前言:中文期刊网精心挑选了企业安全论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业安全论文范文1
1.1安全精神文化
正确的安全观、牢记和遵守安全信念和价值标准都称为安全精神文化。同样安全最高目标、安全哲学思想和安全文化伦理道德也都属于安全精神文化。
1.2安全物质文化
各类先进的安全设施设备配备到位,企业安全管理方法先进有效,这就形成了安全物质文化。安全物质文化处于安全文化体系的最外层,展示了是安全文化的外部形象。
1.3安全制度文化
建立健全安全规章制度就是安全制度文化的主要内容。其外在表现出了安全精神文化的具体内容。同时也表现出了改企业的安全管理水平。
1.4安全行为文化
员工的行为得到有效的安全规范,充分提高其安全操作技能和自我保护能力,这就是安全行为文化的主要工作。这样能够减少人的不安全行为,这是控制事故的有效途径。
2石油企业安全文化建设工作过程中存在的主要问题
2.1企业领导的重视程度不足
企业安全生产关乎企业所有人员,同样的,企业安全文化建设的过程也关乎所有职工尤其是关乎企业领导对安全文化建设的认知程度和重视程度。各种外在环境的复杂性和瞬变性使企业领导面临极大的风险,导致部分领导思维跟不上节奏。企业领导对安全文化建设的认知程度不清以及重视程度的不够都会对企业安全生产带来阻碍。
2.2企业职工的安全意识素质薄弱
多数石油企业安全事故的发生与其职工的安全意识薄弱和安全技术素养不足具有直接的关系。企业职工若是具有的安全意识淡薄就不能形成保护意识。更甚者有的职工不顾自己的生命和他人的生命进行违章操作。这些都是安全意识薄弱引起的,都会对企业安全文化的建设形成阻碍。
2.3安全技术管理人员素质有待提高
企业必须设立专门的安全技术管理团队。不过部分企业安全技术队伍能力不过硬,专业素养不高。安全技术队伍若是不能对安全隐患彻底查清并消除,不能充分预见事故的发生并采取有效措施,企业的安全文化建设就不能有效推进。
2.4安全教育不足
现如今企业安全教育过于形式化,很多的安全教育的活动都是停留在表面,职工并不能有效的学习到知识和技能,也就达不到实际的效果。随着科学技术进步和时代的发展,许多先进的技术、最新的工艺和材料在石油生产中的应用。这对石油企业工作者的职业素质提出了更高的要求,同时也是对企业安全教育培训的更高挑战。
3推进石油企业安全文化的建议
3.1构建核心理念
企业需要不断确立并实现安全文化目标,用理念指导行动,用文化指导方向。企业建设安全文化,必须从全局上战略把握,提出企业安全生产核心理念,构筑安全生产精神层面防线。一是树立“安全是企业的立根之本,安全是企业的最大效益,安全是职工的最大福利”的先进理念。企业安全生产才能促进企业快速发展,企业安全生产才能保障职工人身健康的根本利益。企业需将以上三者结合在一起,确立“安全第一”的重要思想。二是确立“安全工作每时每刻新起点”的安全管理观念。这种安全管理的理念,就是不以过去的成绩为傲,牢记安全生产不以过去论成败,不能放松一分一毫,时刻保持紧迫感。不断学习吸收先进的安全管理经验,为建设安全型石油企业不懈努力。三是确立“安全源自于危机感和责任感”理念。企业在忧患中发展才能壮大。尤其是安全方面,不能大意,时刻谨记危机感和责任感。
3.2贯彻理念构建制度
