前言:中文期刊网精心挑选了电力安全事故分析范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
电力安全事故分析范文1
(一)事故概况
2012年1月3日上午7时20分,湖北省随州市随县均川镇,李庭树胶合板厂发生一起锅炉爆炸事故,造成3人死亡。
事故锅炉型号为LSH0.5-0.4-II。额定蒸发量为0.5t/h。额定蒸汽压力为0.4MPa,额定蒸汽温度为151℃。该锅炉为河南某公司于2011年1月21日制造,于2011年2月私自安装,2月14日开始使用,安装时未办理告知手续,未进行安装监检,未办理使用登记。事故发生时当班锅炉操作工未经培训,无特种设备作业操作证。事故现场如图I所示。
(二)事故原因分析
1.蒸汽出口阀和排污阀均处于关闭状态。安全阀阀瓣锈死,失去正常保护作用,见图2。锅炉超压运行,导致炉胆失稳变形,拉开了炉门圈与锅壳连接焊缝,见图3和图4。冲天管与锅壳封头搭接焊缝,锅炉结构发生破坏,导致爆炸事故发生。
2.锅炉使用单位未建立安全培训教育制度,对作业人员未进行专门的安全教育和岗前教育培训,锅炉操作人员无证上岗。
3.事故锅炉属于非法安装,没有履行安装告知和报检手续,未经质监部门注册登记擅自投入使用,无管理制度,无操作规程,无运行记录。
(三)预防同类事故的措施
1.锅炉使用单位要严格按照锅炉法规和安全技术规范的要求建立锅炉安全管理制度和操作规程,锅炉安装必须请有合法资质的单位和人员进行,严格履行安装告知和报检手续,及时办理使用登记。
2.加强锅炉管理和操作人员的安全技术教育培训,提高管理、操作水平和应急处理能力,确保锅炉操作人员严格按照规程操作并持证上岗。
案例三十二 2011年7月16日广西桂林灵川古东景区“滑道”被抛出死亡事故
(一)事故概况
2011年7月16日19时10分左右,广西壮族自治区桂林市灵川县大圩镇古东景区,桂林古东旅游有限公司滑道项目。工作人员白某和秦某分别上两台滑道车,白某在前、秦某在后(两车之间有一定距离),白某先开动滑道车下去,在距离站台约60m时,白某突然被后面的车撞了一下,后头发现后面是空车,他立即感觉秦某可能出事了,马上停车并通知在下站台等待他们的工作人员。最后,他们在距白某下车点约240m的弯道出发现秦某,当时秦某脉搏已比较弱,头部出血、竖躺在滑道护栏的走道上。秦某随即被送往最近的卫生院进行抢救,但终因颅脑损伤严重抢救无效死亡。
(二)事故原因分析
事发滑道为管轨滑道,滑道落差为45m、最大坡度9°、最小转弯半径9m。据现场勘察,死者秦某被摔出滑道车的地点为弯道处,转弯半径为9m、坡度为7.5°,距滑道下站约300m左右,事故现场的滑道护栏已被变形,走道的铁丝网上留有血迹。
白某为该滑道站的滑车员兼检修员,死者秦某为滑道站当日的安全检查人员,事发前白某为系好安全带后再下滑,但并没看到秦某是否系好安全带;而根据事发后对秦某当时乘坐滑车的检查结果,并未发现该滑车的安全带有任何破损,坚固螺钉也没有任何松动,车辆四周也没有任何异常和特殊痕迹。此次事故的直接原因是:秦某身为安全员却违反规定,乘滑车回下站时未系好安全带,导致在下滑途中通过最小弯道时,身体受离心力作用被抛出轨道、头部撞击滑道护栏导致颅脑严重损伤而死亡。
据了解,相关检查机构在2011年6月17日层对事发设备进行过年度定期检验,发现了四个问题并要求运营单位6月24日前完成整改,其中一个问题是刹车片磨损严重,但直至事发时运营单位也未向检验机构提交整改情况回复。据此,不能排除秦某在进入弯道前是否有过刹车却无法正常减速的情况,这也可能是导致秦某被抛出弯道的另一个重要原因。
令据核实,秦某再事发前未取得过特种设备上岗作业证书,也属违规。
(三)预防同类事故的措施
1.运营使用单位应严格履行安全管理义务,建立健全相关安全管理制度,完善操作规程,强化对作业人员、维护保养人员的基本安全技能培训,切实提高其安全意识教育,并严格做到持证上岗。
2.运营使用单位应按照相关法规的要求,完善企业组织机构,对相关安全管理人员进行全面的培训考核,杜绝违章指挥、违章冒险作业行为。
