时间:2022-07-13 19:56:01
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业安全论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1专项安全检查
专项安全检查是指有针对性的实施安全检查,发现并消除各类安全隐患。如电气安全检查,消防安全检查,化学品安全检查,职业卫生检查,货架安全检查,特种设备安全检查等。(1)电气安全检查包括常规的电源线布置,取电的规范性,电源箱的布线规范性,接地情况等外,还可以进行热成像,接地电阻是否有效(极性检测仪),漏电保护开关触动检查(如图1-图3所示)。(2)消防安全检查,应对企业重点消防部位实施检查,如油库,化学品储存、使用点,有明火或高温热源的区域,仓库,叉车充电区,食堂及各类隐蔽场所(如部门小仓库,档案室,配线间,天花板,阁楼)等区域。检查应事先准备检查表,并进行拍照记录,跟踪整改情况。(3)化学品安全检查,应对化学品储存区域及使用区域进行检查。如储存区域是否通风良好,电器是否防爆,不同性质的化学品是否混放,是否张贴MSDS,管理人员是否经过培训,是否有防泄漏设施等。(4)职业卫生检查,主要是对企业的职业卫生管理情况进行检查,如是否进行职业危害场所监测,是否对员工进行职业危害体检,是否进行职业危害告知,是否进行职业危害申报,是否张贴警示标识,员工是否佩戴合适的劳保用品,职业危害防护设施是否完好等。(5)货架安全检查,因货架属于称重设施,一旦出现危害后果比较严重,不但可能带来人员伤亡,还会出现财产损失。货架安全检查包括货架是否变形,地脚螺栓是否固定,防脱铰链是否固定,单层称重是否超重,防坠落、防攀爬、层重限重标识是否到位等。(6)特种设备安全检查,主要对叉车、起重设备、电梯、压力容器等管理是否符合要求,如是否建立特种设备台账,特种设备是否经过检验,特种作业人员是否持证上岗等。
2班组长安全巡查
班组是企业管理最基本、最基层的组织单元,班组是直接从事生产的基本单位,同时也是安全事故最可能发生的地方,是执行法律法规、标准和规程的前沿阵地和落脚点。多数事故案例调查表明,90%以上的安全事故发生在班组。因此,企业要想抓好安全管理工作,必须从班组入手,班组安全管理的好坏,不但影响到班组的安全生产,而且直接影响到整个企业的安全状况。安全巡查是发现隐患、消除隐患实际安全生产的重要手段,发动全组职工对班组岗位进行检查是安全检查的重要组成部分。通过班组巡查可以不断提高职工对安全生产重要性的认识。上岗前操作者要对作业环境,设备运行情况及安全防护装置、工具、个人劳保用品穿戴进行一次自查,确认没有明显故障、缺陷后,方可作业。设备开机前还需要依据设备点检表进行日检或按规定进行周检。在生产进行中班组长要依据“班中安全检查表”随时检查区域内员工安全操作情况及设备运行情况,发现问题及时处理,检查中要特别注意职工的劳动纪律,防止违章违纪现象的发生。
3防台风、防汛等恶劣气候检查
防台风及汛期等恶劣气候安全检查,是指在气象部门公布相关信息后,组织企业相关部门进行安全检查,以降低可能带来的事故发生概率或损失。如建筑物天台、露台,附属物(广告牌,空调外机等),下水沟渠是否通畅,防雷设施是否完好,树木、绿化等是否需要修剪,室外的电器线路是否完好(如路灯,探照等)等。
4节假日安全检查
每年较长假期,如“春节”“国庆”假期前应实施安全检查。检查内容包括劳动纪律;设备设施、工艺装备、厂房建筑、作业环境等是否存在隐患;消防情况等。根据各类统计显示,节假日前受假期的影响,容易出现思想松泄,从而导致出现各类安全生产事故。造成不必须的损失。
5结语
安全生产检查是企业落实安全生产工作的重要手段,也是企业对安全生产工作重视与否的体现。但在实施安全生产检查之前必须进行相应的准备工作,如检查人员的落实,检查表的准备,检查仪器/设备的准备,检查结果的录入,整改责任人、整改措施、整改日期的确定等等。
作者:刘建峰 单位:厦门ABB开关有限公司
一、消防安全培训的现有法律法规依托
随着各级领导对安全问题的重视度不断提升,消防安全培训方面的法律法规以及相关制度也在不断完善。《消防法》第二条规定“消防工作贯彻预防为主、防消结合的方针”,防在前,消在后,消防安全培训的重要不言而喻;第六条规定“机关、团体、企业、事业等单位,应当加强对本单位人员的消防宣传教育”,将企业消防安全培训工作以法律的形式加以规定。各个省、自治区、直辖市出台的《消防条例》也都将消防安全培训的相关规定加以细化。2009年4月13日的公安部第“109号”令《社会消防安全教育培训规定》将消防安全培训工作进一步细化,明文规定了消防安全培训大纲的内容,包括:消防方针、政策,消防法律法规,火灾预防知识,火灾扑救、人员疏散逃生和自救互救知识,以及其他应当教育培训的内容,同时将企业承担的消防安全培训的责任和具体工作以规定的形式指导企业的具体实施,使企业消防安全培训工作有据可依。
《全民消防安全宣传教育纲要(2011—2015)》于2011年5月27日由、公安部、教育部、民政部、文化部、卫生部、广电总局、安监总局等8部门联合印发,将消防安全培训中各个机构单位的职责,以及培训形式等,进行了更为具体的规范。公安部消防局下发的公消〔2014〕221号《关于加强和改进社会消防安全培训工作的意见》,结合近年来消防安全工作的形势,分析了部分地区、部门消防安全培训工作不适应社会、企业需要的现象,提出了加强和改进社会消防安全培训工作的意见,要求进一步促进社会消防培训力量,发展、创新消防安全培训机制,提升消防安全培训质量,强化消防安全培训责任的落实,这对港航企业的消防安全培训模式创新与当前社会形势接轨起到了指导作用。
二、消防安全培训新模式的探索
港航企业在现有全天候生产的实际情况下,应逐步探索一条适合本行业的消防安全培训新模式。
1.完善内部制度,创新培训模式。港航企业应加强本单位的消防安全培训工作制度化、规范化建设,制定适合本公司实际的培训模式,其中包括按班次选定一批负责任的业务骨干人员担任消防安全协管员,并吸纳为志愿消防队员。因为这些人员对实际的操作流程和潜在的消防安全隐患部位较为熟知,对这些消防安全协管员、志愿消防队员加以系统化培训后,就可以让他们深入工作一线,将自身的消防知识在日常工作以及平时生活中向身边的同事、工友进行不定形式的“消防安全培训”。企业定期将消防安全协管员、志愿消防队员集中,让他们相互交流并将自身的创新经验推广,企业则可以根据这些创新举措的实际作用对发明人加以奖励。这种员工对员工的消防安全培训,可让大部分员工不必耗费专门的时间去集中学习,而是在身边的同事帮助下,在日常的工作实际中进行。
2.加强外部约束,提升重视程度。水上公安消防机构要牢固树立“培训不到位是重大安全隐患”的意识,并将其深入落实到港航企业中。消防部门将辖区港航企业的消防安全培训工作情况加以量化管理,制定评比标准,对开展培训工作不到位的企业以书面形式加以通报及告知。在日常的消防监督检查时,消防监督人员对企业员工进行随机抽查,用测试其消防安全意识和应知应会消防技能的方法来考核该企业的消防安全培训效果。对企业员工(特别是消防监控室等重点岗位人员)消防安全意识差的单位,可视为该公司的一项消防安全隐患,责令其进行整改。
