前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的资产安全分析主题范文,仅供参考,欢迎阅读并收藏。
一、深入分析,把握重点,全力做好安全生产隐患排查治理。
城市供水、燃气、公交、市政、环卫等重要基础设施,和百姓的生产生活息息相关,做好这些领域的安全保障工作是关系到社会稳定经济发展和公共安全的一件大事,也是反恐工作的重中之重。
一是加大对用气、供水安全的日常管理和行政执法力度。今年,我局各城管执法中队、公用事业管理处及安监等有关部门,多次对各燃气储灌站、换气站、供应点和个体代充户进行安全检查和执法处理,今年1-4月,共查处燃气类案件11起,暂扣气瓶50余只,教育纠正违章行为118次。特别在元旦、春节、五一等节日前后,各执法中队开展了集中整治行动。如庄市中队对管辖范围内的三家燃气代充点进行每月两次的定期检查;蛟川中队于1月15日-2月15日开展了为期一个月的节前节后燃气安全检查,共检查了7个村、43个代充点,对于代充点存在的车辆进出站安全措施不落实,消防设施不完备,抢修、抢险预案不健全的,中队当场责令有关企业立即整改。对无证代充点,中队要求立即停止充气业务。
二是开展蹲点专项检查,全面排查安全隐患。根据区“树新形象创新业绩”主题实践活动安排,4月中旬,吴建林局长到**区公共交通总公司作为期一周蹲点调研,就全市公交综合改革及我区公交职能移交以来公交运行情况作详细了解,特别要求对公交场站和枢纽设施、企业内部油库、运营车辆的易爆易燃有毒等[本文章来源于21写作秘书网/]公交设施和运营安全进行排查。
5月6日,**副局长带队对兴光燃气**门站、俞范和半路涨两个储气站以及各煤气代充点进行检查。通过检查发现,燃气经营企业的安全生产事防范方面的管理制度比较健全、措施比较到位,但也存在一些治安防范方面的隐患,如燃气储灌区无安全监控系统、夜间值班人员力量薄弱。
4月28日,我局与市城管监管中心对**区九龙湖水厂、蟹浦水厂两乡镇水厂进行检查。检查内容包括供水企业执行《村镇供水单位资质标准》的水质检测,对水源地保护措施情况,供水企业原水、出厂水、管网末梢水水质,净水剂、消毒剂质量,供水企业水质检测机构、人员、设备、检测能力及有关水质检测制度、管理制度及保障措施落实等情况。通过检查发现:供水企业加氯车间没有配备自动泄氯报警装置,供氯管采用明管铺设,材质为普通塑料管,存在严重安全隐患;水质检测员配备不足;两个水厂都已是超负荷运作,远远超出日供水万吨的设计能力。
4月21日下午,我局对城区范围内的泵站、闸门、涵洞等防汛设施的安全情况进行了全面检查,仔细查看了城区濠桥、吉庆、东门等排水防汛设施。4月25日下午,我局专门召集监理单位及市政、园林、环卫等三个养护中心召开监理安全专题会议,对节日期间工地管理工作作了具体要求,对庙前路、宁波帮文化公园、向辰园南绿地等工地进行安全检查,就工地材料仓库、围栏、施工区域的用电、用水等安全措施进行了仔细的检查,将发现的问题进行了现场改正,以监理纪要方式监督限期整改。
二、加强领导,落实责任,着力开展反恐和安全生产工作。
一是及时传达区反恐会议精神,认真落实应对措施。4月14日,区反恐会议的当天,吴建林局长立刻召集局领导班子和相关科室负责人,传达反恐会议精神,并明确强调:既要在思想上引起高度重视,又要在工作中狠抓落实,特别要加强供水、燃气、公交的安全运行监督管理,要加强泵站、桥梁、涵洞、环卫等设施安全检查,保障反恐装备的落实。同时,局立即成立反恐工作领导小组,由局长总负责,分管局长具体抓,落实局指挥中心做好每天涉及反恐的信息收集和上报工作。
二是继续抓好安全生产工作。根据人动,及时调整了局安全生产领导小组,并与各科室中队签订了安全生产责任状。4月初,根据市局工作要求,又下发了《区城管局20**年安全生产隐患排查治理工作实施方案》,进一步明确了安全隐患排查的范围、内容、方法和步骤。
三、严格防范,关口前移,积极落实各项应对措施
针对城市供水、燃气、公交、市政、环卫等重要基础设施安保工作的各个环节、重点部位,我局切实加强监管、加强防范、部门协作,做好“关口前移”,人防与技防相结合,针对存在问题,切实落实各项应对措施。
1、燃气安全方面:一是对**炼化厂至半路涨输烃管线拱跨拉索进行加固,防止管道破裂引起燃气泄漏。二是把三官堂燃气装卸码头卸货管线由原普通静电接地线更换成可报警式的静电接地线,防止明火产生。三是对兴光公司下属的燃气供应站内消防水带老化,消防水带、灭火器等进行更换。四是把三官堂油库输烃管线部分进行挖沟、防腐、埋地处理。
2、城市供水安全方面:一是责令乡镇水厂加强对水源地日常巡查力度,采取适当的保护措施,对原水、出厂水、管网末梢水水质做到24小时检测,完善企业内部安全生产管理制度。二是要求水厂配备2-3名水质检测员,对化验药品、物品要做到专人管理保管。三是责令供水企业安装液氯综合回收装置,供氯管道采用暗管铺设,确保安全供水。同时,我局于4月30日分别发函致区安监局、蟹浦镇政府、九龙湖镇政府,请各相关职能部门督促两家供水企业尽快安装液氯综合回收装置,完善安全管理,确保安全生产。
3、市政基础设施方面:(1)对防汛设施安全落实了三项措施:一是加强吉庆桥等河道的清理,清除箭杆桥下面防碍排水的混凝土梁;二是落实对泵站设施的维修,对运行有问题的泵进行了修复;三是做好防汛设备的增添,准备了编织袋3000个、汽油泵9台、安全帽约70顶,铲、雨衣等设施都已准备充分。(2)加强工地安全生产管理。将所有立项改造项目打包并引入工程监理,强化质量管理和安全管理,使我局的工程建设管理更加科学规范,也促进了我局的工程廉政建设。(3)加强公[本文章来源于21写作秘书网/]园等游乐设施的安全保障工作,对公园水面、沿河增设警示牌;对园路、假山、亭廊、儿童游乐等设施进行维护,确保五一假日期间无安全事故发生。
4、行政执法方面:针对专项检查中发现的非法储存、倒灌液化气窝点,暂扣非法倒灌煤气瓶40只、计量小磅秤及连接管等倒灌工具。针对**区域外来人员众多的现状,各中队在执法管理过程中,主动出击,全面防范,加大日常巡查管理力度,深入重点区域、重点路段、重点对象,发现不良苗头及时上报、妥善处理,特别是新疆羊肉串、兰州拉面等少数民族经营者,抓好宣传与预防工作,注重工作方式方法,做到文明执法,防止各类矛盾的激化、升级。
四、落实预案,处置有力,切实做到安全隐患防范于未然
进一步完善应急救援预案并组织实施演练,切实提高应对突发事故的能力和救援水平;严格落实抢险物资、设备的储备、抢险队伍人员;建立健全节假日值班制度和重大突发事件信息报告制度。
一是根据市政、园林、环卫三个中心工作特点,加强对维护、维修作业人员的管理和教育力度,提高安全防范意识,安全维护、维修作业前开展好安全预想,搞好监督检查。
二是加强维护、维修现场的安全管理,防止伤亡事故。明确各级工作人员的安全责任,健全安全管理制度和各种机械的安全操作规程。
一、外资并购现状
自1986年以来,外资开始对我国实施并购。20年来,并购投资得到快速发展。据商务部统计,2007年上半年,全国共批准外资并购案600多项,同比增长1.86%,实际使用外资金额9亿多美元,同比增长98.64%,分别占全国吸收外资总量的3.22%和2.94%。截至2007年上半年,我国外资并购中外商实际投入金额36.8亿美元。占全国吸收外资总量的1.7%。
外资最早进入的行业是制造业和服务业。2005年,前三大行业依次是采掘业、交通运输仓储业和金融业,占比分别为16%、14%和13%。外资并购在我国愈演愈烈,提出了三必须的“斩首”策略,即必须绝对控股,必须是行业龙头企业,预期收益必须超过15%。外资并购对于我国经济的发展是一把“双刃剑”,如果忽视了对其的审查和监管,无疑会暴漏出外资并购的负面影响,威胁到国家的产业安全。
二、外资并购对产业安全的影响
一般认为,产业安全是指在经济全球化的大背景下,一国的产业保持稳定、持续和健康发展。产业的国家利益处于不受损害或威胁的状态,国家应确保对国计民生有重大影响的产业保持经营和技术等方面的控制权。
1、导致行业的垄断。跨国并购投资中,外商要求取得目标企业的控制权的倾向最为强烈。据不完全统计,有半数以上的跨国公司获得绝对和相对的控制权。如法国达能对乐百氏和娃哈哈所持股份分别增至92%和51%,并持有上海梅林正广和饮用水有限公司50%的股份:世界最大的轮胎生产企业――法国米其林公司占有上海轮胎橡胶集团70%左右的股份:这种控股并购是跨国公司全面衡量在华投资风险、资源投入、技术保密、企业控制和投资效率等因素后做出的一种战略选择,在一定程度上会导致某些行业形成垄断。
