導(dǎo)語(yǔ)：如何才能寫好一篇安全審計(jì)總結(jié)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：核電站;結(jié)構(gòu)設(shè)計(jì);核安全;縱深設(shè)防;核安全法規(guī)

中圖分類號(hào)： 文獻(xiàn)標(biāo)識(shí)碼：A

一、引言

核能的發(fā)現(xiàn)與和平利用是科學(xué)進(jìn)步與發(fā)展的一個(gè)重要里程碑，也成為世界各國(guó)經(jīng)濟(jì)發(fā)展的引擎。核電站與其它能源工程一樣，可能因?yàn)樵O(shè)計(jì)不當(dāng)、機(jī)械故障、運(yùn)行管理失誤及其它不可抗力造成各種不同程度的事故①。在全世界反應(yīng)堆的整個(gè)歷史中，曾經(jīng)發(fā)生過(guò)各種類型的核事故。美國(guó)在1943至1967年的25年間共發(fā)生在核設(shè)施上的事故有326起，全世界發(fā)生堆芯熔化事故共有19次，其中有13次是發(fā)生在研究、實(shí)驗(yàn)堆上的，占總數(shù)的69%。有4次是發(fā)生在生成堆上的，有兩次是發(fā)生在核電站上（其中一次發(fā)生在實(shí)驗(yàn)性核電站）。至今最為嚴(yán)重的核電站安全事故有1979年3月28日美國(guó)三里島二號(hào)堆的堆芯熔化事故。1986年4月26日蘇聯(lián)（Three Mile Island）切爾諾貝利（Chernobyl）發(fā)生4號(hào)機(jī)組爆炸。2011年3月11日日本東北海域發(fā)生9級(jí)大地震，大地震引發(fā)的海嘯使有世界第一大核電站之稱的福島（Fukushima）4號(hào)機(jī)組連續(xù)發(fā)生爆炸②，使世界再次陷入核恐怖之中。商用核工業(yè)的安全問(wèn)題再次引發(fā)全球的高度關(guān)注。核電站的安全性是核工業(yè)發(fā)展的生命，“多重屏障、縱深設(shè)防”（multibarrier system and defence indepth concept）是核安全設(shè)計(jì)的指導(dǎo)方針。

二、核電站的結(jié)構(gòu)設(shè)計(jì)與堆型

核電站的能量主要來(lái)自于核反應(yīng)堆芯中核燃料（235U、 239Pu或233U）的裂變反應(yīng)。在裂變過(guò)程中，可裂變的重核（235U、 239Pu或233U）吸收中子后可分裂成兩個(gè)裂變碎片，這種裂變過(guò)程可產(chǎn)生巨大的能量，并釋放出2～3個(gè)中子以及β和γ射線，這種裂變反應(yīng)持續(xù)進(jìn)行也就不斷的釋放出能量，實(shí)現(xiàn)可控的鏈?zhǔn)搅炎兎磻?yīng)，就可使1Kg的235U釋放出2700噸煤所釋放出的能量，這種能量被利用來(lái)產(chǎn)生蒸汽推動(dòng)發(fā)電機(jī)。所有的核電機(jī)組都是圍繞這一目的而設(shè)計(jì)的，但由于核燃料、冷卻劑、冷卻方式、中子慢化劑的不同，反應(yīng)堆又分有許多種不同的堆型（表1），如：

（1）輕水慢化反應(yīng)堆：這類堆包括壓水堆（PWR）和滯水堆（BWR），以及用核過(guò)熱的改進(jìn)型反應(yīng)堆;

（2）重水慢化反應(yīng)堆：這類堆也用重水冷卻，但這不是必不可少的;

（3）有機(jī)冷卻反應(yīng)堆：這類反應(yīng)堆石墨是慢化劑，鈉是冷卻劑;

（4）鈉-石墨反應(yīng)堆：這類反應(yīng)堆中，石墨是慢化劑，鈉是冷卻劑;

（5）氣冷反應(yīng)堆：這類反應(yīng)堆用天然鈾或濃縮鈾作燃料，并用二氧化碳和氮作冷卻劑;

（6）快增殖反應(yīng)堆：冷卻劑通常用鈉，在實(shí)驗(yàn)系統(tǒng)中曾用過(guò)鈉-鉀合金;

（7）液體燃料反應(yīng)堆：這類反應(yīng)堆包括熱中子增殖堆（水均勻堆），液態(tài)金屬和熔鹽燃料熱，中子堆，以及某些快中子堆方案。

核反應(yīng)堆的堆型結(jié)構(gòu)存在先天性的安全缺陷，雖然核電站的技術(shù)水平在不斷提高，并有重大突破，但要確保安全上的萬(wàn)無(wú)一失，還有很多工作要做。目前很多核工業(yè)國(guó)家對(duì)不同類型的先進(jìn)壓水堆進(jìn)行了研發(fā)并取得了進(jìn)展，這些改進(jìn)型（evolutionary）先進(jìn)壓水堆核電機(jī)組具有代表性的有美國(guó)system 80+以及非能動(dòng)型①（passive）AP1000、法國(guó)EPR（The European pressurized Reactor）、日本APWR以及APWR+、韓國(guó)KSNP+以及APR1400等。以原子核裂變而獲取能量的反應(yīng)堆，通常劃分為四代：

第一代反應(yīng)堆主要是1970年投入運(yùn)行的各種原型堆，如UNGG、Shipping pont、Magnex、Fermi I;

第二代反應(yīng)堆包括1970至1995年投入運(yùn)行的各類商用反應(yīng)堆，如壓水堆、滯水堆、WWER和CANDV;

第三代反應(yīng)堆主要是指ABWR、AP600、AP1000、EPR模塊式高溫氣冷堆;

第四代核能系統(tǒng)把反應(yīng)堆和燃料循環(huán)方面的重大創(chuàng)新和開發(fā)作為目標(biāo)，其特點(diǎn)是高安全性、經(jīng)濟(jì)性、可靠性以及少放射性廢物和核不擴(kuò)散限制，現(xiàn)經(jīng)篩選后確定有六種堆型：

WHTR：用氮?dú)饫鋮s特高溫（1000～12000C）反應(yīng)堆，主要用于制氫或制氫發(fā)電用;

GFR：用氮?dú)庾鬏d熱劑的快中子反應(yīng)堆;

SFR： 用鈉作載熱劑的快中子反應(yīng)堆;

LFR：用鉛合金作載熱劑的快中子反應(yīng)堆;

SCWR：超臨界水堆;

MSR：熔鹽反應(yīng)堆。

我國(guó)第一座核電站秦山一期于1985年3月20日開工，1991年12月15日開網(wǎng)發(fā)電，其技術(shù)現(xiàn)狀與路線如下圖所示（圖1）：

中國(guó)壓水堆核電站的主要技術(shù)參數(shù)如表2所示。

2007年國(guó)家發(fā)展與改革委員會(huì)公布了我國(guó)《核電中長(zhǎng)期發(fā)展規(guī)劃（2005-2020）》，邁出了“積極發(fā)展核電”的重要一步，提出2020年核電裝機(jī)容量應(yīng)達(dá)到4000Mw。近期目標(biāo)（2010年以前）是開發(fā)和引進(jìn)美國(guó)西屋公司AP1000堆型，遠(yuǎn)期目標(biāo)（2030年）前是參與國(guó)際合作開發(fā)PBMR（The pebble-bed module reactor）和IRSI（The international Reactor innovative & secure）非能動(dòng)型先進(jìn)輕水堆或先進(jìn)氣冷堆。

三、核電站安全的基本原則與保障

核電站總的安全目標(biāo)在建立并維持一套有效的防護(hù)措施，以保證人員、社會(huì)及環(huán)境免遭放射性危害。國(guó)際原子能機(jī)構(gòu)（IAEA）下設(shè)國(guó)際核安全咨詢組（INSAG），該組織提出三個(gè)最重要的安全目標(biāo)，即安全總目標(biāo)、輻射防護(hù)目標(biāo)及技術(shù)安全目標(biāo)，并安排了一套由十二個(gè)基本安全原則所組成的基本安全原則（三個(gè)與安全處置有關(guān)，三個(gè)與縱深防御有關(guān)，還有六個(gè)是技術(shù)原則），它為眾多的具體安全原則提供了一個(gè)總的框架。表3給出了安全目標(biāo)和安全原則的結(jié)構(gòu)表達(dá)方式：

表3 INSAG的核電廠安全目標(biāo)和安全原則

專注于設(shè)計(jì)防止核電站放射性物質(zhì)泄漏的多重屏障主要有三道：

第一道屏障――燃料包殼（cladding）。燃料芯塊疊裝在鋯合金管中，把管子密封起來(lái)，組成燃料棒，一般稱鋯管為燃料包殼，它把核燃料裂變后產(chǎn)生的放射性物質(zhì)密封在燃料包殼之內(nèi)，不使漏出，這是第一道屏障。

第二道屏障――壓力殼pressure vessel，即反應(yīng)堆冷卻劑壓力邊界。燃料包殼密封萬(wàn)一破壞，放射性物質(zhì)雖會(huì)漏到水中，但仍然在一回路系統(tǒng)密閉循環(huán)之內(nèi)，這個(gè)密閉的一回路系統(tǒng)統(tǒng)稱反應(yīng)堆冷卻劑壓力邊界（RCPB）①，主要由壁厚200um左右厚的壓力殼（Pressure vessel）②和不銹鋼無(wú)縫鋼管，其循環(huán)主泵和蒸汽發(fā)生器也都各有特殊措施防止一回路水泄露。

第三道屏障-安全殼（containing vessel，containment）前包容反應(yīng)堆的一種氣密性的殼體或其他密閉裝置，主要用于在事故情況下控制裂變產(chǎn)物不致向大氣釋出。它是一個(gè)圓筒形的大型預(yù)應(yīng)力鋼筋混凝土建筑物，內(nèi)徑37mm或39mm，高60m～70m，壁厚約1m，內(nèi)襯一層6mm厚的不銹鋼鋼板以形成完全密封的大廳，一回路系統(tǒng)的設(shè)備都安裝這里，如果一回路系統(tǒng)發(fā)生泄漏，安全殼可將漏出的放射性物質(zhì)包含在大廳內(nèi)。安全殼在設(shè)計(jì)上除了密封性能要求外，還要求有抗擊外來(lái)沖擊的能力，如承受噴氣式飛機(jī)墮毀式的撞擊，以及地震時(shí)沖擊力。

核電站除設(shè)計(jì)時(shí)圍繞保證三道屏障的完整性之外，進(jìn)一步實(shí)施“縱深防御”戰(zhàn)略。縱深防御概念為核電廠的安全措施和安全設(shè)施提供了總戰(zhàn)略，其原則為補(bǔ)救潛在的人因差錯(cuò)或機(jī)械失效時(shí)防止放射性物質(zhì)釋放到環(huán)境中，這個(gè)概念包括防止損壞電廠和屏障本身來(lái)保護(hù)這些屏障，還包括進(jìn)一步的措施使得在這些屏障不完全有效的情況下不致危及公眾和環(huán)境。縱深防御也包括三個(gè)措施：

第一個(gè)措施首先是提高核電站的設(shè)計(jì)和制造質(zhì)量，以確保核電站的運(yùn)行安全。

第二個(gè)措施是設(shè)計(jì)一整套完整的保護(hù)系統(tǒng)，這些保護(hù)系統(tǒng)能對(duì)不正常的運(yùn)行瞬態(tài)（OPTRAN，operational-transient）進(jìn)行控制直至停止，從而保持各屏障的完整性。

第三個(gè)措施是有一套工程安全設(shè)施，在核電站發(fā)生事故甚至嚴(yán)重事故情況下，這些工程安全設(shè)施能夠發(fā)揮作用，不使事故擴(kuò)大，防止堆芯發(fā)生燒毀，保證第三道屏障即安全殼的完整性。最終目的就是使放射性物質(zhì)的外逸在允許的范圍之內(nèi)（表4）。

表4 核電站縱深設(shè)防概貌

對(duì)策 事故預(yù)防 事故緩解

事件 正常運(yùn)行 預(yù)期運(yùn)行工況 設(shè)計(jì)基準(zhǔn)與復(fù)雜運(yùn)行工況 嚴(yán)重事故超設(shè)計(jì)基準(zhǔn)

控制 正常運(yùn)行活動(dòng) 設(shè)計(jì)基準(zhǔn)事故的控制 事故處理

規(guī)程 正常運(yùn)行規(guī)程 應(yīng)急運(yùn)行規(guī)程 極限情況下的應(yīng)急規(guī)程

防御設(shè)施 正常運(yùn)行系統(tǒng) 專設(shè)安全設(shè)施 特殊設(shè)計(jì)設(shè)施 廠外應(yīng)急準(zhǔn)備

屏障狀態(tài) 規(guī)定燃料允許工作范圍 燃料破損 嚴(yán)重破損 燃料熔化 熔芯 安全殼失效

四、核安全的進(jìn)一步討論

在核電工業(yè)發(fā)展的規(guī)劃藍(lán)圖中，應(yīng)堅(jiān)持“安全第一，質(zhì)量第一”的原則，完善核電安全保障體系，加快法律法規(guī)建設(shè)。作為曾經(jīng)的參與者之一，應(yīng)該客觀地說(shuō)，后者仍然是我國(guó)核電工業(yè)發(fā)展的一塊短板，我國(guó)核電產(chǎn)業(yè)將會(huì)以CNP1000、CPR1000和AP1000為優(yōu)先選用的先進(jìn)壓水堆核電機(jī)組作為發(fā)展方向，并把AP1000作為未來(lái)核電技術(shù)路線的基本堆型進(jìn)行開發(fā)，盡早形成我國(guó)核電技術(shù)路線，迎頭趕上世界核能開發(fā)的時(shí)代潮流，況且第四代核能技術(shù)（Generation IV）的研發(fā)尚需幾十年的努力。這種以政府為主導(dǎo)的推動(dòng)型發(fā)展被認(rèn)為是世界核電工業(yè)在中國(guó)展露的第一縷曙光，這是很令人感到振奮的。但是，我們也看到，世界最大的核工業(yè)國(guó)家美國(guó)自20世紀(jì)80年代至今沒(méi)有新的核電站訂單，而現(xiàn)有的核電站也先后達(dá)到設(shè)計(jì)壽期（通常為40年），所以核電工業(yè)在美國(guó)“一條腿和腳已經(jīng)踏進(jìn)了墳?zāi)埂薄＿@里的主要原因有二：首先是現(xiàn)有的核能技術(shù)不可能做到安全上的“萬(wàn)無(wú)一失”，一旦出現(xiàn)安全故障只能束手無(wú)策，毫無(wú)辦法。

1979年3月28日發(fā)生的三哩島2號(hào)堆的核事故即為一例①。只要以核裂變方式獲取能量的技術(shù)都存在這一問(wèn)題;其次是核廢物處理和處置。目前存放在華盛頓，南卡萊羅納和愛(ài)德華州的政府工廠中有7000萬(wàn)加侖的高輻射軍用廢料;有6900萬(wàn)立方英尺的低輻射商用及軍用廢料存于南卡萊羅納及肯塔基州的淺溝中;1.4億噸的鈾尾礦堆積如山，遍及南部，約7000噸商用反應(yīng)堆產(chǎn)生的廢燃料存放于反應(yīng)堆所在地的冷水塘或“游泳池”中的支架上，而這些核廢物的總毒性甚至達(dá)到上億年。所以核廢物處置被稱之為“燙手的山芋”，核廢物（包括核電站不同堆型運(yùn)行中所產(chǎn)生的廢液、廢氣，反應(yīng)堆燃料等）的分類，運(yùn)輸，儲(chǔ)存，處置及相關(guān)的法規(guī)建設(shè)都應(yīng)先行一步，現(xiàn)在我們還沒(méi)有做好這方面的準(zhǔn)備。

