安全服务系统范文-盘古文库

安全服务系统范文（精选12篇）

安全服务系统第1篇

事故对于安全管理而言任何时候都是用鲜血换来的宝贵财富。但过去对待事故采用的是一种被动的、就事论事的态度。事故发生后, 找到直接原因和责任者, 针对直接原因规定几条, 对责任者进行处理。这种做法虽说短期内可能会起一些作用, 但长远来看可能会带来更多的问题。

而系统安全的观点认为, 任何事故的发生都是由于系统自身存在缺陷的结果。事故的原因常常不是单一的, 而是一系列事件的结果;每一不安全事件又有多层次的原因。分析事故就要验明所有这些原因, 找出系统的薄弱环节;然后最优地利用可获得的资源, 按照预先排定的优先次序, 积极主动地完善整个系统, 使系统更加“健康”。这完全不同于前述“头痛医头、脚痛医脚”的治标方法, 而是着眼于治本。这种方法使每份投入都会产生持久的效果, 是安全资源的最有效利用;这种方法将使系统越来越完善, 安全状况越来越好, 是良性循环的推动力。在新世纪来临的时候, 用系统安全的观点重新审视我们对待事故的方法和态度势在必行。

2 发展系统的防错、容错能力

防错、容错是现代化大系统的一个极其重要的安全属性, 随着航空装备信息化、集成化、数据化时代的到来, 未来军用航空的“以人为中心的自动化”系统, 在如何使各类人员与这些安全属性已经确定的现成产品协调起来, 实现“本质安全化”, 将是问题的焦点。应当承认, 人是有可能犯错误的, 即使是优秀的航空人员也有可能犯错误。但是另一方面, 信息时代的科学技术使得系统各部分间的联系是如此之紧密, 反应是如此之快速, 以致对任何一个局部错误都会非常敏感。因此, 如何使人、机、环境系统紧密结合起来, 发展防错、容错能力, 是摆在各类人员面前的紧迫课题。

这是新课题也是老问题。例如过去一直强调的按程序操作, 按手册数据飞行, 其安全意义就在于留有充分的“安全裕量”。有的飞行员, 偏离最优范围, 实际上把自己置于潜在的困境中, 再稍有差错, 就可能超出允许极限, 引发严重后果。又如反复强调的“检查单”本身就是一道道极好的安全屏障。再如交叉检查, 相互提醒, 飞行、签派、机务人员之间的相互核实等都是系统防错、容错的范例。

但是, 人、机、环境系统的防错、容错尽管有许多具体做法却尚未作为一个系统问题加以全面考虑。有的环节防护很严, 但有的环节却很脆弱, 一个人搞错, 整个系统就会崩溃, 没有任何余度;有些关键工作虽有防错, 但对防错者没有“防错”, 致使防错流于形式, 失去防护功能。这是我们以前不熟悉的新问题, 进入信息时代, 必须准备好迎接这种新的挑战。

3 管理信息, 发现隐患

系统安全的观点认为系统是发展变化的, 而控制系统运行的关键因素是信息。一个安全状况不好的系统, 如果能使信息合理地流动起来, 管理者能有针对性地及时采取有效措施, 不断改善系统, 则可步入良性循环, 变得越来越“健康”。相反, 一个多年无事故的单位, 如果安全信息不流畅, 思想麻痹, 盲目乐观, 隐患不能及时被发现并消除, 则会潜伏发展, 形成危险, 最终发生事故。

未来海军航空兵担负的任务与过去相比, 将更加复杂, 发展变化更加快速, 分布的地域 (海域) 更加广泛, 许多事情都可能是管理者考虑或顾及不到的, 因此航空兵部队一线工作人员将亲身经历的问题、所犯的差错、产生的疑惑及时作出报告, 对于把握安全状态、发现隐患将会越来越重要。

未来的航空系统瞬间就可产生大量数据, 而且诸如飞行数据记录器以及快速存取设备等技术手段使得任何人都可能方便地获得这些数据。但是金矿石不等于金子, 原始数据也不等于是有用的信息。如何高效地处理这些原始数据, 把有用的信息提取出来, 加以利用, 是今天已经提上议事日程, 今后会更加紧迫的又一关键问题。此外, 还有建立各类数据库, 累积数据, 并经科学分析以找出规律、判明趋势、预测发展等这样一些信息加工工作, 以往属于科学研究的范畴, 今后会成为日常安全管理工作的重要手段。

4 安全是系统的基本属性

按照马斯洛 (Maslow, 1954) 的动机理论, 安全是人类的最基本需要之一。人从事的任何活动都要求具有可接受的安全性;只不过活动的性质不同, 可接受的安全水平不同罢了。

