时间:2023-05-15 15:20:44
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全防护问题,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:电力调度;自动化;安全防护
中图分类号:TM734文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
一、引言
随着计算机技术的普及和互联网的应用,全球各个领域都实现了自动化的控制,信息的传播和资源的共享范围已经跃出了某一个地区的限制,信息网路的一体化是不可逆转的是到潮流。在这其中信息化在电力行业也得到了广泛的应用,并且得到了快速的发展,由于网络的系统的一体化的迷失已经形成,可以形成全行业内部的自己的信息网,所以电网的调度机构主要的技术提供平台也由计算机网络所接替,但是在这种情况下,计算机网络成了我国电力生产的主要模式,并且日益的控制着我国的电力系统,随着国际上有关资料显示,百分之三十的入侵是在有防火墙的情况下发生的,所以电力系统的安全问题受到了极大的重视。本文主要通过对计算机网络发展的特点,从国家电力部分颁布的《全国电力二次系统安全防护总体方案》中的关于电力调度自动化运行中存在的缺点出发,研究有效的保护措施,旨在提高电力自动化调度的安全,保证整个网络的稳定运行和健康发展。
二、电力二次安全防护系统的现状
电网调度自动化系统、变电站自动化系统和电力信息是电业公司二次系统的三个组成部分.下面就针对这三个方面做一简要的介绍
(一)首先是电网调度自动化系统:他的主要作用是数据的猜忌和监控、发电控制、发电计划、存储电网实时数据信息等。组成电网调度自动化系统的的各个部分,都是相互作用相互联系的,其中的某一部分发生了故障都会造成原始数据的无法采集,无法传递有效的系信息,整个系统就无法正常工作,无法提供准确的数据分析材料,造成了一定的判断失去和经济上的损失,所以整个系统是一个密不可分的整体。
(二)其次是变电站自动化系统:它是有三个部分组成的,这三个部分主要是:自动化分站系统、变电站综合自动化系统、自动化当地监控系统。变电站自动化系统的应用是及其广泛的,由于它微机保护、网络监管自动化的程度高,运行稳定,所以在各级的变电站都有应用,他能独立的文成各种操作,而且在整个电网的自动化和运行中都起到了及其重要的作用。
(三)最后是对电力信息系统的介绍:电力信息系统主要的对日常的生产进行的管理,并且主要是由调度管理信息和办公管理信息等很多的子系统组成的,在电力信息系统中各部分对应的子系统单独完成日常的生产工作。由于电力系统中的资源共享,数据大多的直接给用户开放的,所以这也给不法分子以可乘之机,病毒可以直接通过局域网传播达到破坏整个系统的目的。这些病毒足以造成整个系统的瘫痪和电脑的死机。
(四)在电力二次自动化系统中的安全问题
1.双向的数据交互存在于管理区和生产区
2.整个系统的密码保护不健全,没有同意的认证机制 ,遭到入侵也不能在第一时间反应出来
3.没有楼同的扫描和系统的自动修复,受用的垃圾文件得不到及时的清理
4.小一级的地方系统的调度比较麻烦,数据之间的没有形成一定的规则。
三、二次系统自动化安全防护的主要目标
对于目前的二次系统自动化系统的危险主要是来自相互联网的外部的网络,而非自身。网络的黑客和计算机病毒,是当今对计算机互联网中信息的主要威胁,所以,在设计二次系统自动化安全防护问题上,加大对电脑黑客和病毒的入侵是首要的目标,抵御黑客和病毒采用各种媒介和各种手段对电力系统发起的恶意的攻击和肆意的破坏。同时设计二次系统自动化安全防护问题上不断能够抵御单独的病毒的攻击还要防御集团性质的攻击,所以极大岁电力实施闭环控制以及数据的调度的重点保护是主要的,因为任何一个小的故障都有可能引起整个系统的瘫痪,所以二次系统自动化安全防护的主要目标是防止网络黑客或是病毒对系统采取的攻击和入侵;防止未曾授权或是没有任何认证机制的用户访问本系统,亦或是分发的传播、复制大量的非法信息,和进行非法操作;在使用时对于某一个区域,每一个工作点都要实施分区分工的操作自己本地区的电力系统;最后还要对操作人员加强培训和责任心的教育,旨在整个电力系统的安全运行。
四、电力二次安全防护的策略
通过以上对在电力二次自动化系统中的安全问题进行的分析,国家经贸委《电网与电厂计算机监控系统及调度数据网络安全防护规定》,结合全国各大电力工作的实际运行情况,和整个二次安全防护的设计要求,得出结论,主要是从以下的几个方面加强对二次安全防护系统的检测。
(一)首先进行安全分区。应该将整个电力二次系统分为几个不同的安全区,这主要是根据电力二次系统的特点分布的,在不同的安全区内要有各自不同的针对本区的安全防护要求和规定,以此作为标准来制定不同等级的防护标准和安全等级。
(二)其次是采用先易后难,在各个安全区中,根据自身的特点设立属于本安全区的网络安全设备,并对此进行相应的隔离,也是出于对网络安全的考虑,并且根据安全区的不同设置的要求,设置不同的安全策略进行有效的防护。是的整个系统得到有效的保护。
(三)再次实施横向隔离和纵向认证。为了黑客的入侵和病毒的侵害,以及非法的用户肆意的修改、传播、复制有破坏性的信息,所以本系统要设立对于非法的操作和修改行为予以一定的摧毁,起到对本系统实施监控的作用。
(四)最后制定规章制度保护系统的正常运行。为了电力二次自动化系统的安全防护问题,有关部门要定理相应的政策法规,和规章制度,约束工作人员的行为。
五、二次系统的四个安全分区
由于二次系统的复杂性、多样性等特征,其中的所有子系统之间存在着不可分割的关系,所以很难设立一个统一的安全标准来监控整个系统。所以真毒这种情况,我们主要是根据系统中重要性高的或是哟相类似功能和作用,属于同一种安全调配的要划分到一个区域内,根据每个区域的重要性和安全隐患问题出发设立每个区专有的防护要求,从而制定不同的安全等级和防护水平,根据国家电力公司的《电力二次系统安全防护方案》文件,综合我国现在电力网的运行情况和实际的情况出发,将整个电力二次系统分为四个安全区:Ⅰ实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、Ⅳ管理信息区,如下表示:
I区:实时控制区:包括变电站自动化系统;配电自动化系统;广域相量测量系统;调度员中心EMS系统;
II区:非实时控制区:包括水调自动化系统;负荷预测;发电测电力市场交易系统;电能量计量系统;
III区:生产管理区:主要包括信息游览WEB服务器;雷电监测系统;EMS资料平台;气象信息接入;
IV区:管理信息区:包括办公管理信息系统;客户服务
(一)安全区Ⅰ是实时控制区, 包括实时监控系统或具有实时监控功能的系统其监控功能部分,是安全保护的重点和核心,可见在整个系统中占据着重要的角色,电力调度数据网的实时虚拟专用网是这个区域的所使用的网域网,其主要的工作人员是调度员和系统运行的操作人员。
(二)安全区Ⅱ是非控制生产区。这个区域包括的是:系统中不进行控制的部分和不具备控制功能的生产业务系统。电力调度数据网的非实时虚拟专用网是它所使用的局域网。主要的工作人员是系统的运行方式和计划人员。
(三)安全区Ⅲ是生产管理区,,这个区域主要包括的是:生产管理的系统。本区所使用的局域网是电力数据通信网,这是由于本区的系统可以自行提供WEB服务
(四)安全区Ⅳ是管理信息区。这个区域的重要的组成是:办公管理信息系统和客户服务。该区所使用的局域网是SPT net和INTERNER。
(五)经过以上的安全分区吗,在各个分区中需要根据不同的分区的需要建立各自的适应本区的安全强度的隔离装置。安全区的这个隔离装置,必须要使用经过国家或是电力部分的相关印证,并且还要充分的考虑宽带的及时性和整个网络的安全使用性。硬件防火墙可使安全区Ⅰ和Ⅱ之间形成有效的逻辑隔离。物理隔离装置可使安全区Ⅰ、Ⅱ和安全区Ⅲ、Ⅳ之间形成有效的物理隔离。但是在形成相应隔离的过程中,逻辑隔离中安全区Ⅰ和Ⅱ之间的E-mail、WEB等是禁止跨越的。在物理隔离中禁止跨越的是非数据的应用穿透,单向数据传输是物理装置中安全防护强度适应。首先经过安全区Ⅰ、Ⅱ内的进程发起联接的是安全区Ⅲ、Ⅳ向安全区Ⅰ、Ⅱ的数据传输。S P D N E T的实时V P N与非实时VPN是安全区Ⅰ、Ⅱ采用的连接;VPN网络是同一安全区间纵向联络进行连接;电力数据网的VPN是安全区Ⅲ、Ⅳ所使用的。各个安全区是在网络入侵检测系统的基础之上进行部署的,旨在为了保护网络的安全和系统的正常运行。
六、总结
电力系统的安全生产和运行是和计算机的网络安全密切联系在一起的,所以我国的各个区域的电力网络系统的建设和运行一定要按照国家的有关规定和政策法规建立可靠的网络安全体系,于此同时还要建立完善的规范我国电力自动化技术操作的网络安全管理规章制度和网络文明使用条约,并且使用互联网的电力公司都要签订相应的文明公约,并且对于分法的破坏和入侵行为给予严厉的处罚。电力自动化网络系统的建设要做到技术水平和管理水平两手抓,两手都要硬,切实达到保障电力网络安全。随着电力行业的环境、人员的技术水平、电力不断的扩大的应用,调度的自动化的运行环境的发展,对于电力行业的安全和问题解决的方法也存在随时发生着变化,对于电力二次系统的安全要做到不段的完善,不断的开阔新技术、不断的对网络进行维护和系统的修复,要设立严格的加密和用户印证,加强管理,只有这样才能保证整个电力系统的正常高校的运行。
参考文献:
[1]雷云,凌玉华,廖力清.物理隔离在电力系统中的实现[J].微计算机信息,2004,(1):107.
