導語：如何才能寫好一篇工程信息安全管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞]工程哲學；信息安全；管理體系；ISMS

doi：10.3969/j.issn.1673 - 0194.2015.16.162

[中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194（2015）16-0-03

0 引 言

信息安全是信息化發(fā)展到一定階段的必然產物。Tanenbaum認為網絡僅局限于研究人員相互發(fā)郵件時自然不會凸顯信息安全的重要性，但是一旦滲透到包括銀行轉賬和網上購物等日常行為，或者過渡到云計算時代，信息安全問題就無法再回避。

信息安全管理體系（Information Security Management System，ISMS）被認為是良好的信息安全管理實踐集之一，從工程哲學的視野來看，這是由某一（或某些）專業(yè)技術為主體和與之配套通用的相關技術，按照一定規(guī)則、規(guī)律所組成的，為實現某一（或某些）工程目標的組織、集成活動。這其中包括人與自然的關系，也包括人與人、人與社會的關系，并由此構筑了新的存在物。目前絕大部分的研究都集中于信息安全管理體系的應用，而缺乏從整體角度出發(fā)，以工程創(chuàng)新為主線，從工程哲學的角度進行審視、思考和分析的研究，本文對這些問題進行分析。

1 以“三元論”的視角審視信息安全管理體系

1.1 科學、技術和工程“三元論”

Mitcham提出工程哲學（Engineering Philosophy）詞匯，并闡述哲學對工程的重要性，但是他認為工程處于技術之下，是技術的一部分，而李伯聰教授則認為科學、技術和工程是彼此獨立的個體，彼此既有聯系又有區(qū)別，科學、技術和工程“三元論”是工程哲學得以成立的基礎。

科學活動是以探索發(fā)現為核心的活動，技術活動是以發(fā)明革新為核心的活動，工程活動是以集成建構為核心的活動。人們既不應把科學與技術混為一談，也不應把技術與工程混為一談。工程并不是單純的科學應用或技術應用，也不是相關技術的簡單堆砌和剪貼拼湊，而是科學要素、技術要素、經濟要素、管理要素、社會要素、文化要素、制度要素以及環(huán)境要素等多要素的集成、選擇和優(yōu)化?！叭摗泵鞔_承認科學、技術與工程存在密切的聯系，而且突出強調它們之間的轉化關系，強調“工程化”環(huán)節(jié)對于轉化為直接生產力的關鍵作用、價值和意義，強調應努力實現工程科學、工程技術和工程實踐的有機互動與統(tǒng)一。

1.2 信息安全管理體系的工程本質及特點

信息安全管理體系是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的，包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源等內容。信息安全管理體系的支撐標準為ISO/IEC 27000標準族。在ISO/IEC 27000標準族中，不但給出了“建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的”“基于業(yè)務風險（的）方法”，而且還給出了信息安全管理體系的要求、實用規(guī)則、審核指南以及相關安全域的具體指南等。例如，僅GB/T 22081-2008/ISO/IEC 27002：2005信息安全管理實用規(guī)則，就包括了11個控制域，39個控制目標，133項控制措施。

信息安全管理體系可在不同的學科中找到其淵源，在實施框架上，信息安全管理體系應用了質量管理中的Plan-Do-Check-Act的戴明環(huán)，在具體的控制措施上，則包括了密碼學、人員安全以及各類信息安全技術，其研究的特點是將科學思維、工程思維和社會思維相結合，但更強調工程思維的“設計”理論。工程研究活動不同于科學研究活動的基本特征就是“設計”。工程設計活動包括對象設計和過程設計。例如，建造水壩的壩體設計是對象設計，如何實施就是過程設計，在信息安全中，設計組織自己的信息安全管理體系是對象設計，設計如何部署是過程設計。

按照“三元論”理論，信息安全管理體系在其中的位置如圖1所示。

2 信息安全管理體系的演化過程與規(guī)律

2.1 信息安全管理體系的起源和發(fā)展

信息安全管理體系是建立在體系（System）化基礎上的“最佳實踐集”，到國際標準的正式公布，大致經歷了3個階段。

第一階段為過度關注技術，忽略人的作用的“技術浪潮”階段，在這個階段涌現出了大量的信息安全技術產品，例如，防火墻、防病毒和入侵檢測系統(tǒng)（IDS）等。

第二階段為強調人的作用的“管理浪潮”階段，在這個階段大部分企業(yè)開始設置專職的信息安全管理崗位，以加強對個人行為的控制。

第三階段即“體系階段”，在體系階段信息安全以目標為導向，不再局限于手段的應用，而是技術、制度和人員管理等各個方面的有機結合。這個階段是信息安全的工程化階段，體現了工程的實踐性、經驗性、繼承性、創(chuàng)造性和系統(tǒng)性等特點。

2.2 信息安全管理體系的動力和機制分析

信息安全管理體系的產生和發(fā)展過程是一個“需求驅動”的過程。Alvin Toffler在其經典著作《第三次浪潮》中，將人類發(fā)展史劃分為第一次浪潮的“農業(yè)文明”，第二次浪潮的“工業(yè)文明”以及第三次浪潮的“信息社會”。在信息社會時代，“信息”成為重要的生產資料，價值非凡，因此面臨諸多風險，為保護信息，安全需求的出現是必然的。

科學與技術的進步是信息安全管理體系的推動力。新密碼算法的產生，各類以“信息技術解決信息安全”的思路涌現，為信息安全管理體系的產生奠定了基礎。信息安全產生的本質原因是信息技術的發(fā)展和應用，反過來，解決信息安全問題又依賴于信息技術的發(fā)展。例如，速度更快，與防火墻形成聯動的入侵檢測系統(tǒng)。

國家政策是信息安全管理體系應用的導向力。任何工程活動都是在社會大系統(tǒng)中開展的，都要接受國家（政府）的引導和調控。對工程創(chuàng)新的應用，企業(yè)的認識往往是滯后的，因此，國家出臺了一系列引導性政策。例如：商務部印發(fā)的商資發(fā)[2006]556號及商資函[2006]110號，以及各地方政府的鼓勵引導政策。

2.3 信息安全管理體系的工程演化特點、方式和規(guī)律

對比國外，信息安全管理體系在國內發(fā)展體現出了明顯的跳躍性，這種跳躍性不但體現在信息工程領域，也表現在其他諸多領域。國內一般不會沿襲其循序漸進的路線，而是直接引用國外的先進經驗或者在國外已有的原型上進行模仿開發(fā)。

在科學、技術和工程3個領域內，與文化、制度、歷史等環(huán)境因素聯系最緊密的就是工程。在信息安全領域內，作為基礎科學的密碼學，其算法“放之四海而皆準”，不會因東西方文化的不同而顯現不同的特征，絕大部分技術亦如此。但在工程層次，不同的文化制度有時會產生大相徑庭的結果，例如，騰訊QQ本來是模仿國際聊天軟件ICQ，但是經過十幾年的發(fā)展后，ICQ，MSN等點對點國外聊天軟件均瀕臨破產，但QQ在線用戶卻在2010年突破1億。信息安全管理體系雖然修改自國際標準，但也顯現出鮮明的文化特征。例如更強調保密性，和國外用戶相比，更多的認證取向等。

3 信息安全管理體系的工程思維與工程方法論

3.1 信息安全管理體系的工程思維

科學思維是“反映性思維”“發(fā)現性思維”，體現理論理性的認識，工程思維是“構建性思維”“設計性思維”和“實踐性思維”，體現實踐理性的認識?？茖W家通過科學思維發(fā)現外部世界中已經存在的事物和自然規(guī)律，工程師在工程活動中創(chuàng)造出自然界中從來沒有的工程構建物，工程設計是以價值當事人的特定需要為出發(fā)點，以構建某種與主體需要相符合的實體為歸宿的籌劃。

信息安全管理體系標準族的GB/T 22080-2008/ISO/IEC 27001：2005原文別強調：“采用ISMS應當是一個組織的一項戰(zhàn)略性決策。一個組織ISMS的設計和實施受其需求和目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響，且上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需求實施ISMS是本標準所期望的，例如，簡單的情況可采用簡單的ISMS解決方案?！毙畔踩芾眢w系的部署過程也專門設有信息安全風險評估，目的就是找到企業(yè)實際存在的問題，然后“對癥下藥”。

3.2 信息安全管理體系的工程方法論

信息安全管理體系應用了PDCA戴明環(huán)，與A.D.Hall的系統(tǒng)工程方法略有差別，但在本質上是遵循這個基本框架的，如圖2所示。

參照圖2所示的基本工作過程并結合專門指導信息安全管理體系實施的《ISO/IEC 27003：2010信息安全管理體系應用指南》，提取其中的關鍵過程，并與工程設計的一般過程進行對比，如圖3所示，其中左側為設計方法，右側為信息安全管理體系設計。

4 結 語

信息安全管理體系既包括數論、密碼學和近世代數等科學元素，也包括軟件開發(fā)技術、單片機技術和網絡技術等技術元素，在工程哲學的視野下，是建立在一系列科學與技術基礎上的集成創(chuàng)新。在工程創(chuàng)新成為創(chuàng)新活動主戰(zhàn)場的今天，對其進行哲學分析，顯得尤為重要。這其中包括以下幾點。首先，要辯證地對待便利性與安全性的問題。正確利用信息系統(tǒng)，不僅是技術問題，也是哲學命題。堅持用“兩點論”的觀點看待便利性和安全性，在信息化發(fā)展的不同階段，正確分析主要矛盾和次要矛盾。在信息化發(fā)展初期，信息系統(tǒng)尚未大規(guī)模使用，主要矛盾是便利性，提高效率，但到現在，信息安全事件層出不窮，美國甚至成立了網絡戰(zhàn)爭司令部，信息戰(zhàn)成為攻擊手段之一，安全性就成了主要矛盾，“兩點論”是有重點的兩點論，要在看到主次矛盾和矛盾的主次方面的同時，分清主次，抓住主要矛盾和矛盾的主要方面。其次，從信息安全管理體系演化規(guī)律中發(fā)現集成創(chuàng)新的一般規(guī)律?？茖W、技術轉化為現實生產力的功能一般都要通過工程這一環(huán)節(jié)，因此，在我國建設創(chuàng)新型國家戰(zhàn)略的實施過程中，工程創(chuàng)新是一個關鍵性的環(huán)節(jié)。只有從大量的工程中發(fā)現工程創(chuàng)新的一般規(guī)律，從工程哲學的角度加以分析、歸納和引導，才能創(chuàng)新信息安全管理體系建設，發(fā)揮我國信息化發(fā)展的后發(fā)優(yōu)勢。

主要參考文獻

[1]Tanenbaum A.S，Whterall D.J.計算機網絡[M].第5版.嚴偉，潘愛民，譯.北京：清華大學出版社，2012.

