建设工程安全管理系统，建筑工程安全管理与监理工作之间的关系？

按照《建筑法》第45条：“施工现场的安全由建筑施工企业负责”。安全工作是建筑工程管理的重要内容，并与工期、质量密切相关。安全管理与监理工作的关系如何？本文就此试做一点分析。

1、施工现场安全包括哪些方面内容

从安全的内容分，施工现场安全包括财产安全和人身安全两个方面；从管理的范围分，又可分为施工区安全、办公生活区安全和第三方安全三个方面。

（1）财产安全方面，包括工地物资、材料、设备，危险品，半成品，成品；办公生活区的图纸、文档，秘密材料，电子数据，钱财，个人物品等。安全管理包括财产的防盗，防火，防水，防霉变，防丢失，防泄秘，防人为毁损等；同时也包括防止对第三人财产的侵害，如对地下、水下或架空管线的破坏，对相邻关系财产的侵害（如震动，沉陷，水渍，爆破、火灾等对他人建筑物或财物造成的侵害）等。

（2）人身安全方面.包括以下几项：

1）职业安全卫生方面，如施工场所或办公生活区的防火，防漏触电，防风沙粉尘，防冻，防暑，防晒，防滑，防躁音，防辐射，防毒，防窒息，防淹溺，防灼伤、烫伤，防坠落、跌落，防机械操作，防食物中毒，防传染病流行病，等等。

2）机械设备方面，从各种施工机械，施工车辆、船舶、飞行器，到一般工器具建设工程安全管理系统，建筑工程安全管理与监理工作之间的关系？，涉及的人身安全既可能是操作者自己，也可能是对他人或第三人。其原因可能是设备本身问题，也可能是操作不当或者是他人的原因，例如工地现场非道路交通事故等。

3）临时设施方面，如工棚，临时办公，生活设施，施工围堰，导坑导洞，施工道路，桥梁，各种脚手架，支护，施工平台等，因质量不良或使用不当均可造成对人生安全的威胁。

4）建筑工程方面，在建和已建成的建筑以及设备因质量或使用问题造成对人身安全的威胁。质量问题可能是设计原因，可能是设备、构配件质量原因，也可能是施工原因或者是多因素的综合。使用不当，包括已完工程未达一定强度，或者超过额定负载，或者未按设计要求试运转等造成事故的原因。

2、安全管理是如何实现的

（1）现代管理是系统工程，安全管理也是如此。施工单位从最基层的操作工人，到班组、部门、直到公司领导，纵向有多层考证书的正规网站，横向有多重管理，形成完整的管理网络。在这样的系统中，差错和失误是可以在内部消除和克服的。操作工人的人为差错失误是不可避免的，这种差错失误首先要通过班组自检、专职人员的检验、并且在工程交付之前一再受到考验。如果发现问题，施工单位可以通过整改、返工、报废等措施，将差错或失误克服或消除，使每一层次不让差错失误向下传递。每个子系统都与相邻系统互相制约，从而保证将各种差错失误消除在系统之内。

（2）管理系统的构成。有以下几部分：第一，有组织机构。一个完整的管理系统必然有若干互相平行的子系统（部门），每个子系统又有多个管理层次组成，这样就构成相互制约又互相协调的系统；第二，有必要的人员，各部门各层次都配备有法定资格的人员；第三，有完善的管理制度和尽可能先进的器具设备。这个制度就是事先尽可能把工作中可能发生的情况做为假设前提，做出处理预案，并对后果和责任做出设定。同时要尽可能采用最先进的手段，实现程序化，远程化，信息化，无人化管理。

（3）管理系统的运行。管理系统不是一种摆设，而是能够实际运行并产生效果的控制系统。如果这个系统是完善和正常有效运转的，那么在实施过程中将可以预见的情况和问题都可以在系统运行中加以解决和克服。一个好的施工企业部经理或总工，可能要管理多个工程项目，他应当能够有从工地脱身的时间，而不需要到处救火；晚上也能够安心地回家睡觉。为什么？就是因为他知道自己的管理系统在正常有效地运转，除非有事先没有预料到的特殊情况，否则是不会有大问题出现的。

