導語：如何才能寫好一篇安全分析報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

隨著移動互聯網的發展和智能手機的普及，基于android系統的各類app出現爆發式增長，但在增長的同時，一個不容忽視的問題越來越重要：安全。

漏洞掃描方式主要分為靜態和動態，靜態掃描的漏洞類型主要包含SQL注入風險、webview系列、文件模式配置錯誤、https不校驗證書、database配置錯誤等。動態掃描的漏洞類型主要包含拒絕服務攻擊、文件目錄遍歷漏洞、file跨域訪問等。

本報告選取11類android app中同等數量的熱門app，其活躍用戶量可覆蓋83%的移動端網民，根據阿里巴巴移動安全中心對這些app的漏洞檢測，得到以下結論：

參與檢測的android app中，近97%的app都存在漏洞問題，且平均漏洞量高達40個。

安全類app漏洞問題最多，其漏洞總量499個，占所有類別app漏洞總量的21%。

新聞、旅游類app相對最不安全，其各自漏洞總量約240個，且其中高危漏洞量占比30%。

游戲類app相對最安全，漏洞總量約57個，且其中高危漏洞占比約2%。

從測試結果來看，android app的安全問題不容樂觀，漏洞的存在尤其是高危漏洞，會對app開發者甚至用戶帶來較大影響，如何提前發現潛在風險、保護開發者和用戶的利益是阿里巴巴移動安全團隊一直堅持的責任。

一、Android APP漏洞現狀

為了解android app的總體現狀，報告中將app歸納為11個類別：健康、娛樂、安全、教育、新聞、旅游、游戲、社交、購物、金融、閱讀。選取11類app中等量熱門app，并使用阿里巴巴聚安全的漏洞掃描產品進行靜態和動態檢測，掃描結果如下：

從漏洞類別來看，android app漏洞中排在首位的是sql注入類漏洞，占比38.2%，其次是webview漏洞，占比35.4%，見左圖。

從漏洞風險級別來看，android app中高危漏洞占20.7%，低危漏洞占79.3%，其中高危漏洞主要集中在webview系列和https證書未校驗上。

SQL注入類漏洞占比38.2%，主要是代碼中未過濾用戶輸入，攻擊者可通過提交惡意sql查詢語句達到其作惡目的。Sql注入雖大部分屬于中低危漏洞，但仍可造成敏感數據、系統最高權限被竊取等問題。

Webview的一些高危漏洞，主要由代碼中使用addJavascriptInterface等危險函數、使用不校驗證書等因素導致。這些漏洞可遠程執行代碼，對用戶遠程安裝惡意軟件。

Https相關的高危漏洞，主要由https使用ALLOW_ALL_HOSTNAME_VERIFIER等參數校驗證書，沒有對主機等信息進行校驗導致，這些漏洞會引發攻擊者輕易劫持https會話、嗅探用戶密碼和其他敏感信息等問題。

高危漏洞潛藏著巨大的安全問題，但從測試結果來看，很多android app都存在高危漏洞問題，其安全性令人擔憂。

二、Android APP漏洞問題分析

本章將對app的漏洞掃描結果進一步分析，首先將分析漏洞的靜態和動態檢測結果，其次將總結歸納漏洞產生的原因。

2.1各類別app漏洞情況分析

2.1.1.漏洞的靜態掃描結果分析

使用阿里巴巴聚安全的漏洞掃描產品，對11個類別同等數量的熱門app進行靜態掃描，各類app的安全情況不盡相同：

參與測試的app中近97%的app都有安全漏洞，且平均漏洞量達40個。

安全類app漏洞問題最多。

在檢測到的所有漏洞中，安全類app的漏洞總量多達499個(約占總漏洞量21%)，其中高風險漏洞占比約2%，整體而言，即便是安全類app，亦存在較多的安全問題。

新聞、旅游類app相對最不安全

新聞、旅游類app漏洞總量均超230個(約占總漏洞量的10%)，且其中高風險漏洞量占比高達30%，在所有app中相對最不安全。

游戲類app相對最安全

游戲類app無論是漏洞總量，或是其中的高風險漏洞占比均較少，在所有app中相對最安全。

2.1.2漏洞的動態掃描結果分析

使用阿里巴巴聚安全的漏洞掃描產品，對11個類別同等數量的熱門app進行動態掃描，掃描結果幾乎都是拒絕服務攻擊類漏洞，未發現文件目錄遍歷、file跨域訪問等漏洞。

從以下數據圖可以看出，各類別app或多或少都存在拒絕服務攻擊漏洞，尤其以金融類(37個)、娛樂類(35個)，購物類(32個)，安全類(28個)為重，而游戲類的拒絕服務攻擊漏洞總量相對最少(3個)。

拒絕服務漏洞其實是組件暴露問題，組件一旦被暴露，特定的惡意數據就可寫入組件，從而導致該app崩潰，造成拒絕服務，進而影響app開發者和用戶的利益。

2.1.3總結

以上分析數據說明android類app的安全問題并不容樂觀，需要進一步探究造成漏洞的原因以及解決方案，以盡量避免漏洞的產生及彌補安全問題帶來的影響。

2.2 App漏洞原因分析

Android app的漏洞類型很多，如SQL注入、webview系列漏洞、文件模式配置錯誤、HTTPS不校驗證書、拒絕服務攻擊等，造成漏洞的原因可以歸結為以下兩類：

2.2.1App開發者自身的問題

a)編碼不規范

很多公司對編碼規范沒有要求，或app開發者沒有按照編碼規范來進行編碼，容易導致敏感信息泄露，比如日志打印問題、在發行版本中沒有關閉日志打印功能等。

b)安全意識不夠

很多android函數的參數需慎用，如常用函數openFileOutput，如果設置mode參數為Context.MODE_WORLD_READABLE或者Context.MODE_WORLD_WRITEABLE，就容易泄露android app的數據。另外，接口處理需要更加嚴謹，例如暴露了一個接口，允許運行用戶輸入的信息，若對信息未做任何處理，就容易引起拒絕服務攻擊等安全問題。

2.2.2Android上0day的發現

Android上0day的發現，可導致android app以前安全的功能變得不安全，在android系統沒有補丁的情況下，需及時在android app上打補丁，但鑒于很多android app開發者對漏洞信息不敏感等原因，并未做到及時修補，從而導致漏洞的存在。

總之，Android app的安全問題，很大程度上可能是開發者犯下的低級錯誤。較為有效的解決辦是能夠在代碼編寫過程中使用SDL編碼流程，同時使用漏洞掃描產品對app進行檢測，不斷修補自身app的安全問題。安全無小事，所有app開發者都應重視。

三、總結

篇2

【關鍵詞】 麻醉； 不良事件； 類型； 原因； 安全管理

中圖分類號 R614 文獻標識碼 B 文章編號 1674-6805（2014）26-0150-02

醫療安全是醫療質量管理的重中之重。但臨床中很多手術科室以及疼痛治療室均會應用到物和進行麻醉操作，盡管麻醉醫學已經有一個多世紀的發展，并在設備、技術、理論、藥物、人才培養方面有了很大進步，但仍無法避免出現各種麻醉不良事件。這主要是由于物在使用以及操作過程中，具有一定的復雜性，加上有些物本身存在一些危險因素，決定其是一項高危險的醫療活動，無法避免的出現不良事件。在臨床應用中稍有不慎，就可能會致使患者出現功能障礙、多器官受損、昏迷，甚至死亡等麻醉相關不良事件。可以說，麻醉科是一個高風險學科，確保麻醉的安全性是麻醉永恒的主題[1]。

