破解的安全性较高,但极有可能被一些破解字典收录。

4.密码设置不要与个人信息明显关联

不要使用本人及家人的姓名、车牌号、手机号、身份证号、工号、生日等易获取的常用信息组合密码,攻击者会通过收集这些信息以后生成字典攻击。

三、密码设置要方便使用

1.组合方式要方便输入

如果把密码弄得很复杂,虽然一定程度提高了安全性,但是自己平时输入就很不方便,如频繁切换大小写、数字、符号的组合会更为安全,但这样会给输入密码带来很大的麻烦。事实上,真正需要经常用到密码口令的人只有用户自己,如果不设计得更加合理,符合个人操作习惯,只会增加使用者负担。

2.密码设计要方便用户记忆

从安全角度出发,使用毫无规律的随机组合作为密码可以完全避免字典攻击,类似于前面所提到的那个密码id*jo20I(DJ02K6^A,这样的口令组合确实安全性很高,但这种随意的组合的方式也会让使用者本人难于记忆,一个使用者无法记住的密码是没有任何意义的。

3.平衡密码安全和使用方便

既要密码安全,又要使用方便,那么在设计密码时,就要尽量含有各种组合,同时不要频繁切换,英文字母可以用有意义的汉语拼音首字母来辅助记忆,如这样一组密码hlj407@MMPJ704,含有大小写和特殊字符、数字共14位,从暴力破解和字典角度看都是强密码,使用时可以根据黑龙江拼音首字母,407房间,密码破解拼音首字母辅助记忆。

四、按需求分组使用密码

从安全角度,不同应用要设置不同密码,但在实际使用中,特别是互联网上我们要使用大量的密码,如果每一组密码都不同,想要记得住是不现实的,因此最有效的办法,是在安全方便的原则下,按照应用的环境将密码分组使用,同组使用相同密码。如可分极强、强、中、弱、极弱五个等级。极强密码只在本地使用,保护特别重要信息;强密码可以用来保护支付宝等安全性很高的应用,中等密码保护QQ等重要应用,弱密码日常论坛使用,极弱密码作为临时注册账户等非重要应用。

五、养成良好的密码使用习惯

1.不使用任何形式的保存密码

很多浏览器和软件提供保存密码服务,他们将密码以各种形式保存在本地硬盘,的确可以方便用户使用,却是极不安全的。

2.按时升级杀毒软件和防火墙

无论你密码设计得多么安全,如果感染了木马和病毒,攻击者都可以轻易地将其窃取。

3.不在公共计算机使用强密码

网吧等公共计算机的安全性是没有保障的,为避免损失,不要在公共计算机登录使用强密码保护的任何应用。

4.定期更换密码

密码应按照强度和使用情况定期更换,中等强度密码一年左右为宜,极弱密码可以长时间不换。

4.安全管理机构设置文件 篇四

一、带班领导在本班结束后,必须严格按照本制度履行交接班职责,并按《煤矿领导带班下井交接班记录簿》的相关项目填写这齐全,不得漏项。

二、带班人员交接班地点在井下当面进行,严禁电话或带信交接班,防止因交接班不清而导致工作失误或诱发事故。

三、交班人员要认真如实地介绍当班带班区域各工作面(点)的安全状况,设备的运转情况,有无安全隐患,以及下一班可能发生的问题及时处理意见和其它注意事项,交代完毕后经双方在交接班记录簿上签字后,方可下班。

四、未完成当班任务或发现事故,未处理完毕,不准离开工作地点,等待下一班带班人员到达并完成交接后,才能离开;因特殊原因当班处理不了的,必须向矿调度室汇报,并在交班地点,与下一班交代清楚处理措施、目前进度、应当注意事项等,并如实填写在交接班记录簿上。

五、超过交接班时间,如接班人不到交接人不准离开岗位,否则按脱岗、早退(除特殊情况外)如无人接班应及时向调度室汇报,并坚守岗位直到有人接班为止。

六、领导下井带班交接班记录簿,每月由安监部负责发放和管理。

七、矿在调度室建立管理人员下井写实记录本和下井考勤记录。下井记录本的内容为:下井人员姓名、班次、入井升井时间、井下行走路线、发现的问题情况和隐患、问题和隐患的处理情况、遗留的问题、交班情况等。

