浅谈三级气象信息系统测评及安全防护策略.doc[五篇范文]

第一篇：浅谈三级气象信息系统测评及安全防护策略.doc

龙源期刊网 http://.cn

浅谈三级气象信息系统测评及安全防护策略 作者：刘梁 姚文等

来源：《信息安全与技术》2013年第04期

【 摘 要 】 气象信息系统安全是一项技术及管理程度复杂的系统工程，研究气象信息系统的安全，制定气象信息系统安全策略极为重要。本文首先对辽宁省气象局三级气象信息系统测评工作进行总结，并针对辽宁气象三级信息系统测评中发现的问题，提出了通过防火墙及入侵检测技术、防病毒技术、数据备份与灾难恢复技术、桌面终端管理技术、防止非法接入技术、防攻击技术、物理隔离技术等信安全应用技术，构建气象信息系统安全体系结构。

【 关键词 】 系统；安全；策略引言

近年来随着气象信息技术的发展和气象服务领域的不断扩大，气象部门新建或已建的气象信息系统所承载的业务、服务范围、安全需求经常发生变化，各种信息系统的安全问题也逐渐暴露出来，很多单位和部门针对信息安全也作了大量的工作。本文在结合辽宁省气象信息系统等级保护工作现状的基础上，通过对三级气象信息系统进行测评，对其中发现的系统安全的共性问题做一些探讨，提出了安全防护策略，对开展气象信息系统等级保护工作和提高气象信息系统安全性方面具有重要的意义。气象信息系统测评

信息等级保护测评即确定信息系统的安全保护等级，发现信息系统存在的漏洞与风险，提出针对性的整改措施；根据各信息系统安全保护等级的不同，确定其不同的能力目标以及所能应对的不同级别的安全威胁。

辽宁省气象局三级气象信息系统等级保护测评工作主要针对辽宁省气象部门内部的重要信息系统，包括辽宁省气象信息综合分析处理系统（Micaps系统）、全国气象宽带网辽宁分系统、国内气象通信系统辽宁分系统。测评工作主要分测评准备、测评方案方案编制、现场测试和测评分析与报告编制四个阶段进行，内容涵盖终端设备情况调查、网络局域环境调查、业务应用服务情况调查、数据备份情况调查及相关安全人员访谈等多项内容，测评于7个工作日内完成。

2.1 测评准备

测评工作具体由辽宁省信息安全测评中心（具备等级测评资质）组织实施，在测评前，首先进行测评准备，确认了辽宁省三级气象信息系统的功能组件，技术功能组件为232个，管理功能组件为154个，提交了具体的测评方案，签订了测评合同。

2.2 现场测试

现场测试主要是对网络设备、主机设备、应用软件的安全功能/策略的验证性测试。在测试的广度上，覆盖到不同类型，在数量、范围上进行抽样；在测试的深度上，进行了系统功能测试，主要涉及到功能规范、高级设计和操作规程等内容。

2.3 单元测评

单元测评是把测评指标和测评方式等结合到气象信息系统的功能组件上，构成了一个个可以具体测评实施的工作单元。从技术上的物理安全、网络安全、主机安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别逐一进行测评。

2.4 系统整体测评

系统整体测评主要是在单元测评的基础上，通过测评分析系统在安全控制间、层面间和安全区域间三个方面存在的关联作用，验证和分析不符合项是否影响系统的安全保护能力，同时分析系统与其他系统边界安全性是否影响系统的安全保护能力，综合测试分析系统的整体安全性是否合理。具体内容包括：安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构安全测评。

在上述工作结束后，最终出具三级气象信息系统等级保护测评报告。气象信息安全现状及存在的问题

在对上述气象信息系统测评过程中发现三类共性的安全问题。

3.1 信息安全问题

首先，是未在核心区与楼层接入区、下联边界区采取访问控制措施；其次，是系统内未部署了入侵检测系统，对服务器的网络访问进行监控；最后，是缺少必要的安全策略和操作规程，未形成完备的安全管理体系。

3.2 气象信息安全需要多方参与

辽宁省气象信息安全工作由省气象信息中心承担。在这种情况下，信息安全问题很可能没有得到充分研究和支持。负责信息安全工作的管理及技术人员应在深入理解气象信息系统的业务流程和目标的基础下，积极参与分析系统所面临的风险，及时了解可能给系统造成潜在影响的最新威胁和漏洞，提供权威的信息风险评估。省气象信息中心通过对风险评估的正确理解，制定安全策略、标准和准则，进而保障信息系统的完整性、机密性和可用性。

