变电站的安全运行十分重要,它不仅关系到供电企业的经济效益,而且影响到千家万户的用电。所以,安全生产将始终是电力企业永恒的主题。而变电站的安全保障只来自于运行人员的安全思想、安全素质、安全技能,因此,变电运行人员的责任越来越大,这就要求运行人员要不断提高自身的业务技能水平。然而在变电站正常运行方式下,变电站很少进行倒闸操作,变电值班员除了进行正常的巡视和设备维护外很少有动手的机会。而变电设备的实时运行决定了它随时有可能发生异常或事故,如何防止设备发生故障以及在发生故障时进行及时、准确的处理,缩短停电时间,为客户提供持续、稳定的电力具有重要的意义。并且随着新技术、新设备的不断应用,设备的更新换代时间也在不断的缩短,如何能跟上技术发展水平,在较短的时间内掌握先进设备的应用能力,具有一定的现实需要。
2.安全教育培训在企业安全生产中的作用
2.1学习安全生产法规,构建和谐企业
党和政府历来十分重视安全生产工作,相继制订出台了一系列安全生产法规:有国家大法--宪法,还有《安全生产法》、《职业病防治法》和许多相配套的法规。这些法律、法规的贯彻执行,需要经过广泛深入的宣传、培训、学习。学法才能懂法、守法。无论是企业领导,还是安全管理人员或职工,只有大家都依安全生产法规办事,才能拥有一个安全的生产环境,这是构建一个和谐企业的前提。企业的安全生产管理制度、安全生产操作规程都是前人经验的总结,有些甚至是用鲜血和生命换来的经验。这些规章都必须严格地不折不扣地遵守和执行。假如不经过教育培训和学习,职工对这些规章一无所知或一知半解,那么遵守和执行也就无从谈起。特别是做为电力企业的变电运行人员,清楚安全法律法规,依法操作变电又显得特别重要。电即是保障生产的能源,如果操作不当又将是损人害已的利器,因此,加强变电运行人员的安全教育培训更显得尤为重要。
2.2提高职工素质,从源头上预防安全事故发生
职工素质的高低不仅直接影响产品的数量和质量,影响经济效益,也直接影响安全生产。职工素质的提高靠的是职工教育、培训和学习。通过专业技术教育能使职工熟悉和掌握工艺流程、应用更加安全的新工艺技术。通过岗位技能培训,使职工熟练掌握岗位操作技能,消除操作差错,一旦发生设备故障或意外情况也有能力及时处理和排除。安全的新工艺,职工熟练的操作技能,是从源头上预防安全生产事故发生的基本条件。在变电运行岗位上,来不得任何一点马虎,又任何一个按键操作的不熟悉,又任何工作原因的不清楚都有可能造成无法挽回的损失,因此,变电运行人员迫切需要提高安全素质,真正从源头上预防安全事故的发生。
2.3提升应急处置能力,减少事故风险和损失
及时、正确、有效地处置安全事故苗头或已发生的安全事故,能防范事故风险,减少事故损失。职工应急处置能力的提升,需要不断地进行培训、学习和演练。“安全事故处置规范”“事故应急救援预案”等安全事故处置技能,如不反复学习和演练,光停留在“写在纸上,挂在墙上”,一旦发生安全事故时就可能出现判断错误,处置失当或惊慌失措、无所适从,使小事故变成大事故,小损失变成大损失。因此,在平时就应不断对职工进行事故处置规范、预案培训演练,熟能生巧,真正实战时就能得心应手。变电运行中各种无法预知和判断的突发事件的发生机率很高,这需要运行人员必须具备极高的识别能力和处置能力才能稳妥应对,才能正确、果断的减少突发事件对企业造成的经济损失,如果不经过培训,操作人员极有可能出现手忙脚乱的情况,不但易忙中出错,将损失加巨,更有可能在忙乱中失去理智,造成人身的生命危险。
2.4正确使用安全设备和技术,提高本质安全度
随着科学技术的不断发展,更加安全的设备、更加先进的技术被不断应用,同时安全防护设施和技术也在不断更新和应用。新设备、新材料、新技术的应用必将大大提高企业的本质安全度,消除或减少职业危害因素对从业人员的职业伤害。然而职工的知识不同时更新,技术技能不同步提高,就无法使用新设备、新材料、新技术。知识更新、技能提高的有效途径就是教育、培训和学习。
2.5事故案例教育,让已经发生过的安全事故不再重演
利用事故案例对员工进行安全教育培训,既直观生动又教训深刻,教育效果显著。本企业的事故案例,既有事故经过、原因教训分析,还有整改措施,都是发生在身边的事,职工学习仿佛置身其中,能起到很好警示作用。国家公布的重大事故案例,大多有录像资料,可用投影机进行播放。这些事故案例录像往往场景十分惨烈,活生生的教育题材能使每一位职工都受到触动与产生心灵的震撼,能使安全工作刻印在每位职工的心灵深处,吸取事故教训,让已经发生过的安全事故不再重演,实实在在地把安全工作落实在行动上。
3.对开展安全技能和技术技能岗位培训的思考
3.1培训程序要具体
3.1.1培训内容要讲实际、实用、实效及针对性
变电运行岗位培训工作要立足于实际。由于运行人员的文化水平参差不齐,运行中要求他们对变电运行岗位制度、各类规程、设备原理及构造、倒闸及运行管理等基本技能有一定的掌握。由于各变电站的设备不尽相同,特别是二次设备,有电磁式和微机式继电保护等,因此应针对不同的变电站设备和不同岗位的运行人员安排不同的培训内容,以满足变电运行岗位技能的要求。
3.1.2培训方向要针对不同的需求做到主动服务
要成立专门的培训机构,配置专业的培训人员,及时安排各类培训,以满足变电站运行人员的培训要求。应改变以往的考试讲解的模式,针对每个运行人员的技能层面制定相应的培训计划,从简单到复杂,由基础到专业,循序渐进,改变学习人员的被动应付式的学习态度,让他们听得懂,看得明白,激发其学习兴趣,从而变“要我学”为“我要学”。
3.1.3培训方式要多样化
