安全文化测评

安全文化测评（精选十篇）

安全文化测评 篇1

1患者安全文化涉及内容

目前为止,关于患者安全文化的内容和组成要素不同的文献有不同看法[1]。美国卫生保健研究和质量机构 (AHRQ)在其开发的组织安全文化的调查问卷中明确定义患者安全文化包括10项内容:(1)管理者有关促进患者安全的期望和行为;(2)组织层面的学习;(3)部门内部的团队合作;(4)开放性的沟通;(5) 有关医疗差错的反馈和沟通;(6) 对医疗差错的非惩罚性反应;(7) 人员配备;(8)对患者安全的管理支持 ; ( 9 ) 跨部门的 团队合作 ; (10)交接班和转诊[2]。

Michelle Halligan[1]查阅了113篇文献 , 总结出关 于患者安 全文化的 内容,主要包括:(1)领导对于安全的承诺;(2)基于信任的开放沟通;(3)组织学习;(4)不良事件非惩罚性的报告和分析;(5)团队合作;(6)相同的对于安全重要性的信念。

2患者安全文化测评工具及其测量维度

医疗机构关于安全文化的测评, 主要依赖于基于安全文化内容的典型定量调查问卷。不同的测评工具,其在测量的维度、条目、信度方面均有所不同[3]。目前,国外文献报道中用于患者安全文化评估的工具主要有安全态度调查法(SAQ)[4]、医院患者安全文化调查法(HSOPS)[5]、医疗机构患者安全文化调查法(PSCHO)[6]、安全氛围刻度表(SCS)[7]、安全文化调查法(CSS)[8]、改良斯坦福/患者安全咨询中心文化调查表(MSI)[9]和医院病室安全氛围调查表(HUSC)[10]等。 所有调查用都是5分制Likerts scales, 其相关特征及内容见相关文献[4,5,6,7,8,9,10]。

国内客观、科学标准的患者安全文化测评工具较少。2008年陈方蕾[11]对医院护士患者安全文化测评进行了研究,才引入了较成熟的安全文化调查问卷,安全文化维度分别是团队氛围、对工作的满意、对压力的认知、 单位安全 的氛围 、 对管理的 感受 , 临床护士 通过自我 观察与感 受判断对条目的认可程度。此外,在中文文献中发现在SAQ基础上由国内护理人员修订而成的患者安全文化测评问卷 (PSCAS)[12]。

3患者安全文化测评工具的应用现状分析

评估安全文化,可以进行安全文化诊断发现安全系统的薄弱环节及潜在隐患,同时其可用于评价患者安全项目或者干预措施的实施效果并进行实时跟踪等[13]。美国医疗卫生机构认证委员会(JCAHO)要求所有参评医院必须自2007年起进行年度医院患者安全文化自我测评,欧美等国对医院患者安全文化的调查已成为了评价医院服务质量的指标。

美国用HSOPS评估4所非营利性疗养院的患者安全文化[14],结果显示疗养院 在差错的 非惩罚性 、 团队合作、公开交流、对差错的反馈交流和组织的学习得分显著低于医院,并为患者安全文化找到了改进方面。

患者安全 文化测评 量表成熟 度不一 , 有的已被 翻译成多 种语言 , 被研究者广泛应用。其中SAQ作为临床领域工作人员安全状态的一个“快照”,现己被翻译成7种语言[15]。并且包括普通临床科室版、门急诊版、 ICU版、手术室版、产房版、药房版等有多 种版本 , 分别适用 于不同科 室。通过近几年文献中发现,HSOPS的运用越来越广泛,已被瑞典[16]、法国[17]、日本[18]、挪威[19]、德国[20]、土耳其[21]、荷兰[22]、比利时[23]等多国翻译成本国语言并使用。我国也根据需要将其做了本土化修改并运用于医院安全文化测评[24,25]。而其他有的量表很少被研究者所应用。

很多研究者将HSOPS运用于实际,并在多数研究中表明其有效性。 瑞典Mats Hedsk ld[16]将问卷增加了2个维度以及一个结果变量,并根据不同目的在医院和初级卫生保健机构进行测评,证明该问卷调查在部门和国家的患者安全改进计划评估中表现出其优势。Shinya Ito[18]通过日本13家综合医院的实践评估,发现其问卷的信度和效度均比较理想。Fadi ElJardali等[26]通过对沙特首都医院2572名医务工作者调查,得出需要加强医院员工配置,构建非惩罚性医疗差错反应和增强沟通的开放性来增强医院患者 安全文化 氛围的结 论 。 四川大学华西医院聂艳丽等[24]将问卷维度缩减到10个,调查了我国15个城市33家医院1160名医护人员,结果表明国内医护人员对于安全文化的意识比较积极,在科室团队合作、组织持续学习和改进,开放交流、非惩罚差错反应和科室之间的合作比AHRQ得分高 。 也有将问 卷运用于 科室层面 。 Konstantinos Arfanis[27]通过将问卷应用于麻醉科调查,并进行了针对性的文化改进措施,使得基于科室层面的安全文化评估成为可能。

一些医疗 机构安全 评估是为 了找出有关影响患者安全的迹象。美国一些医院已经对安全文化评估表现出很大兴趣,并且医疗保健组织鉴定联合委员会(JCAHO)提出测评标准。虽然安全文化评估不是强制标准,但是JCAHO却要求医院要收集数据以监测患者安全。曹荣桂在分析我国患者安全面临的挑战和现状时,指出我国尚未形成医疗安全文化的氛围[28]。国内学者刘义兰[29]、陈方蕾[11]等进行了医院护士患者安全文化测评,以及香港医院管理局已在积极推行策动安全文化[15]。近几年研究中,欧阳霞[30]采用该问卷调查医院内安全文化测评, 指出本量表Cronbach's α值≥0.6、 CVI≥0.71,适合使用。向家艮[31]采用该量表对广州市7所三级甲等综合医院进行患者安全文化测评,指出需要改进的方面是人员配置、对差错的非惩罚性反应、沟通的公开性以及事件报告频率。

4构建患者安全文化措施

尽管安全文化的测评工具一直在改进,若想提高医院安全文化,仅仅是描述性的研究并不能提高医疗机构的患者安全文化,需要一系列的改进措施。多项研究表明,多途径改进措施可以提高患者安全质量。某项研究建议提高患者安全质量文化,首要就是通过调查评估安全文化现状[32],接下来就是评估安全文化、提供安全科学教育、识别安全问题、建立科室之间高层领导合作关系、每月学习一种安全缺陷问题、安全文化再评估[13]。

目前为止,在国外研究中,主要措施包括团队训练、患者安全小组创建、领导科室轮转、患者安全教育工程,此外还有安全审计、事件报告和系统分析,以及患者安全相关信息传播等[1]。

美国许多 医院采用 管理者查 房 (EWRs)改善医院的安全氛围。德克萨斯大 学调查I C U实施E W R s效果显示 , 护士在对 照组得分 低于干预 组,证明了EWRs有效[33]。Cathelijne Snijders[34]通过设置匿名非惩罚报告系统作为改进项目,在9家三级新生儿ICU前后对照和横向对照,得出事件的报告和分析有助于患者安全文化的某些方面提高。Pettker[35]通过在一家医院内的产科实施产科患者安全护理,以协议为基础的标准化实践,全体资源管理培训,患者安全监督委员会,24小时产科住院医师值班,以及匿名事件报告系统等措施,5年之后产科患者安全文化明显提高。此外, Elder[36]采用查房和患者安全教育等措施来提高ICU护士患者安全文化意识,Hofoss[37]在其研究中采用的措施是查房 、 患者安全 教育和安 全审计等。