八、矿管理人员升井后,要到调度室认真填写下井记录。其记录要真实,不准弄虚作假。下井升井后要及时填写,严禁超过当天后补填写的。

九、每个下井带班人员,对自己下井的时间、地点、经过路线、发现问题及处理情况,意见等有关情况进行登记。特别是对隐患的处理情况要作详细说明,以便备查。

十、领导下井记录、交接班记录,反“三违”记录等,由矿安全部每月汇总,井下考勤表由矿人力资源部负责,矿人员定位系统数据由矿调度室负责。以上记录要装订成册,交矿档案室存档保管、备查,保存期不少一年。

十一、调度员考勤弄虚作假的,每人次罚50元;下井人员填写下井记录弄虚作假的,每人次罚款50元;下井档案管理混乱、遗失的,罚相关责任。

井下交接班制度

一、区队长、班长、放炮员、瓦检员必须严格执行井下交接班制度,接班人在班前会上布置完生产任务和安全注意事项后及时入井接班,交班人必须留在工作面等待接班人接班,交待好工作面的情况后方准离开。

二、交接班人必须认真对待交接班,必须做到工作面情况交待不清不交接、安全隐患处理不清不交接、工程质量不合格不交接、工作安排不到位不交接。

三、对于井下交接班,管理人员要严格检查督促执行,发现有人不按规定交接班的,要按制度严肃处理。

四、对未进行交接班而出现问题,双方都有责任并在处理中从严加倍处罚。

五、对于存在严重问题的,接班人员可以拒绝接班,上报给主管领导或夜间值班人员处理。

六、交接班要真正做到“交接班手拉手,你不来我不走”,将安全生产工作做到实处,并做好交接班记录。矿领导带班下井档案管理制度

1、矿在调度室建立管理人员下井写实记录本和下井考勤记录。下井记录本的内容为:下井人员姓名、班次、入井升井时间、井下行走路线、发现的问题情况和隐患、问题和隐患的处理情况、遗留的问题、交班情况等。

2、矿管理人员升井后,要到调度室认真填写下井记录。其记录要真实,不准弄虚作假。下井升井后要及时填写,严禁超过当天后补填写的。

3、每个下井带班人员,对自己下井的时间、地点、经过路线、发现问题及处理情况,意见等有关情况进行登记。特别是对隐患的处理情况要作详细说明,以便备查。对存在的隐患未能现场处理的,及时下发《隐患整改通知书》,按规定进行整改。

4、领导下井记录、交接班记录,反“三违”记录等,由矿安全科每月汇总,矿人员定位系统数据由矿调度室负责。以上记录要装订成册,交矿档案室存档保管、备查,保存期不少一年。

5、调度员考勤弄虚作假的,每人每次罚50元;下井人员填写下井记录弄虚作假的,每人每次罚款50元;下井档案管理混乱、遗失的,罚相关责任人50元。

煤矿领导带班下井公示制度

第一条 为促进和规范煤矿领导带班下井公开工作,使煤矿各级领导及煤矿员工对领导带班下井情况的参与和监督,加强对领导带班下井行为的监督和制约,根据《煤矿领导带班下井及安全监督检查规定实施细则》、国务院第33号令及相关政策的要求,结合实际,制定本制度。

第二条 本规定所称煤矿领导带班下井公示,是指依照有关规定,向煤矿各级领导及煤矿职工公开履行有关法律法规及文件精神等职能情况的活动。

第三条 将煤矿领导带班下井公示工作纳入工作考核指标体系,并认真组织考核实施。

第四条 煤矿领导带班下井公示应当遵循全面、真实、及时的原则。

第五条 公示的内容包括:

(一)山西省乡宁县毛则渠煤炭有限公司领导带班下井管理制度;

(二)煤矿带班下井领导的姓名、职务、下井次数、排查隐患条数、隐患整改情况等信息;

(三)当月煤矿领导带班下井计划;

(四)当天值班矿领导及当班带班矿领导;

(五)带班下井领导所带班班次。

第六条 煤矿带班领导带班情况要及时更新、公开。

第七条 当天值班领导要对当天全矿事务负责、落实;当班下井带班领导要对当班井下所有事务负责、落实。

第八条 每季度首月5日前,在当地主要媒体上向社会公布上季度煤矿领导带班下井情况。

第九条 第十条 没有按月计划带班的领导要及时告知并说明理由。

对于为按照带班计划完成带班下井工作或履职不到位的领导,要在媒体上通报处理结果。

第十一条 煤矿领导带班下井情况公示的载体包括:

