随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。
一、网络隐私权侵权现象
1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。
2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。
3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。
4.网络提供商的侵权行为
(1)互联网服务提供商(ISPInternetServiceProvider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。
(2)互联网内容提供商(ICPInternetContentProvider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。
5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。
二、网络隐私权问题产生的原因
网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。
1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。
2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。
3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。
目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。
三、安全技术对网络隐私权保护
1.电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。
(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。
(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTime-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
2.电子商务信息安全协议
(1)安全套接层协议(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
(2)安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
(3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。
3.P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。
(1)隐私安全性
①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。
②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。
(2)对等诚信
为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。
对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。
每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:
Sij=sat(i,j)-unsat(i,j)
四、电子商务中的隐私安全对策
1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。
2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。
3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。
4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。
7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
参考文献:
[1]屈云波.电子商务[M].北京:企业管理出版社,1999.
[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.
随着物业市场化进程的不断推进,在广大居民居住生活质量不断提高的同时,居民对物业保安工作的要求也在不断的提高。物业管理的目标是为居住区域内的业主和使用人提供和保持安全、整洁、舒适的居住环境,高效、优质的物业保安服务是保障物业管理区域内良好公共秩序的重要保障。因此,加强居住物业区域内的保安管理,对于推动房地产可持续发展、促进社会治安的稳定,推进社会主义精神文明建设具有重要意义,也是新形势下完善群防群治工作和推进治安防范社会化、专业化进程的客观需要。
一、充分认识物业保安管理工作重要性加强物业保安管理工作,提高物业保安管理水平,是动态环境下强化社会治安防控体系建设的必由之路,也是日益严峻复杂的社会治安形势的紧迫要求。从党的十六届四中全会提出的提高党的执政能力建设,构建社会主义和谐社会的高度出发,对维护社会稳定,加强和完善社会治安综合治理工作机制,依法打击各类犯罪活动,保障人民群众生命财产安全提出了更高的要求。作为中高档及涉外住宅集聚的城区,长宁的物业保安管理水平直接关系到长宁的形象和投资环境。要推进长宁社会和经济的可持续发展,迫切需要有一个良好的社会及居住区治安环境作保证。随着社会和经济的发展,人民群众对居住的环境、居住的安全提出的要求越来越高。