派发学习资料,记学习笔记的自学方式,是运行人员不断提高自身理论技能水平的重要途径。除要求各级运行人员要积极参加站内定期组织的反事故演习、事故预想、技术问答及讲座、现场考问等理论培训外,还应充分利用变电站的大、小修和临检的机会,对运行人员进行现场设备讲解,分析其构造及工作原理、维护操作要领,在可行的情况下组织运行人员参与检修,现场熟悉供电设备的安装、接线及运行情况,并将疑难问题与技术问答相结合,以加深运行人员对所学内容的印象和理解,同时采用“案例教学”的培训模式,对变电站出现的事故现象进行分析讲解,共同探讨事故发生的原因及处理方法、预防措施。这种直观的培训方式,对有一定的工作经验、理解能力强的运行人员的培训效果十分明显,值得探索与推广。
3.1.4加强培训管理考核
为创造良好的学习氛围,调动运行人员的学习积极性,应建立健全相关的培训考核制度。培训专责应对培训人员的学习笔记定期进行检查签字,作为平时学习成绩的依据;力争做到每季(月)轮训、考试一次,对考试达不到要求的人员进行二次培训,二次培训考试仍达不到要求的进行离岗学习培训,直到合格为止,对培训考核不合格的各级运行人员按绩效考核进行扣分和处理。
3.2培训管理要创新
职工教育培训工作是单位的一项重要战略任务,要围绕贯彻科学发展观,坚持以人为本,求真务实,锐意创新,时一步端正干部职工的世界观、人生观、价值观。时代在不断进步,新事物层出不穷,职工的思想观念日益多元化,职工教育培训工作也应该与时俱进,走具有自身特点的教育培训之路,为单位的发展提供有力的支撑和保障。
3.2.1职工安全教育培训要从主题上创新
思想观念陈旧是变电运行人员劳动安全的最大障碍,不打破旧的思想禁固,不实现观念创新,变电安全发展就会停滞不前。所以,要将转变观念贯穿于变电运行人员安全教育培训全过程,从电力部门讲,安全教育培训要从突出主题上创新,安全是全国各行各业的主题,更是电力部门的主题,教育培训也要紧紧围绕突出这个主题,进行教育培训。就变电部门而言,安全工作有十关,这五关是:认识关,变电人员由于对电路及电原理比较熟知,总认为自己是行家里手,长年在变电岗位上工作,与电关系密切,所以日常不重视电安全防护,思想认识是影响安全质量的最大难关;火灾关,电是老虎,它与自然灾害一样,对待任何电导体绝不留情面,特别是变电所,这里的电都是高压电,火灾隐患极大,任何外部条件都有可能造成火灾隐患;人为关,电是静止的,它的传输是在线路内,但人是流动的,没有固定形态,任何人为因素都有可能造成人身伤亡事故,特别是变电运行人员的日常操作,违反操作流程的问题屡禁不鲜;烫伤关,高压电会产生高温,即便不被电伤,也有被高温烫伤的危险;扭钮关,变电运行操作已逐步实现了现代化,按钮越来越多,操作程序也越来越复杂,按钮是操控电力的阀门,也使按钮的安全作用突显的越来越重要,但操作人员基本不在意按钮的使用状态,只懂操作,而不懂监测;外来人员控制关,变电所原则上严禁闲杂人等入内,特别是工作室、操作间,但也无法排除外来人员的进入状况,外来人员的控制不力是变电安全的又一重大隐患;岗前培训关,变电站的工作是一成不变的,久之容易使操作人员产生麻痹心理,在上岗前不接受培训将有可能成为人身安全的关键。变电运行人员的安全教育培训日常把好这几关,将会为安全再提供一层保障。
3.2.2职工安全教育培训要从关键上创新
树立安全教育培训投入是最具经济效益和社会综合效益投入的观念,电力部门什么是关键呢?笔者认为安全是关键,安全不好就无有宁日,因此,教育培训要做到以下几点。
1)坚持不懈地对职工进行安全教育,不断强化职工对安全重要性的认识。一是开展“知、兴、爱”教育和警示教育。使职工认清安全与服务、安全与生产、安全与经济效益的内在关系,增强职工自觉保证安全作业自觉性。同时将安全规章制度和有关条例纳入教育学习内容。利用座谈会、演讲会、班计划提问等形式,用典型的、发生在身边的安全问题案例进行宣讲,提高职工的安全意识。二是抓好正反典型教育。利用发生在职工身边的人和事来教育职工,让职工知道怎样做是好的,怎样做不好的,发生安全问题将遭受多大的损失,并对安全生产的先进事迹及先进人物进行大张旗鼓地宣传,对各级检查组查出的具有普遍性的问题及时通报,激发员工为安全工作增光添彩的主动性和责任感。形成安全生产光荣,违规操作可耻的良好氛围。
2)为强化员工的安全意识,要开展卓有成效的安全自纠自查活动,进一步规范工作程度和过程。认真吸取各类安全事故教训,强化安全意识。同时,对存在问题认真整改。并要不断加大监督和查处力度。为把安全监督落实到实处,把组织监督和岗位监督作为保证安全持续稳定的有效手段。一是加强内部监督。管理者经常抽查,发现问题及时处理;二是加强岗位监督。对员工举报的问题认真调查,对举报者给予重奖。安全教育培训工作抓住这个教育培训的关键那就无往而不胜。
3.2.3职工安全教育培训要从方式上创新
立足工作实际,采取灵活多样的培训方式,调动职工参加培训积极性:一是坚持理论培训和实践指导相结合。理论教学虽然是培训的主要方式,但比较抽象,枯燥乏味,缺乏吸引力。理论培训后,把过去的一些先进实例拿出来让他们看,面对具体的实例再进行讲解,形象直观,既提高了员工的学习兴趣,又加深了对理论知识的理解,事半功倍。二是坚持集中培训和自学成才相结合。人是创新的核心,电力安全教育培训的创新,其首先就要依赖于一支高素质的人才队伍和有利于人才成长的良好教育创新氛围,在鼓励职工挤出点滴时间自学的基础上,定期根据形势要求举办不同类型的培训班,加强职工集中教育,使每一名职工接受新知识、新理论的教育。三是坚持长期教育和短期教育相结合。职工教育培训是一项长期工作,不是一朝一夕即能完成的。因此,在教育培训中坚持长期目标和短期目标相结合,既考虑当前需要,又考虑长远发展的要求。如在开展适应性、资格性短期培训基础上,组织40岁以下职工参加各种形式的学历提高班,使职工队伍的年龄、知识结构得到进一步优化。四是坚持走出去和请进来相结合。改革开放和信息化是当今社会的主流,科学技术的发展一日千里,如果长期禁锢在一定范围内,脱离与外部世界联系,那就会成为一潭死水,井底之蛙,将被社会远远地抛在后边。经常邀请有关专家进行授课和先进人物进行上门指导,举办专题讲座,另一方面,每年有计划地选派一部分职工参加上级有关部门的培训班,同时也组织员工到先进班组取经,学习兄弟班组的先进思路、经验和方法,开阔视野,增长才识。
