计算机信息系统分级保护方案
方案
1系统总体部署
(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX 系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护
总体物理安全防护设计如下:
(1)周边环境安全控制
①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:
(2)要害部门部位安全控制
增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。具体防护措施如下表所示:
表1-2 要害部门部位安全建设
(3)电磁泄漏防护
建设内容包括:
①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《安防管理制度》以及《电磁泄漏防护管理制度》,使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。
2.1 红外对射
(1)部署
增加红外对射装置,防护边界,具体部署位置如下表:
表1-1 红外对射部署统计表
部署方式如下图所示:
图1-2 红外对射设备
设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略
红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。设置合适的响应时间,以10米/秒的速度来确定最短遮光时间;设置人的宽度为20厘米,则最短遮断时间为20毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略
红外对射设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.2 红外报警
(1)部署
增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:
设备形态如下图所示:
图1-3 红外报警设备
部署在两处房间墙壁角落,安装高度距离地面2.0-2.2米。
(2)第一次运行策略
红外报警24小时不间断运行,设置检测37℃特征性10μm波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略
红外报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.3 视频监控
(1)部署
增加视频监控装置,对周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:
表1-3 视频监控部署统计表
设备形态如下图所示:
图1-4 视频监控设备
视频监控在室外采用云台枪机式设备,室内采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。设备形态如下图所示:
图1-5 硬盘录像机
(2)第一次运行策略
视频监控24小时不间断运行,设置视频采集格式为MPEG-4,显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略
视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.4 门禁系统
(1)部署
增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:
表1-4 门禁系统部署统计表
部署示意图如下图所示:
图1-6 门禁系统部署方式
(2)第一次运行策略
对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略
门禁系统由公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.5 线路干扰仪
(1)部署
增加8口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:
设备形态如下图所示:
图1-11 线路干扰仪设备
(2)第一次运行策略
在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。
(3)设备管理及策略
线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决传输线路的电磁泄漏发射防护相关风险。
2.6 视频干扰仪
(1)部署
增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密终端部署,将该设备进行接地处理。、
具体部署位置如下表:
表1-7 视频干扰仪部署统计表
设备形态如下图所示:
图1-12 视频干扰仪设备
(2)第一次运行策略
设置设备运行频率为1000?MHz。
(3)设备管理及策略
视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决信息设备的电磁泄漏发射防护相关风险。
2.7 红黑电源隔离插座
(1)部署
增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。
具体部署位置如下表:
产品形态如下图所示:
图1-13 红黑电源隔离插座
(2)运行维护策略
要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。
(4)部署后解决的风险
解决信息设备的电磁泄漏发射防护相关风险。
3 网络安全防护
3.1 网闸
使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交换。
(1)部署
部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下:
图1-8 网闸部署拓扑示意图
(2)第一次运行策略
配置从属中心访问主中心的权限,允许从属中心特定地址访问主中心所有服务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户SQL server数据库服务器,禁止其他所有访问方式。配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。配置系统使用Https方式管理,确保管理安全。
(3)设备管理及策略
网闸设备按照《网闸运维管理制度》进行管理。
a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责网闸设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。
3.2 防火墙
涉密信息系统采用防火墙系统1台进行边界防护,用于涉密信息系统网关的安全控制、网络层审计等。防火墙系统部署于从属中心。原有防火墙部署于主中心,不做调整。
(1)部署
使用防火墙系统限制从属中心终端访问机密级服务器的权限,并且记录所有与服务器区进行交互的日志。防火墙的eth1口、eth2口设置为透明模式,配置桥接口fwbridge0 IP地址,配置管理方式为https方式,打开多VLAN开关,打开tcp、udp、ICMP广播过滤。防火墙的日志数据库安装在安全管理服务器上。部署拓扑示意图如下:
图1-9 防火墙部署示意图
(2)第一次运行策略
防火墙上设置访问控制策略,并设定不同用户所能访问的资源:
a、允许从属中心授权用户访问软件配置管理系统。
b、开放系统内所能使用到的端口,其他不使用的端口进行全部禁止访问限制。
c、可以依据保密办相关规定设定审查关键字,对于流经防火墙的数据流进行关键字过滤。
d、审计从属中心用户和服务器区域的数据交换信息,记录审计日志。
