第一篇:“没有绝对安全的系统”--web安全风险浅析
0x00 导言
早在1995年,《乔布斯:遗失的访谈》节目里乔布斯提到:「未来,互联网与 Web 是一个大趋势。」这句话在互联网初兴的1995年无疑是具备极强预见性的。如果,我们把网络空间分为三大组成部分(云->管->端)来看的话,现在的云几乎都是基于 Web 的成熟协议来对外提供服务的,比如 HTTP 协议,最流行的传输格式是 JSON,其次如 XML 等。
HTTP 协议的成熟大大促进了端上浏览器(或浏览器内核)的发展,浏览器的发展注定了 Web 的势不可挡,HTML/XML->XHTML->HTML5,这种技术架构完美地把背后高冷的信息以可视化的方式呈现在大家面前。说这些是想说,端上无论是 PC、Pad 还是手机,只要你联网,Web 的方式或技术是无处不在的。因此,随着互联网的不断扩张,WEB攻击的数量逐年上升,占了大部分攻击事件比例。Web安全已经推到了前沿浪尖,无论是政府还是企业都迫切解决这个棘手的问题。
0x01 回顾
Gartner 统计:目前75%攻击转移到应用层。原有的传统防御设备已经不能满足企业对网络攻击的防御。
在中国,过去的2014年是信息安全爆炸的一年,Dns大劫难,某旅游网站信用卡事件,心脏出血漏洞,破壳漏洞及各大快递,电商和某大型火车票网站的数据都牵动的圈内圈外人的心。
这种趋势并没有在今年有所减缓,例如今年以来四个影响深远的网络安全事件,海康威视被黑客植入代码导致被远程监控(2月27日),网易骨干网遭攻击百万用户无法使用网易服务(5月11日),携程网内部员工误删除代码网站整体宕机12小时(5月28日),国外黑客公司Hacking Team泄露的黑客技术资料(7月6日)
0x02 传统的Web攻击及防护
1.CSRF跨站请求伪造防护
1.将cookie设置未HttpOnly;
2.增加token,表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token;3.通过referer识别,根据Http协议,在HTTP头中有一个字段交Referer,它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。2.劫持攻击
2.1.点击劫持: 被攻击的页面作为iframe,用Mask的方式设置为透明放在上层,恶意代码偷偷地放在后面的页面中,使得一个页面看起来似乎是安全的,然后诱骗用户点击网页上的内容,达到窃取用户信息或者劫持用户操作的目的。下图中,欺诈的页面放置在下层,被攻击的银行页面作为透明的层放置在上层,用户看到的是欺诈页面上显示的信息并进行输入和点击,但是真正的用户行为是发生在银行页面上的。2.2.Cookie劫持: ClickJacking只涉及点击操作,但是HTML5的拖放API使得这种攻击扩大到拖放操作。因为现在Web应用里,有大量需要用户拖放完成的操作。在同源策略里,一个域的Cookie只能被本域所访问,但是拖放操作是不受同源策略限制的,这样利用拖放操作、XSS和其他技巧,可以构造跨域合法请求,劫持Cookie。
实现原理其实和ClickJacking类似,只要欺骗用户进行拖放行为,就可以把用户某个域的信息发送到另外一个域里。这个其实很容易做到,之前有一个研究者就在Facebook上建立了一个应用,这个应用的功能是让用户把图片上美女的衣服拖拽下来。我想可能大多数人都会去尝试而且不会有警惕心理。
2.3.跨域资源劫持: HTML5应用有各种不同的资源,例如Flash文件,Silverligh,视频,音频等,这些资源可以通过DOM访问和控制。如果页面存在XSS漏洞,那么攻击者可能通过跨域资源的劫持进行攻击。例如下面的代码载入了一个swf文件,作为用户登录框,这里面我们可以实现一些加密的逻辑。当页面存在XSS漏洞时,攻击者可以利用如下脚本把swf文件替换为欺诈的虚假资源。3.DDOS 分布式拒绝服务攻击
是目前最为强大、最难防御的攻击方式之一。按照发起的方式简单分为三类。
第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见。
第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,例如Slowloris攻击、Hash冲突攻击等,需要特定环境机缘巧合下才能出现。
第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击,是当前的主流攻击方式。4.XSS 跨站脚本攻击防护
XSS之所以会发生,是因为用户输入的数据变成代码,因此需要对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”之类的特殊字符进行转义编码。5.SQL注入防护
1.使用预编译语句;2.使用ORM框架 3.密码加密
