時間:2022-11-10 13:24:17
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇銀行安全總結,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP311.52
1 基層銀行的信息系統遇到的主要安全威脅
由于銀行的信息系統建設一直在不斷地向縱深處發展,銀行已經全面地進入了其業務的系統整合與數據集中的全新發展階段。這種集約化經營數據不斷集中的趨勢,從一方面來講是適應銀行業務不斷發展的要求,但是從另一方面來講,卻使銀行信息系統的安全風險也集中起來,增加了安全的隱患。具體來講基層銀行信息系統的安全隱患主要包括互聯網風險和外部機構風險以及不信任網絡風險和結構內部風險,同時還包括災難性的風險等五種安全隱患。
2 基層銀行的信息系統安全規劃設計與實施的主要原則和等級劃分
2.1 基層銀行的信息系統安全規劃設計與實施的主要原則
銀行的信息系統安全是一個涉及到規劃與管理以及技術等很多因素的具有系統性的工程,其屬于一種不斷持續發展和動態發展的進程。對于基層銀行的信息系統安全規劃設計與實施來說。技術是實現安全保障的主體性因素,而管理是具備安全保障的靈魂性因素。在安全規劃與設計中,只有把具有科學性與合理性的管理貫徹落實在信息安全的維護之中,才能夠實現網絡安全在穩定性與長期性方面的保證。而銀行信息系統安全的具體原則主要包括了明確責任與安全保護并舉,依照標準和自行保護同時進行,同步建設與動態調整相互促進,指導監督和重點保護齊頭并進四條原則。
2.2 關于基層銀行的信息系統安全等級的介紹
銀行信息系統的安全等級具體指的是對于國家級別的秘密信息和法人以及替他組織和公民專有的信息與公開的信息,同時還包括存儲和傳輸以及處理此類信息涉及到的信息系統的等級,對這些等級實施安全保護,對信息系統里面使用到的信息安全類產品進行一定安全等級的管理,對于信息系統里面出現的信息安全類事件需要分等級地進行回應和處置。依據信息系統和信息對于國家的安全和經濟建設以及社會生活所起作用的重要性,在其遭到破壞以后就國家安全和社會秩序以及公共利益和公民,還包括法人以及其他各種組織在合法權益方面的危害性來講,針對相關信息保密程度和完整程度以及實用性要求和信息系統所要達到的基本性安全保護的水準等因素,筆者總結出信息系統安全保護的五個等級:第一個等級是自主保護,第二個等級是指導保護,第三個等級是監督保護,第四個等級是強制保護,第五個等級是專控保護。
2.3 銀行信息系統安全等級的評估
在對銀行信息系統安全等級考量需要考慮到以下幾個因素:第一個因素是安全系統的類型,也就是信息系統安全利益的主體。第二個因素是信息系統所要處理業務信息的類別。第三個因素是信息系統服務的范圍,主要包括了其服務的對象與服務網絡所涉及到的范圍。第四個因素是信息系統業務依賴的程度,也就是手工作業可以替代信息系統進行業務處理的程度。
3 基層銀行的信息系統安全設計規劃和實施的主要內容
3.1 基層銀行信息系統的安全體系和特點
基層銀行信息的安全體系主要包含安全管理的體系與安全技術的體系,這兩者對于銀行信息系統安全維護來說,是兩個不能分割的部分,通常情況下的技術與管理需要相互之間提供一定的支撐,以此來確保兩種功能的有效實現。對安全管理的體系進行構建,其主要是出于信息系統里面各種角色的管理。以一種管理體系文檔化的形式,監督和控制各種角色的種種活動,主要是在系統通常運行的維護工作過程中,主要涉及到各種政策和制度以及規范和流程,同時還包括日志方面的監督與控制。這種安全管理體系的組成部分通常分為五個部分,主要是安全管理的組織與人員的安全管理,系統建設的安全管理,系統運維的安全管理以及安全審計的管理。就安全技術的體系來講,其主要功能是對信息系統提供技術安全類的機制設施,其實現形式是信息系統里面部署相應的軟件與硬件,同時對其以正確的形式配置系統的安全功能,以此來實現。安全技術的體系組成部分也是五個部分,主要包括基礎設施的安全和網絡安全以及主機安全和應用安全,同時還有數據的安全。
3.2 基層銀行的信息系統安全建設的方法論