3.合理按岗分类,确保有的放矢。港航企业应根据不同的工作岗位进行分类,继而进行有针对的进行消防安全培训。其中,对管理岗位人员应进行有关消防安全管理方面的培训,对易燃易爆场所岗位人员应进行针对该场所易发的消防安全问题以及预防措施进行培训,对消防控制室操作人员重点是针对其取得相关上岗证后的实际操作进行培训和监督。
与此同时,公安消防部门以及港航企业安全部门要根据近期的火灾案例和以往的一些消防安全事故,模拟一些有针对性的“火灾事故”,组织员工进行现场处置,让员工亲身体验较为真实的“火灾现场”,将培训中获得的理论知识在实践中加以验证。拓宽消防安全培训渠道,探索消防安全培训新模式,加强消防安全培训质量管理,加强港航企业消防安全培训的制度化、科学化、人文化、系统化建设,才能逐步探索出一种适合港航企业自身的消防安全培训新模式。
作者:高嵩
笔者作为江西省道路运输企业安全生产标准化达标考评机构的一名考评员,一年多来,走访了近20家道路客运企业,初步总结出了目前道路客运企业在安全生产标准化建设中普遍存在的主要问题。
1.企业负责人安全意识淡薄有的企业负责人只注重抓生产经营,一心追求企业的经济效益,安全意识薄弱。在与企业有关负责人的访谈中发现,有的企业负责人对“一岗双责”的认知不够到位,对事故隐患存在侥幸心理,没有认真及时地对安全隐患进行排查,有的虽然有排查记录,但未进行原因分析或分析得不够深入,且对排查出的安全隐患没有采取有针对性的整改措施;有的企业在发生事故后,没有按照“四不放过”原则对事故发生的原因进行分析、提出整改措施和处理建议,没有按照安全管理情况进行责任倒查;更有甚者,有的企业对出现事故存在错误认识,要么怨天尤人,要么推卸责任。
2.企业安全管理机构不健全有的企业根本没有设置独立的安全生产管理机构,有的企业设置的安全生产管理机构与企业规模不相适应,有的企业安全管理人员数与企业拥有车辆数的比例不符合规定要求。经检查,有的企业专职安全管理人员未取得任职资格、有的没有定期参加相关管理部门组织的培训。
3.安全目标分解不够到位有的企业没有将安全目标细化到相关部门及基层岗位,并未层层分解落实到全体员工,仅仅停留在纸质的文件中,未能真正实现“一岗双责”。
4.各项教育培训工作流于形式部分客运企业没有定期对驾驶员、乘务员、例检员、监控员等从业人员进行安全教育培训,培训的范围和次数未达到要求;有的还将各种学习培训混为一谈,没有针对性,学习培训效果不理想;部分企业无安全目标考核与奖惩制度,有的有罚无奖,有的有奖无罚;一些企业对责任经营车辆没有开展有效的监督管理工作,有的甚至只是以罚代管。
5.装备设施配备不到位部分客运企业为了减少支出而没有按照有关规定定期开展危险源辨识和应急演练工作;车辆安全检查工作未切实得到有效落实;有些车未按规定配齐安全锤、三角木、警示牌等安全设备,有些车配备的灭火器是无效的。有些车安装的GPS车载终端不能正常使用,安全隐患十分突出。
二、安全生产标准化建设建议
1.加强企业安全文化建设,强化员工安全意识文化是一种无形的力量,会直接影响人的思维方法和行为方式。在道路客运企业中,加强安全文化建设是事故预防的一种“软”力量,是一种人性化的管理手段。通过营造企业的安全文化氛围,对人的观念、意识、态度和行为等形成从无形到有形的影响,从而对人的不安全行为产生控制作用,以达到减少人为事故的效果。道路客运企业安全文化不应该只是在墙上挂一些安全标语、写一些板报宣传,而应该是按照企业安全文化的形成规律,从员工的思想上、心态上去宣传、教育、引导员工,让全体员工深刻认识到“安全就是效益”,形成“人人关注安全、安全责任众人挑”的良好局面。其具体做法可通过树立正能量的典范、开展丰富多彩的文化活动,以及多渠道增强职工的企业归属感等方式进行。要使安全意识印在每一个员工的脑海里、贯穿于每一个员工的行动中、体现在每一个员工的具体操作细节上,形成“条件反射”,由不得不服从的被动执行状态,转变为主动遵守的行为。
2.构建一套完整的安全生产管理体系道路客运企业的安全生产管理体系可分为3个层次,分别是管理手册、程序文件和作业文件。管理手册是企业的顶层设计,应体现管理者的意图,成为指导企业全局的、较为长远的安全规划。企业在制定各项中长期发展计划时,应做到安全生产与企业发展的同步,从一定意义上讲,安全应优先于生产。在制定各项日常生产工作时,应将安全摆在突出位置,有安全才有生产,有生产才有效益,要确保安全投入和各项安全措施到位。程序文件要求企业中层管理人员领会高层管理人员的意图,将企业高层管理人员的整体设想得到正确的理解、贯彻和执行。它规定每一项活动的目的和范围,规定每一岗位应该做什么事,由谁来做,如何做,如何控制和记录,具体到在什么时间、地点,以及采用什么材料、设备和文件等。道路客运企业的安全生产标准化程序文件应包括各项安全管理制度及考核标准等。程序文件的编写要完整、简明、准确、统一、协调、可行。作业文件是管理手册和程序文件的支持性文件,也可以说是作业指导书,是针对各操作岗位的描述,应具体可行,比如驾驶员、乘务员、安全例检员的操作规程。管理手册、程序文件、作业文件这3个层次应从高处着眼自上而下层层设计,构建一套完整的安全生产标准化管理体系,相互印证、相辅相成,保证服务质量,实现企业目标。
3.落实从业人员的安全教育培训工作道路客运企业各类教育培训应有针对性,按照“需要什么培训什么,缺少什么补充什么”的原则进行。比如,驾驶员的安全教育培训内容应包括安全驾驶方面的法律法规、企业的有关规章制度、驾驶员职业素养、汽车构造原理、驾驶操作规范与技巧、特殊气候条件下的注意事项,以及发车前、行车中、收车后的车辆检查项目等;而乘务员的安全教育培训需包含道路客运相关法规、“三品”检查与管理方法、发车前的准备、行包的接运,以及发车前、行车中、到站后的安全提醒服务、清车交接等实质内容。
4.提升企业的安全管理执行力对任何企业来说,执行力就是企业的生命力,直接决定着企业的安全生产管理工作是否能得到有效落实。道路客运企业安全管理工作是否有成效,其决定因素不是各项安全管理规章制度的本身,而是其执行程度,因为再好的制度没有执行力就无法自动实施。众所皆知,安全管理涉及的主要因素是人,人是安全管理制度的制定者、安全操作规程的操作者、安全生产监督的监督者,安全管理活动本身就是人的活动。道路客运企业要提升安全管理执行力,首先,要强化责任,企业各级管理人员及基层员工的安全职责一定要清晰明确,安全生产责任书一定要层层签订,下级对上一级负责,不折不扣地将安全工作落到实处;其次,要不断修订完善各项规章制度,用制度、规章来体现清晰、有效的岗位职责、工作流序、考核标准,使每项工作做到有目标、有措施、有责任人、有督查、有考核,形成管理闭环;再次,要加强安全检查评比工作,定期考核,奖惩分明,保障执行的效果。
5.加强车辆动态监控管理在企业监控、政府监管、联网联控的原则下,道路客运企业应严格按照交通运输部、公安部、安监总局联合下发的《道路运输车辆动态监督管理办法》(2014年第5号令)做好车辆动态监控管理工作。即重点做好行车中的管理,特别是限速驾驶、限时加班、限线运行、限点休息的“四限”工作,以及做好恶劣天气条件下安全驾驶的提醒事项。
1.安全文化是提高企业职工安全思想的前提
