第一篇:构建公共卫生安全体系心得体会1
构建公共卫生安全体系心得 体会 1 1
习近平总书记在湖南考察时强调,要健全公共卫生和疾病预防控制体系。公共卫生是关系到一个国家或一个地区人民大众健康的公共事业。落实总书记讲话,我们要从国家安全的战略高度,着力构建公共卫生安全体系。
首先,高度重视公共卫生安全问题。健康是促进人的全面发展的前提,是经济社会发展的基础条件,是民族昌盛和国家富强的重要标志,也是广大人民群众的共同追求。在实现“两个一百年”奋斗目标的历史进程中,发展卫生健康事业始终处于基础性地位,同国家整体战略紧密衔接,发挥着重要支撑作用。新冠肺炎疫情等引发的公共卫生安全问题是国家安全的重要组成部分,既关乎人民安全,又关乎社会安全;既关乎政治安全,又关乎经济安全;既关乎生物安全,又关乎科技安全;既属于传统安全,又属于非传统安全。其中,人民安全是国家安全的基石。今年以来,在新冠肺炎疫情防控中,以习近平同志为核心的党中央统筹全局、果断决策,坚持把人民生命安全和身体健康放在第一位,采取最全面、最严格、最彻底的防控举措,用 1 个多月时间初步遏制了疫情蔓延势头,用 2 个月左右时间将本土每日新增病例控制在个位数以内,用 3 个月左右时间取得了武汉保卫战、湖北保卫战的决定性成果,全国疫情防控阻击战取得重大战略成果,充分体现了社会主义制度的优越性,充分
体现了人民至上、生命至上的国家安全理念,用生动的实践诠释了捍卫国家安全的磅礴力量和中国智慧。
其次,加快公共卫生体系建设。保护人民健康,考验国家的综合国力和可持续发展能力。在今年的疫情中,我国的公共卫生及医疗服务体系经受住了考验,但也暴露出了一些短板和不足。今年以来,习近平总书记在多个场合论及公共卫生体系建设。在中央全面深化改革委员会第十二次会议上,习近平总书记强调,完善重大疫情防控体制机制,健全国家公共卫生应急管理体系。在山西考察时,习近平总书记强调,加快补齐这次疫情暴露出的公共卫生体系方面的短板弱项,推动社会治理重心向基层下移。在参加十三届全国人大三次会议湖北代表团审议时,习近平总书记提出:提升疫情监测预警和应急响应能力。2020 年政府工作报告中提出要“加强公共卫生体系建设”。面对突发公共卫生事件,靠兵来将挡、水来土掩的被动防御远远不够,需要主动作为、理顺机制、提升能力、做好改革,在增强早期监测预警能力、增强检测能力、增强疫情救治能力、增强医疗服务能力等方面下功夫。
再次,强化公共卫生法治保障。确保人民群众生命安全和身体健康,是我们党治国理政的一项重大任务。以法律为保障,从立法、执法、司法、守法各环节发力,强化公共卫生法治保障,全面加强和完善公共卫生领域相关法律法规,如传染病防治法、突发公共卫生事件应对法等法律修改和制定工作。从保护人民健康、保障
国家安全、维护国家长治久安的高度,把生物安全纳入国家安全体系,系统规划国家生物安全风险防控和治理体系建设,全面提高国家生物安全治理能力。要尽快推动出台生物安全法,加快构建国家生物安全法律法规体系、制度保障体系。加快中国法域外适用的法律体系建设,积极履行国际义务,在全球抗疫中发挥应有作用,共同构建人类卫生健康共同体。
最后,深入开展爱国卫生运动。习近平总书记在北京考察新冠肺炎防控科研攻关工作时强调:“坚持开展爱国卫生运动”;在浙江考察时强调:“要深入开展爱国卫生运动,推进城乡环境整治,完善公共卫生设施,提倡文明健康、绿色环保的生活方式”。爱国卫生运动是毛泽东同志等老一辈无产阶级革命家所倡导、人民群众广泛参与、与人民群众健康密切相关的社会公益事业。新中国成立后,在保家卫国的浪潮中,爱国卫生运动开始轰轰烈烈开展起来。爱国卫生运动是中国人民的一项伟大创举,是确保人民群众生命安全和身体健康的传家宝。将卫生与爱国联系在一起,这是一项伟大创举。卫生是个人的事,关乎健康;卫生也是国家的事,关乎国运。把卫生工作与发动群众有机结合起来,户户动员、人人参与,就能筑起阻断疾病传播的铜墙铁壁,化被动救治为主动预防。新时代,我们要继续用好这一传家宝,结合统筹推进疫情防控和经济社会发展工作,把爱国卫生运动提高到新水平,使之焕发新的生机活力。
第二篇:公共卫生体系建设心得体会
公共卫生安全体系由卫生检疫与疾病监督体系、疾病疫防与控制体系、医疗保险体系、医疗卫生体系、动员与保障体系以及与之相关的药品与卫生材料生产与供应体系组成。总体上看,我国公共卫生与医疗体系曾取得很大的发展,为保障我国人民的生命健康和社会的稳定做出了相当大的贡献。
但进入新世纪以后,尤其是加入wto以后,我国公共卫
生安全体系受到了极大的挑战,而且在科学技术日益发展的今天,其已不是一个简单的健康概念或生活水平问题,而变成了一个关乎社会发展、经济建设乃至国家安全的一个战略问题。
