前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全总结主题范文,仅供参考,欢迎阅读并收藏。
自2020年12月加入***医疗集团以来担任信息安全经理一职,在这六个月的试用期中通过与各位同事、领导的相处,使我渐渐开始适应现在的工作环境和节奏,在工作中体会到的领导和同事踏实认真的工作态度,让我更加严格的要求主机,把工作做好做细。在此,我需真诚的向各位领导和同事表达我深深的谢意,感谢大家在这段时间给予我足够的宽容、鼓励和帮助。下面就我六个月的试用期工作进行总结。
1. 已完成项目总结:
1)三级等保测评:根据国家相关法律法规要求,北京和睦家医院需通过等级保护三级测评。入职时,此项目已过初测阶段进入到整改阶段,根据测评机构给出的差异分析报告进行高风险项和中风险项的整改工作,作为整个项目的执行者,之前的工作经验在整改过程中起到了一定的作用,提高了整改工作的效率并编写了等级保护要求相关文档,例如:信息安全应急预案,操作系统基线检查模板等,同时也存在一些不足,例如对于等级保护要求的一些条例理解不够深刻,对于等保测评的算分公式不够熟悉等。在最终测评时,积极配合测评机构的测评工作,回答测评机构提到的关键问题,使得终测过程较为顺利的完成,并以优异的分数通过了三级等保测评,拿到了三级等保报告,当然这也少不了其他同事的共同努力。
2)安全体系建设--评估阶段:根据领导要求,负责和睦家信息安全体系建设,作为此项目的负责人,我将此项目分为三个阶段完成,分别为:评估阶段,建设阶段,以及运营阶段。在评估阶段的主要目标是需要评估和睦家现状,以及为安全体系建设第二阶段做准备,如不做评估的话是无法进行从0-1的安全体系建设,在评估的过程中利用自己的专业知识并结合等级保护三级的要求,进行了多维度的评估。完成评估后,列出了安全体系建设架构图,但由于做评估时有些方向没有做深入的调研,导致安全体系架构图的某些模块无法实现,后期会进行一系列的调整及优化。
3)安全意识培训:企业无时无刻都面临着信息安全的威胁及风险,根据领导要求,作为该项目的负责人,已于近期针对于和睦家内部IT部门进行了安全意识培训工作,培训内容包括安全意识概念、密码安全、系统安全、邮件安全、物理安全、社会工程攻击等内容,通过安全意识培训,提升了企业内部对于信息安全的理解以及信息安全的重要性,同时也在一定程度上提升了员工识别信息安全风险的技能和意识,但美中不足的是培训内容过多,培训时间较长,所以需要对培训的素材进行优化。
4)支持其他Site网络安全工作情况:
远程支持**网安检查,配合IT Manger通过青岛市网安的例行检查,并提出与网安检查相关的检查项及关键点,最终***以较高的分数通过检查。
青岛互联网医院上线前审查,配合IT Manager通过青岛互联网医院上线前审查,提供了网络安全应急预案的培训以及相关检查项的整改方案,并在审查当天进行远程技术支持。
***三级等保测评工作,远程配合***在三级等保终测,并提供相关漏扫报告,以及技术答疑等,最终***复核等保三级测评要求,通过三级等保测评。
2. 正在进行中的项目:
a)安全运营中心部署:根据三级等保要求以及安全体系建设需求,需成立安全运营中心,和睦家购买了IBM的SIEM平台QRadar,目前该项目已完成北京区域部署,进入到优化策略阶段,目前已将AD认证类的告警策略优化完成,下一步准备优化病毒类告警以及服务器相关告警,待策略优化完成后,部署全国各Site日志采集器和流量采集器,预计本年度完成全国部署。
b)Knowbe4钓鱼邮件测试平台:由于钓鱼邮件对企业造成的安全风险较高,威胁较大,所以准备采购响应的钓鱼邮件测试平台,通过该平台的钓鱼邮件测试来提升员工对于防钓鱼的安全意识,目前该项目已将报价提交给采购进行价格评估,待采购评估价格后进行购买实施。
c) ***全国安全意识培训:为提升和睦家员工的信息安全意识,计划于本年度完成***全国员工的信息安全意识培训,目前已完成北京***部门的培训,下一步进行***的信息安全意识培训。
3. 个人能力自我评估:
通过六个月的工作,我发现了自身存在的一些优点与不足:
a)沟通能力方面:乐于与同事及领导积极沟通,并了解自己的任务和角色,乐于与同事合作以达成目标,但有的时候沟通方式存在一定的问题,导致沟通效果欠佳。在今后的工作中,也会注意自己与领导和同事之间的沟通方式及方法,做到高效沟通。
b)项目管理能力:擅长项目管理,因为之前系统的学习过项目管理的知识,所以在工作中可以利用学习到的知识去进行高效工作,但偶尔会出现不熟悉企业内部的工作流程导致对于项目的管理出现偏差,我会在未来的工作中尽快的熟悉各项工作流程,避免再次出现同样的问题。
c) 岗位知识方面:在信息安全体系建设、安全运营、安全意识培训以及安全事件分析方面较为擅长,由于网络安全涉及到的知识面非常广,在工作的过程中也意识到我所在的岗位上,有些需要用到的信息安全相关知识自己并不够专业,所以在今后的工作和生活中还需要加强学习相关岗位知识,并实际运用到工作中。
d)工作态度方面:工作态度积极、主动,时常保持良好的状态完成工作或解决问题。
一.培训内容
这次培训班的课程充实紧凑,涉及到办公室工作的各大方,
面,具体讲授了以下专题:
财政部办公厅秘书处邱玲处长讲授的《认真执行国务
院公文处理办法进一步提高财政公文质量》。内容包括:
()年月了《国家行政机关公文处理办
法》,相较于旧的《办法》,作了重要的修改并新增了不少内容。(具体内容见材料)
()公文办理中需要注意的问题和常见差错。其中,主
要讲解了“函”这一文体。“函”说白了就是非文件,是一个大类。相较于正式的“文件”,函的形式更灵活、运作的过程更简便。
府办公厅秘书处冯宏梅处长讲授《关于国家行政机关
公文格式的若干问题》。对公文的格式作了具体而详尽的总结。
()介绍了公文的种类。分为①文件式(红头文件);②信函式、命令式;③会议纪录、电报;
()介绍了文件式的格式,文件式是公文中最常用的
文体,包括版头(眉首)、主体、版记三部分,每一部分都有具体而详尽的规定;
()介绍了信函式、命令式的格式;
()介绍了会议纪要的格式;
