㈠ 风险预警系统主要有哪些功能呢
风险预警系统是根据所研究对象的特点,通过收集相关的资料信息,监控风险因素的变动趋势,并评价各种风险状态偏离预警线的强弱程度,向决策层发出预警信号并提前采取预控对策的系统。因此,要构建预警系统必须先构建评价指标体系,并对指标类别加以分析处理;其次,依据预警模型,对评价指标体系进行综合评判;最后,依据评判结果设置预警区间,并采取相应对策
铁路预警系统
编辑 语音
铁路安全现状
近年来,随着我国铁路的发展,原有的以落实安全生产责任制为核心的传统安全管理模式已经不能完全满足现代化铁路安全的需求。加速推进先进科学的安全风险管理模式,加强安全风险预控管理与既有安全管理的有机融合,最大程度地降低安全风险,势在必行。铁路行业在推行安全风险管理工作方面取得了初步成效。2012年原铁道部下发了《关于深化铁路安全风险管理的指导意见》,从2013年起,要实施以安全风险管理为主线的工作思路。中国铁路总公司(以下简称“总公司”)各专业部门、各铁路局相继发布了相关安全风险管理办法;部分铁路局建立了安全风险数据库,通过辨识主要安全风险,进一步明确各项风险的控制措施;还有部分铁路局制订了专业系统安全风险的指导手册、安全风险控制表和岗位风险控制卡等,把安全管理前移,起到了积极的作用。但是,鉴于安全风险管理在铁路行业实行时间尚短,在安全风险管理及控制方面仍然存在一些问题,主要表现在以下方面。
(1)缺乏统一的安全风险管理平台。目前各个铁路局自行建设安全风险管理系统;甚至在一个铁路局内,各专业自行建设安全风险管控系统。从总公司层面上,缺乏一个统一的安全风险管理平台,导致“信息孤岛”产生及处理方式各异,不利于标准化建设。
(2)安全风险管理信息不完整。大量的安全检查信息、安全风险管控信息都保存于各个铁路局或站段,总公司的安全监督管理部门无法实时获取到各类安全风险的管控情况,更无法根据历史数据为管理工作提供决策支持,导致管理成本增加。
(3)安全风险控制方法不够完善。对主要安全风险的辨识、安全性评价、安全风险管控措施的制订等缺乏统一的标准;对于典型安全风险治理案例,没有建立起有效的安全风险字典库。
系统设计
为解决铁路行业中存在的上述安全风险管理问题,提高安全风险管理水平,有必要建立总公司和铁路局2级统一的铁路安全风险预警系统(以下简称“风险预警系统”)。
1、系统需求
系统的主要服务对象为总公司、铁路局2级安全监察部门的安全监督管理人员,同时包括各级领导和安全相关的业务部门管理人员。
(1)总公司用户:实时查询全路的风险库数据、风险监测相关综合信息,主要包括安全监察报告、事故认定书、事故调查报告等事故调查处理信息,安全检查信息单、安全监察通知、领导添乘、下现场写实报告、安全考核、安全会议等安全检查信息,各运输相关专业系统的安全监测系统提报的报警及对报警处置的信息等。此外,用户还需实时查询各个铁路局的安全状态评价信息,根据实际情况给各铁路局发送安全监察通知书、安全监察指令书、安全监督检查表扬书、安全预警通知书。
(2)铁路局用户:实时查询本局范围内的风险库数据、风险监测相关综合信息;实时查询本局范围内的安全状态评价信息;对总公司下发的“四书”进行整改落实和反馈。
2、系统框架
铁路安全风险预警系统按照总公司级和铁路局级分别部署。总公司级的风险预警系统服务对象为总公司用户;铁路局级系统分别部署于18个铁路局,服务于铁路局用户。两级系统之间通过Web服务进行数据交换。铁路安全风险预警系统的逻辑结构由上至下依次为核心业务层、应用中间件层、数据资源层和支撑平台建设层。
(1)核心业务层。主要包括风险库管理、风险监测、风险预警、“四书”管理和系统维护等功能。风险库管理是风险监测和风险预警的数据采集及评价计算的依据。风险监测功能是在风险库的基础上采集风险数据,所采集到的数据经过风险预警子系统计算后得出评价结果。“四书”管理功能则依据风险预警功能的评价结论进行风险管控。
(2)应用中间件层。主要包括集成框架、工作流引擎、报表引擎、基于Web Service的数据传输、评价模型和图形工具等组件,这些组件的运用为实现核心业务层提供技术支撑。
(3)数据资源层。主要管理的对象是数据,包括公用基础数据、安全检查数据、交通事故数据、风险监测数据、风险评价数据和统计分析数据等。这些数据必须统一规划存储,并且要建立安全机制和控制规范。
(4)支撑平台层。主要包括操作系统软件、数据库平台、网络平台等硬件设施。
3、系统功能
(1)风险库管理。风险预警系统数据库包含风险因素库和风险事故库,是安全风险数据采集、监测、预警和分析的基础。风险因素是指引起或增加风险事故发生的机会或扩大损失幅度的条件,是风险事故发生的潜在原因;风险事故是造成生命财产损失的偶发事件,是造成损失的直接的或外在的原因,是损失的媒介。风险库管理主要负责对风险因素和风险事故字典进行维护,包括录入、修改、删除、归档等。
(2)风险监测。基于铁路已经发生的行车、人身和路外事故、设备故障及日常检查信息,监测并记录安全风险所发生的频率、导致损害的严重程度等情况,进而对风险进行评价和统计分析,并进行风险的关联规律分析。此外,还对事故原因、发生单位、性质和事故等级等方面进行分析。
(3)风险预警。包括对风险因素和风险事故作出突出预警、同比预警和环比预警。依据时间序列等算法对风险事故进行预测,当预测值超过设定阀值时进行预警提示。基于事故件数、设备故障件数、安全检查问题情况和半年评估名次,对全路各铁路局和专业进行安全状态评价等。
(4)“四书”管理。基于风险预警的评价结果,向被预警铁路局发送“四书”,并对“四书”进行审核、查询和统计。
(5)系统维护。包括用户基本信息、用户角色和功能权限等的设置,以及车站、线路、组织机构等基础数据的维护。
关键技术
1、工作流技术
在系统运行过程中,信息需要在多个单位之间进行流转;而不同种类的信息采集处理流程也会有一定的差异。以“四书”管理为例,其核心业务流程为:总公司用户检查铁路局安全管理工作,发现安全问题后填写安全通知书/指令书,并下发至铁路局;铁路局根据总公司的处理要求开展后续安全管理工作,填写针对通知书/指令书的整改措施并反馈至总公司。总公司查看反馈情况并对已处理完成的通知书/指令书进行销号处理。为适应不同处理流程之间的差异性要求,系统设计和开发中应用了工作流技术。根据工作流管理联盟(WFMC)的定义,工作流是一类能够完全或部分自动执行的过程,根据一系列过程规则,文档、信息或任务能够在不同的执行者之间进行传递与执行。工作流技术把应用逻辑和过程逻辑分开,不修改具体功能实现而只修改配置模型就能达到改变系统功能的目的,从而实现对业务流程部分或全部过程的有效管理。工作流具有多人协同完成、工作传递、多节点组成及状态变化等特点。基于工作流实现上述“四书”管理业务流程的过程如下。
(1)首先需要为该业务流程定义角色,如“总公司发书人”“铁路局接收人”。
(2)定义业务流程的节点。①发书;②整改并回复;③销号。
(3)定义每个节点的角色及该节点对应的功能。①发书由“总公司发书人”角色操作,操作内容包括录入“四书”的编号、内容、整改要求、接收单位等信息;②其操作完毕之后,流程进入下个节点“整改并回复”,该节点由“铁路局接收人”角色操作,操作内容包括录入“四书”的具体整改情况、整改时间等信息;③“销号”节点由“总公司发书人”角色操作,其收到“铁路局接收人”的反馈信息后,录入销号意见,流程结束。通过扩展上述流程的节点、角色,定义节点功能、节点与角色之间的关系,可以把“四书”的务流程进行灵活的扩展。此外,工作流实现的过程中还需要记录过程追踪及日志信息,以保证流转的可追溯性及信息流转过程中状态信息的计算准确性。
2、基于 Web Service 的数据传输
风险预警系统按照总公司和铁路局2级部署,因而2级系统之间需要进行大量的业务数据传输与同步。Web Service基于简单对象访问协议(SOAP),数据交换格式为可扩展标记语言(XML),在数据传输方面具有高封装性、标准性、松耦合及高度集约等优势,适合用于解决总公司与铁路局之间的数据传输问题。系统基于Web Service设计了一个数据传输组件。需要发起数据传输的一端对应图中的客户端,比如需要从总公司向铁路局传输数据,则此时总公司即为数据传输的客户端,铁路局对应服务端。客户端主要提供参数解析、循环调用、回调通知和日志记录等功能模块,其中循环调用模块按照设定时间间隔,依据时间顺序和权重依次调用服务端的Web服务来传输数据,如果遇到网络情况不良或其他因素导致的调用失败,客户端将保留本次调用信息并在下个调用时间点重复调用,直到成功为止。服务端主要包括安全性验证、参数解析、Web服务和日志记录等模块。
3、风险评价
风险矩阵体现了风险的可能性与严重程度的关系,是用于衡量危害事件安全风险是否可以接受的尺度。风险预警系统采用风险矩阵法定量计算风险因素的风险值。参照国家标准《轨道交通可靠性、可用性、可维修性和安全性规范及示例》(GB/T 21562—2008)中对风险水平的要求,风险水平定义为3个等级:①高风险,即不可接受的风险,需要进一步控制危害,在极端情况下终止行动;②中风险,即进一步分析后决定是否需要整改,该风险水平通常被认为是可以容忍的,但应该进一步降低风险;③低风险,可以被忽略,但应该持续监测
㈡ Web测试和App测试有哪些本质区别
WEB测试和App测试从流程上来说,没有区别。都需要经历测试计划方案,用例设计,测试执行,缺陷管理,测试报告等相关活动。从技术上来说,WEB测试和APP测试其测试类型也基本相似,都需要进行功能测试、性能测试、安全性测试、GUI测试等测试类型。
他们的主要区别在于具体测试的细节和方法有区别,比如:性能测试,在WEB测试只需要测试响应时间这个要素,在App测试中还需要考虑流量测试和耗电量测试。
兼容性测试:在WEB端是兼容浏览器,在App端兼容的是手机设备。而且相对应的兼容性测试工具也不相同,WEB因为是测试兼容浏览器,所以需要使用不同的浏览器进行兼容性测试(常见的是兼容IE6,IE8,chrome,firefox)如果是手机端,那么就需要兼容不同品牌,不同分辨率,不同android版本甚至不同操作系统的兼容。(常见的兼容方式是兼容市场占用率前N位的手机即可),有时候也可以使用到兼容性测试工具,但WEB兼容性工具多用IETester等工具,而App兼容性测试会使用Testin这样的商业工具也可以做测试。