国际化带来压力
加入wto无疑会促进我国的经济建设和对外开放,增强我国的经济竞争能力,并能更快地使我国经济融入全球经济体系。但是,加入wto也会给我国的公共卫生建设带来双重压力:
首先是给我国的卫生检疫工作带来压力。货物与人员的加速流动不仅使检疫工作量增加,难度增大,稍有疏忽就会造成重大的安全隐患,如新的生物入侵所带来的生态安全问题就已经给我国许多地区带来了农林牧业的重大经济损失。
其次是频繁的国际往来将给我国的传染病预防工作带来压力。除了天然病因外,随着生物技术的发展与普及,人工设计与制造致病因子的几率越来越大,敌对势力和恐怖组织进行有组织的生物、生化袭击将越来越容易。
人口与体制转换的困扰
我国是世界上人口最多的国家,保障.亿人民安全、健康的生活本身就是一项庞大的社会工程,但进入新世纪以后,人口带来的压力不再只是增长问题,老年化问题、人口的流动问题、收入差别所带来的差异化需求问题又摆在了公共卫生事业的面前。
年,我国岁以上的人口已经达到.%,老年人口的增加,将带来医疗保健费用的大幅增长。根据调查资料显示,年我国岁以上的老人的医疗保健支出已经占到了总费用的%,而年这一数据已经超过%,而且还会随着老年人口的增加而快速增长。除了费用的增长,老年人的关怀问题也将是一个不小的社会问题。因此如何在社会财富还不充分丰富的条件下,安全平稳度过老年化高峰,是我国公共卫生必须面对的严峻问题之一。
我国由于农村人口多,农村剩余劳动力极为丰富,但由于地区发展的不平衡、城乡发展的不平衡,大量的剩余劳动力不得不外出谋求工作,这样就导致人口的大量流动,如何做好上亿流动人口的公共卫生问题,就其对我国卫生事业提出了又一个挑战。非典所造成的恐慌,其中最大的一个因素就是人口的流动所带来的疫情扩散,事实表明也确实如此。
除了人口问题,给我国公共卫生体系带来压力的另一个因素就是体制转换所带来的原有均衡机制破坏以后,新体系的建立问题。
我国传统的医疗体系主要分城市和农村两部分,城市主要以公费医疗体系为主,农村主要以县、乡、村三级卫生医疗保障体系为主,在上世纪年代以前,该体系对于保障我国的公共卫生安全与人民的生命健康起到了极大的作用。但随着公费医疗的改革以及农村村级卫生所的瘫痪,这一体系的均衡实际已经打破,但新的平衡体系又没有完全建立,而且随着药品价格的上扬,医疗成本越来越高,医疗卫生资源受市场因素的驱动越来越向中心城市集中,这种趋势导致的后果就是医疗资源配置更加不合理,大量农村及城市低收入阶层因为支付困难而不能够享受正常的医疗。
据年统计资料显示,我国患病人群因为经济困难应该住院治疗而没有住院的占到了整个未住院治疗的.%。这表明由于新的保障体系没有完全建立,以及收入的差异,我国依然有大量疾病患者难以获得正常的医疗。公共卫生安全问题已不是一个简单的个体化差异问题,其并不因为自身有较好的收入而且能够获得较好的医疗条件就能够避免疾病的侵扰。北京的非典疫情就是一个很好的例证。
投入与产权构成制约
投入不足一直是我国近几年医疗卫生发展的一个主要问题,据统计资料显示,我国自“六五时期”以来,卫生事业费用支出一直呈现下降趋势,在国家财政支出中的比例从.%下降到年的.%。在年-年的五年中,政府卫生支出年均增长率仅为%,社会卫生支出年均增长低于%,但个人卫生支出年均增长幅度超过%。从年-年的多年间,我国卫生服务弹性系数(卫生费用增长与gdp增长比)仅为.,低于大多数国家的平均水平。
投入不足已经造成了许多地区医疗设备陈旧,医疗条件简陋,尤其是基层卫生条件比较差。据统计资料显示,我国乡卫生院和专科防治所(站)的危房比例要高出平均水平的.和.。政府投入不足还造成了我国卫生费用结构的失衡,从年到年,我国政府预算卫生支出的比例已从.下降到.,社会卫生支出已从.下降到.,而同期个人卫生支出却由.上升到.。
据卫生经济研究所研究表明,卫生服务具有供方成本拉动的特点,政府增加卫
生投入可以从宏观上控制卫生服务需求的增长,而减少卫生投入将刺激卫生服务需求和卫生总费用的过快增长,从而以有限的财力实现更大的社会效应。
投入不足和医疗服务需求的的增长,要求有更多的社会力量参与并建设更加强大的医疗服务体系,但固有体系中的矛盾与问题却一直制约着资金的投入,其中最主要的问题就是产权问题。医院产权的不明晰
不仅不利于医院的管理,而且也不利于吸收更多的资金投入到医疗服务行业中来。虽然政府实施了医院的分类管理政策,社会也有大量资金热切希望进入到医疗服务领域中来,以弥补投入不足问题,但产权问题却将他们挡在了门外。
行业受困两因素
