企业安全论文(精选5篇)
企业安全论文范文第1篇
安全文化包括安全意识、安全价值观念、安全责任、安全素养、安全习惯、安全目标、安全科技、安全设施、安全监察和各种安全法律法规以及规章制度的总和,其核心是坚持以人为本,珍惜人的生命,保护人的健康,实现人的价值。它是企业安全自觉性的表现,对企业的安全管理起着重要的激励、凝聚、导向和规范作用。企业安全文化是安全行为准则和安全价值的总和,体现为每一个群体对安全的态度、思维程度及采取的行为方式,是全体员工安全素质和良好习惯的体现。安全管理学观点认为企业的安全生产管理大概经过四个阶段,即经验管理阶段、制度管理阶段、风险预控管理和文化管理阶段。其中文化管理是企业安全生产管理的最高阶段,这个阶段,人的健康权、生命权、劳动价值、创造性得到全面的尊重和发挥,是“以人为本”理念得到最充分体现的阶段。
二、风电企业安全文化建设的意义
国内外有关调查资料表明,大多数安全生产事故都是由于人的不安全行为造成的,其造成的事故发生率远超过因安全工作条件不到位造成的事故发生率。其中企业对安全生产的习惯性漠视和生产人员习惯性违章是主要原因。问题主要存在于员工思想上和行为上,而且由于有着复杂的社会文化背景,传统的安全管理方法已经很难解决这些问题了。由于人的安全意识和行为养成都受其对安全文化的感受与认知而支配,所以企业可以通过构建以行为习惯和思想意识为基础的安全文化,并借助文化所特有的广泛渗透力、持续影响力和久经扩张力,从而转变企业各级管理人员和广大员工的安全理念,使管理人员提高对安全生产的认识,使员工养成正确的安全行为习惯,突破制约企业安全生产工作的瓶颈,进而提升企业的安全管理水平,在塑造本质安全人的基础上,实现本质安全型企业。国内外大量实践表明,安全生产状况处于稳定向好的企业,都是已建立和形成了积极有效的安全文化,安全生产系统能够有效地发挥作用的企业;而安全生产状况处于不稳定、波动状态的企业,一般都是企业没有形成安全文化氛围或安全文化消极,安全生产系统的作用难于发挥。安全文化决定着企业安全生产系统各要素是否能够有效地作用,进而决定了企业安全生产系统的有效性,因此,安全文化建设是企业最终解决安全生产问题的重要途径和有效方法。目前,在我国风电企业规模日益壮大的现实情况下,提高员工素质,加强职业道德建设,控制事故的发生率,提升企业的安全管理水平不仅是风电企业实现可持续发展的需要,同时也是社会文明发展的需要。风电企业的安全文化建设得好,不但能使自身在安全运行的环境中实现良性循环,而且能使社会公众对企业建立起信心与信任,使企业的社会形象进一步提高。因此,风电企业的安全文化建设已经超越了企业和行业范畴,成为涉及公众涉及社会的一件大事。作为新世纪的现代化风电企业,更需要先进的企业安全文化的支撑。
三、风电企业安全文化的建设
1.重视“以人为本”。
从组织实施安全工作到制定落实安全制度以及传承与创新安全文化,一切都离不开人的因素,所以说安全工作中最活跃的因素就是人。坚持贯彻“以人为本”的思想是构建企业安全文化新机制的基础。以人为本,就是珍惜人的生命,尊重人的价值,关爱员工的健康安全使其不受到伤害,并且创造条件使每个人都能实现自身的价值。企业要加强教育培训,使员工的包括安全心理素质、安全生理素质、安全技术素质在内的安全文化素质能够得以提高。要想让员工自觉地执行与落实各项安全制度和措施,必须充分发挥广大员工在安全生产中的能动性和主导地位,充分调动广大员工做好安全工作的积极性与创造性,要建立安全工作的激励机制和典型引导机制,为员工营造一个良好的安全生产环境,突出员工是保证生产安全的核心作用。安全文化的最终载体是人,如果员工的思想、行为、技术等不能满足风电企业生产高风险、高技术的发展要求,安全生产就不可能得到有力保证,安全措施就不可能得到有效落实,势必影响风电企业的可持续发展。
