系统安全研究(精选十篇)
系统安全研究 篇1
安全科学是研究事故发生、发展规律及其预防的理论体系[1]。根据我国著名科学家钱学森同志对科学学内涵和科学技术体系学的分类思想[2],基于安全系统思想的内涵构建的安全科学研究的方法体系,可以划分为安全方法论、方法学以及安全的具体方法和工具三个层次。近年来,国内外在安全方法学和安全具体方法和技术应用方面得到了快速发展[3,4,5,6,7]。从整体性、系统性方法学的层面来看,国内外比较有代表性的安全理论成果有:德国学者A.KUHLMANN.[8]《安全科学导论》,从人-机-环境-法制以及社会等几个方面对安全科学的研究做了全面论述;日本井上威恭[9]《最新安全科学》,从安全管理系统工程角度对安全科学进行系统性论述;我国学者清华大学范维澄教授[10]《公共安全科学导论》,提出了公共安全“三角形”理论模型和“4+1”方法学;中南大学吴超教授[11]出版的《安全科学方法学》,从科学学的高度对安全科学方法进行了广泛论述。在方法论研究方面,我国安全科学开创者刘潜先生[13]从人的安全需要出发,研究安全本身的内在联系,提出了安全“三要素四因素”系统原理。刘潜先生[14]认为安全科学包含安全学科科学、应用科学和专业科学,并提出作为安全专业科学思想基础的安全实践思想,其核心内容可简要概括为:用安全系统思想解决系统安全问题。为了进一步明晰安全系统思想的内涵,笔者从安全专业科学的角度,进行了安全系统思想及其理论核心的研究[15],并提出了安全“三元分形双系统”原理和“用安全系统思想实现复杂系统动态安全”的安全系统方法论。
为促进安全系统思想的应用和实践,本文基于安全系统思想内涵,分析实现城市安全发展的步骤及涉及的技术方法,探讨如何用安全系统思想实现城市安全发展这一复杂系统的动态安全。
1 安全系统思想的内涵
安全系统思想内涵包括安全“三元分形双系统”原理,安全系统思想核心理论,安全系统方法论三个核心内容,三个核心内容共同作用实现复杂系统动态安全的流程如图1所示。
安全“三元分形双系统”原理,将安全系统描述为依附于安全对象系统的实体组织形式的安全功能系统[15],是由安全的主体、客体和主客体关系三个基本元素不断嵌套、分形迭代(局部与整体有某种方式相似的形成为分形)构成具体的安全保障体系及运行机制。
安全系统方法论是指用安全系统思想实现复杂系统动态安全的思维过程和方法。即是指在对复杂的对象系统进行系统安全分析研究的基础上,应用安全系统思想和理论,依附于对象系统的实体组织形式,使对象系统形成自身功能系统的同时形成动态的安全保障功能系统的思维方法。
安全系统思想核心理论包含安全系统随机性理论、动态控制理论和自组织理论三大核心理论[15]。安全系统随机性理论认为,安全系统是随机性多主体复杂自适应系统,可以采用复杂自适应系统理论和多主体建模技术和方法,分析、研究复杂安全系统随机性运行和发展的规律。安全系统动态控制理论指出,安全系统有其必然存在的客观条件和自身的内部整体结构。它通过依附于对象系统的动态反馈控制机制,保持自身的内部结构与其外在复杂的客观条件之间在物质能量信息方面的系统交换,从而保障人类生命活动在时间上的稳定性和空间上的完整性,真正实现人的动态安全。安全系统自组织理论强调,安全的本质,除了与人类种种活动本身及其复杂与多变的外在条件密切相关外,同时依赖于安全保障功能系统的运行。安全的外在客观条件和安全自身的内部整体结构的共同作用,决定了安全系统状态的演化。对于安全复杂系统,可以通过动态反馈控制技术实现自组织,而对于城市级别的安全复杂巨系统,则需要采用从定性到定量综合集成的方法和技术,形成动态反馈控制技术,并通过对外适应和对内整合的机制,实现安全保障功能系统。
2 用安全系统思想实现城市安全发展的关键技术及思路
城市安全问题由来已久,伴随着城市的兴起、发展、演变、衰落、瓦解整个城市的生命过程,涉及个体安全、群体安全、生产安全、社会安全和人类生存环境安全,内容非常复杂宽泛。如何实现复杂城市系统的动态安全,构建可持续发展的安全城市[24],是人类面临的重大课题,是一项系统工程。基于安全系统思想的内涵,将实现城市安全发展这一系统工程梳理出三项基本原则,六项关键技术以及四个主要环节。
2.1 用安全系统思想实现城市安全发展的基本原则
从安全系统方法思想的内涵中可以看出,用安全系统思想实现城市安全发展应具有以下三个方面的基本原则:
1)基于系统安全分析。用安全系统思想实现城市这样一个复杂系统动态安全,需要加强对象系统中存在的危险、有害因素分析,注重对象系统整个生命周期(过程)中各阶段的安全措施研究。
2)突出安全系统思想。用安全系统思想实现城市的动态安全,必须强化安全功能系统动态结构保障体系的构建,注重对象系统整个生命周期(过程)中整体安全系统的保障。
3)强调系统动态安全。用安全系统思想实现城市安全发展,需要根据对象系统的复杂性,构建动态的安全系统,针对不同复杂程度的安全系统采取不同的构建方法和运行机制。
2.2 用安全系统思想实现城市安全发展的安全关键技术
根据安全系统方法论特点和安全系统思想的核心理论,系统安全分析涉及一系列系统安全工程的方法和技术,城市安全发展的实现涉及安全系统思想核心理论和方法的具体应用,据此分析得出,用安全系统思想实现城市安全发展主要涉及以下六项的关键方法和技术:
1)系统安全分析的方法和技术[16,17]。为了保证对象系统的安全,必须仔细地寻找引起对象系统中发生事故的各种事件和触发因素,以充分认识对象系统中的危险(危害)。系统安全分析就是采用系统、合乎逻辑的方法来全面识别对象系统整个生命周期(过程)中存在的各种危险、有害因素,并提出防范措施进行控制的方法和技术。系统安全分析方法大致可分为四类:表格法、工程逻辑法、人机工程分析法、概率统计分析法。
2)重大(重点)危险源辨识、分析、评价的方法和技术[18]。这里所谓的重大(重点)危险源,是指极易导致或可能导致群死群伤事故发生的危险场所、区域。为了加强重大(重点)危险源的控制,可以根据人类生存发展条件和对安全水平的需要,将重大(重点)危险源划分为不同的等级,实行分级监控和管理。控制重大(重点)危险源的目的,不仅仅是预防重大事故的发生,而且是要做到一旦发生事故,能够将事故范围和损失限制到最低程度,或者说能够控制到人们可接受的程度。重大(重点)危险源经常涉及到易燃、易爆、有毒的危害物质,发生事故时失控能量强、危害大,导致事故的触发因素复杂,需要有专门有效的辨别、分析、评价方法和技术。
3)安全系统保障体系分形嵌套迭代构建的方法[19]。安全系统是由安全的主体、客体、主客体关系三个基本元素构成的抽象系统。安全系统的功能是安全保障的功能。安全系统保障体系建设,需要从安全的角度和着眼点出发,即从安全的人、物、人物关系实现方式(事)三个要素出发,不断嵌套迭代而构建一个整体。
4)安全系统动态反馈控制方法和技术[20]。安全系统是依附于对象系统的离散迭代型动态反馈控制系统。安全系统的控制方式有三种:前馈控制、负反馈控制和正反馈控制。对象系统包括一些子系统、孙系统……中存在的危险、有害因素需要依靠前馈控制技术予以解决,其中的先进安全技术措施,通过正反馈控制加以强化,其运行过程中出现的有害倾向,通过适时负反馈控制予以及时消除。安全功能系统的形成是一个离散型动态控制过程,通过依附于对象系统的动态反馈控制机制实现安全系统的自组织。
5)安全系统多主体适应性分析建模的方法和技术。安全系统是随机性多主体复杂自适应系统,可以采用复杂自适应系统的理论和多主体建模技术和方法[21]。把安全系统看作一个由多主体交互协作组成的复杂适应系统,从而把对安全系统的建模分解为对行为主体的建模,通过多主体来分析、研究安全复杂系统随机性运行和发展的规律。
6)安全复杂巨系统保障体系及其运行机制综合集成方法和技术。由于安全系统的对象复杂性、环境开放性、结构迭代性和整体适应性,如何把总系统更好分解为子系统,以及把子系统更有效地合成为总系统,为对象系统构建完备的安全保障体系及其运行机制,需要广泛运用意见综合、模型集成、系统重构分析等方法和技术[22,23]。
2.3 用安全系统思想实现城市安全发展的主要思路
经过归纳总结,实施用安全系统思想实现城市安全发展的主要思路可以归纳为以下四个环节:
1)采用系统安全分析方法,全面系统分析城市这个对象系统整个生命周期(过程)中存在的危险、有害因素,分阶段、分区域、分层次、分专线识别不同类别危险、有害因素,提出相应的防范技术和措施。
2)对城市中的重大(重点)危险、有害因素进行专题分析,深入分析、全面挖掘对象系统存在的危险、有害因素和根源,提出相应的防范措施和意见。
3)根据安全系统原理,按照安全系统理论和方法,对存在重大(重点)危险、有害因素的重点阶段、区域、层次、专线,构建相应的安全保障功能体系。
4)依附城市的组织形式,结合安全系统的复杂程度,采用人机结合以人为主的综合集成方法,构建完善的安全保障功能体系及其运行机制,实现安全系统自组织。
3 应用安全系统思想实现城市安全发展基本步骤
基于安全系统思想实现复杂系统动态安全的方法论,结合用安全系统思想的核心理论实现城市安全发展的关键技术和主要思路,提出了建设安全发展城市,实现城市安全发展的八个步骤:
1)明确城市安全问题范围。根据《中华人民共和国突发事件应对法》对突发事件的定义,文中将城市安全问题对应分为四类:自然灾害、事故灾难、公共卫生事件和社会安全事件。其中,导致事故灾难的城市安全风险主要包括:工业危险源带来的城市安全风险、人员密集场所存在的城市安全风险、城市生命线工程(公用设施设备、交通运输设施设备)带来的城市安全风险等。
2)系统辨识城市风险源。结合城市各环节领域的安全内涵,对城市发展过程中存在的自然灾害、事故灾难、公共卫生事件和社会安全事件等类型风险单元进行系统辨识。结合国内外近年来发生的重大事故案例,对各类型风险单元进行逐一辨识,筛选出各类风险源。
3)系统评估城市风险源风险水平并划分风险等级。采用系统安全工程的技术,结合危险有害因素辨识、定量风险评估(QRA)、定性风险评估从定性到定量综合集成方法,对城市各类风险源进行风险量化评估,并结合各风险源的事故发生可能性和严重程度,将风险源划分为一级特别高风险、二级高风险和三级普通风险三个级别,结合不同等级高风险源的分布情况,制作城市高风险源地图。
4)全面评估城市安全整体风险。制订完善城市安全风险控制考评体系,采用先进的决策分析技术,对城市安全风险控制能力进行分级考评。根据安全系统自组织反馈控制技术和安全系统多主体适应性分析建模的方法和技术,对城市安全整体风险状况进行综合性水平评估。
5)系统构建城市安全保障体系。根据安全系统动态控制理论,按照安全的主体、客体、主客体关系三个基本元素,采用综合集成的方法和技术,分层嵌套构建城市安全保障体系。主要包括:(1)城市安全高风险源安全保障体系。从安全设备、能量控制、标准体系等方面,进行分层构建。(2)城市安全风险监管体系。从法规体系、经济投入、管理机构等方面,进行分层构建。(3)城市安全文化保障体系。从信用体系、技能培养、文化氛围等方面,进行分层构建。(4)城市安全行为保障体系。从生理适应、心理干预、行为规范等方面,进行分层构建。
6)建立突发事件应急救援机制。按照城市安全风险触发事故发生过程,结合城市社会各方力量,采用综合集成的方法和技术,建立事故预警、现场处置、应急救援、恢复重建、信息发布等机制。
7)科学编制城市安全系统规划[25]。根据城市土地利用、城市建设和城市经济社会发展,可以将城市安全系统规划分为三大类:一是城市安全用地规划,如城市工业新区安全规划、城市经济技术开发区安全规划等;二是城市安全建设规划,如城市产业布局安全规划、城市物流园区安全规划等;三是城市安全发展规划。其中,城市安全发展规划涉及内容众多,体系复杂。依附城市管理组织形式,按城市安全风险来源及其管控手段来划分,主要包括:(1)城市安全高风险源管控安全规划;(2)城市工业重大危险源管控安全规划;(3)城市人员密集场所(地铁、机场、学校、商场等)安全规划;(4)城市生命线工程(供水、供电、燃气管网等)安全规划;(5)城市减灾防灾安全规划;(6)城市公共卫生事件防控规划;(7)城市社会治安和群体事件防控规划;(8)重点区域(城中村、避险场所等)安全规划;(9)重点行业领域(交通、消防、建筑等)安全规划;(10)城市安全风险综合防控(体制机制、管理创新、科技应用、信息化建设等)规划。
8)完善城市安全保障运行机制[26]。在编制城市安全系统规划的基础上,根据PDCA循环(Deming Cycle)模式,采用综合集成的方法和技术,构建城市安全运行体系和保障机制。(1)建立城市安全基本制度,完善城市安全法律法规,制订城市安全标准规范,依法行政、依规办事;(2)完善城市安全监管体系和机制,实施城市安全风险责任制度,分级分区分线监管;(3)加强城市安全文化建设,构建城市安全信用体系,培育良好的城市安全文化,把城市的各种安全行为控制在城市组织的期望之上;(4)发挥城市安全系统多主体行为交互协作的适应性,构建城市安全系统对外适应和对内整合的机制,通过城市安全动态反馈控制技术实现城市安全系统的自组织。
4 结论
1)安全系统思想内涵,应包括安全“三元分形双系统”原理,安全系统思想核心理论,用安全系统思想实现复杂系统动态安全的方法论三个核心内容。安全系统思想内涵可为如何实现复杂系统动态安全提供明晰的思路。
2)用安全系统思想实现城市安全发展这一复杂系统动态安全,是基于系统安全分析,突出安全系统思想,强调系统动态安全三个基本原则开展的安全系统重要实践。基于安全系统思想,城市安全发展的实现步骤可以归纳为首先通过系统识别、全面评估城市安全风险,然后构建城市安全保障体系,通过完善城市安全运行机制,实现城市安全系统的自组织,最终达到保障城市安全发展的目的。可以看出,用安全系统思想实现复杂城市系统的动态安全,促进城市安全发展,具有实际的指导意义。
3)用安全系统思想实现城市级别的复杂系统动态安全主要涉及的六项关键方法和技术中,系统安全分析的方法和技术,重大(重点)危险源辨识、分析、评价的方法和技术,以及安全系统动态反馈控制方法和技术等三项技术研究相对完善;而安全系统保障体系分形嵌套迭代构建的方法,安全系统多主体适应性分析建模的方法和技术,以及安全复杂巨系统保障体系及其运行机制综合集成方法和技术等三项方法和技术,其研究则相对匮乏,是今后安全系统方法论及其应用研究的重点和方向。
摘要:为了利用安全科学理论解决城市安全中的现实问题,探讨用安全系统思想实现城市安全这一复杂系统动态安全,基于安全“三元分形双系统”原理,开展了安全系统思想内涵及其应用研究。基于安全系统思想内涵,通过分析归纳、总结概括的方法,提出了用安全系统思想实现城市安全发展这种复杂系统动态安全的关键技术和思路。并结合城市安全的具体特点,提出了安全发展城市建设的基本步骤。结果显示,用安全系统思想实现复杂系统动态安全,指导城市安全发展是可行的。
系统安全工程的研究内容 篇2
一、系统安全评价
系统安全评价往往要以系统安全分析为基础,通过分析,了解和掌握系统存在的危险因素,但不一定要对所有危险因素采取措施。而是通过评价掌握系统的事故风险大小,以此与预定的系统安全指标相比较,如果超出指标,则应对系统的主要危险因素采取控制措施,使其降至该标准以下。这就是系统安全评价的任务。评价方法也有多种,评价方法的选择应考虑评价对象的特点、规模,评价的要求和目的,采用不通过的方法。同时,在使用过程中也应和系统安全分析的使用要求一样,坚持实用和创新的原则。过去20年,我国在许多领域都进行了系统安全评价的实际应用和理论研究,开发了许多实用性很强的评价方法,特别是企业安全评价技术和重大危险源的评估、控制技术。
二、安全决策与事故控制
电力系统信息安全研究 篇3
关键词:电力系统;信息安全;安全控制;研究
1 引言
近年来,随着计算机技术和检测技术的快速发展,我国的电力系统自动化建设也取得了突飞猛进的进步。在现代的电力企业中,随着不同应用环境和类型的信息系统的大力开发和使用,为我国电力系统的安全稳定运行做出了极其重要的贡献。例如:电力的市场营销系统、生产控制系统、行政管理系统等多方面的信息安全系统,这些信息安全系统在我国电力系统的优化中具有十分重要的作用。如何切实有效的保障我国电力信息系统的安全、经济、稳定运行,已成为电力工作人员努力探索的重要问题。本文重点针对电力系统的信息安全进行研究,详细分析了电力系统所面临的主要信息安全问题,并针对这些问题研究出了切实有效的控制方法,以期能有效保障我国电力系统的信息安全,促进我国电力行业的安全、稳定发展。
2 电力信息系统面临的信息安全问题
根据其应用领域的不同,可将电力信息系统分为三种类型,即:生产控制电力系统、市场营销电力系统以及行政管理电力系统。其各自主要面临的信息安全问题存在一定差别,现总结如下。
2.1生产控制电力系统
电力的生产控制系统主要是控制电力生产的过程。该控制系统主要包括:水库调度的自动化系统、电厂监控系统、配电网和变电站自动化控制系统、微机保护和安全自动装置及SCADA/EMS等。不管对于何种类型的电力系统,对安全性要求最高的就是生产控制系统。目前,电力系统的自动化系统,已将其原有的现场实地控制模式科学合理的转变成为了以工业网络为基础的集中控制模式。尽管已在生产控制系统的安全问题采取了一定的措施,但是由于多方面的原因,系统在高频、微波等通信渠道上仍然面临着冒充、窃收、重放、篡改、等诸多威胁,严重影响了电力生产控制信息的真实性、安全性以及完整性。另外,提供电力控制系统设备方面的相关技术人员,在进行系统的安装和维护时,可能出于商业利益或政治目的而在生产控制系统上安装恶意代码,或是窃取系统信息,这些做法都在极大程度上严重影响了生产控制系统的安全稳定工作。
2.2市场营销电力系统
市场营销电力系统作为联系电力用户、电力物资供应商以及电力企业的桥梁和纽带,在电力系统信息安全中发挥着不可替代的作用。它主要是用来进行招投标以及调查和适应电力市场。由于市场营销系统不仅要沟通电力企业,同时还要和其他的实体进行相互的交流,因此就必须要进行互联网的连接。在这种相对比较开放的系统模式下,尽管可以极大地促进电力营销的发展,但是也面临着许多信息安全问题的威胁。攻击者能够采取各种方式来对市场营销系统的系统程序、应用程序以及网络等进行攻击,进而破坏信息的完整性、一致性、保密性、身份认证、访问控制以及不可抵赖性等电力系统的控制方法和信息资源。
2.3行政管理电力系统
行政管理系统在电力企业中主要用来执行日常的管理事务,其基本功能就是管理电力企业的办公自动化系统、人事、物资以及财务等,其中还包含ERP系统。而在运行过程中行政管理系统所应用的数据信息就是通过生产控制系统而传输过来的,尽管行政管理系统的开放性相对于市场营销系统来讲比较低,但在该系统中也会存在U盘信息泄露的风险。