3.3 气象信息网络内外网分离

为了有效地降低气象信息系统遭受攻击的风险，信息网络应将信息内网和信息外网物理隔离。

黑客可以通过Internet公共信息网采用木马、蠕虫和病毒等攻击手段，破坏办公系统、窃取机密气象资料、篡改气象网站信息等等。所有这些攻击行为都会对气象信息系统造成损害。为了保障气象信息系统的安全，应分别建立两套独立的信息网络。信息内网承载气象核心业务系统、财务系统、办公系统、内部视频会议系统以及与上级机构的专线互联系统。信息外网承载门户网站系统、移动办公系统以及对Internet公共信息网的访问等等。信息内外网分离的方式有效地降低了来自Internet公共信息网对气象信息系统的攻击风险。气象信息安全分区分域和纵深防护策略

根据信息网络的构成，信息网络可以分为系统边界、桌面终端域和应用系统域。根据国家等级保护工作的规范，应用系统域可以定级为二级系统域或三级系统域。我们可以在分区分域的基础上，采用纵深的安全防护策略。

4.1 信息系统边界

信息系统边界是气象信息系统和外界数据交互的边界区域，是保障数据安全的第一道屏障。为了保障信息系统边界的数据安全，需要部署安全设备和措施：

一要设置高效、安全的防火墙设备，通过访问策略和阻断策略对通过边界的双向流量进行网络侧过滤，阻止不明身份黑客对信息系统的访问；

二要部署先进的IPS主动防攻击设备，通过配置网络常见攻击匹配包对双向流量进行应用层的检测，可以有效地降低病毒、蠕虫和木马等攻击风险；

三要配备主流的流量控制设备，通过检查异常流量，保护边界出口带宽的正常使用；四要部署边界设备审计系统和日志分析系统，定期采集网络设备和安全设备的操作日志和运行日志，出具日志报告。通过对日志报告的分析，信息安全管理人员可以对信息系统遭受的攻击、网络边界的规则效用以及设备运行状况进行评估，从而制定下一步相应的安全规划。

4.2 桌面终端域

桌面终端域由气象职工桌面工作终端构成，是涉密信息安全事件的温床。桌面终端域安全防护是安全防御的第二道屏障，主要包括三方面。

一是桌面终端操作系统安全。单位内部大部分PC机所使用的操作系统是微软公司的Windows XP或者Windows Vista，针对黑客攻击行为，微软公司会定期发布系统安全补丁包。信息内外网应各部署一套微软WSUS补丁服务器，定期统一下载操作系统安全补丁。

二是系统防病毒策略。计算机病毒是电脑系统瘫痪的元凶，防病毒策略由部署在信息内外网的防病毒服务器来实现。在信息内外网各部署一套防病毒服务器，信息内外网PC机设备安装防病毒客户端，定期自动从防病毒服务器更新防病毒库。

三是移动存储介质安全。缺乏有效保护的移动介质是传播病毒的有效载体，是泄密的罪魁祸首。在单位可以部署安全移动存储系统，对U盘进行加密处理。所有员工均使用安全U盘，规避移动介质风险。

4.3 应用系统域

应用系统域由运行应用系统的服务器和存储应用数据的数据库组成。应用系统域安全防护是安全防御的第三道屏障。应用系统域和系统边界以及桌面终端之间需要部署防火墙设备，不同安全防护等级的应用系统域之间也需要部署防火墙设备。应用系统维护人员需要认真统计系统的应用情况，提供详实的端口应用情况，制定实用的访问和阻断策略。结束语

信息网络已成为气象部门开展气象预报、业务应用运行和内部办公的承载平台，气象信息安全也成为安全生产管理中不可或缺的一环。各种信息安全防护技术在气象部门得到了比较广泛的应用，也取得了很好的效果，为保障气象业务安全、可靠、稳定运行，提供了有力的技术支撑。

但同时也应该看到将各种安全设备简单地堆砌起来并不能达到预期的目标，必需根据气象信息系统的特点、结合本单位的实际情况，做好中长期规划。要以适度安全为原则，有针对性、分阶段地部署适合本单位的安全防护技术，并强化管理措施，才能在成本投入和安全目标之间取得最佳平衡点，才能建设好具有气象特色的信息安全防护系统。