2、削弱企业的技术研发和竞争能力。目前,中国许多产业的产品受制于发达国家的新经济技术标准和关键零部件,如电视机、洗衣机、空调、汽车等产业。许多跨国公司正在中国设立研发中心,抢夺本土科研力量,从事关键技术和核心技术的研究开发。由于被并购企业的技术自主研发能力的缺失,导致其产业发展依赖于发达国家,核心硬件、系统软件大量依赖进口,从而不由自主地被发达国家用技术牵着走,永远走重复购买别人技术的老路。
技术研发能力大不足直接影响中国的主导产业或支柱产业的发展。我国的信息产业几乎被外资控制;装备制造、微电子、轿车、石化等对国民经济具有较高关联性、带动性的行业,被国外供应商或技术持有者控制,对我国整个产业体系的安全造成了重大威胁:外资控制程度比较低的石油、天然气以及金融、零售、物流等服务业,市场化和产业化程度低,发展相对滞后,国际竞争力较弱。
3、丧失民族产业的品牌。外资凭借其在资本和技术上的优势,要求并购后的企业使用外来品牌或是创新品牌。外商通过减少中方品牌宣传费、减少或中止技术开发投入、降低产量等手段,使国有品牌逐渐衰落甚至消失,在洗涤用品、移动通讯、饮料等行业尤为突出。如洗衣粉“碧浪”、“汰渍”品牌就是外资控股并购国内“白猫”、“高富力”厂家后推出的新品牌;“摩托罗拉”、“诺基亚”、“爱立新”等外资品牌占有四分之三以上的移动通讯市场:“可口可乐”和“百事可乐”及其系列产品也已经占据了国内大部分饮料市场。随着国外著名品牌的大量进入,外资不仅在很大程度上垄断了我国市场,而且还给我国发展自己的品牌产品及其产业的安全增加了很大的难度。
4、并购监管政出多门。我国现行的外资并购投资项目的审批,特别是那些不涉及固定资产投资的项目,比如服务贸易,不需要经过国家发改委的项目审核或审批环节。美国凯雷并购徐工、法国赛博(SEB)并购苏泊尔等外资并购案一度引起市场高度关注,也引起国内许多人士对产业经济安全的担心。
5、造成人才和技术的流失。迈克尔,波特(Potter,1990)在“国家钻石”理论中强调了生产要素对于实现国家竞争力的重要性。外资凭借其优厚的待遇,吸引大批优秀的人才进入外企,这些流入外企的人员大多是经过数年培训并且卓有成效的高级技术或管理人员,从而造成人才的过度流失:外资加紧对我国的龙头行业和核心企业的并购,并且出现了明显的独资化趋势。外资将并购后企业的核心技术垄断起来,致使我国辛苦研制的技术无成本让渡国外。
三、我国保障产业安全的对策
(一)加快企业自身品牌与创新意识
为保持国内企业完整的产业链和产品的优势,需要加大企业自身的科研力度,进一步提高企业的品牌意识。企业品牌越有知名度、美誉度,新技术的产品就越有竞争力和生命力。加快自主品牌创新与自主技术创新,充分利用并购的潜在优势,加快自身自主创新的步伐,培养自己的核心技术和优势。在中国的企业队伍中,多多出现象海尔、联想、南汽这样的大企业和集团,打出本国企业的品牌,跻身国际市场行列。
(二)制定某些行业的准入和禁入制度
加强对外资并购国有企业的审查和审核制度,涉及到的行业包括重大装备制造、汽车、电子信息、建筑、钢铁、有色金属、化工、勘察设计、科技等领域,按照今年通过的反垄断法要求,除进行反垄断审查外,还应按照有关规定进行国家安全审查。采取措施保护这些领域的重点企业,不能放松警惕。从严审查外资对核心产业的并购,限制外资并购的股权比例,如军工国防科技、电网电力、石油石化、电信、煤炭、民航、航运、金融、文化等行业;有关国家的基础产业和支柱产业,根据企业的发展状况,几年进行相应的调整,满足企业自身以及国家经济发展、产业安全的需要。
(三)建立产业安全预警机制
关于产业安全预警机制的建设,国务院应建立重点产业安全预警机制:行业应依托各个行业协会,建立行业安全预警机制,考虑我们重点关注的产业,如石油、煤炭、电力等能源行业、有色金属行业、港口水运产业、机械制造业中的龙头企业、汽车制造业、高端计算机整机行业、国内市场需求大的家电、手机、造纸、医药、批发零售业等产业。关系国计民生的行业,在安全上不能有任何疏忽。不仅对各个产业目前的安全状态做出评估,而且能对各个产业未来若干年的安全趋势做出预测,能够及时将相关安全信息传递给中国的企业。
(四)成立联合的监管机构
根据并购的行业范围,我国可以设置联合的监管机构。联合的监管机构由专门的监管机构和各部门联合参与。如:外国投资审查联合委员会,其职能为外资并购的行业审查进行牵头工作,加强审查工作的严密性。如:涉及金融并购的由财政部和银监会配合:涉及国企并购的由国资委配合:涉及上市公司的由证监会配合。
(五)发展高等教育,建立人才的培养和激励机制
波特认为,在任何时期,天然的生产要素都没有比被创造、升级和专业化的人为的要素条件更为重要,对国家而言,能创造出生产要素的机制远比拥有生产要素的程度重要,面对人才的流失并不可怕,关键是要建立起人才的培养机制。一是要大力发展高等教育,培养能够面向国际化的高素质创新型人才:另外要建立用人留人机制:人才和一般的员工区别对待,形成重视人才、重用人才的机制,保持并培育我国的人力资源优势。
关键词:矿产资源;集群型企业;安全监管;驱动力;特征
中图分类号:TD79 文献标识码:A
1 引言
矿产资源集群化是采矿业规模化的必然结果,集群型企业是现代采矿业的运营主流,其安全生产水平开始主导我国整体矿山的安全生产形势。集群型企业的安全监管是企业角度的宏观管理,这种监管行为在实际应用过程中并没有明确的界定,对其母公司或参股主体的安全责任追究没有明确的法律依据,使得集群型企业监管单位的监管责任落实不到位,监管工作不够重视、不够明确。笔者统计分析了2000~2010 10年间的200起矿山事故致因,属于集群型企业的有65例,其中“上级监管不力”作为事故致因因素之一的有62例,占95.3%。因此,集群型企业安全监管问题的研究对改善矿山安全生产状况、提高矿山安全生产水平具有重要作用。本文分析了矿产资源集群型企业安全监管的几个基本要点,为集群型企业安全监管研究及应用提供理论依据和参考。
2 集群型企业安全监管的定义及组成要素
2.1 定义
所谓集群型企业,是指主要体现以大型企业为核心,以产品、技术、经济、成套契约等为纽带,把多个资源型企业、单位联结在一起的多法人经济联合体。矿业集团便是集群型企业最为典型的一种,此外,还包括实际拥有或控股多个矿山实体的矿产资源投资金融性企业。
安全监管则是指管理主体为维护生命财产安全及获得较好的安全管理效果,运用各种管理手段,对运行过程中各项活动实行安全检查、审核、监督指导和防患促进的一种监督管理活动。安全监管是一种带有强制性的管理活动,对于集群型企业来说,母公司对所属生产企业的安全管理既是企业内部的管理,又是一种典型的上下级监管行为,本文所指安全监管即指集群型企业的内部安全监督管理。
2.2 组成要素
集群型企业安全监管要素包括以下5个方面。
(1)安全监管目的:与企业安全管理目的具有一致性,即减少或避免安全生产事故,保护员工生命财产安全,维护企业财产权益,持续提高企业安全生产水平。
(2)安全监管主体:能够实施监督管理行为的组织、机构和个人,一般指生产单位的上级企业或集群型企业母公司。
(3)安全监管客体:被监督管理的对象和范围,对于集群型企业,监管客体一般指生产经营单位或下级企业,及其相应安全管理行为。
(4)监管手段和方式:区别于国家安全监管的行政、法律和经济手段,集群型企业主要通过安全检查、审核、监督指导、行政管理等方式,以作用于生产企业的安全管理,从而实现安全监管预期的目的。
(5)安全监管内容:依据监管主、客体的不同,安全监管内容也会有自己特定的内容、范围和形式,一般来说包括基础性安全管理、合规性管理、体系管理等内容。
3 矿产资源集群型企业安全监管的职能
作用 安全监管是集群型企业母公司安全管理的重要职责之一,从企业角度,安全监管具有以下主要职能作用。
(1)提高社会形象。集群型企业的安全监管是对社会和公众负责的态度,也是“以人为本”的根本体现,安全生产的重视以及良好的安全理念能够使企业获得政府、客户等更多的尊重和支持,塑造更好的企业形象。以杜邦集团为例,杜邦公司作为世界500强企业,历史最为悠久,拥有独特的安全管理体系,在具有高度危险的行业领域中多年来一直保持良好的安全生产态势,被人们誉为安全的象征企业,业界都将其作为安全管理的参照物,并在社会各界中树立了良好的社会形象。60多年里,杜邦集团在中国的30余家公司实现了零伤害率,国内企业纷纷效仿。
