安全系数设计(精选12篇)
安全系数设计 篇1
1 人性化设计是现代工业设计的主流
工业设计是指以工学、美学、经济学为基础对工业产品进行设计。是一门综合性将工业产品加以美化与功能化的学科, 内容包括机械设计与制造、经济性设计、安全性设计、通用性设计、操作舒适性设计、造型及美学设计等。工业设计是一项综合性的规划活动, 设计的目的是人而不是产品, 因此工业设计要坚持以人为中心的设计思想。
在工业化发展的漫长时期内, 人们曾忽略了在产品“物”的形态里还包含与人的生理、心理密切相关的多种因素, 致使许多工业产品在设计中出现了种种不利于人的弊端, 不久便被淘汰。于是致力于改善这种状况的人性化设计, 伴随着人机工程学和设计美学的发展而成为当今最重要的设计概念。
人性化设计的理念在现代工业史上具有重要意义, 它完成了从“人要适应机器和产品”到“机器和产品要适应人”的历史性转变。人性化设计以人为设计的中心, 对工业机械或产品从使用、操作、安全、可靠、环境、心理感受等方面进行整体考虑和构思, 并对人的生理、心理因素做科学的定性与定量分析和研究, 从而提出人与产品、机器协调设计的理论依据。
人性化设计是在设计过程中根据人的行为习惯、人体的生理结构、人的心理情况、人的思维方式等在原有设计基本功能和性能的基础上, 对产品进行优化, 让使用者感觉方便、舒适、可靠, 是在对人的心理、生理需要和精神追求的尊重和满足, 是对人性的尊重, 人性化设计是科学、艺术和人性的结合, 科学技术以坚实的结构和良好的功能, 而艺术和人性使设计富予美感、充满情情趣与活力, 人性化很大程度上和可用性设计紧密联系在一起, 或者说人性化设计是可用性设计的一个思路和原则。在符合生产功能的基础上, 强调精神与情感需求的设计, 综合体现着设计的艺术性与安全性, 在设计过程中注重对产品的扩展和深化。
产品的人性化设计是现代工业设计的大趋势。因为任何工业产品都是为人设计的, 都是供人们使用的。产品的优劣最终是由产品与人之间的协调关系协调程度来评定的。工业设计是处理人—产品—社会环境的关系, 探求产品对人的适应形式, 集中表现人们对新生活方式的需求, 更多的反映在产品外观质量和视觉上的艺术感受。现化化工业大生产中, 使用者在选择产品时更加注重产品在方便、舒适、可靠、价值、安全和效率等方面的评价, 也就要求设计人员在产品设计中注重人性化设计的问题。
2 人机安全设计是产品设计中的重要内容
产品设计既要解决物与物之间的关系, 更要解决人与物之间的关系。随着人的主体意识的不断加强, 人们也越重视自身安全健康, 更关注产品的安全。
人机安全系统设计提高产品竞争力。只重视科技可以提高产品的质量性能, 重视人机安全系统设计更能适应人的操作、尊重人的需求、满足人的追求, 从而提升产品核心竞争力。
产品设计要做到适用性、经济性、安全可靠性和艺术性的辨证统一。适用性表现为满足需求不断提出新的功能要求, 以扩大产品的适用范围。经济性表现为在产品创造与使用过程中, 节约能源与人力物力, 低成本。安全可靠性表现为产品在使用过程中能安全可靠地持续工作, 并长期保持产品原有的功能。产品的艺术性出要表现为产品外观造型的艺术美。
安全是各种事故对人不产生危害、不导致危险、不造成损失运行正常、进展顺利的状态, 本质是实现人—物—环境之间的相互协调。人类社会进步的重要标志就是创造一个适合人类生存和发展的优美舒适的劳动条件和生活生存环境, 即让人类劳动、生活、生存在一个安全和谐的社会之中。安全的自然属性反映在人的生理和心理的需要, 安全的社会属性表现在自人类有组织活动以来, 社会安定、有序进步始终是各社会阶段追求的目标, 这一目标实现的重要标志之一就是安全。现化科技的发展使人们具有了利用、改造自然能力, 社会发展越快, 人们对保护自身的安全健康要求日益强烈。
传统工业设计中, 总是把人与“机”分开, 当作彼此毫不相关的个体, 以设计产品为主要目标, 更多考虑产品功能的实现、结构的合理, 而没有将操作者作为设计的目标, 没有规范化的考虑人的因素, 认识到“机”给人以很大影响, 而人又操纵“机”, 两者之间是一个紧密联系的整体, 不能分割来考虑, 使得人与“机”性能的不匹配, 造成在人机系统失效中, 80%是由人为失误引起的。
机械产品给人以很大影响, 而人又操纵机械 (产品) , 相互间是一个紧密联系的整体, 不能分割开来考虑, 所以我们要在设计过程中不仅要明了机械产品的特性更要明了人体的各种特性, 然后才能设计出与之相适应的机械产品, 否则人机作为一个整体系统就不可能安全、高效、持续而协调地运作。
3 人机功能匹配应注意:
(1) 信息由机器的显示器传递到人, 选择适宜的信息传递通道, 避免信息通道过载而失误, 及显示器的设计应符合人机工程的原则。
(2) 信息从人的运动器官传递给机器, 应考虑人的能力根限和操作规范, 所控制的控制器要安全、高效、灵敏、可靠。
(3) 充分利用人和机的各自优势。
(4) 使人机结合面的信息通道数和传递频率不超过人的能力根限, 并使机适合大多数人的使用。
(5) 一定要考虑到机器发生故障的可能性, 以及简单排除故障的办法和使用的工具。
(6) 要考虑到小概率事件的处理, 有些偶发性事件如果对系统无明显影响, 可以不考虑, 但有的事件一旦发生就会造成功能破坏, 对这种事件就要事先安排监督和控制方法。
4 提高人机系统安全可靠性途径
(1) 合理进行人机功能分配, 建立高效可靠的人机系统。
(2) 对部件等系统宜选用并联组装。
(3) 形成冗余的人机系统:系统在运行中应让其有充足的多余时间, 不能使系统无暇顾及运行中的错误情形, 杜绝失误运行。
(4) 系统运行时其运行频率应适度。
(5) 系统运行时设设置纠错装置, 当操作者出现失误时也不会造成系统事故。
摘要:通过简述人性化设计的相关知识, 指出人对产品的深层次要求, 产品满足人的功能需要由其可靠安全的实用性能保障, 人机相互匹配促进产品与使用者之间形成良好地安全和谐关系, 人机的安全需要设计者综合考虑, 指出在产品设计时应将人与机安全设计当成一项重要内容加以综合考虑。
关键词:工业产品,人性化,安全
参考文献
[1]何人可.工业设计与创意产业[M].机械工业出版社, 2007.
[2]曲彩云.造型设计和人机工程[M].机械工业出版社, 2007.
[3]何晓佑.人性化设计[M].北京科学出版社, 2002.
[4]KARLT.ULRICH.产品设计与开发[M].高等教育出版社, 2005.
[5]伽略特.杰姆斯.设计与技术[M].科学出版社, 2004.
[6]郭青山.人机工程设计[M].天津大学出版社, 2004.
[7]江牧.工业产品设计安全原则[M].中国建筑工业出版社, 2008.
安全系数设计 篇2
一、设计训练的目的工程安全设计是安全工程专业本科生实践教学环节的主要内容,是促进学生个性发展与全面素质提高的重要手段。通过工程设计的训练,能够培养学生综合运用安全工程专业知识及相关知识进行工程实践的能力;能够培养学生查阅中外文献、资料、工程设计、文字撰写以及图纸绘制等方面的能力,进而提高学生适应实际工作的能力。
二、工程安全设计的内容
工程安全设计的内容包括:
(1)工程背景资料;
(2)设计的依据;
(3)设计步骤;
(4)设计计算:
(5)设计图纸(包括工程地理位图;工艺流程图;设备布置图;安全设施布置图等);
(6)编制设计说明书,主要包括:
1)封面
2)设计说明
3)正文目录
4)正文
5)参考文献或资料
6)附录或后记
三、设计要求
1、选题要求:设计训练的题目必须符合安全工程专业的培养目标和教学基本要求,能够综合运用所学的安全工程专业知识和技能,对工程技术工作的较全面的训练,提高分析问题和解决问题的能力。题目原则上由指导教师指定;学生在指导教师的帮助下也可以自拟题目。
2、学生应主动接受指导教师的检查和指导,定期向教师汇报设计工作进度,听取教师对工作的意见和指导,独立或与同学合作共同完成设计任务。
3、学生在设计训练期间,应认真遵守校规、校纪。如因故不能参加,必须向指导教师请假。无故缺勤一周或请假累计达四周者,取消设计训练成绩。
4、设计训练结束后,学生应提交设计的所有材料(包括设计说明书、图纸、调研资料、参考资料等)。
5、文字要求:文字通顺,语言流畅,无错别字。
6、图纸要求:设计图纸在条件允许的情况下可使用计算机绘制。图纸尺寸标注应符合国家标准。完成图应按规定叠好。
7、曲线图表要求:所有曲线、图表、流程图、程序框图、示意图等不得徒手画,必须按国家规定标准或工程要求绘制。
8、参考文献资料要求:参考文献总数不少于6篇。
四、评分标准
根据学生在工程设计中的训练表现(其中,工作态度占10%、工作能力占30%、工程设计质量占60%),成绩评定分为优秀、良好、中等、及格及不及格五个档次。
工作态度包括:工作努力,认真负责,科学作风好,勇于承担任务,服从教师的指导和调动等。
工作能力包括:工作的计划性;应用基础理论分析、解决问题的能力;检索和利用中、外文献资料的能力;实际动手的能力;绘图、计算和数据处理的能力。
工程设计质量包括:设计方案的优劣,结果及其依据的合理性;实验数据的筛选及处理;对设计方案、主要技术经济指标、可行性等的自我评价;字迹、语言、绘图的质量等。
农村公路安全设计探析 篇3
【关键词】农村公路;交通安全;安全设施;设计
0.前言
随着现今建设社会主义新农村脚步的加快,农村公路得到了史无前例的发展,处于山区的有些地方各级人民政府由于财力的有限,配套资金难以落实到位,导致相对一部分农村公路其改造只处于在路面形式、技术的提高上,对路基的改造作用并不大,尤其是纵线形、对平的改造相差太远,交通安全保障设施得不到同步实施。纵坡陡,急弯多,错车难、深沟以及路侧陡崖、标志不齐等安全隐患仍然突显。
1.路基改造方案
1.1应最大限度地增加路侧净空区宽度
农村公路长时间的使用与养护造成路侧边沟较深,这给行车安全带来很大隐患,也使路侧净空带受到限制。基于这种情况,在项目设计阶段应在满足路基、路面排水的前提下,尽量把边沟设置成浅碟形或增加混凝土沟盖板。这样一方面可有效增加路侧净空区宽度,使驶出路外的车辆能够尽快重新驶回车道或不发生侧翻,另一方面提高了路侧的安全性,可避免碎石落入沟中造成排水不畅。
1.2路肩改造方案的选择
路肩指位于行车道外缘至路基边缘的带状部分,通常指硬路肩或土路肩。其作为路面的横向支承起到保护路面和路基的作用,同时提供侧向余宽,为驶出路外的车辆提供容错空间。在农村公路的改造中,多数情况下如采用路肩加宽方案则涉及路基的拓宽及新增用地等相关问题。相比之下,如采用路肩硬化措施则更为经济、快捷也是增加路面使用宽度的一种最有效方式,尤其是当路面宽度较窄时,对提高通行能力、行车安全性起到较好作用。因此在采用沥青或水泥混凝土路面结构的农村公路的改造中宜优先采用路肩硬化方案。
2.交通安全设施设计
公路交通安全设施设计包括护栏、交通标志、标线、隔离栅、防眩设施等内容,完善的交通安全设施不但保证了车辆、行人的生命财产安全,也为社会经济的发展提供了有力保障,但不同项目应结合其在路网中的作用、交通量及环境条件进行总体设计,且各设施间应相互协调、配合使用,在注重安全性、实用性的同时,充分体现“以人为本、安全至上 ”的指导思想。
根据多年来农村公路改造设计的实践经验,在农村公路的改造设计中必须非常重视行车安全。交通安全设施设计在综合考虑投资的基础上应结合公路平纵线形、实际行车条件等进行必要的主动引导设计和被动防护设计。
2.1主动引导标志设计
在农村公路的改造设计中应结合行车条件综合应用以下交通标志来主动引导车辆安全行驶。
2.1.1左(右)急弯警告标志
设于平曲线半径、行车视距难以满足规范要求,或平曲线半径接近道路技术标准规定的一般最小半径,有行车安全隐患的急弯路段。
2.1.2连续弯路警告标志
设于连续3个或3个以上接近道路技术标准规定的一般最小半径的反向平曲线,且曲线间直线距离等于或小于最短缓和曲线长或超高缓和段长的连续弯路起点之前。
2.1.3陡坡、连续下坡标志
一般情况下,当纵坡大于7%时应考虑设置该标志。
2.1.4窄路、窄桥标志
当路面(桥)面宽度变窄(宽度缩窄至6.0m以下)或车道数减少,一般应在路面、桥面宽度变窄或车道数减少的过渡段前设置相应的“窄路”、“ 窄桥”警告标志。
2.1.5交叉路口标志
设于两相交公路间无法保证由停车视距构成的通视三角区的平交道口。
2.1.6议行车速度标志
农村公路的服务对象基本以农民为主,这一特定的人群总体上交通安全意识不强,对交通事故造成的后果认识不够,所以在路面等级提高的同时有必要设置建议行车速度标志,特别是在弯道、出口、匝道等位置,以提醒行人、车辆注意行车安全。
2.1.7路侧构筑物的标识
在路侧事故中,对驶出路基外的车辆构成危险的路侧危险物,主要包括标志柱、树木、挡土墙、防撞设施以及一些天然的河流、湖泊、深沟等。针对山区农村公路路侧可拓展余地不大的特点,设计中应对诸如上述路侧危险物进行必要的标识,有条件的宜设置消能设施或装置来降低车辆与其碰撞的严重性。
