安全原理论文

安全原理论文（精选11篇）

安全原理论文 篇1

摘要：汽车在给人类带来进步和文明的同时, 也给人类带来了危害, 特别是交通事故危害, 严重威胁着人们的生活和生产, 已经成为世界的一大公害。中国是世界上道路交通事故最多的国家之一, 交通安全状况已经成为严重的社会问题。道路安全审计作为一种主动、有效预防交通事故的措施, 在上世纪八十年代后得到迅速发展。本文主要对道路安全审计的基本原理进行阐述, 为道路安全审计提供一定的思路。

关键词：道路安全,审计,基本原理

一、道路安全审计的起源与目的

道路安全审计 (简称RSA) 的实践开始于英国, 最初是在铁路工程师检查铁路安全的方法上发展而来, 这里所指的道路包括公路和城市道路。上世纪七十年代, 英国就在1974年道路交通条例中, 笼统地提出了对新建道路进行安全审计的必要性。1990年英国运输部颁布了道路安全审计标准, 以规范道路安全审计的基本内容、方法和基本步骤。1993年英国把有关道路安全审计的要求, 写进其道路桥梁设计手册, 其相关条款同时适用于其他道路项目, 并在其中提出了道路安全审计的目的:

1、使道路运营管理人员对道路工程项目中的安全隐患有一个清醒认识, 意识到安全审计是进一步改善安全的有效措施。

2、使设计人员认识到, 尽管道路设计的有关标准和规范中已经考虑了安全因素, 但由于设计人员可能缺乏事故分析或道路安全工程经验, 仍然可能在设计上出现问题而留下事故隐患。

3、使道路管理部门充分认识改善道路安全的重要性, 并利用该手册提出的要求来提高道路的安全性。

4、道路安全审计就是要在设计和施工过程中, 充分考虑道路安全运行经验, 把可能发生的事故数降低到最低水平。

5、道路设计小组应包含具有道路安全工程经验的人员。当然, 这些人员不能再担任该项目的安全审计人员。

二、我国道路安全审计现状

我国较早的有关道路安全审计方法研究等基础性工作, 主要是由同济大学、长安大学、交通部公路科学研究院等单位进行的。近年来, 在世界银行和亚洲银行的推动下, 我国许多省份陆续开展了道路安全审计工作, 这极大地推动了道路安全审计在我国的发展和应用。为了进一步规范我国的道路安全审计工作, 交通部2004年正式颁布了《公路项目安全性评价指南》。2005年交通部与世界道路协会在北京举办了国际公路安全研讨会。与会代表重点讨论了怎样发挥各级政府的作用, 推动道路安全工作社会化、法制化, 进一步加强交通安全宣传, 更好预防和减少交通事故的方法, 探求预防特大交通事故的有效措施, 并建议引入国外道路安全审计模式, 加强对道路交通安全的监管。

三、道路安全审计基本原理

道路交通安全一般采用事故总数、事故严重程度和事故率等指标共同来表征, 不能单单使用单个指标, 如果只使用单一的指标, 往往不能客观、准确地反映道路的交通安全问题。当然, 不管道路安全用什么指标来度量, 这种安全智能是相对的, 绝对的道路安全是不存在的。道路安全审计就是设计辅助程序来帮助项目管理人员和设计人员预计可能发生的安全问题, 并提出可行的解决方案。道路安全审计基于两个基本假设:1、道路运营安全与道路设计是直接相关。改进设计或在设计中充分考虑交通运营可以改善道路安全, 从而避免成为运营事故的黑点。道路设计不只是提供甲乙两地之间的连接线, 更重要的是要保证道路使用时的交通安全。事实上, 融合了使用安全理念的道路设计能够大大降低驾驶员失误的可能性;2、道路安全审计即使完全按照现行的设计标准进行设计, 也不一定完全保证道路安全。这是因为设计标准的不完善, 同时由于道路使用环境千差万别, 而设计中对方案的安全评价主要是定性的、不系统的、不全面的或是粗略的。道路安全设计的理念可以归纳为以下几个方面:

(一) 满足用户期望。

用户期望是用户对道路这种公共产品使用性能的预计和期望。由于道路本身的用户覆盖整个社会, 用户主体非常多, 不同用户对道路设计的期望是不同的, 即使同一用户在不同条件下, 其期望也会发生变化;另一方面用户期望也很复杂, 这种复杂性是和道路使用环境分不开的。由于道路分为不同的功能和等级, 交通控制和管理措施则包括各种与道路硬件相匹配的交通指示、诱导和控制设施, 这样对动态的驾驶人员来说, 其期望也会变化的。道路安全审计的基本任务就是从设施的规划、设计和运营等角度寻找那些对用户期望考虑不周或遗漏, 从而有可能使用户尤其是不熟悉路况的用户迷惑的不安全情况。所以, 怎样使实施开发更好地满足用户期望就成为道路安全审计的标准和最基本的任务。运营车速是用户驾驶期望的一个集中反映, 评价运营车速是安全审计的一个可行的办法;另一个道路安全审计的办法就是判断设施设计是否符合用户的使用习惯。所以在道路安全审计中, 要重点检查新型设计是否与人们传统的使用习惯相符。比如, 人们在使用高速公路时习惯于右侧出口, 假如出口在左侧但没有充分的交通指示设施, 就不能满足人们的期望。道路安全审计中还必须考虑不同用户的不同使用期望。比如, 交通信号灯的间隔时间不仅要考虑正常行人的通过速度, 而且还要考虑老年人的通过速度。所以, 在道路设施开发中应采用多用户的综合服务水平进行评价及改善, 从而更好地满足各种用户的使用期望, 即全用户服务水平的概念。

(二) 满足视距要求。

视距是具有指定标准视线高度的驾驶员对路上标准高度障碍物连续可见的道路长度。包括停车视距、超车视距、分流视距、合流视距和各种交叉口视距。停车视距是所有视距中最小的, 包括停车反应时间所走距离和必需的制动距离。分流视距是周围环境复杂, 感知信息困难, 驾驶员容易做出错误决定的地方应提供的视距。我国《公路项目安全性评价指南》中规定高速公路出口匝道处的分流视距为10~13秒不减速行程。相关研究表明, 视距不良是造成交通事故的主要原因之一。货运汽车尤为如此。所以, 视距是道路设计中的重要设计项目, 是道路是否安全运营的关键因素, 也是安全审核的重要内容之一。

(三) 减小速度差。

速度差是指同一车道不同车辆之间运行速度的不同。速度差往往迫使跟驶驾驶员以明显低于正常期望速度行驶。这常常诱使跟驶车辆因急于达到期望车速而强超硬会, 这就会增大事故隐患。研究发现, 很多交通事故特别是追尾事故几乎都与运行速度差有关。不同道路用户在分享道路空间时, 由于他们的驾驶期望、能力、方式、习惯以及年龄、性别、出行目的不同, 必然会导致即使他们在相同的道路条件下也会采用不同的行驶速度, 造成速度差。例如, 本地驾驶员和第一次来本地的外地驾驶员的驾驶速度就可能不同。还有不同等级、功能的道路衔接过渡段、平面交叉口、交通控制路口、收费点、突发事件造成的拥挤车流等都会产生速度差。所以, 见效速度差是设计必须遵守的原则之一, 也是安全审计的重要依据之一。通常认为, 速度差超过15km/h就成为安全隐患。《公路项目安全性评价指南》建议设计速度与预测运行速度要保持协调, 并指出当同一路段设计速度和预测运行速度的差超过20km/h时, 应对该路段的相关技术指标进行安全性验算。笔者认为, 高速公路设计速度与预测运行速度差审核重点应放在进出口匝道及匝道与地方道路的交叉点。

(四) 利用交通控制设施管理冲突点。

交通冲突泛指车流之间如果不加控制就可能同时同地争抢统一道路设施的交通现象。一个普通的十字交叉路口就有8个合流、8个分流和16个交叉, 合计32个冲突点。交通冲突是交通事故的必要条件。因此, 道路设施的交通设计中必须采取措施对冲突点采取时空分隔。信号灯、停牌、让牌等禁令性质的控制设施从时间上分隔交通冲突, 交通岛、专用转弯车道、单行道等特殊交通设计从空间上分隔交通冲突, 减少冲突点, 保障交通安全。作为基本的交通工程原理, 控制设施的安装使用通常奉行渐进的原则, 即较不严格的控制先行原则。而只有在它还不能解决问题时, 才考虑更加严格的控制。很多冲突点的管理控制可以追溯到道路的设计阶段, 好的交通设计在主体工程设计中充分考虑了未来交通运营的安全因素。比如, 高速公路的中央分隔带就是这种好的设计的代表。

(五) 路测安全设计。

路测安全设计主要在于容错设计, 也就是说即使事故的主要原因在于用户, 而道路设施也可以帮助减轻事故的严重程度。路测安全设计是指行车道以外空间的安全设计, 其根本目的是要通过工程手段尽量减少车辆冲出路外的事故数量, 降低交通事故的严重程度从而减少事故损失。设置路测护栏是路测安全设计的重要措施之一, 其目的是防止失控车辆驶离路面并与路边障碍物或其他车辆相撞, 设置路测护栏的主要依据包括事故的可能性、严重性、事故的历史和路测净空等, 同时还要考虑一些特殊因素, 如相邻两段护栏之间小于60米的空档应该封闭;相邻两过渡段之间如果小于8米, 则该过渡段应连续设置等。在安全审计中, 审计人员主要根据这些路测安全原理来判断设计的符合性。

(六) 道路开口管理。

所谓道路开口管理就是通过减少主要道路对次要道路的开口数量、增加开口距离、优化开口的形式来减少对主要道路的横向干扰, 从而提高主要道路服务水平的一系列技术与方法。道路开口管理一般通过两大措施来实现, 一是结合土地利用规划的开口规划;二是开口本身交通运营的工程设计。就道路安全审计来说, 开口管理的主要审核标准是就开口的设置条件, 即开口可否关、停、并、转和开口设置形式是否符合基本的交通工程原理。众所周知, 交通安全问题的防治永远是防大于治, 就是说主动预防为上, 被动处置为下。因此, 充分利用开口管理和土地利用规划手段, 尽量避免后续的运营管理阶段的安全问题是开口管理审计的精髓。

(七) 风险管理。

风险管理是除道路开口管理外另一个主要安全管理措施。它不仅涉及到道路的规划和设计, 还涉及道路的正常运营和管理。其实质是依据设施使用中可以预见的紧急状态的管理需求进行设施硬件设计, 同时, 紧急管理方案的制定本身也受到设施设计制约因素的影响。针对风险管理的安全审计, 就是要求在设施开发过程中具有足够的风险防范意识, 对于确认的风险提出切实可行的处理办法, 并反馈到设施的设计中去。同时, 还要求在设计阶段就具体可能的道路设施应急反应的各个方面, 从而避免后续补救工作的困难。

以上从道路安全审计的原理做了分析, 实施道路安全审计还要得到道路管理部门的有力支持。同时必须强调的是, 对某一阶段的安全审计结果只适用于该阶段。由于道路安全审计是在事故发生前所采取的主动和预防性措施, 它不同于传统上的事故评价。道路安全审计的最终目的是从道路用户的角度来确定道路交通安全隐患, 便于有关部门采纳消除交通事故隐患的措施, 最大限度地减少交通事故发生率和降低事故的严重性。

参考文献

[1]王剑.交通安全与可持续发展.决策探索, 2005.5.

[2]王忠仁.路测安全设计.上海公路, 2005.

[3]许润龙等.道路安全审计理论及应用.人民交通出版社, 2007.

安全原理论文 篇2

安全阀是为了防止压力设备和容器或易引起压力升高或容器内部压力超过限度而发生爆裂的安全装置。安全阀是压力容器、锅炉、压力管道等压力系统使用广泛的一种安全装置，保证压力系统安全运行。

当容器压力超过设计规定时，安全阀自动开启，排出气体降低器内的过高压，防止容器或管线破坏。而当容器内的压力降至正常操作压力时，即自动关闭避免因容器超压排出全部气体，从而造成浪费和生产中断。

探析网络安全防范体系及设计原理 篇3

关键词：网络安全；防范体系；设计原理

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 06-0000-01

Network Security Prevention System and Design Principles

Tan Chengbing

(Bozhou Vocational&Technical College,Bozhou236800,China)

Abstract:With the rapid development of Internet and network technology has been integrated into one production in all areas of life,but the network security problems are more serious.In this paper,the concept of network security,Internet,possible risks,and some of the design principle.

Keywords:Network security;Prevention system;Design principles

随着全球信息化进程和互联网技术的快速发展，相对应的网络安全问题也愈加受到人们的重视，网络安全问题已经成为信息化进程中不可避免的阻碍因素。

在网络环境下，无论采用什么样的安全防范技术，都只能保证网络环境的相对安全。构建更加合理的网络安全防范体系，需要我们不断提高网络安全防范的意识和技术水平，同时在社会上进行网络安全技术的广泛宣传教育。

一、目前网络安全存在的主要问题

（一）计算机病毒。计算机病毒是一段通过媒介载体潜伏在计算机内通过一定的指令激活从而对计算机软硬件造成一定破坏的程序。计算机病毒有着强大的复制能力，具有极快地蔓延速度，它们能通过原有的文件进行传输。

（二）安全漏洞。计算机安全漏洞是指计算机软硬件或者系统安全策略存在缺陷，导致外来攻击能够在未授权的情况下侵入计算机系统以获取有用的信息，造成信息泄露。计算机安全漏洞的产生从某种程度上来说是几乎无法避免的，通常来说，系统检测只能发现错误，却无法对系统错误进行完整的修正，所以需要定期的对计算机进行系统检测，以便及时的发现系统的安全漏洞，给予解决措施。

（三）黑客入侵。网络黑客是随着计算机和网络技术的发展而成长起来的，热衷于研究、撰写程序，精通计算机语言，专门研究网络漏洞的计算机专才。他们为了私利利用黑客程序、木马病毒等破坏他人计算机系统、窃取重要信息，对网络安全产生严重的威胁。

二、网络安全防范体系设计原则

（一）木桶原则。木桶原则是指对于网络信息全面的、完整的保护。全面的完整的分析计算机系统的安全漏洞和安全威胁，是设计网络安全防范体系的重要前提。

（二）平衡性原则。计算机安全只能达到相对安全的系统环境，需要对计算机系统进行整体的评价，建立相对平衡体系，使得安全性与实用性相匹配，切实可行。

（三）整体性原则。一旦计算机网络受到威胁，必须尽可能地快速恢复计算机网络系统，避免更大的损失和破坏。计算机信息安全系统应该结合防护机制、检测机制和恢复机制。从整体上掌握整个安全防范的流程。

（四）一致性原则。网络安全防范系统是一个复杂而又庞大的系统工程，必须按照一系列的标准，确保各部分系统的一致性，使整个网络安全防范体系互相沟通、资源共享。

（五）易操作性原则。网络安全系统的操作需要由人去完成，过于复杂的安全系统，对操作人员的要求过高，降低了系统的使用效率，同时，网络安全系统不能影响网络系统整体的正常运行。

（六）统筹兼顾原则。网络安全防范体系涉及到人、技术、设备等要素，需要将安全技术与人员管理、思想教育等各方面要素统筹兼顾，相互结合，才能更好的进行网络安全防范工作。