建设企业安全文化需要将职工的思想观念作为入手点,采用现代的管理模式和思维方式将职工们对于安全的认识从之间的安全思想上挣脱出来,因为职工的思想观念将直接影响企业安全文化建设的进展,可以说思想观念是建设安全文化的保障。现在企业将工作的重点全部放在经济效益上面,在企业安全管理上不够完善,还存在很多的盲区,企业各个部门在处理安全问题时也都是首先考虑部门的利益,导致在安全管理上存在很多的漏洞。
企业安全文化的建设能够有效的防止这些现象,通过学习和宣传安全文化,从根本上纠正职工的思想观念,加强职工的安全意识,让职工能够自觉主动的按照相关制度工作,真正意义上做到安全生产。在职工的安全文化教育中需要遵循以人为本的管理理念,尊重职工的实际需要,重视职工的工作发展、关系职工的生活情况,在企业发展中职工不能将职工当作生产的工具,而是企业的主体。在提高职工生活水平的同时,还要通过各个部门展开的安全教育,加强所有职工的安全认识,加强安全文化的宣传工作。另外企业还要定期进行培训,让职工掌握安全防范措施。通过严格的安全制度,在实际工作中加强企业管理,让整个企业安全文化氛围得到改善。
2.企业安全文化是完善安全管理机制的根本
首先人作为企业经济活动的主体,在建设企业安全文化时必须贯穿对人的管理。建设企业安全文化主要由三部分组成,决策者、管理者、操作者。决策者主要制度安全行为准则形成约束机制,所以决策者安全文化素养直接影响着企业安全文化的水平;管理者主要是对制定的安全行为准则的具体实施进行监督;操作者就是需要在工作中严格遵守各项安全行为准则。只有强化三者的安全价值观,才能让整个企业的安全管理得到提升。其次就是要将个人利益和安全管理挂钩,这样才能加强安全管理中相关人员的责任心,改善工作态度,将各项管理制度能够得到落实。
再次就是企业安全文化有对各项安全隐患的防范和治理明确的规定,确立了安全隐患的检查制度、治理制度,辅助安全管理在监控上得到落实,也帮助完善了企业安全管理机制。企业良好的安全环境需要完善的安全管理机制作为基础保障,在实际生产中,企业需要将安全文化渗透在管理机制建设中,并根据企业的发展改革不断的创新,将安全管理转变成为企业的自觉行为。企业需要将安全管理落实到操作现场,安检员、党政人员要充分发挥在安全治理中的作用,为了保障生产质量,可以推行质量终生责任制,使得处处有人管理监督,事事有章可循,加强企业安全管理的同时也能提升经济效益。
3.结束语
建设企业的安全文化,作为安全管理的基础。企业要利用安全文化中包含的各种安全素养和价值问题等无形的文化价值来加强企业安全管理上的问题。在企业新的发展要求下,在安全管理上需要突破传统安全监督管理的局限,用安全文化去塑造每一位员工,将以人为本作为建设安全文化的指导思想,制定相关的行为规范作为安全管理的保障,建立具有企业特色的安全文化,提升企业安全管理。
作者:贺晓欢 单位:新疆油田公司数据公司
信息安全随着信息技术的发展而产生,并且其重要性日益凸现出来,信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。即强调信息的保密性、完整性、可用性、可控性。
一、电力企业信息安全风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的;(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等;(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环;(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了;(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
二、解决信息安全问题的基本原则
(一)采用信息安全新技术,建立信息安全防护体系。企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
(二)计算机防病毒系统。计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
(三)网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
三、解决信息安全问题的对策
(一)依据国家法律,法规,建立企业信息安全管理制度。国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平。信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
(二)开展全员信息安全教育和培训活动。安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
(三)充分利用企业网络条件,提供全面,及时和快捷的信息安全服务。我省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
关键词:企业安全管理能力概念框架
全球化及企业社会责任问题的提出,向企业提出了改善安全管理的客观要求,提高安全管理水平已成为企业的必然选择。企业改善安全管理状况的关键就在于通过提高安全管理能力,从而完善企业安全战略决策机制、优化安全资源配置、整合安全管理体系与政策,从而提升企业安全管理水平。学术界对企业安全问题的研究重点,经历了关注技术因素与关注人的因素两个阶段,现在已经向深层次的关注管理因素或组织因素的阶段转变(Sasou,1999;Varren,1998;王二平,1998),安全管理的相关研究正日益兴起。但国内外学术界对安全管理能力并没有一个清晰的认识,在研究时多使用安全系统效能(Pope,Cresswell,1965;Petersen,1996)、安全管理绩效(Steen,1996;OECD,2003)、安全能力(马继业等,2005)等相关概念,对安全管理能力概念的内涵与外延还没有一个清晰准确的认识。概念的界定是进行科学研究的基础,没有一个清晰准确的概念,就无法准确地划分研究边界,无法促进研究的深入。为此,本文拟在对相关概念及相关研究成果进行综合归纳的基础上,构建企业安全管理能力的概念框架。
企业安全管理能力相关研究
安全与安全管理
安全泛指没有危险、不出事故的状态。韦氏大词典把“安全”定义为,没有伤害、损伤或危险,不存在危害或损害的威胁,或免除了危害、伤害或损失的威胁。即所谓的“无危则安全,无损则全”。生产过程中的安全,即安全生产,是指免除引起个人伤害、疾病或死亡的状态;或是免除设备损坏或财产损失的状态;或者免除环境危害的状态。库尔曼(A.Kuhlmann)提出,安全科学最终目的是将应用现代技术引起的任何损害后果控制在绝对的最低限度内或者减少到可容许的限度内。总的说来,生产过程中的安全,是指由人、机物、环境构成的安全系统无伤害的状态,就可以称之为安全。
而安全管理作为安全科学的一个分支,其研究的起步较早。海因里希(H.W.Heinrich)在1929年就比较系统地阐述了当时安全管理思想和经验,但早期的安全管理等同于事故管理,安全管理主要是围绕着事故做文章,其效果有限。随着理论研究的深入,专家学者开始从事故后管理开始向事故前的隐患管理转变。从表1所列出的一些专家的观点看,罗云把安全管理对象从事故系统拓展到安全系统,提出了事故预防的重要意义,但没有对安全管理实质进行解释;Papadakis和陈宝智则把企业管理中管理的功能向安全管理进行了移植,强调安全管理是企业管理功能的一种,具有企业其它管理功能同等的属性,但他们的定义没有反映出安全管理的要素与特征;丹麦标准协会的简化定义,把关注的焦点集中危险管理,适于中小企业安全管理活动,不适于大型企业集团的安全管理。