e、整个防火墙系统的整个运行过程和网络信息流等信息,均进行详细的日志记录,方便管理员进行审查。
(3)设备管理及策略
防火墙系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。防火墙的日志系统维护,日志的保存与备份按照《防火墙运维管理制度》进行管理。
a、由信息中心管理防火墙设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对防火墙设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责防火墙设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责防火墙设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
原有防火墙保证主中心各Vlan的三层逻辑隔离,对各安全域之间进行访问控制,对网络层访问进行记录与审计,保证信息安全保密要求的访问控制以及安全审计部分要求。
3.3 入侵检测系统
使用原有入侵检测设备进行网络层监控,保持原有部署及原有配置不变,设备的管理维护依旧。此设备解决的风险为对系统内的安全事件监控与报警,满足入侵监控要求。
3.4 违规外联系统
(1)部署
采用涉密计算机违规外联监控系统,部署于内网终端、涉密单机及中间机上。的违规外联监控系统采用
B/S构架部署,安装1台内网监控服务器、1台外网监控服务器,安装645个客户端,全部安装于内网终端、涉密单机以及中间机上。部署示意图如下。
图1-1 违规外联系统部署示意图
(2)第一次运行策略
系统实时地监测受控网络内主机及移动主机的活动,对非法内/外联行为由报警控制中心记录并向管理员提供准确的告警。同时,按照预定的策略对非法连接实施阻断,防止数据外泄。报警控制中心能够以手机短信、电子邮件两种告警方式向网络管理员告警,其中手机短信是完全实时的告警,非常方便和及时。
(3)设备管理及策略
违规外联监控系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。违规外联监控系统的日志系统同时维护,日志的保存与备份按照《违规外联监控系统运维管理制度》进行管理。
a、由信息中心管理违规外联监控系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对违规外联监控系统报警服务器进行编号、标识密级、安放至安全管理位置。
c、信息中心负责违规外联监控系统的日常运行维护,每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责违规外联监控系统服务器的维修管理,设备出现问题,通知保密办,获得批准后,联系厂家负责设备的维修管理。
f、当系统出现新版本,由管理员负责及时更新系统并做好备份工作。
(4)部署后解决的风险
解决违规拨号、违规连接和违规无线上网等风险。
4 应用安全防护
4.1 服务器群组安全访问控制中间件
涉密信息系统采用服务器群组安全访问控制中间件2台,用于涉密信息系统主中心秘密级服务器、从属中心秘密级服务器边界的安全控制、应用身份认证、邮件转发控制、网络审计以及邮件审计等。防护主中心的XXX系统、XXX系统、XXX系统、XXX系统、XXX系统以及XXX门户;防护从属中心的XXX系统以及XXX 类软件系统。
(1)部署
由于主中心的终端之间以及从属中心内的终端之间数据流动均被设计为以服务器为跳板进行驻留转发,所以在服务器前端的服务器群组安全访问控制中间件系统起到了很强的访问控制功能,限制终端访问服务器的权限并且记录所有与服务器区进行交互的日志。服务器群组安全访问控制中间件的eth1口、eth2口设置为透明模式,启用桥接口进行管理。部署拓扑示意图如下:
图1-10 服务器群组安全访问控制中间件部署示意图
(2)第一次运行策略
服务器群组安全访问控制中间件上设置访问控制策略,并设定不同用户所能访问的服务器资源;设置邮件转发控制功能,为每个用户设置访问账号及密码,依据密级将用户划分至不同用户组中,高密级用户不得向低密级用户发送邮件。配置邮件审计功能,记录发件人,收件人,抄送人,主题,附件名等。配置网络审计与控制功能,可以依据保密办相关规定设定审查关键字,对于流经系统的数据流进行关键字过滤;审计内部用户和服务器区域的数据交换信息,审计应用访问日志。
(3)设备管理及策略
服务器群组安全访问控制中间件系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。服务器群组安全访问控制中间件的日志系统维护,日志的保存与备份按照《服务器群组安全访问控制中间件运维管理制度》进行管理。
a、由信息中心管理服务器群组安全访问控制中间件设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心分别对2台服务器群组安全访问控制中间件设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责服务器群组安全访问控制中间件设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责服务器群组安全访问控制中间件设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
解决对应用访问的边界防护、应用及网络审计、数据库安全以及数据流向控制,满足边界防护、安全审计及数据库安全等要求。
4.2 windows域控及补丁分发
改造原有AD主域控制器及备份域控制器。
(1)部署
的主中心以及从属中心均部署AD主域控制器及备份域控制器,共计2套,并建立IIS服务器,安装WSUS 服务器,提供系统补丁强制更新服务。将终端系统的安全性完全与活动目录集成,用户授权管理和目录进入控制整合在活动目录当中(包括用户的访问和登录权限等)。通过实施安全策略,实现系统内用户登录身份认证,集中控制用户授权。终端操作基于策略的管理。通过设置组策略把相应各种策略(包括安全策略)实施到组策略对象中。部署拓扑示意图如下:
图1-7 域控及WSUS部署示意图
(2)第一次运行策略
建立好域成员及其密码,将所有内网终端的本地账号权限收回,内网终端只能使用管理员下发的域成员用户登录系统。通过组策略指定不同安全域用户口令的复杂性、长度、使用周期、锁定策略,指定每一个用户可登录的机器。机密级终端需要将USB-KEY令牌与域用户登录结合使用,达到“双因子”鉴别的过程。
设置终端用户工作环境,隐藏用户无用的桌面图标,删除“开始”菜单中的“运行”、“搜索”功能。
启用内网Windows XP终端内置的WSUS客户端。由系统漏洞的官方漏洞发布页下载完整的系统漏洞修复程序,将此程序通过中间机系统导入涉密信息系统,在WSUS服务器端导入此程序,由WSUS服务器下发系统补丁强制修复策略,强制更新各个终端的系统漏洞。
(3)设备管理及策略
AD域控系统以及WSUS补丁分发系统由信息中心进行管理及维护,域控组策略的改动均需要经过保密办的讨论后方可操作。WSUS系统的升级更新按照《与管理及补丁分发运维管理制度》进行管理。
a、由信息中心管理AD域控系统以及WSUS补丁分发系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心分别对2套AD域控系统以及WSUS补丁分发系统服务器进行编号、标识密级、安放至安全管理位置。
c、信息中心负责AD域控系统以及WSUS补丁分发系统服务器的日常运行维护,每周登陆服务器查看服务器硬件运行状态、组策略配置、域成员状态、系统日志等内容。
d、信息中心发现异常系统日志及时通报保密办,并查找原因,追究根源。
(4)部署后解决的风险
解决部分身份鉴别以及操作系统安全相关风险。