电力系统作为一个整体的系统,为有效保障其安全、稳定、高效的运行就必须要各个分系统在一起进行协调和配合。因此,在一种类型的电力信息系统存在安全问题时,各问题之间通常存在着一定的关联性,这就使得对电力信息系统的信息安全维护更加困难。
3 电力系统信息安全研究进展
若要实现电力系统信息安全的全面保护,就必须要综合的运用网络安全、密码学以及访问控制等多种学科、方法和手段,同时还要结合管理和技术手段。
3.1基于生产控制系统的信息安全研究
生产控制系统是电力系统信息安全中最重要的部分。生产控制系统是电力系统的生产控制部门,相对独立于电力系统中的其他系统。目前,我们所研究的生产控制系统主要包括变电站自动化系统、电力调度自动化和微机保护系统以及SCADA系统等。
IEC61850作为一种国家标准,它主要是以网络平台为基础的变电站自动化标准,但这一标准并未对安全问题作出任何说明。以这一标准为基础的权限管理和公钥等基础设施,在国内的电力企业中得到广泛应用,它有效结合了角色访问控制记录,创建了用于解决身份认证和访问控制问题的有效解决方法。在解决控制中心的信息完整性和身份认证以及变电站自动化系统中的变电站IED问题时,数字签名技术就提出了完美的解决思路。以口令来进行验证变电站自动化系统的IED身份,能较为有效的满足通信安全标准认证和电力系统数据安全的需求。通过研究和分析分布式系统的脆弱性,根据网络环境提出了切实有效地变电站自动化通信系统脆弱性评估方法,以对系统的安全性进行量化,为有效制定信息安全策略提供切实可行的参考依据。
电力监控和自动化系统、变电站以及电厂等网络和各实体之间已通过微机保护的方式有效实现了互联,这样调试和运行人员以及系统生产商等都能够访问微机数据,这种情况下就极易造成信息安全问题。对于这种问题,可通过设置局域网、访问控制等方式来进行信息安全保护。此外,还能通过分析同一变电站电压、电流的数据,来确定出问题出现的原因,看是恶意攻击还是系统真正的运行故障。
3.2基于行政管理系统的信息安全研究
行政管理系统的基本架构和其他系统架构基本上是一致的,行政管理系统主要是管理电力企业的日常事务,在进行信息安全防护措施的使用时,与其他系统之间存在着许多的相似之处。
我们所研究的行政管理系统信息安全主要包括两个方面,即:文档可信传输和访问控制。在进行变电站的重要文档(操作票)传输时,必须采用具有较高安全性的方式来进行。使用公钥算法来对文档进行电子签名,以确保传递文档的安全性;在进行存档时,要将文档和签名一并存档,在应用这一方案时要支持公钥基础设施。此外,还有一种比较安全的传输技术就是数字水印技术,通过信号处理法将较为隐蔽的标志嵌入多媒体数据中,这样就能有效保障收发电力文档双方身份的可靠性。同时,这一技术还成功完成了对文档真实性和完整性的检查。
3.3基于市场营销系统的信息安全研究
目前,市场营销系统接入到互联网中的大多是B/S结构,主要采用的是HTTP传输协议,这极易受到攻击。在进行市场营销系统的信息安全管理时,可以采用SSL协议,它不仅能很好的抵抗外来攻击,而且可以和各种以TCP/IP为基础的应用兼容。
3.4互联环境中电力信息系统的安全研究
研究表明:要想有效保障互联电力系统信息的安全性就必须从容入侵、网络安全以及安全体系设计等多个方面进行控制。目前需要解决的主要问题就是有效明确安全体系的安全需求、将安全需求映射为安全体系、根据安全策略来获取安全需求等诸多问题。
4 结束语
电力系统作为国家不可或缺的重要基础设施,对我国经济的发展和社会的进步做出了巨大的贡献。随着我国科技的不断进步,对电力系统信息安全的管理和研究也更加深入,有效促进了我国电力行业的发展和进步;电力系统的信息安全研究对电力的安全稳定运行具有十分重要的意义,是一个极有发展前景的研究课题。
参考文献:
[1]李博.电力系统信息安全研究综述[J].中国科技信息,2014.(11):200-201.
[2]叶佳承.浅谈电力系统信息安全[J].电力讯息,2014.
信息系统安全策略研究 篇4
1 安全策略概述
系统安全策略是否完善、正确和一致至关重要, 它是保证系统安全工作开展的关键。但是因为安全策略本身的复杂性、系统性、综合性影响, 这给安全工作的开展带来困扰。通常来说, 系统规模越大、安全策略越复杂。如对于个人计算机而言, 安全策略工作的开展仅仅是围绕着计算机进行的, 而计算机本身是通过软件、硬件两方面构成, 因此只需要做好这两方面的安全管理工作就行了。但是对于一些复杂的企业管理系统而言, 由于其中设计内容多、设备复杂和软件繁琐的特征, 因此在工作中需要从各个不同角度加以总结和优化, 保证企业管理工作的顺利开展。
目前的系统安全研究中, 系统的概念不断完善和发展, 这对信息系统而言无疑良好, 同时安全策略已经成为反映系统安全的核心。但在日新月异的社会发展背景下, 人们对系统安全要求越来越复杂, 因为作用、层次和对象的不同, 各种管理理念、管理观点和策略也发生了一定的变化, 这给原来安全策略的实施和开展提出了新的挑战, 最典型的就是安全策略在被动访问和主动访问方面的控制策略, 由于主导性的不同, 这两个方面的安全控制策略差异明显, 这就需要我们在工作中加以归纳和优化。图1中则充分的描述了这两种不同条件下的访问现象和问题。
图1中没有明确的表示出策略的层次性, 这也说明许多的安全策略在应用中还存在一定的缺陷和不足, 因此在应用程序的安全控制中还需要相应的策略来完善实施机制。再次说明了在不同安全控制策略下, 要根据不同的管理策略和工作要求选择出科学的安全策略管理实施模型。
2 信息系统安全策略的分类
就多年的工作实践总结得出, 在信息系统安全策略的应用中, 一般都可以将其分为自主访问控制策略和强制访问安全控制策略两种。其中系统的策略实施也是根据这两个不同的访问类型划分的, 其实施机制、实施标准和这两方面的内容息息相关、密切相连。在工作中, 强制性安全策略的应用具备着更好的普遍是硬性, 是有强制性机构提供的可涉及到保密性、完整性、可用性和综合性方面的内容, 它是一个广泛应用在用户安全需求检查方面的内容, 是为用户安全提供多样性、综合性应用内容的管理策略。为了尽可能的控制安全策略实施灵活性和标准型, 系统应当为用户提供更加方便、自主、科学的安全策略, 并列举出有关表达机制, 如安全规则的使用说明、应用工具以及彼此之间的关系等。同时对于一些复杂的安全管理策略则应当由专门的管理机制和管理人员来进行分析, 以此来保证安全策略应用的完整性、正确性和一致性, 这些自主说明的安全规则只有在通过检查处理之后方可形成适合于自主安全策略的管理机制, 是其能够达到预计标准要求。 (图2)
3 系统安全策略的一致性检查
在系统安全管理过程中, 为说明域中的安全策略有时需配置数目较多的规则, 如:一个用于复杂网络环境中的防火墙, 有可能配置数百条甚至是上千条访问控制规则。这些访问控制规则在粒度上一般也是各不相同的。如果规则的数目较多, 同时系统的规则配置又允许“肯定”与“否定”类的规则并存 (防火墙的访问控制规则一般采用“缺省”的办法的话, 那么规则之间的不一致就是非常现实的问题。另外, 规则未必一定是单纯的“肯定”或“否定”, 还有可能存在这两种处理之外的多种决策的情况。既使是采用单纯的缺省拒绝 (“否定”) 方式说明规则, 对一个庞大的规则集, 也有可能出现交叉、包含或重复的规则, 使得规则集显得“痈肿”。管理员阅读或检查起数百条规则, 将是一件非常头痛的事情。另一种情况是, 当管理员从规则集中删除一条规则, 以便调整访问控制行为时因存在规则的交叉和包含, 删除一条规则有可能达不到预期的目的, 也就是有可能还存在另一条规则在某种意义上仍起到与删除的那一条规则同样的作用。因此为了方便系统的安全管理, 提高安全保障, 对规则的一致性进行自动检查是一个非常值得重视的课题。下面详细研究以访问控制表 (ACL) 方式给出的访问控制规则的一致性。
ACL通常用于控制主体对客体的访问。不同的系统或系统实现, ACL的结构、表示和特征也不相同。但是ACL总要精确地反映组织对其存储在系统设备中的信息的访问控制安全策略。ACL可以以列表, 访问矩阵或其它形式集中或分布地存储在系统中。ACL的一致性意味着:在ACL中不应存在冲突的表项, 定义相互矛盾的访问权。以防火墙为例, 防火墙通常安装在两个相邻网络 (安全域) 的边界上, 是信息唯一可以流经的通路。两个邻接的网络通常称为内部网和外部网。对防火墙来讲, 网络中的主体可以粗略地定义为:主机、主机组、子网、客户程序、应用程序、进程、用户等, 严格地讲它们都代表运行在这些独立的网络中的进程。同样, 网络中的客体可定义为主机、主机组、子网、服务、文件等, 它们都可以抽象为包含在文件或服务中的信息。由于在安装有防火墙的网络环境中, 主体或客体的定义, 粒度变化范围较大, 容易出现规则的交叉或包含, 因此通常会导致拥有许多表项的ACL不一致。但是防火墙的正确运行, 需要访问控制表ACL能够恰当地反映安全策略, 具有一致性。下面以实例说明ACL不一致的情况。
结束语
总之, 无论是在ACL中增加规则, 还是删除规则, 都可在系统中实现一致性检查机制, 确保ACL的一致性。
参考文献
[1]刘挺.信息系统数据安全策略探讨[J].才智, 2010 (11) .
