时间:2022-11-10 13:24:17
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇银行安全总结,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TP311.52
1 基层银行的信息系统遇到的主要安全威胁
由于银行的信息系统建设一直在不断地向纵深处发展,银行已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势,从一方面来讲是适应银行业务不断发展的要求,但是从另一方面来讲,却使银行信息系统的安全风险也集中起来,增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险,同时还包括灾难性的风险等五种安全隐患。
2 基层银行的信息系统安全规划设计与实施的主要原则和等级划分
2.1 基层银行的信息系统安全规划设计与实施的主要原则
银行的信息系统安全是一个涉及到规划与管理以及技术等很多因素的具有系统性的工程,其属于一种不断持续发展和动态发展的进程。对于基层银行的信息系统安全规划设计与实施来说。技术是实现安全保障的主体性因素,而管理是具备安全保障的灵魂性因素。在安全规划与设计中,只有把具有科学性与合理性的管理贯彻落实在信息安全的维护之中,才能够实现网络安全在稳定性与长期性方面的保证。而银行信息系统安全的具体原则主要包括了明确责任与安全保护并举,依照标准和自行保护同时进行,同步建设与动态调整相互促进,指导监督和重点保护齐头并进四条原则。
2.2 关于基层银行的信息系统安全等级的介绍
银行信息系统的安全等级具体指的是对于国家级别的秘密信息和法人以及替他组织和公民专有的信息与公开的信息,同时还包括存储和传输以及处理此类信息涉及到的信息系统的等级,对这些等级实施安全保护,对信息系统里面使用到的信息安全类产品进行一定安全等级的管理,对于信息系统里面出现的信息安全类事件需要分等级地进行回应和处置。依据信息系统和信息对于国家的安全和经济建设以及社会生活所起作用的重要性,在其遭到破坏以后就国家安全和社会秩序以及公共利益和公民,还包括法人以及其他各种组织在合法权益方面的危害性来讲,针对相关信息保密程度和完整程度以及实用性要求和信息系统所要达到的基本性安全保护的水准等因素,笔者总结出信息系统安全保护的五个等级:第一个等级是自主保护,第二个等级是指导保护,第三个等级是监督保护,第四个等级是强制保护,第五个等级是专控保护。
2.3 银行信息系统安全等级的评估
在对银行信息系统安全等级考量需要考虑到以下几个因素:第一个因素是安全系统的类型,也就是信息系统安全利益的主体。第二个因素是信息系统所要处理业务信息的类别。第三个因素是信息系统服务的范围,主要包括了其服务的对象与服务网络所涉及到的范围。第四个因素是信息系统业务依赖的程度,也就是手工作业可以替代信息系统进行业务处理的程度。
3 基层银行的信息系统安全设计规划和实施的主要内容
3.1 基层银行信息系统的安全体系和特点
基层银行信息的安全体系主要包含安全管理的体系与安全技术的体系,这两者对于银行信息系统安全维护来说,是两个不能分割的部分,通常情况下的技术与管理需要相互之间提供一定的支撑,以此来确保两种功能的有效实现。对安全管理的体系进行构建,其主要是出于信息系统里面各种角色的管理。以一种管理体系文档化的形式,监督和控制各种角色的种种活动,主要是在系统通常运行的维护工作过程中,主要涉及到各种政策和制度以及规范和流程,同时还包括日志方面的监督与控制。这种安全管理体系的组成部分通常分为五个部分,主要是安全管理的组织与人员的安全管理,系统建设的安全管理,系统运维的安全管理以及安全审计的管理。就安全技术的体系来讲,其主要功能是对信息系统提供技术安全类的机制设施,其实现形式是信息系统里面部署相应的软件与硬件,同时对其以正确的形式配置系统的安全功能,以此来实现。安全技术的体系组成部分也是五个部分,主要包括基础设施的安全和网络安全以及主机安全和应用安全,同时还有数据的安全。
