软件安全性保障(精选8篇)
软件安全一般分为应用程序级别的安全性和操作系统级别的安全性。应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据等。操作系统级别的安全性是确保只有具备系统平台访问权限的用户才能访问,包括对系统的登录或远程访问。
1基于软件工程的软件安全性保障框架
1.1传统开发方法在安全方面的不足
在传统面向对象项目开发过程中,在安全性方面存在以下不足:
1)设计阶段,由于以类为单位组织建模,因此它不能全面地反映软件系统的安全需求。
2)编码阶段,将数据和方法封装到类中的思想增强了数据的安全性和软件的模块化,但是有一些数据和方法是特定于应用的,对于系统安全方面的考虑比较少。
3)维护阶段,一般是系统在使用过程中发现了漏洞再去修补,不仅效率低而且工作量大。
2.2基于软件工程原理的软件安全性保障框架
本文依据系统安全工程的原理,将软件安全引入到软件开发生命周期之中。为了开发出安全的应用软件,提出一个软件安全性保障框架,将软件安全保障实施到软件开发的各个模块当中。
该框架具体分为:软件安全需求分析、软件安全设计与编码、软件安全检测与评估、漏洞响应和维护阶段。首先分析软件开发中可能出现的安全问题,了解项目的安全需求,之后再要保证程序设计和编码过程中的安全性,开发完成后对软件进行安全性检测和评估,最后进行产品的维护,对产品中存在的漏洞问题进行响应和处理。
2.2.1软件安全需求分析
软件安全分析开始于项目开发初期并贯穿于整个系统生命周期的始终。在完成项目需求分析的同时,也要建立安全需求。在这个阶段主要完成两个任务:
1)软件需求危险分析计划制定
在系统需求分析阶段,首先建立软件安全需求定义,确保软件安全需求定义的正确性,然后制定一个危险分析计划。
2)写出初步的软件安全需求文档
安全分析的结果应写成软件安全需求文档,应用到软件需求文档、软件设计文档、软件测试计划、软件维护计划中去。
2.2.2软件安全设计和编码阶段
安全从设计开始。设计阶段如果出了安全问题,那下一步的测试维护工作会更加困难而又低效。这个阶段主要有三个任务:
1)进行软件设计危险分析
明确在设计阶段有哪些安全方面的目标需要达到,识别软件可能会遇到的攻击和一些安全隐患,划出安全边界、哪些数据是比较可信的、哪些输入接口较易成为攻击目标、列出潜在的攻击方式等,确保设计的完整性和正确性。
2)软件安全设计
进行安全分析之后,还必须进行软件安全设计。设计时要注意尽量降低危险发生率,对可能发生危险的地方要提供警告,危险发生后采取有效措施进行控制,同时还要注意所额外增加的复杂度。
3)基于编码的软件安全分析
在软件代码编写阶段,也要注意编码过程中是否会引入新的危险,因为编码人员可能会不小心使用一个不安全的函数。除了要求编码人员提高程序质量之外,还可以使用第三方的安全编译来提高编码阶段的安全水平。
2.2.3软件安全检测与评估阶段
软件安全性测试是软件安全开发生命周期不可缺少的一个组成部分,测试中的投入要远远小于项目完成后再进行的漏洞修补和安全维护。
安全性测试和普通的功能性测试的测试目的是不同的。软件安全测试的目的是确保软件不会去完成没有预先设计的功能,而且所有预料到的危险已经被消除或减轻。如代码运行过程中系统是不是处于安全的状态,系统运行风险是否可以接受,操作人员的失误包括极端环境在内的各种异常和故障是否被妥当控制,尽可能找到软件中的所有漏洞,减少软件遭到攻击的可能性。
软件的安全检测通常包括一下几个方面:静态检测、动态检测、文档检查、出错处理和异常情况检测。
1)动态检测
选择合适的测试用例,实际执行待测程序,通过分析程序运行时的内存、变量、内部寄存器等中间结果来检测程序运行时的正确性。
2)静态检测
静态检测是在程序没有运行的情况下,静态分析程序的数据流和控制流,然后给出相应的测试分析报告。
3)检查文档
检查需求说明书、概要设计说明书、详细设计说明书中是否有对安全性的设计和描述,对安全性的描述是否和需求一致,还有用户文档是否有安全性注意事项等。
4)出错处理和异常情况检测
保证各种出错和异常情况都被处理,提示给用户的出错信息不会涉及到程序设计的细节,而且软件的异常情况不能导致程序进入不可知的危险情况。
2.4.4漏洞响应和维护阶段
即使我们在需求分析,软件设计,代码编写,以及软件测试过程中都加入了安全因素的考虑,最终的软件产品还是可能会存在漏洞,所以漏洞响应和维护是很重要的一个环节,软件的维护和跟踪,响应、修复漏洞是很重要的。漏洞发现后要在第一时间采取措施,确保客户的利益不被侵害。这个阶段大致可分为以下两个阶段:
1)漏洞响应
发现漏洞,首先通知客户收到漏洞报告,联系相关的开发部门进行技术细节的分析,为漏洞进行风险评估。
2)修复漏洞
开发部门和安全响应部门协商进行解决方案的制定,对修复漏洞的补丁进行严格测试之后对外公布安全补丁,发布安全简报。
3结论
真实有效的安全解决方案能为开发安全的关键软件提供好的思路。本文运用系统安全工程的原则,对软件安全工程进行详细分析,提出初步的软件安全性保障框架,详细论述了框架各阶段的安全分析工作,并结合实际提出一些实用的改进方法,有一定的参考价值,希望在大量的实际应用中逐步完善成为使用有效的软件安全性保障方案。
参考文献:
[1]软件安全速成课企业系统有多脆弱?[EB/OL].[2]软件系统的安全必须能够经受住正面的攻击
记者:SPC软件在很多领域都有应用, 但对于中国的食品行业来说, SPC软件还处于起步的阶段, 请您介绍SPC软件能为食品行业带来哪些好处?
