时间:2023-01-07 10:07:16
序论:在您撰写安全审计论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文
件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
1.1安全审计方法
过程安全审计方法采取要素分组评分的方法,即,不同审计小组通过查阅文件记录,交流和访谈、现场观察和检测等方式考察企业现有的管理运行状况,对照本组负责的审计要素检查表进行评分。受审计企业最终得分经审计组集体讨论汇总后得出。
1.2安全审计流程
企业过程安全审计的实施,一般是由独立性的专业审计组进行。
2应用实例分析
本文将编制的审计检查表应用于某化工企业,对该化工企业的领导层、相关职能部门、生产部门以及承包商(承运商)的过程管理进行安全审计。审计得分标准分为3个层面:
①没有管理,扣除该项目的全部赋分,得分为0;
②仅停留在文件上,没有对员工培训,或大部分未执行,扣除该项目的全部赋分;
③有文件化制度,部分未执行,或执行效果不明显,审计员视情况扣除50%至全部赋分。经过现场审计和审计组内部讨论沟通后,该化工企业本次审计实际得分为1419,根据公式2计算该化工企业过程安全审计得分为788分,其过程安全管理处于良好水平。目前该化工企业在能力培训与意识、承包商和供应商、设备与设施、作业安全、安保、交通运输、事故事件处理与统计分析等要素过程安全管理方面还有较大的提升改进空间。因此,该化工企业今后应在过程安全管理中加强上述要素的管理,特别是承包商和供应商、设备与设施、作业安全等要素的管理应采取有针对性的措施,改变现有的管理状况,实现过程安全管理绩效的提升。
3结语
关键词:山区道路;安全审计;内容;步骤
道路安全审计(RoadSafelyAudits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
一、道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
二、山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
三、审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
四、现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(<30km)可直接进行第二阶段的工作。而对里程在30km~100km的道路,两阶段审计工作可根据具体情况灵活进行。
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减少相应的成本费用。
五、我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。:
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
六、结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
关键词:校园交通安全;深圳大学;交通管理
中图分类号:TU981 文献标识码 A 文章编号 1812-2485(2013)09-018-03
1深圳大学交通发展历程
深圳大学是响应中国改革开放而建立的一所现代化高校,深圳市政府的大力支持与所处的地理位置优越决定了深圳大学的财力雄厚。由此可知,深圳大学的教师待遇比一般高校的好,工资较高,于是机动车便成了大多数老师的代步工具,而且出于保护本地生源的政策,在校学生多为本地生,经济条件较好,因而大多数人拥有电动车。车辆一多,安全隐患就逐渐凸显出来,学校为了满足学生需求和保护学生安全,出台了相关政策。以下是深圳大学最近这些年采取的措施:
1.1 2007年交通管理
1.1.1 机动车辆的管理。
(1)所有进入校门的机动车辆须减速慢行,本校车辆和教职工私家车凭《深圳大学机动车通行证》进出;进入校园的校外车辆领取(交回)“深圳大学临时停车卡”方能进(出)。学生生活区严禁机动车进入。
(2)严禁无牌无证车辆、出租车、拖拉机与社会旅游车辆进入校园。
(3)严禁在校园内无证驾驶机动车车辆,练车和试刹车。驾驶证照必须年检有效,并与所驾驶的机动车型相符。严禁酒后驾驶,严禁逆向行驶,严禁超载或病车上道。
(4)摩托车、超标电动助力车禁止在校园内行驶(治安巡逻车除外)。达标电动助力车必须按指定位置停放。
(5)车辆进入校园后,禁止鸣号,行驶时速不得超过20公里/小时;严禁超车,在遇学生上下课人流高峰时,机动车应主动避让,严禁与学生争道。上课时间,所有机动车辆严禁在教学区内行驶。
(6)本校车辆按指定位置停放,校外车辆在特殊情况下经保卫处批准,并交纳停车费可在校内停放。所有车辆严禁在禁行区域、道路和距离校门、路口、消防水栓15米内乱停乱放。
1.1.2 非机动车辆的管理
(1)非机动车进出校门时,须在黄线区域内下车推行。
(2)校园内禁止骑车带人,不准双手脱把或手中持物;不准扶身并骑,互相追逐或曲折竞驶。
(3)所有非机动车应停放在自行车棚或划定的停车线区域内有序停放,严禁乱停乱放。
1.2 2008年交通管理
(1)清理、收缴机动摩托车、超标电动(仿)摩托车。
(2)调整校园内部分行车路线和车辆停放秩序,具体如下:
一是校大门(大西门)实行限时限行管制,在管制期间暂停机动车辆进出,所有机动车辆从校北门、南门进出;教工班车在正门外停靠,乘员步行进入校园,车辆由校外返回车队。
二是西南学生宿舍区(除学生餐厅生活保障车外)禁止车辆进入。
三是车辆从正门(西大门)右转经留学生楼与研究生楼路口转入文山湖餐厅前,经杜鹃山到海望楼路段单向行驶,禁止停放车辆;海滨小区西岗亭至东岗亭路段为单向行车道,右侧可有序停放车辆。
四是光电所至办公楼路段实行单线行驶,靠文山湖一侧划有停车位,车辆可有序停放在此路段。
五是教学楼、学生活动中心、“斋”字学生宿舍区、教工区、西南学生区禁止机动车辆(餐厅生活车除外)进入。
六是车辆从正门(西大门)左转经后勤楼、科技楼、艺术村、校医院到南大门为双向行车道,禁止停放车辆。
1.3 2009年的交通管理
1.3.1 校大门(大西门)实行限时限行管制,在管制期间暂停机动车辆进出,所有机动车辆从校北门、南门进出;教工班车在正门外停靠,乘员步行进入校园,车辆由校外返回车队。
1.3.2 非本校师生员工车辆(凭《深圳大学校园车辆出入证》)进入我校停车超过半小时的车辆,实行分段收费制度。
1.3.3 电动车自行拆除报警器。
1.4 2010年的交通管理
1.4.1 禁止超标电动(仿)摩托车在校园行驶。凡外观仿摩托车,整车重量在40公斤以上,时速在20公里以上的超标电动车为超标。
1.4.2 校大门(大西门)实行限时限行管制,在管制期间暂停机动车辆进出,所有机动车辆从校北门、南门进出;教工班车在正门外停靠,乘员步行进入校园,车辆由校外返回车队。
1.4.3 施的方案。
(1)从各大门进入的车辆均按指定路线单向行驶并停放在指定位置
(2)车辆定向出入须避开高峰时段,车辆停放后,若需在校内更换停车区间请走校外公路。
(3)禁止的机械动力摩托车、电动仿真摩托车、时速20公里以上或重量40公斤以上电动车在校园行驶的规定。合格电动车自觉限速10公里以下并且自觉拆除电动车报警器。
(4)规范西南区、桂庙学生公寓电动车行驶路线。上下课高峰时段电动车行驶路线为潮汐楼海滨小区溜冰场教学楼、潮汐楼海滨小区海边游泳池校医院聚翰斋艺术村科技楼文科楼。下课后原路返回。
(5)启用IC卡智能车辆管理系统,对未持有本校固定出入卡的车辆进出校园将按市物价局核定的标准计时收费。
1.5 年交通管理
