时间:2023-03-29 09:27:36
引言:寻求写作上的突破?我们特意为您精选了12篇安全中级论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
一、安全文化的产生与发展
安全文化是伴随人类的生产活动而产生的。但是,人类有意识地发展安全文化,还是近10余年的事,国际原子能机构在对1986年发生的切尔诺贝利核泄漏事故调查分析的基础上,于1991年编写的“75-INSAG-4”评审报告中,首次提出了“安全文化”的概念,并建立了一套核安全文化建设的思想和策略。
安全文化是人类生产活动与生存过程中的安全价值观、安全方式、安全行为准则以及安全规范、安全环境的总和。一个企业的安全文化是个人和集体的价值观、态度、能力和行为方式的综合产物,它决定于安全管理上的承诺、工作作风和精通程度。“以人为本”是安全文化的核心理念,一切为了人的人本观念是安全文化建设的基本准则。只有启发、引导、强化员工的安全意识,增强员工的防范意识,提高员工的安全素质和技能,从“要我安全”转变为“我要安全”、“我会安全”,才能达到“不伤害自己,不伤害他人,不被他人伤害”的安全状态。
安全文化大体上可分为四大发展阶段(见下表)。安全文化发展阶段
观念特征
行 为 特 征
古代安全文化
(17世纪前)
宿命论
被动承受型
近代安全文化
(17世纪-20世纪初)
经验论
事后型、亡羊补牢
现代安全文化
(20世纪初-50年代)
系统论、控制论
综合型,
人、机、环境对策
发展的安全文化
(20世纪50年代以来)
信息论、本质论
超前、预防型
二、安全文化是企业文化在安全领域的创新与发展
企业安全文化是企业文化的组成部分,是企业文化在安全领域的创新与发展。跨入21世纪,随着改革开放和时代的发展,改变着人们的生产、生活理念和行为,中西方文化相互激荡对人们的价值观产生着重大影响,不断更新着安全思想、安全理念,企业安全文化已经越来越引起人们的广泛关注。全新的价值观念、更务实的关注安全、珍惜生命、以人为本已成为一种弘扬和倡导安全文化、提高员工安全文化素质的主流。
三、安全文化对企业安全生产的作用和影响
引起事故的直接原因一般可分为两大类,即物的不安全状态和人的不安全行为。解决物的不安全状态问题主要是依靠安全科学技术和安全管理来实现。但是,科学技术是有其局限性并不能解决所有的问题,其原因一方面可能是科技水平发展不够或是经济上不合算,另一方面科学技术和安全管理也是由人完成的。因此,控制、改善人的不安全行为尤为重要。企业在安全管理上,时时、事事、处处监督每一位职工被动地遵章守纪,是一件困难的事情,甚至是不可能的事,这就必然带来安全管理上的漏洞。安全文化概念的应运而生,安全文化能弥补安全管理的不足,因为安全文化注重人的观念、道德、伦理、态度、情感、品行等深层次的人文因素,通过教育、宣传、引导、奖惩、激励、创建群体氛围等手段,不断提高企业职工的安全修养,改进其自我保护的安全意识和行为,从而使职工从不得不服从管理制度的被动执行状态,转变成主动自觉地按安全要求采取行动,即从“要我遵章守纪”转变成“我应遵章守纪”。
安全文化对于一个企业发展来说,看起来似乎不是最直接的因素,但却是最根本、最持久的决定因素。安全文化具有导向功能、激励功能、凝聚功能、规范功能,是安全生产的基础,企业安全文化氛围的形成必然推动安全生产的发展。
四、加强安全文化建设,营造安全生产的软环境
安全文化是安全学和文化学的边缘学科。安全学包括安全哲学、安全行为科学、安全系统学、安全人机学、安全管理学、安全经济学等。
企业安全文化建设的模式与结构,可从企业安全生产观念文化、管理文化、行为文化和物态文化四个方面考虑,下图归纳了安全文化建设模式的内涵和联系。
五、企业安全文化建设的途径和方法
企业安全文化不是无源之水、无本之木,它需要通过一定的资源和过程,要改变旧的传统观念,从原有思想认识的转变和提高,进而提高安全文化素质,绝非轻而易举、一蹴而就,它需要漫长而艰巨的努力。但是,回报一定与投入成正比。企业安全文化建设一般采取以下途径和方法:
1.通过宣传教育提高员工的安全文化素质;
2.推广科学技术,促进安全文化的建设和发展;
3.加强法制建设,保证安全文化建设的健康发展;
4.引人先进的管理机制,推动安全文化建设不断进步;
2口令文件保护
为了加强口令文件的安全,现在都使用了结合随机数加密口令的方式,有效防止了预处理字典攻击。作为进一步的改进,可以将Windows2003的口令文件管理SAM进行扩展,在创建新用户时,采集每个用户的生物特征信息替代上面的随机数,将生物特征代码与用户口令合成,再加密生成加密数据存贮在口令文件相应位置。这样也可防范预处理字典攻击,同时,由于生物特征与每1个人和用户名相对应,这样用户不可能否认该帐号不是他的,可提供抗抵赖证据。
3访问控制
Window2003的访问控制采用了自主访问方式,具有较好的灵活性和易用性,同时有些安全组件己经实现了Bl级的部份安全要求,如安全标识功能。因此我们可以充分利用现有的安全组件,增设相应的强制访问控制管理机制。系统首先执行强制访问控制来检查用户是否拥有权限访问1个文件组,然后再针对该组中的各个文件制定相关的访问控制列表,进行自主访问控制,使系统中主体对客体的访问要同时满足强制访问控制和自主访问控制检查。
4文件管理
CZ级要求具备审计功能,不允许访问其他用户的内存内容和恢复其他用户己删除的文件。Windows2003通过提供相应的安全审计组件满足安全审计要求。在文件管理方面,Windows2003提供了NTFS文件系统增强文件的安全性。在进行文件删除管理时,Windows2003通过提供回收站功能,用户可先将不用的文件放入回收站,这样用户可从回收站中将再次需要的文件重新取回。当确认不再使用这些己放入回收站的文件时,只需清空回收站,这时别的用户就不可能利用系统本身提供的功能恢复别的用户己删除的文件。虽然它基本满足了CZ级对文件管理的要求,但这对更高安全要求的应用是不够的。由于Windows2003的文件删除并不是彻底覆盖删除文件所用的硬盘扇区,而只是在文件分配表中给该文件作上已删除标记,使系统不能再访问,通过使用第3方工具可以很容易地恢复出用户已删除的文件。因此为了加强文件管理的安全性,可以通过增加系统安全擦除组件,删除文件的同时就彻底覆盖文件所用的硬盘扇区。从而即使有用户使用第3方工具也无法恢复出别的用户已通过安全擦除方式删除的文件。实现安全擦除,由于要重写删除文件所用的每一个扇区,因此比较耗费时间,会使系统的响应变慢。在设计擦除组件时,应充分考虑系统的可用性和灵活性,由用户来设定重写扇区的次数。系统缺省还是采用Windows2003的常规文件删除方式,用户在删除自己的高密文件时,根据安全需求采用相应的擦除方式。
5漏洞补丁
Windows2003在发现系统安全漏洞后,通过及时在网上系统的漏洞补丁来解决由漏洞引起的安全隐患。通常网上公布后,由用户自行下载安装或设置系统定时下载补丁来安装,但这样缺乏及时性。应在系统安全漏洞的补救方式上,采取“推”而不是“拉”的办法实现安全漏洞的补救。这样一旦发现系统安全漏洞,操作系统供应商提出解决方案后就可通过网络向用户系统及时推出,而不是由用户知道了漏洞再向服务器下“拉”漏洞补丁而错过及时解决问题的时机。增加1个专门接收系统漏洞补丁的组件,保持端口常开,随时接收来至网站的安全补丁,实现漏洞补救的及时性。