[2]李爱平, 赵志刚.基于电子政务网的政府信息公开与管理系统[J].信息化建设, 2009 (7) .
系统安全研究 篇5
系统动态安全评价研究现状及发展趋势
摘要:随着科技的进步和社会的发展,具有突发性、灾难性和社会危害性的重特大事故越来越频繁,静态安全评价已不能很好地评价动态过程中随机发生的事故,动态安全评价能动态地分析危险因素对生产安全状况的影响、危险因素相互间的转化程度,及时做出防范对策措施,有效地预防事故发生,因此对系统动态安全评价进行研究,具有一定的理论价值和现实意义.文章首先阐述了国内外系统安全评价方法研究现状及发展趋势,接着对系统动态安全评价内涵按指标体系的`动态性、指标权重的动态性和评价方法的动态性进行分析,并介绍了现有的动态安全评价方法,最后指出了当前动态安全评价存在的问题,并对其发展趋势作了展望.作 者:吴媛媛 蔡康旭 方俊生 杨弋 作者单位:湖南科技大学,能源与安全工程学院,湖南,湘潭,411201期 刊:中国科技博览 Journal:ZHONGGUO BAOZHUANG KEJI BOLAN年,卷(期):,“”(5)分类号:X913.4关键词:动态安全评价 动态化处理 变权 时间序列 发展趋势
矿井安全监测系统使用问题研究 篇6
【关键词】矿井安全;监测系统;使用中的问题及改进
煤矿瓦斯监测装置是保障煤矿安全生产的重要装备。据原煤炭工业部统计,全国有矿井安全监测系统260套,在籍瓦斯传感器9604头,风速传感器935头,CO传感器268头。在籍瓦斯遥测、断电仪7123头,便携式瓦斯检测仪74583台。在籍瓦斯氧气两用检测仪2578台,瓦斯报警矿灯17176台,光学瓦斯检测仪55142台,这些瓦斯检(监)测装置在预防瓦斯事故中发挥了重要作用。
1.矿井安全监测系统使用存在的问题
1.1部件残缺不全
据原煤炭工业部的一次统计,在已装备的系统中有168套残缺不全,主要表现为“缺头、断腰、少尾”。即:在采掘工作面、回风道等应该装备瓦斯传感器装置的地点没有装备足够数量,形成“缺头”现象;在采掘工作面已装的瓦斯传感器中有1009个应接而没有接上断电控制,当瓦斯超限时不能自动切断机电设备的电源:有981个传感器信号没有传输到地面中心站,使地面有关人员不能直接了解井下相关地点的瓦斯情况,形成“断腰”现象;有2套系统的地面中心站设备损坏,系统失去瓦斯数据遥测、记录等功能,另有一些系统没有配备备用计算机,形成“少尾”现象。这些现象的出现,导致不能充分发挥安全监测系统预防瓦斯事故的作用。例如,辽源矿务局某矿三井生的特大瓦斯爆炸事故,其直接原因是:采煤工作面顶板来压,采空区涌出大量瓦斯,携带高浓度瓦斯的风流经过一个绞车酮室,正逢绞车开动,钢丝绳出现摩擦火花引爆瓦斯,而恰恰在这个风路中没有安设瓦斯监测探头,在瓦斯超限时不能自动切断电器设备的电源,这是“缺头”现象埋下的隐患。
1.2系统部件利用率低
据原煤炭工业部统计,近年来瓦斯传感器的利用率(使用数与在籍数之比)仅为51.6%。
1.3带病工作
有的矿井安全监测系统管理使用不好,维修不及时,对测定的数据不显示、显示为负值或显示不稳定。有的系统中计算机死机,使监测数据丢失或系统失去断电功能。例如,某矿安全监测装置,从2007的11月9日中班至11月13日中班4天中失灵19次,失灵最长时间达166分钟,不能发挥应有作用,导致了特大瓦斯事故发生,死亡多人。平顶山十一矿、阜新王营矿及淮南谢一矿发生的特大瓦斯爆炸事故也暴露了此类问题。
1.4监测队工程技术人员素质不高
煤礦安全监测系统是近年来发展起来的高新技术,监测队工程技术人员至少应具备中专以上学历,应懂原理,会维修。但据统计,全国监测队队长中有近50%的人员为高中学历,没有经过系统的专业训练,其中不少人难以胜任工作,导致监测系统用不好,不能发挥应有作用。而有些监测队工程技术人员知识面狭窄,只懂“电”却不懂“通风”,或只懂“通风”而不懂“电”。
1.5不重视监测数据,监测系统形同虚设
有的矿井安全监测系统正常,能正确地反映瓦斯浓度,但当瓦斯浓度超限发出警报时,某些人员,特别是领导人员不重视,不能按有关规定处理,导致事故发生。例如,抚顺局某矿发生的特大瓦斯爆炸事故,死伤数十人,在事故调查中查阅了瓦斯监测记录,发现事故地点经常出现长时间的瓦斯浓度超限,而有关人员既不及时处理,也没有停电撒人,其瓦斯监测系统形同虚设。又如某矿的监测中心发现4462C13采煤工作面上风巷瓦斯异常,瓦斯浓度达3%,机房值班人员虽用电话向通风科监测队长和通风区调度汇报,但通风科、通风区却没有按规定向矿调度室和矿领导汇报,也没有按《煤矿安全规程》规定停止作业,排除隐患,仅派瓦检员检查核实数据,致使462C13采面瓦斯超限长达14小时之久未得到及时处理,最终导致瓦斯爆炸事故发生,伤亡多人。此类不重视瓦斯监测数据,不能充分发挥监测系统监视作用的现象在不少矿井中常有出现。
规章制度不全,责任不明。某些矿井的监测队没有建立完善的使用、管理、维修制度,岗位责任不明。也有的矿井总工程师等领导不能坚持正常审阅瓦斯监测数据,不能发现问题及时消除隐患。
2.改进措施为了充分发挥矿井安全监测
系统保障安全生产的作用,必须认真做好以下工作:
2.1高瓦斯、突出矿井采掘工作面必须按《煤矿安全规程》和《矿井安全监测装置使用管理规定》的要求,实现瓦斯超限自动报警、切断电源。凡是未达到装备标准的采掘工作面不能生产。
2.2矿长、总工程师必须按规定在审批通风、瓦斯日报的同时审批监测日报,并在发现瓦斯超限时立即采取有效措施予以处理,避免瓦斯事故的发生。
2.3加强监测系统的管理工作。特别是要抓好组织机构的落实、人员素质的提高、建立健全各种规章制度和提高技术管理工作的水平。
凡从事监测工作的人员既要懂安全监测仪表的使用,又要懂得矿井通风方面的基本知识,还要会安装、调试和排除故障。必须进行系统的专业培训,如安全监测、通讯技术和通风安全等的专业培训,并经有关部门考核合格,方可独立工作。
技术管理中要做好“一板、二图、三规程、四制度、五记录”。“一板”即设立仪器设备管理牌板,牌板的内容应包括使用、备用、待修三大部分,使用栏中要有仪器的使用地点、型号、编号等;“二图”包括矿井通风安全监测系统图和配电点配电系统图;“三规程”包括值班电工操作规程,监测维修工操作规程和计算机维修人员操作规程;“四制度”包括定期维修制度、定期调试制度、定期评比制度和岗位责任制度;“五记录”包括设备仪表进货验收记录和仪器设备台账、井上检修调试记录、井下巡回检查核对记录、传感器使用维修记录,中央监测室设备检修记录。■
【参考文献】
[1]李建军.高瓦斯矿井安全监测监控系统的应用与改进措施[J].山西煤炭,2006,(01).