(2)把握安全管理方向。通过安全监管,对集群型企业管理过程中各要素和各环节进行检查、审核、控制,及时获取生产企业管理成效的信息反馈,从而抑制不良苗头,使安全管理沿着正确轨道运行;与此同时,检查工作也能及时发现各种不利影响的现实因素和潜在因素,预防、阻止各种错误和偏差的产生和出现,以保证安全管理目标的实现。
(3)规避法律和经营风险。集群型企业的安全监管是受安全生产法等法律体系约束的,企业在进行兼并重组、资本运作的过程中,需要考虑兼并重组或资本运作对象安全管理的状况,并发挥安全监管职能作用,优化生产企业的安全管理体系,使之符合国家法律要求;另一方面,子公司的安全生产事故除带来经济损失外,还会严重影响集群型企业的经营战略规划,有的甚至会使企业退出某区域的发展。因此,集群型企业应依据企业的发展战略规划与实际情况,有重点地对各子公司和生产企业进行安全监管,以尽可能减少和规避企业经营风险。
4 安全监管驱动力分析
矿产资源集群型企业的安全监管是十分必要的,是由母公司和各矿山企业组成的系统管理工程。它不仅关系到矿山从业人员的生命安全,还关系到企业或集团的可持续发展和社会的安全稳定。对安全监管的驱动力分析能够更好地掌握矿产资源集群型企业安全监管的重要性。辩证唯物主义将事物发展原因和动力分为内因和外因,20世纪80年代美国旧金山教授H.Weihric提出的SWOT分析理论也是从内外部条件来进行分析。因此,可以将集群型企业安全监管驱动力分为内部驱动力和外部驱动力。
4.1 内部驱动力
内部驱动力来源于企业或集团内部,具有主动性和本质性,是安全管理的第一驱动力,本文认为其主要包括管理要求、员工安全需求和减损增效3方面因素。
(1)内部管理系统要求。在具有一定规模的集群型企业中,尤其大型集团,往往会有自身的企业管理体系。其管理范围不仅包括财务、销售、采购等方面内容,成熟的管理体系还会对安全管理方面提出具体要求,明确各级公司的具体安全管理职能和责任。作为集群型企业的母公司,其所负有的便是监督管理职能。
(2)员工安全需求。美国心理学家马斯洛(Abraham Harold Maslow)在1943年提出了著名的需要层次论,指出了人的5类需求,即生理需求、安全需求、社会需求、尊重需求、自我实现需求,其层次性如图1所示。
安全需求是指人具有保障自身安全、避免职业病侵袭、免于灾难等方面的需求,这种需求是源自本质上的,是除生理需求之外的最基本的需求,可以通过外部条件满足。员工生理和安全需求得到了满足,才能够充分发挥其主观能动性,创建良好安全文化,提高企业生产效益。
(3)减少安全事故和损失要求。安全事故造成生命安全的同时,往往伴随着较大的财产损失。对于企业来说,往往包括材料、设备、人员误工损失,以及因此造成的信誉受损等。安全监管是企业管理的重要职能之一,其目的是通过对企业安全管理的作用,减少或避免安全生产事故,保护生命及财产安全。企业为建立可持续发展体制,应立足于以人为本,从经济效益出发获取最大的安全保障。
4.2 外部驱动力
外部驱动力一般指来自外界环境的影响,主要包括国际劳工组织要求、国家法律法规要求和市场竞争环境要求3个因素。
(1)国际劳工组织要求。加入WTO后,国际劳工标准对我国矿业竞争提出了更严峻的挑战。我国的矿业安全状况与发达国家相比存在较大差距,短时很难达到所谓“公认国际劳工标准”,落后的局面已使我国一些矿业公司在国际交往中处于被动,如21世纪初,世界国际煤炭组织曾号召世界煤炭进口国家联合抵制进口“中国带血的煤”。良好的安全生产水平已成为矿产资源集群型企业迈向全球发展的重要条件之一。
(2)国家法律法规要求。在诸多国家相关法规文献中,对集群型企业的安全监管主体提出了明确的要求。
《中华人民共和国安全生产法》指出:生产经营企业要加强安全管理,建立、健全安全生产责任制度,完善安全生产条件,企业主要负责人对安全生产工作全面负责;矿山、建筑施工单位和危险物品的生产、经营、储存单位需设置安全生产管理机构或者配备专职安全生产管理人员,对于其他单位,从业人员超过300人的,应当设置安全生产管理机构或者配备专职安全生产管理人员;从业人员在300人以下的,应当配备专职或者兼职的安全生产管理人员。
建设部下发的《关于进一步搞好企业集团试点工作的若干意见》指出:企业集团中母公司应完善资本营运职能,可以根据国家行业管理要求和企业经营特点,确定考核子公司的经济指标、营运服务和安全生产指标。
国资委《中央企业安全生产监督管理暂行办法》指出:中央企业对独资及控股子公司的安全生产履行监督管理责任,包括下属公司的安全生产条件具备情况、组织机构设置情况、责任制和规章制度建立情况、安全投入及隐患排查治理情况、应急管理情况等;对于项目建设、收购、并购、转让等影响安全生产的重大事项要实行审批制度。
《国务院关于进一步加强企业安全生产工作的通知》中明确:在规范企业生产经营行为时,要严格落实投资主体的安全生产监督责任,即母公司在经营活动中具有明确的安全生产监督责任;第29条还指出,企业发生特别重大事故,除追究企业主要负责人和实际控制人责任外,还要追究上级企业主要负责人的责任;触犯法律的,依法追究企业主要负责人、企业实际控制人和上级企业负责人的法律责任。
(3)市场竞争环境要求。除政府部门的监管和法律要求外,对于参与国际贸易的矿产资源集群型企业,其安全生产状况直接影响着企业的市场竞争力。20世纪90年代以来,全球经济一体化,美、欧等工业化国家为保护其竞争利益,在自由贸易区协议中规定只有采用同一劳动安全标准的国家和地区才能参与贸易区的贸易活动,抵制以降低劳动保护投入或低标准的发展中国家。
综上所述,可以将安全监管的内、外部驱动因素列表如表1所示。
5 矿产资源集群型企业安全监管特征分析
矿山企业集群化是现代企业发展的必然趋势,其既具有企业集团的共同特性,又因矿山领域的经营模式和高危性而使其安全监管与其他经济组织形式相比,具备一些独有特征。总体而言,其安全监管特征可描述如下。
(1)安全监管对象的多法人性。母公司通过产权、契约关系将各子公司联结在一起,并采用股权、财务、投资、人事和制度等手段控制或影响其他企业,同时各成员企业具有独立法人资格,具有相对独立的经营地位和决策能力,自主经营、自负盈亏。但是如同企业重大财务决策需经上级企业批准,各成员企业的安全生产管理受上级企业监管,服从上级企业安排。
(2)安全监管工作的多层次性。母公司与各子公司通过投资、控股、参股、联营等方式形成集群整体,其紧密程度依据控股程度不同而各异,具体包括核心层、紧密层、半紧密层和松散层。因此,其安全监管也应根据紧密程度有主次、有重点、有层次,当然,安全监管的层次性不完全依据紧密程度而确定,还应考虑各成员企业的安全管理风险大小。
(3)安全监管对象的高危性。矿业属于高危行业,矿产资源的开发涉及恶劣的生产环境、复杂的地质结构、多种重大危险源、现有的开采技术工艺条件等,作业人员承受着多种的危险、有害风险。
(4)安全监管的优势性。企业间交叉控股、参股及关联等方式形成法律上的纽带结合,促成整体规模优势,发挥内部协调机制作用,具体包括资本投入、人力资源、安全文化、安全专业技术等方面。集群型企业有较丰富的专业和技术资源,能够提供较好的服务平台,发挥集群型企业的安全监管优势。
(5)安全监管目标的一致性。任何工作都是为企业的战略目标服务的,集群型企业的安全监管目标与各成员企业一样,都是为实现集群型企业的安全生产目标。
(6)安全监管对象的多元化及跨区域性。20世纪90年代以来,集群型企业迅速发展,规模逐渐扩大,不断围绕核心竞争力在横向和纵向拓展,原有的单一产业和区域经济已满足不了企业发展要求,产、供、销一体化及上游产业链延伸已成为当前趋势,成员单位地理区域分布广泛,这也是集群型企业充分利用优势,优化资源配置,提高规模效益,降低投资风险,从而增强竞争能力的必然途径。企业的多元化及区域化经营给安全监管带来了更大的挑战。
6 结语
矿产集群化开发模式是采矿业发展的必然趋势,其安全生产状况主导着整体的安全生产形势。只有明确安全监管的组成要素、职能作用、内外驱动力,以及基本特征,并于实际生产中,真抓落实,认真履行,矿产资源集群型企业的安全监管,才不致成为空谈。
参考文献:
[1]国家工商行政管理局.企业集团登记管理暂行规定[S].北京:国家工商行政管理局,1998.
