当考虑确定计算系统、数据和网络的可用性和完整性控制时,与可考虑潜在机会授权的管理员相比,普通用户拥有更少的特权。系统管理员、执行备份的操作人员、数据库管理员、维修技师甚至帮助台支持人员的运营商,都纷纷在网络中提升权限。为了确保你系统的安全性,还必须考虑可以防止管理员滥用特权的控制。用于管理日常事务以及组织内的数据访问的自动化控制不能保证自己的完整性和可用性,避免过度管理任务的控制。如果控制管理使用权限的控件也不强,那么任何其他的控件也会被削弱。下面一起来看企业安全管理的“六脉神剑”——六个最佳实践:
实践一:防止权力的滥用行政权力
安全的两个安全原则将帮助你避免权力得滥用:限制权力及职责的分离。你可以限制权力,通过分配每个员工他或她所做工作需要的权限。在你的IT基础架构,你有不同的系统,并且每个人都可以自然地分割成不同的权限类别。这种分割的例子是网络基础设施、存储、 服务器 、台式机和笔记本电脑。
另一种分配权力的方式是在服务管理和数据管理之间。服务管理是控制网络的逻辑基础设施,如域控制器和其他中央管理服务器。这些管理员在管理专门的服务器,在这些服务器上控件运行、将部分用户分成组、分配权限等等。数据管理,在另一方面,是有关管理文件、数据库、Web内容和其他服务器的。即使在这些结构中,权力可以被进一步细分,也就是说,角色可以被设计和权限可以被限制。文件服务器备份操作员不应该有特权备份数据库服务器相同的个体。数据库管理员也可能被某些服务器限制其权力,与文件和打印服务器管理员一样。
在大型组织中,这些角色可以无限细分,一些帮助台运营商可能有权重设账户和密码,而其他人只限于帮助运行应用程序。我们的目标是要认识到,提升权限的所有管理员必须是可信的,而有些人比其他人更应该得到信任。谁拥有全部或广泛的权限越少,那么可以滥用这些特权的人就越少。#p#
实践二:确定管理规范
以下管理实践有助于管理安全性:
· 在远程访问和访问控制台和管理端口上放置控件。
· 实现带外访问控制设备,如串行端口和调制解调器,物理控制访问敏感设备和服务器。
· 限制哪些管理员可以物理访问这些系统,或谁可以在控制台登录。不能因为雇员有行政地位,就意味着不能限制他或她的权力。
· 审查管理员。IT管理员在一个组织的资产上拥有巨大的权力。每一个拥有这些权限的IT员工应在就业前彻底检查,包括征信调查和背景调查。
· 使用自动软件分发方法。使用自动化的操作系统和软件的安装方法既保证了标准的设置和安全配置,从而防止意外的妥协,也是抑制权力滥用的一个很好的做法。当系统自动安装和配置,后门程序的安装和其他恶意代码或配置发生的机会就越来越少。
· 使用标准的行政程序和脚本。使用脚本可能意味着效率,但是如果使用了流氓脚本就可能意味着破坏系统。通过标准化的脚本,滥用的机会较少。脚本也可以被数字签名,这可以确保只有授权的脚本能够运行。#p#
实践三:做好权限控制
这些控制包括:
· 验证控制:密码、账户、生物识别、智能卡以及其他这样的设备和算法,充分保护认证实践
· 授权控制:设置和限制特定用户的访问设备和组
如果使用得当,账户、密码和授权控制可以派专人负责他们网络上的行为。正确使用是指至少每个员工的一个账户可授权使用系统。如果两个或更多的人共用一个账号,你怎么能知道哪一个该为公司机密失窃负责?强密码策略和职工教育也有助于执行该规则。当密码是难以猜测的和员工知道密码是不应该被共享的,适当的问责制的可能性才会更大。
授权控制确保对资源的访问和权限被限制在适当的人选。例如,如果只有Schema Admins组的成员可以在Windows 2000下修改Active Directory架构,而且架构被修改,那么无论是该组的成员做的还是别人使用该人的账户做的。
在一些有限的情况下,系统被设置为一个单一的、只读的活动,许多员工需要访问。而不是提供每一个人一个账户和密码,使用一个账户和限制访问。这种类型的系统可能是一个仓库的位置信息亭,游客信息亭等。但是,在一般情况下,系统中的每个账户应该仅分配给一个单独的个人。
所有的行政人员应至少有两个账户:一个普通特权的“正常”账户供他们访问电子邮件、查找互联网上的信息、并做其他事情时使用;和不同的账户,他们可以用它来履行行政职责。
