Пять шагов для безопасности труда по японской технологии «5 S

В документации Microsoft описано пять способов изменения параметров TCP в реестре, которые позволяют повысить устойчивость систем Windows 2000 к атакам типа Denial of Service (DoS) - отказ в обслуживании, и другим видам атак. Эти методы эффективны на машинах Windows 2000, подключенных к территориально распределенным сетям (WAN) и Internet, и на сайтах с повышенными требованиями к безопасности. Для внесения столь сложных изменений необходимо вручную настроить многие центральные алгоритмы TCP, и я рекомендую вносить изменения в рабочие системы лишь после экспериментов на тестовой машине. Неправильные или неудачно выбранные параметры TCP/IP могут отрицательно повлиять на большинство служб и приложений Windows 2000. Эти методы затрагивают низкоуровневые алгоритмы, используемые операционной системой для управления и маршрутизации сообщений, поэтому тестовую систему следует подключить к нескольким подсетям с одним или несколькими маршрутизаторами.

Параметры TCP/IP в реестре

Вся информация о работающей системе Windows 2000 сохраняется в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet. Подраздел Services этого раздела, в свою очередь, содержит по одному разделу для каждой настраиваемой службы Windows 2000 (даже для блокированных и не установленных служб). На Экране 1 показаны общие данные конфигурации TCP/IP из раздела HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters. По умолчанию, данные конфигурации для каждой службы хранятся в разделе Parameters, в подразделе с соответствующим именем.

При работе с несколькими адаптерами (как аппаратными сетевыми адаптерами, так и программными портами Routing and Remote Access) в разделе HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces формируется соответствующий подраздел для идентификатора класса каждого адаптера. По щелчку на идентификаторе класса адаптера в правом окне редактора реестра отображаются сведения о конфигурации данного адаптера (см. Экран 2).

В разделе TcpipParameters содержатся элементы, определяющие поведение TCP/IP для всех интерфейсов. При настройке конфигурации адаптера, обеспечивающего связь через протокол TCP/IP, система копирует многие из этих параметров в раздел Interfaces данного адаптера. Если один и тот же элемент входит в TcpipParameters и в раздел конкретного адаптера, то можно изменить режим TCP/IP отдельного адаптера, отредактировав соответствующие параметры. Рассматривая изменения реестра, с помощью которых можно уменьшить уязвимость системы, следует помнить об общих параметрах и параметрах, специфических для каждого адаптера.

Если упомянутый мною элемент в соответствующем разделе отсутствует, его следует создать. Создавая элементы реестра, необходимо обратить внимание на корректность типа и значений вводимых данных. Невозможно предсказать, каким образом система отреагирует (если отреагирует вообще) на ввод некорректных данных. Измененные параметры конфигурации TCP вступят в силу после перезагрузки системы.

Защита от атаки типа SYN DoS

Нападения по TCP SYN DoS - излюбленное оружие взломщиков. Прежде чем рассматривать способы защиты от подобных атак, необходимо понять механизм работы TCP/IP.

Инициируя сеанс TCP в соединении IP, система A посылает системе B пакет синхронизации (SYN). Система B отвечает, посылая машине A в качестве подтверждения пакет SYN-ACK. Если система B не получает подтверждения о получении SYN-ACK от системы A, то отправка SYN-ACK повторяется до пяти раз. Не получив от системы А ответа, система B увеличивает интервал перед очередной попыткой послать SYN-ACK. Благодаря этим задержкам, системам удается установить соединение по медленным каналам связи.

Если система A не отвечает, то по истечении определенного времени система B разрывает соединение. Процесс тайм-аута может занять 3-4 мин, так как, прежде чем прекратить сеанс, система B должна определенное число раз обратиться к системе A. Когда система B разрывает соединение, TCP освобождает ресурсы, выделенные входящему соединению. Процесс освобождения ресурсов может занять еще от 3 до 5 мин.

В ходе типичной атаки с помощью SYN злоумышленник запускает на системе A программу, которая за короткий период времени посылает системе B множество запросов SYN. Каждый запрос SYN пересылается в IP-пакете, содержащем IP-адрес машины, пославшей пакет. Этот адрес может указывать на машину взломщика, но чаще ложный (spoofed) адрес указывает на другой компьютер или на несуществующую машину. В любом случае система B пытается послать подтверждение SYN-ACK по адресу источника в ответ на каждое сообщение SYN. Если система A не отвечает, то машина B вынуждена поддерживать соединение «полуоткрытым» и не может закрыть его, не выполнив определенного числа попыток. Очевидно, что атака с использованием SYN может быстро вызвать перегрузку системы.

Машины Windows 2000 обслуживают сотни одновременных соединений TCP/IP. Попав под атаку SYN, система может выделить до половины свободных TCP/IP-ресурсов для обслуживания запросов входящих соединений. Но процесс выделения, управления и повторного использования ресурсов TCP/IP в конечном итоге приводит к зависанию системы.

