铁路中间站的管理不到位具体体现在以下几个方面:
第一,铁路中间站对铁路运输管理的现场把关不到位。对铁路运输的现场把关要求工作人员按时上下班,依照铁路公司的规章制度做好铁路工作的交接,认真填写巡查日志,根据实际情况调车指令,一切为人民的身体健康和生命安全服务。但是在铁路中间站的实际运行管理过程中却是另外一番景象。负责铁路运营管理的工作人员在签署重要文件的过程中不经查阅便任意签署,导致铁路运输故障频发;工作人员随意离开工作岗位,造成铁路运输故障不能及时被发现,得不到及时的处理,严重拖延了铁路运输的效率;调车计划代签代审,铁路中间站管理人员对铁路的实际运行情况掌握不充分,造成铁路资源的浪费与拥挤。
第二,铁路中间站对铁路运输的重点控制不到位。这表现在部分中间站对铁路运输的关键作业、关键人员和关键点没有具体的管理措施,或者虽然有管理办法,但是执行起来严重不到位,导致铁路运输的重点控制不到位。
第三,规范化管理不到位。具体表现为工作人员着装随意、精神面貌不佳。
第四,考核机制不到位。铁路部门的考核机制走后门现象严重,起不到激励职工为铁路运输服务的作用。
二、加强铁路中间站安全风险管理的措施
我国铁路运输是陆地运输的主要方式,运输的对象主要有两种,一种是客运,另外一种是货运。由于我国幅员辽阔,每年运输的旅客不计其数,做好铁路客运中间站的安全风险管理是保证我国旅客安全的重要措施。我国资源分布呈现北多南少、西多东少的特点,但是我国的经济发展却以东部和南部为翘楚,做好铁路货运中间站的安全风险管理是保证我国经济健康可持续发展的有效途径。太原铁路局朔州车务段怀仁站主要负责货物运输的管理。本文将从以下几个方面提出加强太原铁路局朔州车务段怀仁站中间站安全风险管理的措施:
1.完善中间站的基本管理制度
太原铁路局朔州车务段怀仁站处于我国煤矿生产的大省——山西省,每年运输的煤矿数量不计其数,完善中间站的基本管理制度是保证我国铁路运输安全的有效措施,是优化我国资源配置的重要举措,更是促进我国经济发展的主要方式。完善中间站基本管理制度的具体方法有:第一,制定科学合理的职工守则,杜绝一切危害铁路运输安全的行为发生。第二,制定合理的奖惩机制,对表现优异的职工给予奖励,对工作中有严重过失行为的职工给予相应的处罚。第三,建立完善的监督机制。俗话说“上行下效”,只有铁路部门的管理人员严格规范自身行为才能对基层工作人员起到良好的监督作用。
2.提高铁路中间站职工的综合素质
职工安全运输意识不强是导致铁路运输故障频发的主要原因。为保证铁路运输的安全和效率,应提高铁路中间站工作人员的综合素质。具体措施为:第一,加强职工的思想政治工作和安全风险意识教育。只有让职工充分认识到安全的重要性,才能提高工作人员在中间站管理中的责任感。第二,加强职工的操作技能培训。铁路中间站的工作内容涉及面较广、重要性较高,应有专业的技术作为保障。第三,对职工进行应急处理培训,提高职工面对问题时的应变能力和判断能力。
三、结束语
本文是对铁路中间站安全风险管理的探讨,文章针对中间站存在的普遍问题,结合太原铁路局朔州车务段的实际情况提出了解决措施,希望能为我国的资源优化配置提供有益借鉴,为我国的经济发展贡献力量。
随着互联网的触角深入到生产生活中的各个层面,软件已经不像以前那样只是支持办公和家庭娱乐这两大主题了,而是成为现代商业的灵魂。软件安全问题主要围绕着软件漏洞和易被攻击脆弱点,它们都来自于软件的设计和实现。Internet催生了电子商务,移动互联网使得APP变得如火如荼,未来物联网也许可以将生活中的一切元素都纳入到通信网络中去。因此软件安全问题将成为计算机安全的核心,而非防火墙等网络硬件,或是诸如加密等手段。软件安全是一切计算机安全性问题的根源,如果软件行为出现异常,与之相关的可靠性、可用性等方面问题就会随之暴露。软件安全问题并不是互联网出现后才有的,只不过互联网是目前最容易攻击软件的途径罢了。
2软件安全的现状
2.1人们的认知