依據國家標準的ISO17799/ISO27001中的信息安全維護的管理標準建立起信息安全的管理體系,其具體內容主要包括以下幾個方面:
(1)計劃,也就是建立ISMS,對于ISMS的相關政策和控制的措施以及過程與流程實施和操作等。
(2)執行,其主要是指實施和執行ISMS,對ISMS政策與控制措施以及過程和流程的實施和操作等。
(3)查核,其主要是指監督和審查ISMS,依照ISMS政策和目標及其實際的經驗,用來評鑒和測量其過程的績效,同時把評鑒與測量的結果回饋給相應的管理層,讓其審查。
(4)行動,其主要指的是維持和改進ISMS,依照內部的ISMS稽核和管理層的審查以及其他相應信息的結果采取對應的校正和預防性措施,以便實現信息安全的管理系統的持續性改進。
3.3 基層銀行的信息系統安全規劃實施的主要內容
基層銀行的信息系統安全規劃實施的主要內容包括以下幾個方面:
(1)信息安全的組織建設。其主要是指在組織的內部建立起跨部門式信息安全的協調與溝通的機制,為的是實現組織內的信息安全管理,同時能夠識別和外部組織有關連的一類風險,對信息安全的職責進行定義與分配,對于信息安全的工作進行定期評審。另外需要建立起專門負責信息安全的管理委員會,不斷地推動信息安全的規劃與實施,主要出發點是組織架構層面,此機構主要負責以下事項:對信息系統的安全保障的體系建設進行有力推動;周期性地評估與識別信息系統的安全保障體系;對商業秘密與技術秘密進行保護,對企業的利益進行維護;制定出合適的信息系統安全性發展策略,以此來提高銀行抵御風險的能力。
(2)對于從業人員的安全管理。其主要是指對全體員工要加強安全防范的意識培養,加強與信息安全相關的管理知識的宣傳與普及,對各項安全管理的制度要積極地落實,集合全體員工的力量促進銀行信息的安全保障。人員的安全管理實現形式主要是教育和培訓,期培訓的方式主要分為三種,其一是涉及到管理層的安全意識的教育,此舉主要是針對管理層安全意識的教育和培訓,幫助其了解國家信息安全的政策,同時提高其認識,進而能夠指導好安全建設的工作。其二是技術人員的安全技能類培訓,此舉主要是讓其學習更多的安全管理的理論性與技術性知識,以便其可以有效地掌握相關安全管理的理念,掌握好安全產品的操作與維護以及對于安全事件的處理能力,對信息系統安全進行較好的維護。其三是普通員工安全意識的培養,此舉針對的是廣大的信息系統的用戶,對其進行安全培訓,以此來增強其安全防范的意識,發揮集體的力量來維護系統安全。
(3)對于系統建設的管理,其主要是指信息安全要針對信息系統的集成項目和軟件開發的項目,對這些項目進行相應的安全需求的分析與規劃,對于系統的開發需要對輸入的數據驗證和處理過程信息的完整性以及輸出數據進行確認,此舉是為了預防應用系統的信息丟失和錯誤以及未授權信息的修改與誤用。其主要的保護手段是加密。
(4)對于系統運維的管理,其主要是指對信息系統日常操作與維護的管理要加強。逐步地建立與完善相關文檔化操作的流程和相應規范變更的管理流程。同時實行職責分離和分離開發以及測試和生產環境,對于第三方的服務交付需要提出相應的要求,以便確保其所提供服務符合相關協議要求。在系統的規劃方面,需要對未來容量與性能要求進行考慮,同時還要對相關項目建設進行驗收,驗收時要依照具體標準。對于數據備份的策略制定方面,需要確保相關信息的實用性與完整性。此外還包括對于移動介質使用和處置方式的控制與管理。在與外部的組織進行信息交換時要確保其安全性能。此外還包括對于系統運行的監控與管理系統的日志記錄工作和審核工作等。
(5)對于安全審計的管理,其主要的措施是建立起相關信息安全事故的報告流程和確保運用有效和持久的手段進行安全事故的管理。為了對信息系統符合相關法律規定進行確定,需要定期地進行相關信息安全的檢查工作和及時地發現安全隱患,同時要堅持改進。
(6)有關基礎設施的安全,其主要指的是機房環境與設備實體安全的保護,以防基礎設施出現非法使用和物理性破壞以及被偷盜的情況發生,并且要保障這些設備正常運行時需要的電源和溫度以及濕度和防水,同時還包括防塵等。技術設施的安全規劃主要包括以下內容:中心機房與及其基礎的設施的環境建設需要做好,具有防雷電的完整設施,同時還包括防電磁干擾的設施完備。主機房的電源需要設置雙回路的備份機制等。
