时间:2022-12-14 09:59:29
导语:在信息安全服务的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1大数据时代“云服务”的特征
在信息发达的现代社会,“云服务”带给我们非常好的数据存储平台。我们可以将自己的信息放到云端,以便于随时随地的应用。将云服务的主要特征划分为以下几个方面:一,方便快捷。“云服务”的普及,使得使用者具有了一个内存大且不易丢失的存储工具,人们只要将数据信息传到上面,就可以放心的查看,使用,大大的节省了时间,给人们的生活带来便捷。二,高性能,高可靠性。“云服务”的各个单元相互独立,不会互相影响,它们有各自的软件及硬件资源,提供了高性能的服务。同时,在云端,提供各种数据的存储以及备份,还可以在工作失误的情况下,提供恢复的服务,大大的提高了使用的可靠性。三,隐私问题的保护和安全性有待提高。每件事情都有两面性,“云服务”也有。如何保证用户的数据不被非法的查看、盗窃、修改,是现在技术方面要着重考虑的问题。
2“云服务”信息安全隐患产生原因
2.1前期开发阶段安全性不高
软件在开发过程中,设计者没有考虑到来自互联网方面的各种危害,没有对软件本身的安全度加固。还有就是监管不到位,使用者没有注意到软件的防护与定期监管,就会使得各种恶意软件有了入侵的机会。
2.2使用者安全意识淡薄
使用者在注册登录的时候设置的密码过于简单,大大的降低了安全度。此外,没有做好安全加固和内部访问设限等都是潜在的安全隐患。
2.3黑客对信息的窃取
因为“云服务”的大范围使用,用户会将很多重要信息传到云端,这样就吸引大部分的竞争者。他们想要窃取并修改对方的信息,以造成对方的巨大损失,这样就产生了很多侵入别人信息内部的黑客。黑客是“云服务”信息安全的重大隐患。
2.4相关使用法律不规范
“云服务”的相关法律法规存在不规范之处,其对于使用者缺乏有效的监管与约束,从而造成了大量的使用者肆意妄为的现象频频发生。
3大数据时代“云服务”信息安全保护的重要性
因为“云服务”使用的范围广泛,大到国家,军队的相关信息,小到企业,个人的相关信息都与“云服务”密切相关。一个信息的泄露有可能影响到全局的发展,所以提高安全性是必要的。信息是一种资源,而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指确保信息完整,不能丢失。当用户将数据传输到云端,要确保数据永久存在,这样才可以让广大的使用者产生信任,吸引更多的使用者。可用性是指数据传输成功后,当用户再次使用,应确保数据仍旧可以被使用。保密性是指信息不能被泄露和修改。最后一个可靠性是指这个平台无论是本身存储方面,还是后期的管理方面,都要确保万无一失。这样才能使“云服务”更加广泛、放心地被使用。
4“云服务”信息安全保护措施
4.1加强技术保护
技术能力的提高是信息安全保护的直接方式。在网络普及的现代,侵权者的手段在不断的提高,过去保护的方法已经被破解,为了信息的安全存储,技术方面的提高迫在眉睫。在各方面迅速发展的情况下,研究新型的技术,培养高技术人才是网络信息安全保护的重大任务。4.2加强监管能力这里的监管包括软件自身的监管,行政监管和本身使用规范的监管三方面。软件自身的监管就是要增强软件自身防恶意侵袭和对软件时刻监管的能力,只有这个能力增强了,软件自身的可靠性也就大大的提高了。行政监管就是网络安全部门要制定相关的制度,必须明确使用者权限以及越权的相关惩罚。本身使用的监管就是使用者本身要有自我约束能力。
4.3增强加密系统
设置加密系统,首先要设定用户权限。具体表现为;为不同用户设置不同的使用权限,当非本人操作时,就会发出报警和自动加锁。其次要对数据进行加密,当用户申请访问数据时,就会有相应的解密,如果解密成功,就可以访问。反之,就会发出报警。当然,针对时间长久遗忘了相关加密信息的使用者,也应该有相关的验证,然后重新获取。
4.4增加相关保护法则
近年来,国家越来越致力于大数据的应用,那么越来越多的重要信息被传入到“云服务”。这些数据都是至关重要的,应该添加重要的法则加以约束。
5结语
大数据和“云服务”的时代已经到来,各行各业得到了迅速的发展,这给我们带来众多益处的同时也带来了更多的机遇和挑战。我们应该积极的面对,不断地发展,提高使用的安全性,让使用者更加放心的使用,让时代快速发展。
作者:张欢 单位:北京市昌平区第一中学
云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注信息安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。
1 云计算服务信息安全管理存在的风险
在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。
(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。
(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖
(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
2 云计算服务信息安全管理的要求
采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。
2.1 安全责任及安全管理水平不变
信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
2.2 资源的所有权及司法管辖关系不变
客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。
客户数据和业务的司法管辖权不应因采用云计算服务而改变。
2.3 坚持先审后用原则
云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
3 云计算服务的信息安全技术能力的要求
云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。
3.1 系统开发与供应链安全及系统与通信保护
云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
3.2 访问控制及配置管理
云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。
3.3 维护及应急响应与灾备
云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。
3.4 审计及风险评估与持续监控
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。
3.5 安全组织与人员及物理与环境保护
云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。
4 结语
本文通过云计算服务中信息安全管理存在的风险、云计算服务信息安全管理及技术能力等方面进行阐述,提出了云计算服务信息安全管理的具体措施及技术能力的具体要求,从管理及技术方面确保云计算服务的信息安全,保障云计算服务安全。
0 引言
随着两化融合进程的不断推进及工业控制系统的逐渐开放,无线传感网络、移动信息互联、物联网技术、精准定位授时等信息技术,在能源、制造、化工、水利、交通等重要领域的控制系统中得到了深入的应用,工业控制系统与IT系统逐步实现了协同工作和信息共享,进一步提高了企业的运营管理水平。但在企业综合效益提升的同时,工业控制系统也开始面临IT系统面临的木马攻击、病毒入侵和信息窃取等安全威胁,如果被敌对势力获取工业控制超级用户管理权限,对核心设施进行恶意攻击的话,不仅会造成经济损失,也将会对人民生命安全造成严重的威胁[1]。