参考文献

[1] 信息安全技术信息系统安全等级保护基本要求GB-T 22239-2008，中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会，2008-11-01.[2] 周国勇，陈磊.信息系统安全检查工作体系设计研究[J].信息网络安全，2012（8）：167-169.[3] 韩阜业，陈震，梁勇等.基于覆盖网的协同式网络安全防护与分析系统[J].信息网络安全，2012（4）：7-13.作者简介：

刘梁（1983-），男，毕业于山东财政学院，大学本科，科员，主要研究方向：信息技术与信息安全。

姚文（1982-），男，毕业于武汉科技大学，大学本科，副科长；主要研究方向：雷达保障与网络安全。

第二篇：计算机安全防护策略

一、杀（防）毒软件不可少

病毒的发作给全球计算机系统造成巨大损失，令人们谈“毒”色变。上网的人中，很少有谁没被病毒侵害过。对于一般用户而言，首先要做的就是为电脑安装一套正版的杀毒软件。

现在不少人对防病毒有个误区，就是对待电脑病毒的关键是“杀”，其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色，即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序，应该定期升级所安装的杀毒软件（如果安装的是网络版，在安装时可先将其设定为自动升级），给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷，现在各杀毒软件厂商的病毒库更新十分频繁，应当设置每天定时更新杀毒实时监控程序的病毒库，以保证其能够抵御最新出现的病毒的攻击。

每周要对电脑进行一次全面的杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时，应该立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作，清除一切可以查杀的病毒。如果病毒无法清除，或者杀毒软件不能做到对病毒体进行清晰的辨认，那么应该将病毒提交给杀毒软件公司，杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时，我们的第一反应应该是拔掉网络连接端口，或按下杀毒软件上的断开网络连接钮。

二、个人防火墙不可替代

如果有条件，安装个人防火墙（Fire Wall）以抵御黑客的袭击。所谓“防火墙”，是指一种将内部网和公众访问网（Internet）分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救（Patch）产品，此时应尽快确认真伪（防止特洛伊木马等病毒），并对防火墙进行更新。在理想情况下，一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看，这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件，防病毒软件中都含有个人防火墙，所以可用同一张光盘运行个人防火墙安装，重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。

三、分类设置密码并使密码设置尽可能复杂

在不同的场合使用不同的密码。网上需要设置密码的地方很多，如网上银行、上网账

户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄。对于重要的密码（如网上银行的密码）一定要单独设置，并且不要与其他密码相同。

设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符与数字混合的密码。

不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件（Outlook Express、Foxmail、The bat等）来收发重要的电子邮箱，如ISP信箱中的电子邮件，在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的，但是这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码。

定期地修改自己的上网密码，至少一个月更改一次，这样可以确保即使原密码泄露，也能将损失减小到最少。

四、不下载来路不明的软件及程序，不打开来历不明的邮件及附件

不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件（尤其是可执行文件），在给你带来方便和快乐的同时，也会悄悄地把一些你不欢迎的东西带到你的机器中，比如病毒。因此应选择信誉较好的下载网站下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软件查杀病毒。有条件的话，可以安装一个实时监控病毒的软件，随时监控网上传递的信息。

不要打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的，这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果您抵挡不住它的诱惑，而下载或运行了它的附件，就会受到感染，所以对于来历不明的邮件应当将其拒之门外。

五、警惕“网络钓鱼”

目前，网上一些黑客利用“网络钓鱼”手法进行诈骗，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕，防止上当受骗。

目前“网络钓鱼”的主要手法有以下几种方式：

（1）发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

（2）建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

（3）利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。

（4）利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。

（5）利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。

实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。反网络钓鱼组织APWG（Anti-Phishing Working Group）最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动，如Netcraft Toolbar，该软件是IE上的Toolbar，当用户开启IE里的网址时，就会检查是否属于被拦截的危险或嫌疑网站，若属此范围就会停止连接到该网站并显示提示。

