第一篇：“沒(méi)有絕對(duì)安全的系統(tǒng)”--web安全風(fēng)險(xiǎn)淺析

0x00 導(dǎo)言

早在1995年，《喬布斯：遺失的訪談》節(jié)目里喬布斯提到：「未來(lái)，互聯(lián)網(wǎng)與 Web 是一個(gè)大趨勢(shì)。」這句話在互聯(lián)網(wǎng)初興的1995年無(wú)疑是具備極強(qiáng)預(yù)見(jiàn)性的。如果，我們把網(wǎng)絡(luò)空間分為三大組成部分（云->管->端）來(lái)看的話，現(xiàn)在的云幾乎都是基于 Web 的成熟協(xié)議來(lái)對(duì)外提供服務(wù)的，比如 HTTP 協(xié)議，最流行的傳輸格式是 JSON，其次如 XML 等。

HTTP 協(xié)議的成熟大大促進(jìn)了端上瀏覽器（或?yàn)g覽器內(nèi)核）的發(fā)展，瀏覽器的發(fā)展注定了 Web 的勢(shì)不可擋，HTML/XML->XHTML->HTML5，這種技術(shù)架構(gòu)完美地把背后高冷的信息以可視化的方式呈現(xiàn)在大家面前。說(shuō)這些是想說(shuō)，端上無(wú)論是 PC、Pad 還是手機(jī)，只要你聯(lián)網(wǎng)，Web 的方式或技術(shù)是無(wú)處不在的。因此，隨著互聯(lián)網(wǎng)的不斷擴(kuò)張，WEB攻擊的數(shù)量逐年上升，占了大部分攻擊事件比例。Web安全已經(jīng)推到了前沿浪尖，無(wú)論是政府還是企業(yè)都迫切解決這個(gè)棘手的問(wèn)題。

0x01 回顧

Gartner 統(tǒng)計(jì)：目前75%攻擊轉(zhuǎn)移到應(yīng)用層。原有的傳統(tǒng)防御設(shè)備已經(jīng)不能滿足企業(yè)對(duì)網(wǎng)絡(luò)攻擊的防御。

在中國(guó)，過(guò)去的2014年是信息安全爆炸的一年，Dns大劫難，某旅游網(wǎng)站信用卡事件，心臟出血漏洞，破殼漏洞及各大快遞，電商和某大型火車票網(wǎng)站的數(shù)據(jù)都牽動(dòng)的圈內(nèi)圈外人的心。

這種趨勢(shì)并沒(méi)有在今年有所減緩，例如今年以來(lái)四個(gè)影響深遠(yuǎn)的網(wǎng)絡(luò)安全事件，海康威視被黑客植入代碼導(dǎo)致被遠(yuǎn)程監(jiān)控（2月27日），網(wǎng)易骨干網(wǎng)遭攻擊百萬(wàn)用戶無(wú)法使用網(wǎng)易服務(wù)（5月11日），攜程網(wǎng)內(nèi)部員工誤刪除代碼網(wǎng)站整體宕機(jī)12小時(shí)（5月28日），國(guó)外黑客公司Hacking Team泄露的黑客技術(shù)資料（7月6日）

0x02 傳統(tǒng)的Web攻擊及防護(hù)

1.CSRF跨站請(qǐng)求偽造防護(hù)

1.將cookie設(shè)置未HttpOnly;

2.增加token，表單中增加一個(gè)隱藏域，提交時(shí)將隱藏域提交，服務(wù)端驗(yàn)證token;3.通過(guò)referer識(shí)別，根據(jù)Http協(xié)議，在HTTP頭中有一個(gè)字段交Referer，它記錄了HTTP請(qǐng)求的來(lái)源地址。如果攻擊者要實(shí)施csrf攻擊時(shí)，必須從其他站點(diǎn)偽造請(qǐng)求，當(dāng)用戶通過(guò)其他網(wǎng)站發(fā)送請(qǐng)求時(shí)，請(qǐng)求的Referer的值是其他網(wǎng)站的網(wǎng)址。因此可以對(duì)每個(gè)請(qǐng)求驗(yàn)證其Referer值即可。2.劫持攻擊

2.1.點(diǎn)擊劫持: 被攻擊的頁(yè)面作為iframe，用Mask的方式設(shè)置為透明放在上層，惡意代碼偷偷地放在后面的頁(yè)面中，使得一個(gè)頁(yè)面看起來(lái)似乎是安全的，然后誘騙用戶點(diǎn)擊網(wǎng)頁(yè)上的內(nèi)容，達(dá)到竊取用戶信息或者劫持用戶操作的目的。下圖中，欺詐的頁(yè)面放置在下層，被攻擊的銀行頁(yè)面作為透明的層放置在上層，用戶看到的是欺詐頁(yè)面上顯示的信息并進(jìn)行輸入和點(diǎn)擊，但是真正的用戶行為是發(fā)生在銀行頁(yè)面上的。2.2.Cookie劫持: ClickJacking只涉及點(diǎn)擊操作，但是HTML5的拖放API使得這種攻擊擴(kuò)大到拖放操作。因?yàn)楝F(xiàn)在Web應(yīng)用里，有大量需要用戶拖放完成的操作。在同源策略里，一個(gè)域的Cookie只能被本域所訪問(wèn)，但是拖放操作是不受同源策略限制的，這樣利用拖放操作、XSS和其他技巧，可以構(gòu)造跨域合法請(qǐng)求，劫持Cookie。

實(shí)現(xiàn)原理其實(shí)和ClickJacking類似，只要欺騙用戶進(jìn)行拖放行為，就可以把用戶某個(gè)域的信息發(fā)送到另外一個(gè)域里。這個(gè)其實(shí)很容易做到，之前有一個(gè)研究者就在Facebook上建立了一個(gè)應(yīng)用，這個(gè)應(yīng)用的功能是讓用戶把圖片上美女的衣服拖拽下來(lái)。我想可能大多數(shù)人都會(huì)去嘗試而且不會(huì)有警惕心理。

2.3.跨域資源劫持: HTML5應(yīng)用有各種不同的資源，例如Flash文件，Silverligh，視頻，音頻等，這些資源可以通過(guò)DOM訪問(wèn)和控制。如果頁(yè)面存在XSS漏洞，那么攻擊者可能通過(guò)跨域資源的劫持進(jìn)行攻擊。例如下面的代碼載入了一個(gè)swf文件，作為用戶登錄框，這里面我們可以實(shí)現(xiàn)一些加密的邏輯。當(dāng)頁(yè)面存在XSS漏洞時(shí)，攻擊者可以利用如下腳本把swf文件替換為欺詐的虛假資源。3.DDOS 分布式拒絕服務(wù)攻擊

是目前最為強(qiáng)大、最難防御的攻擊方式之一。按照發(fā)起的方式簡(jiǎn)單分為三類。

第一類以力取勝，海量數(shù)據(jù)包從互聯(lián)網(wǎng)的各個(gè)角落蜂擁而來(lái)，堵塞IDC入口，讓各種強(qiáng)大的硬件防御系統(tǒng)、快速高效的應(yīng)急流程無(wú)用武之地。這種類型的攻擊典型代表是ICMP Flood和UDP Flood，現(xiàn)在已不常見(jiàn)。

第二類以巧取勝，靈動(dòng)而難以察覺(jué)，每隔幾分鐘發(fā)一個(gè)包甚至只需要一個(gè)包，就可以讓豪華配置的服務(wù)器不再響應(yīng)。這類攻擊主要是利用協(xié)議或者軟件的漏洞發(fā)起，例如Slowloris攻擊、Hash沖突攻擊等，需要特定環(huán)境機(jī)緣巧合下才能出現(xiàn)。

第三類是上述兩種的混合，輕靈渾厚兼而有之，既利用了協(xié)議、系統(tǒng)的缺陷，又具備了海量的流量，例如SYN Flood攻擊、DNS Query Flood攻擊，是當(dāng)前的主流攻擊方式。4.XSS 跨站腳本攻擊防護(hù)

XSS之所以會(huì)發(fā)生，是因?yàn)橛脩糨斎氲臄?shù)據(jù)變成代碼，因此需要對(duì)用戶輸入的數(shù)據(jù)進(jìn)行html轉(zhuǎn)義處理，將其中的“尖括號(hào)”，“單引號(hào)”之類的特殊字符進(jìn)行轉(zhuǎn)義編碼。5.SQL注入防護(hù)

