第一篇：構建信息安全保密體系

構建信息安全保密體系

摘 要：信息安全保密已經成為當前保密工作的重點。本文從策略和機制的角度出發(fā)，給出了信息安全保密的服務支持、標準規(guī)范、技術防范、管理保障和工作能力體系，體現(xiàn)了技術與管理相結合的信息安全保密原則。關鍵詞：信息 安全 保密 體系

一、引言

構建信息安全保密體系，不能僅僅從技術層面入手，而應該將管理和技術手段有機結合起來，用規(guī)范的制度約束人，同時建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補技術、制度、體制等方面存在的不足，從標準、技術、管理、服務、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖 1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機制為核心，以信息安全保密服務為支持，以標準規(guī)范、安全技術和組織管理體系為具體內容，最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機制 所謂信息安全保密策略，是指為了保護信息系統(tǒng)和信息網絡中的秘密，對使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產安全管理的角度出發(fā)，為了保護涉密信息資產，消除或降低泄密風險，制訂的各種綱領、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術人員）將涉密軟盤或移動存儲設備帶出涉密場所；嚴禁（使用人員將）涉密計算機（連）上互聯(lián)網；不允許（參觀人員）在涉密場所拍照、錄像等。

信息安全保密機制，是指實施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對前面給出的保密策略，可分別采取以下機制：為涉密移動存儲設備安裝射頻標識，為涉密場所安裝門禁和報警系統(tǒng)；登記上網計算機的（物理）地址，實時監(jiān)控上網設備；進入涉密場所前，托管所有攝錄像設備等。

根據信息系統(tǒng)和信息網絡的安全保密需求，在制定其安全保密策略時，應主要從物理安全保密策略，系統(tǒng)或網絡的訪問控制策略，信息的加密策略，系統(tǒng)及網絡的安全管理策略，人員安全管理策略，內容監(jiān)管策略等方面入手。在安全保密機制方面，應主要從組織管理、安全控制和教育培訓等方面，針對給出的安全保密策略，確定詳細的操作或運行規(guī)程，技術標準和安全解決方案。

三、信息安全保密的服務支持體系

信息安全保密的服務支持體系，主要是由技術檢查服務、調查取證服務、風險管理服務、系統(tǒng)測評服務、應急響應服務和咨詢培訓服務組成的，如圖2所示。其中，風險管理服務必須貫穿到信息安全保密的整個工程中，要在信息系統(tǒng)和信息網絡規(guī)劃與建設的初期，就進行專業(yè)的安全風險評估與分析，并在系統(tǒng)或網絡的運營管理過程中，經常性地開展保密風險評估工作，采取有效的措施控制風險，只有這樣才能提高信息安全保密的效益和針對性，增強系統(tǒng)或網絡的安全可觀性、可控性。其次，還要大力加強調查取證服務、應急響應服務和咨詢培訓服務的建設，對突發(fā)性的失泄密事件能夠快速反應，同時盡可能提高信息系統(tǒng)、信息網絡管理人員的安全技能，以及他們的法規(guī)意識和防范意識，做到“事前有準備，事后有措施，事中有監(jiān)察”。

加強信息安全保密服務的主要措施包括： 借用安全評估服務幫助我們了解自身的安全性

通過安全掃描、滲透測試、問卷調查等方式對信息系統(tǒng)及網絡的資產價值、存在的脆弱性和面臨的威脅進行分析評估，確定失泄密風險的大小，并實施有效的安全風險控制。采用安全加固服務來增強信息系統(tǒng)的自身安全性 具體包括操作系統(tǒng)的安全修補、加固和優(yōu)化；應用服務的安全修補、加固和優(yōu)化；網絡設備的安全修補、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進與完善等。部署專用安全系統(tǒng)及設備提升安全保護等級

借助目前成熟的安全技術和產品來幫助我們提升整個系統(tǒng)及網絡的安全防護等級，可采用的產品包括防火墻、IDS、VPN、防病毒網關等。

運用安全控制服務增強信息系統(tǒng)及網絡的安全可觀性、可控性

通過部署面向終端、服務器和網絡邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺，增強對整個信息系統(tǒng)及網絡的可觀性，以及對使用網絡的人員、網絡中的設備及其所提供服務的可控性。

加強安全保密教育培訓來減少和避免失泄密事件的發(fā)生 加強信息安全基礎知識及防護技能的培訓，尤其是個人終端安全技術的培訓，提高使用和管理人員的安全保密意識，以及檢查入侵、查處失泄密事件的能力。引入應急響應服務及時有效地處理重大失泄密事件

具體包括：協(xié)助恢復系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來源、時間、方法等；對網絡進行安全評估，找出存在的安全隱患；做出事件分析報告；制定并貫徹實施安全改進計劃。采用安全通告服務來對竊密威脅提前預警 具體包括對緊急事件的通告，對安全漏洞和最新補丁的通告，對最新防護技術及措施的通告，對國家、軍隊的安全保密政策法規(guī)和安全標準的通告等。

四、信息安全保密的標準規(guī)范體系 信息安全保密的標準規(guī)范體系，主要是由國家和軍隊相關安全技術標準構成的，如圖3所示。這些技術標準和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計算機、網絡、數(shù)據等不同的對象，涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關安全保密防護規(guī)定，也有對人員的管理和操作要求。因此，它們是設計信息安全保密解決方案，提供各種安全保密服務，檢查與查處失泄密事件的準則和依據。各部門應該根據本單位信息系統(tǒng)、信息網絡的安全保密需求，以及組織結構和使用維護人員的配置情況，制定相應的，操作性和針對性更強的技術和管理標準。

五、信息安全保密的技術防范體系 信息安全保密的技術防范體系，主要是由電磁防護技術、信息終端防護技術、通信安全技術、網絡安全技術和其他安全技術組成的。這些技術措施的目的，是為了從信息系統(tǒng)和信息網絡的不同層面保護信息的機密性、完整性、可用性、可控性和不可否認性，進而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網絡的抗攻擊能力和安全可靠性。安全保密技術是隨著信息技術、網絡技術，以及各種入侵與攻擊技術的發(fā)展不斷完善和提高的，一些最新的安全防護技術，如可信計算技術、內網監(jiān)控技術等，可以極大地彌補傳統(tǒng)安全防護手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網絡的安全可控性和可用性，奠定了技術基礎。因此，信息安全保密的技術防范體系，是構建信息安全保密體系的一個重要組成部分，應該在資金到位和技術可行的情況下，盡可能采用最新的、先進的技術防護手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說，信息安全是“三分靠技術，七分靠管理”。信息安全保密的管理保障體系，主要是從技術管理、制度管理、資產管理和風險管理等方面，加強安全保密管理的力度，使管理成為信息安全保密工作的重中之重。

技術管理主要包括對泄密隱患的技術檢查，對安全產品、系統(tǒng)的技術測評，對各種失泄密事件的技術取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實；資產管理主要包括涉密人員的管理，重要信息資產的備份恢復管理，涉密場所、計算機和網絡的管理，涉密移動通信設備和存儲設備的管理等；風險管理主要是指保密安全風險的評估與控制。

