引論:我們為您整理了13篇銀行安全總結范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
作為一名班長,是自分隊長以下全隊人的榜樣,我時刻提醒自己要加強各方面的業務知識,以便于提高自身的綜合素質。要正確處理苦與樂,得與失、個人利益和集體利益的關系,堅持甘于奉獻、誠實敬業,經過這段時間的學習和鍛煉,在工作上取得了一定的進步,細心學習他人長處,改掉自己不足,并虛心向領導、同事請教。對自身嚴格要求,始終把耐得平淡、舍得付出、默默無聞作為自己的準則,寫作參考始終把作風建設的重點放在嚴謹、細致、扎實、求實腳踏實地埋頭苦干上。在工作中,以制度、紀律規范自己的一切言行,嚴格遵守公司各項規章制度,尊重領導,團結同志,謙虛謹慎,主動接受來自各方面的意見,不斷改進工作。發揚吃苦耐勞精神,面對督查事務雜、任務重的工作性質,不怕吃苦,主動找事干,做到“眼勤、嘴勤、手勤、腿勤”,積極適應各種艱苦環境,在繁重的工作中磨練意志,增長才干。發揚孜孜不倦的進取精神。加強學習,勇于實踐,博覽群書,在向書本學習的同時注意收集各類信息,廣泛吸取各種“營養”;同時,講究學習方法,端正學習態度,提高學習效率,努力培養自己具有扎實的理論功底、辯證的思維方法、正確的思想觀點、踏實的工作作風。力求把工作做得更好。
二、關心隊員的生活、確保隊伍的穩定。
做為班長,我有責任配合分長抓好隊伍的穩定工作。針對隊員的年齡普遍偏小,在家中又是獨生子女,剛參加保安工作,沒有任何的工作經驗,隨同分隊長對每一名新入隊的隊員找其談話,了解該隊員的基本情況,有針對性的采取工作方法因人而異,并且陪他們吃第一次飯,使他們盡快融入到保安隊伍中來,主動幫主他們解決一些生活中的困難,使他們充分感受到保安大家庭的溫暖,針對現在保安流動性大的特點,分隊長和我積極聯系老鄉,親屬、朋友招收保安員,通過努力增加了隊員的人數,確保了隊伍的穩定,提高了隊伍的凝聚力和戰斗力。
三心得體會、嚴格要求,確保重大活動和節日的安全
在工作期間,我對每次保衛工作都十分得重視,在分隊長的帶領下,充分發揮帶頭作用,積極響應,號召大家發揮團隊合作精神,完成了各個時期的重大活動和節日的安全工作。在活動中,配合隊長組織全隊進行了宣傳動員工作,建立活動宣傳欄,張貼活動標語,讓讓隊員都參與進來,充分調動了大家工作的積極性,把宣傳工作深入到每名隊員,同時還寫了決心書。讓大家體會并認識到保衛工作的重要性,同時提醒自己遵紀守法、愛崗敬業、防止安全生產事故的發生。利于重大活動及節日的安全開展。
篇2
二、健全工作機構,理順工作關系是安全評估工作順利完成的保障。
為確保安全評估各項準備工作的順利進行,支行成立了以行長為組長、分管領導為副組長、專職保衛干部和部門負責人為成員的安全評估領導組指導全行的安全評估工作,明確各自的工作職責。同時成立了以分管領導為組長、會計主管和專職保衛干部為副組長的安全評估工作小組,具體負責落實安全評估的各項工作事項。健全的工作機構,為安全評估準備工作提供了組織上的保障。
篇3
營業部定期對已經安裝的技防設備要求技防檢查,對營業部內部的要害部門,電腦房,財務部重點設防,有專人負責安全防范工作,并在月份取消了營業部的現金柜臺,消除了營業部最大的安全隱患。全體員工針對這一次的專項活動開展系列培訓,由公司的辦公室主任策劃,培訓一共3次,并且在月中旬安排考試,并對考試沒有達到0分以上的員工進行了,經濟處罰。
今年月份我營業部接到市區企事業單位安保衛協會組織的“嚴防范,降發案,保平安”專項活動的通訊后,營業部領導立即組織成立了證券東路營業部安全保衛領導小組,由營業部總經理擔任安全保衛領導小組組長,由營業部業務總監擔任安全領導小組副組長,由營業部辦公室主任擔任執行副組長,組員為全體員工,在落實上營業部做到首長負責制,沒有落實到位的首先扣總經理的錢,由總經理扣副組長,的錢,這一措施有效的杜絕了,安排后得不到落實的狀況。保證了此次活動積極有效的開展起來。
在制度上面,營業部專門由安全領導小組執行副組長根據“嚴防范,降發案,保平安”專項活動要求起草了一份營業部重點崗位,要害部門交接班制度,來訪人員登記制度,進出物品登記制度等等的制度,并且規定了凡是節日期間必須召開節日安全防范工作會議,而且會議必須由營業部總經理,安全保衛工作領導小組組長主持召開。而且規定了由營業部安全領導小組副組長擔任記錄。
篇4
2警隊的業余文化活動方面.
篇5
監控設施的陳舊、老化,多年來一直困擾著我行,今年根據*行的安排,我行順利地完成了對監控系統的改造,使監控系統符合了安全防范的要求,增強了技術防范能力。
同時對*樓的邊門進行了維修改造,我行*樓的側邊門管理一直不是很好,進出人員比較多,為了更好地加強邊門的安全檢查防范,營業部專門召開會議研究了此事,要求綜合辦公室對邊門進行改造,通過改造規范了側邊門的進出人員,確保了外來人員無法通過側邊門進入我行主樓,確保了大樓的安全。
二、加強職工的安全防范教育,增強員工防范意識
堅持抓職工的安全防范教育,不斷的完善規章制度,強化制度的落實,是預防案件消滅隱患,確保銀行安全的重要因素之一,使我行的內控外防機制更趨完善,提高了全員防范意識。任何管理工作首先是人的工作,人的工作的核心是思想教育,保衛工作更不能例外。當前保衛工作面臨的形勢愈加嚴峻,做好職工的防范教育已成為保衛工作的重要課題。防范教育搞好了員工的防范意思就能得到提高,就可以在日常安全防范工作中筑起一道牢固的屏障。所以我們始終把防范教育工作擺在安全保衛工作的重要位置。
領導抓、層層抓,確定從領導抓起,一級抓一級,形成層層抓防范教育的工作格局。一是增強領導自身的防范意識,我行領導堅持以身作則,牢固樹立“安全第一”的防范思想,把安全防范教育工作納入重要議事日程,利用各種場合開展防范教育工作,大會小會講安全,定期召開安全工作會議,研究布置安全防范工作,定期組織一線員工學習案件簡報及案件通報的同時,通過具體案例剖析,用活生生血的教訓教育廣大員工、并對照自查。每逢節假日都親自檢查節日安全防范工作,按時到網點進行安全檢查,對安全檢查存在的問題,責成辦公室立即處理,做到了快報快辦。
上半年我們組織員工觀看消防知識教育光盤,印發了火災逃生自救的知識材料,針對每年搞消防演練實際參與的人員少,不能全員參加的情況,保衛人員深入到各部室詳細講解消防器材的使用方法及發生火災后的處理方法,使員工得到教育和培訓,增強了員工的安全防范意識。
三、規范安全檢查工作,完善規章制度
對安全保衛工作,安全檢查是關健,只有加強檢查的力度,才能發現問題,只有發現了問題才能有針對性地加以解決。我行嚴格執行上級行的要求去做,堅持網點每日檢查,領導保衛部門每月檢查,對檢查中存在的問題積極督促整改、跟蹤監督,把隱患消滅在萌芽中。為規范我們的安全檢查制度,我行加強了對營業網點側門的驗“證”管理,實行“三證齊全,領導和保衛人員陪同”的檢查制度,使安全檢查更加規范化。
我行領導重視安全保衛和案件防范工作,真正做到了領導重視責任到人,年初我行就組織各部(室)、各專業簽訂了《安全防范責任書》,制定了《***安全保衛工作制度》。同時還結合“第二期掃雷工程”和內控檢查,對儲蓄網點進行明查暗訪,對要害崗位人員做到經常定期輪換,對現實表現實行考核建立檔案,并對網點門鑰匙及權限卡進行嚴格管理和檢查。我行加強值班工作,常抓不懈,每逢節假日及各項測試時間,領導親自布置,親自組織測試,帶頭值班,同時還要求保衛人員做好安全保障工作。
四、存在問題
(一)、少數員工防范意識差,有麻痹思想,執行制度和規定不夠嚴格;
(二)、上報的材料有時不夠及時;
(三)、由于經費的關系,不能保證每臺微機配置一個滅火器.
