安全控制系统范文

安全控制系统范文（精选12篇）

安全控制系统 第1篇

“两化”融合的推进和以太网技术在工业控制系统中的大量应用,引发的病毒和木马对工业控制系统的攻击事件频发,直接影响公共基础设施的安全,其造成的损失可能非常巨大,甚至不可估量。而在工业控制系统中,工控网络管理和维护存在着特殊性,不同设备厂家使用不同的通信协议/规约,不同的行业对系统网络层次设计要求也各不相同,直接导致商用IT网络的安全技术无法适应工业控制系统。

2 国内工控安全现状

2.1 信息化建设的趋势

过去10年间,世界范围内的过程控制系统(DCS/PLC/PCS/RTU等)及SCADA系统广泛采用信息技术,Windows、Ethernet、现场总线技术、OPC等技术的应用使工业设备接口越来越开放,企业信息化让控制系统及SCADA系统等不再与外界隔离。但是,越来越多的案例表明,来自商业网络、因特网、移动U盘、维修人员笔记本电脑接入以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全,对基础设备造成破坏。

2.2 以太网及协议的普及

目前,市场上具有以太网接口和TCP/IP协议的工控设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷,促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中,应用较为广泛的工业以太网之一是德国西门子公司研发的PROFINET工业以太网。

施耐德电气公司推出了一系列完整、以TCP/IP以太网为基础、对用户高度友好的服务,专门用于工业控制领域。自1979年以来,Modbus就已成为工业领域串行链路协议方面的事实标准。它已经在数以百万计的自动化设备中作为通信协议得到了应用。Modbus已经得到了国际标准IEC 61158的认可,同时也成为了“中国国家标准”。通过Modbus消息可以在TCP/IP以太网和互联网上交换自动化数据,以及其它各种应用(文件交换、网页、电子邮件等等)。

如今,在同一个网络上,无需任何接口就可以有机地融合信息技术与自动化已成为现实。

2.3 国产化程度

随着工业控制系统、网络、协议的不断发展和升级,不同厂商对于以太网技术也在加速推广,而国内80%以上的控制系统由国外品牌和厂商所占据,核心的技术和元件均掌握在他人手里,这给国内的工业网络安全形势,造成了极大的威胁和隐患。

目前,在国内工控领域应用比较多的是通用网闸产品和工业安全隔离网关产品,用于工控企业控制网和办公网的物理隔离和边界防护。由于国内重要控制系统有超过80%的系统都使用的是国外产品和技术,这些技术和产品的漏洞不可控,将给控制系统留下巨大的安全隐患。而国内通用IT网络与工业控制网络存在巨大差异,通用IT的安全解决方案无法真正满足工控领域的需求,工业控制系统的安全威胁,一触即发。

2.4 软、硬件的漏洞

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞,但这些漏洞可能被黑客或恶意软件利用。

由于早期的工业控制都是相对独立的网络环境,在产品设计和网络部署时,只考虑了功能性和稳定性,对安全没有考虑。经过测试,很多支持以太网的控制器都存在比较严重的漏洞和安全隐患。

2.5 病毒攻击的发展

国外典型工业控制系统入侵事件。

*2007年,攻击者入侵加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于取水调度的控制计算机。

*2008年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致4节车厢脱轨。

*2010年,“网络超级武器”Stuxnet病毒通过针对性的入侵ICS系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营。

*2011年,黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。

*2011年,Stuxnet变种Duqu,有关“Duqu”病毒的消息是在10月出现的。“Duqu”病毒似乎专为收集数据而来,其目的是使未来发动网络袭击变得更加容易。这种新病毒的目的不是破坏工业控制系统,而是获得远距离的进入能力。

*2012年,肆虐中东的计算机病毒“火焰”日前现身美国网络空间,甚至攻破了微软公司的安全系统。

3 工控安全与通用IT安全的区别

3.1 协议区别

比如OPC,因为其基于DCOM技术,在进行数据通讯时,为了响应请求,操作系统就会为开放从1024到5000动态端口使用,所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析,而使OPC客户端可以轻易对OPC服务器数据项进行读写,一旦黑客对客户端电脑取得控制权,控制系统就面临很大风险。

黑客可以很轻松的获得系统所开放的端口,获取/伪装管理员身份,对系统进行恶意破坏,影响企业的正常生产运营。

3.2 成本及影响对照(如图1所示)

4 工控安全防御方法建议

4.1 白名单机制

白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。

“白名单”安全机制是一种安全管理规范,不仅应用于防火墙软件的设置规则,也是在实际管理中要遵循的原则,例如在对设备和计算机进行实际操作时,需要使用指定的笔记本、U盘等,管理人员只信任可识别的身份,未经授权的行为将被拒绝。

4.2 物理隔离

网络物理隔离类技术诞生较早,最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来,网络物理隔离由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门,其主要功能支持:文件数据交换、http访问、www服务、ftp访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

在工业控制领域,网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能,因此更适合于控制网络与办公网络,以及控制网络各独立子系统之间的隔离。其主要特点有几种:

*独立的运算单元和存储单元,各自运行独立的操作系统和应用系统;

*安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议;

*工业通信协议,OPC/MODBUS/60870-5-104/等;

*与信息层上传数据时,可实现断线缓存、续传;

*实时数据交换,延时时间小于1ms;

*访问控制;

*身份认证;

*安全审计与日志管理。

4.3 工业协议深度解析

商用防火墙是根据办公网络安全要求设计的一种防火墙,它可以对办公网络中传输使用的大部分通用网络协议(如http、ftp等)进行完全包过滤,能给办公网络提供有效的保护。但是,对于工业网络上使用的工业通信协议(如Modbus、OPC等应用层协议)的网络包,商用防火墙只能做网络层和传输层的浅层包过滤,它无法对网络包中应用层数据进行深层检查,因此,商用防火墙有一定的局限性,无法满足工业网络的要求。因此,自动化行业内迫切需要一款专用于工业网络的工业防火墙,可以针对工业通信协议进行有效的过滤检查,以保证工业控制系统的运行安全。

4.4 漏洞扫描

工信部在发布“451”号文以后,开展了全国各地的工控系统安全调研活动,对文中所涉及到的各行业发放了调查问卷。在实际工作中,我们了解到,各地工信部、委和央企信息中心在落实工作的过程中,缺少对工控系统的了解和培训,不敢轻易对工控系统进行调查、检测等操作。因此针对工控领域的第三方的权限设备和技术,将有效解决该问题。

4.5 云管理服务平台

构建满足工业控制系统的全厂级风险识别模型,除了需要细化工业控制系统的风险因素,还需要建立基于工业控制系统的安全管理域,实施分等级的基线建设,兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。

安全管理私有云服务平台的建立要求包括:

*方便地对整个系统里所有安全设备模块、控制器和工作站,进行部署、监控和管理;

*规则辅助生成,指导用户方便快捷地从权限、授权管理报告中,创建防火墙的规则;

*自动阻止并报告任何与系统流量不匹配的规则;

*接收、处理和记录由安全模块所上传的报警信息;

*全网流量收集识别能力;

*基于白名单的终端应用控制能力;

*实时ICS协议与内容识别能力;

*异常行为的仿真能力;

*可视化配置、组态;

*安全事件搜索、跟踪和预处理能力。

5 结束语

随着以太网技术在工业控制网络的应用,以及国家对“两化”整合的继续推进,未来的工业控制系统将会融合更多的先进的信息安全技术,如可信计算、云安全等,信息安全成为关系政治稳定、经济发展的重要因素,本文介绍了在工业控制系统安全中采用的技术手段和策略,与此同时,还需不断加强对工业控制领域的整体安全部署,完善和提供整体的安全解决方案。

参考文献

[1]DRAFT Guide to Industrial Control Systems(ICS)Security.

[2]王聪.工业网络安全(Security).来源:e-works,2012-3-8.

[3]工业以太网在实际应用中安全对策解决方案发布.来源:ducuimei.

[4]施耐德Connexium工业以太网产品目录及参数.

[5]2011年我国互联网网络安全态势综述CNVD.

[6]王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议.信息网络安全,2012.8.

[7]刘威,李冬,孙波.工业控制系统安全分析.信息网络安全,2012.8.

安全控制系统 第2篇

摘要：随着网络技术、通信技术的飞快发展，信息安全问题正成为人们研究的重点。作为底层系统软件的操作系统，是信息安全研究的基础部分，已成为研究的重点之重。本文以嵌入式系统为背景，结合智能卡技术和现有一般的安全操作系统研究方法，提出一种全新的安全控制策略，针对嵌入式系统应用环境中面临的问题给出有效解决方法。最后，结合Linux操作系统，给出一种本质安全型集中式控制安全操作系统模型，描述它所具有的安全特性。

关键词：安全操作系统安全模型集中式控制本质安全型强制存取控制

引言

操作系统作为底层系统软件，负责为应用程序提供运行环境和访问硬件的接口，它的安全性是信息安全的基础。现在操作系统面临的威胁与攻击多种多样，安全操作系统已经不再局限于仅提供安全的存取控制机制，还要提供安全的网络平台、安全的信息处理平台和安全的进程通信支持。

在嵌入式系统中，由于系统软件和硬件设计的特点，很容易从硬件和软件直接进行拷贝。操作系统的安全性应有更特殊的考虑。操作系统不但要对保存的数据提供安全保证，而且还要考虑自己运行的硬件平台和系统本身的安全性。

在现有操作系统中，有关系统安全控制的代码是分散到系统中的，这对系统性能的影响降到了最低。但是，如果要添加新的控制机制，必须会引起大量的修改，由此将带来潜在的不稳定性和不一致性。随着系统硬件性能的成倍增长，人们逐渐将目光转移到集中式控制上来。在操作系统设计初期，安全模块应该被独立地提出来，成为操作系统设计需要考虑的一部分。

智能卡技术是一种软硬件结合的安全保护技术，经常用于身份验证和存储加密信息。由于自身的硬件特性，它可以防止非法读取和篡改;同时，智能卡本身具有加密的文件系统，可以对信息进行安全的保护。

在我们研究操作系统安全问题时，首次将智能卡技术引用到安全控制当中，作为整个安全体系结构的保证。智能卡用于对操作系统本身和运行的平台进行标识，可以对用户身份、进程的合法性进行严格的控制。

1存取控制和安全模型

存取控制是系统安全的核心内容。存取控制按照一定的机制，在系统主体对客体进行访问时，判定访问请求和访问的方式是否合法，返回判定结果。一般情况下，有两种存取控制方式：自主存取控制DAC(DiscretionaryAccessControl)和强制存取控制MAC(MandatoryAccessControl)。

(1)自主存取控制

DAC是安全操作系统最早期的存取控制方式，客体的所有者可以将客体的访问权限或者访问权限的子集授予其它主体。在类Unix系统当中，系统提供owner/group/other的控制方式，就是一种典型的自主存取控制方式。

(2)强制存取控制

在自主存取控制当中，由于管理不当或者操作失误，可能会引起非法的.访问，并且不能有效地防御特洛伊马病毒的攻击。在信息保密要求比较高的领域，人们提出了强制的存以控制方式，给系统提供一道不可逾越的访问控制限制。强制存取控制主要通过安全级的方式实现。安全级含“密级”和“部门集”两方面。密级又分为无密、秘密、机密、绝密四级。系统中主体和客体按照一定的规则被赋予最高安全级和当前安全级。系统主体的部门集表示主体可以涉及猎的信息范围，系统客体的部门集表示该信息涉及的信息范围。强制存取控制抽象出三条访问原理：①的主体的安全级高于客体，当且仅当主体的密级高于客体的密级，且主体的部门集包含客体的部门集;②主体对客体具有读权限，当且仅当主体的安全级高于客体的安全级;③主体对客体具有写权限，当全仅当主体的安全级低于或者等于客体的安全级。

安全模型是系统安全特性的描述，是对安全策略的一种数学形式化的表示方法。一般的安全操作系统的设计方法，通常是先设计安全模型，对安全模型进行分析，并且给出数学证明。安全模型的设计是研究安全操作系统的重要成果，可以对安全系统设计提供结构清晰、功能明确的指导。这里主要介绍BLP安全模型。

BLP模型是人们对安全策略的形式化描述。它通过系统安全级的划分来保证系统存取的合法性。BLP模型定义了一系列的安全状态和状态转换规则，如果保证系统启动时处于安全状态的话，即可按安全转换规则，在各个安全状态之间转换。下面介绍BLP模型的具体规则。

系统的主体和客体均被赋予一定的安全级和部门集。主体安全级包含最高安全级的当前安全级。主体对于客体的访问方式包括：只读、只写、执行、读写。BLP模型定义了两具安全特性，并且证明了只要系统遵循这两个模型，便可认为系统处于安全状态并可在状态之间进行转换，这两个特性是简单安全特性和*特性。

(1)简单安全特性(ss-property)

如果一个主体对一个客体具有读的权限，则客体的安全级不能比主体的最大安全级高。

(2)*特性(*-property)

主体对客体有“只写”的权限，则客体的安全级至少和主体的最高安全级一样高。

主体对客体有“读”权限，则客体的安全级不会比主体的当前安全级高。

主体对客体有“读写”权限，则客体安全级等于主体的当前安全级。

人们习惯上将简单安全特性看成限制“向上读”，将*特性看成限制“向下写”。

BLP在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击，但是仍然存在两个问题：①系统具有动态的信息处理(例如主体的安全级的变化)都是有可信进程来实现的，但是BLP模型并没有对可信进程进行说明，可信进程也不受BLP模型的限制;②BLP模型不能防止隐通道。

2系统实现原理

根据上面的分析，我们提出了一种本质安全型，以进程控制为中心，集中式管理方式的安全控制方法。下面结合Linux操作系统说明具体的实现原理，以wolf-Linux来指具有这种控制机制的安全操作系统。