安装测试:WEB测试基本上没有客户端层面的安装测试,但是App测试是存在客户端层面的安装测试,那么就具备相关的测试点。
还有,App测试基于手机设备,还有一些手机设备的专项测试。如交叉事件测试,操作类型测试,网络测试(弱网测试,网络切换)
交叉事件测试:就是在操作某个软件的时候,来电话、来短信,电量不足提示等外部事件。
操作类型测试:如横屏测试,手势测试
网络测试:包含弱网和网络切换测试。需要测试弱网所造成的用户体验,重点要考虑回退和刷新是否会造成二次提交。弱网络的模拟,据说可以用360wifi实现设置。
从系统架构的层面,WEB测试只要更新了服务器端,客户端就会同步会更新。而且客户端是可以保证每一个用户的客户端完全一致的。但是APP端是不能够保证完全一致的,除非用户更新客户端。如果是APP下修改了服务器端,意味着客户端用户所使用的核心版本都需要进行回归测试一遍。
还有升级测试:升级测试的提醒机制,升级取消是否会影响原有功能的使用,升级后用户数据是否被清除了。
㈢ Web测试和App测试有什么区别
1、系统架构方面:
web项目,一般都是b/s架构,基于浏览器的。app项目,则是c/s的,必须要有客户端,用户需要安装客户端。
web测试只要更新了服务器端,客户端就会同步会更新。App项目则需要客户端和服务器都更新。
2、性能方面:
web页面主要会关注响应时间,而app则还需要关心流量、电量、CPU、GPU、Memory这些。它们服务端的性能没区别,都是一台服务器。
3、兼容方面:
web是基于浏览器的,所以更倾向于浏览器和电脑硬件,电脑系统的方向的兼容。app测试则要看分辨率,屏幕尺寸,还要看设备系统。web测试是基于浏览器的所以不必考虑安装卸载。
而app是客户端的,则必须测试安装、更新、卸载。除了常规的安装、更新、卸载还要考虑到异常场景。包括安装时的中断、弱网、安装后删除安装文件。此外APP还有一些专项测试:如网络、适配性等。
(3)web技术事故报告扩展阅读:
Web测试和APP测试相同点:
1、设计测试用例时,依然都是依据边界值分析法、等价类划分等;
2、多数采用黑盒的测试方法,来验证业务功能是否得到正确的应用;
3、需要检查界面的布局、风格和按钮等是否简洁美观、是否统一等;
4、测试页面载入和翻页的速度、登录时长、内存是否溢出等;
5、测试应用系统的稳定性等。
参考资料来源:网络—web测试
㈣ 煤矿安全管理系统软件
煤矿安全管理数字化系统(简称CMDS-Coal Safety Mangement Digital Stystem), 是一项国际合作项目,由北京华信协同科技开发有限公司、开滦集团、永煤集团与澳大利亚Mincom公司历时两年研究开发的软件系统,它是在Internet web基础上开发的煤矿安全管理软件系统,充分利用国际先进的计算机技术、吸收国外煤矿安全管理的先进经验、结合国内先进的煤矿安全管理技术,充分考虑中国煤矿现有的技术管理水平和职工的文化结构,按照职业、安全、卫生健康标准GB/T/28001,国际OHSAS18000(Occupational Health and Safety Assessment series 18000)开发完成的一套适合中国煤矿安全管理模式,实行动态管理控制方式、具有当代领先水平的煤矿安全计算机管理系统。 煤矿是一个高风险高危险的行业,地质条件复杂,环境条件恶劣,劳动强度较高,突发事故机率较高。煤矿企业实施职业安全健康管理体系,可以提高煤矿企业的安全健康管理水平,协助企业管理者持续改进企业的职业安全健康管理效绩,不断消除和控制职业安全健康危害、降低职业安全健康风险,保证员工的安全与健康。在煤矿职业安全健康体系的实施中,由于企业的体制不同、管理方法相异、企业内部情况不一,会出现各种各样的问题和现象。处理好这些问题将有利于体系的健康运行,有利于顺利实现体系目的和要求。 中国煤矿安全管理数字化系统(简称CMDS——Coal Safety Management Digital System),她是在Internet web基础上开发的煤矿安全管理数字化系统,她充分利用国际先进的计算机软件技术、吸收国外煤矿安全管理的先进经验、结合国内先进的煤矿安全管理技术,充分考虑中国煤矿现有技术管理水平和职工的文化结构,按照职业、安全、卫生、健康标准GB/T 28001(原Occupational Health and Safety Assessment series 18000)开发完成的一套适合中国煤矿安全管理模式,实行动态管理控制方式、具有当代领先水平的煤矿安全计算机管理系统。 CMDS系统功能 ² 体系管理目标、方针、指标控制 ² 危害辩识、风险评价、风险控制 ² 法律、法规、标准管理控制 ² 安全培训管理控制 ² 事故、事件、隐患管理控制 ² 应急预案与响应管理控制 ² 绩效审核、风险评价控制 ² 安全生产记录控制 ² 部门记录管理控制 ² 部门计量器具送检管理控制 ² 部门设备器具管理控制 ² 网络视频系统 ² 网络短信系统 技术特点 ² 技术先进性;采用具有业界领先技术的Internet Web工作平台,具有在数据库管理系统、XML数据库、J2EE应用服务器基础上建立的协同引擎、工作流引擎、信息流引擎,为开发者提供全面的虚拟社区服务系统,可提供完善的Internet Web网络协同解决方案。 ² 国际化标准;软件开发由长期从事能源、矿山、安全领域的国内外专家组成,集国际同类产品的优点和长处、结合中国煤矿安全管理的实际特点,按照国际化软件标准开发,软件采用UML规范化设计模式。 ² 采用OHSAS18000(Occupational Health and Safety Assessment series 18000)职业安全健康国际标准;按照国际通行的标准和要求,涉及健康体系标准的17要素,在管理手段上实现煤矿安全管理上与世界同步。 ² 软件的通用性;软件开发充分考虑中国煤矿管理方法的多样性、文化结构的状况及特点,采用角色和软件控件的设计模式,与现有管理体制的部门划分、人员的职位没有任何关系,只与管理者的角色有关。 ² 安全管理新方法;采用Internet Web协同引擎、工作流引擎、信息流引擎设计框架,面向事件设计,对事件对象进行整合,形成链琐式搜索方式,可以查看任意一天的煤矿安全日志和工作计划,任意一件事故、一件内审事件的所有细节与档案资料。 ² 先进的培训工具;将先进的网络视频系统整合在管理系统中,利用网络视频进行网络会议、网络培训、网络交流、网络通讯,改变传统的会议、培训模式,使其工作更加高效省时。 CMDS作为一种现代化管理手段,为体系的实施提供了一个有效的管理工具,可以协助企业管理者持续改进企业的职业安全健康效绩,不断消除和控制职业安全健康危害、降低职业安全健康风险,保证员工的安全与健康。同时,提高煤矿安全管理的人员素质,推进安全管理的规范化和标准化管理进程,其结果有利于矿井安全生产和企业的效率。主要表现在: ² 建立煤矿企业安全生产日志,实现高效管理。利用网络协同数字平台和数据引擎技术,实现企业决策者以最快的速度随时了解24小时内企业的安全生产第一手资料。包括煤矿一通三防状况、通风瓦斯日报、巡检日报、审阅签署的报表与文件等;同时了解企业管理者的工作计划和当日会议通报。管理者可以查询任何一天的企业安全日志。 ² 建立煤矿安全事故事件档案管理控制。当煤矿事故发生,企业主要领导人启动事故应急预案与响应控制程序到事故调查报告的产生,系统可以建立完整的事故档案,包括事故现场指挥记录、事故报警记录、手机短信、电话记录与录音、会议记录、事故调查记录、事故处理记录和事故报告,采用数字化引擎和信息集成技术将事故相关内容(不同的数据格式和文档)建立事故电子档案、档案索引、事故统计模块,检索事故名称将可以了解到事故的详细资料,随时可以对事故进行统计分类产生报表,从而有效降低事故的损失。同时提供计算机网络视频会议系统,可以不受地区、地点的限制,进行网络事故指挥与事故网络讨论。 ² 内部审核与评审控制。在内部审核工作中,对每个审核小组人员的现场审核调查报告、部门不符合报告、小组审核报告、最终审核报告集成打包,形成电子档案、档案索引,随时可以了解到体系各阶段的审核控制信息,同时可检索查看到审核的详细资料。 ² 建立完善的培训系统。实现集团、矿井、部门的多层次的安全培训网络,涉及培训调查表与通知书管理、课程管理、教育教学资源管理、网络现场培训、培训考核资质管理等。 ² 除此之外,在煤矿安全生产记录管理,规程、规范、标准管理,部门记录管理等方面,系统都有非常突出的特点。 北京华信协同科技开发有限公司成功案例: 煤矿安全管理数字化系统 l 开滦集团煤矿安全管理数字化系统 l 永城集团煤矿安全管理数字化系统 l 韩城矿务局煤矿安全管理数字化系统 l 山西太原煤气化集团煤矿安全管理数字化系统 l 河北邢台矿务局煤矿安全管理数字化系统 煤矿安全数字化智能巡检系统 l 永城煤炭集团陈四楼煤矿安全智能巡检系统 l 河北峰峰集团大树村煤矿安全智能巡检系统 l 陕西铜川矿务局玉华煤矿安全智能巡检系统 l 山西晋普山煤矿安全智能巡检系统 l 陕西澄合矿务局煤矿安全智能巡检系统 l 河北邢台矿务局显德旺矿煤矿安全智能巡检系统 l 河北邢台矿务局陶二矿煤矿安全智能巡检系统 资产评估软件系统——全国近500家软件用户,主要成功案例有: l 中国石油(世界500强企业)上市资产评估项目 l 中国联通(世界500强企业)上市资产评估项目 l 中国移动(世界500强企业)上市资产评估项目 l 中国电信(世界500强企业)上市资产评估项目 l 三峡搬迁资产评估项目 l 太原钢铁厂上市资产评估项目 l 太原重型机械厂上市评估项目 l 国家开发银行资产动态评估监控项目 .
㈤ 如何进行事故报告
书面报告格式
.