篇6
委托人:李靜,北京市百度律師事務所律師。
被上訴人(原審原告):中國銀行鶴崗支行,住所地:黑龍江省鶴崗市工農區解放路66號。
負責人:陳傳海,該行行長。
委托人:何春風,佳木斯市君德律師事務所律師。
上訴人黑龍江省農墾總局寶泉嶺分局為與被上訴人中國銀行鶴崗支行借款擔保合同糾紛一案,不服黑龍江省高級人民法院(1998)黑經初字第28號民事判決,向本院提起上訴,本院依法組成合議庭進行了審理,現已審理終結。
查明:1989年8月30日,中國銀行鶴崗支行(以下簡稱鶴崗中行)與華寶禽絨有限公司簽訂抵押借款合同,總金額為400萬元,期限16個月,月利率11.34‰,華寶禽絨有限公司以其價值7890417.32元設備作抵押。此后鶴崗中行按合同約定陸續發放貸款。合同期滿時,華寶禽絨有限公司未能全部償還借款本息。1991年4月15日,經雙方協商,對1989年8月30日的借款合同予以展期并重新簽訂了借款合同,期限12個月,月利率8.28‰,黑龍江省農墾總局寶泉嶺分局(以下簡稱寶泉嶺分局)計劃財務處為該合同提供了擔保。合同到期后華寶禽絨有限公司仍欠鶴崗中行借款本金370萬元。1995年12月22日,鶴崗中行與華寶禽絨有限公司就此筆370萬元欠款又重新簽訂了借款合同,期限9個月,月利率12.06‰,華寶禽絨有限公司以其價值165.5萬元的設備作抵押,寶泉嶺禽絨股份有限公司在提供擔保書的同時還以價值196.7萬元的3棟廠房作抵押,但以上抵押物均未依法辦理登記手續。1996年11月,華寶禽絨有限公司經黑龍江省農墾中級法院裁定宣告破產,鶴崗中行參加破產分配后受償債權為907452元。本案涉及的抵押物已由黑龍江省農墾中級法院在審理以華寶禽絨有限公司和寶泉嶺禽絨股份有限公司為債務人的其他案件中調處給其他債權人。截至1998年4月1日,鶴崗中行尚有借款本金2792548元、利息2172616.71元的債權未受清償。為此,鶴崗中行依據蓋有寶泉嶺分局財務處公章及負責人名章、落款日期為1995年12月22日、保證數額為400萬元的不可撤銷擔保書,向黑龍江省高級人民法院提起訴訟,請求判令寶泉嶺分局償付所欠借款本息并承擔本案訴訟費。
黑龍江省高級人民法院認為:華寶禽絨有限公司與鶴崗中行簽訂的借款合同合法有效。寶泉嶺分局作為政企合一單位,具有經營職能,財務處系該局主管財務的職能部門,其在職權及授權范圍內的活動應當由寶泉嶺分局承擔責任。故該局財務處出具的不可撤銷擔保書亦為有效保證。鶴崗中行、寶泉嶺分局對寶泉嶺分局曾為華寶禽絨有限公司的借款提供過保證一事均無異議,但雙方對保證的日期持有異議。鑒于本案爭議的保證合同事實存在,數額明確,但保證時間、期限不明確。按照《最高人民法院關于審理經濟合同糾紛案件有關保證若干問題的意見》第12條“債權人與被保證人未經保證人同意,變更主合同履行期限的……如保證合同中未約定保證責任期限,保證人仍在被保證人原承擔責任的期限內承擔保證責任。”和第29條“保證合同未約定保證責任期限的,主債務的訴訟時效中斷,保證債務的訴訟時效亦中斷”的規定,在債權人鶴崗中行從未間斷向主債務人華寶禽絨有限公司主張權利情況下,寶泉嶺分局的保證責任不能免除。寶泉嶺分局辯稱鶴崗中行于1995年與華寶禽絨有限公司、寶泉嶺禽絨股份有限公司簽訂借款合同和抵押、保證合同后,其擔保義務自然終止的理由,因鶴崗中行并未有放棄要求寶泉嶺分局承擔保證責任的意思表示,寶泉嶺分局也未提出相應的證據,故寶泉嶺分局稱其擔保義務自然終止的理由不能成立。寶泉嶺分局作為連帶責任的保證人,在被保證人華寶禽絨有限公司破產后,債權人鶴崗中行的債權在未能全部受償的情況下,應當就債權人未能受償的部分承擔保證責任。綜上,寶泉嶺分局主張的不承擔保證責任的理由不能成立,該院不予支持。鶴崗中行依據保證合同向保證人寶泉嶺分局主張權利的請求符合法律規定,應予支持。依照《中華人民共和國經濟合同法》第十五條和《最高人民法院關于貫徹執行〈中華人民共和國企業破產法(試行)〉若干問題的意見》第61條第1項之規定,判決如下:寶泉嶺分局于本判決生效后十日內償還鶴崗中行的貸款本金2792548元,利息2172616.71元(計算至1998年4月1日,至本判決生效后十日內的利息按中國人民銀行同期貸款利率計算)。案件受理費35010元,由寶泉嶺分局負擔。
寶泉嶺分局不服黑龍江省高級人民法院的上述民事判決,向本院提起上訴稱:1991年4月15日,鶴崗中行與華寶禽絨有限公司簽訂一份借款合同,金額為400萬元,期限12個月,月利率為8.28‰。寶泉嶺分局的下屬職能部門計劃財務處為此提供了擔保。合同到期后,華寶禽絨有限公司仍欠鶴崗中行借款本金370萬元。1995年12月22日,鶴崗中行與華寶禽絨有限公司又簽訂了一份370萬元的借款合同,用以還清原欠款370萬元。對此借款合同,華寶禽絨有限公司以其價值165.5萬元的設備抵押;寶泉嶺禽絨股份有限公司提供擔保,并簽訂了擔保合同,同時還以價值196.7萬元的三棟廠房作抵押。至此,寶泉嶺分局于1991年出具的擔保合同因原借款合同履行完畢而自動失效。原審判決寶泉嶺分局繼續承擔擔保責任,屬認定事實不清,懇請查明案件事實,依法作出正確判決。鶴崗中行未作書面答辯,在二審審理中口頭辯稱:原審法院認定事實清楚,寶泉嶺分局出具的擔保有效,其應依法承擔擔保責任,請求駁回上訴,維持原判。
本院還查明:鶴崗中行曾于1996年11月22日向黑龍江省農墾中級法院發出中銀鶴(1996)第33號“關于我們對華寶禽絨有限公司優先受償權的報告”稱:“我行于1995年12月22日對該公司(華寶禽絨有限公司)重新辦理了貸款手續,同時辦理了抵押和擔保手續,以該公司固定資產165.5元及寶泉嶺禽絨股份有限公司廠房196.7萬元做為貸款抵押物,不足部門由其擔保單位寶泉嶺禽絨股份有限公司負責償付”。