随着黑客攻击的新闻时常见诸媒体,人们对计算机安全问题有了一定认识。但不幸很多计算机安全人员和计算机教育培训人员都忽视了软件安全的问题。一味地推崇某种软件平台是安全的,单纯大力增加对网络安全硬件和软件的投入,这些做法是盲目甚至荒谬的。一切安全性都不是静态特性,也没有任何软件是绝对安全的。软件安全问题的关键节点是软件的设计。
2.2软件安全设计的先天不足
世界上知名的软件厂商并不是不了解软件安全设计安全性的重要性,而是商业模式让软件安全方面存在着先天不足。稍纵即逝的商业机会、敏捷的软件开发过程和短暂的软件开发周期使得安全性方面的设计在很多时候都是被舍弃的。随之而来的处理方式则是常见的penetrate-and-pach方法,即不停地补丁。这种做法从长远来看,其成本与作用远不及一开始就做好安全性的设计和审计。
3软件安全设计应引入风险管理
从项目管理的角度看,风险指损失或损害的可能性。软件项目涉及到的是:项目中可能发生的潜在问题和它们如何妨碍项目成功。风险管理则是对应软件项目生命周期内的风险的科学和艺术。软件安全性的设计与软件设计的其他一些质量性能是互相抵触的,例如冗余性、高效性。而软件开发过程中的风险管理与软件开发的诸如时间、范围、成本等因素也是相互抵触的。但是绝不能因为这些可能发生的抵触行为而放弃对安全性和风险管理的考虑,反而应该将软件安全性设计纳入到风险管理的范畴中去。事实表明,93%的失控项目都忽视了风险管理。
4软件安全设计风险管理的实施
目前国际上对软件安全方面的风险管理存在着一个共同的认知,那就是采用高质量的软件工程的方法论可以在一定程度上解决这方面的问题,欧美一些国家也在试图制定或修订相关的一些“通用准则”来指导软件安全性设计的实践。但是这只是从科学技术方面做出努力,我们可以学习借鉴。而在管理技术和艺术方面需要做出的努力则应该尝试本地化做法。完整的风险管理的过程应该包括以下几个环节:风险管理计划的编制、风险识别、风险定性分析、风险定量分析、风险应对计划编制和风险监督控制。将整个流程都走完的项目和企业都不多,一般来自于所谓的学院派。而时下大多数国内外企业的做法是将这个7个流程简化为谁来识别风险、谁来对风险负责这两个环节。原因则是上文所提到的先天不足所致。从技术上讲,风险管理的效益来自于潜在风险最小化和潜在回报的最大化。而这个技术的应用则一定需要经历风险定量分析的过程。在这个过程中,可以使用的主要技术是决策树分析、蒙特卡罗分析、PERT分析等等。这些技术都是建立在一定的数学和会计基础之上。而令人遗憾的是,很多决策者本身对这些技术的认知或理解欠缺,以至于会抵触这种方法。大多数做法是采用小团队开发小软件的做法,即采用访谈和敏感性分析来帮助风险定量分析。然而我们并不是要反对这种简化做法,只是一定不能在简化的做法之上再次简化或敷衍了事。首先要做的工作是做好需求管理,在建立一组需求输入的时候,一定要将安全性作为一个重要需求考虑进去。有一个比较好的方法是,在软件设计时采用螺旋模型,需求的输入可以在螺旋模型的各个生命周期中进行,而有关安全性的需求输入则最好是在最初的一个螺旋中进行。之后要做的工作是确定最大风险。不可避免的要使用风险定性和风险定量分析的各种技术和方法。这个工作一定要有软件设计师、项目决策者和用户的参与,采用头脑风暴和专家访谈是不错的选择。而这个工作恰恰是现实生活中中小企业乃至客户最容易忽略的。企业要考虑成本问题,而客户的参与往往难以落实,认为软件的设计和开发应该由软件公司负责,客户付款只关心最后软件是否可以使用。而一旦由于软件安全性问题造成了一定后果后将演变成各种纠缠不清的官司,这是企业和客户都不想看到的结果。
5结语
软件安全问题并非无可救药,软件安全设计的灵丹妙药是将风险管理深入到软件生命周期的各个时期中去,而且越早越好,利用科学的软件工程和项目管理的技术,构建安全的软件基础框架。软件企业和客户都应该提高对软件安全设计中的风险管理的重视。
高层房屋建筑工程处于一个由多种影响因素影响的复杂系统当中,它本身的复杂性就决定了其潜在的风险隐患,本文将造成高层建筑工程施工安全事故的根源分为以五个方面。
