企业安全监管信息系统

关键词： 企业

企业安全监管信息系统（共8篇）

篇1：企业安全监管信息系统

国家安全监管总局办公厅关于启用冶金等工贸企业安全生产标准化达标信息管理系统的通知

/sps可直接进入信息系统。

（二）信息系统使用帮助。

信息系统首页的“登录说明”中对各类用户登录方法进行了说明。各单位在登录后，可点击界面的右上角“帮助”，下载《冶金等工贸企业安全生产标准化达标信息管理系统用户手册》和在线观看《冶金等工贸企业安全生产标准化达标信息管理系统说明》视频教程，熟悉、掌握信息系统应用。

（三）信息系统用户类别及权限。

信息系统面向省、市两级安全监管局和评审组织单位、评审单位、申请企业开放，用户权限如下：

1.省、市两级安全监管局。

登录用户名和密码由国家安全监管总局统一激活。省、市两级安全监管局登录系统后，在“评审组织单位管理”栏中创建所管理的评审组织单位的用户名和密码；在“评审申请审核”栏中核准经评审组织单位初审通过的企业评审申请、“核准报告”栏中核准评审组织单位报告。

2.评审组织单位。

评审组织单位登录信息系统后，须在“评审组织单位管理”栏中为本级评审单位创建用户名及密码，完善本单位和评审专家库信息；在“评审审核”栏中处理本级申请企业的评审申请；在“证书管理”栏中，完成对相应等级已公告的企业进行安全生产标准化证书的打印。

3.评审单位。

评审单位登录信息系统后，可在“评审报告管理”栏中接收评审组织单位下发的“评审通知书”和上报评审方案、评审报告；在“评审单位管理”栏中完善本单位和评审员库信息。

4.申请企业。

申请企业首次使用“信息系统”，请点击首页的“注册”按钮，根据提示如实填写企业基本信息完成注册，并进行登录。登录信息系统后，可在主界面左侧“注册信息维护”栏中修改完善企业基本信息；在“评审企业管理”栏的“评审申请”中，填写评审申请信息，完成评审申请表，并上传附件等相关材料。

三、有关要求

1.省、市两级安全监管局要充分认识信息化建设在安全生产标准化建设工作中的重要作用，将本通知及时转发到有关单位和企业，督促申请企业、评审组织单位、评审单位正确使用本信息系统。同时，要做好信息系统当前用户的管理及下级用户的创建及授权管理。

2.评审组织单位要及时通知申请企业通过信息系统进行申请提交；指导申请企业正确使用信息系统，确保填报材料的真实性、完整性和准确性；严格执行申请材料在线审核、证书在线打印等制度，做到各环节审核人明确、审核流程明晰；做好评审专家、评审单位的管理工作。

3.评审单位要加强评审员的管理，加强评审工作上报管理，确保评审方案的及时性和评审报告的完整性、准确性。

4.申请企业要按照信息系统及相关要求，如实、完整地填报申请信息，及时上报评审申请。

请各省级安全监管局于5月15日前，将信息系统使用管理人员名单报送中国安全生产协会标准化办公室，并联系获取信息系统登陆用户名和初始密码。

联系人及电话：王曦、杨松柳，010-64463934。

国家安全生产监督管理总局办公厅

二〇一二年五月三日

篇2：企业安全监管信息系统

其中，从业人员上岗信息管理系统可以实现对从业人员的个人健康信息、培训考试信息、注册企业信息跟踪管理，能够有效防止一个人重复注册、在多个企业注册的情况，以及企业虚报、乱报从业人员信息的情况，为执法人员执法提供相关依据。

食品药品经营企业台帐远程巡查管理系统可以通过远程监管和现场监管相结合的方式，加大监管部门对企业的监管力度。

移动执法管理系统可以实现“现场扫描、数据上传、罚单打印、应急发布，信息查询，在线交流、GPS定位、实时监控”的移动信息化，大幅度提升国家食品监督管理局稽查工作效率，提高稽查执法反应速度。

另外，建立各级指挥监控调度中心后，各级监控调度中心只能在授权的范围内进行监控与指挥调度。通过该中心还可以实现对重点企业场所监管、对执法人员监督、分析预警、事故溯源预警和指挥调度。

篇3：企业安全监管信息系统

当前,企业安全管理的信息化要求逐步提高,传统工作手段已难以满足新形势下的发展需要[1,2]。如何使用信息技术对安全监管信息进行有效管理,实现安全监管事务的有序化、系统化和自动化,是企业面临的技术难题。诸多学者对安全监管信息系统开展了研究,如崔嵛[3]等开发了基于B/S(Browser/Server)加C/S(Client/Server)混合模式的企业安全生产信息管理系统。王善文[4]等从HSE安全监管体系角度对高含硫气田开采提出安全管理工作建议。Ren-Wei Fung A [5]等研究了基于检验局规范性认证的信息安全管理体系,并提出信息和通信安全保护系统认证需要五个不同层次的概念。牛立东[6]、过江[7]等将矿山的安全监测与信息化技术结合进行了研究。吴宗之[8,9]等结合监控的概念设计了重大危险源企业安全管理与政府安全监管信息系统的总体框架。Jiaxi Q[10]等对高电压传输的过程构建了安全管理系统。就整体情况而言,部分企业已采用某些安全监管信息系统对危险场所加强管理和检查,安全信息监管也从单机版发展到网络版。笔者拟在上述研究基础上,以某专业测井公司为例,结合其安全生产特点,开发基于B/S架构的网络版安全监管信息系统,将各类安全信息纳入系统,提升企业安全生产信息化水平。