5我国患者安全文化研究构想

关于患者安全文化研究,国内研究尚处于起步阶段。评估工具国外已经比较成熟,而我国尚处于引进和开发阶段;安全文化测评国外较热门, 而国内正在起步之中。国外安全文化测评的研究已经从开发测量工具到大量医院测评,发展到具体科室和具体人员研究,采取的措施也越来越具有针对性和具体性。

企业文化测评工具 篇2

企业文化测评是为建设企业文化，总的来说企业文化测评包括企业文化诊断以及应用两大功能。企业文化测评需求包括组织氛围、员工满意度、企业文化现状、员工价值观取向不同维度。

丹尼森的组织文化模型

衡量组织文化最有效、最实用的模型之一是由瑞士洛桑国际管理学院

（IMD）的著名教授丹尼尔.丹尼森（Daniel Denison）创建的“丹尼森组织文化模型。丹尼森的组织文化模型是在对大量的公司研究后，总结出组织文化的四个特征：适应性、使命、参与性和一致性。

参与性（involvement）：涉及员工的工作能力、主人翁精神（ownership）和责任感的培养。公司在这一文化特征上的得分，反映了公司对培养员工、与员工进行沟通，以及使员工参与并承担工作的重视程度。

一致性（consistency）：用以衡量公司是否拥有一个强大且富有凝聚力的内部文化。

适应性（adaptability）：主要是指公司对外部环境（包括客户和市场）中的各种信号迅速做出反应的能力。使命（mission）：用于判断公司是一味注重眼前利益，还是着眼于制定系统的战略行动计划。

上述四个特征中，每个又各有三个维度，12个维度分别相应地对市场份额和销售额的增长、产品和服务的创新、资产收益率、投资回报率和销售回报率等业绩指标产生着重要的影响。

组织气氛测评

组织气氛测评通过问卷来使人们了解组织气氛或工作环境以及组织气氛是如何产生又是怎样对人们的工作产生影响。

1、组织气氛的涵义、测量与对企业的意义：组织气氛不是员工满意度，也不是盖洛普公司著名的Q12测量方法。它们之间的异同在哪里？组织气氛决定企业70%的绩效，组织气氛测量的方法与时间以及与企业人力资源管理的关系。

2、组织气氛的维度：包括进取性、责任性、明确性、灵活性、奖励性、凝聚性等六个维度。

3、组织气氛建设的方法：

1）进取性：建立进取的文化，追求卓越的精神与导向

2）责任性：建立自主性的工作流程，鼓励承担责任，适度的风险容忍机制

3）明确性：建立企业愿景、方向与目标，明确组织对岗位的目标与期望

4）灵活性：建立官僚最小化的流程，鼓励创新

5）奖励性：建立绩效导向，加强认可与表扬，赏罚分明，令行禁止

6）凝聚性：通过团队活动、工作环境、人际互助关系等树立合作与奉献精神，通过营造外部竞争与庆贺胜利等方式营造团队自豪感。

4、组织气氛的测度与诊断辅导：包括问卷测度与分析、诊断与建议、跟踪改进

员工满意度测评

员工满意度调查（Employees Satisfaction Survey）是一种科学的管理工具，它通常以调查问卷等形式，收集员工对企业各个方面的满意程度，员工满意度调查主要功能有：

通过“员工满意度调查”这个行为，企业向员工表示对其的重视；搭建一个新的沟通平台，为更多真实的信息铺设一个反馈的渠道；系统的、有重点的了解员工对企业各个方面的满意程度和意见；明确企业最需要解决的相关问题即管理的重点；

检测企业重要的管理举措在员工之间的反映。

企业文化现状评估测评

1997年，Pierre DuBois & Associates Inc.出版了一套企业文化测量和优化量表（Organizational Culture Measurement and Optimization）其中包括用于组织分析的模型和用于企业文化研究的步骤。其模型包括七个方面：

（1）社会——经济环境(包括社会文化环境和市场竞争等；

（2）管理哲学（包括使命、价值观、原则等）

（3）对工作情景的组织（包括企业组织结构、决策过程等）

（4）对工作情景的知觉（包括对工作的知觉和对管理的知觉）

（5）反应：组织行为（包括工作满意度、工作压力.工作动机和归属感等）

（6）企业经营业绩（质和量两方面）

测评考核　企业文化的“解铃人” 篇3

走出困惑

“我们的公司文化到底做得怎么样？公司理念真正转化成全体员工的共识和行动了吗？怎样获得预期的经营效果？轰轰烈烈的企业文化建设到底能够坚持多久？……”本溪钢铁集团起重机制造公司董事长刘汉礼一脸诚恳。

冀中能源邯矿集团云架岭煤矿党委副书记张志武则单刀直言：管理就是文化。但是什么样的文化能融入管理，却需要艰苦探索。

山西潞安矿业集团公司企业文化负责人牛志新也万分感慨：如何破解文化落地，是最大的难题。

这是在入夏7月的沈阳，由中国企业文化研究会测评中心主持召开的“企业文化测评考核现场研讨会”上，管理者们不约而同孜孜求索的问题。如今，企业不再问什么是“企业文化”了，却问“怎么能看到我们真实的企业文化”、“如何开掘我们真正需要的企业文化”。

人们一直在努力打造企业执行力，常用的办法就是不断健全制度，借此自上而下地强力推行公司理念。但现实却一再提醒我们：企业的主导文化不能完全代表企业文化的真实状态，企业文化上下两张皮现象仍然无处不在。而这个影响企业业绩的痼疾怎么就那么难以化解呢？

从企业到学界，大家都在竭力寻找建设企业文化的根本路径。人们的眼睛渐渐聚焦到了一个重要而又曾经陌生的环节，那就是寻求一种科学的方法，运用它从测量企业文化的现状入手，然后对企业文化的体系再设计，并实施动态跟踪与有效评估，以此来推动企业战略的实施、企业目标的实现、企业业绩的提升，这就是“企业文化测评考核”。

探索测评

“对于企业文化测评考核的实践与研究，在全球企业中都广受重视，但至今它仍然处在一种探索的阶段。”中国企业文化研究会秘书长孟凡驰说。而1990年代末，哈佛教授约翰•科特的《企业文化与经营业绩》一书一经被介绍到国内，便立刻招来了极大的关注度。但众所周知，对企业文化量化评估，不是一件轻而易举的事情。

中国企业文化研究会测评中心经过四年探索，并在本溪钢铁集团、中国航空集团等一批下属公司推进试点，逐步形成了一整套文化体系方案。它包括企业文化的“测评体系（手册）”、“实效考核体系”、企业文化建设“评价体系”，加上对这套方案的“指导纲要”，就被简要称为《一纲三册》。主持这项工作的副理事长华锐的体会是：现状测评、实效考核、工作评价必须组成一个全方位的实操体系，才能为企业文化落地真正创造途径和动力。

本溪钢铁集团起重机制造公司（以下简称“本起”）1992年开始改制转型，他们千方百计地要从市场需求中找到一种能发挥自身优势的发展项目和拳头产品，艰难创业15年后才得以成功。在这个过程里，他们形成了“没有克服不了的困难，没有干不好的事情”这一核心理念。但如何进一步系统提升企业文化，使企业始终保持市场中独具特色的核心竞争力，却是他们近年时刻担心的事情。董事长刘汉礼一直有四大困惑：怎样才能使企业文化理念与管理制度有机结合，与生产经营有机结合，与企业整体形象高度一致，与员工内心的追求形成共识。他曾下决心在没有找准解决方法时，公司的文化建设暂不推进，而这一捂竟两年。直到接受了测评专家达一年的实地调研、测评指导后，企业管理层和员工也就都看清了他们的理想状态与现实状态的差距。