1.使用預(yù)編譯語(yǔ)句;2.使用ORM框架 3.密碼加密

4.處理好異常，后臺(tái)異常很可能包含一些如服務(wù)器版本、數(shù)據(jù)庫(kù)版本、編程語(yǔ)言，甚至數(shù)據(jù)庫(kù)的地址和用戶名密碼，攻擊者可以按圖索驥，找到漏洞進(jìn)行攻擊，因此必須處理好后臺(tái)的系統(tǒng)異常，重定向到相應(yīng)的錯(cuò)誤處理頁(yè)面，而不是任由其直接顯示在頁(yè)面上。6.文件上傳漏洞

在上網(wǎng)過(guò)程中，經(jīng)常講一些如圖片、壓縮包之類的文件上傳到遠(yuǎn)端的服務(wù)器上進(jìn)行保存。文件上傳攻擊指的是惡意攻擊者利用一些站點(diǎn)沒(méi)有對(duì)文件的類型做很好的校驗(yàn)，上傳了可執(zhí)行的文件或執(zhí)行腳本，并且通過(guò)腳本獲得服務(wù)器上相應(yīng)的權(quán)利，或者通過(guò)誘導(dǎo)外部用戶訪問(wèn)、下載上傳的病毒或木馬文件，達(dá)到攻擊的目的。

因此需要對(duì)上傳的文件進(jìn)行校驗(yàn)，很多文件起始的幾個(gè)字節(jié)是固定的，因此，根據(jù)這幾個(gè)字節(jié)的內(nèi)容，就可以判斷文件的類型，這幾個(gè)字節(jié)也被稱作魔數(shù)。7.緩沖區(qū)溢出

緩沖區(qū)溢出，簡(jiǎn)單的說(shuō)就是計(jì)算機(jī)對(duì)接收的輸入數(shù)據(jù)沒(méi)有進(jìn)行有效的檢測(cè)（理想的情況是程序檢查數(shù)據(jù)長(zhǎng)度并不允許輸入超過(guò)緩沖區(qū)長(zhǎng)度的字符），向緩沖區(qū)內(nèi)填充數(shù)據(jù)時(shí)超過(guò)了緩沖區(qū)本身的容量，而導(dǎo)致數(shù)據(jù)溢出到被分配空間之外的內(nèi)存空間，使得溢出的數(shù)據(jù)覆蓋了其他內(nèi)存空間的數(shù)據(jù)。

0x03 新的安全挑戰(zhàn)

1、移動(dòng)互聯(lián)網(wǎng)

當(dāng)我把手機(jī)APP作為一個(gè)Client端，數(shù)據(jù)不落地，端對(duì)端加密的時(shí)候，理論上APP跟瀏覽器一樣，并不會(huì)對(duì)Server端構(gòu)成威脅的，但是不被攻擊并監(jiān)控到你不會(huì)想到，安卓apk是這么容易逆向，有人會(huì)從分發(fā)渠道下手，把APP破解重新分發(fā)，做假的APP釣魚，做假的APP與Server端偽造通信。證書？代碼都白盒了，驗(yàn)證身份的都被繞過(guò)或留給用戶了。目前越來(lái)越有個(gè)趨勢(shì)，手機(jī)已經(jīng)不能被認(rèn)作是可信賴的認(rèn)證工具了，就算我可以做自己的APP，正確校驗(yàn)，沙盒，虛擬鍵盤，我也被禁止管沙盒外的東西。你的短信真的是你的？移動(dòng)端的分發(fā)渠道有收攏，但是針對(duì)支付的攻擊從沒(méi)停過(guò)。

2、云服務(wù)

云安全也沒(méi)有超出傳統(tǒng)安全的范圍?？墒枪性普娴膶?duì)安全提出了新的技術(shù)要求，比如共享的虛擬資源的安全性。其中，“私有云”更加不能稱之為“云”，不過(guò)不少人喜歡跟風(fēng)。在他們跟風(fēng)的時(shí)候，往往是拿現(xiàn)成的東西把“云”往上面一套，然而忽略了，本來(lái)在局域網(wǎng)里不必要做或風(fēng)險(xiǎn)很小的控制手段，在“云”上是存在巨大固有風(fēng)險(xiǎn)的。

3、大數(shù)據(jù)

過(guò)去從來(lái)沒(méi)有過(guò)像今天這樣，不同的行業(yè)在互聯(lián)網(wǎng)的“幫助”下緊密關(guān)聯(lián)——一個(gè)小網(wǎng)站的密碼泄露會(huì)拖知名互聯(lián)網(wǎng)企業(yè)下水。誠(chéng)然安全意識(shí)的提高是好事，但人們追求的不就是又便捷又安全嘛。高強(qiáng)度、能記住、不使用通用密碼，不依賴信得過(guò)的工具的話三個(gè)只能同時(shí)成立兩個(gè)。

不過(guò)，大數(shù)據(jù)攻擊遠(yuǎn)非撞庫(kù)這么簡(jiǎn)單，一切的通用型漏洞都可以被用來(lái)大數(shù)據(jù)攻擊。最簡(jiǎn)單的，一群公司都用了同一個(gè)平臺(tái)，其中A公司的這個(gè)平臺(tái)被爆了一個(gè)漏洞，修補(bǔ)了，就結(jié)束了嗎？如果這平臺(tái)是個(gè)知名廠商，漏洞掛給他并發(fā)布補(bǔ)丁對(duì)那些續(xù)保著服務(wù)的還好一些，但更多情況是掛給了A，然后有人會(huì)提取這個(gè)平臺(tái)的特征信息，然后把這群公司全都跟著發(fā)掘和攻擊。

大數(shù)據(jù)攻擊的思想跟以前是截然相反的，以前大都是針對(duì)目標(biāo)找漏洞，哪怕旁注也是這個(gè)思路，現(xiàn)在是手上拿著漏洞去找小魚，積累小魚，說(shuō)不定能碰到跟小魚有關(guān)聯(lián)的大魚。

0x04 我們?cè)撊绾螒?yīng)對(duì)？

商務(wù)開(kāi)發(fā)處負(fù)責(zé)公司絕大部分的對(duì)外網(wǎng)站和應(yīng)用建設(shè)，也是web攻擊的重災(zāi)區(qū)。既然攻擊避無(wú)可避，那么我們?nèi)绾畏婪陡鞣N針對(duì)廈航的安全攻擊：

1、web攻擊例如DDOS攻擊的目標(biāo)并不是是所有服務(wù)，而是應(yīng)用系統(tǒng)內(nèi)的設(shè)計(jì)不好的服務(wù)，是要合理將服務(wù)單元?jiǎng)澐?，服?wù)和服務(wù)之間設(shè)計(jì)時(shí)就要將耦合度降到最低，牽一發(fā)而動(dòng)全身的應(yīng)用系統(tǒng)是最難防御攻擊的。遭受攻擊時(shí)，需要一個(gè)應(yīng)急處理團(tuán)隊(duì)，能夠快速反應(yīng)，能夠做完整的系統(tǒng)分析，深度理解被攻擊應(yīng)用系統(tǒng)的架構(gòu)，出了問(wèn)題，能第一時(shí)間對(duì)脆弱服務(wù)提出解決方案并且能第一時(shí)間攻擊源有定位。

3、開(kāi)發(fā)也要懂信息安全，對(duì)于Web開(kāi)發(fā)者開(kāi)說(shuō)，并不是寫好代碼就萬(wàn)事大吉，對(duì)于代碼安全應(yīng)該引起足夠的重視，這樣才能構(gòu)建安全、健壯的應(yīng)用，可以增加安全開(kāi)發(fā)相關(guān)的培訓(xùn)，提高開(kāi)發(fā)質(zhì)量。

4、積累故障經(jīng)驗(yàn)，每次攻擊發(fā)生時(shí)，記錄完整的排故文檔，后期針對(duì)相應(yīng)的文檔進(jìn)行技術(shù)討論及漏洞防御知識(shí)庫(kù)整理。

0x05 結(jié)語(yǔ)

借用360安全工程師的一句話作為結(jié)尾：在安全工程師的眼里，只有兩種系統(tǒng)：“一種是被攻擊的，一種是漏洞被發(fā)現(xiàn)尚未進(jìn)行攻擊的?！?/p>