[2]刘 霞.中小企业安全监管对策研究[D].浙江:浙江大学,2008.
[3]张 磊.中国石油安全分析与对策研究[D].天津:天津大学,2007.
[4]Abraham Hraold Maslow. A theory of human motivation psychological review [J] . Psychological Review, 1943.
1.1物理环境安全分析
信息中心机房安全对医院信息系统异常重要,它是承载整个信息系统的基础条件,直接影响信息系统能否正常工作。同时,中心机房工作环境影响设备能否长期正常工作。根据调查,机房环境温度每上升1度,计算机系统寿命减少一半;机房湿度低容易产生静电,大量静电容易损坏电路芯片,湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看,物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中,设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求;物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求;系统物理安全主要包括:灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。
1.2网络安全分析
在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护,但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大,大规模DOS侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题,由于网络安全引发重要数据的丢失、破坏,将造成难以弥补的损失,严重影响到医院网络的正常运行。从等级保护要求方面,网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。
1.3主机安全分析
主机是医院信息系统的主要承载硬件设备,其安全性不言而喻,主机安全主要涉及:身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面:一方面是针对操作系统的后门、木马与病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务攻击等方面;另一方面是针对数据库的审计记录不足、拒绝服务、数据库通讯协议泄露、身份验证问题等方面。
1.4数据安全分析
数据库是医院信息系统数据存储的核心,从某种意义上说,医疗数据安全是医院信息安全的最主要防护重点,是整个安全防护的最重要核心。数据涉及到信息覆盖面广,数据量大,信息种类繁多,要保持每天24小时不间断运行[2],一旦数据破坏或丢失,都会给医院造成不可估量的损失。
1.5应用安全分析
众所周知,我国信息安全采用信息安全等级保护制度,按照应用系统的安全等级进行划分,应用系统是等级保护的核心,所处的IT环境包括主机、数据库、网络传输、物理等,这些因素从客观上增加了应用系统的安全风险,这些风险是必然存在的。应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的API接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。
2医院信息安全防护措施
2.1加强安全意识教育
人是信息安全环节中最重要的因素[3],既是信息安全最大的防护者,也是信息安全问题的制造者。不仅要加强医务人员和信息管理人员自身的信息安全教育,同时也要提高信息安全意识。要做到思想上认识到信息安全工作的重要性,进一步确立信息化条件下医院信息安全防护的指导思想。通过开展信息安全教育,把人员思想与单位制定的信息安全标准、规范、制度等紧密结合,高度统一。建立健全信息安全教育相关培训制度和机制。
2.2建立完善的安全管理体系
加强医院信息系统安全防护制度建设、加强和建立技术防护规划和体系建设、建立人员安全防护体系、建立资产管理体系。形成制度、技术、人员管理和资产管理相结合的立体安全防护体系。信息安全工作要根据医疗行业、军队、国家的相关信息安全要求,从信息安全工作的宏观出发,着手微观。宏观上要制定总体方针和安全策略,建立起整套的信息安全管理机构。微观上要制定信息安全管理机构的工作目标、工作的边界、工作的原则、建立信息系统安全域以及信息系统的安全框架。完善安全管理活动中的各类安全防护标准、制度、规范以及工作流程。应设立专门的安全岗位并确定职责,应成立指导和管理信息安全工作的领导小组,其最高领导由单位主管领导委任或者授权。同时,应根据国家和行业的信息安全要求,例如:信息安全等级保护、风险评估等建立起适合本医院的信息安全等级保护制度基线。从应用系统定级到测评和改造建立起一套行之有效、适合自身的等级保护测评制度和流程,形成完善的信息安全生命周期环,使医院信息安全建设能够伴随着应用系统建设不断滚动健全。
2.3建立完善的安全技术体系
我国信息安全等级保护要求,以信息系统作为定级和保护对象,从物理安全、网络安全等5个层面进行了不同等级间、细颗粒度的具体要求。医院信息系统按照信息安全等级保护标准进行安全防护建设,从机房和网络的公共基础安全防护到数据和应用的系统化安全防护,医院信息系统安全防护主要分为以下几个环节进行防护:
2.3.1物理防护层面
机房属于信息安全等级保护中规定的物理部分,它承载着应用系统所依赖的IT硬件环境,因此机房位置的选择至关重要,从等级保护测评细项上要求机房所在楼宇需要对防震、防雨、防风等进行强度要求。同时为避免内涝和雷击的危险,机房要求避免设置在地下或者顶层。同时,机房是IT资产的重要区域,要求相关人员进出要有门禁控制和相应的音视频监控,对出入人员进行鉴别、控制、记录。在物理机房防护上还应注意防火、防盗窃和防破坏等。具体措施可根据医院实际情况进行整改建设。
2.3.2网络防护层面
网络是整个信息化工作的高速公路,承载着各种业务。目前各医院医疗工作基本实现无纸化,医疗数据传递依靠网络系统,一套业务处理能力强、带宽高且有冗余的网络系统才能够满足医疗业务高峰需求。应根据应用需求建立网络安全访问路径,对客户端和核心服务器间进行路由控制,对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段,并对不同网段按照重要程度划分安全域。根据医疗业务、管理业务等系统进行数据流向的访问控制,建立端口级的细粒度控制。应能够对网络系统中的流量、设备状态,用户访问行为进行控制和记录,并能够根据记录数据进行分析,生成审计报表。对非授权设备私自连到内部网络的行为进行检查,并确定位置,进行有效阻断。应能够在检测到攻击行为时,记录攻击源IP、攻击类型、目的、时间等,在发生严重入侵事件时进行入侵报警进行防范。同时,还要在网络边界处对恶意代码进行检测和清除,做到边界层的恶意代码防范。
2.3.3主机安全防护层面
应对登录操作系统和数据库系统的用户进行身份标识和鉴别,要有防假冒和伪装的功能,针对登录失败要具有结束会话、限制非法登陆次数和自动退出等措施。应对管理用户进行三权分立设置,根据管理用户的角色分派权限,实现管理用户的权限分离。应能够对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计,进行防抵赖等功能设计,杜绝管理人员带来的安全风险,应能对主机进行入侵防范,在遭到攻击时能够记录入侵源IP、攻击类型等。应对主机进行恶意代码防护,并与网络恶意代码防护采用不同的恶意代码库。应对服务器主机资源包括CPU、硬盘、内存、网络等资源使用情况进行监视。
2.3.4数据安全层面
应能够保证数据的完整性、保密性、可用性。对医疗数据在传输和存储过程中能够检测到数据完整性是否受到破坏。应对重要业务数据进行时间小颗粒度的数据备份,同时要做到异地数据备份和备份介质场外存放。要采用冗余技术设计网络拓扑,避免关键节点、数据节点存在单点故障[4]。同时应对数据所承载网络设备、通信线路和数据处理系统进行硬件冗余,保证系统的高可用性。
2.3.5应用安全层面