对于一些高权限的活动,一个账户可能被分配特权,但是应该由两个值得信赖的员工各创造一半的密码。两者都不能单独执行该活动,它需要两者共同来做。此外,由于有可能被追究责任,每人都会监视对方履行义务。这种技术通常用于在Windows服务器上保护原始管理员账户。此账户也可以被分配一个长而复杂的密码,然后不能使用,除非当关键管理人员离开公司或其他一些突发事件发生后,管理账户的密码忘记或丢失时不得不恢复服务器。然后其他管理账户被创建并用于正常管理。另一个特别账户可能是根证书颁发机构的管理账户。当需要使用这个账户,比如更新此服务器的证书,两名IT员工必须同时在场登录,减少该账户受到损害的机会。#p#
实践四:获取外部信息作为内部管理借鉴
安全专家面临紧跟当前安全形势的艰巨任务。你应该及时了解当前威胁和适用于你组织的核心业务流程和高价值目标相应的保护措施。
你可以从众多资源中汲取更多以了解当前的威胁环境。领先的安全厂商,包括Symantec,该公司出版了年度互联网安全威胁报告;McAfee 实验室,它提供了一个季度的威胁报告; IBM X-Force,产生了威胁和风险趋势报告;以及思科,该公司出版了安全威胁白皮书,他们都用有效资源不断更新有威胁的环境。此外,还有一些提供威胁情报的各种组织,包括卡内基•梅隆大学软件工程研究所( CERT ) ,它研究的Internet安全漏洞,并进行长期的安全性研究;美国政府的应急准备小组( US-CERT ) ,它提供技术安全警报和公告; SANS协会,发布顶端的网络安全风险列表;和计算机安全协会( CSI),其出版年度计算机犯罪和安全调查。除了这些资源,专业协会,如国际信息系统安全认证联盟( ISC2 )提供厂商中立的培训、教育和认证,包括为安全专业开展的CISSP 。信息系统审计与控制协会(ISACA )从事开发、采纳和使用全球公认的,业界领先的知识和实践信息系统,如COBIT标准和CISA认证信息系统。
对于已确定的各项资产,你必须为执行建议的保护措施负责。安全专业人员所遇到的问题是如何知道什么时候一个系统或应用程序需要一个修补程序或补丁应用。大多数供应商为安全更新、提供安全警示,以及一个维护订阅被购买的信息提供一个邮件列表。市面上有许多安全邮件列表,但近年来最流行的是Bugtraq和Insecure.org提供的Full Disclosure名单。请记住,最新的漏洞和黑客不在任何网站上发表,厂商也不能意识到“零日漏洞”,直到攻击发生。但是订阅这些邮件列表,将随时向你通报,就像任何人都可以被通知一样。#p#
实践五:实施安全监控与审计
系统监控和审计活动很重要的原因有两个。首先,监测活动告知系统管理员系统的操作方式,系统故障在哪里,在什么地方性能是一个问题,什么类型的负载系统在任何给定的时间负荷着大量负载。这些细节允许被适当的维护和发现性能瓶颈,并且指出进一步调查的领域是很有必要的。聪明的管理员使用一切可能的工具来确定一般的网络和系统的健康,然后采取相应的行动。其次,安全性感兴趣是可疑活动的暴露,正常和非正常使用的审核跟踪,以及法医证据在诊断攻击或误用时是非常有用的,这样有可能捕捉和起诉攻击者。可疑活动包括明显的症状,如已知的攻击代码或签名,或可能的模式是有经验的,意味着可能尝试或成功的入侵。
从日志中提供的信息和从其他监测技术中受益,你必须了解信息可用的类型以及如何获得它。你还必须知道如何处理它。三种类型的信息是有用的:
· 活动日志
· 系统和网络监控
· 漏洞分析
1. 审计活动日志
每个操作系统、设备和应用程序可以提供大量的日志记录活动。不过,管理员这样做必须做出记录多少活动的决定。默认登录信息的范围各不相同,什么东西可记录,应该用来记录什么,这没有明确的答案。答案取决于活动和日志记录的原因。
当检查日志文件时,了解哪些内容需要被记录,而哪些内容不重要。日志中包含的信息因日志的类型、事件的类型、操作系统和产品、是否可以选择额外的事情以及数据的类型而变化。此外,如果你正在寻找“谁”参加了此次活动,或者他们使用了“什么”机器,这些信息可能会或可能不会是日志的一部分。Windows Server 2003之前的Windows事件日志,例如,不包括计算机的IP地址,只有主机名。和Web服务器日志不包括确切信息,无论它们是什么品牌。很多Web活动通过代理服务器,所以你会发现,虽然你知道网络来源,但不知道来自具体的哪个系统。
在确定是什么日志的时候,一般情况下,你必须回答以下问题:
· 什么是默认登录?这不仅包括典型的安全信息,如成功和不成功登录或访问文件,而且还包括在系统上运行服务和应用程序的行为。
· 信息被记录哪里在?这可能会记录到多个位置。
· 随着添加的信息,日志文件的大小是无限的增长还是应当设置文件大小?如果是后者,那么日志文件已满的时候又怎么办?
