防护等级

2024-09-29

防护等级（精选8篇）

防护等级篇1

1 概述

随着我国公路建设的飞速发展, 高等级公路边坡综合防护系统研究日渐引起公路部门的重视。边坡综合防护设计是高等级公路设计的重要内容之一, 需根据公路等级、降雨强度、地下水、地形、土质、材料来源等情况综合考虑, 合理布局, 因地制宜地选择实用、合理、经济、美观的工程措施, 确保高等级公路的稳定和高速行车安全, 同时达到与周围环境的协调, 保持生态环境的相对平衡, 美化高等级公路的效果。随着环境问题的日益严峻, 为了环境的持续发展, 环境会计学诞生了, 国际社会第一次认真地考虑把环境和资源的损失计算到经济成本中去, 经济增长必须考虑到环境的代价, 即由环境问题引起了环境会计和环境审计。如何在加快公路建设和汽车工业发展的同时, 减少对环境的损坏。降低噪音, 吸收汽车排放物, 恢复自然生态平衡已成为目前公路设计部门的当务之急。

2 边坡侵蚀机理研究

通过对边坡力学特性研究, 可得以下结论:

公路边坡由降雨产生的坡面流与明渠流具有不同的水力学特点, 它应该是产流降雨强度、坡长、坡角、粗糙系数的函数。由于坡角增大一方面使势能向动能的转化加快, 另一方面却使单位坡长所接受的降雨减少, 因此边坡的流速应该存在一个临界坡角, 从Muzik的边坡径流平衡时间关系式出发, 推导出了一个公路边坡坡面径流流速的关系式 (紊流) :

式中, K为系数, L为坡长, a为边坡坡角, n为边坡坡面粗糙系数, δ为产流降雨强度。通过对此式的数学处理得到边坡坡面流速的临界坡角为41°左右;考虑到边坡土壤侵蚀量是流量与流速的函数, 进一步推导出公路边坡土壤侵蚀量同样存在一个临界坡角, 这个坡角大约在25°左右, 这与公路边坡常采用1∶1.5坡率很是接近, 因此对边坡的防护应引起足够重视。

边坡在自然界降雨情况下不断经受降雨的袭击, 其中一部分下渗, 一部分在边坡汇集, 形成径流, 径流在土颗粒表面产生剪切力, 当这种力大到能抵消土的抗侵蚀能力时, 土颗粒被径流带走, 从而发生侵蚀, 这种径流的剪切力与土壤粒抵抗力之间的相互作用不同相可引起溅蚀、溶蚀、片蚀、沟蚀等不同的侵蚀现象。

3 边坡防护类型及公路植物特性研究

按照材料将路基防护分为3类:植物防护、圬工防护和综合防护。

通过对公路植物的特性研究, 可得以下结论:

3.1 路基边坡土质、酸碱度、气候、降雨等是影响公路植物的主要因素, 由于路基边坡防护的特殊性, 故草种、树种的选择有别于园林绿化。

3.2 应根据植物的类型、气候适应性、土壤适应性、抗病性、抗侵蚀冲刷, 易粗放管理等要求选择适易的物种用于公路边坡防护。

3.3 尽量选用本地的物种, 其适应性远远优于引进物种。

4 边坡综合防护设计原则与注意事项

4.1 综合设计、就地取材、以防为主、确保施工是边坡综合防护设计的基本原则。

4.2 路基防护应按照设计、施工与养护相结合的原则, 深入调查研究, 根据当地气候环境、工程地质和材料等情况, 因地制宜, 就地取材, 选用适当的工程类型或采取综合措施, 以保证路基的稳固。不要轻易取消或减少必要的防护工程措施, 而给养护遗留繁重的工作量。

4.3 路基防护措施是根据沿线不同土质岩性、水文地质条件、坡度、高度和当地材料、气候等因地制宜选择, 应密切结合路面排水作综合考虑。

4.4 护坡方法应优先考虑采用植物防护, 当土质不宜植物生长及难以保证边坡稳定时, 要考虑经济性、施工及效果, 采用圬工防护或相应的辅助设施。

4.5 在防护方案设计时, 应参照上述设计原则, 初步选出护坡方法。在施工阶段, 要对每个边坡的排水、土质等调查, 根据调查结果变更原设计。

4.6 在不良的气候和水文条件下, 对粉砂、细砂与易于风化的岩石边坡, 以及黄土和黄土类边坡, 均宜在土石方施工完成后及时防护。路堑边坡应根据边坡岩层组成及坡面弱点分布情况考虑全面防护或局部防护。

4.7 对于土路堤的坡面铺砌防护工程, 最好待填土沉实或夯实后施工, 并根据填料的性质及分层情况决定防护方式。铺砌的坡面应预先整平, 坑洼处应填平夯实。

4.8 对于不宜采用植物或混凝土网格中空植草的破碎岩路堑边坡, 应综合考虑地形关系、基岩风化破碎程度、地震、暴雨、漏水、施工难易及经济性等因素, 慎重选择喷浆 (混凝土) 、护面墙, 落石防治等方案。

4.9 混凝土网格中空植草护坡的目的, 是防止受雨水侵蚀和风化严重的土质产生沟槽, 及不适宜植物生长的土质和由于周围环境需要绿化的地方。该护坡方法不能承受土压力且造价高于植物护坡, 使用时须充分分析。

4.10 对于水流、波浪、风力、降水以及其它因素可能引起起路基破坏的, 均应设置防护工程。在冲刷防护设计中, 可综合考虑河道整治, 使防护工程收到更好的效果。

4.11 对于冲刷防护, 一般在水流流速不大及水流破坏作用较弱地段, 可在沿河路基边坡设砌石护坡、石笼和混凝土预制板等, 以抵抗水流的冲刷和淘刷。需要改变水流或提高坡脚处的粗糙率, 以降低流速、减缓冲刷作用时, 可修筑坝类构造物。对于冲刷严重地段 (急流区、顶冲地区) , 可采用加固边坡 (砌石护坡) 和改变水流情况的综合措施;水下部分可视水流的淘刷情况, 采用加固边坡 (砌石护坡) 和改变水流情况的综合措施;水下部分可视水流的淘刷情况, 采用砌石、石笼或混凝土预制板等护底护脚。砌石基础应置于冲刷线以下0.5~1.0m, 水上部分采用轻型防护即可。

5 主要结论

通过对高等级公路边坡防护系统的综合研究, 得到以下主要结论和研究成果。

5.1 剖析了路基边坡的病害类型和原因, 提出了在边坡防护方面理论上的欠缺和在工程中缺乏综合设计的观点。

5.2 通过对边坡水力学特性和锓蚀机理的研究, 建立了流速与降雨强度、坡长、坡角、粗糙系数的函数关系, 确定了临界坡角 (41°左右) , 经进一步推导得出公路边坡侵蚀量同样存在一临界坡角 (25°左右) ;指出了公路边坡侵蚀的影响因素和侵蚀机理。

5.3 通过对各种边坡防护类型的分析及其特点研究, 提出了防护类型选择的原则。

5.4 通过对公路植物的特性研究及适应分析, 推荐了公路常用植物的外观特征、气候、土壤适应性及建植、管理特点, 使植物防护的选择有据可循。

5.5 根据公路自然区划和地质特点, 提出公路防护区划的思想, 并建立公路防护类型区划。

5.6 提出了高等级公路边坡综合防护的设计原则。

摘要：分析了路基边坡的病害类型、原因和边坡的侵蚀机理, 提出了边坡的防护类型、特点及防护类型的选择原则。

关键词：路基边坡,边坡病害,侵蚀机理,防护适用性,植物防护,防护区划,综合防护设计

参考文献

[1]JTG B01-2003.公路工程技术标准[S].

[2]JTG D30-2004.公路路基设计规范[S].

[3]JTG 018-97.公路排水设计规范[S].

防护等级篇2

(GA38-2004)本标准是对GA38—1992《银行营业场所风险等级和防护级别的规定》的修订。

本标准对GA38—1992修订的主要内容如下： ——对原标准的章节和内容作了较大调整，取消了原标准中有关管理内容的章节;——将原标准中划分的四个风险等级和相应的防护级别改为三个风险等级和相应的防护级别;——将原标准中划分风险等级的表达方式由表格改为文字描述，使风险等级的划分明了、易于操作;——对近年来在银行营业场所采用的新设备、出现的新业务项目，如自动柜员机(ATM)、自动取款机(CDM)、自动存取款机(CRS)。

中华人民共和国公共安全行业标准GA 38-2004

代替GA38-1992

Regulations on level of risk and classification of protection for banking

business place

2004-09-22发布 2004-12-01实施

中华人民共和国公安部发布

前言

本标准的全部技术内容为强制性。

——原标准仅要求在现金出纳柜台上方设置金属或其他材料的坚固防护栏，本标准要求安装具有防弹、防暴、防爆功能的透明防护板。透明防护板可以是防弹复合玻璃，也可以是其他材质;

——原标准对业务库未予明确定义, 本标准引用了JR/T0003-2000中业务库的定义。

本标准自实施之日起，同时代替GA38-1992。

本标准由中华人民共和国公安部治安管理局提出。

本标准由全国安全防范报警系统标准化技术委员会(SAC/TC 100)归口。

本标准由公安部治安管理局、公安部第三研究所、全国安全防范报警系统标准化技术委员会秘书处、中国人民银行保卫局、中国工商银行、中国农业银行、中国建设银行、上海迪堡安防设备有限公司、上海三利数字技术有限公司共同起草。

本标准主要起草人：谢平、袁鹤、顾岩、鲍世隆、施巨岭、杨兰平、史奇中、刘玉成、邓慕琼、熊自立、徐志伟、滕云海。范围

本标准对银行营业场所的风险等级及其相应的防护级别作出了规定，是确定银行营业场所风险等级和采取相应防护措施的依据。本标准适用于新建、改建和扩建的银行、信用社、邮政储蓄营业场所。其他金融机构的营业场所可参照执行。规范性的引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误内容)或修订版均不适用于本标准;然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是未注明日期的引用文件，其最新版本适用于本标准：