3.运营单位应加强对设备的维护保养工作,必须保证正常维护所需的经费投入,杜绝设备带病运行状况的情况。
电力安全事故分析范文2
关键词:电网结构 事故风险 应急处理 防范措施
中图分类号:TK1 文献标识码:A 文章编号:1003-9082(2013)12-0253-01
一、500kV蒙西电网现状
目前,内蒙古中西部电网500kV变电站16座,变电容量 21000 MVA,线路长度 4234公里;电网统调装机容量41300MW,最高发电负荷22260MV,区内最高供电负荷13920MW,风力最高出力4350MW,应经建成丰泉—万全,汗海—沽源—平安城2个向华北电网送电的通道,共计4回500kV线路,最大外送电力3950MW。初步形成了多通道、超高压、大容量、远距离、西电东送格局。
二、500kV蒙西电网存在问题
由于受政策、资源、环境、设施等多方面的约束,内蒙古中西部电网还存在许多突出问题:电网外送通道严重不足;电网发供电矛盾十分突出;500kV主干网架结构较为薄弱,局部通道“输电堵塞”存在;长距离输电、单线、单变、过载现象较多,负荷转移困难,互带能力不足;电网调峰问题日益突出,冬季供热方式调整十分窘迫;大量风电并网,运行管理难度不断显现;大负荷集中,高耗能用户、风力发电厂、电气化铁路用户管理水平参差不齐等。这些问题和因素增加了诱发电网事故的风险,客观需要我们必须认真研究。
三、主网结构危险点分析
1.电网结构问题
500kV 主干网架结构仍然较为薄弱:乌海、吉兰太、千里山形成的单线三角环网结构薄弱,双回线跳闸后易造成大乌海地区大幅减供负荷;汗海、灰腾梁、塔拉之间单线联络,线路或塔拉主变跳闸后将造成锡林浩特地区电网与主网解列,锡林浩特市全停,冬季供热机组全停的问题。部分500kV变电站送出的220kV电网薄弱。如:汗海变电站汗温线跳闸或所在母线跳闸将造成二连浩特市全停的问题;春坤山变电站春固线跳闸或所在母线跳闸将造成固阳县全停的问题。
2.设备问题
近年来,新、改(扩)建工程采用的部分设备质量较差,存在家族性、批量性缺陷。投运后设备更换改造时间长,工作难度大,改造过程中存在设备检修方式下的N-1故障风险和设备跳闸风险。随着设备运行年限的加长,暴露出设备老化问题日益突出。如隔离刀闸发热、操作卡涩操作不到位的现象时有发生,影响电网设备的安全。因保护装置元器件超使用寿命发生的缺陷愈来愈多,给系统的安全稳定运行构成隐患。部分地区如乌海、乌斯太工业污染问题严重,存在输变电设备污闪跳闸的风险。电网规划不科学,导致后期扩建时到间隔,增加电网危险隐患。
四、防止发生电力全事故的防范措施
加强高龄设备的缺陷跟踪、运行巡视,针对设备易发生的缺陷储备相关的备品备件,保证及时消缺。做好检修工作安排,防范检修方式下N-1故障造成的电力安全事故。按周期开展继电保护和安全自动装置的维护校验工作,确保安全自动装置的正确动作。在设备检修停电前,与调度人员主动沟通相关线路、主变负荷情况,提醒调度人员控制负荷潮流,控制事故等级。
积极开展500kV线路的带电作业工作。完善电网网架结构,加快如重要负荷地区双回线路的建设进程。逐渐完成500千伏变电站220千伏母线双母双分段改造工作,缩小母线故障情况下停电范围及对电网造成的影响。从整体上提高内蒙古西部地区电网断面送电能力。适度减缓地区负荷接入速度,缓解由于电网薄弱而承担大负荷的风险,避免风险点数量的不断增长。
开展设备专项治理,提升设备健康水平。严密监测气体超标的变压器、电抗器:针对断路器、隔离开关等易损部件进行检查、维护,对重污染地区的输变电设备采取喷涂PRTV材料的方式防范设备闪络故障。加大设备入网检测力度,努力杜绝质量不良产品入网运行。设备选型要选用具有良好运行业绩和成熟制造经验生产厂家的产品,控制新研发的产品或新组建生产厂家的试生产产品入网,避免先天性、家族性、批量性的设备安全隐患。
五、结束语
根据500kV蒙西电网的发展现状及网架结构特点,需提前梳理电网危险点,做好突发事件的应急处理预案。进一步做好电网规划,提高风险控制水平及事故应急处置能力。
参考文献
[1]关于印发内蒙古中西部电网事故风险分析报告的通知.