本院認為:華寶禽絨有限公司曾于1991年4月15日向鶴崗中行借款400萬元,寶泉嶺分局為該400萬元借款出具了擔保書。至1995年12月22日,華寶禽絨有限公司仍欠鶴崗中行370萬元,為此,鶴崗中行與華寶禽絨有限公司就此筆借款重新簽訂了370萬元的借款合同,華寶禽絨有限公司以其自有財產設置了抵押,寶泉嶺禽絨有限公司在為該筆借款提供擔保的同時也設置了抵押。據此,寶泉嶺分局對1991年4月15日華寶禽絨有限公司借款400萬的擔保已變更為華寶禽絨有限公司的抵押和寶泉嶺禽絨股份有限公司提供的擔保及抵押。鶴崗中行向寶泉嶺分局主張權利的擔保書的落款日期為1995年12月22日,而寶泉嶺分局出示的擔保書則沒有落款日期,該兩份擔保書的擔保金額均為400萬元,而鶴崗中行又不肯出示寶泉嶺分局1991年4月15日向其出具的擔保書。鶴崗中行出示的擔保書除落款日期與1995年12月22日借款合同的落款日期相吻合外,擔保金額與1991年4月15日借款合同的借款金額相符而與本案借款合同不符,且其載明寶泉嶺分局的帳號是該局已不再使用的帳號。鶴崗中行于1996年11月22日給黑龍江省農墾中級法院的《關于我們對華寶禽絨有限公司優先受償權的報告》也未提及寶泉嶺分局為該370萬元貸款提供擔保的問題。鶴崗中行主張寶泉嶺分局為華寶禽絨有限公司的該370萬元借款提供擔保的依據不足。寶泉嶺分局關于其為1991年4月15日400萬元貸款的擔保責任應予解除,不應再對1995年的370萬元貸款承擔擔保責任的上訴理由成立,本院予以支持。原審法院認定事實不清,判決由寶泉嶺分局承擔還款責任不當,應予以撤銷。本院根據《中華人民共和國民事訴訟法》第一百五十三條第一款第(二)、(三)項和第一百五十八條之規定,判決如下:
一、撤銷黑龍江省高級人民法院(1998)黑經初字第28號民事判決。
篇7
1 基層銀行的信息系統遇到的主要安全威脅
由于銀行的信息系統建設一直在不斷地向縱深處發展,銀行已經全面地進入了其業務的系統整合與數據集中的全新發展階段。這種集約化經營數據不斷集中的趨勢,從一方面來講是適應銀行業務不斷發展的要求,但是從另一方面來講,卻使銀行信息系統的安全風險也集中起來,增加了安全的隱患。具體來講基層銀行信息系統的安全隱患主要包括互聯網風險和外部機構風險以及不信任網絡風險和結構內部風險,同時還包括災難性的風險等五種安全隱患。
2 基層銀行的信息系統安全規劃設計與實施的主要原則和等級劃分
2.1 基層銀行的信息系統安全規劃設計與實施的主要原則
銀行的信息系統安全是一個涉及到規劃與管理以及技術等很多因素的具有系統性的工程,其屬于一種不斷持續發展和動態發展的進程。對于基層銀行的信息系統安全規劃設計與實施來說。技術是實現安全保障的主體性因素,而管理是具備安全保障的靈魂性因素。在安全規劃與設計中,只有把具有科學性與合理性的管理貫徹落實在信息安全的維護之中,才能夠實現網絡安全在穩定性與長期性方面的保證。而銀行信息系統安全的具體原則主要包括了明確責任與安全保護并舉,依照標準和自行保護同時進行,同步建設與動態調整相互促進,指導監督和重點保護齊頭并進四條原則。
2.2 關于基層銀行的信息系統安全等級的介紹
銀行信息系統的安全等級具體指的是對于國家級別的秘密信息和法人以及替他組織和公民專有的信息與公開的信息,同時還包括存儲和傳輸以及處理此類信息涉及到的信息系統的等級,對這些等級實施安全保護,對信息系統里面使用到的信息安全類產品進行一定安全等級的管理,對于信息系統里面出現的信息安全類事件需要分等級地進行回應和處置。依據信息系統和信息對于國家的安全和經濟建設以及社會生活所起作用的重要性,在其遭到破壞以后就國家安全和社會秩序以及公共利益和公民,還包括法人以及其他各種組織在合法權益方面的危害性來講,針對相關信息保密程度和完整程度以及實用性要求和信息系統所要達到的基本性安全保護的水準等因素,筆者總結出信息系統安全保護的五個等級:第一個等級是自主保護,第二個等級是指導保護,第三個等級是監督保護,第四個等級是強制保護,第五個等級是專控保護。
2.3 銀行信息系統安全等級的評估
在對銀行信息系統安全等級考量需要考慮到以下幾個因素:第一個因素是安全系統的類型,也就是信息系統安全利益的主體。第二個因素是信息系統所要處理業務信息的類別。第三個因素是信息系統服務的范圍,主要包括了其服務的對象與服務網絡所涉及到的范圍。第四個因素是信息系統業務依賴的程度,也就是手工作業可以替代信息系統進行業務處理的程度。
3 基層銀行的信息系統安全設計規劃和實施的主要內容
3.1 基層銀行信息系統的安全體系和特點
基層銀行信息的安全體系主要包含安全管理的體系與安全技術的體系,這兩者對于銀行信息系統安全維護來說,是兩個不能分割的部分,通常情況下的技術與管理需要相互之間提供一定的支撐,以此來確保兩種功能的有效實現。對安全管理的體系進行構建,其主要是出于信息系統里面各種角色的管理。以一種管理體系文檔化的形式,監督和控制各種角色的種種活動,主要是在系統通常運行的維護工作過程中,主要涉及到各種政策和制度以及規范和流程,同時還包括日志方面的監督與控制。這種安全管理體系的組成部分通常分為五個部分,主要是安全管理的組織與人員的安全管理,系統建設的安全管理,系統運維的安全管理以及安全審計的管理。就安全技術的體系來講,其主要功能是對信息系統提供技術安全類的機制設施,其實現形式是信息系統里面部署相應的軟件與硬件,同時對其以正確的形式配置系統的安全功能,以此來實現。安全技術的體系組成部分也是五個部分,主要包括基礎設施的安全和網絡安全以及主機安全和應用安全,同時還有數據的安全。
3.2 基層銀行的信息系統安全建設的方法論
依據國家標準的ISO17799/ISO27001中的信息安全維護的管理標準建立起信息安全的管理體系,其具體內容主要包括以下幾個方面:
(1)計劃,也就是建立ISMS,對于ISMS的相關政策和控制的措施以及過程與流程實施和操作等。
(2)執行,其主要是指實施和執行ISMS,對ISMS政策與控制措施以及過程和流程的實施和操作等。
(3)查核,其主要是指監督和審查ISMS,依照ISMS政策和目標及其實際的經驗,用來評鑒和測量其過程的績效,同時把評鑒與測量的結果回饋給相應的管理層,讓其審查。