С помощью команды

Netstat n p tcp

можно следить за системой, которая, возможно, подвергается атаке типа SYN. Ключ n указывает команде Netstat, что адреса и номера портов следует отображать в числовой форме; ключ p отображает только активные соединения TCP. На Экране 3 показана система со множеством соединений в состоянии SYN_RECEIVED (полуоткрытом). Для каждого соединения приводится адрес системы, предположительно пославшей пакет SYN. Если такие соединения остаются в состоянии SYN_RECEIVED дольше, чем несколько минут, то, вероятно, имеет место атака SYN. Как правило, состояние соединения изменяется на ESTABLISHED менее чем через минуту.

Экран 3. Идет атака типа SYN - DoS.

Windows 2000 автоматически контролирует три счетчика, отслеживающих число активных портов TCP/IP и число портов в полуоткрытом состоянии, обнаруживая потенциальные атаки SYN. Если значения счетчиков превышают определенные пороговые величины, Windows 2000 предполагает, что началась атака SYN DoS. Во время атаки SYN DoS механизм TCP направляет запрос в раздел HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters, чтобы выяснить, какие ответные меры следует предпринять в данной ситуации. Элемент SynAttackProtect определяет число попыток и интервал времени между попытками. Эти величины задают условия тайм-аута соединения. Параметр SynAttackProtect имеет тип REG_DWORD и принимает значения 0, 1 или 2.

На системах, подключенных к Internet, этому параметру следует присвоить значение 1 или 2. В результате уменьшаются число повторных пересылок пакета SYN-ACK, интервал между ними и, как следствие, сокращается время, отведенное на ожидание нормальных и ложных запросов. Для наиболее надежной защиты от атак SYN DoS необходимо присвоить параметру значение 2.

Для систем, к которым можно напрямую обратиться из Internet (особенно не защищенных брандмауэром), элементу SynAttackProtect следует присвоить значение 1 или 2. Узнать о реализованных в брандмауэре мерах защиты от атак SYN и Ping of Death можно у поставщика. Следует иметь в виду, что при увеличении значения SynAttackProtect изменяется поведение системы при обработке как нормальных, так и DoS-запросов на установление соединений.

Защита от атак типа Dead-Gateway

Настраивая параметры TCP/IP вручную, необходимо указать адрес, маску подсети и выбираемый по умолчанию шлюз. Если система получает пакет с адресом назначения, не принадлежащим локальной подсети, то механизм IP пересылает пакет в шлюз. Затем шлюз направляет пакет другому маршрутизатору или конечному адресату. Нормально функционирующий шлюз всегда подтверждает получение таких пакетов. Если система не получает ответных сообщений о 25% пакетов, направленных в шлюз, то она считает шлюз неработающим, или «мертвым».

Чтобы предотвратить последствия отказа маршрутизатора, на закладке Advanced Settings диалогового окна TCP/IP Properties можно указать несколько маршрутизаторов. Если выбрано несколько маршрутизаторов, Windows 2000 автоматически активизирует функцию, которая обнаруживает «мертвый» маршрутизатор и выбирает следующий маршрутизатор из списка. Такая процедура динамической смены конфигурации повышает отказоустойчивость сети, но одновременно позволяет взломщику перенаправить сетевой трафик.

С «мертвыми» шлюзами связаны два элемента реестра. Первый, DeadGWDetectDefault, находится в разделе TcpipParameters и определяет стандартный режим обнаружения «мертвого» шлюза. Он используется для активизации и блокирования процедуры поиска «мертвых» шлюзов во всех интерфейсах TCP/IP. При необходимости можно воспользоваться вторым элементом, EnableDeadGWDetect из раздела Tcpip Parameters Interfaces adapterclassID, чтобы активизировать или блокировать режим обнаружения «мертвого» шлюза для конкретного адаптера. В режиме обнаружения «мертвого» шлюза механизм TCP передает в IP указание использовать резервный шлюз в случае, если TCP не получает ответа от шлюза после нескольких попыток передачи пакета. Если режим обнаружения отключен, то TCP не может пересылать пакеты в другой шлюз.

Чтобы вручную разрешить или запретить обнаружение «мертвых» шлюзов механизмом TCP, нужно присвоить параметру DeadGWDetectDefault значение 0 (запретить) или 1 (разрешить). Для отдельного сетевого адаптера с этой целью следует добавить или изменить параметр DeadGWDetect в разделе InterfacesadapterclassID.

Если режим обнаружения «мертвого» шлюза отключен, то в случае отказа основного шлюза механизм TCP не может динамически перенаправить пакеты на другие маршрутизаторы. Невозможность передать пакеты за пределы локальной подсети приводит к разрыву всех соединений, за исключением локальных. По этой причине, а также потому, что нападение через резервный шлюз - событие гораздо более редкое, чем атаки SYN DoS и Ping of Death, я рекомендую отключать режим обнаружения «мертвых» шлюзов лишь на тех участках сети, в которых требуется особо строгий режим конфиденциальности.

Защита от атак PMTU

Как видно из Таблицы 1, для сети каждого физического типа, например Ethernet и X.25, установлен максимальный размер кадра, называемый Maximum Transmission Unit (MTU) - максимальный размер передаваемого блока данных. Он определяет объем данных, который можно передать по сети отдельным блоком. Когда сообщения пересекают границу сетей различных типов (например, Ethernet и Token Ring), MTU сети-источника может быть меньше или больше, чем MTU сети-приемника.