在16项分析因素中，“本起”的“组织动力”获得了最高分。要知道，这是体现这家企业是否具有凝聚力最根本的要素。而在这项要素分析中，又有三项指标获得了企业上下几乎一致的高分认可：第一，团队成员之间彼此宽容、坦诚相待而不在乎各自的学历或出身背景；第二，信息广泛共享，每个人都可以在需要时获得所需的信息；第三，每人都相信自己能够对企业产生积极影响。但同时，“组织公正”在16项因素中又得分最低，而其中最低得分的几项指标都表示人们对收入状况不满意；再有企业的“管理方式”在16项得分中也极为靠后，其中“公司领导只注重工作的最终结果”，“公司对团队工作成果只是给予个别人进行奖励”是主要原因；而“沟通和协调”项也不尽人意，突出的问题则是：“公司在制定与员工有关的规章制度时，很少向员工征求意见”，“我们不了解公司的发展战略”等。

以上我们看到了一个很真实的情况：当企业表现为很强的凝聚力时，又恰恰包藏着影响企业凝聚力的危害因素。也就是说，企业文化是典型的“多棱镜”，当我们看到了它的一个剖面时，切勿以为这就是它的全部。当我们听到一部分人在赞美一家企业的企业文化时，我们或许尤其要冷静思考这种赞美之词的另一种或多种别样的解释版本。因为企业一旦出问题，往往就是那些人们最不愿意承认的不利因素惹的祸。而企业文化的测评、考核、评价体系，则会在“动态观测”中帮助企业及早发现、重视和解决问题。

咬合战略

显然，企业文化测评可以视为是企业文化建设的新起点。

至今，“本起”正逐步实现文化梳理，以形成咬合企业战略的文化目标导向体系，并进入对企业文化的考核尝试，这实际上是对“新文化”的适时检验。企业采取了这样一些做法：第一，建立严格的培训机制传播新文化体系；第二，对于抽象的理念、口号，不断寻找具体、科学的“导向要素”将它们分解并完善；第三，明确组织定位，也就是健全考核组织、考核制度、考核职责与考核措施；第四，逐步完善量化考核体系和考核管理体系。刘汉礼相信，企业未来的道路会更踏实。

华锐在现场会上组织大家做了一个叠纸飞机放飞的游戏，形象地说明诸多不确定因素与心理目标之间的差距。文化测评与考核，就是要紧紧把握住这诸多不可定因素，将理念细化，并与战略咬合；将价值观以管理要素的形式进行转换、量化、规范、督导，以保证企业全员行为和管理效果能更好地实现企业战略目标。这是企业文化“解铃人”的工作。

基于高绩效的企业文化测评模型 篇4

关键词：高绩效,企业文化,测评模型

针对现代企业管理的发展特点, 以美国密西根大学商学院的Quinn教授的竞争性价值框架为基础, 提出了基于领导者胜任特征的高绩效企业文化测评模型。该模型是以企业领导者所倡导的领导者文化为基础, 在中高层管理团队将具有鉴别性胜任特征的团队文化进行推广, 最终促使全体员工中形成一种高绩效的企业文化。该套企业文化测评模型包含两个部分:一是对高绩效管理者文化的测评, 目的是为了确定企业的高绩效文化类型, 为企业文化的构建奠定基本的框架;二是对全体员工文化的测评, 目的是找出员工所认同的企业文化, 发现期望的企业文化与现有文化的差距, 为企业文化的提炼提供充实的内容。

1 企业文化构建方法

根据我们对企业文化的理解, 结合企业文化测评模型, 我们提出了企业文化构建的金字塔方法。上层是领导者文化, 中层是管理团队文化, 基层是具有高绩效的企业文化。根据企业文化的测评模型, 在构建企业文化体系时, 我们采取自上而下的方法, 通过梳理领导者文化, 提炼高绩效的管理团队文化, 最终形成全体员工都认同的企业文化体系。但是, 在落实企业文化建设时, 则采取自下而上的方法, 通过在全体员工中大力宣传企业的文化体系, 增强员工的凝聚力和认同感;通过在管理团队中推行高绩效的特征文化, 促使管理团队整体绩效的改善;最终, 领导者通过管理文化来管理企业, 降低管理成本, 并根据经济环境和企业发展状况的改变, 不断修正自身的企业文化以适应时代发展的需要。因此, 在遵照一般模型构建的基础上, 我们设计了企业文化构建的具体流程, 该流程包括三个方面:企业文化诊断、文化体系提炼和企业文化实施。

2 企业文化诊断流程

企业文化诊断的过程实际上就是根据企业文化的测评模型, 梳理、调研、确定企业现有文化类型和文化内涵的过程。根据文化类型定位模型和文化内涵定量模型, 诊断阶段的流程如图1所示:

具体实施流程有以下4个步骤:

2.1 企业调研

对企业文化的梳理过程主要包括以下三个部分: (1) 了解企业现状; (2) 企业文化调查及组织诊断; (3) 公司战略、公司远景、企业文化相关材料的收集。

具体实施内容包括: (1) 会见公司高层及部分中低层员工; (2) 公司按照项目组要求提供中高层管理者样本和员工样本, 项目组实施问卷调查; (3) 公司提供现有的公司战略、公司远景、企业文化相关材料, 项目组实施系统分析。

2.2 BEI访谈

在对中高层进行问卷调研的基础上, 进行针对性行为事件访谈。具体实施如下: (1) 行为事件访谈培训; (2) 公司按项目组要求安排被访谈对象, 项目组实施访谈; (3) 将访谈得到的录音转录为文本。

2.3 行为编码

讨论编码提纲, 参照编码要求对各类文本编码。具体实施: (1) 引导项目组讨论编码提纲; (2) 讲解编码要求; (3) 讲解编码软件的使用; (4) 项目小组按要求进行编码; (5) 整理编码结果。

2.4 文化整合

具体实施: (1) 通过绩效优秀组与一般组的对比 (t检验) , 确定哪些特征是鉴别性特征, 能够进入最后的模型; (2) 系统研读公司文化及战略要求, 确定有哪些特征应该进入最后的文化模型。

3 文化体系提炼流程

文化体系的提炼, 是建立在企业文化诊断构建的价值框架和文化内涵的基础上, 因此企业文化体系的提炼过程如图2所示:

(1) 根据价值框架确定文化体系的基本框架和大体方向。 (2) 结合测评得出的文化内涵, 主要从文化的三个最重要的方面 (生存意义、生存目标和生存准则) 来确定企业文化的基调:首先, 企业的使命明晰了企业的存在意义, 是“为谁活着、为谁生存、先为谁干活”等终极目的的界定, 是企业经营宗旨的重大责任性反映。其次, 愿景与使命是递进的关系, 或者说愿景是组织肩负使命而趋向的未来图景。最后, 组织文化的核心是组织的价值观。核心价值观是关于企业核心价值的一定信念、倾向、主张和态度的观点, 起着行为取向、评价标准、评价原则和评价尺度的作用, 是指导组织行为的一系列基本准则和信条。 (3) 除了最基本的企业使命、愿景和价值观的界定外, 还要通过企业文化的诊断, 形成企业文化建设的内容体系。 (4) 用企业理念推进、深化和完善企业制度创新;以企业理念为动力, 实施资源有效配置, 促进企业的长期稳定发展。

4 企业文化落地过程

在确定了企业文化建设的实施方案和创建内容后, 就要进行企业文化和企业形象建设的具体实施, 实施流程如图3。

4.1 组建企业文化实施小组

企业文化建设是企业“一把手”工程, 因此企业领导者要大力支持并推行企业文化的建设。而企业文化的建设是一个长期、复杂、系统的工程, 需要企业各部门的共同努力。为此, 企业应该成立企业文化建设领导小组, 成员可由企业涉及企业文化建设的各部门的人员组成, 一方面有利于调动各方的积极性, 另一方面有利于文化在全体员工中得到认同并转化行为, 促进企业文化的落地。