第一,人为因素。人在建筑工程施工中骑着主体作用,也是造成安全事故根源的最直接因素,人的操作技能与综合素质是保障施工顺利进行的关键。有不少企业为了节约成本,盲目聘请不懂专业知识的农民工进行危险性操作,并且不对他们进行较为专业的操作技能培训,导致施工中的安全事故频有发生。
第二,机械设备落后。建筑工程一般都会用到各种规格与型号的机械设备,高层建筑由于实际需要,更是会采用大量不同的施工设备与机械,但是有些企业为了贪图眼前利益,采用陈旧落后的设备,加之操作人员技术不成熟等问题的影响导致安全事故的产生。
第三,施工技术水平不高。随着社会的快速发展,人们对产品的质量要求越来越高,尤其是与人们生产、生活息息相关的高层建筑,但是从目前的高层建筑施工现状来看,依旧采用传统技术及方法的施工企业还有很多,殊不知技术进步在保证施工安全中占据着举足轻重的作用,施工工艺和工法在实际应用过程中存在着较大的不可预知性,很可能造成更多的安全事故。
第四,环境因素。高层建筑施工环境十分复杂,并且不固定,项目的主体结构施工大多都是在露天环境下进行作业的,很容易受到地质地形等自然条件和暴雨等自然灾害的影响,施工中还可能会给过路行人和车辆造成安全威胁。
第五,管理因素。高层房屋建筑工程施工现场安全管理工作需要做好对人、对物及对管理工作本身三方面的工作。如制定施工过程中应注意的安全事项,提前建立安全风险评价指标体系等,对高层建筑工程施工中的人和物进行明确的规范。
2高层房屋建筑工程施工安全风险管理
2.1建立高层房屋建筑工程施工安全风险指标体系
构建高层房屋建筑工程施工安全风险体系需要综合考虑各方面的因素,本文在遵循科学性、系统性、全面性、可操作性等原则的基础上,充分考虑影响高层房屋建筑工程施工安全的多种因素,本文将高层房屋建筑工程施工安全风险管理评价指标分为6个一级指标,22个二级指标。
2.2做好安全管理缓解工作
高层房屋建筑工程中的安全管理进行风险缓解的目的就是尽最大努力减小施工风险,从而最大限度的保障施工安全,提升企业的经济效益。实际上,安全管理缓解就是提前预测施工中可能会发生的风险,并提出相应的解决措施,提前着手进行风险控制,从而最大限度的降低风险发生的可能性。在实际的高层房屋建筑工程施工中,用于风险缓解的方法主要有两种,一是工程法,即在合理规范施工工序,以及加强技术管理等方面降低安全风险。此外,对施工人员来讲,谨记要佩戴安全帽,以免伤害事故发生之时能够最大程度减小伤害;二是程序法,就是指在施工过程中要能够有章可循,制定相应的规范与制度,从而保障工人能够在一种有序的环境中进行施工作业,一旦有意外发生,也能根据制定好的政策进行及时处理,同时还可以祈祷防微杜渐的作用。工程项目风险管理的实践表明,在影响项目安全的各种因素中,项目管理人员和操作人员的不安全行为起着重要作用,因此,要加强对他们的培训教育,不合格者不得上岗。
2.3做好安全风险转移工作
风险转移就是项目管理者通过一系列科学、合理的措施将风险结果转移到与其有相互经济利益的其他经济单位,从而减轻自己的风险压力,通常包括保险和担保两种方式。建设工程保险就是施工方对施工过程中可能出现的安全事故在保险公司进行投保,通过保险公司的理赔转移施工风险;建筑工程担保是由第三人遵循平等、公正、自由协商的原则,为建筑工程施工中可能出现的风险进行担保。在高层房屋建筑工程施工过程中,保险与担保是进行风险管理的关键措施,也是当前众多施工单位进行风险管理的一项重要措施。
1.编制了工程项目安全文明施工总体策划
主要包括:安全管理方针、目标、机构、安全文明施工及环境保护设施、个体安全防护装备及进入现场安全文明施工纪律、施工阶段安全文明施工主要控制措施等十九项内容,同时结合工程管理的实际情况进行了必要的补充,以适应海外工程管理的需要。
2.根据EPC管理的要求,项目编制了《职业健康、安全和环境运行管理制度》、《危险源、环境因素识别、评价与控制制度》、《职业健康、安全、环境责任制管理规定》、《施工现场消防安全管理规定》等二十一项安全管理制度。
