防中暑安全預案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防中暑安全預案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:防中暑安全預案范文
關鍵詞:消防工程;防煙技術;防爆技術;安全性分析
1 火災
消防工程的主要對象就是火災,火災指失去控制蔓延成災的燃燒現象,或指超出有效范圍的燃燒,通常會造成人員和財產的損失。人員和和財產損失較輕時,有時也稱火警或未遂火災事故。
1.1 火災發生的條件
火災的發生必須是可燃物,助燃物(劑:氧化劑),著火源三個基本條件同時具備,并且相互作用(即構成燃燒系統)。
1.2 建筑火災的發展過程
火災的發展大都需要經歷以下的發展的過程,如圖1所示:
圖1 典型火災發展過程
初起期(階段)(煙,陰燃)發展期(竄出火苗,火勢由局部到大面積)最盛期(空氣劇烈對流,風助火勢,火勢強盛,火焰包圍可燃物,烈火熊熊)衰弱期(可燃物逐漸減少)熄滅期(可燃物不足,惰性介質,滅火作用等)。
1.3 火災的雙重性
火災具有雙重性,即確定性和隨機性。所謂確定性是指火災發展的規律性:初期(孕育,發生)發展最盛 熄滅等;所謂隨機性是指火災的不確定因素(如可燃物數量,通風條件等),可能達不到最盛期。
1.4 火災的危害
火災的危害主要體現在以下三個方面:
(1)對人體直接造成的燒傷和燒死;
(2)造成財產的損失;
(3)煙氣的危害。
2 防排煙技術安全性
2.1 煙氣的組成
煙氣是一種混合物,包括燃燒產物如CO2、水蒸氣,以及未燃的燃氣、CO,多種有毒有腐蝕性的氣體,固體微小顆粒和液滴,卷入的空氣等。
2.2 煙氣的危害
煙氣的危害性主要體現在以下幾個方面:
(1)毒性:①窒息 如CO2等氣體,②中毒,主要是CO,多數的中毒死亡都是由它引起的。
(2)煙氣的高溫能使人灼傷,造成呼吸困難。
(3)能妨礙人員逃生和妨礙滅火。
2.3 煙氣的控制措施
防排煙工程的目的是要防止火災產生大量的煙氣,阻止煙氣的迅速蔓延,確保人員的安全疏散和改善撲救條件。為達上述目的,對于煙氣的控主要有以下措施:
(1)設置機械排煙、送風系統,進行機械排煙或正壓送風防煙;
(2)對建筑進行防煙分隔或建立防煙封閉避難區;
(3)設計自然通風口,利用煙氣的熱浮力特性采用自然排煙;
(4)對建材和家具進行阻燃、消煙處理;
(5)利用噴灑化學消煙劑或水霧等進行消除煙氣中有毒成份及煙塵粒子,提高能見度。
2.4 防煙技術安全性
2.4.1 防煙分隔或建立防煙封閉避難區
目前規范最常使用防煙的手段就是建立防煙分區,使軟質活動擋煙垂壁,玻璃擋煙垂壁等各種擋煙垂壁相繼出現。
但目前建筑空間越來越大,防煙分隔或防煙封閉避難區對建筑的限制,使建筑設計受到影響。有些大空間無法進行分隔,如機場候機樓,對此國際上提出了Cabin設計概念(安全島)。
2.4.2 自然通風排煙技術
該技術簡便易行且較經濟,無需較多的維護管理,也是目前較廣泛采用的控煙技術之一。
但易受外界環境的影響和建筑本身的限制,因而設計要合理,外界風壓的影響要給予充分的考慮,因此國外開發出了能自動開啟和能減小外界風力影響的風閥。
2.4.3 建筑材料和家具的阻燃、消煙處理
目前,對建筑材料的消煙處理主要是針對塑料材料,眾所周知由于塑料為有機物,并含有各種有機、無機物助劑,燃燒時會產生大量的有毒成份,如HCl,HCN 等,塑料燃燒產生的煙氣的剌激性和減光性都非常強。
目前,常用抑煙劑主要有金屬氧化物、無機鹽,如Al(OH)3,ZnO,B2O3。世界上主要工業國家都對消煙機理和新型消煙助劑的研究非常重視。
2.4.4 化學消煙技術
理論上火災煙氣中有毒成份為一些酸性物質或可溶于水的物質,煙霧的本質是一種氣溶膠,因此向煙氣噴灑能中和酸性物質的化學藥劑或水,以消除煙氣中的大量有毒物質,或使氣溶膠凝聚消除煙氣的減光性。
國內外都已研究出一些消煙劑, 但受效果、噴灑技術和成本的限制還未能真正進入實用階段。
3 防爆技術安全性
所謂爆炸,是指物質在瞬間以機械功的形式釋放大量氣體和能量的現象。二炸極限則是指可燃物質(可燃氣體,蒸氣或粉塵)與空氣(氧氣)的混合物,遇著火源能夠發生爆炸的濃度范圍,亦稱著火極限。
3.1 爆炸的危害性
爆炸具有以下主要的危害:
(1)直接的破壞作用:設備容器被炸毀,碎片可在100-500米內分散,在大范圍內造成危害。
(2)沖擊波的破壞作用:爆炸產生的高壓高溫高能的氣體向活塞一樣擠壓周圍的空氣,形成沖擊波。對周圍的建筑物,設備和人員的震蕩作用,而造成破壞和傷害。
(3)造成火災:爆炸產生的高溫熱量,容器破裂的靜電放電能把周圍的可燃性物體點燃,引起火災。
(4)造成中毒和環境的污染。好多物質不僅可燃,而且有毒性。
3.2 防爆原則
防爆措施具有以下基本原則:
(1)防止形成爆炸性混合物;(2)嚴格控制火源;(3)設置爆炸泄壓裝置;(4)切斷爆炸傳播途徑;(5)阻擋爆炸沖擊波的破壞能力;(6)設置爆炸監測預警。
3.3 防爆技術安全性
(1)承爆。氣體和粉塵爆炸爆燃防護的第一選擇是全承爆。在某些角度,承爆是一種有吸引力的方法,因為該方法在本質上是一種被動式的防護方法,而且避免了泄放物的處置等問題。一般情況下,我們優先選擇其他爆炸防護方法。
(2)抑爆。在爆燃形成破壞性壓力之前即探測到初期爆炸并撲滅爆炸,這涉及到高速火焰抑制系統。
(3)泄爆。爆燃泄壓是指在容腔中開設泄壓口,在預定的壓力(稱為靜態開啟壓力Pstat)下打開泄爆口,使物料膨脹和流動經過泄壓開口直接或通過泄爆管卸放到大氣環境,從而降低爆燃壓力(Pred)。泄爆可用于氣體、粉塵或雜混物加工處理過程中對爆炸進行防止。
(4)隔爆。防止爆炸通過管道或坑道從一個加工單元空間向其他加工單元擴展,從而達到防止爆炸的目的。
4 結論
隨著社會的不斷進步,科技的日益發展,防煙技術和防爆技術也在不斷提升,對于防煙技術與防爆技術的安全性分析必將成為未來的趨勢。
參考文獻
[1]GB 50166-2007. 火災自動報警系統施工及驗收規范[S]. 2007.
[2]王金順. 消防工程質量管理[J]. 中國科技信息. 2007(09).