4.2 规划企业文化建设的实施进程

企业文化建设不是一蹴而就的, 要做好规划工作。首先, 要制定企业文化建设的长期目标和中期目标, 以及分阶段实施的计划;其次, 着眼于各部门的协同和全体员工的努力, 明确岗位的职责, 制定相应的管理制度, 以制度保证落实;再次, 贴近企业实际, 以员工喜闻乐见的形式, 有针对性地、广泛深入地开展企业文化建设。最后, 要通过不断的培训和教育使企业文化建设成果深入人心, 深入员工的言行。

4.3 保障企业文化有效落实

组织文化的结构一般分为三个层次:物质层、制度层和精神层。为了保障企业文化能够有效的落到实处, 成为员工日常行为的准则, 就要实行三步走的战略: (1) 物质层是企业文化的表层, 是形成制度层和精神层的条件。一般体现在企业面貌、产品的外观和包装、技术工艺设备特性、纪念物等方面。企业文化建设应以物质文化建设为载体, 带动企业经营管理, 塑造企业形象。 (2) 制度层是企业文化的中间层, 它体现了企业文化的物质层及精神层对员工和组织行为的要求, 主要指对组织员工和组织行为产生规范性、约束性影响的行动准则, 主要包括工作制度、责任制度、企业的人事制度、生产管理制度等, 是企业进行正常的生产经营管理的强有力的保证。企业文化建设应从企业制度文化建设入手, 以科学、完善、实用的管理方式规范员工行为模式。 (3) 精神层是企业文化的深层, 主要指组织的领导和员工共同信守的基本信念、价值标准、职业道德及精神风貌。它企业文化的核心和灵魂, 是形成组织文化的物质层和制度层的基础与原因。精神文化的建设, 能激发员工主人翁意识, 发挥员工的积极性、主动性和创造性, 促进企业和员工形成统一的价值观、道德信念、行为准则, 进而将企业凝聚成一个坚强的整体。企业文化建设应以企业精神文化建设为核心, 统一员工价值观模式。

综上所述, 通过企业文化诊断、文化体系提炼和企业文化实施的过程, 将企业文化深入到每个员工的心中, 落实到每个员工的言行中, 渗透到企业的日常生产经营活动中, 形成企业文化建设的良好氛围, 才能对内增强企业和员工的凝聚力和创造力, 对外建立企业的良好形象, 最终使企业文化落地生根, 开花结果。

参考文献

如何提出企业文化测评建议文档 篇5

制定并执行文化变革行动方案。在明确企业现有文化特征的基础上，结合企业未来文化的发展方向，我们可以判断并确定现有企业文化与未来企业文化之间的差距，在此基础上制定相应的企业文化变革行动方案。我们认为在推动企业文化变革的过程中，必须通过从领导承诺、个人和团队能力、沟通与交流以及绩效管理四方面的紧密结合和共同作用，才能在推动员工行为转变的基础上，成功实现企业文化的变革。

是否可行的方案

文化变革管理和评估。在实施文化变革的整个过程中，领导层或变革领导小组需特别关注来自于企业内部员工和外部客户的反馈意见，并据此不断的修正完善文化变革行动方案。通过充分运用有效的变革模式，来巩固变革的成果。

判别可行性一般从建设到产生的效益判断。因此建设一个可行的方案必须从下列要点上着眼。

要点1：目标一致。很多人认为企业文化建设是富贵病，企业富裕了才有这样的需求，事实上这个问题的背后说明了企业文化建设的目标性及应用性得不到民心。一个好的建设方案必须基于企业的战略发展，有利于企业目标的实现，能改变现状，提高产出的才是好的方案。例如，某企业在创业期，战略目标是必须面对市场，争取更高的市场效益。但企业文化建设上却不以市场目标为愿景，反而提出了基于内部管理的细节文化。当然并非否定此种方式的不合之处，而是说现阶段的企业文化建设与企业之目标是错位的。

要点2：是否具有可操作性。企业文化建设方案必须具有可操作性，可量化的指标体系。很多企业在企业文化部建立的时候，要求招聘的部门经理有三年以上的文案经验，中文类专业。事实上，企业文化也是一门管理学科，而文案则偏向策划，严重的定位错误，导致了未来建设中的本末倒置，过分强调理念的宣传效应，却忽略了如何实施与验证的逻辑操作，必然导致失败。

要点3：基于解决问题为出发点。企业要成长是不断的发现问题与解决问题的过程。在测评中发现的问题必须通过具体的可实现的方案来推行。倘若企业文化建设不能解决问题的同时，反而增加了更多的问题，那么是徒劳的。从企业的建设实践来看，许多企业文化建设都因为产生问题而中途换将，实际上一系列的恶果将企业的管理效益拖下。因此判别方案的可行与否必须从目前的问题的可解决性出发。

安全文化测评 篇6

会上, 孙耀唯主任传达了2013年电力行业信息安全等级保护测评工作规划及要求, 胡红升副主任宣读了《关于进一步加强电力行业信息安全等级保护工作的意见》和《电力行业信息安全等级保护测评中心暂行管理办法》, 并开展了座谈交流。孙耀唯主任表示, 电力行业信息安全监管工作已经纳入电监会2013年六大监管体系, 网络与信息安全监管也被列为19项安全监管措施之一, 在2012年测评试点的基础上, 2013年将全面开展电力行业信息安全等级保护测评工作, 工控系统的安全防护是今后电力行业信息安全工作的重点, 希望3个实验室能够制定好工作方案, 明确目标和内容, 做好相关工作。

随后, 孙耀唯主任、梁建勇副主任、胡红升副主任为电力行业信息安全等级保护测评中心第一、第二、第三实验室进行授牌。王力科副院长代表中国电科院在讲话中表示, 本次授牌是电力行业等保测评中心对中国电科院多年来在信息安全工作方面做出努力的充分肯定, 实验室将继续尽职尽责完成电监会交与的各项工作任务, 为电力行业信息系统安全稳定做出新的贡献。

操作系统中安全审计项目测评 篇7

合理配置安全审计项目可以对信息网络的硬件、软件及其系统中的数据进行保护,是保证信息的保密性、真实性、完整性、安全性的重要手段之一。本文结合《信息安全技术 信息系统安全等级保护基本要求》标准中对三级系统主机安全审计的要求,对测评方法进行了解析。

1 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。

在Windows操作系统中:

(1)查看系统是否开启了安全审计功能,如图1所示。进入“控制面板/管理工具/本地安全策略”,在“本地策略→审核策略”中,查看本地安全策略审计功能是否启用;查看相应的审核,查看事件查看器相关记录是否包括主客体标识、时间和事件结果等信息。访谈安全审计员,询问主机系统是否设置那些安全审计功能,查看审计记录信息是否包括事件发生的日期与时间、事件的类型、事件成功或失败、触发事件的主体与客体、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容。

(2)询问并查看是否有第三方审计系统或工具。

在Linux操作系统中:

(1)以root身份登录进入Linux。

(2)查看服务进程:

(3)若运行了安全审计服务,则查看安全审计的守护进程是否正常。

#ps-ef|grep auditd

2 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

有效合理地配置安全审计内容,能够及时准确地了解和判断安全事件的内容和性质,并且可以极大地节省系统资源。

在LINUX中/etc/audit/audit.conf 文件指定如何写入审查记录以及在哪里写入、日志超出可用磁盘空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定系统调用是否要审查的规则。