4.处理好异常,后台异常很可能包含一些如服务器版本、数据库版本、编程语言,甚至数据库的地址和用户名密码,攻击者可以按图索骥,找到漏洞进行攻击,因此必须处理好后台的系统异常,重定向到相应的错误处理页面,而不是任由其直接显示在页面上。6.文件上传漏洞
在上网过程中,经常讲一些如图片、压缩包之类的文件上传到远端的服务器上进行保存。文件上传攻击指的是恶意攻击者利用一些站点没有对文件的类型做很好的校验,上传了可执行的文件或执行脚本,并且通过脚本获得服务器上相应的权利,或者通过诱导外部用户访问、下载上传的病毒或木马文件,达到攻击的目的。
因此需要对上传的文件进行校验,很多文件起始的几个字节是固定的,因此,根据这几个字节的内容,就可以判断文件的类型,这几个字节也被称作魔数。7.缓冲区溢出
缓冲区溢出,简单的说就是计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据时超过了缓冲区本身的容量,而导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。
0x03 新的安全挑战
1、移动互联网
当我把手机APP作为一个Client端,数据不落地,端对端加密的时候,理论上APP跟浏览器一样,并不会对Server端构成威胁的,但是不被攻击并监控到你不会想到,安卓apk是这么容易逆向,有人会从分发渠道下手,把APP破解重新分发,做假的APP钓鱼,做假的APP与Server端伪造通信。证书?代码都白盒了,验证身份的都被绕过或留给用户了。目前越来越有个趋势,手机已经不能被认作是可信赖的认证工具了,就算我可以做自己的APP,正确校验,沙盒,虚拟键盘,我也被禁止管沙盒外的东西。你的短信真的是你的?移动端的分发渠道有收拢,但是针对支付的攻击从没停过。
2、云服务
云安全也没有超出传统安全的范围。可是公有云真的对安全提出了新的技术要求,比如共享的虚拟资源的安全性。其中,“私有云”更加不能称之为“云”,不过不少人喜欢跟风。在他们跟风的时候,往往是拿现成的东西把“云”往上面一套,然而忽略了,本来在局域网里不必要做或风险很小的控制手段,在“云”上是存在巨大固有风险的。
3、大数据
过去从来没有过像今天这样,不同的行业在互联网的“帮助”下紧密关联——一个小网站的密码泄露会拖知名互联网企业下水。诚然安全意识的提高是好事,但人们追求的不就是又便捷又安全嘛。高强度、能记住、不使用通用密码,不依赖信得过的工具的话三个只能同时成立两个。
不过,大数据攻击远非撞库这么简单,一切的通用型漏洞都可以被用来大数据攻击。最简单的,一群公司都用了同一个平台,其中A公司的这个平台被爆了一个漏洞,修补了,就结束了吗?如果这平台是个知名厂商,漏洞挂给他并发布补丁对那些续保着服务的还好一些,但更多情况是挂给了A,然后有人会提取这个平台的特征信息,然后把这群公司全都跟着发掘和攻击。
大数据攻击的思想跟以前是截然相反的,以前大都是针对目标找漏洞,哪怕旁注也是这个思路,现在是手上拿着漏洞去找小鱼,积累小鱼,说不定能碰到跟小鱼有关联的大鱼。
0x04 我们该如何应对?
商务开发处负责公司绝大部分的对外网站和应用建设,也是web攻击的重灾区。既然攻击避无可避,那么我们如何防范各种针对厦航的安全攻击:
1、web攻击例如DDOS攻击的目标并不是是所有服务,而是应用系统内的设计不好的服务,是要合理将服务单元划分,服务和服务之间设计时就要将耦合度降到最低,牵一发而动全身的应用系统是最难防御攻击的。遭受攻击时,需要一个应急处理团队,能够快速反应,能够做完整的系统分析,深度理解被攻击应用系统的架构,出了问题,能第一时间对脆弱服务提出解决方案并且能第一时间攻击源有定位。
3、开发也要懂信息安全,对于Web开发者开说,并不是写好代码就万事大吉,对于代码安全应该引起足够的重视,这样才能构建安全、健壮的应用,可以增加安全开发相关的培训,提高开发质量。
4、积累故障经验,每次攻击发生时,记录完整的排故文档,后期针对相应的文档进行技术讨论及漏洞防御知识库整理。
0x05 结语
借用360安全工程师的一句话作为结尾:在安全工程师的眼里,只有两种系统:“一种是被攻击的,一种是漏洞被发现尚未进行攻击的。”
第二篇:IT系统信息安全风险不容忽视
IT系统信息安全风险不容忽视
【编者按】2011年至今,广东银监局共组织实施信息科技现场检查17次,发现辖内机构IT风险点120处,提出整改建议83条,通过督促整改,消除了一批风险隐患,降低了风险水平。辖内16家接受评级的法人机构2011信息科技风险评估结果显示,三级以上的机构增至14家,机构IT风险管理能力已有改观。但从今年的IT风险现场检查情况看,在风险水平总体下降的同时,辖内银行业金融机构信息安全风险管控状况不尽理想,仍需进一步改善。
一、银行业机构信息安全管理力度不足、风险隐患突出 2012年7月份以来,广东银监局组织了9场次信息科技风险现场检查,从检查情况看,辖内机构在信息安全管理方面存在的问题不容忽视:
(一)对核心信息的管控强度不足、控制结构混乱。检查发现:被查机构对应用系统源代码审核基本都不落实,显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视;多家机构对重要系统备份介质保管未实施双重控制,甚至有机构将电子银行系统关键密钥交由单人保管;网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》(国标)要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户;部分机构核心系统中,uucp、nfs等敏感闲臵用户未作删除,理论上有被利用于非法入侵可能;在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏,且客户机可下载数据表,说明机构对敏感信息的控制强度不足。
(二)对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈,基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试,但从高层到普通员工的认同度都不高,至今难于推行,而内网客户机功能过强是很明显的风险点;在银行桌面系统中允许使用移动存储介质是普遍现状,而屏幕摄录日志并未覆盖所有内网机器;另外,大部分机构对内外网交叉连接也未实施有效限制。
(三)信息安全管理制度不全或执行不到位。今年7月,我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台,发现:(1)制卡机中存放有2000余条完整的客户制卡明码信息,如果外泄,有可能造成该行银行卡被批量克隆的严重后果,而监管部门之前的风险提示与整改建议未被认真对待;(2)后台管理客户机中有约20张账号、户名、印章齐全的高清支票照片,存在客户机中已超过一年,如外流,将直接威胁客户的账户安全。查阅该行数据管理制度未见有对上述类型信息作存期、获取、使用、销毁等限制性规定内容。
(四)信息安全控制措施的有效性存在疑问。某小型银行虽对内网机器作了移动接口监视,但未对移动存储介质带离银行进行严格管束,也未见该行有定期检查移动介质内容的记录或制定相关审核管控制度,管控方式存在漏洞,易于造成涉密信息外流。如:通过更改客户机、移动介质中的信息变动痕迹,即可使内网监视软件对信息流向的追踪失去目标、形同虚设。此外,对多家中小银行的检查显示,机构对客户机系统软件的安全控制一般只做到黑名单管理层面,未发现有采用更有效的白名单管理模式。
(五)外包流程可能产生信息安全风险隐患。小型机构对外包依赖性较强,但对外包的风险控制措施不到位。广东省局对多家中小型机构的现场检查发现,项目建设期间,外包方人员几乎掌握应用项目的所有信息,并被赋予很高的系统权限,外包协议规定外包商拥有项目建设的关键文档、参数、应用代码等核心信息,并可随时利用开发设备等完整带离机构。这种合作方式有形成“韩国农协行式信息科技风险”隐患可能。
(六)高管层对信息安全风险管控的认知不足。从访谈信息看,辖内银行业机构大部分CIO在信息安全风险识别、监测、控制等方面自我感觉良好,认为本机构信息安全不存在较大问题。但将现场检查、巡查、调查发现的信息对照《广东省银行业金融机构信息科技风险管理指导意见》要求的比较结果表明,当前在任CIO在知识背景、战略意识、对IT风险的认识深度、对监管法规的了解、所主持建立的IT风险防范措施有效性以及与监管部门的沟通能力等方面均存在差距,管理层的引领能力不尽理想。
二、信息安全管理风险突出的原因
(一)高层对信息科技风险管理定位不明确,导致资源配备错位。表现为:认为信息安全管理是科技部门的工作,将科技部门视为信息安全风险的主要管理者,既负责制度制定也负责执行、监督,信息安全风险责任由IT部门兜底;在部分设臵了CIO的机构,也因各种原因未能充分体现其作用。被查机构IT人力资源相对缺乏的现象普遍存在,IT员工比例基本都在5%以下,部分机构甚至不能确保基本的岗位配备需要,致使信息安
全岗位、人员的安排被忽视。
(二)内控系统不完善是引发信息安全问题的重要原因。机构高层对信息安全风险认识程度不够,没有采取恰当的风险管理战略,鲜有通过充分宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境的行为,以致员工不清楚、不了解信息安全的含义,息安全意识淡薄,缺乏对信息安全风险的敏感性(客户机长期大量存放涉密信息可能导致其外泄等事实说明这一现象严重);另外,内部管理制度、控制措施不完善或不适当,不能充分识别信息安全风险或及时发现、消除、有效控制风险点;内部信息交流不充分,监督纠偏制度不落实,信息安全责任不明确等也是较普遍的现象。
(三)过度依赖外包商导致银行机构未能主动控制外包风险。部分机构认为出现设备、系统故障时可由外包商解决,而对外包商是否能及时、恰当解决问题或最大程度避免安全问题的出现认识不足,导致了对外包商选择、设备选型方面出现缺乏充分论证,流程不规范、对信息安全保护考虑不周的行为;此外,中小机构内部人员对核心系统的掌控能力不足,不得不向外包单位开放更高的系统控制权限,这也可能招致信息安全风险问题。当前,外包监管法规主要作粗线条规定,机构不易直接参照,致其内部制度难以清晰界定如何识别外包风险程度、范围是外包流程管理中风险控制被动的另一原因。
