引论:我们为您整理了13篇银行安全总结范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
作为一名班长,是自分队长以下全队人的榜样,我时刻提醒自己要加强各方面的业务知识,以便于提高自身的综合素质。要正确处理苦与乐,得与失、个人利益和集体利益的关系,坚持甘于奉献、诚实敬业,经过这段时间的学习和锻炼,在工作上取得了一定的进步,细心学习他人长处,改掉自己不足,并虚心向领导、同事请教。对自身严格要求,始终把耐得平淡、舍得付出、默默无闻作为自己的准则,写作参考始终把作风建设的重点放在严谨、细致、扎实、求实脚踏实地埋头苦干上。在工作中,以制度、纪律规范自己的一切言行,严格遵守公司各项规章制度,尊重领导,团结同志,谦虚谨慎,主动接受来自各方面的意见,不断改进工作。发扬吃苦耐劳精神,面对督查事务杂、任务重的工作性质,不怕吃苦,主动找事干,做到“眼勤、嘴勤、手勤、腿勤”,积极适应各种艰苦环境,在繁重的工作中磨练意志,增长才干。发扬孜孜不倦的进取精神。加强学习,勇于实践,博览群书,在向书本学习的同时注意收集各类信息,广泛吸取各种“营养”;同时,讲究学习方法,端正学习态度,提高学习效率,努力培养自己具有扎实的理论功底、辩证的思维方法、正确的思想观点、踏实的工作作风。力求把工作做得更好。
二、关心队员的生活、确保队伍的稳定。
做为班长,我有责任配合分长抓好队伍的稳定工作。针对队员的年龄普遍偏小,在家中又是独生子女,刚参加保安工作,没有任何的工作经验,随同分队长对每一名新入队的队员找其谈话,了解该队员的基本情况,有针对性的采取工作方法因人而异,并且陪他们吃第一次饭,使他们尽快融入到保安队伍中来,主动帮主他们解决一些生活中的困难,使他们充分感受到保安大家庭的温暖,针对现在保安流动性大的特点,分队长和我积极联系老乡,亲属、朋友招收保安员,通过努力增加了队员的人数,确保了队伍的稳定,提高了队伍的凝聚力和战斗力。
三心得体会、严格要求,确保重大活动和节日的安全
在工作期间,我对每次保卫工作都十分得重视,在分队长的带领下,充分发挥带头作用,积极响应,号召大家发挥团队合作精神,完成了各个时期的重大活动和节日的安全工作。在活动中,配合队长组织全队进行了宣传动员工作,建立活动宣传栏,张贴活动标语,让让队员都参与进来,充分调动了大家工作的积极性,把宣传工作深入到每名队员,同时还写了决心书。让大家体会并认识到保卫工作的重要性,同时提醒自己遵纪守法、爱岗敬业、防止安全生产事故的发生。利于重大活动及节日的安全开展。
篇2
二、健全工作机构,理顺工作关系是安全评估工作顺利完成的保障。
为确保安全评估各项准备工作的顺利进行,支行成立了以行长为组长、分管领导为副组长、专职保卫干部和部门负责人为成员的安全评估领导组指导全行的安全评估工作,明确各自的工作职责。同时成立了以分管领导为组长、会计主管和专职保卫干部为副组长的安全评估工作小组,具体负责落实安全评估的各项工作事项。健全的工作机构,为安全评估准备工作提供了组织上的保障。
篇3
二、健全工作机构,理顺工作关系是安全评估工作顺利完成的保障。
为确保安全评估各项准备工作的顺利进行,支行成立了以行长为组长、分管领导为副组长、专职保卫干部和部门负责人为成员的安全评估领导组指导全行的安全评估工作,明确各自的工作职责。同时成立了以分管领导为组长、会计主管和专职保卫干部为副组长的安全评估工作小组,具体负责落实安全评估的各项工作事项。健全的工作机构,为安全评估准备工作提供了组织上的保障。
篇4
2警队的业余文化活动方面.
篇5
监控设施的陈旧、老化,多年来一直困扰着我行,今年根据*行的安排,我行顺利地完成了对监控系统的改造,使监控系统符合了安全防范的要求,增强了技术防范能力。
同时对*楼的边门进行了维修改造,我行*楼的侧边门管理一直不是很好,进出人员比较多,为了更好地加强边门的安全检查防范,营业部专门召开会议研究了此事,要求综合办公室对边门进行改造,通过改造规范了侧边门的进出人员,确保了外来人员无法通过侧边门进入我行主楼,确保了大楼的安全。
二、加强职工的安全防范教育,增强员工防范意识
坚持抓职工的安全防范教育,不断的完善规章制度,强化制度的落实,是预防案件消灭隐患,确保银行安全的重要因素之一,使我行的内控外防机制更趋完善,提高了全员防范意识。任何管理工作首先是人的工作,人的工作的核心是思想教育,保卫工作更不能例外。当前保卫工作面临的形势愈加严峻,做好职工的防范教育已成为保卫工作的重要课题。防范教育搞好了员工的防范意思就能得到提高,就可以在日常安全防范工作中筑起一道牢固的屏障。所以我们始终把防范教育工作摆在安全保卫工作的重要位置。
领导抓、层层抓,确定从领导抓起,一级抓一级,形成层层抓防范教育的工作格局。一是增强领导自身的防范意识,我行领导坚持以身作则,牢固树立“安全第一”的防范思想,把安全防范教育工作纳入重要议事日程,利用各种场合开展防范教育工作,大会小会讲安全,定期召开安全工作会议,研究布置安全防范工作,定期组织一线员工学习案件简报及案件通报的同时,通过具体案例剖析,用活生生血的教训教育广大员工、并对照自查。每逢节假日都亲自检查节日安全防范工作,按时到网点进行安全检查,对安全检查存在的问题,责成办公室立即处理,做到了快报快办。
上半年我们组织员工观看消防知识教育光盘,印发了火灾逃生自救的知识材料,针对每年搞消防演练实际参与的人员少,不能全员参加的情况,保卫人员深入到各部室详细讲解消防器材的使用方法及发生火灾后的处理方法,使员工得到教育和培训,增强了员工的安全防范意识。
三、规范安全检查工作,完善规章制度
对安全保卫工作,安全检查是关健,只有加强检查的力度,才能发现问题,只有发现了问题才能有针对性地加以解决。我行严格执行上级行的要求去做,坚持网点每日检查,领导保卫部门每月检查,对检查中存在的问题积极督促整改、跟踪监督,把隐患消灭在萌芽中。为规范我们的安全检查制度,我行加强了对营业网点侧门的验“证”管理,实行“三证齐全,领导和保卫人员陪同”的检查制度,使安全检查更加规范化。
我行领导重视安全保卫和案件防范工作,真正做到了领导重视责任到人,年初我行就组织各部(室)、各专业签订了《安全防范责任书》,制定了《***安全保卫工作制度》。同时还结合“第二期扫雷工程”和内控检查,对储蓄网点进行明查暗访,对要害岗位人员做到经常定期轮换,对现实表现实行考核建立档案,并对网点门钥匙及权限卡进行严格管理和检查。我行加强值班工作,常抓不懈,每逢节假日及各项测试时间,领导亲自布置,亲自组织测试,带头值班,同时还要求保卫人员做好安全保障工作。
四、存在问题
(一)、少数员工防范意识差,有麻痹思想,执行制度和规定不够严格;
(二)、上报的材料有时不够及时;
(三)、由于经费的关系,不能保证每台微机配置一个灭火器.