4.3 网络安全审计
使用网络安全审计系统2台,用于对涉密信息系统的网络及应用进行安全审计和监控。审计功能包括:应用层协议还原审计、数据库审计、网络行为审计、自定义关键字审计等。
(1)部署
旁路部署于核心交换机的镜像目的接口,部署数量为2台,分别部署于主中心以及从属中心的核心交换机上。设置其管理地址,用于系统管理及维护。部署拓扑示意图如下:
图1-14 网络安全审计部署示意图
(2)第一次运行策略
配置审计http、POP3、Smtp、imap、telnet、FTP协议以及自定义审计1433、8080、27000、1043、1034、1037、1041、1040、1042、6035、7777、3690端口;依据保密规定设定相关关键词字,审计关键词字;使用Https方式管理系统。
(3)设备管理及策略
网络安全审计系统由信息中心进行管理及维护,审计策略的改动均需要经过保密办的讨论后方可操作。网络安全审计系统的日志系统维护,日志的保存与备份按照《网络安全审计运维管理制度》进行管理。
a、由信息中心管理网络安全审计设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心分别对2台网络安全审计设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网络安全审计系统的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、
转发数据量状态、系统日志等内容。
d、信息中心发现异常审计日志及时通报保密办,并查找原因,追究根源。
e、信息中心负责网络安全审计系统的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
解决应用审计,针对内容进行审计记录,满足安全审计相关要求。
5 终端安全防护
5.1 防病毒系统
将使用网络版防病毒软件建立病毒防护系统,共计26个服务器端,419个客户端,分别部署在主中心以及从属中心。
将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防护系统,共计226个终端。
(1)部署
防病毒系统采用客户端+服务器结构,服务器由信息中心负责管理。
杀毒中心安装:安装在安全管理服务器上,设置好admin密码,并且将注册信息输入到杀毒控制中心。
服务器安装:在各类服务器上安装杀毒服务器端,设置杀毒中心的IP地址,并保持与杀毒中心的实时通信。
客户端安装:所有的内外终端均安装客户端杀毒程序,设置杀毒中心的IP地址,与杀毒中心同步。
单机防病毒系统直接部署在涉密单机及中间机上。
(2)第一次运行策略
防病毒控制中心服务器部署在保密室。网络防病毒系统连接在核心交换机的access接口上。交换机接口配置Vlan二层信息为:接口类型为access,为其划分Vlan,使得其与其他Vlan不能通过二层相通,使得网络防病毒系统需要通过三层与其他Vlan通信,即网络防病毒系统可以对网络中所有的主机设备进行杀毒统一管理和在线控制。
所有接入网络的终端计算机和应用服务器(windows操作系统)都安装防病毒软件,管理员通过控制台实现对全网防病毒系统的统一管理,并强制在用户接入网络时安装防病毒客户端。
升级方式为:在非涉密计算机上从互联网下载最新的防病毒系统升级包,刻制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘上,带入到涉密内网的防病毒系统服务器上。利用服务器上的防
病毒系统服务端提供的接口导入升级包,再通过服务端将更新了的病毒库向每一台防病毒系统客户端进行强制更新。
防病毒管理:定期升级病毒特征库,每周不少于一次;定期进行全网杀毒扫描,每天计划不少于一次;每月检查防病毒系统的运行情况并记录,备份并存储病毒日志;制定应急预案,防止病毒大面积爆发。
(3)设备管理及策略
为了防止计算机病毒或恶意代码传播,将采取如下措施:
a、制定《涉密信息系统运行管理制度》,该管理办法将与涉密信息系统的建设同时进行制定,同时加强审计,确保策略的正确实施;
b、加强存储设备的接入管理,对接入系统的存储设备必须先经过计算机病毒和恶意代码检查处理;
c、所有的涉密计算机usb及光驱等接口均通过授权才能使用,防止系统用户私自安装软件或使用usb设备带病毒入网。
(4)部署后解决的风险
解决计算机病毒与恶意代码防护、操作系统安全相关风险。
5.2 恶意程序辅助检测系统
涉密信息系统采用恶意程序辅助检测系统,用于涉密信息系统的中间机信息输入输出介质的恶意程序及木马病毒查杀及管控。
(1)部署
系统采用单机部署在中间机上的结构。共4台中间机,主中心2台,从属中心2台,分别为涉密中间机以及非涉密中间机。4台中间机上均安装恶意程序辅助检测系统,对中间机潜在的恶意程序及木马进行管控。
(2)第一次运行策略
使用恶意程序辅助检测系统接管系统关键服务、限制未知程序启动、未知驱动加载、设置策略进行恶意代码扫描、设置策略拦截恶意程序的盗取行为。
(3)设备管理及策略
恶意程序辅助检测系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。恶意程序辅助检测系统的日志系统同时维护,日志的保存与备份按照《恶意程序辅助检测系统运维管理制度》进行管理。
a、由信息中心管理恶意程序辅助检测系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对中间机进行编号、标识密级、记录安放位置并指定中间机负责人。
c、信息中心负责定期到中间机提取审计日志信息等内容。
d、信息中心发现高风险事件及时通报保密办,并查找风险源头,各部门配合信息中心及时解决问题。
e、中间机负责人严格遵守《恶意程序辅助检测系统运维管理制度》,使用中间机需要进行申请、审批、登记摆渡内容、使用恶意程序辅助检测系统防止摆渡介质可能携带的恶意程序及木马危害系统。
(4)部署后解决的风险
解决中间机计算机病毒与恶意代码防护相关风险。
5.3 主机监控与审计系统
使用原有主机监控与审计系统进行对终端行为监控和限制,保持原有部署及原有配置不变,管理方式及策略依旧。此设备解决的风险为设备数据接口控制、主机安全审计风险。
5.4 移动介质管理系统
采用移动介质管理系统对公司移动存储介质进行管理。
(1)部署
使用一台单机作为移动存储介质的系统管理机,安装涉密移动存储介质保密管理系统以及审计平台。该单机放置于信息中心,由信息中心管理维护。
部署30个客户端。具体分布如下表所示。
表1-5 移动介质系统部署汇总表
(2)第一次运行策略
使用移动介质管理系统对公司移动存储介质进行:注册登记、授权、定密、发放、收回、销毁、删除。采用全盘加密技术,防止格式化U盘后进行数据恢复。
(3)设备管理及策略
移动介质下发至各部门,由各部门进行统一管理,保密办进行二级管理,借用需要通过部门领导的审批,登记后进行使用,并限定使用时间及使用范围。采取的技术防护手段为主机监控与审计系统,进行移动介质设备的管控与日志记录。移动介质出现硬件问题后,交由保密办统一封存处理。
(4)部署后解决的风险
解决介质安全存在的风险。
5.5 终端安全登录及身份认证系统
采用终端安全登录与监控审计系统(网络版),用于对机密级终端的“双因子”登录身份认证。采用终端安全登录与监控审计系统(单机版),用于对涉密单机、中间机登录身份认证、主机监控与审计。
(1)部署
终端安全登录与监控审计系统(网络版)服务器部署于安全管理区,数量为2套,分别部署于主中心和从属中心。认证客户端安装于机密级终端上,共计89台。
单机版直接部署在具所有的中间机以及涉密单机上。
(2)第一次运行策略
