时间:2023-04-01 10:06:02
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇安全审计论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
关键词:校园交通安全;深圳大学;交通管理
中图分类号:TU981 文献标识码 A 文章编号 1812-2485(2013)09-018-03
1深圳大学交通发展历程
深圳大学是响应中国改革开放而建立的一所现代化高校,深圳市政府的大力支持与所处的地理位置优越决定了深圳大学的财力雄厚。由此可知,深圳大学的教师待遇比一般高校的好,工资较高,于是机动车便成了大多数老师的代步工具,而且出于保护本地生源的政策,在校学生多为本地生,经济条件较好,因而大多数人拥有电动车。车辆一多,安全隐患就逐渐凸显出来,学校为了满足学生需求和保护学生安全,出台了相关政策。以下是深圳大学最近这些年采取的措施:
1.1 2007年交通管理
1.1.1 机动车辆的管理。
(1)所有进入校门的机动车辆须减速慢行,本校车辆和教职工私家车凭《深圳大学机动车通行证》进出;进入校园的校外车辆领取(交回)“深圳大学临时停车卡”方能进(出)。学生生活区严禁机动车进入。
(2)严禁无牌无证车辆、出租车、拖拉机与社会旅游车辆进入校园。
(3)严禁在校园内无证驾驶机动车车辆,练车和试刹车。驾驶证照必须年检有效,并与所驾驶的机动车型相符。严禁酒后驾驶,严禁逆向行驶,严禁超载或病车上道。
(4)摩托车、超标电动助力车禁止在校园内行驶(治安巡逻车除外)。达标电动助力车必须按指定位置停放。
(5)车辆进入校园后,禁止鸣号,行驶时速不得超过20公里/小时;严禁超车,在遇学生上下课人流高峰时,机动车应主动避让,严禁与学生争道。上课时间,所有机动车辆严禁在教学区内行驶。
(6)本校车辆按指定位置停放,校外车辆在特殊情况下经保卫处批准,并交纳停车费可在校内停放。所有车辆严禁在禁行区域、道路和距离校门、路口、消防水栓15米内乱停乱放。
1.1.2 非机动车辆的管理
(1)非机动车进出校门时,须在黄线区域内下车推行。
(2)校园内禁止骑车带人,不准双手脱把或手中持物;不准扶身并骑,互相追逐或曲折竞驶。
(3)所有非机动车应停放在自行车棚或划定的停车线区域内有序停放,严禁乱停乱放。
1.2 2008年交通管理
(1)清理、收缴机动摩托车、超标电动(仿)摩托车。
(2)调整校园内部分行车路线和车辆停放秩序,具体如下:
一是校大门(大西门)实行限时限行管制,在管制期间暂停机动车辆进出,所有机动车辆从校北门、南门进出;教工班车在正门外停靠,乘员步行进入校园,车辆由校外返回车队。
二是西南学生宿舍区(除学生餐厅生活保障车外)禁止车辆进入。
三是车辆从正门(西大门)右转经留学生楼与研究生楼路口转入文山湖餐厅前,经杜鹃山到海望楼路段单向行驶,禁止停放车辆;海滨小区西岗亭至东岗亭路段为单向行车道,右侧可有序停放车辆。
四是光电所至办公楼路段实行单线行驶,靠文山湖一侧划有停车位,车辆可有序停放在此路段。
五是教学楼、学生活动中心、“斋”字学生宿舍区、教工区、西南学生区禁止机动车辆(餐厅生活车除外)进入。
六是车辆从正门(西大门)左转经后勤楼、科技楼、艺术村、校医院到南大门为双向行车道,禁止停放车辆。
1.3 2009年的交通管理
1.3.1 校大门(大西门)实行限时限行管制,在管制期间暂停机动车辆进出,所有机动车辆从校北门、南门进出;教工班车在正门外停靠,乘员步行进入校园,车辆由校外返回车队。
1.3.2 非本校师生员工车辆(凭《深圳大学校园车辆出入证》)进入我校停车超过半小时的车辆,实行分段收费制度。
1.3.3 电动车自行拆除报警器。
1.4 2010年的交通管理
1.4.1 禁止超标电动(仿)摩托车在校园行驶。凡外观仿摩托车,整车重量在40公斤以上,时速在20公里以上的超标电动车为超标。
1.4.2 校大门(大西门)实行限时限行管制,在管制期间暂停机动车辆进出,所有机动车辆从校北门、南门进出;教工班车在正门外停靠,乘员步行进入校园,车辆由校外返回车队。
1.4.3 施的方案。
(1)从各大门进入的车辆均按指定路线单向行驶并停放在指定位置
(2)车辆定向出入须避开高峰时段,车辆停放后,若需在校内更换停车区间请走校外公路。