安全理念发挥着企业生产经营的核心作用。企业安全文化体系的基础就是拥有健全完备的安全制度。一是贯彻实行安全目标责任制。建立安全目标三级考核制度。企业需要为每个领导制定相应的安全目标责任,不管是企业经理和党委书记,还是单位负责人、科室主管以及大小队班组长,都应相应地肩负起各自的责任。构建成“全员、全面、责任到人”责任管理系统。二是生产管理制度严格执行。严格监督审查生产规程中各个环节,包括编制、审批、贯彻、执行在内的每一个环节都不能松懈。安全设施必须与改造、新建工程同时设计、同时施工、同时投入生产和使用。
3.3贯彻制度构建机制
一是构建安全理念传递机制。石油企业职工能否最大限度的接受安全理念,与安全理念传递机制的建立息息相关。石油企业可以开展各种活动用来传递安全理念。包括制定安全标语,安全警句和理念汇编成册,定期不定期的对制动进行讲解,并开展专题讲座等交流活动,这些活动都能加深职工对安全理念的认识程度。二是构建安全教育培训机制。安全培训教育能够有效的提高职工的安全素养和安全防护意识。石油企业工作者的安全素质得到有效的教育能够为企业的稳健发展提供坚实的动力。三是构建安全测评机制。安全测评机制则是检验职工学习成果的最好途径。可以采用问卷和谈话等形式,对企业职工进行测评;企业也可以成立专门的安全检查组织,对企业日常执行规章制度进行监督检查,发现问题,改正问题。四是构建安全投入保障机制。先进的安全措施与设备能够有效阻碍安全事故的发生,推广先进高效安全设施,淘汰落后低效安全设备,为做好安全生产提供坚实物质保障。
3.4必须坚持的几项原则
一是以人为本。企业应时时刻刻把生命放在首要位置。安全文化落实的根本目的就是保障员工的生命安全、实现安全生产。二是严格要求。从安全生产工作管理到安全文化知识的学习等一切安全文化推进的活动,都要认真贯彻落实,严格要求。三是求真务实。形式主义必须得杜绝和禁止,安全文化建设必须做到求实务实,力求各项制度措施落到实处。四是持之以恒。安全文化建设过程中必须依靠坚持不懈的努力和奋斗,做到持之以恒。五是全员参与。“大安全”的企业安全文化格局,必须依托企业全员的共同努力。
4结语
企业安全论文范文2
1.1消防设施设置严重不足大部分厂房只设置了灭火器,而且大部分灭火器由于缺少维护保养,不能使用;少数厂房设置了室内外消火栓,但未设置消防水泵和消防水池,多采用深井供水,消防用水量不符合要求;所有超过1500平方米的厂房均未设置自动喷水灭火系统;大部分厂房未设置消防疏散指示标志。
1.2消防安全管理严重缺失通过检查发现,大多数企业负责人对消防安全不重视,甚至不了解,企业职工不掌握基本的消防安全常识和技能;生产用火用电多,普遍存在私拉乱接电线、吸烟乱扔烟头的现象。
2消防安全管理对策措施研究
为了全面改善该市板材企业的消防安全现状,提高板材企业抗御火灾的能力,必须组织开展板材企业消防安全专项整治。为了确保专项整治的效果,笔者认为需要从以下几方面着手。
2.1专项整治须在政府的统一领导下进行该市板材企业数量多,从业人员多,是重要的工业支柱产业之一,一旦处理不好专项整治和经济发展的关系,势必阻碍社会经济的发展,造成大量工人失业,产生不安定的社会因素。此外,由于板材企业数量大,火灾隐患形成的时间较长,专项整治的难度大,必须由政府牵头,多部门联合整治,才会取得一定的效果。各镇政府特别是板材企业密集的镇政府,对专项整治存在很大的畏难情绪,必须由市政府与各镇政府签订专项整治工作责任状,凡在规定时间内未能达到整改目标的镇政府,年度社会消防工作责任考核不达标,取消评先评优资格,安全生产和综合治理考核一票否决,并由市政府主要领导约谈镇政府主要领导。