2.确立安全价值观。
风电企业开展安全文化建设,要根据企业的价值取向,培育并坚持“安全第一,预防为主”的先进安全价值观,充分运用企业安全价值观来培养员工的安全行为,使其养成文明生产、安全生产的良好习惯。加强企业的安全理念、安全意识、安全哲学、安全口号等的宣传教育工作,使其渗透到企业每一个员工生产、生活的方方面面,让全体员工都理解和认同,使大家自觉关注自己和他人的安全,主动避免不安全行为。企业安全价值观应注重培养“预防管理”的文化氛围,充分体现预防为主的思想,强化员工的安全生产主体意识,鼓励广大员工主动发现安全隐患,勇于报告安全问题,积极提出安全建议,以使事故防范于未然,让大家在实现企业安全价值观的同时,也实现了自身的价值,从而将安全文化理念转变为现实。在“安全第一,预防为主”的总方针指导下,通过企业内部精神的凝聚与整合,变“要我安全”为“我要安全”。并且把这一观念贯彻到企业的每一个工作岗位,以“座右铭”的形式扎根于每一位员工的头脑中。
3.建设本质安全型企业。
本质安全是安全文化的重点内容之一,也是安全管理的核心。它是指在人、机、料、法、环和谐统一的前提下,实现管理无漏洞,系统无缺陷以及设备无障碍。本质安全是提升企业市场竞争力的重要条件。建设本质安全型企业,首先要切实加强安全物质文化建设,加大投入,确保安全设施设备的完备;其次要加强全员安全文化管理,严格审查技术检查人员资质,及时整改安全隐患;再者要及时解决安全技术问题,突出重大安全课题的攻关;此外还要运用高科技手段,提高科技含量,加快企业自动化、信息化和数字化技术的步伐以确保企业生产安全。
4.在安全管理全过程中融入安全文化。
企业现代的安全管理模式中就包括企业安全文化。因此,在企业的战略管理中必须要融入安全文化,增强其共识性与权威性,使其服务于企业的安全战略;在企业的安全思想管理中必须要融入安全文化,使安全理念深入人心,让大家的安全行为成为自觉;在企业安全组织管理中必须要融入安全文化,把责任落实到部门、岗位和个人,严格实行安全责任制,加强安全监管与监察;在企业的安全培训管理中必须要融入安全文化,努力形成一种尊重安全人才、尊重安全知识和人人刻苦钻研安全技术的良好氛围;在企业的安全制度管理中必须要融入安全文化,强化思想教育,使大家充分认清安全法规和规章制度的科学性、预防性、权威性、根本性和稳定性等特点,不断提高广大员工维护和遵守的自觉性,使遵章守规成为一种自觉行为,同时要严格奖惩,对违反安全法规和规章制度的人和事,坚持“四不放过”原则,促使自觉遵守、严格执行安全法规和规章制度的良好习惯能在全体人员中得以尽快建立。将安全文化建设与推行规范化安全基础管理与生产作业紧密结合,坚持高标准、高起点、严要求、重落实。
5.强化企业安全文化的创新。
要认真总结自身的经验不断进行安全文化的创新。企业要将国内外先进的安全文化引进来并加以发展,同时结合现代企业制度和学习型企业的建立以及企业的自动化、信息化、数字化建设不断地创新安全文化。可以邀请外部培训机构对安全知识进行培训,而且还可以在本企业内选拔、训练和聘任安全管理人员、技术专家以加强安全文化知识和信息的传播。此外,要充分发挥模范榜样的示范作用,例如定期开展一些安全方面的“先进集体”、“先进个人”评选活动,安全文化知识竞赛以及演讲比赛等。同时要发挥网络宣传教育的作用,通过公司局域网、报纸、宣传栏、员工手册、安全日活动和各种会议开展形式多样、内容丰富、生动活泼的企业安全文化活动。只有这样,才能让人本管理的思想植根于企业管理人员脑海中,促使管理人员和员工的行为规范得以推进,使企业安全生产价值观得以尽快建立,使企业安全文化得以广泛宣传,安全文化才能成为做好安全管理工作取之不尽、用之不竭的力量源泉和精神动力,才能将一般的安全管理转变为自觉传承和创新的先进安全文化,从而实现企业“安全发展、和谐发展”的目标。