三、网络安全防范体系的主要设计技术

（一）防火墙技术。防火墙技术分为网络级防火墙和应用级防火墙两种。目前大部分防火墙主要采用屏蔽路由技术、包过滤技术、动态防火墙技术等。

（二）信息加密技术。网络数据交换过程中，信息有可能遭到窃取而威胁到信息传输的安全性。对此，一般采用加密技术，将网络信息或者数据进行加密，变为乱码后进行传输，从而保证网络数据传输的安全性。

（三）虚拟专用网技术。虚拟专用网是在公共网络上延伸的专用网络，从本质上来说，即是在公用网络上建立一个虚拟通道，作为专用的网络连接。通过加密技术辅助进行安全防护。

（四）入侵检测技术。入侵检测技术是一种主动性的安全防护技术， 能够自主检测网络系统中违反安全策略的行为，保证网络系统的安全，及时的发现网络系统中的安全隐患。通过限制检测出的不符合网络安全规则的异常活动， 保护网络系统的安全。

四、网络安全防范体系模型

（一）传统安全模型。传统的计算机安全定义为：主体对客体的访问符合预定的安全策略，这是一个开放的控制管理系统，没有主动发现，是一个被动的控制规则。而对于日益流行的分布协同式网络安全事件，任何独立的安全组件防御能力是有限的，只有各安全组件有效的互动，形成整体安全解决方案，才能对安全事件有效的防护和检测。

（二）动态安全模型。在分析PDR、PPDR等安全模型的基础上，同时考虑网络安全的重心由传统的对网络系统的加固和保护转为预先发现网络漏洞并及时响应，提出一个基于闭环控制的，以安全策略、安全管理为中心的IPDRRRPM，具有主动的、自相适应的安全模型主要由检查（I）、防护（P）、检测（D）、反应（R）、恢复（R）、反省（R）、安全策略（P）、安全管理（M）共八个部分组成动态网络安全模型，且更加注重安全策略、安全管理。组成情况见模型图。

五、结束语

当然了，本文虽然较系统的阐述了网络安全防范系统的设计原则并提出IPDRRRPM动态网络安全模型，但黑客、病毒技术与安全防范技术，像一对孪生兄弟，此消彼长，解决问题的关键是人们的网络安全意识教育，魔高一尺，道高一丈，普及网络安全技术教育是解决网络安全问题的根本之道。

参考文献：

[1]孙珊珊,孙晓霞.网络安全防范技术应用过程存在的问题[J].黑龙江科技信息,2008

[2]谢振刚.如何建立安全的计算机网络系统[J].黑龙江科技信息,2008

[3]李丽蓉.网络蠕虫防范技术研究[J].太原师范学院学报(自然科学版),2007

[4]庄小妹.计算机网络攻击和防范技术初探[J].科技资讯,2007

[5]刘炳齐.动态网络安全模型校园网应用研究[J].硅谷,2010

安全文化建设原理研究 篇4

关键词：安全文化,组织,方格理论,杠杆原理,结构体系

0引言

安全文化是确保组织安全的重要保障,通过组织安全文化建设来改善组织安全状况已成为国内外学术界的研究共识[1,2,3,4]。由此可知,安全文化建设是安全文化学的一个有价值的研究方向。

目前学界关于组织安全文化建设的应用研究比较广泛和深入,研究成果颇多,如宫运华等[5]指出可通过组织安全管理体系有效运行来建设组织安全文化; 文献[6]提出金川五阶段安全文化管控集成模式; SE Biggs[7]等指出领导( 如领导安全示范或承诺等) 是组织安全文化建设的关键因素。但对组织安全文化建设的理论研究成果甚少,在此方面比较有代表性的研究成果仅有文献[7]指出组织安全物质文化建设要趋于实现本质安全。由此导致组织安全文化建设缺乏理论依据且效率低下,也致使安全文化学缺乏相对完善的学科理论体系。

鉴于此,为深入研究组织安全文化建设的普适性原理,从组织安全文化建设的基点( 人与物) 出发,以降低组织安全文化建设阻力的阻碍作用、提升组织安全文化的建设效率为着眼点,提炼并分析组织安全文化建设原理,以期为组织安全文化建设提供理论指导,进而丰富安全文化学原理,促进安全文化学研究发展。

1组织安全文化方格理论

1. 1理论的提出

综观诸多比较有代表性的事故致因理论( 如海因里希、博德、亚当斯等事故因果连锁理论以及人失误事故模型、轨迹交叉理论、行为安全“2 - 4”模型等) ,发现它们具有一个共同点,即均强调人的不安全行为和物的不安全状态是造成事故的直接原因, 而管理缺陷是造成事故的根本原因,这已成为国内外学术界的研究共识[9,10]。此外,文献[11 - 12]指出,塑造本质安全型人和实现物的本质安全化是解决安全管理“空白”地带( 缺陷) 的最根本、最有效途径。因此,安全管理和安全文化建设所追求的最终目的都可视之为提高人和物的本质安全化程度。换言之,组织安全文化建设应从“人的本质安全化”和 “物的本质安全化”两条脉络着手,既要关注“人”, 也要关注“物”,要坚持“两手抓”,二者不可偏废,这也与目前组织安全文化建设实际相吻合。由此,提出组织安全文化方格理论,如图1所示。

1. 2关键方格的涵义解释

由图1可知,组织安全文化方格矩阵的横坐标表示“物本安化安全文化强度”,纵坐标表示“人本安化安全文化强度”。按照不同强度分为9个档次,1为最低,9为最高,纵横交错,共同构成具有81个方格的矩阵。其中,5个方格具有组织安全文化的典型意义,分别解释如下:

1) ( 1,1 ) 为贫乏型安全文化: 秉承这类安全文化的组织既不重视人的本质安全化,也不关注物的本质安全化,组织安全文化水平极低。这类组织的人的安全意识和素质低,安全宣传教育和监督检查不到位,工艺技术落后,设备可靠性差,组织抗灾能力弱。因此,这类安全文化下的组织事故频发,事故起数居高不下,如果没有特殊的条件支撑与保护,势必被淘汰。

2) ( 1,9 ) 为趋人型安全文化: 秉承这类安全文化的组织重点强调本质安全型人的塑造,这类组织的安全文化以“以人为本”为核心理念,用先进安全理念引导人的安全价值取向,用系统的安全培训教育提高人的安全意识和素质,用完善的安全行为规范保障人的安全行为养成。但这类组织弱化了从技术方面来提高物的本质安全化程度,设备、生产工艺等存在较大的安全隐患,绝大多数事故都是由物的因素引起的,即因物的因素导致的事故频发。

3) ( 9,1 ) 为趋物型安全文化: 秉承这类安全文化的组织高度关注物的安全,偏向采用提高设备可靠性、工艺技术水平、系统抗灾能力、机械化程度、安全设施设备投入等措施来预防事故,进而提高组织的安全水平,成本较高。但这类企业弱化了对人的安全意识、素质等的提高。此外,许多特定条件下的研究发现,86% ~ 96% 的伤害事故都是由人为原因所致[13]。因此,这类安全文化下的组织提高自身安全水平的效果不明显且不持久,绝大多数事故都是由人的因素引起的,即因人的因素导致的事故频发。

4) ( 5,5 ) 为中立型安全文化: 秉承这类安全文化的组织对提高人和物的本质安全化程度都给予适当的关注和投入,但“两手”都不硬,人和物的本质安全化程度都不理想,组织安全水平提升效率低,事故原因中既有物的因素,也有人的因素。

5) ( 9,9 ) 为理想型安全文化: 秉承这类安全文化的组织既重视本质安全型人的塑造,也关注物的本质安全化程度的提高,是最为理想的双强组织安全文化模式,这类组织一定是安全水平持续提高的组织。

由上所述可知,5种不同类型的安全文化的作用曲线,即不同类型的安全文化与组织事故量之间的关系曲线可抽象为图2所示。其中,曲线I表示贫乏型安全文化的作用曲线; 曲线II表示趋人型、 趋物型和中立型安全文化的作用曲线; 曲线III表示理想型安全文化的作用曲线。需要说明的是,曲线III趋向实现“零事故、零伤害”的安全目标,这是组织安全文化建设所追求的最终目标,也是优秀组织安全文化的具体表现。

1. 3深层内涵的解析

组织安全文化方格理论内涵丰富,可从不同角度分析得出其不同的深层内涵,具体分析如下:

1) “人本安化”的内涵: 组织安全文化方格之 “人本安化”维度,从组织安全管理角度来讲,就是坚持“以人为本”,以人为前提和动力,努力把组织成员塑造成“想安全、会安全、能安全”的人。其具体内涵是: 1“想安全”指组织成员具有强烈的自主安全意识; 2“会安全”指组织成员具有保障安全的丰富知识和熟练技能; 3“能安全”指组织成员本身能够有效地保障安全。塑造本质安全型人不是一味强调对人的硬性约束和被动服从,而要通过长期培养人的安全主体意识、安全责任意识,并弘扬人的安全主观能动性,使人充分发挥其自主保安能力和价值。塑造本质安全型人是一项系统工程,需要理念导向系统( 安全价值理念) 、行为养成系统( 安全行为规范) 和安全环境系统( 良好的安全环境) 的蕴涵互动。其中,理念导向系统是内因,是内动力; 行为养成系统是枢纽,是启动力; 安全环境系统是外因, 是影响力,三力交互,叠加共振,构成塑造本质安全型人的有机整体。换言之,塑造本质安全型人要以理念为先导,以制度做支撑,以环境为基础,如图3所示。

2) “物本安化”的内涵: 组织安全文化方格之 “物本安化”维度,就是以提高设备或组织物质系统本身的安全性为导向,通过设计、技术改进等手段来确保即使在误操作或发生故障的情况下也不会造成事故,即“物的安全准则”。由轨迹交叉理论[14]可知,事故是由于物的不安全状态和人的不安全行为在一定的时空里的交叉所致。因此,实现物的本质安全化的基本途径可分为4种: 1消除物的不安全状态,如替代法、降低固有危险法、被动防护法等; 2设备能自动防止误操作和设备故障,即避免人操作失误或设备自身故障所引起的事故,如联锁法、自动控制法、保险法等; 3通过时空措施防止物的不安全状态和人的不安全行为的交叉,如密闭法、隔离法、 避让法等; 4通过“人—机—环”系统的优化配置, 提高系统的抗灾能力,使系统处于最佳安全状态。 总之,物的本质安全化是从控制导致事故的“物源” 方面入手,提出的防止事故发生的技术途径与方法。

3) 理想型安全文化的建设思路和实质涵义: 在 “人本安化”与“物本安化”的互相推动中建立理想型安全文化模式,其实质是建设组织本质安全文化。 1建设思路: 由组织安全文化方格矩阵图可知,“人本安化”与“物本安化”2个维度在组织安全文化建设实践中既相互独立,又相互交叉,联系紧密,在组织安全文化建设实践中是相互推动、共同发展的,即 “人本安化”需要依赖于“物本安化”( 如通过“物本安化”可以有效改善组织的安全环境,这为实现“人本安化”创造了有利的外因条件) ,“物本安化”也必然依赖于“人本安化”( 如通过对组织成员的安全教育和培训,可以有效降低人的误操作,而且通过人的安全意识和责任的培养,以及对人的主观能动性的弘扬等,可以促使组织成员积极探索实现物的本质安全化的新方法、新技术等) 。因此,建立理想型组织安全文化,避免组织安全文化畸形发展,必须要把 “人本安化”与“物本安化”的安全文化建设结合起来,实现二者的结合和互动发展; 2由上分析可知, 理想型组织安全文化即组织本质安全文化,这是组织安全文化建设所追求的最终目标,它是指以组织安全价值理念为主导,以风险预控为核心,在此基础上形成的被组织成员所接受的组织安全价值观、信念、行为准则与保障组织安全的物质表现的总和。

4) 安全文化建设目标的设定: 由理想型安全文化的建设思路可知,组织安全文化建设应从“人本安化”与“物本安化”2方面着手,据此讨论组织安全文化建设目标的设定。以方格( 5,5) ,即中立型安全文化为界限,图1中的阴影部分表示优良型安全文化,且其优良度( 即安全文化强度) 随着“人本安化安全文化强度”和“物本安化安全文化强度”的增强而增强,其作用曲线可抽象为图4所示。因而, 组织安全文化建设应以优良型安全文化区域内的某一方格为某一阶段的具体安全文化建设目标,逐步提升组织安全文化强度。

5) 安全文化建设任务重心的选择: 根据组织实际情况,选择合理的组织安全文化建设任务重心,任务重心优选区域范围如图1阴影部分所示。具体分2方面讨论: 1对于典型的劳动密集型和技术密集型2类企业来说,各自的企业安全文化建设的侧重点应存在明显差异,即劳动密集型企业应侧重于 “人本安化”,而技术密集型企业则应侧重于“物本安化”( 具体见图1阴影部分所示) ,这主要是因为人和物2类因素分别在2类企业的事故原因中所占的比重有所差异,即在劳动密集型企业中,引起事故的主要原因是人的因素,而在技术密集型企业,引起事故的主要原因是物的因素; 2对于其他组织( 包括家庭、社区等) 来说,组织安全文化建设应从“人本安化”与“物本安化”2方面同时抓起,但并不是说其安全文化建设就没有侧重点,也应根据自身劣势或不同阶段的实际需要,灵活调整安全文化建设的任务重心,使其安全文化建设方案最优化。

6) 安全文化建设水平的评估: 从“人本安化安全文化强度”和“物本安化安全文化强度”的2个维度,分别构建各维度的安全文化强度评价指标体系, 并采用相关安全文化评估方法和技术手段,就可以评估得出组织安全文化强度( 即组织安全文化强度在组织安全文化方格矩阵图中的具体位置) 。此外,通过评估反馈,及时调整和优化组织安全文化建设方案,进而提升组织安全文化建设效率并节约其建设成本。

2组织安全文化杠杆原理

2. 1原理模型的构建

由组织安全文化方格理论可知,组织安全文化建设应从“人本安化”与“物本安化”2方面注入动力。从理论上讲,动力的作用位置具体可分为2方面: 1一部分动力仅贡献于组织安全文化建设,即不用于减弱组织安全文化建设阻力所带来的负面影响( 阻碍作用) ; 2另一部分动力则需要用于减弱组织安全文化建设阻力所带来的负面影响( 阻碍作用) , 以促进组织安全文化建设。不妨把这部分动力和组织安全文化建设阻力分别设为F1和F2,由此构建组织安全文化杠杆原理模型,如图5所示。

2. 2原理模型的构成要素释义

由图5可知,F1与L1分别构成该模型的动力与动力臂,F2与L2分别构成该模型的阻力与阻力臂。其中,F1和F2的涵义上面已做了解释,不再赘述,但尚未解释L1和L2的涵义。此外,还需具体限定F2的涵义。鉴于此,将该模型的动力臂L1、阻力F2和阻力臂L2的具体涵义分别解释如下:

1) 动力臂L1表示动力F1减弱阻力F2的阻碍作用的有效度,有效度越高,则所需的动力F1就越小,就越有利于组织安全文化建设。它主要是由安全文化建设方案( 包括安全文化建设理念、目标、思路、任务、方法和评估等) 的适宜性和可行性决定的。

2) 阻力F2表示组织安全文化建设阻力的量的大小,即在“人本安化”与“物本安化”2方面所存在的漏洞数量的多少及其严重程度。换言之,它是指落后组织安全文化的量的大小,如在组织安全价值观念、安全制度规范、安全设施设备投入、组织成员的安全行为习惯养成等方面存在的漏洞及其严重程度。