(7)對于信息系統中涉及到的網絡安全問題。網絡安全主要是以硬件和軟件等形式實現數據和語音以及圖像和傳真網絡傳輸時的安全保障,對安全域與安全區間的網絡通訊私密性與完整性以及可靠性要進行提高。網絡安全規劃的主要內容包括:建立與完善網絡防火墻的安全體系建設,對安全區域實行隔離,對網絡安全的策略進行強化,監控和審計網絡的訪問,以防內部信息出現外泄情形。其具體措施包括以下幾個方面:其一是對IIPS入侵的檢測系統進行建立和完善,以特定檢測技術來識別各種惡意攻擊行為,同時及時的對其攻擊行為進行阻斷,以確保網絡的安全;其二是運用VLAN對網絡進行劃分,對于不同的網絡安全區域進行隔離;其三是以物理級和網絡級以及系統級等認證手段對網絡用戶的訪問權限實時控制,以便確認出使用者權限及其身份。其四是對于網絡日志進行管理的記錄,以此來保證網絡安全具有審計性。其五是以SSL的安全聯結機制來保證外部WEB的鏈接安全,比如說網上銀行等。
(8)基層銀行安全信息系統規劃中涉及到主機的安全,主機系統安全的目標是對主機平臺的系統優質高效的運行進行保障,以防主機系統會遭受到外部與內部破壞或者濫用,同時避免與降低因為主機系統問題而造成的影響,主要針對的是業務系統,另外還需要對訪問的控制與安全審計進行協助應用。其主要規劃內容包括對主機系統的安全管理進行完善,對賬戶系統的管理要嚴格化,對系統服務要實現有效控制,對系統安全配置進行優化。
4 結束語
通過上述分析,我們可以看到現帶信息技術給人們生活帶便利的同時,也給基層銀行信息系統的安全設計規劃和實施帶來了挑戰,本文提出了一些相應的舉措,但是還遠遠不夠,還需要在安全實踐中不斷摸索,不斷改進,不斷適應新的銀行信息風險,保障銀行信息系統的安全運行。
參考文獻:
[1]邱安生.商業銀行信息系統安全保障體系的設計和實現[D].電子科技大學,2011.
[2]傅志勇.國家開發銀行企業銀行信息系統安全解決方案設計與實現[D].山東大學,2008.
[3]趙立洋.商業銀行信息系統安全審計問題研究[D].天津財經大學,2009.
[4]龍延軍.國家開發銀行信息系統安全總體方案設計[D].四川大學,2004.
[5]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京工業大學,2012.
[6]劉嘉.基于綜合判定分析的信息系統安全檢驗技術研究[D].北京郵電大學,2011.
[7]楊峰.商業銀行IT風險識別與評估研究[D].電子科技大學,2012.
論文摘要:網絡上的動態網站以ASP為多數,我們學校的網站也是ASP的。筆者作為學校網站的制作和維護人員,與ASP攻擊的各種現象斗爭了多次,也對網站進行了一次次的修補,根據工作經驗,就ASP網站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態網站開發經驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
關鍵詞:鐵路;運輸業;發展
根據《2006年中國鐵路運輸市場研究報告研究報告》,隨著改革開放的深化以及經濟產業結構的調整,交通運輸企業煥發出前所未有的活力,各種運輸方式發展迅猛。鐵路交通運輸雖然運量逐年增長,但市場份額卻逐年下降,鐵路面臨著越來越嚴峻的挑戰。在國民經濟各部門中,尤其是在交通運輸部門中,鐵路運輸的發展呈現滯后狀態。這種狀況與“鐵路是國家的重要基礎設施,是國民經濟的重要基礎產業部門,是綜合交通運輸體系的骨干”的地位不相適應,有些地區的線路甚至無法支撐運輸需求的巨大壓力,鐵路運輸發展滯后對經濟發展的制約作用明顯存在。
一、我國鐵路交通運輸行業現狀
中國鐵路運輸行業已有127年的歷史。與計算機、通訊、生物等高新技術行業相比,它是個傳統行業。進入21世紀,世界鐵路交通運輸行業正由傳統行業向現代行業轉變。世界發達國家鐵路在較高的起點上,以全新的方式,用較短的時間,完成了由傳統行業向現代行業的升級,使鐵路這個傳統行業展現出了全新的面貌。而中國鐵路交通運輸行業建設起步并不晚,但與世界發達國家相比,差距很大,還存在很多問題。