第2篇:防中暑安全預案范文
【關鍵詞】樓宇智能化 安全防范 解決方法
中圖分類號:X923文獻標識碼:A文章編號:
一、前言
隨著人們生活水平的提高和居住環境的改善,相對應的對安全性要求就會水漲船高。智能樓宇安全防范技術就解決了人們的后顧之憂,極大的加強了樓宇的安全性能。不僅安全性提高,而且還一定程度上能夠減少在安全防范措施上的成本,包括人力物力財力等等,而且更靈活便捷。舉個例子,在整個安全防范技術應用中,通過報警控制主機集成專業的可視對講系統或家庭智能終端系統作用就可以看出來,這個系統通過同一的平臺,同時管理報警系統、監控系統和門禁系統,一旦發生報警,可自動聯動攝像機和門禁系統,進行圖像系統監控、記錄、門禁的開關動作。相關安保人員足不出戶,僅僅呆在監控室就能掌握整個安全情況。
二、智能樓宇安全防范技術在中國的發展與現狀
我國對智能建筑中的安全防范技術的探索與實踐始于上世紀九十年代初,在這時期里我國的智能建筑主要是一些涉外的酒店和特殊需要的工業建筑,才用的技術和設備主要是從國外引進的。雖然普及程度不高,但是人們的熱情卻不低,得到設計單位、產品供應商以及業內專家的積極響應,可以說他們是智能建筑的第一推動力。
我國智能化建筑初具規模,在我國房地產業不斷發展的背景下,樓宇智能化市場隨之迅速成長。樓宇智能化的概念已經越來越深入人心。上海金茂大廈、環球金融中心等應用樓宇智能化的建筑不斷出現,目前樓宇智能化在北京、上海、廣州、深圳等一線城市高檔住宅中應用普遍,成為高檔物業的新潮流。閉路電視監控、門禁管理、停車場管理、防盜防災報警系統等安全防范技術的常規化應用就是一個很好的體現。
三、智能樓宇的安全防范系統的主要內容
1家庭防盜報警系統。防盜報警系統就是在家庭中比較重要的地點區域布設各類傳感器,代替鋼筋防盜網,主要由保安中心管理主機、家庭報警器、傳感器和傳輸線纜組成。傳感器主要有紅外線探測器、熱感探測器、玻璃破碎探測器、窗磁、門磁等,另外還可以根據實際需要在不同的位置設置不同的傳感器,這樣不僅僅能夠有效地探測非法侵入者,還能夠避免業主牢籠中的感覺,可謂一舉兩得。家庭報警器與保安中心管理主機聯網,當出現非法闖入者時,家庭主機報警,管理主機會顯示報警地點和性質,保安中心可據此確定出警方案,及時制止犯罪。
2樓宇周界防越報警系統。樓宇周邊的環境安全狀況直接影響了樓宇的安全,因此,樓宇周界報警系統也是不可避免的。該系統由紅外線對射器、接收器、報警主機及傳輸線纜組成。一般是在小區的圍欄上,安裝戶外型紅外多光束智能探測器,組成社區周界不留死角的防非法跨越報警系統。與此同時,控制器采用智能化模糊控制技術,可以避免由于樹葉、雜物、風雨或飛鳥等小動物穿越圍欄所引起的誤報。
3閉路電視監視系統。智能樓宇的閉路電視監視系統是必不可缺的,該系統是指在重要的場所安裝攝像機以提供利用眼睛直接監視建筑內外情況的可能,這樣,保安人員在控制中心可以監視整個大樓內外的情況,保安人員僅僅只需在監控室,就可以掌握整個大樓的安全情況,大大加強了安全系數。
4、停車管理系統。地下停車場全部設計為固定車智能停車場,不允許臨時車進入車場。其固定車輛進出流程為:進場時在小區地面入口處讀卡,通過后再到地下停車場入口處讀卡,經認可后進入停車場停車;出場時則相反。確保固定車進出流暢,限制其他車輛的進入。根據小區車流量的情況,為了保障車輛的進出流暢,地面任一出入口設計為均可出入車輛。
5、非可視對話系統。本系統采用非可視對講系統與門禁系統相結合的技術,來實現對小區住宅樓單元出入口的安全防護。具體設置是在小區的每戶設有一個對講分機,通過門口機實現戶外人員與房主的通訊,通過管理員主機實現住戶、來訪者與管理員的三方通訊與管理。非可視對講子系統是智能綜合管理系統的一個有機組成部分,能和其他防范子系統一起有效地完成保安報警的任務,并提高樓宇品位和質量,真正達到智能住宅的標準。
四、安全防范技術的發展
在科學技術發展的今天,安全防范技術已經超重數字化、網絡化、智能化和規范化的方向發展。總的來說,是朝著一個更為科學合理的方向迅速發展。
1 數字化
二十一世紀是個技術飛躍發展的時代,數字化技術是幾乎所有技術所追求的。作為智能化的安全防范技術,未來發展的方向一定是朝著數字化前進的。數字化就是將許多復雜多變的信息轉變為可以度量的數字、數據,再以這些數字、數據建立起適當的數字化模型,把它們轉變為一系列二進制代碼,引入計算機內部,進行統一處理,這就是數字化的基本過程。但是目前的很多安全防范技術還是處在模擬數據階段,這是相對落后的技術。這對于安全設備的布線首先就是一項挑戰。此外,在音頻視頻的傳輸保存方面既不方面又不快捷,還不能做到數據壓縮,很是浪費資源。,雖然現在由許多廠家都宣傳自己利用了先進的音視頻技術,但還沒有完全應用于實際中,將來的發展必將對音視頻進行壓縮,以便進行分析、傳輸、存貯。在信號檢測處理單元部分,將更多地利用無線技術,減少布線,特別是一些新的技術將會應用在這個領域中。數字化也將為智能安全技術的應用打下基礎,為引進其它的先進設備提供保障。
2 網絡化
目前在每個安全防范系統中,都單獨建有自己的專用網絡,由于現在的安全防范技術中個別技術沒有得到很好的應用,安全防范系統的網絡化沒有真正的實現。安全防范系統實現網絡化后,人們可以利用Internet隨時隨地的了解自己的安全狀況,當有警情發生時,可以隨時知道并第一時間自動的通知到相關部門進行及時處理,減少損失。并向著IP的智能安防系統發展。
3 智能化
隨著各種相關技術的不斷發展,人們對安防系統提出了更高的要求,安防系統將進入注重智能化階段。在安防系統智能化后,可以實現自動數據處理,信息共享,系統聯動,自動診斷,并利用網絡化的優勢進行遠程控制、維護。先進的語音識別技術、圖像模糊處理技術將是安防系統智能化的具體表現。
4 規范化
目前,在安防系統中,各國都有自己的規范文件,但是對使用的技術卻沒有像電信一樣有著全世界統一的技術規范,因此可能會造成相互信息的通信、共享、管理造成一定的混亂。只有這樣才能建立更大的區域聯合安全防護網絡,最大程度的提高安全性。
六、結束語
隨著社會科技的進步,安防系統將面臨著激烈的挑戰。人們對樓宇智能化技術提出了更高的要求,這久迫使我們要適應信息時代的要求,充分利用各種新技術,不斷完善安全防范技術。智能樓宇的廣泛應用,使得我國的智能樓宇安全防范系統的設置技術越來越成熟,隨著智能樓宇的不斷發展以及我們施工的經驗的不斷豐富,我國的智能樓宇建設應用必能向上一個新的臺階,其安全防范系統的應用也會越來越高效。
參考文獻:
[1] 楊勇; 江楠.樓宇智能化技術的現狀與發展趨勢第二十五屆中國(天津)2011’IT、網絡、信息技術、電子、儀器儀表創新學術會議論文集[中國會議]2011-09-01
[2]宋詩波.LonWorks網絡安全防范技術及解決方案研究[學位論文] .重慶大學2007-04-01
[3]劉希清.安全防范技術與建筑智能化系統(下) [期刊論文].工程設計CAD與智能建筑2000-12-05
[4]王銘文.聯網型建筑安全防范系統的設計與實現[學位論文].重慶大學2007-03-01
第3篇:防中暑安全預案范文
大家下午好!
炎炎夏日,我們在認真學習的同時,也要保護好自己的安全.
今天我講話的主題是:“預防中暑、預防溺水”.
一、中暑
中暑是人持續在高溫條件下或受陽光暴曬所致,大多發生在烈日下長時間站立、勞動、集會、徒步行走時.輕度中暑會感到頭昏、耳鳴、胸悶、心慌、四肢無力、口渴、惡心;重度中暑可能會伴有高燒、昏迷、痙攣等.
戶外活動如何防止中暑呢?
(一)喝水.大量出汗后,要及時補充水分.外出活動,尤其是遠足、爬山或去缺水的地方,一定要帶夠充足的水.條件允許的話,還可以帶些水果等解渴的食品.
(二)降溫.外出活動前,應該做好防曬的準備,最好準備太陽傘、遮陽帽,著淺色透氣性好的服裝.外出活動時一旦有中暑的征兆,要立即采取措施,尋找陰涼通風之處,解開衣領,降低體溫.
(三)備藥.可以隨身帶一些仁丹、十滴水、霍香正氣水等藥品,以緩解輕度中暑引起的癥狀.如果中暑癥狀嚴重,應該立即送醫院診治.
預防中暑還應注意哪些?
(一)夏季課間活動量不宜大,要避免劇烈運動.活動量大流汗就多,容易中暑.
(二)夏季晝長夜短,天氣炎熱,人們的睡眠不足,午睡能夠有效地補充睡眠,同時可以避開中午高溫期,減少中暑的可能,不僅對健康有益,而且能夠保障有充足的精力投入學習.
(三) 科學合理的飲食.吃大量的蔬菜、水果及適量的動物蛋白質和脂肪,補充體能消耗.
