导语:如何才能写好一篇网络安全专题报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
期间,宣传部向全校广大同学发出倡议书,倡导全校大学生守法上网、文明上网、安全上网、绿色上网、健康上网,号召同学们信守网络诚信,从我做起,从现在做起,文明上网,上文明网。
通过开设网络文明教育实践活动主题网页,悬挂网络安全宣传横幅、开设网络安全宣传专栏、发放网络安全宣传传单等多种方式,宣传网络法律法规、网络安全知识和网络礼仪,倡导文明上网、健康上网的理念,营造健康文明的网络环境。
团委学工处组织开展了大学生网络安全教育签名活动。各二级学院组织开展了大学生座谈会、网络安全宣传讲座、网络安全知识竞赛、班会等丰富多彩的主题活动,大力营造网络文明氛围,使更多同学都能参与到活动中来,自觉践行网络文明。
证券电子商务的概念
证券电子商务是证券行业以互联网络为媒介为客户提供的一种全新商业服务,它是一种信息无偿、交易有偿的网络服务。其基本内容包括:1.证券电子商务能为企业及投资者提供投资理财的全方位服务;2.证券电子商务所需条件是互联网络的普及、货币电子化和解决网络安全问题(微观、宏观)等。证券电子商务比其它行业电子商务少了电子商务三大要素之一的物流,因此证券电子商务能够更快更好地实现;3.证券电子商务能够为投资者提供国际经济分析、政府政策分析、企业经营管理分析、证券板论文块分析、证券静态动态分析等方面的服务;4.证券电子商务能够以每日国内外经济信息、证券行情、证券买卖、投资咨询、服务对象的辅助决策分析及提供特别专题报告等方式来为投资者服务;同时也提供外汇、期货等方面的辅助服务方式。
特点与典型模式
2、个性化:所有服务可精确的按照每个用户的需要进行。服务方式可以是主动服务,也可是被动服务。
3、成本低:由于服务的虚拟性,对原有事务性工作的场地及人工不再有要求,加上技术进步对信息处理效率的极大改进,因而有效降低了证券公司的基础运营成本。
4、优质服务更为重要:由于硬件不再重要,网络的竞争只能依靠软性的服务。并且网络跨越时空的能力会将这种优势服务的能力无限制放大。强者恒强的马太效应在网络经济模式下更是一条不变的规律。
5、创新是竞争的要素:由于网络缩小了时空的概念,因此任何一种新的业务思想或技术很快能被对手效仿,为始终保持领先,企业只有依靠不断的创新才能保证竞争的优势,否则会很快被竞争对手超越。
6、技术是核心资源:在证券电子商务中,技术构成了服务与业务的基础平台。因此技术不仅仅是一种手段,还是核心的资源。技术的创新便可意味着服务与业务的创新。
证券电子商务的典型模式主要有以下几种:
1,E——Trade模式:完全以WEB方式提供纯虚拟的投资与服务,其特点就是用尽可能低的折扣吸引对价格在意而对服务要求不高的自助投资者。价格是这些公司的主要竞争模式。这方面的典型代表有E——Trade,Ameritrade等。
3,MerrillLynch模式:美林证券是美国乃至全球的著名品牌。由于有庞大的客户托管资产作为后盾,美林对于90年代兴起的网上经纪浪潮反应迟钝,迟至99年六月一日才其在线交易系统。
问题和应对策略
1、证券投资主体不合理。我国目前证券投资不是以投资基金和投资经纪为主,而是民众广泛介入,从资源优化配置角度出发,这是不可取的。随着我国证券市场的规范,证券投资的主要操作者应该是基金管理者、证券经纪人、投资银行管理者等,证券营业部的计算机系统和网络也将有较大的改变。随着证券投资主体的进一步多元化,证券电子商务前景将更加明朗。
3、证券电子商务的网络问题。证券电子商务有三方面的网络问题:互联网的安全、网络稳定可靠性、网络速度。互联网的安全不仅是证券电子商务所关心的,它更是整个国家的安全问题,特别是象金融证券业这类国家支柱产业的互联网络,更要严格使用国产关键技术,以确保安全性。所幸的是,最近中科院的计算机网络安全关键技术与产品开发获重要进展,该项目包括:实用非否认协议、智能卡软件安全规范、智能卡安全集成平台、Internet安全集成系统、Internet网络安全监视器、防火墙系列产品、计算机网络安全产品评测、″黑客″入侵防范软件、安全引擎工具包、网络安全教育等。网络稳定可靠性和网络速度问题有赖于我国电信网络和有线电视网络技术的提高,我国证券交易多次发生过交易笔数太大导致证券交易所和证券商计算机及通信系统阻塞事件。
【关键词】高级隐遁技术;高级持续性攻击;检测方法
China’sSituationofProtectionTechniquesagainstSpecialNetworkAttacks
XuJin-wei
(TheChinesePLAZongcanaResearchInstituteBeijing100091)
【Abstract】Bytheendof2013,theauthorvisitedmorethantendomesticwell-knowninformationsecuritycompaniestomakeaspecialinvestigationandresearchonthefocused“APT”attackissue.Duringthevisit,theauthormadedeeplyexchangeanddiscussionwiththefirst-lineprofessionalresearchandmanagementpersonnelandgainedmuchknowledge.Thisarticlemainlyintroducesthepresentsituationofprotecttechnologyconstructionbysomeofdomesticinformationsecuritycompaniesagainstnetworkattacks,asaninspirationtothecolleagues?andunitsintheinformationsecurityindustry.
【Keywords】advancedevasiontechniques;advancedpersistentthreat;detectionmethods
1引言
2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。
从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司VerizonBusiness的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。
APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的“信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。
2高级隐遁技术(AET[注2])
结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。
目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。
使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。
2.1常见的高级隐遁技术攻击方法
常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。
2.2高级隐遁技术的测试
为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。
国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。
测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。
CNGate-TES测试环境部署如图2所示。
3下一代威胁与APT
下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。
对信息系统的下一代威胁和特征有几点。
0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。
多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。
混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。
高级持续性威胁:APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。
3.1APT攻击过程和技术手段
APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。
在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。
技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。
周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。
在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。
SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。
木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。
渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。
在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。
深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。
痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。
3.2APT检测方法
随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。
虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。
3.2.1基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。
双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。
从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。
3.2.3基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。
4结束语
结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。
一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。
二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。
三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。
[注1]APT(AdvancedPersistentThreat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
参考文献
[1]关于防御高级逃逸技术攻击的专题报告.