本质安全是指一种建立在特殊的硬件设备上(Smart卡)，具有特殊的体系结构，可对操作系统本身、进程合法性和运行权利进行验证的安全机制。

系统的安全控制分为六部分：进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示：进程管理器、安全服务器wolf-Linux安全控制的核心部分，审计模块负责对系统的安全性事件进行记录，其它部分是安全控制的执行模块。

从图1中可以看出，SIM(SubscriberIdentityModule)卡处于系统的安全模块中，保存系统的关键信息，集中式管理主要体现在进程控制器部分，安全判定和安全执行的分离使得任何存取操作都不可能绕过安全控制机制。系统中所有的安全事件都通过进程控制器来判定是否可行，安全执行模块负责在访问操作发生时抽象主体和客体，提交访问请求并执行访问结果。下面主要介绍各个模块的功能原理。

(1)安全服务器和SIM卡

系统的安全服务器负责提供系统支持的安全策略。在系统启动时，安全服务器初始化系统支持的安全策略。它的初始化过程中重要的一步是读智能卡中的信息，验证系统的身份。安全服务器提供的接口有三类：①与智能卡的接口。在智能卡中保存系统的关键信息，例如系统的有效使用时间、操作系统身份ID。这个ID号相当规模识了一个合法的系统身份和系统用户身份信息(在系统的安全特性部分还会讨论)。安全模块通过智能卡的驱动程序，负责与智能卡信息的安全交互，并提供访问智能卡的操作函数。②与进程控制器交互的接口。安全服务器只负责实现对安全策略的支持，而不管判定访问操作是否合法。进程控制器在判定访问是否合法时，使用安全服务器提供规则。③提供给系统管理的接口。由于在安全模块当中实现了策略的独立性，所以安全模块可以在实现对多种策略的支持。接口函数包括安全模块的初始化接口、安全策略的注册接口、安全策略的管理接口。通过这些接口函数可以实现对安全策略的配置，系统安全特性针对不同的工作环境，可以动态变化。安全模块的固化设计保证系统的安全特性不可能被破坏和篡改。

(2)进程控制器

进程控制器是系统安全特性的关键部分，功能有两个：①以进程为单位的权限控制;②判定安全执行部分提供的访问请求并返回判定结果;同时为了提高效率，保存最近的访问判定结果，提供缓存功能。

在传统的Unix系统当中，一般提供基于用户的权限控制方法，系统的控制粒度只能到用户。一般的攻击方法是利用程序的设计漏洞，或者用户的误操作来取得高级权限。在我们研究这类安全问题时，继续细化了这类控制方法，提供更细的控制粒度;可以针对每一个进程进行控制，确保用户所启动的所有进程均处于相应权限控制之下。

(3)文件系统伺服器

主要操作是抽象各种操作，包括对文件系统的操作和对于文件的操作;是在文件系统当中的系统调用部分加入控制机制，向控制器提交访问的主客体标识符。在Linux操作系统中，涉及到的数据结构有：super_block(表示文件系统)，file(表示操作的文件)，inode(表示管道)，文件或者网络套接字等等。

(4)网络伺服器

网络安全部分控制操作的目的是，防止违法的网络操作。例如，控制网络打开与关闭，路由器和防火墙的安全规则配置，端口绑定，网络广播等。

(5)进程通信伺服器

进程之间的安全通信是安全操作系统研究的重点之一。随通道是指按照常规不会用于传送信息却被利用泄漏信息的传送渠道。隐通道包括正规隐通道、存储隐通道和时间隐通道。在我们的研究过程中，分析了前两种信息泄漏方式，通过以进程为控制单位，控制进程之间有效通信方式来解决。在Linux方式当中，提供信号量、消息队列和共享内存等进程通信方式，在关键点处加入控制点，例如msg_msg代表单个的消息，kern_ipc_perm代表信号，共享内存段，或者消息队列。进程控制器提供的控制机制使得普通用户的进程只能在具有血缘关系的进程之间来传送消息，可有效防止信息的扩散。

(6)设备管理器

在计算机系统当中，输入输出设备非常易于泄漏信息，包括打印机、终端、文件卷等。例如，黑客可以利用模拟登陆终端设备来取得用户密码。这个模块负责对这些设备进行单独的管理，保证这些设备始终处于有效和正确的状态下。

3系统的安全特性

本质安全型操作系统是在嵌入式系统背景下设计的一种安全操作系统。相对于其它嵌入式系统，它提供了一种根本意义上的信息安全保证;扩展了安全操作系统的内涵，引入了操作系统的生命周期、系统生成态、运营态、消亡态概念。在不同的时间段，安全应该有不同的考虑，而智能卡作为安全控制的基点，保证操作系统可在各种状态之下转换。智能卡健全的发生和管理机制，是安全的重要保证。下面介绍本质安全型集中式控制操作系统提供的安全特性。

(1)身份标识

在wolf-Linux系统当中，身份标识包括系统身份标识和用户身份标识。

系统身份标识是指在系统启动过程当中，对运行的平台和运行系统进行身份验证。智能卡中和操作系统中，在系统生成态时均被赋予了的特定数字ID，系统启动时操作系统读取智能卡中的ID号，进行验证。如果不合法，则转入USSPEND态，不能正常启动。通过智能卡可以有效地对系统的生命周期进行监控。

用户身份标识是指通常的用户身份标识与鉴定。系统采用智能卡保存用户的关键信息，防止被非法篡改或窃取。

(2)进程受控运行

在一般的嵌入式系统当中，不可能对系统运行的进程进行有效监控，wof-Linux提出了一种以进程控制为中心的管理方法。系统中运行的程序必须取得合法性验证才可以运行，对于一些违法的攻击程序可以有效进行限制。系统控制粒度可以以进程为单位，结合强制存取控制可以有效保证数据的安全性。

(3)集中式管理和强制访问控制

不同于现有的系统安全代码分散到系统的各个部分，wolf-Linux实现了集中式管理的策略。安全执行部分抽象存取操作的主体和客体，提交给进程控制器进行判定，集中式控制保证系统的所有存取操作不可能绕过系统的安全机制。强制存取控制是集中式控制的一种具体实现的存取控制机制。

图2给出了系统中安全存取控制的层次。

从上面分析可知，本质安全型操作系统是指建立在特殊的硬件设备基础之上，可以对系统运营平台，对系统进程合法性和运行权利进行有效保证的安全系统。

4系统验证分析

由上述可知，本质安全型操作系统是建立在智能卡技术之上的。传统的研究方法最终将系统的安全建立在密码技术之上，而随着密码破解技术和开源操作系统的发展，密码机制已经不能有效地保证系统的安全。安全操作系统和智能卡的结合，使系统的安全控制点建立在软硬件结合的技术之上，从而可对系统的各种状态和环节进行有效的控制。在翰林电子书中采用这种结合智能卡的安全控制方式，取得了良好的效果。表1提供了一般嵌入式安全操作和本质安全型操作系统的安全特性对比。

表1系统安全特性对比

系统

安全特性

本质安全型操作系统一般的安全操作系统控制粒度以进程为单位以用户为单位TCB的设计方式采用智能卡固化设计纯软件设计控制方式集中式管理分散式管理控制环节多环节支持存储和访问环节身份标识与鉴定基于智能卡的增强型基于普通密码机制存取控制方式强制存取控制和自主存取控制自主存取控制

结语

煤矿通风系统安全控制探讨 第3篇

关键词 煤矿；通风系统；安全管理

中图分类号 TD 文献标识码 A 文章编号 1673-9671-(2012)011-0159-01

近年来，煤矿重大安全事故频发，死亡人数居高不下，给矿工的生命安全造成严重的威胁。究其根本，在通风系统上的管理混乱是安全事故产生的重要原因之一。因此，煤矿通风系统的安全控制问题必须得到重视。

1 煤矿通风系统安全管控的现状

1.1 煤矿矿井的总风量不足

目前在我国一些小煤矿存在着重视生产而忽略安全的问题，矿井的开采没有计划，超出矿井的通风能力进行开采等。在煤矿市场条件好的时候，往往出现无视安全、不管不顾的组织人力去开采生产的情况，对矿井的通风能力不加以考虑，超负荷生产，致使矿井风量不足，瓦斯聚集超出限制，从而产生安全事故。例如发生在陕西的某个小煤矿的特大瓦斯爆炸事故，由于矿井下六个作业点总风量为172 m3/s，只相当于实际需求的风量的1/10，导致风量严重不足发生瓦斯爆炸，造成多人伤亡。

1.2 通风系统管理的混乱

通风系统管理混乱主要表现在以下六个方面。

1）井下通风呈一条直线，上一个工作点的风通到下一个工作点，致使过来的气体有害浓度过高。如果上一个地点发生了瓦斯爆炸事故，就必将波及到下一个工作地点，使事故范围增大。

2）在工作面还没有形成通风系统的情况下就让矿工投入到生产开采中，有些矿井用局部通风枪来进行通风，然而其通风力小，通风系统的不稳定造成安全事故的发生。例如山东的某煤矿在通风系统还没有形成时并要求进行开采，只运用一台局部通风机来给工作面提供通风，由于风量不足，导致发生三级瓦斯爆炸的安全事故。

3）运用不正规的、落后的煤矿开采方法，使工作面不能形成全付压通风系统。

4）通风扩散方面的不合理，不设置局部通风机在掘进工作面造成无风作业，使涌出的有害气体无法得到稀释。

5）不对通风系统进行规划设计，从施工到管理都没有进行有效的规划，对通风系统随意的进行调整。在巷道贯通后又不对通风系统及时的进行调整，致使风流混乱。

6）多通风设施管理不到位，一些安全设施的建筑质量不过关，并且随意构建，造成管理上难度扩大。

1.3 矿井通风阻力大

在中小煤矿中普遍存在着回风巷道断面偏小的问题，有的甚至不到一平米，造成巷道内风速过高通风阻力大的现象。而且由于巷道断面的大小不一样，其拐弯处的角度小于90°的情况，致使通风阻力变大，矿井负压升高。在对某地的煤矿进行调查时发现，小型煤矿普遍都存在着负压高风阻偏大的问题。

1.4 中小煤矿中缺乏专业的通风人员

由于中小煤矿的工作环境不好、工资待遇方面差的原因，专业的技术员是不会考虑去这样的煤矿工作的，因此，中小煤矿存在严重缺乏专业的通风技术人员的问题。在小型煤矿，因为没有通风技术员，而其通风管理员对通风的专业知识掌握的并不多，出现操作部规范，随意调整通风系统的情况，给安全管理带来隐患。

2 加强煤矿通风系统安全控制的对策

2.1 制定出通风系统系统安全管理标准

在煤矿安全管理方面我国已出台《煤矿安全规程》与一些相关的标准规章，各地煤礦可根据的当地实际情况来制定出通风系统安全管理的制度，建立起一个安全、可靠、能切实得到实施的安全管理体系。

2.2 建立起安全、稳定、合理的通风系统

要建立一个安全、稳定、合理的通风系统，可以采取如下几个

方法。

1）与周边的其他煤矿实施隔离，在开采时应与周边的其他煤矿保持足够的空间，设置隔离煤柱，防止回风进入其他煤矿的生产系统引发安全事故。

2）在设计通风系统时要把好关，严禁出现平面交叉的通风系统，杜绝开采空间内部出现上下两头都通风、通风扩散、通风串联扩散等安全隐患。

3）需对通风系统进行测定，在测定时请有专业技术和资格的机构，选出最有代表的线路进行测定，对矿井通风阻力、高阻区段、主扇机性能等都必须进行测定，并制出参数图。通过对上述测定结果的分析，制定出一套优化通风系统的改造方案，对性能低的通风机要及时的更换，完善通风系统。

4）对通风设施要加强管理，像风桥、风门、密闭等设施要定期的进行维护；对主进主回之间最好设置三道风门，安装闭锁装置，防止两门同开出现风力对流的现象发生。

2.3 对通风系统装备进行改善

一般矿井要常备两台以上的主扇机与电机，一台作为常用运转，一台备用，并且对供电双回路进行改善。对反风道、防爆门或防爆盖等设施进行修整，并定期进行反风演习提高安全意识。对主扇机等通风设施进行定期的维护，使矿井外部的漏风率下降，确保风机等设施的正常

运作。

2.4 对矿井的通风能力进行核算

通过对各矿井的风量进行分析，核算出矿井的通风能力。根据对每产一吨煤所需通风量的计算，确保煤矿的通风量和通风系统的正常运作，然后根据得出的结果计算持矿井每一年的通风力，分配每月供风的计划。按照开采、掘进以及别的用风地点相加得出的总和计算。总之，扇风机所提供的风量必须大于总用风量。

2.5 对工作面的供风管理要加强

在保证掘进工作面供风量方面，然后根据爆破炸药量、涌出瓦斯量、作业人数、风速、巷道等指标的最大值来确定供风量。选取风扇的型号、风力规格时，依据是对风力风量的计算结果，防止风筒有压积、破口或接口漏风等现象发生。在容易引起瓦斯涌出以及对大断面、距离长的掘进工作面应配备高效风量大的旋式通风机与大直径风筒。

3 结束语

良好的煤矿通风系统不仅给煤矿企业在经济效益方面带来诸多好处，更给工作人员在生命财产安全带来保障。煤矿通风系统安全管理维系着矿井作业人员的生命安全，一定要严格执行，保证安全生产。

参考文献

[1]董剑锋.浅析现代煤矿通风系统设计与分析[J].改革与开放,2011,8.

[2]陈文礼.煤矿通风系统安全现状评价检查方法[J].安全与健康,2005,7.