1.5.1 标电动车行驶。自行车、合规电单车不得载人,合规电单车、汽车在校园不得超速行驶(电单车限速15公里/小时、汽车限速20公里/小时)。
1.5.2 电动车定点出入:凡基本符合电单标准的电单车,前往文科楼按以下路线行走:学生区南门田径场元平体育馆建工学院文科楼的路线往返。
1.5.3 单车应当停放在指定地点,不得停放在道路出入口、消防通道上。
1.5.4 速行驶、飙车,
1.5.5 校园车辆出入卡进出南校区,不赞成学生开车上学。
2 2012年交通现状
从2007年开始,深圳大学的交通在不断完善。学校分析各种可能危害到学生们安全的隐患,学习有关交通管理方法并借鉴中外校园的车辆管理方法,制定了“定向出入、定点停车、限速行驶、凭卡出入”等方案,这些方案的成果是显著的。校园的交通得到相当大的改善,在实现了保护学生利益的同时,也保全了同学们的安全。
然而交通管理的完善是从来没有止境的。深圳大学2012年的交通管理在沿用2011年的交通管理的同时,仍在不停地寻找更好的方案。因为校园的交通问题在交通管理改进的同时也在发生着变化。以下是目前常见的交通安全问题:
2.1 部分开电动车的学生交通知识薄弱
安全开车和文明驾驶的前提是熟悉交通规则,然而大部分学生为了上课方便而购买电动车,对交通知识了解并不多。若仅是一两个学生不懂交通规则也不会构成太大威胁,倘若是大部分学生不懂交通规则,那么情况将是混乱的。而且电动车异于自行车,它的速度难以控制,在密度如此大的电动车族里,总免不了擦伤甚至碰撞。据统计,从2012年1月到5月发生了48宗影响较大的有记录的交通事故。
2.2 部分学生交通安全知识薄弱
在侥幸心理的促使下,开快车、曲折竞驶等,一旦发生了意外,部分学生选择马上逃离或者推卸责任,最为重要的是部分学生傲慢、不知悔改。
2.3 停车不规范
乱停乱放现象严重,堵塞通道出口。譬如教学楼后门,因为后门被堵,从后门出来的学生改走草地,导致后门地带草地损坏严重。类似的堵塞不仅发生在教学楼,图书馆等地方也时常发生。有统计的违规停放的车辆一个月平均有18辆。
2.4 开小车的走读生和教职工在交通岔口不自觉遵守交通规则
譬如在石头坞,自石头坞改为停车场以后,出口处总会时不时发生车辆擦伤现象。在石头坞停车的车辆不主动减速避让与陡坡开上来的非机动车、上下课时间段涌下来的人群发生碰撞。虽然曾发生的事故不大,不被引起重视,但依旧能成为危害学生安全的因素。
2.5 学校的车辆以几何倍数关系上涨,而且车辆集中在一个时间段(上下课)进出,在一定程度上增加了道路的交通压力。
2.6 南门车行道与人行道设制不合理。人行道过于宽阔,而车行道只能容纳一辆机动车经过,使得大部分电动车走人行道,导致电动车与公共设施(围栏等)发生碰撞。
3 安全隐患背后的原因
3.1 在校园的交通安全事故主角多为电动车,虽然深圳大学的禁摩风波从2007年就刮起,但电动车的数量在这些年来浮浮沉沉,在禁行电动摩托和超标电动车期间,数量大有减少,一旦放缓,数量又多起来了。深圳市今年规定超标电动车在全市主干道禁示行使。目前学生骑行电动车的区域局仅限于学校内,但学生依然冒着禁摩风险购买电动车。学生坚持骑电动车的具体原因如下:
(1)从地势上分析,深圳大学就是一个小山坡,学生生活区在下坡(斋区除外),教室在上坡。一般学生都是提前半个小时出门,遇上夏季日,去到教室也汗流浃背,(据了解,骑自行车去上课的也不比走路的人流的汗少)若某学生整整一天都有课,那他就顶着臭汗奔波于教室之间。倘若学生在冬季日的中午回宿舍午睡,除去吃饭,来回的时间,仅有半个小时多的睡眠时间。
(2)从电动车本身分析,电动车以电为能源,一般学生能负担;体积较汽车小得多,可直达目的地,方便学生上下课;马力足,上坡不费力。自然电动车成了学生在校园的主要交通工具。
(3)增长率最大的群体是大一新生,一般而言,交通知识较为薄弱。新电动车一族得不到很好的交通知识教育,在路标不足的校园,新电动车一族乱放乱走现象严重。
