关键词:
安全准入(精选十篇)
安全准入 篇1
关键词:临水区域,安全,环保,准入
1 引言
随着我国经济的持续发展和城市化进程的加快,化学品产业目前已形成了一套完整的运作体系,从化学品的生产到化学品的使用、经营、仓储、运输,各行业规模均产生了很大变化。特别是近十年间,一些沿江、沿海经济相对发达的地区利用自身优势,大力发展化工园区,形成了化学工业群。目前,沿长江的七省二市分布着几十个正在建设或规划将要建设的化工园区,这种发展态势也造成了我国绝大部分化工企业都分布在临水地区的特点。
据数据显示[1],截至2006年底,江苏省有各类危险化学品从业单位38000多家,其中绝大多数分布在沿江、沿海、沿河、沿湖地区。我国化工企业的这一发展模式虽然从一开始带来了很好的经济效益和社会效益,但随着化学品产业的继续向前发展,也暴露出很多问题,其中安全、健康和环境等方面的问题尤为突出。
近几年来,沿江、沿海、沿河、沿湖(简称“四沿”)地区化工企业的火灾、爆炸、泄漏、中毒事故,以及化学品的环境污染事故频频发生,某些事故损失特别严重,影响特别恶劣。由此可见,目前我国化学工业的安全生产形势十分严峻,与飞速发展的化学工业水平相比,相应的安全监督与管理则比较落后,化工企业的市场准入门槛低,尤其是四沿地区缺少具有针对性地化工投资项目准入制度[2]。
准入门槛低,新建化工项目安全设施“三同时”制度落实不到位。化工建设项目准入制度还不完善,工艺选择、设计、施工、安全自动化水平、人员培训等方面还没有严格的安全准入标准。许多化工园区特别是县级政府规划的化工集中区起点不高,招商准入门槛较低,大批工艺技术不安全、能耗高、污染重的小化工在园区落户,一些未经项目安全审查、没有安全保障的小化工装置陆续建成投产。这些小化工安全保障能力差,投料试生产过程安全事故时有发生,从而使得安全生产压力增大[3]。
通过上述化工安全管理存在的主要问题分析,再结合现阶段我国化工企业的发展现状,我们不难看出隐藏在其背后的一个事实:现阶段的化工企业市场准入门槛过低,四沿地区的化工企业缺少具有针对性的准入制度。
2我国现行邻水区域化工建设项目安全环境准入门槛存在的主要问题
2.1 生产系统、布局、工艺与安全环境管理方面
危险化学品和剧毒化学品生产项目存在一定的事故风险,一旦在生产过程中或运输过程中发生有毒有害物质泄漏,将对周围环境造成严重危害。因此,此类项目的布局和选址要充分考虑周围环境的敏感性,应避开重要的生活饮用水源和人口稠密区以及国家和地方重点保护的区域[5]。
但现状中存在诸多不尽合理的布设,从国家环保总局对外公布的全国化工石化建设项目环境风险排查结果显示,总投资近10152亿元的7555个化工石化建设项目中,81%布设在江河水域、人口密集区等环境敏感区域,45%为重大风险源。在化工项目的项目选址上,目前尚未明确规定哪些区域不能建设危险化学品和剧毒化学品生产项目;列入国家《产业结构调整指导目录》中淘汰类、限制类的新建项目,排放致癌、致畸、致突变物质和恶臭气体的建设项目,尚未明确规定不得在邻水地区建设。
2.2区域环评和环保规划以及应急救援预案和系统尚未有明确规定
目前,环保部门的权限只能对单个项目进行环评,没有权限对某一区域或产业规划的环评进行审查,很难从整体上预防环境风险。从单个项目来看,都基本符合环保要求,但挤在一起,地方的资源和环境肯定承载不了[6]。
对于应急救援预案,企业和县级以上各级政府已要求应急救援预案,但邻水的化工集中区域的应急救援预案和系统尚未明确要求。而邻水的化工集中区域多数离县级以上各级政府较远,县级以上各级政府的应急救援预案无法对此区域发挥作用,一旦出事故,需要企业外的支持就无法实现。国内多起事故与化工企业外的应急救援不力而导致事故扩大,造成环境污染。
安全条件的审查仅要求应建立应急救援预案与系统,然而,企业自行建立的应急救援预案与系统是否能满足发生重大事故后应急救援效果却不知,这样,不少企业建立的应急救援预案与系统就形同虚设,导致事故扩大。此外,应急救援预案与系统的评价尚未明确要求,且应急救援预案与系统未考虑企业周边及社会应急救援的响应系统等内容。
化工事故的事故严重程度均较高,不少企业内部对于重特大事故应急救援能力不足,应急救援预案与系统未考虑企业周边及社会应急救援的响应系统等内容,将导致事故影响范围扩大,损失增加。
2.3生产系统与工艺的安全性、装置自动化水平、清洁生产标准未明确要求
先进的化工生产工艺是实现本质安全的最有效手段之一,可以积极地防止事故的发生。化工装置及配套设施的安全可靠性也非常必要,其自动化水平的高低也是反映企业本质安全度的一个重要指标。而现行的各类条件审查中,特别是邻水型化工项目,尚未要求其所采用的生产系统与工艺的安全性应达到何种水平、其装置自动化水平及可靠性应达到哪些标准。
清洁生产是指不断采取改进设计、使用清洁的能源和原料、采用先进的工艺技术与设备、改善管理、综合利用等措施,从源头削减污染,提高资源利用效率,减少或者避免生产、服务和产品使用过程中污染物的产生和排放,以减轻或消除对人类健康和环境的危害,对环境保护是根本性措施之一,而实际上很多企业自行进行的清洁生产审核都不严肃[7]。
2.4 投资规模要求较低,且无法考证实际投资规模
一般来说,投资规模大,其投资企业实力越雄厚,工艺与设备越先进,其生产系统和工艺安全性就越高,可用于安全的投入就相对多,管理水平也相对高,越有利于事故预防。
化工企业一般关联度高,产业链多。邻水区域对安全和环境应有更高的要求,加之目前邻水区域安全和环境的严竣性,而目前的《产业结构调整指导目录》及地方法律法规尚未考虑邻水区域的特殊性,现行投资规模要求相对是较低的。
另外,现行准入制度中仅在可行性研究报告中审查投资规模,之后就没有环节审查了,结果是不少企业在可行性研究报告的投资规模与实际建成生产的投资规模相差较大,无形中又增加了安全隐患。
2.5危险化学品生产及第一类易制毒化学品生产项目的设计、安全评价、环境影响评价、施工等单位资质未有明确规定
在化学工业生产中,安全事故和环境污染事件的发生往往与危险化学品、第一类易制毒化学品密切相关。危险化学品泄漏以后,极有可能引起火灾和爆炸事故,危险化学品及第一类易制毒化学品会污染大气和水源,造成人员中毒。加强危险化学品及第一类易制毒化学品项目的设计、安全评价、环境影响评价及施工管理是防止危险化学品及第一类易制毒化学品危害的重要手段之一,对这些生产项目的新建投产作出特殊的规定十分必要。
2.6 企业安全管理水平未有明确规定,且无法考证
大量实际企业的安全成绩表明,企业安全管理水平高,则事故少,反之则多。目前安全准入程序中尚未有投资企业安全管理水平审查等内容要求,项目竣工验收安全评价、竣工验收安全审查未考虑项目安全管理水平验收内容,对事故预防是不利的[8]。
安全管理缺陷是化工企业事故和环境污染事故的大敌,投资构成重大危险源的危险化学品生产项目的企业及第一类易制毒化学品生产项目企业应有很高的安全、环境管理水平。而目前反映投资构成重大危险源的危险化学品生产项目的企业及第一类易制毒化学品生产项目企业安全、环境管理水平,如安全管理体系、环境管理体系、投资企业主要人员的素质和安全培训条件、安全生产责任事故记录和环境污染责任事件记录、安全管理机构、安全投入情况等,未作出规定。
2.7 安全准入审查与程序方面
安全准入程序中尚未有建设项目生产系统与工艺安全先进性科学论证、安全技术措施方案优选、选择的主要装置或设备或设施与危险化学品生产或储存过程的匹配情况审查、投资项目名称与化工生产实质内容的一致性进行审查分析等内容要求。
对于某个特定的事故隐患,其安全措施往往有多种方案可选,由于安全认识的差距,很多企业对安全措施处于应付检查状态,安全措施也往往随机的选了一种,其结果是降低事故可能性并非为最佳,安全经济性也非最佳。这样既不经济,安全效果又不最佳,对事故防范很不利。
目前准入制度的不完善,未进行投资项目名称与化工生产实质内容的一致性审查,且目前的安全评价、安全审查通过率很高,安全评价、安全条件审查的分析内容没有规定采取安全措施前后建设项目各种化工事故发生的可能性与危险程度应达到何种水平也是原因之一。结果,存在较大安全与环境隐患。
3 对策与措施
(1)对于邻水区域的开发必须有总体发展规划,总体发展规划必须有专业资质的规划设计单位编制,规划内容应包括区域的产业定位、产业链构成,公用工程、港口、道路、物流、通讯、环保等基础设施以及区域组织和管理机构。
(2)在化工企业项目的选址上,应明确距离居民区,生态自然保护区、风景旅游区、文化遗产保护区以及水源保护区的范围内,不得建设危险化学品和剧毒化学品生产项目。这是因为目前危险化学品和剧毒化学品建设项目还不能完全控制事故的发生,而在这些地区对人身健康安全对环境特别敏感,发生危险化学品、剧毒化学品的爆炸或泄漏事故时,其危害更大。
(3)工艺和设备的缺陷是发生化工事故的主要原因,清洁生产是环境保护的根本性措施之一。因此,对于邻水区域化工建设项目对环境要求的特殊性,非常有必要规定“采用的生产系统与工艺的安全性、安全装置自动化水平应达到国内先进水平,达到清洁生产一级标准,通过安全监督管理部门生产工艺安全性审查验收和环境保护部门的清洁生产审核验收”。
(4)投资项目必须建在当地规划的化工集中区,而邻水化工集中区域必须建立完善的区域应急救援预案和系统。邻水化工集中区域建立完善的区域应急救援预案和系统,可与企业应急救援预案和系统联合作用,弥补企业应急救援能力的不足,减少不必要的浪费,可最大限度地控制和减少重大化工事故造成的危害。此外,还必须对应急救援系统的可靠性进行把关。
(5)由上所述,投资规模大,其投资企业实力越雄厚,工艺与设备越先进,其生产系统和工艺安全性就越高。因此,就要求投资项目具有相当的规模。会计事务单位、审计部门是审查投资额的专业部门,规定可行性研究报告投资规模经过会计事务单位、审计部门审计审查,主要是杜绝可行性研究报告的投资规模与实际建成生产的投资规模相差较大情况。
(6)由于邻水区域建设危险化学品生产项目的危险性和发生事故后果的严重性,建设项目生产系统与工艺安全先进性科学论证应纳入安全准入审查与程序,必要时应当聘请化工行业的安全生产专家对建设项目进行生产系统与工艺安全的先进性论证。此外,对于邻水区域的化工企业,应进行相应的风险评价。通过分析评价化工事故发生的可能性与危险程度,可使得投资者和安全生产监督管理部门更深入知晓投资的化工项目在邻水区域建设存在的潜在风险和应采取的安全对策及措施。
(7)化工企业是高危行业,未采取安全风险保证管理对提高邻水区域化工企业的安全生产水平是不利的。因此,安全风险保证未纳入安全准入程序。企业安全风险抵押金管理办法的应用,可以增强企业的安全意识,提高企业抓好安全生产的自觉性和主动性,可以对事故预防起到促进作用。
4 结论
本文通过我国化工企业的发展现状,提出了现阶段的化工企业市场准入门槛过低,特别是邻水区域的化工企业缺少具有针对性的准入制度。
文章从我国邻水区域化工企业现状及存在的安全环境问题入手,总结了目前我国邻水区域化工建设项目安全环境准入的现状,着重分析了现行邻水区域化工建设项目安全环境准入门槛的不足,最后提出了邻水区域化工建设项目安全环境准入的相关要求,从而为政府制定邻水区域化工投资项目的安全、环保准入条件提供参考。
参考文献
[1]江苏省安全生产监督管理局.危险化学品安全生产基本情况分析(2006).2007.3
[2]国家安全生产监督管理总局令第8号.危险化学品建设项目安全许可实施办法[S].2006
[3]刘彦伟.构建区域性安全科技支撑体系的探索[J].中国安全科学学报,2007,17(2):78~82
[4]王艳华,陈宝智,林彬.科学构建化工园区安全生产长效机制的关键要素.中国安全科学学报[J].2008,18(2):50~55
[5]赵廷宁,武健伟,王贤等.我国环境影响评价研究现状、存在的问题及对策.北京林业大学学报[J].2007,23(2):67~71
[6]唐曼丽.论环境安全及其立法完善.株洲工学院学报[J].2004,18(3):35~37
[7]应燕飞,王黎伟.化工建设项目环境影响评价中的清洁生产分析.能源与环境[J].2007,(5):96~98
安全准入管理办法 篇2
为认真贯彻落实“安全第一、预防为主、综合治理”的方针,超前预防、消除安全隐患,有效防范和遏制各类安全生产事故,进一步提高矿井安全生产管理水平和安全生产保障能力,根据集团公司安全工作会议要求,结合矿井实际,对井下主要安全生产工程施工实施准入制度,制定本办法。
一、安全准入范围
回采工作面安装、投产、撤除,掘进工作面开工“四项采掘工程”;采区供电、采区皮带、辅助运输“三个系统工程”。
二、安全准入条件
矿井主要工程施工,必须具备以下条件:
1、工程施工前必须进行安全风险评价。对施工活动中可能存在的各种危害因素、风险、隐患进行辨识、评价,有针对性制订预防措施。
2、必须有经审批后合格的规程措施,包括工程施工设计、作业规程、安全措施等,有工程施工标准要求。
3、工程施工必须符合上级部门发布的关于安全生产的法律法规、标准、技术管理规定、规章制度等。
4、必须明确安全责任主体及安全施工第一责任人,谁施工,谁负责。明确安全管理责任专业、主要责任人。
5、工程施工前,必须填写工程施工申请表。
6、地质防治水、防冲专业可在其他工程开工验收中一并加入,不再另行上报准入材料。
7、工程施工前,必须组织办公及验收,符合开工条件、要求。
三、安全准入“五化”管理
1、安全准入流程化:安全准入流程分为申请、验收整改和批准三个阶段。
申请阶段:施工区队在开工三天前向专业管理部门提交安全准入申请。
验收整改阶段:专业管理部门收到区队安全准入申请→上报分管矿领导批准→专业组织相关专业人员进行现场安全准入验收→召开安全准入验收会议通报验收问题→确定整改完成时间和复验时间→区队整改验收问题→问题整改完成申请复验→专业组织初验原班人员进行复验。
批准阶段:专业部门根据验收人员提供的验收资料确定是否符合安全准入要求→工程达到安全准入要求,可以开工。