3.2 基层银行的信息系统安全建设的方法论
依据国家标准的ISO17799/ISO27001中的信息安全维护的管理标准建立起信息安全的管理体系,其具体内容主要包括以下几个方面:
(1)计划,也就是建立ISMS,对于ISMS的相关政策和控制的措施以及过程与流程实施和操作等。
(2)执行,其主要是指实施和执行ISMS,对ISMS政策与控制措施以及过程和流程的实施和操作等。
(3)查核,其主要是指监督和审查ISMS,依照ISMS政策和目标及其实际的经验,用来评鉴和测量其过程的绩效,同时把评鉴与测量的结果回馈给相应的管理层,让其审查。
(4)行动,其主要指的是维持和改进ISMS,依照内部的ISMS稽核和管理层的审查以及其他相应信息的结果采取对应的校正和预防性措施,以便实现信息安全的管理系统的持续性改进。
3.3 基层银行的信息系统安全规划实施的主要内容
基层银行的信息系统安全规划实施的主要内容包括以下几个方面:
(1)信息安全的组织建设。其主要是指在组织的内部建立起跨部门式信息安全的协调与沟通的机制,为的是实现组织内的信息安全管理,同时能够识别和外部组织有关连的一类风险,对信息安全的职责进行定义与分配,对于信息安全的工作进行定期评审。另外需要建立起专门负责信息安全的管理委员会,不断地推动信息安全的规划与实施,主要出发点是组织架构层面,此机构主要负责以下事项:对信息系统的安全保障的体系建设进行有力推动;周期性地评估与识别信息系统的安全保障体系;对商业秘密与技术秘密进行保护,对企业的利益进行维护;制定出合适的信息系统安全性发展策略,以此来提高银行抵御风险的能力。
(2)对于从业人员的安全管理。其主要是指对全体员工要加强安全防范的意识培养,加强与信息安全相关的管理知识的宣传与普及,对各项安全管理的制度要积极地落实,集合全体员工的力量促进银行信息的安全保障。人员的安全管理实现形式主要是教育和培训,期培训的方式主要分为三种,其一是涉及到管理层的安全意识的教育,此举主要是针对管理层安全意识的教育和培训,帮助其了解国家信息安全的政策,同时提高其认识,进而能够指导好安全建设的工作。其二是技术人员的安全技能类培训,此举主要是让其学习更多的安全管理的理论性与技术性知识,以便其可以有效地掌握相关安全管理的理念,掌握好安全产品的操作与维护以及对于安全事件的处理能力,对信息系统安全进行较好的维护。其三是普通员工安全意识的培养,此举针对的是广大的信息系统的用户,对其进行安全培训,以此来增强其安全防范的意识,发挥集体的力量来维护系统安全。
(3)对于系统建设的管理,其主要是指信息安全要针对信息系统的集成项目和软件开发的项目,对这些项目进行相应的安全需求的分析与规划,对于系统的开发需要对输入的数据验证和处理过程信息的完整性以及输出数据进行确认,此举是为了预防应用系统的信息丢失和错误以及未授权信息的修改与误用。其主要的保护手段是加密。
(4)对于系统运维的管理,其主要是指对信息系统日常操作与维护的管理要加强。逐步地建立与完善相关文档化操作的流程和相应规范变更的管理流程。同时实行职责分离和分离开发以及测试和生产环境,对于第三方的服务交付需要提出相应的要求,以便确保其所提供服务符合相关协议要求。在系统的规划方面,需要对未来容量与性能要求进行考虑,同时还要对相关项目建设进行验收,验收时要依照具体标准。对于数据备份的策略制定方面,需要确保相关信息的实用性与完整性。此外还包括对于移动介质使用和处置方式的控制与管理。在与外部的组织进行信息交换时要确保其安全性能。此外还包括对于系统运行的监控与管理系统的日志记录工作和审核工作等。
(5)对于安全审计的管理,其主要的措施是建立起相关信息安全事故的报告流程和确保运用有效和持久的手段进行安全事故的管理。为了对信息系统符合相关法律规定进行确定,需要定期地进行相关信息安全的检查工作和及时地发现安全隐患,同时要坚持改进。