所有终端的策略采取以下方式进行:开机安全登录与认证,关闭光驱、软驱、串口、并口、红外、蓝牙、网络接口、1394火线、PDA。USB存储自由使用。禁止修改注册表、安装软件、安全模式启动、外联、更换设备。禁止打印、监控文件操作。特殊的终端如果需要开放特殊策略,则必须由保密办审批核准后,由信息中心系统管理员进行策略的调整与下发。
(3)设备管理及策略
终端安全登录与监控审计系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。终端安全登录与监控审计系统的日志系统同时维护,日志的保存与备份按照《终端安全登录与监控审计系统运维管理制度》进行管理。
a、由信息中心管理终端安全登录与监控审计系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对终端安全登录与监控审计系统服务器进行编号、标识密级、安放至安全管理位置。
c、信息中心负责终端安全登录与监控审计系统的日常运行维护,每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责终端安全登录与监控审计系统服务器的维修管理,设备出现问题,通知保密办,获得批准后,联系厂家负责设备的维修管理。
(4)部署后解决的风险
解决身份鉴别、数据接口控制、主机安全审计相关风险。
5.6 光盘刻录监控与审计
采用光盘刻录监控与审计系统,用于对刻录行为的监控与审计。
(1)部署
部署在具有刻录权限的内网终端、中间机以及涉密单机上。
(2)第一次运行策略
对与拥有光盘刻录权限的终端,设置光盘刻录监控与审计策略,记录刻录行为发生的时间,刻录文件名称等日志信息。操作的同时,需要对纸质登记记录予以完善,完成申请、审批、记录操作内容、登记归档等流程。
(3)设备管理及策略
光盘刻录监控与审计系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。光盘刻录监控与审计系统的日志系统同时维护,日志的保存与备份按照《光盘刻录监控与审计系统运维管理制度》进行管理。
a、由信息中心管理光盘刻录监控与审计系统,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对光盘刻录监控与审计系统各终端进行编号、标识密级、记录安放位置。
c、信息中心负责定期到光盘刻录监控与审计系统终端提取审计日志信息等内容。
d、信息中心发现高风险事件及时通报保密办,并查找风险源头,各部门配合信息中心及时解决问题。
(4)部署后解决的风险
解决I/O光盘刻录输出风险,控制设备数据接口。
6 管理改进建议
(1)界定三员职责、明晰工作内容
将三员的职责及分工明确具体化,建立健全的相互监督机制,系统管理员配置系统策略,安全保密管理员管理系统审计日志,安全审计员监督系统管理员以及安全保密管理员的操作行为,强化工作制度约束。
①系统管理员的职责
a、保障涉密信息系统安全运行;
b、负责涉密信息系统软件及硬件设备的安装和维护;
c、参与涉密信息系统安全策略、计划和事件处理程序的制定;
d、落实防病毒措施和系统补丁的分发,保证信息系统的正常运行。
②安全保密管理员职责
a、建立健全涉密信息系统保密管理制度,监督、检查信息系统保密管理及技术措施的落实情况;
b、负责对信息系统用户的身份的验证,防止非法用户进入系统。
c、负责用户的口令管理,建立口令管理规程和检验创建账户机制,避免口令泄露。
d、负责对安全保密设备和系统所产生日志的审查并进行分析。
e、承担涉密信息系统安全事件的处理。
③安全审计员的职责
a、监督信息系统的运行情况,定期查看系统审计记录;
b、对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析、监督和检查,及时发现违规行为;
c、定期向系统安全保密管理机构汇报审计的有关情况。
(2)健全保密管理策略
制定网络技术环境下具体的安全业务、流程、职责、规范、要求的策略规范及制度。
(3)强化监督管理执行力度
在日后的保密安全审计监督管理中,指定关于执行效果奖惩制度,重视与执行效果相关的稽核审计。
(4)制定监督机制
建立针对个人、部门、机构、单位的监督机制,并在制度中明确要求对记录、惩戒、改进等监督手段和机制,提高监督机制的执行效果,加强可操作性,以明确的数字得分形式展现执行效果。
涉及国家秘密的信息系统分级保护
涉及国家秘密的信息系统分级保护 第一章总则 第一条为了加强涉及国家秘密的信息系统(以下简称“涉密信息系统”)的保密管理,确保国家秘密信息安全,依据《中华人民共和国保守国 家秘密法》和相关法规,制定本办法。 第二条涉密信息系统实行分级保护。涉密信息系统分级保护是指,涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密 信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的 保护等级实施监督管理,确保系统和信息安全。 第三条中华人民共和国境内的涉密信息系统分级保护管理适用本办法。 第四条涉密信息系统分级保护管理遵循以下原则: 规范定密,准确定级;依据标准,同步建设;突出重点,确保核心; 明确责任,加强监督。 第五条国家保密工作部门负责全国涉密信息系统分级保护工作的指导、监督和检查; 地方各级保密工作部门负责本行政区域涉密信息系统分级保护工作 的指导、监督和检查;中央和国家机关各部门在其职权范围内,主管 或指导本部门和本系统涉密信息系统得分级保护工作。涉密信息系统 的建设使用单位按照“谁主管、谁负责”的原则,负责本单位涉秘信 息系统分级保护工作的具体实施。 第二章系统分级 第六条涉密信息系统按照所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑 群内。 第七条涉密信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家秘密及其密级具体范围的规定,规范信息定密,明确新建涉密信息 系统处理信息的最高密级。 已经投入使用的涉密信息系统,使用单位应依照有关法律法规,对系统 中运行的信息进行密级核定,对漏定、错定的进行纠正,同时建立科学 规范的系统信息定密机制和操作程序。 第八条涉密信息系统建设单位在准确定密的基础上,应依据本办法和国家保密标准《涉及国家秘密的信息系统分级保护技术要求》确定系统等级。对 于包含多个安全域的信息系统,各安全域可以分别确定保护等级。 已经投入使用的涉密信息系统,建设使用单位应依据本办法和国家保密 标准《涉及国家秘密的信息系统分级保护技术要求》重新核定系统等级。
环境保护实施方案,(DOC)
济南章丘堤防加固和防浪 林工程 环境保护施工方案 济南市黄河工程局 黄河下游近期防洪工程(山东段)施工 济南市黄河工程局堤防加固和防浪林工程项目经理 部 2012年10月23日
审批表
环境保护专项实施方案 随着人民生活水平的不断提高,做好环境保护工作日益显示出其地位的重要性和迫切性。为了响应国家和业主对做好环境保护工作的号召,满足业主的相关要求,根据《国家环境保护法》、《济南市建设项目环境保护管理办法》等法律法规和规章制度,结合本工程施工特点,积极做好环保工作。 一、方案依据 (1)法律法规及部门规章 《中华人民共和国环境保护法》(1989 年 12 月 26 日); 《中华人民共和国水法》(2002 年 10 月); 《中华人民共和国水污染防治法》(2008 年 2 月 28 日); 《中华人民共和国大气污染防治法》(2000 年 9 月 1 日); 《中华人民共和国环境噪声污染防治法》(1997 年 3 月 1 日); 《中华人民共和国固体废物污染环境防治法》(2005 年 4 月 1 日); 《中华人民共和国土地管理法》(2004 年 8 月 28 日); 《建设项目环境保护管理条例》,1998 年 12 月 18 日国务院第 253 号令; 《中华人民共和国水污染防治法实施细则》(2000 年 3 月 20 日); 《国务院关于环境保护若干问题的决定》(1996 年 8 月); 《建设项目环境保护设计规定》(1987 年 3 月)。 (2)技术标准 《地表水环境质量标准》(GB3838-2002); 《环境空气质量标准》(GB3095-1996); 《声环境质量标准》(GB3096-2008);