[2]張艷，胡新.云計算模式下的信息安全風險及其法律規(guī)制[J].自然辯證法研究，2012（10）.

[3]謝宗曉.信息安全管理體系實施指南[M].北京：中國標準出版社，2012.

[4]張志會.米切姆的工程哲學思想初探[J].工程研究――跨學科視野中的工程，2008.

[5]李伯聰.工程哲學引論――我造物故我在[M].鄭州：大象出版社，2002.

[6]殷瑞鈺，汪應洛，李伯聰.工程哲學[M].北京：高等教育出版社，2007.

[7]謝宗曉.信心安全管理體系應用手冊[M].北京：中國標準出版社，2008.

[8]王宏波.工程哲學與社會工程[M].北京：中國社會科學出版社，2006.

[9]Von Solms Basie.Information Security：The Third Wave[J].Computer & Security，2000（12）.

[10]殷瑞鈺，汪應洛，李伯聰.工程演化論[M].北京：高等教育出版社，2011.

[11]謝宗曉.信息安全管理體系實施案例[M].北京：中國標準出版社，2012.

篇2

正是因為工控系統(tǒng)此前基本運行在一個封閉的環(huán)境中，系統(tǒng)的生產研發(fā)和設計部署過程很少甚至根本就沒有考慮安全的因素，這種背景下一旦黑客通過可達網絡訪問到工控環(huán)境，是極易攻擊得手的，所以工控系統(tǒng)所面臨的將是比傳統(tǒng)IT網絡更嚴峻的安全威脅。

隨著工控安全日益受到國家和行業(yè)的重視，啟明星辰在幾年以前就開始布局工控安全領域，成為國內最早一批進入該領域的專業(yè)安全廠商，推出了各類工控安全產品以及解決方案。

工業(yè)控制系統(tǒng)是由一系列的生產裝置、現場設備、控制終端、操作站以及工業(yè)以太網、本地總線網絡等組成。同傳統(tǒng)的IT信息網絡安全一樣，工控信息安全也是一個體系化的工程，因為威脅和攻擊是來自多方面的，可能是外部黑客透過辦公網控制了某工程師站，可能是工作站PC主機一次不安全的U盤使用導致的病毒感染，可能是內部人員下達給PLC的違規(guī)指令，也可能是針對核心工控業(yè)務蓄謀已久的APT攻擊。所以工控安全領域里，只部署工控防火墻或是只進行工控漏洞掃描是不夠的，局部的防護無法構建完整的防護系統(tǒng)，無法形成全局監(jiān)控的完整視圖，也無法抵御各個層面的攻擊威脅。

面對工控環(huán)境總體的安全防護需求，工控信息安全管理平臺系統(tǒng)無疑是最佳的選擇。如果說單個的防護設備是防御戰(zhàn)場上的一個個孤立的碉堡的話，那么工控信息安全管理平臺系統(tǒng)的作用就是集中自身及外部各種防護資源形成覆蓋全部被保護對象的防護網，是整體防御的指揮部和情報中心。啟明星辰泰合本部一直以來致力于安全管理平臺系統(tǒng)的研發(fā)和應用，代表著國內同類產品的最高水平，并且擁有各大行業(yè)大量的客戶實踐案例。泰合本部隨啟明星辰總體工控安全解決方案所推出的泰合工控信息安全管理系統(tǒng)擁有全網安全狀態(tài)監(jiān)控、流量合規(guī)及異常分析檢測等功能，同時可以整合啟明星辰以及第三方公司的工控防火墻、工控漏掃、工控入侵檢測等各類安全防護設備，形成工控系統(tǒng)的全方位立體化防護。

在一個典型的工控環(huán)境中，泰合工控信息安全管理系統(tǒng)的防護范圍包括管理網絡層中的IT系統(tǒng)，MES層中的工作站、操作站等終端機服務器，以及生產過程層中的PLC、DCS等工控設備裝置。管理平臺系統(tǒng)自身可提供適應工控環(huán)境的設備安全監(jiān)控功能、采集設備及網絡的安全運行信息，并且可將環(huán)境中所部署的所有防護設備或子系統(tǒng)進行整合，集中所有的監(jiān)控信息進行統(tǒng)一展現，綜合處理分析及時發(fā)現各節(jié)點環(huán)節(jié)的異常和威脅，統(tǒng)一提供告警及處置支撐功能。同時管理系統(tǒng)還通過專門的流行為分析模塊，從流量和流行為的維度實現工控環(huán)境的流安全分析和異常發(fā)現。在工控環(huán)境中部署面向工控安全的管理系統(tǒng)可主要為用戶帶來如下安全防護價值：

工控環(huán)境

動態(tài)監(jiān)控拓撲

泰合工控信息安全管理系統(tǒng)首先提供了動態(tài)拓撲監(jiān)控功能。拓撲展現是對網絡環(huán)境最直觀的監(jiān)控形式，也是工控系統(tǒng)操作人員比較認可的監(jiān)控方式，該拓撲監(jiān)控可以完整直觀的表現工控系統(tǒng)各設備、裝置的部署位置以及鏈路連接情況。同時拓撲上可以動態(tài)的展現設備和鏈路的狀態(tài)及安全相關信息，包括設備的故障、通斷、威脅事件和鏈路的可用性、流量異常等信息。

設備資產安全管理及監(jiān)控

工業(yè)控制系統(tǒng)是由一系列工控裝置以及控制設備組成的，因此工控安全的首要任務就是保障這些設備資產的正常運行，泰合工控信息安全管理系統(tǒng)提供全面的設備資產安全監(jiān)控管理功能，可自動發(fā)現并幫助用戶梳理全網設備，在此基礎上維護設備信息，進行生命周期管理，可對網絡中的設備資產進行運行狀態(tài)監(jiān)控，包括可用性，CPU、內存使用率，接口、服務應用狀態(tài)等信息。

此外可關聯所有與設備相關的監(jiān)控信息、漏洞、事件等安全信息，一旦出現異常實時報警。

設備的漏洞

及配置脆弱性管理

工控設備的安全威脅往往來自于設備主機的安全漏洞和不安全配置，一旦被黑客或內部別有用心的人員利用，將直接危害到所連接控制的生產系統(tǒng)。

泰合工控信息安全管理系統(tǒng)提供有設備配置核查功能，發(fā)現設備的不安全配置和不合規(guī)的安全策略。此外，管理系統(tǒng)可與工控漏洞掃描設備聯動，驅動工控漏掃對指定目標進行漏洞發(fā)現，并將掃描結果與設備資產聯動，展示設備的漏洞信息。

安全事件集中管理分析

和異常發(fā)現告警

工控安全可能涉及各類安全防護設備，包括工控防火墻、防病毒設備、入侵檢測、漏洞掃描等，這些設備的防護范圍、具體功能各不相同，工控信息安全管理系統(tǒng)會統(tǒng)一采集并識別各類工控安全設備產生的安全事件和告警信息，并通過多維度可視化的界面進行綜合展示，使監(jiān)控人員一站式的查閱檢索安全及威脅信息，了解安全態(tài)勢。同時安全管理系統(tǒng)在收集全網安全信息的同時可以進行綜合關聯分析，發(fā)現類似于APT攻擊等的更深層更隱蔽的威脅和安全隱患。

流行為異常分析與監(jiān)測

傳統(tǒng)的安全管理系統(tǒng)大多是基于事件的監(jiān)控，但是有些攻擊行為和安全異常更多暴露于網絡流的維度。尤其對于工控領域，對生產設備的操作有專用的工控協(xié)議，所以對工控協(xié)議的識別和操作行為審計是發(fā)現違規(guī)操作和異常的關鍵，另外工業(yè)控制中各設備間的訪問多是較為固定的訪問關系和流量，如果掌握了一般的訪問規(guī)律也是發(fā)現異常的重要手段。

篇3

（延安大學創(chuàng)新學院，陜西 西安 710100）

摘 要：科學技術飛速發(fā)展的同時，人們生活水平也在不斷提高，當前人們逐漸對建筑行業(yè)領域的發(fā)展重視起來.眾所周知，建筑工程施工安全管理工作是整體建筑施工操作過程中的重要組成部分和重點操作環(huán)節(jié)，但是其自身內部安全管理工作中仍舊存在諸多弊端和不足，其安全事故以及不良狀況等也時有發(fā)生.應該了解到，當前我國創(chuàng)新建筑工程施工中的安全管理工作已經成為建筑工程各行業(yè)領域里的核心重點問題.本文針對當前功工程施工現狀，對工程施工安全管理創(chuàng)新模式進行了詳細分析和闡述.

關鍵詞 ：工程；施工；安全模式；分析

中圖分類號：TU714 文獻標識碼：A 文章編號：1673-260X（2015）01-0143-03

建筑工程項目施工安全管理是建筑工程項目中的重要管理任務，此時需要在施工過程中進行安全管理結構體系構建，之后在此基礎上進行較為科學的安全管理方式創(chuàng)新和安全管理制度創(chuàng)新，并要采取安全管理手段以保證建筑工程項目施工在安全的條件下進行.要想使建筑工程項目施工方式和基礎性施工手段達到原定施工標準要求，需要適時進行工程施工安全管理模式的創(chuàng)新，只有這樣才能在一定程度上提高建筑工程項目施工質量和施工效率，并能保證施工安全.