篇6
委托人:李静,北京市百度律师事务所律师。
被上诉人(原审原告):中国银行鹤岗支行,住所地:黑龙江省鹤岗市工农区解放路66号。
负责人:陈传海,该行行长。
委托人:何春风,佳木斯市君德律师事务所律师。
上诉人黑龙江省农垦总局宝泉岭分局为与被上诉人中国银行鹤岗支行借款担保合同纠纷一案,不服黑龙江省高级人民法院(1998)黑经初字第28号民事判决,向本院提起上诉,本院依法组成合议庭进行了审理,现已审理终结。
查明:1989年8月30日,中国银行鹤岗支行(以下简称鹤岗中行)与华宝禽绒有限公司签订抵押借款合同,总金额为400万元,期限16个月,月利率11.34‰,华宝禽绒有限公司以其价值7890417.32元设备作抵押。此后鹤岗中行按合同约定陆续发放贷款。合同期满时,华宝禽绒有限公司未能全部偿还借款本息。1991年4月15日,经双方协商,对1989年8月30日的借款合同予以展期并重新签订了借款合同,期限12个月,月利率8.28‰,黑龙江省农垦总局宝泉岭分局(以下简称宝泉岭分局)计划财务处为该合同提供了担保。合同到期后华宝禽绒有限公司仍欠鹤岗中行借款本金370万元。1995年12月22日,鹤岗中行与华宝禽绒有限公司就此笔370万元欠款又重新签订了借款合同,期限9个月,月利率12.06‰,华宝禽绒有限公司以其价值165.5万元的设备作抵押,宝泉岭禽绒股份有限公司在提供担保书的同时还以价值196.7万元的3栋厂房作抵押,但以上抵押物均未依法办理登记手续。1996年11月,华宝禽绒有限公司经黑龙江省农垦中级法院裁定宣告破产,鹤岗中行参加破产分配后受偿债权为907452元。本案涉及的抵押物已由黑龙江省农垦中级法院在审理以华宝禽绒有限公司和宝泉岭禽绒股份有限公司为债务人的其他案件中调处给其他债权人。截至1998年4月1日,鹤岗中行尚有借款本金2792548元、利息2172616.71元的债权未受清偿。为此,鹤岗中行依据盖有宝泉岭分局财务处公章及负责人名章、落款日期为1995年12月22日、保证数额为400万元的不可撤销担保书,向黑龙江省高级人民法院提起诉讼,请求判令宝泉岭分局偿付所欠借款本息并承担本案诉讼费。
黑龙江省高级人民法院认为:华宝禽绒有限公司与鹤岗中行签订的借款合同合法有效。宝泉岭分局作为政企合一单位,具有经营职能,财务处系该局主管财务的职能部门,其在职权及授权范围内的活动应当由宝泉岭分局承担责任。故该局财务处出具的不可撤销担保书亦为有效保证。鹤岗中行、宝泉岭分局对宝泉岭分局曾为华宝禽绒有限公司的借款提供过保证一事均无异议,但双方对保证的日期持有异议。鉴于本案争议的保证合同事实存在,数额明确,但保证时间、期限不明确。按照《最高人民法院关于审理经济合同纠纷案件有关保证若干问题的意见》第12条“债权人与被保证人未经保证人同意,变更主合同履行期限的……如保证合同中未约定保证责任期限,保证人仍在被保证人原承担责任的期限内承担保证责任。”和第29条“保证合同未约定保证责任期限的,主债务的诉讼时效中断,保证债务的诉讼时效亦中断”的规定,在债权人鹤岗中行从未间断向主债务人华宝禽绒有限公司主张权利情况下,宝泉岭分局的保证责任不能免除。宝泉岭分局辩称鹤岗中行于1995年与华宝禽绒有限公司、宝泉岭禽绒股份有限公司签订借款合同和抵押、保证合同后,其担保义务自然终止的理由,因鹤岗中行并未有放弃要求宝泉岭分局承担保证责任的意思表示,宝泉岭分局也未提出相应的证据,故宝泉岭分局称其担保义务自然终止的理由不能成立。宝泉岭分局作为连带责任的保证人,在被保证人华宝禽绒有限公司破产后,债权人鹤岗中行的债权在未能全部受偿的情况下,应当就债权人未能受偿的部分承担保证责任。综上,宝泉岭分局主张的不承担保证责任的理由不能成立,该院不予支持。鹤岗中行依据保证合同向保证人宝泉岭分局主张权利的请求符合法律规定,应予支持。依照《中华人民共和国经济合同法》第十五条和《最高人民法院关于贯彻执行〈中华人民共和国企业破产法(试行)〉若干问题的意见》第61条第1项之规定,判决如下:宝泉岭分局于本判决生效后十日内偿还鹤岗中行的贷款本金2792548元,利息2172616.71元(计算至1998年4月1日,至本判决生效后十日内的利息按中国人民银行同期贷款利率计算)。案件受理费35010元,由宝泉岭分局负担。
宝泉岭分局不服黑龙江省高级人民法院的上述民事判决,向本院提起上诉称:1991年4月15日,鹤岗中行与华宝禽绒有限公司签订一份借款合同,金额为400万元,期限12个月,月利率为8.28‰。宝泉岭分局的下属职能部门计划财务处为此提供了担保。合同到期后,华宝禽绒有限公司仍欠鹤岗中行借款本金370万元。1995年12月22日,鹤岗中行与华宝禽绒有限公司又签订了一份370万元的借款合同,用以还清原欠款370万元。对此借款合同,华宝禽绒有限公司以其价值165.5万元的设备抵押;宝泉岭禽绒股份有限公司提供担保,并签订了担保合同,同时还以价值196.7万元的三栋厂房作抵押。至此,宝泉岭分局于1991年出具的担保合同因原借款合同履行完毕而自动失效。原审判决宝泉岭分局继续承担担保责任,属认定事实不清,恳请查明案件事实,依法作出正确判决。鹤岗中行未作书面答辩,在二审审理中口头辩称:原审法院认定事实清楚,宝泉岭分局出具的担保有效,其应依法承担担保责任,请求驳回上诉,维持原判。
本院还查明:鹤岗中行曾于1996年11月22日向黑龙江省农垦中级法院发出中银鹤(1996)第33号“关于我们对华宝禽绒有限公司优先受偿权的报告”称:“我行于1995年12月22日对该公司(华宝禽绒有限公司)重新办理了贷款手续,同时办理了抵押和担保手续,以该公司固定资产165.5元及宝泉岭禽绒股份有限公司厂房196.7万元做为贷款抵押物,不足部门由其担保单位宝泉岭禽绒股份有限公司负责偿付”。