四、营造一个良好的企业安全文化氛围
结合风电企业的实际情况,从以下几个方面营造一个良好的企业安全文化氛围:
1.畅通信息的文化氛围。
企业要及时地传达安全生产方面的信息,并保证相应的层面在规定时间内获得,同时应对安全信息的报告时限、对象、方式等内容加以明确。员工了解自己业务工作范围内所涉及的危害和风险,在工作中不断发现并解决威胁安全的因素,同时还要做到一种及时有效的沟通。
2.公正的文化氛围。
安全生产责任制的制定要按照“纵向到底,横向到边”的原则,对各层级、各岗位人员的安全责任加以明确,切实做到“事事有人负责,事事有人管理”。在实际工作中要做到谅解错误,但是决不能容忍鲁莽的违规违章的行为,同时要让员工清楚并且认可什么是可以接受的、什么是不可接受的。在对待事情的处理上,要采取一种“对事不对人”的公正态度来解决问题。对于所有员工的训练考核赏罚均应一视同仁,就事论事,而非就人论事。
3.汇报的文化氛围。
针对企业规章制度要鼓励员工提出建议和意见,并在论证后进行相应的修订以完善规章制度。此外,针对生产中的一些安全隐患要鼓励员工说出来,企业不应该采取否认、压制或封锁的态度来对待员工汇报的安全担忧、安全问题和相应建议,应该进行分析并采取适当措施改正甚至进行全面的改革。
4.学习的文化氛围。
鼓励员工积极提高自身知识技能水平,运用知识技能更好的确保安全,让员工由一种被动的学习过渡到一种主动学习充实自己的态度上的转变。同时管理者要定期向员工通报安全问题,让员工能够不断的进行思考,群策群力解决问题,并且及时将安全报告反馈给员工,让每个人都从中吸取教训。任何人因为其过去的经验背景,对于提升或改进生产安全与效率有更好的建议或见解,都欢迎提出,经过严谨的讨论评估、消化吸收后,再成为公司文化的一部份。
5.机警的文化氛围。
企业安全论文范文第2篇
关键词:安全文化建设;安全管理;运行机制。
企业安全文化是与企业生产和安全管理活动相生相伴的,有生产安全活动就必然有安全文化,加强安全文化建设是现阶段生产力水平相对较低情况下抓好安全工作的一项基础性工作。通过塑建切实可行的安全文化,可影响职工的安全行为,增强职工的安全意识,用先进的安全管理理论指导企业安全生产,以提升企业安全管理水平,扭转安全被动局面,促进安全生产。
1 企业安全文化内涵。
笔者认为,企业安全文化是企业在安全生产活动中形成的,或有意识塑造并为全体员工所接受、遵循的具有企业特色的安全思想、意识、作风、管理机制、行为规范、生产目标、价值观、安全心理素质和安全风貌等各种企业安全物质财富和精神财富的总和。结合这一概念,煤炭行业的安全文化应该定位于在煤矿长期安全管理活动中逐步形成具有煤矿特色的安全思想和安全意识,主要体现在安全在人们心目中的地位、安全管理机制、安全工作作风、日常行为规范和解决安全问题的方式方法等内容。它由安全精神文化、制度文化、行为文化、物质文化4个层次组成, 4个层次相互支撑,缺一不可。
安全精神文化是企业安全文化的最高层次,在整个企业安全文化体系中处于核心地位,它是在安全生产实践中形成的一种“精神成果”和文化观念,包括安全价值观、安全精神、安全追求、安全作风和安全理念等,是企业安全生产意识形态领域各要素的总和。安全制度文化是企业安全文化的制度层面,它体现在企业安全管理的各项制度中,是安全精神文化的具体化。安全价值观、安全理念等精神文化必须转化为具有操作性的正式制度和规范,才能为广大职工所接受,才具有约束力和说服力。因此,安全制度文化是实现安全精神文化的载体和保证。安全行为文化是企业安全文化的行为层面,是员工在安全生产实践、人际关系中产生的活动文化,是以人的行为为形态的企业安全文化形式。安全物质文化是企业安全文化的物质层面,它由安全作业环境、企业周边环境、安全视觉识别系统等构成,是一种以物质形态为主要形式的表层文化。从现象上看,安全文化是从行为上感知到的一种感觉。
