安全区划分

关键词: 通信业 网络

安全区划分(精选九篇)

安全区划分 篇1

关键词:安全域,网络架构,区域

安全域是指位于同一网络环境中的,具有相同业务功能要求、安全保护要求和安全配置策略的,相互信任并相互协作的信息系统的多个要素的集合,是包括网络、主机、设备、 模块、软件与硬件等诸多因素在内的逻辑共同体[1]。

1概述

以飞机制造过程为例,它是一个复杂的系统工程,业务贯穿飞机研发、设计、制造全流程,普遍采取高度并行协同设计的“主制造商- 供应商”模式,包括办公、研发、制造及客服等几大类系统。某公司经过前期的信息化建设,公司已建成包含内外网的基础网络,承载研发及办公等业务。基础网络作为设计、制造、服务、管理等应用的数据流转平台, 按照地域划分为公司行政办公区、客户服中心、总装制造和研发设计中心4个区域,分别位于不同的地点。网络形成以业务中心(总部)为核心,各区域及协作单位通过租用运营商线路的方式联接到总部的网络架构,实现高速互联,公司客户和国内外供应商则通过IPSEC VPN、SSL VPN等方式接入。 根据信息化应用性质的不同,基于安全考虑,公司基础网络又划分为信息内网和信息外网两大部分。其中,信息外网作为支撑运营办公平台,主要用于内部办公、企业管理、互联网访问、合作伙伴互联等。信息内网作为企业核心业务平台, 承载研发、开发、生产、客服等业务系统。基于安全考虑, 信息内网和外网采取网闸进行物理隔离,信息内网不直接和的互联网及外部合作伙伴相连,信息内网和外网通过专用的数据交换区进行数据交换,并严格控制访问权限。

但是,随着移动互联网浪潮的到来,企业信息化发展到以体验为主的多媒体、多业务、随时接入的时代,物联网、 桌面云、云计算、云存储、视频会议、智真会议和BYOD等新业务不断开展,对承载这些业务的IP网络进行优化和规划设计提出了更高的要求,现有内外隔离的网络面临以下挑战。

一是两网隔离阻碍跨网协同业务办公效率:

内外网文件共享不便,人工拷贝效率低;

内网无法访问Internet、不能及时收发外网邮件;

跨区域访问业务系统速度慢。

二是两网隔离带来部署复杂性:

内网PDM等应用系统,需要在外网设置前置机;

由于内外网隔离,统一通信、身份认证、智真会议、信息安全、网管、邮箱等应用需要内外部署,复杂度N×2倍增加。

三是网隔离导致内外广域网单独建设,重复投资:

路由器、防火墙、交换机等设备CAPEX成本重复投资达百万元;内外广域网链路租用成本重复投资达几十万元/ 月。

因此某公司迫切希望重新规划建设新的基础网络,具体项目范围包括以下几点。

一是防火墙隔离内外网:

在防火墙上通过访问控制策略划分网络区域,实现不同区域隔离和受控的互访;高性能防火墙取代原有的网闸,提升业务数据传输效率。

二是构筑通用区数据中心:

通过防火墙上的访问控制策略规则,在原有的内外网数据中心上构筑逻辑通用区数据中心;在两网间防火墙的DMZ端口构筑物理的通用区数据中心,新增的业务应用系统,包括统一通信网关SBC、智真MCU、身份认证系统、统一网管系统、 外网邮箱、OA等等,内外网共用业务统一部署、管理,省去重复投资。

三是广域骨干物理网络合一:

一张广域骨干的物理网络,通过MPLS VPN进行内外网隔离;网络架构为双节点、双链路、广域双平面架构,完全可靠的网络拓扑。

2重构

由于业务系统数量不断增加,规模不断扩大,网络互联日益复杂,迫切需要在网络层面,规范业务系统互联,使组网结构更加清晰,便于安全防护。随着国家安全等级保护要求的深入落实,对各业务系统的安全防护要求不断细化提高, 需要我们从整体入手解决在数量众多的业务系统中落实等级防护要求的问题。为了满足上述需求,对某公司制定安全域划分方案。

首先,通过MPLS VPN合并内网、外网专线,通过网络结构重组,实现在单一骨干线路上承载内外网并行但达到相同安全等级的组网要求,通过CE设备在各个骨干节点末端实现内外网分离。其次,取消网闸设备,提高网络吞吐率,通过防火墙进行端口、数据内容的访问控制,对重点区域的数据流量进行基于行为的安全分析。

2.1大区域划分

基于公司现状的分析,根据安全域的划分原则,重新构建内网、外网、通用数据中心区域,详细安全域划分如下。

2.1.1外网区域

(1)远程接入域。

本区域为VPN用户远程拨入区域,仅供ipsec VPN个人用户从互联网拨入公司内网接入区域,包含BYOD等手机接入用户,需要通过防火墙对接入域用户进行逻辑隔离,防范恶意用户通过远程接入的方式渗透内网。

(2)公共用户与合作伙伴。

各地合作伙伴或公共用户通过外网VPN设备统一接入该区域,通过防火墙对各公司、用户进行逻辑隔离,做细访问控制权限。

(3)Internet区域。

本区域和互联网直接相连,放置负载均衡、防火墙、路由器、交换机、IDS/IPS、上网行为管理等各种网络、安全设备, 严格防范来自互联网的各类威胁。

(4)外网终端区域。

包含该集团同城地区的分布式的终端用户。

(5)服务器区域。

该区域放置外网前置服务器,仅仅放置业务需要前置的服务器,不需要的前置的业务服务器一律不允许放置。

(5)隔离修复区。该区域放置补丁管理、病毒升级服务器,认证服务器等,终端准入的接入用户在此区域内需要升级病毒库,打好补丁方可离开该区域进行业务操作。

2.1.2内网区域

(1)分支机构接入域。

各地分支机构内网通过专线统一接入该区域,需要通过防火墙对分支机构进行逻辑隔离,做好安全策略。

(2)内网终端区域。

包含该集团同城地区的分布式的终端用户。

(3)服务器区域。

该区域包含集团重要业务、运营管理服务器,根据系统重要程度,在区域内部的不同等级应用进行相互隔离。

2.2通用数据中心区域

2.2.1内网数据中心区

该区域承载的应用仅供内网用户使用,严格防止其他区域用户访问,通过防火墙进行隔离。

2.2.2外网数据中心区

该区域承载的应用仅供外网用户使用,禁止内网等区域访问,通过防火墙进行隔离。

2.2.3运维管理域

本区域放置运维管理终端,该区域可访问内外网任何服务器和终端,以便进行远程维护。但该区域访问管理应进行特别处置。

2.2.4存储区域

安全人员职责划分 篇2

1、依据国家安全生产的有关法律法规和企业的有关要求,对项目的安全生产监督管理工作负直接领导责任。

2、协助项目经理,负责各项目安全生产保证体系的运行、安全生产监督管理的总体策划与组织实施。

3、依据企业安全生产监督管理规章制度的要求,组织项目安全领导小组开展旬例行安全生产大检查,对督查中发现的重大问题,有权下令停工整改及经济处罚。

4、按照国家伤亡事故调查处理的相关规定,负责上级单位、地方政府对本项目所发生伤亡事故调查处理的业务配合工作。

安全生产总监岗位职责

1、协助项目经理抓好全面安全生产工作,具体领导和支持各专业项目部安全部门开展工作。

2、协助项目经理做好召开安全生产例会的准备工作,分析安全生产情况,及时研究解决生产中的不安全问题。

3、组织制定完善安全生产方面的各项管理制度和安全技术操作规程,适应安全生产需要,并督促相关部门执行落实。

4、督促各专业项目部及各部门实施上级有关安全生产方面的规定和技术规范。

5、参与施工组织设计施工方案安全技术措施、专项安全措施方案的审查,并督促落实, 有计划地组织解决重大安全隐患和职业危害。

6、督促各专业项目开展日常安全生产检查,督促做好安全检查记录及整改,检查督促各专业项目形成全面有效的内业资料。

7、督促各专业项目认真执行安全教育培训制度,检查各专业项目执行情况;组织对各专业安全管理人员的教育培训。

8、督促各专业项目组织开展事故隐患排查整改、危险源辨识、评估、监控、特种作业和特种设备的安全许可、劳动防护用品的发放使用、应急管理体系的建立运行和应急预案演练等环境、职业健康安全管理活动。