（4）管理人员的作用。一个好的施工单位经理和高层管理人员，他的能力应当表现在组织机构设置的合理完善上，人员使用得当上，管理制度的预见性和超前意识上，以及先进管理手段的掌握运用上。从而通过管理系统在整体上控制住局面，而不是局限在具体、局部支节的问题上，整天像发了昏似的到处救火。这就需要大智慧、高素质的人员。

3、监理和安全管理的关系

从以上两方面可以看出，建设工程的安全管理，是一项专业性很强，涉及面很广的工作。而建筑法第45条对安全管理的责任已经规定得很明确，监理单位既没有施工单位那样完备的管理系统，又没有法律赋予的义务，因此监理对安全管理不应当有直接管理的权力和责任。但是这并不表明监理可不管安全，更不能说没有一点关系。说到底，监理是间接管理，是通过对施工单位管理系统的监控，来实现对工程目标的控制。如果没有施工单位，或施工单位没有自己的管理系统，监理就失去了对象，就无从谈起。施工单位管理系统如不完善不健全，势必直接威胁到工程建设的安全管理，这正是监理的用武之地。如果监理对此没有发现，没有警告，没有依法制止，那就是失职。

监理是通过审查施工单位的资质，人员资格，规章制度，施工组织设计和施工方案以及监控系统运行的实施情况来发现问题的。其基本方法是：①审查其程序的完整性，即应当经过的程序不能少：如应经过安全员、工地主管、公司安全科、分管经理的各道程序，应当完整；②形式的有效性，即应当有书面形式的不能用口头形式，时间来不及时事后要及时追补，而且要有签字和盖章手续；③内容的完整性，即本文上述安全管理有可能涉及的各方都要有所交待，监理应要求施工单位做出解释，说明为什么要这样做？依据和原理是什么？实现的可靠性如何等等，而且内容上不能允许有缺漏。

搞过监理的都有这样的体会：如果施工单位的管理系统比较完善，运行比较可靠，一般差错是可以在管理系统内部消化的，不致于形成问题；如果施工单位管理系统不完善，放松或放任管理，监理即使充当其质检员或安检员，忙死也没用。

所以监理只能说就是监督施工单位管理；施工单位如管理失当、失控，监理应当并可以发现而未能发现，发现了未能在职权范围内采取警告揞施，责令其整改或制止，那就是严重的失职，对由此而造成的后果，当然要负相应责任。

4、几个具体问题

（1）也许有人会说，现在施工单位管理系统完善的恐怕没有几家，层层转包，以包代管是家常便饭，有时现场根本看不到施工单位的管理人员，上岗证真假难辨，民工没有劳保用品，没有经过上岗培训，没有人对他们进行安全交底，没有起码的安全质量意识，业主又常常不理解不配合，监理是两头受气，难呀！不错，笔者对此也深有体会。然而正因为如此，就更不能就事论事，被动应付。而是要根据与施工企业资质等级相应的标准来要求和考核。施工单位按规范应当做到的以及合同中约定承诺的事项，如果做不到，监理必须指出。如果施工单位层层转包，根本不具备基本的安全生产能力，更要提出整改或更换的意见。如果甲方不同意，那监理已经尽到了责任。其实如果监理真的掌握了确凿情况，有理有据，把责任和利害关系讲得很清楚，甲方也不会轻易否定的。故解决施工单位管理到位问题是监理工作的基础和关键。这个问题解决了，全局就得到了控制，出问题多半是偶然因素造成。如果这个问题不解决，安全就从根本上得不到保障，出问题也是必然的。这两种情况监理的责任显然是不一样的。