本院认为:华宝禽绒有限公司曾于1991年4月15日向鹤岗中行借款400万元,宝泉岭分局为该400万元借款出具了担保书。至1995年12月22日,华宝禽绒有限公司仍欠鹤岗中行370万元,为此,鹤岗中行与华宝禽绒有限公司就此笔借款重新签订了370万元的借款合同,华宝禽绒有限公司以其自有财产设置了抵押,宝泉岭禽绒有限公司在为该笔借款提供担保的同时也设置了抵押。据此,宝泉岭分局对1991年4月15日华宝禽绒有限公司借款400万的担保已变更为华宝禽绒有限公司的抵押和宝泉岭禽绒股份有限公司提供的担保及抵押。鹤岗中行向宝泉岭分局主张权利的担保书的落款日期为1995年12月22日,而宝泉岭分局出示的担保书则没有落款日期,该两份担保书的担保金额均为400万元,而鹤岗中行又不肯出示宝泉岭分局1991年4月15日向其出具的担保书。鹤岗中行出示的担保书除落款日期与1995年12月22日借款合同的落款日期相吻合外,担保金额与1991年4月15日借款合同的借款金额相符而与本案借款合同不符,且其载明宝泉岭分局的帐号是该局已不再使用的帐号。鹤岗中行于1996年11月22日给黑龙江省农垦中级法院的《关于我们对华宝禽绒有限公司优先受偿权的报告》也未提及宝泉岭分局为该370万元贷款提供担保的问题。鹤岗中行主张宝泉岭分局为华宝禽绒有限公司的该370万元借款提供担保的依据不足。宝泉岭分局关于其为1991年4月15日400万元贷款的担保责任应予解除,不应再对1995年的370万元贷款承担担保责任的上诉理由成立,本院予以支持。原审法院认定事实不清,判决由宝泉岭分局承担还款责任不当,应予以撤销。本院根据《中华人民共和国民事诉讼法》第一百五十三条第一款第(二)、(三)项和第一百五十八条之规定,判决如下:
一、撤销黑龙江省高级人民法院(1998)黑经初字第28号民事判决。
篇7
1 基层银行的信息系统遇到的主要安全威胁
由于银行的信息系统建设一直在不断地向纵深处发展,银行已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势,从一方面来讲是适应银行业务不断发展的要求,但是从另一方面来讲,却使银行信息系统的安全风险也集中起来,增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险,同时还包括灾难性的风险等五种安全隐患。
2 基层银行的信息系统安全规划设计与实施的主要原则和等级划分
2.1 基层银行的信息系统安全规划设计与实施的主要原则
银行的信息系统安全是一个涉及到规划与管理以及技术等很多因素的具有系统性的工程,其属于一种不断持续发展和动态发展的进程。对于基层银行的信息系统安全规划设计与实施来说。技术是实现安全保障的主体性因素,而管理是具备安全保障的灵魂性因素。在安全规划与设计中,只有把具有科学性与合理性的管理贯彻落实在信息安全的维护之中,才能够实现网络安全在稳定性与长期性方面的保证。而银行信息系统安全的具体原则主要包括了明确责任与安全保护并举,依照标准和自行保护同时进行,同步建设与动态调整相互促进,指导监督和重点保护齐头并进四条原则。
2.2 关于基层银行的信息系统安全等级的介绍
银行信息系统的安全等级具体指的是对于国家级别的秘密信息和法人以及替他组织和公民专有的信息与公开的信息,同时还包括存储和传输以及处理此类信息涉及到的信息系统的等级,对这些等级实施安全保护,对信息系统里面使用到的信息安全类产品进行一定安全等级的管理,对于信息系统里面出现的信息安全类事件需要分等级地进行回应和处置。依据信息系统和信息对于国家的安全和经济建设以及社会生活所起作用的重要性,在其遭到破坏以后就国家安全和社会秩序以及公共利益和公民,还包括法人以及其他各种组织在合法权益方面的危害性来讲,针对相关信息保密程度和完整程度以及实用性要求和信息系统所要达到的基本性安全保护的水准等因素,笔者总结出信息系统安全保护的五个等级:第一个等级是自主保护,第二个等级是指导保护,第三个等级是监督保护,第四个等级是强制保护,第五个等级是专控保护。
2.3 银行信息系统安全等级的评估
在对银行信息系统安全等级考量需要考虑到以下几个因素:第一个因素是安全系统的类型,也就是信息系统安全利益的主体。第二个因素是信息系统所要处理业务信息的类别。第三个因素是信息系统服务的范围,主要包括了其服务的对象与服务网络所涉及到的范围。第四个因素是信息系统业务依赖的程度,也就是手工作业可以替代信息系统进行业务处理的程度。
3 基层银行的信息系统安全设计规划和实施的主要内容
3.1 基层银行信息系统的安全体系和特点
基层银行信息的安全体系主要包含安全管理的体系与安全技术的体系,这两者对于银行信息系统安全维护来说,是两个不能分割的部分,通常情况下的技术与管理需要相互之间提供一定的支撑,以此来确保两种功能的有效实现。对安全管理的体系进行构建,其主要是出于信息系统里面各种角色的管理。以一种管理体系文档化的形式,监督和控制各种角色的种种活动,主要是在系统通常运行的维护工作过程中,主要涉及到各种政策和制度以及规范和流程,同时还包括日志方面的监督与控制。这种安全管理体系的组成部分通常分为五个部分,主要是安全管理的组织与人员的安全管理,系统建设的安全管理,系统运维的安全管理以及安全审计的管理。就安全技术的体系来讲,其主要功能是对信息系统提供技术安全类的机制设施,其实现形式是信息系统里面部署相应的软件与硬件,同时对其以正确的形式配置系统的安全功能,以此来实现。安全技术的体系组成部分也是五个部分,主要包括基础设施的安全和网络安全以及主机安全和应用安全,同时还有数据的安全。
3.2 基层银行的信息系统安全建设的方法论
依据国家标准的ISO17799/ISO27001中的信息安全维护的管理标准建立起信息安全的管理体系,其具体内容主要包括以下几个方面:
(1)计划,也就是建立ISMS,对于ISMS的相关政策和控制的措施以及过程与流程实施和操作等。
(2)执行,其主要是指实施和执行ISMS,对ISMS政策与控制措施以及过程和流程的实施和操作等。
(3)查核,其主要是指监督和审查ISMS,依照ISMS政策和目标及其实际的经验,用来评鉴和测量其过程的绩效,同时把评鉴与测量的结果回馈给相应的管理层,让其审查。