(四)法规支撑力度较弱,影响信息科技监管的有效性。首先,因当前信息科技风险监管因素基本不影响其考核、评级,银行业机构往往将IT监管行为视为“免费体检”,消极应付。对监管意见的执行较随意,不利于IT风险管理环境的改善和整
体风险水平的降低,使信息科技风险监管的作用大打折扣;其次,对信息安全设施、控制措施的审查未予以足够重视,深层次的银行核心信息系统安全与风险控制能力审核、评估过程更未出现在准入流程之列。
三、对策建议
(一)督促机构管理层正视信息科技风险管理。一是建议监管部门定期剖析、通报典型案例,必要时要求机构针对案例进行专项对照自查并提交报告;二是由监管部门负责人对发生信息科技风险事件的、在现场检查中被发现存在重大风险隐患的机构进行点名、警示,对机构管理层形成一定压力,促使其正视信息科技风险的防范;三是将信息科技风险管理评级结果作为机构高管履职评价的参考要素,务使管理层负起IT风险管理第一责任;四是对信息安全内部管理多次出现问题的机构,可考虑调降其内部控制评价等级,提高对其IT风险现场检查的频度;五是可考虑提升监管法规层次,加强监管约束,对IT风险相关内部控制结构混乱,制度无效或有章不循的现象以违规论处。
(二)强化内部控制,管控信息安全内部风险。信息系统已成为银行业重要生产平台,IT风险是很明确的新型风险,机构内部控制系统必需能对其充分识别与控制,防范信息安全风险应作为IT风险相关内控制度建设的基础。一是管理层应走出将信息安全管理认为是科技部门工作的误区,厘清信息安全风险管理边界,通过宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境,使所有员工都了解信息安全的重要性,强化信息安全意识,提高对信息安全问题的敏感性;二是健全
内部管理制度与措施,充分识别并控制信息安全风险,明确信息安全管理责任,通过适当的内部控制结构、管理行为及时发现、有效控制、消除信息安全风险点;三是疏通内部信息交流渠道,加强部门交流、上下层级交流、内部审计与纵向、横向监督,确保管理层及时了解信息安全风险状况,落实纠偏制度。
(三)完善外包法规,防范信息安全外部风险。当前外包相关监管法规、文件对核心技术掌控、信息安全控制等关键事项的规定有待进一步细化。一是考虑加大对设备厂商和外包商风险事件的通报力度。由银监会或各监管局对信息系统风险事件涉及的设备厂商、设备型号、外包商进行定期通报,加强风险警示,督促厂商、外包商提高质量,与银行业机构共同缓释、控制风险。二是考虑增加对应用系统外包的安全控制条款。大型银行应用系统建设中,由科技人员分组管理局部模块,内部人员共同控制应用系统集成,不允许外包商掌握整体应用的做法是适当的风险控制方式。可参照这种思路,细化外包管理法规,如规定:系统模块、总集成管理边界;系统权限、关键信息控制方式;对外包软件开发中使用的设备、移动介质,以及数据脱敏、利用、存储、转移,销毁等进行管制;强制性代码审核要求等信息安全保护条款。三是考虑设定监管部门对外包商实行延伸检查的授权程序。外包商财务变化、人员变动、责权利不明确等因素,容易给银行信息系统管理带来风险。目前监管部门缺乏对外包商的延伸检查手段,不利于全面监测和管控信息科技风险,建议以部门规章形式设定信息科技监管部门对银行业IT外包商的延伸检查权,以进一步提高监管的有效性。
第三篇:安全,没有终点
安全,没有终点
----写在2012年第11个“安全生产月”
◆ 中海沥青(泰州)有限责任公司营销部 于向东
对于我们石油化工企业来说,安全工作只有起点,没有终点;安全工作没有及格,只有满分。让我们都来关注安全,关爱生命。立足安全,让安全从墙上、报刊上、会场上走下来,走进我们的心中,伴随在我们的工作、生活中„„ 生产必须安全,安全促进生产。立足安全,勤俭奉献,是我们每一个石化建设者的心声和美好夙愿!安全,在唇齿的谈吐之间,是一个很轻易的说出来,却又很沉重的一个词。这个词从我记事那一天开始,耳边不知重复了多少遍;“孩子,绕过前面的长凳子。”这是母亲在我蹒跚学步时的指点;“当心路上的汽车!”这是父亲在我骑车上学时身后的嘱托;“隐患险于明火,防范胜于救灾,责任重于泰山”这是现在,我和同事们每天上班时恪守的信念。
在人生的旅途上,安全伴我同行!只有立足安全,安全生产才能顺利进行。对于我们每一个人来说,安全都是如此的重要;它是通往成功彼岸的桥梁,只有在确保安全的前提下,你才能抵达成功的彼岸去感受成功的愉悦,才能提勤俭奉献,人生理想;它又是培育幸福的乐土,只有在安全这片沃土的培育下,幸福之花才能随时绽放在你的生命旅程;同时,安全更是社会繁荣发展的基石,基石的稳固与否,将直接影响我们前进与发展的步伐。有一种基本的权利叫安全,拥有了安全,虽然不可能拥有一切,但没有安全就一定没有一切。这是我们石化企业一线同仁坚信的真理!