（2）至于施工脚手架、平台之类倒塌事故建设工程安全管理系统，监理有无责任？首先，如前所述，施工用临时设施包括的内容太多了，监理不可能也没必要去一一审查；其次，施工临设是施工单位应当具备的能力，否则怎么取得相应的资质和承担施工任务？临设都不能保证安全，怎么去保证施工安全？第三，重要的临设（如大型或特种脚手，支撑，大型临时建筑等），施工单位自己内部应当经过设计、施工、验收程序，监理在审其施工方案和批准工程开工时，应当审查其程序的合法性和形式的有效性及内容的完整性。如果施工方对大型临设未经内部验收，监理应不同意投入使用。从已发生的事故（如南京10.25事故）看，施工方在临设尚未完工就投入使用了，监理未提出否定意见加以制止，当然是有责任的。但这种责任还是属于间接责任，即应对程序把关不严负责。但这种把关不严，如果没有事先和施工单位串通，就并非是导致重大事故的必然因素，故只应是间接责任，监理一般不可能也无必要对施工单位临设的设计和施工进行监理。大型临设也有设计，材料，设备，施工等各方面的问题，如果监理要深入进去，那就无底了。

（3）如何看待建筑工程质量引发的安全事故？如前所述，建筑工程质量事故的原因，可能是设计方面的，也可能是构配件方面的，也可能是设备材料方面的；可能是使用不当造成的，也可能是人为破坏造成的。当然，也可能是施工不当造成的。因此，对质量事故首先要分析原因。如前所述，如果监理和建设、设计、施工单位串通，故意降低工程标准；或者在审查施工组织设计和施工方案或旁站时，应当并可以发现的问题没有发现，或发现了没有采取必要措施，当然是要负相应的责任。如果不是上述情况，就不应承担责任。

（4）社会各界对监理的看法和要求是不是太苛刻了？现在，但凡是工地上出了问题，各方面首先就唯监理是问，包括一些主管部门也是如此，给监理造成强大的压力。监理人员往往觉得有口难辩，很是委屈。从监理在中国出现的那一天始，业内人士就在不断地宣传强调监理的重要性必要性，这当然也是对的。但是如果过了头就有问题了。给社会造成了似乎有了监理一切都完事大吉的印象，似乎过去工程建设中存在的问题都是因为没有监理，有了监理就可以天下太平了似的。有些主管部门也不适当地过分强调了监理的作用，而有的监理单位也“顺着杆子往上爬”，在推销自己时，往往夸下海口，把施工单位说得很可怕，而把监理说得如何重要，似乎监理是解决工程建设问题的救世主。这样一来，就在社会上造成了这样的印象：请了监理就不该再出问题了，出了问题监理肯定首当其冲要承担责任。既然你自己把自己说得这么重要和神通，如今出了问题，你得兜着吧！好在现在有了监理规范，使监理行为有了法定的依据。笔者认为有必要大力宣传监理规范，不仅因为这是国家标准，必须遵循，而且也是对监理地位和作用的界定，对澄清社会对监理的认识有着重要意义。

（5）监理如何面对当前现实？有鉴于当前建设单位和施工企业的现状和社会对监理的看法和要求，监理行业不能不面对现实。理论不能脱离实际，具体问题要作具体分析。原则一定要掌握，全局一定不能失控，法定程序和形式一定不能省，在关键问题上，例如无证照施工，非法层层转包等，要说清楚这些是现行法规严禁的，出了事各方都无法交待，被抓住都要受处罚的。在这个前提下，具体问题要灵活处理，不能光认死理，更不能处处和施工单位和业主对着干。要做到有理、有利、有节。这其中的奥妙，只有在实践中去慢慢体会了。

更多关于工程/服务/采购类的标书代写制作，提升中标率，您可以点击底部官网客服免费咨询：

安全组织体系机构图，广发银行研发安全体系建设实践

文丨广发银行研发中心副总经理 林虎

近年来，随着金融科技投入的持续增长，在大数据、云计算、人工智能等前沿技术的引领和金融数字化转型的驱动下，科技服务已融入金融业务的方方面面，金融科技治理水平全面提升。与此同时，金融机构面临的威胁和挑战也在持续升级，黑客攻击逐渐向专业化、组织化转变，安全攻击事件不断。在众多不同类型的安全风险事件中，企业自主研发或外购的应用软件更容易出现安全漏洞，根据新思科技发布的《2023年软件漏洞快照》报告，2020—2022年，92%的被测应用软件存在风险和漏洞，其中，27%存在高危漏洞，6.2%存在关键高危漏洞。