电力安全事故分析范文3
在市场竞争日益激烈的今日,频繁的安全事故能使任何一家企业走向衰败与死亡。每天,我们都能以各种媒体报道,甚至于自己的身边看到各种安全事故给个人、家庭以及社会带来的损失与痛苦。但从事故分析结果上,我们却又总能见到这样的事实:那伤人性命,吞噬财产的熊熊烈火可能就是那个忘记掐灭的烟头;而那从高空坠落的作业人员往往是因为安全带疏忽;安全与危险只是一瞬间,安全来不得半点麻痹和放松。人的生命只有一次,一旦失去就不会再有回来的时候。
其实在我们的日常生活工作当中,如果我们每个人都能将安全把握在自己手上,进入现场规定着装,戴安全帽,高空作业系安全带,按章作业,及时发现消除不安全隐患……等等,就可能保证自身的安全。
针对我们电力企业,安全对我们来说,其中的重要性不言而喻。从小的方面来看,安全直接关系到每一位职工的切身利益和生命,从大的方面来看,安全关系到整个企业的形象、效益和生存发展。所有的危险隐患时刻都在我们周围,我们只有真正做到“安全第
电力安全事故分析范文4
关键词 电力设备;质量管理;问题;新思路;研究
中图分类号 TM77 文献标识码 A 文章编号 1673-9671-(2012)111-0221-01
电力设备的质量管理是电力企业日常管理过程中的重要组成部分,而电力设备质量管理的好与坏将在很大程度上影响着电力企业的正常运行。但在电力设备质量管理的过程中存在着一些问题,造成了很多的电力设备运行安全事故。因此,在新时期加强对电力设备质量管理的研究并找出新的发展思路,将有助于降低电力企业安全事故的发生率,实现电力设备的优化管理。
1 针对电力设备质量管理的概述
电力设备的质量管理是一种系统性的工作流程,其内容包括设备的选型、设备的采购招投标、设备的质量控制、设备运行数据信息的归集与分析以及设备故障的技术修订等,同时也包括工程施工单位与设备生产企业之间的协调、设备资料的归集等。
2 针对电力设备质量管理存在问题的研究
2.1 电力设备选型方面存在的问题
电力设备在选型方面存在问题的主要表现是:一是企业制定的设备采购标准较低与企业的采购部门与其他部门甚至是其他企业之间的交流沟通水平较低;二是电力配电网的技术标准、运行方式以及自动化的规划、信息产品等一些配套设施的标准不清晰;三是现有电力设备的设计与生产标准较为落后,热电网生产技术的水平也较低。
2.2 电力设备招投标方面存在的问题
电力设备招投标方面存在问题的主要表现是:一是电力设备的招投标工作缺少对评标人员的问责与专业操守的相关程序,或者评标人员不太重视招投标电力设备的技术条件与参数之间的差异,使得评标过程中主观判断较多,给电网的运行留下了很多安全隐患;二是电力设备的评标模式存在问题,即有些设备供应商为了获得中标资格,采取低价投标的方式进行恶意投标,进而导致设备生产制造的技术水平下降、设备的质量降低;三是很多电力设备的生产制造企业为了获取中标资格,故意夸大自身电力设备的质量与性能,在很大程度上误导评标人员对产品质量的判断力。
2.3 物资管理机构在参与事故分析过程中面临的问题