从未来看,企业安全将会发生一个大的转变:即以“信息和人”为中心的安全策略,结合全面的内部监控和安全情报共享。全方位的内部监控和安全情报是保护信息安全的主要手段。实际的安全工作中,很多用户知道要严防死守外部侵袭,但往往忽略了内部威胁对系统造成的破坏,实际上大多数安全威胁都来自内部。外部的防御与内部的控制(内部异常行为的发现与处置)都很重要。
针对外部的攻击(即外防),主要通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策,并通过网络安全设备或终端上的安全软件来执行决策(Action),达到针对高级攻击的防范。
内部异常行为的监控(即内控):内部的异常行为造成的破坏是安全事故最大的来源,外部攻击者发起APT攻击,其中的部分环节Delivery、Exploitation、Installation、Command and Control(C2)、Actions onObjectives都需要通过“内部行走”才能接触到敏感数据达到盗取或破坏的目的;同时企业内部的威胁源包括可能准备离职有恶意的内部人员、内部人员的长期慢速的信息泄露、内部攻击也可能由具备内部访问权限的合作伙伴或者第三方发起。
如果通过制定不同的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,并发现异常,情景感知(Context-Aware)是安全监测的很重要触发点。
外防:威胁情报
大家谈到APT的监测与防御时,其实最难的是“P”,攻击者可以花足够长的时间来进行“低速”攻击,传统的监测手段不可能发现,同时要做审计的话需要足够长时间的数据,这个数据到底多大又是个问题。没有集体共享的威胁和攻击的情报,单个组织将无法保卫自己。Gartner也预测为大量企业提供可视化的威胁和攻击情报的安全服务商将更受市场的欢迎。安全情报以“空间”换“时间”,用协作来应对APT攻击的“P”。
针对外部的攻击,通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策(action),并通过网络安全设备或终端上的安全软件来执行决策。整个过程可以通过机器的自动化执行。
威胁情报一般包括信誉情报(错误的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等,这些都属于典型的安全威胁情报。
而随着新型威胁的不断增长,也出现了新的安全威胁情报,例如僵尸网络地址情报(Zeus/SpyEye Tracker)、Oday漏洞信息、恶意URL地址情报等。这些情报对于防守方进行防御十分有帮助,但是却不是单一的一个防守方自身能够获取和维护得了的。
因此,现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。
内控:情景感知
对比2013年和2014年的Gartner技术成熟度曲线可看出,情境感知(Context-Aware-Security)从谷底区到稳步攀升期的一个快速转变。
情境主要指“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。情景在这里包含的因素有Who、What、To-What、When、Where等。情境分析首先关注审计客体和审计动作,以What和How为主要关联对象。
简单的情境可包括:
Who,低信誉的用户(比如已经中毒的用户,发现存在攻击行为的用户);
What,来自IT不支持的Linux客户端的访问(客户端都是Win7,突然来了个Linux来访问自然不正常);
To What,对敏感数据的访问(是否访问的是敏感数据);
When,周日凌晨的访问(这明显不是工作时间,访问也明显异常);
Where,来自没有业务的海外(这也很明显异常)。
常见的异常情景比如:登录异常行为包括:异常时间、异常IP、多IP登录、频繁登录失败等行为。业务违规行为:包括恶意业务访问、业务只查询不办理、高频业务访问、业务绕行等等。共享账号:一个账号短时间换IP,一个IP登了多个账号等。
下表列举了认证登录情景中主要关心的一些要素点:
安全分析是核心能力
大数据时代数据的采集、存储、分析、呈现等等,很少有一家能完全做得了,通吃也真没必要也没能力,从细分看,做采集的可能有集成商或服务商来完成实施工作,做存储的有擅长Hadoop的来做,做分析层的需要有懂业务、了解安全的服务团队做的插件或APP来完成,数据的呈现又是专门的团队来做。
数据是金子,对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。比如关联分析:用于在海量审计信息中找出异构异源事件信息之间的关系,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现可能存在的违规行为。
比如数据挖掘:基于适当的算法来对数据集进行聚类分类,能够区分异常行为和正常行为。就上图而言,中间的分析层,业内做得好的很少,这个也是数据分析师能充分发挥作用的地方。
事实上,一种理念的盛行往往是对已经存在的实践的总结和提升。无论是威胁情报也好,情景感知也好,事实上其核心技术在业界早有实践,只是没有如此清晰并且成趋势的被总结和表述出来。
WebRAY在从事Web安全的实践过程中就已经在我们的系列安全产品中融人了安全情报体系。
WebRAY在“烽火台”网站监控预警平台体系中内置了全球的IP信誉库,并且每天更新200万条信息。监控平台会把IP信誉体系更新到各个授权防护节点,并且以可视化形态展现web访问者的信誉,从而为用户提供决策依据,将攻击扼杀在萌芽之中。
而从另一个方面,Web应用防护系统,又是非常宝贵的情报收集源头。通过我们遍布全国的4000多台WAF设备,将攻击情况定期汇总到“烽火台”系统,并通过我们的安全团队进行识别和挖掘,从而形成新的额IP信誉库,更新到烽火台,并同步到全部的WAF系统上。
当然我们也希望有一天可以把我们的威胁情报转化成直接的信息资产有价的提供给其他安全企业、管理机构和最终用户。威胁情报的直接商品化是必然的趋势。
根据会议安排,我代表计量分中心作表态发言。
半年来,计量分中心在公司的正确领导下,在各相关职能部门的大力支持下,分中心紧紧围绕公司年度总体工作目标,在夯实安全生产为基础,以计量延伸管理为重点,强化电能计量技术,确保电能计量装置准确、可靠运行。通过分中心全体干部职工共同努力,较好地完成了上半年安全生产工作任务。为确保全年目标任务顺利完成,下半年我们将突出估好三个方面的工作:
(一)严格管理,确保安全生产局面稳定
1、认清安全形势,强化安全责任。认真执行《安全生产上岗到位责任制》,把上岗到位确保作业现场安全放在各项工作首位,确保安全生产可控、在控、能控。
2、加强施工检修现场安全管理。坚持施工检修施工公示上报制度,严格执行工作票制度和施工作业票制度。在安装计量装置或检修维护用电终端工作中,严格执行《湖北省电力公司低压两票实施细则》。现场工作负责人及安全员必须履行安全职责,监督好运行管理单位的安全措施布置。
3、进一步加强施工现场安全监管工作。进一步规范施工作业流程,开工前,工作负责人要组织召开班前安全分析会。要对所采取的安全措施进行认真细致的检查,要加强作业过程的安全监护。全部工作完毕后,经竣工验收合格后方可报告完工。
4、加大安全稽查力度。继续以安全稽查作为现场安全监控的重要手段,加大安全稽查力度,加大违章处理办度,严格执行违章扣分标准,坚决遏制违章行为。
(二)细化举措,做好迎峰度夏期间维护抢修工作
加强抢修值班管理,严肃值班纪律,严格执行带班制度;加强抢修装备管理。认真清理抢修装备,确保所需设备、设施数量和种类满足现场需要,狠抓加强抢修过程的安全管理。严格履行工作票卡相关手续,不得采取工作完工后补填抢修单等形式应付检查,一经发现,按无票工作论处。
(三)精抓细管,继续做好计量管理工作
1、加强新装用户计量安装管理,为优质用电客户开辟 “绿色通道”,尽快使用户用电设备投运送电,为公司的售电量增长奠定基础。
2、加快公变、专变用户表计终端故障处理工作,提高线路、台区线损考核力度。
3、督促各所加快表计轮换工作进度,顺利完成市公司下达的里程碑改造计划。
4、加强计量生产管理、延伸管理、资产管理工作,努力为公司营销全面精细化考核评分工作取得优秀成绩。