(4)行動,其主要指的是維持和改進ISMS,依照內部的ISMS稽核和管理層的審查以及其他相應信息的結果采取對應的校正和預防性措施,以便實現信息安全的管理系統的持續性改進。
3.3 基層銀行的信息系統安全規劃實施的主要內容
基層銀行的信息系統安全規劃實施的主要內容包括以下幾個方面:
(1)信息安全的組織建設。其主要是指在組織的內部建立起跨部門式信息安全的協調與溝通的機制,為的是實現組織內的信息安全管理,同時能夠識別和外部組織有關連的一類風險,對信息安全的職責進行定義與分配,對于信息安全的工作進行定期評審。另外需要建立起專門負責信息安全的管理委員會,不斷地推動信息安全的規劃與實施,主要出發點是組織架構層面,此機構主要負責以下事項:對信息系統的安全保障的體系建設進行有力推動;周期性地評估與識別信息系統的安全保障體系;對商業秘密與技術秘密進行保護,對企業的利益進行維護;制定出合適的信息系統安全性發展策略,以此來提高銀行抵御風險的能力。
(2)對于從業人員的安全管理。其主要是指對全體員工要加強安全防范的意識培養,加強與信息安全相關的管理知識的宣傳與普及,對各項安全管理的制度要積極地落實,集合全體員工的力量促進銀行信息的安全保障。人員的安全管理實現形式主要是教育和培訓,期培訓的方式主要分為三種,其一是涉及到管理層的安全意識的教育,此舉主要是針對管理層安全意識的教育和培訓,幫助其了解國家信息安全的政策,同時提高其認識,進而能夠指導好安全建設的工作。其二是技術人員的安全技能類培訓,此舉主要是讓其學習更多的安全管理的理論性與技術性知識,以便其可以有效地掌握相關安全管理的理念,掌握好安全產品的操作與維護以及對于安全事件的處理能力,對信息系統安全進行較好的維護。其三是普通員工安全意識的培養,此舉針對的是廣大的信息系統的用戶,對其進行安全培訓,以此來增強其安全防范的意識,發揮集體的力量來維護系統安全。
(3)對于系統建設的管理,其主要是指信息安全要針對信息系統的集成項目和軟件開發的項目,對這些項目進行相應的安全需求的分析與規劃,對于系統的開發需要對輸入的數據驗證和處理過程信息的完整性以及輸出數據進行確認,此舉是為了預防應用系統的信息丟失和錯誤以及未授權信息的修改與誤用。其主要的保護手段是加密。
(4)對于系統運維的管理,其主要是指對信息系統日常操作與維護的管理要加強。逐步地建立與完善相關文檔化操作的流程和相應規范變更的管理流程。同時實行職責分離和分離開發以及測試和生產環境,對于第三方的服務交付需要提出相應的要求,以便確保其所提供服務符合相關協議要求。在系統的規劃方面,需要對未來容量與性能要求進行考慮,同時還要對相關項目建設進行驗收,驗收時要依照具體標準。對于數據備份的策略制定方面,需要確保相關信息的實用性與完整性。此外還包括對于移動介質使用和處置方式的控制與管理。在與外部的組織進行信息交換時要確保其安全性能。此外還包括對于系統運行的監控與管理系統的日志記錄工作和審核工作等。
(5)對于安全審計的管理,其主要的措施是建立起相關信息安全事故的報告流程和確保運用有效和持久的手段進行安全事故的管理。為了對信息系統符合相關法律規定進行確定,需要定期地進行相關信息安全的檢查工作和及時地發現安全隱患,同時要堅持改進。
(6)有關基礎設施的安全,其主要指的是機房環境與設備實體安全的保護,以防基礎設施出現非法使用和物理性破壞以及被偷盜的情況發生,并且要保障這些設備正常運行時需要的電源和溫度以及濕度和防水,同時還包括防塵等。技術設施的安全規劃主要包括以下內容:中心機房與及其基礎的設施的環境建設需要做好,具有防雷電的完整設施,同時還包括防電磁干擾的設施完備。主機房的電源需要設置雙回路的備份機制等。
(7)對于信息系統中涉及到的網絡安全問題。網絡安全主要是以硬件和軟件等形式實現數據和語音以及圖像和傳真網絡傳輸時的安全保障,對安全域與安全區間的網絡通訊私密性與完整性以及可靠性要進行提高。網絡安全規劃的主要內容包括:建立與完善網絡防火墻的安全體系建設,對安全區域實行隔離,對網絡安全的策略進行強化,監控和審計網絡的訪問,以防內部信息出現外泄情形。其具體措施包括以下幾個方面:其一是對IIPS入侵的檢測系統進行建立和完善,以特定檢測技術來識別各種惡意攻擊行為,同時及時的對其攻擊行為進行阻斷,以確保網絡的安全;其二是運用VLAN對網絡進行劃分,對于不同的網絡安全區域進行隔離;其三是以物理級和網絡級以及系統級等認證手段對網絡用戶的訪問權限實時控制,以便確認出使用者權限及其身份。其四是對于網絡日志進行管理的記錄,以此來保證網絡安全具有審計性。其五是以SSL的安全聯結機制來保證外部WEB的鏈接安全,比如說網上銀行等。
(8)基層銀行安全信息系統規劃中涉及到主機的安全,主機系統安全的目標是對主機平臺的系統優質高效的運行進行保障,以防主機系統會遭受到外部與內部破壞或者濫用,同時避免與降低因為主機系統問題而造成的影響,主要針對的是業務系統,另外還需要對訪問的控制與安全審計進行協助應用。其主要規劃內容包括對主機系統的安全管理進行完善,對賬戶系統的管理要嚴格化,對系統服務要實現有效控制,對系統安全配置進行優化。
4 結束語
通過上述分析,我們可以看到現帶信息技術給人們生活帶便利的同時,也給基層銀行信息系統的安全設計規劃和實施帶來了挑戰,本文提出了一些相應的舉措,但是還遠遠不夠,還需要在安全實踐中不斷摸索,不斷改進,不斷適應新的銀行信息風險,保障銀行信息系統的安全運行。
參考文獻:
[1]邱安生.商業銀行信息系統安全保障體系的設計和實現[D].電子科技大學,2011.
[2]傅志勇.國家開發銀行企業銀行信息系統安全解決方案設計與實現[D].山東大學,2008.
[3]趙立洋.商業銀行信息系統安全審計問題研究[D].天津財經大學,2009.
[4]龍延軍.國家開發銀行信息系統安全總體方案設計[D].四川大學,2004.
[5]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京工業大學,2012.
[6]劉嘉.基于綜合判定分析的信息系統安全檢驗技術研究[D].北京郵電大學,2011.