(4)学校地小车多,停车位缺乏,对于与日俱增的车辆,导致乱放现象严重。常有堵塞消防通道、安全出口的现象发生。
(5)学校内路段宽度有限,难以实现双向行驶。一旦车辆逆行,容易发生交通事故。
(6)学校南门通道配置不合理。自人行天桥建成以来,经过南门的人流转向天桥,减轻了南门进出的交通压力。但随着机动车的增加,只能通过一辆机动车的车行道无法满足广大师生需求,致使较为轻便的电动车走上人行道,时常损坏公共设施。
(7)部分驾驶员不遵守交通规则,逆行、载人、超速行驶、单手驾驶。而单手驾驶最常发生在下雨天路滑的情况下,危险更甚。
(8)校外路段的封锁堵塞,使得部分外来车辆进入校园走捷径,增加校园交通压力。
4针对性的解决措施
深圳大学是个人性化的大学,各个部门都能做到倾听学生意见,学生也能为营造更美好的大学而出一份力。纵观历史,深圳大学部分有效的交通措施来自于学生与保卫部的交流。在这个过程中保卫部认真调研,协调,想方设法,力图找到更好的治理方向,一心一意为保障学生安全而努力。
深圳大学的交通管理都是在理论知识的支持下,寻找符合实际的管理方案,最值得一提的理论是交通流量均分原则、单向交通原理等,通过实施这种方案案,大大的缓解了深圳大学的交通压力。为了更好的保障学生的安全,学校拟将建设一条从南校区通往北门的车行天桥,这将是一个缓解目前交通问题的极好措施。但就目前而言,仍有很多地方值得进一步改进。本文从现有交通规则的基础下,提出以下方案:
4.1 南门人行道与车行道的分配
合理增加车行道的宽度,使得南门车行道在只能容纳一辆机动车的前提下,增加电动车和非机动车辆的行驶通道。
4.2 增强新生的交通安全知识
每一个刚来到深圳大学的学子,必定对学校充满着期待与迷惘,我们能通过举行交通知识讲座让新生更好地了解到,深圳大学是一个关心同学,管理到位的大学。同时在校园增加指示牌、限速等交通标志,不仅让来深圳大学办事的市民找到方向,更让新一代电车族能更加规范行驶。
4.3 规范车辆的停放地点,有序整齐排放,禁止在主要交通路段停放。清理交通路段和安全疏散通道的车辆。方便上下课的同学。譬如在教学楼前的下坡路限制停放车辆,车辆统一放在教学楼前的空地,但要维持一条通道通行。在教学楼前后门、图书馆门前留出一条通道。所有车辆要统一排放。
4.4 限定学生购买电动车的标准,禁止学生购买超标电动车。一定程度上限制上涨的电动车。
(1)处理废旧车辆,腾出更多的空间停放。
(2)加大交通管理力度,让每个措施确切落实。
注:以上涉及电动车的管理方案均以深圳市政府不禁止电动车行驶为前提。
1、一般资料
收集2006年1月—2009年12月XX医院护理业务查房病历65份。将65份护理查房病历中出现的护理诊断进行有针对性的统计。
2、影响因素
2.1法律意识淡薄
护理人员对安全管理存在着不同程度的错误认识,由于繁忙的护理工作,忽略了对安全管理的认识,护理人员对于安全隐患的判断与处理不够,缺少法律意识,不会用法律保护自己。
2.2环境因素
影响神经内科护理安全的环境因素主要有地面滑、床脚移动和病房扶栏三个方面。病房地面滑是引起病人摔伤的因素之一[3]。由于神经科病人存在肢体偏瘫、无力,在清扫地面后,如地面潮湿、过滑,病人行走易出现摔伤。为给病人创造舒适安全的治疗、休养环境,病房走廊的扶栏、浴室卫生间的扶栏安装很重要。尤其对于神经科病人,可以找到支撑点,防止摔伤、跌倒。
2.3用药与设备因素
由于医学技术的发展,新药与设备不断更新,神经科所用药物大部分为高渗性,对血管刺激性大,再加之病人年龄、血管因素,因此临床药物外渗静脉炎发生率很高。加之药物配伍、给药途径、设备使用不当等方面原因给病人造成不安全后果[4]。医疗设备本身的安全、患者的安全及操作者的安全。仪器设备的使用不当、故障、老化、种类不齐、性能不良、规格不配套或护理人员对仪器操作不熟练等问题,都可能给患者造成危害。使用中常见的危险因素是测值不准确;仪器设备消毒不彻底,也常成为神经内科患者的感染源[5]。