2、安全准入精细化:每个专业设专人负责安全准入档案管理,包括工程安全准入验收申请、安全准入评价初次验收表、安全准入评价会议纪要、安全准入验收问题整改台账、安全准入评价复查验收表等。安全准入资料档案由专业整理归档后,报送安监处备案存档。安监处建立安全准入资料档案管理平台,由专人负责,并对各专业工程安全准入资料档案进行监督考核。
3、安全准入责任化:各专业施工工程由分管领导负责组织相关专业副总、业务部室及施工单位进行评价验收,组织召开工程安全准入会议,平衡安排安全准入问题整改落实,签署工程开工报告。分管业务部室负责下达安全准入评价验收通知,评价验收人员由分管专业部室主任助理及以上人员组成。评价采用各相关专业联合办公方式,对照表格逐一进行,并实行首问负责制,初验、复验必须为同一人员,严格执行谁检查、谁签字、谁负责制度,发现弄虚作假的,对相关评价人每条罚款100元;检查问题建立台账,限时跟踪落实整改,实施闭合管理。安全准入评价会议明确复查时间,初次验收问题必须在复查验收前整改完成,复查验收问题没有整改的,工程不得开工,并实行问责追究考核。
4、安全准入规范化:安监处负责安全准入工程监督管理,井下各类工程没有进行安全准入评价的一律不准开工;安全准入工程提交准入开工报告的,安监处进行复查验收,现场不具备安全生产条件的同样不准开工,并追究责任。
5、安全准入制度化:今后,对采掘工作面、机电皮带运输系统、提升运输系统等工程全部实施安全准入评价,并严格按照评价实施办法进行考核落实,实现安全准入制度化运作。
四、安全准入制度责任考核
1、组织领导。
为确保安全准入制度工作的顺利进行,成立领导小组,生长矿长任组长,各专业副矿长、安监处长为副组长,专业副总、业务部室负责人、各项目部经理为成员,办公室设在安监处,具体负责安全准入制度的组织实施。
2、安监处负责具体考核,开工前项目部将准入资料及作业规程报安监处备案,否则,不准开工,强行开工的,追究项目部经理、技术负责人责任按严违处理,并由专业提交分析报告,交安监处备案。
3、凡因安全准入制度材料被上级处罚的,一律由相关专业承担,并通报全矿。
4、各专业各单位要依据此办法制定其它工程施工安全准入的补充管理办法并抓好实施。
5、各单位要充分认识安全准入制度实施的重要性,坚持“主动预防、超前预防”的理念,坚持预防为主,关口前移,防治在前,突出抓好超前消除各类事故隐患。保证现场能够真正做到不安全坚决不生产、没有100%把握坚决不生产、灾害得不到治理、隐患得不到消除坚决不生产。严格做到以下四项准入:
(1)设备安全准入:严把设备安全准入关,新设备和新材料入井前必须出据合格报告;新工艺、新技术应用前,没有相关资质部门出具的入井试验报告的,一律不准应用。
(2)人员安全准入:加大区队对下井人员排查力度,坚决杜绝酒后上班、精神恍惚等安全薄弱人员下井,实行下井人员安全确认签字制度,没有安全确认签字人员的一律不准入井。
(3)资质安全准入:严格特种作业人员上岗证检查,发现无证和证件不在有效范围内的,一律不准上岗作业。
(4)系统安全准入:新采区新水平等新系统投产前必须组织进行通风系统、供电系统、排水系统、提升运输系统、安全监控系统等安全准入评价,不符合要求的一律不准投产。
安全准入 篇3
关键词:多层准入控制 内网安全 合规管理
0 引言
重庆市电力公司教培中心学员培训计算机房已经使用多年,但是存在着不少安全问题,主要表现为:外来终端不难接入内网,这样就会使一些已经感染了未知或新型病毒欺骗病毒的终端,使内网受到病毒感染,直接威胁网络的安全运行。在培训学员时,没有注意让学员严格按照相关的规定对指定的防病毒软件、桌面安全管理等安全软件进行卸载,在安装和运行游戏软件、网络视频工具等其他可能存在安全隐患的软件时也缺少相关的必要指导。内网多使用的是以U盘为代表的移动存储设备,这样就不难导致病毒的侵袭或者是木马传播、泄露内部重要数据和文件;同时U盘的广泛使用也为机房组织考试增加了管理难度。随着网络技术的不断发展,特别是无线网络互联技术的飞快发展,使Internet的联入摆脱了地域的限制,现在内、外网在一定程度上实现了互通,一些不合法外联事件也逐渐的增多了,这给企业核心业务系统的稳定安全运行造成了很大的影响。接入内网的终端,在未授权的情况下就可连接其内部重要服务器,这样给合法用户的访问带来不同程度影响的同时,還可能成为来自内部或外部的非法人员,以此为跳板,攻击其内部关键业务系统……
经过一番认真的调查和仔细的研究,我们发现现有多于80%的安全事故是在内网条件下出现的,在整个网络安全管理中,在内网的管理上还是很欠缺的。
1 内网终端合规管理实施终端准入控制
经过研究发信,强制内网终端合规准入控制机制的建立,从终端系统启动一直到终端之间互访的安全接入实施有效地控制,从而实现对终端整个过程的管理与控制,还能够对终端安全状态做好实时的监控,并能够进行修复,给内网建立“终端安检系统”,这样,不管是终端用户有意的还是无意的不按照内网合规管理方案操作,这一管理系统就会自动开启违规处理,对这些不按照相关规定进行操作的终端做出不同程度的处理,如提示、警告、自动修复或者是对终端进行安全隔离,但是违规终端会很好的保护网络资源,更好的完成内网合规管理。
从上面的分析中,我们制定了几种内网终端合规管理解决方案的原则:①终端接入内网后,从网络边界、业务应用系统到其他客户端做好控制。②终端接入内网后,要对其强制执行内网合规管理策略。③监控终端的全过程、动态的合规状态,如果出现终端违规现象,就会对违规行为进行提示、警告、自动修复甚至对终端实施安全隔离。
2 能够实现合规管理无盲区,不妥协
构筑多层准入的内网终端合规管理系统
基于以上原则,我们广泛了解现在内网终端安全管理市场,考察了多家国内外专业安全厂商,深入了解和测试了多款这些厂家所提供的成熟和稳定的内网终端安全管理产品,最终决定跟国内著名的安全公司“启明星辰”合作,发展好内网终端计算机的综合信息中心,在合规管理平台的运行上不断创新,作为教培中心培训机房的内网终端合规管理系统承载平台,这样就使得教培中心培训机房拥有了全新的多层准入内网安全管理体系架构。
在多层准入控制的帮助下,我们能够实现以下准入控制流程:终端层→网络层→应用层(包括客户端准入、网络准入和应用准入等)。
2.1 如果终端想借助交换机接入内网
管理服务器可以跟接入层和汇聚层网络设备联动,控制那些想要连入内网的终端网络准入,不仅会对其进行严格的身份验证,还要进行合理的合规检查,我们要做到的是只允许合法的和安全的终端接入内网。那些违规的或者是不合法的终端,系统会自动将其划入修复区甚至是隔离。详见下图:
2.2 当接入网络的终端试图访问内网服务器或关键业务系统时
在内网安全风险管理与审计系统中,需要有一个特有准入控制组件—策略网关,把它安装在企业网的重要服务器或者是关键业务系统上,这样就能够保障有效地控制终端应用层的准入,一旦出现不受控的终端或者是不合规的终端,就无法访问该服务器或业务系统。
应用准入与网络准入的主要区别:①在数据中心的服务器区就可实现应用准入,不涉及网络环境,如果出现与网络准入条件不相符合的情况,或者是由于内网终端合规管理的现实情况,在网络准入控制方面可以不必太严格,此时使用应用准入控制就可以,不必进行终端合规准入控制。②应用准入具有自动重定向功能,一旦发现未受控终端,以及不合规终端,系统就会出现相关的提示,通知其被拦截的消息,并告知其原因。而且在提示页面中还能够设置合规管理客户端下载链接,这样在很大程度上使系统维护人员的工作量变少了,使用户的满意程度不断提高,使他们更乐于接受,进而实现了内网合规的最佳效果。
2.3 当两个终端相互之间进行访问时
来访的终端会受到合规受控的终端的客户端准入控制,同时还要接受合规检查,只有合规安全的终端才能进行访问,如果是不合规的终端或者是不合法的终端都将无法访问,这样当那些感染了蠕虫病毒的非受控终端想要对合规终端进行病毒感染时,就可以将其及时的切断。
3 全面进入内网终端合规管理
教培中心培训机房首先完成构建混合准入控制体系,然后充分考虑到内网终端合规管理以及内网安全等级保护的要求,编辑和下发了一些终端合规安全管理策略,通过对这些策略的认真执行,使内网终端的安全保护能力得到显著提高,而且由于非安全终端造成的很多内网安全问题也减少了很多,此外,不仅仅是教培中心培训学员网络安全防护等级提高了,而且信息安全管理水平也有了明显的改善。
4 总结
教培中心培训学员机房通过部署内网安全风险管理与审计系统,构建多种准入控制手段混合共存的内网终端合规准入管理体系,更好地实施内网终端合规管理规范,在信息安全系统投资中收到最好的效益。
参考文献:
[1]孙强,陈伟,王东红著.信息安全管理:全球最佳实务与实施指南. 北京:清华大学出版社,2004.
[2]启明星辰编著.UTM(统一威胁管理)技术概论.北京:电子工业出版社.
安全准入 篇4
1998年美国国家安全局制定的《信息保障技术框架》 (Information Assurance Technical Framework, IATF) , 提出了“深度防御策略”。该保护框架将防御分成几个领域, 包括:网络与基础设施防御、网络边界防御、局域计算机环境防御和支撑性基础设施的深度防御。
从国内网络安全建设的实际情况看, 传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂, 随着以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥, 以往围绕网络部署的安全措施已显得力不从心。
而计算机终端作为信息存储、传输、应用处理的基础设施, 其自身安全性涉及到系统安全、数据安全、网络安全等各个方面, 任何一个节点都有可能影响整个网络的安全。因此, 有越来越多的用户和厂商开始调整安全防护战略, 将着眼点重新回归到桌面终端安全上来, 这使得桌面终端安全成为业界重要的研究课题。
桌面终端安全管理需求中, 安全准入控制由于其独特的技术视角和有效的控制策略, 成为桌面安全最热门需求之一。网络安全准入控制可以从身份/安全鉴别、安全准入控制、自动隔离/修复、集中审计等4个方面为终端安全管理提供帮助, 这也恰好是桌面终端安全管理的最核心问题, 因此, 安全准入控制技术经过短短几年的发展后, 即将成为大型企业用户解决桌面终端管理问题的必备手段之一。
1 安全准入控制
网络安全准入控制最早由思科发起, 后来联合多家厂商参加的一项旨在防止病毒和蠕虫等新兴黑客技术对企业安全造成危害的计划。借助准入控制, 用户可以只允许合法的、值得信任的桌面终端接入网络, 而不允许其他设备接入。网络将按照客户制定的策略实行相应的安全准入控制决策, 即允许、拒绝、隔离或限制。
2 当前主流安全准入控制技术分析
2.1 IEEE802.1x
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。通俗来说, IEEE802.1x是一种基于端口的网络安全准入控制技术, 在LAN设备的物理接入级对接入设备进行认证和控制, 此处的物理接入级指的是LAN Switch设备的端口。连接在该类端口上的用户设备如果能通过认证, 就可以访问LAN内的资源;如果不能通过认证, 则无法访问LAN内的资源, 相当于物理上断开连接。802.1x协议的体系架构如图1所示。
IEEE802.1x的体系结构中包括3个部分:请求者系统、认证系统、认证服务器系统。
请求者发送一个“EAP响应/身份认证”数据包给认证系统, 然后传送至认证服务器。
认证服务器发回一个挑战给认证系统, 认证系统通过IP接收该挑战并将它重组为EAPo L, 然后再发送给申请者。
申请者响应认证系统发送来的挑战, 并将响应传送给认证服务器。认证服务器使用特定认证算法来检验客户身份, 这可以通过数字证书或EAP认证类型实现。
IEEE802.1x协议的实现比较简单。另外, IEEE802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能, 从而可以实现业务与认证的分离。
IEEE802.1x协议是一种基于身份信息的认证技术, 接入设备只有提供有效的身份信息, 才被允许接入网络。这就将以往“先接入, 后判断合法性”的网络安全技术变为“先判断合法性, 后接入”的工作方式, 从而大大增强了网络的安全性。但是, 由于该协议是一种基于端口的认证, 因此, 认证的粒度较粗。对于一个交换机端口上连接多台计算机的情况, 只要其中一台计算机通过认证, 端口便处于打开状态, 这样其他计算机也就获得了网络访问的能力。这也是该认证协议的一个无法克服的缺点。
2.2 其他桌面终端准入技术
Cisco NAC是构建在思科公司领导的行业计划之上的一系列技术和解决方案。实施Cisco NAC的客户仅允许遵守安全策略的可信终端设备 (PC、服务器及PDA等) 访问网络, 并控制不符合策略或不可管理的设备访问网络。
Microsoft NAP为企业提供了一种基于策略的灵活的体系结构, 可防止员工、供应商和访问者有意或无意地将不符合安全策略的计算机连接到企业的网络。
可信任网络连接 (Trusted Network Connect, TNC) 是可信计算组织 (Trusted Computing Group, TCG) 推出旨在保证网络的安全性和完整性的一个开放的工业标准。该标准可配合TPM平台 (可信任平台) , 实现对接入终端的身份认证和安全认证。这是继Cisco NAC技术和Microsoft NAP技术之外的第3种网络安全准入控制技术。
2.3 各种技术分析
其实Cisco NAC、NAP和TNC技术的目标和实现技术具有很大的相似性。
首先, 这3种技术的目标都是保证桌面终端的安全接入, 即当桌面终端接入本地网络时, 通过特殊的协议对其进行校验, 除了验证用户名密码、用户证书等用户身份信息外, 还验证终端是否符合管理员制定好的安全策略。在验证终端主机没有安全问题后, 再允许其接入被保护的网络。