()介绍了省政府办公厅的动作。即收文、分办、办
理、呈送、核稿、审批、发文(对外发文)、督办、返谴、归档的全套模式。
广东省档案局石大泱处长讲授《加强机关档案工作、提高档案水平》。内容涉及以下三个方面:
()《档案法》对机关档案工作的规定。重点指出行政部门形成的档案是国家档案的重要组组成部分。受国家重点保护;要求行政部门档案要集中统一管理,要维护档案完整。
()档案工作与机关工作的联系。石处长指出档案工作是各项业务工作的一个基础,机关工作的过程、结果都客观地记在档案中。同时,档案材料也是加强机关管理的基础材料、是机关领导决策的重要参考、是开展机关各项研究工作的重要材料、是编史修志的第一手材料。
因此,机关部门应对档案工作给予高度的重视。
政府办公厅信息处罗展怀处长讲授《政务信息工作理
论与实践》。主要内容包括:
()怎样看待信息工作。首先认识信息工作的特点:对
现实情况反映快、涉及社会经济的范围广、形式灵活。其次是了解信息工作的作用:是领导了解各方面工作的渠道,可以让领导掌握社会动态;是向领导同志汇报工作、扩大影响的经常性渠道;是反映问题和解决问题的一个途径;可以成为推动政府转变职能、转变工作作风的有力手段。
()信息工作的具体内容。作为政务信息,包含了三个
层面:为上级领导服务;为本级领导服务;为下级领导服务。
二、培训心得
各级领导在培训班上的发言、授课,对办公室作为一切工作运转中心的重要地位给予了高度肯定,对今后更好地开展办公室各项工作提出了新的建议:
邱玲处长在如何提高财政公文质量的问题上提出在办公室的具体工作中,首先要深入学习年的新《办法》,严格按照新《办法》的各项规定进行公文写作,务求格式规范、内容严谨;
其次是要深入了解新《办法》中提出的“函”这一形式,相较于文件,“函”的灵活和运转的简便有助于减轻繁杂的办公室事务。一些重要性、紧急性低的内容应多用“函”的形式发出,以简便流程、减轻办公室的工作量。
冯宏梅处长在公文格式的问题上提出各级机关部门应严格把住公文的格式关,将格式上的错误降到最低点。
同时,冯处长也介绍了省政府办公厅的运作过程以供各级机关部门参考:①收文,由秘书处资料科收文,包括上级、同级、下级各方面的来文,分为阅卷和办卷来进行登记,分送承办的科室;②办理,由省政府办公厅综合一二处办理,收文后每人签收,按规定处理,将不符合要求的文退回,将不属于本处职权范围内的文再分送;③承送,报送领导审批;④核稿,是正式文件的核稿,领导审批完付印前由办公厅主任最后审核,再由秘书处审核一次,有原则性改动的重新审批,没有原则性改动的可付印;⑤发文,由发行科发文,电报则由省委机要局发出;⑥督办,对已发文进行事后监督,包括电话催办、领导上门等方式;⑦返谴,用领导批示回报表,复印领导批示,送达先阅先批者处;⑧归档,书面存档,方便以后查阅,将所涉及所有材料罗列。
此外,冯处长建议各级机关制作政务动态通报,将一天内重要领导批示,上访情况等整理制文,第二天放至领导处,以全领导全面掌握情况。
石大泱处长对档案工作提出了新的要求:首先是要对《档案法》进行深入学习,将《档案法》里的各项规定落实到各项具体的工作中;其次是认识到档案工作与机关工作的密切联系,在,具体工作中加大对档案工作的重视;再次是提出办公室作为档案工作的领导,应如何在具体工作中加强它的领导作用。
罗展怀处长提出了做好信息上报工作的具体内容:首先,要保持良好的沟通交流渠道,其中又以人的沟通为主为重;其次是要把握上报住处的最基本的内容,这些内容包括重大的经济社会动态、突发事件、重要的工作部署、领导决策落实的情况、需要上级帮助解决的困难、上级要求上报的内容、领导批示的反馈等等;再次是要提高上报信息的针对性。这主要是指内容的针对性:考虑内容的重要性、综合性;介绍的经验是否先进和可借鉴性;反映的问题是否需要上级关注和帮助解决、提出的建议是否针对上级提出来的。
2016年11月29日,普华永道2017年全球信息安全状况调查报告(以下简称“调查”)。此次调查是2016年4月至6月由普华永道和CIO与CSO杂志联合在互联网上开展的全球范围调查研究。调研对象来自CIO和CSO杂志的读者与普华永道的客户群体,涵盖133个国家,其中超过10,000份调研来自CEO(首席执行官)、CFO(首席财务官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副总裁)以及IT与安全总监,48%的受访企业年收益超过5亿美元。
调查显示,在过去12个月中,中国内地及香港企业检测到的信息安全事件平均数量高达2,577起,是前次调查记录的两倍,较2014年更是攀升969%。
同时,调查发现,在过去一年中,全球各行业检测到的信息安全事件平均数量有所下降,为4,782起,比2014年减少3%。
中国受访企业在信息安全方面的投资预算比去年削减了7.6%。值得注意的是,88%的中国受访企业认为,他们在信息安全上的投入受到了数字化的影响,而投入的重点主要集中在那些与企业自身的商业战略及安全监管相匹配的网络安全方面。此外,31.5%的中国受访企业表示其有意在人工智能、机器学习等先进安全技术领域进行投资。
对此,普华永道中国网络安全与隐私保护服务合伙人冼嘉乐认为,“国内一些有前瞻性的企业已经在调整信息安全的投资方向,通过加大对先进网络信息安全技术的投入,来明确并加强其独有的商业价值,为业务增长保驾护航。”
根据调查反馈,针对信息安全事件的攻击途径,49%的中国内地及香港受访者表示,网络钓鱼欺诈是主要手段,而商务邮件首先成为重灾区。44%的中国受访企业认为,内部原因是网络安全的最大威胁。同时,商业竞争对手也是不可忽视的因素。34%的中国受访企业将攻击归因于竞争对手,高于全球数值(23%)。
在商业机会和风险不断演变的大环境中,如何加强物联网中各个连接设备的网络安全,如何利用云科技来部署企业敏感职能已成为企业探索的主要方向。本期调查显示,57%的中国内地及香港受访企业正在对物联网安全策略进行投资(全球为46%),并且已有约45%的IT系统是基于云技术运行的(全球为48%)。