第二篇：IT系統(tǒng)信息安全風(fēng)險(xiǎn)不容忽視

IT系統(tǒng)信息安全風(fēng)險(xiǎn)不容忽視

【編者按】2011年至今，廣東銀監(jiān)局共組織實(shí)施信息科技現(xiàn)場(chǎng)檢查17次，發(fā)現(xiàn)轄內(nèi)機(jī)構(gòu)IT風(fēng)險(xiǎn)點(diǎn)120處，提出整改建議83條，通過(guò)督促整改，消除了一批風(fēng)險(xiǎn)隱患，降低了風(fēng)險(xiǎn)水平。轄內(nèi)16家接受評(píng)級(jí)的法人機(jī)構(gòu)2011信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果顯示，三級(jí)以上的機(jī)構(gòu)增至14家，機(jī)構(gòu)IT風(fēng)險(xiǎn)管理能力已有改觀。但從今年的IT風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查情況看，在風(fēng)險(xiǎn)水平總體下降的同時(shí)，轄內(nèi)銀行業(yè)金融機(jī)構(gòu)信息安全風(fēng)險(xiǎn)管控狀況不盡理想，仍需進(jìn)一步改善。

一、銀行業(yè)機(jī)構(gòu)信息安全管理力度不足、風(fēng)險(xiǎn)隱患突出 2012年7月份以來(lái)，廣東銀監(jiān)局組織了9場(chǎng)次信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，從檢查情況看，轄內(nèi)機(jī)構(gòu)在信息安全管理方面存在的問(wèn)題不容忽視：

（一）對(duì)核心信息的管控強(qiáng)度不足、控制結(jié)構(gòu)混亂。檢查發(fā)現(xiàn)：被查機(jī)構(gòu)對(duì)應(yīng)用系統(tǒng)源代碼審核基本都不落實(shí)，顯然“招行成都分行網(wǎng)銀案”(代碼漏洞)風(fēng)險(xiǎn)警示未被足夠重視;多家機(jī)構(gòu)對(duì)重要系統(tǒng)備份介質(zhì)保管未實(shí)施雙重控制，甚至有機(jī)構(gòu)將電子銀行系統(tǒng)關(guān)鍵密鑰交由單人保管；網(wǎng)上銀行客戶端安全性保護(hù)未能達(dá)到《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（國(guó)標(biāo)）要求;核心網(wǎng)絡(luò)設(shè)備、運(yùn)行管理系統(tǒng)等重要部件由多人共同使用超級(jí)用戶；部分機(jī)構(gòu)核心系統(tǒng)中，uucp、nfs等敏感閑臵用戶未作刪除，理論上有被利用于非法入侵可能；在對(duì)某機(jī)構(gòu)測(cè)試環(huán)境檢查時(shí)發(fā)現(xiàn)測(cè)試數(shù)據(jù)庫(kù)中的海量生產(chǎn)數(shù)據(jù)未完全脫敏，且客戶機(jī)可下載數(shù)據(jù)表，說(shuō)明機(jī)構(gòu)對(duì)敏感信息的控制強(qiáng)度不足。

（二）對(duì)銀行終端設(shè)備管理較為松懈。中資機(jī)構(gòu)對(duì)桌面系統(tǒng)、客戶機(jī)的安全管理較松懈，基本沒(méi)有效實(shí)施簡(jiǎn)約客戶機(jī)模式。如工行、農(nóng)行近年在改造桌面系統(tǒng)、限制移動(dòng)接口等方面做過(guò)一些嘗試，但從高層到普通員工的認(rèn)同度都不高，至今難于推行，而內(nèi)網(wǎng)客戶機(jī)功能過(guò)強(qiáng)是很明顯的風(fēng)險(xiǎn)點(diǎn)；在銀行桌面系統(tǒng)中允許使用移動(dòng)存儲(chǔ)介質(zhì)是普遍現(xiàn)狀，而屏幕攝錄日志并未覆蓋所有內(nèi)網(wǎng)機(jī)器；另外，大部分機(jī)構(gòu)對(duì)內(nèi)外網(wǎng)交叉連接也未實(shí)施有效限制。

（三）信息安全管理制度不全或執(zhí)行不到位。今年7月，我局檢查組在對(duì)某城商行現(xiàn)場(chǎng)檢查中抽查了銀行卡制卡機(jī)、后臺(tái)權(quán)限管理客戶機(jī)各一臺(tái)，發(fā)現(xiàn)：（1）制卡機(jī)中存放有2000余條完整的客戶制卡明碼信息，如果外泄，有可能造成該行銀行卡被批量克隆的嚴(yán)重后果，而監(jiān)管部門之前的風(fēng)險(xiǎn)提示與整改建議未被認(rèn)真對(duì)待；（2）后臺(tái)管理客戶機(jī)中有約20張賬號(hào)、戶名、印章齊全的高清支票照片，存在客戶機(jī)中已超過(guò)一年，如外流，將直接威脅客戶的賬戶安全。查閱該行數(shù)據(jù)管理制度未見(jiàn)有對(duì)上述類型信息作存期、獲取、使用、銷毀等限制性規(guī)定內(nèi)容。

（四）信息安全控制措施的有效性存在疑問(wèn)。某小型銀行雖對(duì)內(nèi)網(wǎng)機(jī)器作了移動(dòng)接口監(jiān)視，但未對(duì)移動(dòng)存儲(chǔ)介質(zhì)帶離銀行進(jìn)行嚴(yán)格管束，也未見(jiàn)該行有定期檢查移動(dòng)介質(zhì)內(nèi)容的記錄或制定相關(guān)審核管控制度，管控方式存在漏洞，易于造成涉密信息外流。如：通過(guò)更改客戶機(jī)、移動(dòng)介質(zhì)中的信息變動(dòng)痕跡，即可使內(nèi)網(wǎng)監(jiān)視軟件對(duì)信息流向的追蹤失去目標(biāo)、形同虛設(shè)。此外，對(duì)多家中小銀行的檢查顯示，機(jī)構(gòu)對(duì)客戶機(jī)系統(tǒng)軟件的安全控制一般只做到黑名單管理層面，未發(fā)現(xiàn)有采用更有效的白名單管理模式。

（五）外包流程可能產(chǎn)生信息安全風(fēng)險(xiǎn)隱患。小型機(jī)構(gòu)對(duì)外包依賴性較強(qiáng)，但對(duì)外包的風(fēng)險(xiǎn)控制措施不到位。廣東省局對(duì)多家中小型機(jī)構(gòu)的現(xiàn)場(chǎng)檢查發(fā)現(xiàn)，項(xiàng)目建設(shè)期間，外包方人員幾乎掌握應(yīng)用項(xiàng)目的所有信息，并被賦予很高的系統(tǒng)權(quán)限，外包協(xié)議規(guī)定外包商擁有項(xiàng)目建設(shè)的關(guān)鍵文檔、參數(shù)、應(yīng)用代碼等核心信息，并可隨時(shí)利用開(kāi)發(fā)設(shè)備等完整帶離機(jī)構(gòu)。這種合作方式有形成“韓國(guó)農(nóng)協(xié)行式信息科技風(fēng)險(xiǎn)”隱患可能。

（六）高管層對(duì)信息安全風(fēng)險(xiǎn)管控的認(rèn)知不足。從訪談信息看，轄內(nèi)銀行業(yè)機(jī)構(gòu)大部分CIO在信息安全風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)、控制等方面自我感覺(jué)良好，認(rèn)為本機(jī)構(gòu)信息安全不存在較大問(wèn)題。但將現(xiàn)場(chǎng)檢查、巡查、調(diào)查發(fā)現(xiàn)的信息對(duì)照《廣東省銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指導(dǎo)意見(jiàn)》要求的比較結(jié)果表明，當(dāng)前在任CIO在知識(shí)背景、戰(zhàn)略意識(shí)、對(duì)IT風(fēng)險(xiǎn)的認(rèn)識(shí)深度、對(duì)監(jiān)管法規(guī)的了解、所主持建立的IT風(fēng)險(xiǎn)防范措施有效性以及與監(jiān)管部門的溝通能力等方面均存在差距，管理層的引領(lǐng)能力不盡理想。

二、信息安全管理風(fēng)險(xiǎn)突出的原因

（一）高層對(duì)信息科技風(fēng)險(xiǎn)管理定位不明確，導(dǎo)致資源配備錯(cuò)位。表現(xiàn)為：認(rèn)為信息安全管理是科技部門的工作，將科技部門視為信息安全風(fēng)險(xiǎn)的主要管理者，既負(fù)責(zé)制度制定也負(fù)責(zé)執(zhí)行、監(jiān)督，信息安全風(fēng)險(xiǎn)責(zé)任由IT部門兜底；在部分設(shè)臵了CIO的機(jī)構(gòu)，也因各種原因未能充分體現(xiàn)其作用。被查機(jī)構(gòu)IT人力資源相對(duì)缺乏的現(xiàn)象普遍存在，IT員工比例基本都在5%以下，部分機(jī)構(gòu)甚至不能確?；镜膷徫慌鋫湫枰?，致使信息安