9、协助总部经理组织安全事故的调查,分析处理,拟订改进措施,组织落实。负责具体实施瓦斯隧道灾害预防计划和应急预案。

10、负责组织各部门开展旬例行联合安全生产大检查,对查出的重大安全隐患制定整改措施,限期检查落实,并实施安全惩奖。

11、负责各专业项目部安全管理人员(含兼职安全员)的月、季度考核工作。

12、检查各专业项目部履行安全生产职责情况和安全生产工作情况,总结推广先进经验,建议奖励先进单位和个人。

13、完成上级交办的其它工作。

专业项目部安全环保部职责

1.在施工项目经理和总工的领导下,受上级主管部门的业务指导,负责该施工全过程的安全、质量、环境保护管理和控制工作;

2.对外负责与业主、建设、监理单位的安全、质量管理的协调工作;

3.负责编写安全、环境保护、文明施工管理文件,制订安全、环境保护、文明施工技术措施,并组织管理、执行、监督和验证;

4.负责建立健全安全培训制度,负责员工的进场三级安全教育培训和日常、专门安全教育,形成完善的安全教育培训记录,安全教育覆盖面应达到100%。

5.协助项目技术人员完成员工的安全技术交底工作,形成完善的交底资料。

6.负责工程的安全、环境保护、文明施工工作的日常、月度、节日等检查管理工作,对工程安全、环境保护、文明施工负全面组织、检查、监督责任,对检查出来的不安全因素或事故隐患,出具整改单并落实“三定”工作,并形成相应的检查记录。

7.参加项目总部安全部门组织的联合安全大检查,对总部安全部门提出的整改要求进行督促整改落实。

8.负责建立健全安全费用使用管理制度,编制安全投入计划,做好安全费用统计工作。

9.负责建立特种作业人员台账,查验特种作业人员信息,并对特种作业人员进行专门培训、交底。

10.负责建立班组安全活动制度并落实,组织班组活动(含班组安全学习、班组周例会)并形成记录。

11.负责项目的安全防护管理工作,提出安全防护用品的申购,收集进场安全防护用品相关资料,进行进场试验验收,建立发放台账,并对员工现场使用情况进行监督检查;监督执行企业劳动保护用品和防暑降温食品标准。监督检查所属专业项目的安全生产和劳动保护措施的实施,本着节约、适用的原则,提出改善劳动条件、加强劳动保护的建议。

12.负责组织施工临时用电的验收工作,并对施工临时用电情况进行监督检查,形成完善的记录;负责检查电工巡视情况。

13.负责起重吊装作业方案的审核工作,检查自有和外租起重设备状态,检查起重机司机、信号司索相关特种作业证件情况,检查起重吊装警戒工作,并进

行安全旁站。

14.负责项目及外协队伍自采施工机具的检查验收工作,执行贴签使用,建立施工机具管理台账。

15.负责检查现场消防情况,执行动火审批手续,并对动火作业进行监督检查。

16.定期组织或参与安全宣誓、班组安全学习、专题培训和考核,有规划的开展安全生产活动、安全知识竞赛、应急预案演练等。

17.负责监督对安全事故的调查、分析和处理。严格按照“四不放过”的原则进行处置,对事故责任单位、责任人,依据有关法规提出处罚意见。

18.领导交办的其他工作。

近期工作安排

1.督促指导完善各专业项目的内业资料,包含安全管理制度、安全生产责任制、工

作流程等,做到三各专业项目统一,争取尽快确定发布。

2.各项目安全用表参照《北京市建设工程施工现场安全资料管理规程》,参照《城

铁公司安全督导检查考核评分表》对现场及内业资料进行检查(月底进行)。

3.组织上中下旬、月度及节前联合大检查,做到检查有计划、有记录、有总结。

4.督促组织董村、虎坊桥基地及施工现场施工临时用电验收工作,并形成记录。

5.督促组织各专业项目完善危险源辨识评价,分析出重大(显著)危险源,制定相

应的管理措施并公示。

6.组织一次对安全员、兼职安全员的培训工作。

7.邀请城铁公司安监部李昊来项目做安全工作指导。

8.开展好2013年安全生产月活动,以此为契机,促进各专业项目安全管理及员工

安全意识上一个台阶,具体工作安排如下:

(1)2013年安全生产月活动相关标语制作悬挂,营造现场氛围。

(2)通过城铁公司主管保卫消防的主任王平邀请消防专家来项目做演讲指导。

(3)组织安全事故案例警示教育会,要求每一名员工写一编“学习心得”。

(4)组织观看学习《安全发展成就辉煌》、《伤势》影视资料,此活动参照城铁公司统一安排。

(5)根据项目重大(显著)危险源安排组织相应的应急预案演练,提高应急事故的组织和救援能力。

(6)有可能的话开展一次安全知识竞赛活动,提高全员安全理论知识,规范安全管理,可以同6号线一起做。

浅析电信支撑系统安全域的划分 篇3

信息通信业的持续快速发展, 促进了信息技术的推广应用, 在推进经济结构调整、改造和提升传统产业、改善人民生活质量等方面发挥了重要作用。

但是, 目前通信行业网络信息安全形势严峻, 在层出不穷的病毒、黑客的攻击下, 网络运营同样存在遭遇“911式”恐怖活动的后果, 同样带来灾难的还有人为差错与事故的连锁灾害。通信网络和业务系统服务的中断、瘫痪, 甚至那怕就是计费系统的失误或信息泄漏, 都将给整个社会带来不可弥补的损失。通信行业的网络信息安全问题的分析和解决, 是通信各大运营商稳定发展的关键问题之一。

如何建立信息安全体系, 对涉及电信运营商业务运作的所有信息资产 (通信网和业务系统、各支撑系统, 涉及网络、市场、财务、研发、人力的各类重要信息) 进行有效保护, 显得尤为重要, 而安全域划分的思想对于信息安全体系的构建有着十分重要的意义。

1 电信支撑系统现状及存在问题

一般说来, 比较全面的电信运营商的支撑系统 (也称为支撑系统, 或信息系统) , 应该包括以下四个方面的内容:

(1) 应用系统

包括企业管理支撑系统 (MSS) 、业务支撑系统 (BSS) 和运营支撑系统 (OSS) 三部分。

(2) 应用整合

包括通过企业应用集成平台实现的各应用系统之间的互连、数据共享和业务流程。

(3) 数据信息

包括对信息系统中客户、产品、网络资源等核心数据及数据模型和信息规范。

(4) 基础设施

包括企业网络、数据中心、主机设备、存储、终端、操作系统、数据库等支撑应用系统和应用整合的软硬件设施。

上述各方面之间以及各方面内部各系统之间, 是互相联系、互相影响、互相协作的, 它们必须与其它系统实现网络互通和信息共享与交互。在这种应用需求下, 使得不同的外部网络、不同身份和目的的人都有机会连接到运营商内部网络中, 从而对支撑系统的安全带来了威胁, 主要来自以下几个方面:

(1) 来自内部的安全威胁

各种调查都显示来自于内部的误用 (操作) 和滥用对企业网络和业务的影响都是最为致命的。

(2) 来自互联网的安全威胁

目前有些运营商的支撑系统是与互联网相连的, 例如很多办公自动化系统都与互联网相连, 如果安全措施不完善就很有可能被黑客利用, 带来网络安全问题。

(3) 来自配置的安全威胁

一是Unix, Windows等操作系统很多都采用缺省配置, 造成开放不必要的端口等安全隐患;二是对系统配置的更改可能会带来新的安全漏洞。

2 电信支撑系统安全域的划分

2.1 安全体系与安全域

支撑系统安全体系的最终目标就是在技术可行和管理可行的前提下, 将安全风险和隐患降低到一个可以接收的水平。要实现这一目标, 需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备, 更是需要综合考虑如何在现有支撑网络架构上安装何种安全设备才能发挥最大的作用。如果没有一个结构清晰、可靠实用、扩展灵活的支撑网络, 依然沿袭各套支撑系统的安全建设自成体系、分散单一的常规做法, 即使选用最先进的安全设备, 那么也只能是搭建了一个空中楼阁, 无法从根本上减弱支撑系统所受到的安全威胁和隐患。

