第一篇:“沒有絕對安全的系統”--web安全風險淺析
0x00 導言
早在1995年,《喬布斯:遺失的訪談》節目里喬布斯提到:「未來,互聯網與 Web 是一個大趨勢。」這句話在互聯網初興的1995年無疑是具備極強預見性的。如果,我們把網絡空間分為三大組成部分(云->管->端)來看的話,現在的云幾乎都是基于 Web 的成熟協議來對外提供服務的,比如 HTTP 協議,最流行的傳輸格式是 JSON,其次如 XML 等。
HTTP 協議的成熟大大促進了端上瀏覽器(或瀏覽器內核)的發展,瀏覽器的發展注定了 Web 的勢不可擋,HTML/XML->XHTML->HTML5,這種技術架構完美地把背后高冷的信息以可視化的方式呈現在大家面前。說這些是想說,端上無論是 PC、Pad 還是手機,只要你聯網,Web 的方式或技術是無處不在的。因此,隨著互聯網的不斷擴張,WEB攻擊的數量逐年上升,占了大部分攻擊事件比例。Web安全已經推到了前沿浪尖,無論是政府還是企業都迫切解決這個棘手的問題。
0x01 回顧
Gartner 統計:目前75%攻擊轉移到應用層。原有的傳統防御設備已經不能滿足企業對網絡攻擊的防御。
在中國,過去的2014年是信息安全爆炸的一年,Dns大劫難,某旅游網站信用卡事件,心臟出血漏洞,破殼漏洞及各大快遞,電商和某大型火車票網站的數據都牽動的圈內圈外人的心。
這種趨勢并沒有在今年有所減緩,例如今年以來四個影響深遠的網絡安全事件,海康威視被黑客植入代碼導致被遠程監控(2月27日),網易骨干網遭攻擊百萬用戶無法使用網易服務(5月11日),攜程網內部員工誤刪除代碼網站整體宕機12小時(5月28日),國外黑客公司Hacking Team泄露的黑客技術資料(7月6日)
0x02 傳統的Web攻擊及防護
1.CSRF跨站請求偽造防護
1.將cookie設置未HttpOnly;
2.增加token,表單中增加一個隱藏域,提交時將隱藏域提交,服務端驗證token;3.通過referer識別,根據Http協議,在HTTP頭中有一個字段交Referer,它記錄了HTTP請求的來源地址。如果攻擊者要實施csrf攻擊時,必須從其他站點偽造請求,當用戶通過其他網站發送請求時,請求的Referer的值是其他網站的網址。因此可以對每個請求驗證其Referer值即可。2.劫持攻擊
2.1.點擊劫持: 被攻擊的頁面作為iframe,用Mask的方式設置為透明放在上層,惡意代碼偷偷地放在后面的頁面中,使得一個頁面看起來似乎是安全的,然后誘騙用戶點擊網頁上的內容,達到竊取用戶信息或者劫持用戶操作的目的。下圖中,欺詐的頁面放置在下層,被攻擊的銀行頁面作為透明的層放置在上層,用戶看到的是欺詐頁面上顯示的信息并進行輸入和點擊,但是真正的用戶行為是發生在銀行頁面上的。2.2.Cookie劫持: ClickJacking只涉及點擊操作,但是HTML5的拖放API使得這種攻擊擴大到拖放操作。因為現在Web應用里,有大量需要用戶拖放完成的操作。在同源策略里,一個域的Cookie只能被本域所訪問,但是拖放操作是不受同源策略限制的,這樣利用拖放操作、XSS和其他技巧,可以構造跨域合法請求,劫持Cookie。
實現原理其實和ClickJacking類似,只要欺騙用戶進行拖放行為,就可以把用戶某個域的信息發送到另外一個域里。這個其實很容易做到,之前有一個研究者就在Facebook上建立了一個應用,這個應用的功能是讓用戶把圖片上美女的衣服拖拽下來。我想可能大多數人都會去嘗試而且不會有警惕心理。
2.3.跨域資源劫持: HTML5應用有各種不同的資源,例如Flash文件,Silverligh,視頻,音頻等,這些資源可以通過DOM訪問和控制。如果頁面存在XSS漏洞,那么攻擊者可能通過跨域資源的劫持進行攻擊。例如下面的代碼載入了一個swf文件,作為用戶登錄框,這里面我們可以實現一些加密的邏輯。當頁面存在XSS漏洞時,攻擊者可以利用如下腳本把swf文件替換為欺詐的虛假資源。3.DDOS 分布式拒絕服務攻擊
是目前最為強大、最難防御的攻擊方式之一。按照發起的方式簡單分為三類。