1 基于Web的企业安全监管信息系统设计

1.1 系统功能模块设计

结合企业安全信息管理特点,并参考通行的信息管理系统软件体系架构,笔者认为基于Web的企业安全监管信息系统应具备“信息管理”、“实时监控”、“数据更新”及“信息抽取”四大功能。

“信息管理”可收集职工信息、培训计划、职业健康等信息。将大量安全信息存储到数据库中,并提供查询、记录、存储等功能,避免传统纸质记录、手工查询带来的不便。

“实时监控”可对系统中各项信息进行同步监控以保持数据时效性,同时具备定时提醒功能。企业作业数量大、种类多,安全监管执行难度大,系统提醒功能可将日常安全管理信息条理化、便捷化。

“数据更新”是根据实时监控的结果,以新数据项或记录替换在公司数据库中与之相对应的旧数据项或记录。通过删除、修改、再插入的操作实现信息即时共享。

“信息抽取” 是把系统文本里包含的信息进行结构化处理,以表格形式导出,便于对信息进行核实、处理和应用。通过信息抽取,可方便安全监管人员高效及时实施监管;其他部门亦可及时查看所需信息,方便任务安排及调度。

基于Web的安全监管信息系统通过上述各功能之间的相互协作可达到设计意图,其直观体现如图1所示。

1.2 系统开发模式

根据安全监管信息系统的设计和使用原则,推荐企业全体员工注册自用账号,并定期登陆系统,以实现最大程度地将全员纳入到管理信息系统中,实现科学高效管理。大型企业员工数量多,信息系统开发推荐使用B/S构架。使用该构架的系统无需安装客户端软件,可直接在客户端浏览器上运行,系统升级或维护时只需更新服务器端软件,利于数据集中化管理,降低企业用户的总体成本。

2 系统设计与开发实例

基于以上设计理念,笔者以国内某专业测井企业为例,根据其安全监管需求,设计并开发了安全监管信息系统,发布于http://wss.upc.edu.cn。该系统的功能模块包括:职工基本信息、培训计划、职业健康、剂量管理、放射源管理、企业证书、资质证书、车辆年检、IC卡信息管理、提醒功能等,系统结构如图2所示。以下对部分代表性模块进行说明。

2.1 职工基本信息

职工基本信息是安全监管信息系统实现其它各功能(如职工资质证书、培训报名、计量管理、职业健康等)的信息基础。职工身份证号将作为在本系统中的信息辨识标志,没有存储在本模块中的职工,无法使用其他各模块功能。该信息可通过人事部门由数据库直接导入,同时具备多种条件联合检索、导出结果等功能。

2.2 培训计划

安全教育培训是企业安全监管工作的重要组成部分。本模块包括培训信息和培训报名两个功能。安全监管部门可发布培训组织信息,管理员或职工查看到某培训信息后可在线报名。对报名情况进行多条件联合查询,可按“单位”或“培训班”生成并导出学员名单,并在系统提醒功能作用下实现对即将到期培训计划、参培学员的定时提醒。

2.3 职业健康

该模块包含四部分:职工健康基本信息、职工漏检名单管理、职工到期体检管理及关注职工管理。对直接从事具有较高职业危害风险岗位的职工,系统提供了“关注设置”功能(图3a),将该部分职工列为重点职业健康监护对象。设置为“关注”的职工,系统可根据计划的职业健康查体时间提前发出通知;提醒职工及时上传体检报告;规定时间内未上传体检报告的职工判断为漏检人员(图3b);并可对某时间段内计划体检人员、漏检人员进行检索,导出excel清单。

2.4 剂量管理

测井生产的多个环节可能接触放射性物质,需对管理和直接从事放射性作业的职工进行重点管理[11]。本模块是测井企业特有的管理项目,包含五部分:剂量基本信息、剂量统计信息、超标名单、漏检名单管理及关注职工设置。可在系统的提醒功能下对剂量统计、超标、漏检等信息进行有效管理。

针对接触放射源的职工,通过“关注设置”功能设置关注时间(接触放射源的起止时间)、下次剂量检测时间、搜索关注的职工、确定漏检名单等。为满足接触放射源作业职业健康管理的要求,本模块提供对指定时间段的任意职工照射剂量进行累加统计,并导出累加剂量值(图4)的功能。通过设定剂量超标限值,即可自动判断超标职工,导出超标名单,以尽早有针对性地做好职业健康防护。

2.5 放射源管理

该模块主要包含放射源信息管理、放射源库管理、放射源借出/归还流程、放射源借还记录。模块核心功能在于实现放射源的实时信息管理。放射源的管理及存放层次由上到下分为:源库(图5a)、库房(图5b)、源坑(图5c)、放射源(图5d)。在信息系统中按照以上层次实现对每一枚放射源的直观显示,便于实时查看源库中放射源状态。

为便于放射源的借出和归还,可使用IC卡邦定职工信息,具备借源资质符合条件方可借源(图5e)。借出/归还放射源可直接刷卡自动识别录入信息,打印放射源借出/归还单供借源方签字,并生成放射源借出/归还台账。

此外,本模块可实现放射源联合查询、异地放射源管理等功能。对规定日期内需归还的放射源,可检索并导出清单,对到期的异地使用放射源可进行时间提醒设定,便于到期放射源的到期归还管理。

2.6 资质证书

该模块包括证书信息和到期证书名单两部分。可将已有资质证书的内容以excel形式导入该系统,便于信息的录入;也可将查询或显示的数据内容以excel表格的形式导出。测井公司拥有数千名职工,职工所持有证书种类多,如一名职工可能持有安全管理资格证书、硫化氢防护技术合格证、特种作业资格证、特种设备操作证等多种资质证书。若依靠传统管理手段,组织每名职工按时完成复审、换证工作将存在较大困难。本模块可对即将到期资质证书名单的信息进行检索,设置提醒功能,按设定日期要求实现自动提醒并导出复审、换证清单,实现资质证书的自动化管理。

