系统安全分析方法包括

系统安全分析方法包括（通用7篇）

系统安全分析方法包括 篇1

安全防范系统中安全管理系统设计要素包括的内容有哪些？

1 集成式安全防范系统的安全管理系统，

1) 安全管理系统应设置在禁区内(监控中心)，应能通过统一的通信平台和管理软件将监控中心设备与各子系统设备联网，实现由监控中心对各子系统的自动化管理与

监控。安全管理系统的故障应不影响各子系统的运行；某一子系统的故障应不影响

其它子系统的运行。

2) 应能对各子系统的运行状态进行监测和控制，应能对系统运行状况和报警信息数据等进行记录和显示。应设置足够容量的数据库。

3) 应建立以有线传输为主、无线传输为辅的信息传输系统。应能对信息传输系统进行检验，并能与所有重要部位进行有线和/或无线通信联络。

4) 应设置紧急报警装置。应留有向接处警中心联网的通信接口。

5) 应留有多个数据输入、输出接口，应能连接各子系统的主机，应能连接上位管理计算机，以实现更大规模的系统集成，

2 组合式安全防范系统的安全管理系统。

1）安全管理系统应设置在禁区内(监控中心)。应能通过统一的管理软件实现监控中心对各子系统的联动管理与控制。安全管理系统的故障应不影响各子系统的运行；

某一子系统的故障应不影响其它子系统的运行。

2）应能对各子系统的运行状态进行监测和控制，应能对系统运行状况和报警信息数据等进行记录和显示。可设置必要的数据库。

3）应能对信息传输系统进行检验，并能与所有重要部位进行有线和/或无线通信联络。

4) 应设置紧急报警装置。应留有向接处警中心联网的通信接口。

5）应留有多个数据输入、输出接口，应能连接各子系统的主机。

3 分散式安全防范系统的安全管理系统。

1）相关子系统独立设置，独立运行。系统主机应设置在禁区内（值班室），系统应设置联动接口，以实现与其它子系统的联动。

2）各子系统应能单独对其运行状态进行监测和控制，并能提供可靠的监测数据和管理所需要的报警信息。

3）各子系统应能对其运行状况和重要报警信息进行记录，并能向管理部门提供决策所需的主要信息。

4）应设置紧急报警装置，应留有向接处警中心报警的通信接口。

系统安全分析方法包括 篇2

随着中国手机普及率的提高,市场环境日趋成熟,移动支付发展潜力巨大。据艾瑞咨询的统计数据显示,2010年我国移动支付市场整体规模达到202.5亿元,同比增长31.1%。预计到2012年手机支付交易规模将有望超过1000亿元。有投资报告也显示,到2013年,亚洲移动支付用户将占据全球相应用户总量的85%,我国的市场规模也将超过1500亿元。也就是说,未来几年我国移动支付的年均增速将超过40%。

移动支付用户最关心的问题就是移动支付系统的安全问题。研究移动支付系统安全合规性检测方法来保障移动支付系统的持续安全运行,有利于移动支付的健康发展。

1 移动支付介绍

从本质上讲,移动支付就是将移动网络与金融系统结合,把移动通信网络和近场通信技术作为实现移动支付的工具和手段,为用户提供商品交易、缴费、银行账号管理等金融服务的业务[1]。

1.1 移动支付的分类

1) 根据移动支付场景的不同,移动支付可分为:

• 现场支付 移动支付终端上内嵌的智能卡通过近距离非接触技术与金融支付终端通讯实现对商品或服务的现场支付过程。

• 远程支付 移动支付终端通过电信运营商网络和移动支付后台系统连接,远程实现账户查询、账单缴费、转账还款、在线支付等功能。

2) 根据移动支付平台提供商的不同,移动支付可分为:

• 移动运营商为主体的移动支付 移动支付平台由移动运营商自己建设、管理和维护。

• 金融机构为主体的移动支付 由金融机构为用户提供移动支付平台,移动运营商仅为金融机构和用户提供信息通道。

• 第三方专业支付提供商为主体的移动支付 移动支付平台由专业的第三方支付提供商建设、管理和维护。

1.2 移动支付的发展现状

在移动支付巨大的市场推动下,移动运营商、金融机构纷纷推出移动支付解决方案,并已经开展若干移动支付业务。中国联通携手支付宝推出了通过“手机营业厅”直接为手机、固话、宽带、小灵通交费充值的业务,这是移动运营商首次和第三方支付平台在移动支付方面的尝试。广东移动计划投入3亿元,重点推动“手机通宝”在民生、消费、金融、安全和政企等领域的应用,通过移动客户数字身份标识与手机号码紧密捆绑,为现场支付、远程支付、网上交易、数字版权业务等第三方应用提供了支撑。支付宝也携手UC冲击移动支付市场,共同推出国内首个实现浏览器内支付的移动安全支付解决方案。中国银联电子支付研究院研制了“中国银联第三代移动支付系统”,实现了移动支付平台、OTA/TSM平台、商圈平台、数据短信转换平台,将中国银联、入网银行、第三方机构、商户、支付内容提供商、持卡人整合到一起,汇聚传统支付市场商户资源及第三方机构商户资源,形成一个完整创新的支付网络台,为今后移动支付业务的发展奠定了基础。

1.3 移动支付产业链构成

移动支付产业链主要包括移动运营商、金融机构、第三方业务提供商、终端和设备提供商、商家和用户等,如图1所示[2]。

• 移动运营商 自己搭建移动支付平台,或者为其他移动支付平台提供安全的通信渠道。

• 金融机构 作为用户银行账号的管理者,需要为移动支付平台建立一套完整、灵活的安全体系,从而保证用户支付过程的安全通畅。

• 第三方业务提供商 为移动终端用户提供丰富的移动支付业务,吸引用户为应用支付费用。

• 终端和设备提供商 为移动支付业务提供商提供终端和移动支付设备。

• 商家和用户 移动支付业务的使用者。

2 移动支付系统安全保障与合规性检测的重要性

2.1 移动支付系统安全保障的重要性

移动支付所面临的最大问题就是安全问题。安全是一切应用及标准化工作的基础,同时也是影响移动支付产业发展的关键因素。

开展移动支付业务,安全可靠的服务平台至关重要。金融机构要能够持续提供安全、准确和及时的移动金融服务;移动运营商的服务质量也要有保障,如果客户访问其资金或账户信息时遇到严重通信网络故障,将会造成客户对移动支付服务的怀疑和不信任,引发信誉风险。

从底层的技术开发到最后的结算,只有每一个环节都做到万无一失,才能真正实现金融行业的移动信息化。只有采取完善的安全保障措施为移动支付系统保驾护航,才能使移动支付业务释放出更大的潜力,才能为移动支付培育一个健康的产业链。

2.2 移动支付系统安全合规性检测的重要性

国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。一方面互联网的广泛应用使企业健康、稳定的发展面临着来自互联网的威胁,另一方面企业内部对信息系统的依赖度越来越高,利用信息技术进行舞弊的风险也在增加[3]。因此,为了防止由信息系统造成的经营风险,信息系统安全合规性检测显得格外重要。