[2]李劲.论述广西电力二次系统安全防护技术原则[J].广西电力,2005,(4):18
【关键词】冬季桩基;桩基施工;安全防护
1.冬季桩基施工安全防护存在的问题分析
1.1缺乏安全管理意识
施工单位作为建筑市场盈利的一方,一般都是站在获取应得利益的角度上看待问题,这一点无可厚非。然而,利益的获取必须有个底线,那就是必须站在施工安全的角度上,冬季桩基施工安全防护更应当。在这一方面,很多施工单位并没有真正将质量管理的意识铭记在心。施工单位之所以缺乏质量管理意识,原因如下:首先是材料成本问题,施工单位为了降低施工成本,施工一方在材料的选择上通常会选择价格比较便宜的材料,因此难免有劣质的建筑材料鱼目混珠,进入桩基施工工程施工的现场,导致工程质量出现问题。其次是施工周期问题,由于施工周期的缩短,往往可以降低大部分的施工成本。众多周知,施工周期体现在施工设计要求上,施工设计是经过商榷、策划、考查、决策才确定下来的,一旦周期缩短,往往会遗漏很多施工细节,虽然进度上去了,质量却大幅度下降。在监督部门的监督下,施工单位对质量问题的工程进行返工,或局部拆除,质量方面又会大打折扣。
1.2施工操作问题
首先是施工前的勘察不到位,施工是根据工程的实际情况和具体条件进行的。在施工之前,建设单位务必对项目的现场进行勘察,找出不利于工程进行的因素,然后反馈给设计单位,从设计的细节上将这些不利的因素剔除。在这一点上,冬季桩基施工的时候,施工单位不严格按照强制性的要求执行,设计单位的专业配合也与之错位,留下了不少质量隐患。在成本最低化和利益最大化的驱动下,施工单位又鲜有愿意花费足够的人力、财力和物力资源去弥补质量空缺者,导致工程质量无法得到绝对保障。其次是施工的监督不规范,工程的监督可以说是冬季桩基工程施工质量管理的最后一道屏障,成败都掌握在监督单位的手中,一旦监督单位的监督落实不到位,存在施工问题的工程将成为漏网之鱼,留下工程后患;监督单位为了兼顾监督的费用,通常降低了监督的频率;监督制度问题体现在制度不完善方面,制度是监督单位按章行事的约束条例,制度不健全,监督责任势必落实不到位;监督人员的综合素质良莠不齐,某些监督人员根本不适应工作的需求,不仅对监督工作流程不熟悉,而且还存在没有获得国家认可的监督资格证书的现象;某些监督人员的责任心不强,疏于监督,对关键的部位遗漏验收,导致整个监督工作形同虚设。最后是施工单位质量管理体系不健全,施工单位是否按章施工,是站在国家相关法律法规的高度上进行操作的。部分施工单位法律意识薄弱,违规操作,没有严格按照设计图纸施工,施工顺序混乱,施工技术落后,甚至出现使用劣质材料和偷工减料的现象后,也没有具体的部分予以检查和处罚,由此造成的工程质量事故不断地在发生。
2.冬季桩基施工安全防护的措施
2.1施工前准备工作
首先是在入冬之前组织专员编写冬季桩基施工方案,编写的时候以工程的经济合理化为核心,一方面要保证桩基工程所需材料和热源等来源的可靠性,确保工程的质量,一方面是尽量减少能源损耗和费用增加,能保证质量的基础上尽量缩短工期。其次是相关工作人员在施工之前,要进行专门的技术业务培训,譬如测温保温、锅炉管理、火炉管理、外加剂添加等方面知识的学习,并明确每个人的职责,经过考试合格后,方可持证上岗。第三是在施工之前与当地的气象部门保持联系,对施工期每天的天气进行提前预报,如果遇到突变气候,应该及时通知施工负责人,以便提前采取必要保护措施,防止恶劣天气突然侵袭。第四是施工方案编制之后,报监理部门审批,然后进行交底学习。最后是在施工之前,对工程项目的施工图纸进行规划设计,并进行反复审核,查看图纸是否符合冬季桩基施工的要求。
2.2钢筋工程施工方法
钢筋工程施工分为钢筋冷拉和钢筋负温焊接两个过程,其施工方法分别为:(1)在适宜温度零下15摄氏度的时候,可实现钢筋的负温冷拉,不过有安全措施作为保障时,可在零下20摄氏度进行冷拉。在冷拉的过程中,温度的下降,伸长率也随着减少,这样一来,将会出现伸长率由于控制应力不变而不足,钢筋强度也就达不到设计标准,因此较于常温在零下温度冷拉控制要有所提高,最好是通过试验将冷拉控制应力控制在30Mpa左右。(2)持有焊工上岗证的人员进行钢筋负温焊接,一般是在室内进行闪光焊接、电弧焊接或者电渣压力焊接,如果非得在室外进行焊接,必须在高于零下20摄氏度的温度下进行,并且要采取措施进行防雪挡风,以减少焊接温度的下降,接头焊接后要避免接触冰雪和雨水等低温体。以下是三种常见的焊接方法:首先是闪光对焊,对焊模式根据钢筋端面的平整度,平整时采用预热闪光对焊,否则采用闪光-预热-闪光焊工艺。其次是电弧焊接,焊接的注意要点是避免焊接接头出现偏心受力情况,同时要注意焊接过热和烧伤等问题出现,以帮条和搭接电弧焊的方法防止接头热辐射区问题骤增,笔者建议进行分层控温,帮条焊时用四点定位焊固定帮条和主筋,搭接焊时用两点固定。再次是电渣压力焊接,这种焊接方法要根据焊接时的周边温度确定焊接电流大小,并以防滑垫置于钢索和钢筋接触处。
2.3工程施工方法
工程施工一般按照“加热-投料-渗入外加剂-运输-关注”的步骤进行,具体如下:(1)加热,优先考虑的方法是加热水,当外界温度降低,可同时加热拌合水、砂子和石子等骨料,这样拌合物就能满足出机温度的要求,具体的加热温度根据热工计算确定,但要在规定要求之内。(2)的投料,投料的顺序与加热条件一致,搅拌投入的骨料和加热的水至40摄氏度左右,再投入适量水泥,并按照规定时间搅拌,在搅拌过程中必须严格控制的水灰比和坍落度。(3)渗入外加剂,目的是为了防冻、减水、引气和阻锈等,一方面是提高的耐久性,另一方面是为了防止早期受冻。(4)的运输,出机后的拌合物,要及时运输到浇筑的地点,运输的时候要利用各种保温措施防止热量的流失,保证的表面不会冻结或者离析等。(5)的灌注,通常采用的是导管法,灌注之前,检查孔口的混凝土的坍落度是否满足水下灌注的要求,只有和易性较好时才能灌注,灌注的过程中,要做好水下混凝土的灌注记录,定时进行标养和抗压强度的测定。
3.结束语
冬季桩基的施工,存在的质量安全隐患制约着安全防护工作的开展。为了有效消除潜在的安全隐患问题,防止施工问题引起的质量安全事故发生,我们要从各个方面对施工现场进行安全检查和整改,同时各施工人员要提高冬季桩基施工安全的责任意识,按照符合规定要求和现场实际情况进行安全施工,对桩基施工的安全问题进行有效控制。
参考文献
[1]梁左生.桥梁桩基冬季混凝土施工控制[J].科技情报开发与经济,2004
[2]李相平,张利华.论冬季混凝土桩基施工措施[J].科技创新导报,2011
[3]刘卫星,欧立新,周维英,田辉.冬期施工钻孔灌注桩混凝土温度测试研究[D].城市轨道交通研究,2010
[4]赵志强.桥梁桩基冬季施工质量保证措施[J].青海交通科技,2003
关键词:现场管理;设备安装;问题
中图分类号:F407.42 文献标识码:A 文章编号:
1.施工现场设备管理工作存在的问题
1.1 设备管理工作中存在着潜在的安全隐患
由于目前建筑市场还不甚规范,管理制度还未完全到位,一部分企业的领导为了追求利润和政绩,千方百计降低成本,必须的设备更新改造资金舍不得投入,致使设备异常陈旧、老化现象较普遍的存在,设备中存在着隐患,埋藏着诱发事故的祸根。
1.2 企业的设备管理工作逐步弱化
企业内不重视设备管理工作这种现象尤其在非公有制的中、小型企业中更为普遍地存在。首先在企业诸多管理工作中,生产经营、安全无疑是被摆在最重要位置上的,而设备管理则成了说起来重要,做起来次要,忙起来不要的“下等”工作。其次,许多企业中缺乏真正既有专业技能,又具备管理协调能力的专项人才。第三,资质高、管理能力强的建筑施工企业目前大都作为施工总承包单位出现,客观上退出了设备管理工作的一线,这也是该项管理工作正在弱化的重要原因。
2.加强机械设备管理工作的建议
机械安全是从人的需要出发,在使用机械的全过程(使用、维修、保养)的各种状态下,达到使人的身心免受外界因素危害的存在状态和保障条件。针对以上几个难点问题,结合施工过程的实际情况提出以下几点解决措施。
2.1 正确选型,合理调配
任何一种机械由于自身的性能、结构等特性,都有一定的使用技术要求。如能严格地按规定合理使用机械,就能充分发挥机械效率,减少机械磨损,延长使用寿命,降低使用成本。对于各项目之间的机械调配问题,做到提前及时的掌握各个施工项目的工程进度与机械设备方面的需求、退场信息,安排好机械设备调用过程中的二次保养维护工作,解决好使用与保养的矛盾冲突。
2.2 正确使用,及时保养,“用养修”相结合
在机械设备的使用过程中,操作人员与指挥人员一定要按照相关设备的安全操作规程正确使用该设备。
同时,应在保证机械操作人员与施工现场指挥人员正确使用机械设备的基础上,为了进一步的预防机械事故的发生,管理部门在“管好、用好、养好、修好”的同时,推行机械设备的风险评价工作。
2.3 做好特种设备的安全检测
特种设备就是与人身、财产安全,人体健康密切相关的承压和载人设备的总成,在生产过程中,比一般性生产设备具有更大的潜在危险性。由于特种设备是属于危险性较大的设备,易发生事故造成操作者本人或他人的伤害,以及机械设备,公共设施等重大的财产损失,为保证其正常运行必须进行定期和巡回检测检验,以避免机械事故的发生,保障生产安全和生命安全。