物资管理机构在参与事故分析过程中面临的问题包括以下三点:一是物资管理机构在剖析事故原因的过程中存在大量的阻碍,比如说受到当地供电企业经济利益与用电企业技术方面存在问题以及没有接收到检测部门、生产技术机构以及设备的生产制造企业的支持,很难获得有效地事故数据;二是误诊管理机构在收集事故成因数据的过程中存在问题,即在设备安全操作事故发生之后,物资管理机构没有在第一时间收集到事故成因信息,只是在月度或者季度的施工定性探讨会议中获得一部分被过滤的事故成因数据;三是当前的物质管理机构对非电力性质的物资管控工作不到位,没有进行事故成因与事故问责的分析。
3 针对电力设备质量管理新思路的研究
3.1 采取措施做好电力设备的监造验收工作
要做好电力设备的建造验收工作,需要做到以下三点:一是在统一设备采购标准模式之下,对设备的生产流程、原材料采购以及售后服务等环节进行监管验收,以保障电力设备的运行质量;二是要采取措施做好对电力设备的运行状态检修、预试管理工作,以达到充分预防设备外表与内部构造的缺陷;三是要采取措施对设备生产制造企业、选型标准以及相关的设备技术协议进行设备生产工艺与原材料质量的把关工作。
3.2 采取措施做好电力设备招投标的优化工作
要做好电力设备招投标的优化工作,需要做到以下两点:一是要采取措施对电力设备生产制造企业的成品与原材料存放的场地与设备生产场地进行考核,初步了解并掌握电力设备的品质情况与生产流程;二是要将产品供应企业的准入与评价管理制度纳入到招投标优化程序中,以达到有效择优选良目标企业与改进招投标的评分方法等目标。
3.3 采取措施构建电力设备质量问题分析档案库
要构建电力设备质量问题的分析档案库,需要做到以下三点:一是要利用先进的计算机技术与数据库技术在企业内部建立设备质量问题的档案库,对电力设备生产、采购、运行等多个环节存在的缺陷与问题进行跟踪调查与剖析;二是要要采取措施将电力设备的竣工投产之前的安装调试与验收的信息记录与预防性试验的信息记录输入档案库中;三是要采取措施针对电力设备的家族性问题进行有效性监督管理,即在结束人员利用磁变分析方式对电力设备的设计方案进行模拟数据的试验并验证无误之后,要对同类产品进行家族性缺陷的跟踪监督管理。
3.4 采取措施做好电力设备运行信息的收集和研究工作
要做好电力设备运行信息的收集和研究工作,需要做到以下三点:一是要采取措施将资产全寿命的周期管理模式引入到运设备运行信息的收集与研究工作中,以提升电力设备选型规范与选型标准的质量;二是要采取对设备运行各个环节的数据与运行功率以及运行环境进行有效性监测;三是要定期或者不定期聘请电力设备设计、生产、维修保养各个环节的专业人员对电力设备的生产质量与运行质量进行有效性探讨,并针对对如何预防设备运行事故与质量问题提出相应的解决措施。
4 结束语
电力设备的质量管理是企业日常管理中的一项长期的管理工作,其需要与采购管理、供应链管理、运行管理以及标准化建设管理等多门学科进行合作。但在现实的管理过程中,电力设备的质量管理存在着一些问题,严重影响着电力设备的正常运转。因此,在新时期加强对电力设备质量管理新思路的研究,是当前人们热衷研究的一大课题。
参考文献
[1]杨伟坚,熊焰雄,廖红.电力设备质量管理的思路[J].广东电力,2011,24.
[2]朱斌,郑庆平.电力设备全过程管理[J].小水电,2011,04.
[3]张守来.电力系统设备管理研究[J].电脑编程技巧与维护,2011,08.