2.2专项整治须多部门齐抓共管市政府必须明确有关部门在消防安全专项整治工作中的工作职责,充分发挥有关部门在专项整治工作中的职能作用,建立互相关联、互为补充的联合执法机制。对于在整改期限内拒不整改火灾隐患的单位,有关职能部门不得给予行政许可或年检。对拒不整改的重大火灾隐患单位,有关部门必须联合执法,坚决予以关停,形成对火灾隐患整改的高压态势。同时,对新建的板材企业,有关部门必须严格落实行政许可审批消防安全前置条件,防止产生“先天性”的火灾隐患。
2.3加强对企业的消防宣传培训专项整治期,必须通过广播、电视台、制作宣传资料等方式,广泛宣讲火灾隐患的危险性、危害后果和火灾事故责任,切实从思想上、认识上、行动上增加做好板材企业专项整治的紧迫感和责任感,积极寻求广大板材企业的理解、支持与配合。同时,要加大对板材企业重大火灾隐患和严重消防违法行为的曝光力度,及时向社会板材企业火灾隐患整治信息,充分发挥媒体在专项整治中的监督作用。此外,要集中组织对板材企业业主和从业人员的消防安全培训,不断提高业主和从业人员的消防安全意识,督促其熟练掌握基本的消防安全常识和防灭火技能。
2.4专项整治中充分发挥典型示范作用目前,板材企业对火灾隐患整改存在畏难情绪,一方面是受整个经济大环境的影响,企业处于半停工半生产的状态,效益不好,整改资金的投入对企业的压力非常大;另一方面,整个行业都普遍存在火灾隐患,大家都在观望和等待。因此,必须找准专项整治的切入点,选取几家规模较大、经济效益较好的企业,由政府约谈主要负责任人,动员其积极整改火灾隐患,树立专项整治的正面典型,适时召开专项整治工作现场会,以点带面,从而推动整个行业火灾隐患的整改。同时,选取几家经济效益不好且在限期内拒不整改的企业,严格消防执法,依法采取措施进行关停,树立专项整治的反面典型,并通过媒体予以曝光。
企业安全论文范文3
安全目视化管理内容分析
(1)人员的安全目视化管理。人员的安全目视化包括着装统一化、劳保规范化。在此基础上企业按照不同的岗位、工种对企业内部员工进行辨识,通过佩戴胸牌、臂章、安全帽、工服标识、颜色等加以区别,具有一定的心理作用,使人产生荣誉感和责任心等,同时有利于日常安全生产的规范化精细化管理,例如,通过胸牌管理人员可以一目了然的看到每一个岗位人员是否持证上岗,证件是否在有效期限内,所从事的工种是否在许可的范围内;通过佩戴不同的臂章区分表现优劣是否有违章记录等,并制定与之相应的奖罚制度从而起到奖励先进,鞭策后进的激励作用。
(2)工器具、设备设施、工艺的安全目视化管理。工器具、设备设施和工艺的安全目视化管理经常会被很多企业忽视却是至关重要的,据国家安监总局对于一段时间内事故发生因素的统计,由于工器具、设备设施及工艺因素所导致的安全生产事故占事故发生率的40%以上,因此确保企业工器具、设备设施和工艺的安全良好是保证企业安全生产的重要环节,工器具、设备设施和工艺的安全目视化对于其安全管理有不可替代的作用,通过对工器具、设备设施建立台帐、粘贴标识标签(包括名称、检验情况、保管人、安全使用注意事项)、配套设备维修保养记录等措施确保工器具、设备设施的维护保养落实到人头上,规范其维修保养、合理使用从而确保持续安全可靠,同时对于特殊设备可以通过警示、警告标识等提操作人员的注意力和防范意识从而规避风险,对于部分的器材如:灭火器、消防栓,可以通过图示的方法使使用者一目了然,对于工艺的划分一般情况下是通过不同的管道、阀门颜色标识区分管道内不同的介质,同时用管路上的箭头表示介质流向或阀门的开关避免误操作。