(一)灯房窗口明白纸及办公楼明显位置张贴明白纸;

(二)各类煤矿会议(包括班前会、早调会、安全例会等);

(三)广播、电视、报刊等宣传媒体;

(四)乡宁焦煤集团公司网站;

(五)其他公开媒体。

第十二条 为充分发挥煤矿领导带班下井面向全社会的公开化和透明度,通过广播、电视、报刊等新闻宣传媒体发布的信息应保证下列内容:

(一)煤矿领导带班下井月计划;

(二)煤矿领导带班下井最新动态;

(三)上季度/月带班下井完成情况;

(四)煤矿领导组织机构;

(五)举报电话及信箱;

(六)其他需要设置的内容。

第十三条 对群众举报有关问题要严格查处,并对举报人身份进行保密。

矿级领导下井考核奖惩制度

根据国发[2010]23号文件《通知》要求,为认真落实矿级领导入井带班制度,严格执行现场跟班,管理在现场,解决问题在现场,及时清除安全隐患,确保安全生产顺利进行,特制度矿级领导跟班带班考核制度:

一、入井带班考核内容:

1、深入井下的天数。

2、调查掌握本班安全生产动态及解决实际问题的情况。

3、检查发现的主要问题及隐患,提出意见建议及采取整改处理办法和措施。

4、落实安全生产隐患排查跟踪治理及责任追究制度情况。

5、领导现场跟班,现场指挥,现场作业,现场查处隐患和“三违”的情况。

二、考核办法:

1、矿调度建立矿级领导干部入井工作记录台账。

2、每月由调度汇总领导深入井下情况并规定标准进行考核、评价。

3、具体考核标准:

(1)入井天数是否符合制度规定。不符合天数者不得分。(2)是否做到同职工同上同下。一次未达到扣5分。

(3)是否存在应跟班未跟班,造成脱岗现象。造成脱岗不得分。(4)是否携带砝码器,人员定位系统中记录是否与升井记录时的相符,一次扣2分。非人为原因不扣分。

(5)跟班是否存在徇私舞弊、弄虚作假现象,一次扣5分。(6)本班是否发生事故。轻伤扣2分,重伤以上不得分。

(7)交接记录,班前会记录是否齐全。无记录一次扣5分,记录不详细一次扣2分。(8)是否对“三违”情况进行处罚。月度无记录不得分。(9)对井下隐患处理,采取措施和及时处理是否及时。

(10)是否受到职工举报违反制度及违章指挥,违章作业行为,查据属实,根据轻重行为,一次扣5分。每项10分,共计100分。每月由矿科两级 7 安全会议对入井跟班情况进行评分,凡分数在80分以下的人员,矿领导将给予200-500元罚款。

4、凡连续两个月考核评分在90分以上,给予奖励200元。

5、上级部门到矿检查,凡发现带班人员未跟班作业对当班跟班人员处200元。

6、每月考核评分作为年终奖发放依据,并根据实际情况与每月绩效工资挂勾。

煤矿领导带班下井举报制度

为认真贯彻落实《国务院关于进一步加强企业安全生产工作的通知》(国发〔2010〕23号)、《煤矿领导带班下井及监督检查规定》的文件精神,加强矿领导深入现场和强化现场安全管理,对矿级领导带班下井制度的落实情况进行群众监督。特制定本制度。

一、举报主体 任何单位和个人对领导未按规定带班下井或者弄虚作假,均有权向安全监察部门举报和报告。

二、举报客体 煤矿生产过程中,与矿级领导入井带班相关的重大违章、违规、违法行为。

三、举报内容

(1)入井带班领导违章指挥的;(2)隐瞒事故的;

(3)未严格执行入井带班交接班制度的;

(4)作业范围内存在重大安全隐患强制职工作业的;(5)员工有“三违”行为而不制止的;

(6)未遂事故发生后未及时汇报、追查和处理的;

(7)不按照法律、法规和国家标准或者行业标准规定而违章生产的;(8)生产场所存在重大安全隐患,而未有效治理继续生产的;(9)对举报人员打击报复的;(10)其它需要举报的内容。