2.1.8其他安全设施的设置
如道路等级高、投资充裕、交通量大的项目,除设置上述基本的交通安全标志外,还应本着安全、实用、合理的原则设置诸如视线诱导、路肩震动带、减速设施、道路反光镜等高等级公路上常设的交通安全设施。
2.2被动防护设计
从设计的角度看,路侧净区在一定程度上可以有效降低事故的发生率,但实际中相当一部分山区农村公路并不具备设置路侧净区的条件,車辆一旦驶出路外就只能靠被动的路侧防护措施来实现最小的伤害或最大的保护。针对农村公路的建设特点设计时应根据道路线型特点、行车条件等合理选择以下被动防护设施。
2.2.1示警桩
农村公路普遍交通量较小,车型多为中、小型车,设计车速多在以下而示警桩不仅能给驾驶员诱导行车视线增加行车安全性而且能有效阻止车型较小、车速较慢的车辆驶出路外,并具有造价低、施工方便等优势。所以在急弯、陡坡、高填方及桥头引道等特殊路段可选择示警桩作为路侧防撞设施。
2.2.2护墩
除具有示警桩的所有功能外,护墩还能更好地防止车辆驶出路外,但其造价相对示警桩高,通常适用于地形较险峻的路段,如悬崖、高度大于10m的高填方或高挡墙、桥梁两侧等。
2.2.3墙式护栏
除具有示警桩、护墩的所有功能外,还能吸收车辆碰撞能量,有效防止车辆驶出路外而造成更严重的二次事故,但其造价高。在设计时主要用于车型较大、车速较快的陡壁、悬崖、急弯陡坡等危险路段。
2.2.4植树
实践证明,当公路两侧行道树的直径达到一定程度、间距合适时行道树能起到很好的路侧防护效果,且车辆撞击行道树后一般比撞击其他刚性防护设施所产生的后果相对较轻,同时刷白后的行道树还具有很好的导向功能。因此在有条件的路段应结合当地气候特点、地质条件选择适合的行道树种植以改善道路的行车安全,提高行车环境。
3.其他行车条件的改善
3.1凸型竖曲线与平交道口的改造
在车辆行驶路线中,当凸型竖曲线处于平交道口位置时极易形成行车盲区,当双向(方)刹车安全距离不够时便可能发生交通事故。据有关研究资料表明,在这种情况下即使视距满足规范要求,仍避免不了事故发生。因此,类似的情况在设计中应将相交道路改线移至安全距离外以减少事故的发生。
3.2设置公共汽车停靠站
农村公路的服务对象主要在农村,公路沿线分布以自然村居多。在设计中应本着“以人为本”的思想根据村镇分布、人口、公共交通状况结合地形、居民出行需求设置公共汽车停靠站在方便群众出行的同时保证行车安全。
3.3设置失控车辆自救车道
农村公路的大量交通事故中,长陡坡、急弯路段的事故占较大比例,为尽量避免这类事故的发生,设计中应结合地形特点,在长大下坡接平曲线的地方设置失控车辆自救车道,这样当车辆(特别是重车)因下坡速度过快而无法顺利转弯时可以驶入该自救车道,避免重大交通事故的发生及经济损失。
4.结语
随着现今大量农村公路的升级改造,完善的交通安全保障体系势在必行。作为一名公路设计者一定要树立“以人为本,安全至上” 的思想,本着“针对性、宽容性、创造性” 的理念来完成设计工程改造,由此达到有效控制交通安全事故发生、减少经济损失、提升山区农村公路交通安全水平,达到构建和谐交通。
安全系数设计 篇4
一、建筑电气设计的基本原则
1. 保障建筑的使用功能
建筑的使用功能可以从多个方面去评价, 包括房间内的自然采光程度、通风情况、空调的舒适性以及光照的亮度、色温及显色指数等。在满足舒适性的情况下, 保证建筑内全方位的运输通畅, 可以满足建筑功能的需要。如在大型商场中应配备工艺照明及电力用电, 在一些娱乐产所应配备电气设施用电。
2. 安全性与经济性的结合
节能问题一直是一个热门的话题, 节能措施应该依据本国的国情进行设置。不能因为节能而过多的消耗其它方面的资源, 使总的成本增加。最佳的方式是可以增加对节能的投资, 并保证其投资在短期内可以收回。
3. 节省能耗
节能的重点应该是控制一些无所谓的消耗。在实施节能措施时, 首先要查看建筑物内哪些能量的消耗是无谓的, 然后根据不同的能量消耗情况采取不同的措施。如在输电线路上的能量消耗、变压器的功率损耗以及无谓的照明容量等, 均需要采取先进的措施来降低能量消耗。
二、提高建筑电气设计可靠性的有效途径
1. 建筑方案应考虑的主要电气用房
在建筑中, 强电所用的站房主要有低压电缆交接间、高压电缆分界小室、配电室、变电所、开闭所、强电坚井等。其弱电机房主要有智能化系统、安防控制中心、消防控制室、计算机机房、卫星接收及有线电视机房、电信机房、电信间、弱电竖井等。
2. 如何提高强电部分的安全性
(1) 提高10 KV开闭所的安全性
所谓的10 KV开闭所就是有供电部门规划设计以及管理的电气站房, 主要是为一些建筑提供10 KV电源的机房电站。通常来说, 其馈出线和电源进线都为10 KV。在规模和配电室的属性上均由配电部门集中管理和分配。不同的建筑规模和属性需配备不同的配电室。其次, 开闭所在建设时都是单独建设。若需要和其它建筑一起建设则需要得到供电部门的批准。开闭所的轴线尺寸一般可为15×21 m或16×22 m。其建筑的总面积约为320~350 m2。其结构通常是两层, 地上、地下各一层。地下一层的机构为电缆的夹层, 其建筑面积不计, 高度为2.1 m;其地上一层是控制设备, 一般为设备开关及辅助设备。其建筑空间一般为梁底高3 m, 板底高3.5 m。有时根据需要也设有地上2层, 用做服务用房。按一般办公室设计, 层高可为3 m。同时, 在规划和设计开闭所时要特别注意线路问题。在设计时, 要使线路连接方便以便保持进出的便利性, 而且要特别关注, 避免电缆与其它建筑通电线路之间的冲突所造成的不利影响。
(2) 为了保证变电所的安全性, 在位置选择上也有着较高的要求。在选择变电所的位置时应该注意以下几点:1) 其位置应该靠近用电负荷较高的地方, 如水泵房、冷冻机房等。一些大容量设备处可以单独设立变电所;2) 要保证进出线通畅, 减少不必要的麻烦;3) 要方便设备的运输与组装;4) 其建设变电所时要禁止建在与水接触较多的地方, 如浴室、洗手间等, 也不能与这些地方距离太近。在一些电气设备的变配电室中是装有原油的, 因此为了保证周边的安全性, 在建设时要远离人员密集的区域;5) 居民住宅的正下方应禁止变电所的建设, 应该有条件的隔开与居民区的距离;6) 不易在有电磁干扰的上方和下方建设机房;7) 在一些自然条件恶劣的区域, 如高温或者振动比较厉害的区域, 要避免建设配电室;8) 在建设初期应该对当地的地层条件进行调查, 避开地层中有裂缝和沉降的位置;9) 在一些层数较高或者建筑结构为多层的建筑内, 应严禁建设一些有可燃性油的变配电所;10) 不宜在一些有爆炸环境中或者有易燃易爆的区域内建设, 若必须要在所在位置进行建设, 要经过有关部门的批准;11) 变配电所可以建在地下场所, 但不宜建在当中的最底层。
3. 建筑的不同的使用功能和不同的区域导致
其变电所的设置也存在着差异, 应该有针对性的进行设置, 以保证其安全性。就住宅小区变电所而言, 其设置应该注意以下几个方面。 (1) 根据规定, 每座变电所一般要配制两台变压器, 分别为低基和高基的变电所。其低基的容量要小于1 000 kv A, 高基则没有这个限制。 (2) 低基变电所和高基变电所下面的设置也是不一样的, 低基的下面应设置其高度小于1.9 m的电缆夹层, 而高基的下面是否需要电缆夹层需要用户自己决定。 (3) 不同的变电所需要不同面积的分界室, 其10 KV高压的需要约20 m2, 且分界室对下面的高度也有要求, 其净高应不超过1.9 m, 可用实体墙将电缆夹层与相邻的高基变电所隔开。 (4) 对于住宅小区来说, 其变电所可以在首层、地下一层, 也可与地下车库在同一区域进行建设。 (5) 对于单台箱式的变电站来说其容量是有限制的, 应小于1 250 kv A。《民用建筑电气设计规范》 (2008版) 规定, 户外箱变单台的变压器容量应小于800kv A。在北京, 不同的县市对低基的变容量应小于2×500 k VA。 (6) 在建设时要考虑不影响正常的交通和行人的通行, 在隐蔽和安全的地方进行建设。其具体规定为距人行道边应小于1 m, 距离主体建筑的净距不应小于3 m。
4. 对于公共场所来说, 其变电所在的设置主要有以下几个方面。
(1) 在一些大型的商场、办公楼、学校和宾馆内, 其公共建筑的规模比较大。用电量多、用电负荷大, 通常都是高压自管户。因此, 在公共区域内所用的变电所都为高基的。 (2) 其分界室应在地下一层或者首层中设立不小于20 m2的面积, 且在分界室的下面应有不超过1.9 m的电缆夹层。 (3) 在对用电容量进行估算时, 要根据建筑不同的标准和性能选择不同的用电指标。 (4) 根据不同的用电规模和用电负荷, 可设置多个不同容量的变电所。10 k V的高压配电室应与主变电所合建, 且最好是贴近高压分界室。 (5) 不同数量的变压器需要不同建筑面积, 一般有2台变压器时一般需要280~320 m2、4台时为420~450 m2。若建筑内不利于电网布置, 所需的面积也需要相应增加。
三、如何提高弱电部分的安全性
1. 提高弱电机房的安全系数
(1) 在民用建筑中, 需要根据不同的电子信息系统的形式配备不同的机房。其设置应符合以下规定:首先应该将消防控制室单独进行设置, 也可以与消防监控与建筑设备监控的控制室合用。在分开使用时, 每个房间的面积应小于20 m2;其次, 在布置线路的设备间, 应将电话交换机房与计算机网络机房靠近或者合并;再次, 公共广播室可以与消防控制室进行合并, 也可以与前端的有线电视机房进行合并;最后, 保安值班室应与消防控制室靠近或者合并。
(2) 在一个高层建筑中, 若电子信息系统比较复杂, 应该单独建立电信间。
(3) 对各个房间的建设应留出相应的扩展区域, 如各系统机房的区域、布线通道以及电信间的面积。
(4) 对各个机房的建设应该集中, 为布线和与室外连接提供方便。
(5) 所有的弱电机房应有统一的规定, 其梁底或风管下第七、八处应小于2.5 m;视频会议室净高不应小于3.5 m。
2. 弱电机房选址的安全性
电子信息设备机房选择布置地理位置时要遵循一定的要求, 这些要求主要有: (1) 如果建筑物为多层时, 应将机房布置在建筑的第一层或者更高层。但是当建筑的地下延伸有多层的时候, 可以将机房布置在地下室的最上面一层; (2) 机房的位置应该尽可能减少与电信间的距离, 这样可以方便各种连接线的布置; (3) 在布置机房时应该考虑周围电磁的影响, 要将机房与容易产生电磁的设备区分开; (4) 在布置机房的位置时还要考虑振动和噪音的影响, 当不能与容易产生振动和噪音的设备分开时, 需要采取相应的减震或者消噪措施; (5) 要选择容易使设备进出的位置; (6) 机房内不得有容易产生粉尘的设备或者具有腐蚀性的物体等; (7) 机房应保持干燥, 不能布置在潮湿场所附近。
四、如何提高电气管线通道的安全性
(1) 在进行管线的布置时应该考虑到线路在维护和安装上的可操作性, 尽量将线路布置在公共区域; (2) 为了减少线路的折损, 应尽量使线路平直并尽量缩短线路长度; (3) 在设计建筑方案时, 应考虑设备管线的预留空间和布线通道。在建设时应严禁电气管线敷设在水管的上方或者下方, 而且要预留出相应的扩展空间; (4) 室内布线的方式应考虑室内与室外管线的连接。
五、结语
提高建筑电气设计的安全性对于建筑的整体安全性起着重要的作用。本文从强电系统和弱点系统两个角度出发, 讨论了提高建筑电气设计的安全性的措施与要求。
参考文献
[1]王红梅.建筑电气供配电系统可靠性刍议[J].科技风, 2010 (13) .
[2]刘丽萍.简谈提高建筑电气设计的可靠性和经济性[J].科学之友 (B版) , 2006 (10) .
安全方案设计 篇5
企业的IT架构情况,本方案主要针对IT基础架构部分进行规划,并提供选型和部署参考,关于企业IT业务应用系统部分的规划和建设请参考其它方案。
网络系统规划
当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等都普遍较弱,这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护。其次,由于企业首要解决的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施时间必须极短。
企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网需求: 1.建立安全的网络架构,总部与分支机构的网络连接; 2.安全网络部署,确保企业正常运行;
3.为出差的人员提供IPSec或者SSL的VPN方式; 4.提供智能管理特性,支持浏览器图形管理; 5.网络设计便于升级,有利于投资保护。
企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。