其次, 3种技术的实现思路也比较相似, 都分为客户端、策略服务以及安全准入控制3个主要层次。但是, 由于3种技术的发布者自身的背景, 3种技术又存在不同的偏重性, 都不同程度地存在一定的缺陷。也就是说, 这些安全准入控制技术是不全面的, 无法适用于复杂的用户环境。
微软依靠DHCP的代理服务器, 利用对IP地址分配的过程强制执行安全策略的NAP解决方案, 无法对配置静态IP地址的计算机进行控制, 只要计算机设置成静态IP地址, 就可以自由访问网络资源。
思科利用交换机来实现的NAC解决方案, 由于需要思科交换机来支持, 如果企业混合使用不同厂家的路由交换设备, 黑客总是可以找到不能被NAC管理的交换机, 利用MAC地址的欺骗手段, 冒充已经经过认证的计算机, 在网络里进行攻击。
TCG的TNC解决方案, 由于必须依赖TPM模块提供完整性校验, 而目前的计算机绝大多数都不配置该模块, 从而导致其无法使用。
另外, 以上技术方案, 都无法解决不支持802.1x协议的网络设备的问题, 如非智能交换机和HUB设备等, 因而, 对于从这些设备上接入网络的计算机, 是无法得到有效的控制的。
3 基于IP接入的安全准入控制管理
桌面终端标准化管理系统是国网电力科学研究院提出并设计的一套桌面终端安全管理系统, 作为国家电网公司SG186信息化工程重要项目之一, 该系统从资产管理、软件维护、补丁分发、安全准入控制、安全监控与审计、违规外联、远程维护等方面为用户提供了完整的桌面终端管理解决方案。该系统在桌面终端的安全准入控制方面, 提出了基于IP接入而实现的更为完善的解决方案。
基于IP接入的安全准入控制解决方案, 是一种基于“主动防护”的终端安全管理理念的安全准入控制解决方案。在保护用户现有网络投资的情况下, 提供了适用于大部分网络环境下的终端计算机的安全准入控制能力。与当前其他主流安全准入控制解决方案相比, 弥补了其他安全准入控制方案的漏洞, 又有效地保护了用户现有网络投资, 从而具有较高的性价比。
当用户网络环境不支持基于MAC地址的802.1x认证方式时, 往往在同一个交换机端口下会接入一些“假冒身份”的计算机, 这些计算机混同在合法计算机之中, 也获得了网络接入权限以及网络访问能力。在这种情况下, 会给网络带来很大的安全隐患。为解决这个问题, 系统采用了IP通信控制技术。其根本特点是当非法主机与合法主机进行IP通信时, 合法主机会要求非法主机提供其身份证明, 如果非法主机无法提供有效的身份证明, 合法主机将拒绝与其建立通信联系。合法主机之间由于相互可以验证身份, 因此合法主机之间的IP通信是被允许的。
合法主机之间的通信采用PKI数字证书来标识双方的身份。另外, 当合法主机建立IP通信时, 系统还可以对通信数据进行加密。从而保证了非法主机无法监听和窃取这些通信数据, 进一步保证了网络的安全性。
系统的I P通信控制有2种措施, 一种是身份认证, 另一种是数据加密。系统采用了专有的协议, 该协议负责对IP数据进行封装。封装后的IP数据携带有认证信息, 且IP数据被加密 (见图2) 。
认证头的目的是用来增加IP数据包的安全性。认证头提供无连接的完整性、数据源认证服务;认证头提供IP数据包的完整性和身份认证机制, 但是不提供数据机密性保护。系统验证头提供了2种认证算法:一种是基于对称加密算法 (如DES) ;另一种是基于单向哈希算法 (如MD5或SHA-1) 。系统验证头对上层协议数据 (传输层数据) 和IP头中的固定字段提供认证保护。系统支持基于PKI数字证书的身份认证方式和共享密码的认证方式。前者安全性更高。
加密头用于提高Internet协议 (IP) 的安全性, 它可为IP提供机密性、数据完整性等安全服务功能。其中, 数据机密性是加密头提供的基本功能, 数据完整性检验是可选的。加密头将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。从而保证了IP数据包网络传输的安全性。
系统通过对IP层数据附加认证头和加密头的方式, 将传统的IP协议的开放性变为私有协议。这种协议只能被安装了系统代理程序的计算机所识别。也就是说, 所有安装了系统代理程序的计算机之间都可以进行IP数据通信, 而未安装系统代理程序的计算机则无法与安装代理程序的桌面终端通信。
这种机制, 保证了接入终端的通信控制。如果接入终端是非法的, 可以通过安装认证控制, 保证接入终端无法安装系统代理程序, 因而也就无法与接入网络的合法计算机进行通信, 减少了“假冒身份”计算机给网络带来的安全风险。
系统的部署和实施与其他安全准入控制系统相比, 成本相对较低。在部署和实施本系统前, 用户环境需满足如下条件:
(1) 如果需要启用接入终端的身份认证, 网络设备必须启用802.1x协议支持;
(2) 如果需要启用接入终端自动隔离和修复功能, 网络设备不需启用Guest Vlan支持;
(3) 如果不需要身份认证, 而仅对接入终端的安全性进行检查, 上述条件则可以取消。
可以看到, 系统的部署实施对用户环境的要求相对较低。
系统部署由以下3部分组成:
(1) 系统核心管理服务器:服务器用于满足接入终端的安全策略要求, 并将这些策略分发到安装有系统安全代理的接入终端。策略服务器一般部署在为系统划分的独立区域;
(2) Radius认证服务器:认证服务器用于对安全代理收集的桌面终端身份信息、安全状态进行认证, 并根据认证结果通知安全准入控制点是否允许该计算机接入网络;
(3) 安全代理:该代理程序用于完成接入终端的身份信息收集、安全状态信息收集以及强制启用IP通信控制 (IP数据认证与加密) 。安全代理部署在所有需要访问网络资源的接入终端上。
4 结语
桌面终端标准化管理系统基于IP接入提出桌面终端安全准入控制管理, 与其他技术方案相比, 基于802.1x认证方式之上, 采用IP通信控制技术来解决非法桌面终端通过合法桌面终端进行验证后接入信息内网的问题, 有效地保护了内网信息资源, 从根本上杜绝来自外网的安全威胁, 提高了内网的安全防护能力。但是, 桌面终端的安全准入也是一门长期发展的技术, 随着更多的厂商、企业及用户对安全准入关注度的提升, 相信业内也会有更行之有效的技术来对非法桌面终端进行管控。
摘要:目前多家国内外网络设备制造商或安全厂商在802.1x基础之上, 利用软件或硬件提出带有本身产品特色的各种桌面终端安全准入控制解决方案。但各种主流的安全准入控制技术不同程度地存在漏洞, 无法适用于复杂的不同用户的具体环境。基于IP接入技术, 提出以“主动防护”为终端安全管理理念的安全准入控制解决方案, 具备了适用于大部分网络环境下的终端计算机的安全准入控制能力, 能够有效保护用户现有网络投资, 且弥补其他安全准入控制方案的漏洞, 从而实现较高性价比的终端安全准入控制管理。
安全准入 篇5
培训材料
(2013年版)
一、基本要求
要求通过全方位、多层次、多样式的实验室安全与环保教育活动,增强师生员工的安全环保意识、提高实验操作水平、优化实验室安全知识结构,使其掌握应急救援技能,在实际操作中养成良好的安全习惯,降低实验室事故发生概率。
二、考查重点内容
1.符合环境保护要求的污染治理设施及其正常运行;消防安全通道畅通,消防设施配备及其使用,消防设施性能及规定检测年限。
2.实验室安全用电安全用水、防火防盗、防水管爆裂、仪器设备的操作规程;化学试剂、易燃易爆危险物品、易制毒化学品、剧毒物品、压缩气体钢瓶、放射源及放射性样品的使用与管理规定;意外事故的应急处理预案及急救措施;火灾应急处理预案;水管爆裂应急处理预案;加强废弃物的处置与管理措施;生物安全管理规定等。还包括,实验室安全的检查工作及检查制度。
3.实验人员危害识别、风险评估的能力和意识。
三、主要参考教材和资料
1.《高校实验室安全与环保管理简明教程》,祁晓玲主编,四川师范大学电子出版社,2013年7月第1版。
2.《危险化学品安全管理条例》,中华人民共和国国务院令第591号(2011年3月2日);《易制毒化学品管理条例》,中华人民共和国国务院令第445号(2005年8月26日);《中华人民共和国放射性污 染防治法》, 中华人民共和国主席令第六号(2003年6月28日); 《中华人民共和国职业病防治法》,中华人民共和国主席令第六十号(2001年10月27日);《特种设备安全监察条例》,中华人民共和国国务院令第549号(2009年1月24日);《教育部 国家环境保护总局关于加强高等学校实验室排污管理的通知》,教技[2005]3号(2005年7月26日);《高校实验室工作规程》,原国家教委令第20号(1992年)。
四、实验室安全知识一览(详见附录)
附录
第一部分
1、实验室要建全安全防范制度,落实好“三防”即人防、物防、技防责任制,切实保障师生员工的安全和国家财产不受损失。
2、高校实验室应当重视信息安全问题,应当按照涉密不上网、上网不涉密的要求防止教学科研工作中的重要数据和资料泄密,以免造成不可弥补的损失。
3、物质燃烧需要具备的条件有氧化物、可燃物、着火源。灭火的基本方法包括:隔离法、冷却法、窒息法
4、国内灭火器压力表一般分三个档次,即三个颜色:红、黄、绿色,当指针分别指在红色、黄色、绿色区域,说明灭火器瓶内压力分别是压力不足、压力过大、压力正常。
5、使用灭火器扑救火灾时,人应站在上风向对准火焰基部喷射。
6、当心火灾
当心剧毒品
当心触电
当心辐射
7、用二氧化碳扑救室内火灾后,应先打开门窗通风,然后人再进入这是为了以防窒息。
8、岗位消防安全“四知四会”中的“四会”是指:会报警,会使用消防器材,会扑救初期火灾,会逃生自救。
9、火灾分为:A、B、C、D、E,5类火灾,其中A类火灾是由固体燃烧引起的火灾。
10、火警电话、急救电话分别是119、120。11、1211灭火器每半年时间检查一次总重量,下降十分之一,就要灌装充气。
12、火灾逃生的四个要点是防烟熏;果断迅速逃离火场;寻找逃生之路;等待他救。
13、火灾等级标准划分有:一般火灾、重大火灾、特大火灾。
14、扑救电器火灾时,首先应该切断电源,在带电时可以用二氧化碳、干粉灭火器扑救。
15、使用室内消火栓时,按逆时针方向旋转消火栓手轮,即可有水喷出。
16、凡是能引起可燃物着火或爆炸的热源统称为点火源。
17、电话报火灾时应注意要讲清楚起火单位、详细地址、着火情况、什么物品着火、有无爆炸危险、是否有人被困及报警用的电话号码和报警人的姓名等。
18、触电事故主要是指电击。我们把不能引起生命危险的电压称为安全电压,一般规定为36V。
19、如遇电线走火,切勿用水或导电的酸碱泡沫灭火器灭火。应立即切断电源,用沙或二氧化碳灭火器灭火。
20、在桌面上供电的电压应在12V以下。
21、移动电器线,应先关闭所有开关。
22、静电是在一定的物体中或其表面上存在的电荷。
23、单相三芯线电缆中的红线代表火线。
24、测量绝缘电阻可用兆欧表。
25、空调温度夏天最高不能超过26℃,冬天应在20℃,并做到人走空调关。
26、不要用湿手接触使用的电器和电线、开关。
27、使用烘箱和高温炉时,必须确认自动控温装置可靠。不得把含有大量易燃易爆溶剂的物品送入烘箱和高温炉加热。
28、如遇电线走火,切勿用水或导电的酸碱泡沫灭火器灭火。应立即切断电源,用沙或二氧化碳灭火器灭火。
29、电器操作应使用三脚插座。电线容量正确,贵重仪器有正确的保险丝。总用电量不能超出总负荷。
30、电气设备着火,首先必须采取的措施是停电。
31、在雷雨天气不要走进高压电杆、铁塔、避雷针,远离至少20米以外。
32、发生触电事故的危险电压一般是从65伏开始。
33、发生危险化学品事故后,应该向上风方向疏散。
34、高层建筑发生火灾时,人员最好通过疏散楼梯逃生。
35、使用灭火器扑救火灾时要对准火焰根部喷射。
36、酸灼伤的处理方法应是:立即用大量水洗-以1~2%NaHCO3溶液洗-送医院
37、若出现触电事故,应先切断电源或拔下电源插头。
38、对于A类火灾-即固体可燃材料的火灾,包括木材、纸张、橡胶以及塑料等。一般可采取水冷却法方法。
39、应急总体原则是:先救治,后处理;先救人,后救物;先制止,后教育;先处理,后报告。
40、实验过程中若发生设备电路事故,如发生失火,应选用二氧化碳灭火器灭火,不得用水扑灭。
41、浓碱沾到皮肤上或衣服上:用较多的水冲洗,再涂上硼酸溶液。
42、浓酸沾到皮肤上或衣服上:应立即用较多的水冲洗,再涂上3%~5%的氢氧化钠溶液。
43、遇水能发生反应的腐蚀性毒物,应先用干布或棉花抹去,再用水冲洗。
44、眼睛里溅进了酸或碱溶液,应在现场就近用大量清水或生理盐水冲洗。
45、若发生危险化学品中毒,酸碱类腐蚀物品先大量饮水,再服用牛奶或蛋清。
46、安全事故现场人员应作为第一责任人立即向实验室管理人员报告,实验室管理人员上报实验室主任和单位领导。
47、实验室一旦发生安全严重事故,可拨打学校报警电话,成龙校区的报警电话是:84480110
第二部分
1、我国消防宣传活动日是每年的11月9日。
2、火场上扑救原则是:先人后物,先重点后一般,先控制后消灭。
3、高校实验室安全事故频发的原因主要表现为:实验室规划建设不达标,设计考虑不周全;实验室基础设施陈旧,线路老化;机构不完善,工作不衔接,实验室排污管理,“三废”处理不规范。
4、干粉灭火器适用于电器起火、可燃气体起火、有机溶剂起火。
5、爆炸物品在发生爆炸时的特点有:反应速度极快,通常在万分之一秒以内即可完成;释放出大量的热;产生大量的气体。
6、被火困在室内,逃生的方法是:到窗口或阳台挥动物品求救、用床单或绳子拴在室内牢固处下到下一层逃生。
7、在火灾初发阶段,应采取哪种方法撤离?用湿毛巾捂住口鼻低姿从安全通道撤离。
8、火灾发生时,湿毛巾折叠8层为宜,其烟雾浓度消除率可达60%。
9、火灾蔓延的途径是:热传导、热流、热辐射。
10、采取适当的措施,使燃烧因缺乏或隔绝氧气而熄灭,这种方法称作窒息灭火法。