编制中依据相应的管理需要,把握三个原则:遵循公司管理要求;满足现场施工需要;执行所在国政府法律进行细化,明确项目部、施工单位的管理职责,有针对性做好安全风险管理。
二、因地制宜建立安全管理机构
为确保安全风险管理工作有效的运行,项目部聘请了当地有资质的HSE咨询公司在现场服务,成立了项目安全管理组织机构,组织机构中按所在国安全法律要求,增加了所在国的项目经理、A证安全工程师、现场医生、员工代表,明确了组织成员、主要责任、职责分工,管理的依据等一系列问题。项目总经理作为安全第一责任者,负责保证安全生产资源配置,外部关系的协调,正确处理所在国的安全法律与工程安全生产的关系。按照“四项安全管理责任”,开工前,项目部组织承包商的主要负责人进行了安全管理技术交底,签订了安全协议书。同时,组织HSE安全工程师对进入现场所有人员进行了当地安全法律的培训,建立了个人安全档案,强化按法律法规、技术规程规范、规章制度组织实施责任。
三、安全风险辨识预控管理工作
有了良好的安全管理体系为有力支撑,通过辨识与施工过程中相关的危险和有害因素,并运用各种有效分析方法评估风险的等级,进而确定风险控制的等级和风险控制措施,以达到改善安全生产环境、降低损失、减少和杜绝安全生产事故的目标。针对海外工程项目所在地可能存在政治不稳定、战乱、暴动、教派和恐怖主义活动的因素,所以有必要对这些海外项目进行有效的风险识别、分析和控制,才能最大限度地防范安全事件的发生。
1.海外项目突发事件安全风险的辨识
风险管理的首先就是辨识潜在的风险,是风险管理最重要的前提条件。风险识别是否全面,是否准确,都直接影响风险评估与风险控制。项目部依据公司的海外公共安全有关规定,编制了《海外突发事件应急预案》,主要内容:海外突发事件的分类:政治类突发事件、公共安全类突发事件、自然灾害类事件、基建、生产类突发事件。级别辨识:特别重大事故、重大事故、较大事故、一般事故。突发事件预警分级:按照海外突发事件发生的紧急程度、发展势态和可能造成的危害程度分为Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级预警,分别用红色、橙色、黄色和蓝色标示,Ⅰ级为最高预警级别。内容还包括:应急预案启动条件、报告、应急体系和执行程序、组织机构及职责、处理、救援、疏散路线、总结、赔偿和演练等细则。同时,日常遇当地的警察局、驻大使馆保持密切的联系,及时了解当地和周边国家政治局势的变化,做出响应的预判,随时储备着充足的应急通讯设备和启动资金,以应对突发事件。
2.完善施工管理过程中的安全风险因素的辨识清单项目,有重点的进行事前预控。
工程开工前,根据设计图纸,从建筑、锅炉、汽机、电气、热控、起重、焊接、调试等专业的角度,结合施工管理特点,项目部编制了项目工程的整体危险源(点)因素辨识控制清单和重大环境因素辨识控制清单,从二个清单中筛选出重大作业危险源三十八项,作为施工单位重大控制项目分级旁站清单,每月底根据施工计划下发辨识清单,作为下个月施工安全风险控制重点。同时,完善上报月度“风险管控任务分解表”。
3.因二国、语言的差异,沟通将成为阻碍安全文明施工管理一个很大因素
所以在对双方员工共同作业施工的或涉及到外方员工参与的施工管理项目,对因沟通不畅导致设备损坏、人身伤害危险因素的预控做补充,并对所对应的作业项目危险等级进行监控旁站。在编制作业指导书中危险源(点)辨识清单、安全方案(措施)等时,有下列情况之一时,应在危险源(点)辨识清单中增加内容是:施工人员在作业准备及施工中因安全法律法规、语言、风俗习惯沟通交流不畅,可能造成施工作业中发生设备、人身事故。1)在同一作业施工段上作业必须由中方人员和外方人员共同进行的。2)因施工需要必须是中方与外方员工交叉作业施工完成的施工段、区域。3)施工管理中涉及到外人员参与的其它施工作业管理项目。相应的预控措施:1)在施工作业准备及施工作业中,施工实施管理方必须配备足够的满足施工准备及施工作业中需要的中双的翻译。2)在交流过程中,保证参与各方对所参与交流事项的内容的正确性、顺畅性。3)进行施工作业前必须进行的双文字(对照版)、语言的安全交底,并进行双方确认签字。以上的工作主要是安全风险管理的策划,关键是在实际工作中去监督落实,满足管理需要。同时,施工现场设立了卫生所,购置一辆救护车,聘请了二名当地有资质的医生和护士,还与当地一家医院建立合作关系,方便员工就医的同时可以完善应急反应机制,一旦突发紧急情况可以第一时间转移伤员获得救治。