信息系统运维项目方案
信息系统运维服务方案
目录
1项目概述 工程的核心,是电子政务网和行政办公网,以及依托两网的政府网站、办公信息系统、行政许可预约办理系统等应用系统。一期工程在国家铁路局成立之初即已建成投产,对外提供了国家铁路局政府宣传、服务社会、便民利民的平台,对内基本实现了无纸化办公,创新了工作模式,为国家铁路局的履职担当发挥了重要的支撑作用。
2服务内容 信息机房及配线间维护 信息机房运维的任务是监控、维护机房环境,为网络信息系统运行提供可靠的环境保障。机房运维以监控、维护为主,必要时需要执行应急措施(如紧急降温、关闭低优先级设备等)。目前主要通过人工巡检实现。监控内容及处理措施如下: 1、监控不间断电源(UPS)的负载情况,执行UPS及电池组日常养护任务,并制定停电、UPS故障时的应急预案。其中停电包括维护性停电(可预知停电时间和持续时间)和故障性停电。养护任务包括对 UPS各项功能进行测试、电池放电、清除积尘、检查风扇运转情况和调节UPS参数,测试UPS电池是否具有启动瞬间输出大电流的特性,检测电源连接线是否安全可靠。(工具采用数字万用表) 2、机房温湿度监控和应急处理。针对温度报警(通常是高温报警)制定了急预案,并在条件允许的情况下,根据故障发生的概率适当预留应急用品,移动空调、电风扇等。 3、定期对机房内消防设施进行检查,如灭火器,烟雾感应器等。携带“地阻测试仪表”对机房的接地体进行接地防雷测试。(工具采用“地阻测试仪”) 4、设备巡检和安全风险评估中,对信息机房电源、空调等环境设备进行查看并评估安全风险,针对不同风险分别制定应急预案。经评估风险值较高的因素,应预留应急备品或技术方案,如单点关键网络设备(含网络安全设备)、易受雷击损坏的接入设备等,保证故障发生后能够快速恢复信息网络运行。定期对接地电阻进行测试,保证良好的机房接地。
计算机信息系统分级保护实施方案
方案 1系统总体部署 (1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。 服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。 防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。 (2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。 将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。 (3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。 2 物理安全防护 总体物理安全防护设计如下: (1)周边环境安全控制 ①XXX侧和XXX侧部署红外对射和入侵报警系统。 ②部署视频监控,建立安防监控中心,重点部位实时监控。 具体部署见下表:
2018-2019-环境保护工作实施方案-word范文 (7页)
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除! == 本文为word格式,下载后可方便编辑和修改! == 环境保护工作实施方案 篇一:201X年环境保护工作实施方案 201X年环境保护工作实施方案 为全面落实科学发展观,加强政府对环境保护工作的领导,落实政府环境保护的目标任务,促进经济、社会与环境保护协调发展,结合我镇实际,特制定本方案。 一、指导思想 以科学发展观为指导,以改善环境质量为目标,以深化政府环境管理、推进环境保护工作及保障人民群众环境权益为重点,进一步强化环境管理和环境执法工作力度,从全镇经济社会发展的现状出发,以理性思维、务实精神,处理好加快发展与环境保护的关系。以污染减排为工作主线,坚持预防为主、综合治理、全面推进、重点突破的基本方针,着力解决危害人民群众身体健康的突出环境污染问题,重点抓好污染减排工作,增强工作的主动性,大力推进资源节约型和环境友好型社会建设,促进经济社会发展和环境保护相协调。 二、重点工作任务及责任分工 (一)综合指标 1、实行主要领导干部环保政绩考核,将环境保护指标纳入有关部门党政班子主要领导干部政绩考核内容。 2、深入开展环境宣教工作。围绕世界地球日、环境日等纪念日开展环境宣传活动;利用网络、电视等宣传媒体广泛宣传我镇环境工作取得的成果;利用辖区内电子屏、广告牌、乡镇墙报、板报进行环境公益宣传;开展环保宜居社区创建工作,并在社区内设立环境宣传栏或悬挂宣传标语。 (二)环境管理与治理 1、完成年度主要污染物总量削减计划任务。 2、以“打击环境违法行为,保障群众身体健康”为主题,开展专项整治行动。
信息系统运行维护方案
信息系统运行维护方案 2012年8月
目录 第一章目标 (3) 第一节运行维护服务目标 (3) 第二节运行维护内容及步骤 (3) 第二章运行维护服务具体内容 (4) 第一节驻点服务 (4) 第二节运维服务 (5) 第三节服务方式建议 (6) 第四节运维服务内容 (7) 1.预防性维护服务 (7) 2.中心机房设备维护服务 (7) 3.台式PC机类维护服务 (8) 4.笔记本计算机维护服务 (8) 5.服务器维护服务 (9) 6.工作站软件维护 (9) 7.语音(电话)信息点维护 (9) 8.病毒防护与监控服务 (10) 9.运维期结束前 (10) 第三章XX 运行维护服务预算 (10)
第一章目标 第一节运行维护服务目标 信息系统主要业务为税务征收系统及外部门之间数据交换系统,为确保XX 的网络系统、应用系统、安全系统、防病毒系统及办公OA系统在可靠、高效、稳定的环境中运行。达到故障快速定位并解决、信息安全可控可查、不断优化运行效率和性能,保障XX 信息系统资源共享,提高办公效率和质量,提高决策能力、管理能力、应急能力。针对XX 现有的网络环境、服务器硬件设备以及办公硬件设备,病毒防护等进行实时行监控,更好地规范和提高XX 的各项维护工作,保障网络、应用平台的正常运行以及防病毒的顺利正常开展。保证整体运维项目实施顺利,确保网络原因对业务运行影响最小化、确保网络故障快速定位并解决、确保网络信息安全可控可查、确保不断优化网络的运行效率和性能。保证目标系统7×24正常工作。 第二节运行维护内容及步骤 1.协助XX信息系统工作计划,掌握信息系统各设备运行情况,具体落实各设 备运行维护工作; 2.巡视运行维护各岗位,检查运行维护情况和服务质量,督导、协调各项工作, 保持XX信息系统运行维护良好的秩序; 3.保证按时按质完成XX负责人交付的各项维护任务。 4.通过数据分析和其他相关网络测试设备,解决XX 信息系统问题; 5.发展和维护问题解决程序、网络文件和标准操作程序; 6.协助管理XX 信息系统集成,更新维护各种工程用设备器材; 7.协助XX 调试、维护PC及OA工作计划,掌握调试、维护PC及OA设备运
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定
环境保护实施方案