(6)有关基础设施的安全,其主要指的是机房环境与设备实体安全的保护,以防基础设施出现非法使用和物理性破坏以及被偷盗的情况发生,并且要保障这些设备正常运行时需要的电源和温度以及湿度和防水,同时还包括防尘等。技术设施的安全规划主要包括以下内容:中心机房与及其基础的设施的环境建设需要做好,具有防雷电的完整设施,同时还包括防电磁干扰的设施完备。主机房的电源需要设置双回路的备份机制等。
(7)对于信息系统中涉及到的网络安全问题。网络安全主要是以硬件和软件等形式实现数据和语音以及图像和传真网络传输时的安全保障,对安全域与安全区间的网络通讯私密性与完整性以及可靠性要进行提高。网络安全规划的主要内容包括:建立与完善网络防火墙的安全体系建设,对安全区域实行隔离,对网络安全的策略进行强化,监控和审计网络的访问,以防内部信息出现外泄情形。其具体措施包括以下几个方面:其一是对IIPS入侵的检测系统进行建立和完善,以特定检测技术来识别各种恶意攻击行为,同时及时的对其攻击行为进行阻断,以确保网络的安全;其二是运用VLAN对网络进行划分,对于不同的网络安全区域进行隔离;其三是以物理级和网络级以及系统级等认证手段对网络用户的访问权限实时控制,以便确认出使用者权限及其身份。其四是对于网络日志进行管理的记录,以此来保证网络安全具有审计性。其五是以SSL的安全联结机制来保证外部WEB的链接安全,比如说网上银行等。
(8)基层银行安全信息系统规划中涉及到主机的安全,主机系统安全的目标是对主机平台的系统优质高效的运行进行保障,以防主机系统会遭受到外部与内部破坏或者滥用,同时避免与降低因为主机系统问题而造成的影响,主要针对的是业务系统,另外还需要对访问的控制与安全审计进行协助应用。其主要规划内容包括对主机系统的安全管理进行完善,对账户系统的管理要严格化,对系统服务要实现有效控制,对系统安全配置进行优化。
4 结束语
通过上述分析,我们可以看到现带信息技术给人们生活带便利的同时,也给基层银行信息系统的安全设计规划和实施带来了挑战,本文提出了一些相应的举措,但是还远远不够,还需要在安全实践中不断摸索,不断改进,不断适应新的银行信息风险,保障银行信息系统的安全运行。
参考文献:
[1]邱安生.商业银行信息系统安全保障体系的设计和实现[D].电子科技大学,2011.
[2]傅志勇.国家开发银行企业银行信息系统安全解决方案设计与实现[D].山东大学,2008.
[3]赵立洋.商业银行信息系统安全审计问题研究[D].天津财经大学,2009.
[4]龙延军.国家开发银行信息系统安全总体方案设计[D].四川大学,2004.
[5]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京工业大学,2012.
[6]刘嘉.基于综合判定分析的信息系统安全检验技术研究[D].北京邮电大学,2011.
[7]杨峰.商业银行IT风险识别与评估研究[D].电子科技大学,2012.
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
关键词:铁路;运输业;发展
根据《2006年中国铁路运输市场研究报告研究报告》,随着改革开放的深化以及经济产业结构的调整,交通运输企业焕发出前所未有的活力,各种运输方式发展迅猛。铁路交通运输虽然运量逐年增长,但市场份额却逐年下降,铁路面临着越来越严峻的挑战。在国民经济各部门中,尤其是在交通运输部门中,铁路运输的发展呈现滞后状态。这种状况与“铁路是国家的重要基础设施,是国民经济的重要基础产业部门,是综合交通运输体系的骨干”的地位不相适应,有些地区的线路甚至无法支撑运输需求的巨大压力,铁路运输发展滞后对经济发展的制约作用明显存在。
一、我国铁路交通运输行业现状
中国铁路运输行业已有127年的历史。与计算机、通讯、生物等高新技术行业相比,它是个传统行业。进入21世纪,世界铁路交通运输行业正由传统行业向现代行业转变。世界发达国家铁路在较高的起点上,以全新的方式,用较短的时间,完成了由传统行业向现代行业的升级,使铁路这个传统行业展现出了全新的面貌。而中国铁路交通运输行业建设起步并不晚,但与世界发达国家相比,差距很大,还存在很多问题。