与此同时,根据调查反馈,75%的中国内地及香港受访企业在使用开源软件(全球为53%)。受访企业认为安全管理服务和开源软件能够有效提升企业信息安全水平。
冼嘉乐表示,企业在信息安全方面,应当重视员工的信息安全意识培训,同时做好企业数据的分类工作、对数据分类进行风险评估,并按照级别对信息采取相应的保护措施;采用科技数据保护方案是十分必要的;企业应该加强信息安全的管理,并提高对受访者身份的识别能力。
关键词:中小企业;网络安全
中图分类号:TP393.08
中小企业是整个经济社会的主要组成部分,由于它依然在发展的初期过程中,因此中小企业并没有更多的经历和资金投入到网络信息技术的管理当中。因为网络信息安全给中小企业造成的困扰也不断发生,实际上,在我国中小企业信息丢失的情况时有发生,我国不少报纸也在不断呼吁中小企业增加企业内部网络安全管理功能和投入。本文就中小企业所面临的网络安全问题进行了分析。
1中小企业网络安全问题
从当前企业的内外部网络中,我们可以认为企业内部信息安全网络体系需要所面临的安全问题有如下内容:
1.1外网信息安全
中小企业主要依靠快速获得信息、快速转型、快速提供各种解决方案而获得订单或资源。然而当前快速信息的来源主要是从网络中而来,因此互联网的信息交流成为了中小企业发展的主要工具,而互联网内部的黑客攻击、病毒传播、垃圾邮件、蠕虫攻击等已经成为威胁中小企业外网的主要内容。
1.2内网信息安全
在摒弃了外网威胁之外,企业的员工不少利用网络处理私人事务,而对计算机进行不当使用,因而造成了企业网络资源大量消耗,带病毒的U盘、光盘等介质在相互电脑之间传播,间谍软件在不断复制企业的信息,这都使得不少企业内部信息在网络之间泄露给竞争对手。
1.3企业内部网络之间信息安全
随着中小企业的不断壮大和发展,不少企业已经形成了企业总部、分支机构、移动办公人员、仓储人员都分开办公的互动运营模式,而在移动办公人员所使用的互联网电脑之间的信息共享安全成为中小企业在成长过程之中不得不考虑的问题。
2防范对策
企业的管理人员应该知道,要真正防止中小企业网络安全问题的发生是不可能的,这是因为随着网络安全防护升级过程,黑客侵入、病毒感染、木马传送等技术也在不断更新。因此要真正提升企业网络安全更应该从根本上进行,即对企业出入口信息进行严格控制和管理,对员工进行管理和教育,并实时对网络系统进行漏洞和安全问题检查,及时提出相应的安全评估风险,提出补救措施,并有效的防止黑客的入侵和病毒扩散。具体而言要做到实施企业防火墙控制、入侵检查防御、网络安全漏洞修复、重要文件及内部资料管理等方式。
2.1防火墙实施方案
企业应当从网络的内部考虑,对于企业内外部使用合适的防火墙管理软件,而本文所建议的防火墙软件应当设置为两台防火墙,一台防火墙对业务网与企业内网进行隔离,另一台防火墙对Internet与企业内网之间进行隔离,其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。
防火墙主要的功能在于保护整个网络之间数据信息传递的交流安全,因为它应当设置的安全过滤权限为:对网络数据包的协议、端口、源目的/目标地址之间的审核和管理,严格审核外网用户的非法登录,限制和记录外网用户的数据包传递。及时防范外部的服务攻击,定期检测和查看防火墙的访问日志,对防火墙管理人员的严格控制。
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
2.2入侵检测方案
在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusion Detection),并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测,对网络入侵进行检测和响应。
入侵检测系统实时捕获内外网之间传输的所有数据,以动态图形方式展现出来,使管理员能够时刻掌握当前内外网之间正在进行的连接和访问情况;运用协议分析和模式匹配方法,可以有效地识别各种网络攻击和异常现象,如拒绝服务攻击,非授权访问尝试,预攻击探测等;当攻击发生时,可根据管理员的配置以多种方式发出实时报警;对于严重的网络入侵事件,也可由入侵检测引擎直接发出阻断信号切断发生攻击的连接,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的防护体系。
2.3网络安全漏洞
不少企业内部为了便于交流,纷纷架设了WWW、邮件、视频服务器,而其中最重要的是企业内部的财务系统服务器,对于管理人员而言,无法及时有效的了解每个服务器之间和网络内部的安全缺陷和漏洞管理,因此使用漏洞扫描和及时修复漏洞、对当前漏洞进行分析和评估工作,成为增强网络安全性的主要方法。
2.4重要文件及内部资料管理
对于中小型企业定期进行重要资料的管理和备份是很有必要的,这能够防止企业内部数据因为各种软硬件故障、病毒侵袭和黑客破坏而导致整个系统资源崩溃造成重大的损失。因此中小企业应当积极的选用各种功能完善,使用灵活的备份软件进行资源的备份和恢复,全面的保护数据的安全。
在服务器、企业内部机子在运行重要数据时,要实时动态加密,自觉的对各种文件进行分级、分类管理、特别对重要的系统文件、重要的可执行文件进行写保护、并使用安全有效的数据存储、备份及时,必要时采用物理或逻辑隔离措施来保证信息资源的安全和稳定。
3总结
网络技术的飞速发展,极大地改变了人们的生活方式,中小企业在享受网络技术带来好处的同时,也面临着日益突出的安全问题。笔者针对昆明市某普洱茶城在分布模式下制定的安全防护策略,探讨了中小企业的网络安全问题。网络安全防护是一个综合性的工程,无论采取何种措施,安全总是相对的,因而作为网络安全管理员,应随网络安全状况及安全需求的变化,适度的调整安全策略,这样才能做到有的放矢
参考文献:
[1]张宏.网络安全基础[M].机械工业出版社,2004(1):21-24.
[2]Anne Carasik-Henmi等.防火墙核心技术精解[M].中国水利水电出版社,2005(1):10-14.
[3]Paul E.Proctor.入侵检测实用手册[M].中国电力出版社,2002(1):24-30,52-57.