現(xiàn)有的安全管理，重在保密技術管理，而極大地忽視了保密風險管理，同時在制度管理和資產管理等方面也存在很多問題，要么是管理制度不健全，落實不到位；要么是一些重要的資產監(jiān)管不利，這就給失竊密和遭受網絡攻擊帶來了人為的隱患。加強安全管理，不但能改進和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動性和積極性，使信息安全保密工作從被動接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術、管理與標準規(guī)范結合起來，以安全保密策略和服務為支持，就能合力形成信息安全保密工作的能力體系，如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn)，也能反映出當前信息安全保密工作是否到位。它以防護、檢測、響應、恢復為核心，對信息安全保密的相關組織和個人進行工作考評，并通過標準化、流程化的方式加以持續(xù)改進，使信息安全保密能力隨著信息化建設的進展不斷提高。

八、結論

技術與管理相結合，是構建信息安全保密體系應該把握的核心原則。為了增強信息系統(tǒng)和信息網絡的綜合安全保密能力，重點應該在健全上述保密體系，尤其是組織體系、管理體系、服務體系和制度（技術標準及規(guī)范）體系的基礎上，規(guī)范數(shù)據備份、密鑰管理、訪問授權、風險控制、身份認證、應急響應、系統(tǒng)及應用安全等管理方案，努力提高系統(tǒng)漏洞掃描、信息內容監(jiān)控、安全風險評估、入侵事件檢測、病毒預防治理、系統(tǒng)安全審計、網絡邊界防護等方面的技術水平。

參考文獻：

[1]信息與網絡安全研究新進展．全國計算機安全學術交流會論文集．第二十二卷[C]．合肥：中國科技大學出版社, 2007 [2]中國計算機學會信息保密專業(yè)委員會論文集．第十六卷[C]．合肥：中國科技大學出版社, 2006 [3]胡建偉．網絡安全與保密[M]．西安：西安電子科技大學出版社, 2003

第二篇：構建信息安全保密體系.

構建信息安全保密體系

摘要:信息安全保密已經成為當前保密工作的重點。本文從策略和機制的角度出發(fā),給出了信息安全保密的服務支持、標準規(guī)范、技術防范、管理保障和工作能力體系,體現(xiàn)了技術與管理相結合的信息安全保密原則。

關鍵詞:信息安全保密體系

一、引言

構建信息安全保密體系,不能僅僅從技術層面入手,而應該將管理和技術手段有機結合起來,用規(guī)范的制度約束人,同時建立、健全信息安全保密的組織體制,改變現(xiàn)有的管理模式,彌補技術、制度、體制等方面存在的不足,從標準、技術、管理、服務、策略等方面形成綜合的信息安全保密能力,如圖1所示。

圖1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機制為核心,以信息安全保密服務為支持,以標準規(guī)范、安全技術和組織管理體系為具體內容,最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機制

所謂信息安全保密策略,是指為了保護信息系統(tǒng)和信息網絡中的秘密,對使用者(及其代理允許什么、禁止什么的規(guī)定。從信息資產安全管理的角度出發(fā),為了保護涉密信息資產,消除或降低泄密風險,制訂的各種綱領、制度、規(guī)范和操作流程等,都屬于安全保密策略。例如:禁止(工作或技術人員將涉密軟盤或移動存儲設備帶出涉密場所;嚴禁(使用人員將涉密計算機(連上互聯(lián)網;不允許(參觀人員在涉密場所拍照、錄像等。

信息安全保密機制,是指實施信息安全保密策略的一種方法、工具或者規(guī)程。例如,針對前面給出的保密策略,可分別采取以下機制:為涉密移動存儲設備安裝射頻標識,為涉密場所安裝門禁和報警系統(tǒng);登記上網計算機的(物理地址,實時監(jiān)控上網設備;進入涉密場所前,托管所有攝錄像設備等。

根據信息系統(tǒng)和信息網絡的安全保密需求,在制定其安全保密策略時,應主要從物理安全保密策略,系統(tǒng)或網絡的訪問控制策略,信息的加密策略,系統(tǒng)及網絡的安全管理策略,人員安全管理策略,內容監(jiān)管策略等方面入手。在安全保密機制方面,應主要從組織管理、安全控制和教育培訓等方面,針對給出的安全保密策略,確定詳細的操作或運行規(guī)程,技術標準和安全解決方案。

三、信息安全保密的服務支持體系

信息安全保密的服務支持體系,主要是由技術檢查服務、調查取證服務、風險管理服務、系統(tǒng)測評服務、應急響應服務和咨詢培訓服務組成的,如圖2所示。其中,風險管理服務必須貫穿到信息安全保密的整個工程中,要在信息系統(tǒng)和信息網絡規(guī)劃與建設的初期,就進行專業(yè)的安全風險評估與分析,并在系統(tǒng)或網絡的運營管理過程中,經常性地開展保密風險評估工作,采取有效的措施控制風險,只有這樣才能提高信息安全保密的效益和針對性,增強系統(tǒng)或網絡的安全可觀性、可控性。其次,還要大力加強調查取證服務、應急響應服務和咨詢培訓服務的建設,對突發(fā)性的失泄密事件能夠快速反應,同時盡可能提高信息系統(tǒng)、信息網絡管理人員的安全技能,以及他們的法規(guī)意識和防范意識,做到“事前有準備,事后有措施,事中有監(jiān)察”。

加強信息安全保密服務的主要措施包括: 借用安全評估服務幫助我們了解自身的安全性

通過安全掃描、滲透測試、問卷調查等方式對信息系統(tǒng)及網絡的資產價值、存在的脆弱性和面臨的威脅進行分析評估,確定失泄密風險的大小,并實施有效的安全風險控制。

采用安全加固服務來增強信息系統(tǒng)的自身安全性

具體包括操作系統(tǒng)的安全修補、加固和優(yōu)化;應用服務的安全修補、加固和優(yōu)化;網絡設備的安全修補、加固和優(yōu)化;現(xiàn)有安全制度和策略的改進與完善等。

部署專用安全系統(tǒng)及設備提升安全保護等級

借助目前成熟的安全技術和產品來幫助我們提升整個系統(tǒng)及網絡的安全防護等級,可采用的產品包括防火墻、IDS、VPN、防病毒網關等。

運用安全控制服務增強信息系統(tǒng)及網絡的安全可觀性、可控性

通過部署面向終端、服務器和網絡邊界的安全控制系統(tǒng),以及集中式的安全控制平臺,增強對整個信息系統(tǒng)及網絡的可觀性,以及對使用網絡的人員、網絡中的設備及其所提供服務的可控性。

加強安全保密教育培訓來減少和避免失泄密事件的發(fā)生

加強信息安全基礎知識及防護技能的培訓,尤其是個人終端安全技術的培訓,提高使用和管理人員的安全保密意識,以及檢查入侵、查處失泄密事件的能力。

引入應急響應服務及時有效地處理重大失泄密事件

具體包括:協(xié)助恢復系統(tǒng)到正常工作狀態(tài);協(xié)助檢查入侵來源、時間、方法等;對網絡進行安全評估,找出存在的安全隱患;做出事件分析報告;制定并貫徹實施安全改進計劃。

