[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础it支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向it支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(iso/iec15408-2:1999)[s].1999.
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准信息安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础IT支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向IT支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
文章编号:1004-4194(2015)07-122-02
大数据是以云计算为基础,通过信息存储、分享和挖掘,将大量、高速、多变的终端数据存储下来并分析计算,寻求解决问题的有效方法。随着军队信息化建设的不断推进,未来军事经济活动都将以数据信息流的形式展现和保存,产生的数据量增长迅速,数据种类和格式日渐丰富。面对一个个数量庞大、种类繁杂的数据信息源,审计机关不仅要具备对海量数据的采集和存储的能力,更重要的是能够迅速分析和挖掘数据,从中找出审计线索、发现问题、寻求对策。
一、大数据的定义与特征
根据维基百科的定义,大数据是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。对于大数据,美国著名的顾能公司给出了这样的定义:是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。随着大数据研究的深入,大数据概念的内涵和外延不断地产生变化,业界对其定义尚未完全统一。目前主流的定义基本是从大数据的特征出发,试图通过阐述和归纳这些特征来给出大数据的定义,其中比较有代表性的是4V。大数据的4个“V”有四个层面:一是数据体量巨大。从TB级别,跃升到PB级别。二是数据类型繁多。包括网络日志、视频、图片、地理位置等信息。三是处理速度快。1秒定律,可从各种类型的数据中快速获得高价值的信息,这一点也是和传统的数据挖掘技术有着本质的不同。四是只要合理利用数据并对其进行正确、准确的分析,将会带来很高的价值回报。业界将其归纳为4个“V”――Volume(数据体量大)、Variety(数据类型繁多)、Velocity(处理速度快)、Value(价值密度低)。大数据分析相比于传统的数据仓库应用,具有数据量大、查询分析复杂等特点,强调将数据结合到业务流程和决策过程中,部分类型的数据必须实时分析才能对业务产生价值。
二、大数据背景给军队审计数据分析带来的机遇和挑战
(一)大数据背景给军队审计数据分析带来的机遇
1.军队审计数据分析的认同感大为增强。军队审计部门作为综合性的经济监督部门,一直秉承数据说话的传统。审计报告中无论是综合评价,还是揭示问题,无一不是以数据为支撑的。在大数据背景下,海量数据离散地存储于不同信息系统中。可充分利用数据仓库、联机分析、数据挖掘和数据可视化等技术,对这些数据进行关联并深度挖掘分析,科学评估经费的使用情况和法规的实施效果,从而得出客观的审计结论。所有这一切都将得到各级党委和被审计单位的高度认同,从而进一步提升军队审计自身的地位。
2.军队审计数据分析所需的基础数据的获取将变得更为便利。在破除了军队内部协同思想理念上的障碍后,随着大数据技术发展,跨越系统、跨越平台、跨越数据流结构的技术将使军队内部纵向、横向部门得以流畅协同。军队审计部门不再需要“点对点”地与被审计单位进行联网,在内部局域网设定的许可权限内,可以直接查询和利用相关数据信息,极大地节约了审计成本;同时由于利用大数据技术,数据处理及分析响应时间将大幅减少,审计工作的效率将明显提高,可以同时对多个类别、多种领域的数据进行分析、处理。
3.军队审计数据分析将有助于提高党委决策的科学性和准确性,推动预测预警和应急响应机制建设,更加有效地规范军事经济活动。审计人员可以通过对历年海量数据的统计分析,挖掘出军事经济活动的特点规律,对各类违规违纪行为进行总结归纳,为党委建章立制提供参考依据;同时还能科学地评估管理规章的执行效果,从而帮助各级党委不断发现问题、整改落实。随着审计分析的进一步深化,审计分析将超越传统的数据分析方法,不但是对纯数据可以进行分析挖掘,对财务账表、报告等都可以进行深度挖掘、人工智能。
(二)大数据背景给军队审计数据分析带来的挑战
大数据在给军队审计信息化带来机遇的同时,也带来前所未有的挑战:一是实现资源统一规划和使用,必须以数据编码和信息标准统一、相互之间兼容互联为前提。由于目前缺乏制度依据,部门间横向协同难,原有的“信息孤岛”将给审计机关获取审计数据以及进行持续化审计造成困难。二是面对数量庞大、种类繁杂的数据信息源,审计机关不仅要具备对海量数据的采集和存储的能力,更重要的是能够迅速分析和挖掘数据,从传统的“经验依赖”转化为“数据依赖”,审计人员的数据驾驭能力将受到考验。三是审计业务流程大多以数据信息形式展现,资金流向更多体现为数据信息流的交换,使得违规违纪行为更加隐蔽和多样,微小的数据变动就可能造成经济损失。以往仅限于重点人员和财务的审计已经不能满足需要,抽样分析以及单一的财务账目分析也难以发现微小数据异常,这就要求审计机关对审计对象进行全面覆盖。四是审计机关作为军事经济运行安全的免疫系统,不仅要对已存在的问题进行查处和修补,还要对潜在的风险进行及时的揭示和抵御,更要通过大数据这个金矿,从更高层面、更全范围、更广视角为上级党委提供系统性、综合性、前瞻性的审计建议。
三、大数据背景下军队审计数据分析的策略
(一)明确工作目标导向,实施数据基础式审计
传统的以审计组划分的分散式审计模式已不能适应大数据背景下审计数据分析工作要求。首先,当前军队审计工作要建立健全制度、整合审计资源,结合审计人员的专业理论素养、实践工作经验、数据处理能力等因素,着手组建数据集中分析模式团队。其次,明确审计工作目标导向,按照“总体全面分析、重点业务分析、重点事项分析”逐层递进的思路,以系统全面的数据信息源为基础,坚持“面向业务需求、指导审计实践、推动数据分析”的原则开展审计数据分析工作。最后,要理清军队审计数据分析的工作思路,运用信息系统实施数据基础式审计方法,全面分析被审计单位在经济活动中存在的问题与不足,为军队审计工作的顺利开展提供数据支撑和技术保证。
(二)研判后台数据结构,掌握重点数据资源
在大数据时代,军事经济数据将呈现指数增长,挖掘重点及敏感数据审计的难度日益加大。做好审计数据的掘取、存储、处理与应用,对提高审计效率、实现分析结果的精准化具有重要作用。通过检查被审计单位内部控制制度,审查单位内部对不同业务数据的使用管理是否到位,数据库管理和安全操作制度是否完善,重点领域数据库常态监管措施是否严格,移动设备安全使用规程是否执行;依据数据库设计文档和数据注释等媒介,研究论证后台数据结构,确定重点、敏感信息数据库范围;采取穿行测试法、重新执行法、代码审查法、文档审查法等技术手段深入挖掘,切实掌握重点事项、信息、账表和报告间的勾稽关系。
(三)运用挖掘型分析技术,开展数据深度分析
目前军队审计中应用较多的是查询型分析和验证型分析,无法满足深刻揭示军事经济活动内在规律的现实需要,必须要引入挖掘型分析技术。挖掘型分析是利用数据仓库和数据挖掘工具进行的审计分析,主要有分类、回归分析、聚类、关联规则等方法。运用挖掘型数据分析技术,首先要做好审计数据的分类、存储、快速调用等工作,整合分析数据资源,搭建云数据存储平台,完善数据整理和研判机制,实现重点数据库间的兼容互联,共享审计云平台服务器运算能力资源。其次,要研发数据审计方法和分析工具,运用移动办公、云计算等技术对海量数据进行远程分析,深度分析审计疑点及问题线索,进而实现数据分析结果的精确化。
论文关键词:安全审计 日志 数据挖掘
论文摘要:提出了无线网关安全审计系统的系统模型,介绍了该系统的设计思想,从数据的控制、数据的采集、日志的归类、日志的审计与报警4个方面描述了设计流程.在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计.