近年来,合规已经成为一种趋势和要求。BS7799/ISO27001系列信息安全管理标准早在多年前就已经成为国际化标准,受到广泛关注和认可,一些国家和组织更是对合作伙伴提出了强制性认证要求。而随着信息系统安全等级保护与涉密信息系统分级保护系列法规的出台和颁发,我国在27号文件“《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)”和66号文件“《关于信息安全等级保护的实施意见》(公通字[2005] 66号)”中也对信息系统安全管理建设提出了更为明确的强制性要求。所有这些都使信息系统的管理者们进一步地认识到了安全合规性建设的重要性,安全合规性管理已经成为国内外信息安全厂商和各行业信息系统管理者的关注焦点之一。

移动支付系统无疑是信息化时代的产物,为持卡人提供创新的支付服务手段。由于其业务数据的传输依赖于互联网的应用,数据内容涉及用户的磁卡信息、口令等敏感信息,因此,对于用户而言,系统的安全性显得非常重要,系统安全管理建设理应达到国家明确的强制性要求。为了保障移动支付系统的安全性,根据相关法律法规和行业准则对系统进行安全合规性检测是非常必要的。

另外,从信息安全保障工作的角度出发,一个系统的安全保障能力并不是静态不变的,随着外部安全威胁的变化,内部业务功能的升级,以及在运行维护中遇到的各类问题,系统处于持续变化中,具体的安全保障措施也会进行不断调整。各类安全测评机构对于不同保护等级的系统定期进行复查,以确保系统持续符合相应的保护等级。在移动支付系统中配备相关的运维信息收集、配置信息检查系统,充分利用这些系统自动收集的信息可以在一定程度上实现安全合规性检查的自动化,对于系统的持续安全运维是有利的。

3 信息系统安全合规性检测现状与发展

3.1 合规性之“规”

合规的范畴离不开“规”的约束环境,必须要遵循所在行业的规范和准则,满足监管机构的要求。

3.1.1 信息系统安全等级保护

信息系统安全等级保护[4,5]基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。如图2所示。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

3.1.2 PCI DSS

PCI DSS(支付卡行业数据安全标准)[6]是PCI安全标准委员会制定的旨在确保持卡人数据安全的一组要求,有利于全球广泛采用统一的数据安全标准。PCI DSS中的要求主要是针对在日常运营期间需要处理持卡人数据的公司和机构而提出的,移动支付作为支付卡行业的一个分支,其系统的安全建设可以借鉴PCI DSS。

PCI DSS从构建并维护安全的网络、保护持卡人数据、维护漏洞管理程序、执行严格的访问控制措施、定期监控和测试网络、维护信息安全策略六个方面对支付系统的安全建设提出了具体的要求。

3.1.3 SOX法案

对IT部门而言,遵循SOX法案,要求IT部门支持公司高管、财务和内外部审计人员的需求,以确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出响应。SOX法案对IT具体的控制需求主要包含基础设施安全、访问控制和变更控制、灾难恢复、开发及实施活动、IT治理[7]。

3.1.4 BS7799

信息安全管理标准BS7799[8]规定了建立、实施和文件化信息安全管理体系的要求,以及根据独立组织的需求实施相应的安全控制,它主要提供有效实施IT安全管理的建议,介绍安全管理的方法和程序,用户参照此标准制定自己的安全管理计划和实施步骤。该标准是一个组织全面或部分信息安全管理体系评估的基础,同时也可作为非正式认证方案的依据之一。BS7799标准分为两个部分:

• BS7799-1:为信息安全管理实施准则。该部分从信息安全策略、组织的安全、资产分类管理、人员安全、环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性管理、符合性等方面为组织提出了实施信息系统安全的指导性方法。

• BS7799-2:为信息安全管理体系规范。该部分规定了建立、实施和文件化信息安全管理体系(ISMS)的要求。

移动支付是一个新兴的领域,相关的标准、规范还不健全,还处于探索阶段。信息系统安全等级保护、PCI DSS等标准都是通用的标准,其应用于移动支付领域还需要进一步根据移动支付系统的实际情况进行细化。移动支付系统包含复杂的软件、网络、终端环境,用户无法在手机上直接沿用PC终端的互联网支付方式,传统的安全机制不能照搬到移动支付领域。从移动支付安全标准研究课题的完整性考虑仍需对相应的标准进行更加深入的研究,以使提出的标准体系更加符合实际需求。

3.2 合规性检测技术发展

从技术上来说,目前安全合规性检测主要分为以下几类:

• 日志合规性检测:通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。

• 主机合规性检测:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法操作和非法入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。

• 网络合规性检测:通过旁路和串接的方式实现对网络数据包的捕获,并且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的安全漏洞、合法操作和非法入侵操作、监控上网行为和内容、监控用户非工作行为等目的。

目前对于相关安全需求的合规性检查主要以人工检查为主,在日常运维过程中需要耗费大量的时间和精力来检查设备、收集数据、制作和审核报告,检查人员也需要掌握较高的水平,这使得日常的合规性检查工作难以频繁进行,而且评估的结果可能与评估者的主观判断密切相关。因此,信息系统安全合规性检测的自动化、智能化是今后的发展趋势,这其中包含了数据挖掘、关联分析、智能报表等技术。

近几年,云计算[9]发展迅猛,在业界看来,云计算有望成为继大型计算机、个人计算机、互联网之后的第四次IT产业革命。在这样的大环境下,传统的移动支付系统最终可能也会向云平台上迁移,这将给传统的信息系统安全合规性检测带来新的机遇和挑战。针对云计算特有的体系架构和关键技术,安全合规性检测技术也需做出相应调整以适应新环境下的移动支付系统安全运维管理的需要。

4 移动支付系统安全合规性分析与自动化检测模型

4.1 移动支付系统合规性检测

从系统日志信息、网络通信信息和系统配置三个方面对移动支付系统进行合规性检测:

1) 系统日志合规性检测

移动支付系统日志合规性检测主要检查日志中的异常情况,及时发现安全隐患:

• 检查操作系统账户登录注销日志,查看用户登录是否在合法的时间段内;检查账户管理日志,查看账户的添加、删除、修改操作是否在授权范围内;检查服务启停日志、su日志,查看用户的操作是否越权;检查Web访问、FTP会话日志,查看用户的网络访问行为、访问内容是否合法。

• 检查数据库系统日志、错误日志,查看数据库当前是否处于正常工作状态(例如日志记录空间是否已满等);检查访问操作日志,查看用户登录、异常时间访问、连接数据库的情况,检测是否存在非授权操作行为。

• 如果使用了中间件还要检查中间件的错误日志,查看引起错误的原因以及错误可能导致的安全隐患。

• 检查业务系统交易日志,查看用户登录失败与账户锁定的情况是否匹配,交易日志中是否包含了交易时间、交易流水号等能唯一定位一笔交易的信息元素,交易日志中是否出现了不该出现的账号、PIN等用户个人敏感信息。

• 检查病毒查杀系统的病毒库更新日志,查看更新频度是否符合安全策略的规定。

• 根据安全事件的处置流程规定,选取最近发生的几个特定的安全事件,查看关联的日志记录是否一致。

• 检查所有日志记录组件是否有相关的措施(比如心跳措施等)防止日志漏记情况,是否有完整性检查措施防止日志的非法篡改,日志备份措施的执行情况是否符合规定。

2) 网络通信信息合规性检测

移动支付系统的网络通信信息合规性检测主要检查各关键网络通道上的通信数据,发现不符合安全规范的情况:

• 检查报文中交易类型字段和响应码字段的值是否在业务系统已定义的范围内,涉及交易的网络通道中的流量应该是纯净的,不应该出现和交易无关的数据包。

• 根据报文中交易类型、交易提交时间、交易响应时间、源目的地址、源目的端口号等字段进行交易会话的还原,查看交易的流程是否存在与交易流程设计规定不一致的地方,是否存在可疑的短时间内重复操作某种交易的行为,以及交易操作是否在规定的时间段进行和完成。

• 检查交易报文中涉及敏感信息的字段是否按照既定策略加密。

• 检查短时间内交易流水号的值是否有重复。

• 通过检查网络通道中的流量验证防火墙、IPS等边界防御系统的过滤机制是否奏效,例如对于过滤策略关闭的服务端口网络中就不该有此端口的报文。

• 检查是否存在违规接入和违规远程操作。

• 检查是否存在病毒和木马的攻击入侵痕迹。

• 监控网络中的流量,检查系统的负载是否接近设计的极限。

3) 系统配置合规性检测

移动支付系统的系统配置是整个系统的关键,系统变更过程中某个功能的调整可能涉及多个方面的配置的同步调整,在变更过程中确保系统的合规性是十分重要的。因此移动支付系统必须具备主机、网络设备、应用的配置变更合规性检测功能。通过设定基线,一旦系统组件发生了配置变更,管理员可以收到告警信息,并对每一项变更进行风险评估,以确保所有的配置变更都是在可控范围之内。检测所有配置变更,特别是某些关联到核心业务的服务器、网络设备等配置变化情况,避免移动支付系统由于配置变更而受到不良影响。

• 以系统配置信息的备份和配置完整性检查工具为基础,设计针对性的实验操作,定期检查系统的配置是否被更改。

• 在配置发生变更时,检查系统变更涉及到的所有配置信息的变化,根据变更后最新的安全规范的规定检测更新后的配置是否合规。

• 检查系统变更后配置信息是否按要求重新备份。

4.2 移动支付系统安全合规性综合分析

以上对于移动支付系统合规性检测分别从系统日志、网络通信信息和系统配置三方面进行了介绍,下面对于系统总体的合规性状况以统一的方式进行表述,图3描述了安全合规性综合分析的三个主要步骤。

1) 系统信息的全面收集与分析

对移动支付系统的日志信息、网络通信信息和系统配置信息进行全面的收集,依据合规性基线与知识库对这些信息进行分析、判断,针对系统日志信息、网络通信信息和系统配置信息三方面分别产生出合规与不合规的事件。

2) 合规性事件的关联分析

根据系统日志信息、网络通信信息和系统配置信息分别产生日志合规性事件、网络通信信息合规性事件和配置信息合规性事件,这些事件之间某些存在着关联性,例如由于配置信息的改变可能会引起网络通信行为的不合规,进一步反映到不合规日志事件的出现,这些关联关系需要进行进一步分析产生出针对移动支付系统的总体合规性评价。

3) 合规性总体评价

根据系统日志合规性事件、网络通信信息合规性事件和系统配置合规性事件的关联关系和各种事件的重要程度,建立起一种系统总体合规性评价机制,这样就能反映出系统每天或者每个时刻所处的合规性满足状态。根据合规性基线分析出系统所处的安全状况,及时分析和调整系统安全措施,降低系统安全风险。

4.3 移动支付系统安全合规性自动化检测模型

移动支付系统安全合规性自动分析与检测可以通如过图4所示的模型来实现。

• 监管内容层 包含移动支付系统相关的各种日志信息、网络通信信息和配置信息。

• 互联协议层 是系统与第三方厂商的产品进行通信所使用的通讯协议。

• 接口层 定义了系统对外和对内的接口,包括数据采集接口、网络数据截获采集接口和内部规则策略发放接口。

• 数据存储层 采用数据存储,分别对知识库、配置基线和规则、安全事件、系统日志信息、网络通信数据、系统配置信息等内容进行集中存储和统一管理。

• 综合分析层 提供了事件定位、追踪、事件关联分析、合规性评估、风险趋势预测、辅助决策支持等一系列合规性管理的必要功能和辅助手段。能够支持用户完成对事件的协同处置、分配、跟踪和反馈,做到事件管理的可控性、可追溯性和实时性。

5 关键技术

在移动支付系统多方位合规性自动化检测模型中需要解决数据采集、关联规则挖掘算法等关键技术。

5.1 数据采集技术

移动支付系统合规性检测模型需要对日志信息、网络通信信息和系统配置信息进行全面的采集,采集方式主要包括以下三种[10]:

• 日志文件的方式采集 采用基于模板的方法对日志中的重要信息进行分析、提取和转化,形成规范化日志记录再上报,实现对不同操作系统和应用平台的日志信息采集。

• 远程轮询和主动探测方式采集 主要针对一些开设服务的安全设备、网络设备、应用服务等。根据安全策略进行判别,形成规范化的信息数据。采用了SNMP、WMI、OPSEC等方式。

• 被动信息接收采集方式 许多安全产品和应用平台本身具备多样化的报警响应机制,可以通过收集这些信息实现某些审计信息的收集。如接收SNMP Trap、Syslog等。

针对移动支付系统的具体情况,数据采集代理可以灵活采用集中部署或分布式部署的方式。

5.2 关联规则挖掘算法

关联规则挖掘[11]就是从大量的数据中挖掘出有价值描述数据项之间相互联系的有关知识。通常关联规则具有:X⇒Y形式,表示数据库中的满足X中条件的记录也一定满足Y中的条件。挖掘关联规则主要包含以下二个步骤:

• 发现所有的频繁项集,根据定义,这些项集的频度至少应等于(预先设置的)最小支持频度;

• 根据所获得的频繁项集,产生相应的强关联规则。根据定义这些规则必须满足最小信任度阈值。

Apriori算法[10]是一个很有影响的关联规则挖掘算法。该算法是挖掘产生布尔关联规则所需频繁项集的基本算法,它利用了一个层次顺序搜索的循环方法来完成频繁项集的挖掘工作。这一循环方法就是利用k-项集来产生(k+1)-项集。具体做法就是:首先找出频繁1-项集,记为L1;然后利用L1来挖掘L2,即频繁2-项集;不断如此循环下去直到无法发现更多的频繁k-项集为止。Apriori算法利用了一个重要性质,又称为Apriori性质(一个频繁项集中任一子集也应是频繁项集)来帮助有效缩小频繁项集的搜索空间。

利用Lk-1来获得Lk主要包含连接和删除两个处理步骤:

1) 连接:设l1和l2为Lk-1中的两个项集,li[j]表示li中的第j个项。假设数据库记录中各项均已按字典排序。如果(l1[1]= l2[1])∧…∧(l1[k-2]= l2[k-2]) ∧(l1[k-1]<l2[k-1]),则Lk-1中l1和l2就可以连接到一起获得Lk的候选集合Ck。

2) 删除:Ck是Lk的一个超集,Ck中所有频度不小于最小支持频度的候选项集就是属于Lk的频繁k-项集。

在找到所有的频繁项集后,就可以较为容易获得相应的关联规则。可以利用下面的条件概率计算公式来计算所获关联规则的信任度:

$conf(X\Rightarrow Y)={\rm P}(Y|X)=\frac{supp\_num(X{\displaystyle \cup Y})}{supp\_num(X)}$ (1)

其中supp_num(X∪Y)为包含项集X∪Y的记录数目,supp_num(X)为包含项集X的记录数目。具体产生关联规则的操作如下:

对于每个频繁项集l的非空子集s,若:

$\frac{supp\_num(l)}{supp\_num(s)}\ge \min \_conf$ (2)

则产生一个关联规则“s⇒(l-s)”,其中min_conf为设定的最小信任度阈值。

如果将移动支付系统产生的所有安全合规性事件设为一个集合,每个安全合规性事件均为一个布尔值(真/假)的变量以描述该安全合规性事件是否在某个模块(日志信息、通信信息、配置信息)产生,那么移动支付系统合规性检测模型针对某个模块产生的每个安全合规性事件都能用一个布尔向量来表示。分析相应的布尔向量就可以获得哪些安全合规性事件是关联发生的。

例如,由于更改操作系统用户账户信息产生配置信息不合规事件,同时也会产生操作系统日志信息不合规事件,可以用下面的关联规则来描述:

config_opsys⇒log_opsys [support=2%, confidence=60%]

规则的支持度为2%,表示系统中有2%不合规事件同时发生了操作系统配置信息不合规和操作系统日志不合规事件。信任度为60%则表示所有发生的操作系统配置信息不合规事件60%同时还伴随操作系统日志不合规事件的发生。

同样,在每个合规性检测模块中采用该方法能针对性地找到各自模块内部安全合规性事件之间的关联性。例如,根据既定的安全事件处置流程,在系统日志合规性检测中,一个安全合规性事件可能会反映到多个日志文件中,利用Apriori算法就可以挖掘出这些日志文件之间的关联性,找到诸如某个日志文件的记录是否在一定信任度上伴随着另一个日志文件的记录等关联规则,从而为日志合规性检测提供合理的自动化检测规则。

当安全合规性事件的数量积累到足够多的时候,该方法可以有效挖掘出各种安全合规性事件之间的关联特性,帮助管理员从整体上把握移动支付系统的安全合规性动态。

6 结 语

移动支付系统安全合规性分析与自动化检测模型主要从系统日志、网络通信信息和系统配置三个方面来综合评价移动支付系统的安全合规性状况,提高了合规性检测效率以及检查结果的准确性和合规性,帮助管理员随时掌控系统的安全合规性动态,有利于移动支付系统的持续安全运维。

当然,信息系统安全合规性检测是一项复杂的工程,新标准、新规范的出现抑或系统的升级都可能会引起合规性检测要求的变化,导致平台知识库、配置基线库的变更,因此需要根据系统发展的具体情况不断进行调整、优化和完善。

参考文献

[1]袁琦.移动支付业务和技术发展现状[J].电信网技术,2011(4):1-1.

[2]宋颖.我国移动支付业务发展情况[C]//2010信息通信网技术业务发展研讨会,北京,2010:145-145.

[3]陈耿,王万军.信息系统审计[M].北京:清华大学出版社,2009:1-8.

[4]全国信息安全标准化技术委员会.信息安全技术信息系统安全等级保护基本要求[S].2010.

[5]全国信息安全标准化技术委员会.信息安全技术信息系统安全等级保护实施指南[S].2010.

[6]PCI Security Standards Council.Payment Card Industry Data SecurityStandard(Version 2.0)[S].2010-10.

[7]张耀疆.萨班斯法案与信息安全初探[EB/OL].2005.http://wen-ku.baidu.com/view/468a9d4e852458fb770b565b.html.

[8]国际标准化组织ISO.BS7799[S].2002.

[9]罗军舟,金嘉晖,宋爱波,等.云计算:体系架构与关键技术[J].通信学报,2011,32(7):3-19.

[10]何翔,薛建国,汪静.基于动态网络安全模型的应用[C]//北京烟草学会第四次代表大会暨学术交流会,北京,2008:62-62.

系统安全分析方法包括 篇3

关键词：智能电网 信息安全 可信平台 云计算

中图分类号：TP393.08 文献标识码：A 文章编号：1007-3973（2013）012-215-02

1 引言

以“自动化、信息化、互动化”为主要特征的智能电网，必将引入更多的智能基础设施，这些设备组成的庞大网络所产生的数据量是传统电网无法比拟的，智能电网也被称为“电网2.0”。如何有效应用电网产生的庞大数据量，是未来智能电网领域的研究人员面临的一大挑战。因此，将云计算方法与智能电网的属性特征相结合，可以提供崭新的解决思路。随着智能电网建设步伐的推进，更多的设备和用户接入电力系统，例如，智能电表、分布式电源、数字化保护装置、先进网络等，它们在提升电网监测与管理的同时也给数据与信息的安全带来了隐患。因此，如何使众多的用户能在一个安全的环境下使用电网的服务，成了当前电网信息安全建设的重要内容之一。

云计算是在分布式计算、网格计算、并行计算等基础上发展出的一种新型计算模型，云计算的出现使得人们可以直接通过网络应用获取软件和计算能力。IBM公司在2007年末的云计算计划中将其定义为：按用户的需求进行动态部署、配置、重配置以及取消服务等伸缩性平台。在云计算平台中的服务必须是可伸缩的，属于元（Meta）计算系统，可以是具体的物理的服务器机群，也可以另外一个云计算平台；通常一个通用的云计算平台包含强大的计算资源、存储区域网络（SANS）、网络设备、安全设备等。

2 电力企业的云计算需求

智能电网的信息化特征实质上是电力企业的信息化，包括电力生产、调度自动化和管理信息化等。目前调度自动化的各个系统，如SCADA、AGE以及EMS等已经成熟应用，省级电力调度机构全部建成了以EMS/SCADA为基础的三级调度自动化系统。但这些系统之间缺乏畅通的联系：信息不能共享，业务不能协同发展，对企业管理决策的作用十分有限，形成了大量的“信息孤岛”。未来电力信息系统需要对大量的信息资源进行共享，构筑一体化企业级信息集成平台，即电力企业的云平台。

云计算技术在电力企业的业务管理中已经逐步得到应用，另外，随着技术的成熟和商业成本的降低，基于可信计算平台的网络应用获得了迅猛发展。如果在电网业务管理体系中将可信计算与云计算结合起来，将会使电网的管理水平如虎添翼。图1所示为电力营销系统的云模型。

在可信计算环境下，每台主机嵌入一个可信平台模块。由于可信平台模块内置密钥，在模块间能够构成一个天然的安全通信信道。因此，可以将广播的内容放在可信平台模块中，通过安全通信信道来进行广播，这样可以极大地节约通信开销。智能电网的体系架构从设备功能上可以分为基础硬件层、感知测量层、信息通信层和调度运维层四个层次。那么，智能电网的信息安全就必须包括物理安全、网络安全、数据安全及备份恢复等方面。因此，其涉及到的关键问题可从CA体系建设、桌面安全部署、等级防护方案等方面入手。

3 智能电网中可信云的构造

未来接入智能电网的客户，不是传统意义上的单向服务接受者，而是具有与电网互动能力的双向参与者，客户的信息不但关系到隐私保护的问题，也同样会影响到电网安全，亟待构建一个可信的智能电网云计算环境。目前，计算技术与密码技术相结合，推动信息安全研究进入了可信计算（Trusted Computing， TC）阶段。随着技术的成熟和商业成本的降低，基于可信计算平台的网络应用获得了迅猛发展。

因此，需要借鉴可信计算平台的特点，研究如何设计高效的电力企业可信云计算平台，以解决电力信息化建设过程中的“信息孤岛”与信息安全问题，具有重要的现实意义和应用价值。