我們現(xiàn)在的核電工業(yè)發(fā)展主要是政府主導(dǎo)的，而政府的監(jiān)管職能被弱化或不到位，這就形成政府的大包大攬，政府出資企業(yè)受益，一旦出問(wèn)題，企業(yè)推舉幕后二政府走向前臺(tái)總攬全局，受益是企業(yè)的，風(fēng)險(xiǎn)是政府的。這種發(fā)展模式是不可持續(xù)的，與世界各國(guó)的做法相悖。仍以美國(guó)為例，1946年美國(guó)國(guó)會(huì)通過(guò)了《原子能法》（Atomic Energy Act），規(guī)定設(shè)立原子能委員會(huì)（USAEC，United States Atomic Energy Commission），以發(fā)展和平利用原子能的計(jì)劃，并設(shè)置了國(guó)會(huì)原子能委員會(huì)以監(jiān)督原子能委員會(huì)的活動(dòng)。1953年12月總統(tǒng)艾森豪威爾宣布期待已久的和平利用原子能計(jì)劃，呼吁與其他國(guó)家協(xié)議以分享科技專門知識(shí)，當(dāng)時(shí)美國(guó)大部分的核技術(shù)仍保留在高度機(jī)密狀態(tài)。原子能委員會(huì)主席劉易斯?斯特勞斯（Lewis Strauss）是一位忠實(shí)的保守派，他堅(jiān)持應(yīng)由私營(yíng)工業(yè)界發(fā)展商業(yè)核能，而不應(yīng)該由政府負(fù)擔(dān)。1954年，國(guó)會(huì)修改了原子能法案，認(rèn)為核設(shè)施可為私人擁有，由院子能委員會(huì)發(fā)給執(zhí)照。1957年國(guó)會(huì)又通過(guò)《普賴斯-安德森法案》（Price-Andersen Act）使電力公司在嚴(yán)重核意外事故發(fā)生時(shí)要承擔(dān)相應(yīng)的賠償責(zé)任。1975年該法案經(jīng)修改，實(shí)際上免去了政府在這個(gè)保險(xiǎn)計(jì)劃中的責(zé)任。

政府在核電工業(yè)中的主要職責(zé)是核安全的監(jiān)管和控制，這機(jī)會(huì)是所有核工業(yè)國(guó)家的通用法則，國(guó)家對(duì)核電廠的管理首先是建立和健全相適應(yīng)的核安全法規(guī)（Code），導(dǎo)則（Regulatory guide）和標(biāo)準(zhǔn)（Standard）。核技術(shù)是美國(guó)控制最嚴(yán)的一種技術(shù)。1947年，美國(guó)原子能委員會(huì)成立反應(yīng)堆安全保障委員會(huì)，以審定擬建設(shè)核設(shè)施的危險(xiǎn)性。1956年美國(guó)原子能委員會(huì)頒發(fā)《民用原子工業(yè)基本法》。1975年美國(guó)核管理委員會(huì)（United States Nuclear Regulatory Commission）成立后接管了制定核法規(guī)和管理民用核設(shè)施的權(quán)利。美國(guó)聯(lián)邦法規(guī)（Code of Federal Regulations）共有50篇，其中第10篇（10CFR）為能源，美國(guó)核管理委員會(huì)制定的法規(guī)發(fā)表在第10篇第1卷（0～199部分）上。為便于貫徹執(zhí)行有關(guān)法規(guī)，核管理委員會(huì)還制定了法規(guī)導(dǎo)則，這些導(dǎo)則共分10個(gè)部分：（1）動(dòng)力反應(yīng)堆導(dǎo)則，（2）研究和試驗(yàn)用反應(yīng)堆導(dǎo)則，（3）核燃料和物資設(shè)備，（4）環(huán)境和廠址導(dǎo)則，（5）物料和核電廠保護(hù)導(dǎo)則，（6）產(chǎn)品導(dǎo)則，（7）放射性材料的包裝和運(yùn)輸，（8）職業(yè)保健導(dǎo)則，（9）反壟斷審查導(dǎo)則，（10）一般導(dǎo)則。這些導(dǎo)則提供了符合法規(guī)要求的指導(dǎo)和可行的解決辦法，對(duì)許多技術(shù)問(wèn)題明確了要求，具體達(dá)到的目標(biāo)、數(shù)據(jù)和方法。

美國(guó)還有一系列國(guó)家標(biāo)準(zhǔn)（ANSO，American National Standard），由美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)統(tǒng)一管理，但具體標(biāo)準(zhǔn)的制定由各專門學(xué)會(huì)和協(xié)會(huì)負(fù)責(zé)。與核電站有關(guān)的如美國(guó)機(jī)械工程師協(xié)會(huì)（受壓容器及其他設(shè)備）、美國(guó)試驗(yàn)與材料協(xié)會(huì)（核材料及其他材料）、美國(guó)電氣與電子工程協(xié)會(huì)（儀器儀表）、保健物理學(xué)會(huì)（環(huán)境監(jiān)測(cè)）、國(guó)家防火協(xié)會(huì)和電子工業(yè)協(xié)會(huì)（電子設(shè)備）等制定的標(biāo)準(zhǔn)。而美國(guó)核學(xué)會(huì)（American Nuclear Society）中的標(biāo)準(zhǔn)委員會(huì)成立于1956年，是最初成立的7個(gè)國(guó)家標(biāo)準(zhǔn)委員會(huì)之一，核學(xué)會(huì)標(biāo)準(zhǔn)委員會(huì)秘書處下設(shè)有5個(gè)N委員會(huì)（N16-核臨界安全，N17-研究堆，反應(yīng)堆物理和輻射屏蔽，N18-核設(shè)計(jì)準(zhǔn)則，N19-非放射性環(huán)境效應(yīng)，N48-放射性廢物管理）。現(xiàn)已頒布實(shí)行的需要遵從的核標(biāo)準(zhǔn)在1千個(gè)以上。

在嚴(yán)格核安全法規(guī)規(guī)范下，民用核工業(yè)始終保持世界工業(yè)界最好的安全記錄。國(guó)際核安全的發(fā)展分為四個(gè)時(shí)期：1957～1967年為設(shè)計(jì)安全期，1967～1979年為建造安全期，1979～1986年為運(yùn)行安全期，1986年及以后為國(guó)際安全合作期。未來(lái)核電站的安全依然需要國(guó)際政府間的合作和嚴(yán)格的法規(guī)監(jiān)管。2007年我國(guó)也頒布了《民用核設(shè)備監(jiān)督管理?xiàng)l例》，旨在加強(qiáng)對(duì)民用核安全設(shè)備的監(jiān)督管理，保障其運(yùn)行安全，預(yù)防核事故，保障工作人員和公眾健康、保護(hù)環(huán)境、促進(jìn)核能事業(yè)的發(fā)展，但確保核安全我們還有很長(zhǎng)的路要走。

參考文獻(xiàn)：

[1] Geoffrey G.Eichholz. Environmental Aspects of Nuclear Power [M].Ann Arbor Science Publishers，1976.

[2] US NRC.Reactor safety study，An Assessment of Accident Risk in US [R].Commercial Nuclear Power plants， 1975.

[3] U.S. Code of Federal Regulation [S]. Reactor site Criteria， tittle 10 part 100.

[4] US NRC. Regulatory Guide 4.7 （Rev.1），1975 [S] .General site suitability Criteria for Nuclear Power station.

[5] 核科學(xué)技術(shù)情報(bào)研究所.世界核工業(yè)概覽（上冊(cè)）[M].北京：原子能出版社，1989.

[6] 國(guó)家核安全局.核安全綜合報(bào)告，NNSA-0010[C].全國(guó)核安全研討會(huì)文集，1990.

[7] 李愿軍.核動(dòng)力工程選址中的能動(dòng)斷層研究[D].國(guó)家地震局地質(zhì)研究所，1994.

[8] 王秀清.世界核電復(fù)興的里程碑―中國(guó)核電發(fā)展前沿報(bào)告[R].北京：科學(xué)出版社，2008.

① 非能動(dòng)型壓水反應(yīng)堆AP1000是由美國(guó)西屋公司（Westinghouse）在AP600設(shè)計(jì)理念基礎(chǔ)上提出的，2005年12月31日由美國(guó)核管理委員會(huì)（NRC）宣布批準(zhǔn)AP1000設(shè)計(jì)許可證。Passively safe reactor即非能動(dòng)安全反應(yīng)堆或譯為固有安全反應(yīng)堆，意旨在極低概率事件條件下可實(shí)行自行安全停堆。

① RCPB，reactor cool and pressure boundary，反應(yīng)堆冷卻劑壓力邊界包括壓力容器，一回路管道系統(tǒng)，泵，閥門等高壓設(shè)備。

② 壓力殼為核反應(yīng)堆堆芯部分的厚壁容器外殼，通常其中還裝有慢化劑，反射劑，熱屏蔽層及控制棒。

篇2

..電站2004年度的技安工作已經(jīng)完成。一年來(lái)，我站根據(jù)公司“二四年技安工作計(jì)劃”，逐季制定電站技安工作計(jì)劃并總結(jié)，電站根據(jù)實(shí)際生產(chǎn)情況，吸取03年“64誤操作事故”的教訓(xùn)，認(rèn)真貫徹落實(shí)“安全第一、預(yù)防為主”的方針，不斷強(qiáng)化員工安全意識(shí)，切實(shí)把安全工作落到實(shí)處。經(jīng)過(guò)全站員工一年的不懈努力，順利地完成了今年的技安工作任務(wù)，確保了電站機(jī)電設(shè)備、水工設(shè)備和建筑的安全穩(wěn)定的運(yùn)行。

為總結(jié)經(jīng)驗(yàn)和得失，不斷強(qiáng)化安全意識(shí)。同時(shí)，申報(bào)04年度安全生產(chǎn)先進(jìn)集體，特將我站2004年度安全生產(chǎn)方面的主要成績(jī)上報(bào)總公司，請(qǐng)指正。

04年，對(duì)...電站來(lái)說(shuō)，設(shè)備性能還不是很穩(wěn)定。為加強(qiáng)設(shè)備的運(yùn)行管理，保證設(shè)備安全，我站制定了規(guī)范、系統(tǒng)的設(shè)備管理制度并嚴(yán)格執(zhí)行。制度的科學(xué)制定和嚴(yán)格執(zhí)行，確保了我站全年設(shè)備完好率達(dá)100%。全年共發(fā)現(xiàn)機(jī)電設(shè)備缺陷43次，及時(shí)消除設(shè)備缺陷41次，消缺率95%。組織人員或配合安裝公司及廠家技術(shù)工程師進(jìn)行技改6項(xiàng)： 2、勵(lì)磁系統(tǒng)和調(diào)速器UPS電源技改；（在廠用電消失時(shí)，勵(lì)磁和調(diào)速器電腦觸摸屏不再黑屏，運(yùn)行人員對(duì)設(shè)備運(yùn)行狀態(tài)一目了然，確保了操作的安全可靠性。）

3、高壓氣系統(tǒng)改為低壓氣系統(tǒng)備用；

4、安裝、調(diào)試3#主變；（降低了楊村鄉(xiāng)用電區(qū)電能損耗）

5、技改10KV開關(guān)室冷卻條件；（確保10KV室設(shè)備安全運(yùn)行）

6、技改調(diào)速器電氣控制系統(tǒng)； 為避免“江西220KV袁州跑馬坪變電站失壓”的事故現(xiàn)象在我站發(fā)生，吸取此類事故的教訓(xùn)，電站組織運(yùn)行班組長(zhǎng)和檢修維護(hù)人員對(duì)省電力公司針對(duì)該事故作出的情況通報(bào)進(jìn)行了認(rèn)真的學(xué)習(xí)，特別要求班組長(zhǎng)和運(yùn)行人員反復(fù)學(xué)習(xí)，并寫出讀后感。

針對(duì)運(yùn)行中發(fā)生的各類事故，在事故處理后由站級(jí)技安員主持召集生技科、當(dāng)事班組人員召開事故分析會(huì)，將事故發(fā)生原因、處理方式方法、今后運(yùn)行的預(yù)防措施等作全面分析，并及時(shí)作好記錄；發(fā)現(xiàn)重大安全隱患和嚴(yán)重影響正常生產(chǎn)的設(shè)備故障，則由站級(jí)領(lǐng)導(dǎo)主持，技安員、生技科人員、運(yùn)行班長(zhǎng)、維護(hù)檢修班長(zhǎng)參加，對(duì)隱患和故障發(fā)生的原因作具體分析，商討制定出具體的消除措施并立即實(shí)施，同時(shí)形成相關(guān)文字檔案。

“安全重于泰山”在電力行業(yè)尤為突出，電站始終將安全生產(chǎn)擺上重要議事日程。主要完成了以下工作：

1、嚴(yán)格執(zhí)行“兩票三制”，全年兩票合格率達(dá)100%；組織員工進(jìn)行《安規(guī)》知識(shí)培訓(xùn)40人次，增強(qiáng)了員工安全責(zé)任感；

2、檢查水工設(shè)備和建筑共計(jì)4次；建筑安全公告牌2個(gè)、沿河安全警示碑6個(gè)；

3、加強(qiáng)員工消防知識(shí)教育，合理安排利用現(xiàn)有消防器具，防患于未然；

4、站級(jí)管理人員每天深入生產(chǎn)車間，巡視檢查設(shè)備運(yùn)行和紀(jì)律情況。一旦發(fā)現(xiàn)缺陷和異常情況，及時(shí)處理；

5、在汛期來(lái)臨前，及時(shí)成立了以電站領(lǐng)導(dǎo)為組長(zhǎng)，班組長(zhǎng)為成員的防洪領(lǐng)導(dǎo)小組，層層落實(shí)責(zé)任到位。確保了洪期電站的安全穩(wěn)定運(yùn)行；

6、每月定時(shí)開展反事故現(xiàn)場(chǎng)演習(xí)和運(yùn)行分析會(huì)議，既提高了員工的安全操作技術(shù)、事故分析處理能力，又為電站的安全穩(wěn)定運(yùn)行打下了基礎(chǔ)；

7、電站將自行編寫的《運(yùn)行規(guī)程》（試用本）復(fù)制到磁盤，發(fā)放到各班組學(xué)習(xí)討論，并廣泛征求修訂意見;

篇3

所謂安全審計(jì),是指評(píng)估企業(yè)安全風(fēng)險(xiǎn)以及如何應(yīng)對(duì)風(fēng)險(xiǎn)措施的一個(gè)過(guò)程。這是一個(gè)人為的過(guò)程,有一群擁有相關(guān)計(jì)算機(jī)專業(yè)技能和商業(yè)知識(shí)的審計(jì)人員操作進(jìn)行。作為審計(jì)的一個(gè)過(guò)程,審計(jì)人員會(huì)詢問(wèn)關(guān)鍵職員,實(shí)施漏洞評(píng)估,給現(xiàn)有的安全政策和控制造冊(cè),檢查IT資產(chǎn)。很多情況下,審計(jì)很大程度上有賴于技術(shù)工具。

1　安全審計(jì)的焦點(diǎn)問(wèn)題

(1)密碼是否牢靠?

(2)網(wǎng)絡(luò)是否有訪問(wèn)控制清單?

(3)訪問(wèn)日志是否記錄了訪問(wèn)數(shù)據(jù)的人員?

(4)個(gè)人電腦是否經(jīng)常掃描廣告軟件和惡意軟件?

(5)誰(shuí)有權(quán)訪問(wèn)組織中的備份存儲(chǔ)媒介?