采用安全通告服務來對竊密威脅提前預警

具體包括對緊急事件的通告,對安全漏洞和最新補丁的通告,對最新防護技術及措施的通告,對國家、軍隊的安全保密政策法規(guī)和安全標準的通告等。

四、信息安全保密的標準規(guī)范體系

信息安全保密的標準規(guī)范體系,主要是由國家和軍隊相關安全技術標準構成的,如圖3所示。這些技術標準和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計算機、網絡、數(shù)據等不同的對象,涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關安全保密防護規(guī)定,也有對人員的管理和操作要求。因此,它們是設計信息安全保密解決方案,提供各種安全保密服務,檢查與查處失泄密事件的準則和依據。各部門應該根據本單位信息系統(tǒng)、信息網絡的安全保密需

求,以及組織結構和使用維護人員的配置情況,制定相應的,操作性和針對性更強的技術和管理標準。

五、信息安全保密的技術防范體系

信息安全保密的技術防范體系,主要是由電磁防護技術、信息終端防護技術、通信安全技術、網絡安全技術和其他安全技術組成的。這些技術措施的目的,是為了從信息系統(tǒng)和信息網絡的不同層面保護信息的機密性、完整性、可用性、可控性和不可否認性,進而保障信息及信息系統(tǒng)的安全,提高信息系統(tǒng)和信息網絡的抗攻擊能力和安全可靠性。安全保密技術是隨著信息技術、網絡技術,以及各種入侵與攻擊技術的發(fā)展不斷完善和提高的,一些最新的安全防護技術,如可信計算技術、內網監(jiān)控技術等,可以極大地彌補傳統(tǒng)安全防護手段存在的不足,這就為我們降低安全保密管理的難度和成本,提高信息系統(tǒng)和信息網絡的安全可控性和可用性,奠定了技術基礎。因此,信息安全保密的技術防范體系,是構建信息安全保密體系的一個重要組成部分,應該在資金到位和技術可行的情況下,盡可能采用最新的、先進的技術防護手段,這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說,信息安全是“三分靠技術,七分靠管理”。信息安全保密的管理保障體系,主要是從技術管理、制度管理、資產管理和風險管理等方面,加強安全保密管理的力度,使管理成為信息安全保密工作的重中之重。

技術管理主要包括對泄密隱患的技術檢查,對安全產品、系統(tǒng)的技術測評,對各種失泄密事件的技術取證;制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實;資產管理主要包括涉密人員的管理,重要信息資產的備份恢復管理,涉密場所、計算機和網

絡的管理,涉密移動通信設備和存儲設備的管理等;風險管理主要是指保密安全風險的評估與控制。

現(xiàn)有的安全管理,重在保密技術管理,而極大地忽視了保密風險管理,同時在制度管理和資產管理等方面也存在很多問題,要么是管理制度不健全,落實不到位;要么是一些重要的資產監(jiān)管不利,這就給失竊密和遭受網絡攻擊帶來了人為的隱患。加強安全管理,不但能改進和提高現(xiàn)有安全保密措施的效益,還能充分發(fā)揮人員的主動性和積極性,使信息安全保密工作從被動接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術、管理與標準規(guī)范結合起來,以安全保密策略和服務為支持,就能合力形成信息安全保密工作的能力體系,如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn),也能反映出當前信息安全保密工作是否到位。它以防護、檢測、響應、恢復為核心,對信息安全保密的相關組織和個人進行工作考評,并通過標準化、流程化的方式加以持續(xù)改進,使信息安全保密能力隨著信息化建設的進展不斷提高。

八、結論

技術與管理相結合,是構建信息安全保密體系應該把握的核心原則。為了增強信息系統(tǒng)和信息網絡的綜合安全保密能力,重點應該在健全上述保密體系,尤其是組織體系、管理體系、服務體系和制度(技術標準及規(guī)范體系的基礎上,規(guī)范數(shù)據備份、密鑰管理、訪問授權、風險控制、身份認證、應急響應、系統(tǒng)及應用安全等管理方案,努力提高系統(tǒng)漏洞掃描、信息內容監(jiān)控、安全風險評估、入侵事件檢測、病毒預防治理、系統(tǒng)安全審計、網絡邊界防護等方面的技術水平。

參考文獻: [1]信息與網絡安全研究新進展.全國計算機安全學術交流會論文集.第二十二卷[C].合肥:中國科技大學出版社, 2007 [2]中國計算機學會信息保密專業(yè)委員會論文集.第十六卷[C].合肥:中國科技大學出版社, 2006

[3]胡建偉.網絡安全與保密[M].西安:西安電子科技大學出版社, 2003

第三篇：構建企業(yè)信息安全保密技術防范體系

構建企業(yè)信息安全技術防范措施

杜洪偉

天津第七市政公路工程有限公司，天津（300113）

摘 要：隨著計算機網絡的快速發(fā)展，網絡資源共享也更加廣泛。計算機網絡面臨著信息泄露、黑客攻擊、病毒感染等多種威脅,信息安全保密工作面臨著嚴峻挑。本文結合我國企業(yè)信息安全保密工作的相關要求和實際情況，從技術防范的角度出發(fā)，對保障網絡的信息安全進行了分析，探討了構建滿足企業(yè)信息安全保密工作需要的防范措施。

關鍵詞：企業(yè)信息化；信息安全保密；技術防范措施； 引言

信息網絡國際化、社會化、開放化和個人化的特點, 決定了,它在給人們提供高效率、高效益、高質量的“信息共享”的同時,也投下了不安全的陰影。隨著企業(yè)和人民對網絡環(huán)境和網絡資源依賴程度的不斷加深, 信息泄露、黑客入侵、計算機病毒傳播甚至于威脅信息安全的問題會出現(xiàn)得越來越多。因此，如何在企業(yè)機構中做好信息安全保密工作，事關企業(yè)發(fā)展的戰(zhàn)略安全與重要利益。試想一下如果有關我國企業(yè)技術研究的重要信息系統(tǒng)安全遭到泄漏、破壞，那么就會對我國企業(yè)技術研究開發(fā)的各方面工作造成嚴重影響，使企業(yè)在該技術領域的研究陷于被動的處境，甚至會牽連整個社會和經濟的發(fā)展進程，引致災難性的經濟損失后果。總之，在企業(yè)機構中做好信息安全保密工作是一項系統(tǒng)工程，本文從技術角度出發(fā)，以未雨綢繆，預防為主，兼顧防御及修復的原則為指導，加強信息安全保密工作的重要意識，在構建防范體系的過程中把該安全意識落實到每個技術細節(jié)上。最終構建一個系統(tǒng)、全面、可靠、有針對性的技術防范體系。網絡信息安全問題

信息安全實質上是信息系統(tǒng)安全，信息系統(tǒng)主要由計算機系統(tǒng)構成，包括軟件、硬件等。國際標準化組織(ISO)將“信息安全”定義為: 為數(shù)據處理系統(tǒng)建立和采取的技術和管理的安全保護, 保護計算機硬件、軟件數(shù)據不因偶然和惡意的原因而遭到破壞、更改和泄露。