第一類以力取勝,海量數據包從互聯網的各個角落蜂擁而來,堵塞IDC入口,讓各種強大的硬件防御系統、快速高效的應急流程無用武之地。這種類型的攻擊典型代表是ICMP Flood和UDP Flood,現在已不常見。
第二類以巧取勝,靈動而難以察覺,每隔幾分鐘發一個包甚至只需要一個包,就可以讓豪華配置的服務器不再響應。這類攻擊主要是利用協議或者軟件的漏洞發起,例如Slowloris攻擊、Hash沖突攻擊等,需要特定環境機緣巧合下才能出現。
第三類是上述兩種的混合,輕靈渾厚兼而有之,既利用了協議、系統的缺陷,又具備了海量的流量,例如SYN Flood攻擊、DNS Query Flood攻擊,是當前的主流攻擊方式。4.XSS 跨站腳本攻擊防護
XSS之所以會發生,是因為用戶輸入的數據變成代碼,因此需要對用戶輸入的數據進行html轉義處理,將其中的“尖括號”,“單引號”之類的特殊字符進行轉義編碼。5.SQL注入防護
1.使用預編譯語句;2.使用ORM框架 3.密碼加密
4.處理好異常,后臺異常很可能包含一些如服務器版本、數據庫版本、編程語言,甚至數據庫的地址和用戶名密碼,攻擊者可以按圖索驥,找到漏洞進行攻擊,因此必須處理好后臺的系統異常,重定向到相應的錯誤處理頁面,而不是任由其直接顯示在頁面上。6.文件上傳漏洞
在上網過程中,經常講一些如圖片、壓縮包之類的文件上傳到遠端的服務器上進行保存。文件上傳攻擊指的是惡意攻擊者利用一些站點沒有對文件的類型做很好的校驗,上傳了可執行的文件或執行腳本,并且通過腳本獲得服務器上相應的權利,或者通過誘導外部用戶訪問、下載上傳的病毒或木馬文件,達到攻擊的目的。
因此需要對上傳的文件進行校驗,很多文件起始的幾個字節是固定的,因此,根據這幾個字節的內容,就可以判斷文件的類型,這幾個字節也被稱作魔數。7.緩沖區溢出
緩沖區溢出,簡單的說就是計算機對接收的輸入數據沒有進行有效的檢測(理想的情況是程序檢查數據長度并不允許輸入超過緩沖區長度的字符),向緩沖區內填充數據時超過了緩沖區本身的容量,而導致數據溢出到被分配空間之外的內存空間,使得溢出的數據覆蓋了其他內存空間的數據。
0x03 新的安全挑戰
1、移動互聯網
當我把手機APP作為一個Client端,數據不落地,端對端加密的時候,理論上APP跟瀏覽器一樣,并不會對Server端構成威脅的,但是不被攻擊并監控到你不會想到,安卓apk是這么容易逆向,有人會從分發渠道下手,把APP破解重新分發,做假的APP釣魚,做假的APP與Server端偽造通信。證書?代碼都白盒了,驗證身份的都被繞過或留給用戶了。目前越來越有個趨勢,手機已經不能被認作是可信賴的認證工具了,就算我可以做自己的APP,正確校驗,沙盒,虛擬鍵盤,我也被禁止管沙盒外的東西。你的短信真的是你的?移動端的分發渠道有收攏,但是針對支付的攻擊從沒停過。
2、云服務
云安全也沒有超出傳統安全的范圍。可是公有云真的對安全提出了新的技術要求,比如共享的虛擬資源的安全性。其中,“私有云”更加不能稱之為“云”,不過不少人喜歡跟風。在他們跟風的時候,往往是拿現成的東西把“云”往上面一套,然而忽略了,本來在局域網里不必要做或風險很小的控制手段,在“云”上是存在巨大固有風險的。
3、大數據
過去從來沒有過像今天這樣,不同的行業在互聯網的“幫助”下緊密關聯——一個小網站的密碼泄露會拖知名互聯網企業下水。誠然安全意識的提高是好事,但人們追求的不就是又便捷又安全嘛。高強度、能記住、不使用通用密碼,不依賴信得過的工具的話三個只能同時成立兩個。
不過,大數據攻擊遠非撞庫這么簡單,一切的通用型漏洞都可以被用來大數據攻擊。最簡單的,一群公司都用了同一個平臺,其中A公司的這個平臺被爆了一個漏洞,修補了,就結束了嗎?如果這平臺是個知名廠商,漏洞掛給他并發布補丁對那些續保著服務的還好一些,但更多情況是掛給了A,然后有人會提取這個平臺的特征信息,然后把這群公司全都跟著發掘和攻擊。
大數據攻擊的思想跟以前是截然相反的,以前大都是針對目標找漏洞,哪怕旁注也是這個思路,現在是手上拿著漏洞去找小魚,積累小魚,說不定能碰到跟小魚有關聯的大魚。
0x04 我們該如何應對?