对于我们石化企业管理部门而言,多一份自律,就多了一份安全的筹码;多一份警醒,就拥有了一张通往安全的绿卡。人类生存的几大要素莫过于此:健康是前提,物质是基础,精神是源泉,而安全,则是堡垒。一个让我们生命的状态时刻保持安全,让我们生存的环境时刻充满宁静与温馨的堡垒。没有了安全,再健康的躯体也在劫难逃,再丰厚的物质也会变得一文不值,再丰沛的精神源泉也如无本之木。如此这般,我们的生产生活便如临深渊,惶恐与不安充斥着脑际,命运变得脆弱与坎坷!我们石化行业的兄弟们:请将我们的目光注视在历史那惨痛的一页:
2011年10月26日17时许,中国海油销售分公司山东项目组的一名承包商施工人员陈延伟,在山东项目组租赁的山东海化物流第六加油站改造工程现场加油站罩棚顶部中心部位(约12米高)踩破锈蚀的彩钢瓦坠落地面,经抢救无效死亡。事故原因:
1、承包商施工人员陈延伟、周坤在工作间歇,没有办理高空作业许可证的情况下到达12米高的罩棚顶部。在非工作区域行走时,陈延伟不幸踩破彩钢瓦坠落地面。
2、罩棚顶部彩钢瓦铆接处腐蚀严重,无法承受陈延伟的体重,被陈延伟踩踏时撕裂洞开。
在这里,我不想再重复那些数字,虽然那些数字是那样的发人深省。每周我们都学习一个个足以令我们警醒一生的悲剧。可为什么供我们学习的材料是那样的络绎不绝,那些悲剧中的主角,难道他们不曾学习过?难道他们就没有在一份份含满血与泪的事故材料中,听到过生命的警钟?
在我们日常工作中,“安全无小事”是人所共知的道理,但做起来并未完全对号。有一种流行说法叫“说起来重要,做起来次要,忙起来不要”,习惯性违章时有发生就是这种流行说法的突出注解,而因此引起的严重后果也是触目惊心的。
安全工作、不公清疏。根据总公司2011年年终统计,安全人生伤亡事故,外包方发生频次和死亡率大于总公司,这是因为外包方的安全监管、检查、安全教育培训、人员的自身素质操作素质等各个环节,明显低于我公司。而这些安全事故都将或多或少的影响本公司的安全生产和经济效益,并给企业带来很多不良的社会影响„„
每次在安全通报上看到这样文字时,禁不住我的眼泪就涌了出来,他们是带着对生命的无限眷恋、对未来的无限向往,而永远地离开了人世,此刻,怎能不让人感叹生命的脆弱和违章的可怕呢? 当烧焦的肉体、淋漓的鲜血、渴望的眼神成为悄然的陨落,当一个宁静的家被无情的剥夺。我想问一句:安全你重视了吗?安全是谁已经将你悄悄遗忘?
泰沥公司原油进公司前要经过仓储公司,再用内河运输船舶转运进我公司。这是一个系统工程,整个环节包括两个外包方,仓储公司、运输公司。2012年上半年营销部、HSE部联合对我公司正常使用的两家仓储公司进行现场设施、硬件、书面资料评估并做出结论,保证了在制度上完善对仓储公司的评估。近几年
为我公司内河运输的船舶,八成以上进行了更新,运输船舶的质量得到了可靠的保障。正常运输船舶的监督有海事局、运输公司的相关部门进行。但根据运输过程复杂、运输单位效率不好,挂靠船舶多,人员频换等情况公司分管领导要求营销部、HSE部走出去到现场查找问题。我们两部门从今年5月份已经开始了对运输船舶在运输现场的现场安全以及设备、人员、消防预案的联合检查。
其实,安全对于每个人来说都不会陌生,而对一个石化企业来说,它包含的意义尤为深刻。我们天天都在生产一线,时时处处谈到的都是安全,它带给了我们企业发展的美好前景,同时又凝聚了太多人的牵挂和责任,每一个石化企业的建设者都能感受到这份责任的重大。我小时候生活在厂宿舍区附近,安全给我的第一课,便是孩提时天天见到邻居的妻子伫立街头焦急地等待不能按时下班归来丈夫的情景,丈夫的每一次平安归来都包含了全家人的深深牵挂,而邻居的妻子那翘首以盼的身影成了记忆中永远抹不掉的回忆。
长大后我背负着父母的期望,怀揣着自己的梦想迈入石化企业这个特殊的行业,成为一名光荣的炼油厂工人。耳濡目染了许许多多的安全生产事例,我深深感受到安全所带来的深刻含义。安全就意味着责任,一个人的安全不仅是对自己负责,更多地是对关心你的家人负责;安全又等同于效益,我们更能体会到安全生产带给化工企业的勃勃生机。