(一)铁路企业科学发展需要法律规范
随着铁路企业不断发展,中国铁路翻开了新的历史篇章,截止2013年底止,中国高铁通车里程为11152km。铁路企业的不断发展满足了人们运用现代化交通工具安全、快速、便捷的出行需求,同时带来了铁路安全施工、维护、信息技术等技术难题,对铁路企业提出了新要求。要想破解这些难题的就需要法律制度的保障。然而过去的《安保条例》并未对高铁建设、技术、安全等进行规定,不能满足高铁发展和人们出行需求的结构性变化。因此,如何进一步规范铁路建设施工,如何进一步提高铁路安全系数,如何为人民群众提供更好的服务进而满足人们出行需求的多样化,这都需要遵循客观规律,运用法律规范,保障人民群众的人身财产安全,确保铁路企业健康长久发展。因此,《管理条例》的颁布具有里程碑的意义。
(二)铁路实际工作需要法律规范
历史唯物主义告诉我们,事物的发展不是一帆风顺,而是曲折前进。近年来,《安保条例》在保障铁路运输安全的过程中起到积极作用,但是,随着铁路改革不断深入,市场环境不断变化,人民群众对点到点的铁路运输的要求变为多元的运输需求,正如马克思主义基本原理指出:社会经济运行的过程表现出来的是供给与需求被满足的客观过程。因此,我们发现《安保条例》对铁路线路与营运安全保护不足,对铁路建设、设备质量规定不明等问题日渐突出,它已经不能适应当前铁路运输发展的新形势。可见,这就需要一部操作性强的法律来严格把控铁路建设发展诸多环节中容易凸显的问题,为铁路发展保驾护航,因此《管理条例》应运而生。
二、《管理条例》修改的主要内容
(一)关于责任主体相关方面的修改内容
政企分开必然带来权职责的分离,形成了权、职、责相统一。此次的《管理条例》取消了《安保条例》中设定的部分行政许可项目,如:设置或者拓宽铁路道口、人行过道审批,铁路运输管理信息系统认定,铁路危险货物承运人资质许可,铁路危险货物托运人资质许可,超限、超长、超重、集重货物承运审批等。《管理条例》在法律责任一章,明确了进行行政处罚的主体:铁路监管机构也就是国家铁路总局和7个铁路监管分局等部门;同时,作为企业,各个铁路局会以市场主体,即法人的身份出现在市场经济活动之中,独立承担相应的民事权利义务。此外,《管理条例》进一步规定了社会公众的权利义务等。
(二)关于规范质量安全相关方面的修改内容
安全是铁路的饭碗工程,机车在线路上运行离不开安全。《管理条例》共八章108条,其中涉及安全字眼169处之多,可见,安全在《管理条例》中的重要地位。首先从划分的章节来看,安全包括了铁路建设质量安全、铁路专用设备质量安全、铁路线路安全、铁路运营安全等。特别值得注意的是:首先,此次《管理条例》增加了关于铁路建设质量安全的一章,增加了召回、许可、认可制度等,为铁路建设提供了法律保障;其次从保障安全主体划分来看,明确提出与铁路安全相关的主体。一方面包含了铁路施工建设者,铁路运营维护者,另一方面包括了乘车旅客、货主、利益相关人等;再次从管理维护安全行为上划分,《管理条例》规定了国家机关、铁路企业和乘客、货主以及利益相关人应该遵循的行为尺度。可见,此次《管理条例》与之前的《安保条例》相比,突出了重者恒重的安全理念,为铁路安全提供法律上的保障。
(三)关于规定公众义务相关方面的修改内容
保障铁路安全不是铁路企业单方面的行为,而是社会公众合力作为的结果。在铁路运输的过程中,不仅需要铁路企业担当起安全的责任,而且也需要政府部门和广大旅客、货主和铁路运输参与人的通力合作。此次《管理条例》保留修改了有些《安保条例》中关于铁路运输参与人的权利和义务,增加了列车内吸烟、火车票实名购买查验制度,对干扰铁路运用指挥调度无线电频率的行为作出了禁止性规定,明确了违反《管理条例》行为的责任。同时出台了《违反<铁路安全管理条例>行政处罚实施办法》,增强了《管理条例》的约束力。