四、受理举报的部门或者机构对举报内容经调查属实的,给予举报人500-1000元的奖励,并为举报人保密。

五、任何单位和部门不得因职工行使检举权而对职工进行打击报复,对存在打击报复的单位和个人,经查实,将给予严厉处分。

六、举报受理部门安全科。

矿领导带班相关制度

1、矿领导带班制度

2、井下交接班制度

3、带班下井档案管理制度

4、带班下井公示制度

5、带班下井考核奖惩制度

5.安全管理层级及机构设置 篇五

为实现安全生产目标,企业和项目应建立完善安全生产管理机构和安全生产责任制,健全各项安全生产管理制度,制定并执行安全技术操作规程,按照计划、实施、检查、改进的工作原则持续运行实现安全生产。

1.1 安全管理层级及机构设置

1.1.1集团各单位必须依据各自资质等级、施工生产特点、生产能力或经营规模建立安全生产保证体系,实行公司、分公司和项目经理部的三级安全管理。1.1.2各管理层级安全管理机构的设置和专职安全管理人员的配备执行住房和城乡建设部《关于印发<建筑施工企业安全生产管理机构设置及专职安全生产管理人员配备办法>的通知》(建质[2008]91号)和《关于印发<湖南省建设工程施工项目和现场监理部关键岗位人员配备标准及管理办法>的通知》(湘建建[2010]109号)。

1.1.2.1公司、分公司应当依法设置安全生产管理机构,即应设置负责安全生产管理工作的独立职能部门,在公司或分公司主要负责人的领导下开展本企业的安全生产管理工作。

1.1.2.2企业安全生产管理机构专职安全生产管理人员的配备应满足下列要求,并应根据企业经营规模、设备管理和生产需要予以增加: 建筑施工总承包资质序列企业: 特级资质不少于6人;一级资质不少于4人;二级和二级以下资质企业不少于3人。建筑施工专业承包资质序列企业:一级资质不少于3人;二级和二级以下资质企业不少于2人。建筑施工劳务分包资质序列企业:不少于2人。4 建筑施工企业的分公司、区域公司等较大的分支机构(以下简称分支机构)应依据实际生产情况配备不少于2人的专职安全生产管理人员。1.1.2.3项目安全生产管理机构专职安全生产管理人员的配备的具体要求详见第三部分《项目安全管理制度及标准》。

1.1.3集团各单位必须成立公司安全生产委员会,由公司董事长、总经理、生产副总经理、人事副总经理、经营副总经理、总工程师、质量安全总监、工会主席、总会计师及公司本部各管理部室负责人等组成。安全生产委员会是公司安全生产工作的最高决策机构,公司法人代表是本单位安全生产工作的第一责任人。

1.1.4分公司相应成立安全生产领导小组,由分公司董事长、总经理、生产副经理(质安总监)、总工程师、工会主席、财务总监及各管理科室负责人等7人以上组成,分公司董事长(或总经理、局长)是本单位安全生产工作的第一责任人。

1.1.5项目部必须成立以项目经理为组长的安全生产领导小组,人数5人以上,小组成员包括项目副经理、技术负责人、安全员、质量员、施工员、机械员、材料员、标准员、资料员等。项目经理是本施工项目安全生产的第一责任人。1.1.6安全生产委员会(安全生产领导小组)工作职责:

6.生产部门内设机构设置管理规定 篇六

为了加强对我院内部组织结构的管理,进一步规范生产部门的内设机构设置,使得机构设置更加科学化,更加适应市场需求,以确保生产经营目标得以顺利实现,特制定本规定。

一、适用范围

我院各生产部门,第三分院除外。

二、机构调整

1.内设部门调整:包括部门的增设、取消,部门名称变更,部门职责变更等;

2.职位调整:包括部门负责人的变更,职位的增加、减少,职位名称变更,职位职责变化等。

三、申报审批流程:

1.生产部门内设机构需要调整时由生产部门负责人提出申请(要求明确调整的目的)。

2.报****审核,****审批,调整后的生产部门的组织机构(包括生产部门组织机构图和在岗人员情况表)需及时报院部备案。

7.信息安全普及教育课程的设置研究 篇七

关键词:信息安全,信息安全教育,网络信息安全,网络行为道德

引言:

当前, 信息安全教育还没有为我国教育管理部门和各高校所普及并推行, 但从长远来看, 信息安全教育关系到我国人才的素质教育, 从我国提高教育质量和人才培养的角度来讲, 在国内高校大学生中普及信息安全教育是今后的发展方向。

