综合防御(通用8篇)
综合防御 篇1
1 引言
空军某部综合管理信息系统是空军某部核心业务系统,其业务几乎涉及训练机构的每个部门,该系统能否安全、稳定地运行事关整个训练机构办公业务的正常开展,因此,为信息系统构建一个安全可靠的综合防御体系显得极其重要。
2 综合管理信息系统的特点
2.1 系统业务涉及面广
综合管理信息系统实现从基础设施(如教室、实验室、器材设备等)、学习资源(如教材、教案、课件等)到日常事务(如教学训练、政治教育、行政管理、后勤保障等)的信息化管理,实现从学员入队、身体复查、入伍训练、政治审查、思想教育、专业分班、专业训练以及毕业分配和教学质量跟踪等全过程全要素的精细化管理,其业务几乎涉及训练机构的所有部门。
2.2 系统实时性和数据安全性要求高
综合管理信息系统是训练机构的核心业务系统,系统投运后,训练机构的大部分业务都通过该系统来进行,系统数据涉及教学、人员、服务、资产等各方面信息,任何一次系统异常停机或数据丢失都会造成不可估量的损失,所以对系统运行的稳定性、安全性和保密性等方面都有较高的要求。
2.3 系统用户群庞大
综合管理信息系统的业务面广,使用该系统的用户包括单位领导、机关人员、一线教员、基层管理人员甚至学员,系统用户群异常庞大,这就给系统的安全性提出了较高的要求,所以系统除了要有较快的运行速度外,还要有很强的安全保障措施。
3 综合防御体系的建立
根据综合管理信息系统的特点,我们不能只依赖于一种类型的安全方案为系统提供保护,而是应该从物理安全、软件系统安全、网络环境安全、数据安全等多个方面去着手,为信息系统构建一个综合性、多层次的安全防御体系。
3.1 物理安全
物理安全是指保护运行软件系统的计算机网络设备、设施及其它介质免遭火灾、雷击等自然灾害,人为的破坏或操作失误及各种计算机犯罪行为导致的破坏。物理安全是一切安全的基础,也是整个软件系统安全的基础,通常包括环境安全、设备安全和介质安全,环境安全主要指信息系统核心设备的运行环境安全;包括机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗防毁、供配电系统、空调系统、综合布线、区域防护等方面。
设备安全则是要保障设备正常的运行,包括设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面;介质安全包括介质自身安全以及介质数据的安全。
物理安全涉及的硬件设备设施主要分布于中心机房,如果物理安全出现问题,将直接导致信息系统瘫痪。因此,中心机房建设要符合有关规范和标准,要有相应的恒温恒湿系统,防雷方面也要十分重视,电源防雷和通信防雷相结合,要设置较好的计算机专用防雷地线。
条件许可情况下,最好将服务器、通信设备和所有终端统一接于计算机专用防雷地线。服务器尽可能选择质量较好的品牌,配置双电源,交换机、路由器等设备尽量实施集中管理。供电方面,将UPS和发电机有机地结合起来,保证稳定、不间断地对机房设备供电。
3.2 软件系统安全
3.2.1 完善操作系统的安装和设置
在操作系统安装完成后,及时完整地安装最新版的补丁程序。用漏洞扫描软件对系统进行扫描,对发现的漏洞有针对性地打补丁,关闭不必要开放的端口和服务、删除不必要的协议,尽可能减少操作系统所带来的安全漏洞,打造软件系统安全的第一道屏障。
3.2.2 完善信息系统的管理
信息系统在投入运行前,要有针对性地制定验收测试方案,并对照测试文档进行严格的验收测试;系统试运行期间,根据存在的问题对系统作进一步的完善和补充,确保系统投运后能稳定、可靠地运行,避免因系统瘫痪而带来的损失。
在信息系统正式投入运行后,系统的运行维护和升级必须遵循的严格的审批和管理流程。如条件许可,升级包应先在测试环境进行安装、待测试确认系统运行正常后,方对信息系统进行升级。系统维护和升级均要制定好相应的应急方案,万一升级不成功,必须保证有充裕的时间和条件来将系统还原。
3.2.3 完善用户管理
综合管理信息系统的使用面广,几乎涉及所有人员。管理好这个庞大的用户群对系统的安全至关重要。要制定分配用户权限的规范程序,对于某些权限较高用户,必须有更严格的审批流程。每个新用户都应该有不同的初始口令,当用户第一次登录时必须有强制更改口令的策略。当用户离开单位时,应该在离职手续中包含注销用户的项目,确保他们在离开单位后不能再访问该信息系统。
当用户调换工作岗位时,应及时调换用户在信息系统中的角色和权限,确保用户按新的工作岗位职责和权限使用信息系统。定期对用户进行安全方面的培训,从规范用户的操作行为入手,提高他们的安全防范意识和技能。
3.3 网络环境安全
3.3.1 防毒杀毒措施
可以在网络服务器上部署集中式网络版杀毒软件防止病毒的侵害,集中式防杀系统的优势在于要以管理联网计算机进行统一的病毒清除,及时公布病毒防杀信息,自动更新和升级病毒库,具有科学的病毒预警机制,为区域外联网计算机提供在线杀毒功能。
3.3.2 网络传输安全
在局域网内合理划分VLAN(虚拟局域网),对物理和逻辑网段进行有效的分割和隔离,通过设置网络控制策略将高权限用户限制只能在某些VLAN内使用,通过IP地址、MAC地址的绑定和客户端程序的控制,将较高权限的用户进行限制,使他们只能在某几台特定的终端机上进入信息系统。通过上述措施,既控制了广播风暴又解决了数据传输的安全问题,提高了网络的安全性,还能将网络故障隔离在一个较小的范围之内,以便快速地查找和排除。
3.3.3 配置防火墙
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据。有两种主要类型的防火墙,即应用层防火墙和数据包过滤防火墙,通过配置合理有效的安全策略,可以阻止不正当通信数据的通过,确保系统的安全。
3.3.4 配置入侵检测系统
来自网络的非法访问与攻击,都会在网络上留下痕迹,譬如系统日志、应用程序日志、防火墙日志等,通过检测与监控网络日志,我们可以发现来自网络的非法访问与攻击。
入侵检测系统(IDS)可以说是防火墙的合理补充和延伸,如果说防火墙是第一道安全闸门,入侵检测系统则可以说是第二道安全闸门。
入侵检测系统通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统在不影响网络性能的前提下,实时、动态地保护来自内部和外部的各种攻击,发现有入侵的行为的话便会通知管理员及时的堵截,防止入侵的再次发生,同时有效地弥补了防火墙所能达到的防护极限。
3.3.5 配置漏洞扫描系统
漏洞扫描技术是检测远程或本地系统安全脆弱性的一种安全技术。用于检查、分析网络范围内的设备、网络服务、操作系统、数据库系统等安全性,从而为提高网络安全的等级提供决策的支持。
网络漏洞扫描基本原理是通过与目标主机TCP/IP端口建立连接并请求某些服务,记录目标主机的应答,搜集目标主机相关信息(如匿名用户是否可以登录等),从而发现目标主机某些内在的安全弱点。漏洞扫描技术的重要性在于把极为烦琐的安全检测,通过程序来自动完成,这不但减轻管理者的工作,而且缩短了检测时间,使安全问题更早被发现。大多数情况下而言,使用自动的漏洞扫描技术可快速、深入地对网络或目标主机进行评估。
3.4 数据安全
由于综合管理信息系统是训练机构的核心系统,一旦数据丢失,将会给训练机构带来不可估量的后果,因此,必须通过多种方式来构建安全、可靠的数据存储、备份和还原体系。
通过磁盘阵列和RAID技术,实现大容量在线数据存储和硬件层面上的备份。利用计划任务调用系统备份程序进行备份。信息系统管理员定期对数据进行异地备份,利用专用备份软件,通过备份服务器,实现对多个信息系统的数据备份。
信息系统的安全问题是一个系统的工程,不能仅仅依靠防火墙或某一监控管理程序单独完成,而需要针对信息系统的特点,仔细考虑系统的安全需求,并将各种安全技术和管理手段有机地结合在一起,构建一套多层次、综合性的安全防御体系。只有这样,才能有效地控制和减少各种安全隐患,确保系统长久、稳定、安全地运行。
参考文献
[1]申丽.计算机网络安全策略探讨[J].科技资讯,2010,(36).
[2]于艳华,项巧莲.CDSA安全体系架构研究[J].中南民族大学学报(自然科学版),2006,(02).
[3]王慧.基于危险理论的计算机病毒传播模型研究[J].辽宁大学学报(自然科学版),2010,(03).
综合防御 篇2
关键词主动防御特征值扫描启发式查毒
中图分类号:TP393.08文献标识码:A
近几年随着计算机和网络技术的发展,网络给人们提供了极大的便利,互联网作为一个社会公共环境,其所面临的安全威胁也越来越严重。在我们享受网络资源带来的巨大利益的同时,针对网络和计算机系统的网络病毒传播和黑客攻击变得越来越普遍。网络病毒不仅给广大网络用户带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。因而,保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1网络防治技术比较
传统的反病毒技术主要使用特征值扫描技术,这是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一对比,判断该目标是否被病毒感染。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才需要区分已知和未知病毒。由于这种传统的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。
杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种;另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
2主动防御技术分析
主动防御是最新的安全防护概念,各个安全厂商有不同的观点,通常用规则来控制。一般的规则控制流程是通过挂接系统建立进程的API,反病毒系统就在一个进程建立前对此进程的代码进行扫描,如果触发安全规则就进行提示,如果用户放行,就让进程继续运行,例如监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,或某个应用程序进行远程调用,主动防御监控系统就会发出警告。普通用户在运行程序时可能会被监控程序提示选择允许或禁止,主动防御系统检测的基本模式是通过动态仿真反病毒专家系统对各种进程行为进行自动监视,自动分析程序动作之间的逻辑关系,综合应用操作系统安全规则和病毒识别规则知识,自动建立新的病毒行为模式,实现自动判定新病毒,达到主动防御的目的。主动防御系统检测的基本模式如下图所示:
在某权威杂志对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%~30%,甚至低于去年的40%~50%。相比之下,只有ESET NOD32和BitDefender表现较好,查杀率分别为68%和41%。值得一提的是, ESET NOD32采用世界领先的高级启发式ThreatSense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。
何谓启发式查毒技术,启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”,是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒(下转第134页)(上接第132页)依然有效,但如果控制得不好,会出现较多误报的情况。动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。
由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。作为启发式杀毒软件的代表产品ESET NOD32,以其完善的启发式引擎ThreatSense,超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准,同时也被冠以“启发之王”的美誉。