物业小区的保安管理工作是一项工作时间长,劳动强度大,工作责任重的工作,事关人民生命财产安全。与一般工作不同的是,处理正常工作日之外的夜间和节假日安全事务往往是保安管理工作的重中之重,因为这些时间段往往是一些安全隐患易于显现的时间,因此夜间和节假日的物业保安工作就显得尤为重要。但是,长期以来由于房地部门在这些时段内缺乏检查、监督的机制,造成一些物业小区内的保安管理工作存在着不少隐患,急需整改。这次与公安分局联合制定的《实施意见》就是要把对物业保安管理工作纳合管理的机制,通过各自的管理途径,实施各自的管理手段,进一步完善物业保安的管理机制,从源头上防止物业小区内各类安全问题的发生。所以我们必须高度重视社区保安工作,要求措施有力,发展迅速,效果明显。我们要虚心向兄弟省市学习先进经验,为进一步促进、提高物业保安管理水平,为创建一个和谐发展的社会环境打下基础。
二、房地部门要切实履行监督职能,全力配合公安部门切实加强物业保安管理工作加强我区的物业保安工作,整体提高我区物业保安管理工作的质量要靠各职能单位的通力合作和全体物业公司的全力配合。只有充分发挥房地局、公安分局管理、监督、检查和指导的职能,联手我区区域内实施物业管理的各个物业公司,形成居住小区安全防范的整体合力,才能把这项工作落到实处,从而完善我区物业保安管理机制,形成安居乐业的良好环境。我们要充分发挥房地管理职能,房地局作为房地产行政管理部门,对其治安防范责任落实与否负有监督和检查的职能,责无旁贷。我们要从实践“三个代表”,提高执政能力和落实“让群众高兴,让党放心”要求的高度,做好行政管理工作。房地局作为物业管理企业的行业主管部门,应督促、指导物业公司做好居民区内治安防范工作,对措施不力,造成不良后果的物业公司,应依照有关规定进行批评教育甚至处罚。
我们要发挥房屋协管员队伍的作用,房屋协管员队伍既是市政府“万人就业工程”的项目之一,更是房地行政职能在社区管理中的延伸和强化,也是房地专业执法队伍的补充。房屋协管员的职能之一,就是督促物业公司加强物业保安巡视力度,提高物业保安工作成效,所以要充分发挥这支队伍在治安防范工作中的重要作用。
我们要配合公安部门以居住物业小区经理记分工作为抓手,根据《上海市居住物业小区经理记分试行标准》的相关规定,对物业保安工作抓的不得力的,对小区经理给予扣分处理。同时我局在收到派出所开具的《物业保安检查告知书》后,将视违规情节,对小区经理予以扣分处理,并督促物业公司落实整改措施。对小区经理实行记分是我局根据市房地资源局文件精神,结合我区物业保安管理工作的实际情况进行管理的抓手之一,旨在通过强有力的制约措施,督促物业公司对保安工作这一关系到全体小区居民生命财产安全的重大问题予以应有的重视,并及时捉补遗漏,消除小区的安全隐患。此外,我们要将物业保安工作作为房地行政部门对物业企业资质和从业人员资格的日常管理的重要内容,实行治安一票否决制,对治安不达标及产生发现问题拒不整改的情节,作为物业管理企业资质升级的一项重要审批依据,以确保将物业治安工作的管理纳入房地行政部门法制化管理轨道。
1智能大厦保安监控系统的概念
1.1保安监控系统的作用
随着我国改革开放的推进,一批批适合信息社会需要并且具有安全、高效、舒适、便利和灵活特点的智能大厦拔地而起。
为了防止各种偷盗和暴力事件的发生和危害,确保大厦的安全,生命和财产不受损害,智能保安系统的设置是必要的。
随着科技的发展,新的犯罪手段对保安系统也提出了新的要求,在信息时代的今天,对钱、财物、人身安全的保护是一方面,而对储存在计算机里的大量的重要文件、数据,更需要保护。
在一个智能化大厦内,不仅对外部人员要防范,对内部人员也需要加强管理;对某些重要的地点、物品,以及重要的人物也需要特殊的保护。因此,对现代化的大厦,需要设置多层次、立体化的保安系统。
1.2保安监控系统的等级
1.2.1确定防护等级
(1)相关规范
《安全防范工程程序和要求》GA/T75一94
《安全防范系统通用图形符号》GA/74一94
《民用闭路监视电视系统工程技术规范》GB50198-94
根据上述规范,结合安全防范的风险状况和工程实际情况,从而综合确定安全系统达到的防护等级。(2)安全技防系统的种类
周界报警系统;
玻璃破碎报警装置组成的大厦外墙的警戒系统;
电视监控系统(图像复核系统);
入侵移动探测报警系统;
音频监听系统(声音复核系统);
强光照明系统;
(3)安全防范等级及主要配置(按四级划分)
A.四级防护安全防范系统
营业场所(指银行)的门、窗应设开关式报警装置(如门磁开关);
设置手动或脚踏式紧急报警装置和联动警铃;
报警信号应送保安值班室及附近公安机关。
B.三级防护安全防范系统
与四级防范系统装置相同;
设置空间立体防范系统:设空间(室内与走廊)入侵探测器;
中心控制设备具有监昕复核(录音)功能,记录报警发生的时间、士也点;
对营业室、主通道设电视监控
报警系统与公安报警网。
C.二级防护安全防范系统
与三级防范系统装置相同;
电视监控设备具有自动、手动切换功能,多画面显示功能;
对于实行柜员制的营业场所,应设一对一的摄录像装置;
密码控制由专人操作报警系统的启停、布防、撤防、旁路、复位等;
控制中心设备具有有线、无线及其互转换功能,保证报警信号准确且送往有关接警部门;
有条件的营业场所设人口控制系统,实行信息卡出入(门禁系统)。
D.一级防护安全防范系统
所选探测器应有两种及以上不同探测技术组成的入侵探测系统;
营业场所营业期长时录像。遇突发事件时,应自动启动照明、录音、录像;统);
设出入口控制系统,通过信息卡对主要分区的人员分级、分档管理;
中央控制室应能在接受报警信号同时立即识别部位、,性质(抢劫、盗窃、火灾、故障等),且在屏幕上显示、打印、记录、存储报警时间、地点、性质及处置预案;
其余与二级防范系统相同。
1.2.2保安监控系统的层次
(1)外部入侵保护:此部分是预防外部无关人员侵入,需相应设置周界、门窗、通道、出入口等的报警、复核等处置措施,防罪犯于区域之外。