3) 阻力臂L2表示改变阻力F2的难易程度,这主要与组织和组织成员的自身特性有关,如组织安全管理的惯性,组织成员行为的惯性、思想的惰性、 变革的适应性以及对既得利益的守护等。

2. 3原理模型的内涵解析

由物理学中的杠杆平衡条件[15]可知,要使杠杆平衡,作用在杠杆上的两个力矩( 力与力臂的乘积) 大小必须相等,用代数式表示为:

式中: F1、L1、F2和L2分别表示动力、动力臂、 阻力和阻力臂。

由式( 1) 可知,要减小F1的值,具体有3种途径: 增大L1的值、减小F2的值或减小L2的值。一般来说,F2的值是确定的,因此,减小F1只能采用增大L1的值或减小L2的值的途径来实现。

物理学中的杠杆原理同样适用于解释组织安全文化杠杆原理模型,分析如下:

1) 组织安全文化杠杆原理模型的构成要素中的F1与L1的乘积表示组织安全文化建设阻力的阻碍作用强度,而F2与L2的乘积表示用于减弱组织安全文化建设阻力的阻碍作用的那部分组织安全文化建设动力的作用强度。

2) 若F2与L2的乘积与F1与L1的乘积相等, 则表示组织安全文化建设阻力的阻碍作用已完全被消除。从理论上讲,这只是一种理想状态,因为组织安全文化建设阻力是不可能彻底被消除,即其阻碍作用也是不可能完全被消除的,只能最大限度地减弱其阻碍作用。

3) 一般来说,在某一确定的时间段内,组织安全文化建设阻力的量的大小,即阻力F2是确定的。 若要减小动力F1的值,同样有2条途径,即增大L1的值或减小L2的值。由上述对组织安全文化杠杆原理模型的构成要素的释义可知,这2条途径的实质内涵是: 1提高组织的安全价值观念和安全文化建设方案的适宜性和可行性; 2采用教育培训以及加强与组织成员之间的沟通等措施,减弱、纠正组织成员的不正确认识和行为等,逐步摆脱落后组织安全文化对组织成员的思想和行为等的负面影响,进而增强组织成员对组织安全文化建设理念等的认同感。

3组织安全文化建设原理的体系结构

组织安全文化方格理论和杠杆原理不是各自独立的,它们之间彼此影响,相互促进,共同为组织安全文化建设奠定了理论基础。由此,建立组织安全文化建设原理的“轮形”体系结构,如图6所示。

该“轮形”体系结构看似简单,实则内涵丰富。 由图6可知,组织安全文化建设方案的要素构成 “轮形”体系结构的“轮辋”; 而各组织安全文化建设方案的要素是制定组织安全文化建设整体方案的基础,两者间的关系类似于“轮辋”与“轮胎”间的关系( “轮辋”是“轮胎”的直接支撑构件) ,因此,组织安全文化建设的整体方案构成“轮形”体系结构的“轮胎”; 组织安全文化方格理论构成“轮轴”; 组织安全文化方格理论通过“轮辐”对组织安全文化建设方案发挥指导作用。此外,要使轮子正常运转起来,即使组织安全文化建设方案有效运行起来,必须要对其施加动力,但轮子又受到与接触面间的摩擦力的阻碍作用,它们分别相当于组织安全文化建设动力的推动作用和阻力的阻碍作用。对于该体系结构的深层内涵,具体解释如下:

1) 由组织安全文化方格理论的内涵可知,组织安全文化方格理论为组织安全文化建设方案的要素设计( 包括组织安全文化建设的指导思想、目标、思路、任务、方法及评估手段的确定) 提供了理论依据。需要说明的是,通过评估组织安全文化的建设效果,并将评估结果及时反馈至组织安全文化建设者,有助于及时优化和调整组织安全文化建设方案, 因此,在组织安全文化建设方案的设计阶段,有必要考虑并制定组织安全文化建设效果的评估手段。鉴于此,笔者把组织文化建设效果的评估手段也看成是组织安全文化建设方案的要素之一。

2) 由组织安全文化杠杆原理的内涵可知,组织安全文化杠杆原理指明了组织安全文化建设者减弱组织安全文化建设阻力的阻碍作用的方法和具体措施,而方法和措施的本质是优化组织安全文化建设方案,这类似于通过改造“轮胎”本身( 如改变“轮胎”表面的粗糙程度等) 来减小其与接触面间的摩擦力。

4结论

1) 组织安全文化方格理论是基于组织安全文化建设的2种重要途径,即“人的本质安全化”和 “物的本质安全化”提出的。其方格矩阵图中的5个关键方格分别代表5中典型的组织安全文化模式,指出理想型安全文化是最为理想的双强组织安全文化模式。

2) 组织安全文化方格理论内涵丰富,可从不同角度分析得出其不同的内涵,它对组织安全文化建设方案的要素设计( 包括组织安全文化建设的指导思想、目标、思路、任务、方法及评估手段的确定) 和优化具有重要的理论指导作用。

3) 组织安全文化杠杆原理指出了用最小的组织安全文化建设动力减弱组织安全文化建设阻力的阻碍作用的具体思路和途径,即提高组织的安全价值观念和安全文化建设方案的适宜性和可行性或采用教育培训和加强与组织成员之间的沟通等措施, 进而减弱、纠正组织成员的不正确认识和行为,增强组织成员对组织安全文化建设理念等的认同感。

安全学原理复习提纲 篇5

题型分别为：单项、多项、名词解释、判断、简答、论述、案例分析。

一、单项选择、多项选择、判断内容：

1、事故的分类和本质

（1）事故分为生产事故和非生产事故。

按事故性质分：

1）责任事故：人为原因为主造成的事故。

2）非责任事故：自然不可抗力原因为主造成的事故。

（2）事故的本质：事故的因果性；事故的偶然性、必然性和随机性；事故的潜在性、再现性、预测性和复杂性；

2、马斯洛的需求层次理论（金字塔）

最底层：生理需要，本能层次的需要,包括食欲、睡眠、欲望等

安全需求：避免对生命构成威胁的需要

社交需要，社会需要，与他人交流相关的需要变得更重要 尊重需要，想被他人承认的需要

最上层：自我实现，对理想实现等的需要，称为成长需要

3、事故的等级划分

（一）特别重大事故，是指造成30人以上死亡，或者100人以上重伤（包括急性工业中

毒，下同），或者1亿元以上直接经济损失的事故；

（二）重大事故，是指造成10人以上30人以下死亡，或者50人以上100人以下重伤，（三）较大事故，是指造成3人以上10人以下死亡，或者10人以上50人以下重伤，或

者1000万元以上5000万元以下直接经济损失的事故；

（四）一般事故，是指造成3人以下死亡，或者10人以下重伤，或者1000万元以下直

接经济损失的事故。

4、海因里希事故连锁理论

5.博德的事故因果连锁理论

6.亚当斯的事故因果连锁理论

7.轨迹交叉事故因果连锁理论

8.事故致因理论（1）瑟利模型

瑟利模型将事故发生的过程划分为危险构成和危险释放两个阶段。

瑟利模型在每个阶段中都从人的感觉、认识、和行为响应三个方面阐述。

（2）安德森模型

9.变化-失误理论

10.P理论

11.两类危险源理论

把系统中存在的、可能发生意外释放的能量或危险物质称作第一类危险源。

导致约束、限制能量措施失效或破坏的各种不安全因素称为第二类危险源，包括人、物、环境三个方面。

12.安全色

《安全色GB 2893-2008 》规定：

（1）红色：各种禁止标志；交通禁令标志；消防设备标志；机械的停止按钮、刹车及停车装置的操纵手柄；机械设备转动部件的裸露部位；仪表刻度盘上极限位置的刻度；各种危险信号旗等。

（2）黄色：各种警告标志；道路交通标志和标线中警告标志；警告信号旗等。（3）蓝色：各种指令标志；道路交通标志和标线中指示标志等。

（4）绿色：各种提示标志；机器启动按钮；安全信号旗；急救站、疏散通道、避险处、应急避难场所等。

13.瓦斯爆炸浓度

瓦斯爆炸条件：

（1）一定浓度（5-16%）的瓦斯；

（2）足够能量的点火源：温度不低于650度；能量大于0.28mJ；持续时间大于爆炸感

应期。

（3）氧气浓度大于12%。

14.工伤事故的分类

（1）物体打击:不包括因机械设备、车辆、起重设备、坍塌、爆炸等引发的物体打击。（崩块、飞来物、滚石等）

（2）车辆伤害：指企业机动车辆在行驶中引起的人体坠落和物体倒塌、下落、挤压伤亡事故，不包括起重设备提升、牵引车辆和车辆停驶时发生的事故。（跑车事故）

（3）机械伤害：指机械设备直接与人体接触引起的夹击、碰撞、剪切、卷入、绞、碾、碰、割、戮等伤害，不包括车辆、起重机械引起的机械伤害。（4）起重伤害：指各种起重设备操作过程中所发生的挤压、坠落（吊具和吊重）物体打击等伤害。脱钩砸人、钢丝绳断裂抽人、移动吊物撞人等

（5）触电：如人体接触裸露的临时线或接触带电设备的金属外壳，触摸漏电的手持电动工具，以及触电后坠落和雷击等事故，包括雷击伤害。

（6）淹溺：适用于船舶、排筏等设施在航行、停泊、作业时发生的落水事故，包括高处坠落淹溺，不包括矿山、井下透水淹溺。

（7）灼烫：指火焰烧伤、高温物体烫伤、化学灼伤、物理灼伤，不包括电烧伤和火灾（8）火灾：不适用非企业原因造成的火灾。如居民火灾蔓延至企业。

（9）高处坠落：从架子上、屋顶坠落和平地上坠入地坑、洞、沟等，不包括触电坠落。(10)坍塌：挖沟时的土石倒塌，脚手架坍塌、堆置物倒塌等，不适用于矿山冒顶片帮和车辆、起重机械、爆破引起的坍塌）

（11）冒顶片帮：指在矿山工作面、通道上部、侧壁由于支护不当，侧压力过大造成的坍塌伤害事故。

（12）透水：如地下含水带或被淹坑道涌水造成的事故。但不包括地面水害事故。（13）放炮：各种爆破作业、采石矿煤、修路、开山、拆建筑物等进行放炮作业

（14）火药爆炸：指火药、炸药及其制品在生产、加工、运输、储藏过程中发生爆炸。（15）瓦斯爆炸：化学性爆炸事故。

（16）锅炉爆炸：指固定或承压锅炉发生物理性爆炸事故。不适用铁路机车、船舶上（17）容器爆炸：容器内盛装的蒸汽、液化气等在一定条件下反应后导致的容器爆炸。（18）其他爆炸：除了上面的爆炸，包括化学爆炸，炉膛、钢水爆炸等。

（19）中毒和窒息：中毒是指人体接触有毒物质引起的在8小时内出现的各种生理现象的总称，也称急性中毒；窒息是指在一些不能通风的地方工作，因为氧气缺乏，出现晕倒甚至死亡的事故。如煤气、汽油、沥青、一氧化碳中毒等，不包括慢性中毒的职业导致死亡。

（20）其他伤害：扭伤、跌伤、冻伤、野兽咬伤、钉子扎伤等。

15.安全三要素和四因素：

三要素：安全人体、安全物质、安全人与物

四要素：安全人体、安全物质、安全社会、安全系统

16.安全标志

《安全标志及其使用导则GB 2894-2008 》规定的安全标志有禁止类标志40个，警告类39个、指令类标志16个、提示标志8个，还有用文字作为补充标志与上述标志结合使用的方法规定。（事故致因理论ppt，P190）

17.工伤认定的情况

《工伤保险条例》规定，有下列行为者为工伤：

（1）在工作时间和工作场所内，因工作原因受到事故伤害的；

（2）工作时间前后在工作场所内，从事与工作有关的预备性或者收尾性工作受到事故伤害的；（3）在工作时间和工作场所内，因履行工作职责受到暴力等意外伤害的；（4）患职业病的；

（5）因工外出期间，由于工作原因受到伤害或者发生事故下落不明的；（6）在上下班途中，受到非本人主要责任的交通事故或者城市轨道交通、客运轮渡、火车事故伤害的；在上下班途中，受到机动车事故伤害的；

（7）法律、行政法规规定应当认定为工伤的其他情形。

《工伤保险条例》规定，有下列行为者视同工伤：

（1）在工作时间和工作岗位，突发疾病死亡或者在48小时之内经抢救无效死亡的；（2）在抢险救灾等维护国家利益、公共利益活动中受到伤害的；

（3）职工原在军队服役，因战、因公负伤致残，已取得革命伤残军人证，到用人单位后旧伤复发的。

职工有前款第（1）项、第（2）项情形的，按照本条例的有关规定享受工伤保险待遇；职工有前款第（3）项情形的，按照本条例的有关规定享受除一次性伤残补助金以外的工伤保险待遇。

不能认定为工伤的情形：

职工符合本条例第十四条、第十五条的规定，但是有下列情形之一的，不得认定为工伤或者视同工伤：(一)故意犯罪的；(二)醉酒或者吸毒的；(三)自残或者自杀的。

18.事故的“四不放过”原则

（1）事故原因未查清不放过（2）责任人员未处理不放过

（3）责任人和群众未受教育不放过（4）整改措施未落实不放过

19.预防事故三大对策

安全法制对策、工程技术对策、安全教育对策

20.安全与危险的关系

（1）安全与危险是相互依存的。安全如果没有危险就失去了存在的条件，反之危险如果没有安全就失去了存在的前提，例如：生产过程中有物体打击的危险，因此要求生产者必须戴好安全帽。

（2）安全与危险是互相对立的。安全与危险是两种刚好相反的倾向趋势或力量，例如：高空作业必须系安全带是因为有坠落的危险与之对立。

（3）安全与危险两个方面在一定的条件下可以互相转化。在生产过程中采取各种措施保护安全，不存在危险因素时，安全因素的力量就会不断增长从而处于支配地位，这时的生产就呈现出安全状态；反之，就会呈现出危险状态。

21.行为的分类

（1）按行为主体的不同，可分为

A.个人行为，包括：个人的生长、发育、学习、意见等行为；

B.团体行为，包括：团结、友好、谅解、默契、暗约、分歧、对抗、破坏等行为。（2）按人类活动领域可分为: A.管理行为,包括计划、组织、领导、激励、控制、决策、预测等行为。B.政治行为：包括选举、公务、行政、民族团结、国际关系等行为。

C.社会行为：包括社会控制、社会变迁、社会文明、社会进步、社会发展等行为。D.文化行为：包括文化艺术活动、教育活动、体育活动、学术研究等行为。

22.群体的概念和分类

（1）群体是两人或两人以上的集合体，他们遵守共同的行为规范，在情感上互相依赖，在思想上互相影响，而且有着共同的奋斗目标。（2）群体的分类

根据群体是否实际存在，分为假设群体和实际群体。

根据群体规模的大小可以把群体划分为大型群体和小型群体。

根据构成群体的原则和方式的不同，可以把群体划分为正式群体和非正式群体。

23、动机与行动

24、三同时

1）“三同时”的定义。建设项目“三同时”是指生产性基本建设项目中的劳动安全卫生设施必须符合国家规定的标准，必须与主体工程同时设计、同时施工、同时投入生产和使用，以确保建设项目竣工投产后，符合国家规定的劳动安全卫生标准，保障劳动者在生产过程中的安全与健康。