对安全管理概念的界定可以分为两类,一类简单的说明了安全管理的功能,它适用于一般的普通中小企业,海因里希、丹麦标准协会、崔政斌的定义倾向于这一类;另一类强调了对安全的系统管理,适用于大型高危险性企业,Papadakis、罗云、陈宝智的定义倾向于这一类。本文倾向于采用后一种安全管理定义,即针对大型企业集团和高危险性企业的安全管理定义。
企业能力与企业管理能力
企业能力是当前企业理论的一个极其重要的研究专题。以沃纳菲尔特(Wenerfelt,1984)为代表的资源学派认为企业异质性资源构成了企业能力;哈默尔(1990)认为能力是组织中的积累性学识;巴顿(1992)提出企业能力的四种尺度,即知识与技能、技术系统、管理系统和价值与规范;王锡秋和席酋民(2002)认为,企业能力是企业所具有的、直接影响企业效率和效果的主观条件,是知识、结构和文化三个方面耦合的结果。这些专家的观点都是从企业基本属性的角度来理解企业能力,但都不十分全面。相比而言,德(Day,1999)对能力(capability)定义更全面:“能力是复杂的技能和累积知识的集合,通过组织程序得到锻炼,能够使企业协调行动,并充分利用它们的资产”。这个定义关注知识与技能,强调对知识与技能的累积形成了复杂的能力,对企业能力的内涵给出了较全面的解释。而且这种解释即强调能力的技术属性,又强调了能力的管理属性,较为全面。
从企业能力的分类看,能力理论研究先驱克里斯蒂森把企业能力分为技术能力和管理能力;国内外许多研究企业能力的专家学者也有类似的分类(史东明,2002;,2002)。学术界对技术能力的研究多集中技术创新、知识管理领域;对管理能力的研究刚刚兴起,研究领域并不集中,如Mohsin(1999)的研究关注“动态技术管理能力”(dynamictech-managementcapability)、Chuang(2004)和Liu(2004)的研究关注“知识管理能力”(knowledgemanagementcapability)、Shi(2004)的研究关注于“全球会计管理能力”(globalaccountmanagementcapability)等。目前对技术能力和管理能力的区分尚不明显。王锡秋和席酉民依据波特的价值链的思想,把企业能力分为基本能力与辅助能力,认为基本能力是企业完成基本活动的能力,辅助能力是企业进行辅助活动的能力。从这个角度理解,可以把技术能力理解为一种基础能力,把管理能力理解为一种辅助能力,它们都是构成企业竞争能力的基础,缺一不可。但必须指出,管理能力在本质上是一种知识和技能,由可以言传的书本知识和不可以言传的经验知识有机结合而成,在不同的领域,可言传的书本知识和不可言传的经验知识所占的比重并不一致(见表2所示)。
企业安全管理能力
国内外学者直接针对安全管理能力的研究还未出现,已有的相关的研究主要有安全系统效能、安全管理绩效、安全能力等。国外学者的研究关注于安全系统效能的改善。Pope和Cresswell(1980)提出通过安全管理来发现系统安全效能的差距,Petersen(1996)、Steen(1996)和经合组织(2003)提出通过管理对系统安全效能进行改善。国内学者在安全管理的研究方面起步本来就比较晚,在安全管理能力方面的研究就更少,已有的研究主要关注安全系统的管理现状综合评价,如陈宝智(1999)关注整个人机环境的现状;徐德蜀等(2004)关注对管理体系中人的因素;马继业等(2005)从企业能力中的资源学派观点出发对安全能力做出了理论探索。这些学者的主要观点如表3所示。
总的来说,安全管理能力相关研究有两种取向:关注能力的静态特性——能力的构成要素;关注能力的动态特性——能力的动态提升。从“能力”的基本属性看,企业能力是累积的复杂技能和知识的集合,是一种把各种可得到资源“在行动上组合起来并引导它们为特定的生产目标服务”的整合能力,它理应同时包含静态和动态两种属性,应从这两个方面同时加以考察。
企业安全管理能力概念
企业安全管理能力的概念
结合以上分析,本文认为,安全管理能力首先是一种企业能力,具有企业能力的属性,是企业在对安全生产进行管理的过程中积累的各种知识与技能。安全管理能力是由企业掌控的资源决定,企业拥有的资源及其组合情况形成了不同的安全管理能力。企业安全管理能力不是静止不变的,而是动态变化的,随着企业的成长而不断增长。此外,企业能力作为一种累积的知识与技能,知识与技能的难言属性(波兰尼,1998)使得企业安全管理能力具有特异性和不可模仿性,构成了企业竞争能力的基础。
企业安全管理能力概念的内涵
本文界定的安全管理能力概念如下:企业安全管理能力是企业对由员工、设备、物料、制度、环境组成的安全系统进行协调控制的过程中积累起来的一组知识与技能的集合,企业通过对安全系统的协调控制过程逐渐积累了能力,使企业安全系统性能达到最佳状态。
这个概念的内涵包括四个方面:安全管理能力的主体是作为组织而存在的企业,即安全管理能力是企业的一种基本属性;安全管理能力的载体是由员工、设备、物料、制度、环境所构成的企业安全系统,即安全管理能力是企业对安全系统进行协调控制中表现出来的,对其考察也应从这几个方面入手;安全管理能力是一组知识和技能的集合,本质上是一种知识资源,具有动态属性,可以反映出企业安全管理现状;安全管理能力通过对安全系统的协调控制过程所构建,是在不断地动态形成的,具有动态属性,可以反映出企业安全管理的发展潜力。这四个方面构成了安全管理能力概念的内涵。
企业安全管理能力概念的外延
安全管理能力作为一种企业能力,从不同的角度来分析,其内容各不相同。关注静态属性的研究,把注意力放在安全系统现状评价上,各个能力要素的设置上力求尽量要全面反映安全管理现状;关注动态属性的研究,把注意力放在安全系统效能的改善上。事实上,对企业安全管理能力的认识,不能仅仅关注于安全系统现状评价,也不能仅仅关注于安全系统的动态改善,而应当将两者相结合。经济合作发展组织(OECD)认为,应同时采用行为指标(activitiesindicators)与结果指标(outcomeindicators)来衡量安全系统管理效能,行为指标可以识别组织是否采取了降低风险的行动,而结果指标则识别组织采取的行动的后果。
本文认为,应从两个角度来考察安全管理能力。一是安全系统构成因素的知识与技能的含量,即员工、设备、物料、制度、环境这五个构成因素的知识与技能情况;二是安全系统效能改善情况,即安全系统构成因素应当具有动态改善能力。前者关注管理结果,后者关注管理行为。从这两个角度可以构造出安全管理能力的内容。本文认为,企业安全管理能力的内容包括:增加员工安全知识与技能的能力、优化设备安全性能的能力、提高物料安全水平的能力、改善安全制度的能力、监测环境安全状况的能力。企业提高安全管理能力应综合考察这五个方面的内容,实现安全系统效能的综合性能的改善。
企业安全管理能力研究的现实意义
长期以来,许多学者对提高企业安全管理水平进行了大量的理论研究和实证分析,但一般采用安全检查表的形式进行安全管理现状评价,不能反映企业安全管理的发展潜力,而利用本文构造的安全管理能力的框架,可以弥补这样的差距。
