安全防护方案(精选12篇)
安全防护方案 篇1
摘要:本文对网络安全防护的概念进行了论述, 分析了网络应用中存在的安全风险, 由此设计一套集物理安全、网络结构安全和系统安全为一体的网络安全防护方案, 并通过实践应用证明该方案的可用性。
关键词:网络风险,网络安全,防护方案,实证分析
1 前言
计算机网络具有开放性、共享性等特点, 在信息化时代, 计算机网络已经成为我们日常工作和学习不可或缺的组成部分。在人们利用网络给生活带来便捷的同时, 网络病毒、黑客也不断在互联网上制造麻烦, 这使得人们在利用网络时非常纠结, 一方面网络能够提升工作、学习的效率和生活质量, 另一方面网络威胁无时无刻存在, 商业信息、个人信息、银行财务等面临着被窃取的可能。因此, 完善网络安全方案, 促进网络健康发展是新环境下互联网应用需要研究的重要课题。
2 网络安全防护概念
2.1 网络安全防护定义
网络安全防护, 是在网络应用中对网络系统的软件、硬件进行黑客入侵和病毒的防范, 以保证网络传输的数据安全。网络安全防护涉及诸多技术, 包括计算机技术、通信技术、网络技术、信息安全技术等。网络安全防护的功能在于, 在网络应用中能够利用安全技术防止网络中的信息被不法分子窃取, 保护企业及个人的隐私, 并且能够及时发现针对网络系统的恶意攻击, 采取及时的防护方案堵截破坏程序和病毒。
2.2 网络安全防护意义
以全球信息化为背景的互联网应用对于我们的工作、学习和生活来说越来越重要, 网络安全防护以维护网络安全为己任, 从网络信息及数据的安全和网络控制的安全两方面入手, 保护网络传输的信息及数据安全, 使网络信息与数据完整、可靠、可用, 并且能够利用身份认证、授权认证、访问控制等, 限制网络非法用户入侵网络, 增强网络的安全管理。在复杂多变的网络环境中, 做好网络安全防护是网络安全应用的关键, 对网络健康发展、社会安定都具有非常重要的现实意义。
2.3 网络安全防护主要内容
网络安全防护的主要内容是, 以现有安全技术增强网络的可用性、连通性和安全性, 以保证网络中的用户信息及数据完整、可用。首先, 网络可靠性是网络安全防护的基本工作内容, 要保证网络系统的软硬件能够安全运行, 发挥出其应有的作用。其次, 网络信息服务要保证不被未授权用户窃取, 并能够准确识别非法入侵的网络用户, 做好及时的防护处理。第三, 要保证网络信息及数据传输与交换的过程安全, 不发生信息被截取、篡改、伪造、删除等问题, 以保证信息及数据传递的完整性和可用性。
3 网络安全风险分析
网络安全风险主要有黑客攻击、系统后门及隐蔽通道、计算机病毒、拒绝服务攻击、设备丢失与损坏、泄密、蠕虫、逻辑炸弹、信息丢失、木马、伪装篡改及数据销毁等。根据网络安全风险的类型, 可将其划分为物理安全风险、结构安全风险、系统安全风险、病毒入侵风险、人为管理风险。
3.1 物理安全风险分析
物理安全风险来源于外接对网络环境的干扰, 包括电源故障风险、自然灾害风险、设备失窃风险、电磁干扰风险和物理隔离风险。电源故障风险是网络在使用过程中, 由于电源故障突发断电, 而导致网络系统中的数据丢失和损坏;自然灾害风险包括火灾、水灾、风灾、地震等非人为因素所造成的网络瘫痪和数据破坏;设备失窃风险是网络设备被窃取问题, 如电缆线被盗、服务器被盗、网络存储设备被盗等造成重要数据丢失;电磁干扰风险是由于网络通信光缆与其他电缆之间产生电磁干扰, 使网络传输数据产生冗余、丢失等现象;物理隔离风险是采用物理隔离卡对内网与外网物理隔离时, 无法保证不同机密程度网络的有效划分。
3.2 网络结构安全风险分析
计算机网络结构可以是星型拓扑结构、总线拓扑结构、环型拓扑结构、树型拓扑结构和星型环拓扑结构。不同结构的网络布线具有其独特的优势和劣势, 但无论何种结构都会牺牲一部分安全机制来实现内部网络的异构网络空间信息通信。网络结构风险首先来源于边界, 在内部网与外部网的信息传输过程中, 信息容易被窃取和篡改, 同时, 网络结构设置中的网络设备漏洞是黑客经常利用攻击主机的通道。
3.3 系统安全风险分析
系统是构建网络应用的基础, 在网络通信中涉及计算机操作系统、数据库系统和网络系统等的安全风险问题非常多, 由于系统设计缺陷, 系统补丁安装不及时和防火墙设置不正确等都会导致系统受到黑客攻击和病毒入侵。系统安全风险是无法避免的, 因为任何系统都无法做到天衣无缝, 并且网络最大的应用价值在于资源的共享, 而共享资源就势必要开放一部分网络通道, 这就给黑客予以可乘之机。
3.4 病毒入侵风险
病毒即可以破坏网络主机系统和网络系统的恶意代码程序, 通过占用主机磁盘、内存, 增高主机的CPU占用率, 而导致网络瘫痪。同时, 病毒还会对用户的信息进行窃取, 通过伪装入侵网络骗取用户账号密码, 使网络用户遭受财产损失。网络中的病毒传播非常迅速, 往往一台计算机感染, 其所在网络计算机都会迅速感染病毒, 病毒入侵的方式也多种多样, 可以通过下载工具入侵、聊天工具入侵, 系统漏洞入侵等。
3.5 人为管理风险
在计算机网络安全防护中, 人的作用最为关键, 网络风险问题的导致会因为人为操作的失误而产生, 同时也不乏有恶意犯罪者有意制造麻烦。人为管理风险, 首要问题在于疏于防范, 网络管理员安全意识淡薄, 网络指令设置简单, 并且对网络用户管理混乱, 容易导致网络风险。同时, 在利益的驱使下, 管理人员非法泄露网络中的用户信息, 导致用户财产受到威胁的问题也时有发生。
4 网络安全防护方案设计
4.1 网络安全防护方案设计目标与原则
网络安全防护方案的设计, 要以先进的网络安全技术, 统一规划、统筹安排, 以资源利用最大化化为建设思想, 综合考虑网络安全防护的近期目标与远景规划, 开展相互配套、分工明确的网络安全防护平台, 从基础设施建设和人员岗位培训两方面入手, 最大限度地将可能存在的网络安全隐患控制在可控范围内, 并建立长效的突发事故应急预案, 尽全力保护网络安全的正常运行。
网络安全防护方案是确保网络安全的重要保障, 因此在其方案设计中要遵循以下规划原则。
(1) 综合平衡原则
针对网络应用需求、网络可能存在的风险进行综合评估, 在满足网络应用需求的前提下尽可能制定网络安全防护策略, 以确保网络应用的可靠性和可维护性。
(2) 整体一致性原则
在计算机网络的各个环节统一制定安全防护策略, 将设备的维护、软件的管理、数据的管理及人员的管理进行统筹规划, 全面分析安全防护的作用和效果, 遵循网络应用整体一致性、安全性原则, 制定合理网络应用体系结构安全策略。
(3) 灵活易操控原则
网络安全防护方案是动态、灵活的, 根据网络不断的更新, 和技术的不断升级, 网络安全防护方案应秉承最大力度保障网络系统的安全性, 选择成熟、稳定、易操控的安全防护技术进行网络安全保护, 体现应变能力。
(4) 多重保护原则
网络安全防护方案的设计要建立多重网络安全保护系统, 各系统之间应有机协调, 构建起强大的多层保护网, 以增强网络的可靠性和安全性。
4.2 物理安全防护方案设计
物理安全防护方案是以技术为手段, 制度为依托, 科学规划网络设备安装位置, 对核心机房的供电、布线、消防等进行合理布置, 并建立完善的网络设备应用管理制度, 加强各网络节点的安全防护工作。
(1) 核心机房合理布置
机房布置要根据设备性能需求, 选择稳定电源, 并配有备用电源;线路布置要规范整齐, 注意控制机房的温度与湿度, 定期更换消防设备。
(2) 网络安全管理制度
网络安全管理制度要严格规定非工作人员不可进入机房;机房工作人员在操作设备时要按照操作规范进行操作;须定期对机房设备进行维护与保养;在遇到突发状况时, 采用机房应急预案, 严禁工作人员擅离职守。
(3) 网络节点安全防护
网络中有诸多的网络节点, 对这些节点需要予以安全保护, 在每个节点的机箱上设置外设保护箱, 禁止非工作人员操作、私自改动节点线路和操作节点设备, 工作人员需定期对节点进行巡查。
4.3 网络结构安全防护方案设计
网络结构安全防护要对网络用户进行细分, 划分出不同的网段, 再根据用户网络应用范围进行分配VLAN。可利用防火墙技术降低外网对内部网络的威胁, 加强网络通信的访问控制, 提高网络设备自身的安全级别。
(1) 细分用户网段
可在网络交换机中将网络功能安装不同网段进行划分, 再为每个功能区用户分配一个VLAN, 并配置对应的IP地址段。利用VLAN对组网进行隔离, 尽可能最大限度地规避网络风险。
(2) 加强网络通信访问控制
可利用防火墙安全功能, 控制用户访问外网的权限, 尤其是存放重要数据的服务器, 应尽可能少地让其接触外部网络, 而对于公共开放型网络用户群, 可让其只能访问互联网, 而不能访问内部网络。
(3) 提高网络设备自身安全级别
目前所使用的网络设备自身大多具有较好的网络安全防护功能, 用户在使用网络设备时可设置较为复杂的用户名及密码。此外, 可根据用户类别设置不同级别的网络设备用户权限。譬如路由器、交换机等, 为其配置1级用户名, 1级用户只有读取权限而没有写入权限。
4.4 系统安全防护方案设计
任何一种操作系统都无法做到系统安全天衣无缝, 因此, 网络用户应做好系统安全防护工作, 及时为操作系统安装漏洞补丁。安装系统补丁时, 要到系统官方网站中下载, 并安装软件防火墙和杀毒软件, 在设置系统用户密码时, 尽可能设置较长密码, 密码中包含有大写、小写、数字和非字母符号。为保证用户上网安全, 在Internet信息服务方面应利用NTFS文件系统建立安全机制, 针对不同服务器功能, 使用不同的服务端口号。
5 网络安全防护方案实现例证分析
网络攻击方式的种类非常多, 包括IP欺骗、SYN泛洪、Ping攻击、Do S攻击等。IP攻击是利用TCP/IP协议漏洞, 以伪装成网络IP的方式进行网络入侵;SYN泛洪攻击是利用TCP端口伪造请求连接, 并向攻击设备发送大量报文, 占用主机资源, 促使网络主机无法为用户提供网络服务;Ping攻击是利用ICMP报文撒网式寻找网络主机IP, 如果网络主机无法处理过大的Ping包, 会出现主机网络崩溃问题;Do S攻击通过占用网络资源, 使用户访问网络速度缓慢甚至无法访问网络。
针对IP欺骗的防护, 可采用过滤非公有IP地址和控制访问内部网络IP地址来进行防护。针对SYN泛洪攻击可采用TCP Proxy技术进行防护, 通常硬件防火墙都具有较为成熟的TCP Proxy技术, 用户只需启动这个功能即可。针对Ping攻击的防护, 可采用在系统中禁止使用ICMP类型的Ping命令。针对Do S攻击的防护, 可采用限制Do S攻击端口的方式进行防范可在网络访问控制列表中增加Do S端口控制规则等。
在进行安全防护后, 非法IP SYN泛洪、Ping攻击、Do S攻击都将有效被过滤或隔离。面对已知网络攻击类型或病毒类型, 可在网络应用前对网络进行安全防护设置, 以保护网络应用安全。对未知网络攻击或病毒类型的侵害, 可分析攻击或者病毒来源, 挖掘其是何种类型的变异, 以便作出正确的处理和防护。
6 结语
网络安全防护方案涉及物理安全、结构安全、系统安全等多个方面。在实际工作中, 网络管理人员要严格履行网络管理条例, 详细阅读网络设备说明, 对网络机房进行严格管控, 保证网络设备安全运行。在网络监管过程中, 应划分网络用户应用网络功能, 将外网用户与内网用户进行网段划分, 及时为网络中的计算机系统更新补丁, 并安装软件防火墙, 定期为系统进行扫描杀毒, 以防网络系统遭受黑客的攻击和病毒的入侵。
参考文献
[1]娄红.基于计算机网络应用的安全防护方案的设计与实现[J].计算机光盘软件与应用.2014 (22) .
[2]周曦.基于状态检测个人防火墙的设计[J].长江大学学报 (自然科学版) 理工卷.2010 (01) .
[3]刘庆俞, 叶震, 尹才荣.一种基于攻击特征描述的网络入侵检测模型[J].合肥工业大学学报 (自然科学版) .2010 (02) .
[4]李小三.浅议计算机网络建设中的安全性问题及对策[J].数字技术与应用.2011 (07) .
[5]唐焕春.浅谈计算机网络安全问题及对应措施[J].硅谷.2010 (01) .