飞行安全之系统安全 第4篇

事故对于安全管理而言任何时候都是用鲜血换来的宝贵财富。但过去对待事故采用的是一种被动的、就事论事的态度。事故发生后, 找到直接原因和责任者, 针对直接原因规定几条, 对责任者进行处理。这种做法虽说短期内可能会起一些作用, 但长远来看可能会带来更多的问题。

而系统安全的观点认为, 任何事故的发生都是由于系统自身存在缺陷的结果。事故的原因常常不是单一的, 而是一系列事件的结果;每一不安全事件又有多层次的原因。分析事故就要验明所有这些原因, 找出系统的薄弱环节;然后最优地利用可获得的资源, 按照预先排定的优先次序, 积极主动地完善整个系统, 使系统更加“健康”。这完全不同于前述“头痛医头、脚痛医脚”的治标方法, 而是着眼于治本。这种方法使每份投入都会产生持久的效果, 是安全资源的最有效利用;这种方法将使系统越来越完善, 安全状况越来越好, 是良性循环的推动力。在新世纪来临的时候, 用系统安全的观点重新审视我们对待事故的方法和态度势在必行。

2 发展系统的防错、容错能力

防错、容错是现代化大系统的一个极其重要的安全属性, 随着航空装备信息化、集成化、数据化时代的到来, 未来军用航空的“以人为中心的自动化”系统, 在如何使各类人员与这些安全属性已经确定的现成产品协调起来, 实现“本质安全化”, 将是问题的焦点。应当承认, 人是有可能犯错误的, 即使是优秀的航空人员也有可能犯错误。但是另一方面, 信息时代的科学技术使得系统各部分间的联系是如此之紧密, 反应是如此之快速, 以致对任何一个局部错误都会非常敏感。因此, 如何使人、机、环境系统紧密结合起来, 发展防错、容错能力, 是摆在各类人员面前的紧迫课题。

这是新课题也是老问题。例如过去一直强调的按程序操作, 按手册数据飞行, 其安全意义就在于留有充分的“安全裕量”。有的飞行员, 偏离最优范围, 实际上把自己置于潜在的困境中, 再稍有差错, 就可能超出允许极限, 引发严重后果。又如反复强调的“检查单”本身就是一道道极好的安全屏障。再如交叉检查, 相互提醒, 飞行、签派、机务人员之间的相互核实等都是系统防错、容错的范例。

但是, 人、机、环境系统的防错、容错尽管有许多具体做法却尚未作为一个系统问题加以全面考虑。有的环节防护很严, 但有的环节却很脆弱, 一个人搞错, 整个系统就会崩溃, 没有任何余度;有些关键工作虽有防错, 但对防错者没有“防错”, 致使防错流于形式, 失去防护功能。这是我们以前不熟悉的新问题, 进入信息时代, 必须准备好迎接这种新的挑战。

3 管理信息, 发现隐患

系统安全的观点认为系统是发展变化的, 而控制系统运行的关键因素是信息。一个安全状况不好的系统, 如果能使信息合理地流动起来, 管理者能有针对性地及时采取有效措施, 不断改善系统, 则可步入良性循环, 变得越来越“健康”。相反, 一个多年无事故的单位, 如果安全信息不流畅, 思想麻痹, 盲目乐观, 隐患不能及时被发现并消除, 则会潜伏发展, 形成危险, 最终发生事故。

未来海军航空兵担负的任务与过去相比, 将更加复杂, 发展变化更加快速, 分布的地域 (海域) 更加广泛, 许多事情都可能是管理者考虑或顾及不到的, 因此航空兵部队一线工作人员将亲身经历的问题、所犯的差错、产生的疑惑及时作出报告, 对于把握安全状态、发现隐患将会越来越重要。

未来的航空系统瞬间就可产生大量数据, 而且诸如飞行数据记录器以及快速存取设备等技术手段使得任何人都可能方便地获得这些数据。但是金矿石不等于金子, 原始数据也不等于是有用的信息。如何高效地处理这些原始数据, 把有用的信息提取出来, 加以利用, 是今天已经提上议事日程, 今后会更加紧迫的又一关键问题。此外, 还有建立各类数据库, 累积数据, 并经科学分析以找出规律、判明趋势、预测发展等这样一些信息加工工作, 以往属于科学研究的范畴, 今后会成为日常安全管理工作的重要手段。

4 安全是系统的基本属性

按照马斯洛 (Maslow, 1954) 的动机理论, 安全是人类的最基本需要之一。人从事的任何活动都要求具有可接受的安全性;只不过活动的性质不同, 可接受的安全水平不同罢了。

系统安全的观点把安全作为系统的一个基本属性来看待, 认为安全目标是组织总体目标的基本要素, 安全工作是组织总体工作的不可分割的组成部分。在安排工作时, 要同时安排安全工作, 使安全工作与其他工作协调配合, 相互促进, 形成综合优势;在规划发展时, 要首先规划安全, 使安全成为完成组织任务的有效保障, 形成优化组合, 达到持续、健康、快速发展的目的。安全与效益的关系就如同人的健康与工作的关系。与以往的安全系统工程的原则区别就在于, 系统安全的观点不赞成把安全从组织的总体目标中分离出来, 单独加以考虑。而脱离实际的安全投入和限制, 最终也会使安全失去意义。

新世纪的信息技术和更加激烈的竞争将使系统更加一体化并且总体优化将是系统生存的更重要条件, 因此安全工作与其他工作必然是相互渗透、相互融合的。只有系统安全的观点才能适应未来系统这种紧密联系的实际, 因而也是未来安全理论发展的必然方向。

综上所述, 人类对安全的认识经历了从被动到主动, 从孤立静止到系统动态, 从局部到整体的发展过程。任何科学越是发展, 越需要辩证的思维, 安全科学亦不例外。今天已经形成, 可望在二十一世纪得到蓬勃发展的系统安全理论, 不论自觉还是不自觉, 必然要沿着辩证唯物主义的道路才能得到快速、健康的发展。

“蝼蚁之穴, 溃堤千里”这样的安全警句告诫人们, 小的漏洞、隐患是会发展变化的, 弄得不好就会导致巨大的灾难。先贤告诉我们, 抓安全要善于发现“征兆”, 要把事故的苗头消灭在“微萌”状态;治要“治于未乱”, 等到病了再来求医就晚了。老子的“祸福相依”思想, 更是深刻地揭示了事物的两重性, 告诉人们安全与不安全是会相互转化的, 安全形势好的时候不能丧失警惕性, 安全形势不好的时候也不必灰心丧气。这些光辉的思想与上述系统安全的观点都十分相近。按照辩证唯物主义的观点, 事物的发展呈螺旋上升之势。上述例证说明世界的安全思想正在螺旋回归到龙族先贤的安全观, 当然上升了一个层次。

摘要：随着管理科学的进步, 人们开始着眼于整个组织的安全体系, 采用系统工程的科学方法, 发展了安全系统工程, 从而大大推进了安全研究, 并使安全科学作为一门独立的综合学科逐渐成长起来。随着信息社会的到来, 总体优化要求各个部分、各种功能相互渗透、相互结合、相互协调, 因此形成了“系统安全”的观点。

关键词：飞行安全,系统安全,安全科学

参考文献

[1]ISO 13415-1997.航空航天飞机结构用柱型单列密封的滚针滚道式滚子英制系列[S].

[2]唐炬.气体绝缘组合电器局部放电在线监测系统的研制[Z].国家科技成果.

Linux系统安全之安全配置 第5篇

实践证明，无论是那种系统，默认安装都是不安全的，实际不管你用windows也好，Linux,bsd或其他什么系统，默认安装的都有很多漏洞，那怎么才能成为安全的系统呢，这正是我们系统管理人员需要做的事情。配置配置再配置。

任何系统，只要细心的配置，堵住已知的漏洞，可以说这个系统是安全的，其实并非很多朋友说的那样，安装了系统，配置了防火墙，安装了杀毒软件，那么就安全了，其实如果对系统不作任何安全设置，那就等于向 敞开一扇纸做的大门，数十分钟就能完全控制!

这并非骇人听闻。

作为Linux系统，同样存在很多漏洞，黑可能利用这些漏洞控制你的整个系统，要防止这些问题，我们需要做以下步骤：

1、 升级系统中所有软件包的最新版本;

2、 设置较为强壮的防火墙;

3、 定期检查关键记录文件，配置杀毒软件

4、 多关心一下发布安全信息警告的网站，掌握一些最新的病毒和 程序的特点，这些都利于系统的正常运作，

这篇文章主要以优化为主，为了配合这一主题，安全部分我们只讨论一下日常的一些维护工作。

除了上面列出的4条是管理员必修之课外，对一些Linux系统细节的维护也很重要。

包括：

1、 配置日志轮训工具，定期下载备份日志，是个非常好的习惯，这样不但能减少日志的消耗的磁盘空间，提高系统效率，更能及时发现问题，Linux下有些很好的系统日志分析器，能直接提取日志中的特殊项目，省去了阅读日志的烦恼;

2、 使用命令lsof Ci ,netstat Ca ,ps Ce等命令，定期检查系统服务端口监听等情况，也可制作一个定期执行的脚本，将这些命令定期执行后发到邮箱中;

3、 定期检查root用户的history列表，last列表，vipw用户列表是否正常;

4、 定期备份文件，用tar命令就能很好的备份了，当然需要下载这些备份并转移介质;

如一点发现有任何特别的没见过的情况或端口，那么要引起足够的重视，切勿因小失大。

浅析工业自动化控制系统信息安全 第6篇

关键词：工业自动化控制；信息安全；防范措施

一、工业自动化控制系统的安全现状

去年两会期间，信息安全首次在两会报告中出现，很多代表纷纷就安全话题进行了提案。今年，信息安全依旧受两会热议。早日实现核心信息技术和产品的自主可控，摆脱受制于人的局面，是我国信息化建设的关键环节，也是保护信息安全的重要目标。

众所周知，工业自控系统在发展初期，都是采用专用的硬件、软件和通讯协议，对于传统的现场总线来说根本不存在信息安全问题。但是，随着计算机和网络技术的发展，以太网的应用，特别是信息化和工业化的高层次的深度结合，工业自控系统越来越多地兼容通用协议，并以各种方式与互联网等公共网络连接。病毒、木马、黑客对工业自控系统攻击逐渐增多，工业自控系统信息安全问题日益突出。如：2010年10月伊朗核电站受到Stuxnet病毒攻击事件，最终导致延期发电，并对伊朗国内工业造成大面积影响。该病毒可通过局域网或USB传播到自动化设备中，并从中窃取数据，破坏控制系统的稳定性，导致停产事故的发生。

二、工业自动化控制系统的安全隐患分析

1、操作系统的隐患

当前大多数工业自控系统都是Windows 平台的，考虑到操作系统与控制系统的兼容性，对Windows 平台往往不安装补丁。因此系统就存在被攻击的可能，有很大的安全隐患。

2、通信协议的隐患

信息化和工业化的高层次的深度结合，使得TCP/IP 等通用协议和技术越来越广泛地应用在工业自控网络中，这就减弱了控制系统与外界的隔离。病毒、木马向控制网扩散，工业自控系统的安全隐患问题日益严峻。

3、杀毒软件的隐患

杀毒软件的病毒库需要不断的更新，这一要求不适合工业控制环境，许多工控系统通常不会安装杀毒软件。即使安装了杀毒软件，由于软件对新病毒的处理总是滞后的，在使用过程中也有很大的局限性。

4、工业自控软件的隐患

工业自控软件面向网络应用时，就必须开放其应用端口，而常规的IT 防火墙很难保障其安全性，针对组态软件的攻击会从根本上破坏工控系统。黑客很可能会利用一些工业自控软件的安全隐患获取如大型设备的开、停等控制权，一旦这些控制权被黑客所掌握，可能造成相关企业的设备运行异常，甚至造成停工、停产等严重事故。

三、工业自动化控制系统的安全防范措施

1、加强信息安全管理：

（1）数据管理

大数据时代，工业自动化控制系统安全首先从数据加密入手。对于敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密等措施加以保护。

（2）连接管理

断开工业自控系统同公共网络之间的所有不必要连接。对确实需要的连接，企业应采取设置防火墙、单向隔离等措施加以防护。严格控制在工业自控系统和公共网络之间交叉使用移动存储设备以及便携式计算机。

（3）组网管理

丰富网络框架，防止网络防护千篇一律。对无线组网采取严格的安全监测，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元进而控制部分或整个工业自控系统。

（4）账户管理

严格账户管理，定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，及时更改产品安装时的预设口令，关闭无关的端口和服务。

（5）升级管理

严格软件升级、补丁安装管理，加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。

2、及时跟踪最新的信息安全规范，如IEC、ISO等专业机构发布的指导性文件规范。及时关注技术动态，如西门子基于纵深防御理念的安全工控系统。针对安全攻击的发展变化，制定、采纳符合本单位实际要求的安全策略。

西门子基于纵深防御理念的安全工控系统

“纵深防御”策略是目前提高工业自控系统信息安全的很好选择。在外部世界的威胁和工控网络之间建立尽可能多层次的防护。通过部署多层次的、具有不同针对性的安全措施，保护关键的工业自动化控制过程与应用的安全。建立“纵深防御”的最有效方法是将网络划分为不同的安全区，在安全区之间按照一定规则安装防火墙。即使在某一点发生网络安全事故，工厂操作人员能够及时准确的确认故障点，并排除问题，从而保证装置或工厂的正常安全稳定运行。

3、增强报警管理平台

工业自动化控制系统的报警管理平台，除集成系统中所有事件的报警信息外，还应负责捕获现场所有安装有工业防火墙的通讯信道中的攻击，并且显示攻击目标、攻击来源。对未知恶意代码的渗透、潜伏、攻击等各个阶段，进行发现、跟踪、告警、拦截。为工厂网络故障的及时排查、分析提供了可靠依据。

4、保护关键控制器

对关键控制器的保护应使用专业的工业防火墙。首先，对防火墙进行组态时只允许制造商专有协议通过，阻挡任何非法访问；其次，可以对网络通讯流量进行管控，规定只有某个专有操作站才能访问关键控制器。

四、结束语

在工业自控系统的安全领域，没有绝对的信息安全，也没有牢不可破的安全机制。随着越来越多的安全事件的发生，我们不但要认识到技术防护的重要性，更要从意识开始培养，重视企业自控系统的安全和监管，不断应对各种新生工业自动化控制系统的安全威胁。