为认真贯彻“安全第一,预防为主”的安全方针,加强对施工现场上使用的安全防护用具及机械设备的监督,防止因不合格产品流入施工现场而造成伤亡事故,确保施工安全,特制定本制度:
(1)对施工现场使用的各种机械设备设施及安全防护均应进行登记。
(2)新购置的安全防护用具必须具有“三证一书”即:生产许可证、产品合格证、技术监督部门检验报告和使用说明书。
(3)自有及外租设备,必须持有技术监督部门或安全监督局出具的使用许可证,以及安装单位的安装资质证复印件(加盖印章)和安装后的验收合格报告。
(4)施工现场使用的施工机具必须经验收合格后方可进场使用,施工现场设备设施根据具体情况做好防雨、防晒、防潮及避雷保护等措施,机械设备应保持清洁、、紧固、调整、防腐,要有岗位责任制和操作规程。
(5)外租机械设备必须同租赁方签定租赁合同和安全协议,安全协议内容必须齐全。
3.调试正在安装的设备
3.1 风机轴承异常升温
机械设备的风机轴承主要有两种,轴流式风机和离心式风机。其中二者最大的区别是轴承分别在他们的内部和外部,在机械安装调试环节时,风机轴承常常会出现异常升温的状况,这种状况对于不同构造的风机主体来说解决问题也不尽相同。轴承外置的后者遇到此类问题比较容易处理,我们可以凭借经验利用轴承运转时的声音大小、频率、音色等方面来解读轴承升温的原因是否是由于他自身的耗损所造成的。也可以通过身体的触摸或者直接用眼睛观察来检查油的使用情况以及降温设备的运行状态。而第一类风机的检查调试就相对复杂了一些,轴承位于轴承机械箱组里边,我们不能调动身体感觉器官来做出有效的判断,无法简单明了的确定是上述的哪些问题造成的温度异常,但是通过大量的实践研究,并非无法可循。首先,我们要考虑到,我们为风机轴承供油的时候有没有严格的遵循使用说明上的限值限量操作,如果一次性供油超过了限值油量,那么也会造成轴承温度持续上升,但是,我们并不需要为此过度担心,但温度升高超过正常工作条件下的温度十五摄氏度左右的时候,温度将可能自然停止,并且慢慢降到适宜温度,如果温度并没有像我们预期的那样恢复正常,我们就要猜想是不是冷却风机出现了问题,风机的轴承温度在箱内可以达到百度以上,如没有良好的降温冷却措施,我们就没有办法使其正常进入工作状态,可以在风机内部设置安装多组风扇,或者在轴承相对靠近位置安装空气压缩降温装置,温度异常情况下可以开启此装置以降低风机温度。如果以上问题都不在考虑其中,那么在对轴承箱进行检测调试。
3.2 风机轴承振动
机械运动都会产生振动,风机轴承自然也不例外,但是这种振动有时候会给风机不同部位零件造成不必要的麻烦,甚至会产生一些损害。风机的叶片、轴承本身、甚至风道和机械外壳。很大程度上威胁着风机自身的安全稳定运转。
风机轴承振动的原因很多。风机出厂前的一些生产加工流程中出现的误差,材料的质量性能的不达标,加工工艺的粗糙,都会引起轴承工作中的产生振动;风机在安装调试过程中没有细致的校对检验,安装位置有所偏差等等;另外风机轴承有时候承载力超过其承受重力的能力,引起风机机身形变,内部零件出现破损,油使用没有按照使用说明,这些故障同样会引起风机轴承振动。风机轴承出现此问题以后,还会导致机械设备其他部分也发生异常振动,比如说风机的通风通烟管道的非自主性振动。要想有效地调节并控制振动问题带来的困扰,生产厂家以及投入使用者一定要注意问题的所在,及时的应用所掌握的相关经验进行处理,在机械设备投入使用以前就重视起来,使问题不至于扩大到正常的生产运行当中,在安装调试的过程中,检查风机的轴承质量是否出自于安全可靠的生产厂家,容易引起震动部位是否使用了加固方法进行超负荷禁锢,还可以安装相应的减震设备以及振动发生异常时候的监控设备。
3.3 喘振
在风机运转过程中,当流量不断减少到Qmin 值时,进入叶栅的气流发生分离,在分离区沿着叶轮旋转方向并以比叶轮旋转角速度小的速度移动,这就是旋转脱离。当旋转脱离扩散到整个通道,会使风机出口压力突然大幅度下降,而管网中压力并不马上降低,于是管网中的气体压力就大于风机出口处的压力,管网中的气体倒流向风机,直到管网中的压力下降至低于风机出口压力才停止。接着,鼓风机又开始向管网供气,将倒流的气体压出去,这又使机内流量减少,压力再次突然下降,管网中的气体重新倒流至风机内,如此周而复始,在整个系统中产生周期性的低频高振幅的压力脉动及气流振荡现象,并发出很大的声响,机器产生剧烈振动,以至无法工作,这就是喘振。是否进入喘振工况,可根据风机运转的不同情况判断。
结核病实验室生物安全相关的操作规程和国家规定已经很完备,相关文献报道也很多[1-4]。但基层实验室人员由于专业素质参差不齐,很多都不是检验出身甚至不是临床出身,对结核病传播感染知识常常一知半解,要想做到严格遵循相关防护规定必须先知晓结核相关知识:
结核病一般通过空气传播,致病菌被人体吸入后,常定植在血运活跃,含氧丰富部位如肺、肾、骨关节两端,这就形成了肺结核,肾结核和骨结核,基层医院遇到的大部分是肺结核其他结核由于诊断困难往往被忽视。实验室人员常以为自己没有咳嗽、咳痰、乏力及午后低热等这些典型症状就认为没感染结核,其实这只表明不是活动性肺结核,其他结核甚至隐性肺结核感染都不能排除。
很少量结核菌细胞被吸入后,人体就会感染结核,但这些菌细胞会被巨噬细胞吞噬固定形成慢性肉芽肿。结核菌此时并没有被杀灭,只是被暂时固定起来,形成隐性感染[5],此时传染性也小。当人体免疫力低下时如感染HIV[6],这些菌细胞会冲破巨噬细胞束缚而发展成活动性结核。一般来说像医务人员这些高危人群三分之一都可能感染了结核,只不过基本都是无症状隐性感染,由于现阶段对结核隐性感染诊断存在困难,常不被重视,这些隐性感染人群有5%~10%会在今后某个阶段发展成活动性结核,所以结核有高感染,低发病现象。这也解释了基层医院某些高年资实验室人员常说的没有手套和口罩干了一辈子痰找抗酸杆菌也没被感染现象。
结核菌在普通培养基上很难生长,需在罗氏这些专用培养基上才能生长良好,且传代很慢一周才能传一代,这些惰性现象常给我们实验室人员以误导。作为细菌界优秀菌种,结核菌对干燥,强酸和强碱环境有强大抵抗力,往往能存活数周仍有传染性,所以结核检查用的痰标本不能随意丢弃和存放,必须密封保存再灭菌处理。结核菌对实验室常用的75%酒精、含氯消毒剂和紫外线敏感。高压灭菌对基层实验室来说每天使用有点操作繁琐,却是最有效的灭菌方法。
基层医院结核实验检查常见有找抗酸杆菌和结核菌培养两种,结果都有确诊价值,其使用的标本有很强传染性。至于血清学检查使用的血液标本一般认为传染性很低,结果也只能作为参考。上述两项确诊检查基本都归检验科细菌室完成,由于检验科在医院话语权常不高,而细菌室在检验科内部又不是有经济效益的部门,承担相当一部分的都是指令性任务,相关仪器设备及安全防护措施配备上可能都有不足,但这并不妨碍我们开展相关工作,以下就一些防护问题谈谈个人看法:
结核菌相关操作尤其是培养按要求必需在BSL3级实验室才能完成。现阶段县级医疗机构实验室安全防护只能达到BSL2级,这要求我们在操作过程中必须小心谨慎做好防护,如条件允许下应佩戴N95专用口罩,如果没有最好带两到三层普通口罩;所有操作应在生物安全柜中进行,使用完后应开紫外线消毒,做不到应用75%酒精消毒安全柜;下班后应开紫外灯消毒房间,如果有空气消毒机应定时进行空气消毒;如果房间有窗户应开窗通风,不管冬天还是夏天操作时都不建议在空调密闭环境中进行;做好手卫生是最有效也是最简单的防护手段。
基层医院细菌室常设置在一个偏僻独立小房间内,基本只安排一个专职人员,这要求细菌室工作人员首先要有一个良好心态,不能抱怨科室安排,要认识到自己工作价值。找抗酸杆菌是肺结核确诊检查,是其他检查无法替代的,结核培养不仅有确诊价值,其药敏结果还能判断结核菌耐药性变化指导临床用药。其次要加强身体锻炼,改掉酗酒熬夜这些不良生活习惯。
现在虽没有确切证据,但长期从结核病实验室检查人员,感染结核有可能是免不了的,如果发展成有症状活动性结核,应积极争取自己正当权利,因为有些基层医疗结构认为职工不能证明结核感染是在院内还是在院外造成的,所以不认可为工伤。且考虑到结核极易形成耐药[7],一当服用抗结核药物进行治疗,不能因害怕肝肾功能损伤而不按规定长期服药,最后导致多重耐药发生。
【参考文献】
[1]吴宇,李月华.浅谈基层结核病实验室的安全防护建设[J].兵团医学,2013,37(3):64-65.
[2]薛志娟.结核病细菌实验室的安全与防护[J].中外健康文摘,2013,10(13):190-191.
[3]刘春兰.结核病实验室生物安全[J].健康大视野,2013,21(3):596.
[4]刘海燕,李伟娜,肖波,等.基层医院检验实验室生物安全防护分析[J].基层医学论坛,2015,19(19):2652-2653.
[5]张波,伊正君,付玉荣.潜伏结核感染的分子机制研究进展[J].细胞与分子免疫学杂志,2013,29(9):990-992.