3.3培训机制要完善
3.1.1四种人必培——新工人、提改职、新职工班长、技术薄弱人
1)新工人必培。①新职人员培训:对从事变电运行工作的新工人上岗,必须经过教育科以上初级技术理论、实作培训。培训时间原则为理论20天,实际作业40天(师带徒)待培训期满后,正式办理职工考核手册方可持证上岗。②新工人培训内容必须包括安全教育、理论实际操作技能、操作设备、消防知识、设备知识、作业标准等方面培训教育。③新工人上岗后必须签订三个月的师徒合同。④技术理论学习,按《电力工人技术等级标准》应知应会部分进行。未明确规定技术标准工种的,以主管业务部门规定的作业规范为准。
2)提改职人员必培。①新提职、改职人员必须严格执行三联单制度。因工作需要办理提职时,教育科依据劳人科下达的职工提职单制定订培训计划。②提职人员培训。由劳人科开具提职单,教育科负责组织培训,保证5—10天的适应性培训。③经培训,理论、实作、考试成绩合格后,由教育科填发考试成绩通知书,作为劳人科下令的依据。④未经培训者,一律不准提、改职。
3)新职工班长必培。①新职工班长必须通过劳人科提供名单(任职考试通知书)作为培训的依据。②工班长必须参加电力系统工班长培训班。③未经培训不准提职。
4)技术薄弱人必培。①技术薄弱人是指因技术业务素质差造成事故苗子及以上者,或上级组织调考不及格者,企业内部办班结业不及格者。②教育科每年要对各小组、班组的职工进行分类,确定技术薄弱人,制定培训计划。③技术薄弱人,由段教育科集中组织培训。④技术薄弱人经考试合格方可上岗。
3.3.2二种班必办——新技术、新设备使用前;惯性事故易发前;季节性工种开工前
1)新技术、新设备使用前培训班必办
①新技术、新设备投入使用前,必须进行人员素质培训,未经培训人员不准上岗作业。②培训人员可通过送培、自培等培训渠道进行。③培训人员考试不及格,不准上岗作业。
2)惯性事故易发前培训班必办
①惯性事故指根据季节及气候特点,易发生的电力重点故障,如夏季的阴雨连电故障、入冬的低温短路故障处理等进行强化培训。②职工必须参加培训,培训率达100%,合格率达100%。③教育科必须组织好人力编好教材。④进行调研,使教学与电力生产密切配合。⑤与安全科密切配合,将教学内容纳入标准作业范围。⑥培训后进行考试,考试成绩纳入个人技术档案和部门考核。
〔关键词〕“六规”;安全管理;应用;生产作业
1企业安全管理现状
安全生产是企业永恒的主题,是电力企业各项工作的重中之重,它关系到国家财产安全和员工的人身安全,直接影响着电力企业员工的切身利益及企业的效益、稳定和发展。只有抓好安全管理,企业的生存与发展才有保障。某电厂2006年8月“以大代小”技改工程开工建设,2007年底2×330MW双机投运。企业实行火力发电集控运行、点检定修管理体制,建立了全厂信息化管理系统,实现了运行控制自动化和设备管理、点检定修、技术监控信息网络化,依靠科技进步打造数字化电厂,实现了管控模式的现代化。技改后,该电厂累计完成发电量203.5亿kWh。快速的发展给企业带来了许多新问题,如:安全生产固有规律与疏于安全责任之间的矛盾;固有安全管理方法与先进生产力不适应的矛盾;员工安全意识和安全技能与现代化安全生产要求不适应的矛盾;安全管理长效机制与“头痛医头脚痛医脚”之间的矛盾;安全管理文化缺失与强化安全执行力之间的矛盾等。这些矛盾导致现场责任制不落实、制度不落实等问题随处可见,安全生产基础非常薄弱,与建设本质安全型企业差距很大。建设本质安全型企业就是通过逐步解决生产过程中的人、设备、环境和管理中存在的各种不安全因素,最终实现人员无违章、管理无漏洞、系统无故障、设备无缺陷、环境氛围好的目的,使安全生产始终处于可控、在控状态。建设本质安全型企业的实践证明,一个企业生产过程的安全得到了有效控制,那么这个企业的本质安全就有了扎实基础。针对企业安全管理中存在的瓶颈,该电厂将生产作业流程“六规”应用于安全管理中,从而改变了安全生产面貌。
2生产作业流程“六规”的定义和内容
生产作业流程“六规”是该电厂安全生产管理的一种方法,即通过规定时间、规定地点、规定人员、规定内容、规定指导、规定监督(简称“六规”),切实加强现场作业风险防范。该“六规”是在继承传统的“两票三制”的基础上,采取“一个流程标准、一个实施办法、一个管理平台”的思路,推进安全基础建设和作业现场建设,从源头进行深化和管控的管理方法。应用该方法,可实现从临时被动消缺到主动有计划地工作;从传统“两票”上单一安全措施到全面的安全、质量、工期风险控制措施;从员工被动学习到主动学习;从现场作业的随意性到规范性;从传统的行政命令模式到自觉的落实各级安全生产责任,达到提高员工安全意识和技能、促进点检定修、提高设备健康水平的目的,最终使企业实现零伤害、零缺陷、零违章、零非停的安全生产目标。每项作业任务开工前,仅票面安全措施做完后还不能许可开工。首先,应在规定时间,由规定的人员,在规定的地点,按照规定的内容提示,对参加工作的人员讲述工作任务,辨识本项工作中的安全、质量、工期风险,讲清对应的防范措施,并依次讲明落实每项措施的责任人(简称“三讲”,如图1—3所示),经视频上传后方可到现场开工。其次,根据作业的风险大小,规定相应的专业技术人员、管理人员、安全监督人员、厂级领导按照规定的作业项目到规定地点,参与作业任务的指导讲解。最后,建设一个“六规”视频监督管控平台,规定监督人员对讲解后的视频进行抽查点评,并在当日生产调度会上总结点评并进行考核。图1讲任务图2讲风险措施生产作业流程“六规”管理方法简单明了,可操作性强。