目前,我国明确提出要做好重要工业基础设施信息安全保障工作,这也对信息安全保障服务的专业化程度和服务体系的建设提出了更高的要求,加强工业控制系统信息安全管理水平,提高抵御外来攻击的能力,降低工业控制系统造成破坏的概率和可能性,以技术和管理手段改善工业控制信息安全现状,保障国家安全与社会稳定,已经刻不容缓[2]。本文将围绕工业控制系统风险评估、等级保护测评、代码验证等核心环节,设计并提出工业控制系统信息安全专业化服务体系架构,进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量,提高服务效率。
1 构建专业化服务体系
目前,我国的工业控制系统信息安全管理和服务的相关标准规范还在酝酿中,仅部分行业部门出台了试行的安全评估、测评等相关服务规范,整体安全服务工作还缺少依据[3]。综合工业控制系统的共性特点、安全需求,其需要的核心服务主要包括系统安全测评、代码检测与环境验证、系统建设与加固、人才培养、渗透测试和网络监测预警等服务,以及能提供技术支撑的功能平台[4]。对工业控制系统的安全服务需求进行梳理,提出如下服务体系架构,该架构围绕专业化服务项目、服务平台和支撑环境建设展开,将为工控信息安全服务工作的开展提供组态化的解决方案。其中,服务项目是指服务机构或部门要具备的必须的技术能力和评估水平,服务平台是为相关服务开展提供技术支持的功能性平台,支撑环境是为服务的有效性提供验证和基础运行的必要条件。
2 服务能力建设
2.1 内网监测与预警服务能力建设
根据工业控制系统内部构成情况,实现能够对内网非法入侵、恶意攻击、内常规网络木马、后门事件、常规蠕虫事件、僵尸网络事件、异常流量(端口流量、协议流量、IP流量等)事件进行监测预警的服务能力。
2.2 安全咨询与培训能力建设
信息安全咨询与培训能力建设包括对安全体系建设咨询、研究项目合作咨询、测评技术培训、系统安全体系培训等。通过信息咨询服务体系定期重要工业控制系统最新漏洞、脆弱性、病毒等信息,为提高工业控制系统信息安全提供技术参考。同时,针对工业企业的现场管理流程和规范,对相关人员提供培训服务,主要从培训课程与实验环境两个方面进行人才培养,提升工业现场人员的安全管理能力和技术能力,构建信息安全知识体系。
2.3 系统建设与加固服务能力建设
以工业控制系统实际运行情况为基础,参照国际和国内的安全标准和规范,充分利用成熟的信息安全理论成果,为工业控制系统设计出兼顾整体性、可操作性,并且融策略、组织、运作和技术为一体的安全解决方案。安全技术建设的总体目标是:根据工控信息系统等级对应的信息安全要求,建立一套可以满足和实现这些安全要求的安全管理措施。安全管理措施包括适用的安全组织建设、安全策略建设和安全运行建设。安全管理措施与具体的安全要求相对应,在进行安全管理建设时,针对各系统现状和安全要求的差距选择安全管理措施中对应的安全管理手段。信息系统安全建设与加固的总体目标是:采用等级化和体系化的设计方法,为工业企业订制一整套的工控系统信息安全保障体系。根据安全体系的要求进行安全规划,将安全体系中的各类安全措施进行打包,形成多个系列的解决方案,并落实安全实施项目规划和工作规划。
2.4 系统渗透测试服务能力建设
根据工业控制领域安全性需要,组织工业控制系统渗透性测试能力建设,以保障工业控制系统配置、系统漏洞、网络流量、网络信息定位等方面的安全。所涉及到的技术不仅仅包括传统网络安全渗透测试技术还有工业控制系统渗透测试技术,这些技术通过对传统技术框架的改进方式,实现对工业控制系统硬件、软件和协议的支持。
2.5 代码检测与环境验证服务能力建设
针对工业控制系统的主要功能、性能指标进行检测,检验系统是否在连续性、实时性等方面满足工业要求,并提供稳定性验证服务以及实时性验证服务。
(1)稳定性验证服务。通过并发访问、单人多线登录、压力测试等方法对系统的稳定性进行评价,验证系统的稳定性是否符合工业生产要求。
(2)实时性验证服务。通过数据完整性、保密性、可用性检测,对工业控制系统内传输数据的时间数量级进行记录和评估,根据本行业的工业生产标准,验证系统实时性是否能够满足生产要求。
2.6 人才培养能力建设
从工控安全理论研究、技术研发等实验方面以及工控系统安全服务两方面培养高层次信息安全专业人才,力争将实验室建成一流信息安全人才培养基地。利用实验室的优厚技术条件,进行实际演练,掌握工业控制系统信息安全领域的关键技术,成为精通信息安全理论与技术的尖端人才。同时与各工控安全权威机构联合,通过共同开发与研究项目的形式,利用工业控制系统模拟环境,提供项目的实验与开发环境,保证技术领先性,培养可以从事信息安全研究的专业队伍,为实现工业企业的信息安全保障输送高质量人才。
2.7 系统安全测评服务能力建设
测评服务能力是指为工业控制信息系统提供安全测评服务,集风险评估、等级保护测评等功能于一体。通过安全测评服务能力的建设,完善工业控制系统信息安全产品测评能力与手段,充实工业控制系统信息安全相关资源库,在工控系统物理安全、网络安全、主机安全和管理安全等方面,为系统应用和控制过程提供最优的安全尺度、安全层面、安全平台。
3 服务平台建设
服务平台是服务开展的重要技术环境,平台的建设将进一步完善工业控制领域信息安全服务体制,提升工业控制领域信息安全服务效能,信息安全测评验证服务体系,逐步形成工业控制安全领域的产业多层次、多渠道、多元化的综合服务体系。平台架构如图2所示。
代码检测与环境验证子平台:通过为工业控制系统提供代码检测和环境验证等服务,将对工业控制嵌入式操作系统、应用软件进行代码安全性验证,找出软件代码的潜在威胁所在,加以防护,提高软件应用的安全性。将代码检测和环境验证平台作为技术支撑,实现工业控制系统PLC系统安全检测和嵌入式系统测试服务。
内网监控与预警子平台:对工业控制系统内部网络中的安全事件包括:恶意攻击、非法入侵、内网病毒、端口流量异常等进行监控,当安全事件发生时发出预警信息。
工控系统业务管理子系统平台:对测评、评估等服务项目提供全生命周期的过程管理,包括服务队伍建立、需求分析、资产识别、威胁分析和脆弱性识别等过程的管理,并可以通过内建的知识库为服务人员提供技术支持和信息查询。
工控系统安全测评服务子平台:结合网络安全建设和发展的实际情况,综合漏洞挖掘、安全评估、扫描分析和管理体系评估等多种手段,建设对于工业控制系统提供专项安全测评、检测服务、风险评估等服务。
4 支撑环境建设
4.1 工控模拟实验模拟环境建设
工业控制系统模拟环境是根据工业控制系统现场实际情况搭建的仿真模拟测试环境,是开展安全技术理论研究、漏洞验证、渗透测试、代码测试环境验证以等研究的基础,同时也是工具集研发的技术环境依托。模拟环境将以SCADA、DCS等为核心,结合无线、微波等网络技术,针对工业控制系统安全现状,将搭建电力、水利、燃气等重要工业控制领域的模拟环境,为开展攻防实验、技术研究等奠定基础。
4.2 软硬件支撑环境
软硬件支撑环境是整个服务体系的基础支撑环境,能够为模拟环境建设、服务平台建设以及服务能力建设提供必要的基础环境。软硬件基础环境主要包括基础网络环境、数据存储和服务系统和实现平台自身安全的防病毒、防入侵等安全措施。
5 结语
工业控制系统信息安全的需求和目标特性,决定了安全服务提供方式要区别于传统的IT系统,非体系化的服务不仅收效甚微,还很有可能会对工业现场带来安全威胁。本文构建的服务体系围绕服务能力、服务平台和技术支撑建设,面向工业控制系统信息安全专业化服务,进一步实现工控系统信息安全服务的过程和类别进行体系化,为工业信息全测评、产品测试、工具研发和攻防实验等工作提供思路和依据,为工业控制系统信息安全保障工作的实施提供了参考思路。
关键词:网络环境;排水档案信息;工作流安全体系
中图分类号:C270.7 文献标识码:A 文章编号:1001-828X(2012)07-0-01
网络时代的到来,使得各行业的工作方式发生了根本变化。对于排水行业而言,对排水信息的日常归档和管理也已主要借助计算机来完成。网络环境的运行,对排水档案信息的整理、细化和储存,都带来了极大的方便,但凡事都具有两面性,在方便排水档案工作的同时,也对档案信息的安全服务提出了更高的考验。如何使网络环境下的排水档案信息更安全地服务于经济社会的发展以及生态环境的保护呢?