2010 年 10 月份, “超级工厂” 网络病毒在包括我国在内的多个国家肆虐,超过 45000 个工厂网络被“超级工厂”病毒感染。以伊朗为例,超过 60% 的电脑受到干扰,造成了极大的经济损失和信息危机。与传统的 “蠕虫”和 “木马”网络病毒不同,“超级工厂”病毒攻击的不仅仅是抽象的 IT 系统,它不以搜集个人信息为目的,其目标就是真正的工厂,通过对 PLC 重新编程,隐藏程序员和用户的参数设置和命令,从而达到袭击工厂关键设备和生产环节的目的。“超级工厂”病毒的出现使人们对于工厂的网络安全有了新的认识: 网络病毒不再只是导致计算机操作系统异常那么简单,而是实实在在地威胁到了工厂的控制系统内部实质。造纸厂集散控制系统 ( DCS) 系统[1]的核心架构离不开网络体系: 主控制器和分布式 IO 站点之间通过现场总线进行数据读写和诊断; 服务器通过系统总线与主控制器通信; 各种操作站,包括 web 服务器等,通过终端总线从服务器上获取数据。工厂规模越大、自动化程度越高,DCS 系统的网络规模也就会越大,复杂程度也会越高。如果还存在 MES/ERP 系统,那么整个 DCS 网络还和办公室网络、甚至 Inter-net ( 因特网) 直接链接。此外,如何还需要和成套设备的控制系统通信,DCS 系统还需要开放 OPC 等通信方式,甚至在某些特性情况下,主控制器都可能被第三方子系统访问。由于系统配置的缺陷,操作员日志缺失或者不完善,导致各种匿名访问和操作变得不可追溯。管理上的疏忽,导致未经许可的个人电脑、移动存储设备、Internet 连接接口等轻易接入到生产网络中的交换机设备上,导致各种病毒、木马程序泛滥,严重者将直接导致整个 DCS 系统崩溃。随着系统的自动化程度不断提高[2-3],由于安全配置和系统的缺失、管理制度上的不重视都将会使整个 DCS 系统置于一个危险的境地。本文以西门子PCS7 的典型配置为例,探求相关的网络安全解决方案。
2造纸厂典型 DCS 网络系统结构
2.1系统结构
在浙江宁波某造纸厂的 PCS7 系统中,采用的是典型网络架构,如图 1 所示。从图 1 可看出,造纸车间子网 ( 图 1 左侧) 和制浆车间子网 ( 图 1 右侧) 是两个相对独立的控制网络,每个网络中有独立的冗余服务器,各自的系统总线 ( 服务器和控制器之间的总线) 也是完全隔离的。两个车间都分别配置了一个工程师站,负责各自的程序管理和故障诊断。在终端总线 ( 服务器和客户端操作站之间的总线) 上,各个车间的操作站都是对应其所在车间的服务器,从服务器上获得画面和数据。但这两个车间的终端总线是连接在一起的。由于存在远程操作的需求,项目中配置了一个 Web 服务器,同时从两个车间的服务器上获取数据并到网络上。通过 Inter-net 的网络用户使用 IE 浏览器和相应的插件即可和本地操作站一样打开控制画面,如果权限分配合适,还可以进行相应的操作。为了使用的方便性,在工厂的办公室网络中还存在几台临时性的操作站。如有需要可以接入到系统总线上查看 CPU 的实时运行数据,也可以直接接在终端总线上和服务器、客户端操作站进行通信。在这个典型的网络配置中,外部 Internet、内部办公室网络都可以和控制系统网络进行数据交换。同样地,各种病毒、木马软件等也完全可以威胁到控制网络。所以,有针对性地分析不同网络的安全特点,就可以更好地采取相应的处理措施。
2.2控制网络的安全分析
在典型的 PCS7 网络体系中,控制网络主要由系统总线和终端总线两部分组成。系统总线中的通信设备包括工程师站、OS 服务器和控制器,它们之间的通信内容主要包括如下几个方面:( 1) OS 服务器和控制器之间这部分的通信主要是周期性数据请求和应答,画面上 WinCC 变量的更新和归档变量的读取属于这种通信方式,此外还存在少量的控制器上传报警信息、资产管理系统读取仪表的诊断信息等非周期性内容。( 2) 控制器和控制器之间一般控制器之间是不会有数据交换的,如果组态了通信,那都是基于链接的,数据量不大,而且都是周期性的。( 3) 工程师站和控制器之间在偶尔硬件诊断、程序更新时工程师站会和控制器进行数据交换,在正常运行时,这部分通信很少,而且和 DCS 系统正常运行无关。上述的 3 种通信中,共同的特点就是数据量相对较少,而且内容基本都是监控、诊断相关的数据。也就是说,控制网络的主要功用是承担监控层面———例如服务器等———和控制器本身的通信桥梁。所以,可靠性是这个网络最主要的安全配置目标。确保控制网络可靠,就可以让 DCS 系统控制层面一直处于安全可控的状态,避免设备损毁、人员伤亡等恶性事件发生。
2.3办公室网络的安全分析
与控制网络不同,办公室网络节点之间的通信呈现出的特点是数据量大、非周期性。各种私有数据、DCS分析数据等是这个网络的主要数据内容。另一方面,办公室网络都会直接和 Internet 相连,面临的外部攻击、病毒感染更为复杂。如何确保办公室网络中的信息安全是安全配置的重点。
2.4外部 Internet 的安全分析
外部 Internet 是一个完全开放的网络,各种通信形式都存在,对于 DCS 系统而言,完全处于不可控的状态。面对这个情况,限制外部访问是最常见的处理措施。例如以 Web 服务器而言,外部的 Web 客户端都是通过 HTTP 协议来访问 Web 站点的,所以在 Web服务器上只需要开放 HTTP 的 80 端口即可。综上所述,DCS 系统中牵涉到的不同网络有各自不同特点和安全配置重点,如何平衡各个网络的安全防御措施,以及如何优化系统安全架构是讨论的核心内容。
3网络安全措施分析
3.1安全管理体系
全厂 DCS 系统的网络安全,各种配置和相应的安全设备是必需的,但其核心内容是一套行之有效的安全管理体系。据国外统计,导致 DCS 系统崩溃的原因之中,硬件故障排在首位,而由于安全原因导致的崩溃也占了近三成。这些因为安全原因导致 DCS 系统不可用的实例在我国也很常见,如使用感染有病毒的 U 盘、安装来历不明的软件、未经许可地将个人电脑接入控制系统网络等是最为常见的威胁来源。为了控制和避免这方面的安全隐患,采取相应的技术手段是必要的。例如禁用计算机的 USB 接口,网络交换机柜上锁,计算机用户权限限制等。但这是远远不够的,所有的技术方案如果没有相应管理上的流程来保障,在面对威胁时同样形同虚设。国内有一石化公司,投入巨资建立了全厂的安全系统,但没有具体的管理体系。在一次技术升级过程中,第三方光纤供应商直接使用自己的笔记本电脑接入到了控制网络来测试光纤是否工作正常,结果导致服务器感染病毒死机,造成了巨大的损失。如果该工厂有相应的管理流程,让光纤供应商的笔记本电脑在接入网络之前要进行相关的检测,或者在升级过程中采用将可能的危险区域从这个控制网络中隔离出来等措施,就会避免网络病毒的感染。所以,在 DCS 网络安全系统建立过程中,首先需要建立的就是自上而下的安全管理规章流程和相应的应急处理预案。只有这样,后续的安全解决方案才能有制度上的保障。
3.2病毒防护和软件管理
对于 PCS 7 系统而言,兼容的反病毒软件有 3 种:Trend Micro OfficeScan、McAfee 和 Symantec。只有兼容的杀毒软件才能在 DCS 系统中使用,其他的杀毒软件,例如瑞星等可能会将正常的软件程序删除。防病毒软件需要及时更新病毒库。更新病毒库有单机方式和病毒服务器方式这两种方式。( 1) 单机方式从反病毒软件网站上获取相应的离线病毒库升级包,然后临时开放各个计算机的 USB 接口,将升级包拷贝到计算机上安装,或者通过网络分发到各个计算机上,然后执行升级。这个方式操作起来较为繁琐,而且安全上的风险较大。但相对成本和技术难度而言都比较有优势。( 2) 病毒服务器在 DCS 系统中配置 1 台病毒服务器,该服务器连接到 Internet,并从指定的病毒库升级网站上下载更新包。根据配置,对网络中各个反病毒软件客户端进行自动升级。这种方式需要配合防火墙使用,技术难度稍大,但病毒库升级都是自动执行,无需人为干预。与反病毒软件一样,计算机操作系统和其他相关软件也需要保持更新。在 PCS 7 中,操作系统的 Se-curity Package 和 Critical Package 是可用的,所以也可以采用单机或者升级服务器的方式来安装这些更新包。通过微软的 WSUS ( Windows Server Update Serv-ices) 软件可以在系统中搭建一个升级服务。
3.3防火墙配置