當(dāng)然以上只是例舉了一小部分問(wèn)題。

審計(jì)不是一個(gè)短期的靜止的過(guò)程,而是一個(gè)連續(xù)不斷需要提高的過(guò)程。一些評(píng)論家說(shuō),審計(jì)的焦點(diǎn)應(yīng)該在于評(píng)估企業(yè)現(xiàn)行的安全政策是否兼容一致。當(dāng)然,審計(jì)不僅僅是評(píng)估兼容性問(wèn)題,還有企業(yè)安全政策和控制本身。很多時(shí)候,企業(yè)一些老舊的管理規(guī)定趕不上新的技術(shù)的發(fā)展。安全審計(jì)是最有效的辦法。

2　安全審計(jì)的關(guān)鍵流程

在實(shí)施審計(jì)之前有幾步是很關(guān)鍵的(譬如:審計(jì)需要得到企業(yè)高層的支持),以下是審計(jì)本身實(shí)施的關(guān)鍵步驟:

(1)定義審計(jì)的物質(zhì)范疇。劃定審計(jì)的范圍很關(guān)鍵。劃定的范圍之間要有一些聯(lián)系,譬如數(shù)據(jù)中心局域網(wǎng),或是商業(yè)相關(guān)的一些東西、財(cái)務(wù)報(bào)表等。不管采用哪種方式,審計(jì)范疇的劃定有利于審計(jì)人員集中注意力在資產(chǎn)、規(guī)程和政策方面。

(2)劃定審計(jì)的步驟范圍。過(guò)于寬泛的審計(jì)步驟會(huì)延緩審計(jì)。但是過(guò)窄又會(huì)導(dǎo)致審計(jì)不完全,難以得出令人信服的結(jié)果。應(yīng)該確定一個(gè)合適的安全審計(jì)區(qū)域。不管企業(yè)大小,都應(yīng)該將主要精力放在審計(jì)的重點(diǎn)上。

(3)研究歷史。審計(jì)中常遺忘的一個(gè)過(guò)程就是不查閱以前的審計(jì)歷史。藉此我們可以把注意力放在已知的安全漏洞,及損害導(dǎo)致的安全事件方面,還有IT結(jié)構(gòu)的企業(yè)流程的改變等等。這應(yīng)該包括過(guò)去審計(jì)的評(píng)估。還有,審計(jì)人員應(yīng)該將位于審計(jì)范圍內(nèi)的所有資產(chǎn)及其相關(guān)的管理規(guī)章造冊(cè)編輯好。

(4)恰當(dāng)?shù)膶徲?jì)計(jì)劃。一個(gè)詳細(xì)備至的審計(jì)計(jì)劃是實(shí)施有效審計(jì)的關(guān)鍵。包括審計(jì)內(nèi)容的詳細(xì)描述、關(guān)鍵日期、參與人員和獨(dú)立機(jī)構(gòu)。

(5)實(shí)施安全風(fēng)險(xiǎn)評(píng)估。一旦審計(jì)小組制定好了有效的審計(jì)計(jì)劃,就可以著手開始審計(jì)的核心――風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估覆蓋以下幾個(gè)方面:

A　確認(rèn)位于安全審計(jì)范圍之內(nèi)的資產(chǎn),根據(jù)其商業(yè)價(jià)值確認(rèn)優(yōu)先順序。譬如:支持命令進(jìn)入程序的網(wǎng)絡(luò)服務(wù)器就比支撐IT部門內(nèi)部博客的服務(wù)器重要得多。

B　找出潛在的威脅。威脅的定義是指有可能造成資產(chǎn)潛在風(fēng)險(xiǎn)的因素。

C　將資產(chǎn)的各類漏洞編一個(gè)目錄。特別是那些資產(chǎn)現(xiàn)有的漏洞及由此可能產(chǎn)生的風(fēng)險(xiǎn)。

D　檢查現(xiàn)有資產(chǎn)是否有相應(yīng)的安全控制。這些控制必須存在并且可用。如果缺少這些就應(yīng)該記錄下來(lái)。控制包括技術(shù)方面的。譬如防火墻;流程方面的,譬如數(shù)據(jù)備份過(guò)程;人事方面的,譬如管理相關(guān)資產(chǎn)的系統(tǒng)管理人員。

E　確認(rèn)風(fēng)險(xiǎn)發(fā)生的可能性。審計(jì)小組必須給出每個(gè)風(fēng)險(xiǎn)可能導(dǎo)致危險(xiǎn)的量化的可能性。風(fēng)險(xiǎn)可能性的評(píng)估表明了現(xiàn)有控制處置風(fēng)險(xiǎn)的能力。這些可能性應(yīng)該用不同的層級(jí)來(lái)表示。

F　確定風(fēng)險(xiǎn)的潛在危害。審計(jì)人員必須再次將風(fēng)險(xiǎn)發(fā)生造成的危害量化。這種量化的評(píng)估也需要用層級(jí)表示。

G　風(fēng)險(xiǎn)評(píng)估。審計(jì)人員使用上述兩個(gè)參數(shù)(可能性乘以危害)計(jì)算風(fēng)險(xiǎn)。這樣根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)提高處置風(fēng)險(xiǎn)的有效性。

(6)記錄審計(jì)結(jié)果。這并不是說(shuō)需要上述所有審計(jì)的一個(gè)詳盡的結(jié)果。審計(jì)文件包括總結(jié)、審計(jì)原因、必要的升級(jí)和糾正、支持?jǐn)?shù)據(jù)。審計(jì)小組還要把文件制成ppt演示文稿。

(7)提出改進(jìn)意見。安全審計(jì)最終的好處就是提出相應(yīng)的提高安全的建議。這些建議應(yīng)該是客戶可以實(shí)施的形式。

3　安全審計(jì)范疇

很多企業(yè)在確定審計(jì)范圍時(shí)不需要花費(fèi)什么時(shí)間。對(duì)于審計(jì)小組來(lái)說(shuō),把審計(jì)限制在實(shí)置和邏輯小組就很簡(jiǎn)單了。

更難的,也是更有價(jià)值的是劃定審計(jì)區(qū)域。關(guān)鍵就是根據(jù)風(fēng)險(xiǎn)系數(shù)制定出優(yōu)先的安全流程。譬如:有一些是不斷造成非常小的風(fēng)險(xiǎn),而身份管理就可能造成嚴(yán)重危害。在這一案例中,身份管理流程就應(yīng)該包括在審計(jì)過(guò)程中,那些小的風(fēng)險(xiǎn)可以忽略。

許多咨詢?nèi)耸亢头治鋈耸克坪醵紝?duì)來(lái)年的安全風(fēng)險(xiǎn)有一個(gè)明確的認(rèn)識(shí)。Gartner估計(jì)80%的風(fēng)險(xiǎn)集中于如下四個(gè)方面:

網(wǎng)絡(luò)訪問(wèn)控制(NAC)。NAC就是檢查訪問(wèn)網(wǎng)絡(luò)的用戶和系統(tǒng)的安全性。這是任何訪問(wèn)某個(gè)網(wǎng)絡(luò)的用戶必須面臨的第一道安全檢查。NAC也會(huì)檢查已經(jīng)進(jìn)入網(wǎng)絡(luò)的用戶和系統(tǒng)的安全。有些情況下,NAC還會(huì)根據(jù)已知的風(fēng)險(xiǎn)或用戶矯正或是應(yīng)對(duì)風(fēng)險(xiǎn)。

入侵防御。入侵防御涵蓋的范圍遠(yuǎn)廣于傳統(tǒng)的入侵檢測(cè)。實(shí)際上。這與NAC有些類似,都是防范已知的風(fēng)險(xiǎn)。入侵防御會(huì)加強(qiáng)政策的執(zhí)行,從而將風(fēng)險(xiǎn)范圍縮小到最小范圍。

篇4

（一）推動(dòng)內(nèi)部審計(jì)適應(yīng)會(huì)計(jì)電算化

為了適應(yīng)會(huì)計(jì)電算化帶來(lái)的變化，內(nèi)部審計(jì)應(yīng)當(dāng)做好以下方面的應(yīng)對(duì)。

1.對(duì)內(nèi)部審計(jì)進(jìn)行規(guī)范化管理。內(nèi)部審計(jì)部門應(yīng)盡快基于《審計(jì)機(jī)關(guān)計(jì)算機(jī)審計(jì)輔助審計(jì)》研究出適合內(nèi)部審計(jì)正常有序地開展工作的程序技術(shù)和方法。同時(shí)，內(nèi)部審計(jì)部門還應(yīng)著重對(duì)企業(yè)的財(cái)務(wù)軟件方面進(jìn)行統(tǒng)一的審計(jì)規(guī)范，將財(cái)務(wù)的軟件備份和使用說(shuō)明連同財(cái)務(wù)的電子文件同會(huì)計(jì)檔案一同統(tǒng)一登記，納入規(guī)范化管理。

2.內(nèi)部審計(jì)部門應(yīng)加強(qiáng)對(duì)會(huì)計(jì)電算化內(nèi)控的審計(jì)。對(duì)于企業(yè)內(nèi)部的文檔，應(yīng)及時(shí)備份維護(hù)、防止病毒的侵害。系統(tǒng)的操作密碼設(shè)置必須健全，分工合理、達(dá)到相互制約和監(jiān)督的目的，防止出現(xiàn)意外。企業(yè)財(cái)務(wù)系統(tǒng)的安全運(yùn)行是以健全的管理制度、職能分割制度、授權(quán)控制系統(tǒng)為基礎(chǔ)和保證的。由于計(jì)算機(jī)數(shù)據(jù)處理易于篡改且不著痕跡，所以企業(yè)的內(nèi)部審計(jì)人員應(yīng)給予處理數(shù)據(jù)的系統(tǒng)和系統(tǒng)本身更多的關(guān)注。

（二）加強(qiáng)外部電算化審計(jì)

對(duì)于審計(jì)制度方面，建議相關(guān)部門根據(jù)我國(guó)各企業(yè)的綜合情況，盡快研究并制定相關(guān)的政策和法律法規(guī)。凡是對(duì)財(cái)務(wù)報(bào)表和其他重要資料存在直接或間接影響的數(shù)據(jù)或者系統(tǒng)，審計(jì)人員都應(yīng)要求仔細(xì)審計(jì)，并在重大信息工程項(xiàng)目中進(jìn)行試點(diǎn)，在總結(jié)經(jīng)驗(yàn)教訓(xùn)的基礎(chǔ)上，逐步推廣和實(shí)行新的審計(jì)制度。在目前的經(jīng)濟(jì)技術(shù)條件下，注冊(cè)會(huì)計(jì)師審計(jì)應(yīng)考慮更多方面。

1.注重對(duì)審計(jì)內(nèi)容的審計(jì)。對(duì)非財(cái)務(wù)信息、創(chuàng)新金融工具和知識(shí)產(chǎn)權(quán)等方面要特別加強(qiáng)審計(jì)。

2.應(yīng)注重研究?jī)?nèi)部控制制度。會(huì)計(jì)信息通過(guò)網(wǎng)絡(luò)傳輸快速大量的增加更顯得內(nèi)部控制制度的重要性，因此，內(nèi)部控制制度對(duì)保證會(huì)計(jì)信息的質(zhì)量具有非常重要的意義。

3.在審計(jì)報(bào)告中應(yīng)增加分析評(píng)價(jià)意見。這些信息包括：①審計(jì)的范圍和發(fā)現(xiàn)的問(wèn)題；②在候選的企業(yè)會(huì)計(jì)原則中，企業(yè)所選擇的會(huì)計(jì)原則，特別是通過(guò)一個(gè)行業(yè)的其他企業(yè)采用的會(huì)計(jì)原則；③由企業(yè)管理當(dāng)局制備的主要假設(shè)及估計(jì)財(cái)務(wù)報(bào)表的合理性；④與現(xiàn)有的資產(chǎn)流動(dòng)性風(fēng)險(xiǎn)相關(guān)的變現(xiàn)。

4.開展安全審計(jì)。現(xiàn)代審計(jì)必須積極開展安全審計(jì)，并將其作為審計(jì)的中心內(nèi)容之一。

5.開展對(duì)報(bào)表附注的審計(jì)。由于目前審計(jì)工作中會(huì)計(jì)報(bào)表附注的規(guī)范和編制的欠缺，使得對(duì)會(huì)計(jì)報(bào)表附注審計(jì)的加強(qiáng)顯得很有必要。只有如此，審計(jì)的責(zé)任才能更好地完成。

二、總結(jié)

篇5

關(guān)鍵詞：信息安全；大數(shù)據(jù)；日志審計(jì)；云計(jì)算

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）15-0010-02

1基于Spark大數(shù)據(jù)平臺(tái)日志審計(jì)系統(tǒng)架構(gòu)設(shè)計(jì)

1.1系統(tǒng)設(shè)計(jì)目標(biāo)和原則

本課題中日志審計(jì)系統(tǒng)通過(guò)對(duì)雜志收集監(jiān)測(cè)設(shè)備采集模塊，并且日志記錄用戶訪問(wèn)記錄，系統(tǒng)運(yùn)行日志以及整個(gè)系統(tǒng)運(yùn)行狀態(tài)信息。這里實(shí)現(xiàn)的是基于火花大數(shù)據(jù)平臺(tái)日志審計(jì)系統(tǒng)的設(shè)計(jì)目標(biāo)和原則主要表現(xiàn)在傳統(tǒng)日志審計(jì)系統(tǒng)的基本功能和依賴大數(shù)據(jù)技術(shù)為整個(gè)擴(kuò)展傳統(tǒng)的日志審計(jì)系統(tǒng)。這里我們知道日志信息收集后解析XML日志將大量的數(shù)據(jù)和格式變量復(fù)雜源日志信息標(biāo)準(zhǔn)化偽日志信息的規(guī)范，一般來(lái)說(shuō)在合并后單位時(shí)間函數(shù)在同一IP和報(bào)警分析等處理，同時(shí)這個(gè)日志集中管理存儲(chǔ)在我們的一個(gè)存儲(chǔ)系統(tǒng)中，能夠有比較豐富的日志數(shù)據(jù)，實(shí)現(xiàn)我們的一整個(gè)全面的IT環(huán)境的審計(jì)日志。

本文探究的集中管理平臺(tái)，能夠較好地提供視圖顯示和操作更為方便的實(shí)現(xiàn)原理。通常來(lái)說(shuō)對(duì)于集中管理平臺(tái)通過(guò)圖表清晰直觀地顯示實(shí)時(shí)分析的結(jié)果分析模塊。我們能夠?qū)@份報(bào)告總結(jié)了歷史時(shí)期的安全狀況。同時(shí)，具體來(lái)說(shuō)集中管理平臺(tái)提供的管理系統(tǒng)，如日志收集管理或者是我們的安全管理，還有整個(gè)用戶管理等等，在利用維持整個(gè)系統(tǒng)的管理功能。一般來(lái)說(shuō)在對(duì)大數(shù)據(jù)技術(shù)來(lái)完成一些基本的日志審計(jì)系統(tǒng)的這樣一個(gè)要求。并且在對(duì)我們的日志進(jìn)行一個(gè)采集系統(tǒng)來(lái)取代傳統(tǒng)的模塊。一般來(lái)說(shuō)我們的日志采集系統(tǒng)高可用性、同時(shí)還有比較好的一個(gè)可伸縮性和可以接受各種優(yōu)秀的源格式；使用大數(shù)據(jù)平臺(tái)的分析引擎日志審計(jì)系統(tǒng)，能夠完成我們的這個(gè)上游的日志收集日志信息標(biāo)準(zhǔn)化。

1.2系統(tǒng)技術(shù)架構(gòu)設(shè)計(jì)