(2)区域保护:此道防线是探测非法入侵此区域者,把信息送往监控中心,中心作出处理。
(3)目标保护:这道防线是对特定目标的保护,如保险柜及重要房间。
2保安系统的结构
在科技发达的今天,再不仅仅是加锁、站岗、放哨等的传统防范设施。锁无论怎么坚固总可以被打开,精神抖擞的哨兵也有打盹儿的时候。在今天,利用现代计算机技术、现代通信技术、现代控制技术和现代图形显示技术(即4C技术)制造出智能防盗保安系统,各子系统独立发挥其功能,同时子系统间又集成为一个防范统二体,从而确保大厦的安全,营造一个极好的工作、生活环境。2.1出入口控制
2.1.1控制原理所谓的出入口控制就是对出人口的管理,该系统控制各类人员的出人以及他们在相关区域的行动,通常被称作门禁系统。其控制的原理是:按照人的活动范围,预先制作出各种层次的卡,或预定密码。在相关的大门出入口、金库门、档案室门、电梯门等处安装磁卡识别器或密码键盘,用户持有效卡或密码方能通过或进入。由读卡机阅读卡片密码,经解码后送控制器判断,如符合,门锁被开启,否则报警。
2.1.2持卡方式的特点
(1)卡的密码可随时从系统中取消,不怕丢失,不怕带走。
(2)卡的密码带有时间性,可预先设定有效时段。
(3)持卡人在所有出入口的活动都被计算机记录在案,可随时打印、分析。
(4)节省管理人员。使用计算机管理系统,在控制室就可以控制全部出入口。这样,不仅提高效益,节省人力,也避免了人为的失误、提高了保安效果。
2.1.3门禁系统的种类
有光学卡、磁矩阵卡、磁码卡、条码卡、红外线卡、铁码卡、感应式卡,以及生物辨别系统,如指纹机、掌纹机、视网膜辨识机、声音辨识机等等。从接触卡到非接触卡,从l00mm到几千mm的感应卡均被广泛采用。
上述各种卡对应着各种门禁机,门禁机主要有联网型和非联网型(独立型)。有单门门禁机,也有双门及四门、八门的门禁机。这使得门禁的应用非常灵活。配合门禁机还有门磁开关和按钮等。若干门禁机与门禁系统的从门控制器与主门控制器相连。门禁机和门控制器内部由计算机控制,门禁机所需电源常为DC12V,由门控制器提供,一般在控制器附近都设有电源AC220V50Hz/DC12V。
2.1.4门禁系统设置部位
对于综合性智能大厦而言,设置部位大致有:各重要办公室、金库、银行营业室、中央控制室、各通信、弱电机房等。
2.2防盗报警系统
2.2.1防盗报警器的作用防盗报警系统就是用探测器对建筑物内外重点区域、重要地点布防,在探测到非法入侵者时,信号传输到报警控制器:声光报警,显示地址,有关值班人员接到报警后,根据情况采取措施,以控制事态的发展。防盗报警系统除上述报警功能外,尚有联动功能。诸如:开启报警现场灯光(含红外灯)、联动音视频矩阵控制器、开启报警现场摄像机进行严视,电视矩阵控制器一系列联控:使监视器显示图像、录像机录像、多媒体控制器自动或人工操作等等这一切都可对报警现场进行声音、图像等进行复核,从而确定报警的性质(非法入侵、火灾、故障等),以采取有效措施。
2.2.2防盗报警系统的构成
智能建筑的防盗报警系统,负责建筑内各个点、线、面和区域的侦测任务。它一般由探测器、区域控制器和报警控制中心三部分组成。(1)探测器
探测器负责探测人员的非法入侵,有异常情况发出声光报警,同时向区域报警器发送信息。
开关:开关是基本、简单、经济而有效的探测器。常用的有:微动开关、磁簧开关两种。线路连接分常开、常闭二种。开关的闭合或开断,使电路导通启动警报。
光束遮断式探测器:目前用得较多得是红外对射式,它由红外线发射器和接收器组成。当罪犯跨越门窗或其它防护区时,遮断红外光而弓|发报警。为确保此类探测器的准确需配置频率和相位鉴别电路。
热感式红外探测器:也称被动式立体红外线探测器。它是利用人体温度来进行探测的。众所周知,任何物体,因表面温度不同,会发出强弱不等的红外线,即辐射出的红外线波长不同。人体所辐射波长约10μm,这一特性被用来制造热感式红外探测器。其中焦电式具有最佳的灵敏度和响应速度。故目前用得较普遍。其上设有7~15问n波长的带通滤波器。以屏蔽非人体红外波,确保报警准确。
微波物体移动探测器:利用微波设备对移动物体(含人)发射和反射频差的多谱勒效应,即可探测出人的入侵。
超声波物体移动探测器:与微波移动探测器类似,但波长有差别,超声波频率常在20KHz以上。
侦光式移动探测器:必须在有光线的环境中才能使用,其原理是利用二个光电池组成差动探测装置,能探测出周围光线的微量变化。
玻璃破碎探测器:它是利用压电式拾音器,装在面对玻璃面的位置,它对玻璃高频声有效检测、报警,已广泛用于门窗防护上。
还有其它一些类型探测器,此处从略。
(2)区域报警器
通常一台区域报警器能容纳8个回路的输入信号,经处理,信号送往电视监控系统的视频矩阵切换控制器,以实现联动控制。在一般的系统中,区域报警器≤8台,即≤64个回路,当多于64个回路时,需改用微机控制的报警系统。
(3)报警控制中心
报警控制中心,通常和电视监控中心合设。其功能是通过控制键盘查看系统工作情况,突发事件的报警可在监视屏上自动弹出报警部位,并记录时间和地址。目前,部份产品在中心设报警输入卡,容量为128路/块,根据需要可增高至2048个点。报警插入卡与CCTV控制器的连接是RS232口。
2.3闭路电视监视系统
在保安系统中越来越多的应用电视监控系统。它使管理人员在控制室便能看到大厦内外重要地点情况,给保安系统提供视觉效果,为消防、楼内各机电设备的运行及人员活动提供了监视手段。
2.3.1闭路电视监视系统的基本结构
依功能基本结构可分为:摄像、传输、控制和显示与记录四部分。
(1)摄像机
摄像机是监视系统的重要部件。而大量采用电荷稠合式CCD(charge一cowpleddevice)摄像机。摄像机色彩有黑白与彩色之分。根据用途和经济状况选取其一。摄像机的靶面大小用1/3、1/2、2/3寸来表示。在选镜头时要注意配合二者的尺寸。
摄像机有PAL、NTSCK和SECAM三大制式,中国选用PAL制式。选取摄像机时,还需考虑照度要求,如需要可选取红外灯饰。