(3)禁止的机械动力摩托车、电动仿真摩托车、时速20公里以上或重量40公斤以上电动车在校园行驶的规定。合格电动车自觉限速10公里以下并且自觉拆除电动车报警器。
(4)规范西南区、桂庙学生公寓电动车行驶路线。上下课高峰时段电动车行驶路线为潮汐楼海滨小区溜冰场教学楼、潮汐楼海滨小区海边游泳池校医院聚翰斋艺术村科技楼文科楼。下课后原路返回。
(5)启用IC卡智能车辆管理系统,对未持有本校固定出入卡的车辆进出校园将按市物价局核定的标准计时收费。
1.5 年交通管理
1.5.1 标电动车行驶。自行车、合规电单车不得载人,合规电单车、汽车在校园不得超速行驶(电单车限速15公里/小时、汽车限速20公里/小时)。
1.5.2 电动车定点出入:凡基本符合电单标准的电单车,前往文科楼按以下路线行走:学生区南门田径场元平体育馆建工学院文科楼的路线往返。
1.5.3 单车应当停放在指定地点,不得停放在道路出入口、消防通道上。
1.5.4 速行驶、飙车,
1.5.5 校园车辆出入卡进出南校区,不赞成学生开车上学。
2 2012年交通现状
从2007年开始,深圳大学的交通在不断完善。学校分析各种可能危害到学生们安全的隐患,学习有关交通管理方法并借鉴中外校园的车辆管理方法,制定了“定向出入、定点停车、限速行驶、凭卡出入”等方案,这些方案的成果是显著的。校园的交通得到相当大的改善,在实现了保护学生利益的同时,也保全了同学们的安全。
然而交通管理的完善是从来没有止境的。深圳大学2012年的交通管理在沿用2011年的交通管理的同时,仍在不停地寻找更好的方案。因为校园的交通问题在交通管理改进的同时也在发生着变化。以下是目前常见的交通安全问题:
2.1 部分开电动车的学生交通知识薄弱
安全开车和文明驾驶的前提是熟悉交通规则,然而大部分学生为了上课方便而购买电动车,对交通知识了解并不多。若仅是一两个学生不懂交通规则也不会构成太大威胁,倘若是大部分学生不懂交通规则,那么情况将是混乱的。而且电动车异于自行车,它的速度难以控制,在密度如此大的电动车族里,总免不了擦伤甚至碰撞。据统计,从2012年1月到5月发生了48宗影响较大的有记录的交通事故。
2.2 部分学生交通安全知识薄弱
在侥幸心理的促使下,开快车、曲折竞驶等,一旦发生了意外,部分学生选择马上逃离或者推卸责任,最为重要的是部分学生傲慢、不知悔改。
2.3 停车不规范
乱停乱放现象严重,堵塞通道出口。譬如教学楼后门,因为后门被堵,从后门出来的学生改走草地,导致后门地带草地损坏严重。类似的堵塞不仅发生在教学楼,图书馆等地方也时常发生。有统计的违规停放的车辆一个月平均有18辆。
2.4 开小车的走读生和教职工在交通岔口不自觉遵守交通规则
譬如在石头坞,自石头坞改为停车场以后,出口处总会时不时发生车辆擦伤现象。在石头坞停车的车辆不主动减速避让与陡坡开上来的非机动车、上下课时间段涌下来的人群发生碰撞。虽然曾发生的事故不大,不被引起重视,但依旧能成为危害学生安全的因素。
2.5 学校的车辆以几何倍数关系上涨,而且车辆集中在一个时间段(上下课)进出,在一定程度上增加了道路的交通压力。
2.6 南门车行道与人行道设制不合理。人行道过于宽阔,而车行道只能容纳一辆机动车经过,使得大部分电动车走人行道,导致电动车与公共设施(围栏等)发生碰撞。
3 安全隐患背后的原因
3.1 在校园的交通安全事故主角多为电动车,虽然深圳大学的禁摩风波从2007年就刮起,但电动车的数量在这些年来浮浮沉沉,在禁行电动摩托和超标电动车期间,数量大有减少,一旦放缓,数量又多起来了。深圳市今年规定超标电动车在全市主干道禁示行使。目前学生骑行电动车的区域局仅限于学校内,但学生依然冒着禁摩风险购买电动车。学生坚持骑电动车的具体原因如下:
(1)从地势上分析,深圳大学就是一个小山坡,学生生活区在下坡(斋区除外),教室在上坡。一般学生都是提前半个小时出门,遇上夏季日,去到教室也汗流浃背,(据了解,骑自行车去上课的也不比走路的人流的汗少)若某学生整整一天都有课,那他就顶着臭汗奔波于教室之间。倘若学生在冬季日的中午回宿舍午睡,除去吃饭,来回的时间,仅有半个小时多的睡眠时间。
(2)从电动车本身分析,电动车以电为能源,一般学生能负担;体积较汽车小得多,可直达目的地,方便学生上下课;马力足,上坡不费力。自然电动车成了学生在校园的主要交通工具。