本課題中我們知道對(duì)于審計(jì)系統(tǒng)，一般來(lái)說(shuō)關(guān)鍵就是探究由大數(shù)據(jù)平臺(tái)，同時(shí)集中管理平臺(tái)，作為一個(gè)Mysql服務(wù)器主機(jī)。具體來(lái)看大數(shù)據(jù)平臺(tái)上運(yùn)行的一組服務(wù)器。另外在利用我們的大數(shù)據(jù)平臺(tái)上運(yùn)行的服務(wù)器日志信息標(biāo)準(zhǔn)化以及完成我們的分析，同時(shí)能夠?qū)⒄麄€(gè)結(jié)果存儲(chǔ)在數(shù)據(jù)庫(kù)中。通常來(lái)看我們數(shù)據(jù)庫(kù)只保留一天的日志信息，同時(shí)這些所有的日志信息存儲(chǔ)在分布式文件系統(tǒng)的大數(shù)據(jù)平臺(tái)。其中一些數(shù)據(jù)在數(shù)據(jù)庫(kù)中為方便安全管理人員查詢?nèi)罩拘畔ⅲ⑶椅覀兊倪@個(gè)報(bào)告信息和設(shè)置。具體來(lái)看我們大數(shù)據(jù)平臺(tái)本身包含了分布式文件系統(tǒng)可以用作持久性存儲(chǔ)。倘若我們?cè)谶@個(gè)查詢太古代歷史日志信息或者需要探索分析報(bào)告圖表的信息，一般來(lái)說(shuō)也是需要完成的Spark大數(shù)據(jù)平臺(tái)。

安全管理審計(jì)系統(tǒng)通過(guò)個(gè)人電腦連接，通常看看當(dāng)前操作系統(tǒng)的日志信息，分析，同時(shí)還有具體報(bào)告只需要查詢的數(shù)據(jù)可以保存在一個(gè)Mysql數(shù)據(jù)庫(kù)。通常來(lái)說(shuō)這樣不僅有利于保護(hù)數(shù)據(jù)持久性，同時(shí)已經(jīng)被證明是更長(zhǎng)一段時(shí)間所有的數(shù)據(jù)挖掘，并防止頻繁的影響信息查詢?nèi)罩痉治龅拇髷?shù)據(jù)平臺(tái)。并且我們?cè)诩泄芾砥脚_(tái)提供了一個(gè)WEB服務(wù)，能夠利用我們的網(wǎng)絡(luò)查詢系統(tǒng)分析結(jié)果，最后完成整個(gè)的操作和管理系統(tǒng)等基本信息。

2系統(tǒng)功能架構(gòu)

2.1 系統(tǒng)功能組成

2.1.1日志采集

本課題探究的基于Spark大數(shù)據(jù)平臺(tái)日志收集日志審計(jì)系統(tǒng)關(guān)鍵就在于這個(gè)可伸縮性和可用性。同時(shí)因?yàn)槲覀僆T的現(xiàn)實(shí)工作環(huán)境會(huì)改變的可能性，并且一般來(lái)說(shuō)不是改變更復(fù)雜的也可能是流線型的，通常來(lái)說(shuō)這個(gè)具體日志收集應(yīng)該根據(jù)實(shí)際監(jiān)測(cè)網(wǎng)絡(luò)的大小，從而來(lái)以確保你占用物理資源的大小，同時(shí)利用具體增加的方便和靈活的采集能力或釋放多余的資源。一般來(lái)看我們的日志標(biāo)準(zhǔn)化基于標(biāo)準(zhǔn)化規(guī)范匹配所有的日志文件和日志信息是唯一可識(shí)別的格式。另外整個(gè)的日志標(biāo)準(zhǔn)化后的分析工作的前提下，僅僅是在實(shí)現(xiàn)了所有的標(biāo)準(zhǔn)化可以有效分析日志的日志格式。通常來(lái)說(shuō)我們的可用性是反映在日志收集能夠接收各種各樣的方式，而不是說(shuō)處理現(xiàn)在常見的發(fā)展云計(jì)算的企業(yè)環(huán)境。收購(gòu)后的日志需要標(biāo)準(zhǔn)化日志。

2.1.2集中管理平臺(tái)

集中管理平臺(tái)提供了一個(gè)有效的訪問(wèn)接口，也就是說(shuō)被視為視覺(jué)層，這里也得到了最后的整個(gè)分析結(jié)果。通常來(lái)說(shuō)我們的安全管理員是能夠?qū)崿F(xiàn)審計(jì)日志的基本信息查詢，同時(shí)還可以完成我們的查詢統(tǒng)計(jì)查詢等功能。另外，我們是可以利用整個(gè)基本的配置，來(lái)完成終端管理，完成整個(gè)系統(tǒng)的某些配置信息的管理。

2.1.3日志分析

日志分析是在大數(shù)據(jù)平臺(tái)上來(lái)實(shí)現(xiàn)的。通常來(lái)說(shuō)我們的這個(gè)日志分析主要有三種方法的分析：第一部分，也就是一個(gè)具體日志信息信息匹配分析；其次，我們的這個(gè)單位時(shí)間日志頻率分析；第三，有關(guān)于多個(gè)日志的這樣一個(gè)關(guān)聯(lián)分析。

3集中管理平臺(tái)

集中管理平臺(tái)作為日志審計(jì)系統(tǒng)的外部接口，課題中是對(duì)本身需要的安全保證。一般來(lái)說(shuō)，我們的這個(gè)集中管理平臺(tái)安全部分作為一個(gè)關(guān)鍵在這一節(jié)中描述。使每個(gè)角色，從而能夠更好確保其業(yè)務(wù)案例系統(tǒng)中最小權(quán)限的功能。另外課題系統(tǒng)分別建立了三個(gè)角色，分別是這個(gè)安全管理員還有我們的審計(jì)管理員，以及我們的系統(tǒng)管理員。一般來(lái)看，對(duì)于這個(gè)傳統(tǒng)的雙因素登錄作為保證，能夠較好集中管理平臺(tái)使用SparkSecurity安全框架，以確保他們的安全。而且還能較好根據(jù)三權(quán)分立的思想設(shè)計(jì)的不同的角色不同的權(quán)限。并且我們的系統(tǒng)管理員負(fù)責(zé)系統(tǒng)配置相關(guān)業(yè)務(wù)，審計(jì)經(jīng)理負(fù)責(zé)審計(jì)系統(tǒng)操作日志用戶的內(nèi)部審計(jì)制度。

本課題中探究了集中管理平臺(tái)系統(tǒng)中非常關(guān)鍵的這樣一個(gè)作用，并且我們的集中管理平臺(tái)負(fù)責(zé)顯示整個(gè)系統(tǒng)的運(yùn)行結(jié)果，通常情況下配置管理系統(tǒng)，同時(shí)在與其他功能，并且可以再具體外部系統(tǒng)的性能。一般來(lái)說(shuō)集中管理平臺(tái)的主要部分資產(chǎn)管理、用戶管理、規(guī)則、管理、安全中心，日志語(yǔ)句。報(bào)道的集合可以配置配置文件，檢查報(bào)告已經(jīng)操作日志。通常具體在安全中心是環(huán)境安全審計(jì)結(jié)果的監(jiān)測(cè)系統(tǒng)的總體性能，并實(shí)時(shí)審計(jì)結(jié)果顯示日志審計(jì)系統(tǒng)。一般情況下，對(duì)于管理這些資產(chǎn)可以輸入或刪除日志審計(jì)系統(tǒng)來(lái)管理資產(chǎn)信息，同時(shí)具體的資產(chǎn)配置日志文件標(biāo)準(zhǔn)化；以及在我們用戶管理的操作用戶管理平臺(tái)，同時(shí)還需要能夠保證平臺(tái)的安全；一組規(guī)則，課題中對(duì)于規(guī)則管理是一個(gè)管理系統(tǒng)；同時(shí)多模塊用于實(shí)現(xiàn)Spring框架，Spring框架是其中一個(gè)最流行的Web框架，；另外具體相關(guān)論文不再是一些信息，因此我們這里不將集中管理平臺(tái)的實(shí)現(xiàn)模塊被描述為主要內(nèi)容之一。

后設(shè)置不同角色的權(quán)限需要限制用戶的這樣一個(gè)集中管理平臺(tái)能夠訪問(wèn)的內(nèi)容是不同的，同時(shí)還不可以完成這個(gè)訪問(wèn)超出他們能力的內(nèi)容，一般來(lái)說(shuō)是使用直接訪問(wèn)URL。同時(shí)還有里利用這個(gè)Springsecurity框架，以確保我們的這個(gè)授權(quán)。通常情況下我們的Springsecurity除了授權(quán)和身份驗(yàn)證功能，主要就是我們的這個(gè)身份驗(yàn)證是識(shí)別用戶和角色信息。能夠較好地完成整個(gè)訪問(wèn)控制也可以稱為資源訪問(wèn)控制，并且還可以較為直觀是控制的表達(dá)一個(gè)URL訪問(wèn)請(qǐng)求權(quán)限。Springsecurity當(dāng)一個(gè)URL請(qǐng)求許可的URL和用戶身份驗(yàn)證的作用之下，倘若說(shuō)能夠較好符合要求離開，另外如果不符合攔截請(qǐng)求。通常情況下Springsecurity身份驗(yàn)證和訪問(wèn)控制需要通過(guò)XML配置信息。另外在這個(gè)身份驗(yàn)證是指用戶身份認(rèn)證，具體是驗(yàn)證用戶登錄時(shí)的用戶名和密碼，驗(yàn)證后的用戶名、密碼，角色和狀態(tài)的信息，如認(rèn)證信息，用戶會(huì)話的認(rèn)證信息已經(jīng)被Sparksecurity保存存在。挺且我們的使用者在進(jìn)行這個(gè)身份驗(yàn)證、會(huì)話管理，除了登錄可用于訪問(wèn)控制。

訪問(wèn)控制的主要功能和主要步驟有：Springsecurity負(fù)荷數(shù)據(jù)庫(kù)中的數(shù)據(jù)資源，一般來(lái)看是相應(yīng)的資源數(shù)據(jù)和角色關(guān)系，同時(shí)這里的這個(gè)具體操作在以下loadResourceDefine（）原來(lái)來(lái)達(dá)到目的，通常情況下我們的系統(tǒng)第一次運(yùn)行時(shí)調(diào)用這個(gè)方法需要URL和角色的鍵-值對(duì)的形式存儲(chǔ)記憶。另外當(dāng)這個(gè)具體訪問(wèn)請(qǐng)求送達(dá)是，這里的URL和用戶角色和資源數(shù)據(jù)對(duì)應(yīng)關(guān)系能不能符合我們的角色。

4結(jié)語(yǔ)

網(wǎng)絡(luò)安全已成為全球性的這樣一個(gè)問(wèn)題，目前已經(jīng)是全世界各界都在關(guān)注。對(duì)于這個(gè)隱藏的安全威脅，一般來(lái)說(shuō)消除系統(tǒng)通常采用加密、安全措施，如這個(gè)身份驗(yàn)證、授權(quán)和審計(jì)，同時(shí)來(lái)達(dá)到我們的這個(gè)網(wǎng)絡(luò)的安全性。并且通常來(lái)看是在詳細(xì)設(shè)計(jì)的基礎(chǔ)上，另外我們?cè)诿枋隽司唧w的實(shí)現(xiàn)和測(cè)試工作內(nèi)容的一部分。對(duì)于我們的水槽的采集模塊配置文件，一般這里的分析主要功能模塊的代碼和我們整個(gè)系統(tǒng)運(yùn)行情況等。同時(shí)基于火花大數(shù)據(jù)平臺(tái)，我們的具體日志審計(jì)系統(tǒng)的應(yīng)用做了簡(jiǎn)單的介紹，并進(jìn)行了最后的這個(gè)總結(jié)，課題中完成大數(shù)據(jù)平臺(tái)日志審計(jì)系統(tǒng)的發(fā)展進(jìn)行了探討。另外對(duì)于詳細(xì)設(shè)計(jì)包括總體結(jié)構(gòu)設(shè)計(jì)、模塊設(shè)計(jì)和數(shù)據(jù)庫(kù)設(shè)計(jì)。這里完成了整個(gè)設(shè)計(jì)的結(jié)構(gòu)分為橫向和縱向兩個(gè)方面的設(shè)計(jì)。同時(shí)對(duì)于數(shù)據(jù)庫(kù)設(shè)計(jì)了數(shù)據(jù)庫(kù)的總體結(jié)構(gòu)設(shè)計(jì)。

參考文獻(xiàn)：

[1] 朱宏.安全日志統(tǒng)一收集平臺(tái)的數(shù)據(jù)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2010（10）.

[2] 郝漩.基于Apache Flume的分布式日志收集系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].軟件導(dǎo)刊，2014（7）.

[3] 王倩，陸展，龔儉.一種基于規(guī)則的安全日志范式分析模型[J].計(jì)算機(jī)工程，1999（S1）：53-55

[4] 陳世強(qiáng)，蔡超.審計(jì)系統(tǒng)中基于數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則自動(dòng)發(fā)現(xiàn)技術(shù)研究[J].計(jì)算機(jī)應(yīng)用與軟件，2007（1）.

[5] 劉芳，肖鐵軍.XML應(yīng)用的基石：XML解析技術(shù)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005（10）.

[6] 韋成府，吳旭，張華.網(wǎng)絡(luò)行為安全審計(jì)系統(tǒng)Web應(yīng)用的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代圖書情報(bào)技術(shù)，2009（2）.

篇6

面對(duì)一個(gè)龐大、復(fù)雜的內(nèi)網(wǎng)及相關(guān)的信息系統(tǒng)，單獨(dú)對(duì)每項(xiàng)信息資產(chǎn)確定保護(hù)方法是非常復(fù)雜的工作，應(yīng)該采用信息安全等級(jí)保護(hù)的策略。邊界防護(hù)作為網(wǎng)絡(luò)安全等級(jí)保護(hù)的重要機(jī)制之一，將劃分整個(gè)系統(tǒng)的邊界，制定安全域規(guī)則，將各類信息系統(tǒng)歸入不同安全域中，對(duì)進(jìn)出該等級(jí)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行有效的控制與監(jiān)視。每個(gè)安全域內(nèi)部都有著基本相同的安全特性，在同一安全域內(nèi)實(shí)施統(tǒng)一的保護(hù)，從而大大地降低了安全防護(hù)的難度。

西安交通大學(xué)醫(yī)學(xué)院第一附屬醫(yī)院（以下簡(jiǎn)稱“交大一附院”）擁有內(nèi)外兩套相互物理隔離的網(wǎng)絡(luò)系統(tǒng)，內(nèi)網(wǎng)主要應(yīng)用于醫(yī)療業(yè)務(wù)系統(tǒng)，外網(wǎng)主要應(yīng)用于辦公及互聯(lián)網(wǎng)業(yè)務(wù)，內(nèi)外網(wǎng)之間基本沒(méi)有通信，數(shù)據(jù)交換也采用原始的導(dǎo)入導(dǎo)出方式。傳統(tǒng)的物理隔離方式雖然較為安全，但是違背了等級(jí)保護(hù)為不同等級(jí)數(shù)據(jù)提供通信的初衷，并且隨著SDR（Software Designed Radio）在各個(gè)領(lǐng)域中的應(yīng)用，物理隔離已經(jīng)越來(lái)越難以實(shí)現(xiàn)。

醫(yī)院信息系統(tǒng)安全域劃分

安全域劃分作為邊界安全防護(hù)的首要步驟，并不等同于傳統(tǒng)意義上的物理隔離，它是在綜合分析各套信息系統(tǒng)的安全需求及所面臨的安全威脅的基礎(chǔ)上，充分兼顧系統(tǒng)之間正常數(shù)據(jù)傳輸?shù)耐ㄐ判枨螅瑢?duì)系統(tǒng)內(nèi)不同安全區(qū)域進(jìn)行的層次化安全策略防控。