(2)镜头
设计中镜头的选择同摄像机的选择是同等重要的。选择镜头的依据是观察的视野和亮度变化的范围,同时兼顾CCD摄像机的尺寸,它们之间的关系是:视野决定用定焦距还是变焦距的镜头,定焦距取多大焦距,变焦距选择什么范围,亮度的变化决定是否使用自动光圈镜头。
清晰度:是镜头的重要指标。想成像清晰,则分辩率要高,即在单位长度上能分辨的黑白条纹数大,一般用公式求得:
N=180/h
N----镜头分辨率(对线/厘米)
h----画幅格式的高度(厘米)
通常1/2"画幅4.8x6.4(mm2)N=38对线/mmh=4.8mm
1/3"画幅3.6x4.8(mm2)N=50对线/mmh=3.6mm
镜头的尺寸:目前有1、2/3、1/2、1/3和1/4寸等。一般镜头与摄像机同尺寸或镜头尺寸大于摄像机尺寸。
焦距:镜头的焦距和摄像机靶面大小决定了视角。靶面(摄像机靶面)一定,焦距短,则视野大,焦距大,则视野小。用w·h分别表示CCD靶面的宽度、高度,f为镜头的焦距,那么可求得视角值。
Qh=2tan-l(w/2f)(0)水平视角
Qv=2tan-l(h/2f)(0)垂直视角
光通量F:光通量指示光线入镜头的多少,是焦距与通光孔径的比值F=f/φF光通量(无量纲);f一焦距(mm);φ----通光孔径(mm),镜头规格中常标注最大F值,如6mm/F1.4,此镜头通光孔径为4.29mm。光线变化较大场合(如室外)需自动光圈镜头。
总之影响摄像效果的有六大因素:被摄物尺寸、被摄物细尺寸、被摄物与摄像机镜头的距离、摄像镜头的焦距、光学接收器的尺寸(靶尺寸)、镜头及摄像系统的分辨率。设计中要综合考虑。
(3)信号传输
视频信号的传输:传输方式有一般同轴电缆、平衡对电缆、电缆电视同轴电缆、光缆、电话线等,国产SYV-75-2~75一33-2的波阻抗为750,电容不大于76PF/m,30MHz时的衰减不大于0.86dB/m。
控制信号的传输:控制中心要对现场的设备进行控制,一般都通过设备解调器进行。常用的控制方式有:通信编码的控制方式和同轴视控。前者是把控制信号串行编码:用单根线路传送多路控制信号。其控制距离可达1km,如中间加放大处理,可达10km以上,如利用光缆,则距离会更远。后种方式即同轴视频控制方式,这种方式是视频和控制信号复用一条同轴电缆。此种方式也有二种办法,其一,是把控制信号调制在与视频信号(50Hz~4MHz)不同的主页率范围,然后与视频信号复合在一起传输,到现场再把它们分解开(解调)。其二,是利用视频信号场消隐期间传送控制信号。目前使用第一种。
(4)显示与记录
此类设备包括监视器、录像机及视频处理设备,这些设备都安装于控制室内。目前监视系统专用录像机用普通带l80分钟可录如,最长可达960h。除了长时外,录像机还需遥控功能,能用控制信号操作录像机。
(5)视频切换器
视频切换器的使用,可用少量监视器看多个监视点,目前设备有几路输入,1路输出,还有几路输入,m路输出,这极大地提高了监视器的效率。
还有多画面分割器二在一台监视器上同时可观看多路监视信号,此技术在控制中心也被普遍采用。
2.4停车场管理系统的保安功能
一般的智能大厦地下室均设有停车场,对停车场进行自动化管理是必要的,停车场管理系统的功能大致有:出、人口控制、泊车位导向、摄录车辆外形、特征、牌号、记时收费。其中车牌影像识别系统具有保安功能,它可防止偷车事件发生。当用户人场取票或使用月票、储值票时,电脑会通过人口处的摄像机,将车型、车牌号码的彩像记录,同时也记录下该入场票或月票、储值票的编号。当用户离场付费或验票时,电脑会自动将该车编号票证持有者拥有的车辆的车牌、车型等与在入场时留下的录像的车牌、车型等同时显示在显示屏和闭路电视监视器上,工作人员确认后,自动开启闸门放行,同时这些图像存入计算机硬盘备查。
2.5电梯控制系统的保安功能
对于高层或超高层,电梯控制系统的保安管理显得重要。某种程度上涉及到全大厦的安全。
保安功能:电梯楼层控制系统。大厦的电梯根据需要设置时段管理,如下班后某些电梯停止运行,而另一些电梯按需要运行。在运行的电梯中并非各层都停,而是根据持有有效卡所前往的楼层停,这部分电梯设有智慧卡读卡器,经读卡器识别有效卡,电梯送达相关楼层。无有效卡者,电梯不予开门,这便有效的控制了楼层人员的活动空间。从而确保大厦安全。
2.6巡更管理系统
智能大厦根据需要设置巡更管理系统。其作用是保安人员定点定时前往巡视,把“巡视到位"信号送回保安中心,以示巡更路途平安无事,若“巡视到位,,信号未按时按点返回,则巡视途中即有突发事件发生,保安中心将据此采取措施。
巡更系统就是将巡更开关安装在指定的巡更点上。通常设置门禁机来满足巡更的要求。
3智能大厦保安系统的具体实施
保安系统的实施,首先应根据相关规范及大厦功能要求确定安全防范等级,在此基础上,布置安防系统现场设施,确定规模、选型、安装调试、15f丁。
3.1门禁系统
3.1.1门禁机(读卡器)的设置
根据需要在门外设置(含房间、楼梯间、通道等)距地1.2~1.3m选型一般为感应卡式,根据重要性可选指纹型或瞌孔型门禁机,可双面门禁,也可单面门禁(室内设出门按钮)。
3.12从控制器
门禁机和门禁主机的连接设备,根据需要从控制器可连一、二、四、八个门禁机。从控制器电源设备选定:AC220V50Hz/DC12V,l-5A。
3.1.3主控制器
主控制器由计算机硬件和软件组成,安装于中央控制室。其中包含各种控制扩展板,遥控程序设置器,机上显示板,数据存储转移模块等。
3.1.4巡更系统读卡器
读卡器(读头)就是门禁机(巡更开关)。此部分可纳入门禁系统一并设置。
3.1.5电梯门禁系统
前已述及,在部分电梯设置读卡器,持有效卡可前往相关楼层。
3.1.6特别说明
(1)智能大厦可实行-卡通门禁管理,还可进入-卡通消费系统。
(2)门禁系统应能在火灾时自动开启相应的门。可利用火灾联控装置来完成此功能。
3.2防盗报警系统
3.2.1各种探测器的设置