2.7 提醒功能

提醒模块是安全监管信息系统的重点模块。通过对基础信息的处理,使用与企业管理制度相匹配的规则,配合相应的算法以及数据库轮询机制,实现基于一定条件的自动化信息实时提醒功能。本模块包含对到期培训计划、定期职工健康体检、上传查体报告、到期异地放射源、到期资质证书和执照、到期年检车辆等信息的实时/定期提醒。防止安全监管人员遗漏重点工作。当系统有提醒任务时提醒功能图标在界面右上角闪烁显示,右键显示提醒内容,如图6所示。

3 结束语

笔者利用现有计算机网络、数据库技术,结合安全管理日常需求提出基于Web的企业安全监管信息系统,可实现信息管理、实时监控、数据更新、信息抽取等功能。以某测井公司为例,开发出测井HSE监管信息系统并已投入运行,实现了对测井企业全面安全生产信息的高效管理,应用表明,基于Web的安全监管信息系统,可有效提升企业的日常安全监管效率,提高企业的安全监管水平。

摘要：针对企业安全监管中信息繁杂、处理困难所导致的监管效率低下等问题,提出一种基于Web的安全监管信息系统。系统采用Browser/Server构架,实现信息管理、实时监控、数据更新与信息抽取。并以某专业测井公司为实例,开发了基于Web的测井安全监管信息系统投入使用,实现了职工信息、培训计划、职业健康、放射剂量、放射源、资质证书、车辆年检、实时提醒等信息管理功能。应用结果表明,系统可变粗放式管理为精细化运作,能有效提高企业安全监管信息化水平。

关键词：基于web,安全监管,信息系统,测井

参考文献

[1]陈国华,詹宏昌,张文海,等.JSP技术及其在安全管理信息系统中的应用[J].中国安全科学学报,2003,13(1):45-48CHEN Guo-hua,ZHAN Hong-chang,ZHANG Wei-hai,et al.JSP technology and its application in safety manage-ment information system[J].China Safety Science Jour-nal,2003,13(1):45-48

[2]关磊.基于RIA的安全生产信息化建设研究[J].中国安全生产科学技术,2010,6(6):75-79GUAN Lei.Study on work safety informatization based onRIA[J].Journal of Safety Science and Technology,2010,6(6):75-79

[3]崔嵛,董华,张启波,等.基于C/S+B/S混合模式的企业安全生产信息管理系统研究[J].中国安全生产科学技术,2007,3(6):64-67CUI Yu,DONG Hua,ZHANG Qi-bo,et al.Study of en-terprise safety produce information management systembased on C/S+B/S mixed mode[J].Journal of SafetyScience and Technology,2007,3(6):64-67

[4]王善文,刘功智.加强高含硫气田开采安全管理工作的建议[J].中国安全生产科学技术,2008,4(3):126-129WANG Shan-wen,LIU Gong-zhi.Suggestions to safetymanagement work of strengthen high-sulfur gasfield[J].Journal of Safety Science and Technology,2008,4(3):126-129

[5]Ren-Wei Fung A,Farn K,Lin A C.Paper:a study onthe certification of the information security managementsystems[J].Computer Standards&Interfaces,2003,25(5):447-461

[6]Lidong N,Kai W.Research on safety supervision modelof Shanxi group coal enterprises[J].Procedia Engineer-ing,2012,43(0):499-505

[7]过江,古德生,罗周全.地下矿山安全监测与信息化技术[J].安全与环境学报,2006,6(1):170-172GUO Jiang,GU De-sheng,LUO Zhou-quan.Informationtechnique for safety monitoring in underground mines[J].Journal of Safety and Environment,2006,6(1):170-172

[8]吴宗之,魏利军,于立见,等.重大危险源安全监管信息系统的开发研究[J].中国安全科学学报,2005,15(11):39-43WU Zong-zhi,WEI Li-jun,YU Li-jian,et al.Researchand development of safety management and monitoring in-formation system for major hazard control[J].ChinaSafety Science Journal,2005,15(11):39-43

[9]魏利军,关磊,吴宗之.重大危险源安全监控系统运行模式分析与探讨[J].中国安全生产科学技术,2006,2(5):37-40WEI Li-jun,GUAN Lei,WU Zong-zhi.Probe into and a-nalysis of running mode for major hazard installationssafety monitoring system[J].Journal of Safety Scienceand Technology,2006,2(5):37-40

[10]Jiaxi Q,Guoqiang A,Lin Y.High voltage safety man-agemnt system of electric vehicle[J].Chinese Journal ofMechanical Engineering,2008,21(6):63-68

篇4：企业安全监管信息系统

1、安全生产监管信息系统的功能

安全生产管理信息系统是可以实现对工矿企业安全生产监管的计算机化，通过企业安全信息的录入、统计分析、综合查询、报表输出、预警监管等全过程的计算机处理，为企业安全监管工作找到了一个新的“抓手”。

长乐市安全生产监管信息系统包括企业安全基本情况、安全检查整改管理、安全培训教育管理、事故管理四个子系统及日常安全生产视频监管系统。

1.1企业安全生产监管信息数据库。该系统是利用现代计算机软件技术，以企业为终极管理对象，逐一采集数据，建立起企业安全生产信息数据库，并将该数据库嵌入到政务信息网站里，只要轻轻点击。就能随时查阅到长乐市3600多家企业的基本情况，包括：历次安全检查隐患整改情况、管理人员和员工安全培训教育情况、特种作业人员持证情况、工伤事故发生情况及各种文件、图片、通讯联络等资料。目前，长乐市乡镇(街道)安监员都掌握一个帐户和密码，随时可以浏览本乡镇(街道)企业的基本情况。行业主管部门也一样可以浏览本行业下属企业的基本情况。