醫(yī)院信息系統(tǒng)在進(jìn)行安全域劃分設(shè)計(jì)時(shí)應(yīng)遵循以下基本原則：（1）從醫(yī)院信息系統(tǒng)的業(yè)務(wù)特殊性等方面考慮總體性要求，合理劃分網(wǎng)絡(luò)安全域，保證信息系統(tǒng)的整體安全防護(hù)能力；（2）根據(jù)各信息系統(tǒng)與醫(yī)院醫(yī)療相關(guān)程度進(jìn)行層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，形成網(wǎng)絡(luò)縱深防護(hù)體系，與醫(yī)療業(yè)務(wù)直接相關(guān)系統(tǒng)應(yīng)位于縱深結(jié)構(gòu)內(nèi)部；（3）安全域內(nèi)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；（4）同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；（5）建立多重保護(hù)系統(tǒng)，避免將整套系統(tǒng)安全寄托在單一安全措施或安全產(chǎn)品上；（6）安全域劃分的目的是充分發(fā)揮安全產(chǎn)品的整體效能，并不是對(duì)原有系統(tǒng)整體結(jié)構(gòu)的徹底顛覆，因此在對(duì)網(wǎng)絡(luò)結(jié)構(gòu)改造的同時(shí)，需要考慮保護(hù)已有投資，避免重復(fù)建設(shè)。

醫(yī)院信息系統(tǒng)邊界劃分

結(jié)合醫(yī)院醫(yī)療業(yè)務(wù)需求和網(wǎng)絡(luò)安全需求，首先從總體架構(gòu)上將該醫(yī)院信息網(wǎng)劃分為醫(yī)療業(yè)務(wù)網(wǎng)（內(nèi)網(wǎng)）、辦公互聯(lián)網(wǎng)（外網(wǎng)）兩個(gè)基本的信息系統(tǒng)。再針對(duì)各信息系統(tǒng)所承載的業(yè)務(wù)、應(yīng)用等不同特點(diǎn)，在各信息系統(tǒng)內(nèi)部繼續(xù)劃分安全域。各信息系統(tǒng)內(nèi)部安全域及網(wǎng)絡(luò)邊界的詳細(xì)劃分情況見圖1。

1.內(nèi)網(wǎng)（醫(yī)療業(yè)務(wù)系統(tǒng)）

醫(yī)療業(yè)務(wù)系統(tǒng)主要承載著醫(yī)院醫(yī)療業(yè)務(wù)中的收費(fèi)、電子醫(yī)囑、電子病歷、醫(yī)學(xué)影像、檢驗(yàn)等信息系統(tǒng)，其安全域可劃分為：

醫(yī)療業(yè)務(wù)終端區(qū)：主要指醫(yī)務(wù)人員使用的業(yè)務(wù)終端，位于醫(yī)療業(yè)務(wù)系統(tǒng)。與互聯(lián)網(wǎng)、辦公網(wǎng)等外部網(wǎng)絡(luò)域物理隔離；

內(nèi)網(wǎng)開發(fā)維護(hù)區(qū)：主要指信息維護(hù)及軟件開發(fā)業(yè)務(wù)終端；

內(nèi)網(wǎng)服務(wù)器區(qū)：主要指為醫(yī)療業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)及應(yīng)用服務(wù)；

內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)：主要指醫(yī)療業(yè)務(wù)系統(tǒng)與辦公互聯(lián)網(wǎng)系統(tǒng)的內(nèi)外數(shù)據(jù)交換區(qū)域。

2.外網(wǎng)（辦公互聯(lián)網(wǎng)系統(tǒng)）

辦公終端區(qū)：醫(yī)院辦公業(yè)務(wù)如OA、郵件等業(yè)務(wù)終端；

外網(wǎng)服務(wù)器區(qū)：醫(yī)院門戶網(wǎng)站、預(yù)約網(wǎng)站及辦公系統(tǒng)服務(wù)；

互聯(lián)網(wǎng)接入?yún)^(qū)：醫(yī)院局域網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入?yún)^(qū)。

3.相關(guān)邊界描述

根據(jù)醫(yī)院業(yè)務(wù)特點(diǎn)，醫(yī)療業(yè)務(wù)系統(tǒng)承載著醫(yī)院業(yè)務(wù)運(yùn)轉(zhuǎn)，其安全性關(guān)系到每位患者的切身利益，下面以該院內(nèi)網(wǎng)區(qū)域?yàn)橹鳎凑瞻踩騽澐值木唧w情況，對(duì)照分析各安全域之間的業(yè)務(wù)關(guān)系，各邊界及相關(guān)接口定義描述如下：

邊界1：內(nèi)網(wǎng)與外網(wǎng)的互聯(lián)邊界，用于實(shí)現(xiàn)醫(yī)療業(yè)務(wù)系統(tǒng)與辦公互聯(lián)網(wǎng)的數(shù)據(jù)交互及分級(jí)防護(hù)；

邊界2：業(yè)務(wù)終端邊界，用于實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)與醫(yī)護(hù)人員的人機(jī)交互業(yè)務(wù)；

邊界3：維護(hù)開發(fā)終端邊界，內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)與軟件開發(fā)的互聯(lián)邊界，用于軟件開發(fā)、更新、系統(tǒng)維護(hù)等等業(yè)務(wù)；

邊界4：服務(wù)器區(qū)邊界，門戶網(wǎng)站、診療預(yù)約網(wǎng)站與公眾訪問(wèn)的邊界。

醫(yī)療業(yè)務(wù)網(wǎng)邊界防護(hù)方案設(shè)計(jì)

邊界保護(hù)主要考慮的問(wèn)題是如何使某個(gè)安全等級(jí)的網(wǎng)絡(luò)內(nèi)部不受來(lái)自外部的攻擊，根據(jù)邊界劃分結(jié)果，主要防護(hù)的區(qū)域有：內(nèi)外網(wǎng)交換區(qū)、服務(wù)器區(qū)、業(yè)務(wù)終端區(qū)、維護(hù)開發(fā)終端區(qū)。邊界防護(hù)的主要機(jī)制有以下幾種。

1.網(wǎng)絡(luò)邊界隔離措施（防火墻、網(wǎng)閘）

防火墻、網(wǎng)閘是常規(guī)的網(wǎng)絡(luò)邊界防護(hù)技術(shù)，便于對(duì)網(wǎng)絡(luò)邊界進(jìn)行安全控制，但是傳統(tǒng)防火墻無(wú)法對(duì)病毒、蠕蟲及其引起的惡意流量進(jìn)行控制。防火墻技術(shù)利用邏輯層訪問(wèn)控制策略，對(duì)雙向數(shù)據(jù)進(jìn)行定義，物理層屬于聯(lián)通狀態(tài)，實(shí)時(shí)交互性高，安全性高。網(wǎng)閘由于采用數(shù)據(jù)“擺渡”原理，在數(shù)據(jù)傳遞過(guò)程中網(wǎng)絡(luò)之間屬于物理隔離狀態(tài)，實(shí)時(shí)交互性較差，安全性最高。

交大一附院在使用網(wǎng)絡(luò)過(guò)程中發(fā)現(xiàn)，網(wǎng)閘安全性高，但維護(hù)難度較高，配置較為復(fù)雜，如果廠商的支持力度不足將大大影響醫(yī)院外聯(lián)業(yè)務(wù)的開展，而防火墻雖然安全性較網(wǎng)閘差，但是配置簡(jiǎn)單。因此，可以針對(duì)不同業(yè)務(wù)對(duì)安全性的要求及數(shù)據(jù)交互的實(shí)時(shí)性要求，采用不同的網(wǎng)絡(luò)邊界防護(hù)措施。

2.主機(jī)邊界入侵防御系統(tǒng)（IDS、IPS、UTM）

入侵防御系統(tǒng)，在攻擊檢測(cè)、安全審計(jì)和監(jiān)控方面都發(fā)揮了重要作用，通常架設(shè)在網(wǎng)絡(luò)間的通信路徑中間。IDS以旁路方式接入網(wǎng)絡(luò)，對(duì)不產(chǎn)生網(wǎng)絡(luò)負(fù)載，以檢測(cè)報(bào)警功能為主。IPS不僅能夠?qū)崿F(xiàn)對(duì)攻擊的檢測(cè)報(bào)警，還能對(duì)攻擊進(jìn)行阻攔和防范，但是必須串聯(lián)接入網(wǎng)絡(luò)，在系統(tǒng)防護(hù)的同時(shí)勢(shì)必對(duì)網(wǎng)絡(luò)流量造成影響。

UTM是集合IDS、IPS、防病毒、防火墻等功能于一身的防護(hù)措施，所以也被稱為“統(tǒng)一威脅管理平臺(tái)”，主要應(yīng)用于網(wǎng)絡(luò)邊界，如局域與廣域之間、內(nèi)網(wǎng)與外網(wǎng)之間，UTM使得網(wǎng)絡(luò)邊界的防護(hù)整體化、平臺(tái)化，它的處理能力、吞吐量和自身對(duì)抗攻擊的能力是影響性能的關(guān)鍵因素。但是，作為其他環(huán)節(jié)的防護(hù)措施而言，過(guò)于集中的功能與我們按照等級(jí)或按照安全域進(jìn)行分級(jí)防護(hù)的思路有所偏差。

根據(jù)醫(yī)院業(yè)務(wù)特色，醫(yī)院業(yè)務(wù)高峰相對(duì)集中，同時(shí)在網(wǎng)絡(luò)邊界已經(jīng)采用了防火墻及網(wǎng)閘技術(shù)，過(guò)度的防御反而會(huì)對(duì)業(yè)務(wù)系統(tǒng)的性能造成影響，容易形成網(wǎng)絡(luò)瓶頸，因此我們采用了旁路方式將IDS接入核心網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)內(nèi)部與外部入侵的綜合檢測(cè)，根據(jù)報(bào)警及時(shí)采取相應(yīng)措施。

3.終端邊界安全防護(hù)

據(jù)調(diào)查醫(yī)院內(nèi)部網(wǎng)絡(luò)中95%以上的病毒，源自終端設(shè)備違規(guī)使用外接設(shè)備交換數(shù)據(jù)，因此對(duì)終端設(shè)備的端口控制與病毒防護(hù)尤為重要。部分防病毒系統(tǒng)已經(jīng)具備防病毒與端口管理等多種功能，也可以通過(guò)桌面管理實(shí)現(xiàn)對(duì)終端的資產(chǎn)管理、遠(yuǎn)程維護(hù)、端口管理、組策略管理等更多功能。同時(shí)，采取措施對(duì)終端的U盤啟動(dòng)功能進(jìn)行屏蔽或管理達(dá)到有效防護(hù)，對(duì)于非法接入的終端設(shè)備，則需要采取終端準(zhǔn)入認(rèn)證機(jī)制。

而針對(duì)維護(hù)開發(fā)終端，使用人員多為計(jì)算機(jī)專業(yè)人員，且有大量外包公司人員，流動(dòng)性大，系統(tǒng)權(quán)限較高，為了便于系統(tǒng)開發(fā)及維護(hù)，開發(fā)人員往往需要直接訪問(wèn)主機(jī)、數(shù)據(jù)庫(kù)、外界支持，如遠(yuǎn)程支持、外部數(shù)據(jù)接入，外部文件拷貝等，降低了桌面及防病毒的防護(hù)等級(jí)。對(duì)系統(tǒng)安全的威脅性更高，開發(fā)終端病毒感染數(shù)遠(yuǎn)遠(yuǎn)高于業(yè)務(wù)終端，同時(shí)還有集中在信息科的文件服務(wù)器也是病毒高發(fā)區(qū)。

防病毒網(wǎng)關(guān)作為一種網(wǎng)絡(luò)病毒防護(hù)機(jī)制，需要對(duì)經(jīng)過(guò)網(wǎng)關(guān)的數(shù)據(jù)包都進(jìn)行數(shù)據(jù)過(guò)濾，經(jīng)過(guò)測(cè)試，防病毒網(wǎng)關(guān)對(duì)部分應(yīng)用會(huì)造成效率影響，因此較為適合作為區(qū)域性網(wǎng)絡(luò)防病毒措施，不建議將單臺(tái)設(shè)備用于全網(wǎng)防病毒。

考慮到各種措施的防護(hù)能力，我們將終端防護(hù)的重點(diǎn)放在了開發(fā)維護(hù)終端區(qū)，在防病毒及桌面管理的基礎(chǔ)上，采用防病毒網(wǎng)關(guān)及主機(jī)訪問(wèn)網(wǎng)關(guān)（堡壘機(jī)），控制開發(fā)維護(hù)區(qū)域的病毒影響和開發(fā)人員對(duì)主機(jī)的訪問(wèn)控制。

4.安全審計(jì)技術(shù)

在可追究性方面，從安全事件發(fā)生概率來(lái)說(shuō)，內(nèi)部問(wèn)題遠(yuǎn)遠(yuǎn)大于來(lái)自系統(tǒng)外部的攻擊，安全審計(jì)已經(jīng)成為信息安全體系中的重要環(huán)節(jié)。對(duì)于內(nèi)部人員非授權(quán)訪問(wèn)、數(shù)據(jù)竊取等違規(guī)操作，可以通過(guò)加強(qiáng)審計(jì)進(jìn)行及時(shí)發(fā)現(xiàn)和有效制止，在國(guó)家信息安全等級(jí)保護(hù)建設(shè)中針對(duì)醫(yī)療行業(yè)的特殊要求中防“統(tǒng)方”被作為重點(diǎn)審計(jì)的一個(gè)環(huán)節(jié)。

因此在安全審計(jì)方面，可以采用以數(shù)據(jù)端口鏡像方式旁路接入網(wǎng)絡(luò)的帶有“統(tǒng)方”審計(jì)的數(shù)據(jù)庫(kù)審計(jì)措施和針對(duì)主機(jī)及網(wǎng)絡(luò)的審計(jì)措施。在數(shù)據(jù)庫(kù)審計(jì)實(shí)施時(shí)由于大部分?jǐn)?shù)據(jù)庫(kù)審計(jì)產(chǎn)品廠商對(duì)醫(yī)療衛(wèi)生行業(yè)不了解，需要進(jìn)行詳細(xì)的需求調(diào)研和系統(tǒng)設(shè)置。

5.其他安全保護(hù)措施

除以上述主要的邊界安全措施外，還需采用以下安全保護(hù)技術(shù)，以保證各安全域內(nèi)服務(wù)的完整性、可用性，以及信息的完整性、機(jī)密性、可用性：

（1）在各安全域的核心交換機(jī)上進(jìn)行VLAN劃分，不同業(yè)務(wù)部署在不同VLAN上，并啟用訪問(wèn)控制列表（AcL）功能，只允許合法的數(shù)據(jù)流通過(guò)，實(shí)現(xiàn)不同業(yè)務(wù)之問(wèn)的隔離。安全策略應(yīng)細(xì)化到IP地址和端口。

（2）在各安全域的核心交換機(jī)上部署漏洞掃描系統(tǒng)，搜索安全域內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備、各監(jiān)務(wù)子系統(tǒng)和關(guān)鍵服務(wù)器等的漏洞信息，并在不會(huì)對(duì)業(yè)務(wù)系統(tǒng)的正常運(yùn)行造成影響的前提下進(jìn)行相應(yīng)安全加固。

（3）對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶，采用動(dòng)態(tài)口令認(rèn)證系統(tǒng)實(shí)現(xiàn)核心服務(wù)器身份認(rèn)證。

（4）在核心服務(wù)器上部署防病毒軟件，進(jìn)行惡意代碼防護(hù)，實(shí)時(shí)監(jiān)控主機(jī)的工作狀態(tài)和網(wǎng)絡(luò)訪問(wèn)情況。

6.邊界防護(hù)方案拓?fù)?/p>

綜上所述，交大一附院確定了最終網(wǎng)絡(luò)邊界防護(hù)方案見圖2。

7.方案的設(shè)計(jì)總結(jié)

篇7

關(guān)鍵詞：

一、引言

信息網(wǎng)絡(luò)安全是指防止信息網(wǎng)絡(luò)本身及其采集、加工、存儲(chǔ)、傳輸?shù)男畔?shù)據(jù)被故意或偶然的非授權(quán)泄露、更改、破壞或使信息被非法辨認(rèn)、控制，即保障信息的可用性、機(jī)密性、完整性、可控性、不可抵賴性。