医药行业作为公共卫生保障体系中的一个重要组成部分,进入新世纪以后,也不得不面临专利和价格的双重压力。我国%的化学药物都是仿制的,加入wto以后由于知识产权的保护,许多新药难以再进行仿制,我国绝大部分制药企业将面临没有新药生产的局面;我国生物技术制药虽然取得了一定的成绩,但是与美国相比,我国的差距已渐渐拉大,传统中药的发展虽然受到了高度的重视,但是现代化历程依然是漫漫长路,因此我国医药行业的发展依然不能乐观。
除了专利因素,近几年一直困扰医药行业的主要问题还有价格,其形成的主要原因除了药品的定价机制存在问题外,医疗体制的因素也是主要原因,因为药品依然是医院的主要收入来源。
从发展趋势看,价格问题将在今后较长时期内困扰我国的医药行业,零售药店的药品价格战已开始在国内蔓延,医院药房与零售药店的价格差将在今后逐步消除,为了减轻财政支出的压力,上海今年已开始限制高价药品在招标采购中的比例,这样将促使具有单独定价资质的外资企业也不得不加入到降价的队伍中来。药品的降价虽然利弊都有,但总体看来还是利大于弊,从长远看有利于我国医药行业的健康发展。
卫生政策——合适方为最好
从非典对我国政治、经济、文化以及社会的各个方面的影响来看,没有人会否认公共卫生也是生产力。非典的爆发,不仅给我国造成了几千亿元的损失,而且使我国与全世界多个国家和地区的人员往来和物质流通的障碍,如果非典发生在经济不景气的年代,那么对经济的影响可能不是短期可以恢复的。
目前,就社会保障体系和医疗保险体系的完善,究竟如何选择卫生政策而言,其是长期以来许多学者一直在探讨的主要问题。
世界上有各种各样的卫生政策,即使是发达国家对于卫生服务业的发展也不完全相同,不同的国家有不同的特色和优势,但他们有几个共同点:一是有经济学理论作为基础;二是用立法方式来保证;三是卫生服务业比较完善。
按照经济理论可以分为两种:即需求理论模式和供给理论模式,前者主要以美国为代表,后者主要有英国、日本、德国、瑞士和加拿大。但即使是选择以供给理论模式的四个国家,他们的财政补偿方式也不一样。英国和加拿大主要由中央和地方政府共同负担卫生保健费用,通过国家的总预算来确定卫生保健费用的数量;瑞士则是由地方政府负责资助卫生保健费用;德国和日本则采取由保险公司通过一种公混合性的计划来资助。英国实行人人享有卫生保健服务,加拿大、日本和德国采取强制性的卫生保险计划,他们的共同点就是卫生事业属于政府行为,因此要提高资源配置的合理性,减少浪费。为了合理分配卫生资源,减少过度利用,这些国家往往要根据预算计划或病人的实际需求调控医院的病床和设备采购费用。
但美国却完全不一样,它实行市场调控原则,消费者可以自行决定是购买保险还是在接受卫生服务过程中直接支付费用,因此,消费者成为调控卫生资源配置效率和保险费率的主要力量。由此我们可以发现,目前世界上还没有一个完美的医疗模式能够完全照搬。医疗卫生体制的选择必须符合一个国家的实际情况。就目前我国的国情而言,政府必须照顾大多数群众的基本医疗保障,因此对于基本的社区医院、农村卫生院、以及中心城市大型医院,毫无疑义是政府投资发展的医疗主体;此外政府在最大程度满足人民的基本医疗保障的同时,还要对医疗卫生支出进行控制,以抑制其过度增长,这就决定了我国不会完全照搬美国的模式。
差距大发展空间更大
另一方面,我国收入的巨大差别又使一部分人群具有较高的支付能力,他们对医疗服务的需求也不仅仅满足于基本医疗,个性化服务、追求舒适和高效已成为这部分人群的消费特点,因此我国医疗服务业在满足大多数人基本医疗需求的同时,还得发展其他形式的医疗服务,以适应社会的发展。各种特色专科医院和营利性医院的蓬勃发展就是这种趋势的必然体现,但目前这部分医疗资源还非常弱小,还有很大的发展空间。
总之,我国国情的特殊性,决定了我国公共卫生安全必须从基本国情出发,实施既不同于发达国家也不雷同于计划体制下的医疗卫生政策,但必须吸取二者中的合理成分,以服务于我国的经济建设和人民的健康生活。政府应该加强投入和政策调控,以较小的社会成本满足更广泛的人民群众的基本卫生保障,另一方面,政府也可以通过政府采购等方式,支持大型制药企业和医疗研究机构的技术创新,以更加强大的实力保障我国公共卫生体系的安全、健康运行。
第三篇:构建信息安全保密体系
构建信息安全保密体系