1 資料與方法

1.1 一般資料

選取2011年1月-2013年12月筆者所在醫院麻醉科發生的200例麻醉不良事件報告作為研究對象。發生不良事件的患者中，女92例，男108例；年齡5～81歲，平均（45.6±10.3）歲。

1.2 方法

對麻醉不良事件的相關資料進行回顧性分析，按照發生時段、年齡、ASA分級等情況進行統計和分析。

2 結果

2.1 麻醉不良事件的發生時段及原因

經統計分析，麻醉不良事件的發生時段分布為：麻醉誘導期108例，占54.0%；蘇醒期65例，占32.5%；手術中15例，占7.5%；回到病房后12例，占6.0%。麻醉誘導期和蘇醒期是發生不良事件的主要時段。對其原因進行整理分析，麻醉技術不熟練97例（48.5%）、麻醉準備不充分64例（32.0%）、麻醉管理不當30例（15.0%）、其他9例（4.5%）。

2.2 不同年齡段麻醉不良事件的主要類型

根據年齡段劃分，在麻醉不良事件中，兒童有34例，占17.0%，主要為呼吸抑制；中青年有125例，占62.5%，主要為手術或麻醉操作損傷；老年有41例，占20.5%，主要為蘇醒期異常和循環波動。

2.3 麻醉不良事件的ASA分級

根據ASA分級標準，Ⅰ級52例，占26.0%；Ⅱ級111例，占55.5%；Ⅲ級37例，占18.5%；其中，呼吸不良事件85例，占42.5%；操作損傷53例，占26.5%；循環不良事件49例，占24.5%；其他13例，占6.5%。

3 討論

3.1 麻醉不良事件的分類

隨著醫學技術的不斷發展，麻醉學得到的長足發展，麻醉學的相關業務范圍也隨之迅速擴展。但麻醉科依然屬于高風險科室，在進行麻醉操作或使用物時無法避免地會出現麻醉不良事件。麻醉不良事件是一個集合名詞，包括以下幾種：（1）麻醉事故。指的是在麻醉的過程中，由于麻醉師在處理藥物，進行麻醉操作或管理時出現人為錯誤，如技術過失、麻痹松懈等，而導致患者殘廢、功能障礙、組織器官損傷甚至死亡現象的情況[2]。（2）麻醉差錯。與麻醉事故有所差別，麻醉差錯指的是一般性后果，而并未導致患者殘廢、功能障礙和死亡等惡劣后果的人為錯誤，與麻醉事故相比，兩者所造成的結果不同。又可將麻醉差錯分為一般差錯和嚴重差錯兩類，其中，一般差錯是指麻醉師由于技術過失或失職行為，給患者造成一定的痛苦。嚴重差錯則是指麻醉師的失職行為或技術過失，給患者造成痛苦，延長了患者的住院周期和治療時間[3]。（3）麻醉意外。指的是由于藥物的特殊作用或麻醉操作、手術不良刺激、患者本身病理生理出現變化等因素，導致意想不到的險情，甚至造成患者死亡的情況。（4）麻醉并發癥。主要是由于物本身或操作方法本身原因而使患者產生某些癥狀或不良反應的情況。如何規避和減少麻醉不良事件的發生，成為永恒的課題。

3.2 麻醉不良事件的發生原因

篇3

關鍵詞：鲇魚山樞紐 安全監測 穩定性

鲇魚山樞紐屬航電樞紐工程，位于景德鎮市下游19km，主要由船閘、泄水閘、電站、公路橋及緩沖堤五大部分，兼有通航，發電、防汛抗旱和灌溉等功能，庫容2300萬m3，樞紐建筑物的基礎全部建在開挖后的巖石基上。

垂直位移

鲇魚山船電樞紐總共布置有37個垂直位移測點，其中增設工作基點處布置有7個沉陷觀測點，其他測點從電站到船閘共布置有30個測點。基本上為每個壩段一個測點。在下游布置兩個垂直位移測量的基準點和工作基點。每年按一等水準測量要求以符合路線進行施測。所有測點也是按一等水準測量要求進行施測，每月觀測一次。測量符合規范標準要求，精度較高。

1、增設工作基點

樞紐共有7個垂直位移測點，分別布置在泄水閘上1個，泄水閘與廠房交界處1個，廠房1個，船閘4個。從7個測點變化看，Y4年變幅最大達到2.93mm，Y7年變幅最小只有1.49mm，也看出整個變化量較小。

2、各建筑物變化情況

電站廠房。電站廠房有J2（處于與泄水閘交界處）兩個測點，從J2點變化看從2009年3月至5月也是先有一個回升過程，約上升變化2.4mm左右，然后再基本維持原有5月份測值變化，變化很微小，波動不足0.3mm，很穩定無變化趨勢和規律，并沒有隨氣溫的下降而進行回復變化，基本是不變。

泄水閘。泄水閘在整個鲇魚山船電樞紐的中部，共13個閘孔，全長151米。左端閘墩布置J1測點，在其右端與廠房交界處布置有J2測點，在最左端和泄水閘中部閘墩上各布置一個測點，分別為W1——W12測點。從J1、J2測點的變化看，自3月份至5月份均有一個2.5mm左右的回升變化，然后基本上變化很穩定一直維持5月份的測值不變。每個閘墩上的測點（W1-W12）也是從3月份至5月份均有一個回升的變化，其后也是沒有什么變化，也沒有隨氣溫下降而下降的回復變化，最大年變幅為W4測點為2.91mm，最小年變幅為W1測點為1.98 mm，從5月份以后的變化就更小了所有測點不足0.3mm的變化量。

船閘。船閘在鲇魚山船電樞紐的最左端，在船閘上布置了21個測點，其中4個測點在上下閘首的增設工作基點處，其它17個測點分別在每個閘塊上。從處于上下閘首的增設工作基點處的4個測點變化看，也是從2009年3月至6月有一個上升變化，約2～3mm左右，7月份又有一個0.5～1.5mm左右的回復下降變化，在之后也就沒什么變化了，也只有不足0.3mm的變化，基本上維持不變。船閘從左閘墻中部的W25#測點開始至W30#以及J5#和J7#測點，在2009年6月份沉陷測量時可能標尺發生了移動，引起測值跳動變化異常，約有3mm左右的粗差。

3、總結

綜合上述各建筑物沉陷變化情況，總體變化均主要是受氣溫影響較大，廠房和泄水閘都表現為從2009年3月至5月隨氣溫的回升而上升變化，均約上升2～2.9mm左右，但在之后即維持5月份測值而未有多少變化，也不隨氣溫的下降而下降變化，加之上游庫水位資料不足，沒有變化全是22.2米，也沒辦法確定其是否和上游水位變化有關。而船閘的變化則是從2009年3月至6月有一個上升變化，約上升了2～3mm左右，在7月份又有1.0mm多的下降變化，之后維持7月份測值變化甚微，也沒有隨著氣溫的下降而下降變化。且各壩段變化幅度均相當，船閘略大些，未發現明顯的不均勻沉降變化，也未見其變化趨勢和變化規律，很穩定。