三、落实《管理条例》规范行为安全
(一)质量安全意识先导
行为决定意识,意识反作用于行为。意识是人们关于客观行为在脑海里的反应,正确的安全意识反映出安全的行为方式。《管理条例》中第五十八条明确规定:提高铁路专业技术岗位和主要行车工种岗位从业人员安全意识。纵观整部《管理条例》,我们知道,形成正确的安全意识,一方面要了解静态设备的安全管理和动态的铁路营运安全管理,规范铁路安全行为,形成正确的安全意识,另一方面,适应市场经济运行模式,运用法治思维解决纠纷矛盾,树立法律意识,规范市场行为。近年来,郑州局以“安全大检查”、“安全大家谈”等活动为载体,大力发展铁路企业安全文化建设,增强职工安全意识,使职工实现“要我安全”到“我要安全”的转变,保障了铁路运输安全,恰恰用实践证明了这一点。
(二)研判风险树牢安全
树牢安全的重点就是要研判风险,关键是要明析研判风险、树牢安全的思路。从整体来看,《管理条例》是以安全风险管理的辩证思维为基础,找出安全风险点,提出安全风险存在于安全风险管理的整个过程,明确了安全风险管理的最底线,强调了静态安全与动态安全相结合,将铁路安全风险管理以法律的形式固化,形成安全风险管理工作的辩证思维模式,确保铁力安全畅通。近年来,郑州局树立“安全大如天”的理念,结合《管理条例》的具体规定,一方面从安全风险管理风险理论出发,找出安全风险点,例如设备质量、工程建设、运营安全等风险点,杜绝安全事故的发生,另一方面,从辩证思维出发,在遵循安全风险的客观规律基础上,摆正影响安全因素之间的关系,确保铁路运行的安全因素大于风险因素,把控安全风险,保障铁路运输安全。因此,《管理条例》为研判安全风险提供了思路,为铁路通常有序的运营、树牢安全提供了强有力的法律保障。
(三)规范行为和谐出行
行为规范是社会群体或个人在参与社会活动中按照一定规则、准则而表现出来的外部活动。规范行为是和谐出行的基础,和谐出行是规范行为的目标。近几年,铁路部门一面为了解决群众买票难的问题,优化售票方式,实行网上售票,铁路部门为了遏制不法份子倒卖车票,相继出台了实名制购票、实名制退票等一系列措施,同时,郑州局实行送票上门、开通“双微”平台等服务措施,受到社会各界的高度赞许;另一方面,铁路企业将《管理条例》与具体工作相结合,精心组织旅客乘降、规范铁路运输企业服务人员的行为,为旅客出行打造了更加温馨、和谐的出行环境。和谐出行不仅仅是铁路企业或政府单方面事情,也需要铁路运输的参与者的配合,共同遵守铁路运输安全的规定,主动规范自己的行为,才能营造出一个和谐出行的环境。
开放、互联的信息技术与信息安全就像一把双刃剑。一方面,企业需要借助信息技术或信息系统集中信息并开放共享;另一方面,企业的核心信息资产又在不断外泄,引发无数信息安全问题。一谈到信息安全,首先想到的是网络安全,比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲,随着信息化建设的不断深入,企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下,根据市场竞争的需要,企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等,企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性,即完整性、保密性和可用性。(1)信息完整性风险管理。一方面,要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等;另一方面,也常为人忽视的是加工过程本身的科学性,需要防范因不恰当的加工方式而导致的数据失效或结果错误。(2)信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统,访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。(3)信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产,保障信息系统稳定性和可用性。以上三个特性,同时也是信息安全风险管理的主要内容,管理过程包括风险识别、风险评估和风险控制三个步骤。