系统安全的观点把安全作为系统的一个基本属性来看待, 认为安全目标是组织总体目标的基本要素, 安全工作是组织总体工作的不可分割的组成部分。在安排工作时, 要同时安排安全工作, 使安全工作与其他工作协调配合, 相互促进, 形成综合优势;在规划发展时, 要首先规划安全, 使安全成为完成组织任务的有效保障, 形成优化组合, 达到持续、健康、快速发展的目的。安全与效益的关系就如同人的健康与工作的关系。与以往的安全系统工程的原则区别就在于, 系统安全的观点不赞成把安全从组织的总体目标中分离出来, 单独加以考虑。而脱离实际的安全投入和限制, 最终也会使安全失去意义。

新世纪的信息技术和更加激烈的竞争将使系统更加一体化并且总体优化将是系统生存的更重要条件, 因此安全工作与其他工作必然是相互渗透、相互融合的。只有系统安全的观点才能适应未来系统这种紧密联系的实际, 因而也是未来安全理论发展的必然方向。

综上所述, 人类对安全的认识经历了从被动到主动, 从孤立静止到系统动态, 从局部到整体的发展过程。任何科学越是发展, 越需要辩证的思维, 安全科学亦不例外。今天已经形成, 可望在二十一世纪得到蓬勃发展的系统安全理论, 不论自觉还是不自觉, 必然要沿着辩证唯物主义的道路才能得到快速、健康的发展。

“蝼蚁之穴, 溃堤千里”这样的安全警句告诫人们, 小的漏洞、隐患是会发展变化的, 弄得不好就会导致巨大的灾难。先贤告诉我们, 抓安全要善于发现“征兆”, 要把事故的苗头消灭在“微萌”状态;治要“治于未乱”, 等到病了再来求医就晚了。老子的“祸福相依”思想, 更是深刻地揭示了事物的两重性, 告诉人们安全与不安全是会相互转化的, 安全形势好的时候不能丧失警惕性, 安全形势不好的时候也不必灰心丧气。这些光辉的思想与上述系统安全的观点都十分相近。按照辩证唯物主义的观点, 事物的发展呈螺旋上升之势。上述例证说明世界的安全思想正在螺旋回归到龙族先贤的安全观, 当然上升了一个层次。

摘要：随着管理科学的进步, 人们开始着眼于整个组织的安全体系, 采用系统工程的科学方法, 发展了安全系统工程, 从而大大推进了安全研究, 并使安全科学作为一门独立的综合学科逐渐成长起来。随着信息社会的到来, 总体优化要求各个部分、各种功能相互渗透、相互结合、相互协调, 因此形成了“系统安全”的观点。

关键词：飞行安全,系统安全,安全科学

参考文献

[1]ISO 13415-1997.航空航天飞机结构用柱型单列密封的滚针滚道式滚子英制系列[S].

[2]唐炬.气体绝缘组合电器局部放电在线监测系统的研制[Z].国家科技成果.

安全服务系统第2篇

1.禁止ping

/etc/rc.d/rc.local

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.对用户和口令文件进行权限控制

chmod 600 /etc/passwd

chmod 600 /etc/shadow

chmod 600 /etc/group

chmod 600 /etc/gshadow

3.给下面文件加上不可更改属性

chattr +i /etc/passwd

chattr +i /etc/shadow

chattr +i /etc/group

chattr +i /etc/gshadow

4.对vsftp进行访问控制

vi hosts.deny

vsftpd: all –先禁止所有vsftp的请求

vi hosts.allow

vsftpd: 192.168.2.1 –再允许内网的vsftd请求

5.关闭无用端口,只开启常规端口(21、22、80、443)

service portmap stop

chkconfig –level 35 portmap off –关闭111端口

netstat -nap |grep 32768

killall rpc.statd –关闭32768端口

netstat -nap |grep 631

killall cupsd –关闭631端口

service sendmail stop

chkconfig –level 12345 sendmail off –关闭25端口

6.apache安全设置(先备份httpd.conf配置文件)

vi /etc/httpd/httpd.conf

ServerSignature Off

ServerTokens Prod —隐藏Apache的版本号及其它敏感信息

Options -ExecCGI -FollowSymLinks -Indexes –关闭CGI执行程序、includes、目录浏览

将UserDir public_html改为UserDir disabled

#ScriptAlias /cgi-bin “/usr/local/apache/cgi-bin/”

