第一篇:网络安全漏洞总结报告
大总结
来到这个公司实习了近两周,今天是实习的最后一天,下面我就把我这两周的收获进行一个系统的总结。
首先第一周我主要学习了一些主要安全漏洞的成因,危害以及防范手段。虽然安全漏洞有很多,但是我学习了其中几个最为常见的,下面我进行下总结。
第一周学习的安全漏洞有如下几个:
SQL注入,跨站点脚本,登陆管理,文件上传,敏感信息泄露,连接注入与URL重定向,目录列表,明文传输,文件遗留,http响应分割和不安全的http方法的启用。从SQL注入到敏感信息泄露属于常见重要漏洞;连接注入到目录列表属于中级常见漏洞;最后几个则属于低级常见漏洞。划分等级的标准是他们的危害程度。下面我分别对他们进行总结:
先来说说登陆管理,登陆管理我的理解是有两个成因,一是由于不安全的应用编码或者是不安全的配置造成的,它主要的表现形式是不限制错误登录的尝试次数,这会使应用程序暴露于蛮力攻击。另一个就是弱口令,即一些简单有规律,易被人猜出来的密码。因此,攻击者的主要攻击手段就是蛮力攻击和猜口令。防范登陆管理,从用户的角度出发,应当设置复杂的密码,不应该让密码过于规律化。从服务器管理的角度出发,应该限制尝试登陆次数或者发放验证码,这都是对蛮力攻击的有效遏制手段,当然,对于错误信息提示,也应该尽量模糊化,比如攻击者猜对了用户名,但猜错了密码,那么系统提示不应该是密码错误,而应当是用户名或者密码错误。
再来说说文件上传,它的主要是web应用在提供上传服务时对 上传者的身份或上传的文件类型控制不正确造成的。攻击者可以通过这种存在疏漏的上传,将自己编写的实现某些特定功能的jsp文件放到网站服务器的web目录中,相当于一个后门,为自己的入侵打开便利之门。对此,网站管理方应该从三方面预防,首先是要验证上传者的信息,不允许匿名上传;其次是要限制上传的格式,不能允许用户上传任意格式的文件;最后是要指定上传的位置,不能随意上传到任何目录下,比如web目录就应该拒绝访问。
接下来谈谈SQL注入,敏感信息泄露以及目录列表这一类,为什么我把他们归为一类呢?因为首先,他们都是对web应用造成了威胁,SQL注入正是一个故意犯错和猜的过程,通过错误的输入得到存在漏洞的网站反馈的错误信息报告,寻找有用的信息,再通过猜解,一步步得到表名字段名,进而通过SQL语句的使用达到控制后台数据库的目的;而敏感信息泄露也是因为没有对错误的输入进行有效的处理,导致一些重要信息暴露给攻击者;目录列表存在的现象比较少,但是危害也很大,相当于敏感信息泄露,为其他漏洞的攻击提供了便利。我现在分开总结下这三个安全性漏洞。
SQL注入是客户端提交特殊的代码,从而收集程序及服务器的信息,获取想得到的资料的过程。首先攻击者要判断注入环境,即这个网站是否有可能存在SQL注入漏洞;接着是寻找注入点,通常方法是单引号法或者1=1,1=2法;然后是猜表名和字段名;再通过工具,寻找web管理后台入口;最后进行破坏。至于攻击手段有三种,其一是由于服务器未能进行有效的过滤和转义用户输入的字符,导致攻击者篡改SQL语句,进行入侵;其二是由于对用户提供的字段没有实施类型强制,比如id=,后面应该填写整型数据,而攻击者可以在后面添加,和一系列SQL语句,违背了设计者的初衷,到达了入侵目的;最后就是盲目攻击,通过不断尝试,根据网页显示的不同内容,判断自己输入语句的正确性。对此,要防范SQL注入,我们不但要使用参数化的过滤语句,防止入侵者钻空子,还要避免反馈一些详细的错误信息。因为SQL注入就是一个故意出错和猜的过程,通过出错得到的反馈,为猜这个过程提供便利,如果我们反馈的错误信息越少,那么SQL注入就会越艰难。
敏感信息泄露就是由于对异常信息控制不当造成的。比如直接将后台服务器的SQL语句堆栈了出来,这样为其它入侵提供了相当大的便利。之所以存在这个隐患,是因为没有设置errorPage或者程序员为调试方便刻意在errorPage打印堆栈信息。对此,我们应该正确配置errorPage,并严格控制errorPage中显示的信息,避免敏感信息泄露。
目录列表是由于部署web应用的应用服务器没有正确配置造成的。存在该漏洞的网站,如果URL指定的web目录下不存在index.html,(也可能不叫index)则该目录下所有文件被自动列出。他也是为其它漏洞的攻击提供便利,对此,我们应该当修改web目录的配置。