改革開放以前,國家鐵路實行“政企合一”的計劃管理體制。這種管理體制,與國家宏觀計劃經濟的整體基礎相適應,也與鐵路當時自身經營的環境與條件相適應。當時我國經濟技術落后,資金資源嚴重短缺,不可能優先發展資金和技術密集度要求較高的航空和公路運輸,適合中國國情、運價低廉的鐵路運輸因而長期處于壟斷優勢地位,沒有面臨生存競爭方面的任何挑戰。
進入新時期之后,國家經濟運行體制由計劃經濟向市場經濟轉變,鐵路運輸行業隨之出現了許多問題,這些問題集中表現在運能短缺上。運能短缺一方面是鐵路物質基礎相當薄弱的基本情況的客觀存在,另一方面是不斷擴大的對客貨運輸的巨大需求。在二者的共同作用下,鐵路運能短缺的問題不可避免。
進入上世紀90年代,全社會爆發出來的巨大貨運需求壓向鐵路,國民經濟發展急需的石油、棉花、糧食、煤炭、磷礦石等重要原材料運輸嚴重受阻,影響東部地區電力供應缺口加大,迫使不少工廠半停產運行。因鐵路發展不足致使國家損失巨大。同時,對局部區域鐵路客運列車而言,一方面有些落后地區根本就沒有開通鐵路交通運輸;另一方面普遍超員嚴重,特別是在重大節假日。客運全面緊張已成為嚴重的社會問題。
二、鐵路交通運輸行業存在的問題
首先,我國鐵路總體規模發展不足且各地區間發展不平衡。建國六十多年來,我國鐵路運輸業雖然有了較快的發展,但近些年,隨著市場經濟改革的進一步縱深和國民經濟發展增速,鐵路運輸行業隨之出現了許多問題,這些問題集中表現在鐵路總體規模發展不足致使運能短缺。目前,隨著我國國民經濟的快速發展,全社會爆發出來的巨大客貨運需求一起壓向鐵路,致使鐵路運能與運量的矛盾突出,因鐵路運輸能力不足造成的后果更加一覽無余。同時,我國鐵路現狀各地區間發展且不平衡。東部地區鐵路較發達,而中西部地區特別是西部地區鐵路比較落后,甚至一些落后地區根本就沒有開通鐵路交通運輸。這種現實狀況將不利于各地區間的協調發展,也對國民經濟的健康發展產生了不利的影響。
其次,鐵路運輸業的屬性未明,阻礙了鐵路運輸業的健康發展。在我國目前鐵路政企不分的經營管理體制下,鐵路運輸業在市場經濟體制中,究竟是純粹公益性行業還是市場主體是不明確的,其屬性處于模糊狀態。這種屬性未明直接結果是人們不把鐵路運輸業當成企業看,認為鐵路運輸業要承擔的是更多的社會責任,鐵路運輸業即使經營入不敷出,政府也是應該財政補貼的。正是這種長期的屬性未明,造成鐵路運輸業缺乏市場競爭的能力和失去降低成本、創造利潤的激情和動力。目前,盡管隨著不斷的國企改革,鐵道部給鐵路運輸企業下放了許多經營權和其他相關權利,但這只是名義上的下放。鐵路運輸企業還遠未成為市場主體。
再次,高壟斷致使鐵路系統內部缺乏競爭機制和服務質量不高。雖然我國鐵路運輸業進行了現代企業制度的改制,但由于改革缺乏正確的引導,在重復中耗費了巨大的改革成本后而收效甚微。企業國有資本的獨占性未從根本上改變,相對獨立經營的體系也尚未建立,仍屬于壟斷式國有企業。壟斷致使鐵路系統內部缺乏競爭機制,扼殺了其競爭活力,使其在日趨激烈的市場競爭面前視而不見、反應遲鈍,是造成鐵路運輸業效能下降的主要原因之一。
最后,鐵路沿線小站安全管理上存在著管理滯后、缺乏持續性等弊端。鐵路沿線小站的安全在鐵路運輸安全中占據著非常重要的地位,不僅影響著鐵路運輸業本身的生產效率和經濟效益,也對社會政治和經濟有著重大影響。目前基層站段對沿線小站的安全管理,存在著管理被動和“以罰代管”等現象。站段安全專職人員一般在事故發生后,在進行安全總結分析后,對有關人員進行處罰,而未進行各種安全業務指導和教育。這種單獨“以罰代管”形式的效果,只能是暫時緩解沿線小站面臨的嚴峻鐵路運輸安全,帶來的后果卻是鐵路員工心理上產生的反抗情緒。這種滯后的安全管理模式是缺乏穩定性和持續性,將會大大削弱了鐵路運輸安全的基礎。
三、鐵路交通運輸行業發展的戰略步驟