(3)增长率最大的群体是大一新生,一般而言,交通知识较为薄弱。新电动车一族得不到很好的交通知识教育,在路标不足的校园,新电动车一族乱放乱走现象严重。
(4)学校地小车多,停车位缺乏,对于与日俱增的车辆,导致乱放现象严重。常有堵塞消防通道、安全出口的现象发生。
(5)学校内路段宽度有限,难以实现双向行驶。一旦车辆逆行,容易发生交通事故。
(6)学校南门通道配置不合理。自人行天桥建成以来,经过南门的人流转向天桥,减轻了南门进出的交通压力。但随着机动车的增加,只能通过一辆机动车的车行道无法满足广大师生需求,致使较为轻便的电动车走上人行道,时常损坏公共设施。
(7)部分驾驶员不遵守交通规则,逆行、载人、超速行驶、单手驾驶。而单手驾驶最常发生在下雨天路滑的情况下,危险更甚。
(8)校外路段的封锁堵塞,使得部分外来车辆进入校园走捷径,增加校园交通压力。
4针对性的解决措施
深圳大学是个人性化的大学,各个部门都能做到倾听学生意见,学生也能为营造更美好的大学而出一份力。纵观历史,深圳大学部分有效的交通措施来自于学生与保卫部的交流。在这个过程中保卫部认真调研,协调,想方设法,力图找到更好的治理方向,一心一意为保障学生安全而努力。
深圳大学的交通管理都是在理论知识的支持下,寻找符合实际的管理方案,最值得一提的理论是交通流量均分原则、单向交通原理等,通过实施这种方案案,大大的缓解了深圳大学的交通压力。为了更好的保障学生的安全,学校拟将建设一条从南校区通往北门的车行天桥,这将是一个缓解目前交通问题的极好措施。但就目前而言,仍有很多地方值得进一步改进。本文从现有交通规则的基础下,提出以下方案:
4.1 南门人行道与车行道的分配
合理增加车行道的宽度,使得南门车行道在只能容纳一辆机动车的前提下,增加电动车和非机动车辆的行驶通道。
4.2 增强新生的交通安全知识
每一个刚来到深圳大学的学子,必定对学校充满着期待与迷惘,我们能通过举行交通知识讲座让新生更好地了解到,深圳大学是一个关心同学,管理到位的大学。同时在校园增加指示牌、限速等交通标志,不仅让来深圳大学办事的市民找到方向,更让新一代电车族能更加规范行驶。
4.3 规范车辆的停放地点,有序整齐排放,禁止在主要交通路段停放。清理交通路段和安全疏散通道的车辆。方便上下课的同学。譬如在教学楼前的下坡路限制停放车辆,车辆统一放在教学楼前的空地,但要维持一条通道通行。在教学楼前后门、图书馆门前留出一条通道。所有车辆要统一排放。
4.4 限定学生购买电动车的标准,禁止学生购买超标电动车。一定程度上限制上涨的电动车。
(1)处理废旧车辆,腾出更多的空间停放。
(2)加大交通管理力度,让每个措施确切落实。
注:以上涉及电动车的管理方案均以深圳市政府不禁止电动车行驶为前提。
1、一般资料
收集2006年1月—2009年12月XX医院护理业务查房病历65份。将65份护理查房病历中出现的护理诊断进行有针对性的统计。
2、影响因素
2.1法律意识淡薄
护理人员对安全管理存在着不同程度的错误认识,由于繁忙的护理工作,忽略了对安全管理的认识,护理人员对于安全隐患的判断与处理不够,缺少法律意识,不会用法律保护自己。
2.2环境因素
影响神经内科护理安全的环境因素主要有地面滑、床脚移动和病房扶栏三个方面。病房地面滑是引起病人摔伤的因素之一[3]。由于神经科病人存在肢体偏瘫、无力,在清扫地面后,如地面潮湿、过滑,病人行走易出现摔伤。为给病人创造舒适安全的治疗、休养环境,病房走廊的扶栏、浴室卫生间的扶栏安装很重要。尤其对于神经科病人,可以找到支撑点,防止摔伤、跌倒。
2.3用药与设备因素
由于医学技术的发展,新药与设备不断更新,神经科所用药物大部分为高渗性,对血管刺激性大,再加之病人年龄、血管因素,因此临床药物外渗静脉炎发生率很高。加之药物配伍、给药途径、设备使用不当等方面原因给病人造成不安全后果[4]。医疗设备本身的安全、患者的安全及操作者的安全。仪器设备的使用不当、故障、老化、种类不齐、性能不良、规格不配套或护理人员对仪器操作不熟练等问题,都可能给患者造成危害。使用中常见的危险因素是测值不准确;仪器设备消毒不彻底,也常成为神经内科患者的感染源[5]。
2.4人员与技术因素