改革开放以前,国家铁路实行“政企合一”的计划管理体制。这种管理体制,与国家宏观计划经济的整体基础相适应,也与铁路当时自身经营的环境与条件相适应。当时我国经济技术落后,资金资源严重短缺,不可能优先发展资金和技术密集度要求较高的航空和公路运输,适合中国国情、运价低廉的铁路运输因而长期处于垄断优势地位,没有面临生存竞争方面的任何挑战。
进入新时期之后,国家经济运行体制由计划经济向市场经济转变,铁路运输行业随之出现了许多问题,这些问题集中表现在运能短缺上。运能短缺一方面是铁路物质基础相当薄弱的基本情况的客观存在,另一方面是不断扩大的对客货运输的巨大需求。在二者的共同作用下,铁路运能短缺的问题不可避免。
进入上世纪90年代,全社会爆发出来的巨大货运需求压向铁路,国民经济发展急需的石油、棉花、粮食、煤炭、磷矿石等重要原材料运输严重受阻,影响东部地区电力供应缺口加大,迫使不少工厂半停产运行。因铁路发展不足致使国家损失巨大。同时,对局部区域铁路客运列车而言,一方面有些落后地区根本就没有开通铁路交通运输;另一方面普遍超员严重,特别是在重大节假日。客运全面紧张已成为严重的社会问题。
二、铁路交通运输行业存在的问题
首先,我国铁路总体规模发展不足且各地区间发展不平衡。建国六十多年来,我国铁路运输业虽然有了较快的发展,但近些年,随着市场经济改革的进一步纵深和国民经济发展增速,铁路运输行业随之出现了许多问题,这些问题集中表现在铁路总体规模发展不足致使运能短缺。目前,随着我国国民经济的快速发展,全社会爆发出来的巨大客货运需求一起压向铁路,致使铁路运能与运量的矛盾突出,因铁路运输能力不足造成的后果更加一览无余。同时,我国铁路现状各地区间发展且不平衡。东部地区铁路较发达,而中西部地区特别是西部地区铁路比较落后,甚至一些落后地区根本就没有开通铁路交通运输。这种现实状况将不利于各地区间的协调发展,也对国民经济的健康发展产生了不利的影响。
其次,铁路运输业的属性未明,阻碍了铁路运输业的健康发展。在我国目前铁路政企不分的经营管理体制下,铁路运输业在市场经济体制中,究竟是纯粹公益性行业还是市场主体是不明确的,其属性处于模糊状态。这种属性未明直接结果是人们不把铁路运输业当成企业看,认为铁路运输业要承担的是更多的社会责任,铁路运输业即使经营入不敷出,政府也是应该财政补贴的。正是这种长期的属性未明,造成铁路运输业缺乏市场竞争的能力和失去降低成本、创造利润的激情和动力。目前,尽管随着不断的国企改革,铁道部给铁路运输企业下放了许多经营权和其他相关权利,但这只是名义上的下放。铁路运输企业还远未成为市场主体。
再次,高垄断致使铁路系统内部缺乏竞争机制和服务质量不高。虽然我国铁路运输业进行了现代企业制度的改制,但由于改革缺乏正确的引导,在重复中耗费了巨大的改革成本后而收效甚微。企业国有资本的独占性未从根本上改变,相对独立经营的体系也尚未建立,仍属于垄断式国有企业。垄断致使铁路系统内部缺乏竞争机制,扼杀了其竞争活力,使其在日趋激烈的市场竞争面前视而不见、反应迟钝,是造成铁路运输业效能下降的主要原因之一。
最后,铁路沿线小站安全管理上存在着管理滞后、缺乏持续性等弊端。铁路沿线小站的安全在铁路运输安全中占据着非常重要的地位,不仅影响着铁路运输业本身的生产效率和经济效益,也对社会政治和经济有着重大影响。目前基层站段对沿线小站的安全管理,存在着管理被动和“以罚代管”等现象。站段安全专职人员一般在事故发生后,在进行安全总结分析后,对有关人员进行处罚,而未进行各种安全业务指导和教育。这种单独“以罚代管”形式的效果,只能是暂时缓解沿线小站面临的严峻铁路运输安全,带来的后果却是铁路员工心理上产生的反抗情绪。这种滞后的安全管理模式是缺乏稳定性和持续性,将会大大削弱了铁路运输安全的基础。
三、铁路交通运输行业发展的战略步骤