0 引言
无线网关是无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制.在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的.
本文中研究的安全审计系统是北京市重点实验室科、研项目“智能化无线安全网关”的一部分.智能化无线安全网关在无线网关上集成具有IDS和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系.
无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其它安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全[1].
1 系统功能概述
无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险.其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类.最后,使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性.
2 系统设计
2.1 系统结构组成(见图1)
2.2 设计思想
系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的.
2.3 系统的详细设计
系统的处理流程如图2所示:
2.3.1 数据的控制.数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险.
2.3.2 数据的采集.数据采集模块,即日志的采集部件.为了实现日志记录的多层次化,需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3 日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为、应用行为、用户行为中的一种,同时进行时间归一化.进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率.
2.3.4 日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件.随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.
3 系统的实现
3.1 系统的开发环境
智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统.开发工具为:前台:Windows XP professional+html+php,后台:Linux+Apache+Mysql + C++.
3.2 日志归类模块的实现[2-3]
无线网关的日志采用linux的syslog机制进行记录,sys-log记录的日志中日期只包含月和日,没有年份.在该模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题.
下面以无线网关的日志为例,说明其实现过程.网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中,再利用C++处理一下,在记录中加入文件名中的年份.
3.3 日志审计与报警模块的实现
3.3.1 日志审计模块的处理流程(见图3).
3.3.2 规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷,有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成.
首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定.
3.3.3 日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分.在对日志进行审计之前,首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中.此外,由于所捕获的日志信息非常庞大,系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上,而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率,因此有必要在进行审计分析之前尽可能减少这些冗余信息.所以,在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率.采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度.
在日志信息经过预处理之后,就可以对日志信息进行审计.审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示.对于检测出的不合规则的记录,即违反规则的小概率事件,记录下其有效信息,如源、目的地址等作为一个标识,并对其设置一怀疑度.随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,则对其产生报警信息.
4 数据挖掘相关技术
数据挖掘是一个比较完整地分析大量数据的过程,一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型[4].
本系统中的有学习能力的数据挖掘方法主要采用了3种算法:
1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作.
2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联,为决定安全审计系统的特征集提供很重要的依据.
3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常.
5 结束语
该系统通过改进syslog机制,使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性.该系统结构灵活,易于扩展,具有一定的先进性和创新性,此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率.
参考文献:
[1] Branch J W, Petroni N L, Doorn Van L, et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy, 2004(5/6):56-65.
[2] 李承,王伟钊,程立.基于防火墙日志的网络安全审计系统研究与实现[J].计算机工程,2002,28(6):17-19.
[3] 刘.无线网络安全防护[M].北京:机械工业出版社,2003.
关键词Web;内容安全;内容过滤;信息审计
中图分类号TP31文献标识码A文章编号1673-9671-(2010)041-0020-03
1绪论
网络在带给人们经济、工作效率和丰富多彩的网络生活的同时,也产生了一系列问题。特别是如何强化对网络进行监管,有效防止和打击网络犯罪,确保网络安全,是摆在我们面前的一个沉重命题。网络的开放性和日益增长的规模,使其成为人们自由交流信息的便捷手段。但同时这种开放性也使网络中存在着很大的负面效应,如各种迷信、色情、暴力、反动和其他非法信息的传播,或者内部网中机密信息的泄漏等,这些都已成为了人们日益关注的焦点问题。
1.1课题研究背景和意义