环境保护监理实施方案 依据交通部的《开展交通工程环境监理工作的通知》、《交通建设项目环境保护办法》和《中华人民共和国环境保护法》、《中华人民共和国固体废物污染环境防治法》等有关法规、法律,结合过去在公路工程监理工作中的环境工作经验,制定环境监理的任务、方法和程序。 一、工程概况 珲乌高速公路吉林至荒岗段工程建设项目JS01合同段的路基、路面、桥梁工程施工。本合同段主线起点桩号为K4+700-K11+800,7.1km,吉林连接线K0+000-K4+641.84(K4+641.84=主线K4+700),4.642km;设大桥232m/1座,公铁立交桥2座(K2+565铁路桥607米,K8+451铁路桥307米),天桥1座,通道桥8座,跨线桥1座,匝道桥5座,涵洞31道(16道盖板涵、15道箱涵),圆管涵23道。路基挖方239.9万立方米,路基填方186.6万立方米,水泥稳定碎石基层35.9万平方米,面层40万平方米,其中:吉林北互通挖方总量122.7万立方米,现浇跨线桥1座,匝道桥5座,通道桥5座,涵洞17道。(工程量较大,需要边通车边施工,互通内还有石油管线2处,是我标段的重点和难点) 二、环境保护监理的控制目标: 认真宣传贯彻执行噪声污染防治法》、《中华人民共和国
固体废物污染环境防治法》和《交通建设项目环境保护管理办法》等的有关规定,提高项目并严格遵守《中华人民共和国环境保护法》、按交通部、建设部等部委和吉林省的有关规定,对工程施工所带来的生态环境、水土流失、景观影响及环境污染及施工后期的场地恢复等问题进行有效监控和管理,达到环保验收目标。 三、环保工程监理概述 1、环保工程监理的内容 环保工程监理的内容包括污水处理设施、声屏障、排水工程、绿化工程等。 2、环保工程监理程序 3、环保工程监理工作内容 4、环保工程监理工作方式 以上内容类似于工程监理,只做简单叙述。 四、环保工程监理要点 (一)、声屏障工程监理要点 1、检查声屏障设计单位的环保专业设计资质。 2、检查声屏障两部分设计图纸(屏障、基础)的完整性。 3、声屏障的材质、尺寸检验 a、供货厂家提供监测报告,产品合格证;
信息系统维护运行项目计划方案
信息系统运维服务方案 2009年6月
目录 1服务内容 (3) 1.1信息资产统计服务 (3) 1.2网络、安全系统运维服务 (3) 1.3主机、存储系统运维服务 (6) 1.4数据库系统运维服务 (9) 1.5中间件运维服务 (10) 2运维服务流程 (11) 3服务管理制度规范 (13) 3.1服务时间 (13) 3.2行为规范 (13) 3.3现场服务支持规范 (14) 3.4问题记录规范 (14) 4应急服务响应措施 (16) 4.1应急基本流程 (16) 4.2预防措施 (16) 4.3突发事件应急策略 (17)
1服务内容 1.1信息资产统计服务 此项服务为基本服务,包含在运行维护服务中,帮助我们对用户现有的信息资产情况进行了解,更好的提供系统的运行维护服务。 服务内容包括: ?硬件设备型号、数量、版本等信息统计记录 ?软件产品型号、版本和补丁等信息统计记录 ?网络结构、网络路由、网络IP地址统计记录 ?综合布线系统结构图的绘制 ?其它附属设备的统计记录 1.2网络、安全系统运维服务 从网络的连通性、网络的性能、网络的监控管理三个方面实现对网络系统的运维管理。网络、安全系统基本服务内容:
(1)用户现场技术人员值守 公司可根据用户的需求提供长期的用户现场技术人员值守服务,保证网络的实时连通和可用,保障接入交换机、汇聚交换机和核心交换机的正常运转。现场值守的技术人员每天记录网络交换机的端口是否可以正常使用,网络的转发和路由是否正常进行,交换机的性能检测,进行整体网络性能评估,针对网络的利用率进行优化并提出网络扩容和优化的建议。 现场值守人员还进行安全设备的日常运行状态的监控,对各种安全设备的日志检查,对重点事件进行记录,对安全事件的产生原因进行判断和解决,及时发现问题,防患于未然。 同时能够对设备的运行数据进行记录,形成报表进行统计分析,便于进行网络系统的分析和故障的提前预知。具体记录的数据包括: ?配置数据 ?性能数据 ?故障数据 (2)现场巡检服务 现场巡检服务是公司对客户的设备及网络进行全面检查的服务项目,通过该服务可使客户获得设备运行的第一手资料,最大可能地发现存在的隐患,保障设备稳定运行。同时,公司将有针对性地提出预警及解决建议,使客户能够提早预防,最大限度降低运营风险。 巡检包括的内容如下:
浙江省信息安全等级保护工作实施方案
浙江省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》,根据国家信息安全等级保护工作协调小组的部署,结合我省实际,制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导,通过全面推行信息安全等级保护工作,提高我省信息安全的保障能力和防护水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使我省信息安全保障状况得到基本改善。 通过加强和规范信息安全等级保护管理,不断提高我省信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
三、组织管理 为加强信息安全等级保护工作的领导,成立由省公安厅牵头,省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组,负责我省信息安全等级保护工作的组织协调,并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展,成立由省公安厅牵头,省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组,对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及安全保密测评资格进行专门审查,审查后公布推荐目录,供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作内容 (一)系统定级
施工环境保护专项方案完整版
施工环境保护专项方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
目录
1 工程概况 2 编制目的 为了有效保护工程沿线的的生态、自然、社会和人民生活环境,防止因工程建设引发新的水土流失,切实改善项目影响区的生态环境,为工程管理、项目运行创造良好的条件,确保正常施工、组织有序、管理规范;切实加强环境保护和水土保持,减少大气排放、水体排放、噪声排放、固体废物管理等环境污染和环境风险,结合本项目实际,制定本实施方案。 3 编制依据 (1)《中华人民共和国环境保护法》 (2)《中华人民共和国水污染防治法》 (3)《中华人民共和国大气污染防治法》 (4)《中华人民共和国固体废弃物污染环境防治法》 (5)《中华人民共和国水土保持法》 (6)《中华人民共和国水土保持实施条例》 (7)《交通建设项目环境保护管理办法》 (8)《环境空气质量标准》 (9)《污水综合排放标准》 (10)《地表水环境质量标准》 (11)《工业企业噪声卫生标准》 4 环境保护和水土保持总目标 环保目标:实现最大限度的保护、最小程度的破坏和最强力度的恢复。 水保目标:预防和控制项目建设新增的水土流失,并在工程顺利建设和安全的前提下,保护并合理利用水土资源,提高土地生产力,重建新的更好生态环境。 5 环境保护和水土保持管理机构及保证体系 项目环境保护和水土保持管理机构
成立环境保护和水土保持领导小组,专人专岗专职负责有关环境保护和水土保持施工管理制度的落实。 环境保护和水土保护领导小组见表1,项目环境保护和水土保持组织机构框图见附图1。 表1 环境保护和水土保持领导小组成员分工 环境保护和水土保持保证体 本合同段环境保护与水土保持保证体系见附图2。 6 环境保护管理办法 (1)项目部各部门、各施工作业班组等部门都应按本方案规定将环境保护工作纳入本部门工作任务。 (2)项目部环境保护部门,应协助监理及业主单位完成以下各项工作:? 1)落实环境影响评价工作;? 2)监督检查施工中与环境保护有关的设施落实情况; 3)监督检查施工项目施工中、施工后的环境保护设施运转情况和环境质量常规监测工作;? 4)定期报告有关工作情况。? (3)项目部在编制实施性环保方案时,应邀请项目所在地的地方政府部门环境保护部门参与环境保护篇章的审查。 (4)项目部环保工作人员必须熟悉各施工项目的生产工艺、污染物排放及治理技术,并具备工程分析能力。