二、ASP信息安全策略體系

安全策略確定、 安全工作的目標(biāo)和對(duì)象、安全策略涵蓋面很多，如總體安全策略、網(wǎng)絡(luò)安全策略、應(yīng)用系統(tǒng)安全策略、部門安全策略、設(shè)備安全策略等。

（1）實(shí)體安全性。信息網(wǎng)絡(luò)的基本要素主要有網(wǎng)絡(luò)基礎(chǔ)設(shè)備、軟件系統(tǒng)、用戶和數(shù)據(jù)、保證構(gòu)建網(wǎng)絡(luò)的基礎(chǔ)設(shè)備和軟件系統(tǒng)安全可信。沒(méi)有預(yù)留后門或邏輯炸彈，保證接入網(wǎng)絡(luò)的用戶是可信的，防止惡意用戶對(duì)系統(tǒng)的攻擊破壞。

（2）行為可控性.保證用戶行為可控，即保證本地計(jì)算機(jī)的各種軟硬件資源 （例如，內(nèi)存、中斷、I/O 端口、硬盤等硬件設(shè)備，文件、目錄、進(jìn)程、系統(tǒng)調(diào)用等軟件資源）不被非授權(quán)使用或被用于危害本系統(tǒng)或其它系統(tǒng)的安全。

（3）資源可管理性。保證對(duì)ASP目錄系統(tǒng)、數(shù)據(jù)庫(kù)、安全設(shè)備、密碼設(shè)備、密鑰參數(shù)、用戶賬號(hào)、服務(wù)端口等網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一管理。

（4）事件可查性.保證對(duì)網(wǎng)絡(luò)上的各類違規(guī)事件進(jìn)行監(jiān)控記錄，確保日志記錄的完整性，為安全事件稽查，取證提供依據(jù)。

（5）運(yùn)行可靠性.保證網(wǎng)絡(luò)節(jié)點(diǎn)在發(fā)生自然災(zāi)難或遭到硬摧毀時(shí)仍能不間斷運(yùn)行，具有容災(zāi)抗毀和備份恢復(fù)能力，保證能夠有效防范病毒和黑客的攻擊所引起的網(wǎng)絡(luò)擁塞、系統(tǒng)崩潰和數(shù)據(jù)丟失 并具有較強(qiáng)的應(yīng)急響應(yīng)和災(zāi)難恢復(fù)能力。

三、技術(shù)策略

ASP信息網(wǎng)絡(luò)安全保護(hù)涉及人員、技術(shù)和法規(guī)3個(gè)方面。因此 ASP信息網(wǎng)絡(luò)安全防護(hù)體系可從技術(shù)防護(hù)體系、組織管理體系和法規(guī)標(biāo)準(zhǔn)體系三方面進(jìn)行建設(shè)。 它們以信息網(wǎng)絡(luò)的總體安全策略為核心，共同保護(hù)信息網(wǎng)絡(luò)安全運(yùn)行。

保衛(wèi)安全邊界。網(wǎng)絡(luò)邊界是數(shù)據(jù)進(jìn)出不同的安全信任領(lǐng)域的入口，對(duì)ASP系統(tǒng)安全信任域的劃分至關(guān)重要。系統(tǒng)運(yùn)營(yíng)商必須根據(jù)平臺(tái)的網(wǎng)絡(luò)系統(tǒng)構(gòu)架，在系統(tǒng)內(nèi)部劃分不同的安全域，例如管理員工作域、系統(tǒng)維護(hù)域、普通網(wǎng)絡(luò)用戶登錄域等。并在所有安全信任域的邊界建立安全防護(hù)體制，包括部署防火墻設(shè)備、入侵檢測(cè)設(shè)備等。實(shí)現(xiàn)嚴(yán)格的訪問(wèn)控制，從根本上保障信息系統(tǒng)不受外部入侵者的破壞。

對(duì)系統(tǒng)的防病毒管理，建立數(shù)據(jù)存儲(chǔ)備份系統(tǒng)也將是保護(hù)計(jì)算環(huán)境中的重要部分。Web網(wǎng)絡(luò)應(yīng)用系統(tǒng)具有數(shù)據(jù)中心的數(shù)據(jù)容量，提供網(wǎng)絡(luò)用戶的注冊(cè)、登錄、維護(hù)、查找、自主信息等功能。大量客戶數(shù)據(jù)的丟失，發(fā)生計(jì)算機(jī)災(zāi)難性事故后長(zhǎng)時(shí)間無(wú)法恢復(fù)，會(huì)導(dǎo)致系統(tǒng)的癱瘓，在數(shù)據(jù)存儲(chǔ)管理方面的安全措施包括：

（1）數(shù)據(jù)中心。在ASP網(wǎng)絡(luò)應(yīng)用系統(tǒng)集中管理的環(huán)境下將用戶信息數(shù)據(jù)和網(wǎng)絡(luò)歷史數(shù)據(jù)集中起來(lái)，通過(guò)數(shù)據(jù)備份，不僅保留現(xiàn)存硬盤數(shù)據(jù)的一份拷貝，還保留眾多的歷史數(shù)據(jù)。從而為Web網(wǎng)絡(luò)應(yīng)用的長(zhǎng)期維護(hù)提供了數(shù)據(jù)基礎(chǔ)。

（2）應(yīng)用系統(tǒng)數(shù)據(jù)的安全檢查.通過(guò)保留各個(gè)時(shí)間點(diǎn)的計(jì)算機(jī)系統(tǒng)數(shù)據(jù)，以檢查連續(xù)運(yùn)行的數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)安全。

防治常見的ASP網(wǎng)絡(luò)應(yīng)用系統(tǒng)危害，如下簡(jiǎn)要列舉幾點(diǎn)：

（1）SQL注入。它是一種攻擊方式，在這種攻擊方式中，主要是惡意的用戶在我們的程序的數(shù)據(jù)庫(kù)中執(zhí)行精心設(shè)計(jì)的SQL語(yǔ)句。惡意代碼入到字符串中，然后將該字符串傳遞到SQL Server的實(shí)例以進(jìn)行分析和執(zhí)行。

（2）XSS(跨站腳本攻擊)

XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常忽略其危害性。Xss也被稱作HTML注入，和sql注入原理相似，也是沒(méi)有特殊字符進(jìn)行處理。是用戶可以提交HTML標(biāo)簽對(duì)網(wǎng)站進(jìn)行重新的構(gòu)造。

（3）CSRF(跨站點(diǎn)請(qǐng)求偽造)

跨站請(qǐng)求偽造，也被稱為“one click attack”或者session riding，通常縮寫為CSRF或者XS—RF，是一種對(duì)網(wǎng)站的惡意利用。在Aiax盛行的今天來(lái)說(shuō)，它可以在你不知情的情況用你的通過(guò)驗(yàn)證用戶進(jìn)行操作，所以也被稱為瀏覽器劫持。CSRF通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。

四、管理策略

管理層負(fù)責(zé)制定切實(shí)可行的日常安全保密制度、 審計(jì)制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)維護(hù)管理等。明確定義日常安全審計(jì)的例行制度、日程安排與計(jì)劃、報(bào)告的形式及內(nèi)容、目標(biāo)等。技術(shù)層負(fù)責(zé)安全保密、安全審計(jì)、操作規(guī)程、系統(tǒng)維護(hù)等流程的實(shí)施。明確定義安全審計(jì)所涉及的過(guò)程及技術(shù)要求。

明確確定計(jì)算機(jī)的各種開機(jī)密碼，系統(tǒng)管理員密碼及業(yè)務(wù)操作密碼，每隔一段時(shí)間必須做一次更換，并要求使用者確實(shí)執(zhí)行，不同用戶名不得采用相同的密碼或簡(jiǎn)單的密碼。ASP平臺(tái)對(duì)以遠(yuǎn)程登錄方式進(jìn)行系統(tǒng)操作的，應(yīng)事前簽定協(xié)議，明確其應(yīng)遵守的安全規(guī)定、標(biāo)準(zhǔn)、程序以及應(yīng)負(fù)擔(dān)的責(zé)任。

篇8

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 信息安全 訪問(wèn)控制 身份認(rèn)證

伴隨著我國(guó)國(guó)民經(jīng)濟(jì)信息化進(jìn)程的推進(jìn)和信息技術(shù)的普及,各種網(wǎng)絡(luò)信息系統(tǒng)已成為國(guó)家的基礎(chǔ)設(shè)施,支撐著電子政務(wù)、電子商務(wù)、電子金融、科學(xué)研究、網(wǎng)絡(luò)教育和社會(huì)保障等方方面面。由于網(wǎng)絡(luò)具有的開放性和共享性，人們?cè)诶没ヂ?lián)網(wǎng)獲取信息的同時(shí),其安全問(wèn)題也日益突出。據(jù)統(tǒng)計(jì)，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元，在全球平均每20秒鐘就發(fā)生一次網(wǎng)上入侵事件。2000年的“2月黑客事件”中,世界著名的雅虎、亞馬遜、微軟等網(wǎng)絡(luò)遭黑客攻擊而幾乎全面癱瘓，直接經(jīng)濟(jì)損失高達(dá)數(shù)十億美元。這些例子說(shuō)明網(wǎng)絡(luò)信息安全已威脅到一個(gè)國(guó)家的政治、經(jīng)濟(jì)、軍事、文化、意識(shí)形態(tài)等領(lǐng)域。因此,有必要對(duì)網(wǎng)絡(luò)環(huán)境下信息存在的安全隱患及防護(hù)做深入的研究和探討。

一、網(wǎng)絡(luò)信息安全中常見的隱患

網(wǎng)絡(luò)信息安全中常見的隱患有惡意攻擊、竊取機(jī)密攻擊、計(jì)算機(jī)病毒、非法訪問(wèn)等四種。

惡意攻擊主要包括緩沖溢出攻擊、拒絕服務(wù)攻擊(Denial of Service，DoS)、分布式拒絕服務(wù)攻擊(Distributed Denial of Serivice，DDoS)、硬件設(shè)備破壞型攻擊、網(wǎng)頁(yè)篡改攻擊等。

竊取機(jī)密攻擊是指未經(jīng)授權(quán)的攻擊者(黑客)非法訪問(wèn)網(wǎng)絡(luò)、竊取信息。常見的形式有網(wǎng)絡(luò)踩點(diǎn)、協(xié)議棧指紋鑒別、信息流監(jiān)視、會(huì)話劫持等。

計(jì)算機(jī)病毒是指為了某種目的而蓄意編制的計(jì)算機(jī)程序，它能在實(shí)際系統(tǒng)中生存、自我復(fù)制和傳播，并且給計(jì)算機(jī)系統(tǒng)造成嚴(yán)重的損壞。

非法訪問(wèn)包括口令破解、IP欺騙、特洛伊木馬等。

二、網(wǎng)絡(luò)信息安全防護(hù)技術(shù)

網(wǎng)絡(luò)信息安全是一個(gè)非常關(guān)鍵而又復(fù)雜的問(wèn)題，它涉及技術(shù)、管理等方面的安全措施和相應(yīng)的政策法律。在這里僅從技術(shù)的角度來(lái)研究對(duì)信息安全的保護(hù)，包括身份認(rèn)證、訪問(wèn)控制、內(nèi)容安全、審計(jì)和跟蹤、響應(yīng)和恢復(fù)幾個(gè)部分。

1.網(wǎng)絡(luò)安全的訪問(wèn)控制技術(shù)

訪問(wèn)控制的主要任務(wù)是采取各種措施保證網(wǎng)絡(luò)信息系統(tǒng)不被非法使用和訪問(wèn)。一般采用基于資源的集中式控制、基于資源和目的地址的過(guò)濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來(lái)實(shí)現(xiàn)。訪問(wèn)控制所包括的典型技術(shù)有：防火墻、虛擬專用網(wǎng)（VPN）、授權(quán)管理基礎(chǔ)設(shè)施(PMI)等。

防火墻（firewall）是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口。防火墻技術(shù)分為網(wǎng)絡(luò)層與應(yīng)用層兩類，分別是包過(guò)濾防火墻與應(yīng)用層網(wǎng)關(guān)。

虛擬專網(wǎng)（VPN）技術(shù)是采用密碼技術(shù)，使用IP隧道封裝加密數(shù)據(jù)，進(jìn)行信息加密傳輸，保證信息完整，并結(jié)合網(wǎng)絡(luò)訪問(wèn)控制技術(shù)，抵抗各種外來(lái)攻擊。在IP層實(shí)現(xiàn)了認(rèn)證、數(shù)據(jù)加密、防止DOS攻擊、訪問(wèn)控制以及審計(jì)等安全機(jī)制，從而使其成為安全可靠的網(wǎng)絡(luò)信息安全傳輸工具。

PMI（Privilege Management Infrastructure）是屬性機(jī)構(gòu)、屬性證書、屬性證書注冊(cè)申請(qǐng)中心、屬性庫(kù)、策略庫(kù)等部件的集合體，用來(lái)實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷功能。PMI可以向應(yīng)用系統(tǒng)提供對(duì)實(shí)體（人、服務(wù)器、程序等）的權(quán)限管理和授權(quán)服務(wù)，實(shí)現(xiàn)實(shí)體身份到應(yīng)用權(quán)限的映射，提供與實(shí)際應(yīng)用處理模式相應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無(wú)關(guān)的授權(quán)和訪問(wèn)控制機(jī)制，簡(jiǎn)化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)。

2.網(wǎng)絡(luò)安全的身份認(rèn)證技術(shù)

身份認(rèn)證是對(duì)網(wǎng)絡(luò)中的主體和客體的身份進(jìn)行驗(yàn)證的過(guò)程，所包括的典型技術(shù)有：口令認(rèn)證機(jī)制、公開密鑰基礎(chǔ)設(shè)施（PKI）強(qiáng)認(rèn)證機(jī)制、基于生物特征的認(rèn)證等。

口令認(rèn)證，是最常用的一種認(rèn)證方式。通常情況下，用戶先輸入某種標(biāo)志信息，然后系統(tǒng)詢問(wèn)用戶口令，如果口令相匹配，用戶即可進(jìn)入系統(tǒng)訪問(wèn)。

PKI認(rèn)證，PKI（Public Key Infrastructure）技術(shù)是通過(guò)公鑰密碼體制中用戶私鑰的機(jī)密性來(lái)提供用戶身份的惟一性驗(yàn)證，并通過(guò)數(shù)字證書的方式為每個(gè)合法用戶的公鑰提供一個(gè)合法性的證明，建立了用戶公鑰到證書ID號(hào)之間的惟一映射關(guān)系。PKI的認(rèn)證是一種強(qiáng)認(rèn)證機(jī)制，綜合采用了摘要算法、非對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)很好地將安全性和高效性結(jié)合起來(lái)。這種認(rèn)證方法目前廣泛應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶端認(rèn)證、防火墻認(rèn)證等領(lǐng)域。

基于生物特征的認(rèn)證，是一項(xiàng)正處于研究開發(fā)階段的技術(shù)，常見的有指紋、聲音、視網(wǎng)膜或虹膜、手掌幾何學(xué)等。這種利用個(gè)人生理特征進(jìn)行鑒別的方式具有很高的安全性。

3.網(wǎng)絡(luò)安全的內(nèi)容安全技術(shù)

內(nèi)容安全主要是直接保護(hù)系統(tǒng)中傳輸和存儲(chǔ)的數(shù)據(jù)。主要是通過(guò)對(duì)信息和內(nèi)容本身進(jìn)行變形和變換，或者對(duì)具體的內(nèi)容進(jìn)行檢查來(lái)實(shí)現(xiàn)。內(nèi)容安全所包括的典型技術(shù)有：加密、防病毒、內(nèi)容過(guò)濾等。