Jim Petrusich:对于食品行业而言, SPC软件可以给食品企业及监管部门在食品安全和质量管理, 以及成本控制、效益提升等方面带来质的改变和实实在在的帮助。
SPC软件能够帮助企业及监管部门从抽检模式向过程控制模式转变, 确保食品安全, 同时改善企业运作流程。食品企业安全问题频发, 很重要的原因就是缺乏对产品的管理与监控, 过度依赖抽检方式。SPC软件通过对CCP (关键控制点) 的监控和分析, 帮助用户将食品质量和安全管理提升到新高度。
SPC软件可以提升企业形象, 帮助食品扩大出口。HACCP和ISO22000是国际通行的食品安全和质量管理标准和体系, 二者无一例外地强调了过程控制对食品安全及质量管理的重要性和必要性, 除了通过相关的认证, SPC软件的使用, 可以从行动上告诉国际化客户, 企业已经将过程控制落到了实处。
除了安全和质量之外, SPC软件还可以帮助用户实现持续改进策略, 如实现企业设备使用效率的监控与分析 (OEE) ;对企业能源实施监控与分析, 优化能源配置;提升制程中关键点的控制能力, 如采用填充头控制以减少超充量等。而且, 将SPC软件成功地运用于供应链的监控和管理, 不仅能够帮助企业确保原材料的产品质量, 还能通过帮助供应链中的企业实施持续改进措施, 建立优良的合作关系, 实现企业间的共同成长, 达成双赢或多赢的局面。
记者:SPC软件在我国的使用还处于初级阶段, 请您介绍一下美国和欧洲发达国家中, 其在食品行业的应用情况如何?
Jim Petrusich:对于欧美发达的食品制造业而言, SPC软件使用已经非常广泛, 从离线分析, 到实时监控、报警;从单一的质量分析, 到全方位的解决方案;从专业的团队使用, 到将应用扩展到全企业各个层面, 操作员-质量控制员-车间生产主管-工厂管理人员-集团管理人员等, 每个企业都在通过使用SPC系列软件, 提升自身的内部管理水平, 为企业挖潜增效。SPC软件使用及未来的发展, 无疑还会在深度和广度上进一步拓展。从深度上来说, SPC分析将会与其他的分析手段及方法有效集成, 形成智能化的分析方法, 为企业提供制造智能分析与信息智能化管理系统。从广度上, NWA的软件将在保持质量分析和管理优势的同时, 将应用推广到企业的设备管理、能源管理等各方面, 真正帮助用户节约成本, 提高效益。
记者:据您介绍, 与欧美国家相比, SPC软件在中国的应用确实还有很大的差距, 您认为SPC软件在我国发展滞后的原因是什么?
Jim Petrusich:我们自2007年进入中国市场以来, 每年都以100%的速度增长, 中国市场还有巨大的挖掘空间。今年和以后很长一段时间内, 我们仍有信心实现高速的增长。但是, 基于SPC软件方案在中国仍属于培育期, 国内企业对SPC软件的认知, 也可以说是对专业化应用软件的认识还处在一个不断成长、成熟的过程中。比如, 一些企业抱有“小富即安”的心理, 往往等到问题发生了, 才会亡羊补牢, 有的企业甚至连这一点都做不到。另外, 国内工厂的自动化程度不及欧美高, 所以在中国的食品行业中推广SPC仍有很长的路要走。还有, 与欧美相比, 监管制度、政府管理制度、企业管理方法及企业长远规划等各方面的差别, 也是造成了目前SPC软件在中国推广有难度的重要因素。总之在中国市场上, 推广SPC软件的最大障碍在于对软件的认识误区和认知程度, 以及监管层对企业制程管理的重视程度不够。
记者:我们知道在市场上还有一些其他品牌的SPC软件, 同其他的产品相比, 贵公司产品的优势在哪里?
关键词:舰船装备;软件保障;现状;保障好;好保障
中图分类号:E925
舰船装备软件是针对某种舰船装备的特定用途而开发的软件,它是一种特殊的软件,它依赖于舰船装备硬件,并发挥着极其重要的作用。随着软件密集型舰船装备大量涌现及其本身作用的突显,舰船装备软件的质量及其保障能力的高低已成为衡量舰船装备性能指标的重要因素之一。因此,为了提高舰船装备的实际效能,必须提高软件的保障性。根据目前软件保障的现状,如何把软件保障好就成了亟待解决的问题。
1 软件保障性概述
1.1 软件保障性的涵义
软件保障性是指对软件完成维护与改进、升级或其他改变的能力。软件保障性与其软件的维修性、适应性及可修改性有关,还与软件生命周期过程、冗余计算能力、维修性及计算机保障资源等有关。
1.2 软件保障性的必要性
随着软件规模、复杂性、重要性的增加,各型装备的军事能力能否充分发挥,很大程度上依赖于装备中承担指挥控制功能的计算机软件,舰船装备保障性与装备中软件的性能息息相关。在实际应用过程中,各型装备性能的发挥,很大程度上依赖于软件更改的灵活性和强度,它不会像硬件一样老化磨损,但需要缺陷维护和技术更新。并且软件维护费用在军用系统寿命周期费用中占有很大的比重。
1.3 软件保障性的特点
软件在交付用户使用后几乎总是要修改,以便提高系统性能,使软件能够兼容其它的系统更改。而软件更改必须分析并确定更改所造成的进度、软件开发、生产以及经费等方面的影响。这些都是软件的保障性的内容,与硬件保障相比较,软件保障在包括保障方式、保障人员和保障经费等方面都有很大的不同。
1.4 软件保障的基本思路
软件保障应覆盖软件的整个生命周期。包含以下3个层面:运行、软件管理和更改。
“运行”覆盖了软件实际使用中的所有问题包括:软件执行的功能、安装、卸载、配置、恢复等。
“软件管理”覆盖了从软件新基线产生到软件交付给用户的全部问题。
“更改”覆盖了由于排错的需要和用户增改功能的需要所涉及的软件进化的全部问题。
1.5 软件保障的目标