伴随着互联网的普及,因不当使用带来的网络安全问题令人担忧。据CNCERT/CC的《2OO6年网络安全工作报告》指出,2OO6年网络安全事件比2005年大幅提高,其中涉及国内政府机构等部门的网页篡改类事件、国内外商业机构的网络仿冒类事件、针对互联网企业的拒绝服务攻击类事件最为严重,扩散病毒、木马、僵尸网络等行为更加嚣张,攻击者谋求非法利益的目的更加明确,黑客地下产业链基本形成。此外,垃圾邮件、色情网站、违法不良信息、网络、网络诈骗等不法行为,也严重影响着网络环境的健康发展。
网页内容安全监管是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网页内容安全监管从其本质上来讲就是对网络上的信息进行安全监管。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网页内容安全监管的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯自己的利益和隐私,网页被非法访问和破坏。从网络运行和管理者角度来讲,他们希望对本地网络信息的访问、读写等操作进行保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
1.2Web安全面临的问题
计算机网络系统的安全问题是由网络的开放性、无边界性、自由性造成的,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、可管理的内部系统。
1.2.1服务器安全
公司、企事业单位的网络系统遭受入侵和攻击不仅会造成巨大的经济损失,严重时甚至会危及国家安全和社会稳定。目前国内普遍采取的网络安全机制由于网络攻击方式和黑客技术的不断变化,已经无法满足重要网络和数据的安全需求。采用简单的双网双机系统在物理上虽然实现了隔离,避免了内部网络受到外部网络的侵袭,但也阻断了内外网络之间的信息交换,造成了“信息孤岛”。
Web服务器上的漏洞可以从以下几方面考虑:
1)在Web服务器上用户不希望被访问的秘密文档、目录或重要数据。
2)远程用户向服务器发送信息时,特别是信用卡密码之类信息时,中途遭不法分子非法拦截。
3)Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。
4)CGI安全放面的漏洞:①有意或无意在主机系统中遗漏Bugs给非法黑客创造条件;②用CGI脚本编写的程式,当涉及到远程用户从浏览器中输入表格,并进行检索,或form-mail之类在主机上直接操作命令时,也会给Web主机系统造成危险。
1.2.2客户端安全
随着社会信息化步伐的加快,客户端安全问题已经刻不容缓,而电子商务方面的安全问题成为了关注的焦点。电子商务不仅提供了进行商务活动的新方式,而且由于通过它形成了与地域、空间无关的一体化市场,因而电子商务正在改变全球的经济环境。目前各类电子商务的门户网站不断推出,如淘宝网、ebay等。据统计,我国招商银行在两年半的时间里,网上B2B交易了6000亿元人民币。但随着电子商务规模不断扩大,网上盗窃事件也不断发生。网上窃贼利用各种木马病毒和高级的网上钓鱼技术从银行和消费者身上骗取钱财。目前这种行为有明显的上升趋势,因此,如何保证交易的安全,让人们能够放心地进行电子商务交易已成为银行、商家、服务提供者和消费者共同关心的问题。
1.2.3通信安全
迅速发展的Internet使生活、工作非常方便,用户可以坐在家里通过Internet收发电子邮件、打电话、进行网上购物和银行转账等。在网络带来巨大方便的同时,也带来了一些不容忽视的问题,网络信息的通信安全保密问题就是其中之一。网络的开放性以及黑客的攻击是造成网络不安全的主要原因。Internet设计者在设计之初就缺乏对安全性的总体构想的设计,Internet所用的TCP/IP协议是建立在可信的环境之下。网络建立的初期多数人考虑的是网络互联,在安全方面则缺乏考虑。这种基于地址的TCP/IP协议本身就会泄露口令,而且该协议是安全公开的,远程访问使许多攻击者无需到现场就能够得手,Internet这些性质使网络更加不安全。
1.3研究现状
随着计算机以及信息网络的普遍运用,近年来我国网民人数剧增,已达13700万之多,但其素质参差不齐,再加上我国网络领域的立法并不十分健全、监管机制也不十分规范,这就使得我国网络犯罪案件一直呈上升趋势。网络犯罪类型主要有:网络色情犯罪,网络经济犯罪,网络黑客入侵,网络病毒传播,网络侵权案件等等。此外还包括传播邪教、、侵占和泄密等危害国家安全的行为。可以说,新形势下网络犯罪涉案种类之多、范围之广,几乎列各犯罪案件之首。
此外,网络传播的虚拟性和信息传播者的隐匿性大大增加了网络犯罪的查找和取证难度。有人利用网络媒介的这一特征隐身犯罪信息,给执法部门、监管部门寻找和打击犯罪嫌疑人的工作带来了相当大的难度,也加大了打击成本。网络证据提取的困难,制约了对网络犯罪的打击。
2内容安全概述
2.1Web的安全定义
针对Web的安全,当前业内的一致看法是,统一的定义不能从厂商的技术上去下,而是要与用户需求的紧迫程度挂钩。
从这个角度分析,Web安全可以分成两类应用模式:一类是针对病毒、木马、间谍软件、恶意软件的威胁;另一类着眼于规范用户行为,比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的宽带管理等。
需要注意的是,两种应用模式并非孤立存在,彼此间是有交叉的。据Anchiva中国区总经理李松介绍,根据经验,一套完整的Web安全方案,至少需要两个部分:一台针对TCP/IP协议二、三、四层应用的安全防御设备(比如防火墙、入侵检测、UTM),之后串接一台针对七层内容的安全防御设备,以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2.2信息安全管理模型
随着信息时代的到来,每一个组织所拥有和需要的信息越来越多。建立计算机信息系统能以快捷的方式管理信息,提高工作效率。但由于黑客的入侵、意外事故和法律上的漏洞使信息系统暴露在各种各样的威胁之下。如果不对信息系统进行安全保护,就可能使系统遭到破坏,进而使组织遭受财产损失和名誉损失。所以,构建安全的信息系统日益受到国家和组织机构的重视。
2.2.1安全管理模型
图1
图1所示的信息安全管理模型由信息安全需求、安全保护措施、检测、补救组成的一个循环链和信息安全管理中心两部分组成,其中信息安全管理中心是整个系统的核心。循环链中的每一个环节都要定期地与信息安全管理中心进行安全信息交互,当信息安全管理中心认为有必要对组织的安全目标进行修改时,要向高层管理部门汇报。
2.2.2监管体系实施
构建安全的信息系统必须以信息系统安全标准和信息系统安全模型为依据。国际上和国内已经提出的信息安全管理标准有:ISO 17799,CobitJ,GM1TS,GB17859―1999。这些标准的侧重点各不相同,应用的领域也不一样。信息安全管理模型也有很多种,比较有代表性的有:信息安全管理体系持续改进模式、网络风险管理模型、信息安全管理框架。信息安全管理体系持续改进模式,把PDCA管理模式与安全控制、风险评估有机地结合在一起。该模型具有广泛的适用性,但没有指出如何将风险评估的结果映射成组织的安全需求和安全需求之间出现冲突时的融合方法,也很难用定量的方法对这一模型进行评估。网络风险管理模型具有很好的动态性,但不能对组织机构的各级管理部门进行有效的协调,也没有把各项工作的结果写成书面文件。信息安全管理框架运用安全需求流把组织的安全需求层次化,但没有考虑系统面临的外部风险和可以采取的非技术安全措施(如职员安全培训、安全职责划分等)。图1的信息安全管理模型在一定程度上克服了以上这些模型的不足之处。