3生产作业流程“六规”应用效果
3.1作业人员安全意识极大增强。该电厂在实行生产作业流程“六规”后,安全管理综合能力得到大幅提高,作业人员安全意识极大增强。生产作业流程“六规”规定,在讲作业任务前,主讲人要剖析同类作业事故案例,警示本次作业不能出现类似的违章行为;还要和工作班成员一起回顾本企业在此处检修是否发生过不安全情况,克服作业人员的麻痹大意思想;同时各级管理人员要到位补充指导讲解,既增强员工的安全意识,又重温安全知识,达到作业前安全动员的目的。3.2作业人员风险辨识能力显著提高。历年电力安全事故分析表明,要在物的不安全状态下有效控制事故,必须提高作业人员对现场作业风险的辨识和控制能力,并采取相对应的防范措施。生产作业流程“六规”明确要求,对作业的安全、质量、工期风险作完整、详细的提示,如:作业前,老师傅都会回顾以往违规行为并深度剖析,对新员工可起到警示作用;安全风险中“对环境和人员精神状态”的提醒,起到第一时间摁住危险源头、第一地点预防事故苗头的作用;质量风险中对“人员能力要求”的提醒,对能否顺利完成本次作业至关重要。3.3有效提高安全生产管控能力。按照生产作业流程“六规”要求,讲解前主讲人必须提前进行准备,查阅图纸、规程等资料,学习同类事故案例,总结经验教训,全面分析作业中可能出现的风险,并落实防范措施,做到有备无患。通过“两票”流程与“六规”视频管控平台的关联,对“两票”和“六规”视频管控平台实施有效管控,使未上传“六规”视频的工作票和操作票无法开工和操作。3.4实现安全生产责任到位做实。该电厂自运用生产作业流程“六规”视频管控平台以来,切实发现了责任制不落实、制度不落实等方面问题。如:主讲人冒名顶替;“三讲室”工作班成员与实际工作票所列成员不符;按照规定一种工作票要求专业专工(点检员)到位参与讲解(指导)的任务,专工却未参与讲解(指导);讲解内容不符合规程要求等。“六规”视频管控平台的应用,切实确保了责任制的落实。3.5提高检修作业人员技能水平。在生产作业流程“六规”的讲解内容提示中,有关质量风险的内容包括缺陷原因和劣化趋势分析、缺陷处理的方法等。主讲人在讲解之前要对缺陷的原因进行分析,为了能准确分析缺陷发生的原因,就必须了解设备的构造及性能,这是一个提高自身专业技术知识的过程。其次,为了讲解缺陷处理方法,就必须将理论知识与实际经验有机结合,特别是在讲解检修工序和工艺时,师傅的补充讲解对提高检修作业人员的技能水平有很好的帮助。如:在找动平衡时,计算的理论重量和相位角与实际会有一定差距,若能结合师傅长期工作的经验,不仅能提高工作效率,还能提高工作质量。3.6创新培训手段,提高员工业务素质。为提高讲解质量,电厂组织专业技术人员,分专业编制了电气运行、汽机运行、锅炉运行、脱硫灰控运行、化水运行、输煤运行等6种运行操作讲解材料,编制了电气一次、电气二次、锅炉、汽机、脱硫、化学、输煤、脱销、热控、土建保温、保洁等11种检修作业讲解材料。由于“三讲室”设有视频监控,主讲人、参与人为了保证讲解效果,便会提前进行讲解材料的准备,促使员工主动学习。目前,外包人员、劳务派遣工逐渐增多,但这些人员安全意识淡薄;通过不断学习、讲解,讲中促学,可有效提高了作业人员安全风险意识,成为员工安全培训的一项行之有效的抓手。3.7责任追究做到有据可依。随着新《安全生产法》的颁布和实施,企业为落实安全生产责任,对安全责任追究越来越严格,生产作业流程“六规”在企业的实施,实现了从传统粗放式管理向精细化管理模式转变,为规章制度落实、安全生产责任落实提供了有效依据。每项作业都要进行“三讲”,且每个“六规”视频录像都会做好痕迹保留,通过对现场录制、回播,确保知晓工作负责人是否讲解,讲解内容是否符合规程,专业专工及管理领导是否参与,工作班成员是否全部参与。“六规”视频影像资料可以追溯,现场发现违章可从源头开始追查,如:在某企业作业现场发现,该办理一级动火票的区域办理了二级动火票,当追查该项作业视频时,发现参与讲解的动火执行人不是其本人,因此工作负责人、动火执行人都应对此负责。
4结束语
病毒病毒对于计算机来说就如同老鼠对于人类来说。“老鼠过街,人人喊打”,而病毒过街,人人避而趋之,它会破坏电脑中的数据以及计算机功能,且它对于硬件的伤害是十分大的,而且它还能够进行自我复制,这也让病毒的生存能力大大加强,由此可以得出其破坏性可见一斑。
人为防护意识网络入侵的目的是为了取得访问的权限和储存、读写的权限,以便其随意的读取修改计算机内的信息,并恶意地破坏整个系统,使其丧失服务的能力。而有一些程序被恶意捆绑了流氓软件,当程序启动时,与其捆绑的软件也会被启动,与此同时,许多安全缺口被捆绑软件所打开,这也大大降低了入侵网络的难度。除非用户能够禁止该程序的运行或者将相关软件进行正确配置,否则安全问题永远也解决不了。
应用系统与软件的漏洞网络服务器和浏览器的编程原理都是应用了CGI程序,很多人在对CGI程序进行编程时只是对其进行适当的修改,并没有彻底的修改,因此这也造成了一个问题,CGI程序的安全漏洞方面都大同小异,因此,每个操作系统以及网络软件都不可能十全十美的出现,其网络安全仍然不能得到完全解决,一旦与网络进行连接,就有可能会受到来自各方面的攻击。