对软件实施保障,既要考虑部队现行的装备保障体制、保障模式,也要充分考虑软件保障的特点、规律和基本要求。我们的最终目标是要确保软件列装后始终做到无故障运行、无失泄密事故、不断适应新的军事需求和不断变化的运行环境。
2 国内外关于软件保障的现状
2.1 国外现状
国外军方对军用软件的保障问题十分重视。从20世纪80年代美军就已开始大规模研究军用软件保障问题,20世纪90年代以来,其军用软件在保障原则、模式、途径和过程等方面的研究工作进展较快。
2.2 国内现状
近年来,有不少软件相关技术人员对软件的特性和过程进行了研究,并从不同角度对为提高软件保障性做出了贡献。但是,在军用装备领域,软件保障还没有形成一个引人注目的方向,它的关注度远远低于硬件的保障性,甚至还低于软件可靠性和维修性等领域。
我国的软件保障研究主要体现在对软件的复制、分发、安装及培训方法和技术的研究,对军用软件保障问题的系统化研究还处于起步阶段。
软件设计中存在以下几个误区:(1)软件设计开发只注重功能实现,不重视考虑其它因素。(包括:可靠性、测试性、维护性、安全性、保障性以及环境适应性等)。(2)只重视软件开发,不重视软件测试。(3)软件的修改和改进引入新的保障问题。(4)软件后期保障工作,但措施操作性不强。
试想,一个软件不发生或很少有故障,一旦发生故障又可以很快恢复,既能方便地保障(好保障),又有适宜的保障资源(保障好),那么这个软件一直处于可用状态,具有很好的完好性。正如有的人说的一样做好“好保障”“保障好”六个字,就是做好软件综合保障工作的简单概括。
3 实现“好保障”的方法
3.1 制定完善开发方案
前些年,我们在研制舰船装备时,总是先研制出满足作战性能的装备,而后再开展舰船装备软件的设计工作。這种方法的缺陷是:不仅增加研制费用、减缓研制的速度,而且未能综合考虑装备研制与其软件设计的关联性而往往造成舰船软件的保障性的先天不足。因此,近年来我们在研制舰船装备伊始,就同时开始制定完善的装备软件设计方案。
在制定舰船装备软件设计方案时,要综合考虑其可靠性、测试性、维护性、安全性、保障性以及环境适应性等因素。做好这些工作有利于大大提高软件设计的可靠性,可以有效减少因软件设计缺陷而导致的舰船装备故障、维修困难、维修费用高等一系列问题的出现。可以说,软件设计开发的越完善,软件的可靠性就越好,相应的保障性也好。
3.2 深入分析软件架构
软件架构是软件最初的设计,架构设计要实现可靠性、安全性、可扩展性、可维护性等方面的目标。因此,在软件架构设计时,要充分考虑软件从需求到设计每个细节,尤其舰船装备软件的架构设计还应充分考虑到其特殊性,使整个项目开发尽量效率高、开发简单、维护方便、升级容易。
3.3 严格规范软件编码
舰船装备的软件一般是用可视化的高级编程语言来开发。因为高级语言编写的程序比低级语言编写的程序易于维护。编码应尽量只使用一种符合标准的高级语言。为了提高程序的可读性,程序员应在源程序中加入足够的注释和按照结构化格式进行编写。如软件开发需要多名程序员,程序员之间则需要提前约定一个大致的格式,避免造成五花八门的编码形式,给后期保障造成不必要的困难。
3.4 反复开展软件测试
通过软件测试的方法可以验证软件是否满足所期望的功能,发现软件中存在的缺陷和问题。软件开发过程中应尽早开展软件测试工作,将软件在各个阶段进行的测试中发现问题并且及时回归,尽可能的保障软件的质量。
3.5 软件应用中的反馈与改进
大量的编码在开发过程中并非都考虑到了保障性。即使原来是良好设计和良好实现的编码和逻辑,也会因无休止的“排错和修补”工作受到破坏。所以一个软件在设计开发时要考虑到保障问题,还要在保障的过程中考虑到将来软件的保障。
4 实现“保障好”的方法
软件的保障性工作是一项复杂的系统工程,可从以下几个方面着手开展软件保障工作:
4.1 保障方案
在装备软件论证和方案阶段就开始制定软件保障方案。是完成各类保障任务的总体描述。为了制定好保障方案。首先,同样要开展使用研究和比较分析,研究分析保障任务的频度与持续时间、保障条件等;对比同类装备的保障情况、现有的保障能力考虑本装备的特点及对保障的需求。其次,在比较和分析的基础上,确定保障方案。关于保障方案可以考虑以下几个方面的内容(见表1):
4.2 保障人员
开展软件保障性工作遇到的另外一个重要问题是软件保障的人员太少甚至没有专门的软件保障人员。软件保障人员的基础也存在一定的差异,可以考虑让软件开发人员和专门保障人员共同参与软件保障工作。开发人员可以给专门保障人员(可以是使用方)做好适当的培训,专门保障人员做好日常保障工作。一旦软件出现了非正常情况可由开发人员实施保障。这样既可使保障人员各司其职,也能够使人力资源得到更充分的利用。
4.3 保障经费
由于开展软件保障工作需要专门的人员和专门的环境,人才培养也需要不少的投入。很多单位为了节省成本,此项工作就少做或者不做。据统计资料显示,装备使用阶段的使用与保障费用约占装备寿命周期费用的50%-80%。而装备一旦出现问题再需要解决问题,所需费用将会大幅增加。所谓,要想攻其事必先利其器,其实必要的投入能使保障工作达到事半功倍的效果。如果将软件开发与保障同步起来,先建立起高效的保障机制,将会大大减少保障费用。
5 结束语
随着高新技术装备的大量使用,软件保障的重要性越来越明显。软件保障的最终目标是以合理的寿命周期费用保持装备软件的无故障运行并及时而又准确满足用户的新需求。本文提出了要提高软件的保障性应在软件整个生存周期中的各个阶段都应综合考虑软件保障的因素并制定相应保障措施。在以后的工作中,将此思路落实到软件开发的具体工作中,研究行之有效、操作简便的软件保障实施办法。
参考文献:
[1]石柱.軟件工程标准手册开发和维和卷[M].北京:中国标准出版社,2008.