安全防护方案 篇2
现场教学和演练方案
(2014年9月11日)
目的:让参训学员了解掌握《交通警察执勤执法安全防护规定》的基本内容以及道路执勤执法和交通事故处理现场安全防护要领和技能,有效预防和减少交警执勤执法中的伤亡事故,最大限度地保护民警人身安全。
一、道路执勤执法安全防护要求及演练
1、装备展示(演示开始前进行)
A、民警个人装备展示(由民警现场演示同时说明其功能):反光背心,多功能反光腰带、发光指挥棒、对讲机、执法记录仪,警棍、手铐、警绳。
解说(现场不展示):协助执行堵截暴力恐怖犯罪嫌疑人及其驾驶、乘坐的车辆等任务时,应当根据需要携带防弹(防刺)背心、防刺手套、防弹头盔、手持照明器材、枪支弹药等装备。B、执勤汽车携带装备展示:反光或者发光锥筒、停车示意牌、警戒带,以及警告标志、警示灯、灭火器、牵引绳、急救箱、破胎器。
C、执勤摩托车携带装备展示:头盔、警戒带、停车示意牌。
解说:交通警察驾驶警用车辆应当严格遵守道路交通安全法律法规,安全文明驾驶。汽车驾乘人员应当系安全带,摩托车驾乘人员应当戴制式头盔。执行任务时,车辆应当开启警灯;执行紧急任务时,可以使用警报器。遇雨、雪、雾、霾、沙尘等低能见度天气时,应当开启前照灯、示廓灯和后位灯,雾天应当开启雾灯和危险报警闪光灯(驾驶制式警用车辆时,可视情况开启警灯)。除执行查缉违法犯罪嫌疑人、抢险救灾、处理交通事故等紧急任务外,严禁超速行驶、违法超车和违反交通信号,在高速公路及城市快速路未采取临时交通管控措施的情况下,不得通过中央隔离带开口掉头、逆行。
解说完毕后,进行现场演示。
(一)一般道路执勤点设置
现场演示夜间在普通道路上查处酒驾(毒驾)违法行为时的安全防护要点。演示单位:常熟市公安局交警大队;现场解说:常熟大队 莫副大队长。
强调设点要求:选择在安全和不妨碍通行的地点,不得在急弯、下坡路段或者视线不良地点设置执勤点。强调人员配备要求:由两名以上交通警察或者一名交通警察带领两名以上交通协管员进行,并确定专人负责执勤区域的警戒。
强调停放警车要求:开启警灯和危险报警闪光灯,并选择与处置地点同方向的安全地点,不得妨碍正常通行秩序。
强调标志设施设置要求:在来车方向由远及近、由疏及密连续设置锥筒以及提示、警告标志等安全防护设施。锥筒最大间隔不得超过20米。撤除安全防护设施时应当由近及远进行。同时,在距执勤点来车方向至少200米处(500米,因为是夜间查酒驾,十七条第一款规定)开始设置警告标志、警示灯,间隔设置减速提示标志、锥筒等安全防护设施。
场景解说:9月18日晚,度假区交巡警中队出动民警5人、交通协管员4人在常熟市东南开发区黄埔江路设执勤点查处酒驾违法行为。查处酒驾违法行为应选择路况、视线良好,车辆通行速度平缓,具备停车检查条件的路段,并尽量有视频监控覆盖,便于固定证据。选择执勤点后,在距执勤点来车方向由远及近、由疏及密连续设置锥筒以及提示、警告标志等安全防护设施。
现场设置了减速区、检查区、处置区、拦截区四个区域。减速区设置长度500米,在距执勤点来车方向500米处开始设置警告标志、警示灯以及“道路变窄”、“前方检查、减速慢行”、“限速”等标志,间隔设置减速提示标志、锥筒等安全防护设施,反光锥筒、隔离片呈楔形依次摆放,锥筒加配防闯入报警设备,间距20米左右。在减速区起点处由一名民警负责警戒值守,他手持发光指挥棒提示车辆减速慢行,并负责执勤区域的警戒。
检查区域使用反光锥筒、隔离片封锁中央车道(逐渐由3条车道变窄,形成1条车道),保留最右侧车道作为检查车道,检查车道约50米,检查区出口设置“解除限速”、“谢谢配合”标志。民警、交通协管员在该区域内检查车辆。
处置区设置在被封锁的车道内,长度20米,多功能执法车、执勤车停放在该区域前端(来车方向)并开启警灯,多功能执法车开启车载视频监控系统记录现场情况。
拦截区设置在检查区出口处约50米处,自前端开始依次设置“限速”、“停车检查”等标志及一组道路断面阻车器,一名民警、一名交通协管员在此值守。(这几个区划最好有示意图)
演示步骤一:度假区交巡警中队在常熟市东南开发区XX路设执勤点查处酒驾违法行为,出动民警5名(A、B、C、D、E、交通协管员4名(B、C、D、E),驾驶1辆多功能执法车、1辆执勤车。民警佩戴单警装备、执法记录仪,随车携带隔离片、发光标志牌、锥形筒(配防闯入报警设备)、警绳、约束带、呼气式酒精检测仪、警示灯等执勤装备。
在距执勤点来车方向约500米处(减速区)示警车减速、开始由远到近、由疏到密依次设置警告标志、警示灯以及“道路变窄”、“前方检查、减速慢行”、“限速”、“阻车预警”标志,间隔设置减速提示标志、锥筒等安全防护设施,反光锥筒、隔离片呈楔形依次摆放,锥筒加配防闯入报警设备,间距20米左右。在减速区起点处设警戒岗,民警E负责警戒岗值守,手持发光指挥棒提示车辆减速慢行,并负责执勤区域的警戒。
(在检查区)使用反光锥筒、防闯入预警设备、隔离片封锁中央车道,保留最右侧车道,检查车道约50米,民警B、C、D与交通协管员B、C、D依次站立检查车道左侧。检查车道出口设置“解除限速”、“谢谢配合”标志。强调,在流量加大或者车辆排队积压的情况下,可开放1条车道,以免造成严重拥堵。同时,为防止酒驾违法行为人逃避检查、逃离现场,应当在现场附近停放一辆警车,以便随时堵截(车上是否留有民警?)。
在被封锁车道内约20米处(处置区),一辆多功能执法车、一辆执勤车停放在该区域内,开启警灯,多功能执法车开启车载视频监控系统,记录现场情况。
在距离检查区出口约50米处的拦截区前端,依次设置“限速”、“停车检查”、“阻车器提示”标志,并设置一组道路断面阻车器,民警A和交通协管员E在此值守。解说:民警开始在检查区内检查过往车辆,他们依次示意车辆临时停驻、熄火,查验驾驶证、行驶证并使用快速排查仪(是否是规范的装备)对驾驶人进行初步检查,交通协管员人员在车旁戒备。需要注意的是,民警不得站在车前拦截,不得将头、手臂伸进驾驶室内,查处大货车时不得贴近车门和脚踏车辆踏板,要确保自身安全。整个检查过程,执法仪都保持工作状态,全程记录执法过程……通过检查,这两辆车排除了违法嫌疑,民警敬礼感谢驾驶人的配合,并示意其驶离。如果遇到被检车辆拒绝停车、冲卡逃避检查的,拦截区民警、交通协管员应当立即拉开阻车器进行拦截。
演示步骤二:群众车辆甲、车辆乙依次驶向查处地点,在减速区交通协管员示意下驶入检查区。进入检查区后,民警B、C依次示意车辆甲、车辆乙停驻、熄火,查验驾驶证、行驶证并使用快速排查仪(装备名称)对驾驶人进行初步检查(规范车辆查缉战术动作,不得站在车前拦截,不得将头、手臂伸进驾驶室内。故意做出错误动作,由解说人现场点评纠正),同时民警D、交通协管员B、C在一旁戒备。通过检查,该两位驾驶人无酒驾嫌疑,示意放行,交通协管员D在检查区出口处指挥无违法的车辆快速驶离。
解说:此时,民警发现车号为XX的小轿车驶入检查区,它撞到了锥桶,防闯入预警设备自动报警,民警发现该车驾驶人有酒驾嫌疑,民警立即要求该驾驶人将车辆熄火并下车。这位驾驶人拒绝配合检查,民警、交通协管员对其采取强制措施,将其带上多功能执法车进行呼气酒精测试,另一名交通协管员在车门处戒备。多功能执法车上配备有移动3G技术的公安内网和车载办公区域,民警可即时核查这位驾驶人的身份信息,制作询问笔录等等。如果遇到嫌疑人通过锁车门、锁车窗等方式拒绝下车接受检查或拒绝接受酒精测试的,民警在劝告无效的情况下,可以通过破窗手段采取强制措施,同时应当使用执法记录仪拍摄取证,按照妨碍执行职务进行处理;如果当事人暴力抗法的,可使用警绳、约束带对其控制约束。如遇有暴力犯罪嫌疑人、被公安机关通缉人员等危险人员乘坐、驾驶机动车逃逸,可能对公共安全和他人生命安全造成严重威胁时,民警应当驾车尾随,同时报告指挥中心,及时增补警力、装备,伺机实施拦截查控。持有武器警械的民警可以驾车追缉,并通知前方检查站点布控拦截。
演示步骤三:车辆丙歪歪扭扭驶入检查区(撞倒锥桶,防闯入预警设备自动报警),民警B示意其停驻、熄火接受检查,驾驶人丙涉嫌酒后驾驶,民警B立即要求驾驶人丙将车辆熄火并下车,驾驶人不配合检查(做出拒绝配合的动作),民警B、交通协管员B采取强制措施,一同将驾驶人丙带上多功能执法车进行呼气酒精测试,交通协管员C在车门处戒备。
(二)城市快速路执勤点设置
强调执勤点设置要求:选择出入口或者匝道导流区内,非紧急情况不得在行车道内设置执勤点。
强调警车停放要求:开启警灯和危险报警闪光灯,并选择与处置地点同方向的安全地点,不得妨碍正常通行秩序。
强调人员配备要求:由两名以上交通警察或者一名交通警察带领两名以上交通协管员进行,并确定专人负责执勤区域的警戒。
强调标志设施设置要求:在距执勤点来车方向至少200米处开始设置警告标志、警示灯,间隔设置减速提示标志、锥筒等安全防护设施。
强调夜间和恶劣天气条件下设施设置要求:警告标志、警示灯,间隔设置减速提示标志、锥筒等安全防护设施设置距离适当延长,(人员按照十七条第三款规定增加)。
由参训学员按分组(小组待定)依照《规定》附图2设置要求进行现场模拟演练。由常熟大队莫副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(三)高速公路收费站执勤点设置
强调设点要求:选择在收费站或者服务区、停车休息区,并设置车辆检查专用通道和停车区域,非紧急情况不得在行车道或者应急车道设置执勤点。在来车方向由远及近、由疏及密连续设置锥筒以及提示、警告标志等安全防护设施。锥筒最大间隔不得超过20米。撤除安全防护设施时应当由近及远进行。
强调标志设施设置要求:在距收费站来车方向至少200米处连续设置停车检查提示牌、警告标志和警示灯等安全防护设施。(由学员按分工在高速公路收费站200米处连续摆放锥桶,“停车检查”等标志。)
强调夜间和恶劣天气条件下设施设置要求:在距收费站来车方向至少2000米处开始设置警告标志、警示灯,间隔设置减速提示标志、锥筒等安全防护设施。
由参训学员按分组(小组待定)依照《规定》附图3设置要求进行现场模拟演练(白天、夜间分别演练)由常熟大队莫副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(四)拦截检查违法车辆时的安全防护要求
强调装备使用要求:按规定在执勤点摆放标志、锥筒等安全防护设施,夜间应使用主动发光警示标志及警示灯。有条件可使用发光减速带。强调拦截方法:遇有交通违法行为人拒绝停车或者强行冲卡,应当通知前方执勤站(点)组织拦截,交通警察不得采取站在车辆正前方拦截或抛置障碍物等危险方式强行拦截。
强调站位:指挥机动车驾驶人靠路边停车并熄灭发动机,站在车辆驾驶室左侧,不得贴近车门和脚踏车辆踏板或者将头、手伸进车辆驾驶室。
由参训学员按分组(小组待定)进行现场模拟演练由常熟大队莫副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(五)拦截犯罪嫌疑人时的安全防护要求
强调人员配备:由两名(含)以上交通警察实施。
强调装备配备:手铐、辣椒水(可否考虑通用名字OC喷剂)、防刺防割手套等单警装备,必要时穿着防弹衣、佩戴防弹头盔等。
强调拦车要求:检查站(点)应当备有破胎器、阻车钉等路障装备,必要时可以使用大型车辆或者其他物体设置临时路障,根据需要可以在目标车辆可能经过的路段设置路障作为临时拦截点。
强调检查要求:对机动车实施检查时,应当在被拦截车辆司乘人员全部离车后进行,检查时应当至少有一名交通警察负责现场警戒。其他需要提示的检查要点:如民警开车门时的站位,动作要领,防范重点等。
由常熟大队与参训学员联合演练、示范(现场摆放大型车辆或其他临时路障)由常熟大队莫副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(六)执行警卫任务时的防护要求
演练要点:
1、如何疏导交通并逐步清理车道。
2、现场人员安全站位。
3、几种危险动作演示。
4、在着便衣情况下,实施警卫任务的要领以及民警间的配合。由常熟大队与参训学员联合演练、示范(包括清理车道——由3条车腾出2条车道,摆放标志、锥桶,民警安全站位等)。由常熟大队莫副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
二、交通事故现场安全防护要求及演练
1、装备展示(演示开始前进行)
A、民警个人装备展示(民警演示同时说明其功能):反光背心,多功能反光腰带、发光指挥棒、对讲机、执法记录仪,单警用电子肩灯,警棍、手铐、警绳。
B、执勤汽车携带装备展示(民警演示同时说明其功能):反光或者发光锥筒、发光指挥棒、停车示意牌、警戒带,现场照明,车载和移动显示屏,以及警告标志、警示灯、灭火器、牵引绳、急救箱、破胎器。
(一)高速公路事故现场安全防护要求
现场演示:夜间高速公路事故现场及分流时的安全防护要点 演示单位:常熟市公安局交警大队;现场解说:常熟大队瞿副大队长。
强调出警人数、车辆数:重大交通事故一般需要3名交警或者2名交警带领3-4名交通协管员前往处置。一般需要多功能勘查车1辆(在现场附近进行照明)、示警(皮卡)1辆(同时携带标志设施)、清障车1辆。
强调建立部门联动机制:与交通、路政、医疗卫生等部门同时出警,联合处置。强调警车停放要求:停放在与事故车辆同车道的来车方向,距事故车辆或者事故起始点100米以外;应当开启警灯和车载可变信息屏,夜间开启危险报警闪光灯。强调清障车、救护车、消防车等应当停放在事故现场来车方向(车辆摆放不影响事故现场勘查)。