2）“三同时”的内容

①可行性研究阶段。②初步设计阶段。③施工阶段。④试生产阶段。⑤劳动安全卫生竣工验收阶段。

25、噪声安全卫生标准

85分贝——8小时 88分贝——4小时 91分贝——2小时 94分贝——1小时 97分贝——0.5小时

26、安全行为科学的研究对象 个体安全行为、群体安全行为、领导安全行为

27、构成工伤事故的三要素：伤害部位、伤害种类、28、根据事故因果连锁理论，导致事故

直接原因人的不安全行为和物的不安全状态

间接原因是遗传及社会关系

伤害程度。

29、《安全生产法》的实施日期：2002年11月1日。

30、从安全的属性来看，可以划分为

自然属性和社会属性。

31、根据工伤事故分类标准，重伤

指工作日损失在105工作日以上，6000个工作日以下的伤害。

32、安全生产方针：安全第一，预防为主，综合治理。

33、事故按原因分类：自然灾害、人为事故。

按事故的发展过程特性分类：突变型、发展型、持续型、环境演变型

34、事故严重度的概念

指因事故造成的财产损失和人员伤亡的严重程度

35、安全观的核心：生命价值

36、安全科学的指导思想——马克思主义哲学

37、安全的主要内涵：以“以人为本”为主要内涵。

二、名词解释：

1、安全

人的身心免受外界（不利）因素影响的存在状态（包括健康状况）及其保障条件。这一定义包括两个方面的内容：一个方面是人的身心存在的安全状态，另一个方面是物的客观保障条件，且这一保障条件并不仅仅限于生产过程之中。

2、重大危险源

单元内存在的危险化学品为单一品种，则该危险化学品的数量即为单元内危险化学品的总量，若等于或超过相应的临界量，则定为重大危险源。

单元内存在的危险化学品为多品种时，则按式（１）计算，若满足式（１），则定为重大危险源：q1/Q1+q2/Q2+„+qn/Qn≧1„„（１）

3、事故

事故是人们在实现其目的的行动过程中，突然发生的、迫使其有目的的行动暂时或永远终止的一种意外事件。一是事故的背景。二是事故是随机事件。三是讲事故的后果。

4、安全评价

对系统危险性的定量定性分析，确定其发生危险的可能性及其后果严重程度的评价。

5、系统

系统是由相互作用和相互依赖的若干组成部分集合成的具有特定功能的有机整体。

6、可靠性

可靠性是指产品在规定条件下和规定时间内完成规定功能的能力。（1）规定时间：是可靠性指标的核心。

（2）规定条件：包括使用条件、维护条件、环境条件和操作条件。

（3）规定功能：人机系统在规定时间、规定条件下各项指标都能达到，则系统完成了规定功能，否则成为故障或者失效。

（4）能力：指标有可靠度，平均寿命等。例如平均无故障时间越长，可靠性就越高。

7、事故法则

事故统计规律，又称1:29:300法则，事故金字塔。即在每330次事故中，会造成死亡、重伤事故1次，轻伤、微伤事故29次，无伤事故300次。

煤矿统计规律，对于采煤工作面： 死亡：重伤：轻伤：无伤=1：12：200：400 对于全部煤矿事故： 死亡：重伤：轻伤=1：10：300

8、轨迹交叉论

轨迹交叉论是一种从事故的直接和间接原因出发研究事故致因的理论。其基本思想是：

伤害事故是许多相互关联的事件顺序发展的结果，这些事件可分为人和物(包括环境)两个发展系列，当人的不安全行为和物的不安全状态在各自的发展过程中，在一定时间，空间发生了接触，使能量逆流于人体时，伤害事故就会发生。

9、本质安全化

本质安全化一般是针对某一个系统或设施而言，是表明该系统的安全技术与安全管理水平已达到本部门当代的基本要求，系统可以较为安全可靠的运行。

10、企业安全文化

是指企业在长期的生产经营活动中，逐渐形成并为全体员工所认同、遵循，具有企业特色的价值取向（价值观）行为方式、科技手段、管理方法、经营理念和作风、企业精神和风貌、伦理标准和道德规范、发展目标和思想意识等物质和精神财富的总和。

11、固有危险度

系统可能造成灾害的严重程度。

固有危险度是指一个生产或生活系统，由于自身功能的需要必须具备某些设备及物料，其设备及物料失控时可能造成的灾害的严重程度。

12、安全指标：

事故损失的可承受水平。如生产安全事故起数；死亡人数；直接经济损失

13、故障：

故障是指由于性能低下不能实现预定功能的现象，物的不安全状态也可以看作是一种故障状态。

14、安全文化

人类在生产、生活、生存活动中，为保护身心安全与健康所创造的有关物质财富和精神财富的总和。

15.高处作业

作业场所高出地面2m以上就称为高处作业，高空作业是指10m以上的高度。

三、简答、论述：

1、事故因果类型有哪些？

（1）连锁型：各因素彼此互为因果，互为连锁导致事故发生。

（2）多因致果型(集中型)：各种原因同一时间的共同发生。（3）复合型：连锁、集中、交叉、复合造成事故

2、如何进行人不安全行为的控制与预防？

1）自我行为控制：价值观干预措施、价值因素感知干预措施、目标激励干预措施等。2）工作流程控制：前后工作流程行为控制设计措施、并行工作流程行为控制设计措施、交叉作业流程设计措施等

3）监督控制：监督检查的执行者、监督检查方式方法、监督检查时间和空间要求、监督

检查结果的处理方法、监督检查效果的评价和改进等。

3、根据多米诺骨牌理论，应当如何防止事故的发生？

海因里希的事故因果连锁过程包括五个因素

1.遗传及社会因素；2.人的缺点；3.人的不安全行为或物的不安全状态；4.事故；5.伤害。

大多数工业伤害事故都是由于工人的不安全行为引起的，一些工业伤害事故是由物的不安全状态引起，而物的不安全状态的产生也是由于工人的缺点、错误所造成的。

（从改变的人所处的环境，适当的教育进而改化人的缺点，形成优良的品质，从而控制了事故的基本原因，性格基础打好了才能在工作中表现出良好的工作状态，同时应该遵循技术原则和组织管理原则，预防事故的发生，保证生产和生活的安全）

4、事故预防应遵循的基本原则。

（1）预防第一，防患未然:做好基础性的安全工作，及时发现和处理事故隐患，消灭潜

在的事故危险，以避免造成事故。

（2）根除事故原因:从根本上消除造成事故的各种原因

（3）全面治理从多方面采取措施，从法制、技术和教育多方面采取措施，从总体上提

高预防事故的能力，才能有效地控制事故，保证生产和生活的安全。

5、安全的社会效应体现在何处？

1）安全与社会的稳定直接相关;(2)安全的社会效应的另一个重要方面还体现在对各级行政部门以及对国家领导人或政府高层决策者的影响。

6、安全与事故的关系。

对立统一，相互依存

（1）对立性：有事故发生的可能才需要安全，有了安全的保证才可能避免事故的发生。（2）统一性：在实践中，人们或社会客观上自觉或不自觉地认可或接受某一安全性（水

平），当实际状况达到这一水平，人们就认为是安全的，低于这一水平，则认为 是危险的。

7、如何理解事故的可预防性? 工业生产系统是人造系统，人和事故在客观上和理论上都是可以预防的，如同其它事物一样，事故也有其发生、发展以及消除的过程，因而是可以预防的。因此，人们应该可以通过各种合理的对策和努力，从根本上消除事故发生的隐患，把工业事故的发生降低到最小限度。

8、事故的概念、基本特征、影响因素。

事故：是人们在实现其目的的行为过程中，突然发生的，迫使其行动暂时或永远终止的一种意外事件，基本特征：因果性，随机性与偶然性，潜在性与必然性

影响事故是否发生的主要因素有五项：人、物、环境、管理和事故处理。

9、事故、危险和伤害的可能组合。

10、安全文化的概念及层次结构。

三层次理论，安全文化也可分为上中下3个层次，即表层、中层和深层。

四层次

11、结合事故致因理论和事故法则，阐述如何防止事故？

1、技术原则：（1）消除潜在危险原则；（2）降低潜在危险严重度的原则；（3）闭锁原则；（4）能量屏蔽原则；（5）距离保护原则；（6）个体保护原则；（7）警告、禁止信息原则。

2、组织管理原则：（1）系统整体性原则；（2）计划性原则；（3）效果性原则；（4）党政工团协调安全工作原则；（5）责任制原则。

综上所述，事故的预防要从技术、组织、管理和教育多方面采取措施，从总体上提高预防事故的能力，才能有效的控制事故，保证生产和生活的安全。

12、工伤事故的分类及影响因素。

影响因素：自然因素和非自然因素 人、物、管理、环境、事故处理

13、本质安全化方法，应当采取哪些措施来控制事故？

主要从物的方面考虑，包括降低事故发生概率和降低事故严重度。

（1）降低事故发生概率：①提高设备的可靠性；②选用可靠的工艺技术，降低危险因素的感度；③提高系统抗灾能力；④减少人为失误；⑤加强监督检查

（2）降低事故严重度：1）限制能量或分散风险 2）防止能量逸散的措施 3）加装缓冲能量的装置 4）避免人身伤亡的措施

四、论述题

1.何理解安全的极向性原理？

1，安全科学的研究对象（事故、危害与安全保障）是一种“零—无穷大”事件，或称“稀少事件”。即事故或危害事件具有如下特点：一是事故发生可能性很小（趋向零）而一旦发生后果却十分严重（趋向无穷大）；二是危害事件的作用强度有时很小，但具有累积效应，主要表现对人体健康的危害，危害涉及的范围或人数却广而多。2描述安全特征的两个参量—安全性与危害性具有互补关系。即安全性=1—危害性，当安全趋于极大值时，危害性趋于最小值，反之亦然 3，人类从事的安全活动总是希望以最小的投入获得最大的安全 6.企业中，试述非正式群体的积极作用和消极作用。

积极作用：1弥补正式群体的不足，满足员工的需要2融洽员工的情感3激励和培训员工4保障员工的利益。消极作用：1干扰组织目标的实现2消弱管理者的权力3控制束缚员工的发展和上进

2、举例说明哪些行为属于人的不安全行为。

1在狭窄的场所作业2以不安全的速度作业3除去安全装置4使用不安全的工具，不安全的使用5不安全的装载，配置混合，结合6在不安全处停留7使用运转中的危险装置8不使用保护用品

3、例说明哪些状态属于物的不安全状态。

1保护不良2无防护装置3缺陷，突起，易滑动，腐蚀等4设计得不安全的机械、工具5布置、管理不良6照明不良、耀眼7通风不良8不安全的保护用品9不安全的工程

五、案例分析

1.案例：在焊接作业中有火花飞溅，引燃了聚氨酯橡胶，燃烧产物使人一氧化碳中毒；火

花飞溅到清漆汽油上又引起火灾，烧伤了工人；同时火灾又引起汽油桶爆炸，又 造成了桶片飞出而砸伤人员。

引发这一事故的起因物是电焊装置，施害物l是火花；施害物2是聚氨酯橡胶和

2.某啤酒厂灌装车间，有传送带、洗瓶机、烘干机、灌皱机、装箱机、封箱机等设备。为减轻职业危害的影响，企业为职工配备了防水胶靴、耳塞等劳动保护用品。2007年7月8日，维修工甲对洗瓶机进行维修时，将洗瓶机长轴上的一颗内六角螺栓丢失，为了图省事，甲用8号铅丝插入孔中，缠绕固定。

7月22日，新到岗的洗瓶机操作女工乙在没有接受岗前安全培训的情况下就开始操作。乙没有扣好工作服纽扣，致使工作服内的棉衣角翘出，被随长轴旋转的8号铅丝卷绕在长轴上，情急之下乙用双手推长轴，致使乙整个人都随着旋转的长轴而倒立。由于乙未按规定配戴工作帽，所以倒立时头发自然下垂，被旋转的长轴紧紧缠绕，导致乙头部严重受伤而当场死亡。

高温物聚氨酯橡胶焊接装置火花飞溅汽油火灾烧伤中毒烧伤汽油；施害物3是CO、高温物、可燃物体、汽油桶碎片。

CO火灾可燃物桶爆铁片砸伤事故处理完毕后，企业领导决定建立职业健康安全管理体系，引入现代化的管理理念和科学的管理方法，以提升企业的整体安全管理水平。直接原因：(1)乙没有系上纽扣；(2)乙未戴工作帽；(3)甲用铅丝替代螺栓；(4)甲未按操作规程作业。

间接原因：(1)乙未经培训上岗；(2)安全检查不到位；(3)没有实行验收制度。

安全原理论文 篇6

【关键词】主动安全系统；液压执行器；原理；性能

执行器基本上可以分为三类：（1）液压执行器：比如方向机；（2）气压执行器：比如打车的制动气室；（3）电动执行器：比如玻璃升降器；汽车上的安全系统所使用的主要是液压执行器，其主要的安装部位在怠速马达、喷油嘴、各种电磁阀、节气门体、汽油泵、点火线圈、凸轮轴正时调节阀、电磁离合器等。

一、汽车主动安全系统中的几种关键技术

汽车安全包括主动安全和被动安全，主动系统的功能主要是预测和避免危害的发生。随着电子技术和计算机技术的发展，新型的安全系统产生了，比如有防抱死制动系统ABS、制动辅助系统BAS、驱动防滑装置ASR、电子制动辅助系统EBA、电子稳定程序ESP等，广泛的技术主要有以下几种：（1）传感器技术：在汽车行驶中，传感器对温度、压力、位置、转速、加速度、振动以及路面环境信息进行实时、准确的测量和控制，根据所得的数据传给汽车安全系统的计算机。（2）机器视觉技术：它在汽车安全系统计算机的智能识别发面用途比较广泛。（3）计算机综合控制技术：电子控制单元是汽车安全系统的核心部件，处理传感器输入的各种信号，并驱动执行机构。（4）车载通信技术：车载通信也可称为信息传递技术，是以计算机和通信技术为核心的新技术，主要在汽车的安全系统中应用。

二、汽车主动安全系统中主要的执行机构的原理和性能

（1）ABS液压执行器：它是所有执行器中最完善的系统，功能也是最全的。主要的结构组成是由2个柱塞泵、2个低压蓄能器、2个阻尼器、4个高速开关阀阀组组成，外形尺寸在100咖×100mm×50mm以内。它的工作原理用简要的语言概括为：ABS通过对电磁线圈施加控制信号，控制信号进一步来控制减压阀会让增压阀通断，来完成整套体系增压、保压和减压的防抱死制动的过程。（2）TCS液压执行器：它主要的功能是用作潜力控制系统，是在ABS基础上发展起来的一种新型的主动安全系统。作用是防止汽车在开动、加速、减速中驱动轮过度滑转，不但能起到稳定滑轮的作用，还能在汽车突然加速时提高汽车的加速时间。（3）ESP液压执行器：ESP液压执行器是在汽车制动防抱系统和牵引力系统的基础上加入了主动横摆控制系统构成的，主要起到的作用是在汽车行驶的过程中加强安全性和稳定性的系统。（4）4WS系统中关键的液压执行器：汽车的4WS系统是用于对转向轮的控制，也就是后轮，减少汽车在高速时操纵稳定性和减小低速时的转弯半径，从而提高汽车在行驶中的安全性。其中的液压执行器是后轮转向液压系统，在驾驶员转动方向盘时，产生的转向液压油被传输到控制后轮转向的控制网上，根据相应的数据算出控制阀心的动作。在汽车停车时工作原理也相同，油泵不产生油压，后轮就不转向。