一、保证网络环境和硬件设施的安全
网络环境和硬件设施是排水档案信息存在的依附体。只有保证二者的安全,才能保证排水档案信息的安全。环境安全主要是指计算机等网络设施存放环境的安全,能确保网络资源的信号畅通,并处于良性运转状态。硬件设施安全是指计算机的各个部分都能正常使用,不会因故障而导致排水档案信息无法正常查找和使用。
二、保证网络资源的全面建设和安全管理
为保证排水信息能更有效地进行管理,并能在需要时随时查找到,可在排水行业内部根据区域或者单位建立起局域网,使局域范围内的排水档案信息实现资源共享,能在出现任何排水问题需要档案信息调度时,可以通过局域网站内部的查找,及时地拿到需要的资料,并尽快解决问题。局域网不仅可以极大方便工作,而且能通过信息输送,及时保证排水系统的安全隐患得到排查,保证一个城市或区域的用水安全,并能在洪涝灾害等特殊情况下,保证城市或一个区域的整体安全。局域网建好后,还应注意随时维护,并加强对网络资源的管理,能及时更改新的排水系统信息,及时行业内的最新动态,以利于相关工作人员的工作开展,利于整个行业工作的正常有序运作。同时,还应注意警惕病毒的入侵,防范恶意更改,加强对排水档案信息的安全管理。
三、建设好数据库,保证排水信息基本资料的安全
排水行业内部的资料是非常复杂的,仅就一个城市而言,整个城市的排水管道情况、排水设施情况以及容易出现问题的排水系统情况等等,都需要在排水档案信息中有较详细完整的记录和存储。这些庞大复杂的资料,在网络时代之前,需要耗费工作人员大量的时间进行随时记录,并占用大量的空间进行保管存档,还极易面临信息丢失或者不完整等不安全情况,而在网络环境下,这种不安全因素得到了很好的解决,只要建立起一个数据库,便可以将所有的排水档案信息存储起来,并且信息资料更清晰,更方便查找,容易保存。当然,应对数据库做好安全管理工作,保证电脑的正常运行,数据库的存储完好无损,避免排水档案信息的遗失,从而可以保证排水行业安全工作和为民服务安全到位。
四、做好排水文档一体化工作流安全体系设计
数据库的建设及使用,还需要做好网络环境下文档一体化工作流安全体系设计,这是一系列更为具体的工作,具体内容涵括:归档电子文件的采集、鉴定、整理、录入、归档保管、移交、使用以及归档管理者责任界定等各个环节,在这些环节中,要保证环环相扣,有序运作,各个阶段的工作必须保证做到位,并保证信息的准确无误,丝毫的差错可能会酿成整个排水档案信息的大错,使得整个数据信息无法安全使用。对整个流程进行安全体系设计,将是保证排水信息准确无误,安全使用,保证排水行业工作安全的有效途径。
五、完善智能档案信息管理系统
通过进一步完善排水档案的动态信息与静态信息建设,对城市排水档案进行综合化、模拟化分析,构建污水处理厂调度、泵站调度等相应模型,并且随着时间的推移而不断补充、修正、完善。当完成城市排水档案的信息化、数字化建设之后,将转变传统的纸质文字、图像、声音存储模式,将重要材料分布于网络媒体中,并通过计算机网络实现资源共享、信息共享。通过档案信息建设,对城市排水管网、污水处理厂、泵站等动态信息进行综合管理,可以通过计算机浏览,并且任意放大、缩小、移动等;同时系统还可以与相关数据库进行连接,实现数据的实时交换,同时采取必要的安全防范措施;系统界面以中文为主,一切功能通过菜单进行操作,在输入属性资料过程中,可以对选项菜单进行优化,以提高参数记忆能力;同时系统的操作应注意安全性,由专人负责管理,避免数据内容的任意篡改或删除;通过应用网络信息,实现了信息共享,更利于提高城市排水管理单位的交互性。
六、提高排水行业工作人员的网络工作能力和安全意识
网络环境下的档案工作人员,必须适应新的形势,转变观念,改变原有的人工为主的档案整理保管工作,而逐渐学会运用计算机,并能逐步熟练各项操作,以保证排水档案信息在网络时代,能更安全有效地管理。工作人员业务素质的提高,需要一个过程,不可急于求成,避免工作人员技术不到位即上岗操作,对排水信息的安全存储带来麻烦,出现信息遗失等错误,影响整个排水信息的安全服务。另外,应聘请专门的网络技术人员,对习惯于手工操作的老员工进行专门培训,使他们尽快学会相关的技术工作,准确进行计算机操作。同时,在加强业务素质提高的同时,应同步提高他们安全保管信息的意识,以保证所有排水信息的安全完整。
七、结语
网络环境下,排水行业各单位应积极转变观念,充分利用计算机带来的便捷,并加强排水档案信息安全意识。建好数据库,设计好文档一体化工作流安全体系,开设局域网并进行安全管理,同时提高工作人员的业务技能和安全意识,从各环节全面做好工作,以保证排水档案信息的服务安全。
参考文献:
[1]赵毅强,张晖.网络环境下档案信息服务安全对策[J].黑龙江档案,2009(03).
[2]闫丽华,贡伟国.由哈尔滨城市排水档案管理工作中存在的问题引出的思考[J].城建档案,2002(03) .