Когда сетевой пакет размером 16 Кбайт пересекает границу сети с MTU 1500 байт, то между компьютерами в обеих сетях происходит обмен информацией MTU. Затем передающая машина разбивает (фрагментирует) сообщение на несколько пакетов, каждому из которых присваивается порядковый номер, определяющий последовательность малых пакетов в более крупном оригинальном сообщении.

Фрагментация пакетов - важный фактор снижения производительности. При делении пакета на несколько фрагментов передающая машина расходует такты процессора и память, вводит порядковый номер и передает уменьшенный пакет. Система-приемник расходует такты процессора и ресурсы памяти, сохраняя пакеты в буфере, упорядочивает пакеты по номеру и восстанавливает кадр.

В Windows 2000 реализован алгоритм Path MTU (PMTU), который обнаруживает самый малый MTU на пути между источником и приемником сообщения и преобразует сообщение в пакеты соответствующего размера. Таким образом, алгоритм оптимизации PMTU исключает процедуру фрагментации на нескольких маршрутизаторах вдоль пути, соединяющего сеть-источник с сетью-приемником.

В процессе определения PMTU машина становится уязвимой для атак. Теоретически взломщик может запрограммировать систему так, чтобы процедура определения MTU дала результат 68 байт (самый малый размер, предусмотренный TCP/IP). Windows 2000 использует это значение для упаковки и трансляции всех сетевых сообщений на целевую систему за пределами локальной подсети. Затем тот же взломщик может направить на систему лавину из сотен или тысяч пакетов. Если входящие сообщения прибывают быстрее, чем система успевает делить их на 68-байтовые фрагменты для пересылки на целевую машину, то могут быть исчерпаны все ресурсы на всех машинах, обрабатывающих сообщение.

Чтобы избежать подобной ситуации, следует блокировать процесс определения PMTU. Управлять процессом можно с помощью элемента EnablePMTUDiscovery раздела TcpipParameters. Параметр имеет тип REG_DWORD и может принимать значения 0 («ложь») и 1 («истина»). По умолчанию, процесс определения PMTU активизирован.

При разумном подходе запрет определения PMTU может помешать взломщику присвоить MTU, а следовательно, и PMTU, недопустимо малое значение. Но одновременно блокируется и важный алгоритм сетевой оптимизации. Ужесточив режим на системе, которая выполняет маршрутизацию сетевых сообщений, администратор задает одинаковый размер (576 байт) для всех пакетов, пересылаемых в подсети за пределами локальной подсети. Размер такого пакета составляет чуть больше трети стандартного пакета Ethernet (1500 байт).

Защита от обычных атак DoS

Система, инициировавшая TCP-соединение с другой машиной, периодически посылает на целевой компьютер пакет KeepAlive, который представляет собой просто сообщение ACK: она должна убедиться, что бездействующее соединение еще не разорвано. Если целевая система по-прежнему на связи, она посылает подтверждающее сообщение. Если связь прервана, то ответа не приходит, и система-передатчик завершает сеанс связи. По умолчанию Windows 2000 блокирует функцию KeepAlive, так как этот механизм создает существенную дополнительную нагрузку на ресурсы, особенно если сервер должен запрашивать информацию о состоянии сотни или тысячи потенциально бездействующих соединений.

Функцию KeepAlive имеет смысл активизировать на машинах, предоставляющих ресурсы ограниченному числу пользователей. Для управления запросами KeepAlive используется два элемента раздела TcpipParameters - KeepAliveTime и KeepAliveInterval.

Система с активизированной функцией KeepAlive посылает пакет ACK целевой машине в случае, если соединение не использовалось в течение периода времени, определяемого элементом KeepAliveTime. Стандартное значение KeepAliveTime - 7 200 000 мс (2 ч). Если удаленная машина отвечает на сообщение KeepAlive, но в остальном соединение не активно, система-источник пошлет очередной запрос ACK спустя 2 ч.

Если система-источник не получает ответа, она повторяет запрос ACK через интервал времени, определенный параметром KeepAliveInterval. Стандартное значение KeepAliveInterval - 1000 мс (1 с). Система-источник направляет удаленной системе до пяти запросов с интервалом в одну секунду (число повторов определяется элементом TCPMaxDataRetransmissions раздела TcpipParameters). Если удаленная система не отвечает после максимального числа попыток, система-источник закрывает соединение.

Значение KeepAliveTime можно уменьшить с 2 ч до 30-45 мин, чтобы поскорее закрыть неиспользуемые TCP-соединения и освободить ресурсы для других пользователей. Следует помнить, что этот параметр влияет на все соединения TCP, в том числе и локальные, поэтому необходимо тщательно взвесить последствия данного изменения. Для защиты от атак DoS разработчики Microsoft рекомендуют уменьшить значение KeepAliveTime до 300 000 мс (5 мин). За исключением особых случаев, рекомендуется использовать стандартное значение KeepAliveInterval (1 с).