[2]MarkBoltz、MikaJalava、JackWalsh(ICSA实验室)Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合.
[3]恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术(北京)有限公司.
[4]杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.
[5]张帅.APT攻击那些事.金山网络企业安全事业部.
[6]徐金伟,徐圣凡.我国信息安全产业现状调研报告.2012.5.
[7]徐金伟.我国专业公司网络流量监控技术现状.2012.6.
[8]北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.
[9]南京翰海源信息技术有限公司.星云2技术白皮书V1.0.
1.1高校图书馆数字资源建设的必要性
1.1.1数字化社会对图书馆资源数字化的要求
随着信息技术的发展和信息的广泛利用,数字化信息获取成为人们工作、学习、研究和生活的一个基本需求,如查询资料多使用上网搜索,阅读资料常使用“读屏”,保存有用资料也多选择电子版,等等。这就使得作为信息服务重要平台的图书馆,其数字资源建设成为一种必然要求。图书馆必须建立起与传统纸本资源相配合的数字资源,使信息资源的拥有与获取相辅相成、相得益彰,才能较全面地提供和满足读者的信息需求。否则,图书馆就不能充分发挥信息交流的作用,也就失去了图书馆存在的社会价值。
1.1.2促进高校图书馆的发展要求
首先,随着高校办学质量的不断提升,对图书馆的要求也在不断提高,数字资源的多寡、优劣成为衡量高校图书馆质量的一个重要方面。其次,随着校园网的普及,要求图书馆能提供基于互联网的24小时服务,以方便用户对图书馆资源的利用。同时,高校也希望图书馆能以有限的投入而配置更多更好更方便利用的资源,这就使得数字资源成为得天独厚的一个极佳选择。最后,高校的发展提供了更多能让图书馆走出去相互交流的机会,各图书馆在交流中都希望能共享彼此的特色资源,以扩充自身的服务内容和提升服务质量,这种自发的提升需求必然成为高校图书馆数字资源建设的内在动力。
1.2高校图书馆数字资源建设的特点
1.2.1数字资源配置量少,内容相似度大
高校图书馆基本上属于小型馆,服务对象主要是本校的师生员工,其搜集的馆藏资源主要是以学校的教学、实训和教师研究需求为重心。同时,高校图书馆对数字资源建设的资金投入也比较有限,这使得高校图书馆的数据库配额多在2-7种之间[1],数字资源配置大多以中文数据库为主,主要有中国学术期刊数据库、维普中文科技期刊库、超星电子图书馆和万方公司的中文期刊库等。总体看来,高校图书馆数字资源的配置数量少,内容相似度却比较大。
1.2.2别具特色的数字资源开始形成与发展
2高校图书馆数字资源建设对策
2.1加大力度引进专业数据库
高校图书馆在引进中文数据库的时候要综合考虑数据库的使用效果、学科专业建设、重复引进、经费投入等问题,合理引进中文数据库。在经费允许的条件下,根据学科专业建设情况,尽量多引进专业性数据库,满足多学科的教师和学生的科研学习需要。
2.2加强高校图书馆自建数据库的建设
目前我国高校图书馆引进的数据库比较多,而自建的数据库比较少,自建特色库的质量也比较低。加强自建特色数据库的建设,应该做好以下几方面的工作。
2.2.1集中精力搜集具有某种优势的信息资源
2.2.2根据重点学科、重点课题,提供定性、定量的专题报告和论点
汇编高校图书馆的重点学科文献相当丰富,文献内容的广泛性、系统性、连续性,有利于重点学科数据库的建设。例如,清华大学的建筑数字图书馆、北京林业大学的林木育种数据库等建设都与本校的重点优势学科紧密相连。
2.3加强高校联盟,实现资源共建共享
3图书馆数字资源的安全管理
3.1高校图书馆数字资源安全的隐患
3.1.1管理人员安全意识和技术水平薄弱
由于高校数字图书馆所存储的各类信息资源一般极少有像其他政治、军事、经济、商业、技术专利等方面需要保密的内容,所以习惯地形成对图书馆网络信息安全问题不够重视,仅注意了防火、防盗,对网络安全没有引起高度重视,管理制度不健全,或管理人员没有严格遵守规章制度;高校图书馆作为教辅单位,馆员也很难得到像教师那样的外出进行系统培训的机会,技术素养难以跟上计算机、信息、通讯、网络等领域的快速发展,管理人员缺乏安全配置和管理网络的专业知识,不能及时发现和解决已经存在的和随时可能出现的安全问题等;
3.1.2计算机病毒泛滥
计算机病毒是数字资源安全的最大威胁,其传播速度迅速、途径多样,具有极强的破坏性,由此造成服务器运行速度变慢、数据被破坏、网络带宽被占用,甚至导致服务器系统瘫痪、硬件受损、数据丢失等,对数字资源的安全构成严重威胁,造成巨大损失;
3.1.3环境因素
数字资源服务器、存储设备对所处的外部环境有很高的要求,当环境达不到设备可以正常运行的条件时,尤其是当外部环境突变时,例如水、火、电等,会造成数据损坏、设备故障、服务器死机,甚至会缩短设备的使用寿命,造成不可挽回的损失;4)资金投入不足。由于经费投入有限,许多图书馆都存在设备缺乏、老化、不兼容等问题,有些图书馆还缺乏除尘、老化元器件的更换等基本的维护,这无疑增加了信息安全的风险。多数馆只是配个防火墙,安个杀毒软件而已,像硬件防火墙、路由器、不间断电源、防雷等设备都尚未配置。没有足够的经费投入必要的人力、财力与物力来加强网络的安全管理,将是高校数字图书馆安全管理的瓶颈问题。
3.2高校图书馆数字资源安全管理的策略