首先是實現鐵路交通運輸主業和輔業的分離。根據2005年底鐵道部的統計數據,中國鐵路現在職工人數228.41萬,其中運輸主業職工152.68萬人,可見非運輸主業職工隊伍較龐大,這是世界上其他國家的鐵路行業所沒有的現象,勢必會嚴重制約著鐵路運輸主業的發展。鐵路系統中的社會公共部門,如公檢法、醫院和學校等社會性、事業性單位應剝離出鐵路系統,這些單位可以說都與鐵路運輸沒有直接關系,長期“捆綁”在一起將導致運輸主業專業優勢不突出,競爭能力低下。另外,還應剝離鐵路系統中的輔助產業,即工業、建筑、工程、通信和物資五大公司和若干勘測設計院,還與國家郵電網并存的鐵路通信網等也應被剔除出去。這些部門雖與鐵路運輸相關,但由于沒有實行分賬獨立核算,產業屬性不同,容易導致職責不清。
其次是對鐵路運輸行業進行規范股份制改造。股份制是一百多年來被實踐證明為行之有效的資產組織形式,既可以迅速聚集社會資本,又可以完善公司法人治理結構。鐵路行業在完成主輔業分離的前提下,選擇業內的優質資產,即盈利能力強、管理效率高的資產,結合主干線、客運專線和城際客運鐵路等項目建設,尋求境內外投資者,進行股份制改造,可實現企業持續快速發展。
最后是推動股份制改造成功的企業上市融資。實行股份制改造的目的是拓寬融資渠道,解決鐵路建設資金主要依賴于鐵路建設基金的收取與國家開發銀行的長期借貸而成的長期性的極度短缺問題。其它渠道資金的進入為鐵路加快建設速度和更大程度擴展規模注入了強勁的動力,更重要的是有助于幫助鐵路部門引進新的經營管理理念、建立新機制。而其他渠道資金的籌集主要是通過公司上市來解決的。相比客運而言,貨運業務彼此獨立性較強,更容易把市場前景較好的優良資產單獨剝離出去進行公司化改制;而且,貨運的國際市場開放程度高,可以更好地吸收地方政府、社會和國際投資。因此,應按照先貨運后客運的次序推動股份制改造成功的企業上市融資。
四、鐵路交通運輸行業發展的戰略措施
首先,積極通過多種方式籌集建設基金。在我國,制約鐵路交通運輸發展的關鍵性問題是資金問題。美國鐵路建設之所以能在1887年一年中鋪軌2萬多公里,一個重要的原因就是擁有發達完善的資本市場,可以迅速吸收國內外的投資資金。我國的資本市場雖不發達,但卻具備了許多吸收投資的有利條件。在籌集資金的過程中,除了在國內外金融市場上進行股本融資這一方式外,可以選擇的方式還有直接債務融資、利用國際貸款以及融資租賃等。
其次,明確政府的角色定位,積極轉變政府職能,推進現代企業規范制改革。在“政企分開”的基礎上,還需要對鐵路運輸行業進行規范的公司制改造,建立有效激勵、嚴格約束、責權利相統一的法人治理機構。積極落實鐵路運輸企業的市場主體地位,完善資產經營責任制;實現政企分開、社企分開、事企分開和減員增效,組建客運公司及專業貨運公司,為實現運輸專業化打下良好基礎。
第三,積極推進鐵路行業技術引進開發,提高行業服務質量。我國鐵路系統經過近年來的技術引進和自主開發,鐵路技術的開發應用已呈現出加速追趕的趨勢。當前的工作重點是高速鐵路系統技術開發及建設;鐵路行車安全技術保障系統開發;重型優質鋼軌及新型軌枕制造;編組站自動化、裝卸作業機械化及貨場設備制造;鐵路客貨運信息系統開發等。為順利實現鐵路運輸行業的戰略目標,鐵路運輸系統干部和職工必須轉變工作是完成國家運輸任務的思想,樹立鐵路運輸行業具有服務性特別強、同時競爭性也特別強的觀念,此外還需要不斷的學習和演練來更新自己的服務知識和技能。
近期,國務院下發了《關于進一步加強企業安全生產工作的通知》(國發[]23號),省政府印發了《關于貫徹落實國發[]23號文件進一步加強企業安全生產工作的意見》(魯政發[]77號)。為不斷強化全區安全生產基層基礎工作,全面提高企業安全生產水平,確保安全生產形勢持續穩定,根據市人民政府《轉發省政府關于貫徹落實國發[]23號文件進一步加強企業安全生產工的意見的通知》(濟政發[]22號)要求,結合我區實際,特提出以下實施意見:
一、總體要求
1.工作要求。深入貫徹落實科學發展觀,堅持以人為本,牢固樹立安全發展理念,切實轉變經濟發展方式,調整產業結構,提高經濟發展的質量和效益,把經濟發展建立在安全生產有可靠保障的基礎上;繼續深入貫徹區委、區政府《關于進一步加強安全生產工作的實施意見》(濟天發〔〕3號),完善黨委領導、政府監管下的安全生產工作格局,促進企業主體責任落實;堅持“安全第一、預防為主、綜合治理”的方針,全面加強企業安全管理,健全規章制度,完善安全標準,提高企業技術水平,夯實安全生產基礎;堅持依法依規生產經營,切實加強安全監管,強化企業安全生產主體責任落實和責任追究,保障企業安全發展。