三、汽车主动安全控制系统液压执行器的建模与分析

（1）建立ABS液压制动系统的模型，因为ABS主要是对动态系统的响应，所以要构建液压系统软件平台，对其数据进行有效快速的处理。（2）根据液压执行器中关键电磁阀结构，仔细计算出所得数据，根据结果总结出电磁阀的电磁力特征。另外，通过对阻尼器和相关管路的流场有限元的计算，总结出各个液压管路对工作系统的作用和其特性。（3）建立15自由度的整车动力学模型的综合仿真模型。让它与主动控制算法相联系进行模拟仿真，根据所得数据，得出对液压执行器所要应用的目标车型进行液压执行器参数匹配分析。

四、汽车主动系统中执行器的发展前景

随着科学技术的发展，我国的汽车相关的技术也逐步国际化，其中液压执行器的发展也相对以前有了很大的提高，但是与国际水平相比，还有一段距离。目前汽车上采用的先进的EPS系统影响十分深远，据有关人员的研究表明未来的EPS系统还将与4WS、AS等主动安全系统结合使用，对整车的系统进行综合的调节和控制。我国对汽车行业的发展越来越关注，政府积极鼓励研究人员去其他的国家学习和参考，借鉴一些先进的技术，然后根据我国汽车行业的实际需要合理的把技术引进到中国。

参考资料

[1]王旭东．汽车执行器与驱动控制[J]．北京：机械工业出版社，2010（5）

[2]祁雪乐．ABS液压制动系统动态特性的研究和综合仿真匹配平台

的建立[J]．清华大学硕士学位论文．2005

可信安全体系架构原理与实践 篇7

近年来, 保证信息安全的相关领域研究不断深入, 但信息安全所面临的形势依然日益严峻。既有的潜在威胁没有根本性的改变, 新的安全威胁不断增加, 针对信息及信息系统的攻击方式日益专业化和隐蔽化, 攻击手段更具针对性和危害性, 一些深层次的攻击 (如rootkit攻击) 能够从系统底层避开已有的安全机制, 对用户信息和信息系统进行破坏, 甚至直接颠覆和破坏系统安全机制本身。现有的信息安全防范体系远没有达到人们预期的水平。

导致上述信息安全现状的根本原因在于以往的研究和产品实现中, 往往只强调安全功能的多样性和安全保障强度, 而不能保证安全功能的总是有效作用, 甚至安全机制本身被篡改或破坏。尽管有关安全准则对信息系统的安全机制 (也称可信计算基, Trusted Computing Base, TCB) 作了明确要求, 围绕TCB的可信保证问题, 已进行多方探索, 但是这还只停留在某些局部环节和领域上, 在整体性和综合性方面还存在欠缺。

一些研究尝试通过减小TCB的代码规模, 使人们有可能对它们进行完整的测试和分析, 从而提高其可信程度。比如通过安全通道技术将TCB代码中占很大比例的设备驱动部分 (包括网络协议栈) 从TCB中剔出, 但是TCB功能多样性特性导致了对TCB代码的裁减不可能达到很理想的程度。TCB可信保证的另一个重要研究方向是可信计算平台相关技术, TCG (Trusted Computing Group) 或国内的可信计算联盟等试图以密码技术为基础, 通过受物理保护的可信密码模块及相关软件栈为计算平台提供身份和状态可信保证, 从而加强系统的安全保证能力。比如可信计算的一个重要内容是可信传递, 它通过行为预期对系统每一个代码执行进行控制, 从而保证系统运行的可信。但是, 可信计算技术不能改善系统安全机制的来源和功能可信问题, 一旦恶意代码通过各种方式进入信任链, 那么系统的安全问题还会继续存在。

上述情况表明, 在信息系统越来越复杂、功能越来越多样化、产品和技术来源越来越社会性的环境下, 单一或局部的可信保证措施都不能根本提高TCB的可信度。必须在加强TCB安全功能、提高TCB安全强度的同时, 还要从TCB的结构上提高其可信保证能力, 并结合可信技术、管理和过程控制措施等多个方面满足TCB的可信保证要求, 包括TCB的来源真实性、功能正确性和可靠性、运行完备性等等, 使信息系统能够真正为人们所信赖。

1 可信安全内容和原理

可信安全 (Trusted Security) 是指通过充分可信赖的信息安全功能机制, 使系统安全保护能力达到更高的信任度。可信安全的目标是为信息系统的安全功能和安全保证提供整体解决方案, 从根本上提高系统的安全保护能力。可信安全可以认为是可以信赖的安全。可信安全的定义有以下方面含义: (1) TCB具有期望的安全功能、能保证其安全策略有效正确地执行, 并且来源可信; (2) 能够正确度量系统中的用户、平台和环境状态; (3) TCB本身不会被篡改。

可信安全体系是基于可信的定义和可信计算基的定义导出的。它包括结构化的TCB、基于密码的可信保证机制和可信安全工程化的过程控制机制等方面的内容。可信安全不等于可信计算技术, 但是可信计算技术可以作为可信安全的一个技术基础。可信安全是可信与安全在技术和管理等综合层面的融合体, 使得系统TCB具备以下可信保证能力: (1) 本身必须能够抵制攻击、防止被篡改; (2) 必须总是能够发挥其设计安全功能; (3) 必须足够小, 能够经得起测试和分析。

鉴于业内在TCB的功能及机制的理论模型方面的研究已经取得了丰富的成果, 本文在以后部分将重点放在TCB的实现结构与可信保证层面。

1.1 结构化TCB

可信安全的一个核心内容是结构化TCB。由于TCB的来源和功能表现为多样化特征, 因此对TCB的代码规模难以进行有效裁减, 只能通过结构化的TCB为TCB可信提供保证支持。

结构化TCB的前提是TCB模块化。橘皮书指出, TCB应该实现良好的内部模块化结构, 并且这些模块之间有较高的独立性。而一般来讲, TCB模块之间又呈现一种有序的层次化关系, 即结构, 比如操作系统、中间件、应用系统中的TCB模块之间的关系, 就表现为这种内在的有序层次化关系。认知了TCB的这种层次结构, 要提高TCB的可信程度, 必须加强其内部机制与功能, 以便能够鉴别这些模块来保证纳入可信体系的它们是可信的, 同时还要尽量使TCB的每个模块最小、T C B各个模块之间的相互关系最简。此外还需为维系TCB模块的这种内在关系提供可信的保证。结构化TCB是通过结构化的TCB和对TCB实施结构化保护的方法来实现。

对结构化TCB实施保护的技术基础是可信传递和平台可信证明。所谓可信传递是指在系统的运行控制传递过程中, 可信根判断其下一级执行代码的真实性和完整性是否被篡改, 如果没有, 系统将运行控制传递到下一级可信执行代码, 系统的可信范围因此就从可信根扩大到下一级功能;同理, 这种系统运行代码控制不断往下传递, 就可以实现信任链的建立和传递过程, 最终实现系统在单一平台内的可信范围延伸;而平台可信证明是指计算平台在被允许接入并访问系统资源之前, 必须要通过可信的机制向系统证明自身状态的可信, 平台可信证明将系统TCB的可信范围从单一计算平台扩大到了网络系统。

在TCB各个组成模块来源和功能可信的基础上, 基于结构化的TCB构建方法, 系统TCB从初始的根TCB (Root, RTCB) 开始, 逐步加入新的TCB模块, 最终生成一个链式或树形的层次化TCB。纳入信任链的这种结构化的TCB确实是可信的, 在运行过程中TCB具有完整性保护能力, 不会被旁路或篡改。此外, TCB的结构化构建方法还为TCB的形式化描述提供了有效支持。

在实际系统中, 根据不同的环境, RTCB可以是TCG中的CRTM, 也可以是操作系统的核心系统或硬件之上的虚拟机监视器 (VMM) 。RTCB的这种动态性支持可以保证系统的灵活性和可用性, 尤其是在目前绝大多数服务器系统都还不支持TPM/TCM及TSS的现实情况下。

1.2 可信安全的保证能力

1.2.1 TCB的不可旁路性和防篡改能力

结构化的TCB保证了TCB的运行可靠性和完整性, 它有效地控制了只有可信的可执行代码才能被系统调度运行, 保证了在从系统引导到TCB被激活的中间过程阶段不可能有未经允许的代码中断或替代系统TCB的启动;在TCB被激活之后, 可信传递机制能够继续保证没有非法代码对TCB的运行完整性进行破坏, 确保TCB总能有效发挥安全功能;同理, 可信安全通过平台可信证明机制能够保证系统中的各个独立计算平台是可信的, 实现各个平台之间对安全策略的一致解释和一致执行, 确保系统TCB的可信。

1.2.2 TCB的形式化描述

在TCB规模不可能无限制裁减的情况下, TCB结构化构建方法为TCB的形式化描述和验证提供了技术支持。

可信安全基于可信的TCB组件, 通过可信传递、可信证明机制, 实现系统TCB的可信扩展。在可信安全系统中, 系统都是基于一个足够小的系统可信根, 通过可信传递机制扩展成一个可信的计算平台;在可信计算平台的基础上, 系统通过可信证明机制扩展成为最终的可信计算系统。

对TCB结构化构建过程, 可信安全可以采用递归方法对TCB加以形式化描述:首先, 将系统可信根作为TCB递归描述的初始状态, 该可信根足够小, 并且有足够证据证明它是可信的;其次, 将可信传递和可信证明机制作为形式化描述的递归部分, 对TCB的可信组件逐步扩展过程进行描述。

通过上述递归描述方法, 最终可以实现对系统TCB的形式化描述。

1.3 可信安全工程化

结构化TCB保证TCB在运行过程中不会被旁路或篡改, 是实现可信安全目标的必要条件, 至此还不能保证系统预期安全目标完整、准确的实现。作为充要条件还须保证TCB功能的正确性和可靠性、TCB的来源和产品功能 (特别是软件产品、关键部件) 的真实性。可信安全不仅是建立基于结构化TCB的安全技术体系, 还必须对安全产品的开发、评价、实施以及安全服务的过程进行管理, 将产品和系统纳入具有公信度认证与测评机制的控制之下, 使之成为一个具备完好定义的、成熟的、可测量的过程, 执行此类过程的组织开发实施的产品或系统以及提供的服务, 才具有较高安全可信度和可重复性。

TCB的来源和功能可信保证是指对TCB的真实性、TCB功能的正确性和可靠性等内容建立信心, 它包括TCB安全功能是否被正确实现、TCB是否包括安全后门和隐通道等等。采用可信的过程控制才能保证可信安全目标的实现。就实现可信安全目标的作用方面, 可信安全工程化的实践价值远大于它的理论价值。缺少或未采用这类过程的产品研制和系统实施, 不能称之为是可信安全产品或系统, 任何一个环节缺乏或弱化都将降低其最终的可信度, 造成与期望目标的偏差。面向可信安全系统全生命周期的可信安全工程化, 包括如下三方面内容: (1) 实现TCB功能正确性和可靠性的可信安全产品构造与验证工程化; (2) 确保TCB来源真实性、功能与策略符合性的可信安全实施过程工程化; (3) 维持目标系统一直处于期望可信安全状态的运行管理工程化等。

其中TCB的工程化实现是可信安全工程化的难点。欲使安全产品或工程达到人们期望的目标, 在实践中, 除技术因素外, 还存在诸如知识产权、政府法规限制等很多困难。其中的关键是一个系统安全机制的实现应具有更大包容性的结构化体系, 使得安全机制的每个功能模块, 例如密码技术, 能够独立于应用功能实现。这既为实现TCB最小化目标创造了工程条件, 又适应了TCB来源多元性、系统发展阶段性的客观事实。这既是理念问题也是技术的发展策略问题, 这个根本性的问题解决了, 政府法规符合、标准化等一系列问题就容易解决了。

2 可信安全应用设计示例

可信安全的应用重点在于如何具体实现结构化的TCB。作为结构化TCB的一个示例, 在RTCB基础之上, 将操作系统、可信安全网络、可信安全存储、可信安全服务中间件、可信安全应用软件、可信安全边界保护等TCB模块或组件构成一个完整的安全保障架构。而一般功能, 如系统服务软件和业务应用软件等, 则依托于该安全保障架构部署, 在可信安全的计算环境下, 依靠有效、一致地安全策略, 保证应用业务的安全运行和数据的安全。

2.1 结构化TCB设计与强制策略执行管理

在不同的应用环境中, 系统RTCB有不同的选择。在目前的硬件环境下, 如果物理环境和管理能力满足一定要求, 选择操作系统可信安全增强模块或直接位于硬件之上的VMM作为RTCB有相当的实际意义和安全效果。采用操作系统可信安全增强模块或VMM作为RTCB的好处是保证用户仍可继续使用商业操作系统环境, 保证业务连续性和兼容性。

RTCB应运行在系统底层, 它能对CPU、内存和I/O设备等硬件资源进行安全控制。系统正确启动并进入服务状态后, RTCB必须截获并处理上层软件实体的特权操作。RTCB可以根据统一制定的访问控制策略, 实施对指定的硬件资源访问控制, 防止硬件资源被其他软件实体的未授权访问。软件实体对硬件资源的访问难以绕过根TCB的监控。

为保证TCB的不可旁路性, 可信安全采用策略绑定机制。为实现中国GB17859-1999《计算机信息系统安全保护等级划分准则》第三级安全, 支持基于安全标记的多级安全强制访问控制的要求, 设计中每个主体 (如一个用户、进程或设备) 和客体 (如内存页面、磁盘文件或数据块) 均被加上特定级别的安全标记。在授权主体对客体进行访问时, 由于当前计算平台的计算环境可以被度量和证明, 那么系统可以将访问控制过程中的认证、授权 (决策) 和执行的每个阶段绑定到特定的计算环境。只有处于正确的计算环境, 主体才能完成对客体的正确访问。如果计算环境受到破坏, 即使指定的安全策略被旁路, 攻击者仍然不能完成对资源的访问。

在上述绑定的这个机制中, 可信域的每个主体和每个客体都有特定的安全标记。每个主体都要获得相应的信任证书, 该证书包括主体的安全标记和指定的计算环境, 将访问控制过程中的认证、授权和执行的每个阶段与特定计算环境绑定, 只有处于正确环境的主体才能完成对客体的访问。在一个请求到达时, 首先在计算环境的边界进行认证, 管理控制系统将请求分解成一个或多个任务, 并为每个任务颁发信任证书, 确定该任务的权限和计算环境。进一步, 可以将多级访问客体结合特定的系统状态加密存储, 只有在系统执行强制访问控制策略时, 系统才可以正确解密被加密的客体数据, 从而保证强制访问控制机制的不可旁路性。

这种强制的策略执行管理本质上也是一种策略执行保证机制, 它保证了在系统运行过程中, 任何系统访问都不能绕过系统安全策略, 从而保证了安全功能机制总是有效的, 其行为也是可信的。

在信息安全中, 操作系统的安全是基础。操作系统除了应该为应用提供身份认证、访问控制、安全审计等安全保护之外, 还应该为应用提供安全信心, 保证其安全机制是可信的, 即不可被旁路、也不可被篡改。