1 建筑工程項目施工安全管理特點要素綜述

1.1 流動性要點分析

此條首要一點就是對施工隊伍流動性特征的闡述，建筑工程項目施工隊伍具有一定的流動性，建筑工程項目本身也具有固定性，由于其固定性本質致使建筑工程項目施工始終處于不斷流動狀態(tài).建筑工程項目施工對此事要不斷進行流動性和間斷性的施工，有時施工地點也各不相同，施工地點之間的流動充分說明了其流動性較大這一特點，建筑施工隊伍施工周期相對較長且施工環(huán)境較為復雜，建筑工程項目施工環(huán)節(jié)中存在諸多不穩(wěn)定因素.還有一點建筑工程項目人員的流動性問題，工程項目流動性問題較為特殊，因為建筑工程項目施工工作人員中大多數都是農民工，農民工施工群體的流動相較大，除了施工人員的流動性以外，其基本施工過程流動性問題也是其中重點，建筑工程項目從主體施工環(huán)節(jié)到裝修施工環(huán)節(jié)中都會應用到不同施工方法和施工方案，因為建筑工程項目現場施工環(huán)節(jié)和現場施工狀況以及施工現場的一些不穩(wěn)定因素存在，致使建筑工程項目施工人員會在不同施工段內進行施工，施工環(huán)境的轉變也決定了工程施工流動性特質的存在.

1.2 密集性要素分析

現下我國建筑工程行業(yè)領域的工業(yè)化程度相對較低且勞動力呈密集式發(fā)展趨勢，建筑行業(yè)實質上歸屬于勞動密集型行業(yè)范疇內，這主要是因為在建筑工程行業(yè)領域內部存在農民工群體聚集現象，在農民工群體中，大多數農民工并未接受專業(yè)培訓，在缺乏正式培訓的情況下進行密集式施工，就會給整體施工環(huán)境帶來極大的安全隱患，此時也加大了建筑工程項目安全管理難度.地區(qū)差異性的存在使得我國各個省市地區(qū)發(fā)展呈不均衡態(tài)勢，建筑工程項目施工企業(yè)數量逐年增加，建筑工程項目施工企業(yè)資金實力和施工規(guī)模以及相應施工技術水平之間存在很大差異，上述狀況的產生使得建筑工程項目管理工作變得越來越復雜.與此同時，建筑工程項目施工地點眾多且管理關系等也顯得尤為復雜.

2 當前工程項目施工安全管理運行中的主要問題分析

2.1 法律法規(guī)執(zhí)行不到位

建筑工程項目施工安全管理工作是一項較為系統(tǒng)化的工程，此時政府在建筑工程項目安全監(jiān)督工作中占有重要地位且要履行必要義務.當前我國已經陸續(xù)出臺了建筑工程項目施工安全管理的法律和相關法規(guī)等，對建筑工程項目中各方責任都有著明確規(guī)定與明細，建筑工程項目施工企業(yè)在具體安全施工權利和對應安全施工義務等方面都作了詳細闡述與規(guī)定，但是仍舊有很多建筑工程項目施工企業(yè)拋開法律法規(guī)的管轄，心存僥幸心理并扔不設置任何建筑安全管理部門和機構，同時也沒有配備專門安全監(jiān)管人員，執(zhí)法不明以及執(zhí)法力度不足等狀況時有發(fā)生，現存非法施工行為十分猖獗.

2.2 市場監(jiān)管不到位

有些建筑工程項目形成管理部門對強化建筑工程施工安全管理的基本文件精神措施不到位，存在行動不足的基本問題和狀況，使得政府指導下的建筑工程項目安全管理問題頻頻而出政府和相關部門對已發(fā)應予以合理監(jiān)管的建筑公測很難過項目并未進行安全有效的安全監(jiān)管，少數地區(qū)仍舊以突擊性安全施工檢查形式為主，缺乏建筑工程項目的監(jiān)管力度.需要注意的一點是，處罰權和管理權分離使得安全監(jiān)管力度受到削弱，有些城市將建筑工程項目安全監(jiān)管處罰權進行肆意推脫，給予城建執(zhí)法局機構辦理，之后在此基礎上使得建筑工程項目安全監(jiān)管處罰權和建筑工程項目安全監(jiān)管管理權二者之間逐漸疏離，致使建筑工程項目安全監(jiān)管有效性大大降低.

2.3 隱患整改不及時

建筑工程項目施工現場的安全管理措施大都以動態(tài)管理為主，施工現場安全事故發(fā)生幾率正在逐年減少，但人的安全隱患問題仍舊存在，并不能進行及時監(jiān)控和管理，部分建筑工程項目在施工隊伍中會安排建筑工程項目安全管理人員和工作人員等，但是在此群體中普遍缺乏責任性以至不能良好發(fā)揮其自身糾察作用，建筑工程項目施工企業(yè)檢查工作形式化現象尤為有種，工程項目施工檢查工作和工程項目施工整改工作等并不能夠真正落實.

2.4 崗前教育不到位

建筑工程項目施工企業(yè)缺乏完善施工安全管理教育制度，在進行安全教育工作時應盡快做到有效落實.建筑工程項目施工企業(yè)不能按照法律法規(guī)固定開展施工教育工作，特別是施工人員基礎性崗前教育工作并不能夠有效實施，當前我國一些施工單位和機構并沒有對相關施工人員進行崗前安全教育，只是簡單流于形式，并未對建筑工程項目施工隊伍安全施工意識的提高起到絲毫作用.

3 工程施工安全管理創(chuàng)新模式要點分析

建筑工程項目安全管理結構體是保護施工安全的首要措施之一，應該從宏觀角度出發(fā)，根據法律規(guī)定，之后在此基礎上以現場施工特點和現場施工條件為主要基礎，并進行安全施工管理結構體系構建，圖為建筑工程項目安全管理工作流程示意：

3.1 相關法律法規(guī)的合理融入

建筑工程項目施工管理結構體系構建標準以法律法規(guī)為基礎，換個角度而言，建筑工程項目實際并不能夠脫離法律規(guī)定要求，在其具體要求與規(guī)定之下進行施工行為操作，依照安全生產法中的內容進行施工，必須履行法律條文規(guī)定，科學施工、安全施工，在進行建筑工程項目施工企業(yè)安全管理結構體系構建的整個過程中，我們需要進行具體立項方案檢查、施工方案檢查以及相關安全工作檢查等，將上述三者綜合起來進行權衡考慮，看其是否違背法律初衷.

3.2 安全管理機構和管理部門的合理設置

建筑工程項目安全管理工作具有一定系統(tǒng)性，同時其也具備一定的專業(yè)性特征，因為其具備者兩種特征，其也就要求著建筑工程項目施工企業(yè)要適時進行相應安全管理機構設置，同時以科學編制為主要整治手段以保證工程分項任務均會得到合理安排，每一項安全管理工作均有工作人員監(jiān)督與審查，要求建筑工程項目安全管理部門和機構立足于社會實踐，進行危險源風險因素挖掘和排查，做好安全事故防范準備，上述內容是當前我國建筑工程項目工作走向規(guī)范化和標準化的必經之路.

3.3 安全管理規(guī)劃

建筑工程項目施工安全管理工作以動態(tài)管理形式出現，隨著科學技術的飛速發(fā)展和人們生活水平的不斷提高，建筑工程項目任務需要進行及時調整和把控，此時通常會出現一些施工風險，大多情況下會造成不可挽回的效果.最為常見的例子就是在建筑施工現場中，項目承包商將支架打架是為相應總工程分項任務進行分包，在其他施工單位承接任務時常會出現交接不完全的狀況，對應分包單位在不之情的情況就私自動工致使工程支架崩塌，整個工程都會被責令重建和整改.綜上所述，安全管理工作中包含風險因素關注，較為正確的做法是，我們應該及時制定長期安全規(guī)劃，對隱患因素等進行及時且全面的掌控以至有效提高建筑工程項目安全管理質量和效率等，使其安全管理工作自身內部主動性得到不斷穩(wěn)步提升.

3.4 明確管理責任

一般來說，建筑工程項目的規(guī)模比較大，分項工程多，因此，施工管理和合同管理的難度相對而言比較大，而實行工程管理就是為了讓施工管理與合同管理能夠較為順利的進行，項目經理在中間起調節(jié)作用，協(xié)調各個部門之間、部門與政府部門之間的關系，而管理的責任制明確了建設承包公司、各個施工單位和項目負責人之間清晰、明確的責任，將項目管理的各個行為進行了規(guī)范，實行獎懲的激勵制度和考核方法，用以確保責任制能夠順利有效的實施到建筑工程管理.

3.5 強調技術的應用

一個企業(yè)發(fā)展的最終目標就是獲取經濟和社會效益，建筑工程管理是企業(yè)實現這最終目標的基礎，在知識、經濟、文化全球化的時代，不斷的技術創(chuàng)新是企業(yè)占領已有市場和未來潛在市場的重要手段.建筑工程管理的技術創(chuàng)新的一個關鍵因素是這個企業(yè)的創(chuàng)新型人才，一個企業(yè)只有擁有源源不斷的技術創(chuàng)新人才才能更好的實現創(chuàng)新建筑工程的管理，讓創(chuàng)新模式得到全面發(fā)展和應用.項目管理的核心是成本管理，將成本管理應用于管理機制和責任體制中，在質量得到保障的同時盡可能減少成本，加強全體職員的質量意識，將質量優(yōu)先的原則貫徹到整個管理中，運用好質檢部門的監(jiān)督作用，建立健全的建筑工程管理模式.