6用户管理
在Windows2003系统中,系统管理员拥有绝对的权力,能对系统的一切相关设置进行管理,这样对于安全性要求较高的应用场合是不适合的。应改变现有用户管理的方式,将系统安全管理部分独立出来,降低超级用户的权力,设立系统管理员、安全管理员、安全审计员,防止攻击者利用1个特权用户的身份获得对整个系统的控制。系统管理员的职责是系统的日常运行维护,安全管理员管理安全属性等信息,安全审计员进行审计的配置和审计信息维护3种特权角色的权力互不交叉,不允许同一用户充当两种以上的特权角色,使相互之间形权力制约,限制系统管理员的权限,就可避免系统管理员权限过大的缺陷,使Windows2003更能适合安全要求更高的应用场合。
7安全模型
7.1安全操作系统模型
安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,为安全策略与其实现机制的关联提供了1种框架。安全模型描述了对某个安全策略需要用哪种机制来满足,而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特别的安全策略所需要的安全保护。通常由特殊可信主体,完整性检查员的工作模式。通用操作系统虽然通过使用多种安全技术相结合的办法能增强系统的安全性,但对于安全性要求较高的应用场合还是不能满足安全要求的。该安全模型就是为了加强系统的安全性提出的,该模型设计目的就是在更大程度上实现系统的安全性。通常机密性和完整性是操作系统安全的两个重要特性,BLP模型只解决了机密性的问题,而Biba模型只解决了完整性的问题,没有使二者同时兼顾。为了更好地实现系统安全,根据BLP和Biha安全型的安全原理,结合实际应用,该模型将安全政策,决策实施,安全数据库三者相分离,这样就可以灵活的支持多种访问控制机制。在这种情况下,系统通过修改内核中与安全相关的系统调用,在具体操作执行前请求安全决策,根据决策结果决定是否允许实施操作。系统安全模型中,把操作系统分为系统内核和用户空间,系统内核分为安全决策和决策实施两个部分,安全决策依赖于安全政策,负责判断1个安全相关行为是否可以执行,决策实施与安全政策无关,负责执行1个已经得到许可的行为所要执行的任务。安全决策内部设立相互独立的政策支持机制,每个安全政策对应1个政策支持机制,这样在安全政策的支持方面就能获得一定的灵活性。在系统中,多种访问控制机制、安全审计、加密文件系统等安全机制相互结合,构成了强大的安全内核。
7.2通用访问控制框架
该安全系统模型中,通过使用通用访问控制框架来实现灵活的访问控制。当1个主体访问客体时,相关系统调用就会请求安全决策,安全决策的相应机制首先根据安全请求的类型确定应采用的安全政策,再把决策任务转交给对应的政策支持机制,最后将决策结果返回给决策实施机制去执行。从内核的角度看,安全相关行为是由系统调用触发的。以系统调用打开文件为例,这是个安全相关行为,首先决策实施模块把打开文件的请求提交给安全决策子系统,决策系统受理这个请求,并由相应的政策支持机制作出判断。决策结果返回给决策实施部分,决策实施部分根据决策结果实施相应动作,并将结果信息返回给系统调用。系统调用根据这个安全决策结果确定下一步的行为。
7.3自主访问控制
为了实现进一步地对访问进行控制,系统安全模型中通过增加基于ACL的自主访问控制来实现。通过访问控制列表(ACL)机制就可以实现对系统资源的访问控制粒度的细化,可以实现系统中任一用户对各种系统资源(目录,文件,特别文件,管道等)的控制访问。主体对客体的权限可以有3种方式:第1种是ACL信息中具体指定了此主体对此客体的权限;第2种是主体作为某1组中的具体成员而对此客体享有它所在的组所享有的权限;第3种是该主体取此客体对外的缺省值。
7.4强制访问控制
强制访问控制是指对客体访问的安全政策由系统强制实施,客体属主无权控制客体的访问权限,防止对信息的非法和越权访问,保证信息的机密性。BLP模型是公认的信息保密模型,自产生以来在很多安全操作系统的开发中得到了应用。本模型的强制访问控制也采用BLP模型,通过利用安全属性库(一些安全文件的集合)来实现强制访问,并把这些安全文件放在受保护的特殊目录下。为了实现完整性访问控制,模型可以用Biba安全模型为基础,根据信息可能被破坏所造成的影响的严重程度,对信息的修改实施强制访问控制,支持系统客体和主体的完整性级别划分,系统根据用户身份的完整性级别和信息资源的完整性级别确定用户对信息资源作修改的授权决定。在完整性访问控制的支持下,可以防止非法用户或进程修改敏感信息。
7.5系统管理特权分立
Windows2003、Linux、Unix的用户特权划分只有2级,超级用户和普通用户。超级用户具有所有的特权,普通用户没有特权。这种做法不符合安全系统的“最小特权”原则。攻击者只要获得超级用户身份,便得到了对系统的完全控制。通过在模型中使用“最小特权”原则对超级用户的特权进行化分,根据系统管理任务设立3个角色并赋予相应特权。3个系统管理角色分别是系统管理员、安全管理员、审计管理员。统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户帐号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息,3个角色互相制约。攻击者破获某个管理角色的口令时不会得到对系统的完全控制,这样就能更好地保证系统的安全性。
权限控制技术给予不同的用户以不同的权限级别,没有达到权限的用户就会被屏蔽在网络资源和计算机终端的信息资源之外,这样就实现了网络资源和计算机终端的信息资源访问范围和内容的限制,保护了网络资源和计算机终端不受网络非法操作的侵袭。目录及文件属性控制技术可以有效控制用户对目录和文件的访问,只有获得访问权限的用户才能进一步获知目录及文件的具体内容,如果没有获得相应的权限,就无法执行访问、拷贝或删除等操作,这样有利于进一步实现计算机办公终端的信息安全。
1.2VPN技术
VPN是虚拟专用网络,它的主要功能是在公网建立一个有特殊用途的专用网络进行安全稳定的通讯活动。它基本上可以分为三大类:
①企业内部的虚拟网络,它是指企业的总部和各个分部之间在公网的基础上所建立起来的虚拟网,这个虚拟网通过一个专业的共享基础设施连接起来,这样就保证了信息的安全与稳定。
②远程访问虚拟网,它主要通过公务远程拨号的方式来实现员工与企业的小分支机构之间的联系,这样有权限的员工用户碎石可以访问企业资源,没有权限的用户则被屏蔽在企业资源之外。
③企业扩展虚拟网,它将不同的企业网在公网的基础上进行连接,因为使用一个专用的共享基础设施,所以它可以有效保障此虚拟网内计算机终端的安全。由此可知,VPN技术主要是通过私有的渠道在公网上仿真一条点到点的专线,通过加密、认证和密钥等方式来实现数据的安全性和完整性的保护。VPN技术主要由安全隧道技术、密钥管理技术和访问控制技术以及用户身份认证技术组成,其中安全隧道技术是VPN技术的主要技术,它将未传输之前的原始数据进行加密和压缩等处理,然后嵌入到另一种协议的数据包中,最后再把数据包传送到网络之中,因此它有效保证了在公网上建立一个安全稳定的私有通道。由此可见,VPN技术在很大程度上实现了计算机终端的安全管理。
1.3反病毒技术
反计算机病毒技术主要从防范病毒、检查病毒和杀死病毒三个方面来实现对计算机终端网络系统的保护。