3网页内容过滤
3.1网页过滤器概述
作为一个巨大的全球性的信息中心,Intenet正以惊人的速度发展壮大。人们可以通过Intenet获取各种各样的信息和资源。然而,由于网络的开放性使得任何人可以获得几乎任何种类的信息,这不免让一些“不良信息”乘虚而入,如反动信息、不利于青少年健康的信息等等。网页过滤器的出现缓解了这一系列的问题。
基于URL过滤,在缓存引擎上,建立对URL进行过滤用的数据库,包括合法URL表(white LiSt)和非法URL表(Black List)。White List与Black List均包括URL名、访问次数两个属性,同时分别对white List和Black List的UU名建立索引。
过滤时,把从用户请求数据包中提取的URL与whiteList中的un砌e进行匹配,如果匹配成功,则说明用户的请求是合法的,但目前页面缓存中没有。这时由缓存服务器定向该请求到Internet,Internet将页面信息传输到透明缓存服务器上,而后透明缓存服务器按照WCCP协议的规定更新页面缓存,将信息发给用户,即用户的请求得到响应;如果匹配不成功,则进行进一步的非法URL匹配,把请求中的URL部分与Black List中的until-he进行匹配检测,这时如果匹配成功了,说明用户所请求的信息不合法。在这种情况下,应返回给用户进行警告提示;而如果再次匹配失败,则说明用户的请求的URL在URL数据库中无法找到对应项,标记该URL为可疑的,该请求为可疑请求,再进行下一步处理,同样也将该请求发送到Internet。
3.2常见网络服务过滤举例
3.2.1电子邮件过滤
电子邮件是互联网3大基础应用之一,给生产和生活带来很大的便利。然而近几年垃圾邮件的暴增给邮件应用造成严重的危害。目前控制垃圾邮件的方法主要是过滤。
垃圾邮件过滤问题有2个主要特点:高维特征和小样本问题。支持向量机以结构风险最小化原则在有限样本问题中显示出优异的广泛化性能,较好地避免了小样本语料及高维特征空间中易出现的过拟合问题,同时通过C参数实现最大软间隔分类算法,可有效降低少量噪声语料或极个别特殊样本带来的负面影响。
3.2.2搜索引擎结果自动过滤、分类
利用分类器对搜索引擎的结果进行安全过滤,从中找到用户感兴趣且安全的内容提交给用户,从而提高检索的效率,滤过信息中可能存在的病毒、木马程序、色情暴力等内容,方便用户的使用。基于自动分类的搜索引擎过滤系统,用户首先输入待查词,搜索引擎对待查词进行查询过滤,按照用户所感兴趣领域样本的分类器对查询结果进行自动分类滤过处理并按照与用户所感兴趣领域的相关程度进行排序,如果是用户所感兴趣的安全内容提交用户,否则丢弃。
4基于内容的网络安全信息审计系统分析
网络安全审计以其实时性、动态性和主动防御的特点备受青睐。在国内,网络审计技术还处在发展阶段,还没有出现专门的基于内容的信息审计工具。有些公司也推出了具有网络信息过滤功能的安全审计工具,但往往局限在具体的角度(多是针对色情内容的过滤),其应用范围具有一定的局限性,远远不能满足目前复杂灵活的信息审计的需要。
4.1信息审计面临的挑战与难点
目前从国外已经进行的信息审计项目来看,研究人员普遍认为,信息审计的发展无论在内容和方法上都还存在一定的局限。总体上表现在四个方面:
1)审计的范围问题。针对信息审计的复杂性和规模性。专家们普遍认为目前还缺乏操作层面上的指南,以及如何针对特定的环境和目标进行信息审计 。
2)审计的方法问题。已有的信息审计大多是采用了传统的财务审计方法。如成本/效益方法等,目前还不存在统一的标准化信息审计方法体系。这给信息审计实践造成了很大的困难和混乱。我认为,应将财务审计人员的经验与信息审计实践想融合,尽早开发出一套适用于信息审计方法体系。
3)审计的频率问题。信息审计只是代表了一个组织在某个时间点上的信息状态,需要人们对组织信息资源的更新状况进行追踪。在这个问题上,信息专家应向财务审计人员请教,因为财务审计是经常性进行的。
4)核算问题。由于信息资源的特殊性,往往难以计算出其成本和收益。
4.2系统总体设计
在基于内容的网络安全审计系统中,网络内容获取模块从互联网上取回内容之后,内容分析模块对内容进行分析处理。在拥有足够的网络带宽情况下,内容分析模块的处理速度将成为系统性能的瓶颈。而内容分析模块的处理速度和对敏感信息的识别准确率又是一对矛盾,难以兼顾。采用简单高速的分析算法,识别准确率降低;而采用复杂准确的分析算法,又难以保证处理速度。事实上,在真实的互联网内容中,导致信息污染的网页数量只占网页总量的极小比例(低于1%),暂且将这些信息称为敏感信息。而占网页数量绝大多数的网页内容都是非敏感信息,或者说是中性的,其主题多是各类新闻、学术信息、技术文章、产品信息、文学短篇等,与敏感问题无关。
为了兼顾系统吞吐量和对敏感信息的识别准确率,从敏感信息在网络中的分布比例得到启发,除了采用高性能的计算设备之外,在系统结构上,可以采用双层分析结构。
双层结构的基本思想是把对敏感信息的识别分为两个步骤进行,首先采用简单高速的分析技术,过滤掉绝大部分正常的网页,然后采用复杂准确的分析技术对通过第一层的网页进行进一步分析,从而增强识别网页内容的敏感性。如图1所示为一个双层结构示意图。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
网络信息流
图2双层结构示意图
4.3系统实现技术――数据包还原技术
数据包还原技术数据采集的目的是为了分析其内容。对于基于内容的网络安全监控系统来说,仅分析零碎的数据包是没有任何价值的,必须将一个会话中双向传输的所有数据包进行拼接,并排除协商、应答、重传、包头等网络附加信息,最终实现还原与重放,只有这样才能实现网络内容的监控与审查。应用层协议数据的分析与还原是信息内容安全的重要内容,也是关键技术之一。数据包的还原技术主要包括数据分片重组技术和流重组技术两方面。
4.3.1数据分片重组技术
在跨越网络边界的时候,由于最大传输单元的变化,转发软件(例如路由器)会对数据进行分片,还有一些攻击者会故意发送分片包企图绕过检查。在分片之后,攻击特征可能会分布到几个分片中,因此在处理之前需要进行分片重组,这由相应的预处理模块来完成。在保留分片、重组的处理过程中大量使用了二叉树,运行过程中,内存中维护两个级别的二叉树,分别为主二叉树和二级二叉树,使用这两级二叉树,该模块就可以在内存中保存完整的分片信息。
4.3.2流重组技术
对TCP协议进行流重组,提供会话信息。将捕获的数据包一步一步重组为应用层数据,根据数据物理帧的帧头,模块可以识别出所有的IP包,根据IP包头中的信息(源地址、目的地址、标识号等),模块可以识别出哪些IP包属于同一个TCP或者UDP包,并且将它们重组为TCP或者UDP包,再根据TCP或UDP包头中的信息(源端口号、目的端口号、序号等),恢复原始会话内容。原始内容经过系统进一步处理即可完成应用层协议的重现。
4.4小结
针对网络环境下的安全问题和当前基于内容的网络安全审计产品的不足,以基于内容的审计技术为基础,以信息安全理论为依据,针对网络文本内容审计进行研究,对目前网络不良信息的审计有一定的参考价值。
5结束语
网页内容安全监管是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变得越来越重要。“家门就是国门”,安全监管问题刻不容缓。
通过以上几个层次的技术的交互结合应用,配合有效的监管机制,Web信息安全监管服务系统在可靠性、完整性、可用性和可维护性等几个大的方面,都将有很大的保障。
参考文献
[1]张志坚.也谈网络安全监管.科技信息,2007,31.