六、防范间谍软件

最近公布的一份家用电脑调查结果显示，大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件（Spyware）是一种能够在用户不知情的情况下偷偷进行安装（安装后很难找到其踪影），并悄悄把截获的信息发送给第三者的软件。它的历史不长，可到目前为止，间谍软件数量已有几万种。间谍软件的一个共同特点是，能够附着在共享文件、可执行图像以及各种免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯，有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起，用户很难发现它们是什么时候被安装的。一旦间谍软件进入计算机系统，要想彻底清除它们就会十分困难，而且间谍软件往往成为不法分子手中的危险工具。

从一般用户能做到的方法来讲，要避免间谍软件的侵入，可以从下面三个途径入手：

（1）把浏览器调到较高的安全等级——Internet Explorer预设为提供基本的安全防护，但您可以自行调整其等级设定。将Internet Explorer的安全等级调到“高”或“中”可有助于防止下载。

（2）在计算机上安装防止间谍软件的应用程序，时常监察及清除电脑的间谍软件，以阻止软件对外进行未经许可的通讯。

（3）对将要在计算机上安装的共享软件进行甄别选择，尤其是那些你并不熟悉的，可以登录其官方网站了解详情；在安装共享软件时，不要总是心不在焉地一路单击“OK”按钮，而应仔细阅读各个步骤出现的协议条款，特别留意那些有关间谍软件行为的语句。

七、只在必要时共享文件夹

不要以为你在内部网上共享的文件是安全的，其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前，公众可以自由地访问您的那些文件，并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码，一旦不需要共享时立即关闭。

一般情况下不要设置文件夹共享，以免成为居心叵测的人进入你的计算机的跳板。

如果确实需要共享文件夹，一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全”选项，因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的，其他机器不能写入;Windows2000的共享默认是“可写”的，其他机器可以删除和写入文件，对用户安全构成威胁。

不要将整个硬盘设定为共享。例如，某一个访问者将系统文件删除，会导致计算机系统全面崩溃，无法启动。

八、不要随意浏览黑客网站、色情网站

这点勿庸多说，不仅是道德层面，而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站，如果你上了这些网站，而你的个人电脑恰巧又没有缜密的防范措施，哈哈，那么你十有八九会中招，接下来的事情可想而知。

九、定期备份重要数据

数据备份的重要性毋庸讳言，无论你的防范措施做得多么严密，也无法完全防止“道高一尺，魔高一丈”的情况出现。如果遭到致命的攻击，操作系统和应用软件可以重装，而重要的数据就只能靠你日常的备份了。所以，无论你采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患！

第三篇：浅谈电力信息系统的安全防护

浅谈电力信息系统的安全防护

摘要:随着电网的不断互联和电力市场的逐步实施,电力系统的运行环境更加复杂,对电网的安全稳定运行要求也越来越高.本文研究了电力系统中网络应用的安全策略、安全技术体系,提出电力系统在线网络系统的信息安全保障技术方案.关键词:电力信息系统,信息安全,技术