首先是实现铁路交通运输主业和辅业的分离。根据2005年底铁道部的统计数据,中国铁路现在职工人数228.41万,其中运输主业职工152.68万人,可见非运输主业职工队伍较庞大,这是世界上其他国家的铁路行业所没有的现象,势必会严重制约着铁路运输主业的发展。铁路系统中的社会公共部门,如公检法、医院和学校等社会性、事业性单位应剥离出铁路系统,这些单位可以说都与铁路运输没有直接关系,长期“捆绑”在一起将导致运输主业专业优势不突出,竞争能力低下。另外,还应剥离铁路系统中的辅助产业,即工业、建筑、工程、通信和物资五大公司和若干勘测设计院,还与国家邮电网并存的铁路通信网等也应被剔除出去。这些部门虽与铁路运输相关,但由于没有实行分账独立核算,产业属性不同,容易导致职责不清。
其次是对铁路运输行业进行规范股份制改造。股份制是一百多年来被实践证明为行之有效的资产组织形式,既可以迅速聚集社会资本,又可以完善公司法人治理结构。铁路行业在完成主辅业分离的前提下,选择业内的优质资产,即盈利能力强、管理效率高的资产,结合主干线、客运专线和城际客运铁路等项目建设,寻求境内外投资者,进行股份制改造,可实现企业持续快速发展。
最后是推动股份制改造成功的企业上市融资。实行股份制改造的目的是拓宽融资渠道,解决铁路建设资金主要依赖于铁路建设基金的收取与国家开发银行的长期借贷而成的长期性的极度短缺问题。其它渠道资金的进入为铁路加快建设速度和更大程度扩展规模注入了强劲的动力,更重要的是有助于帮助铁路部门引进新的经营管理理念、建立新机制。而其他渠道资金的筹集主要是通过公司上市来解决的。相比客运而言,货运业务彼此独立性较强,更容易把市场前景较好的优良资产单独剥离出去进行公司化改制;而且,货运的国际市场开放程度高,可以更好地吸收地方政府、社会和国际投资。因此,应按照先货运后客运的次序推动股份制改造成功的企业上市融资。
四、铁路交通运输行业发展的战略措施
首先,积极通过多种方式筹集建设基金。在我国,制约铁路交通运输发展的关键性问题是资金问题。美国铁路建设之所以能在1887年一年中铺轨2万多公里,一个重要的原因就是拥有发达完善的资本市场,可以迅速吸收国内外的投资资金。我国的资本市场虽不发达,但却具备了许多吸收投资的有利条件。在筹集资金的过程中,除了在国内外金融市场上进行股本融资这一方式外,可以选择的方式还有直接债务融资、利用国际贷款以及融资租赁等。
其次,明确政府的角色定位,积极转变政府职能,推进现代企业规范制改革。在“政企分开”的基础上,还需要对铁路运输行业进行规范的公司制改造,建立有效激励、严格约束、责权利相统一的法人治理机构。积极落实铁路运输企业的市场主体地位,完善资产经营责任制;实现政企分开、社企分开、事企分开和减员增效,组建客运公司及专业货运公司,为实现运输专业化打下良好基础。
第三,积极推进铁路行业技术引进开发,提高行业服务质量。我国铁路系统经过近年来的技术引进和自主开发,铁路技术的开发应用已呈现出加速追赶的趋势。当前的工作重点是高速铁路系统技术开发及建设;铁路行车安全技术保障系统开发;重型优质钢轨及新型轨枕制造;编组站自动化、装卸作业机械化及货场设备制造;铁路客货运信息系统开发等。为顺利实现铁路运输行业的战略目标,铁路运输系统干部和职工必须转变工作是完成国家运输任务的思想,树立铁路运输行业具有服务性特别强、同时竞争性也特别强的观念,此外还需要不断的学习和演练来更新自己的服务知识和技能。
近期,国务院下发了《关于进一步加强企业安全生产工作的通知》(国发[]23号),省政府印发了《关于贯彻落实国发[]23号文件进一步加强企业安全生产工作的意见》(鲁政发[]77号)。为不断强化全区安全生产基层基础工作,全面提高企业安全生产水平,确保安全生产形势持续稳定,根据市人民政府《转发省政府关于贯彻落实国发[]23号文件进一步加强企业安全生产工的意见的通知》(济政发[]22号)要求,结合我区实际,特提出以下实施意见:
一、总体要求
1.工作要求。深入贯彻落实科学发展观,坚持以人为本,牢固树立安全发展理念,切实转变经济发展方式,调整产业结构,提高经济发展的质量和效益,把经济发展建立在安全生产有可靠保障的基础上;继续深入贯彻区委、区政府《关于进一步加强安全生产工作的实施意见》(济天发〔〕3号),完善党委领导、政府监管下的安全生产工作格局,促进企业主体责任落实;坚持“安全第一、预防为主、综合治理”的方针,全面加强企业安全管理,健全规章制度,完善安全标准,提高企业技术水平,夯实安全生产基础;坚持依法依规生产经营,切实加强安全监管,强化企业安全生产主体责任落实和责任追究,保障企业安全发展。