提高安全管理能力对企业安全管理的影响体现在:首先,作为对安全系统进行管理的一组知识与技能的集合,通过提高安全管理能力,可以使企业明确安全管理政策的关注要点,为企业制定合理科学的安全战略提供决策借鉴;其次,通过提高安全管理能力,可以使企业提高对安全资源投入效率,实现企业以最小的安全资源投入,获得最大的安全绩效,提高企业安全资源投入的优化配置水平;最后,目前企业面临各种各样的安全管理新体系与新制度,这些新的安全管理体系与管理制度,与原有管理体系与制度存在着一些功能重合与冲突。通过提高企业安全管理能力,可以新的安全管理新体系与新制度整合到企业安全管理能力的框架内,有利于企业整合资源,提高企业安全管理水平。
结论
安全管理能力决定了企业安全管理水平。针对安全管理能力概念未清晰界定的理论研究缺憾,本文综合归纳了国内外专家学者对安全管理、企业能力及安全管理效能等的相关研究成果,提出了安全管理能力的概念与内容,并对安全管理能力研究的现实意义进行了探讨。通过研究发现,安全管理能力可以综合反映出企业安全管理现状和发展潜力,是企业提高安全管理水平的关键。但本文对安全管理能力的增长路径并没有进行研究,这有待在未来的研究中进行深入探讨。
参考文献:
1.隋鹏程,陈宝智,随旭.安全原理[M].化学工业出版社,2005
2.陈宝智.安全管理[M].天津大学出版社,1999
3.DSA(DanishStandardsAssociation).OccupationalHealthandSafetyManagement[EB/OL].DSA,Denmark,2003
4.崔政斌,邱成,徐德蜀.企业安全管理新编[M].化学工业出版社,2004
5.Harms-RingdahlL.Relationshipsbetweenaccidentinvestigations,riskanalysis,andsafetymanagement[J].JournalofHazardousMaterials,2004
6.王锡秋,席酉民.企业能力缺陷研究[J].财经理论与实践,2002,23,(6)
7.克里斯蒂森.从企业技术基础分析—资源多样性与能力理论.企业万能,面向企业能力理论[J].Foss,N.J.,Knudsen,C.eds.东北财经大学出版社,1998
[关键词]企业安全文化企业安全文化建设本质安全化国企文化
1前言
企业安全文化建设是弘扬企业精神,塑造企业安全形象,实现企业安全生产目标的动力。让“我要安全”、“我会安全”贯穿于生产经营活动的每一个环节、所有时空,让安全生产保证原油的稳定增长,树立“以人为本的绿色能源生产企业”的良好社会形象,大力推广“本质安全化”理念,营造企业稳定、和谐的安全生产环境,依靠安全文化的潜移默化作用,提高全员的安全意识和整体安全文化素质,增强企业的抗风险能力和竞争能力,在做强做大中国海洋石油总公司(下称中海油)发展的同时,为企业打好坚实的人文基础。这既是中海油持续稳定发展的客观需要,也是中海油在纽约和香港成功上市,并在迎来又一次合作开发高峰后,企业内、外部环境变化的客观要求。
2中海石油企业安全文化建设的必然性
企业安全文化是企业在长期安全生产经营活动中形成的。它是以人为本,保护人的身心健康,尊重人的生命,实现人的安全价值的文化,是企业安全形象的重要标志,是凝聚员工的强力磁石和树立企业安全精神的动力。中海油是一个高风险、高投入的石油能源生产企业,它是在水深几十米、几百米的大海中,在不足半个足球场的钢铁小岛上,将深埋海底几千米的石油、天然气勘探开采出来的能源生产企业。建造一个钢铁平台最少也得投资上亿元,一个油田群一般需投资几十亿、几百亿元。在保证不发生跑、冒、滴、漏等险情,保证不污染海洋环境的同时,每天与带压的、甚至是高压的、易燃易爆的石油、天然气打交道,其危险性是可想而知的,其危险程度和所承担的风险是巨大的,因此,对安全的要求是第一位的、非常严格的。作为一家已在纽约和香港成功上市的国营大型石油能源生产企业,特别是中国加入WTO后,企业的内、外部环境已从根本上发生了变化,具体表现为:
首先是来自国家指令的变化,政府不仅要求企业提供能源、创造利润、提高国际竞争力、增加更多的就业机会,而且还要求企业保护蓝色海域,在确保不污染海洋环境的前提下使企业不断发展壮大;
其次是企业自身发展要求的变化,企业不仅需要健康稳定的发展,确保国际大型能源公司的地位,获取最大的经济效益及利润,而且股东也以国际大型能源公司要求企业健康稳定的发展,向股东发放丰厚红利的同时,保证股东手中的股票稳定升值,这就要求企业不仅要考虑发展问题,考虑绿色的能源生产企业问题,还要想方设法取信股东、回报股东;
再次是来自员工的需求变化,员工的需求早巳超越了解决温饱的时代,他们对获得尊重、实现价值、自身发展及工作环境中的各种因素都非常重视,他们需要企业提供更加宽松、舒适、安全的软硬件工作环境;
最后是企业外部环境的变化,中海油过去的行业垄断地位即将消失,国外大型公司直接进入中国市场后,在人才、市场占有率等诸多方面跟国内的竞争更趋于复杂、激烈,而现代的市场竞争主要是人才的竞争,如何吸引、培养、留住人才,是关系到企业盛衰存亡的大事。这些变化都要求中海油人以发展的、市场竞争的眼光重新审视自己,自觉的改变观念适应时代的发展变化,自觉维护企业形象,确保安全生产,确保可持续稳定发展。
综上所述,中海油在引进、运用和掌握现代科学技术和提高管理水平的同时,必须学习核能工业企业,把安全高于一切、超越一切的先进经验,树立大安全观的思想,增强建设企业安全文化的自觉性和紧迫感,让“我要安全”、“我会安全”落实到生产经营活动的每一个环节、每一个角落,让高素质的员工为企业的安全生产保驾护航,这既是中海石油自身发展的客观需要,也是新形势下企业内、外部环境变化的客观要求。
3中海石油企业安全文化的发展历程
文化是有继承性的,它不可能、也绝对不会被人们简单地扬弃。企业安全文化是企业文化极其重要的组成部分,分析并构建中海石油的企业安全文化建设,必须从中海石油企业的发展历程及其企业文化发展进程人手,吸收其中优秀部分并继承下来,扬弃自身文化中制约发展的、不健康的成分,再注入符合时代要求、充满活力的创新文化,形成当代企业的安全文化的内涵。
3.11965年成立至20世纪70年代末典型的前国企安全文化
1965年2月,石油部一厂成立海洋勘探室,开始了中海石油开发的筹创时期。从1965年成立到20世纪70年代末,中海石油企业的文化是典型的前国企文化。在那个时代背景下,在大庆精神的鼓舞下,在服从大局、无私奉献、艰苦奋斗等前国企文化优秀成分作用下,中海石油企业走过了从无到有、从小到大的艰难创业历程。当时,安全文化并未得到健康发展,凭政府热情,靠精神鼓励,忽视科学、不怕死、冒险为荣的言行占了上风。
3.220世纪70年代末至90年代中后期变革中的国企安全文化