[2]张学汉.舰船综合保障中数据综合管理研究[J].海军工程大学学报,2006(01):74-78.
[3]刘国栋,吴进煌,李启明.武器系统软件保障性研究综述[J].舰船电子工程,2004(24):29-32.
[4]何志峰,夏学知,钱辉.武器系统装备软件保障活动研究[J].舰船电子工程,2009(29):120-122.
[5]吉顺祥刘,旺锁.作战模拟器软件保障策略研究[J].舰船电子工程,2006(26):55-57.
作者简介:常丽娟(1980-),女,北京人,工程师,本科,研究方向:舰船装备软件开发与维护。
管理制度
根据《中华人民共和国计算机信息系统安全保护条例(国务院)》、《中华人民共和国计算机信息网络国际联网管理暂行规定(国务院)》、《计算机信息网络国际联网安全保护管理办法(公安部)》等规定,陕西秦韵医药有限公司将认真开展网络与信息安全工作,明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对一切不良、有毒、违法等信息进行过滤、对用户信息进行保密,确保网络信息和用户信息的安全。
一、网站安全保障措施
1、网站服务器和其他计算机之间设置防火墙,拒绝外来恶意程序的攻击,保障网站正常运行。
2、在网站的服务器及工作站上安装相应的防病毒软件,对计算机病毒、有害电子邮件有效防范,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备由IP地址、身份登记和识别确认功能,对非法帖子或留言做到及时删除并根据需要将重要信息向相关部门汇报。
5、网站信息服务系统建立多种备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能及相关端口,并及时修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名、密码和验证码并绑定IP,以防他人非法登录。
8、网站提供集中管理、多级审核的管理模式,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。
9、不同的操作人员设定不同的用户名和操作口令,且定期更换操作口令,严禁操作人员泄露自己的口令;对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员的操作记录。
二、信息安全保密管理制度
1、充分发挥和有效利用陕西秦韵医药有限公司业务信息资源,保障企业门户网站的正常运行,对网络信息及时、有效、规范的管理。
2、再陕西秦韵医药有限公司门户网站服务器上提供的信息,不得危害国家安全,泄露国家秘密;不得有害社会稳定、治安和有伤风化。
3、本院各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息英气的任何法律责任;
4、各部门制定专人担任信息管理员,负责本网站信息发布工作,不允许用户将其帐号、密码转让或借予他人使用;因密码泄露给本网站以及本单位带来的不利影响由泄密人承担全部责任,并追究该部门负责人的管理责任;
5、不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、商标、著作权、商业秘密或其他专属权利之内容加以上载、张贴。
6、所有信息及时备份,并按规定将系统运行日志和用户使用日志记录保存3月以上且未经审核不得删除;网站管理员不得随意篡改后台操作记录;
7、严格遵循部门负责制的原则,明确责任人的职责,细化工作流程,网站相关信息按照编辑上传→初审→终审通过的审核程序发布,切实保障网络信息的有效性、真实性、合法性;
8、遵守对网站服务信息监视、保存、清除和备份的制度,经常开展玩过有害信息的排查清理工作,对涉嫌违法犯罪的信息及时报告并协助公安机关查处。
三、用户信息安全管理制度
陕西秦韵医药有限公司网站为充分保护用户的个人隐私、保障用户信息安全,特制定用户信息安全管理制度。
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相关规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存再本网站中的非公开内容,但以下情况除外: 1违反相关法律法规或本网站服务协议规定;
2按照主管部门的要求,有必要向相关法律部门提供备案的内容; 3因维护社会个体和公众的权利、财产或人身安全的需要; 4被侵害的第三人提出合法的权利主张;
5为维护用户及社会公共利益、本网站的合法权益的要求; 6事先获得用户的明确授权或其他符合需要公开的相关要求。
4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户帐号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。
6、如用户不慎泄露登录帐号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;再用户提供的有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
陕西秦韵医药有限公司将严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。
单位(章):
摘要:保护网银安全我们需要做什么?作为网银用户,网银的安全性不仅仅是银行的责任,作为使用者的我们,身上也担负着保卫网银的责任。让我们从自己做起,保护网银安全。Active X安全控件
中国工商银行的网银安全曾经因为“使用工行网银系统资金被盗”一事倍受网友质疑,不过当时银行在解决问题时曾经提到过:“财产被盗的用户大多都是大众版用户。”而很不幸,大众版又多采用的就是Active X安全控件。除工行外,招商银行、中国农业银行、交通银行的个人版登陆同样采取的是Active X安全控件,也就是说,大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登陆界面。不过这被公认为最不安全的一种登陆方式,而且由于一些银行将安全技术通过Active X捆绑在了IE上,这给其它操作系统和非IE用户带来了一些不便。
数字证书和USB key
较Active X安全控件而言,相对安全的就是采用数字证书和USB key认证的登陆方式。银行依用户的有效证件,如银行卡号、身份证号码等为依据,生成一个数字证书文件,配合用户自定义的用户名和密码使用以提高安全性。因其成本低,使用方便,因此被众多银行所使用。
USB Key证书就是一种USB接口形式的硬件设备,内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。因成本问题和设置上的原因被个别银行采用,并且与数字证书共存仅作为可选项。不过交通银行一样不支持单独的数字证书安全方式,他们提供的是数字证书与USB key共同发挥作用的一种安全认证。
动态软键盘
采用动态软键盘技术初看确实能使攻击者无法截获密码,但是截取密码不仅仅只有接截获键盘记录一种方法,黑客们还可以通过IE的COM获取密码。对于中国建设银行和中国银行,通过IE的COM接口获取的密码框里的内容就是密码,其他大部分采用软键盘技术的网站大都也是这样。中国农业银行曾经也使用过这种安全方式,不过现在已经升级为Active X安全控件。
虽然银行为了保护网银绞尽脑汁,但是仍有财产被盗事件出现,也许,作为用户的我们也应该从自身检讨起?