然后来说说跨站点脚本以及链接注入与URL重定向,之所以把他们放在一起,是因为这几个安全漏洞虽然不会对网站本身造成什么危害,但是会给用户带来打击。
链接注入与URL重定向俗称网络钓鱼,但他们也有着不同的地方。URL重定向是因为http 参数保留 URL 值,这容易导致 Web 应用程序将请求重定向到指定的 URL。攻击者可以将 URL 值改成指向恶意站点,然后通过给大量用户发邮件等方式,诱导用户登录恶意站点,并窃取用户凭证或账号密码,对此,我们应该严格限制重定向的网站,将它限制在允许访问的范围内。而链接注入与URL重定向有着异曲同工之处,只是它不是在网址处做文章,而是在动态网页的输入出做文章,通常是指Web应用的重定向机制控制不合理,从而可能被攻击者利用诱导用户访问恶意网站,欺骗用户敏感信息或在用户计算机上部署木马等。举个列子,攻击者依然会制作一个诈骗网站,并将这个网站以重定向的方式记录下来输入到动态页面的输入框并且执行,这样,这个网址会在后台服务器留下记录,那么后面如果有不幸的用户看到这个网址并对此感到好奇点击了这个网址,那么他的账号就可能被窃取,他的电脑可能被安装木马病毒。对此我们要从三方面下手,一是对用户输入进行清理;二是不允许输入Javascript脚本,非法SQL语句,各种操作系统命令等;最后对用户提交的参数值中包含的<>等进行过滤或者转码。
接下来说说跨站点脚本,我觉得他和链接注入有着相似的地方,存在这个问题的网站,就是因为将外部输入不加任何处理就直接输出到了客户端而导致脚本的执行,攻击者在正常的网址后面添加自己编写的实现某种功能的脚本,将这个带有脚本的网址发给大量用户,如果用户点击了这个网址,那么虽然看到的网页和原来网页没什么不同,但脚本已经运行,将用户的重要数据发给了攻击者。因此防范该漏洞的主要方法就是对用户输入进行过滤和验证并在输出时进行转义处理。
总之,以上漏洞都是在动态网页中存在的,对于静态网页均不存在以上漏洞。而且我认为,计算机与网络后台服务器之间是一个简单而又危险的交互过程,程序员必须要为用户输入的数据进行转义和过滤,对服务器返回的数据应该进行包装(比如errorpage)将最少最有效的信息反馈给用户,中间一旦有哪个环节疏漏,很容易被攻击者利用,造成损失。
最后说说明文传输,文件遗留,http响应分割和不安全的http方法的启用这四个安全性漏洞。相比于前几个漏洞,这几个可以说是低级别漏洞,但是我们不能因为它们不如前几个漏洞重要就忽视它们,我们依然要对它们保持警惕。
先来说说明文传输和文件遗留,这两个漏洞因为提供了参考资料,所以我没有花太大功夫,通过资料,我把我的理解赘述一下。首先明文传输是由于对传输的用户口令数据进行保护不足,可能被攻击者非法窃听,因而非法获取系统的访问权限。攻击者可利用此缺陷,从网络传输的数据中窃取该系统的用户名、口令信息,使攻击者可以获取访问系统的权限,执行任意非法操作。通过‘窃听’这个词,我认为明文传输就是指用户与服务器在交互时由于保密措施不当,导致一些重要数据没有加密直接表现了出来,被攻击者窃取,造成危害,对此,采用加密方式传输是最好的防范手段。
接下来说说文件遗留,这个漏洞是由于开发者在生产环境中留下临时文件导致。公共用户可以通过简单的冲浪(即按照 Web 链接)来访问站点上的特定页面。不过,也有页面和脚本可能无法通过简单的冲浪来访问(即未链接的页面和脚本)。攻击者也许能够通过猜测名称(例如 test.php、test.asp、test.cgi、test.html 等)来访问这些页面。换句话说,文件遗留也是敏感信息泄露的一种,没有清理干净的文件如果被攻击者发现,获取里面有价值的信息,会给攻击者的下一步进攻提供便利。对此,我们不可将测试/暂时脚本遗留在服务器上,确保服务器上没有非正常操作所必备的其他脚本。最后说说后两种漏洞,因为这两个漏洞没有提供资料,我上网查询虽然最后找到了一些相关资料,但也颇费周折,下面我总结下我对后两种漏洞的见解,如果有不恰当的地方,还望指正。