为规划和建设一个可靠安全的支撑系统, 此处引入一个安全域的概念, 也就是, 在安全策略的统一指导下, 根据各套支撑系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等, 将电信运营商的支撑系统划分成不同的域, 将不同支撑系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域, 安全子域也可继续依次细化。

支撑系统的安全域划分并不是传统意义上的物理隔离, 物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程, 隔断网络使信息不能共享;而安全域划分是在认真分析各套支撑系统的安全需求和面临的安全威胁的前提下, 既重视各类安全威胁, 也允许支撑系统之间以及与其他系统之间正常传输和交换的合法数据。

从设备组成上看, 如果不考虑这些支撑系统中自带的安全设备, 可以将其分为三大部分:核心处理系统, 包括多主机架构组成的服务器、数据库、应用软件等, 负责该支撑系统的信息采集、处理和应用;接入交换系统, 包括路由器和交换机, 负责该支撑系统的内部以及与其他相关系统之间的信息交互;操作维护部分, 包括各类操作维护终端, 负责向维护管理人员提供接入手段。

2.2 安全域划分的原则

电信运营商的支撑系统虽然是独立建设的, 但各套设备的物理位置都是比较集中的, 而且不同支撑系统的核心处理系统、接入交换系统和操作维护部分所面临的安全威胁、安全需求都是比较类似和接近的 (例如支撑系统的操作维护终端多是基于MS windows平台, 遭受病毒攻击的风险比较接近) , 因此可以利用这两个特点并借鉴常规物理隔离中的有益思想, 完成电信运营商支撑系统的安全域划分。安全域的划分需要遵循以下原则:

(1) 系统功能和应用相似性原则

安全区域的划分要以服务和应用为基本原则, 根据应用的功能和应用内容划分不同的安全区域。

(2) 资产价值相似性原则

同一个安全区域内的信息资产应具有相近的资产价值, 重要应用与一般的应用分成不同区域。

(3) 安全要求相似性原则

在信息安全的三个基本属性方面, 同一个安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。

(4) 威胁相似性原则

同一个安全区域内的信息资产应处在相似的风险环境中, 面临相似的威胁。

(5) 安全产品部署原则

根据电信运营商支撑系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。从网络构架层面来讲, 电信运营商支撑系统整体结构安全域的划分是与安全产品的部署密不可分的, 一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境;另一方面, 将安全域划分为域内划分和域外划分两种, 域和域之间主要采用通过VPN和防火墙来彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署3A认证、IDS和防病毒系统等来完成, 因此, 安全域的划分不能脱离安全产品的部署。

(6) 安全域不宜过多原则

安全域的个数不应过多, 否则在策略设置上过于复杂, 会给今后管理带来很大不便;保证各个安全域之间路由或者交换跳数不应该过多。

(7) 保护投资原则

安全域划分的目的是发挥安全产品的整体效能, 并不是对电信运营商支撑系统原有整体结构的彻底颠覆。因此在对运营商支撑系统结构改造的同时需要考虑保护已有投资, 避免重复投入与建设。

2.3 电信支撑系统安全域划分及其优点

此处, 将电信运营商的支撑系统划分为网络域、核心主机域、终端用户域、公共接口区、公共安全服务区这五个安全域, 每个安全域的具体功能如下:

(1) 网络域:主要放置核心交换设备, 用于实现各业务系统的划分、隔离和不同系统之间有条件的信息交互。

(2) 核心主机域:主要放置支撑系统中的核心生产设备 (如服务器等) 和交换设备。

(3) 终端用户域:主要放置各套支撑系统维护终端及其汇聚交换设备。

(4) 公共接口区:主要包括外部接口区、内部互访区和DMZ区。外部接口区实现支撑系统与专网或者互联网的连接和互通;内部互访区实现支撑系统内部各业务系统之间的受控互访;DMZ区主要放置一些可供内、外部用户宽松访问的服务器, 或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail (邮件) 服务器等。

(5) 公共安全服务区:主要放置支撑系统的安全服务器, 包括防病毒服务器、身份认证服务器、终端管理服务器、安全设备管理服务器等。

从上图可以看出, 采用这种方式来划分支撑系统的安全域, 不仅网络结构清晰, 交换和路由跳数适中, 而且还存在着以下优点:

(1) 便于安全产品的部署

从上图可以看出, 网络域是支撑系统网络的神经中枢, 内部和外部的信息传输和交互都要通过它来完成。因此可以在核心交换区部署防火墙和IDS/IPS, 用于对进入核心交换设备的信息, 尤其是来自互联区的信息进行监控。用户域是运维人员操作维护相关支撑系统的区域, 因此可以在该区域增加一套终端管理系统用于实现对相关交换机、终端主机等设备的认证、授权、审计;也可以统一部署防病毒系统, 用于对维护终端的病毒监测和清除。外部接口区中出入信息量很大, 信息源也较为复杂, 因此可以在核心交换区与外部接口区之间增加一套防火墙, 起到基本的边界防护作用, 抵御内部支撑网络不受威胁。总之, 采用这种方式来划分支撑系统的安全域, 只需要在不同安全域之间, 在安全域内部有针对性的集中部署一些安全设备, 不但节约投资, 而且可以明显提高各套支撑系统的整体防护效能, 较好地贯彻了积极防御、综合防范的方针。

(2) 扩展性和灵活性好

采用这种方式来划分支撑系统的安全域不仅能较好地满足当前支撑系统的需求, 而且在今后引入其他IT支撑系统时, 无需再按照传统方式附加一个安全工程, 甚至可以完全不考虑安全问题, 只需将其核心处理系统、交换系统、操作维护系统接入不同的安全域, 就能够满足一般安全需求。如果某一支撑系统的连接端口需求比较少, 还可以直接就近接入与其安全需求接近的支撑系统所配备的交换设备, 不但节省投资, 还加快了支撑系统的建设速度。

(3) 为安全的集中管理奠定了基础

采用这种方式来划分支撑系统的安全域, 可以做到两个“集中部署”, 一是不同支撑系统中工作角色接近的设备集中部署;一个是安全产品的集中部署。这两个集中部署, 为今后安全管理平台和IT管理平台的建设创造了理想的网络环境。安全管理平台 (SOC, 也称为安全管理中心、安全运营中心) , 主要完成统一集中的安全策略发布、安全设备管理等;IT管理平台, 主要完成对电信运营商各套支撑系统的集中管理、集中监控和集中维护。

4 结束语

进行合理的安全域的划分对于电信运营商支撑系统的信息安全体系的建设有着十分重要的意义, 是安全体系构建中最重要的一个环节。文章从不同角度, 综合考虑各种因素, 给出了一种实用的电信支撑系统安全域划分的方法, 希望能够对电信运营商的信息安全体系建设提供有益的借鉴。

摘要:本文分析了目前电信运营商支撑系统架构的不足和存在的安全隐患, 提出了在安全策略的统一指导下, 根据信息资产的不同安全级别, 将电信支撑系统划分为网络域、核心主机域、终端用户域、公共接口区、公共安全服务区这五个安全域, 并分析了这样划分安全域的优点。

关键词:支撑系统,安全域,电信

参考文献

[1]孙强, 陈伟, 王东红.信息安全管理全球最佳实务与实施指南[M].北京:清华大学出版社.2004.

[2]ISO/IEC15408, 13335, 15004, 14598, 信息技术安全评估的系列标准[S].

[3]BS7799-1, 7799-2, ISO/IEC17799, 信息安全管理系列标准[S].

[4]BS7799-2, Information Security Management Systems-Speci-fication With Guidance for use[S].

[5]Harold F.Tipton, Micki Krause.Information Security Man-agement Handbook.Fifth Edition.US:Auerbach Publications.2004.

[6]蔡勉, 金怡.信息安全模型研究及安全操作系统设计[J].计算机系统应用.2006.