农业气象灾害的综合防御对策 篇3
一、防御农业气象灾害的长效性对策
1. 确定躲灾避灾的生产方式
在充分分析各类农业生产的对象对灾害忍耐力的的基础上, 来确定相应的农业生产方式, 宜农则农, 宜牧则牧, 宜林则林, 在农业、林业、牧业内部也要优化各种产业的内部生产结构。如农业上可以实施设施温室蔬菜栽培, 林业可以实施设施经济林栽培, 牧业可以实施设施温室养畜养禽等, 总之要顺天时, 依地利, 因势利导发展农业生产。
2. 改善农业生产环境
改善农业生产环境是防御农业气象灾害的主要对策之一。比如, 加强农田基本建设, 坡地梯田化, 洼地台田化, 兴修水利, 打井防旱, 营造防护林, 以调节和改善农业气象条件和农田土壤条件, 努力实现自然生态平衡和保护自然环境的目的。
3. 加强作物品种抗逆性研究
加强林业、农业、牧业等方面新品种的研究, 采用杂交、选优、选育等方法, 培育出各类农作物新品种, 使其生育期适宜, 抗旱、抗倒伏能力增强, 林业、果树新品种抗寒力、抗冻力增强等, 则能显著的降低农业灾害给农业生产带来的损失。
4. 推行农业保险制度
农业气象灾害的显著特征就是很难找到从经济制度上加以预防的办法, 因此, 对那些用尽全力防护自然灾害, 但仍受到农业自然灾害的损失的农户, 较好的办法之一即是动员或指导其参加农业保险。由保险公司进行农业保险救济。
二、防御农业气象灾害的应急性对策
1. 对农业灾害的准确性预报
在农业灾害有可能发生时, 相关部门在预报天气灾害的基础上, 要准确的做出农业气象灾害的预报, 以便有效的采取应急对策, 使农业灾害发生时, 农业生产的损失降到最低限度。
2. 农业气象灾害的防御技术
在防御农业气象灾害的技术应用中, 主要防御途径是暂时改变农作物生长的气候环境, 比如采取滴灌的方法防治干旱灾害, 用熏烟的方法防御早春晚霜冻害或秋季早霜冻害。
3. 农业气象灾害的栽培技术
在农业气象灾害发生或将要发生时, 从农业栽培技术方面采取措施防御灾害, 也可以达到较好的效果。比如, 适时早播利用返浆水防止春旱, 在旱作区利用早秋耕的办法, 蓄水保墒以防翌年干旱等。
三、防御农业气象灾害的事后对策
1. 事后技术性对策
在农业气象灾害发生后及时采取技术对策, 使农业灾情尽可能恢复, 如在冰雹或冻害发生后, 对尚未全军覆没的农作物进行补肥, 浇水, 促进作物快速恢复生长, 尽早恢复生机。
2. 事后经济性对策
综合防御 篇4
面对这一严峻现实, 电力网络行业的科技人员, 还在竭尽全力地对该领域安全保障方式不断进行更深层次的技术探讨, 争取在学术研究上做出新的创新, 技术上有新的拓展和提高。
本着紧密配合电力负荷不断迅猛增加的需求态势, 我们国家现时正在搞国际顶级电压、装置水平最高的交流、直流组合电力网络。在此情况下, 设置安全稳妥的电力网络总体防御机制, 探讨可以高效的避免大范围断电可能性的科技措施, 有效保障我们国家电力网络安全平稳工作, 是我们国家电力领域提高效能所亟待解决的重要前沿课题。
在此, 就电力网络安全保证机制和平稳管控机制两项内容, 推出了电力网络整体安全防御机制构架, 以便给予电力领域安全平稳工作研究以学术资料帮助。
1 电力网络安全平稳整体防御机制
就电力网络设计和营运来说, 安全一直是不可动摇的主导课题, 电力领域编制安排及协调营运, 始终要把它对安全需求要素, 不容置疑地放在第一重要位置, 真真切切做到电力网络的本质安全和平稳工作。本着防止电力网络出现大范围断电情况的目的, 一定要设置稳固的电力网络整体安全防御机制, 对电力网络进行安全防御是一类复杂多面性课题, 关系到输电网络组成、自动化调控、营运模式安排、安全平稳保障措施、大范围断电致因抑制和排除机构等项内容, 属于一套综合繁琐的庞大工程。
就大体情况而言, 电力网络安全平稳整体防御机制由两部分构成, 及电力网络受干扰前的安全保证机制及被干扰后的安全平稳调控机制。就普通的安全观念 (比如汽车驾驶的交通安全和网络信息的运行安全等) 而言, 就要在主动预防、调控及被动应对、转化两个侧面去组成电力网络安全平稳运行整体防御机制。
针对电力网络来说, 主动的安全即指电力网络被波及前的安全保证机制, 属于一类主观能动性的预防电力网络出现意外事故的安全保证机制, 主要内容包括:增强电力网络安全性能和可管控性能的手段;被动安全所指内容是电力网络被外界波及干扰后, 能最大限度的维持电网平稳工作, 而不产生大范围断电情况的安全平稳调控机制, 也就是维持电力网络被干扰波及后, 仍具备安全性能和稳定性能的手段, 同时还是通常所指的电力网络安全平稳运行的第三条防护战线。
电力网络安全保证机制包含三条防护战线, 就是电力网络安全保证三条防护战线:第一条, 稳固的电网构造, 夯实了电力网络安全的雄厚基础;第二条, 顶级水平的自控装置, 巩固了电力网络安全工作性;第三条, 安全可靠的营运模式确保电力网络工作在安全状态。
电力网络平稳调控机制基本内容包含通常所指的安全平稳三条防护战线是 (如图1) 。
第一条, 迅速撤出病态元件, 避免异常情况扩大;第二条, 运用牢固调控手段, 避免网络脱离平衡状态;第三条, 网络受干扰发生波动后, 能自动抑制住蔓延而不产生大范围断电的混乱局面。
电力网络的安全平稳总体防御机制, 需要由网络安全保证机制和网络安全平稳调控机制两个层面给与确认, 当巩固通常所指的电力网络平稳三条防线的时候, 也要改善电力网络主动安全效能, 建立电力网络安全保证机制的三条防护战线。
2 电力网络安全保证机制三条防护战线
2.1 稳固的电网构造, 夯实电力网络安全的雄厚基础
稳定的电网构架是电力网络安全的物质条件, 还是电力网络安全保证机制的第一条防护战线。
事实足以说明, 电网编制一定要顾及电力网络安全平稳工作的需求。倘若电网编制没有考虑安全限制要素, 尤其是电网组成不符合要求, 那就可能给电力网络安全平稳营运埋下可怕的隐患。
稳定的电网构造是基于满足稳定工作和检修营运模式下的输送电及用电要求, 落实《电力网络安全平稳主导原则》
要求的承载异常波动功能及机动多样的适应能力, 以及主要干线输送电力网络所需拥有的组成构造、负荷量和随机性功能。稳固的电网构造, 是实现电力网络安全平稳工作的物质基石。当电网编制安排时, 需要从整体布局出发, 总体考量网络所具备的特殊性, 通过周密论证, 全盘安排, 科学排布, 侧重主要干线电力网络。
尤其是伴着我们国家特级高压交流直流混合交联的电力网络的日趋成型, 电力网络结构越来越繁杂, 给电力网络编制安排工作发起了更高层次的挑战。本着使电力网络架构符合先进科技水平要求的目标, 有必要构建电力网络编制规程理论, 探讨交流直流电力网络的科学建设布局, 编纂交直流馈进接受端电力网络安全, 在学术上处理交直流平衡发展、接受端电网恰当接受电容量矛盾, 科学评判电力网络经济收益及综合效能, 从编制安排方面增强电网的输送电能力, 和大幅度接受新能源的功能, 完善电力网络编制纲要和技术标准, 为组建稳固特级高压交流直流混合电力网络配套学术和工艺技术支持。
2.2 顶级的先进自控网络服务于电力网络安全营运水平提高
电力网络属于一套繁杂的非线性质动态大装置, 它的自控功能部分是电脑安全保证机制的第二条防卫战线。
尽管电网构造十分坚固是有利条件, 但当具体电力网络建设时, 很可能被当时具体的工艺安排、财力、地域条件等情况所限制, 绝没有希望只凭牢固的电网构造就可以使电力网络运行万无一失。
当电力网络构造已经选好时, 更高程度地加固电力网络主动安全的防护战线的任务就落在电力网络的自控装置上了。
电力网络中第一关键的动态部件就是风电机组合装备, 它的调控工艺已做了深层次探讨, 其非线性的优化调控工艺和电力网络较大幅度阻尼调控工艺水平得到了很大提高。总之, 各类部件和装置的优良自控功能, 为抑制事故发生和蔓延起到不可或缺的关键作用。
2.3 安全的营运模式选择有利于电力网络工作安全可靠
当电力网络构造和自控性能装备已经确定时, 确保电力网络工作在安全状态下的营运模式的安排与协调就构成电力网络安全保证机制的第三条防护战线, 也属于主动安全的最终一条防护战线。电力网络营运模式的整体安排, 基本上是靠各层协调单位的单年营运模式运算考量而定。然而, 当平日进行协调工作时, 还需要凭借电力网络协调自动化装置、在线安全预告警示及辅助评判组合装置, 来调控电力网络运行模式改变, 并依据指导规则要求的安全平稳三级指标的内容, 及时做预防性调控, 确保电力网络稳定工作在安全状态。
故此, 应更大程度地增长电网协调指挥营运在线安全考量能力和营运掌控水平, 提高电网营运在线推断和辅助判断帮助能力, 为了工作模式的改善给予判断服务, 真正使电力网络营运在稳定可靠状态下。
3 电力网络平稳调控三条防护战线
3.1 迅速撤换异常部件, 避免故障蔓延
电力网络平稳调控机制的第一条防护战线是迅即撤换异常部件, 避免事故蔓延。它基本上是由具有较佳品质的机电联锁保护机构组成, 必须达到迅速、准确、稳妥的撤出异常元件, 把异常情况的干扰程度降到最低, 确实避免异常情况蔓延。
要圆满地实现上述内容, 一定要保证继电联锁保护装置及断路机构稳妥恰当配合动作, 因此必须提高二次装置管控水平, 消除隐埋异常情况, 充分保障每个装置机构在任一条件下都能执行命令动作, 而不可能产生时误动作、拒绝执行动作的情况, 切实避免异常情况蔓延。
3.2 运用平稳调控手段, 确保电网平稳工作
电力网络平稳调控机制的第二条防护战线是运用关健的断机、去负载、脱离排列、直流整合等相关安全平稳调控手段, 避免网络脱离平衡。
当异常情况干扰产生时, 靠第一防护战线的恰当撤出异常元件的过程得以维持稳定, 然而当异常情况相当严重时, 存在引发电力网络脱离平衡的机会;或者因为第一条防护战线, 在需要时没能发挥好应有功能, 导致异常情况事态蔓延, 而使电网脱离正常工作状态, 它是为实现此种情况下仍能维持平稳营运而应用的手段, 也就是安全保障范畴的第二条防护战线, 其基本由安全平稳调控机构组成, 其可以靠精确、稳妥的切换过程来完成, 进而保持网络装置合理工作、排除大面积停电的可能性。
4 结束语
本文从电力网络安全保证机制和稳定调控机制两个阶段, 推出力电力网络平稳总体防御机制的构架, 前者由稳定的电网构造、顶级水平的自控装置及俺全靠的运行模式三层防护编制组成, 后者由迅速撤换异常部件、维持网络平稳营运及杜绝产生大范围断电三层防护编制组成。现实情况下, 必须率先运用信息、运算、和调控范畴的顶级水平技术和装置, 设置最佳的自控机构及科学恰当营运模式, 共同应对新时代、高难度的任务挑战。
摘要:电力领域安全平稳整体保护摘机制的构架, 是自普通安全观念要出发的, 并且由电力网络安全保证机制及电力网络平稳管控机制所组成。电力领域安全保证机制也就是所说的主动安全机制, 它是指增强电力网络安全性能及能够控制性能的方法;电力网络平稳管控机制也就是行业所说的从动安全机制, 它是代表能保障电力网络承受波动时, 仍然具备安全性及稳定性的手段。电力网络安全保证机制有三组防护程序组成, 前一组防护程序是指稳固的电网架构, 它是保障电网安全的坚强堡垒;第二组防护程序是指最高水平的自控机制, 能改善电力网络的安全工作状态;第三组防护程序是指安全可靠的运作模式。靠这些先进装备和恰当手段能够确保电力网络工作安全, 以及使其在各种异常条件下, 仍能平稳运行并把干扰所影响的范围压缩到最小。
关键词:电力网络,安全防御,主动安全,被动安全,三组防护机制
参考文献
[1]国家电力调度通信中心.全国电网典型事故分析 (1988-1998) [M].北京:中国电力出版社, 2000:1-85.
[2]国家电力调度通信中心.电网典型事故分析 (1999-2007) [M].北京:中国电力出版社, 2009:1-98.