· 可以记录哪些类型的附加信息?你又怎么选择这些选项呢?
· 什么时候需要特定的日志活动?在一些环境下,记录特定的项目是合适的,但对其他环境却不合适?适合某些服务器,但不适合其他服务器?适合服务器,但却不适合桌面系统?
· 应归档哪些日志和应归档保存多长时间?
· 如何让记录免受意外或恶意修改或篡改?
不是每一个操作系统或应用程序日志记录相同类型的信息。知道配置什么,在哪里可以找到日志,日志中的哪些信息在需要了解具体的系统时是有用的。综观在一个系统中的示例日志是非常有用的,然而,因为它赋予问题类型许多含义,所以这些问题你需要问和回答。Windows和Unix日志是不同的,但是对于二者,你可能要能够识别谁、什么、何时、何地以及为什么事情会发生。下面的例子讨论Windows日志。
在Windows NT、XP、Windows2000、Vista和Windows7中,默认情况下,Windows的审计日志是关闭的。Windows Server 2003和更高版本有一些审计日志功能在默认情况下是打开的,可以被记录的事情都显示在图1。管理员可以打开所有或某种可用类别的安全日志记录并且可以通过直接指定对象访问注册表、目录和文件系统设置额外的安全记录。甚至可以使用组策略(本机的配置,安全性,应用程序的安装和脚本库的实用程序)为Windows 2000或Windows Server 2003域的所有服务器和台式机设定审计要求。
什么时候使用Windows Server 2003,了解记录什么是很重要的,因为Windows Server 2003默认策略值记录了只有小数目的活动。不用说,打开所有的日志类别也是不合适的。例如,在Windows安全审核,分类审核过程跟踪将不适用于大多数生产系统,因为它记录了每一个过程活动中的每一个位,而对于正常驱动器配置和审计日志审查来说,则存在着过多的信息。然而,在开发环境或者当审查定制软件以确定它说了什么做了什么时,开启审核过程追踪可能为开发商排除故障代码或分析检查它提供了必要信息的数量。
记录在每一个Windows NT(及更高版本)计算机的特殊本地安全事件日志的审核事件是配置审核的安全事件。事件日志位于%WINDIR%\ SYSTEM32\ config文件夹下。除了安全事件,许多可能会提供安全性或活动跟踪信息的其他事件也会记录到应用程序日志、系统日志或者Windows 2000和更高版本的域控制器——DNS服务器日志、目录服务日志、或文件复制服务日志中。
此外,许多进程提供额外的日志记录功能。例如,如果安装了DHCP服务,它也可以被配置为记录的附加信息,例如当它租用一个地址,在域中它是否被授权,以及网络中的另一台DHCP服务器是否被发现。这些事件不会记录在安全事件日志,而是DHCP事件记录到%WINDIR%\ SYSTEM32\ DHCP。
图1 Windows审计日志选项
通常情况下,你可以打开记录了许多服务和应用程序的额外的日志,而这一活动被记录到Windows事件日志、系统或应用程序日志、或者服务或应用程序创建的特殊的日志中。微软的IIS遵循这种模式,和Microsoft服务器应用程序如Exchange,SQL Server和ISA服务器一样。聪明的系统管理员以及审计员,将决定在Windows网络系统上运行什么,什么日志记录功能可用于每个服务或应用程序。虽然大多数的日志信息,仅涉及系统或应用程序操作,但它可能成为一个取证调查的一部分,如果它是必要或保证其重建活动的。记住这包括什么信息被记录在每个系统上以及被记录到哪里。
许多特殊的应用程序日志中是基本的文本文件,但是特殊的“事件日志”却不是。这些文件有自己的格式,你可以管理访问它们。虽然任何应用程序可以通过编写事件记录到这些日志文件,但是在日志中,事件无法修改或删除。
事件日志本身不自动存档,它们必须给定一个大小,他们可以覆盖旧的事件,停止记录直到手动清零,或者在安全选项中,当日志文件已满时停止系统。最佳实践建议建立一个庞大的日志文件,并允许事件被覆盖,但对这些完整文件的监控和频繁的归档,所以没有记录丢失。
早期的安全和系统管理员的建议强调,日志必须每天进行审查,并假设有时间这样做。我们现在知道,除非在特殊情况下这不会发生。现在在采取下列行动的最佳实践建议:
· 发表日志数据到外部服务器。