后门与木马程序后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序,它受控于黑客,黑客可以对其进行远程控制,一但木马程序感染了电脑,黑客就可以利用木马程序来控制电脑,并从电脑中窃取黑客想要的信息。
安全配置的正确设置一些软件需要人为进行调试配置,而如果一些软件的配置不正确,那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大,其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员,他们通常是程序设计人员,因此他们对于程序的编程和操作都十分了解,一旦有一丝安全漏洞出现,黑客便能够侵入其中,并对电脑造成严重的危害,可以说黑客的危害比电脑病毒的危害要大得多。
常用的网络安全技术
1杀毒软件杀毒软件是我们最常用的软件,全世界几乎每台电脑都装有杀毒软件,利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案,它的安装简单、功能便捷使得其普遍被人们所使用,但杀毒软件顾名思义是用来杀毒的,功能方面比较局限,一旦有商务方面的需要其功能就不能满足商务需求了,但随着网络的发展,杀毒技术也不断地提升,主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。
2防火墙防火墙是与网络连接间进行一种预定义的安全策略,对于内外网通信施行访问控制的一种安全防护措施。防火墙从防护措施上来说可以分成两种,一种是软件防火墙,软件防火墙是利用软件来在内部形成一个防火墙,价格较为低廉,其功能比较少,仅仅是依靠自定的规则来限制非法用户进行访问;第二种是硬件防火墙,硬件防火墙通过硬件和软件的结合来讲内外部网络进行隔离,其效果较好,但价格较高,难以普及。但防火墙并没有想象中的那样难以破解,拥有先进的技术仍然能够破解或者绕过防火墙对内部数据进行访问,因此想要保证网络信息安全还必须采取其他的措施来避免信息被窃取或篡改,如:数据加密、入侵检测和安全扫描等等措施。值得一提的是防火墙只能够防护住来自外部的侵袭,而内部网络的安全则无法保护,因此想要对电力企业内部网络安全进行保护还需要对内部网络的控制和保护来实现。
3数据加密数据加密技术可以与防火墙相互配合,它的出现意味着信息系统的保密性和安全性进一步得到提高,秘密数据被盗窃,侦听和破坏的可能性大大降低。
数据加密技术还衍生出文件加密和数字签名技术。这两种技术可以分为四种不同的作用,为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。数据传输加密主要针对数据在传输中的加密作用,主要可以分成线路加密和端口加密这两种基本方法;数据储存加密技术是在数据储存时对其进行加密行为,使数据在储存时不被窃取;数据完整性判别技术是在数据的传输、存取时所表现出来的一切行为的验证,是否达到保密要求,通过对比所输入的特征值是否与预先设定好的参数相符来实现数据的安全防护;数据加密在外所表现出来的应用主要为密钥,密钥管理技术是为了保证数据的使用效率。
数据加密技术是将在网络中传输的数据进行加密从而保证其在网络传输中的安全性,能够在一定程度上防止机密信息的泄漏。同时,数据加密技术所应用的地方很广泛,有信息鉴别、数字签名和文件加密等技术,它能够有效的阻止任何对信息安全能够造成危害的行为。
4入侵检测技术网络入侵检测技术是一种对网络进行实时监控的技术,它能够通过软、硬件来对网络中的数据进行实时地检测,并将之与入侵数据库进行比较,一旦其被判定为入侵行为,它能够立即根据用户所设定的参数来进行防护,如切断网络连接、过滤入侵数据包等等。因此,我们可以将入侵检测技术当做是防火墙的坚强后盾,它能够在不影响网络性能的情况下对齐进行监听,并对网络提供实时保护,使得网络的安全性能大大提升。
5网络安全扫描技术网络安全扫描技术是检测网络安全脆弱性的一项安全技术,它通过对网络的扫描能够及时的将网络中的安全漏洞反映给网络管理员,并客观的评估网络风险。利用网络完全扫描技术能够对局域网、互联网、操作系统以及安全漏洞等进行服务,并且可以检测出操作系统中存在的安全漏洞,同时还能够检测出计算机中是否被安装了窃听程序,以及防火墙可能存在的安全漏洞。
单利企业网络安全解决方案
1物理隔离物理隔离指的是从物理上将网络上的潜在威胁隔离掉。其主要表现为没有连接、没有包转发等等。
2网络系统安全解决方案网络服务器的操作系统是一个比较重要的部分,网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源,其充当着计算机与用户间的桥梁作用。因此,我们一般可以采用以下设置来对网络系统安全进行保障:①将不必要的服务关闭。②为之制定一个严格的账户系统。③将账户权限科学分配,不能滥放权利。④对网络系统进行严谨科学的安全配置。
3入侵检测方案目前,电力企业网络防护体系中,仅仅是配置了传统的防火墙进行防护。但由于传统防火墙的功能并不强大,再加上操作系统中可能存在的安全漏洞,这两点为网络信息安全带来了很大的风险。根据对电力企业的详细网络应用分析,电力企业对外应用的服务器应当受到重点关注。并在这个区域置放入侵检测系统,这样可以与防火墙形成交叉防护,相得益彰。
4安全管理解决方案信息系统安全主要是针对日常防护工作,应当根据国家法律来建立健全日常安全措施和安全目标,并根据电力企业的实际安全要求来部署安全措施,并严格的实施贯彻下去。
论文摘要:电子商务安全问题已成为制约电子商务发展的重要问题,安全问题包括电子商务交易安全、计算机网络安全等显性的问题,还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析,研究电子商务安全策略,建立一个安全电子商务环境,将促进电子商务健康快速地发展。