注释掉manual

7.vi /etc/profile

HISTFILESIZE=30

HISTSIZE=30 –这表示每个用户的“.bash_history”文件只可以保存30条旧命令

tmout=600 –用户将在10分钟无操作后自动注销

vi /etc/skel/.bash_logout

rm -f $HOME/.bash_history –当用户每次注销时，“.bash_history”文件都会被删除。

vi /etc/inittab

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

改为：

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

/sbin/init q –让改动起作用

8.删除无法帐户和组

userdel adm

userdel lp

userdel sync

userdel shutdown

userdel halt

userdel mail

userdel news

userdel uucp

userdel operator

userdel games

userdel ftp

groupdel adm

groupdel lp

groupdel mail

groupdel news

groupdel uucp

groupdel games

==================================================================================================

你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式，

支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把”Cross-Site-Tracing”简称为XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案: 禁用这些方式。

如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* – [F]

===================================================================================================

下面简单的说一些修改那些服务Banner的方法

apache

彻底地去掉banner, 修改httpd.h:

Include/httpd.h

Define SERVER_BASEVENDOR “Apache Group”

Define SERVER_PRODUCTVENDOR “Apache”

Define SERVER_BASEVERSION “1.3.27″

后从新编译Apache就能够完全去掉了

Wu-ftp

用十六进制文本编辑器修改/usr/sbin/in.ftpd文件，找到如下几行：

/var/log/lastlog

Could not write %.100s: %.100s

Version wu-2.6.1-16

改成

Microsoft FTP Service (Version 5.0)

或者

Serv-U FTP Server v4.0 for WinSock ready…

Telnet banner

编辑文件/etc/issue.net，找到类似这行（不同版本的Linux内容不太一样）：

Red Hat Linux release 8.0 (Psyche)

Kernel r on an m

改成

Microsoft Windows Version 5.00 (Build 2195)

Welcome to Microsoft Telnet Service

Telnet Server Build 5.00.99206.1

由于issue.net重启后会自动恢复，为了保持这些伪造的信息，需要再编辑文件/etc/rc.local，在这些行前加“#”号，注释掉恢复的功能：

# echo “” > /etc/issue

# echo “$R” >> /etc/issue

# echo “Kernel $(uname -r) on $a $SMP$(uname -m)” >> /etc/issue

# cp -f /etc/issue /etc/issue.net

# echo >> /etc/issue

Apache

在安装Apache前，在源文件/src/include目录下找到httpd.h头文件。此文件定义了apache的版本信息，apache安装时需要调用它。编辑http.h文件，找到如下几行：

#define SERVER_BASEVENDOR “Apache Group”

#define SERVER_BASEPRODUCT “Apache”

#define SERVER_BASEREVISION “1.3.20″

可以根据自己的意愿改成其他信息，笔者改的是Microsoft-IIS/5.0。

SSH

编辑文件/etc/ssh/sshd_config，找到这行：

Banner /etc/issue.net

在此行前加#进行注释就可以不显示SSH的Banner。

Sendmail

在sendmail.mc文件中去掉$v、$z这两个宏，并包含下面的内容：

define(`confSMTP_LOGIN_MSG’,$j Sendmail Secure/Rabid;$b)

然后生成sendmail.cf文件:

#m4 /etc/mail/sendmail.mc > /etc/sendmail.cf

如果sendmail.mc中没有include(`/usr/share/sendmail-cf/m4/cf.m4′)这一行就需要和Sendmail提供的预设的配置文件cf.m4一起使用来生成文件sendmail.cf：

#m4 /usr/share/sendmail-cf/m4/cf.m4 /etc/mail/sendmail.mc > /etc/sendmail.cf

php

vi php.ini

安全使用云服务第3篇

云应用方面有云存储、云服务，还有许多地方企业性质的云端，它们虽然看似新名词，但实际上主打概念，就是在宽带作用下，达到在线共享和在线携带的目的。

1、盘点那些闯入生活的云服务

对普通用户来说，接触最多的云服务就是各大网盘。它们为你提供数据存储和备份，以方便你在任何时候通过各种设备来处理自己的数据。

而更深入人心的云服务则是移动设备上具有的账户云服务了。比如苹果的“iCloud”，只要你的东西存入了“iCloud”，你就可以在电脑、平板、手机等设备上轻松读取自己的联系人、音乐、图像数据，这样的便利，也就让很多人买了手机、平板、电脑三件套。当然，其他的公司也没有闲着，像谷歌“Gmail”也有类似的功能，可以在任何一台装有“Gmail”的安卓手机同步你的联系人通讯录。不过，很多公司有时候会弱化这个功能，甚至像三星直接删除这个功能，建立自己的云服务，加上平板和电脑上安卓系统有更多的选择和应用，并没有达到“iCloud”的绑定效果。而WP8系统的一大改进，就是增强了对云服务的支持，随时随地通过OneDrive来完成图片和视频的上传与同步，也是一种解决方案。用户只需要在手机中设置使用OneDrive同步的内容，就可以在连接网络的同时由系统自动上传或者下载保持在云端的资料，需要注意的是可以点选只通过WiFi网络同步资料。