根据国家关于《信息系统等级保护基本要求》中关于信息安全管理的内容，针对电网业务应用系统的不同等级，设计了各应用系统的安全技术规划，内容包括物理安全、网络安全、系统安全、应用安全和数据安全等，如图2所示。

在该实验平台中，采用PGP（pretty Good privaey）加密算法对不同模块中的信息进行加密处理，如对保存文件进行加密、对电子邮件进行加密等，做到系统间信息的安全传输。

4 结束语

未来智能电网的安全保障不但要与信息安全技术相结合，还要融合先进的计算技术，如云计算、可信计算等，而不仅仅是简单的集成，智能电网将会发展成基于可信计算的可信网络平台。本文以电力企业营销系统的实验平台与可信计算结合起来，设计了面向智能电网的可信云计算环境。但信息安全是一个没有尽头的工作，需要及时在最新的案例中找到改进方法，不断完善信息安全方案，智能电网的信息化建设也将充分吸收新技术的优势，争取做到真正的智能、坚强。

（基金项目：中央高校基本科研业务费专项资金项目（11MG50）；河北省高等学校科学研究项目（Z2013007））

参考文献：

[1] 陈树勇，宋书芳，李兰欣，等.智能电网技术综述[J].电网技术，2009，33（8）：1-7.

[2] 陈康，郑纬民.云计算：系统实例与研究现状[J].软件学报，2009（5）：1337-1348.

[3] 郭乐深，张乃靖，尚晋刚.云计算环境安全框架[J].信息网络安全，2009（07）：62-64.

安全问题包括哪些 篇4

给你一些李岚清总理曾在校园安全工作会议上提到的校园安全的问题：人死不能复生。人死了，还谈什么“教书育人”？亡羊补牢，毕竟为时已晚。所以人命关天，安全第一。总体来说，我校的校园安全工作基本符合上级有关部门的要求，警之于先的工作基本到位，但仍然存在一些隐患，必须加以重视，加以改进。在此提几点建议：

1．健全门卫制度，严禁非教学用的易燃易爆、有毒物品、管制器具进入校园，严禁机动车辆和闲杂人员进入校园。进出校园要严格把关，严格登记、验证。门卫要认真履行职责，丝毫不能懈怠。把好进出校门第一关。

2．校园的路灯，楼道的电灯，楼梯的扶手，走道的栏杆，用水、用电、用气等相关设施设备经常检查、维修。

3．加强寝管人员的职责，值班室夜间要有人值班。一旦有事故发生，要保障安全出口、通道的畅通，组织施救、疏散学生。

4．食堂物质定点采购、索证和登记，做好饭菜的留验和记录工作。

5．危险化学物品、放射性物质要存放在安全地方，不能让学生接触或带出实验室。

6．学生有先天性疾病、特异体质的情况要报告老师，建立和妥善保管学生健康档案，给予特别的关照和留心，并依法保护学生的个人隐私。

7．建立学生安全信息通报制。学生在校、放假、返校时间有非正常缺席或擅自离校情况，要及时通知其监护人。联系电话要做到及时更正，保证信息畅通。

8．对住宿生的管理要实行夜间巡查、值班制度，特别要加强女生宿舍的安全管理。

9．注意交通安全和接送学生的校车管理。

10．建立安全工作档案，记录日常安全工作、安全责任落实，安全检查、安全隐患消除等情况。

11．注重易发事故的时间：体育课、劳动课、自习课、夜间休息，区域：楼道、走廊、宿舍、厕所，类型：打架斗殴、翻院墙、交通、用水、用电、火灾、自然灾害等。

12．大型集体活动，防拥挤踩踏。上课的老师一定要维持秩序，合理安排疏散时间，分时段、分楼层有序下楼。

13．安全知识要渗透到教学活动中，多利用读报、放假前、开学初、升旗时开展安全教育。

14．校园内发生安全事故及自然灾害时，应及时启动应急预案。全员参与救援、疏散、报警和上报家长及上级部门。保障学生身体健康和人身、财产安全。

15．教师生活区的安全问题同样不容忽视。

总之，安全无小事，要时时讲安全、事事讲安全。以人为本，预防为主。增强学生安全防范意识，提高学生自我防护能力，掌握避险、逃生、自救的方法。争取做到零伤亡，杜绝大型恶性事件的发生。

希望全体教职工高度重视、齐抓共管，共同关注我们的校园安全问题，做好警之于先，察之于后的各项工作，为创建平安校园尽自己的一份努力。

关于加强校园安全工作的 告家长书

感谢你们多年来对学校工作的关心与支持，在我校取得诸多喜人成绩的背后，也有你们的一份功劳。鉴于近期校园恶性伤人案件不断发生，为了进一步落实“安全第一，预防为主”的方针，居安思危，未雨绸缪，学校本着对学生高度负责的精神，坚决杜绝一切安全隐患，努力为学生健康成长创造安全、健康的教育环境。为此，我们把学校有关安全管理方面的要求告知家长，望广大家长配合学校教育。

一、学校将执行更为严格的进出校门管理制度。禁止与校内工作无关的人员进入学校。如因特殊原因家长需要到校内接送孩子或找老师有事，必须提前电话联系相关老师，到校门口报出相关老师的联系方式，由门卫核实，联系到相关老师并确认无误登记后方可进入校门，恳请家长给予理解和配合。

二、增强防范意识。教育孩子注意上学、放学途中的安全，上学和放学时段，尽量不要在校门外逗留，请尽快进入校门或尽快离校回家。教育您的孩子随时随地注意，不吃陌生人的东西，不跟陌生人走。

三、规范有序停车。请家长千万不要占用校门口通道，并服从学校保安的统一指挥，方便他人，也方便自己，以充分展现逍小学生家长的良好素质。

四、注意食品安全。学校明确规定学生不吃路边小摊上的三无食品。请教育孩子注意科学饮食，防止食物中毒。

五、注意交通安全。教育孩子走人行道，横穿马路时都要注意安全。骑车的学生一定要遵守交通规则，文明安全出行。

六、不带危险品进校园。请督促您的孩子不带锋利尖锐、有毒有害的危险品进入学校。教育孩子在同学间遇到矛盾时，要学会谦让，切忌用武力代替说理，特别不要参与打群架，给自己和同学以致家庭带来不良的后果。

七、学生周日下午3点后宿舍门才打，开请不要过早到校，以免发生意外伤害事故。

八．学校的围墙都是60年代修建的，已有多处倒塌，成了名符其实的危墙，学校多次告诫学生不要爬墙外出，以免发生生命危险，各位家长，孩子是我们的未来，是我们的希望，维护学生的安全与生命健康是学校、家长、社会的共同责任。生命是美好的，生活是多姿多彩的，而要拥有这一切的前提是安全。安全无小事，我们迫切地希望您们能重视以上问题，承担起监护人的职责，做好相关的教育。以上规定，重点保证校园安全，也是保证你的孩子在校平安地学习、生活，不便之处，请家长谅解，也恳请您的配合。谢谢！此致

此信我已经拜读。班 学生

家长签字

安全防护生产措施费用包括？ 篇5

1、安全防护资料的编制、安全防护警示标志的购置及宣传栏的设置;

2、“三宝”、“四口”、“五临边”防护的费用;

3、施工安全防护用电的费用，包括电箱标准化、电气保护装置、外电防护措施;