(3)作业生产现场安全目视化管理。按照相关要求企业所有的规章制度、岗位职责、操作规程等都应该以有效的方式公布于众,可以通过悬挂标识标牌的形式使企业员工一目了然,在此基础上企业单位为了实现安全生产和文明生产,还应该做到以下一些方面:确保作业场所整齐有序消除物品混放和误置,必须有完善而准确的信息显示,如半成品区、产品待检区、合格产品区、废品区、包括标志线、标志牌和标志色,采用视觉符号,规范摆放各类物品;悬挂横幅标语、“安全通道”、“严禁烟火”等各类警示标识、车间平面布置图、消防器材平面布置图等营造明晰规范的安全生产氛围。
本单位应采取的目视化管理模式
结合本单位的现状和相关的要求,我单位的安全目视化管理要求统一、简约、鲜明、实用、严格。统一:消除五花八门的杂乱现象,安全目视化的实施不是信马游缰的凭空想象,首先是要遵守相关部门颁布的规范要求,其次协调统筹考虑技术、生理心理、社会等多方面的因素加以实施。例如按照要求机械制造加工类企业全体人员工作服颜色即藏蓝色。简约:即各种视觉显示信号应易懂,一目了然,同样的标识标牌的颜色、标识图案也必须遵循有关的规范标准,例如“小心触电”、“严禁烟火”等都有规定的图案和颜色要求。对于没有统一标准的“平面布置图”、“工艺流程图”等要按照适宜的颜色加以区分。鲜明:所有的标识标牌都应悬挂和安装在显明的位置,使作业场所的相关人员抬头就可以看到、看得清。例如车床的操作规程可以制作成展架的形式立于车床操作人员的正前方。实用:不讲花架子,讲求实效,结合作业场所的实际,科学合理的设置布置标识标牌警示标识。尤其不能使场所显得到处都是标牌,五花八门的颜色,这样不但起不到作用反而有可能使场所内感到不适。严格:安全目视化是一种“看得见的管理”,这就要求每一个参与者一看到相关的标识标牌就明白自己应该怎么做,不能做什么,违章违规会受到怎样的处理,有错必究奖罚分明。
应用效果分析
安全目视化实施前单位人员着装劳保等依旧采用油区红色工服,劳保没有统一的标准;制度标牌杂乱且留于形式;区域隔离、安全警示不全且不符合相关规范标准;各类设备管理及操作不完善;安全目视化处于起步状态急待规范和完善。随着安全目视化研究改造的逐步完成,厂区面貌焕然一新,全员的安全意识进一步提高,工器具设备管理更加规范合理,损耗明显减少,违章作业行为得到有效控制,各项安全制度能够得到很好的贯彻和落实,安全目视化管理取得了较好的经济效益和社会效益。
企业安全论文范文4
改革开发的发展,使得各个煤矿越来越重视工作的安全性,因此,在安全文化建设方面,就表现出一些特点。
1.1安全文化存在形式的多样化安全文化的建设是煤矿工人与自然的长期奋斗全过程的精神文化实践成果,在企业文化中占据重要比重。传统上的安全文化,是在文学和艺术活动,体现为广播,电视,报纸,横幅,会议交流的形式。一方面安全文化的宣传过程,是一个技术相互融合的过程,通过技术的相关支持,将安全文化扩大化,起到安全教育的效果;另一方面安全文化与现代印刷技术的有机融合,借助计算机,电视技术,多媒体技术等手段。作为一种文化信息的特定产品,包括各种文献,电视和网络信息产品,这些正逐渐成为安全文化的新载体。安全文化的传播极大地丰富了安全文化的外在形式,与安全文化建立更紧密的联系,使安全文化深深地渗透到煤矿工人生活的各个领域。
1.2安全文化的重要作用安全文化与经济、政治发展有着积极的联系,对经济政治的发展具有推动作用。具体体现:一是将安全文化的教育范围扩大到各个层次的企业,与工人和思维模式,员工行为规范,态度结合成为经济效益。让员工有一个精神上的支持,积极发挥在安全生产中的作用。二是随着企业的发展,不断完善职工家庭生活质量。家庭幸福越来越为人们所重视的主要问题,煤矿安全文化环境的逐步改善,这是一个工人的安全和健康的生活的重要前提。三是安全管理体系在不断的严谨中,作为企业运行的基础,安全文化发展起到了对决策层,管理层,操作层的行为规定的作用,这是一个硬约束。还需要培养员工自觉规范自己的行为与意识进行配合。