http响应分割,这是一种试图通过恶意内容“毒害”代理服务器缓存,从而攻破通过代理服务器访问应用程序的其他用户的攻击技巧。例如,如果一个企业网络中的所有用户通过缓存代理服务器访问某个应用程序,那么,在代理服务器的缓存中注入恶意内容(显示给任何请求受影响页面的用户),攻击者就可以向它们实施攻击。我觉得它的危害就在于,通过代理服务器注入木马,威胁用户的网络安全。对于它的防治我觉得有如下几种方法:
不将用户控制的输入插入到应用程序返回的HTTP消息头中。如果不可避免地要在HTTP消息头中插入用户控制的数据,那么应用程序应采取以下这种双重深层防御方法防止漏洞产生。
输入确认。应用程序应根据情形,对插入的数据进行尽可能严格的确认。
输出确认。应对插入消息头的每一个数据进行过滤,检测可能的恶意字符。
通过对所有应用程序内容使用 HTTPS,应用程序即可防止攻击者利用任何残留的消息头注入漏洞“毒害”代理服务器缓存。
http方法有许多种,除标准的GET与POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。这就是不安全的http方法的启用,它主要对web服务器与web安全造成危害。资料上没有说如何防范,但我个人认为,对于这一类漏洞,我们应该对一些重要而特殊的http方法进行限制,不允许低级别用户使用这类方法,并且对使用这些方法的用户进行身份验证。
第一周的学习成果基本如上,在写这些漏洞的同时我也把他们再次巩固了一遍,加深了印象。第二周我主要是对安全性漏洞的操作工具进行了学习,主要学习了操作方法以及它的不足与完善,还有如何认定检测结果,首先,工具大致的操作方法如下:
首先是新建工程,选择Regular Scan即可。
这个直接点击下一步。
接下来只要输入你想检测的地址即可。如果想扫描其它站点,可以在其他服务器和域中进行输入。之后选择下一步。
这里点击记录,出现要检测的地址后点击下一步。
这里其实可以直接点击下一步,不过有两个地方可以进行设置,一个是将该模式作为会话中状态的证明,这是用来让服务器区分登陆与未登录的,不过建议不使用,因为如果对网页进行增删改操作的类型不一样,那么这个工具会识别为自动退出再重新登录,这样无法完成操作;另一个就是左下角的完全扫描设置,这里可以进行更高级的设置,不过我们这里直接跳过也无妨。
这一步直接点击下一步。
点击完成即可。
不过这个工具虽然方便使用单也存在着不足,不足的地方有两个,一个是网络爬虫有着友好性,换句话说有些生成链接他是检测不到的,这样就导致了链接覆盖性的不全面;另一个就是有些问题这个工具是检测不出来的,比如说A给B发送一个带有恶意脚本的链接,这个东西是写进数据库了的,在A看来没什么区别,可是对于B,恶意脚本就开始进行了,检测时候,AppScan使用攻击的方式检测,那么他收到的回复必然是呈现给自己,也就是A的,对于B的呈现结果这个工具并不能检测出来,还有就是如果错误页面设置成空白页,也同样无法检测问题。这就需要我们用手工的方式来检测。
下面就来说说手工检测,这也是我今天最后学习的内容,手工检测主要分为三个内容,分别是弱口令,用户口令的明文传输以及文件上传。前两个是需要开发者提供URL或者用户名与口令,有我们来进行评估,第三个则是需要我们登陆相应的文件上传页面,来看看文件上传是否需要验证上传者的信息,是否限制上传的格式是否指定了上传的位置。做到以上三点就不存在该风险。除此之外,有些不需要检测的地址我们应该记录下来,在扫描配置中的排除选项里进行排除,左边目录栏里如果有红色叉子的网页我们也应该记录下来,对其进行手工检测(各个漏洞都要进行手工检测)。
最后的分析结果,我们应该通过模拟请求与响应,找到出现问题的语句所在,与开发者进行讨论。
最后说下如何做好安全测试,我觉得这和前期准备是分不开的,首先开发者要告诉我们要检测的范围,即是前台或者后台,还是说两者都要检测,如果是都要检测,我们应该先检测前台再检测后台,这样可以避免造成干扰。其次开发者要取消验证码和登陆错误次数限制;最后开发者要确定检测的环境是实际环境还是专用环境,如果是实际环境那开发者要做好备份,避免造成不必要的损失,如果是专用环境那开发者要确定这个环境与原环境具有一致性,避免造成检测上的偏差。
最后附上我自己在学习是查找的一些资料:
http://wenku.baidu.com/view/9fc10d6c1eb91a37f1115c86.html http协议详解
http://hi.baidu.com/popotang/blog/item/1fff0a55cda6cacab645aef8.html
tomcat下禁止不安全的http方法
http://book.51cto.com/art/200907/138980.htm http响应分割 http:// 网络安全小结 http://book.51cto.com/art/200907/139049.htm 危险的http方法 http://lalalabs.blog.163.com/blog/static/***11234135/ 跨站点请求伪造
总结:
这两周的学习我主要掌握了一些常见的安全性漏洞的原理以及防范手段,掌握了AppScan的基本使用方法,并且能够对一些环境进行检测和分析,总的来说收获还是很大的。回去我会继续学习这方面的相关知识,争取在这方面有所突破。
第二篇:网络安全漏洞检测和系统升级管理制度
网络安全漏洞检测和系统升级管理制度
为保证校园网的正常运行,防止各类病毒、黑客软件对我校联网主机构成的威胁,最大限度地减少此类损失,特制定本制度:
一、各接入科室计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件,并对软件定期升级。
二、各接入科室计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。
三、网络中心应定期发布病毒信息,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。
四、校园网内主要服务器应当安装防火墙系统,加强网络安全管理。
五、门户网站和部门网站应当建设网络安全发布系统, 以防止网络黑客对页面的非法篡改, 并使网站具备应急恢复的能力。网络安全发布系统占用系统资源百分比的均值不得超过5%, 峰值不得超过15%。
六、要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级, 以防黑客利用系统漏洞和弱点非法入侵。
七、网络与信息中心定期对网络安全和病毒检测进行检查,发现问题及时处理。
2010年4月
第三篇:网络安全漏洞检测和系统升级管理制度
病毒检测及网络安全漏洞检测制度
为保证我院局域网的正常运行,防止各类病毒、黑客及其它非法软件对互联网及联网主机构成威胁,最大限度地减少、降低损失,特制定本制度。
一、局域网各接入科室计算机内应安装防火墙软件系统及防病毒软件并定期进行升级,保证设备的正常、安全使用;
二、局域网各接入部门计算机应安装防病毒软件、防黑客软件及其它安全保护软件,并对软件定期升级;
三、严禁各接入部门计算机安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件、病毒和其它非法软件;
四、微机室应定期发布病毒预报信息等各种安全公告,定期检测互联网内的病毒和安全漏洞,发现问题及时处理;
五、微机室应采用合理的技术手段对网络安全运行进行有效的监控,利用各种有效的安全检测软件定期对网络安全隐患进行检测;
六、对于通过网络或各种介质传递的软件、数据、信息等必须进行有效的安全检测,以防止病毒等潜在的安全问题发生和扩散,对于新发现的病毒等要及时进行查杀。无法查杀的要备份染毒文件、上报,同时追查病毒来源;
七、微机室应定期检查防火墙、防病毒软件等网络安全设备、设施的配置,以防止网络安全设备、设施漏洞对网络及设备安全稳定运行造成影响;
八、微机室应制订有效的网络安全配置管理策略。各联网单位或
用户要及时报告新发现的网络安全漏洞;
九、严禁局域网的任何上网计算机对全网络范围内进行网络扫描、IP欺骗等非法活动,一经发现,将按情节予以中断网络连接或取消上网资格的处理。
十、严禁局域网用户对网络主机进行任何形式的非法攻击或入侵。对于有意传播病毒、非法攻击或入侵的网络用户,一经查实网络运行管理部门将暂停或取消其上网资格,情节严重的将送交公安机关处理。
第四篇:病毒检测和网络安全漏洞检测制度