篇8
對于承包海外工程項目的企業,工程所在國的業主對于安全管理特別嚴格,特別是鐵路工程項目,都是政府項目,中國企業在海外工程項目實施過程中一旦發生安全事故,不僅僅是人身傷害或者設備損壞,嚴重的將影響中國企業公司形象。筆者參與的印度鐵路項目為印度政府向世界銀行貸款投資建設,世界銀行全程監控項目執行過程,一旦發生惡性安全事故,企業被列入“黑名單”,恐怕企業在世界銀行投資的項目和印度將再無立足之地,特別嚴重的還可能造成惡劣的政治和外交影響。這就對海外工程項目的安全管理提出更加嚴峻的考驗。
3實施海外項目安全標準化管理的具體內容
項目部要成為安全生產的責任主體,必須形成“層層負責、事事負責、人人負責”的良好局面,實施安全生產標準化所遵循的原則是“管理制度標準化、人員配備標準化、現場管理標準化和過程控制標準化”,通過以上原則,安全責任有了牢固的基石,使安全標準化得到有力的保障。3.1管理制度標準化沒有規矩不成方圓。一個項目健全、適用、科學的安全管理制度,是全體項目成員必須遵守的行為準則,其宗旨是全體項目成員的生命安全和企業的財產安全。“規范作業人員的行為安全”一直是項目安全管理工作的重中之重。唯有如此,項目安全生產工作才從職工的行為上得到控制,這也是安全標準化的具體表現。項目部根據印度鐵路行業有關建設管理的法律法規文件和項目合同,結合項目實際情況,編制安全標準化管理制度。制度需明確安全管理目標,組織機構,危險源管理、安全方案、應急管理方案,明確工作要求,細化工作流程,落實人員責任,完善考核制度。編制制度至少包括:安全風險辨識、安全風險評估、重大危險源管理、應急預案和匯報制度等。3.2人員配備標準化。開展安全生產標準化工作涉及到項目全體成員、全過程和全方位,因此,只有項目主要領導高度重視,才能在人、財、物等方面給予支持和投入,以保證安全目標的實現。建立并落實全員安全生產責任制,實現對項目部和分包商的制約功能、監督功能和檢查評價功能,落實“管生產必須管安全”的原則,明確各級管理人員、各部門、各個分包商、各個現場施工隊的管理職責。人員配備標準化要求根據項目工作崗位配備具有相應技能、能力、知識和溝通協調能力的人員,工作人員素質能力滿足崗位要求。確保項目現場成員接受過安全入場培訓,培訓內容至少包括:當地安全法律法規、項目的安全方針目標、現場工作環境介紹、安全防護用品的佩戴使用、工作期間可能遇到的危險源、應急計劃、現場福利設施等內容。項目部組織開展安全宣傳周,安全知識競賽,安全討論會,張貼安全海報等方式提高項目成員安全意識。3.3現場管理標準化。將安全管理制度發放給全體項目成員和全體分包商,使參與項目建設的人員熟悉制度,自覺執行制度。同時加強對管理制度執行情況的監督,將制度執行情況納入考核范圍,建立定人、定期、定崗、定責、定點的檢查制度,檢查方式應包括:常規檢查、專項檢查、突擊檢查等。對制度進行定期評估,使制度和實際情況緊密結合,避免“兩張皮”情況發生。3.4過程控制標準化。過程控制標準化將現場標準化管理貫穿整個項目過程,將標準化對項目實施全過程管理。為提高項目成員安全風險意識和應急能力,以預案、培訓、演練為主線。針對辦公場所、施工場所和料庫等開展防火安全隱患重點場所,組織消防應急演練和防汛應急演練;對施工現場防高空墜落應急演練;對宿舍區開展消防、食物中毒等進行專項應急演練。每月召開由業主、監理公司、承包商、分包商和其他相關方參與的安全委員會會議,會議議題至少包括:上月現場安全總體情況、上月安全檢查情況、上月事故狀況、審核發現問題的關閉情況,下月安全工作計劃等內容。對分包商開展月度安全評級,由業主代表、監理公司代表和承包商代表組織檢查組依據提前編制月度安全檢查方案對項目工程現場進行安全檢查,要求必須覆蓋全部分包商和高風險作業,根據檢查情況,對分包商進行打分和評定等級,作為月度安委會的輸入資料,通過月度安全等級評分制度,可以幫助分包商提高遵守法律法規、合同中安全條款的程度。為控制醫療衛生、職業環境、傳染病等職業健康風險,通過采取重點部位監測,職業危害告知、個人勞動防護等措施,切實履行職業健康的防范工作,有效保護員工身心健康。開展如下工作:1)職業健康體檢:項目部應組織所有入職員工(需含外籍員工)進行入職體檢。2)與項目成員簽訂合同時,應將項目實施中可能產生的職業危害及其后果和防護措施如實告知項目成員,并在勞動合同中明確。3)對工程作業現場塵毒、噪聲、化學危害、高低溫傷害、輻射傷害等應有防護措施,設置標識,配備防護用品,并留存防護用品發放記錄。4)應配足、配好勞保規定的勞動防護用品。5)項目部應建立員工突出疾病或突發疫情時的應急處置機制;項目部應了解當地常見疾病及其預防措施,密切關注所在國疫情發展,采取必要預防措施,按規定做好疫情的報告。6)施工現場設置工人休息帳篷和飲用水,監控溫度指數情況并及時預警提示施工人員避免發生中暑、曬傷等情況。由于語言、文化和習俗等方面的差異,項目所在國籍勞務人員安全意識淡薄,風險意識缺乏、管理難度較大,需完善項目所在國籍勞務人員的招聘、培訓、考核和解聘等管理工作。聘用當地施工管理人員和安全員,這樣可以提高溝通效率,及時化解矛盾,減小和規避潛在的工程安全風險。
篇9
一、活動時間
從20xx年1月開始,至20xx年春節前結束。
二、活動內容
1、深入宣傳中央和省委會議精神。省財貿系統各級工會在送溫暖活動中,要向廣大職工宣傳黨的十八屆五中全會和省委十三屆八次全會精神,以“十三五”規劃的遠大目標和美好愿景,激發廣大職工參與“四個全面”戰略布局和“兩美”浙江建設的工人階級主人翁精神;要向廣大職工群眾和基層工會干部宣傳中央和省委群團工作會議精神,堅定廣大職工群眾和工會干部跟黨走、聽黨話和支持工會改革發展自覺性;要向困難職工群眾宣傳中央和省委扶貧開發會議精神,增強他們在黨和政府的幫助下擺脫貧困的信心。
2、多途徑開展走訪慰問,切實做好困難職工的生活幫扶。省財貿系統各級工會要深入企業和困難職家庭,實地了解困難職工生活情況和困難企業的需求。要對因低收入、患重癥大病、子女上學、遭受自然災害或突發事件影響致困的職工家庭,采取多種措施幫助解決實際問題,普遍開展節日生活性幫扶,讓困難職工家庭過一個溫暖祥和的節日。省財貿工會將于20xx年1月下旬赴省財貿直屬單位的部分基層企業走訪慰問,慰問活動安排另行通知。
3、積極做好“兩節”期間農民工維權工作。一是要開展農民工工資清欠行動,加強與人社、公安、建設等部門的協調配合,著力治理企業拖欠工資和欠薪逃匿等問題,確保廣大農民工返鄉前及時拿到工資。二是繼續開展“農民工平安返鄉行動”,積極引導和鼓勵基層企業工會,通過組織包專車、專列、專機,辦理農民工團體票等多種措施,幫助廣大農民工解決購票難、乘車難等問題。三是大力開展農民工人文關懷活動,對節日期間堅守工作崗位的職工特別是農民工加強人文關懷,通過組織吃年夜飯、進基層送演出等形式豐富他們的節日生活。
4、開展企業生活后勤保障和安全生產活動。推動企業改善職工生產生活條件,落實安全生產責任制,加強“兩節”期間的安全檢查,消除安全隱患,保障職工身體健康和生命安全。
三、幾點要求
1、加強組織領導。要把“兩節”送溫暖活動作為工會服務職工的一項民心、民生工程做好做實,切實加強組織領導,精心安排活動內容,積極爭取和運用好黨政賦予的資源手段,廣泛動員社會各界參與到送溫暖活動中來,形成各方通力合作的幫扶工作格局。
2、落實節儉要求。在送溫暖活動中,省財貿系統各級工會干部要帶頭落實中央和省委有關清廉節儉的紀律。既要深入一線,了解困難企業和困難職工的實際情況,又要帶頭執行各項紀律要求,做到輕車簡從、務實清廉。要加大宣傳力度,注意及時發現、總結送溫暖活動中的典型經驗和先進事跡,通過輿論宣傳和引導,動員社會各方面力量廣泛參與,營造全社會共同關心、幫扶困難群眾的良好氛圍。
3、健全困難職工檔案。省財貿直屬各單位工會要盡快做好本單位困難職工摸底工作,掌握最新的困難職工情況,登錄工會幫扶工作管理系統“”,完成困難職工電子檔案的錄入和上報工作。省財貿直屬各金融單位工會的困難職工建檔統計到在杭直屬機構。同時報送新增困難職工紙質文檔,以備核對。我會將以工會幫扶工作管理系統中的困難職工檔案為依據,開展好送溫暖活動和幫扶救助。
4、請各市財貿工會、省財貿各直屬工會于2016年1月31日前,及時上報《20xx年工會送溫暖活動統計表》(見附件),紙質報表加蓋公章后寄送至省財貿工會,省財貿直屬單位工會統計表同時通過工會幫扶工作管理系統填寫報送。