[2]涂心环.Web服务器安全问题的探讨.科技咨询导报,2007,27.
[3]陈蜀海,金晖,蹇春蓉.电子商务客户端安全的研究.
[4]李慧,刘东苏.一个新的信息安全管理模型.
[5]李石君,李洲,余军,张科.基于URL过滤与内容过滤的网络净化模型.
[6]康平波,王文杰.基于自动分类的搜索引擎过滤系统.
一、基本情况
(一)航运公司概况
我局辖区现有航运公司43家,管理船舶 464 艘。其中体系公司 11 家,管理船舶 68 艘,非体系公司 32 家,管理船舶 396 艘。
辖区航运公司特点:(1)公司多,规模小(平均总吨9072/家);(2)内河多,沿海少(涉及沿海船舶管理的公司有 8 家,管理沿海运输船 27 艘,占比5.8%);(3)挂靠(隐性)多,管理少;(4)意识弱,水平低。
(二)审核员队伍概况
我局现有审核员 22 人,其中主任审核员 6 人,普通审核员 10 人,实习审核员 6 人。
(三)主要业务数据
去年,共受理了12家次公司、37艘船舶的审核申请。完成了航运公司安全管理体系年度审核10家次、临时审核 1 家次、初次审核1家次、跟踪审核1家次;完成了船舶审核40艘次,其中初次审核7艘次、中间审核19艘次、临时审核10艘次、换证审核4艘次,完成委托审核1艘次。共发放航运公司符合证明2张,符合证明年度签注10张,船舶安全管理证书21张。
辖区注册的43家航运公司全部纳入海事日常安全监管,去年计划检查航运公司72家次,完成监督检查航运公司82家次,监督检查完成率113%;检查发现问题215个(平均问题数2.6个),纠正问题215个;完成航运公司管理评价41家次,平均得分83.9;约谈公司89家次,送达安全管理建议书79份。
二、主要做法
(一)从长理顺审核发证管理机制,强化体系运行
部海事局于2015年10月印发了《关于做好航运公司安全管理体系审核发证工作的通知》,对航运公司安全管理体系审核发证工作模式作了重大改变。面对困难,我局结合辖区实际,想方设法予以严格执行。一是重建审核发证业务流程。严格按照《航运公司安全管理体系审核发证程序》要求,制定X海事局航运公司安全管理体系审核业务流程,理顺审核发证工作,规范审核发证行为,提高审核发证工作质量。二是合理制定审核工作计划。面对安排审核员难的问题,我局把每年度航运公司审核计划细化到月,每月审核任务落实到具体的审核员,在每年12月制定下年度每月详细的审核计划,有效解决了审核员本职工作与审核工作之间的冲突,推进体系审核工作顺利有序开展。三是严把体系审核关。要求审核员继续发扬X海事认真、严谨、负责的安全管理体系审核工作传统,杜绝走过场,同时针对审核中发现的不符合情况,主动给予公司、船方指导并及时安排整改验证,保证体系有效运行,保障船舶营运安全。四是加强廉政风险防控。为了不折不扣地执行部海事局《关于做好航运公司安全管理体系审核发证工作的通知》要求,我局把航运公司安全管理体系审核工作定位为集中办公,按照上级有关差旅费管理规定要求,在制定《X海事局差旅费管理办法》时,就对体系审核过程中审核员交通、住宿、伙食补助等问题予以考虑解决,做好审核员的后勤保障工作。我局在下达《审核方案》时,继续延续以前的做法,给审核组长下达《廉政提醒》,由审核组长在召开审核组第一次会议时向审核员强调审核期间的廉政纪律,坚决杜绝向公司吃、拿、卡、要,坚决从源头防控廉政风险。
(二)从严开展公司日常监督检查,强化过程管控
一是帮助公司建立完善安全管理制度。借鉴体系公司管理经验,编制公司安全管理制度样板,帮助非体系公司建立健全公司安全管理制度,促进公司加强对所属船舶、船员的岸基支持、动态管控和技术指导,保障船舶航行、停泊、作业安全。二是开展分级分类监管。我局每年至少组织开展一次航运公司安全管理评价与分类,从公司管理制度、岸基管理活动、船舶管理活动和管理效果等角度对各公司的安全管理状况进行评价,根据评价结果将公司分为不同等级类别,确定不同的日常监督检查频次(一类航运公司:管理评价综合得分为70分及以上的,每年至少检查一次;二类航运公司:管理评价综合得分为50——69分的每半年至少检查一次;三类航运公司:管理评价综合得分为49分及以下的,每季度至少检查一次),以此作为评价后对公司监督检查计划制订的重要依据。三是集中监督检查行动与日常监督检查相结合。除了严格按照年度计划开展航运公司日常监督检查外,每年结合“安全生产月”活动和其它专项工作开展,组织开展航运公司安全管理集中监督检查行动,加强安全隐患排查整改,进一步促进航运公司经营管理者增强主体责任意识和提高管理水平,并以此增加基层海事处监管人员的业务交流,提高业务水平。
(三)从实开展公司安全管理约谈,强化风险预控
近年来,我局除了严格按照水上安全管理约谈规定要求,针对航运公司管理船舶发生较大及以上水上交通事故、污染事故和航运公司安全管理存在严重问题,不断加大事后安全管理约谈,还根据辖区安全形势、季节性安全以及一些苗头性安全问题,开展事前安全管理约谈,强化航运公司安全与防污染管理风险预控。
仅在去年,就开展了三批共89家次航运公司最高管理层和指定人员(或安全主管)参加的集中安全管理约谈。在集中约谈会上,一是开展警示教育。向航运公司通报一段时间以来的水上交通事故典型案例、常见水上交通违法行为和船舶被滞留典型案例,通过反面教材对航运公司负责人和安全管理人员进行警示教育,杜绝麻痹思想,增强安全意识。二是督促开展隐患排查与整改。督促公司做到举一反三,把别人的事故当作自己的事故来总结经验、吸取教训,切实强化安全意识,落实安全生产主体责任,加强隐患排查和问题整改,落实各项安全防范措施。三是开展公司安全管理问题分析整改。分析辖区航运公司安全与防污染管理现状,逐一指出安全管理存在的突出问题,要求航运公司立行立改,切实提升公司安全管理水平,加强对船舶的岸基支持和监督检查。