(1)在Windows操作系统中展开“本地安全策略(或域安全策略)”中的审核策略。

展开“本地安全策略(或域安全策略)”中的“审核策略”,如图1所示。记录内容应包括以下几个属性值,如表1所示。

(2)在LINUX操作系统中记录相关参数。

系统事件审计的文件包括,“mkdir”、“unlink”、“chmod”、“rmdir”、“chown”等。

3 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

审计记录是指跟踪指定数据库的使用状态产生的信息,它应该包括事件的类型、日期、时间、主体标识、客体标识和结果等。通过记录中的详细信息,能够帮助管理员或其他相关检查人员准确地分析和定位事件。

(1)在Windows操作系统中查看日志文件是否满足此项要求,查看事件查看器中安全性选项,是否有成功审核记录,查看成功审核事件属性,是否有对审核策略更改的描述,如图2-3所示。

(2)在LINUX操作系统中使用aucat和augrep工具查看审计日志。

#aucat | tail -100 查看最近的100条审计记录。

#augrep-e TEXT-U AUTH_success 查看所有成功PAM授权。

审计日志记录示例如下:

4 应能够根据记录数据进行分析,并生成审计报表

安全审计将会产生各种复杂日志信息,巨大的工作量使得管理员手工查看并分析各种日志内容是不现实的,而且很难有效地对事件分析和定位,因此必须提供一种直观的分析报告及统计报表的自动生成机制,对审计产生的记录数据进行统一管理和处理,并将日志关联起来,来保证管理员能够及时、有效地发现系统中各种异常状况及安全事件。询问管理员,查看是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、查询、排序、统计、组合和分析查询等),并能根据需要生成审计报表。

5 应保护审计进程,避免受到未预期的中断

Windows系统具备了在审计进程自我保护方面功能,最大日志文件大小:512kB;当达到最大的日志大小时:按需要改写事件。在Linux中,Auditd是审计守护进程,syslogd是日志守护进程,保护好审计进程,当事件发生时,能够及时记录事件发生的详细内容。

检查是否启动了syslogd守护进程,执行:

ps-ef | grep syslogd

6 应保护审计记录,避免受到未预期的删除、修改或覆盖等

日志访问权限合理,除属主外,组用户和其它用户都不具有写、执行权限。非法用户进入系统后的第一件事情是去清理审计日志和系统日志,而发现入侵的最简单最直接的方法是去看安全审计文件和系统记录。因此,必须对审计记录进行安全保护,避免受到未预期的修改、删除或覆盖等。

使用以下命令查看日志文件的访问权限:

ls-l /var/log

询问管理员允许哪些用户访问日志文件。

7 结束语

本文描述了对操作系统安全审计项目测评工作中相应条款的解析,重点介绍了Windows系统和LINUX系统审核策略的查找和设置,对审核账户登录事件、审核账户管理、审核目录服务访问、审核登录事件、审核对象访问、审核策略更改、审核系统事件等几个属性值设定提出了参考意见。

参考文献

[1]刘克龙,冯登国,石文昌.安全操作系统原理与技术[Z].2004.

安全文化测评 篇8

一、信息系统安全等级

信息系统都有安全等级制度, 一般都是根据信息系统的实际应用进行分类。信息系统一般有五个安全等级, 保障系统能够安全的运行是系统定级的主要调整方法。

信息系统通常是整个信息建设过程中的基础部分, 具有重要的作用。对于在信息系统的定级过程当中, 要详细的搜集相关资料并具体的进行分析, 同时要保证等级不一样的信息系统能够应付来自不一样的威胁攻击。

在制定安全等级的时候要根据国家利益、合法权益、社会稳定三方面来考虑, 根据个体的身份不同以及个体受到的损害不同, 信息系统设置成五个等级。其中前面四个等级在控制点和项目数量方面都是逐渐增加的, 同时, 每一级别之间的区分极为严谨。所以企业应该根据系统或行业的要求, 加强安全等级。要是在建设对信息系统进行申请的情况下, 需要严格按照标准进行建设。

二、评测的具体实践过程

在对等级保护的评测过程当中, 主要部分是沟通和技术管理, 并且全程参与整个等级保护的评测过程。评测中的安全要求有五个部分, 依次有安全的级别、技术管理、安全的类别、具体要求以及安全的控制点, 测评工作人员需要进行严谨的检查, 最终给定测评结果。

三、现场评测

1、测评准备。

测评准备一般有三个过程。第一, 项目启动。通常根据被测单位给出的相关资料, 评测机构就能够大致熟悉整个系统的组成形式和安全体系, 这样就可以让测评人员有了更多的参考依据, 为接下来测评工作的顺利进行打下坚实的基础。第二, 搜集资料并进行分析。被测单位给出的相关信息可能存在遗漏的情况, 所以评测机构就需要对资料再进行全面的搜集, 整理出相对完整的信息, 分析之后在进行接下来的工作。第三, 准备好评测所需要的工具。测评人员通常在测评过程当中需要使用到一些工具, 其中包括扫描系统漏洞的工具、测试系统性能的工具、分析工具等, 通过提前的准备有助于加快整个评测过程的速度。

2、方案编制。

方案编制一般有四个过程。第一, 确定测评的指标。在测评工作之前就得清楚测评项目的评判指标, 测评指标是来自各个国家对于每个安全等级的不同标准。第二, 确定测评的基本内容。通常有一些复杂的信息系统都是由很多小型的信息系统构成, 这时就得细化整个测评任务的环节, 保证发生不遗漏的现象。第三, 确定工具的使用方法。结合测评内容选择测评所需要的工具, 工具的操作方法都可以参照使用说明书上的介绍。第四, 测评指导书的开发。测评机构可以将资测评分析的结构整理成测评指导书, 一般有调查表、员工表、测评的对象、测评的使用方法以及测评的工作量等。

3、现场测评。

现场编制一般有三个部分。第一, 实施准备。在测评前签署测评授权书。第二, 记录现场评测的结果。分析记录的测评结果, 找出系统可能存在的一些安全问题。第三, 验证记录的结果后归还资料。为了避免结果可能出现的漏洞, 通常需要对结果再次验证。验证过后还需要将资料归还给被测单位, 避免资料的丢失。

4、报告编制。

报告编制是信息系统安全等级保护测评的最后一个环节, 通过是对评测结果的分析, 对比系统的测评指标和系统在实际运用情况之间的差距, 从单个安全项目以及整体上对系统的安全保护能力进行评价, 从而给出等级的评测结论。

结语:本次论文针对我国目前的信息系统的实际运用情况进行阐述, 随着信息技术的不断发展, 发现有许多信息系统不能给用户和企业的信息资料带来足够的安全保障, 通过探讨建设和测评信息系统安全等级的具体措施, 建设信息安全等级制度能够为建设安全的信息系统提供可行的意见, 保障了信息在传递过程中的安全性, 避免信息出现泄露的情况, 为国家的信息安全产业提供了保障。

摘要：随着我国步入改革开放以来, 我国社会经济发展的越来越好, 计算机技术也得到了快速的提升。随着网络经济时代的到来, 人们的工作和生活都不离开网络, 在使用当中也将个人信息储存在网络中, 随着信息系统被运用的越来越广泛, 信息系统的安全保障也需要得到重视。为了保障用户和企业的信息安全, 建设一个安全稳定的信息保护系统显得尤为的重要。本文通过了解我国目前信息保护系统的现状, 深入探讨建设信息安全保护系统的举措。

关键词：信息系统,安-全保护建设,测评方法

参考文献

[1]池仁隆, 张超, 张春柳.信息系统安全等级保护建设与测评方法简析[J].软件产业与工程, 2012 (02) :44-48.

[2]余广山, 李祥海, 武国良.浅谈信息系统安全等级保护建设与测评方法[J].信息通信, 2013 (09) :156.