由于信息系统本身就存在着非安全因素的威胁,这无疑影响了医疗保险工作的全面、长期、安全、有效开展,为了解除这些问题和非安全因素的不良影响,就要积极思考科学的解决方法,采取一些维护系统安全运行的措施,创建一个健全、完善的安全保护系统,可以从组织机构、管理以及技术等方面入手:
1.1创建安全组织机构
系统的安全运行不是单纯依靠某个人的力量就能实现的,而是要通过成立专门的组织机构,内部配置专业的工作者,负责整个信息系统的安全监督与管理,形成一套规范化的安全监管系统,建立责任制,将具体的责任和任务都要落实到人,进而保证系统能够在一个安全、可靠的环境中运行。这一专业机构的大体任务包括:创建具体的工作规范、安全管理模式以及详细的规章制度,再经过各个专业人士的审核通过后严格执行;开展网络信息建设工作,通过安全检测的方法来监督系统安全,通过浏览安全保护方面的信息文件,来探讨科学的安全措施,以达到对安全系统的维护;做好平时的管理、监督工作,全面维护信息系统的安全运行,并做好日常的安全总结,并将这些总结形成文件资料,为以后的工作提供参考、借鉴,同时要积极配合国家安全监管部门的监督,对于安检部门的提出的建议和意见要积极采纳。
1.2制定科学的安全管理制度
安全组织机构安全管理功能与作用的发挥需要一套健全、科学的制度予以保障,只有在制度的规范约束下,才能确保各项工作都顺利有效、有条不紊地开展起来,才能确保系统的安全运行,才能实现信息系统内部的稳定性。因此,医疗保险信息系统安全组织机构内部要创建一套健全、科学的管理制度,用制度来约束机构内部的各项工作,具体的制度规定至少要包含下面一些内容:第一,计算机工作中心的安全管理制度。也就是机器所在地环境要保持整洁、稳定和安全,要确保计算机系统配置在一个安全稳定、无闲杂人员流动,制定具体的计算机工作中心安全维护制度,使整个机房内的一切工作都在安全制度规定范围内完成。第二,安全管理责任制度。安全管理工作的开展要分清部门,并具体配置每一个部门的责任人,全面负责这一部门的安全工作,形成安全责任机制,使安全问题同责任人的薪酬待遇以及职权的任免形成联系,这样才能实现整个安全管理系统的有效运转,实现其功能和作用的有效发挥。第三,网络系统安全威胁监管制度。要制定具体、详细的安全应对制度,当系统出现问题时,根据这些制度规定来得出解决方案,达到系统安全维护与安全管理的制度化、规范化。同时也要积极完善其他方面的管理制度,例如:人员操作权限管理、用户等级制度等等。
1.3加强安全技术的引进与使用
安全管理工作的开展除了要有专门的组织机构与健全的管理制度外,更重要的是要掌握科学有效的安全技术,合理的安全技术是维护系统正常运行,确保网络功能合理发挥的重要保障,要加强对先进安全技术的引进与实施,增设更多的安全技术约束项目,来维护系统的安全,例如:口令保护。可以通过对口令设置密码;身份确认机制,也就是通过设置验证码、数字证明等来进行身份认证;不断更新升级各种杀毒软件,创建牢固的防火墙系统,病毒扫描仪等来保护信息系统;将用户的主要信息,例如:通讯号码、网络信息等收录下来,并创建预警机制,全面监督网络信息系统安全。
2建设与维护安全信息系统中的注意事项
2.1要在安全的基础上来分享信息资源
信息网络系统运行的目标与作用就是实现信息的方便传输与共享,然而,不能因为单纯为了维护系统安全,就避免信息的分享,失去了分享功能的信息系统没有存在的价值和意义,为了解除这些问题,可以以部门为单位实行权限管理,也就是说每个部门只有权力对自身所需要的信息进行查询、更改与更新,每个部门的数据库都要设置专业科员与部门领导,在二者的共同制约监督下,维护本部门信息安全,当出现其他部门要求信息分享时,必须经过领导以及各层科员的审核,这样就更加维护了信息的安全性。
2.2创建紧急避险策略,应对危机
信息系统虽然为人们带来了便利,解除了人工工作的困难和不便,然而,机器运行下的系统管理也难免会受到来自外部因素的威胁,很多不可预测的风险甚至会造成信息系统数据的丢失,或者整个信息系统的崩溃,使正常的工作无法有效开展起来。因此,要提前制定一系列应对危机的紧急措施,做好应急准备,确保灾难或危机发生时,能够积极应对。
工业控制系统是承担国家经济发展、维护社会安全稳定的重要基础设施,电力行业作为工业控制领域的重要组成部分,正面临着严峻的信息安全风险,亟需对目前的电力工业控制系统进行深入的风险分析。文章从电力终端、网络层、应用层、数据安全4个方面分别考察系统的信息安全风险,确定系统的典型威胁和漏洞,并针对性地提出了渗透验证技术和可信计算的防护方案,可有效增强工控系统抵御黑客病毒攻击时的防护能力,减少由于信息安全攻击所导致的系统破坏及设备损失。
关键词:
电力工业控制系统;信息安全;风险;防护方案
0引言
随着工业化和信息化的深度融合以及物联网的快速发展,工业控制系统(IndustrialControlSystem,ICS)获得了前所未有的飞速发展,并已成为关键基础设施的重要组成部分,广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中。调查发现,半数以上的企业没有对工控系统进行过升级和漏洞修补,部分企业的工控系统与内部管理系统、内网甚至互联网连接。此外,由于国内技术研发水平的限制,一些存在漏洞的国外工控产品依然在国内的重要装置上使用。伴随着信息化与电力工业[1-4]的深度融合,使得原本相对独立的智能电网系统越来越多地与企业管理网互联互通,电力系统的网络信息安全问题日益突出。工业控制网络[5-6]一旦出现特殊情况,后果将不堪设想,可能会对能源、交通、环境等造成直接影响,引发直接的人员伤亡和财产损失,重点行业的智能电网系统甚至关系到一个国家的经济命脉。“震网”、“棱镜门”以及乌克兰电力系统被攻击导致大范围停电等ICS安全事件,也预示了智能电网信息安全已经不再是简单的技术问题。对安全防护方案进行研究已经成为国家基础设施领域亟需解决的问题。
1国内外电力工业控制系统信息安全现状