通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点: 1.网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。2.用户可以采用多种的广域网连接方式,从而降低广域网链路费用。3.无线接入点覆盖范围广、配置灵活,方便移动办公。4.便捷、简单的统一通信系统,轻松实现交互式工作环境。5.带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。
6.随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。7.系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。
安全基础网络规划方案
根据对某集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供基础版和企业版两种规划方案
1)网络需求: 企业规划的网络节点为500个,主要的网络需求首先是资源共享,网络内的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;还有就是公司门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)的建立。
2)基础版规划方案
本方案适用于200~300台电脑联网,核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换机及服务器连接;用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机。Internet出口采用H3C MSR20-1X多业务路由器作为Internet出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下:
设备选型和部署参考如下:
方案特点:
1.高性价比:能够让中小企业低投资拥有高性能、经济的网络; 2.简易性:结构简单、安装快速、简单,维护无需配置专职人员; 3.高性能:最低投资做到千兆骨干、百兆接入;
4.可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。3)高级版规划方案:
本方案适用于500~800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用H3C S7500交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用H3C S5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96 Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3C S5100-16/24/48P-SI全千兆交换机,千兆到桌面。网络拓扑图如下:
设备选型和部署参考如下:
方案特点:
1.高性能,全分布式交换网络; 2.高可靠,无间断的通信环境; 3.灵活弹性的网络扩展能力; 4.高效率的网络带宽利用率; 5.全面的QOS部署,多业务融合;
6.完善的网络安全策略,实现深度安全检测,抵御未知风险。
安全无线网络规划方案
无线网络的部署,能够增大员工接入网络的范围,提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能为合作伙伴/ 客户提供方便的上网服务。根据企业情况,可以采用FAT AP方案:
1)无线网络需求:
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2)规划方案:
采用WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。网络拓扑图如下:
设备选型和部署参考如下:
方案特点:
1.全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制; 2.大范围覆盖:高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
3.多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN用户可以独立认证; 4.兼作网桥使用:WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率; 5.负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡; 6.针对各类室外、特殊室内应用如仓库等复杂环境,可以提供专门的型号。
广域网互联VPN规划方案
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSL VPN无疑是一种最合适的方案:只需要在总部部署一台设备,成本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。
1)网络需求
1IPSec VPN和SSL VPN各有所长,功能互补,对企业来说都是需要的:IPSec VPN用于总部和中大型分支互连,SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。
2)规划方案
融合VPN针对企业的实际需要,一台设备融合IPSec / SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSec VPN互连,帮助企业降低采购、部署、维护三方面成本。
VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。例如,如果企业非常强调网络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSL VPN接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网内部或Internet边界部署H3C BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:
设备选型和部署参考如下:
如果省内分支机构较多、较分散,但对速率要求不高的连锁型单位,也可以选用电信或ISP商的VPDN服务; 如果多个分支机构间有多点对多点通信需求的企业、商业机构,也可以直接选用电信或ISP商的MPLS VPN服务。
网络性能指标要求
网络安全规划
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面: 1.网络边界安全需求 2.入侵监测与实时监控需求 3.安全事件的响应和处理需求分析
这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。
我们针对企业网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外向内多级防护的总体策略。根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是: 1.核心层:核心数据库;
2.安全层:应用信息系统中间件服务器等应用; 3.基本安全层:内部局域网用户;
4.可信任层:公司本部与营业部网络访问接口; 5.危险层:Internet。
信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全区域间建立有效的安全控制措施,使网间的访问具有可控性。具体的安全策略如下:
核心数据库采用物理隔离策略
应用系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。
应用系统中间件服务器采取综合安全策略: 应用系统中间件的安全隐患主要来自局域网内部,为了保障应用系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性;
内部局域网采取信息安全策略:
公司本部及营业部内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。
公司本部与下属机构之间网络接口采取通讯安全策略:
处于可信任层的网络,其安全主要考虑各下属单位上传的业务数据的保密安全,因此,可采用数据层加密方式,通过硬件防火墙提供的VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上的安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力,并对所有访问请求进行严格控制,对所有的数据通讯进行加密后传输。
同时,建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的安全。1)广域网安全规划
企业广域网安全,主要是通过防火墙和VPN等设备或技术来保障。
防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,防火墙还可以关闭不使用的端口,防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机,所以出于安全考虑,企业必须购置防火墙以保证其服务器安全,将应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好,建议选择企业级的硬件防火墙,硬件防火墙市场知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等,用户应根据应用情况选择合适的防火墙。
VPN 即虚拟专用网(Virtual Private Networks)提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用VPN技术,甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟,可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展的企业网络。
VPN基本特征:
1.使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。
2.网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
3.可以通过Extranet连接企业合作伙伴、供应商和主要客户(建立绿色信息通道),以提高客户满意度、降低经营成本。
VPN实现方式:
1.硬件设备:带VPN功能模块的路由器、防火墙、专用VPN硬件设备等,如Cisco、H3C、深信服、天融信等。2.软件实现:Windows 自带PPTP或L2TP、第三方软件(如深信服等)。
3.服务提供商(ISP):中国电信、联通、网通等。目前一些ISP推出了MPLS VPN,线路质量更有保证,推荐使用。2)内网安全规划
企业内网安全系统包括防病毒系统、内网安全管理系统,上网行为管理系统等。
防病毒系统采用网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等解决方案)。
安全系数设计 篇6
关键词:企业;安全;信息;技术;防御
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Information Security Technology Design in Enterprise Security Defense System
Yang Dapeng
(Rural Credit Cooperative of Shandong,Huangdao Technology Center,Qingdao250001.China)
Abstract:The Internet has brought convenience and benefits to the enterprise,while Brought risk and security risk for enterprise.By analyzing the existing enterprise network security issues,security defense system for enterprise information security technology in the design of reference.