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)
[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化,2006,(10)
我们必须要科学管理安全生产,要从企业全员、设备、环境全面去抓。其中,人的因素是最为重要和基本的。首先要健全企业安全保障、监督两大体系,建全安全管理机制,认真落实三级安全网职责,明确企业安全要党、政、工、青齐抓共管,明确安全与生产的关系。首先安全文化强调的是全员参与。明确各部门的职责权限,责令各部门负责人协调落实。切实增强全员的安全意识,减少安全隐患。重点关注安全基础设施的建设,所有设备设施都要按照规定安装、运行、维护,并且每年编制可行性安全技术措施,健全相关管理制度,为安全生产保驾护航。
2建立健全安全管理制度
每年要修编、完善部门各项规章制度及岗位责任制,要用制度去约束和激励,去约束员工的安全行为。修编应急预案并及时完成审批及上级监管部门评审,及时下发至各部门执行。本着以预控为核心,对安全规定的执行、安全检查问题整改、安全隐患治理形成闭环式管理,制定可操作性强的安全管理制度,将安全管理纳入规范化、常规化的轨道。
3落实和完善安全生产责任制
修编完善检修、运行规程及各项生产工作、管理办法。建立内容规范、可操作性强的检修、运行标准化作业文件,规范检修、运行基础管理工作。对检修、运行标准化作业过程实施有效控制,明确作业标准、作业程序和相关技术要求。通过检修、运行标准化作业文件的严格执行,规范检修、运行人员工作、操作行为,杜绝违章作业,减少人为误操作,有效保证设备检修、运行管理可控、在控。
4加强安全教育培训,强化安全意识
一个发电企业全员安全意识强弱是安全生产的重要保障。首先,要树立“以人为本”的安全理念。全体员工安全意识、安全素质和良好习惯的体现,反映着企业安全文化程度。要提高员工的安全意识,首先要从加强安全宣传教育,重点落实现场安全警示教育,完善安全管理体制,创新文化宣传载体,尝试运用多种形式宣传安全生产理念,切实提高员工的安全意识,督促其在日常生产活动中注意自我保护。其次,要加强现场安全警示作用,定期开展安全知识培训,安全事故案例培训,促使员工时时牢记安全,自觉做好安全预防,做到人人讲安全,人人保安全,牢固树立“我要安全”的思想,使员工真正懂得违章的危害性及严重后果,提高员工的安全意识、法律意识和技术素质。第三,要发挥三级安全监督网的作用,各尽其责,从最高领导到班组长,齐抓共管,层层把关。
5开展多种形式安全活动,积极宣传安全理念
利用多种形式和方法向员工宣传灌输安全理念,形成良好舆论环境,促使员工潜移默化地受到安全警示和教育,增强员工的安全意识和自我保护能力。例如在企业建立“安全展室”,通过人身事故、设备事故、火灾事故以及典型违章案例等栏目,让全体干部、员工吸取公司内外不安全事件的经验、教训,使大家从中受到启发,树立“以人为本、珍爱生命、杜绝违章”的安全理念,确保安全生产长治久安。在安全生产活动月中,要组织开展形式丰富的安全活动,通过安全经验交流、安全知识培训、宣传板报、演讲比赛、知识竞赛、安全标语、防火知识宣传等活动,营造良好的安全生产氛围,推动和促进安全生产形势的健康发展。
6改进工作方法,创新安全文化
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.网络构建与维护[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
1.1安全意识不足
在电力企业中,许多员工对信息网络安全的重要性没有得到正确地认识,缺乏足够的安全意识,对新出现的信息安全问题认识不足。存在计算机、信息系统用户使用过于简单或系统默认口令和部分人员将用户名、口令转借他人使用的现象。
1.2基础安全设施不健全
虽然电力企业在生产、运营、管理等多方面的信息化建设在不断增加,但是对于电力信息网络安全的重视程度不足,造成在信息网络安全策略、安全技术、安全措施等方面的基础设施相对较少,无法满足信息网络安全防护的需求。需要企业在信息化建设中加大对信息安全建设的投入。
1.3企业缺乏统一的安全管理策略
由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范,以用于企业安全措施的部署。
1.4薄弱的身份认证管理
在电力企业信息化应用时,信息系统用户的身份认证基本采用基于口令的鉴别方式,而这种身份认证方式存在缺陷,很容易被非法人员攻破。简单基于口令的认证方式已无法满足网络安全的需求。
1.5存在隐患的信息网络架构
虽然当前很多电力企业基本实现了核心、汇聚和接入式的三层网络架构,但仍有一部分企业采用二层交换的网络。除此之外,网络架构还存在着如下一些问题:首先,防火墙系统是力度比较粗的访问控制产品,它仅在基于TCP/IP协议的过滤方面表现出色,企业网络边界仅部署防火墙无法实现真正的网络安全。其次,网络架构存在单点故障,网络中个别设备出现故障导致大面积网络用户无法进行任何的信息访问,此问题需要企业进行改进。
1.6存在安全隐患的机房环境
很多电力企业的信息网络机房仅做了机房本身的防雷措施,未对设备的端口采取防雷措施。另外,信息网络机房在温、湿度环境监测、UPS供电系统、消防系统、机房门禁管理等方面存在着严重不足,需进一步的完善。当机房环境发生异常情况不能的得到及时有效的处理,造成异常情况扩大,甚至导致机房设备损坏、数据丢失,将给企业带来严重的经济损失[2]。