2、怎样安全使用云服务

用户是信息安全体系的短板、最脆弱的“安全漏洞”，作为移动互联网时代的网民，掌握相关的安全常识是很有必要的。

基于信任原则，一般应选择面向全球或全国提供云存储的知名服务商，因为加密传输和强加密存储是其基本的安全技术要求。由于免费云存储服务并无商业级安全承诺和保障，应仅限于个人用途，且尽量不要存储个人的绝对隐私，不要存储重要商业和技术机密文档。

对于密码的重要性也不要忽视，一般来说遵循强密码约束（大小写字母、数字和特殊符号混编，10位以上），避免与重要性和敏感性低的其他服务账号使用相同密码。对于重要的数据应该做好本地备份，以防服务中断或数据丢失等意外事件。另外大部分云存储服务通常都提供文件分享功能，一般来说应尽可能选择加密分享（对方凭密码提取），完全公开分享前应先确认是否涉密。

在更换或丢弃移动设备前，必须清除设备中的个人文件和信息（部分安全软件可彻底清零存储器以防文件恢复），并删除云存储服务账号登录信息。如不慎遗失移动设备，必须尽快远程擦除设备数据，并更改云存储服务账号密码及其他重要账号密码。

安全仪表系统的安全生命周期第4篇

安全仪表系统(SIS)是由国际电工委员会(IEC)标准IEC61508及IEC61511定义的独立于DCS/PLC的专门用于工业过程的安全系统,其对装置可能发生的危险或不采取措施将继续恶化的状态进行及时地响应和保护,使生产装置按照规定的条件或程序退出运行,从而使危险降低到最低程度,以保证人员、设备的安全和避免工厂周边环境的污染。安全仪表系统主要由检测部分(传感器、变送器)、逻辑运算部分、执行动作部分(阀门、泵、电机)等三部分组成。一个安全仪表系统从开始设计到最终停用要经过许多阶段,在安全仪表系统的设计和执行过程中需要考虑其整个生命周期。

2 安全仪表系统的安全生命周期模型

安全仪表系统的生命周期(SLC)模型对安全仪表系统项目的设计和执行有非常重要的指导意义。IEC61508和IEC61511定义的安全仪表系统的生命周期模型与ISA S84.01定义的安全仪表系统的生命周期模型有相似之处,其自始至终大致可以分为工艺设计、危险学习及评估、安全功能分配、系统设计、系统集成、现场安装、调试和验证、系统投运及维护、系统升级或更新换代等阶段[1]。图1给出了基于ISA S84.01的安全仪表系统的生命周期模型,它是最早的安全仪表系统的生命周期模型,现已逐渐被IEC61511安全生命周期模型所取代,但其对安全仪表系统项目的执行仍具有重要的指导意义。

2.1 工艺设计中应注意的问题

安全仪表系统的建立是为了保证人员、设备的安全或避免工厂周边环境的污染。然而其只能降低风险发生的概率,或者减轻风险发生后果的严重性,并不能完全抑制风险的发生。为降低生产过程中风险发生的概率,应保证工艺设计的固有安全性,即在工艺设计中尽可能地采用低压、低容量的设计方案。

2.2 工艺过程的危险学习、分析及评估

危险学习主要分为六个阶段:

(1)第一阶段即概念危险分析。

主要是根据工艺设计,学习和发现会导致风险发生的原料及操作,分析风险发生的形式,如爆炸、毒气泄漏污染环境等等,收集先前生产过程中危险发生的经验,但并不涉及重要的自动化工程设计。

(2)第二阶段又称为初步工艺风险分析(PHA,Process Hazard Analysis)。

在这一阶段,依据工艺流程及第一阶段的学习结果,通过依次提出典型风险然后分析引起风险原因的方法,以表格或者矩阵的方式记录风险以及引起危险的事件的顺序(SOE,Sequence Of Event),并注明危险发生的频率(frequency)及后果(consequence)。根据可以接受的危险频率及后果,利用故障树分析(Fault Tree Analysis)等方法估计出风险减少因子(RRF),并说明所采用的包括机械设施、电气设施及仪表设施在内的所有保护措施。