可信安全的操作系统能够保证系统中的每一个组件, 包括服务、应用、驱动都是经过安全认证认可的, 从而建立一个可信的应用环境。这种认可甚至要深入到应用组件一级, 比如Java应用 (如Java类和Jar包等) 。这样就有效防止了系统安全功能机制被旁路或恶意破坏的可能。

操作系统还应该在硬件机制的支持下, 实现进程间的安全隔离和内存的安全保护, 保证输入/输出路径的可信、阻止DMA直接访问物理内存可能带来的安全问题。基于密码技术和可信的密钥保护机制, 为重要数据的传输和存储提供保密和完整性保护。密码作为一个独立的模块设计, 根据环境可选择不同机密度的硬件或软件实现, 支持动态实体认证、证明和数据加密。该硬件应与TPM和TCM兼容, 但性能要更强大。

在保证计算平台可信安全的基础之上, 平台可信证明机制可以保证只有来源和身份符合预期、平台状态可信安全的设备才可以进入计算环境中, 参与应用计算。通过对每个系统组件身份和状态的控制, 可以保证接入系统的整体安全策略和策略执行机制的一致性, 从而保证计算环境的安全和可信。

反过来, 安全功能也可以为系统可信机制提供安全保护, 比如系统通过访问控制和完整性保护机制保证系统可信机制不会被非法访问和篡改, 或通过安全审计和备份恢复对被破坏的保证机制进行追踪或恢复。

2.2 可信安全网络

可信安全网络基于可信技术, 集身份认证、安全标记识别和传输控制于一体。在企业网络的计算机、交换机和路由器上实施强化的安全策略, 防止高敏感信息从高级安全域流向低级安全域。为保证信息安全, 可使用条件加解密功能将数据访问绑定到特定的环境中, 既使敏感数据流到不安全的环境中被访问时, 由于环境差异, 数据仍然无法被正确访问。

可信安全网络体现了网络服务与应用紧密结合的发展趋势。可信源自系统统一的信任体系, 基于开放架构的网络设备具有集成可信安全功能的能力, 作为整个系统TCB的组成部分, 网络设备安全机制通过可信证明机制扩展融入可信安全体系架构之中, 在可信终端和可信服务之间的可信通道上正确地传输可信的数据。

可信安全网络、可信安全计算平台及可信安全存储的安全策略是统一的和兼容的。数据安全标记源自可信安全计算平台, 用于标识应用/用户、数据敏感度和作用范围。实际上安全标记也标识了相应的安全策略, 传输控制机制通过可信安全的标记来识别、并据此与可定制化的传输策略绑定, 控制数据在网络不同安全域中的传输, 可实现高安全级别要求的强制传输控制, 也能据此辨识应用并对不同应用的流量进行检测。根据应用环境在端点或链路层选用适当加密算法, 确保信息在可信通道传输过程中的完整性、机密性及不可篡改性。

可信安全网络从底层开始, 实现了网络设备、传输通道与终端的可信, 端到端的统一安全标记, 在机制上屏蔽了可能的各种未知恶意攻击, 其安全保障对于网络层面是透明的。不仅提高了网络自身抵御攻击的能力, 同时也保证了信息传输的安全。

2.3 可信安全存储与数据防泄露

可信安全提供存储保护功能。用户数据的加密可以与指定的平台完整性进行绑定。只有满足指定的验证条件, 安全机制才会正确提供解密服务。另外, 基于可信安全的数据安全更容易支持动态数据标记和数据迁移, 更容易解决跨域的数据安全问题。

可信安全存储系统本身就可以被设计成可信安全计算环境中的一个相对独立的可信安全存储平台。因为它具有现代的CPU处理器和高速大容量的内存, 在存储系统内部增加认证、授权访问和密码服务功能, 将打造一个可信安全的存储系统。该存储系统通过在系统内部定义与计算环境相关的安全属性, 并对这些内部计算环境的特征和属性提供基于策略驱动和安全认证的强访问控制技术, 并与计算环境的身份认证、访问控制和密码等服务功能关联, 提供细粒度的数据保护机制, 例如指定磁盘上的某块区域只能被通过安全认证的应用程序访问。这样, 将可信安全扩展到存储系统, 使存储系统能提供与计算平台一致的数据加密和锁定、访问日志、身份认证、授权访问等安全功能。

基于可信安全机制能够有效地实现数据防泄露 (Data Leakage Prevention, DLP) 。对于敏感数据, 数据发布方可以将它们与具体的数据处理平台甚至用户身份实现绑定加密。在数据处理过程中, 首先需要对数据进行解密, 但是数据的解密除了需要用户提交信息作为解密密钥的一部分之外, 还必须获取所在平台的指定特征或其它状态信息, 并将这些特征或状态作为解密密钥的一部分。最终只有在指定的数据处理平台上, 由指定人员才可以处理特定的敏感数据。

为了防止授权人员在指定平台上将数据复制, 对这些数据的加密可以进一步和数据处理平台的状态进行绑定, 只有指定平台符合数据安全保密要求时, 比如没有运行数据复制功能的程序代码, 数据才可以在内存中被解密处理。

上述方案采用加密方法保护数据, 同时又限制了数据解密的条件, 从而有效防止内部人员绕过数据防泄露机制。这种数据防泄露技术还可以有效地用于数字版权保护 (DRM) 领域。上述方案采用加密方法保护数据, 同时又限制了数据解密的条件, 从而有效防止内部人员绕过数据防泄露机制。

3 结论

基于可信安全体系的实现, 不仅能解决既有应用的安全, 还将为安全云计算平台提供一种有效的实现, 可信安全服务使服务提供者能够向用户保障并证明其安全服务能满足用户的安全需求, 推进可信计算技术的应用。

可信安全体系的提出将加快可信计算技术的应用进程。在现阶段, 尽管与可信安全相关技术已经基本成熟, 但是还有很多内容需要深入研究和发展, 比如TCB的形式化描述、技术到实用产品的转化、可信安全管理等等, 还需要在更广泛的实践活动中不断发展和提高。

参考文献

[1]5200.28-STD DoD Trusted Computer System Evaluation Criteria.26 December 1985.Supersedes CSC-STD-001-83.dtd 15 Aug 83.Orange Book.

[2]Michael Hohmuth.Michael Peter, Hermann Hrtig, Jonathan S.Shapiro, Reducing TCB size by using untrusted components:small kernels versus virtual-machine monitors.Proceedings of the11th workshop on ACM SIGOPS European workshop.September 19-22.2004.Leuven.Belgium.

[3]Feiertag, R.J.Does TCB Subsetting Enhance Trust.Computer Security Applications Conference.1989.Fifth Annual Volume.Issue.4-8 Dec 1989 Page (s) :104.

企业营销安全预警原理与结构模型 篇8

一、企业营销安全预警原理

根据预警管理理论,提出企业营销安全预警的原理模型,它是企业构建营销安全预警管理体系的基础,企业的整个营销安全预警体系,都是在这个模型中运行的。

(一)企业营销安全预警监测系统

企业营销安全预警活动的前提,是确定企业营销的各个重要环节为监测对象,即可能出现营销危机和营销事故的活动环节和领域。这有两个任务,一是对营销活动的过程进行监测,对监测对象同其它活动环节的关系状态进行监视;二是对大量的监测信息进行处理(收集、分类、整理、转化、标准化等),建立信息档案,进行历史和社会的比较。

(二)确认预警对象的指标和原则

通过理论分析和实证调查,可以找到影响企业营销活动过程安全性的各种因素,然后对这些因素进行聚类分析,可得到分层次的因素集合,这就是要建立的企业营销安全预警指标体系。这些指标体系可分为主观指标与客观指标两个方面。客观指标可通过调查而直接获得,主观指标则可通过具有高度一致性(可通过肯德尔和谐系数法检验)的专家评判来获得。两种不同计量单位的指标可通过标准分数进行转换,使其具有可加性。

(三)确定临界区域

临界区域即是确定企业营销安全级别的值域,每个级别对应于一个相应的值域。只有确定了企业营销安全级别的临界值域才能据此确定企业营销安全状况。

(四)识别、诊断和评价

通过对监测到的营销信息的分析,可确立企业营销活动中已经存在的营销风险和将可能发生的营销危机趋势。识别的任务就是要选择出“适宜”的预警指标来判断企业的哪个营销环节已经或即将发生营销危机。这里的“适宜”,是指针对本企业特有的基本情况和经营趋向而建立起来的指标体系,并不适合其它的企业,不是通用指标体系。

诊断是对各种已经被识别到的各种营销风险和营销危机现象,进行成因、过程分析和发展趋势预测,以明确哪些现象是主要的,哪些现象是从属和附生的。诊断的工具就是识别过程中所确定的企业特有的和社会相统一的评价指标体系。

评价是对已被确认的主要营销危机和营销风险进行损失性评价,以明确企业在这些营销风险和营销危机冲击下会继续遭受什么样的打击,包括企业损失评价和社会损失评价。

(五)输出企业营销安全值

在识别诊断和评价的基础上,综合分析处理各个营销环节的各种企业营销安全数字信息,进行汇总聚类分析,得出企业总体企业营销安全状况。并立即制定企业营销安全状况报告,上报给企业营销管理决策者进行决策。

(六)企业营销安全管理决策

企业决策者根据其报告的企业营销安全状况(即输出的企业营销安全值),做出营销管理决策。如果企业营销处于安全状态,则应继续监测,如果不安全则应立即采取相应的处理措施意见。

二、企业营销安全预警结构模型

综合前面的分析与研究,企业营销安全预警的基本体系,如图2所示。

图2是笔者提出的企业营销安全预警体系的基本模型,它直观地展示了企业营销安全预警体系的全部内容。模型显示,企业营销安全管理包括5×5×5=125个组合。一个企业,要进行完整、全面的企业营销安全预警管理,就必须从这125个方面进行分析和研究。这是一个庞大的系统工程,目前是无法解决的,笔者的目的是要建立一个基本框架,作为进一步研究的基础,也为更多的后继研究者提供一个参考,以便共同来攻克这一难题。

(一)营销安全预警警素系统

警素,是指警情要素,也称安全要素,它是分析警情的基本因素,是预警管理的起点和基础。

企业营销安全预警警素不同于自然预警警素。自然预警警素一般是单因素,可用单指标测度。如地震的警素是震波,水灾的警素是水量,火灾的警素是火势。企业营销安全的预警警素是一个复杂的系统,是多因素,要用多指标来测度。我们将警素分析直观为下图。

(二)企业营销安全预警警态系统

在安全研究中,一些学者研究风险问题,希望用风险来概括一切,把危机、威胁、事故等一切不利于企业的因素都用风险来表示,结果,总是出现一些概念冲突与矛盾。另一些学者则只研究危机,把风险、危险、威胁等都纳入危机的范畴来研究。都用危机一词来表示。比如罗伯特·希斯(Henth.R)说:“风险、威胁和危险等词描述了极其相似的问题及危险来源,但也可用来表示特定的概念。'风险'一词主要来源于金融管理活动,含有很强的计量因素,这些计量要素用于在面临各种各样的风险来源时估计成本和收益。”威胁“一词经常用于社会科学调查,此种调查旨在力求注解人们如何察觉威胁、安全及生存的情况,并以毫无防备或神经脆弱的人对此种情境的感觉来讨论威胁。”危险“一词一般是由工程师和科学家用来描述诸如化学制品以及来自我们周围世界(地震、火灾、水灾、暴风和战争)之类的有形危机。笔者主要用'危机'一词来涵盖以上所有的意思。”[1]

笔者认为,隐患、威胁、危机这些概念存在量的区别,也有质的区别,把它们硬性地规入任何一个概念之中,用一个概念来代表,都是不科学的。在企业营销的有利和不利影响中,除了隐患、威胁、危机外,还有失败和事故,它们都是营销安全的不同形态和在程度上的不同表现,对它们加以区分和界定,对营销安全管理是十分必须的,也是科学的营销安全管理的基本要求[2]。

图4是营销安全五态结构模式图,营销安全分为五态:安全态、隐患态、威胁态、危机态和失败态。

安全态是营销处于无风险和低风险状态,它是营销安全管理的理想状态[3]。

隐患态是各种不确定的因素对营销的负面影响处于潜在可能性状态。这种可能性是一种概率,它在未演化成威胁之前,并不对当前营销活动造成直接负面影响。所以,隐患是一种潜在的负面影响,在没有触发条件的时候,是安全的,但一旦有触发条件,就马上变得危险起来。它是营销安全的低风险状态。

威胁态是隐患态的发展,当隐患发展为对企业当前和未来的营销活动构成了直接负面影响时,就是威胁态。威胁态是隐患态发展的结果,是一种不安全的营销状态,但威胁态还是一种趋势,尚未改变营销活动的性质和方向,也还没完全决定营销活动的安危趋向,因此对威胁态采取严格的监控和针对性的化解措施,可以保持营销的安全。

危机态是威胁态的突变,是企业营销活动和营销系统正在遭受破坏,不迅速解决营销危机就会陷入失败的紧急状态,危机态是严重的不安全营销状态,它经常由营销事故引起,然后迅速发展,只要得不到及时控制,就可能引发更大的营销事故,不仅直接影响正常的营销活动,对企业营销造成损失,而且继续恶化,则可能直接导致营销失败。危机态又是高度不确定的,可以瞬间化为失败态,因此,抓紧时间,做出决定,采取果断措施,是防止危机态向失败态的有效办法。

失败态是危机失去控制,致使营销系统被彻底破坏,营销活动已经无法进行的状态。失败态是一种严重的事故状态,是营销安全的崩溃。失败态将对企业

造成巨大损失,因此,当企业处于失败态时,应该及时进行修复管理,以把损失减少到最小程度,千万不要因营销的失败而引发整个企业经营的失败。

(三)企业营销安全预警警控系统

根据企业营销安全预警原理,企业营销安全预警警控体系如图5所示。

1.警源体系

警源是警情产生的源头,是警情的原发点。

预警管理是一种超前管理,超前管理必须从源头开始,把警情控制和化解在源头,就不会对企业营销形成威胁,更不会引发营销危机和营销失败。

对警源的监测实质上是通过警指对警素的监测,而监测点则是警素的动态变化——量的积累过程中质的突变点。监测的目标是要在量的积累接近安全阈时能发出危机警报,以便采取排险措施。

警源分为外生警源和内生警源。外生警源是外部风险对企业营销安全所构成的威胁。内生警源是企业内部运作风险对企业营销安全所构成的威胁。因此,警源监测应包括外部监测和内部监测两个方面。从对警素的分析看,外部监测主要是对环境的监测和对市场的监测,内部监测是对营销战略、营销策略和营销运作的监测。内部监测在企业内部,只要建立了监测体系,就很容易执行监测任务。外部监测在企业外部,而且要素繁多,监测相对困难,因此,它必须借助一些信息工具和手段才能完成监测任务。

2.警兆体系

警兆就是警情征兆,是警情发生之前所出现的一系列前兆。警兆也称,为警情先导指标,是预警管理最关键的一环,只要控制这一环节,及时关注警兆,并通过警兆发现警情,及时采取应变措施,就可以保持企业营销的安全。

警兆本质上是对警素变化的外在反映,这种外在反映,有显形的,也有隐形的,显形的直观可见,而隐形的则不易为人所发现。警情监测不仅要能发现显形警兆,而且还要能发现隐形警兆,对隐形警兆的分析与发现,是企业营销安全预警管理中最为重要的一步,看不到它,就意味着企业将迎来营销危机,给营销造成直接威胁。