病毒检测和网络安全漏洞检测制度
为保证我校校园网的正常运行,防止各类病毒、黑客软件对我校联网主机构成的威胁,最大限度的减少此类损失,特制定本制度:
1、各接入单位计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件,并对软件定期升级。
2、各接入单休计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。
3、网管中心应定期发布病毒信息,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。
4、校园网内主要服务器应当安装防火墙系统,加强网络安全管理。
5、网管中心定期对网络安全和病毒检测进行检查,发现问题及时处理。
第五篇:流通领域食品安全漏洞
流通领域食品安全漏洞、监管风险及化解
监管风险对策
新颁布的《中华人民共和国食品安全法》于2009年6月1日已开始实施,新《食品安全法》涵盖了“从农田到餐桌”食品安全监管的全过程,对涉及食品安全的相关问题作出了全面规定,从机制体制上全方位构筑食品安全法律屏障。但是各地监管部门依旧周期性地曝光问题食品黑名单,在流通领域每期食品例行检查中,不合格的食品仍源源不断地进入流通市场。如何堵塞流通领域食品安全漏洞及化解工商监管风险,在当前形势下显得尤为紧迫。
一、当前流通领域食品安全的漏洞
(一)法律上的漏洞
首先现行的食品安全的法律法规体系不够完整。在流通领域有农业、卫生、质检、商务等多部门参与。其次内容不够全面。如食品安全风险评估制度、食品安全预警制度、食品安全危机处理制度、食品安全事故处理制度等重要内容尚未纳入法律的调整范围,食品安全保障制度还存在一些空白。
在法律法规方面还存在着一些盲区,比如仍没有针对批发市场的法规。由于生产过于分散,如果完全靠从生产环节抓食品安全管理,漏洞太多。
对场外交易的马路流动摊点食品安全的检测处于真空状态。在现行的食品安全监管体系中,路边流动摊点由城管部门负责取缔,但是城管部门只管场外交易行为,并不管所售食品的安全状况。
与《食品安全法》相配套的法规尚未出台。该法29条规定:食品生产加工小作坊和食品摊贩从事食品生产经营活动,„„具体管理办法由省、自治区、直辖市人民代表大会常务委员会依照本法制定,但直到现在我省仍未出台相关管理办法。
(二)管理上的漏洞
1、政府对“食品安全”经费投入不足。
近年来,我国在流通领域食品安全监管方面投入经费少,检测设备很少或根本没有添置,一些检测设备严重老化,未能及时更新,同时还缺少一些必备的检测设备;抽检经费严重不足,难以及时检验食品质量的真伪,检查中经常出现一些无法认定的质量问题;还有食品流通许可证的发放要求免费,所需费用由财政列入预算给予保障,但实际上经费却难以保障,这些都大大制约了食品安全监管工作的开展。
2、工商机关监管能力不足。近年来,各级工商行政管理机关虽然不断加大人员、经费投入,加大监管力度,但是面对流通领域众多的食品和经营单位,其监管能力明显不足。主要表现在:
一是推行的进销货台账台帐等制度,在实际工作中落实难。
当前工商部门在对食品安全监管中,要求食品经营户实行进货查验、索证索票、进销货台账等五项制度,但在实际检查中发现,有相当比例的食品经营业主限于种种原因难以落实,如进销货台账虽然建立了,但是填写不完整、不及时、不规范的现象较为普遍,基本上是做了一些应付工商部门检查的表面文章。
二是市场主体经营方式不规范,导致农村市场监管难。当前农村普遍采用作坊式生产形式,大都实行分散经营,存在着农村食品生产源头“小、乱、散”的现象,生产经营者绝大多数系本地村民或外来人员,以租赁房屋和家庭作坊式的个体加工业为主,守法意识不强,相当一部分无卫生许可证和营业执照,生产条件差,加工水平低,产品质量难以保证。三是工商部门监管手段不足,导致无缝监管难。由于工商部门职能有限,又加上人手短缺、经费不足、装备落后等原因,造成食品安全监管力不从心。工商部门对食品安全的监管的一项重要手段,就是对流通领域的食品安全检测,检测的基本程序一般是:确定监测对象———首先怀疑可能存在问题的食品———然后送法定鉴定部门检验(因为我们自己的检测仪检验不具有法律效力)———如果有问题,可以处罚,检验费由经营者承担;如果没问题,检验费工商部门也要承担。因此,检测的力度越大,承担的风险也就越大。