全崗位、人員的安排被忽視。

（二）內(nèi)控系統(tǒng)不完善是引發(fā)信息安全問(wèn)題的重要原因。機(jī)構(gòu)高層對(duì)信息安全風(fēng)險(xiǎn)認(rèn)識(shí)程度不夠，沒(méi)有采取恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理戰(zhàn)略，鮮有通過(guò)充分宣傳、教育引導(dǎo)全員提高信息安全意識(shí)，形成健康的信息安全環(huán)境的行為，以致員工不清楚、不了解信息安全的含義，息安全意識(shí)淡薄，缺乏對(duì)信息安全風(fēng)險(xiǎn)的敏感性（客戶機(jī)長(zhǎng)期大量存放涉密信息可能導(dǎo)致其外泄等事實(shí)說(shuō)明這一現(xiàn)象嚴(yán)重）；另外，內(nèi)部管理制度、控制措施不完善或不適當(dāng)，不能充分識(shí)別信息安全風(fēng)險(xiǎn)或及時(shí)發(fā)現(xiàn)、消除、有效控制風(fēng)險(xiǎn)點(diǎn)；內(nèi)部信息交流不充分，監(jiān)督糾偏制度不落實(shí)，信息安全責(zé)任不明確等也是較普遍的現(xiàn)象。

（三）過(guò)度依賴外包商導(dǎo)致銀行機(jī)構(gòu)未能主動(dòng)控制外包風(fēng)險(xiǎn)。部分機(jī)構(gòu)認(rèn)為出現(xiàn)設(shè)備、系統(tǒng)故障時(shí)可由外包商解決，而對(duì)外包商是否能及時(shí)、恰當(dāng)解決問(wèn)題或最大程度避免安全問(wèn)題的出現(xiàn)認(rèn)識(shí)不足，導(dǎo)致了對(duì)外包商選擇、設(shè)備選型方面出現(xiàn)缺乏充分論證，流程不規(guī)范、對(duì)信息安全保護(hù)考慮不周的行為；此外，中小機(jī)構(gòu)內(nèi)部人員對(duì)核心系統(tǒng)的掌控能力不足，不得不向外包單位開(kāi)放更高的系統(tǒng)控制權(quán)限，這也可能招致信息安全風(fēng)險(xiǎn)問(wèn)題。當(dāng)前，外包監(jiān)管法規(guī)主要作粗線條規(guī)定，機(jī)構(gòu)不易直接參照，致其內(nèi)部制度難以清晰界定如何識(shí)別外包風(fēng)險(xiǎn)程度、范圍是外包流程管理中風(fēng)險(xiǎn)控制被動(dòng)的另一原因。

（四）法規(guī)支撐力度較弱，影響信息科技監(jiān)管的有效性。首先，因當(dāng)前信息科技風(fēng)險(xiǎn)監(jiān)管因素基本不影響其考核、評(píng)級(jí)，銀行業(yè)機(jī)構(gòu)往往將IT監(jiān)管行為視為“免費(fèi)體檢”，消極應(yīng)付。對(duì)監(jiān)管意見(jiàn)的執(zhí)行較隨意，不利于IT風(fēng)險(xiǎn)管理環(huán)境的改善和整

體風(fēng)險(xiǎn)水平的降低，使信息科技風(fēng)險(xiǎn)監(jiān)管的作用大打折扣；其次，對(duì)信息安全設(shè)施、控制措施的審查未予以足夠重視，深層次的銀行核心信息系統(tǒng)安全與風(fēng)險(xiǎn)控制能力審核、評(píng)估過(guò)程更未出現(xiàn)在準(zhǔn)入流程之列。

三、對(duì)策建議

（一）督促機(jī)構(gòu)管理層正視信息科技風(fēng)險(xiǎn)管理。一是建議監(jiān)管部門定期剖析、通報(bào)典型案例，必要時(shí)要求機(jī)構(gòu)針對(duì)案例進(jìn)行專項(xiàng)對(duì)照自查并提交報(bào)告；二是由監(jiān)管部門負(fù)責(zé)人對(duì)發(fā)生信息科技風(fēng)險(xiǎn)事件的、在現(xiàn)場(chǎng)檢查中被發(fā)現(xiàn)存在重大風(fēng)險(xiǎn)隱患的機(jī)構(gòu)進(jìn)行點(diǎn)名、警示，對(duì)機(jī)構(gòu)管理層形成一定壓力，促使其正視信息科技風(fēng)險(xiǎn)的防范；三是將信息科技風(fēng)險(xiǎn)管理評(píng)級(jí)結(jié)果作為機(jī)構(gòu)高管履職評(píng)價(jià)的參考要素，務(wù)使管理層負(fù)起IT風(fēng)險(xiǎn)管理第一責(zé)任；四是對(duì)信息安全內(nèi)部管理多次出現(xiàn)問(wèn)題的機(jī)構(gòu)，可考慮調(diào)降其內(nèi)部控制評(píng)價(jià)等級(jí)，提高對(duì)其IT風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的頻度；五是可考慮提升監(jiān)管法規(guī)層次，加強(qiáng)監(jiān)管約束，對(duì)IT風(fēng)險(xiǎn)相關(guān)內(nèi)部控制結(jié)構(gòu)混亂，制度無(wú)效或有章不循的現(xiàn)象以違規(guī)論處。

（二）強(qiáng)化內(nèi)部控制，管控信息安全內(nèi)部風(fēng)險(xiǎn)。信息系統(tǒng)已成為銀行業(yè)重要生產(chǎn)平臺(tái)，IT風(fēng)險(xiǎn)是很明確的新型風(fēng)險(xiǎn)，機(jī)構(gòu)內(nèi)部控制系統(tǒng)必需能對(duì)其充分識(shí)別與控制，防范信息安全風(fēng)險(xiǎn)應(yīng)作為IT風(fēng)險(xiǎn)相關(guān)內(nèi)控制度建設(shè)的基礎(chǔ)。一是管理層應(yīng)走出將信息安全管理認(rèn)為是科技部門工作的誤區(qū)，厘清信息安全風(fēng)險(xiǎn)管理邊界，通過(guò)宣傳、教育引導(dǎo)全員提高信息安全意識(shí)，形成健康的信息安全環(huán)境，使所有員工都了解信息安全的重要性，強(qiáng)化信息安全意識(shí)，提高對(duì)信息安全問(wèn)題的敏感性；二是健全

內(nèi)部管理制度與措施，充分識(shí)別并控制信息安全風(fēng)險(xiǎn)，明確信息安全管理責(zé)任，通過(guò)適當(dāng)?shù)膬?nèi)部控制結(jié)構(gòu)、管理行為及時(shí)發(fā)現(xiàn)、有效控制、消除信息安全風(fēng)險(xiǎn)點(diǎn)；三是疏通內(nèi)部信息交流渠道，加強(qiáng)部門交流、上下層級(jí)交流、內(nèi)部審計(jì)與縱向、橫向監(jiān)督，確保管理層及時(shí)了解信息安全風(fēng)險(xiǎn)狀況，落實(shí)糾偏制度。