综合防御 篇5
关键词:奶牛,乳腺的防御机制,乳房炎
随着人们生活水平的不断提高, 人们对奶的需求量也日益加大, 各地奶牛业方兴未艾, 然而, 奶牛乳房炎是危害奶牛生产的严重疾病, 一直困扰乳业的健康发展, 严重影响了奶牛养殖经济效益。奶牛乳房炎由病原微生物感染而引起乳腺和乳头发炎, 造成乳汁的物理和化学性质发生了改变。刘成果2004年指出, 我国900万头奶牛中每年因乳房炎造成的经济损失超过了3.16亿元[1]。目前全世界约有2.2亿头奶牛, 其中1/3患有各种类型的乳房炎[2]。临床型乳房炎 (Clinical mastitis) 一般造成产奶量明显下降, 而隐性乳房炎 (Hidden mastitis) 由于患牛乳房和乳汁肉眼观察无明显的变化, 临床上不易发现。因此, 了解乳房炎的发病原因, 奶牛乳腺防御机制, 掌握最基本的治疗和防制方法, 尽可能减少其发病率和危害显得尤为重要。
1 奶牛乳房炎的原因
1.1 病原微生物感染
病原微生物是引起乳房炎的主要原因。引起乳房炎的病原微生物主要有无乳链球菌、乳房炎链球菌、停乳链球菌、葡萄球菌、化脓性棒状杆菌、绿脓杆菌、结核杆菌、布氏杆菌、支原体、巴氏杆菌、霉菌、病毒等。
1.2 饲养管理不当
奶牛场环境卫生差, 运动场潮湿、泥泞, 粪尿、污水淤积, 不及时清除, 未严格执行挤奶操作规程, 清洗乳房水不清洁, 更换不及时;挤奶次数偏少, 挤奶结束后乳头未药浴, 干乳方法不正确, 突然更换挤奶员, 改变挤奶方式, 日粮配合不平衡。
1.3 理化原因
机械挤奶的牛场, 乳房炎发生的几率较高, 其原因主要有:机械抽力过大, 频率不定, 空挤时间过长或经常性空挤, 引起乳头裂伤、出血;乳杯大小不合适, 内壁弹性低, 机器配套不适等;机器用完未及时清刷, 或刷洗不彻底, 细菌孳生。手工挤奶时, 没有严格的按操作规程挤奶, 如挤奶员的手法不对, 或将乳头拉的过长, 或过度压迫乳头管等都可引起乳头粘膜的损伤导致乳房炎。
1.4 继发感染
胎衣不下、子宫炎、瘤胃酸中毒等可继发乳房炎, 饲料、饮水或药物中的毒素也可影响到乳房而引起炎症。
1.5 遗传
有资料报道, 患有乳房炎奶牛的后代患乳房炎的几率也高。
2 奶牛乳腺的防御机制
参与乳腺防御机制的细胞有吞噬性的中性粒细胞、血管内皮细胞、乳腺上皮细胞、乳汁中的巨噬细胞及外周免疫系统中的T、B淋巴细胞。如果中性粒细胞和抗体不能快速进入乳腺, 则乳腺受害而发生重剧急性乳房炎。由于乳汁的容量及其脂肪和酪蛋白成分会显著稀释并阻断免疫因子的补充, 因此要与乳房内感染作斗争, 乳腺免疫反应器的效能必须比其它组织高, 才能保证源源不断地补充大量新鲜的免疫反应器[3]。
2.1 中性粒细胞
正常中性粒细胞的半衰期仅为4~10h, 受到有害刺激时血液与血管外组织中的中性粒细胞快速转移。在病原菌感染初期的12~18 h内, 每30~40 min就需要快速而大量补充调理抗体和中性粒细胞。当母牛初感染时, 乳汁中性粒细胞的含量会超过4×106/mL, 其更新率与母牛感染和非感染乳区的产奶量的恢复直接相关。当来自血液的调理抗体, 特别是IgG2包围了致病细菌, 由中性粒细胞发挥吞噬作用。乳汁中IgG2高峰约发生于感染4h内, 有些比中性粒细胞反应高峰要早6~12 h。中性粒细胞通过靠边、游走、吞噬、呼吸性破裂 (被吞噬的病原菌在中性粒细胞内发生氧化损伤及脱颗粒各种功能, 对致病菌进行免疫监测和防御。血液循环中的中性粒细胞首先通过选择素族 (selectin, L-selectin、E-selectin、P-selectin) 粘附到血管壁上。L-selectin保证血液中大量中性粒细胞与血管壁相互影响而对其所属的组织进行免疫监测, 若消除中性粒细胞的L-selectin表达 (如细胞激活、抗体封阻、用地塞米松治疗) , 就不能察觉动物感染的部位从而发生乳房炎。
当靠边的中性粒细胞监测出结合在内皮细胞表面的E-selectin、P-selectin和其它炎症前分子, 粒细胞即粘附到内皮细胞上, 移行穿过其组织基质, 进入感染病灶。主要炎症前分子包括来自革兰氏阴性细菌和宿主的脂多糖, 受害内皮细胞释放的趋化素和细胞分裂素, 来自乳腺巨噬细胞、T细胞、中性粒细胞的TNF-α、IL-1、IL-6、IL-8、IF-γ及血清补体系统的C5a和C3a。这些分子与靠边的中性粒细胞和内皮细胞的特异性受体结合发挥作用。特异性受体上调有利于识别致病菌, 并提高感染微生物与游走细胞之间的亲和力。中性粒细胞在炎症前细胞分裂素 (即TNF-α、IFN-γ) 的作用下激活成为病灶的杀伤细胞。中性粒细胞的吞噬包括非调理性吞噬和调理性吞噬。CD14和CD18的脂多糖受体是牛乳中中性粒细胞非调理性吞噬的重要介体, 特别在革兰氏阴性菌感染时。可溶性CD14可以中和由细菌释放的游离内毒素和脂蛋白, 迅速消除革兰氏阴性细菌引起的乳房内感染。补体 (complement) C3b和C3bi组分的受体及与特异性Fc片段结合的抗体介导调理性吞噬。奶牛中性粒细胞Fc受体的作用显著, 但乳汁中的活性补体组分的浓度很低。在吞噬过程中, 中性粒细胞消耗了大量氧分子, 也产生了过氧化氢、超氧化物及一系列氧化杀菌剂, 同时使微生物细胞壁发生脂质过氧化, 破坏了有生命力的蛋白质、DNA和RNA。
2.2 淋巴细胞和巨噬细胞
T细胞群体因乳腺中存在的细菌类型而异, 其亚群 (CD4+、CD8+和γδT细胞) 选择性地补充到感染牛的乳腺中。乳房发炎时, 血液中γδT细胞增多, γδT细胞能分泌生长因子以修复感染部位的上皮组织。CD4+辅助性T细胞、CD8+细胞毒性/抑制性T细胞及巨噬细胞参与炎症前细胞分裂素的产生和调节, 从而激活感染乳腺的内皮细胞, 并提高乳汁中中性粒细胞和巨噬细胞的补充。奶牛乳房内急性感染时, T细胞的细胞分裂素有TNF-α、IL-1、IL-6、IL-8、IFN-γ及颗粒细胞集落刺激因子或颗粒细胞-单核细胞集落刺激因子, 这些细胞分裂素能穿透血-乳腺屏障。当抗原激活浆细胞时, B细胞最终会产生Ig G2, 以监测从感染部位 (或免疫接种部位) 排入淋巴结的致病菌和毒素。B细胞能识别结合到细胞膜上的抗原。B细胞、巨噬细胞和其它树突状细胞吞噬了感染组织中的致病菌 (或疫苗成分) 后就从感染或接种的组织游走到相关的淋巴结中, 同时以其表面的膜攻击复合物Ⅱ分子进行处理。
2.3 特异性IgG2抗体
IgG2是感染乳腺中主要的调理素。曾报道荷斯坦奶牛的血清IgG2水平与临诊乳房炎之间显著相关, 但血清IgG1、IgM或IgA与乳房炎之间并不相关。正常乳汁中IgG2的水平相当低。当乳房炎早期的水肿阶段, 由于大量血清IgG2渗入乳汁, 乳汁中IgG2的调理活性接近血清中Ig G2的水平。乳房感染后4~12 h, 乳汁中IgG2成为乳汁中突出的抗体亚群, 在乳房炎第一日就改变了正常的IgG1/IgG2比值。在IgG2峰值反应后几小时, 乳腺上皮细胞中才出现大量中性粒细胞。可见, 高水平活性的IgG2抗体发挥着抗乳房炎的决定性作用。IgM不是正常或乳房炎乳汁中主要的抗体亚型, 但IgM抗体有助于中和乳汁内的内毒素。
3 奶牛乳房炎的治疗
3.1 按摩疗法
每次挤奶前按摩乳房15 min左右, 挤净乳汁, 如果絮状物多或脓性物稠时, 先向乳房内注入生理盐水稀释后再充分挤净;注意坏疽性乳房炎不能按摩。
3.2 局部疗法
3.2.1 患区外敷:
乳房炎初期可用冷水外敷, 抑制炎症的发展, 减少炎性渗出物;两天后改用硫酸镁加适量温水热敷, 以促进炎性渗出物的吸收。此外, 乳房局部可涂擦鱼石脂膏剂、复方醋酸铅或樟脑软膏促进炎性渗出物吸收, 缓解炎症。
3.2.2 抗生素治疗:
在未查明病原体时, 可用青霉素80~160万U, 链霉素100万U, 溶于100 mL 0.25%盐酸普鲁卡因溶液或蒸馏水中, 挤净乳汁后, 用导乳管注入乳池内, 2次/d, 连用5 d。
3.2.3 乳房基部疗法:
青霉素160~240万U溶于0.25%盐酸普鲁卡因注射液50~100 mL中, 在患病乳室基部分2~4个点进行封闭治疗, 隔2~3 d重复1次。
3.3 全身疗法
使用抗菌素类药物进行治疗, 肌肉或静脉注射抗菌素。在奶牛全身症状比较严重的情况下, 主要采用强心剂和安那咖, 并同时给患牛补充液体。为了有效消除炎症, 选用青霉素类与链霉素的联合用药, 或选用四环素。一般青霉素用量200~250万U或四环素250万U 1次注射, 每天2次, 或1 kg体重每天5~40 mg, 分2次静脉注射;根据病情况定每天药物用量, 轻者首次用量加倍, 后面改用正常药物剂量, 直至痊愈, 对于病情严重者可用2~3倍剂量。对未怀孕的全身感染牛, 也可选用阿莫仙、克米先、强安林等输液, 还可配合用圆环瘟毒康;怀孕牛可选用强安林。此外, 为防止患牛败血, 可用10%~25%葡萄糖注射液500~100 mL, 5%碳酸氢钠溶液500~100 mL, 1次静注。
3.4 中药疗法
红花30 g、当归60 g、川芎30 g、乳香30g、没药30 g、生地30 g、桃仁40 g、蒲公英100 g、银花40 g、瓜篓40 g、甘草15 g, 研末开水冲泡, 待凉灌服, 每日1剂, 视病情用2~5剂。乳节不通者加通草、王不留行;体温高者银花加量, 乳房肿胀加穿山甲, 乳汁多脓加黄芩, 乳汁带血加侧柏叶、地榆, 体质虚弱者加党参、白术、山药[4]。
4 奶牛乳房炎的综合防制
4.1 搞好环境和牛体卫生, 杀灭病原微生物
要做好奶牛疾病的防治工作, 首先应该抓好环境卫生工作, 最大限度地抑制细菌的生长繁殖, 有效地控制各种疾病包括乳房炎的发生。要及时清理牛床及运动场的牛粪及污物, 使用烧碱、石灰、漂白粉或复合酚类消毒剂等定时消毒, 确保牛床卫生干爽, 牛身清洁干净, 牛床、运动场不能堆放杂物、砖头等锐物, 以免损伤奶牛皮肤或乳房组织。
4.2 科学饲养, 增加机体免疫力
不饲喂霉变的精料和青贮料, 保证日粮营养平衡、充足、优质、多样, 根据泌乳期适当调整精粗饲料比例, 根据饲养标准在日粮中提供充足的维生素, 尤其是维生素A、维生素D、维生素E, 提供丰富的常量元素和微量元素以增加机体免疫力。
4.3 建立科学的挤奶程序
保证挤奶卫生, 严格按照操作规程操作, 保持设备良好运行, 定期对设备进行性能评估。设备真空范围44~50 Kpa, 脉动频率60~70次/min, 每挤2 500~3 000头次全部更换奶杯的奶衬;每次挤奶前用清水冲洗管道, 挤奶完毕用碱液和酸液交替冲洗管道;挤奶前后均药浴奶头可降低SCC;每头牛使用一块毛巾, 将乳头擦干;弃去头一、二把奶, 并仔细观察乳汁有无异常;先挤健康牛只再挤患病牛只;防止机器过吸;挤奶员要经过培训才可上岗, 工作服应经常换洗, 勤剪指甲, 挤奶前洗净双手。