Keywords:Enterprise;Safety;Information;Technology;Defense
一、前言
在當今的电子商务活动中,互联网已经渐渐成为了获取信息的一条主要途径。国内外各大企业用内部网络技术手段有机地共享企业内部不同部门、不同区域的信息和资源,以实现内部资源的最大利用,以提高工作效率和管理水平。但是,共享资源很有可能通过互联网进入其他的局域网,这样就很容易遭到黑客入侵,导致企业系统瘫痪,重要信息外泄及丢失。互联网在提供方便的同时还带来了一定的危险,因此,企业万万不可忽视网络的安全问题。
二、企业网络中存在的安全问题
企业的内网一旦过渡到电子商务阶段,就会接入互联网,这样可以实时掌握企业的信息,带来一定程度的商业利益,但是也会带来一定的风险。
(一)来自企业外部的风险
互联网的共享性与开放性导致企业在接入互联网时会暴露许多企业内部的资源和信息,带来各种威胁。
1.计算机病毒
计算机病毒是网络上最常见的威胁,它是一种特殊编制的程序,能侵入计算机并摧毁内部存贮的各种信息。
2.黑客
在接入网络时,一些人可以有目的地避开或摧毁企业网络防火墙,侵入企业网络,冒充合法用户登录企业网络,非法使用企业内部资源,私自删改企业内部信息,窃取商业秘密,实施破坏。
3.网络设备瘫痪
网络瘫痪是计算机软件或硬件故障造成的,比如说防火墙出现故障导致安全系统瘫痪,或者服务器负载过大导致数据丢失。
4.使用的软件配置不当或者有错误
这样会影响其他合法使用资源的用户,带来严重后果。
(二)来自企业内部的风险
内部工作人员很有可能操作失误而给企业带来一定的安全隐患,甚至造成损失。员工有时会偷偷利用企业网络处理私事,进入与工作不相干的网站,或者接收私人电子邮件,下载私人文件。这些做法会大大降低企业网络的安全性,招来病毒或黑客。倘若企业内部人员蓄意攻击企业网络,会更加难以防范,也会带来更大的危害。为了牟取暴力,有的公司员工会与企业的竞争对手私通,出卖商业秘密,甚至攻击企业网路系统。
三、企业安全访问体系的设计
企业网络需要全方位的防御,及时发现计算机设备和网络服务器的新漏洞,仅有静态防御是远远不够的,企业网络还要有一定的动态防御能力。建立具有不同功能的防御层,使各个防御层相互支持,可以提高企业网络的动态防御能力。
(一)基于网络防护技术的安全层
防火墙技术、漏洞扫描技术、薄弱环节检测技术、病毒防治技术等都属于安全防护技术,这一层以防护为目的,控制用户访问。
1.在被保护网络和公共网络之间设置网络防火墙,限制、监测、更改数据流,以保护企业网络信息资源不被干扰和破坏。
2.漏洞扫描技术和防泄露技术可以检验系统漏洞,防止信息在传播过程中泄露,将有用的信息限制在安全区内。
3.薄弱环节检测技术可以及时准确地检测出系统异常,防止黑客及病毒入侵。
4.病毒防护技术通过完善软硬件设备、修补缺陷来防止网络薄弱环节被攻击。
基于网络防护技术的这一层可以强制检验所有经过此层的连接,阻止非法访问。但是这一层只能抵御外部入侵,不能抵御内部攻击,这一点犹需谨慎。因此可以考虑使用企业虚拟专用网技术控制重要数据的传输。VPN(企业虚拟专用网)主要公共通信网络为通信数据保密,采用隧技术、加解密技术、密钥管理技术、身份认证技术,保证机密数据的安全传输。
(二)基于入侵检测的安全层
入侵检测技术通过检测计算机网络中违反安全策略行为,可以及时发现并报告系统中的异常现象,保证计算机的安全,它是网络安全防护的重要组成部分。违反安全策略的行为有入侵和滥用两种,入侵是非法用户的违规行为,滥用是合法用户的违规行为。入侵检测系统的应用,能提前检测出入侵攻击嫌疑,利用报警与防护系统进行驱逐,减少损失。即使预警失败,该技术也能在被攻击后收集入侵攻击的有关信息,引以为戒。我们还应该在该层防御中加入内容检查工具,即过滤内容又防护病毒,以防止病毒感染及恶意攻击。
(三)基于控制技术的安全层
控制技术即口令控制和访问控制。口令控制技术可以设置口令技术来判断用户的身份和用户享有的使用资源的权限,防止黑客入侵。访问控制可以确定特定用户的合法性和访问权限,并通过特定的访问路径,保护信息资源的合法利用。判断访问权限的方法有三种:强制法、随意法和基于角色的判断法,最后一种方法比较安全,值得提倡。
四、结论
在知识经济化和信息化程度日益加深的今天,网络已经渗透到了人们的生活中,企业网络应用也越来越普及。在企业与企业的竞争中,网络能给企业带来一定的商业利益,因此企业网络比家庭网络更容易受到侵入和损害。设计出更安全的网路防御体系,对于企业的安全规划具有重要的现实意义。与此同时,还要注重培养内部员工的安全意识,组建一支分析企业信息风险的专业队伍,加大信息安全防范和管理的力度,增强企业网络的应急能力。
参考文献:
[1]孟杰,李飒.艾克斯特:打造企业的“安全通道”——访艾克斯特网络安全事业部总经理秦仕存[J].《中国制造业信息化:学术版》,2005年第5期
[2]林世溪,林小迪.电力企业网络信息安全防护体系的建立[J].《华东电力》,2010年第5期
安全与站场设计 篇7
一、安全与站场设计的原则
要保证天然气站场的安全, 首先在设计方面就应该遵循站场的标准化设计原则, 可以概括为六个统一:一是需要统一的建筑风格和平面布置, 二是统一的建设标准, 三是统一的工艺流程, 四是统一的材料和设备选型, 五是统一的编码识别体系, 六是统一的功能模块划分, 六个统一之间的关系如下图1:
1.统一的建筑风格和平面布置
LNG标准化站场的设计布局以矩形为主, 现在最常见的设计方法是是厂厂前前为为综综合合区区, , 消消防防道道路路的的布布局局为为环环形形道道路路, , 顺顺着着环环形形道道路进入工艺区中有六条通道, 而站场的主厂区与火炬区的布局分开设置, 具体如下图2:
2.统一的建设标准
严格以建设所需的法律、法规和行业管理办法执行, 根据LNG标准化站场建设的实际需要编写《设备命名管理方法》、《LNG标准化站场的统一技术规定》和《LNG标准化站场的安装设计统一规定》等文件, 并严格按照规定执行。
3.统一的工艺流程
LNG标准化站场依据各个结构单元的功能设定统一的工艺流程, 并严格按照工艺流程程序进行实际操作, 确保站场的安全性, 例如对于LNG标准化分输站工艺流程来说, 其标准流程典型示例如下图3。
4.统一的材料和设备选型
统一的材料和设备选型是标准化站场设计项目中的关键部分, LNG设备必须要根据设备的实际处理量大小进行评估, 根据不同的处理量分为不同的等级, 并依据此确定各个模块的安装尺寸, 例如旋风分离器的尺寸来说, 苍南末站的工艺设备处理量只有1万/m3/h, 其旋风分离器的入口口径为700 (初步计算) , 而台州分输清管站的工艺设备处理量为8.9万/m3/h, 其旋风分离器的入口口径为1000 (初步计算) , 具体案例如下图4:
5.统一的编码识别体系
在站场内建立统一的编码识别体系是要在《石油地面工程设计文件编制规程》的基础上, 结合自身实际情况进行设计, 主要目的是便于识别和系统化的管理, 常见的设计类型如下图5所示:
6.统一的功能模块划分
在LNG站场运行过程中建立统一的功能模块系统有助于各个结构单元在同一平台上的顺利进行, 在站场内根据不同模块的功能进行标准化设计, 形成比较成熟的安装模块, 有利于发挥标准化设计的优势。
总结
要全面保障LNG站场的安全性就必须要进行标准化站场的设计与建设, LNG站场的标准化模块的定性能够大大增加站场的复用率, 提高设计质量和工作效率, 而且, 对工厂化运作的预制也明显缩短了工程周期, 各个功能模块的协调建设大大增加了站场项目建设的速度, 也为将来站场的危害和可持续性使用带来了便捷。
参考文献
[1]郭开华, 王文静, 皇甫立霞等.LNG站场防火间距及安全性分析[J].天然气工业, 2012, 32 (10) :90-94
[2]王健敏, 皇甫立霞, 郭开华等.欧洲LNG站场安全法规标准及其启示[J].天然气工业, 2012, 32 (10) :95-98
[3]吴洪松.液化天然气站场的技术进展[J].煤气与热力, 2007, 27 (10) :14-17.DOI:10.3969/j.issn.1000-4416.2007.10.005.
[4]孙新征, 康正凌, 姜华军等.LNG接收站火灾危害分析[J].天然气工业, 2007, 27 (1) :128-130
安全网络设计探讨 篇8
随着社会及科技的发展, 网络在我们的工作、生活中变的越来越重要, 特别对那些跨地区, 组成机构众多的各机关和企事业单位来说, 没有成熟安全的网络, 就会制约本单位业务的发展, 国家大力推行的金网工程的建设 (金税、金关等) , 就是为了解决这个问题。网络建设中至关重要的是网络的安全问题, 在此我们就IP网络安全设计与大家进行一下探讨。
首先, 安全网络的目标是什么呢?
信息安全性:信息不泄露给非授权的个人、实体或进程, 没有被第三者窃取或偷看。
信息完整性:确信发送给对方的数据或从对方接受到的数据没有被第三方篡改或伪造。
可用性:合法用户的正常请求能及时、正确、安全的得到服务。
其次, 如何能够保证网络的安全呢?