2企业安全文化重要性表现方面
安全文化教育在采取的方式上,是需要避免枯燥无聊的。否则就会起到相反的的作用,而无法使得安全文化深入人心。其中安全文化在经济建设过程中的重要意义主要是体现在以下几个方面:
2.1保持企业科学发展的必由之路从一个企业的安全文化教育程度就可以看出这个企业管理工作的运作模式,对企业存在的社会价值有着积极的影响。在实践施行的过程中,一是安全文化教育的重点在于扩大影响力,加强企业安全观念的影响,提高企业建设管理在许多方面的含义,促进劳动者素质特别是内在精神动力的提高,调动员工的积极性和创造性,促进了生产经营活动的安全性能提高。二是安全管理工作的顺利实施,有利于使企业在竞争过程中取得有利地位,一个企业建设只有具备完善的安全管理体制,才有足够的基础去实施其他的工作,参与目标竞争。
2.2保持企业特色与个性的重要举措塑造企业建设的形象,不仅应该注意企业的设施设备和环境,更重要的是企业的安全文化建设。独具特色的安全文化建设会使得企业更加具有魅力。目前,煤炭企业都在进行扩张,在规模和效益方面都有很大的增长。但这些扩张的前提必须是完善的安全体系,对于我们这样建设年限短,许多方面还有所欠缺,安全隐患一直存在。要想彻底根除这些安全隐患,就必须加强安全文化建设,首先就是要联系实际经验,引进先进的技术设备,其次就是对安全文化的大力宣传。建设完善的安全文化体系,塑造良好企业文化是首要任务,良好的企业形象有利于营造安全文化气息,使安全文化教育顺利实施。继而使得安全文化观念深入人心,在各个层次都做到完全的渗透。只有这样才拥有足够的资本与其他企业进行竞争。
2.3保持企业核心竞争力的战略需要十七大精神的贯彻对于我们企业建设是一个重大的机遇与挑战,在企业建设过程中,安全文化的建设已经深入到了各个阶层,安全文化直接影响到企业的自身发展。因此,企业安全文化建设的完善,可以加快企业自身发展,促进经济的增长,各个领域的渗透,是安全文化建设的基本体制的完成的标志;另一方面是在日益竞争激烈的环境中,安全文化建设是竞争的基础,最终,企业建设的经济的竞争的优劣,在很大程度上是取决于企业的安全文化的建设。
3企业安全文化遵循原则
在企业安全文化建设的过程中,要想做到与其他文化建设的融合,充分体现出安全文化建设的优势,就必须遵守以下的几条原则。
3.1尊重规律,实事求是的原则我们应该在一个有效的安全文化建设的途径和机制,促进安全生产结合公司的具体情况。但结合实际不同矿井,需要建立具体实际的安全文化建设模式,进一步完善金融时代特征和特性,给予具体的基本特点,仍有工作需要解决大量的研究工作。为进一步明确指导思想和安全文化建设精神内涵的主要任务,加强运行效果评价模式的建立。这需要对企业建设安全文化建设的基本状况进行了解,坚决联系实际,采取及时有效的方法进行安全文化教育,进而充分发挥安全文化的积极效果。
3.2坚持标准,讲究质量的原则企业建设的发展状况的不同,需要采取不同的安全文化建设工作。因此,要寻找适应企业发展的安全文化建设体系,提高员工的安全意识。遵守这一标准,要联系实际努力创新,选择从不同的领域开展安全文化建设工作;从区域活动定义,在对安全文化及其与的过程中,要加强实行得力度,深入贯彻企业安全文化建设,逐步渗透,反复检验成果,避免形式化的问题出现,积极创新可行有效的安全体系,探索有效的机制的安全文化管理及效果评价。