二、溺水
溺水是游泳或掉入水坑、水井等常見的意外事故,一般發生溺水的地點:游泳池、水庫、水坑、池塘、河流、海邊等場所.夏天是溺水事故的多發季節,每年夏天都有溺水身亡事故發生.在溺水者當中,有不會游泳的,也有一些會游泳、甚至是水性好的人
在我們國家,意外傷害是0~14歲兒童的首要死因.平均每年全國有近50000名兒童因意外傷害而死亡,平均每天有近150名兒童因意外傷害而失去生命.意外溺水是兒童意外傷害的首要死因,10個因意外傷害而死亡的0~14歲兒童中,有近6個是因為溺水身亡的.
(一)如何防溺水
1.不要私自在海邊、河邊、湖邊、江邊、水庫邊、水溝邊、池塘邊玩耍、追趕,以防滑入水中,有句俗語:有事無事江邊走,難免有打濕腳的時候.
2.不要私自下水游泳,特別是小學生必須有大人的陪同并帶好救生圈.
3.不要私自外出釣魚、抓魚,因為釣魚蹲在水邊,水邊的泥土、沙石長期被水浸泡,而變很松散,有些水邊長年累月被水浸泡還長了一層苔蘚,一踩上去就滑入水中,即使不滑入水中都有被摔傷的危險.
4.在沒有大人陪同或配帶救生圈的情況下,不要私自結伙去劃船.
5.到公園劃船,或乘坐船時必須要坐好,不要在船上亂跑,或在船舷邊洗手、洗腳,尤其是乘坐小船時不要搖晃,也不能超重,以免小船掀翻或下沉.
6.在坐船時,一旦遇到特殊情況,一定要保持鎮靜,聽從船上工作人員的指揮,不能輕率跳水.如果出現有人溺水,更不要冒然下水營救.
7.遇到大風大雨、大浪或霧太大的天氣,最好不要坐船,也不要在船上玩.
8.如果不慎滑落水中,應吸足氣,拍打著水,大聲地呼喊,岸上的人應馬上呼喊大人救援,并找附近的有長樹枝、竹子、草藤什么的,便于拋向落水的人抓住,如果沒有大人
來救援,岸上的人應一邊呼喊一邊馬上脫掉衣服、皮帶并把
它們接起來拋向落水的人.
9.如果不幸溺水,當有人來救助的時候應該身體放松、
讓救助的人托住腰部.
10.當自己特別心愛的東西,掉入水中時不要急著去撈,
而應找大人來幫忙.
(二)游泳安全要點
游泳是廣大青少年喜愛的體育鍛煉項目之一.然而,不
做好準備、缺少安全防范意識,遇到意外時慌張、不能沉著
自救,極易發生溺水傷亡事故.
1、不要獨自一人外出游泳,更不要到不摸底和不知水
情或比較危險且宜發生溺水傷亡事故的地方去游泳.
2、必須要有組織并在大人或熟悉水性的人帶領下去游
泳,以便互相照顧.
3、游泳時切勿太餓、太飽.飯后一小時才能下水,以
免抽筋.
4、要清楚自己的身體健康狀況,平時四肢就容易抽筋
者不宜參加游泳或不要到深水區游泳.要做好下水前的準
備,先活動身體,如水溫太低應先在淺水處用水淋洗身體,
待適應水溫后再下水游泳.
5、對自己的水性要有自知之明,下水后不能逞能,不
要貿然跳水和潛泳,更不能互相打鬧,以免喝水和溺水.不
要在急流和漩渦處游泳.
6、在游泳中如果突然覺得身體不舒服,如眩暈、惡心、心慌、氣短等,要立即上岸休息或呼救.
7、在游泳中,若小腿或腳部抽筋,千萬不要驚慌,可用力蹬腿或做跳躍動作,或用力按摩、拉扯抽筋部位,同時呼叫同伴救助.
現在正是天氣炎熱季節,在此再次強調要求同學們做到以下幾點:
(一)樹立安全意識,加強自我保護,不走河邊,溝沿,不走偏僻的道路,回家時要結伴而行.
(二)用學會的防溺水知識運用于實際,堅決杜絕溺水事件的發生.
(三)從我做起,聽從長輩教導,嚴守學校紀律,堅決不玩水.
(四)在加強自我安全意識的同時,對于那些違反學校紀律,私自玩水的行為,要堅決抵制并勸阻.
(五)同學間要互相關心、愛護,發現有的同學私自去游泳或到危險的地方去玩耍,要及時勸阻并告訴老師、家長.
(六)在我們的日常生活中,如果一旦遇到有人落水,我們在營救時應該怎么辦呢?
最重要的一點,就是不能冒然下水營救,因為一旦被落水者抓住將十分危險.在水中與落水者糾纏不但會消耗救助
者的大量體力,有時甚至會導致救助者體力耗盡最終喪命.
所以,發現有人落水,最正確的做法應立即大聲呼救,尋求
大人的幫助.同時,可以將救生圈、竹竿、木板等拋給落水
同學們:生命是美好的,生命高于一切,我們是國家和
民族的未來和希望,讓我們行動起來,珍愛生命,加強防范,
杜絕悲劇的發生. 祝愿大家能夠開開心心的學習,健健康
第4篇:防中暑安全預案范文
〔關鍵詞〕云存儲;數字圖書館;數據;數據安全;防范
〔中圖分類號〕G250.76 〔文獻標識碼〕A 〔文章編號〕1008-0821(2012)04-0057-03
目前數字圖書館廣泛采用的存儲方案主要有DAS(Direct Attached Storage,直接附加存儲)、NAS(Network Attached Storage,網絡附加存儲)、SAN(Storage Area Network,存儲區域網絡)、ISCSI(Internet Small Computer System Interface,互聯網小型計算機系統接口)和網格存儲等[1]。這5種存儲方案各有其優勢,但單獨采用其中任何一種方案,都無法全面解決數字圖書館資源存儲面臨的眾多問題。針對這些現存問題,現代數字圖書館正在探索使用云存儲方案。
1 云存儲的概念及在數字圖書館數據存儲應用中的優勢1.1 云存儲的概念
云計算至今沒有一個統一的定義,每個定義都是從自身理解的角度來定義的,但主流的定義主要有技術層面和服務層面的定義。云存儲是在云計算(cloud computing)概念上延伸和發展出來的一個概念。在這里筆者也根據自己的理解來定義云存儲。云存儲是指通過集群應用、網格技術或分布式文件系統,將網絡中分散的、不同類型的存儲設備統一到一個或幾個大的存儲池下,形成一個統一的整體,作為一個動態的存儲資源實體向用戶提供數據存儲和業務訪問功能。由于云計算系統運算和處理的核心是大量數據的存儲和管理,云計算系統中配置有大量的存儲設備,所以云存儲是一個以數據存儲和管理為核心的云計算系統。
在數字圖書館信息資源存儲中應用云存儲可以低成本的實現海量數字資源的存儲,提高存儲資源的利用率,并能提高數字圖書館之間信息資源的共享。與前面提到的存儲方案相比,數字圖書館采用云存儲方案具有較強的優勢。
1.2 云存儲在數字圖書館應用中的優勢
1.2.1 節約成本
云存儲向圖書館用戶提供以網絡為基礎的在線存儲服務,把云存儲集群的一部分提供給圖書館用戶。對于圖書館用戶來說就是通過網絡和一定的應用軟件或應用接口得到一定類型的存儲服務和訪問服務,不需要配置基礎設施,并對這些基礎設施進行安裝、升級和維護,以及數據完整性保護和容災備份。云存儲通過多租戶模式使得使用成本和管理成本大幅度降低。
1.2.2 安全和穩定
云計算采用分布式存儲的方式來存儲數據,采用冗余存儲的方式來保證存儲數據的可靠性(為同一份數據存儲多個副本),采用數據加密技術保證云存儲中的數據不會被未授權的用戶所訪問。同時,通過各種容災技術和措施可以保證云存儲中的數據不會丟失,保證云存儲自身的安全和穩定。數字圖書館采用云存儲,當用戶突然增多、訪問量突然加大時,通過云存儲系統,利用其自身的分布式系統、集群系統,能合理分擔存儲和訪問的壓力,有效地防止數字圖書館系統癱瘓,提高數字圖書館的信息資源存儲系統的穩定性。
1.2.3 實現資源共享
在云存儲系統中,各個數字圖書館的信息資源保存在“云”中,所有符合權限的讀者只要通過互聯網連接到“云”,就可以不受物理地址和時間限制的訪問所有資源,實現了數字圖書館之間的資源共享。
2 云存儲數字圖書館數據存儲應用中的安全問題
云計算的吸引力在于其經濟上的可擴展性、資源復用、低成本和高效率。為了支撐這種低成本高效率,云供應商提供的服務必須足夠靈活,但這種靈活性會降低其對安全控制的能力[2]。根據2009年CSA(Cloud Security Aliance,云安全聯盟)的一份云計算安全風險簡明報告總結了7條最常見的風險:濫用和惡意使用云計算;不安全的接口;內部員工的濫用;基礎設施共享問題;數據丟失或泄漏;賬號或服務劫持;未知的風險。云存儲在數字圖書館信息資源的存儲應用中主要存在以下安全問題:
2.1 數據傳輸過程安全