美国很早就已在国家政策层面上关注工业控制系统信息安全问题,美国政府于近几年了一系列安全防护的战略部署,主要针对关键基础设施和工业控制系统的信息安全防护。美国国家研究理事会于2002年将控制系统攻击列入紧急关注事项,于2004年防护控制系统相关报告,2009年公布了国家基础设施保护计划,2011年了“实现能源供应系统信息安全路线图”等。除此之外,在国家层面上,美国还了两个国家级专项计划,用于保护工控系统的信息安全,包括能源部的国际测试床计划和国土安全部的控制系统安全计划。我国工业控制系统信息安全相关研究仍处于起步阶段,工业控制系统还不成熟,不同行业的安全防护水平参差不齐,安全防护能力不足,潜在的安全风险相当大。电力行业作为工业控制领域信息安全防护建设的先行者,已在信息安全防护建设方面积累了大量经验:电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则,研究信息隔离与交换、纵向加密认证等多项专用安全防护技术,进而形成了多项信息安全行业技术规范和标准;针对关键产品进行自主研发,并统一组织进行严格测试,保证关键系统的安全自主可控;各电力企业相继建立了信息安全相关组织体系,建成了较为完善的信息安全管理制度,包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度,涵盖了信息安全活动的主要方面;总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。
2电力工业控制系统的概念和特点
电力工业控制系统主要由数据采集及监控系统(SupervisoryControlandDataAcquisition,SCADA)、分布式控制系统(DistributedControlSystem,DCS)以及其他配置在关键基础设施上的控制系统如可编程逻辑控制器(ProgrammableLogicController,PLC)等组成,具有实时性、可靠性、分布性、系统性等特点。SCADA系统的主要功能是采集通信和遥测数据,下发遥控和调度命令,多用于输电调度、变电站及发电厂监控、电力市场运营、用电信息采集及配电自动化系统等[7-8]。电力工业控制系统涉及的电力、信息和业务高度统一。电力的传输过程包括:电厂发电、线路输电、变压器变电、用户配电及用电组成,电力通信网络己经覆盖了电力控制系统的各个环节,在控制原则上采用“安全分区、网络专用、物理隔离、纵向认证”的方式,且具有以下特点。1)系统响应速度快。电力工业控制系统与传统工业系统相比,不允许出现过大的延迟和系统震荡,响应必须准时可靠,以应付现场不同的工控情况。2)系统威胁源更多。如恐怖组织、工业间谍、恶意入侵者等,攻击者通过多种形式的网络攻击对工控系统网络进行破坏和入侵,包括后门攻击、IP碎片攻击、畸形包攻击、DoS攻击、暴力破解、通信抓包等,一旦攻破工控系统的安全防线,将会对工业通信网络和基础设施造成严重破坏。3)系统数据量大。电力工业控制系统涉及大量电力数据的采集、传输以及信息共享,包括系统的输变电参量、用电终端的用电量等,需要通过这些实时信息来确保电力调度的精确、快速。
3影响电力工业控制系统信息安全的风险分析
3.1电力终端的风险分析
与传统信息控制系统相比,电力工业控制系统的安全防护主要集中在终端生产设备及其操作过程。终端生产设备(如PLC、操作员工作站、工程师操作站等)作为电力系统最终的控制单元,直接控制生产运行,监控系统的运行数据信息。终端服务器的安全是计算机设备在操作系统及数据库系统层面的安全[9]。在电力工控系统网络中,缺乏合适的终端物理安全防护方法。地震、强风、暴雨等自然灾害是影响信息系统物理安全的重大威胁,易造成设备损毁、网络瘫痪、数据丢失等工业事故。除此之外,由于接地不良引起的静电干扰以及电磁干扰也会造成系统不稳定,同时机房安全设施自动化水平低,不能有效监控环境和信息系统工作状况。终端部署位置要谨慎考量,安排在高层时存在消防不易达、雨水渗透等安全隐患,部署在地下则易出现水蒸气结露、内涝、积水等隐患。工控系统应设置避雷装置,雷电容易引起强电流或高电压,极易击穿电子元件,使设备直接损毁或瘫痪。另一方面,电力设备的损坏、检修、改造等都可能导致外部电力供应中断,电力供应的突然中断除了会造成系统服务停止外,还有可能产生电力波动,如果控制系统不能把电力波动的范围控制在10%内,或没有部署稳压器和过电压保护设备,极有可能对系统电子设备带来严重的物理破坏。强电电缆和通信线在并行铺设时,可能会产生感应电流和干扰信号,极易导致通信线缆中传输的数据信息被破坏或无法识别。除了电磁干扰之外,还应防止设备寄生耦合干扰,设备耦合干扰会直接影响工控设备的性能,使得无法准确量测或采集当前信息。
3.2网络风险分析
建立安全的网络环境是保障系统信息安全的重要部分,因此必须对工控网络进行全面深入的风险分析。信息网络的安全稳定可以保障工控设备的安全运行,为企业提供可靠、有效的网络服务,确保数据传输的安全性、完整性和可用性。对于电力工业控制系统内的网络基础设施环境,基于业务和操作要求常有变动,且通常很少考虑潜在的环境变化可能会造成的安全影响,随着时间的推移,安全漏洞可能已经深入部分基础设施,有的漏洞可能通过后门连接到工控系统,严重威胁到工业控制系统的稳定运行[10]。由于安全设备配置不当,防火墙规则和路由器配置不当也易造成通信端风险。缺乏正确配置的防火墙可能允许不必要的网络数据传递,如在控制网和企业网之间的数据传输,可能导致对系统网络的恶意攻击和恶意软件的传播,敏感数据容易受到监听;网络设备的配置应进行存储或备份,在发生意外事故或配置更改时,可以通过程序恢复网络设备的配置来维持系统的可用性,防止数据丢失;若数据在传输过程中不进行加密或加密等级不够,极易被窃听或拦截,使得工控系统受到监视;另外,在通信过程中使用的通信协议通常很少或根本没有内置的安全功能,导致电力工控系统存在极大的安全风险。电力工控系统本身对可靠性、稳定性及兼容性的要求都很高,如果发生破坏或安全事故,造成的国民经济损失将不可估量。
3.3应用风险分析
应用层运行着工控系统的各类应用,包括网络应用以及特定的业务应用,如电子商务、电子政务等。对应用风险进行分析就是保护系统各种业务的应用程序能够安全运行。很多电力工控设备没有身份验证机制,即使有,多数也为设备厂商默认的用户名和密码,极易被猜出或破解,通常不会定期进行密码更换,风险极大。同时要防止应用系统的资源(如文件、数据库表等)被越权使用的风险。对关键部件缺乏冗余配置,导致应用程序对故障的检测能力、处理能力、恢复能力不足,缺乏对程序界面输入格式的验证以及注入攻击的验证,如SQL注入攻击等,系统面临暴露数据库的风险。