(3)第三阶段即工厂的危险与可操作性分析阶段(HAZOP)。

HAZOP是以系统工程为基础的一种可用于定性分析或定量评价系统危险性的方法,用于解决危险识别与安全操作两方面的问题,探明生产装置和工艺过程中的危险及其原因,寻求必要对策。通过从工艺流程、状态及参数、操作顺序、安全措施等方面着手,分析生产运行过程中工艺状态参数的变动,操作控制中可能出现的偏差,以及这些变动与偏差对系统的影响及可能导致的后果,找出出现变动和偏差的原因,明确装置或系统及生产过程中存在的主要危险、危害因素,找出装置在工艺设计、设备运行、操作以及安全措施等方面存在的不足,并针对变动与偏差的后果提出应采取的措施,为装置的安全运行与安全隐患整改提供指导。

(4)第四、第五和第六阶段分别在SIS硬件安装完成后,SIS现场软件调试前和SIS运行一段时间后进行。第四阶段学习主要是确保现场设备安装符合设计要求,并且安全仪表系统的设计涵盖了所有PHA及HAZOP中确定的危险。第五阶段的学习则是为了确保安全仪表系统全面地进行操作测试和验证,并要求第三方对安全仪表系统的设计和执行给出合格的功能安全评估(FSA)。第六阶段的学习则主要是为验证安全仪表系统的性能指标可以满足期望风险减小(desired risk reduction)的要求。

图2给出了危险学习、风险管理列表和安全系统之间的关系,其中风险管理列表中的风险及初始频率通过危险学习的前三阶段得到,通过可以接受的风险频率确定风险减少因子,并编写安全需求说明书,设计SIS的和非SIS的降低风险的方法和动作,最终得到可以接受的风险频率。在项目执行的过程中通过验证(IQ,OQ,PQ)来确保安全仪表系统可以实现期望的风险减小目标,风险管理列表的维护和升级贯穿工厂安全仪表系统的整个生命周期。

2.3 安全功能的分配

工艺过程风险评估之后,应当针对计划采用的保护层分配风险减少任务。安全功能的分配涵盖了基于ISA S84.01的安全仪表系统的生命周期模型的第三、第四及第五步。如果非安全仪表系统保护层可以将风险发生的频率降低到可以接受的范围,则没有必要采用价格昂贵的安全仪表系统。图3给出了安全仪表系统在减少风险的保护层中的位置。如非安全仪表系统不能将风险发生的频率降到可以接受的范围,则一定要采用安全仪表系统。在根据工艺定义完安全仪表系统中所有安全仪表功能(SIF)后,在这一阶段最重要的就是根据IEC61511定义的相关方法定义安全仪表功能的安全完整性等级和子系统结构,并进行可靠性分析。

2.3.1 安全完整性等级(SIL)的定义方法

安全完整性等级是指在一定时间内、一定条件下,安全相关系统执行其所规定的安全功能的可能性[2,3]。安全完整性等级与风险减少因子和平均失效概率之间的关系如表1所示。

IEC61151-3附件中(B、C、D、E、F)共定义了四种常用的定义安全完整性等级的方法:半量化方法(附件B)、安全保护层矩阵法(附件C)、风险图法(附件D,E)和保护层分析法(LOPA,附件F)[3,4]。

(1)半量化方法(Semi quantitative method)。

它是根据所有保护层的总风险减少因子(Total RRF)及其它非SIS保护层的风险减少因子,推算出SIS的风险减少因子,SIS的平均失效概率(PFDAVG)即为其风险减少因子的倒数,再根据表1所示RRF和PFDAVG与安全完整性等级之间的关系,确定SIS的SIL。图4给出了根据半量化方法计算SIS安全完整性等级的过程。图5所示的事件树(Event Tree)清晰记录了一个防止有毒气体泄漏的系统各保护层的平均失效概率及安全完整性等级,在用半量化方法确定SIS的SIL时,事件树为SIS的SIL的最终确定提供了重要依据。但是,在很多场合下很难精确地确定非安全仪表系统的风险减少因子(或安全完整性等级),因而无法精确得到SIS的安全完整性等级,这就为使用其它方法来确定SIS的SIL提供了重要的前提。