3.2.1加强安全教育和培训,提高信息安全意识
首先,定期对读者和全体馆员开展信息安全教育讲座。信息技术部门应向图书馆领导层充分陈述信息安全教育的重要性,并建议利用读者培训渠道加强信息安全教育。还可抓住流通数据丢失,读者信息的外泄,病毒、木马导致系统瘫痪等信息安全方面的典型案例,对馆员进行安全教育和培训。其次,应在图书馆网站开辟信息安全教育专栏,加强网络与信息安全意识的宣传、汇报、检查和指导,做到防微杜渐。
3.2.2加强制度建设,完善安全管理
高校图书馆应根据数字资源的安全要求,制定机房、服务器与磁盘阵列等设备的安全管理制度和网络安全管理办法。要明确职责,加强内部管理。制定数据及加密管理、技术资料管理、口令保密等制度和应急处理措施,确保安全,减少损失;制定网络操作使用规程(包括网络系统管理人员、数据维护人员等管理制度)和完整的人员分工管理制度。系统管理人员除要深入了解系统功能、做好数据的定时更新与维护外,还应经过严格的培训及考核,熟知所有数字资源数据库、服务器系统功能,掌握确保数据安全的方法,了解机器设备的管理、规章制度和安全等方面的知识,在实际工作中严格遵守操作规程。
3.2.3加强安全技术手段,实现安全管理
首先,防病毒技术:常见的防病毒技术可以分为3种:病毒预防技术、病毒检测技术和病毒清除技术。病毒可以通过浏览器、邮件、甚至聊天工具、U盘等各种途径传播数字资源。服务器应安装服务器版网络杀毒软件,以提高对病毒的检测、清除、免疫和对抗能力,并由专人负责维护,确保杀毒软件不断更新,并使用各种方法定时检测病毒,实时清除病毒查毒。应严禁在没有杀毒的情况下,使用外来磁盘、光盘和移动存储设备,不得安装来历不明的软件和盗版软件。
然后,认证技术:常见的认证技术主要包括数字签名、身份认证以及数字证明3种。数字签名机制可以解决伪造、抵赖、冒充和篡改等安全问题;身份认证机制提供了判明和确认信息交流双方真实身份的方法,是有效控制网络欺诈的重要途径,可作为访问控制的基础;数字证明有时也称为“公开密钥的证明”或“数字ID”、“数字护照”。
最后,数字加密技术:加密技术是网络信息安全的主动的、开放型防范手段,可以在数据传输、存储中对数据采取安全、有效的保护,保证数据的完整性,防止被外部截获、破译。数字资源可以根据自身特点使用数字加密技术,网络加密常用的方法有链路加密、端-端加密和节点加密3种。
3.2.4增加资金投入,加强安全设备建设和维护
所谓安全教育,是指高校管理者和教育者以党和国家法律、法规、方针、政策为依据,以全面提高大学生综合素质为目标,以安全责任、安全意识和安全知识为主要教育内容,通过入学教育、课程教育和日程教育等多种途径,在校大学生能够增强安全意识、全面系统地掌握安全知识、更好地适应大学生活和今后走向社会需要而进行的教育。
高校安全教育本身颇具矛盾性,被多数人不同程度地忽视,但又没有人否认其重要意义。从校园层面,校园安全事件频发方面使得大学校园变得危机四伏,存在着不可忽视的安全隐患;另一方面也暴露出当代大学生适应社会、求得生存能力的薄弱。从社会层面看,构建和谐校园是构建和谐社会的重要内容,也是学校改革和发展的基础;维护校园安全稳定,是构建和谐校园的重要前提和保证。因此,建立科学的高校安全教育体系,对提高大学生的安全意识,增强大学生安全防范能力,促进校园和谐,维护社会稳定,具有十分重要的现实价值。
一、以三个课堂为切入点的安全教育组织实施体系
将安全教育与第一课堂安全理论课、第二课堂校园文化活动相对接,拓展第三课堂网络新媒体的教育平台,可以促成高校安全教育体系三个课堂深度融合、协作互动、资源联动、互相促进的良好局面。
1.结合安全教育课理论教学,衔接第一课堂
北京林业大学于2004年把安全逃生课列为必修课并纳入学分,首开国内高校先河。随后,部分高校认真研究新时期安全教育的规律,陆续将安全教育课列为学校的必修课或选修课,制定教学计划,选取科学教材,适当安排课时,并采取一定方式进行考核。与纯理论知识授课不同,安全教育的课堂应以理论知识为主线,辅以案例分析、模拟应急训练、模拟自救演练、防身技能训练、专题报告会等多种形式。通过安全教育课,大学生初步了解和掌握了防火、防盗、防骗、防止人身侵害以及交通安全和国家安全等方面的安全常识,培养大学生在紧急情况下自救自护的能力,这对提高大学生的综合素质具有较强的针对性和实用性。
2.结合校园文化安全实践,渗透第二课堂第二课堂处于有形教育和无形教育之间,相较于第一课堂,第二课堂内容丰富、主题广泛、形式多样,具有自主性、知识性、娱乐性和实践性的特点,是课堂教育的有益补充。在高校安全教育中,要把校园的安全教育与校园文化活动结合起来,引导学生在实践中接受教育,锻炼能力。如新生入学教育时发放安全教育手册、宿舍安防小贴士、组织安全知识讲座,在高年级学生中组建大学生治安志愿者服务队和安全学习交流协会,在日常的学生活动中举办安全运动会,组织安全图片展览和模拟消防演习等,通过丰富多彩、生动活泼的形式,在潜移默化中提高学生安全防范意识和防范能力,以达到学生自我管理、自我教育的目的。
二、以三个转变为突破口的安全教育质量提升体系
无论在实践操作层面,还是在理论研究层面,当前的高校安全教育依然存在诸多不完善之处,学校应积极完成三个转变,提高高校安全教育体系的质量。
1.由表及里,加强高校安全教育的实效性
高校安全教育关键在落实,目前高校的落实情况远滞后于实际形势的发展,或是出现重大案件后才会加以重视,或是重安全管理轻安全教育。前者问题在于预防意识淡漠,后者治标不治本,有形的安全问题可察觉,而学生安全素质不高的隐形隐患危害更大。