[2]程德强,李世银,李鹏,田隽,庞平.矿井安全监测监控系统[J].电视技术,2006,(02).
[3]梁秀荣.矿井安全监测系统使用中的问题及改进[J].中国煤炭,1999,(05).
[4]李辉,张晓光,高顶,孙正.基于Zigbee的无线传感器网络在矿井安全监测中的应用[J].仪表技术与传感器,2008,(04).
网络存储安全系统研究综述 篇7
网络存储系统采用高速网络连接存储设备建立数据中心,统一给用户提供集中、共享和海量的存储服务,它分离了计算资源和存储资源,存储资源逐渐成为应用的中心,人们对其安全性提出了更高的要求。
NAS和SAN是典型的网络存储系统,NAS由专用文件服务器对磁盘进行集中管理,并统一提供文件级的访问接口,一般通过增强文件服务器的安全性保证网络存储系统的安全。SAN取消了集中的文件服务器,提供块级的访问接口,客户端通过高速网络直接访问磁盘,一般是通过分区等措施来保证网络存储系统的安全性。近年来,网络存储系统正被越来越多地应用在有多层接口的复杂网络拓扑结构中,用户可以通过主机、交换机、LAN/WAN和VPN等设备访问网络存储系统,这些都给网络存储系统的安全带来了很大威胁,所以研究和实现海量存储网安全是目前大规模存储系统中急需解决的重要问题。
1 网络存储系统的安全特点
网络存储系统是存储技术和网络技术相结合的产物,处于整个用户信息系统的核心,因此它与网络安全领域所面临的安全问题有很大的区别。存储安全系统研究的目标是实现高效的网络存储安全系统,为用户应用提供安全的存储服务和实用的性能保证。安全的存储服务是指存储系统能够根据不同用户的级别为其提供相应级别的存储资源;实用的性能保证则要解决在网络存储系统加入了安全控制机制之后,能提供可以实用的系统性能。一个网络存储安全系统应该包括以下几个特性:
1) 数据保密性 保密性是指数据不能泄漏给非授权的用户,用户必须得到明确的授权,才能访问到数据。主要体现在对数加密来防止黑客攻击。
2) 数据完整性 完整性就是确保用户访问数据的过程中,保证所有数据的正确性。主要体现在用Hash函数对数据进行完整性检查。
3) 不可抵赖性 不可抵赖性体现在确保数据确实由某个存储设备发送并且无法否认,且接收到数据的用户一定是得到授权的用户。一般使用数字签名技术来实现。
4) 系统性能可用性 采用访问控制、数据加密保护等各种安全机制实现网络存储安全系统,无疑会增加存储系统的负载,不能因此而影响用户的正常使用。
2 网络存储安全的国内外研究现状
针对网络存储安全系统的研究现状,分别从文件系统安全性、智能存储设备安全性和安全体系结构的角度来介绍一些典型存储安全系统。
2.1 文件系统安全性
文件系统是实现网络存储系统必不可少的组件,位于网络存储系统的核心,研究在文件系统中实现存储安全是最简单直接的方法。
Blaze[1]于1993年提出了最早的加密文件系统CFS。它修改NFS的系统调用实现与文件服务器的认证,通过把加密的需求放到客户端的文件系统中,从而解决用户或系统级别加密的需求。CFS的优点在于实现比较简单,只是将加密服务置于文件系统层,相当于NFS的替换版本;CFS除了基于公共密钥加密功能外,还具有密钥管理、透明访问、性能优化、可扩展性和可移植性等多个特点。缺点在于CFS是被设计成本地安全系统,加密的密钥被存储在客户端,当需要共享时,必须将加密某个目录的密钥传送给共享用户;CFS对系统性能的影响大,对大文件的读写,性能比NFS降低4倍,对小文件的读写,性能降低2倍。
Howaro[2]于1988年提出第一个附加安全措施的分布式文件系统AFS,它引入Kerberos认证服务器实现认证;建立目录ACL实现授权算法,通过会话密钥来授权;只对RPC消息加密,对数据不加密。AFS的优点在于实现比较简单,安全控制策略比较灵活;但存在数据未加密,证书缓存易失密等缺点。
Kaashoek[3]于2000年提出了SFS-RO系统,SFS-RO大幅度提高了客户端访问网络存储系统上存储的只读数据的性能,同时采用适当的安全机制来保证只读数据的安全访问。SFS-RO是在SFS的基础上发展而来的,通过客户端和文件服务器端之间的认证协议来保证通信的可靠性,通过在多个存储服务节点上增加只读数据的副本提高了分布式环境下只读数据的可用性,客户端负责数据加密和密钥的管理,用公开密钥实现了主机和存储服务器的通信安全。SFS-RO的缺点是它只提高了网络存储中只读数据的读性能,而且多副本增加了系统的负载和数据安全的隐患;SFS-RO的程序运行在用户态,运行的延时比较大,无法很好地保证系统整体的安全性。
Wylie于2000年提出了PASIS[4]。该系统设计的目的是解决当存储服务器被攻破后,存储系统仍然能够对用户提供存储服务。PASIS采用阈值方案,将一个文件分成多个数据段,分别存储到各个存储服务节点上,当用户需要访问时,必须要访问部分存储服务器,当一个服务节点被攻破时,并不能泄漏任何完整的文件信息,从而保证了在存储服务器被攻破后,仍然能够保护数据的保密性。PASIS的优点是具有很强的抗攻击性,当有个别的服务节点被攻破,也不影响用户的正常使用,具有很高的安全性能。缺点是系统中有太多的消息通信,而且阈值的选择也比较困难,不同的阈值在系统性能和安全性上有很大的差别。此外,对小文件来说,性能下降得很快,对于大文件来说,性能影响相对较小。
Kubiatowicz于2000年提出的OceanStore是广域网环境中加密数据备份系统[5]。是一种共享型广域存储系统,它是基于对象的广域网络的存储系统,但OceanStore中的对象没有模式信息,只是带有标识的数据块,OceanStore实现用户接口的API,并且在此API基础上可以进一步开发文件系统、数据库等接口方式。它以较多的数据冗余换取系统的安全性,系统开销大,存储效率低。
Goh于2003年提出了可应用于网络存储系统中的中间件层安全系统SiRiUS[6],在客户端的文件系统层上增加了一个中间件,来截获和转换访问数据系统调用实现安全功能,使用多对不同权限者的公开密钥实现传输认证和授权。所有的文件在被存储到服务器之前就在客户端加密,服务器或者管理员都看不到数据的明文,且把负载较重的加解密运算放到负载相对较轻的客户端。该系统的优点在于它可以在不需要对原有的网络文件系统的文件协议和文件服务器进行任何修改,就能通过加入了访问控制、数据加密等安全控制的功能来加强现有网络存储系统的安全性。缺点在于加入了安全控制后,存储系统的性能比原有系统下降了很多,对于小文件的读写性能下降了20倍,对于1M多的文什读写性能下降了2至6倍。
2.2 智能存储设备安全性
磁盘设备是存储的主体,随着网络附属磁盘的出现,磁盘具有了一定的计算能力和存储管理能力,因此赋予网络磁盘一定的安全功能是实现存储安全的又一重要方面。
NASD是CMU的PDL实验室于1999年提出的新型磁盘结构,通过增加磁盘处理能力构成智能磁盘,使得磁盘能判别用户和加解密数据;主机和认证服务器通信获得权限密钥,再和存储服务器通信获得加密密钥,最后直接和磁盘通信;使用Hash和MAC混合加密算法减少加密对性能的影响[7]。NASD的主要优点体现在客户端直接通过网络访问磁盘,提高了扩展性。如果增加磁盘的数量,就能够线性地提高系统的吞吐量。缺点在于授权服务器和文件服务器易于受到攻击,一旦被攻破,则整个存储系统都要瘫痪,而且由于磁盘要加密解密,系统负载比较重,对存储系统的性能有较大的影响。
PDL于2002年提出了Self Securing Storage,以主动方式实现智能磁盘的安全[8]。任何访问请求都可能是非法访问,对存储系统来说,服务器随时都会被入侵,所以该系统将研究重点放在如何防止黑客入侵和损害,检测、诊断入侵者的破坏行为,并能够恢复被损坏的数据,从而保证存储数据的安全。系统结合审计建立多版本磁盘数据;不断监测访问记录,发现异常就进行回退操作,增加对应的安全防护策略,并向其它磁盘发出安全威胁警告。
Yingwu Zhu[9]于2003年提出的SNARE,利用磁盘的计算能力,验证用户访问请求的数字签名和访问权限对象的控制,数据对象在客户端加解密,磁盘上存储数据的密文,因此用很小的负载获得了很高的安全性能。
这类系统都需要使用智能磁盘,实现困难;而且安全措施只以磁盘为中心,不能保证整个存储系统的安全。
2.3 安全体系结构
采用非集中式系统安全与信任关系模型对于网络实体进行安全管理,从而实现网络实体之间的有效协同,共同完成相应的存储服务。
无论是加强文件系统的安全还是利用磁盘的计算能力来增强网络存储系统的安全性能,都涉及密钥管理策略的问题,用来在存储系统中保证存储安全的密钥存在着数量大、管理复杂、对系统性能影响大等特点,因此灵活高效的密钥管理策略是提高存储安全系统效率的重要因素。
Miller在2002年提出SNAD结构保证网络磁盘安全[10]。它是一个基于分布式文件的存储系统,以对象为单位管理和分配密钥,并给出了三种保证传输安全的算法。磁盘具有一定的计算能力,能够进行一些基本的存储管理和用户认证的功能。客户端对所有的数据用对称数据加密密钥进行加密解密,数据在传输过程中和存储在盘上的数据都是经加密的数据,可以做到端到端的加密。