3.4数据安全风险分析
虽然电力系统内外网已进行了物理隔离,但在管理信息大区中积累了大量的电力敏感数据,如电力市场的营销数据、居民用电数据、电力企业财务报表、人力资源数据等,内部人员、运维人员或程序开发人员过多地对电力数据库进行访问,易造成这些敏感数据的泄露或被篡改。当前数据库中,不仅仅包含用电数据,居民的个人信息也都存储在内,居民的人身财产风险越来越大。电网资源、调度、运维、检修等数据容易被批量查询,进而导出敏感信息,缺少对敏感字符的过滤将带来极大的风险。这些电力数据往往缺乏定期备份,如果人为误操作或删除、更改数据,或者数据库本身发生故障、宕机、服务器硬件故障,数据易丢失。
险应对方案
针对电力工控系统面临的安全风险,可首先采用渗透技术模拟黑客攻击,在完成对工控系统信息收集的基础上,使用漏洞扫描技术,以检测出的漏洞为节点进行攻击,以此来验证系统的防御功能是否有效。当发现系统存在漏洞或安全风险时,应主动采取安全防护措施,使用可信计算技术以及安全监测技术抵御来自系统外部的恶意攻击,建立工控系统安全可靠的防护体系。
4.1渗透验证技术
4.1.1信息收集
1)公共信息采集首先分析网站的结构,查看源文件中隐藏的连接、注释内容、JS文件;查看系统开放的端口和服务;暴力探测敏感目录和文件,收集网站所属企业的信息,采用的手段包括查询DNS、查询Whois信息、社会工程学等。2)使用搜索引擎目前比较常用的搜索引擎为GoogleHacking,其搜索关键字符的能力非常强大,例如:①Intext字符:可用于正文检索,适用于搜索较为明确的目标,使用某个字符作为搜索条件,例如可以在Google的搜索框中输入:intext:工控,搜索结果将显示所有正文部分包含“工控”的网页;②Filetype字符:可以限定查询词出现在指定的文档中,搜索指定类型的文件,例如输入:filetype:xls.将返回所有excel文件的URL,可以方便地找到系统的文档资料;③Inurl字符:Inurl字符功能非常强大,可以直接从网站的网址挖掘信息,准确地找到需要的信息及敏感内容,例如输入:inurl:industry可以搜索所有包含industry这个关键词的网站。
4.1.2漏洞扫描
漏洞扫描是指通过手动输入指令或使用自动化工具对系统的终端通信及控制网络进行安全检测。1)使用基于主机的漏洞扫描技术对系统终端进行检测。基于主机的漏洞扫描器由管理器、控制台和组成。漏洞扫描器采用被动、非破坏性的检测手段对主机系统的内核、文件属性、系统补丁等可能出现的漏洞进行扫描。管理器直接运行在网络环境中,负责整个扫描过程;控制台安装在终端主机中,显示扫描漏洞的报告;安装在目标主机系统中,执行扫描任务。这种扫描方式扩展性强,只需增加扫描器的就可以扩大扫描的范围;利用一个集中的服务器统一对扫描任务进行控制,实现漏洞扫描管理的集中化,可以很好地用于电动汽车充电桩、自动缴费机、变电站系统及用电信息采集等终端上。2)利用特定的脚本进行扫描,以此判断电力系统是否存在网络中断、阻塞或延迟等现象,以及严重时是否会出现系统崩溃;另一方面,漏洞扫描还可以针对已知的网络安全漏洞进行检测,查明系统网络端口是否暴露、是否存在木马后门攻击、DoS攻击是否成立、SQL注入等常见漏洞及注入点是否存在、检测通信协议是否加密等。3)考虑到需要对系统具体应用的漏洞状态进行检测,因此可由前台程序提供当前系统应用的具体信息与漏洞状态,由后台程序进行具体的监听及检测,并及时调用漏洞检测引擎。需要注意的是,在电力生产大区中,尤其是安全I区中,为了避免影响到系统的稳定性,一般不使用漏洞扫描,具体防护方式需要根据安全要求而定。
4.1.3渗透攻击验证
1)暴力破解。暴力破解是指通过穷举不同的用户名及密码组合来获得合法的登录身份,只要密码不超过破译的长度范围,在一定时间内是能够破解出来的,但破解速度过慢,是效率很低的一种攻击方式,并且攻击不当可能会造成系统的过载,使登录无法被响应。此外,如果系统限制了登录次数,那么暴力破解的成功率则会非常低。2)DoS攻击。DoS攻击即拒绝服务,指的是通过耗尽目标的资源或内存来发现系统存在的漏洞和风险点,使计算机或网络无法正常提供服务。这种攻击会使系统停止响应或崩溃,直接导致控制设备宕机。攻击手段包括计算机网络带宽攻击和连通性攻击、资源过载攻击、洪水攻击、半开放SYN攻击、编外攻击等,其根本目的都是使系统主机或网络无法及时接受和处理请求信息,具体表现为主机无法实现通信或一直处于挂机状态,严重时甚至直接导致死机。
4.2安全防护技术
4.2.1可信计算技术
可信计算技术[12-14]是基于硬件安全模块支持下的可信计算平台实现的,已广泛应用于安全防护系统中。国际可信计算组织提出了TPM(TrustedPlatformModule)规范,希望成为操作系统硬件和软件可信赖的相关标准和规范。可信计算从微机芯片、主板、硬件结构、BIOS等软硬件底层出发,在硬件层为平台嵌入一个规范化且基于密码技术的安全模块,基于模块的安全功能,建立一个由安全存储、可信根和信任链组成的保护机制,从网络、应用、数据库等方面实现可信计算的安全目标。在保证主机系统信息安全的前提下,为企业提供安全可靠的防护系统。TPM芯片包含CPU、RAM、算法加速器等,应用时首先验证系统的初始化条件是否满足,然后在启动BIOS之前依次验证BIOS和操作系统的完整性,只有在确定BIOS没有被修改的情况下才可启动BIOS,然后利用TPM安全芯片内的加密模块验证其他底层固件,只有平台的可靠性认证、用户身份认证、数字签名以及全面加密硬盘等所有验证全部通过后,整个计算机系统才能正常启动。构建软硬件完整信任链是建立可信环境服务平台的关键。可信工控环境由以下几个模块组成:可信工控模块、度量信任根、验证信任根。可信工控模块是可信服务平台功能架构的核心,作为工控系统的信任根,主要用来存储信任根和报告信任根的作用,并为系统其他组件提供存储保护功能;度量信任根以及验证信任根利用可信工控模块提供的安全环境及保护机制实现相应的验证和度量功能。