3、职能部门之间缺乏有效的信息交流机制,导致全方位监管难。
从“农田到餐桌”的安全食物链分属工商、卫生、质监、农牧等多个部门监管,由于这些部门管理体制不同,人、财、物的主管部门各有其主,有的在该唱主角时却当了配角,有的在该当配角时却唱了主角。特别是农贸市场中的米、面、肉、菜等日常食用农产品的监管,工商部门无权抽检,农业部门抽检的力度和频次又达不到要求,并且难以做到将抽查结果及时向工商部门通报,往往是等工商部门知道了再去查扣时,问题食品早以销售一空。同时在整合执法力量、协同执法步调、密切配合作战、信息互通等方面仍然存在问题。
(三)认识上的漏洞。
一是食品安全知识普及及安全意识不高。食品安全宣传的声势不大、氛围不浓,力度不够。城镇居民对食品安全的认识相对较高,农村消费者食品安全意识较低,加之消费能力有限,间接造成了违法食品有市场需求、违法者有生存空间。
二是消费者对安全优质食品的认知水平不高。在广大农村地区,持“不干不净,吃了没病”的陈旧观念的消费者为数不少。并且农村消费者维权意识薄弱,自我保护意识不强,在遇到问题食品时,农村消费者的投诉率比较低。
三是市场经营者素质普遍不高。部分食品经营者法律意识、道德意识淡薄,唯利是图思想严重,不讲求诚信道德,不注重食品质量;部分食品经营者在进货时不认真履行法定进货查验义务,很少去注意商品的商标、厂名、厂址,甚至生产日期及合格证等内容;而有些消费者在消费时,受个人收入低等因素的制约,首先考虑的也是价格因素,忽视产品的内在品质,即便是在自身的合法权益受到损害时,大多是没吃出问题不维权。
二、工商部门在流通领域监管过程中存在的风险
(一)流通许可风险:包括登记许可程序出错、许可资料审查出错、实质审查出错等风险。
(二)日常监管风险。包括日常巡查不到位、巡查工作流于形式、督促食品经营者履行法定义务、完善食品质量准入制度不到位。
(三)专项整治风险。除了日常监管,还会根据实际情况开展一系列的专项整治工作,比如对重点商品、重点地域、重点时节的食品安全整治工作。
(四)食品安全执法风险。包括行政处罚程序不当、采取强制措施越权、行政处罚中的不廉洁行为、滥用自由裁量权。不该罚的罚了,该严查的却不严查,该取缔的不取缔,结果是以罚代管,纵容不法当事人继续从事非法食品经营活动。
(五)食品抽样检验风险。包括越权抽检、抽样检验程序违法、抽样超时。
(六)突发食品安全事故处置风险。包括处置不力、处置不及时、处置不当等方面。
(七)食品安全信息发布风险。工商部门,对重大食品安全信息没有发布权,对食品安全监管的重大信息也必须通过市级以上工商部门批准。
三、堵塞食品安全漏洞化解监管风险的措施及对策:
(一)加大对食品安全工作的宣传力度,提高全民的食品安全意识。加大食品安全宣传教育力度,增强食品经营者食品安全意识和消费者的自我保护能力。
一是学透食品安全法规,让全系统工商干部,增强责任感、使命感,引起高度重视。
二是基层工商所推行“月联系”制度,以管辖区为单位,组织市场业主、食品超市、部分食杂店经营者等进行食品安全集中培训,有针对性地提高食品经营者的食品安全意识。
三是结合网格式监管,上门服务。如将《食品安全法规》摘录成宣传单,以《通知》的形式挨家挨户散发到食品经营者手中,让每个食品经营者知法、懂法。
四是运用现代化网络技术,在红盾信息网上开辟食品安全专栏,宣传相关法律知识、信息、案例。
五是借助“五进”活动开展送法进学校、进社区、进企业等活动,宣传法律法规,维权知识,增强消费者防范能力。
六是借助“3.15”、“法制宣传月”东风,普及食品鉴别常识,公布典型案例,散发食品安全宣传图片、资料,进行消法有奖知识问答等,增强消费者自我保护能力。
七是运用简报、板报、设点摆摊等常规宣传手法,提高全县人民食品安全意识,努力营造良好的流通领域食品安全氛围。
(二)加大对食品质量责任落实和责任追究力度,提高工商、市场开办者、经营者的守责意识。