數字圖書館采用云存儲模式,原來局限在私有網絡的資源和數據現在暴露在互聯網上,并且這些資源和數據放到了第三方云計算提供商所有的共享公共網絡上。圖書館在將信息資源數據通過網絡傳遞到云計算服務器進行處理時,會存在這樣的問題:數據在網絡傳輸過程中是否進行了嚴格加密,保證數據不被中途偵聽,即使被偵聽了也無法還原;能否保證數據的完整性;在傳輸過程中能否不被被莫名其妙的修改。
2.2 數據存儲安全
數字圖書館信息資源數據存儲在云存儲系統中,他所使用的基礎設施是共享的,非隔離的,當一個攻擊者得逞時,全部服務器都將成為攻擊者的攻擊對象。所以數據存儲是否安全要看云計算服務商是否有強大的分區和防御策略;是否有強大的實時監控系統防止有未經授權的修改和活動;對所托管數據是否進行備份,備份使用的是單服務器多硬盤方式還是多服務多硬盤方式,是否實現異地備份。
2.3 數據訪問控制安全
數字圖書館信息資源數據在云計算提供商公共云存儲時,惡意軟件和木馬將會在云中變得更強大,垃圾郵件發送者和惡意代碼作者可以利用云服務中的匿名注冊和云服務模式進行網絡犯罪。在云環境中,如果攻擊者能夠獲得你的憑據,他們可以看到你的活動,處理你的數據,并給云計算服務提供商客戶端導致問題。另外,當用戶不再需要已分配的IP地址時,云計算提供商會再分配給其他用戶使用。IP地址再分配使用就會帶來問題。用戶無法確信他們對資源的網絡訪問能隨著IP地址的釋放一并終止,因為從DNS中的IP地址改變到DNS緩存清理,這之間存在一段時間延遲。因此在老的地址被清楚之前,還會一直存在于ARP緩存中。這意味著即使地址可能已經變化,原先的地址在緩存中依舊有效,因此用戶還是可以訪問到那些理應不存在的資源。最后,雖然資源可能無法通過互聯網直接獲得,但出于管理的目的,這些資源必須可通過專用地址在提供商網絡上進行訪問。圖書館的云計算提供商的其他用戶有可能從內部通過云計算提供商的網絡獲得圖書館資源。
2.4 云存儲服務商信用
由于數字圖書館的信息資源數據存儲在公共云,我們不能保證云服務商在得到數據時不將保密數據泄漏出去。有些云服務商的服務合同中規定:我們對于任何未經授權的訪問或使用、破壞、刪除、銷毀或弄丟任何你的內容或應用的程序不負有責任。像這種在合同中不承諾對任何數據泄密事件以及被破壞行為承擔法律責任或義務的服務商很難保證數據的安全。
2.5 知識產權保護
數字圖書館的知識產權問題在云時代有了新變化。圖書館購買云存儲服務后,將自己的數據交給云,由云托管這些數據。從理論上講,圖書館應該完全擁有被托管數據的知識產權。但是在現實中,云存儲商會千方百計利用這些數據,并以數據整合、數據挖掘、知識服務的名義使圖書館數據利用合法化。使得他們利用館藏數據開發出來的一些產品很難界定知識產權的歸屬,這成為一個新問題。
以上數據安全問題主要是由云服務商來保證,而數據備份是最基本的安全保障措施。
3 防范措施
為了解決數字圖書館云存儲存在的安全問題,下面主要采取安全技術措施和法律規范措施兩方面進行討論。
3.1 技術措施
目前有關云計算的安全性問題主要集中在訪問控制(基于層次密鑰生成與分配策略實施訪問控制的方法);利用基于屬性的加密算法(如密鑰規則的基于屬性加密方案(KP-ABE));虛擬安全技術(Santhanam等人提出了基于虛擬機技術實現的Grid環境下的隔離執行機);數據保護(Mowbray等人提出了一種基于客戶端的隱私管理工具,提供以用戶為中心的信任模型,幫助用戶控制自己的敏感信息在云端的存儲和使用)等方面[3]。
3.1.1 訪問控制
圖書館的云存儲服務訪問控制認證和授權兩個方面。身份鑒別就是圖書館讀者向云存儲服務提交操作請求時,云存儲服務在接收到讀者的請求后,要鑒別讀者的身份。為了有效地鑒別讀者的身份,云存儲服務事先就要為每個讀者用戶分配一個秘密訪問密鑰和一個用戶標識;讀者訪問云存儲服務時,首先要生成請求報文,然后利用密鑰采用某種HMAC對請求報文進行簽名,并將該簽名和訪問密鑰惟一標識一起附加到請求報文中;云存儲服務在處理請求前,會對該簽名進行驗證。權限判定就是圖書館云存儲服務完成對讀者用戶的驗證后進一步驗證該讀者是否有進行所請求操作的權限,只有有權限的圖書館讀者才能進行相應的操作,否則操作請求將被拒絕。圖書館云存儲服務還可以通過對讀者用戶進行授權,并進行授權控制,對大量用戶進行管理[4]。
3.1.2 數據加密
數字圖書館的信息資源中有很多涉及圖書館的絕密數據,有時會在傳輸過程稱遭到偵聽,給圖書館造成巨大的損失,所以數字圖書館的重要數據需要進行加密,以防被盜取或破壞。圖書館數據在云計算存儲時由誰來加密,是圖書館自己加密還是云計算服務提供商加密,采用什么加密算法和什么強度的密鑰,這取決于所選擇的云計算服務提供商。圖書館數據在圖書館與云計算提供商之間進行傳輸,對于那些靜態數據如果使用簡單存儲可以進行加密,但有些數據在云計算中處理時,絕對是不加密的。這種未加密狀態的數據很容易遭到破壞。目前關于數據加密的手段很多,普通的加密方案如需對加密文件進行操作,必須將加密數據回傳,解密操作后再加密回傳云端,效率低下。在2009年6月,IBM宣布其研究人員與斯坦福大學的研究生合作,開發出一種完全同態加密方案,這種方案允許在不解密的狀態下處理數據[5]。利用全同態加密技術對數字圖書館的數據進行加密,就是將數據加密后存儲在云端,從而提高數據的安全性,即使這些數據被竊取,沒有相應的密鑰也無法還原,而密鑰只有用戶才知道,云端不知道該密鑰[3]。由于同態加密的特性,云端可以直接對加密文件進行操作,從而提高了對加密數據進行操作的效率。利用全同態加密技術對數字圖書館的數據進行加密既能確保用戶數據安全,又能避免傳統加密方案的弊端的新的云計算數據安全方案。
3.2 制定相關的行業標準、規范、法規
不同云服務商對數據的技術管理能力不同,在對用戶數據管理執行標準上有較大差異,為云計算服務提供商提供了規避大部分安全風險,而將風險轉嫁給用戶的可能,導致用戶權利難以保證。所以,建立國際行業標準,規范服務,確保有國家級的監管來保障云服務質量和安全標準迫在眉睫。OASIS標準組織在SOA安全方面的現有標準,如IAM、IDM。強化的認證標準,數據加密標準,密鑰管理標準以及VM安全配置標準等,都可以被應用到云安全領域。在云安全領域,不是要制定或發明新標準的問題,而是要研究如何把現有的安全技術很好的和云計算對接,最好地發揮作用。Cloud Security Aliance(CSA,云計算安全聯盟)的定位和目標是制定關于云計算安全問題的一些“最佳實踐”和指南[6]。此外,還應對“云”管理服務提供商(MSP)在開放性、共享性、標準化、安全性能、保密級別、企業的誠信與可持續發展制定不同行業等級,依據行業級別運營相應安全級別的數字圖書館“云”業務[7]。
一些數據泄漏事件出自云計算提供商內部員工,所以加強對云計算提供商雇員的管理,在聘用合同上明確雇員的法律責任,在違反安全規定造成安全事故時有權送交司法機關。
3.3 引入第三方的認證機構進行數據審計
無論圖書館放在云計算中的數據有無加密,了解云計算中的數據專門存儲的地點和時刻是非常有用的,甚至有時候是必須的。數據沿襲(對數據路徑的跟蹤)對審計有很重要的作用。云計算提供商確保既能提供有效地數據,又不損害其他已有客戶的利益,又在審計過程中保證審計機構不泄露相關客戶的敏感數據的情況下,協助第三方機構對數據的產生進行安全性和準確性的審計。
4 結束語
云存儲模式的出現,給互聯網環境下數字圖書館信息資源中心作用的發揮帶來了機遇。數字圖書館云服務平臺具有動態的、自適應的系統組成能力與集成機制,能實現分布式數字圖書館服務的虛擬化,能實現更大程度的資源共享與協作。同時,云存儲的應用還處在探索階段,在發展過程中還存在著安全問題和風險。隨著圖書館對云計算技術的關注和安全技術的廣泛應用,以及云安全標準的進一步完善,我國數字圖書館的發展將進入一個嶄新的階段。
參考文獻
[1]劉文云,鮑凌云.“云”下的數字圖書館資源存儲研究[J].情報資料工作,2011,(2):51-54.