2017年工會春節送溫暖活動方案【2】
按照市委、市政府和省總工會的工作要求,市總工會決定在20xx年元旦、春節期間繼續開展以“心系職工情,溫暖進萬家”為主題的送溫暖活動。現就有關事項通知如下:
一、送溫暖活動的主要內容
(一)切實做好困難職工的調查摸底工作。為落實“先建檔、后幫扶、實名制”的要求,避免重復救助,各級工會要在2015年度幫扶救助的基礎上,對本地本單位的困難職工情況進行全面調查摸底。要認真對照幫扶對象的條件,集中時間,深入困難企業和困難職工家中,深入進行調查摸底工作,不斷充實完善、認真填寫困難職工檔案調查表;各區縣總工會要將調查后新增的困難職工信息及時準確詳細地錄入工會幫扶工作軟件系統,為實施幫扶救助奠定基礎。
(二)統籌工會和社會力量,積極開展內容豐富的送溫暖活動。要積極爭取黨政的重視和支持,多方籌集資金,切實做好幫扶工作。要加大工會就業服務力度,為失業人員提供有針對性的職業介紹、技能培訓和創業指導服務,為有創業愿望、有創業能力的下崗失業困難職工提供創業指導和小額貸款。要積極做好農民工平安返鄉工作和兩節期間維權幫扶工作,努力幫助農民工解決購票難、乘車難、返鄉難等問題;要積極配合有關部門加大對農民工工資權益的維護力度,幫助農民工足額按時拿到工資。元旦春節期間,各級工會值班人員要堅守崗位,熱情接待職工群眾的來信來電來訪,為困難職工提供直接、快捷、方便的幫助和服務,并準備必要的資金和生活物品,努力確保隨時提供應急救助。要積極開展人文關懷和精神幫扶工作。
(三)大力推動保障民生政策的落實。各級工會要在走訪過程中,積極宣傳黨委政府在就業、工資收入、醫療、社保、教育、住房等方面出臺的各項保障和改善民生的政策措施,調查了解政策的落實情況;對于在走訪中發現的應該落實而沒有落實的政策問題,要積極主動向政府有關部門反映,推動政策的盡快落實,做到應享盡享。
二、準確把握送溫暖活動的幫扶對象和原則
(一)困難職工的認定標準。困難職工是指城鎮低保家庭或家庭人均月收入略高于本市城鎮居民最低生活保障標準,但由于疾病、子女教育或意外災害等原因,不能維持基本生活的職工(包括困難農民工)。具備下列條件之一的職工家庭,可以列入幫扶救助范圍,并納入困難職工檔案管理范圍:
1.低保邊緣戶職工家庭(低保邊緣戶職工家庭指人均月收入高于當地最低生活保障線50%以內的職工家庭)成員中存在患大病、殘疾等特殊困難的職工;
2.低保職工家庭中經過政府救助后生活仍然困難的職工;
3.家庭人均月收入高于當地最低生活保障線50%以上,職工本人或家庭主要成員患大病、重病、慢性病(具體病種按國家基本醫療保險政策及省市相關的配套辦法、規定執行),年自負醫藥費超過家庭年總收入60%以上的職工;
4.因意外災害、自然災害等原因造成家庭困難的職工;
5.生活特別困難的農民工。
(二)申報困難職工的原則。困難職工的幫扶救助實行屬地管理,分級負責,各級地方工會主要救助困難行業和生產經營困難企業的困難職工;對有困難職工的機關事業單位和生產經營較好的企業提倡自行救助。
三、嚴格困難職工申報程序
為確保困難職工幫扶救助工作公開、公平、公正,對困難職工實施幫扶救助,困難職工必須按照程序,逐級核實申報。區縣的困難職工申報程序由各區縣總工會按照市總工會要求制定。市直的困難職工申報按照以下程序進行:
1.困難職工本人提出申請,并提交有關證明材料(含身份證復印件,屬低保戶的同時提供低保證明復印件);
2.困難職工所在基層工會要逐一入戶調查核實,并統一填寫各類表格;
3.基層工會集體研究;
4.在困難職工所在基層單位公開欄公示5天;
5.報主管部門(委局)工會進行初審、匯總,上報市職工服務中心;
6.市職工服務中心審查;
7.市總工會組織人員分組入戶進行抽查;
8.市困難職工審查委員會集體會審;
9.在日照市總工會網站集中公示7天;
10.批復。
四、切實做好宣傳報道和信息傳報工作
各級工會要高度重視,加強領導,抓緊研究制訂方案,提出切實可行的工作措施,盡快部署,精心組織實施,落實責任,確保各項工作落到實處。要做好開展送溫暖活動的信息、傳報工作,充分利用各種新聞媒體,廣泛宣傳各級黨政對職工群眾的關心愛護,宣傳社會各界對困難職工的支持幫助,宣傳工會開展送溫暖活動的經驗、做法,宣傳廣大職工團結友愛、互助互濟的優良品德,營造全社會關心支持困難職工群體的良好氛圍。
五、幾點要求
1.各級工會要高度重視,認真落實責任,確保調查摸底的各項內容全面、準確、真實。各基層工會要認真對照填表說明,逐條逐項地認真填寫困難職工檔案表的各項內容,特別是要如實填寫職工的困難狀況,嚴禁弄虛作假;市直各委局(產業)工會要對本系統的困難職工情況進行認真審查、把關,夫妻雙方在區縣和市直重復申請救助的以男方為主;對弄虛作假、把關不嚴者,要嚴肅批評,并不予救助;對調查表填寫不認真,填寫內容信息不全面、不符合要求的,要退回重報。市職工服務中心、各區縣總工會要將困難職工信息及時準確詳細地錄入工會幫扶工作軟件系統,為實施幫扶救助奠定基礎。
篇10
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
篇11
在通信領域,信息安全尤為重要,它是通信安全的重要環節。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰爭勝利的重要保障,而且將作為交戰雙方信息攻防的重要手段,貫穿戰爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協會的曾經發出一份報告,稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰備報告》里就強調:執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統大多數還處在“不設防’,的狀態下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發信息系統過程中對信息安全問題不夠重視,許多應用系統處在不設防狀態,具有極大的風險性和危險性。其次,我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協調不夠,對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規劃,妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發,避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統頂層設計的一個重要組成部分,是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一。現代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統,并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發生的概率,進而降低通信組織中信息安全事故發生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統中有兩個系統進行同樣的工作,當其中一個系統故障時,另一個系統仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統安全的基本保障,機房的安全尤為重要,要嚴格監管機房人員的出入,堅決執行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統的安全運行,可以及時關注一些大公司的網站上的系統安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的,能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰,我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環節,采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規