原则上,书面报告格式应包含三大部份:篇首、正文及參考资料。这三大部份的
出现顺序在报告或論文写作中皆应严格遵守,但篇首、正文及參考资料所包括的项目
则可有所出入。
下面顺序及项目可供參考:
一、篇首
1. 封面(实务专题/論文标题页)
2. 摘要(Abstract)或总结(Summary)
3. 目錄
4. 图目錄
5. 表目錄
二、正文
1. 绪論/前言
2. 报告本体
3. 结論
三、參考性资料(顺序可更换)
1. 參考书目
2. 附錄
3. 索引(如有的话)
--------------------------------------------------------------------------------------------
一、篇首
1.封面
(1)专题名称
(2)报告名称(期初、期中或期末)
(3)专题分组学生姓名、学号
(4)指导教授名衔
(5)系、科、所名称
(6)院校名称
(7)缴交期限
第(5)、(6)项亦可放于封面之最上端,专题名称则以较大号字列印。
2.摘要或总结
摘要系将整个报告或論文架构用最精简的方式表达出來,帮助阅讀者尚未翻阅全
文之前,就知道作者的全盘性慨念。
摘要主要内容应包括:
(1)问题之简要陈述
(2)问题解决所用研究方法的扼要說明
(3)问题解决过程
(4)所得结果
基本上,“摘要”包含前述项目,但其中文长度以300 至500 字为宜,英文不宜
超过300 字。
例:摘要
工作场所中勞工会因意外或其他狀况,导致上肢触及机械危险区域,造成伤害的
发生,因此机械安全中有关防止上肢伸及危险区域的标准订定有其必要性,欧洲标准
EN 294即立意于此。此類安全标准必须依据勞工族群的人体计测资料且国人体型、肢
体尺寸不同于西方人,本研究目的即在于建立相关的本土化资料,提供工作场所安全
设计时參考。
2
本研究利用动作分析系统,探讨国人身高在第95百分位數以上男性伸越防护结构
时上肢活动范围,受测者三十位,并利用1996年我国勞工人体计测资料及受测者静态
量测值探讨向上伸手、手部弧形摆动、及穿过开口部等安全距離數据。结果显示,本
研究所得相关安全距離值较EN 294有些许差異,但其趋势相同。工厂安全规划时,应
依机械危险程度及工作环境允许等情况判断,适当增加安全距離的比例,以增进工作
场所安全性。
关键词:人体计测资料、机械安全、活动范围
通讯作者:李正隆,(413)台中县雾峰乡吉峰东路168号,朝阳科技大学工业工程与管
理系
3.目錄
目錄包括有绪論、章节名称、以及參考书目、附錄及索引等项目,这些皆需与正
文中出现的各章节大小标题完全一致。
目錄主要是提供报告中所包含的项目、内容及顺序做一概略性介绍。最终的目錄
要在整篇报告完成后,才编定页码,章节目錄编排则可于每一章节完成后定案。
目錄的编排系以各章标题顺序列出,每一章若有小节标题通常比主章节标题向右
退兩格(英文为一个indent) ,以突显出报告的结构大纲。若在各节之后尚有更细的
节,亦依此方式处理。
例 目錄
摘 要 .............................................................................................................i
Abstract...........................................................................................................ii
目錄...............................................................................................................iii
图目錄...........................................................................................................iv
表目錄............................................................................................................ v
第一章諸 言 ................................................................................................ 1
第一节计画之背景与重要性.................................................................. 1
第二节研究目的...................................................................................... 3
第二章研究方法........................................................................................... 5
第一节身体动作模拟.............................................................................. 5
第二节上肢活动范围量测...................................................................... 8
第三节机械安全标准本土化................................................................10
第三章结果 ................................................................................................ 13
第四章讨論 ................................................................................................ 16
志谢.............................................................................................................. 20
參考文献...................................................................................................... 21
附錄机械安全标准之本土化建议...........................................................25
4.图目錄、表目錄
主要在于方便查阅,是否应该列出,由作者自行决定。一般性原则为若图表很多,
以列出为宜,否则可以省略。
前述为有关于“篇首”部份的說明。篇首部份的页码则以羅马數字i,ii,iii…编
排.与正文开始页码之阿拉伯數字不同。装订时,外封面与内封面页间应有一空白页
(底外封面亦同)。
例
图目錄
图1 向上伸时之高度(REACHING UPWARDS) ..........................................1
图2 三度空间的人体动作分析系统................................................................... 6
表目錄
表1 危险区域所致的是低度危险时,伸过防护结构之欧洲标准安全准则....3
表2 危险区域所致的是高度危险时,伸过防护结构之欧洲标准安全准则....9
二、正文
3
正文系构成整个实务专题报告的最重要部份,有关的理論与事实論据,都在这一
部份提出。专题/論文所获得的结果与心得,都要经由此部份系统化与组织化以合理、
简明、及連贯的方式发挥出來。
专题报告并不一定要像論文架式,但学习論文撰写方面,细心规划正文组织,适当编
排并表达每一章节重要而合理部分,则为一致的概念。
正文包括绪論、报告本体及结論三部份。通常讀者在阅讀一篇完整报告时,会先
看绪論与结論,认为值得看之后才继续阅讀全文,否则就可能造成舍弃的结局。因此,
除了报告本体外,撰写绪論与结論时,应格外谨慎。
1.绪論/前言(Introction)
绪論/前言的撰写,应该注意到兩个重要目的:
(1)将问题以合适文字叙述系统性提出
(2)激发讀者阅讀兴趣
绪論主要包括下列部分:
(1)研究动机:阐述实务专题/論文题目进行之缘由,借着专题/論文可以解决那些问题,
达到那些实务与理論的目的。
(2)问题陈述:研究动机必然涉及研究所欲解决的问题,详细而明确的将问题陈述出
來,为此处之重心。
(3)研究范围:界定出何者为专题所欲探讨的領域及范围,何者不是。
(4)文献探讨:依据专题设定范围,调查、寻阅与主题相关的文章及着作。若此部份资
料甚多,亦可另立专章探讨。
(5)研究方法与过程:与专题/論文主题相关的研究方法說明、资料來源、资料取得方法
及程序、研究分组情形及工作进度表编拟。
2.报告本体
由于各专业学门题目差異甚大,不容易规定出报告本体的架构方式。但是,仍有
些原则可供參考:
(1)标题的选择要具有明确的說明作用。
(2)在图形解說优于表格,表格又优于文字的原则下,应尽量利用图或表的方式阐述问
题、架构或结果
(3)较为次要的资料解說可移于报告后的“附錄”上,避免本文太过于冗长。
(4)整个研究过程所涉及的論证或发现,应该以合理且有秩序的方式加以组织验证,与
绪論中所提及的研究目的建立邏辑性連系关系。
(5)研究过程重大发现应予以强调說明。
3.结論与建议
每一篇报告的后面,都应该要有一个结論,其功能系将整篇报告作一简明扼要的
重新叙述与总结,以留给阅讀者有一明确具体的印象。若研究过程中有重大发现,亦
须略予讨論。其次,在研究期间所碰到的一些不在研究涵概范围内但值得探讨的问题
应予列出。若有具体性解决此類问题的方法或指示方向,则可以做成建议事项提出,
提出方式则以条列式为宜。
三 、參考性资料
1.參考书目
參考资料的排放位置应列在正文后的一页,注明引用资料來源。至于參考书目如
何引注的问题,由于不同的期刊常有不同的參考文献写作规定.下列为工业工程学刊
的中英文參考文献范例,本文不多作解释。
(1)Lawless, J., Statistical Models and Methods for Lifetime Data, John Wiley and Sons,
New York, N.Y. (1982).
(2)唐明月,系统分析—理論与程序,第138-164 页,中兴管理顾问公司,台北(1985)。
(3)谢长宏、杨元培,“软体专业人员属性之分析架构”,管理科学学报,第二卷,第
一期,第13-34 页(1985)。
2.附錄
4
许多专题制作过程中所搜集到的原始资料、研究分析整理出來的图形或表格及其
他各种文件资料,如果列入正文会过于冗长而有损于整篇正文结构时,可以列入附錄
部分。
3.索引
一般的专题报告并不需要有索引。
四、口头报告教具的内容
1. 在制作口头报告的内容前,应先了解:这次报告的对象(亦即观众)是谁?有多少
时间可用?口头报告的主题为何?口头报告的目的为何?
2. 口头报告教具内容型式:(1)文字;(2)图表(以投影片或幻灯片为例)。
(1)文字:
·作为演讲者/报告人有关演讲内容的提示。
·投影片文字内容应精简扼要,点出演讲内容的核心重点。
·文字字型、图表应够大,让后排的听众也可看得到。
·每张投影片上的资料最多有五个项目的叙述,如果要表达更多(如六个以上)项目,
建议应分成二张投影片。每个资料项目最好不超过兩行,最多不可超过三行。
·如可能的话,每张投影片应有一个副标题(包括前述B 中所提的狀况)。
·文字若为英文字,不宜全部为大写或小写,应以大写字母起头即可。字型建议使用
“Arial”,不要使用Times Roman,避免“光渗”作用(笔划粗细)。
·演讲/报告时,避免将投影片文字直接向观众朗讀,应使用稍微不同的說法來說明。
·每张投影片上应采用同一种字型,而且字号应大致相同。且每张投影片应具有
标准化的格式,不致让投影片的格式变化过多,模糊述求的重点,而且可让简报内
容看起來連贯且又专业。
·每张投影片上可放上自己研究室或学校的校徽或其他,作为一个特色。
(2)图表:
·科技研究报告中,可概分为六大類(如附錄):折线图(line graphs)、直条图(bar
graphs)、圆形图(pie diagrams)、表格(tables)、照片(photographs)、绘图(line
drawings)。
·可能的话,应避免采用表格,而用图形表示。若必须使用表格,则应尽量简单且大
些,只要提供的资料足以支持自己的論点即可。
3. 报告的内容大纲主要可包括:为何做(简介、绪論、前言)?如何做(方法)?做
了什麼(结果)?讨論;结論(结语)与建议:
(1)封面页(包括题目、作者、单位);(2)大纲;(3)前言(或绪論、目的);(4)
研究方法(或实验方法);(5)结果;(6)讨論;(7)结論(与建议);(8)志谢。
4. 在传统的视觉显示中,下列原则与一般讀者之认知具有较高的相容性:
1. 与时间及顺序(步骤)相关的东西由左至右呈现
2. 与顺序(步骤)相关的东西由上向下呈现
3. 位于图形中央的物件较周边外围物件重要
4. 位于图形前景的物件较背景物件重要
5. 较大的物件比较小的物件具有更高的重要性
6. 较粗的物件比较细的物件具有较高的重要性
7. 图形中较复杂且资讯较多的区域具有最重要的资讯
8. 具有相同大小、形狀、位置、颜色的物件之间有某种程度的关聯
9. 图形中比周围物件突出的东西最容易受到讀者的注意
5. 某類的资讯惯例上几乎是以图形的方式來呈现,例如成本分析、预算计算、频谱
分析、电子电路、建筑规画、地理资讯等。身为一位专业人员,你有责任了解该专业
領域典型的视觉呈现方式,并适当地应用它们。
㈥ 计算机风险评估怎么写
1. 版本演变评估规则
1.1. 基本原则
这个问题可以参考任何一本关于计算机网络、操作系统的教材,可以看到各式各样的要求,总体上的要求都是源于国际化的评估标准ISO来确定的。所以在这里我们不再细说,仅列表显示:
• 静态网络安全风险分析与评估;
• 网络拓扑结构安全性分析;
• 网络拓扑结构是否满足安全需求;
• 内外服务器的安全策略;
• 内部网络的安全域范围划分。
• 防火墙系统的安全性分析;
• 防火墙口令强度分析;
• 防火墙安全策略分析;
• 防火墙日志分析。
• 操作系统和服务器系统的安全性分析;
• 操作系统的版本及其补丁分析;
• 服务器的版本及其补丁分析;
• IIS的系统设置,用户管理,访问规则的风险评估;
• 提供各种网络服务软件的版本,补丁及其配置文件;
• 相关日志分析,检查可疑操作及行为;
• 检测系统后门程序。
• 网络设备的安全性分析;
• 路由器的口令强度分析;
• 交换机的划分区域分析;
• 拨号设备的安全策略分析;
• 加密设备的安全性分析;
• 数据备份的安全性分析;
• 防恶意代码的安全性分析;
• 系统处理病毒的有效性分析;
• 系统处理特洛伊木马的有效性分析。
• 提供分析报告和安全建议;
• 系统漏洞和网络漏洞扫描及安全检测;
• 系统安全检测;
• 系统帐号检测;
• 组帐号检测;
• 系统日志检测;
• 主机信任关系检测;
• 系统配置文件检测;
• 关键系统文件的基线检测;
• 口令强度检测;
• 系统安全漏洞检测;
• 系统脆弱性分析;
• 有控制的渗透检测;
• 日志文件检查;
• 提供分析报告及安全建议。
• 网络安全检测;
• 端口扫描测试;
• 拒绝服务攻击测试;
• Web 扫描和攻击测试;
• 口令强度猜测;
• 针对 Ftp 、 Sendmail 、 Telnet 、 Rpc 、 NFS 等网络服务攻击测试;
• 提供分析报告和安全建议
1.1.1. 可生存性
这个概念基于1993年Barnes提出的原始定义:将安全视为可伸缩的概念。具有可生存能力的系统,对内,不依赖于任何一个专门的组件;对外,系统可以容忍一定级别的入侵。严格的来说,这样的系统是一个具备灾难恢复容侵容错的整体,在网络攻击、系统出错和意外事故出现的情况下仍能完成其任务的特性。针对当前黑客对系统有效性攻击为目的的情况,系统的生存能力成为传统的机密性保护之外系统必备的考虑因素。系统的安全不再受某一个单一组件的制约,而成为一个拥有足够自救能力的实体。
对生存性主要考察的因素包括:
Ø 系统的具体功能:数据库?web server?还是PC?