在宁波某造纸厂的网络配置中,Web 服务器是需要与 Internet 连接的。如果再配置了 WSUS 和病毒服务器,那么整个系统中至少存在 3 个通往外部的接口。再考虑到办公室网络,面向 Internet 的将是一个规模不小的 LAN。将整个工厂网络和 Internet 隔离是一个不错的选择,即将包括 Web 服务器和办公室网络在内的所有DCS 系统相关网络都通过防火墙与 Internet 断开。分析 Web 服务器和病毒服务器,其对 Internet 的访问进程是明确的,开放端口也是确定的,所以采用端口限制的防火墙规则可以起到一定的防御作用,但面对诸如 “端口复用”技术手段来实现的病毒突破则是无能为力的。同样的情况也出现在办公室网络中,不明确的访问需求和端口导致这种限制端口的手段更是无从谈起。更为严重的是,WinCC 的服务器和客户端通信,例如 Web 服务器和 OS 服务器之间的通信,其端口是变化的。所以要确保通信正常 Web 服务器对 OS 服务器要开放所有的端口,这就意味着任何突破了 Web 服务器的威胁都必将直接影响到 OS 服务器。基于此,当前网络安全领域通常的处理措施就是 “纵深防御 ( De-fense-in-Depth) ”, 即采用多种不同的方法,对目标实施层层防护,尽可能多地为攻击者 ( 黑客,恶意软件,破坏者等) 造成多重障碍。任何一种单一的防御手段都不足以保证目标的安全,而 “纵深防御” 体系中,即使外部的攻击者能够突破一种或者几种防御屏障,也很难突破所有的屏障并最终抵达防御的目标。采用防火墙搭建的 “纵深防御”结构如图 2 所示。从图 2 看出,在这个系统结构中,包括 OS 服务器/客户端/工程师站在内的控制网络都在防火墙的保护之下,而 Web 服务器等在一个 DMZ区域中,其他的办公室网络和 Web 客户端等和 Internet 一样在防火墙之外。这种配置方案中,即使 DMZ 区域因为受到病毒攻击而崩溃,控制网络依旧可以正常运行。完成这样的一个配置,在 PCS7 专用的 SecureGuide 防火墙中只需要简单的几个向导即可完成。
关键词:外商直接投资 产业控制 产业调整 产业分布 策略
历史产业转移对产业安全影响的实证分析
(一)产业结构升级角度的引资的产业安全分析
霍夫曼系数,又称霍夫曼比例,指一国工业化进展中,消费品部门与资本品部门的净产值之比。各国工业化无论开始于何时,一般具有相同的趋势,即随着一国工业化的进展,消费品部门与资本品部门的净产值之比是逐渐趋于下降的,霍夫曼比例呈现出不断下降的趋势,消费资料主要是轻纺工业部门生产的,资本资料主要是重化工部门生产的,因而,霍夫曼对工业结构的研究实际上是在分析工业结构的重工业化趋势。这里我们用霍夫曼系数的倒数测度产业结构的升级,构建如下模型:
Ln(W)=αLn(EXPT)+βLn(IMPT)+γLn(FDIS)+﹠Ln(RESC)+ηLn(GINVC)+λLn(HUMC)+μ,其中,W表示霍夫曼系数倒数,α、β、γ、&、η和λ分别是各解释变量的系数,μ是误差项。
衡量出口对产业的影响:EXPX=EX/GDP,衡量进口对产业的影响:IMPT=IM/GDP,衡量FDI的产业升级促进作用:FDIS= FDI/K,其中,FDIS代表某年FDI带来的产业升级促进效应,FDI、K分别是某年我国的实际利用外资额、固定资产投资总额。
衡量国内研发对产业升级促进作用:RESC=RES/GDP,其中RES是国内研发投入,衡量国内固定资产投资对产业升级促进作用:GINVC=GINV/K,GINV为国内固定资产投资,HUMC=HUM/TPEO,HUM为在校高等教育学生数,TPEO为国内总人口数。
考虑到模型中涉及各项数据的可获性,选取2002-2011年的时间序列数据。
代入数据,得到的实证模型如下:
Ln(W)=5.194+0.389 Ln(FDIS)+0.356
Sig: (0.000) (0.001) (0.001)
Ln(RESC)+0.308Ln(HUM)+6.971Ln(G INVC)
(0.022) (0.085) (0.009)
从模型结果可以看出,外资投资对产业结构升级有促进作用,但并没有起决定性作用,国内投资占据主体地位,这与外资投资很多集中在投资见效快、利润高的轻工业和劳动密集型产品有关。
(二)产业结构优化角度的引资的产业安全分析
当一国经济发展水平较低时,从产值来看,第一产业比重最大,第三产业比重最小;随着一国经济发展及人均生产率水平的提高,第二产业的比重逐渐上升并成为最大的产业;当经济进一步发展时第三产业成为比重最大的产业。构建如下模型测度外资投资对产业结构优化的影响:
Ln(STHI)=αLn(EXPT)+βLn(IMPT)+γLn(FDIS)+Ln(RESC)+Ln(GINVC)+λLn(HUMC)+μ
其中,STHI代表第三产业增加值占GDP的比重,其中STHI越大产业结构越优化。带入2002-2011年的时间序列数据,得到如下模型:
Ln(STHI)=-1.942-0.278 Ln(EXPT)-0.917
Sig: (0.001) (0.050) (0.026)
Ln(RESC)+0.733 Ln(HUMC)
(0.026) (0.002)
从模型结果看,影响产业结构优化的主要是出口贸易、国内研发投入和人力资源,外资投资并不在模型之中,属于被剔除的变量,说明外资投资对国内产业结构优化并没有起到很明显的作用,这与实际情况相符,因为2011年之前外资投资主要集中在第二产业的劳动密集型产品,虽然近年来外资投资第三产业逐渐增多,但仍以第三产业为主。
新形势下国际产业转移趋向的变迁
(一)“逆顺”双向产业转移趋向
亚洲金融危机之后,亚洲许多国家对经济进行了重组,经济结构更加合理,加上近年来亚洲经济的快速发展,并且更重要的是相对其他国家低廉的劳动力,使得亚洲国家已成为外资最青睐的投资区域。2011年东亚以及东南亚经济体的外商投资为3360亿美元,占全球FDI总额的22%。如果涵盖南亚,亚洲外商投资占全球跨境投资的24.6%,比五年前增长了79.6%。可以预计,今后很长一段时间,亚洲区域仍将是发达国家产业转移的主要区域。
与此同时,以美国为代表的发达国家开始重视制造业,积极采取措施鼓励本国企业回流本土,创造更多就业岗位。2008年开始的金融危机对以金融业、房地产业为主体的欧美经济形成沉重的打击,欧美各国意识到以制造业为代表的实体经济的重要,遂逐步开始推行“再工业化”战略,重振本国制造业。2009年美国颁布《2009年美国复兴与再投资法》,推行降低公司税等政策刺激制造业回流;鉴于贸易逆差的出现,2011年日本政府开始出台措施,减少制造业流失;德国、英国等欧美国家也积极投入调整产业结构,重振制造业。
因此,始于2009的年这一轮产业转移具有“逆顺”双向产业转移的独特特点,而这一趋势未来一段时间都将成为产业转移的主流,直至主要发达国家产业架构重塑,稳固制造业的地位,进而有所转变。
(二)产业转移中外资在中国产业投资中的转向
1.外资在中国制造业投资中的撤离。受新一轮产业转移的影响,随着我国人力成本的上升,以及人民币的不断升值,我国制造业原有的成本优势已经逐步弱化,外资在中国的投资开始出现调整,制造业对外资的吸引力已逐步下降。根据商务部统计,2011年11月以来中国吸引外商直接投资一直同比负增长。同时,越南、缅甸等东南亚国家正以更加低廉的工资水平吸引大量中国制造业外资向他们转移。另一方面,一部分外资投资开始回流到发达国家,这些因素造成了我国的外资企业开始出现撤离现象。
2.外资在中国产业投资中的方向调整。虽然外资在中国制造业中出现撤离,但中国吸收外资的前景不容置疑。近年来,虽然劳动力、土地、水、电等各种投资成本不断上升,但也出现交通、电信、产业配套、劳动力素质等投资环境方面的改善。在政策导向方面,2011年中国制定了《关于进一步做好利用外资工作的若干意见》和《新外商投资产业指导目录》,规划市场进一步开放,鼓励外商投资现代农业、战略性新兴产业、现代服务业和高技术产业,扩大了外资在国内市场的准入范围,从引资向选资转变,优化外资结构。同时,外资企业中对技术要求较高的电子信息制造企业,开始选择把企业转移至中国中西部。
产业转移趋向变迁中的产业安全问题探讨
(一) 中国制造业面临的国际竞争加剧