一、电力企业数据信息网络布局

1.1 电力系统信息网络基本构架 由于电力企业生产的特殊性,电力通信的建设是伴随着电力企业建设同步进行的.由于现代大电网运行管理的信息交换量越来越大,各种应用和服务对信息质量提出了越来越高的要求,其中包括实时性、可靠性、安全性、数据完整性、通信容量和标准化等方面.为了解决这些问题,国电公司又建立了信息网络,作为电力系统的专用广域网.国家电力信息网(SPInet)即中国电力系统数据网络(CED net)采用分组交换技术和数字网络复接技术,形成了独立的数据通信网络,实现了电网调度自动化系统全国联网.它可以分为4级结构:国电公司到各区电力公司(西北、华北、华东、华中)是一级网络,从大区电力公司到省电力公司是二级网络,省电力公司到地区供电局是三级网络,地区供电局以下就属于四级网络.1.2省网级电力信息网络处于我国国家电力信息网(SPI net)的第二和第三级,起着承上启下的作用.它既要完成区域电网和国家电网之间的信息沟通,同时也要承担区域电网内部之间各种生产信息和管理信息的管理和传输,保障电网的安全有效的运行.目前通道采用微波和光纤混合使用,速率从64K bps到2M bps,有的省份则达到155M bps高速传输.未来将大力发展光纤通信,从微波为主逐步过渡到以光纤为主,建成全国电力通信光纤传输一级网络:80%的网公司建成电力通信光纤传输二级网络,50%的省公司建成电力通信光纤传输三级网络.1.3地市级电力信息网是指包括县、区在内的所有供电单位的计算机局域网及连接这些局域网的计算机广域网.建设地市级电力信息网,可以有效的提高电力企业效率,实现办公自动化、决策智能化,在保障地方安全可靠供电的同时为省电网公司、国家电网公司提供可靠的基础信息,保障整个电网快速、健康、稳定的发展.中国电力信息网作为电力行业内的Intranet,其广域网体系结构主要采用TPC/IP,为了与中国电力信息网顺利连接,同时为了将来与Internet,地市级电力信息网须将TPC/IP作为主要协议体系.根据地市电力企业网络建设的具体情况,应采用主干网和局域子网两个层次,地调和地市电力企业机关直接接人主干网中,而下属分支单位和县级电力企业可自组局域网并作为局域子网接人到主干网中.二、电力系统信息安全关键技术的分析电力信息安全是电网安全运行和可靠供电的保障,但是现实是电力系统信息没有建立安全体系,有的只是购买了防病毒软件和防火墙.网络中有许多的安全隐患.2.1 现状及局限性 ①缺乏统一的信息安全管理规范:电力系统急需一套统一、完善的能够用于指导整个电力系统信息网络系统安全运行的管理规范;②电力职工的网络安全意识有待提高:随着信息技术高速发展,信息安全策略和技术取得了非常大的进步,但是我们目前的认识与实际差距较大,对新出现的信息安全问题认识不足;③需要建立一套适合电力企业其自身特点的信息安全体系:电力信息网络应用可分为4类:管理信息类、生产控制类、话音视频类、经营类.生产控制类应用与其他应用的物理隔离,以确保实时的生产控制类应用的安全.同时外网与内网间也应该物理隔离.2.2 密码保护措施 当网络交易的动作开始后,接下来要担心的就是如何防止网络交易的资料被篡改、窃取、迟滞、冒名传送、否认己传送或是非法侵人等威胁,所以网际网络上的信息安全是非常重要的.在金融界、企业界大家在信息安全技术内广泛运用了DES以及RSA等加密技术作为信息安全的保障.2.3 电力系统信息安全关键技术的分析 电力信息安全是电网安全运行和可靠供电的保障,是一项涉及电网调度自动化、厂站自动化、配电网自动化、电力负荷控制、继电保护及安全装置、电力营销、电力市场等有关生产、经营和管理方面的多领域、复杂的大型系统工程,但是现实是电力系统信息没有建立安全体系,有的只是购买了防病毒软件和防火墙.有的网络连防火墙也没有,没有对网络安全做统一长远的规划.三、电力系统信息安全关键技术的应用展望对电力企业信息网络这样一个年轻的又特殊的网络来说,在网络安全问题上有其特殊性,同时它所面临的安全威胁是比较严重的.我们可以采取有效的应对手段,包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御,只要应对得当,足以有效保护电力系统信息网络安全,保障电力生产经营活动的安全.未来将采用更加先进的网络安全体系架构、密码算法、防火墙、IDS和病毒防治软件等来保卫电力系统的信息安全,但是堡垒往往是从内部攻破的.因此需要一套良好的安全制度和安全思想,才是确保系统安全的根本.参考文献:

[1]殷小贡,刘涤尘.电力系统通信工程[M].武汉:武汉大学出版社,2004.[2]楚狂.网络安全与防火墙技术[M].北京:人民邮电出版社,2004.

第四篇：有关粉尘三级防护原则及措施

有关粉尘三级防护原则及措施

粉尘是指能悬浮于空气中的固体微粒。在工业生产中产生的粉尘叫做工业粉尘。对工业粉尘如果不加以控制，它将破坏作业环境，危害工人身体健康和损坏机器设备，还会污染大气环境。

在我国，能够产生粉尘的行业与工种很多，如金属矿与非金属矿的采掘和采石业，基础建设方面的筑路、开掘隧道和地质勘探作业，玻璃制造业，耐火及建筑材料加工业。铸造业的破碎、磨粉、包装、运输等环节。