Профилактика нападений по NetBT Name-Release

Сообщения NetBIOS over TCP/IP (NetBT) не подлежат аутентификации, поэтому любая система, в том числе используемая взломщиком, может посылать обычные пакеты NetBT любому другому компьютеру в сети. Для организации атаки с освобождением имени (name-release) используется логическая ошибка в алгоритме разрешения конфликтов имен NetBIOS. Как правило, Windows 2000 и Windows NT 4.0 обнаруживают конфликты имен, когда машина регистрирует свое имя в сети после начальной загрузки. В случае конфликта операционная система блокирует сетевые функции на машине, пытающейся зарегистрировать дублированное имя NetBIOS.

Воспользовавшись логической ошибкой, взломщик может послать датаграмму службы имен машине, уже успешно зарегистрировавшей свое имя NetBIOS. Датаграмма информирует систему о конфликте имен. Получив датаграмму, система выдает соответствующее сообщение, освобождает имя NetBIOS и перестает отвечать на запросы, направленные по этому имени. Освободив зарегистрированное имя, система теряет всю функциональность NetBIOS и не позволяет использовать имена NetBIOS для просмотра и доступа к машинам. Подобные действия не влияют на функциональность TCP/IP при обращении к системам по имени DNS или адресу TCP/IP.

С помощью команды Nbstat -n можно проверить, существует ли на самом деле конфликт имен. Эта команда отображает зарегистрированные в данное время имена NetBIOS с пометкой Conflict у конфликтующих имен.

Windows 2000 хранит сведения о конфигурации NetBT в разделе HKEY_LOCAL_MACHINE CurrentControlSet Services NetBT Parameters. Поведение механизма освобождения имен NetBIOS определяется элементом NoNameReleaseOnDemand. В документации Microsoft указывается, что элемент появился в пакете исправлений Windows 2000 Server Service Pack 2 (SP2), но по умолчанию отсутствует в разделе NetBTParameters. Его необходимо ввести туда вручную.

NoNameReleaseOnDemand имеет тип REG_DWORD. Стандартное значение, 0, заставляет систему освободить имя сразу же по получении датаграммы от службы имен. Если присвоить параметру NoNameReleaseOnDemand значение 1, то система освободит имя NetBIOS, только если конфликт произошел в процессе регистрации имени. Активизировав эту функцию, можно предотвратить нападение. Прием будет лишним, если в адаптере, обеспечивающем связь с Internet, уже отключен режим использования имен NetBIOS в соединениях TCP/IP. Метод можно применять только на машинах Windows 2000 и NT 4.0 с функциями безопасности, реализованными в пакете SP6a.

В бюллетене Microsoft Security Bulletin MS00-047 (Patch Available for «NetBIOS Name Server Protocol Spoofing» Vulnerability) содержится предупреждение, что при активизации элемента NoNameReleaseOnDemand в журнал событий записывается множество сообщений о событии ID 4320. Система будет регистрировать сообщение с этим идентификационным номером всякий раз при получении широковещательного запроса на освобождение имен типовых групп. Эти запросы поступают от систем, которые уже зарегистрировали имена групп и освобождают имена в ходе стандартного процесса завершения работы. Сообщения можно игнорировать.

Максимальная безопасность

Описанные в данной статье приемы ориентированы на системы специального назначения, содержащие конфиденциальную информацию. С их помощью можно повысить отказоустойчивость систем, но при этом есть опасность снижения быстродействия и ухудшения функциональности сети. После каждого изменения машину следует перезагружать.

Паула Шерик - редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу:

Авария на шахте «Распадская», в результате которой погибло 66 человек, и последовавшая за ней авария на шахте «Алексеевская» в городе Ленинск-Кузнецкий, похоже, все-таки приведут к давно ожидавшемуся ужесточению требований к безопасности труда на российских горнодобывающих предприятиях. Очертания новых порядков пока прорисованы в общем виде. Что необходимо предпринять?

Американская неправительственная организация , специализирующаяся на исследованиях в области окружающей среды, энергетики и полезных ископаемых, изучила развитие угледобывающей отрасли в США с 1930-х по 1990-е годы. За это время количество травм на единицу отработанного времени снизилось в США примерно в 2,6 раза, а количество смертельных случаев - в 7 раз. В исследовании намечается пять основных шагов , позволивших добиться такого результата. В последние годы в России смертность на шахтах в среднем втрое выше, чем в США, а в некоторые годы превышала американскую более чем в шесть раз, притом что количество занятых в угольной промышленности в обеих странах почти одинаково (133 400 в Америке и 164 800 человек в России, по данным за 2009 год).

Смертность на угольных шахтах в России и США

Россия США

Источник: Ростехнадзор, Mine Safety and Health Administration

Какие из принятых в США мер осуществляет Россия и насколько успешен этот процесс?

Создание органа, следящего за безопасностью на шахтах

Как заявил на видеоконференции в понедельник Владимир Путин, в России будет создан отдельный Горный надзор в структуре Ростехнадзора, который будет заниматься исключительно вопросами безопасности в области горнодобычи. Его американский аналог, Администрация по безопасности и охране труда на шахтах Mine Safety and Health Administration (MSHA), появился еще в 1977 году, сразу после принятия одноименного закона (Federal Mine Safety and Health Act).