警情从产生到爆发,有一个生命周期,被称之为警情生命周期,可以用图6表示。

从图6可以看出警情的发展有五个阶段:孕育期、潜伏期、发展期、爆发期和休眠期。警情从一个阶段发展到另一个阶段都是一个从量变到质变的过程,都有一个发展拐点,在孕育期,只为警情产生创立了条件,尚无威胁诞生,所以这时不存在警兆。在潜伏期,风险出现,但是与机会相伴而生的,是合理风险,这时出现警兆,但不构成威胁。所以这时的警兆不易觉察,很容易忽略。在发展期,风险转化为一种直接的威胁,开始对营销产生负作用,这时警兆会明显增多,但也容易被忽略。在爆发期,警兆大量出现,警情变得紧急,这时的警兆是容易识别的,但如果忽视它而不采取果断措施,就会发生突变,危机就转化为失败,警情进入休眠期,得到释放而下降,但企业营销安全已被彻底破坏。

因此,抓住潜伏期警兆分析,识别潜藏的风险,是企业营销安全管理的基础,抓住发展期警兆分析,记录已经和正在形成的营销威胁,是企业营销安全管理的关键。抓住爆发期的警兆分析,识别已经爆发的营销危机,是企业营销安全管理的最后机会。潜伏期警兆分析,可以将警情化解在萌芽状态;发展期警兆分析,可以控制警情的发展,使警情不演化为营销危机;爆发期的警兆分析,可以使营销危机不致发展为营销失败,起力挽狂澜之效。由此可以看出,防止营销失败是有机会的,其至少给了三次机会,如果忽视警情生命周期曲线给出的三次机会,一味地忽视警兆的存在,那么营销失败的出现就是必然的。

3.警指体系

所谓警指,是指警情指标,也称安全指标,它是对警情状况,即安全状况进行测度的基本工具。没有警情指标,就无法度量安全状况,也就无法进行预警管理。因此,可以说,警指的确立,是营销预警的关键,也是预警管理的难点。许多企业之所以无法推进预警管理,主要就是缺乏预警指标。

警指与警素相对应,一项警素至少应有一项警指与之相对应。当一个警素无法通过一个警指来反映的时候,那么警素就必须细分,直至能用单一警指反映为止。在警素分析中,出现了一级警素、二级警素,甚至五、六级警素,其原因就是警素内含太多,无法用单一警指来度量而进行的细分。

警指主要有两类:主观警指和客观警指。主观警指是那些无法用客观数据直接进行度量的指标,客观警指是那些可以直接用客观数据反映的指标。要实现企业营销安全预警的准确化,最好是实现警指的客观化。但由于营销是一项科学和艺术、战略和策略相结合的学科,许多东西无法数据化,因此还必须选用主观指标。主观指标的准确性理论上讲没有客观指标好,但落在每一个企业则不一定。如果对主观指标进行客观化处理,主观指标一样可以非常准确,一样可以准确的监测企业营销安全的状况,一样可实现科学的预警管理。

4.警度体系

所谓警度,就是警情的程度。对警度的预报,可采取两种方法。一是建立关于警素的普通模型,作出预测,然后根据警限转化为警度。另一种是建立关于警素的警度模型,直接由警兆的警级预测警素的警度,这是一种回归等级技术。

美国采用红、橙、黄、蓝、绿五种信号灯形式作为国家安全预警警度。在2002年9月11日,“9·11” 一周年之际,美国启动橙色预警,副总统切尼开始隐藏,以备危机发生。我国应借鉴美国国家经济预警的信号灯法,采用五级警度。只是根据企业营销安全的实际情况取消了橙灯,增加了黑灯。

绿灯:五级警度。不存在警情,处于安全状态。无须采取特别的应对措施,只需要进行安全维持管理和警情监测管理即可。

黄灯:四级警度。警情处于孕育状态,属于警情生命周期的潜伏期,有构成威胁的隐患伴生,属于安全危机状态,需要对隐患进行监测管理、消除管理和控制管理,防止隐患升级为显患。

橙灯:三级警度。警情处于发展状态,属于警情生命周期的发展期,由于营销隐患已发展为威胁,企业营销面临着压力。这时企业营销安全跃入不安全状态,需要采取应急措施,进行威胁监督管理、控制管理和消除管理,以防营销危机发生。

红灯:二级警度。警情处于爆发状态,属于警情生命周期的爆发期,营销威胁已发展为营销危机,企业营销面临着失败压力。这时,企业营销安全由不安全状态跃入很不安全的危急状态,企业陷入营销危境,需要采取应急措施,控制事态发展,减少危机损失,防止滑入营销失败绝境。

黑灯:一级警度。警情对企业营销安全而言处于休眠期,能量已经释放,破坏已经形成,失败已无法全面挽回,警情回落。所以,黑灯状态,是一种难以挽回的失败状态。但是,由于企业营销仅是企业经营系统中的一个环节,营销失败还不能说是企业经营的全部失败,但营销失败对整个企业而言则是一场不可避免的严重危机。为了防止营销失败引发企业失败,所以引入“黑灯”概念,把它作为企业失败预警的信号,它提示企业必须采取修复措施和隔离措施,以防止营销失败引发整个企业经营失败。

图7是营销安全五态与营销警情五度的关系。

注:图中的“营销安全”为狭义的营销安全。

5.警策体系

警策,就是警情对策。针对出现的警情,依其警度,应分别采取应对措施。根据预警管理理论,警策应是与警度配套的,并在确立预警系统时,许多警策就制定好了,一当警情出现,便迅速按既定警策采取化警行动。而更多的警策则是在出现警情的时候迅速制定的,这样的警策更有针对性,但有时由于时间紧迫,而错过化警时机。

三、结论

基于以上分析,企业营销安全预警原理模型,是企业进行营销安全预警管理的逻辑结构体系,也是企业营销安全预警管理的基本流程。企业营销安全预警结构模型,是营销安全预警系统的建立的内容体系,它是营销安全预警逻辑结构上运行的核心内容。结构模型中的警素是营销安全预警逻辑结构体系的起点,警态是营销安全预警逻辑结构体系的运行的核心,而警策是营销安全预警逻辑结构体系运行的结果。预警原理模型与预警结构模型,是企业营销安全预警管理系统的两大制成模型,借助这两个模型,企业可以构建起属于自己的企业营销安全预警管理系统。

参考文献

[1]罗伯特.希斯.危机管理[M].北京:中信出版社,2000.

[2]李蔚.企业营销安全及其预警指标体系的理论研究[J].中国工业经济,2002(10).

浅谈高频电刀原理及其安全防护 篇9

高频电刀是现代医学手术的重要设备, 它利用高密度的高频电流对局部生物组织的集中热效应, 使组织 (或组织成分) 汽化或爆裂, 从而达到凝固或切割的目的。所以, 高频电刀可取代一般的手术刀进行外科手术, 还可减少手术出血, 并能在手术过程中对创口进行杀菌, 极大地提高了手术效率和手术成功系数。

2 高频电刀的结构、原理及分类

2.1 高频电刀的结构

高频电刀一般是由高压电源、低压电源、振荡单元、功率输出、电刀、电凝选择等单元组成。电源单元包括电源变压器, 其初级输入为220 V/50 Hz的交流电源, 次级输出为高压和低压2组。振荡单元包含振荡线圈、电容、电子管等, 其主要功能是产生高频电流。功率输出单元包含晶体管及输出功率调节电路, 其作用是将高频电流进行功率放大, 并将其输出到电刀部件。电刀、电凝选择单元主要是选择临床需要的电切、电凝的功率, 传送到专用刀柄, 完成电切、电凝作用。

2.2 高频电刀的原理

当高频电流通过人体软组织时, 由于每一振荡电流的脉冲时间极短, 离子很难引起迁移, 仅仅在富有粘滞性的体液中振荡, 因摩擦而产生大量热量, 高频电刀就是利用高频电流通过机体的这种热效应而工作的。在进行高频切割时, 通常使用针形或刃形电极, 有效面积很小, 而电极下面的电流密度却很大, 因而可以在一瞬间产生大量的热量, 把电极下面的组织爆发性地蒸发掉, 分裂成一个不出血的、窄而平坦的切口, 而且还可以使血管中的血液凝固到一定的深度, 代替结扎, 完成切口止血工作。

2.3 高频电刀的分类

高频电刀主要分为以下3种类型:火花式振荡电刀、电子管振荡电刀、固体振荡电刀。

火花式振荡电刀是利用钨合金电极间的空隙放电和LC振荡回路组成衰减振荡, 输出的是间断的高频减幅波。电子管振荡电刀通常由大功率高频电子管与LC振荡回路组成, 振荡比较稳定。固体振荡电刀则是利用晶体管、集成电路组成振荡器和控制电路, 其输出的是连续波或间断波, 或者是两者的组合波。

3 高频电刀的安全防护

高频电刀用于医疗手术具有很多明显的优越性, 但是由于高频电刀是“用电开刀”, 利用高频电流直接对人体组织进行切割、止血、烧灼, 而且其释放的功率极大, 产生大量热量, 容易产生安全问题, 不但患者痛苦, 还容易产生医疗纠纷, 造成不必要的损失, 故对其使用时的安全要求非常严格。

3.1 高频电刀本身要有可靠的安全保障系统

首先, 高频电刀本身要具有可靠的安全保障系统, 这是保证患者和医护安全最基本的条件。因此, 高频电刀在出厂前应该逐台逐项多次反复地进行严格测试和检查, 使高频电刀的各项参数在安全范围内。使用单位也要建立经常性的检测机制, 并在开机使用前进行必要的测试。高频电刀本身的安全保障系统主要有以下几点:

(1) 高频电刀本身必须完全悬浮, 其高频高压输出部分对机壳和电源应该严格隔离。各输出端口和电源, 不仅绝缘电阻要很大 (>100 MΩ) , 而且在接上应用部分后, 对地部分的电容要足够小 (<100 p F) , 高频电刀一旦悬浮不良, 高、低频漏电流必将增大, 容易发生灼伤甚至威胁生命。

(2) 电刀的金属壳必须接地, 即电源的地线应该真正连接大地 (注意:并不是所有的三角插座都是接地的) , 且与机器接地点之间的连接电阻应该小于0.2Ω, 以防机壳和保护接地点悬空而带电, 产生电击危险或机内高频电刀对外界产生高频辐射。

(3) 在任何情况下, 高频电刀的输出功率不得超过400 W, 过大的功率会对患者造成伤害。在使用过程中, 要根据实际情况调节好高频电刀的输出功率, 太大或者太小都不好, 要刚好合适。

(4) 机器内部要进行防潮处理, 要防止液体流入机壳内, 保证仪器的绝缘和隔离性。同时, 高频电刀的脚踏开关和手控开关最好为密封型, 这样, 可以防止液体浸入脚踏开关和手控开关, 造成线路短路而引发误操作。

(5) 高频电刀每次使用前都必须开机, 检查机器的各项性能, 一旦发现异常, 比如:漏电、报警等故障现象, 要及时联系厂家和医学工程人员检修。绝对不要存在任何侥幸心理, 以免造成不必要的损失。

3.2 环境安全

(1) 供电电源应该经过带有可靠接地的三角插座提供给高频电刀, 才可以保证高频电刀的接地端点可靠接地。电压要保证在 (220±10) V, 电压不稳定的地方建议使用稳压电源。

(2) 手术室中不得有易燃易爆的气体、液体或其他物质。要尽量做到通风通气, 以免高频电刀产生火花引起燃烧和爆炸。

(3) 手术室的温度应该控制在5~40℃之间, 太高或者太低都会影响高频电刀的稳定, 严重时会造成设备无法使用。手术室的温度应≤80℃, 以免造成设备内部电路板短路而损坏设备。

(4) 手术室的地面一定要保持干燥, 绝对避免出现积水现象, 血液、尿液等一定要用干纱布擦干净, 以免造成高频电刀对地短路。

3.3 医护人员安全

(1) 高频电刀必须由经过培训的医护人员使用, 其他人员严禁使用。而且, 培训后的医护人员在使用前要仔细阅读使用说明书, 熟练掌握操作规程, 了解使用过程中的注意事项, 以防误操作, 避免患者、使用人员受到不必要的伤害, 也避免设备损坏。

(2) 在内窥镜、腹腔镜手术中, 操作医生应使用非金属框眼镜, 防止高频辐射在眼镜的金属框架上产生涡流加热而烫伤医生。同时, 操作医生应该严防灼伤患者的情况发生。

(3) 手术时医护人员一般是站立着的, 鞋袜并不能很好地隔断高频电流。若未佩戴绝缘良好的橡胶手套而与患者机体组织接触时, 同样会使高频接地, 形成高频分流, 将使患者和医护人员同时出现灼伤。因此, 医护人员一定要带好绝缘手套, 穿上干燥的绝缘拖鞋, 并及时清理地上的液体。

3.4 患者安全

(1) 带有心脏起搏器的患者一般不使用高频电刀, 因为高频电刀会干扰心脏起搏器, 使之工作不正常或者停止工作, 造成人员伤亡。

(2) 对手术患者一般不使用易燃易爆的麻醉剂和消毒剂, 手术前应擦除患者身上可能存在的可燃性气体、液体, 防止电刀手术中产生的火花、弧光引燃麻醉剂和消毒剂。手术过程中, 特别要注意酒精的使用, 因为酒精燃烧时的火苗很难发现, 造成的伤害更大。

(3) 在高频外科手术中, 必须将患者与导电物体绝缘。所以, 手术期间要在患者和手术台的黑色罩子之间铺设一层绝缘的中间层, 如果中间层变湿要及时更换。

(4) 患者躺卧时, 四肢与躯干或者皮肤接触点之间应该敷贴干的罩布或者垫一些干的纱布, 使之相互绝缘。

(5) 患者身体不要随身携带金属物件, 防止高频电磁场产生过大高频辐射和涡流引起灼伤。体内有金属植入物件时, 要把电极板尽量安放在远离金属植入物的地方。

3.5 设备安全

(1) 心电监护仪电极或是测量探头应该远离手术期域, 特别是要避开手术电流通道。高频电流会干扰监护仪, 造成心电图像严重失真, 误导手术医生, 严重时还会损坏监护仪的电路板。

(2) 带有起搏器的患者一般不使用高频电刀, 因为高频电刀会干扰心脏起搏器, 使之工作不正常或者停止工作。同时, 还会对心脏起搏器造成损坏。

(3) 在高频电刀和除颤器同时使用的过程中, 一定要注意高频电刀的输出功率, 避免高频电刀和除颤器同时损坏。

4 总结

高频电刀就是一把双刃剑, 如果我们在使用的过程中, 严格按照高频电刀的操作要求进行规范化操作, 就可以避免电击、灼伤等危险, 很好地发挥高频电刀在外科手术中的重要作用, 达到手术成功的目的。否则, 将导致患者或操作人员受到伤害、医疗设备损坏等严重后果。所以, 我们在使用高频电刀时, 一定要时刻保持清醒的头脑, 避免不必要的医疗事故。

参考文献

[1]赵卫全.高频电刀的基本原理及应用[J].医疗设备信息, 2001, 16 (1) :43-58.

[2]沈丽娟.加强实验室管理确保科研工作顺利完成[J].医疗卫生装备, 2007, 28 (3) :45-46.

[3]张淑玲.仪器管理工作的几点措施[J].实验技术与管理, 2004, 21 (6) :158-159.

[4]刘亚军.浅谈医疗设备管理[J].中国医学装备, 2006, 3 (3) :23-24.