2.主要任务。以危险化学品、交通运输、建筑施工、烟花爆竹、非煤矿山、民用爆炸物品、建材、机械、轻工、纺织、商贸市场等行业(领域)为重点,全面加强企业安全生产工作。要通过更加严格的目标考核和责任追究,采取更加有效的管理手段和政策措施,集中整治非法违法生产行为,坚决遏制重特大事故发生;在高危行业强制推行安全适用的技术装备和防护设施,进一步完善安全生产应急救援体系,最大程度减少事故造成的损失;要建立更加完善的技术标准体系,促进企业安全生产技术装备全面达到国家和行业标准;要进一步调整产业结构,积极推进重点行业的企业重组和整合,彻底淘汰安全性能低下、危及安全生产的落后产能;以更加有力的政策引导,形成安全生产长效机制。
3.工作目标。企业安全生产水平明显提升,生产安全事故起数和死亡人数持续下降,遏制较大事故,坚决防止重特大事故,实现全区安全生产形势持续好转。
二、严格企业管理,强化企业安全生产主体责任
4.严格执行企业安全生产风险分析和预警制度。坚持预防为主,企业要建立完善安全生产动态监控及预警预报体系,每月进行一次安全生产风险分析。发现事故征兆要立即预警信息,落实防范和应急处置措施。对重大危险源和重大隐患要报当地安全生产监管监察部门、负有安全生产监管职责的有关部门和行业管理部门备案。
5.严格执行各项安全生产规章制度。企业要健全完善并严格执行各项安全生产规章制度,规范生产经营行为,坚持不安全不生产。要加强劳动组织管理和现场安全管理,严格查处违章指挥、违规作业、违反劳动纪律的“三违”行为。凡超能力、超强度、超定员组织生产的,要责令停产停工整顿,并对企业和企业主要负责人依法给予规定上限的经济处罚。
6.严格执行“打非治违”制度。要督促企业严格遵守各项安全生产法律法规,对于非法违法生产经营建设行为,要严厉打击,形成严格规范的安全生产法治秩序。对非法违法行为必须做到“四个一律”:对非法生产经营建设和经停产整顿仍未达到要求的,一律关闭取缔;对非法违法生产经营建设的有关单位和责任人,一律按规定上限予以经济处罚;对存在违法生产经营建设行为的单位,一律责令停产整顿,并严格落实监管措施;对触犯法律的有关单位和人员,一律依法严格追究法律责任。
7.严格执行企业隐患排查治理制度。企业是隐患排查治理主体,要开展经常性的隐患排查治理,并切实做到整改措施、责任、资金、时限和预案“五到位”。建立以安全生产专业人员为主导的隐患整改效果评价制度,确保整改到位。对隐患整改不力造成事故的,要依法追究企业和企业相关负责人的责任。对停产整改逾期未完成的不得复产。
8.严格执行领导干部轮流现场带班制度。企业主要负责人和领导班子成员要轮流现场带班。对发生事故而没有领导现场带班的,对企业给予规定上限的经济处罚,并依法从重追究企业主要负责人的责任。
9.严格执行职工安全培训制度。对企业主要负责人和安全生产管理人员、特种作业人员必须经过严格培训考核,按国家有关规定持职业资格证书上岗。职工必须全部经过培训合格后上岗。加强企业安全培训师资建设,确保全员培训质量。凡存在不经培训上岗、无证上岗的企业,依法停产整顿。对存在特种作业人员无证上岗的企业,情节严重的要依法予以关闭。
10.严格执行安全生产长期投入制度。企业在制定财务预算中必须确定必要的安全投入。高危行业企业探索实行全员安全风险抵押金制度,积极稳妥推行安全生产责任保险制度。完善落实工伤保险制度,依据不同地区和企业单位的安全生产状况,通过调整缴费比例,促进安全生产工作。
11.严格执行企业安全生产信用挂钩联动制度。将企业的安全生产分级评价结果,作为信用评级的重要考核依据;对发生重特大事故或一年内发生2次以上较大事故的,一年内严格限制新增项目核准、用地审批、证券融资等,并作为银行贷款的重要参考依据。
12.严格执行现场紧急撤人避险制度。严格执行高危企业“逢大暴雨天气停产撤人”的规定。企业生产现场带班人员、班组长和调度人员有在遇到险情第一时间下达停产撤人命令的直接决策权和指挥权。