[关键词]政府行业;信息系统;等级保护;误区
doi:10.3969/j.issn.1673-0194.2013.02.040
[中图分类号]G203[文献标识码]A[文章编号]1673-0194(2012)24-0085-03
1 前言
等级保护原本是军事领域的安全保密体系,为了在计算机世界中实现这一体系,研究人员苦心奋斗多年。随着网络时代的到来,等级保护有了新的内涵:从保护对象上,不再局限于军事领域的大型主机,而是所有对国计民生有重要影响的信息系统;从实施的安全策略上,不再局限于军事安全保密规则,而是用于各种安全保护策略;从测评角度看,不再限于个别信息安全产品的静态测评,而是考查网络系统在实际运行中表现出的综合保护能力,是涵盖了架构、功能、管理和配置等各方面检查的全面、综合、动态的测评。一句话,等级保护逐步从一种技术思想发展为今天贯穿了信息安全保障各个工作环节的一个过程和一种制度。等级保护标准是等级保护思想进化历史的快照。各个标准的兴衰历史表明,标准必须与时俱进,跟得上用户的需求,才能得到有关各方(政府、用户与厂商等等)的积极响应,而只有得到积极响应的标准才能称得上有生命。
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
各级各类政府部门在推行信息安全等级保护工作的过程中,由于对相关政策和要求“吃不透”,在实施过程中出现了多种误读。本文旨在分析政府行业信息安全等级保护中存在的政策理解误区并提出相关建议。
2 国内信息安全等级保护实施现状
2.1 起源
中国早在1984年就开始收集国外等级保护的相关资料。1994年的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)被视为中国实施等级保护的法律基础。2004年的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和2007年《信息安全等级保护管理办法》(公通字[2007]43号)等文件明确了等级保护的定位、基本内容、流程和工作要求以及相关部门的职责任务,为开展等级保护工作提供了规范保障。简单地说,中国实施等级保护的基本任务是:系统分等级保护、产品分等级管理、事件分等级处置。
随着《信息系统等级保护安全设计技术要求》(GB/T25070)的和实施,中国的等级保护国家标准和行业标准已有50多个,等级保护标准体系已初步形成。
2.2 实施现状
《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称43号文件)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)的出台,标志我国信息安全等级保护工作进入实质的实施阶段。自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。回顾我国的等级保护工作,可以看到两大成效,即定级保护的定级备案工作成效显著;各种政策标准体系日趋完善。
目前来看,定级工作已经圆满完成,接下来是建设和整改工作,之后进行一些等级测评工作,工作不断地暴露出一些问题和政策理解误区需要解决。
3 等级保护认识误区
不少部门和单位对等级保护的认识存在一定误区,较集中的问题是:等级保护的投资较高,对现有投资是一种浪费。用户经常会反映一些问题,历年来在安全建设方面已经进行了大量投资,现在建设等级保护是否要“推倒重来”。
对于是否要“推倒重来”,可以从两方面考虑:
(1)按照国家相关规定,三级以上网络不能采用国外产品。对于这种底线原则,应该毫不含糊地执行,而由此产生的重复投资,只能说明前期的安全建设没有遵循统一的标准。
(2)目前信息系统中存在着大量没有更新、升级,甚至淘汰落后的设备,通过等级保护的实施,需要对原有网络系统进行加固,重新购买某些产品的服务,这种投资不能称之为重复投资。
4 定级备案对象误区
4.1 定级范围
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)规定了信息安全等级保护的定级范围,包括:
(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业,部门的生产、调度、管理、办公等重要信息系统。
(3)市(地)级以上党政机关的重要网站和办公信息系统。
(4)涉及国家秘密的信息系统。
4.2 定级对象确定误区
政府行业在实际开展信息安全等级保护定级过程中,由于没有对相关信息系统进行深入的定级对象分析,包括信息系统管理组织机构、业务应用、物理位置和运行环境等,经常会产生以下误区。
4.2.1 定级对象安全责任单位不明确
按照要求,作为定级对象的信息系统应能够唯一确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等工作,则这个下级单位可作为定级对象安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应当是这些下级单位共同所属的上级单位。
而在实际定级对象确定过程中,很多单位和部门存在着安全责任单位确定的随意性,例如对于一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,可能随意指定一家下属单位作为安全责任单位等情况,而其他下属单位认为该系统的安全责任单位并非自己,存在疏忽和大意的情况,导致在定级对象备案、测评、整改过程中产生很多低效率环节。
4.2.2 定级对象不具备信息系统的基本要素
按照要求,作为定级对象的信息系统应该是由相关的或配套的设施设备按照一定的应用目标和规则组合而成的有形实体。
而在实际定级对象确定过程中,则存在将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象的情况,这些单一的系统组件往往不具备信息系统的基本要求,因此不应作为定级对象。
4.2.3 定级对象业务应用不单一或不独立
按照要求,定级对象应承担单一或独立的业务应用,该业务应用的业务流程独立,与其他业务应用没有数据交换且独享所有信息处理设备。
而在实际定级对象确定过程中,有很多应用系统其实是作为其他业务应用系统的一个分支或一部分,而不属于(公信安[2007]861号)文件规定的定级范围。例如船舶过闸收费系统、水情信息监测系统等只是作为一套遥测或监控系统,本质上是为上层业务系统提供数据支撑或实时监控的,与其他业务应用会发生数据交换,不应单独作为定级对象。
5 等保级别确定误区
5.1 安全保护等级划分原则
《信息安全等级保护管理办法》(公通字[2007]43号)规定了信息系统的安全保护等级划分原则,见表1。
5.2 不同级别系统基本要求项的差异
按照要求,应根据“业务信息”和“系统服务”的需求确定整个系统的安全保护等级,不同级别的系统中,信息安全等级保护的基本要求有很大差异,对技术要求和管理要求的级别也不同,见表2。
5.3 定级误区
政府行业在实际开展等级保护定级过程中,经常会因为各种原因造成定级偏高或偏低的情况。
5.3.1 定级偏高
如果系统定级偏高,则会造成该信息系统信息安全过度保护,会增加技术安全防护费用,同时大量增加管理成本。信息系统的测评的频率和要求也相应提高,造成资源浪费。同时由于级别越高,系统的技术和管理要求越高,致使信息系统的易用性受到影响。总的来说,系统定级偏高,会形成“好钢没用在刀刃上”的后果。
5.3.2 定级偏低
如果系统定级偏低,则会造成该信息系统安全保护不到位,没有根据系统侵害客体以及侵害客体的实际情况确定系统保护等级,相应的技术防护水平和安全管理要求难以满足安全需求,且系统安全测评的频率和要求也随之降低。系统一旦发生安全问题,会形成管理部门的过度责任。
6 实施和测评误区
6.1 系统定级后就完成了等级保护
很多部门和单位认为系统完成了定级也就完成了等级保护。其实,完成等级保护定级工作并不是万事大吉,而是刚刚开始。套用一句广告词:“你才刚上路呢。”由于对政策的不理解,很多用户认为完成定级就是完成了等级保护。其实,自定级只是等级保护的入门工作。
涉及等级保护的相关文件已经明确提出系统的安全问题遵循“谁建设谁维护”的原则。安全本身是动态的,这就决定了等级保护是长期、持续性的工作。等级保护最大的推动力是每半年或一年一次的系统检查,检查将统一用户对等级保护建设的认识。
6.2 将安全测评等同于等级保护
在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有最终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。而不能认为系统做了安全测评就是完成了等级保护。
7 结语
当今的信息产业已经成为国民经济重要支柱之一,政府信息系统对于提高政府公共服务能力,建设责任政府、法制政府和服务政府提供着重要支撑和保障。同时,政府信息系统的安全性问题也越来越重要,必然成为我国开展信息系统安全等级保护的重点。在政府部门开展信息系统安全等级保护过程中,必须严格按照等保相关规定和文件的要求,深入剖析政策内涵,做到政策理解到位,定级范围合理,等保级别准确,实施过程完整,测评及时有效。
主要参考文献
[1]朱继锋,赵英杰,杨贺,等.等级保护思想的演化[J].信息安全与通信保密,2011(4).