4、起重机、塔吊等其中设备(含井架、门架)及外用电梯的安全防护措施(含警示标志)费用及卸料平台的临边防护、层间安全防护门、防护棚等设施费用;

5、建筑工地起重机械的检验检测费用;

6、施工机具防护棚及其围栏的安全防护保护设施费用;

7、施工现场安全防护防护通道的费用;

8、工人的防护用品、用具购置费用;

9、消防设施与消防器材的配置费用;

10、电气保护、安全防护着迷设施费;

系统安全分析方法包括 篇6

安全相关系统是指执行必要的安全功能, 使受控设备EUC ( Equipment under control) 处于安全状态的系统, 当危险事件发生时, 安全相关系统采取适当的动作和措施, 防止被保护对象进入危险状态, 避免危及人身安全, 保护财产不受损失[1]。安全系统的这种作用是通过针对特定的危险事件, 正确的执行了要求的安全功能后才能达到或保持EUC的安全状态。因此, 安全系统首先要具备必需的安全功能, 其次是在必需的安全功能上有必要的安全完整性, 即具有执行安全功能的可靠性。典型的安全相关系统如安全联锁系统、紧急关断系统、安全关联系统、关键控制系统、仪表保护系统等等[2]。

根据IEC61508, 安全系统在设计之前必须选择合适的安全完整性等级, 以保证安全系统能正确的实现其安全功能。事故统计资料表明, 由于安全相关系统的安全完整性等级选择不合理, 导致安全相关系统安全功能失效, 进而导致受控设备危险失控的事故不少。因此, 合理选择安全相关系统的安全完整性等级成为安全相关系统设计的关键问题之一。目前, 关于安全完整性等级的确定方法有很多种, 这样, 可能的结果是不同的方法确定的安全完整性等级可能不同, 或者过高, 或者过低。显然, 不同的安全完整性等级对安全系统提出的技术要求亦不同。对同一安全系统来说, 其安全完整性等级越高, 可靠性就越大, 保障功能越强, 反之, 保障功能越弱。但是, 安全系统安全功能的安全完整性等级确定过高, 要求的技术条件就会很复杂, 经济支出和管理成本都会相应提高[3 - 4]; 反之, 确定过低, 安全系统的安全水平就达不到系统的安全要求, 起不到保障功能。因此, 为了在安全相关系统的设计开发时确定合适的安全完整性等级, 有必要对确定安全完整性等级的常用方法进行研究和对比, 找出各种方法的特点、适用条件, 以期为合理选择安全完整性水平确定方法进而合理的确定安全系统的安全完整性等级提供借鉴和依据。

姜巍巍[5]等从分析的目标、结果和详细程度的角度对风险图法、风险矩阵法以及保护层分析法进行了初步的分析和比较, 但略显粗糙和简单; 郭海涛[6]等从定性和定量的角度从总体上比较了定性与定量方法的特点, 而没有涉及各具体的安全完整性等级确定方法; Gulland[7]对风险图法和保护层分析法进行了详细的分析, 得出了它们各自的优缺点。

可以看出, 这些文献仅选择了个别方法进行分析, 且缺乏从多角度来比较它们之间的异同, 因此, 本文试图选择多种安全完整性等级确定方法, 如后果法、风险矩阵法、改进的HAZOP法、风险图法、保护层分析法以及定量分析法等, 从多角度进行比较和分析, 并给出选择方法时应考虑的主要因素。

1 安全完整性等级及其确定原理

1. 1 安全完整性等级及分类

安全完整性 ( Safety Integrity) 指是在规定的条件下、规定的时间内, 安全相关系统成功实现所要求的安全功能的概率, 是用来衡量安全相关系统完成所要求的安全功能的能力水平, 它着重于安全系统执行安全功能的可靠性。安全完整性等级 ( SIL, Safety Integrity Level) 是用来表示安全完整性的离散等级, 用于规定分配给安全系统安全功能的安全完整性要求。安全完整性等级代表着安全系统降低风险的最低数量级 ( 对低要求操作模式) , 例如, SIL3的安全系统就意味着它能使受控设备的危险事件发生的频率至少降低三个数量级, 也就意味着将EUC的风险降低了至少三个数量级。安全完整性等级根据安全相关系统安全功能要求时的失效概率 ( PFD) 进行划分, 要求时失效概率是指当受控设备危险条件出现, 需要安全相关系统进行保护时, 安全系统安全功能失效的概率。安全系统的安全完整性等级越高, 安全系统实现所要求的安全功能失败的可能性就越低。IEC61508 中对安全系统规定了4 种安全完整性等级, SIL4 最高, SIL1 最低。其中, 根据系统对安全功能动作的要求频率, 分为低于每年一次的低要求操作模式和高于每年一次的高要求操作模式 ( 或连续操作模式) 。低要求模式下安全完整性等级的分类以要求时平均失效概率PFDavg为技术指标, 高要求模式下安全完整性等级的分类以要求时每小时失效概率PFDperhour为技术指标, 如表1 所示[3，8]。显然, 通过分析, 若得到了安全系统安全功能的PFDavg或PFDperhour, 就可以根据表1 确定安全系统的安全完整性等级。

1. 2 安全完整性等级确定的基本原理

安全是相对的, 它表示系统达到了社会允许的风险水平, 而安全相关系统是用来保障受控设备安全的, 因而安全相关系统也就是为了将受控设备安全风险降至合理的风险水平。而安全完整性等级是衡量安全相关系统的保障程度, 即执行安全功能的可靠性的, 因此, 安全相关系统的安全完整性等级的确定主要是依据对受控系统的风险分析, 根据受控系统 ( 未加装安全相关系统前的设备) 的原始风险和加装安全相关系统后希望达到的风险, 来确定安全相关系统风险降低的数量, 进而由此确定SIL。图1 是简化的安全系统安全生命周期图[3]。

可以看出, 安全系统SIL的确定过程及原理主要是:

1) 定义受控设备的范围以及EUC与外部环境的相互影响, 确定风险分析的边界。

2) 对受控设备进行危险与风险分析, 找出EUC内部和EUC与外部环境相互作用可能存在的危险源, 针对每个危险源计算或评估出其风险, 然后根据法律、法规、规章、标准中要求达到的风险目标或社会可以接受的风险目标, 评估现有风险的可接受性。

3) 确定安全功能和安全功能的安全完整性等级。对不允许的风险, 则需要通过增加安全相关系统的措施来降低风险, 并针对特定的危险, 确定相应的安全功能及安全功能的完整性等级SIL。由于SIL表示安全相关系统对EUC风险降低的最低数量级, 因此, SIL的确定就可以通过EUC的原始风险与允许风险的差距来求得。如图2[4]所示, 当EUC原始风险大于允许风险时, 则必须通过安全防护系统的实施来降低实际的风险。降低的最低要求就是EUC原始风险与允许风险之间的差距, 也就是必要的风险降低。得到必要的风险降低要求后, 就可以求得安全相关系统的PFD, 进而根据表1 可得出安全相关系统的整体SIL。显然, 实际的风险降低必须大于或至少等于必要的风险降低。