根据需要把防盗双鉴探测器、被动红外束射探测器、玻璃破碎探测器、各种开关等布置于大厦出入口、楼梯间、电梯厅、需要防护的门窗、重要办公室、重要机房等场所。按照不同的布设环境选择不同报警器和安装方式(如壁挂、吸顶)。
3.2.2声音复核装置的设置
在需要声音复核的场所设置微型监听器(电子监听器),一般采取壁挂方式距地2m左右,监听器与音频矩阵箱间线路多为二芯屏蔽对绞线,如RVVP2×0.5mm2。在控制中心设有音频矩阵箱,该箱与视频切换/控制主机间采用RS485接口,采用对绞线RVVP2×0.5mm2连接。
3.2.3报警控制中心设置
在小容量系统(路数≤64):通常按分区设置八路报警接口箱,八台箱使回路可达64个。报警头与报警接口箱间,通常为3芯屏蔽线,RVVP3×0.5mm2。报警接口箱与视频切换/控制主机间采用RS-485串行接口,对绞线RVVP2×0.5mm2。
当系统≥64回路时,有两种解决方案:
其一:选择大容量系统,该系统配置128路报警输入卡,系统容纳8~16台报警输入卡,则容量可达2048路报警。如还不够,可多系统组合。
其二:采用门禁/报警管理系统。系统参数:持卡人数65000;门禁机16320;报警防区(路数)130560;报警输出130560;本地打印机225台;报警状态屏1020个;且支持计算机间加密传输技术……。各设备间连接方式为RS-232/RS一485接口,对绞屏蔽线RVVP2×0.5mm2。
3.3闭路电视监视系统的设置
3.3.1摄像机的设置
根据不同环境选定不同摄像机以及不同的安装方式,如摄像机是黑白的还是彩色的,镜头配置的选择,焦距多大范围,自动调焦、光圈、聚焦是手动调节,固定焦距,摄像和镜头尺寸的配合,是否设置云台,安装方式的确定,是否选择球型、半球型摄像机(尺寸的确定),在大厅和电梯轿厢内选择广角镜头,摄像机防护罩的选取、照明灯具的选取等都随功能的不同而异。
摄像机(含镜头)的控制:由控制器解码器完成。解码器因功能不同而种类很多,但都是在接收矩阵主机传来的信号后去遥控云台,镜头和辅助设备的动作。解码器与矩阵/控制主机间的连接有二种方式:“C'''',型(同轴控制)和“D型"(对绞线控制)。前面已述及,同轴控制“C?quot;因设备造价高昂而应用较少。对绞线控制“D型",即RS485方式可控距离达3km。且这种方式可用于光纤、微波以及其它传送方式。
特别提示:保安监控系统的线路因现场设备安装位置一般是在走廊、大厅和房间的上部,有的紧贴吊顶,而且同轴电缆和对绞线也较便宜L运行管理独立,所以一般不宜与大厦综合布线电缆合用。当然其它数据、图像的传输就另当别论了。
3.3.2中央控制室的设置
为了保安工作的方便,一般中央控制室随保卫部门设于大厦首层。其设备主要包括:视频矩阵切换/控制主机,报警接口箱,音频矩阵箱,字符发生器,录像机,主控键盘,副控键盘,音视频监视设备,多媒体终端以及电源设备等。
一、转变观念,提高认识。过硬的队伍需要优秀的企业理念,需要队伍的管理者与时俱进的管理意识。对于保安队伍来说,有一支优秀的管理队伍,才会有一支出色的保安队伍。作为管理人员一定要提高自己思想意识,规范自己的行为,从点滴做起,树立“先做人,后做事”的理念,尊重保安员、信任保安员、要求保安员、依靠保安员,以平等的态度对待保安员,实行保安队伍的文明管理。
二、民主管理,群策群力。保安员是队伍管理的主体。有组织地发动保安员参加保安队伍建设管理,也是新时期保安队伍管理的重要方法。管理者依靠保安员实行民主管理,会耳聪目明,力量倍增。反之,则盲人骑瞎马,事事无知。充分发扬民主是管理工作坚实的基础。保安员中蕴藏着极大的智慧和才能,保安员是队伍管理中的基础,新时期保安工作强调民主管理有着特殊的重要意义。
俗话说得好:“一个好汉三个帮”、“三个臭皮匠顶个诸葛亮。实行民主管理,有利于拓宽管理的路子,开阔管理的视野,解决了“一言堂”管理的不足。要积极鼓励和发动保安员献计献策,发挥出集体的智慧,调动整体的力量搞好安全防范工作。民主管理有利于激发保安员的工作热情,增强工作积极性,调动主动性,去除盲动性,密切管理者和被管理者的关系,加强团结,产生凝聚力。
三、实施制度,重在执行。检验企业的制度是否完善到位,关键要靠执行力度。执行力才是制度成败的关键。作为保安队伍,是企业各项规章制度最坚定的执行者,肩负起企业财产安全和人身安全的重要责任。管理人员更要明白肩上的担子和责任,首先在工作中严格要求自己,以身作则,大胆管理,以实际行动去引导和要求保安员,将企业的各项规章制度和任务落在实处,遇事不敷衍,不推卸,及时发现问题和解决问题。执行力要求管理人员首先具备预察危机的潜力,及时了解企业与员工的最新动态,看出存在问题的征兆,看清企业发展的行情动向,正确领会和执行;执行力要求管理人员必须具有超前的思维和现代管理新理念,提高工作效率,责任心强,有较强的组织和控制能力,执行时要做到计划先行、切实有效、率先垂范,并牢固树立以企业的安全和发展为己任,为目标,确保执行力的成功和到位。
四、攻防结合,强练精兵。“工欲善其事,必先利其器”。加强保安队伍的专业化培训刻不容缓。保安队伍要抓住整合管理的优势,把分散的力量集中起来形成一个有力的拳头。为了提高保安员的综合素质和能力,要在培训上下足功夫,培训的内容包含“文武”两个方面。“文”指保安员不仅要学习企业的各项规章制度外,还要学习礼貌礼仪、法律法规;“武”指各项综合技能训练:包括队列训练、体能训练、擒拿格斗、消防训练、应急预案演习等。要逐步把保安队伍打造成一支特别能吃苦,特别能奉献,特别能战斗的队伍。
五、注重细节,务实工作。做工作不能光纸上谈兵,而要注重实际和落实,要把每一项工作都做细做好,这需要付出很大的认真和努力。细节决定成败。要将务实的工作作风和精细的工作态度贯穿到工作的每一个角度,每个保安员要把对细节的要求贯穿于日常的工作学习中,向细节要效率,向细节要成效,把保安工作推向更高台阶。
2加强油田安全环保管理的措施
2.1在油田安全环保过程中,要不断加大宣传,注重培训,使得安全发展理念深入人心