水平位移

樞紐總共布置了37個水平位移測點，其中增設工作基點布置有7個點，其他水平位移測點從電站到船閘共布置有30個測點。基本上為每個壩塊一個測點。在鲇魚山航電樞紐的上下游河堤上，各布置了一個一等平面控制三角網共8點，是水平位移監測的基準網，也是基點和工作基點，按國家一等三角測量要求每年監測一次。從而實現對增設工作基點的監測。水平位移測點的監測均采用視準線的活動覘標法進行觀測，每月觀測一次。由于視準線法觀測受到視線長度和折光的外界條件影響，精度起伏較大，很難達到較高的統一水平。從測量成果中也可看出，變化有些跳動現象，有點呈鋸子狀變化，規律性不是很好。

1、增設工作基點

增設工作基點從船閘至電站廠房共布置了7個點，J6-J7為左閘視準線的設站點和后視點。J4-J5為右閘視準線的設站點和后視點。J1-J2為泄水閘視準線的設站點和后視點。J2-J3為廠房視準線的設站點和后視點。共計四條視準線進行水平位移的監測。

從這7個增設工作基點觀測成果看，基本上反映了鲇魚山樞紐各建筑物的整體變化情況。順水流方向年變幅大部分在3.9～6.0mm之間變化，平均年變幅為4.7mm。壩軸線方向大部分在3.0～5.0mm之間變化，平均年變幅為3.6mm。可見水平位移變幅較小，壩軸線方向變幅較順水流方向變幅更小，這說明各測點測值變化較穩定。順水流方向最大變幅為靠近廠房的J2測點6.1mm，最小變幅為船閘的J5和J6點只有3.9mm。壩軸線方向最大變幅為泄水閘的J1測點5.3mm，最小變幅也為船閘的J6測點只有2.1mm。由于上游水位變化很小，也沒有較詳的上游水位測量資料，從測值變化看也與上游水位變化情況不是很吻合，其變化還主要是受到氣溫變化的影響大些。尤其是靠近廠房的J2測點以及船閘的J4、J5、J6測點，均不同程度的受到氣溫變化的影響，與氣溫相關較緊密，尤其是J1、J2測點在夏季氣溫高時由于混凝土膨脹，加之J1、J2測點所處的位置在大壩的兩端，一個是靠近左岸船閘一個是靠近右岸廠房，加之在水壓的作用下，表現為略向下游變化，且J1還向左岸變化。但這些測點測值受到了一定外界條件的影響，測值含有一定粗差，變化呈鋸子狀，說明測量精度還有待提高，或者說要盡量避免外界條件的影響，要利用好的時段進行觀測，還有一個是每年都會進行平面控制網的觀測，觀測完成后要對工作基點進行改正，然后再進行增設工作基點測量，測量應嚴格按規范要求進行，這樣可確保測量的精度。

2、各建筑物變化情況

電站廠房。電站廠房只有W13、及J2（處于與泄水閘交界處）兩個測點，這兩個測點中，W13又由于處于無法施測的位置，而未能測到資料，只剩下J2一個測點有測值。從這個測點的測值變化看與氣溫相關緊密，隨著氣溫的回升，大壩混凝土膨脹直接引起在壩軸線方向進行變化，由于J2點靠近右岸，它向右岸方向位移，隨著氣溫的下降則逐漸回復向左位移。在上下游方向上半年也略向上游變化，但在8月至10月份大壩混凝土膨脹達到最大時，在水壓的作用下表現出一個明顯的向下游位移，達到5.5mm左右，但在11月份又立即回至原來的變化量。

泄水閘。泄水閘在整個鲇魚山船電樞紐的中部，共13個閘孔。共布置了水平位移測點共14個，采用視準線法對水平位移測點進行監測。其中增設工作基點有2個，在左端閘墩布置J1點，在其右端與廠房交界處布置有J2點，作為視準線設站點和后視點。在最左端和泄水閘中部閘墩上各布置一個測點，分別為W1——W12測點。極大部分年變幅在2.5～6.0mm之間變化。平均年變幅為3.84mm。最大年變幅為W5測點的6.1mm，最小變幅為W8測點2.1mm。均主要是受到氣溫變化的影響，普遍表現為夏季氣溫高時混凝土膨脹呈向上游變化，冬季氣溫低時混凝土回縮呈向下游變化，尤其是W1-W5測點變化趨勢明顯，規律性也好，說明此視準線測量精度較高，能正常反映出泄水閘的變化規律，另外W7-W9號測點有向下游位移的趨勢，要引起注意，且W10、W11也有向下游位移變化的趨勢，只是較小不明顯而W12則在7、8月份有一明顯向下游變化過程，在9月份后又回位了并繼續向上游變化，在12月份達到最大值向上游變化了2.9mm。這可能與此點靠近右岸廠房或其它有關，也要引起對該點的注意。

船閘。在船閘上布置了21個水平位移測點，其中上下閘首布置了4個增設工作基點，分別為J4、J5、J6、J7點，分別作為左右閘視準線的設站點和后視點。其它17個測點分別在每個閘塊上。從處于上下閘首的增設工作基點處的4個測點變化看，靠大壩的上閘首處的J6、J7點變化較小些，靠下閘首的J4、J5點變化大些，其它在每個閘塊上的測點變化也主要是受到氣溫影響大些，其中左閘墻除了個別測點變化大外，年變幅絕大部分在2.2～4.4mm之間變化，年平均變幅為3.6mm，最大變幅為W30測點達到10.6mm，最小變幅為W28測點只有1.5mm的變化。右閘墻大部分測點在2.3～4.4mm之間變化，年平均變幅為3.2mm，最大變幅為W14達到5.4mm的變化量，最小變幅為W19測點只有1.6mm的變化量，可見此視準線測量精度較高。個別測點如W30可能是此點在2009年10月份遭到損壞所致，但在測量中要對出現突變的測點進行分析并進行說明。

3、總結

綜合上述各部位變化情況整個水平位移變化較小、較穩定，主要受氣溫變化影響大些，大部分測點隨著氣溫的回升而向上游位移，隨著氣溫的下降而呈向下游位移變化，但變幅均不大，也符合鲇魚山船電樞紐的實際。除去個別突變測點外最大變幅為6.1mm，最小變幅只有1.5mm。但W7-W9號測點有逐漸向下游變化趨勢，要引起重視加強監測。泄水閘和廠房的變化量大些，船閘的變化量小些。視準線測量精度還可以，但個別測點可能受到損壞，引起測值突變且是不可回復的變化，這要加強對測點的保護。

結語

篇4

風險關不通過，其它一切都是免談。

數據顯示，2005年，我國非金融類對外直接投資69.2億美元，較上年同期增長25.8%；2006年，我國非金融類對外直接投資161.3億美元，同比增長31.6%；截至2006年底，我國累計非金融類對外直接投資733.3億美元。 非金融類對外直接投資連續三年上漲，漲幅也越來越大，對外投資發展速度也越來越快。因此，風險保障的需求就更大。

鄭磊介紹說，對外直接投資需要考慮的因素有很多，但是風險是一般企業在進行對外貿易時最先需要考慮的一大要素。只有風險在企業可接受范圍之內，才有可能進一步考慮產品的開發、工廠的選址以及長遠的規劃等問題。但是，在對外直接投資中，也存在諸多風險是企業都難以捕捉，防不勝防的，因此，再成熟的風險評級報告也有難以預料的風險。比如說，按照評級顯示，意大利是相當成熟的市場，風險級別很低，但是卻也出現過企業貨物被燒的風險。“對于一些人力不可預知的風險，解決的關鍵就不在于如何評級警示風險，而在于提供相應配套的保險保障。”鄭磊認為。