（三）完善外包法規(guī)，防范信息安全外部風(fēng)險(xiǎn)。當(dāng)前外包相關(guān)監(jiān)管法規(guī)、文件對(duì)核心技術(shù)掌控、信息安全控制等關(guān)鍵事項(xiàng)的規(guī)定有待進(jìn)一步細(xì)化。一是考慮加大對(duì)設(shè)備廠商和外包商風(fēng)險(xiǎn)事件的通報(bào)力度。由銀監(jiān)會(huì)或各監(jiān)管局對(duì)信息系統(tǒng)風(fēng)險(xiǎn)事件涉及的設(shè)備廠商、設(shè)備型號(hào)、外包商進(jìn)行定期通報(bào)，加強(qiáng)風(fēng)險(xiǎn)警示，督促?gòu)S商、外包商提高質(zhì)量，與銀行業(yè)機(jī)構(gòu)共同緩釋、控制風(fēng)險(xiǎn)。二是考慮增加對(duì)應(yīng)用系統(tǒng)外包的安全控制條款。大型銀行應(yīng)用系統(tǒng)建設(shè)中，由科技人員分組管理局部模塊，內(nèi)部人員共同控制應(yīng)用系統(tǒng)集成，不允許外包商掌握整體應(yīng)用的做法是適當(dāng)?shù)娘L(fēng)險(xiǎn)控制方式?？蓞⒄者@種思路，細(xì)化外包管理法規(guī)，如規(guī)定：系統(tǒng)模塊、總集成管理邊界；系統(tǒng)權(quán)限、關(guān)鍵信息控制方式；對(duì)外包軟件開(kāi)發(fā)中使用的設(shè)備、移動(dòng)介質(zhì)，以及數(shù)據(jù)脫敏、利用、存儲(chǔ)、轉(zhuǎn)移，銷毀等進(jìn)行管制；強(qiáng)制性代碼審核要求等信息安全保護(hù)條款。三是考慮設(shè)定監(jiān)管部門對(duì)外包商實(shí)行延伸檢查的授權(quán)程序。外包商財(cái)務(wù)變化、人員變動(dòng)、責(zé)權(quán)利不明確等因素，容易給銀行信息系統(tǒng)管理帶來(lái)風(fēng)險(xiǎn)。目前監(jiān)管部門缺乏對(duì)外包商的延伸檢查手段，不利于全面監(jiān)測(cè)和管控信息科技風(fēng)險(xiǎn)，建議以部門規(guī)章形式設(shè)定信息科技監(jiān)管部門對(duì)銀行業(yè)IT外包商的延伸檢查權(quán)，以進(jìn)一步提高監(jiān)管的有效性。

第三篇：安全,沒(méi)有終點(diǎn)

安全，沒(méi)有終點(diǎn)

----寫在2012年第11個(gè)“安全生產(chǎn)月”

◆ 中海瀝青（泰州）有限責(zé)任公司營(yíng)銷部 于向東

對(duì)于我們石油化工企業(yè)來(lái)說(shuō)，安全工作只有起點(diǎn)，沒(méi)有終點(diǎn)；安全工作沒(méi)有及格，只有滿分。讓我們都來(lái)關(guān)注安全，關(guān)愛(ài)生命。立足安全，讓安全從墻上、報(bào)刊上、會(huì)場(chǎng)上走下來(lái)，走進(jìn)我們的心中，伴隨在我們的工作、生活中?? 生產(chǎn)必須安全，安全促進(jìn)生產(chǎn)。立足安全，勤儉奉獻(xiàn)，是我們每一個(gè)石化建設(shè)者的心聲和美好夙愿！安全，在唇齒的談吐之間，是一個(gè)很輕易的說(shuō)出來(lái)，卻又很沉重的一個(gè)詞。這個(gè)詞從我記事那一天開(kāi)始，耳邊不知重復(fù)了多少遍；“孩子，繞過(guò)前面的長(zhǎng)凳子?！边@是母親在我蹣跚學(xué)步時(shí)的指點(diǎn)；“當(dāng)心路上的汽車！”這是父親在我騎車上學(xué)時(shí)身后的囑托；“隱患險(xiǎn)于明火，防范勝于救災(zāi)，責(zé)任重于泰山”這是現(xiàn)在，我和同事們每天上班時(shí)恪守的信念。

在人生的旅途上，安全伴我同行！只有立足安全，安全生產(chǎn)才能順利進(jìn)行。對(duì)于我們每一個(gè)人來(lái)說(shuō)，安全都是如此的重要；它是通往成功彼岸的橋梁，只有在確保安全的前提下，你才能抵達(dá)成功的彼岸去感受成功的愉悅，才能提勤儉奉獻(xiàn)，人生理想；它又是培育幸福的樂(lè)土，只有在安全這片沃土的培育下，幸福之花才能隨時(shí)綻放在你的生命旅程；同時(shí)，安全更是社會(huì)繁榮發(fā)展的基石，基石的穩(wěn)固與否，將直接影響我們前進(jìn)與發(fā)展的步伐。有一種基本的權(quán)利叫安全，擁有了安全，雖然不可能擁有一切，但沒(méi)有安全就一定沒(méi)有一切。這是我們石化企業(yè)一線同仁堅(jiān)信的真理！

對(duì)于我們石化企業(yè)管理部門而言，多一份自律，就多了一份安全的籌碼；多一份警醒，就擁有了一張通往安全的綠卡。人類生存的幾大要素莫過(guò)于此：健康是前提，物質(zhì)是基礎(chǔ)，精神是源泉，而安全，則是堡壘。一個(gè)讓我們生命的狀態(tài)時(shí)刻保持安全，讓我們生存的環(huán)境時(shí)刻充滿寧?kù)o與溫馨的堡壘。沒(méi)有了安全，再健康的軀體也在劫難逃，再豐厚的物質(zhì)也會(huì)變得一文不值，再豐沛的精神源泉也如無(wú)本之木。如此這般，我們的生產(chǎn)生活便如臨深淵，惶恐與不安充斥著腦際，命運(yùn)變得脆弱與坎坷！我們石化行業(yè)的兄弟們：請(qǐng)將我們的目光注視在歷史那慘痛的一頁(yè)：

2011年10月26日17時(shí)許，中國(guó)海油銷售分公司山東項(xiàng)目組的一名承包商施工人員陳延偉，在山東項(xiàng)目組租賃的山東?；锪鞯诹佑驼靖脑旃こ态F(xiàn)場(chǎng)加油站罩棚頂部中心部位（約12米高）踩破銹蝕的彩鋼瓦墜落地面，經(jīng)搶救無(wú)效死亡。事故原因：

1、承包商施工人員陳延偉、周坤在工作間歇，沒(méi)有辦理高空作業(yè)許可證的情況下到達(dá)12米高的罩棚頂部。在非工作區(qū)域行走時(shí)，陳延偉不幸踩破彩鋼瓦墜落地面。

2、罩棚頂部彩鋼瓦鉚接處腐蝕嚴(yán)重，無(wú)法承受陳延偉的體重，被陳延偉踩踏時(shí)撕裂洞開(kāi)。

在這里，我不想再重復(fù)那些數(shù)字，雖然那些數(shù)字是那樣的發(fā)人深省。每周我們都學(xué)習(xí)一個(gè)個(gè)足以令我們警醒一生的悲劇?？蔀槭裁垂┪覀儗W(xué)習(xí)的材料是那樣的絡(luò)繹不絕，那些悲劇中的主角，難道他們不曾學(xué)習(xí)過(guò)？難道他們就沒(méi)有在一份份含滿血與淚的事故材料中，聽(tīng)到過(guò)生命的警鐘？

在我們?nèi)粘９ぷ髦校鞍踩珶o(wú)小事”是人所共知的道理，但做起來(lái)并未完全對(duì)號(hào)。有一種流行說(shuō)法叫“說(shuō)起來(lái)重要，做起來(lái)次要，忙起來(lái)不要”，習(xí)慣性違章時(shí)有發(fā)生就是這種流行說(shuō)法的突出注解，而因此引起的嚴(yán)重后果也是觸目驚心的。

安全工作、不公清疏。根據(jù)總公司2011年年終統(tǒng)計(jì)，安全人生傷亡事故，外包方發(fā)生頻次和死亡率大于總公司，這是因?yàn)橥獍降陌踩O(jiān)管、檢查、安全教育培訓(xùn)、人員的自身素質(zhì)操作素質(zhì)等各個(gè)環(huán)節(jié)，明顯低于我公司。而這些安全事故都將或多或少的影響本公司的安全生產(chǎn)和經(jīng)濟(jì)效益，并給企業(yè)帶來(lái)很多不良的社會(huì)影響??