(四)从紧开展公司有关专项行动,强化问题整治
一是开展航运市场秩序进行专项治理。突出重点核查航运公司经营资质条件,解决经营资质不达标、整改不到位、管理人员配备不足问题;重点核查违规挂靠和委托经营,解决虚假挂靠和挂而不靠乱象;重点核查船舶违法违规行为,解决船员配备不足、人证不符、船舶超载、违规收费情况。通过专项治理,建立了安全、有序的航运市场秩序。二是全面开展中小型船舶安全管理专项治理行动。通过春节前的前期准备阶段的部署,我局已全面启动中小型船舶安全管理专项治理行动,目前,各航运公司及所属船舶、船员正按照我局制定的公司、船舶、船员自查自纠表开展自查自纠工作,力争把隐患和问题消除在自查自纠阶段。接下来,我局将继续贯彻落实专项整治行动各阶段的工作安排和要求,跟踪检查公司自查自纠情况,全力开展重点检查,强化工作落实,争取做出成效,最终达到减少水上交通事故、营造安全有序的水上交通环境、服务航运业安全健康发展的目的。
(五)从深开展工作分析成果运用,强化企业帮扶
一是开展船舶安检工作分析。定期对辖区公司所属船舶安检情况进行统计分析,包括船舶安检缺陷数按缺陷种类分布情况、船舶安检艘次按公司分布情况、船舶平均单船缺陷按公司分布情况等,通过大数据评估船舶安全状况,分析航运公司的安全管理深层次问题。二是开展安全管理问题分析。分析辖区航运公司安全管理制度建立及执行、管理岗位及人员配备、管理人员素质及管理水平等方面存在的问题,为航运公司改进安全管理,提高安全管理水平提供针对性指导。三是开展工作分析成果运用。对部分船舶缺陷较大、管理水平较低的航运公司进行安全管理约谈,全力为航运企业提供专业支持,及时解决问题航运企业在日常运营和安全管理方面遇到的难题,构建共建共赢共享的安全命运共同体。
三、今年主要工作
尽管近年来我们各级海事管理机构都想了很多办法,花了很大力气,辖区航运公司安全管理状况得到了逐步改善,但航运公司安全管理的问题是历史问题、系统问题,有些问题还是不同程度地顽固存在着,航运企业主体责任的落实还是不尽人意,特别是中小型航运企业。X局长在2018年春节节后机关干部大会上吹响了“大作为、大发展、大改革、大创新、大改变”号角。号角声声,催人奋进,我局将乘势而上,矢志奋斗,以新时代中国特色社会主义思想为指导,深入学习贯彻党的精神,牢固树立安全发展理念,弘扬生命至上、安全第一的思想,继续按照“严格监管、规范标准、主动服务、共建安全”的工作思路,以开展中小型船舶安全管理专项行动为抓手和突破口,不断强化航运企业安全生产主体责任落实,坚决遏制重特大事故发生,保障水上交通和人民生命财产安全。主要工作如下:
(一)结合辖区实际,制定2018年X海事局中小型船舶安全管理专项整治行动实施方案,并通过分类分批召开航运公司集中约谈会、召开基层海事处部署会,部署公司、船舶、船员自查自纠和重点检查工作。(已完成)
(二)按照上级局《航运公司定点联系人制度(试行)》要求,全面开展航运公司定点联系工作。
(三)继续开展航运公司安全管理评价,对航运公司实行分类监管。
(四)继续坚持集中监督检查与日常监督检查相结合,加大航运公司现场监督检查力度(每季度不少于一次)。
(五)针对所管理的船舶多次发生事故险情、被处罚、被滞留和安全管理存在较大问题的航运公司,不断加强安全管理约谈。
(六)加强业务培训,对内举办一期航运公司安全监管业务现场实操培训,对外举办一期航运公司安全管理体系运行管理业务培训。
(七)定期开展航运公司安全管理体系审核发证管理和日常监督检查业务自查,并适时开展“基层行”督导活动和组织海事处抽查重点航运公司及其所属船舶、船员,督促落实专项行动要求。
(八)分阶段对专项整治行动进行总结,并将典型经验和有效措施进行归纳和提炼,建立健全有针对性的船舶安全管理制度,不断完善水上交通安全长效管理机制,巩固专项检查成果。
第一条为加强水库大坝(以下简称大坝)安全管理,规范大坝安全鉴定工作,保障大坝安全运行,根据《中华人民共和国水法》、《中华人民共和国防洪法》和《水库大坝安全管理条例》的有关规定,制定本办法。
第二条本办法适用于坝高15m以上或库容100万m3以上水库的大坝。坝高小于15m或库容在10万m3~100万m3之间的小型水库的大坝可参照执行。
本办法适用于水利部门及农村集体经济组织管辖的大坝。其它部门管辖的大坝可参照执行。
本办法所称大坝包括永久性挡水建筑物,以及与其配合运用的泄洪、输水和过船等建筑物。
第三条国务院水行政主管部门对全国的大坝安全鉴定工作实施监督管理。水利部大坝安全管理中心对全国的大坝安全鉴定工作进行技术指导。
县级以上地方人民政府水行政主管部门对本行政区域内所辖的大坝安全鉴定工作实施监督管理。
县级以上地方人民政府水行政主管部门和流域机构(以下称鉴定审定部门)按本条第四、五款规定的分级管理原则对大坝安全鉴定意见进行审定。
省级水行政主管部门审定大型水库和影响县城安全或坝高50m以上中型水库的大坝安全鉴定意见;市(地)级水行政主管部门审定其它中型水库和影响县城安全或坝高30m以上小型水库的大坝安全鉴定意见;县级水行政主管部门审定其它小型水库的大坝安全鉴定意见。
流域机构审定其直属水库的大坝安全鉴定意见;水利部审定部直属水库的大坝安全鉴定意见。
第四条大坝主管部门(单位)负责组织所管辖大坝的安全鉴定工作;农村集体经济组织所属的大坝安全鉴定由所在乡镇人民政府负责组织(以下称鉴定组织单位)。水库管理单位协助鉴定组织单位做好安全鉴定的有关工作。