[2]丁秋峰.云計算環境下取證技術研究[J].信息網絡安全,2011,(11):36-38.
[3]吳旭東.云計算數據安全研究[J].信息網路安全,2011,(9):38-40.
[4]王平建.云存儲中的訪問控制技術研究[J].信息網路安全,2011,(9):41-43.
[5](美)Tim Mather,Subra Kumaraswamy,Shahed Latif.云計算安全與隱私[M].北京:機械工業出版社,2011:64.
第5篇:防中暑安全預案范文
關鍵詞:企業;網絡安全;防護
中圖分類號:TP393.08
隨著計算機和網絡技術的高速發展,網絡已經成為人們生活和工作當中必不可少的一部分。大中型企業信息化建設隨著網絡系統的快速發展也在日新月異,網絡和信息化已經融入到企業的生產和管理當中,對企業的正常運轉越來越重要。隨著大中型企業網絡和信息化業務系統的日益增多,遭受網絡安全威脅與攻擊的可能性也大大增加,一旦遭受攻擊導致網絡和信息化系統服務異常,影響到生產的話,將會給企業造成極大的經濟損失和社會負面影響。
1 企業網絡安全防護的重要性和建設目標
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。網絡安全的主要特性為:保密性、完整性、可用性、可控性和可審查行。
企業的網絡與信息化系統應用的越多,企業對網絡的依賴度就更高,目前大中型企業提高信息化發展水平已經是一種趨勢,信息化的發展必然面臨各種網絡安全威脅,若不采取相應措施保護企業網絡和信息化系統安全,則企業的網絡和信息化系統將隨時遭受攻擊而癱瘓或崩潰,影響企業的生產秩序。
大中型企業網絡所面臨的嚴峻安全形勢,使得各企業必須意識到構建完備安全體系的重要性。隨著網絡攻擊的多樣化,企業不能只針對單一方面進行網絡安全防護,應該從整理著眼,建立完整的網絡安全防護體系。完整的安全體系建設不僅要能有效抵御外網攻擊,而且要能防范可能來自內部的攻擊、入侵和泄密等威脅。
2 企業網絡安全的隱患與危害
2.1 計算機病毒
計算機病毒出現的初期,其危害主要為刪除文件數據、格式化硬盤等,但隨著計算機應用和互聯網技術的發展,計算機病毒通過網絡進行瘋狂傳播,大量消耗網絡資源,使企業甚至互聯網網絡癱瘓。
計算機病毒造成的最大破壞,不是技術方面的,而是社會方面的。計算機感染病毒后導致計算機的使用率減低,甚至導致企業、銀行等關鍵信息泄露,造成社會聲譽損失和商業風險。
2.2 黑客威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越劇烈,目前以非法牟利為目的的黑客產業鏈已經成為新的暴力產業,黑客通過網絡非法入侵計算機信息系統,肆意竊取信息系統里面存儲的用戶信息和關鍵數據等,給信息系統所有者和用戶帶來無法估計的損失。
2.3 內部威脅和攻擊
企業在管理內部人員上網時,由于對內部威脅認識不足,所以沒有采取全面的安全防范措施,導致內部網絡安全事故逐年上升。機器都是人進行操作的,由于懶惰、粗心大意或者對設備的使用和業務不太熟練等原因,都有可能造成數據的損壞和丟失,或者企業機密信息泄露。另外還有一些企業員工,為了一己私利對企業的計算機網絡系統進行攻擊和破壞。不管是有意的還是偶然的,內部威脅都是一個最大的安全威脅,而且是一個很難解決的威脅。
2.4 系統漏洞
許多網絡系統和應用信息系統都存在著這樣那樣的漏洞,這些漏洞可能是網絡建設考慮不全和系統本身所有的。另外,在企業信息化應用系統建設時,由于技術方面的不足或者為了遠程維護的方面導致應用系統在開發過程中存在漏洞或后門,一旦這種漏洞或后門被惡意利用,將會造成非常大的威脅。
3 企業網絡安全的技術防護措施
完整的網絡安全防護體系,必須具體綜合的防護技術,對攻擊、病毒、訪問控制等全面防御,目前企業網絡安全防護技術主要有以下幾種:
3.1 防火墻隔離
防火墻提供如下功能:訪問控制、數據包過濾、流量分析和監控、攔截阻斷非法數據連接、限制IP連接數等。此外通過防火墻將內網、外網和DMZ(非軍事區)區劃分不同的等級域,限制各域之間的相互訪問,達到保護內網和公共服務站點安全的目的;
3.2 VPN安全訪問系統
VPN(虛擬專用網絡)是在公用網絡上建立專用網絡的技術。VPN屬于一種安全的遠程訪問技術,通過在公網上建立一個私有的隧道,利用加密技術對數據進行加密,保證數據的私有性和安全性。
3.3 入侵檢測系統與入侵防御系統
入侵檢測系統(Intrusion Detection System)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報網絡安全設備。入侵檢測系統通過對來自外部網和內部的各種行為的實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,并記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據。入侵檢測系統采用旁路部署模式,將網絡的關鍵路徑上的數據流進行鏡像和收集分析。
入侵防御系統(Intrusion Prevention System)是一種在線部署到網絡關鍵路徑上的產品,通過對流經該關鍵路徑上的網絡數據流進行2-7層的深度分析,能精確、實時的識別、阻斷、限制各類網絡攻擊和泛洪攻擊,進行主動的、實時的防護,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷。
第6篇:防中暑安全預案范文
手術學實驗課程是醫學生由基礎醫學向臨床醫學過渡的橋梁課程,教學內容中有大量的活體動物實驗操作項目,實驗中學生要接觸犬類等具有攻擊性的活體動物,而且在實驗操作過程中要使用手術刀、剪、縫針等銳利的手術器械,實驗中操作稍有不慎,極有可能造成實驗人員的受傷[2]。為防止此類傷害的發生,我們采取了以下措施。
1加強課前預警教育
無菌觀念培養、無菌技術訓練是外科手術學實驗課的基本內容。部分學生在開始接觸到無菌技術訓練時,興趣不濃,學習積極性不高,教學效果難以保證。為建立并強化醫學生的無菌觀念,養成無菌操作的良好習慣,每次課前教師都會結合以往臨床實際工作中由于違反手術無菌操作技術要求、導致患者或醫護人員出現嚴重后果的相關案例介紹,讓學生在手術無菌技術訓練前先接受健康防護預警教育[3],同時在授課過程中反復強調規范化地無菌技術在外科手術過程中的重要性。將預防手術接觸感染的健康教育與無菌技術操作訓練相結合,可以有效提高學生的學習興趣,對學生提高防護意識、提升教學效果有十分重要的作用。
2實驗開始前動物的麻醉與固定環節
由于外科手術實驗使用的動物是家犬,具有極強的攻擊性,容易在麻醉過程中被其咬傷、抓傷。因此,實驗前動物的麻醉主要由實驗技術人員和教師在做好防護的基礎上[4],于實驗開始前做好麻醉工作。麻醉過程中,教師和技術人員邊操作邊講解操作要領、物的藥理與毒理作用、物的給藥劑量以及手術操作中的麻醉管理等。在麻醉完畢、完成動物手術部位的皮膚準備后,由學生將動物領至實驗室,放置實驗手術臺上,在教師和技術人員指導下,捆綁、妥帖固定好。
3實驗過程中的要求
樹立牢固的無菌觀念、掌握正確的無菌技術不僅是減少患者術后感染等并發癥的重要前提,也是手術人員自我保護、免于被交叉感染的重要保障。在無菌技術訓練過程中除了要建立、強化學生的無菌觀念、掌握正確的無菌操作技術外,強化學生的自我防護意識、加強教學安全與防護也是教學過程中不容忽視的重要內容[5]。通過臨床手術醫護人員術中誤傷造成交叉感染案例的介紹,讓學生明白做好嚴格細致的術前無菌準備工作,不僅僅是對患者負責,也是對自己和同事負責,提高學生對無菌觀念培養和無菌技術操作訓練的重視程度。
手術學實驗是在活體動物身體上模擬臨床外科手術進行操作,實驗過程中常常會使用手術刀、剪、縫針等銳利的手術器械。由于實驗動物是普通家犬,其身體是否帶有何種人畜共患病病原體具有不確定性,因此學生在手術實驗時做好細致的術前準備工作如戴好口罩、帽子、穿好無菌手術衣、戴好無菌手套就顯得尤為重要。術中手術器械的傳遞和使用要安全、規范,以免造成誤傷。完好的無菌手套是隔離動物與人相互直接接觸的重要環節。術前要檢查手套有無破損,術中若手套被器械刺破,應及時更換。術中如出現口罩、帽子被動物血液濺污或手術衣被污染浸濕應及時更換,如血液濺至皮膚,應立即用清水洗凈并用消毒劑進行消毒處理。如術中出現被誤劃傷、刺傷情況,應立即脫下手套,擠出污血,用流動清水沖洗傷口,然后用消毒液處理傷口,并及時去校醫院就診處理。
4實驗結束后的處理
在手術實驗結束后,要仔細觀察動物的蘇醒情況,在無明顯躁動的情況下,松開固定,將動物交給相關人員處理,消除手術結束后動物漸醒時可能出現的安全隱患。
在外科手術學實驗教學中加強安全防護教育,不僅對提高教學質量、樹立學生的自我防護意識、杜絕教學安全事故的發生有重要作用,同時對高校培養合格的未來醫學人才、減少臨床醫療傷害的發生也有重要意義。
參考文獻:
[1]左艷芳,郭光金,張天飛,等.健康教育在手術學教學中的應用[J].中國健康教育,2002,18(2):108.