划分消防安全责任工作意见 篇4

各派出所:

根据公安部《消防监督检查规定》(公安部第73号令)及公安部61号令对消防重点单位的界定标准,结合我县实际,现对我县消防安全责任进一步明确和划分,具体划分情况如下:

一、防火监督管理范围:

(一)县公安消防大队主要担负对各派出所进行监督、检查、指导的职责,同时对全县消防安全重点单位实施监督检查。

(二)各派出所应及时对辖区内的重点单位调整充实,该列管的必须纳入重点管理视线,并负责本辖区内重点单位及“九小场所”(即:小旅馆、小餐饮场所、小洗浴场所、小学校、小医院、小幼儿园及小歌舞娱乐场所)的抽查,根据防火任务,定期召开安全会议,建立专职、义务消防组织,并指导辖区企业专职队伍的工作。

二、建筑设计防火审核及开业前的消防手续办理范围:

(一)属于县直重点单位的建筑审核项目,建制镇所有新建、改建、扩建工程,重点物资仓库、易燃易爆化危场所,均由县公安消防大队审批,图纸资料由各

派出所督促申报,工程竣工后,由县公安消防大队和派出所有关人员共同验收。

(二)凡新建、扩建、改建的25间客房以上的旅馆,就餐人数50人以上的餐饮场所,营业面积100平方米以上的洗浴场所及小歌舞娱乐场所,营业面积

500平方米以上的商场,由当地公安消防部门办理开业前的消防安全检查手续;标准以下的场所由公安派出所进行开业前的消防安全检查,公安消防部门负责指导。

数据中心安全域划分及防护发展趋势 篇5

网络作为信息传输的载体,根据用户的请求,将信息从一端传输到另一端,安全作为信息传输过程中的“抗体”,时刻过滤着网络中的“危险数据”,两者相互协作保证业务的正常可用。随着网络业务不断扩展,网络与安全间变得渐渐“不和谐”,通常数据中心为保证数据的安全会在安全域划分后,在域的边界根据各个安全域所面临的威胁不同,部署不同的盒式安全设备,安全得到保证的同时,网络结构却越来越复杂,维护越来越困难,矛盾也越来越明显[1]。

传统信息安全理论上的安全域划分偏向于技术层面,期望通过各种安全设备和相关的软硬件配合部署达到安全防护的作用,但实际效果达不到预期。安全域的实际目的是通过对系统进行区域划分和防护,构建起有效的纵深防护体系,有效抵御潜在的威胁,降低安全风险,保证系统顺畅运行,保证业务服务的持续和有效提供。围绕这个目标,应将安全域划分及防护的中心从技术转移到业务。结合防护目标系统的业务进行安全域的划分和整体防护才能真正有效地保障其业务的安全性和稳定性。

随着近几年信息技术的日新月异,云计算软件与硬件紧耦合的提出,极大地提高了硬件的利用率,给网络的发展提供了参考。国内多家网络安全厂商在云计算的基础上提出网络与安全的紧耦合,不同设备间虚拟化的概念,将网络与安全合二为一,形成网络安全资源池,组网形式可以根据业务需要灵活扩展,组网结构大大简化,变得更智能可靠,安全域由原来的边界防护走到了域内,安全性大大提高。

1安全域概述

1.1安全域

安全域是一个系统内具有相同的安全防护需求的IT因素的集合,域内因素间相互信任,域间访问拥有相同的边界访问控制策略和安全策略。

1.2安全域作用及建设思路

安全域的划分可以使网络结构更加清晰,安全现状更加直观,安全隐患更加明显。通过分析每个安全域的脆弱性及其面临的威胁,采取相应的防护手段在安全域的边界进行部署,使得防护手段更有针对性。将具有相同特征和安全需求的资源进行统一防护,避免重复投资,更加节约成本。

我国在商用系统信息安全方面的研究和积累存在不足,目前还缺乏规范化、成熟的标准可遵循[2]。参考美国国家安全局划分标准,可以将整个网络划分为边界接入域、计算机环境域、网络基础设施域、支撑性设施域。通过系统分域、域下分区、区内细分业务单元的方式将系统资源与安全域进行结合,根据各个系统的脆弱性及面临的威胁分别治理,在每个域的边界部署安全防护系统,综合起来防护。

1.3安全域设计原则

完整的系统一般包含若干个子系统[3],为了更加低成本、高安全的利用,第一步就是安全域划分,在对信息系统进行安全域划分时,应该遵循如下原则。

1)业务保障原则。有关信息系统的一切操作都是为了使业务更安全、更高效的开展,所以在进行安全域划分的同时,不仅需要考虑业务安全,还要考虑业务的正常运转及运行效率。

2)结构简化原则。虽然安全域的划分粒度越细安全性越高,但是安全域划分的越多、越复杂,在实际管理操作过程中会变得非常困难,所以信息系统在安全域划分时应该考虑划分安全域的目的和效果,找到安全与网络架构之间的平衡点。

3)纵深防御原则。安全域的主体是网络,根据TCP/IP标准网络模型,网络又分为物理层、数据链路层、网络层、传输层、应用层。进行安全域设计时,应该考虑到每个层次可能出现的风险及威胁,综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。

4)可扩展原则。随着业务的不断增长,安全域的划分和防护也在变化,所以安全域在进行划分和防护时不仅要考虑到现有业务情况,还要考虑到未来业务扩展需求。另外,在安全域的建设和调整过程中要考虑工程化的管理。

1.4传统安全域弊端分析

通过安全域的划分,对信息系统以后的建设方面及后续的维护方面都提供了好的依据,但是随着业务的不断扩展,面临的威胁和环境也在不断变化,安全域为了满足业务需求也要动态变化,在不断的变化过程中,安全域的弊端也逐渐凸显,具体如下。

1)安全与网络矛盾。计算机系统规模随业务急速膨胀,网络结构快速变化,原有网络安全结构快速过时,明显滞后,传统的域边界防护都是通过盒式安全设备防火墙、入侵防御系统(Intrusion Prevention System,IPS)、Web应用防火 墙(Web ApplicationFirewall,WAF)、流控、负载均衡等[4]。安全设备间往往各自为战,而且国内网络安全厂商拥有完整产品线的很少,所以这些设备可能来自若干个厂家,在极大地增加网络复杂程度的同时,给后期的网络维护也带来一定困难,同时也不利于业务扩展。

2)安全与利用率矛盾。传统安全域为了保证业务连续性,实现设备备份与容错,通常在关键节点,采用多台设备使用热备的方式实现设备冗余,在设备间采用交叉线互连达到线路冗余[5]。但是由于冗余协议的缺陷,一般情况下,设备只有主的设备在工作,链路也只有单链路在工作。虽然消除了单点故障,但是因为设备、链路得不到充分利用而造成资源浪费。

2安全域发展趋势

2.1云数据中心

云计算是2006年第一次被提出,原理是利用软件与硬件间的紧耦合,使整个计算机资源以整体出现,逻辑上不再有单体主机,即使单体主机故障,也不会影响整体业务运行,整个系统硬件资源共享。云计算的提出,彻底改变了以往硬件资源利用率低的状态,很快被应用到各行各业,数据中心的各种资源也出现云形势。云数据中心模型示意如图1所示。

2.1.1计算机云

云概念的提出,由于其大大增加了业务连续性、服务器资源得到充分利用等优点被快速应用到各行各业。云概念带来便利的同时,虚拟化软件自带的v Switch也给网络和安全带来了挑战,在虚拟化环境下,对不同应用的虚拟机、同一应用的不同虚拟机进行识别和隔离成为云数据中心网络需要解决的首要问题(见图2)。对此,常用的解决方案是利用虚拟化软件自带的v Switch实现对虚机的识别和基于虚拟局域网(Virtual Local Area Network,VLAN)的隔离。但是虚拟化软件自带的v Switch特性不丰富,很难与物理网络很好的配合,并且还模糊了主机和网络的边界(见图3),无法进行流量监控和安全管理。目前主要通过新的网络协议IEEE802.1qbg,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。但是如何对流量内容进行过滤给传统的盒式安全设备带来难题。国内知名网络安全公司的数据中心解决方案在利用网络的横向、纵向虚拟化保证网络高可靠、高带宽的同时,结合多业务板卡混插的技术,逻辑上使得虚拟机与安全设备直连,保证了虚拟机间数据交换的安全。