保护网银安全我们需要做什么?
作为网银用户,网银的安全性不仅仅是银行的责任,作为使用者的我们,身上也担负着保卫网银的责任。让我们从自己做起,保护网银安全。
1、谨防钓鱼网站
其实真正由于银行安全漏洞钱财失窃的事情是少数,更多的人是因为上了钓鱼网站的当才不幸中招。当我们打开银行首页时,可以将正确的网址收藏起来,尽量避免在通过“超链接”进入的银行系统上进行操作。
2、保护好帐号密码
银行卡的帐号和密码是绝对私人所有,不要轻易告诉别人。还有,银行不会通过第三方来转告用户一些事情,当接到陌生的电话或者短信、邮件的时候还需要小心核对。
3、定期查询详细交易
做好自己的交易日志,保证对自己的每一项有记录的交易印象深刻。
4、对杀毒软件的使用
将电脑的防火墙设置最高安全级别,及时升级杀毒软件,避免“网银大盗”的侵入。
5、利用银行提供的各种增值服务
现在很多银行都提供了交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态,反正是免费。
6.1 桥区航线规划
拟建万家咀铁路大桥位于桥溪口闸坝上游4.7km,北渡大桥下游2.2km,綦江北渡乡下游弯顶偏上游处,处于桥溪口闸坝库区。枯期由于桥溪口闸坝的顶托作用,使得桥区河段水位壅高、流速降低、比降减缓,其通航水流条件较天然情况得到较大改善。但总的来讲,现阶段桥区河段船舶结构较弱,凡航行该航段的船舶应该分清水势,谨慎驾驶,顺着主航道上、下行,经过弯曲、狭窄航道时,应加强瞭望、联系;上行船应主动退让下行船。
6.2
通航安全保障措施
为保障桥梁和桥区船舶通航安全,万家咀大桥施工期间,应建立和制定严格的通航安全保障措施,以保证桥梁在建设期间桥区河段船舶的通航安全。
在大桥施工期间原材料及构件的运输、施工缆索系统的吊装、来往的工程运输船舶、施工囤船的作业、桥墩基础和桥台的开挖作业及弃土的运输和堆放,均难免对过往船舶的航行安全带来不利影响。大桥建成后,航道基础设施的建设与维护、桥区河段船舶航行规程等,是大桥河段船舶航行安全的必要保证,均应建立相应的规程,严格遵照执行。
6.2.1 施工期通航安全保障措施
(1)在大桥开工以前,桥梁建设单位或业主,应将大桥施工图、施工组织设计包括施工内容、施工进度和计划安排等及时上报有关海事管理部门,申请办理施工作业许可证,拟定“大桥施工期水上交通安全管理暂行规定”,以便根据施工需要按时发布航行通告,告示船舶通过桥区航道的安全注意事项,并拟定“大桥施工期间水上运输安全管理暂行规定”,由航道、海事部门批准并颁布实施。(2)考虑大桥主墩施工期船舶的安全通行和施工安全等因素,在施工期特设置一对黄色专用标,分别位于主墩上下游各100m,用于引导上下行船舶安全行驶于桥区,并可有效地保护大桥主墩(参见附图16A)。
(3)临时配布的助航标志和水上安全监督管理及日常维护的设备、人员经费、船只的燃油消耗以及维护保养等费用,应按有关标准由桥梁业主与航道、海事主管理部门协商议定,并纳入大桥总概算。
(4)加强施工安全管理,桥梁施工临时架设的空中缆索(施工索道)均应满足通航净空要求,临时施工索道如对航行安全有影响,应事先通过海事部门发布禁航通告,且设置相应标志。
(5)水下施工期间,桥梁建设单位和施工单位应主动和航道管理部门联系,根据施工需要及时调整和维护导航标志,协同建设桥区安全和航道维护的基础设施。
(6)为防止大桥施工弃土淤塞航道,所有弃土应在建设中随时搬运走,并在大桥竣工前全部清除。
(7)整个桥梁施工过程中,桥梁建设单位应协同海事管理单位加强现场管理,施工作业船、工程船应按规定悬挂信号灯,并为上下水船舶留有足够的安全航道,确保施工、通航安全。
(8)在工程开工建设以前,建设单位或主管部门,应将工程施工图、施工组织设计、施工进度计划等内容提前上报航道管理部门,申请施工许可证和发布航行通告。在桥梁施工期应邀请海事管理部门驻守现场,若发现通航安全存在问题,应及时向施工单位提出要求,确保船舶安全通航。
6.2.2 永久通航安全保障措施
大桥建成后,应根据《中华人民共和国航道管理条例实施细则》、《内河航道维护技术规范》等有关规定,与航道部门商讨因大桥建设而改变和需重新配布的航道基础设施。如在通航孔迎船一面的桥梁中央设置桥涵标、主桥墩上设置桥柱灯,通航桥孔上游根据航道条件和船舶航行需要设置多对导航标(其中靠近桥梁的航标所示航道宽度应和桥孔通航净宽一致),并长期维护。6.2.2.1 桥区航标的配布和维护
(1)航道基础设施建设内容
根据《中华人民共和国航道管理条例》及其《实施细则》,桥梁建成前需针对桥孔布置及通航孔方案,进行桥区航标配布,内容包括:桥区水上航标、桥涵标(含桥柱灯)以及经论证需要增设的界限标和过河标等专用标志。
(2)配布方法
大桥建成后,为保证船舶安全通过桥区和保证桥墩安全,在两主墩上游设置两对侧面标,一对位于桥轴线以上100m处,另一对位于桥轴线以上400m处;在两主墩下游设置一对侧面标,位于桥轴线以下100m处(参见附图16B所示)。
(3)制作安装
配布的助航标志应在桥梁建成前完成制作安装,需要预埋部件应与桥梁建设同步进行。制作完毕经主管部门验收后应及时亮灯并投入正常使用。