①在计算机系统内部安装防范病毒的程序,可以在病毒攻击之前,预先掌握对系统的操控权,达到“不战而屈人之兵”的效果,防止计算机病毒进入计算机和网络系统造成破坏。对病毒的预防,在实际操作中主要有系统监控、信息加密、读写保护等方式。
②检查病毒是通过一定的技术手段去判断出计算机和网络系统是否已经感染病毒,从技术层面上来说,可以执行下列两种程序:a.根据病毒特有的传播方式、关键信息和其大小的变化等信息来对其进行判定。b.通过对某个数据段进行研究和比对,并对其结果建档保存,然后时常以建档保存的结果对该数据段进行观察和对比以确定该数据段是否已经感染上某种病毒。
③一旦计算机和网络系统真的感染上病毒,就需要采取一定措施杀死病毒,以减轻病毒带来的危害。最常用的方式就是安装杀毒软件来杀死病毒,但是杀毒软件并不是每一次都能准确地发现并完全杀死病毒,有时候它对一些已经发生变化和新出现的病毒也无可奈何。因此,我们应当经常对杀毒软件进行更新和升级来增强它杀死病毒的能力。由上述分析可知,只有不断加强反病毒技术的研究和创新,才能有使计算机终端免受病毒的侵害,从而有效实现对计算机终端的安全保护和管理。
2中国煤矿机电技术管理中出现的问题
改革开放以来,中国煤矿的安全生产取得了一定的成就,安全质量标准化建设也初见成效,安全生产气氛浓烈,安全管理基础工作得到了长足的发展。但在这些进步的背后,煤矿生产管理至今还存在着一些无法克服的安全隐患。
2.1安全规范和实际操作不符
煤矿的矿井管理规范非常严格,并有可供参照的国家法律规范标准,包括如关于电动机周围瓦斯浓度的规定“电动机及其开关地点附近20m以内风流中瓦斯浓度达到1.5%时,必须停止运转,撤出人员,切断电源,进行处理”等设计机电系统的各方面规定。但一些煤矿企业并没有自己专门的机电标准化的管理人员,通常还是采用雇佣兼职的方式来管理,很多环节并未按照国家相关的标准进行管理。加上员工对标准化概念的认识不强,缺少专业的操作技能,在实际操作中随意性较强,对安全隐患不够重视等执行难现象,也是机电系统难以安全运行操作的一大难关。
2.2缺乏对位监管职能作用削减煤矿机电设备运行是一个相互配合的整体系统,大多数煤矿企业都设立了煤矿机电科,主要负责机电生产和管理。而在其综合管理中,却往往出现只重生产而轻技术管理等监管不力的问题,使管理职能作用削减,管理效果不明显。主要表现在:缺少在试运行中对牵引链松紧程度的观察;班长、电钳工共同处理问题时的时间不足和停机信号不明显等方面。在这种机电管理人员缺乏、专业组织不健全的管理现状下,在生产时很容易出现因超负荷运转而闷车、电气及机械部件温度过高而影响正常运转的状况发生,这些都会降低机电设备的正常运行,降低其使用生命,甚至产生人员伤亡的安全隐患。此外,煤矿行业在地方政府的监管严重缺位,其市场准入原则不强,缺少必要的宏观调控,也是煤矿安全事故频发的重要外部因素。
2.3操作人员技术水平低专业素养不高
受到煤矿企业自身的特点影响,在中国的煤矿开采仍采用粗放式的作业方式,机电技术操作者受教育程度普遍不高,而且来去频繁,很难固定,对新招收的员工缺少系统专业的学习,理论知识和操作管理经验都显不足。即便一些企业定期开展机电培训,也一般为“走马观花”的形式,培训理论知识与工作实践的培训脱节,缺少针对性,以致被培训人员的学习热情不高,这些都会导致安全隐患的发生。
2.4缺少安全意识安全投入不足
随着煤炭企业市场化的不断深入,上到管理下到工人都对产量和效益更为注重,却忽略了安全生产管理,安全意识薄弱,颠倒了产量、效益和安全之间的关系。只顾眼前利益,将《作业规程》、《技术措施》等当成开工护身符[3]。在安全设施的投入和安全资金的使用方面存在较大缺口,使安全生产难度加大。
3机电技术管理在煤矿安全生产中的合理应用
3.1建立健全的技术管理体制
在煤矿安全生产中,中国对煤矿机电设备的规定已经非常明确,但仍存在诸多的不完善之处。这就要求各煤矿企业积极按照《煤炭安全规程》规定,建立健全安全技术管理体制,成立由技术员、技术技师和优秀技术工人组成的专业化管理机构小组,定期组织召开技术管理专题会议,安排业务素质较高的专职技术人员进行安全管理,真正做到明确分工、各司其职,使技术管理与生产相统一,尽量使安全规范与实际执行过程相符合[4]。
3.2履行管理义务服务安全生产
强化机电设备的综合管理,是有效解决第一线安全操作问题的关键。而中国煤矿安全生产的综合监管一般采用奖、惩两种方式。一些私人煤老板为了追逐眼前利益,经常缩减各部门的运行开支,将老化落后的机电设备投入到煤矿开采中,又不进行实时监管维修,严重影响开采效率,从业人员安全无保障。煤矿集团作为综合管理的监管执行部门,需严格履行相关政策法规中的管理义务,扩大投资、及时维修更新设备,在落实基础管理的基础上,服务安全生产。
3.3加强现场管理提高运转效率
机电设备的现场安装质量直接关系到机电安全问题。加强设备安装过程、运行过程和检修过程的质量把控,能有效降低机电设备的故障率。合理利用设备并定期检查,能大大提高设备在使用中的运行效率和使用寿命。这就要求机电设备管理员依照相关制度,认真把关每一道工序,严格提高质量验收标准,在确认没有任何问题后再进行确认签字,并移交下一道工序。通过实施责任制的方式来确保设备现场管理的有序、高质完成。
3.4强化安全培训提高人员专业素质
将技术培训作为管理重点,实行煤炭从业准入制度。强化对机电技术操作人员的安全培训,将全员培训、终身培训/间断性培训和上岗培训相结合,并制定相应的考核制度和计划。加大对专业技术人才的培养投资力度,通过采取措施请进优秀的师傅,让在职员工有机会走出去参加培训学习的方法,提高从业者的业务素质和技术能力,对相关的经营管理者和一些特殊工种的人员严格实行持证上岗制度。同时,制定相关的奖励措施,对一线的优秀操作人员进行鼓励,营造良好的工作氛围,来不断激发在职人员学习机电技术的积极性,从而使机电技术从业人员的业务水平和自身专业素质不断提升,将人的不安全行为降到最低[5]。
3.5加大科技投入的力度
在中国煤矿企业频繁出现安全事故,很大一部分原因都是由于煤矿机电安全管理技术落后造成的。在煤矿安全生产中,加大煤矿机电安全科研的资金投入,积极引进国外先进的技术设备,科学合理地安排生产,是搞好机电安全生产、提高机电技术管理水平和企业经济效益的重要途径,也能给中国的煤矿机电技术管理的安全生产提供保证,营造良好的工作环境,以确保煤矿行业的后继有人。
当前的电子商务的系统中的安全隐患有三个层面,包括引用系统安全隐患、网络系统安全隐患和操作系统安全隐患。针对这三个层面,就要求我们密切保护网络的安全,使用者自身也要保护自己的个人信息,如不在公共网络保存自己的账号密码,当然还应该定期检查信息的储存空间以及整理各个系统的资源。
1.2信息被窃取和篡改
在电子商务交易的进行中,如果密码过于简单或者使用者在公共网络中保存了账户密码,就致使黑客或者其他的入侵者更轻而易举地截取重要的信息,进而通过分析这些信息,获取规律,导致全部内容的窃取。更有甚者,入侵者会对使用者的传输内容进行篡改,或者对信息内容进行恶意的破坏,就会给用户造成更大的损失。因此,应对这种现状,应该改善加密技术,同时使用者应进行复杂的加密。
1.3计算机病毒