越来越多的发达国家制造业回流,新兴国家的产业升级日益加速,全球制造业竞争势必加剧。2012年,美国和欧盟等西方主要发达国家加大对本国制造业回迁的吸引力度。一些大型跨国公司进一步调整全球生产战略,将部分生产能力回迁本国。外资,特别是大型跨国公司回归本土,对中国制造业来说形势严峻,这意味着中国制造业今后将遭遇更加强劲的对手。
另外,随着印度、巴西等新兴国家的制造业不断朝微笑曲线两端发展,东南亚等新兴制造业国家和地区劳动力成本、汇率和政策优势日益突出,我国制造业面临的国际竞争将越加严峻。
(二) 外资撤离对当地制造业安全影响
新一轮产业转移下,外资主要从我国的制造业撤离,这对当地的产业安全会有所影响,因为在很多地区外资企业是龙头企业,或在产业集群中占据领导地位,外资企业的撤离会影响该区域产业发展的协调,特别是在一个产业链中,外资企业的撤离必将破坏产业链的运转,那么这种情况下不单单是外资企业的撤离问题,而是影响当地产业发展等诸多问题,至少会延伸一段时间。如我国产业集群主要分布在东部沿海的长三角、珠三角、环渤海等区域。长三角、珠三角和环渤海地区是产业集群最为密集和最有影响力区域,集群数量占全国的集群数量的90%左右,而各个产业群都有大量外资存在,外资的撤离对这些产业集群区域会产生重要影响,影响程度取决于外资企业在产业集群中的地位和数量,同时也要取决于当地本土企业的实力和替代程度,如果本土企业实力较强,潜力较大,替代较为迅速,则外资撤离对当地产业安全影响较小,而如果本土企业不足以或短期内不足以弥补外资撤离领域,则该地产业安全存在较大隐患或出现产业发展缓慢、停滞甚至下滑。
(三)新近外资监管问题
随着外资在制造业的撤离以及外资在中国的投资方向和区域调整,一些地区势必要加大引资和留资的力度。如江西、重庆、新疆、海南等省市政府出台“鼓励和支持战略性新兴产业和高新技术产业发展的若干政策”,从土地、园区扶持、财税、优化投资环境等多个方面鼓励和支持战略性新兴产业发展。但在操作中一些地区可能会出现只注重引资,而疏忽对外资的管理,其结果是为外资的进入提供了很多的优惠,对当地的产业升级和调整作用却不明显,并从而压制了本土企业的发展,这一现象如果处理不好,可能会引起当地新一轮产业安全问题。
产业转移趋向变迁中完善我国产业安全策略建议
建立严谨的产业安全预警机制,规避产业风险。必须建立严谨的产业安全预警机制,准确地报道和反映国内产业的安全状况,一旦发现潜在的威胁,及时提出预警,国家政府及相关产业调控部门据此做出反应,防范于未然。发挥行业协会在维护产业安全中的独特作用,政府主管部门要加强与行业协会的联系和合作,为企业创造更多的信息通道,增强企业自身的应对能力,也为政府政策的调整提供一个方向。
继续大力发展中西部,合理引导外资投资。根据两级战略,沿海地区着重发展服务业,中西部地区着重发展制造业的理念,制定相关引导政策,引导外资朝着既定投资区域发展和转移,同时为避免引资过程中的不正当竞争和重复建设问题,国家在区域引资上要严格把关,建议建立审查机构和协调机构,对外资在不同区域的投资进行合理审查和协调,以最大程度的利用外资发展区域经济,又避免不必要的恶性竞争和资源浪费问题。
发展高新技术产业,努力减轻对外资的依赖。加大科研开发投入,走自主创新之路。我国应该借助国外成功经验,必须加快从仿制、引进为主转向走自主研发为主的道路,加大科研投入力度,建立符合市场导向的创新机制,鼓励高校与企业合作,强强联合,由此来实现我国产业创新的不断攀升,打破发达国家对相关产业先进技术的控制,从而培养具有前瞻性的优势主导产业。
促进企业并购和重组,增加企业竞争力。一国的产业安全最终反映该国对本国产业的控制权上,目前我国的产业安全方面有一些危机,其实质还是在于我国的企业竞争力不强。因此,为消除对产业安全的不利,改善这一局面,就必须增强企业的竞争力,建议由政府引导,推动国内企业的并购和重组,组建一批在国际上具有竞争力的旗舰型企业集团,掌握国内市场的控制权,同时企业和产品也应加快走向国际市场,提高在国际市场的影响力,以出口带动发展,维护我国产业安全。
参考文献:
1.王培志,李文博.新形势下中国利用外资对产业安全的影响及对策[J].山东财政学院学报,2008(4)
2.ALAN P.LARSON,DAVID M.MARCHICK.Foreign investment and national security getting the balance right[M], New York:Council on Foreign Relations Press,2006
3.田钊平.基于产业安全视角我国利用外资的反思与制度完善的思考[J].兰州学刊,2009(11)
关键词:网络攻击;防范;数据嗅探;BUG
1、网络安全分析
1.1 数据嗅探
数据嗅探是获取目标网络各种信息的首要技术,主要包括抓包:通过网络监听非法获取用户信息。抓包实际上是在以太网处于混杂状态下通过专门的软件实现对数据包的获取过程;扫描:通过发送报文探测网络中各种主机和服务的状态,准确了解网络中的资产和系统漏洞,一般分为端口扫描和漏洞扫描;操作系统标识:通过Banner Grabbing获取操作系统的各种信息,根据系统对包的回应的差别,推断操作系统的种类;电磁捕捉,通过捕捉屏幕、网线发出的电磁波,还原信息的嗅探手段。
1.2 非法使用
无论有意或无意避开系统访问控制机制,对网络设备及资源进行非正常使用或擅自扩大权限,越权访问信息,都是非法使用的形式。①电子欺骗:假冒合法用户的身份访问资产。电子欺骗最容易造成非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等结果。②暴力攻击:作为一种密码获取的攻击手段,凡是所有能够被穷举的资源都可以成为暴力攻击的目标。暴力攻击类似与前门攻击,黑客试图作为合法用户获得通过,重复向系统发起登陆请求,尝试每一种可能。③权限提升:获得root/administrator密码及权限进行非法的系统操作。常见的方式有:猜root口令、利用NT注册表、利用缓冲区溢出、利用启动文件等。
1.3 信息篡改
信息篡改是以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,其目的是取得有益于攻击者的响应。典型的数据篡改通常发生在Packet Replay(报文重放)、Session Hijacking(会话劫持)、篡改审计数据、主页篡改等情形下。
1.4 拒绝服务
DoS(Denial of Service)攻击是网络上一种简单但十分有效的破坏想攻击手段,通过发送大量攻击报文导致网络资源和带宽被消耗,从而达到阻止合法用户进行资源访问的目的。DdoS攻击是DoS攻击的升级版,采用多对一的攻击方式,攻击原理与DoS相同。
1.5 BUG与恶意代码
BUG是一个程序(代码)的漏洞,它会产生一个隐藏的通道。很多情况下,一个运行在服务器上的操作系统或程序都会存在这样的问题。Backdoor(后门)和Buffer Overflow(缓冲区溢出)是常见的BUG。恶意代码是攻击设备、系统、用户、网络的软件统称,常见恶意代码包括病毒、蠕虫、木马等。
2、网络攻击防范方法
2.1 防范数据嗅探威胁
可以通过验证、改变网络结构、使用反嗅探工具、加密等措施来缓解数据嗅探的威胁。①验证:身份验证是安全的第一道防线,强认证可避免非法用户进入网络进行数据嗅探的行为,具有采用强密钥技术、密钥不易被复制、抗重放攻击、多因素验证等特点。②改变网络结构:合理规划网络环境中数据流的方向和接口,可以延缓攻击者嗅探网络关键数据流的效率。③使用反嗅探工具:通过部署特定的软件,利用网卡的混杂方式探测数据。目前,Sentinel是广泛使用的一种反复嗅探工具。④加密:在无法完全杜绝嗅探工具的情况下,为了防止攻击者探测到有价值的数据,简单有效的方法是对数据进行加密。主要有数据通道加密(IPSEC)和数据文件加密两种。
2.2 防范非法使用威胁
通过过滤、验证、加密、关闭服务和端口等手段实现防范非法使用威胁的目的。
2.3 防范信息篡改攻击
通过各种加密算法、数据摘要、数字签名等技术来确保信息的保密性、完整性和抗抵赖性。
2.4 缓解DoS攻击
虽然DoS攻击很难避免,但可以通过很多技术手段和策略来缓解。①屏蔽IP"由于DoS通常来自少量IP地址,而且这些IP地址都是虚构的、伪装的,在服务器或路由器上用ACL屏蔽攻击者IP即可有效防范DoS攻击。②流量控制:当流向某主机的流量达到一定的阈值时,防DoS攻击系统便会开始按照一定的算法丢弃后续报文,以此来保持主机的处理能力。