非煤矿山和危险化学品两个行业的企业，则由安监局负责监管的人员直接录入信息和进行日常管理。

1.2安全教育培训信息管理系统。该系统是可将特种作业人员的基本信息及考核、复审等情况通过政务信息网站及时向社会公开，也是特种作业人员及企业管理人员安全培训教育考核的电子档案。该模块不但用于管理全市特种作业人员，也用于管理危险化学品从业人员、企业负责人、企业安全管理人员培训教育等信息。每次培训考核后，工作人员及时将培训资料输入该系统。特种作业人员培训所颁发的证书需要定期复审，因此，在该系统中，我们还设计了复审模块。在每位学员的培训记录里面，增加了一个添加复审记录的按钮，点击该按钮，即可进入该学员的复审记录添加页面，字段包括复审日期、下次复审日期、组织单位、理论考试成绩、实际操作成绩、复审结论等等。每位学员可以添加任意多次复审记录。

1.3安全检查整改管理系统。安全检查管理模块可以管理各种类型的安全检查记录，便于随时跟踪隐患的整改情况。从安全检查电子文档信息中十分清楚查询到。复查及整改情况也一样录入该系统，形成十分直观的检查整改管理档案。将安监局的监督执法检查及督促整改工作录入系统，形成电子文档。乡镇(街道)或其他部门的安全检查整改同样可以录入该系统，既形成历史电子档案，共享查询使用。

1.4事故信息管理系统。事故管理模块可以管理各种类型的事故信息，包括文字、图片信息。在事故信息平台中设置了事故类型、事故等级、事故标题、事故单位、事故发生时间、事故发生地点、死伤者姓名、休工日数、事故照片上传、事故经过描述、直接原因、间接原因、主要原因、次要原因、事故责任分析、人员伤亡与经济损失情况、事故旁证材料、事故处理结果、工伤鉴定情况、上级部门的结案意见、预防事故重复发生的措施等等。

1.5安全生产视频监控管理系统2008年起，增加在线视频监控功能，设立了“长乐市安全生产视频监控中心”。全市的“重大危险源”、“重大事故隐患”、“重要部位”、“重点场所”及“安全生产应急救援现场”等45家单位始终处于受控状态，目前已安装全球眼探头72个。通过视频不仅可以管理和浏览企业的文字、图片信息，还可以监控全市各个重大危险源、重大事故隐患；及时掌握应急救援现场情况，从而提高日常监管的工作效能。

2、实施安全生产监管监控信息化的成效

2.1长乐市安监局应用安全监管信息系统，实施了企业危险性预警监管，在有效地实现对重点单位的监管的同时还节约了监管成本。近年来，长乐市安监局摸索设立了“企业危险性预警指数”(简称“危险预警指数”)。即对每一家企业，根据危险性大小及管理状况，设定了对应的危险预警指数，并录入该企业基本情况数据库。对危险程度较高及管理较差的企业设置了较高的危险预警指数，数字级别越大越要加强监管。长乐市将危险预警指数划分为1～10级，在长乐市企业安全生产监管信息系统数据库中，就能进行自动排序。

2007年以来，长乐市安监局将危险预警指数达到5级以上的588家企业列为主要监管对象，将危险预警指数达到6级以上的238家企业列入重点监管对象，对危险预警指数达7级以上的45家企业，实行特别重点监管。列入监管对象的企业都有安监局的人员跟踪督促，包括下达责令改正通知书、定期复查整改情况等。企业只要认真采取有效整改措施，就能将危险性降低，危险预警指数也随之修正。

这种监管能有效地掌握监管的主动权，也能为企业安全生产提供有针对性和更为及时的服务。

2.2安全监管信息化实现了资源信息共享，为市民提供相应的政务服务，让广大市民拥有安全知情权。一是通过长乐市安监局的政务网站和在线安全监管信息系统，实现了每天安全信息的发布和查询，做到每天动态更新。二是对安全信息实现分级授权管理，每个乡镇只能管理和浏览自己乡镇的信息，每个行业只能管理和浏览自己行业的信息，这样就确保了信息的保密、安全。三是实现监管部门和下属企业的互动，企业可以将自己的信息向长乐市安监局申报(例如危险化学品信息、事故信息、重大危险源信息等)，长乐市安监局可以通过信息系统向企业发布整改要求、特种作业人员证书和分数的查询等。

长乐市推行安全监管监控信息化的做法及成效得到了上级部门及有关领导的充分肯定，他们将不断征求各个部门、下属乡镇、企业的意见和建议。不断优化系统，提供更方便快捷的服务，更好地挥安全监管信息系统的作用。

篇5：企业安全监管信息系统

盐建建筑[2012]25号

各县（市、区）住建局、市直各相关单位：

为进一步提高我市建设工程监管效率，逐步实现工程建设项目监管的科学化、规范化，确保建设工程质量和安全生产，我局委托开发了“盐城市建设工程质量安全监管信息系统”（以下简称“监管系统”），经试用运行情况良好，决定在全市范围内全面推广使用。现就有关事项通知如下：

一、“监管系统”主要功能

“监管系统”运用现代化网络手段，实现了工程质量、安全监督网上监管，包括基础数据、安监工程注册、安全监督管理、考核扣分管理、危险分项申报、施工现场安全资料适时传递管理、起重机械设备监督管理、质监工程注册、质量监督管理、工程技术资料管理、工程资料统计查询、工序进度信息、混凝土浇筑信息、工序审查超时、网上巡查记录、项目统计查询十六个功能模块以及机关内部的OA四小功能（文件柜、电子公告、日程安排、通讯录），并实现与LBS定位系统数据对接，为全面掌握工程建设动态监管信息，查处工程建设违法违规行为或不诚信行为提供信息支持。