2 企业安全文化创建途径。
(1)树立正确的安全理念。企业安全理念包括核心理念、责任理念、管理理念、作风理念、投入理念等,回答的是企业在安全管理上怎样去做的问题,是安全价值观的具体化。只有确立正确的安全理念,才能制订具体的可操作的管理制度和行为规范。因此,必须在总结以往行之有效的安全管理经验和方法的基础上,确立安全是最大的政治、安全是最重的责任、安全是最好的福利的安全价值观,培育和提炼出具有特色的安全文化,并通过有效的宣传载体大力宣灌,从而提高职工对安全工作的认知、对安全管理制度的熟知,实现对行为规范的自制和他制。
(2)整合、规范、创新企业安全文化建设的制度和内容。制度的建立就是将企业先进的价值观和经营理念以固化的形式转变为具有操作性管理制度的过程。文化形成制度,制度强化文化。只有制订出为广大员工所认同和接受的安全管理制度,并通过严格执行,变为职工的自觉行动,形成制度文化,才能整体提升安全管理水平,使安全管理从经验管理、科学管理向文化管理转变,变安全管理由职工被动管理为职工主动管理,变他律的“要我安全”向自律的“我要安全”、“我会安全”的转变。因此,在安全文化建设过程中,要从4个方面进行制度和内容的整合、完善和规范。主要有:安全行为建设、安全意识培育和素质建设、安全环境建设、安全制度建设。
每项工作都要做到有制度、有标准、有考核、有效果,并在实践中不断完善和创新,从而形成一套自我完善、自我约束的安全管理长效机制。
(3)建立行之有效的企业安全文化建设运行机制。长期的实践证明,无论多好的制度,如果没有一套行之有效的管理运行机制做支撑,去考核、去监督,制度就像无源水、无本木。因此,在安全文化建设中要不断健全和完善机制,来保证安全文化的实质性运转。一方面要逐级建立安全文化检查、考核、讲评及奖惩激励制度;另一方面要制订从干部到职工个人的安全精细化管理考核、评分、排名、讲评及奖惩制度和标准,并严格执行和落实,调动全员的安全生产积极性,确保安全文化的有效运行和发展。
(4)建成有自身特色的安全文化体系。企业安全文化体系的建立与形成,必须有广泛的职工基础,以企业安全生产为重点,使广大员工参与进来,在广泛调查研究的基础上,借鉴先进经验和做法,通过总结、归纳、提炼、发展、创新,去粗取精,去伪存真,并采用各种方式辐射到企业职工中去,渗透到企业安全生产经营活动的每一个环节,逐步形成有自身特色的企业文化体系。
3 企业安全文化创建的关键环节。
(1)理顺思想,增强职工安全意识,提升安全思想境界。目前,论及安全,说到安全第一和遵章守纪,没有人不认同,并且都熟知,但一到现实工作中就会出现这样那样的违章违纪行为。因此,在安全文化建设中必须始终把思想观念摆在首位。充分利用各种宣传工具和载体,宣传学习一系列安全方针政策、法律法规、规章制度,教育引导干部职工明确“安全第一”的深刻含义,牢固树立“不安全不生产”、“安全第一,生产第二”的思想,明确实现安全生产是为职工办的最大的福利,形成“人人管安全,人人关心安全”的格局;明确实现安全生产是企业最大的效益,事故是最大的浪费,从而摆正安全与企业、安全与个人、安全与家庭幸福的关系,明确实现安全生产的极端重要性。
(2)加强安全教育,提升职工素质,夯实安全基础。人的安全素质决定着企业的安全生产,加强对职工的安全教育培训,是提高职工安全素质的主要途径,是夯实企业安全基础的保证。①突出特殊化,开展针对性教育。围绕不同时期的安全生产实际和安全工作重点,有的放矢地开展安全预防性教育。