参考文献：

1、《关于加强工业控制系统信息安全管理的通知》，工信部协，[2011]451号，《计算机安全》，2012年

2、王伟，《加强工业控制系统安全防护的认识与思考》，中国信息化，2014

汽车安全控制系统研究初探 第7篇

1 汽车安全控制系统定义

主要是指通过对传感技术和现代信息技术的充分运用, 将驾驶员的感知能力扩展, 以获取包括障碍物距离、行人、车速等在内的外界信息, 并向中央的控制系统传递。通过获取车况和路况等综合信息, 中央系统对是否构成安全隐患进行判断。一旦构成了安全隐患, 则自动进行报警, 并进行主动避让控制, 在两者都无效的情况下, 自动实施呼叫救援。既通过三个方面的控制, 事前预防、事中控制和事后评估, 将事故的伤害度和发生率最大限度的降低。其中事故前的控制包括行驶状态、预警状态和避撞状态三种状态, 事故中的减轻伤害包括预碰撞状态和碰撞状态两种状态。汽车安全控制系统主要包括避让控制、自动启动巡航控制系统, 以及呼叫救援、事故后评估和行人及乘员保护系统。

2 按安全状态划分的系统

将车辆行车的安全过程, 依据车辆运行的状态, 分为六个阶段:即安全行驶, 出现危险、预碰撞和避撞、碰撞和处理事故。在不同的阶段, 有不同的系统功能与之相适应。

2.1 安全行驶阶段

满足巡航控制需求是此时系统的目标, 要求能控制车辆纵向运动状态, 促进其对自车的某种运动状态自动维持, 或者是和前方的目标所保持距离适中。

2.2 出现危险阶段

一旦出现危险, 预警装置就会自动启动。要求采用多种途径的控制方式, 例如, 根据不同的危险程度, 所给予的预警信号也有所不同, 以实现对不同经验和疲劳程度的驾驶员不同的警告。

2.3 避撞阶段

在这个阶段, 对于危险, 系统已经探测到。系统在驾驶员没有实施任何有效行动的情况下, 会采取自动的驾驶行为, 避撞阶段相比于巡视控制, 所面对的是更加复杂的工况。一旦前方或者高速汽车行驶阶段有紧急情况发生, 系统就会进行有效制动。并对安全设施进行动态的调用, 在保证自车安全的基础上, 规避发生各类安全事故。

2.4 预碰撞阶段

系统在这个阶段, 已经预测到会不可避免的发生碰撞时, 会处于一种临界状态。并对主动安全系统信息进行共享。为了后续的阶段做好准备, 该被动安全设备将进入预警状态。

2.5 碰撞阶段

在此阶段, 为了能有效保证行人和乘客的安全, 需要有效实施被动安全设施。

2.6 事故后处理阶段

在发生事故时, 为了将事故伤害度降到最低, 营救是非常重要的一种措施。在这个阶段, 需要综合评估系统所反馈的信息, 并准确判断事故的严重程度。同时, 系统能对120、110等报警台自动发出呼救, 将事故的详细信息, 如事故的大小、时间和地点等进行发送, 为后续的救援工作提供方便。汽车安全系统根据以上各个阶段的要求, 包括主被动综合控制、判断行车安全状态、感知和处理汽车信息、建立车辆动力学模型, 以及控制执行等各个关键技术,

3 汽车主被动安全集成控制系统总体结构方案

控制系统的总体方案, 详细的规划了被动触发控制系统和避撞控制系统, 因为具有较多控制对象, 无法一一详细列出。总体来讲, 该系统具有以下三个部分的工作流程:探测、运算和执行环节。探测的完成主要是依靠车载传感器系统, 由中央处理器完成运行, 由不同的主被动安全系统实施完成执行。中央控制器结合不同的安全状态, 将不同的控制指令发出。主要包括:控制速度, 控制车身的稳定, 对行人和乘员实施保护, 控制事故后续设备。系统主要包括以下的控制执行器:对于央控制系统的控制要求进行响应的节气门执行器, 为保障危险碰撞的气囊点火机构, 以实现对保护行人和乘员安全的目的。本文对于发动机罩盖弹起机构和行人碰撞安全气囊进行了集成, 提供了更全面的功能, 主要为了更好的保护行人安全。系统的核心部分, 则是用以准确判断系统的安全状态。是后续各种控制的基础。它主要是借助于系统获取信息的能力, 来判断各个安全状态, 并实现对系统的控制。在主被动集成中, 信息的融合共享发挥着非常关键的作用, 包含了诸多的子系统, 各个系统之前密切协作。

4 结语

本文重点对汽车主被动安全集成技术前期实施方案进行了研究, 下一步将对技术框架进行规范, 将总的发展思路提出。以提供一条综合途径, 解决道路安全问题。因为主被动集成汽车安全控制系统具有一定的前沿性和复杂性, 在今后工作中, 还有待于研究一些具体的技术细节。以期为汽车的安全运行提供保障。

摘要：随着经济的飞速发展和人们生活水平的提升, 汽车的安全问题已经引起了社会的广泛关注。本文立足于国内外最新的集成安全技术, 在传统的主被动安全技术的基础上, 将一种新的汽车主被动安全集成控制系统提出, 并对汽车主被动安全集成控制系统总体结构方案进行了设计。

关键词：汽车安全,控制系统,概念,分类,设计

参考文献

[1]彭晓燕, 章兢, 陈昌荣.基于RBF神经网络的最佳滑移率在线计算方法[J].机械工程学报.2011 (14) .

[2]彭晓燕, 陈昌荣, 章兢.电子机械制动系统的滑模控制研究[J].湖南大学学报 (自然科学版) .2010 (08) .

车载酒精检测及安全控制系统 第8篇

生命安全问题一直是人类高度关注的问题。对人类生命安全造成威胁的因素有很多,其中,酒后驾车就是一个非常重要的威胁因素。酒后驾车造成的交通事故不计其数,给自己及他人带来了巨大的危害。据相关的数据统计,全国每年所发生的交通事故中有50%~60%是因酒后驾车而引发的,酒后驾车发生事故的机率高达27%。随着摄入酒精量的增加,选择反应错误率显著增加,当血液中酒精含量由0.5增至1%,发生车祸的可能性便增加5倍,如果增至1.5%,可能性再增加6倍,这种后果是谁都难以估计的。因此,酒后驾车的这个问题该如何得到解决,是每个国家都应该考虑的事。目前,几乎所有的国家都采用呼气式酒精测试仪对驾驶人员进行现场的检测,以确保被检测驾驶员驾驶时血液中酒精含量是否超标而且需要检查人员参与。

1系统结构及总体方案设计

该系统采用驾驶员主动呼气的方法,以此来判断驾驶员是否是酒后驾车,系统总体方案设计流程图如图1所示。该设备接入汽车点火电路中,可放置在汽车仪表盘的位置。当驾驶员上车旋转一档时,语音播报提醒驾驶员要进行酒精检测,若不进行酒精检测否则无法启动打火器,此时的发动机处于被锁状态并且汽车将无法启动。然后这并不会影响汽车内基本的电路工作(车灯,空调等),进行吹气测试后,没有检测到酒精时打火电路可以正常工作,检测到酒精酒精时打火器将无法工作,同时GSM模块发短信给目标手机提示酒驾,LCD显示屏会显示当前酒精浓度值。打火器工作通过控制串联在里面的继电器动作来实现打火功能。

2硬件设计

2.1检测模块

选择以MQ-3型酒精检测传感器来进行对酒精含量的检测(酒精传感器对不同酒精浓度检测时,其阻值会与电压成线性关系)。检测范围为10ppm~2000ppm;灵敏度高,输出信号为伏特级;响应速度快,功耗低,尺寸小。MQ-3型气敏传感器的敏感部分是由金属氧化物(二氧化锡)的N型半导体微晶烧结层构成。当其表面吸附有被测气体酒精分子时,表面导电电子比例就会发生变化,从而其表面电阻会随着被测气体浓度的变化而变化。由于这种变化是可逆的,所以能重复使用,加之市场价格适宜选择它很适合。又因为MQ-3输出的是模拟信号,所以需要AD转换器,这里采用8位ADC0809转换器,经过ADC0809芯片转换的数字信号通过STC89C51单片机处理,然后在LCD屏幕显示出相应的酒精浓度大小。

2.2语音模块

上车且旋转车钥匙时,通过旋转车钥匙触发的电信号送给语音播放器,从而进行语音播报提醒驾驶员进行酒精检测。语音模块采用ISD4004模块其内置微控制器串行通信接口3~5V单电源工作,低功耗,工作电流25-30m A,维持电流1μA,不耗电信息保存100年(典型值),高质量、自然的语音还原技术,10万次录音周期(典型值),自动静噪功能,片内免调整时钟,可选用外部时钟,市场价格便宜携带方便。

2.3通信模块

采用GSM电路进行发送短信。硬件上连接好51单片机和GSM模块(4根线),刚上电时,单片机串口查看是否乱码在,通过软件对单片机和GSM模块连接进行检测,确定GSM模块注册到网络。当通信模块收到酒驾控制信号时,酒驾信息(酒驾短信通过对GSM模块进行编程可得)通过GSM模块发送到目标手机。通过单片机扩展一个串口和GSM模块的串口连接,就可以实现单片机对GSM模块的控制了。

2.4控制模块

通过51单片机的IO口控制各个模块的片选信号从而进行控制,模块包括语音模块,检测模块,通信模块,还有打火器关断模块。IO口的信号收发是通过对单片机进行编程。打火器电路从市场买回的汽车相应零器件(这里只需控制点火电路的通电与断电即可,通电情况时汽车正常启动,断电时汽车无法启动)。

3结束语

该车载酒精检测及安全控制系统以51单片机为控制核心,外围电路带有LCD显示屏以及语音播报响应电路,不需要其他计算机的控制;单片机系统控制LCD显示屏来实现人机交互操作,用户可以与之进行交互工作,完成数据信息的采集、存储、计算、分析等过程;软件设计更加简单易懂。因此,整个系统具有低功耗、小型化、高性价比、便于携带等特点。因此对预防酒后驾车具有很好的效果,在实际应用中也具有很好的推广价值。

摘要：为了能够有效的监测和处理驾驶员的酒后驾驶行为,从而去保护驾驶员的人身安全。因此,设计了一种基于单片机控制的车载酒精检测及安全控制系统。该系统是以AT89C51单片机为核心,利用MQ-3型气敏传感器采集到的酒精浓度数据进行处理,采用A/D转换器检测驾驶员呼出气体的酒精浓度,并利用继电器来控制车辆禁驾。同时,通过串行通讯方式控制GSM无线模块,进行短信发送。从根本上解决了驾驶员酒后驾车的问题。该系统体积小巧便于携带,性能稳定性好,安装以及调试都很方便,具有较高的实用意义。

关键词：单片机,气敏传感器,A/D转换器

参考文献

[1]黄庆德.微机控制的发动机点火系统[J].汽车技术,2005.

[2]李鸿.用单片机控制手机收发短信息[J].电子技术应用,2003.

[3]郁岚,张青春.基于单片机的酒精气体检测系统设计[J].仪表技术,2010.

[4]陈丽,朱瑞祥,云超.基于单片机的防酒后驾驶控制系统设计[J].传感器与微系统,2009.

信息系统的安全控制研究 第9篇

计算机的硬件包括中央处理器和其他的外围设备。在网络系统情况下, 这些设备包括网桥、网关、路由器、调制解调器、交换机、无线电通讯媒体和其他涉及数据的物理传输设备。所有这些设备都应当得到适当的保护, 以免受到诸如台风、地震、洪水等自然灾害和盗窃、爆炸、故意破坏危险的人为因素等损害。针对以上威胁的控制就称为物理安全控制。逻辑安全控制是指用于限制用户对信息系统的访问权和防止未经过授权的用户进入系统的防范措施。逻辑安全控制是防止系统软件、数据和应用系统遭到意外或故意的破坏和恶意的更改等, 逻辑安全控制可能存在于操作系统、数据管理系统、应用系统或同时存在于上述3个系统中。

二、物理安全控制

物理安全控制着计算机的硬件, 构成了信息系统的组织结构环境。对任何信息系统的中央处理器 (CPU) 和外围其他设备的损坏, 可以表现为一系列自然或人为威胁相互作用以后而形成的结果。比如, 有的地方会遭到龙卷风、暴雨的袭击, 而另外一些地方会遇到地震或火山爆发等灾难事件, 所有这些都会给计算机系统带来重大损坏;而纵火或者故意破坏同样能给一个组织的计算机资源造成直接的威胁。不同于自然的力量, 这些人为的破坏可能并不那么容易被发现。比如说, 恶意的篡改可能导致计算机系统的崩溃, 这就意味着系统数据的丢失和损坏。世界上没有任何事物能够对这些来自自然和人类的各种威胁具有天生的免疫能力, 因此, 所有的组织都应该采取适当的内部控制措施, 在后续的操作过程中减少这些灾难造成的损失。但是, 大多数组织对计算机系统所采取的物理安全措施是严重不足的, 对于内部审计师而言, 包括那些检查计算机系统安全的管理者在内, 都有责任识别物理安全控制中所存在的重大缺陷, 并向高层管理者提出弥补这些缺陷的建议。其中最明显而又往往被人们忽视的一个预防性措施就是将关键的电脑设备放在设备楼的第一层甚至以下。当然这只是物理安全控制中要考虑的一个基本因素, 即位置因素而已, 除了位置因素以外, 还有很多因素要考虑, 诸如物理锁、安全警卫、监控设备、意外事件检测系统、紧急电源或不间断电源等。