(2)基于IEC61151-3附件C的安全保护层矩阵法(Safety Layer Matrix Diagram)。

首先将危险事件的后果分为轻微、严重和重大三类,将危险事件的概率分为低、中、高三类,将独立保护层的数量定义为1、2、3等三层(SIS为其中的一层)。其中,要求针对危险学习中的危险所设计的每一保护层的风险减少因子至少在10以上,保护层之间没有公共的失效原因(Common Cause)且保护层的功能可以进行独立验证(Validation)[5]。将保护层的数量作为纵坐标,将危险事件的后果及概率作为双横坐标就得到了图6所示的安全风险矩阵,其中每一个矩阵元素代表一个安全完整性水平,这个安全完整性水平代表SIS使一个具有相应后果和可能性的事件的风险降低到允许范围所必需的安全完整性等级。安全保护层矩阵法在使用中应根据工厂实际情况,确定危险的后果、概率及独立保护层的层数后,再根据图6所示的矩阵图定出SIS的安全完整性等级。

(3)基于IEC61151-3附件D的校准风险图法(Calibrated risk graph)。

SIS的安全完整性等级(SIL)蕴涵在风险图的结构中。校准风险图使用4个参数来确定SIS的SIL:后果C,处于危险区域的时间F,避开危险的概率P和要求频率W。图7为校准风险图法的示意图,在使用过程中,从评估起点开始,根据工艺及危险学习结果,参照图7中后果的分类参数、处于危险区域的时间的分类参数、避开危险的概率的分类参数[6],最终找到要求频率矩阵中对应的SIS的安全完整性等级。

(4)基于IEC61151-3附件E的保护层分析法(LOPA,Layers Of Protection Analysis)。

它是严格依据工厂的危险与可操作性分析(HAZOP)结果的一种安全完整性等级评定方法[5]。该方法要求设计人员制作一张表格,分12栏分别列出危险事件的名称及后果描述、危险后果的严重性及可容忍的风险概率、导致风险发生的原因(SOE)、导致危险发生的原因的概率、减小风险发生的工艺设计或装置及其对应的PFD、减小风险发生概率的BPCS控制回路及其对应的PFD、减小风险发生的各类报警和操作员反应及其对应的PFD、减轻风险后果的缓解保护层及其对应的PFD、其它完全独立的保护层(IPL)及其对应的PFD、导致风险发生的初始原因的发生频率与各保护层的PFD的乘积、SIF的PFD以及导致风险发生的初始原因发生的最终频率。其中,每一个SIF的PFD都是根据可容忍的风险频率和导致风险的原因的初始频率与其它保护层的PFD的乘积的商来确定的。目前,LOPA越来越多地被美国及其它欧洲国家的大型工程公司所采用。

注:CA——轻微伤害;CB——严重伤害:致命率小于0.1;CC——少数致命;CD——多人致命;FA——处于受风险影响的区域的时间少于总时间的10%;FB——经常到持续处于受意外影响的区域;PA——操作人员有足够的反应撤离时间;PB——操作人员无足够的反应撤离时间;W1——小于0.03次每年;W2——介于0.03次和0.3次之间每年;W3——介于0.3次和3次之间每年;-——没有安全需求;a——没有特别的安全需求;b——单独E/E/PES达不到预期效果;1,2,3,4——需要的安全完整性等级

2.3.2 子系统结构及失效裕度的确定

当安全仪表系统的安全仪表功能和安全完整性等级确定以后,可以采用不同冗余结构和失效裕度(FT,Fault Tolerance)的子系统结构来实现SIF期望的安全完整性等级。在确定子系统冗余结构的过程中要折中考虑安全性(PFDAVG)与可用性(错误停车率),因为单纯追求安全性致使错误停车率太高会降低工厂的生产效益。在实际过程中常见的冗余结构有1oo1(FT=0),1oo2(FT=1),2oo3(FT=1),1oo2D(FT=1)和2oo4D(FT=2)。在通常情况下,安全失效分数(SFF,Safe failure fraction)越大,使相关子系统达到期望SIL的失效裕度(FT)越小。表2给出了一个逻辑控制器子系统的SIL与SFF及FT之间的关系。同理,对于检测部分和执行器部分,如果设备满足使用经验总结,设备密码保护,SIL4要求以下且设备只能设置与过程相关的参数,那么同样SIL要求的情况下,设备的失效裕度(FT)可以减少1。通常在SIS的设计过程中,设备冗余结构采用最多的是2oo3(FT=1)和1oo2D(FT=1)。

2.3.3 安全仪表系统的可靠性分析

在安全仪表系统的安全仪表功能设计完成、安全仪表等级确定且各个SIF的子系统结构确定以后,应当对SIS(所有SIF)进行可靠性分析以确保其满足设计的要求。安全仪表系统的可靠性分析包括对错误停车率(spurious trips)和平均失效概率(PFDAVG)进行计算,如果每一个安全仪表功能的错误停车率和平均失效概率都好于或等于设计的期望值,才能根据之前的设计编写安全需求说明书(SRS,Safety Requirement Specification)。安全仪表功能的子系统结构可靠性功能结构如图8所示,其分析计算公式如表3所示。