Ø 所处物理环境:与非操作人员隔离?直接暴露在internet上?处于防火墙后或DMZ中?有无病毒防护机制或入侵检测软件?
Ø 系统各项配置:无关服务是否关闭?不必要的网络端口是否禁用?
Ø 是否配置有保证系统生存能力的部件和机制:备份机制、替换机制、服务退化机制?
1.1.2. 传统保护机制要求CIAA
1.2. 保护机制
1.2.1. 实体保护
1.2.1.1. 隔离保护
对于多线程多进程的操作系统,必须保证各个进程与线程都是相互独立彼此无影响的。结合进程的定义,因此,线程与进程所调用控制的资源必须是互不相同的,及彼此无认知。
Ø 物理隔离:不同的进程和线程使用不同的对象和设备资源
Ø 暂时隔离:同一进程在不同的时间按不同的安全需要执行
Ø 逻辑隔离:操作系统限制程序的访问:不能访问允许之外的客体
Ø 加密隔离:利用加密算法对相应对象进行加密
Ø 隔绝
1.2.1.2. 存储器保护
多道程序的最重要问题是如何防止一个程序影响其他程序的存储空间,保护存储器的有效使用成本较低,包括栅栏保护、基址边界保护和段页式保护。
1.2.1.3. 运行保护
根据安全策略,把进程的运行区域划分为同心环,进行运行的安全保护
1.2.1.4. I/O保护
将I/O视为文件,规定I/O是操作系统的特权操作,读写操作作为高层系统调用,对用户忽略操作细节
1.2.2. 标识与认证
正确识别认证和管理实体的符号,作为标识;用户名是身份认证的标识;安全级别是访问控制的标识。
1.2.3. 访问控制
1.2.3.1. 概念
操作系统安全保障机制的核心,实现数据机密性和完整性的主要手段。访问控制限制访问主体对被访问客体的访问权限,确保主体对客体的访问必须是授权访问,而且授权策略是安全的,从而保证计算机系统使用环境为合法范围。
1.2.3.2. 过程
Ø 通过“鉴别”来验证主体合法身份。
Ø 通过“授权”来限制用户对资源的访问级别。
常用的访问控制可分为自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。
1.3. 评估方法
目前,根据我看过的资料至少有以下几种:
Ø 基于特权提升的量化评估
Ø 基于粗糙集理论的主机评估
Ø 基于弱点数目的安全评估
Ø 基于安全弱点的综合量化评估
2. 主流os基于版本的演变
2.1. Windows
2.1.1. Windows vista版本安全性比较
2.1.2. 服务器角度评估主流操作系统
服务器操作系统主要分为四大流派:WINDOWS、NETWARE、UNIX、LINUX。
Ø WINDOWS主流产品:WINNT4.0Server、Win2000/Advanced Server、Win2003/Advanced Server。
Ø NetWare主要应用于某些特定的行业中。以其优异的批处理功能和安全、稳定的系统性能也有很大的生存空间。
Ø Unix服务器操作系统是由AT&T公司和SCO公司共同推出,主要支持大型的文件系统服务、数据服务等应用。市场流传主要是SCO SVR、BSD Unix、SUN Solaris、IBM-AIX。
Ø Linux服务器操作系统是国内外几位IT前辈,在Posix和Unix基础上开发出来的,支持多用户、多任务、多线程、多CPU。因为开发源码,其成为国内外很多保密机构服务器操作系统采购的首选。主流产品Novell中文版、Red Hat、红旗Linux。
综述
优点
缺点
Windows
WINNT 4.0
直观、稳定、安全的服务器平台先河。尤为突出的是其NT架构内核意义深远。
操作直观,易于使用,功能实用,安全性能较好,可用于单一的防火墙的服务器上。
运行速度慢,功能不够完善,当进行超出系统处理能力的多项并发处理时,单个线程的不响应使系统由于不堪重负产生死机现象
Win2000/
Advanced Server
对NT内核的壳部分进行了很大程度的响应与传输优化并附加管理功能。实现速度与功能的提升,安全上修不了所有以往的后门。
操作直观、易于使用,功能随时代发展具有大幅的提升,管理更加全面,单个线程不响应问题得到解决
运行速度有所提升但仍有缺憾,系统的稳定性与安全性较NT有削弱。
Win2003/Advanced Server
继承人性化的WinXP界面,内核处理技术很大改良,安全性能很大提升,管理功能增加流行新技术
操作易用性,人性化版本,安全性Windows系列中最佳的,线程处理速度跟随硬件的发展有所提升,管理能力不小的改善。
安全性能不够完善,线程处理更加繁杂。
UNIX
SCO SVR、BSD Unix
支持网络大型文件系统、数据库系统,兼容更多的软件应用,属于非开源代码,系统稳定性与安全性地位高高在上,无法动摇
系统安全性与稳定性稳如泰山,能够支持大型文件系统与数据库系统
代码式命令触动,人性化差,阻碍中低端服务器市场的发展,深层技术研究推广有限,改善不明显。
SUN Solaris、IBM-AIX
后来居上!服务器厂商对于己身的服务器操作系统支持比较足够,对两这服务器的市场占有率及技术含量起了很大的推动作用。
支持大型文件系统与数据库、传承了UNIX一贯的高能级系统安全性、稳定性,对于系统应用软件的支持比较完善。
沾染了Unix系统的通病,人性化界面不着边,非开源使得技术层面为得到推广,不够“物美价廉”。
Linux
Red Hat、红旗Linux
中国商用化是政府采购的推动,考虑到机密数据的安全性。红旗的官方获利最大,小红帽的民间流传最广
源码开放使得技术完善从民间得到了其他厂商无法比拟的雄厚力量,其兼容、安全、稳定特性不容忽视
基于Unix的修补开发属于类Unix模式,兼容性较其他os有差距,代码输入命令为主,人性化不足,维护成本偏高。
Suse Linux
结合Linux开源与人性化界面的操作系统,绚丽而高难的三维立体空间显示!
稳定、安全,兼容性有提高,有人性化设计,漂亮的显示
兼容性照微软有差距,立体空间显示技术不成熟。
NetWare
Netware
基础设备低要求,方便的实现网络连接与支持、对无盘工作站的优化组建、支持更多应用软件的优势。
操作相对方便,设备要求低,网络组建先天优势,支持金融行业所需的无盘工作站同时节约成本,支持很多游戏软件的开发环境搭建,系统稳定性和Unix系统基本持平。
操作大部分以来手工输入命令实现,人性化弱势,硬盘识别最高只能达到1G,无法满足现代社会对于大容量服务器的需求,个版本的升级只是实现了部分功能的实现与软件支持,没有深层次的技术更新。
2.2. 多种os相互比较
2.2.1. 基于特权提升的量化评估
以下数据来自计算机风险评估课件,显示利用如题方法比较三种主流服务器的安全性能得到的结果,结论如图。比较过程不再赘述。
2.2.2. 漏洞大比拼
这里看到的数据是微软推出vista六个月的统计数据。虽然漏洞数目不足以作为说明安全性优劣的唯一证据,但是一定程度上反映了该系统即将面对的攻击威胁以及脆弱性挑战或者更是受关注度的指标。以下数据来自微软可信计算组(TCG)安全战略总监Jeff Jones。
ü Vista - 2006年11月30日正式上市,六个月内微软发布了四次大型安全公告,处理了12个影响Windows Vista的漏洞,仅有一个高危漏洞。
ü Windows XP – 2001年10月25日正式上市。前三周已披露和修复了IE中的3个漏洞。上市后六个月内修复漏洞36个,其中23个属于高危漏洞。
ü RHEL4W – 最受欢迎的Linux发行版,2005年2月15日上市,提供一般使用之前,出货的组件就有129个公开披露的bug,其中40个属于高危漏洞。上市六个月内,Red Hat修复了281个漏洞,其中86个属于高危。而对于RHEL4W精简组件版本,Red Hat修复了214个影响精简的RHEL4WS组建集漏洞,包括62个高危。
ü Ubuntu 6.06 LTS – 2006年6月1日正式上市。在此之前已公开披露的漏洞有29个,其中9个高危漏洞。上市六个月,Ubuntu修复了145个影响Ubuntu6.06 LTS的漏洞,其中47个高危。而其精简组件版本六个月内漏洞74个,其中28个高危。
ü Novell的SLED 10(SUSE Linux Enterprise Desktop 10)- 2006年7月17日正式上市,出货日期前已公开23个漏洞,六个月内对其中20个进行修复,其中5个高危漏洞。上市六个月共修复159个影响SLED 10 的漏洞,其中50个为高危。
ü Mac OS X v10.4 – 2005年4月20日正式上市,上市前批露10个漏洞,六个月内修补其中9个,包括3个高危。上市六个月内苹果公司60个影响OS X v10.4的漏洞,其中18个列为高危。
3. 系统安全风险基于时间的演变
3.1. 系统内部
这一类的问题集中在代码层,可能存在开发人员的疏忽,也可能是使用者错误操作或特殊操作引起的软件本身的漏洞和错误,更可能出于特定物理环境的诱因。从这一角度来说,系统内部威胁取决于用户需求的发展,硬件发展,编程语言环境发展等多个问题。因此,间接性的与时间挂钩!