1. 物理锁

对于放置在房间里的电脑和其他设备而言, 其物理安全性的首要防线由房间的门锁构成。这些房间包括电脑主机房、配电房和放置文件服务器、网关以及其他设备的房间。

(1) 控制接触这些受限制房间的最有效的方式之一是使用常规的钥匙 (Conventional Keys) 。这就要求组织中有值得高度信赖的管理员工, 组织的安全官员或指定的管理员工应该负责收发所有钥匙, 并明确持有钥匙的个人, 保留详细的钥匙清单, 以便门锁的更新, 同时要妥善地保管所有的备份钥匙。如果不能适当地控制这些钥匙的话, 那么常规的钥匙锁只能给人们一种安全的错觉。比如, 那些不再履行其正常职务的保管员、前雇员、离职人员可能未经过授权就接触信息系统设备。

(2) 电子通道证章 (Electronic Access Badge) 系统相对于常规钥匙锁来说, 具有两项独特的优势。第一, 该系统不需要所有的员工都持有常规钥匙, 他们通过电子通道证章系统能够获得和其职位相对应的访问权。当员工调动、离职或被解雇时, 只需要停止电子通道证章系统中的相应权力就能够防止这些员工接触到原来可以进入的设备。即使电子证章没有交回来, 组织也不需要更换门锁的钥匙。同时, 通过电子证章进入系统时, 其行为会被记录下来, 从而在电子通道证章系统中留下审计轨迹。第二, 该系统能够在白天或晚上的特定时间段采取特殊的措施。特殊的门锁可以通过程序来控制, 始终保持锁住的状态 (在正常的业务活动时间之外) 。假如在工作时间之外允许被授权的员工进入系统, 则计算机系统会监控并记录这些进入情况。虽然电子证章有上述优势, 但有时也可能被绕过。比如, 有的组织可能会在存放计算机设备的房间的门上同时安装了普通门锁和电子通道证章系统, 这样, 持有钥匙的人也可以进入房间, 从而避免在电子通道证章上留下审计轨迹。还有这样的可能, 就是电子通道证章持有人将自己的证章借给别人或系统安全管理员错误地授权而导致该控制失效。

(3) 加密锁 (Cipher Lock) 。加密锁就是在进入房间时, 通过在门旁的键盘上输入秘密组合的数字或字母来打开门锁的装置。如果密码无误, 门就自动打开。否则, 不能使门打开。对于密码锁来说, 一个明显的问题是当有关人员调动或辞退的时候, 就必须更换密码。更重要的是, 这种变动还要告知每一个与此相关的人员。这也给工作带来不便。

(4) 生物锁 (Biometric Lock) 。生物锁是通过人体上一个或多个唯一的物理特征来达到识别某一个体的目的。如手印、指纹、声音特征、面部特征、视网膜图像等独特的生物性状。由于生物系统的成本相对高昂, 所以生物锁一般只应用在涉及高度敏感的设备和信息的情况下。不过有些生物系统的成本也已经很低, 可以应用到商务系统中。比如, 国外一些金融机构会在它们的分支机构的安全存款入口处安装生物通道装置。该装置通过使用和个人身份证号相对应的手印识别系统来确认顾客的身份, 验证符合后, 顾客可以进入安全存款机旁并通过传统的钥匙打开存款机, 而不需要专门的管理人员在场, 这样能够节约人手。当然生物系统也存在其缺陷。这种生物特征可能被模仿和复制。

上面提及的这些物理锁的控制方式都可以被“顺带”的方式绕过。这种方式是指一位经过授权通过的人在通过时没有及时锁门而让另一个人尾随进入房间。在电子通道证章和生物锁中, “顺带”绕过了个人的审计轨迹, 而这些审计轨迹在正常方式进入时都会有记录。

2. 安全警卫

对于一个组织的所有安全程序来说, 安全警卫是一项非常重要的环节。虽然警卫并不是警察, 但是他们对于组织工作场所内发生的偷盗、破坏和其他的非法或未经授权的行为构成了威慑。而且他们还可以协助减少“顺带”进入数据中心这样情况的发生。此外由警卫部门所提供的突发事件的情况报告构成了犯罪起诉和职员不当行为的重要证据。如果组织雇用外部安全警卫来担任组织的安全警卫工作, 那么必须签订合同, 以便明确安全警卫公司应该承担的任务, 这样的合同一般应包括以下主要条款:

(1) 服务期限和服务费用。

(2) 安全警卫公司应该提供全部警卫人员的背景资料。

(3) 提供警卫人员的训练和相关技能证明, 包括良好的观察和写作能力。对于安全警卫来说, 对细节的观察能力和写作能力非常重要, 因为他们经常需要完成日常工作的日志, 提交工作报告。单独的事件报告或许并不重要, 但完整而精确的事件记录将对重大事件的查处有很大的帮助。

(4) 安全警卫公司的职责和由于安全警卫过失所造成的损失的赔偿。比如, 合同应该约定, 安全警卫公司必须购买一定数额的财产保险, 并且将雇用组织作为保险收益人, 保险公司要提供相关的保险证明。

(5) 终止合同的约定, 包括解除合同关系时, 提前若干天以书面形式告知对方等。

(6) 安全警卫公司和雇用组织的总经理或其他指定人员的签名。

如果安全警卫本身是本组织的雇员, 那么安全警卫应该遵循最低的外部警卫的安全标准。

3. 视频监控

使用监控系统是一种辅助的安全控制手段, 它对于未经授权的行为起到威慑的作用, 并且能够提供犯罪起诉和职员的不当行为的重要证据。监控摄像机一般要安装在房间的关键地点, 以便能提供监控场所或设备的全景录像。视频系统中必须记录对应的日期和时刻, 视频图像的显示器要安装在安全警卫室里, 对于每个摄像机最好有对应的显示器, 如果不能配置一一对应的显示器, 也可以设计成显示器周期性地在不同监视器之间进行切换的形式 (如每隔30秒切换一次) 。同时, 在安全警卫的工作手册中要包括相关的安全程序, 以确保录像带在用完之前能及时更换, 对更换下来的录像带必须在安全的场所存放一定的时间。对于比较新型的数字监控系统可以将图像数据存储在硬盘上, 但要及时备份到其他存储介质中。在某些更加先进的系统中, 图像数据能够自动传输到远程存储设备上, 实现适时数据记录, 这样就不需要每天进行数据备份了。

4. 定期备份

在信息系统的操作程序中应该规定及时地定期 (按日、周、月) 备份数据、应用程序和系统软件, 同时要将所备份的存储介质 (如磁盘、光盘等) 保存在安全的地方。通常情况下, 对于数据要每天备份, 而对于应用程序和系统软件则可以每周或每月进行一次备份, 因为应用软件和系统软件一般不会发生重大变化。整个系统的备份频率要取决于信息系统读写和修改的数量和种类。当系统的操作参数和安全控制参数发生重大变化的时候, 要对全部系统进行备份工作。对于已经备份的资料要妥善保管和维护, 为了证明这些备份资料确实得到了妥善的保管和维护, 内部审计师还应该亲自到存放地点查看, 以评价存放场所安全控制的可靠性。

5. 紧急电源或不间断电源

每个信息处理的场所都必须配备紧急电源和不间断电源 (UPS) 系统, 以防止在出现意外断电情况下信息系统能够正常运行。紧急电源包括发电机和一些必要的装置, 在紧急情况下向信息系统的关键区域提供必要的电力资源, 当遇到意外停电时, 紧急电源系统自动启动。而不间断电源是在意外断电的时候, 由不间断电源 (UPS) 系统向电脑设备供电, 对信息系统起到缓冲的作用, 直到紧急电源系统启动为止。不间断电源 (UPS) 系统包括一系列蓄电池和相应硬件支持设备。

6. 业务恢复计划

业务恢复计划 (BRP) 是组织为了应对突发事件而设计的一组程序。一个业务恢复计划应该简洁、精练和易于理解, 但至少应该包括以下主要内容:

(1) 组织中关键人物的联系方式, 包括联系电话 (住宅、手机、单位) 和家庭住址。

(2) 对组织中的各工作区域根据重要性和风险性进行排序。高风险的流程放在首要地位, 在灾难发生时优先保证他们的正常工作, 数据处理区域通常都排在最前列, 因为其他部门要依赖于数据处理区的资源。

(3) 当灾难摧毁了主要指挥场所时, 要有后备的指挥场所并保证组织的关键人物能够及时抵达该场所。

(4) 在业务恢复计划 (BRP) 中要简述组织不同区域在灾难发生时要采取的行动, 同时要包括每个区域的图纸和介绍。

(5) 制订好业务恢复计划 (BRP) 后, 要对经理和各区域的具体负责人进行相关培训并进行模拟测试。

(6) 根据环境的变化不断地修订业务恢复计划 (BRP) 。

三、逻辑安全控制

保护信息系统的安全仅靠物理控制是不够的, 系统内部的逻辑安全控制的设计和规划更加重要。对于信息系统来说, 无论是操作系统还是数据管理系统或单纯的应用程序, 项目设计小组在设计逻辑安全控制之前, 都必须先了解信息系统可能面临的重大风险, 因为不同程度的风险直接影响设计的逻辑安全控制的类型、数量和控制的相对力度。

1. 逻辑安全设计

项目设计小组应该由组织中所有重要部门的精英组成, 因为他们能够识别其所在领域的重大业务风险。同时设计小组还应该尽可能参照内部审计师或外部审计师的风险评估文件, 因为他们常把这些风险评估文件作为审计程序的标准, 并且审计师可以提供设计小组可能没有考虑到的风险。比如, 设计小组经常认为系统安全管理员可以不受限制地在信息系统中执行操作, 而审计师则认为系统安全管理员的这种行为可能引起风险。这样, 设计小组就应该在设计过程中考虑以下措施, 以控制系统安全管理员的行为:

(1) 在设计系统程序时要求存在第二个安全管理员来确认所有用户的账号和系统登录权限的添加、修改和删除、系统操作和安全参数有他参与才可以更改。这样能够防止唯一的系统安全管理员执行非授权行为, 但要保证在发生紧急情况时, 两个系统安全管理员能同时在场。

(2) 在设计系统程序时应该记录全部与系统安全相关的潜在情况, 最好由系统安全管理员的部门负责人实施定期或不定期的检查异常或非授权行为日志。所记录的情况包括用户账号及其登录权限的添加、修改、删除、软件升级、不成功的登录尝试以及任何可能影响系统安全的行为, 记录这些情况能够为审计师提供系统安全管理员、其他用户和黑客入侵系统的审计轨迹。

2. 用户账户和密码

在系统的程序编制并安装完成后, 系统安全管理人员要初始化执行程序, 以首次激活该程序。系统应该编制程序来确认用户账号和原始密码并在系统文件中做具体说明。系统的用户账号应该编制一定的程序, 以便让系统管理员具有系统安全管理权限, 这样才可以进入定制化操作和系统参数并能够为其他的系统用户创建用户账号。但是当系统安全管理员输入密码时, 密码的字符不能出现在终端的显示器上, 防止泄密, 这样的控制叫做密码屏蔽。常见的定制化系统层面的安全参数有以下几种:

(1) 最小密码长度。信息系统应该拒绝任何小于参数设置的字符数密码, 一般规定密码长度不得少于8个字符, 并且由字母和数字共同组成。如果是高风险区域则要设置更长的密码。

(2) 密码有效期。对于一般的系统而言, 密码的有效期90天即可, 高风险系统则要求45天。当达到密码有效期时, 系统应该提示用户输入旧的密码同时连续两次输入新的密码。还要注意的是, 密码有效期并不是越短越好, 频繁地更换密码, 会使密码失效。

(3) 登录次数限制。为了防止非法登录系统, 可以对用户账号设置连续不成功登录次数限制。当连续登录系统达到设定的次数时, 系统将取消用户的账号, 取消账号意味着该用户的账号在系统安全管理员重新设置账号为激活状态之前是不可用的。

(4) 每天登录时间和每周登录日期限制。为了防止用户在非营业时间利用设备的钥匙等物理登录权限而非授权进入系统, 应该设置程序以拒绝在营业时间之外登录系统。

(5) 退出登录之前所允许的最长非活动时间限制。如果用户的账号在系统参数设置的范围内处于非工作状态的话, 系统应该自动保存并关闭正在活动中的文件, 终止应用程序, 迫使用户退出系统。这样的控制可以减少用户在离开或忘记退出登录时非授权用户的进入风险。合适的非活动时间可以设置为10分钟。

3. 远程登录控制

随着信息技术的发展, 人们越来越多地应用远程登录来提高工作的效率, 同时也使工作的完成变得更加及时。但是, 远程登录也增加了组织内部网络系统的风险, 如非授权的登录、病毒的侵入, 还有其他操作层面的挑战。为了减少这些风险, 需要利用远程登录控制技术。常用的远程登录控制有自动回拨、安全套接层 (SSL) 会话、多重验证等。

(1) 自动回拨是指远程用户利用计算机的调制解调器拨通专线电话来登录远程网络的一种控制。该计算机提供了充分的信息以验证系统能够自动终止原始拨号, 并且为远程计算机自动拨通数据库中的号码。这一控制可以防止非授权用户企图登录组织内部网络系统, 因为即使用于验证身份的计算机能拨通预授权的电话号码, 远程用户还是需要用户名和登录密码。

(2) 安全套接层 (SSL) 是为网络服务器与远程计算机间提供网络会话加密的一种协议。一般在端口是443的网络服务器中运行, 用公共密钥来建立彼此信任的链接。如果建立了链接, 所有远程计算机与网络服务器之间的数据交换就会被同步加密。加密的长度取决于同步密钥的长度, 它由远程计算机的浏览器和网络服务器来支持。

(3) 多重验证是指用户在登录计算机系统之前, 实施两个或两个以上的控制。通常有双因素验证和三因素验证。双因素验证通常用于远程用户, 它要求用户首先要鉴别挑战/响应服务器, 然后用网络用户名和密码在网络服务器中验证身份, 在验证过程中, 用户必须输入由令牌中得到的数字, 为了得到令牌, 用户要先输入一个密码 (PIN) 。三因素身份验证要求用户进行双因素验证后, 还要进行自己的生物特征 (如手指、视网膜、声音等) 验证。

4. 系统安全管理

系统安全管理是保护计算机系统不受非授权登录和有意或无意的篡改或卸载的过程。系统安全管理员所执行的与安全有关的职能有:创建用户账号, 分配系统的登录权限, 设置系统安全管理参数, 监控系统, 防止和检查潜在的非授权登录。内部审计师要协助组织对管理层进行培训, 使他们能够理解所有系统的登录权限的原因, 这一过程还包括评估系统安全管理员本身的能力。系统安全管理员还必须执行另一个重要程序, 就是当组织中出现员工跳槽或解聘员工时, 要立刻删除他们的用户账号。这就要求人力资源部门能将相关信息及时传递给系统安全管理部门。

摘要：随着信息技术的飞速发展, 计算机在生产和生活中得到了普遍和广泛的应用, 计算机系统在生产和生活中起着非常关键的作用, 因此, 对这些系统和存储于其中的信息的保护就成为一个战略性的要求。要保证信息系统的安全, 保证信息系统中所有设备的物理安全和存储于信息系统中的信息的逻辑安全至关重要。本文通过对信息系统中硬件的物理安全和信息的逻辑安全的分析, 为信息系统的审计提供一种基本的方法。

关键词：信息系统,物理安全控制,逻辑安全控制

参考文献

[1][美]詹姆斯.A.霍尔.信息系统审计与鉴证[M].李丹, 译.北京:中信出版社, 2003.