4 結束語

隨著科技的不斷進步，建筑行業(yè)中的新技術、新材料在建筑工程中的應用也越發(fā)廣泛，建筑工程的成本、進度及其質量跟建筑工程管理的模式息息相關，而適應市場需求、與時俱進地創(chuàng)新建筑工程管理模式在建筑行業(yè)就顯得尤為重要.目前我國大部分建筑企業(yè)的建筑工程管理水平與國外先進的建筑企業(yè)相差甚遠，現在一個企業(yè)的創(chuàng)新是其維持生命力和競爭力的重要標志.本文通過對創(chuàng)新建筑工程管理模式的原因、建筑工程管理模式的創(chuàng)新要求等方面進行研究來探討建筑工程管理模式的創(chuàng)新方法.

——————————

參考文獻：

〔1〕李靖.淺談土木工程施工技術與設計的配合[J].甘肅科技,2004(11).

〔2〕《土木工程施工測量手冊》面世[J].測繪信息與工程,2003(04).

〔3〕楊艷.土木工程施工安全管理模式分析[J].中國科技信息,2011(04).

〔4〕張冠楠.淺談土木工程施工中的機械設備管理[J].赤峰學院學報(自然科學版),2011(03).

〔5〕吳駿馳,王希文.關于加強土木工程施工項目質量管理的對策淺析[J].科技致富向導,2011(23).

〔6〕張潞.地方本科院?！锻聊竟こ淌┕ぁ方虒W方法研究[J].科技情報開發(fā)與經濟,2009(02).

篇4

【關鍵詞】通信工程技術，安全管理，完善，具體策略

1引言

通信工程是一門涉及到信息科學技術領域的學科，是電子工程的一部分，通信工程的主要內容就是信息傳輸、信號處理等等。通信工程對人們的信息交流、傳遞起到直接影響作用，不僅影響著人們群眾的日常生活，還很大程度上影響著我國國民經濟的發(fā)展。目前，我國的通信工程技術的發(fā)展速度較快并且充滿了活力，該技術有極大的發(fā)展空間。但是由于人們對安全的重視程度提高，通信工程方面的安全管理也應不斷提高并完善，安全管理是通信工程發(fā)展建設中的關鍵之處。通信工程安全管理包括通信工程的設計單位安全管理、施工單位安全管理等多個部門的安全管理工作。提高通信工程安全管理工作的力度、完善通信工程安全管理工作體系機構，對我國通信工程在當今社會中的發(fā)展有極其重要的作用。

2通信工程安全管理

2.1通信工程安全管理的含義

通信工程安全管理就是對通信工程所傳遞的信息等進行安全性的管理等一系列計劃，可以有效地減小信息傳遞的不安全性，保證信息的隱秘性等?？傊?，通信工程安全管理就是對通信工程中傳遞或者涉及到的信息進行安全方面的管理工作。

2.2通信工程安全管理的必要性

人們在日常生活中使用通信工具所傳遞的信息都是豐富的，都應該對信息進行保密工作，通信工程企業(yè)應該加強安全管理工作，對通信工程的內容進行安全管理，這樣有利于通信工作的順利進行，為我國的通信工程事業(yè)的發(fā)展帶來積極的影響。我國的法律也有硬性規(guī)定，通信行業(yè)要加強安全管理的工作，企業(yè)都應該嚴格遵守國家制定的法律規(guī)章等，對通信工程工作實行嚴格的安全管理工作。此外，通信工程安全管理工作有利于通信工程工作體系的完成，目前我國通信工程安全管理工作主要有企業(yè)部門、政府部門監(jiān)督完成，安全管理工作的進行有利于增加國家政府和企業(yè)之間的聯系，促進我國通信工程市場的順利運營。

2.3通信工程安全管理工作的現狀

目前，我國在通信工程安全管理工作方面存在著一定的不足之處，不足主要體現在：企業(yè)對通信工程行業(yè)的風險不夠了解，不重視通信工程安全管理工作，有的企業(yè)雖然實施安全管理工作但是工作力度不夠；我國在通信工程安全管理工作方面的法律制度不夠完善，監(jiān)督力度也不夠大，這就為安全事故的發(fā)生帶來了很多便利性因素；企業(yè)對工作人員的安全管理工作重要性宣傳不夠，工作人員不重視安全管理工作；此外，通信工程工作進行的過程中，工作人員本身也存在著一定的不安全性，工作人員應該提高自己的安全意識，做好安全防范工作。

3完善通信工程安全管理工作的具體路徑

由于通信工程安全管理工作對社會人民群眾、對企業(yè)的發(fā)展進步、甚至對我們國家的經濟發(fā)展都有著極其重要的作用，因此，提高通信工程安全管理工作效率是有必要的。完善通信工程安全管理工作可以從以下幾方面做起：

3.1制定相關標準要求以及監(jiān)督要求。從國家層面就應該重視起來通信工程中的安全管理工作，制定相關的法律規(guī)章，對通信工程的安全管理的監(jiān)督工作也應該不斷加大力度，并且真正意義上去實行對通信工程安全管理工作的監(jiān)督。此外，應該完善通信工程安全管理體制，對安全管理工作的負責人進行合理的選擇，將安全管理機制落實到實際工作中。國家加強對通信工程安全管理工作的重視，制定法律規(guī)章來對企業(yè)進行直接束縛，可以有效提高通信工程安全管理工作的工作效率。

3.2企業(yè)加強對工作人員的培訓。通信工程工作的實施過程中，工作人員是安全方面的關鍵所在，工作人員本身應該具有很強的安全意識。同時，企業(yè)也應該定期對工作人員進行安全管理培訓，讓工作人員充分了解安全管理工作。工作人員提高自身的安全意識，在實際工作過程中注意每一個小細節(jié)，才能直接保證通信工程安全管理工作。企業(yè)在對工作人員的篩選上，也應該注意人才的專業(yè)知識能力水平的高低，對工作人員進行定期安全管理培訓，把通信工作安全管理工作放在重要位置。

3.3加大對通信工程領域的資金投入。通信工程所利用到的設備很多，這些設備在長時間的工作中可能會出現一定的安全隱患，可能會對通信工程帶來一些安全事故，這就要求定期的對通信工程施工所用的設備進行檢查，及時發(fā)現安全隱患并且解決問題，保證設備的安全性，通信工程工作才可以順利進行。對設備的安全隱患檢查以及維修都需要大量的費用，因此要加大對通信工程領域的資金投入，有了資金方面的支持和保障，對設備的檢查和維修工作才能更加順利的進行。

3.4做好安全事故的急救工作。通信工程在施工過程中，出現意外風險的可能性很大，自然因素、人為因素等都有可能造成安全事故的發(fā)生，假如安全事故突然發(fā)生，通信工程企業(yè)應該迅速把制定好的急救方案拿出，及時的開展對安全事故的救援工作，這樣可以最大限度的降低安全事故對企業(yè)造成的損失。在安全事故之后，還要對安全事故進行詳細的分析，找出安全事故發(fā)生的原因，對安全事故的責任人進行一定的懲罰等措施，這樣才能在以后的工作中防止這種安全事故的發(fā)生。因此，通信工程企業(yè)應該制定安全事故的救援方案，并且準備一些必備的物質以保證救援工作的實施。

4總結

通信工程事業(yè)的發(fā)展，離不了安全管理工作的保障，通信工程安全管理工作順利進行，才可以更好的發(fā)展我國的通信工程事業(yè)?？偟恼f來，通信工程安全管理工作需要國家、社會、企業(yè)等的共同努力才能完成，它對我國通信工程的發(fā)展有極其重要的推動作用。

參考文獻：

[1]張彥秋，王志波.強化通信工程安全管理的對策.《中國制造業(yè)信息化》.2009年2期

[2]趙有勤.強化通信工程安全管理的有效對策.《中國信息界》.2011年12期

篇5

關鍵詞：機電安裝 工程質量管理 安全管理 信息技術管理

中圖分類號：TH182 文獻標識碼：A 文章編號：1674-098X（2013）03（b）-0-01

近年來，國家了一系列宏觀調控的政策，在政策大力支持的環(huán)境下，我國機電安裝工程得到了十分迅速的發(fā)展，但是我們仍然必須要對機電安裝的工程質量管理、安全管理以及信息技術管理各項工作進行明確以及探討。

1 現狀及所存在的問題

1.1 前期管理

機電安裝工程前期管理階段，是整個機電安裝工程項目的首要階段，主要是機電安裝企業(yè)的決策部門根據機電安裝工程的預可研報告和可研報告的研究結果，組織相關的專家，進而對機電安裝工程項目的立項進行決策。然而，近幾年的實踐過程發(fā)現，通常都缺乏對機電安裝工程建設項目的可行性研究工作的深度研究，估算工作也不是很準確，因此，必然會影響機電安裝的工程質量管理、安全管理及信息技術管理等

方面。

1.2 設計階段管理

在目前的形勢下，我國機電安裝工程的建設項目所規(guī)劃的單位數量相對來說比較少，而且質量也十分低，除此之外，我國一直都處在機電安裝工程建設高峰的時期，而且，一些機電安裝工程相關的設計單位的激勵機制和約束機制都存在著很多的缺陷與不足，這也就導致了在機電安裝工程的項目設計過程中都存在質量較低，缺項、多項以及漏項等現象的普遍存在，這也成為致使機電安裝的工程質量管理、安全管理及信息技術特別容易出現問題最為主要且直接的導火索。

1.3 安裝階段管理

機電安裝建設工程在安裝階段中，一般都存在著大量對工程的質量、安全方面以及工程信息技術方面產生影響的一些因素，主要包括：安裝建設工程的安裝隊伍技術人員的質量與素質比較低，安裝隊伍的建設投入的資金力量都十分缺乏，同時，安裝的機械設備也不是十分配套，這都會導致延誤工期；安裝工程的安裝隊伍的工作組織，而且，他們的安裝方案設計得都不夠合理，所以，往往容易違背了安裝工程建設的安裝工序；除此之外，安裝工程建設的安裝現場所進行的計量也不是十分準確，他們的設計變更往往也不能夠嚴格地進行把關；安裝工程建設的安裝現場監(jiān)理人員的業(yè)務素質也比較低下，他們對于現場所出現的那些不同問題往往無法采取正確的手段進行及時有效的處理方式或者方法。