2.1.2网络安全云

作为云计算的基础设施和下一代网络技术的创新平台,数据中心网络的研究成为近年来学术界和工业界关注的热点[6],国内多家网络安全厂商创新性地提出网络与安全紧耦合的概念,利用网络设备具备的横向、纵向虚拟化,以及多业务安全板卡混插的技术,实现交换板卡为安全板卡扩展端口,安全板卡为交换板卡的接入提供安全,使整个网络安全资源逻辑上只有一台设备在运行,改变了传统的“葫芦串”式的网络结构,使网络结构更加简化,维护更加方便。使用“流定义”的独特技术,为不同需求的业务分配不同的网络安全资源,使网络安全资源利用更合理,业务扩展更加灵活,网络虚拟化作为解决当前互联网发展僵化问题的有效方法,近年来得到越来越多的研究人员的关注[7]。

2.1.3网络运维云

在大型数据中心中,为了保证数据业务的正常运行,运维中心分布着网络运维系统、安全运维系统、机房环境系统、日志系统等各种运维系统,监视信息系统的各项参数是否正常。由于运维系统分布的零散性,需要投入更多人力来维护,给运维工作带来多方面的不便。为了解决该问题,国内多家厂商通过资源系统整合,联合推出了网络运维云,将网络和安全运维系统结合的同时,可以接收、处理日志系统、机房环境系统传输过来的异常信息。实现一套运维系统监控所有的安全威胁。

2.2域间到域内的防护

安全域传统边界由各个单体物理设备隔开,边界相对明显,传统防护是通过盒式设备域边界部署的方式保证域间的访问安全,由于安全资源有限。域内防护使用VLAN、设备级的访问控制策略进行防护,不能很好地享用域间的纵深防护体系,使得域内防护措施相对于域间的防护措施稍显薄弱。在新技术下的网络资源呈现资源池的状态,安全域的边界也呈现出虚拟化,防护措施依旧根据各域内的脆弱性及面临的威胁分配不同的资源,但理论上如果需要,可以为域内的每一台接入终端、每一种业务分配安全域资源,使得域内的防护可以享受域间才有的安全资源,这样在不增加额外成本、不改变网络架构的情况下,系统的安全性大大提高,业务更加安全。

2.3大二层组网

业务系统在不断变化,服务器的物理位置也随着业务的变化需要做出调整,随着对网络质量要求的提高,使服务器在调整物理位置的过程中要求承载的业务不能中断,即迁移时服务器的IP地址不能改变,这就使得整个数据中心要采用大二层组网[8]。迁移引起应用部署位置的不确定性,使得数据中心跨核心的横向流量大幅增加,这要求数据中心的组网应该是带宽低收敛甚至是无收敛的。而一般的以太网由于生成树协议的运行造成了网络带宽的浪费,并且虚机迁移时与之相关的网络策略(如VLAN和ACL)也要随之一同迁移,这会引发整网生成树的重新计算,造成网络震荡。出于灾备或其他方面考虑,可能会采用主备数据中心或者多数据中心模式,此时需要保证所有数据中心之间可以进行二层互通,有利于大流量数据在多中心间传输。因此建设一个网络无收敛、网络策略迁移无震荡的大二层网络是未来数据中心发展的一个趋势。

3结语

电力通信网安全风险层次化划分 篇6

1.1风险的定义

目前对风险的定义有多种多样, 总的来说就是在达到某个目标要求下, 某个活动的不确定性, 它通常以概率来进行表示, 得出造成的可能损失。因此可以得到常见的风险度量函数为:

上式1中, p表示不确定事件发生的概率, q表示不确定事件发生的后果, x则表示某个不确定时间的风险, R (x) 则是为计算结果。上式1中同归分析与系统风险直接相关的主要因素, 然后结合风险计算方法, 这样就应用于项目的风险度量指标中, 进而就确定了不确定事件在某个改了下的风险大小。

1.2通信网安全风险评估

有上面的ITU X.805安全体系结构和通信网的特点, 通信网安全风险评估就是评估通信网在不同的安全特性下的脆弱性和威胁, 并根据可能发生的概率和负面影响程度来综合性的论证通信网的整体安全风险。

二、电力通信网安全风险分析

2.1脆弱性分析与识别

根据电力通信网的运行状况和作者的工作经验, 电力通信网的安全性和脆弱性主要存在于通信电力、通信网络、安全设备和整个网络的运行管理方法。

(1) 通信电路脆弱性。根据作者的多年工作经验总结了通信网结构、电力光缆、SDH设备、PCM设备、网络设备和电力二次系统防护脆弱性、人为安全脆弱性是导致通信电路脆弱性主要原因。 (2) 同步时钟系统故障。对于电力系统中高精度的准确性非常重要, 而高精度往往来带脆弱性的缺陷, PCM设备同步时钟系统故障是占整个PCM设备故障中很大的比例。 (3) 通信站安全。由于气候的环境在电力通信站中经常发生变化, 所有其中的各项指标都要符合设计要求, 特别是在防雷和接地技术指标方面。 (4) 通信电源系统故障。UPS通信电源是整个通信设备的核心, 由于通信电源故障引起的整个通信网络故障也是占很大大部分的, 据统计, 2009年度广东省电网通信电源故障中蓄电池故障占14次, 电源故障有35次, 供电线路故障占11次, 这些故障占所的故障总数的7.45%。 (5) 网络设备和电力二次系统防护脆弱性。 (6) 运行管理脆弱性。电力通信网全面、全过程的安全管理是必不可少的, 需要对现有电力通信网的安全检查制度、设备检修制度、备件备品制度、测试制度、维修制度进行统一的管理, 制定出能够提高整个电网可靠性的方法。 (7) 人为安全脆弱性。通信网络的安全性依赖于通信设备、通信网络和可靠的运行和管理机制, 但是人的因素不可忽略, 需要对电力通信行业中职工进行人员培训, 人员配备, 通信班组的和谐度等多方面管理。

2.2威胁分析与识别

通信网的安全威胁是指潜在的因素对通信网可能造成的任何损害的认为行为和环境因素。威胁的作用形式可以有间接的攻击和直接攻击两大分类, 对系统的ITU-T X.805安全计算要求的机密性、完整性或可用性等方面会造成损坏, 而且攻击还可以分为有意攻击和无意攻击两大类别。攻击出现的频率是判断威胁大小的重要内容, 评估者可以按照统计学的方法进行统计后进行判断。

三、电力通信网安全风险层次划分

要分析整个通信网络的安全风险模型, 需要从从威胁和脆弱性方面分析电力通信网安全风险后, 得到了电力通信网的安全风险因素, 这里使用层次分析方法进行分析, 进行层次分解后对风险因素进行权重计算, 然后进行整体模型的风险计算得出结果。整个电力通信网被划分为5种类别的风险因素:通信设备、电源系统、通信站、运行管理和人为安全。上述的5种类别的风险因素种每种也有不同的风险因素组成。

四、结论

本文对从通信网的风险入手, 对电力通信网的安全风险进行分析, 然后按照作者的工作经验和现有文献对安全风险因素, 归纳总结了电力通信网的脆弱性和面临的威胁, 并按照本文层次层次分析法进行模型的建立, 为将来的将风险层次化, 为指标体系的结构体系建立了雏形, 并为将来指标体系权重等的计算做了准备工作。

参考文献

[1]严伟雄, 对“于-五”规划中电力通信业务发展的几点思[J].考电力系统通信, 2006, 27 (162) :40-41

某摄影棚防火分区划分的安全性分析 篇7

关键词:摄影棚,防火分区,防火隔离带,雨淋系统,FDS,Pathfinder

随着电影电视行业的快速发展, 我国各地相继建设了影视基地。影视基地及其内的单体建筑规模越来越大, 缺乏国家标准对其消防设计进行规范。针对某摄影基地的摄影棚, 分析该类建筑的防火分区划分, 并验证其安全性。

1 工程概况

某摄影棚的主要功能为影视拍摄及制作, 分为影视录制区和附属用房, 总建筑面积为22 945m2。该摄影棚建筑包含两个摄影棚, 均为单层大空间建筑, 耐火等级一级, 建筑高度为30.24m, 如图1所示。摄影棚一侧设置有一字附属用房, 为三层建筑;中间附属用房呈“U”形, 为4层建筑。总建筑面积23 010m2。