针对不同时期的安全重点时段和各种类型的安全重点人物的不同特点,进行重点预防、教育、培训和帮教。②突出普遍化,进行全员教育。注重理论实践并重,既要加强干部职工安全生产知识和业务培训工作,建立完善学后必考机制,又要积极开展技术比武和岗位练兵活动,提高干部职工的安全理论素质和操作技能,适应安全工作要求。③突出实效化,开展情感性教育。要发挥党政工团“大兵团”教育的优势,构建安全教育齐抓共管大格局。通过开展富有亲情、真情和温情的安全教育活动,增强职工的安全意识和搞好自主保安的自觉性。④突出形象化,开展经常性教育活动。利用广播、电视、黑板报、宣传栏、宣传灯箱、电子显示屏等形式,多角度、多侧面地开展经常性、覆盖面广的安全教育活动,使职工在潜移默化中接受教育,形成时时处于教育之中、处处体现安全之风的氛围。
(3)完善安全制度,落实安全责任,规范职工的安全行为。将人本管理贯穿于企业文化建设的全过程,必须健全制度,靠制度的强制约束逐渐养成职工安全行为习惯,最终上升为安全文化理念,使安全制度更好地延续和落实,杜绝习惯性违章。①强化安全生产责任制,层层落实安全责任,分解安全工作目标,层层传递安全压力,形成逐级负责、逐级追究的安全责任追究体系。②完善安全信息管理制度,健全安全信息网络,及时筛选、收集安全信息,及时反馈督促整改,使每一生产环节都在安全控制之中。③积极推行正规循环作业,使管理人员做到按章指挥、以身作则,职工按章作业。④强化安全薄弱环节治理,消除事故隐患。⑤实行工程质量终身负责制,积极开展创建精品工程、样板工程评比活动,提高现场施工质量。⑥坚决执行责任追究。对工作中因违章造成事故的,实行责任倒查追究制,严格追究有关安全管理人员的失责失察责任。严格责任追究是对违章者的关爱,目的也是教育职工不要违章,是提高职工安全意识很好的一种方式。“严、实、重”的责任追究,可以触及灵魂、触及利益,引起思想上的重视。责任追究肯定要处理人,但处理人不是目的,真正的目的是通过对事故的追查处理,找出事故的原因,分析存在的问题,教育全体职工提高安全意识,避免再犯同样的错误。所以,对事故责任者追究和处理必须严格按制度一视同仁、公平合理,让被处理者口服心服,让其他人引起重视、受到教育。
(4)坚持科技进步,推动安全管理手段的升级。
要实现安全生产形势的根本性好转,必须紧紧依靠科技进步,大力发展安全科学技术,以改造企业传统的、陈旧的管理手段,从设计、工艺、技术装备上保障安全生产,从硬件上做到本质安全,从本质上为遏制或减少重特大事故发生提供技术手段。使企业的安全生产转移到依靠科技进步的轨道上,大力采用先进的科技成果,淘汰落后的生产技术、工艺和设备,从而减少伤亡事故的发生。今后安全科学技术研究和发展的重点应当定位在:①在控制重特大事故的关键技术上有新突破,力争重点解决一些带有共性和全局性的关键技术难题,要抓好重特大事故隐患的整改研究;②加强安全生产的技术基础工作,推进安全生产工作的信息化建设;③结合企业实际,研究、消化吸收国内外先进的管理技术;④实施安全科技示范工程,加大质量标准化工作力度,推进安全科技成果产业化。要将井下瓦斯治理示范矿井、防治水示范矿井等作为实施示范工程的重点,以点带面,促进整体安全状况的好转。
企业安全论文范文第3篇
合理的教育培训机制不仅有利于提高煤炭企业的安全运作水平,而且能够为今后各项工作的顺利开展提供良好的典范说明。详细一点来讲,首先,煤炭企业相关负责人要结合最新的市场要求以及企业的发展实际,制定合理的规章制度、培训方针等,同时成立相应的培训组织机构,对安全教育培训的全过程要进行实时、有效的管理;其次,要强化评估制度和培训计划,要坚持将评估制度作为安全教育的重要环节,借助于受训人员在具体的生产中所反馈出来的信息以及各项管理数据的显示等,不断地完善评估工作;与此同时,培训计划的制定不能够单凭经验或者印象,具体负责调研的部门要深入到煤炭企业的基层工作中去,促使培训计划与员工的任职能力、具体生产等相适应,并且培训计划要与时俱进、不断改革和创新,以便满足最新形势的发展要求;再者,安全教育和培训工作涉及到了检查、计划、评估以及实施等各个环节,因此,统一的思想是顺利开展的关键,企业要通过员工手册内容的完善、专题讲座、主题性的会议等多种形式,为安全培训机制的完善奠定扎实的数据和信息基础,同时也有利于夯实员工的企业使命感。