13.严格执行工伤事故死亡职工一次性赔偿制度。从2011年1月1日起,依照《工伤保险条例》的规定,对因生产安全事故造成的职工死亡,其一次性工亡补助标准按不低于全国上一年度城镇居民人均可支配收入的20倍计算,发放给工亡职工近亲属。
14.严格执行企业负责人职业资格否决制度。对重大、特别重大事故负有主要责任的企业主要负责人,终身不得担任本行业企业的厂长、经理。对较大事故负有主要责任的企业主要负责人,5年内不得担任本行业企业的厂长、经理。
15.严格执行先进适用技术装备强制推行制度。化工企业自动化控制系统要在今年年底前完成。逾期未安装的,要依法暂扣安全生产许可证和生产许可证。运输危险化学品、烟花爆竹、民用爆破物品的专用车辆,旅游包车和三类以上的班线客车安装使用具有行驶记录功能的卫星定位装置,要在2年内完成。
16.严格执行高危企业安全生产标准核准制度。要把符合安全生产标准要求作为高危行业企业准入的前置条件,严把安全准入关。各行业管理部门和负有安全生产监管职责的有关部门要根据行业技术进步和产业升级的要求,认真落实生产、安全技术标准和高危行业从业人员资格标准。对实施许可证管理制度的危险性作业要制定落实专项安全技术作业规程和岗位安全操作规程。
17.严格执行企业生产技术管理和设备安全管理制度。强化企业技术管理机构的安全职能,按规定配备安全技术人员,切实落实企业负责人安全生产技术管理负责制,强化企业主要技术负责人技术决策和指挥权。因安全生产技术问题不解决产生重大隐患的,要对企业主要负责人、主要技术负责人和有关人员给予处罚;发生事故的,依法追究责任。凡是发现设备安全管理不到位,检查、维护、更新不及时的,要立即责令停产整顿。
18.严格执行建设项目安全设施核准审批制度。安全设施与建设项目主体工程未做到同时设计的一律不予审批,未做到同时施工的责令立即停止施工,未同时投入使用的不得颁发安全生产许可证。对项目建设生产经营单位存在违法分包、转包等行为的,立即依法停工停产整顿,并追究项目业主、承包方及建设、设计、施工、监理、监管等各方责任。
19.严格执行化工企业试生产方案备案制度。要认真贯彻落实《山东省化工装置安全试车工作规范》和《山东省化工装置安全试车十个严禁》,严格执行试生产方案备案制度,接到企业备案申请后,安全监管人员必须进行现场审查,凡是不符合规定要求、不具备试车条件的,一律不允许试车。
20.严格落实外包工程等安全管理制度。凡是将生产经营项目、场所、设备发包或者出租的单位,应当履行安全生产协调、管理职责,并与承包单位、承租单位签订专门的安全生产管理协议,或者在承包合同、租赁合同中约定有关的安全生产管理事项。未签订安全生产管理协议或者未约定安全生产管理事项,未对承包(承租)单位履行安全生产协调、管理职责,发生事故的,追究发包或者出租单位的相应责任。
21.严格执行城区地面挖掘安全确认制度。施工企业在挖掘地面前,要认真查阅有关资料,全面摸清项目涉及区域地下管道的分布和走向,制定可靠的保护措施,并严格按照安全施工要求进行作业,严禁在不明情况下,进行地面开挖作业。管道业主单位要对地下管道情况进行现场交底,并作出明确的标识,必要时在作业现场安排专人监护,确保地下危险化学品输送管道安全。
22.严格落实应急救援演练制度。高危企业、高层建筑和地下商场每年都要开展一次应急救援演练,通过演练,不断完善应急救援预案和组织指挥体系。
三、严格监督管理,落实政府安全监管职责
23.严格执行安全生产规划发展制度。要更加注重经济发展方式转变,切实把安全生产纳入经济社会发展的总体布局,在制定发展规划时,要同步明确安全生产目标和专项规划。要加快产业重组步伐,充分发挥产业政策导向和市场机制的作用,加大对相关高危行业企业重组力度,进一步整合或淘汰浪费资源、安全保障低的落后产能,提高安全基础保障能力。
24.严格执行强制淘汰落后技术产品制度。对不符合有关安全标准、安全性能低下、职业危害严重、危及安全生产的落后技术、工艺和装备要列入产业结构调整指导目录,予以强制性淘汰。各级各部门要支持有效消除重大安全隐患的技术改造和搬迁项目,对存在落后技术装备、构成重大安全隐患的企业,要予以公布,责令限期整改,逾期未整改的依法予以关闭。