據記者了解，在歐美等發達國家，針對對外投資風險防范和保障方面，無論是保險公司還是政府的防御措施都相當成熟。而我國由于起步較晚，企業對外直接投資經驗貧乏，政府方面在對外資貿易風險方面的工作也很薄弱。資料顯示，由商務部提供的對外投資數據以及外部投資環境，在時間上以及內容上均相對分散，缺乏整體性和可觀性。

“以前企業進行對外投資貿易，大部分風險警示都是由商務部或外資司不定期，隨機性很強，而且基本上也都是能預料到常規風險。比如說，匯率的風險，戰爭的風險等。當一個企業在一個地方已經有巨大投資的時候，不定時的風險預警出現，企業也不能馬上就撤資。這種風險預警方式存在很大的缺陷性。”鄭磊說。

《報告》的中國出口信用保險公司，是我國惟一一家承辦政策性出口信用保險業務的金融機構，業務主要是海外投資保險業務、來華投資保險業務和租賃保險業務。投資保險的產品種類包括，海外投資（股權）保險、海外投資（債權）保險、來華投資（股權）保險、來華投資（債權）保險、海外租賃保險和來華租賃保險。

“《國家風險分析報告》對企業開展跨國經營評估，規避海外政治性風險提供指導是十分必要的，有利于我國出口貿易、海外工程承包和海外投資平穩發展。”商務部國際貿易經濟合作研究院梅新育博士說。

篇5

一、“小城大院”整改情況

“小城大院”燃氣使用安全隱患發現后，住建局第一時間進行整改，6月21日對供氣企業主要負責人進行了約談，責令其立即停止供氣，撤除現場所有氣瓶，同時移交城管局依法進行處罰。同時，6月23日對占據城區餐飲場所供氣市場的另外兩家瓶裝液化氣企業主要負責人組織進行約談，并將約談要求延伸至全市所有瓶裝液化氣企業，要求所有企業舉一反三，立即組織開展對各自餐飲用戶的全面排查工作，對所供氣餐飲用戶存在隱患的要督促整改到位，不具備安全用氣條件的要停止供氣，排查整改情況要按照統一格式形成清單，7月上旬統一上報。

6月24日，**鎮在開展餐飲場所燃氣安全檢查時發現一處安全隱患，住建局及時跟進，對供氣企業違法違規供氣的行為進行調查取證，并移交城管局依法進行處罰。

二、瓶裝液化氣餐飲場所管理基本情況

今年以來，住建局大力推進瓶裝液化氣“實名制”銷售工作，以瓶裝液化氣安全監管信息系統為重要抓手，通過信息化管理手段強化用戶管理，實現用戶實名制登記、供用氣合同簽訂、定期入戶安檢的管理模式，并在線實時監控。目前，我市瓶裝液化氣安全監管信息系統中已實名制登記瓶裝液化氣餐飲用戶1342戶，協議簽訂率98.73%，餐飲場所定期入戶安檢率96.13%，瓶裝液化氣餐飲用戶的系統實名制登記錄入、供用氣合同簽訂以及定期入戶安檢工作已基本實現全覆蓋。

三、存在的主要問題

目前瓶裝液化氣餐飲用戶管理在于供應端主要還存在一些問題，列舉如下：

（一）情況不明晰。主要為燃氣企業對餐飲用戶的用氣環境、用氣條件掌握不夠清楚。當前瓶裝液化氣市場存在的一項根深蒂固的通病，即用戶資源往往掌握在送氣服務人員手中，燃氣企業與用戶之間存在“隔閡”。絕大部分的送氣服務人員雖然與燃氣企業之間有勞動合同，屬于管理與被管理關系，但大部分本質上并不隸屬于燃氣企業，對其管理約束的力度不夠，送氣服務人員的責任心、安全素質參差不齊，導致部分餐飲場所雖不具備安全用氣條件，但送氣服務人員或是出于利益驅使、或是隱患識別能力不足仍然進行送氣。

（二）安檢不到位。瓶裝液化氣用戶面廣量大，目前階段實現全面安檢企業主要還需依靠送氣服務人員。囿于送氣服務人員責任心、安全素質參差不齊、燃氣企業對其管理約束力度不夠，導致入戶安檢質量不高。另一方面，瓶裝液化氣企業多，競爭激烈，加之境外供氣市場侵擾，燃氣企業出于利益驅動，往往只要不存在重大安全缺陷（如地下半地下）就進行供氣。

（三）宣傳有欠缺。近年來隨著燃氣相關法律法規的逐步修訂完善以及管理要求的日益提高，燃氣企業對于用戶的安全管理責任在思想上逐漸得以認識，在行動上得到落實，主要體現在將用戶納入企業用戶管理系統進行實名制管理、定期進行安檢（一年不低于一次）。燃氣企業對于用戶的宣傳教育最直接、最有效的方法為通過送氣服務人員送氣上門或入戶安檢時面對面反復進行宣傳提醒、發放宣傳資料，目前因為送氣服務人員管控原因導致宣傳一定程度還存在欠缺。

（四）執法待加強。以往頂層制度的不健全、不完善，燃氣管理、執法力量的相對薄弱，導致對于燃氣企業在用戶管理方面存在的不到位或者違法違規行為執法查處力度不夠。

四、解決措施

2020年以來，隨著國家、省級層面對于瓶裝液化氣管理要求不斷提高，伴隨著新的《江蘇省燃氣管理條例》、《江蘇省瓶裝液化石油氣配送服務管理辦法》等一批政策的出臺，瓶裝液化氣實名制銷售、瓶裝液化氣安全監管信息系統應用、瓶裝液化氣統一配送等一系列工作陸續提上日程，隨之而來的是對于瓶裝液化氣用戶安全管理日益重視，供氣企業的責任和要求也更加明確。下一步，住建局將嚴格按照燃氣相關法律法規以及各級有關工作要求認真抓好燃氣管理工作。主要將采取以下工作措施：

（一）加快建立區域化統一配送機制。目前瓶裝液化氣市場秩序混亂、種種矛盾問題滋生的深層次原因主要因為過多的經營主體之間存在無序競爭甚至惡意競爭，導致燃氣企業對于用戶的安全管理責任難以落實到位。因此，推動經營市場整合、實現區域化統一配送服務的管理運行機制是解決諸多問題的必要手段。前期，住建局通過開展大量工作已初有成效，已初步形成4家企業牽頭、9家企業參與成立的統一配送公司。下一步將圍繞統一配送的總體要求，抓緊形成全市一盤棋的統一局面，在此基礎上實行全市范圍內“五統一”集中統一配送服務，徹底打通“最后一公里”，消除橫亙在燃氣企業與用戶之間的“氣販子”問題。

（二）加強瓶裝液化氣配送企業入戶安檢監管。落實《南通市城鎮燃氣入戶安全檢查標準》，規范城鎮燃氣企業入戶安檢工作；加大對送氣服務人員、入戶安檢人員的培訓考核，組織配送企業送氣服務人員培訓并考核發證，督促入戶安檢人員考取用戶檢修工證；大力推廣隨瓶安檢，實行定期安檢和隨瓶安檢相結合；建立配送企業入戶安檢情況抽檢制度，通過定期組織用戶抽檢，檢驗配送企業入戶安檢工作。