这么多年来发生在我身边太多的安全事故,无论是亲眼看到被电弧烧伤的两位同事,还是造气炉爆炸压死的同事父亲,还有被氧压机皮带轮夹死的同事姑姑,没有一件不令人痛心疾首。公司曾举办过安全教育图片展,所陈列的是兄弟单位发生的各种事故图片。照片一张张触目惊心,惨不忍睹,车祸身亡,高空坠落残废,被电弧烧伤,一段段文字都是血与泪写就的教训。每当夜幕降临,望着万家灯火,霓虹闪烁,我就会感慨万千。这美妙的夜景凝铸着无数企业职工的心血与汗水,冥冥之中我也在默默为一些永远远离这些繁华的生命惋惜痛心。他们就如同这浩瀚星空陨落的一颗颗流星,只在一瞬间就消失在了人们的视线中。在年复一年的工作中,我深深感到:如果说还有什么可以和幸福等同的话,我会毫不犹豫地回答——安全!虽然是两个普通的字眼,但却联系着千家万户,涉及到我们每个人,因此它在每个人的心中有着不同的分量。
安全是一项长期、艰巨、复杂的系统工程,不仅是企业生产的薄弱环节,同
时也直接影响着家庭的安危。作为营销部门的安全管理者,我更加感到安全生产,责任重大,因为我要对分派来的新大学生进行部门三级安全教育,看着他们一张张年轻的面孔,让我想起刚参加工作时发生在我自己身边的一起事故,虽然没有给我的脸上留下痕迹,但却是当头棒喝,将我从安全意识淡薄的悬崖边上打了回来。我给他们讲发生在我身边一例例血的教训,因为工作一时的疏忽和麻痹而付出的代价往往是惨痛的,而那些侥幸者,他们虽在抢救之下活了下来,可他们的身体和心灵却留下了难以弥补的创伤和痛苦。痛定思痛,从一幕幕血的教训中我们应该树立一个正确的、坚强的安全意识。曾给他们讲看过的一篇文章,至今还记忆犹新,某火电公司在一化工工厂施工时,一位日本专家曾这样说施工人员:“你们中国人的确有不怕死的可贵精神,在施工现场有不戴安全帽的现象。在日本,厂长,经理开会时安全帽都系得紧紧的。”这是对违章现象的莫大讽刺。它一针见血地言明了一些人安全意识的淡薄与无知,对自己的轻视就是对家庭和社会的犯罪。安全的警钟要常鸣,奉劝可叹的“勇士们”,收起你的蛮干和无知吧!有人说:安全生产的难点在我们自己,在我们自身的安全意识。仔细想想不无道理今天。“安全生产月”活动的展开,《安全生产法》的颁布实施,“两票三制”的严格执行„„,这不都是为了搞好安全生产,领导和职工们用血的教训组成的努力与决心。安全的隐患像一只狡猾的狐狸,隐藏着、等待着、观望着我们的违章行为,伺机侵吞我们健康的生命。“在岗一分钟,安全六十秒”,我们每个人都应该做到这一点。在工作岗位上的每一分钟,我们不仅要做到保证自己的人身安全、同时要保证自己所辖的电气设备和电网的安全。
谁都清楚,灿烂的青春之花,会在安全的沃土上开得绚丽多姿,也会因事故的肆虐变得淡然无光。展望未来,我们每个人该走的路还很长,肩负的责任也很重。在新形势、新目标下,我们的一举一动应当更稳健更成熟。当我们看见红艳艳的骄阳拔地而起,金色的沙漠上管道纵横„„,每一个静止的、运动的生命体都被渲染的蓬勃、美丽。我们一定会情不自禁地感叹:生命竟是如此美丽而精彩!然而,有两个字是至关重要的,因为如果没有这两个字的相拌相依,我们将无法感受和拥有这美好的一切,这就是安全!
众所周知,现代管理科学强调“以人为本”的原则,就是要解决人的思想意识,思想方法问题,为管理的其它环节创造先决条件。
安全是经济社会顺利发展的保障,安全是我们取得效益的前提,安全对我们来说至关重要。因此我们就要事事讲安全、时时讲安全,血的教训证明不重视安全的后果是非常严重的,是要付出沉痛代价的。要把生命牢牢握在自己手中,就要自觉地把安全提取到“天”字号的位置上,认真学习安全规程,认真做好安全管理,只有思想上多一道防线,工作上多一份认真,安全上才能多一分保障,从事安全工作一定要坚决克服侥幸心理和麻痹思想,当侥幸心理闪现时,请想一想:父母双鬓的白发、妻子牵挂的眼神、孩子睡梦中那甜甜的微笑,难到这一切还不能打动那浮燥的心吗?当麻痹思想抬头时,请再想一想:年迈的双亲需要你床前尽孝,贤惠的妻子需要你牵手人生,可爱的儿女需要你为他避风挡雨,难道这一切还不能唤醒那麻木的神经吗?每个人的生命只有一次,一旦失去就不会再有,失去生命,再多的财富都变得毫无意义,还有什么比幸福地活着更可贵的东西呢?