3.2. 外来入侵
3.2.1. 病毒
最初的病毒制造者通常以炫技、恶作剧或者仇视破坏为目的;从2000年开始,病毒制造者逐渐开始贪婪,越来越多的以获取经济利益为目的;而近一两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种网络平台系统和网络应用的流程,甚至杀毒软件的查杀、防御技术,寻找各种漏洞进行攻击。除了在病毒程序编写上越来越巧妙外,他们更加注重攻击“策略”和传播、入侵流程,通过各种手段躲避杀毒软件的追杀和安全防护措施,达到获取经济利益的目的。产生这种现象的原因主要有两个,一是国内互联网软件和应用存在大量安全隐患,普遍缺乏有效的安全防护措施,而是国内黑客/病毒制造者集团化、产业化运作,批量地制造电脑病毒。
3.2.2. 攻击
攻击者以前是利用高严重级别漏洞发起直接攻击,现在采用的方式转变为发现并利用第三方应用程序(如Web应用程序和Web浏览器)中的中等严重级别漏洞。这些漏洞通常被“网关”攻击加以利用,这类攻击的特点是,初始的漏洞利用并不会立即危及数据,而是先建立安身之所,随后在发起更多恶意攻击。根据赛门铁克的安全报告,互联网上的恶意活动肆虐,其中网络钓鱼、垃圾邮件、bot网络、特洛伊木马和零日威胁与日俱增。然而,过去攻击者往往是单独利用这些威胁,现在他们采用了更高明的手段,将资源整合成为全球网络,以便利于实施相互协作的犯罪活动。从而导致不同的威胁和方法逐渐相互贯通互相利用。如,有目标性的恶意代码可能利用支持Web的技术和第三方应用程序来安装后门,然后下载并安装bot软件。随后,这些bot用来分发垃圾邮件,托管网络钓鱼站点或以创建一个恶意活动协作网络的方式来发起攻击。这些网络建立之后成为恶意活动的全球网络,支持其各自的持续发展。
值得一提的是,攻击的形式也随着技术的发展而不断升级。软件虚拟化的实现,随之而来的是虚拟技术威胁的上市。针对虚拟机不对主机信息提供保护的特性,以虚拟机中实际使用的硬件为目标和对虚拟机上访客操作系统中使用的随机数生成器产生的影响为基础,演变成为新的两类威胁。
如此看来,信息时代的经济化带动了网络威胁的系统化、经济化。
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/April_ye/archive/2007/12/12/1931198.aspx
㈦ 2016年云计算发生过什么安全事故
事件一:Google Gmail邮箱爆发全球性故障
Gmail是Google在2004年愚人节推出的免费邮件服务,但是自从推出这项服务以来,时有发生的“中断”事件就成为业界的广泛讨论的话题。
2009年2月24日,谷歌的Gmail电子邮箱爆发全球性故障,服务中断时间长达4小时。谷歌解释事故的原因:在位于欧洲的数据中心例行性维护之时,有些新的程序代码(会试图把地理相近的数据集中于所有人身上)有些副作用,导致欧洲另一个资料中心过载,于是连锁效应就扩及到其它数据中心接口,最终酿成全球性的断线,导致其他数据中心也无法正常工作。
事件过去数日之后,Google宣布针对这一事件,谷歌向企业、政府机构和其他付费GoogleAppsPremier Edition客户提供15天免费服务,补偿服务中断给客户造成的损失,每人合计2.05美元。
事件二:微软的云计算平台Azure停止运行。
2009年3月17日,微软的云计算平台Azure停止运行约22个小时。
虽然,微软没有给出详细的故障原因,但有业内人士分析,Azure平台的这次宕机与其中心处理和存储设备故障有关。Azure平台的宕机可能引发微软客户对该云计算机服务平台的安全担忧,也暴露了云计算的一个巨大隐患。
不过,当时的Azure尚处于“预测试”阶段,所以出现一些类似问题也是可接受。提前暴露的安全问题,似乎也给微软的Azure团队敲了一次警钟,在云计算平台上,安全是客户最看重的环节。
2010年,Azure平台正式投入商用,成为开发者喜爱的云平台之一。
Salesforce.com宕机事件
事件三:Rackspace云服务中断。
2009年6月,Rackspace遭受了严重的云服务中断故障。供电设备跳闸,备份发电机失效,不少机架上服务器停机。这场事故造成了严重的后果。
为了挽回公司声誉,Rackspace更新了所有博客,并在其中详细讨论了整个经过。但用户并不乐意接受。
同年11月,Rackspace再次发生重大的服务中断后。事实上,它的用户是完全有机会在服务中断后公开指责这位供应商的,但用户却表示“该事故并不是什么大事。”看来Rackspace不是走好运,而是持续提供了充足更新并快速修复了这些错误。
在服务中断致使其业务脱机15到20分钟后,博客服务提供商Posterous的创建者之一Sachin Agarwal就发表了自己的观点。Agarwal对此并不生气,相反,他表示Rackspace在这件事上做得“很透明”,处理问题也很及时到位。
看来,如果没有严重数据的丢失,并且服务快速恢复,用户依旧保持愉快的使用体验。对于所谓的“100%正常运行”,大多数用户似乎不会因为偶尔的小事故而放弃供应商,只是不要将问题堆积起来。
事件四:Salesforce.com宕机。
2010年1月,几乎6万8千名的Salesforce.com用户经历了至少1个小时的宕机。
Salesforce.com由于自身数据中心的“系统性错误”,包括备份在内的全部服务发生了短暂瘫痪的情况。这也露出了Salesforce.com不愿公开的锁定策略:旗下的PaaS平台、Force.com不能在Salesforce.com之外使用。所以一旦Salesforce.com出现问题,Force.com同样会出现问题。所以服务发生较长时间中断,问题将变得很棘手。
这场服务中断还没有对公司造成很大影响,它同VMware合作的VMforce在今年春季引起很大反响,同时Salesforce.com首席执行官在服务中断出现后的一个月内又开始宣称Salesforce.com是“最大的云计算企业”。
这次中断事故让人们开始质疑Salesfore.com的软件锁定行为,即将该公司的Force.com平台绑定到Salesforce.com自身的服务。但总之,这次事件只是又一次地提醒人们:百分之百可靠的云计算服务目前还不存在。
微软爆发BPOS服务中断事件
事件五:Terremark宕机事件。
2010年3月,VMware的合作伙伴Terremark就发生了七小时的停机事件,让许多客户开始怀疑其企业级的vCloud Express服务。此次停机事件,险些将vCloud Express的未来断送掉,受影响用户称故障由“连接丢失”导致。据报道,运行中断仅仅影响了2%的Terremark用户,但是造成了受影响用户的自身服务瘫痪。此外,用户对供应商在此次事情上的处理方式极为不满意。
Terremark官方解释是:“Terremark失去连接导致迈阿密数据中心的vCloud Express服务中断。"关键问题是Terremark是怎么解决这个突发事件的,这家公司并没有明确的方案,只是模糊地对用户担保,并对收到影响的用 户进行更新。如果一个运供应商想要说服企业用户在关键时刻使用它们的服务,这样的方式是达不到目的的。
Terremark的企业客户Protected Instries的创立者John Kinsella,在抱怨服务中断让他心灰意冷时称该供应商是“杂货铺托管公司”。Kinsella将Terremark与Amazon做了比较,他抱怨说,Terremark才开始考虑使用的状态报告和服务预警Amazon早已实现。
当然,在对vCloud Director的大肆宣传以及VMworld 2010兴奋地揭幕过后,Terremark服务中断事件似乎只留下了很小的余波。
事件六:Intuit因停电造成服务中断。
2010年6月,Intuit的在线记账和开发服务经历了大崩溃,公司对此也是大惑不解。包括Intuit自身主页在内的线上产品在内近两天内都处于瘫痪状态,用户方面更是惊讶于在当下备份方案与灾难恢复工具如此齐全的年代,竟会发生如此大范围的服务中断。
在赔偿方面,亚马逊表示,将向在此次故障中受到影响的用户提供10天服务的点数(Credit),这些点数将自动充值到受影响的用户帐号当中。但是,对于以后如何避免出现类似事件,并没有提到任何法律上的保证。
据了解,亚马逊云服务中断持续了近4天,但是在法律上却没有违反亚马逊EC2服务的服务等级协议(简称SLA)。亚马逊的解释是,亚马逊出现故障的是EBS和RDS服务,而不是EC2服务,从法律上讲,它并没有违反服务等级协议。并且,对于亚马逊提出的应对宕机事件的建议——多点备份,仅仅是一个技术规范并非合同保障。这些,似乎都不能给云服务的用户带来信心。
表面看来,亚马逊宕机事件似乎有一个完美结局:厂商及时修复漏洞,书面道歉,赔偿损失。但是,用户心理上对云服务的恐惧似乎并不那么容易康复,未来,亚马逊可能不仅仅要在技术上、还需要在制度和法律上给予用户更多的保证,才能才能渐渐修复被此次宕机事件损坏的名声。
历数频频发生的云服务事件
历数频频发生的云服务事件
不仅亚马逊,云计算领域充满竞争的其他公司,如谷歌和微软等,在近几年也频频发生云服务“中断”事件。
事件一:Google Gmail邮箱爆发全球性故障
Gmail是Google在2004年愚人节推出的免费邮件服务,但是自从推出这项服务以来,时有发生的“中断”事件就成为业界的广泛讨论的话题。
2009年2月24日,谷歌的Gmail电子邮箱爆发全球性故障,服务中断时间长达4小时。谷歌解释事故的原因:在位于欧洲的数据中心例行性维护之时,有些新的程序代码(会试图把地理相近的数据集中于所有人身上)有些副作用,导致欧洲另一个资料中心过载,于是连锁效应就扩及到其它数据中心接口,最终酿成全球性的断线,导致其他数据中心也无法正常工作。
事件过去数日之后,Google宣布针对这一事件,谷歌向企业、政府机构和其他付费GoogleAppsPremier Edition客户提供15天免费服务,补偿服务中断给客户造成的损失,每人合计2.05美元。
事件二:微软的云计算平台Azure停止运行。
2009年3月17日,微软的云计算平台Azure停止运行约22个小时。
虽然,微软没有给出详细的故障原因,但有业内人士分析,Azure平台的这次宕机与其中心处理和存储设备故障有关。Azure平台的宕机可能引发微软客户对该云计算机服务平台的安全担忧,也暴露了云计算的一个巨大隐患。
不过,当时的Azure尚处于“预测试”阶段,所以出现一些类似问题也是可接受。提前暴露的安全问题,似乎也给微软的Azure团队敲了一次警钟,在云计算平台上,安全是客户最看重的环节。
2010年,Azure平台正式投入商用,成为开发者喜爱的云平台之一。
Salesforce.com宕机事件
事件三:Rackspace云服务中断。
2009年6月,Rackspace遭受了严重的云服务中断故障。供电设备跳闸,备份发电机失效,不少机架上服务器停机。这场事故造成了严重的后果。
为了挽回公司声誉,Rackspace更新了所有博客,并在其中详细讨论了整个经过。但用户并不乐意接受。
同年11月,Rackspace再次发生重大的服务中断后。事实上,它的用户是完全有机会在服务中断后公开指责这位供应商的,但用户却表示“该事故并不是什么大事。”看来Rackspace不是走好运,而是持续提供了充足更新并快速修复了这些错误。