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
广西壮族自治区建设项目环境保护管理办法实施细则
广西壮族自治区建设项目环境 保护管理办法实施细则 (年月日桂环委字·号自治区环境保护委员会、自治区计划委员会、自治区经济委员会) 第一条本细则适用于本自治区境内的工业、交通、水利、农林、商业、卫生、文教、科研、旅游、市政等对环境有影响的一切新、改、扩基本建设项目和技术改造项目。(以下统称《建设项目》) 第二条《建设项目》的选址,必须注意布局的合理性,符合城镇的总体规划,使其对环境的有害影响减少到最低的程度。建设单位或主管部门在对《建设项目》进行厂址选择时,应会同环境保护部门参加,以便对《建设项目》的环境保护要求与其经济和技术问题一并作出决定。 第三条关于环境影响报告书和环境影响报告表的报批制度。 一、凡从事对环境有影响的《建设项目》的建设单位,都必须执行环境影响报告书(表)的报批制度。环境影响报告书(表)由建设单位或主管部门在进行《建设项目》可行性研究时同时提出。 二、按《建设项目》的设计规模或总投资额计算,符合区计委、建委桂建设字()号文《关于调整基本建设项目初步设计审批权限的通知》(以下简称《审批权限的通知》)所规定需报区建委(或由区经委)和国家审批的《建设项目》,原则上都应编报环境影响报告书。属下列情况之一的,经《建设项目》主管部门申报书面材料征得当地县级以上环境保护部门同意并报区环境保护局认可,可填报环境影响报告表:
(一)不排或很少排放污染物又无明显不良环境影响的非工业性项目,如交通、邮电、商业、粮食(不含粮油加工)、文教、科研、卫生、旅游、农林(不含围垦、垦荒、森林采伐)、城建(不含独立的煤气工程)等; (二)在特殊环境保护地区(即居民稠密区,水源保护区,名胜古迹,风景游览区,温泉、疗养区和自然保护区)建设的交通、邮电、商业、旅游、文教、卫生等不影响自然景观和不造成环境污染的非工业性项目,并经城市规划部门同意的; (三)根据项目建议书以及有关技术资料,从宏观上可判断排放污染物的种类和数量均较少而且毒性低的工业项目; (四)根据项目建议书以及有关技术资料,从宏观上可判断经过技术改造后可使企业排放的污染物种类与数量以及毒性将比原来明显减少的技术改造项目。 三、《审批权限的通知》中除区建委(或区经委)审批以外的《建设项目》以及乡镇、街道企业,原则上填报环境影响报告表。经项目所在地县、市级环境保护部门确认有下列情况之一的,要编制环境影响报告书: (一)排放污染物的种类与数量多而且在自然环境中不易分解或能在生物体内蓄积以及强致癌的剧毒污染物的工业项目; (二)在特殊环境保护区建设可能破坏自然景观或污染扰民的项目。 在执行前一、二款规定发生争议时,由《建设项目》主管部门与该项目所在地的环境保护部门协商解决,协商不能解决的,报上一级环境保护部门裁决。 四、应编制环境影响报告书的《建设项目》,由建设单项在进行可行性研究时委托持有“建设项目环境影响评价证书”的单位,按照环境影响报告书要求的内容进行环境影响评价工作。
信息安全等级保护定级指南
附件2 信息系统安全保护等级定级指南 (试用稿) 公安部 二〇〇五年十二月
目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息(Business Information) (11) 2.2 业务信息安全性(Security of Business Information) (11) 2.3 业务服务保证性(Assurance of Business Service) (11) 2.4 信息系统(Information System) (11) 2.5 业务子系统(Business Subsystem) (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21)
信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息(Business Information) 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性(Security of Business Information) 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性(Assurance of Business Service) 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统(Information System) 基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统(Business Subsystem) 由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。 如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。
分级保护项目方案设计说明
分级保护项目方案设计 第三章安全风险分析 3.1脆弱性分析脆弱性是指资产或资产组中能被威胁所利用的弱点它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的如果没有被相应的威胁利用单纯的脆弱性本身不会对资产造成损害而且如果系统足够强健严重的威胁也不会导致安全事件发生并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性有些脆弱性只有在一定条件和环境下才能显现这是脆弱性识别中最为困难的部分。不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点脆弱性是风险产生的在原因各种安全薄弱环节、安全弱点自身并不会造成什么危害它们只有在被各种安全威胁利用后才可能造成相应的危害。针对XXX机关涉密信息系统我们主要从技术和管理两个方面分析其存在的安全脆弱性。 3.1.1 技术脆弱性 1. 物理安全脆弱性环境安全物理环境的安全是整个基地涉密信息系统安全得以保障的前提。如果物理安全得不到保障那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏造成有价值信息的丢失。目前各级XXX 企业的中心机房大部分采用独立的工作空间并且能够达到国家标准GB501741993《电子计算机机房设计规》、
GB28871989《计算机场地技术条件》、GB93611998《计算站场地安全要求》和BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》等要求。设备安全涉密信息系统的中心机房均按照标准要求采取了安全防措施防止非授权人员进入避免设备发生被盗、被毁的安全事故。介质安全目前各级XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储第 2 页共129页信息的最高密级标明密级并按相应的密级管理。 2. 运行安全脆弱性分析备份与恢复备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题当遇到如火灾、水灾等不可抗因素不会造成关键业务数据无法恢复的惨痛局面。同时将备份关键业务数据的存储介质放置在其他建筑屋防止在异常事故发生时被同时破坏。网络防病毒各级XXX企业涉密网络中的操作系统主要是windows系列操作系统。虽有安全措施却在不同程度上存在安全漏洞。同时病毒也是对涉密网络安全的主要威胁有些病毒可感染扩展名为corn、exe和ovl的可执行文件当运行这些被感染的可执行文件时就可以激活病毒有些病毒在系统底层活动使系统变得非常不稳定容易造成系统崩溃。还有蠕虫病毒可通过网络进行传播感染的计算机容易导致系统的瘫痪。近年来木马的泛滥为计算机的安全带来了严重的安全问题。木马通常是病毒携带的一个附属程序在被感染的计算机上打开一个后门使被感染的计算机丧失部分控制权另外还有黑客