Поводом к принятию этого закона послужила целая серия аварий на шахтах США с большим количеством жертв. Новая администрация, инспекторы которой проверяют каждую шахту не менее четырех раз в год, а открытый разрез - не менее двух раз, получила право выписывать штрафы за любые нарушения правил безопасности, требовать выполнения собственных предписаний, добиваться устранения обнаруженных нарушений на горных предприятиях любой формы собственности. Со времени образования MSHA смертность на шахтах и разрезах США снизилась примерно в четыре раза.

В России весь Ростехнадзор пока является структурным подразделением Министерства природных ресурсов, но скоро он будет выведен в самостоятельную организацию с прямым подчинением правительству РФ. Это поднимет его статус и увеличит возможность влиять на собственников шахт и разрезов, надеется глава «Росуглепрофа» Иван Мохначук. «Я знаю случаи, когда руководство Ростехнадзора принимало решение об ужесточении каких-то вещей в отношении горнодобывающих предприятий, а министр его потом отменял. Почему, кто к нему приходил, что приносил, не знаю», - говорит Мохначук.

Право инспекторов останавливать работу шахты

У MSHA есть право приостановить работу шахты - но лишь в том случае, если предприятие не имеет возможности платить выписанные штрафы или отказывается от сотрудничества с администрацией. Необходимость увеличения полномочий MSHA в этой сфере ощущается и в США.

5 апреля 2010 года на шахте Upper Big Brunch в Западной Вирджинии взорвался метан: взрыв унес жизни 29 шахтеров и стал самой серьезной катастрофой в угольной промышленности США за последние 40 лет. За последние годы шахта сотни раз уличалась в нарушении требований техники безопасности: в 2008 году инспекторы MSHA зафиксировали 197 подобных нарушений, в 2009 году - 501, за первые три месяца 2010 года - 124. Владельца шахты, компанию Massey Energy Co, постоянно штрафовали - так, в 2009 году общая сумма штрафов составила почти $900 000, а в целом Massey Energy, владеющая 56 шахтами в США, в прошлом году была оштрафована на $13 млн. Но компания оспаривала большую часть штрафов в суде и продолжала работать.

Катастрофы последних лет на российских угольных шахтах были еще более масштабными - взрыв на шахте «Ульяновская» в 2007 году убил 110 человек, на «Распадской» в 2010 году - не менее 66 человек. Вероятно, именно поэтому Ростехнадзору уже решено дать право самостоятельно приостанавливать работу шахт в случае обнаружения грубых нарушений и отстранять от работы должностных лиц, виновных в нарушении правил безопасности.

Этот шаг, по сути, является возвратом к советской практике, говорит Иван Мохначук. «Тогда горно-технический инспектор, который не менее 50% рабочего времени должен был проводить под землей, обнаружив любое нарушение, имел право немедленно отключить электроэнергию и остановить работы. При этом он обычно ставил пломбу на электроаппаратуру. Сорвал кто-то пломбу - суд, тюрьма», - рассказывает Мохначук. С приватизацией угольной отрасли России в конце 1990-х годов инспекторы потеряли свой статус - в частности, их лишили «подземного» стажа, позволяющего выйти на пенсию в 50 лет, а размер их зарплаты стал соответствовать уровню рабочего средней квалификации.

«Потом у них отобрали право самостоятельно останавливать работу шахты, в рамках борьбы с коррупцией. Теперь это можно сделать только через суд, а шахта за это время может просто взорваться. Многие инспектора давно перестали спускаться в шахту, получая от собственников «конверты». Количество нарушений накапливалось, а потом пошли аварии», - говорит Мохначук.

Роль профсоюзов и система оплаты труда

Путин рекомендовал угольным компаниям и профсоюзам договориться о том, чтобы на постоянную часть приходилось не менее 70% зарплаты шахтеров. Именно сильная зависимость конечного размера зарплаты от объемов выработки, по мнению экспертов, заставляла работников шахт пренебрегать мерами безопасности: если участок будет закрыт на некоторое время, он не сможет выполнить план, и, как следствие, шахтеры получат лишь половину своего обычного заработка. По словам Мохначука, в ближайшее время профсоюз займется «отработкой технологии» по внедрению этой инициативы премьера в жизнь.

Власти США с подобными инициативами не выступали, поскольку урегулированием этого вопроса в США традиционно заняты отраслевые профсоюзы, в которых сейчас состоят более 90% работников американской горнодобывающей отрасли. Крупнейший из них, United Mine Workers of America, создан больше века назад. До конца решить проблему, впрочем, не удается и в США: как отмечается в очередном обзоре американской аналитической компании CostMine, «объем добычи угля до сих пор остается основным критерием при расчете размеров премии на угольных шахтах США».