2 防火分区设置

该摄影棚主体摄影棚建筑高度30.24m, 超过24m, 但考虑到该建筑为单层大空间建筑, 且周边的附属用房高度均小于24m, 该摄影棚可按照单层民用建筑设计。根据现行国家标准GB 50016-2014《建筑设计防火规范》第5.3.1条规定, 设有自动灭火系统的一、二级耐火等级的民用建筑, 其最大允许防火分区建筑面积为5 000m2。该摄影棚1、摄影棚2及附属用房分别划分防火分区, 其中摄影棚2所在防火分区的建筑面积为10 024m2, 面积超过规范的上述规定。

摄影棚2为单层大空间, 因为功能的需求, 其防火分区面积远超规范的要求, 如果按照现行国家标准的要求, 需要采用防火墙对该摄影棚进行分隔, 不能满足使用要求。而若采用防火卷帘进行防火分隔, 则需要在空间内设置大量防火卷帘, 且建筑高度较高, 设置防火卷帘还需要设置防火卷帘轨道柱, 不能满足功能的需求。而且, 大量的防火卷帘难以保证全部有效启动进行防火分隔, 不能够满足规范要求的消防安全水平。但若不分隔, 其防火分区面积超出规范规定。作者曾对国内某摄影棚进行现场调研, 发现摄影棚内搭建的布景材料大多为木材、泡沫塑料和帷幔等, 这些可燃物多为可燃和易燃物品。根据火灾蔓延、烟气扩散机理, 并考虑建筑布局特点以及该建筑使用特点, 提出如下解决措施:

(1) 摄影棚内设置防火隔离带。在摄影棚内搭建布景时, 防火隔离带应空置, 以防止该空间相邻两侧的火灾相互蔓延。防火隔离带需满足如下要求:

宽度不小于9m, 区域内不放置任何固定可燃物, 仅作为人员交通使用。上方设置独立的防火分隔水幕系统, 报警系统报警后, 该水幕系统启动喷水;水幕系统的喷水强度不低于2.5L/ (s·m) , 并保证系统喷水的有效宽度不低于6m, 持续喷水时间不低于3h。

防火隔离带上方的屋顶设置自然排烟窗, 有效开启面积不小于防火隔离带地面面积的25%, 并均匀布置。自然排烟窗应具有火灾时自动和手动开启功能;若机械排烟系统不能正常启动, 自然排烟窗在报警后联动开启;若机械排烟系统能够有效启动排烟, 则自然排烟设施在报警系统报警后480s启动。

(2) 摄影棚地面、墙面采用不燃材料装修。

(3) 摄影棚内设置消火栓系统。除地面设置消火栓外, 9m标高和18m标高的检修马道上分别设置消火栓系统, 确保室内任意一点同时有2股水柱到达。

(4) 摄影棚内设置雨淋系统。系统喷水强度提高到20L/ (min·m2) , 每个系统分区保护面积不超过270m2, 持续喷水时间不少于1h。在启动方式上, 系统每个分区由该系统相对应的火灾自动报警系统首先联动启动, 其余分区不启动。火灾蔓延到相邻分区时, 由该分区的火灾自动报警系统联动启动。火灾发生位置位于4个分区交界处时, 由4个分区设置的火灾探测器分别启动相应分区的雨淋阀。

(5) 摄影棚周边墙体上按照40m间距设置直接启动雨淋系统消防水泵的按钮。

(6) 摄影棚内设置机械排烟系统。排烟口均匀布置, 间距不大于30m;防火隔离带两侧的排烟量分布按照14×105m3/h设计, 火灾时由火灾自动报警系统联动开启排烟区域的排烟口。

(7) 摄影棚内设置吸气式感烟火灾探测器及双波段火焰探测器两种火灾探测器。

(8) 消防用电的干线采用矿物绝缘电缆, 支线及配线采用低烟无卤耐火电缆;其他照明线路采用低烟无卤阻燃电缆。

(9) 摄影棚内非消防用电负荷设电气火灾监控系统。

(10) 摄影棚内设置分控制室, 能够直接控制摄影棚内的消防设施。

采用数值模拟方法, 从防止火灾蔓延、防烟系统排烟、人员安全疏散等方面进行验证, 以判定该摄影棚防火分区划分的可行性。

3 设定火灾场景及烟气流动分析

3.1 设计火灾

分析该摄影棚大空间建筑所在防火分区划分的可行性。摄影棚内可燃物主要为木材、泡沫塑料。参考消防安全工程第4部分, 设定火灾场景和设定火灾的选择根据火灾增长系数的值定义了4种标准t2火灾:慢速火、中速火、快速火和超快速火, 分别在600、300、150、75s时刻可达到1MW的火灾规模, 具体参数如表1所示。根据表1可以知道, 木制货架托盘和泡沫塑料的初期火灾增长系数为0.046 89的快速火。

该摄影棚建筑高度为30.4m, 设置有雨淋系统, 雨淋系统由火灾报警系统控制电磁阀的开启。雨淋阀开启后, 水流才进入系统, 待系统喷头全面洒水时, 才能有效控火。因此, 雨淋系统的喷水时间应为雨淋阀启动时间加上系统充水时间之和。项目中, 报警系统采用吸气式感烟火灾探测器及双波段火焰探测器, 以吸气式感烟火灾探测器的系统设计参数作为分析依据。根据设计, 采样报警器现设计为距地1.3m安装, 距屋顶下最不利探测点距离约为65m;根据吸气式报警系统软件模拟, 发生火灾后, 最大传输时间为62s。此项目设计的吸气式报警系统设计为2s探测一次, 同时考虑摄影棚在拍摄过程中可能使用烟火, 为避免雨淋系统误动作, 需对该报警信号进行确认, 将确认时间设定为30s。则可认为火灾发生94s后雨淋系统才开启雨淋阀进行充水操作。此项目设计雨淋系统报警阀后总容量为6.8m3, 单台水泵流量设计为150L/s, 充水时间45.3s;4个雨淋分区同时动作时, 管网总容量为27.2m3, 设计同时开启3台消防水泵, 设计总流量为420L/s, 则充水时间为64.76s。则火灾发生至雨淋系统开始喷水的时间为158.8s。考虑到报警系统探测到烟气的过程存在不确定性, 水泵从0流量到达额定流量需要一定的时间, 同时受管网布置的影响, 分析火灾蔓延时雨淋系统的充水时间仍取210s。通过计算可知, 雨淋系统有效时最大火灾热释放速率为2 067kW。若雨淋系统失效, 则需要消防人员人工干预扑救。此项目距离最近的消防站约9.7km。根据实地考察, 该地区为新区, 路况设计通畅, 可按当地消防队员在接到火灾报警后5min到达火灾现场, 并在火灾发生10min时开展有效的灭火战斗, 将火势控制住计算。因此, 可以计算得出摄影棚设置的雨淋系统失效时, 火灾达到的最大热释放速率为16 920kW。

针对研究目标, 考虑建筑的空间特点、消防设施对烟气流动的影响, 在防火隔离带一侧设置了1个火源位置。根据最不利原则, 最终确定3个火灾场景, 火灾增长系数为0.046 89kW/s2, 如表2所示。

3.2 摄影棚内烟气流动预测模拟分析

运用FDS对设定火灾场景进行火灾烟气流动模拟分析。整个摄影棚按实际尺寸进行建模, 根据周边的实际环境设定边界条件, 划分的物理网格尺寸为0.25m×0.25m×0.25m。以火灾场景A11为例分析模拟计算结果。

火灾场景A11的火源位置位于摄影棚2所在防火分区内防火隔离带的一侧, 火灾初期按快速t2火发展, 雨淋保护系统在报警系统报警后启动控制火灾蔓延, 最大火灾热释放速率为2.1MW, 设置在摄影棚顶部的机械排烟系统在报警系统报警后开启, 排除热烟气。图2~图7为该火灾场景的模拟计算分析结果图。