护士评估患者的知识水平不只是看其文化程度,主要是评估其对自身疾病的了解程度,统计结果显示,不论文化程度高低,患者对自身疾病的了解和认知程度均属于缺乏之列,对疾病的发生发展规律、用药常识等缺乏了解,若卫生宣教不到位,很可能导致许多风险和纠纷的发生,例如进展性卒中的患者往往对住院以后病情还继续加重不理解。人员方面因素主要指由于护理人员素质或数量方面的原因不能保证满足工作基本要求而给病人造成的不安全影响或隐患;技术因素主要指由于护理人员技术水平低、经验不足或协作能力不强等原因对病人安全构成的威胁。特别是随着新技术、新项目大量引进与开发,护理工作中复杂程度高、技术要求高的内容日益增多,不仅对护理人员形成较大的工作压力,而且致护理工作中技术方面风险加大,影响护理安全。
2.5疾病因素
(1)偏瘫
神经科病人大多年老体弱,同时存在视力减退,神经疾病导致瘫痪、步态不稳、起立与迈步艰难等,常突发抽搐及晕厥。病人对病床高度不适应时易致坠床。
(2)感觉障碍
神经科病人存在感觉障碍的占大多数,病人对痛温觉感觉障碍,病人家属未掌握热水袋、局部热敷的温度及使用方法。如使用热水袋不当导致烫伤。病人长时间一个卧位,导致皮肤出现压疮等。
(3)抽搐
癫痫病人抽搐发作时,常发生舌咬伤、骨折、坠床等意外。抽搐间隙期病人疏于带牙套、置牙垫防护,如突发抽搐易致舌咬伤,按压肢体易致骨折等。
(4)精神异常
神经内科病人,发生大面积的额叶、颞叶等部位损害后,出现精神异常、躁动。肢体忽略病人,危险性增加,病人有自伤危险,出现他伤、自伤等。老年痴呆病人出现定向力、记忆力等缺失,如防护措施不到位,未做到24h连续看护,特别是外出进行辅助检查时,人员较杂,稍有疏忽容易走失。
(5)呼吸困难
神经肌肉疾病,如格林巴利综合征、重症肌无力、周围神经病变等,病变累及呼吸肌后即可出现呼吸困难、窒息等。神经系统多种疾病均可出现吞咽困难,咳嗽反射减弱,如进食呛咳引起食物误吸,鼻饲不当引起误吸,牙齿松动脱落导致窒息,痰液黏稠导致气道受阻。此类风险多易发生于吞咽障碍、需要鼻饲饮食的患者。
(6)感染
各种监测、诊疗技术的应用,使接受侵入性操作的患者医院感染率明显高于无侵入性操作的患者,其中机械通气患者相关性呼吸道感染者为85.0%,气管切开感染者为50.5%[6]。80%的医院内泌尿系统感染与导尿有关,且留置时间越长感染率越高[7]。病人住院期间有发生院内感染的风险。主要表现在神经内科护理人员工作量大,护士编制相对不足,护士整日忙于治疗和处理医嘱,长期超负荷工作,都是影响护理安全的因素。护理人员业务及技术水平与护理安全有一定关系。临床实践表明,护士的素质和能力与护理差错事故的发生往往有直接联系,近年由于低年资护士增多,导致技术操作熟练程度欠缺,经验不足,工作责任心不强,护理不到位等,极易产生各种外伤及护理差错事故的发生,给患者的安全构成威胁,特别是随着新的医疗技术大量引进与开展,对技术要求越来越高。护理管理者工作中预见性欠缺,基础质量工作监管不到位,给患者造成不安全的后果。护理人员卫生宣教不到位,护患沟通欠缺。卫生员工作监管不够,给患者造成不安全的后果。
二、安全策略
1、善抢救仪器的管理
制度,仪器设备专人管理,做好培训、考核、消毒灭菌、定期检查维修等工作。每班检查,每周大检查,原则上不外借。配备一定量的零配件和必要的配置替换设备,以备应急。将仪器报警声音调至最低,工作人员的动作轻,治疗护理操作尽量集中进行,碰到抢救或特殊情况时,拉上床位之间的布帘,减少对患者的干扰和影响。
2、加强健康教育
加强健康教育,增进医患沟通要取得患者及家属的有力配合,需要通过加强健康教育,增进医患之间的沟通。为此,每月开1-2次的健康教育讲座,由责任护士着重讲解神经内科的基础知识,及诸如脑中风等病症的预防、治疗、预后、康复等知识,让家属明了患者的检查治疗情况、用药情况、医疗费用情况、预后及康复情况,使之更好地配合各项治疗、护理。在开展健康教育时,应同时将一些需要注意的事项告知患者及家属。如对于蛛网膜下腔出血的患者家属,应告知蛛网膜下腔出血病因大多是由动脉瘤或血管畸形造成的,在没有去除病因之前,排便过于用力、情绪激动都可能导致生命危险。
3、加强法律、法规的教育