二、改革与创新安全教育手段
煤炭企业要想促使安全教育工作获取更理想的实效,就要逐渐打破传统意义上的枯燥的教育模式,进一步改革与创新安全教育手段。其一,现场教育具有很强的直观性,煤炭企业可以结合自身实力邀请相关专家深入施工现场进行教育,尤其是针对现场物的不安全状态、工作人员的不安全行为、管理缺陷等进行具体的师范与指导,从而促使煤炭工人在真实具体的教育进程中掌握更科学的工作技巧;其二,随着时代的发展和进步,多媒体信息技术在各行各业中的运用已经成为炙手可热的事实,安全教育工作也应当对信息技术进行合理的运用,煤炭企业领导者要派遣专业人员,建立专属煤炭企业的信息网络系统,定期的将相关安全工作流程、工作技能、不安全因素的危害等内容曝晒于网络平台上,并且通过现场场景的模拟、网络平台答疑、鼓励员工发表自己的意见等方式,调动员工主动参与进来的热情和积极性,潜移默化中为他们安全意识的增强提供强而有力的催化剂成效;其三,要加强对煤炭员工的安全考核,考核的内容包括他们的日常工作表现、工作态度、工作业绩以及敬业精神等,并且将考核的结果与他们所获得的薪酬、福利待遇相挂钩,对于在考核中表现优异的员工要给予适当的精神鼓励或者物质奖励,以便为安全教育手段的完善乃至整个煤炭企业的安全生产打好基础。
三、构建良好的煤炭企业安全文化
煤炭企业的安全文化是凝聚人心的精神力量和无形资产,能够推动安全教育工作朝着更加正确化、合理化的方向迈进。安全文化的构建要求全员参与,因此要加强舆论的宣传,通过安全文化辩论赛、安全技能大赛、安全生产岗位竞赛以及以安全文化价值观为主题的知识演讲比赛等多种多样的灵活形式,引导煤炭企业员工在积极参与的情况下夯实自身的安全认识,为企业安全文化的形成与夯实注入更新鲜的内容;还有,要提高煤炭企业各项生产设备的安全程度,以便为安全文化的构建提供扎实的物质基础,相关负责人要对各项设备进行定期的抽检与核查,对于出现问题的设备要做好记录和统计工作,并提出合理的整改方案,保证即使是在误操作或产生故障的情况下,系统和设备也能够在保证安全之时正常运转,尤其是那些从事井下开采工作和员工难以及时控制盒适应的场所。再有,要积极贯彻“以人为本”的理念,在营造“预防为主、安全第一”的工作氛围时,要尽可能的想员工所想、急员工所急,关注和帮助员工,在促使安全生产深入人心的同时,也夯实了员工的工作责任感。
四、结束语
企业安全论文范文第4篇
1.1企业信息安全管理的隐患
信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面,在信息化时代,油田企业需要加强信息化网络安全管理。现阶段,油田企业信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏细化、具体化的网络安全措施,针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低,如他们不能全面掌握部分软件的功能,不重视企业网络使用规范,且存在随意访问网站,随意下载文件的现象,增加企业网络负担,影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位,负责企业内部网络软硬件的配备与管理,但现阶段,该职位员工缺乏严格的管理理念,不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网,石油企业办公区域也设置了无线路由器。但是,员工自身的手机等设备存在很多不安全因素,会影响企业网络安全性。