商務開發處負責公司絕大部分的對外網站和應用建設,也是web攻擊的重災區。既然攻擊避無可避,那么我們如何防范各種針對廈航的安全攻擊:
1、web攻擊例如DDOS攻擊的目標并不是是所有服務,而是應用系統內的設計不好的服務,是要合理將服務單元劃分,服務和服務之間設計時就要將耦合度降到最低,牽一發而動全身的應用系統是最難防御攻擊的。遭受攻擊時,需要一個應急處理團隊,能夠快速反應,能夠做完整的系統分析,深度理解被攻擊應用系統的架構,出了問題,能第一時間對脆弱服務提出解決方案并且能第一時間攻擊源有定位。
3、開發也要懂信息安全,對于Web開發者開說,并不是寫好代碼就萬事大吉,對于代碼安全應該引起足夠的重視,這樣才能構建安全、健壯的應用,可以增加安全開發相關的培訓,提高開發質量。
4、積累故障經驗,每次攻擊發生時,記錄完整的排故文檔,后期針對相應的文檔進行技術討論及漏洞防御知識庫整理。
0x05 結語
借用360安全工程師的一句話作為結尾:在安全工程師的眼里,只有兩種系統:“一種是被攻擊的,一種是漏洞被發現尚未進行攻擊的。”
第二篇:IT系統信息安全風險不容忽視
IT系統信息安全風險不容忽視
【編者按】2011年至今,廣東銀監局共組織實施信息科技現場檢查17次,發現轄內機構IT風險點120處,提出整改建議83條,通過督促整改,消除了一批風險隱患,降低了風險水平。轄內16家接受評級的法人機構2011信息科技風險評估結果顯示,三級以上的機構增至14家,機構IT風險管理能力已有改觀。但從今年的IT風險現場檢查情況看,在風險水平總體下降的同時,轄內銀行業金融機構信息安全風險管控狀況不盡理想,仍需進一步改善。
一、銀行業機構信息安全管理力度不足、風險隱患突出 2012年7月份以來,廣東銀監局組織了9場次信息科技風險現場檢查,從檢查情況看,轄內機構在信息安全管理方面存在的問題不容忽視:
(一)對核心信息的管控強度不足、控制結構混亂。檢查發現:被查機構對應用系統源代碼審核基本都不落實,顯然“招行成都分行網銀案”(代碼漏洞)風險警示未被足夠重視;多家機構對重要系統備份介質保管未實施雙重控制,甚至有機構將電子銀行系統關鍵密鑰交由單人保管;網上銀行客戶端安全性保護未能達到《網上銀行系統信息安全通用規范》(國標)要求;核心網絡設備、運行管理系統等重要部件由多人共同使用超級用戶;部分機構核心系統中,uucp、nfs等敏感閑臵用戶未作刪除,理論上有被利用于非法入侵可能;在對某機構測試環境檢查時發現測試數據庫中的海量生產數據未完全脫敏,且客戶機可下載數據表,說明機構對敏感信息的控制強度不足。
(二)對銀行終端設備管理較為松懈。中資機構對桌面系統、客戶機的安全管理較松懈,基本沒有效實施簡約客戶機模式。如工行、農行近年在改造桌面系統、限制移動接口等方面做過一些嘗試,但從高層到普通員工的認同度都不高,至今難于推行,而內網客戶機功能過強是很明顯的風險點;在銀行桌面系統中允許使用移動存儲介質是普遍現狀,而屏幕攝錄日志并未覆蓋所有內網機器;另外,大部分機構對內外網交叉連接也未實施有效限制。
(三)信息安全管理制度不全或執行不到位。今年7月,我局檢查組在對某城商行現場檢查中抽查了銀行卡制卡機、后臺權限管理客戶機各一臺,發現:(1)制卡機中存放有2000余條完整的客戶制卡明碼信息,如果外泄,有可能造成該行銀行卡被批量克隆的嚴重后果,而監管部門之前的風險提示與整改建議未被認真對待;(2)后臺管理客戶機中有約20張賬號、戶名、印章齊全的高清支票照片,存在客戶機中已超過一年,如外流,將直接威脅客戶的賬戶安全。查閱該行數據管理制度未見有對上述類型信息作存期、獲取、使用、銷毀等限制性規定內容。
(四)信息安全控制措施的有效性存在疑問。某小型銀行雖對內網機器作了移動接口監視,但未對移動存儲介質帶離銀行進行嚴格管束,也未見該行有定期檢查移動介質內容的記錄或制定相關審核管控制度,管控方式存在漏洞,易于造成涉密信息外流。如:通過更改客戶機、移動介質中的信息變動痕跡,即可使內網監視軟件對信息流向的追蹤失去目標、形同虛設。此外,對多家中小銀行的檢查顯示,機構對客戶機系統軟件的安全控制一般只做到黑名單管理層面,未發現有采用更有效的白名單管理模式。
(五)外包流程可能產生信息安全風險隱患。小型機構對外包依賴性較強,但對外包的風險控制措施不到位。廣東省局對多家中小型機構的現場檢查發現,項目建設期間,外包方人員幾乎掌握應用項目的所有信息,并被賦予很高的系統權限,外包協議規定外包商擁有項目建設的關鍵文檔、參數、應用代碼等核心信息,并可隨時利用開發設備等完整帶離機構。這種合作方式有形成“韓國農協行式信息科技風險”隱患可能。
(六)高管層對信息安全風險管控的認知不足。從訪談信息看,轄內銀行業機構大部分CIO在信息安全風險識別、監測、控制等方面自我感覺良好,認為本機構信息安全不存在較大問題。但將現場檢查、巡查、調查發現的信息對照《廣東省銀行業金融機構信息科技風險管理指導意見》要求的比較結果表明,當前在任CIO在知識背景、戰略意識、對IT風險的認識深度、對監管法規的了解、所主持建立的IT風險防范措施有效性以及與監管部門的溝通能力等方面均存在差距,管理層的引領能力不盡理想。
二、信息安全管理風險突出的原因
(一)高層對信息科技風險管理定位不明確,導致資源配備錯位。表現為:認為信息安全管理是科技部門的工作,將科技部門視為信息安全風險的主要管理者,既負責制度制定也負責執行、監督,信息安全風險責任由IT部門兜底;在部分設臵了CIO的機構,也因各種原因未能充分體現其作用。被查機構IT人力資源相對缺乏的現象普遍存在,IT員工比例基本都在5%以下,部分機構甚至不能確保基本的崗位配備需要,致使信息安
全崗位、人員的安排被忽視。