由于电子商务广泛普及,使得数据以及信息交易的内容都是通过网络来进行传播的。虽然使交易更为方便快捷,但同时,也提供给了计算机病毒一种更为迅速的传播方式。一旦出现计算机病毒,就会导致计算机的各个资源被篡改,计算机的功能被破坏使得无法正常运行工作,甚至还会传染给其他的计算机。
1.4认证安全存在漏洞
我们正处在一个便携性的信息化时代,电子商务规模逐渐扩大,但是网络交易的认证安全上存在着很多漏洞。当前还存在一些电子商务交易中仍未解决的问题,譬如,网络用户IP地址的频繁盗用,使得IP地址存在很大的冲突,进而导致网络的很多账号被盗取。
1.5电子邮件的伪造
伪造者在交易用户进行合法交易的过程中,会伪造大量的电子邮件,使得网络拥堵,导致商家的资源严重短缺,致使合法用户无法进行访问行为,这就使得响应的时间增长,交易过程变得混乱。
1.6否认交易行为
电子商务中,交易者否定自己发送给对方的交易信息内容,又或者不承认接收到原本接收到的内容。交易双方中有一方单方面的撕毁了协议。
1.7管理层面存在漏洞
电子商务的非面对面交易的存在形式,必不可免地使得电子商务的管理存在局限性。不明确的管理制度和不到位的管理措施,以及众多的单位和用户疏于管理电子商务的交易,给网络黑客以及计算机病毒的攻击提供了便利。基于此,就需要电子商务的交易双方设置更为健全的软硬件和网络操作系统,同时应当提高安全防范意识,及时清理电脑的垃圾信息,预防病毒的侵入。
2计算机安全技术在电子商务中的应用
电子商务迅猛发展,同时它的发展空间和发展前景也是不容忽视的。为了确保电子商务的长足发展,就需要重视电子商务中存在的安全隐患问题,只有更好地解决这些安全隐患,才能降低对计算机造成的风险和影响。综合运用多种计算机安全技术能够更大程度地确保电子商务交易的安全进行。
2.1身份识别技术
身份识别技术能保护合法的用户拥有应用网络资源的权利,方便统一管理用户,避免了入侵者的攻击和破坏。当然身份识别是针对参与交易双方进行的,只有这样,才能保证电子商务交易的有序进行,保护了双方的合法权益。
2.2数据加密技术
对电子商务交易中涉及的重要信息和数据进行加密,常用的加密方法包括公开密钥加密和专用密钥加密。这种技术能够维持电子商务交易的顺利进行,同时,还能避免入侵者对重要信息的攻击和破坏。提高了信息和数据的安全性和可靠性。
2.3数据加密技术
众所周知,在电子商务中由于非面对面交易,不可避免地会出现许多不确定的因素。数据加密技术能够有效预防和打击多种不确定因素的入侵。在交易过程的最初阶段即信息初步的互换过程就能使用数据加密技术。具体的实施流程是,在电子商务交易的过程之中,交易生成的那一方会有两个密钥,其中一个作为公共密钥,交易的另一方通过该密钥将重要数据和信息进行加密后,确保发送的数据的安全性和准备性,最后才进行最终的电子商务交易。
2.4访问控制技术
该技术主要就是使用防火墙技术针对不安全的层面进行预防和保护。具体来说,能够控制数据或者信息等内容的访问权限,只允许这些内容的读取,而不允许进行修改,这种访问控制技术,预防了入侵者的不良攻击和破坏,维护了电子商务交易的有序进行。
除了ACK请求和CANCEL请求,INVITE之后的请求中CSeq字段的数字是最初请求(INVITE)的CSeq递增的结果。而ACK和CANCEL请求则拥有与它所确认(取消)的请求相同的CSeq数字部分,只是方法名不同。Via字段存储所有处理请求的地址,它可以用来检测路由循环,也用于使应答消息经过请求消息来时相同的路径。因此, 在请求消息发送时,via标题头的数量是随着跳数逐渐增加的,而应答消息返回时,via标题头的数量则逐渐递减。在SIP消息分为请求和响应两类,其中请求消息是由客户机发往服务器,响应消息是由服务器发往客户机。例如SIP请求中INVITE事务,SIP在通过UDP传输协议来传送INVITE消息时,必须使用逐跳重传机制保证INVITE的最终传送,即用户UA和SIPproxy都要保证INVITE到达下一跳,下一跳收到时会返回一个临时应答,如果在限定时间内收不到应答那么就会重传INVITE。在SIP中的CANCEL事务与INVITE事务都是逐跳事务,但是处理方法不同,路径上的每一个收到CANCEL请求时,都会发送一个最终应答来响应,并且向下一跳发送一个CANCEL请求。
安防移动通信网络的发展史
楼宇对讲通信网络是无线电通信技术中的一个重要应用领域和组成部分,这项技术的开发和应用开始于上个世纪的20年代,当时主要使用在警察局总部与巡警车之间的车载移动通信服务――并迅速在警察部门得到推广应用。1946年,美国的AT&T公司开发设计出一种可以连接移动用户和固定电话用户的无线电话技术;基于这项技术,AT&T公司进一步开发了称之为安防移动电话服务(MTS,MobileTelephoneService)安防移动通信系统,它的改进型――IMTS系统在1969年发展成当时唯一的遍布美国的楼宇对讲移动通信网络。1968年,AT&T公司的贝尔实验室发明了蜂窝技术,它能将楼宇对讲移动通信网络的覆盖区域划分成很多类似蜂窝的小区,相隔较远的小区可以使用相同的无线电频率。蜂窝技术的应用极大地增加了移动通信网络容量,并使小区的基站能采用低功率发射,避免高发射功率带来的干扰问题。蜂窝技术的发明是移动通信史上的一个光辉里程碑,它的广泛应用标志着楼宇对讲移动通信进入了蜂窝移动通信时代。
20世纪70年代末80年代初,第一代蜂窝楼宇对讲移动通信网络在日本、瑞典、英国、美国、德国和法国等诸多国家广泛投入运行。第一代蜂窝移动通信网络基于模拟通信技术,采用的是频分复用(FDMA,FrequencyDivisionMultipleAccess)模式,网络的容量基本可以满足移动通信用户的需要。到了20世纪80年代末,由于模拟技术的第一代蜂窝移动通信网络已经显得过时,集成电路技术的进步推动了数字通信技术在第二代安防蜂窝移动通信网络中的应用。如先进的数字语音编码技术在保证话音质量的前提下可大大减少通信带宽的需要――提高了网络频段资源的利用率;差错控制技术增强了网络的抗干扰能力――基站可以以低功率发射;数字加密技术可以保护数字化了的用户语音、数据和网络指令;身份证技术可以鉴别移动用户的身份,有效防止身份假冒。所以第二代蜂窝移动通信网络相比不仅性能优良,而且安全。1990个,泛欧数字安防蜂窝移动通信网(GSM,GlobalSystemforMobileCommunication)率先在西欧各国开始运行,让欧洲摆脱了第一代蜂窝移动通信网络体制众多互不相通的困境。GSM网络在频分复用(FDMA)的基础上又采用了时分多址(FDMA),TimeDivisionMultipleAccess)来增加网络容量。其后,澳大利亚、中国和一些中东国家也陆续采用GSM网络,使得GSM网络成为世界上覆盖范围最大的移动通信网络。
20世纪90个代末期随着因特网与楼宇移动通信网的融合,低速率数据传输业务已经无法满足移动用户的需求,对高速率数据传输业务的需求推动着移动通信网络走向第三代。为此,国际电信联盟ITU就倡导制定一个全球统一的第三代蜂窝楼宇移动通信网络标准――未来公共陆地移动电信网络。1998年10月由欧洲、中国、日本、韩国和美国的电信标准组织联合成立了第三代伙伴记计划(3GPP、the3rdGenerationPartnershipProject)组织,旨在制定一种以IS-95核心网络为基础的第三代移动通信网络标准CDMA2000。