(4)行动,其主要指的是维持和改进ISMS,依照内部的ISMS稽核和管理层的审查以及其他相应信息的结果采取对应的校正和预防性措施,以便实现信息安全的管理系统的持续性改进。
3.3 基层银行的信息系统安全规划实施的主要内容
基层银行的信息系统安全规划实施的主要内容包括以下几个方面:
(1)信息安全的组织建设。其主要是指在组织的内部建立起跨部门式信息安全的协调与沟通的机制,为的是实现组织内的信息安全管理,同时能够识别和外部组织有关连的一类风险,对信息安全的职责进行定义与分配,对于信息安全的工作进行定期评审。另外需要建立起专门负责信息安全的管理委员会,不断地推动信息安全的规划与实施,主要出发点是组织架构层面,此机构主要负责以下事项:对信息系统的安全保障的体系建设进行有力推动;周期性地评估与识别信息系统的安全保障体系;对商业秘密与技术秘密进行保护,对企业的利益进行维护;制定出合适的信息系统安全性发展策略,以此来提高银行抵御风险的能力。
(2)对于从业人员的安全管理。其主要是指对全体员工要加强安全防范的意识培养,加强与信息安全相关的管理知识的宣传与普及,对各项安全管理的制度要积极地落实,集合全体员工的力量促进银行信息的安全保障。人员的安全管理实现形式主要是教育和培训,期培训的方式主要分为三种,其一是涉及到管理层的安全意识的教育,此举主要是针对管理层安全意识的教育和培训,帮助其了解国家信息安全的政策,同时提高其认识,进而能够指导好安全建设的工作。其二是技术人员的安全技能类培训,此举主要是让其学习更多的安全管理的理论性与技术性知识,以便其可以有效地掌握相关安全管理的理念,掌握好安全产品的操作与维护以及对于安全事件的处理能力,对信息系统安全进行较好的维护。其三是普通员工安全意识的培养,此举针对的是广大的信息系统的用户,对其进行安全培训,以此来增强其安全防范的意识,发挥集体的力量来维护系统安全。
(3)对于系统建设的管理,其主要是指信息安全要针对信息系统的集成项目和软件开发的项目,对这些项目进行相应的安全需求的分析与规划,对于系统的开发需要对输入的数据验证和处理过程信息的完整性以及输出数据进行确认,此举是为了预防应用系统的信息丢失和错误以及未授权信息的修改与误用。其主要的保护手段是加密。
(4)对于系统运维的管理,其主要是指对信息系统日常操作与维护的管理要加强。逐步地建立与完善相关文档化操作的流程和相应规范变更的管理流程。同时实行职责分离和分离开发以及测试和生产环境,对于第三方的服务交付需要提出相应的要求,以便确保其所提供服务符合相关协议要求。在系统的规划方面,需要对未来容量与性能要求进行考虑,同时还要对相关项目建设进行验收,验收时要依照具体标准。对于数据备份的策略制定方面,需要确保相关信息的实用性与完整性。此外还包括对于移动介质使用和处置方式的控制与管理。在与外部的组织进行信息交换时要确保其安全性能。此外还包括对于系统运行的监控与管理系统的日志记录工作和审核工作等。
(5)对于安全审计的管理,其主要的措施是建立起相关信息安全事故的报告流程和确保运用有效和持久的手段进行安全事故的管理。为了对信息系统符合相关法律规定进行确定,需要定期地进行相关信息安全的检查工作和及时地发现安全隐患,同时要坚持改进。
(6)有关基础设施的安全,其主要指的是机房环境与设备实体安全的保护,以防基础设施出现非法使用和物理性破坏以及被偷盗的情况发生,并且要保障这些设备正常运行时需要的电源和温度以及湿度和防水,同时还包括防尘等。技术设施的安全规划主要包括以下内容:中心机房与及其基础的设施的环境建设需要做好,具有防雷电的完整设施,同时还包括防电磁干扰的设施完备。主机房的电源需要设置双回路的备份机制等。
(7)对于信息系统中涉及到的网络安全问题。网络安全主要是以硬件和软件等形式实现数据和语音以及图像和传真网络传输时的安全保障,对安全域与安全区间的网络通讯私密性与完整性以及可靠性要进行提高。网络安全规划的主要内容包括:建立与完善网络防火墙的安全体系建设,对安全区域实行隔离,对网络安全的策略进行强化,监控和审计网络的访问,以防内部信息出现外泄情形。其具体措施包括以下几个方面:其一是对IIPS入侵的检测系统进行建立和完善,以特定检测技术来识别各种恶意攻击行为,同时及时的对其攻击行为进行阻断,以确保网络的安全;其二是运用VLAN对网络进行划分,对于不同的网络安全区域进行隔离;其三是以物理级和网络级以及系统级等认证手段对网络用户的访问权限实时控制,以便确认出使用者权限及其身份。其四是对于网络日志进行管理的记录,以此来保证网络安全具有审计性。其五是以SSL的安全联结机制来保证外部WEB的链接安全,比如说网上银行等。
(8)基层银行安全信息系统规划中涉及到主机的安全,主机系统安全的目标是对主机平台的系统优质高效的运行进行保障,以防主机系统会遭受到外部与内部破坏或者滥用,同时避免与降低因为主机系统问题而造成的影响,主要针对的是业务系统,另外还需要对访问的控制与安全审计进行协助应用。其主要规划内容包括对主机系统的安全管理进行完善,对账户系统的管理要严格化,对系统服务要实现有效控制,对系统安全配置进行优化。
4 结束语
通过上述分析,我们可以看到现带信息技术给人们生活带便利的同时,也给基层银行信息系统的安全设计规划和实施带来了挑战,本文提出了一些相应的举措,但是还远远不够,还需要在安全实践中不断摸索,不断改进,不断适应新的银行信息风险,保障银行信息系统的安全运行。
参考文献:
[1]邱安生.商业银行信息系统安全保障体系的设计和实现[D].电子科技大学,2011.
[2]傅志勇.国家开发银行企业银行信息系统安全解决方案设计与实现[D].山东大学,2008.
[3]赵立洋.商业银行信息系统安全审计问题研究[D].天津财经大学,2009.
[4]龙延军.国家开发银行信息系统安全总体方案设计[D].四川大学,2004.
[5]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京工业大学,2012.
[6]刘嘉.基于综合判定分析的信息系统安全检验技术研究[D].北京邮电大学,2011.