GB 17656 防盗安全门通用技术条件

GA/T73 机械防盗锁

GA165 防弹复合玻璃

JR/T0003-2000 银行金库术语和定义

下列术语和定义适用于本标准。3.1 银行营业场所

Banking Business Place

各银行机构办理现金出纳、有价证券业务、会计结算业务的物理区域。包括营业厅(室)、与营业厅(室)相通的库房、通道、办公室及相关设施。3.2 风险等级

Level of Risk

银行工作人员、现金、有价证券、重要凭证及相关设施等在营业场所环境中可能受到的危害程度。3.3 防护级别

Classification of Protection

为保障银行工作人员、现金、有价证券、重要凭证及相关设施等的安全，银行机构对不同风险等级营业场所采取的相应安全防范措施的程度。3.4 透明防护板

transparency bulletproof flat

以各种满足防护要求的透明板材或其组合构成的、限制尺寸的平板，用以组成防护屏障的透明部分。3.5 业务库

commercial vaults

指银行机构为办理日常现金收付业务而设立的现金保管库房。其保管的现金是为保证正常营业的准备金，是银行营运资金的组成部分。它经常处于有收有付的周转状态，属于流通中货币的一部分。3.6 自动柜员机

(简称ATM)Automatic Teller Machine

银行提供给客户用于自行完成存款、取款和转帐业务的设备。3.7 自动存款机

(简称CDM)Commercial Deposit Machine

银行提供给客户自行完成存款业务的设备。3.8 自动存取款机

(简称CRS)Commercial Reverse System 银行提供给客户自行完成存、取款业务的设备。3.9 自助银行

Self Service Bank

银行机构设立的电子化无人值守营业场所。由客户使用银行提供的自动柜员机、自动存款机等自助设备，通过计算机、网络通信等信息技术支持，客户可自行完成取款、存款、转帐、和查询等金融服务。3.10 安全柜员系统

(简称STS)Security Teller System

柜员和客户间采用音视频技术和安全传递装置，完成银行业务交易的一套综合安全设施。3.11 数字录像设备

(简称DVR)Digital video record equipment

利用标准接口的数字存储价质，采用数字压缩算法，实现视(音)频信息的数字记录、监视与回放，并可带有系统控制功能的视频设备或视频网络传输与监控的设备。风险等级

4.1 风险等级的划分

营业场所风险等级分为三个级别，由低到高为：三级风险，二级风险，一级风险。

4.1.1具备下列条件之一的营业场所定为三级风险单位：

a)设在乡、镇(村庄)、农牧区、山区或机关、院校、部队、工厂等企事业单位内部的营业场所;

b)现金出纳柜台不超过2个(含2个)的营业场所;

c)设有现金保管点，存放现金5万元(含5万元)以下的营业场所。

4.1.2 具备下列条件之一的营业场所定为二级风险单位：

a)设在县(含县)以上城市、城乡结合部的营业场所;

b)与业务库相连，库存现金余额不足80万元的营业场所;

c)现金出纳柜台不超过5个(含5个)的营业场所。

4.1.3 具备下列条件之一的营业场所定为一级风险单位：

a)与业务库相连，库存现金余额80万元(含80万元)人民币以上的营业场所;b)现金出纳柜台6个(含6个)以上的营业场所。

4.1.4 风险部分

a)离行式ATM、CDM、CRS等;

b)离行式自助银行。防护级别

5.1 防护级别的划分

银行营业场所安全防护的级别分为三级，由低到高为：三级防护、二级防护、一级防护。

5.2 防护级别的确定

5.2.1 防护级别的确定，原则上应与风险等级相对应。即三级风险单位应达到三级防护要求;二级风险单位应达到二级防护要求;一级风险单位应达到一级防护要求。

5.2.2 银行机构也可根据安全防护的需要，结合营业场所的营业规模、现金收付量、周边治安环境、公安机关应急能力等因素对防护级别进行高配，即对风险等级低的营业场所配备高于其对应防护级别的防护设施。5.3 三级防护要求

5.3.1 银行营业场所与外界相通的出入口应安装坚固的金属防护门或防盗安全门，防盗安全门应符合GB17656的要求。金属防护门的锁具应符合GA/T73的要求。

5.3.2 银行营业场所二层(含二层)以下窗户应安装金属防护栏等防护设施。5.3.3 银行营业场所外围有围墙的，应设置防止爬越的障碍物或周界报警装置。

5.3.4 现金出纳柜台应采用砖石或钢筋混凝土等结构。柜台高度应≥800㎜、宽度应≥500㎜。

5.3.5 现金出纳柜台上方应安装透明防护板，其宽度应≤1800㎜，高度应≥1500㎜，单块面积不大于4mm2。透明防护板以上未及顶部分应封至顶部或封至离地3500mm处。采用二块透明防护板错位交接时，外层朝下，交接部位长度应≥100mm，两块透明防护板的间隙应≤20㎜。透明防护板不允许开孔，柜台内外需要通话时可加装通话设施。

5.3.6 现金业务柜台的台面应设置300mm(长)×200mm(宽)×150mm(高，以槽底计算)底部为弧形的收银槽。

5.3.7 现金业务区的出入口应安装防尾随用缓冲式电控联动门。门体上有透明屏障的，应采用透明防护板。安装防弹复合玻璃的，防弹复合玻璃应符合GA165的相关要求。门体上的锁具应符合GA/T73的要求。

5.3.8 现金业务区应安装不少于2路独立防区的紧急报警装置。紧急报警装置应能立即向公安110报警服务台报警，同时应启动现场声、光报警装置。紧急报警装置应安装在隐蔽位置，且便于操作和维修。

5.3.9 紧急报警线路上一般不应挂接电话机、传真机或其它通讯设备。如挂接此类设备，系统须具有抢线发送报警信号的功能。

5.3.10 实行安全柜员制的营业场所应安装视频安防监控装置，应能实时监视、记录现金支付交易全过程，回放图像应能清晰显示柜员操作及客户脸部特征。视频安防监控装置还应能够实时监视营业场所内人员的活动情况，回放图像应能清晰辨别进出人员的体貌特征。安防系统记录资料的保存期不应少于30天。

5.3.11 现金业务区采用安全柜员系统时，安全柜员系统的视频部分应符合5.3.10的要求。

5.3.12 银行营业场所应设卫生设施，配置自卫器材、消防器材和自动应急照明设备。

5.4 二级防护要求

二级防护除应满足 5.3 的相关要求外，还应满足以下要求:

5.4.1 营业场所与外界相通的出入口应安装视频安防监控装置，能够监视营业场所大门外人员往来情况及出人营业场所人员情况。回放图像应能清晰分辨出人人员的体貌特征。

5.4.2 运钞交接区应安装视频安防监控装置，对运钞交接全过程进行实时监视、记录，回放图像应能清晰显示整个区域内人员的活动情况。

5.4.3 现金业务区应安装视频安防监控装置，应能实时监视、记录现金支付交易全过程，回放图像应能清晰显示柜员操作及客户脸部特征。

5.4.4 非现金业务区应安装视频安防监控装置，应能够实时监视营业室内人员的活动情况，回放图像应能清晰辨别人员的体貌特征。

5.4.5 银行营业场所内设置的自助机具(指 A T M, C D M, C R S等)应安装摄像机，在客户交易时进行监视、录像，回放图像应能清晰辨别客户面部特征，但不应看到客户密码。对装填现金的操作区应安装摄像机进行实时监视、记录。

5.4.6 枪弹库、计算机室等部位的出入口应安装防盗安全门、与 1 1 0 报警服务台相连的紧急报警装置及入侵报警装置.能准确探测报警区域内门、窗、通道等重点部位的入侵事件。

5.4.7 监控室应具备有线和/ 或无线通讯方式向 1 1 0报警服务台紧急报警。

5.4.8 视频监控系统应采用视频安防监控数字录像设备。

5.4.9 业务库防护除应符合J R / 0 0 0 3-2 0 0 0的要求外，还应符合以下要求:

a)库区应安装2种以上探测原理的入侵探测器，应能准确探测报警区域内门、窗、通道等重点部位的入侵事件。应安装与110报警服务台相连的紧急报警装置。启动紧急报警装置时应同时启动现场声、光报警装置。

b)业务库清点室应安装视频安防监控装置，应对复点、打捆等操作的全过程进行实时监视记录，回放图像应能清晰显示工作人员的操作情况。

c)业务库守库室出入口应安装防盗安全门和可视/ 对讲装置。守库室内应安装视频安防监控装置，对守库人员的活动情况进行记录。

d)无人值守的业务库应全方位防护。报警系统应具有红外报警、振动感应报警、视频移动侦侧报警等多种功能的报警设备，并应有声音复核装置。安防系统应能实现远程报警、图像、声音等信息的传输监控。5.5 一级防护要求

一级防护除应满足5.4的相关要求外，还应满足以下要求，建立全方位防护体系:

5.5.1营业场所与外界相通的出入口应安装入侵报警设施，并应能与照明、视频安防监控及声音复核等设备联动。入侵报警设施应能准确、及时报告入侵异常事件，即应在向安防监控中心值班人员发出声光报警信号的同时，清楚显示事件发生的部位、性质(抢劫、盗窃、故障等)，准确记录报警时间、位置等信息，并能够详细查询、打印以上内容。