第三代楼对讲移动通信网络在本世纪初开始投入使用,日本的DoCoMo公司于2001年10月1日率先运营第三代移动通信网络。以上我们简单地回顾了楼宇对讲移动通信的过去和发展现状,在科学技术的进步和人们对移动通信服务需求的双重推动下,楼宇对讲移动通信网络仍将继续不断地向前发展,更完美地实现广大楼宇对讲移动通信用户的通信服务需求。
移动通信网络中的不安全因素
无线电通信网络中存在着各种不安全因素――如无线窃听、身份假冒、篡改数据和服务后抵赖等等。楼宇对讲移动通信网络作为无线电通信网络的一种类型同样存在着这些不安全因素,由于楼宇对讲移动通信网络的特殊性,它还存在着其他类型的不安全因素。下面将从移动通信网络的接口、网络端和移动端三个部分分别分析其中的不安全因素,以及在安防移动通信网络中的具体表现形成及其危害:
一、无线接口中的不安全因素
在楼宇对讲移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线接口来传输的,但无线接口是开放的,作案者可通过无线接口窃听信道而取得其中的传输信息,甚至可以修改、插入、删除或重传无线接口中的消息,达到假冒移动用户身份以欺骗网络终端的目的。根据攻击类型的不同,又可分为非授权访部数据、非授权访问网络服务、威胁数据完整性三种。
1.非授权访问数据类攻击
非授权访问数据类攻击的主要目的在于获取无线接口中传输的用户数据/或信令数据。其方法有如下几种:
窃听用户数据――获取用户信息内容
窃听信令数据――获取网络管理信息和其他有利于主动攻击的信息
无线跟踪――获取移动用户的身份和位置信息,实现无线跟踪
被动传输流分析――猜测用户通信内容和目的
主动传输流分析――获取访问信息
2.非授权访问网络服务类攻击
在非授权访问网络服务类攻击中,攻击者通过假冒一个合法移动用户身份来欺骗网络端,获得授权访问网络服务,并逃避付费,而且由被假冒的移动用户替攻击者付费。
3.威胁数据完整性类攻击
威胁数据完整性类攻击的目标是无线接口中的用户数据流和信令数据流,攻击者通过修改、插入、删除或重传这些数据流来实现欺骗数据接收方的目的,达到某种攻击意图。
、网络端的不安全因素
在楼宇对讲移动通信网络中,网络端的组成比较复杂,它不仅包含许多功能单元,而且不同单元之间的通信媒体也不尽相同。所以安防移动通信网络端同样存在着一些不可忽视的不安全因素――如无线窃听、身份假冒、篡改数据和服务后抵赖等等。按攻击类型的不同,有如下四类:
1.非授权访问数据类攻击
非授权访问数据攻击的主要目的在于获取网络端单元之间传输的用户数据和/信令数据,具体方法有如下几种:
窃听用户数据――获取用户通信内容
窃听信令数据――获取安全管理数据和其他有利于主动攻击的信息
假冒通信接收方――获取用户数据、信令数据和其他有利于主动攻击的信息
被动传输流分析――获取访问信息
非法访问系统存储的数据――获取系统中存储的数据如合法用户的认证参数等
2.非授权访问网络服务类攻击
非授权访问网络服务类攻击的主要目的是访问网络而逃避付款,具体的表现形式有如下几种:
假冒合法用――获取访问网络服务的授权
假冒服务网络――访问网络服务
假冒归属网络――获取可以假冒合法用户身份的认证参数
滥用用户职权――不付费而享受网络服务
滥用网络服务职权――获取非法盈利
3.威胁数据完整性类攻击
楼宇对讲移动通信网络端的威胁数据完整性类攻击不仅包括无线接口中的那些威胁数据完整性类攻击,因为BSS与MSC之间的通信接口也可能是无线接口。而且,还包括有线通信网络,具体的表现如下:
操纵用户数据流――获取网络服务访问权或有意干扰通信
操纵信令数据流――获取网络服务访问权或有意干扰通信
假冒通信参与者――获取网络服务访问权或有意干扰通信
操纵可下载应用――干扰移动终端的正常工作
操纵移动终端――移动终端的正常工作
操纵网络单元中砘储的数据――获取网络服务访问权有意干扰通信
4.服务后抵赖类攻击
服务后抵赖类攻击是在通信后否曾经发生此次通信,从而逃避付费或逃避责任,具体的表现如下:
付费抵赖――拒绝付费
发送方否认――不愿意为发送的消息服务承担付费责任
接收方抵赖――不愿意为接收的消息服务承担付费责任
三、移动端的不安全因素
楼宇对讲移动通信网络通信网络的移动端是由站组成的,移动站不仅是移动用户访问移动通信网的通信工具它还保存着移动用户的个人信息――如移动设备国际身份号、移动用户国际身份号、移动用户身份认证密钥等。移动设备国际身份号IMEI是唯一地代表一个移动电话,而移动用户国际身份号和移动用户身份认证密钥也唯一地对应着一个合法用户。
由于移动电话在日常生活中容易丢失或被盗窃,由此给移动电话带来了如下一些不安全因素:
使用盗窃或捡来的移动电话访问网络服务,不用付费,给丢失移动电话的用户带来了经济上的损失;
不法分子如若读出移动用户的国际身份号和移动用户身份认证密钥,那么不法分子可以“克隆”许多移动电话――从事移动电话的非法买卖,给移动电话用户和网络服务商带来了经济上的损失;
不法分子还会更改盗窃或捡来的移动电话的身份号,以此防止被登记在丢失移动电话的黑名单上等等。
四、攻击风险类
楼宇对讲移动通信网络中的威胁还有如:无线窃听、假冒攻击、完整犯、业务否认和移动电话攻击等等,具体的描述如下:
无线窃听――窃听无线信道中传送的用户身份号,用户数据和信令信息;
假冒攻击――假冒移动用户欺骗网络端和假冒网络端欺骗移动用户;
完整犯――更改无线通信控制信道中传送的信令信息;
业务否认――移动用户滥用授权、网络端服务提供商伪造帐单;
移动电话攻击――偷窃移动电话、更改移动电话身份号和克隆移动电话。
楼宇对讲移动通信网络中的安全技术从第一代模似楼宇对讲移动通信网到第二代数字楼对讲移动通信网的运行经验证明:楼宇对讲移动通信网络中存在的各种不安全因素不仅威胁到移动用户的隐私和经济利益,而且严重影响安防移动通信网络的正常运行,并损害到服务商和网络运行商的经济利益,为了保护各个层次的利益,移动通信网络必须采用相应的安全措施,提供足够的安全技术级别服务;
1.保密性安全技术服务可分为五类,其保密级别和目的如下:
用户语音保密性(级别1),目的――保护无线信道中传送的用户语音,防止被他人窃听。
用户身份保密性(级别1),目的――用户的真实身份,防止被无线跟踪。
信令数据性(级别1),目的――保护无线信道中传送的信令数据,防止被他人窃听。
用户数据保密性(级别2),目的――保护无线信道中传羝的用户数据,防止被他人窃听。
认证密钥保密性(级别2),目的――保护SIM和AC只存储的认证密钥,防止被他人窃取或“克隆”SIM。
2.认证性安全技术业务可分为三类,它们的具体描述如下:
用户身份认证性,目的的――鉴别移动用户身份。防止假冒用户;
网络身份认证性,目的――鉴别网络身份,防止主动攻击者假冒网络进行欺骗;
信令数据的完整性检测,目的――保护无线信道中传送的信令信息完整性,防止被他人篡改。
3.应用层安全技术业务
上述两类安全业务是在移动通信网络的访问层提供。随着安防移动通信网络类别培多和电子商贸发展,在应用层增设了安全技术业务,它们的具体描述如下:
实体身份认证――两个应用实体互相认证对方的身份;
数据源认证――接收方应用实体认证数据确实来自于发送方;
数据完整性认证――接收方应用实体确认接收到的数据没有被篡改;
数据保密性――保护两应用实体之间的数据通信,实现端到端保密性,防止流分析;
数据接收证明――发送方应用实体认证可证明接收方确实收到了应用数据。