篇8
对于承包海外工程项目的企业,工程所在国的业主对于安全管理特别严格,特别是铁路工程项目,都是政府项目,中国企业在海外工程项目实施过程中一旦发生安全事故,不仅仅是人身伤害或者设备损坏,严重的将影响中国企业公司形象。笔者参与的印度铁路项目为印度政府向世界银行贷款投资建设,世界银行全程监控项目执行过程,一旦发生恶性安全事故,企业被列入“黑名单”,恐怕企业在世界银行投资的项目和印度将再无立足之地,特别严重的还可能造成恶劣的政治和外交影响。这就对海外工程项目的安全管理提出更加严峻的考验。
3实施海外项目安全标准化管理的具体内容
项目部要成为安全生产的责任主体,必须形成“层层负责、事事负责、人人负责”的良好局面,实施安全生产标准化所遵循的原则是“管理制度标准化、人员配备标准化、现场管理标准化和过程控制标准化”,通过以上原则,安全责任有了牢固的基石,使安全标准化得到有力的保障。3.1管理制度标准化没有规矩不成方圆。一个项目健全、适用、科学的安全管理制度,是全体项目成员必须遵守的行为准则,其宗旨是全体项目成员的生命安全和企业的财产安全。“规范作业人员的行为安全”一直是项目安全管理工作的重中之重。唯有如此,项目安全生产工作才从职工的行为上得到控制,这也是安全标准化的具体表现。项目部根据印度铁路行业有关建设管理的法律法规文件和项目合同,结合项目实际情况,编制安全标准化管理制度。制度需明确安全管理目标,组织机构,危险源管理、安全方案、应急管理方案,明确工作要求,细化工作流程,落实人员责任,完善考核制度。编制制度至少包括:安全风险辨识、安全风险评估、重大危险源管理、应急预案和汇报制度等。3.2人员配备标准化。开展安全生产标准化工作涉及到项目全体成员、全过程和全方位,因此,只有项目主要领导高度重视,才能在人、财、物等方面给予支持和投入,以保证安全目标的实现。建立并落实全员安全生产责任制,实现对项目部和分包商的制约功能、监督功能和检查评价功能,落实“管生产必须管安全”的原则,明确各级管理人员、各部门、各个分包商、各个现场施工队的管理职责。人员配备标准化要求根据项目工作岗位配备具有相应技能、能力、知识和沟通协调能力的人员,工作人员素质能力满足岗位要求。确保项目现场成员接受过安全入场培训,培训内容至少包括:当地安全法律法规、项目的安全方针目标、现场工作环境介绍、安全防护用品的佩戴使用、工作期间可能遇到的危险源、应急计划、现场福利设施等内容。项目部组织开展安全宣传周,安全知识竞赛,安全讨论会,张贴安全海报等方式提高项目成员安全意识。3.3现场管理标准化。将安全管理制度发放给全体项目成员和全体分包商,使参与项目建设的人员熟悉制度,自觉执行制度。同时加强对管理制度执行情况的监督,将制度执行情况纳入考核范围,建立定人、定期、定岗、定责、定点的检查制度,检查方式应包括:常规检查、专项检查、突击检查等。对制度进行定期评估,使制度和实际情况紧密结合,避免“两张皮”情况发生。3.4过程控制标准化。过程控制标准化将现场标准化管理贯穿整个项目过程,将标准化对项目实施全过程管理。为提高项目成员安全风险意识和应急能力,以预案、培训、演练为主线。针对办公场所、施工场所和料库等开展防火安全隐患重点场所,组织消防应急演练和防汛应急演练;对施工现场防高空坠落应急演练;对宿舍区开展消防、食物中毒等进行专项应急演练。每月召开由业主、监理公司、承包商、分包商和其他相关方参与的安全委员会会议,会议议题至少包括:上月现场安全总体情况、上月安全检查情况、上月事故状况、审核发现问题的关闭情况,下月安全工作计划等内容。对分包商开展月度安全评级,由业主代表、监理公司代表和承包商代表组织检查组依据提前编制月度安全检查方案对项目工程现场进行安全检查,要求必须覆盖全部分包商和高风险作业,根据检查情况,对分包商进行打分和评定等级,作为月度安委会的输入资料,通过月度安全等级评分制度,可以帮助分包商提高遵守法律法规、合同中安全条款的程度。为控制医疗卫生、职业环境、传染病等职业健康风险,通过采取重点部位监测,职业危害告知、个人劳动防护等措施,切实履行职业健康的防范工作,有效保护员工身心健康。开展如下工作:1)职业健康体检:项目部应组织所有入职员工(需含外籍员工)进行入职体检。2)与项目成员签订合同时,应将项目实施中可能产生的职业危害及其后果和防护措施如实告知项目成员,并在劳动合同中明确。3)对工程作业现场尘毒、噪声、化学危害、高低温伤害、辐射伤害等应有防护措施,设置标识,配备防护用品,并留存防护用品发放记录。4)应配足、配好劳保规定的劳动防护用品。5)项目部应建立员工突出疾病或突发疫情时的应急处置机制;项目部应了解当地常见疾病及其预防措施,密切关注所在国疫情发展,采取必要预防措施,按规定做好疫情的报告。6)施工现场设置工人休息帐篷和饮用水,监控温度指数情况并及时预警提示施工人员避免发生中暑、晒伤等情况。由于语言、文化和习俗等方面的差异,项目所在国籍劳务人员安全意识淡薄,风险意识缺乏、管理难度较大,需完善项目所在国籍劳务人员的招聘、培训、考核和解聘等管理工作。聘用当地施工管理人员和安全员,这样可以提高沟通效率,及时化解矛盾,减小和规避潜在的工程安全风险。
篇9
一、活动时间
从20xx年1月开始,至20xx年春节前结束。
二、活动内容
1、深入宣传中央和省委会议精神。省财贸系统各级工会在送温暖活动中,要向广大职工宣传党的十八届五中全会和省委十三届八次全会精神,以“十三五”规划的远大目标和美好愿景,激发广大职工参与“四个全面”战略布局和“两美”浙江建设的工人阶级主人翁精神;要向广大职工群众和基层工会干部宣传中央和省委群团工作会议精神,坚定广大职工群众和工会干部跟党走、听党话和支持工会改革发展自觉性;要向困难职工群众宣传中央和省委扶贫开发会议精神,增强他们在党和政府的帮助下摆脱贫困的信心。
2、多途径开展走访慰问,切实做好困难职工的生活帮扶。省财贸系统各级工会要深入企业和困难职家庭,实地了解困难职工生活情况和困难企业的需求。要对因低收入、患重症大病、子女上学、遭受自然灾害或突发事件影响致困的职工家庭,采取多种措施帮助解决实际问题,普遍开展节日生活性帮扶,让困难职工家庭过一个温暖祥和的节日。省财贸工会将于20xx年1月下旬赴省财贸直属单位的部分基层企业走访慰问,慰问活动安排另行通知。
3、积极做好“两节”期间农民工维权工作。一是要开展农民工工资清欠行动,加强与人社、公安、建设等部门的协调配合,着力治理企业拖欠工资和欠薪逃匿等问题,确保广大农民工返乡前及时拿到工资。二是继续开展“农民工平安返乡行动”,积极引导和鼓励基层企业工会,通过组织包专车、专列、专机,办理农民工团体票等多种措施,帮助广大农民工解决购票难、乘车难等问题。三是大力开展农民工人文关怀活动,对节日期间坚守工作岗位的职工特别是农民工加强人文关怀,通过组织吃年夜饭、进基层送演出等形式丰富他们的节日生活。
4、开展企业生活后勤保障和安全生产活动。推动企业改善职工生产生活条件,落实安全生产责任制,加强“两节”期间的安全检查,消除安全隐患,保障职工身体健康和生命安全。