(二)內控系統不完善是引發信息安全問題的重要原因。機構高層對信息安全風險認識程度不夠,沒有采取恰當的風險管理戰略,鮮有通過充分宣傳、教育引導全員提高信息安全意識,形成健康的信息安全環境的行為,以致員工不清楚、不了解信息安全的含義,息安全意識淡薄,缺乏對信息安全風險的敏感性(客戶機長期大量存放涉密信息可能導致其外泄等事實說明這一現象嚴重);另外,內部管理制度、控制措施不完善或不適當,不能充分識別信息安全風險或及時發現、消除、有效控制風險點;內部信息交流不充分,監督糾偏制度不落實,信息安全責任不明確等也是較普遍的現象。
(三)過度依賴外包商導致銀行機構未能主動控制外包風險。部分機構認為出現設備、系統故障時可由外包商解決,而對外包商是否能及時、恰當解決問題或最大程度避免安全問題的出現認識不足,導致了對外包商選擇、設備選型方面出現缺乏充分論證,流程不規范、對信息安全保護考慮不周的行為;此外,中小機構內部人員對核心系統的掌控能力不足,不得不向外包單位開放更高的系統控制權限,這也可能招致信息安全風險問題。當前,外包監管法規主要作粗線條規定,機構不易直接參照,致其內部制度難以清晰界定如何識別外包風險程度、范圍是外包流程管理中風險控制被動的另一原因。
(四)法規支撐力度較弱,影響信息科技監管的有效性。首先,因當前信息科技風險監管因素基本不影響其考核、評級,銀行業機構往往將IT監管行為視為“免費體檢”,消極應付。對監管意見的執行較隨意,不利于IT風險管理環境的改善和整
體風險水平的降低,使信息科技風險監管的作用大打折扣;其次,對信息安全設施、控制措施的審查未予以足夠重視,深層次的銀行核心信息系統安全與風險控制能力審核、評估過程更未出現在準入流程之列。
三、對策建議
(一)督促機構管理層正視信息科技風險管理。一是建議監管部門定期剖析、通報典型案例,必要時要求機構針對案例進行專項對照自查并提交報告;二是由監管部門負責人對發生信息科技風險事件的、在現場檢查中被發現存在重大風險隱患的機構進行點名、警示,對機構管理層形成一定壓力,促使其正視信息科技風險的防范;三是將信息科技風險管理評級結果作為機構高管履職評價的參考要素,務使管理層負起IT風險管理第一責任;四是對信息安全內部管理多次出現問題的機構,可考慮調降其內部控制評價等級,提高對其IT風險現場檢查的頻度;五是可考慮提升監管法規層次,加強監管約束,對IT風險相關內部控制結構混亂,制度無效或有章不循的現象以違規論處。
(二)強化內部控制,管控信息安全內部風險。信息系統已成為銀行業重要生產平臺,IT風險是很明確的新型風險,機構內部控制系統必需能對其充分識別與控制,防范信息安全風險應作為IT風險相關內控制度建設的基礎。一是管理層應走出將信息安全管理認為是科技部門工作的誤區,厘清信息安全風險管理邊界,通過宣傳、教育引導全員提高信息安全意識,形成健康的信息安全環境,使所有員工都了解信息安全的重要性,強化信息安全意識,提高對信息安全問題的敏感性;二是健全
內部管理制度與措施,充分識別并控制信息安全風險,明確信息安全管理責任,通過適當的內部控制結構、管理行為及時發現、有效控制、消除信息安全風險點;三是疏通內部信息交流渠道,加強部門交流、上下層級交流、內部審計與縱向、橫向監督,確保管理層及時了解信息安全風險狀況,落實糾偏制度。
(三)完善外包法規,防范信息安全外部風險。當前外包相關監管法規、文件對核心技術掌控、信息安全控制等關鍵事項的規定有待進一步細化。一是考慮加大對設備廠商和外包商風險事件的通報力度。由銀監會或各監管局對信息系統風險事件涉及的設備廠商、設備型號、外包商進行定期通報,加強風險警示,督促廠商、外包商提高質量,與銀行業機構共同緩釋、控制風險。二是考慮增加對應用系統外包的安全控制條款。大型銀行應用系統建設中,由科技人員分組管理局部模塊,內部人員共同控制應用系統集成,不允許外包商掌握整體應用的做法是適當的風險控制方式。可參照這種思路,細化外包管理法規,如規定:系統模塊、總集成管理邊界;系統權限、關鍵信息控制方式;對外包軟件開發中使用的設備、移動介質,以及數據脫敏、利用、存儲、轉移,銷毀等進行管制;強制性代碼審核要求等信息安全保護條款。三是考慮設定監管部門對外包商實行延伸檢查的授權程序。外包商財務變化、人員變動、責權利不明確等因素,容易給銀行信息系統管理帶來風險。目前監管部門缺乏對外包商的延伸檢查手段,不利于全面監測和管控信息科技風險,建議以部門規章形式設定信息科技監管部門對銀行業IT外包商的延伸檢查權,以進一步提高監管的有效性。
第三篇:安全,沒有終點
安全,沒有終點
----寫在2012年第11個“安全生產月”
◆ 中海瀝青(泰州)有限責任公司營銷部 于向東
對于我們石油化工企業來說,安全工作只有起點,沒有終點;安全工作沒有及格,只有滿分。讓我們都來關注安全,關愛生命。立足安全,讓安全從墻上、報刊上、會場上走下來,走進我們的心中,伴隨在我們的工作、生活中?? 生產必須安全,安全促進生產。立足安全,勤儉奉獻,是我們每一個石化建設者的心聲和美好夙愿!安全,在唇齒的談吐之間,是一個很輕易的說出來,卻又很沉重的一個詞。這個詞從我記事那一天開始,耳邊不知重復了多少遍;“孩子,繞過前面的長凳子。”這是母親在我蹣跚學步時的指點;“當心路上的汽車!”這是父親在我騎車上學時身后的囑托;“隱患險于明火,防范勝于救災,責任重于泰山”這是現在,我和同事們每天上班時恪守的信念。
在人生的旅途上,安全伴我同行!只有立足安全,安全生產才能順利進行。對于我們每一個人來說,安全都是如此的重要;它是通往成功彼岸的橋梁,只有在確保安全的前提下,你才能抵達成功的彼岸去感受成功的愉悅,才能提勤儉奉獻,人生理想;它又是培育幸福的樂土,只有在安全這片沃土的培育下,幸福之花才能隨時綻放在你的生命旅程;同時,安全更是社會繁榮發展的基石,基石的穩固與否,將直接影響我們前進與發展的步伐。有一種基本的權利叫安全,擁有了安全,雖然不可能擁有一切,但沒有安全就一定沒有一切。這是我們石化企業一線同仁堅信的真理!