信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規,但從整體上看,我國信息安全法規建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規的研究,及早建立我國信息安全法律法規體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區和部門內的信息安全實行統一管理。
4.4要加強信息安全技術開發,提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術,開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執行。
篇12
計算機和互聯網的出現給我們的生活和工作帶來了革命性的變革,從政治、軍事、宗教、商業、金融到個人生活都與其有著緊密的聯系。它以其高速、共享、開放以及互聯等種種特性,給我們提供了快速、便捷的信息交流平臺、生產控制平臺和海量的資源共享平臺。總之,它給我們生活和工作帶來的便捷前所未有。但是,無論什么事物的存在總會具有兩面性,計算機與互聯網在帶給我們了無比巨大便利的同時,也帶來了許多信息安全方面的隱患。
雖然計算機互聯網具有互連、開放等特性,給我們帶來了很大的便利,但由于其安全機制尚不健全、人們的網絡安全意識不強,也使得這些優點成為了我們信息網絡安全的巨大隱患。惡意軟件、系統漏洞尤其是黑客攻擊都使我們信息網絡安全面臨著巨大的威脅。所以,必須要有足夠安全的防范措施,才能讓計算機與互聯網可以被我們完全掌控、運用,否則它會帶給我們更為嚴重的利益損害,從個人的基本數據信息、企業的財務資金信息到國家的國防安全信息都可能會被篡改、盜用、破壞,而且目前互聯網攻擊方式越來越多、越來越復雜,這意味著我們的信息網絡安全將面臨著更大的威脅。
2 信息網絡安全的定義
狹義上來說,信息網絡安全主要是在網絡中,信息的應用和傳輸必須要保證完整性與私密性。后來許多專業人士與學者依據信息安全的發展和運用狀態,將信息安全總結為四個技術要點。1)機密性:所謂的機密性就是指的信息在傳輸和使用的過程當中,不被沒有經過合法授權的人瀏覽與使用。2)真實性:真實性指的是信息與信息系統自身不被惡意、不合法的偽造與篡改。3)可用性:可用性是指信息的存在具有實際的使用價值,且能夠被合法的授權者所瀏覽、使用。4)可控性:可控性說的是信息與信息系統自身能夠被使用者操作、監控,不出現任何異常拒絕指令的現象。
如今,由于社會發展與個人的需要,互聯網的覆蓋范圍仍在繼續、并將持續擴大,如果不對信息網絡安全問題加大重視,一旦有較大的問題出現,小則會引起個人利益受損,大則會導致社會次序混亂,相信這種結果是誰都不希望發生的。
3 當前信息網絡安全所面臨的主要威脅
3.1 黑客的惡意攻擊
如今,計算機和互聯網已經被大范圍地投入到了我們的生活當中,社會當中的部分人也擁有了較強的計算機網絡操作、控制能力。他們有的出于興趣愛好、有的出于金錢指使,對其他網絡系統發起惡意的攻擊、破壞,以滿足自身的各種“成就感”。在這些攻擊行為當中,一部分是主動的進行系統破壞或是更改、刪除重要的信息,另一部分是被動的進行監聽,竊取他人網絡交流信息,導致信息外泄。
3.2 各種病毒、木馬
如今,各種病毒、木馬在互聯網上泛濫,同時一些間諜軟件、流氓軟件也入侵到許多企業或個人計算機內。這些信息網絡安全威脅的存在,主要是由于操作人員對計算機和互聯網的不良操作,比如未安裝殺毒軟件、沒有及時更新病毒庫和系統補丁,還有就是接入一些安全狀況不明的的網站,下載、安裝一些有“后門”的不良應用軟件等。通常這些問題會降低計算機和網絡的運行速度,造成計算機及網絡的癱瘓。
3.3 系統漏洞
我國絕大多數個人或企業,使用的都是微軟所開發的Windows操作系統。由于一個計算機操作系統過于龐大、復雜,所以它不可能一次性地發現并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷被完善。但是,據一些消息稱,微軟公司對于漏洞信息披露的反應時間為1~2周。但是在這段時間內,這些長久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用,造成對計算機信息網絡安全的威脅。另外,對于開源的Linux系統而言,由于其自身的種種特性使得它具有高于一般系統的安全性,但它的漏洞修補也更加困難。
3.4 網絡硬件系統不牢固
當然,網絡硬件系統不牢固是一個普遍性的問題。當日本被投下原子彈之后,全世界都見證了其殺傷力,美國政府本著建立一種能夠抵御核彈攻擊的信息交流系統而開發了如今我們所使用的互聯網。雖然較之前的信息交流系統相比,互聯網的硬件系統已經具有了較高的穩定性和安全性。但其仍然存在的脆弱性也不可忽視,比如雷電所引發的硬件故障,各種傳輸過程當中受其他因素影響所出現的信息失真等。
4 信息網絡安全防范對策
4.1 防火墻技術
“防火墻”非常形象地說明了其在網絡安全方面的應用。它能在互聯網和內部網之間建立安全網關,以此來達到屏蔽非法用戶侵入的目的。它的具體作用是對網絡間的數據信息傳輸實施控制與監管,并將通信量、數據來源等所有相關信息進行記錄,從而保證信息網絡安全。目前,防火墻可以分為三類。
第一,硬件防火墻。目前市面上大多數的硬件防火墻都是基于專用的硬件平臺,說得直白一點,它們的組成基本上都基于普通計算機構架,與我們平常所見到的計算機沒有多少差異。但與普通計算機不同的是,它運行的都是一些經過簡化或裁減處理的常用舊版操作系統,比如FreeBSD與inuxUnix等,所以它自身也還存在著來自操作系統的一些不可避免的安全影響。
第二,軟件防火墻。軟件防火墻的本質其實就是普通的軟件產品,與我們平常所使用到的軟件并無二異,需要經過在操作系統中安裝完成過后才能起到作用,也就是說它必須獲得計算機操作系統的支持。它的作用與硬件防火墻相同,都是為了保證信息網絡安全,但前者一般運用于不同的網絡之間,后者運用于單獨的計算機系統。
第三,芯片級防火墻。ASIC(Application Specific IntegratedCircuit)芯片是一種可以為專門目的設計而成的集成電路,它具有體積小、性能高、保密性強等特點。也就是說,基于ASIC的芯片級防火墻不僅具有較高的運作能力,其自身的安全漏洞也相對較少。
4.2 數據加密技術
這種技術是通過密匙和加密算法,將原本可讀的重要敏感信息轉換成并無實際意義的密文,而這種密文只有被指定的合法信息使用者才可以恢復原先的真實數據信息。常用的加密方式有線路加密和端對端加密兩種。有線路加密的重心作用發揮在線路上,而對于信源與信宿不考慮。端對端加密是指從發送者端發出的信息通過專業加密軟件,把明文(原文)加密成密文,隨后,進入TCP/IP數據包封裝透過互聯網。當這些經過加密的信息到達目的終端,由合法收件人使用對應的密匙進行解密,把密文恢復成可讀的語言信息。
4.3 網絡入侵檢測技術
這種信息網絡安全防范技術可以通過硬件或是軟件對互聯網中的數據、信息進行分析,
再與已知的網絡入侵特征進行對比,要是發現有疑似違反安全策略的行為或者是有被攻擊的跡象,就會瞬間切斷網絡連接或者是通知防火墻系統調整訪問控制策略。它的主要功能包括幾方面:第一,識別網絡黑客常用的入侵和攻擊手段;第二,時時監測網絡中存在的異常通信;第三,監察系統中存在的漏洞和后門;第四,完善和提高網絡的安全管理質量。
可以看出,入侵檢測系統就是防火墻、IDS系統、防病毒和漏洞掃描系統等技術的綜合體,它涵蓋了所有的優點和阻止功能,并能在計算機網絡系統中實現對安全事件的深度檢測和共同防御,也能在完全不影響網絡性能的前提下對網絡進行監控和檢測,從而最大化地提高信息網絡的安全性。
5 結束語
除了上述幾種信息網絡安全防范對策之外,目前還有網絡安全掃描、訪問認證控制技術等,可以幫助我們做好信息網絡安全保障工作。另外一方面,操作者自身也還需要提高信息網絡安全防范意識與自身的計算機能力水平,這樣才能有效防止信息網絡安全受到威脅與損害。
參考文獻
[1] 王軼軍.淺談計算機信息網絡安全問題的分析與對策[J].黑龍江科技信息,2011,(6):77-78.
[2] 馬學強.計算機信息網絡安全[J].計算機光盤軟件與應用,2012,(5):33-34.