实现安全网络是一个系统性工程, 我们认为它可以从三个层面来保证: (1) 物理层面; (2) 网络层面; (3) 应用层面。
物理层面主要指物理线路、设备、环境等方面的安全;网络层面的安全可以在广域网与局域网中分别来解决;应用层面主要解决病毒防护、操作系统、信息的加密、认证等问题。
2 物理层面安全
2.1 线路及设备
物理层是网络的基础, 物理层的安全更是网络安全的基础。安全的网络设计首先要考虑的是物理线路及设备上的冗余保护, 能够首先从“硬件”上使所建网络达到:一条甚至多条线路中断时, 不影响网络的正常通信。
要达到以上目标, 就要做到到达每一个节点都至少有两条物理线路, 理想连接方式为网状连接。在完全网状网络中, 如果网络中有n个节点, 将需要n× (n-1) /2条线路。假设n=5, 则需要的线路数为10条, 不算多, 一般情况下还可以接受。但当n=20时, 则需要的线路数就为190条。为20个节点而建设190条物理线路, 这对非运营商级的企业来说一般都是不能接受的, 因为投资太大。在这种情况下, 我们可以采用折中的办法, 建设一个部分网状的网络。首先对网络进行分层:核心层、汇聚层、接入层。核心层及汇聚层是全网的骨干, 因此汇聚到核心之间最好做到全网状连接。接入层与汇聚层之间可以做到部分网状, 接入层设备就近与两台汇聚层设备相连接, 一方面减少投资, 另一方面由两条线路互为备份, 不至于当一条链路中断时, 网络通信就无法进行。另外强调一点, 以上所有的物理线路中, 互为备份的线路必须做到不同路由, 否则一处的物理线路中断, 就可能是两条线路同时中断, 没有任何的备份意义。
设备冗余有网络基础设备, 如:路由器、交换机的冗余, 也有服务器类设备的冗余。在安全的网络中, 核心及汇聚节点的网络设备都至少由两台设备组成, 一方面均担正常情况下的数据流;另一方面, 当一台设备出现故障时, 线路可不间断的切换至另外一台, 不影响网络的正常运行。服务器冗余情况基本相同。
2.2 环境
2.2.1 机房安全
包括场地 (建筑物位置、结构、强度) 安全、机房建设安全 (重要场地装防盗门窗, 采用带身份识别功能的门锁进行身份鉴别等) 、动力保障系统安全及系统防灾的措施。机房建设应满足GB50174-1993《电子计算机机房设计规范》、GB2887-1989《计算机场地技术条件》、GB9361-1998《计算站场地安全要求》等国家标准。
2.2.2 严格的管理制度
堡垒往往从内部攻破, 因此必须建立严格的管理制度, 并认真予以执行, 防止非法进入计算机控制室和各种偷窃、破坏、删改活动的发生。
2.2.3 网络隔离 (物理隔离)
不论多安全的网络, 都存在被别人攻破的漏洞, 因此, 从网络设计角度来讲, 要保证网络的安全, 应尽可能的“缩小”网络的范围, 以减少外部攻击的可能性。即, 在业务允许的情况下, 尽量使业务网与互联网或其它网络物理隔离, 避免来自外部的攻击。
3 网络层面安全
3.1 广域网
3.1.1 路由畅通
广域链路的作用是将一个局域网络的数据运送至另外一个局域网, 广域链路上每一个节点的最大作用就是告诉数据包该向哪一个方向, 哪一条路走, 才能最快的到达目的地。广域网设备重在寻路, 而不对数据包进行应用层的处理。因此, 要想使数据包以最快的速度到达目的地, 就必须首先保证线路的畅通无阻, 即网络上所说的路由畅通。要保证每时每刻的路由畅通, 就要运用路由设备所支持的路由协议, 结合物理链路为数据找到多条又宽又畅通的逻辑路径。
3.1.2 用先进的技术, 隔离不同的用户 (逻辑隔离)
在一个网络中不同的用户数据往往共享同一条骨干链路而实际中我们并不希望这些不同的用户之间能够互访, 此时可以利用各种各样的网络技术对不同用户进行逻辑隔离, 使同一用户之间可以互访, 而不同用户之间不能互通。这种技术如:虚拟专用网 (VPN) 。它是安全网络的一种特殊类型, 用于提供跨越公共网络的安全连接。通俗的讲VPN技术就是将相同的用户归结进一个网络中, 在一个网络中它们可以根据用户的需要随意互访, 但在不同的用户之间是禁止互访的。它是一种逻辑上的划分与隔离。传统的VPN技术还存在一些弊端, 时下比较先进安全的VPN是基于MPLS技术的VPN。
多协议标签交换 (MPLS, Multiprotocol Label Switching) 技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。在MPLS网上实现的VPN, 提供了和基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网, 能达到第二层PVC所具有的专有性、安全性和数据传输的高速性, 而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离, 无需访问控制列表ACL, 各VPN之间都是不可见的, 骨干网对于客户网络 (某个VPN内部) 也是不可见的。所以, 充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术, 今天, 很多企业或政府机构的网络也在应用。
先进的技术是为应用服务的, 它可以缩小工作量、增强网络的可管理性, 同时提供优质的效果, 所以, 一定要注意先进技术与实际应用的结合。
3.2 局域网
局域网, 特别是一个网络的中心局域网, 它往往是一个包括主机系统、数据库系统、应用软件、Web软件、网络设备等的复杂的IT系统。要保证这一系统的安全需要从更多方面共同努力, 主要包括入侵检测、边界防护、用户隔离、安全评估等。
3.2.1 入侵检测
入侵检测是对入侵行为的监测和控制, 它通过监视计算机网络或系统的运行, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 一旦发现攻击, 能够发出警报并采取相应的措施, 如:阻断, 跟踪等。同时, 记录受到攻击的过程, 为网络或系统的恢复和追查攻击的来源提供基本数据。
网络入侵检测系统安全解决措施:在骨干交换机和其冗余的交换机上设置一个监听端口span, 在交换机上指定该span端口可以监听服务器所在的端口号或vlan, 然后将网络入侵检测的引擎探头 (硬件引擎) 分别接在两个span端口上, 将引擎的管理端安装在网管工作站上即可。
网络入侵检测将获取流向服务器的数据包, 对数据包进行细致的协议分析和模式匹配, 发现可能存在的攻击, 入侵检测将会把报警信息以多种方式发送给管理员并且会按照预先制定的策略对攻击通信进行处理。
3.2.2 边界防护
边界防护涉及的是网络的边缘安全问题, 主要指防火墙系统。
防火墙就如一个院落的大门, 所有与此院落有关的出入活动都必须经过这道大门。这道大门就是院落内部的屏障, 也是院落内外的交接点, 大门安全了, 才能在很大程度上保证院落内部的安全。
使用防火墙主要具有以下益处:保护脆弱的服务、控制对系统的访问、集中的安全管理及策略执行等。
防火墙的选择主要考虑如下几个方面:系统实施方法多样, 支持代理模式、路由、透明、混合模式;支持基于状态信息的智能过滤, 无须进行上下文交换以及数据复制;对用户和应用应完全透明, 所有的用户和服务器上现存的应用程序都不需要修改。
3.2.3 用户隔离
为进一步保证安全, 特别是特殊部门数据的安全, 如:财务等, 可根据业务类型、资源类型、用户部门、用户权限等, 对局域网内的用户进行逻辑隔离, 使相同的用户处于同一 (虚拟局域网 (VLAN) 内, 不同VLAN内的用户相互访问时进行严格的控制。
3.2.4 安全评估系统
网络安全评估分析系统是专门针对网络安全薄弱环节和漏洞问题设计的强有力的工具。它集中了目前常见的黑客攻击手法。该系统采用防患于未然的办法.通过定期对网络系统进行评估分析, 及时发现问题、给出相关安全措施和建议, 并进行相应的修补和配置, 达到防止黑客攻击的目的。
4 应用层面安全
4.1 防病毒系统
防病毒系统主要防范网内病毒, 从而保证网内所有设备的正常运行。
防病毒安全解决方案:在防病毒服务器上安装服务器端软件, 客户端安装客户端软件。如果所建网络与互联网相隔离, 需网管人员定时手动从网上下载最新的病毒库, 将服务器病毒库进行更新, 然后再分发给各个客户端。如果所建网络连接互联网, 则由病毒服务器定期自动下载最新病毒库, 然后分发给各客户端。
4.2 操作系统
选择安全性较高的操作系统, 即时获得补丁程序, 对操作系统安全漏洞进行弥补。
4.3 信息安全
4.3.1 信息安全环境组成内容
(1) 用户认证。
用户认证在网络和信息的安全中属于技术措施的第一道大门, 用户认证的主要目的是提供访问控制和不可抵赖的作用。用户认证方法按其层次不同可以根据以下三种因素提供认证。
(1) 用户持有的证件, 如大门钥匙、门卡等等;
(2) 用户知道的信息, 如密码;
(3) 用户特有的特征, 如指纹、声音、视网膜扫描等等。
(2) 授权。
这主要为不同用户提供合适的访问权限, 并监控用户的活动, 使其不越权使用。该部分与访问控制 (常说的隔离功能) 是相对立的。隔离不是管理的最终目的, 管理的最终目的是要加强信息有效、安全的使用, 同时对不同用户实施不同访问许可。
(3) 加密。
加密主要满足以下几个需求:
(1) 认证——
识别用户身份, 提供访问许可;
(2) 一致性——
保证数据不被非法篡改;
(3) 隐密性——
保护数据不被非法用户查看;
(4) 不可抵赖——
使信息接收者无法否认曾经收到的信息。
加密是信息安全应用中最早开展的有效手段之一, 数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。在实际的网络与信息安全建设中, 利用加密技术应解决以下问题:
(1) 密钥的管理,
包括数据加密密钥、私人证书、私密等的保证分发措施;
(2) 建立权威
密钥分发机构;
(3) 保证数据
完整性技术;
(4) 数据
加密传输;
(5) 数据
存储加密等。
(4) 审计、监控和数据备份。
系统一旦出了问题, 这部分可以提供问题的再现、责任追查、重要数据复原等保障。
在信息安全模型中, 这几个部分是相辅相成、缺一不可的。其中底层是上层保障的基础, 如果缺少下面各层次的安全保障, 上一层的安全措施则无从说起。
4.3.2 建立证书授权认证管理系统
根据信息安全环境内容, 建立符合PKI体系标准的证书授权 (CA) 认证管理系统, 包括证书签发系统、证书管理系统和证书认证系统三部分。选用经国家密码管理委员会或安全机构认证或推荐使用的密码机、加密网关及相应系统软件, 在专网用户端配置加密卡或IC卡, 实现全省专网系统对分布在各地用户访问控制权限以及涉密信息进行安全管理。