PLUTUS和SNAD类似,提出了高效灵活性的密钥管理策略,以分布式的客户端密钥管理为基础,采用多层次的加密算法,以文件组为单位的密钥分配算法减少了密钥数量[11]。
层次复杂的体系结构是存储系统的显著特点,依据网络存储安全系统具体的安全要求研究分层的存储安全系统具有非常重要的意义。
Alain[12]于2003年提出了对象存储网中的两层安全结构,传输安全和授权分别在两个层次中实现,改变混杂多个密钥实现传输安全和授权的方法;给出了访问控制传输中的认证算法。
SAN系统中,使用分区的方法实现LUN的安全,有三个层次的实现方法:主机中的实现[13],基于交换机的实现[14]和存储控制器中的实现[15]。这种方法实现简单,但和硬件密切相关、专用性强,不能应用于虚拟化网络存储系统。
目前国内对网络存储安全系统的研究处于起步阶段,韩德志[16]于2004年提出了NAS中的安全模型,它的体系结构类似于SNAD项目中密钥管理的方法,依靠安全系统的数据结构来进行各类密钥的管理。
3 关键技术
网络存储安全系统向用户提供和本地存储设备相同的访问接口,却可以让用户访问存储在网络上的任何存储设备节点。网络存储系统中的用户来自不同的节点,它所管理的存储资源也可能分布在不同的存储节点上,而在同一个存储节点上同时给多个用户提供服务,复杂层次造成诸多的安全隐患。实现网络存储安全的关键技术如下:
3.1 访问控制
访问控制是进行安全防范和保护的核心策略,为有效控制用户访问网络存储系统,保证存储资源的安全,可授予每个存储用户不同的访问级别,并设置相应的策略保证合法用户获得资源的访问权。根据具体手段和目的的不同,访问控制策略可划分为以下四种:
(1) 登录访问控制 为网络访问提供了第一层访问控制。它控制哪些用户能够登录到网络存储系统并获取存储资源。有基于用户名和口令的用户的登录访问控制和采用基于数字证书的验证方式。如AFS、NASD系统就采用了第三方认证的认证服务器。
(2) 访问权限控制 是针对非法操作所提出的一种安全保护措施。将能够访问网络的合法用户被划分为不同的用户组,每个用户组被赋予一定的权限。访问控制机制明确了用户和用户组可以访问存储系统的哪些目录、子目录、文件和其他资源;以及指定用户对这些文件、目录、存储设备能够执行哪些操作。用户对存储资源的访问权限可以用访问控制表来描述。比如CFS系统就采用了用户分组的访问权限控制。
(3) 目录级安全控制 是针对用户设置的访问控制,控制用户对目录、文件、存储设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,系统还可进一步指定对目录下的子目录和文件的权限。
(4) 属性安全控制 在权限安全控制的基础上提供更进一步的安全性。当用户访问文件、目录和网络设备时,系统管理员应该给出文件、目录的访问属性,网络存储系统上的资源都应预先标出安全属性,用户对存储资源的访问权限对应一张访问控制表,用以表明用户对网络存储资源的访问能力。如NASD系统就部分采用了这种安全控制机制。
3.2 反入侵
在任一种安全策略中,都需要对入侵者有所防范,制定相应的反入侵策略。反入侵策略的关键问题是保护数据不被窃取保证数据的机密性,并能够判断数据在传输过程中是否被篡改保证数据的完整性。
为防止入侵者获得数据保证数据的机密性,常采用数据加密技术。原始数据被加密后,如果没有密钥,则密文不可读,即使密文数据被窃,仍能保持原数据机密性。在加密技术中,最主要的关键技术就是密钥的管理方法,在上述各类存储安全系统中采用了各种方式来进行密钥的管理,有集中管理和分布式的密钥管理方式。如CFS、AFS、SFS-RO、SiRiUs、SNAD、PLUTUS系统都采用了加密的方法。
数据的完整性是指检验数据是否被篡改。一般采用MD5、SHA、HMAC等Hash数来验证数据的完整性,保证在传输过程中数据未被篡改。如NASD系统中使用了HMAC来实现数据的完整性检查。
在存储网络中,入侵者通过被攻破的存储服务器来窃取存储设备上的数据,对于这种安全威胁可采用主动防护措施和被动防护措施来保护存储服务器。目前比较常用的主动防护技术有各种防火墙技术和容错技术,比如PASIS系统采用了阈值方案的容错技术。被动的防御措施有入侵检测技术,如Self Securing Storage系统中就采用了入侵检测技术。
4 研究方向展望
网络存储系统是存储技术与高速网络技术的结合,其安全问题涵盖了网络安全和存储系统安全的各个方面,主要包括认证、授权、信息完整性保证和信息保密等;涉及了硬件层、传输层、用户识别层、用户管理层、数据管理层等多个层次,且各层次互相混杂、互为依赖、互相配合工作;同时网络存储系统中存在不安全的传输、假冒的合法用户、数据的非法泄露等安全问题,安全威胁种类多、层次复杂、防范困难等特性。目前国内外的网络存储安全系统的研究均是在某一特定条件下研究针对某一方面的安全问题,研究内容分散,相互的借鉴意思不大,无法构成整体有效的存储安全机制,存储系统只具有部分安全功能而无法保证存储系统整体的安全。整体安全模型的缺失是当前存储网安全研究中的重大缺陷。
针对目前网络存储安全系统中存在的问题,未来网络存储安全系统的研究有三个发展方向,即层次化、专用化和主动化。对网络存储系统结构分层,简化明确每层完成的安全功能,每个层次的安全功能互相协同成为整个网络存储系统全局的安全机制,改变以往各种安全技术和安全策略混杂冲突的情况,规范各类安全策略之间的协同机制,实现各层次之间的通用接口,方便各类安全策略的集成和实现;在层次化基础上,研究针对各层特点的专用安全策略,使其具有专用性强、效率高和可靠性高等特点;此外,随着处理器技术的飞速发展和价格的急速下降,通过增强磁盘的处理能力,在磁盘上设计实现各种高效的安全机制,实现磁盘数据安全保护的主动。
系统安全评价方法对比研究 篇8
20世纪70年代,随着我国工业化的加快,安全系统工程引入我国,安全评价的理论和实践逐步在我国得到应用。[1]随着安全评价逐渐受到各行业的接受和重视,各种安全评价方法被开发出来。由于每种安全评价方法都有其自身的优点和缺点,如何科学有效的综合使用各种安全评价方法,系统地评估企业及区域风险就成为重要问题。本文将通过分析对比国内常用的几种安全评价方法,分析其优点和缺点所在,以期为安全评价系统的合理搭配提供依据,并在此基础上对安全评价的发展做出展望。
2 安全评价方法回顾及分析
国内常用的安全评价方法主要用于评估运行工艺中可能由于偏离正常操作环境或产生有害物质造成的潜在风险和损害。包括危险及可操作性研究(HAZOP),假定分析法(what if analysis),故障树法(fault tree analysis),检查表法(checklists),道化学公司火灾、爆炸危险指数评价法,固有危险性评价(Inherent hazard analysis)和定量风险评价(quantitative risk assessment-QRA)等。
2.1 危险及可操作性研究(HAZOP)[2,3]
HAZOP是一种可以应用于从工艺开发至工厂停业的全工艺的定性的评价方法。见表1。这一安全评价方法需要由4~6个在相关的不同领域(如:工程,安全等)拥有足够专业知识的组员,在一个有安全研究经验的组长的领导下组成编制小组进行。同时,在评价中,每一个设备(如管道,反应器等)中的各种工艺参数(如温度,压力,反应等)将被用各种关键词(如增加,减少,否定等)逐一的反复评估。评价通常包括以下内容:
所有管道和容器的设计工作情况;
(1)任何偏离设计工作情况的可能;
(2)造成偏离的可能原因;
(3)如果事故发生可能造成的后果;
(4)降低事故风险的可行性方案。
2.2 假定分析法[4]
假定分析法使用发散性的自由讨论为主要方法,可以对工艺的各个方面进行评价。其结果通常以一问一答的形式表现出来,当一个问题提出,相应的风险、后果、安全措施和建议都可以作为讨论结果列于表内。见表2。
2.3 故障树法[5,6]
故障树法是从顶上事件逐级找出直接的可靠原因,推理出底部事件的,以可视化图为表现形式的评价方法。见表3。通常按以下步骤进行:
(1)确定分析范围;
(2)调查资料,包括设计、功能及运行情况;
(3)确定并辨识顶上事件;
(4)构建故障树,逐级找出事件的直接原因事件,直到底部事件;
(5)分析故障树,确定底部事件发生的频率和概率以量化顶部事件-事故的风险;
(6)得出结论并形成报告。
2.4 检查表法[7]
检查表法是最常用的安全评价方法,把国家的法律法规、政策标准以及由相似企业得出的有关经验结合起来,列成检查项目清单,根据实际情况逐项进行检查和评定。在国内通常用来检查企业的法律法规符合度,是安全评价报告的必备内容。见表4。
2.5道化学公司火灾、爆炸危险指数(F&EI)评价法(简称道化学指数法)
道化学法是对工艺设备的潜在火灾、爆炸和反应性危险的安全评价方法。根据美国道化学公司提供的由以往经验得出的评分标准。见表5。