要构建可信工控安全环境,首先要加载度量信任根和验证信任根,并与可信工控模块中的完整性证书相匹配,完成对自身系统的安全诊断;然后对度量验证的完整性进行度量,将实际度量值与参考证书中的值进行比较,度量通过后将执行控制权交给度量验证,度量验证对操作系统进行度量、验证以及存储;最后通过与标准值的对比来验证工控系统相应设备引擎、通信引擎、应用引擎的运行是否可信。工控可信服务平台从硬件到软件的完整信任链传递为:系统启动后首先执行固化在ROM里的安全引导程序,该程序通过ARM硬件技术确保不会被篡改;然后,由安全引导程序计算安全区操作系统内核的RIM值,并与其对应的RIM值进行比较,验证通过则加载操作系统,并将控制权传递给可信工控模块;可信工控模块对安全区应用层进行进程验证,即加载初始进程、可信工控模块主进程及相应的辅助进程等的RIM值进行比较验证;最后,可信工控模块对非安全区域的程序进行初始化,如操作系统、可信应用程序等,对其RIM值进行比较验证。
4.2.2安全监测技术
安全监测技术[15-19]是指通过全面、丰富的数据采集,对信息进行分析和预处理,解析监控得到的数据,并与设定参数进行比对,根据结果采用相应的防护策略对系统进行全面监管。针对目前电力工控系统存在的安全风险,基于对工控网络数据的采集和协议分析,可使用数据分析算法提前处理安全威胁,使针对工控网络及关键设备的攻击得到有效监管和处理。1)数据采集。电力工控系统的数据采集不同于一般的IT系统,需要在保障系统稳定运行的前提下进行,不能因为操作不当造成链路堵塞。根据采集方式的不同可以将数据采集分为3类:通过采集采集数据、通过协议直接采集、通过抓包工具获取数据。一般来说,需要采集的信息为防火墙、路由器、交换机、IDS/IPS、网络审计设备、正/反向隔离装置以及纵向加密认证装置的具体数据,包括IP地址、MAC地址、出厂型号、配置信息、用户管理信息、权限等级设置等。除此之外,还应对含有攻击信息的数据进行监测,包括DoS攻击、重复扫描攻击、数据包攻击等。抓包分析是指使用抓包工具抓取协议数据包,再利用相关协议和规范对抓取的数据包进行解析。2)数据处理。数据处理主要是对采集到的数据和工控协议数据包进行解析和处理,剔除不需要的多余数据和垃圾数据,将与安全事件相关的数据从中选取出来,如配电自动化等业务的上传数据、下载数据,电力数据流量信息和电压、电流参数信息等,对采集到的数据进行关联分析,对分析得到的威胁进行确认,并对结果进行二次过滤,最后将解析得到的数据使用统一格式保存,用于后续的风险监测。3)构建安全监测系统。安全监测系统基于以上数据分析,设定监测参数的阈值,通过监测数据及操作的一致性来实现对工控系统的异常监控、运行管理、配电网分析等。当工控系统中的流量遭到非法抓包或者系统指令遭到恶意篡改时,应及时对数据进行过滤并发出告警信息,具体流程为:基于函数库编写相关脚本程序,抓取网络数据包;按照工控协议和标准对数据参数进行解析;根据监测系统的安全等级要求,设置系统的风险阈值;将解析得到的参数与设置的阈值相比较。电力工业控制系统采用安全监测技术,针对工业控制网络中出现的数据及进行的操作,采用网络抓包、数据分析及参数比对的方式进行风险监测与分析,对工控系统信息安全风险中典型的指令篡改、畸形数据包和异常流量等安全威胁进行全面监测。
5结语
随着工业化和信息化的发展和融合,电力工业信息化的趋势已不可阻挡,保障系统信息安全是维护电力工业控制系统稳定运行的重要前提,是开展电力工业建设的坚实基础。针对相应的工控安全需求及系统运行状况,选择合适的安全防护技术,全方位地对电力工业控制系统的风险进行分析和考察,才能确保电力网络的安全、可靠,减少由于信息安全风险造成的设备损失。
作者:张盛杰 顾昊旻 李祉岐 应欢 单位:中国电力科学研究院 安徽南瑞继远软件有限公司 北京国电通网络技术有限公司
参考文献:
[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[2]李鸿培,忽朝俭,王晓鹏,等.工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59,62.
[3]李文武,游文霞,王先培,等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.
[4]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].计算机研究与发展,2015,52(5):1109-1126.
[5]王刚军.电力信息安全的监控与分析[J].电网技术,2004,28(9):50-53.
[6]王保义.电力信息系统信息安全关键技术的研究[D].保定:华北电力大学,2009.
[7]王栋.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,40(2):6-11.
[8]党林.电力企业网络病毒防御方案分析[J].科技传播,2012(7):175-176.
[9],秦浩.防病毒系统在青海电力调度数据网中的设计与应用[J].青海电力,2012,31(3):61-63.
[10]高昆仑,赵保华.全球能源互联网环境下可信计算技术研究与应用探讨[J].智能电网,2015,3(12):1103-1107.
[11]王欢欢.工控系统漏洞扫描技术的研究[D].北京:北京邮电大学,2015.
[12]张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.
[14]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015(4):35-40.
[15]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[C]//信息安全漏洞分析与风险评估大会,2012.
[17]俞海国,马先,徐有蕊,等.电网工业控制系统安全威胁监测系统设计及应用[J].电力信息与通信技术,2016,14(7):76-80.