强调现场警戒要求:需要封闭一条或者多条车道的,应当有一名以上交通警察或者交通协管员负责安全警戒,警戒人员应当在警戒区最前端指挥过往车辆减速、变更车道。
强调标志设施设置要求:白天在距离现场来车方向200米外连续放置锥筒,设置限速、慢行(加配辅助标志“事故”)、左(右)道封闭等标志,锥筒最大间隔不超过20米。
强调夜间和恶劣天气条件下设施设置要求:在距离现场来车方向500米至1000米外连续放置锥筒,设置限速、慢行(加配辅助标志“事故”)等标志。
解说:9月18日22时,在常熟市某高速路发生一起两车相撞的交通事故,当事人拨打110报警。
演示步骤一:在常熟市高速公路发生一起交通事故,两辆事故车停放在道路中央。一名当事人下车报警。
解说: 110指挥中心接到报警后,立即指令高速中队前往处置。高速大队立即出警,民警佩戴单警装备及随车携带事故勘查装备,于10分钟后达到事故现场。演示步骤二:高速大队出动民警3名(A、B、C)、交通协管员4名(A、B、C、D),分别驾驶1辆多功能事故勘查车、1辆示警车(皮卡)到达事故现场。民警佩戴单警装备,随车携带隔离片、发光标志牌、锥形筒、预警设备、警戒带、事故勘察箱、现场图绘制设备、呼气(酒精含量)检测仪、爆闪灯等现场勘查装备。
解说:民警分别驾驶多功能现场勘查车、示警车(皮卡,装载标志设施)驶入现场,将事故勘查车停放在距离现场50米处,开启警灯、升降式照明灯。示警车(皮卡,装载标志设施)停放在距离事故现场来车方向100米(具体哪条车道说明,应当为应急车道),开启警灯、危险报警闪光灯、LED 车载警示屏及、车载移动视频监控系统。
演示步骤三:勘查车、示警车(皮卡装载装备设施)驶入现场,按规定停放警车。民警、交通协管员下车,民警A用对讲机向中队勤务指挥室报告:“101!101!我是民警XXX,我已到达XX路事故现场!”,同时,民警A、B保持执法记录仪开启状态并交叉拍摄。
解说:停放警车后(或在行驶过程中),两名民警带领两名交通协管员开始由远至近设置警戒区域(现场解说提示:如封闭左侧1、2车道的,设置警戒区域人员往来车方向行走时,应在中央护栏外或紧靠中央护栏的道路边缘线外行走;如封闭右侧3、4车道的,设置警戒区域人员应在紧急停靠带内靠边行走)。他们在距离现场来车方向500米外连续放置锥筒(间隔20米),封闭事故车道,并设置限速、慢行、“前方事故、减速慢行”等标志。另外一名民警和两名交通协管员开始现场勘查准备工作。
警戒区设置完成后,一名交通协管员持荧光指挥棒留在警戒区起始点进行警戒,指挥后方来车变更车道、减速慢行,另一名交通协管员返回中心现场协助勘查。
演示步骤四:两名民警和两名交通协管员设置警戒区域,按照规范设置防护措施,在距离现场来车方向500米外连续放置锥筒,每20米设置一个,封闭事故车道,并设置“前方事故”、“慢行”、“向左变道”“限速”等隔离片及标志牌。警戒区设置完成后,交通协管员A引导事故当事人到安全地带等候,持对讲机、荧光指挥棒在警戒区起始点进行警戒,指挥后方来车变更车道、减速慢行。交通协管员B返回中心现场协助勘查。
强调:如果事故路段车流量较大,应采取限制车辆通行或中断交通方式保护现场,并利用前方LED显示屏发布提示信息;如果事故路段车辆积压已比较严重,应采取前置管制分流措施。应当根据现场情况在距现场最近的路口提前实施车辆分流。
解说:一名民警、3名交通协管员开始详细的现场勘查工作,拍摄现场照片、提取痕迹物证、制作现场勘查笔录、绘制现场图。演示步骤五:民警A、B与交通协管员B勘查现场。民警A进行现场照相,并按规定使用标尺;民警B绘制现场图,制作现场勘查笔录,交通协管员B配合民警B测量现场(事故当事人,是否在现场,转移到什么安全位置,在勘查完毕后,怎样配合民警在现场图上签名)
解说:现场勘查完毕,清障人员将事故车辆拖离现场。民警按顺序由近及远收回锥形筒、隔离片和标志牌并放上事故勘查车,恢复交通。
演示步骤六:清障人员将事故车辆拖离现场。事故车辆拖离现场后,民警A向中队勤务指挥室报告:“101!101!我是民警XXX,XX路事故现场已勘查完毕,现准备撤离现场!”。民警B和交通协管员B按顺序由近及远收回锥形筒、隔离片和标志牌并放上示警车,恢复交通。所有人员返回事故勘查车或示警车驶离现场返回大队。
结合事故现场道路情况,同时或者继续演示高速公路匝道
分流时的安全防护要求
强调警车停放要求:在匝道导流区内停放示警车辆,开启警灯和车载可变信息屏,夜间开启危险报警闪光灯。强调现场警戒要求:确定至少一名交通警察或者交通协管员负责现场安全警戒,疏导指挥过往车辆,发现险情立即通知现场人员撤离。
强调设施设置要求:在距匝道出口来车方向至少200米处设置警告标志、警示灯,间隔设置减速提示标志、锥筒等安全防护设施。
强调夜间和恶劣天气条件下设施设置要求:警告标志、警示灯,间隔设置减速提示标志、锥筒等安全防护设施设置距离由200米延长至1000米。
参照《规定》附图2进行演示。
(二)城市快速路事故现场安全防护要求
强调警车停放要求:停放在与事故车辆同车道的来车方向,距事故车辆或者事故起始点100米以外。应当开启警灯和车载可变信息屏,夜间开启危险报警闪光灯。
强调现场警戒要求:需要封闭一条或者多条车道的,应当有一名以上交通警察或者交通协管员负责安全警戒,指挥过往车辆减速、变更车道。
强调设施设置要求:白天在距离现场来车方向200米外(按《规定》,该距离可以根据现场情况适当缩短)连续放置锥筒,设置限速、慢行(加配辅助标志“事故”)、左(右)道封闭等标志,锥筒最大间隔不超过20米。
强调夜间和恶劣天气条件下设施设置要求:在距离现场来车方向500米至1000米外连续放置锥筒,设置限速、慢行(加配辅助标志“事故”)等标志。
由参训学员按分组(参演小组待定)依照《规定》附图8-9设置要求进行现场模拟演练。由常熟大队瞿副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(三)普通公路事故现场安全防护要求
强调警车停放要求:停放在与事故车辆同车道的来车方向,距事故车辆或者事故起始点100米以外,应当开启警灯和车载可变信息屏,夜间开启危险报警闪光灯。
强调现场警戒要求:确定至少一名交通警察或者交通协管员负责现场安全警戒,疏导指挥过往车辆,发现险情立即通知现场人员撤离。
强调设施设置要求:在距离事故现场来车方向50米至150米外或者路口处连续设置锥筒以及限速、慢行(加配辅助标志“事故”)等标志,锥筒最大间隔不超过20米。强调夜间和恶劣天气条件下的设施设置要求:摆放锥筒、标志的数量和警示距离应当适当延长,并使用照明车或者升降式照明灯对事故现场进行照明。
由参训学员按分组(参演小组待定)按照《规定》图5设置要求进行现场模拟演练(白天、夜间分别进行)。由常熟大队瞿副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(四)隧道内事故现场安全防护要求
强调警车停放要求:停放在与事故车辆同车道的来车方向,距事故车辆或者事故起始点100米以外,开启警灯和车载可变信息屏,开启危险报警闪光灯。
强调现场警戒要求:确定至少一名交通警察或者交通协管员负责现场安全警戒,疏导指挥过往车辆,发现险情立即通知现场人员撤离。
强调设施设置要求:应当将进口处立即封闭,有条件开放通行车道时,应在隧道入口醒目安全位置设警示标志,在距事故现场来车方向1000米处设置预警区,摆放警示、限速标志,距事故现场来车方向500米处设置警示区,连续摆放锥桶、预警设备。模拟隧道内事故现场,由参训学员按分组(参演小组待定)按照《事故现场安全防护规范》图A.3要求进行现场演练。由常熟大队瞿副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(五)交叉口事故现场安全防护要求
强调警车停放要求:停放在与事故车辆同车道的来车方向,距事故车辆或者事故起始点100米以外,开启警灯和车载可变信息屏,夜间开启危险报警闪光灯。
强调现场警戒要求:(由讲解员强调、提示安全站位)A、确定至少一名交通警察或者交通协管员负责现场安全警戒,疏导指挥过往车辆,发现险情立即通知现场人员撤离。
B、在设有车道信号灯、可变信息标志的城市快速路、公路,应当根据现场情况,及时变换车道信号灯,管控车道,并利用可变信息标志、显示屏及时发布临时交通管控、安全提示等信息,提示车辆驾驶人谨慎驾驶、减速慢行。
强调设施设置要求:白天在距离事故现场来车方向50米至150米外或者路口处连续设置锥筒以及限速、慢行(加配辅助标志“事故”)等标志,锥筒最大间隔不超过20米。由参训学员按分组(参演小组待定)按《规定》图
6、图7要求进行演练。由常熟大队瞿副大队长进行现场演练解说。
(该小组演练结束后,由其他演练小组进行点评)
(六)坡道和弯道交通事故现场安全防护要求
强调警车停放要求:停放在与事故车辆同车道的来车方向,距事故车辆或者事故起始点100米以外。事故现场附近有弯道和坡道的,停放地点应当选择在下坡坡顶、上坡起点或者弯道前端,与事故现场的距离应当根据需要适当延长。开启警灯和车载可变信息屏,夜间开启危险报警闪光灯。
强调现场警戒要求:确定至少一名交通警察或者交通协管员负责现场安全警戒,疏导指挥过往车辆,发现险情立即通知现场人员撤离。
模拟弯道、坡道事故现场,由参训学员按分组(参演小组待定)进行演练。由常熟大队瞿副大队长进行现场演练解说。
汽车电路浪涌防护方案 篇3
【关键词】汽车电路 浪涌 原因及危害 防护 方案
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2016)01B-0098-03
电路中的浪涌是一种形象的说法,它是指电路中出现的瞬间过电,是电路中一种短暂的电流、电压波动,持续时间通常为百万分之一秒,其先快速上升后再缓慢下降,会对电路产生很大影响。浪涌会立即或者缓慢地损坏电器设备,对电路中的精密电器的杀伤力更大,严重的会造成线路短路,导致火灾,因此,各种电路中都设有浪涌保护措施。本文主要讨论汽车电路浪涌防护的问题。
一、汽车电路中浪涌产生原因和危害
汽车电路中浪涌主要有两个来源:一是来自电路外部,另一个是来自电路内部。它的产生主要有以下几个原因。
(一)雷电感应过电压
当汽车所在区域出现了强雷电天气时,尽管雷电直接击中汽车的可能性不大,但是雷电产生的强感应电压可能会沿着电源线和信号线等导入汽车电路,形成强烈的雷电浪涌,冲击汽车电路中的电器设备,导致电器元件立即损坏。雷电产生的浪涌也可以使控制设备产生误动作,造成交通事故。
(二)操作过电压
汽车存在很多感性负载,如电机、继电器等,而且这些元器件经常处于开通和关断交替的工作状态。感性负载的接通和关断必然会在电路中产生较大的操作过电压,其感应电压的数值,往往达到电源电压的数倍,造成电器元件的损坏。
(三)其他原因产生的浪涌
生活环境中存在的大功率发射信号,如电视台信号,雷达站发射的雷达信号,高压输变电设备产生的高压电磁辐射,甚至宇宙射线和太阳黑子辐射等,都可能在汽车电路中产生浪涌电压。
(四)静电
人体和汽车任何绝缘部分都可能产生静电,静电电压有时候会达到几千伏。当带静电的人体或者是汽车的绝缘部件,接触到电子设备时,超高的静电电压会瞬间造成汽车电路的损坏。
浪涌对汽车电路的冲击,会出现电路数据丢失,电路损毁,性能衰退,电池短命,车载视频闪抖,音响设备声音噪杂等问题。它造成的危害有灾难性危害和累积性危害两种。灾难性危害主要由于雷电过电压和静电造成。累积性危害是指小浪涌多次冲击半导体器件,对元器件的损坏虽然在短期内不明显,但多次累积后,会使半导体器件功能衰退,设备发生故障,寿命缩短。这些小浪涌的危害虽不及雷电,但是他们频繁产生,会缓慢损坏设备元件,这在汽车电路中经常发生。
二、汽车电路中浪涌的防护措施
浪涌分为浪涌电压和浪涌电流。它们对电路的损害原理不同,因此要采取不同的防护措施加以防护。
(一)浪涌电压的防护措施
浪涌电压对电路的危害主要是由于产生的过电压超过了电器元件的额定电压,从而导致电器元件损害,PN节被击穿,控制电路控制失灵,误操作等。通常用压敏电阻(VDR)和瞬变电压抑制二极管(TVS)这些限压器件,来对电路中的浪涌电压进行抑制。
压敏电阻(VDR)最大的特点是,当它两端的电压低于其“阀值”电压时,压敏电阻的阻抗相当于开路状态,只有很小的漏电流通过;当电路电压超过它的“阀值”电压时,流过它的电流可以迅速增大,相当于通路。利用压敏电阻的特性,可以将电路电压钳制在“阀值”以内,防止后部电路受到过电压的损坏。压敏电阻的响应时间为NS级,结电容在几百到几千PF的数量级范围,其瞬间功率很大,但平均功率很小,不能长时间导通。
瞬变电压抑制二极管(TVS),是一种高效能的二极管保护器。其外形和电路符号都与普通二极管无异。当尖峰电压或者是浪涌电压冲击TVS管时,TVS管的阻抗能够以高达1×10-12秒的速率降低,允许一个大电流通过,其两端间的电压保持在一个预定的数值上,从而确保后面的电路元件免受瞬态高能量的冲击而被损坏。TVS相比于压敏电阻,其响应速度更快,结电容可以做到更低,钳位性、抗静电性更好,价格稍贵,但通流能力稍逊于压敏电阻,适用于电路IC级的防护。
(二)浪涌电流的防护措施