11、扑救易燃液体火灾时,应用灭火器灭火。
12、扑灭电器火灾不宜使用泡沫灭火器灭火。
13、身上着火,最好的做法是就地打滚或用水冲。
14、实验大楼安全出口的疏散门应向外开启。
15、使用灭火器扑救火灾时要准火焰的根部喷射。
16、下列选项中属于防爆的措施有:防止形成爆炸性混合物的化学品泄漏;控制可燃物形成爆炸性混合物;消除火源、安装检测和报警装置。
17、窒息灭火法是将氧气浓度降低至最低限度,以防止火势继续扩大。其主要工具是二氧化碳灭火器。
18、身上着火后,迎风快跑是错误的灭火方法。
19、在火灾逃生方法中,躲在床底下,等待消防人员救援是不正确的处理方式。20、实验室仪器设备用电或线路发生故障着火时,应立即(切断现场电源),并组织人员用灭火器进行灭火。
21、如果实验过程中出现火情,要立即停止加热,移开可燃物。
22、实验大楼因出现火情发生浓烟已穿入实验室内时,应沿地面匍匐前进,当逃到门口时,不要站立开门。
23、实验室电器设备所引起的火灾,应用二氧化碳或干粉灭火器灭火。
24、在使用设备时,如果发现设备工作异常,应停机并报告相关负责人员。
25、使用干燥箱和恒温箱,应注意的事项有:使用前检查电源,要有良好的接地线;箱内应保持清洁,放物网篮不得有锈,否则影响待干燥物品的洁净度;塑料、有机玻璃制品的 加热温度不能超过60℃,玻璃制品的温度不能超过180℃,使用温度不能超过干燥箱的最高允许温度,用毕要及时切断电源。
26、师生进入生化类实验室工作,一定要搞清楚冲眼器、紧急喷淋、急救药箱的位置等位置,出现情况能做好相应的自救工作。
27、引起电器线路火灾的原因有短路、电火花、负荷过载。
28、使用公共网络时,应当遵守下列规定:不得在没有保密措施的传真机、计算机上传输或者处理涉及国家秘密的信息;使用计算机信息网络国际联网传输信息不得涉及国家秘密;未经原确定密级的国家机关、单位批准,不得复制国家秘密的信息;不得使用手机、无线话筒传达涉及国家秘密的信息。
29、由于行为人的过失引起火灾,造成严重后果,危害公共安全的行为,构成失火罪。30、实验室安全管理实行校、(院)系、实验室三级管理。
31、可以穿着球鞋进化学实验室。
32、在易燃易爆场所不能穿带钉鞋。
33、在实验室区域内,可以做与学习、工作有关的事情。
34、节假日期间,仍然需要进入实验室工作的师生,要严格遵守实验室操作规程,做实验时必须要有人在场,并且在实验完成离开时负责关闭水源、电源、气源,锁好门窗,以防火灾和爆炸、溢水等事故。
35、火灾扑灭后,为隐瞒、掩饰起火原因、推卸责任,故意破坏或伪造现场,尚不构成犯罪的,处警告、罚款或者15日以下拘留。
36、火灾初起阶段是扑救火灾最有利的阶段。
37、在火灾或者日常生活中,如被烧、烫伤最有效的应急方法是用冷水浸泡或冰块冷敷等紧急散热措施。
38、当遇到火灾时,要迅速向安全出口的方向逃生。
39、灭火器的压力表指针指在绿区位置时,压力为正常。
40、使用灭火器扑救火灾时要对准火焰根部喷射。
41、二氧化碳灭火剂是扑救精密仪器火灾的最佳选择。
42、液体表面的蒸汽与空气形成可燃气体,遇到点火源时,发生一闪即灭的现象称为闪燃。
43、金属钾、钠 着火不能用水扑灭。
44、棉被起火是可以用水扑灭的火灾。
45、泡沫灭火器不适用于扑灭电器火灾。
46、电脑着火了,应拔掉电源后用湿棉被盖住电脑。47、1211灭火剂是破坏大气的臭氧层,要逐步淘汰。
48、用灭火器进行灭火的最佳位置是上风或侧风位置。
49、电火花物质是点火源。
50、为了演练,平时可以拨打119是不正确的电话报警方式。
51、解决火险隐患要坚持“三定”,“三定”是指:定专人、定时间、定整改措施。
52、油类火灾用水扑救会使火势扩大。
53、高层楼上发生火灾时,我们不应该乘坐电梯。
54、实验室、宿舍禁止使用电热水壶、热得快。一般电热水壶的功率为800W以上。
55、有人触电时,使触电人员脱离电源的错误方法是抓触电人的手。
56、电源或电器设备的保险丝烧断后,可以用其它金属导线代替是错误的实验室用电注意事项。
57、在遇到高压电线断落地面时,导线断落点20m内,禁止人员进入。
58、进行照明设施的接电操作,应采取的防触电措施为切断电源。
59、万一发生电气火灾,首先应该采取的第一条措施是切断电源。60、造成触电事故的因素是电流流过人体。
61、静电电压最高可达上万伏,放电时易产生静电火花,引起火灾。
62、电线插座损坏时,既不美观也不方便工作,并造成吸潮漏电、空气开关跳闸、触电伤害。
63、国内民用照明电路电压为交流电压220V。
64、在工作环境中见到此标志,表示当心触电。
65、当设备发生碰壳漏电时,人体接触设备金属外壳所造成的电击称作间接接触电击。66、机器停用时要关上电源,是为了预防事故。
67、实验仪器使用完后,如果需要拔出插头,正确的方式是:身体和衣服不潮湿的前提下,握住插头拔出。
68、三线电缆中的红线代表火线。
69、根据国际相关规定,电压为25V以下不考虑防止电击的安全。70、产生静电最常见的方式是接触-分离起电。71、电压大是静电的特点。72、防止静电的主要措施是接地。
73、如果实验环境潮湿,为避免触电,使用手持电动工具的人应站在绝缘胶板上操作。74、任何电气设备在未验明无电之前,一律可认为有电。75、发生触电事故的危险电压一般是从65V开始。76、民用照明电路电压是交流电压220V。
77、如果触电伤势严重,呼吸停止或心脏停止跳动,应竭力施行人工呼吸和胸外心脏挤压。78、电气设备着火,首先必须采取的措施是停电 79、废电池随处丢弃会造成重金属污染的污染。
80、在雷雨天气不要走进高压电杆、铁塔、避雷针,远离至少20米以外。81、在需要带电操作的低电压电路实验时,单手操作比双手操作安全。82、因实验需要拉接电源线,不得任意放置于通道上,以免因绝缘破损造成短路或影响通行。
83、实验时,电源变压器付边输出被短路,会引起电源变压器有异味,电源变压器冒烟,电源变压器发热,直至烧毁。
84、先抢后救符合急救与防护“四先四后”的原则。
85、禁止标志是指不准或制止人们的某种行动,用黄色表示是不正确的安全标志。86、从火灾现场撤离时,应用湿毛巾捂住口鼻低姿从安全通道撤离。87、当强碱溶液溅出时,可先用大量的水稀释后再处理。
88、皮肤接触了高温(热的物体、火焰、蒸气)、低温(固体二氧化碳、液体氮)和腐蚀性物质,如强酸、强碱、溴等都会造成灼伤。如果发生意外正确的处理方法是:被碱灼伤时先用水冲洗,然后用3%的硼酸或2%的醋酸清洗。89、防止电气危害的措施错误的是使用多插头适配器。90、使用泡沫灭火器扑灭电器着火的做法是错误的。91、进入实验室开始实验时,抓紧时间做实验是错误的做法。
92、当实验室出现自己无法处理的危险时,应当马上示警并迅速脱离危险。93、实验室安全,必须做到以人为本。94、设备或电器的电源开关应接在火线上。
95、违章用电常常可能造成人身伤亡,火灾,损坏仪器设备等严重事故。为了保障人身安全,有人触电,应迅速抬离现场进行抢救是错误的做法。
96、实验室用火必须遵守:各部门对其所配备的灭火设施、器材负责保管,进行日常维护,必须清理、打扫干净。
97、实验室起火后错误的处理方式是:易燃液体一旦发生火灾,应及时用水扑救。98、实验过程中发生烧烫(灼)伤,错误的处理方法是:若有水泡可自行刺破。99、扑救易燃液体火灾时,应用用灭火器灭火。
100、发现线路漏电,立即用手接触电器查看原因不属于实验室安全用电的规则。
101、水银温度计破了以后的处理方式是:洒落出来的水银必须立即用滴管、毛刷收集起来,并用水覆盖(最好用甘油),然后在污染处洒上硫磺粉。102、在火灾初发阶段,应用湿毛巾捂住口鼻低姿从安全通道撤离
103、被火困在室内,应到窗口或阳台挥动物品求救、用床单或绳子拴在室内牢固处下到下一层逃生。
104、火灾发生时,湿毛巾折叠8层为宜,其烟雾浓度消除率可达60%。105、氯化氢应该在通风橱内操作。
106、化学危险药品对人身会有刺激眼睛、灼伤皮肤、损伤呼吸道、麻痹神经、燃烧爆炸等危险,一定要注意化学药品的使用安全,室内可存放大量危险化学药品是不正确的做法。107、黄磷自燃应用雾状水灭火或用泥土覆盖扑救。
108、当不慎把大量浓硫酸滴在皮肤上时,应以吸水性强的纸或布吸去后,再用水冲洗。109、被电击的人能否获救,关键在于能否尽快脱离电源和施行紧急救护110,电源或电器设备的保险丝烧断后,可以用其它金属导线代替是错误的实验室用电方法。
110、在体育锻炼时或体育锻炼后即刻,立即测10秒钟的心率和脉搏,就一般体育锻炼者来说,运动后即刻的心率最好不要超过25次/10秒。
111、设备或线路的确认无电,应以正常的验电工具指示作为根据。
112、因实验需要拉接电源线,不得任意放置于通道上,以免因绝缘破损造成短路或影响通行。
第三部分
1、温度、压力、着火源是发生爆炸的基本因素。
2、在易燃易爆场所,可以使用铜制、不锈钢制、陶瓷制材质的工具。
3、遇水燃烧物质是指与水或酸接触会产生可燃气体,同时放出高热,该热量就能引起可燃气体着火爆炸的物质。碳化钙(电石)、锌属于遇水燃烧的物质。
4、在易燃易爆场所可以穿布鞋、胶鞋。
5、爆炸物品在发生爆炸时的特点有:反应速度极快,通常在万分之一秒以内即可完成;释放出大量的热;产生大量的气体;使周围气压发生剧烈变化
6、防止形成爆炸性混合物的化学品泄露;控制可燃物形成爆炸性混合物;消除火源、安装检测和报警装置都属于防爆的措施。
7、混合物的温度、压力;混合物的含氧量;容器的大小都会影响混合物爆炸极限。
8、氧化锌、四氯化碳、氧化铁是不会发生爆炸的物质。
9、金属钾、钠、锂、钙、电石等固体化学试剂,遇水即可发生激烈反应,并放出大量热,也可产生爆炸,它们不应直接放在试剂瓶中保存;用纸密封包裹存放;放在铁盒子里。
10、化学激发能、高温激发能、机械激发能、电气激发能是能够引起爆炸的激发源。
11、实验室常见爆炸的种类有:物理爆炸、化学爆炸、物理、化学爆炸。
12、化学爆炸事故的特点是:反应速度快;发出大量的热量;产生具有强大威力的冲击波。
13、化学性爆炸的类型有:简单分解爆炸;爆炸性混合物爆炸;复杂分解爆炸。
14、实验室常见爆炸的防措施有:易燃易爆化学试剂应远离光源、火源等物质;实验室内应设排气扇,及时排出物质,降低其爆炸极限;将易燃易爆物质与空气隔绝。
15、我国规定,最高工作压力大于或等于0.1MPa(不包括液体静压力;盛装介质为气体、液化气体或最高工作温度高于和等于标准沸点的液体。这类容器属于压力容器。
16、为了避免发生火灾或爆炸,碱金属与二氧化碳、氯代烃、水;卤素与氨、乙炔、烃;醋酸、硫化氢、苯胺、烃、硫酸与氧化剂,如铬酸、硝酸、过氧化物、高锰酸盐这几类化学品不能摆在一起。
17、化学性污染有:化学废水包括化学反应残液、失效的试剂溶液和洗液、大量洗涤水等; 废气包括试剂和样品的挥发物、化学反应过程中的中间产物、泄露和排空的标准气和载气等;固体废物包括多余样品、分析后的产物、消耗或破损的实验用品等;
18、常见的安全防护措施有:穿戴实验室防护服;戴实验室防护手套;佩戴安全防护眼镜;佩戴呼吸防护面具;规范的实验场所。
19、实验室发生意外中毒的主要原因有皮肤接触吸收、呼吸道吸入误食。20、实验室安全装备有灭火器、洗眼器。
21、实验室中毒紧急处置方法有:误服吞咽中毒及时反复漱口,出去口腔毒物外,应该进行催吐或及时洗胃。吸入毒气中毒者应先将其转移至室外或其他空气流畅的房间。
22、实验室环境污染的预防措施有:将各种溶剂倒在相应的回收瓶和废液缸中。当不清楚如何处理某物质时,应先查阅相关手册或咨询教师。用过的玻璃容器丢弃在专门的固体废物收集容器中。
23、剧毒品在储运、使用时应严格执行“五双”包括:双人运输、双人保管、双人使用、双锁。
24、实验室一般废液收集的一般要求配备专门的废液收集容器,收集容器应是可密封的专用塑料容器或试剂瓶。得使用敞口容器存放化学液。放置于实验室较阴凉并远离火源和热源的位置。
25、剧毒化学废液收集的一般要求是要按剧毒试剂管理的规定进行妥善保管。做好记录,贴好标签。
26、废旧化学试剂的收集要求是废旧化学试剂应在原瓶内存放。保存原有标签。注明废弃试剂。按剧毒化学试剂管理规定进行妥善保管。
27、实验室废渣处理要求贵重或稀有材料应尽量回收,力求变废为宝;严禁随处扔弃有害。废渣实验室废弃物收集的预处理方法有:酸化如叠氮化合物及雷酸盐可加酸使之酸化;碱化如卤氮类化合物可用氨使之碱化;过氧化物可用还原剂还原。
28、一般化学类废物处理方法酸碱中和、混凝沉淀。
29、废液处理的基本方法有物理法、化学法、生物处理法。30、物理法废液处理时,包括筛滤、絮凝、沉淀、过滤。
31、物理化学法处理废液常用的方法有吸附法、吹脱法。
32、实验室废弃物集中处理的主要方法包括露天焚烧法、焚秽炉焚烧法、下水道排放法、蒸发法。
33、蒸发法用于一些具有挥发性的有机物或溶剂,其数量很少,毒性小时。这些有机物不包括乙醇、甲苯。
34、使用露天焚烧法处理废弃物需要注意的有焚烧地点应选僻远无人的空旷处,必要时配备防火衣、手套和洒水壶。实验室废弃物处理量大的时候,可以选用此法。
35、掩埋法处理实验室废弃物需注意以下几点有害物为水不溶或难溶物时,可采用水泥、石灰等固化。必要时可在掩埋点四周设置障碍物及醒目标志。
36、易爆化学品处理需要注意:处理易爆化学品必要时使用防护用具和屏蔽;容器进行防 10 震处理;避免在酷暑高温时进行处理。
37、下水道排放法处理实验室废弃物注意:不污染水源,排放浓度应符合国家有关河道污染容许的水平的规定;不形成易燃蒸气或其他危险性产物;不会腐蚀或损坏下水道;不影响下水道的正常运行。
38、硫酸亚铁和葡萄糖不属于剧毒品。
39、人体吸入大量氢氟酸气体症状包括:接触低浓度氢氟酸使,可产生流泪、流涕、喷嚏、鼻塞等症状;皮肤接触氢氟酸是,可出现疼痛及皮肤灼伤,疼痛渐剧至难以忍受;接触高浓度氢氟酸时,可引起鼻、喉、胸骨烧灼感,嗅觉丧失;皮肤接触高浓度氢氟酸,立即发生疼痛,也可形成水疱,不易愈合。