Повышение штрафов за нарушение техники безопасности

Штраф, который может быть наложен на руководителя предприятия, в России не превышает 5000 рублей, на юридическое лицо - 50 000 рублей. В США директор шахты может быть оштрафован на сумму до $250 000. Профсоюз горняков намерен добиваться увеличения штрафов и выплат семьям погибших шахтеров. «Сегодня по закону выплата родственникам погибших составляет 64 400 рублей, мы будем добиваться, чтобы она была не меньше 1000-кратного размера МРОТ, или около 4,5 млн рублей», - говорит Иван Мохначук.

Техническое перевооружение

Притом что в угольных отраслях России и США занято примерно одинаковое количество людей, Америка добывает угля в несколько раз больше. В 2009 году добыча угля в США упала на 8,5% (самое значительное падение с 1958 года) и составила 1,07 млрд т. Добыча угля в России в прошлом году упала примерно на такую же величину и составила 300 млн т.

Производительность труда, позволяющая снизить количество работающих и, соответственно, количество потенциальных жертв аварий, в американской угольной промышленности начала резко расти на рубеже 1970-1980-х годов. Связано это было с внедрением новых технологий разработки угольных пластов, позволяющих увеличить добычу угля одновременно со снижением числа занятых. Только широкое внедрение технологии «длинного забоя» (longwall mining), пригодной для отработки толстых и залегающих горизонтально угольных пластов, позволило снизить количество занятых на участке добычи почти в 10 раз. Если в 1983 году по технологии «длинного забоя» разрабатывалось только 20% всех подземных угольных шахт, то к 1995-му - уже 45%. Как результат, производительность труда шахтеров за тот же период выросла более чем вдвое - с 1,59 т в час на одного работника до 3,85 т в час.

Технологическое отставание связано в большой степени с вопросом трудоустройства высвобождаемых шахтеров в регионах, где угольные предприятия являются градо- и даже регионообразующими. «Добыча угля у нас - традиционно очень трудоемкое производство, с большим количеством работников, целыми шахтерскими династиями. Как показывает практика, такие вещи очень трудно ломаются, скорее всего, процесс повышения эффективности труда будет эволюционным,

1. Не производить любые работы без письменного наряда, наряд допуска при выполнении работ повышенной опасности.

2.Не заходить и не приступать к работе в горных выработках при отсутствии крепления и наличии опасных навесей кусков горной массы до приведения горных выработок в безопасное состояние.

3. Не заходить в зону ведения буровзрывных работ.

4. При работе на высоте применять средства индивидуальной защиты и страховки, ограждать опасную зону во избежание падения предметов и травмирования людей.

5. При выполнении работ применять исправные и сертифицированные средства индивидуальной и коллективной защиты.

6. Не находиться и не выполнять работы под подвешенными грузами при эксплуатации грузоподъемных механизмов.

7. Не приближаться к движущимся и работающим транспортным средством до полной остановки транспортного средства и установления контакта с водителем.

8. Ремонтно-профилактические работы с любым видом энергии (электрической, сжатого воздуха, пара, воды и т.д.) выполнять с применением блокирующих устройств.

9. Следовать на рабочее место и обратно строго по установленному маршруту. Не заходить в отработанную выработку на подземных работах.

10. При выполнении работы применять исправные приспособления и инструменты.

Пять шагов безопасности:

1.Понимаю ли я свое наряд-задание? Понимаю ли я все сопряженные риски?

2.Безопасен ли мой маршрут к рабочему месту?

3.Все мои инструменты исправны. Все мое оборудование и приспособление исправны.

4. Мое рабочее место безопасно.

5.Я знаю обо всех работах происходящих вокруг моего рабочего места.

2 Требования безопасности и охраны труда перед началом работы

2.1 Мастер участка (смены) ПУ МПЦ:

Производит «идентификации опасностей и оценку рисков» на каждом рабочем месте и устраняет выявленные риски;

Выдает наряд – задание плавильщикам ПУ МПЦ для производство работ на ПВ;

Ознакомляет работников с входящими документами (информационные бюллетени, телефонограммами, сообщениями, приказами, распоряжениями по МПЦ);

Проверяет книгу медицинского осмотра работников состоящие на учете;

Проверяет предсменное прохождение медицинского освидетельствования (алкотест) у машинистов мостовых кранов и дежурного электромонтера;

Ознакомляет с реестром рисков возможного получения травм;

Опрашивает работников на знание 10 к.п.б. и 5 ш.б., политики безопасности, приказы выпущенные по БМЗ, распоряжения выпущенные по МПЦ;

Проверяет наличие СИЗ у работников;

2.2. Работники перед началом работ должны:

Пройти медицинский осмотр состоящие на учете или предсменное прохождение медицинского освидетельствования (алкотест);

Осмотреть спец. одежду, которая должна быть в исправном состоянии, застегнута на все пуговицы;

Иметь в обязательном порядке средства индивидуальной защиты т.е.каску, рукавицы вачеги, респиратор, беруши, суконная куртка, брюки суконные и защитный щиток;

Получить письменное наряд – задание на производство работ согласно данной инструкции;

Ознакомится с входящими документами (информационные бюллетени, телефонограммами, сообщениями, приказами, распоряжениями по МПЦ);

Ознакомится с реестром рисков возможного получения травм;

Знать 10 к.п.б. и 5 ш.б., политику безопасности, приказы выпущенные по БМЗ, распоряжения выпущенные по МПЦ;

Применять СИЗ согласно отраслевых норм указанных в рабочих инструкциях по профессиям ПУ МПЦ;

В случаи выявления риска возможного получения травмы работник заполняет сигнальный лист находящийся у мастера участка (смены) ПУ МПЦ, оповестив ИТР участка положитьсигнальный лист в предназначенный для этого ящик.