1.4 質量管理

準備階段：一般來說，在安裝工程進行施工準備的時候，首先要精讀施工設計圖紙，做到全面熟悉施工的設計要求以及施工的各項步驟。優(yōu)秀的工程質量都是經過高素質高水平的施工技術人員所完成的，因而，這往往就要求在施工之前要對施工人員以及隊伍進行必要的評估以及考核工作，并且調整好普工和技工所占的比例。除此之外，還要根據安裝工程的具體實際情況來編制施工組織，還要進行嚴格的審查工作，這要求要有十分完善的施工質量保證體系，以及有保證施工工程質量的種種技術

措施。

施工階段：在施工的過程中必須按照已經通過審核的有關技術文件以及電氣設計圖紙，嚴格根據國家目前的工程建設施工以及所需要的驗收規(guī)范，還有地方相關的工程建設方面的文件與法規(guī)。在施工的過程中，一旦發(fā)現任何圖紙方面的問題，都應該及時地提出并且進行妥善處理，未經同意的話嚴禁私自變更施工設計的方案。

2 應對措施

2.1 加強安全管理

（1）加強項目部安全管理

除了要做好日常安全的管理工作之外，項目部還要著重從以下這幾方面來強化施工安全控制方面的工作：應該組織機構來進行安全管理建設，項目部應該建立一種“橫向到邊，縱向到底” 全過程、全方位、全部員工都會參與的安全管理體系，安裝工程的項目經理要作為安裝項目關于安全的總負責人，項目總工程師和生產副經理作為安裝項目安全的直接負責人，而且，由安裝工程項目的安全員來具體負責項目的安全方面的活動組織工作以及生產日常管理。

（2）加強機電安全培訓工作

安全永遠重于泰山，所以說員工的整體安全技術素質，將會直接關系到工程安全工作的優(yōu)劣。因而，必須要加強和堅持對員工進行安全技術的培訓工作。主要應該要以師傅帶領學徒為主要，使他們的操作技術和基礎理論知識能夠達到本工種的應知應會的水平。與此同時，還應該積極組織進行安全技術培訓工作，學習“機電質量標準化”以及“機電三全十管理”等這些制度，最好是能夠建立起可以進行模擬的實驗室，可以讓職工親身體驗一下違章作業(yè)后所帶來的危險性。讓員工要多看影碟，來學習目前先進的技術，安排班前班后、安全活動等各種方法來讓員工進行熱烈的安全討論，使他們能夠以主人翁的姿態(tài)參入到機電安全工作當中來。

2.2 加強機電安裝工程應用信息技術

管理

機電安裝建設工程項目如果進行信息化管理，應該注重以下方面的工作：（1）要建立起基礎的信息平臺，構建起由系統(tǒng)軟件、網絡設備、服務器以及數據庫軟件共同組成起來的計算機局域網絡；（2）要建立以決策服務為目的、以工程管理為主線、面向機電安裝工程建設以及管理全過程的、具有預測功能和輔助決策的綜合信息服務系統(tǒng)；（3）應該建立一套能滿足關鍵性業(yè)務處理需求和具有統(tǒng)一性的工程管理業(yè)務規(guī)范，實現規(guī)范、完整以及集成化的數據處理和事務處理；（4）應該通過系統(tǒng)實施，促使工程管理工作人員有關現代管理觀念更新，培養(yǎng)出一批能夠進行熟練的使用、操作以及維護工作管理系統(tǒng)的人才隊伍，提高人員的整體素質，為深入的實施、系統(tǒng)開發(fā)以及未來的工作積累成功經驗。

3 結語

機電安裝建設工程項目的質量、安全生產以及信息技術管理，已經成為目前企業(yè)管理最重要的組成部分之一，同時，這又需要運用到多個學科的知識進行綜合管理。伴隨信息技術不斷快速發(fā)展，只有成功地將先進的信息技術融入進工程質量、安全生產的管理當中，才能實現企業(yè)效益的最大化。

參考文獻

[1] 黃志彬.建筑機電設備安裝管理問題的幾點思考[J].價值工程，2010（12）：47.

篇6

關鍵詞：外包工程；安全監(jiān)督；信息化

中圖分類號：TU714文獻標識碼： A

引言

近年來，隨著國家改革開放的不斷推進經濟逐漸好轉，電廠的建設也得到了巨大的發(fā)展，由小型化不斷向大型化、復雜化的方向發(fā)展。助推電力建設步入精細化發(fā)展,此時它們的建設管理對信息技術的應用要求越來越高。由于電廠外包工程的施工較電廠自身而言,具有施工人員對環(huán)境、條件、系統(tǒng)了解不夠,對發(fā)包工程安全管理制度認知不夠,施工工藝、習慣做法不一致等隱憂,加大了對外包隊伍安全管理的復雜性。所以，電廠外包工程安全監(jiān)督信息化是新形勢下監(jiān)督工作的迫切需要，其監(jiān)督信息化系統(tǒng)重點突出對責任主體安全責任行為監(jiān)督檢查，對電廠的實體安全監(jiān)督檢查為輔，建立電子政務平臺，提高安全監(jiān)督信息化系統(tǒng)的服務性，服務領導和人民群眾，開創(chuàng)安全監(jiān)督工作新模式，促進安全監(jiān)管水平的提高。

一、影響電廠外包工程安全監(jiān)督信息化發(fā)展因素的分析

（一）、領導重視不夠，信息化建設投入嚴重不足

目前，由于某些電廠企業(yè)領導對監(jiān)督信息化系統(tǒng)不了解、不掌握、不應用，僅靠安全監(jiān)督人員和信息人員參與信息化工作，是不能促進信息化系統(tǒng)完善和改進。同時信息化建設投入不足，單位計算機數量和網絡條件配置等軟硬件不夠，阻礙了企業(yè)安全監(jiān)督信息化系統(tǒng)的發(fā)展。

（二）、信息化人才嚴重短缺

在電廠企業(yè)的安全監(jiān)督信息化建設中對專業(yè)人才的任用意識不夠，對系統(tǒng)的監(jiān)督人員沒有做到執(zhí)證上崗的要求，對安全監(jiān)督沒有專業(yè)認識，更重要的是對計算機操作水平較低，對一些計算機設備應用不熟練，在很大程度上影響了信息化監(jiān)督的發(fā)展進程。

（三）、缺少服務

由于在電力企業(yè)安全監(jiān)督工作中所應用的標準軟件的信息化系統(tǒng)形式和功能不同，使得監(jiān)督工作缺少公共服務平臺。一些信息化的服務網站缺少安全監(jiān)督的主體內容，導致大投資建設的信息化系統(tǒng)成了花瓶。各外包分包單位沒有統(tǒng)一的安全監(jiān)督工作的信息化標準版，不能實現有效信息共享。

二、目前電廠外包工程安全監(jiān)督領域信息化技術的應用情況

信息化技術發(fā)展至今，在我國范圍內一些大型的電力企業(yè)已建立了信息化管理系統(tǒng)，開發(fā)了適合我國電力企業(yè)發(fā)展實際情況的一些信息軟件系統(tǒng)。目前在我國的電廠，建立起了對外包工程的遠程監(jiān)控系統(tǒng)。通常的遠程系統(tǒng)主要包括三個方面，即圖像采集子系統(tǒng)、監(jiān)控中心子系統(tǒng)以及傳輸子系統(tǒng)。

（一）、圖像采集子系統(tǒng)

通過攝像機等視頻采集設備采集工地上需要監(jiān)控的圖像并轉換為適合傳輸子系統(tǒng)傳輸的數據形式，是圖像采集子系統(tǒng)的主要任務。通過在硬盤錄像機內安裝大容量硬盤存儲本地錄像，然后硬盤錄像機將攝像機的圖像信號轉換成高速數字信號，然后再接入傳輸子系統(tǒng)。監(jiān)督人員應根據安全監(jiān)督管理條例，對作業(yè)面、材料堆場、生活區(qū)、加工場等進行全方位的監(jiān)督。圖像采集子系統(tǒng)必須對以上幾個地點安裝攝像機實施視頻采集，選擇一個視野開闊的地點，安裝一個固定攝像機用于觀察外包工程的施工進度。還可以在線路中途增加視頻放大器設備來增加信號強度。

（二）、監(jiān)控中心子系統(tǒng)

在整個電廠企業(yè)的遠程監(jiān)控系統(tǒng)中，監(jiān)控中心子系統(tǒng)正真的體現了遠程監(jiān)控系統(tǒng)的精髓。電廠的安全監(jiān)督效果的高低與其信息化程度的高低有很大的關系，通過監(jiān)控子系統(tǒng)，能夠很好地確保外包場地的安全受控。它的主要任務是匯總、處理、儲存、顯示來自圖像采集子系統(tǒng)的圖像數據，并且為煤礦工地遠程監(jiān)控系統(tǒng)構建操作平臺和管理平臺。其主要配置包括：專用監(jiān)控中心、監(jiān)控中心專用機房等，利用信息化技術開發(fā)出的監(jiān)控管理系統(tǒng)，其具有遠程監(jiān)測和控制功能、報表功能、配置功能、安全管理功能、通信管理功能、對建筑施工工地遠程監(jiān)控系統(tǒng)各項資源進行全面的管理。

（三）、傳輸子系統(tǒng)

在外包工程中，由于場地一般比較分散，所以在傳輸子系統(tǒng)的建設方面就需要很大的投資，一般的情況下，采用租用網絡運營商傳輸線路的方式來構建傳輸子系統(tǒng)。傳輸子系統(tǒng)的任務是建立各個場地的圖像與監(jiān)控中心之間的傳輸路徑。同時，租用的傳輸線路設置為不進入互聯網，專為場地遠程監(jiān)控系統(tǒng)使用；因此不會受因特網內傳輸節(jié)點較多的影響而造成圖像的時延性、流暢性較差，或者偶爾有圖像卡住、數據掉包的現象。