护理风险与法律法规有着密切的关系,因护理人员法制观念淡薄而发生的护理缺陷或纠纷时有发生。因此,应该经常组织护理人员学习《医疗事故处理条理》、《医院护理管理条例》、《护理差错的分类及评定标准》、《突发事件应急处理预案》等与护理风险相关的法律知识,提高法律意识,从职业道德和法律的高度规范护士的护理行为,聘请法律顾问为护士上法制课,增强护理人员的法律意识和法制观念。提高护理人员的自律能力和守法的自觉性,在全面认识理解法律、法规的基础上制订的有关实施细则、规范[8]。提高安全意识,坚持预防为主的方针,科内制定安全日,责任班负责评估病人安全隐患,定期召开护理安全会议,对于其他科室和本科室出现的护理安全问题,进行组内讨论,制定整改措施。科内制定相关预案流程,相关规章制度,使护士知道该做什么、不该做什么以及怎样做。在尊重和维护病人权益的同时,懂得运用法律武器维护自身的合法权益。
4、加强感染控制
神经内科病人大多是年老体弱、吞咽困难、感觉障碍、肢体肌力差的病人。首先护理人员要做好入院宣教,入院当天向患者详细介绍住院环境、住院须知、呼叫系统使用方法。护士对患者进行全面护理评估,包括肌力、肌张力、视力、步态及步行时的平衡力,足部有无变形或痛楚等。根据评估所得到的结果进行健康宣教;3天内护士对患者进行疾病相关知识和注意事项的宣教,护士长及时进行健康教育知晓情况的检查,检查结果与护士工作考核挂勾。给患者加用床档保护,指导患者及家属活动时有人陪同,不穿拖鞋,以免摔伤、坠床等意外发生;使用热水袋时要指导使用温度及使用方法,以免烫伤;长期卧床要经常变换,以防出现压疮及坠积性肺炎;鼻饲时要将床头抬高,并保持床头抬高,鼻饲后30min尽量不给患者翻身,以防吸入性肺炎的发生。总之,掌握各种危险因素,最大限度地减少对病人安全的威胁。进入病区的所有人员戴口罩、戴鞋套,严格无菌技术操作原则,限制探视时间和人员进入。严格掌握侵入性诊疗手段的运用指征,加强各种导管的护理。合理应用抗生素,减少不合理的联合用药,从而延缓细菌产生耐药,提高临床治愈率[9]。做好环境的消毒,加强空气的清洁和消毒。患者转出后做好终末消毒,使用后的仪器、设备和各种管道应严格消毒,防止感染。
5、提高护理人员的整体素质
扎实的理论知识和熟练的操作技能是确保护理安全和实现自我保护的基础。神经内科病人病情变化快,需要护士利用专业知识,充分向家属做好解释工作,协助医生做出正确的处理。如果护士没有扎实的专业知识,就不能在医疗护理过程中掌握主动,甚至有时因解释不清、处理不及时而使患者和家属不满意,产生不良后果。在抢救时,若护士技术娴熟,就能给患者和家属以安慰,得到他们的支持和理解,减少纠纷的发生。加强护士专科业务知识培训,提高护士风险防范的能力,在注重护理基础知识和基本技能培训的同时,有针对性的进行专科业务知识、操作技能的训练,请科主任作专科理论知识讲课。对护士进行呼吸机、心电监护仪操作的培训考试,做到人人过关。创造一个安全的病房环境,如地面材料防滑、干燥,卫生员拖地应设警示牌,提示病人防滑,厕所、洗漱间增设防滑垫;坐凳带扶手。病房、走廊安装横向扶手,厕所安装竖向扶手,便于站起时借力;病床、轮椅的制动闸性能良好,其次应加强巡视,主动给予帮助。在提高护士业务水平的同时,也提高了风险防范的能力。通过学习,使护士明确了护患双方的责任和权利,认识到虽然护理风险不能完全避免,但通过采取有效的防范措施是可以化解护理风险,减少护理纠纷和差错事故的发生,从而加强护士的法律意识和护理风险防范意识,认真的处理好病人从入院到出院过程中的每个环节,更好地为病人服务。
论文摘要:随着世界航空运输的快速发展,空中交通日趋繁忙,空管安全管理体系中安全评估与审计越来越受到民航界的关注。本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成,然后对空管安全审计进行了概述,最后研究了空管安全管理体系中安全审计的方法与应用。
1.空管安全管理体系概述
空管安全管理体系包括空域管理、空中交通流量管理和空中交通服务(包括空中交通管制服务)在内的系统性的安全管理问题。
空管安全管理体系研究现状
安全始终是民航界的首要问题,在民航界具有重要影响的组织或国家都几乎一致地将空中交通管理系统的安全管理问题升级为一个具有现代管理学科意味的系统性安全管理问题来对待,在继承传统安全管理经验(尤其是其中所包含的安全管理文化精髓)的同时,人们已经更加重视依托现代安全管理理念、策略和科学方法(包括基于电子计算机技术的安全管理决策支持工具)去全面解决空管系统的安全管理问题。目前,还没有一个标准统一的体系来对空管单位进行安全评估和审计,各单位的标准不一,审计手段也各不相同。随着民航业的飞速发展,空中交通流量的剧增,工作压力越来越大,造成空管单位的安全隐患与日俱增。