电力安全事故分析范文5
事故现象:在B变电站德阜甲线B支线1155开关或德阜乙线B支线1157开关断开的情况下,由于线路刀闸断口到开关之间仅有空载母线没有其它设备和负荷,合上其线路刀闸不应引起工频电流的变化,事故分析:在B变电站德阜甲线B支线1155开关或德阜乙线B支线1157开关断开的情况下,由于线路刀闸断口到开关之间仅有空载母线没有其它设备和负荷,合上其线路刀闸不应引起工频电流的变化。但根据厂家提供的资料显示,在GIS中分、合开关会产生操作过电压,具有约为20MHz高频衰减振荡波形0.1μS陡度的特性,该进行波沿电缆芯侵入,在电缆金属层产生暂态过电压。对于电缆绝缘层来说其的容抗与频率成反比,即20MHz的高频高压下其呈现的容抗较少,从而导致加在电缆外皮和和金属外壳间的电压增大,最终使用薄弱部分发生放电现象。这就解释了为什么只有在合或分刀闸时会产生放电现象,而在稳态运行时电缆能正常运行。
2电网调度安全事故的主要特点
电网调度工作是保证电力安全稳定运行的关键,做好电力运行的管理倒闸以及事故处理工作是电网调度的重要工作内容。而安全管理直接关系到整个电力系统的安全运行,任何的操作失误都会造成严重的安全事故,直接影响到电力能源的正常供应。从上文的案例分析可知,造成电网调度安全事故的原因是多方面的,在处理安全事故,分析事故原因的过程中,要结合安全事故现场的实际情况开展相关的分析,不能完全按照手册进行分析合理处理。同时,在安全事故处理过程中要基于故障现象予以分析,在结合线路系统状况的基础上,对故障位置进精确定位,分析故障原因,从而提高故障处理的处理精确度。为了提高安全事故处理的整体质量和效率,在日常的安全管理工作中还应该对技术研发、人员培训、安全制度落实等常抓不懈,保证全体安全管理人员的安全责任意识得到提高。
3电网调度安全管理创新策略
3.1增加电网调度自动化技术的研发与应用力度
在优化电网自动化调度系统的过程中,要对系统运行过程中存在的主要问题进行详细记录,并分析系统运行过程中存在的主要问题和难点进行分析,持续加大科研力度,力图通过技术创新与优化的方式弥补自动化系统运行过程中存在的主要漏洞。在整个过程中,应该做好如下几项工作:其一,应该选择质量与性能优良的设备,结合电力企业的实际应用水平,例如规模、运行方式等合理选择设备。主要针对系统的接口进行优选,并在设计完成施工后做好对应的验收工作;其二,将自动化系统的运行监测作为电网调度及管理工作的重要构成部分,定期做好对运行环境的检查和维护,更换其中的老化设备,确保系统处于技术稳定状态。
3.2完善事故风险管理体系,提高调度人员事故处理能力
建立一个完善的事故风险管理体系,首先要求加强安全管理岗位的风险管理工作。对于不同的工作岗位,其所面临和需要处理的风险是不同的,这就要求风险确定的过程中根据性质和工作需求的不同确定对应的风险水平,保证对应岗位工作人员具有足够的风险意识,从而在风险出现时做出相应的应对措施。另外,还应该建立对应的风险预案体系,对其中可能因为多种因素,例如雷雨天气、用电负荷以及人为操作等而造成的风险问题,采取对应的措施进行预先构想和处理,以免真正出现事故时没有对应的处理方案。同时,还应该进行预防演练,通过模拟事故的出现让员工能够在真实的场景中进行现场演练,从而提高其事故处理的主动性和准确性。
3.3对电网调度安全管理培训进行创新
首先,要提高安全教育以及培训的整体成效。调控中心以及相关管理部门的人员应该在某一项工程实施或者运行之前就介入到相关的前期准备工作中。要对项目建设以及项目运行过程中的相关技术、设备做到了如指掌。对于其中的部分重点和关键技术设备要进行专门的分析和研究。在这个过程中,安全管理人员得到了实战锻炼和培训,在整个过程中逐步成长成为了安全管理领域的技术骨干。同时,还应该结合不同的培训阶段实际需要,聘请专业的技术人员作为调度中心的兼职培训师,从而提高安全教育以及培训工作的成效。
电力安全事故分析范文6
关键词 信息安全事故;安全管理;事故致因理论
中图分类号 F49
文献标识码 A
文章编号 1006-5024(2013)01-0055-04
一、引言
在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道2010年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为51%、45%和40%,而相同事故在全球范围内的发生率则为25%、27%与23%。
大量文献和事实表明,信息的特殊性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。