在服务中断致使其业务脱机15到20分钟后,博客服务提供商Posterous的创建者之一Sachin Agarwal就发表了自己的观点。Agarwal对此并不生气,相反,他表示Rackspace在这件事上做得“很透明”,处理问题也很及时到位。
看来,如果没有严重数据的丢失,并且服务快速恢复,用户依旧保持愉快的使用体验。对于所谓的“100%正常运行”,大多数用户似乎不会因为偶尔的小事故而放弃供应商,只是不要将问题堆积起来。
事件四:Salesforce.com宕机。
2010年1月,几乎6万8千名的Salesforce.com用户经历了至少1个小时的宕机。
Salesforce.com由于自身数据中心的“系统性错误”,包括备份在内的全部服务发生了短暂瘫痪的情况。这也露出了Salesforce.com不愿公开的锁定策略:旗下的PaaS平台、Force.com不能在Salesforce.com之外使用。所以一旦Salesforce.com出现问题,Force.com同样会出现问题。所以服务发生较长时间中断,问题将变得很棘手。
这场服务中断还没有对公司造成很大影响,它同VMware合作的VMforce在今年春季引起很大反响,同时Salesforce.com首席执行官在服务中断出现后的一个月内又开始宣称Salesforce.com是“最大的云计算企业”。
这次中断事故让人们开始质疑Salesfore.com的软件锁定行为,即将该公司的Force.com平台绑定到Salesforce.com自身的服务。但总之,这次事件只是又一次地提醒人们:百分之百可靠的云计算服务目前还不存在。
微软爆发BPOS服务中断事件
事件五:Terremark宕机事件。
2010年3月,VMware的合作伙伴Terremark就发生了七小时的停机事件,让许多客户开始怀疑其企业级的vCloud Express服务。此次停机事件,险些将vCloud Express的未来断送掉,受影响用户称故障由“连接丢失”导致。据报道,运行中断仅仅影响了2%的Terremark用户,但是造成了受影响用户的自身服务瘫痪。此外,用户对供应商在此次事情上的处理方式极为不满意。
Terremark官方解释是:“Terremark失去连接导致迈阿密数据中心的vCloud Express服务中断。"关键问题是Terremark是怎么解决这个突发事件的,这家公司并没有明确的方案,只是模糊地对用户担保,并对收到影响的用 户进行更新。如果一个运供应商想要说服企业用户在关键时刻使用它们的服务,这样的方式是达不到目的的。
Terremark的企业客户Protected Instries的创立者John Kinsella,在抱怨服务中断让他心灰意冷时称该供应商是“杂货铺托管公司”。Kinsella将Terremark与Amazon做了比较,他抱怨说,Terremark才开始考虑使用的状态报告和服务预警Amazon早已实现。
当然,在对vCloud Director的大肆宣传以及VMworld 2010兴奋地揭幕过后,Terremark服务中断事件似乎只留下了很小的余波。
事件六:Intuit因停电造成服务中断。
2010年6月,Intuit的在线记账和开发服务经历了大崩溃,公司对此也是大惑不解。包括Intuit自身主页在内的线上产品在内近两天内都处于瘫痪状态,用户方面更是惊讶于在当下备份方案与灾难恢复工具如此齐全的年代,竟会发生如此大范围的服务中断。
但这才是开始。大约1个月后,Intuit的QuickBooks在线服务在停电后瘫痪。这个特殊的服务中断仅仅持续了几个小时,但是在如此短时间内发生的宕机事件也引起了人们的关注。
即使一些用户要求“武装”其品牌,Intuit依旧拥有4百万用户并继续进军PaaS和Web服务供应商之路。公司没有Amazon和Rackspace这样的知名度,中断也没有造成很大的影响。Intuit主要因Quicken而闻名。
事件七:微软爆发BPOS服务中断事件。
2010年9月,微软在美国西部几周时间内出现至少三次托管服务中断事件向用户致歉。这是微软首次爆出重大的云计算事件。
事故当时,用户访问BPOS(Business Proctivity Online Suite)服务的时候,如果使用微软北美设施访问服务的客户可能遇到了问题,这个故障持续了两个小时。虽然,后来微软工程师声称解决了这一问题,但是没有解决根本问题,因而又产生了9月3日和9月7日服务再次中断。
微软的Clint Patterson说,这次数据突破事件是由于微软在美国、欧洲和亚洲的数据中心的一个没有确定的设置错误造成的。BPOS软件中的离线地址簿在"非常特别的情况下"提供给了非授权用户。这个地址簿包含企业的联络人信息。
微软称,这个错误在发现之后两个小时就修复了。微软称,它拥有跟踪设施,使它能够与那些错误地下载这些数据的人取得联系以便清除这些数据。
微软的这一系列事件让那些一度考虑使用云计算的人感到忧虑,特别是让考虑使用与Office套装软件捆绑在一起的微软主要云计算产品Office 365的那些人感到担心。可见,就算是着名的微软公司,面对提供公有云服务的安全问题,也显得有些束手无策。所以,业界流程2011年将成为云计算应用之年,这一观点就很难让人信服了。
谷歌邮箱用户数据泄漏事件
事件八:谷歌邮箱再次爆发大规模的用户数据泄漏事件。
2011年3月,谷歌邮箱再次爆发大规模的用户数据泄漏事件,大约有15万Gmail用户在周日早上发现自己的所有邮件和聊天记录被删除,部分用户发现自己的帐户被重置,谷歌表示受到该问题影响的用户约为用户总数的0.08%。
谷歌在Google Apps状态页面表示:"部分用户的Google Mail服务已经恢复过来,我们将在近期拿出面向所有用户的解决方案。"它还提醒受影响的用户说:"在修复帐户期间,部分用户可能暂时无法登录邮箱服务。"
Google过去也曾出现故障,但整个帐户消失却是第一次。在2009年出现最严重的一次故障,有两个半小时服务停顿,许多人当时曾向Google投诉需用这个系统工作。接二连三出错,令全球用户数小时不能收发电邮。Google及微软等科技企业近年大力发展云计算,盼吸引企业客户,但云计算储存多次出事,恐打击用户信心。
事件九:亚马逊云数据中心服务器大面积宕机。
2011年4月22日,亚马逊云数据中心服务器大面积宕机,这一事件被认为是亚马逊史上最为严重的云计算安全事件。
由于亚马逊在北弗吉尼亚州的云计算中心宕机,包括回答服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare在内的一些网站受到了影响。
4月30日,针对上周出现的云服务中断事件,亚马逊周五在网站上发表了一份长达近5700字的报告,对故障原因进行了详尽解释,并向用户道歉。亚马逊还表示,将向在此次故障中受到影响的用户提供10天服务的点数(Credit),将自动充值到受影响的用户帐号当中。
亚马逊在周五的报告中指出,公司已经知道漏洞和设计缺陷所在的地方,它希望通过修复那些漏洞和缺陷提高EC2(亚马逊ElasticComputeCloud服务)的竞争力。亚马逊已经对EC2做了一些修复和调整,并打算在未来几周里扩大部署,以便对所有的服务进行改善,避免类似的事件再度出现。
此事件也引起人们对转移其基础设施到云上的担忧:完全依靠第三方来去报应用程序的可用性是否可行。
㈧ 一、信息系统中的安全风险、安全漏洞和安全威胁,有哪些
随着信息技术的发展和人们的工作生活对信息与网络系统的依赖性的增强,安全威胁的增加、安全事件的频繁出现,社会各界对安全问题日渐重视起来,信息与网络系统的建设重点已经转移到安全系统的建设上来。中软的集中安全管理平台,是国内目前唯一的集中安全管理系统,将全面解决企业信息与网络系统的集中安全管理问题。
一、安全是技术、策略和管理的综合
在过去的几年中,人们把安全系统的建设目光集中到防火墙系统、防病毒系统、入侵检测系统和漏洞扫描系统等几个系统上面,随着这些系统的建设成功,政府、金融、电信和其他企业的网络系统的安全性得到了一定的提升和增强。但是,应该注意的是,国内不少企业虽然花了大量的金钱买了很多安全产品,配置了复杂的安全设备,在一定程度上提升了网络安全的性能,但是同时又出现了不少新的问题,主要表现在:
1、网络安全系统和设备技术难度。网络安全系统和设备技术难度较大,企业在对安全设备进行正确配置时存在一定的技术难题,配置不当的话,可能会出现与安装者期望相反的结果,出现更多的安全漏洞和弱点,不仅不能提升系统的安全性能,相反给黑客提供了更多的可趁之机。
2、网络系统和设备的配置管理。用户配置的网络系统和设备越复杂,在对之进行行之有效的管理层面上的难度就越大。如何有效地对这些系统和设备配置变动、变动权限进行适当地管理,在最大程度上发挥系统和设备的效用,保障用户的安全,将是用户面临的一个严峻的问题。
3、安全事件的收集与分析。大量的安全设备与系统的部署,势必产生大量的安全事件、日志,这些日志和事件如何进行集中的、统一的收集、分析和报告?如何从这些大量的事件中,寻找真正的安全事故?
4、安全事故的处理。一旦出现了安全事故,用户如何寻求一种快捷的解决办法?如何得到一种对事故处理流程方面的支持?如何对处理的办法进行留档保存,以便作为一种知识的积累,做为日后出现类似事故的处理办法参考?
5、安全管理的复杂性。就理论而言,多种安全技术与方法手段是能够全面实现企业所要求的统一的安全策略的,但由于管理的复杂性,在实践操作中的纰漏很可能导致更多的漏洞和弱点,不能真正实现集中的统一的安全策略。
安全问题不是纯粹的技术问题,安全是安全技术、安全策略和安全管理的综合。正是这一安全理念,引导业界对安全管理系统的关注,引导企业对真正的安全—可管理的安全—的渴求。
二、安全管理的四个核心要素
安全管理与网络管理不同,网络管理侧重于网络设备的运行状况、网络拓扑、信元等要素的管理,安全管理主要侧重于网络安全要素的管理。
随着人们对安全的认识逐渐深入,在安全管理的诸多要素中,安全策略、安全配置、安全事件和安全事故这四个要素,最为关键、最为重要。
1、安全策略(Policy)
安全策略是信息安全的灵魂。安全策略是企业建立信息系统安全的指导原则。它明确了如何建立企业安全的信息系统,保护什么资源,得到什么样的保护。安全策略是企业控制信息系统安全的安全规则,即根据安全需求、安全威胁来源和企业组织机构状况,定义安全对象、安全状态及应对方法。安全策略是企业检查信息系统安全的唯一依据。企业信息系统是否安全,安全状况如何,如何检查、修正,唯一的依据就是安全策略。
安全策略作为企业的标准规范,需要让企业每个员工知晓,员工需要通过一定的途径、方式和方法了解安全策略、参与安全策略制定过程、接受安全策略的系统培训。
安全策略的一致性管理和生命周期管理也是很重要的一个方面。策略之间不能相互冲突,否则就会出现矛盾,就会失效。安全策略不能一成不变,随着技术的变化,时间的推移,安全策略需要得到不断的更新和调整,确保安全策略的时效性。
安全策略必须通过技术的方法、管理的手段和企业员工的主观能动性来实现。
2、安全配置(Rule, Option and Configuration)
安全配置是对安全策略的微观实现。安全配置是企业构建安全系统的各种安全设备、系统的安全规则、选项、策略配置。
安全配置不仅包括防火墙系统、入侵检测系统、VPN系统等安全系统的安全规则、选项和配置,同时也包括各种操作系统、数据库系统、群件系统等系统配置的安全设置、加固和优化措施。