在高校安全问题中,教育与管理是相辅相成、不可割裂的,二者的目标都指向于高校安全的保障。加强大学生安全教育,要坚持以正面教育为主,引导学生重视安全问题,培养学生的安全意识,提高学生的安全防范能力。同时,要加强学校的安全管理工作,如依据国家的法律法规,建立健全校内各项管理制度,规范日常行为;及时查处发生在大学生中的各种安全问题;落实学校安全防范措施等。
总之,高校安全教育应健全体系,将安全管理与安全教育相结合,将理论学习与参与实践相结合,促使高校安全教育的有效深入。
2.以点带面,加强高校安全教育的系统性
目前,高校的安全教育多是零散和随意的,大学生普遍缺乏深入的、系统的安全教育。原因之一是高校安全教育组织机构和领导机制不完善。一般认为,安全教育是学校安全保卫部门的职责;而安全保卫部门认为其职责主要是学校的安全管理,且无力承担安全教育工作,等等。原因之二是安全教育力量单薄,缺乏专业师资和专业管理人员。目前的安全教育尚停留在辅导员层面,只是组织安全教育主题会和节假日前后的安全教育例会等。
高校安全教育应该是—个系统工程,齐抓共管与分工负责相结合。大学生安全教育工作,是高校教书育人、管理育人、服务育人的重要内容。学校保卫处、学生处、思想政治教研室、宣传中心、后勤管理部等都责无旁贷。应当实行岗位责任制,主管领导指导监督,安全教育中心人员、辅导员、班主任及学生干部贯彻落实到学生个人,使高校安全教育制度化和系统化。3.由此及彼,加强高校安全教育的前瞻性
高校的安定和谐是育人的基本前提,意义重大。对于如何保证高校的安定和谐,存在着一种颇为普遍的错误观念:即单纯强调安全管理的重要性。在此观念指导下,高校会更多地约束学生的行为,制定更加严厉的处罚办法,防止各类事件事故的发生。这种按下葫芦浮起瓢的做法,缺乏前瞻性,看似解决眼下问题,但安全隐患一直存在。只有真正加强学生安全教育,提高学生的安全意识,引导学生如何避免事故,教会学生如何处理事故,这才是校园安全的根本,才是教育的根本。
三、以三个难点为着重点的安全教育管理保障体系
安全教育的高度、宽度和长度是取得实效的难点。对这些问题,高校要力促三个结合,才能推动实践教育向立体纵深发展。
1.安全教育与高校思想政治工作相结合
马斯洛将人的需要分为生理需要、安全需要、感情和归属需要、尊重需要和自我实现需要五个层次,并认为这些基本需要对人的生存发展来说十分重要旦缺失或未满足将会带来身体上或精神上的隐患,若得到满足就演变成追求高一级需要的动力。因此,高校的安全教育作为保障大学生生存必不可少的教育内容,不仅是高校思想政治工作的基本内容,而且是高校育人的重要保障。将安全教育与思想政治工作相结合方面完善了高校思想政治工作内容体系,增强思想政治工作的实效性;另一方面,也可以提高大学生安全意识和抵御非法侵害的能力,确保高校的安全稳定。
2.安全教育与心理健康教育相结合
近些年,大学生发生的人身意外伤害和非正常死亡的事件逐年增加,分析事件的原因,发现多是心理障碍造成的恶果。m125-128处于青春期的大学生,心理成熟滞后于生理成熟,心理状态波动起伏明显、稳定性不强,且情绪控制能力较差,易诱发校园安全事件。将高校安全教育与心理健康教育相结合方面通过心理咨询、团体心理辅导、心理素质拓展等活动形式,帮助学生更好地发现自我、提升自我,增强自我心理调适能力,促进学生全面身心健康发展;另一方面要建立一套"预测、排查、干预、跟踪"的危机积极应对机制,对出现心理危机的学生进行心理干预和跟踪,防止出现自残、自杀和伤害他人等事故。
3.宏观安全教育与微观安全教育相结合
电子商务的概念最早提出于上世纪90年代,当时的世界贸易组织在电子商务专题报告中提出,电子商务是指利用网络开展生产、营销、流通的商务活动。这一定义不仅涵盖了所有因特网上的商品交易,还包括所有利用信息技术降低生产成本、增加产品附加值、拓展商机的商业活动,如原材料查询、比价、采购、商品设计、订购、展示、储运、货款的电子支付等等。电子商务的产生离不开电子数据交换以及互联网资金传送,在互联网环境下,其一经产生便迅速发展,给人类经济社会发展带来了巨大变革,以往传统的”面对面“交易逐渐成为历史,”点对点”“站到站”的商业数据互动成为商业领域主导,极大提升了生产消费的效率,降低了全社会的交易成本,增加了交易机会,促进了全球化发展。
二、电子商务的优势
1.市场全球化
传统交易方式中,交易双方需在面对面的情况下完成商品的展示、销售、交易,双方要满足同时、同地的要求。在电子商务环境下,交易双方可以处于任何地域,凡是能够使用网络的人都可以成为上网企业的潜在客户。
2.交易快捷化
3.交易虚拟化
“面对面”交易下货、款均为实体,企业需提供真正的商品,消费者也需使用先进或银行卡付款。在电子商务环境下,互联网将交易双方的计算机相连,交易双方利用网络完成洽谈、展示、订货、支付等环节,双方无须面对面,整个交易过程实现了完全虚拟化。
4.成本低廉化
电子商务环境下的交易双方由于无须面对面就能完成整个交易过程,中间减少了大量交通费、招待费。另外,交易双方能够利用互联网直接洽谈业务,这也就省去了大量中介费用,从而降低了交易的总费用。
5.交易透明化
传统交易模式下,双方的交易要求只能通过口头或书面的形式传递,电子商务环境下双方关于产品的细节、货款的支付、交货的通知等方面的要求可通过互联网进行传输,对方可利用计算机进行存储、比较、分析,整个交易过程变得更加透明。
6.交易标准化
在电子商务环境下,交易双方需遵守基本的交易准则,并且,在不同的电子商务平台还有更为细化的条款对双方的责任和义务进行约束,所有交易行为都要按照统一的标准进行,交易变得更加标准化。
7.交易连续化
三、电子商务对我国国际贸易的影响