一、金融企业研发安全现状

1.研发安全规划不清晰

研发安全是一项系统性、复杂性的长期工作，内容涉及安全组织、安全体系、规范制度、流程平台、安全工具、人员能力等多个方面。如果没有清晰的规划，寄希望于渗透测试服务、安全产品采购等“突击式项目”解决问题，将无法达到全面、有效的管控目的。

2.未建立融入研发团队的安全组织

“网络安全人人有责”，以“安全左移”为原则的开发全生命周期体系更需要所有研发人员共同参与。如果安全团队未能融入研发团队，将面临“孤立无援”、与开发“冲突对立”等困境。

3.应用安全漏洞多，漏洞修复成本高

金融机构业务复杂，应用系统数量众多，应用安全漏洞层出不穷，缺少“安全左移”机制，将导致安全漏洞发现较晚，漏洞修复成本更高。

4.监管要求严，合规标准多

金融行业属于强监管行业，相关的法律法规、监管规范、行业标准众多，如何有效开展研发安全领域的“外规内化”工作，确保应用系统高标准满足监管合规要求，实现“研发内生合规”目标，一直是金融机构关注的重要问题。

二、广发银行研发安全体系建设

探索与实践

广发银行研发中心为持续提升应用系统的安全质量，保障业务目标的有效达成，坚持“以理论模型为基础，以研发全生命周期管控为核心，以有机融入研发过程为保障”，持续推动理论与技术创新，经过多年探索实践，建立了相对完善的研发安全体系，并实现了有效运营。

1.清晰的长期规划

研发安全不可能一蹴而就，需要长时间持续努力方能取得良好效果。广发银行研发中心在计划启动研发安全体系建设之初，首先制定了清晰的长期规划，明确了“分步快走”策略，将整体工作划分成以下四个阶段(如图1所示)。

图1 广发银行研发安全体系建设阶段划分示意

第一阶段：开展流程制度、人员能力、工具平台等研发安全体系基础建设，包括通过制度流程建设，确保研发过程中各项安全举措有章可循、有据可依；通过培训、构建知识库、能力考核等举措，从安全职责和安全能力两个方面建立覆盖需求、开发、测试不同岗位的人才体系，为研发安全体系的落地执行提供必要条件；通过平台、组件、测试工具建设，提供流程化、自动化能力，提升人员的工作效率，降低对人员安全能力的依赖，为研发安全体系的有效执行提供支撑。

第二阶段：针对少量应用开展试点工作，在试点过程中对体系以及平台工具进行及时优化。

第三阶段：按照应用系统的重要程度逐步推广，持续扩大体系的覆盖范围。

第四阶段：提升安全技术的自动化、数字化水平，从而进一步提升体系执行效果。

2.完善的研发安全组织架构

安全组织架构是网络安全体系建设中最重要的部分，合理、有效运行的组织架构可以使安全工作更加顺畅。为保障研发安全工作的有效落地，广发银行研发中心在内部建立了完善的组织架构，不仅包括研发中心领导层以及专业网络安全团队，为了确保安全措施在各研发团队内部有效执行，加强安全与研发的沟通合作，还同步建立了“团队安全专员”和“应用安全架构师”机制。广发银行研发中心安全组织架构各岗位角色和职责说明见表1。

表1 广发银行研发中心安全组织架构各岗位角色和职责说明

3.融合、多态的研发安全体系

研发安全的根本目标是开发出安全的软件，把安全内建到软件开发过程中，而非“亡羊补牢”。微软在2004年提出软件安全开发周期( ，SDL)，它是一种从安全角度指导软件开发过程的管理模型。近年来，随着互联网金融的快速发展，业务场景不断增多、客户需求变化持续加快，敏捷开发、快速迭代越来越受到青睐。2012年，提出了研发安全运营一体化()理念，明确安全是整个IT团队所有成员的责任，安全需要贯穿研发生命周期的每一个环节，安全工作应左移前置，嵌入现有开发流程体系。