[2]张戈.等级保护的三大误区[N].电脑商报,2008-03-03.
[3]中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例[S].1994.
关键词:配送中心;供应链管理;仓储
中图分类号:F252.14 文献标识码:A
近几年,我国珠宝连锁经营创造了珠宝零售业新的经济增长点,珠宝连锁销售成了许多珠宝行业的主要营销方式。随着珠宝零售企业连锁分店越来越多,扩张区域越来越广,珠宝行业物料管理模式、物流配送效率已成为影响珠宝行业发展的关键问题之一。目前大多数都是总部集中采购、统一库存、统一配送,但由于全国各店的需求时间、空间及物品的不一,这要求对配送中心有更高的管理水平和更高的工作效率。
1 现状与问题
周大福珠宝金行(深圳)有限公司是一家以珠宝零售服务为主的经营性企业。周大福珠宝金行(深圳)有限公司全国物料仓储配送中心主要存放消耗性包装盒、VIP礼品,是周大福全国近千家门店的物料总配送中心,该中心设有一个约1 200平方米的库房。由于其物料品类繁多,种类多达1 500种,且属性复杂,再加上仓库管理混乱,该配送中心问题一直层出不穷,其主要问题有:
(1)收货区、发货区商品处理缓慢;
(2)仓库利用率低,存取不方便;
(3)设备利用率低;
(4)周转率低;
(5)高峰期订单量大,无法及时处理;
(6)岗位工作职责不明晰,多头管理以及无人管理的局面大量存在;
(7)货物存储规划存在凌乱,退货返修品与正常品混存。
2 更新改造项目实施[1]
2007年,周大福公司委托深圳技师学院对其全国物料仓储配送中心进行更新改造。在对其配送中心进行了评估、诊断后,制定了以仓储配送中心为平台,引入供应链管理的思想,通过对物流信息流的控制[2],从采购原材料开始,制成中间产品以及最终产品,最后由销售网络把产品送到消费者手中的将供应商、制造商、分销商、零售商、直到最终用户连成一个供应链物流管理模式的整体改造方案。供应链物流管理最关键的就是要采用集成的思想和方法,并应用先进的信息技术支撑实现其管理目标。
供应链管理是一种将企业核心竞争力集成的全新管理模式,在这种模式下,企业资源的概念得以扩展,更倾向于对外部资源的合理利用,并且对外部也增强了主动性和响应性。因此基于供应链管理的物流信息系统集成,首先应分析供应链上企业各环节的物流过程,并按供应链管理理念对之进行一体化的重新设计,才能使信息系统集成建立在先进管理模式上;其次供应链物流一体化过程是建立在信息化基础上的,企业物流过程的重组又靠集成的物流信息系统应用才得以最终实现,因此物流信息系统的集成也是物流过程重组和优化管理的过程。
2.1 BPR-业务流程再造
按照供应链管理和信息化系统应用的要求,对业务流程进行梳理以实现企业业务流程的优化,建立从采购、供应、仓储配送、零售到客户收货的供应链系统,优化供应链结构,提高供应链效率。
针对企业仓储出入库管理混乱的问题,结合周大福企业实际情况,分别对采购接单、入库管理、出库管理、库内运作管理、配送管理、在途跟踪管理等方面进行优化,实施流程重组,以改造业务流程为中心、以关心客户的需求和满意度为目标、对现有的业务流程进行根本的再思考和彻底的再设计,利用先进的制造技术、信息技术以及现代化的管理手段、最大限度地实现技术上的功能集成和管理上的职能集成,以打破传统的职能型组织结构,建立全新的过程型组织结构,从而实现企业经营在成本、质量、服务和速度等方面的巨大改善。具体业务流程再造方案实施如图1所示:
2.1.1 确定流程再造的原则
(1)以客户为导向:客户不仅仅是指企业外部的消费者,同时还包括企业内部工作人员,服务好每一个环节的工作人员以及终端客户。
(2)以流程为中心:将企业的管理方式从以任务为中心改造成以流程为中心,将原来的一个个孤立的任务,连接成能够表示任务之间关系流程。实现从传统面向职能管理转变为面向流程管理,将业务的审核与决策点定位于业务流程执行的地方,缩短信息沟通的渠道和时间,从而提高对顾客和市场的反应速度。
2.1.2 现有流程的诊断与分析
(1)分析企业的核心业务流程以及次要流程,减少不必要的流程以及环节。
(2)分析关键点流程为什么运行效率低、运营成本高、经济效益差。找出原因,并制定对策。在流程再造前,收货区、发货区商品处理缓慢,经核查主要是因为订单处理人员未能及时的处理单据,导致无法核单,无法按单出货。流程再造后,要求采购订单多套打一联,由供应商直接随货交单;同时企业出库单第一时间交接给仓管人员,以便备货。经整改,仓库出入库效率大大提高,单天操作单据量提高40%。
(3)减少不必要的流程以及环节:公司基本采用条码系统管理物料,公司必须在发货前根据要求打印和粘贴条码标签。标签打印粘贴工作不仅效率低下、存在错误隐患,而且是不增值的活动,应将该工作摒弃,并前置为供应商完成。
2.1.3 建立SOP(标准操作流程)
经过一段时间的流程重组,结合企业的实际情况,为企业提供了整套运作流程,建立了标准操作流程SOP,并且为企业提供了10个操作手册,包括采购管理SOP、订单跟踪管理SOP、加工管理SOP、入库管理SOP、出库管理SOP、库内管理SOP、仓库安全管理SOP,贵重物品管理SOP、异常处理SOP、配送管理SOP。标准操作流程SOP的建立,优化了企业运作模式,提高了工作效率。
2.2 信息系统优化与提升
为了提高信息化管理水平,采用了先进的信息化处理手段,如:电子标签分拣货架,手持无线终端,供应链仓储管理信息系统。供应链仓储管理信息系统包括客户订单接受、采购管理、物流中心管理、仓储管理、配送管理、财务结算管理,实现了总部库存与各门店之间的信息集成与管理。有效解决了一级中心仓与二级DC、各个销售门店库存信息不一致的问题,实现库存商品信息的可视化管理,便于各个门店及时更新、查询相应的库存信息,杜绝了信息不对称的问题,解决了以往业务当中信息孤立和信息不对称不良现象。