· 日志整合到一个中央源。
· 应用过滤器或查询来产生有意义的结果。
发布日志数据到外部服务器有助于保护日志数据。如果服务器被攻破,攻击者也无法修改本地日志和掩盖他们的踪迹。日志整合到一个中央源,使数据更易于管理,因为查询只需要对一个批次的数据运行处理。Unix的系统日志工具,使用的时候,可以让你将日志数据张贴和巩固到一个中央系统日志服务器。一个版本的系统日志也可用于Windows。
其他技术日志整合的例子包括
· 收集安全事件日志的副本并定期将他们归档到一个数据库中,然后开发SQL查询以完成报告或使用现成的产品直接对特定类型的日志查询这个数据库。
· 投资于第三方安全管理工具,让它可以收集和分析特定类型的日志数据
· 使用系统管理工具或服务管理平台或服务的日志管理功能。
2. 监控系统和网络活动
除了记录数据,系统和网络活动可以提醒有见识的管理员潜在的问题。系统和网络应进行监测,不仅在修复关键系统和性能瓶颈的调查和解决时,也在你知道一切都好,或者攻击正在进行中。是由于硬盘崩溃无法访问系统?还是拒绝服务攻击的结果?为什么今天会从一个忙碌的网络出现突然激增的数据包?
有些SIEM工具还寻求提供网络活动的图片,以及系统活动的许多管理工具的报告。此外,IDS系统、协议分析者可以提供访问网络上流量的内容。
连续监测也许是出于安全操作的最好防御。安全操作必须能够产生、收集和查询日志文件,如主机的日志和代理、认证和归属日志。安全操作必须具有技能设置为执行涵盖了网络所有关键的“瓶颈点”(入口和出口)的深度包检测。许多商业监测包也可用,与事件关联引擎一样。开源的替代方案也可以,但是却拿不出在发生安全事故时或在事后剖析通常需要的专业支持团队。决定监视什么和如何监视这是一个重大的努力。
安全专业人士如果参考美国国家标准与技术研究院(NIST)的特别出版物800-37,“联邦信息系统运用风险管理框架的指南:一种安全的生命周期方法”会做得很好。本文档提供了连续监测战略的指导。高价值目标(资产)需要重点监测。拥有当前和相关威胁情报的安全操作,结合着广泛和有针对性的监测策略和技巧,可能抓住网络刑事犯一个APT攻击的行为。
3. 漏洞分析
没有一个缺少弱点扫描器的安全工具包是完整的。这些工具对众所周知的配置缺陷、系统漏洞和补丁级别提供当前可用系统的审计。它们可以是全面的,能够扫描多种不同的平台;也可以只对应于特定的操作系统;或者它们可以唯一地固定在一个单一的漏洞或服务,如恶意软件检测工具。他们可以是非常地自动化,只需要一个简单的启动命令,或者他们可能需要复杂的知识或完成一长串的活动。
使用漏洞扫描器,或委托这样的扫描之前,需要时间来了解将会显示什么样的潜在结果。即使是简单的,单一的漏洞扫描程序也可能会不识别漏洞。相反,他们可能简单地表明,特定弱势的服务是运行在一台计算机上的。更复杂的扫描可以产生数百页的报告。所有的项目是什么意思?他们中有些项目可能是误报,有些可能需要高级的技术知识来了解或减轻;还有一些可能是漏洞,你对此无能为力。例如,运行一个Web服务器确实让你比你不运行服务器更容易受到攻击,但如果Web服务器是你组织运作中至关重要的一部分,那么你必须同意承担这个风险。
虽然漏洞扫描产品有所不同,重要的是要注意一个基本的漏洞评估和缓解不需要花哨的工具或昂贵的顾问。免费和可用的低成本工具,和脆弱性列表的许多免费资源一起存在。特定的操作系统列表可以在互联网上从操作系统供应商获得。
国家标准与技术研究所出版了可免费下载的“信息技术系统的自我评估指南”。虽然一些指南的具体情况可能只适用于政府机关,但是大部分的建议对任何组织还是有用的;文档提供了问卷的格式,像一个审计师的工作表,可以帮助信息安全新人执行评估。在调查问卷中覆盖了风险管理、安全控制、IT生命周期、系统安全计划、人员安全、物理和环境的保护、输入和输出控制、应急规划、硬件和软件的维护、数据的完整性、文档、安全意识培训项目、事件响应能力、识别和认证、逻辑访问控制和审计跟踪等问题。#p#
实践六:充分部署事件响应
一个组织的检测能力和复杂攻击的反应能力是依赖于一个事件响应小组的有效性和能力。这个团队由超过一个人组成,因为对一个事件的响应将由各种各样的角色实施。从管理者到员工,内部到外部的专业人士,如IT员工、业务合作伙伴、安全运营、人力资源、法律、财务、审计、公共关系和执法。计算机安全事件响应小组(CSIRT)是任何安全运营功能的重要组成部分。