粉尘对人体的危害程度取决于人体吸入的粉尘量、粉尘侵入途径、粉尘沉着部位和粉尘的物理、化学性质等因素。在众多粉尘中，以石棉尘和含游离二氧化硅的粉尘对人体危害最为严重。石棉尘不仅引起石棉肺，且具有致癌性；含游离二氧化硅的粉尘可引起矽肺病，含游离二氧化硅70%以上的粉尘对人体危害更大。粉尘的粒径不同，对人体的危害也不同，2微米至10微米的粉尘对人体的危害最大。此外，荷电粉尘、溶解度小的粉尘、硬度大的粉尘、不规则形状的粉尘，对人体危害较大。

粉尘侵入人体的途径主要有呼吸系统、眼睛、皮肤等，其中以呼吸系统为主要途径。粉尘对人体各系统的危害表现如下：粉尘侵入呼吸系统后，会引发尘肺、肺粉尘沉着症、有机粉尘所致的肺部病变、呼吸系统肿瘤和局部剌激作用等病症；如果粉尘侵入眼睛，便可引起结膜炎、角膜混浊、眼睑水肿和急性角膜炎等症状；粉尘侵入皮肤后，可堵塞皮脂腺、汗腺，造成皮肤干燥，易受感染，引起毛囊炎、粉刺、皮炎等。

根据粉尘的种类、浓度、接尘时间，国家标准《生产性粉尘作业危害程度分级》(GB5817-86)规定，接触生产性粉尘作业危害程度共分为五级：0 级(符合卫生条件)，I 级(轻度危害)，Ⅱ 级(中度危害)，Ⅲ级(高度危害)，Ⅳ级(极度危害)。按照国家有关规定，企业事业单位应将Ⅲ级、Ⅳ级粉尘危害列为粉尘治理重点，各级卫生部门应将Ⅲ级、Ⅳ级粉尘危害列为职业卫生监察工作的重点。经分级检测，粉尘危害达到Ⅳ级的企业，必须在一年内消除，否则卫生部门有权责令其停产；新建、扩建、改建和技术改造的工程项目，在试生产时，必须进行粉尘危害程度分级，凡有Ⅲ级、Ⅳ级粉尘危害的，不允许正式投产；有Ⅱ级危害的，不应升入国家二级以上企业。

目前，粉尘对人造成的危害，特别是尘肺病尚无特异性治疗，因此预防粉尘危害，加强对粉尘作业的劳动防护管理十分重要。粉尘作业的劳动防护管理应采取三级防护原则：

一级预防 主要措施包括：综合防尘，即改革生产工艺、生产设备，尽量将手工操作变为机械化、自动化和密闭化、遥控化操作；尽可能采用不含或含游离二氧化硅低的材料代替含游离二氧化硅高的材料；在工艺要求许可的条件下，尽可能采用湿法作业；使用个人防尘用品，做好个人防护。

定期检测 即对作业环境的粉尘浓度实施定期检测，使作业环境的粉尘浓度达到国家标准规定的允许范围之内。

健康体检 即根据国家有关规定，对工人进行就业前的健康体检，对患有职业禁忌症、未成年人、女职工，不得安排其从事禁忌范围的工作。

宣传教育 普及防尘的基本知识。

加强维护 对除尘系统必须加强维护和管理，使除尘系统处于完好、有效状态。

二级预防 其措施包括建立专人负责的防尘机构，制定防尘规划和各项规章制度；对新从事粉尘作业的职工，必须进行健康检查；对在职的从事粉尘作业的职工，必须定期进行健康检查，发现不宜从事接尘工作的职工，要及时调离。

三级预防 主要措施为：对已确诊为尘肺病的职工，应及时调离原工作岗位，安排合理的治疗或疗养，患者的社会保险待遇应按国家有关规定办理

第五篇：信息系统舞弊行为分析及审计策略

当今，随着信息化技术的高速发展，不仅被审计单位会计实现了电算化管理，而且计划、采购、销售、保管、绩效管理等业务环节也都实现了信息化管理方式。信息系统改变了内部控制，即内控重点、方式和范围有所变化；信息系统使传统的审计内容发生了改变，增加系统控制是否合规、系统数据是否真实完整、系统开发是否存在缺陷、应用程序是否存在问题等

。正是如此，信息系统使审计线索发生根本性变化。

在这种情况下，国家审计则不可避免地受到信息技术迅猛发展所带来的冲击与挑战。如针对社会普遍反映“看病难、看病贵”，医疗费用大幅度攀升，卫生资源利用率低下、医疗服务显失公平等问题。传统的审计方法已无力应对，为了规避审计风险，确保审计质量，审计要及时“跟进”，只有对整个系统进行全面了解，才能把握审计对象的总体情况，才能实现审计成果最大化，确保“民生”和谐而实惠。因此，探索信息系统审计已成为当前重要的课题。