1.2病毒入侵与软件漏洞
网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播,员工如果访问不法链接或下载来源不明的文件,可能会导致病毒入侵,危害信息安全。病毒入侵的原因主要有两方面,一方面,员工的不良行为带来病毒;另一方面,系统自身的漏洞导致病毒入侵。由此看来,油田企业信息化软件自身存在的漏洞也具有安全隐患。其中,主要包括基础软件操作系统,也包括基于操作系统运行的应用软件,如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。
1.3网络设备的安全隐患
现阶段,油田企业网络设备也存在不安全因素,主要表现在两方面:第一,油田企业无论是办公区还是作业区,环境都较为恶劣,部分重要企业信息网络设备放置环境的温度、湿度不合理,严重影响硬件的使用寿命和性能,存在信息数据丢失的危险;第二,企业内部网络的一些关键环节尚未引入备份机制,如服务器硬盘,若单个硬盘损坏缺乏备份机制,会导致数据永久性丢失。
2提高油田企业网络安全策略
2.1加强信息安全管理
基于现阶段油田企业信息网络安全管理现状,首先,油田企业要重新制定管理机制,对各个安全隐患进行具体化、细化规范,包括员工对信息应用的日常操作规范,禁止访问不明网站和打开不明链接。其次,油田企业要强化执行力,摒除企业管理弊端,对违规操作的个人进行严厉处罚,使员工意识到信息安全的重要性,提高其防范意识和能力。再次,油田企业要招聘能力强、素质高的信息系统管理员,使其能及时发现和整改系统安全隐患。最后,对员工使用智能终端上网的现象,则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离,以避免对其产生负面影响。
2.2加强对软件安全隐患和病毒的防范
(1)利用好防火墙防范技术。现阶段,油田企业的网络建设虽然引入防火墙设备,但没有合理利用。因此,油田企业要全面监管和控制外部数据,防止不法攻击,防止病毒入侵。同时,定期更新防火墙安全策略。(2)对企业数据进行有效加密与备份。对油田企业来说,大部分数据具有保密性,不可对外泄密。因此,企业不仅要做好内部权限管理,还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密,数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业,可在不同地区进行备份,以防止不可抗拒外力作用下的数据丢失。(3)合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件,并高效运行,以加强对病毒的防范。
2.3提升网络设备安全
(1)由于油田企业内部信息网络规模较大,设备较多且部署复杂。因此,要及时解决硬件面临的问题,定期检查维修,提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况,并能及时发现潜在隐患。(2)对处于恶劣环境中的网络设备,包括防火墙、服务器、交换机、路由器等,尽量为其提供独立封闭的空间,以确保温湿度合理。
3结语
企业安全论文范文第5篇
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 yyfangchan@163.com (举报时请带上具体的网址) 举报,一经查实,本站将立刻删除