2电力企业信息网络安全防护的技术措施
电力企业信息网络涉及电力企业的生产和管理的很多环节,它是一个复杂的系统。对于电力信息网络安全防护,关键的技术措施主要包括防病毒技术、信息加密技术、漏洞扫描技术、防火墙技术、身份认证技术、入侵检测技术、数据备份与恢复技术、安全审计技术、机房环境监测技术。下面对这几项技术进行描述。
2.1防病毒技术
防病毒技术是有效识别恶意程序并消除其影响的一种技术手段。从防病毒商品对计算机病毒的作用来讲,防病毒技术可以分为三类:一是通过一定的技术手段防止计算机病毒对系统的传染和破坏,对病毒的规则进行分类处理并在有相似规则的程序运行时认定为病毒的病毒预防技术,它包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。二是通过一定的技术手段判定出特定计算机病毒的病毒检测技术。三是病毒出现后通过对病毒进行分析研究而研制出来的具有相应解读功能软件的病毒消除技术,该技术发展相对较被动,具有滞后性和局限性,对于变种的病毒的无法消除[3]。
2.2信息加密技术
加密技术是信息安全领域的一种基本且非常重要的技术。数据加密技术主要分为对称型加密、非对称型加密两类。对称型加密使用单个秘钥对数据进行加密或解密,特点是计算量小、加密效率高。非对称型加密算法也称公用秘钥算法,其特点是有两个秘钥(即公用秘钥和私有秘钥)且相互搭配才能完成加密和解密的全过程。它特别适用于分布式系统中的数据加密。
2.3漏洞扫描技术
漏洞扫描技术是对重点对象(包括工作站、服务器、路由器、交换机、数据库等)进行扫描,它的原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,发现其中可能被黑客利用的漏洞。漏洞扫描的结果是对系统安全性能的一个评估,指出哪些攻击是可能的,是安全防护措施的一个重要组成部分。目前,漏洞扫描技术分为基于网络的扫描和基于主机的扫描两种类型。
2.4防火墙技术
防火墙技术是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面,它是设置在不同网络(如可信任的企业内部护网络和不可信任的公共网络)或网络安全域之间的一道屏障,以防止发生不可预测的潜在的破坏入。防火墙是不同网络或网络安全域之间信息的唯一出口,可以根据企业的安全策略检测、限制或更改出入防火墙的数据流,尽可能地对外部屏蔽不同网络的信息、结构和运行状况,以此来实现网络的安全保护,防止一个需要被保护的网络遭受外界因素的干扰和侵害。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更为安全[4]。
2.5身份认证技术
身份认证技术是信息网络用户在进入网络或访问不同保护级别的信息资源时,对用户身份的真实性、合法性和唯一性进行确认的过程。身份认证是信息网络安全的第一道防线,是保证信息网络安全的重要措施之一。它的作用是防止非法人员进入网络系统,防止非法人员通过各种违法操作获取不正当的利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生,是严防“病从口入”的关口。常用的身份认证包括主体特征认证、口令认证、一次性口令认证和持证认证。
2.6入侵检测技术
入侵检测技术是使网络和系统免遭非法攻击的一种网络安全技术,它采用的是主动防护的工作模式,它能在入侵攻击发生前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能的发现各种攻击企图、攻击行为或攻击结果,记录主机和网络系统上发生的一切事件,一旦发现有攻击的迹象或其它不正常现象就采取截断、报警等方式进行处理并通知管理员,同时详细记录有关的事件日志,以备分析取证。入侵检测技术是防火墙技术的合理补充,它有效填补了防火墙无法阻止内部人员攻击的缺陷[5]。
2.7数据备份与恢复技术
对于企业来说,最珍贵的信息化资源不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息,这些数据信息包括营销、财务、档案、办公信息等,一旦数据丢失、被恶意篡改,将给企业带来严重的损失。因此建立集中和分散相结合的数据备份恢复设施以及制定切实可行的数据备份和恢复策略是必不可少的。有效的数据备份是防止信息系统软硬件损坏而造成的数据丢失有效途径,从而降低系统故障带来的损失。在条件适宜的情况下,对重要的生产、运营、管理数据进行异地备份,以提高数据的安全性。
2.8安全审计技术
安全审计技术是信息网络安全领域的重要组成部分,它是根据一定的安全策略记录和分析网络上发生的一切事件,不仅能识别网络用户还能记录网络用户的行为,同时发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括对潜在的攻击者起到震慑或警告的作用、监测和制止对安全系统的入侵、发现计算机的滥用情况,为网络入侵行为和攻击行为提供有效的追究证据,是网络事故处理的重要依据。
2.9机房环境监测技术
机房环境监测报警系统整合了多个设备的监控,使无人值守机房的物理运行环境、动力配电状况、设备运行状况、消防状况的变化包括可能出现的危机情况得到全面的监控。并且,系统可实现多种报警方式,例如,当机房环境出现异常时,系统通过电话报警或短信报警的方式通知用户,使用户及时获取机房异常状态。
3电力企业信息网络安全防护的管理措施
针对电力企业信息网络,为实现全方位、整体的网络安全保护。除了技术方面的措施,还有管理方面的措施,管理方面的措施主要包括组织机构管理、制度管理、安全培训管理三个方面。制定完备的管理措施是信息网络安全防护的关键。