信息系统舞弊行为分析

信息系统舞弊是指信息系统或行为人利用信息系统为达到获取不当利益，或者其他不当愿望的目的，以不合规方法并采取各种隐蔽的非合法手段，去掩盖事实的行为。

信息系统舞弊的主体。信息系统舞弊主体是指舞弊行为的载体，一般分为系统和人。体现在可能是系统设计客观或主观存在漏洞，也可能是人的主观或者客观行为因素导致；有时信息系统舞弊并非单一主体行为构成，或者系统因素加人的客观行为所致，或者是系统因素加人的主观行为因素所致，或者是系统因素加人的主、客观行为因素所致。

信息系统舞弊的动机。分为有动机舞弊和无动机舞弊。有动机舞弊是指系统设计时按照业主需要在设计流程上存在主观缺陷或漏洞，或者行为人利用系统进行舞弊，人为舞弊往往是舞弊人的精心设计；无动机舞弊一般发生在系统自身不完善所致。

信息系统舞弊的类型。已突破传统单一的舞弊类型，可分为业务管理舞弊行为、财务管理舞弊行为、信息系统管理舞弊行为；也可能是三种舞弊行为的交叉。

信息系统舞弊的内容。它是舞弊类型的具体细化。1.业务方面的舞弊内容。如医疗信息系统舞弊内容常见有药品及诊疗收费项目、收费标准、收费数量三个方面。具体为系统是否存在药品超规定加价、药品多计数量，诊疗项目超收费用、多计次数，诊疗项目超规定加收、捆绑收费、肢解收费项目、重复收费、自立项目收费、应取消未取消收费、应降未降标准收费、无依据收费，医药回扣、任意减免收费等；

2.内部控制标准及管理方面舞弊行为。如系统是否存在内控漏洞和缺陷，指标是否健全，有无非法和错误处理及薄弱环节等；系统安全、可靠、合法性方面，如有无设计缺陷、程序错误，用户操作造成经济损失，灾难性恢复，有无业务数据外泄、破坏、非法修改、非法入侵及抗灾能力；

3.资产管理及财务核算方面舞弊行为。如有无帐外资产、材料报损账实不符、收入不实以等；

4.绩效管理方面舞弊行为。如资源是否存在浪费、管理运营费用如何等内容。

信息系统舞弊的原因。宏观体制层面上，存在粗框、滞后、政策约束性不强等；法规层面上，存在宽泛、不具体，配套措施不及时等；地方制度层面上，存在缺少细化措施，考核机制不完善，道德教育机制有待加强等；另外，主客体之间存在信息不对称性现象。

信息系统舞弊的审计策略

审前精心准备。首先，审计机关要树立好信息系统审计观念，适时做好信息系统审计的学习、培训等工作；其次，需要被审计单位做好的配合工作。如准备提供系统开发说明书、操作指南、数据字典、信息管理规章制度、保密措施等文档资料，作为审计依据的部分构成要件；三是做好审前调查。审计人员要重点了解系统管理模块结构与流程，了解被审计单位业务、系统、环境等，识别并评估风险，检查是否存在足够的控制来补偿这些风险，以此确定审计目标、重点内容、审计范围等。要搜集所有与信息系统相关的纸质及电子资料，下载业务与财务数据。制定的审计实施方案尽可能翔实、便于操作；要选配精简、高效的审计组成员，能够合理搭配做好组织保障。根据审前调查结果，审计人员还要绘制系统业务流程图，初步对系统在业务与财务管理的双套电子数据进行双向交互分析。

构建审计模型。审计人员通过分析业务流程及数据特征，进一步了解审计数据管理存在舞弊的状况。首先对独立的审计方法进行分析研究，使每个审计方法要素对应信息系统舞弊审计相关问题；其次，审计人员设计计算公式或编写sql语句，配合相关法律政策，创建审计数据中间表；再之，对信息系统的特征和行为进行分类描述，把系统静态特征及动态行为表示为一个对象并对应为相关类别的一个审计模型，组成审计模型群（库）。如我们在医院业务流程图基础上，绘制审计模型图（见下图），完成审计模型的构建。把审计模型分配给审计组成员，以便实施审计时实现审计