当汽车电子器件出现故障或者发生误操作,或者出现短路现象,很容易产生浪涌电流。浪涌电流会使导线和接点产生高温,烧毁绝缘,产生短路,甚至引起火灾。
电路中对浪涌电流的限制,有两种基本的方法:在电源电路中简单布置防护设备作为浪涌电流限制器,成为被动浪涌电流保护电路。在电路中布置浪涌防护限制器,当浪涌峰值消失后,浪涌防护设备被旁路成为主动浪涌电流保护电路。采用哪种限流方式主要取决于电源功率,设备承受浪涌电流冲击的频率,工作温度范围和系统成本等因素。
对于小功率电源,最简单的浪涌电流限制方案是与负载串联一个普通的电阻器。但对于额定功率较大的电源,固定电阻会产生较大的功率损耗从而降低电路的整体效率。采用负温度系数的热敏电阻(NTC),进行被动限流保护。NTC的特性是阻值随着温度的升高而降低。当浪涌来时,温度较低,NTC呈现较高阻值,可以有效限制电路中的电流峰值,一旦受热,其阻值降低到可以忽略不计的水平,有效降低电路的功率损耗。这一方案由于电路简单,成本较低,利于实现。在对电源功率要求不高的情况下,被广泛采用。
当电源功率大于500W时,被动保护电路的功率损耗就非常明显。因此较高功率水平的电路采用主动ICL保护电路,一旦浪涌峰值电流消退,ICL保护电路被旁路,尽可能地减少功率的损耗。NTC热敏电阻对温度过于依赖,在设计方案中要考虑诸多问题:比如当浪涌电流冲击时,INC热敏电阻温度较高,呈现低阻状态,则对浪涌电流的防护失效;当外界气温较低时,NTC呈现低阻状态,其功率损耗则较大等。有正温度系数的热敏电阻PTC(或者PPTC)可以提供更有效的限流方案。
PTC或者PPTC热敏电阻,在环境温度下,作为一个普通电阻使用,其阻值依其型号不同,可以在20-500Ω之间选择。这一阻值可以有效地抑制浪涌电流的峰值。峰值一过,充电电路可以把PTC旁路。如果充电线路发生故障,在电路中出现持续很大的电流,PTC电阻值随着温度的升高而显著增大,对电路起到更有效的保护作用。
三、汽车电路浪涌防护方案举例
汽车运行工况复杂,在汽车电路中电磁继电器、电感性负荷很多,经常处于交替关断的状态,各种原因形成的浪涌,对汽车电路及各种车载电子元器件都会造成不同程度的损坏,解决汽车电路中浪涌问题,主要有以下解决方案。
(一)汽车12V/24V电源浪涌防护方案
本方案主要应用于汽车电源系统。汽车在起动瞬间和出现异常工作情况时会有很大的浪涌产生,对汽车电子产品造成损坏。对于汽车电源浪涌的防护,主要采用下面的防护方案。
本方案利用了TVS和PPTS,对汽车电源的后端电路进行了浪涌电压和浪涌电流的双重保护。如图1所示,在汽车电源电路中,当浪涌电压冲击时,瞬间电压抑制二极管(TVS)电阻迅速降低,可以吸收一个大电流,将电压钳制在额定值范围内,对电路形成第一时间的保护。TVS管动作速度快,但是通流能力有限,不能长时间工作,此时,正温度系数的热敏电阻(PPTC)随着电路温度的升高电阻迅速增大,抑制了电流的上升,起到第二保护作用。两种保护措施同时使用,克服了TVS管通流能力不强,和PPTS管动作时间慢的缺点,对电路的保护更加完善。此方案可以过IOS-7637-2标准的五类测试条件。
(二)汽车USB防护方案
车载电子设备不断增多。汽车USB接口应用越来越普遍,我们可以通过USB接口进行手机充电、车载MP3或插U盘听歌等。USB需要支持热插拔;传输速率高达480Mbps,不容忍丢包;USB芯片集成度高,很脆弱,易受静电损坏。下面以USB2.0为例来解析汽车USB浪涌防护方案。
在此方案如图2所示,采用了一个瞬态抑制二极管(TVS)。瞬态抑制二极管(TVS)的主要参数为:
TVS【ESD05V14T-LC】Vrwm:5.0V;Vb:6.0V;防静电能力(接触/空气):8KV/15KV;结电容(f=1MHz):1.2pF;封装为STO-143。
方案中,采用适用于USB2.0接口的ESD05V14T-LC 限压型静电保护器件。USB的电源线,数据线用这颗TVS对地做防护,钳位静电电压。该器件采用节省空间的0402和0603表面安装形式的封装,工作电压为5V,12V,24V三个等级,其电容值可以低到0.02PF,一般的都在2-3.5PF之间,按照IEC 61000-4-2,ESD空气放电15KV、接触放电8KV。优点是体积小、效果好、反应时间快、价格便宜。
(三)车载网络系统电路保护方案
车载网络系统将扮演着越来越重要的角色。新型客车、卡车、公共汽车甚至摩托车都已装有移动的网络,将众多特征和功能连接在一起,如内置控制、移动媒体和无线网络。信息娱乐系统、远程信息处理、安全控制等的应用均需使用几种现有的网络标准,其中LIN、CAN、FlexRay就是重要的三种标准。
1.LIN拓扑的电路保护措施
LIN是一种结构简单、配置灵活、成本低廉的新型低速串行总线,在车身电气控制等方面主要使用LIN总线。LIN总线标准要求当LIN总线路因正电压小于26.5V或接地而出现短路时,网络应恢复正常工作。物理层上的ESD浪涌电阻根据IEC61000-4-2要求必须符合最低放电电压电平±2kV。然而,ECU连接器上可能会出现达到±8kV的电平。为了防止LIN总线电路免受浪涌破坏。采取以下方案进行保护。
设置在电源输入端的PPTC器件,保护ECU和LIN节点连接器免受过电流损伤。并联在电路中的MLV(多层电压敏电阻器),可以限制电压尖峰,为车载网络应用提供所需的高电流处理和能量吸收的过电压保护。
2.CAN 拓扑的电路保护措施
CAN总线在汽车上的应用提高了汽车的动力性、操作性、安全性和燃油经济性。CAN总线通过CAN收发器与与物理总线项链。CAN总线收发器可允许总线供电电压高达±80V直流电。而电路中产生的浪涌电压,其峰值远远大于80V,会损伤收发器(收发器的操作电流也因供货商的不同而有所差异)。为此,采取以下方案对其进行保护。
3.FlexRay拓扑的电路保护措施
FlexRay是继CAN和LIN之后的最新研发成果,可以有效管理多重安全和舒适功能。譬如,线控刹车和线控方向盘。该线控网络方式支持同步和异步数据传输,数据传输率约为10Mb/s,具有时间触发和事件触发行为、冗位和容错的特点。
该结构支持一“束”2个节点至64个节点,其功能主要依靠于两种类型的处理器——ECU和“活动星”。FlexRay通讯通过一个常用总线或一个星形连接在ECU之间进行。FlexRay元件的总线输入必须避免在总线路和系统供电电压或地电位之间出现短路现象。因此,必须在电路中进行过电流保护。
人们对汽车操控安全性和乘坐舒适的要求越高,汽车上电气设备就会越复杂。电气设备越精密,集成度越高,抵抗浪涌的能力反而越弱。因此,对汽车电路上的浪涌电压(或电流)的进行防护尤为重要。本文对汽车电路中浪涌产生的几大原理进行了分析,详细阐述了汽车电源浪涌防护,USB接口浪涌防护和车载网络系统电路浪涌防护等方案。这些方案,在众多车型电路浪涌防护中被采用,防护效果得到实验验证,是非常有效的解决浪涌问题的办法。
【参考文献】
[1]张春艳,李金广.浅谈电涌保护器的选用[J].大众科技,2006(7)
[2]包联初,庞君,周云福.第四届中国国际防雷论坛论文摘编[J].汽车电子设备防护,2005(9)
[3]温厚林.基于电力自动化系统防雷措施分析[J].硅谷,2010(18)
【作者简介】文艳宇(1979— ),女,出生于广西桂林,现就职于柳州市交通学校,讲师。研究方向:汽车电子技术及新能源汽车发展方向。
安全防护方案 篇4
为了保证爆破施工的安全, 在爆破前必须对爆破方案进行严格设计, 精细控制爆破技术, 使得爆破后按要求形成设计的开挖轮廓且岩体的破碎均匀, 同时需要外界环境不受影响, 不损坏开挖界外的岩土性能, 保证施工质量。同时必须采取必要的技术措施和安全防护措施, 保护周围的建筑物及居民正常生活不受影响。
本文通过对路基爆破方案进行优化选择和爆破技术合理设计, 为保证爆破安全, 设计合理适用的防护栏架, 并通过有限元软件模拟计算, 对防护栏架的适用性进行评价。
1 爆破方案的设计
本文对一爆破施工区紧邻居民区、工业园、高速路、铁路的高速铁路路基爆破施工进行方案设计。路基处于干旱地带, 地下水软发育, 环境无化学侵蚀, 要求爆破后的碴土能形成平顺的施工平台, 考虑爆破振动和个别飞散物对行人车辆的影响。
通过分析考擦, 依据环境因素的影响, 为确保安全和爆破质量, 减少爆破队周边环境的影响, 对距爆破边缘区50m范围内有保护对象的, 采用浅孔毫秒微差松动控制爆破, 并且分台阶施工, 采用打密孔, 多分台阶, 减少单孔装药量, 间隔微差的爆破方式。
1.1 爆破参数设计
依据具体情况, 合理灵活选取爆破各参数, 尽量使得爆破多打孔少装药, 对控制爆破振动、爆破飞石等较有利。
(1) 孔径d:d=42 (mm) 。
(2) 台阶高度H:H=3.0m。
(3) 最小抵抗线w:w= (0.4~1.0) H=1.2~3.0m, 取w (b) =1.2m。
(4) 炮孔间距a:a= (1.0~2.0) w=1.2~2.4m取a=1.5m。
(5) 超深h:h= (0.10~0.15) H=0.3m。
(6) 单孔装药量Q:前排:Q=q Wa H=0.35×1.2×1.5×3.0=1.9kg;后排:Q= (1.1~1.2) qab H=1.1×0.35×1.5×1.2×3=2kg。
(7) 每m炮孔装药量每P:P=1.0kg/m;
(8) 装药长度L1:前排L1=Q/P=1.9/1.0=1.9m;填塞长度L2:L2=L-L1=3.3-1.9=1.4m;后排:Q= (1.1~1.2) qab H=1.1×0.32×1.5×1.2×3=2kg;装药长度L1:L1=Q/P=1.87/1=2m;填塞长度L2:L2=L-L1=3.3-2=1.3m。
由于路基地段岩层厚度不均匀, 所以钻孔深度也不可能一致, 故不同地段, 钻孔爆破参数存在差异。
1.2 装药填塞及起爆网络
在装药前认真做好炮孔的检查验收工作, 对炮眼进行清渣和排水。装药时对每个炮孔按预先计算的药量进行装填, 保证装药密度。炮孔装药后, 剩余段均应用炮泥进行堵塞。台阶炮孔起爆有许多顺序, 如排间起爆、斜线起爆、V形起爆、梯形起爆和波浪形起爆等。根据安全段起爆孔数, 起爆顺序可参照图1, 根据现场情况灵活改变和应用, 尽量使炮孔爆破抵抗线与被保护对象的轴线斜交, 对减震和减少飞石较为有利。
1.3 爆破安全允许距离计算
爆破工程风险较高, 在施工作业过程中应当采取适当措施预防危害的发生, 将有害效应减小到最低程度, 对爆破的安全允许距离进行计算:
1) 爆破振动波计算。爆破振动波作用时间很短, 从开始到结束仅大概有0.6~2s的时间, 根据《爆破安全规程》, 计算公式如下:
式中:Qmax———炸药量 (kg) ;V———保护对象所在地质点振动安全允许速度 (cm/s) ;R———距离爆破点最近处需要保护的建 (构) 筑物的距离 (m) 。
通过计算, 距保护对象50m以内采用浅孔毫秒微差松动控制爆破分台阶施工不会对周边结构物产生影响。
2) 爆破冲击波安全允许距离。炸药爆炸所产生的空气冲击波是一种空气中传播的压缩波, 在爆破施工中应合理优化爆破参数, 尽量避免采用最小抵抗线, 避免产生冲天炮, 选择合理的微差间隔时间, 保证填塞质量和填塞长度。有效提高爆破能量的利用, 减少形成的空气冲击波。
3) 爆破飞散物的安全允许距离。依据岩体特性, 严格控制最小抵抗线, 防止飞散物对周围环境的危害。飞散物的最大飞散距离进行计算, 飞散物的最大飞散半径为52m, 安全起见, 实际警戒时按距爆破点100~200m进行警戒。
2 爆破周边防护栏架设计计算
为防止个别飞石溅出造成危害, 在距爆区边15m外, 3个方向架设高6~8m、总长达150m双层防护栏架, 防护栏架上捆绑铁丝网和沙袋加固, 防护栏上部钢丝绳拉紧加固。在爆点再采用铁丝网和沙袋等进行覆盖防护。安全防护栏架设计布置图如图2所示。
采用有限元程序ANSYS进行建模, 采用平面梁单元, 计算荷载按施工期间频率出现最高的荷载进行防护栏架结构控制计算。
1) 恒荷载:按照其实际长度在程序中自动计入。
2) 冲击荷载:安全起见, 按10cm×10cm×10cm石块, 自重2.2kg从15m高空坠落对栏架造成的冲击检算, 冲击时间按0.10s计算。冲击力为17.5×2.2/0.10=385N。在计算结构强度时的荷载计算分项系数均取1.0。荷载作用在防护栏架的顶部为最不利工况。防护栏架分析模型如图3所示。
防护栏架的有限元控制计算结果如图4所示。
由图4可知, 最大弯曲应力:;最大位移:7.033mm。
防护棚架强度满足要求。
防护钢丝网钢丝按照4根直径2mm的钢丝承担冲击荷载, 则钢丝应力:
防护钢丝网的强度满足要求。
3 结语
本文通过对高速铁路路局爆破施工的施工技术进行分析, 对一高速铁路路局爆破工程进行爆破方案的设计, 控制器爆破参数, 对爆破装药填塞及起爆网络技术进行设计论述, 并对爆破的安全允许距离进行计算, 防止爆破队周围环境造成危害。
设计合理的边的防护栏架, 控制爆破飞石危害周边环境, 并通过有限元ANSYS软件对防护栏架建模计算, 确保防护栏架的承载能力满足爆破要求。为路基工程全爆破提供了有利的技术支持。
参考文献
[1]郭志军.浅谈铁路路基爆破施工的安全管理[J].建筑安全, 2009, (12) :10-12.