網絡信息安全面臨的威脅是多方面的, 具有無邊界性、突發(fā)性、蔓延性和隱蔽性等新的特點。網絡模糊了地理、空間上的邊疆概念, 使得網上的沖突和對抗更具隱蔽性。對計算機網絡的攻擊往往是在沒有任何先兆的情況下突然發(fā)生的, 而且會沿著網絡迅速蔓延。對網絡信息安全防御的困難還在于, 一個攻擊者僅需要發(fā)起一個成功的攻擊, 而防御者則需要考慮所有可能的攻擊;而且這種攻擊是在動態(tài)變化的。因此,需從技術上采取綜合、系統(tǒng)性的多種措施構建技術防范體系。

信息安全是一個綜合、交叉的學科領域,要涉及到安全體系結構、安全協(xié)議、密碼理論、信息分析、安全監(jiān)控、應急處理等各個方面, 還要利用數(shù)學、電子、信息、通信、計算機等諸多學科的長期知識積累和最新發(fā)展成果。信息安全要綜合利用數(shù)學、物理、通信和計算機諸多學科的長期知識積累和最新發(fā)展成果, 進行自主創(chuàng)新研究, 加強頂層設計, 提出系統(tǒng)的、完整的, 協(xié)同的解決方案。

實際上不論是局域網還是廣域網, 都是一種系統(tǒng), 所以系統(tǒng)安全問題的解決, 必然是一項系統(tǒng)工程, 必須采用系統(tǒng)工程學的方法、運用系統(tǒng)工程學的原理來設計網絡信息安全體系。解決網絡信息安全的基本策略是技術、管理和法制并舉。技術是核心, 要通過關鍵技術的突破, 構筑起國家信息安全技術防范體系。管理是關鍵, 根據“木桶原理”, 信息安全鏈條中任何一個環(huán)節(jié)的脆弱都有可能導致安全防護體系的失效, 必須要加強各管理部門和有關人員間的密切合作。法制是保障, 通過建立信息安全法規(guī)體系, 規(guī)范信息化社會中各類主體的行為, 以維持信息化社會的正常運作秩序。

3.信息安全的技術體系構成

3.1信息安全技術基礎 3.1.1邊界隔離技術

邊界隔離包括邏輯隔離、物理隔離、信息過濾、入侵檢測、防火墻、防病毒網關等，其實就是一種用于信息系統(tǒng)邊辦防護的安全技術，以阻止來自網絡系統(tǒng)外部的各種攻擊。運用該項技術首先

巨大商業(yè)、社會價值，病毒的泛濫大有愈演愈烈之勢，其危害的深度、廣度和力度也越來越大。流行廣泛、各類繁多、潛伏期長、破壞力大，對儲存了大量科研數(shù)據的計算機信息系統(tǒng)構成了長期與現(xiàn)實的威脅。

其次就是黑客入侵。通過技術手段，非法侵入計算機信息系統(tǒng)，獲取秘密信息或有選擇地破壞信息的有效性與完整性。這是當前企業(yè)機構計算機信息系統(tǒng)所面臨的最大威脅。黑客除了在網上編寫程序利用軟件進行直接的攻擊和破壞，還采用信號截取和聲像外露信號來獲取秘密信息。

再者就是存儲介質失密，特別是隨著移動存儲介質的廣泛使用，使得利用存儲介質竊取信息的事件日益增多。如涉密的優(yōu)盤、硬盤、光盤、筆記本電腦等。

系統(tǒng)漏洞，軟件是編程人員設計編寫的，有時因為疏忽，有時為了自便而專門設置，總是或多或少存在一些大大小小的漏洞。因此沒有無懈可擊，天衣無縫的軟件系統(tǒng)。利用計算機操作系統(tǒng)、信息管理系統(tǒng)、網絡系統(tǒng)的自身安全漏洞，進行竊取與破壞活動。

非法訪問，企業(yè)機構以外人員利用非法手段進入安全保密防范措施不完善的信息系統(tǒng)，對企業(yè)信息系統(tǒng)進行的破壞活動。另外還有人為因素。例如個別人員利用合法身份與國外的網絡非法連接，或者使用隨身攜帶的攝像等裝備進行的竊取行為。

以上所列舉的情況是目前存在于企業(yè)機構的主要信息安全威脅，針對上述威脅我們應構建有針對性的、強健的技術防范體系。

3.2.2構建有針對性的技術防范體系

構建符合企業(yè)機構工作特點且有針對性的信息安全保密技術防范體系，實際上就是從信息系統(tǒng)和信息網絡的不同層面保證信息的機密性、完整性、可用性、可控性，進而保障信息系統(tǒng)的安全，提高信息系統(tǒng)及網絡的防御能力。安全保密技術是隨著信息技術、網絡技術，以及各種入侵技術的發(fā)展而不斷完善和提高的，不斷采用一些最新的安全防護技術，可以極大地彌補傳統(tǒng)安全防護手段存在的不足。因此，信息安全保密的技術防范體系，是構建整個信息安全保密體系的重要組成部分，在資金允許和技術可行的條件下，應該盡可能采用先進的、且經得住實踐檢驗的技術防護手段，這樣才能有效抵御不斷出現(xiàn)的信息安全威脅。

（1）物理安全防護

物理安全防護主要指內網借助于某些網絡設備及軟件系統(tǒng)等方式間接地連接到外網，另外還包括對網絡設備保護層及電磁輻射的物理防護。物理安全防護的方法有以下幾種：

1)抑制電磁泄漏（即TEMPEST技術）是物理安全防護的一個重要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，既要采用各種電磁屏蔽手段，還要應對可能出現(xiàn)的干擾。

2）網絡隔離卡：在終端機上加裝網絡安全隔離卡，并額外配備1塊硬盤，這樣就能根據使用者的需求，靈活切換內外網。

3）最直接的方法應是一人雙機：如果經濟條件允許，給專業(yè)管理人員配備2臺終端機，1臺接外網，1臺只接內網。

（2）防火墻

目前，常見的防火墻主要有三類：

1）應用代理型防火墻是內部網與外部網的隔離點，起著監(jiān)視和隔離應用層通信流的作用。2）包過濾型防火墻：數(shù)據分組的過濾或包過濾，其中包過濾原理和技術可以認為是各種網絡防火墻的基礎構件。

3）綜合型防火墻將數(shù)據包過濾和代理服務結合起來使用。

混合使用數(shù)據包過濾技術、代理服務技術和其他一些新技術將是未來防火墻的發(fā)展趨勢。（3）抗攻擊、防病毒網關

在通訊網絡中使用抗攻擊防病毒網關可以有效避免“拒絕服務攻擊（DoS）”和“連接耗盡攻擊”

第四篇：五步構建信息安全運維體系

五步構建信息安全運維體系

隨著信息安全管理體系和技術體系在信息安全建設中不斷推進，占信息系統(tǒng)生命周期70%-80%的信息安全運維體系的建設已經越來越被廣大用戶重視。尤其是隨著信息系統(tǒng)建設工作從大規(guī)模建設階段逐步轉型到“建設和運維”并舉的發(fā)展階段，信息安全負責人員需要管理越來越龐大的IT系統(tǒng)的情況下，信息安全運維體系建設已經被提到了一個空前的高度上。