每次在安全通報(bào)上看到這樣文字時(shí)，禁不住我的眼淚就涌了出來(lái)，他們是帶著對(duì)生命的無(wú)限眷戀、對(duì)未來(lái)的無(wú)限向往，而永遠(yuǎn)地離開(kāi)了人世，此刻，怎能不讓人感嘆生命的脆弱和違章的可怕呢？ 當(dāng)燒焦的肉體、淋漓的鮮血、渴望的眼神成為悄然的隕落，當(dāng)一個(gè)寧?kù)o的家被無(wú)情的剝奪。我想問(wèn)一句：安全你重視了嗎？安全是誰(shuí)已經(jīng)將你悄悄遺忘？

泰瀝公司原油進(jìn)公司前要經(jīng)過(guò)倉(cāng)儲(chǔ)公司，再用內(nèi)河運(yùn)輸船舶轉(zhuǎn)運(yùn)進(jìn)我公司。這是一個(gè)系統(tǒng)工程，整個(gè)環(huán)節(jié)包括兩個(gè)外包方，倉(cāng)儲(chǔ)公司、運(yùn)輸公司。2012年上半年?duì)I銷部、HSE部聯(lián)合對(duì)我公司正常使用的兩家倉(cāng)儲(chǔ)公司進(jìn)行現(xiàn)場(chǎng)設(shè)施、硬件、書面資料評(píng)估并做出結(jié)論，保證了在制度上完善對(duì)倉(cāng)儲(chǔ)公司的評(píng)估。近幾年

為我公司內(nèi)河運(yùn)輸?shù)拇?，八成以上進(jìn)行了更新，運(yùn)輸船舶的質(zhì)量得到了可靠的保障。正常運(yùn)輸船舶的監(jiān)督有海事局、運(yùn)輸公司的相關(guān)部門進(jìn)行。但根據(jù)運(yùn)輸過(guò)程復(fù)雜、運(yùn)輸單位效率不好，掛靠船舶多，人員頻換等情況公司分管領(lǐng)導(dǎo)要求營(yíng)銷部、HSE部走出去到現(xiàn)場(chǎng)查找問(wèn)題。我們兩部門從今年5月份已經(jīng)開(kāi)始了對(duì)運(yùn)輸船舶在運(yùn)輸現(xiàn)場(chǎng)的現(xiàn)場(chǎng)安全以及設(shè)備、人員、消防預(yù)案的聯(lián)合檢查。

其實(shí)，安全對(duì)于每個(gè)人來(lái)說(shuō)都不會(huì)陌生，而對(duì)一個(gè)石化企業(yè)來(lái)說(shuō)，它包含的意義尤為深刻。我們天天都在生產(chǎn)一線，時(shí)時(shí)處處談到的都是安全，它帶給了我們企業(yè)發(fā)展的美好前景，同時(shí)又凝聚了太多人的牽掛和責(zé)任，每一個(gè)石化企業(yè)的建設(shè)者都能感受到這份責(zé)任的重大。我小時(shí)候生活在廠宿舍區(qū)附近，安全給我的第一課，便是孩提時(shí)天天見(jiàn)到鄰居的妻子佇立街頭焦急地等待不能按時(shí)下班歸來(lái)丈夫的情景，丈夫的每一次平安歸來(lái)都包含了全家人的深深牽掛，而鄰居的妻子那翹首以盼的身影成了記憶中永遠(yuǎn)抹不掉的回憶。

長(zhǎng)大后我背負(fù)著父母的期望，懷揣著自己的夢(mèng)想邁入石化企業(yè)這個(gè)特殊的行業(yè)，成為一名光榮的煉油廠工人。耳濡目染了許許多多的安全生產(chǎn)事例，我深深感受到安全所帶來(lái)的深刻含義。安全就意味著責(zé)任，一個(gè)人的安全不僅是對(duì)自己負(fù)責(zé)，更多地是對(duì)關(guān)心你的家人負(fù)責(zé)；安全又等同于效益，我們更能體會(huì)到安全生產(chǎn)帶給化工企業(yè)的勃勃生機(jī)。

這么多年來(lái)發(fā)生在我身邊太多的安全事故，無(wú)論是親眼看到被電弧燒傷的兩位同事，還是造氣爐爆炸壓死的同事父親，還有被氧壓機(jī)皮帶輪夾死的同事姑姑，沒(méi)有一件不令人痛心疾首。公司曾舉辦過(guò)安全教育圖片展，所陳列的是兄弟單位發(fā)生的各種事故圖片。照片一張張觸目驚心，慘不忍睹，車禍身亡，高空墜落殘廢，被電弧燒傷，一段段文字都是血與淚寫就的教訓(xùn)。每當(dāng)夜幕降臨，望著萬(wàn)家燈火，霓虹閃爍，我就會(huì)感慨萬(wàn)千。這美妙的夜景凝鑄著無(wú)數(shù)企業(yè)職工的心血與汗水，冥冥之中我也在默默為一些永遠(yuǎn)遠(yuǎn)離這些繁華的生命惋惜痛心。他們就如同這浩瀚星空隕落的一顆顆流星，只在一瞬間就消失在了人們的視線中。在年復(fù)一年的工作中，我深深感到：如果說(shuō)還有什么可以和幸福等同的話，我會(huì)毫不猶豫地回答——安全！雖然是兩個(gè)普通的字眼，但卻聯(lián)系著千家萬(wàn)戶，涉及到我們每個(gè)人，因此它在每個(gè)人的心中有著不同的分量。

安全是一項(xiàng)長(zhǎng)期、艱巨、復(fù)雜的系統(tǒng)工程，不僅是企業(yè)生產(chǎn)的薄弱環(huán)節(jié)，同

時(shí)也直接影響著家庭的安危。作為營(yíng)銷部門的安全管理者，我更加感到安全生產(chǎn)，責(zé)任重大，因?yàn)槲乙獙?duì)分派來(lái)的新大學(xué)生進(jìn)行部門三級(jí)安全教育，看著他們一張張年輕的面孔，讓我想起剛參加工作時(shí)發(fā)生在我自己身邊的一起事故，雖然沒(méi)有給我的臉上留下痕跡，但卻是當(dāng)頭棒喝，將我從安全意識(shí)淡薄的懸崖邊上打了回來(lái)。我給他們講發(fā)生在我身邊一例例血的教訓(xùn)，因?yàn)楣ぷ饕粫r(shí)的疏忽和麻痹而付出的代價(jià)往往是慘痛的，而那些僥幸者，他們雖在搶救之下活了下來(lái)，可他們的身體和心靈卻留下了難以彌補(bǔ)的創(chuàng)傷和痛苦。痛定思痛，從一幕幕血的教訓(xùn)中我們應(yīng)該樹(shù)立一個(gè)正確的、堅(jiān)強(qiáng)的安全意識(shí)。曾給他們講看過(guò)的一篇文章，至今還記憶猶新，某火電公司在一化工工廠施工時(shí)，一位日本專家曾這樣說(shuō)施工人員：“你們中國(guó)人的確有不怕死的可貴精神，在施工現(xiàn)場(chǎng)有不戴安全帽的現(xiàn)象。在日本，廠長(zhǎng)，經(jīng)理開(kāi)會(huì)時(shí)安全帽都系得緊緊的?！边@是對(duì)違章現(xiàn)象的莫大諷刺。它一針見(jiàn)血地言明了一些人安全意識(shí)的淡薄與無(wú)知，對(duì)自己的輕視就是對(duì)家庭和社會(huì)的犯罪。安全的警鐘要常鳴，奉勸可嘆的“勇士們”，收起你的蠻干和無(wú)知吧！有人說(shuō)：安全生產(chǎn)的難點(diǎn)在我們自己，在我們自身的安全意識(shí)。仔細(xì)想想不無(wú)道理今天?！鞍踩a(chǎn)月”活動(dòng)的展開(kāi)，《安全生產(chǎn)法》的頒布實(shí)施，“兩票三制”的嚴(yán)格執(zhí)行??，這不都是為了搞好安全生產(chǎn)，領(lǐng)導(dǎo)和職工們用血的教訓(xùn)組成的努力與決心。安全的隱患像一只狡猾的狐貍，隱藏著、等待著、觀望著我們的違章行為，伺機(jī)侵吞我們健康的生命?！霸趰徱环昼姡踩搿?，我們每個(gè)人都應(yīng)該做到這一點(diǎn)。在工作崗位上的每一分鐘，我們不僅要做到保證自己的人身安全、同時(shí)要保證自己所轄的電氣設(shè)備和電網(wǎng)的安全。

誰(shuí)都清楚，燦爛的青春之花，會(huì)在安全的沃土上開(kāi)得絢麗多姿，也會(huì)因事故的肆虐變得淡然無(wú)光。展望未來(lái)，我們每個(gè)人該走的路還很長(zhǎng)，肩負(fù)的責(zé)任也很重。在新形勢(shì)、新目標(biāo)下，我們的一舉一動(dòng)應(yīng)當(dāng)更穩(wěn)健更成熟。當(dāng)我們看見(jiàn)紅艷艷的驕陽(yáng)拔地而起，金色的沙漠上管道縱橫??，每一個(gè)靜止的、運(yùn)動(dòng)的生命體都被渲染的蓬勃、美麗。我們一定會(huì)情不自禁地感嘆：生命竟是如此美麗而精彩！然而，有兩個(gè)字是至關(guān)重要的，因?yàn)槿绻麤](méi)有這兩個(gè)字的相拌相依，我們將無(wú)法感受和擁有這美好的一切，這就是安全！