通过模拟计算, 摄影棚内发生火灾后, 火灾烟气会在1 800s内下降到屋顶马道处, 屋顶马道以下空间能见度基本没有变化, 温度为28℃, 能见度和CO体积分数均没有下降到影响人员安全疏散的极限值。距离火源9m处的热辐射强度为3.29kW/m2, 没有达到引燃相邻可燃物的最低热辐射强度 (10kW/m2) 。对各设定火灾场景进行模拟计算分析, 人员可用疏散时间如表3所示。

4 摄影棚内人员安全疏散分析

建筑设计疏散设施的目标是建筑内人员能够在火灾条件下疏散到室外安全区域。分析该摄影棚内发生火灾后, 摄影棚内人员在设定火灾场景条件下能否疏散到室外安全区域, 以分析该摄影棚的防火设计方案是否可行。根据设定的火灾场景, 相应设置了疏散场景:火源位于摄影棚内防火隔离带一侧, 摄影棚人员通过全部的安全出口疏散至室外安全区域。

采用PathFinder 2015对设定的疏散场景进行模拟计算分析, 并得到模拟计算结果, 图8、图9为疏散模拟过程图。根据模拟计算可得到该摄影棚及附属用房内的演员和工作人员全部疏散到室外安全区域的疏散行动时间。考虑1.5倍安全系数, 再考虑到火灾自动报警系统报警器探测火灾的时间、建筑内人员听到报警后开始准备疏散的响应时间, 计算得到设定疏散场景条件下的人员必需疏散时间 (TRSET) 。将TRSET与在设定火灾场景条件下的人员可用疏散时间 (TASET) 对比, 以判断摄影棚内人员能否安全疏散到室外安全区域, 如表4所示。

由表4可知, 在各设定火灾场景和设定疏散场景条件下, 设定的防火分隔措施可有效阻止火势蔓延, 能够满足人员安全疏散的要求。

5 结论

针对该摄影棚防火分区面积超大的问题提出了优化设计方案, 设计的防火设计方案能够有效阻止火势蔓延。由Pathfinder疏散模拟得到人员必需疏散时间与FDS数值模拟得到的人员可用疏散时间对比可知, 摄影棚内人员能够安全地疏散到室外安全区域, 疏散设计 (安全出口设置位置、疏散宽度、疏散距离等) 可以保证人员安全疏散。可以认为, 优化设计方案能够达到与规范要求同等的消防安全目标。

参考文献

[1]GB 50016-2014, 建筑设计防火规范[S].

[2]陈雷.某影视基地改造中的消防问题分析[J].消防科学与技术, 2016, 35 (6) :

[3]GB 50084-2001 (2005年版) , 自动喷水灭火系统设计规范[S].

[4]GB 50116-2013, 火灾自动报警系统设计规范[S].

[5]阚强, 姜明理, 罗宗军.某大型会展中心防火分区划分可行性分析[J].消防科学与技术, 2005, 24 (1) :53-56.

[6]GB 50222-95 (2001年版) , 建筑内部装修设计防火规范[S].

[7]GB 50974-2014, 消防给水及消火栓系统技术规范[S].

安全区划分 篇8

三山岛金矿矿区地处山东莱州湾滨海平原地带, 其北、西两面濒临海, 仅东南与陆地相连。地势低洼而平坦, 地面海拔标高一般为1.2~4.5m, 区内最高峰为三山岛, 海拔67.3m。三山岛-仓上断裂为本区的控矿构造。该断裂带仅局部出露地表, 大部分被第四系覆盖, 陆地出露长约12km, 宽50~200m, 平面上呈:“S”型分布, 总体走向40°局部走向70~80°, 倾向南东, 倾角45~75°。

三山岛金矿采深已超-600m水平, 已属深部开采。而且三山岛矿区存在断裂带, 监测大断层的活动以及由此诱发的灾害显得尤为重要。通过微震监测, 实现岩层区域稳定性监测预警及生产区岩爆和岩爆诱发矿柱失稳和顶板冒落的监测预警。微震监测结果可以作为检验岩层控制和开采方法、保障安全开采和进一步优化开采设计的依据。

2 微震监测原理

微震监测技术[1,2,3]的基本原理:岩石在应力作用下发生破坏时, 会同时产生微震和声波。如果在破裂区周围的空间内布置多组检波器对可能发生破裂的岩石进行震动波和声波数据的实时采集, 那么将这些采集到系统终端的数据经过处理后, 应用震动定位原理, 就可以确定破裂发生的具体位置, 并在三维空间上直观的显示出来。[4]

图1中, 采场上方岩层受采动影响破裂, 破裂后能量以震动和声波的形式向周围传播, 到达预先埋设的多组检波器。由于震源与检波器间的距离不同, 震动波传播到检波器的时间也不同, 因此, 检波器上的到时也是不同的。根据各检波器不同的到时差, 进行震源定位和能量计算, 得到此次岩层断裂的位置和能量。[5]

3 采场安全等级划分

3.1 正常等级———采场内生产爆破

矿区井下生产通常一个采场一天会安排一至两次采场内生产爆破。在微地震监测系统的测点监测范围内, 爆破岩体震动信息均能监测到, 大体上震源距测点的空间位置在300米以内监测效果较好。统计微地震监测系统每天的监测结果, 可得出矿区内采场生产的情况, 如果某些生产采场内的一次爆破能量较大, 可从微地震监测数据中明显的反映出来。通过采场内生产情况的对比分析, 可了解采场内爆破位置, 以及爆破对顶板稳定度的影响。

通过监测结果可知目前的监测主要为采场内生产爆破, 因此, 目前的矿区的生产是安全的。

3.2 轻度危险———采场内冒顶及点柱型岩裂

随着矿区生产能力的提高, 井下采场高频率、大能量爆破会成为矿区的生产趋势。这种作业方式将加剧顶板或是上盘岩体的破裂。针对靠近上盘岩体稳定性较差的现状, 目前矿区采场内采取的是在回采之前, 先对采场顶板进行长锚索支护, 以增强顶板整体稳定性。虽然这种方式能收到一定的成效, 但长锚索支护也有一定的局限性, 当顶板岩体整体稳定性较差时, 爆破引起的顶板垮冒事件发生的几率就会提高。因爆破引起的顶板冒落一般不会在采场爆破后立即冒落, 而是经过一定的时间, 岩体与周围岩体完全没有力的传递时, 才会脱落, 甚至是周围采场爆破将已经产生离层的顶板岩体震落。采场内点柱的岩裂现象:一般情况下, 一个采场的分层里会有两排点柱, 发生岩裂时, 支撑上盘岩体的点柱会因为受力超过其强度产生大体沿大于45°的破裂。由于点柱破裂时产生的能量较大, 采场附近的测点能监测的震动的现象, 监测到的波形明显区分于爆破波形。此种情况微地震监测系统监测效果较好。

因此, 采场围岩出现这类震动事件时, 认为采场属于轻度危险的状况。

3.3 中等危险———采场上盘出现向上延伸的持续性破裂

此种情况在矿区还未发生, 不过根据相似矿山和煤矿中发生的透水情况结合矿区地质状况, 可以得出此类情况有可能发生, 因此将此种类型列为中等危险的等级。由于采场内频繁生产, 采场上盘的岩体稳定性较差, 加上有断层的影响, 所以, 极有可能发生在采场的上盘的岩体随着生产爆破, 上盘岩体破碎的位置逐渐往上延伸, 当这种裂隙经过一定时间的发展, 有可能形成海下通往采场内的导水通道, 一旦此类事件发生将影响整个矿的安全生产。

3.4 严重危险———构造活化形成导水通道

鉴于目前井下地质工作的局限性, 地质状况未完全透明, 矿区中存在已经形成却未探明的节理构造, 对海下开采带来隐患。对此问题, 在做好矿区地质勘探的同时, 还可利用地震波传播的速度变化以及波形特征的变化进行辅助判断。当这些节理构造在生产的扰动下继续发展, 有可能产生采场冒顶或是裂隙导通形成导水通道的危险。一旦此种情况发生, 上层海水渗入将会对矿山带来巨大危害。因此将第四种类型列为矿山严重危险等级, 根据研究经验可知, 微地震监测系统对此类型的微地震事件监测效果较好, 能够及时发现这类前兆信息并做出预报。

4 结论

根据矿区的地质条件以及开采情况, 提出了适合的安全评价标准, 对矿区已经出现和可能出现的状况分为四个等级:正常、轻度危险、中等危险、严重危险。利用安全开采等级对目前开采安全状况的评价结论为:矿区开采安全等级为“正常”。

然而矿区采用多中段多采场同时进行生产, 在开采范围达到一定程度后, 有可能达到围岩稳定的极限状态。如果发生这种情况, 将影响到整个中段的生产或是整个矿区的安全。特别是构造将开始活化, 因此, 在开采后期, 要特别注意应用微地震监测结果, 评判构造的稳定性。

摘要:通过微震监测技术对三山岛矿区进行微震监测, 结合长期的实时监测结果将采场的安全等级划分为四个等级, 并且将监测结果对应着四个等级进行划分。在今后的生产工作中可以通过对监测数据的收集和辨识达到对生产区域安全等级的划分, 从而为深部安全生产开采工作提供了基础依据。

关键词:微震监测,地下矿山,采场安全,深部开采

参考文献

[1]姜福兴, XUN Luo.微震监测技术在矿井岩层破裂监测中的应用[J].岩土工程学报, 2002, 24 (2) :147-149.