1.对贸易主体的影响
(1)传统中介机构退出或改变
电子商务环境下,以往传统贸易形式所需要的中介机构不再是必须的,交易双方可以跨过中介机构,直接在互联网上自己的信息,进行“点对点”交易。这时,中介机构从交易中脱离出来,不得不转向担保或买卖服务等领域,这实现了国际贸易模式的简化和升级。
(2)中介机构的虚拟化
虽然很多传统交易模式下的中介机构不再从事交易双方的联系业务,但其仍然担任着一些重要的职能,如许多中介机构对卖家的信息进行整合,并帮助卖家收集消费者大数据,从而使双方能够更快、更准确地找到交易对象。这种做法使交易成为了目标采购者与企业联合体的对话,实现了产业链的紧密衔接。
(3)网络交易平台使电子商务更加平民化
电子商务所汇集的不仅是“企业对企业“,其便捷的交易方式、直观化的交易信息传递方式使得其更易于被大众所接受。很多平民化的电子商务平台如雨后春笋般出现,如淘宝、京东、唯品会、苏宁易购等等,这些电商平台有的专注于综合类产品,有的专注于某一消费群体,有的专注于某一类产品,来自全球各地的消费者都能通过这些平台实现交易,这促进了国际贸易中零售交易的发展。
2.对贸易成本的变动
3.对贸易税收的影响
电子商务对际贸易税收的影响主要体现在以下两方面:
(1)交易发生的地点给税收带来了一定难度
(2)税收部门难以掌握、了解交易的细节与信息
账目、凭证、报表是税收征收的重要标准,传统交易模式下,这些资料能够以书面的形式呈现出来,但在电子商务环境下,所有交易的信息和账目都是电子形式的,如果不归集、整理无法形成制式内容,这也造成了税收无据可依的情况。
四、促进我国国际贸易中电子商务发展的对策
1.注重政府对电子商务的管理
经过20余年的发展,电子商务已经成为一个相对独立的贸易体系,人们利用电子商务交易的内容涵盖实体或虚拟的几乎全部商品,这是传统手段交易的拓展和深化。电子商务作为一个巨大的系统工程,其运行涉及了贸易监管、税收、海关、运输、金融、保险、网络安全等多个行业与部门,只有这些行业与部门有效合作才能确保电子商务体系健康、稳定运行。政府要做好市场统筹者与指导者的角色,建立统一、完善的电子商务贸易监管体系,为参与电子商务的交易双方提供更加稳定的交易环境,打击交易中的不良行为,规范市场运行方式,促进各行业、各部门联动,进一步提高电子商务交易效率。
2.注重电子商务的经营模式与理念
关键词:医疗保险基金;监管;管理效率
实现医保基金安全高效的运营和保值增值,必须建立一个完善的监管体系,消除监管过程中存在的各种隐患。针对医保基金监管方面存在的各种问题,可以从以下几个方面进行改进完善:
一、完善立法,使整个监管体系有法可依
二、明确监管主体的职责,加强各主体之间的协调联系
过多的监管主体导致监管交叉重叠,职责混乱的监管造成缺位空白,一直都是困_医疗保险基金监管机构的一个难题。明确监管主体的职责,实施有效监管,可以从以下几个方面着手:一是对监管主体的工作权限划分要明确合理,由医疗经办机构负责医保业务的事前和事中监督;审计部门负责事后审查;而财政部门贯穿于事前事中事后的全程工作中,从始至终整体监管。二是要加强各监管主体部门之间的沟通合作,协调监管,通过文件材料的传阅、听取专题报告等形式,构建完善沟通协调机制。作为一项有着很强综合性的工作,医保基金的监管需要综合掌握运用医疗、财务、审计等各方面的知识,经办机构人员不仅仅要有工作责任感,更要具备丰富的从业知识与经验,熟练的操作技能。
三、提高基金的统筹层次,设立专门的管理机构
四、建立严格的信息披露制度,构建医疗保险信息网络
五、完善基金运营管理,提升管理效率
基金的管理运营包括基金的筹集、给付、结算等环节。在筹集方面出现的问题可以从通过加大医保制度宣传,强化对医疗保险基金的筹资法制建设,建立完善的法律体系,做好基金的征集催缴工作。例如镇江市为做好基金筹集工作,统一基金的征缴基数,尽快从目前医保基金的“双基数”征缴过渡为“单基数”征缴;改变征收方式,建立基金统一征收的体制。对于结算上存在的漏洞,可以采取合理结算办法,例如在结算时可以采用项目和病种相结合的结算方式,实现定额管理、总量控制、质量挂钩。同时大力推进联网结算,简化结算流程,及时结算。在给付方面,引用外部监督,提高治理效能,建立基金不合理支付风险评估办法,减少不合理支付行为的发生;加强医生职业道德建设,树立良好文化环境,培养诚信参保;强化政务信息建设,实现信息公开透明化。
六、加大对监管人员的培养,提升素质与技能
监管人员专业水平的高低和职业素质的优劣对于基金的监管效率有很大的影响。因此,要加大对基金监管工作人员队伍的建设,要根据业务的职责性质来选择符合要求的人才,择优录取;要根据工作流程、工作特点和发展趋势,加大对人才的培养力度和拓展空间。监管工作涉及面广、纷繁复杂,往往需要工作人员同时具备医学、审计、法律等综合性知识。因此,在已经掌握了基本工作技能的基础上,还需要加强其他专项技能的培训,提高工作人员的综合素质。组织工作人员定期学习基础知识、实行一对一技能培训,加强实践操作训练,促使医保基金管理人员在掌握丰富专业只是、法律知识、医学知识等的同时,能够熟练地将理论运用于实践,提升医保基金管理者的业务能力。要积极创造学习条件,互相交流借鉴,对于外国先进的监管方法,立足国情合理引用,提升监管效率,降低监管成本,实现医保基金的保值增值。
参考文献:
[2]何黎花.分析社保基金监管的现状、问题与建议[J].经营管理者,2014,(05)
[3]于慧萍.如何合理进行医疗保险基金管理[J].中国药物经济学,2014,(05)