第五条大坝实行定期安全鉴定制度,首次安全鉴定应在竣工验收后5年内进行,以后应每隔6~10年进行一次。运行中遭遇特大洪水、强烈地震、工程发生重大事故或出现影响安全的异常现象后,应组织专门的安全鉴定。
第六条大坝安全状况分为三类,分类标准如下:
一类坝:实际抗御洪水标准达到《防洪标准》(GB50201-94)规定,大坝工作状态正常;工程无重大质量问题,能按设计正常运行的大坝。
二类坝:实际抗御洪水标准不低于部颁水利枢纽工程除险加固近期非常运用洪水标准,但达不到《防洪标准》(GB50201-94)规定;大坝工作状态基本正常,在一定控制运用条件下能安全运行的大坝。
三类坝:实际抗御洪水标准低于部颁水利枢纽工程除险加固近期非常运用洪水标准,或者工程存在较严重安全隐患,不能按设计正常运行的大坝。
第二章基本程序及组织
第七条大坝安全鉴定包括大坝安全评价、大坝安全鉴定技术审查和大坝安全鉴定意见审定三个基本程序。
(一)鉴定组织单位负责委托满足第十一条规定的大坝安全评价单位(以下称鉴定承担单位)对大坝安全状况进行分析评价,并提出大坝安全评价报告和大坝安全鉴定报告书;
(二)由鉴定审定部门或委托有关单位组织并主持召开大坝安全鉴定会,组织专家审查大坝安全评价报告,通过大坝安全鉴定报告书;
(三)鉴定审定部门审定并印发大坝安全鉴定报告书。
第八条鉴定组织单位的职责:
(一)按本办法的要求,定期组织大坝安全鉴定工作;
(二)制定大坝安全鉴定工作计划,并组织实施;
(三)委托鉴定承担单位进行大坝安全评价工作;
(四)组织现场安全检查;
(五)向鉴定承担单位提供必要的基础资料;
(六)筹措大坝安全鉴定经费;
(七)其他相关职责。
第九条鉴定承担单位的职责:
(一)参加现场安全检查,并负责编制现场安全检查报告;
(二)收集有关资料,并根据需要开展地质勘探、工程质量检测、鉴定试验等工作;
(三)按有关技术标准对大坝安全状况进行评价,并提出大坝安全评价报告;
(四)按鉴定审定部门的审查意见,补充相关工作,修改大坝安全评价报告;
(五)起草大坝安全鉴定报告书;
(六)其他相关职责。
第十条鉴定审定部门的职责:
(一)成立大坝安全鉴定委员会(小组);
(二)组织召开大坝安全鉴定会;
(三)审查大坝安全评价报告;
(四)审定并印发大坝安全鉴定报告书;
(五)其他相关职责。
第十一条大型水库和影响县城安全或坝高50m以上中型水库的大坝安全评价,由具有水利水电勘测设计甲级资质的单位或者水利部公布的有关科研单位和大专院校承担。
其他中型水库和影响县城安全或坝高30m以上小型水库的大坝安全评价由具有水利水电勘测设计乙级以上(含乙级)资质的单位承担;其它小型水库的大坝安全评价由具有水利水电勘测设计丙级以上(含丙级)资质的单位承担。上述水库的大坝安全评价也可以由省级水行政主管部门公布的有关科研单位和大专院校承担。
鉴定承担单位实行动态管理,对业绩表现差,成果质量不能满足要求的鉴定承担单位应当取消其承担大坝安全评价的资格。
第十二条大坝安全鉴定委员会(小组)应由大坝主管部门的代表、水库法人单位的代表和从事水利水电专业技术工作的专家组成,并符合下列要求:
(一)大型水库和影响县城安全或坝高50m以上中型水库的大坝安全鉴定委员会(小组)由9名以上专家组成,其中具有高级技术职称的人数不得少于6名;其他中型水库和影响县城安全或坝高30m以上小型水库的大坝安全鉴定委员会(小组)由7名以上专家组成,其中具有高级技术职称的人数不得少于3名;其他小型水库的大坝安全鉴定委员会(小组)由5名以上专家组成,其中具有高级技术职称的人数不得少于2名;
(二)大坝主管部门所在行政区域以外的专家人数不得少于大坝安全鉴定委员会(小组)组成人员的三分之一;
(三)大坝原设计、施工、监理、设备制造等单位的在职人员以及从事过本工程设计、施工、监理、设备制造的人员总数不得超过大坝安全鉴定委员会(小组)组成人员的三分之一;
(四)大坝安全鉴定委员会(小组)应根据需要由水文、地质、水工、机电、金属结构和管理等相关专业的专家组成。
(五)大坝安全鉴定委员会(小组)组成人员应当遵循客观、公正、科学的原则履行职责。
第三章工作内容
第十三条现场安全检查包括查阅工程勘察设计、施工与运行资料,对大坝外观状况、结构安全情况、运行管理条件等进行全面检查和评估,并提出大坝安全评价工作的重点和建议,编制大坝现场安全检查报告。
第十四条大坝安全评价包括工程质量评价、大坝运行管理评价、防洪标准复核、大坝结构安全、稳定评价、渗流安全评价、抗震安全复核、金属结构安全评价和大坝安全综合评价等。
大坝安全评价过程中,应根据需要补充地质勘探与土工试验,补充混凝土与金属结构检测,对重要工程隐患进行探测等。
第十五条鉴定审定部门应当将审定的大坝安全鉴定报告书及时印发鉴定组织单位。
省级水行政主管部门应当及时将本行政区域内大中型水库及影响县城安全或坝高30m以上小型水库的大坝安全鉴定报告书报送相关流域机构和水利部大坝安全管理中心备案,并于每年二月底前将上年度本行政区域内小型水库的大坝安全鉴定结果汇总后报送相关流域机构和水利部大坝安全管理中心备案。
第十六条鉴定组织单位应当根据大坝安全鉴定结果,采取相应的调度管理措施,加强大坝安全管理。
对鉴定为三类坝、二类坝的水库,鉴定组织单位应当对可能出现的溃坝方式和对下游可能造成的损失进行评估,并采取除险加固、降等或报废等措施予以处理。在处理措施未落实或未完成之前,应制定保坝应急措施,并限制运用。
第十七条经安全鉴定,大坝安全类别改变的,必须自接到大坝安全鉴定报告书之日起3个月内向大坝注册登记机构申请变更注册登记。
第十八条鉴定组织单位应当按照档案管理的有关规定及时对大坝安全评价报告和大坝安全鉴定报告书进行归档,并妥善保管。