[2]竇賀榮,周連生,曲愛娜,等.手術學教學實驗中意外損傷的防護[J].局解手術學雜志,2011,20(3):337.
[3]雷艷,朱志立,余匯洋,等.手術學教學中的安全管理與防護[J].局解手術學雜志,2008,17(5):348.
第7篇:防中暑安全預案范文
[關鍵詞] 網絡文件保險柜 終端數據 安全保護 安全內核
0 引言
隨著信息化進程的加快,保障數據的安全和可靠已經成為所有部門信息化建設的重中之重,需要一種可靠、安全的信息存儲、交換和共享平臺。據調查,有60%~80% 的單位數據分散存儲在臺式或筆記本計算機中。而目前終端數據管理薄弱,因各種意外情況如軟件平臺故障、硬件設備損壞、病毒入侵、人為誤操作等經常會導致用戶重要數據的丟失,造成經濟損失。對此,越來越需要一種可以滿足終端數據安全集中存儲防護管理的要求,網絡文件保險柜產品應運而生。
1 基于網絡文件保險柜的終端數據安全保護結構體系
1.1 網絡文件保險柜的設計目的
由于許多終端數據具有時效性長和隱私性強的特點,為了解決存在服務器上易導致信息泄露與不存在服務器上數據不安全的矛盾,網絡文件保險柜系統采用文件生命周期管理的理念,建立安全防護體系,實現文檔安全管理的要求。
安全防護體系的思想是:在文檔生命周期過程中對相應的系統定義了一個邏輯上的安全域,使得文檔在邏輯安全域內受到集中安全可控管理。所謂文檔邏輯安全域,是指以文檔為基本單位,生命周期為時間過程,在相應的系統內所劃定的與其權限和使用范圍相一致的邏輯區域,也就是文檔被授權使用的邊界或對象。
為了實現文檔邏輯安全域的要求,采用了安全內核、透明加解密、安全虛擬磁盤、硬件加密卡、終端安全防護等技術,使得對文檔的操作完全在可控范圍內完成。文檔從產生、保存、修改、歸檔及銷毀的生命周期,均在安全的環境內進行,從而保證信息不被泄露和免遭破壞。
1.2 網絡文件保險柜的系統架構
網絡文件保險柜系統由服務器和客戶端設備等組成。系統架構圖如圖1所示:
圖1 網絡文件保險柜系統架構圖
在服務器端,硬件層的加密卡模塊承擔了服務端所有的加解密操作。安全內核層的系統內核(安全內核)是我公司自主知識產權的成果,為整個安全防護體系從系統操作層提供了安全保障。應用層實現了系統的用戶管理、權限管理、版本管理、共享管理、分發管理、檢索管理、歸檔管理、借閱管理等操作。
在客戶端,硬件層上所采用的加密卡或加密Key承擔了客戶端所有的加解密操作。驅動層的磁盤映射、透明加解密、網絡通訊控制、打印控制四大核心模塊實現了防止文檔主動泄密的有效管理,是應用層各模塊功能實現的基礎。應用層的邏輯加密盤映射是把服務器的用戶空間映射到客戶端,形成客戶端文檔操作的加密緩沖區,這個加密緩沖區以物理盤的形式存在。客戶端的所有文檔操作結果都同步到服務端,不僅防止文檔丟失,而且實現了集中管理。由于采用了盤映射機制,因此可靠地實現了文檔的讀寫、打印、流轉以及復制、粘貼、移動等操作控制。
1.3 網絡文件保險柜的安全機制
網絡文件保險柜的安全機制采用安全內核、終端安全防護、透明加解密、安全虛擬磁盤等軟件技術,硬件加密卡、磁盤陣列技術、磁盤熱備用技術、電源冗余技術、溫度監控技術等硬件技術。其中關鍵技術介紹如下:
1.3.1安全虛擬磁盤技術
安全虛擬磁盤技術是利用Windows操作系統中的磁盤驅動程序實現磁盤仿真的虛擬磁盤數據存取技術。
虛擬磁盤技術主要通過虛擬磁盤驅動程序響應I/O管理器發送給虛擬磁盤的IRP,處理I/O請求,對數據流實時加解密,并且此操作完全透明。
虛擬磁盤驅動程序負責將服務端硬盤空間映射到客戶端形成虛擬磁盤空間。引入虛擬磁盤技術,對于重要電子文檔和普通電子文檔分開存儲提供了便利。所有重要電子文檔保存在虛擬磁盤中,普通電子文檔保存在其它磁盤中。這是系統設計的主要創新思路。
當客戶端通過系統認證,進入安全域(即密態)后,客戶端寫入到虛擬磁盤的內容實時加密,讀取時實時解密。在密態下,客戶端的所有電子文檔都只能在虛擬磁盤空間中進行讀寫操作,其安全由系統進程監控子程序來保證。
1.3.2自主研發的服務器端安全內核
網絡文件保險柜的服務端所采用的安全內核為國內廠家自主研發的技術成果。其特點包括:屏蔽超級用戶、內核級安全標簽檢驗、內核級的安全審計、強制訪問控制機制、文件系統加密等。
1.3.3基于文檔生命周期的安全防護體系
網絡文件保險柜產品采用了文檔透明加解密、安全虛擬磁盤、進程監控、網絡通訊監控、打印監控、剪貼板監控、文件操作監控等終端安全防護技術,有效防止了文檔在客戶端的泄密。結合硬件加密卡技術以及服務端安全內核技術,使得文檔在終端的操作、網絡的傳輸、服務端的集中存儲及歸檔等過程,均在安全可控范圍內,從而構成了文檔生命周期的安全防護體系,有效保證文檔的防泄密。
1.3.4網絡文件保險柜的模塊組成
網絡文件保險柜采用軟硬件結合,由網絡文件保險柜、管理引擎、數據庫和文件備份引擎、文件瀏覽客戶端構成,網絡文件保險柜直接連接以太網。管理引擎安裝在管理員的微機上,實現對網絡文件保險柜的管理和信息查看。數據庫和文件備份引擎安裝在PC機及文件服務器上,實現數據庫和文件存儲備份任務的管理。文件瀏覽客戶方便用戶存取備份和數據瀏覽。網絡文件保險柜為整個系統的核心設備,實現數據的集中存儲備份。
第8篇:防中暑安全預案范文
當下,我國很多銀行網絡安全體系中都運用到了訪問控制技術,它成為了銀行金融網絡的一大保護屏障,也是銀行網絡安全體系的重要構成。本文主要從訪問控制技術的角度來談談銀行要如何保護金融網絡安全,以期提出有益的建議。
【關鍵詞】銀行 網絡安全 訪問控制技術
計算機網絡的普及已經深入到我們社會生活的各個角落,在銀行金融業務中,如何解決銀行網絡安全是銀行十分重視的問題。在這種背景下,訪問控制技術誕生了,并成為了銀行金融電子化及網絡安全保護的重要措施。
1 訪問控制概念及原理
1.1 訪問控制的概念
所謂訪問控制,就是一種允許或者限制范圍能力和范圍的方法,它是利用某種顯式的途徑來實現,并且可以防御非法的資源使用行為。對于非法用戶的入侵行為,訪問控制可以限制其訪問重要資源,如果合法用戶因為失誤造成的破壞,訪問限制也可以進行阻止,這樣就能夠讓銀行金融網絡受到良好的控制,被合法使用。用戶要想訪問系統資源,必須在自己的權限范圍內,禁止越權訪問。訪問控制技術不等于身份認證,不過卻是以身份認證為前提的。
1.2 訪問控制的原理