目前，大多數(shù)的信息安全運維體系的服務水平處在一個被動的階段。這主要表現(xiàn)在信息技術和設備的應用越來越多，但運維人員在信息系統(tǒng)出現(xiàn)安全事件的時候卻茫然不知所措。究其原因，是該組織未建設成完整的信息安全運維體系。

正是因為目前運維服務中存在的弊端，山東省軟件評測中心依靠長期從事信息系統(tǒng)運維服務的經驗，同時結合信息安全保障體系建設中運維體系建設的要求，遵循ITIL、ISO/IEC 27000系列服務標準、等級保護和分級保護制度，建立了一整套信息安全運維服務管理的建設方案。

信息安全運維體系的構建第一步：建立安全運維監(jiān)控中心

基于關鍵業(yè)務點面向業(yè)務系統(tǒng)可用性和業(yè)務連續(xù)性進行合理布控和監(jiān)測，以關鍵績效指標指導和考核信息系統(tǒng)運行質量和運維管理工作的實施和執(zhí)行，幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出快速、準確的定位和展現(xiàn)。實現(xiàn)對信息系統(tǒng)運行動態(tài)的快速掌握，以及運行維護管理過程中的事前預警、事發(fā)時快速定位。其主要包括：

● 集中監(jiān)控：采用開放的、遵循國際標準的、可擴展的架構，整合各類監(jiān)控管理工具的監(jiān)控信息，實現(xiàn)對信息資產的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控的主要內容包括：基礎環(huán)境、網絡、通信、安全、主機、中間件、數(shù)據庫和核心應用系統(tǒng)等。

● 綜合展現(xiàn)：合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進行標準化、歸一化的處理，并進行過濾和歸并，實現(xiàn)集中、綜合的展現(xiàn)。● 快速定位和預警：經過同構和歸并的信息，將依據預先配置的規(guī)則、事件知識庫、關聯(lián)關系進行快速的故障定位，并根據預警條件進行預警。

構建第二步：建立安全運維告警中心

基于規(guī)則配置和自動關聯(lián)，實現(xiàn)對監(jiān)控采集、同構、歸并的信息的智能關聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。

同時，告警中心提供多種告警響應方式，內置與事件響應中心的工單和預案處理接口，可依據事件關聯(lián)和響應規(guī)則的定義，觸發(fā)相應的預案處理，實現(xiàn)運維管理過程中突發(fā)事件和問題處理的自動化和智能化。其中只要包括：

事件基礎庫維護：是事件知識庫的基礎定義，內置大量的標準事件，按事件類型進行合理劃分和維護管理，可基于事件名稱和事件描述信息進行歸一化處理的配置，定義了多源、異構信息的同構規(guī)則和過濾規(guī)則。

智能關聯(lián)分析：借助基于規(guī)則的分析算法，對獲取的各類信息進行分析，找到信息之間的邏輯關系，結合安全事件產生的網絡環(huán)境、資產重要程度，對安全事件進行深度分析，消除安全事件的誤報和重復報警。

綜合查詢和展現(xiàn)：實現(xiàn)了多種視角的故障告警信息和業(yè)務預警信息的查詢和集中展現(xiàn)。

告警響應和處理：提供了事件生成、過濾、短信告警、郵件告警、自動派發(fā)工單、啟動預案等多種響應方式，內置監(jiān)控界面的圖形化告警方式；提供了與事件響應中心的智能接口，可基于事件關聯(lián)響應規(guī)則自動生成工單并觸發(fā)相應的預案工作流進行處理。

構建第三步：建立安全運維事件響應中心

借鑒并融合了ITIL（信息系統(tǒng)基礎設施庫）/ITSM（IT服務管理）的先進管理規(guī)范和最佳實踐指南，借助工作流模型參考等標準，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運維管理工作以任務和工作單傳遞的方式，通過科學的、符合用戶運維管理規(guī)范的工作流程進行處置，在處理過程中實現(xiàn)電子化的自動流轉，無需人工干預，縮短了流程周期，減少人工錯誤，并實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。其中包括：

圖形化的工作流建模工具：實現(xiàn)預案建模的圖形化管理，簡單易用的預案流程的創(chuàng)建和維護，簡潔的工作流仿真和驗證。

可配置的預案流程：所有運維管理流程均可由用戶自行配置定義，即可實現(xiàn)ITIL/ITSM的主要運維管理流程，又可根據用戶的實際管理要求和規(guī)范，配置個性化的任務、事件處理流程。

智能化的自動派單：智能的規(guī)則匹配和處理，基于用戶管理規(guī)范的自動處理，降低事件、任務發(fā)起到處理的延時，以及人工派發(fā)的誤差。

全程的事件處理監(jiān)控：實現(xiàn)對事件響應處理全過程的跟蹤記錄和監(jiān)控，根據ITIL管理建議和用戶運維要求，對事件處理的響應時限和處理時限的監(jiān)督和催辦。

事件處理經驗的積累：實現(xiàn)對事件處理過程的備案和綜合查詢，幫助用戶在處理事件時查找歷史處理記錄和流程，為運維管理工作積累經驗。

構建第四步：建立安全運維審核評估中心

該中心提供對信息系統(tǒng)運行質量、服務水平、運維管理工作績效的綜合評估、考核、審計管理功能。其中包括：

評估：遵循國際和工業(yè)標準及指南建立平臺的運行質量評估框架，通過評估模型使用戶了解運維需求、認知運行風險、采取相應的保護和控制，有效的保證信息系統(tǒng)的建設投入與運行風險的平衡，系統(tǒng)地保證信息化建設的投資效益，提高關鍵業(yè)務應用的連續(xù)性。

考核：是為了在評價過程中避免主觀臆斷和片面隨意性，應實現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等功能。

審計：是以跨平臺多數(shù)據源信息安全審計為框架，以電子數(shù)據處理審計為基礎的信息審計系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據以及數(shù)據接口的完整性、合規(guī)性、有效性、真實性審計。構建第五步：以信息資產管理為核心

IT資產管理是全面實現(xiàn)信息系統(tǒng)運行維護管理的基礎，提供的豐富的IT資產信息屬性維護和備案管理，以及對業(yè)務應用系統(tǒng)的備案和配置管理。

基于關鍵業(yè)務點配置關鍵業(yè)務的基礎設施關聯(lián)，通過資產對象信息配置豐富業(yè)務應用系統(tǒng)的運行維護內容，實現(xiàn)各類IT基礎設施與用戶關鍵業(yè)務的有機結合，以及全面的綜合監(jiān)控。這其中包括：

綜合運行態(tài)勢：是全面整合現(xiàn)有各類設備和系統(tǒng)的各類異構信息，包括網絡設備、安全設備、應用系統(tǒng)和終端管理中各種事件，經過分析后的綜合展現(xiàn)界面，注重對信息系統(tǒng)的運行狀態(tài)、綜合態(tài)勢的宏觀展示。