加密是信息安全領(lǐng)域的一種基本、實(shí)用且非常重要的技術(shù)。主要分為對(duì)稱加密、非對(duì)稱加密兩類。對(duì)稱加密使用單個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密或解密，其特點(diǎn)是計(jì)算量小、加密效率高，但是此類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難;非對(duì)稱加密算法也稱公開密鑰加密算法，其特點(diǎn)是有兩個(gè)密鑰(即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密的全過(guò)程。由于非對(duì)稱算法擁有兩個(gè)密鑰，它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，因此在Internet中得到廣泛應(yīng)用。在實(shí)際應(yīng)用中，通常將對(duì)稱加密和非對(duì)稱加密結(jié)合起來(lái)，同時(shí)保證了加密的高效性（對(duì)稱密鑰的快速加密）和高強(qiáng)度性（公鑰的強(qiáng)加密）。

防病毒，病毒是一種進(jìn)行自我復(fù)制、廣泛傳播、對(duì)計(jì)算機(jī)及其數(shù)據(jù)進(jìn)行嚴(yán)重破壞的程序。由于病毒具有隱蔽性與隨機(jī)性的特點(diǎn)，使用戶防不勝防，因此，防范病毒必須建立多層的網(wǎng)絡(luò)級(jí)病毒防治系統(tǒng)，綜合運(yùn)用預(yù)防病毒、檢測(cè)病毒和殺除病毒技術(shù)。

內(nèi)容過(guò)濾，內(nèi)容過(guò)濾就是采取適當(dāng)?shù)募夹g(shù)措施，對(duì)網(wǎng)絡(luò)上的不良信息進(jìn)行過(guò)濾，既阻止不良信息對(duì)人們的侵害，又可以通過(guò)規(guī)范用戶的上網(wǎng)行為，提高工作效率，合理利用網(wǎng)絡(luò)資源。

4.網(wǎng)絡(luò)安全的審計(jì)和跟蹤技術(shù)

審計(jì)和跟蹤這種機(jī)制一般情況下并不干涉和直接影響主業(yè)務(wù)流程，而是通過(guò)對(duì)主業(yè)務(wù)進(jìn)行記錄、檢查、監(jiān)控等來(lái)完成以審計(jì)、完整性等要求為主的安全功能。審計(jì)和跟蹤所包括的典型技術(shù)有:入侵檢測(cè)系統(tǒng)（IDS）、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)等。

IDS，是作為防火墻的合理補(bǔ)充，能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)是一種主動(dòng)保護(hù)網(wǎng)絡(luò)和系統(tǒng)安全的技術(shù)，它從計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中采集、分析數(shù)據(jù)，查看網(wǎng)絡(luò)或主機(jī)系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，并采取適當(dāng)?shù)捻憫?yīng)措施來(lái)阻擋攻擊，降低可能的損失。它能提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的保護(hù)。入侵檢測(cè)系統(tǒng)可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)兩類。

漏洞掃描系統(tǒng)，是自動(dòng)檢測(cè)網(wǎng)絡(luò)或主機(jī)安全漏洞的技術(shù)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞并采取補(bǔ)救措施。不管攻擊者是從外部還是從內(nèi)部攻擊某一網(wǎng)絡(luò)系統(tǒng)，攻擊機(jī)會(huì)來(lái)自已經(jīng)知道的漏洞。對(duì)于系統(tǒng)管理員來(lái)說(shuō)，漏洞掃描系統(tǒng)是最好的助手，它能夠主動(dòng)發(fā)現(xiàn)系統(tǒng)的漏洞，及時(shí)修補(bǔ)漏洞。漏洞掃描系統(tǒng)分為網(wǎng)絡(luò)掃描系統(tǒng)、主機(jī)掃描系統(tǒng)和數(shù)據(jù)庫(kù)掃描系統(tǒng)三種。

安全審計(jì)，是對(duì)網(wǎng)絡(luò)或主機(jī)的活動(dòng)軌跡進(jìn)行記錄形成日志，并對(duì)日志進(jìn)行審計(jì)，從而發(fā)現(xiàn)可疑行為。

響應(yīng)和恢復(fù)，從過(guò)程上看，響應(yīng)和恢復(fù)是對(duì)異常、故障、事故、入侵等事件發(fā)生后做出的反應(yīng)，但從根本的實(shí)現(xiàn)上看，事前的準(zhǔn)備才是該技術(shù)的關(guān)鍵。一般的數(shù)據(jù)備份策略有全備份、增量備份和差分備份三種。全備備份系統(tǒng)中所有的數(shù)據(jù)；增量備份只備份上次備份以后有變化的數(shù)據(jù)；而差分備份則備份上次完全備份以后有變化的數(shù)據(jù)。恢復(fù)措施在整個(gè)備份機(jī)制中占有相當(dāng)重要的地位。恢復(fù)操作通常分為全盤恢復(fù)、個(gè)別文件恢復(fù)。

三、總結(jié)

網(wǎng)絡(luò)信息安全是一項(xiàng)復(fù)雜的長(zhǎng)期性的系統(tǒng)工程。只有融合各種安全技術(shù)，構(gòu)建綜合的動(dòng)態(tài)網(wǎng)絡(luò)來(lái)最大化安全防護(hù)的效果；同時(shí)開展網(wǎng)絡(luò)信息安全和防范技術(shù)教育，從法律法規(guī)、管理、技術(shù)這三個(gè)層次上采取有效措施，加強(qiáng)防范，避免黑客人侵、信息被竊，以保證信息網(wǎng)絡(luò)的正常運(yùn)行。

參考文獻(xiàn):

[1]張小斌:黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社,1999

[2]周慧:網(wǎng)絡(luò)的信息安全技術(shù)[J].山東:煙臺(tái)教育學(xué)院學(xué)報(bào)，2003(3)

[3]宋玲呂立堅(jiān)蔣華:基于PKI實(shí)現(xiàn)網(wǎng)絡(luò)通信安全性的研究[J].計(jì)算機(jī)工程與應(yīng)用，2002(13)

篇9

關(guān)鍵詞局域網(wǎng);信息安全

中圖分類號(hào)TP393文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào)1673-9671-(2010)042-0026-01

0引言

企業(yè)局域網(wǎng)是指局在企業(yè)范圍內(nèi)由通過(guò)網(wǎng)絡(luò)設(shè)備和通信線路連接起來(lái)由多臺(tái)計(jì)算機(jī)。企業(yè)局域網(wǎng)是自治的計(jì)算機(jī)網(wǎng)絡(luò),一般只對(duì)企業(yè)內(nèi)部提供資源共享、信息傳遞功能,實(shí)現(xiàn)電子郵件、內(nèi)部網(wǎng)站、企業(yè)辦公自動(dòng)化等應(yīng)用。

近年來(lái)我國(guó)企業(yè)信息化發(fā)展迅速,企業(yè)局域網(wǎng)作為信息化的基礎(chǔ)更是得到普遍應(yīng)用,有中小企業(yè)的幾臺(tái)計(jì)算機(jī)簡(jiǎn)單聯(lián)接,也有大型企業(yè)在全國(guó)乃至全球范圍內(nèi)通過(guò)通信專線或虛擬專用網(wǎng)(VPN)實(shí)現(xiàn)的成千上萬(wàn)臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)。雖然企業(yè)局域網(wǎng)在規(guī)模和實(shí)現(xiàn)技術(shù)上差異很大,但其面向企業(yè)內(nèi)部提供信息服務(wù)的功能是一致的。

1信息安全的主要內(nèi)容和目標(biāo)

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而找到破壞、更改或泄漏,信息網(wǎng)絡(luò)服務(wù)不中斷的可靠運(yùn)行。信息安全的實(shí)現(xiàn)包含三個(gè)層次:①物理安全層次,包括機(jī)房,線路,主機(jī)等的實(shí)體安全,如防盜防火;②網(wǎng)絡(luò)安全層次,主要是網(wǎng)絡(luò)的安全暢通和保密;③應(yīng)用安全層次,各類服務(wù)應(yīng)用的安全可用。

信息安全目標(biāo)就是保證信息網(wǎng)絡(luò)的安全可用,具體來(lái)看則包括以下幾點(diǎn):①信息來(lái)源真實(shí)性,能對(duì)信息來(lái)源進(jìn)行鑒別,能夠判斷偽造信息來(lái)源;②信息安全保密性,保證機(jī)密信息不被泄漏;③信息數(shù)據(jù)完整性,保證信息數(shù)據(jù)的一致性,防止非法篡改;④信息服務(wù)可用性,保證信息、資源或服務(wù)能為合法用戶連續(xù)正常使用;⑤防抵賴性,使用戶不能否認(rèn)其行為,這點(diǎn)在電子商務(wù)中尤其重要;⑥信息可控性,能夠有效控制信息的內(nèi)容和傳播;⑦可審查性,出現(xiàn)信息安全問(wèn)題時(shí)能提供調(diào)查依據(jù)和手段。

2企業(yè)局域網(wǎng)信息安全風(fēng)險(xiǎn)

隨著企業(yè)局域網(wǎng)應(yīng)用的增加,很大的提高了企業(yè)的生產(chǎn)率,同時(shí)企業(yè)對(duì)局域網(wǎng)的依賴也越來(lái)越強(qiáng)。很多企業(yè)局域網(wǎng)一旦中斷,整個(gè)業(yè)務(wù)都將陷入癱瘓。實(shí)際使用中企業(yè)局域網(wǎng)信息安全面臨著多種多樣的挑戰(zhàn),主要的安全風(fēng)險(xiǎn)可以歸結(jié)為以下幾類:

1)主動(dòng)網(wǎng)絡(luò)攻擊。來(lái)自對(duì)企業(yè)有惡意的實(shí)體對(duì)企業(yè)局域網(wǎng)發(fā)動(dòng)的主動(dòng)的網(wǎng)絡(luò)攻擊。惡意的實(shí)體包括有商業(yè)競(jìng)爭(zhēng)的對(duì)手公司,企業(yè)內(nèi)部有仇恨情緒的員工,甚至對(duì)企業(yè)持不滿態(tài)度的顧客等,出于獲得不當(dāng)利益或報(bào)復(fù)情緒都可能對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與竊密。另外還有一類可能本身與企業(yè)沒(méi)有直接利益關(guān)系的群體,他們?cè)噲D通過(guò)對(duì)企業(yè)局域網(wǎng)的入侵或攻擊來(lái)證明其個(gè)人價(jià)值、使用企業(yè)內(nèi)部信息牟取非法利益更或者通過(guò)攻擊企業(yè)局域網(wǎng)進(jìn)行網(wǎng)絡(luò)敲詐。

2)病毒木馬的擴(kuò)散。如今的計(jì)算機(jī)網(wǎng)絡(luò)世界,病毒和木馬泛濫,每一天都會(huì)有成千上百種病毒或者木馬產(chǎn)生。而在很多企業(yè)局域網(wǎng)中,安全技術(shù)力量不足,信息安全管理松散、員工安全意識(shí)淡薄等問(wèn)題廣泛存。隨著企業(yè)局域網(wǎng)與網(wǎng)外數(shù)據(jù)交流聯(lián)系日益緊密,病毒木馬更容易在企業(yè)局域網(wǎng)內(nèi)傳播并造成危害,嚴(yán)重時(shí)甚至有可能造成整個(gè)企業(yè)網(wǎng)絡(luò)的中斷,導(dǎo)致企業(yè)業(yè)務(wù)不可用。病毒木馬擴(kuò)散類安全風(fēng)險(xiǎn),危害方式多種多樣、技術(shù)特性發(fā)展變化迅速、危害多發(fā)易發(fā)、后果可輕可重。

3)非技術(shù)安全風(fēng)險(xiǎn)。非技術(shù)安全風(fēng)險(xiǎn)是指諸如員工誤操作、偶然事故等造成的企業(yè)局域網(wǎng)信息安全風(fēng)險(xiǎn)。由于目前企業(yè)員工普遍存在安全知識(shí)缺乏、安全意識(shí)薄弱、偶爾操作過(guò)程不夠謹(jǐn)慎仔細(xì),很可能造成誤操作或信息泄漏。偶然事故類則包含軟硬件設(shè)施的偶然故障,電力供應(yīng)中斷,網(wǎng)絡(luò)服務(wù)線路故障等等。

3企業(yè)局域網(wǎng)安全解決方案

企業(yè)局域網(wǎng)安全技術(shù)是應(yīng)對(duì)企業(yè)局域網(wǎng)面臨信息安全的風(fēng)險(xiǎn)發(fā)展起來(lái)多種技術(shù),可以采用以下方案應(yīng)對(duì)網(wǎng)絡(luò)安全:

1)邊界安全防護(hù)技術(shù)。應(yīng)用于企業(yè)局域網(wǎng)邊界進(jìn)行保護(hù)的安全技術(shù),用于阻止來(lái)自外部網(wǎng)路的各種主動(dòng)。包含防火墻、入侵檢測(cè)、應(yīng)用網(wǎng)關(guān)、防非法外連接、邏輯隔離、物理隔離、信息過(guò)濾等技術(shù)。

2)防火墻技術(shù)。防火墻是目前局域網(wǎng)信息安全最主要的手段之一,是一種計(jì)算機(jī)硬件和軟件相結(jié)合的技術(shù),該技術(shù)通過(guò)監(jiān)測(cè)、限制,更改跨越防火墻的數(shù)據(jù)流,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。

3)入侵檢測(cè)技術(shù)。入侵檢測(cè)(Intrusion Detection)是對(duì)局域網(wǎng)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)信息,檢查網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的情況。入侵檢測(cè)是一種主動(dòng)安全防護(hù)技術(shù),提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),是防火墻之后的第二道安全閘門。

4)安全審計(jì)技術(shù)。安全審計(jì)技術(shù)及時(shí)發(fā)現(xiàn)并記錄各種與安全事件有關(guān)的行為,根據(jù)安全策略,對(duì)發(fā)現(xiàn)的安全事件作出處理。為企業(yè)局域網(wǎng)運(yùn)行過(guò)程中,提供審計(jì)支持。

5)容災(zāi)容錯(cuò)技術(shù)。通過(guò)對(duì)重點(diǎn)網(wǎng)絡(luò)設(shè)備、重要數(shù)據(jù)或應(yīng)用的進(jìn)行資源冗余與備份,確保信息系統(tǒng)不間斷運(yùn)行和對(duì)故障的快速處理和恢復(fù)。主要有熱備份,網(wǎng)絡(luò)復(fù)用等技術(shù)。

6)網(wǎng)絡(luò)監(jiān)控技術(shù),是實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備運(yùn)行情況進(jìn)行監(jiān)視和控制,針對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行情況、計(jì)算活動(dòng)情況進(jìn)行監(jiān)視和管理,確保網(wǎng)絡(luò)資源的正常合法使用,并針對(duì)異常情況及時(shí)干預(yù)的技術(shù)。

7)數(shù)據(jù)加密技術(shù)。加密技術(shù)是是最常用的安全保密手段,即按照一定算法將重要的數(shù)據(jù)變?yōu)閬y碼(加密)進(jìn)行保存或傳送,使用數(shù)據(jù)時(shí)再用相同或不同的手段還原(解密)的技術(shù)。加密技術(shù)的兩個(gè)要素是算法和密鑰。加密技術(shù)分為對(duì)稱加密技術(shù)(加密和解密密鑰相同)、非對(duì)稱加密技術(shù)(加密和解密密鑰不同)兩種。

8)身份鑒別技術(shù)。確認(rèn)實(shí)體身份真實(shí)性的技術(shù)。鑒別技術(shù)分為三種:掌握信息鑒別,如口令鑒別等;生物特征鑒別,如指紋識(shí)別等;擁有物品鑒別,如口令卡、數(shù)字證書等。

9)訪問(wèn)控制技術(shù)。通過(guò)對(duì)主體的資源訪問(wèn)進(jìn)行控制實(shí)現(xiàn)信息安全的技術(shù)。主要訪問(wèn)控制技術(shù)有:自主訪問(wèn)控制(DAC)、強(qiáng)制訪問(wèn)控制(MAC)、基于角色的訪問(wèn)控制(RBAC)。

10)安全管理技術(shù)。只從企業(yè)局域網(wǎng)的設(shè)計(jì)、建設(shè)、使用過(guò)程中圍繞網(wǎng)絡(luò)安全采用的管理手段。尤其是在使用過(guò)程中的安全管理計(jì)劃設(shè)置、管理機(jī)構(gòu)和人員配備、各種必要的規(guī)章制度、人員的審查與管理、人員培訓(xùn)、考核與操作管理、安全系統(tǒng)分等級(jí)管理更是企業(yè)局域網(wǎng)安全實(shí)現(xiàn)的必須條件。

4結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)局域網(wǎng)的應(yīng)用將更加廣泛,同時(shí)所面臨的安全風(fēng)險(xiǎn)也越來(lái)越大。只有重視企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全、采用先進(jìn)網(wǎng)絡(luò)安全技術(shù)、加強(qiáng)網(wǎng)絡(luò)安全管理才能發(fā)揮企業(yè)局域網(wǎng)的作用。

參考文獻(xiàn)

[1]卜麗芳,鄧曉衡.網(wǎng)絡(luò)信息安全與防范.常德,科技通訊,2009.