（三）加強用氣宣傳教育提升用戶安全用氣意識。一方面住建局通過多種途徑采取多種形式加大燃氣安全宣傳力度，另一方面督促區鎮街道及燃氣企業建立健全燃氣安全宣傳制度，通過定期安檢、隨瓶安檢的契機，向餐飲用戶發放宣傳折頁，提醒用戶注意使用安全，提高用戶的安全意識和安全用氣技能。

篇6

關鍵詞：產科超聲危急值報告；臨床醫療安全；相關性

由于人們的臨床醫療安全意識越來越強，醫院安全管理越來越受到醫院的重視[1]。隨著現代醫療技術的不斷發展，關于確保患者醫療安全方面的保障制度也越來越完善。本文為了分析產科超聲危急值報告與臨床醫療安全相關性，對我院2012年1月～2014年2月收治的120例孕產婦進行研究，以供臨床研究參考，現報告如下：

1資料與方法

1.1一般資料 本次研究選取我院2012年1月～2014年2月收治的120例孕產婦作為研究對象，將2012年1月～2013年1月未建立產科超聲危急值報告制度收治的60例孕產婦作為對照組，2013年2月～2014年2月建立產科超聲危急值報告制度后收治的60例孕產婦作為觀察組。對照組：平均年齡（23.81±1.61）歲；孕產史：43例初產婦，17例經產婦；受教育程度：34例大專以上，26例高中或以下。觀察組：平均年齡（25.54±2.15）歲；孕產史：45例初產婦，15例經產婦；受教育程度：36例大專以上，24例高中或以下。對照組和觀察組患者在年齡，孕產史，受教育程度等臨床資料比較無明顯差異（P>0.05）。

1.2方法 產科超聲危急值報告制度構建方法：①制定危急值登記制度：產科及超聲科應分別建立"危急值"報告登記本[2]，對危急值處理過程和相關信息做詳細記錄，完成登記環節工作。②規范產科超聲危急值報告流程：超聲科詳細記錄診斷結果并立即通知相關護士，護士接到危急值報告后立即通知主治醫生，主治醫生接到通知后立即做出處理決定，當無法果斷處理要向科主任匯報詳細情況，出現死亡情況，由科主任向分管院長匯報。③明確工作職責及合理分工：醫護人員明確各自職責，發現異常情況及時報告和記錄。

1.3觀察指標 統計對照組和觀察組孕產婦的不良結局發生率、醫療干預時間。

1.4統計學處理 本研究中的不良結局發生率為計數資料，用%表示，采用軟件SPSS17.0版進行卡方檢驗；醫療干預時間為計量資料，用（x±s）表示，采用軟件SPSS17.0版進行t檢驗。如果存在P

2結果

觀察組的不良結局發生率和醫療干預時間均明顯低于對照組，見表1。

3討論

建立危急值報告制度一方面能為患者爭取更多搶救時間，另一方面能提升醫院管理水平。危急值報告制度建立使醫院各個科室能夠及時有效的進行溝通，使醫院的業務水平有一定程度的提高，同時還能增強醫護人員的責任意識。

危急值是指與正常值參考范圍存在較大差距的檢驗或檢查值[3]，并提示患者生命安全可能存在危險性。產科超聲危急值報告制度的建立可參照檢驗危急值報告制度流程，并由產科科室和醫技科室共同制定其具體項目及范圍。產科超聲危急值報告具體內容包括臍帶異常、胎盤異常、胎心異常、孕產婦異常、妊娠異常五方面[4]，在超聲檢查過程中，臍帶異常是指臍帶先露、臍帶扭轉、臍帶繞頸、臍帶脫垂以及臍帶真結，并其維持時間不少于三星期；胎盤異常是指完全性前置胎盤、帆狀胎盤且伴有前置血管、胎盤早剝；胎心異常是指胎兒心跳停止、胎心過速或過緩、胎心節律不齊；孕產婦異常是指卵巢腫瘤蒂扭轉、卵巢腫瘤蒂破裂、黃體破裂；妊娠異常是指輸卵管妊娠、宮角妊娠、宮頸妊娠、間質部妊娠、殘角子宮妊娠。

產科超聲危急值報告制度的建立有助于實施持續質量改進，為醫院醫療安全提供有效保障。超聲危急值報告制度還可以預見產科中存在的風險因素，并能及時獲得患者病情，從而能及時采取相關干預措施，有效確保患者生命安全及健康。另一方面，產科超聲危急值報告制度的建立還能為醫生選擇適合孕產婦的分娩方式提供重要依據。

本研究中，觀察組在建立超聲危急值報告制度后，不良結局發生率明顯低于對照組，醫療干預時間明顯短于對照組。通過上述討論和研究結果的分析，我們可以得出結論：超聲危急值報告制度的建立可以增強臨床醫療安全性，具有良好的臨床應用價值。

參考文獻：

[1]劉銀芝.產科超聲危急值報告與臨床醫療安全相關性的研究[J].中國醫藥指南，2013，36（36）：68-69.

[2]蔣惠琴.產科超聲危急值報告與臨床醫療安全相關性的分析[J].吉林醫學，2014，32（32）：7200.

篇7

在8月份的分析報告中，安全專家發現，在pump-and-dump(拉高與出倉)股票騙局中，垃圾郵件發送者會推銷特定的股票，目的是盡可能地哄抬股價，然后在其估值跌回實際價值之前將其售出。這些騙局的垃圾郵件試圖令潛在目標相信，某低價股票實際上物超所值，或者它很快會飆升。多數此類說法要么是在誤導公眾，要么是虛假信息。

成功的pump-and-dump垃圾郵件活動將人為地把該股票的價格哄抬到詐騙者決定賣出的價位。在賣出股票的同時，詐騙者的垃圾郵件發送活動往往也會終止，這樣一來，人們對該股票的興趣也將相應降低，促使其估值回到原始的價位。

Symantec.cloud高級智能分析師保羅?伍德(Paul Wood)表示：“如果pure-and-jump垃圾郵件發送活動進展順利，詐騙者在幾天內即可獲得可觀的利潤。在當前動蕩的環境中，許多人可能會被說服，從而對詐騙者聲稱的可從市場動蕩中獲益的股票進行投資。”

另外，報告進一步分析顯示，2011年前七個月出現的新的主引導記錄(MBR)威脅數量相當于過去三年數量的總和。MBR是硬盤上的一個區域(通常是第一個扇區)，電腦用它來執行啟動操作。電腦開機后，硬件最先讀取并執行的一塊區域就是MBR，比讀取操作系統還要早。

篇8

關鍵詞：概率安全分析；共因失效；數據處理

中圖分類號：TL364 文獻標識碼：A 文章編號：1009-2374（2013）31-0011-03

1 概述

核電廠的概率安全分析表明，共因失效在系統的不可靠度中占有相當重要的貢獻。本文對共因失效數據分析方法進行總結和研究，主要包括共因失效定義、共因失效事件分類、共因失效數據處理步驟、共因失效事件的定量計算以及共因失效參數計算五個部分，得到共因失效數據處理的方法，以期更深刻地理解共因失效、更精細地研究共因失效、更詳細地評價共因失效和更有效地預防共因