[2]罗伯特.莫勒尔.布林克现代内部审计学[M].第6版.李海风, 译.北京:中国时代经济出版社, 2006.

[3][美]杰克.坎普林 (Jack J Champlain) .审计信息系统[M].第2版.张金城, 译.北京:清华大学出版社, 2004.

安全仪表系统的安全生命周期 第10篇

安全仪表系统(SIS)是由国际电工委员会(IEC)标准IEC61508及IEC61511定义的独立于DCS/PLC的专门用于工业过程的安全系统,其对装置可能发生的危险或不采取措施将继续恶化的状态进行及时地响应和保护,使生产装置按照规定的条件或程序退出运行,从而使危险降低到最低程度,以保证人员、设备的安全和避免工厂周边环境的污染。安全仪表系统主要由检测部分(传感器、变送器)、逻辑运算部分、执行动作部分(阀门、泵、电机)等三部分组成。一个安全仪表系统从开始设计到最终停用要经过许多阶段,在安全仪表系统的设计和执行过程中需要考虑其整个生命周期。

2 安全仪表系统的安全生命周期模型

安全仪表系统的生命周期(SLC)模型对安全仪表系统项目的设计和执行有非常重要的指导意义。IEC61508和IEC61511定义的安全仪表系统的生命周期模型与ISA S84.01定义的安全仪表系统的生命周期模型有相似之处,其自始至终大致可以分为工艺设计、危险学习及评估、安全功能分配、系统设计、系统集成、现场安装、调试和验证、系统投运及维护、系统升级或更新换代等阶段[1]。图1给出了基于ISA S84.01的安全仪表系统的生命周期模型,它是最早的安全仪表系统的生命周期模型,现已逐渐被IEC61511安全生命周期模型所取代,但其对安全仪表系统项目的执行仍具有重要的指导意义。

2.1 工艺设计中应注意的问题

安全仪表系统的建立是为了保证人员、设备的安全或避免工厂周边环境的污染。然而其只能降低风险发生的概率,或者减轻风险发生后果的严重性,并不能完全抑制风险的发生。为降低生产过程中风险发生的概率,应保证工艺设计的固有安全性,即在工艺设计中尽可能地采用低压、低容量的设计方案。

2.2 工艺过程的危险学习、分析及评估

危险学习主要分为六个阶段:

(1)第一阶段即概念危险分析。

主要是根据工艺设计,学习和发现会导致风险发生的原料及操作,分析风险发生的形式,如爆炸、毒气泄漏污染环境等等,收集先前生产过程中危险发生的经验,但并不涉及重要的自动化工程设计。

(2)第二阶段又称为初步工艺风险分析(PHA,Process Hazard Analysis)。

在这一阶段,依据工艺流程及第一阶段的学习结果,通过依次提出典型风险然后分析引起风险原因的方法,以表格或者矩阵的方式记录风险以及引起危险的事件的顺序(SOE,Sequence Of Event),并注明危险发生的频率(frequency)及后果(consequence)。根据可以接受的危险频率及后果,利用故障树分析(Fault Tree Analysis)等方法估计出风险减少因子(RRF),并说明所采用的包括机械设施、电气设施及仪表设施在内的所有保护措施。

(3)第三阶段即工厂的危险与可操作性分析阶段(HAZOP)。

HAZOP是以系统工程为基础的一种可用于定性分析或定量评价系统危险性的方法,用于解决危险识别与安全操作两方面的问题,探明生产装置和工艺过程中的危险及其原因,寻求必要对策。通过从工艺流程、状态及参数、操作顺序、安全措施等方面着手,分析生产运行过程中工艺状态参数的变动,操作控制中可能出现的偏差,以及这些变动与偏差对系统的影响及可能导致的后果,找出出现变动和偏差的原因,明确装置或系统及生产过程中存在的主要危险、危害因素,找出装置在工艺设计、设备运行、操作以及安全措施等方面存在的不足,并针对变动与偏差的后果提出应采取的措施,为装置的安全运行与安全隐患整改提供指导。

(4)第四、第五和第六阶段分别在SIS硬件安装完成后,SIS现场软件调试前和SIS运行一段时间后进行。第四阶段学习主要是确保现场设备安装符合设计要求,并且安全仪表系统的设计涵盖了所有PHA及HAZOP中确定的危险。第五阶段的学习则是为了确保安全仪表系统全面地进行操作测试和验证,并要求第三方对安全仪表系统的设计和执行给出合格的功能安全评估(FSA)。第六阶段的学习则主要是为验证安全仪表系统的性能指标可以满足期望风险减小(desired risk reduction)的要求。

图2给出了危险学习、风险管理列表和安全系统之间的关系,其中风险管理列表中的风险及初始频率通过危险学习的前三阶段得到,通过可以接受的风险频率确定风险减少因子,并编写安全需求说明书,设计SIS的和非SIS的降低风险的方法和动作,最终得到可以接受的风险频率。在项目执行的过程中通过验证(IQ,OQ,PQ)来确保安全仪表系统可以实现期望的风险减小目标,风险管理列表的维护和升级贯穿工厂安全仪表系统的整个生命周期。

2.3 安全功能的分配

工艺过程风险评估之后,应当针对计划采用的保护层分配风险减少任务。安全功能的分配涵盖了基于ISA S84.01的安全仪表系统的生命周期模型的第三、第四及第五步。如果非安全仪表系统保护层可以将风险发生的频率降低到可以接受的范围,则没有必要采用价格昂贵的安全仪表系统。图3给出了安全仪表系统在减少风险的保护层中的位置。如非安全仪表系统不能将风险发生的频率降到可以接受的范围,则一定要采用安全仪表系统。在根据工艺定义完安全仪表系统中所有安全仪表功能(SIF)后,在这一阶段最重要的就是根据IEC61511定义的相关方法定义安全仪表功能的安全完整性等级和子系统结构,并进行可靠性分析。

2.3.1 安全完整性等级(SIL)的定义方法

安全完整性等级是指在一定时间内、一定条件下,安全相关系统执行其所规定的安全功能的可能性[2,3]。安全完整性等级与风险减少因子和平均失效概率之间的关系如表1所示。

IEC61151-3附件中(B、C、D、E、F)共定义了四种常用的定义安全完整性等级的方法:半量化方法(附件B)、安全保护层矩阵法(附件C)、风险图法(附件D,E)和保护层分析法(LOPA,附件F)[3,4]。

(1)半量化方法(Semi quantitative method)。

它是根据所有保护层的总风险减少因子(Total RRF)及其它非SIS保护层的风险减少因子,推算出SIS的风险减少因子,SIS的平均失效概率(PFDAVG)即为其风险减少因子的倒数,再根据表1所示RRF和PFDAVG与安全完整性等级之间的关系,确定SIS的SIL。图4给出了根据半量化方法计算SIS安全完整性等级的过程。图5所示的事件树(Event Tree)清晰记录了一个防止有毒气体泄漏的系统各保护层的平均失效概率及安全完整性等级,在用半量化方法确定SIS的SIL时,事件树为SIS的SIL的最终确定提供了重要依据。但是,在很多场合下很难精确地确定非安全仪表系统的风险减少因子(或安全完整性等级),因而无法精确得到SIS的安全完整性等级,这就为使用其它方法来确定SIS的SIL提供了重要的前提。

(2)基于IEC61151-3附件C的安全保护层矩阵法(Safety Layer Matrix Diagram)。

首先将危险事件的后果分为轻微、严重和重大三类,将危险事件的概率分为低、中、高三类,将独立保护层的数量定义为1、2、3等三层(SIS为其中的一层)。其中,要求针对危险学习中的危险所设计的每一保护层的风险减少因子至少在10以上,保护层之间没有公共的失效原因(Common Cause)且保护层的功能可以进行独立验证(Validation)[5]。将保护层的数量作为纵坐标,将危险事件的后果及概率作为双横坐标就得到了图6所示的安全风险矩阵,其中每一个矩阵元素代表一个安全完整性水平,这个安全完整性水平代表SIS使一个具有相应后果和可能性的事件的风险降低到允许范围所必需的安全完整性等级。安全保护层矩阵法在使用中应根据工厂实际情况,确定危险的后果、概率及独立保护层的层数后,再根据图6所示的矩阵图定出SIS的安全完整性等级。

(3)基于IEC61151-3附件D的校准风险图法(Calibrated risk graph)。

SIS的安全完整性等级(SIL)蕴涵在风险图的结构中。校准风险图使用4个参数来确定SIS的SIL:后果C,处于危险区域的时间F,避开危险的概率P和要求频率W。图7为校准风险图法的示意图,在使用过程中,从评估起点开始,根据工艺及危险学习结果,参照图7中后果的分类参数、处于危险区域的时间的分类参数、避开危险的概率的分类参数[6],最终找到要求频率矩阵中对应的SIS的安全完整性等级。

(4)基于IEC61151-3附件E的保护层分析法(LOPA,Layers Of Protection Analysis)。

它是严格依据工厂的危险与可操作性分析(HAZOP)结果的一种安全完整性等级评定方法[5]。该方法要求设计人员制作一张表格,分12栏分别列出危险事件的名称及后果描述、危险后果的严重性及可容忍的风险概率、导致风险发生的原因(SOE)、导致危险发生的原因的概率、减小风险发生的工艺设计或装置及其对应的PFD、减小风险发生概率的BPCS控制回路及其对应的PFD、减小风险发生的各类报警和操作员反应及其对应的PFD、减轻风险后果的缓解保护层及其对应的PFD、其它完全独立的保护层(IPL)及其对应的PFD、导致风险发生的初始原因的发生频率与各保护层的PFD的乘积、SIF的PFD以及导致风险发生的初始原因发生的最终频率。其中,每一个SIF的PFD都是根据可容忍的风险频率和导致风险的原因的初始频率与其它保护层的PFD的乘积的商来确定的。目前,LOPA越来越多地被美国及其它欧洲国家的大型工程公司所采用。

注:CA——轻微伤害;CB——严重伤害:致命率小于0.1;CC——少数致命;CD——多人致命;FA——处于受风险影响的区域的时间少于总时间的10%;FB——经常到持续处于受意外影响的区域;PA——操作人员有足够的反应撤离时间;PB——操作人员无足够的反应撤离时间;W1——小于0.03次每年;W2——介于0.03次和0.3次之间每年;W3——介于0.3次和3次之间每年;-——没有安全需求;a——没有特别的安全需求;b——单独E/E/PES达不到预期效果;1,2,3,4——需要的安全完整性等级

2.3.2 子系统结构及失效裕度的确定

当安全仪表系统的安全仪表功能和安全完整性等级确定以后,可以采用不同冗余结构和失效裕度(FT,Fault Tolerance)的子系统结构来实现SIF期望的安全完整性等级。在确定子系统冗余结构的过程中要折中考虑安全性(PFDAVG)与可用性(错误停车率),因为单纯追求安全性致使错误停车率太高会降低工厂的生产效益。在实际过程中常见的冗余结构有1oo1(FT=0),1oo2(FT=1),2oo3(FT=1),1oo2D(FT=1)和2oo4D(FT=2)。在通常情况下,安全失效分数(SFF,Safe failure fraction)越大,使相关子系统达到期望SIL的失效裕度(FT)越小。表2给出了一个逻辑控制器子系统的SIL与SFF及FT之间的关系。同理,对于检测部分和执行器部分,如果设备满足使用经验总结,设备密码保护,SIL4要求以下且设备只能设置与过程相关的参数,那么同样SIL要求的情况下,设备的失效裕度(FT)可以减少1。通常在SIS的设计过程中,设备冗余结构采用最多的是2oo3(FT=1)和1oo2D(FT=1)。

2.3.3 安全仪表系统的可靠性分析

在安全仪表系统的安全仪表功能设计完成、安全仪表等级确定且各个SIF的子系统结构确定以后,应当对SIS(所有SIF)进行可靠性分析以确保其满足设计的要求。安全仪表系统的可靠性分析包括对错误停车率(spurious trips)和平均失效概率(PFDAVG)进行计算,如果每一个安全仪表功能的错误停车率和平均失效概率都好于或等于设计的期望值,才能根据之前的设计编写安全需求说明书(SRS,Safety Requirement Specification)。安全仪表功能的子系统结构可靠性功能结构如图8所示,其分析计算公式如表3所示。

注:MTBFsp——两次错误停车之间的时间;MTTF——两次失效之间的时间;λs——显性失效导致的错误停车率;λd——隐性失效的危险失效率;DC——诊断覆盖率;λDD——通过自诊断方式发现的危险失效率;λDU——通过手动测试方式发现的危险失效率;λD——可检测的危险失效率