對于我們石化企業管理部門而言,多一份自律,就多了一份安全的籌碼;多一份警醒,就擁有了一張通往安全的綠卡。人類生存的幾大要素莫過于此:健康是前提,物質是基礎,精神是源泉,而安全,則是堡壘。一個讓我們生命的狀態時刻保持安全,讓我們生存的環境時刻充滿寧靜與溫馨的堡壘。沒有了安全,再健康的軀體也在劫難逃,再豐厚的物質也會變得一文不值,再豐沛的精神源泉也如無本之木。如此這般,我們的生產生活便如臨深淵,惶恐與不安充斥著腦際,命運變得脆弱與坎坷!我們石化行業的兄弟們:請將我們的目光注視在歷史那慘痛的一頁:
2011年10月26日17時許,中國海油銷售分公司山東項目組的一名承包商施工人員陳延偉,在山東項目組租賃的山東海化物流第六加油站改造工程現場加油站罩棚頂部中心部位(約12米高)踩破銹蝕的彩鋼瓦墜落地面,經搶救無效死亡。事故原因:
1、承包商施工人員陳延偉、周坤在工作間歇,沒有辦理高空作業許可證的情況下到達12米高的罩棚頂部。在非工作區域行走時,陳延偉不幸踩破彩鋼瓦墜落地面。
2、罩棚頂部彩鋼瓦鉚接處腐蝕嚴重,無法承受陳延偉的體重,被陳延偉踩踏時撕裂洞開。
在這里,我不想再重復那些數字,雖然那些數字是那樣的發人深省。每周我們都學習一個個足以令我們警醒一生的悲劇。可為什么供我們學習的材料是那樣的絡繹不絕,那些悲劇中的主角,難道他們不曾學習過?難道他們就沒有在一份份含滿血與淚的事故材料中,聽到過生命的警鐘?
在我們日常工作中,“安全無小事”是人所共知的道理,但做起來并未完全對號。有一種流行說法叫“說起來重要,做起來次要,忙起來不要”,習慣性違章時有發生就是這種流行說法的突出注解,而因此引起的嚴重后果也是觸目驚心的。
安全工作、不公清疏。根據總公司2011年年終統計,安全人生傷亡事故,外包方發生頻次和死亡率大于總公司,這是因為外包方的安全監管、檢查、安全教育培訓、人員的自身素質操作素質等各個環節,明顯低于我公司。而這些安全事故都將或多或少的影響本公司的安全生產和經濟效益,并給企業帶來很多不良的社會影響??
每次在安全通報上看到這樣文字時,禁不住我的眼淚就涌了出來,他們是帶著對生命的無限眷戀、對未來的無限向往,而永遠地離開了人世,此刻,怎能不讓人感嘆生命的脆弱和違章的可怕呢? 當燒焦的肉體、淋漓的鮮血、渴望的眼神成為悄然的隕落,當一個寧靜的家被無情的剝奪。我想問一句:安全你重視了嗎?安全是誰已經將你悄悄遺忘?