二、系统维护和使用方式

“监管系统”硬件、软件的维护由我局统一负责，服务器设置在我局，各地通过internet网远程登陆使用。“监管系统”使用采取“同步使用，分级负责，全面覆盖”的方式。我局负责全市建设工程监管部门的使用人员培训，各县（市、区）住建局负责辖区工程项目相关施工、监理等单位人员培训。已开发同类系统的地区，应与市“监管系统”相兼容，如不能实现兼容，统一使用本“监管系统”。

三、时间安排

（一）各县（市、区）建设局应于2012年5月10日前确定“监管系统”使用工作分管领导、责任单位、具体责任人和联络员，并报市城乡建设局建筑业处。“监管系统”分管领导由各单位分管质量、安全的领导担任，主要负责系统使用前后各项工作的组织协调。各县（市、区）建设工程质量安全监督等机构负责人为系统使用责任人，主要负责系统各类信息的录入；建筑市场监管有关科室负责人为系统使用联络员，主要负责具体工作和人员的联络。

（二）各县（市、区）建设局、相关部门应于2012年5月30日前完成在建建设工程项目各项信息补录入工作。

从2012年5月18日起，新建建设工程项目须使用质量安全监管系统，未进入监管系统的工程，不得办理质量、安全监督手续。

四、使用要求

（一）规范资料录入程序。软件使用时必须将新建工程的质量和安全资料一并同期输入，不得滞后填补资料，也不得随意更改已填写数据。资料的填写审批工作必须由各责任主体相关负责人亲自审批，不得出现代为操作和审批现象。

（二）加强现场图片上传。进场原材料、关键工序验收必须进行照片拍摄，并作为工程附件及时上传到网站资料上。施工日志、监理日志应上传每日工作内容的图片信息。监理单位签发整改通知单时应将存在问题的图片上传，整改回复单也应将相应整改后的图片上传。

（三）强化起重机械管理。全市建筑施工起重机械的产权登记、使用登记、监督检查以及安装拆卸、检测等建立信息档案，全面实现网上信息化管理。

（四）确保资料录入到位。质量安全监督单位应及时掌握工程资料的上传情况，对未及时上传或上传资料不到位的应书面通知相关责任单位进行整改。

联系电话（传真）：05***

盐城市城乡建设局

篇6：企业安全监管信息系统

国家能源局 二○一四年四月

为进一步加强电力企业网络与信息安全监督管理工作，提高电力企业重要信息系统（尤其是生产控制大区信息系统）抵御恶意信息攻击的能力，根据《国家能源局关于近期重点专项监管工作的通知》（国能监管〔2013〕432号）要求，国家能源局组织对辽宁省电力企业网络与信息安全工作开展了专项驻点监管。根据驻点监管情况，编制形成《电力企业网络与信息安全驻点辽宁监管报告》。

一、基本情况

（一）电力企业概况

辽宁省内共有电力企业440余家，其中电网企业主要有东北电网有限公司、辽宁省电力有限公司及其14家市级供电公司；发电企业中归属五大发电集团的火电厂有21座、水电站3座、风电场35座，共计59座（家）。

（二）电力企业信息系统定级分布情况

辽宁省在全国率先开展电力企业信息安全等级保护工作，截至2014年2月，各电力企业信息系统共453个，经定级备案，四级系统2个、三级系统87个，二级系统289个（约64%），一级系统20个，未定级系统55个。辽宁省信息系统定级分布情况如图1所示：

（数据来源：国家能源局东北监管局）图1辽宁省信息系统定级分布情况

（三）电力二次系统安全防护工作开展情况

辽宁电力企业按照《电力二次系统安全防护规定》要求，遵循“安全分区、网络专用、横向隔离、纵向认证”的原则，对所属生产控制系统和管理信息系统进行安全分区建设、内外网隔离部署，配置横向隔离设备和纵向加密认证装置，增加网络安全防护措施及设备，电力二次系统安全防护整体水平显著提高。截至2014年2月，省内地级以上电网企业及重要厂站共加装横向隔离设备129套，220千伏以上电力调度数据网共加装纵向认证加密装置415套，电力二次系统安全防护体系基本建立。

根据《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》（国能综安全〔2013〕387号）要求，东北能源监管局对辽宁省内统调以上发电企业工控系统使用PLC情况进行了全面排查，共计288套（按业务系统或功能进行统计），主要用于发电厂监控系统、辅助设备控制系统等,统计情况示意图如图2所示：

（数据来源：国家能源局东北监管局）图2 辽宁省电力工控PLC统计情况示意图

二、存在的问题

（一）管理方面的主要问题

1.部分电力企业网络与信息安全工作多头管理，职能交叉，缺乏统一领导和沟通协调；信息安全工作人员配备不足，甚至身兼数职，不利于信息安全工作的落实。

2.部分电力企业对网络与信息安全的应急处置工作重视不足，应急预案针对性、可操作性不足，应急演练形式大于内容，起不到发现问题、解决问题的作用。

3.部分电力企业对信息安全等级保护工作重视不够，定级、备案、测评、整改等环节的各项要求落实不严，主要体现在：

（1）定级环节报备材料填写不完整，企业信息系统的定级数量掌握不全面，存在漏定、定级不准等情况。

（2）备案环节存在备案不积极、备案不及时、未按要求备案等情况。

（3）信息系统的测评工作未按国家有关频次要求开展，部分信息系统测评效果不佳。

（4）测评整改意见和建议落实不彻底或整改不全面。

（二）技术方面的主要问题

4.部分发电企业与电网企业之间的信息系统边界防护有待加强。

5.部分企业电力二次系统安全防护设备运行维护不及时、安全配置不完整，主要体现在：

（1）部分企业电力二次系统信息安全防护措施落实不到位，普遍存在补丁升级不及时、弱口令、审计薄弱等问题。

（2）部分企业电力二次系统中信息系统漏洞检测、安全加固等工作开展不及时、或未定期开展。

（3）部分企业电力二次系统安全防护应急预案存在事故预想不全面、内容不完整、相关要求缺乏可操作性等问题，缺少演练、培训和更新的相关内容。（4）部分企业未按要求开展电力二次系统安全防护评估工作。