三、几点要求
1、加强组织领导。要把“两节”送温暖活动作为工会服务职工的一项民心、民生工程做好做实,切实加强组织领导,精心安排活动内容,积极争取和运用好党政赋予的资源手段,广泛动员社会各界参与到送温暖活动中来,形成各方通力合作的帮扶工作格局。
2、落实节俭要求。在送温暖活动中,省财贸系统各级工会干部要带头落实中央和省委有关清廉节俭的纪律。既要深入一线,了解困难企业和困难职工的实际情况,又要带头执行各项纪律要求,做到轻车简从、务实清廉。要加大宣传力度,注意及时发现、总结送温暖活动中的典型经验和先进事迹,通过舆论宣传和引导,动员社会各方面力量广泛参与,营造全社会共同关心、帮扶困难群众的良好氛围。
3、健全困难职工档案。省财贸直属各单位工会要尽快做好本单位困难职工摸底工作,掌握最新的困难职工情况,登录工会帮扶工作管理系统“”,完成困难职工电子档案的录入和上报工作。省财贸直属各金融单位工会的困难职工建档统计到在杭直属机构。同时报送新增困难职工纸质文档,以备核对。我会将以工会帮扶工作管理系统中的困难职工档案为依据,开展好送温暖活动和帮扶救助。
4、请各市财贸工会、省财贸各直属工会于2016年1月31日前,及时上报《20xx年工会送温暖活动统计表》(见附件),纸质报表加盖公章后寄送至省财贸工会,省财贸直属单位工会统计表同时通过工会帮扶工作管理系统填写报送。
2017年工会春节送温暖活动方案【2】
按照市委、市政府和省总工会的工作要求,市总工会决定在20xx年元旦、春节期间继续开展以“心系职工情,温暖进万家”为主题的送温暖活动。现就有关事项通知如下:
一、送温暖活动的主要内容
(一)切实做好困难职工的调查摸底工作。为落实“先建档、后帮扶、实名制”的要求,避免重复救助,各级工会要在2015年度帮扶救助的基础上,对本地本单位的困难职工情况进行全面调查摸底。要认真对照帮扶对象的条件,集中时间,深入困难企业和困难职工家中,深入进行调查摸底工作,不断充实完善、认真填写困难职工档案调查表;各区县总工会要将调查后新增的困难职工信息及时准确详细地录入工会帮扶工作软件系统,为实施帮扶救助奠定基础。
(二)统筹工会和社会力量,积极开展内容丰富的送温暖活动。要积极争取党政的重视和支持,多方筹集资金,切实做好帮扶工作。要加大工会就业服务力度,为失业人员提供有针对性的职业介绍、技能培训和创业指导服务,为有创业愿望、有创业能力的下岗失业困难职工提供创业指导和小额贷款。要积极做好农民工平安返乡工作和两节期间维权帮扶工作,努力帮助农民工解决购票难、乘车难、返乡难等问题;要积极配合有关部门加大对农民工工资权益的维护力度,帮助农民工足额按时拿到工资。元旦春节期间,各级工会值班人员要坚守岗位,热情接待职工群众的来信来电来访,为困难职工提供直接、快捷、方便的帮助和服务,并准备必要的资金和生活物品,努力确保随时提供应急救助。要积极开展人文关怀和精神帮扶工作。
(三)大力推动保障民生政策的落实。各级工会要在走访过程中,积极宣传党委政府在就业、工资收入、医疗、社保、教育、住房等方面出台的各项保障和改善民生的政策措施,调查了解政策的落实情况;对于在走访中发现的应该落实而没有落实的政策问题,要积极主动向政府有关部门反映,推动政策的尽快落实,做到应享尽享。
二、准确把握送温暖活动的帮扶对象和原则
(一)困难职工的认定标准。困难职工是指城镇低保家庭或家庭人均月收入略高于本市城镇居民最低生活保障标准,但由于疾病、子女教育或意外灾害等原因,不能维持基本生活的职工(包括困难农民工)。具备下列条件之一的职工家庭,可以列入帮扶救助范围,并纳入困难职工档案管理范围:
1.低保边缘户职工家庭(低保边缘户职工家庭指人均月收入高于当地最低生活保障线50%以内的职工家庭)成员中存在患大病、残疾等特殊困难的职工;
2.低保职工家庭中经过政府救助后生活仍然困难的职工;
3.家庭人均月收入高于当地最低生活保障线50%以上,职工本人或家庭主要成员患大病、重病、慢性病(具体病种按国家基本医疗保险政策及省市相关的配套办法、规定执行),年自负医药费超过家庭年总收入60%以上的职工;
4.因意外灾害、自然灾害等原因造成家庭困难的职工;
5.生活特别困难的农民工。
(二)申报困难职工的原则。困难职工的帮扶救助实行属地管理,分级负责,各级地方工会主要救助困难行业和生产经营困难企业的困难职工;对有困难职工的机关事业单位和生产经营较好的企业提倡自行救助。
三、严格困难职工申报程序
为确保困难职工帮扶救助工作公开、公平、公正,对困难职工实施帮扶救助,困难职工必须按照程序,逐级核实申报。区县的困难职工申报程序由各区县总工会按照市总工会要求制定。市直的困难职工申报按照以下程序进行:
1.困难职工本人提出申请,并提交有关证明材料(含身份证复印件,属低保户的同时提供低保证明复印件);
2.困难职工所在基层工会要逐一入户调查核实,并统一填写各类表格;
3.基层工会集体研究;
4.在困难职工所在基层单位公开栏公示5天;
5.报主管部门(委局)工会进行初审、汇总,上报市职工服务中心;
6.市职工服务中心审查;
7.市总工会组织人员分组入户进行抽查;
8.市困难职工审查委员会集体会审;
9.在日照市总工会网站集中公示7天;
10.批复。
四、切实做好宣传报道和信息传报工作
各级工会要高度重视,加强领导,抓紧研究制订方案,提出切实可行的工作措施,尽快部署,精心组织实施,落实责任,确保各项工作落到实处。要做好开展送温暖活动的信息、传报工作,充分利用各种新闻媒体,广泛宣传各级党政对职工群众的关心爱护,宣传社会各界对困难职工的支持帮助,宣传工会开展送温暖活动的经验、做法,宣传广大职工团结友爱、互助互济的优良品德,营造全社会关心支持困难职工群体的良好氛围。
五、几点要求
1.各级工会要高度重视,认真落实责任,确保调查摸底的各项内容全面、准确、真实。各基层工会要认真对照填表说明,逐条逐项地认真填写困难职工档案表的各项内容,特别是要如实填写职工的困难状况,严禁弄虚作假;市直各委局(产业)工会要对本系统的困难职工情况进行认真审查、把关,夫妻双方在区县和市直重复申请救助的以男方为主;对弄虚作假、把关不严者,要严肃批评,并不予救助;对调查表填写不认真,填写内容信息不全面、不符合要求的,要退回重报。市职工服务中心、各区县总工会要将困难职工信息及时准确详细地录入工会帮扶工作软件系统,为实施帮扶救助奠定基础。
篇10
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
篇11
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
篇12
计算机和互联网的出现给我们的生活和工作带来了革命性的变革,从政治、军事、宗教、商业、金融到个人生活都与其有着紧密的联系。它以其高速、共享、开放以及互联等种种特性,给我们提供了快速、便捷的信息交流平台、生产控制平台和海量的资源共享平台。总之,它给我们生活和工作带来的便捷前所未有。但是,无论什么事物的存在总会具有两面性,计算机与互联网在带给我们了无比巨大便利的同时,也带来了许多信息安全方面的隐患。