3.1组织机构管理
电力企业成立以一把手为组长的信息安全保障体系。保障体系包括信息安全领导小组,信息安全工作小组,信息运维部门以及信息专责。信息安全领导小组应全面掌握企业的信息状况,指导信息安全工作。信息安全工作小组在信息安全领导小组的领导下执行有关规章制度,对员工宣传贯彻信息和保密方面的法律法规。
3.2制度管理
结合电力企业信息网络安全的需要,调整信息网络安全管理策略,建立健全完善的安全管理制度,形成完整的安全管理体系,严格按照制度执行。信息网络安全管理制度体系分为三层结构:总体方针、具体管理制度和各类操作规程。
3.3安全培训管理
信息网络安全教育是计算机信息安全的重要组成部分,是增强企业员工安全意识和安全技能的有效方法。其中针对信息网络技术人员的培训包括网络安全理论培训、安全意识培训、岗位技能培训、安全技术培训、安全产品培训。非专业人员可根据需要对其进行安全理论培训、安全意识培训。定期开展信息网络安全培训,根据不同岗位制定不同的培训计划,以增强员工的信息网络安全防范意识。只有提高员工的网络安全意识才能在管理和技术上有效的实现信息网络安全。
4结束语
1、集中性原则。集中性原则体现集权管理思想,是要保证电网公司集团总部可以全范围内迅速而有效地归集与管控全部资金,使这些资金的流动与运用达到最优配置。过于分散的资金虽能使下属单位具有很强的灵活性,但相应带来的是资金风险和成本加大,资金分散沉淀与周期性闲置不利于电网公司集团总体效益的提高。因此,为了电网公司发展战略的协同性以及公司发展目标的实现,贯彻“资本在最关键的领域优先分配”的思想,公司应采取资金集中管控原则管理,实现资金中归集、集中支付、统一融资、统一调度以及统一运作,有机协调母子公司之间的关系,提高资金规模效益,降低资金闲置率及资金利用风险。
2、稳健性原则。稳健性原则是指电网资金管理遵循安全稳健的原则,各单位应严格执行电网资金管理相关制度办法以及《资金管理标准》、《资金安全管理办法》,构建电网企业财务内部控制机制,严格电费收取各流程,规范资金支付的业务操作,严格执行审批、复核制度,全面降低企业资金安全管理风险。电网企业在进行大额资金调度、资金运作时,严格履行“三重一大”决策程序,按制度预先制定计划,经公司总部批准后方可实施。且资金运作也不是以纯粹的高收益为目的,仅是在保证安全的前提下适度的进行些稳健项目投资,争取实现流动性与效益型平衡最优。
3、标准化原则。标准化原则是前提。统一的制度体系、规范的业务流程、明确的位职以及有效适用的内部管控措施保证电网资金安全的重要前提。电网公司资金安全管理就要走标准化管理路线,包括执行统一的资金安全管理标准体系,统一的基础环境设置、资金安全管理运作机制框架以及资金安全信息化建设范本。各单位按公司统一标准制定本单位资金安全管理制度并制定适合的实施操作细则,将资金业务各项工作落到实处。
4、智能化原则。该原则指借助信息网络通讯技术,可以实现对整个集团的资源整合,实现集团集中式管理,实现集中控制。电网企业资金安全管理,也要借助信息技术,搭建智能化的资金业务管理平台,建立资金监控系统以及全面的资金业务平台,实现企业决策完善的数据体系和信息共享机制,实现银行账户、资金流量与资金存量的在线管控,实现资金安全风险预警,为资金安全管理提供先进有效地手段。
二、电网企业资金安全管理的薄弱环节
(一)缺乏统一资金安全管理制度流程。虽然公司各单位建立了部分资金管理制度和流程,但由于监督检查力度不够,执行效果难以保证。比如电费收取方面,如果监督执行不力,很容易产生电费资金少收、挪用、不及时上交贪污等风险。再如资金支付方面,由于支付项多、支付频率高,如果没有严格的资金审批流程,很可能造成资金使用的浪费,甚至舞弊。
(二)公司资金管理信息化程度不高,管理受到局限。公司资金收支点多而广,产权级次达到五级,全资及控股单位较多,银行账户数量较多。如此庞大的资金进出,单靠人为手工跟踪检査并不可行,尽管各单位对于部分资金业务实现了信息化管理如电子支付系统、费用报销平台等,但实施效果并不理想,存在自动化程度不高、数据滞后、生成的管理报表不准确等现象。部分常态性、经常性资金业务,例如,资金实时监控;资金支付计划的编制、审批、上报;资金流量情况表的编制等,公司更是急需实施系统自动化管理。信息系统滞后,公司各级位无法有效对下级单位现金流入和流出进行严格监管,又加上基层单位资金管理水平高低不等,部分单位资金管理基础较为薄弱,导致资金安全存在一定的风险。
(三)内部资金控制乏力。目前,很多电网企业受产权等因素影响,对所属子公司资金直接控制能力较弱,造成资金分散沉淀,管理和控制难度很大;其次,数目众多的电费账户管理和核算由营销部门移交到财务部门后,未达账项仍旧较大,导致集团本部出现资金监控盲区。此外,由于资金流动信息不能实时全面反映资金运营状况,使得集团本部对资金流量不能有效控制,导致资金流入与流出进度不匹配,上述三方面问题综合作用给集团公司带来巨大的财务风险。
(四)电网企业尚未建立资金安全管理考核评价机制。资金管理考核有利于把安全管理各项工作效果评价并量化,有助于全面提高公司资金管理责任意识,从而调动各级单位和资金管理人员的工作积极性和主动性,形成有效的激励、约束机制。但由于目前公司总部对下属单位资金管控力度不够,资金考核评价机制也尚未建立。公司资金集中管理仅仅是资金管理的一种手段,资金管理的首要目的是确保全网资金安全。资金安全管理必须以规范的制度流程、标准的账户管理、完善的信息系统管理等为保障。针对公司目前资金管理存在的问题,本文构建了资金安全评价体系,从而更好地确保电网企业资金安全。
三、结论
购物车(0)