В случае выявлении опасности причинения угрозы жизни или здоровью работников необходимо заполнить лист отказа работника от работы и вручить мастеру участка (смены) ПУ МПЦ, далее до устранения несоответствий на рабочем месте получить другое письменное наряд – задание от мастера участка (смены) ПУ МПЦ;

Перед началом работы обязательно необходимо убедиться в отсутствии посторонних лиц в зоне работы плавильщиков;

Проверить исправность инструментов;

Проверить достаточность и правильность обеспечения мер безопасности по ТБ;

Ознакомиться с состоянием оборудование, движущие части агрегатов должны быть ограждены, но не должны затруднять процессом розлива у предыдущей смены, обратив особое внимание на качество и работоспособность;

В зимнее время убедиться в отсутствии наледи на площадках;

Применять (таймас) противоскользящие средства;

Надежность крепления и исправность ограждений;

Проверить чистоту рабочего места;

Проверить исправность звуковой и световой сигнализации;

Проверить освещенность рабочего места;

Проверить запас огнеупорной глины и пробок;

Работу вентиляционных устройств;

Отсутствие сырости и мазута на рабочих площадках у печей.

2.3 Общие требования пожарной безопасности:

В целях пожарной безопасности рабочие места в цехе оборудуются щитами со средствами пожаротушения;

К средствам пожаротушения должен быть обеспечен свободный доступ;

На территорию взрыва и пожароопасных производств запрещается приносить спички, зажигалки, фонари и другие источники огня;

Курить строго в определенных местах;

Использование пожарного оборудования и инвентаря для производственных и других нужд, не связанных с пожаротушением – запрещается;

2.3.1 Действия работника в случае пожара:

В помещении, где возник пожар, нельзя создавать сквозняки, так как приток свежего воздуха только усиливает горение, поэтому окна и двери в этом помещении следует закрывать;

Открывать окна и двери можно только для спасения людей, эвакуации материальных ценностей, а также тушения пожара. Чтобы предотвратить распространения горения, если оно только началось, в помещении необходимо немедленно включить вентиляцию, перекрыть газовые, нефтяные, бензиновые, масляные трубопроводы.

При выходе из горящего помещения нельзя создавать суматохи и паники, сохранять спокойствие и порядок, которые обеспечат успешную эвакуацию.

Для облегчения дыхания следует закрыть нос и рот платком, смоченным водой;

Каждый работник МПЦ обязан, в случае обнаружении очага пожара сообщить об этом в пожарную часть, сообщить мастеру смены и после этого приступить к тушению пожара первичными средствами пожаротушения;

Действует единый номер вызова пожарной команды «101»;

На БМЗ помимо этого номера можно вызвать пожарную команду по телефону «4-75-11» .

2.4 Характеристика работ:

Обслуживание печей и выпускных отверстий при выпуске расплава, наблюдение за их состоянием, состоянием сифонов, фурм, кессонов, желобов и другого оборудования;

Размывка и очищение ванны от настылеобразования;

Регулирование высоты продуктов плавки в сифоне;

Контроль на содержание меди в шлаке и штейне;

Выпуск шлака и штейна;

Обслуживание вспомогательного оборудования;

Осмотр, чистка фурм и леток, наблюдение за их работой, режимом дутья, уровнем шлака и расплава в печах;

Замена леток;

Уборка рабочего места;

Регулирование положения электродов электропечей, температуры или интенсивности процесса горения, поступления воды в кессоны;

Подача сигналов о выпуске шлака;

Подготовка желобов, шлаковых чаш и приготовление огнеупорных материалов;

Участие в очистке загрузочных и шлаковых окон, порогов;

Строповка коробов;

Выпуск шлака, штейна, заправка выпускных отверстий, шлаковых окон, порогов, желобов, разделка и заделка летки, замена шпуровой плиты, отстойников, изложниц и перепуск электродов под руководством плавильщика более высокой квалификации;

Приготовление набойки.

Определение пригодности к работе, сушка, подогрев и очистка изложниц, ковшей, желобов;

Установка, съем и очистка пульверизационных форсунок;

Все элементы системы направлены на поддержание рабочего места в полном порядке, чтобы ни один лишний элемент ни привел к браку или несчастному случаю на производстве

Система организации рабочего пространства «5 S» была разработана в послевоенные времена в Японии. «5 S» — это 5 шагов, которые выполняют все участники производственного процесса: от уборщицы до генерального директора. И система в самом деле работает, хоть и не требует каких-то специальных знаний, условий и затрат. Сообщает сайт Охрана труда в России.