1 国内外信息安全教育现状

1.1 信息安全教育意识不足

随着计算机网络的广泛应用, 计算机信息系统的安全显得愈来愈重要。然而人们普遍认为, 计算机系统内的数据受到非授权的更改、删除、销毁、外泄, 以及受到不断变异的病毒程序的攻击, 这是网络信息系统的责任而非网络用户个人的责任。由于信息安全法律制度不健全、信息系统管理机制混乱、缺少长期的安全策略、缺少紧急情况应对手段, 致使信息安全事故频发。信息系统操作人员、网络用户的信息安全意识薄弱, 更容易导致信息安全事故的发生。人们在普及计算机网络技术教育的同时, 忽略了对广大学生的信息安全意识的教育。

1.2 信息安全教育课程设置重专业技术、轻素质教育

经教育部批准, 武汉大学于2000年创建了全国第一个信息安全本科专业, 我国从此开始了信息安全本科生的培养。2001年批准了22所高等院校建立信息安全本科专业, 2003年又批准了19所高等学校建立信息安全本科专业, 除此以外, 还有一部分院校开设了信息安全方向的本科与研究生教育。然而, 对于信息安全课程的普及性教育至今国内尚无高校专门开设。

信息安全是计算机、通信、微电子、数学、物理、法律、管理、教育等多学科交叉的产物。现有的信息安全学科的课程体系基本上是某个相近学科课程体系的翻版或者延伸, 在课程中注重密码学、防火墙、入侵检测等单纯安全理论与技术知识的传授, 缺少系统观点与方法。对于如何构建安全的操作系统、数据库系统, 如何设计与实现安全的信息系统等重要问题很少涉及, 而针对如何做一个文明网民、如何遵纪守法、如何维护网络有序、良好的道德秩序等方面更无一涉及。这种重专业技能、轻素质培养的信息教育现状迫切需要改善。

1.3 国外信息安全教育状况

美国政府在《信息系统保护国家计划》中制定了4个信息安全教育的长期培训项目:联邦计算机服务 (FCS) 项目、服务奖学金 (SFS) 项目、中小学拓广项目、联邦范围内的意识培养项目。其中, 联邦计算机服务 (FCS) 项目是综合性的, 以某些大学为中心建立信息技术培训中心 (CITE) , 对联邦政府内的各类IT职位进行不同程度的信息安全培训和认证。而服务奖学金 (SFS) 项目主要资助研究生和本科生的信息安全保障学习, 使在信息安全领域内接受有效教育的本科生和研究生数目得到增加, 以此来解决信息安全人才的缺乏问题。中小学拓广项目主要提高中学生和教师对IT安全和联邦计算机服务的认识, 就信息安全和联邦计算机教育及工作向中学师生进行宣传教育。联邦范围内的意识培养项目则主要是保证所有的联邦雇员都知晓计算机入侵给联邦系统带来的威胁, 使他们能够识别这类事件, 并且知道应该采取哪些步骤来响应事件。

美国政府的这些信息安全教育项目都表现出了很强的层次性与衔接性, 如果我们把这些项目放到整部《信息系统保护国家计划》中去看, 这些信息安全教育项目更表现出了一种战略性。其他国家如日本、韩国以及欧洲的一些国家也都根据本国的需要制定了相关的信息安全教育计划。

2 信息安全普及教育课程设置

2.1 信息安全普及教育课程的设置必要性

目前我国的信息安全教育还缺乏系统性和全局性。结合我国实际情况, 制订相关的信息安全教育规划是很有必要的, 而在高校里普及信息安全教育则不失为一项必要的, 也是当务之急的教育国策。

中国计算机学会教育专业委员会和清华大学出版社联合举办了“信息安全专业教育教学研讨会”等一系列研讨活动, 并成立了“高等院校信息安全专业系列教材”编审委员会, 共同指导“高等院校信息安全专业系列教材”的编写工作。但是这一系列工作均是针对信息安全专业课程而言的, 对广大非信息安全专业的普通大学生、中学生的普及课程则是空白, 对这种普及性教育的研究也尚未开展。因此, 在信息化的新时代, 进行信息安全普及教育课程的研究是非常重要的, 也是适应时代发展所必需的。

2.2 大学生信息安全普及教育的课程设置

区别于培养计算机信息安全专业技术人才的课程设置, 大学生信息安全的教育应重在“普及”, 以提高广大学生对IT安全及我国互联网信息服务的认识, 并建立自我约束与调整的网络行为道德为目的, 培养遵纪守法的网络用户, 以促进网络健康发展为最终目标。大学生信息安全普及教程内容应包涵以下内容:

2.2.1 有关计算机与网络知识介绍, 包括计算机技术的发展历程, 网络及网络技术的发展与运用;

计算机网络技术发展对社会经济及人们生活方式的影响, 以及网络行为与现实社会行为的关联性;网络社会与现实社会的关系等方面。这一部分内容的主要目的是让大学生对计算机网络化进程有一个系统、初步地了解, 并认识到网络社会与现实社会的共性及各自特点与关联性。目前国内各种教材中, 除计算机专业类教材有相关系统的介绍外, 其他类教材都只部分的涉及, 而且侧重点也各不相同, 不适合普及教育的内容。

2.2.2 对网络信息安全问题产生的剖析。

包括最初始的计算机安全问题的产生与发展变化;计算机网络犯罪的演变与趋势;信息安全问题的发展与演变等。这部分内容主要让人们了解计算机信息安全问题的产生及其危害性, 以加深教育与警示作用。这是信息安全普及教育的重要内容。

2.2.3 介绍危害网络信息安全的种种行为, 这部分是关键内容。

主要通过对计算机网络虚拟空间的各种危害行为的详细介绍, 并从社会道德和法律两个层面进行剖析, 让受教育者知晓什么行为是正确的, 什么行为是不妥的, 什么行为是要受到法律制裁的。如对操作使用计算机网络不当的行为 (区别违法与犯罪, 但会带来危害和损失) 、针对计算机网络本身的违法犯罪行为, 借助、利用计算机网络实施的传统类型犯罪的行为及网络虚拟空间专有类型的犯罪行为的分析介绍, 并对其危害性与后果进行分析, 通过详细的案例式教育, 达到普及信息安全教育效果。

2.2.4 有关网络信息安全防范内容的阐述。

要防范信息安全问题的发生, 就必须了解并懂得信息安全问题产生的外部表现形式;了解计算机网络及各种病毒、黑客攻击、网络诈骗等网络不法行为的表现, 并具备风险防范意识, 主动预防安全问题的发生, 并自觉约束网络行为, 不实施危害网络和利用网络实施损害他人及社会的行为。

2.2.5 对道德、法律在网络空间的适应方面内容的阐述。

网络世界的虚拟性、开放性和自由放任的初期设想, 让人们对网络世界认识不足, 并产生许多错误的理解。这部分内容主要包括:网络世界 (虚拟空间) 的行为与现实世界行为的客观联系;尊重他人权利和保护个人信息安全信息并重;道德与法律在网络空间的适应。其目的是从社会公德、法律教育和思想意识等方面来提高受教育者的个人综合素质, 以遵守社会公德, 遵守网络法则, 共同维护网络虚拟世界的秩序。

2.2.6 普及教育内容中应包括对相关网络信息安全立法的解读。

知法才能懂法, 才能自觉地去守法。作为国家权威部门制定的相关法律、法规及制度, 在普通民众眼里是陌生的, 不愿意花时间去学习、了解和掌握, 而往往认为那是属于法律专业人士所了解和掌握的, 与自己关联不大。信息安全方面的立法与国家机关制定的其他法律法规一样, 都需要一个认识、了解和遵守的过程。因此, 学习相关的法律知识, 也是信息安全普及教育课程必备的内容。

参考文献

[1]顾乃杰, 黄刘生.关于信息安全专业课程设置的探讨[J].北京电子科技学院学报, 2006, (3) .

[2]张靖, 贾璐洁.信息安全教育探析[J].科技信息, 2007, (18) .

[3]Donna Richmond.Security Awareness Training atAetna[J].Computer Security Journal.2006, VolumeXXII, (1) .

[4]Paul King.In the new converged world are wesecure enough?.Information Security Technical Re-port, 2007, (90-97) .

[5]Brian Tjaden.Training Students to Administer andDefend Computer Networks and Systems.ITICSE’06, June 26-28, 2006, Bologne, Italy.

[6]Patricia Y.Logan Ph, D.Teaching Students to Hack:Curriculum Issues in Information Security.SIGCSE'05, February23-27, 2005.St.Louis, USA.

[7]刘志军, 张天长.公安院校信息安全专业中的信息安全教育问题思考[J].湖北警官学院学报, 2006, (1) .