道化学法主要用于评价储存、处理、生产易燃、可燃、活性物质的工艺过程,通常按以下步骤进行操作:
(1)划分工艺单元;
(2)根据单元中所含物质性质,按道化学法给出的物质系数表确定各单元的物质系数;
(3)根据道化学公司给出的评分标准对表内各项进行打分,确定工艺单元的危险系数;
(4)由前面的系数的乘积得出火灾、爆炸(F&EI);
(5)按照评分标准逐项累计安全措施补偿系数;
(6)计算暴露面积;
(7)计算财产损失,包括基本最大可能财产损失、实际最大可能财产损失、最大可能工作日损失和停产损失。
2.6 固有危险性评价[8]
固有危险性评价是一种通过对工艺过程中每一种反应物、产物及中间产物的风险进行分析来降低系统的固有风险的用于工艺设计初期的安全评价方法。评价过程通常为将工艺过程划分为基础单元后,通过总结以下问题来得出结论:
(1)这个单元有无显著的风险;
(2)风险是否可以预防;
(3)是否可用低危险的化学品代替高危险的;
(4)风险的数量是否可以减少;
(5)工艺是否可以在更平缓的条件下运行;
(6)风险是否可以受到化学或物理方法的控制;
(7)工艺是否可以运行得更加安全、简便。
在此之后就可以就此结论对如何降低风险进行更多的讨论。见表6。
2.7 定量风险评价[9]
定量风险评价是一种技术复杂的,通过对系统或设备失效概率和失效后果的严重程度进行评价,用数量精确描述被评价对象的危险等级的安全评价方法。自1974年拉姆逊(Rasmussen)教授首次应用于评价美国核电站的安全性开始,在安全评价领域得到了广泛的认可,很多国际知名公司特别要求在安全评价中使用此技术[10]。见表7。
定量风险评价技术在对事故的原因、场景进行定性分析的同时对事故发生的频率和后果进行定量计算,在此基础上将量化的风险数据(个人风险和社会风险)与被广泛认可的可接受标准进行对比,衡量风险的程度,并提出降低风险的措施。这一技术通常按照以下步骤进行:
(1)组织评价小组。由于技术复杂,数据量大,各相关领域的专业人员都要具备,包括安全工程师、工艺工程师、软件操作人员等。
(2)调查资料。需要企业及其周边的详细资料,包括工艺、设备、建筑、气象、人员及其分布等数据和参数。
(3)危险辨识。可以应用固有危险性分析的方法进行辨识。
(4)频率分析。通过历史事故统计的分析得到,在引用国外数据库的数据时需针对国内实际情况进行修正。
(5)后果分析。使用各种事故后果伤害模型和伤害准则,得出事故后果的影响范围,包括致死半径、重伤半径、轻伤半径等。
(6)数据库制作。定量风险评价所需数据量大,计算量大,需要将所需数据输入数据库,借由软件计算出所需结果。
(7)风险计算。个人风险、社会风险等重要数值的计算通过专业软件调用数据库中的数据计算而得。
(8)风险评价。将风险评价的结果与现行的国家或国际风险标准进行对照,确定风险等级,并提出安全措施将风险等级降到最低的过程。
3 对比与讨论
由于每种安全评价方法都是针对于某一个或几个领域开发出来的,因此并没有哪一个安全评价方法能够完美的对所有案例进行评价。下面将以表格的形式对以上介绍的安全评价方法进行对比,并用1到3给出所需花费的级别(1为时间和金钱花费少,3为时间和金钱花费多)。见表8。
常用的安全评价方法中大多评价方法只能给出定性的评价结果,难以明确衡量风险的程度。道化学法只能应用于含有易燃、可燃、活性物质的单元;故障树法由于其人为因素较多,容易造成风险的遗漏;而定量风险评价由于数据量、计算量大,需要有专业软件进行操作。
一些复杂的评价方法如HAZOP等,由于其操作难度大,运作周期长、成本高等原因,在应用工艺中大多流于形式,难以达到实际需要的效果,因而统
一规范的量化手段就显得更为重要。中国安全生产科学研究院于2008年推出的《CASST-QRA》软件就是在研究定量风险评价(quantitative risk assessment-QRA)的基础上,将各种数据库和计算模型集成后得出的计算系统,在前期资料收集和数据录入后可以较快的完成计算,有效减少了评价所需的时间和人工评价时可能出现的疏漏[11]。国际上,其他各种评价方法的电子化也正在不断进行中。[12,13]
4 结论
通过对现行的几种常用的安全评价方法的介绍、对比和分析得出:
(1)各种安全评价方法的侧重点不同,也有各自的优点和缺点。
(2)系统的综合的利用各种评价方法,才能对风险做出全面地评价。
(3)应随时关注国际安全评价的发展,学习、引入安全评价方法时应结合自身实际,归纳吸收其理论和意识,不可只学形式。
(4)有效的组合已有的安全方法,做深做细,比研究设定新的评价方法更具有实用意义。
(5)《CASST-QRA》等一系列安全评价软件系统的开发和应用,作为对已有安全评价方法的总结、集成和电子化,将在一段时期内蓬勃发展,以标准化的操作软件来减少人为的错失。
摘要:安全评价是衡量风险,实现安全生产的重要途径。为了不同的评价目标开发出来的各种安全评价方法都有其针对性和局限性。认清这些方法的优点和缺点有助于系统地运用安全评价方法衡量目标的风险。安全评价软件有助于弥补安全评价方法的不足,并提高安全评价的效率和可靠性。
尾矿大坝安全监测系统研究 篇9
1 研究动态
目前尾矿大坝安全监测系统一般采用分布式监控模式, 监测系统各监测点与中心控制站间采用有线方式连接。但是尾矿库大坝安全监测的地域范围广, 其线缆敷设是一项复杂的工程, 并且监测测点的调整、扩充、维护不方便[3]。部分生产条件落后的尾矿库对现场数据的采集仍由人工定期用传统仪器到现场进行测量, 安全监测工作量大, 受天气、人工、现场条件等许多因素的影响, 存在一定的系统和人为误差[4], 且不能及时监测尾矿库的各项安全技术参数, 这些都将影响尾矿库的安全生产和管理水平。
ZigBee技术是一种基于IEEE 802.15.4[5]的新兴的短距离、低速率、低功耗、低成本和低复杂度的无线传感器网络新技术, 主要应用于家庭、建筑自动化、消费类电子、工业控制和医疗传感器等领域[6]。
本文将ZigBee无线传感器网络技术应用到尾矿大坝安全监测中, 将传感器采集的信息通过无线射频的方式传递给网络路由, 并利用各路由节点转发数据到尾矿大坝监控中心。这套方案充分利用了无线射频传输的特点, 采用支持ZigBee通信协议、成本低、功耗低的设备, 具有实用性强、布线复杂度低优点, 还大大降低了以往采用有线监测布线所需的成本, 且测点扩充以及网络维护简单方便。
2 监控系统组成
根据尾矿库大坝安全监测的要求, 监测系统选择浸润线、库水位、坝体变形和应力应变作为监测对象, 构建基于ZigBee的传感器节点, 各传感器节点与路由器协调器一起构成无线传感器网络。传感器网络组网结构图如图1所示。传感器节点实现浸润线深度、库水位、坝体变形量和应力应变等物理数据的获取, 路由器实现数据由终端节点到协调器的转发, 协调器通过串口与上位机通信, 上位机对数据进行分析和评价, 从而实现对尾矿大坝各项安全指标的监控。
3 监控系统设计
3.1 节点设计
根据在网络中实现功能的不同, 本系统将节点分为传感器节点、路由器节点和协调器节点。按照监测物理量的不同, 又将传感器节点分为浸润线监测节点、库水位监测节点、应力应变监测节点和坝体变形监测节点。考虑到节点设计的简单实用性和经济性, 同时考虑低功耗这一传感器网络的重要指标, 统一采用TI公司的CC2430作为网络节点、路由器和协调器。CC2430是一款符合IEEE 802.15.4标准的片上SoC ZigBee产品, CC2430除了包括RF收发器外, 还集成了加强型8051MCU, 32/64/128 KB的FLASH内存, 8 KB的RAM, 以及ADC, DMA, 看门狗等[7]。
传感器节点由信号采集部分和数据传输部分组成。信号采集部分主要是指采集尾矿大坝安全信息的传感器, 如应变计、水位计、雨量计、渗压计、渗流计等。传感器输出的信号通过外设I/O输入CC2430, 并在CC2430内部实现采样和A/D转换, 从而实现信号的采集过程。传感器节点结构如图2所示。
3.2 网络组建
本系统采用TI Z-stack[8]协议栈, 网络的组建采用Cluster-tree[9]路由结构, 网络路由器作为簇首, 可以实现数据的汇聚和网络路由的功能。首先由网络协调器开始初始化过程, 通过扫描空信道从而建立一个新的网络。找到空的信道后, 协调器将选择一个随机的PAN ID开始侦听该信道, 从而建立一个新的网络。协调器完成网络的初始化后就开始监听网络信号, 准备随时响应来自传感器和路由器的加入网络请求。收到入网请求后协调器向传感器节点和路由器节点分配网络中惟一的16位短地址, 并等待确认, 在收到地址确认帧后, 网络的组建就完成了。
路由器和传感器节点在上电后首先完成初始化过程, 包括硬件的初始化和网络的初始化, 初始化完成以后将发出网络信标主动扫描网络, 向网络协调器发出加入网络请求, 收到确认帧后等待协调器分配网络地址, 收到网络地址表明网络加入成功。协调器组建网络和节点加入网络的过程如图3, 图4所示。