眾所周知，現(xiàn)代管理科學(xué)強(qiáng)調(diào)“以人為本”的原則，就是要解決人的思想意識(shí)，思想方法問(wèn)題，為管理的其它環(huán)節(jié)創(chuàng)造先決條件。

安全是經(jīng)濟(jì)社會(huì)順利發(fā)展的保障，安全是我們?nèi)〉眯б娴那疤?，安全?duì)我們來(lái)說(shuō)至關(guān)重要。因此我們就要事事講安全、時(shí)時(shí)講安全,血的教訓(xùn)證明不重視安全的后果是非常嚴(yán)重的，是要付出沉痛代價(jià)的。要把生命牢牢握在自己手中，就要自覺(jué)地把安全提取到“天”字號(hào)的位置上，認(rèn)真學(xué)習(xí)安全規(guī)程，認(rèn)真做好安全管理，只有思想上多一道防線，工作上多一份認(rèn)真，安全上才能多一分保障，從事安全工作一定要堅(jiān)決克服僥幸心理和麻痹思想，當(dāng)僥幸心理閃現(xiàn)時(shí)，請(qǐng)想一想：父母雙鬢的白發(fā)、妻子牽掛的眼神、孩子睡夢(mèng)中那甜甜的微笑，難到這一切還不能打動(dòng)那浮燥的心嗎？當(dāng)麻痹思想抬頭時(shí)，請(qǐng)?jiān)傧胍幌耄耗赀~的雙親需要你床前盡孝，賢惠的妻子需要你牽手人生，可愛(ài)的兒女需要你為他避風(fēng)擋雨，難道這一切還不能喚醒那麻木的神經(jīng)嗎？每個(gè)人的生命只有一次，一旦失去就不會(huì)再有，失去生命，再多的財(cái)富都變得毫無(wú)意義，還有什么比幸福地活著更可貴的東西呢？

多少年的風(fēng)風(fēng)雨雨，無(wú)論我們的生活有多大的變遷，無(wú)論我們的工作有何種變化，始終不變的是，我們把安全牢記在心間。不管是春夏秋冬，還是酷暑嚴(yán)寒，我們都把安全看成是幸福的源泉。一分耕耘一分收獲。我們情系安全，換來(lái)了無(wú)數(shù)個(gè)家庭的平安幸福；我們關(guān)注安全，必將迎來(lái)無(wú)比美好的明天！珍惜生活，愛(ài)護(hù)自我，把生命握在自己手中，去享受人間的天倫之樂(lè)，去感受人間的至愛(ài)與溫情，這該有多好??

此情此景，我卻分明聽(tīng)到夜空凄厲的聲音高呼：“天災(zāi)無(wú)法抗拒，人禍天理難容”！他們何其不幸，有多少生命已經(jīng)無(wú)辜斷送，而我們又何其有幸，依然健康的生活和快樂(lè)的工作！歷經(jīng)無(wú)數(shù)血淚的教訓(xùn)之后，我們的政府、社會(huì)對(duì)“安全”這兩個(gè)字的重視程度達(dá)到了前所未有的高度?！吨腥A人民共和國(guó)安全生產(chǎn)法》的頒布和實(shí)施，都充分體現(xiàn)了以人為本的時(shí)代內(nèi)涵，體現(xiàn)了對(duì)生命這一基本人權(quán)的尊重?？鞓?lè)工作，勤儉奉獻(xiàn)，是我們每個(gè)人的權(quán)利和義務(wù)。

俗話說(shuō)：“前車之鑒，后事之師”，生命不再重來(lái)，安全責(zé)任重于泰山，讓悲劇不再重演，讓人生一路平安。我希望每個(gè)人都能牢記“關(guān)愛(ài)生命，安全發(fā)展”的安全活動(dòng)主題，讓公司的每個(gè)角落都充滿歡聲笑語(yǔ)！讓生命之花開(kāi)得更美更艷，我也希望有一天，我們會(huì)驚喜的看到安全意識(shí)在心中，自覺(jué)維護(hù)安全，確保安全！

安全，沒(méi)有終點(diǎn)。

2012年6月7日

第四篇：安全，沒(méi)有任何借口

安全，沒(méi)有任何借口

從去年到今天，從《把信送給加西亞》到《沒(méi)有任何借口》、《細(xì)節(jié)決定成敗》，一批批職業(yè)勵(lì)志書一浪接一浪在神州大地掀起熱潮，銷得如火如荼。當(dāng)這些書擺在我們面前，來(lái)到我們石油人身邊，當(dāng)這些書都銷得如火如荼。當(dāng)這些書擺在我們面前，來(lái)到我們石油人的身邊，當(dāng)“12.23”安全的警鐘仍在耳邊清晰地回旋，聯(lián)想到在平日里被一些人當(dāng)做小事的安全工作，我更深刻地去理解這幾本書的精髓，誠(chéng)信、執(zhí)行、責(zé)任、細(xì)節(jié)。這些都是安全工作中不可或缺的職業(yè)品質(zhì)和態(tài)度。安全工作無(wú)小事。安全，no excuse！

安德魯·羅文，一個(gè)很普通的士兵，完成了一個(gè)神圣的使命，拯救了國(guó)家的命運(yùn)。憑著堅(jiān)定的信念，為了國(guó)家的利益和軍人的榮譽(yù)，他經(jīng)歷了太多的艱險(xiǎn)，但他沒(méi)有放棄、屈服和退縮。面對(duì)“責(zé)任重于泰山”的安全工作，我們是否也應(yīng)該向羅文一樣，抱著必勝的信念打好“安全保衛(wèi)戰(zhàn)”，以誠(chéng)信為本，敬業(yè)愛(ài)崗，甘作一顆螺絲釘，在平凡的事業(yè)上做出不平凡的貢獻(xiàn)！這同樣也是我們每一個(gè)石油人不可推卸的使命。

安全工作，沒(méi)有任何借口。

一個(gè)在工程施工中從高空墜落而造成手臂粉碎性骨折的職工，事后對(duì)自己忽視安全的行為追悔莫及。但仍然為自己尋找了這樣那樣的借口：為了布好每一根鋼管，要在管帶上來(lái)回走動(dòng)，安全帶一會(huì)取一會(huì)栓，很麻煩；天氣熱，高空作業(yè)讓人頭昏腦脹；自己平時(shí)都挺注意的，就這一次……

不，不要找借口了，如果當(dāng)時(shí)不是因?yàn)橄勇闊?，他隨時(shí)把安全帶拴上，這一切都不會(huì)發(fā)生。安全意識(shí)薄弱，安全防范就差那么一點(diǎn)點(diǎn)，就釀成一個(gè)大錯(cuò)；不要心存僥幸，“不怕一萬(wàn)，就怕萬(wàn)一”，哪怕只一次，也要為此付出代價(jià)，抱憾終生。

尋找借口是膽怯的人的行為，只能是一種自我安慰。這種安慰是致命的，它給人一種暗示：不是我的原因造成的。在這種暗示下，人們便不再找自身的原因，以至于下次還犯類似的錯(cuò)誤。我們常?？吹?，每一次安全事故后究其原因總是：安全設(shè)施陳舊，現(xiàn)場(chǎng)操作不熟，安全措施不全……等等借口，而沒(méi)有真正的深刻反省，在思想意識(shí)上找原因。正是因?yàn)槿绱诉@般的輕描淡寫，一筆帶過(guò)，我們才一次又一次嘗到忽視安全的苦頭。一年前，那場(chǎng)駭人聽(tīng)聞的“12.23”特大井噴事故，對(duì)我們每一個(gè)石油人來(lái)說(shuō)都是一個(gè)慘痛的教訓(xùn)。243條生命，觸目驚心！分析事故原因，6個(gè)責(zé)任人都是因?yàn)椴蛔袷貚徫宦氊?zé)，連續(xù)違反操作規(guī)程或者不作為、不整改，才釀成了這場(chǎng)悲劇。

美國(guó)的西點(diǎn)軍校建校兩百多年來(lái)，“沒(méi)有任何借口”一直被奉為最重要的行為準(zhǔn)則，是傳授給每一個(gè)軍校新生的第一個(gè)理念?！皥?bào)告長(zhǎng)官，是”、“報(bào)告長(zhǎng)官，不是”，這是學(xué)員遇到長(zhǎng)官問(wèn)話時(shí)唯一的回答，除此之外，不能多說(shuō)一個(gè)字。西點(diǎn)向我們灌輸著--執(zhí)行，沒(méi)有任何借口的觀念。面對(duì)石油行業(yè)中嚴(yán)格的安全責(zé)任制度和完善的安全管理體系，我們只有絕對(duì)執(zhí)行，沒(méi)有任何借口可尋。