8.安全生产管理机构设置 篇八

停掉Guest账号

在计算机管理的用户里面,把Guest账号停掉,任何时候都不允许Guest账号登录系统。

限制不必要的用户数量

去掉所有Duplicate User账号、测试用账号、共享账号和普通部门账号等。用户组策略设置相应权限,并且经常检查系统的账号,删除已经不再使用的账号。这些账号很多时候都是黑客入侵系统的突破口。

创建2个管理员用账号

虽然第3点看上去和第2点有些矛盾,但事实上是服从第2点规则的。创建一个一般权限账号用来收信以及处理一些日常事物,另一个拥有Administrators权限的账号只在需要时使用。可以让管理员使用“RunAS”命令来执行一些需要特权才能做的一些工作,以方便管理。

把系统Administrator账号改名

大家都知道,Windows 2000的Administrator账号是不能被停用的,这意味着别人可以一遍又一遍的尝试这个账号的密码。把Administrator账号改名可以有效防止这一点。

创建一个陷阱账号

什么是陷阱账号?即创建一个名为“Administrator”的本地账号,把它的权限设置成最低,并且加上一个超过10位的超级复杂密码。这样可以让那些Scripts们忙上一段时间,并借此发现它们的入侵企图,或者在它的Login Scripts上面做点儿手脚。

把共享文件的权限从“everyone”组改成“授权用户”

“everyone”在Windows 2000中意味着任何有权进入您的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组,包括打印共享,其默认属性即是“everyone”组,切记修改。

使用安全密码

用户应该在首次登录时把用户密码更改成复杂的密码,还要注意经常更改密码。

设置屏幕保护密码

设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,它们较浪费系统资源,让计算机使用黑屏保护即可。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。

使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。

运行防毒软件

一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。还要记得不要忘了经常升级病毒代码库。

保障备份盘的安全

一旦系统资料被破坏,备份盘将是您恢复资料的惟一途径。备份完资料后,把备份盘放在安全的位置。千万别把资料备份在同一台服务器上。

利用Windows 2000的安全置工具配置策略

微软提供了一套基于MMC(管理控制台)安全配置和分析的工具,利用它们,您可以很方便地配置您的服务器,以满足您的要求。具体内容请参考微软主页: http://www.microsoft.com/Windows2000/techinfo/ howitworks/security/sctoolset.asp

关闭不必要的服务

Windows 2000的Terminal Services(终端服务)、IIS和RAS都可能给您的系统带来安全漏洞。为了能够在远程方便地管理服务器,很多计算机的终端服务都是开着的,如果您的终端服务也打开了,您需要确认是否已经正确地配置了终端服务。有些恶意程序也能以服务方式悄悄地运行。您要留意服务器上面开启的所有服务,每天检查他们。

关闭不必要的端口

关闭端口意味着减少功能,在安全和功能上面需要您作一点决策。如果服务器安装在防火墙后面,风险会少些,但是,您永远不要认为可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务,这是黑客入侵您的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为:

“网上邻居”*“属性”*“本地连接”*“属性”*“Internet协议(TCP/IP)”*“属性”*“高级”*“选项”*“TCP/IP筛选”*“属性”*“打开TCP/IP筛选”,添加需要的TCP、UDP协议即可(如图1所示)。

打开审核策略

开启安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对您的系统进行某些方式(如尝试用户密码,改变账号策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。图2中所显示的审核是必须开启的,其他的可以根据需要增加。

开启密码策略

为了保证系统的安全性,用户设置的密码必须满足Windows 2000所要求的密码策略,使所设密码难于破解。开启密码策略如图3所示。

开启账号策略

为了防止他人采用穷举法破译系统密码,用户需要开启账号策略。开启账号策略如图4所示。

设定安全记录的访问权限

安全记录在默认情况下是没有保护的,把它设置成只有Administrator和系统账号才有权访问的记录。

把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大,但是您还是应该考虑是否有必要把一些重要的用户数据(文件、数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。

不让系统显示上次登录的用户名

默认情况下,终端服务接入服务器时,登录对话框中会显示上次登录的账号名,本地的登录对话框也是一样。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名,具体操作是:

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLast

UserName把 REG_SZ 的键值改成“1”。

禁止建立空连接

默认情况下,任何用户可以通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接,方法如下:

Local_MachineSystemCurrentControlSet

ControlLSA-RestrictAnonymous 的值改成“1”即可。

到微软网站下载最新补丁程序

上一篇:青奥会畅想曲作文下一篇:学生操行鉴定条例