卡内基梅隆大学的CERT程序为事件响应提供了一个良好的模型和有用的材料。CERT成立于1988年,由国防部DARPA机构资助,以应付第一个自我繁殖的互联网恶意软件(被称为“Morris蠕虫”)的爆发。由康奈尔大学研究生罗伯特•莫里斯释放到早期的互联网,莫里斯蠕虫在电脑上自我复制和传播,通过重载受害者电脑上无止境的任务以造成拒绝服务的攻击。CERT为计算机安全事件响应小组(CSIRT)提供了一个手册。该指南涵盖了从建议的框架到响应小组会遇到的基本问题。
为建立自己的事件响应团队的CERT过程已提供给公众,大家可以在www.cert.org找到,它包括以下步骤。
第一步,最可靠的努力,是从组织的高层管理人员获得赞助。资金和资源都依赖于这种支持,所以团队的权威是从组织内各部门借用人员。最终,团队的成功是与高层管理人员的支持相关的。
下一步是为事件响应小组制定高级别战略计划。规划目标、时限和成员考虑到团队面临的依赖和约束提供了一个实现CSIRT路线图和项目计划。
从组织中收集信息是在确定CSIRT的角色和它需要资源中重要的下一步。在这个步骤中,你发现你所需要的其他组织所拥有的资源,以及如何使用它们。例如,人力资源、法律、审计和通信(也许营销部)的代表,当然还有IT,所有的这些人,可能还有更多,扮演不同的角色,他们各自有自己的目标和在团队中他们想要看到的优先级。在信息收集阶段,你也将决定需要哪些外部资源参与,如执法和公共CSIRT组织一样。
创建和交流一个愿景、使命、章程以及下一步是规划团队的未来,而这些步骤提供了一个焦点,可以帮助团队成员理解什么需要他们以及组织与CSIRT的交互方式。在这个步骤中CERT也包括预算编制。
所有的规划完成后的下一步,就是创造团队。在这个步骤中,员工汇聚在一起训练,采购设备来支持团队宪章中定义的功能。一旦团队已经启动并运行,通知被发送到整个组织和通信程序付诸实施。在一个计划 – 执行 – 检查 – 行动循环的精神中,最后一步是评估团队的效率,以深入了解作出改善。
事件响应和安全小组论坛(FIRST)是另一个CSIRT组织,类似于CERT。他们自称为“受信任的合作处理计算机安全事故的计算机事件响应小组,促进事故预防计划的国际联盟。”根据他们的任务说明,FIRST 组织中的成员开发和共享技术信息、工具、方法、流程和最佳实践;鼓励和推动优质安全的产品、政策和服务的开发,制订并推广最佳的计算机安全实践,以及利用他们的综合知识、技能和经验,以促进一个安全的和更安全的全球电子环境。
在今天混合威胁的环境下,一个单一组织的事件响应团队将不足以提供所需的覆盖范围。安全操作必须配合有信誉的事件响应组织。此外,安全运营组织需要有一定的无论在内部或外部分析恶意软件的等级,因为这技能处于高需求的状态。安全操作必须持续监控和事件响应优先来满足在当今复杂的、网络化的、全球经济所带来的挑战。阻止网络罪犯的能力取决于该组织的检测和响应的承诺。
如何落实企业安全生产主体责任的落实措施
一、广泛宣传,营造良好的主体责任社会氛围 安全生产监督管理部门要牢固确立“以人为本”的理念,树立全面、协调、可持续的科学发展观,把人民的生命、财产安全放在第一位的安全文化观,进一步强化安全生产宣传工作,努力打造安全主体责任的社会氛围。 二、进一步提高企业安全生产的主体责任意识 企业是安全生产责任的主体,应当依照法律、法规规定,履行安全生产法定职责和义务。 三、加强对企业落实安全生产主体责任的监督管理 安全生产监管人员是各项安全生产法律、法规的维护者,应该严格依法履行自己的职责,督促企业在实施生产过程中,严格按照安全生产法律、法规的规定,把各项安全措施落到实处,最大限度的避免事故的发生,而不是仅仅停留在让企业签定“企业安全生产主体责任告知承诺书”这个形式上。 四、严格执行责任追究制度,促进企业安全生产主体责任的落实 负有安全生产监督管理职责的有关部门,应当严格执行责任追究制度,依法对存在重大事故隐患的企业,责令其限期整改,逾期未整改的要予以查处;对发生较大以上安全生产事故和违反安全生产法律法规,未履行安全生产主体责任的企业要依法处理,追究企业及其主要负责人和有关人员的责任,情节严重、构成犯罪的,依法追究刑事责任。
企业支柱是资金吗?