5.5.2 代保管箱库的防护可参照 5.4.9 执行。但安装的摄像机不应看到用户密码。

5.5.3 现金业务区应安装出入口控制装置，只允许授权人员在规定时间内进出并记录所有出人人员、出人时间等信息。

5.5.4 现金业务柜台应安装声音复核装置，并能连续记录交易过程的对话内容。

5.5.5 监控中心内应安装安全管理子系统，并应设有线和无线两种通讯联络方式。

5.5.6 安全管理子系统应采用计算机网络技术，以实现对安全防护其他子系统的控制与管理。

5.5.7 监控中心、守库室应设卫生设施。5.6 风险部位的防护要求

5.6.1 离行式 A T M, C D M, C R S等的防护应满足以下要求: a)应安装报警装置，对撬窃事件进行探测报警，并应具备报警联动及报警联网功能;

b)应安装视频安防监控装置，对操作人员进行监视、记录，回放图像应能清晰显示操作人员的面貌特征。

5.6.2 离行式自助银行的防护应满足以下要求:

a)应安装入侵报警装置，对装填现金区发生的入侵事件进行探侧，并应具备入侵报警联动功能;

b)应安装视频安防监控装置，对进人自助银行的人员进行监视、记录，回放图像应能清晰显示进出人员的体貌特征，但不应看到客户密码;

c)应安装出入口控制设备，对装填现金操作区出入口实施控制;

浅谈山区高等级公路边坡防护篇3

关键词：山区,高等级公路,边坡,防护

因为公路建设对山区经济的发展至关重要, 所以无论是国家, 还是当地政府都非常重视山区高等级公路的建设, 但是在建设过程中, 需要解决的最主要的问题就是边坡防护的问题, 除自然因素外, 山区高等级公路在建设期间需要挖较多基深, 基于此, 如果边坡防护不到位, 极容易发生边坡病害, 因此需要格外重视边坡防护工作。

1 边坡破坏的主要形式与机理

边坡破坏与路基填料的性质、路基边坡高度、路基压实度有关系。一般地, 砂性土边坡较粘性土边坡易于遭受冲刷而破坏、较高的路基边坡较较低的路基边坡更容易遭受坡面流水冲刷, 压实度较好的边坡比压实度较低的边坡耐冲刷。本文把高速公路边坡破坏分为上边坡和下边坡两种形式, 针对这两种边坡的形成机理, 处理方法进行了详细介绍。

下边坡一般为填土路堤, 边坡的破坏, 主要表现为坡面及坡脚的冲刷。坡面冲刷主要来自大气降水对边坡的直接冲刷和坡面径流的冲刷, 冲刷使路基边坡沿坡面流水方向形成冲沟, 冲沟不断发展导致路基发生破坏;沿河路堤及修筑在河滩上、滞洪区内的路堤, 还要受到洪水的威胁, 这种威胁表现为冲毁路堤坡脚导致边坡破坏。上边坡是人工开挖的斜坡, 其强度应满足边坡稳定的要求。在降雨、融雪、冻胀, 及其它形式的作用下, 边坡主要破坏形式为冲刷、崩坍等。

1.1 边坡冲刷破坏

冲刷破坏一般发生于较缓的土质边坡, 如砂性土、亚粘土、黄土等, 在大气降水的作用下, 沿坡面径流方向形成许多小冲沟, 如不采取任何防护措施, 有逐年扩大的趋势;在边坡坡脚, 冬季往往发生积雪, 造成坡脚湿软, 强度降低, 上部土体失去支撑, 发生破坏;同时, 高速行驶的汽车溅起的雨雪水, 也易冲刷坡脚。总之, 土质边坡的坡脚部位, 是边坡的最薄弱环节。

1.2 边坡崩塌破坏

边坡崩坍, 一般分为三类:落石型、滑坡型、流动型, 有时在一次崩坍中会同时具有这三种形式。落石型一般指较陡的岩石边坡, 被大小不一的裂面分割成软弱的断块, 这些裂面宽而平滑, 裂隙张开的程度用肉眼不一定就能识别, 但能渗水, 在降雨作用下, 产生侧向静水压力作用, 造成崩坍。此类破坏型式必须严格控制, 崩坍滚落的岩石极易对行车构成威胁。滑坡型崩坍指岩层在外力作用下剪断, 沿层间软岩发生顺层滑动, 多发生于倾向于路基、层间有软弱夹层的岩体中。另外, 当基岩上伏岩屑层、岩堆等松散的堆积物时, 堆积物也易沿岩层的层理面、节理面或断层面发生崩坍。大雨时的崩坍多属于流动型, 砂、岩屑、页岩风化土等松散沉积土, 多会受水的影响而产生流动型崩坍, 流动型崩坍没有明显的剪切滑动面。边坡高度大时, 以上边坡破坏的类型都较低边坡容易发生。

2 山区高等级公路边坡防护措施

山区高等级公路因为地形地势的原因, 所以边坡经常出现问题, 需要及时采取防护措施, 其主要措施如下:

2.1 生物防护

这是一种比较常见的防护措施, 既简单又能够美观环境, 所谓生物防护简单的说就是在高等级公路边坡位置上种植草本植物或者植树等。在这其中植树是使用时间最长的公路边坡防护形式, 一般情况下, 都种植在下边坡的位置上, 而植草或者铺草则属于一种新兴的防护方法, 这种方法优势相对比较明显, 比如在比较短的时间内, 就能够使公路沿线形成比较完整具体的绿色景观, 进而避免了边坡冲刷, 但是这种方法需要花费大量的养护费用, 而且绿色持续的时间比较短, 所以如果市政资金不充足, 尽量不要选择这种方法。

2.2 圬工防护

这种防护措施有很多种具体的实施方法, 首先, 片石护坡的方法, 这种方法就是将片石砌在边坡上, 可以采用浆砌的方式, 也可以采用干砌的方式, 除了之外, 还可以选择使用护面墙, 护面墙因其厚度比较厚, 因此抗阻力能力非常强, 这种护坡方法不需要花费大量的资金, 因为材料方便易得, 而且防护工艺也比较简单, 但是因为护面墙自身的体重比较大, 所以不适合应用在高边坡的公路中;其次, 菱形网络护坡方法, 在其应用过程中, 可以选择使用两种方法, 一种是通过预制安装的方法, 另一种是通过石砌的方法, 从总体上讲, 这种方法工艺相对简单, 而且在菱形网格中, 可以种植草木, 但是应用比较范围不广, 只适合应用在填方边坡的位置上, 或者是土质挖方类型的边坡;再次, 六角空心砖防护的方法, 这种一种新型的圬工防护措施, 主要是利用水泥混凝土材料, 进行预制安装, 进而形成防护的形式, 其主要的形状是蜂巢, 这种护坡形式不但工艺简单, 而且在空白的位置上种植植物, 其观赏价值比较高, 但是也存在不足, 其中最典型的缺陷就是自身的质量比较大, 需要花费更多的资金, 而且对边坡排水也有不利影响, 与此同时, 还影响着边坡的稳定, 所以如果没有优良的技术方案做支撑, 最好不要使用这种方式;最后, 喷射混凝土防坡的方式, 这种方式比较可以降低公路边坡风化的速度, 而且自身的重量比较轻, 在施工过程中, 并不需要过多的设备, 但是其所花费的资金比较多, 而且厚度也无法得到有效的控制, 与此同时还影响绿化景观。

2.3 加固防护的措施

首先, 使用护脚墙或者抗滑墙的加固方法, 这两种加固方法区别不大, 其主要区别就是断面大小不同, 前者的作用就是避免护脚受到冲刷, 后者的作用不仅具有前者的作用, 还有比较大的抗推力, 具体选择哪种加固方法, 需要依据公路边坡需求;其次, 抗滑桩, 这种加固防护方式主要使用的是钢筋水泥混凝土, 其抗滑效果非常好, 但是需要高投入;再次, 预应力锚索加固防护的方式, 主要应用在单斜构造的公路边坡中, 该种加固防护方式, 能够有效的稳定边坡, 但是需要大量的精准的数据, 这对相关人士来说难度比较大;最后, 排水固结, 排水固结主要用于表层地下水较多处的边坡加固, 有树枝状盲沟、塑料排水管等方式。工艺简单、耗用材料少, 但遇到有滑层的地方, 需配设支挡构造物才能达到满意的效果。

结束语

综上所述, 可知对山区高等级公路边坡防护进行的必要, 因为山区高等级公路在建设过程中, 边坡极容易发生各种病害, 极容易影响公路后期的使用。

参考文献

[1]李聪.山区高速公路路堑边坡防护设计[J].山西建筑, 2011 (9) .

[2]董妮娅, 宋文章.浅谈山区高等级公路边坡防护[J].黑龙江科技信息, 2011 (4) .

[3]黄丕昌.浅谈山区高等级公路的边坡防护设计[J].价值工程, 2010 (34) .

信息等级保护中一些安全防护措施篇4

目前很多单位均对计算机和网络完全隐患非常担忧,通过大量部署安全防护产品,构建防护体系,但这些设备不是摆设,要充分发挥它的作用,并且管理人员通过这些设备掌控单位的安全状况。本文通过对计算机与网络安全防护措施的研究,介绍它的使用、配置和检查手段具有重要的现实意义。其目的是使单位计算机等级保护工作做得更好,使单位的计算机和网络更加安全可靠运行。

2 终端防护措施与检查

在计算机的安全防护加固过程中, 应首先拟定加固步骤、加固工具和手段、方式方法等,应有序地把安全防护工作按照标准要求认真仔细地完成好。首先目测计算机的放置地点是否符合要求, 然后查看开机运行项目并结合标准要求做深入检查,加固工作主要包括几个步骤。

第一步:正确设置BIOS密码,开机启动项应仅为硬盘启动。在这两种加固中我们必须进入到Cmos程序中对System(系统管理员)和User(用户)两种选项进行设置普通人员是不能进行修改操作, 而操作过程必须由系统管理员来完成。采用系统管理员和普通用户账号登录密码,该两项密码的设置同样由系统管理员设置完成,而普通用户无权修改密码口令, 具体操作应由系统管理员登录进入Windows,它可以在计算机管理的选项中,用户中对系统管理员和普通用户进行密码设置。而用户的Windows登录方式一般有两种, 即采取双因子认证的身份鉴别措施或用户名与密码相结合的方式登录。这里应注意不同的密级应有不同的口令要求, 根据不同等级设置口令长度和复杂度、更换周期、密码登录尝试次数的锁定等,该设置可以在安全防护产品中设置,如主机监控系统等,也可以在域控策略中进行统一设置,然后对用户终端进行策略下发;还有一种就是在Windows系统本身自带的安全策略中设置;这三种设置方法中,只要有一种进行了设置工作都符合口令安全加固要求。