（5）部分发电企业在基础设施、机房环境等方面较为薄弱，不满足信息系统安全等级保护的基本要求。

三、监管意见

（一）强化组织保障体系建设。各电力企业要梳理网络与信息安全管理涉及的部门、岗位和人员，进一步明确各相关部门，特别是牵头管理部门的权利、责任和义务，明确部门间工作协调机制，各部门要设立信息安全管理专职岗位，责任到人，强化信息安全组织保障体系。

（二）建立健全常态化工作机制。各电力企业要深刻认识到电力信息安全与电力生产安全同等重要。要根据国家和行业监管部门有关要求，落实专项资金、制定工作计划，定期对电力二次系统开展安全评估、等级保护测评，形成常态化工作机制。对评估、测评中发现的问题，要安排资金，及时整改，消除安全隐患。

（三）统筹做好电力工控PLC设备安全整改工作。各电力企业要按照《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》（国能综安全〔2013〕387号）的有关要求，根据实际情况，统筹安排，采取召回、固件升级、老旧设备更新等方式分批分期开展电力工控PLC设备的整改加固工作。新建系统中要选用安全、可靠、可控的PLC等工控设备。

（四）强化信息安全人才队伍建设。各电力企业要面向公司领导、相关部门主要负责人和企业员工，定期组织开展信息安全政策宣贯培训，提高领导层的认识，提高员工信息安全防范意识。同时要制定培训计划，派送技术人员参加行业和其它专业机构举办的信息安全培训，提高信息安全从业人员的专业技术水平。

篇7：浅谈企业安全信息系统建设论文

a.选择具备资质的施工单位;

b.线缆选择光纤与屏蔽线;

c.布线严格遵循国家相关标准;

d.交换设备选型应考虑未来企业信息化业务发展的需要;

e.根据业务、密级以及知悉范围划分VLAN，并创建ACL，实现访问控制;

f.优化网络配置，禁用暂时不用端口，对接入终端采用IP+MAC+端口绑定策略，防止非授权接入。

(2)安全域。根据信息系统的.信息密级划分不同的安全域并确定等级，按照相应等级的保护要求进行防护。按照上述原则，一般将单位信息系统划分为重要应用安全域、一般应用安全域、办公安全域、管理安全域等四个区域，如图1所示。图中每个区域代表一个安全域，安全域前端架设防火墙，通过防火墙设置访问控制策略，仅开放必要端口及IP，控制信息流向，实现安全域间的访问控制。

(3)交换机安全设置。全部交换机配置为SSH加密方式通信，对接入端口采用IP+MAC+端口绑定方式，禁用暂时不用端口，实现网络层的身份认证。

(4)安全产品部署。

a.全部终端纳入域控管理，通过主域控制器将安全策略下发至终端，如实名登录、密码管理、屏幕保护等策略，实现系统层身份认证。

b.创建补丁分发系统，为全部终端定期升级系统安全补丁，完善系统的安全可靠性。

c.全部终端安装网络版杀毒软件，由系统管理人员定期导入最新病毒库升级包，全网下发，制定杀毒策略，统一查杀网络病毒。

d.终端输入输出端口严格管控。终端安装审计、打印管理、输入输出管理安全软件，防止非授权移动存储介质在信息系统中使用，对系统中的打印行为实现全生命周期管理，严格管控，从而降低或杜绝失泄密事件的发生。

e.重要关键设备、服务器冗余备份。对系统中的核心交换机、防火墙采取在线或离线方式备份，避免因设备损坏造成网络通信中断，影响公司业务工作的开展;对重要部位的供电线路采用双路供电+ups方式保障供电安全;对重要的核心业务服务器数据采用在线即时备份以及数据远程异地备份的方式，确保数据完整、准确、安全。

f.定期对系统进行漏洞扫描分析，发现系统中存在风险与漏洞，及时对系统修复完善。

g.部署统一的日志存储及分析系统，统计分析系统重要关键设备的生成日志，便于及时发现问题并解决问题。

(5)制定应急响应预案，保证数据安全。应急响应预案的制定必须具有可操作性，应根据事件的等级制定响应流程，明确管理责任及责任主体，同时还需要在日常进行针对性的应急响应培训教育与演练。

5结束语

篇8：企业安全监管信息系统

信息安全仍然是企业信息化推进所面临的一个关键问题,通过调查,各类管理信息系统造成的泄密(主要设计商业机密)事件时有发生。随着移动互联网的发展,企业各类电子商务系统的接入导致内部管理信息系统处在风口浪尖,各类入侵、攻击等日趋增加。

虽然大多数企业都采取了一系列措施来加强信息安全,但这仅仅通过预防威胁,而不是通过主动打击此类威胁的解决方案。企业往往需要从成本—收益角度来讲,按照施加的成本效益的方法来解决问题,因为许多模型倾向于省略定性或非金融的标准,但这种方法在信息安全层面有效性较差。