【关键词】电力;二次系统;安全防护;策略
作者简介:赵延涛(1975-),男,山东东阿人,技师,主要研究方向:电力系统调度自动化
伴随我国社会经济发展进程的发展,电力系统自动化技术水平也逐渐提高。在电力系统正常运行工作中,电力二次系统安全防护工作,仍然存在发生故障的因素。随着电力系统技术应用的发展,电力二次系统安全防护策略探究,为解决电力二次系统安全工作提供了有效办法。在实际工作中,重视电力二次系统安全防护策略探究的工作,有利于进一步提高电力二次系统运行的安全性。因此,结合电力二次系统安全防护工作的现状,探究其安全防护策略非常关键。
1进行电力二次系统安全防护工作的重要性
近几年,随着我国计算机技术、网络技术以及通信技术的快速发展,电力系统的自动化、智能化水平也逐渐提高。根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生,进一步建立电力二次系统安全防护体系,用以保障电力系统的安全稳定运行,促进社会经济的发展。电网的安全运行,对电力二次系统安全防护也提出了更高的要求和标准。电力二次系统安全运行,对发展和完善涉及到的各系统资源的优化与整合,也具有重要的意义。如何确保电力二次系统安全运行,与电网的安全密切相关,也是电力企业发展中必须重视的问题。同时,电力二次系统安全防护水平,也是保证二次系统信息安全的重要保障。电力二次系统安全防护策略探究,成为电力企业发展规划中的关键问题。因此,在实际工作中,电力企业的有关部门,应综合电力系统运行的实际情况,积极的探究电力二次系统安全防护策略,更好的促进电力二次系统安全防护工作顺利的开展,为保障社会经济的发展及提高人们生活质量,作出积极的贡献。
2电力系统安全防护存在的问题
在实际工作中,为了有效的提高电力二次系统安全防护水平,结合电力二次系统安全运行工作的现状,针对其存在的安全防护问题进行深入的分析,并积极的引进先进的技术,才能从根本上确保电力二次系统安全防护工作不存在严重的安全隐患问题。当前,电力二次系统安全防护工作中,主要表现在操作系统和网络防护方法单一、系统的装配、调试、维修过度以来厂家、电力系统内防水平低于外防水平等几个方面。
2.1操作系统和网络防护方法单一
我们都知道,当前我国的电力系统安全措施,主要是从防火墙与网闸两个方面入手,通过对系统进行预先设定的方式,进行电力系统参数匹配,进而达到有效控制网络信息流向和信息包。但是这种防护方式,不能完全确保电力系统的网络安全性。加之,现今的网络信息防护技术的更新落后于黑客攻击的形式,在系统操作系统和网络防护方法相对单一的前提下,直接导致电力二次系统安全运行工作存在极大的风险。
2.2系统的装配、调试、维修过度依赖厂家
在电力二次系统安全运行工作中,由于系统的装配、调试、维修过度依赖厂家的帮助,致使电力企业部分的相关技术人员缺乏一定的操作技术。在此前提下,当电力系统的装配、调试、维修发生问题的时候,相关技术人员无法在第一时间采取有效的措施解决问题,而是会错过最佳的解决问题时间,等待厂家派来技术人员进行维修或解决问题。系统的装配、调试、维修过度依赖厂家,对于完善电力二次系统安全运行工作产生了极大的不利影响,也无法确保电力二次系统安全运行状态。2.3电力系统内防水平低于外防水平电力系统内防水平低于外防水平,也是电力系统安全防护中存在的问题之一。在电力系统的运行中,各种类型的网络安全装置大多都是限制外部网络信息安全的。相对而言,企业的电力系统内部遭受攻击,而无法得到有效的解决。电力系统内防水平低于外防水平,已经逐渐影响了电力二次系统安全运行工作,并对提高电力二次系统安全运行水平造成了一定的负面影响。因此,为了确保电力二次系统安全运行工作,重视电力系统内防水平低于外防水平这一问题非常重要。
3电力二次系统安全防护策略
目前,为了有效的确保电力二次系统安全防护工作的顺利进行,有关部门已经根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生问题,进一步建立电力二次系统安全防护体系,用以保障电力系统的安全稳定运行,促进社会经济的发展。在实际工作中,结合电力系统的运行工作问题,深入探究电力二次系统安全防护策略,不断完善电力二次系统安全防护措施,对于保障社会经济的发展,具有重要的现实意义。针对电力二次系统安全防护方面存在的问题,我们从加装入侵检测或防护系统,完善二次系统网络安全、加强系统的网络防病毒体以及重视系统的备份工作这三个方面进行。
3.1加装入侵检测或防护系统,完善二次系统网络安全
在电力二次系统安全防护策略探究工作中发现,加装入侵检测或防护系统,完善二次系统网络安全,是其中相对有效的策略之一。在电力二次系统运行中,通过加装入侵检测或防护系统,可以在解决网络信息安全问题的同时,确保电力二次系统安全运行,不断加强电力系统安全防护的水平。加装入侵检测或防护系统,完善二次系统网络安全,将成为电力二次系统安全防护工作中重要的工作方式。因此,在电力系统的运行过程中,技术人员应充分重视加装入侵检测或防护系统,完善二次系统网络安全这一发展策略。
3.2加强系统的网络防病毒体系
为了尽快的完善电力二次系统安全防护工作,加强系统的网络防病毒体系,是目前刻不容缓的工作内容之一。电力企业通过加强系统的网络防病毒体系,控制电力二次系统运行中存在的各种问题,并通过技术分析的方式,得出了有关的控制数据指标,使之可以作为研究电力二次系统安全防护措施的依据。加强系统的网络防病毒体系,是电力二次系统安全防护工作的必然要求。因此,在电力二次系统安全防护工作中,应重点加强系统的网络防病毒体系,确保电力二次系统安全防护工作,可以有效的开展下去。
3.3重视系统的备份工作
在电力二次系统安全防护工作中,重视系统的备份工作,更多的是为了确保电力系统中关键应用及其数据的准确性及完整性,避免由于发生网络黑客攻击,给企业的正常工作造成严重的不利影响。通常情况下,备份数据的方式,关系着数据和系统内的数据及零部件的安全,也是系统数据及系统遭到攻击后,快速恢复数据的重要方式之一。由于备份数据的方式不同,电力系统可以选择用不同的介质进行数据备份,增加备份数据还原的几率。因此,在电力二次系统安全防护工作中,重视系统的备份工作,防患于未然非常重要。
4结语
综上所述,电力二次系统安全防护工作,为我国实现电力系统全面智能发展的奠定了基础。电力二次系统安全防护工作,有效的促进了电力系统的稳步运行。结合我国电力企业的发展状况以及电力二次系统安全防护工作,积极的探究电力二次系统安全防护策略,确保电力系统工作的便捷性、稳定性以及安全性,是电力企业未来发展的目标。因此,在实际工作中,相关工作人员应积极的探究电力技术,不断的提高电力二次系统安全防护水平,促进社会经济的快速发展。
参考文献
[1]王朝琴.电力调度自动化二次系统安全防护研究[J].通讯世界,2014,(23):112-113.
[2]黄睦奇.电力二次系统安全防护策略研究[J].黑龙江科技信息,2014,(36):27-27.
[3]孙克建.电力二次系统安全防护策略研究[J].电子制作,2015,(6):239-239.
[4]卢山.浅谈电力二次系统的安全防护[J].企业技术开发(下半月),2013,32(12):101-102.
[5]崔恒志.电力二次系统安全防护策略研究[D].南京大学,2004.
关键词:军队计算机网络;安全防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5312-02
随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。
1军队计算机网络安全形势分析
1.1形势的严峻性
信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。
1.2威胁的多元性
军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。
1.3事件的突发性
计算机网络安全威胁往往具有潜伏性和不可预测性,对被攻击方而言安全事件呈现出极强的突发性,被攻击方往往会丧失宝贵的防御时间,为信息安全事件处置带来极大的挑战,计算机网络安全威胁中的很多事件还没有被察觉,就已经造成不可预料的损失。目前,计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口,一旦敌对势力在特定的时间激活恶意程序,就可以在我们毫无察觉的情况下瞬间发起攻击,造成整个系统的瘫痪。
1.4处置的艰巨性
信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。
2军队计算络安全存在的主要问题
计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:
2.1网络安全防护意识比较淡薄
目前,部队计算机网络建设普遍受到高度重视,但是有些单位仅仅看到网络建设带来的显著效益和便利,而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看,国外计算机网络安全防护投入占整体投入的10-20%,我国仅占到2-5%,不足国外的四分之一,军队在此方面的投入也明显不足。同时,受长期和平环境影响,“有密难保、无密可保”的思想意识普遍存在,对网络安全问题关注不够,思想意识比较淡薄,影响到计算机网络整体安全防护建设的发展。
2.2网络安全防护建设相对滞后
我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。
2.3网络安全防护标准尚未健全
当前,我军陆续颁布了一系列与网络信息安全相关的法律法规,但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如,对军队网络安全体系建设标准中部分设备、系统未进行明确;安全防护等级虽已明确,但配套手段还没有统一进行明确,无法达到最佳防护。同时,制度标准的落实情况也令人堪忧,有令不行、有禁不止的现象随处可见,这些都对军用计算机网络系统带来了巨大的安全隐患。
2.4网络核心技术受制于人
虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。
3加强军队计算机网络安全防护的对策措施
计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。
3.1强化人员安全防护意识
强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。
3.2建立健全安全管理机制
针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。
3.3构建安全技术防护体系
重点加强四个体系建设:一是安全监察体系。建立健全网络安全监察机制;配套建设计算机网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力;配备安全管理系统,实现对全网安全策略的统一管理和控制;加强安全服务保障体系建设,提供病毒库升级、补丁分发、安全预警等安全服务,通过各系统的综合应用,提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,防止非法用户侵入或合法用户不慎操作所造成的破坏;加强实体鉴别,保证用户在获取信息过程中不受干扰、不被假冒,确保用户终端实体的可信;加强身份认证,为设备、用户、应用等颁发数字证书,并提供数字签名、身份验证、访问控制等服务,防止非授权接入和访问;加强终端保护,进行终端操作系统的安全加固,防止非法登录网络,保证终端资源的可控;提供病毒防护功能,适时查杀病毒、检查漏洞;提供主机入侵检测功能,防止对终端的攻击行为,从而全面建立终端防护体系,为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准,综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析,客观分析网络与信息系统所面临的威胁及其存在的脆弱性,对安全事件可能造成的危害程度进行科学的定性定量分析,并提出有针对性的防护对策和整改措施,全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设,明确应急响应处置方法及原则;充分考虑抗毁性与灾难恢复,制定和完善应急处置预案根据安全级别的要求来制定响应策略;建立容灾备份设施系统,规范备份制度与流程,对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份,确保系统崩溃以后能够在最短时间内快速恢复运行,提高信息网络的安全性和抗毁性。
3.4发展自主信息安全产业
自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。
军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。
参考文献:
[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).
[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).
[3]吴世忠,江常青.信息安全保障基础[M].北京:航空工业出版社,2010.