虽然计算机互联网具有互连、开放等特性,给我们带来了很大的便利,但由于其安全机制尚不健全、人们的网络安全意识不强,也使得这些优点成为了我们信息网络安全的巨大隐患。恶意软件、系统漏洞尤其是黑客攻击都使我们信息网络安全面临着巨大的威胁。所以,必须要有足够安全的防范措施,才能让计算机与互联网可以被我们完全掌控、运用,否则它会带给我们更为严重的利益损害,从个人的基本数据信息、企业的财务资金信息到国家的国防安全信息都可能会被篡改、盗用、破坏,而且目前互联网攻击方式越来越多、越来越复杂,这意味着我们的信息网络安全将面临着更大的威胁。
2 信息网络安全的定义
狭义上来说,信息网络安全主要是在网络中,信息的应用和传输必须要保证完整性与私密性。后来许多专业人士与学者依据信息安全的发展和运用状态,将信息安全总结为四个技术要点。1)机密性:所谓的机密性就是指的信息在传输和使用的过程当中,不被没有经过合法授权的人浏览与使用。2)真实性:真实性指的是信息与信息系统自身不被恶意、不合法的伪造与篡改。3)可用性:可用性是指信息的存在具有实际的使用价值,且能够被合法的授权者所浏览、使用。4)可控性:可控性说的是信息与信息系统自身能够被使用者操作、监控,不出现任何异常拒绝指令的现象。
如今,由于社会发展与个人的需要,互联网的覆盖范围仍在继续、并将持续扩大,如果不对信息网络安全问题加大重视,一旦有较大的问题出现,小则会引起个人利益受损,大则会导致社会次序混乱,相信这种结果是谁都不希望发生的。
3 当前信息网络安全所面临的主要威胁
3.1 黑客的恶意攻击
如今,计算机和互联网已经被大范围地投入到了我们的生活当中,社会当中的部分人也拥有了较强的计算机网络操作、控制能力。他们有的出于兴趣爱好、有的出于金钱指使,对其他网络系统发起恶意的攻击、破坏,以满足自身的各种“成就感”。在这些攻击行为当中,一部分是主动的进行系统破坏或是更改、删除重要的信息,另一部分是被动的进行监听,窃取他人网络交流信息,导致信息外泄。
3.2 各种病毒、木马
如今,各种病毒、木马在互联网上泛滥,同时一些间谍软件、流氓软件也入侵到许多企业或个人计算机内。这些信息网络安全威胁的存在,主要是由于操作人员对计算机和互联网的不良操作,比如未安装杀毒软件、没有及时更新病毒库和系统补丁,还有就是接入一些安全状况不明的的网站,下载、安装一些有“后门”的不良应用软件等。通常这些问题会降低计算机和网络的运行速度,造成计算机及网络的瘫痪。
3.3 系统漏洞
我国绝大多数个人或企业,使用的都是微软所开发的Windows操作系统。由于一个计算机操作系统过于庞大、复杂,所以它不可能一次性地发现并解决所有存在的各种漏洞和安全问题,这需要在我们的使用当中不断被完善。但是,据一些消息称,微软公司对于漏洞信息披露的反应时间为1~2周。但是在这段时间内,这些长久存在或是刚被披露的漏洞很可能被一些居心不良的人所利用,造成对计算机信息网络安全的威胁。另外,对于开源的Linux系统而言,由于其自身的种种特性使得它具有高于一般系统的安全性,但它的漏洞修补也更加困难。
3.4 网络硬件系统不牢固
当然,网络硬件系统不牢固是一个普遍性的问题。当日本被投下原子弹之后,全世界都见证了其杀伤力,美国政府本着建立一种能够抵御核弹攻击的信息交流系统而开发了如今我们所使用的互联网。虽然较之前的信息交流系统相比,互联网的硬件系统已经具有了较高的稳定性和安全性。但其仍然存在的脆弱性也不可忽视,比如雷电所引发的硬件故障,各种传输过程当中受其他因素影响所出现的信息失真等。
4 信息网络安全防范对策
4.1 防火墙技术
“防火墙”非常形象地说明了其在网络安全方面的应用。它能在互联网和内部网之间建立安全网关,以此来达到屏蔽非法用户侵入的目的。它的具体作用是对网络间的数据信息传输实施控制与监管,并将通信量、数据来源等所有相关信息进行记录,从而保证信息网络安全。目前,防火墙可以分为三类。
第一,硬件防火墙。目前市面上大多数的硬件防火墙都是基于专用的硬件平台,说得直白一点,它们的组成基本上都基于普通计算机构架,与我们平常所见到的计算机没有多少差异。但与普通计算机不同的是,它运行的都是一些经过简化或裁减处理的常用旧版操作系统,比如FreeBSD与inuxUnix等,所以它自身也还存在着来自操作系统的一些不可避免的安全影响。
第二,软件防火墙。软件防火墙的本质其实就是普通的软件产品,与我们平常所使用到的软件并无二异,需要经过在操作系统中安装完成过后才能起到作用,也就是说它必须获得计算机操作系统的支持。它的作用与硬件防火墙相同,都是为了保证信息网络安全,但前者一般运用于不同的网络之间,后者运用于单独的计算机系统。
第三,芯片级防火墙。ASIC(Application Specific IntegratedCircuit)芯片是一种可以为专门目的设计而成的集成电路,它具有体积小、性能高、保密性强等特点。也就是说,基于ASIC的芯片级防火墙不仅具有较高的运作能力,其自身的安全漏洞也相对较少。
4.2 数据加密技术
这种技术是通过密匙和加密算法,将原本可读的重要敏感信息转换成并无实际意义的密文,而这种密文只有被指定的合法信息使用者才可以恢复原先的真实数据信息。常用的加密方式有线路加密和端对端加密两种。有线路加密的重心作用发挥在线路上,而对于信源与信宿不考虑。端对端加密是指从发送者端发出的信息通过专业加密软件,把明文(原文)加密成密文,随后,进入TCP/IP数据包封装透过互联网。当这些经过加密的信息到达目的终端,由合法收件人使用对应的密匙进行解密,把密文恢复成可读的语言信息。
4.3 网络入侵检测技术
这种信息网络安全防范技术可以通过硬件或是软件对互联网中的数据、信息进行分析,
再与已知的网络入侵特征进行对比,要是发现有疑似违反安全策略的行为或者是有被攻击的迹象,就会瞬间切断网络连接或者是通知防火墙系统调整访问控制策略。它的主要功能包括几方面:第一,识别网络黑客常用的入侵和攻击手段;第二,时时监测网络中存在的异常通信;第三,监察系统中存在的漏洞和后门;第四,完善和提高网络的安全管理质量。
可以看出,入侵检测系统就是防火墙、IDS系统、防病毒和漏洞扫描系统等技术的综合体,它涵盖了所有的优点和阻止功能,并能在计算机网络系统中实现对安全事件的深度检测和共同防御,也能在完全不影响网络性能的前提下对网络进行监控和检测,从而最大化地提高信息网络的安全性。
5 结束语
除了上述几种信息网络安全防范对策之外,目前还有网络安全扫描、访问认证控制技术等,可以帮助我们做好信息网络安全保障工作。另外一方面,操作者自身也还需要提高信息网络安全防范意识与自身的计算机能力水平,这样才能有效防止信息网络安全受到威胁与损害。
参考文献
[1] 王轶军.浅谈计算机信息网络安全问题的分析与对策[J].黑龙江科技信息,2011,(6):77-78.
[2] 马学强.计算机信息网络安全[J].计算机光盘软件与应用,2012,(5):33-34.