摘 要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。关键词:信息 安全 保密 体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。图 1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制 所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理)允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员)将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将)涉密计算机(连)上互联网;不允许(参观人员)在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理)地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生 加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。采用安全通告服务来对窃密威胁提前预警 具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系 信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系 信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范)体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献:
[1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006 [3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
第四篇:构建信息安全保密体系.
构建信息安全保密体系
摘要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。
关键词:信息安全保密体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。
图1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制
所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将涉密计算机(连上互联网;不允许(参观人员在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。
采用安全加固服务来增强信息系统的自身安全性
具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。
部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生
加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。
引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。
采用安全通告服务来对窃密威胁提前预警
具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系
信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需
求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系
信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网
络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献: [1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006
[3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
第五篇:肉食品质量安全体系构建思考
食品安全是当今社会的热门话题。跨入新世纪后,科技与经济飞速发展,但食品的质量和安全似乎在倒退。2008年云南省肉类总产量已达395万吨,比2000年增长了92%,其中猪肉总产量315.9万吨,增长82.7%,居全国第9位。虽然肉蛋奶等畜产品极大地丰富了人们的餐桌,但却没有了上世纪五六十年代我们对肉食品美味和安全的感觉。在餐桌上人们
常常会问:现在能吃什么?不能吃什么?什么食品才安全?