我們可以運用路由器上的訪問列表對數據包過濾。網絡數據包傳遞由訪問列表控制,并對虛擬終端線路通信量進行限制,也可以對路由進行控制。路由器產生的數據包并不是因為包過濾功能引起的,數據包到達一個端口之際,路由器會針對這種數據能不能以路由或者橋接的方法送出去進行查驗。要是無法發送出去,路由器就會把這個數據包丟棄,反之,那么路由器會對這個數據包進行檢查,以符合端口定義的包過濾規則為檢查依據,要是不符合包過濾的要求就會禁止數據包通過,路由器也會將之丟棄。多條規則構成了單個訪問列表,數據包的允許或禁止通過需要遵循輸入規則。號碼是訪問列表的標志,相同的訪問列表需要一樣的號碼,列表中每個語句都是如此。訪問列表的正在應用類型代表了號碼的使用范圍。
2 訪問控制技術在銀行網絡安全中的應用
銀行金融網絡信息的整個系統都可以運用訪問控制技術,例如:
2.1 應用系統層
數據庫管理系統、操作系統等軟件是應用系統的基礎構架,它能夠讓具有不同需求的客戶在應用需求方面獲得滿意的軟件程序的幫助。要開發應用系統,必須先有效地分析、規劃訪問控制措施。訪問控制措施必須運用到銀行信息系統里的關鍵綜合業務系統以及別的應用系統中。各級柜員、管理者、自助設備等是綜合業務系統的主體,而相關的交易、操作則是客體。針對綜合業務系統里的安全管理環節,應該定義訪問控制措施的規則。不管是交易還是操作,只有根據規則來進行,主體才有權進行合理的訪問與執行。
2.2 網絡層
路由器和三層交換機中會大量運用到訪問控制列表,主客體分別為源地址、端口號與目的地址,對控制列表的訪問則是按照相關的保護規則來進行,如果數據包滿足保護規則要求,則允許通過,反之則被阻止。在MAC地址過濾中,待訪問目標是客體,而MAC地址則是主體。保護規則都是根據定義MAC地址過濾列表來進行的,只有符合該規則的MAC地址數據包才能得以通過。另外,還有一種常見的訪問控制技術,那就是防火墻技術。網絡有內網和外網之分,源端口號、源IP地址是主體,而目的端口號與IP地址是客體,以保護規則定義的方式讓遵循規則的數據包得以通過。
2.3 數據庫管理系統層
銀行金融網絡系統中,操作系統固然頭等重要,然而數據庫管理系統的重要性也是不言而喻的,它是應用系統不可或缺的組成部分。在數據庫管理系統中,十分重要的一個安全措施就是訪問控制。用戶安全管理是數據庫管理的集中體現。系統對通過身份認證的登錄信息會將之當做主體,而數據庫管理系統中的文件、字段、數據庫、表以及系統操作則是客體,而字段與表會存在一些增刪、查詢、和修改方面的操作,而數據庫則存在恢復、備份等方面的操作。用戶的存取、訪問規則是用戶對數據庫存取控制的執行依據。存取矩陣也能夠表示訪問控制規則。列在該矩陣中代表著系統客體是數據庫、字段以及表等等,而陣列各單元代表主體對客體或者不同主體的存取方法是增刪、查詢、修改等操作。
從操作系統的訪問控制安全角度講,訪問控制措施在數據庫管理系統中作用重大。數據庫管理系統成為了不少應用系統的的設計依據,系統的關鍵部分是數據,其權限被用戶掌握以后,就能夠不經過應用系統,直接通過操作數據庫的記錄,實現犯罪目的。所以,科技部門必須細致地分析設計數據庫系統的訪問控制措施,嚴格分析數據庫管理系統中主體的最小權限,然后據此對存取矩陣進行設定。
通常數據庫管理系統權限是應用系統最終用戶無法獲得的,這樣一來也不能直接操作數據庫管理系統,要最大限度地不讓內部和外包開發用戶對數據庫管理系統進行直接登錄操作。以嚴格的管控措施減少直接操作授權。假如必須直接登錄操作,那么要針對部分表的部分字段來操作,不能授予內部或者外包開發用戶全部權限。同時,針對查詢權限的授予,可以一定程度上降低要求,但要控制好增刪與修改操作。例如,一個用戶需要進行客戶存款信息查詢,那么他被授權查詢姓名Name、住址Address 、存款余額Deposit3個字段的信息表User,不過只允許修改Address字段,但是嚴禁執行插入或者刪除操作。
在不少情形下,個人征信系統、反洗錢系統等應用系統都是主體。要創建對應的用戶,則需參照應用系統對數據庫管理系統的最小授權來進行。在個人征信系統中,外包開發用戶要規劃系統,那么需要同科技部門溝通,對應用系統的最小授權集合進行制訂。客戶貸款信息數據表中的一些字段或許或會出現在個人征信系統中,那么存款信息之類的數據庫表就不應該被訪問,可以允許查詢。分析訪問控制措施,可以極大地減少因為內部和外包開發員的過渡授權而產生的金融安全風險。
2.4 操作系統層
有著訪問控制措施的常用操作系統主要注重對用戶進行安全管理。用戶的身份認證關系到訪問控制權限,也是訪問控制執行的依據。身份認證的方法有很多種,比如口令與指紋、身份卡與口令以及USB鑰匙等等。系統會禁止缺乏正確身份認證的用戶,如果認證成功,那么登錄身份信息將被系統當做主體。而系統設備、文件、操作、進程則是客體,一般會出現讀寫、運行和刪除及修改等行為。對于用戶的識別和存取訪問規則是由用戶對信息存取控制的來確定。系統對不同的用戶會授予不一樣的存取權限,比如寫入或者讀取被允許。存取矩陣模型一般被用來表示訪問控制規則,大型矩陣陣列則可以用來表示系統的安全情況。行在這種矩陣中代表系統主體,系統的客體則用列表示。主體對客體或者不同主體的存取是以陣列單元的填入數值來描述。數據庫管理系統以及操作系統都能夠使用這種模型。
要想對內部與外包開發人員進行有效限制,就需要合理配置訪問控制措施,這樣才能讓他們不會故意越權操作系統。如果配置不佳,就會讓內部和外包開發員有過多的權限,不利于銀行金融網絡的安全。科技部門必須細致地分析設計操作系統的訪問控制措施,嚴格分析文件系統中用戶的最小權限,然后據此對存取矩陣進行設定。
2.5 防火墻
訪問控制技術在銀行金融網絡防火墻中也有廣泛的運用。從網絡防火墻技術上來講,網絡具有內外網之分,該項技術可用于對所有的內外和外網通信應用協議的分析,由此查找出主機的IP地址和IP上聯端口號,并對業務流進行有效的規劃,進而合理控制對應的業務流。源IP地址、目的IP地址、源上聯端口號、目的上聯端口號中的訪問權限都可以利用防火墻技術來進行最大化的限制,能夠對業務流的通斷進行限制,以保證銀行的金融業務安全。
3 結語
總的來說,訪問控制措施必須符合相關的要求,即制定嚴格、遵循最小特權、職責分離與多人負責,這樣才能讓金融網絡變得更加安全,對非法用戶的阻止是很有效的。特別是當前銀行經常出現的內部與外包開發人員越權操作系統的案件,所以銀行必須科學而合理地使用訪問控制技術,以保證銀行金融網絡的安全。
參考文獻
[1]戚文靜,劉學.網絡安全原理與應用[M].北京:中國水利水電出版社,2005.