广发银行研发中心遵循SDL模型指导及方法理念，制定了“融合、多态”的建设原则，其中，“融合”是指在充分调研当前研发现状的基础上，以最小化影响为原则将安全融入现有开发流程；“多态”是指研发安全体系既要满足瀑布型开发模式的要求，又要适应敏捷型开发模式的诉求。

在此基础上，广发银行研发中心以“安全左移”为原则，建立了覆盖整个研发过程的SDL安全体系(如图2所示)，并借助线上化安全管理平台提供的能力与资产，保障了SDL各节点的有效执行。此外，为适应敏捷开发模式诉求，广发银行研发中心在开展SDL体系建设的同时，遵循的指导方法，同步完成安全能力建设(如图3所示)。

图2 广发银行SDL安全体系

图3 广发银行安全能力示意

4.线上化、平台化保障体系有效落地

研发安全体系要求所有研发人员承担一定的安全职责，在一定程度上改变了研发人员的工作习惯。如果仅依赖制度要求和人员意识，极易导致体系落地沦为形式。为确保体系的有效落地，尽可能减少对工作效率的影响，广发银行研发中心通过SDL安全管理平台，实现各节点全流程线上化管控，提供了安全基线库、轻量化威胁建模、自动化安全需求设计、线上安全知识库、安全漏洞线上化闭环管理、安全度量驾驶舱等一系列功能。

5.轻量化威胁建模赋能需求安全分析

威胁建模是通过结构化的方法，系统地识别、评估安全风险和威胁安全组织体系机构图，并针对这些威胁制定消减措施的一个过程。威胁建模的核心是像攻击者一样思考，站在攻击者的角度去评估应用系统的安全性，是研发安全体系建设中的一项重要工作。但传统威胁建模执行过程复杂，对人员安全能力要求高，在SDL或中非常难落地。

广发银行结合自身现状，通过业务场景轻量化威胁建模的方式，高效支撑研发项目组的需求分析师完成需求安全分析工作。

(1)制定安全基线

一条安全基线相当于一个安全要求，应用系统达到安全基线后可以规避或缓解对应的安全风险。安全基线的来源包括外部规范标准、内部安全需求、行业安全实践、常见安全漏洞、历史安全风险、现状风险评估等。目前，广发银行研发中心的安全基线库包括应用类安全基线230多条，合规类安全基线1000多条。

(2)建立视图与属性标签

需求安全分析是指根据业务功能需求，利用威胁建模的方法，识别需求面临的安全风险，并选择对应安全基线的过程;轻量化威胁建模是由安全团队提前制定视图、属性标签安全组织体系机构图，广发银行研发安全体系建设实践，并建立视图和属性标签与安全基线的对应关系。视图和属性标签是对业务功能场景的不同层次的描述。需求分析师在执行需求安全分析时，只需要根据业务功能选择对应的视图或属性标签，即可达到选择对应安全基线的目的。

目前，广发银行研发中心每月有3000多项需求任务，由研发项目组的各位需求分析师使用轻量化威胁建模的方式完成需求安全分析。

6.统一安全组件，实现编码默认安全

广发银行研发安全体系遵从“默认安全”的编码原则，分别面向App、客户端、非RTP框架、RTP框架提供四种类型的安全组件。其中，RTP即统一应用研发平台，是广发银行研发中心自主研发的开发框架，默认集成了一系列安全组件(如图4所示)。开发人员可通过配置开关、代码注解等方式使用安全组件提供的能力，实现众多的安全功能，规避相应的安全风险。目前，共有300多个应用系统使用了不同的安全组件。

图4 广发银行研发安全组件框架

7.完善的安全测试工具链

安全测试是研发安全体系中最重要的一个节点，是阻止安全漏洞发布到生产环境的最后一道防线。目前，广发银行研发安全体系已建立包括多类工具在内的安全测试工具链(如图5所示)。