企业的概念比较广泛,每个企业在不同阶段,有着不同的需求,但是无论在那个阶段,资金(现金流)都是很重要。 我不清楚“支柱”的概念应该怎样定义,但是在我看来,企业在追求效益最大化或者利润最大化的同时,始终不能忘记两点:第一,企业是一个组织,企业的发展离不开一帮具有良好素质和文化的人(团队);第二,企业是社会组织,企业家们在承担者创造社会的财富的重任的同时,也要承担一部分社会责任。 最后要说的就是重复宝洁公司前总裁理查德先生的话:如果你拿走我的资金、厂房和设备,而把我的人留下,十年后我将重建这一切;如果你拿走了我的人,给我留下厂房、资金和设备,那我就彻底完了。
如何推进企业安全生产主体责任的强化和落实
一、充分认识强化和落实企业安全生产主体责任的重要意义安全是企业永恒的主题,企业是安全生产的责任主体。 要落实企业安全主体责任,确保企业安全生产,必须充分认识企业安全生产主体责任的强化和落实的重要意义。 (一)落实企业安全生产主体责任,是保障经济社会协调发展的必然要求。 企业是经济社会最基本的单元、最活跃的细胞。 一个地区的经济社会发展状况在很大程度上取决于企业的发展,而企业能否实现长治久安在其中起着至关重要的作用。 (二)落实企业安全生产主体责任,是实现企业可持续发展的客观要求。 在工业化转型、城市化加速、经济国际化提升的大背景下,对企业的生存发展提出了新的挑战和考验。 这一时期,既是战略机遇期,也是矛盾凸现期,同时也是各类安全事故易发期。 如果企业不能落实安全生产主体责任,让安全事故易发期演变为安全事故高发期、频发期,企业就不可能有稳定的社会环境、优越的投资环境和良好的发展环境,势必对企业的可持续发展造成深远的影响。 (三)落实企业安全生产主体责任,是构建和谐社会的现实要求。 隐患存在于企业,事故发生于企业,职工是各类事故的直接受害者。 中央反复强调以人为本,构建和谐社会。 人是宝贵的社会资源,以人为本就是以人的生命为本,科学发展首先强调安全发展,和谐社会首先强调关注生命,安全生产本身就是对人的生命权益的维护。 如果企业隐患不断,职工群众整天提心吊胆,缺少安全感,还谈何和谐社会;如果各类事故不能有效控制,不仅给人民群众生命财产安全带来巨大损失,还给受害者家属造成无法弥补、无法挽回的影响,失去了幸福感,更谈不上和谐社会。 因此建设和谐社会,必须以企业安全生产为前提和保障。 二、正确剖析落实企业安全生产主体责任存在的主要问题随着市场经济的发展,企业的经济成分和组织形式日益多样化,形成了国有、集体、私营、外商投资及个体工商户并存的局面,使企业的安全生产管理存在多样化、形势出现复杂化。 综观目前的企业安全生产发展现状,要切实做到落实企业的安全主体责任还存在不少问题。 (一)企业经营者安全意识淡薄,未把安全生产放在可持续发展的战略高度上来认识,重生产、轻安全。 不少企业经营者,安全意识淡薄,折射出来一个很严重的问题就是中国目前的安全文化发展还处于一个低水平的阶段。 安全的核心是安全素质, 它包含文化修养、风险意识、安全技能、行为规范等多方面因素,其标志是风险意识。 风险意识的产生取决于安全素质的提高。 现阶段,全民的总体安全素质还不是很高,而作为企业生产经营活动的领导者、组织者、决策者的企业负责人又偏重经济效益,对安全生产所产生的社会效益认识不足,重视不够,把安全与生产对立起来,是目前企业在落实安全生产主体责任方面存在的最根本的问题。 (二)企业安全责任履行不到位,特别是安全投入、建章立制有较大的差距。 安全经济效益分为企业经济效益和社会效益两类,安全对社会的影响和作用,体现其社会效益;对企业生产与销售等经济作用和影响,则反映了企业的经济效益。 从时间上分析,企业的经济效益一般经历负担期(或称投资无利期)--微利期--持续强利期--利益萎缩期--无利期的层次循环。 在企业发展的初期,许多企业只从短期经济利益考虑,减少安全投入,使企业的安全生产工作无法正常开展,如规章制度不健全,安全设施不完善,生产设备陈旧老化,本质安全度低等现象仍在不少企业普遍存在。 (三)企业安全基础工作不扎实,安全教育、安全培训、安全技术均存在不同程度的欠缺。 事故的预防与控制,应从安全技术、安全教育、安全管理三个方面入手,采取相应的措施。 大量的事故原因分析显示,事故的发生主要是由于设备或装置缺乏安全技术措施,管理上有缺陷和教育不够三个方面的原因引起的。 技术、教育、管理三个方面,是有效预防与控制事故的重要手段,但目前仍有一些企业在这方面欠账较多,安全管理基础薄弱,预防和控制事故的能力低下。 (四)监管力量有待增加。 我区非煤矿山、危化品、建筑施工、烟花爆竹、民用爆破等高危行业,生产经营数量有百余家,加之我区是服装生产地有万余家中小型服装厂和其它生产经营单位场所,发生事故的概率较高,安全监管任务重、压力大。 目前,虽然各企业普遍建立了安全生产监管机构,但在人员、装备等多方面的配备上仍比较薄弱,难以适应实际工作的需要,致使贯彻实施安全生产法律法规、加强安全生产监管执法不能真正落到实处。 (五)工作协调机制协调机制有待健全。 每每提到安全生产,大多数人认为就是安全生产监督管理部门一家的事,对大安全、综合监管的含义理解不深,特别是负有安全生产监管监察职能的有关部门之间缺乏一套行之有效的工作制度和协调联动机制,严重削弱了监管执法力度。 三、推进企业落实安全生产主体责任的思考毋容置疑,落实企业安全生产主体责任的主体是企业,企业应成为落实安全生产主体责任的组织者、实践者和执行者。 但在现阶段,企业在这方面的积极性和主动性还不是很高的情况下,就必须充分发挥政府的社会管理职能,通过构建政府层面强有力的监管体系和监管机制,来推进企业安全生产主体责任的落实。 (一)以目标管理为抓手,切实强化责任,重点解决“承担什么主体责任”的问题。 企业和政府作为安全生产的“两个主体”,两者之间任务不同,但目标一致,既相互关联,又严格区别,既互相依存,又相互制约。 要落实企业安全生产主体责任和政府监管责任,首先要明确责任,做到职责清晰、要求具体、监督有力。 1、坚持属地管理,积极推行安全生产目标管理。 要按照“属地管理”和“一把手负责”的原则,下达年度安全管理目标,并和各镇、各有关部门主要领导签订责任书,各镇、各有关部门及时做好分解落实工作,横向分解到所有企事业单位,不论投资者、经营者来自本地还是外地,也不论企业性质是转制企业还是民营私企,做到横向到边,不留死角;纵向分解到各车间、班组、岗位直至职工个人,做到纵向到底,不留空挡,并逐级签订责任书,从上到下建立起严密的安全生产保证体系。 2、坚持开拓创新,不断强化各级安全生产责任。 在实施目标管理中,要始终把落实责任制尤其是领导责任制放在首要位置,作为目标管理工作的中心环节来抓。 3、坚持长抓不懈,广泛开展法制宣传教育。 落实企业安全生产主体责任,必须强化企业负责人的安全法制意识。 要从建立完善的宣传教育机制入手,把安全生产宣传教育提高到倡导安全文化、建设社会主义精神文明的高度来认识,不断加大工作力度,广泛、深入地开展各类法制宣传教育工作,有力地提升了企业负责人的安全责任意识和安全法制观念。 4、坚持严格考核,全面落实安全生产奖惩措施。 为推动各级安全生产责任制的落实,要将安全生产工作纳入考核内容,并严格实行“一票否决制”;同时,设立安全生产专项奖励资金,对实现年度安全管理目标的单位给予奖励,进一步加强了安全生产约束和激励机制。 (二)以基础管理为重点,切实加强指导,重点解决“如何履行主体责任”的问题。 近年来,企业安全生产的主体地位已为社会认可,如何落实企业的安全生产主体责任,已经成为安全生产向前推进的重点。 1、抓建章立制,提高企业基础管理水平。 建立完善的安全管理制度和安全操作规程是企业开展安全管理工作、规范职工安全行为的重要前提和保证。 要指导企业结合实际,进一步健全各项规章制度。 同时督促企业建立相应的配套措施,加强检查,严格考核,落实奖惩,确保各项规章制度的落实,提高企业的基础管理水平。 2、抓设施完善,提高企业本质安全度。 