第二条本实施细则所称机动车驾驶人社会化考试场(以下简称“社会化考试场”)是指:依法按照规定程序申请招标,由白银市公安局交通警察支队(以下简称“交警支队”)审核使用、监管,具备机动车驾驶人考试条件、依法开展场地驾驶技能考试(以下简称“科目二”)、实际道路驾驶技能考试(以下简称“科目三”)并适用于小型汽车、小型自动挡汽车、残疾人专用小型自动挡载客汽车和低速载货汽车、三轮汽车和摩托车等准驾车型的场所。
第四条支队负责统一管理考试场、考试设施和考试监管系统,不得交由公安机关交通管理部门以外的单位、个人管理。
考试场建成后交警支队进行初验,合格后报交警总队进行复验。经复验合格后,对考试场进行备案,开通考试接口。考试场验收依据《机动车驾驶人考试场地和考试系统使用验收规范》进行。
第五条社会化考场的建设应当依据《机动车驾驶证申领和使用规定》(公安部令第139号)及其配套标准进行,考试设备必须经公安部交通安全产品质量监督检测中心认证认可;考试场考试系统必须接入全国统一的机动车驾驶人考试监管系统;接受交警总队和交警支队监督管理。
第六条社会化考试场建设方负责考试场及监管配套设施的规划建设,考试设备、考试用车以及配套设施等的日常维护和管理,承担纳入考试监管联网所需的硬件设备购置和网络租赁费用。
交警支队考试中心负责对考试设备、考试用车监督管理并负责考试预约、考试员调派、考试实施、学习证明制作、考试成绩录入、驾驶证核发等涉及考试的其他业务工作。
第七条社会化考试场一经批准使用后,考场名称、考场地址、考试科目等基本信息不得变更。确需变更的,应当向交警支队申请,交警支队同意后向交警总队备案,交警总队在考场备案信息中进行修改。
第二章设立条件和程序
第八条申请设立社会化考试场应当具备的基本条件:
(一)具有法人资格,管理规范、社会信誉良好,无违法经营记录;
社会化考试场科目二、科目三考试应设在同一场地,不得分散设置,考场占地面积应保证各科目考试的顺利开展。
(四)建立场地、车辆、设施日常检查,考试系统日常维护,考试工作台帐记录管理,考试异常情况处置等完备的考场运行管理制度;
(五)配备保障考场规范运行的管理人员和工作人员;
(六)考试智能评判系统设备取得具有国家计量认证资质和国家检验机构认可资质的第三方机构的检验合格报告。并经公安交通管理部门备案。
第九条申请设立社会化考试场的程序:
(三)社会化考试场建设方提供的凭证资料包括:
1.书面申请报告;
2.土地使用证或土地租赁合同;
3.组织或企业的有效身份证明;
4.考试场设计平面图和场内设置分布图;
第三章考场设置及运行
第十条社会化考试场设置应满足以下运行要求:
(一)考试场地应实行封闭管理,设置门禁系统,禁止无关人员进入考场内,将考生与社会人员有效隔离;考试场地与办公区、侯考区、生活区等区域之间应设置封闭隔离设施;设置对考场全方位实施有效监管的监控设备,实时播放考试过程,提供监督音像资料。
(二)各科目考试场应设置候考区、待考区、考试区,并具备相应的配套服务功能。
3.待考区:设置安检门、门禁系统;配备自助式储物柜;设立电子安全检查系统和考场电子设备屏蔽系统,杜绝考生将电子通讯设备带入考试区;设置考试监控显示屏,实时播放考试现场画面。
(四)场地的消防设施必须齐备,人员集中区要设置应急消防通道,考试场地消防要符合《建筑设计防火规范》(GB50016)的要求。
(五)配置与考场自身规模及考试科目设置相适应的工作人员。工作人员应满足以下基本条件:
1.年满十八周岁,具有法律规定的完全民事行为能力和民事责任能力。
2.遵纪守法,无违法犯罪记录,无吸毒记录;属于从事过车管业务工作的人员,三年内应无不良记录。
3.具有高中或中专(含)以上学历,具有从事驾驶人考试业务所需的基本知识和技能。
(一)科目二场地总面积不得少于20000平方米;总面积不包括办公场所占地面积。考试场地设置考试车发车区,倒车入库、侧方停车、坡道定点停车和起步、直角转弯、曲线行驶、模拟刷卡(遥控)式自动门考试、模拟雨雪冰冻路面等7个考试项目。考试项目可以组合和循环的方式设置,项目衔接处应设置缓冲路段。
(二)考试场地道路与道路之间采用绿化带相互隔离、场地绿化率≥20%;考试项目按考试车型分类设置。
第十二条科目三考试场地设置必须符合《机动车驾驶人考试场地及其设施设置规范》要求,考试路线应当满通流量、考试项目和里程、考试路段(至少为3条)。小型汽车、小型自动挡汽车、低速载货汽车、残疾人专用小型自动挡载客汽车考试里程不少于3公里,在白天考试时,应当设置模拟夜间灯光的考试。考试路段设置上车准备、起步、直线行驶、加减档位操作、变更车道、靠边停车、直行通过路口、路口左转弯、路口右转弯、通过人行横道线、通过学校区域、通过公共汽车站、会车、超车、掉头等16个考试项目以及考试路线、考试项目的标志、标线符合规范。道路驾驶技能考试应当具备计算机评判考试系统。
第十三条科目三考试道路设置必须符合《甘肃省机动车驾驶人道路驾驶技能考试长距离实际道路考试实施细则》的具体要求。
第四章考试车辆及系统设置
第十四条考试用车应当符合《机动车驾驶人考试场地及其设施设置规范》的要求,科目二、三考试车辆必须依法注册登记,考试车不得用于教学培训。
(一)科目二考试车至少配置5台。
(二)科目道路驾驶技能科目三考试车至少配置5台。
(三)科目二、三考试车辆必须安装车载人像识别系统,科目三考试车辆还需配备语音识别系统,并接入支队车驾管业务监控系统;不进行考试时,考试车辆和考试系统不得用于驾驶训练。在安装车载考试设备、调试和维护考试系统时必须由交警支队系统管理员、驾管负责人在场监督。