1.1物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3.结语
关键词:电力系统;智能终端;安全挑战与风险;安全防护
0引言
为应对全球节能减排、能源综合利用效率提升的挑战,发展能源互联网成为推动后危机时代经济转型、发展低碳经济的重要手段[1]。能源互联网的建设使得现代电网向开放、互联、以用户为中心的方向发展,实现多类型能源开放互联、各种设备与系统开放对等接入。2019年,国家电网有限公司提出了“三型两网”的战略发展目标,在建设坚强智能电网的基础上,重点建设泛在电力物联网,以构建世界一流能源互联网。泛在电力物联网将充分应用移动互联、人工智能等现代信息技术和先进通信技术,实现电力系统各个环节万物互联、人机交互,打造电网状态全面感知、信息高效处理、应用便捷灵活的能力。泛在电力物联网的建设主要包括感知层、网络层、平台层、应用层4个部分,其中感知层重点实现终端标准化统一接入,以及通信、计算等资源共享,在源端实现数据融通和边缘智能。在此背景下,智能表计、新一代配电终端、源网荷友好互动终端、电动汽车充电桩等多类型电力系统智能终端在电网中得以广泛应用[2],成为连接电力骨干网络与电力一次系统、用户的第一道门户。电力系统智能终端作为能源互联中多网“融合控制”的纽带节点,实现了电网监测数据的“本地疏导”以及电网对外控制的“功能聚合”[3],其安全性直接关系到电网的安全稳定运行,研究电力系统智能终端的信息安全防护技术意义重大。
针对电力系统信息安全防护问题,自2002年起中国提出了以网络边界隔离保护为主的电力二次安全防护体系[4],有效保障了电力监控系统和电力调度数据网的安全稳定运行。电力二次安全防护体系制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略,重点强调了通过内网隔离保护的方式确保电力二次系统的安全防护[5],然而对新形势下电力系统智能终端的安全防护并未考虑。一方面,与传统信息安全相比,泛在电力物联网中各环节数亿规模终端具有异构与分散特性,后天标准化的终端自身安全防护理论与技术难以获得,如何兼顾实时性和安全性双重约束进行电力系统终端自身安全防护成为需要考虑的问题,电力系统智能终端自身安全性保证需求迫切。另一方面,随着泛在电力物联网建设推进,电力系统智能终端广泛采用无线传感网络等公共网络与电网主站系统进行通信[6],在电力二次安全防护体系隔离保护边界外形成具有泛在互联、开放共享特性的边缘计算网络。这必然会将网络攻击威胁传导至电力系统本体,使得因网络攻击造成的大停电风险陡增。
为应对以上安全威胁,2014年国家发改委和能源局了《电力监控系统安全防护规定》[7],要求电力生产控制大区设立安全接入区,对使用无线通信网等方式纵向接入生产控制大区的电力系统智能终端进行网络隔离。因此,在当前网络攻击手段呈现高级定制化、特征不确定化的严峻形势下,如何解决异构多样、数量庞大的电力系统智能终端边缘接入过程中的网络攻击实时监控发现和防渗透成为需要考虑的另外一项重要问题。
为此,本文围绕电力系统智能设备安全互联需求,首先分析电力系统智能终端业务特征和信息安全风险,明确电力系统智能终端信息安全防护特性;在此基础上,本文总结提出了电力系统智能终端信息安全防护面临的关键技术问题;然后,设计构建了覆盖芯片层、终端层、交互层的电力系统智能终端信息安全防护研究框架;最后,对电力系统智能终端信息安全防护关键技术进行了展望。
1电力系统智能终端信息安全风险
近年来网络空间安全事件频发,国家级、集团式网络安全威胁层出不穷[8-10]。电力等重要基础设施领域成为“网络战”的重点攻击目标之一,信息安全形势异常严峻[11]。2010年“震网”病毒事件中,西门子可编程逻辑控制器(PLC)终端受病毒攻击导致1000多台离心机损毁,使得核电站瘫痪。2015年乌克兰停电事件,以终端为攻击跳板瘫痪电力控制系统导致,成为全球首例公开报道的因黑客攻击导致大范围停电事件[12]。以上事件均表明,电力系统智能终端已成为攻击电网的重要目标和主要跳板[13],面临着严峻的信息安全风险。本文从信息安全防护的保密性、完整性、可用性3项重要目标角度出发[14-15],结合电力系统智能终端的组成结构和业务特征对信息安全风险进行分析,具体涉及芯片层、终端层、交互层3个方面,如图1所示。
1)芯片层:电力系统智能终端芯片自主可控性和安全性不足,在非受控环境下面临后门漏洞被利用风险。
2018年Intel芯片漏洞事件,爆出Intel芯片存在融毁漏洞以及幽灵漏洞,利用该漏洞进行攻击,可获取用户的账号密码、通信信息等隐私,智能终端均受波及,电力系统智能终端芯片同样面临漏洞、后门隐患的巨大问题。随着电力系统智能终端的开放性逐渐增强,与外界交互范围逐渐扩大,电力系统智能终端芯片安全性的不足逐渐凸显,主要表现在电力系统智能终端芯片自主可控程度低、芯片安全设计不足,导致当前电力系统智能终端存在“带病”运行,漏洞隐患易被攻击利用造成安全事件。为此,需要在芯片层面提高电力系统智能终端芯片的安全性,从芯片层面提高电网的安全防护能力。
2)终端层:异构电力系统智能终端计算环境安全保证不足,存在终端被恶意控制破坏的风险。
据数据统计表明,目前中国电网已部署各类型电力系统智能终端总数超4亿,规划至2030年接入各类保护、采集、控制终端设备数量将达到20亿。各类电力系统智能终端覆盖了电力“发电、输电、变电、配电、用电、调度”等各个环节,终端形态各异且业务逻辑差异巨大。终端复杂多样的嵌入式硬件计算环境、异构的软件应用环境和多类型私有通信协议等特性,使得其安全防护尚未形成统一标准。各类终端安全防护措施和水平亦参差不齐,在面对病毒、木马等网络攻击时整体安全防护能力薄弱。同时,电力系统智能终端在研发、生产、制造等环节无法避免的漏洞后门隐患也存在被攻击者利用的巨大安全风险。随着电力系统智能化水平的不断升级,各类型电力系统智能终端越来越多地承载了大量异构封闭、连续作业的电力生产运营应用,运行可靠性、实时性要求较高。电力系统智能终端一旦遭受恶意网络攻击,将可能导致终端生产监测信息采集失真,甚至造成终端误动作引发停电风险,传统事后响应型的终端被动防护技术无法满足电力安全防护的需要。因此,确保电力系统智能终端软硬件计算环境安全的标准化防护技术,以及事前防御型的主动防御技术研究需求迫切。
3)交互层:电力系统智能终端广泛互联互通导致网络开放性扩大,引入网络攻击渗透破坏风险。
泛在电力物联网的建设,其核心目标是将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务。以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。因此,泛在电力物联网环境下的电力系统智能终端将广泛采用电力无线专网、NB-IoT、北斗定位、IPv6和5G等无线、公共网络与电网主站系统进行通信,使得电力系统智能终端的通信交互形式将呈现数量大、层级多、分布广、种类杂等特点,极大地增加了遭受网络攻击的暴露面。无论是电力系统智能终端,还是主站电力系统,被网络攻击渗透破坏的风险均进一步增大。在当前网络空间安全异常严峻的形势下,新型网络攻击手段不断衍变衍生,呈高级、定制化、持续性发展,尤其是面向工控环境的攻击更具有高度定制化、危害大的特点,使得电力系统智能终端通信交互过程中面临着新型网络攻击被动处置的局面。例如在乌克兰停电事件中,黑客通过欺骗电力公司员工信任、植入木马、后门连接等方式,绕过认证机制,对乌克兰境内3处变电站的数据采集与监控(SCADA)系统发起攻击,删除磁盘所有文件,造成7个110kV和23个35kV变电站发生故障,从而导致该地区发生大面积停电事件。
综上可知,电力系统智能终端面临的芯片层、终端层信息安全风险主要由终端芯片、计算环境安全性不可控和漏洞被利用等原因造成,可归纳为终端“自身安全”问题。交互层信息安全风险产生的原因主要为电力系统智能终端在互联接入过程中存在被渗透攻击可能性造成的,可归纳为“攻击防御”问题。
2电力系统智能终端信息安全防护技术问题剖析
为了解决电力系统智能终端“自身安全”和“攻击防御”问题,国内外学者开展了诸多信息安全防护技术研究,主要从传统信息安全的角度探索密码技术在终端自身数据保护、通信协议安全、安全接入传输方面的应用[16]。然而,受制于当前中国的芯片自主可控水平限制,以及电力系统智能终端异构多样的复杂计算环境和高安全、高实时运行特性限制,加之网络攻击特征不确定的混合约束,电力系统智能终端的整体安全防护尚存在待突破的技术问题,具体如下。
1)技术问题1:覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题。
根据安全风险分析可知,解决电力系统智能终端“自身安全”问题,必须实现芯片安全和终端计算环境安全。
在电力系统智能终端芯片层,面临的安全隐患表现为芯片各层次防护理论和技术无法满足安全需求。然而,当前电力系统智能终端采用了大量先进工艺条件制造的芯片,此类芯片主要由国外掌控,自主可控程度很低,其安全性保障技术更是存在空白。随着中国自主先进芯片技术发展,电力系统智能终端芯片在实现自主可控的同时应充分考虑芯片的安全防护,同步设计、同步发展。首先需从芯片设计理论的安全建模方面进行技术突破,确保理论层面的可证明安全。其次,应突破电路级、CPU内核以及片上内嵌入式操作系统等芯片核心组件的安全防护技术,从而构建芯片全通路安全防护技术体系。在电力系统智能终端计算环境安全方面,由于电力系统智能终端异构多样、资源受限、长期运行,传统终端被动式、个性化安全技术无法适用。因此需开展结合芯片层面的终端安全技术研究,构建适用于电力系统智能终端不同硬件架构、不同系统环境、不同应用环境的标准化安全防护框架,且能够在网络安全事件发生前、发生时确保终端计算环境的安全性和完整性,最终形成电力系统智能终端的普适性主动免疫技术体系。
2)技术问题2:攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断问题。