督促企业加大安全投入,按照国家或行业安全标准规范要求,添置、完善工作场所、生产设备、电气装置等方面的安全防护设施,为职工提供一个安全的生产作业环境。 严格执行安全预评价和“三同时”制度,确保安全设施和主体工程同时设计、同时施工、同时投入生产使用,杜绝先天性隐患,从源头上遏制各类事故的发生。 3、抓教育培训,提高企业全员安全素质。 一是要大力开展安全文化建设,普及安全法律法规和安全知识,强化各级管理人员和员工群众的责任意识。 二是要加强从业人员的教育培训工作。 要增加安全生产宣传教育投入,加强宣传、培训基础建设,扩大宣传阵地,完善培训教育机制。 要充分发挥工会等群众组织的作用,维护广大员工的合法权益。 三是分期分批对法人代表、安全管理人员和特种作业人员进行安全生产法律法规和安全技术知识培训。 同时,为进一步提高全体员工的安全意识、操作技能、自我保护能力和事故预防能力,要进一步规范全员培训,力争使每一位员工都受到有针对性的教育,切实提高每一位从业人员的安全素质。 四是充分发挥好新闻媒体的作用。 要继续探索加强舆论监督的有效途径,保持正确的舆论导向。 五是认真组织开展“安全生产月”活动、“安全生产法律法规答题卡”竞赛等活动,通过开展活动,提高员工的安全意识和自我防护能力。 六是广泛宣传和认真贯彻执行国家关于安全生产的一系列规范性文件,尤其是对于一些新颁布实施的法律法规,要及时掌握,认真贯彻。 4、抓标准化建设,提高企业安全管理水平。 企业要做到安全生产,涉及到人、机、料、法、环境及时间等多项因素。 要实现这些基本要素的和谐统一、有效控制,这就涉及到综合的系统管理工程。 达到了这些要素的和谐统一和有效控制,就成为一种科学的管理方法和管理理念。 企业开展的安全生产标准化建设,就是在特定的环境、特定的时间里,通过有效的制度和办法,使人的行为与各种要素达到和谐统一,以确保安全。 为进一步推动企业开展标准化建设,可以开展示范企业创建活动,促使企业生产现场的各种设备、设施、环境符合国家相关标准,引进高水平的管理模式,使安全生产水平得到提高。 5、狠抓事故隐患排查治理,坚持分级管理整改。 隐患排查治理工作是安全监管的重要基础工作,是落实企业安全主体责任工作的有效抓手。 企业是隐患排查治理工作的实施主体,必须承担起隐患排查治理的主体责任,我们在开展事故隐患排查治理专项行动的基础上,要督促企业积极主动开展事故隐患排查治理工作。 一是落实责任,狠抓整改。 对日常检查、专项整治、专项行动中排查告知的安全隐患全部登记建档,并要求企业认真制定整改的具体方案和措施,落实责任期限整改。 对当场能整改的一般隐患,责令企业整改到位;对限期整改的隐患,督促企业加大资金投入、加快整改进度,在规定期限内整改到位;对排查出的重大隐患及重大问题告知实行挂牌督办,紧紧盯住,定期跟踪,确保整改到位。 二是突出重点,强化监控。 结合落实企业安全主体责任的要求,督促企业自查隐患并对查出的隐患抓紧治理,要求责任企业建立重大隐患排查治理及重大危险源监控制度、事故报告和责任追究制度,严防各类事故的发生。 三是组织检查,确保成效。 认真开展隐患排查治理专项行动“回头看”,促进隐患排查治理行动的深入开展;以重大事故隐患的整改和重大危险源安全措施的落实情况为重点,由业务科室进行督查,对严重危及安全生产、企业拒绝整改或者逾期不整改的,及时查处。 6、抓危险源监控,提高企业应急处置能力。 危险源是导致事故发生的根源,是具有潜在意外释放的能量和(或)危险有害物质的生产装置、设施或场所。 监管部门每年要对重大危险源进行普查并登记建档,定期对重大危险源进行检测、检验、安全评估,建立完善以企业为责任主体的重大危险源监控体系,不断完善各级安全监控体系。 同时,要加快基层应急预案体系建设步伐,并组织开展有针对性的应急预案演练,不断提高快速反应、协调作战和应急处置能力。 安全责任重于泰山。 相信各级、各部门和每个企业,只要真正把安全工作摆在首位,切实负起责任,强化管理,真抓实干,就一定能够遏制住重特大事故多发的势头,实现安全生产与经济社会的协调健康发展。
发表评论