Что же такое «5 S»? Так как система была разработана в Японии, то и состоит она из 5 японских слов: Сэири, Сэитон, Сэисо, Сэикэцу, Сицукэ. Данные слова имеют довольно простой перевод и значение, но обо всем по порядку.

Сэири или «сортировка» — это четкое разделение вещей и предметов на нужные и ненужные. Таким образом при организации «здорового» рабочего места необходимо избавиться от всего лишнего, того, что в работе не применяется. Все это относится и к документации, которая так же пылится без дела. Ненужные инструменты, кстати? можно продать, за счет чего будет дополнительная выгода.

Второй элемент (сэитон) означает «соблюдение порядка». Необходимо организовать четкое хранение инструментов и приспособлений на рабочем месте. Во-первых, это экономит время при работе, так как каждая вещь на своем месте и ее легко найти, а во-вторых, она не мешается под руками, не создает опасной ситуации. Кроме того, соблюдение порядка предусматривает и организацию рабочего места, чтобы использованные в работе инструменты после смены было легко вернуть и рассортировать по своим местам.

3 S-элемент (сэисо) – содержание в чистоте. Данный элемент предусматривает разбивку рабочего места на рабочие зоны и поддержание их в постоянной чистоте. Возможно предусмотреть специальный график или закрепление каждого участка за определённым работником, который был бы ответственным за уборку своей зоны. Кроме всего прочего, необходимо составить график уборки и выделить на нее необходимое время до работы, во время выполнения рабочих операций и за некоторое время до окончания смены.

Для того, чтобы вся система работала, необходим четвертый элемент – сэикэцу (стандартизация). Проще всего представить данный элемент в виде инструкций, планов, схем, руководящих документов коих в охране труда не так уж и мало.

Как и в системе управления охраной труда необходимо постоянное совершенствование (сицукэ). Данный элемент отвечает за выработку привычного поведения работников, соблюдение ими установленных правил, процедур и технологии производства.

Все элементы системы, как можно заметить, направлены на поддержание рабочего места в полном порядке и чистоте, чтобы ни один лишний элемент не повлиял на ход выполнения операций и ни привел к браку или несчастному случаю на производстве.

Данная система стала широко применяться и на российских предприятиях, например, на Тверском вагоностроительном заводе. В конце 2013 года систему «5 S» внедрили и на Хабаровскую ТЭЦ-3. В Японии данная система внедрена на предприятии Toyota. Система организации рабочего места «5 S» достаточно универсальна и подойдет как для офиса, так и для серьезного производственного процесса.

Социальные сети стали неотъемлемой частью нашей жизни. Facebook является не просто каналом связи, но важным источником ежедневных новостей, информации о компаниях, а также платформой для онлайн продаж. Благодаря мобильными приложениям мы можем запустить Facebook где и когда угодно. Мы, как активные пользователи, должны еще лучше заботиться о безопасности при пользовании данным сервисом.

Безопасный вход в учетную запись Facebook

1. Используйте двух этапную проверку, или так называемое подтверждение входа в качестве дополнительного средства защиты вашего аккаунта. Каждый раз, когда вы войдите в свой аккаунт, Facebook вышлем вам вновь сгенерированный код с помощью SMS, для завершения процесса вход. Функция подтверждение входа позволит вам лучше контролировать доступ к вашей учетной записи. Подробные инструкции, как ее настроить можно найти .
2. Выберите, так называемые, доверенные контакты. Это три или четыре человека, с которыми можно связаться в Facebook, в случае если ваш аккаунт был заблокирован. Выбранному вами человеку будет предоставлен код доступа, который он должен передать вам для восстановления своих учетных данных. Для того, чтобы выбрать доверенные контакты перейти в Настройки -> Безопасность и выберите друзей. Если вы хотите узнать больше об этой настройки .
3. Настройте оповещения о входе, чтобы получать уведомления в случае если Facebook видит подозрительную попытку входа в вашу учетную запись; например, с неизвестного компьютера или смартфона. Оповещения о входе могут быть отосланы вам в виде текстового сообщения, электронной почты, или Facebook уведомления. Вы сами решаете, какой формат наиболее вам подходит. В случае, если вы подозреваете, что кто-то пытался зайти в вашу учетную запись, Facebook поможет вам сбросить пароль и установить новый. Так же, как другие настройки безопасности вы найдете оповещения о входе в разделе Безопасность. Подробные инструкции можно найти .
4. Защитите себя от фишинга и спама. Кибер-мошенники пытаются получить доступ к вашим личным данным, создавая URL, которые выглядят так же, как Facebook. Пожалуйста, имейте в виду, что социальная сеть никогда не отправляет электронное сообщение с просьбой прислать ваши личные данные. В случае, если вы получили подобное электронное письмо, которое перенаправило вас на веб-страницу, напоминающую Facebook, никогда не отправляйте ваши данные. Узнайте больше о Фишинге на Facebook .

5. И последнее, но не менее важное защитите мобильное приложение Facebook. Если, как и другие миллионы пользователей Facebook, вы заходите в соц.сеть с мобильного должны рассмотреть вопрос об установке приложения, которое будет блокировать доступ к Facebook. Это удобно в случае, если ваш мобильный телефон потерян.