三、安全監(jiān)督信息化管理系統(tǒng)的實現方案

系統(tǒng)應以Internet/Intranet和數據庫技術為基礎，采用當今先進流行的瀏覽器/服務器（Browser/server）體系結構，該體系結構所有計算器操作都在服務器上進行，然后將結果的標準以HTML文件格式傳送到客戶端，這樣客戶端只需有瀏覽器就可以了，系統(tǒng)的升級維護也只需要在服務器端口就可以操作。更重要的是ASP使用的ActiveX技術，基于開發(fā)設計環(huán)境，設計者可以設計各種組件，使自己的網頁幾乎具有無限的擴充能力。另外，ASP可以利用ADO方便地訪問數據庫，系統(tǒng)的操作界面采用標準的InternetExplorer(IE)和Windows窗口風格，簡單易用，用戶只需要具備基本的電腦使用知識，經過短期的系統(tǒng)操作培訓就可以熟練使用系統(tǒng)。目前大多數監(jiān)督人員均能掌握電腦的基本應用，為系統(tǒng)的順利使用提供了有利條件。所以實現安全監(jiān)督管理系統(tǒng)的方案重要包括：

（一）、在監(jiān)督站建立一個局域網絡

可以在監(jiān)督站建立一個局域網絡，采用星形拓撲結構，使操作在監(jiān)督站內完成，計算機使用水平差別大，而且系統(tǒng)對數據的實時性要求不高，因而采用服務器托管，如有條件也可在監(jiān)督站內設置機房。相關的用戶可以在任何時間、任何地點，以各種方式方便地登錄網站，實現數據的錄入、查閱等操作。利用強大的分布式數據庫SQLServer的SQLAgent進行定期更新，可實現兩個服務器之間的數據交換。

（二）、加入多項新技術以提高監(jiān)督管理工作效率

這幾項技術包括:移動短信技術、地理信息系統(tǒng)技術和數字視頻技術等?？梢酝ㄟ^短信服務功能向監(jiān)督機構內人員發(fā)送如開會通知、公告等相關信息，如一些企業(yè)提交資料表格經過監(jiān)督機構處理的反饋信息等；地理信息系統(tǒng)可以監(jiān)督機構能夠通過電子地圖縱覽機構內所監(jiān)督工程的分布情況，使用PDA進行現場數據采集，數據可隨時與系統(tǒng)進行相互傳遞。

（三）、分工明確

根據工作實際的需要和各單位工作管理職責的分工不同，在信息系統(tǒng)的分布設計時，應當為不同的部門和企業(yè)單位設計不同的網頁，各單位（部門）根據所得到的合法賬號和密碼，進入相應網頁進行數據提交、信息查詢、報表打印等操作相關技術性文檔，便于檔案管理。

結束語

電廠的外包工程的安全監(jiān)督管理是一個龐大的系統(tǒng)工程。只有從信息化入手，改變工作方法，運用先進的信息化技術和管理理論來提高工作效率，才能使得安全監(jiān)督工作高效、持續(xù)和規(guī)范地進行。在新形勢下，電廠安全監(jiān)督信息化系統(tǒng)的建立和使用，對加強電廠場地安全監(jiān)督工作具有重要意義。促進安全監(jiān)督管理工作規(guī)范化與程序化，在電力工程安全監(jiān)督管理過程中發(fā)揮積極作用，實現對工程安全更好的控制，推動電力企業(yè)的發(fā)展。。

參考文獻：

[1]李志剛.淺議工程質量監(jiān)督信息化系統(tǒng)的建設[J].福建工程學院學報,2010,S1:234-235+241.

篇7

關鍵詞：信息化 建設工程 質量安全管理 技術應用

中圖分類號：TU2 文獻標識碼：A 文章編號：1672-3791（2012）08（c）-0011-01

1 信息化和企業(yè)信息化的基本含義

從廣義概念上來看，信息化是指培養(yǎng)、發(fā)展以計算機為主的智能化工具為代表的新生產力，并使之造福于社會的歷史過程，信息化生產力是迄今人類最先進的生產力。完整的信息化內涵包括以下四方面內容：第一，信息網絡體系，這是信息化的基礎設施，包括信息資源、信息系統(tǒng)、公用通信網絡平臺等。第二，信息產業(yè)基礎，包括信息科學技術研究與開發(fā)，信息裝備制造，信息咨詢服務等。第三，社會運行環(huán)境，包括現代工農業(yè)、管理體制、政策法律、規(guī)章制度、文化教育、道德觀念等生產關系與上層建筑。第四，效用積累過程，包括勞動者素質，國家現代化水平，人民生活質量不斷提高，精神文明和物質文明建設不斷進步等。

2 建設工程質量控制和安全管理與信息化建設

在我國建筑業(yè)快速發(fā)展的同時，建設工程質量安全問題也日益突出，這主要體現在工程合格率低、劣質工程增多、質量安全事故頻發(fā)和安全隱患較多等方面。為此，需要采取多種措施提高建設工程質量安全水平，在這其中，信息化手段是重要的監(jiān)管舉措。

20世紀80年代，我國住房和城鄉(xiāng)建設領域率先在工程設計中推廣使用計算機，至2000年基本實現了“甩掉圖板”，為建設領域信息化建設奠定了堅實的基礎。隨后，經過“十五”和“十一五”，特別是隨著《03-08信息化綱要》的頒布，信息技術在設計、施工、監(jiān)理以及各專業(yè)領域得到廣泛應用，顯著提高了工作效率和工作質量，并在一定程度上提高了企業(yè)的管理水平。信息化技術在建設工程質量控制和安全管理上的應用也隨之起步發(fā)展。

3 建設工程質量安全信息化應用上存在的問題

由于起步較晚，加之重視度不夠，目前信息化技術在在建設工程質量控制和安全管理上的應用存在一些問題，主要表現在一下幾方面。

一是建設單位作為建設工程的業(yè)主和第一責任主體，信息化程度仍然較低。

二是建筑業(yè)與信息化的復合型人才嚴重缺乏。由于建筑業(yè)企業(yè)的特點以及對信息化的重視不夠，建筑業(yè)信息化人才嚴重不足。近年來雖然有了顯著增加，但相對于電信、石油石化、制造等行業(yè)，仍有較大差距。尤其中小型建筑企業(yè)，有的甚至還沒有專職信息化人員。

三是信息化建設資金投入不足。與發(fā)達國家相比，我國企業(yè)信息化總體上比較薄弱，在這其中，資金投入不足是一個重要方面。目前，發(fā)達國家建筑企業(yè)年信息化投入占收入的0.3%～0.5%，而我國投入比重最高的企業(yè)也只有0.027%。投入上的不足，使得信息化基礎設施匱乏，無法有效支撐信息化應用的需求，制約了信息化的深入開展。而且，由于目前國內建筑企業(yè)信息化建設主要采取的是需求驅動模式，企業(yè)管理現代化程度較低，導致信息系統(tǒng)建設相對獨立，資金投入不合理，很難實現統(tǒng)一項目管理模式、統(tǒng)一成本核算體系、統(tǒng)一流程，信息化應用效果不佳。

四是信息化規(guī)范、標準缺乏。標準建設是信息化技術應用的重要基礎，但是，由于我國缺乏統(tǒng)一的建設工程信息化建設機制，目前的建設工程項目基本上還沒有形成普遍適用于企業(yè)的信息化管理制度和標準，無法保證企業(yè)信息化步調一致的推進。

4 信息化網絡技術在建設工程項目管理的運用

建設工程項目管理的主要任務就是采取有效的組織管理措施，對建設項目的工期、質量、投資等三大目標實施動態(tài)控制，確保三大目標得到最合理的實現。而建設項目管理信息系統(tǒng)就應該能夠輔助項目管理人員完成上述任務。信息化網絡技術在建設工程項目管理中的運用可劃分為不同子系統(tǒng)，主要包括進度控制子系統(tǒng)、質量控制子系統(tǒng)、投資控制子系統(tǒng)、合同管理子系統(tǒng)、文檔管理子系統(tǒng)和決策支持子系統(tǒng)等六個子系統(tǒng)。各子系統(tǒng)之間既相互獨立，各有其自身目標控制的內容和方法，又相互聯系，互為其他子系統(tǒng)提供信息。

此外，網絡技術也可以在建設工程質量控制和安全管理中得到運用，典型的如遠程監(jiān)控系統(tǒng)對施工現場質量安全的監(jiān)管，施工單位可以通過多點布控，實施全方位的實時動態(tài)安全監(jiān)控。建設單位可積極應用電子政務系統(tǒng)，大大簡化建設工程報建審批程序。例如，四川省住房與城鄉(xiāng)建設廳就設立公共電子政務大廳，建設工程項目可在線辦理質量檢測、招標、資質查詢、應用技術備案、建筑能耗和節(jié)能信息報送等多項業(yè)務種類。既提高了建筑業(yè)整個信息化建設，同時也提高了行政效率，降低了行政成本，有利于政務公開透明。

5 信息化技術提高建設工程質量控制和安全管理水平的實施流程

企業(yè)應用信息化技術是一種系統(tǒng)性工程，要提高質量安全管理水平，需要把信息化技術應用到企業(yè)開展項目的每一個環(huán)節(jié)，具體來說，可以分成這樣四個組成部分進行考察。

5.1 企業(yè)內部進行資源整合、準確定位

在投資建設信息化之前，建設工程實施企業(yè)管理層應從經營戰(zhàn)略、體制、技術、管理、企業(yè)文化、人力資源、行業(yè)環(huán)境等各個方面對企業(yè)進行全面的診斷和準確定位，甚至重新定位，在此基礎上確定本企業(yè)信息化建設的關鍵需求、方針、范圍、階段和深度，確定信息化建設的策略。

5.2 明確企業(yè)信息化建設的總目標和階段目標

一般來說，企業(yè)信息化的總體目標可以包括：提升企業(yè)管理水平，提高工作效率，增強企業(yè)的核心競爭力。企業(yè)利用信息化建設提高質量控制和安全管理水平的具體目標包括：（1）加強企業(yè)各層人員之間、企業(yè)與業(yè)主、監(jiān)理、供應商等單位之間的溝通，提高質量安全管理工作效率；（2）建立企業(yè)內部網絡，加強信息資源的開發(fā)利用，加強信息化基礎設施建設，包括計算機系統(tǒng)、數據庫系統(tǒng)、網絡系統(tǒng)、信息應用系統(tǒng)等；（3）加快質量安全管理信息流通，實現內部資源共享。連接企業(yè)內部網絡和外部網絡，充分利用企業(yè)內網和互聯網，實現質量安全管理信息系統(tǒng)輔助決策智能化。

5.3 開展信息化建設的評價

信息化建設是高投入、高風險的過程，必須定期對信息化管理和信息化業(yè)務進行評價，明確企業(yè)信息化建設過程中的不足與過剩，及時調整企業(yè)信息化建設的策略，特別是對質量安全管理活動中的信息化建設狀況和實施效果進行定期和不定期的測評，在此基礎上提出改善信息化建設的措施。

參考文獻

[1] 信息化發(fā)展綱要編寫組.以信息化推動建筑業(yè)跨越式發(fā)展[J].建筑，2011（15）.