40、防护面具大致分为:防尘口罩;滤毒罐式防毒面具;供气式防护面具。
41、使用大量易挥发有毒物的实验室应安装的设施有排气扇和通风橱。
42、误服吞咽中毒急救办法包括:漱口;催吐;洗胃;服用牛奶或鸡蛋使毒性缓解。
43、危险化学药品的特点包括易燃易爆;剧毒;放射性。
44、实验室废弃物收集注意事项包括:尽可能对大量使用的有机溶剂在确保前安全的情况下自行回收提纯再利用;尽可能对有毒有害废液进行无害化处理。
45、实验室废弃物处置需要符合国家法律法规;超出排放标准的实验室应安装符合环境保护要求的污染治理设施;不能自行处理的废弃物,必须交由环境保护行政主管部门认可持有危险废物经营许可证的单位处置。
第四部分
1、爆炸性混合物的危险性是由它的爆炸极限、传爆能力、引燃温度和最小点燃电流决定。
2、爆炸是指物质瞬间发生物理或化学变化,同时释放出大量的气体和能量(光能、热能、机械能)并伴有巨大声响的现象。
3、爆炸不是所有化学危险品的一个重要性质。
4、不可以用烘箱干燥有爆炸危险性的物质。
5、存有易燃易爆危险品的实验室禁止使用明火。
6、湿度不是发生爆炸的基本因素。
7、不可以在粉尘操作区饮食及吸烟。
8、不可以将实验室易燃易爆物品带出实验室。
9、实验室冰箱内不得混放容易产生放热反应的化学品。
10、易燃、易爆气体和助燃气体(氧气等)的钢瓶不得混放在一起,并应远离热源和火源,保持通风。
11、砂尘不会发生爆炸。
12、可燃气体的爆炸下限数值越低,爆炸极限范围越大,则爆炸危险性越大。
13、爆炸性混合物燃爆最强烈的浓度是爆炸极限的说法不正确。
14、化学性爆炸亦可称为瞬间燃烧。
15、氢气在不纯的氧气中点燃会发生爆炸,此种爆炸属于化学爆炸。
16、发生粉尘爆炸的首要条件是浓度超过爆炸极限是不正确的。
17、生石灰不可能发生爆炸。
18、氧气瓶直接受热发生爆炸属于物理性爆炸。
19、燃烧的必要条件是可燃物、氧化剂、点火源。20、在易燃易爆场所,可以使用铜制的工具。
21、面粉可能会发生爆炸。
22、易燃、易爆物品和杂物应该堆放在单独通风的实验室内。
23、在易燃易爆场所不能穿带钉鞋。
24、日光直接照射或聚焦日光照射是能够引起爆炸的激发源。
25、实验室的爆炸中,最常见的是化学性爆炸。
26、所有可燃气体、蒸气、雾滴、粉尘与空气所形成的混合物的爆炸,属于爆炸性混合物爆炸。
27、将易燃易爆物质与空气隔绝,是防爆的有效措施。
28、化学爆炸事故会产生具有强大威力的冲击波。
29、盛装空气的气瓶颜色为黑色,盛装氢气的气瓶颜色为深绿色,这种说法是错误的。30、氧气瓶和氮气瓶的检验周期为3年是错误的。
31、为避免线路负荷过大,而引起火灾,功率1000瓦以上的设备不得共用一个接线板。
32、创造安全、卫生的实验室工作环境,不仅是实验工作人员的责任。
33、电气设备和大型仪器须接地良好,对电线老化等隐患要定期检查并及时排除,这种说法是错误的。
34、实验室不得乱拉电线,套接接线板。
35、在开放实验室,外来人员不可随便操作实验室仪器设备。
36为保证安全用电,配电箱内所用的保险丝应该尽量粗,这种说法错误。
37、遇到停电停水等情况,实验室人员必须检查电源和水源是否关闭,避免重新来电来水时发生相关安全事故。
38、实验室内不可以使用木制配电板、闸刀开关、花线电缆。
39、实验过程中如发生事故,应冷静妥善地处理,尽量把事故解决在萌芽状态。如较为严重,有危及人身安全可能时,应及时撤离现场,并通知邻近实验室工作人员迅速撤离,尽快报警。
40、发生各类案件时应立即报案,妥善保护案发现场,若有人受伤,在救人时应尽可能记住现场破坏前的情况(如手机拍照等)。
41、人体触电,双手触电致死比单手触电致死的概率要大得多。
42、计算机使用完毕后,应将显示器的电源关闭,以避免电源接通,产生瞬间的冲击电流。
43、安全事故处理本着先人后物的原则,果断地、坚决地快速处置。
44、实验仪器使用时要有人在场,不得擅自离开。
45、实验室的电源总闸没有必要每天离开时都关闭,只要关闭常用电气的电源即可,这种说法是错误的。
46、学生进入实验室学习、工作前应接受安全教育、培训,并通过考核。
47、毒害品是指其通过各种途径进入动物体内后,能与生物的体液和组织发生生物化学作用或生物物理学作用,扰乱或破坏肌体的正常生理功能,引起暂时性或持久性的病理改变,甚至危机生命的物品,这种说法是错误的。
48、水俣病是指人或其他动物食用了含有机水银污染的鱼贝类,使有机水银侵入脑神经细胞而引起的一种综合性疾病,是世界上最典型的公害病之一。
49、使用化学药品时,一般药品可以用鼻子去嗅,口尝,或用手直接接触药品,这种做法是错误的。
50、实验完毕及时洗手,条件允许应洗澡,必要时应漱口后方可离开实验室。
51、吸入毒气中毒者应先将其转移至室外或其他空气流畅的房间。
52、吸入氯气及溴蒸气者,不可采用碳酸钠溶液漱口。
53、可以直接排放实验室三废的基本要求是无毒、或排放浓度低于国家或有关部门所规定的最高允许浓度;不含病原体、致癌物、诱变物、致畸物,或使排放浓度低于国家或者有关部门所规定的最高容许浓度。
54、危险化学药品是指易燃、易爆、剧毒及其他带有危险性的物品,这种说法错误。
55、剧毒化学品使用后的废渣、废液、废气有使用人严格执行环保规定,不得私自乱倒。
56、剧毒化学品使用后的空容器不可以作为一般药品容器处理。
57、将剧毒物质倒入一般废液收集桶中收集,这种做法不正确。
58、几种剧毒物质废液混在一个容器中收集,这种做法不正确。
59、剧毒化学废液收集按剧毒试剂管理的规定进行妥善保管。
60、实验室废弃物收集的预处理方法中叠氮化合物及雷酸盐可加酸使之酸化。61、化学类废物处理中废物可混合贮存,且用敞口容器存放,这种做法不正确。
62、化学法处理废液是从废液中回收有用成分、分类溶解物质以及使废液循环利用等过程。63、生物处理法是利用生物的生命活动去除废液中污染物质的各种方法。
64、焚秽炉焚烧法在处理时,可先烧危害性不大的废物,待炉温升高后,再烧其他物品,这样可使易燃液体的蒸气获得充分的燃烧,并使刺激性有毒物质分解。65、露天焚烧法适用于实验室废弃物处理量大时,这种说法错误。
66、有些场合,含有多量过氧化物的乙醚等,不可用直接撞击、引爆的方法处理,这种做法错误。
67、皮肤接触高浓度氢氟酸,立即发生疼痛,也可形成水疱,不易愈合。68、在通风良好的实验室内不可以饮食和吸烟。
69、严禁将化学品携出实验室,带往家中或者其他生活场所,装过化学品的容器通常不应改装食物。
70、高浓度的硫化氢、一氧化碳等毒物污染区以及严重缺氧环境,参加救护人员需佩戴滤毒罐式防毒面具,这种说法是错误的。
71、实验室不能自行处理的废弃物,必须交由环境保护行政主管部门认可持有危险废物经营许可证的单位处置。
72、生物类废弃物处理中固体可燃行废物混合收集,一律及时焚烧,这种做法不正确。73、电子废弃物含有镉、汞、六价铬、等多种有害物质,不可以用焚烧的方法处理。74、实验室报废的仪器、电路板、家用电器等都不应该随意抛弃,应进行回收处理。75、物理化学法处理废液包括筛滤、混合、气浮等方法,这种说法错误。
安全准入 篇6
[摘要]国际投资蓬勃发展,各国有关国际投资的准入政策也朝着更自由的趋势发展。我国是世界上最大的发展中国家和最大的资本输入国,既要抓住这个发展的良机,又要在国际投资准入自由化和国家经济安全之间寻求一个平衡点。本文就在分析我国国际投资准入自由化发展的基础上从政策调整的角度出发,给出一些建议,以期趋利避害,良性发展。
[关键词]国际投资;自由化;国家政策;市场准入
[DOI] 10.13939/j.cnki.zgsc.2015.08.139
随着经济全球化的不断发展和众多新兴市场经济国家的崛起,国际投资蓬勃发展,各国针对国际投资的准入政策也朝着更自由,更宽容的趋势发展。我国作为最大的发展中国家,自然不会例外。
1 我国国际投资准入自由化的发展
国际投资准入自由化伴随着经济全球化发展至今,主要表现在:(1)“投资”含义的扩大化;(2)国际投资中禁止业绩要求范围扩大;(3)国际投资准入范围扩大化三个方面。三者之中,国际投资准入范围扩大是最重要的表现。
表1是1997年以来我国外商投资产业指导目录的统计表。通过分析比较表1后,可以发现:(1)目录中所列的产业总数越来越多,从1997年328项产业到2011年的473项,增长率达到了44.2%;(2)目录中鼓励外商投资的产业也逐年增长,从1997年186项到2011年的354项,增长率高达90.3%;(3)目录中限制外商投资的产业则逐年减少,从1997年111项到2011年的80项,下降率达到27.9%。这些数据都体现了我国对外资的准入政策也朝着更加自由化的趋势发展。
2 国际投资准入自由化对我国经济的影响
我国作为世界上最大的新兴市场经济国家,对国际投资的吸引力非同一般。改革开放以来,我国利用丰富的外资实现了经济腾飞;但在新时代新阶段下,投资准入自由化的发展对我国经济而言又是一把双刃剑。
2.1 投资准入自由化发展对我国经济的积极影响
第一,促进资本流入,促进经济增长。随着投资准入自由化程度的不断提高,国际投资大量进入我国,弥补了我国经济建设的资金缺口,直接推动了我国经济的高速发展。
第二,推进产业升级,改善就业状况。20世纪90年代以来,外商投资的重点转向资本和技术密集型产业,正符合我国对产业结构优化升级的需求。同时,外资企业也为中国提供了更多的就业岗位。此外,跨国公司对员工技能和综合素质培训的重视大大提升了我国劳动者的综合素养。
第三,促进技术创新,提高管理水平。掌握高精尖技术跨国公司的进入能够增强我国的技术创新能力。同时,国内企业可以学习跨国企业的先进企业管理经验,提高企业管理水平。
2.2 投资准入自由化的发展对我国经济的消极影响
第一,冲击民族企业,威胁经济安全。跨国企业竞争优势明显,进入国内市场后会对国内企业形成巨大的冲击。同时,投资准入自由化的发展会方便国际游资进入东道国国内,在冲击经济的同时加速金融危机的传播,2008年的国际金融危机的快速传播就是一个例子。
第二,国际投资不均,区域发展失衡。受我国对外开放政策所限,国际投资的地域分布十分不均。相较于中西部地区,东南沿海地区吸引了绝大部分的外资。这种情况扩大了地区发展差距,造成我国区域经济发展失衡。
第三,国际产业转移,环境压力增大。随着国内环保标准的日益严格,作为外资源头的发达国家逐渐将本国高污染产业转移到发展中国家。因此,我国在引进优质外资的同时也引进了一些高污染产业,这些产业的进入会严重破坏我国的生态环境。
3 对我国有关国际投资准入政策改进的建议
正如上文所述,国际投资准入自由化的发展对我国经济而言是一把双刃剑。但国际投资准入自由化已是大势所趋,作为最大投资输入国的我国自然无法独善其身,那么我们就必须在国际投资准入自由化和国家经济安全之间寻求一个平衡点。而调整国内外资立法与政策与参与制定区域性和多边投资规则就是两个较好的方法。
3.1 调整国内外资立法与政策
第一,调节外资的税收优惠,平等对待内外资。税收优惠政策是各国招商引资的重要手段。改革开放之初,适当的税收优惠措施为我国经济建设吸引了大量外资。而经过30多年的建设,我国经济水平大大提升,经济总量跃居世界第二位。这种情况下,给予外资大量的税收优惠已不合时宜,会对民族企业的生存和发展构成巨大威胁。因此,当前我国应在税收政策上对国内外投资者一视同仁,仅给予外资国民待遇。
第二,保护民族产业,对外资控制与开放相结合。虽说目前国际投资准入有着明显的自由化趋势,但即便是投资准入自由化程度最高的美国,在关乎国家经济命脉的行业也会对外资进入进行限制和禁止。作为发展中国家的我国既要顺应国际投资准入自由化趋势,允许外资进入,又要严格控制外资进入的规模和程度,以保护国家的经济安全、保护民族产业发展。
第三,区分不同情形,放宽审批程序。现今,世界上各国对外资进入设置的程序有申报制、审批制和申报与审批并行制。投资准入自由化程度高的少数发达国家,如美国,实行申报制。我国和大多数发展中国家都采取较为严格的审批制,然而审批制对外资进入又会构成一定障碍。
在这种情况下,我国应借鉴外国发达国家在发展过程中累积的先进经验,采取分别申报制和审批制:仅对超过一定数额标准的大型投资实行审批制,而对外国中、小型投资实行申报制。但对涉及重点行业、影响国家经济安全的项目,无论其规模大小,均应实行严格的审批制。
3.2 参与制定区域性和多边投资规则
发达国家制定了现行的国际经济贸易法律规范,而规则的制定者往往都是规则的受益者。面对这种情况,我国若想在国际投资准入自由化的浪潮下保护自己的经济利益,就应当努力成为区域性和多边投资条约的推动者、制定者,将自身立场和利益关切反映到条约的条款中去。目前来说,中国—东盟自由贸易区投资规则和WTO全球多边投资规则的制定工作就是我国拥有的两个将自身立场和利益反映到条约条款中的契机。
4 结 论
国际投资作为国际间资金流动的重要形式,是资金不充裕的发展中国家所必不可少的发展资源,然而过快的投资准入自由化进程会损害国家的经济安全。我国作为世界上最大的发展中国家和最大的资本输入国,要用好投资准入自由化发展这把双刃剑,趋利避害,以期能在国际投资准入自由化和国家经济安全之间寻求一个平衡点。
参考文献:
[1]UNCTAD. Investment Policy Review of China: Progress and Reform Challenges[J].OECD Emerging Economies,2003.
[2]UNCTAD.World Investment Report[R].UNCTAD,2004.
[3]刘丰.论外资准入的自由化趋势[J].集团经济研究,2005(6).
[4]慕亚平.国际投资的法律制度[M].广州:广东人民出版社,1999.
[5]余劲松.TRIMs协议研究[J].法学评论,2001(2).
[6]张汉林等.复兴之路:WTO与中国经济未来[M].北京:人民日报出版社,2002.