钟群鹏教授解释说,安全分窄义和广义两类:窄义的安全包括国家安全、社会安全和公共安全广义的安全包括环境安全、技术安全、城市安全和经济安全等。现代社会,由于安全与社会、科技、经济发展等互相依赖、互相制约,安全的社会重要性日益凸显。
各种安全问题,如采矿安全、交通安全、食品安全、信息安全,都可能对经济建设、社会发展和人民生活形成困扰。因此与之相关的安全文化、安全技术和安全管理等概念应运而生。
从社会进步的角度来看,安全是人民安居乐业的基本保证,是以人为本的重要内涵;从经济发展的角度来看,安全是减少事故损失的有效手段,是国际经济贸易市场的准入条件,是经济持续、健康、协调、科学发展的重要保证。钟群鹏教授说:社会已经开始感觉到对某种公共安全专业人才的需要,目前已经有数十所高校招收和培养安全科学技术和工程专业的本科生或大专生。加强对安全科学技术的研究,尽快地发展这方面的高等教育,对构建和谐社会非常重要。(经济日报)
河北实施职工安全素质提升工程
【本刊讯】 3月月27闩下午,河北省职上安全生产知识电视培训活动正式活动。按照培训计划;全省2006年至2008年3年内将培训150万名安全生产高素质职工。在全省范围内组织此类培训活动在全国尚不多见。全总纪检组组长、书记处长记张鸣起,国家安监总局副局长孙作山,河北省副省长付双建等领导出席启动仪式并讲话。
据对大量的安全生产事故发生情况分析来看,由于缺乏严格的安全培训而导致从业人员安全素质低下,不具备必要的安 全生产知识和操作技能;从而出现违章作业,是造成事故的主要原因之。为提高广大职工安全生产素质,省政府办公厅印子《河北省职工安全生产知识电视培训活动方案》,提出3年内培训150万名职工的计划。据悉,今年的培训范围主要在煤矿、非煤矿山、建筑、化工、冶金5个高危行行。重点培训这些行业中的非公企业、小型企业职工《含合同工、农民劳务工、轮换工、协议工、季节工)。为突出重点培训小企业职工,各地由县(市、区)培训活动领导小组办公室组织培训的人数要占到80%左右,由大中型企业组织培训的人数占到20%左右。
培训内容为《全国职工安全生产知识、电视培训教学光盘》和《职工安全生产知识》中的有关内容;其包括事故起因与预防、安全技术、工业卫生、班组安全建设、工会劳动保护监督及锅炉、起重;电器、危险化学品、防火等内容,各地各单位可选择适合本行业;本企业的内容进行培训。(工人日报)
投身安全生产同样能出政绩
近日,河南荥阳市政府在2005午度工作总结表彰会卜,给市安检局局长安保兴、党组书记陈剑分别记个人三等功,两人披红戴花上台领奖。荥阳市政府的记功决定在荥阳市安全生产史卜的尚属首次,市领导在会上明确告诉各级干部,抓安全生产工作同样能出政绩。
目前,荥阳市有各类土产经营单位18000多家,煤矿、非煤矿山、危化企业、烟花爆竹、机械制造等行业门类比较齐全,安全监管任务―卜分繁重。
荥阳市安检局紧紧围绕“抓安全、保稳定、促发展”这个大局,充分发挥市政府安委会办公室的作用,协调各乡镇;各委局齐抓共管?联合执法。首先是狠抓了各级安监机构建设?构建全市四级安垒生产网络;:其次是一手抓安全生产教育培训、增强子部、职工及广大市民的安全意识;提高他们的安全生产技能。近年来共培训厂长、经理、各级安全管理人员;特种作业人员5700多人;另一手抓安全隐患排查,整改各类隐患7400多条,查处安全生产违法违规案件140多起。在加大安全生产许可力度方面,全市10家烟花爆竹企业全部获得安全生产许可证。140多家危险化学晶生产经营企业和190多家非煤矿山企业,都经过安全评价和评审,创出了连续11个无生产经营性死亡事故的好成绩,名:列郑州市安全生产工作前茅。
安全生产形势的稳定,有力促进了荥阳市经济的快速发展。全市:GDP从2004年的113亿元增长到145亿元财政收入从2004年4.2亿元增长到5.8亿元,名列河南省综合实力前五名。(中国安全生产报)
央企要率先实现安全生产五个转变
日前,从相关部门获悉,央企要率先实现安全生产五个转变:从人治向法治转变,从被动防范向源头管理转变,从集中开展安全检查向规范化、经常化、制度化管理转变,从事后查处向强化基础转变,从控制伤亡事故为主向全面做好职业健康工作转变。
国资委主任李荣融说:“国资委将认真履行出资人安全生产职责,通过进一步改进内部工作程序,督促安全生产隐患整改,完善事故报告、事故跟踪、事故调查、事故档案管理和安全生产业绩考核制度,督促企业负责人切实落实企业安全生产主体责任。”
据不完全统计,2005年中央企业发生重大以上安全事故25起(含境外),造成207人死亡(含失踪),158人受伤。事故主要发生在建筑、危险化学品、交通、煤矿各非煤矿山企业。与―亡年相比,事故增加5起,死亡人数减少8人,受伤人数加127人。其中,煤矿事故减少2起,死亡人数减少13人,但建筑事故勘n9起,死亡人数增加95人。(工人日报)
安全事故超标官员难获晋升
安监总局新闻发言人表示,安全事故发生数量化指标即将出台。此指标会纳入地方政绩考核的指标体系里去,与职务晋升、各种待遇挂钩,没有完成指标的官员不许提拔、不许奖励、不许晋升,从而建立起一种激励约束机制。刘于那些忽视安全生产,从而导致生产安全事故发生地方政府的负责人;国家会依据有关规定严肃加以追究,争取使每个人的生命价值进一步得到尊重和珍惜。(北京晨报)
煤炭专家“检讨”下井太少
“我尽管是搞煤炭的;却很少下矿井;至于下到小煤窑的机会更是微乎其微。”
在全国政协工会界的小组讨论中,全国政协委员、中煤国际工程集:团北京华宇工程有15艮公司副总工程师曾涛在谈及政协调整界别设置时的一番“检讨”发人深思。
“反映社情民意;是政协的重要职责之一。但在我们的政协委员中,又有几个是真正的工人、农民?”
“老百姓生活中普遍存在的住房难、看病难、子女上学难等问题,在座的委员们恐十白都不存在。就煤炭系统来说。这些问题对我来说也不存在,但广大矿工却为这些问题烦恼。”
“委员们对老百姓的苦恼;困难没有切肤之痛,如果再缺乏深入调查、了解,委员的发言、建议在反映劳动人民真实心声上就难免打折扣。”
由此,曾涛委员建议,政协组织在调整界别设置时,应该增加一线工人、农民的代表。同时,各界别的参政议政也应体现各自特色,比如工会界委员就应该在维护劳动者权益方面更好地发挥作用。(中国安全生产报)
为偏赔偿金竟多报矿难人数
2005年8月7日,广东兴宁大兴煤矿发生透水事故,121名矿工被困井下。大兴煤矿属下的永半煤矿配套组组长张某友为骗赔偿金,竟将其所在班组只有14中工人被困井下,造成有关部门对外公布被困井下人数虚增2人,变成123人。后来他看骗不到钱又十白被追究责任,又假报两名矿工已出矿回家了。
前日,兴宁市法院审结这宗诈骗案,判决张某友犯诈骗罪。鉴于张某友在犯罪过程中;自动放弃犯罪,犯罪行为没有造成损害,依法予以免除处罚。(广州日报)
“上海通用”召回部份凯越轿车
上海通用汽车有限公司日前决定自2006年3月3日开始,对部分别克凯越轿车实施召回。