2.空管安全审计
2.1 空管安全审计概述
空管安全审计可以让管理层有效掌握空中交通服务系统的安全状况和需要改进的缺陷,它是一种识别潜在问题的有效手段,是一项未雨绸缪的预防性安全管理活动。
作为安全管理体系的一部分,内部安全审计所体现的内部安全管理作用在于:确保运行安全风险得以识别,导致安全问题的诱因得以辨识;通过强化安全指令和程序的遵守、人力资源配置、提高人员素质和培训等,确保具有良好的安全管理体系架构;确保应对突发紧急情况的安全措施得当;确保设备性能能够满足保证安全所需;在促进安全、监测安全性能和处理安全问题方面,保证各项管理措施切实有效。
2.2空管安全审计原则
(1)安全审计的目的在于了解实际情况,不得有任何指责和惩罚方面的暗示。
(2)被审计者应当给审计者提供一切相关安全管理实证或文件,安排必要人员供审计者了解情况。
(3)安全审计应当客观地调查取证。
(4)应当在规定的时间内给被审计单位提供书面报告,阐述发现的问题并提出建议。
(5)应当向被审计单位提供有关审计结果的反馈意见。反馈意见应当突出审计中所观察到的问题,必须找出不足之处,但也要尽可能回避消极的批评。
2.3空管安全审计计划
简介:说明这是哪一项安全审计的正式文件,介绍报告的各章。
参考文件列表:列出审计中使用的所有文件依据背景:描述审计原因,说明这是正常审计还是由于特殊原因(例如:发现安全风险,观察到不安全事件等)而进行的审计。
目的:按照审计计划描述审计的目标和范围。如果在审计过程中发生了影响审计目标完成的事件,应当在此描述,并且阐述事件造成的后果。
人员:列出参加审计的人员
受审计的单位:列出受审计的单位名称
计划日期:注上当日日期
2.4在空中交通服务系统的安全审计应当遵循以下原则:
(1) 观察结果和建议的内容应与最后讨论会、审计报告草案及最终审计报告中的谈论或称述保持一致。
(2) 审计结论应当有充分的证据支撑;对观察结果和建议的阐述应当清晰简要。
(3) 观察结果应当具体明确,并客观地陈述观察结果。
(4)要应用广泛接受的航空术语而不要用缩略语和俗语。
(5)避免直接批评某个人或某个职位。
2.5审计员应当在访谈时应当遵照以下原则:
(1)聆听——让讲话的人知道你在听他讲;
(2)保持中立——不要当面表达不一致的意见,不要随意打断对方的陈述或甚至给予批评;
(3)理解不透彻时——可向对方核实,以获得对方对访谈记要的认可;
(4)使用“什么,为什么,在哪里,什么时候,谁,如何”等特殊疑问句,以引出事实情况;
(5)询问一些深入的问题,比如“假设…”,“如果…,会怎样”“请给我演示一下…”,让对方给出解释和例证。
2.6 安全审计情况的后续跟踪
(1) 后续跟踪的主要目的在于核实受审计单位是否落实了改进计划。后续跟踪可以通过对改进计划实施情况的监督来进行,也可通过随访跟踪来进行。
(2)如果进行了跟踪随访,还应当编制一份随访报告,说明改进计划的落实情况。
如果不符合规章的情况和隐患尚未消除,审计组长应当在跟踪报告中着重说明,并直接给相关空中交通服务单位的高层管理者发送一本报告副本。
(3) 审计组长应主动向所属空中交通管理机构报告阶段性的审计情况和提交审计报告、跟踪随访报告。
3.结论
本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成。
综上所述,本文的研究目的是如何通过有效、科学的手段对空中交通管制单位运行安全审计,找出安全隐患,通过一系列的运行管理手段,消除安全隐患,使“人─机─环境”系统中的运行关键因素有机地结合,共同作用于空管运行的各个阶段,切实提高航空安全运行质量,从而进一步完善我国民航安全运行管理,切实提高民航安全运行质量,最大限度地降低航空事故,提高空中交通管制单位的自身系统控制能力和安全管理水平。
参考文献:
[1]空管在线收集整理
[2]骆慈孟.以人为本,确保飞行安全,空中交通管理, 2000.5
[13]施和平.空中交通系统安全管理.厦门大学出版社.