系統(tǒng)采集管理：以信息系統(tǒng)內各種IT資源及各個核心業(yè)務系統(tǒng)的監(jiān)控管理為主線，采集相關異構監(jiān)控系統(tǒng)的信息，通過對不同來源的信息數(shù)據的整合、同構、規(guī)格化處理、規(guī)則匹配，生成面向運行維護管理的事件數(shù)據，實現(xiàn)信息的共享和標準化。

系統(tǒng)配置管理：從系統(tǒng)容錯、數(shù)據備份與恢復和運行監(jiān)控三個方面著手建立自身的運行維護體系，采用平臺監(jiān)測器實時監(jiān)測、運行檢測工具主動檢查相結合的方式，構建一個安全穩(wěn)定的系統(tǒng)。

第五篇：構建安全文化體系

構建安全文化體系,推進和諧企業(yè)建設

陳光遠

廣州珠江啤酒股份有限公司

摘要：安全建設直接關系到社會的和諧穩(wěn)定，企業(yè)的興衰以及職工個人的生命安全。家和萬事興，企業(yè)和諧發(fā)展是社會和諧的基礎，和諧企業(yè)建設成了各企業(yè)的主要發(fā)展目標。和諧最必要、最重要的保證就是安全。如何做好安全工作是全社會全企業(yè)所有人應當關注的問題。本人認為企業(yè)應以構建安全文化體系，建設和諧企業(yè)為安全工作的指導方向。企業(yè)安全文化體系是以企業(yè)安全文化為中心，開展各項有效的安全工作，營造一種安全、和諧、生機的企業(yè)氛圍。企業(yè)文化是文化、經濟和管理相結合的產物，而安全文化是企業(yè)文化不可或缺的重要組成，是企業(yè)文化的內涵與外伸。在明確的工作方向指導下，把安全工作融入企業(yè)文化建設中，結合精細管理與6S管理等企業(yè)管理方法，并納入企業(yè)工作計劃日程，盡可能給予政策和物質上的支持。利用PDCA循環(huán)原理貫穿于整個安全體系建設，建立全員安全文化教育體系，培養(yǎng)全員安全心態(tài)，樹立企業(yè)安全文化觀念，完善制度安全體系，開展全員行為安全文化教育，精細管理充分發(fā)揮基層作用，進行企業(yè)安全文化現(xiàn)狀評估，解決企業(yè)安全體系建設過程中出現(xiàn)或將出現(xiàn)的問題，不斷完善企業(yè)安全體系。企業(yè)安全文化建設必須統(tǒng)一布置分步實施，建立長效機制。通過升華完善企業(yè)文化，改變員工的思想、行為以及價值觀，形成積極向上的團隊氛圍，形成良好的企業(yè)文化氛圍，安全和諧的工作環(huán)境，一步步把企業(yè)品牌做好做強，全員共同發(fā)展走進和諧。

關鍵字：安全文化體系、和諧企業(yè)、安全管理、PDCA循環(huán)理論

引子：在“知”本社會的今天，企業(yè)之間的競爭逐漸演變成企業(yè)文化上的競爭。無論在國內外，企業(yè)文化的重要性越來越明顯。安全文化是企業(yè)文化的核心，但往往卻是很多企業(yè)功于求成的一個忽略點，或是把企業(yè)文化與安全工作孤立起來，這些都是不可取的做法。安全文化是企業(yè)文化的一部分,它從保護人的生命安全和健康的基本目的出發(fā),以“為了人”和“人的管理”為方針,強調人的因素在保證安全上的主導地位,促使企業(yè)所有員工都密切關注安全。安全生產與安全管理是安全文化體系的兩大支點。安全生產是企業(yè)生存、發(fā)展、壯大的保障。世界上眾多優(yōu)秀企業(yè)越來越多的重視并強調安全生產，而且安全思想和安全理念也在不斷的更新，這就需要與時俱進的安全管理。良好的企業(yè)安全文化氛圍是和諧企業(yè)的根本。構建良好的企業(yè)安全文化體系，更加有利于推進和諧企業(yè)建設。

對企業(yè)安全文化的理解

安全是一種文化。文化是一個社會、一個國家、一個民族、一個時代普遍認同并追求的價值觀和行為準則，是生活方式的理性表達。重視安全、尊重生命，是先進文化的體現(xiàn)；忽視安全，輕視生命，是落后文化的表現(xiàn)。一種文化的形成，要靠全社會的努力。生產區(qū)內大量的安全警示語、標示牌、危險因素的分析與評價就是一種文化。全體員工應認真學習安全文化，提高安全意識。安全文化是企業(yè)文化的主體，沒有了安全，所謂的企業(yè)生產就要受到影響，沒有了安全，所謂的企業(yè)文化還能是一個良好的企業(yè)文化嗎？ 企業(yè)安全文化作為企業(yè)文化的一部分，其形成和發(fā)展，首先是從生產實踐出發(fā)，經歸納總結形成，再應用于安全生產實踐中。因此，它在企業(yè)建設當中有著舉足輕重的意義?，F(xiàn)代企業(yè)的大規(guī)模發(fā)展，更為企業(yè)的安全文化提供了豐富的內涵。企業(yè)安全文化作為一種價值觀得到進一步的樹立和強化，并已成為安全生產中弘揚和倡導的主流。同時，企業(yè)的安全文化建設也是先進企業(yè)文化建設的重要組成部分，所以在安全生產中必須體現(xiàn)并建設企業(yè)安全文化，推動企業(yè)管理水平的全面提高。

企業(yè)安全管理是企業(yè)安全文化的一種表現(xiàn)形式，是企業(yè)安全文化在企業(yè)安全管理中的某些經驗化、理性化不斷發(fā)展和優(yōu)化的體現(xiàn)，科學的企業(yè)安全管理也屬于企業(yè)安全文化建設的范疇。抽象地來說，是指：企業(yè)安全管理者根據企業(yè)內外安全生產環(huán)境的變化，結合企業(yè)的歷史、現(xiàn)狀和發(fā)展趨勢，從企業(yè)的生產實踐中總結，提煉出企業(yè)安全生產理念或價值體系，作為企業(yè)安全生產的方針和原則。

一句話，企業(yè)安全文化是指企業(yè)為了安全生產所創(chuàng)造的一種文化氛圍，是安全活動所創(chuàng)造的安全生產及勞動保護的觀念、行為、環(huán)境、物態(tài)條件的總和，體現(xiàn)為每一個人、每一個單位、每一個群體對安全的態(tài)度、思維程度及采取的行動方式。企業(yè)安全文化有多種表現(xiàn)形式，如安全文明生產環(huán)境與秩序，健全的安全管理體制及安全生產規(guī)章與制度的建設，沉淀于企業(yè)及員工心靈中的安全意識形態(tài)，安全思維方式、安全行為準則、安全道德觀、安全價值觀等。