[2]朱朝辉.浅谈高速铁路路基爆破施工技术[J].企业技术开发, 2011, 30 (22) :150-151.
[3]陈旭东.路基石方爆破技术应用研究[J].施工技术, 2014, 43 (23) :105-108.
[4]彭锦红.公路路基石方爆破方案设计[J].交通科技, 2016, (1) :101-103.
安全防护施工方案 篇5
安全防护施工方案
一、工程概况
二、编制依据
三、安全施工措施
四、口边防护施工措施
五、物料提升机安装和拆除防护措施
六、外脚手架搭设和拆除防护措施
七、模板工程防护施工措施
八、机械设备防护施工措施
九、钢筋绑扎防护施工措施
十、混凝土浇筑防护施工措施
十一、悬空进行门窗安装防护施工措施
十二、组织机构及责任人
十三、高处坠落事故的原因分析
十四、高处坠落事故的预防措施
第1页
安全防护施工方案
一、工程概况:
锦绣苑住宅组团1#楼工程位于太原市南中环以北,体育路以东,为钢筋砼剪力墙结构。地下二层为人防工程,地下一层为设备层,主体地上一层为商业,二~三十层为住宅;层高:地下二层2.9m,地下一层1.9m,主体地上一层商业为3.9m,二层以上住宅为3.0m;主体建筑高度91.55m;室内外高差为0.3m。
二、编制依据:
建筑施工安全检查标准
JGJ59-1999 建筑施工高处作业安全技术规范
JGJ80-91 龙门架及井架物料提升机安全技术规范
JGJ88-92 建筑施工扣件钢管脚手架安全技术规范
JGJ130-2001 建筑工程安全生产管理条例
中华人民共和国安全生产法
三、安全施工措施:
(一)安全管理措施:为了在该工程施工预防作业人员高空坠落事故的发生,确保施工安全进行,保障作业人员的生命安全,所有高处作业人员在作业前必须由项目部对其班组进行高处作业安全知识教育,包括安全操作规程和高处作业的规定。特殊作业人员必须持证上岗,作业前由技术负责人进行安全技术交底并签办手续。施工区作业前,由施工班组长对安全防护设施进行检查验收,经验收合格后方可作业,发现有安全隐患及时报告项目部安全员,进行排除。
第2页
安全防护施工方案
(二)三宝的使用方案:
高处作业人员所使用的安全防护用具,必须符合国家标准,进入施工现场必须由安全员、材料员进行查验。作业人员必须按照正确方法佩戴使用。应符合要求:
1、安全帽:凡进场人员都必须正确佩戴安全帽,作业中不得将安全帽脱下。正确佩戴安全帽方法:戴安全帽高度为帽箍底边至人头顶端为80mm-90mm,安全帽抵抗冲击的能力必须符合国标规定,要扣好帽带,调整好帽衬间距。安全帽必须符合国标GB2811-81《安全帽》的规定,购买安全帽,必须检查是否具有产品检验合格证,安全生产许可证、安全设施备案证。不准购买和使用不合格品。
2、安全带:安全带使用时要高挂低用,防止摆动碰撞,绳子不能打结,钩子要挂在连接环上,当发现有异常时要立即更换,换新绳时要加绳套,使用3m以上的绳要加缓冲器。在攀登和悬空等作业中,必须佩戴安全带并有牢靠的挂钩设施。安全带应符合国家标准GB6095-80《安全带》规定的构造形式、材料、技术和使用保管上的要求,安全带不使用时要妥善保管,使用频繁的绳索经常做外观检查。不得采购和使用不合格产品。安全带使用在5年以上必须进行报废处理。
3、安全网:安全网在使用时必须经过项目部检测后,具备安全生产许可证、产品合格证、安全设施使用备案证,方可使用。安全网搭设要求:
第3页
安全防护施工方案
(1)平网的搭设:脚手架内部应设首层安全网,每层网距小于10米,操作层脚手板下设一层。建筑物的转角处,阳台口和平面突出部位,安全网要整体连接,不得中断,不允许出现漏洞。电梯井口、管道竖井等处,井内首层及每隔两层设置固定一道。
(2)立网搭设:立网与架体连接应使用绑绳逐点绑扎,不得跳绑、漏绑。各作业层设置防护栏杆和挡脚板;最底层、作业层下方同时用密目网及平网挂牢封严,防止落人落物。
(3)安全网拆除要求:安全网的拆除应在施工全部完成,作业全部停止后,经项目经理同意,方可拆除,拆除过程要有专人监护。拆除的顺序,应自上而下依次进行,下方应设警戒区,并设“禁止通行”等安全标志。
(4)安全网使用要求:在使用过程中,要配备专人负责保养安全网,并及时检查和维修。网内的坠落物经常清理,保持网体干净,要避免大量焊渣和其它火星掉入网内。
四、口边防护施工措施
1、楼梯口防护:楼梯踏步及休息平台口设置两道牢固防护栏杆及300mm高的挡脚板。电梯口设置1.2米高的钢筋网片防护门,网格间距不大于15cm,底部焊30cm高的钢板网片,防止杂物滚入,电梯井的首层和首层以上每隔10米设一道水平安全网,安全平网应封闭严密。所有单元楼梯和电梯井口均需防护。
第4页
安全防护施工方案
2、预留空洞、坑井防护:楼板屋面及转身平台处的地面上的洞口:边长﹤25cm,用坚实的盖板进行遮挡,盖板四周设置膨胀螺栓固定防止位移;边长25cm-50cm的洞口用竹笆加以盖板,四周要保持均衡并设有钢管加以固定;边长50cm-150cm的洞口采用钢管或钢筋做网格,在上面满铺竹笆,上面铺设密目安全网;边长150cm以上的洞口,四周设护身栏杆,高度1.2m,立杆间距不大于2m,顺水杆间距为600mm,下部设30cm挡脚板,并在洞口下方张挂平网;墙面等处的洞口,凡落地洞口要加装防护门,网格间距不大于15cm。下边缘距楼板或地面高度低于80cm的窗台等的竖向洞口,施工过程中搭设1.2m高的防护栏杆,挂设密目网进行封闭。
3、通道口防护:在西面商铺处搭设安全通道。安全通道口必须搭设安全防护棚,设双层防护,上下距离0.6m。两侧设置不低于0.5m的挡脚板防止二次伤害。安全通道应为该区域建筑物外围尺寸加坠落半径全长搭设
4、阳台、楼板、屋面等边口防护:所有外侧洞口进行封闭;楼层、屋面窗台或女儿墙未施工前,均应加设防护栏杆,高度1.2m,立杆间距不大于2m,顺水杆间距为600mm。屋面施工,周边设置防护栏杆,栏杆下部要设置挡脚板,采用密目网进行围挡。整体提升脚手架作业时,架体与墙空隙采用翻板措施,保证严密防止落人落物。
5、施工作业区内,在危险区域有针对性的悬挂、张贴安全警
第5页
安全防护施工方案
示标志,夜间设置红灯示警。
五、物料提升机安装和拆除作业严格按照《物料提升机安装和拆除安全施工方案》实施。使用前必须进行验收,报起重机械检测中心进行检测,检测合格后方可投入使用。物料提升机使用层必须设置停靠装置,设置超载限制装置、上下限位装置、断绳保护装置。各层联络要有明确信号和楼层标志。物料提升机上料口处装设连锁装置的安全门。通道口走道满铺木板,并固定牢固,两侧边设置防护栏杆和挡脚板,并用密目网进行封闭。物料提升机严禁乘人,操作人员必须持证上岗。
六、外脚手架搭设和拆除作业严格按照《外脚手架安装和拆除安全施工方案》执行,由项目部组织验收合格后方可进行作业。作业层的脚手板必须铺设严密,下部铺设安全平网兜底,脚手板与建筑物之间的空隙保持在10cm以内。脚手架外侧采用密目式安全网全封闭,不得留有遗漏。作业人员通过专用通道上下架体,不得攀爬架体。
七、模板工程应严格按照《模板工程安全施工方案》执行,支设完毕由项目部组织验收。在拆除前必须在砼同条件养护报告符合要求的前提下,报技术负责人同意后方可进行拆除模板。模板工程在绑扎钢筋、清理模板、支、拆模板时必须保证作业人员有可靠立足点,作业面按照规定设置安全防护设施,模板及支撑体系的施工荷载应均匀堆置,不得超过设计计算要求。
八、高处作业时,使用机械设备必须“一机、一闸、一箱、一保
第6页
安全防护施工方案
护”,电源线不得有接头,不得在模板、钢筋下面拽拉。在楼层周边使用机械时应系好安全带,防止机械故障造成伤害。
九、钢筋绑扎防护施工措施
(1)绑扎钢筋和安装钢筋骨架时,必须搭设脚手架和马道。
(2)绑扎圆梁、挑梁、挑檐、外墙和边柱等钢筋时,应搭设操作台架和张挂安全网。
(3)悬空大梁钢筋的绑扎,必须在满铺脚手架的支架或操作平台上操作。
(4)绑扎立柱和墙体钢筋时,不得站在钢筋骨架上或攀登骨架上下。3米以内的柱钢筋,可在地面或楼面上绑扎,整体竖立。绑扎3米以上的柱钢筋,必须搭设操作平台。
十、混凝土浇筑防护施工措施:
浇筑离地2米以上过梁、雨蓬和小平台时,应设操作平台,不得直接站在模板或支撑件上操作。特殊情况下如无可靠的安全设施,必须系好安全带并扣好保险钩,或张设安全网。
十一、悬空进行门窗作业时,必须遵守下列规定:
(1)安装门、窗、油漆及安装玻璃时,严禁操作人员站在樘子、阳台栏板上操作。门、窗临时固定,封填材料未达到强度,以及电焊时,严禁手拉门、窗进行攀登。
(2)在高处外墙安装门、窗,无外脚手架时,应张挂安全网。无安全网时,操作人员应系好安全带,其保险钩应挂在操作人员上方的可靠物件上。
第7页
安全防护施工方案
(3)进行窗口作业时,操作人员的重心应位于室内,不得在窗台上站立,必要时应系好安全带进行操作。
(4)操作平台上应显著地标明容许荷载值。操作平台上人员和物料的总重量,严禁超过设计的容许荷载,应配备专人加以监督。
十二、组织机构及责任人:
项目部成立安全管理小组,针对高空作业进行管理。
组长:魏林顺:负责对施工现场的安全工作负总责。
副组长:秦付生:负责施工现场的安全工作进行管理。
成员:苏中付,宿红宾,赵贵宾:负责监督检查各项安全方案的实施、安全法规的执行情况,落实整改情况。
技术员:谢朋阳:负责对高处作业的人员的安全技术交底和安全教育。
高处坠落事故(即高处作业坠落事故)多年来一直是建筑施工现场“五大伤害”事故之首,其事故死亡人数占到建筑施工现场全部事故死亡人数的一半以上。深入分析高处坠落事故产生的原因,采取必要的措施加以预防。进而逐步减少甚至杜绝高处坠落事故的发生就 显得尤为重要和迫切。
一、高处坠落事故的原因分析
事故致因因素包括人的因素和物的因素两个主要方面。而人的因素又可细分为人的不安全行为和管理缺陷两个方面,物的因素又可细分为物的不安全状态和环境不良两个方面。故而对建筑施工高处坠落事故
第8页
安全防护施工方案 的原因分析也可从这几个方面来进行。
1.从人的不安全行为分析主要有以下原因:
(1)违章指挥、违章作业、违反劳动纪律的“三违”行为,主要表现为:①指派无登高架设作业操作资格的人员从事登高架设作业,比如项目经理指派无架子工操作证的人员搭拆脚手架即属违章指挥。②不具备高处作业资格(条件)的人员擅自从事高处作业。③未经现场安全人员同意擅自拆除安全防护设施。④不按规定的通道上下进入作业面,而是随意攀爬阳台、吊车臂架等非规定通道。⑤拆除脚手架、井字架、塔吊或模板支撑系统时无专人监护且未按规定设置足够的防护措施。⑥高空作业时不按劳动纪律规定穿戴好个人劳动防护用品(安全帽、安全带、防滑鞋)等等。
(2)人操作失误,主要表现为:①在洞口、临边作业时因踩空、踩滑而坠落。②在转移作业地点时因没有及时系好安全带或安全带系挂不牢而坠落。③在安装建筑构件时,因作业人员配合失误而导致相关作业人员坠落。
(3)注意力不集中,主要表现为作业或行动前不注意观察周围的环境是否安全而轻率行动,比如没有看到脚下的脚手板是探头板或已腐朽的板而踩上去坠落造成伤害事故,或者误进入危险部位而造成伤害事故.2.从管理缺陷分析主要有以下原因:
(1)没有安全生产管理制度、安全生产操作规程或者有但不健全。
(2)未在施工组织设计中编制高处作业的安全技术措施或者所编制
第9页
安全防护施工方案 的高处作业安全技术措施无可操作性,无法指导现场施工.(3)未按规范要求对高处作业实行逐级的安全技术教育及交底。
(4)施工现场安全生产检查、整改不到位。
3.从物的不安全状态分析主要有以下原因:
(1)高处作业的安全防护设施的材质强度不够、安装不良、磨损老化等,主要表现为:①用作防护栏杆的钢管、扣件等材料因壁厚不足、腐蚀、扣件不合格而折断、变形失去防护作用;②施工脚手板因强度不够而弯曲变形、折断等导致其上人员坠落;③因其他设施设备破坏而导致相关人员坠落.(2)安全防护设施不合格、装置失灵而导致事故.主要表现为:①临边、洞口、操作平台周边的防护设施不合格.(3)劳动防护用品缺陷,主要表现为高处作业人员的安全帽、安全带、安全绳、防滑鞋等用品因内在缺陷而破损、断裂、失去防滑功能等引起的高处坠落事故,导致工人所用的劳动防护用品本身质量就存在问题.根本起不到安全防护作用。
4.从作业环境不良分析主要有以下原因:
(1)露天流动作业使临边、洞口、作业平台等处的安全防护设施自然腐蚀、人为损坏频率增加,隐患增加。
(2)特殊高处作业的存在使高处坠落的危险性增大。比如强风高处作业、异温高处作业、雪天高处作业、雨天高处作业、夜间高处作业等。
二、高处坠落事故的预防措施
根据上述分析,对高处坠落事故的预防措施也可从人的不安全行为
第10页
安全防护施工方案
及管理缺陷和物的不安全状态及作业环境不良这几个方面来采取相应的措施,以预防、减少、杜绝高处坠落伤害事故。
1.对人的不安全行为的控制措施有:
(1)决心通过一定的奖惩措施,从制度上杜绝一部分人的侥幸心理。具体措施:
①没有登高架设上岗证的人员严禁从事登高架设作业。②未经现场安全人员同意不准擅自拆除安全防护设施。③施工作业区设置规范畅通的安全通道。④拆除脚手架或模板支撑系统时设专人监护。
⑤每天上班前对所有高空作业人员的劳动防护用品穿戴情况进行专项检查等。
(2)对于人操作失误和注意力不集中,采用“旁站监理”的管理措施,在搭拆脚手架、模板支撑架时,安装、拆卸、调试起重设备时,特殊高处作业过程中等,安排专职安全员做好“旁站监督”,以减少人失误和注意力不集中所造成的危害。
2.对管理缺陷的控制措施有:
(1)加强学习有关安全生产的法律法规和规章制度,将管理制度和操作规程传达到每一位员工
(2)重视落实、交底工作,由经理带头,安全员专职负责。
(3)重视施工现场的安全生产检查、整改.对施工作业人员不尊章守纪,不按高处作业方案的交底要求去进行施工,将严厉查处,并采取经济制裁。
第11页
安全防护施工方案
3.对物的不安全状态的控制措施有:
(1)对安全防护设施材质强度不够、安装不良、磨损老化等要把好以下关口:
①把好材料的进场验收关,材料必须符合有关要求。
②把好安全防护设施的搭设验收关,一定要按有关的安全技术规范、高处作业安全技术措施、安全专项施工方案进行验收,验收合格后才能投入使用。验收合格后,还要对之进行经常性的检查,确保状况良好,因为在这方面的一点疏忽,就可能造成灾难性的后果。③对于吊篮脚手架、悬挑平台、转料平台的钢丝绳也要经常检查,严格按照钢丝绳的报废标准要求进行报废,不能带病使用。
(2)购买劳动防护用品时要查看其是否有生产许可证、产品合格证,否则坚决不能购买使用。
4.对于环境不良的控制措施有:
(1)合理安排作业流程,尽量减少露天高处作业的时间。
(2)尽量避免特殊高处作业,比如风力达到6级停止高处作业,雨雪天气停止高处作业,夜间不安排高处作业,避开高温、低温进行高处作业等。
通过对高处坠落事故原因的分析及采取的措施手段,加强对作业人员的培训、教育,提高其对施工现场高处坠落事故的认识,加强现场管理,投入必要的防护设施,严格按标准、规范要求实施,杜绝违章指挥、违章操作和违反劳动纪律的行为,不断消除高处坠落事故隐患,逐步减少和避免高处坠落伤害事故是完全有可能的。
第12页
安全防护施工方案
安全防护方案 篇6
关键词:计算机网络应用;安全防护;风险;设计
中图分类号:TP393.08
1 计算机网络安全含义
基于计算机网络是为用户提供所需信息资源的服务,计算机网络安全可以定义为:保障网络用户服务的可用性及信息的完整性。由定义可以看出这种要求主要是从一般网络用户的角度出发考虑,一方面网络要能够提供给用户各自应得到的网络服务,另一方面,要保证信息资源的安全性和完整性。对于网络提供商而言,保证网络信息安全只是最基本的工作,同时还要考虑如何在网络出现异常时恢复网络通信,保持网络通信的连续性。对于社会与国家而言,网络安全涉及到社会的稳定、国家的主权以及民族文的化传承等一系列重大问题。
2 我国计算机网络应用安全的现状及风险分析
2.1 计算机网络安全技术的发展
随着计算机网络技术的发展,在针对于计算机网络应用的安全问题上,人们已经做出了很多努力,采取并实施了一些必要的保护措施,如入侵检测技术和反病毒技术。防火墙作为计算机网络的第一道防护屏障,虽然可以为数据信息提供很大的保护,但是对于一些主动入侵的黑客和最新的病毒等,防火墙发挥的作用就会很小。针对这一问题,入侵检测技术能够对计算机网络进行实时的检测和分析,一旦发现有被攻击的可能,就会协同防火墙进行数据的保护,从而实现对计算机网络的防护。可以说,入侵检测技术是对防火墙技术的一种完善。另外一种常见的网络安全技术就是反病毒技术,当前很多网络用户针对于计算机病毒感染问题,普遍都会安装杀毒软件进行处理,如360杀毒软件、金山、瑞星、卡巴斯基等,通过这些杀毒软件可以有效的防治病毒的威胁。
2.2 计算机网络使用中存在的问题
(1)用户安全意识较差。基于我国计算机技术发展水平较低的原因,人们对计算机网络认识不足,缺乏应有的安全意识,很少会进行定期的检查和维护,很大程度上影响了计算机网络应用的安全;(2)防护措施水平较低。计算机硬件与软件技术的更新换代很快,如果不及时更新软件,一些黑客就会利用计算机网络软件在开发的过程中的漏洞,窃取用户的信息数据;(3)自主研发能力不强。现阶段,我国计算机中很多核心部件都是原始设备制造商的,自主研发生产能力很弱,大多为引进国外的产品,在对数据信息进行针对性的维护方面缺乏条件与优势;(4)安全监管力度不够。当前我国计算机网络缺乏有效的安全监督系统,这可能会为计算机网络安全运行带来数据泄露等一些列安全隐患问题。
2.3 当前计算机网络应用中存在的风险
2.3.1 操作系统及链路连接漏洞。计算机网络需要在操作系统上拥有一个统一的用户交互平台,但是这也使得它有存在的漏洞的可能,且功能越强大存在的漏洞也就越多,即使是全世界应用最广泛的Windows操作系统,也需要定期进行维护与更新,因此,计算机网络很容易遭到攻击。另外,在计算机的服务运行过程中,网络互通的功能需要由链路连接来实现,链路连接本身、物理层表述及互通协议这些环节都易遭受到外在的攻击。
2.3.2 病毒感染。一直以来,计算机网络在应用中主要的安全因素是计算机病毒的攻击。计算机病毒其实是一种电脑编码的应用程序,制造计算机病毒的人将计算机病毒植入网络用户的计算机电脑中,由于计算机病毒具有隐蔽性、传染性、潜伏性及破坏性等特点,计算机用户不仅不容易发现,而且会侵犯到用户的隐私以及导致计算机系统崩溃、存储的数据丢失等情况的出现。
2.3.3 人为的网络恶意性攻击。某些人出于谋取私利或者恶意报复攻击等目的,采取各种方式对计算机网络进行攻击,比如人为散播木马病毒,既影响了网络的正常运转,同时又有可能造成重要数据的泄露和丢失。现阶段,黑客给计算机网络带来的危害可能更甚于网络病毒,他们未经授权利用欺骗DNS解析地址、IP地址、路由条目等方式,造成服务器无法辨别请求的真假性,妨碍其正常响应请求,最终造成死机现象或者阻塞缓冲区资源的问题,给计算机用户带来巨大的损失。
3 计算机网络应用安全防护方案的设计与实现
3.1 增强用户防范意识
加强计算机网络用户对信息数据保护的认识与学习,增强其安全意识,同时明确自身的义务和权力,做到自觉规范自身的网络行为。计算机用户应具备一定的解决能力,对于一些网络安全问题,比如病毒感染、黑客攻击等,要能够做正确的处理,以保证计算机的资源安全有效的状态。另外,要做好物理安全防护工作。物理安全防护是为了保护计算机系统、网络务器等硬件实体和通信链路免受自然灾害、人为破坏或者搭线攻击。可以通过验证用户的身份和使用权限,防止用户越权操作;加强管理,防止非法进入计算机机房等手段加以保护。
3.2 加密数据防护措施
可以说,加密数据防护措施是对计算机网络进行保护的一种较为有效的手段。通过信息加密技术可以确保数据信息在网络传输过程中不会被非法人员窃取、修改、删除,而且即使数据被人截获,由于缺乏数据信息的解密密码,就不会对数据进行任何改变,从而保证了网络数据的安全性。但是对数据加密也有一定的要求:加密后容易使用及操作,数据的加解密应对所有密匙有效等。通过链接加密、节点加密等手段,能够有效降低外部攻击对计算机的入侵,确保内部网数据、文件等的安全性。
3.3 安装专业杀毒软件
一个正规安全的网络应该使用全方位的防病毒产品,因此,应当建立起完善的防病毒系统。通过安装360、卡巴斯基、瑞星等相关的病毒查杀软件对计算机系统进行文件的保护,确保计算机的安全运行。安装这些杀毒软件之后,应定期进行病毒查杀、木马查杀、漏洞弥补等网络安全防护工作,比如,病毒查杀,要及时更新病毒库,保证病毒库是最新的,进而才会提高病毒实时检测的有效性,清除潜在的病毒;漏洞检测则需要采用专业的工具检测系统漏洞,并且要及时安装补丁程序,杜绝病毒发作的条件。通过一系列的技术手段,加强对计算机病毒检测与处理,做好查毒、杀毒、防毒的工作,才能有效保证计算机系统的安全性。
3.4 加强网络安全管理
首先,各单位要按照网络安全的相关规定,不断完善本单位网络安全管理规章制度。通过明确网络安全工作中的各种责任,规范计算机网络系统内部控制及管理制度,切实做好本单位网络安全保障工作。其次,增强网络监控力度,做好日常检查工作。作为网络安全管理人员应定期检查线路、设备及网络系统的工作状态,密切关注防火墙、入侵检测系统、防病毒系统等网络安全防护设备的运行情况,确保及时发现安全隐患,及早进行处理。最后,做好网络安全隐患处理工作。要对检查过程中发现的问题,及时汇总上报,单位内部相互讨论提出具体的解决办法,确保问题得到及时解决。
4 结束语
计算机网络应用的安全防护工作是一项长期复杂的系统性工程,应当给以高度的重视与防范,建立具有针对性的网络安全防护措施及防范策略机制,充分发挥杀毒软件的作用,不断的完善网络安全保密技术,才能够有效的避免或减轻重大损失的出现,提升计算机网络应用的安全性。
参考文献:
[1]唐焕春.浅谈计算机网络安全问题及对应措施[J].硅谷,2010(01).
[2]尚荣斌.电子商务网络信息安全技术应用浅析[J].科技信息,2011.
[3]李硕.分析我国目前计算机网络安全的问题及其防范措施[J].计算机光盘软件与应用,2013(18).
[4]李小三.浅议计算机网络建设中的安全性问题及对策[J].数字技术与应用,2011(07).