2企业信息安全风险识别
由于涉及企业的核心信息资产,所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因,目前国内企业对信息安全风险管理的认识仍不到位。总体来说,有以下主要问题,也是常见的信息安全风险管理的风险点。(1)信息安全组织和制度保障不足。没有有效的信息安全管理组织机构,就无法有效地制定、执行安全管理策略,更无法进行有效的信息安全协作。信息安全管理制度通常都有,但很少有单位能够严格执行,信息安全的政策制定也常常不符合标准,导致可操作性比较差或者达不到控制的目的。(2)信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度,但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识,安全事件报告不及时;对各自岗位相关的信息资产职责了解不清,对信息系统的错误操作导致信息泄密的事件屡有发生;部门单位还存在因人员流动导致的信息资产不连续等问题。(3)传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题,一旦受到网络入侵、病毒攻击,或者发生硬件及性能问题,会导致信息资产大量泄漏或损坏。(4)访问控制及用户权限管理存在漏洞。在信息系统的实施阶段,为了便于用户测试或其他目的,部分用户权往往限过大。随着系统正式上线及应用,相应权限又由于种种原因没有调整,对信息安全也留下了比较大的隐患。(5)软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立,大量企业选择自行开发软件系统,由于软件开发技术而导致软件本身存在一定漏洞,相应的开发质量存在隐患,连带的如运维、业务持续性风险均应相应考虑。
3企业信息安全风险评估和控制
考虑到每个企业均有自身特点,面临的信息安全风险点也不同。按照通常的信息安全风险管理理论,在完成上节所述的风险识别之后,需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程,主要是要借用适当的风险评估工具和模型,包括定量的或者定性的方法,对信息安全风险点造成的影响进行评估,以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化,从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上,其有效性体现在当企业面临信息安全风险时对风险控制的有效程度,换句话说,在信息安全风险评估的基础上,考验控制力度的有效性就是损失的程度,损失的越少越有效。反之,则控制无效。另一方面,信息安全风险控制也是需要成本的,控制力度大小与成本通常成正比关系,而且在达到一定程度之后,控制力度增长比例较小可能带来成本大幅增加。因此,信息安全风险控制的总体目标,是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。
4结语
信息安全已经上升为国家战略。对于国内企业来说,信息安全也日益重要,尤其对于高科技企业及涉及国计民生的大型国有企业,信息往往是企业的核心资产。拿笔者所在企业来说,大量的研发成果日益依赖信息技术,大量的内部经营决策通过信息系统流转。任何一个数据或者信息的泄漏,一旦被竞争者窃取,将给公司带来不可估量的损失。有效做到信息安全可知、可控、可承受,关系到企业的生死存亡,需要引起所有企业管理者和员工的充分重视,并采用一切可能手段加以保护。