失效。

2 共因失效定義

共因失效定義依賴于對相關事件的理解，下面對相關事件做出定義。如果滿足下式，則事件A和B相關：

P（A∩B）P（B|A）×P（A）=P（A|B）×P（B）≠P（A）×P（B）

其中：P（X）為事件X的發生概率。

如果A和B表示安全系統的失效，那么兩個系統都失效的實際失效概率將大于假定A和B獨立計算得到的概率。也就是，相關性失效會降低安全冗余性。相關性可分為內在相關性和外在相關性。

內在相關性指的是：一個設備的功能狀態受另外一個設備功能狀態的影響。有如下三類內在相關性：（1）功能需求相關性：一個設備的功能狀態決定另一個設備的功能狀態；（2）功能輸入相關性：一個設備的功能狀態依賴另一個設備的功能狀態；（3）串聯失效：一個設備的失效導致另一個設備的失效。

通過組合上面三類內在相關性，可以得到其他類型的內在相關性。已知的內在相關性應該也通常是在系統模型中明確的模化。

外在相關性指的是：不是系統內在固有的功能特征的相關性，這些相關性的來源和形成機理通常來自系統外部。有下面兩類：（1）實體/環境：所處的環境類似；（2）人因相關性：人機交互造成。

以往對共因失效提出過幾個不同的定義。有的很寬泛，涵蓋了整個的相關性失效，有的根據軟件的不同而給出不同的定義。NUREG/CR-4780把共因失效作為相關性失效的一個子集，定義為：兩個或更多設備由于共同的原因同時或很短時間內失效。為與現行的分析保持一致，排除了那些在模型中已經明確模化的相關性失效。

構成共因失效需要滿足如下兩個條件：（1）由共同的根原因造成的設備失效；（2）由一定的根原因通過一定的耦合機理對多個設備形成相似的情形而導致的設備失效。

另外NUREG/CR-4780還對構成共因失效提出了時間的要求，這是考慮到現行的概率安全分析是在指定的任務時間內進行的，因而共因失效也應在指定的時間內發生，才會在概率安全分析中考慮。

3 共因事件分類

可從如下三個方面對共因事件進行分類：失效原因、耦合機理、預防機制。通過分類可以更全面系統地認識共因失效。

共因事件按失效原因的分類如圖1所示。原因歸納為7大類。

共因失效事件按耦合機理的分類如圖2所示。有硬件質量、設計、維修、操作和環境5個分類。

共因失效事件按預防機制的分類如圖3所示。可以通過功能屏障、實體屏障、監測/強調、維修人員和計劃、多樣性和設備識別6個方面的改進來預防共因失效事件的發生。

4 共因失效數據處理步驟

共因失效數據處理可分為六個步驟：識別分析邊界、收集數據、處理數據、定量化計算、形成數據庫和參數計算。整個步驟如圖4所示：

識別分析邊界：包括要分析的電廠的系統和設備邊界以及運行事件的邊界。要注意設備失效包含哪些部分失效，避免遺漏和重復計算這種失效。

收集數據：搜尋可獲取的數據源，包括通用數據源和特定數據源以及分析報告等。

處理數據：依照共因失效的定義及分類，開始對數據進行處理，以確定存在的共因失效。可把包含數據的事件分為4種類型：共因事件、獨立事件、沒有失效的事件和不進行研究的事件。

形成數據庫：對共因事件進行定量化計算后，把共因事件和獨立事件進行編碼，輸入到數據庫中。

定量化計算在第五部分講述，參數計算在第六部分中講述。

5 共因失效事件的定量分析

共因失效事件的定量分析方法一般采用事件影響矢量法。影響矢量是對共因事件的數字化的表示。對于有m個設備的共因組，影響矢量有m+1維。例如包含2個設備的共因組，可能存在如下的的影響矢量：[1，0，0]：沒有設備失效；[0，1，0]：有且只有一個設備失效；[0，0，1]：兩個設備都失效。

在數據源或分析報告中存在有些事件的描述沒有足夠的細致的情況，例如3個設備的共因事件，沒有說明是2個還是3個設備失效，這種情況下通過下面的方法進行處理。

2個和3個設備失效的影響矢量分別記為：I1=[0，0，1，0]；I2=[0，0，0，1]。

處理過程中要對這兩個影響矢量分配權重，例如認為90%的可能為2個設備失效，10%的可能為3個設備失效，則3個設備共因事件的平均影響矢量為：

I=0.9×I1+0.1×I2=[0，0，0.9，0.1]

通用的平均影響矢量的計算有下式：

I=WiIi

其中：N為可能的影響矢量數目；Wi為各影響矢量的

權重。

計算影響矢量時，還要考慮設備的降級程度不同、時間分布問題、備用失效率模型的選取以及原因的不確定性等因素，因而需要附加更多的因子，對這些因素的考慮方法由于篇幅所限不再講述，最終的計算公式如下：

ICCF=[cqF0，cqF1，…，cqFm]；Ic1=[（1-cq）（1-P1），（1-cq）（1-P1），0，…，0]…Icm=[（1-cq）（1-Pm），（1-cq）（1-Pm），0，…，0]

其中：c為原因的不確定性因子。

總的平均影響矢量為：

I=ICCF+Ici

所有事件的影響矢量確定后，便可計算每個影響分類的事件數目，如下式：

nk=Fki

其中：m為共因組中設備的數目。

在Beta模型、Alpha模型和MGL模型中選擇一種共因失效模型，即可根據計算得到的事件數目，計算模型的各個因子。

6 共因失效參數計算

有了數據庫之后，根據上面的計算方法，計算所關心的共因失效參數，共因參數定量處理式如表1所示，表中數據為美國核電廠運行經驗數據。

7 結語

概率安全分析結果表明，共因失效在系統的不可靠度中占有相當重要的貢獻。本文通過對共因失效定義、共因事件分類、共因失效數據處理步驟、共因失效事件的定量計算、共因失效的參數計算進行分析，研究總結了共因失效數據分析方法，提供了依據現有數據源和分析報告建立共因失效數據庫的方法。

通過對相關性失效的探討，明確了現行分析中采用的共因失效的定義和共因失效的范圍。從共因失效發生的原因、共因失效原因的耦合機理以及預防共因失效的機制方面對共因失效進行了大概的分類，可以更好地認識共因失效。對共因失效事件的定量分析方法的研究，可以通過這種方法依據現有的數據源和分析報告建立共因失效數據庫，從而計算得到實際工作中需要用到的共因失效參數。

參考文獻

[1] U.S.Nuclear Regulatory Commission，“Procedures for Treating Common-cause Failures in Safety and reliability Studies” [R].NUREG/CR-4780， Volume 1， January1988， and Volume 2， January 1989.

[2] U.S， Nuclear Regulatory Commission， “Common-cause Failure Database and Analysis System” [R].NUREG/CR-6268（INEEL/EXT-97-00696）， Volume 1/2/3/4，June 1998.

[3] U.S， Nuclear Regulatory Commission， “Common-cause Failure Database and Analysis System：EventData Collection， Classification， and Coding”[R].NUREG/CR-6268（INL/EXT-97-12969），Rev.1， Jun 1998.

[4] U.S， Nuclear Regulatory Commission， “Common-cause Failure Parameter Estimations” [R].NUREG/CR-5497（INEEL/EXT-97-01328）， October 1998.