注:MTBFsp——两次错误停车之间的时间;MTTF——两次失效之间的时间;λs——显性失效导致的错误停车率;λd——隐性失效的危险失效率;DC——诊断覆盖率;λDD——通过自诊断方式发现的危险失效率;λDU——通过手动测试方式发现的危险失效率;λD——可检测的危险失效率

一个完整的SIF的PFDAVG应当为检测部分(Sensor)、逻辑运算部分(Logic Solver)和执行动作部分(Actuator)三部分的PFDAVG之和,同样一个完整的SIF的错误停车率(Spurious trip rate)也应当为检测部分、逻辑运算部和执行动作部分三部分的错误停车率之和。

注:MTTR——平均修复时间;Ti——连续两次手动测试之间的时间

2.4 安全仪表系统的设计

安全功能分配好之后,安全仪表系统项目的执行会由工艺部门交接给自动化部门,由工程公司或设计院的自动化部门进行安全仪表系统的设计。安全仪表系统的设计一般分为概念设计、初步设计及细节设计三个阶段。工程公司或设计院的自动化部门在设计阶段需要编写安全需求说明书、仪表需求说明书及逻辑运算器的需求说明书,绘制每一个SIF的P&ID,制作I/O及仪表清单,招标并选择承包商,然后由承包商完成安全仪表系统的集成、安装、调试。

2.4.1 安全需求说明书(SRS)的编写

安全需求说明书(SRS,Safety Requirement Specification)是一份由工程公司或设计院编写的详细定义工厂安全仪表系统的功能和要求的书面文档。SRS根据安全功能分配阶段定义的SIF及相应的SIL等文档,针对每一个SIF,详细定义其工艺的安全状态、导致停车的原因(SOE)、停车逻辑及停车时执行器的动作(得电或失电状态),同时要定义要求该SIF实现的风险减少和SIL以及对错误停车率的限制等等。此外,还要求在P&ID上详细体现出每一个SIF,并绘制停车的因果矩阵图及逻辑图。表4、图9分别给出了一个停车因果矩阵表及逻辑图典型示例。

注意:停车设备只有在操作员确认后才能重启

2.4.2 安全仪表系统概念设计、初步设计及细节设计

国外大型工程公司一般将自动化项目的设计分为概念设计(Concept Design)、初步设计(Preliminary Design)和细节设计(Detail Design)三步。安全仪表系统SIS的概念设计只需较为准确地给出系统结构图,这一阶段的I/O、仪表设备清单只能作为初步设计的参考,具有很大的不确定性。初步设计则需要准确地绘制出系统结构图,较精确地绘制每一个SIF的P&ID,此外还需要较精确地编写仪表需求说明书(包括SIL及相关的评估报告和认证证书、使用经验总结、设备密码保护、信号输出、过程连接、供电方式、测量介质、抗压能力及防爆要求等等)及逻辑运算器Logic Solver的需求说明书(包括SIL及相关的评估报告和认证证书、系统软件、应用软件、Logic Solver的运算速度、Logic Solver的负载能力、Logic Solver的安装环境、LVL的编程方式、控制模块的搭建方式、上位机的硬件配置、图形界面的要求、仿真要求、FAT要求等等),并统计I/O、仪表数量,列出I/O及仪表清单,初步设计的准确度应当达到80%以上。细节设计则要求精确给出系统结构图、P&ID、仪表需求说明书及逻辑运算器的需求说明书、I/O清单、仪表清单,细节设计的准确度应当达到100%。每一阶段的设计完成后,工程公司都会进行招标并评估承包商的方案及报价,并在细节设计完成之后的招标中依据承包商的方案、报价及业主的倾向确定最终的承包商。

2.5 安全仪表系统的集成、安装、调试及验证

当承包商选定之后,由承包商最终完成安全仪表系统(逻辑运算器和仪表)的集成、安装、调试。当逻辑运算器的承包商(HIMA等等)集成完毕并由工程公司和业主在FAT报告上签字后,逻辑运算器及仪表的承包商(E+H,EMERSON等等)应当在现场进行(指导)安装,在工程公司或第三方的监督下完成IQ并提供相应的IQ报告。此后,由逻辑运算器及仪表的承包商共同完成安全仪表系统的调试,在工程公司或第三方的监督下完成OQ并提供相应的OQ报告。最后再在工程公司或第三方的监督下由承包商进行试运行,确保安全仪表系统的安全性及可用性达到了设计的要求后才能交接给业主进行使用。