信息安全管理者的任务包含安全规划、政策制定、人员配备、风险管理、安全技术选择、威胁评估、对策实施、性能监控和设备修理。信息安全管理者可以选择不同策略来对抗各种各样的威胁,包括检测、威慑、减少脆弱性、教育和培训等,然而,通过不同的策略组合明显优于采用单一的解决方案。对于管理者,每个安全战略的采用存在相异的成本,效益以及潜在效益,然而这些参数却都难以量化,往往一次信息泄露的危害性也是难以评估的。

本文针对企业管理信息系统所面临的信息安全问题提出了一种基于动力学模型的信息安全监管方法。信息安全管理者对所辖管理信息系统资源按照模型进行监管并调整系统,通过对相应安全问题进行动态地捕捉,按照系统动力学的相关理论进行模型匹配,并且通过3个月的系统监控,证明模型对安全问题的调整和校准的有效性。

1 相关研究介绍

管理信息系统信息安全问题的研究已经经历了几十年的发展,传统的系统信息安全研究主要针对个性化的网络攻击[3]、内部滥用[2]、法律法规漏洞。然而,近来一些学者倡导研究一套更全面的方法来解决信息安全问题,这些安全性地研究通过各类模型来解决相应安全问题,包含访问模型,经济模型、动态模型可以深入了解信息安全动态[4]。

(1)信息安全访问模型

信息安全访问模型的早期型号是贝尔La Padula模型,它试图通过分配不同的安全级别人员和资产,通过控制访问来保持信息的保密性;同时还有通过形式化的模型在操作系统级别访问程序和其他对象进行了讨论,在这个扩展的前期研究中,通过添加和删除新的资产和人员,安全角度考虑来改变当前授权的能力。

(2)信息安全经济模型

信息安全的经济模型的研究一般采用定量方法。然而,安全性往往超越了并且通常包括定性和非功能两方面:一些研究人员采用层次分析法结合定量和定性标准[5],此类研究往往采用信息安全问题的静态视图。然而,实际上,信息安全是一个复杂的系统,它由许多紧密耦合的变量决定最终的复杂度,比如,信息安全因素涉及人的因素,组织因素,防范技术因素,任务和工作环境因素等。此外,管理信息系统的安全子系统往往涉及多个控件,通过技术控制(正式的控制和非正式控制)建立一个更加动态的方法来建模信息安全。

(3)信息安全动态模型

信息安全动态模型研究采用系统动力学来研究一个组织(可认为公司级)的信息资产基础的安全决策对财务的影响,通过在时间段内关联构建体和跟踪进展跨越的时间段来作为选择系统动力学的模拟方法的重要因素。该模型旨在包括安全策略。漏洞和攻击,并将它们与安全成本和对系统破坏性作为评价标准。尽管该模型不能涵盖所有的安全攻击和方案,它为管理人员提供了相对风险的权衡策略,工件的效用是通过模型在各种条件下的仿真模型试验证明[6]。

2 基于动力学模型的信息安全应用

信息安全管理模型涵盖了信息安全若干方面的研究内容,该模型从多个领域作为融合对象,包括软件的漏洞、风险评估、攻击动机、威胁检测、威慑和安全成本评价等[7,8]。该模型通过公式的重新校准和改进,对相应结构进行了改善用以确保潜在异常的避免,其流程结构如图1所示。

如图1所示,对于大多数信息安全方面的投资,该流程通过控制人员对系统信息安全的威胁和攻击,并且通过形象与感知目标值相结合形成目标吸引力。显然,根据流程分析一些恶意组织的首选攻击目标要么是出于商业上的考虑或者成功攻击的感知恶名目标。攻击的概率由攻击者的动机决定,该模型的信息资产的感知脆弱性,并且通过地方威慑机制来结合目标所吸引类型。与后者构建体相关,所有其他因素对最终概率将产生积极地影响。

感知漏洞是对攻击概率产生一个稳定增加的效果,它是利用负指数函数的近似模型来判断,同时针对适用于目标吸引力和攻击者的动机模型采用相类似的凹关系,尽管前者的影响更加明显。相反,威慑的影响与攻击的概率特性的反关系,模拟为一个简单的递减凸函数。

2.1 模型应用

系统动力学模型的验证通常采用两种方法中进行。一种方式为是通过对模型结构的验证来确定其是否能准确反映真实的世界,在行为评估执行期间系统专注于模型的行为和评估结果的可信,这种采用结构进行结构验证核查和极端条件分析的方法,解决了区分模型结构是否与被模拟关于真实世界现象的陈述性知识是否一致,在模型中使用的结构包含攻击、破坏、风险、脆弱性和成本等结构因素;另一种是通过在极端条件分析评估模型中的参数是否正确的方式。为了评估这一参数属性,模型表面被编为各个内生变量,通过检测结果判断任何不协调的行为和逻辑期望是否一致,前者评估是否有任何参数已经在规定的范围以外的值,例如,评估概率大于1,后者通过检查内生变量来响应输入变化,通过核定不符合条件的限制和期望的行为来触发内省的评价。

结构验证的大部分工作内容是针对一定时间周期内模型行为,而行为评估需要执行整个模型和检查结果。基于以上两种方法,参数的变化按照整个模型评估预期是否能够正在运行来判断。此外,个别构建体的行为是随时间跟踪,按照行为分析振荡和趋势趋向极端值,来判断是否存在异常行为引发的相关结构,并可追溯原因来判断各个造成威胁的可能。

基于动力学模型的结构和行为验证,通过实验验证,按照攻击概率落在0-1范围之外的极端条件下取值可证明,试验预先设定的两股不安全行为,通过对结构方程式的重新校准(模型的自动验证过程),从而解决了这种不正常现象,证明了该模型在信息管理系统中应用的可行性。