20世纪70年代末,改革开放的政策使中海石油企业成为了第一批受益者,埕北油田的成功合作开发,不但为中海石油培训输送了许多的高层管理人才,获得了中海石油“黄埔军校”的美誉,而且也使中海石油人真正接触到了现代石油开采的先进技术。此时,中海石油的企业文化充满了强烈的学习变革精神,在新、旧文化体系激烈的碰撞和冲击下,各种思维方式和理念也在发生着革命性改变。此时,企业安全文化已蕴藏在企业文化中,开始出现模仿和学习国外企业文化构建行为。因未能摆脱前国企文化的影响,只是吸收了部分适用的安全文化,在不断总结成功经验和惨痛教训中,开始重视、回避或减少政治色彩过强、缺乏科学精神、效率意识差、缺乏个性化等典型的前国企文化的不良成分,但忽视职工个人利益、对政府的依赖性强等国企文化的特色并没有改变,前国企文化仍占据着重要地位。
3.320世纪90年代末至今,正在健康发展的企业安全文化
随着市场经济体系的建立,在不断学习掌握国外的先进管理经验和现代先进科技,在不懈努力并成功在海外分拆上市的推动下,为走出国门,中海油不得不在取得诸如IS09000(质量管理体系)、IS014000(环境管理体系)、IS018000(职业安全健康管理体系)、DNV(挪威船级社)第三方认证等各种国内、国际资格认定证书的同时,强制改变了许多根深蒂固的旧思想理念和管理模式。在不断运用各种现代安全管理技术和手段(如正在大力推行的HSE管理体系,即“健康安全环境管理体系”等),为安全生产保驾护航的过程中,在不断总结和改进的过程中,在完善各项规章制度的过程中,使中海油的安全管理工作不断向现代化发展,使企业安全文化的现念,正慢慢渗透到企业生产的各个层面、各个角落。
4中海石油的企业安全文化建设
中海油在挖掘和发扬自身优良文化(如无私奉献精神、吃苦耐劳精神),完善和优化各项规章制度、推广先进的安全技术和安全管理体系的同时,十分重视总体规划自己的企业安全文化建设。企业不但要在公众中树立良好的绿色能源、安全生产的社会形象,而且要在内部树立起奋发向上,“以人为本”,珍爱生命”,“安全第一”的安全文化氛围,使每一个成员在正确的安全心态支配下,在本质安全化的“机—物—环”系统中,注重安全生产、关心安全生产,使人人参与安全文化建设成为一种风气和时尚,让中海油人引以自豪的同时,自觉地维护企业的安全形象,自觉规范自己的安全行为,用安全生产的理念和行动保证原油产量的稳定增长,使文化为企业的经济效益作贡献。
4.1树立“以人为本的绿色能源安全生产企业”的良好形象
社会公众对现代企业,特别是股份制企业的认识和评价,是直接关系到企业的社会形象和企业的竞争能力、生存能力能否持续、稳定发展的大事。作为海洋石油能源勘探开发的生产企业,如何塑造自己的企业形象和企业精神,是现阶段中海油人必须面对的问题。
树立“以人为本的绿色能源安全生产企业”的良好社会形象,既是由中海油的企业特征决定的,也是中海油持续向前发展的必然趋势。一到倒班期,中海油人就乘船或飞机来到了既无绿叶又无地气的钢铁平台上,在单调、紧张、危险中,开始了二十多天的石油勘探开采作业。在大海多变的环境中,从事寂寞和艰辛的劳动,稳定的情绪和高度的责任心是安全生产的保证。这种精神和力量来自于中海油对职工的爱护和关心,中海油一直把“珍惜生命,文明生产”及“不断改善和提高员工的生产、生活条件”作为企业的根本政策;也正因为如此,中海油必将把“关心员工,保护员工的身心健康与安全”、以及“以人为本”作为中海油长期不变的立企宗旨,形成具有特色的企业安全文化。
中海油的生产必须是绿色的生产,安全生产必须是百分之百的,不但不能污染海洋环境,还应为清洁海洋环境作出贡献。为达到这些目的,必将牺牲许多既得利益,这既是时代和社会赋予的使命,也是中海油必须利用现有的科学文化技术去努力实现的目标,更是中海油向广大股民和社会公众所作的最好的安全承诺。所以,建立“绿色的、环保的海洋石油能源安全生产企业”既是奋斗的目标,也是中海油最好的安全文化形象标志。
中海油树立“以人为本的绿色能源生产企业”的良好社会形象的总体规划:在内部通过宣传、教育,通过自上而下的宣贯活动,通过在日常生产经营活动中不断贯彻执行这一宗旨,并运用现代科学技术和管理手段确保“以人为本的绿色能源生产企业”名符其实;在外部通过宣传和举办各种活动,向社会展示企业,使社会了解中海油,使“以人为本的绿色能源安全生产企业”的光辉形象深入人心。
4.2坚持不懈地大力推广“本质安全化”建设
事故的主要原因是人的不安全行为和物的不安全状态。“人的本质安全化”和“物的本质安全化”是预防事故的最有效的手段。人是生产、生活中的动力之源,提高全员的安全意识和责任心,使全员养成“我要安全”的良好习惯,杜绝违章违纪行为,发现隐患及时整改,真正做到防患于未然,达到人的本质安全化,是追求事故为零,保障人民生命财产的必由之路。因此,企业在进行安全文明生产的同时,必须不断地对员工进行安全知识的宣传和教育(如采取宣传栏、专题安全知识讲座和竞赛、制作安全教育片、安全运动会、建立企业安全互联网等各种不同形式的安全文化活动),提高他们的安全科技文化水平和安全意识,在企业内形成“我要安全”、“我会安全”的良好文化氛围,使新老职工都能自觉地遵章守纪、规范自己的行为,使其既能有效保护自己和他人的安全与健康,又能确保各类生产活动安全、顺利地进行。
在中海石油企业的钻井、生产平台上,各类仪器、仪表和报警系统既是员工视觉等感觉器官的延伸,也是必不可少的监视耳目。所以,确保仪器、设备、流程的可靠性,确保它们的本质安全化,是提高事故预防能力、保证安全生产的根本出路。学习核能工业在从核电厂选址、设计制造到调试运行、维护和人员培训等各种相关生产活动中都始终贯穿安全思想的先进经验,利用现有的经济实力和技术手段,从设计、建造时就严把质量关、安全关,使设备和流程从本质上实现安全,不达标决不投产,通过不断地宣贯和培训,在员工中牢固树立“将事故隐患从根源消除”的“本质安全化”思想。
4.3完善用人机制,营造激励员工好学上进的安全文化氛围
随着海洋石油事业的发展,上千万吨的客观需要,使平台一线人员的新老交替较为频繁,由于缺乏人才和熟练工人,常把一些安全文化素质较低的人员推上了工作岗位。如何对外来人员和新来人员进行系统的、全面的、有针对性的安全技能培训,使其尽快熟悉本职工作、掌握应知应会知识、达到岗位要求,已成为现阶段企业急需解决的难题。要解决这个问题必须遵循以下原则:
①先保证基层一线的技术力量,只有生产一线平安,机关人员才能坐稳;
②注意后备人员的培养,宁缺毋滥,不赶鸭子上架;
③先制定培训计划、要求和目标,编制培训教材,通过师带徒,传、帮、带和自学等培训方法,使培训人员尽快掌握应知应会的专业知识,并待实习期满达标后方可竞争上岗;
④营造开放、宽松、自由、鼓励创造力、尊重人才的良好环境,完善用人机制,激励员工好学上进;
⑤注意岗位知识的积累,通过在岗培训,巩固和提高应知应会知识。一方面既要为企业摸索出一条创造和培养人才的新路子,使各路千里马为海洋石油事业贡献自己的力量;另一方面,要为留住人才创造条件,消除因人员频繁流动对企业造成的各种负面影响,使企业在相对稳定中持续向前发展。
4.4完善法规制度,营造和谐的安全生产环境
以现在推行的HSE管理体系为龙头,执行各项法律、法规,建立、健全安全生产责任制,依法实施奖惩,激励员工规范自律行为。持续改进HSE管理体系,完善各项安全标准,让管理体系和技术标准指导企业的日常安全管理工作。教育员工不存侥幸和麻痹心理,牢记“平时多流一滴汗,难时少流一滴血”的警言,不断提高安全生产技能和自我保护意识,依法保障自己的行为安全,不断营造和谐的安全生产环境和安全文化氛围。
4.5齐心协力共建企业安全文化