在油田开采过程中,始终要坚持“安全第一,以人为本”的理念,并且要树立“生命和健康高于一切”的安全观,从而能够保证员工的生命安全。在开展各项工作的过程中,要大力开展安全生产宣传教育、安全生产执法以及安全生产治理等工作,从而使得员工的安全意识得到提高。与此同时,要不断加强以及完善相关的体系建设、安全生产保障能力建设以及安全文化素质建设的工作,从而能够为员工营造一个良好的安全生产氛围,大力推进“班组自主化管理”工作,从基层员工培养主动预防的安全文化人手、从岗位上主动消除隐患,这样做不仅能够提高员工的安全意识以及员工的安全综合素质,而且能够使得安全发展理念更加深人每一位员工的心中。在油田开采的过程中,要通过不断强化安全培训,从而能够使得员工的安全生产素质得到提高。
2.2建立安全长效机制,使得安全管理工作有章可循
在开展油田环保工作的过程中,要紧密结合当前的环境,并且要认真贯彻上级的安全生产工作的要求,紧扣上级的安全部署,从而促使安全管理工作向着规范化的方向发展。在建立安全长效机制的时候,要进一步完善应急体系,从而要不断推进企业的安全文化建设以及安全标准的顺利执行,最终能够使得广大员工的生命健康得到保障。目前,随着管理机制的转变,这就使得原来的管理机制已经不能够满足现在安全管理的需要,所以,油田企业要不断进行创新以及不断更新自身的安全管理体制,最终使得油田的安全管理工作向着制度化、程序化以及规范化的方向发展。与此同时,在不断完善管理体系的过程中,要不断加快安全长效机制,从而能够促使油田向着健康化的方向发展。除此之外,在建立安全的长效机制的时候,要进行合理的投人,减少资金的浪费,从而能够保证油田的安全生产[3]。
2.3不断提高安全环保水平
为了能够提高油田的安全环保水平,这就要在施工之前、施工过程中以及施工后进行合理的监督,确保油田工作的安全进行。在油田环保工作施工之前,相关的负责人员要做好风险评价以及危害识别的工作,确保油田环保工作的顺利开展。在油田环保工作施工的过程中,要落实相关的安全防范措施,并且要坚持“谁的工作谁负责”的原则,从而能够将安全责任落实到位。在进行安全生产考核的工作中,要不断加大奖惩力度,从而能够督促每一位员工对待工作要认真负责。在油田环保工作施工之后,相关的监管部门要对环保工作的各个环节进行监督,以便各个环节的质量得到保证。对于那些老化的设备以及设施,要不断加快治理速度,从而使得设备能够满足油田环保工作的需要。为了能够使得油田环保工作的顺利进行,要建立一支高素质、负责人的环保队伍建设,并且要不断完善环保组织机构,确保油田环保工作的正常进行。
大连市委、市政府高度重视农民工问题,采取一系列政策措施,着力解决农民工劳动工资、安全卫生及社会保障问题,取得了很好效果。农民工劳动安全卫生与社会保障问题,不仅仅是经济问题,也是事关社会和谐稳定的政治问题,必须从贯彻落实科学发展观、统筹城乡发展,坚持以人为本、维护社会公平正义的高度,从完善社会主义市场经济体制、推进和谐大连建设的现实需要出发,高度重视、妥善解决农民工劳动安全卫生与社会保障问题,加快构建农民工安全保障体系,实现经济社会协调发展。
创新工作机制推进农民工安全保障体系建设近年来,大连市安全生产监管局认真贯彻落实大连市委、市政府的部署,会同各有关部门,努力创新工作机制,不断探索解决农民工劳动安全卫生的突出问题。
一是从规范外来施工队伍和外来劳务人员治理入手,探索农民工安全保障新模式。我们针对新时期企业劳务合作关系、生产组织方式的新变化,安全生产面临的新情况、新问题,积极探索保障农民工安全的方法和途径。一方面是政府出台政策规章,规范劳务派遣、外来务工人员安全治理,从宏观上、制度上为农民工提供安全保障。另一方面,加强监管,从前置条件入手,严把安全准入关。实行劳务公司、外协队伍审查、备案制度,对劳务公司、外协队伍的企业资质、人员安全资格与培训,以及缴纳工伤保险情况等进行审查备案。同时,定期或不定期进行检查,保障农民工劳动安全与职业卫生权益。非凡是针对一些大型装备制造、修造船等企业使用农民工比例较高的实际,采取强化外来施工队伍安全资质审核、人员安全培训,建立与项目承包额挂钩的安全业绩考核机制,实行安全风险保证金制度等措施,不断完善农民工安全保障体系。
二是建立完善农民工培训考核机制,大规模、全方位实施农民工安全教育培训工程。一方面,从普及安全基础知识入手,抓好农民工日常宣传教育工作。大连市安全生产监督治理局组织编辑出版了《安全常识读本》,采用通俗的语言、有趣的漫画、生动的事故案例,让农民工把握最基本的安全常识和操作规程;另一方面,有计划、有步骤地开展集中教育培训工作,力争用3年时间,全市90%以上农民工接受正规安全培训,到2010年,初步形成一个符合安全保障要求、富有地方特色的农民工安全培训体系和培训机制,预计到今年年底农民工培训率将达到30%。在不断扩大农民工培训覆盖面的同时,我们将逐步实行限制录用制度,强制用人单位对农民工进行培训。计划到2008年上半年,高危行业农民工必须持有大连市安全生产监管部门签发的《安全培训合格证书》方可上岗;到2009年底前,全市所有行业农民工必须持证上岗。为确保这一强制性措施的落实,安全生产监管部门将适时组织有关部门开展联合执法活动,发现未经培训上岗或培训不符合要求的,强制用人单位限期整改、停产整顿,直至依法关闭。
三是推动构建适合农民工特点的社会保障机制,全力维护农民工劳动安全卫生权益。农民工社会保障问题与劳动安全卫生息息相关,社会保障是劳动安全卫生保障系统的重要支撑。目前大连市陆续制定出台了农民工工伤保险和医疗保险实施办法。按照这一办法,农民工工伤保险参保更加方便,待遇支付更加灵活,在外地注册、大连进行生产经营的用人单位,可在大连市参保,因工伤亡或致残的农民工,可自主选择一次性和定期待遇支付方式等,既方便了农民工参保,又尽可能地保障了农民工的权益。同时,劳动保障部门大力实施“平安计划”,确定用3年时间,把来连务工的农民工全部纳入工伤保险覆盖的总体目标。目前,通过积极努力,全市共有22万农民工参加了工伤保险,占全市有相对稳定劳动关系农民工的60%以上,远远高于全国的平均水平。在推进农民工社会保障机制建设的同时,大连市各级工会组织高度重视,针对农民工劳动安全卫生权益保护热点问题,全力构建农民工维权体系。大连市总工会通过组织推行基层工会劳动保护监督检查员制度、劳动安全卫生和伤亡补偿接待制度,采取设立农民工维权窗口,开展包括送安全在内的“五送”系列活动等有效措施,有效地维护了农民工的劳动安全卫生权益。