供应链仓储管理信息系统很好地解决了各个门店盲目备货的问题,该系统统计各个区域某一个产品的销售量,能够及时智能动态调整采购策略,合理采购;同时也很好地杜绝了各个门店盲目备货,导致某一品种大量积压某一个门店,而其他门店却大量缺货的问题。
电子标签分拣货架有效地解决了企业拣货差错率高的问题,通过该系统,仓管人员作业效率提高80%,差错率降低到0.3%。同时,电子标签系统方便开展盘点以及货位管理,盘点时间大大降低,货位管理更加清晰,货品不再随意乱摆。手持无线终端高效解决了企业出入库效率问题,通过PDA设备扫描条码,实现商品快速出入库,大大提高了仓储作业效率。
针对企业实际业务的要求,对应用软件进行二次开发,借助现代化信息技术、网络技术建立了从供应商采购、仓储与存货跟踪、订单录入与管理、配送运输到为客户收货整个供应链,成功实施了分布式物流系统的供应链管理,实现了QR、ECR、CM管理。
2.3 为了提高仓储作业效率,除采用了供应链仓储管理信息系统,还增加仓库辅助设备,对周大福的仓库进行全面的规划
(1)合理分区,为企业规划了相应的仓储区域功能图,根据以往的销售数据以及现有的库存数据,将仓库规划为以下几个区域:入库作业区、出库作业区、退货区、理货区。各个区域都设立黄线,方便仓储人员操作。
(2)建立编号与货位,为每一个货架都建立了相应的编号,为每一个货位都进行相应的规划,每一个货位可以存储的货量都进行了系统录入。
(3)合理储存,针对不同产品出入库频率,制定了相应的储存策略。
2.4 采用了先进管理方法,建立库存管理制度
(1)建立岗位责任制度,结合企业流程重组,根据优化后的流程,设立了相应的岗位,明确了各个岗位的工作内容以及入职应具备的基本素质,并严格分工和合作,为企业招聘合适的员工、明确工作内容提供了帮助。
(2)建立绩效考核标准,制定了一系列的绩效考核标准,标准细致,有具体的考核指标。绩效考核共分为3大类模块:运营类绩效考核指标,客服类绩效考核指标,成本类绩效考核指标。其中运营绩效考核指标全面,可执行性强。
(3)实施货物分类管理、重点管理,在商品分类管理中,采用了复式ABC管理法,对A类物资建立详细的出入库记录,并经常检查库存情况;B类、C类物资做好一般性监控,以较少的仓储成本获得高效益。在库存管理中,建立了科学的库存控制方法,对价值占企业的资金高、销售确定、频率快,而且需求水平高的物料要求有一定的物料储备,维持合适的安全库存,建立与供应商和客户(全国门店)的信息。对价值低、数量多、销售确定、市场需求高的物品实行定期检查、批量采购。
健全科学的管理制度和采用先进的管理方法是保证高效物流信息系统正常运行的保障。
3 项目分析与评价
深圳技师学院对其仓储配送中心进行了评估、诊断,对仓库实施规划、设计,合理配置设备,采用先进实用的信息管理系统,提出库存管理优化方法,培训相关业务与管理人员,并指导周大福珠宝金行(深圳)有限公司完成方案实施。经过三年多的运营应用证明,该项目有效地解决了初期的营运问题,通过对业务流程的优化设计,实施信息集成化管理,采用必要的先进装备,应用先进的管理方法,使仓库的库容及作业效率都有了大幅度的提升,同时通过系统科学的管理制度有力促进了该公司的人力资源成本、库存货物资金占用成本的降低。更新改造后的仓储配送中心经使用单位评价,其面积利用率比原来高出了140%,其拣货、出库等作业效率提升了近30%。货物压仓情况得到了很好的控制,货物周转率提升了近30%。显著提高了企业的经济效益。
目前,我国仓储行业中一些企业不断投入巨资,不计成本地过度投入,进行物流配送中心的建造,购入非常先进的仓储设备,包括各种先进的装卸搬运设备、高层智能货仓等,但相关信息化管理手段达不到要求,使用效率不高,造成资源浪费。而另外一些企业对提高仓库作业自动化、机械化、信息化的认识不足或由于资金等条件的限制,对物流配送中心甚少投入,甚至很多配送中心作业仍旧靠人工操作和手工记录的方式。当下,多数配送中心未能与上、下游实现紧密衔接管理,呈现孤岛状态,信息流未能贯穿整个供应链,造成库存积压等问题,大大抬升了成本。
本项目的成功实施,解决了我国连锁经营企业这种总部集中采购、统一库存、统一配送典型的物流系统优化问题。项目借助现代化信息技术、网络技术建立了从供应商采购、仓储与存货跟踪、订单录入与管理、配送运输到为客户收货整个供应链,成功实施了分布式物流系统的供应链管理,实现了QR、ECR、CM管理,做到了在不影响企业物流效率、满足企业对物流系统需求的前提下,实施适当的投资建设经济适用的企业物流配送中心的目标,成为我国仓储行业更新改造的成功范例。
4 改进方案及建议
该项目建成投入使用已经三年,随着形势的发展,该项目也暴露出一些新的问题,如:如何实现产品从原材料采购到消费者使用过程在物联网环境下物流供应链的全过程跟踪管理;系统如何与电子商务运营相衔接等新课题;实体店运营如何与电子商务运营,差异化竞争;电子商务模式下贵重物品的物流运营如何管理,实体店与网店并存的条件下,物流如何管理等,将成为下一步方案改进的重点。将着重研究如何运用物联网技术实现供应链物流内容的互联,如何从供应链物流管理的需求出发进行系统软件设计和硬件平台搭建,将现代管理技术、自动化技术、系统工程技术及现代信息技术有机结合,构建了一个高水平、现代化、智能化、自动化的供应链物流管理系统。该系统将以供应链物流整个业务流程为核心基础,以提高物流供应链管理效率为核心,结合智能信息相关技术,包括条码技术、电子标签技术、RFID技术、信息采集技术、自动化控制系统等物流硬件和软件技术,以物流信息管理系统为平台,以先进的物流设备为实现手段,实现基于Internet/Intranet的信息交互管理等供应链物流的各个环节,系统将结合物联网技术实现支持网上下订单、网上跟踪、网上查询功能,最大限度地满足互联网时代对物流产业信息化的需求。
参考文献:
[1] John L. Colley, Jr. Corporate Strategy[M]. 北京:中国财政经济出版社,2003.