篇9

關鍵詞：信息安全；需求；分析

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2844-02

The Requirement of Information Security the Analysis for An Enterprise of Fujian

CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.

Key words: information security; requirement; analysis

1 引言

隨著信息化程度的不斷提高和互聯網應用的不斷發展，新的信息安全風險也隨之不斷暴露出來。原先由單個計算機安全事故引起的損害可能傳播到其他系統和主機，引起大范圍的癱瘓和損失。根據CNCERT 統計報告指出，2007年接受網絡安全事件報告同比2006年增長近3倍，目前我國大陸地區約1500多萬個IP 地址被植入木馬程序，位居全球第二位（其中福建省占10%，居全國第三位）；有28477個網站被篡改（其中政府網站占16%）；網站仿冒事件占居全球第二位；拒絕服務攻擊事件頻繁發生。

針對于次，為福建企業制定一個統一、規范的信息安全體系結構是迫在眉睫的。本文根據福建企業特點，參照國內外有的規范和理論體系，制定了企業信息安全需求調研計劃，并對調研結果進行分析，為進一步制定信息安全體系結構和具體實施建議奠定堅實基礎。整個分析報告按照圖1的步驟形成。

2 分析報告指導理論模型框架

2.1 總體指導模型

一個完整的信息安全體系由組織體系、技術體系和管理體系組成，如圖2所示。

其中，組織體系是有關信息安全工作部門集合，這些部門負責信息安全技術和管理資源的整合和使用；技術體系則是從技術的角度考察安全，通過綜合集成方式而形成的技術集合，技術體系包含內容有安全防護、安全檢測、安全審計、應急響應恢復、密碼、物理安全、安全機制與安全服務等；管理體系則是根據具體信息系統的環境，而采取管理方法和管理措施的集合，管理體系涉及到的主要內容管理制度、管理規范、教育培訓、管理流程等。

2.2 ISO/IEC 15408 標準

圖1 分析報告形成流程

圖2 信息安全體系結構

圖3 GB/T18336 標準要素關系

信息技術安全性評估通用準則ISO15408已被頒布為國家標準GB/T18336，簡稱通用準則（CC），它是評估信息技術產品和系統安全性的基礎準則。該標準提供關于信息資產的安全分析框架，其中安全分析涉及到資產、威脅、脆弱性、安全措施、風險等各個要素，各要素之間相互作用，如圖3所示。資產因為其價值而受到威脅，威脅者利用資產的脆弱性構成威脅。安全措施則是對資產進行保護，修補資產的脆弱性，從而可降低資產的風險。

3 分析報告素材獲取

作為分析報告，必須要有真實的分析素材才能得出可靠的分析結論。我們在素材獲取方法、獲取內容、獲取對象和最后素材整理上都有具體規范。

3.1 獲取方法

在素材獲取方法上，采取安全訪談、調查問卷、文檔資料收集等3種工作方法來獲取信息安全需求。

3.2 獲取對象與內容

素材獲取對象為兩種類型，分別為部門領導和普通員工。其中：部門領導主要側重于信息安全管理、崗位、流程、資產和培訓方面的信息獲取；普通員工主要側重于信息安全崗位責任、操作習慣和安全配置與管理方面的信息獲取。

素材獲取內容分三個方面：一是管理調研；二是業務；三是的IT技術調研。素材獲取內容安排有五種類型，其中：管理類2種，分別為高層管理訪談和中層部門領導訪談；技術類2種，分別為網絡安全訪談和主機及數據庫信息安全訪談；業務類1種，為業務及應用系統安全訪談。

最后的素材資料整理分為管理和技術兩大類資料。

4 目前信息安全現狀的分析

4.1 組織現狀分析

通過對最后資料的分析看出，目前有一些企業對信息安全的管理還是十分重視的，很多成立了自己的安全小組，安全小組也定義了各個崗位，并明確了職責。安全小組目前的還存在著幾點不足的地方：

1）安全小組的人員大部分是兼職工作，安全工作往往和本職工作之間存在的工作上時間沖突問題；2）安全小組的側重于生產安全，信息安全的工作內容不夠突出，信息安全的專業性不夠強；3）信息的安全的監督機制有，并有一些安全考核的指標，較難執行，執行力不夠；4）信息安全的人事培訓管理已經作得比較好，可以增加信息安全方面專家的培訓內容，更好的提高每個員工的信息安全意識。

4.2 信息安全管理現狀

目前，許多已經有IT支持能力的企業在信息安全管理方面還有以下地方可以完善：對信息安全策略定義可以進一步完善；控制方式比較分散，不夠統一；制度上可進一步細化，增強可操作性；在項目的安全管理上還有很多可以完善的地方；增加人力投入，加強安全管控。

4.3 信息安全技術現狀

通過對最后技術資料的分析，得知以下信息安全基本情況：

1）主機的安全運行有專門的技術人員支持和維護，建立了比較全面的安全操作規范，具備應對突發事件的能力，能夠比較好的保障主機系統工作的連續性和完整性；2）主機系統的安全管理主要涉及到服務器硬件、操作系統、數據庫系統、應用服務系統等內容，密鑰管理手段不科學，主機系統的日志缺乏定期的安全分析，主機的安全風險依賴于管理者的安全配置，缺少安全管理工具和安全監測措施；3）主機安全人員配備上沒有專職的系統安全管理員，一個人需要管理多臺主機設備，主要靠人工監視主機系統的運作管理；4）用戶安全管理方面，口令管理手段不科學；5）主機漏洞修補方面不及時，已知漏洞不能完全堵上；6）主機系統的安全管理手段主要依賴系統自身提供的安全措施；7）主機系統的日志沒有無遠程備份日志服務器；8）主機設備類型多，監測和管理手段依靠人工方式，沒有自動工具；9）系統人員管理一般從遠程管理主機，沒有全部采取遠程安全措施；10）部門分工按職能劃分，未按系統劃分。

5 分析結論：信息安全需求

基于以上分析，得出了以下結論，主要分為信息安全整體需求和集體歸納。

5.1 信息安全整體需求

大部分的企業沒有建立起完善的信息安全組織、管理團隊，技術方面欠缺。從總體上考慮，信息安全管理需要解決以下問題：

1）企業內部的信息安全組織結構的協調一致性；2）技術和管理方法的發展均衡性；3）公司內部的業務發展急迫性與信息安全建設周期性之間的矛盾；4）員工之間對信息安全認知的差異性；5）與第三方機構（供應商、服務商、應用開發商）之間的信息安全管理關系。

5.2 信息安全需求的集體歸納

5.2.1 信息安全組織與管理

根據上述對信息安全組織和管理現狀的分析，安全組織與管理總體需求可以歸納為：在組織方面，建立打造一支具有專業水準和過硬本領的信息安全隊伍；在管理方面建立相應的信息安全管理措施。

5.2.2 網絡安全需求

網絡安全，其目標是網絡的機密性、可用性、完整性和可控制性，不致因網絡設備、網絡通信協議、網絡管理受到人為和自然因素的危害，而導致網絡傳輸信息丟失、泄露或破壞。集體為：

1）集中統一的網絡接入認證、授權、審計安全技術；2）集中統一的網絡安全狀態監測技術；3）針對通訊網絡系統的網絡開發安全檢查工具集，包括網絡安全策略執行檢查、網絡漏洞掃描、網絡滲透測試等；4）能夠支持網絡的安全綜合管理平臺，能夠支持網絡用戶安全管理。