2.4人员与技术因素
护士评估患者的知识水平不只是看其文化程度,主要是评估其对自身疾病的了解程度,统计结果显示,不论文化程度高低,患者对自身疾病的了解和认知程度均属于缺乏之列,对疾病的发生发展规律、用药常识等缺乏了解,若卫生宣教不到位,很可能导致许多风险和纠纷的发生,例如进展性卒中的患者往往对住院以后病情还继续加重不理解。人员方面因素主要指由于护理人员素质或数量方面的原因不能保证满足工作基本要求而给病人造成的不安全影响或隐患;技术因素主要指由于护理人员技术水平低、经验不足或协作能力不强等原因对病人安全构成的威胁。特别是随着新技术、新项目大量引进与开发,护理工作中复杂程度高、技术要求高的内容日益增多,不仅对护理人员形成较大的工作压力,而且致护理工作中技术方面风险加大,影响护理安全。
2.5疾病因素
(1)偏瘫
神经科病人大多年老体弱,同时存在视力减退,神经疾病导致瘫痪、步态不稳、起立与迈步艰难等,常突发抽搐及晕厥。病人对病床高度不适应时易致坠床。
(2)感觉障碍
神经科病人存在感觉障碍的占大多数,病人对痛温觉感觉障碍,病人家属未掌握热水袋、局部热敷的温度及使用方法。如使用热水袋不当导致烫伤。病人长时间一个卧位,导致皮肤出现压疮等。
(3)抽搐
癫痫病人抽搐发作时,常发生舌咬伤、骨折、坠床等意外。抽搐间隙期病人疏于带牙套、置牙垫防护,如突发抽搐易致舌咬伤,按压肢体易致骨折等。
(4)精神异常
神经内科病人,发生大面积的额叶、颞叶等部位损害后,出现精神异常、躁动。肢体忽略病人,危险性增加,病人有自伤危险,出现他伤、自伤等。老年痴呆病人出现定向力、记忆力等缺失,如防护措施不到位,未做到24h连续看护,特别是外出进行辅助检查时,人员较杂,稍有疏忽容易走失。
(5)呼吸困难
神经肌肉疾病,如格林巴利综合征、重症肌无力、周围神经病变等,病变累及呼吸肌后即可出现呼吸困难、窒息等。神经系统多种疾病均可出现吞咽困难,咳嗽反射减弱,如进食呛咳引起食物误吸,鼻饲不当引起误吸,牙齿松动脱落导致窒息,痰液黏稠导致气道受阻。此类风险多易发生于吞咽障碍、需要鼻饲饮食的患者。
(6)感染
各种监测、诊疗技术的应用,使接受侵入性操作的患者医院感染率明显高于无侵入性操作的患者,其中机械通气患者相关性呼吸道感染者为85.0%,气管切开感染者为50.5%[6]。80%的医院内泌尿系统感染与导尿有关,且留置时间越长感染率越高[7]。病人住院期间有发生院内感染的风险。主要表现在神经内科护理人员工作量大,护士编制相对不足,护士整日忙于治疗和处理医嘱,长期超负荷工作,都是影响护理安全的因素。护理人员业务及技术水平与护理安全有一定关系。临床实践表明,护士的素质和能力与护理差错事故的发生往往有直接联系,近年由于低年资护士增多,导致技术操作熟练程度欠缺,经验不足,工作责任心不强,护理不到位等,极易产生各种外伤及护理差错事故的发生,给患者的安全构成威胁,特别是随着新的医疗技术大量引进与开展,对技术要求越来越高。护理管理者工作中预见性欠缺,基础质量工作监管不到位,给患者造成不安全的后果。护理人员卫生宣教不到位,护患沟通欠缺。卫生员工作监管不够,给患者造成不安全的后果。
二、安全策略
1、善抢救仪器的管理
制度,仪器设备专人管理,做好培训、考核、消毒灭菌、定期检查维修等工作。每班检查,每周大检查,原则上不外借。配备一定量的零配件和必要的配置替换设备,以备应急。将仪器报警声音调至最低,工作人员的动作轻,治疗护理操作尽量集中进行,碰到抢救或特殊情况时,拉上床位之间的布帘,减少对患者的干扰和影响。
2、加强健康教育