安全配置的配置好坏直接关系到安全系统能够发挥作用的关键。配置得好,能够充分发挥安全系统和设备的安全作用,实现安全策略的具体要求;配置得不好,不仅不能发挥安全系统和设备的安全作用,相反可能会起副作用,如:网络不通畅,网络运行效率下降等。
安全配置必须得到严格的管理和控制,不能被任意人随意更改。同时,安全配置必须备案,必须做到定期更新和复查,确保其能够反映安全策略的需要。
3、安全事件(Event)
所谓“事件”,是指那些影响计算机系统和网络安全的不当行为。而计算机系统和网络的安全从小的方面说是计算机系统和网络上数据与信息的保密性(Confidential)、完整性(Integrity)以及信息、应用、服务和网络等的可用性(Availability)。从大的方面来说,越来越多的安全事件随着网络的发展而出现,比如电子商务中抵赖、网络扫描和骚扰性行为,所有不在预料的对系统和网络的使用和访问均有可能导致违反既定安全策略的安全事件。安全事件是违背安全策略要求的行为。
安全事件有各种安全系统和设备的日志和事件,网络设备的日志和事件,操作系统的日志和事件,数据库系统的日志和事件,应用系统的日志和事件组成,它直接反映网络、系统、应用的安全现状和发展趋势,是信息与网络安全状况的晴雨表。安全事件是安全管理的重点和关键的要素。
安全事件数量多、分布比较分散,技术分析比较复杂,因此,安全事件也是比较难以管理的要素。在实际工作中,不同的系统有不同的安全管理员管理,面对大量的日志和安全事件,很多管理员往往敷衍了事,很多管理员根本就没有时间和精力对大量的日志和安全事件进行逐一分析和察看,安全系统和设备的安装形同虚设,没有发挥其应有的作用。
安全事件可能不造成任何影响,它只是一种征兆、一种过程。但大量的日志和安全事件是能够在一定程度上反映网络安全现状和发展趋势的。
安全事件必须通过一定的方法手段收集起来,用技术的方法和手段,集中进行冗余处理、综合分析、趋势分析,从大量的安全事件中寻找真正影响网络、系统和应用运行的安全事件—安全事故。
4、安全事故(Accident)
安全事故是造成一定影响和损失的安全事件,是真正的安全事件。一旦出现安全事故,企业就必须采取相应的处理措施和行动,来阻止和减小事故带来的影响和损失。
安全事故必须得到准确地、迅速地处理,必须找到事故的原因、源头、始作俑者和动机。
要迅速准确处理安全事故必须能够准确了解事故现场系统或设备的状况,这就需要有信息资产库的支持;必须迅速了解处理事故所需的技术、方法和手段,这就需要强大的知识库的支持。
三、集中安全管理技术与方法
集中安全管理不是简单的管理区域、管理权限、管理人员的集中,而是必须基于先进的、可控的管理技术的安全管理。在集中安全管理中,必须解决下列技术和方法:
1、集中安全管理协议技术:实现安全组件的集中管理与监控的前提条件就是通信协议,我们将它称为“安全组件交互通信协议”,这一协议和基于这一安全协议的管理代理程序的研究与开发是实现集中安全管理的关键。这一协议的实现,确保安全管理的可能,否则,集中安全管理不是通用的,而是定制的,管理具有很大的局限性。
2、安全策略规范定义与表述技术:安全策略的规范描述定义和表示是集中策略管理的核心。
3、集中日志的分析技术:集中的日志收集和审计、分析与报告是日志管理的关键。
传统的日志分析方法是对单一日志进行简单统计与汇总分析,集中安全管理的日志来源广泛,他们来源于不同的主机与设备、不同的网段。对这些日志的相关性分析是准确把握安全事件的关键,也是准确分析安全事件的基础。
4、安全组件互动控制与管理技术:安全设备与系统之间的协同工作方式、流程与安全,是安全设备与系统之间的协同工作的关键。
5、集中的事件/事故处理流程与响应技术。
四、集中安全管理平台
中软的集中安全管理平台,是国内目前唯一的集中安全管理系统,将全面解决企业信息与网络系统的集中安全管理问题,帮助企业实现企业信息与网络系统的主要安全要素的管理、企业信息与网络系统统一安全策略的管理、企业信息与网络系统安全组件的统一配置管理、企业信息与网络系统安全事件的集中审计和安全事故的集中处理管理,有助于推进政府机关与企业信息与网络系统的安全运行中心的建设。
集中安全管理平台是企业信息与网络系统安全策略统一管理、安全设备与安全系统的集中管理、安全设备与安全系统配置的集中管理、安全设备与系统之间的协同工作管理、安全设备与系统的日志的集中审计、分析与报告、以及实现企业安全事件应急响应管理的综合平台,是企业实现信息与网络系统真正意义上的安全的管理平台。
安全管理同网络管理一样,必须统一,不能各自为政,要全局考虑,一盘棋。不同的安全要素的安全实现方法,要分布式地层次化的布控,同时要集中管理。集中的管理必须突出重点,关注要害,关注重点,这就是:集中的管理企业统一的安全策略;集中的管理安全系统和设备的安全配置;集中的管理信息与网络系统的安全事件;集中的管理安全事故的应急响应过程。
1、中软集中安全管理平台的主要功能:
(1)、集中管理企业统一的安全策略。即通过统一的平台,对系统内的安全设备与系统的安全策略进行管理,实现全系统的安全策略的统一配置、分发与管理。
(2)、集中管理安全设备与系统。即管理企业网络系统所有的安全设备与系统,实现安全设备与系统的集中管理,起到安全网管的作用。在统一的管理平台上,配置、管理全网安全设备与系统的配置和参数。
(3)、集中管理安全事件和日志。通过统一的技术方法,将全系统中的安全日志,安全事件集中收集管理,实现日志的集中、审计、分析与报告。同时,通过集中的分析审计,发现潜在的攻击征兆和安全发展趋势。
(4)、集中管理安全组件协同工作。安全设备与系统之间的协同工作,共同发挥强大的安全防范作用。
(5)、集中管理安全事件的应急响应流程。安全事件/事故处理流程管理,处理过程的监督管理。确保任何安全事件/事故得到及时的响应和处理。
2、中软集中安全管理平台的四大核心模块
(1)、集中管理企业统一的安全策略——安全策略管理平台GSPDirector™
集中安全策略管理平台(GSPD)是一套基于Web的安全工具,它综合了信息安全策略的技术方面和人性方面的因素。GSPD对于策略管理采用一种生命周期方法,使策略管理过程中的每一步自动化实现。它也通过一个中心数据库提供事件报告和跟踪功能,是一套根据安全性标准诸如ISO 17799,跟踪一致性的理想工具。
*主要功能:安全策略模块;安全策略发布;安全策略修正;安全策略文档;安全策略版本控制;BS7799兼容;基于web发布;基于策略规则化。
*主要特点:基于知识库的安全策略定制平台;科学的、形式多样的策略模版支持;定制策略标准、规范,易于维护;符合ISO17799标准;B/S模式,易学易用。
(2)、集中管理安全系统的安全配置——安全配置管理平台GSCManger™
安全配置管理平台是企业集中管理安全系统/设备中配置的统一平台。安全系统和设备的配置的修改、调整必须通过本平台实施、登记、存档,否则,不允许进行配置的修改和调整。
*主要功能:建立可配置管理信任关系;安全域配置;统一安全策略规则化、通用化、具体化;兼容安全组件的集中配置和管理;配置管理实施的有效性监测。
*主要特点:将多种安全系统的配置系统集于一体,便于维护、便于管理;分权分级管理模式,安全可靠;集成度高,方便实用;和安全策略管理平台的集成,易于实现企业总体的安全策略。
(3)、集中管理信息系统的安全事件——安全事件管理平台GSEAuditor™
*主要功能:集中收集安全事件;安全事件的冗余处理;集中综合(关联)分析安全事件;集中安全事件报告;安全事件趋势分析;集中安全事件预警。
*主要特点:事件源头支持丰富,收集事件程序兼容性好;事件冗余处理能力强,大大减少了事件的存储量;事件的关联分析、二次综合分析能力强,不会遗漏真正的安全事件—事故;系统界面友善,数据、报表和图示,准确地显示了各安全系统工作状况、整个系统的安全状况;报表形式多样,安全状况、安全趋势报告准确;分权分级管理体系,安全可靠。
(4)、集中管理安全事故的应急响应过程——安全事故应急响应中心GSAResponsor™
*主要功能:灵活的事故分发管理;事故处理流程管理;事故处理过程交互管理;事故处理状态控制与有效性管理;知识库查询(解决方案、技术信息);资产信息库查询;事故处理报告;自我服务(基于web的帮助系统)。
*主要特点:基于传统Call Center的事故分派系统,能够准确将安全事故及时、准确地分派到响应工程师;工作流定义灵活,通知方式多样化,提高了准确率;以事故为纽带,准确的将事故源、响应工程师、安全主管、安全厂商连接在一起,构成准确的、高效的安全事故响应体系;安全知识库内容丰富,安全知识组织途径多样,便于响应工程师及时得到处理事故的方法、技术和技巧;信息资产数据库将客户的信息资产的质量、数量、布控位置、配置状况、安全状况、历史运行状况悉数管理起来,是客户信息资产的好管家,便于应急响应工程师及时得到事故发生目标设备的状况,提高事故处理效率。
安全管理必须独立于网络管理。网络管理部门通常称为网络管理中(NOC),安全管理业界通常将它称为安全运行中心(SOC)。根据企业网络、系统、应用和安全设备的部署情况,建议在技术条件成熟的情况下,部署系列安全管理组件,构建企业的安全运行中心(SOC),针对安全管理关键要素:安全策略、安全配置、安全事件和安全事故进行集中管理,实现企业信息与网络系统真正意义上的安全--可管理的安全。
㈨ 辽宁省安全生产监督管理考核答案出不来
安全产管理制度
()迄则
第条 加强公司产工作劳保护、改善劳条件保护劳者产程安全健康促进公司事业发展根据关劳保护令、规等关规定结合公司实际情况特制定本制度
第二条 公司安全产工作必须贯彻安全第预防主针贯彻执行总经理(定代表)负责制各级领导要坚持管产必须管安全原则产要服安全需要实现安全产及文明产
第三条 安全产面突贡献团体要给予奖励;违反安全产制度操作规程造事故责任者要给予严肃处理;触及刑律交由司机关论处
(二)机构与职责
第四条 公司安全产委员(简称安委)公司安全产组织领导机构由公司领导关部门主要负责组其主要职责:全面负责公司安全产管理工作研究制订安全产技术措施劳保护计划实施安全产检查监督调查处理事故等工作安委事务由安全产委员办公室(简称安委办)负责处理
第五条 公司属产单位必须立安全产领导组负责本单位职工进行安全产教育制订安全产实施细则操作规程实施安全产监督检查贯彻执行安委各项安全指令确保产安全安全产组组由各单位领导担任并按规定配备专(兼)职安全产管理员各机楼(房)、产班组要选配名脱产安全员
第六条 安全产主要责任划:单位行政第手本单位安全产第责任管产领导专(兼)职安全产管理员本单位安全产主要责任
第七条 各级工程师技术员审核、批准技术计划、案、图纸及其各种技术文件必须保证安全技术劳卫技术运用准确性
第八条 各职能部门必须本职业务范围内做安全产各项工作
第九条 公司安全产专职管理干部职责:
1.协助领导贯彻执行劳保护令、制度综合管理安全产工作
2.汇总审查安全产措施计划并督促关部门切实按期执行
3.制定、修订安全产管理制度并些制度贯彻执行情况进行监督检查
4.组织展安全产检查经深现场指导产劳保护工作遇特别紧急安全情况权指令停止产并立即报告领导研究处理
5.总结推广安全产先进经验协助关部门搞安全产宣传教育专业培训
6.参加审查新建、改建、扩建、修工程设计文件工程验收及试运转工作