一个完整的SIF的PFDAVG应当为检测部分(Sensor)、逻辑运算部分(Logic Solver)和执行动作部分(Actuator)三部分的PFDAVG之和,同样一个完整的SIF的错误停车率(Spurious trip rate)也应当为检测部分、逻辑运算部和执行动作部分三部分的错误停车率之和。

注:MTTR——平均修复时间;Ti——连续两次手动测试之间的时间

2.4 安全仪表系统的设计

安全功能分配好之后,安全仪表系统项目的执行会由工艺部门交接给自动化部门,由工程公司或设计院的自动化部门进行安全仪表系统的设计。安全仪表系统的设计一般分为概念设计、初步设计及细节设计三个阶段。工程公司或设计院的自动化部门在设计阶段需要编写安全需求说明书、仪表需求说明书及逻辑运算器的需求说明书,绘制每一个SIF的P&ID,制作I/O及仪表清单,招标并选择承包商,然后由承包商完成安全仪表系统的集成、安装、调试。

2.4.1 安全需求说明书(SRS)的编写

安全需求说明书(SRS,Safety Requirement Specification)是一份由工程公司或设计院编写的详细定义工厂安全仪表系统的功能和要求的书面文档。SRS根据安全功能分配阶段定义的SIF及相应的SIL等文档,针对每一个SIF,详细定义其工艺的安全状态、导致停车的原因(SOE)、停车逻辑及停车时执行器的动作(得电或失电状态),同时要定义要求该SIF实现的风险减少和SIL以及对错误停车率的限制等等。此外,还要求在P&ID上详细体现出每一个SIF,并绘制停车的因果矩阵图及逻辑图。表4、图9分别给出了一个停车因果矩阵表及逻辑图典型示例。

注意:停车设备只有在操作员确认后才能重启

2.4.2 安全仪表系统概念设计、初步设计及细节设计

国外大型工程公司一般将自动化项目的设计分为概念设计(Concept Design)、初步设计(Preliminary Design)和细节设计(Detail Design)三步。安全仪表系统SIS的概念设计只需较为准确地给出系统结构图,这一阶段的I/O、仪表设备清单只能作为初步设计的参考,具有很大的不确定性。初步设计则需要准确地绘制出系统结构图,较精确地绘制每一个SIF的P&ID,此外还需要较精确地编写仪表需求说明书(包括SIL及相关的评估报告和认证证书、使用经验总结、设备密码保护、信号输出、过程连接、供电方式、测量介质、抗压能力及防爆要求等等)及逻辑运算器Logic Solver的需求说明书(包括SIL及相关的评估报告和认证证书、系统软件、应用软件、Logic Solver的运算速度、Logic Solver的负载能力、Logic Solver的安装环境、LVL的编程方式、控制模块的搭建方式、上位机的硬件配置、图形界面的要求、仿真要求、FAT要求等等),并统计I/O、仪表数量,列出I/O及仪表清单,初步设计的准确度应当达到80%以上。细节设计则要求精确给出系统结构图、P&ID、仪表需求说明书及逻辑运算器的需求说明书、I/O清单、仪表清单,细节设计的准确度应当达到100%。每一阶段的设计完成后,工程公司都会进行招标并评估承包商的方案及报价,并在细节设计完成之后的招标中依据承包商的方案、报价及业主的倾向确定最终的承包商。

2.5 安全仪表系统的集成、安装、调试及验证

当承包商选定之后,由承包商最终完成安全仪表系统(逻辑运算器和仪表)的集成、安装、调试。当逻辑运算器的承包商(HIMA等等)集成完毕并由工程公司和业主在FAT报告上签字后,逻辑运算器及仪表的承包商(E+H,EMERSON等等)应当在现场进行(指导)安装,在工程公司或第三方的监督下完成IQ并提供相应的IQ报告。此后,由逻辑运算器及仪表的承包商共同完成安全仪表系统的调试,在工程公司或第三方的监督下完成OQ并提供相应的OQ报告。最后再在工程公司或第三方的监督下由承包商进行试运行,确保安全仪表系统的安全性及可用性达到了设计的要求后才能交接给业主进行使用。

2.6 安全仪表系统的投运、维护、周期性功能测试、PQ及变更(停运)

当承包商完成与业主的交接后,业主依据承包商提供的操作及维护手册对安全仪表系统进行使用和维护,并周期性地进行功能测试以保证安全仪表系统的安全性。每隔一段时间后,还应当对安全仪表系统的性能进行评估(PQ)。

当业主有新的使用要求时,需从工艺设计开始重新进行以上所有步骤。当使用一定阶段后,系统及仪表老化,PQ不能达到业主与设计的要求时,应当对该安全仪表系统进行升级或废弃处理。

3 小 结

目前安全仪表系统产品的安全性能已日趋提高,很多承包商的产品采用1oo1结构就可以达到SIL3的要求,如恩德斯豪斯自动化设备有限公司Liquiphant M系列音叉(FTL50、FTL51,PFM输出)、Liquiphant S系列音叉(FTL70、FTL71,PFM输出)等产品。但是,单纯靠使用高安全性能产品来提高安全仪表系统的安全性,代价往往会比较昂贵,在国外增加安全仪表系统的SIL的一般费用是一个回路增加一级约增加9×104 US$[7]。如何在保证安全的基础上尽可能少投入,是所有需要使用安全仪表系统的企业所关注的。符合IEC标准的安全生命周期对安全仪表系统项目设计及执行具有极其重要的意义,依据IEC61511和IEC61508定义的方法,按照安全生命周期模型定义的工艺设计、危险学习及评估、安全功能分配、系统设计、系统集成、现场安装、调试和验证、系统投运及维护、系统升级或更新换代等步骤一步一步去规划和执行安全仪表系统项目,才能使安全仪表系统项目的设计和执行达到最优化,以最低的项目成本实现工厂的安全需求。

摘要：阐述了基于ISA S84.01的安全仪表系统的安全生命周期。对安全仪表系统在设计和执行过程中的危险学习、安全完整性等级的评定、子系统结构的选择、可靠性分析等关键技术的主要过程和方法进行了详细的介绍。

关键词：安全仪表系统,安全仪表功能,安全完整性等级,安全生命周期

参考文献

[1]ANSI/ISA-84.01,Application of Safety Instrumented Systemsfor Process Industries,Instrument Society of America[S].

[2]IEC61508,Functional Safety of Electrical/Electronic/Pro-grammable Electronic Safety-Related Systems,InternationalElectro-technical Commission[S].

[3]IEC61511,Functional Safety of Electrical/Electronic/Pro-grammable Electronic Safety-Related Systems,InternationalElectro-technical Commission[S].

[4]MARSZAL E,SCHARPFE.Safety Integrity Level Selection:Systematic Methods Including Layer of Protection Analysis[M].US:ISA,2002:165-177.

[5]STAVRIANIDIS P,KBHIMAVARAPU K.Performance-basedStandards:Safety Instrumented Functions and Safety IntegritLevels[J].Journal of Hazardous Materials,2000,71(1):449-465.

[6]郭海涛,阳宪惠.一种安全仪表系统SIL分配的定量方法[J].化工自动化及仪表,2006,33(2):65-67.

安全系统DIY 第11篇

在Windows XP Professional中，为了增强易用性，默认情况下微软关闭或完全禁止了很多安全特性。这等于在你的系统中开了很多门，甚至不用借助专业的工具就可以实现入侵。以用户权限为例，在安装过程中，Windows会自动创建一个不受任何保护的管理员帐户，并将进行安装操作的人的帐户添加到管理员组。这也就意味着，任何使用这种方式登录的人都可以获得所有的管理权限。

这种特性也会被以同样方式运行的病毒借用。但只要你了解一些常识，并使用正确的工具，你就可以把原本容易被入侵的系统放入一个安全的数字保险箱。

检查隐藏用户

默认情况下，Windows XP会在安装过程中创建四个预先设置好的帐户：Administrator、Guest、Help Assistant以及Support，不过很多人并没有注意到这一点，因为“控制面板”中的“用户帐户”选项只显示其中两类帐户：用户自己的帐户还有Guest。如果想要看到完整的默认帐户以及用户帐户列表，你需要运行“管理工具”下的“计算机管理”控制台单元，然后在“本地用户和组”节点下查看。

要解决这个问题，只要取消用户帐户的所有管理特权，并按照下面介绍的操作给所有具有管理特权的帐户设置一个高强度、安全的密码——这是你应该优先关注的。

启动系统后最好不要显示欢迎屏幕，为了确保只有被授权的人才可以访问系统，最好以传统的Windows登录界面方式进入系统，这种方式从Windows NT时代就开始使用了。

控制访问方式

要更改“欢迎屏幕”选项，并为不受保护的Administrator帐户添加密码。请在欢迎屏幕上按下Ctrl+Alt+Del组合键两次，打开传统Windows登录对话框，在用户名一栏中输入“Administrator”。保持密码为空，如果可以登录，就说明你的Administrator帐户并没有受到保护。

打开“控制面板”|“用户帐户”|“更改用户登录或注销的方式”，取消对“使用欢迎屏幕”选项的选择，并点击“应用选项”按钮确认更改。

在“用户帐户”窗口中点击“更改帐户”，然后点击“Administrator”图标。点击“创建密码”，然后输入你的密码。在随后出现的对话框中回答有关是否要限制他人对你的文件和文件夹进行访问的问题，选择“是的，仅供我使用”，这样就可以阻止具有有限权限的用户访问由管理员创建的文件了。你还可以通过“计算机管理”控制单元重设密码(如图1),方法会在下面详细介绍。

安全的密码并不单纯指密码的长度必须很长，而是指密码必须很难被猜中。这样的密码必须至少包含15位字符，同时还要包含大小写字母、数字，以及至少一个特殊字符，例如@、#或者$等。密码越复杂越好，不过你要确保自己能记住这样的密码，通常使用句子或者短语作为密码更好记一点。

自动保证密码安全

如果你更改了自己帐户的密码，请确保新密码和老密码有较大不同。当创建和保存新密码的时候，有些工具，例如Keepass（http://keepass.sourceforge.net）相当有用。该软件内置的密码生成器可以根据你的需要创建安全的密码。你可以选择要生成的密码中需要包含哪些字符以及密码的长度，你还可以借助鼠标指针的移动以及键盘输入来生成随机密码。Keepass也可以用来管理你的密码。

别依赖管理特权

一旦将Administrator帐户纳入保护，你就可以开始配置其他用户帐户了。要配置其他用户帐户，请使用Administrator帐户登录，然后打开“本地用户和组”管理单元；在“组”节点下，用右键单击“Administrators”，然后选择“属性”；在“成员”框中选中你想要从该组中删除的帐户，然后点击“删除”按钮确认删除。

如果想要向该组中添加帐户，请在该组的“属性”对话框中重复与上文所述类似的操作，不过在用户的“属性”对话框中点击“添加”按钮。

这样做的不便之处在于被从Administrators组删除的用户只拥有更少的权限，但在进行一些日常操作，例如安装新软件的时候往往需要管理员帐户的协助。要在这种情况下协助用户，你可以通过按下Windows徽标键+L键打开登录界面，并使用管理员帐户登录。

正确使用特权

如果你正在使用非管理员帐户，那么你就必须忍受不少限制。大致来说，如果一个应用程序深入系统的操作越多，那么该程序就需要越高的权限。

甚至Windows XP自带的一些组件也需要管理员权限，例如磁盘碎片整理程序、数据备份程序，还有一些控制面板选项，例如firewall.cpl、main.cpl以及sysdm.cpl等。

下面将要介绍的Runas命令在这里就可以用到。不过对每个应用程序都分别用鼠标右键点击，然后输入密码显得有些麻烦（如图2），尤其是在日常操作经常需要用到的时候。这时候直接修改应用程序的快捷方式就简单多了。

管理模式下运行的应用程序

如果你希望让一个程序运行在管理模式下（而你并没有使用管理员帐户登录），请用鼠标右键点击该程序快捷方式的图标，选择“属性”，在该快捷方式运行的命令前添加“runas /user:[username]”，这样整行命令就变成了“runas /user:[username] “C:[program filename.exe]””。

在这个例子中，“[username]”代表管理员帐户的用户名。当你下一次“通过”该快捷方式启动程序的时候，系统会自动打开一个命令提示行窗口，你需要在这里输入该管理员帐户的密码。在你输入密码的时候，输入的内容并不会显示在命令行窗口中，这是正常的，Windows并不会显示你输入的内容，而且光标的位置也不会随着你的输入移动，不用担心。

联合使用runas命令以及/savecred参数可以实现更方便的操作。该参数让Windows记住你输入的管理员帐户密码。这样完整的命令就变成了：

runas /user:[username] /savecred “C:[programfilename.exe]”

通过这种方式记忆的密码可以通过“用户帐户”|“管理我的网络密码”选项进行管理，而且可以随时从中将密码删除。

没什么用的安全中心

创建一个安全的系统也包含可通过“控制面板”打开的Windows XP安全中心（如图3、4）。通过该功能可以管理的设置包括Windows Update、Windows防火墙，还有病毒扫描程序。因为“安全更新”功能是系统的一个服务，而非一个应用程序，因此它是可以随意操作的。例如，病毒可以欺骗该服务，说防病毒软件目前的病毒定义是最新的，Troj/Bdoor-HK以及W32.Spybot.NLX do这类病毒甚至可以干脆关闭该功能。你不能因为安全中心服务没有报告任何问题就认为你的系统是安全的。而且安全中心服务本身也缺乏有效的防病毒软件和反间谍软件，因此你仍需要自己安装相应的软件。

简单的七个步骤创建安全的Windows XP系统

通过创建一个新的帐户，将该帐户的特权限制到最小，并且禁止该帐户对系统进行任何修改——只需要七个步骤就可以全面提高你系统的安全性。要做到这一点，你可以使用虚拟机（例如运行Virtual PC）或者配置一台安全的“公用”系统。