1、强化工商干部的问责制。要成立相应领导小组和机构,制订和完善食品安全制度。完善《食品安全监管工作经济奖惩办法》,教育广大工商干部职工要把食品安全当作高压线,千万马虎不得。要以前所未有的严厉态度实行责任追究,把食品安全责任制落实到最基层,工商所在辖区内出现食品安全问题,除追究责任片区执法人员的责任外,还要一并追究工商所长的连带责任。
2、强化主办单位的连责制。就是明确市场主办单位是市场第一责任人,增强他们对辖区市场经营者的管理责任。要与辖区内市场主办单位签订市场食品安全责任状。建立市场开办者内部管理制、经营资格审查制、开办者与经营者签订管理协议制、消费者购不合格商品赔付制这四项制度来落实市场开办者的责任。一旦出现区域性食品安全和严重食品质量违法行为将限期整改,必要时取消该市场及该市场内所有经营者及其产品申领荣誉称号的资格,直至吊销市场开办者的营业执照,为食品安全监管又增设一道“关口”。
3、强化经营主体的主责制。工商部门要按照《食品安全法》的要求督促监管区内的所有经营者全面履行法定义务,签订《食品质量安全承诺书》和《诚信经营协议书》,要求每个经营者建立进货查验、进销货台帐、食品质量承诺、不合格商品退市、召回的五项制度来落实经营者的责任,强化食品经营者的食品安全自律意识。在食品经营场所醒目位置张贴或悬挂食品安全管理制度及公示牌,使消费者对食品质量、投诉服务等一目了然,也便于接受社会监督和群众举报。
(三)圈定“五大重点”,加大食品安全巡查和执法力度。
1、圈定重点食品,做到目标明确。按照国务院食安办2011的工作重点,我们要重点管好乳制品、食用油、保健品、肉制品、酒类等几大类食品,要对这些重点食品要定期或不定期地进行专项检查。
2、圈定重点区域,做到重点盯防。重点区域就是城乡结合部、学校周边及废弃厂房、城区出租屋等地域。这些地点是管理相对薄弱的地方,应作为巡查的重点,对这些地方要做到巡而有查、巡而不漏,及时发现和清除这些敏感地点的食品安全“隐患”。
3、圈定重点对象,做到心中有数。重点对象就是各类食品批发商、农贸市场、商场超市以及小作坊等风险较大的食品生产经营单位。对这些重点对象,应加强信用及档案管理,对有“前科”的单位要开展多次回访,重点“关照”,防止他们“故伎重演”、死灰复燃。
4、圈定重点时段,做到知己知彼。每年的元旦、春节、中秋节、国庆节既是购物的旺季,也是制假、售假的旺季。少数不法食品分子乘没上班这个空当,制假售假,开展“零点交易”。相关监管人员要采取针锋相对的监管措施,加大巡查密度和频次,组织“夜猫队”来对付这类“硕鼠”,不给食品造假者以可乘之机。
5、圈定重点案件,做到震慑一方。“治乱必用重典”,在查办食品安全案件时,针对消费者投诉和自身巡查中发现案源后就追根搠源,一抓到底。决不以案论案,以简就简,而是采取并案、串案一起抓,机关、基层一起上,对情节严重的坚决移交司法机关追究其刑事责任。
同时还要精选典型案例,通过报纸、电台等方式予以曝光,切实做到处理一个,震慑一方,有力打击制假售假者的嚣张气焰。
(四)针对市场消费热点难点,抓好食品质量检测。
一是加强日常快速检测工作。按照湖北省工商局《工商所流通环节食品安全监督管理工作规范(试行)》的要求制定快速检测实施方案,开展快速检测工作,及时排查可疑线索,筛选问题食品,确保全县食品消费安全。
二是加强流通领域商品质量监测。严格落实省、市局下达的监测计划,确保被抽食品具有代表性、针对性、不盲目抽检;在后处理阶段,对生产经营不合格食品的违法行为严肃处理,绝不手软。
(五)加大规范力度,建立食品安全信用监管机制。要建立健全食品安全监管长效机制,完善食品安全信用体系,对守信企业和失信企业建立档案,并及时录入信用信息监管情况,失信企业将列入“黑名单”。对“问题食品”和列入“黑名单”的企业进行重点监管
1、强化源头管理,全面推行“食品批发商备案管理”制度。为深入贯彻落实《食品安全法》等法律法规,切实加强流通环节食品批发商监督管理,规范食品市场的源头治理工作,打造我县食品市场“来源可塑、安全可控、去向可查”的食品安全监管新机制,维护广大消费者的合法权益,要制定《流通环节食品批发商管理办法》,对食品批发业商的人、车、货、票、库等重点环节进行备案管理。同时推行“一票通”制度。对食品批发业户全面使用符合法定要求的制式销售票据;统一实行、统一备案、集中印刷。新的制式销售票据需要按名称、规格、数量、生产批号、保质期、购货者名称及联系方式、销售日期等内容如实登记,在样式和登记内容上做到了统一,实现了“一票通”。