2 安全完整性等级确定方法

目前关于安全完整性等级的确定方法主要有后果法、风险矩阵法、改进的HAZOP法、风险图法、保护层分析法以及定量分析法。

2. 1 后果法

顾名思义, 后果法主要是基于对危险事件所造成的后果来确定相应的SIL, 它只考虑了危险事件造成事故的严重度, 而没有考虑事故发生的可能性。所以可能出现当后果严重程度一样时, 无论事故之间发生的概率相差多大, 都会选择一样的SIL。显然, 从风险降低的角度看是不合理的。但是, 此方法简单易行, 对于危险事件发生可能性比较难预测的场合, 尤其是一些历史性不长的新系统, 此方法比较适用。典型的后果法确定方法如表2 所示[9]。

2. 2 风险矩阵法

风险矩阵法是在石化行业应用较多的一种方法。与后果法不同, 该方法同时考虑了危险事件发生的严重度和发生的可能性, 因而建立了SIL与危险事件发生后果及发生概率之间的一种关联。使用该方法时, 首先要为风险后果及可能性制定分类准则。典型的SIL二维风险矩阵确定法如图3 所示[3，9], 该方法主观性较强, 一致性较差。

2. 3 改进的HAZOP法

改进的HAZOP是HAZOP分析方法的扩展, 该方法根据HAZOP分析的结果, 估计“危险剧情”发生的可能性和后果, 在此基础上确定安全系统的SIL。因此SIL的确定具有一定的主观性。该方法不仅要求分析小组对工艺过程具有丰富的知识和经验, 还要求对工艺过程中可能的风险和可接受风险具有较深的理解[9]。同时, 鉴于SIL的确定主观性较强, 必须协调分析小组成员之间的一致性。

2. 4 风险图法

和风险矩阵法一样, 风险图法确定SIL同样是基于风险的可能性及后果。它考虑了四个参数: 风险后果参数C、风险暴露时间和频率参数F、不能避开危险的概率参数P以及不期望事件发生的概率W。其中, 后三个参数组合起来代表了风险的可能性, 根据四个参数的不同组合就可以确定相应的SIL。典型的风险图法如图4 所示[5，9], 其中C分为四类, F分为两类, P分为两类, W分为三类。

该方法要求在使用前对各个参数的分类和级别进行很好的界定, 界定要合乎公司的日常风险管理实际情况, 以便于评估时公司能很好的利用该方法并能通过正确的选择参数的级别进行合理的评估。同时, 该方法的各个参数除了W外, 其他参数的界定均是从暴露于危险事件中操作人员出发的。比如后果参数C, 就不能简单的根据造成环境污染、火灾或者泄漏等措辞进行界定了, 而要根据对暴露于现场的操作人员的危害后果衡量的, 因此, 对该参数的级别界定应用“轻微伤害”、“严重伤害”、“几个人死亡”、“多人死亡”等之类的语句措辞比较恰当。

2. 5 保护层分析法 ( LOPA)

LOPA[10 - 12] ( Layer of Protection Analysis) 首先分析未采取安全保护措施之前危险事件的风险水平, 然后分析采取安全保护措施 ( Layers of Protec-tion) 之后危险事件的剩余风险水平, 然后将剩余风险水平与目标风险水平进行对比, 以确定是否需要增加新的安全系统, 并由目标风险水平与剩余风险水平确定新的安全系统所需要的风险降低倍数RRF ( 或1 / PFD) , 再转换成相应的安全完整性等级。其基本特点是基于初始事件的危险剧情进行风险研究, 危险剧情可通过危害识别方法HAZOP、FMEA、“What if”等获得。

LOPA是一种半定量方法, 因而能够降低风险评估中的不确定性。但是, 由于其评估要经历初始事件的识别、危险剧情的发展识别、已有保护层的识别等诸多环节, 因此, 运用比较繁琐和费力。

2. 6 定量法

定量方法是确定SIL最严谨的方法。它首先定量的确定危险事件导致事故的概率, 然后将可接受的风险概率和事故概率进行比较, 得出风险降低因子RRF或PFD, 进而求得安全系统的SIL。这种方法中, 事故概率通常是由对导致事故发生的各种原因进行建模后求得, 比如事故树、事件树等。因此, 该方法要求对事故发生的潜在原因及其发生概率有着深入、详细和全面的理解。

3 方法对比及选择时应考虑的因素

3. 1 方法的对比

从安全完整性等级确定原理可以看出, 要准确的确定SIL需要很好的解决如下几个问题[13]: 事故严重度、初始原因事件发生的概率或可能性、已有安全保护层 ( 安全措施) 的保护能力、事故发展的机理、残余风险、可接受 ( 允许) 的风险水平等。SIL的确定之所以会产生不一致, 主要来源于上述参数的不明确, 或者某些方法本身就缺乏对上述参数的涉及, 或者具有不同经验和直觉的评估人员对上述参数的估测不一致。为了合理运用和选择上述各种方法, 有必要对它们的特点和使用条件做一些比较[3，5，7，9，13，14]。

从量化的角度看, 后果法、风险矩阵法、改进的HAZOP法、风险图法属于定性的方法, 保护层分析法是一种半定量的方法, 定量分析法是一种完全量化的方法。定性分析方法的优点是运用简单、省时省力、所需资源比较少; 缺点是主观性较强, 过分依赖人的经验和直觉, 得出的结果一致性差; 不利于整体生命周期中对系统进行修改的需要; 不利于建立文档说明; 同时, 对复杂过程系统的SIL确定, 由于定性方法没有严格的逻辑推理分析过程, 故使用起来比较困难。半定量和定量分析方法正好和定性方法相反, 它确定的安全完整性水平更加准确; 能够合理有效的将风险分配给各个风险降低系统, 分析时具有清晰、明朗的推理过程, 有利于系统的安全生命周期管理和对各种活动建立文档。其缺陷是分析时所需资源要求多, 某些过程的各种可靠数据缺乏使定量比较困难, 同时, 安全完整性选择过程相对比较费力和耗时。

从准确性上看, 由于后果法、风险矩阵法、改进的HAZOP法和风险图法在使用过程中, 与系统可接受风险水平的联系未表现出来。因此, 确定SIL时给出的理由不充分, 过分依赖经验和主观判断, 故可能导致SIL估计过高或者过低, 结果比较粗糙。尤其是后果法, 仅仅从风险的单一因素事故严重度出发, 得出的结果准确性更低。同时, 由于风险图和风险矩阵的分类和界定因人而异, 故这些方法的通用性较差。此外, 这些方法只能给出风险降低的数量级范围 ( SIL只界定了相应的风险降低的数量级范围) , 包含的信息量较少, 缺乏较为精确的风险降低数据RRF ( 1 /PFD) 。而LOPA和定量分析法, 由于根据较为严密的逻辑推理分析出事故的可能性和严重度, 并与系统可接受的风险水平进行比较, 在此基础上确定的SIL, 准确性比较高、可信性较强。

从工作量和运用的难易程度上看, 后果法、风险矩阵法、改进的HAZOP法和风险图法应用简单, 工作快速, 并不要求对受控系统及其事故机理有很深的研究和理解, 因此, 适合较为简单的系统或者为复杂系统筛选出不重要的危险和需要进一步进行仔细分析的重大风险, 便于其后用更严格的定量方法给安全系统确定更准确的SIL。而LOPA和定量分析法由于要详细分析事故的发生发展过程, 弄清各事件的故障率以及确定系统的可接受风险和已有保护层的保护能力等问题, 因此, 要求的分析人员较多, 专业涉及面广, 专业知识涉及较深, 并且要求分析人员对受控系统及其事故机理有很深的研究和理解, 因此, 工作量大, 耗时多, 适合于对较为复杂的系统进行分析。