图5 广发银行安全测试工具链

(1)静态应用安全测试(SAST)

静态应用安全测试是通过分析静态代码，基于正则关键字匹配、AST抽象语法树、IR/CFG数据结构、QL等不同方案，识别发现代码中的安全漏洞，也被称为“白盒安全测试”。广发银行研发中心同时使用了和商用SAST产品分别在开发编码阶段和代码提交阶段开展自动化扫描。目前，已覆盖所有应用，商用SAST产品已覆盖550多个应用系统，误报率控制在32%，扫描耗时较最初部署时降低了85%。

(2)交互式安全测试(IAST)

交互式安全测试是2012年由公司提出的一种应用程序安全测试方案，通过代理、VPN或者在服务端部署程序，收集、监控Web应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确地识别安全缺陷及漏洞，同时可准确定位漏洞所在的代码文件、行数、函数及参数，相当于是DAST和SAST结合的一种运行时安全检测技术。

目前，广发银行研发中心共有自研和商用两款IAST工具。自研IAST工具侧重于通过流量镜像、代理方式将功能测试流量转发至扫描服务器进行漏洞扫描；商用IAST工具侧重于利用插桩技术实现主动、被动的插桩测试。广发银行研发中心联合厂商完成商用IAST工具的定制，实现了自动化安装部署、自动化漏洞提交、数据集中统一分析等功能。

8.内生安全保障监管合规

随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的相继颁布和施行，加之2017年生效的《中华人民共和国网络安全法》，我国网络与数据安全领域的法律框架已基本形成。近年来，金融业安全合规监管持续增强，《个人金融信息保护技术规范》《金融数据安全数据生命周期安全规范》等标准规范相继发布。广发银行研发中心始终牢守风险底线，严格遵循监管要求，坚持“内生安全保合规”的原则，秉持“外规转内规、内规转基线、基线转功能、功能转验证”的指导思想，有效保障监管合规。

首先，开展对外部法规标准的全面解读，将外部相关的法规要求转换成企业内部的安全规范；其次，将安全规范中的要求转换成研发安全体系中的安全基线；再次，在研发安全体系的执行过程中，在需求安全分析环节选中安全基线，并在安全编码环节落地，以满足外部规范标准要求；最后，通过安全测试节点验证机制确保安全基线的严格落地。

9.复盘度量推动体系持续优化

“如果你无法度量它，你就无法改进它。”有效的度量复盘机制是研发安全体系持续优化的重要手段，广发银行研发中心主要采取了以下两个方面的措施。

(1)漏洞复盘

针对内外部发现的安全漏洞，广发银行研发中心会定期组织漏洞复盘：首先，通过“5Why分析法”，找到漏洞责任人以及漏洞产生的根本原因；然后，制定有针对性的治理措施；最后，明确措施责任人、完成时间、验证责任人等，确保对各项措施的闭环管理。广发银行研发中心漏洞复盘工作成果显著，执行复盘后部分类型的安全漏洞降低了76%。

(2)数字化度量

为确保研发安全体系的执行效果，广发银行研发中心坚持从覆盖率、检出率、误报率、漏洞降低率四个方面分别开展指标度量工作。

目前，广发银行研发安全体系建设已取得明显效果考证含金量排行榜，覆盖广发银行所有互联网应用系统以及重要内网应用。经过长期的稳定运营，研发测试环境安全漏洞降低了52%，生产环境安全漏洞降低了77%。

广发银行研发中心已初步将NLP自然语言识别、机器学习等技术应用于需求安全分析、安全后评价等领域。未来，广发银行研发中心将持续探索AI大模型、智能机器人等技术在研发安全体系中的应用，持续打造数智化研发安全体系。

本文刊于《中国金融电脑》2024年第3期

《中国金融电脑》杂志征稿启事

征稿栏目：数字化发展、数据能力、IT实践、信息安全。

我们期待您的原创文章，文章以3000～6000字为宜。

投稿邮箱：