[2]蔣茜,張帆.訪問控制技術在銀行網絡安全中的應用[J].重慶工學院學報(自然科學).2008,22(12):153-154.
[3]王鐵剛.淺談“訪問控制”技術在銀行網絡安全中的運用[J].計算機光盤軟件與應用,2012(20):127-128.
第9篇:防中暑安全預案范文
中圖分類號:TN711 文獻標識碼:A文章編號:41-1413(2012)01-0000-01
摘 要:網絡帶給人們的便利之一就是信息資源共享,然而,與之俱來的是來自各方的網絡安全問題。網絡安全預警系統針對大規模的網絡進行預警,但傳統的系統存在對未知的攻擊缺乏有效的檢測方法、對安全問題的檢測通常處于被動階段.本文主要介紹NAT技術的特點及網絡安全預警系統中穿越防火墻/NAT技術的實現方法,使網絡信息傳遞更安全、更快速、更準確。
關鍵詞:網絡安全預警NAT防火墻/NAT的穿越
0 網絡安全預警系統
0.1 功能及體系結構
網絡安全預警系統主要具有評估不同攻擊者造成的信息戰威脅、提供信息戰攻擊的指示和報警、預測攻擊者的行為路徑等功能。
目前的網絡安全預警系統通常采用多層式結構,以入侵檢測系統作為中心,對受保護的網絡進行安全預警。該類系統通常由嗅探器模塊、安全管理中心、遠程管理系統服務器、遠程終端管理器組成。嗅探器模塊按一定策略檢測網絡流量,對非法的流量進行記錄以便審計,并按照安全策略進行響應;安全管理中心管理嗅探器運行,并生成及加載嗅探器需要的安全策略,接受嗅探器的檢測信息,生成審計結果;遠程管理系統服務器負責監聽控制信息,接收控制信息傳遞給安全管理中心,為實現遠程管理實現條件;遠程終端管理器為用戶提供遠程管理界面。
0.2 局限性
但是隨著目前網絡安全形勢的日漸嚴峻,傳統的網絡安全預警系統逐漸顯示出以下幾方面的不足:
(1)目前的網絡安全預警系統主要以入侵檢測系統的檢測結果作為預警信息的主要來源。由于入侵檢測系統檢測的被動性,使得預警自身就存在被動性,無法積極對受保護的網絡實施預警。另外對于所保護系統產生威脅的根源―受保護系統自身的漏洞重視不夠,從而當面對新的攻擊時往往束手無策,處于極度被動的局面。
(2)新的攻擊手段層出不窮,而作為中心的入侵檢測系統在新的攻擊面前顯得力不從心。雖然目前也出現了一些啟發式的檢測方法,但是由于誤報率或者漏報率比較高,在實際使用時也不太理想。
(3)預警信息傳送的時效性。目前令人可喜的是用戶己經注意到了安全問題,所以采用了一些安全部件如防火墻、入侵檢測系統等對網絡進行保護,但是同時也為預警信息的傳送帶了問題,即如何穿越防火墻/NAT進行信息的實時、有效傳送就是一個關鍵的問題。
(4)傳統的網絡預警系統中著重在預警,相應的響應很少或者沒有。
1 NAT技術
1.1 概念
NAT,即Networ Address Translation,可譯為網絡地址轉換或網絡地址翻譯。它是一個IETF標準,允許一個機構以一個地址出現在Internet上。NAT將每個局域網節點的地址轉換成一個IP地址,反之亦然。它也可以應用到防火墻技術里,把個別IP地址隱藏起來不被外界發現,使外界無法直接訪問內部網絡設備。同時,它還幫助網絡可以超越地址的限制,合理地安排網絡中的公有Internet地址和私有IP地址的使用。
1.2 分類
1.2.1 靜態NAT(Static NAT)
即靜態轉換靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉換為某個公有IP地址。私有地址和公有地址的對應關系由管理員手工指定。借助于靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問,并使該設備在外部用戶看來變得“不透明”。
1.2.2 動態地址NAT(Pooled NAT)
即動態轉換動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時,IP地址對并不是一一對應的,而是隨機的。所有被管理員授權訪問外網的私有IP地址可隨機轉換為任何指定的公有IP地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時,就可以進行動態轉換。每個地址的租用時間都有限制。這樣,當ISP提供的合法IP地址略少于網絡內部的計算機數量時,可以采用動態轉換的方式。
1.2.3 網絡地址端口轉換NAPT(Port-Level NAT)
即端口多路復用通過使用端口多路復用,可以達到一個公網地址對應多個私有地址的一對多轉換。在這種工作方式下,內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,來自不同內部主機的流量用不同的隨機端口進行標示,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自Internet的攻擊。因此,目前網絡中應用最多的就是端口多路復用方式。
1.3 常用穿越技術
由于NAT的種類不同,所以具體對于NAT的穿越技術也有所不同。目前比較典型的穿越技術是協議隧道傳輸和反彈木馬穿透。前者,采用直接從外網往內網連接的方式,利用防火墻通常允許通過的協議(如HTTP協議),將數據包按協議進行封裝,從而實現從外網向內網進行數據傳輸,但是如果數據在通過防火墻時經過了NAT轉換,就會失效;后者是采用由內向外的連接方式,通常防火墻會允許由內向外的連接通過,但是沒有真正解決防火墻的穿越問題,無法解決對于由外向內的對實時性要求較高的數據傳輸,并且對于應用型防火墻,穿越時也比較困難。
2 網絡安全預警系統中防火墻/NAT的穿越
2.1 應用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發送方和接收方的報文是否能通過自身所在網絡的防火墻,尤其是穿越應用服務器的注冊相關信息,并獲取必要的信息。
當發送方或接收方存在應用型防火墻時,可由發送方或接收方連接服務器,從而建立映射關系。由于發送方或接收方采用TCP連接方式連接服務器,所以映射關系可以一直保持。所以當服務器與主機連接時只需要知道相應的服務器地址、端口即可,而這些信息又可以從全局預警中心的注冊信息中獲得,從而解決了穿越應用型防火墻的問題。
2.2 陣雨NAT及包過濾、狀態檢測型防火墻檢測模塊
本模塊主要用于檢測接收方所在網絡是否存在NAT以及是否存在類型為包過濾和狀態檢測類型的防火墻。在NAT檢測報文中包含接收方的IP地址和端口,當到達發送方或者全局預警中心時,通過檢查NAT檢測報文的來源IP及端口,再比較報文中的IP地址和端口,若相同,則未經過NAT,否則經過了NAT。單從訪問控制來說,包過濾和狀態檢測類型的防火墻可能會阻止由外網到內網的連接,但是,它不會改變連接的目的地址以及端口,所以通過向指定測試端口發送連接請求可看出是否有此類型的防火墻阻隔。
2.3 NAT映射維持模塊
本模塊主要根據NAT及包過濾、狀態檢測型防火墻檢測模塊的檢測結果,反映出不同的映射維持。
當接收方所在網絡存在NAT時,經過映射維持,使得在接收方所在網絡的NAT處始終保持了一條接收方外網地址與內網地址的映射關系,從而使得發送方只要根據接收方的外網地址和端口即可與接收方直接通信,從而解決了外網與內網直接通信的問題。
當接收方所在的網絡不存在NAT,但存在狀態檢測、包過濾類型的防火墻時,由于不斷發送的NAT維持報文的存在,相應地在防火墻處開放了相應的端口,使得發送方可以從外到內通過此端口進行信息傳送。
2.4 信息傳送模塊
防火墻的問題。對于一般類型的包過濾、狀態檢測防火墻,因為通信內容已封裝成HTTPS協議的格式,所以對于從防火墻內部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內部的連接, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題。
3 結束語
本文采用HTTPS封裝實際傳輸數據,可以使得數據安全傳送,保證了信息可以穿越防火墻/NAT進行。但也存在著增加硬件額外開銷、NAT映射相對維持報文較頻繁等缺點,這些有待在進一步的研究中予以解決。
參考文獻:
[1]肖楓濤.網絡安全主動預警系統關鍵技術研究與實現 [D].長沙:國防科學技術大學.2009.
[2]張險峰等.網絡安全分布式預警體系結構研究[J].計算機應用.2011.05.