目前,对于信息安全的研究大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面研究的较少。Ross Anderson(2001)认为,信息安全的经济管理研究在某种程度上比技术研究更为重要。傅毓敏(2010)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素研究为核心,找出事故发生的根本原因。通过控制事故致因因素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。
本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设备因素,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,并提出针对性的防范措施。
二、理论基础
(一)国内外从管理角度对信息安全事故的研究
国内外的学者从不同角度对信息安全事故原因进行了研究。Van Niekerk(2010)认为企业信息安全文化氛围是减少人为因素所导致的信息安全事故的关键;Knapp(2009)等先后对信息安全政策和信息安全事故之间的关系进行了研究;Herath(2009)通过问卷调研的实证研究验证了惩罚力度、压力和员工的效果认知会对其安全行为产生影响;Albrechtsen(2010)发现员工参与、集体反思和群体作用可以提高员工的信息安全意识,并改善其安全行为;Stanton(2005)研究发现终端用户的安全行为会对企业信息安全管理产生影响;Ashenden(2008)通过实证研究发现信息安全管理人员、高层管理者和终端用户之间存在信息鸿沟,双方在理解上的差异会对企业的信息安全管理产生不利影响,增加了信息安全事故发生的几率。此外,Vroom(2004)、Flowerday(2005)等学者也先后对此进行了研究。
与国外相比,国内对于信息安全的研究多集中于技术层面,涉及管理层面的研究较少。沈昌祥、张焕国、冯登国(2007)系统地阐述了信息安全理论及相关技术的发展;官巍、胡若(2007)从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题;刘福来(2010)对中小企业信息化管理中存在的安全隐患和原因进行了分析。
通过阅读文献发现,国外学者大多通过实证研究验证了一个或几个因素对信息安全事故的影响,但是缺乏对信息安全事故的系统分析。国内的研究多用于构建信息安全管理体系,对信息安全事故的分析则鲜有研究。
(二)事故致因理论
在信息安全事故分析方法的选择上,本文选择了在生产领域广泛应用的事故致因理论。事故致因理论是研究分析导致事故发生原因因素的科学理论。它是描述事故成因、经过和后果的理论,是研究人、物、环境、管理及事故处置等基本因素如何起作用而形成事故并造成损失的理论。
在早期的事故致因理论中,海因里希(W.H.Heinrich)的事故因果连锁论最具代表性,它最先提出了物的不安全状态和人的不安全行为是导致伤亡事故发生的两个直接因素。在海因里希事故因果连锁论的基础上,博德(F.Bird)等又进一步提出了把安全管理作为背后深层次的间接事故致因因素的现代安全科学观点,认为任何安全事故发生的深层次原因,都可以归结为管理的失误,人的不安全行为或物的不安全状态不过是其背后的深层原因的征兆和管理失误的反映。
本文依据博德(F.Bird)的现代安全科学观点,提出如图1所示的信息安全事故模型。信息安全事故的发生是由于人的不安全行为和物的不安全状态作用在能量物质/载体上的结果,而企业的管理因素是导致物的不安全状态和人的不安全行为发生作用的直接因素。
三、信息安全事故分析
通过对各类型信息安全事故致因因素的分析,企业信息安全事故的致因因素大体可分为两类,即人的因素和物的因素。其中,物的因素可进一步分为环境因素、技术因素、设备因素等。根据实地调研和文献梳理可以得出,企业文化的缺失、安全规章制度的不完善等环境因素是造成事故的深层原因。因此,本文将企业信息安全事故的可控致因因素整理归纳后分为四类,即环境因素、人员因素、技术因素和设备因素,并构建了信息安全事故鱼刺图(见图2)。
(一)环境因素分析
在信息化建设过程中,很多企业由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。在企业的内部环境中,企业业务的符合性直接决定了信息系统的设计、运行、试用和管理是否超出法律规定和合同规定的安全要求的约束范围。另外,很多企业安装了一定的安全设备,但缺乏统一的安全体系规划和安全防范机制,企业安全责任不明确,这些都大大增加了信息安全事故发生的风险。由于缺乏业务连续性计划和事故处理机制,发生信息安全事故之后,企业的业务往往会出现中断,此时,信息管理人员又变成“救火员”恢复业务,最终信息安全建设变成一种“头痛医头,脚痛医脚”的亡羊补牢式的行为。此外,企业惩戒措施和审计机制的缺乏也是导致信息安全事故频繁发生或重复发生的重要因素。