所以要把安全文化作為企業(yè)發(fā)展的重點來抓，也就是要把安全工作納入企業(yè)文化工作中來，加強安全管理，在全公司上下形成一種良好的安全文化氛圍。在企業(yè)的生產經營活動中，人是最寶貴、最活躍的生產力，由于受企業(yè)生產經營活動職責的影響，企業(yè)的員工容易被區(qū)分成現(xiàn)場作業(yè)人員、企業(yè)管理人員、企業(yè)生產經營主要負責人等不同層次，由此，帶來了企業(yè)安全生產職責的多層次、多樣性。企業(yè)安全生產管理最根本的目的是保護企業(yè)員工的生命和健康，是保護社會生產力，使之能正常生產，保護生產關系，使公司全體人的合法利益不受侵犯，這是安全生產管理的重要內容。也就是從人的因素入手。重視生產領域的安全，從“人”抓起。人，是企業(yè)的主宰者，提高人的安全意識、安全水平，強化安全、法制觀念，樹立正確的安全理念，是安全文化素養(yǎng)的主要表現(xiàn)手段。企業(yè)的員工人數(shù)眾多，在自身的修養(yǎng)方面各有差異，層次區(qū)分明顯，因此對安全的理解深淺不一，通過開展豐富多樣的企業(yè)安全文化活動，可以引導員工關注安全、體會安全、共同提高。因此，企業(yè)安全文化建設非常有必要的。

企業(yè)要根據各自的特點，形成能被廣大職工所理解，具有自己特色的企業(yè)文化，安全文化做為企業(yè)文化的主要組成部分之一，更是公司特色的體現(xiàn)，安全文化的影響是潛移默化、至深至遠的。一個良好的安全、和諧、生機的企業(yè)氛圍是廣大職工開心工作的環(huán)境，是職工家人放心的地方，更是一個和諧企業(yè)所應具有的表現(xiàn)。故構建設企業(yè)安全文化體系，更加有利于推進和諧企業(yè)的建設。

應如何開展企業(yè)安全文化體系建設

INBEV集團在其VPO計劃（生產最優(yōu)化管理）中，安全是放在第一位的，若安全出現(xiàn)問題，其他的如勞動生產率、成本、消耗、質量指標等無論效績多好，但總體一切都歸于零。安全在企業(yè)日常生產管理工作中的重要性及重視性可見而知。要開展好企業(yè)安全文化體系建設工作，本人認為企業(yè)應以構建企業(yè)安全文化體系為目標，改進與完善多年沉淀下來企業(yè)文化，把安全工作融入企業(yè)文化工作中來，作為企業(yè)文化建設的重要組成部分，納入企業(yè)工作計劃日程，并盡可能地給予政策和物質上的支持。公司上層領導的積極參與也是一個必要因素，因為安全文化建設的運籌部署，需要得到組織的協(xié)調，單位領導的參與管理，以便安全工作的順利進行和有效實施。同時要杜絕出現(xiàn)一方面員工對安全視若無睹、一方面又對安全生產大講特講的怪現(xiàn)象。這就要深入生產的一線，充分發(fā)揮各班組、車間安全員的作用，宣傳與帶頭尋找出可能存在的“物”不安全狀態(tài)，“人”的不安全思想，加以改善并制定合理的操作規(guī)程來規(guī)范員工的不安全行為。具體的企業(yè)安全文化體系的構建大體可以從幾個方面著手：

建立全員的安全文化教育體系

良好的企業(yè)安全文化體系最重要的就是全員參與、強化管理。全員參與，主要有全員安全意識與全員安全行為兩方面。在安全工作方面，最大的因素就是人。安全文化是企業(yè)文化的一部分,它從保護人的生命安全和健康的基本目的出發(fā),以“為了人”和“人的管理”為方針,強調人的因素在保證安全上的主導地位,促使企業(yè)所有員工都密切關注安全。以人為本，提高全員安全意識，強化管理，確保全員安全行為是企業(yè)安全的保證。做好企業(yè)安全文化建設就必須全員參與安全文化建設。全員參與強化管理最直接有效的措施就是進行全員安全教育。針對全體員工，就安全認識長期進行思想、態(tài)度、責任、法制、價值觀等方面的系統(tǒng)教育，從根本上提高其安全意識，樹立“安全第一，以防為主”企業(yè)安全文化的觀念。培養(yǎng)正確的安全意識、樹立安全觀念最基本、最有效的手段就是安全知識宣傳與教育。通過一定的手段（講座、黑板報、企業(yè)內部報、培訓班、競賽活動等）對職工進行生產作業(yè)安全技術知識、專業(yè)安全技術知識等教育及宣傳，加強其自我保護意識。從安全哲學、安全文學、安全美學、安全心理、安全藝術等不同的角度，全視野對全體員工進行安全文化的滲透。通過各種形式的安全活動，逐步形成企業(yè)安全文化的濃厚氛圍，制造安全需求環(huán)境(如多搞一些安全事故防真演習，危險源地帶的應急演練；企業(yè)內報上開設安全文化專欄等)，喚醒人們對生命安全健康的重視，提高安全覺悟性，從而讓員工從“要我安全”轉入到一種“我要安全”的積極心態(tài)。這種積極的安全心態(tài)就是員工樹立正確安全觀念的體現(xiàn)，也是良好企業(yè)安全文化的表現(xiàn)。

理論要與實踐相結合，一個人樹立了正確的安全觀念，掌握了一定的安全知識還不夠，必須進行反復的技能訓練，才能真正做到自我保護、安全作業(yè)。在很多企業(yè)內，發(fā)生事故多的不一定是在生產旺季時，反而是在生產步入相對淡季時，為什么會出現(xiàn)這種情況？松懈，對安全的松懈，在旺季時大家都是百分之一百的警惕，公司領導也比較重視，并不斷的強調，所以安全意識體現(xiàn)的比較好，很少出現(xiàn)不安全的行為。但是生產一松下來，就會有些領導及員工有了松懈的意識，這時往往出現(xiàn)一些不安全或不小心的行為，就容易形成事故發(fā)生的起源，這就要在這種時期多搞一些如搞現(xiàn)場危險源、危害因素辨識，相關的技能比賽，事故應急預演，相關搶救方法培訓等。不斷提高業(yè)務技能，工作責任感，充分掌握正確操作方法。通過這些活動規(guī)范員工的安全行為與安全活動。

全員參與最重要的基礎就是安全文化教育體系的完善，在抓好安全工作各細節(jié)的基礎上，狠抓員工隊伍建設，強化安全教育和培訓。也就是說,要營造一個安全、和諧、生機的安全文化氛圍。從傳統(tǒng)經驗管理向科學現(xiàn)代化管理轉化。要堅持以人為本，培育和導入安全文化。