2、强化网上监管,推行远程自动化管理。对大型食品超市、食品批发企业批发商实行远程电子监管。按照省、市局要求,我局全面推行网上监管。电子监管软件是在进货查验是通过条码录入,从而详细记载经营业户进货、销货、存货的全部信息,并直接发送到工商局业务网络终端备案。通过工商局的电子监控平台,足不出户就可以对经营业户进货、销货以及存货情况实时监控,食品销售的名称、品种、数量、去向等信息一目了然。还可以对临界保质期的食品发出预警报。便于经营业户自行下架和工商监控人员巡查。
3、加强分类指导,推行信用等级监管。分类细化,制定信用标准。根据主体准入、违法记录等方面的信用信息,把食品经营主体信用情况具体划分为守信、一般守信、失信3大类,分别用绿色标牌、黄色标牌、红色标牌标示在食品经营分类监管示意图上。对评出的不同信用等级的食品经营主体,以不同的监管频率和措施进行分类监管。一是对绿牌经营主体除专项市场巡查和消费者投诉、举报外,4个月至少巡查一次。二是对黄牌经营主体两个月至少巡查一次,有一般违法行为的进行案后回查,有特别轻微或轻微违法行为的提出警示、限期整改。三是对红牌经营主体每个月至少巡查一次以上,在一定范围内曝光,重点跟踪巡查,密切监控其是否停止违法经营活动。对因特别严重违法行为被工商部门依法吊销营业执照的食品经营者,发布营业执照吊销公告,曝光其违法行为。
(六)、畅通举报途径,加大对假冒伪劣商品的处罚力度。建立、完善、畅通消费维权举报途径,进一步扩大消费维权网络的社会覆盖面。建立以12315申诉举报指挥系统为窗口,市、县、所三级互联互通,信息共享的12315综合执法平台,形成“一个中心受理、二个层次分办、三级机构执法”的12315执法维权体系。并在乡村、学校、社区、大型超市等经营场所设立“一会三站”,就近方便消费者申诉、投诉、举报。每年对投诉站点进行一次审核,取消不再符合要求的投诉站点,新增需要增设的投诉站点,做到及时、快捷地化解消费纠纷,及时查处假冒伪劣商品,切实加大假冒伪劣商品的处罚力度,维护消费者的合法权益。
五、改善食品安全监管工作的建议
一是亟待政府加大领导力度。《食品安全法》第五条规定:“县级以上地方人民政府统一负责、领导、组织、协调本行政区域的食品安全监督管理工作,建立健全食品安全全程监督管理的工作机制„„” 上述规定既指明了县级人民政府在食品安全监督管理工作中的组织、领导责任,又规定了县人民政府对工商等食品安全监督管理部门进行评议、考核的职责,还规定由县级人民政府确定本级工商等部门的食品安全监督管理职责。因此,在新的形势下,工商部门一定会全面贯彻《食品安全法》,严格执行政府、县人大确立的工商部门的食品安全监督管理职责,盼望政府、人大进一步加大对工商工作的领导,切实解决工商部门在食品安全监管工作中遇到的难题,把《食品安全法》贯彻好、落实好。
二是建立健全食品安全预警机制。《食品安全法》第七十条规定:“县级以上地方人民政府应当根据有关法律、法规的规定和上级人民政府的食品安全事故应急预案以及本地区的实际情况,制定本行政区域的食品安全事故应急预案„„” 为有效防范和及时应对突发的食品安全事故,政府应尽快制定我县食品安全预警机制,成立 相应领导小组,添置相关设备,举行应急演练,切实做到防患于未然,及时消除食品安全事故隐患。
三是亟待建设一个食品检测机构。当前,困扰县级食品安全监督管理部门的一大难题就是本地缺少一个食品检测机构,许多食品安全案件和消费者投诉事件因难以做到快办快结,把小事件拖成了大隐患。
四是亟待政府设立食品安全专项资金。按照《食品安全法》的规定,为减轻食品经营户负担,工商部门对颁证实行零收费。为推进零收费工作的全面落实,盼望县政府设立食品安全专项资金,解决许可证核发的经费保障问题;同时还要加强对食品安全工作的投入,强化对技术和执法人员的培训,配齐、配全、配优执法装备,提供必要的抽检经费,加强食品质量监测,要建立以市场主办单位自检为基础、消费者复检为补充、执法部门抽检为保障的“三方互动”的监测体系。
除此以外还应设立食品安全奖励基金,用以激励那些为保障我县食品安全工作作出了突出贡献的相关人员以及投诉举报有功人员。
点击咨询 