泰瀝公司原油進公司前要經過倉儲公司,再用內河運輸船舶轉運進我公司。這是一個系統工程,整個環節包括兩個外包方,倉儲公司、運輸公司。2012年上半年營銷部、HSE部聯合對我公司正常使用的兩家倉儲公司進行現場設施、硬件、書面資料評估并做出結論,保證了在制度上完善對倉儲公司的評估。近幾年
為我公司內河運輸的船舶,八成以上進行了更新,運輸船舶的質量得到了可靠的保障。正常運輸船舶的監督有海事局、運輸公司的相關部門進行。但根據運輸過程復雜、運輸單位效率不好,掛靠船舶多,人員頻換等情況公司分管領導要求營銷部、HSE部走出去到現場查找問題。我們兩部門從今年5月份已經開始了對運輸船舶在運輸現場的現場安全以及設備、人員、消防預案的聯合檢查。
其實,安全對于每個人來說都不會陌生,而對一個石化企業來說,它包含的意義尤為深刻。我們天天都在生產一線,時時處處談到的都是安全,它帶給了我們企業發展的美好前景,同時又凝聚了太多人的牽掛和責任,每一個石化企業的建設者都能感受到這份責任的重大。我小時候生活在廠宿舍區附近,安全給我的第一課,便是孩提時天天見到鄰居的妻子佇立街頭焦急地等待不能按時下班歸來丈夫的情景,丈夫的每一次平安歸來都包含了全家人的深深牽掛,而鄰居的妻子那翹首以盼的身影成了記憶中永遠抹不掉的回憶。
長大后我背負著父母的期望,懷揣著自己的夢想邁入石化企業這個特殊的行業,成為一名光榮的煉油廠工人。耳濡目染了許許多多的安全生產事例,我深深感受到安全所帶來的深刻含義。安全就意味著責任,一個人的安全不僅是對自己負責,更多地是對關心你的家人負責;安全又等同于效益,我們更能體會到安全生產帶給化工企業的勃勃生機。
這么多年來發生在我身邊太多的安全事故,無論是親眼看到被電弧燒傷的兩位同事,還是造氣爐爆炸壓死的同事父親,還有被氧壓機皮帶輪夾死的同事姑姑,沒有一件不令人痛心疾首。公司曾舉辦過安全教育圖片展,所陳列的是兄弟單位發生的各種事故圖片。照片一張張觸目驚心,慘不忍睹,車禍身亡,高空墜落殘廢,被電弧燒傷,一段段文字都是血與淚寫就的教訓。每當夜幕降臨,望著萬家燈火,霓虹閃爍,我就會感慨萬千。這美妙的夜景凝鑄著無數企業職工的心血與汗水,冥冥之中我也在默默為一些永遠遠離這些繁華的生命惋惜痛心。他們就如同這浩瀚星空隕落的一顆顆流星,只在一瞬間就消失在了人們的視線中。在年復一年的工作中,我深深感到:如果說還有什么可以和幸福等同的話,我會毫不猶豫地回答——安全!雖然是兩個普通的字眼,但卻聯系著千家萬戶,涉及到我們每個人,因此它在每個人的心中有著不同的分量。
安全是一項長期、艱巨、復雜的系統工程,不僅是企業生產的薄弱環節,同
時也直接影響著家庭的安危。作為營銷部門的安全管理者,我更加感到安全生產,責任重大,因為我要對分派來的新大學生進行部門三級安全教育,看著他們一張張年輕的面孔,讓我想起剛參加工作時發生在我自己身邊的一起事故,雖然沒有給我的臉上留下痕跡,但卻是當頭棒喝,將我從安全意識淡薄的懸崖邊上打了回來。我給他們講發生在我身邊一例例血的教訓,因為工作一時的疏忽和麻痹而付出的代價往往是慘痛的,而那些僥幸者,他們雖在搶救之下活了下來,可他們的身體和心靈卻留下了難以彌補的創傷和痛苦。痛定思痛,從一幕幕血的教訓中我們應該樹立一個正確的、堅強的安全意識。曾給他們講看過的一篇文章,至今還記憶猶新,某火電公司在一化工工廠施工時,一位日本專家曾這樣說施工人員:“你們中國人的確有不怕死的可貴精神,在施工現場有不戴安全帽的現象。在日本,廠長,經理開會時安全帽都系得緊緊的。”這是對違章現象的莫大諷刺。它一針見血地言明了一些人安全意識的淡薄與無知,對自己的輕視就是對家庭和社會的犯罪。安全的警鐘要常鳴,奉勸可嘆的“勇士們”,收起你的蠻干和無知吧!有人說:安全生產的難點在我們自己,在我們自身的安全意識。仔細想想不無道理今天。“安全生產月”活動的展開,《安全生產法》的頒布實施,“兩票三制”的嚴格執行??,這不都是為了搞好安全生產,領導和職工們用血的教訓組成的努力與決心。安全的隱患像一只狡猾的狐貍,隱藏著、等待著、觀望著我們的違章行為,伺機侵吞我們健康的生命。“在崗一分鐘,安全六十秒”,我們每個人都應該做到這一點。在工作崗位上的每一分鐘,我們不僅要做到保證自己的人身安全、同時要保證自己所轄的電氣設備和電網的安全。
誰都清楚,燦爛的青春之花,會在安全的沃土上開得絢麗多姿,也會因事故的肆虐變得淡然無光。展望未來,我們每個人該走的路還很長,肩負的責任也很重。在新形勢、新目標下,我們的一舉一動應當更穩健更成熟。當我們看見紅艷艷的驕陽拔地而起,金色的沙漠上管道縱橫??,每一個靜止的、運動的生命體都被渲染的蓬勃、美麗。我們一定會情不自禁地感嘆:生命竟是如此美麗而精彩!然而,有兩個字是至關重要的,因為如果沒有這兩個字的相拌相依,我們將無法感受和擁有這美好的一切,這就是安全!
眾所周知,現代管理科學強調“以人為本”的原則,就是要解決人的思想意識,思想方法問題,為管理的其它環節創造先決條件。
安全是經濟社會順利發展的保障,安全是我們取得效益的前提,安全對我們來說至關重要。因此我們就要事事講安全、時時講安全,血的教訓證明不重視安全的后果是非常嚴重的,是要付出沉痛代價的。要把生命牢牢握在自己手中,就要自覺地把安全提取到“天”字號的位置上,認真學習安全規程,認真做好安全管理,只有思想上多一道防線,工作上多一份認真,安全上才能多一分保障,從事安全工作一定要堅決克服僥幸心理和麻痹思想,當僥幸心理閃現時,請想一想:父母雙鬢的白發、妻子牽掛的眼神、孩子睡夢中那甜甜的微笑,難到這一切還不能打動那浮燥的心嗎?當麻痹思想抬頭時,請再想一想:年邁的雙親需要你床前盡孝,賢惠的妻子需要你牽手人生,可愛的兒女需要你為他避風擋雨,難道這一切還不能喚醒那麻木的神經嗎?每個人的生命只有一次,一旦失去就不會再有,失去生命,再多的財富都變得毫無意義,還有什么比幸福地活著更可貴的東西呢?