2.主要任務。以危險化學品、交通運輸、建筑施工、煙花爆竹、非煤礦山、民用爆炸物品、建材、機械、輕工、紡織、商貿市場等行業(領域)為重點,全面加強企業安全生產工作。要通過更加嚴格的目標考核和責任追究,采取更加有效的管理手段和政策措施,集中整治非法違法生產行為,堅決遏制重特大事故發生;在高危行業強制推行安全適用的技術裝備和防護設施,進一步完善安全生產應急救援體系,最大程度減少事故造成的損失;要建立更加完善的技術標準體系,促進企業安全生產技術裝備全面達到國家和行業標準;要進一步調整產業結構,積極推進重點行業的企業重組和整合,徹底淘汰安全性能低下、危及安全生產的落后產能;以更加有力的政策引導,形成安全生產長效機制。
3.工作目標。企業安全生產水平明顯提升,生產安全事故起數和死亡人數持續下降,遏制較大事故,堅決防止重特大事故,實現全區安全生產形勢持續好轉。
二、嚴格企業管理,強化企業安全生產主體責任
4.嚴格執行企業安全生產風險分析和預警制度。堅持預防為主,企業要建立完善安全生產動態監控及預警預報體系,每月進行一次安全生產風險分析。發現事故征兆要立即預警信息,落實防范和應急處置措施。對重大危險源和重大隱患要報當地安全生產監管監察部門、負有安全生產監管職責的有關部門和行業管理部門備案。
5.嚴格執行各項安全生產規章制度。企業要健全完善并嚴格執行各項安全生產規章制度,規范生產經營行為,堅持不安全不生產。要加強勞動組織管理和現場安全管理,嚴格查處違章指揮、違規作業、違反勞動紀律的“三違”行為。凡超能力、超強度、超定員組織生產的,要責令停產停工整頓,并對企業和企業主要負責人依法給予規定上限的經濟處罰。
6.嚴格執行“打非治違”制度。要督促企業嚴格遵守各項安全生產法律法規,對于非法違法生產經營建設行為,要嚴厲打擊,形成嚴格規范的安全生產法治秩序。對非法違法行為必須做到“四個一律”:對非法生產經營建設和經停產整頓仍未達到要求的,一律關閉取締;對非法違法生產經營建設的有關單位和責任人,一律按規定上限予以經濟處罰;對存在違法生產經營建設行為的單位,一律責令停產整頓,并嚴格落實監管措施;對觸犯法律的有關單位和人員,一律依法嚴格追究法律責任。
7.嚴格執行企業隱患排查治理制度。企業是隱患排查治理主體,要開展經常性的隱患排查治理,并切實做到整改措施、責任、資金、時限和預案“五到位”。建立以安全生產專業人員為主導的隱患整改效果評價制度,確保整改到位。對隱患整改不力造成事故的,要依法追究企業和企業相關負責人的責任。對停產整改逾期未完成的不得復產。
8.嚴格執行領導干部輪流現場帶班制度。企業主要負責人和領導班子成員要輪流現場帶班。對發生事故而沒有領導現場帶班的,對企業給予規定上限的經濟處罰,并依法從重追究企業主要負責人的責任。
9.嚴格執行職工安全培訓制度。對企業主要負責人和安全生產管理人員、特種作業人員必須經過嚴格培訓考核,按國家有關規定持職業資格證書上崗。職工必須全部經過培訓合格后上崗。加強企業安全培訓師資建設,確保全員培訓質量。凡存在不經培訓上崗、無證上崗的企業,依法停產整頓。對存在特種作業人員無證上崗的企業,情節嚴重的要依法予以關閉。
10.嚴格執行安全生產長期投入制度。企業在制定財務預算中必須確定必要的安全投入。高危行業企業探索實行全員安全風險抵押金制度,積極穩妥推行安全生產責任保險制度。完善落實工傷保險制度,依據不同地區和企業單位的安全生產狀況,通過調整繳費比例,促進安全生產工作。
11.嚴格執行企業安全生產信用掛鉤聯動制度。將企業的安全生產分級評價結果,作為信用評級的重要考核依據;對發生重特大事故或一年內發生2次以上較大事故的,一年內嚴格限制新增項目核準、用地審批、證券融資等,并作為銀行貸款的重要參考依據。