安全准入 篇7
1 市场准入机制的内涵
在世界贸易组织体系中, 市场准入是指关于别国产品和服务进入本国市场的规定, 指在多大程度上允许别国商品和服务的进入, 也就是开放市场的问题。为保护国内企业的生产免受进口商品的冲击, 多数国家都对在国际市场上没有竞争力的产品或行业进行限制, 不让外国商品无限制地进入本国。
当前在推行农业标准化过程中实行的市场准入制度, 与WTO的市场准入并不是一个完全相同的概念, 主要是指对经认证的无公害农产品、绿色食品、有机农产品和经检测符合国家质量安全指标要求的农产品, 准予进入市场销售;对未经认证或经检测不合格的农产品, 禁止进入市场销售的管理制度。凡进入市场销售的农产品应当出具能够表明产地来源的证明。同时, 要建立起一套规范完善的管理制度, 使农产品市场准入有章可循、有法可依, 从而在制度上保障合格农产品能够顺畅入市, 同时又能将不合格农产品拒之“市”外。
2 市场准入机制是提高农产品质量安全的重要手段
运城市是个典型的农业大市, 是全省重要的粮、棉、果、菜、畜产品主产区, 外向型农业呈现强劲发展势头。近年来, 在相关部门的扶持下, 全市大力推行标准化生产, 加速农产品质量认证进程, 深入开展源头净化治理, 逐步完善检测体系及市场体系建设, 广泛开展宣传教育及培训活动, 全面提高监管能力, 使全市农产品质量安全水平有了显著提高。在农产品供求进入总量平衡的新时期新阶段, 食品安全备受关注, 现有的监管手段和监管水平根本无法满足城乡居民对食用农产品质量安全及其信誉制度建立的需求, 更不能满足现代农业优质优价市场效应的需求。
农产品批发市场一头连着生产, 一头连着消费, 是农产品流通的主要环节, 也是加强农产品质量安全监管的一个关键环节, 地位非常突出, 因此, 市场准入便成为市场建设的必然趋势。目前, 运城市农产品批发市场存在多、杂、乱现象, 致使一些不合格的果、菜、肉、水产品有了存在的空间, 严重威胁到城乡居民的身体健康。为此, 政府和农业部门要从推行农产品例行检测和农产品市场准入制度两方面入手, 把住农产品生产、销售的出口和入口, 确保上市销售的食用农产品的质量安全, 建立完善追溯和承诺制度, 确保百姓消费安全放心。
3 市场准入机制实施的主要措施
市场准入制是农产品质量安全监管的重要环节, 也是形成优质优价市场效应的重要举措。目前运城市在推进农产品质量安全监管及市场准入上进行了一系列探讨、示范和基础性准备工作, 积累了一定的经验。下一步, 运城市将按照统一规划、分步实施、逐步推进、不断完善的原则, 分品种、分阶段、分步骤、分区域逐步推行市场准入制。必须做好以下工作。
3.1 加大基地建设和监管力度
鼓励有条件的涉农企业和农产品协会建立无公害、绿色、有机农产品的标准化生产基地, 鼓励和引导其申报产品认证, 推行标准化生产, 建立农产品生产档案, 完整记录农业投入品使用、病虫害防治等情况。同时, 农业部门要加强对基地农民的培训, 广泛开展现代农业技术推广工作, 提高基地农民的标准化生产水平, 切实构筑起可供追溯和问责的质量安全监控系统, 做好质量安全保障工程从基地到市场的有效衔接。
3.2 规范农业投入品的销售及使用行为
根据市政府相关要求, 将高剧毒农药的定点销售权全部收回, 由农业部门统一管理, 所有必须使用高剧毒农药的防治行为必须有技术员的现场监管。农业局执法队伍要加大对农药、肥料、种子的生产销售企业的排查力度, 严厉打击制售、使用违禁农业投入品和假冒农业投入品的违法行为, 全面整顿农资市场, 最大限度地从源头上确保农产品质量安全。
3.3 营造舆论氛围
利用多种媒体、多种形式, 广泛宣传农产品市场准入和农产品质量安全法律法规及相关知识, 增强农产品生产者、经销者和消费者的质量安全意识, 引导城乡居民的健康消费, 提高获证及其他优质农产品生产者的积极性。
3.4 建立完善市场检测体系
根据质量认证情况, 所有入市的农产品采取凭证入市免检、索证抽检和现场检测3种不同方法, 进入市场销售。批发市场、农贸市场、超市、配送中心应当设立或者委托农产品质量安全检测机构, 对进入市场销售的农产品质量安全状况进行抽查检测并公示检测结果, 发现不符合国家质量安全标准的农产品, 不得允许进入该市场销售, 也不得转销其他市场或者其他经营者, 并依法向农业行政主管部门报告。农产品检测证书、检测结果在经营场所的显著位置公示。
3.5 建立健全农产品质量公示及信誉制度
农产品批发市场、农贸市场和大型超市, 应当在显著位置设立农产品质量安全公示牌, 每天将农产品质量安全检测结果进行公示。农业部门每周公布一次农产品质量安全状况信息。所有使用获证农产品的宾馆、饭店及学校食堂, 就所使用农产品质量安全情况向消费者作出承诺。
3.6 加强对市场的监督管理
农业部门负责农产品市场准入工作的组织协调与监督管理, 对农产品进行监督抽查, 对农产品质量安全违法案件进行查处, 统一收集汇总发布农产品质量安全信息和消费预警, 处理农产品质量安全应急事件。一旦发现不合格农产品, 应当及时查明责任人, 依法予以处理或者提出处理建议。
3.7 加大财政投入力度
安全准入 篇8
煤矿高压供用电系统将地面电力电网的电能安全输送到井下电网,并合理分配和使用,为井下电气装备提供基本的动力保障(以下所称高压,泛指额定电压为3.3,6,10kV电压等级[1])。安全可靠的高压供用电系统是实现井下安全装备和生产装备可靠运行的重要基础,更是保障煤矿安全生产的基本手段。随着我国煤矿开采向深部延伸,井下生产环境日趋恶劣,在高温、高湿、高粉尘、腐蚀和易燃易爆等应用环境中,高压供用电设备直接或间接引发的事故一直处于较高比例,事故诱因和安全隐患复杂多样。且煤矿开采强度增大,综合机械化、自动化、信息化和成套化需求增长,高压供用电设备仍处于发展时期,种类逐渐增多,保有量随开采深度和范围的加大而不断增加,并呈现大功率(容量)、多参数、智能化、功能组合化、节能环保等发展趋势。目前,现有的安全准入测试能力已落后于高压供用电新技术和新设备的发展,行业内尤其缺少新设备在井下特殊应用环境下关键性能的测试能力,是制约新设备在安全准入阶段查除隐患和事故调查阶段分析验证的重要技术因素。为此,本文重点介绍了煤矿高压供用电设备的若干特点、技术现状和发展趋势,分析了高压供用电设备安全现状。在此基础上,结合正在实施的国家级煤矿高压供用电系统安全准入分析验证实验室建设项目,探讨了项目的研究和建设内容。
1 煤矿高压供用电设备特点
我国约98%的煤矿为井工开采,平均开采深度在500m以上,超过1 000m的矿井已有47座,最深达到1 501 m[2],且每年以20 m以上的速度延伸,地应力、瓦斯压力和承压水层压力增大[3-5]。环境温度逐步升高,据2010年统计,已有62个高温矿井[6],部分矿井温度高达40 ℃,预测“十三五”期间高温矿井数量将达140 多个。煤矿湿度普遍高达90%RH,有时高达98%RH。全部属于瓦斯矿井,其中50%以上为高瓦斯矿并伴有突出危险[5],80%以上具有煤尘爆炸危险性。生产过程产生的粉尘较多,局部地方高达5 000 mg/m3。部分矿井的SO2和H2S含量超过规定。井下空间狭小,负荷分散且变化大。因此,煤矿井下复杂作业环境决定了供用电设备具有行业特殊性[7]:1 采取防爆型式保证电气火源不引燃、不引爆设备外界的易燃易爆物质,且防爆等级与其他行业要求不同。2 采取严格的过流保护、漏电保护和安全保护接地措施。3 采用中性点不接地供电方式,发生单相接地故障时,允许电网短时间继续运行。4 工作面供用电设备随工作面的推移而搬移频繁,且供电距离不断增加。
2 煤矿高压供用电设备现状和发展趋势
大型煤矿的显著特点:一是综采工作面走向长度增长,过去不超过2km,现在长达3~6km;二是用电负荷大,设备总功率大,单个综采工作面装机容量达到10 000~20 000kW。低电压等级的输送容量和距离已不能满足(特)大型煤矿供电需求,当前,中小矿井一般采用6kV等级供电,大型矿井多采用10kV等级供电。高电压直接接入生产和安全装备是井下供电的发展趋势,例如,6kV和10kV电压直接接入主要通风和运输设备,3.3kV电压直接接入高效、大型采掘工作面的掘进机、采煤机、刮板输送机、破碎机等主要设备,设备功率(容量)不断提高。
(1)供配电方面:移动变电站容量达8 000kVA,预测超过10 000kVA。高压配电装置短路开断电流普遍为12.5kA,最高达到31.5kA,预测达到50kA,相当于供电系统短路容量已接近或超过中等规模110kV变电站,继续增大短路开断电流可能性较小。 无功功率补偿装置补偿容量已达2 500kvar,预测无功补偿容量超过3 000kvar,滤波器总电流达到100~150A,基本满足5 000kW感性负载的无功功率补偿和谐波含量15%时的谐波抑制需求。组合开关总电流已达1 500 A,最多出线为14回路,预测总电流超过2 000A,出线增至20回路。
(2) 整机装备方面:采煤机装机功率为2 590kW,刮板输送机功率为1 600kW×3,工作面巷道带式输送机功率为1 000kW×7,大巷带式输送机功率为1 600kW×3。
(3)用电设备方面:隔爆型电动机单机最大功率已达4 500kW,隔爆型变频器单机最大功率已达1 600kW。由变频器和交流电动机组成的变频电传动系统,具有调速性能优异、节能效果较为明显等优点,将获得广泛应用。预测变频器和交流电动机最大单机功率都会达到5 000kW,受井下空间和设备体积限制,变频器和电动机功率再有增长需求时,可能采用联机技术方案,继续增大单机功率可能性较小。
(4)设备功能和性能方面:通过逐步移植等手段,提高行业技术创新力。一是增强设备安全功能,采取更加严密、齐全的主保护和后备保护,提高设备安全系数、运行可靠性、使用寿命。二是发展智能化、组合化、多参数和节能环保新技术,例如具有遥测、遥信、遥调、遥动功能的自动化技术,测量、控制和通信一体化的继电保护技术,智能电网技术和变频电传动成套技术,以及具备网络通信功能的智能电器、有源电力滤波器APF、多功能组合开关、变频变压器和无功功率补偿装置SVG等。
(5)由设备引发的安全事故和隐患尚未杜绝:据统计,电气火源是煤矿井下火灾和瓦斯煤尘爆炸事故的主要点火源[8]。高压供用电新技术和新设备不断涌现而引发的新型和潜在安全隐患,仍未得到根本遏制,原因如下:1 直接原因是设备安全性不足,电弧、静电火花不可控、设备失爆造成火灾或瓦斯煤尘爆炸事故。例如,防爆外壳的隔爆性能受到短路故障电流大小和持续时间的影响,当设备发生较大能量短路电弧且持续时间过长时,爆炸生成物将沿隔爆间隙喷出,甚至烧穿防爆外壳[9],温度也会急剧升高,可能引燃外壳表面堆积的煤尘。又如,采掘工作面电缆漏电事故较为频繁,电动机烧毁现象比较严重,若遇瓦斯超限,发生爆炸,则后果不堪设想。2 间接原因是设备可靠性不足,造成通风、排水或提升机故障。例如,电性能降低或功能性缺陷,扩大故障范围;信息化、自动化程度较低,设备误动或拒动;监测监控或预警能力较差,非故障段落无计划停电,井下极易产生瓦斯积聚超限现象,是引发瓦斯爆炸恶性安全事故的重大隐患。无计划停电的主要原因是一般的继电保护方式难以满足纵向、横向选择性的实际需要:由多段短电缆组成的纵向逐级控制干线式井下供电网络[10],各级母线短路电流差异小,若上下级开关动作时限不够精准且配合不好,短路电流易同时达到整定值,造成越级跳闸现象;电压跌落值和持续时间超限后,若同一级母线开关失压保护延时不够,引起开关误动,会扩大停电事故范围。同理,漏电保护整定面临同样困难。3 井下供用电系统的功率因数较低,谐波含量较高,频率不稳,网压波动、浪涌和电磁干扰较大。电能质量降低和电磁环境恶化带来的安全隐患应得到足够广泛的重视,如采掘装备经常需要重载密接通断,采、掘、运装备的电动机不能总是运行在额定工况,工作面电功率因数仅在0.7左右,导致设备有功输出降低,异常发热,启动困难,易处于过载状态,产生谐波分量,冲击性无功功率负载还会导致电压剧烈波动。又如,非线性电力电子器件的井下应用逐年增加,谐波污染较为严重,局部地方谐波含量超过15%,易引起继电保护和自动装置误动作、设备绝缘老化加速、产生机械振动或过电压、仪器仪表误差增大、通信质量降低等问题。
3 煤矿高压供用电设备安全准入测试能力现状及存在的问题
3.1 测试能力现状
矿用产品需经过测试、评价与审批,取得安全标志后方可下井使用,专业化的技术支撑保障在控制重大事故中发挥着至关重要的作用[11]。根据煤矿安全生产需要,煤炭行业内建有矿用低压供用电设备安全准入分析验证实验室。实验室已具备的能力:1 1 140V及以下低电压设备的安全性能试验能力,例如低压开关短路通断试验能力为50kA/380 V、低压无功功率补偿装置试验容量为960kvar,可对额定容量为6 300kVA的变压器、额定功率为630kW的低压变频器和交流异步电动机进行安全性能测试。2 高压供用电设备部分参数的测试能力,可进行交变湿热试验、温升和动作特性试验、漏电和绝缘性能试验等。受诸多因素影响,对于投资大、技术复杂的电气性能试验,例如测试高压开关的短路开断与关合电流,则通过分包其他行业实验室来完成,给安全准入工作带来较大困难。
3.2 存在的主要问题
(1)测试能力和手段无法满足现实需求。最近几年,高压供用电新技术和设备得到了长足发展,其测试要求已超越现有安全性能分析验证手段和能力,且差距越来越大。具体表现在2个方面:一是仅具备现有高压设备部分性能参数的测试能力,不能对高压设备进行全部型式项目的安全性能分析验证。特别是缺少高压开关短路开断和关合电流、变频器负载特性、无功功率补偿装置连续运行范围和变压器突发短路等关键参数指标的测试能力;缺乏新功能、新参数的分析验证能力,例如很难测试智能电器的通信功能以及变频器与电动机相融合的变频调速一体机的负载特性。二是现有测试功率(容量)小,与现实和未来的设备发展需求之间存在很大差距。例如,移动变电站等大型设备的长和高超出现有防爆试验罐体的几何尺寸,较难完成内部点燃不传爆试验;又如,组合开关出线回路增多、总电流越来越大,无法通过现有设备完成大型组合开关的温升试验。这些问题的存在,导致在安全准入和事故调查阶段无法全方位分析验证设备安全功能、参数的合理性和完备性,以及在特殊应用环境中设备自身的安全性能,难以全面深入地排查高压供用电设备安全隐患,不能满足当前及未来煤矿安全生产需求,同时也制约了行业技术进步。
(2)安全标准的参数验证能力不足。高压供用电设备的安全标准、规范和规程是安全准入测试工作的重要技术依据,其中的安全功能和参数,经过分析验证后才能保证完整性、适用性和操作性。因测试能力滞后和手段不足,目前较难开展安全标准的功能验证和参数分析工作,具体表现在3 个方面:一是部分现行高压供用电设备的安全标准、规范和规程不完善。例如,综采工作面供电从1 140V提高到3.3kV电压等级后,相关标准和规程(包括《煤矿安全规程》)对如何采取安全措施无明确规定,该等级电压设备的启停修理等操作只能沿用或借用其他电压等级的内容;《煤矿安全规程》规定矿井电网必须采取措施限制单相接地电容电流不超过20A,而国外标准和规程及我国地面标准《电力装备过电压保护及设计技术规程》均把接地故障电流补偿限值规定为10~15A。二是部分现行安全标准和规范的修订间隔时间较长,动态性较差,导致设备的技术指标超出标准规定,如《矿用隔爆型高压配电装置》规定的最大开断能力为20kA,而实际的最大需求已达31.5kA。三是新技术、新设备的标准研究滞后于现实需求,如有源滤波器APF、高效节能电动机等尚无矿用安全标准,致使新技术、新设备无法规模化应用到煤炭行业。