第二步: 完成上述设置后应有序的开始下面的检查内容,如计算机或终端安装安全防护产品,因为安全产品是用来对计算机的安全进行加固的工具, 目前可以对计算机终端进行安全加固的产品应该包括主机监控系统、终端安全登录系统等。在系统安全加固中,不是每个产品措施都很全面,应有互补,所以尽量把每个产品中的安全设置都配置全面,避免有漏洞。我们在检查安全产品中也要检查防护措施的有效性和使用情况。例如在主机监控系统中,检查安全加固设置内容、监控客户端行为、介质管理、身份认证等。在管理层面上,进一步检查防护产品的进程是否正常工作, 检查计算机系统内的各种软件安装是否在白名单内, 硬件和外设安装是否有审批手续。在防病毒系统中检查是否病毒库及时升级, 注意检查普通用户不能非法关闭防病毒的监控功能, 在实际中我们可以测试禁用监控功能,查看是否能操作,如果不能操作说明我们管理员对防病毒的设置是正确的。要正确设置计算机符合标准要求的屏保(设置屏保不超过10分钟),该项设置可以在域控策略中进行, 可以在安全产品中进行,也可以在Windows系统本身的屏保设置中进行。三种设置中,只要有一个作了,措施就有效。在检查安全策略配置中特别要注意账户锁定策略:账户锁定时间、账户锁定阀值,这些都可以通过Windows本身的密码策略设置或域控策略设置或安全产品策略设置中完成。

第三步: 终端的访问控制措施和安全策略设置,这是一个重要的安全加固步骤。它包括系统管理员设置的账户应符合最小授权的访问控制原则 (不能存在多用户、Guest账号、目录共享或默认共享设置)。该项设置中我们可以进入到Windows系统的计算机管理项目中,查看对用户的权限设置,如User用户具有Administrator权限,就不符合最小授权原则,应予与纠正为User权限。查看是否有Guest账号,如有说明权限过大,形成危险的帐号,该账号应禁用。而检查共享设置中,可在计算机管理中的共享文件选项中查看是否有$c$d$e$ipc等默认共享设置,也可以在域控策略中查看、核实。

第四步:设置介质绑定,这是一个重要的安全防护内容,如果未采取对介质进行绑定技术措施,容易造成该系统或计算机间接连接互联网或非密计算机,即间接破坏了物理隔离措施。在该项检查中可以对照注册表或采用检查工具,查看介质的使用记录,在与其它网络或计算机比对时,查看是否有同种记录的介质,如有说明没有采取对介质的技术绑定。

剩下的就是进一步细化检查,如检查是否禁止使用无线鼠标和键盘、物理拆除无线模块。 (建议具有相关资质的专业公司集中在单位拆除,注意本单位陪同人员配合)。关闭远程协助功能、远程桌面、禁用错误报告、关闭系统还原功能等(设置在域控或windows系统中做)。

针对上面安全加固工作,我们可以参考几列执行命令。

系统用户能满足工作前提下, 应符合最小授权,用户一般包括:Administrator———具有计算机的完全且无限制的访问权限,由系统管理员掌控;Power user———具有较多的受限管理权限如共享文件、安装本地打印机、更改系统时间等;User———受限权限。

采用如下命令可以查找当前用户和权限 :NeUser———查看有哪些用户 ;Quser.exe———用户登录信息 ;Net User用户名———查看用户添加信息 ;Lusrmgrmsc———本机用户和组;Compmgmt.msc———计算机管理。

Secpol.msc———设置本地安全策略。

严禁开启共享 :Net Share———查看共享 ;Fsmgmtmsc———查看共享文件夹管理器 ;Net Start、Msconfig———查看是否启用共享服务 ;Net View———查看网络共享;

第五步:在设置终端的服务方法中原则上禁止使用FTP、Telnet、Netbios等不必要的服务进程 , 但根据某些应用或网络管理可以有限开放或临时开放,因为攻击者很容易利用此后门的漏洞进行破坏。

所以如果按照下面步骤操作, 完全可以降低风险。比如:根据需要开放80或8080端口;根据需要开放25端口,即Simple Mail Transport Protocol (SMTP)服务,它提供传送电子邮件 ; 有限开放21端口 : 即FTPPublishing Service, FTP连接和管理 ; 除信任管理主机外,其它主机关掉23端口;关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序;一般情况下关闭Server服务, 此服务提供RPC支持、文件、打印以及命名管道共享;根据邮件系统的应用需要开放25、110端口,即SMTP和POP3协议;应关闭TCP135、139、445端口服务。关闭dhcp-clientwireless zeroconfigurationtelnetromote registry和messenger服务 , 禁止Netbios协议 ; 关闭139端口 ,139端口是Net BIOSSession端口 ,用来文件和打印共享。在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。可以在各项服务属性设置中设为“禁用”。

上述设置也可在域控或安全产品中进行,也可以在Windows本身的服务选项中进行设置。

另外还需要关闭的其它服务包括:Clipbook服务,即启用“剪贴查看”存储信息并与远程计算机共享,服务中止后,无法共享;DHCP Client服务,即通过注册或更改IP地址以及DNS名称管理网络;IMAPI CD-BurningCOM服务 ,即禁止CD操作 ;Messenger服务 ,即Alerter消息不会被传输;Net Meeting Remote Desktop Sharing服务,即禁用远程桌面;Performance Logs and Alerts,即禁止收集性能信息;Routing and Remote Access服务,即禁止路由服务 ;Remote Desktop Help Session Manager服务,即远程协助禁用;Remote Registry服务,即禁止远程修改注册表;System Restore Service服务,即禁止系统还原;TCP/IP Netbios Helper服务, 即禁用Netbios协议;Terminal Services服务 , 即禁止远程桌面操作 ;WirelessZero Configuration服务,即禁止无限网络.

第六步:加强对输出的控制。对于打印、复印和刻录等按照最小化授权的原则设置输出点。注意设置专人负责、相对集中、有效控制。加强对系统内读取、修改和输出操作的权限控制, 防止信息被非授权访问和获取等;参考命令如下:Services.msc———查看本地服务的设置;Netstatan———命令检查接口 ;Netstats———查看使用的协议;Setupapi.log———对非法操作取证;Print.exe———打印文本文件或显示打印机队列的内容。

第七步:针对操作系统的软件安装和系统补丁更新部分的部署工作。首先应对计算机采用正版操作系统、数据库系统和应用系统软件。在相关系统补丁发布后及时进行升级,可以通过查看添加删除程序项获取系统安装软件信息和系统补丁更新信息;通过注册表查找软件安装和补丁更新。

3 信息系统网络设备及防护产品设置方法

在信息系统中最主要的安全防护产品应该包括防火墙、主机监控系统、入侵检测系统、防病毒系统、介质管理等,这些防护既有共性也有特殊性,网络设备主要是交换机,下面介绍共性检查和特殊性检查。

3.1 网络设备设置

3.1.1 交换机设置方法

交换机在网络结构中应部署合理;操作人员应为系统管理员;身份鉴别:

(1)口令登录方式:

(2)密码存储方式应该是加密存储方式 ;

(3)口令测试其有效性:

(4)应设置重鉴别。

3.1.2 接入交换机地址绑定措施和设置方法

应设置端口地址绑定策略防止非法接入(是系统中最强绑定措施);采用端口802.1X协议绑定;检查端口策略的有效性

3.1.3 具体访问控制措施

设置VLAN间隔离措施, 端口间隔离的访问控制消除多余规则设置; ACL应对源地址 - 目的地址 - 服务端口进行详细规范设置;

3.1.4 策略配置作为业务数据应定期备份。

4 安全防护产品设置及检查方法

产品有共性和个性之分,检查手段可根据其特点也分为共性和特殊性检查。

4.1 安全产品选用原则

必须根据信息等级保护要求选择相应的产品;应阅读产品检测报告;依据配置策略正确安装并配置安全产品策略; 根据计算机和信息系统变更及时调整安全策略;定期检查产品的工作状态和有效性;产品升级和更新验证资质证书。

4.2 共性检查

该产品是否有资质证明;产品部署物理位置、逻辑位置是否合理;了解该产品提供的产品缺陷;要求厂商尽快完善产品功能和问题;证书有否超过有效期;设置管理主机并由专人负责,开启日志功能;应对安全防护策略及时备份;身份鉴别;控制策略:(1)策略设置是否符合应与相应等级保护要求一致;(2) 安全防护策略是否定期备份。

4.3 个性检查

4.3.1 防火墙检查

访问控制列表(ACL)是否对源地址 - 目的地址 - 服务端口进行详细规范设置; 即应细化具体的IP地址、端口;避免存在any的策略设置;找出ACL存在的问题并结合拓扑结构图进行分析是否策略设置合理; 检查并测试访问控制策略的有效性;提供安全事件 / 告警信息。

4.3.2 主机监控与审计系统检查

检查终端和服务器是否安装客户端软件,查看服务进程,查看有效性;是否定制软件白名单;是否安装白名单外软件;安全策略机制:(1)是否管理员操作;(2)是否有文件保护;(3)安全策略设置是否规范;(4)策略设置是否符合实际需求;(5)安全策略设置缺陷;(6)对光驱串口、并口、红外、无线、软驱、图像、1394、Modem等控制;(7)了解注册用户数量、非注册用户数量;(8)策略的有效性;(9)策略是否定期备份;(10)备份方式和路径是否符合要求。