12.嚴格執行現場緊急撤人避險制度。嚴格執行高危企業“逢大暴雨天氣停產撤人”的規定。企業生產現場帶班人員、班組長和調度人員有在遇到險情第一時間下達停產撤人命令的直接決策權和指揮權。
13.嚴格執行工傷事故死亡職工一次性賠償制度。從2011年1月1日起,依照《工傷保險條例》的規定,對因生產安全事故造成的職工死亡,其一次性工亡補助標準按不低于全國上一年度城鎮居民人均可支配收入的20倍計算,發放給工亡職工近親屬。
14.嚴格執行企業負責人職業資格否決制度。對重大、特別重大事故負有主要責任的企業主要負責人,終身不得擔任本行業企業的廠長、經理。對較大事故負有主要責任的企業主要負責人,5年內不得擔任本行業企業的廠長、經理。
15.嚴格執行先進適用技術裝備強制推行制度。化工企業自動化控制系統要在今年年底前完成。逾期未安裝的,要依法暫扣安全生產許可證和生產許可證。運輸危險化學品、煙花爆竹、民用爆破物品的專用車輛,旅游包車和三類以上的班線客車安裝使用具有行駛記錄功能的衛星定位裝置,要在2年內完成。
16.嚴格執行高危企業安全生產標準核準制度。要把符合安全生產標準要求作為高危行業企業準入的前置條件,嚴把安全準入關。各行業管理部門和負有安全生產監管職責的有關部門要根據行業技術進步和產業升級的要求,認真落實生產、安全技術標準和高危行業從業人員資格標準。對實施許可證管理制度的危險性作業要制定落實專項安全技術作業規程和崗位安全操作規程。
17.嚴格執行企業生產技術管理和設備安全管理制度。強化企業技術管理機構的安全職能,按規定配備安全技術人員,切實落實企業負責人安全生產技術管理負責制,強化企業主要技術負責人技術決策和指揮權。因安全生產技術問題不解決產生重大隱患的,要對企業主要負責人、主要技術負責人和有關人員給予處罰;發生事故的,依法追究責任。凡是發現設備安全管理不到位,檢查、維護、更新不及時的,要立即責令停產整頓。
18.嚴格執行建設項目安全設施核準審批制度。安全設施與建設項目主體工程未做到同時設計的一律不予審批,未做到同時施工的責令立即停止施工,未同時投入使用的不得頒發安全生產許可證。對項目建設生產經營單位存在違法分包、轉包等行為的,立即依法停工停產整頓,并追究項目業主、承包方及建設、設計、施工、監理、監管等各方責任。
19.嚴格執行化工企業試生產方案備案制度。要認真貫徹落實《山東省化工裝置安全試車工作規范》和《山東省化工裝置安全試車十個嚴禁》,嚴格執行試生產方案備案制度,接到企業備案申請后,安全監管人員必須進行現場審查,凡是不符合規定要求、不具備試車條件的,一律不允許試車。
20.嚴格落實外包工程等安全管理制度。凡是將生產經營項目、場所、設備發包或者出租的單位,應當履行安全生產協調、管理職責,并與承包單位、承租單位簽訂專門的安全生產管理協議,或者在承包合同、租賃合同中約定有關的安全生產管理事項。未簽訂安全生產管理協議或者未約定安全生產管理事項,未對承包(承租)單位履行安全生產協調、管理職責,發生事故的,追究發包或者出租單位的相應責任。
21.嚴格執行城區地面挖掘安全確認制度。施工企業在挖掘地面前,要認真查閱有關資料,全面摸清項目涉及區域地下管道的分布和走向,制定可靠的保護措施,并嚴格按照安全施工要求進行作業,嚴禁在不明情況下,進行地面開挖作業。管道業主單位要對地下管道情況進行現場交底,并作出明確的標識,必要時在作業現場安排專人監護,確保地下危險化學品輸送管道安全。
22.嚴格落實應急救援演練制度。高危企業、高層建筑和地下商場每年都要開展一次應急救援演練,通過演練,不斷完善應急救援預案和組織指揮體系。
三、嚴格監督管理,落實政府安全監管職責
23.嚴格執行安全生產規劃發展制度。要更加注重經濟發展方式轉變,切實把安全生產納入經濟社會發展的總體布局,在制定發展規劃時,要同步明確安全生產目標和專項規劃。要加快產業重組步伐,充分發揮產業政策導向和市場機制的作用,加大對相關高危行業企業重組力度,進一步整合或淘汰浪費資源、安全保障低的落后產能,提高安全基礎保障能力。
24.嚴格執行強制淘汰落后技術產品制度。對不符合有關安全標準、安全性能低下、職業危害嚴重、危及安全生產的落后技術、工藝和裝備要列入產業結構調整指導目錄,予以強制性淘汰。各級各部門要支持有效消除重大安全隱患的技術改造和搬遷項目,對存在落后技術裝備、構成重大安全隱患的企業,要予以公布,責令限期整改,逾期未整改的依法予以關閉。