摘要:网络已成为大多数企事业单位的重要基础设施, 网络的安全问题是网络建设中重之又重的问题。如何才能构建一个安全的网络呢?本文从网络建设的物理层面、网络层面、应用层面三个层面入手, 分别描述了每个层面应重点考虑的安全问题, 并对如何解决这些问题给出了建议。
安全系数设计 篇9
我国现行有关规范、地方规程或规定[1,2,3,4,5]~[5]对锚杆的锚筋截面面积及锚固长度的计算公式各不相同, 公式的符号及含义也各异, 例如“锚杆轴向拉力设计值”, 不同规范所指的含义是不同的, 容易使设计人员在设计时产生混淆、误解。各规范对锚筋截面积及锚固长度的计算所采用的安全度也各不相同, 故有必要对各规范的计算公式作出统一的形式, 并对安全系数作出比较讨论。
为便于对比讨论, 作出以下几点假设:
⑴均针对临时性锚杆;
⑵锚杆的重要性等级为一般, 即γ0=1.0;
⑶不考虑锚杆的倾角问题, 即均考虑锚杆轴向拉力;
⑷锚筋统一以钢绞线 (fptk=1860MPa) 为标准。
在对各公式作出统一之前, 先对公式中的符号作出统一:
Nt———锚杆的荷载标准值;
fptk———钢绞线抗拉强度标准值;
fk———水泥砂浆体与岩土层之间的极限摩阻力标准值;
A———锚筋 (钢绞线) 截面面积;
L———锚杆锚固长度;
Ka———锚筋强度安全系数;
Kl———锚杆锚固长度安全系数。
2 锚筋截面积计算公式统一及相应的安全系数ka
2.1《锚杆喷射混凝土支护技术规范》GB50086-2001
2.2《建筑边坡工程技术规范》GB50330-2002
2.3《建筑基坑支护技术规程》JGJ120-99
2.4 广东省标准《建筑基坑支护工程技术规程》DBJ/T15-20-97
2.5 广州市标准《广州地区建筑基坑支护技术规定》GJB02-98
3 锚杆锚固长度计算公式统一及相应的安全系数kL
3.1《锚杆喷射混凝土支护技术规范》GB50086-2001
3.2《建筑边坡工程技术规范》GB50330-2002
3.3《建筑基坑支护技术规程》JGJ120-99
3.4 广东省《建筑基坑支护工程技术规程》DBJ/T15-20-97
3.5 广州市标准《广州地区建筑基坑支护技术规定》GJB02-98
4 各规范的Ka、KL比较及讨论
4.1 各规范的Ka、KL比较
上述规范之Ka、KL比较如表1所示:
从表1可见:
⑴JGJ120-99规范与GJB02-98规范的Ka、KL相同;
⑵各规范的Ka=1.50~1.98之间, 采用GB50330-2002规范计算得出的锚筋截面积最大, 采用DBJ/T15-20-97规范计算的锚筋截面积最小;
⑶各规范的KL=1.50~2.0之间, 采用GB50086-2001规范计算的锚固长度最长, 但专指岩石锚杆。采用GB50330-2002规范计算的锚固长度最短;
⑷GB50086-2001规范的KL>Ka, KL/Ka=1.25, 而GB50330-2002规范的KL
上述比较没有考虑各规范可能存在岩土层摩阻力取值不同的问题。
4.2 讨论
JGJ120-99规范、GJB02-98规范、GB50330-2002规范、DBJ/T15-20-97规范的KL均较接近, 为1.50~1.625, 与国外部分国家或地区及香港地区的临时性锚杆的抗拔安全系数 (见表2) 相接近, 我国工程建设标准化协会行业标准《土层锚杆设计与施工规程》 (CECS22-90) 规定的土层锚杆的抗拔安全系数为1.60, 上海市标准《基坑工程设计规程》 (DBJ-61-97) 采用1.50。从上述各国或各地区实施情况来看, KL=1.50~1.60应该是适宜的。
从表1可看出, 有的规范Ka>KL, 有的规范Ka
值得一提的是, 现行规范中, 多数规范没有强调锚筋与水泥砂浆体的粘结力设计问题。这对于普通锚杆, 一般是没有问题的, 但对于岩石锚杆、扩大头锚杆或扩径锚杆, 可能会存在安全隐患问题, 须验算锚筋与水泥砂浆体的粘结力, 并保证其安全度。
5 结束语
由于行业或规范编制机构不同, 锚杆设计的内容及要求不同, 不同规范对同一名词的解释甚至是不同的, 当参考多种规范进行设计时尤其值得注意。临时性锚杆设计, 应从经济合理的角度来保证锚杆整体受力的安全度, 单方面提高锚杆的局部安全度对整体安全度意义不大, 经济上不合理。对于重要性等级为一般的锚杆, 锚筋抗拉安全系数Ka宜取1.30~1.40, 锚杆体与岩土层的摩阻力的安全系数KL宜取1.50~1.60。
参考文献
[1]《锚杆喷射混凝土支护技术规范》GB50086-2001
[2]《建筑边坡工程技术规范》GB50330-2002
[3]《建筑基坑支护技术规程》JGJ120-99
[4]广东省《建筑基坑支护工程技术规程》DBJ/T15-20-97
[5]广州市标准《广州地区建筑基坑支护技术规定》GJB02-98
安全系数设计 篇10
电机设计与仿真平台是多单位合作开发的一套电机设计综合管理系统。该平台能够实现电机设计过程中从用户需求分析、方案论证、初步设计、技术设计、工程设计到后期整改各个阶段的无缝集成。主要完成如下功能:(1) 根据要求实现过程中的流程定制和管理协同,构建电机设计的任务流程管理数据库;(2) 搭建工程数据管理中心,实现知识数据库、产品模型数据库、仿真数据库等数据的统一管理;(3) 提高数据的共享性和易用性,实现自主开发软件的组件封装和Ansys、Ansoft、Matlab、AutoCAD、UGX等商业软件的集成[1,2,3,4]。根据电机设计的不同阶段和计算仿真分析软件的要求和特点,定义统一数据规范和接口,建立数据关联关系,实现CAD、CAE和CAM软件之间的数据传递。
电机设计与仿真平台集成了企业的核心技术资料,关系到企业的生存与发展,一旦发生关键技术泄露,会对企业造成不可估量的损害。而且,软件目标客户的相关技术无论在国内还是国际上,都具有极高的敏感性,因此,系统的安全设计尤为重要。
系统安全设计主要包括两方面工作:一是系统级安全设计,比如网络架构规划、网络防火墙及病毒防火墙设置、服务器安全策略配置等[5,6];二是平台软件开发中的安全规划与设计。后者是本文论述的重点。
本软件安全设计的主要特点:(1) 充分利用了.NET Remoting的技术优势,完美实现了三层分布式架构下的安全保障;(2) 在C/S架构中引入了B/S架构中的一些安全设计理念;(3) 系统中采用了基于角色的功能权限体系、基于部门和基于项目组的多种数据权限体系,并且综合考虑了权限制约、保密等级、多级审批等安全因素,符合有特殊保密要求的单位部门的安全需求;(4) 尽量采用成熟可靠的安全技术,强调系统安全的整体周全性和综合强度,安全设计不留死角。
1 系统架构的安全设计
1.1 三层分布式架构
电机设计与仿真平台采用三层分布式架构[5,7,8],如图1所示。
数据库、平台服务器、管理中心客户端、工作台客户端部署在网络不同的计算机上,各部分功能特点如表1所示。
系统允许多个客户端同时使用。客户端不能直接访问数据库,必须通过平台服务器进行业务逻辑处理及转发后,才能向数据库查询与提交数据,从物理上将系统的核心部分——数据库隔离出来,从而杜绝了直接通过网络攻击数据库的可能。
1.2 .Net Remoting技术的应用
当前,.Net框架下三种主流的分布式应用方案分别为.Net Remoting、Web Service、WCF。根据平台需求,Web Service效率不高,严重影响用户的使用体验;WCF对服务器与客户端软硬件配置的要求很高,部署维护比较复杂,不符合用户利益;.Net Remoting具有灵活性好、便于编程管理的优点,但内置的安全功能较弱。本文的平台软件开发最终选定.Net Remoting方案,通过自主编程实现软件的安全管理,扬长避短,确保系统安全性的同时增强了可管理性。
.Net Remoting的运行机制[6,9]如图2所示。客户端对象仅仅是服务器对象的远程代理,对客户端对象方法与属性的调用和访问实际上在服务器端执行。因此,可以通过在服务器端编程,实现系统安全的统一和集中管理,有效避免非法用户在客户端对程序和内存进行攻击造成系统破坏。服务器和客户端的通信采用二进制(TcpChannel)模式,不仅可以节省带宽和提高效率,还能大大增加数据被反向还原的难度。
1.3 系统配置管理与主业务分离
本文的电机设计与仿真平台根据目标客户的安全保密机制及产品设计开发管理机制,将系统配置与管理业务功能集中在管理中心客户端,专供系统管理人员使用;针对普通用户的设计开发及办公等主业务功能集中在工作台客户端。管理中心客户端使用对象是小群体的特殊用户,部署初始化时配置工作量很大,但日常使用频率较低;工作台客户端面向大众科研技术人员及技术管理人员,日常使用频率极高,部署初始化十分容易。
这种管理配置业务功能和主业务功能分离的机制,一方面使客户端功能明晰,方便软件开发设计及部署使用,并且能够一定程度上减少程序的资源占用。另一方面,功能的分离使功能权限的控制更加得心应手,可以减少功能权限配置时的误操作和不合理分配,同时杜绝了非法用户通过攻击篡改窃取管理员权限的可能。
2 登录认证机制的安全设计
2.1 用户登录认证和监控机制
图3是实时鉴权流程图。
软件系统中的用户登录安全认证机制,是软件安全设计中十分重要的一环。电机设计与仿真平台服务器软件启动服务后,就会建立一个账户凭证管理池,每个登录账户登录成功后都会在池中对应建立一套凭证,凭证包括一个临时生成的凭证键(GUID Key)、账户信息、功能权限信息、远程主机信息、凭证活动(登录时间、访问时间等)信息等等;客户端成功登录到服务器后,也会从服务器端获取到凭证的客户端副本。管理人员可以从服务器软件界面上监控到当前活动和失效的登录用户的相关信息,并且可以通过日志记录追溯历史登录信息。
凭证池的维护手段包括:账户单点登录管理、单机多账户登录管理、实时认证鉴权机制、超时退出机制、客户端关闭自动注销等。
2.2 日志记录机制
在业务系统中,除了保存业务数据历史副本,用户使用记录主要依靠日志记录追溯。本文的电机设计与仿真平台分为操作日志和数据日志两类,如表2所示。
其中,日志记录查询功能仅向特定用户开放,不会记录机密数据信息,因此无需担心日志泄密。只要结合操作日志和数据日志,就可以追溯到用户对系统所作的所有影响动作,一旦发生恶意破坏系统内容的事件,就可以快速定位破坏源,并通过日志记录逆向操作恢复数据。
2.3 密码保护机制
密码的复杂性要求,也是系统安全设计的一部分,简单的用户密码设置会使攻击者的破解变得轻而易举。在电机设计与仿真平台中,针对系统安全保密的需要,强制要求密码长度不得小于10个字符,且要求字母和数字混用。
为了确保密码的安全,对密码的保存也做了处理。密码加入用户信息进行混淆后计算出Hash值存于数据库;密码验证也是匹配混淆后的Hash值实现,保证了密码既不会从数据库中被窃取,也不会在网络传输中被截获。