(4)航标维护
根据相关管理办法,桥区水上航标应由业主委托航道部门进行日常维护;桥涵标可由业主自行维护,也可委托航道部门进行维护。
(5)航标建设及维护费用
根据国家有关规定,桥区航标的建设与维护费用均由桥梁业主或管理部门承担,其经费数量应根据配标数量及维护工作量,由业主与航道部门核算议定,记入建设预算。
6.2.2.2 通航安全基础设施的配布和管理维护
除施工期的安全管理和维护外,大桥建成后,为加强桥区水域的安全管理,保障大桥、大桥施工和船舶通航安全,根据交通部《内河安全管理条例》和《中华人民共和国水下水下施工作业通航安全管理规定》(4号令),1999年要求,必须配套建设水上安全管理机构和监督设施,内容如:所需的监督站,监督艇、停靠趸船、通讯设备以及与之配套的基础设施,规范水上通航安全秩序,利于指挥上、下水船舶安全通过桥区。
创新管理机制, 平安后勤成特色
安全责任重于泰山。高校后勤部门的安全生产直接关系到和谐校园建设和学校的大局稳定。近年, 信阳师院党委、行政高度重视后勤安全工作, 构建了教育、制度、信息、督查、预案五位一体的平安后勤管理模式。一是强化安全教育。学校后勤部门利用中心组学习、党日活动、周二集中学习开展了形式多样的安全知识学习教育活动, 不断增强后勤管理和服务人员的安全责任意识。校保卫处在每年4月和11月分别举办安全教育月活动, 学生处每学期都编印《思想政治教育材料选编 (安全教育专刊) 》, 分发给每一名在校学生, 有效提高了大学生的安全防范意识。二是加强制度建设。2010年以来, 按照“谁主管谁负责、谁经办谁负责”的原则, 后勤服务总公司先后修订32项规章制度, 明确57项岗位职责, 制定101项操作规程, 实现了安全责任明确到岗。同时, 坚持实行培训上岗制度, 明确每一名后勤从业人员的安全责任。三是畅通信息渠道。设有校内接报修专线电话, 安排专人24小时值班。积极发挥广大学生的信息反馈作用, 成立学生伙食管理委员会、学生公寓管理办公室、学生校园纠察队和后勤工作学生信息员队伍, 及时发现安全隐患, 把问题解决在萌芽状态。四是做好安全督查。学校党委每年都召开安全工作会议, 主管校领导定期带领有关部门负责人巡视后勤安全工作, 认真排查化解不安全因素, 做到了后勤安全警钟长鸣、安全措施常抓不懈。五是制定应急预案。立足于“防患于未然、有备无患”, 制定了安全工作预案, 积极应对饮食卫生安全、公寓消防安全、水电和生活设施安全等可能出现的问题, 实现了后勤安全零事故, 为师生工作、学习和生活提供了安定和谐的后勤保障。
细化服务面向, 民生后勤绽奇葩
在“小众化消费时代”, 破解“众口难调”问题成为高校后勤工作面临的新任务。近年, 信阳师院后勤工作坚持出实招、办实事、求实效、惠民生, 在提供精细化服务的过程中赢得了广大师生的普遍赞誉。一是确立“以师生为本、为师生解难”的服务意识。牢固树立为教学、科研和师生服务的思想, 把提供优质服务作为后勤工作的出发点和落脚点。同时, 在后勤干部职工中积极倡导精细化服务理念, 努力做到服务无小事、服务“四深入” (深入一线、深入基层、深入师生、深入服务对象) 。二是解决好广大师生最关心、最直接、最现实的民生问题。实施了青年教师公寓和学生宿舍通网络工程, 在学生公寓楼附近增设了晾衣架、阅报栏和张贴栏。2010年以来, 面对物价和用工成本双重上涨的新情况, 学校进一步加大了对学生食堂的资金投入和政策扶持力度, 建立了饭菜平抑基金。后勤服务人员坚持不等、不靠、不要, 积极推出降低采购成本、节能降耗、提高就餐率等“组合拳”, 实现了有效控制饭菜涨价和提高学生就餐质量的“双赢”目标。三是构建“以民之所望为施政所向”的民生后勤工作机制。在信阳师院, 校领导接待日、后勤经理接待日、辅导员进公寓带来的美好和欢乐成为师生们津津乐道的话题。2012年3月, 院长卢克平主持召开校领导接待日学生座谈会。会上, 一名新疆籍学生表达了庆祝本民族传统节日的愿望。随即, 后勤服务部门协同学生处迅速行动, 为新疆少数民族同学准备了“纳吾肉孜节”节日午餐, 并先后举办“纳吾肉孜节”联欢晚会和古尔邦节联欢晚会, 为学生们奉上了节日的温馨祝福。而今, 当初为家庭经济困难学生特设的低价菜和免费汤已经为全体就餐师生共享;在“流动红旗”的映照下, 一张张明媚的笑脸在温馨、舒适的标准化食堂里如花绽放。
完善基建设施, 质量后勤结硕果