4.3.3 漏洞扫描系统检查

能否扫描各个安全域 , 说明未扫的安全域或VLAN;数据取证:(1)近一个月来高危漏洞名称和数量(2)近三个月来高危漏洞名称和数量 ;漏洞是否及时处理;对未处理情况简要说明。

4.3.4 入侵监测系统检查

检查是否及时升级系统的规则库或特征库;检查发生的安全事件 / 告警信息:(1)测试情况(模拟对服务器和终端攻防行为,查看信息情况、策略是否生效);(2)对渗透和非授权操作查看是否有攻击行为;(3) 主要攻击行为、攻击类型:(4)检查近一个月、近三个月攻击类型次数;原地址和目的地址;(5)是否发现非法接入行为(6) 是否能监控服务器内部或用户终端内部攻击事件(7)攻击事件是否及时处理 ,对未处理情况简要说明 ,是否纳入到审计分析报告中。

4.3.5 防病毒检查

是否为国产、是否有公安资质;检查产品有效期;检查是否最新版本,版本更新日期;防毒中心能否实事监控,防毒中心监控策略是否完善;检查是否开启审计策略;是否及时更新病毒库;检查终端、服务器是否安装客户端软件,移动设备、电子邮件能否被查杀;检查是否对隔离区的病毒及时清除;数据取证;检查是否完善相关文档:包括策略、变更、运维、病毒处理记录等。

5 结束语

高等级公路路基边坡的防护与加固篇5

公路路基边坡的质量和状态能否持久而稳定、能否经得住各种因素的影响而不损坏, 通常用边坡稳定性来评价。边坡的地质条件、水文条件、地形地貌和新构造运动等自然因素是对边坡稳定性起决定作用的关键因素, 而地下采掘、开挖坡脚、人工削坡等人类的工程活动对边坡稳定性负有重大影响。路基边坡稳定性 (或状态改变及损坏) 是上述因素综合作用的反映, 边坡稳定性和各种因素构成一个相互联系、相互影响的整体、其中任何一个因素的改变往往会诱导其它因素改变, 进而引起边坡原有稳定状态发生改变。

1 路基边坡损坏形式及特点

路基边坡在自然条件下的损坏, 有多种形式和各自的特点。

1.1 滑坡

部分岩 (土) 体在重力作用下沿着一定的软弱面 (带) 缓慢地、整体地向下移动, 一般分蠕动变形、滑动破坏和渐趋稳定等三个阶段。

因下伏岩层压缩, 边坡沿岩 (土) 体内较陡的结构面发生整体下坐 (错) 位移, 称为坐 (错) 落。组成边坡的岩 (土) 体常不发展为连续的滑动面, 而顺着边坡方向发生塑性变形, 则称为倾倒。

1.2 崩塌

整体岩 (土) 块脱离母体、突然从较陡的边坡上崩落下来, 并顺着边坡猛烈翻转、跳跃, 最后堆积在坡底, 称为崩塌。悬崖陡坡上的个别岩块突然下落, 称为坠落的岩块或危石。

1.3 剥落

边坡表层岩 (土) 体长期遭受风化, 在冲刷和重力作用下岩 (土) 屑 (块) 不断地沿着边坡滚落、堆积在坡底, 即为剥落。

2 路基边坡的防护与加固

2.1 边坡防护与加固的基本要求

根据当地气候环境、工程地质和施工材料等情况, 因地制宜、就地取材, 选用适当的工程类型或采取综合措施, 以保证公路路基的稳定, 并不要随意取消或减少必要的边坡防护工程措施。

在不良的气候和水文条件下, 对粉砂、细砂与易于风化的岩 (土) 石边坡以及黄土类边坡, 均宜在土石方施土后及时防护。

对于冲刷防护, 一般在水流流速不大及水流破坏作用较弱地段, 在沿河路基边坡设砌石护坡、石笼和水泥混凝土预制板等, 以抵抗水流的冲刷和淘刷。

坡面防护一般不考虑边坡地层的侧压力, 故要求防护的边坡有足够的稳定性。

对高而陡的防护构造物, 设计和施工时要设置便于检查、维修的安全设施。

2.2 坡面防护

2.2.1 种草及铺草皮

种草和铺草皮防护适用于边坡稳定, 坡面冲刷轻微, 且宜于草类生长的土质路堤和路堑边坡, 用以防止表面水土流失、固结表土、增强路基的稳定性。铺草皮的方法常用的有平铺草皮、平铺叠置草皮、方格式草皮和卵 (片) 石方格草皮等四种形式。

选用草籽应注意当地的土壤和气候条件, 通常以容易生长、根部发达、叶茎低矮、枝叶茂密的多年生草种为宜, 最好采用几种草籽混合种植, 使之生成良好的覆盖层。

2.2.2 植树

在路基边坡上合理地植树, 对于加固路基有良好的效果。也可和种草、铺草皮配合采用, 使坡面形成良好的防护层。植树适用于土质边坡及严重风化的岩石边坡和裂隙粘土边坡, 有利于及早成林, 起到良好的防护作用。

植树的形式可以是带状或条形, 也可以栽成连续式。植树防护除选用适合当地土壤和气候的树种外, 还应注意保持树间合适的距离。

2.2.3 抹面与捶面

易于风化的岩石 (页岩、泥岩、泥灰岩和千枚岩等) 软质岩层的路堑边坡防护, 可用混合材料抹面。对易于冲刷的边坡和易风化岩石坡防护可用混合材料捶面。

抹面或捶面的边坡坡度不受限制, 但不能承受荷载和土压力, 故要求边坡必须是稳定的、坡面应该平整干燥。

抹面用混合料有石灰炉渣混合灰浆、石灰炉渣三合土或四合土, 以及水泥石灰砂浆等。捶面用混合料有水泥炉渣混合土、石灰炉渣三合土或四合土等。

为了防止抹面表面开裂、增强抗冲蚀能力, 可在表面涂以软化点稍高于当地气温的沥青保护层。抹面和捶面防护工程应经常检查, 发现裂缝、开裂或脱落应及时灌浆修补。

2.3 冲刷防护

公路路基和边坡的冲刷防护技术设施包括护面墙、干砌片石、浆砌片石、水泥混凝土预制块和土工织物等。

2.3.1 护面墙防护

为了覆盖各种软质岩层和较破碎岩石的挖方边坡, 免受大气因素影响而修建的墙, 称为护面墙。护面墙多用于风化的云母片岩、绿泥片岩、泥质页岩、千枚岩及其它风化严重的软质岩石, 以防止继续风化。

护面墙有实体式、孔窗式、拱式和助式等。实体式护面墙用于一般土质及破碎岩石边坡:孔窗式护面墙用于坡度小于1:0.75的边坡, 孔窗内可采用捶面 (坡面干燥时) 或干砌片石;拱式护面墙用于边坡下部岩石较完整而需要防护上部边坡或通过局部软弱地段;边坡岩层较完整且坡度较陡时可采用肋式护面墙。

护面墙除自重外, 不承受其它荷载和墙后的压力。因此, 护面墙所防护的挖方边坡陡度应符合极限稳定边坡的要求。

2.3.2 干砌片石防护

较软的土质路基边坡因雨水冲刷会发生泥流、拉沟与小型溜坍, 或有严重剥落的较质岩层边坡, 周期性浸水的河滩等均可采用干砌片石防护。

单层干砌片石护坡的厚度一般为0.15m, 双层铺砌护坡的上层为0.25~0.35m、下层为0.15~0.25m。铺砌层的底面应设垫层, 其材料通常用碎、砾石或砂砾混合物等。

2.3.3 浆砌片石防护

路基边坡小于1:1的土质或岩石边坡的坡面防护采用干砌片石不适宜或效果不好时, 可采用浆砌片石护坡。若与浸水挡墙综合使用, 以防护不同岩石和不同位置的边坡, 可收到较好的效果。

浆砌片石护坡的厚度一般为0.2~0.5m, 用于冲刷防护时根据水流速度大小或波浪大小确定, 最小厚度一般不小于0.35m。采用浆砌片石护坡时应在路堤沉实或压实后施工, 以免因路堤的沉降而引起护坡的损坏。

2.3.4 水泥混凝土预制块防护

在选择设计路基边坡冲刷防护类型时, 有些地区缺乏片石、块石材料, 此时可选择水泥混凝土预制块防护。它比浆砌片石防护能抵抗较大的水流速度和波浪的冲击 (其容许水流速度在4~8m/s以上、容许波浪高度可在2m以上) , 还能抵抗较强的冰压力。

水泥混凝土预制块可制成边长不小于1m、厚度大于6cm的方块, 并配置一定的钢筋。为了减小水流或波浪对预制块的冲击与上浮力, 在预制板块时可留出整排的孔眼。

2.3.5 土工织物防护

土工织物是由高分子合成纤维制成的一种新型建筑材料, 广泛应用于公路工程中的排水、过滤、分隔、加固和防护等。就防护而言, 土工织物能减轻或分散传递到被保护材料上的应力和应变, 或用于表面防护--设置在岩土上的土工织物, 防止土体表面受到诸如气候、轻交通荷载等作用的损害, 或用于界面防护--设置在两层材料之间的土工织物, 防止其中一种材料受到另一种材料的集中应力作用或承受更大应变而带来的损害。

用土工织物加固公路路基边坡时, 应修建在承载能力较高的路基边坡上:首先在清理好的原地面上摊铺织物, 靠着临时挡土横板倾倒填筑材料, 并振动压实到层厚的一半。在此阶段, 前面上半层铺放铺筑材料并把后面织物折叠过来, 然后填完整层材料并压实。最后将临时活动模板安放在修筑层之上的前末端, 开始修筑另一层。

摘要：本文主要是介绍了高等级公路路基边坡的防治与加固的方法。

防护等级篇6

1 确定信息系统设备可接受的最大年平均雷击次数Nc

Nc表征信息系统设备的防雷击电磁脉冲能力,计量单位是次/ɑ。如果建筑物实际雷击次数在Nc以下,则就不需设置防雷击电磁脉冲设施。因此,Nc的数值越大,表明该信息系统防范雷击电磁脉冲的能力越强。