篇13
一、我國鐵路交通運輸行業現狀
中國鐵路運輸行業已有127年的歷史。與計算機、通訊、生物等高新技術行業相比,它是個傳統行業。進入21世紀,世界鐵路交通運輸行業正由傳統行業向現代行業轉變。世界發達國家鐵路在較高的起點上,以全新的方式,用較短的時間,完成了由傳統行業向現代行業的升級,使鐵路這個傳統行業展現出了全新的面貌。而中國鐵路交通運輸行業建設起步并不晚,但與世界發達國家相比,差距很大,還存在很多問題。
改革開放以前,國家鐵路實行“政企合一”的計劃管理體制。這種管理體制,與國家宏觀計劃經濟的整體基礎相適應,也與鐵路當時自身經營的環境與條件相適應。當時我國經濟技術落后,資金資源嚴重短缺,不可能優先發展資金和技術密集度要求較高的航空和公路運輸,適合中國國情、運價低廉的鐵路運輸因而長期處于壟斷優勢地位,沒有面臨生存競爭方面的任何挑戰。
進入新時期之后,國家經濟運行體制由計劃經濟向市場經濟轉變,鐵路運輸行業隨之出現了許多問題,這些問題集中表現在運能短缺上。運能短缺一方面是鐵路物質基礎相當薄弱的基本情況的客觀存在,另一方面是不斷擴大的對客貨運輸的巨大需求。在二者的共同作用下,鐵路運能短缺的問題不可避免。
進入上世紀90年代,全社會爆發出來的巨大貨運需求壓向鐵路,國民經濟發展急需的石油、棉花、糧食、煤炭、磷礦石等重要原材料運輸嚴重受阻,影響東部地區電力供應缺口加大,迫使不少工廠半停產運行。因鐵路發展不足致使國家損失巨大。同時,對局部區域鐵路客運列車而言,一方面有些落后地區根本就沒有開通鐵路交通運輸;另一方面普遍超員嚴重,特別是在重大節假日。客運全面緊張已成為嚴重的社會問題。
二、鐵路交通運輸行業存在的問題
首先,我國鐵路總體規模發展不足且各地區間發展不平衡。建國六十多年來,我國鐵路運輸業雖然有了較快的發展,但近些年,隨著市場經濟改革的進一步縱深和國民經濟發展增速,鐵路運輸行業隨之出現了許多問題,這些問題集中表現在鐵路總體規模發展不足致使運能短缺。目前,隨著我國國民經濟的快速發展,全社會爆發出來的巨大客貨運需求一起壓向鐵路,致使鐵路運能與運量的矛盾突出,因鐵路運輸能力不足造成的后果更加一覽無余。同時,我國鐵路現狀各地區間發展且不平衡。東部地區鐵路較發達,而中西部地區特別是西部地區鐵路比較落后,甚至一些落后地區根本就沒有開通鐵路交通運輸。這種現實狀況將不利于各地區間的協調發展,也對國民經濟的健康發展產生了不利的影響。
其次,鐵路運輸業的屬性未明,阻礙了鐵路運輸業的健康發展。在我國目前鐵路政企不分的經營管理體制下,鐵路運輸業在市場經濟體制中,究竟是純粹公益性行業還是市場主體是不明確的,其屬性處于模糊狀態。這種屬性未明直接結果是人們不把鐵路運輸業當成企業看,認為鐵路運輸業要承擔的是更多的社會責任,鐵路運輸業即使經營入不敷出,政府也是應該財政補貼的。正是這種長期的屬性未明,造成鐵路運輸業缺乏市場競爭的能力和失去降低成本、創造利潤的激情和動力。目前,盡管隨著不斷的國企改革,鐵道部給鐵路運輸企業下放了許多經營權和其他相關權利,但這只是名義上的下放。鐵路運輸企業還遠未成為市場主體。
再次,高壟斷致使鐵路系統內部缺乏競爭機制和服務質量不高。雖然我國鐵路運輸業進行了現代企業制度的改制,但由于改革缺乏正確的引導,在重復中耗費了巨大的改革成本后而收效甚微。企業國有資本的獨占性未從根本上改變,相對獨立經營的體系也尚未建立,仍屬于壟斷式國有企業。壟斷致使鐵路系統內部缺乏競爭機制,扼殺了其競爭活力,使其在日趨激烈的市場競爭面前視而不見、反應遲鈍,是造成鐵路運輸業效能下降的主要原因之一。
最后,鐵路沿線小站安全管理上存在著管理滯后、缺乏持續性等弊端。鐵路沿線小站的安全在鐵路運輸安全中占據著非常重要的地位,不僅影響著鐵路運輸業本身的生產效率和經濟效益,也對社會政治和經濟有著重大影響。目前基層站段對沿線小站的安全管理,存在著管理被動和“以罰代管”等現象。站段安全專職人員一般在事故發生后,在進行安全總結分析后,對有關人員進行處罰,而未進行各種安全業務指導和教育。這種單獨“以罰代管”形式的效果,只能是暫時緩解沿線小站面臨的嚴峻鐵路運輸安全,帶來的后果卻是鐵路員工心理上產生的反抗情緒。這種滯后的安全管理模式是缺乏穩定性和持續性,將會大大削弱了鐵路運輸安全的基礎。
三、鐵路交通運輸行業發展的戰略步驟
首先是實現鐵路交通運輸主業和輔業的分離。根據2005年底鐵道部的統計數據,中國鐵路現在職工人數228.41萬,其中運輸主業職工152.68萬人,可見非運輸主業職工隊伍較龐大,這是世界上其他國家的鐵路行業所沒有的現象,勢必會嚴重制約著鐵路運輸主業的發展。鐵路系統中的社會公共部門,如公檢法、醫院和學校等社會性、事業性單位應剝離出鐵路系統,這些單位可以說都與鐵路運輸沒有直接關系,長期“捆綁”在一起將導致運輸主業專業優勢不突出,競爭能力低下。另外,還應剝離鐵路系統中的輔助產業,即工業、建筑、工程、通信和物資五大公司和若干勘測設計院,還與國家郵電網并存的鐵路通信網等也應被剔除出去。這些部門雖與鐵路運輸相關,但由于沒有實行分賬獨立核算,產業屬性不同,容易導致職責不清。
其次是對鐵路運輸行業進行規范股份制改造。股份制是一百多年來被實踐證明為行之有效的資產組織形式,既可以迅速聚集社會資本,又可以完善公司法人治理結構。鐵路行業在完成主輔業分離的前提下,選擇業內的優質資產,即盈利能力強、管理效率高的資產,結合主干線、客運專線和城際客運鐵路等項目建設,尋求境內外投資者,進行股份制改造,可實現企業持續快速發展。
最后是推動股份制改造成功的企業上市融資。實行股份制改造的目的是拓寬融資渠道,解決鐵路建設資金主要依賴于鐵路建設基金的收取與國家開發銀行的長期借貸而成的長期性的極度短缺問題。其它渠道資金的進入為鐵路加快建設速度和更大程度擴展規模注入了強勁的動力,更重要的是有助于幫助鐵路部門引進新的經營管理理念、建立新機制。而其他渠道資金的籌集主要是通過公司上市來解決的。相比客運而言,貨運業務彼此獨立性較強,更容易把市場前景較好的優良資產單獨剝離出去進行公司化改制;而且,貨運的國際市場開放程度高,可以更好地吸收地方政府、社會和國際投資。因此,應按照先貨運后客運的次序推動股份制改造成功的企業上市融資。
四、鐵路交通運輸行業發展的戰略措施
首先,積極通過多種方式籌集建設基金。在我國,制約鐵路交通運輸發展的關鍵性問題是資金問題。美國鐵路建設之所以能在1887年一年中鋪軌2萬多公里,一個重要的原因就是擁有發達完善的資本市場,可以迅速吸收國內外的投資資金。我國的資本市場雖不發達,但卻具備了許多吸收投資的有利條件。在籌集資金的過程中,除了在國內外金融市場上進行股本融資這一方式外,可以選擇的方式還有直接債務融資、利用國際貸款以及融資租賃等。
其次,明確政府的角色定位,積極轉變政府職能,推進現代企業規范制改革。在“政企分開”的基礎上,還需要對鐵路運輸行業進行規范的公司制改造,建立有效激勵、嚴格約束、責權利相統一的法人治理機構。積極落實鐵路運輸企業的市場主體地位,完善資產經營責任制;實現政企分開、社企分開、事企分開和減員增效,組建客運公司及專業貨運公司,為實現運輸專業化打下良好基礎。