4.4 定期进行隐型乳房炎监测
定期对牛群进行隐性乳房炎的普查监测, 也是控制奶牛乳房炎的手段之一。根据牛群感染程度对全群或感染部分牛群投喂左旋咪唑可控制奶牛乳房炎。长期患病牛只应考虑淘汰。也可定期检测牛奶体细胞数, 体细胞数较高时, 应采取积极防治措施。
4.5 加强挤奶时的卫生管理
患牛应集中饲养, 集中挤奶, 先挤健康牛, 后挤乳房炎患牛。认真做好乳房和用具消毒工作。挤奶后乳头要药浴, 目前法国新奥兰动物营养有限公司生产的1种乳头药浴液 (牛乳康) 已引进我国, 不但灭菌性能强, 而且能在乳头外形成1层水合因子保护膜防止细菌进入, 能防止奶牛乳头的破裂、皱裂、晒伤等, 在极冷、极热天气, 雨天、湿草地、脏垫料等条件下保护乳头以避免乳腺管滋生细菌, 从而有效控制奶牛乳房炎的发生[5]。
4.6 注重干奶期的治疗
干奶时乳房内注入长效干奶药物。干奶期对乳房进行预防治疗, 能减少下一个泌乳周期乳房炎的发生, 实验表明, 未经干奶期治疗的奶牛下个泌乳周期乳房炎发病率是经过治疗的4倍。
参考文献
[1]刘成果.乳品质量安全是奶业发展的生命线.中国奶牛, 2004 (6) :3~6
[2]董利杰, 李英茹, 张改智, 等.奶牛乳房炎的原因、症状及治疗技术.畜牧兽医杂志, 2007 (3) :97~99
[3]Burton J L.Immunity mastitis some new ideas for an old disease.Vet Clin Food Anim, 2003 (1) :1~4
[4]杨宗英, 李万盛.中西医结合治疗奶牛乳房炎.畜禽业, 2008 (2) :89
综合防御 篇6
关键词:校园网,ARP攻击,Socket,入侵防御
1ARP攻击原理分析
ARP表是IP地址和MAC地址的映射关系表, 攻击者利用ARP协议进行攻击的方式可分为:针对ARP表的攻击和针对流项目表的攻击。在针对ARP表攻击时, 攻击者通过变换不同的IP地址和MAC地址, 向同一台设备, 如三层交换机发送大量ARP请求, 导致被攻击设备因ARP缓存溢出而崩溃;或误导客户机建立正确的ARP表, 当客户机的帧发送给缺省网关时, 欺骗攻击修改该客户机的ARP高速缓存中网关对应的真实MAC地址, 把数据帧发送给修改后的MAC地址主机, 也就是数据发给了攻击者。如果攻击者将劫持的数据发送给路由器, 源主机发送的数据经过一次绕行后到达路由器, 这使源主机就很难知道自己已被攻击, 这便是“数据劫持”;如果攻击者将劫持的数据直接丢弃, 则产生数据传输“中断”, 也就是用户常说的“掉线”现象。
2ARP综合防御策略研究
自ARP攻击出现以来, 各大硬件设备厂商纷纷推出抑制ARP攻击的硬件设备。如Cisco公司的设备增加了DHCP SNOOPING功能, 通过DHCP Server, 建立IP地址和MAC地址绑定表。华为公司则在交换机上配置ACL, 建立过滤机制进行ARP防御。采用PVLAN实现两层VLAN隔离技术也能有效抑制ARP攻击。这些控制ARP攻击的方法都需要更换新的硬件设备, 对于成型的网络并不太适宜。另一类方法是管理员手工双向绑定地址。由于用户主机比较分散, 查找处理难以实施。
上述现有解决方案中对硬件设备有比较高的依赖性, 管理员手工解决问题的工作强度大、效率低下, 不适合推广。本文结合学校实际的情况提出一套综合的ARP攻击防御策略, 实现了自动双向绑定和智能监控隔离, 达到控制ARP攻击目的。
3ARP综合防御策略实现
3.1自动双向绑定
动态双向绑定是一个有效的ARP攻击的解决方案, 对路由器端的ARP高速缓存表的维护工作, 改变早期由管理员一方负责的管理模式, 而发挥所有网络使用者的主观能动性, 管理维护其个人IP地址和MAC地址对应关系, 本文研发了一套路由器ARP自助绑定系统, 实现用户自助绑定路由器端IP地址和MAC地址的映射。 该系统采用B/S模式, 当客户端浏览Web应用服务器上部署的Web应用程序, Web应用程序获取客户端的IP地址和MAC地址等信息, 用户确认发送路由器端绑定请求, Web应用服务器对路由器发送绑定指令, 等待路由器操作响应, 再使用数据库记录绑定结果。
3.1.1 获取客户端IP地址和MAC地址
考虑到国内高校校园网部署有认证计费系统, 该系统一般都记录用户的IP地址和MAC地址信息, 本文以锐捷RG-SAM认证系统为例, 结合该系统获取用户的IP地址和MAC地址。当用户认证成功后, 系统将用户信息存放在在线用户表中, 该表存放当前用户基本信息, 当用户下线后用户记录即从表中删除。
3.1.2 管理路由器的ARP表
路由器常用的管理模式有用户模式、特权模式、全局模式和接口模式等。每种模式对应不同的权限和指令。为了实现管理路由器ARP表, 本文使用SOCKET编成技术, 模拟手工管理路由器的ARP表的过程。C#.NET对SOCKET 支持能力强, 并且支持开发Web应用程序。
具体实现为初始化网络流, 连接路由器23号端口, 获取管道流;向SOCKET网络流写入生成的消息流, 让进程休眠10毫秒;模拟登录路由器后, 绑定ARP高速缓存表的执行指令;退出路由器后, 取消ARP高速缓存表的绑定。到此为止, 用户通过登录路由器ARP自助绑定系统, 实现自助绑定和解除绑定自己的在路由器端的ARP信息。
3.2智能监控隔离系统
攻击者欺骗路由器后, 修改路由器ARP高速缓存表, 表中明显特征是一个MAC地址对应多个IP地址。由于网络内存在一块网卡配置多个IP地址的可能, 因而不能仅仅依据一个MAC对应多个IP地址来判定这个MAC地址主机就是攻击者;从另外一方面, 现实网络环境中除了服务器和某些特殊应用外, 用户计算机极少有一块网卡配置多个IP地址的可能, 隔离系统过滤这些特殊应用的用户MAC地址。另外攻击者修改路由器的ARP高速缓存表不会停留在修改某一两台主机上, 所以设定一个阈值, MAC地址重复行数超过这个阈值, 基本可以确认重复的MAC地址是否为攻击者的MAC地址。
分析读取的ARP高速缓存表, 提取攻击者的MAC地址
///读取ARP高速缓存
List
///过滤掉排出的MAC地址
List
///初始化病毒主机列表
List
///for循环, 查找MAC地址行数多于阈值的MAC地址
for (int i= end.Count-1;i>=0;i--)
{
int count=0;
///读取当前的行
string current=List[i].MacAddress;
for (j=0;j< end.Count;j++) {
if (end[j].MacAddress.Equals (current) ) {
count++;
}
}
if (count>setval)
//将病毒主机添加到列表
virus.Add (List[i]) ;
}
根据已提取的攻击者的MAC地址, 再借助认证计费系统, 便快速定位到用户和用户IP地址、NAS地址等相关信息。使用第三方系统获取客户端IP地址和MAC地址。
如果路由器的ARP高速缓存表记录行数多 (表的行数对应用户数) , 这便需要使用SPACE键换页, 这就极大增加了程序设计难度, 给读取的用户的ARP高速缓存表的准确性也将带来麻烦。这里我们使用SNMP协议可以读取路由器中的ARP高速 缓存表, 实践检验这个方法可行, 且得到的ARP高速缓存表的记录达方式规范, 给程序开发提供便利、可靠手段。
3.2.1 使用SNMP协议读取路由器端ARP高速缓存表
802.1X端口认证系统为基于端口的网络访问控制定义了这样一种机制, 即利用服从IEEE 802协议的局域网端口的物理访问特性进行认证和授权, 并禁止认证过程失败时对端口的访问, 其对象为连接在该端口上的设备。作为网络设备中的软件系统, 802.1X需要安全、可靠、有效的管理才能发挥出最好的性能。SNMP可以很好地满足802.1X认证系统的管理需求。然而Microsoft.Net不提供SNMP开发包, 这里我们使用HP公司开发SNMP++ .NET开发包提供方便的SNMP访问方法, 应用于满足智能监控隔离系统的开发需求。
802.1X认证过程中, 通常会有两个位置标注用户认证成功, 一个位置是NAS交换机, 一个位置是Radius认证服务器。对用户的隔离, 需首先在Radius服务器中, 将用户下线, 并将其添加到“黑名单”中 , 使用户下次无法通过认证;其次需要给NAS交换机发送用户下线指令, 在NAS交换机中将用户下线, “强迫”其进行重新认证。
3.2.2 攻击者定位实现
不同的认证系统会有不同的记录方式和查询方式, 为了使得本方法能支持不同的认证系统环境, 本方法采用抽象类处理方法。首先定位用户基本信息类, 再定位抽象类, 最后结合RG-SAM细化这个抽象类。
3.2.3 攻击者隔离实现
通过Sniffer抓包分析, 得知处理交换机端的用户认证通过和下线的SNMP指令, 不同的交换品牌, 对象号和对象值可能不一致, 所以要根据具体的情况, 通过Sniffer抓包分析。具体的根据用户帐号、NAS类型, 查找用户在NAS交换机中Index代码, 即对象号。根据NAS类型和用户在NAS交换机中的Index代码, 生成相应的下线指令。向NAS交换机写入下线对象的值, 强制用户下线。
4结束语
ARP欺骗攻击成为不法分子首要利用的攻击手段, 其覆盖面广, 攻击效果明显。该ARP综合防御系统已运行一年多的时间了, 对抑制欺骗路由器的攻击, 起着重要作用, 有力保证了用户正常、安全地使用计算机网络。本文创新点在于:发挥网络用户主观能动性, 使用户也参与网络维护;采用B/S架构, 结合.Net Framework框架使用Socket技术, 实现计算机模拟人工管理路由器;使用SNMP协议读取路由器IP-ARP表;使用SNMP协议管理NAS的802.1X认证状态。
参考文献
[1]百度百科.SNMP[EB/OL].http://baike.baidu.com/view/2899.html?wtp=tt.
[2]杨加.基于IP控制网关和802.1X的校园网认证计费解决方案[J].通信学报, 2006 (z1) .
[3]才国庆, 周德新.SNMP技术在802.1X端口认证系统中的应用[J].桂林电子工业学院学报, 2003 (23) .
[4]RFC1157.Simple Network Management Protocol (SNMP) [S].Network Working Group J.Case, 1990.