模型共享，可以提高审计效率和质量，有效降低审计风险。

审计实施方法。在信息系统审计实施阶段，审计人员所开展的工作大概分为三个层次，即描述、测试和实证分析（即数据审计）。通过详细分析，能够发现传统审计方式下无法查到的重大问题。

1．信息系统舞弊审计采取的方法既包括一般方法，也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述，它包括：面谈法、文档审阅法、文字描述法、表格描述法、图形描述法等。应用计算机方法一般用于对信息系统的控制测试和实证分析，它包括：数据测试法、程序审计、审计模块、代码比较、受控处理法等。

充分利用技术分析方法。借助内控测试和数据审计对选定的信息系统进行分析，将被审计单位业务数据与财务数据进行关联，排查信息系统存在的漏洞或缺陷，作出风险评价。利用技术分析方法能迅速找出信息系统存在的瑕疵，尤其是借助信息系统人为进行舞弊的线索。

2．信息系统舞弊审计关注的重点环节。（1）数据。必须使用一种能够向前、向后追踪查询单笔业务记录的方法，以便使审计人员选择重点对其进行详细检查，确认业务记录是否符合一般审计目标。如对医院会计事项信息的检查，要检查它的完整性、时效性、合规性和信息披露等方面。对信息的分析可以采用ao辅助审计，按照（如医院）审计模型和（如医疗）法规标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。（2）内部控制。主要是对（如医院）信息系统的一般控制和应用控制等两个方面的审计。一般控制审计包括组织管理的控制、数据资源管理的控制、系统环境安全管理的控制和系统运行管理控制等审计；应用控制审计它包括输入控制、处理控制、数据库控制等审计。（3）数据传输转移。有些数据需要在财务信息系统和收费系统模块或财务信息系统与业务信息系统模块之间相互转移，传递过程中很可能存在舞弊行为。因此，数据传输转移环节也是审计重点。

3．构建信息系统绩效的综合评价机制。一般信息系统审计很少对系统操作生命周期中管理收益的关注，目前尚未从绩效的角度来评价信息系统。构建信息系统绩效的综合评价机制，也是分析信息系统舞弊行为审计对策之一。

指标体系建立从以下两方面考虑。法规层面指标体系，目前如对医疗机构主要是依据卫生部颁发的《医疗机构信息系统基本功能规范》相关指标；业务层面指标体系，主要是依据被审计单位历史情况、管理职能、医院业务特点等选取相关指标。评价指标具有综合性，语言要平实，用词要公允。

信息系统舞弊审计案例实证

基本情况。2008年5月，徐州市审计局对xx医院信息系统及财务收支进行了审计。该医院所使用的信息系统由北京xx科技有限公司提供，后台数据库为sql-server2000，业务流程涉及五大类收费项目计3966项，年采购药品达4880种。审计共采集业务数据及财务备份数据账套2套，年业务数据记录量达400多万条，总量约4.8gb，信息存放表单150多张。

审计结果。根据上述分析方法，充分利用ao系统，查出上一系列收费、加价等违规违纪及绩效管理方面的问题，查出信息系统违纪违规金额达2200多万元，主要问题如下：药品超规定加价602.71万元；恶意刷卡支付自费项目当年达930.95万元，增加了财政负担；存在重复收取项目费用41.90万元；超标准收费138.80万元；自立项目收费12.54；商业贿赂--药品回扣13.76万元；账面收入调剂348.94元；不具备处方权医生擅自给病人开药达151.09万元等。

审计成效。案例项目审计建议6条被审计单位基本采纳予以整改，针对软件存在的控制功能等缺陷进行更新设计，清理停止收费项目，降低相关收费标准，补充新收费条目，完善系统收费编码；对功能、内控、作用等进行增修补；从设计程序、源头代码上，堵塞系统数据不真实或不准确及系统操作舞弊行为。更新设计后，促使信息系统的可靠性增强、安全性提高、效率性提升；促使该院出台了《信息系统管理办法》、《xx医院内部控制制度(试行)》等文件。

当年，根据审计项目编写的《运用ao对医疗信息系统舞弊的审计》荣获2008审计署ao应用实例最高奖--优秀奖。