多少年的风风雨雨,无论我们的生活有多大的变迁,无论我们的工作有何种变化,始终不变的是,我们把安全牢记在心间。不管是春夏秋冬,还是酷暑严寒,我们都把安全看成是幸福的源泉。一分耕耘一分收获。我们情系安全,换来了无数个家庭的平安幸福;我们关注安全,必将迎来无比美好的明天!珍惜生活,爱护自我,把生命握在自己手中,去享受人间的天伦之乐,去感受人间的至爱与温情,这该有多好„„
此情此景,我却分明听到夜空凄厉的声音高呼:“天灾无法抗拒,人祸天理难容”!他们何其不幸,有多少生命已经无辜断送,而我们又何其有幸,依然健康的生活和快乐的工作!历经无数血泪的教训之后,我们的政府、社会对“安全”这两个字的重视程度达到了前所未有的高度。《中华人民共和国安全生产法》的颁布和实施,都充分体现了以人为本的时代内涵,体现了对生命这一基本人权的尊重。快乐工作,勤俭奉献,是我们每个人的权利和义务。
俗话说:“前车之鉴,后事之师”,生命不再重来,安全责任重于泰山,让悲剧不再重演,让人生一路平安。我希望每个人都能牢记“关爱生命,安全发展”的安全活动主题,让公司的每个角落都充满欢声笑语!让生命之花开得更美更艳,我也希望有一天,我们会惊喜的看到安全意识在心中,自觉维护安全,确保安全!
安全,没有终点。
2012年6月7日
第四篇:安全,没有任何借口
安全,没有任何借口
从去年到今天,从《把信送给加西亚》到《没有任何借口》、《细节决定成败》,一批批职业励志书一浪接一浪在神州大地掀起热潮,销得如火如荼。当这些书摆在我们面前,来到我们石油人身边,当这些书都销得如火如荼。当这些书摆在我们面前,来到我们石油人的身边,当“12.23”安全的警钟仍在耳边清晰地回旋,联想到在平日里被一些人当做小事的安全工作,我更深刻地去理解这几本书的精髓,诚信、执行、责任、细节。这些都是安全工作中不可或缺的职业品质和态度。安全工作无小事。安全,no excuse!
安德鲁·罗文,一个很普通的士兵,完成了一个神圣的使命,拯救了国家的命运。凭着坚定的信念,为了国家的利益和军人的荣誉,他经历了太多的艰险,但他没有放弃、屈服和退缩。面对“责任重于泰山”的安全工作,我们是否也应该向罗文一样,抱着必胜的信念打好“安全保卫战”,以诚信为本,敬业爱岗,甘作一颗螺丝钉,在平凡的事业上做出不平凡的贡献!这同样也是我们每一个石油人不可推卸的使命。
安全工作,没有任何借口。
一个在工程施工中从高空坠落而造成手臂粉碎性骨折的职工,事后对自己忽视安全的行为追悔莫及。但仍然为自己寻找了这样那样的借口:为了布好每一根钢管,要在管带上来回走动,安全带一会取一会栓,很麻烦;天气热,高空作业让人头昏脑胀;自己平时都挺注意的,就这一次……
不,不要找借口了,如果当时不是因为嫌麻烦,他随时把安全带拴上,这一切都不会发生。安全意识薄弱,安全防范就差那么一点点,就酿成一个大错;不要心存侥幸,“不怕一万,就怕万一”,哪怕只一次,也要为此付出代价,抱憾终生。
寻找借口是胆怯的人的行为,只能是一种自我安慰。这种安慰是致命的,它给人一种暗示:不是我的原因造成的。在这种暗示下,人们便不再找自身的原因,以至于下次还犯类似的错误。我们常常看到,每一次安全事故后究其原因总是:安全设施陈旧,现场操作不熟,安全措施不全……等等借口,而没有真正的深刻反省,在思想意识上找原因。正是因为如此这般的轻描淡写,一笔带过,我们才一次又一次尝到忽视安全的苦头。一年前,那场骇人听闻的“12.23”特大井喷事故,对我们每一个石油人来说都是一个惨痛的教训。243条生命,触目惊心!分析事故原因,6个责任人都是因为不遵守岗位职责,连续违反操作规程或者不作为、不整改,才酿成了这场悲剧。
美国的西点军校建校两百多年来,“没有任何借口”一直被奉为最重要的行为准则,是传授给每一个军校新生的第一个理念。“报告长官,是”、“报告长官,不是”,这是学员遇到长官问话时唯一的回答,除此之外,不能多说一个字。西点向我们灌输着--执行,没有任何借口的观念。面对石油行业中严格的安全责任制度和完善的安全管理体系,我们只有绝对执行,没有任何借口可寻。
是的,不找借口就要勇担责任。值得人们关注的是,对12.23事故的处理结果,这一次不再是姑息迁就,大事化小,小事化了,而是严惩不怠!面对党和国家人民,安全工作没有任何借口。我们不再回避,不再推委,痛定思痛,全员行动起来,把“安全”刻在每一个的心间。我们欣喜地看到罗家寨h16井已经重改新颜,喜讯接踵,光彩焕发。远在新疆的国家重点工程克拉2中央处理厂在恶劣的环境下,以安全为保障,优质高效地完成施工任务。还有很多很多,在石油战线的各个角落,“安全”两个字已被大家用实际行动来书写!