综合防御 篇7
即使在1999年东海村铀处理设施事故后,日本的核电可靠性仍被视为神话。然而,被认为几乎不可能发生的核泄漏事件却的确在日本发生了[1]。2011年3月11日,日本仙台港以东130km处发生9.0级地震并引发海啸。隶属于东京电力公司(简称TEP)的福岛第一核电站(简称FFNPP)反应堆的紧急停堆保护动作成功,但需要靠冷却系统导出由残余核反应产生的衰变热量。由于强震造成外部电网大停电,而应急柴油发电机又被随之而来的海啸淹没,当备用蓄电池8h后耗尽时,冷却系统停止工作。于是,反应堆升温,4座反应堆先后发生氢气爆炸。所造成的核泄漏,不幸演变成一场波及全球的核危机,事态在1个月后仍处于不确定性中。下面将上述灾难简称为“3·11事件”,它被日本首相称为是“二战后,甚至日本历史上最大的危机”。
事件中,东京电网失去22GW电源,而其对外联络线的最大支援能力仅3GW,形成约10GW的电力缺口,被迫轮流停掉26%的负荷。习惯于电气生活的居民在春寒中的惨状令人唏嘘,但更揪心的是全球在环境及能源安全上受到的震撼。
从地震海啸推想其他复合自然灾害,从自然灾害推想暴力破坏,形形色色的极端外部环境向电力安全、一次能源安全及环境安全提出了严峻的挑战。这类灾难发生的概率虽小,但发生后的损失却可能极为巨大,因此其风险值仍可能非常巨大,故称之为高风险的小概率事件。
大灾难往往由偶然故障引发,并经过一系列相继故障和人为错误的推波助澜演化而成,故其概率一定比其中的每个单个事件小得多。TEP和日本政府在处置上的预判失误、反应滞后、手段缺乏、信息不透明等都是造成多米诺骨牌倾覆的人为因素。天灾人祸,切肤之痛的教训深刻。
设计系统时,一般都取若干确定的故障场景作为应对突发事件的安全标准,而不再考虑更严重灾害的应对问题。然而按照墨菲定律,假如事情有可能发生,则在一定情况下一定会发生。因此,当高风险的小概率事件一旦发生,往往以不受控的方式扩大为巨大灾难。
应急管理与应急控制一般由不同职能部门彼此孤立决策,将彼此紧密关联的预防、紧急、校正、恢复控制交由不同的技术队伍处理,并缺乏全局协调。在电力系统日趋复杂,各种极端外部灾害频繁发生的情况下,这样应对灾害的方式容易产生混乱,甚至在天灾之后增添人祸。
“3·11事件”又一次以惨痛的代价提醒人类不要违背规律[2]。必须研究在不同的紧急状态下,如何主动实施足够强度的紧急控制和校正控制来阻止骨牌倾覆。即使无法完全阻止灾难,也应该主动采用代价尽量小并处于受控状态的措施,以避免不受控的损失,减轻多米诺骨牌效应。此外,应对极端外部灾难绝不是单个领域或单纯技术的问题,而涉及众多相关领域及不同层面的管理机制和协调手段。
尽管日本在应对自然灾害方面有很多宝贵经验值得借鉴,但“3·11事件”中的信息披露、应对决策、物资补给、灾民安置,及寻求国际救援等方面,均暴露出严重的失误。虽然还未有权威机构发布评估报告,但讨论与反思已经非常热烈[3,4,5,6]。在事态尚存变数,得到的信息有限而又相互存疑的情况下,不可能深入分析该事件处理过程中的得失和教训。但是从一而再、再而三的“非常态”事件中还是可以看到其常态的一面,而针对高风险小概率事件及其处置原则的讨论则无疑是越早越好。希望本文能引起对高风险小概率事件的关注和讨论。
1 相继自然灾害通过大停电导致核泄漏的骨牌效应
9.0级地震、高达20m的海啸、大停电、备用柴油发电机被淹、蓄电池耗尽,这一连串小概率事件使冷却系统长期停止工作,导致核燃料棒熔融,氢气爆炸,安全壳破损,核泄漏不断升级,最后酿成历史上继1979年美国三里岛事件和1986年前苏联切尔诺贝利事件后的第三次重大核事故[7]。这是人类又一次以生命为代价换来的教训。仅认为是给复苏中的核电蒙上阴影并不全面,文明就是在不断的灾害和挫折中发展的,若能从深刻反思中吸取经验,将有助于人类今后规避更大风险,并最终解决能源危机[8]。
1.1 东日本地震造成停堆和停电
地震后,FFNPP正在运行中的1至3号堆与日本其他8个堆立即自动紧急停堆,机组不再发电。该紧急措施的成功实施避免了像切尔诺贝利反应堆那样,在满功率运行中发生大爆炸。虽然堆芯热功率在几分钟内降至4%左右,但必须依靠冷却系统的连续工作,带走仍在不断产生的衰变热量,这样的正常冷却至少需要3d时间。
但是地震摧毁了当地电网,大停电波及FFNPP的厂用电,其备用柴油机自动启动以维持冷却水循环。虽然此时的局面仍处于可控状态,但风险已经大大增加。不知道TEP是否在第一时间向外求援移动式发电机和蓄电池。
1.2 继发海啸毁掉备用发电机
地震引起的海啸1h后到达福岛时仍有14 m高,因此5.7m高的防洪坝形同虚设。布置在低处的备用柴油机立时被淹,FFNPP失去所有的交流电源,冷却系统切换到备用的直流电源上。8h后蓄电池耗尽,冷却系统彻底瘫痪。
1.3 移动电源不能供电,氢气爆炸
当关西电力公司支援的2辆发电车到达时,冷却系统已经停止工作了1昼夜。据说由于接口不兼容,发电车无法向冷却系统供电。水温不断升高而汽化,产生的氢气导致1号堆爆炸,厂房顶盖被毁坏。TEP这才被迫承认,氢气来自水和锆的反应。这说明不但混凝土的安全壳已经破损,连反应容器,甚至铀燃料外的锆锡合金保护层都已受损。此后2d内,3号堆及2号堆也相继发生氢气爆炸。直升机降水与高压水枪喷水的冷却效果有限,堆芯开始熔化,放射物开始溢出。
1.4 燃料棒过热造成的核泄漏
核泄漏至少发生在以下多个渠道。①突发而不受控的泄漏:厂房爆炸波及附近的乏燃料池,乏燃料棒的大量碎片飞出,最远者达1.6km(该情况曾被隐瞒);②缓慢而不受控的泄漏:通过2号堆所属设备井内位置不明的裂缝泄漏,直到4月5日注入水玻璃后才封堵成功;③缓慢而受控的泄漏,例如为减压而放气。
此外,要恢复冷却系统,必须先排除厂房内的放射性污水。不得已向海洋排放存储容器中1.15万t的低度污染水,以便腾出空间存放高度污染水。
1.5 基础设施的缺陷埋下巨大风险
诸如冷却系统的低位布置、乏燃料水池的堆旁布置、应急汽动水泵与应急物流系统的缺失、监测系统的不完善等问题,实际上早已受到质疑。由于一直未有整改,骨牌效应得以一路肆虐。
1.6 管理失误和处置延误加剧了灾情
FFNPP在1978年就曾濒临核泄漏,并在2006年的确发生过核泄漏,此后TEP才被迫承认曾多次隐瞒安全隐患。而就在“3·11事件”前1个月,评估数据再次显示1号机组严重老化,但监管部门仍坚称可以继续运行。
如果在电网和备用电源被摧毁的第一时刻,迅速注入海水以控制核燃料棒温度,同时全力建立临时电源,逐步以淡水替换海水,核泄漏灾难也许可以被阻止。但是,TEP在1号堆爆炸后又拖了6h,才决定注入海水,再次错过了最佳控制时机。该公司不但多次非理性地放弃了外部的人力支援和技术帮助,并拖延发布甚至瞒报信息。
外部电网大停电后的恢复过程非常缓慢,本该最先解决的供电问题却拖到3月23日才使全部机组接上外部电力。而控制室的照明直到3月27日还未完全恢复。
1.7 灾难在不同领域中的时空扩散
“3·11事件”的影响已经跨越国界,成为全球共同面对的问题,也反映到众多领域和不同时间尺度上。
1)对生命的影响。
短期的恶果主要由海啸造成,截至4月10日,已造成13 013人死亡,14 608人失踪;长期的影响将在受核辐射影响的人群中反映出来。
2)对生态的影响。
日本官方将该核泄漏事件级别定为最高的7级,与切尔诺贝利事件相同。《朝日新闻》曾报道说,3个反应堆和4个乏燃料池的泄漏总量甚至超过了前苏联切尔诺贝利核电站发生事故时的放射量。核污染还可能影响生物的基因。
3)影响事态的后续发展。
海水注入在冷却的同时也腐蚀安全壳,如果再遇地震就难免破裂,已熔化的燃料棒会喷出而无法收拾。目前采用氮气注入作为应急措施,而后续处理可能需要10年以上。
4)对电力供应的影响。
从短期来看,地震破坏了当地电网,造成297万户停电;从长期来看,由于多台核电机组的报废,今年夏天的大规模限电已成定局[9]。
5)对经济的影响。
日本政府估计“3·11事件”引起道路与建筑等直接经济损失高达1 979亿~3 091亿美元,其中还未计入停电损失和事件的后处理投入。从短期来看,日经股指跌幅一度超过雷曼兄弟公司破产后的水平,3月底,TEP的市值已蒸发超过八成;从中期来看,2011年度日本经济很可能是零增长;从长期来看,产业链面临断裂危险,债务风险也不难想象,进而还可能引发全球金融和核电产业的动荡。
6)对政局与信念的影响。
日本政府应对不力,自卫队退缩,TEP不负责任,都严重影响了这个国家的信誉和形象,并对民众心理造成深远影响。
2 概率与风险
2.1 概率大小的相对性
2001年,有日本的地球科学家宣称:仙台地区的大海啸每800~1100年发生一次。基于上次大海啸袭击仙台是在公元869年,他当时预言大海啸可能就要来了。这里不去评价这个预言的科学性,而是问,像这样的随机事件是大概率还是小概率?
“某人一生中能遇到大海啸”是个小概率,甚至是不可能事件。但是“地球在1千年内至少发生一次大海啸”的说法就是个大概率,甚至是必然事件。因此,事件发生概率的大小与所关注的时间窗口及空间范围有关。
符合指定场景的灾害,其发生的可能性很小。但不区分具体场景的灾害,其发生的可能性就高了。这是因为前者是后者的条件概率。
1)关于强烈地震的概率。
据统计,全球每年平均发生7次7级或以上的强震。过去百年内,死亡人数超过2 000人的日本地震就有1923年东京、1927年京都、1933年三陆、1945年三川、1995年神户、2011年宫城。神户地震损害了Kansai电力公司的21个电厂中的10个,64台机组中的20台,其中锅炉管道的破坏特别严重,核电站和水电站没受到破坏。日本政府和民众已经把应对地震作为常态,1923年东京地震后,在国家层面上逐步形成了比较完善的防灾法制体系。即使如此,日本官方在“3·11事件”后预测,如果目前的东京受到7.3级地震袭击,将有1.1万人死亡,21万人受伤,700万人被迫疏散,其经济损失会是“3·11事件”地震损失的3倍。
2)关于强烈海啸的概率。
2007年就有研究报告认为,日本东北部多座核电站存在遭海啸破坏的风险,还认为50年内,FFNPP遭遇高度超过6m海浪的概率约10%。根据实证,1896年明治三陆海啸就曾经冲到山丘的38.2 m高处,比这次的记录还高0.3m。2004年的印度洋海啸也曾使印度一座核电站受淹。
3)关于相继自然灾害的概率。
“3·11事件”后的1个月里,日本发生了3次7级以上,66次6级以上的余震。4月7日,日本文部科学省公布的一项研究成果显示,日本东海、东南海、南海和宫崎县近海可能发生最高9级的连锁地震,而一旦发生,海啸最高将达设想值的2倍。
从历史上来看,大地震发生后几个月,发生火山爆发已经有多起先例。例如1707年发生的,按破坏程度被后来认定为9级的日本宝永大地震,引发了1个月后的富士山火山喷发。“3·11事件”后,日本有20座火山变得活跃。
4)关于核危机的概率。
法国核电站2010年有近千起小事故,虽然都没有演变为核危机,但风险犹存。1999年法国布拉伊核电站遭遇强风暴雨,导致反应堆停运、安全系统被淹的事故。1957年英国温德斯格尔反应堆由于检测失灵而堆芯起火。美国战略空军因飞行事故而从空中坠落的核弹有数十枚之多,幸运的是都未发生核爆炸。美国在20多年内进行了475次地下核爆,有62次发生程度不同的事故。1985年前苏联核潜艇因误操作引起反应堆爆炸。1979年美国三里岛核电站主给水泵停转,辅助水泵的阀门卡住,47%的堆芯熔毁并留在安全壳内,由于没人注意到核泄漏警报,当冷却系统恢复后又投入运行。幸好安全壳大大降低了放射物的外泄。1986年前苏联切尔诺贝利核电站1组反应堆爆炸,消除其影响最少需要800年。短短的35年内,就发生了如此严重的3次核电泄漏,涉及6座核电反应堆。考虑到全球400座核电反应堆的规模,比常规火电机组数小得多,其故障概率相当惊人。