质量是高校办学育人的生命线, 也是高校后勤工作的生命线。近年, 信阳师院坚持“提高质量、提升层次、增强特色、增进效益”的办学指导方针, 把质量立校作为办学指导思想的首要内容。在校党委、行政的正确领导下, 后勤管理服务部门坚持把质量作为衡量自身工作好坏的根本标准, 系统提升管理服务的科学化、标准化、规范化水平。一是突出“新”字, 加大基建投入。先后自筹资金1.6亿元, 新建了近15万平方米的18栋标准化学生公寓和2个标准化学生食堂;利用国债资金800万元, 投入配套资金816万元, 全面更新改造了老校区水、电、路等基础设施。二是注重“情”字, 提供优质服务。在维修校园公共设施时, 实行不扰民的“零点工程”, 尽量把维修项目安排在深夜或者正常上班时间以外。2010年至2012年, 利用3个暑假分3期对学校食堂、浴池、开水房进行煤改气项目改造, 彻底解决了燃煤污染环境问题。三是彰显“快”字, 提高工作效能。2012年暑假, 针对当地自来水供应官网经常停水问题, 新建了补水泵站, 当年9月份即投入使用, 全校师生交口称赞。第一批新疆籍学生入校后, 后勤部门筹资近百万元重建民族食堂, 添置餐饮设备, 并引进百年老店“三义春”民族特色小吃, 受到了少数民族师生的欢迎。2012年10月, 学生代表阿那斯江·依沙克把“心系学校发展、情牵新疆学子”的锦旗送到后勤服务总公司, 表达对高标准后勤服务工作的谢意。近年, 信阳师院基建工作以招标程序规范、管理制度健全、工程管理严格、工程质量优良、工期和施工安全文明有保障而驰名, 并多次被河南省教育厅评为“高校基本建设管理工作先进单位”。2012年5月、7月, 学校先后获得“全国高校农校对接与学生食堂管理工作先进院校”和“全国高校学生公寓管理服务工作先进单位”的荣誉称号。
强化“软件”抓手, 文明后勤创品牌
精神文明建设既是高校办学育人的战略任务, 更是一项必须常抓不懈的经常性工作。近年, 信阳师院坚持把“两手抓、两手都要硬”的方针贯彻到后勤管理服务工作中, 积极构建节约型校园、绿色校园和文化校园, 为学校巩固深化“全国文明单位”创建成果集聚了正能量。
一是积极开展节能减排活动。认真落实国务院《公共机构节能条例》, 在师生员工中广泛开展节能减排宣传教育。坚持勤俭办后勤, 在举办会议、开展活动和接待工作中杜绝重形式、讲排场、摆阔气的不文明行为。积极推进电子政务建设, 大力推广节能产品、环保技术, 在公共场所普遍使用节水器具、节能灯具。对学生公寓洗手间下水系统进行改造, 利用上层废水冲洗下层卫生间。利用社会资金在学生浴池安装太阳能工程, 实现扭亏为盈。
二是认真做好校园绿化净化美化工作。2003年以来, 学校充分利用独特的山水地貌优势, 先后投入资金3000多万元, 用于校园绿化和园林建设, 校园绿化率在70%以上, 建成桃李园、樱花园、名贵园、桂园、梨园、北泽园等10多处景区, 或有亭台, 或临湖池, 均依山傍水、顺势而建, 如串串珍珠将校园连成一个大花园。先后获得“河南省园林单位”“信阳市花园式单位”等称号, 被誉为河南省“最美丽校园”之一, 推动形成了“环境优美、校风优良、质量过硬”的办学特色。
“驴友”一词源自网络,是对户外运动爱好者的称呼。“驴”是旅游的“旅”和“绿”(“绿”指环保,不污染环境的意思。)的谐音,泛指参加旅游和自助游的朋友,他们之间互称“驴友”。有人说,驴子能驮能背,吃苦耐劳,所以自称或互称“驴友”也是户外爱好者们引以为豪的资本之一。但是驴友的户外运动与一般旅游的差别在于,一般的旅游是以旅游方式享乐的活动,交了一定的费用,别人就可以为你安排好一切,不用担心吃喝住行,尽心地享受旅途的乐趣就可以了。而驴友则是自己计划安排衣食住行,以体验大自然的美景为目的,并且自备各种必需品,是一种较为自由、独立的旅行方式。驴友一般到一些别人不曾去过或者很少有人去的美丽的自然风景区,如川西、云南、西藏等西部地区已然成为驴友们的乐园,特别是那些未曾开发的、挑战性高的山区已经成为驴友们最先涉足的地方。
一般来说,驴友主要分为四大类:史前驴、引路驴、头驴、逍遥驴。史前驴被驴友尊称为“伟大的导师”,是他们崇拜的偶像。史前驴一般是年过五旬的户外运动爱好者,有着高深的专业知识和丰富的经验,是引领驴友们进入未知世界的开拓者。引路驴在年龄上要稍小于史前驴,他们也是一群走南闯北,最敢于挑战的人,是美景的发现者和推广者。头驴则是一群出生于“文革”后期的人,怀着走遍全世界的梦想而走出家门,目前在各边远地区最为活跃。在一群人中走在最前面的是他们,走在最后面的也是他们。在活动中笑得最起劲的是他们,闹得最起劲的是他们,而第一个站起身来要走的也是他们。因此获得了“头驴”这一特别的称号。逍遥驴,顾名思义,是一群更加崇尚自由的年轻人。他们一般出生在改革开放之后,热情而好动,勇敢而又脆弱是他们最为明显的一大特征。同时,逍遥驴又是这四种“驴”中平均文化水平最高的一群人,他们在相互交流中传播着知识和理想,他们在驴行中体会着大自然的美好。
人身安全事故频发
近年来,驴友的户外活动已经成为流行于社会各阶层的一种旅游方式。但是,随着参与人数的急剧增加,安全事故也频频发生。
2006年7月7日,广西南宁市民梁某在网上发帖,召集12名驴友到武鸣县两江镇赵江进行户外探险。两天后,因山洪暴发,21岁的驴友“小骆”不幸葬身山洪。
2007年3月6日,网名为“海”与“玛瑞亚”的组织者在网站上发布户外活动计划帖,征集驴友攀登灵山。“夏子”(央视女编辑)等11人最终入选。3月10日早晨,因天气恶劣,原定路线被迫更改。并且在行进过程中,队员们行走的时间大大超出了原计划。直至当日午夜,他们已不间断行走超过12小时,处于严重疲劳状态,“夏子”则出现虚脱症状,经多方抢救无效死亡。