2.2 模型因素分析

安全攻击可以从系统内部或外部产生。在这一点上,该模型不区分内部或外部的攻击者;同样地,它不区分不同的信息资产攻击。据专业机构预计,内部攻击者和外部攻击者的成功率会不相同,也会对不同资产产生不同的影响。根据需要,该模型不深入到这个水平的细节;相反,它更侧重于总的层面,同样,模型不解析攻击分为不同类型,如拒绝服务攻击,黑客攻击,网络钓鱼,键击捕捉,病毒攻击和SQL注入攻击。根据相应机构地预计,大部分的攻击将通过现有的一些安全工具的监测,如防火墙、入侵检测系统、防病毒程序、恶意软件检测程序和垃圾邮件检测程序等,该类工具被表征为防止攻击。模型定义检测能力强弱取决于对安全工具的投资。

在安全性工具上的投资是不需要连续的,因为在现有安全工具的投资将给公司带来来攻击检测效果,因此,安全投资工具的累积性是用来评估检测的能力。随着系统检测能力的增加,防止攻击的数量也随着增加,这样为了找到与成功攻击的平衡,根据实际应用,成功的攻击会以各种身份体现,并伴有显著不同的效果。

损害幅度—损害即时性,以及成功攻击次数塑造的攻击报告的范围。公开的攻击报告将决定组织的信息资产的感知脆弱性,从而完成攻击循环。这是一个循环的增强,表明成功的破坏将导致更多的攻击和有效防止攻击会导致攻击者可以寻求其他更容易或更具吸引力的目标。在极端的情况下,增强环路驱动在循环到零或无穷大所有构建体的值。但是,如果该模型仔细构造,该行为可被控制,并在极端的情况下避免。

该模型包括一个加强环和三个平衡循环。该加强环周围的安全攻击,感知为中心的宣传在成功的攻击就产生漏洞,从而吸引更多的攻击者。此行为将继续有增无减,但通过检查涉及系统漏洞的平衡环举行。攻击成功检测导致各种减少脆弱性活动,包括修补基础软件的缺陷、消除开发的软件缺陷,并实施新的安全程序。

2.3 模型实验验证

本文采用Vensim1 PLE仿真软件对模型进行性能仿真测试,该软件是美国Ventana系统公司用于系统动力学仿真软件,设置单位时限是一个月,然后将模型历时3个月运行。由于系统长期的运行无法确保安全性,因此该模型的模拟就选用周期较中和的长度作为测试周期,通过将该模型是在各种模拟条件下运行,用以了解对系统整体的攻击效果、损失、费用不同的安全策略和投资的影响,这样的测试对于信息安全管理人员能够做出更有效的信息安全有效决策[1]。

如图2所示为按照模型参数(抗击威胁成本与安全造成资产损失)的测试对比图。

图2(a)显示随着信息安全防范投资的增加,相应安全事故造成的损失也就越小;图2(b)显示主动攻击的增加对信息安全的造成的损失没有确定的线性关系。

图3将信息安全防御投入、主动攻击投入与信息安全最终造成损失进行线性对比,如图显示,信息安全的最终损失量取决于其他多方面因素的共同决定。

通过实验验证,模型的决定参数主要取决于对信息安全投入的多少,以及其他部分参数的小范围影响,这样就明确了在企业信息管理系统的信息安全管防策略中加强信息安全投入并增加对安全管理人员的培训投入才能从基础上降低由于信息泄露造成的损失。

3 总结

对于企业来讲保护信息资产是至关重要的,虽然当前这种期望是很难实现的,并且会耗费大量资源才能降低资产危险性。

本文通过结合基于动力学模型的思维从信息安全本身特点以及成本最优化,采用了多方面的安全威胁来测试模型的有效性,包括攻击、检测、回收、风险评估和漏洞减少等策略。通过实验证明,相比安全威胁造成的损失在检测攻击的安全工具的投资增加会导致更好的收益。总之,该模型提供了一个丰富的安全策略环境,以更好地在各种情况下理解各类安全决策研究影响。此外,它有助于信息安全管理者作出有关信息安全更好的决策。

参考文献

[1]S.-C.Yang,Y.-L.Wang,Insider threat analysis of ca-se based system dynamics,Adv.Comput.2,2011.

[2]K.H.Guo,Y.Yuan,The effects of multilevel sanction-s o n information security violations:a mediating model,Inf.Manage.49,2012.

[3]A.Simmonds,P.Sandilands,L.v.Ekert,An ontology f-or ne twork security attacks,in:S.Manandhar,J.Austin,U.D-esai,Y.Oyanagi,A.Talukder(Eds.),Applied Computing,Sp-ringer,Berlin,2004.

[4]A.Sunyaev,F.Tremmel,C.Mauro,J.M.Leimeister,H.K-rcm ar,A reclassification of IS security analysis approa c-hes,in:Proceedings of the 15th Americas Conference on Inf-ormat ion Systems(AMCIS 2009),San Francisco,CA,2009.

[5]L.D.Bodin,L.A.Gordon,M.P.Loeb,Evaluating inform-atat ion security investments using the analytic hierarchy process,CACM 48,2005.

[6]D.Trcek,Using system dynamics for managing risksin in formation systems,WSEAS Trans.Inf.Sci.Appl.2,2008.

[7]D.L.Nazareth,J.Choi,Information security manage-ment:a system dynamics approach,Eighteenth Americ-as Conferenc e on Information Systems(AMCIS-2012),Seattle,WA,2012.

[8]M.Siponen,R.Willison,Information security management standards:problems and solutions,Inf.Manage.46,2009.