2.2 事件发生后的损失与概率大小相互独立
小概率事件一旦发生,其造成的损失可能不大,也可能很大。例如1923年东京地震使15万人丧生,200多万人无家可归。1986年的切尔诺贝利事件引起近10万人丧生,而6万多km2被污染的土地需要800年才能恢复生机,其直接损失高达2 350亿美元。
2.3 以风险观点看问题
风险概念是在事件还未发生时,对其危险程度的量化。事件的风险值可表示为该事件发生后的损失与事件发生的概率值的乘积。文献[10]提出用主动停电的损失代替不受控的停电损失,用为了使该事件不发生恶果而必须付出的控制代价与事件发生的概率值的乘积来表示风险,以改善具体工程中应用风险概念的可行性。
设措施k的实施代价为Ck,而采用它可以使事件j的风险降低ΔRj,k,则所有Ck<ΔRj,k的措施都可作为应对事件j的选项,并具有经济上的可行性。要强调的是,不等式的右项是风险值,而不是单纯的概率值。
“3·11事件”清楚表明:对偶然事件的关注程度应该根据风险的大小,而不是概率的大小。如果小概率事件发生后的损失足够大,其风险值仍可能达到天文数字。配置了多种备用电源的冷却水系统似乎不可能彻底瘫痪,因此注入海水冷却的最后防线被忽视了,甚至在“3·11事件”发生后的相当长的时间内找不到海水注入的方法。虽然这个措施的控制代价十分巨大,但最终还是依靠它而避免了更大的核灾难。
2.4 勿以概率小而不防
核电站及大型水库等基础设施的设计标准很高,一般灾害即使概率高,也不会影响其安全性,属于低风险。超过设计标准的灾害一旦发生,则后果不堪设想,虽然概率极低,其风险仍然很大。核电站爆炸的损失可能比同样容量的传统电站高3个数量级以上,即使其爆炸的概率比传统电站低1000倍,也不应该忽略其风险。
美国有103个核电站,总的常规职业意外死亡率只有12人/年。但核泄漏则是全球灾难,一次就可致上万人死亡。不难看出,对于人员伤亡风险来说,核泄漏仍在最高因素之列。
因此,不必考虑的只是低风险事件,而不是小概率事件。对于各种高风险的极端事件链,不论其概率多小,也必须在防御系统的覆盖之下。“概率太小的事件可以不考虑”这类常见的说法是严重的误导。
人们会认为“3·11事件”是太多偶然因素的巧合,以后不可能发生这样严重的事件。但换个思路,也许应该为“3·11事件”中没有再叠加其他大的灾害而庆幸,例如刮的幸好是西风而不是东风。事实上,4月7日发生的7.1级余震又使400万户停电,10h后仍有304万户未恢复,并且东通核电站和核废料处理厂均失去外部电源若干小时,要靠备用发电机冷却。此外,专家也未排除今后再发生9级地震的可能。
人们也许还认为至少近期内不可能发生如此巨大的灾难,但专家认为今后30年内,在日本周围的东海发生大地震的概率为87%,东南海为70%,南海为60%。
3 骨牌效应为何未能及时阻止
在核电站发生意外时的紧急应对中,有3个关键任务,即安全停堆、导出余热、封存含放射性的物质。在每个任务中,都应该掌控信息,实时分析,识别隐患,优化决策,及时准备救灾物资,适时启动控制措施,以避免灾情扩大。
如果预防不及时,缓慢恶化阶段非但不能被终止,反会进入快速恶化阶段。如果缺乏自适应的紧急控制和校正控制,快速恶化阶段可能进一步恶化使系统崩溃。恢复控制的失策则会将灾难的影响在空间和时间上进一步扩散。
存在许多可能性,可以降低“3·11事件”的恶劣影响。只是没能及时抓住机遇,以停止骨牌进一步倾覆。下面略举一二。
3.1 技术措施方面的缺失
3.1.1 基础设施风险控制中的不当
1)规划与建设
基础设施的投资将随设计标准的提高而急剧增加,故总有一些更严重的灾害会超过实际设计值。问题是在给定的设计标准下,如何优化措施来尽量减少超过该标准的灾害损失。然后,就可以按照动态投资与风险之和为最小的原则来确定采用的设计标准。
福岛附近有9级地震的历史记录,但核电站仅按6.7级地震设计。已有研究报告认为50年内,FFNPP遭遇高度超过6 m海浪的概率约10%,但防洪坝仅5.7m高。从整个事件过程可以看出,当初的设计标准取得太低。但坝的提高总是有限,不可能完全避免海啸引起的漫坝,因此还应该事先准备好应对万一漫坝的方案。
虽然不可能把现役的核电厂全部改成非能动,但是可以考虑增加其他冷却措施,或是增加备用电源。例如,规划时就应该准备的恢复控制措施包括建设高位的直升机平台。这样,只要洪水一退,立刻就可以空运并建立紧急电源或紧急水箱。无论如何,备用柴油机布置在低位,甚至油箱放在地下,使备用电源比被保护的设备还脆弱,是不应该的。核泄漏后,由于没有足够的安全容器来存放厂房内的放射性积水,电气设备也就难以恢复,后者又加重了核泄漏。这也是建设中应该预想到的灾情。
日本有9个电网分属9家公司,电能基本就地平衡,电力交换能力非常有限。大地震造成TEP电源停运20GW,占装机的34%。电网资源的配置能力不足,没有跨区电力支援体系,没有有序用电预案而采取轮流停电。整整7d后,FFNPP的外部供电才开始逐步恢复。这充分反映了电网规划、运行和抢修中的不周。
2)运行与改造
FFNPP最早的核电机组已运行40多年,抗震强度一直未有提高。地震海啸前已发现后备柴油动力电源存在缺陷,应该知道在被淹时会发生严重故障。各机组都已严重老化,不适宜继续运行,原计划在2011年关闭。但是,TEP出于自身经济利益的考虑,希望再延长运行,而政府也为减少对进口化石能源的依赖,在“3·11事件”前1个月批准最早投运的1号堆再继续运转10年。
3.1.2 状态监视与信息发布的失误
一方面,由于控制室失去监控功能,而无法掌握堆内的水位和压力等重要信息。另一方面,由于人为原因而多次发布错误信息,不但误导了自己的决策,也打击了政府和民众的信心。
在紧急停堆过程中,有一根控制棒被卡住而引起堆芯有一处温度过高,由于未被监控系统及时注意,拖延了3h才被处理。现在还不清楚,这个失误对后来堆芯熔化的影响如何。
3.1.3 预防控制的缺失
对事故严重性的估计不足,使整个应对过程相当被动,拖延了决策,动摇了信心。按理说,当海啸刚形成还未传播到福岛时,失去全部备用电源的前景已成定局了。预防控制已经等同于紧急控制了,例如要求外部支援移动式发电设备,增加蓄电池,准备临时馈电回路,并统一策划紧急供电方案。但从事后的报道来看,决策者一直在被动地追赶着灾情。
又例如,为了封堵电缆竖井侧面的裂缝,以停止不受控的核泄漏,在现场前后尝试了水泥、高分子聚合物、锯末纸屑等填充物失败后,直到4月5日注入水玻璃后才成功封堵。奇怪的是这样的试验居然在40多年内都没有做过预案试验。
3.1.4 自然灾害确认后的紧急控制
虽然在相当长的时间内,人类还不可能实现短期的地震精确预测,但一旦离震源最近的地震台根据破坏力较小但速度较快的P波,识别出地震后,可立即通过手机强制发布地震警报。由于电磁波的速度比破坏力大的S波快,故离震源较远的居民可以赢得几秒到几十秒的自救时间,凭借自救知识拿起常备的防灾袋并躲到桌下,并通过一键自动装置,切断煤气、电、水,避免次生灾害。东南亚海啸后,日本建立了海啸预警系统,在这次地震后的近10s内成功帮助了许多人逃生。
海啸的传播速度远远低于地震波。日本对海啸的知识普及要比对地震差得多,看来,TEP并没有充分利用从地震警报到海啸袭击福岛之间近1h的宝贵时间,及早拟定备用冷却方案。
美国在2001年的“9·11事件”后建立了在遭到恐怖袭击时保护核电站的系统,利用空军将包括发电机和水泵等冷却反应堆的相关器材送到美国的任何地方。这样的紧急控制措施值得借鉴,特别对于地域辽阔、地貌复杂、灾害频发的国家。
3.1.5 交流备用电源失去后的紧急控制
外部电网被地震破坏后,备用柴油发电系统又被海啸彻底损坏,反应堆的冷却系统开始由蓄电池驱动。此时的重要任务是,在适度放松的反应堆温度上限的约束下,尽量节电并争取建立持久的电力供应。
针对电源安全存在多种控制手段:①恢复控制,即立刻着手恢复原来的外部电网;②紧急控制之一,抓紧敷设临时的电力电缆,建立从最近可靠电源点供电的外部电源;③紧急控制之二,紧急增强内部的临时电源,如空运发电设备和蓄电池组件;④校正控制,即适度降低堆温的安全裕度,将冷却系统调整到最省电的工况。
此外,针对核安全的预防控制,即人工向安全壳内部注入海水的方案,此时就应该进入实战准备。
并行实施上述措施的总代价相当可观,但与所面临的核风险相比却微不足道。按风险观点决策,无疑会立即同时实施上述措施,并根据事件演化的具体情况进行协调,例如在线按风险优化配置的原则,设置热稳定裕度的短期下限。
而按概率观点决策,就会等到一个措施失败后,再去考虑另一个措施。至少从公开的信息看,TEP和日本政府不幸又一次选择了概率观点,可能认为多重常规备用电源都失效是绝不可能的。不应该发生的还有:在国家层面居然没有舰船型、空降型移动电源可供调遣,临时架设供电线路又居然花了这么长的时间。
3.1.6 蓄电池耗尽后的紧急控制
待到仅有的1组蓄电池耗尽,堆内剩余的衰变热量无法继续导出,高温燃料与水反应产生大量氢气。此时的首要任务是防止氢气爆炸。
可能因为侥幸心理,或出于最大限度保存股东财富的企业本能,TEP在1号机组厂房爆炸前的关键8h内,没有果断注入海水来降温,从而失去了在事故初期迅速降温,将事故缩小的机会。并且直到4月初才考虑注入氮气以减少氢气爆炸的危险。
3.1.7 氢气爆炸后的紧急控制
氢气爆炸掀开了机房顶,但拖延了整整3d才开始从空中投放冷却水。最初,直升机以慢速飞行方式,而不是悬停方式作业,大大影响了投水的精确度。
用来吸收弃用核燃料棒自衰变热量的乏燃料水池,在外部火灾的影响下,水位下降,温度上升;向破损厂房内的冷却池里人工注水的作业也告失败,终于酿成史上第三次重大核事故。
3.1.8 恢复控制
日本东芝表示,要彻底报废核泄漏的4座反应堆,最快要花费约10年时间,包括取走核燃料棒及乏燃料棒,拆毁核设施以保护土壤免受后续影响。
3.2 应急管理措施的缺失
3.2.1 决策者的责任心与勇气
日本政府承认灾前准备不足,对核电站运营监管不力。危急时刻,日本政府缺乏直面公众的勇气,将政府职责交给企业,由核电站自身决定如何应对核泄漏风险。
FFNPP的事故管理规程认为发生严重事故的可能性极小,居然没有关于水灾和地震等极端外部事件的程序,甚至没有如何向消防队及自卫队求助的指导文件。一旦危机发生,连本来具备的应急能力也无法正常发挥,甚至起了反面作用。
3.2.2 缺乏透明度的信息失去公信力
由于核电灾难的特殊性和人们对社会因素的关注,公众原本就不容易接受核电。TEP一再回避实质问题,第一次爆炸5h后才作出详细说明,而官员对核辐射量不一致的表态更扩大了社会恐慌。媒体发现日本核电的安全隐患一直被隐瞒,灾难之前的TEP曾经28次修改反应堆的数据,甚至1978年发生的临界事故直到2007年才被公众知晓。
3.2.3 政府协调与监管不力
有研究报告认为50年内,FFNPP遭遇高度超过6m海浪的概率约为10%。但TEP并未修正任何安全方案,而监管部门也未要求重新核查风险,几乎放弃了监管职责。
能源安全要充分考虑时、空、物多方面的沙盘推演和风险管理。但是,FFNPP的灾难应变计划只针对小规模意外,而监管者却没有发出整改指令。例如:以传真机作为与外界通信的主要工具;6个机组的中央控制室在停电18d后才全部恢复照明;受派遣进入核电站的人员居然没有做足防辐射措施。
政府调配资源低效,救灾物资运送延误。各方面互不信任,应变僵化等问题也增加了局面的混乱。3月底的民调显示,不认可政府作为的比例,在地震海啸方面为39.2%,而在核泄漏方面则高达58.2%。
3.3 勿因自负而不思进
经常听到的另一个观点是:系统已经很强壮,不需要也不应该再考虑系统的紧急控制。的确,保护控制系统本身也有不可靠因素,其误动或拒动无疑都会雪上加霜。但是,绝对不能没有紧急控制和校正控制的设防;正确的态度应该是探讨保护控制系统本身的可靠性应该提高到什么水平?