作者简介:娄红(1979-),女,河南原阳人,讲师,河南财经学院硕士研究生,研究方向:计算机软件。
安全防护方案 篇7
随着信息时代战争形态和战争环境的变化,我军现代化建设已经步入了由机械化向信息化转变的发展时期,以“建设信息化军队、打赢信息化战争”为目标的中国特色军事变革,不仅对武器装备信息化、作战保障信息化提出了更高要求,同时对各种军事信息系统建设也提出了更高要求。各种军事信息系统在服务于部队综合作战能力提升方面发挥了越来越重要的作用,但同时由于外部攻击、不安全使用导致的各种安全问题也日益突出。提高各种军事信息系统的安全防护能力,确保军事信息系统运行安全成为当前迫切需要解决的重点问题。
由于军事运用的特殊性,军事信息系统具备区别于常用计算机信息系统的典型特征,其安全防护有其特殊需求,常用的信息系统安全防护技术不能完全照搬运用至军事信息系统中,因此在军事信息系统大规模使用的情况下,对于军事信息系统安全防护方法需要进行重点研究。
本文首先分析了军事信息系统的特点及安全防护需求,梳理了目前依赖于军队信息网络的军事信息系统面临的安全威胁,探讨常用安全防护技术在军事信息系统中的安全缺陷,提出了一种基于数字证书认证的军事信息系统安全防护方案,为较好地解决军事信息系统的安全防护问题提供了新的思路和方法。
2 军事信息系统特点及安全需求
2.1 军事信息系统特点
稳定性。稳定性是指军事信息系统在正常运行状态下,受到外界干扰时系统能持续保持正常运行状态的一种特性。这里的外界干扰可能是多方面的,包括物理摧毁、病毒攻击等。
可靠性。可靠性是指军事信息系统在规定时间区间内和规定条件下,系统能实现特定功能的能力,包括系统容错性、系统可信性、系统易用性等相关特性。
安全性。军事信息系统传输和处理的是涉密信息,信息从产生、传输、处理的各个环节都需要确保完整、可信、保密,尤其是军事信息系统信息传输大量依赖军用物理隔离网络,数据传输的安全性是其重要特征。
抗毁性。军事信息系统的抗毁性是指在遭受敌方打击破坏时,能将系统功能维持在一个可接受程度的能力。
2.2 军事信息系统面临的安全威胁
2.2.1 军事信息系统内部的威胁
军事信息系统本身具有一定的脆弱性,主要表现在几个方面:一是计算机系统的硬件的脆弱性,且大量基础设备和核心技术依靠国外引进,无法保证安全利用和有效监控;二是操作系统漏洞,海量的代码编译带来的软件漏洞以及人为设置“后门”带来的危险性,对于军事信息系统产生的危害巨大;三是终端及通信线路的不安全性,终端计算机存在的电磁辐射泄漏提供了失密、泄密和窃密的可能性,保密数据传输所使用的通信线路开放,信息或数据进行通信及数据交换时易被截取。
2.2.2 军事信息系统面临的外部攻击威胁
军事信息系统无论在和平时期还是在战期,作为重要的战争依据,必然是敌方重点打击的目标。由于军事信息系统依赖网络进行数据的传输,因此敌对方能通过多种手段来实施信息网络攻击,藉以威胁军事信息系统的安全。这些手段包括非授权访问、插入破坏性恶意代码、伪造篡改、拒绝服务攻击、软硬件摧毁等,由此来攻击破坏军事信息系统,使其不能正常运行。
2.2.3 管理与防范意识不强带来的安全威胁
军事信息系统开发人员主观安全防护意识不强,在构建军事信息系统时更多的是考虑效益、速度、方便、快捷,在软件设计和硬件建设上把系统安全保密、恶劣环境适应性、软件的容错性和接口的兼容性放在了次要地位,造成系统功能强大但不稳定、不实用、不安全。另外,军事信息系统安全管理人才缺乏,军事信息系统的特点决定了安全管理人才既要精通计算机网络技术,又要熟悉安全技术,同时具备信息安全管理的能力,但目前安全防护队伍的整体素质难以适应确保军事信息系统安全的需要。
2.3 军事信息系统安全需求
通过对军事信息系统面临的安全威胁进行分析,结合传统信息系统固有的安全需求,可以将其安全需求归纳为机密性、完整性、可用性和不可抵赖性。
机密性是指保证特定的信息不会泄露给未经授权的用户。在军事信息系统中,必须防止通信过程中传输或存储的信息的非授权泄露,特别是无线传输介质,极易遭遇信息窃听攻击、流量分析攻击等。
完整性是指信息系统中的信息在传输、存储过程中避免遭遇非法插入、删除和修改等破坏,确保信息的完整有效。
可用性是指要确保信息系统能够为授权用户提供及时、可靠的数据访问和信息服务能力,能够抵御外部和内部的相应攻击。
不可抵赖性是指在信息系统数据传输时必须携带含有自身特质,无法复制的信息,防止信息传输后对对方对行为的否认。
3 军事信息系统安全防护技术
由于军事信息系统是传统信息系统的特例,因此对于军事信息系统的安全防护需要采用特殊的技术手段和方法。
3.1 身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法,一般包括基于信息秘密的身份认证、基于信任物体的身份认证和基于生物特征的身份认证三种类型。常见的身份认证方式主要是使用“用户名+口令”的方式,但这也是最原始、最不安全的身份确认方式,非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造。基于生物特征识别技术(包括指纹、声音、手迹、虹膜等)以人体唯一的生物特征为依据,具有很好的安全性和有效性,但实现的技术复杂,技术不成熟,且实施成本昂贵。另外,目前电子政务和电子商务领域最流行的身份认证方式是采用基于USB Key的双因素身份认证方式,是结合了现代密码学技术、智能卡技术和USB技术的新一代身份认证方式。
3.2 信息加密技术
加密技术是确保信息安全的一种重要手段,采用较好的加密算法可以提高数据的安全性。加密算法按体制划分可以分为分组加密算法、序列加密算法和公开密钥加密算法。
分组加密算法。分组密码是对一个大的明文数据块(分组)进行固定变换的操作,常用的分组密码有DES、AES和IDEA。
序列加密算法。序列密码,也称流密码,是密码学的一个重要分支。序列密码是对单个明文位随时序变换的操作,多采用数学分析。序列密码密钥的生产、使用和管理简单,按比特位加密,实时性好,适合数据、语音、图像等信息加密,可达到实际保密性,最流行的是RC4算法,其优点是算法简单、高效,特别适合软件实现。
公开密钥加密算法。公开密钥是目前应用最广泛的一种加密体制,在此体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者利用自己的专有的私钥解密。国际上比较流行的公钥密码体制,主要有两类:一类基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ELGamal公钥密码和椭圆曲线密码。
3.3 防火墙技术
防火墙是一组系统,能够提升内部网络的安全性能,主要作用在于控制网络间的访问控制,避免网络之间非法的访问控制,防止外部用户非法窃取内部资源。防火墙主要采用包过滤技术、代理技术和状态监视技术来实现。其中,包过滤技术是利用设定好的过滤原则,通过检查IP数据包来判断该数据包是否通过,而不符合规定的则会被过滤,以保证系统的安全性;代理技术就是在两个网络之间设置检查站,两边的网络应用可以在经过检查站的情况下相互通信,检查站对网络之间运行的每一个请求都会进行检查,会对请求的合法性进行判断;状态监视技术集包过滤技术与代理技术的优点,其能够监测通过IP地址、端口号与TCP标记,对数据包进行过滤,允许受信任的客户机与不受信任的主机建立连接关系,它是依靠一种算法来实现识别数据的。
3.4 入侵检测技术
入侵检测技术是为保护计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测的方法有很多,如基于专家系统的入侵检测方法,基于神经网络的入侵检测方法等,目前一些入侵检测系统在应用层入侵检测中已经实现。通过执行几种任务来实现:监视、分析用户及系统行动;系统构造和弱点的审计;识别反映已知进攻的活动模式并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;系统的审计跟踪管理,识别用户违反安全策略的行为等。
由于军事信息系统的特殊性,在安全防护技术方面还需要增加等级保护。等级保护就是对信息网络系统和重要信息系统按其重要程度及实际的安全需要,分级保护,保障信息安全和信息系统可靠、稳定的运行。[10]对军事信息系统安全等级进行科学划分,并采取必要措施,以提高军事信息系统效率。
4 基于数字证书的系统安全防护方案
基于军事信息系统的安全需求,其安全防护需要采取特殊的解决方法,我们提出了利用数字证书技术,构建军事信息系统安全防护体系方案,以解决军事信息系统使用中的安全问题。
4.1 数字证书
随着军队公钥基础设施PKI技术的日趋成熟,许多军事信息系统应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发,以数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。同时结合USB Key的优点,将数字证书的存储于USB Key中,可以保证数字证书不被复制和修改,从而保证数据证书的安全性。
完整的PKI系统是有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等组成,如图1所示。
PKI策略:PKI策略建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。
认证机构(CA):即数字证书的申请和签发机构,CA必须具备权威性的特征,也就是要经过国家有关部门的批准。在整个PKI系统中证书的签发机构CA将决定PKI系统的安全性和可靠性。
注册机构(RA):提供用户和CA之间的一个桥梁,它本身并不给用户签发证书,只负责接受用户的注册申请和初始鉴别。
数字证书库:用于存储已签发的数字证书即公钥,用户可由此获得所需的其他用户的证书。CA中心将在网站上公布用户证书信息,同时提供相关下载。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。它公布左右作废的证书信息。
应用接口(API):PKI的价值在于让用户能够方便地使用加密、身份认证和数字签名等安全服务。因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI进行交互,确保安全网络环境的完整性和易用性。
4.2 基于数字证书的系统安全防护方案
如图2所示,该方案由数字证书分发与认证系统、管理系统、中心服务系统和用户部门四部分组成。
方案中的几个部分互相联系,共同完成军事信息系统安全运行的各个流程。数字证书分发与认证系统是整个方案的核心,用户证书管理与安全审计是方案的前提,军事信息中心服务系统是实现各种信息系统功能的基础,共同服务于用户。
4.3 方案的特点和优势
上述方案引入了数字证书系统,以数字证书认证的方式,与网络技术、数据库技术相结合,较好地解决了军事信息系统安全应用的问题,有明显的特点和优势:(1)以数字证书认证的形式实时、准确记录用户访问状态,便于管理;(2)利用中心数据库存放所有军事信息系统数据,便于用户使用对应的系统功能;(3)与网络技术相结合,可以远程跟踪、监视和控制军事信息系统的安全运行状况,便于及时修复。
5 结束语
本文叙述了军事信息系统的特点,梳理了目前军事信息系统应用中面临的安全威胁,提出了军事信息系统安全防护需求,利用射频识别技术,提出了一种基于数字证书认证的军事信息系统安全防护方案,为较好解决军事信息系统的安全防护问题提供了新的思路和方法。
目前,军事信息系统在部队的军事效能发挥方面得到了广泛应用,但由于技术体制、软硬件设备固有缺陷等问题,确保其应用的绝对安全还需要进一步开展研究,只有将军事信息系统的安全防护问题彻底解决,才能实现武器装备信息化、作战保障信息化的根本目标。
摘要:在分析军事信息系统的特点及安全防护需求基础上,梳理了目前依赖于军队信息网络的军事信息系统面临的安全威胁,探讨常用安全防护技术在军事信息系统中的应用,提出了一种基于数字证书认证的军事信息系统安全防护方案,为较好地解决军事信息系统的安全防护问题提供了新的思路和方法。
关键词:军事信息系统,安全防护
参考文献
[1]童志鹏.综合电子信息系统[M].北京:国防工业出版社,2010.
[2]王晓峰,张则敏.军事信息系统的可靠性和安全性[J].电子产品可靠性与环境试验,2009(S1):170-174.
[3]王欣,姚佩阳.网络中心战指挥信息系统抗毁性研究[J].计算机工程,2011,37(5):97-99.
[4]樊莉.军事信息系统安全防御体系建设探讨[J].计算机安全,2009(2):90-92.
[5]解绍梅,郝威.海上编队信息系统安全防护需求分析[J].舰船电子工程,2013,33(1):20-22.
[6]杨槐,宫研生.军事信息系统安全问题研究[J].通信技术,2005,45(3):34-36.
[7]石玲玲.严晞隽等.指挥信息系统信息安全防护体系研究[C].第二届中国指挥控制大会论文集——发展中的指挥与控制,2014:187-191.
[8]张引兵,刘楠楠.身份认证技术综述[J].电脑知识与技术,2011.7(9):2014-2016.
[9]叶耀龙.信息加密技术在计算机网络安全中的应用探讨[J].网络安全技术与应用,2014(6):100-103.
企业移动应用安全方案 篇8
随着信息技术的普及, 电子化、数据化的工作方式已进入越来越多的企事业单位, 信息化建设在企事业内部编织起一套高效、畅通的信息互联体系, 极大推动了企事业单位生产力的发展。尤其是移动应用的出现, 打破了依赖固定工作场所和固定配套设备的时空限制, 跳出了固化的信息化建设模式。移动应用可以随时、随地、随手使用的信息系统, 使得公司管理者和员工不管置身何地, 都能随心所欲地和企事业内部信息系统关联。
移动应用给企业带来巨大便利的同时, 应用安全的问题却日益凸显。由于移动办公对企业IT基础架构的影响以及移动化在安全防护技术方面的滞后, 移动安全问题已成为企业移动信息化的一大障碍。究其原因一方面是移动安全的技术发展滞后, 另一方面是企业对移动应用安全重视不够。移动应用安全问题影响到企业开发实施移动应用的源动力和企业用户对移动应用的使用积极性。
2 移动应用开发模式
2.1 企业移动应用平台物理架构
企业移动应用平台物理架构如图1所示:
企业移动应用平台主要分为平台部分、后台应用系统部分和前端应用部分。从物理结构上看, 应用平台的计算机集群 (包括认证服务器) 、后台应用系统都是通过物理链路部署在企业内网的环境中。内网中各个系统间的通讯都是在局域网内, 所以, 速度快、安全性高。前端设备通过HTTPS协议和后台应用系统进行通讯, 前端应用数据要经过两道防火墙才能进入内网。两道防火墙之间是负载均衡服务器和中继服务器, 较好地提升系统稳定性和效能。
2.2 前端开发技术框架
2.2.1 前端技术选型
移动应用前端开发, 目前主流的是三种开发模式:原生开发模式、混合开发模式、Web开发模式。三种开发模式各有所长, 其特点对比如表1所示:
相对于互联网应用, 企业应用一般操作比较简单, 对本地终端操作较少, 而且考虑到企业员工移动终端的多样性, 再者跨平台也是企业应用的重要关注点, 为此, 混合的开发模式成为移动应用开发技术的主流。
2.2.2 前端技术框架
对于前端的技术架构, 主要分为两个层次:界面展现层、应用引擎层。前端技术架构图如图2所示:
界面展现层。分别为HTML技术处理界面展示、CSS技术处理页面展示、Java Script技术处理页面逻辑。
应用引擎层。 (1) 基本功能组件。处理基础的本地化服务, 包括:电话、短信、通讯录、地理位置、音频、视频、压缩、传感器、上传下载、本地存储以及异步通讯等。 (2) 第三方插件扩展。对于多变的业务需求, 应用引擎支持插件式的扩展, 其中包括:二维码、移动支付、同步、即时通讯、加密解密、消息等。
前端框架使用混合开发模式, 利用前端应用引擎强大的适配功能, 整合各种应用到各种移动平台 (IOS、Android) 。应用引擎虽然是混合开发模式, 但是, 也兼容原生开发模式和Web开发模式, 通过标准应用接口, 任何开发模式都可以迅速和应用引擎进行集成。
3 移动应用安全方案
3.1 权限控制
设定不同级别的用户服务权限, 各级别用户权限拥有相应的服务范围。为各级别用户设定移动终端应用的数据访问权限, 确保特定的权限访问特定的数据。
3.2 数据加密和解密
通讯数据传输通过加解密机制保证在网通讯数据的安全。存储在移动终端的数据, 以持久加密方式保存。临时缓存中的数据, 在操作会话结束后直接删除。
3.3 应用配置
配置后端应用服务信息, 例如服务地址、服务方式和服务权限。配置前端应用信息, 例如应用版本、应用开关、应用访问权限。
3.4 设备管理
对于终端设备访问权限管理。对设备进行远程管控, 包括挂失和锁定, 尤其对遗失中单设备远程禁用。
4 移动应用用户验证方案
4.1 手机首次登录验证
(1) 用户输入系统账号时, 程序自动读取已输用户名和手机数据库, 检查是否有该账号的登录记录, 若没有, 则会在用户名输入框下方加载验证码输入框和获取手机验证码按钮。
(2) 用户点击获取手机短信验证码按钮, 手机调用内网服务接口, 将用户输入的账号传递给服务端, 服务端检查该账号是否存在, 如果存在则向该账号关联的手机号发送一条验证码短信, 并记录到系统缓存中, 如果该账号没有关联手机号, 则返回给手机端没有绑定手机号码的指令, 手机端提示用户需要到电脑端绑定手机号。
(3) 用户成功获取并输入手机短信验证码, 继续输入账号对应的密码。
(4) 用户点击登录, 手机端获取当前手机唯一标示IMEI码, 将登录用户名、短信验证码、登录密码和手机IMEI码发至服务端。
(5) 服务端收到四个数据, 做短信验证码校验、密码校验之后, 将手机IMEI码保存到数据库中, 返回给手机端人员权限数据, 则用户登录成功, 进入使用界面。若校验不成功, 返回给手机端相应指令, 提示用户登录失败。
(6) 若用户登录成功, 手机端将用户名和手机IMEI码按照固定算法加密后保存到手机底层数据库中, 留作之后登录使用。
4.2 用户第二次登录
用户使用手机不改变登录账号情况下登录时, 需要通过验证手机IMEI码获取登录许可。
(1) 用户输入系统账号时, 程序自动读取已输用户名和手机数据库, 检查是否有该账号的登录记录, 若账号和手机IMEI码验证成功, 则不需要做任何提示, 等待用户输入密码。
(2) 登录过程中手机端将用户名、密码和手机唯一标示IMEI码发送至服务端, 服务端先进行用户名和IMEI码的认证, 然后进行账号密码验证, 将验证结果及其他数据信息返回给手机端。
4.3 切换用户登录
用户使用手机切换登录账号情况下登录时, 需要通过短信验证码的方式重新获取登录许可。
(1) 用户正常输入用户名和密码, 点击登录。
(2) 当用户名输入框失去焦点时, 程序自动读取已输用户名和手机数据库, 检查是否有该账号的登录记录, 若账号和手机IMEI码验证失败, 则按照首次登录验证方法进行验证。
4.4 手机遗失处理
当用户手机遗失后, 可通过修改服务端存留的手机IMEI码进行限制登录。
(1) 用户发现手机遗失后, 可通知系统管理员, 管理员在管理界面查询该用户手机IMEI码, 并将IMEI码添加到黑名单中, 丢失的手机就无法使用手机端登录。
(2) 用户发现手机遗失后, 还可以直接用电脑登录修改个人关联的手机号码, 然后用其他手机重新绑定自己的账号, 这样丢失的手机也无法再登录。
(3) 当发现遗失手机有登录请求时, 移动端自动删除手机端的任何保存信息, 保证系统数据不会被窃取。
5 结语
移动应用开发模式, 目前主流的有三种, 即原生开发模式、混合开发模式、Web开发模式, 在开发企业应用时, 一般选择混合开发模式或者Web开发模式。移动应用数据和移动应用的界面信息可以来自静态代码, 也可以从服务器端生成。除了笔者提出的单点登录方案之外, 在本文技术实现基础上还可以应用在企业移动应用服务器端动态生成代码的方式, 动态生成单点应用, 移动应用从服务端获取代码, 实现单点的动态配置。希望本文可以给从事移动应用开发, 尤其是企业内部多个移动应用开发的相关人士或单位提供参考。
摘要:在市场竞争日益激烈、企业运营效率和管理精细度日益提高的当今社会, 作为提高企业效率的重要手段之一的企业移动应用迅猛发展。但是, 移动应用安全问题在整个IT行业却没有得到足够重视。基于此, 主要研究企业移动应用的安全防范方案, 运用一些技术手段尝试提高企业移动应用的安全性。
关键词:企业,移动应用,信息安全
参考文献
[1]李新辉, 邹绍芳.Android移动应用开发项目教程[M].北京:人民邮电出版社, 2014.
[2]雷擎, 伊凡.基于Android平台的移动互联网开发[M].北京:清华大学出版社, 2014:107-111.