五、移动电话保护
0 前言 近年来一系列重大建筑质量安全事故引起了各级政府的高度重视。国家建设部和地方建设管理部门相继发出了一系列“通知”,旨在加强工程质量管理并对近年建成或在建的重要建筑进行质量安全问题排查。建筑质量与安全是关系到人民生命和国家财产安全的大事。建筑工程是涉及设计、施工、设备等多部门、多行业、多工种复杂的系统工程,而设计是保证建筑质量与安全的关键,设计人员肩负的质量与安全责任重如泰山。有关专业设计“规范”与“规程”是设计人员进行专业设计的科学依据,严格遵循“规范”与“规程”也是设计质量的根本保证。然而,实际工程中,有不少项目在设计中就没能很好遵守有关设计“规范”与“规程”的各项规定,例如在锅炉房设计中,锅炉房锅炉额定容量超出《建筑设计防火规范》、《高层民用建筑设计防火规范》、《热水锅炉安全技术监察规程》、《蒸气锅炉安全技术监察规程》等文件规定的比较多见。其中有多种原因,包括工程具体条件的限制,不同部门颁布的不同“规范”之间存在不一致之处及某些条款不够明确,设计人员“规范”意识不强或缺乏对有关“规范”、“规程”的理解,另外也与某些主管部门在设计审批方面的“灵活性”有关。文章针对燃油、燃气蒸汽锅炉房、热水锅炉房、直燃型溴化锂吸收式冷热水机机房设计中有关安全的几个问题进行讨论,提出自己的观点,旨在通过交流,提高我们对有关“规范”、“规程”的认识水平和有关专业内容的设计水平。
1 蒸汽锅炉房 蒸汽锅炉房可以同时满足洗衣房、厨房、开水间、空气蒸汽加湿等场所的蒸汽需求,又可通过汽—水换热器给建筑物提供冬季采暖、空调用热或卫生热水等生活用热。蒸汽供应系统无需另外的机械动力消耗,可以利用自身的压力进行热量输配。另外,由于热水采暖、空调用热或生活热水利用蒸汽的潜热,单位质量热媒输热能力远大于热水,输配管线也可相应减少,从而节省了建筑空间。因此,传统上很多工程选用蒸汽锅炉作为建筑内部供热热源。
蒸汽锅炉房设计的主要依据有《锅炉房设计规范》GB50041-92,《蒸汽锅炉安全技术监察规程》(劳部发[1996]276号),《建筑设计防火规范》GBJ16-87、《高层民用建筑设计防火规范》GB50045-95等。锅炉房设计涉及的安全方面的内容主要有:锅炉房安全间距、锅炉房锅炉间泄爆、锅炉燃料贮存与供应系统的防火、锅炉房灭火、防排烟通风及事故通风等。
锅炉房内锅炉间属于丁类生产厂房,油箱间、油泵间属于丙类生产厂房,燃气调压间属于甲类生产厂房。油箱、油泵间、燃气调压间可与锅炉间贴邻布置,但应设防火墙隔开。锅炉房一般应单独设置,与其他建筑的间距应满足《建筑设计防火规范》或《高层民用建筑设计防火规范》的要求,且在任何条件下不应将锅炉房设在人员较多房间的上面、下面、贴邻或主要疏散口的两旁。《蒸汽锅炉安全技术监察规程》(劳部发[1996]276号)规定,在具备一些安全措施条件的情况下,每台锅炉的额定蒸发量不超过10t/h,额定蒸汽压力不超过1.6MPa的锅炉可设在多层或高层建筑的半地下室或第一层中,每台锅炉额定蒸发量不超过4t/h、额定蒸汽压力不超过1.6MPa的油、气、电锅炉在满足一定的安全要求后,在事先征得市、地级以上安全鉴定机构的同意,可设在高层或多层建筑的地下室、楼层中间或顶层。这一条款与以前相比有了放宽。一方面,锅炉房的设置不只限于高层建筑主体以外的作为辅助设施的多层建筑的地下室或第一层中,另外对置于半地下室及首层的锅炉房,其单台锅炉的额定蒸发量有所增加,这给建筑设计带来了方便。但是,2001年版的《高层民用建筑设计防火规范》、《建筑设计防火规范》仍然将置于建筑物内的锅炉房的总蒸发量限于6t/h,单台锅炉的蒸发量限于不超过2t/h,且只能设于首层、地下一层靠外墙部位。建筑面积超过5万m2的全空调(采暖)建筑,其蒸汽锅炉房额定总蒸发量一般要超过6t/h。事实上,已建于较大体量建筑内的锅炉房总蒸发量及单台锅炉额定总蒸发量不少都超出了《防火规范》的规定。
蒸汽锅炉房均应考虑泄压措施,泄压面积(玻璃窗、天窗、薄弱墙等)不得少于锅炉间占地面积的10%(上海市地方标准DBJ08-73-98规定,锅炉房泄压面积不得小于锅炉(包括锅炉前、后、左、右检修场地1m)面积的10%,泄压处不得与聚集人多的房间和通道相连。对设置泄压面积有困难的场所(地下锅炉房,较大的泄压面积,往往给建筑处理带来困难),将热交换器、水泵、分汽缸、水处理设备等移至锅炉间外,以最大限度减少锅炉间面积,从而减少泄压面积,这也有利于锅炉的灭火效果,同时减少了锅炉房灭火系统的造价。
2 热水锅炉房 热水锅炉房可以直接或间接地提供大楼空调用热,也可同时通过水—水换热器提供大楼生活用热水。民用建筑用热水锅炉根据需要可将供回水温度定为95℃、70℃,直接用于建筑采暖系统,也可通过水—水换热器向各用户提供所需的二次循环热水。空调用二次循环热水供回水温度通常设置为60℃、50℃。采用二次循环间接供热的系统,锅炉本体的承压可以控制在低压或微压范围。如果采用锅炉(锅炉本体,包括进出水接管尺寸等作相应调整,以适应空调供暖系统水量大、温度低、温差小的特点)直接加热空调系统热水,则锅炉供回水温度一般为60℃、50℃左右。可见,选用热水锅炉供热,既有高效节能、水处理简单、费用低等优点,又可比蒸汽锅炉更安全。正因如此,热水锅炉近年来得到较大的发展。
与蒸汽锅炉房一样,热水锅炉房不得直接设在人员较多房间的上面、下面、贴邻或主要疏散口的两旁。1992年颁布实施的《热水锅炉安全技术监察规程》(劳锅字[1991]8号)中,允许额定出口热水温度低于或等于95℃的热水锅炉房与住宅相连或设在多层建筑的地下室、半地下室、第一层或顶层中(在满足某些安全条件的前提下),对置于高层建筑的地下室、半地下室、第一层或顶层内的热水锅炉房,应同时满足单台锅炉额定供热量小于或等于7MW的限定条件。最近颁布的“《热水锅炉安全技术监察规程》修订条款”规定“设在多层或高层建筑的半地下室或第一层的锅炉房,每台锅炉的额定供热量率应小于或等于7MW,额定出水温度小于或等于120℃,且应满足《蒸汽锅炉安全技术监察规程》第184条相应条件。对于由于条件限制需要在高层或多层建筑的地下室、楼层中或顶层设置锅炉房时,每台锅炉的额定热功率应小于或等于2.8MW,且额定出水温度小于或等于120℃”,其对水温要求放宽,对锅炉的容量作了进一步限定,容量大小与蒸汽锅炉相当。现行的《高层民用建筑设计防火规范》与《建筑设计防火规范》对设于楼内(地下一层或首层)的锅炉房的限定条件中规定单台锅炉额定蒸发量不超过2t/h,总蒸发量不超过6t/h,没有直接提及对热水锅炉额定供热量与额定出水温度的限定。这应该说是一种疏忽。设计人员对此有两种理解,一种观点认为,从发生直接火灾的可能性及防火因素考虑,热水锅炉与蒸汽锅炉条件相近,所以设于楼内的热水锅炉容量的限定应比照蒸汽锅炉,即单台锅炉额定供热量应不超过1.4MW,锅炉房总供热量应不超过4.2MW。这样,较大工程锅炉房布置会很困难。另一种观点认为,客观上建筑物内的热水锅炉房,其出水温度一般不超过95℃,总体来说,比蒸汽锅炉更安全,“防火规范”又没有明确对热水锅炉的限定,工程设计时可以只参照《热水锅炉安全技术监察规程》执行。基于后一种观点,一般规模建筑物内锅炉房的布置比较容易满足有关“规范”、“规程”要求,对于没有蒸汽要求的较大建筑物,可直接选用热水锅炉作为热源,对于有蒸汽要求的较大建筑物可通过同时采用热水锅炉与蒸汽锅炉作为供热热源。一般民用建筑,蒸汽用量不会超过6t/h。在实际工作中,笔者常采纳后一种观点,但是,对于这种情况,应加强安全措施,同时应事先征求消防、劳动主管部门的意见,努力消除各种安全隐患。