安全生产管理中基本原理及应用 篇10

人们对生产事故的认识可以分为三个阶段:早期的事故频发倾向论和以海因里希因果连续论为代表的事故致因理论;以能量意外释放论为主要代表的二次世界大战后的事故致因理论, 以及强调全面认识、控制生产事故, 以本质安全为目标的现代系统安全理论。

生产事故有三种直接后果:伤人、物损毁和环境受损害。实际生产事故分析中, 较多采用因果连锁模型分析事故直接原因——人的不安全行为和物的不安全状态, 找到人与物轨迹交叉点, 即事故点, 然后探究事故背后的原因。防控事故步骤是:提出安全或减灾目标—分析存在的问题—找出主要问题—制定实施方案—落实方案—评价—新的目标[1], 效果显著, 积累了丰富的安全生产管理经验, 但存在三点不足:一是, 事先控制中, 抽象说教多, 具体操作指导少, 缺乏先进的安全生产管理理念;二是, 在事中控制中与事后控制中, 经验教训总结多, 理论支持少, 监控缺位;三是, 制度建设存在缺陷, 基本上局限在对现场进行“点与线”分析, 看到的问题只是冰山一角!笼统认为, 事故背后是管理落后。

2 现代安全生产管理系统理论主要内容

传统安全系统理论认为, 安全系统论有两个系统对象, 一是事故系统, 二是安全系统。事故系统指出了事故源头, 有了防范事故的基本目标和对象, 但没有指明系统各元素之间的关系, 就“事”论“事”, 存在一定的局限性。

安全系统强调事前预防因素, 重视事先控制, 同样没有指出各因素之间关系、更没有涉及子系统微观结构和系统作用机理, [4]缺乏对事故预防的具体操作指导。

现代安全生产管理系统理论指出, 系统六大元素之间相互联系、影响、制约的关系, 提出了安全链、三角链、外环链等概念[2]。该系统作用机理是:在一定的环境中和管理水平下, 人根据自身掌握的信息与技术, 通过对物的控制, 来实现系统目标。着重探讨系统安全的微观基础, 为达到本质安全指明了分析方向和途径。事故发生是系统的某子系统失控:可能是元素本身的问题, 也可能是子系统, 或其接口处链条问题, 最终导致使系统能量非控制渠道释放, 系统目标无法实现。

用该理论分析事故, 事故背后的东西一目了然。

3 现代安全生产管理系统中的基本原理

3.1 玻璃窗原理

美国政治学家威尔逊和犯罪学家凯琳1995年提出了破窗原理:如果有人打坏了一个建筑物的窗户玻璃, 这扇窗户又得不到及时维修时, 就给人造成一种无序的感觉, 有人就可能受到某些暗示性的纵容去打碎更多的窗户玻璃。久而久之, 这些“破窗”形成一种公众麻木不仁的氛围, 犯罪和事故就会滋生、蔓延。 这个原理说明环境具有非常强的暗示和诱导作用。威尔逊和凯林在提出这个理论时, 指出破窗“没有及时修复”, 该理论才会应验。

从安全链原理看, 要高度警觉第一扇破窗和可能破碎的玻璃窗, 出一扇, 修一扇, 及时排查, 建立一套预警系统和分析检查制度, 把生产隐患、苗头消灭在萌芽状态。

与玻璃窗原理对应, “墨菲定律”指出:如果坏事有可能发生, 不管这种可能性多么小, 它总会发生, 并引起最大可能的损失。

这就是说, 当人们麻痹大意之时, 小小的疏忽, “坏事”或者“烂苹果”正在形成、出现, 并可能引起“最大可能的损失”。因此, 我们必须及时清除它, 只有时刻从“隐患险于明火, 防范胜于救灾, 责任重于泰山。”的理念出发, 才能防止其“必然发生”!

有破窗, 一定在某处, 一定会传染, 千万不要忘记其影响, 注意“破窗”附近的“窗边”。窗边现象:如果一群小孩在玻璃窗附近踢球, 时间稍长, 窗户的玻璃被打碎。按大数定律, 这种现象一定发生[2]。这种现象与“破窗原理”指出的无序氛围引发的某些恶意行为不同, 其一是小孩子不懂事、不明白问题的严重性“在玻璃窗附近踢球”;其二是小孩子调皮, 故意“在玻璃窗附近踢球”。

现实中一些单位企业和个人, 对隐患麻木不仁, 如同“一群小孩”, 要么对安全生产管理只是要求“大家注意一点”, 不严格执行管理制度, 允许机器设备超负荷运转, 超能力生产、开采, 作业环境恶劣等;要么对安全隐患麻木不仁, 抱着侥幸心理违章生产、作业, 实际上是允许“在玻璃窗附近踢球”, 结果“玻璃被打碎”, 酿成生产责任事故。

用现代安全生产管理系统理论分析上面“原理一现象”, 根本问题在于, 上是子系统失控, 如三角链“人—技术—物”失控, 造成物损毁, 或人员伤亡, 甚至整个系统出现问题。

3.2 转换原理

目前, 我国处于高发期, 与“环境”和“物”相关的三角链很容易成为“破窗”, 如有些酒店和厂矿安全生产环境恶劣, 安全设备作为摆设。但更严重的是“人”不按规定规范作业、监管缺位、对隐患抱侥幸心理等安全责任事故屡屡出现, 解决人的问题关键是转变和提升人的安全理念。

3.2.1 因果转换原理:

人处于系统中心, 起主导作用, 但不能简单地认为人是唯一主导元素, 许多情况下人与物又互为因果。

任何生产事故, 总是发生在某个子系统中, 轨迹交叉理论强调两者交叉之处是事故点, 指出在一定的条件下, 物的不安全状态诱发人的不安全行为, 人的不安全行为又促进了物不安全状态的产生与发展。但该理论忽视了一旦“物”等其他元素成为主导元素, 那么整个系统极不稳定, 子系统与系统的关系混乱, 随时可能发生事故[3]。

例如“环境”异常糟糕, 成为主导元素, 从图1看, 这时系统是极其不稳定的, 缺乏对子系统控制, 情况非常复杂、棘手。太湖发生的水蓝藻污染事件就是一个典型案例, 结果我们只能事后进行控制, 十分被动。

现实中另一个实际问题是“安全管理老大难, 老大一抓就不难”。主导元素“人”的作用不能弱化, 更不能缺失, 应该提升。我国四川南充市首先提出“党管安全”、“第一把手是安全生产第一责任人”的先进理念, 建立了税前提取安全费用制度、伤亡事故赔偿金制度、安全生产风险抵押和安全生产违法及隐患举报奖励制度, 幷明确了费用的提取标准与管理办法, 这些措施操作性强, 效果显著, 使区域安全生产局面极大改观, 该市成为全国安全生产的典型。

3.2.2 路径依赖原理:

一旦人们做出了某种选择, 惯性的力量会使这一选择不断自我强化, 并让你不能轻易走出去。

这个原理由美国经济学家道格拉斯·诺思提出。孔子曰:“少成若天性, 习惯如自然”, 是同样道理, 早期的事故倾向理论也验证了该原理, 提供了支持的实证案例与资料。表述的是人的一种惰性, 虽非绝对, 但反映了多数实际情况, 例如, 所有发生的生产责任事故有一个共性:总是存在失误与错误。国家安监局一位负责人说:“几乎每一起事故都是可以避免的, 80%以上的生产灾难都属于责任事故, 都属人祸。”

根据这两原理, 安全生产管理要重视“转换”, 理念是要进入员工的思想里才有用;从改变人的安全生产意识着手, 警惕“因果转换”, 防止“物”成为主导因素;制度建设、监管落实是过程, 贵在执行, 不是一朝一夕的事情, 安全生产管理是落实到个人、到组织和平常细节中, 最终提高人的素质, 改“路径依赖”为“路径指引”, 重视养成良好的习惯, 重视管理中的细节, 形成良好的“惯性力量”使事故难以发生。使先进安全理念进一步细化成可操作的步骤与标准, 建设好本质安全的基础和关键。

3.3 观控原理

3.3.1 能观能控原理:

系统必须可控, 通过接口 (系统的链条) , 输入信息, 改善和控制系统行为;通过输出的反馈信息, 观测系统的行为, 使系统能观能控, 对生产目标做出贡献。

目前一个突出的问题是, 系统构成要素“信息”的功能往往失灵, 事后控制过多, 使很多可以避免的损失发生。例如, 一些生产现场缺乏安全监控点、防护栏, 灾害的预警手段和机制落后等, 因此, 要预测查找哪些接口可能出现问题, 确定主三角链, 建立现场监控点, 如对生产现场的“三点控制”, 对“危险点、危害点、事故多发点”控制, 现场解决问题, 及时消除隐患。[5]

3.3.2 屏障原理:

设置最后一道屏障预防危险和有害因素作用发生。要达到本质安全, 必须回答:“最后的屏障是什么, 在哪里。”从安全生产管理系统图看, 例如, 要避免“人-物”链条失控, 做到: (1) 增设提醒、防爆、隔离、锁止人与物的信息仪器装置, 如报警仪、安全栏杆、安全网、保险丝、安全阀等; (2) 在可能条件下, 达到“物”自检、锁止, 改进设计与功能, 如自检仪、防爆电气设备, 当防爆性能破坏时则自行切断电源。

4 启示

目前我国GDP快速增长, 企业利润、业绩上升, 而安全生产管理系统外环链上“信息、环境、管理、物、技术”等元素之间关系没有提升, 系统能量不断积聚, 这时如果与“人”相关的链条出现问题, 子系统能量释放就会失控, 状况堪忧。因此, 要充分注意不同阶段玻璃窗的类型。当前, 首先强化与“环境”和“物”相关的链条和三角链, 一方面要建立反映作业现场状况的信息系统:从技术层面上安装监控仪器, 及时准确披露信息, 从制度上保证严惩隐瞒不良信息, 另一方面要改善作业环境, “放水露底”, 暴露隐患, 清理消除。

其次, 从制度的建设与执行入手, 监控“玻璃窗”办法要过硬, 既要考虑制度可行性, 对意外事件的处理有预定程序, 又要确定制度有效的范围, 严格督促制度执行, 增加“人”违规成本, 建立职工劳动保护、保险法规, 完善安全风险抵押金等制度。[6]

要鼓励、奖励补窗行为, 让员工不以破窗为理由同流合污, 以补窗为荣, 亡羊补牢。

最后, 坚持“一把手是第一责任人”, 管理者、一把手要深入现场, 了解第一手资料, 检查、落实现场5S管理、红牌战术、目视管理、定置管理, 注重“细节管理”, 及时发现和清理有隐患的“玻璃窗”。

参考文献

[1]JOHN LAMBE IT.工作环境[M].北京:清华大学出版社, 2004:91-92.

[2]谢力.生产管理中的安全链原理[J].企业活力, 2006 (9) :90-91.

[3]胡正祥.安全管理学[M].北京:中国经济出版社, 1991, 89-90.

[4]薛华成.管理信息系统[M].北京:清华大学出版社, 2000:100-104.

[5]杨剑, 黄英, 金小玲.班组长现场管理精要[M]北京:中国纺织出版社, 2007:35-37, 78-80.

路由器基本工作原理及其安全设置 篇11

路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上, 路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息, 依照拓扑结构动态生成路由表。在数据通道上, 转发引擎从输入线路接收IP包后, 分析与修改包头, 使用转发表查找输出端口, 把数据交换到输出线路上。转发表是根据路由表生成的, 其表项和路由表项有直接对应关系, 但转发表的格式和路由表的格式不同, 它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域, 这些管理区域称为自治域, 自治域区号实行全网统一管理。这样, 路由协议就有域内协议和域间协议之分。域内路由协议, 如OSPF、IS-IS, 在路由器间交换管理域内代表网络拓扑结构的链路状态, 根据链路状态推导出路由表。域间路由协议相邻节点交换数据, 不能使用多播方式, 只能采用指定的点到点连接。

2 路由器结构体系

路由器的控制平面, 运行在通用CPU系统中, 多年来一直没有多少变化。在高可用性设计中, 可以采用双主控进行主从式备份, 来保证控制平面的可靠性。路由器的数据通道, 为适应不同的线路速度, 不同的系统容量, 采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言, 可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发, 根据使用CPU的数目, 进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发, 根据使用网络处理器的数目及网络处理器在设备中的位置, 进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。

3 路由器安全设置

对于黑客来说, 利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期, 误导信息流量, 使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己, 但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

3.1 堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问, 用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露, 这就使得黑客抢在供应商发行补丁之前利用受影响的系统, 这需要引起用户的关注。

3.2 避免身份危机

黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30~60天的口令有效期等措施有助于防止这类漏洞。另外, 一旦重要的IT员工辞职, 用户应该立即更换口令。用户应该启用路由器上的口令加密功能, 这样即使黑客能够浏览系统的配置文件, 他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上, 用户可以配置一些协议, 如远程验证拨入用户服务, 这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证, 以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分, 后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳 (SSH) 或IPSec内传送安全证书。

3.3 禁用不必要服务

拥有众多路由服务是件好事, 但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是, 禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步, 经过一段时间后, 时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议 (NTP) 的服务, 对照有效准确的时间源以确保网络上的设备时针同步。不过, 确保网络设备时钟同步的最佳方式不是通过路由器, 而是在防火墙保护的非军事区 (DMZ) 的网络区段放一台NTP服务器, 将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上, 用户很少需要运行其他服务, 如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

3.4 限制逻辑访问

限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法, 但如果无法避免Telnet, 不妨使用终端访问控制, 以限制只能访问可信主机。因此, 用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

控制消息协议 (ICMP) 有助于排除故障, 但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息, 只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间 (TTL) 的。此外, 逻辑访问控制还应禁止ICMP流量以外的所有流量。

使用入站访问控制将特定服务引导至对应的服务器。例如, 只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层 (SSL) 的HTTP (HTTP/S) 流量进入Web服务器。为了避免路由器成为Do S攻击目标, 用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝Do S攻击, 但用户可以限制Do S的危害。用户可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCPSYN攻击。

用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量, 只允许有效的源地址包离开网络。这有助于防止IP地址欺骗, 减小黑客利用用户系统攻击另一站点的可能性。

3.5 监控配置更改

用户在对路由器配置进行改动之后, 需要对其进行监控。如果用户使用SNMP, 那么一定要选择功能强大的共用字符串, 最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置, 用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问, 用户就能防止黑客改动或关闭接口。此外, 用户还需将系统日志消息从路由器发送至指定服务器。

为进一步确保安全管理, 用户可以使用SSH等加密机制, 利用SSH与路由器建立加密的远程会话。为了加强保护, 用户还应该限制SSH会话协商, 只允许会话用于同用户经常使用的几个可信系统进行通信。

配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议 (RIP) , RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议 (BGP) 和开放最短路径优先协议 (OSPF) 等协议, 以便在接受路由更新之前, 通过发送口令的MD5散列, 使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。

3.6 实施配置管理

用户应该实施控制存放、检索及更新路由器配置的配置管理策略, 并将配置备份文档妥善保存在安全服务器上, 以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

用户可以通过两种方法将配置文档存放在支持命令行接口 (CLI) 的路由器平台上。一种方法是运行脚本, 脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在配置服务器到路由器之间建立IPSec隧道, 通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前, 制订详细的逆序操作规程。

摘要：简要介绍了路由器的工作原理和结构体系, 重点讨论了如何对路由器进行安全设置。