安全防护方案 篇9
1.1 火电厂二次系统安全防护总体方案
根据《电力二次系统安全防护规定》的要求,火电厂二次系统原则上划分为生产控制大区和管理信息大区。生产控制大区可分为控制区(安全区I)和非控制区(安全区II)。安全防护的重点是保证电厂监控系统的安全可靠。总体目标包括:
(1)防止发电厂监控系统服务等核心业务(即电力生产)中断。
(2)防止发电厂监控系统本身崩溃。
(3)抵御外部人员对发电厂监控系统发起的恶意破坏和攻击,及可能对相连的调度自动化系统的影响。
(4)防止利用病毒、木马等恶意程序,从发电厂监控系统局域网内部发起的对电力生产及相连的调度自动化系统的恶意破坏和攻击。
(5)保护发电厂监控系统实时和历史数据,主要防止数据被非授权修改。
火电厂二次系统安全防护总体方案如图1所示。
1.2 安全防护实施总体策略
1.2.1 安全分区
根据系统中业务的重要性和对一次系统的影响程度进行分区,所有的系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。
1.2.2 网络专用
建立调度专用数据网络,实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联在相同的安全区进行,避免安全区纵向交叉。
1.2.3 横向隔离
采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与管理信息系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。
1.2.4 纵向认证
采用认证、加密、访问控制等手段实现数据的安全传输以及纵向界的安全防护。
2 某电厂二次系统安全防护方案
2.1 某电厂各二次系统业务需求
2.1.1 SIS系统
厂级监控信息系统SIS主要是对全厂实时信息的管理和显示。它接收由机组级DCS网络、辅助系统监控网络、电气网络控制系统NCS、烟气脱硫DCS、电气网络控制系统FECS、机组振动监测TDM等系统来的信息并将相应的主要实时信息传送到厂级管理信息系统。
SIS系统设置有接入交换机、过程实时数据服务器、核心交换机、网络综合管理站、值长站、工程师站、镜像服务器、WEB服务器等。设备均布置于SIS间SIS机柜中。
SIS信息需送至MIS系统,供厂级管理人员浏览。为此,设置了镜像服务器和WEB服务器,MIS所需SIS信息均从此两服务器上读取。
某电厂SIS系统网络拓扑结构图参见图2。
2.1.2 MIS系统
厂级管理信息系统MIS主要是对全厂非实时信息的管理和显示(如人事管理、备品备件的管理),它的终端在生产办公楼,为厂级管理人员服务的。
MIS系统的中心交换机放置在化水车间三层,其它交换机放置在集控楼、行政办公楼、材料库、检修楼、输煤配电楼、检修公寓、运行公寓。
MIS系统目前仅从SIS系统和电能计量系统读取相关数据。
图3某电厂二次系统横向防护方案Fig.3 Transverse protection scheme for a power plant
2.1.3 RTU系统
电厂配置一套上海惠安公司微机远动装置,采集电厂500 k V出线、发电机组、高压厂用变、高压公用变、起备变相关远动信息。远动信息通过电力调度数据网及专用通道送至华中网调及湖北省调,并接收网调的AGC命令。
RTU系统与电厂其它系统目前暂无信息交换。
2.1.4 PMU系统
电厂PMU采用CSS-200相量测量装置。采集电厂两回出线、升压变及机组信息。
PMU采用电力调度数据网方式将相角信息传送至华中网调主站系统。
PMU系统与电厂其它系统目前暂无信息交换。
2.1.5 保护及故障录波信息子站系统
电厂保护及故障录波信息子站系统采用武汉中元华电公司的ZH-201产品,实现对厂内保护和故障录波信息的统一管理,并将保护和故障录波信息通过电力调度数据网发送至调度端。
厂内保护装置(含发变组保护和起备变保护)、中元华电集中录波装置、通过以太网口接入保护及故障录波信息子站系统专网。
保护及故障录波信息子站同时通过以太网口接入厂内NCS,实现信息共享。
保护及故障录波信息子站系统与厂内其它系统目前暂无信息交换。
2.1.6 电能计量系统
电厂配置了一套电能计量系统,采用北京煜邦电力技术有限公司产品。电能计量系统以电力调度网络和拨号方式将电能量数据上传至调度端。
电能计量系统数据需送至MIS系统,供厂级管理人员浏览。
2.1.7 辅助报价决策系统
辅助报价决策系统的主要功能包括:市场外部信息分析(包括负荷分析)、负荷预测、报价决策、结算/评估、预调度计划、风险分析、敏感性分析、机组安全域分析、机组组合、与管理信息数据接口软件(包括:合同管理、成本分析、燃料管理、检修计划)等。
辅助报价决策系统需读取电能计量系统数据。
因华中电网电力市场技术支持系统的方案还未确定,某电厂尚未建立此系统。
2.2 二次系统的安全区划分
根据二次系统的特点,各相关业务系统的重要程度、数据流程、目前状况和安全要求,将某电厂整个二次系统分为两个大区:生产控制大区和管理信息大区。
2.2.1 生产控制大区
(1)安全区I:实时控制区
安全区I的典型系统包括机组DCS、水煤灰系统、烟气脱硫DCS、机组振动监测系统TDM、电气网络控制系统FECS、RTU、PMU、NCS。其主要使用者为调度员和运行操作人员,数据实时性为秒级。
安全区I是电力二次系统中最重要的系统,安全等级最高,是安全防护的重点与核心。
(2)安全区II:非实时控制生产区
安全区II的系统包括厂级监控系统SIS、保护及故障录波信息子站系统、电能量计量系统等。该区数据的实时性为分钟级、小时级。
安全区II的SIS系统需采集安全区I的DCS、水煤灰系统、烟气脱硫系统、TDM、FECS等系统的信息。
2.2.2 管理信息大区
目前仅考虑安全区III。该区中的业务系统或功能模式的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,该区包括管理信息系统(MIS)、办公自动化系统(OA)客户服务、辅助报价决策系统等。该区的外部通信边界为发电企业的广域网络及因特网。
电厂的SIS镜像服务器、WEB服务器也位于安全区III,实现对II区SIS系统数据库的同步。辅助报价决策系统需读取II区电能计量系统及发电报价终端系统的数据。
2.3 二次系统安全防护方案
电厂二次系统横向安全防护方案如图3所示。
电厂二次系统纵向安全防护方案如图4所示。
电厂二次系统安全防护采用链式结构。在安全区II与管理信息大区之间部署专用隔离装置,安全区I与管理安全区之间禁止直接的信息访问,安全区Ⅰ和安全区Ⅱ之间采用防火墙等隔离设备实现互连。
2.3.1 横向安全防护方案
(1)厂内安全I区的NCS、DCS、TDM、水煤灰系统、烟气脱硫系统、FECS均需接入位于安全II区的SIS系统,根据SIS系统已有结构,并考虑对现有SIS系统进行尽可能少的改造工作,在各系统与接口机之间布置分散的防火墙。各业务系统通过防火墙接入SIS交换机后,实现信息的互联。
(2)厂内线路保护装置、断路器保护装置、母线保护装置、发变组保护装置、起备变保护装置等位于安全I区。上述保护装置需接入位于安全II区的保护及故障录波信息子站。目前上述保护装置中线路保护装置、断路器保护装置、母线保护装置采用以太网口方式接入以太网交换机,发变组保护装置、起备变保护装置经RS485/以太网转换装置后也采用以太网方式接入交换机。在以太网交换机与II区之间装设防火墙,实现保护信息的安全接入。
(3)厂内的电力市场报价终端部署在安全区II,与运行在管理信息大区的报价辅助决策系统的信息交换需通过专用的横向隔离装置。
(4)厂内MIS系统、生产管理系统均部署在管理信息大区,对厂内SIS系统及其它位于生产控制大区的系统的信息访问需通过专用的安全隔离装置。
2.3.2 纵向安全防护方案
RTU、PMU等实时信息系统属于安全区I内的系统,接入电力调度数据网接入设备VPN1;保护及故障录波信息子站、电能量计量系统等系统属于安全区II内的系统,接入电力调度数据网接入设备VPN2,在纵向上均需加装IP认证加密装置(本期工程预留费用,与华中公司同步建设)。
2.3.3 其它防护
(1)在安全区II、III区统一部署一套IDS(入侵检测)管理系统。IDS探头主要部署在安全区II、III的边界点。
(2)在II、III区各部署一套网络防病毒系统,具体的防病毒服务器升级中心可设置在II区、III区的通信网关机上,并且必须以手工方式下载病毒库经严格检验后以光盘或其它移动设备方式更新,禁止跨区连接更新,II区内所有机器分别连接到相应的防病毒服务器进行病毒库的更新;安全III区的防病毒服务器可直接连接到Internet上更新病毒库,Ⅲ区内所有网关机和主站等直接连接到防病毒服务器自动更新病毒库。
(3)在II区配置工控机,并在该工控机上安装专用的物理隔离装置监控程序,实时收集监控物理隔离装置的状态信息,同时将物理隔离装置的工作信息通过调度数据专网实时传送到华中网调的安全集控中心,以便实时掌握物理隔离装置的工作状态和网络流量情况。
(4)II区和III区分别配置通信网关机,在这些通信网关机上安装专用的跨物理隔离传输软件,用于构建II区和III/IV区之间的文件和数据单向传输通道。
(5)建立完善的安全管理组织机构。
3 相关系统改造及设备布置
3.1 SIS系统改造
原SIS系统中仅机组DCS(#1机组DCS、#2机组DCS、公用DCS)与接口机之间布置了防火墙,本次安全系统改造需在水煤灰辅助系统监控网络、NCS、FECS、TDM与接口机之间各增加1套防火墙。新增防火墙安装于SIS接口机柜上。
SIS与MIS之间原已布置了正向物理隔离装置(与SIS系统配套购置),光电转换装置分别布置于相应系统的屏上,光缆也已敷设,本次改造,为增强安全性,新增1套正向物理隔离装置。
3.2 保护及故障录波信息子站系统改造
原保护及故障录波信息子站各套保护装置通过以太网交换机与子站相连,NCS与子站直接相连以及以太网交换机直接接入电力调度数据网接入设备,从而造成I、II区的直接跨区互联。本次改造,在子站与以太网交换机之间新增1套防火墙,布置于保护及故障录波信息子站管理屏上。原子站与NCS之间的连接改至NCS经防火墙与子站相接。原子站经以太网交换机直接接入电力调度数据网接入设备,改造后经防火墙再接入电力调度数据网接入设备。
新增防火墙电源取至屏顶UPS。
改造前保护及故障录波信息子站系统联系图如图5所示。改造后保护及故障录波信息子站系统联系图如6所示。
3.3 新增屏柜
在500 k V网络继电器室新增1面II区安全防护屏,装设II区交换机、II区通信网关、隔离装置监控工控机、IDS、电源切换装置及光电转换装置和光纤接口盒。从屏顶小母线各引1路UPS电源及1路220 V交流电源至切换装置,经切换后供各设备使用。
在SIS交换机柜上新增1套光电转换装置及1套正向隔离装置,在SIS接口机柜1上新增2套防火墙设备、1套电源切换装置;在SIS接口机柜2上新增3套防火墙设备。从#1电子设备间UPS公用屏引1路UPS电源,另从屏顶引1路220 k V电源至电源切换装置,切换后的电源供新增防火墙设备及光电转换装置使用。光纤接口盒则利用屏上已有光纤接接口盒。
在化水车间三层新增1面III区安全防护屏。屏上装设III区通信网关机及IDS。电源取自MIS机房UPS电源。
电厂二次系统安全防护系统设备联系图如图7所示。
4 结语
电厂按照“安全分区、网络专用、横向隔离、纵向认证”的原则,对二次系统进行了安全分区,采用链式防护结构,在相关部位布置了防火墙、安全装置、安全文件传输系统、通信网关机等防护设备。目前,该系统已投入运行,有效地提高了电厂二次系统数据通信和监控过程的安全性,与即将实施的纵向安全防护体系一起,构成电厂较为完善的安全防护体系。
摘要:某电厂按照“安全分区、网络专用、横向隔离、纵向认证”的原则,对二次系统采用链式防护结构,在相关部位布置了防护设备。介绍了某电厂二次系统安全防护方案的设计与实现,并详述了该电厂二次系统安全防护设备的配置及对相关系统的改造。
关键词:电厂,二次系统安全防护,改造
参考文献
[1]电力二次系统安全防护规定(电监会5号令)[S].2004.
安全防护方案 篇10
1. 安全问题
由于程控交换机机型多样, 从设备的接口类型上, 可将服务器的网络结构分为以太网方式和串口方式。其中, 以太网的连接方式, 是在程控交换机所提供的TCP/CP接口处, 通过以太网的方式与服务器相连接, 服务器多采用ZXJ10、CAC08等数据可操作系统。而串口方式连接, 主要是针对程控交换机系统所提供的X.25接口, 通过接口机连接DCN网络。在交换机内部系统中, 其使用的是基于UNIX操作系统如S1240等私有操作系统。
程控交换机的服务器, 为前台程控交换机与后台管理系统进行数据交互提供了最基本、最重要的平台, 它不仅要完成数据库的相关功能, 同时在维护中断与交换机之间起着重要的通信桥梁的作用。在一般企业装置中, 程控交换机服务器以及其相关设备主要通过能够支撑系统互联的数据通信网DCN连接。由于无法保证终端设备的安全性, 使整个数据通信网DCN处于十分危险的状态, 对交换机的安全运行造成了极大的安全隐患。特别是病毒发作时期, 其直接或间接造成的经济损失无可估量。根据相关的分析标准,
从操作系统安全级别分析, Windows操作系统与UNIX操作系统都属于C2级别, 而基于UNIX操作系统或UNIX操作系统的安全级别低于Windows操作系统。对系统的安全漏洞方面进行分析, 系统安全漏洞存在于每个操作系统。目前全球使用最广泛的操作系统Windows操作系统, 使用者及媒体越来越关注其系统安全漏洞, 同时, 在基于UNIX操作系统或UNIX操作系统中也存在着大量的安全漏洞, 比如UNIX系统补丁的不断出现。因此, 对于程控交换机服务器的终端和网络采取安全防护措施势在必行。
2. 安全防护方案
2.1 不使用通用防病毒软件
在一般家庭用户或企业中, 常采取的防病毒方案是在计算机上安装防病毒软件, 实现计算机的安全防护。但是如果电信级的交换设备使用时, 由于防病毒软件主要是用于杀毒而不是主动进行安全防护, 其缺陷十分明显。主要表现在:
第一, 在电信级的交换设备上使用防病毒软件, 如果没有对系统进行严格的测试, 其对设备带来的安全隐患及影响是无法估算的。特别是当系统软件进程与防病毒软件进程出现冲突时, 导致的局部数据丢失、话单丢失等事故, 将会带来严重的经济损失。
第二, 即便是通过严格测试的第三方防病毒软件, 因为此防病毒软件不能与交换软件进行定制更新, 面对新病毒的不断增加, 因而不能提供实际意义上的安全防护, 由于其占有了大量的系统资源, 对后台系统的处理性能也造成影响。当系统出现安全问题时, 容易出现软件提供商与设备商之间相互推诿的情况, 阻碍了问题处理进程。
第三, 对于现在的防火墙产品或防病毒软件, 其病毒特征码的更新周期一般保持在一周一次, 由于频繁的系统更新容易增加维护压力。如果保持一个月更新一次病毒特征码, 完成此项工序也至少需要两周半时间, 更新所占用的时间较长, 其病毒特征码也相对滞后了两周, 因而系统又面临着新的安全隐患。并且具有较高的维护成本, 十分不可取。
2.2 安全防护方案
面对日益突出的网络安全问题, 以服务器安全运行为出发点, 对单纯的杀毒、查毒防病毒方案进行改进, 采取了针对服务器系统安全防护方案。此方案并不是一个简单认证的防病毒软件, 二是根据系统安全领域内收集到的安全案例、并认真研究和分析了网上常见病毒、攻击等相关事件, 同时吸收了防火墙产品、防病毒软件等优点, 去其糟粕, 结合程控交换机服务器系统的自身特点, 而研制出来的安全防护方案, 效果十分显著。
(1) 程控交换机服务器硬盘监控服务。通过采用交换机服务器硬盘的监控系统, 当服务器出现故障时, 能够实现近端工作站、告警箱以及网管中心的远端工作站的直接告警, 让工作人员能够对服务器的硬盘挂账及时发现, 及时解决问题。同时, 采用此监控服务, 促进了服务器BAM的安全稳定运行, 对维护人员的工作量大大降低, 提高了工作效率。
(2) 程控交换机服务器系统联网备份服务。采用交换机服务器系统联网备份服务, 对于与交换机服务器保持正常网络连接的任何一台局域网中的计算机, 都能及时自动备份交换机服务器系统中重要的指定性文件, 同时还可以对指定的BAN中十分重要的数据进行自动备份。
(3) 操作系统平台定制服务。采用操作系统平台定制服务, 主要是优化NT操作系统, 网络协议配置、安全优化SQL数据库、账号检查、硬盘、端口、规则优化、系统服务优化、设置注册表键值、访问控制权限以及目录或文件的访问权限等, 屏蔽服务器与外界接口, 给交换机服务器系统隐形的增加了一套防火墙, 对服务器协议信息、端口进行严格控制, 同时实时保护了账户、密码信息, 对计算机病毒以及黑客入侵服务器系统的机率进一步降低, 使服务器的安全防护能力进一步提高。
(4) 交换机增加应急工作站服务。此工作站实际是交换机BAM的物理备份, 在此工作站中, 安装了与服务器系统相同的MS SQL服务器数据库以及Windows NT系统, 能够对交换机服务器的局数据、话单的备份工作自动完成。应急工作站最好安装在交换机机房内, 当服务器出现故障后, 能对系统进行及时切换, 此时, 替换故障的服务器系统担任了一个临时的工作平台。
(5) 建立信息安全管理规范服务。服务器的安全运行不仅要具备优质的设备质量, 同时更需要对设备进行有效的维护管理, 因此建立一套科学的、实用性强的交换机服务器信息的安全管理规范十分必要。通过确立审计检查制度、安全问题处理、信息保密、计算机操作平台使用、账号管理等规范, 从制度流程上对交换机服务器进行安全防范, 尽量降低人为因素对交换机服务器系统的影响, 对交换机服务器的防病毒业务操作进一步规范和完善, 确保交换机服务器运行的安全稳定性。
3. 结语
相对于一般服务器防病毒、黑客等安全防护方案, 具有显著的优势和特点。采用以上安全防护方式, 不仅能够增强程控交换机服务器系统的防范黑客和病毒攻击的能力, 同时也大大降低了维护人员的维护压力, 降低了维护工作量、维护成本也相对减少, 提高了工作效率, 是一个技术领先、理念先进、具有可持续发展的全方位解决方案, 为抵御病毒冲击、黑客入侵, 提供了良好的防护措施。
摘要:随着计算机技术的不断发展, 通信设备的不断更新, 做好程控交换设备的安全防护工作十分重要。特别是对于程控交换机服务器的运行方面, 随着计算机病毒的不断入侵, 严重危害了其运行的安全稳定性, 因此, 对其服务器做好安全防护工作尤为重要。本文通过对程控交换机的安全防护等相关问题进行分析, 提出了程控交换机服务器相关的安全防护措施。
关键词:程控交换机,服务器,安全防护
参考文献
[1]张丹, 程控交换机故障诊断与维护研究[J].科技创新导报, 2008 (17) .