第四章
第十九条大坝安全鉴定工作所需费用,由鉴定组织单位负责筹措,也可在基本建设前期费、工程岁修等费用中列支。
第二十条违反本办法规定,不按要求进行大坝安全鉴定,由县级以上人民政府水行政主管部门责令其限期改正;对大坝安全鉴定工作监管不力,由上一级人民政府水行政主管部门责令其限期改正;造成严重后果的,对负有责任的主管人员和其他直接责任人员依法给予行政处分,触犯刑律的,依法追究刑事责任。
第二十一条各省、自治区、直辖市人民政府水行政主管部门可根据本办法结合本地实际制定实施细则。
[关键词]基层审计项目计划理性选择
审计项目计划,尤其是年度审计项目计划,是基层审计机关对年度审计工作任务的统一安排,也是对当年度审计行动方针、内容重点、完成措施、时间步骤的超前具体安排,有利于全面履行审计职责,行使审计职权,有效重点监督.由此,实施审计有着较强的计划性,而审计计划具有一定的严肃性,通常纳入考核内容之一。但是随着形势的发展和审计工作的实际,原有的审计项计划制定模式已不适应需要,有必要选择一个现实、实际的计划制定模式,作为审计工作体系的重要组成部分.为此,笔者就今后审计项目计划的制定提出一些不成熟的建议,供基层计划设计者与决策者参考
一、现阶段基层审计项目计划制定的式与度
多年来,基层审计机关在审计项目计划制定的取向上,大多是考虑以下几个方面的动因:
一是计划制定的连动性。基层审计机关在制定年度审计项目计划时,基本上是在省、地审计机关层层召开审计工作会议或计划会议拿出总盘子后,在这个大框架中去制定的,实际上是上级计划在基层的移植或套用。只要知道上级计划的内容,可管窥基层项目计划的全貌。其优点在于审计项目计划可保持上下连动,达到施审中的有机整体推进。
二是计划制定的指令性。基层审计机关在制定年度审计项目计划时,处于双重领导体制的考虑和审计任务的统一性,总是把上级审计机关统一组织项目、授权审计项目放到突出位置,作为指令性任务在年度计划中加以体现和落实,以保障上级审计机关项目计划有序实施和完成计划的基本需要。
三是计划制定的针对性。基层审计机关现阶段制定项目计划中,有一定比重的自行安排项目。主要是根据自己的力量,按照审计管辖和分工,有针对性地就地方工作重心和发展大局以及社会关注的热点、难点问题纳入计划进行监督,使之既有针对性,又有重点性。
四是计划覆盖的全面性。基层审计机关制定年度审计项目计划时,基本上立足于全面审计,突出重点。基于人力资源的制约,普遍对审计单位在几年中实行轮审。因此,在制定项目计划时,尽可能兼顾计划的覆盖面,力求达到全面性。
从基层实践看,正是以上述模式去适度制定审计项目计划,达到了计划管理,保证了审计目标任务的完成。
二、现阶段基层审计项目计划运行的变与调
随着形势的发展和经济体制改革、财政体制改革的深入以及社会对审计客观需求的增长,审计项目计划制定后,潜存着一定变数,难以一成不变,不得不年年作出调整,也在报批、考核中增加了工作量。出现这种情况的主因有以下几点:
其一,缺乏针对性导致的变化。在上级审计机关统一组织的审计项目中,基层审计机关作为重点之一纳入计划。但有的统一组织的行业审计项目,上下差距较大,基层实行报账制,核算在上级主管部门。因此,基层没有必要实施审计,即便审计只能应付过场。纳入项目计划的项目,不得不由统一组织审计机关或基层机关作出变更或调整。这种缺乏针对性的计划,导致原定计划的变化,使计划管理达不到应有目标和既定目的。
其二,计划适应性导致的变化。在纳入计划管理的自行安排项目中,大多年初由业务科室提出初步安排,由班子审定平衡,再报县政府审核批准。但是在计划确定后,往往会出现难以预料的情况。一方面,被审计单位被确定后,由于改革、改制,权力、财务上划,实施审计没有实际意义。另一方面,有的被审计单位被纳入项目计划后,由于监督部门多,提前实施了财务检查,为避免交叉监督,只能进行变更调整。由于原定计划在适应性上的不足,导致项目计划变化已比较普遍。
其三,增多随机性导致的变化。近年来,地方党委、政府越来越重视审计监督,委托、交办审计项目日趋增多,基层审计处于被动受托位置。不论是经济责任审计、还是建设项目审计以及其他交办审计,都有着较多的随机性和集中性、时限性。年初制定审计项目计划时,只能部分项目纳入计划管理,大量项目将是随机委托和交办的。这种随机性、集中性和时限性,对既定项目审计计划具有较强的冲击力。为完成任务,只能对原定项目的时间及措施延后,有时只好对项目计划作出调增或调减,影响了原计划的有效执行和组织实施。
三、从今后基层审计项目计划编制的定与统
既然年度审计项目计划是审计工作的重要组成部分,又要加以考核,有其严肃性和规范性,那就需要随着形势的变化而在编制项目计划上大力创新,以适应需要。只有在项目计划制定上创新定与统,基层审计机关才能明确规与责。今后在项目计划编制时,自上而下应考虑如下模式:
第一,统一型。审计项目计划的制定,可以说是上级审计机关行为,很大程度上取决于上级审计机关的意图,每年由上级审计机关统一进行部署和安排,实行的是统一领导,分级负责制。目前,基层审计机关审计管辖范围在萎缩,财政财务收支审计项目屈指可数。财政实行是的公共财政框架下的集中核算,并逐步向“乡财县管”的体制转移,可纳入计划管理的项目已为数不多。而受审计管辖范围的约定,县级以上审计机关又层层统一组织项目或进行授权,既繁琐又影响计划编制。在这种情况下,需要强化统一性。即由省级、最低由地级审计机关统一编制审计项目计划,如审计署的计划,覆盖派出局、特派机构一样,达到同标准、同部署、同考核。将地方交办审计不列入计划。这样,基层审计机关只负责落实,有利于计划的执行。