从深层次解决农民工劳动安全卫生权益问题
通过强化政策引导、制度落实、加强监管等有效措施,探索解决农民工劳动安全保障问题,取得了初步的成效,但制约农民工劳动安全卫生保障的深层次问题尚未解决,假如长期以来城乡分割的二元结构体制不打破,相关的法律、法规不健全,政策、法制不完善,农民工劳动安全卫生权益缺失的问题就不能从根本上解决。必须不断通过改革发展的途径,采取综合措施,系统解决这一问题。
1.进一步完善体制、机制,确保农民工包括劳动安全卫生在内的各项权益的完整性。积极推动劳动就业制度、户籍制度、社会保障制度三项制度改革的步伐,建立城乡统一、平等竞争的劳动力市场和就业服务体系,实行适合农民工特点,符合国情的农民工社会保障办法,完善全国社会保险网络和机制,尽快实行城乡一体的全国社会养老保险“一卡通”制度,使其更好地适应农民工正常流动的需要。要按照市委十届三次全会的部署,积极探索构建缴费低、广覆盖、可转移、能衔接的农民工养老保险新模式,为保障大连市农民工劳动安全卫生权益提供更有力的支撑。
2地理国情普查项目保密范围
2.1保密文件。地理国情普查项目涉及到的保密性文件包括:各种技术规定;技术设计;技术总结;实施方案等。
2.2测绘资料。包括:国家等级控制点坐标成果;1:1万、1:5万国家基本比例尺地形图;国家局100万流域数据;地理国情相关的交通、水工、社会经济、自然地理等方面的专题资料。
2.3测绘成果。包括:有关地理国情普查的各种调绘底图、电子数据等。
2.4介质。包括:计算机、移动硬盘、复印机、传真机等。
3地理国情普查项目保密要害部门管理
建立保密要害部门岗位责任制,国情保密文件管理设专人负责。设专职保密员,保密员要政治合格、业务精湛、工作负责。保密要害部门要防火、防盗、防霉、防蛀。定期向保密委员会汇报保密工作情况,接受相关人员的监督、检查和指导。建立健全国情保密文件借阅、接收、传递、保管以及各项登记手续。国情保密文件存放地要防火、防盗、防霉、防蛀。不在无保密保障的场所阅读、存放国情保密文件。任何人不得擅自摘录、复制国情保密文件内容,确因工作需要的,要有保密委员会或主管领导批准,并视同原件管理。
4国情项目保密宣传教育培训
制定国情项目保密宣传计划,宣传内容主要是保密工作的方针、政策、法规。保密领导小组要对职工进行经常性的保密教育,及时向职工传达上级指示和会议、文件精神。教育职工自觉遵守保密法规,不断提高职工的保密法制观念。做好人员的培训工作。
5国情项目失泄密报告
如发生泄密事件,应立即向保密领导小组报告。保密领导小组接到报告后应迅速查明被泄露的内容和密级、造成或者可能造成危害的范围和严重程度、事件的主要情节和有关责任者,及时采取补救措施,并在24小时内报告上级机关。
6国情项目奖惩制度
6.1凡有下列表现之一的给予表扬或奖励:
a.对泄露或盗取项目秘密的行为敢于斗争或及时检举者。
b.发现他人泄密或可能泄密时,立即采取措施,从而避免或减轻损害程度者。
c.一贯忠于职守,从事保密工作事迹突出者。
d.表扬指精神鼓励,奖励指发给一次性奖金、提职、晋级等。
6.2凡有下列表现之一的给予处罚:
a.泄露国情项目测绘成果造成严重后果者。
b.擅自向外扩散国情项目测绘成果者。
c.擅自复制国情项目测绘成果者。
d.国情项目测绘成果使用完毕后不及时上交,长期留存在自己手中者。
e.利用职权强制他人违反保密规定,从而造成损害国家利益者。
f.泄密事件发生后,不报、瞒报或故意拖延报告时间,造成严重后果的有关单位、部门责任人。
g.处罚指批评教育、调换岗位、罚款、降职、降级、警告、严重警告、行政免职、辞退、开除、追究法律责任。
h.触犯法律,构成犯罪的由司法部门追究法律责任。
7安全生产管理机构的设置
设立安全生产委员会,委员会应贯彻执行《安全生产法》和上级主管部门有关安全生产的方针政策和法规;负责安全生产的宣传、教育、培训工作;研究部署、指导协调地理国情普查项目的安全生产工作;制定和完善院安全生产管理制度和督导检查各部门的安全生产工作;对违反安全生产管理制度和操作规程造成事故的责任者追究责任,并依据责任的大小给予批评教育,行政处分,直至追究法律责任;调查、处理和协助上级部门调查、处理安全事故。
8安全生产具体工作
8.1安全用电:办公电器设备由专人负责管理和使用,严格按操作规程作业,禁止在不工作的情况下通电运行,并做到随手关机,人走断电;生产、办公电器设备外,其它电器不得使用;严禁职工个人使用自备的各种电器(如电热加湿,电热取暖等)。
8.2车辆的安全管理:野外作业期间,严格遵守《中华人民共和国道路交通安全法》,服从交警管理,禁止酒后驾车;车辆要进行定期保养和检修;外出作业出车前要对车辆进行安全检查,不允许带故障出车;车辆要停放在安全可靠的地方,人离开车后要锁好车门,防止车辆被毁被盗;未经批准,驾驶员不得私自将车交给非本车驾驶人员驾驶;地理国情普查工作期间,严禁公车私用。
(一)保障体系不够清晰。由于不同种类的保障性住房依循的政策和分配制度不同,在缺乏住房保障顶层设计下,形成了保障性住房建设资源整合的体制障碍,普遍感到资金打通使用难、政策打通难,整个体制的系统性存在明显的缺陷。
(二)保障需求不够明确。目前,__市保障性安居工程建设年度计划主要依据都是从管理部门接受上级主管部门下达的任务角度出发,没有能从中低收入家庭的实际需求角度出发来建设保障性住房,导致按照计划建设的保障性住房在一定程度上存在供给与需求相脱节、资源缺乏统筹性等现实问题。