2.6 安全仪表系统的投运、维护、周期性功能测试、PQ及变更(停运)

当承包商完成与业主的交接后,业主依据承包商提供的操作及维护手册对安全仪表系统进行使用和维护,并周期性地进行功能测试以保证安全仪表系统的安全性。每隔一段时间后,还应当对安全仪表系统的性能进行评估(PQ)。

当业主有新的使用要求时,需从工艺设计开始重新进行以上所有步骤。当使用一定阶段后,系统及仪表老化,PQ不能达到业主与设计的要求时,应当对该安全仪表系统进行升级或废弃处理。

3 小结

目前安全仪表系统产品的安全性能已日趋提高,很多承包商的产品采用1oo1结构就可以达到SIL3的要求,如恩德斯豪斯自动化设备有限公司Liquiphant M系列音叉(FTL50、FTL51,PFM输出)、Liquiphant S系列音叉(FTL70、FTL71,PFM输出)等产品。但是,单纯靠使用高安全性能产品来提高安全仪表系统的安全性,代价往往会比较昂贵,在国外增加安全仪表系统的SIL的一般费用是一个回路增加一级约增加9×104 US$[7]。如何在保证安全的基础上尽可能少投入,是所有需要使用安全仪表系统的企业所关注的。符合IEC标准的安全生命周期对安全仪表系统项目设计及执行具有极其重要的意义,依据IEC61511和IEC61508定义的方法,按照安全生命周期模型定义的工艺设计、危险学习及评估、安全功能分配、系统设计、系统集成、现场安装、调试和验证、系统投运及维护、系统升级或更新换代等步骤一步一步去规划和执行安全仪表系统项目,才能使安全仪表系统项目的设计和执行达到最优化,以最低的项目成本实现工厂的安全需求。

摘要：阐述了基于ISA S84.01的安全仪表系统的安全生命周期。对安全仪表系统在设计和执行过程中的危险学习、安全完整性等级的评定、子系统结构的选择、可靠性分析等关键技术的主要过程和方法进行了详细的介绍。

关键词：安全仪表系统,安全仪表功能,安全完整性等级,安全生命周期

参考文献

[1]ANSI/ISA-84.01,Application of Safety Instrumented Systemsfor Process Industries,Instrument Society of America[S].

[2]IEC61508,Functional Safety of Electrical/Electronic/Pro-grammable Electronic Safety-Related Systems,InternationalElectro-technical Commission[S].

[3]IEC61511,Functional Safety of Electrical/Electronic/Pro-grammable Electronic Safety-Related Systems,InternationalElectro-technical Commission[S].

[4]MARSZAL E,SCHARPFE.Safety Integrity Level Selection:Systematic Methods Including Layer of Protection Analysis[M].US:ISA,2002:165-177.

[5]STAVRIANIDIS P,KBHIMAVARAPU K.Performance-basedStandards:Safety Instrumented Functions and Safety IntegritLevels[J].Journal of Hazardous Materials,2000,71(1):449-465.

[6]郭海涛,阳宪惠.一种安全仪表系统SIL分配的定量方法[J].化工自动化及仪表,2006,33(2):65-67.

安全服务系统第5篇

1.将System32cmd.exe转移到其他目录或更名;

2.系统帐号尽量少，更改默认帐户名(如Administrator)和描述，密码尽量复杂;

3.拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)

4.建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

5.NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高)：

文件类型

建议的 NTFS 权限

CGI 文件(.exe、.dll、.cmd、.pl)

脚本文件 (.asp)

包含文件(.inc、.shtm、.shtml)

静态内容(.txt、.gif、.jpg、.htm、.html)

Everyone(执行)

Administrators(完全控制)

System(完全控制)

6.禁止C$、D$一类的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters

AutoShareServer、REG_DWORD、0x0

7.禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters

AutoShareWks、REG_DWORD、0x0

8.限制IPC$缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

restrictanonymous REG_DWORD 0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

9.仅给用户真正需要的权限，权限的最小化原则是安全的重要保障

10.在本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义，

与之相关的是：

在账户策略->密码策略中设定：

密码复杂性要求启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定：

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

11.在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

12.解除NetBios与TCP/IP协议的绑定

控制面版――网络――绑定――NetBios接口――禁用：控制面版――网络和拨号连接――本地网络――属性――TCP/IP――属性――高级――WINS――禁用TCP/IP上的NETBIOS

13.在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口(如80)

14.通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接

15.修改数据包的生存时间(TTL)值