完善安全制度體系

構建安全管理網絡，執(zhí)行“企業(yè)負責制”，各層次人員逐級落實責任；同時實行黨員責任區(qū)，發(fā)揮黨員的模范帶頭作用，建立起橫向到邊、縱向到底的安全管理網絡。切實履行“社會監(jiān)督”職責，獎懲嚴明、行之有效。不斷搞高、強化企業(yè)內各層干部的執(zhí)行力度。這就要建立健全的各項規(guī)章制度，常言執(zhí)法有依。有了完善的安全法規(guī)和制度以及安全操作規(guī)程，就可以規(guī)范員工的安全行為，起到約束作用。當然不是說有了健全的規(guī)章制度，就可以高枕無憂了，必須將死的制度變成活的思想。認真落實安全層級責任制，重視安全安規(guī)章制度建設，不斷完善，與時俱進，重在落實，沒有制度的約束必然會造成安全生產的無度化，光有規(guī)章制度，執(zhí)行無力，也僅僅是紙上談兵。溫家寶曾說：“天下之事，不難于立法，而難于法之行，不難于聽言，而難于言之必效?！彼砸粩嗤ㄟ^對員工的宣傳、教育，使其能掌握并接受，腦海中時常存在安全的意識，最終形成一種自主行為，還要定期進行再次培訓、考核。古人常言溫故可知新，所以有必要建立一套完善的安全文化教育體系，定時給職工進行安全培訓、考核。

精細管理發(fā)揮基層作用

在理論上大家的認識都是一樣，行動上也大同小異?？删褪沁@個小異上，就出現(xiàn)不同的效果。細節(jié)是做好安全工作的關鍵環(huán)節(jié)。精細管理是以細節(jié)為元素，精耕細作，精益求精，不忽視每一個小細節(jié)，結合6S管理，對物進行精細管理，所謂的6S就是整理（Seiri）、整頓（Seiton）、清掃（Seiso）、清潔（Seiketsu）、素養(yǎng)（Shitsuke）、安全（Safety）。前面四個S是從“物”主要如設備材料等方面進行系統(tǒng)管理，做好設備的管理，確保設備本質安全。并升華到“人”的因素后兩個S。使每個員工養(yǎng)成良好的習慣，確保人員、設備、產品、文件安全性。要做好安全的精細管理，基層的作用是不可或少的。在企業(yè)最基層的就是一線員工，發(fā)揮一線班組長、安全員的作用是搞好安全工作的最佳措施。一線班組長、安全員是一線員工的帶頭者，是員工與上級的聯(lián)系人與問題反饋的代表。他們最直接接觸危險因素，最了解危險源的所在，最快發(fā)現(xiàn)安全隱患。強化班組安全建議是企業(yè)安全文化體系的一個重要組成。

安全文化建設除了關注人的知識、技能、意識、思想、觀念、態(tài)度、道德、倫理、情感等內在素質外,更重視人的行為,以及安全裝置、技術工藝、生產設施和設備、工具材料、環(huán)境等外在因素和物態(tài)條件。因此可以說,安全文化是企業(yè)的一種精神。而這種精神,體現(xiàn)在全體人員的行為中。為此,管理層應運用現(xiàn)代安全管理的方法,公布企業(yè)的安全政策業(yè)績以及存在的不足;加大安全宣傳與培訓力度;鼓勵全體員工參與企業(yè)的安全工作;收集反饋信息,對安全方面的意見和建議予以重視。調動員工的安全積極性、責任感,使每一位員工都認識到企業(yè)的安全離不開自身的努力。企業(yè)通過安全文化建設,可以有效地提高企業(yè)員工的安全文化素質,使安全成為每位員工的共同的自覺行為。安全是生產的靈魂,安全生產的靈魂源自安全文化。

構建企業(yè)安全文化評價體系

安全文化工作中，真正去落實才是關鍵，所以我認為有必要構建安全文化評價體系加以評估，這樣才可以找出問題，并能更好解決問題。可以按以下圖示用PDCA循環(huán)理論來分析如何構建與實施企業(yè)安全文化評價體系

首先確定本的安全工作重點，收集資料，加以分析，結合公司活動年主題，確定本的安全文化工作目標。制訂構建企業(yè)安全文化評價體系的相關計劃；接著要實地去做，執(zhí)行目標，完成計劃工作的主要內容，如：消除事故危險，減少消除危險源，制定相關的安全制度，安全設施的落實，先進的技術應用、優(yōu)良的作業(yè)環(huán)境的營建，安全知識培訓等行動；再接著去總結執(zhí)行計劃并檢查結果，注意效果，找出問題，進行企業(yè)安全文化現(xiàn)狀評估；然后要對總結檢查的結果進行處理，成功的經驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現(xiàn)，未解決的問題放到下一個PDCA循環(huán)。以上四個過程不是運行一次就完結，而是要周而復始地進行。一個循環(huán)完了，解決了一部分的問題，可能還有其它問題尚未解決，或者又出現(xiàn)了新的問題，這就需要進行下一次循環(huán)（見圖1）不斷的循環(huán)。企業(yè)的每個部門、科室、車間、班組、甚至每個人的工作都有一個小PCDA循環(huán)，這樣一層層地解決問題而且大環(huán)套小環(huán)，環(huán)扣一環(huán)，小環(huán)保大環(huán)并推動大循環(huán)（見圖2）。企業(yè)安全文化評價體系，不只是對“人”行為的評價，更是對“物”的評價，對于設備的現(xiàn)存，安全隱患，存在不安全因素或兇險可能性等進行評估。PACD循環(huán)理論可以更好地保證安全文化的評價體系的進行，確保安全文化工作的持續(xù)性，是構建安全文化體系的行之有效的方法與保障。

小結

和諧企業(yè)是一個全新的概念，它是一個企業(yè)全體員工各盡其能、充滿創(chuàng)造活力的企業(yè)，是各方面利益關系不斷得到有效協(xié)調的企業(yè)，是管理體制和服務網絡不斷創(chuàng)新和健全的企業(yè)，是穩(wěn)定有序、安定團結、各種矛盾得到妥善處理的企業(yè)。和諧企業(yè)不只是企業(yè)職工內的和諧，更重要的是對外界所表現(xiàn)出來的：客戶滿意，符合社會需求促進社會發(fā)展實質性的和諧。是和諧社會的一個重要組成部分。一個和諧企業(yè)的最主要表現(xiàn)就是安全，具有良好的企業(yè)安全文化氛圍。構建企業(yè)文化安全體系，更加有利于推進和諧企業(yè)的建設發(fā)展。

企業(yè)安全文化建設必須統(tǒng)一布置，分步實施，建立長效機制。通過建立、完善企業(yè)文化，改變員工的思想、行為以及價值觀，形成積極向上的團隊氛圍，與此同時創(chuàng)建企業(yè)安全文化，規(guī)范員工的安全行為，讓安全管理工作逐步向自主管理、團隊管理這樣更高的目標發(fā)展。企業(yè)安全文化的形成是企業(yè)向“人本管理”轉變的重要標志，是一個企業(yè)強大生命力的體現(xiàn)；也是一個企業(yè)為建設和諧社會的重大行動。一個企業(yè)安全工作有難度，但它是一件具有深遠意義而又長期的工作。是企業(yè)做大做強的基礎，是領先國際水平，向全球化進軍的必由之路。所以企業(yè)經營者必須形成一致的共識和高度重視，熱情支持，積極協(xié)同倡導，共建企業(yè)安全文化體系，構建和諧工作環(huán)境。

參考文獻：

[1] 張景鋼、譚允禎 企業(yè)安全文化建設[J].中國科技文在線（http://004km.cn