解决电力系统智能终端“攻击防御”问题,重点需突破电力系统终端远程接入交互过程中的攻击监测和防渗透技术。然而,电力系统智能终端点多面广、业务系统专业性强、互联网络组成复杂度高,且三者间相互耦合,而针对电力系统的网络攻击呈现定制化、隐蔽化和高级化等特点,难以清晰描述基于零日漏洞的高级持续性网络攻击的机理和特征,不同电力系统智能终端、系统、网络在攻击下的表现不一,因此无法单一根据攻击特征进行识别和阻断。传统监测手段缺少对电力业务场景的安全建模,监测数据源仅涉及CPU内存等基础资源状态和基础网络流量,未面向电网业务流、专用协议和应用特征进行深度监控与分析,难以精确、深入地感知电力系统智能终端系统安全状态,需要探索终端安全精确感知与攻击阻断技术。同时,在电力设备广泛互联后,边缘侧安全防护能力不足,需突破混合电力业务可信边缘接入与多级安全隔离技术。
3电力系统智能终端信息安全防护技术研究思路
针对电力系统智能设备安全互联的需求,以解决电力系统智能终端“自身安全”和“攻击防御”问题为核心,本文提出了覆盖“芯片层、终端层、交互层”的3层安全防护研究脉络,构建电力系统智能终端安全防护技术研究模型,如图2所示。
具体来说,首先需解决“覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题”,从芯片层安全和终端层安全开展关键技术研究,以确保电力系统智能终端自身安全。在芯片层,需开展芯片电路级安全、专用CPU内核、片上内嵌入式操作系统安全等3方面技术研究,为电力系统智能终端计算环境安全提供满足安全性、实时性要求的电力专用芯片,为终端主动免疫能力构建提供基础。在终端层,需从终端计算环境安全、应用安全、通信安全角度,重点研究具有主动免疫能力的电力系统智能终端内嵌入式组件和控制单元技术,并研制具备主动免疫能力的电力嵌入式组件、控制单元和终端。芯片层研究和终端层研究的成果共同解决终端主动免疫问题;同时,终端层将为交互层提供终端安全监测数据,并向交互层终端边缘接入防护提供业务场景和接入需求。
在此基础上,为解决“攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断”的问题,需从交互层安全开展关键技术研究以确保外部攻击防御。具体来说,面向主动免疫终端的互联应用场景,研究提供网络监控防御和安全交互保障技术;从终端状态感知、攻击识别、威胁阻断等3个监控与防渗透必要环节,研究终端、业务、网络多维融合状态感知、关联电力业务逻辑的深度攻击识别、终端网络联动的威胁阻断技术,实现终端安全威胁精确感知与阻断,为电力系统智能终端提供网络攻击防渗透决策控制服务。同时,研究电力系统智能终端的统一边缘接入场景安全防护,为终端的边缘接入安全、数据安全和隔离保护提供技术支撑,为具有自免疫能力的电力系统智能终端的边缘接入提供安全传输通道。
4电力系统智能终端信息安全防护关键技术
下文将从芯片层、终端层、交互层等3个方面对电力系统智能终端安全防护需突破的关键技术展开阐述。
1)芯片层安全防护关键技术:芯片电路级可证明安全防护技术和内核故障自修复技术。
针对复杂环境、先进工艺条件以及新型攻击模型带来的一系列芯片安全问题,研究覆盖电路级、CPU内核以及嵌入式操作系统的具有完全自主知识产权的电力芯片安全技术[17]。满足电力系统终端对电力专用芯片的高安全、高可靠、高实时性要求。
首先需要进行芯片级安全防护理论研究,针对集成电路器件的信息泄露产生源问题[18],具体理论研究方法为:研究先进工艺下电流、光、热等物理信息的产生机理[19],掌握其内在物理特性和工艺间的关系;分析芯片电路元件的组合物理特性,以及多元并行数据在信息泄露上的相互影响;在芯片内部特征差异和外部噪声环境下,研究先进工艺下电力专用芯片物理信息泄露的精准建模方法,构建普适性物理信息泄露模型;研究可证明安全的泄露信息掩码、隐藏技术以及抵御高阶分析和模式类分析的防护技术,提升芯片安全设计理论与方法;研究层次化芯片安全防御体系架构。通过研究芯片运行电磁环境监测、运行状态监测、多源故障检测技术,实现芯片的环境监测和内部监测。研究CPU指令流加密和签名、平衡电路构建、数字真随机数电路等技术,实现芯片内部数据的存储加密、总线扰动、电路掩码。提出可证明安全的自主知识产权芯片电路级防护方法,满足电力专用芯片的高安全要求。
在理论研究基础上,需基于可证明安全的芯片电路级防护方法进行芯片电路级防护实现技术研究。首先,基于自主知识产权的CPU架构,研发带有高安全、高可靠特性的CPU内核,并对以上技术进行仿真验证,研究形成CPU内核故障自修复技术,满足电力专用芯片的高可靠性要求;然后,确定仿真验证可行性,并采用以上关键技术研制低功耗、高速特性的电力专用芯片,开发适用于电力应用的片上内嵌入式操作系统,满足电力专用芯片的高实时性要求。
最后,对研制的电力专用芯片和内嵌入式操作系统进行全套模拟测试,以确定满足后续电力智能终端的开发应用。通过芯片层安全研究方法确保电力专用芯片满足安全防护要求,实现功耗电磁隐藏、数据命令掩码、电路屏蔽,以抵御模板攻击、电磁注入攻击等新型信道攻击、故障攻击、侵入式攻击。具体研究框架如图3所示。
2)终端层安全防护关键技术:融合可信计算和业务安全的异构智能终端主动免疫技术。
针对电力智能终端异构、资源受限条件带来的终端易被恶意控制和破坏的风险,提出研究融合可信计算和业务安全的异构智能终端主动免疫技术。首先,根据电力多场景业务应用情况,分析各类电力系统智能终端的安全防护需求,提取异构智能终端的主动免疫需求特征;然后,根据异构终端的主动免疫需求特征,研究建立适应电力系统智能终端的普适性主动免疫安全架构。①在硬件安全架构技术研究方面,针对电力终端特性研究基于电力专用芯片的电力终端可信根[20],实现对电力终端操作系统、业务应用程序的可信量度,保证终端状态的可信[21-22];设计以可信根为基础、以嵌入式微控制单元(MCU)为应用的终端可信逻辑硬件架构,研究端口安全访问机制和接口驱动安全机制,实现终端的主动免疫能力。②在软件架构技术研究方面,针对电力终端在数据交互、访问机制、检查机制、审计机制方面存在的漏洞,研究数据安全保护机制[23],保证各个应用和各部分数据的独立安全;研究满足电力系统需求的安全访问控制机制,外层访问和软件平台之间的安全检查机制;研究适应外层、软件平台访问的安全访问审计机制。
在电力系统智能终端普适性主动免疫安全架构基础上,为实现终端计算环境安全、业务应用安全和对外通信安全,提升多种场景下异构电力系统智能终端的安全防护能力。需开展系统安全访问、数据安全保护、信任链构建、可信量度与可信管理、可信证明与可信证据收集、数据安全交互、核心功能保护、快速恢复及通信完整性保护等方面的关键技术研究,建立适应电力系统异构终端的普适性主动免疫体系。具体研究框架如图4所示。
3)交互层安全防护关键技术一:面向不确定攻击特征的终端威胁精确感知与阻断技术。
针对电力终端接入和互联过程中的攻击监测、异常处理与安全防护需求存在的问题,研究基于“异常监测—阻断响应—安全防护”的交互层安全技术。
首先,研究多级分布式监测与防渗透架构,构建监测布点机制和终端防渗透模型:①针对典型电力终端业务场景,分析不同场景的脆弱性和安全威胁,研究基于业务场景的终端网络渗透路径;②对终端系统中已有的安全防御措施进行建模;③综合防御模型与终端网络渗透路径,形成不同业务场景的监控与防渗透模型。
其次,针对网络渗透攻击特征的不确定性,需研究终端、业务、网络多维融合安全状态建模与感知方法,建立各维度安全状态基准,采用异常特征抽取技术获取各类攻击和异常特征的映射关系,反向推导可能发生的渗透攻击,实现异常识别。在终端安全状态感知方面,需分析多源异构嵌入式电力智能终端硬件资源、可信模块、配置文件、关键进程等运行状态特征,构建面向终端状态异常行为的分类和诊断模型,实现对多源异构终端的有效异常感知。在业务安全状态感知方面,开展基于协议深度分析的业务异常感知的研究。分析电力协议的格式规范、业务指令特征和操作逻辑,对协议进行深度解析并提取指令级特征[24];分析单一数据报文的合规性,识别畸形报文;分析组合数据报文,还原业务操作行为,实现对违规行为的异常感知。在网络安全状态感知方面,从通信路径、通信频率、流量大小、流量类型等多维角度分析电力终端流量特征[25],并融合归一化处理,以自学习的方式确定行为基线,实现流量异常识别。
在此基础上,针对电力系统遭受渗透攻击后的准确有效响应需求,结合各类电力系统业务场景,研究基于特征提取和模式识别的攻击关联分析方法,构建概率关联模型和因果关联模型,对攻击特征进行关联分析[26],作为攻击识别技术的支撑基础。对具有较显著特征的攻击行为,构建多模式快速匹配模型,实现攻击的快速匹配识别,对特征相对不很显著的复杂攻击行为,利用机器学习,实现攻击的有效检测。
最后需研究防渗透策略管理和隔离阻断技术,形成网络和终端设备的策略下发、执行和优化等综合管理方法;对于被入侵的高风险终端,产生终端隔离策略或网络阻断策略,对于受影响终端,生成风险规避策略。并需要研究策略优化、冲突检测、冲突消除算法,实现融合“终端隔离”与“网络阻断”的多层协同防御策略,最终基于攻击危害评估的隔离阻断技术实现攻击的抵御和消解。具体研究框架如图5所示。
4)交互层安全防护关键技术二:电力系统智能终端互联场景下终端边缘安全接入和混合业务隔离保护技术。
首先研究电力系统智能终端边缘接入体系架构和安全防护体系,为电力监控系统、智慧能源系统、能源计量系统的终端互联安全提供基础支撑。
在此基础上,针对电力系统智能终端互联、混合业务统一接入场景下,海量多样化终端的合法快速接入认证问题,需采用分布式授权接入控制、轻量级验签等方法,研究快速接入认证技术;在轻量级公钥、私钥研究的基础上,提出轻量级签名算法以及公钥对生成算法[27],通过软硬件结合方式构建轻量级的验签体系,支撑系统的实时验签处理。实现终端分布式授权和高速安全接入认证。同时,需针对不同边缘侧业务、环境、时间、跨度,实现不同安全需求的边缘侧认证授权技术,即在知识库、规则库构建的基础上,基于自学习方法构建完整的电力系统边缘计算认证因子体系[28],实现多种认证因子共存的“白名单”最小化授权认证。