安全文化建设是一个深层次的人因工程的开发,是安全管理的升华,是理性的、系统安全管理的基础。它要求企业各主管部门都采用系统的观点和安全文化的理念,用安全文化的方式,塑造出符合时代要求的、具有企业特色的安全文化。只有各级领导干部都带头学习和掌握“企业安全文化”理论,提高安全科技文化水平,明确安全文化建设的战略意义和现实意义,切实加强领导,将职工凝聚在企业自我发展、自我完善的文化氛围中,全力推进“企业安全文化”建设,才能推动中海油向更高层次、更加文明的方向发展。
5结束语
安全文化建设不是一蹴而就的事情,要不断提高,持续创新和丰富。只有得到领导层的高度重视,制订周密的规划,形成强有效的运行机制,着力创建自己的安全文化活动形式,并持续改进,才能形成与时俱进,不断丰富和繁荣的中海油企业安全文化。笔者相信,企业安全文化必将为中海油的持续、稳定发展保驾护航,也必将为中海油的明天创造更多的经济效益和誉载全球的安全文化形象。
参考文献
1徐德蜀.企业安全文化建设概论.成都:四川科学技术出版社,1997
1.1安全审计方法
过程安全审计方法采取要素分组评分的方法,即,不同审计小组通过查阅文件记录,交流和访谈、现场观察和检测等方式考察企业现有的管理运行状况,对照本组负责的审计要素检查表进行评分。受审计企业最终得分经审计组集体讨论汇总后得出。
1.2安全审计流程
企业过程安全审计的实施,一般是由独立性的专业审计组进行。
2应用实例分析
本文将编制的审计检查表应用于某化工企业,对该化工企业的领导层、相关职能部门、生产部门以及承包商(承运商)的过程管理进行安全审计。审计得分标准分为3个层面:
①没有管理,扣除该项目的全部赋分,得分为0;
②仅停留在文件上,没有对员工培训,或大部分未执行,扣除该项目的全部赋分;
③有文件化制度,部分未执行,或执行效果不明显,审计员视情况扣除50%至全部赋分。经过现场审计和审计组内部讨论沟通后,该化工企业本次审计实际得分为1419,根据公式2计算该化工企业过程安全审计得分为788分,其过程安全管理处于良好水平。目前该化工企业在能力培训与意识、承包商和供应商、设备与设施、作业安全、安保、交通运输、事故事件处理与统计分析等要素过程安全管理方面还有较大的提升改进空间。因此,该化工企业今后应在过程安全管理中加强上述要素的管理,特别是承包商和供应商、设备与设施、作业安全等要素的管理应采取有针对性的措施,改变现有的管理状况,实现过程安全管理绩效的提升。
3结语
1.1主观因素
(1)从使用网络的人来看,网络使用者的安全防范意识不尽相同,有的人非常重视网络安全,有的人甚至不知道什么是网络安全,网络安全意识薄弱。
(2)从黑客的角度来分析,黑客对于网络安全的威胁是目前最大的。黑客通常是利用技术将带有病毒的游戏、网页、多媒体等放入软件终端,电脑使用者不留意就会点开这些资源,黑客就会监控电脑的一切活动,会偷取计算机上的用户名、账户、密码等个人隐私数据,或者占用系统资源,严重的情况下会导致系统崩溃,企业相关的资料都会消失,损害企业的经济、财产,并为网络安全带来威胁。
1.2客观因素
石油企业应用网络办公都已经形成了企业独立的网络系统,但还是受到网络安全的威胁,主要是由于影响石油企业网络安全的自然原因主要是操作系统和软件的漏洞。随着科技的发展,网络操作系统和应用软件总在不断地更新,而且其更新比较慢,这就为黑客的入侵提供了缝隙。
2、石油企业网络安全的防护技术措施
随着石油企业网络安全问题的频繁出现,网络使用者必须重视网络安全问题,必须对网络安全采取有效的防护技术和措施,为企业提供安全的网络管理平台。
2.1石油企业建立健全企业规章制度
为了确保企业网络安全,必须建立完善的安全系统,了解网络安全的重要性。对于网络安全事故的发生,应采取处罚制度,并进行记录,一旦出现重大网络安全事故,可以做到有证据可依。
2.2石油企业应对网络数据采取加密技术
石油企业内一些重要的文件必须对其进行加密后再放到外部网络中,并结合防火墙技术,才能进一步提高石油企业网络信息系统内部数据的保密性和安全性,防止数据被非法人员偷盗,损害企业的利益。
2.3石油企业应加强员工网络安全知识的培训
员工作为石油企业网络的使用者,梳理员工网络安全意识变得尤为重要,只有让员工认识到网络安全的危害和意义才能从根本上防止主观因素网络安全问题的发生。石油企业应加强对员工网络安全信息的培训工作,提高员工的网络安全意识,保证企业网络安全的使用。
2.4石油企业应加强系统平台与漏洞的处理
网络管理员可以利用系统漏洞的扫描技术来提前获取网络应用过程中的漏洞,并通过漏洞处理技术快速恢复系统漏洞。
3、关于石油企业网络安全中其它防护技术
在石油企业网络安全防护技术方案中,还应该应用以下几个防护技术:访问控制技术、入侵行为检测技术、异常流量分析与处理技术、终端安全防护与管理技术、身份认证与管理技术。
3.1访问控制技术
企业可以根据企业本身的安全需求、安全级别的不同,在网络的交界处和内部划分出不同的区域,在这些区域中安装防火墙设备进行访问控制。通过防火墙设备对数据包进行过滤、对于有问题的数据进行分析,防止外部未被授权的用户入侵企业网络。单向数据输出的安全区域,防火墙设备应对外区域的访问请求进行阻止;对于需要进行双向数据交互的区域,必须按照制源地址、目的地址、服务、协议、端口内容进行精确的匹配,避免网络安全问题的出现。
3.2入侵行为检测技术
入侵检测就是在石油企业网络的关键位置安装检测软件,对入侵行为进行检测与分析。入侵检测技术可以对整个企业网络进行检测,对产生警告的信息进行记录并处理。
3.3异常流量分析与处理技术
为了保障供应服务的稳定性,避免拒绝服务攻击行为导致业务系统可用性的丧失,需要通过深度包检测。当发现网络流量有问题时,就会将恶意数据删除,保留原有的正常数据,这样就保证了有权限的用户进行正常访问。
3.4终端安全防护与管理技术
企业整体信息安全水平取决于安全防护最薄弱的环节。在石油企业中,企业比较重视网络及应用系统的保护,忽视了对终端计算机的全面防护与管理措施的保护。这些就需要企业利用安全防护管理技术在内部终端计算机进行统一安全防护和安全管理,保证信息的安全。
4、结语
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
对于档案安全管理,还没有发现完整的定义或者描述。借助危机管理的定义,笔者认为理解档案安全管理是企业或者企业档案管理机构为避免或者减轻安全威胁给企业档案带来损害、损坏甚至毁灭,而有计划、有组织地学习、制定和实施一系列安全管理措施和策略。认识到企业档案安全管理在企业档案管理工作中的重要性是进一步开展企业档案安全管理工作的先决条件,作为企业档案工作者必须认识到这一点,其他管理人员对此也必须要有相当的理解和认识。
二、企业如何开展档案安全管理工作
(一)树立档案安全管理意识
档案安全意识是做好档案安全管理、确保档案安全的前提。不论是档案管理人员,还是企业领导、员工,都必须具有档案安全意识,才能确保档案安全。档案安全意识淡泊是个普遍存在的问题。为保证企业利益和企业档案安全,企业需要树立档案安全管理理念和安全管理意识。当前树立档案管理安全意识显得非常紧迫和重要,通过安全管理教育和培训可以提高档案管理工作人员和相关人员的档案安全管理意识。企业可以充分利用企业电视、内部报刊、门户网站、企业通告通知、企业会议等多种途径,开展档案安全管理敦育,树立和增强档案安全管理意识。在开展安全管理意识教育和培训的同时,还可以通过积极开展规范化、制度化的实战演练,提高安全管理技能和安全管理效率。