5.2.3 主機系統安全需求

主機系統的安全需求歸納如下：

1）諸多主機的集中認證、授權、審計安全管理技術；2）針對主機系統的安全狀態監測技術；3）針對主機系統的安全檢查工具包；4）能夠支持主機的安全綜合管理平臺。

5.2.4 數據安全需求

數據安全，是指包括數據生成、數據處理、數據傳輸、數據存儲、數據利用、數據銷毀等過程的安全。其目標是保證數據的保密性、可用性、完整性、可控制性，確保不因數據操作、操作系統、數據庫系統、網絡傳輸、管理等因素受到人為的或自然因素的危害而引起數據丟失、泄露或破壞。具體需求要求如下：

1）需要建立一個支持認證、授權、審計、安全等功能的數據生命周期管理機制；2）需要建立一套數據攻擊防范系統，包括非法行為監控、威脅報警、數據垃圾過濾等；3）需要建立一套數據容災系統，能夠提供數據應急響應、防止失竊、損毀和發霉變質。

5.2.5 應用系統安全需求

應用系統安全，是指包括需求調查、系統設計、開發、測試、維護中所涉及到的安全問題。其目標是應用信息系統的保密性、可用性、完整性、可控制性，不致因需求調查、系統設計、開發、測試、維護過程受到人為和自然因素的危害，從而導致應用信息系統數據丟失、泄露或破壞。應用方面的安全需求歸納如下：

1）需要建立一套關于應用系統分類、應用系統安全接口、應用系統操作流程等方面的應用系統管理規范；2）需要建立一套獨立的應用系統安全測試環境，滿足應用系統上線前能夠得到充分的安全測試；3）需要建立一個基于角色認證、授權、審計的授權管理系統，能夠支持按員工的工作崗位授權管理，能夠支持事后責任追查的法律依據；4）需要建立一個統一集中的應用系統監控管理平臺，能夠支持檢測到異常的操作。

6 結束語

文章通過對福建某企業的信息安全現狀進行相關素材獲取，依照信息安全體系相關標準對整理后資料進行分析，得出了該企業的信息安全現狀的評估結論，并提出了此類企業在信息安全體系建設上的需求分析。本文的結論，對此類企業的信息安全體系建設有一定的參考意義。

參考文獻：

[1] 張世永.網絡安全原理與應用[M].北京:科學出版社,2003.

[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.

[3] 董良喜,王嘉禎,康廣.計算機網絡威脅發生可能性評價指標研究[J]. 計算機工程與應用，2004,40(26):143~148.

篇10

9月14日，360企業安全集團的態勢感知與安全運營平臺（NGSOC）在多家銀行、政府、企業客戶的見證下。360網神董事長兼CEO齊向東介紹，NGSOC是一款以大數據安全分析能力為基礎、以威脅情報為驅動的新一代產品。它將會成為新的安全智慧的核心，給企業與機構的安全管理運營提供了新的“大腦”與智慧協同的平臺。

大數據加速安全產品協同化

現代戰爭需要協同陸、海、空各個兵種聯合的力量才能有機會取得勝利，我們已經看不到依靠單一兵種能夠取得戰爭勝利的例子。網絡攻擊如今就像置身于現代戰爭一樣，不能只依靠終端或者防火墻等單一產品來防范和發現各類威脅和攻擊了。

齊向東表示，傳統網絡安全防護模式已經無法應對日益頻繁的，新的和更高級的網絡攻擊。在提出了數據驅動安全理念后，360在今年互聯網安全大會上又提出了協同聯動的安全理念。希望能夠實現不同的安全設備之間的協同聯動，來提升應對網絡威脅的防護能力。

為了構建這樣一個協同安全產品，360在2016年先后了新一代的威脅感知系統（360天眼）、新一代的終端安全系統（360天擎）、新一代智慧防火墻（360天堤）。現在只缺一個情報樞紐，將數據進行匯總分析協同響應，貫穿監測與防護整個體系，來達到智慧安全的協同，這就是今天的360態勢感知與安全運營平臺，也叫NGSOC。

根據Gartner的2016年安全信息與事件管理（SIEM）市場分析報告顯示，在產品功能方面，國際SIEM廠商都在加入威脅情報、異常檢測、行為監測、用戶行為分析功能。領先的SIEM廠商則在將其產品與大數據平臺進行整合。這說明結合大數據分析平臺和威脅情報支持將是SOC產品的未來方向。

齊向東介紹， NGSOC自身具有很多的優勢。首先，360創新性地將互聯網大數據分析平臺用在NGSOC中，能夠實現海量數據的存儲、實時挖掘和分析。對海量日志進行數據分析，是確保360態勢感知和安全運營平臺有異常行為發現的能力，使得平臺可以更加準確及時地發現各種潛在威脅和攻擊，并及時響應和處置。這也是國內第一個把實時的挖掘分析、告警、響應和處置聯動起來的一套系統。

其次，態勢感知和安全運營可視化分析技術，可以將企業內外部安全態勢進行直觀的呈現。在一個平臺上既可以感知到企業外網即外部世界的安全態勢，同時又能夠可視化直觀地展示企業內部即現在所面臨的安全態勢，NGSOC都能快速定位和處置并拓展分析，從而可以保障企業業務系統的順利進行。

同時，360態勢感知與安全運營平臺對傳統SOC的革新與豐富，基本上是符合、甚至是引領業界方向的。

智能、可視化的平臺

作為一家從互聯網起家的安全公司，360一直具有濃厚的互聯網基因。360態勢感知與安全運營平臺也是360核心優勢技術集中的一個產品，除了大數據分析等技術之外，另外一個就是可視化技術。據了解，360在三年之前就開始接觸可視化技術，并參加了當時全球最大的一個競賽項目，競賽的目的就是將真實的數據拿過來進行可視化分析，看看它到底能給安全帶來哪些幫助和作用。

360企業安全集團總裁吳云坤表示，“可視化分析的作用是這樣，數據評比有時候是雜亂無章的，通過不同的眼睛和視覺，呈現出來的所謂的異常，包括一些規律性的東西，通過可視化可以讓人通過肉眼的方式找到。” 可視化分析技術將企業內外部安全態勢進行直觀的呈現，使得企業的管理者能夠實時掌握企業內的安全狀況，甚至對行業、地域的安全態勢進行對比；而對于安全運維人員，以資產和人為視角出發的安全管理，豐富的安全運維與服務工具，也會幫助提升日常的安全管理運維效率。

目前可視化技術已經在國內很多行業進行了應用，一些高校和競賽中也開始對此進行研究和實踐。通過可視化技術（不僅僅是數據，還有圖片等等信息），還可以實現溯源分析，甚至在一些特殊機構中可以進行間諜行為分析。

“可視化技術和大數據分析是緊密關聯的，也是研究數據的一種方法”。360企業安全集團副總裁韓永剛表示，“通過數據加圖片的方式，可以了解更多的信息。比如一個人在酒吧晚上12點沒有動，早上6點出去了，這個人估計是喝醉了。當用圖像表現的時候可以顯示出其中意義，如果只有表格的話你可能根本不知道是什么意思。只有通過可視化的方式描述出來，才能知道背后發生的事情。”