(3)其他行业测试能力不适用于煤矿高压供用电设备安全准入测试。从安全生产技术支撑角度出发,仍需建立专门的煤矿高压供用电设备安全准入测试实验室。其原因:一是煤矿井下的供用电工况与地面差异较为明显,电压等级、供用电网络结构和供电方式也有自身的特点,其他行业测试未考虑煤矿井下复杂恶劣应用环境及安全可靠性能的特殊性。例如,《标准电压》虽列有3kV(3.3kV用户有要求时使用)电压等级,随着负荷的增大,其他行业正逐步淘汰3kV电压等级,难以进行煤矿特有的3.3kV电压等级测试。二是与其他行业测试相比,煤矿高压供用电设备安全准入测试关注的侧重点有所不同:煤矿高压设备不仅能稳定可靠地发挥电气性能,在易燃易爆环境中自身的安全可靠性同等重要;设备防爆等级和测试内容要严于其他行业要求。三是其他行业的测试工作量大、任务饱和、周期较长。此外,高压供电设备制造商具备的测试能力主要针对科研和出厂试验,例如温升、保护动作特性试验等,不能完成开断与关合等核心试验,满足不了高压开关电器安全准入定型测试要求。部分制造商虽具备高压变频器或电动机型式试验能力,但测试品种较单一,同时也不符合第三方测试的管理要求。
4煤矿高压供用电系统安全准入分析验证实验室建设内容
高压供用电设备安全准入测试能力的高低是技术发展和设备生产水平的一个重要标志,实现安全准入测试能力与生产技术同步或适度超前发展,既是煤矿安全生产监管监察技术支撑工作的需要,也是对煤矿安全生产的更高要求。针对安全准入测试能力存在的不足,提出并实施综合性煤矿高压供用电系统安全准入分析验证实验室建设项目,项目研究和建设内容如图1所示。
4.1 矿用高压保护控制电器分析验证系统
矿用高压保护控制电器分析验证系统由开断关合试验装置、高压组合开关试验装置、绝缘试验装置、保护和动作特性试验装置、环境适应性试验装置和智能电器通信试验装置组成。
开断关合试验装置是大型试验系统,包括主回路和测控回路,主回路构成主要包括冲击变压器、试验阻抗、发电机出线保护器、选相开关、陪试开关和保护开关等试验设备以及铜排电缆和绝缘材料。试验装置短路开断试验电流最大为50kA,能按照试验标准要求,完成短路开断、容性电流开合、线缆充电电流开合、短时耐受电流和峰值耐受电流试验(动热稳定性)等试验项目。
高压组合开关试验装置主要包括电源、电子负载和测试设备等;智能电器通信试验装置主要包括频谱分析仪、综合信号测试仪、矢量网络分析仪、射频矢量信号发生器、光调制分析仪等;保护和动作特性试验装置主要包括温升与保护特性试验设备、漏电及电容电流补偿效率测试台、机械特性测试台、真空度测试台等。通过绝缘试验装置的冲击电压试验设备、冲击大电流试验设备、局部放电试验设备等完成绝缘试验,通过环境适应性试验装置的滴/淋/冲水和浸水试验设备、交变湿热试验箱、高低温试验箱和爆炸环境适应性试验设备(含试验容器、配气和测控设备)等完成环境试验。绝缘试验装置和环境适应性试验装置也为变频电传动和无功功率补偿装置试品提供相关试验。
4.2 大容量试验电源系统
大容量试验电源系统由冲击发电机组和电力网试验电源组成。冲击发电机组试验电源主要为高压电器的短路开断与关合试验提供试验电源,在试验断口处能提供对称三相短路容量约950MVA,其电流衰减、持续时间、转速跌落、工频恢复电压等重要参数指标满足试验标准要求。电力网试验电源从110kV变电站两回路进线,其中,35kV专线独立使用变电站电间隔,容量为22MVA,主要为冲击发电机强迫励磁提供电源;10kV电压等级可提供容量8 MVA,主要为冲击发电机的拖动电动机和小容量测试设备供电,如绝缘性能、保护与动作特性、环境适应性等试验设备。
4.3 矿用高压无功功率补偿装置分析验证系统
矿用高压无功功率补偿装置分析验证系统由大功率变频试验电源和无功补偿安全性能试验装置组成,通过试验变压器完成电压变换,以匹配不同试品的电压等级。陪试静态无功发生器或谐波发生器提供试验所需的无功功率或谐波量,考核试品能否按照预期对消无功功率或谐波。试验系统的无功补偿最大测试容量为3 000kvar,谐波发生总电流不低于100A。无功功率补偿容量可从感性到容性区间内满容连续可调,具备实时动态生成基波无功电流和2~50次谐波电流,能选择性生成其中一种或若干种高次谐波组合,并能根据需要设定生成的谐波次段,设定滤除谐波的目标值。
4.4 矿用高压变频电传动设备分析验证系统
矿用高压变频电传动设备分析验证系统由大功率变频试验电源、陪试装置和测控装置组成。试验主回路采用交-直-交结构,陪试装置产生的再生能量通过直流母线回馈至试验电源侧,测控装置用于控制试验流程,测量和分析数据。其中,大功率变频试验电源以同步发电机组为主,完成30~60 Hz频段范围内的试验,超过该范围的低频和高频试验则由变频静止电源完成。陪试装置以交流异步电动机为主,辅助以磁粉制动器,利用齿轮变速箱实现不同极数电动机试品的转速匹配。变频器、交流异步电动机(含变频电动机)单机及变频电传动成套系统的最大测试功率为5 000kW,变频器试品频率范围为5~75Hz,电动机试品极对数为2~10极。该系统要能按照试验标准要求,完成空载、负载特性、堵转、温升和能效测定等试验项目。
4.5 矿用高压供用电网络安全性能模拟分析验证系统
系统应用虚拟仪器技术,利用高性能的模块化硬件,结合高效灵活的软件模块,完成煤矿高压供用电网络参数测试和模拟分析。测试项目主要包括供用电网络最优潮流和无功优化,短路、电能质量、继电保护整定、电网风险、暂态稳定极限模拟等,对网络运行状态进行综合的安全性能验证。
通过建设这些测试系统,将矿用开关类电器、变频器和交流电动机及其组成的变频电传动系统、无功补偿装置等试品的额定电压由1 140 V提升到3.3,6,10kV,完善现有测试功率(容量),弥补关键、核心性能测试能力的不足。项目建成后,实验室承担的技术支撑任务:一是开展设备安全准入的技术审查、安全性测试工作以及井下高压供用电网络安全性能模拟分析工作;二是进行由设备引发安全事故的分析验证,为事故溯源提供科学有效的追踪途径和佐证数据;三是开展关键测试技术、测试方法和与高压供用电相关的安全标准、规程、规范的研究工作,为完善安全标准提供技术依据。
5 结语
安全准入 篇9
随着各种网络安全防护的不断加强, 外部黑客们已很难突破企业网络安全防护。相比外部攻击者, 企业内部泄密的安全防护是关系企业生存与发展的命脉, 若知道这些数据的确切存储位置, 内部泄密者们只需要知道想要什么即可很方便地获取这些信息。为了应对这种状况, 企业终端安全管理系统应运而生, 并在很大程度上解决了内部员工的终端管理问题, 提高了泄密者的技术门槛, 大大降低了数据泄露的概率。
传统的终端安全管理系统有一个非常严峻的挑战:依靠每台终端上安装的客户端管理软件实现终端的安全管理, 如果未安装客户端软件终端或者客户端软件被卸载、停用, 该如何应对这样的情景?网络准入控制技术正是在这样的背景下被应用到终端安全管理环节, 很好地解决了这个问题。
1 网络准入控制原理
网络准入控制的宗旨是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害。借助网络准入控制技术, 可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络, 而未经授权的终端不能接入。
网络准入控制系统基于一个全新系统架构, 它将整个内网安全防护策略划分为逻辑上的3 个组成部分:1 内网边界安全防护, 对来自网络外部的安全威胁进行安全防护;2内网安全威胁防护, 对来自网络内部的安全威胁进行防护;3 外网移动用户安全接入防护, 用于保证内部移动用户在不同网络环境中的自身安全及企业网络安全。 因此, 只有建立完整的网络准入控制体系才能有效保护内部网络安全, 也只有拥有网络准入控制的终端安全管理体系才能够提供终端的全程、纵深终端安全保障体系。
2 网络准入控制技术实现方式
网络准入控制技术主要有以下几种实现方式:1基于802.1x协议的网络准入控制;2思科EoU方式的网络准入控制;3网关型网络准入控制;4DHCP方式的网络准入控制;5ARP方式的网络准入控制。几种网络准入控制技术的比较如表1所示。
其中, 基于802.1x协议的网络准入控制方式由于其安全性、可靠性和多设备厂商支持等特性在市场上得到了大量的应用。本文主要讨论这种类型的网络准入控制技术及扩展应用。
3 基于802.1x协议的准入控制技术
802.1x协议是在802.11协议之上扩展而来, 为了解决基于端口的接入控制 (Port-Based Network Access Con-tro1) 而定义的一个标准体系。
3.1 认证体系
802.1x是一种对用户进行认证的方法和策略, 802.1x认证的最终目的就是确定一个端口是否可用。802.1x的体系结构如图1所示, 它包括3个部分, 即请求者系统、认证系统和认证服务器系统3部分。
3.2 认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP (Extensible Authentication Pro-tocol, 可扩展认证协议) 协议传送认证信息, 认证系统与认证服务器之间通过RADIUS协议传送认证信息。
IEEE 802.1x认证系统利用EAP协议, 在客户端和认证服务器之间交换认证信息, 图2 显示了这种工作机制。
(1) 在客户端PAE与设备端PAE之间, EAP协议报文使用EAPOL封装格式, 直接承载于LAN环境中。
(2) 在设备端PAE与RADIUS服务器之间, EAP协议报文可以使用EAPOR (EAP over RADIUS) 封装格式, 承载于RADIUS协议中;也可以由设备端PAE进行终结, 而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
(3) 当用户通过认证后, 认证服务器会把用户的相关信息传递给设备端, 设备端PAE根据RADIUS服务器的指示决定受控端口的授权/非授权状态。
3.3 认证组网应用
按照不同的组网方式及网络规模, 802.1x认证可以采用集中式组网 (汇聚层设备集中认证) 、分布式组网 (接入层设备分布认证) 和本地认证组网。不同组网方式下, 802.1x认证系统实现的网络位置有所不同。
(1) 802.1x集中式组网 (汇聚层设备集中认证) 。这种组网方式的优点在于802.1x采用集中管理方式, 降低了管理和维护成本, 如图3所示。
(2) 802.1x分布式组网 (接入层设备分布认证) 。这种组网方式的优点在于, 它采用高/中端设备与低端设备认证相结合的方式, 将认证工作分配到众多的设备上, 从而减轻了核心设备的负荷, 满足了复杂网络环境的认证, 如图4所示。
(3) 802.1x本地认证组网。不需要单独购置昂贵的服务器, 可以节约成本。
4 网络准入控制技术在终端安全管理体系中的应用模式
为了有效解决终端在接入企业网络时的认证, 需要将网络准入控制技术和终端安全管理技术有效结合。网络准入控制系统和终端安全管理结合架构如图5所示。
具体认证管理流程如下:
首先, 通过网络准入控制技术, 对接入网络的计算机终端进行实时安全检查, 检查的内容包括:
(1) 账户检查:用户名和密码。防止外来人员私自安装一个相同的Agent后接入网络。
(2) 安全设置规范检查:终端安全设置 (依据各企业的需求) 。检查系统账户, 包括Guest账户和弱口令检查;Windows域检查, 检查终端是否加入指定的Windows域;检查可写共享设置, 检查终端是否设置了可写或者没有权限限制的可写共享;检查终端操作系统补丁安装情况;检查终端的防病毒安装情况及其病毒特征库是否及时升级;检查终端是否有可疑的注册表项;检查终端是否有可疑的文件存在;检查终端是否安装了非法软件。
(3) 终端注册ID检查:检查终端是否在内部网络注册登记过。网络准入控制确保接入网络的计算机终端是合法且符合接入安全管理规范的计算机终端, 并且接受管理终端的计算机终端。
其次, 对接入网络的计算机终端, 可以进行进一步的安全管理和控制, 包括:
(1) 安全加固, 对终端的账户口令、屏保口令、共享目录、自动加载运行的服务进行安全加固, 强制接入网络的终端设备安装规定的防病毒软件并更新病毒特征库, 自动为终端安装最新补丁包, 加强终端的抗攻击能力。
(2) 安全评估, 对连网终端的安全设置和运行状态进行详细评估。管理员可以定义终端的安全策略, 比如账户口令是否是强口令, 目录是否有缺省可写共享, 是否运行了一些危险进程及间谍软件, 是否安装了最新补丁包, 是否安装了规定的防病毒软件并及时更新了病毒特征库, 终端的网络访问流量等。
(3) 安全审计, 对内部网络终端设备的操作和网络访问行为进行安全审计。审计终端文件拷贝、FTP、Email、访问互联网等行为, 审计内部终端是否运行非法软件, 是否未经许便可更改计算机上的软件、硬件配置等。
如果通过评估和审计发现问题, 管理员可以对终端进行集中式的管理和设置。通过集中式控制平台, 也可以进行各种批量的查询和统计。例如1 策略分发。集中、批量、分组对桌面终端计算机进行安全设置、安全状态查询;2补丁管理及软件分发。可以减轻管理员的日常维护工作量, 提高效率, 如为某个部门的所有机器安装防病毒软件;3远程控制。可以让系统维护人员维护远程终端设备;4设备定位。管理员能够快速定位不安全的接入网络的设备, 采取措施来控制攻击的扩散, 甚至直接断开此设备的连接;5资产管理。管理员可以统计汇总连接到网络上所有设备的软硬件配置。
对于不同级别的安全事件, 采取不同的处理流程, 确保重要的安全事件能够得到快速、有效的处理。
5 结语
从终端信息防泄露的实际需求出发, 以终端网络准入控制系统为开端, 构建了一个基于安全终端网络环境的全方位的安全防护体系, 可以有效杜绝终端电脑上受控的安全信息的非法外传。
摘要:探讨了网络准入控制技术在终端安全管理系统中的应用, 介绍了网络准入控制原理和网络准入控制技术的几种实现方式, 对采用802.1x协议的网络准入方式的工作机制和组网应用进行了阐述, 并对网络准入控制技术结合终端安全管理系统全面保护企业内部网络安全的模式进行了统一规划。
关键词:网络准入控制,终端安全管理,802.1x协议
参考文献
[1]韦一.中国数据泄露防护 (DLP) 市场分析[EB/OL].http://www.enet.com.cn/article/2008/1225/A20081225408408.shtml, 2008.
[2]蒋海峰, 苗放.802.1x标准和Radius协议的扩展应用研究[J].计算机应用, 2003 23 (11) .
[3]于承斌, 尚年, 杨慧慧.基于802.1x协议的认证系统的研究与改进[J].计算机工程, 2008, 34 (17) .