[2] 利丰研究中心. 供应链管理:香港利丰集团的实践[M]. 北京:中国人民大学出版社,2004.
随着国家对农村信息化建设投入的不断提高,农民应用现代信息技术的意愿不断增强,现代信息技术在指导农业生产、促进农民增收等方面也取得了喜人成果,农民的文化水平得到了有效提升。近年来,一些学者在信息服务方面做了相关研究,例如郑风田、许竹青以手机载体为例,进行了信息沟通技术对渔民收入、社会角色的研究等[1~3];吴元元研究了以信息为基础的公共治理[4];王可山探讨了食品安全信息的经济学属性[5];张莉侠、刘刚发现上海市民最信任政府信息[6];何坪华、焦金芝、刘华楠等研究表明消费者安全意识程度和电视信息对重大食品安全事件关注度显著影响[7];周应恒、霍丽、彭晓佳认为信息强化对消费行为具有影响等[8]。然而,随着近年来非法添加剂等食品安全事件不断爆发,食品安全问题正在向边远农村地区和城乡结合部转移,使原本食品安全监管就很薄弱的农村地区,更易发生重大问题[9],而现有文献鲜有对我国农村居民食品安全信息服务需求的研究。关注我国农村居民利用信息技术获得食品安全知识的状况,特别是《食品安全法》实施以来,我国农村居民对食品安全信息服务的需求,成为我国农村现代化和信息化进程的现实问题之一,为此,本文拟以实证分析方法对该问题进行探讨。
4总结与思考
通过研究可以得到三点结论。第一,目前我国农村居民对食品安全信息的关注在增强,对食品标签信息中的生产日期、保质期和营养成份表最为关注,并重视观察婴幼儿食品、食用油和乳制品的标签信息,但是对致敏成分、转基因产品的标签等关注度较低。大多数的农村居民能够了解禽流感疫情、禁用剧毒农药等安全监管政策,对下架、准入等食品安全监管手段也有一定了解,但是对食品安全法的知晓率较低。第二,农户期望的信息途径首选电视传媒,表明信息传播工具的普及性和传递内容的呈现形式影响较大。同时,对信息传播主体的信任度也是主要影响因素,例如亲朋好友、同事邻居和专家学者。农户迫切需要了解的食品安全信息内容有食品营养知识、质量认证知识和投诉渠道。对政府提供信息服务的第一诉求是有效打击食品安全的违法犯罪行为。第三,农户对食品安全信息服务需求的显著影响因素为女性比例、监管措施认知、婴幼儿食品标签信息、食用油标签信息和标签营养成分信息。
一、消防安全网格化管理工作现状
近年来,西宁市坚定不移地推行乡镇、街道消防安全“网格化”管理模式,构建了“机制健全、责任明晰、力量整合、管理规范”的基层消防工作新格局,筑牢了社会火灾防控根基,西宁市共建立街道级消防安全网格40个,乡镇级消防安全网格98个,街道乡镇划分小网格1356个;全市共落实网格长1065名,网格员2346名,网格信息员2980名。就目前的消防安全形势和社会面消防安全水平现状而言,消防安全网格化管理工作遭遇了现实瓶颈,只有突破瓶颈,才能实现消防管理的进一步优化升级。
(一)工作经费保障难题有待突破。目前部分地区的消防安全网格化管理工作保障性经费尚未实现纳入地方财政预算足额保障,难以满足随着城市建设发展逐年递增的要求。部分经济实力较强的乡镇街道投入资金,为乡镇专职消防队、志愿消防队或“保消合一”队伍配备了消防装备和器材,但后续的管理和保养工作经费却未能跟上,导致装备和器材闲置损坏报废的情况出现。
(二)基层消防部门负担有待减轻。基层消防部门的监督干部数量有限,管辖范围大、列管单位多,消防安全形势复杂,时刻面临着工作能力与工作成效的考验。消防安全网格化管理工作再次将公安消防部门作为主力军,一旦遇到当地相关部门重视程度不够、责任意识不强的情况,基层消防部门的角色将由“推动”变为“拖动”,工作负担进一步加重。
(三)网格工作效能有待全面提升。从全市档案台账看,消防安全网格化管理工作组织健全,各级网格均建立了消防安全委员会或消防办公室,部分县区建立了完善的联席会议制度,定期讨论解决消防安全问题,部署消防专项工作。但网格化工作中走形式走过场的心态依然普遍存在,工作效能有待进一步提升。
二、社会服务管理创新工作带来的机遇
构建“网格化管理、信息化支撑、全程化服务、法治化保障”的社会管理新体系,提升社区网格化服务管理水平,加强基层基础建设,其为消防工作带来的机遇主要有以下几点。
(一)政府高位部署推进。政府高度重视社区网格化服务管理工作调度会议。对网格员招录工作、信息平台建设工作和社区网格化服务管理体制机制创新工作十分重视。
(二)各级各部门广泛联动。政府牵头建立了联动工作机制,并就矛盾纠纷排查调处、社区网格员招录、社会管理综合信息平台建设和志愿者队伍建设等工作进行了培训与交流,消防安全管理工作作为一项重要内容被纳入培训交流。
(三)经费保障落实有力。政府明确网格管理员属政府服务公益性岗位,固定的岗位、稳定的工资能够创造一个栓心留人的工作环境,适当的绩效考核能够有效增加工作动力,有效的经费保障必然使网格管理员成为一个颇受欢迎的岗位。
(四)信息平台功能强大。依托现代信息技术,西宁市加快社区网络基础设施建设,整合社区现有部门专网和业务应用系统,建设了全市社会管理综合信息平台。从火灾隐患整治角度而言,社区网格员可以对所负责网格的火灾隐患实施深入排查并实时录入社会管理综合信息平台,能够深入并实时掌握社区基层火灾隐患查改情况;从火灾扑救角度而言,消防员可以在火灾发生的第一时间迅速详细掌握建筑结构性质、内部人员情况、周边水源情况等重要信息。
三、消防管理和社会服务管理创新工作对接中的主要问题
(一)网格划分有所不同。在全国“清剿火患”战役中推广的消防安全网格化管理是以各级行政辖区为单元划分乡镇街道级网格、村(居)委员会级网格、村组楼院社会单位级网格。西宁市社会服务管理创新工作则是以100户左右的规模为标准,将4个区、3个县、4个开发(新)区下辖的156个村委会、352个居委会和45个家委会划分为3689个网格。不同的网格划分将导致管理体制上的差异,给对接工作造成障碍。
(二)网格员的流动性。政府招聘的网格员以劳务派遣的方式进行用工管理,依法签订劳动合同。据了解,西宁市类似的劳务用工岗位年流动率达20%以上,工作人员岗前培训的问题、岗位工作经验积累传授的问题和稳定并留住人才的问题需要得到妥善解决。