热水锅炉间是否需要泄压措施,这主要取决于热水锅炉额定功率和额定出水压力的大小。对于锅炉额定热功率小于0.1MW或额定出水压力小于0.1MPa(表压)的热水锅炉间可以不考虑泄压措施。对于采用间接供热的热水锅炉,在一次循环系统中,只要将热水锅炉置于一次循环水泵的上游(吸入式),热水锅炉出水压力就很容易控制在0.1MPa以内,这样如有困难,可以不考虑泄压。但是有条件时,还是建议设置泄压窗,这样就是炉膛内发生爆炸,也可减少些破坏力,另外,还有利于自然采光和通风。
3 直燃型冷热水机机房 由于“防火规范”、“监察规程”等技术规定没有明文提到直燃型溴化锂吸收式冷热水机机房,一段时间不少人有一种误解,认为直燃型溴化锂吸收式冷热水机机房的布置可以不受上述有关限制。事实上,从直燃型溴化锂吸收式冷热水机的工作原理可知,燃油、燃气直燃型溴化锂吸收式冷热水机房与锅炉房相似,主机间属丁类生产厂房,其油箱、油泵间属丙类生产厂房,其燃气调压间同样属甲类生产厂房。机房一般应单独设置,且与其他建筑之间距应满足“防火规范”规定的相应的防火间距要求。有困难时,在满足一定的安全要求前提下,可将其置于建筑物的某些特定位置。机房设计的有关安全防火规定应参照微压热水锅炉房执行。一般认为,可以将其设置于多层或高层建筑的地下一层、半地下室、首层靠外墙部位。同样,在任何情况下,都不应将直燃机房布置于人员较多房间的上面、下面、贴邻或主要疏散口的两旁。如需设置于楼层中间或顶层或直燃机房额定功率较大的话,设计人员应事先请示消防主管部门,方案需经地、市级以上消防主管部门批准后方可实施。直燃型溴化锂冷热水机间可不设泄压措施,但与锅炉房一样,其燃气调压间应设必要的泄压措施,泄压气流不应危及人员及仪表设备等安全。
4 通风 设置于地下室的锅炉间、直燃型溴化锂吸收式冷热水机房均应设置机械通风措施,风量大小应综合除湿、降温、燃烧等因素确定。对于设在其他建筑物内的燃气锅炉间、燃气直燃型溴化锂吸收式冷热水机房,应有每小时不少于3次的换气量,换气量不包括锅炉(冷热水机)燃烧用风量。燃气调压间等有爆炸危险的房间,应有每小时不少于3次的换气量,并应设有换气次数不少于8次的事故通风装置。油箱、油泵间的排风、排烟系统应结合其灭火方案合理配置。锅炉间、油箱、油泵间、燃气调压间一般采用水喷雾灭火或气体灭火系统。一旦发生火灾,启动灭火系统工作,同时关闭通风系统及出入这些房间风道上的阀门,确认灭火后,再启动排风系统,排除残留气体。如采用二氧化碳灭火装置,为保证灭火后能从室内下部地带排除残留废气,房间的换气次数不少于6次/h,并于房间下部设排风口。
5 结语 5.1 现行的《建筑设计防火规范》、《高层民用建筑设计防火规范》中锅炉房等相关内容的条款应结合实际工程情况作细化和必要的调整,使之更具体化,更具有可操作性。
5.2 现行的《热水锅安全技术监察规程》应结合大量民用建筑实际情况,对热水锅炉出水温度、压力划分再细化,有可能将更低温度,更低出水压力的热水锅炉的容量等限制条件相应适当放宽以利于实际应用与操作。
5.3 规范制订部门应加强多部门、多专业协调,尽可能保证不同国家规范相关条款的一致性,以体现规范的严肃性,也利于设计人员具体引用。
5.4 设计人员应提高“规范”的法律意识,自觉严格遵守现有有关设计“规范”、“规程”等法律性技术文件。有具体困难时,应事先申报相应级别政府主管部门,通过专家论证等方式确定比较合理安全的设计方案。
参考文献 1 顾兴蓥,民用建筑暖通空调设计技术措施,中国建筑工业出版社.1996
2 中华人民共和国公安部.建筑设计防火规范GBJ16-87.中国计划出版社.2001
3 中华人民共和国公安部.高层民用建筑设计防火规范.GB50045-95.中国计划出版社.2001
1、清除油污脏物,并将部位注足脂。紧固螺栓及连接部位,不得有松动、脱出现象,传动机构要可靠,链条张紧度要合适,拖拉机与播种机挂接要正确,开沟器工作正常,并进行空转试验,待运转机构正常后,方可开始工作。
2、检查仿行机构,地轮转动是否灵活,排种盘和排肥盘是否符合要求,覆土器角度是否满足附图薄厚的要求,如果这些正常,可先找一块平坦田地试验,检查种肥的排量。
①播种机在正式作业前,按使用说明书的规定和农艺要求,将播种量、开沟器的行距。开沟覆土镇压轮的深浅调整适当。
②播种量的调整,每个排种器的排种量应基本一致,播量应符合当地农艺规定的种植要求,如不符合,可以通过播种机上设置的排种量调节柄进行整体调节,并重复上述试验直至符合要求为止,当各行排量相差较大时,可通过调整外槽轮排种器下位卡箍的位置,使排种轮工作长度近于一致,而达到各行排种量的基本一致性。
3、注意加好种子。加入种子箱的种子,达到无小、秕、杂,以保证种子的有效性;其次种子箱的加种量至少要加至有盖住排种盒入口,以保证排种流畅。
4、试播。为保证播种质量,在进行大面积播种前,一定要坚持试播20m,观察播种机的工作情况,请农机人员、农民等检测会诊,确认符合当地的农艺要求后,发现问题及时调整,直至满足要求,再进行大面积播种。
5、注意匀速直线行驶。机手选择作业行走路线,应保证加种和机械进出的方便,播种时要注意匀速直线前行,不能忽快忽慢或中途停车,以免重播、漏播;为防止开沟器堵塞,播种机的升降要在行进中操作,倒退或转弯,应将播种机提起。
6、播种。播种机作业时,首先横播地头,以免将地头轧硬。机手选择作业行走的路线,应保证加种和机械进出的方便。播种时要注意匀速直线前行,不能忽快、忽慢或中途停车,以免重播、漏播。为防止开沟器堵塞,播种机的升降要在行进中操作;播种机未提起,严禁倒退和转弯,否则开沟器易堵塞损坏并造成缺苗断垄。
7、作业时种子箱内的种子不得少于种子箱容积的1/5;运输或转移地块时,种子箱内不得装有种子,更不能压装其他重物。
排除方法:调整刮种器适宜程度;检查传动机构,恢复正常;排除架空现象;安好气息管,排除堵塞。
出现的故障:各开沟机安装位置不一致;播种机机架前后不水平;播种机机架变形、有扭曲现象。
出现的故障:播种舌开度不一致;播量调节手柄固定螺钉松动;种子内含有杂质;地面不平,土块太多;排种轮工作长度不一致;排种盘细孔阻塞;作业速度太快;种子盘孔型不一致。
排除方法:正常调整排种轮工作长度和排种舌开度;重新固定在合适位置;将种子清洗干净;排除故障;提高耕地质量;进行播种量试验,调整合适的作业速度;选择相同种盘孔型。
出现的故障:输种管阻塞脱落;输种管损坏;土壤湿粘,开沟器阻塞;种子不干净,堵塞排种器。
1、播种季节结束后,彻底清扫播种机上的尘垢,清洁种子箱内的种子和肥料内的肥料。清洗播种机的各摩擦部分和传动装置,并,如系传动链条,晾干后涂上防锈剂。检查连接件的紧固情况,如有松动,应及时拧紧。
1)切割安瓿与除去西林瓶盖。打开安瓿时用无菌纱布包裹,轻轻敲击其颈部和顶部,使药物落于底部,防止安瓿折断时药物在空气中弥散。除去西林瓶盖时,先用75%乙醇对西林瓶胶塞消毒,并在生物安全柜侧壁打开安瓿,应避免朝高效过滤器方向打开,以防药液喷溅到高效过滤器上。