(四)考试车辆必须符合国家安全性能检测机构检验标准和要求,每年进行安全技术性能检测。考场建设方必须做好考试车辆的日常维护和保养,对出现故障的应及时排除。对已不适应实际工作需求的考试用车,要及时申请更换、报废更新。
(五)社会化考试场按需配备通过公安部交通安全产品质量监督检测中心认证和备案的生产厂家提供的考试设备,搭建专用公安VPN网络线路,网络宽带应当满足业务需要;所有考试数据必须实现与交警支队监控中心数据对接,纳入机动车驾驶人考试监管系统。
(六)社会化考试场各科目考试员及社会辅助考试人员应严格按照公安部交管局、交警总队的具体要求进行配备、管理和培训,驾培机构教练员不得兼任社会辅助考试人员。
(七)社会化考试场提供驾驶人考试场地及设施设备供交警支队组织开展驾驶人科目二、三考试业务。
(八)社会化考场考试车辆、车载考试系统不得加挂模拟培训系统,与模拟培训系统共用。
(九)社会化考场考试全程实行考生考试档案电子化,建设标准化的考生考试档案室。
(十)社会化考场考试车辆应当设置考试用车标志,考试车辆及设备由交警支队统一编号。
第十五条社会化考试场科目二、三智能考试系统、考试车设备仅限于考试使用,不进行考试时,考试车辆和考试系统不得用于驾驶训练。考试结束后考试车集中封存停放。
(一)在交警支队监控中心屏显示北斗或GPS卫星定位地图,各项考试应在考生在报到、待考、上车考试等全过程实现监控、考试车行驶位置即时显示;考试车载设备必须配备二代身份证阅读器、指纹识别系统,与支队实现计算机联网,具备远程监控所需的视频、音频及考试数据传输等设施。
(二)科目二、三考试智能评判系统符合公安部考试监管系统接入标准。科目三考试智能评判系统包括考试监控中心、车载评判、音视频监控、北斗、GPS卫星定位等组成的多元化智能考试评判系统。实时监控每辆考试车的位置、状态、考生的考试过程,在监控中心实时调整各考试车的各种参数,对考场秩序、考试过程进行全程录音、录像,实时监控考试过程。考试车内左右上方均须安装监控摄像头,完整记录考生的考试过程及扣分情况,实时抓拍考生照片,记录车载考试设备使用情况;考试过程的音视频信息记录设备须具备查询和回放功能。考试车车载设备采集里程、车速、档位等数据、75个路考评判点的自动评判、系统自动对考生16项综合考试项目实现智能化的考核评判。没有使用录音、录像设备的,不得组织考试。
(三)科目三考试车应安装反向监控用于监控考试员,并安装副刹车感应器,对考试员的考试行为进行监督。
(一)社会化考场考试应建立音视频信息档案,存储录音、录像设备的音像资料。
(二)社会化考试场应向交警支队监控中心实时传输考试场地音视频。视频内容:包括考试场地、侯考区、待考区、考试场监控室、发车区、考试项目场地、考试车内等影像内容,确保监控画面与音质应清晰可辨,内容连贯不缺失。由交警支队对社会化考试场传输的音视频进行监管,制作监管日志;交警支队监控中心与考试场之间实现实时通信。
第十八条交警支队对社会化考试场机动车驾驶人考试不定期组织抽查,通过定期巡查和技术检测等手段,对考试车辆、考试项目、考试路线、标志标线,以及考试系统参数、权限设置、评判标准、数据存储等进行监督检查。
第五章考试场验收
第二十条社会化考试场建设方完成考试场地建设、考试设备安装和考试系统、考试监控音视频安装以及联网后,向交警支队提出使用验收申请。社会化机动车驾驶人考试场地验收提交下列文件资料:
1.申请验收报告;
2.白银市社会化机构申办机动车驾驶人考试场登记表;
3.建设方案评审、批准意见;
4.招投标考试场地文件、合同;
5.投标社会化考试场建设资质入围条件资料、中标通知书;
6.设计图纸、施工图纸、竣工图纸;
7.工程验收合格证明文件及资料清单;
8.考场基本情况(科目二、科目三考试场地全貌照片);
9.科目二应附模拟考试报告;
10.科目三应附模拟考试报告。
第二十一条小型汽车类型的机动车驾驶人科目二、三考试场,经交警支队初验,交警总队复验合格并批复后,颁发《甘肃省机动车驾驶人考试场资格证书》,对考试场进行备案。
(一)未经验收或验收不合格的考试场,不得进行机动车驾驶人考试。
(二)社会化考场经统一招标中标后,交警支队与建设单位签订协议(协议中需注明待交警总队复验合格批准启用后协议正式生效)。
(三)经交警总队验收合格的考试场交警支队向社会公告。验收不合格的,提出书面整改意见限期整改。
(四)交警支队根据交警总队社会化考场资格项目确定考场资格,由交警支队组织开展准驾车型机动车驾驶人考试业务。
(五)验收合格的考试场有效期为一年,期满后对考试场地、考试设备、考试用车以及考试场管理情况进行检验重新测试验收。经验收合格,交警支队重新签订使用考试场合同。
(六)对年检不合格的社会化考场取消考试许可。对年度检验不达标或考核排名靠后的实行淘汰制,停止其考场考试业务。
第二十二条社会化低速载货汽车、三轮汽车、普通三轮摩托车、普通二轮车、轻便摩托车驾驶人科目一、科目二、科目三考试场应按照交警大队验收、交警支队备案。考试程序按交警总队的规范进行。
第六章日常管理及监督
第二十三条社会化考试场应建立健全组织管理机构,管理制度予以公布,公布内容必须包括考试场基本情况、考场批准文件;配备保障考场规范运行的管理人员和工作人员(管理人员、工作人员报送支队进行备案);对考试场各项日常管理工作,应制定严密的管理制度,做到分工明确、责任到人,每个岗位应当指定专人负责,并建立制定紧急情况处置应急预案,一旦发生突发事件,要及时有效地进行妥善处置。
第二十五条社会化考试场应加强自身的监督和管理,定期对员工进行规范化服务教育、培训。增强服务意识,提升员工业务素质;工作人员上岗应严格落实车驾管窗口服务规范要求,统一着装,佩戴岗位胸牌(胸牌由交警支队监制)。