25.严格执行政府挂牌督办制度。对重大安全隐患治理实行下达整改指令和逐级挂牌督办制度,区政府相关部门加强督促检查。对事故查处实行层层挂牌督办,一般事故的查处由区安委会办公室挂牌督办,并实行严格的备案制度。
26.严格执行安全目标考核和通报制度。要层层签订安全生产目标责任书和承诺责任书,把全年目标任务分解落实到各级、各部门和企业单位。各街镇、各部门每月要召开一次安全生产形势分析会和安全生产工作部署会,严格控制事故指标。区政府把安全生产工作纳入全区科学发展考核体系,年终进行严格考核。
27.严格执行事故责任追究制度。对发生的较大及以上生产安全事故,要根据情节轻重,追究各级“一岗双责”分管领导或主要领导的责任。
四、加强基层基础建设,增强安全生产监管保障能力
28.加强安全监管力量建设。加强安全生产监管和执法队伍建设。各街镇必须进一步加强安全生产监管机构和执法队伍建设,人员编制只能加强、不能削弱。进一步提高监管人员专业素质和技术装备水平,强化基层安监科和执法中队的监管执法能力,加强对企业安全生产的现场监管和技术指导。企业必须依法设立安全生产管理部门,配备安全生产管理人员。在大型企业集团积极推行安全总监制度,强化企业日常安全管理。
29.加强安全生产专业服务体系建设。要建立完善具有独立性的安全生产评价、宣传教育、安全培训、检测检验等服务性机构。专业服务机构对相关评价、鉴定结论承担法律责任,对违法违规、弄虚作假的,要依法依规从严追究相关人员和机构的法律责任,并降低或取消相关资质。
30.加强应急救援能力建设。各街镇、各部门要针对本辖区的产业结构和本行业的重大危险源,建立专业性的应急救援队伍,配备必要的救援装备。要建立政府和重点企业互联互通的应急救援指挥网络。
31.加强安全生产标准化达标建设。做到技术装备达标、岗位达标、专业达标和企业达标,凡是没有达到基本安全要求的,要暂扣生产许可证和安全生产许可证,责令企业限期改进,使其达到安全生产标准和条件。
32.加强安全文化建设。积极创建“安全社区”和“安全文化建设示范企业”,开展安全生产和职业健康知识进企业、进学校、进乡村、进社区、进家庭活动,进一步营造加强安全生产的社会舆论环境。大力推进建设安全诚信企业。要大力开展形式多样的宣传教育活动,通过制作发放安全生产宣传光盘、教育读本等,普及安全生产常识,增强广大干部职工安全意识。
33.加强基层安全生产示范单位建设。坚持评选表彰“安全生产基层基础工作先进街(镇)”、“安全示范社区”、“安全标准化示范园区”和“安全生产基层基础工作先进企业”,通过创建先进单位,示范带动,推进安全生产基层基础工作。同时,认真总结基层企业实现本质安全生产的做法,推广典型经验,把好的做法形成制度,建立起预防为主的安全生产长效机制。
五、加强组织领导,完善工作机制,确保各项工作措施落实到位
34.加强组织领导。各级各部门要更加重视和加强安全生产工作,街镇行政主要负责人对本地区的安全生产工作负总责,定期分析本地区的安全生产形势,研究制定有针对性的工作措施。班子成员按照“一岗双责”抓好各自分管工作的安全生产,并严格落实领导干部现场检查制度,区级领导干部每两个月一次,处级领导干部每月一次。
35.加强综合监管工作。要进一步强化安全监管部门对安全生产工作的综合监管,发挥安委会办公室平台推动作用,全面落实各部门的安全生产监督管理职责,形成安全生产综合监管与行业监管指导相结合的工作机制。
36.加强企业安全生产属地管理。各级安全生产监管监察部门、负有安全生产监管职责的有关部门和行业管理部门按照职责分工和网格化监管要求,对当地企业实行严格的安全生产监督检查和管理。
37.强化安全生产监管责任追究。在所辖区域对群众举报、上级督办、日常检查发现的非法生产企业(单位)没有采取有效措施予以查处,致使非法生产企业(单位)存在的,对街镇行政主要领导以及相关责任人,根据情节轻重,给予降级、撤职或者开除的行政处分,涉嫌犯罪的,依法追究刑事责任。