2009年3月21日,河北秦皇岛市青龙满族自治县祖山景区内又发生了一起驴友意外事故。通过网络自发组织的100多名驴友,翻山越岭进入尚未开放的景区。结果,其中部分人在黑尖顶滑道向下溜滑时突然失控,被甩出滑道,造成3人死亡,5人受伤。
2009年7月11日,重庆一支“驴友”探险队,在万州潭獐峡流域穿越峡谷时遭到山洪袭击。目前,此次事故造成16人遇难,3人下落不明。
虽然驴友的户外运动已在国内流行多年,其中不乏经验丰富的引路驴、头驴等,但总体而言,我国“驴友”这一特殊团体的发展还相当不成熟,对于“驴行”户外运动的管理还不够规范。
首先是安全意识淡薄。现在的“驴圈”中,多数是敢闯敢为的年轻人,他们喜欢寻求刺激,不断挑战,越是危险的地方越是能激起他们的兴趣,从而把个人安全抛掷一边。以重庆“驴友”遇难事故为例,在“驴友”们进入峡谷之前,当地的一位村民曾经提醒他们,前往的区域尚未对游客开放,而且马上要下暴雨,河水上涨得特别快,相当危险。虽然那位村民一再劝说,但“驴友”们仍然决定继续前行,结果酿成不幸。年轻人爱好挑战,勇于探索,这本来无可厚非,但是如果把身价性命也搭进去的话,恐怕就不值了。
其次,“驴圈”混乱,“驴行”活动尚缺乏一定的组织性。目前,我国“驴行”圈的管理还不太规范。据某位“驴友”介绍,现在很多“驴行”活动都是通过网络发起的,但是网络一般不负责鉴定“头驴”(“驴行”活动的发起者)是否具有户外探险经验,以及是否有必要的技能、装备等,这便给“驴行”安全带来了很大隐患。特别是那些毫无经验的部分“新驴”,在户外运动中更容易遭遇危险。
最后,相关法律法规的建立相对滞后。户外探险运动面临着种种安全隐患,这也暴露出当前相关法律法规的滞后。不少“驴友”表示,只有国家和地方相关法律法规真正完善了,运动俱乐部等各类探险组织机构、人员的行为得到规范管理,户外探险爱好者的专业培训机制得以健全,户外探险“玩命”的局面才能真正改变。
“驴友”安全保障法规亟待出台
据中国登山协会秘书长张志坚先生介绍,20世纪我国每年最多只有几起户外运动伤亡事故,但进入21世纪以来,每年户外运动的死亡人数均保持在10人以上,伤亡事故的领域也从高山探险蔓延到低山的户外运动,而这些事故也几乎都出现在网上自发召集的探险队伍中。频繁发生的驴友安全事故以及年轻生命的逝去再一次给户外运动敲响了警钟。户外运动事故屡屡发生,出现意外事故后,责任该由谁承担?相关法律法规何时出台?这些问题已经成为户外运动组织者、爱好者、相关组织和管理部门以及社会各界普遍关注的焦点。
实际上,很多“驴友”网都有关于户外运动的免责声明,称“凡参加者均视为具有完全民事行为能力人,如在活动中发生人身损害后果,赔偿责任领队组不承担,由受损害人依据法律规定和本领队声明依法解决。”法律专家认为,事前的免责条款的确具有提醒和警世效力,但“驴友”与组织者之间并不存在接受服务和依附关系,他们只能算是有互助的约定。当成员在活动过程中违背互助义务时,免责条款就不管用了。因此,这些所谓的“免责声明”并不能完全免责,国家急需出台相关的法律法规来保障“驴友”户外运动安全。但专家指出,目前还有诸多因素使得相关法规的出台难以实现,例如,体育和旅游两者的概念日益模糊化,旅游逐渐向户外运动方向发展,而户外运动也有向旅游方面发展的趋势。由于两者的界限越来越不明显,从而导致相关部门难以下手。
相比之下,欧美“驴友”的安全保障体系已经建立且日益成熟起来。首先,政府对“头驴”采用持牌人管理制度,要求“头驴”必须具有高危运动的管理经验。规定“头驴”必须经过考牌才能拥有“持牌人”资质,然后才可以召集“驴友”,否则属违法。其次,政府鼓励成立民间专业救援机构,推出救援商业服务。再者,与此相适应,保险公司出售一种按天计价的、含有紧急救援的意外险,“驴友”一旦遇险,保险公司会通知专业救援机构前往搭救并进行理赔。作为一种国际流行的户外运动,“驴行”中的安全保障需要相关法律法规的建立和完善。在这一方面,各国的步履有快有慢,一般来说,由于欧美国家的“驴行”运动发展较早,也比较广泛,因而相关制度和法规的建立和完善也相对较快,中国有关部门可以参照欧美国家的管理办法,并结合本国的实际情况制定与之相适应的法律法规。今年3月初,新疆维吾尔自治区体育居传出消息,称《新疆户外运动管理条例(草案)》已经报送自治区人民政府,新疆有望诞生中国第一部户外运动管理法规。
户外运动安全小知识:
(1)出行前应确认自己的身体状况良好,并且能够适应长时间的活动;
(2)确定行进路线时,要尽量考虑安全因素,选择成熟路线,以免迷路或者遭遇抢劫;
(3)仔细研究旅行线路,尽可能多了解当地的情况,做到心里有数;
(4)临行前向专业人士学习旅行安全常识和野外生存技能,明确了解旅途中的潜在危险;
(5)注意准备常药物,如感冒药、腹泻药以及云南白药等;
【软件安全性保障】推荐阅读:
软件安全责任制度09-24
软件安全中混合加密算法05-25
内网安全管理软件09-07
清远安全教育平台软件01-17
信息安全知识及软件设计03-05
软件项目管理保障措施07-10
hse安全管理软件简述05-30
软件开发软件合同01-09
加强安全法治,保障安全生产09-22
安全保障制度11-05