[3]蔡晓熙.基于风险分析的信息系统安全定级方法[D].南京邮电大学, 2012.

加强和完善网络安全高级别测评认证 篇9

完善等级保护工作

等级安全保护工作是网络安全本质的需求,也符合信息安全发展规律。因此,我国应该加强和完善等级保护工作。

提到等级保护,就必然要提及认证产品等级问题。等级保护尤其要对重要的产品进行高等级的产品保护,对一般的可能相对不那么需要,相应的对产品有相应的不同的要求。但是,实际上由于各种原因,一个系统三级保护并不是说所有的产品都是三级或者都用同一要求,因为目前有些产品没有相应的标准。一个大的系统里面可以有很多产品,不可能每个环节都有等级保护的相应认证。所以产品的认证采用关键的等级保护与否和系统保护有关系,但也不完全等同。

我们建议采用高级别认证的产品。在信息安全领域, 对一些重要的产品往往有一些标准,应按照标准进行不同级别的测评和认证。建议在信息化建设中,对于重要的产品应该优先采购通过高级别测评认证的产品,建议今后对关键技术核心领域,比如像CPU、操作系统也能进行分级认证。

今后希望所有产品能够得到强制认证,这需要有一个过程,目前不是所有产品都能做到强制认证,强制认证的做法有什么好处呢?如果采用测评认证后提出一些指标将是在市场上大家认可的,可以公平公开公正推行的测评认证。市场上有这样的先例,美国从2002年7月开始已经规定政府和军队必须优先采用通过CC认证的产品,CC认证是目前国际上通行的一个准则,中国也有相应的国家标准和CC相对应,所以我们借鉴美国的做法,今后在有关网络安全的要求上,应当要求优先采购、优先选用通过中国相应认证标准的产品,级别高的产品应该在国际上也是有相应标准的。

CC认证是目前国际上通行的一个准则,从1985年开始国际上就有一些关于CC的准则,一直到1999年成为国际标准。我们国家在2001年采用相同标准,成为国标就是18336。

18336标准体系有七个级别,从EAL1到EAL7。这主要取决于产品的情况,比如目前对IC卡、SIM卡最高到EAL5,服务器、操作系统最高到EAL4,很多产品还没有这样的标准,但是我们觉得这是可以推进的方向。

我们希望按照这样的方式把重要的产品,包括关键核心技术设备也能够制定标准进行分级认证。比如,对移动操作系统制定标准进行分级认证。移动操作系统非常重要,每个人都在使用手机,移动操作系统每时每刻都在接收每个用户的信息。整个中国使用手机的用户总数超过10亿以上,但是目前移动操作系统市场以进口厂商为主导,所以需要发展国产移动操作系统。希望今后我国在移动操作系统领域有相应的标准,以这个标准作为重要部门,比如政府部门、重要信息部门,采购移动操作系统的标准,可以做到公开公平公正,对产品进行测评认证。这种做法既有利于增强网络安全又符合市场经济自由竞争原则。

目前我国在等级保护方面还有需要完善的地方,特别是相关的标准缺乏,需要完善相应法规制度的建设。要把等级保护这个问题进行扩展,在重要的产品中建议要制定相关的标准,通过相关标准就能对相关的产品进行认证,通过认证后分出不同的级别,按照不同的需要进行选题,在政府采购方面进行设定。

特别是在现代社会有很多新的产品需要建立新的标准,这是我国加强等级保护所需要的,而且我们认为通过加强等级保护工作将可以对国家网络安全的发展提供更好的制度保障。

设立自主可控评估标准

一般来说,“自主可控、安全可信”这八个字是信息化在安全方面最常见的提法。如何达到这样的要求呢?这需要做很多方面的工作,包括前面提到的制定规章制度、等级保护分级认证等。

最近中央网信办已经发布了网络安全审查制度,我们建议出台一些新的制度保证。自主可控是非常重要的条件,而且是可以出台评估标准的。

为什么自主可控可以评估呢?所谓自主可控是对产品和产品的使用周期的安全可信评估,但是对于安全可信的评估相当难以实现,我们可以说一个系统今天是安全的,但是如果这个系统遭受了新的攻击,发现了新漏洞,那么这个系统就不可信、不安全了。

在自主可控的评估标准方面,我们提供了五个方面的参考,从知识产权、技术能力、发展格局、供应链和国产资质这五个维度进行评估。

第一,知识产权。知识产权应该被放在第一位,在当前的国际竞争格局下,知识产权自主可控可以说是有一票否决权的。能否采用一个很好的产品,取决于是否拥有该产品的知识产权,如果别人拥有该产品的知识产权,就限制了你的使用。所以一定要注意到一个产品的知识产权是否能够做到无条件限制。目前,我国在一些重大项目上已经把知识产权评估作为一个必要的要求。

第二,能力自主可控。对于自主可控的评估标准来说,是否拥有知识产权就足够了?显然是不够的。能力自主可控意味着技术能力自主可控,如果没有技术能力支撑就无法掌握知识产权,虽然买来了产品,但还是无法使用,还需要外国人来设计。所以自主可控包含一定的技术能力也就是创新能力,这个能力是必须有的。我们也可以延伸一下,是否有产业链的能力,是否有构筑产业链的能力,包括是否有一个构建完整生态系统的能力。

第三,发展自主可控。这一点也很重要,即使拥有了知识产权,有了技术能力,也不能完全做到自主可控,从短期来看也许可以做到,但是从长期看,自主可控还需要具备后续发展的能力。

比如国内很多手机厂商都在现有的安卓系统上做一些本地化和改进,做一些本地的版本,这些做法当前来看可能暂时没有问题,国内这些厂商有能力做这一系统本地化和改进,但是关键问题是系统未来的发展是由谁掌握的?并不是国内这些厂商,因为他们不知道这个系统什么时候发布下一版,不确定本地版本是否继续和新的版本兼容,不能确定本地版本是否能够继续发展,也不能掌握未来这个系统往哪个方向发展,和是否会继续开放。所以从长期来看,手机操作系统在未来发展上就会受制于人,不知道之后会发生什么样的情况。

第四,供应链自主可控。有的产业需要完整的供应链的支持,比如芯片是怎么保障自主可控的呢?如果能够做到设计芯片,拥有知识产权,但是国内无法生产该芯片,需要到外国工厂进行生产,最后还是会被别人控制,受制于人。所以这种情况下,需要知识产权和设计能力,包括生产工艺等都自主可控。

第五,国产资质。这里有两方面,一方面是资质问题,比如内资、外资要注意,另外主张对国产有一些客观的界定,其实不要认为名义上是国产的,就觉得不可靠。发达国家对国产的定义其实还是有一些科学的可借鉴的意义。举一个美国对国产定义的例子,美国1933年通过的购买本国产品法规定在本国增值超过50%的就是美国产。我国可以借鉴这一标准,建议在国产产品认定和支持上从资质加上增值两方面来做。

以上五个方面就是有关信息化建设的建议。如果考虑真实自主可控可以通过这几个方面进行测评、论证和评估,可以分成“通过”、“不通过”再分成五级打分,或者百分制来衡量是否是自主可控、这有利于保障网络安全和信息安全。