篇13
一、我国铁路交通运输行业现状
中国铁路运输行业已有127年的历史。与计算机、通讯、生物等高新技术行业相比,它是个传统行业。进入21世纪,世界铁路交通运输行业正由传统行业向现代行业转变。世界发达国家铁路在较高的起点上,以全新的方式,用较短的时间,完成了由传统行业向现代行业的升级,使铁路这个传统行业展现出了全新的面貌。而中国铁路交通运输行业建设起步并不晚,但与世界发达国家相比,差距很大,还存在很多问题。
改革开放以前,国家铁路实行“政企合一”的计划管理体制。这种管理体制,与国家宏观计划经济的整体基础相适应,也与铁路当时自身经营的环境与条件相适应。当时我国经济技术落后,资金资源严重短缺,不可能优先发展资金和技术密集度要求较高的航空和公路运输,适合中国国情、运价低廉的铁路运输因而长期处于垄断优势地位,没有面临生存竞争方面的任何挑战。
进入新时期之后,国家经济运行体制由计划经济向市场经济转变,铁路运输行业随之出现了许多问题,这些问题集中表现在运能短缺上。运能短缺一方面是铁路物质基础相当薄弱的基本情况的客观存在,另一方面是不断扩大的对客货运输的巨大需求。在二者的共同作用下,铁路运能短缺的问题不可避免。
进入上世纪90年代,全社会爆发出来的巨大货运需求压向铁路,国民经济发展急需的石油、棉花、粮食、煤炭、磷矿石等重要原材料运输严重受阻,影响东部地区电力供应缺口加大,迫使不少工厂半停产运行。因铁路发展不足致使国家损失巨大。同时,对局部区域铁路客运列车而言,一方面有些落后地区根本就没有开通铁路交通运输;另一方面普遍超员严重,特别是在重大节假日。客运全面紧张已成为严重的社会问题。
二、铁路交通运输行业存在的问题
首先,我国铁路总体规模发展不足且各地区间发展不平衡。建国六十多年来,我国铁路运输业虽然有了较快的发展,但近些年,随着市场经济改革的进一步纵深和国民经济发展增速,铁路运输行业随之出现了许多问题,这些问题集中表现在铁路总体规模发展不足致使运能短缺。目前,随着我国国民经济的快速发展,全社会爆发出来的巨大客货运需求一起压向铁路,致使铁路运能与运量的矛盾突出,因铁路运输能力不足造成的后果更加一览无余。同时,我国铁路现状各地区间发展且不平衡。东部地区铁路较发达,而中西部地区特别是西部地区铁路比较落后,甚至一些落后地区根本就没有开通铁路交通运输。这种现实状况将不利于各地区间的协调发展,也对国民经济的健康发展产生了不利的影响。
其次,铁路运输业的属性未明,阻碍了铁路运输业的健康发展。在我国目前铁路政企不分的经营管理体制下,铁路运输业在市场经济体制中,究竟是纯粹公益性行业还是市场主体是不明确的,其属性处于模糊状态。这种属性未明直接结果是人们不把铁路运输业当成企业看,认为铁路运输业要承担的是更多的社会责任,铁路运输业即使经营入不敷出,政府也是应该财政补贴的。正是这种长期的属性未明,造成铁路运输业缺乏市场竞争的能力和失去降低成本、创造利润的激情和动力。目前,尽管随着不断的国企改革,铁道部给铁路运输企业下放了许多经营权和其他相关权利,但这只是名义上的下放。铁路运输企业还远未成为市场主体。
再次,高垄断致使铁路系统内部缺乏竞争机制和服务质量不高。虽然我国铁路运输业进行了现代企业制度的改制,但由于改革缺乏正确的引导,在重复中耗费了巨大的改革成本后而收效甚微。企业国有资本的独占性未从根本上改变,相对独立经营的体系也尚未建立,仍属于垄断式国有企业。垄断致使铁路系统内部缺乏竞争机制,扼杀了其竞争活力,使其在日趋激烈的市场竞争面前视而不见、反应迟钝,是造成铁路运输业效能下降的主要原因之一。
最后,铁路沿线小站安全管理上存在着管理滞后、缺乏持续性等弊端。铁路沿线小站的安全在铁路运输安全中占据着非常重要的地位,不仅影响着铁路运输业本身的生产效率和经济效益,也对社会政治和经济有着重大影响。目前基层站段对沿线小站的安全管理,存在着管理被动和“以罚代管”等现象。站段安全专职人员一般在事故发生后,在进行安全总结分析后,对有关人员进行处罚,而未进行各种安全业务指导和教育。这种单独“以罚代管”形式的效果,只能是暂时缓解沿线小站面临的严峻铁路运输安全,带来的后果却是铁路员工心理上产生的反抗情绪。这种滞后的安全管理模式是缺乏稳定性和持续性,将会大大削弱了铁路运输安全的基础。
三、铁路交通运输行业发展的战略步骤
首先是实现铁路交通运输主业和辅业的分离。根据2005年底铁道部的统计数据,中国铁路现在职工人数228.41万,其中运输主业职工152.68万人,可见非运输主业职工队伍较庞大,这是世界上其他国家的铁路行业所没有的现象,势必会严重制约着铁路运输主业的发展。铁路系统中的社会公共部门,如公检法、医院和学校等社会性、事业性单位应剥离出铁路系统,这些单位可以说都与铁路运输没有直接关系,长期“捆绑”在一起将导致运输主业专业优势不突出,竞争能力低下。另外,还应剥离铁路系统中的辅助产业,即工业、建筑、工程、通信和物资五大公司和若干勘测设计院,还与国家邮电网并存的铁路通信网等也应被剔除出去。这些部门虽与铁路运输相关,但由于没有实行分账独立核算,产业属性不同,容易导致职责不清。
其次是对铁路运输行业进行规范股份制改造。股份制是一百多年来被实践证明为行之有效的资产组织形式,既可以迅速聚集社会资本,又可以完善公司法人治理结构。铁路行业在完成主辅业分离的前提下,选择业内的优质资产,即盈利能力强、管理效率高的资产,结合主干线、客运专线和城际客运铁路等项目建设,寻求境内外投资者,进行股份制改造,可实现企业持续快速发展。
最后是推动股份制改造成功的企业上市融资。实行股份制改造的目的是拓宽融资渠道,解决铁路建设资金主要依赖于铁路建设基金的收取与国家开发银行的长期借贷而成的长期性的极度短缺问题。其它渠道资金的进入为铁路加快建设速度和更大程度扩展规模注入了强劲的动力,更重要的是有助于帮助铁路部门引进新的经营管理理念、建立新机制。而其他渠道资金的筹集主要是通过公司上市来解决的。相比客运而言,货运业务彼此独立性较强,更容易把市场前景较好的优良资产单独剥离出去进行公司化改制;而且,货运的国际市场开放程度高,可以更好地吸收地方政府、社会和国际投资。因此,应按照先货运后客运的次序推动股份制改造成功的企业上市融资。
四、铁路交通运输行业发展的战略措施
首先,积极通过多种方式筹集建设基金。在我国,制约铁路交通运输发展的关键性问题是资金问题。美国铁路建设之所以能在1887年一年中铺轨2万多公里,一个重要的原因就是拥有发达完善的资本市场,可以迅速吸收国内外的投资资金。我国的资本市场虽不发达,但却具备了许多吸收投资的有利条件。在筹集资金的过程中,除了在国内外金融市场上进行股本融资这一方式外,可以选择的方式还有直接债务融资、利用国际贷款以及融资租赁等。
其次,明确政府的角色定位,积极转变政府职能,推进现代企业规范制改革。在“政企分开”的基础上,还需要对铁路运输行业进行规范的公司制改造,建立有效激励、严格约束、责权利相统一的法人治理机构。积极落实铁路运输企业的市场主体地位,完善资产经营责任制;实现政企分开、社企分开、事企分开和减员增效,组建客运公司及专业货运公司,为实现运输专业化打下良好基础。