为了防止用户从客户端采用穷举法等暴力手段进行密码窥探,软件设定在连续5次输入密码错误后自动锁定登录界面,同时自动将对应账号锁定,需要管理员解锁账号后才能继续登录使用。
3 权限应用的安全设计
3.1 基于角色的功能权限设计
角色是指用户承担的工作岗位。角色决定了用户拥有的功能权限[10,11],如图4所示。岗位和功能权限直接挂钩,是多对多的关系。在电机设计与仿真平台中,通过建立中间关联类——岗位权限分配,使用户和功能权限产生对应关系。岗位可以自由配置,数量及功能权限可通过管理中心配置。岗位(角色)的设置,这种设计大大简化了功能权限分配的工作量,并且更加清晰明了。
3.2 数据权限应用设计
用户拥有功能权限后,还需要对数据访问范围进行针对性的数据权限设置[12]。在本系统中,数据权限的分配主要采用“部门+项目组”机制,并且辅之以临时授权机制。数据权限模型如图5所示。
对于工程资源,数据权限和部门绑定,用户通过其部门特性,可以查阅到所在部门及上级部门的工程资源。对于项目资料,数据权限和主要项目组绑定,一个用户可以分配到一个项目的多个项目组分组,项目组成员可以访问该项目中保密策略为开放的全部项目资料,也可以访问归属该用户参加的项目组分组的保密资料。为了确保工作需要时,非项目组成员访问项目资料的需求,系统采用了临时授权机制,获得临时授权的用户可以在限定时间段内有限访问项目资料。
3.3 涉密等级
工作中的各种技术资料往往有不同的保密要求(密级)。电机设计与仿真平台为每个用户设定了最高涉密等级,并为所有工程资源和项目资料定义了密级。用户访问时,系统会拒绝用户访问密级超过其最高涉密等级的任何资源。
3.4 多级审批确认机制
在管理中心客户端中,为了约束管理员的权限并保证数据的正确性,管理员更改配置后,必须经过安全员核对确认后才能生效。
在工作台客户端中,参照传统办公方式的实际业务处理流程,系统实行多级审批制度。系统的流程模板可以完全自定义配置,每阶段流程最低要求的审批级别也可以自定义。执行时,流程审批从低到高逐级进行,并要求经过不低于最低要求级别审批后,才能结束当前流程转入下一流程。
4 软件技术上的安全设计
4.1 程序集加密
.Net采用中间代码机制,程序编译出来之后并不是机器码,而是一种不依赖CPU 的MSIL中间代码,运行时,先通过JIT编译器实时将MSIL代码转换成特定本机代码,然后再执行。但MSIL程序和程序集极其容易被逆向还原。为了防止程序集被逆向分析遭到攻击,系统使用“{smartassembly}”软件对关键程序集进行了混淆加密处理[13,14]。{smartassembly}软件功能强大,可靠性高。处理后的程序集可以完全避过ILDASM、Reflector、Xenocode Fox等软件的逆向还原。
为了进一步防止程序集被修改和伪装,在程序集的底层框架中采用了签名验证机制。当两个程序集相互调用时,要求它们必须采用相同的签名,否则底层拒绝调用。
加密混淆前后程序集的差异见图6所示。
4.2 数据完整性验证、事务回滚机制
由于业务逻辑都集中在服务器软件中实现,大大增加了业务处理的灵活性和可控性。所有提交到服务器的数据,提交前先在客户端本机做常规规则判断;数据提交到服务器后,经过权限判断后再进行数据完整性验证。对于验证失败的数据,系统将拒绝存储并将错误信息反馈给客户端。验证通过,向数据库写入数据时,若涉及到多表写入或多条记录批量写入,则启用数据库事务模式;一旦中途写入失败,系统将对事务实行回滚,从而保证数据完整正确。
4.3 动态菜单、动态按钮
在同一客户端中用不同的账户登录时,因岗位不同,主界面功能也不同。即使相同岗位的用户,所在部门不同或参加的项目组不同,打开相同功能界面时显示的可操作功能也不同。系统使用动态菜单和动态按钮技术体现了这些差异。界面加载前,先读取分析登录用户的权限,然后编程加载用户的权限菜单和按钮,同时屏蔽用户无权使用的功能菜单和按钮。
4.4 文件上传下载加密及压缩
电机设计与仿真平台投入使用后,会在服务器上存储和使用到大量机密的技术文件。如果这些文件的保密工作没有做好,将造成无法估量的损失。因此,在本系统的软件开发中,对文件的上传下载使用加密技术;同时,鉴于各种技术文件数量多、容量大的特点,为了节省文件上传下载所占用的网络带宽和服务器存储空间,对文件的传输及存储采用了压缩技术。
系统中服务器文件加密可以根据实际需要配置成RC2 / DES / TripleDES / Rijndael中任选一种;文件压缩采用GZIP技术,并且采用非标准文件头格式,避免压缩文件被通用解压软件解压[15,16],经过加密和压缩技术处理后,即使非法用户从服务器端窃取或从网络传输途中截获文件,也难以将文件破解还原。
文件上传前后的文件名对比见图7所示。
5 结 语
电机设计与仿真平台,是专业技术和软件技术结合的典范。其中,软件安全的要求尤其苛刻,是一般软件项目中难以达到的。为此,项目组集思广益,在客户企业中多次调研,并咨询相关领域的专家,几经讨论和修改并确定最终设计方案。该方案主要从系统架构、登录认证机制、权限应用、软件技术等方面进行安全设计,最终做到能够满足并且超出客户的安全需求。
软件已在客户企业投入测试和使用一年多时间,在试用期间,软件通过了使用单位的严格内部测试和相关保密部门的安全入网测试,顺利通过验收并取得安全入网许可,各种使用反馈信息十分理想,完全达到了安全设计的预期需求。本系统安全设计方案必可作为软件安全技术应用的参考,具有较高的实用价值。
建筑结构安全设计初探 篇11
【关键词】建筑安全性;结构设计;安全问题
一、在结构设计中普遍存在问题
1、抗震度设计
抗震度在建筑设计中往往被设计人员忽略的,因为建筑抗震性是在设计中设计人员缺乏经验安全责任意识淡薄导致的,最根本性原因就是没有切实的措施来奖励或重罚他们的法律及相关制度。最终会影响建筑结构设计的水准。大家都知道抗震设计影响到人们的生命财产安全。如果一旦发生地震,楼倒倒那就是普遍现象。
2、安全设计问题
安全设计为了避免安全事故发生所考虑到的设计方案。一般我们在建筑结构设计的时候,主要考虑建筑结构造型美观度,这样会麻痹安全,导致安全事故频发。
另一方面成本因素也是安全设计中存在问题。为了方便和成本节省,没有解决安全要求。例如,我们常在设计的过程中忽略了消防安全的设计,尤其是对高层建筑来说,这个问题更为明显。在现有的高层建筑中,对消防通道、应急通道、防火墙、防火门等,都没有完全地配置好,这样一来,灾难发生时逃生的机会就小了。再者,建筑材料选用上约定俗成的“偷工减料”。譬如在施工中,施工人员用冷轧变形钢筋,本该用规定钢筋可惜这样做危害相当大,因为这样的钢筋脆性大,大大降低抗震性。遇到地震就完蛋了,财产损失无法估量。最后再设计项目中相关数据不吻合,设计中应该保持数据相一致性,做到精益求精。盡量让自己不出现错误。假如出现一点点问题,结构设计问题导致建筑安全事故就会频频发生。
3、设计不合理问题
建筑设计人员自身专业素质也影响着建筑质量,他们往往经验问题等,最终导致建筑结构造成很大安全隐患。例如,一些楼梯(电梯)的数量不够,整个的布局方式也不够合理,使得我们需要使用时,不能发挥有效的作用,对防火安全的效率也没有预想的那么高;我们使用的建筑材料,也没有完全考虑到防火的要求,还是存在着安全隐患的,有些甚至还容易因为外界天气的变化(地震等)而发生变形,从而带来不安全的因素。
现在高层建筑越来越普遍,防震及防风都被忽视,后果严重。我们的一些建筑设计师,在设计过程中,只一味地追求美观而忽视了建筑本身最注重的质量及它的稳定性。在我国,许多大型建筑公司存在的同时,也存在着许多小型的设计公司,这些设计师们的专业知识并不全面,业务水平普遍不高。可想而知,由这些建筑设计师设计出的建筑,内部结构不合理、安全隐患大,是不可避免的。
二、加强建筑结构设计,有效提升建筑结构的安全性能
目前,我们在对建筑结构的设计中存在的一些安全问题,已经有了初步的认识。那么,接下来我们应该如何在实际运用的过程中,做好这一步,也已经做了一些总结,概括一下,有以下几点:
1、遵循国家相关规定,规范设计要求
这些年,我们对建筑行业的一些不规范的行为,已经开始进行严格地整治,国家也相继出台了配套的政策、法律、法规来规范。这些政策、法规,一方面规范了施工企业的一些建筑行为,另一方面,由此带动下,整个建筑行业的行为也得到了很大的规范。因此,作为我们的建筑结构设计人员,更应当顺应社会的要求,在加强自身专业技能的同时,还应该遵照国家的相关法规,从源头确保建筑结构的安全性能。
2、提高设计人员的专业知识
质量为本,在建筑设计中,质量是摆在第一位的。我们的建筑设计人员,更应该把这一点,牢记于心,以负责的工作态度来面对复杂的建筑结构设计。仅仅有良好的工作态度是不够的,最重要的还是要有专业的理论知识,在扎实的理论基础上再进行创新。不管是理论知识还是创新的思想,我们在工作中都要精益求精,不断地总结经验与教训。在大环境发生变化时,我们的设计人员也需要与时俱进,更新自己的知识储备,紧跟时代的发展,有效地降低建筑因为安全发生事故的概率,最大程度地确保建筑结构的安全性。
3、提高设计人员的素质建设
随着我国现代化建设的快速发展,我们对生活品质的要求也越来越高。当然,作为居住条件最主要的建筑工程,也首当其冲,对其提出了更高的要求。这就要求我们的建筑设计人员,要顺利时代的发展,不断地更新自己的专业素养,主要从五大方面来提高:第一,提高计算机的水平,二十一世纪是信息化的时代,不掌握计算机技术,就如同没有了双臂。许多的建筑设计,需要通过计算机软件才能完成;第二,进行设计方面的专业技能培训,专业的设计人员必须持有相应的资质证书,并鼓励工作人员积极进取,适当地实行专业培训与工资等切实利益挂钩,提高员工学习的积极性,同时也提高了建筑安全的设计水平;第三,建立奖罚机制,对于表现出色,能设计出既美观又安全实用的设计人员,进行一定程度上的奖励。相反地,对于那些设计不到位,没有很好地考虑建筑的安全性能的设计人员,进行严厉的处罚,情节严重的,需要移交司法机关进行处理;第四,提高设计人员的待遇,对于专业对口、有一定的工作能力的人员,根据原有的待遇水平,进行一定程度地提高。在吸引人才的同时,也挽留住人才;第五,要有不断创新的精神,与时俱进。社会在不断地发展中,我们对建筑结构的设计也不能一成不变,要顺应时代的发展,提出新的设计方案。
三、结语
建筑的安全性是人生安全及财产安全的头等大事,以前的“楼倒倒”事件已经是血的教训,摆在我们面前。因此,建筑结构设计作为一项十分系统而又专业的工作,要求每个专业技术人员保持清醒的安全意识。这样一为,我们的结构工程师在设计时,就会把安全性摆在首位,为建筑工程质量的提升奠定坚实的基础。
参考文献
[1]宿宗英,赵丽艳.《在建筑结构设计中如何提高建筑的安全性》.科技资讯,2010-02.