2)溶解药物与抽取药液。溶解药物时,用注射器抽少许溶剂沿瓶内壁缓慢加入,以避免药粉散出。多西他赛等黏稠药物,振摇时可产生大量泡沫,振摇后放置1~2min,待泡沫破裂后再吸取。从安瓿抽取药液时,先将注射器针头与注射器乳突紧密衔接,防止针栓从针筒中意外滑落,然后倾斜安瓿,将针头斜面接近开口;所抽药液以不超过注射器容量的2/3为宜。药液抽取后立即使针头朝上以防药液流出,若此时要排除多余的空气或调整抽取药液的量,必须先抽动活塞后才能进行。
3)排放药液。药液排于安瓿中,排气时戴上针帽后用无菌纱布包裹再排气。若是西林瓶,有橡胶塞的小玻璃瓶,应与针头呈45°,一旦针头穿过瓶塞后立即使针筒呈垂直状态,若针筒内还有空气,分次注入瓶中,以防瓶内压力过大。瓶装量超过5mL时先注入少量空气,避免抽取困难,最好选用带有过滤网膜和不沾水性的过滤针头。操作过程中多余的药液应及时弃于密闭、有标识的容器中。化疗药物外溅或溢出应急处置:当配置间发生泄漏或被污染时,污染体积不超地5mL,质量不少于5mg,操作者应迅速穿戴个人防护用品,液体药物用纱布或棉球吸附药液,药粉用湿布或湿棉球轻轻擦拭,防止药物粉尘飞扬;污染体积超过5mL,质量超过5mg时,轻轻将药物吸收垫子覆盖在溢出液体上,粉状药物用湿性吸收垫,再用湿垫或湿毛巾将其除去。清理时应从边界开始,逐渐向污染中心靠拢。用大量水冲洗污染表面,最后用75%乙醇擦拭3次。处置完后,弃手套,用肥皂水和清水刷洗手和暴露的皮肤,若溅入眼睛应立即用清水或生理盐水冲洗,必要时就医。残余药液及废弃物的处理:配置细胞毒性药物时产生的废弃物应与其他医疗废物区别开;剩余的细胞毒性药液及时弃于密闭、有标识的容器中;配置过程中所有污染的材料,如注射器、针头、吸水纱布、吸水垫、手套、输液器等应弃于有标识牢固的、防刺透、防漏带盖垃圾桶内,防止蒸发污染空气;最后装入垃圾袋封口送到指定地点焚烧。配置人员健康管理:上岗前进行健康体检,并建立个人健康档案,配置人员应为专业培训考核合格、已婚育的护士(不包括怀孕和哺乳期妇女)。每半年进行1次体检,每月查血常规1次,每半年查肝肾功能及胸透1次。一旦出现不良反应征象,如白细胞低于3.5×109个/L者,立即进行人员调整,及时脱离岗位。
2结果
2.1职业防护意识增强
从2012年7月建立化疗药物集中配置室及实施系统管理1年来,配置人员职业防护意识显著增强。期间共配置化疗药物18200袋,未发生与化疗药相关的职业伤害,也未出现与化疗药物有关的环境污染。
2.2与化疗药物配置相关的差错率降低
化疗药物集中配制前6个月(2012年1月至6月)共发生与化疗药物配置相关的差错16份,差错率为0.190%,即剂量配错2份,溶剂错误2份,配药时渗漏5份,药物未完全溶解3份,药物未抽吸干净4份;集中配制的6个月(2012年7月至12月)仅发生剂量配错与配药时渗漏各1份,差错率为0.022%,且未发生因配置引起的输液反应。两者比较,差异有统计学意义(χ2=11.65,P<0.05)。
2对网页设计常见安全漏洞的分析及相应的解决方案
2.1登陆验证中存在的安全漏洞及解决方案登录验证是聊天室、信息网会员区、论坛等交互性网站中必不可少的一部分,虽然在整个网站运行中登陆验证只是其中的一小部分,却对整个网络的安全运行至关重要,它是整个网站的安全之口。在网页设计过程中,开发人员常常忽略掉这一环节的设计工作。网站开发人员编程的不严谨致使当前很多企业网站都存在登陆验证的安全漏洞,安全关口验证程序的不到位为网络安全埋下了巨大隐患,会让不法分子有机可趁,为企业造成不必要的损失。针对登陆验证漏洞问题,我们采取了以下解决方案:通过注册限制的设定有效避免非法账户密码的申请,对解决以上问题非常有效;其次,在SQL登陆查询语句生成之前,先对用户信息进行过滤(用户名和用户密码),避免非法账号密码的应用;最后,在对用户进行验证之前,先验证用户的用户名是否合乎标准,确认用户名属实后,在对密码进行验证。
2.2桌面数据库安全漏洞及解决方案在ASP+Access应用系统中,网站一般会为用户提供部分信息的下载权限,如果用户知道Access数据库的数据库名和存储路径,就可以将其他信息也下载下来,就会造成数据的流失。多数网上图书馆Access数据库的存储路径多以根目录“(URL/”)下或“URL/database”为主,该类数据库通常会被命名为Library.mdb或与之相关的名称。用户了解该信息之后,只需在浏览器中输入“URL/database/Li-brary.mdb”或相关地址信息,就可以进入网上图书馆,并将图书馆中的其他信息下载到用户本地电脑中。为解决桌面数据库安全漏洞问题,在网站设计中,ASP程序应该采用ODBC数据源,通过采用ODBC数据源可以有效避免数据库名称直接出现在运行程序中的问题,ASP源代码即使出现泄漏问题,数据库名称也不会因此而被窃取或流失,为网站的安全运行提供了有力保障。以下一段ASP程序代码就是利用一般数据库编写的:DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果该段ASP源代码失密后,数据库相关信息也会被窃取,用户可以轻易将数据库信息下载下来。如果ASP程序代码利用ODBC数据库编写,则不会存在conn.ope“nODBC-DSN名,ASP源代码即使出现泄漏问题,数据库名称也不会因此而被窃取或流失。
2.3绕过验证直接进入相关页面的漏洞及解决方案在进入某些敏感页面前,系统首先会对用户进行身份验证,如果用户知道了与敏感页面相关的网页设计页面的路径及文件名,并且该页面又没有设置验证程序,此时用户只要输入该设计页面的文件名就可以进入设计页面,成功绕过登陆验证界面的筛选。为提高网站安全性能,开发设计人员必须对与之相关的页面设置身份验证程序,对用户进行身份验证。
2.4文件上传漏洞及解决方案同学录、交友网站等类似网站系统都有文件上传功能,企业通过网站文件上传可以进一步增进与用户间的交流互动,但网站开发者对用户所提交的信息缺乏充分的分析和必要的过滤,很多恶意攻击者会利用这一漏洞在网站上上传病毒文件、恶意文件等不良信息,这些有毒文件可能会对系统数据库造成不同程度的损坏,某些网站攻击者甚至以Web权限在系统上执行任意命令。通过加入文件类型判断模块可以有效解决文件上传漏洞,对用户上传文件进行充分的分析和必要的过滤。当系统要求用户上传图片文件,用户只能以系统指定的JPG、GIF文件格式才被允许上传,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允许上传的。
2.5源代码泄露漏洞及解决方案为有效避免源代码被窃取、遭泄露的威胁,开发者在网站设计过程中应该对页面代码进行加密处理,使网站的整体安全性能得到大幅度提高。ASP网页加密方法一般包括以下两种:通过采用微软的ScriptEncoder对ASP网站页面进行加密;通过采用组件技术将编程逻辑封装到DLL当中,防止信息的丢失。当采用组件技术方案时必须对每段代码均需组件化,该项方案的工作量较大、操作较为烦琐,与之相比ScriptEncoder加密方案具有成效佳、操作简单等显著优点,将其用于解决源代码泄露漏洞问题可以取得较好的效果,其优点主要有:HTML具有较好的可编辑性,系统其他部分无需变化,ScriptEncoder只加密在HTML页面中嵌入的ASP代码,通过采用Dreamweaver或FrontPage等常用网页编辑工具对HTML部分进行修改、完善;ScriptEncoder具有制作简单的优点,通过几个简单命令行参数即可完成多功能操作。