安全准入 篇10
为了保证信息安全, 各企业都在构建自身的安全体系, 从防火墙, 入侵检测、关键服务器系统的安全加固等多种安全技术及措施, 特别对大型企业, 随着信息化建设的进一步深入, 企业内部网络带宽的提升, 各类信息系统的开发及应用, 使企业的经营管理水平得到提高, 信息化带动工业化, 信息化推动企业不断创新得到体现。
同时, 信息化的普及提升了管理上的复杂度。为保证企业信息安全, 对联网计算机安全性的关注程度进一步增强。企业中一台联网计算机感染病毒或木马, 会迅速传播到企业的所有联网计算机。或者外部一台存在安全隐患的计算机, 未经认证和授权接入企业网络从而威胁到其它用户。而且, 随着企业联网计算机用户的不断增加, 信息主管部门对联网计算机管理难度不断增大, 企业联网计算机系统的合规性得不到落实, 对企业的信息安全管理带来挑战。构建企业联网计算机安全准入系统, 加强对企业联网计算机的规范管理, 是信息主管部门重要职责。
S y m a n t e c公司的S E P (S y g a t e Enterprise Protection) 系统, 即是基于以上考虑的一个网络端点准入平台, SEP系统通过强制联网计算机符合系统健康策略更好地保护网络资产, 有效地保证远程的连入计算机的安全、提高移动计算机和内部网络的安全性。
SEP系统功能分为四大部分:
第一是终端保护, 包括了主机的防火墙 (如反ARP病毒) 、主机入侵防御、主机防病毒 (结合SAV) 、系统安全检查等功能。
第二是终端管理, 可以通过该功能限制并控制主机上的应用程序, 比如说对IM (即时通讯) 程序, 可以根据用户的需求制定一个黑名单或者白名单, 限制软件的使用。
第三是终端修复功能, 通过结合SMS系统来管理补丁分发及文件分发。
第四是网络准入控制功能, 这个功能是SEP的核心功能, 它会把前面三大类别功能有机结合在一起, 使前面的功能发挥最大的效益。
从图1中我们可以看出, 该产品还有一些很明显的特点, 它可以管理笔记本、台式机、手持设备以及一切端点设备。企业可以灵活制定安全策略, 通过该产品可以运用强制的技术手段保证企业文件能够落到实处, 在技术上有一个支撑平台。采用智能的全自动方式, 不需要管理员手工介入。
另外系统管理员可以操作系统更新程度、防毒软件病毒库更新程度以及系统内软件安装程度等作为准则, 创建自定义的健康策略, 以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性, 也可以将不符合要求的计算机限制到受限网络, 直到它们变为符合为止, 从而彻底杜绝企业网络内部病毒或木马利用网络薄弱环节进行传播和扩散的可能。
2. 某油田企业网络及联网计算机管理现状
某企业计算机网络由主干网、机关园区网和二级单位园区网三部分组成。
主干网指公司核心网络和各二级区域网之间的网络系统。共有机关和二级单位等十几个主要中心汇接点。分为主干光纤网和备份网两部分。主干光纤网由4台核心交换机和若干个中心汇接点中心交换机组成。网络拓扑结构为核心层是10Gb/s环形网, 与其他园区网做星型连接, 连接速率为1Gb/s。其中部分二级单位之间接有1G冗余信道。
主干备份网是由网络核心层与园区网通过DDN信道建立的网络, 速率为2-4M。备份网的核心路由器是Cisco7206, 各中心路由器是Cisco2851或2610。核心路由器与核心交换机相连;各个中心路由器与相应的中心交换机相连。平时数据信息在主干光纤网中传输, 只有当主干光纤和冗余信道中断后, 备份网才可以自动启动。
十几个二级单位园区网与公司核心网络采用星型连接。各园区网中心交换机均为Cisco4500系列。园区主干网络速率100/1000M连接, 10/100M到桌面, 传输介质是单/多模光纤与双绞线的组合。
因特网出口租用两条100M线路, 使用代理服务器和防火墙各两台, 为公司5000用户提供因特网业务服务。
企业网络拓扑结构如图2
所有联网计算机的管理情况如下:
统一安装S y m a n t e c防病毒企业版 (Symantec Anti-Virus, SAV) , 病毒定义由防病毒服务器定期统一进行升级;
统一安装微软系统管理服务器 (Systems Management Server, SMS) , 定期由服务器端统一分发安全补丁程序;
无网络管理软件对网络或节点进行统一管理。
如上所述, 该企业网络内部虽然部署了防火墙、联网计算机安装了防病毒和补丁分发软件进行统一管理, 但没有对联网计算机进行强制管理, 也没有网络管理软件对网络和节点进行统一管理。此时, 如果某台联网计算机没有安装防病毒或者补丁分发软件, 假如某种病毒 (木马, 如ARP病毒) 利用该计算机操作系统的安全漏洞对网络或节点进行攻击, 由于Intranet上的网络高效性, 届时受到影响的就不单是某台计算机或者网络上的某个区域。
因此, 为了从根本上解决企业网内部的薄弱性, 需要制定以下几点策略:
1) 加强内部联网计算机的规范管理, 部署统一的安全措施。
2) 检查内部联网计算机的主机完整性并予以统一的保护。
3) 对内部不合规的联网计算机予以统一的修复。
4) 对外来移动节点接入企业网络的准入控制。
综合以上考虑, 结合SEP系统平台的特点与功能, 对该企业部署SEP系统是十分必要的。
3. 实现SEP的工作思路及策略
3.1 搭建SEP相关的系统平台经分析该企业的网络情况如下:
1) 目前, 该企业整体客户端数量统计为5000个节点, 采用固定与动态结合的地址分配方式。
2) 该企业总部有两条统一集中的Internet出口, 所有客户端通过代理服务器访问互联网。
3) 另外十几家二级单位通过内部链路直接连接核心网络, 连接处采用Trunk方式, 不能使用Gateway Enforcer。
4) 各二级单位有专门的DDN专线备份链路, 并专线连接到总部核心设备。
5) 为了提供远程办公, 该企业提供VPN拨入。
由于该企业客户端数量比较多, 而且网络环境比较复杂、规模相对庞大, 故决定使用硬件平台搭建SEP系统, 即利用策略管理服务器 (S P M) 与Gateway Enforcer和LAN Enforcer配合组建硬件平台的方式。
与仅使用软件的方式相比而言, 全部基于硬件的平台搭建方式具有明显的高可靠性、可用性和弹性, 在以后客户端数量不断增加的情况下, 硬件平台也能够应付自如。
3.2 在网络的部署及连接方式
根据以上对该企业的网络分析, 计划部署SEP平台如下:
1) 在总部部署二台策略管理服务器 (SPM) , 一台作为策略分发管理服务器, 一台作为数据库服务器, 对所有已经安装Agent的客户端进行策略制定和日常管理。
2) 在两台代理服务器与核心Cisco6509之间部署两台正常工作模式下的Gateway Enforcer, 实现对所有访问Internet的终端的强制管理。
3) 在内部部署两台LAN Enforcer, 用以实现对该企业网络接入层客户端安全性的强制检查。两台LAN Enforcer作为互备, 以防网络出现单点故障。但由于L A N Enforcer工作需要交换机的802.1x的支持, 因而可在满足条件的网段内进行强制管理。
4) 使用SPM服务器作为修复服务器。采用分担方式来对该企业约5000客户端进行下发策略管理。
服务器具体配置如表1。
网络拓扑结构如图4。
上述方案的一个明显特点就是双机双线路互备, 此种部署方式杜绝了网络单点故障的问题, 确保了企业的扩展能力和损害恢复能力。
整个Enforcer部署后, 能够管理全部的终端。如果全网所有的接入层交换机均支持802.1X, 那么对此种架构的网络部署LAN Enforcer, 不需要再部署Gateway Enforcer;而由于该公司的接入层交换机大部分是Cisco2950或3550, 均支持802.1x协议, 但仍有部分用户由于办公条件限制, 使用了不支持802.1x协议的交换机和集线器, 所以两台Gateway Enforcer和两台LAN Enforcer均是必需的。
3.3 对联网计算机实现的策略
搭建SEP系统平台的最终目的是对企业网络的有效管理, 安全策略的制定和分发是保障这一目标的最终手段。在SEP系统中, 实现了多层次的安全防护策略, 归结起来是:事前预防、事中隔离、事后修复和AV联动。具体如图5。
根据如上安全防护策略体系, 在该企业中, 将利用SEP产品具体实施以下策略:
初步策略是防病毒和补丁分发软件强制。通过SEP中ENFORCER技术来强制各终端必须安装统一的SAV客户端, 并强制各终端的杀毒软件及时更新病毒定义;通过SEP AGENT (SPA) 强制各终端安装S M S补丁分发软件客户端, 并通过ENFORCER技术轮询检查终端SMS的状态。初步策略要求客户端的SPA安装率达到90%左右后开始分发。
最终策略是在实现初步策略的基础上, 根据企业的具体情况和管理措施进一步细化和完善终端安全策略, 实现终端安全的有效管理。
4. 具体配置方法
4.1 Gateway Enforcer配置方法1
1)系统启动
Symantec 6100第一次启动会运行初始化向导, 此时时会要求选择三种Enforcer模式, 即Gateway/DHCP/LAN, 根据向导提示按实际需要设置即可。
2) 第一台Gateway Enforcer设置
设置eth0 (与核心交换机互联) 的IP地址:
configure interface set eth0 ip 192.168.0.21 netmask 255.255.255.0
该命令将eth0的IP地址设置为192.168.0.21, 将网络掩码设置为255.255.255.0。
设置eth1 (与代理服务器互联) 的IP地址:
configure interface set eth0 ip 192.168.0.22 netmask 255.255.255.0
该命令将eth1的IP地址设置为192.168.0.22, 将网络掩码设置为255.255.255.0。
3) 第二台Gateway Enforcer设置方法同上。
4) 使用配置spm命令设置与Policy Manager的连接
第一台gateway enforcer服务器SPM配置命令:
Spm ip 192.168.0.210 http 80 key12345 group XXGS-GG1
第二台gateway enforcer服务器SPM配置命令:
Spm ip 192.168.0.211 http 80 key12345 group XXGS-GG2
使用show status命令查看enforcer的状态
出现以下显示:
5) 添加路由信息:
输入configure命令进入enforcer的配置模式下执行下面命令添加路由信息:
Route add 0.0.0.0 network 0.0.0.0 device eth1 gateway 10.70.5.1
使用show route命令查看配置完成后应该显示的信息:
在enforcer模式下输入L命令切换到linux模式下:
使用c d命令进入/p r o c/s y s/sysgate_enforcer/conf/advanced/目录下执行
echo 0>sms_locates_inside
在/proc/sys/sysgate_enforcer/conf/目录下执行
echo 1>apply_config
4.2 LAN Enforcer配置方法
设置方法与Gateway Enforcer同。需要在核心交换机的连接端口上启用802.1x协议。
4.3 SPM配置方法
S P M服务器共需三个组件, 分别为Windows Server 2003、SQL Server 2000SP4、Symantec Policy Manager 5.1。三个组建默认安装即可, 安装完SPM 5.1之后, 按向导提示配置数据库。 (具体参见《Symantec Policy Manager安装指南》) 配置完成首次登录界面如图6。
如果没有看到此画面, 可以从“程序”、Symantec Policy Manager、“Symantec策略管理控制台”登录。首次登录用户密码均为admin。
4.4 策略管理器的应用方法
SPM登录后的画面如图7。
用户界面功能如图8。
因为安全设置通常需要根据用户登录到公司网络时所在处所的不同而相应变化, 因此可以创建不同的处所来满足这种需要。可能的处所包括:
1) 办公室 (在公司办公室内工作)
2) 远程办公室 (在远程公司地点工作)
3) VPN (使用来自外部处所的VPN)
4) 家庭 (通过Internet服务提供商在家庭处所中工作)
当处所发生变动时代理会自动进行处所切换。添加处所时选策略 (Policies) 选项卡, 在策略树中用户和计算机 (Users and Computers) 或某个特定组中添加处所 (Add Location) , 将出现添加处所向导, 此时按向导添加即可。
为了设置和分发安全策略, 我们经常要用到的是策略 (Policies) 选项卡。SEP提供了三种策略类型:
1) 防火墙策略:指定可信应用程序、可信主机、服务、所允许应用程序的相关适配器、网络连接以及在允许访问企业网络前组织希望强制执行的限制条件。
2) 主机完整性策略:保护所有网络入口点, 包括内部网络、VPN、无线网络和远程访问服务 (RAS) 拨号服务器。检查是否安装有防火墙、防病毒软件、反间谍软件、补丁程序、Service Pack或其他必需的应用程序及其更新状态。
3) 操作系统保护策略:用于在运行Symantec Agent的计算机上保护注册表, 保护指定的文件或目录并控制进程、DLL和应用程序执行情况的安全规则和设置。
此处我们要用到的是主机完整性策略。一般在策略库中保留广泛使用的主机完整性策略。这样就可以编辑并替换所有组中的策略以及使用该策略的所有处所。在库中创建主机完整性策略包括以下主要步骤 (具体请参见《Symantec Policy Manager管理指南》) :
1) 添加策略和基本信息
2) 添加要求
3) 指定高级设置
4) 保存策略
5) 应用策略
4.5 对联网计算机所做的工作
策略制定后, 即可将之部署到企业的处所中, 此时便要求在联网计算机中安装S P A。使用策略管理器的客户端管理器 (Client Manager) 选项卡部署代理软件。SPA安装率达到90%后即可使策略上线。
5. 应用效果
该企业部署了SEP系统之后, 大大减轻了桌面维护人员的工作负担, 企业网内终端安全性能有了明显的提高。具体如图9。
由图9我们可以看到, 部署SEP系统之前, 企业内的技术维护人员整日忙于终端的桌面安全, 因端点众多和工作效率制约而安全性能不高;也就是说, 该企业每年始终有近千台次的终端始终被各种安全问题所困扰。在部署SEP系统之后, 从技术上彻底提升了企业网络内部终端这一安全薄弱环节的安全性能, 剩下一点, 则需要管理层上政策与制度的配合, 当行政与技术手段相结合后, 即可从根本上解决一直困扰企业信息管理部门和技术支持人员的终端安全问题。
6. 几点认识
当传统的安全技术 (A n t i v i r u s、Firewall、IDS/IPS等) 努力保护被攻击的对象时, 它们对于保障企业网络的可用性却无能为力, 更不要说能确保企业的弹性与损害恢复能力。SEP系统则颠覆了以往安全产品被动防护的思路, 采用积极部署的理念和主动管理的技术, 从终端着手, 通过主动部署安全策略, 对接入私有网络的主机进行安全性及合规性检测, 自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。
SEP系统完全体现了集中化和人性化的信息管理趋势, 符合“以人为本”的科学理念。通过部署SEP安全平台, 我们完善了信息安全系统包括的安全防护、安全监测与安全恢复三种机制, 解决了一直困扰企业网络安全管理的问题, 提高了网络的整体可用性与有效性, 使技术人员的管理水平和企业员工的安全意识得到了质的提高, 消除了企业网一直存在的安全薄弱环节。
参考文献
[1] (美) 康弗瑞 (Convery, S.) 著, 王迎春, 谢琳, 江魁译.网络安全体系结构.人民邮电出版社.2005.
[2] (美) 克莱姆 (Clemm, A.) 著, 詹文军, 杜晓峰, 刘玉鹏译.网络管理技术构架.人民邮电出版社.2008.
[3]闫宏生, 王雪莉, 杨军编著.计算机网络安全与防护.电子工业出版社.2007.
[4]李军著.信息泄漏防范何去何从.计算机安全.2006.
[5]邢海韬, 孙宁青, 吴伟琦著.广西柳工机械股份有限公司网络的准入控制管理方案.广西科学院学报.2007.