第二十九条社会化考试场应确保良好的办公秩序,组织专人维护考场秩序,打击和防范非法中介在工作区域内干扰正常工作,欺骗坑害群众。
第三十一条社会化考试场在进行机动车驾驶人考试业务时,必须严格执行国家规定的收费项目和标准,不得强制要求考生进考场训练并收取训练费、服务费等费用,不得收取代办费,严禁乱收费和推销产品、强制消费等。
第三十二条按照《甘肃省机动车驾驶人社会化考试场监督管理办法》和本细则要求,对社会化考场实施监督、检查和管理,发现有违规行为,将视情节轻重采取限期整改、暂停考试和取消考场资格。
(一)由交警支队对社会化考试场每月定期不定期组织抽查,通过巡查和技术检测等手段,对考试车辆、考试项目、考试路线、标志标线,以及考试评判标准、数据存储等进行监督检查。
(二)由交警支队负责对考试日每日抽检,对服务质量、工作质量进行监督和考核,于月底前将考核结果予以通报,依规采取奖励惩处措施。抽检不合格的根据情节给予限期整改或责令停考,整改和停考期间关闭考试系统。
第三十三条社会化考试场的场地、道路、设备的日常管理和养护应当坚持管养并重、保持完好的原则。
(一)考试场使用和日常管理由考试场建设方负责,主要包括考试场内各项基础设施运行、考试场秩序保障、硬件设备维护等辅工作。
(三)要按照整体规划要求,有效开展对考试场的绿化、美化和卫生清洁工作,提供热情、温馨、便捷的生活服务和良好的学习、考试环境。
第三十四条社会化考试场工作人员必须服从公安交警部门的监督管理,并履行以下义务:
(一)遵守国家法律法规和考试工作的有关规定,按照《机动车驾驶人业务工作规范》配合交警支队考试中心做好机动车驾驶人考试工作。
(二)积极配合公安机关查处考试作弊等违法违纪行为,如有可疑迅速上报公安机关。
(三)积极履行其他依法、依规应当履行的义务。
第三十五条社会化考试场负责提供驾驶人考试工作的条件和秩序维护保障工作,考试场人员不得介入驾驶人考试工作,不得凭借其便利条件协助待考人员弄虚作假、,并接受其贿赂,实施影响驾驶人考试客观、公正进行的违法、违规、违纪行为。
第三十七条交警支队对准予考试资格使用的社会化考试场应当履行以下工作职责:
(一)对考试过程进行评判监督,确保考试公平公正。
(三)每月对考试场系统运行情况组织检查,确保考试系统数据库安全和公安网络安全。
第三十八条交警支队采用明查暗访、回访有关单位、人员等多种形式,定期或不定期检查各地考试工作情况。凡发现考试工作中存在违规行为的,应当按本办法限期整改并追究有关人员的责任,在限期内整改不到位的,可以根据实际情况采取现场监督或停考整顿等措施。
第三十九条考试场应在临街道路设置考试场指路标志,在考试场大门悬挂考试场标牌;在考试场院内设置各科目考试区域分布、考试程序示意、考试事项告知、考试评判标准、考试员工作纪律图板。
第七章责任追究
第四十条社会化考试场有以下情形之一的,暂停考试业务,责令整改;经整改仍不符合要求或者再次发生违规情形的,取消考场资格并解除合同。
(一)考场工作人员参与考试作弊的;
(二)考场管理不到位,考试秩序混乱的;
(三)考试评判和监管系统管理不到位,导致视频、数据保存不全、不准或损毁、丢失的;
(四)考试监控摄像头未固定或随意调换、遮挡、严重污损造成监管死角或不能实时传输考试音视频资料的;
(五)违规调整考试设施,考试场地或者考试车辆存在作弊标记的;
(六)考试设施损坏维修不及时、考试车辆维护不及时,影响正常考试的;
(七)考试系统和考试车辆用于驾驶训练的;
(八)设立强制性消费项目的;
(九)以承诺考试合格等名义进行虚假宣传,对考试工作造成不良影响的;
(十)经公安机关交通管理部门组织检查不合格的;
(十一)违反本细则的其他情形。
第四十一条社会化考试场有以下情形之一的,取消考场资格,解除合同,考场所属的法人、企业等单位及其法定代表人、企业负责人等不得再次参与考场政府购买服务;构成犯罪的,依法追究刑事责任:
(一)组织、纵容考试作弊的;
(二)服务器存在远程控制程序(包括Plsql等可远程连接数据库的程序)及与考试无关软件的;
(三)违规进入考试系统,篡改、伪造考试数据的;
(四)考试过程中有教练或其他无关人员现场指挥的;
(五)在考试场地、考试车辆上做标记,降低考试标准的;
(六)强制收取考试适应性训练费的;
(七)以欺骗、敲诈等方式向学员索取财物的;
(九)被投诉举报有违规行为且经查证情况属实的;
(十)被媒体曝光以及被上级主管部门或监察机关通报的;
第四十二条考试设备供货厂商提供不符合标准的计算机考试设备、计算机考试系统,或者修改计算机考试系统参数,影响考试结果的,不得继续使用或者采购涉事厂商考试设备、计算机考试系统,并向上级公安交通管理部门报告。构成犯罪的,依法追究刑事责任。
第四十三条交警支队负有对所辖社会化考试场监督管理的责任,考试场存在违规问题经查证属实的,可以对考试场作出暂停考试或其他处罚,需要取消考试场地许可的上报交警总队审核。
第四十五条被暂停业务的社会化考试场整改完成后申请继续承担考试业务的,应提交详细的整改报告,经交警支队验收合格上报交警总队同意并出具《恢复考试业务通知书》后,方可继续办理机动车驾驶人考试业务。
第八章附则
第四十六条使用科目二场地驾驶技能考试系统、科目三道路驾驶技能考试系统进行考试的,其设备必须经国家有关部门认证认可并获得证明文件;由社会化考试场建设方向交警支队提出申请,交警支队进行审核同意后,方可正式采购使用。
使用科目二场地驾驶技能考试系统、科目三道路驾驶技能考试系统的考试场,因设备故障无法进行考试的,暂停考试业务,待修复后由建设方提交专题报告,经交警支队验收合格批复同意后,恢复考试业务。