[2]孙莉萍, 试析程控交换机机房和设备的管理维护措施[J].企业导报, 2009 (3) .
[3]王蔚, 白永坤, 龙思朝, 浅谈程控交换机如何防雷[J].科技经济场, 2007 (8) .
[4]秦爱民, 浅谈程控交换机故障处理[J].科技创新与应用, 2011 (22) .
[5]刘春燕, 浅谈程控交换机的数据备份与恢复[J].重庆邮电学院学报 (自然科学版) , 2006 (z1) .
安全系数80%的理财方案 篇11
邓先生是国家公务员,保障比较全面;妻子有基本医疗保险、银行养老金和重大疾病保险。家庭收入每月有结余3750元,目前存款8万元。尚无子女。还有房贷5万元未还清。邓先生属于风险厌恶型,想选择安全系数能达到80%的理财方式。
理财目标
1、合理安排家庭支出,平衡家庭财务杠杆。
2、计划两年后买一辆10万元的车。
资产分析
1、资产负债分析
邓先生资产主要是房产市值、现金及活期存款共计680000元;负债主要是按揭贷款,共计50000元。
偿付比率=净资产,资产-630000/680000=0.93;负债收入比率=负债/收入=50000/89400=0.56。数据说明邓先生家庭负债率很低,偿付能力很强,暂时不会遇到财务透支问题。但邓先生家庭资产中固定资产占比很大,未来承受债务空间已经不大。
2、收入支出分析
邓先生是公务员,收入稳定,保障比较全面,家庭年收入约为89400元。支出主要是按揭贷款、生活支出及其他支出,全年共计支出约40400元。
储蓄比率=盈余,收入=49000/89400=0.55,表明家庭可用于财富积累的资金相对适宜,未来家庭财富将稳步增长。
3、其他财务分析
房产情况:按揭贷款购房一套,市值600000元,尚有50000元贷款余额,月供400元。房屋按揭贷款如何处理是一个值得思考的问题。
保障情况:邓先生是公务员,保障比较全面。妻子除了基本医疗保险和银行养老金之外,还有重大疾病保险。对于二人家庭而言,意外险还是有必要买的。
教育基金:目前没有小孩,暂时不用考虑储蓄教育基金,可以在计划要小孩之后再进行教育基金的规划。
总之,邓先生家庭财务比较平衡,暂时不会出现财务透支问题,资产负债结构相对简单,但是资金投资方式单一,投资产品收益低,资产增值速度慢,影响了家庭资产的积累。
理财建议
1、精打细算,加强财富积累。
纵观邓先生家庭的支出细项,交通费支出一项达1100元,月,占家庭月总支出的近1/3,偏高,建议缩减,在不必要的情况下尽量选择公共交通出行。
严格控制支出,交通费每月支出500元,其他费用也相应削减,调整后,邓先生家庭每年可以净积累财富57400元;家庭新的储蓄比例调整为0.65,这在当前的经济形势下是比较合理的。
2、不急于提前还清房贷。
目前房贷利率处于历史同期低位,如果符合相关条件,还可以享受7折的优惠利率。预计未来2-3年,我国仍将维持目前的利率水平。因此,建议邓先生继续选择月供方式还款,不用着急还清房贷。
3、留足家庭备用金。
家庭紧急预备全一般应准备4-7个月的固定开支比较合适,根据邓先生调整后的家庭支出,该笔资金约为15000元。该部分资金的存放形式,一是可以为货币基金。目前市场上的货币基金7天的年化收益大约在1%-2.5%左右,买卖均没有手续费,T+2交易模式足以满足流动件需求。二是理财套餐功能,如中信银行的理财宝功能,既能享受活期的便利义能享受定期收益,保证了一定的流动性,又保持了一定的收益水平。同时,我们建议邓先生办理一张信用卡,充分利用最长可达56天的免息还款期,作为日常现金的替代。
4、购车计划。
由于现在家庭的可流动性资产为80000元,未来两年内还可以积累一笔大约12000元的资金,这样总计将达100000元,完全可以一次性全款付清汽车款。但是汽车属于消费品,即买即损品,是不会给家庭带来任何额外收益的资产,因此这部分支出不要占用太多家庭现金资产。故我们建议,家庭可以采用贷款的力式购买汽车。假定购买汽车首付40%的款项,那么首付款为4万元,余下的6万元采用银行贷款的方式逐步付清。银行5年期贷款利率为5.76%/年,月供款约为960元/月。按照目前邓先生家庭收支情况分析,购车之后交通费一项支出基本没有了,因此该笔月供款是完全有能力支付的。我国尚处于经济上行区间,如果将剩余的6万元用于投资,将能充分享受中国经济高速发展的成果。
5、投资舰划。
投资的思路主要还是实现收支平衡,尽量积累多的财富。分散投资,适度增加权利类投资,分享未来中国经济增长的成果。
货币基金。货币基金没有认购费、申购费与赎回费,管理费也比股票型基金低,而且大部分货币基金的投资门槛为1000元。大幅降息后,债券价格上涨,货币基金浮动盈余增加,短期内货币基金仍将出现较高的年化收益率,预计未来1—3个月内会在3%-4%。货币基金大多采取T+2交易模式,因此在考虑流动性因素后,可将目前持有的活期储蓄部分购买货币基金,既保证流动性又获得高收益。
债券型基金。可考虑购买中信证券推出的主要投资高信用等级公司债等固定收益类产品——中信“债券优化”集合理财计划。这款理财产品剥所购公司债进行定期跟踪,定期评级,一旦风险超过安全边际,就会及时调整债券种类,确保投资者资金安全。截至3月30日,该集合计划净值为1.0165,年化收益达7%,远高于市场同期涨幅。近期,中信证券又推出了该计划的升级版——中信证券“聚宝盆”伞形集合资产管理计划,该计划分三个独立帐户运作,稳健、积极和成长3类,而且帐户之间还可以互相转换,可实现便捷最大化和投资收益最大化。邓先生也可根据自身情况进行选购。
银行理财。随着国家宏观政策的调整,特别是近期创业板块IPO的启动,新股市场可能会再次迎来一轮高潮,因此新股类理财还是有一定的空间的;信贷类产品大多属于银行转让优质信贷资产,风险和收益相对比较平衡,也是不错的选择。
Web安全登录方案研究 篇12
1 安全漏洞
当前流行的Web网站登录方式是采用form表单登录, 用户输入用户口令并提交, 服务器根据用户输入的口令作为数据库查询语句参数, 进行验证登录。 但是这并不安全, 登录安全问题根据口令选择以及攻击路径分为: 传输安全、 口令安全、 存储安全。
1.1 传输安全
(1) 伪造服务器[3]: 攻击者伪造一个认证服务器, 放置在用户和真实服务器之间, 当用户向服务器发送登录信息时, 伪造服务器接收登录信息, 并传送给真正的认证服务器, 并把通过认证的用户信息保存下来。
(2) 网络数据流监听: 监听网络传输的认证数据, 一些静态口令在传输过程中采用明文方式传输, 攻击者容易分辨出用户口令, 进行身份认证。
(3) 认证数据截取/重放: 即使在用户身份认证过程中采用密文方式传输, 攻击者无法得到明文形式的口令, 但可以截取加密后的口令, 实施重放同样可以进行登录。
1.2 口令安全
用户口令安全主要是指口令在本身使用过程中产生的安全性问题。 攻击者可以通过穷举、 猜测、 字典攻击、 盗窃等途径获得口令。
(1) 字典攻击: 因为大多数用户习惯使用一些单词或者数字作为口令, 攻击者根据这一特点就会使用字典中的单词尝试登录获得正确口令。
(2) 穷举尝试: 这种攻击方式是通过有限的字符串全集作为字典进行穷举攻击, 是一种特殊的字典攻击。 建议用户口令不能太短, 否则很容易被穷举出来。
(3) 口令猜测: 根据用户个人信息进行猜测攻击。
(4) 窥探: 一般是是指攻击者利用接近被攻击者的机会, 安装监视器或者亲自窥探合法输入口令的过程。
1.3 口令存储安全
口令在系统存储过程中若采用明文形式或者采用简单的加密算法进行存储口令, 那么一旦数据库被攻击者攻破, 攻击者可以根据存储的口令直接或者通过解密获得所有用户登录的口令。
2 安全需求
经过分析一个网站要实现安全登录, 安全需求需要满足一下几个方面:
(1) 认证: 服务器认证用户身份这是安全登录的基本要求, 但是客户端也要认证服务器, 为了防止攻击者通过DN欺骗或者伪造服务器攻击。
(2) 加密传输: 防止用户口令在不安全的信道通信时被攻击者监听、 截取、 重放, 从而假冒用户登录。
(3) 口令验证[4]: 为了防止用户输入格式非法, 不能把用户输入的口令直接作为数据库查询的参数, 应对口令进行摘要计算取值, 把摘要值作为参数。 在验证过程中, 口令的验证应存储在系统中, 而不是直接通过数据库查询判定。
(4) 用户身份智能识别: 为了防止攻击者非法获取用户口令后, 冒充用户登录, 应对通过口令验证的用户做一次身份界定。
(5) 口令存储: 口令存储分服务器存储和客户端存储。考虑到客户端一般是公用的设备, 因此客户端不应存放口令。服务器端存放口令表, 为了防止服务器一旦被攻破, 泄露所有用户口令, 应采取加密存储。
3 Web安全登录方案
根据漏洞分析和安全需求提出一种利用hash摘要算法加密传输、 AES算法加密存储、 Web日志挖掘智能识别用户身份相结合的安全登录方案。
3.1 方案分析
为了充分结合静态口令和动态口令技术的优点, 在利用hash摘要算法加密的过程中, 加入随机数[1], 使得用户登录网络传输中密钥的信息各不相同, 随机数这里用验证码代替[6]。有效防止了重放攻击和监听截取分析获得口令的攻击。
在口令存储时, 采用一般的加密方法, 起不到安全存储作用[7]。 例如摘要算法MD5, 攻击者可以通过字典攻击方式, 对字典中数据取摘要值进行比对可以快速获取用户口令, 因此不可取。 在加密算法中, 对称算法加密速度要快于非对称算法, AES在对称算法中安全性和加密速度整体优于其他算法, 因此采用AES作为口令存储加密算法。 为了提高算法的破解难度以及服务系统被攻破的风险, AES算法对每个口令采用不同的密钥, 并且密钥由动态部分和静态部分组合而成, 提高破解难度。
为了防止攻击者通过窥探或者其他方式获得口令假冒用户登录, 采取通过Web日志挖掘[5]和机器学习的方式建立智能识别用户身份系统。 该系统根据用户日常行为, 智能识别用户登录身份信息, 并根据此次登录情况修改用户特征库。
用户的行为分析是根据用户的登录IP、 登录时间、 登录硬件设施和登录后的一些操作等记录, 对这些记录日志进行预处理、 分析、 归纳得出用户特征库, 获取用户习惯行为一些量化指标。 在用户登录或者执行一些操作的时候通过用户特征库进行匹配, 匹配度达到一定阀值则登录成功, 否则需要通过回答问题进一步进行验证。 其中建立用户行为特征库的示意图如图1 所示。
3.2 登录过程
该方案包括认证服务器模块、 用户登录模块、 传输模块、验证模块以及口令存储模块和智能识别用户身份模块。 如图所示。
3.2.1 客户端认证服务器模块
为了防止DNS域名解析欺骗攻击, 该模块采用PKI技术, 利用第三方CA认证, 通过数字证书验证服务器身份的真实性, 验证服务器身份后, 客户端与服务器的数据通信可以采用对方的公钥和各自的私钥进行数据加密传输, 提高传输安全性。
3.2.2 用户登录模块
(1) 为防止暴力破解, 采用方案是验证码技术和登录规则制定。 登录规则包含: 1) 可信IP规则; 2) 在一定时间内同一用户名登录错误次数限定冻结用户名规则; 3) 在一段时间内同一IP提交登录次数限定封禁IP登录权限规则等。
(2) 为防止密码被猜测攻击, 注册时给出账号密码输入位数提示及密码强度提示。 例如设定密码最少为7 位, 最大为20 位; 密码强度分为5 个等级:
弱:密码只含有一种字符。
普通:密码含有2种字符。
中:密码含有3种字符。
强: 密码含有4 种字符。
非常强: 密码含有至少4 中字符并且不重复。
其中常用的字符类型为: 数字 (0~9) 小写字母 (a-z) , 大写字母 (A-Z) , 特殊字符 (! @#$%^* () _-`·& [] {} |) 。
(3) 为防止SQL注入攻击, 对输入的账号密码信息进行字符过滤, 因为传输前会对密码进行哈希摘要算法取得摘要值作为口令, 可以有效避免SQL注入攻击。
3.2.3 密码传输模块
该模块采用对口令进行hash加密, 加密时使用验证码作为随机数, 这样即使攻击者得到多个加密后的密码, 也无法破解, 无法重放。
3.2.4 口令存储模块
存储模块主要是用在用户注册存储密码时的安全模块。存储时采用AES算法加密存储, 首先对口令先做一次MD5 摘要算法, 在通过AES算法加密。 AES加密密钥分为2 部分, 分别是静态部分和动态部分。 静态部分存在配置文件里, 动态部分根据注册的用户动态随机生成存在数据库中。 使得每个账号有一个独立的加密密钥, 动态部分和静态部分连接在一起就是完整的加密密钥, 有效加强了密钥的安全性, 加大了口令的破解难度。
3.2.5 智能识别用户身份模块
上面虽然有很多防范攻击者的措施, 但是由于本方案采用的是静态口令, 静态口令有着固有的缺陷, 例如用户口令一般比较短而且容易被猜出, 或者接近用户进行窥探等。 为了解决这方面安全漏洞, 采用智能识别用户身份, 通过用户行为分析来识别登录的用户身份。 其中用户行为特征分为两个部分, 一部分是系统设定用户登录规则, 一部分是根据用户登录行为分析得到用户登录的特征存储在特征库里, 当用户登录时满足这两部分规则就可以正常登录, 如果不满足则需要进一步验证。
验证方式分3 种:
(1) 根据注册时填写的手机号, 发送验证码进行验证登录。
(2) 如果注册时没有填写手机号或者手机号信息有误, 则根据注册时填写的邮箱进行验证。
(3) 如果手机和邮箱都不能进行验证, 则根据用户行为信息给出一个问题, 回答正确则进行登录, 否则不能登录。
4 安全性能
该方案在保证安全性的前提下, 使得登录效率高, 耗费系统资源小, 具有高易用性和兼容性。
4.1 安全性
该方案对登录过程中出现的安全漏洞进行分析整理, 并给出了完善的解决方案。
采用了第三方的认证服务, 防止攻击者利用DNS欺骗用户的攻击方式。 为防止暴力破解采用了验证码技术[6]和制定登录规则。 在登录信息传输过程中, 采用加密措施 (MD5、 组合算法、 SHA1, 算法简称MCS算法) 保证了传输的安全性及信息不可重放性。 存储密码时不采用存储明文形式, 也不仅仅用加密算法MD5 或者SHA之类的算法进行加密, 而是采用AES算法对密钥明文MD5 的密钥加密。 AES密钥分成两部分存储, 一部分动态生成单独存储在一张表里; 一部分为固定值, 存储在配置文件里, 有效抵御拖库后的风险。 通过We挖掘日志智能识别用户身份防止了非法用户的登录, 提高了登录安全的可靠性。
4.2 性能
该方案采用MD5/SHA1 算法效率快, 耗费时间短, 通信量低。 验证过程中利用AES算法进行解密, 与3DES比较而言, 其效率高, 安全性强。 并且该方案采用Java语言、 Jsp、Java Script技术实现, 无论对Windows系统、 还是Linux、 Uni系统都兼容, 具有很好的移植性和兼容性。
5 结语
通过研究Web登录过程中存在的安全问题, 并把登录过程分为客户端认证服务器模块、 用户登录模块, 密码传输模块、 验证身份模块、 智能识别用户身份模块以及密码存储模块。 分析各个模块登录安全问题, 给出安全策略。 借此给出一种解决Web安全登录的整体方案, 该方案具有安全、 高效、适用的特点, 满足网站现今安全性的需求。
摘要:随着Web应用的快速发展, Web安全越来越受社会关注。针对网站目前存在的登录安全问题, 提出一种利用摘要算法对口令加密、传输, AES算法加密存储和Web日志挖掘智能识别用户身份相结合的登录方案, 分析了这种方案登录过程中存在的安全问题, 给出解决这些安全问题的方法。
【安全防护方案】推荐阅读:
安全防护安全专项方案07-25
砌筑安全防护方案06-15
高校网站安全防护方案06-25
安全防护系统解决方案06-01
电监安全(2006)34号电力二次系统安全防护总体方案06-03
生物安全防护07-16
动态安全防护05-10
安全防护管理05-12
安全防护装备06-02