多少年的風風雨雨,無論我們的生活有多大的變遷,無論我們的工作有何種變化,始終不變的是,我們把安全牢記在心間。不管是春夏秋冬,還是酷暑嚴寒,我們都把安全看成是幸福的源泉。一分耕耘一分收獲。我們情系安全,換來了無數個家庭的平安幸福;我們關注安全,必將迎來無比美好的明天!珍惜生活,愛護自我,把生命握在自己手中,去享受人間的天倫之樂,去感受人間的至愛與溫情,這該有多好??
此情此景,我卻分明聽到夜空凄厲的聲音高呼:“天災無法抗拒,人禍天理難容”!他們何其不幸,有多少生命已經無辜斷送,而我們又何其有幸,依然健康的生活和快樂的工作!歷經無數血淚的教訓之后,我們的政府、社會對“安全”這兩個字的重視程度達到了前所未有的高度。《中華人民共和國安全生產法》的頒布和實施,都充分體現了以人為本的時代內涵,體現了對生命這一基本人權的尊重。快樂工作,勤儉奉獻,是我們每個人的權利和義務。
俗話說:“前車之鑒,后事之師”,生命不再重來,安全責任重于泰山,讓悲劇不再重演,讓人生一路平安。我希望每個人都能牢記“關愛生命,安全發展”的安全活動主題,讓公司的每個角落都充滿歡聲笑語!讓生命之花開得更美更艷,我也希望有一天,我們會驚喜的看到安全意識在心中,自覺維護安全,確保安全!
安全,沒有終點。
2012年6月7日
第四篇:安全,沒有任何借口
安全,沒有任何借口
從去年到今天,從《把信送給加西亞》到《沒有任何借口》、《細節決定成敗》,一批批職業勵志書一浪接一浪在神州大地掀起熱潮,銷得如火如荼。當這些書擺在我們面前,來到我們石油人身邊,當這些書都銷得如火如荼。當這些書擺在我們面前,來到我們石油人的身邊,當“12.23”安全的警鐘仍在耳邊清晰地回旋,聯想到在平日里被一些人當做小事的安全工作,我更深刻地去理解這幾本書的精髓,誠信、執行、責任、細節。這些都是安全工作中不可或缺的職業品質和態度。安全工作無小事。安全,no excuse!
安德魯·羅文,一個很普通的士兵,完成了一個神圣的使命,拯救了國家的命運。憑著堅定的信念,為了國家的利益和軍人的榮譽,他經歷了太多的艱險,但他沒有放棄、屈服和退縮。面對“責任重于泰山”的安全工作,我們是否也應該向羅文一樣,抱著必勝的信念打好“安全保衛戰”,以誠信為本,敬業愛崗,甘作一顆螺絲釘,在平凡的事業上做出不平凡的貢獻!這同樣也是我們每一個石油人不可推卸的使命。
安全工作,沒有任何借口。
一個在工程施工中從高空墜落而造成手臂粉碎性骨折的職工,事后對自己忽視安全的行為追悔莫及。但仍然為自己尋找了這樣那樣的借口:為了布好每一根鋼管,要在管帶上來回走動,安全帶一會取一會栓,很麻煩;天氣熱,高空作業讓人頭昏腦脹;自己平時都挺注意的,就這一次……
不,不要找借口了,如果當時不是因為嫌麻煩,他隨時把安全帶拴上,這一切都不會發生。安全意識薄弱,安全防范就差那么一點點,就釀成一個大錯;不要心存僥幸,“不怕一萬,就怕萬一”,哪怕只一次,也要為此付出代價,抱憾終生。
尋找借口是膽怯的人的行為,只能是一種自我安慰。這種安慰是致命的,它給人一種暗示:不是我的原因造成的。在這種暗示下,人們便不再找自身的原因,以至于下次還犯類似的錯誤。我們常常看到,每一次安全事故后究其原因總是:安全設施陳舊,現場操作不熟,安全措施不全……等等借口,而沒有真正的深刻反省,在思想意識上找原因。正是因為如此這般的輕描淡寫,一筆帶過,我們才一次又一次嘗到忽視安全的苦頭。一年前,那場駭人聽聞的“12.23”特大井噴事故,對我們每一個石油人來說都是一個慘痛的教訓。243條生命,觸目驚心!分析事故原因,6個責任人都是因為不遵守崗位職責,連續違反操作規程或者不作為、不整改,才釀成了這場悲劇。
美國的西點軍校建校兩百多年來,“沒有任何借口”一直被奉為最重要的行為準則,是傳授給每一個軍校新生的第一個理念。“報告長官,是”、“報告長官,不是”,這是學員遇到長官問話時唯一的回答,除此之外,不能多說一個字。西點向我們灌輸著--執行,沒有任何借口的觀念。面對石油行業中嚴格的安全責任制度和完善的安全管理體系,我們只有絕對執行,沒有任何借口可尋。
是的,不找借口就要勇擔責任。值得人們關注的是,對12.23事故的處理結果,這一次不再是姑息遷就,大事化小,小事化了,而是嚴懲不怠!面對黨和國家人民,安全工作沒有任何借口。我們不再回避,不再推委,痛定思痛,全員行動起來,把“安全”刻在每一個的心間。我們欣喜地看到羅家寨h16井已經重改新顏,喜訊接踵,光彩煥發。遠在新疆的國家重點工程克拉2中央處理廠在惡劣的環境下,以安全為保障,優質高效地完成施工任務。還有很多很多,在石油戰線的各個角落,“安全”兩個字已被大家用實際行動來書寫!