第一步

要配置一个公用的XP系统，你需要安装免费的Microsoft Shared Computer Toolkit（MSCT），该软件可以从www.microsoft.com/windowsxp/sharedaccess下载；还需要安装User Profile Hive Cleanup（下载地址http://tinyurl.com/5ewty）。同时为了使用Windows磁盘保护（Windows Disk Protection，WDP）功能，你还必须有至少1GB的可用硬盘空间，另外你可能还需要有一个分区管理工具，例如Symantec Norton Partition Magic，用这个工具来更改Windows分区的大小。

第二步

使用管理员帐户登录，并运行uphclean-Setup.msi启动MSCT的安装程序。点击“Next”按钮，接受C:Program FilesMicrosoft Shared Computer Toolkit为默认的安装位置。当安装完成后，你可以打开Getting Started向导。

第三步

在向导的第二步设置全局限制，例如禁止在C盘根目录下创建文件或文件夹。对于公用计算机，最好能启用这里显示的所有选项。

第四步

在向导的第三步，点击“Open User Accounts”设置界面，创建一个受限制的用户帐户。然后点击第四步中显示的“Log off now”注销，并使用新建的帐户登录以便对该帐户进行配置。

第五步

配置好之后，再次使用管理员帐户登录，在向导的第五步点击“Open UserRestrictions”。在“Select a Profile”选项下选择新建的帐户，选中“Lock this Profile”选项。在“Optional Restrictions”选项下还有很多额外的限制，为这个共享帐户启用所有建议的限制，然后点击“OK”按钮应用。

第六步

在向导的第六步点击“Log off now”按钮注销，并使用新帐户登录，测试所有限制。测试完成后再次注销，使用管理员帐户登录，继续其余的配置。

第七步

点击“Windows Disk Protection”，在“Restart Action”选项下选中“Turn On”选项（如图6）。当你设置好所有选项后，点击“OK”重启动系统。现在其他用户就可以安全地登录到系统中来了。

隐形的危胁1：ADS

NTFS文件系统有一个经常被忽略的“特性”，那就是ADS（Alternate Data Stream，可交换数据流）。简单来说，这是一种高级的文件属性，可以被附加到文件或者目录上，该属性中可以包含一定的数据。举例来说，这些附加的数据流可能会包含一些危险的可执行文件，可能造成安全隐患。

事实上，不管是Windows资源管理器还是“dir”命令都无法显示ADS，这也就使得ADS可能成为恶意代码的藏身之处。ADS和下面将要介绍的所谓的“rootkits”都比较麻烦，目前只有很少的防病毒软件可以检测并清理。

除此之外，附加了ADS的文件在Windows中显示时体积上不会有任何变化，这也就意味着，如果使用操作系统自带的功能，你根本无法判断出哪些文件被附加了ADS。甚至还有更糟的：创建ADS的操作并不会受到NTFS访问控制列表的限制——也就是说，任何用户，不管对一个文件或文件夹有没有访问权限，都可以在该文件（夹）上附加ADS。

追踪和删除ADS

Windows XP，甚至微软的下一代操作系统Vista中都没有提供查看ADS的工具。不过在微软网站上有一个开发中的工具：ntfsext.exe，可以为Windows资源管理器提供对ADS的支持（下载地址http://tinyurl.com/4do6h）。

在下载的自解压文件中，你可以找到strmext.zip这个文件。将该文件中的内容解压缩出来，然后将strmext.dll复制到C:WindowsSystem32，并使用下列命令注册该文件：

regsvr32 StrmExt.dll

这样就可以在Windows资源管理器的“文件属性”对话框中添加一个“Streams”选项卡。

为了让这个选项卡出现在“文件夹属性”以及“根目录属性”对话框中，你还需要对注册表的下述键值进行修改：

键1: Hkey_Classes_RootDirectoryshellexPropertySheetHandlers{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}

键2: Hkey_Classes_RootRootshellexPropertySheet-Handlers{C3ED1 679-814B-4DA9-AB00-1CAC71F5E 337}

免费的ADS扫描工具

使用工具在整个分区中所有文件和文件夹上扫描ADS更加容易一些，声称可以做到这一点的程序包括Streams 1.53（www.sysinternals.com/Utilities/Streams.html）、Lads4.0（www.heysoft.de/Frames/f_sw_la_en.htm）、Crucial ADS 1.0（www.crucialsecurity.com/products），还有ADS Locator（www.safernetworking.org/en/tools/tools_ads.html）。

Streams可以删除不需要的ADS，而Lads（如图7）甚至可以跨越局域网工作。Crucial ADS和ADS Locator都有图形界面。一旦你找到了不需要的ADS，解决的方法也是相当简单的：只要将这些文件移动到FAT分区即可，因为ADS只能存在于NTFS分区上。

或者，你也可以使用“Type”命令将文件的内容写入一个新的文件中，这样可以删除原文件中附加的所有ADS信息：

ren config.sys old.sys

type old.sys > config.sys

del old.sys

隐形的危险2：Rootkit

Windows中的rootkit是另一种危险：rootkit会在系统后台偷偷运行，并将自己运行的进程隐藏起来，让用户无法看到。这些进程可以和注册表项、Windows服务，或者其他文件捆绑起来。如果被未知病毒、间谍软件，或者其他程序滥用，rootkit也会变得相当危险。最近一个影响很大的相关事件就是SONY娱乐公司的某些音频CD为了防止被拷贝，会给用户的计算机中安装rootkit。

因此，最好能安装下面列举的两个非常著名的rootkit检测软件：Rootkit Revealer 1.70（www.sysinternals.com/Utilities/RootkitRevealer.html）以及F-Secure Blacklight（www.f-ecure.com/blacklight），并时常运行。

加密文件系统

Windows XP Professional中自带的一个最重要的安全功能就是加密文件系统（Encrypting File System，EFS），该功能可以用于加密保存在NTFS文件系统分区上的所有文件（如图8）。这个功能非常实用和安全：默认情况下，除了加密文件的人之外，其他任何人都无法解密或者修改文件，而且对于自己加密的文件，使用起来和未加密的文件一样方便。

然而要提醒你注意：使用EFS加密的文件和加密该文件的用户的用户名没有任何关系。因为，当第一次使用该功能的时候，Windows XP会自动创建密钥，这些密钥会被保存在用户自己的配置文件中。

如果没有密钥——比如密钥被无意中删除了，或者你重装了Windows——你就无法解密之前加密的文件了。因此在对系统进行一些较大规模的调整或设置之前，你最好使用Windows自带的备份程序将加密后的文件备份起来（备份的文件依然处于被加密的状态）。或者你也可以使用系统自带的证书导出向导将你的证书和密钥导出保存。要导出密钥，在Internet Explorer的“工具”菜单下点击“Internet选项”，接着打开“内容”选项卡，点击“证书”按钮，打开“个人”选项卡，选中你的证书，然后点击“导出”。

关于使用EFS的详细信息，请参考 www.microsoft.com/technet/prodtechnol/winxppro/reskit/c18621675.mspx .

实际上，在文件夹级别上进行加密更好，因为这样可自动加密此后在该文件夹中新建的文件以及子文件夹。在Windows资源管理器中显示你想要加密的文件所在的文件夹图标，用鼠标右键单击该文件夹，选择“属性”；在随后出现的“属性”对话框中点击“高级”按钮，然后选中“加密内容以便保护数据”选项；在随后出现的“确认属性更改”对话框中，你可以直接接受默认选中的“将更改应用于该文件夹、子文件夹和文件”这个选项。

如果经常需要加密或解密文件/文件夹，你也可以将加密命令放在右键菜单中。要做到这一点，运行“Regedit”打开“注册表编辑器”，定位到“Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”，新建一个名为“EncryptionContextMenu”的DWORD项，将其数值设置为“1”。

进一步的信息

餐饮安全控制系统的构建研究 第12篇

为实现餐前安全控制环节的透明化,增强餐前安全控制环节的跟踪和追溯能力,引导和管制就餐环境,我们于2006年承担了绍兴市科技局社会发展重点科研项目,对餐饮安全控制系统的架构和功能进行了研究和开发。

1 基本框架

1.1 餐饮安全控制系统的构建原则

1.1.1 高效准确地记录和维护餐饮经营者正常接待负荷下基础风险指标评估和安全等级数据,如餐饮经营者的卫生许可审查量化评分和经常性卫生监督量化评分情况;同时可集成食品安全相关信息系统,辅助餐饮安全监管者综合评估风险指标,制定计划和决策,发布预警和控制信息;相关信息系统包括政府农业、质监、工商部门和疾病控制机构食品污染监测、食源性疾病监测等信息系统。

1.1.2 通过在线系统能够维护餐饮经营者当前超常接待负荷状态食品安全信息,完成复杂的安全管理和控制作业,如接待重大社会活动和举办家宴供餐菜肴安全申报审查、现场卫生检查检测和动态风险指标评估。

1.1.3 能够准确提供当前餐饮安全事故数据分析和历史事件、相关知识数据。

1.1.4 即使无任何数据库知识的消费者也能完成查询。

1.1.5 程序模块化,能使系统不断升级和与其他系统无缝对接。

1.2 餐饮安全控制系统是一个在线系统

它能够提供相关信息或帮助用户与数据库对话,以完成多种管理任务。餐饮安全控制系统具有不同的功能模块,用户可以依据其角色和权限获得不同的餐饮安全数据。系统将用户权限分为三个等级:消费者级不需要用户名和密码,允许对餐饮业安全信息提出变更建议和浏览餐饮单位安全历史数据;餐饮经营者级权限的用户允许提交、修改和删除自己维护的餐饮单位安全数据;餐饮安全监管者级用户对餐饮安全数据进行实时监控和最终核实。餐饮安全控制系统的主要模块如图1所示。

1.3 餐饮安全控制系统采用了多层结构

第一层为用户层,实现网上的餐饮食品安全信息上报和反馈;第二层为网络服务层和业务逻辑,接受访问数据、处理第一层提交的信息,并将结果传递到内部网络和数据中间处理层;第三层是业务逻辑层和数据库之间的交互及连接数据的接口层;第四层是数据库管理层,采用MS SQL Server,用于存放数据。

2 系统功能

2.1 餐饮经营者安全等级评定

由于在线系统登记的餐饮经营者的多项风险指标必须符合餐饮安全监管机构的量化分级规定,所以其加工作业和成品菜肴能达到一定的食品安全标准,有效防止了消费者盲目选择不法个体或企业开设的餐饮店就餐,有助于净化餐饮业市场[5,6]。系统还可根据需要,随时修改、调整量化指标,使其更符合不同餐饮业的实际情况[7]。

2.2 餐饮食物安全管理

餐饮安全监管机构能够通过在线系统向餐饮经营者或直接向消费者发布预警信息,控制高风险食品原、辅料或成品菜肴。表1展示了在线系统餐饮食物安全的风险特征描述和分级预警管理。

2.3 菜肴安全问题源头追溯

消费者参加重大活动或举办宴请能够通过在线系统查询菜肴从原料到成品所有流程中产生的食品安全风险评估数据,而且在出现食品安全问题时,餐饮安全监管机构能够通过在线系统对食品安全问题进行溯源,及时分析采购加工环节可能出现的风险因素,采取有效措施控制事态扩大。图2描述了餐饮单位从原料索证验收到整个加工过程选择的安全措施信息数据,通过网络上传到数据终端,从而实现食品安全追溯功能。

2.4 餐饮安全数据档案维护

在线信息系统能够收集包括餐饮经营者餐饮安全历史数据、食品安全相关信息系统监测数据和食品安全事故案例在内的所有可得信息,建立餐饮安全数据档案。当出现餐饮安全问题时,餐饮安全监管机构能够调出餐饮安全数据档案,支持决策。餐饮安全案例能够重复使用和扩展,为相似的餐饮安全问题分析和决策提供支持。通过Internet,餐饮安全监管部门能够将当前餐饮经营者餐饮安全风险评估和安全等级录入数据库,维护餐饮安全数据库,因此,餐饮安全历史数据能够同步更新。由于餐饮安全数据库涉及多方信息,因此要求餐饮经营者、餐饮安全监管机构和环境保护、农业、食品加工流通监管机构能协同作业,以保持数据的同步性和一致性。

3 作用评价

3.1 对消费者满意度的影响

餐饮安全控制系统对消费者满意度产生的影响具有特殊性,餐饮安全控制系统提供的在线环境能提高消费者餐饮安全信息的可得性,即餐饮安全控制系统能使消费者更容易、更深入地了解有关餐饮安全的多种信息,能够更加理性地选择餐饮经营者,更多的考虑对自身潜在的切身利益的满足程度,由此产生的印象式满意度远大于遭遇式满意度[10]。

3.2 对餐饮经营者的影响

对于消费者而言,面对不熟悉的餐饮服务提供者,通过餐饮安全控制系统提供的在线环境,在众多的餐饮服务单位中有选择能够保障餐饮安全提供者的余地,由此产生餐饮经营者如果不能达到消费者要求安全的期望,将面临失去信用的困境,他们会为减轻对消费者满意度的负面影响而采取积极的改进措施[11],促进餐饮行业整体风险度的下降。

3.3 对餐饮安全监管机构的影响

餐饮安全控制系统提供的信息不仅反映了各餐饮经营者正常接待负荷下安全风险度,而且反映了各餐饮经营者当前超常接待负荷状态食品安全风险评估信息,来源于相关信息系统的污染监测和疾病动态信息经过食品安全专家的一系列专业认识、判断活动作出了综合风险评估,代替了不能被普通消费者和餐饮经营者识别的风险分析,依靠多层次、更加透明的详尽信息,向消费者的需求动态产生信息输出,使消费者获得更多的自主权,避免了对风险因子的盲目识别,从而对餐饮安全监管机构产生更强的信任度,同时也为验证政府控制餐饮安全的能力和效力提供了一个途径。

4 结语