加强健康教育,增进医患沟通要取得患者及家属的有力配合,需要通过加强健康教育,增进医患之间的沟通。为此,每月开1-2次的健康教育讲座,由责任护士着重讲解神经内科的基础知识,及诸如脑中风等病症的预防、治疗、预后、康复等知识,让家属明了患者的检查治疗情况、用药情况、医疗费用情况、预后及康复情况,使之更好地配合各项治疗、护理。在开展健康教育时,应同时将一些需要注意的事项告知患者及家属。如对于蛛网膜下腔出血的患者家属,应告知蛛网膜下腔出血病因大多是由动脉瘤或血管畸形造成的,在没有去除病因之前,排便过于用力、情绪激动都可能导致生命危险。
3、加强法律、法规的教育
护理风险与法律法规有着密切的关系,因护理人员法制观念淡薄而发生的护理缺陷或纠纷时有发生。因此,应该经常组织护理人员学习《医疗事故处理条理》、《医院护理管理条例》、《护理差错的分类及评定标准》、《突发事件应急处理预案》等与护理风险相关的法律知识,提高法律意识,从职业道德和法律的高度规范护士的护理行为,聘请法律顾问为护士上法制课,增强护理人员的法律意识和法制观念。提高护理人员的自律能力和守法的自觉性,在全面认识理解法律、法规的基础上制订的有关实施细则、规范[8]。提高安全意识,坚持预防为主的方针,科内制定安全日,责任班负责评估病人安全隐患,定期召开护理安全会议,对于其他科室和本科室出现的护理安全问题,进行组内讨论,制定整改措施。科内制定相关预案流程,相关规章制度,使护士知道该做什么、不该做什么以及怎样做。在尊重和维护病人权益的同时,懂得运用法律武器维护自身的合法权益。
4、加强感染控制
神经内科病人大多是年老体弱、吞咽困难、感觉障碍、肢体肌力差的病人。首先护理人员要做好入院宣教,入院当天向患者详细介绍住院环境、住院须知、呼叫系统使用方法。护士对患者进行全面护理评估,包括肌力、肌张力、视力、步态及步行时的平衡力,足部有无变形或痛楚等。根据评估所得到的结果进行健康宣教;3天内护士对患者进行疾病相关知识和注意事项的宣教,护士长及时进行健康教育知晓情况的检查,检查结果与护士工作考核挂勾。给患者加用床档保护,指导患者及家属活动时有人陪同,不穿拖鞋,以免摔伤、坠床等意外发生;使用热水袋时要指导使用温度及使用方法,以免烫伤;长期卧床要经常变换,以防出现压疮及坠积性肺炎;鼻饲时要将床头抬高,并保持床头抬高,鼻饲后30min尽量不给患者翻身,以防吸入性肺炎的发生。总之,掌握各种危险因素,最大限度地减少对病人安全的威胁。进入病区的所有人员戴口罩、戴鞋套,严格无菌技术操作原则,限制探视时间和人员进入。严格掌握侵入性诊疗手段的运用指征,加强各种导管的护理。合理应用抗生素,减少不合理的联合用药,从而延缓细菌产生耐药,提高临床治愈率[9]。做好环境的消毒,加强空气的清洁和消毒。患者转出后做好终末消毒,使用后的仪器、设备和各种管道应严格消毒,防止感染。
5、提高护理人员的整体素质
扎实的理论知识和熟练的操作技能是确保护理安全和实现自我保护的基础。神经内科病人病情变化快,需要护士利用专业知识,充分向家属做好解释工作,协助医生做出正确的处理。如果护士没有扎实的专业知识,就不能在医疗护理过程中掌握主动,甚至有时因解释不清、处理不及时而使患者和家属不满意,产生不良后果。在抢救时,若护士技术娴熟,就能给患者和家属以安慰,得到他们的支持和理解,减少纠纷的发生。加强护士专科业务知识培训,提高护士风险防范的能力,在注重护理基础知识和基本技能培训的同时,有针对性的进行专科业务知识、操作技能的训练,请科主任作专科理论知识讲课。对护士进行呼吸机、心电监护仪操作的培训考试,做到人人过关。创造一个安全的病房环境,如地面材料防滑、干燥,卫生员拖地应设警示牌,提示病人防滑,厕所、洗漱间增设防滑垫;坐凳带扶手。病房、走廊安装横向扶手,厕所安装竖向扶手,便于站起时借力;病床、轮椅的制动闸性能良好,其次应加强巡视,主动给予帮助。在提高护士业务水平的同时,也提高了风险防范的能力。通过学习,使护士明确了护患双方的责任和权利,认识到虽然护理风险不能完全避免,但通过采取有效的防范措施是可以化解护理风险,减少护理纠纷和差错事故的发生,从而加强护士的法律意识和护理风险防范意识,认真的处理好病人从入院到出院过程中的每个环节,更好地为病人服务。