在信息安全管理的外部环境中,与企业密切相关的是第三方服务机构或个人。企业选择第三方服务机构为企业提供服务,就意味着将企业的部分信息转移至第三方。企业与第三方的外包合约不完善、第三方的服务质量不高以及对第三方数据访问权限的不明确易导致企业关键数据的泄露,容易引发外部攻击。
(二)人员因素分析
人员是信息安全管理中最为活跃的因素,不同类别的人员对信息安全事故的影响不尽相同。(1)管理人员。高层管理者是企业资源投入的决策者,也是企业信息安全管理的核心,高层对信息安全的支持和重视不够是导致企业信息安全文化欠缺和员工信息安全意识淡漠的关键因素。中层管理者作为衔接企业高层和基层的桥梁,其对上级决策的执行力度直接决定了企业信息安全管理实施的效果。(2)技术人员。在企业中,技术人员可以保证企业信息系统的日常运营和维护。但大多数企业,尤其是中小企业缺乏信息技术人才和安全监察、审计人员。由于受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统的安全管理,安全设置和安全监督都是“一肩挑”。这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。(3)基层人员。目前,我国企业的基层员工普遍缺乏信息安全的教育、培训,对信息安全意识淡漠,每天都在以不安全的方式处理着企业的大量重要信息,如随意使用移动设备、上网不限制等,这些不安全的行为都对企业的信息系统构成了潜在的威胁。
(三)技术因素分析
信息安全技术是企业防范信息安全事故的基本因素,也是我国企业在信息安全管理中投入较多的一部分。具体而言,导致信息安全事故技术方面的因素可以分为两大类:(1)软件因素,包括软件设计缺陷或存在技术漏洞、杀毒软件不及时更新以及突发的软件故障等。(2)信息系统设计因素,包括信息系统设计时没有以风险评估为基础、业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、关键数据没有备份、信息资产安全等级不明确以及信息资产没有保护措施等因素。这些不安全的技术因素导致了信息安全漏洞存在的必然性和普遍性。在目前互联网普及的开放网络环境中,这些漏洞无疑会给外部攻击者留下可乘之机,导致信息安全事故的发生。
(四)设备因素分析
企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,这些是企业信息安全保障系统的基础。由于设备因素引起的信息安全事故包括硬件自身故障、保障设施故障、人为破坏事故、其他设备设施故障等四种,其致因因素可以归纳为三类:(1)物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、硬件失效等。(2)保障设施方面,包括供电或空调中断、电气故障、电缆损坏等。(3)外界不可抗力,包括水灾、台风、地震等自然灾害和恐怖袭击、战争等外界不可抗力因素。这些因素往往会造成设施设备硬件的损坏,导致存储于设备上的数据受到干扰和破坏,容易引发企业业务的中断。
四、防范措施
针对上述造成信息安全事故的因素分析,可以从人员培训、制度完善以及硬件改进三个方面进行防范。具体而言:
(一)建立有效的“人力防火墙”,减少人为因素导致的信息安全事故
信息安全是企业每个员工都要面对的问题,通过建立“人力防火墙”能真正调动企业实现长治久安的内在动力。因此,必须加强信息安全宣传工作,增强所有员工对信息安全重要性的认识。通过增强管理人员对信息安全的重视,营造企业的安全文化氛围,提高企业员工的信息安全意识;通过对员工进行安全教育与培训,增强员工的安全技能;通过法律法规、安全政策、访问权限与惩戒措施来约束员工的行为,减少不安全行为的发生。最终在企业内部形成一种“信息安全,人人有责”的企业文化氛围,减少人为因素导致的信息安全事故。
(二)完善企业信息安全管理体系,减少由于环境、技术因素导致的信息安全事故
信息安全管理体系是依据企业信息安全需求、业务流程分析和风险评估的结果,综合利用各种信息安全技术与产品,在统一的综合管理平台上建立的信息安全管理机制和防范体系。建立并完善信息安全管理体系,可以为企业的信息管理提供来自策略、设计以及运行等各个层面和阶段的安全保障,有效减少由于环境因素和技术因素引起的信息安全事故。建立灾难恢复与业务持续性计划,强化重要信息数据备份,在信息安全事故发生时能确保业务持续开展,将损失降到最低程度;建立集中化的管理控制机制,将数据安全控制进行集中化管理,建立一个具有全局性的网络管理平台,以确保安全防范策略能够由上至下全面贯彻执行,减少数据安全风险;以“适度防范”为原则,选择合适的安全技术与产品,制定相应的访问控制策略,在考虑成本和投资回报的基础上满足企业业务安全的需求。