講安全,學安全,這并不難,難在我們怎樣才能真正做到把安全防患于未然。不是講大道理,更不是幾句口號和標語,“冰凍三尺非一日之寒”我們要從身邊做起,從點滴做起。再小的細節也不能放過,忽視細節才有了泰坦尼克號的沉沒。
“要是某一個環節嚴格一些,認真執行相關規定,一場災難是可以避免的。”這是事故發生后,人們常常發出慨嘆。是的,細節決定了成敗,細節決定著我們的安危!
如果不注重細節,也許一次小小的失誤,我們美好的生活就將會蒙上陰影。也是在平常的工作中,一名女電焊工忽視了基本的安全防護,在進行管口切割時忘記帶面罩,飛濺的鐵屑鉆入她的耳朵,擊破耳膜,造成了永久失聰。她再也聽不見鳥叫,再也聽不見蛙鳴,再也聽不見女兒甜甜地呼喚她“媽媽,好媽媽”了。她的世界從此將寂靜無聲……
我為這位母親感到惋惜,更深刻地理解到細節對于安全工作的重要意義。在美國有一個著名的“蝴蝶效應”,說是南半球某地的一只蝴蝶偶爾扇動一下翅膀所引起的微弱氣流,幾星期后可變成席卷北半球某地的一場龍卷風。由一個極小起因,經過一定的時間,在其他因素的參與作用下,發展成極為巨大和復雜后果。
安全,一個關系到我們每一個人生產生活的大事,不要以為只要不牽涉自己,安全工作都是別人的事,只有身邊的大環境安全了,自己所處的小環境才是安全的。“城門失火,殃及池魚”。當看見工地上的機具設備,易燃易爆物品堆放不規范時,我們不能再視而不見;當看見身邊的人違反操作規則時,我們也不會再不聞不問;當發現哪怕是微小的安全隱患,我們更不會事不關己高高掛起!安全工作人人有責,安全工作,我們責無旁貸!
“前車之鑒,”告誡我們,安全工作只有起點沒有終點!千里之行始于足下。準備好了嗎?我們現在就時刻牢記安全,高舉“安全”的旗幟,用“安全”保駕護航,向著創造企業更加安全、美好明天的目標,出發
第五篇:安全,沒有任何借口
報告長官,是”、“報告長官,不是”,這是學員遇到長官問話時唯一的回答,除此之外,不能多說一個字。西點向我們灌輸著--執行,沒有任何借口的觀念。面對石油行業中嚴格的安全責任制度和完善的安全管理體系,我們只有絕對執行,沒有任何借口可尋。
講安全,學安全,這并不難,難在我們怎樣才能真正做到把安全防患于未然。不是講大道理,更不是幾句口號和標語,“冰凍三尺非一日之寒”我們要從身邊做起,從點滴做起。再小的細節也不能放過,忽視細節才有了泰坦尼克號的沉沒。
“要是某一個環節嚴格一些,認真執行相關規定,一場災難是可以避免的。”這是事故發生后,人們常常發出慨嘆。是的,細節決定了成敗,細節決定著我們的安危!
如果不注重細節,也許一次小小的失誤,我們美好的生活就將會蒙上陰影。也是在平常的工作中,一名女電焊工忽視了基本的安全防護,在進行管口切割時忘記帶面罩,飛濺的鐵屑鉆入她的耳朵,擊破耳膜,造成了永久失聰。她再也聽不見鳥叫,再也聽不見蛙鳴,再也聽不見女兒甜甜地呼喚她“媽媽,好媽媽”了。她的世界從此將寂靜無聲……
我為這位母親感到惋惜,更深刻地理解到細節對于安全工作的重要意義。在美國有一個著名的“蝴蝶效應”,說是南半球某地的一只蝴蝶偶爾扇動一下翅膀所引起的微弱氣流,幾星期后可變成席卷北半球某地的一場龍卷風。由一個極小起因,經過一定的時間,在其他因素的參與作用下,發展成極為巨大和復雜后果。
安全,一個關系到我們每一個人生產生活的大事,不要以為只要不牽涉自己,安全工作都是別人的事,只有身邊的大環境安全了,自己所處的小環境才是安全的。“城門失火,殃及池魚”。當看見工地上的機具設備,易燃易爆物品堆放不規范時,我們不能再視而不見;當看見身邊的人違反操作規則時,我們也不會再不聞不問;當發現哪怕是微小的安全隱患,我們更不會事不關己高高掛起!安全工作人人有責,安全工作,我們責無旁貸!
“前車之鑒,”告誡我們,安全工作只有起點沒有終點!千里之行始于足下。準備好了嗎?我們現在就時刻牢記安全,高舉“安全”的旗幟,用“安全”保駕護航,向著創造企業更加安全、美好明
點擊咨詢 