Nc受很多因素(称因子)影响,包括信息系统状况(系统重要程度、系统事故后果、信息设备抗冲击能力),建筑物防雷状况(建筑材料结构、信息设备所属防雷分区)和所在地区雷暴情况。这些影响Nc的因子取值情况如表1、表2所示。

令各因子的总值C=C1+C2+C3+C4+C5,则Nc可由下式计算:

Nc=5.8×10-1.5/C (1)

分析表1、表2,可得到以下结论。

1) 金属结构建筑(C1=0.5)的抗击雷击电磁脉冲的能力最强,因为金属结构对信息设备有屏蔽作用,又有接闪器的引雷作用。相反,木结构建筑物(C1=2.5)的抗击能力最弱。

2) LPZ2表示,信息设备深藏在建筑物内部(C4=0.5),则抗击雷电脉冲能力最强。LPZ0A表示信息系统处在建筑物接闪器保护范围外的室外空间(C4=2.0),所以抗击雷电脉冲能力最弱。LPZ0B表示信息系统处在接闪器保护范围内的室外空间以及与室外空间连通(如阳台)的地方(C4=1.5)。

3) 信息设备越是重要,对电磁环境要求越是严格,C2取值越大,一般在0.5～3.0取值。

4) 信息系统事故后果越是严重,C5越大,一般在0.5～2.0取值。

根据式(1)可计算出在不同C值时的Nc值(见表3)。由表3可见,C值越大,Nc越小,即可接受的年雷击次数越小。因此,在多雷区,如果建筑物内有特别重要的信息设备,笔者建议取C值为9,对应Nc为0.020。对一些不太重要的信息设备,建议取C值为3,此时Nc为0.061。

2 确定地区雷击频度Ng

雷击频度又称雷击大地的年平均密度,雷击频度Ng可由下式计算:

Ng=0.024Td1.3 (次/ɑ·km2) (2)

式中:Td是地区的年平均雷暴日数,次/ɑ。

3 确定建筑物年预计雷击次数N1

N1是确定建筑物防雷类别的重要参数,计量单位是次/年。N1可由下式计算:

N1=KAeNg (3)

其中

Ae=[LW+2(L+W) $Η (200 - Η)$

上二式中:K为地形校正系数,通常取作1;Ae为建筑物等效接闪面积,又称等效截收面积,km2;L、W、H(小于100 m)分别为建筑物的长、宽、高,m。

4 确定入户设施年预计雷击次数N2

N2表示建筑物内设施等效受雷击次数(因雷电不是直接击于设施),可由下式计算:

N2=NgAe′=Ng(Ae1′+Ae2′) (5)

式中:Ae1′是埋地电源电缆的等效截收面积,km2,Ae2′是埋地信号电缆的等效截收面积,km2。

对于低压电缆,式(5)中的Ae1′=2ρsL×10-6,km2;对于高压电缆,式(5)中的Ae1′=0.1ρsL×10-6,km2。Ae2′=2ρsL×10-6,km2。其中ρs是土壤电阻率,Ω·m,通常取250,表示埋地电缆的等效宽度;L是电缆长度,m,可取建筑物至网络第一个分支点的距离。

从上列公式可见,土壤电阻率ρs越大,入户设施预计受雷击次数也越大;低压电缆的等效截收面积比高压电缆的大。

5 根据防雷装置拦截效率E确定雷电防护等级

E可理解为不可接受的雷击的百分数,E越大,要求雷电防护等级越高;反之等级越低。E可由下式计算:

E=1-Nc/(N1+N2) (6)

式中:Nc、N1、N2同式(1)、式(3)、式(5)。

一旦E确定后,就可按GB50343-2004中的规定确定建筑物内信息系统的雷电防护等级。雷电防护等级从高到低分A、B、C、D四级,具体规定见表4。

按GB50343-2004的条文说明,在少雷区或多雷区,有信息系统的建筑物,按A级设计的概率为10%～20%左右,按B级设计的概率为70%～80%,少数设计为C级和D级。

6 实例分析

6.1 电压等级对雷电防护等级的影响

某通信大楼的长、高、宽分别为54、22、97 m,地区的年平均雷暴日为20次/ɑ,埋设电缆土壤的电阻率为250 Ω·m。各因子总和为8,高压电源电缆长度为500 m,信号电缆长度为200 m(均埋地引入)。经计算,最终可得E=0.88,查表4可确定雷电防护等级应为C级。

但若采用低压电源电缆,其他条件不变,经计算可得E=0.95,查表4可确定雷电防护等级应为B级。由此可见,电源电缆由高压改为低压时,提高了防护等级的要求。

若采用高压电源电缆,而信号线缆采用光缆(有效截收面积为零),经计算可得E=0.68,查表4可确定防护等级为D级,这说明采用光缆后可降低防护等级的要求。

6.2 建筑物及地区雷电情况对雷电防护等级的影响

若改变实例中的雷暴日Td,同时讨论建筑物不同等效截收面积Ae的情况,则计算结果如表5所示。从表5可见,当Td为100次/ɑ时,A和C对E几乎不起作用了。

7 结语

实际应用经验表明,GB50057-1994《建筑物防雷设计规范》和GB50343-2004《建筑物电子信息系统防雷技术规范》标准对雷电防护的要求不尽相同,后者偏高一些。在实际中,还可参考文献2《工业与民用配电设计手册》(第三版)中的典型方案选用内容。

参考文献

[1]熊峰.建筑物电子信息系统的雷击电涌防护[J].电工技术,2007(2).

高等级公路岩质边坡生态防护初探篇7

关键词：高等级公路,岩质边坡,生态防护

0 引言

近年来,随着经济和社会发展需要,高等级公路建设发展迅速。然而,高等级公路建设是以破坏生态环境为代价的一项现代化工程,其建设过程中开挖路堑、填筑路堤,都导致原生植被破坏、动物栖息地破坏、水土侵蚀等一系列生态环境问题。

就目前的边坡生态防护现状而言,土质边坡通过生态防护和绿化等措施可以在较短时间内实现生态恢复,而岩质边坡却由于其自身生态特点等原因很难恢复原有的植被[1],这与目前山区高等级公路建设迅速发展、岩石边坡大量出现的现状极不相符。因此,本文拟在综合研究岩质边坡生态特点、边坡生态防护措施的主要功能、几个常用的岩质边坡生态防护方法的基础上,对高等级公路岩质边坡的生态防护进行初步探讨,并提出几点建议。

1 石质边坡生态特点

1.1 缺少植被生长所必需的土壤条件及养分条件

岩石边坡不同于土质边坡,不具备植被生长所必需的土壤环境,无法直接进行种子撒播或植生带绿化,即使采用铺草皮方法或目前国内广泛应用的液压喷播技术,由于喷浆与坡面岩体的粘结很差,防护效果也不理想。另外,岩体保水功能差,含有的活化养分低,植被很难从边坡岩层中吸收水分及养分供其生长发育。

1.2 边坡坡度大

由于岩石具有较好的工程特性,因此公路工程岩石边坡,一般设计坡度都较大。坡面陡则雨水径流速度大,在高降雨地区极易形成冲刷侵蚀,坡面自然风化的土壤颗粒很难留存,受水力和重力作用而堆积坡脚,在干旱地区降雨又不能渗留在坡面上致使植被难以生存。

1.3 需要适合岩石边坡的生态材料以供植被生长

一般情况下,岩石边坡都没有土壤,因此必须提供人工生态材料以满足植被生长的需要。生态材料需要有足够的粘结力及抗冲刷能力,能与岩石坡面紧密地粘结在一起,且能抵抗降雨的侵蚀。

2 岩质边坡生态防护的必要性

2.1 生态环境保护的需要

人类活动与自然和谐共处,经济发展与环境保护协调并进是人类生存和发展的基本要求。当前,伴随着西部大开发步伐的加快,在山区工程建设中将会出现更多高挖深填,产生更严重的生态环境破坏问题。因此,岩质边坡生态防护技术的研究与应用是再造我国良好生态环境、建设绿色通道、保证交通要道畅通的迫切需要。

2.2 护坡工程的需要

2004年的《国家高速公路网规划》确定的国家高等级公路网总规模为85 000 km,特别是在西南等山区修建的高等级公路大多蜿蜒于崇山峻岭之中,产生了许多的岩质边坡,需要投入大量的资金。因此,岩质边坡生态防护巨大的市场潜力需要加快岩质边坡生态防护工程技术的进一步研究及推广应用。

2.3 经济规律的需要

边坡生态防护具备像浆砌片石、干砌片石、喷射混凝土等传统工程方法一样的边坡防护作用,同时又恢复了因工程建设破坏的生态环境,且其施工成本也远远低于传统工程护坡方法,生态效益更是传统工程护坡所无法比拟的。因此,边坡生态防护的应用符合经济规律的客观需要。

3 岩质边坡生态防护的主要作用

3.1 护坡功能作用

3.1.1 深根的锚固作用

植物的垂直根系穿过坡体浅层的松散风化层,锚固到深处较稳定的岩土层中,起到预应力锚杆的作用。据现有研究表明,禾草、豆科植物和小灌木在地下0.75 m～1.5 m深处有明显的土壤加强作用,树木根系的锚固作用可影响到地下更深的岩土层。其相关公式为:

T=nDm。

其中,T为根的抗拉强度;D为树根的直径;n,m分别为给定树种的经验常数。

3.1.2 浅根的加筋作用

植草的根系在土中盘根错节,使边坡土体成为土与草根的复合材料。草根可视为带预应力的三维加筋材料,使土体强度提高。

3.1.3 降低坡体孔隙水压力

边坡的失稳与坡体水压力的大小有着密切关系,降雨是诱发滑坡的重要因素之一。植物通过吸收和蒸腾坡体内水分,降低土体的孔隙水压力,提高土体的抗剪强度,有利于边坡体的稳定。