是的，不找借口就要勇?lián)?zé)任。值得人們關(guān)注的是，對(duì)12.23事故的處理結(jié)果，這一次不再是姑息遷就，大事化小，小事化了，而是嚴(yán)懲不??！面對(duì)黨和國(guó)家人民，安全工作沒(méi)有任何借口。我們不再回避，不再推委，痛定思痛，全員行動(dòng)起來(lái)，把“安全”刻在每一個(gè)的心間。我們欣喜地看到羅家寨ｈ16井已經(jīng)重改新顏，喜訊接踵，光彩煥發(fā)。遠(yuǎn)在新疆的國(guó)家重點(diǎn)工程克拉2中央處理廠在惡劣的環(huán)境下，以安全為保障，優(yōu)質(zhì)高效地完成施工任務(wù)。還有很多很多，在石油戰(zhàn)線的各個(gè)角落，“安全”兩個(gè)字已被大家用實(shí)際行動(dòng)來(lái)書寫！

講安全，學(xué)安全，這并不難，難在我們?cè)鯓硬拍苷嬲龅桨寻踩阑加谖慈?。不是講大道理，更不是幾句口號(hào)和標(biāo)語(yǔ)，“冰凍三尺非一日之寒”我們要從身邊做起，從點(diǎn)滴做起。再小的細(xì)節(jié)也不能放過(guò)，忽視細(xì)節(jié)才有了泰坦尼克號(hào)的沉沒(méi)。

“要是某一個(gè)環(huán)節(jié)嚴(yán)格一些，認(rèn)真執(zhí)行相關(guān)規(guī)定，一場(chǎng)災(zāi)難是可以避免的?！边@是事故發(fā)生后，人們常常發(fā)出慨嘆。是的，細(xì)節(jié)決定了成敗，細(xì)節(jié)決定著我們的安危！

如果不注重細(xì)節(jié)，也許一次小小的失誤，我們美好的生活就將會(huì)蒙上陰影。也是在平常的工作中，一名女電焊工忽視了基本的安全防護(hù)，在進(jìn)行管口切割時(shí)忘記帶面罩，飛濺的鐵屑鉆入她的耳朵，擊破耳膜，造成了永久失聰。她再也聽(tīng)不見(jiàn)鳥叫，再也聽(tīng)不見(jiàn)蛙鳴，再也聽(tīng)不見(jiàn)女兒甜甜地呼喚她“媽媽，好媽媽”了。她的世界從此將寂靜無(wú)聲……

我為這位母親感到惋惜，更深刻地理解到細(xì)節(jié)對(duì)于安全工作的重要意義。在美國(guó)有一個(gè)著名的“蝴蝶效應(yīng)”，說(shuō)是南半球某地的一只蝴蝶偶爾扇動(dòng)一下翅膀所引起的微弱氣流，幾星期后可變成席卷北半球某地的一場(chǎng)龍卷風(fēng)。由一個(gè)極小起因，經(jīng)過(guò)一定的時(shí)間，在其他因素的參與作用下，發(fā)展成極為巨大和復(fù)雜后果。

安全，一個(gè)關(guān)系到我們每一個(gè)人生產(chǎn)生活的大事，不要以為只要不牽涉自己，安全工作都是別人的事，只有身邊的大環(huán)境安全了，自己所處的小環(huán)境才是安全的?！俺情T失火，殃及池魚”。當(dāng)看見(jiàn)工地上的機(jī)具設(shè)備，易燃易爆物品堆放不規(guī)范時(shí)，我們不能再視而不見(jiàn)；當(dāng)看見(jiàn)身邊的人違反操作規(guī)則時(shí)，我們也不會(huì)再不聞不問(wèn)；當(dāng)發(fā)現(xiàn)哪怕是微小的安全隱患，我們更不會(huì)事不關(guān)己高高掛起！安全工作人人有責(zé)，安全工作，我們責(zé)無(wú)旁貸！

“前車之鑒，”告誡我們，安全工作只有起點(diǎn)沒(méi)有終點(diǎn)！千里之行始于足下。準(zhǔn)備好了嗎？我們現(xiàn)在就時(shí)刻牢記安全，高舉“安全”的旗幟，用“安全”保駕護(hù)航，向著創(chuàng)造企業(yè)更加安全、美好明天的目標(biāo)，出發(fā)

第五篇：安全，沒(méi)有任何借口

報(bào)告長(zhǎng)官，是”、“報(bào)告長(zhǎng)官，不是”，這是學(xué)員遇到長(zhǎng)官問(wèn)話時(shí)唯一的回答，除此之外，不能多說(shuō)一個(gè)字。西點(diǎn)向我們灌輸著--執(zhí)行，沒(méi)有任何借口的觀念。面對(duì)石油行業(yè)中嚴(yán)格的安全責(zé)任制度和完善的安全管理體系，我們只有絕對(duì)執(zhí)行，沒(méi)有任何借口可尋。

講安全，學(xué)安全，這并不難，難在我們?cè)鯓硬拍苷嬲龅桨寻踩阑加谖慈?。不是講大道理，更不是幾句口號(hào)和標(biāo)語(yǔ)，“冰凍三尺非一日之寒”我們要從身邊做起，從點(diǎn)滴做起。再小的細(xì)節(jié)也不能放過(guò)，忽視細(xì)節(jié)才有了泰坦尼克號(hào)的沉沒(méi)。

“要是某一個(gè)環(huán)節(jié)嚴(yán)格一些，認(rèn)真執(zhí)行相關(guān)規(guī)定，一場(chǎng)災(zāi)難是可以避免的?！边@是事故發(fā)生后，人們常常發(fā)出慨嘆。是的，細(xì)節(jié)決定了成敗，細(xì)節(jié)決定著我們的安危！

如果不注重細(xì)節(jié)，也許一次小小的失誤，我們美好的生活就將會(huì)蒙上陰影。也是在平常的工作中，一名女電焊工忽視了基本的安全防護(hù)，在進(jìn)行管口切割時(shí)忘記帶面罩，飛濺的鐵屑鉆入她的耳朵，擊破耳膜，造成了永久失聰。她再也聽(tīng)不見(jiàn)鳥叫，再也聽(tīng)不見(jiàn)蛙鳴，再也聽(tīng)不見(jiàn)女兒甜甜地呼喚她“媽媽，好媽媽”了。她的世界從此將寂靜無(wú)聲……

我為這位母親感到惋惜，更深刻地理解到細(xì)節(jié)對(duì)于安全工作的重要意義。在美國(guó)有一個(gè)著名的“蝴蝶效應(yīng)”，說(shuō)是南半球某地的一只蝴蝶偶爾扇動(dòng)一下翅膀所引起的微弱氣流，幾星期后可變成席卷北半球某地的一場(chǎng)龍卷風(fēng)。由一個(gè)極小起因，經(jīng)過(guò)一定的時(shí)間，在其他因素的參與作用下，發(fā)展成極為巨大和復(fù)雜后果。

安全，一個(gè)關(guān)系到我們每一個(gè)人生產(chǎn)生活的大事，不要以為只要不牽涉自己，安全工作都是別人的事，只有身邊的大環(huán)境安全了，自己所處的小環(huán)境才是安全的?！俺情T失火，殃及池魚”。當(dāng)看見(jiàn)工地上的機(jī)具設(shè)備，易燃易爆物品堆放不規(guī)范時(shí)，我們不能再視而不見(jiàn)；當(dāng)看見(jiàn)身邊的人違反操作規(guī)則時(shí)，我們也不會(huì)再不聞不問(wèn)；當(dāng)發(fā)現(xiàn)哪怕是微小的安全隱患，我們更不會(huì)事不關(guān)己高高掛起！安全工作人人有責(zé)，安全工作，我們責(zé)無(wú)旁貸！

“前車之鑒，”告誡我們，安全工作只有起點(diǎn)沒(méi)有終點(diǎn)！千里之行始于足下。準(zhǔn)備好了嗎？我們現(xiàn)在就時(shí)刻牢記安全，高舉“安全”的旗幟，用“安全”保駕護(hù)航，向著創(chuàng)造企業(yè)更加安全、美好明