3.3 监测系统数据采集和传输
为了降低网络运行功耗从而延长网络寿命, 同时结合尾矿大坝安全监测系统对数据实时性的要求, 采用休眠模式和定时查询的方式。传感器节点在没有收到定时数据查询时一直保持深度休眠, 当收到来自网络协调器的定时查询时, 发送当前传感器数据到协调器, 从而完成数据的传输。传感器节点对数据的采集同样采用定时采集的方式, 采集后的数据存储在CC2430的RAM中, 等待协调器提取数据。节点的采集和传输过程流程图如图5所示。
3.4 网络路由方式
本系统采用Cluster-tree的路由方式。Cluster-tree是一种由网络协调器展开生成树状网络的拓扑结构, 一般适合于节点静止或者移动较少的场合, 属于静态路由, 不需要存储路由表[10]。Cluster-tree路由采用分布式的地址分配机制。在网络组建时, 网络协调器确定了网络中的每一个路由节点的子节点中最大路由节点 (Rm) 数目、最大终端节点 (Dm) 数目和树形路由的最大深度 (Lm) 。每一个新加入网络的路由节点协调器都为其分配了一个包括路由器本身地址和其子节点地址的地址段, 该地址段的首地址即为新加入路由器的地址, 其余地址为其子节点的地址。节点深度为d (d
undefined
假设在一深度为d的路由分配到的地址范围为[x, x+A (d) ], 则该路由本身的地址为x, 并且它将分配地址范围为[x+ (i-1) A (d+1) +1, x+i+A (d+1) ]的地址段给它的第i (1≤i≤Rm) 个路由子节点, 分配地址为x+RmA (d+1) +j给它的第j (1≤j≤Dm) 个终端节点[11]。图6以最大路由数为Rm=2, 最大终端节点数Dm=2, 最大路由深度为Lm=3为例, 表明了网络中路由 (白色) 和终端节点 (黑色) 的地址分配方式。
采用该路由可以有效地避免一般ZigBee网络中AODV路由中路由发现过程, 从而进一步降低网络消耗。此外, 由于本网络中节点结构比较清晰, 采用树形路由已经可以实现网络功能。而网络路由器同时作为簇首, 即实现了网络路由对数据转发的功能, 又作为分布式处理的中心, 可以对相同传感器节点的数据实现数据融合, 对数据进行预处理。
4 结 语
将ZigBee无线传感器网络技术应用到尾矿大坝的安全监测系统中, 实现了传感器节点的网络组建, 传感器节点的硬件设计, 传感器数据的采集和传输。由于ZigBee技术低成本、低复杂度、低功耗和自组网的特性, 使得对尾矿大坝的安全监测和网络维护水平都取得了明显的提高。
参考文献
[1]王涛, 侯克鹏.层次分析法 (AHP) 在尾矿库安全运行分析中的应用[J].岩土力学, 2008, 29 (Z1) :680-686.
[2]王昌, 王云海.矿山尾矿库坝光纤在线监测技术[J].山东科学, 2008, 21 (6) :4-8.
[3]吴学文, 彭光路, 查理敏.基于ZigBee的无线传感器网络在大坝安全监测中的应用[J].水电自动化与大坝监测, 2008, 32 (6) :48-52.
[4]李忠奎, 廖国礼.尾矿库溃坝监测预警系统设计研究[J].有色金属, 2008, 60 (6) :33-35.
[5]IEEE 802.15.4.Part 15.4:Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specification for Low-Rate Wirless Personal Area Networks (LR-WPANs) .
[6]阎沫.ZigBee协议栈的分析与设计[D].厦门:厦门大学, 2009.
[7]尹应鹏, 李平舟, 郭志华.基于CC2430的ZigBee无线数传模块的设计和实现[J].电子元器件应用, 2008, 10 (4) :18-21.
[8]Texas Instruments Inc..Z-StackTMVersion 1.4.3.[EB/OL].http:/www.ti.com/zigbee.
[9]周武斌, 罗大庸.ZigBee路由协议的研究[J].计算机工程与科学, 2009, 31 (6) :12-14.
[10]杜焕军, 张维勇, 刘国田.ZigBee网络的路由协议研究[J].合肥工业大学学报:自然科学版, 2008, 21 (10) :1 617-1 621.
地铁PIS系统安全研究 篇10
关键词:地铁,PIS,安全,AP
地铁PIS系统是集多媒体技术、计算机技术和网络通信技术为一体的系统[1]。它以车辆、车站、总控中心三级监控为主, 实时直观地了解线路运营情况和事故灾害信息, 从而能在最早的时机做出快速的反应, 保障了人员和行车的安全。地铁PIS系统对车站的站台、车辆内部的图像能够进行远程监控、存储、回放。能够支持实时查看信息和历史回放, 监控数据能够被集中存储或分组存储。大量的文件、图表、音视频等数据都存储在地铁PIS系统的服务器上和计算机上, 并且这些数据能够通过无线网络可以进行信息车地无线通信传输。因此, 信息在网络传输的过程中有可能会被非法者窃取或破坏[2][3][4], 从而造成有关涉密信息或业务的泄露, 带来严重的后果。
1 地铁PIS信息车地无线传输
轨旁AP和车载AP覆盖着列车的运行沿线, 负责车地无线通信。无线AP在地铁运行沿线的覆盖方案如图1所示。
在地铁车地无线传输的过程中针对AP的安全密钥的协商以及如何快速发现非法窃密者或假冒的AP身份, 以免带来信息传输过程中存在的潜在威胁或损失, 对地铁的正常运营来讲是十分重要的。
2 安全策略的基本模型
地铁PIS系统与运营中心之间进行车地无线通信时, 必须先确认对方的合法身份, 这样才能确保信息的安全传输, 避免被不合法者窃听、截获, 给地铁的正常运营带来潜在的、不可预料的严重后果。为了确认对方身份的真伪, 通常采用的安全策略的思路如图2所示。
当车载AP与轨旁AP需要建立通信时, 可信第三方参与该两实体之间的密钥建立, 并对实体认证。可信第三方为车载AP与轨旁AP提供密钥的存储、更新或撤销服务。车载AP的密钥和相关列表被安全存储在可信第三方, 当轨旁AP请求车载AP的密钥时, 须通过可信第三方提供车载AP存储的密钥标识符。经认证后, 可信第三方才接受其存取密钥。但该策略计算的效率较低。
3 策略改造
鉴于上述基本策略的效率较低, 现对上述安全策略进行改造和优化。主要出发点是将各对等实体的身份信息嵌入到自身的协议中去, 撤掉冗余的可信第三方, 实质上是隐蔽地将可信第三方的主题嵌进了各实体, 从而可以避免中间人的攻击, 如图3所示。
(1) 车载AP向轨旁AP发送会话请求信息, 协商密码算法、version、交换parameter与random, 进行身份认证。
(2) 轨旁AP向车载AP发送其certification信息、会话ID、random、version等, 车载AP接收后进行密钥和加密算法的匹配。
(3) 车载AP验证轨旁AP的certification信息后向轨旁AP发送消息, 消息包括轨旁AP请求的车载AP的certification信息以及由 (1) (2) 协商的密钥算法等, 该消息使用轨旁AP的certification的密钥加密。
(4) 轨旁AP向车载AP发送finish消息。其中包含带有以上协商统一的密钥, 它能确保信息的机密性和完整性。这样车载AP和轨旁AP两实体才能安全、放心地传输信息。
(5) 经过上述步骤后, 轨旁AP和车载AP之间就建立了安全的通信信道, 两者之间就可以安全地进行信息传输, 避免传输的信息被不合法者窃听、截获。
改造后的方法仍能够实现车载AP和轨旁AP之间的双向认证, 如图3中的虚线所示。这样既能够保证地铁PIS系统把监控信息安全地、完整地上传到运营控制中心, 又能够确保运营控制中心将重要命令、指示、通知等信息下传给PIS系统的过程中不被不合法者截获、伪造或窃听。从而避免恶意攻击者给乘客和地铁运营带来巨大的灾难或损失, 确保了乘客的人身安全和地铁的正常运营。
4 结语
地铁PIS系统现在已经成为地铁的一个重要部分。随着科学技术的发展, 非法攻击和窃听的行为越来越多, 手段越来越隐蔽。而PIS系统是地铁的一个很庞大的信息系统, 它关系到乘客的人身安全与地铁能否正常运营。为了防止非法者窃取信息数据, 地铁PIS系统应加强安全防范策略的建设, 采取有效的措施, 避免各种潜在的安全威胁和风险, 保障地铁PIS系统传输信息的保密性、完整性和可靠性, 从而确保地铁能够稳定、安全、可靠的运行。
参考文献
[1]李伟章, 徐幼铭, 林瑜筠, 严婵玲, 等.城市轨道交通通信[M].北京:中国铁道出版社, 2008.12
[2]邱卫东.密码协议基础[M].北京:高等教育出版社, 2009
[3]V.Goyal, A Jain, O.Pandey and A.Sahai.Bounded Ciphertext Policy Attribute Based encryption.ICALP’08.LNCS5126, PP.579-591, 2008