针对边缘接入过程中的数据安全防护问题,需研究轻量级密钥更新和数据安全处理与质量保障技术,实现全实时数据安全防护。首先设计密钥管理、协商、更新机制,重点研究混合业务分级分类安全存储、高速接入场景动态协调存储方法,满足数据高速增量存储。在此基础上,研究高性能的安全多方计算方法,实现实时数据流的安全、高速处理和隐私保护,在计算能力和带宽约束条件下解决数据篡改、数据失真等安全问题,并在边缘计算能力和带宽约束条件下实现数据清洗、融合、治理,定量化提升数据质量。
最后针对多业务互联过程中的业务隔离困难的问题[29],需结合资源虚拟化调度和切片技术,研究多业务安全隔离技术,选择合适的切片粒度和生命周期,平衡切片的灵活性和复杂性,实现多业务共享资源的切片式安全隔离,支持混合业务可信敏捷接入与多级安全隔离。同时为了确保业务连续性不受影响,充分利用不同通道的优势,需采用通道切换的方法进行多模通道自动倒换,实现通道使用优化,提高业务接入和备份能力,确保业务状态不中断。具体研究框架如图6所示。
5电力系统智能终端信息安全防护能力测试验证技术
电力系统智能终端信息安全防护需要多方面的关键技术,目前国内外尚无适用于电力系统智能终端业务环境的安全性测评验证技术。本文尝试从安全防护技术集成优化、实验室测试验证、多业务综合试验验证等3个方面,对电力系统智能终端信息安全防护技术有效性进行分析和展望。
1)安全防护关键技术集成优化。电力系统智能终端安全防护涉及了芯片层、终端层、交互层3个方面,相关技术在应用过程中需兼容电力不同业务系统应用场景、防护要求及措施的差异。同时,需要兼顾与各业务系统在功能模型、性能指标、安全策略等方面的匹配性,考虑与已有防护策略的优化集成应用需求,以支撑芯片层—终端层—交互层安全防护技术的整体研发与应用。
2)安全性实验室测试验证。为满足电力系统智能终端信息安全防护技术有效性验证需求,需基于电力业务系统运行场景模拟,研究安全防护能力的实验室测试技术,构建终端安全性检验测试平台,实现安全功能符合性、穿透性测试。此外,需研究考虑不同攻击密度、攻击特征及目标定位的攻击用例,构建安全攻防验证平台,实现主动免疫电力系统智能终端及安全监测与防渗透系统安全功能的有效性测试。
3)安全性综合验证评估。综合考虑实际业务环境中的负荷特点、供电可靠性要求等因素,在安全防护技术应用到生产环境后,为对相关安全技术有效性以及业务影响性进行测评验证。需考虑通过红队攻击和专家组验证等方式,采用终端自身攻击、纵向通信攻击、主站下行攻击等方式,验证主动免疫电力终端、终端安全监测与防渗透系统、边缘计算安全接入设备的安全功能有效性,并评估对业务系统实时性、正确性、可靠性等方面的影响及对现有防护体系的提升能力。
1、建立完善的法律法规制度,强化网络信息安全监督管理机制
完善有效的法律法规制度是保障信息系统安全的重要依据和保障,只有网络信息系统安全防护受到相关法律法规制度的支持与管理,安全防护问题才能从根本上得到解决。国家必须要加强对网络信息系统安全工作的重视程度,安全部门制定科学合理的技术标准与操作规范,保证行业标准中的关于网络信息安全的相关内容认真贯彻落实。
强化网络信息安全管理机制,不管是国家安全防护部门还是企业安全管理部门都需要强化安全管理意识,改善安全管理机制,完善对信息系统安全性能的考核与监督维护。完善网络信息安全监督管理机制,建立相对完善的监督跟踪体系,没有访问权限的用户闯入信息系统之后,应进行严格的监督和跟踪,防止信息系统内部资料数据外泄。
2、完善信息系统安全防护体系建设
信息系统安全防护体系建设包括防火墙隔离技术、网络设备控制技术、路由器控制技术以及安全入口接入控制等方面。具体来说,防火墙隔离技术是通过设置防火墙安全对内部管理信息系统与外部网络开放程度进行控制的过程,能够有效地防止外界病毒、木马程序等不安全因素的入侵。网络设备控制主要是指接口设备的安全性设置,对一些存在有安全隐患的服务进行选择性的关闭,确保接入信息系统的终端设备都是安全、可信的。
对于一些信息系统中存储的重要资料或者敏感信息,应该加强安全防护措施,利用访问权限、设备登陆等进行多样化的防护。另外,还可以建立网络信息系统预警监测机制,与权限访问制度相结合,发现不明身份或者不具有访问权限的用户进入信息系统时,立即发出警告信号,同时向信息系统管理者反馈信息。除此之外,健全信息系统风险评估机制,安全防护部门定期对信息系统管理人员进行信息安全方面的考核,在此基础上寻找信息安全防护中存在的缺陷和漏洞,及时采取补救措施[2]。
综上所述,网络化信息化已经成为当今世界发展的趋势,信息系统已经被广泛的应用于国家管理、企业经营以及人们的日常生活之中,并且在一定程度上改变了原有的社会经济发展模式。但是,在信息系统广泛应用的同时,安全防护问题逐渐暴露出来,引起了社会各界的关注。对于信息系统安全防护问题,需要国家建立完善的法律保障机制,各类使用者完善自身信息系统安全防护体系建设。只有这样才能真正解决安全防护问题,才能促进信息系统取得进一步发展与完善。
作者:白鹏 单位:重庆市信息通信咨询设计院有限公司
【关键词】医学检验;教学实验;生物防护
【中图分类号】R446-4
0.引言
在我国相继出现的实验室感染事件中,为医学检验实验教学中的生物防护敲响了警钟,尤其是实验室感染上要足够的重视,在实验室教学工作中,安全是首要位置【1】。由于医学检验实验教学课程的特殊性,实验的工作对象是病人的标本,都存在着生物传染的风险,如何提高生物安全防护意识,让操作人员不被病毒感染,环境不被感染,是每个医学检验学生的必修课。因此,生物安全防护教育对医学检验主业学生具有极其重要的意义。
1.医学检验实验教学中生物安全问题
在医学检验教学中,学生应严格按照要求进行实验操作,才能获得深刻的印象,对理论知识进行巩固与复习,良好的应用到实践中去。由于实验工作对象主要是病人的标本,包括人体的分泌物、体液、血液等。具有多种传播性疾病,具有较高的传染风险。如果学生操作没有严格按照标准进行,将非常容易造成传染的可能。
2.临床检验实验教学中生物安全防护的现状
2.1生物安全防护意识淡薄
根据实践调查,有66%的学生不懂得如何处理职业暴露后,38%的学生不知道如何使用防护用具,有64%的学生对自我防护措施仅仅只是了解,而不知真正应用,73%的学生把课本带入实验台,不能脱离书本M行操作,64%的学生在实验过程当中经常玩手机,有24%的学生偶尔在实验室内吃东西。部分学生对无菌观念认识不足,参加实验课不认真,对理论知识不知如何运用,实验操作后的菌液直接导入下水道等,由此可见,学生的自我防护观念非常淡薄。【1】
2.2生物安全防护制度不完善,生物安全防护设备不足
虽然国家已经颁布了多项实验室管理的法律法规,但对于实验教学中依然存在很多问题,没有制定相关的安全防护规则,没有认识到实验教学中生物防范的重要性,对于实验教学中可能遇到的安全问题没有给出相应的标准,对医疗过程中废弃物没有做好相应的处理,临床检验教学实验室生物安全防护设备简陋。
3.生物安全防护措施与解决方法
3.1加强生物安全防护知识的教育
加强生物安全基础知识的必要性,有资料显示【2】,有的医护人员中,大多数教师不了解防护知识的基本知识。这种现象导致我国学科建设理念有着很大的差距,由于我们医学教育的不够完善,导致很多检验人员没有专业的检验知识,对生物安全缺乏了解,对生物安全的危险性不够重视。特别是很大一部分临床实习生对工作中的专业知识不够全面,对新的工作环境、工作流程不够熟悉,以及清洁工人医学知识的不够,导致自我防护意识缺乏,但是他们又是接触感染无最多的人员。因此,必须将培训工作放在他们身上。加强医学实验室生物安全知识的学习补充,使他们重视生物安全的危险性,加强培养专业的生物知识,从而防止病毒感染的危害。
3.2提高生物安全防范意识
实验室应制定相关的安全制度,认识到生物安全的重要性,对实验室中意外产生的事件,有效对培养医院人员处理方法,熟练掌握各种仪器、设备的操作,熟练运用生物安全装备,如:生物安全柜、防护服等。加强对生物安全措施及操作流程的培养。应当按照严格考核标准对人员进行考试,合格后才能上岗。才能提高安全防范意识。
3.3加强技能培养。
在形成了基本防护意识之上,再加大力度,对实验室人员安全防护技能进行培养,让检验人员成为合格的专业人才。特别是清洁工人、临床实习等采取现场培训,这种培训形式有着事半功倍的结果。
3.4重视基础设施建设
生物安全管理工作的重要环节包括清洁与消毒。只有这方面做到位了,才能保障生物安全管理的正常运行,才能在安全的环境中工作。在购买仪器设备时需对生物安全性进行严格的审查,保证设备仪器的安全,才能从源头上保障生物安全的环境。
3.5完善实验室管理制度
实验室的生物安全防护工作还需进一步的加强,有效完善实验室管理制度,必须严格制定相关的制度,如对人员的培训制度、登记制度、安全检查制度等必须严格落实。对安全防护流程操作手册与应急处理的事项进行严格的审查,为了使制度取得有效的成果,应适时的采取有效的奖惩制度,对优秀的人员进行鼓励,从而使工作人员认真履行制度,真正把管理工作落到实处。
3.6实验室生物安全的操作规程
对实验室生物安全的操作流程制定严格的规则,对一项检验项目的操作制定明确的操作流程规定。流程应根据实践中存在问题进行合理的调整与完善,对实践中存在的问题与薄弱的环节实施协调。
实验室的主要标本为血液、体液标本,也是试验中传染性最大的物质,需重视血液体液在检验中的安全隐患。尤其是乙肝与艾滋病等病毒的出现,对每天与血液、体液打交道的检验人员有着很大的威胁。因此,这就需要引起足够的重视,检验人员在采集标本的时候,应该严格按照生物标准,尽量减少直接接触标本的可能。应使用与仪器匹配的设备进行检验工作。避免产生间接性与直接性接触标本,降低安全隐患。同时,对工作人员的个人防护工作做好准备,在适时注射不同的疫苗,增强防护意识,才能制度和防止传染源头。【3】
4.结语
医学检验试验存在着诸多的安全问题,是所有医学院所面临的严峻现象。应有效的实施相应的对策,加强安全防范知识教育、提高防范意识、完善管理制度等方面进行防护,保障生物安全防护工作落到实处。
【参考文献】
[1]王丽兰,全裔. 医学检验实验教学中生物防护的探讨[J]. 检验医学与临床,2012,16:2094-2095.