[2] 笑陽.信息化建設成我國建筑企業(yè)發(fā)展趨勢[N].工人日報，2009，12，6.

篇8

1.1電力系統(tǒng)信息安全意識薄弱

伴隨著科學技術的不斷發(fā)展，特別是計算機技術的發(fā)展，我國的計算機安全技術獲得大幅度的提升，安全策略也有了很大的發(fā)展，基本可以保障電力系統(tǒng)的信息安全，因此，電力系統(tǒng)的各個計算機應用部門就容易掉以輕心，信息安全意識較為薄弱，與信息安全的實際需求相差甚遠，從而導致有關部門不能很好的應對新出現的信息安全問題。

1.2缺乏統(tǒng)一的電力系統(tǒng)信息安全管理規(guī)范

缺乏統(tǒng)一的電力系統(tǒng)信息安全管理規(guī)范是電力系統(tǒng)信息安全管理中存在的一個較為嚴重的問題，導致電力系統(tǒng)信息安全管理無章可循、無法可依，信息安全管理的工作無法真正落實到位，信息安全管理的效率和質量都較低。

1.3缺乏符合電力行業(yè)特點的信息安全體系

隨著電力系統(tǒng)信息化程度的不斷提高，整個電力系統(tǒng)對計算機和網絡的依賴程度越來越高，相應的就要求建立安全系數高的安全體系，只有這樣才能很好的保障電力系統(tǒng)的正常運行，否則電力系統(tǒng)將會面臨很多安全方面的威脅。

1.4信息化程度的提高，使電力系統(tǒng)面臨著巨大的外部安全攻擊

電力系統(tǒng)的信息化程度的提高，有一個重要的表現就是由過去孤立的局域網發(fā)展成為廣域網，這樣一來，就增加了電力系統(tǒng)信息安全管理的難度，使電力系統(tǒng)面臨更多的安全攻擊和風險。

2提高電力系統(tǒng)信息安全性的措施

2.1提高安全意識

有關部門應該加強電力系統(tǒng)安全知識的宣傳，提高電力系統(tǒng)各種計算機應用部門人員的安全意識，正確認識信息安全問題，并加強對新出現問題的研究，提高對新出現問題的認識程度，以便制定相應的防范措施。

2.2制定統(tǒng)一的信息安全管理規(guī)范

要想提高電力系統(tǒng)信息安全管理的效率和質量，必須要制定一個統(tǒng)一的電力系統(tǒng)信息安全管理規(guī)范，這對電力系統(tǒng)的正常運行至關重要。企業(yè)在制定信息安全管理規(guī)范時，一定要結合電力系統(tǒng)的運行特點，并且還要參考主要的國際安全標準和我們國家的安全標準，努力制定出一套標準的、統(tǒng)一的電力系統(tǒng)信息安全管理規(guī)范。

2.3建立健全電力系統(tǒng)信息安全體系結構框架

建立健全電力系統(tǒng)安全體系結構框架，最主要的是要掌握先進的電力系統(tǒng)信息安全技術，只有這樣才能盡快的實現電力系統(tǒng)信息安全示范工程，從而大幅度的提升電力系統(tǒng)信息安全管理的水平。這里所說的先進的信息安全技術主要包括信息加密技術、信息確認和網絡控制技術、防病毒技術、防攻擊技術、數據備份和災難恢復技術等。

2.4采取一切有效的措施，抵擋外部安全攻擊

為抵擋外部安全攻擊，有關部門應該積極采取一切有效的措施來保障電力系統(tǒng)的信息安全。這些有效的措施主要包括以下幾種：注意建立電力系統(tǒng)信息安全身份認證體系、建立完備的網絡信息系統(tǒng)監(jiān)控中心、建立電力系統(tǒng)信息安全監(jiān)測中心等。

3結語

篇9

關鍵詞：信息安全管理；測評；要素；指標

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進入信息化社會，社會發(fā)展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經濟、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程，其包括關鍵基礎設施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網絡安全、人員安全等。組織要實現信息安全目標，就必須建立一套行之有效信息安全管理與技術有機結合的安全防范體系。信息安全管理包括制定信息安全策略（包括計劃、程序、流程與記錄等）、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1]，強調了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量，根據測量的結果對組織信息安全管理情況進行評價并進一步指導信息安全管理，提高信息安全管理能力和水平，目前已經成為信息安全領域的一個研究熱點[2]。

信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現狀和未來綜合能力的反映，不僅是對過去和現在的能力展現，而且為未來發(fā)展提供保障和動力。在我國，目前關于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標準、方法等。因此，開展信息安全管理測評研究，對組織信息化建設既具有重要的現實意義也具有長遠的持續(xù)發(fā)展意義。

1 信息安全管理測評發(fā)展綜述與需求

關于信息安全測評，美國早在2002年通過的《聯邦信息安全管理法案》中就要求各機構每年必須對其信息安全實踐進行獨立測評，以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試，其頻率視風險情況而定，但不能少于每年一次。在獨立評價的基礎上，聯邦管理與預算局應向國會上報評價匯總結果；而聯邦審計署則需要周期性地評價并向國會匯報各機構信息安全策略和實踐的有效性以及相關要求的執(zhí)行情況。

2003年7月，美國國家標準與技術研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術系統(tǒng)安全測量指南》，其包括以下內容[3]：

1） 角色和職責：介紹發(fā)展和執(zhí)行信息安全測量的主要任務和職責。

2） 信息安全測量背景：介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

3） 測量發(fā)展和執(zhí)行過程：介紹用于信息安全測量發(fā)展的方法。

4） 測量項目執(zhí)行：討論可以影響安全測量項目的技術執(zhí)行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標準化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標準——ISO27000系列。2005年1月10日又了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27，該文檔是根據CISWG的最佳實踐和測量小組的報告改編。

2005年8月31日，美國國際系統(tǒng)安全工程協(xié)會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個貢獻文檔。

2009年國際標準化組織（ISO）了ISO/IEC 27004：2009（信息技術一安全技術一信息安全管理測量）標準，為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強，不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進行科學的評價，進一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實現目標，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結果具有客觀的可比性，還可以作為信息安全風險管理、安全投入優(yōu)化和安全實現變更的客觀依據，有助于降低安全風險，減少安全事件的概率和影響，改進安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價的綜合。信息安全管理測量的結果是信息安全績效評價的依據。信息安全管理測量比較具體，信息安全管理評價則通過具體來反映宏觀。

2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進行測評（即實體及其屬性），用什么指標體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數來計算測評結果（即測評函數），用什么模型來分析測評結果（即分析模型），用什么方式來使分析結果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業(yè)務目標，與相關利益者的利益訴求密切相關。指示器的生成和分析模型的選擇是以信息需求為導向的。

決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出，或作為統(tǒng)計控制限度或統(tǒng)計信心限度計算出來。

可測評概念是實體屬性與信息需求之間的抽象關系，體現將可測評屬性關聯到信息需求以及如何關聯的思想?？蓽y評概念的例子有生產力、質量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象，例如，過程、產品、系統(tǒng)、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項（信息安全管理測評要素）。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區(qū)分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性（信息安全管理測評指標）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作，可以有多種測評方法?；A測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據屬性之間的關系來定義，他捕獲多個屬性或多個實體的相同屬性的信息，其功能依賴于基礎測評的，是兩個或更多基礎測評值得函數。

測評尺度是一組連續(xù)或離散的數字量值（如小數/百分比/自然數等）或離散的可數量值（如高/中/低/等）。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。

測評尺度根據尺度上量值之間關系的性質分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準，以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。

測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析模型的選擇。

測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執(zhí)行頻率。測評計劃應按規(guī)定的頻度定期地或在必要的時候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時候包括ISMS初始規(guī)劃和實施以及ISMS本身或運行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關聯，對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個方面，提出了133個控制措施供使用者在信息安全管理過程中選擇適當的控制措施來加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中，通常以控制措施的實施情況作為指標，建立預選指標集，通過對預選指標集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發(fā)生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結合產生一個不同的基礎測評。測評方法可能采用多種方式實現。測評規(guī)程描述給定機構背景下測評方法的特定實現。

測評方法根據量化屬性的操作性質分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數字規(guī)則（如計數）的量化。這些規(guī)則可能通過人或自動手段來實現。

測評方法的可能例子有：調查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試（相關技術有設計測試和操作有效性測試等）、統(tǒng)計（相關技術有描述統(tǒng)計、假設檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計過程控制（SPC， statistical Process control） 圖和時序分析等）。

4 結束語

當前，信息安全領域的測評研究多側重于對技術產品、系統(tǒng)性能等方面的測評，其中信息安全風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息安全狀況；信息安全審計則只是對信息安全相關行為和活動提供相關證據；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息安全管理的有效性進行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據，也能為組織信息安全管理過程的持續(xù)改進提供足夠的幫助，達到更好地管理信息安全的最終目的。