3.1.4 降雨截留,削弱溅蚀

一部分降雨在到达坡面之前就被植物截留,以后重新蒸发到大气或下落到坡面。植物能拦截高速下落的雨滴,减少能量及土粒的飞溅。

3.1.5 控制土粒流失

地表径流带走已被滴溅分离的土粒,进一步可引起片蚀、沟蚀。植被能够抑制地表径流并削弱雨滴溅蚀,从而控制土粒流失。

3.2 改善环境及景观功能

1)恢复被破坏的生态环境。2)降低噪声、光污染。3)促进有机污染物的降解、净化大气、调节小气候。4)改善景观。

4 岩质边坡生态防护技术

4.1 三维植被网护坡

三维植被网护坡是在铺草皮护坡存在易遭受强降雨或常年坡面径流形成冲沟、引起边坡浅层失稳和滑塌等缺陷的基础上发展起来的。该方法可用于稳定的强风化岩质路堤和路堑边坡,常用坡率1∶1.5,一般不超过1∶1.25。

4.2 挖沟植草护坡

挖沟植草护坡是指在坡面上按照一定的行距人工开挖楔形沟,在沟内回填改良客土,并铺设三维植被网,然后进行喷播绿化的一种护坡技术。该方法可用于稳定的泥岩、页岩及泥、页岩互层等易开挖沟槽的软质岩路堑边坡,常用坡率1∶1.0～1∶1.25,坡率超过1∶1.0时应结合坡面锚杆使用并不得超过1∶0.75。

4.3 土工格室植草生态护坡

土工格室植草生态护坡是指在展开并固定在坡面上的土工格室内填充改良客土,然后在格室上挂三维植被网,进行喷播施工的一种生态护坡技术,它是土工格室与植草相结合而形成的一种新型护坡形式。该方法可用于稳定的泥岩、灰岩、砂岩等岩质路堑边坡,坡率一般不陡于1∶1.0。

4.4 浆砌片石骨架植草生态护坡

浆砌片石骨架植草生态护坡是指采用浆砌片石在坡面形成框架,常结合铺草皮、三维植被网、土工格室、喷播植草等方法形成的一种护坡技术。该方法可用于稳定的强风化岩质路堤和路堑边坡,常用坡率1∶1.0～1∶1.5。

4.5 藤蔓植物生态护坡

藤蔓植物生态护坡,也称垂直绿化,是指栽植攀援性和垂吊性植物,以遮蔽硬质岩陡坡,美化环境的生态护坡方法。该方法在各地均可应用,对边坡也没有限制。

4.6 喷混植生生态护坡

喷混植生生态护坡,全称阶梯式植生带绿化工法,是一种将含草种、有机质、混凝土喷在岩石坡面上的边坡绿化方法,其技术核心是在岩质坡面上营造一个既能让植物生长发育而种植基质又不被冲刷的多孔稳定结构。该方法适用于开挖后的岩石边坡生态恢复,尤其对不宜进行生态恢复的恶劣地质环境,如砾石层、软岩、破碎岩及较硬的岩石,有比较明显的效果。

4.7 厚层基材喷射植被生态护坡

厚层基材喷射植被生态护坡是采用混凝土喷射机把基材与植被种子的混合物按照厚度均匀喷射到需防护的工程坡面的绿色护坡技术。该方法适用于包括泥岩、页岩、砂岩、白云岩、玄武岩、花岗岩等边坡类型,以及浆砌片石面和混凝土面[7]。

5 结语

边坡生态防护不仅可以加固边坡、保土涵养水源、减少水土流失,而且可以净化空气、保护生态、美化环境、保证行车安全,具有良好的经济效益、社会效益和生态效益。但是目前边坡生态防护也存在许多局限性及问题,如植被根系的延伸使土体产生裂隙,增加了土体的渗透率;植物的深根锚固仍无法控制边坡更深层的滑动,若根延伸范围内无稳定的岩土层,则其作用便不明显;对于高陡边坡,若不采取工程措施,植物生长基质也难以附于坡面,植物无法生长;目前国内在边坡生态防护技术方面多限于模仿和引进国外的边坡生态防护方法,但由于地理位置不同、气候条件差异较大、防护成本过高等因素影响,这些方法并不一定适合我国。因此,针对以上问题本文提出以下几点建议:

1)边坡生态防护一般是建立在稳定性边坡的基础上进行的,因此应与工程措施紧密结合,发挥二者各自的优点,这样既保证了边坡的稳定,又实现坡面植被的快速恢复,达到人类活动与自然环境的和谐共处;2)由于植被的生长受地理位置、生长环境、土壤、气候、降雨量等地域性特征影响的特点,边坡生态防护技术应因地制宜的针对不同的地区合理选择生态护坡方法;3)目前国内对岩质边坡生态防护的研究还比较少,应对其进行进一步的深入研究,以满足社会发展和工程建设的需要。

参考文献

[1]许文年,王铁桥,叶建军.岩石边坡护坡绿化技术应用研究[J].水利水电技术,2002,33(7):35-37.

[2]张俊云,周德培,李绍才.岩石边坡生态护坡研究简介[J].水土保持通报,2000,20(4):36-38.

[3]张丹林,王伟波.浅谈高速公路边坡的防护[J].林业科技情报,2006,38(3):82.

[4]曾田,王莉.公路边坡综合防护技术[J].黑龙江交通科技,2006(5):20-21.

[5]彭俏健.土工三维植被网的护坡原理及应用[J].西部探矿工程,2006(6):122.

[6]徐国钢.岩石边坡快速生态修复新技术———喷混植生[J].草业科学,2003,20(11):72-75.

防护等级篇8

关键词：广播中心,播出网,安全防护

0 引言

广播中心播出网主要实现音频节目、广告的自动化编排和播出等功能, 网络化制播环境为广播中心带来高效流畅的业务优势, 也带来了信息安全的难题。按照《广播电视相关信息系统安全等级保护基本要求》 (GD/J 038-2011) 和《信息安全技术信息系统等级保护安全设计技术要求》 (GB/T 25070—2010) , 播出网的安全防护体系应从基础网络、边界、计算环境等方面进行设计, 并配置有效的安全管理中心, 保证播出网安全可靠的运行。

1 基础网络安全

基础网络安全主要包括网络结构安全和网络设备防护。

网络结构安全首先要依据所处理的业务以及业务流程对整个网络进行子网划分。由于在同一网段上, 计算机通信的寻址是采用广播方式, 所以如果网段规划不合理, 侦听、重放、插入攻击等会导致数据的机密性和完整性被破坏, 同时还存在广播风暴的风险, 导致网络通信效率下降。各子网可划分为同一安全域, 也可划分为不同的安全域。安全域是实施同一安全策略的区域, 安全域划分根据应用系统处理业务的需要和同类数据信息的流动范围确定, 需要进行相同安全保护的同类数据信息或同类服务功能在同一个安全域中进行存储、传输处理等。

播出网一般分为主播业务域、备播业务域、播出监控域和安全管理域。其中主播业务域部署播出服务器等核心业务服务器, 实现节目播出和控制的信息系统;备播业务域部署播出站、编排管理工作站、素材播放站等, 为播出进行节目准备的信息系统;播出监控域部署监测服务器, 对节目播出进行监控和管理的信息系统;安全管理域部署日志审计、数据库审计、运维审计、安全管理中心等, 对播出网进行安全监控和管理的信息系统。一般通过核心交换机划分VLAN的方式来实现同一安全域内重要网段与其它网段之间的逻辑隔离, 通过汇聚交换机上部署ACL实现各网段、各安全域之间的访问控制。为保证核心、汇聚设备具备足够的数据处理能力, 要保证网络设备的业务处理能力和网络带宽具备冗余空间, 满足业务高峰期需要。

网络设备防护一般从以下几个方面进行:

1. 网络设备对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别, 也可通过运维审计实现双因素认证, 防止恶意入侵或人为破坏。

2. 采用HTTPS、SSH等安全的远程管理手段, 防止用户身份鉴别信息在网络传输过程中被窃听。

3. 交换机应控制用户对资源的访问, 关闭不必要的服务和端口, 防范对网络的攻击。

4. 每个网络管理员具有不同的权限, 实现特权用户的权限分离。

5. 网络设备通过SNMP V3 协议提供网络设备的监控与管理接口。

2 边界安全

网络边界是信息安全最关键的一道防线。一般在网络边界设置安全设备, 包括防火墙、边界隔离防护 (IPS、网闸等) 以及基于网络的入侵检测、漏洞扫描及恶意代码防范等。一是对外部的访问进行过滤和控制, 防止网络外部的入侵;二是对内部向外传输的数据信息进行安全检查, 防止内部信息的泄露;三是防止内部人员违规访问外部网络。

1. 部署基于状态检测的防火墙进行安全访问控制, 控制粒度限制到访问源/ 目的IP地址、目的端口和协议。

2. 部署媒体交换网关以信息摆渡的方式实现协议转换和对文件格式的过滤, 只允许XML和S48 等媒体文件格式的文件通过;采用广播专用数据接口和通讯协议实现安全数据交换, 如仅开放Web Service数据库访问接口、FTP上传/ 下载文件接口和播放控制接口等;采用非TCP/IP协议的方式进行音频文件和数据的交换。

3. 部署UTM安全网关, 开启双向防护, 实现网络边界对恶意代码的检测和清除, 防范计算机病毒传播、阻断蠕虫攻击、控制网络非法流量、入侵防护等, 以有效保护内部网络的安全运行。

4. 部署IDS作为防火墙的有效补充, 实时检测网络流量, 监控外部用户行为, 并对违反安全策略的流量和访问及时报警。

3 计算环境安全设计

计算环境的保护涉及操作系统、数据以及应用程序。

1. 操作系统安全主要解决进程控制、内存保护、对资源的访问控制、用户标识与鉴别机制等。按照等级保护要求, 高级别信息系统 (第三级以上) 的操作系统要达到标记安全保护级。因此应采用主机加固的方式实现操作系统的强制访问控制 (MAC) , 只允许安全标识的程序启动和应用, 从而保证操作系统级的安全。