安全文化测评 篇10

当前政府部门、金融机构、企事业单位和商业组织对信息系统的依赖日益加重[1]。等级保护测评是衡量信息系统安全性的重要手段, 通过实施信息系统安全等级保护测评, 能够准确把握信息系统安全状况, 可以帮助信息系统运营使用单位按照标准进行安全建设、整改和管理运行[2,3]。但是在目前等级保护的测评过程中, 安全配置检查有着非常明显的局限性, 具体表现在: (1) 采用手工方式对测评对象进行安全配置检查, 测评对象类型非常庞大而复杂, 对人员和技术要求比较高, 必然减慢整个测评过程, 导致测评周期过长, 测评效率下降;如果为了追求速度, 减少测评对象, 必然无法满足测评强度要求, 从而影响测评结果的有效性; (2) 测评机构的测评人员水平参差不齐, 对结果的准确性影响比较大, 等级保护测评工作量大、时间周期长, 人员需要高负荷工作, 工作压力、疲劳、情绪等都导致测评结果的准确性大打折扣; (3) 目前还没有一个针对测评对象统一的安全配置检查标准, 在检查过程中各测评机构有的是依赖于某些行业自定的安全配置规范, 有的是依据测评人员的经验和感觉, 测评结果的权威性大打折扣。研究目前国内外的类似工具主要存在问题如表1所示。

因此在等级保护测评过程中, 迫切需要一款符合等级保护测评要求的、标准化的、自动化的安全配置核查工具来协助测评人员进行安全配置检查。

1 安全配置核查工具设计分析

在国外, 联邦桌面核心配置计划FDCC (Federal Desktop Core Configuration) 是美国联邦预算管理办公室OMB (Office of Management and Budget) 提出的要求所有的政府部门强制执行的安全配置基线标准[4]。FDCC定义了针对Windows XP与Vista操作系统的安全配置准则。为了检测FDCC的规范性, NIST开发了安全内容自动化协议SCAP, 以标准化的方式表达与使用安全数据, 然后进行安全问题评估。到目前为止国际上有十几款满足FDCC要求, 并通过NIST SCAP验证的安全配置检查工具。而在国内, 参考美国的FDCC, 国家信息中心于2008年提出了“政务终端安全核心配置” (CGDCC) , 最终目标是实现全国政府办公网络终端安全防护系统的统一规划、统一管理, 并为政务终端提供统一的安全策略配置、检测的补丁分发、实时的安全状态监测等终端安全护理服务[5]。该计划2010年正式立项, 相关标准、平台及工具还在研制和完善之中。

设计与实现等级测评配置检查工具的意义体现在:

(1) 提高结果一致性:提高了等级保护测评结果的一致性, 确保检查结果的科学性和准确性;

(2) 提高环境适应性:能够适应不同行业、不同条件下的复杂网络环境, 保障信息安全等级保护测评工作的顺利开展;

(3) 增强测评灵活性:开展信息安全等级保护工作是国家在保障重要信息系统安全的重大措施。依据《计算机信息系统安全保护等级划分准则》, 信息系统分为不同的保护等级, 不同保护等级的安全要求存在差异, 工具的实现能够灵活地应对这种差异, 提供给测评人员针对不同级别系统测评检查的结果报告;

(4) 降低测评成本:由于检测的一致性, 简化了检查过程对检查人员的技术要求, 简化了检查的复杂度, 加快了检查的进度, 提供了工作效率。

通过分析国内外安全配置核查工具研制工作, 还未见一款适合于等级保护测评工作, 并针对等级保护测评特性进行设计的工具。

依据日常信息系统运营维护的工作需求, 我们认为安全配置核查工具在设计上应该具备以下几点特性:

(1) 工具具有高性能:等级保护测评对象庞大而复杂, 如果需要快速准确地获取这些对象的测评结果, 需要工具具有较高的性能, 能够通过多任务多会话并发扫描、快速匹配检查模板等方式高效完成指定的检查任务;

(2) 开放而灵活的检查模板:等级保护相关规范将等级保护对象定义了五个级别, 不同级别的技术要求是不一样的, 同时测评对象种类繁多, 对技术要求各不相同, 模板数量将非常庞大, 开放的检查模板将鼓励国家、行业有能力的研究单位、部门完善这些模板的标准化;另外在等级保护测评要求中也有一些个性化的要求, 这就需要工具中的检查模板可以满足测评人员灵活定制的要求, 对检查参数值、检查条目都可以根据需要灵活添加删除;

(3) 提供二次开发接口:通过二次开发接口, 可以和其他信息安全产品形成联动, 实现更加复杂的信息安全控制、分析和管理功能, 如集中管理、集中采集、集中呈现、智能分析、自动修复等功能;

(4) 检查过程智能化:不同的操作系统有不同的配置安全标准, 甚至同一操作系统的不同版本针对同一安全配置有不同的配置差异, 因此需要工具在检查过程中智能识别系统类型和版本, 并根据差异自动选取合适的检查模板进行检查, 确保检查结果的快速准确;

(5) 适应复杂的应用环境:等级保护测评的对象环境各不一样, 复杂多变, 因此工具应该充分考虑这些复杂性, 比如提供用户名及静态或动态口令实时输入窗口、提供本地脚本检查、提供跳转连接检查、二次登录检查等;

(6) 工具容易操作:等级保护安全配置核查工作是一个繁琐而复杂的过程, 测评人员的能力参差不齐, 这就要求测评工具操作界面设置合理, 具有操作简单, 容易上手的特点;

(7) 检查结果容易分析, 并能长期保存和对比。能够提供直观化的报表, 通过饼图、柱状图、曲线图、表的形式准确清晰的体现测评对象个体差异和整体风险。

除了以上设计需求, 结合广东电网公司业务需求, 还要以国家标准《信息系统安全等级保护基本要求》为基础, 并参考《南方电网IT主流设备安全配置技术规范》来扩展业务系统、网络设备、信息化应用的范围, 建立广东电网公司安全配置检查规范模型, 模型中还应考虑不同等级资产的配置要求, 考虑不同配置的重要级别。

2 安全配置检查规范模型

《信息系统安全等级保护基本要求》将安全等级分为五个等级, 每个等级从技术和管理两方面提出要求。就技术方面而言, 主要考虑物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复。《信息系统安全等级保护基本要求》是安全配置检查规范模型建立的主要参考标准, 针对广东电网公司所属各单位信息系统安全的具体要求, 还必须参考行业规范 (如:《南方电网IT安全配置基线》) 和《信息系统通用安全要求》, 最终建立的广东电网公司安全配置检查规范模型[6,7,8]包含四层结构和三种对象, 如图1所示。安全配置检查规范模型的建立必须考虑测评对象、测评项、测评规范要求和测评项的风险值这四个因素。考虑广东电网公司未来信息系统的规划发展, 研究中的测评对象将包含5大类, 共计21个小类, 如图2所示。测评类型则包含5大项, 20多个小项, 如图3所示。针对每个测评项的具体测评要求则参考《南方电网公司IT主流设备安全配置技术规范》, 并结合等级保护中对系统、设备、应用的要求进行合理化定制, 同时根据不同等级的系统区分为二级和三级的测评要求。例如, 在身份鉴别上, 二级系统对身份鉴别没有具体要求, 三级系统则要求系统支持两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。其中安全配置检查规范中包含的每项要求来源于规范层的对象, 系统层包含了需要测评的IT系统、设备、应用对象类型, 共5大类;检查项层是系统层属于子层关系, 是每个应用对象检查项目的具体类型化, 包括了5小类;评价指标层是对测评对象失效结果的一个评价, 以确认对信息资产所造成的影响。