參考文獻：

[1] 閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網絡安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31

篇10

關鍵詞 管理；信息；安全；違章

中圖分類號：X934 文獻標識碼：A 文章編號：1671-7597（2013）20-0163-02

隨著科學技術的發(fā)展，信息化的進程越來越快，并在電力市場經濟環(huán)境的促使下，供電企業(yè)開始加大自身的信息化建設，信息安全管理逐步得到完善。作為新時代的一員，每個人都自然而然的成為了信息化的一部分，所以信息化同時也影響著社會上的每個人，信息安全管理的問題也成為了人們最關切的問題。

1 信息安全管理的目標描述

1.1 信息安全管理的理念

信息安全就是要確保信息內容在存取、處理和傳輸過程中保持機密性、完整性和可用性。信息安全包含信息本身（數據）的安全和信息系統(tǒng)的安全。其中，數據安全就是防止數據丟失、防止數據被竊取，防止數據被篡改；信息安全就是要保證系統(tǒng)安全穩(wěn)定運行，確保有權使用系統(tǒng)的人能順利地使用，無權使用該系統(tǒng)的人無法訪問它。

1.2 信息安全管理的范圍和目標

1）信息安全管理的范圍。海安縣供電公司信息安全的范圍包括：信息系統(tǒng)網絡、業(yè)務應用系統(tǒng)及數據庫服務器、計算機終端、桌面終端、移動存儲介質等全方面的管理控制。

2）信息安全管理的目標及目標值。海安縣供電公司信息系統(tǒng)安全管理嚴格按照上級單位要求，鞏固公司信息安全防護基礎，強化安全風險預控手段，提高應急反應和處置能力，確保網絡與信息系統(tǒng)安全的萬無一失。公司信息安全管理主要包括以下指標（見附表）。

2 信息安全分類考核的主要做法

2.1 建立信息安全分類考核機制的目的

為貫徹國網以及省市公司關于信息安全工作的管理要求，確保信息系統(tǒng)安全穩(wěn)定運行，加強公司員工信息安全責任意識，界定信息安全違章行為，進一步明確考核細則，海安縣供電公司借鑒生產安全的管理制度，出臺了《海安縣供電公司信息安全違章考核辦法（試行）》。

2.2 信息安全分類考核的依據和原則

依據國家電網公司、省市公司信息安全考核管理工作要求，以“誰主管誰負責、誰使用誰負責、誰用工誰負責、誰是設備主人誰負責”為原則。

2.3 信息安全違章行為界定

違反國家信息安全有關法律和法規(guī)；違反國家電網公司和省市公司信息安全管理規(guī)章制度。

2.4 信息安全違章行為的分類

2.4.1 一般性違章（III類違章）

1）部門及人員未按公司要求及時簽訂《信息安全保密承諾書》。

2）計算機未按規(guī)定安裝運行公司統(tǒng)一的防病毒軟件、補丁更新策略、桌面終端管理軟件等。

3）未按要求使用安全移動存儲介質進行內外網信息交換；擅自刪除或破壞已注冊安全移動存儲介質內的管理軟件。

4）擅自卸載（含格式化）本單位規(guī)定安裝的操作系統(tǒng)和業(yè)務應用系統(tǒng)客戶端。

5）計算機未按要求進行注冊或注冊信息與責任人信息不一致。

6）在公司所有工作場所的計算機終端上做任何與工作無關的事情（如游戲、看電影或電視劇、聊天、炒股等）。

7）違反上級公司信息安全管理規(guī)定被認定為一般違章的其他行為。

2.4.2 較嚴重違章（II類違章）

1）計算機維修未按公司要求送至指定的電腦公司處理導致與工作有關的信息外泄。

2）計算機和硬盤更換或報廢未按相關要求送至公司安全運檢部進行規(guī)范處理。

3）在計算機上安裝雙網卡或雙操作系統(tǒng)，進行內外網切換；私自拆卸與混用內外網計算機硬盤。

4）私自開啟文件共享導致共享文件被非授權訪問、破壞或造成泄密。

5）擅自更改計算機網卡的MAC地址或網絡端口以及在網絡設備上私拉亂接。

6）計算機、移動存儲介質、應用系統(tǒng)、內網郵件系統(tǒng)未設置登錄口令；設置了登錄口令，但口令長度低于8位且不是由大寫字母、小寫字母、數字或符號中至少3種組合構成；使用系統(tǒng)內的通用密碼；擅自新增用戶，未按安全密碼要求設置密碼。

7）未按規(guī)定設置密碼被桌面終端系統(tǒng)監(jiān)控報警并經調查認定為弱口令事件。

8）未經許可在計算機上架設網站、游戲服務器、論壇等非正常網絡應用服務。

9）在非計算機中存儲和處理及通過互聯網傳輸國家、公司的信息。

10）內網計算機私自帶出公司。

11）擅自組建無線網絡并接入信息內網。

12）干擾他人正常工作行為，包括：不真實信息、垃圾信息；散布病毒及木馬；未經授權或通過口令猜測和破解等手段使用他人設備、系統(tǒng)、郵箱等。

13）擅自在內網計算機中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進行網絡掃描或攻擊破壞。

14）內外網計算機同處一室，經查實仍未按要求進行整改。

15）違反上級公司信息安全管理規(guī)定被認定為較嚴重違章的其他行為。

2.4.3 嚴重違章（Ⅰ類違章）

1）未經公司安全運檢部安全檢測和許可，擅自將計算機（含公用、私用筆記本、長期未使用的計算機、倉庫報廢的計算機、外來人員的計算機）等接入信息內、外網，被桌面終端系統(tǒng)監(jiān)控報警并經調查認定為內網違規(guī)外聯事件。

2）在內、外網計算機上利用無線上網卡、WIFI或具備上網功能的手機和PDA等設備訪問互聯網，被桌面終端系統(tǒng)監(jiān)控報警并經調查認定為內網違規(guī)外聯事件。

3）手機與內、外網計算機相連，用于充電、同步或收發(fā)短信（彩信）、郵件等，被桌面終端系統(tǒng)監(jiān)控報警并經調查認定為內網違規(guī)外聯事件。

4）違反上級公司信息安全管理規(guī)定被認定為嚴重違章的其他行為。

2.5 信息安全違章的督查

1）各類人員必須嚴格執(zhí)行信息安全規(guī)章制度，遵章守紀。各部門、供電所（含工程隊）必須認真開展自查自糾，對于發(fā)現的違章行為，嚴格按照“四不放過”的原則認真分析和嚴肅處理。實施四級信息安全日常管理制度，即個人每日一查、班組每周一查、部門每月一查、公司每季度抽查，并對管理不到位的相關責任人及管理人員進行考核。

2）對違章的查處采用專項督查、日常檢查及應用工具軟件檢查相結合的方式進行。公司將對違章行為及相應責任者進行曝光，以使責任者和廣大員工受到教育。

2.6 信息安全違章的處罰

1）處罰標準。

①I類違章：10000元以上或待崗處理。

②II類違章：500-2000元。

③III類違章：200-500元。

2）違章處罰的對象為公司全體員工（含農電人員），包括社會化用工、承（分）包單位人員、外協(xié)人員等。

3）連帶責任考核。

連帶責任考核標準：因管理不到位，視管理到位情況對相關部門、供電所（含工程隊）的負責人、管理人員、班組長等進行考核。

4）對于信息安全反違章處罰的認定、處理有異議的，可逐級向上申請復議，最終以公司安委會的認定為最終結果。

5）一年內發(fā)生一起及以上嚴重違章，取消該部門、供電所（含工程隊）當年度的先進集體評選資格。

3 評估與改進

3.1 信息安全違章分類考核的評價

參照生產安全中的管理方法，建立信息安全違章分類考核機制，有利于公司全體員工信息安全意識的灌輸、宣傳、培訓，培養(yǎng)了良好的信息安全使用習慣，提高了全員信息安全技能水平，使信息安全意識深入人心。

建立信息安全違章分類考核機制至今，海安縣供電公司信息安全工作獲得省市公司的普遍認可與高度評價，沒有發(fā)生一起違規(guī)內網外聯事件。

3.2 信息安全管理的提升

1）加強信息安全防范工作。

近幾年來，公司對信息化的依賴程度越來越大，對信息安全工作也越來越重視，信息化水平也取得了高速的發(fā)展，但同時也出現病毒泛濫、網絡端口掃描、惡意軟件、信息外泄等威脅，企業(yè)信息和企業(yè)信息系統(tǒng)未經授權被訪問、使用、泄露、中斷、修改和破壞。為適應不斷變化的信息化工作，通過管理手段和技術手段強化信息安全管理工作非常必要。

2）持續(xù)提高運維人員業(yè)務水平。

隨著信息技術的發(fā)展，公司信息化水平的提高，對信息系統(tǒng)運維人員的技能水平提出了更高的要求。因此，為適應信息系統(tǒng)運行與維護工作的需要，公司信息系統(tǒng)運維人員的技能水平和綜合業(yè)務水平應該持續(xù)加強。

3）進一步加強員工信息安全意識。

加強對信息化人員的培訓和全員信息安全意識宣傳，通過多種渠道普及網絡與信息安全相關知識。安全意識和相關技能的教育是公司安全管理中重要的內容，應當對公司各級管理人員，用戶，技術人員進行安全培訓，減少人為差錯、失誤造成的安全風險。

4 結束語

生產安全是供電企業(yè)生產管理的根本，而信息系統(tǒng)安全是供電企業(yè)安全生產的基礎。許多生產安全管理中的制度、措施和辦法，值得我們在信息安全管理中借鑒。

參考文獻

[1]林世溪.電力企業(yè)網絡信息安全防護體系的建立[J].華東電力，2010.

[2]杜新光.電力安全生產管理中存在的問題及其解決措施[J].中國電力教育，2009.