讲安全,学安全,这并不难,难在我们怎样才能真正做到把安全防患于未然。不是讲大道理,更不是几句口号和标语,“冰冻三尺非一日之寒”我们要从身边做起,从点滴做起。再小的细节也不能放过,忽视细节才有了泰坦尼克号的沉没。
“要是某一个环节严格一些,认真执行相关规定,一场灾难是可以避免的。”这是事故发生后,人们常常发出慨叹。是的,细节决定了成败,细节决定着我们的安危!
如果不注重细节,也许一次小小的失误,我们美好的生活就将会蒙上阴影。也是在平常的工作中,一名女电焊工忽视了基本的安全防护,在进行管口切割时忘记带面罩,飞溅的铁屑钻入她的耳朵,击破耳膜,造成了永久失聪。她再也听不见鸟叫,再也听不见蛙鸣,再也听不见女儿甜甜地呼唤她“妈妈,好妈妈”了。她的世界从此将寂静无声……
我为这位母亲感到惋惜,更深刻地理解到细节对于安全工作的重要意义。在美国有一个著名的“蝴蝶效应”,说是南半球某地的一只蝴蝶偶尔扇动一下翅膀所引起的微弱气流,几星期后可变成席卷北半球某地的一场龙卷风。由一个极小起因,经过一定的时间,在其他因素的参与作用下,发展成极为巨大和复杂后果。
安全,一个关系到我们每一个人生产生活的大事,不要以为只要不牵涉自己,安全工作都是别人的事,只有身边的大环境安全了,自己所处的小环境才是安全的。“城门失火,殃及池鱼”。当看见工地上的机具设备,易燃易爆物品堆放不规范时,我们不能再视而不见;当看见身边的人违反操作规则时,我们也不会再不闻不问;当发现哪怕是微小的安全隐患,我们更不会事不关己高高挂起!安全工作人人有责,安全工作,我们责无旁贷!
“前车之鉴,”告诫我们,安全工作只有起点没有终点!千里之行始于足下。准备好了吗?我们现在就时刻牢记安全,高举“安全”的旗帜,用“安全”保驾护航,向着创造企业更加安全、美好明天的目标,出发
第五篇:安全,没有任何借口
报告长官,是”、“报告长官,不是”,这是学员遇到长官问话时唯一的回答,除此之外,不能多说一个字。西点向我们灌输着--执行,没有任何借口的观念。面对石油行业中严格的安全责任制度和完善的安全管理体系,我们只有绝对执行,没有任何借口可寻。
讲安全,学安全,这并不难,难在我们怎样才能真正做到把安全防患于未然。不是讲大道理,更不是几句口号和标语,“冰冻三尺非一日之寒”我们要从身边做起,从点滴做起。再小的细节也不能放过,忽视细节才有了泰坦尼克号的沉没。
“要是某一个环节严格一些,认真执行相关规定,一场灾难是可以避免的。”这是事故发生后,人们常常发出慨叹。是的,细节决定了成败,细节决定着我们的安危!
如果不注重细节,也许一次小小的失误,我们美好的生活就将会蒙上阴影。也是在平常的工作中,一名女电焊工忽视了基本的安全防护,在进行管口切割时忘记带面罩,飞溅的铁屑钻入她的耳朵,击破耳膜,造成了永久失聪。她再也听不见鸟叫,再也听不见蛙鸣,再也听不见女儿甜甜地呼唤她“妈妈,好妈妈”了。她的世界从此将寂静无声……
我为这位母亲感到惋惜,更深刻地理解到细节对于安全工作的重要意义。在美国有一个著名的“蝴蝶效应”,说是南半球某地的一只蝴蝶偶尔扇动一下翅膀所引起的微弱气流,几星期后可变成席卷北半球某地的一场龙卷风。由一个极小起因,经过一定的时间,在其他因素的参与作用下,发展成极为巨大和复杂后果。
安全,一个关系到我们每一个人生产生活的大事,不要以为只要不牵涉自己,安全工作都是别人的事,只有身边的大环境安全了,自己所处的小环境才是安全的。“城门失火,殃及池鱼”。当看见工地上的机具设备,易燃易爆物品堆放不规范时,我们不能再视而不见;当看见身边的人违反操作规则时,我们也不会再不闻不问;当发现哪怕是微小的安全隐患,我们更不会事不关己高高挂起!安全工作人人有责,安全工作,我们责无旁贷!
“前车之鉴,”告诫我们,安全工作只有起点没有终点!千里之行始于足下。准备好了吗?我们现在就时刻牢记安全,高举“安全”的旗帜,用“安全”保驾护航,向着创造企业更加安全、美好明