2. 数据安全一是对用户数据进行加密, 二是对文件完整性进行检查, 三是数据备份和恢复。播出网的应用程序应支持加密技术的使用, 特别是身份鉴别信息在传输过程中应采用加密技术;文件完整性是对制作系统到播出系统传输的音频文件通过MD5 或其它检验技术进行完整性检查, 当发现音频文件与原来不同时, 可以采用重传或其他机制保证音频文件不被篡改;数据备份的目的是要保护数据的完整性和可用性, 重要数据建议完全数据备份每周一次, 增量备份或差分备份每天一次, 备份介质存放在数据运行所在场地外, 有条件的单位对重要信息进行异地灾备, 保证极端情况下能够实现备份业务应用的及时切换。

3. 应用安全保护主要包括应用程序的评估和测试两个方面。应用软件的评估是将软件的功能与安全策略相比较, 查找出可能违背安全策略的机制;应用程序的测试是确定程序的正确性和排除程序中的安全隐患。对于多数播出单位来说, 由于不掌握程序源代码, 只能进行“黑盒”测试, 即对程序进行模拟攻击, 以发现其存在的漏洞和错误。

4 安全防护设计涉及的技术手段

4.1 用户身份鉴别

身份鉴别是对信息系统访问者身份合法性的确认, 是对其访问权限进行分配与管理的前提, 是审计功能及用户数据保护的先决条件。身份鉴别通常在用户登录 (连接) 到系统时进行, 当一个已经登录的用户由于某些原因中断与系统的连接或需要重新连接时, 需要重新进行鉴别, 防止非法用户以假冒的身份进入系统。

目前常用的用户鉴别技术主要有:口令鉴别、生物特征识别和数字证书等。播出服务器、接口服务器、播出数据库采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。用户鉴别信息应是不可见的, 需要进行加密存储。

4.2 访问控制

访问控制分为自主访问控制和强制访问控制。

4.2.1 自主访问控制

自主访问控制是用户所创建的文件的访问权限由用户自己来控制, 系统通过设置的自主访问控制策略为用户提供支持, 体现了用户对自身创建文件的自主访问控制能力。广播中心一般在播出站、工作站、数据库服务器、非接口类服务器上采用自主访问控制。

1. 播出站、工作站应对域控账户严格设置, 域帐户密码应启用复杂度限制, 并设置定期更换时间。对系统账户权限进行细粒度控制, 各部门用户只能访问到权限范围内的相关资源, 此策略由系统管理员制定, 以达到自主访问控制的目的。

2. 播出网的数据库账号要有复杂度限制, 不要让sa账户的密码写于应用程序或脚本中。数据库管理员应定期查看是否有不符合密码要求的账号, 并严格限制分配给用户访问数据的权限。

3. 播出网中非接口类服务器登录应用时应通过统一身份认证系统进行集中的用户管理和授权管理, 账号信息应集中存储在LDAP服务器中, 通过统一身份认证系统门户进行单点登录。

4.2.2 强制访问控制

强制访问控制是建立在对主、客体进行安全标记的基础上的访问控制机制。强制访问控制是系统中的主体和客体的访问操作权限不是由哪一个用户确定的, 而是按照访问控制策略来确定, 并且与访问控制相关的权限改变也不是由客体创建者用户自己决定的, 而是由系统安全员通过对相关数据的改变而实现的。强制访问控制策略是以一组数据结构和一组规则组成, 这组数据结构就是用来描述访问者主体和被访问者客体与访问控制有关的安全属性的数据, 通常称其为“标记信息”或“敏感标记”。而规则是通过对该组数据执行确定的操作程序实现的。当有访问要求时, 通过调用该程序执行即可确定是否允许进行该次访问操作。

首先确定播出系统中编排管理、素材播放、广告审批、播出监测等关键业务流程中所有主体和客体, 然后根据业务系统的需要, 结合客体资源的重要程度确定系统中所有客体资源的安全级, 生成客体标记列表。根据用户在业务系统中的权限和角色确定主体的安全标记, 生成主体标记列表;根据系统需求和安全状况授予用户访问客体资源能力的权限, 生成强制访问控制列表和特权列表;根据业务系统的需求生成和执行主体相关的策略, 包括强制访问控制策略及级别改变检查策略等, 供业务系统执行。在播出网中, 一般在服务器上通过部署操作系统加固软件来满足安全标记和强制访问控制的要求。主体分析如表1 所示。客体分析如表2 所示。

根据对播出系统的主、客体分析, 结合业务需求, 分析主体对客体的访问控制权限定义如表3 所示。

4.2.3 其他访问控制

播出网依据安全策略控制用户对资源的访问, 禁止通过USB、光驱等外设进行数据交换, 关闭不必要的服务和端口等实现访问控制。根据管理用户的角色分配权限, 实现管理用户的权限分离, 仅授予管理用户所需的最小权限。重命名Windows系统默认帐户, 删除过期的账户, 实现服务端访问控制。

为了保证终端、服务端设备的安全, 通过配置终端安全管理系统控制网络准入, 防止非法终端接入网络, 控制非法外联和网页访问, 避免网络滥用, 对终端进行远程监控和访问控制, 避免遭受攻击和对外发起攻击。

4.3 安全审计

安全审计就是对信息系统中有关安全的活动进行记录、检查及分析, 审计记录包括事件的日期和时间、事件类型、客户端IP地址、描述和结果等。审计为系统进行事故原因查询、定位, 为事故发生前的预测、报警以及事故发生之后的实时处理提供依据和支持, 能够有效追查事件发生的地点、过程以及责任人。

播出网中的服务器等要开启安全审计策略, 交换机、防火墙、IDS、UTM安全网关、媒体交换网关等要开启安全审计策略, 也可部署运维审计系统, 对播出网的网络设备、安全设备、主机设备进行运维操作时, 通过运维审计系统跳转到主机, 从而对运维人员进行身份认证、访问控制、授权等进行审计;应用系统日志保存应用程序产生的记录, 如用户操作 (登录、重要业务操作等) ;数据库审计记录数据库的操作, 以及数据库系统资源的异常使用和重要系统命令的使用等。数据库本身具备审计功能, 但开启后对性能影响较大, 因此建议在播出网中通过旁路部署数据库审计产品进行数据库日志的审计, 将数据库服务器VLAN中的数据以镜像方式发送到数据库引擎的采集端口。

4.4 入侵防范

入侵者通常利用信息系统的漏洞进行入侵, 获取信息系统的数据信息, 或者对数据信息和信息系统服务功能进行破坏。在网络边界主要通过入侵检测系统的部署, 实时监控进出网络的数据流, 对入侵行为进行告警。入侵检测系统内置病毒检测引擎和病毒库, 从而将病毒检查、入侵检测整合在一起, 对通过此边界的数据进行病毒检查, 这在病毒开始传播的初期能够起到很好的监控作用, 避免病毒的大范围扩散。同时也可通过漏洞扫描系统, 定期对播出网内的网络设备、安全设备、主机设备的脆弱性进行评估, 及时更新系统补丁, 修复漏洞, 从而实现入侵防范。

4.5 通信完整性

系统应用软件是通过网络与最终用户之间传递数据, 为了防止数据在传输时被修改或破坏, 通信双方利用校验码技术或密码算法 (如利用Hash函数计算通信数据的散列值, 并用非对称加密算法对散列值进行加/ 解密) 来保证数据的完整性。

4.6 软件容错

容错是指计算机系统在运行过程中发生一定的硬件故障或软件错误时仍能保持正常工作而不影响正确结果的一种性能或措施。应用系统应提供自动保护功能, 当故障发生时自动保护当前状态, 保证系统能够进行恢复。

4.7 资源控制

为防止部分用户登录业务系统进行操作后, 忘记退出系统而提供了其他非授权用户利用的可能性, 要求应用软件应在通信双方中的一方在一段时间内 (具体时间可以根据实际情况定制) 未作任何响应, 另一方自动结束会话。

5 安全管理中心设计

安全管理中心是对信息系统的计算环境、区域边界和通信网络的安全机制实施统一管理的平台, 是实现等级保护体系的重要支点, 具备系统管理、安全管理、审计管理、事件管理、风险管理、设备监控等功能。建立安全管理中心有利于对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理, 从而能够进行有效控制, 及时发现存在的问题。

安全管理中心部署日志审计系统, 通过采集器实现信息资产 (网络设备、安全设备、主机、应用及数据库) 的日志获取, 并通过预置的解析规则实现日志的解析、过滤及聚合;通过通信服务模块实现采集器与平台间的通信, 将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理;通过关联引擎的内置关联规则, 实现各资产间的关联分析;通过平台管理模块实现对播出网内的网络设备、安全设备、主机设备和应用系统的运行状态实时监控, 实现解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索等;根据播出网安全审计的需求, 定制安全审计报表, 可以直接地看到资产、风险、脆弱性、事件和设备的分布以及趋势, 将系统的主要统计数据显示在报表上, 便于播出网管理层及时了解播出网安全状况。

安全管理平台应提供相应接口, 能够支持常见的安全产品和网络产品, 同时还应支持主机系统和应用系统。安全管理平台接口方式如表4 所示。

6 结束语

播出网信息安全技术防护体系除对上述方面进行设计外, 还应提高播出网应用软件及各安全组件自身的安全性、可靠性, 避免应用软件自身的弱点与缺陷被利用, 这样才能更加彻底的消除或遏制安全隐患, 达到预期的安全目标。

参考文献

[1]GD/J 038-2011.广播电视相关信息系统安全等级保护基本要求[S].

【防护等级】推荐阅读：

工程等级07-17

等级控制05-18

烟叶等级06-03

社会等级06-24

客户等级07-08

创新等级07-25