7.参加伤亡事故调查处理负责伤亡事故统计、析报告协助关部门提防止事故措施井督促其按实现
8.根据关规定制定本单位劳防护用品、保健食品发放标准并监督执行
9.组织关部门研究制定防止职业危害措施并监督执行
10.级指示基层情况传达做信息反馈工作
第十条 各产单位专(兼)职安全产管理员要协助本单位领导贯彻执行劳保护规安全产管理制度处理本单位安全产事务安全产检查监督工作
第十条 各机楼(房)产班组安全员要经检查、督促本机楼(房)、班组员遵守安全产制度操作规程做设备、工具等安全检查、保养工作及向级报告本机楼(房)、班组安全产情况做原始资料登记保管工作
第十二条 职工产、工作要认真习执行安全技术操作规程遵守各项规章制度护产设备安全防护装置、设施及劳保护用品发现安全素及报告领导迅速予排除
(三)教育与培训
第十三条 新职工、临工、民工、实习员必须先进行安全产三级教育(即产单位、机楼(房)或班组、产岗位)才能准其进入操作岗位改变工种工必需重新进行安全教育才能岗
第十四条 事锅炉、压力容器、电梯、电气、起重、焊接、车辆驾驶、杆线作业、易燃易爆等特殊工种员必须进行专业安全技术培训经关部门严格考核并取合格操作证(执照)才能准其独立操作特殊工种岗员必须进行经性安全教育
(四)设备、工程建设、劳场所
第十五条 各种设备仪器超负荷带缺陷运行并要做确使用经维护定期检修符合安全要求陈旧设备应计划更新改造
第十六条 电气设备线路应符合家关安全规定电气设备应熔保险漏电保护绝缘必须良并靠接或接零保护措施;产量蒸气、腐蚀性气体或粉尘工作场所应使用密闭型电气设备;易燃易爆危险工作场所应配备防爆型电气设备;潮湿场所移式电气设备应采用安全电压电气设备必须符合相应防护等级安全技术要求
第十七条 引进外设备内能配套安全附件必须同引进引进安全附件应符合我安全要求
第十八条 凡新建、改建、扩建、迁建产场及技术改造工程都必须安排劳保护设施建设并要与主体工程同设计、同施工、同投产(简称三同)
第十九条 工程建设主管部门组织工程设计竣工验收应提劳保护设施设计案完情况质量评价报告经同级劳资、卫、保卫等部门工组织审查验收并签名盖章施工、投产未经部门同意强行施工、投产要追究关员责任
第二十条 劳场所布局要合理保持清洁、整齐毒害作业必须防护设施
第二十条 产用房、建筑物必须坚固、安全;通道平坦、畅顺要足够光线;产所设坑、壕、池、走台、升降口等危险处所必须安全设施明显安全标志
第二十二条 高温、低温、潮湿、雷电、静电等危险劳场所必须采取相应效防护措施
第二十三条 雇请外单位员公司场进行施工作业主管单位应加强管理必要实行工作票制度违反作业规定并造公司财产损失者须索赔并严加处理
第二十四条 雇请施工员需进入机楼、机房施工作业须保卫部办理《入许证》;需明火作业者须填写《公司临火作业申请表》办理相关手续
(五)电信线路
第二十五条 电信线路设计、施工维护应符合邮电部安全技术规定凡事电信线路施工维护等工作员均要严格执行《电信线路安全技术操作规程》
第二十六条 电信线路施工单位必须按照安全施工程序组织施工架空线路、线、及平底电缆、管道等电信施工工程及施工环境都必须相应采取安全防护措施施工工具仪表要合格、灵敏、安全、靠高空作业工具防护用品必须由专业产厂家管理部门提供并经检查定期鉴定
第二十七条 电信线路维护要严防触电、高空坠落倒杆事故线路维护前定要先检查线杆根基牢固状况电路验电确认安全准操作操作要严密注意电力线通信线操作安全影响严格按照操作规程作业准聘用或留用退休职工担任线路架设工作
(六)易燃、易爆物品
第二十八条 易燃、易爆物品运输、贮存、使用、废品处理等必须设防火、防爆设施严格执行安全操作守则定员定量定品种安全规定
第二十九条 易燃、易爆物品使用贮存点要严禁烟火要严格消除能发火灾切隐患检查设备需要用明火必须采取妥善防护措施并经关领导批准专监护进行
(七)电梯
第三十条 签订电梯订货、安装、维修保养合同须遵守市劳部门规定关安全要求
第三十条 新购电梯必须取家关许证并劳部门备案单位设计、产产品电梯销售商须设立(经劳局备案认)维修保养点或式委托保养点
第三十二条 电梯使用必须取劳部门颁发《电梯使用合格证》
第三十三条 工程部门办理新安装电梯移交除应移交关文件、说明书等资料外须告诉接受单位关电梯维修、检测审等事宜
第三十四条 负责管理电梯单位要切实加强电梯管理、使用维修、保养、审等工作发现隐患要立即消除严禁电梯带隐患运行
第三十五条 确实需要聘请外单位员安装、维修、检测电梯雇请单位必须劳部门安全认单位
第三十六条 电梯管理单位须电梯维修、检测、审运行情况等资料影印副本报公司安委办备案
(八)防护用品职业危害预防与治疗
第三十七条 根据工作性质劳条例职工配备或发放防护用品各单位必须教育职工确使用防护用品懂防护用品用途性能准岗操作
第三十八条 努力做防尘、防毒、防辐射、防暑降温工作防噪音工程进行经性卫监测超家卫标准毒害作业点应进行技术改造或采取卫防护措施断改善劳条件按规定发放保健食品补贴提高毒害作业员健康水平
第三十九条 事毒害作业员要实行每定期职业体检制度确诊职业病患者应立即报公司事部由事部或公司安委视情况调整工作岗位并及做治疗或疗养决定
第四十条 禁止龄满18岁青少事毒害产劳禁止安排职工怀孕期、哺乳期事影响胎、婴健康毒害作限
(九)检查整改
第四十条 坚持定期或定期安全产检查制度公司安委组织全公司检查每少于二;各产单位每季检查少于;各机楼(房)产班组应实行班前班检查制度;特殊工种设备操作者应进行每检查
第四十二条 发现安全隐患必须及整改本单位能进行整改要立即报告安委办统安排整改
第四十三条 凡安全产整改所需费用应经安委办审批劳保技措经费项目列支
(十)奖励与处罚
第四十四条 公司安全产工作应每总结总结基础由公司安全产委员办公室组织评选安全产先进集体先进
第四十五条 安全产先进集体基本条件:
1.认真贯彻安全第预防主针执行级关安全产令规落实总经理负责制加强安全产管理
2.安全产机构健全员措施落实能效展工作
3.严格执行各项安全产规章制度展经性安全产教育断增强职工安全意识提高职工自我保护能力
4.加强安全产检查及整改事故隐患尘毒危害积极改善劳条件
5.连续三责任性职工死亡重伤事故交通事故逐减少安全产工作绩显着
第四十六条 安全产先进条件:
1.遵守安全产各项规章制度遵守各项操作规程遵守劳纪律保障产安全
2.积极习安全产知识断提高安全意识自我保护能力
3.坚决反违反安全产规定行纠制止违章作业、违章指挥
第四十七条 安全产特殊贡献给予特别奖励
第四十八条 发重事故或死亡事故(含交通事故)事故单位(室)给予扣发工资总额处罚并追究单位领导责任
第四十九条 凡发事故要按关规定报告瞒报、虚报、漏报或故意延迟报除责补报外事故单位(室)给予扣发工资总额处罚并追究责任者责任触及刑律追究其律责任
第五十条 事故责任者视情节给予批评教育、经济处罚、行政处触及刑律者依论处
第五十条 单位扣发工资总额处罚高超3%;职工处罚高超产性奖金总额(含应赔偿款项)并处行政处
第五十二条 由于各种意外(含)素造员伤亡或厂房设备损毁或产、受破坏情况均本企业故事划工伤事故、设备(建筑)损毁事故、交通事故三种(车辆、驾驶员、交通事故等制度由行政部参照本规定另行制订并组织实施)
第五十三条 工伤事故指职工产劳程发身伤害、急性毒事故包括几种情况:
1.事本岗位工作或执行领导临指定或同意工作任务造负伤或死亡
2.紧急情况(抢险、救灾、救等)事企业或社益工作造疾病、负伤或死亡
3.工作岗位或经领导批准其场所工作造负伤或死亡
4.职业性疾病及由造死亡
5.乘坐本单位机车辆、听报告、参加行政指派各种劳乘坐本单位指定班接送车辆班所乘坐车辆发非本所应负责意外事故造职工负伤或死亡
6.职工虽产或工作岗位由于企业设备、设施或劳条件良引起负伤或死亡
第五十四条 职工发事故所受伤害:
1.轻伤:指负伤需要歇工1工作低于际标准106未达重伤程度失能伤害
2.重伤:指符合劳部门《关于重伤事故范围意见》所列情形伤害;损失工作总超际标准105失能伤害
3.死亡
第五十五条 发员伤亡产事故(含交通事故)按经济损失程度级:
1.般事故:经济损失足1万元事故
2.事故:经济损失等于或于1万元于10万元事故
3.重事故:经济损失等于或于10万元于100万元事故
4.特事故:经济损失等于或于1加万元事故
第五十六条 发事故单位必须按照事故处理程序进行事故处理:
1.事故现场员应立即抢救伤员保护现场抢救伤员防止事故扩需要移现场物件必须做标志详细记录或拍照绘制事故现场图
2.立即向单位主管部门(领导)报告事故单位即向公司安委办报告
3.展事故调查析事故原公司安委办接事故报告应迅速指示关单位进行调查轻伤或般事故15内重伤事故或事故30内向关部门报送《事故调查报告书》事故调查处理应接受工组织监督
4.制定整改防范措施
5.事故责任者做适处理
6.事故通报事故析等形式教育职工
第五十七条 员伤亡交通事故
1.机车辆驾驶员发事故驾驶员关员必须协助交管部门进行事故调查、析参加事故处理事故单位应及向安委办报告般24内报告事故或死亡事故应即报告事需补写事故经)6书面报告肇事者应两内写书面报告交给单位领导肇事单位应七内肇事者报告随本单位报告并送交安委办
2.员工驾车肇事应根据公安部门裁定经济损失数额10%事故资任者进行处罚处罚款项原则由肇事财务部缴纳处罚高款顷超度公司均产性奖金总额(基数1.0计)限
3.凡未经交管部门裁决私协商解决赔偿事故公司经济损失咀保险公司规定免赔额其超部由肇事者自负
4.擅自挪用车辆办私事发事故按第1款规定加倍处罚;视悄古给予扣发内奖金或并处行政处
5.凡私事经主管领导同意借用公车发事故参照第2款处理
6.发事故隐瞒报(超限两属瞒报)每加扣事三月内向奖金
7.带病车或车辆交给证员或未经行政部门批准驾驶公司车两驾驶每扣两月奖金
第五十八条 事故原查清各关面于事故析事故9任者处理能取致意见劳资部门权提结论性意见交由单立及主管部门处理
第五十九条 调查处理事故玩忽职守、滥用职权、徇私舞弊者应追究其行政责任触及刑律追究刑事责任
第六十条 各级单位领导或关干部、职工其职责范围内履行或确履行自应尽职责行造事故按玩忽职守论处:
1.执行关规章制度、条例、规程或自行其
2.能造重伤亡险情隐患采取措施或措施采取力
3.接受主管部门管理监督听合理意见主观武断顾安危强令违章作业
4.安全产工作漫经马虎草率麻痹意
5.安全产检查、督促、指导放任自流
6.延误装、修安全防护设备或装、修安全防护设备
7.违反操作规程冒险作业或擅离岗位或作业漫经
8.擅危险禁标志设备、机器、关、电闸、信号等
9.服指挥劝告进行违章作业
10.施工组织或单项作业组织严重错误
第六十条 各单位根据本规定制订具体实施措施
第六十二条 本规定由公司安委办负责解释
第六十三条 本规定自发文起执行公司前制定关制度、规定等与本规定抵触按本规定执行
㈩ 安全风险评估报告如何优化
安全风险评估工作作为企业的一项常态性工作应该紧抓不放,只有通过全面识别风险,准确评价风险,有效控制风险,全面增强安全工作的预见性、防范性和科学性,才能有效确保企业的正常生产活动。然而,由于部分企业编配岗位限制,许多部门交叉兼职,加上专业技术力量薄弱、专业人才欠缺,同时没有专业的安全风险评估组织机构和专门的评估程序及方法,导致安全风险评估存在着这样那样的问题。如何结合企业的实际情况,采取有效应对措施做好企业的安全风险评估工作,防范重大安全事故发生,是摆在企业面前的一项现实而又紧迫的任务,必须引起高度重视。