肉食品生产能否有安全保障,不仅关系到畜牧产业的发展,还关系到人类的生命安全和社会进步。所以,肉食品的安全管理毫无疑问是政府行为,应由各级政府来组织监管。
造成食品不安全的直接原因,是因为食品从生产到餐桌的各个环节都有可能受到有害物质的污染(包括无意的和人为的),加之缺乏监测和规范管理,不能及时地处理而使其流入了市场。特别是在肉食品生产过程中,污染源复杂,感染途径多。尽管我们建设了一批现代化的养殖场和加工企业,却因肉食品的加工原料被污染而使企业承受极大风险。因此,要解决肉食品的安全问题,还得从源头抓起,从生产环节抓起,从原料基地抓起。
在肉食品生产过程中受有害物质污染致使质量下降的因素很多,大致有五个方面:一是动物疫病。包括在养殖过程中因畜禽疫病带来的细菌和病毒以及在治疗后留下的兽药残留。二是饲料和饲料添加剂中带来的各种有害物质。如重金属、硫磺类、四环素等兽药残留超标。三是人为非法添加有害物质。生产者在饲料中人为地非法添加盐酸克伦特罗(瘦肉精)、莱克多巴胺、三聚氰胺等有害物质。四是环境污染。即从废水、废气和废渣(粉尘)“三废”中带来的氟、砷、镉、铅、汞、锰等有害物质。五是人畜互传的疾病。包括传染病和寄生虫病。因此,对畜禽安全生产的监管应该是全方位的,包括养殖、屠宰、储运、加工等,这就需要建立一个科学的肉食品质量安全体系,由这个体系来规范各个生产环节的安全生产措施及安全体系建设。肉食品质量安全体系由生产、监管体系构成,主要包括健康养殖技术标准体系、肉品安全生产法律体系、可追溯的技术监测体系、市场准入管理体系以及安全教育体系等。
健康养殖技术标准体系
优质、安全的肉食加工产品必须有优质的原料作保证,而优质的原料必须依靠安全、清洁和科学管理的畜禽养殖基地提供。所谓安全、科学,就是要求各个生产环节都要按照国家规定的技术标准规范饲养。从养殖场的选址和建设抓起,养殖场应建在远离水源、城镇、医院、学校和交通要道,建设布局应有防疫隔离设施、生产区、生活区和缓冲区。空气质量和水质量应符合养殖业环境质量要求,即符合《农产品安全质量无公害畜禽产地环境评价要求》、《畜禽场环境质量标准》、《无公害食品畜禽饮水用水标准》等规定。养殖生产过程中,要执行一系列的国家畜禽养殖卫生标准,如养猪场,就要采用先进的技术和科学的管理实施清洁生产,并符合农业部《无公害食品生猪饲养管理准则》和《云南省无公害生猪饲养标准》。
在养猪生产中所用的饲料及原料也必须执行国家《饲料卫生标准》、《无公害食品生猪饲养饲料使用准则》。所使用的添加剂产品必须是农业部公布的《允许使用的添加剂品种目录》。药物添加剂的使用还要符合《饲料药物添加剂使用规范》,药物的使用必须符合《中华人民共和国兽药典》、《兽药质量标准》、《进口兽药质量标准》、《饲料药物饲料添加剂使用规范》和《无公害食品生猪饲养兽药使用标准》等。生猪养殖中的品种改良、兽医防疫、产地检疫和重大疫病的防控有一系列的技术规程和法律法规,都必须严格执行。
对屠宰场和肉品加工厂的标准和要求正在建立和完善。屠宰场的选址和建设都必须符合《动物防疫法》。建场地点不仅要远离城镇和水源,还要远离养殖场,位于居民区主要季风下风处和水源的下游。屠宰场的水质应符合《生活饮用水卫生标准》,其工艺和排污必须执行《生猪屠宰操作规程》。品质应按《生猪屠宰产品品质检验规程》进行检验。肉品检疫检验合格后,须加盖检验合格讫印章、饲养基地编号印章等,并符合《猪肉安全卫生要求》的规定。
肉食品生产的各种产品,特别是终端产品,都必须达到国家规定的无公害、绿色、有机食品安全标准,包括与养殖场相匹配的饲料原料种植基地都要达标。大型加工企业还应达到与国际接轨的iso9000质量管理体系和haccp质量控制体系。
肉食品安全生产法律体系
近两年我国发生的在猪饲料中非法添加瘦肉精、牛奶中添加三聚氰胺等事件,充分说明造成食品不安全的主导原因不是污染物的复杂和环境的变化,而是某些经营者道德败坏,为了牟取暴利而违法害民。所以,必须用法律的手段约束和制裁那些丧失良心的违法犯罪者。世界上任何一个对国民负责的政府,都非常重视肉食品安全工作,并制定一系列法律法规。我国也不例外,今年6月1日正式颁布实施的《中华人民共和国食品安全法