25.嚴格執行政府掛牌督辦制度。對重大安全隱患治理實行下達整改指令和逐級掛牌督辦制度,區政府相關部門加強督促檢查。對事故查處實行層層掛牌督辦,一般事故的查處由區安委會辦公室掛牌督辦,并實行嚴格的備案制度。
26.嚴格執行安全目標考核和通報制度。要層層簽訂安全生產目標責任書和承諾責任書,把全年目標任務分解落實到各級、各部門和企業單位。各街鎮、各部門每月要召開一次安全生產形勢分析會和安全生產工作部署會,嚴格控制事故指標。區政府把安全生產工作納入全區科學發展考核體系,年終進行嚴格考核。
27.嚴格執行事故責任追究制度。對發生的較大及以上生產安全事故,要根據情節輕重,追究各級“一崗雙責”分管領導或主要領導的責任。
四、加強基層基礎建設,增強安全生產監管保障能力
28.加強安全監管力量建設。加強安全生產監管和執法隊伍建設。各街鎮必須進一步加強安全生產監管機構和執法隊伍建設,人員編制只能加強、不能削弱。進一步提高監管人員專業素質和技術裝備水平,強化基層安監科和執法中隊的監管執法能力,加強對企業安全生產的現場監管和技術指導。企業必須依法設立安全生產管理部門,配備安全生產管理人員。在大型企業集團積極推行安全總監制度,強化企業日常安全管理。
29.加強安全生產專業服務體系建設。要建立完善具有獨立性的安全生產評價、宣傳教育、安全培訓、檢測檢驗等服務性機構。專業服務機構對相關評價、鑒定結論承擔法律責任,對違法違規、弄虛作假的,要依法依規從嚴追究相關人員和機構的法律責任,并降低或取消相關資質。
30.加強應急救援能力建設。各街鎮、各部門要針對本轄區的產業結構和本行業的重大危險源,建立專業性的應急救援隊伍,配備必要的救援裝備。要建立政府和重點企業互聯互通的應急救援指揮網絡。
31.加強安全生產標準化達標建設。做到技術裝備達標、崗位達標、專業達標和企業達標,凡是沒有達到基本安全要求的,要暫扣生產許可證和安全生產許可證,責令企業限期改進,使其達到安全生產標準和條件。
32.加強安全文化建設。積極創建“安全社區”和“安全文化建設示范企業”,開展安全生產和職業健康知識進企業、進學校、進鄉村、進社區、進家庭活動,進一步營造加強安全生產的社會輿論環境。大力推進建設安全誠信企業。要大力開展形式多樣的宣傳教育活動,通過制作發放安全生產宣傳光盤、教育讀本等,普及安全生產常識,增強廣大干部職工安全意識。
33.加強基層安全生產示范單位建設。堅持評選表彰“安全生產基層基礎工作先進街(鎮)”、“安全示范社區”、“安全標準化示范園區”和“安全生產基層基礎工作先進企業”,通過創建先進單位,示范帶動,推進安全生產基層基礎工作。同時,認真總結基層企業實現本質安全生產的做法,推廣典型經驗,把好的做法形成制度,建立起預防為主的安全生產長效機制。
五、加強組織領導,完善工作機制,確保各項工作措施落實到位
34.加強組織領導。各級各部門要更加重視和加強安全生產工作,街鎮行政主要負責人對本地區的安全生產工作負總責,定期分析本地區的安全生產形勢,研究制定有針對性的工作措施。班子成員按照“一崗雙責”抓好各自分管工作的安全生產,并嚴格落實領導干部現場檢查制度,區級領導干部每兩個月一次,處級領導干部每月一次。
35.加強綜合監管工作。要進一步強化安全監管部門對安全生產工作的綜合監管,發揮安委會辦公室平臺推動作用,全面落實各部門的安全生產監督管理職責,形成安全生產綜合監管與行業監管指導相結合的工作機制。
36.加強企業安全生產屬地管理。各級安全生產監管監察部門、負有安全生產監管職責的有關部門和行業管理部門按照職責分工和網格化監管要求,對當地企業實行嚴格的安全生產監督檢查和管理。
37.強化安全生產監管責任追究。在所轄區域對群眾舉報、上級督辦、日常檢查發現的非法生產企業(單位)沒有采取有效措施予以查處,致使非法生產企業(單位)存在的,對街鎮行政主要領導以及相關責任人,根據情節輕重,給予降級、撤職或者開除的行政處分,涉嫌犯罪的,依法追究刑事責任。