[2]Mendecki A J.seimic monitoring in mines[M].London:Chapman Hall, 1997:12-75.

[3]Luo X.Hatherly P.Application of microseismic monitoring to characterize geomechnic conditions in longwall mining[J].Exploration Geophysics 29 (1998) , 489-493.

[4]姜福兴, 王存文, 杨淑华.冲击地压及煤与瓦斯突出和透水的微震监测技术[J].煤炭科学技术, 2007, 35 (1) :26-28.

安全区划分 篇9

关键词:安全域划分,电视台播出系统,边界防护

随着对科学技术的不断研究,网络计算机技术得到了大力发展,全国各行各业都对其进行了广泛的应用,在电视行业中也不例外,使用这一技术改变了传统当中电视台节目独立的现象,使所有节目有效地结合起来。但是在这些节目进行网络传播的过程中,所处于的安全级别具有一定的差异,这就导致播出系统出现了网络边界。播出系统作为电视行业中的主要工作系统,加强其网络安全等级,减少外部干扰以及违规操作,使其能够更好地运行,使播出电视节目的质量得到保证。

1 电视台播出系统安全域划分

1.1 安全计算网络

在电视台播出系统的划分中,其中最关键的就是安全计算网络,在电视台进行节目的播出时,起到了基础性作用。根据其使用性能的不同,可以将其分为不同的部分,这些部分在节目播出的过程中分别起到不同的作用。计算网络安全就是通过对系统中的各部分进行控制,使整个系统在运行的过程中得到安全保证,无外界对其进行干扰。根据系统中各部分的使用程度不同,又可以将其分为关键系统以及非关键系统。前者在系统中发挥的作用相对较大,会对节目的播出产生直接影响;后者作用相对较小,会间接对节目进行影响[1]。

1.2 安全通信网络

在电视台播出系统划分中,将其内部所有的网络以及全台主干网都划分到这一域中,在这一网络中,系统内部网络起到了重要的作用,其可以使系统内的各种数据进行传递,并通过区域边界与全台网相连,进而与计算网络产生相应的联系,使系统内部的数据可以得到有效的利用。虽然全台主干网不属于播出系统,但是其在系统中发挥出了重要的作用,因此,也将其划分为安全通信网络当中。

1.3 安全区域边界

在节目的播出过程中,通常会流出或流入很多的数据,这些数字当中有一部分是系统正常使用的数据,而有些数据会对电视节目播出带来一定的影响,在这时就需要安全区域边界来对其进行控制,保证数据能够有效地进行流通,以使播出系统在运行的过程中无有害信息传递,使整个系统的安全性能得到保证。在当前阶段中,安全区域边界有很多种,因其功能的不同,在系统中发挥出不同的作用,为系统正常运行提供了有效的帮助[2]。

1.4 安全管理中心

除了上述3种安全域外,还需要对其进行有效的控制,这就体现出了播出系统中的安全管理中心的重要性。它可以将上述的3种安全域有效地结合起来,在运行的过程中,根据系统运行的步骤将每个安全域的功能有效激发出来。同时,在系统运行的过程中,安全管理中心还对其起到了安全管理的作用,使其安全性能得到更好的保证。

2 安全区域边界防护方法

2.1 区域边界访问控制

在对区域边界进行访问控制时,可以对边界进行分析,将其存在的特点寻找出来,然后根据这些特点来选择相应的防火墙对其进行防护,使其在数据流通的过程中起到良好的访问控制作用。在数据将要流通区域边界时,首先就需要经过安装的防火墙,防火墙对数据的内容进行分析,将其分为正常数据以及非正常数据,会将非正常的数据进行拦截并且销毁,使流通的数据具有很好的保证。在受到的风险因素较多时,使用传统的防火墙起到的作用往往不是很好,这时就要使用UTM安全网关,可以对所有有害的因素进行控制,保证了区域边界在工作中能够发挥出更大的作用[3]。

2.2 区域边界安全审计

在对区域边界进行防护时,不仅仅只是对其访问进行控制,还需要对其进行安全审计。进行这项防护时,有些是需要使用一些网络设备完成的,还有一些安全设备能自主进行,保证了区域边界的安全,在审计的同时,要保证播出系统不会受到影响。在审计进行过程中,要将事件的发生时间、对事件产生影响的IP地址、所发生事件的类型以及系统的处理结果等包含进去,同时要将审计记录进行保存,一般要求3个月以上,使之后再次遇到相关的事件时能够做出快速的处理[4]。

2.3 入侵防范

在对播出系统进行使用的过程中往往会出现入侵的现象,这就要对播出系统中的区域边界进行入侵防范。可以在边界处安装相应的防范软件,这些软件根据功能不同,对边界不同的区域进行检查。例如,有些软件是对端口进行检查,有些软件是针对强力攻击进行检查等。软件在将有害的行为检查出来后,将有害行为的来源IP、行为的类型等进行记录,如果检查出来的有害行为会对系统造成严重的影响,就会将软件中的警报系统开启,对工作人员进行提示,同时采取出相应的措施对其进行一定的处理,使有害行为造成的损失降到最低。

2.4 恶意代码防范

在对系统的使用时,还会遇到恶意代码的侵袭,这就需要对这一问题进行防护。对播出系统的需要进行分析,根据其需要来选择防病毒网关,在系统外部的数据进入系统内时,对其进行检测,并根据数据对系统的影响将其分为有用数据以及恶意代码,将恶意代码进行清除,有用数据可以正常地进入系统中。并且在对防病毒网关的使用过程中,还要定期对其进行更新,将新的恶意代码加入进去,使其防范功能能更好地发挥出来。

2.5 安全数据交换

在对安全数据交换过程中进行防护时,可以安装相应的信息摆渡装置,根据数据的使用要求,在装置的内部进行安全策略的设置,使数据在交换的过程中,对数据的类型进行控制。同时,要使用多种防护类设备进行防护,并在安全设备中设置可以进行数据交换主机的IP,在进行数据交换的过程中增加了多重保护。最后,在一定的情况下,还可以使用相应的协议来进行数据的交换,使信息交换更加安全与稳定。

3 结论

总之,使用上述这些防护措施可以将电视台播出系统进行有效的管理,使播出系统中每一部分的边界接口都能很好地体现出来,根据边界接口的特点来选择最合理的方式加强播出系统的安全性能,使其在正常的运行过程中更加安全、更加稳定。但是在当前阶段,科研的力度不断加大,科学技术在不断地发展与创新,这就要求我们不能对此满足,要在科学技术发展的同时对这一项目进行研究,使其能跟上时代的步伐,在社会发展的各阶段中都能起到良好的作用。

参考文献

[1]张钰,杨秀文.音频制播网边界防护的设计与应用[J].电声技术,2012(7):80.

[2]王学奎.北京电视台制播网等级保护建设网络安全部分设计与实现[J].广播与电视技术,2012(11):43.

[3]王晓艳,梁晋春.电视台播出系统安全保护等级三级等保实施研究[J].广播电视信息,2015(1):95.

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:66553826@qq.com

上一篇:在企业文化培训班上的发言 下一篇:在全区安全信访稳定工作会议上的讲话