信息系统运行维护服务方案(IT运维服务方案)
信息系统运行维护方案(IT运维服务方案)
目录 1运维服务内容 (3) 1.1 服务目标 (3) 1.2 信息资产统计服务 (4) 1.3 网络、安全系统运维服务 (4) 1.4 主机、存储系统运维服务 (9) 1.5 数据库系统运维服务 (16) 1.6 中间件运维服务 (19) 2运维服务流程 (21) 3服务管理制度规范 (23) 3.1 服务时间 (23) 3.2 行为规范 (24) 3.3 现场服务支持规范 (25) 3.4 问题记录规范 (25) 4应急服务响应措施 (27) 4.1 应急基本流程 (27) 4.2 预防措施 (27) 4.3 突发事件应急策略 (28)
1服务内容 1.1服务目标 运行维护服务包括,信息系统相关的主机设备、操作系统、数据库和存储设备及其他信息系统的运行维护与安全防范服务,保证用户现有的信息系统的正常运行,降低整体管理成本,提高网络信息系统的整体服务水平。同时根据日常维护的数据和记录,提供用户信息系统的整体建设规划和建议,更好的为用户的信息化发展提供有力的保障。用户信息系统的组成主要可分为两类:硬件设备和软件系统。硬件设备包括网络设备、安全设备、主机设备、存储设备等;软件设备可分为操作系统软件、典型应用软件(如:数据库软件、中间件软件等)、业务应用软件等。 通过运行维护服务的有效管理来提升用户信息系统的服务效率,协调各业务应用系统的内部运作,改善网络信息系统部门与业务部门的沟通,提高服务质量。结合用户现有的环境、组织结构、IT资源和管理流程的特点,从流程、人员和技术三方面来规划用户的网络信息系统的结构。将用户的运行目标、业务需求与IT服务的相协调一致。信息系统服务的目标是,对用户现有的信息系统基础资源进行监控和管理,及时掌握网络信息系统资源现状和配置信息,反映信息系统资源的可用性情况和健康状况,创建一个可知可控的IT环境,从而保证用户信息系统的各类业务应用系统的可靠、高效、持续、安全运行。服务项目范围覆盖的信息系统资源以下方面的关键状态及参数指标: 运行状态、故障情况
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
安全保密工作实施方案模板(完整版)
方案编号:YT-FS-7246-21 安全保密工作实施方案模 板(完整版) Develop Detailed Rules Based On Expected Needs And Issues. And Make A Written Plan For The Links To Be Carried Out T o Ensure The Smooth Implementation Of The Scheme. 深思远虑目营心匠 Think Far And See, Work Hard At Heart
安全保密工作实施方案模板(完整 版) 备注:该方案书文本主要根据预期的需求和问题为中心,制定具体实施细则,步骤。并对将要进行的环节进行书面的计划,以对每个步骤详细分析,确保方案的顺利执行。文档可根据实际情况进行修改和使用。 20XX年我局保密工作将按照切实发挥保密工作“保安全、保发展、促和谐”的职能作用的要求,不断提高保密工作科学化、保密管理法制化、保密技术现代化、保密队伍专业化水平,为全区经济社会实现又好又快发展发挥服务和保障作用。 一、加强组织领导和队伍建设,提高服务保障能力和水平 以落实领导责任制为重点,进一步加强和改善保密工作的领导。为此,将对局保密领导小组进行调整,由局党组书记、局长张玉霖任组长,党组成员、副局长廖廷友和杨勤英任副组长,机关各科室负责人为成员。通过认真履行领导责任制,建立和形成“一把手
亲自抓,分管领导具体抓,其它领导协助抓”的保密工作领导责任体系。自觉履行对保密工作的领导责任。进一步发挥决策议事作用,切实担负起组织、指导、协调和管理责任,在工作中务必坚持求真务实,使保密工作落到实处,取得成效。按照“谁主管、谁负责”的原则,及时解决保密工作面临的重大问题,确保20XX年工作任务落实。 进一步重视和加强保密工作队伍思想、作风建设和业务技能培训,提高服务保障的能力和水平。以“政治强、业务精、作风正、纪律严”为目标,努力提高保密工作队伍的整体素质和管理水平,适应新时期保密工作任务的需要。 二、发挥职能,深化保密宣传教育 作为主管全区法制宣传的职能部门,我们将督促有关部门继续抓好“五五”保密法制宣传教育规划确定的阶段性工作目标,认真完成20XX年新都区保密法制宣传教育规划的各项目标任务,配合保密局在全区广泛开展《保密法》颁布20周年纪念活动,开展深入
安全及环境保护措施方案
大修工程 安 全 环 保 施 工 方 案2017年9月
安全、环境施工方案 一、安全施工方案 根据本工程的施工特点,做好安全生产工作,施工前,对全体施工人员进行安全培训教育,树立安全第一的思想,落实安全生产责任。 项目经理对项目部的安全生产工作负全面领导责任。技术负责人对所分管的工作负相应的技术管理责任,并对项目经理负责。分管安全生产的副经理及安全员对安全生产工作负重要领导责任。施工队负责人对所承担的分部分项工程中的安全生产负直接责任。 1、安全教育 认真贯彻“安全第一、预防为主、综合治理”的安全生产方针,坚持“管生产必须管安全”的原则。 对所有参加的施工人员都要进行进场安全教育。教育施工人员自觉遵守安全生产的各项规定。 安全生产工作要做到横向到边、纵向到底,即:一级压一级,一级保一级,层层落实安全责任。 2、安全生产管理目标、指标 (1)杜绝重特大安全责任事故,不发生较大安全责任事故,不发生一般伤亡事故。 (2)无重大责任事故。 (3)无重大安全事故隐患。 (4)无火灾事故。 (5)无中毒事故。 (6)无施工周边环境、建筑、设施损坏事件。 (7)和谐施工,确保无刑事案件发生。 (8)争创“安全生产、文明施工、标准化工地”。 3、安全体系 下设安全部、工程部、质检部、后勤部、测量队、办公室、施工班组 各个部门安排负责人一名。 成立安全领导小组: 组长:
副组长: 组员:质检部 工程部 安全环保部 测量队 综合办公室 后勤部 项目经理安全岗位责任? 1、项目经理是项目部安全生产第一责任人,主持本项目部全面工作,对本项目工程的安全生产和劳动保护负全面责任。?? 2、认真贯彻、落实、执行国家和建设行政主管部门有关安全生产的方针、政策、法律、法规和规章制度。? 3、有权制定本项目部安全生产奖罚制度,对单位和个人进行奖罚。建立健全项目部安全生产管理体系,并保证这一体系正常有效运行。? 4、有责任组织成立并主持本项目部安全生产委员会,定期召开安全生产工作会议,研究解决安全生产、文明施工过程中存在的重要问题。? 5、有责任建立健全安全生产管理机构和管理网络系统,按规定配备专职安全管理工作人员,并做到持证上岗。? 6、有责任进行安全生产方针、政策、法律、法规及安全生产责任制的教育,明确各部门、各施工队负责人有关安全生产、文明施工的责任,提高安全管理工作水平。? 7、有责任及时足额拨付安全生产、劳动保护经费,积极改善劳动生产条件,减轻劳动强度,治理粉尘危害。?? 8、有责任定期向公司安全生产领导小组报告项目部安全生产情况。??? 项目总工安全岗位责任 1、项目总工是本工程项目的最高技术权威,其行为对项目经理负责,对项目部安全生产在技术上全面负责。 2、认真贯彻、落实、执行国家和建设行政主管部门有关安全生产的方针、