[2]苏成江.《浅议建筑结构设计过程中的几点问题》.民营科技,2011-04.
[3]李卫雄.《浅析结构设计中安全度的问题》.今日科苑,2012-04.
作者简介
大型液氨罐区安全设计 篇12
本文根据新规范的要求,结合实际工作,介绍大型液氨罐区的安全设施设计。
1 背景
云南三环化工有限公司经过多年的发展,已成为国内一流的现代化磷肥生产基地。液氨是其主要生产原料,贮存量已超过了《危险化学品重大危险源辨识》中规定的重大危险源临界值,属于重大危险源。
该公司有2台3 000 m3液氨球罐已使用多年。2015年8月25日,国务院安全生产第一督查组对该液氨球罐提出整改的要求,认为:云南三环化工液氨球罐与周边居民区外部安全距离不足,存在重大安全隐患,必须对该罐区进行整改。
我公司受云南三环化工有限公司的委托,以总承包的方式对该液氨球罐进行整改。
2 大型液氨罐区设计
2.1 设计思想
1)按照“安全第一,预防为主,综合治理”的方针,确保装置投产后符合安全、消防、环保、职业卫生的要求。
2)采用成熟、适用、稳妥可靠的工艺技术和先进的自控技术。
2.2 设计方案
1)依据当地的气象资料,本装置采用降温低压工艺:设计贮存压力为1.2MPa,设计温度33℃。
2)根据公司用氨情况,在原有2台3 000 m3液氨球罐的基础上,再建1台3 000 m3事故备用氨罐。
3)为防止因温度升高,导致氨罐压力升高,从而引发安全事故,设置一套制冷冰机系统。
4)从安全、环保、职业卫生的角度出发,设置一套气氨吸收系统。
2.3 工艺流程
工艺流程见图1所示。
1)卸车
汽车槽车送来液氨。在卸车场,将槽车的气、液相口分别与液氨卸车鹤管的气、液相口对接。启动卸车压缩机,将球罐内气相氨抽入压缩机,经压缩机加压后送入槽车;利用压缩机加压产生的压力差将槽车内液氨压入球罐。
2)贮存
槽车内液氨经卸车鹤管进入管道后直接进入液氨球罐中。为避免夏季因温度过高出现的超压情况,在氨站中配备一套以压力为控制信号的氨制冷系统。一旦液氨球罐中的压力超过1.10MPa,氨制冷系统即自动开始工作,将液氨球罐内气氨吸入氨制冷压缩机,球罐内液氨随即发生汽化。气化过程将大量吸收热量,从而使液氨温度降低至安全范围内,以保障球罐压力不会超压。制冷压缩机在液氨球罐温度(压力)降低到一定数值后即自动停机。
由球罐内抽出的气氨,经制冷压缩机加压后,送入蒸发式氨冷凝器中进行冷却液化。冷却液化后的氨返回球罐。
3)液氨输送
球罐内的液氨,由罐下部出来,经全密闭立式屏蔽泵加压后通过管道直接送往各磷铵装置。各装置设有流量控制系统,并且用氨信号与球罐相连,以方便氨站的正常操作和运行。
4)氨吸收
当发生火灾或冰机故障时,液氨球罐安全阀起跳排气。排放的气氨先进入文丘里吸收器,在吸收部分气氨后再进入气氨吸收塔,然后排至大气。吸收后的氨水,在氨水槽暂存后经溢流口排至总排口的废水处理回用装置,并回用到磷铵生产装置。
停车检修时,氨罐区管道内存液排放的气氨,也可经文丘里吸收器和气氨吸收塔吸收后排至大气。
2.4 安全设计
2.4.1 工艺设计
本项目采用的工艺技术较为成熟、可靠。液氨球罐的设计压力取1.20MPa,对应的液氨饱和温度33℃。配备了制冷压缩机,可在球罐超温超压时启动制冷压缩机进行降压降温。
设备及管道充分考虑所选材质的耐低温性能:液氨球罐选用Q345R,涉氨管道选用Q345E。
本项目设置一套氨吸收系统,每个液氨球罐顶部设有2只DN150全启式安全阀。当球罐压力升高过快,安全阀起跳:将气氨排出至氨吸收系统,以达到降低球罐压力的目的,同时防止排出的气氨对周围环境的影响。而且在检修作业时,也可将管道系统内残留的氨排入氨吸收系统内进行回收。
液氨球罐有一个为备用事故氨罐,正常生产状况下不储存液氨。事故时,可将发生事故氨罐中的液氨通过泵与管道倒入备用事故氨罐中,以减小和减轻事故。
整个界区内,包括氨进出管线共设置了20台快速切断遥控阀组。事故时,可利用快速切断遥控阀组,紧急切断阀,以确保正常生产和预防事故的发生。
在每个液氨储罐上均设置温度、压力、液位在线监测仪表及联锁装置,以确保正常生产和预防事故的发生。
2.4.2 电气及火灾报警
采用双回路电源供电,以满足液氨罐区中消防泵等二级用电负荷由双电源供电的要求。液氨罐区为爆炸性气体环境为2区,该区域内所有电气设备防爆等级不低于IIA T1,防护及防腐等级不低于IP65、WF2。
在控制室内设置一套总线式区域火灾自动报警控制器。
火灾自动报警:在氨罐区设有毒气探测器;在配电室、控制室设置感烟探测器;在出入通道口及楼梯间设手动报警按钮,以便在发现火情时能及时报警到控制室;在罐区周围设立柱式防爆型手动报警按钮。设置消火栓按钮,消火栓按钮的动作信号作为报警信号及启动消火栓泵的联动触发信号,由消防联动控制器联动控制消火栓泵的启动。
消防警报:在控制室、配电室等重要及有人值守场所的出入通道口设声光警报器,以便发生火情时提示人员疏散。
按照国家安全生产监督管理总局令40号令《危险化学品重大危险源监督管理暂行规定》的要求,在氨罐区设置一套视频监控系统,以便操作人员对氨罐区全方位监视。
2.4.3 自动控制
设置过程检测仪表、执行元件、DCS(分散型控制系统)和SIS(安全仪表系统),以及有毒气体检测报警系统。实现工艺过程检测、数据处理、过程控制、计量管理、用电设备的状态显示及工艺过程及设备保护联锁等,提高装置自动化水平、保证液氨罐区安全运行。
重要的联锁保护功能组:
1)氨罐温度、压力高高,切断进氨并紧急启动冰机制冷降压;
2)氨罐液位高高超限切断进氨;
3)氨罐液位低低超限时停止输氨;
4)氨罐球罐上部超安全阀起跳压力启动氨吸收;
5)重要机泵保护功能组;
6)螺杆压缩机等成套设备自带安全联锁保护系统,重要的信号等通过MODBUS(通信协议)通讯接口引入DCS系统显示、记录及报警。
2.4.4 消防设计
消防给水采用临时高压给水系统。界区内设置独立消防给水系统,给水干管布置成环状。主管管径DN450,系统压力0.85MPa。消防泵控制柜按新规范《消防给水及消火栓系统技术规范》GB50974-2014的要求,设置了机械应急启泵功能。
在罐上按规范布置固定式水喷雾冷却水系统。在罐区围堰外布置地上式室外消火栓8套供给移动式消防冷却水,设置地上式消防水炮8门作为辅助移动消防冷却水供水。
在压缩机房内根据耐火等级、火灾危险性设置消防软管卷盘,消防软管卷盘间距保证1支到达室内任何部位。同时,在压缩机房和氨罐区配置手提式磷酸铵盐干粉灭火器和推车式磷酸铵盐干粉灭火器,灭火器用来扑救电器火灾、仪表火灾及初起火灾。
消防排水:事故消防排水量为6 912 m3;事故消防排水利用氨罐区围堰收集,一部分储存于围堰内,约6 000 m3,一部分通过雨水排水沟(雨水排水沟上设阀门进行切换)排至老厂区现有事故水池,水池容积2 760 m3,然后回用现有生产装置,不外排。
3 设计优化
本液氨罐区安全设施设计优化主要体现在以下几点:
1)本项目增加了氨吸收系统,用于吸收由于氨罐超压安全阀起跳后排出的气氨,以及在检修作业时可将管道系统内残留的氨排入氨吸收系统内进行回收。这在以往的设计中是没有的。通常,液氨球罐的安全阀是直接排放至大气。本项目增设氨吸收系统,既解决了排出气氨对环境的影响,又对氨进行回收利用,关键是避免排出气氨对环境影响,同时也提高了系统的安全性。
2)本项目增加了一个备用罐,提高了本质安全性,一旦发生球罐及球罐上的附属设施发生泄漏,可以倒到备用罐中,避免事故的发生和减小事故的危害和损失。
3)以前的设计没有机械应急启动装置。本项目按新规范《消防给水及消火栓系统技术规范》GB50974-2014的要求,在液氨罐区消防泵控制柜设置了机械应急启泵功能。保证在控制柜内的控制线路发生故障时,由有管理权限的人员在紧急时启动消防水泵,使得消防泵只要供电正常的情况下,无论控制线路如何都能强制启动,保证了火灾扑救的及时性。
4)以前的设计没有SIS安全仪表控制系统。本项目按照国家安全生产监督管理总局令40号令《危险化学品重大危险源监督管理暂行规定》的要求,以及《危险化学品重大危险源罐区现场安全监控装备设置规范》和《危险化学品重大危险源安全监控通用技术规范》设置了SIS安全仪表控制系统(含ESD紧急停车功能),
实现优先级别高于DCS系统的安全联锁保护功能,进一步确保装置、设备和人员的安全。
5)以前的设计没有设置视频监控系统。本项目按照国家安全生产监督管理总局令40号令《危险化学品重大危险源监督管理暂行规定》的要求,以及《危险化学品重大危险源罐区现场安全监控装备设置规范》,在罐区设一套视频监控系统,以便操作人员对氨罐区全方位监视。满足当地安全监管部门实现远程视频监督管理。
6)本项目还根据《化工建设项目安全设计管理导则》AQ/T3033-2010的要求,在装置设计阶段进行危险与可操作性分析(HAZOP)。通过分析识别设计、操作程序和设备中的潜在危险,尽可能消除设计缺陷,提高装置的本质安全水平。在装置设计阶段进行HAZOP分析对设计具有重要的指导意义。
【安全系数设计】推荐阅读:
强度安全系数05-28
抗滑安全系数05-12
抗裂安全系数06-25
整体安全系数论文08-17
抗倾覆安全系数09-06
深化安全监控模式提高安全系数08-29
延性系数设计法06-01
连续梁桥安全系数研究05-26
边坡稳定性安全系数09-02
反应系数06-24