广东电网公司有非常多的业务系统, 不同的业务系统所面临的风险是不同的, 比如:财务系统和供应商管理系统, 前者被入侵, 会造成数据失窃, 严重导致关键性数据丢失, 系统瘫痪, 工作不能正常进行, 对广东电网公司的影响是非常巨大的, 而和供应商管理系统被入侵, 即使数据失窃或者系统瘫痪, 对广东电网公司的影响都非常有限, 因此不同的业务系统, 资产的权重决定了同一个安全配置项的失缺, 影响是不同的, 这在以往的风险测评中是需要进行量化的指标, 但是等级保护测评中安全等级已经决定了资产的重要性和价值, 因此在安全配置检查规范模型不再进行考虑, 仅考虑各测评项的风险值。在实际测评中, 广东电网公司安全配置检查规范包括了20多种测评对象, 每个测评对象包含20多个检查项。检查项非常多, 同时不同的检查项对系统的影响是不同的, 比如:帐号口令的长度设置要求, 如果没有按照规范来做, 将有可能直接导致非法登录的产生, 对系统的危害是非常巨大的;日志的存放方式没有按照规范来做, 将来可能导致的是影响出现了安全事件的事后分析处理, 对系统本身来说是没有危害, 因此不同的测评项对系统影响的风险值是不一样的。根据对广东电网公司需求的分析, 结合等级保护的相关规定, 对测评项的风险值进行了设定如表2所示。

3 类SCAP的自动化核查实现

在安全配置检查规范模型的基础上, 我们借鉴SCAP进行工具的实现[9]。安全配置核查工具的核心是各种类型安全配置检查枚举库。首先, 在枚举库中, 所有信息系统, 在同一安全等级下, 操作系统、应用、路由或安全设备的安全配置标准是一致的;其次, 同一类型系统、软件不同版本的安全配置差异要体现;第三要尽可能枚举到主流的各类操作系统、应用及设备安全配置标准。所以检查枚举库借鉴SCAP标准进行研制, 并在这个基础上, 按照等级保护相关规范要求进行合理采纳, 就可以形成适合于等级保护相关要求的安全配置检查枚举库, 大大缩减开发周期和开发难度, 我们称之为类SCAP实现。

SCAP包含两个主要元素。首先, 它是一个协议, 一组标准化格式与术语的开放规范。通过它, 软件安全产品可以互通软件缺陷与安全配置信息, 每一个规范也被称作一个SCAP组件;其次, SCAP包括软件缺陷与安全配置标准化的参考数据, 也被称作SCAP内容。目前的SCAP 1.0协议组件按类型分为:列举组, 为安全与产品相关的信息定义了标准表述符与目录;脆弱性测量与评分组, 用于测量脆弱性特征以及根据这些特征给予评分;表述与检查语言组, 运用XML Schema说明检查列表, 产生检查列表报告, 以及说明用于检查列表的低级测试过程。以华为交换机为例, 以下给出基于SCAP的限制会话状态和允许访问规则参考的配置定义并作了注释说明:

4 安全配置核查工具设计与实现

整个工具的系统架构如图4所示, 具体五个主要功能模块: (1) 扫描核心模块, 扫描核心模块是系统最重要的模块之一, 它负责完成目标的探测评估工作, 包括判定主机存活状态、操作系统识别、规则解析匹配等[10]。 (2) 安全配置测评模板库, 包含了通用配置枚举库 (CCE) 和通用平台枚举库 (CPE) , 包含已知系统、网络设备、应用、中间件、数据库等的具体类型检查参数及相关安全配置指导参数检查列表, 是系统运行的基础, 扫描调度模块和Web管理模块都依赖它进行工作。 (3) 检查结果库, 检查结果库包含了扫描任务的结果信息, 是扫描结果报告生成的基础, 也是查询和分析结果的数据来源。 (4) 数据同步模块, 数据同步模块负责系统内各模块的版本升级, 并提供和外部数据汇总服务器的数据同步。 (5) Web界面模块, Web界面模块负责和用户进行交互, 配合用户的请求完成管理工作。Web管理模块包含多个子模块共同完成用户的请求。

系统模块如图5所示。

关键的模块功能如下:

1) 用户管理界面层

用户管理界面模块负责和用户进行交互, 配合用户的请求完成管理工作。用户管理模块包含多个子模块共同完成用户的请求, 其主要子模块有: (1) 评测任务管理子模块―完成用户评估任务的管理工作; (2) 报表管理模块—读取评估结果库, 并根据评估描述信息和解决方案生成扫描报表。 (3) 测评模板管理子模块―提供对测评模板的查询、创建、添加、修改、删除。 (4) 系统管理子模块―提供工具的各种系统控制参数查询、配置, 登录用户及口令的创建和维护, 以及辅助的本地测评脚本下载接口等。

2) 系统功能模块

系统功能模块中最重要的是智能分析检查模块, 该模块提供对获取配置数据的智能分析和关联匹配, 并将结果放入检查结果库。核心任务调度模块负责读取测评任务信息, 完成目标的探测评估工作, 包括判定目标存活状态、登录目标、操作系统识别、目标配置数据获取等。结果报表分析模块提供结果数据的查询、分析及报表生成。系统升级管理模块可以完成平台枚举库和测评模板库的更新, 并且系统的各个功能模块都可以通过升级模块进行升级。

3) 系统内置库

系统内置4个库, 其中安全配置测评模板库由CCE和CPE模板库构成, CCE库包含各类设备安全配置具体要求列举, 是工具运行的基础。CPE库包含各类操作系统、应用软件、硬件的列举, 安全配置测评模板库通过关联平台枚举库来说明发现配置缺陷的平台。检查结果库包含了扫描任务的结果信息, 是扫描结果报告生成的基础, 也是查询和分析结果的数据来源。用户管理库存放了登录工具的用户名、权限、口令、审计等相关信息。

4) 二次开发接口

通过此接口工具可以与其他安全产品和管理平台进行联动, 以便于数据集中及统一的平台管理。

5) 工具实现

广东电网公司安全配置核查工具基于Web的管理方式, 用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互。用户登录系统后, 可以完成创建检查任务、查看任务信息、检查任务结果、报表输出、下载配置规范检查脚本、常用工具的使用、升级设置、查看任务信息、检查任务结果和报表输出等功能, 工具主要实现流程如图6所示, 其中各步骤对应界面如图7-图10所示。

5 结语

安全配置核查工具在广东电网公司部署上线后, 使得相关等级保护配置测评工作有一个共同遵循的统一标准。通过使用安全配置核查工具可以针对等级保护的相关要求, 设定不同级别的技术要求, 考虑每个配置项的风险级别, 根据检查结果给出相应风险评分。在日常检查中, 自动化的安全配置核查工具可以避免手工检查的效率低下的缺点, 提高了检查和后期跟进的效率。安全配置核查工具能够有效促进等级保护测评工作的规范化、标准化、自动化, 能够对等级保护相关系统进行持续有效的监控, 确保符合等级保护规范要求。总的来说, 参考本研究的设计思路, 各大中型政府和企事业单位信息系统维护部门可以设计和实现适合于本单位和部门的安全配置核查工具。

参考文献

[1]肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011 (7) :34-35.

[2]蔡鹏程, 冯方回.等级保护与政务终端安全[J].信息网络安全, 2010 (08) :11-13.

[3]胡喆骞, 杨璐.终端安全管理系统的研究与应用[J].信息安全与技术, 2011 (01) :27-30.

[4]王义申.从FDCC看终端安全保护新思路[J].计算机安全, 2011 (10) :45-46.

[5]许涛, 吴亚非, 刘蓓, 等.我国政务终端安全桌面核心配置标准研究[J].计算机安全, 2010 (11) :74-76.

[6]桂永宏.业务系统安全基线的研究及应用[J].计算机安全, 2011 (10) :77-80.

[7]孙铁.创建自主可控的业务系统安全基线技术体系[J].信息网络安全, 2009 (05) :77-78.

[8]王玉萍, 段永红, 洪岢.安全基线在银行业的应用与实践[J].计算机安全, 2011 (8) :47-49.

[9]张力.引入SCAP标准提高系统配置安全[J].信息安全与技术, 2010 (10) :44-46.