(三)火灾隐患举报投诉的处理。依据西宁市社会服务管理创新工作的网格划分方式,全市共有3689个网格,按每周平均每个网格发现隐患4处计,每周将有14756处隐患录入系统,传送到消防支队网络终端等待支队按照火灾隐患举报投诉流程处理,较大的工作量将给消防部门带来压力。
四、借西宁市社会服务管理创新工作实现消防管理优化升级
针对消防管理和社会服务管理创新工作对接中出现的主要问题,同时借鉴外省市消防部门在对接跟进工作中的经验,笔者浅谈几点工作建议。
(一)建立网格管理员消防业务定期培训机制。依托网格监管中心建立“上岗必训、分批轮训、特事特训”的培训机制,将消防安全培训演练作为其中的一部分,对网格管理员进行普及掌握。上岗必训,即由网格监管中心组织新招录的网格管理员开展岗前消防业务知识培训;分批轮训,即分季节、分重点时段由各消防大队联系本地网格监管分中心,安排年度培训计划,结合网格员四项基本职责进行细化培训;特事特训,即根据不同的专项行动任务目的要求,有选择地对网格员进行任务分配和专项培训。
十几年来,勤劳智慧的蓝盾人凭借高度民族使命感和责任感,自主研发出十个系列、近50个型号的产品,多项产品通过公安、保密、军队等权威主管部门的检测认证。
蓝盾拥有AAA级企业信用等级,在经营活动中始终坚持“诚信服务”,追求细致卓越,高效服务客户,以客户需求为导向,在发展过程中逐步形成了涵盖安全产品研发及销售、安全集成及安全服务的完整业务体系,形成了强大的综合服务能力。蓝盾已成为一家安全产品、安全服务、安全集成多业务齐头并进的综合性信息安全企业。
蓝盾建立了以广州营销总部为中心,以北京、上海、重庆为支点,辐射全国的营销和技术服务体系。作为华南地区信息安全第一品牌,蓝盾目前已拥有覆盖全国,涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的近千余家客户。蓝盾雄厚的实力和一流的服务为公司赢得了广大客户的高度赞誉。
1.安全产品
蓝盾拥有包括安全网关、安全审计、应用安全在内的三大类、十大系列、50多个品种的安全产品线,可基本满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求。
2.安全集成
作为主营业务之一,蓝盾安全集成业务包括自有的和第三方的信息系统安全产品销售、基础信息系统建设、应用信息系统开发、信息系统运维服务、信息系统安全运营等。蓝盾已为政府、教育、金融、电力、医疗等行业的多家客户提供了信息安全系统整体解决方案。
有别于传统的系统集成业务,蓝盾安全集成业务以公司自有信息安全产品和业务整合为基础,以信息系统安全运营服务平台为基础结构,建立了覆盖产品研发、方案设计、销售和集成、工程实施、管网建设和运营服务的一整套信息系统安全运营业务支持体系,成功实现了从传统信息系统集成业务到以信息安全产品为基础、提供信息系统安全运营整体服务的战略跨越,从而确立了公司整体解决方案在信息安全市场中的领先地位。
3.安全服务
蓝盾提供的安全服务主要包括安全咨询与评估、专业化安全检测与防护、安全认证培训服务、安全运营及管理、安全技术支持等。经过多年积累,蓝盾已为上百家客户提供了专业化的服务,构建了覆盖不同行业客户及客户不同发展阶段的信息安全服务体系。
信息安全产品的研发、生产和销售是蓝盾业务体系的基础。它对信息安全集成及信息安全服务的发展起着至关重要的作用。安全产品业务能够有效促进公司安全集成与安全服务业务的实现和业务量的提升。安全集成与安全服务业务同时还会促进安全产品技术和应用水平的提升。随着技术实力和安全产品竞争力的提高,蓝盾提供整体解决方案的能力也在逐渐增强。在安全集成业务收入快速增长的同时,蓝盾自有安全产品的销售额也在快速增加。
技术创新 缔造优势
蓝盾始终以自主创新为发展原动力,以领先的技术研发抢占市场。经过多年的探索和积累,蓝盾已掌握了信息安全领域内的主要核心技术,并拥有该领域内近百项软件著作权。蓝盾目前掌握的主要技术处于国内领先地位,其中蓝盾DDoS防御网关采用的零积累智能识别技术达到了国际先进水平。
凭借领先的技术实力,蓝盾先后实施了包括公安部科技攻关项目在内的多项国家级、部级、省市区级的重点信息安全科研项目,并在公安部等部委制定服务器安全类产品和安全审计类产品行业技术标准的过程种发挥了重要作用。
此外,蓝盾还成功地为北京奥运会和残奥会提供了信息安全产品和服务,并因此获得了北京奥组委颁发的荣誉奖章。
专业资质 彰显实力
安全行业是国家强制性保护的行业,获得资质或许可的多少是衡量信息安全企业竞争实力的重要标准。
蓝盾具有技术优势及综合服务能力,已拥有商用密码产品销售许可证、军队网络采购信息资格认证、信息系统产品检测证书、军用信息安全产品认证证书、产品销售许可证、中国信息安全认证中心产品认证证书、广州市自主创新产品证书,并取得了计算机信息系统安全服务一级资质证书、计算机信息系统集成一级资质证书、计算机信息系统集成乙级证书、信息安全应急处理服务资质、信息安全风险评估服务资质等业务资质,还获得了包括信息安全产品、信息安全集成及信息安全服务在内的所有业务类别的较高级别资质和许可,是业内获得资质和许可最全的企业之一。
综合服务 铸就品牌
蓝盾的各业务模块能相互促进,共同发展,从而形成了较强的综合服务能力。
蓝盾的信息安全产品可满足客户在网络边界安全、安全审计与合规、应用安全等方面的信息安全需求,并能为客户设计和实施信息安全方面的整体解决方案,满足客户系统化、个性化的安全需求。
此外,蓝盾还可以为客户提供安全咨询与评估、安全检测与防护、安全认证培训服务等专业化的安全服务。蓝盾完整的业务体系及丰富的产品种类可满足不同行业客户的信息安全需求,增强公司的综合竞争力。
蓝盾建立了辐射全国的营销和技术服务体系,这为公司掌握信息安全领域的最新市场动态、及时响应客户需求提供了重要保证。
客户稳定 促进增长
信息安全行业的特殊性决定了下游客户对信息安全提供商存在一定的依赖性。随着社会各界对信息安全要求的逐步提高,下游客户在信息安全系统建设和升级的过程中会对安全产品、安全集成及安全服务产生交叉消费和重复消费。
因此,下游用户对信息安全领域的投入是持续性的。蓝盾现有的客户资源既是稳定的业务来源,也是宣传品牌、扩大影响力的最好载体,这有利于新市场及新客户的开拓,也为公司的持续盈利提供了重要保障。
精英汇聚 引领成功