【关键词】图书馆;计算机网络;安全防护
图书馆计算机网络安全主要就是其网络系统中包含的硬件、软件与相关数据等能够得到有效的保护,避免在偶然发生或者恶意的原因对计算机网络产生破坏、更改等问题,使得网络系统能够保持正常的运行状态,保持网络服务的畅通,不断提升图书馆计算机网络安全等级,达到网络信息的最大化的共享,为读者提供更好的服务。
一、高校图书馆计算机网络实体安全防护
1、图书馆计算机网络机房物理环境的安全防护。
实体安全主要考虑场地、设备的安全,对实体访问进行控制,图书馆计算机网络实体安全主要指对计算机系统环境、场地、设备、载体、人员等采取安全措施。首先是图书馆的场地安全,指的是中心机房,它是图书馆运行的关键组成部分,对进入机房的工作人员应该实行严格的管理,应该对那些非工作人员进行限制。在具体的中心机房运行中,要制定相关的工作规范,最大程度的减少非工作人员进入的机会,应该与图书馆的其他功能区域分隔开来,辅助区应该设置在机房的外面,形成一道进入机房的关卡。而且在位置的选择上也应避免将其建设在潮湿的底层,顶层因为容易侵入也不是首选。如果一个楼层办公室数量较多,机房应设置在一个边角位置,在防护与撤离方面会比较方便。另外,机房内设置的空调设备能够对其空间内的湿度、温度等进行有效的调控,确保计算机网络的正常运转,通常机房内温度应保持在20摄氏度左右,相对湿度则应保持在50%左右,同时还要对机房进行防尘与除尘,增加防静电地板的铺设可以使计算机网络工作不受到静电的影响。
2、图书馆计算机网络电源接地与防盗防火的安全防护。
计算机网络的运行离不开电源,图书馆内的计算机需要使用具有保护装置的不间断电源工具,这样能够有效的避免出现电源中断或者电压瞬变、冲击等问题,在计算机的接地系统中电位的设置应该将参考点定为大地,接地是零电位,这样能够让计算机的数字电路拥有较为稳定的低电位,为计算机硬件、数据以及人身的安全提供保障。另外,在计算机网络的安全防护中还应该注意防盗与防火的问题,机房应该严格设置防盗系统,对机房所有的门窗进行加固处理,然后通过全场监控系统对机房进行实时的监视,提高机房的防盗等级。对机房设备维护管理的相关制度规范严格的遵守与实施,对容易出现火灾的隐患部位进行更加细致的检查,完善防火应急方案,对相关的工作人员的应急能力进行培训与提升。
二、高校图书馆计算机网络安全的硬件与软件防护措施
硬件与软件共同组成了计算机网络系统,实现图书馆计算机网络安全的一个重要方法就是进行计算机网络的硬件与软件防护。硬件防护顾名思义就是对计算机网络系统中的硬件设施实施的一系列的安全防护手段,比如CPU、设备、缓存等硬件,也可以通过硬件的增加提升计算机的安全防护能力。硬件防护相比软件防护来说更加的稳定、可靠,也是图书馆计算机防护技术实施中重要的一个环节,尤其是对于其中那些重要的数据与系统来说,需要结合硬件与软件防护两种手段,确保其运行环境的绝对安全,主要的硬件防护手段包括输入输出通道管理、储存器保护以及虚拟内存保护等等。
三、高校图书馆计算机网络的互联网安全防护措施
现代图书馆的运行与互联网之间存在的密切的关系,比如会使用互联网进行信息的检索、信息的接收发送等,人们也更加习惯使用互联网进行信息的查询,但是互联网中存在的不安全因素非常多,因此在使用中应该更加注意对其进行安全防护。设置防火墙就是比较有效的安全防护措施之一,它是由硬件与软件设备共同组合形成的安全系统,会存在于内部网络与互联网之间,外界的用户如果没有经过授权那么就会被防火墙阻止进入内部网络进行访问,起到一个安全屏障的作用。防火墙的设置应该具有数据包过滤、服务以及网络地址变换等功能,一旦出现可疑的情况能够报警并显示详细的信息,提高了安全防护的效果。
四、高校图书馆计算机网络的病毒防护措施
在防止计算机病毒造成网络安全危害上,除了用户有积极的防病毒意识外,比较有效的方法是安装杀毒软件,防病毒软件可以查杀多种系统环境下的病毒,有查毒、杀毒范围广、能力强的优势。防病毒软件在运行中还需要进行及时的更新升级,对不断出现的不同类型的病毒进行有效的查杀,并且它还具备实时的监控功能,计算机网络在启动、运行的整个过程中就都可以得到安全的保护了。在实际的安全防护工作中,可以将防病毒软件的使用与防火墙的设置相结合使用,可以将杀毒软件的功能附加到防火墙之中,使其增加防病毒的作用,实现病毒与图书馆内部网络的有效隔离。综上所述,图书馆计算网络安全防护中包含安全培训、电磁防护等多种措施,实际的安全工作属于一项复杂又需要不断变化的系统工程,计算机网络安全防护涉及到图书馆网络建设以及发展的整个过程,是一项需要长期坚持的工作,应该始终对其安全防护进行重视,进行技术更新,确保技术、设备等的投入充足,提升图书馆计算机网络安全防护的质量,为图书馆各项工作的顺利开展提供支持。
【参考文献】
[1]林志军.图书馆计算机网络安全与防护措施[J].现代图书情报技术,2004(S1)
[2]秦久英.数字图书馆计算机网络的安全防护技术研究[J].考试周刊,2015(77)
关键词 财务网络 信息安全 防护
中图分类号:TN915.08 文献标识码:A
随着我军财务网络规模的不断扩大和财务信息资源的急剧增长,网络互通、平台互连、资源共享已成为财务建设发展不可缺少的重要组成部分;在我军财务网络信息基础设施建设方面取得一批重大成果的同时,“重建设、轻防护”、配套防护措施不够完善、自主产权安全防护技术体系缺乏等问题严重制约了我军财务网络信息建设发展步伐。因此,加强我军财务网络信息安全防护能力研究显得刻不容缓。
1财务网络信息安全防护存在的问题
1.1网络信息安全管理机构不够合理,领导体制迫需健全
目前全军涉及网络信息安全领导管理的有多个机构,尚未形成高效、一致的防护合力。总部机关有关部门职责分工不能完全适应新的形势任务要求,存在条块分割、职能交叉以及安全管理“空白地带”的现象。大单位没有专门网络信息安全保障工作组织机构,部队又缺少网络信息安全保障的专职管理人员。在跨领域、跨部门协调任务越来越重的情况下,现行领导管理体制不能完全适应当前时展的要求。
1.2网络信息安全法律法规不够健全,防护机制迫需完善
一是法律体系缺乏完善性。现行涉及网络安全的法律法规在制定过程中缺乏纵向的统筹考虑和横向的有效协调,虽然数量不少,但内容重复,也存在法规“空白地带”。二是法规体系缺乏具体性。现行的安全法律,法律更多地使用了综合的禁止性条款,没有具体的许可性条款和禁止性条款。这种“大一统”的立法方式,往往停留于口号上,难以适应信息网络技术的发展要求。
1.3网络信息自主研发能力不够高,技术缺乏主动权
目前,CPU、主板上的芯片等硬件的核心技术,均不掌握在国内,存在外国情报机构有意埋伏安全陷阱的可能。部分软件的后门程序很多都是软件编程人员为了自己方便而设置开发的,一般来说外人无法了解,但是一旦被解破,所造成的后果不堪设想。在网络信息自主研发的资金投入力度、重视程度、政策制定、人员培养等方面,同国外发达国家还存在一定的差距。
2提升财务网络信息安全防护能力的对策
2.1建立健全财务网络信息安全机构体制
从顶层整体规划、统一指挥与管理抓起,在国家网络信息安全中心机构的领导下,设立军队信息化建设的技术安全部门,以我军信息化建设总体战略规划为导向,制定出主要的军事安全保密政策,并负责数字化战场上秘密信息和敏感信息的安全保密管理。其次,在总部、军区以及相关院校设立网络信息资源控制或保密管理机构,可在现有编制体制的基础上,由一名首长挂帅,专门成立一个网络信息安全管理部门,接受上级安全管理部门和本级领导部门的双层领导,主要负责制定、审查、确定网络信息安全措施,协调、检查、指导网络信息安全措施的落实、收集、分析、处理,制止网络信息安全事故及发现存在的安全隐患。
2.2逐步完善财务网络信息安全防护法规
一方面要健全保密法规体系。根据形势的发展变化,高度重视加强财务网络信息安全防护法规制度建设,尤其应加快技术法规标准的建设步伐,积极适应新军革和网络信息技术的飞速发展,顺应国家、军队有关法律的最新变化,及时调整、充实,确保财务网络法规能够紧跟发展步伐、不断进行更新。另一方面要保证保密法规的落实。广泛开展军事安全防护法制宣传和教育,提高全社会特别是人员的安全防护法制观念。综合运用行政和技术手段开展经常性监督检查,突出对重点单位、要害部位、核心秘密以及对外交流工作中安全防护情况的检查,严格检查标准,注重检查时效,发现问题,限期改正,确保工作到位、制度落实、行为规范。严格安全防护纪律,严格依法查处泄密事件,严厉打击窃密、泄密违法犯罪活动,以维持安全防护法律法规的权威性和严肃性。
2.3加快财务网络信息安全防护技术研发
军队财务网络信息安全防护不仅需要机构体制、防护法规,还需要加快防护技术研发。由于军队财务网络信息安全防护毕竟是技术问题,最终还要靠技术来解决,所以加大军队财务网络信息安全防护的投入以及研发力度,由总后勤部财务部分管财务网络信息安全的二级部统一组织实施,依托有关院校、部队网络信息安全方面的专家教授,选定一些关于军队财务网络信息安全的课题进行攻关,尽快取得有价值的研究成果,以指导军队财务网络信息安全的深入发展。
2.4改进优化财务网络信息安全防护机制
首先,要建立风险评估机制。在总部建立风险评估机构,组织抽调信息化业务部门、军队财务信息化机构和军地相关专家顾问组成评估小组,拟订并论证相关的信息安全标准、法规和政策,明确各自的职责和角色。同时,加强与地方专业评估机构的交流与合作,依托国家、地方以及院校等有权威的信息机构,在加强研究风险评估理论的基础上,积极、及时地更新或开发具有自主知识产权的风险评估工具,由相关部门认证后投入使用。其次,要建立防护演练机制。通过安全防护演练,验证信息安全策略的合理性和网络系统的安全性,不断发现和寻找网络信息安全的薄弱环节,以达到固强补弱的目的。在军内组织网络分队进行对抗性演练,聘请军地网络专家充当“黑客”,不仅可以查出军队财务网络存在的漏洞,还可以检验我军网络分队处置紧急情况的能力,提高我军财务网络信息安全防护的能力。
参考文献