强壮的身体可以减少得病的概率,也有利于一般手术后的恢复。但对于车祸这样的严重事故,身体是否强壮不再是关键因素。即使对于运动员来说,急救服务和车祸保险等风险控制手段也不可或缺。
在事故前就应该研究,如果迫不得已要用海水来冷却,有多少方式可以注入海水?控制代价可以放宽到什么程度?这样,就不会造成束手无策的局面。
同样,不能主观上认为电网足够坚强而放松防御。即使电网在N-1的准则下安全,但在大面积冻雨、地震等非常态的故障下,损坏的可能不是一条线路而是整个变电站。此时要完全避免停电也许并不现实,但至少应该保证停电被控制在尽可能小的范围内。只要控制代价小于该不可控的停电风险,就应该在紧急控制或校正控制措施中作为备选。
4 应急管理是多领域交叉的系统工程
“3·11事件”的始作俑者是一序列有因果关系的自然灾害,但即使对于由若干个彼此独立的故障(包括暴力破坏)组成的复合灾害,也必须以整体的,而不是以孤立的观点去分析。
4.1 不同领域内的问题互相推波助澜
日本民众在海啸和地震面前比较镇静,应对也较有经验,但对核泄露却缺乏训练和心理准备。政府没有果断确立统一的指挥权,而完全交由TEP这家垄断的民营企业处置,引起民众不满。TEP为减少股东的资产损失,没有及时采取有力措施,企业形象毁于一旦。又由于TEP多次隐瞒燃料棒损坏与辐射严重超标等信息,日本国内外的焦虑不断放大。
应急体制、监管责任、技术决策、经济博弈、民众知情权等诸多方面都存在重大失误,在它们的交互作用下,负面影响被不断放大。
4.2 电厂与电网之间的交互影响
电厂和电网密切联系又交互影响。任何一方的技术装备、决策系统、管理系统、信息发布系统的失误,都可能引发灾难的扩大化。
“3·11事件”中,大地震事故重创了日本电力系统,造成11座核反应堆、10台火电机组、15座水电站停运。大东京地区失去1/3发电容量,而由于电网的设计理念是就地平衡,与外部的东北电网、中部电网的交换能力非常有限,故发生长时间的大面积停电。日本虽已全国联网,但缺乏全国统一调度的有力管控,在紧急情况下无法迅速采取措施,使TEP陷入困境。而反应堆的冷却系统和控制中心又因迟迟得不到外部电力支持而最终发生核泄漏。
4.3 技术措施与管理决策之间的交互影响
管理上的低效与失误阻碍了决策的优化及技术措施的落实,例如:①负责核电站安全的部门与TEP都直属日本经产省,这样的自我监管体系势必会过多考虑企业利益;②政出多门,以致首相都难以全面调配资源;③听由TEP单独抢险,连核设备制造商都未参与;④拒绝或延误了他国的帮助。
反过来,技术决策的失误增加了民众的不信任感,从而更加深了管理上的混乱。
4.4 技术领域与经济领域之间的交互影响
经济和技术的发展有利于对自然灾害的预警与抵御。但如果灾害超过了防御能力,那么发达地区的损失将更惨重。日本的核安全技术的确相当先进,核泄漏事件的概率并不大。但一旦发生,其损失却极其严重。如果该损失值与发生概率的乘积(即风险值)很大,那么只要是代价小于该值的措施都应该在预案中予以考虑。
技术领域中的能源流从发电厂通过电网送到用户,经济领域中的资金流则反方向流动。随着社会的发展,两者耦合得越来越紧密。例如,TEP为避免反应堆的永久性损坏,错过了注入海水降温的最佳控制时机。其实质原因是把投资者的经济利益放到了社会公共利益之前,但结果却是TEP因此而失去更多。
4.5 能源风险管理与环境风险管理
核电是清洁能源,目前占世界总发电量的16%;在法国则占总发电量的80%以上。目前世界上商业运行的大部分是第二代核电技术,而第三代核电站将预防和缓解严重事故作为设计前提,据称可将核泄漏的概率降低100倍。
中国“十二五”规划确定了“在确保安全的基础上,高效发展核电”的方针,计划到2020年占总装机容量的6%,是重要的清洁能源之一。中国政府强调核电的发展要把安全放在第一位,在吸取“3·11事件”教训后,会调整其发展的规模与节奏,但不会改变其发展核电的总体战略。
虽然中国的核电建设充分吸取了三里岛和切尔诺贝利核电站的事故教训,采用了先进的、经运行检验的成熟技术,在选址、设计、建设、调试和运行、退役5个阶段均有严格的法律法规、标准和技术规范要求,遵循国际原子能机构的安全标准和技术导则,但这并不等于就能高枕无忧。
“3·11事件”向世界警示,必须重新评估核电安全。世界和中国的核电不会因噎废食,但必须更加重视设施的安全与保障问题[11]。不但要有比常规发电更高的安全标准、更严格的质量管理、训练有素的人才队伍、有效的核风险预警和防御,而且要完善突发事件的预防和应对机制,配置必要并充分的资源,构建先进的防御体系。
如果人类继续以破坏方式掠夺资源,藐视自然,大自然一定会以灾害回惩人类。各国在环境保护方面休戚与共,任何环境恶化均可能影响整个地区。
4.6 能源、经济与环境的综合仿真分析
相继天灾的综合安全防御是一项极其复杂的大系统工程,需要多部门跨领域联合协作。电力界在这方面做了积极有益的探索和实践,提出应该统筹考虑包括规划、建设、技术、措施、管理、公共危机处理等因素,以全局的风险管理理念,进行多维度的时空协调综合安全防御。
在预想故障和参与者博弈下,对电力、能源和环境等安全进行量化分析,在参数空间中找到物理安全域、经济安全域和环境安全域,其交集即全局安全域。当工作点在全局安全域外时,就需要评价它的不安全程度及寻找控制决策,来引导该不安全工作点到全局安全域中。
5 电力安全防御是国家安全防御体系中的重要组成部分
5.1 电力应急管理的顶层设计
“3·11事件”暴露了日本电力系统规划和建设中的某些偏颇,也诠释了对极端外部灾害及时预警和全局防御的重要性。外部灾害可分为自然灾害和社会灾害,前者包含气象类(如雷电、风暴、洪水、冰灾)和地质类(如地震、泥石流、火山),后者包含人为破坏类(如大规模恐怖活动和战争)和金融类(如电力市场崩溃)[12]。
风险管理应从运行环节扩展到建设环节,如优化电源布局和电网结构;通过及早预警(信息采集和数据挖掘),有效预防(预防控制),及时启动紧急预案(紧急控制),根据危急表征的就地应对(校正控制)来避免突发事件演化为公共危机;通过灾害的善后处理(恢复控制)来尽快地回归正常秩序。
在系统被削弱的情况下,信息的不充分、自动化系统的故障、人为的决策失误等都可能诱发新的扰动。在一系列相继打击下,再强壮的核电系统也可能导致全球性灾难[13,14,15,16,17]。
为此,应该在国家层面上规划好全局应急体系,统筹各行各业对重大灾害的防范;明确各有关部门的应急职责及部门之间的接口,建立快速联动机制和协调机制,提升整个社会应对极端自然和人为灾害的能力;建立不同产业部门之间的相关信息共享机制,预警和决策的及时通报机制。
5.2 中国的停电防御系统:创新与不足
文献[18-20]分析了防御系统在广域信息、仿真分析、决策支持这3个核心功能上的不足。文献[21]将其扩展到一次能源、环保排放、技术支撑及多方博弈等环节,指出对外部灾害的及时预警和对群发性相继故障的全局防御的重要性。
中国独创了电力系统安全稳定性的量化分析、预警与决策优化技术,提出了停电防御系统的框架,并得到大规模的工程应用[22,23,24]。但在处理相继自然灾害、各种不确定因素等方面还迫切需要提高,没有任何理由固步自封[25,26]。需要建立更完善的应急体系,保证在紧急情况下快速反应、协调有序、高效运转。
5.3 一次能源的风险管理
“3·11事件”后,各国都强调核安全问题,但核电政策则有所不同[27,28,29]。法国和韩国重申以核电为主;美国和俄罗斯在短期内会放缓建设,但不会改变长期发展;印度将重审核能发展计划;英国严格控制新建核电;德国将彻查安全标准并逐渐废核;澳大利亚和以色列等则坚决抵制核电。
大规模水电受到安全性和生态方面的指责,可再生能源的成本与增量,在相当长时间内难以满足全球经济发展对能源的巨大需求。
人类当然希望找到没有显著缺点,而且足够充裕的一次能源。但问题是,各种一次能源都有自己的局限性,如果因为采用某种能源有一定风险就不予考虑,那么人类就没有多少能源可用了。只有舍弃偏见才能找到风险最小的能源出路。今后,对核电的准入条件、设计建设施工标准、事故防范标准的审查力度必然会大大加强,但总的政策趋势不会改变。
5.4 三道防线理念的扩展
综合防御由小概率灾害带来的高风险,必须从技术、规划、措施、管理、公共危机处理等侧面进行多维度的时空协调综合防御。
将广域信息的采集范围从电力系统内部扩大到自然环境和社会环境,就有可能预测冻雨、台风、雷击等自然灾害,以及一次能源和环境条件等的发展趋势,留出更长的时间来准备应对预案,调度救灾物资及部署抢修队伍。动态评估电力系统通信系统和公共通信系统的风险及其对停电防御的影响,将有效预警的时间尺度从分钟级扩大到小时级;将预警目标从单故障风险延拓到群发性相继故障的风险;将自适应优化的决策范畴从减少停电规模(通过预防控制和紧急控制)扩展到同时考虑减少停电时间(通过恢复控制)。尽量避免突发的小概率事件演化为大范围的公共危机,并通过对灾难的善后处理尽快地回归正常秩序。
5.5 相继自然灾害等极端情况下的风险控制
葡萄牙1755年发生的大地震使首都1/3居民遇难,国家由此走向衰落。可见,防御极端自然灾害的重要性。一般来说,如果能大量减少人员伤亡的风险,高代价的预防控制也是值得的。
对地震和海啸的预报是世界性难题,正确预报的可能性虽然很小,但人类的认识一定会取得进步。海啸传播预警系统的不断完善,可以更充分地利用从发生地震到海啸到达的若干分钟,来告知公众做好逃生准备。
如果在“3·11事件”中,电网又发生大面积倒塔、变电设备受损、误操作等,后果将更加严重。故要加强电网调度和安全稳定管理,确保重要用户的可靠供电,进而杜绝大面积停电事故。开展特殊方式风险分析和预警控制,落实防外力破坏措施。加强各级应急指挥中心建设,加强民众的应急演练和培训,加强应急物资储备和管理。这些都是智能电网的任务。
5.6 基础设施的规划与建设
TEP与中部电力的电网总交换容量仅1.2GW;与东北电力之间为2.0GW。“3·11事件”表明这样的配置能力远远不够应对极端灾难。输配电设施在地震海啸中的损失主要集中在东北电力所辖电网内,但至今仍无具体报道。TEP所辖电网设施则在16日得到恢复,这与其网格型主网结构的可靠性有关。
统一规划,加快建设以特高压电网为骨干网架,各级电网协调发展的坚强智能电网,有助于在大范围内优化配置电力资源,增强事故支援能力。要提高供电可靠性,还必须注意加强配电网[30],并解决新能源大规模入网的安全性问题和充裕性问题。
5.7 运行可靠性的分析与控制
电力系统的运行可靠性包括运行安全性及运行充裕性2方面。安全性反映电力系统在故障中不失稳(包括热稳定性和动态稳定性)的能力。充裕性是电力系统满足用户需求功率(包括瞬时备用和中长期备用)的能力。在发电与输配电环节中都存在安全性与充裕性问题。
为了解决充裕性问题,必须协调优化备用容量。目前确定备用容量的一般做法是,在负荷预测及可再生能源发电预测的基础上,优化发电侧备用。当发生“3·11事件”这样的极端灾害时,充裕性问题变得非常突出。
此外,大规模可再生能源发电的出力有强烈的间歇性、随机性、波动性、难调节和反调峰特征,向传统的备用容量配置方法提出了挑战。除了启用经济性差或封存的火力发电机组,要求自备电厂满发电以外,通过需求侧管理、计划限电或紧急可中断负荷控制这些效用发电容量,将是重要的控制手段。如何发展与可中断负荷相匹配的可中断负荷市场,如何协调各种不同技术特性的备用容量,均需要深入研究。
5.8 信息采集系统的扩展
既然涉及极端外部条件,就需要采集能反映它们的环境数据,融合并监控各种非电气数据,例如电网覆冰、台风动态、应急装备和救灾人力等。
目前的防御体系尚未引入气象、地质等外部信息及相应的风险分析功能,故无法在极端外部条件下及时预警。由于在线预评估功能针对的仅仅是固定的故障集,不能周期性地将相继故障按风险排序,故预防控制和紧急控制的预决策就难以有效抵御复杂故障序列和停电模式。由于不支持恢复控制的自适应优化决策,故停电后的恢复阶段中不得不依赖于离线制定的少量预案。
5.9 多领域的防御体系,多尺度的早期预警
现代社会强烈依赖于多领域的科技成果,供电、供水、交通、通信等环节出现的问题都可能导致整个社会瘫痪。核能可被转换为清洁廉价的电能,造福人类。但如果灾害的强度超过了核电系统的防御能力,带给人类的痛苦也许远甚于它曾经带来的财富。
电力系统只是能源系统和环境安全中的一个重要环节,其他环节的故障都可能引起供电可靠性问题。因此必须考虑电力系统与外部环节的相互影响(见图1)。电力系统的安全稳定性会影响各外部环节的正常运行,反之亦然。
电力系统是本质垄断行业,并在电力市场方式下运营,所以监管必不可少。然而,不当的监管对电力系统可能有更深远的破坏性。需要在物理模型和经济模型上通过实验经济学的仿真来支撑监管决策。
在管理制度上必须引起足够重视,加强事前对信息的挖掘和披露,以及建立在充分信息基础上的过程管控,并在不同的时间尺度上实现预警。
5.10 防御系统自身的强壮性
唐山地震严重破坏了载波通信系统,使调度中心与东部电网彻底失去联系,对救灾工作造成很大困难。防御系统中的通信网络安全性和信息可靠性问题已成为关注的重点。必须研究如何在危及本身的极端灾情下,保存核心控制功能;研究各种广域量测数据和仿真数据的完备性、适时性和价值的评估技术;研究在广域信息不完全条件下的分析、控制技术。还应该深入探索广域动态数据的挖掘技术,重视信息的深度加工和有效表达。
6 坚强智能电网是应对新挑战的愿景框架
6.1 能源安全与环境安全的支撑
电力工业必须保证能源流、资金流、信息流通畅及排放量可控,进而达到电力安全、能源与环境安全的目的,故必然受一次能源、环保排放、技术支撑及多方博弈等因素的制约。
“十二五”规划再次明确“优化能源结构,合理控制能源消费总量”的总体发展思路,建设山西、鄂尔多斯盆地、内蒙东部、西南地区和新疆五大综合能源基地,在确保安全的基础上高效发展核电。中国在购买美国专利的基础上,合作生产的第三代反应堆AP1000是一种非能动安全的核电站。当堆温升高时,依靠反应堆的物理特性自动减弱核裂变反应,自适应地稳定堆温。即使冷却泵因故停转,冷却水仍能维持自然循环而带走堆芯热量[31]。
中国水能集中在西南,陆地风能集中在东北、华北和西北,太阳能集中在西藏和西北。这些远离负荷中心的能源基地规模很大,需要通过坚强的电网外送,既保障发达地区的能源需求,又有利于改变资源城市的发展模式。为此,国家电网公司提出“以特高压电网为骨干网架,各级电网协调发展的坚强的智能电网”[32]。
坚强的智能电网是能源防御体系和环境安全体系的重要环节。它有利于推动并最大程度接纳可再生能源,改变能源运输方式,支持能源在广域内的协调,提高电能在终端能源中的比例。电动汽车智能充换电服务网络的建设和用电方式的转变也有利于清洁能源的有效利用和消纳,以及节能减排任务。
6.2 供电可靠与经济优质的保障
大电源与长距离重载线路大批投产,交直流输电工程混合运行,电网运行控制难度不断加大,自然灾害、恶劣气候和外力破坏都对电力安全提出严峻挑战。
在诸如电网建设规范、电源布点和接入、分布电源、分片分电压等级保证关键负荷用电等有关一次系统方面,以及在诸如气象、地质和环境等信息的融入,相继故障风险分析和管理,恢复控制的自适应能力等有关二次系统方面,智能电网都大大提高了电力的安全性和经济性。
人们往往按照事前设想好的固定方式应对灾害,而缺乏在管理突发性危机问题上的随机应变能力。掌握由偶然故障演变为灾难的规律和机理,就能针对各个演化阶段的特点,自动切换控制模式,实现功能的自组织,优化并统筹各阶段的对策。
6.3 认真吸取“3·11事件”的教训
虽然中国沿海地区地震的风险比日本低,但鉴于中国自然灾害多发,核电站的建设和运行都必须建立在严密的风险分析基础上。即使发生了事前未预料到的灾情,反应堆也能安全停闭,不会对当地居民和自然环境造成危害。
中国正在不断努力建设坚强的智能电网,充分利用分布式电源,发展储能和微网。提高输入信息的充裕性和安全性,保证决策的强壮性,支撑输出信息的可用性和披露灾情的透明性。在线自动刷新预案,在实际发生事故后有序应对,以有效应对高风险的小概率事件,保证重要负荷在非常态突发灾难中的供电。
7 结语
目前关于“3·11事件”的信息还很不完整,不可能全面评估该事件的影响和教训。希望引起关注的是:如何看待及处置高风险的极端外部灾害,如何从国家层面构建覆盖电力、一次能源、经济、环境的综合安全防御体系,以及该防御体系与坚强智能电网的交互。
相继天灾的特征是小概率和高风险。电力工业需要全面提升应对高风险事件的能力,包括基于风险观点的规划与建设,地质、气象等非电气信息的引入,外部风险的早期预警,运营风险的在线分析,极端灾难的综合防御。为此,必须采集有关的环境、装备和人力等非电气数据,从中提取知识,在多领域多系统中协调优化决策。
无论是此前发生在北美的“8·14”大停电,还是此次发生在日本的“3·11”核泄漏,都是对高风险小概率事件处置原则的深刻教训。勿仅以概率很小而不设防,也勿因自信过分而不思进。天灾人祸的防御是人类永恒的使命。值得反思的是:如果这样的大灾难发生在中国,哪些方面会做得好些?而哪些方面可能还不如?