根据以上分析, 各方法的使用特点及适用条件如表3 所示。

3. 2 选择方法时考虑的因素

由于每种方法均有一定的优缺点和适用条件, 因此, 在选择SIL确定方法应根据需要和实际情况进行取舍。一般来说, 应考虑如下因素:

1) 所研究的受控系统或过程的复杂性[9]。系统越复杂, 事故发生的机理、条件、后果和可能性也相对复杂, 对安全程度要求越高, 确定安全系统的SIL时就越需要详细、细致的系统分析, 因此适合于用半定量或定量方法确定SIL; 系统越简单, 事故发生的机理和风险比较明了, 经验和直觉起很大作用, 因此, 适合于用较粗糙、简单和定性方法。

2) 对所研究的受控系统或过程的熟知程度。若对所研究的受控系统或过程没有很深的了解, 对系统进行深入的风险分析和运用较为严格的推理过程来确定SIL是比较困难的, 故此时较适合于用较为粗糙的方法。

3) 对所研究的受控系统或过程历史数据的掌握程度。若系统为新系统或者历史时期不长, 分析人员在获取故障率、初始事件发生可能性以及事故风险就比较困难, 故不适合用定量的分析方法。

4) 所研究的受控系统或过程对安全的要求程度。若是关键性的设备或工艺, 一般对安全的程度要求较高, 因此, 在确定安全系统的SIL时必须用准确性较高、严谨性较强、主观性较小和理由较充分的方法, 如LOPA和定量的方法等。

4 结论

1) 安全完整性等级的确定是建立在受控设备风险分析基础之上的, 受控设备风险的必要降低量决定了安全系统的安全完整性等级, 因此, 要准确确定安全系统的安全完整性等级, 必须首先定量、准确地估测出受控设备的原始风险和期望降低的风险, 这是确保安全完整性等级正确确定的关键。

2) 后果法、风险矩阵法、改进的HAZOP法和风险图法是确定安全完整性等级的较为粗略的方法, 结果准确度不高, 甚至导致得出的安全完整性等级达不到必要的风险降低要求, 因此, 只适合用来分析对安全度要求不太高的设备和工艺系统。而保护层分析法和定量分析法由于能定量并较为严格的给出受控设备的风险情况, 因此得到的安全完整性等级准确度很高, 能保证达到所要求的风险降低要求, 可用于确定各种安全系统的安全完整性等级, 尤其是用在对安全度要求很高的设备和工艺系统的安全设施的安全完整性等级的确定, 更是具有非常大的优势。

系统安全分析方法包括 篇7

随着我国制造业的快速发展，机械生产安全性问题得到了人们的广泛重视，如何提升机械生产安全性，成为机械产品安全设计必须考虑的一个重点内容。文中分析了安全系统工程设计方法下的超高速铣床机械设计原则及设计方法，并就安全系统工程设计方法的具体应用进行了探究。

从超高速铣床生产特征来看，超高速銑削生产效率高，生产精度高，在加工过程中能够保证机械产品质量，在机械制造业得到了广泛地应用。正是由于超高速铣床较高的生产效率，使其切削速度快，给超高速铣床带来了较大的危险。因此，超高速铣床机械设计过程中，必须对安全性问题予以重点关注。超高速铣床安全设计应将安全系统工程设计方法进行应用，能够对超高速铣床生产中存在的危险因素进行解决，切实保证超高速铣床的安全性和可靠性。

安全系统工程设计方法基本内容概述

安全系统工程设计方法在机械安全设计中的应用，主要内容包括了设计目标、机械危险识别、风险评价、安全设计四个方面内容。

设计目标：安全系统工程设计方法首先需要对安全设计的要点进行把握，从人身安全和设备安全两个方面出发，保证设计具有较高的安全性；同时，考虑到安全系统与周围环境之间的关系，使安全系统不会对周围环境产生不必要的影响。

机械危险识别：安全系统工程设计对机械危险的识别，主要目的在于保证安全设计具有较强的针对性，能够对机械生产存在的危险因素进行把握，从而采取有效措施对这些危险因素予以控制，以保证安全生产需要。

风险评价：机械产品安全系统工程设计方法的核心即是风险评价，当安全系统设计完成后，需要对设计的系统进行安全评价，确保其安全设计能够与实际情况保持一致性。这一过程中，需要设置相应的评价参数，对人一机一环境系统进行有效检测。风险评价包括了三个因素，一是机械带来的伤害程度；二是生产人员处于危险区的频率；三是危险发生的概率。风险评价是确保机械安全设计有效性的关键，也是安全系统工程设计方法必须考虑的一个关键点。

安全设计：机械安全设计过程中，需要对机械结构、安全防护装置、安全使用信息三个方面内容进行把握，并保证安全设计与机械生产需要保持一致性。在这一过程中，机械结构设计要对结构安全、运行安全、零部件强度安全等进行考虑；防护装置设计需要考虑到采用的防护装置对于降低危险发生的作用；安全使用信息设计的目的在于满足机械安全使用需要，能够为使用者提供安全指引。

超高速铣床机械的安全设计

在进行超高速铣床机械安全设计过程中，本文注重从结构安全设计、防护装置设计、安全使用信息设计三个方面进行考虑，具体内容如下所示：

结构安全设计。超高速铣床结构安全设计过程中，需要从生产需要和安全需要两个方面进行考虑，这样一来，在结构设计时，应考虑以下几点内容：高速电主轴采用高动平衡精度型号，其品质等级为G0.4-G1.0；主轴/刀柄连接界面采用端面和锥面双面接触定位的连接技术，锥刀柄可以选用HSK刀柄、KM刀柄等；同时，也可以对原有的7：24刀柄进行改进，例如对Big-plus刀柄进行应用；刀具选用过程中，需要考虑到动平衡，可以采取刀具/刀柄连接技术，对静压膨胀式刀具进行应用，保证连接位置具有较高的稳定性；铣刀设计过程中，刀片应采取夹紧设计方式，使刀体与刀片的连接具有较高的安全性。对此，可采用中心孔刀片，并用螺钉固定；刀具材料选择时，要保证刀具材料的强度，可以选用密度小的刀片，例如铝合金超高速铣刀刀体；刀具动平衡设计时，需要保证其符合ISO1940/1规定，其动平衡质量等级应该达到G4.0，一些特殊的高速铣刀应该达到G2.5级。

防护装置设计。防护装置设计关系到了超高速铣床机械生产的安全性，在设计过程中，需要考虑到机床生产的实际情况，保证工作区域能够利用厚度足够的防护罩将切削区与操作者隔开，并设置强度较高的观察窗，保证机床生产能够处于较好的监控状态。同时，在机床生产时，安全罩处于开启状态，机床不能进行继续操作。

安全使用信息提供。关于超高速铣刀最大转速、特征参数、商标等信息需要进行清晰标注，并在刀具上给予永久性提示；对电主轴、刀夹、刀柄、刀具安全使用参数信息予以提供；提供相关工艺参数；构建在线检测系统，能够对刀具使用状态进行把握，并对刀具破损信息进行获取，提示操作人员对破损刀具进行及时更换，避免给生产带来不利影响。

安全信息的提供，主要目的在于提供超高速铣床的安全生产信息，能够为操作人员提供重要的指引，使其在生产过程中，能够规避危险因素，切实保证生产安全、可靠进行。