我们在引用他人的论点、数据等内容载录下来,在论文引用的地方标注出来,把它的来源作为参考文献列出来就可以了。关注学术参考网,查看更多优秀的论文参考文献,下面是小编整理的个关于校园网论文参考文献,欢迎大家阅读欣赏。
校园网论文参考文献:
[1]张胜利.局域网内网格计算平台构建[J].硕士学位论文,西北工业大学,2007.3.
[2]殷锋,李志蜀,杨宪泽等.基于XML的校园网格应用研究[J].计算机应用研究,2007.12.
[3]殷锋.网格关键技术及校园网格应用研究[M].西南交通大学出版社,2007.6.
[4]王海燕.基于.net的校园网格异构数据统一访问接口[J].计算机工程,2010.6.
[5]韩旭东,陈军,郭玉东,等.网格环境中基于Web服务的DAI中间件的设计与实现[J].计算机工程与设计,2007.5.
[6]郑荣,马世龙.网格环境下基于XML的异构数据集成系统[J].计算机工程,2008,34(22).
校园网论文参考文献:
[1]李春霞,齐菊红.校园网安全防御体系的相关技术及模型[J].自动化与仪器仪表,2014(1):122-124.
[2]智慧.计算机信息安全技术在校园网中的应用[J].信息安全与技术,2014(3):94-96.
[3]高杨.浅谈网络安全技术及其在校园网中的应用[J].科技与创新,2014(11):135.
[4]樊建永,薛滨瑞.网络安全审计系统在校园网络中的应用与研究[J].中国教育信息化,2011(7).
[5]李斌.学校网络安全审计系统的研究与探索[J].中国管理信息化,2016(4).
校园网论文参考文献:
[1]沈卓逸.校园网贷规范发展策略[J].金华职业技术学院学报,2016,(05):812.
[2]包艳龙.“校园网贷”发展情况调查与分析[J].征信,2016,(08):7375.
[3]谢留枝.如何解决大学生网贷出现的问题[J].经济研究导刊,2016,(19):7374.
[4]林丽群.网贷视域下当代大学生科学消费观培育探究[J].长江工程职业技术学院学报,2016,(03):4850.
[5]马俊.浅谈高校校园网的管理[J].长沙医学院学报,2008(7):93.
论文摘要:本文强调审计工作的安全、高效和信息化,从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面,论述构建安全高效的审计信息化安全保障体系的措施。
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织iso的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。
三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。vpn可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防ddos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
[1]宋新月,内部审计在经济管理中的重要作用浅析[j],知识经济,2009
关键词:访问控制;安全审计;信息安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Improvement Research and Application on Access Control Model
Duan Pengsong1,Zhang Han2
(1.Software School,Zhengzhou University,Zhengzhou450003,China;2. Software School,Zhengzhou University,Zhengzhou450003,China)
Abstract:This paper presents a new access control,Auditable Role-Based Access Control Model(RBAC-a),to improve the traditional RBAC.The feasibility and practicability of RBAC-a are also analyzed and the application of RBAC-a based on a business project is presented in this paper.Finally,the paper points out the possible direction of the access control from author’s viewpoint.