无疑的是,中国核电的安全水平和政府救灾的调配能力,远优于TEP和日本政府在“3·11事件”中的表现。但这绝不能成为放松风险意识的理由。人类必须学会敬畏自然、敬畏规律。通过对“3·11事件”的反思,人们对能源安全和环境安全的认识必将更加深刻。拓展中国电力系统行之有效的“三道防线”理念,以保证对那些小概率高风险的非常态突发事件仍能有序地控制。
综合防御 篇8
典型的DDoS攻击,攻击者会尽可能地向其他主机发出攻击包,进而感染成为攻击区域,并不断蔓延,直至完全瘫痪整个网络。目前防御DDoS的机制多采用建立在服务器端与客户端,譬如:增加服务器或是在使用者端架设防火墙(Firewall)。这些加强服务器端与客户端的方法并不能有效抑制攻击,最终整个网络还是会被瘫痪掉。所以必须从网络节点着手,逐步地隔离出一个安全没有攻击的环境,进而消灭攻击。
基于上述原因,本文旨在发展一套能在网络各节点上迅速反应的机制,而主动式防御网络正是具有上述优点的环境。主动式防御网络是一种新颖的网络架构,主动网络中的节点(路由器或交换器)可以被改变其服务功能(更新、增加或删除)。透过这样的改变,使用者可以将个性化的服务发布到网络节点中,而整个软体的架构也变为组件模式(component/middleware compo-sition)。整个应用软体通过各种不同的基本服务组合(service composition),提供不同的应用服务。
在传统网络中,网络节点总是被动地处理经过的封包,数据包只携带数据(data)。当网络包进入网络节点(路由/交换机)后,网络中的节点只负责路由和封包,依照路由表的信息将数据包发送到目的端的网络上。这种模式又称为储存并转送(store and forward)模式。而在主动防御网络中,一组数据包可以包含一组程序及数据。网络节点提供一个可以载入数据包中程序的环境,并依程序执行的结果来处理数据包内的资料。因此新的网络服务或通讯协议,便能在网络上快速布置。这种封包的运行模式又称为储存、计算并转送(store,compute and forward)模式。
1 DDOS攻击常见形式
攻击程序可以细分成逻辑攻击(logic attacks)与洪水攻击(flooding attacks)。逻辑攻击的目的是造成服务器宕机或使服务器系统资源消耗殆尽。预防这类攻击,服务器必须不断更新系统软件防止漏洞(bug),并且过滤特定封包的顺序。典型的例子有:SYN洪水攻击、IP碎片攻击、缓冲区溢位等。
2 主动防御机制设计
本文提出主动式防御网络抵御DDoS攻击,该机制包括组成模块、系统架构和系统运行流程。
2.1 主动式防御网络模块
分析模块:此模块会先搜集网络节点的流量统计与应用程序使用状况,并且持续监测系统资源的使用度。而从网管中心接收到特定补丁后,会依攻击所记录的属性,一一判别并过滤出可能的攻击包。其中,属性的栏位包括:网络地址(IPv4或IPv6)、该攻击包所属的子网域、所使用的网络协议、单位时间内所接收到相同包的标准值以及针对单位时间内所接收到相同流量的标准值等。
防御攻击模块:此模块处理分析模块送过来的信息,过滤特定网络地址数据包,关闭特定域或服务,以及对造成网络拥塞(congestion)的来源限制流量(ratelimit),确保该主动式防御节点的安全。而该模块必须是在管理者权限下运行。在执行阻绝攻击的同时,必须清查该网络节点有无被恶意攻击者入侵且移植木马程序。此外,在阻止攻击之后,必须发送一个主动式封包记载侦测到的攻击属性,向攻击封包的来源(前一个网络节点)发出警告。
区域模块:此模块负责记录该主动防御网络所处的子网域中各节点的安全状况,即判断节点处于安全区域或攻击区域;接收其他主动式节点送来的区域安全信息。区域模块会维护一份清单,内容包括信任区域、不信任区域及攻击区域所包含的网络节点;此外,会定时对其他网络节点发送该点的安全状况。倘若,在一段时间内没有收到某些网络节点的安全状况,直接将那些节点加入攻击区域,直到该点有回应安全状况为止。图一为本系统的网域环境图,以一个子网域作为执行的单位。每个子网域都由网管节点预先执行并确认防御包的有效性,同时预先建立一个备用的网管节点,以防原本的网管节点因中毒而无法发布主动式封包;备用网管节点将放在子网域交界的边界路由器(border router)上。网管节点会先将特定攻击的防御包发布给所有子网域的主动式节点,当每个主动式网络节点收到防御包时,先确认与自己有封包传递行为的相邻节点没有正在检测的情况,然后进行检测工作。
针对不同类型的攻击有不同的防御方法,譬如:ICMP洪水攻击可以设立一段时间有多少个request/echo封包到固定起点或终点的最高值,超过这个最高值就认定是一项攻击;而TCP洪水攻击则可以通过判断SYN包,如一段时间有过多的SYN包到同一个服务器,或一段时间服务器有过多的SYN+ACK包回应,就认定这是一项攻击等。这些不同的攻击都可以使用不同防御机制来启动攻击分析模块。
2.2 主动防御机制运行流程
下面将以系统流程图来做说明主动防御机制的运行流程。为便于说明,先介绍系统的运行环境和做以下假设:
1)所有的主动式网络节点都信任网管节点所发布的主动式封包(通过认证)并且主动式封包携带防御代码都可执行。
2)每个客户定义的主动式应用程序都必须通过网管节点做事先认证,并且由网管节点作统一发布,避免有恶意的客户端发布具攻击性的应用程序破坏主动式防御网络的安全性。
3)客户端可以是主动式网络环境或是被动式的,若为主动式网络环境,必须通过上一个假设发布客户端程序码。
4)如果在不完全是主动式节点网络情况下,被动式的节点即视为末端使用者。
5)每个子网络的网管节点代表该网域的程序服务器并且假设网管节点是安全的。如果网管节点被攻击者攻击造成无法正常运作,必须准备备用的网管节点。
6)网管节点只是负责发布防御码,并不需要负责协调工作。取消居中协调者是本系统的特色之一,如果有一个居中协调的节点,该点流量与负载会比其他节点高,造成拥塞的机会大。而且,一个居中协调的角色一旦宕机(crash),其他节点便不能正常运作,变成一个明显的弱点,让攻击者多一个攻击目标。
ADDS系统流程如图2所示,一开始由网管节点发布特定防御包给所有的子网络节点,每个节点在收到防御码后,针对特定攻击纪录的属性去清查该点是否遭受攻击或是在转送攻击包。如果没有的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入安全区域;如果有的话,该点进一步使用管理者权限去清查该项攻击所需使用的服务。接着侦测是否能停止攻击,如果可以停止攻击事件的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入信任区域,并且告知该攻击封包的来源路由器(upstream router)需要进行杀毒;如果不能停止攻击事件的话,该点就发出封包给所有节点告知自己是处于被攻击状态,请其他节点将其加入攻击区域;若是该点已无能力进行发包动作,这时,所有节点再经过一段等待时间后,即将该点加入攻击区域。图三则是对未知攻击的侦测流程。当网管节点发布未知攻击的侦测包之后,子网域内各节点开接收主动式防御包,并且依序确认该网络节点是否遭受到攻击和是否转送攻击包。首先,每个节点先确认该点的系统资源并设定系统资源的门槛值:当网络节点CPU使用率超过80%且有80%的CPU使用是在处理相同属性的网络封包持续达五分钟时,就认定该节点受到攻击,依序暂停使用CPU时间最多的网络封包直到CPU使用率不会超过门槛值,然后检测使用CPU时间最多的网络包是通过哪些节点,进而发出主动式防御包向上游路由器追查来源的使用者。如果不能停止这些网络封包的话,就发出封包给所有节点说明该网络节点为攻击区域,反之则加入安全区域。
3 结束语
该文作者通过应用主动式网络防御机制对各种网络环境参数做模拟实验,得到如下结果:相对于没有防守机制时,使用主动网络防御机制可以让网络存活时间(network surviva time)增加337%,并且在攻击发生时降低CPU使用率(CPU utilization wasted by undetected attacks)33.55%,但与此相对的,也有8.53%的合法封包会被误判成攻击封包(legal traffic dropped rate)。
摘要:随着网络技术的发展,DDoS(分布式拒绝服务)攻击正在对整个互联网产生巨大的危害,当DDoS攻击扩散的时候,如果能迅速确认网络各节点的安全情况并启动相对应机制的话,将隔离并缩小攻击者所造成的攻击区域和危害。本论文将提出一种新的防御机制,对网络中每个节点进行侦测,将整个网络分成信任、不信任、攻击等几个区域,再利用防御包携带防御代码并修补安全漏洞。
关键词:DDOS,主动防御,策略
参考文献
[1]David Wetherall,Ulana Legefza and John Guttag.Introducing New Internet Services:Why and How[J].IEEE NETWORK Magazine Special Issue on Active andProgrammable Network,1998.