3.3突出重点,整体推进的原则安全文化体制的建设要涵盖到企业的各个领域。因此,要结合各个部门的不同状况彩球不同的建设方式突出重点,整体推进。我们要以安全文化建设为目标,做到团队引导员工,通过团队的指导提高员工的安全意识。把章法建设作为一种手段来完善实施机制基本的安全要素等几个,解决问题的总体情况,这是企业发展基本的和长期的活动,练好内功,聚合力量,夯实基础,实现长期稳定进而提高生产安全的效益。
4结语
企业安全论文范文5
现代企业安全管理中存在很多问题,主要体现在以下几个方面:(1)安全意识不足。现代企业的很多领导只注重经济效益,忽略了生产安全的重要性,许多企业制定的安全方针都没有得到认真的落实,很多情况下只是做了表面工作,没有真正起到加强生产安全的作用。现代企业制定的安全目标不符合实际,也没有采取有效的措施来实现安全目标,这都安是全意识不足的现象。(2)对安全管理理念的认识不足。现代许多企业都是在事故发生之后,才开始考虑安全的相关问题再采取相应的补救措施,虽然能够起到一定的作用,但是事故的发生在不同程度上都给企业带来损害,这种管理理念非常落后,不符合现代企业的发展要求。(3)没有成立专门的安全管理机构。现在许多企业都没有成立专门负责企业经营生产活动的管理机构,在安全管理过程中没有统一的管理制度,也就不能够很好的实现管理。(4)企业员工的安全文化不足。没有加强对企业员工安全知识的培训,企业员工的安全意识非常薄弱,相关领导者安全素质也不高,也就不能很好带领员工加强安全管理[2]。
二、在知识管理下加强企业安全管理的相关策略
1.加强对安全知识的运用
企业要分析在管理过程中出现的各种安全问题,要把相关的安全知识进行整合分类。企业可以把生产安全说明书、安全建议、以及在实际生产过程的安全经验等这些安全知识相关的资料收集起来,并且把这些资料弄成电子资料,放在企业的安全知识系统中。收集了相关的安全知识,企业的员工需要不断学习这些安全知识,并且把这些安全知识运用到企业实际的生产经营活动中。企业可以利用先进的计算机网络,通过资源共享,加强对安全知识的了解,同时企业还可以利用电子模拟软件和数据解析软件,根据相关安全知识通过模拟来制定安全有效的实施方案[3]。
2.加强对企业安全管理的认识
企业的领导层只有认识到安全管理的重要性,才能够根据企业运行的实际情况,制定科学有效的措施,提高企业的安全管理水平。有条件的话可以通过新闻、广播等方式宣传企业安全管理的重要性,提高所有员工对安全管理的认识。企业的领导层要把安全管理的相关认识传达给企业的各个部门,各个部门可以通过交流会、座谈会以及开展相关的活动来加强企业各部门对安全知识的认识。
3.加强培训,建立安全奖罚制度
企业要不断加强安全管理人员的培训力度,加深他们对安全知识更进一步的思考,激发他们的对安全知识的创造力,这样可以在生产经营中为员工提供准确的安全指导,保证员工的生产安全。企业还要建立安全奖罚制度,对没有根据安全知识进行生产经营的员工,即使没有造成安全事故,也要给予一定的惩罚,这样不仅可以起到警示作用,还加强了企业员工对安全知识的重视。在企业的安全管理、安全生产经营中有突出贡献的人要给予一定的奖励,这样可以增加企业员工学习安全知识的积极性。
三、结束语
企业安全论文范文6
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