(二)加强档案安全日常管理
首先必须建立一套完整的档案安全日常管理制度,包括档案安全管理责任制、库房保管制度、库房温湿度管理制度、档案出入库制度、档案利用制度、档案保密制度、值班制度等,并严格按制度执行。其次,建立完善的档案安全管理工作台帐,包括保管情况检查记录、环境安全检查记录、防火安全检查记录、库内外温湿度记录、档案移交登记、档案出入库登记、档案借阅登记、值班记录等原始台帐,并对各种原始台帐进行统计分析,总结规律,再用于指导档案安全管理工作,提高档案安全管理工作水平。第三,进行档案安全的全过程管理,将档案安全管理从保管环节,延伸到形成、积累、收集、整理、鉴定、利用等环节,将档案安全管理落实到档案管理工作的全过程。第四,加强档案库房日常管理,定时开关设备、电源、门窗,定期检查电源线路、设备、消防器材、防虫药品,做好各项检查记录,保持库内外环境清洁,及时消除档案安全隐患。
(三)建立健全安全管理制度
安全管理制度的建立和完善是企业档案安全管理的制度保证。为保证企业档案安全管理工作的顺利进行,制定相应的企业档案安全管理制定非常必要。企业工作人员尤其是档案管理工作人员应该熟知安全管理制度,并在安全管理制度的指导下有序开展安全管理工作。
(四)建立和健全安全管理预案
建立和完善企业档案安全管理制度后,还应该建立企业安全管理预案。安全管理预案是安全管理制度的延伸、细化和具体化。企业档案工作应该根据可能出现的不同类型的安全威胁制订相应的安全管理计划和应对预案,从而形成档案工作安全管理计划和应对预案,并和企业其他的安全管理预案共同形成企业安全管理预案。档案安全管理预案首先应该明确怎样防止安全威胁爆发;其次应该明确安全威胁爆发后,如何立即做出针对性的反应等等。在安全管理计划和安全应对预案中需要重点体现安全信息的传播途径并确保它正常运行,同时要重点体现安全的解决办法。
1.1研究思路
为了克服企业级移动应用面临的各类安全问题,降低安全威胁,本文认为移动应用安全体系应从硬件、软件结构入手,结合移动互联网特征,设计企业级移动应用安全技术架构及安全规范、制定一系列安全防护策略来保证移动应用的安全可靠。
1.2企业级移动应用安全体系
在充分分析企业级移动应用信息化的建设现状和安全需求基础上,根据国家等级保护要求,从物理安全,网络安全,系统安全,应用安全以及安全监管五个方面构建企业级移动应用安全防护体系。1、物理安全:涉及设备和环境安全,主要通过移动终端本身硬件标识信息、接口监测、外接插件设备来保障移动终端设备安全。2、网络安全:涉及到网络接入安全、数据传输安全等,主要从硬件、软件两方面保证,如防火墙保护策略、认证策略、数据加密等。3、系统安全:主要包括系统、数据存储、操作等,通过建立安全加固,对业务数据分级存储、重要数据安全隔离、数据传输加密、完整性和一致性校验,保障系统安全。4、应用安全:通过多种手段保障移动应用安全,可从应用准入、应用授权、应用监控审核、应用数据管控、操作行为安全审计等方面全面保障应用安全。5、安全监管:从制度管理、软件辅助管理对移动终端进行安全管理。制定相应的移动终端、移动应用管理规范。
二、企业级移动应用信息安全实现
2.1物理安全
按照安全体系要求,可从终端管理、一致性校验、接口监测、存储卡加密等领域实现物理安全。1、设备启动。通过设置启动密码、动态口令等控制设备启动验证。2、校验一致性。终端启动后,后台根据设备回传的参数进行一致性校验,对操作系统内核、硬件配置、关键应用和配置策略信息等进行验证,确保启动过程中各应用的完备性和一致性。3、设备硬件监测。对移动设备硬件接口管理,包括网络(含WIFI/蓝牙等)启停,USB启停、以及摄像头屏幕输出等启停等,从而有效防止移动终端数据泄漏。4、存储卡加密。根据存储卡与移动设备的关联关系,存储卡上的数据就不能被其它移动设备读取,从而有效地保护移动终端上的数据。
2.2网络安全
在网络安全方面,可从硬件、软件两方面保障网络接入安全、数据传输安全。1、接入安全。建立专用的VPN接入通道连接到特定服务端。建立DMZ反向保护,通过反向防止移动设备直接和web服务器直接连接带来的安全隐患。2、设置防火墙及路由器防护策略,通过制定路由器、防火墙防护策略,实现内外网络安全。安全策略确保网络访问、服务访问、用户认证、输入输出、磁盘和数据加密、病毒防护措施等。3、移动设备安全认证和接入。建立终端准入机制,通过后台移动设备管理功能,记录所有设备详细信息,如唯一编码,类型及使用者等信息,在登录时实现按特定信息核对验证设备合法性。4、数据传输安全。企业级移动应用一般需要和后台业务传输数据,为了避免恶意攻击、窃取、篡改,需要在数据传输中引入数据安全管理,如数字证书加密等。
2.3系统安全
为保障移动应用正常运行,主要通过建立安全加固、业务数据分类存储管理、数据安全隔离、数据传输加密解密、完整性检查以及一致性检查,保障系统安全。1、安全加固。按等级保护要求,制定严格的安全加固措施,保障系统安全;2、建立移动数据库安全管控,支持离在线数据库访问、支持数据的备份和恢复,保证用户数据的安全可靠;3、开展安全域隔离,通过物理和逻辑隔离策略,全面对系统资源和各类数据进行分区分域管理。4、建立移动设备在线备份和恢复策略。实现自动备份和恢复数据、配置文件与配置策略。可以设置规定备份目录或文件、备份频率、周期,通过统一管理界面实现选择性恢复或全恢复,可恢复移动终端上丢失或损坏数据。5、升级包推送。实现对移动设备系统版本管理,禁止使用者擅自修改系统,后台统一开展升级包推送,保障操作系统安全。
2.4应用安全
在应用安全方面,主要通过应用密码、登录、非授权操作管理、数据库加密、应用安全审计等措施保障移动应用安全。1、密码保护,对移动应用建立密码保护策略,如密码长度、复杂度限制、密码认证、错误锁定等机制,防止非法人员登录终端应用,造成业务数据外泄。2、单点登录,通过建立统一单点登录平台,实现统一用户身份管理、统一用户身份验证、统一用户权限管理。3、权限控制,对企业级移动应用建立细致的明确的功能权限控制,不同职责的终端用户只能使用指定的部分功能,有效控制关键数据外泄。4、移动数据库加密。移动数据库库访问按系统安全要求提供安全凭证,选择敏感信息加密,辅以校验保证所存储数据的保密性和完整性,防止数据被未经授权访问和修改。5、非法操作管理。建立应用配置授权管理策略,控制未经取得授权的非法移动应用进行控制,可以禁止非法移动应用安装、禁止非法移动应用使用,可以远程对非法移动应用进行卸载。6、移动应用安全审计。开展实时统计核查应用安装、使用、运行、操作记录等,有效监测各类操作行为。
2.5安全管理
按照移动信息安全体系,安全管理从制度规范管理、软件辅助管理、设备管控等领域实现。1、建立统一应用管理规范和管理制度,建立移动终端、移动应用管理规范,如档案管理、行为规范、作业规范等。2、操作记录日志。增加终端操作的记录日志机制,实现日志追踪引入问题的原因,采用应对措施避免同类问题反复出现。3、实时管控机制。移动终端实时回传当前位置的经纬度,可实时监控移动设备实际地理位置,如若遇到平板丢失,则启动数据爆炸功能,保证业务数据不外泄。
三、结论