(三)保障面发展不平衡。由于市区和各县城镇居民人口数量不同,存在对各类保障对象比例预测不一致,同时县域经济保障状况不同,所规定的保障对象准入“门槛”标准不同等问题,对保障性安居工程建设数量不一,布局还不科学,发展不平衡等原因,从而造成有的县区需要保障对象多,轮候时间久。
(四)用地需求缺乏保障。根据中央“十二五”完成保障性住房覆盖面20%的要求,__市到2015年应建设各类保障性住房10万套。这同时也对保障性安居工程建设的用地提出了总量要求,但由于与城市规划衔接不够和形势变化较快等原因,实际执行效果并不理想。一是保障对象动态变化,缺乏科学预测。二是主城区用地紧张,副城组团建设缓慢。三是由于__市大部分县城都地处山区,建设用地非常紧缺,有的县已经到了一地难求的地步。
(五)综合配套设施滞后。__市绝大部分规模较大的保障性安居工程项目选址均在目前市政基础设施还没完全配套的城市稍边缘区域,这种建设模式导致城市基础设施建设和城市生活配套设施建设滞后的问题,从而影响经济适用住房的有效供应。
(六)项目建设资金来源单一。由于大部分县建设资金仍靠财政转移支付,使保障性安居工程配套资金严重短缺。有部分县的保障性安居住房虽然主体工程早已完工,但由于配套资金不到位,基础设施没完备而无法安排入住。
(七)保障模式创新不足。现行__市保障性住房主要采取实物分配形式,这种方式容易出现审查不到位、相关部门出具虚假证明、冒名顶替、依靠裙带关系等问题。同时,整个小区都集居低收入保障对象,导致社会阶层在空间上的分化与隔离。特别是那些远离中心市区保障房的规划布局,加大了低收入者的生活成本。
(一)明晰住房保障体系。为了提高保障性安居工程建设管理的规范性和持续性,建议尽快起草并下发实施《__市保障性安居工程建设和管理实施办法》,从文件规定层面对住房保障的惠及对象、供应标准、资金来源、运作方式、工作机构、保障措施、惩罚条款等进行严格界定,赋予住房保障建设管理部门相应执法权,成立执法机构,落实属地管理,完善多部门联合查处机制。
(二)加强保障需求研究。科学合理的保障性住房需求调查和预测是建设单位制定住房保障规划的依据。建议政府有关部门联合专业研究机构,建立住房保障需求调查分析档案和数据库,为安排今后的保障性住房建设类型、规模、布局等提供科学依据。在此基础上,及时编制和出台__市棚户区改造等住房保障规划,明确保障性安居工程建设用地、空间布局、配套市政设施建设等内容,并与土地供应计划做好衔接。
(三)强化土地储备管理。由于保障性安居工程建设前期工作报批环节多、周期长,建议提前做好保障性安居工程建设项目储备并落实到具体地块。国土资源部门要开通保障性安居工程建设用地审批绿色通道,简化审批程序,提高审批效率。
(四)科学合理布局项目。建议对已基本建成的大型居住区,加强查缺补漏工作,尽快完善配套设施。对正在建设的大型居住区,在完善居住配套设施规划的基础上,加快道路、给水、排水、供电以及公交车线路开通等基础设施建设,确保基础设施与保障性安居工程同时建成和交付使用。
1 引言
2010年以?恚?从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希?贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特?拉什、安东尼?吉登斯、沃特?阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程?矸治瞿谕獠看嬖诘姆缦找蛩兀?并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维?比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的 网络 化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速 发展 ,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以 科学 的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践 历史 来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、 科学 的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的 电子 文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全, 自然 安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的 总结 与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《 计算 机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的网络化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速发展,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以科学的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践历史来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、科学的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的电子文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《计算机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