Keywords:Access control;Security audit;Information security
一、概述
(一)访问控制概念
访问控制是通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性[1]。基于角色的访问控制模型(Role-based Access Model),基本设计思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权限,优势是更加灵活,安全性也基本得到保障,缺点是管理员和用户的操作无约束,不可审计。
(二)安全审计
安全审计是对访问控制的必要补充,是访问控制的一个重要内容。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪可以实现多种安全相关目标,包括个人职能(individual accountability)、事件重建(reconstruction of events)、入侵检测(intrusion detection)和故障分析(problem analysis)[2]。
二、RBAC模型及定义
RBAC由于其和实际应用比较一致的特点,成为当前访问控制领域研究的热点,应用越来越多。RBAC0定义了能构成一个RBAC控制系统的最小的元素集合,其模型如图1所示。
图1:RBAC0模型
三、RBAC的改进模型:RBAC-a
(一)传统RBAC的不足
RBAC存在着一些缺点,其中较大一个缺点就是授权用户的操作没有限制。比如系统管理员的权限过大,登录系统后可以在自己权限范围内无限制地做任何事情。可以看出,这个问题的根本原因是系统没有一种有效的机制对用户实行限制。
(二)RBAC-a模型的提出
针对RBAC的这个缺点,经过认真的分析和比较,并结合安全审计的功能,笔者提出了基于审计系统的RBAC―RBAC-a,其中a代表audit。RBAC-a核心思想就是把RBAC模型和审计系统结合起来,使真个信息系统的设计更趋于合理化。
RBAC-a的模型定义:
1.U、R、P、S以及a(用户、角色、权限、会话和审计)
2.PA P×R,PA是权限到角色的多对多关系;
3.UA1U×R,UA1是用户到角色的多对多关系;
4.UA2U×a,UA2是用户到审计的多对一关系
5.roles(Si){r|(user(Si),r)∈UA}。
User:SU,将各个会话映射到一个用户的函数user(Si)。
Roles:S2R,将各个会话Si与一个角色集合连接起来的映射,可以随时间变化而变化,且会话Si授权UR∈roles(Si){P|(P,R)∈PA}。
该模型的示意图如下:
图2:基于审计系统的RBAC模型
从图中可以看出,审计系统和RBAC可以看成是信息系统中并行的两个子系统。审计子系统由专门的审计人员来管理,其他人员没有操作的权限。同样,审计人员也没有操作RBAC系统的权限。用户(包括系统管理员)对系统的每一笔操作都会被记录下来。这样一来,用户(包括系统管理员)就不会在自己的权限范围内对系统进行不当操作,因为操作任何一步都会被系统记录在案,都是有帐可查的。如果是真的出了问题,也可以通过审计人员查看审计日志来确定到底是谁的过错,该追究谁的责任。通过两个子系统的共同合作,紧密配合,使信息系统的访问控制功能趋于合理和完善。
(三)RBAC-a模型的设计及应用
以下以笔者参与开发的一个信息管理系统为例,说明RBAC-a模型的应用。在这个信息系统中,RBAC-a的功能是由RBAC子系统和审计子系统两个子系统共同实现的。该信息管理系统的顶层活动图如下:
图3:应用RBAC-a模型的信息系统的顶层活动图
RBAC-a的实现用到数据表共有七个:用户表,角色表,权限表,用户角色表,用户权限表,角色权限表,事件表。其中前六个表是为了实现RBAC的基本功能,最后一个表是用于审计子系统。由于表的数目较多,不能一一列举,下面仅列出权限表的数据库设计:
表1:权限表--TBPermission
名称 注释
PERMISSIONID 权限ID
PERMISSIONFATHERID 父节点ID
PERMISSIONNODENAME 节点名称
PERMISSIONSNUM 权限序号
PERMISSIONLINKADDRESS 链接地址
PERMISSIONDESCRIPTION 权限描述
ISMENU 是否为菜单
EVENTDESCRIPTION 操作事件描述
(四)审计人员登陆审计系统后界面截图
审计人员可以通过登陆审计系统来对用户的操作进行审计。其登陆后的界面如下(由于目前该项目已商用,所以用的数据是开发阶段的测试数据):
图4:登陆审计系统后界面
统计证明,网络安全的一大部分原因都是来自于系统内部人员无意和有意操作。RBAC-a的审计作用不仅可以在一定程度上预防此类隐患,而且和现实生活中企业的管理模式一致,可以有效提高管理效率,使企业在推行信息化的道路上安全可以得到保障。
四、结束语
虽然RBAC-a可以在一定程度上提高系统的安全性和稳定性,但毕竟是被动的防御手段。如果能够变被动防御为主动防御,那么系统的安全性又会上一个新台阶。RBAC-a的进一步改进之处就是添加即时监控的功能,就是在危险情况即将发生时就给操作者警告,而不是事后再追究责任[4-5]。
参考文献:
[1]陈爱民,于康友等.计算机的安全与保密[M].北京:电子工业出版社,1992,29-122
[2]罗钰,何连跃.Kylin安全审计子系统的研究和实现[J].计算机工程与科学,2007,Vol29,No.3P.30-32
[3]林磊,骆建彬等.管理信息系统中基于角色的权限控制[J].计算机应用,2002,19(6):82-84
[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
购物车(0)