[2]陳樹平.網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與防火墻技術(shù)探討.邯鄲:信息技術(shù),2009.

[3]羅繼海.淺析企業(yè)信息系統(tǒng)的安全與防范措施.南寧:企業(yè)技術(shù)開發(fā),2009,10.

篇10

關(guān)鍵詞:空間數(shù)據(jù);運(yùn)維標(biāo)準(zhǔn)化;自動(dòng)化

隨著信息技術(shù)尤其是計(jì)算機(jī)技術(shù)的快速發(fā)展、數(shù)字地球的提出與實(shí)施、自然資源信息化建設(shè)快速推進(jìn)，以及地理信息系統(tǒng)(GIS)應(yīng)用程度的不斷深入和應(yīng)用范圍的逐漸擴(kuò)大，地理信息系統(tǒng)正處于急劇變化與發(fā)展之中。空間數(shù)據(jù)庫(kù)是地理信息系統(tǒng)的核心［1］，隨著地理信息系統(tǒng)的快速發(fā)展，空間數(shù)據(jù)庫(kù)也經(jīng)歷著不斷的變化和發(fā)展。經(jīng)過(guò)多年信息化建設(shè)，數(shù)據(jù)資源積累整合了土地、礦產(chǎn)、地質(zhì)環(huán)境與地質(zhì)災(zāi)害、不動(dòng)產(chǎn)登記、基礎(chǔ)測(cè)繪、海洋等基礎(chǔ)類、業(yè)務(wù)類和管理類數(shù)據(jù)，累計(jì)建成各類空間數(shù)據(jù)庫(kù)數(shù)百個(gè)。為保障各類業(yè)務(wù)系統(tǒng)高效穩(wěn)定運(yùn)行，空間數(shù)據(jù)庫(kù)運(yùn)維管理工作的重要性日益凸顯。文中通過(guò)分析目前空間數(shù)據(jù)庫(kù)運(yùn)維面臨的困難和挑戰(zhàn)，探索今后空間數(shù)據(jù)庫(kù)運(yùn)維體系建設(shè)相關(guān)思路。

1空間數(shù)據(jù)庫(kù)運(yùn)維內(nèi)容

數(shù)據(jù)庫(kù)運(yùn)維是指針對(duì)用戶數(shù)據(jù)庫(kù)開展配置優(yōu)化、備份策略選擇及實(shí)施、數(shù)據(jù)恢復(fù)、數(shù)據(jù)遷移、故障排除、預(yù)防性巡檢、數(shù)據(jù)安全等一系列服務(wù)。由于空間數(shù)據(jù)庫(kù)面向的是地學(xué)及其相關(guān)對(duì)象，數(shù)據(jù)庫(kù)存儲(chǔ)的不是單一性質(zhì)的數(shù)據(jù)，而是涵蓋了幾乎所有與地理相關(guān)的數(shù)據(jù)類型，這些數(shù)據(jù)類型包括圖形圖像數(shù)據(jù)、屬性數(shù)據(jù)和空間關(guān)系數(shù)據(jù)，因而空間數(shù)據(jù)庫(kù)運(yùn)維內(nèi)容通常由基礎(chǔ)數(shù)據(jù)運(yùn)維和空間數(shù)據(jù)對(duì)象運(yùn)維組成。基礎(chǔ)數(shù)據(jù)運(yùn)維是指空間數(shù)據(jù)庫(kù)依托的數(shù)據(jù)庫(kù)軟件自身運(yùn)維，常見數(shù)據(jù)庫(kù)軟件有Oracle、SQLServer關(guān)系型數(shù)據(jù)庫(kù);空間數(shù)據(jù)對(duì)象運(yùn)維則包括空間數(shù)據(jù)引擎運(yùn)維、空間圖層損壞檢測(cè)、空間要素?fù)p壞檢測(cè)、空間索引構(gòu)建、影像金字塔構(gòu)建等地理信息類專業(yè)運(yùn)維操作，如圖1所示。

2空間數(shù)據(jù)庫(kù)運(yùn)維現(xiàn)狀

1)空間數(shù)據(jù)庫(kù)運(yùn)維門檻高空間數(shù)據(jù)庫(kù)面向的是地學(xué)及其相關(guān)對(duì)象，通常由若干個(gè)空間數(shù)據(jù)圖層及其相關(guān)屬性數(shù)據(jù)組成，一個(gè)空間數(shù)據(jù)圖層又是以若干個(gè)空間坐標(biāo)或柵格像元的形式存儲(chǔ)的，這一邏輯組織模型可概括為圖形和屬性信息－空間對(duì)象－圖層(如圖2所示為空間數(shù)據(jù)對(duì)象組織)。因而，空間數(shù)據(jù)存儲(chǔ)和管理依賴很強(qiáng)的地理信息專業(yè)知識(shí)，運(yùn)維人員在掌握基本數(shù)據(jù)庫(kù)運(yùn)維技能同時(shí)，還必須對(duì)空間數(shù)據(jù)對(duì)象及其內(nèi)部組織結(jié)構(gòu)有很深的理解，這導(dǎo)致空間數(shù)據(jù)運(yùn)維門檻高，一般數(shù)據(jù)庫(kù)運(yùn)維人員無(wú)法很好地適應(yīng)空間數(shù)據(jù)運(yùn)維工作。如何降低空間數(shù)據(jù)運(yùn)維門檻，減少運(yùn)維人員操作復(fù)雜度，是信息化建設(shè)過(guò)程中對(duì)各企事業(yè)單位的一大考驗(yàn)。2)監(jiān)測(cè)和預(yù)警能力不足，深陷“被動(dòng)運(yùn)維”怪圈在信息化建設(shè)快速推進(jìn)背景下，相關(guān)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)建設(shè)快速發(fā)展，然而“重建設(shè)、輕運(yùn)維”的思想在信息化發(fā)展過(guò)程中長(zhǎng)期存在，造成數(shù)據(jù)運(yùn)維監(jiān)測(cè)和預(yù)警機(jī)制建設(shè)緩慢甚至是缺失，現(xiàn)有數(shù)據(jù)庫(kù)、中間件監(jiān)控技術(shù)不能主動(dòng)發(fā)現(xiàn)問(wèn)題、定位問(wèn)題［2］。與一般數(shù)據(jù)庫(kù)運(yùn)維困境相似，在空間數(shù)據(jù)庫(kù)運(yùn)維過(guò)程中，只有當(dāng)事件已經(jīng)發(fā)生并已造成業(yè)務(wù)影響時(shí)才能發(fā)現(xiàn)和著手處理，屬于“被動(dòng)運(yùn)維”模式。在“被動(dòng)運(yùn)維”模式下，數(shù)據(jù)庫(kù)突發(fā)故障時(shí)往往缺少規(guī)范化的解決方案和全面的跟蹤記錄，運(yùn)維人員充當(dāng)救火隊(duì)員角色，需要臨時(shí)根據(jù)現(xiàn)場(chǎng)狀況全面摸索分析，運(yùn)維時(shí)長(zhǎng)和運(yùn)維質(zhì)量完全取決于具體運(yùn)維人員的個(gè)人技術(shù)能力。因而，在缺少監(jiān)測(cè)和預(yù)警能力的運(yùn)維模式下，應(yīng)用系統(tǒng)可用性、安全性顯得不可控制，逐步導(dǎo)致應(yīng)用系統(tǒng)使用價(jià)值受損。3)空間數(shù)據(jù)運(yùn)維標(biāo)準(zhǔn)化和自動(dòng)化程度低，運(yùn)維過(guò)于碎片化盡管信息化建設(shè)已經(jīng)取得長(zhǎng)足發(fā)展，但日益龐大和復(fù)雜的空間數(shù)據(jù)庫(kù)運(yùn)維工作仍然處于低效的人工管理階段。這是由空間數(shù)據(jù)庫(kù)運(yùn)維復(fù)雜性造成的，其運(yùn)維工作包括基礎(chǔ)數(shù)據(jù)運(yùn)維和空間數(shù)據(jù)對(duì)象運(yùn)維，由于缺少標(biāo)準(zhǔn)化和自動(dòng)化工具，運(yùn)維人員通常采用碎片化的工具和方法進(jìn)行作業(yè)，包括單一日志文件分析、Shell腳本、CMD命令、SQL語(yǔ)句、DMP故障文件和GIS中間件，而這些碎片化的工具操作更多的是依賴運(yùn)維人員自身能力，其熟練程度和技術(shù)能力決定了運(yùn)維效率和質(zhì)量。此階段運(yùn)維工作缺少標(biāo)準(zhǔn)化作業(yè)流程指導(dǎo)，運(yùn)維作業(yè)充滿不確定性，運(yùn)維內(nèi)容和解決方案無(wú)法跟蹤管理，在空間數(shù)據(jù)庫(kù)運(yùn)維人員稀缺或發(fā)生變更情況下，后期數(shù)據(jù)庫(kù)運(yùn)維無(wú)法追溯和借鑒前期運(yùn)維經(jīng)驗(yàn)和解決方案，最終造成運(yùn)維效率和質(zhì)量不可控制。

3空間數(shù)據(jù)庫(kù)運(yùn)維體系建設(shè)探索

經(jīng)過(guò)多年信息化建設(shè)，空間數(shù)據(jù)庫(kù)廣泛應(yīng)用，積累了大量空間數(shù)據(jù)庫(kù)運(yùn)維項(xiàng)目的優(yōu)秀實(shí)踐以及包括Shell腳本、CMD命令、SQL語(yǔ)句和GIS中間件在內(nèi)的一系列運(yùn)維工具。將這些碎片化的運(yùn)維實(shí)踐經(jīng)驗(yàn)和工具梳理整合，形成標(biāo)準(zhǔn)化運(yùn)維作業(yè)指南，基于標(biāo)準(zhǔn)化流程建立自動(dòng)化運(yùn)維平臺(tái)，逐步形成相對(duì)完整的空間數(shù)據(jù)庫(kù)運(yùn)維體系。以期通過(guò)標(biāo)準(zhǔn)化和自動(dòng)化代替繁雜的手工運(yùn)維，提高生產(chǎn)效率的同時(shí)最大限度地減少人為失誤，逐步往“事前預(yù)警，事中快速響應(yīng)，事后存檔”的自動(dòng)化和智能化運(yùn)維方向發(fā)展，如圖3所示。1)空間數(shù)據(jù)運(yùn)維標(biāo)準(zhǔn)化和流程化標(biāo)準(zhǔn)化是一切運(yùn)維自動(dòng)化的基礎(chǔ)，標(biāo)準(zhǔn)化的過(guò)程實(shí)際上就是對(duì)空間運(yùn)維對(duì)象的識(shí)別和建模過(guò)程，形成統(tǒng)一的對(duì)象模型后，各方在統(tǒng)一的認(rèn)識(shí)下展開有效協(xié)作。標(biāo)準(zhǔn)化和流程化的建設(shè)思路一般包括日常工作梳理、標(biāo)準(zhǔn)化和流程化制定、日常工作標(biāo)準(zhǔn)化和流程化執(zhí)行。空間數(shù)據(jù)運(yùn)維內(nèi)容通常包括數(shù)據(jù)庫(kù)宕機(jī)、數(shù)據(jù)表鎖死、數(shù)據(jù)庫(kù)擴(kuò)容、空間數(shù)據(jù)引擎宕機(jī)、空間圖層損壞、圖形要素?fù)p壞、空間數(shù)據(jù)性能下降、空間數(shù)據(jù)緩存過(guò)大、空間數(shù)據(jù)備份和恢復(fù)、空間數(shù)據(jù)遷移。總結(jié)提煉各類型故障監(jiān)測(cè)、排查和解決流程，形成運(yùn)維標(biāo)準(zhǔn)化作業(yè)流程，作為系統(tǒng)化運(yùn)維平臺(tái)建設(shè)的依據(jù)，如圖4所示。2)空間數(shù)據(jù)數(shù)據(jù)監(jiān)測(cè)預(yù)警能力通過(guò)給數(shù)據(jù)庫(kù)預(yù)先定義健康的標(biāo)準(zhǔn)，實(shí)時(shí)對(duì)數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)進(jìn)行自檢，當(dāng)數(shù)據(jù)庫(kù)偏離健康標(biāo)準(zhǔn)時(shí)發(fā)出故障預(yù)警，自動(dòng)生成故障監(jiān)測(cè)報(bào)告，通過(guò)互聯(lián)網(wǎng)方式及時(shí)推送至運(yùn)維人員。空間數(shù)據(jù)監(jiān)測(cè)預(yù)警內(nèi)容包括基礎(chǔ)數(shù)據(jù)庫(kù)監(jiān)測(cè)和空間數(shù)據(jù)狀態(tài)監(jiān)測(cè)，主要指表空間使用率監(jiān)測(cè)、死鎖監(jiān)測(cè)、空間圖層損壞監(jiān)測(cè)、圖形要素?fù)p壞監(jiān)測(cè)、空間數(shù)據(jù)引擎狀態(tài)監(jiān)測(cè)、空間數(shù)據(jù)瀏覽性能監(jiān)測(cè)等，如圖5所示。根據(jù)不同故障的預(yù)警策略，通過(guò)自動(dòng)化監(jiān)測(cè)平臺(tái)將結(jié)果實(shí)時(shí)或定時(shí)推送給運(yùn)維人員，協(xié)助運(yùn)維人員判斷和提前預(yù)防一些潛在故障。3)空間數(shù)據(jù)備份恢復(fù)能力空間數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，根據(jù)不同的備份策略定時(shí)或手動(dòng)執(zhí)行備份操作，備份內(nèi)容分完整空間數(shù)據(jù)庫(kù)備份和特定圖層備份兩種，備份文件以文件型空間數(shù)據(jù)庫(kù)和個(gè)人地理數(shù)據(jù)庫(kù)格式為主。備份完成之后，通過(guò)空間數(shù)據(jù)開發(fā)接口訪問(wèn)并檢查空間圖層數(shù)量、空間圖層要素個(gè)數(shù)、空間圖層要素屬性是否正確，確保備份文件內(nèi)容正確，避免無(wú)效的數(shù)據(jù)備份。備份完成之后自動(dòng)生成報(bào)告歸檔并推送給運(yùn)維人員，如圖6所示。空間數(shù)據(jù)恢復(fù)則是在數(shù)據(jù)庫(kù)發(fā)生嚴(yán)重故障或人為操作造成數(shù)據(jù)大量丟失或損壞時(shí)重建數(shù)據(jù)的過(guò)程。通過(guò)運(yùn)維平臺(tái)將備份文件導(dǎo)入空間數(shù)據(jù)庫(kù)，恢復(fù)完成之后，檢查圖層、要素、屬性的完整性和正確性，確保恢復(fù)結(jié)果正確，如圖7所示。4)空間數(shù)據(jù)調(diào)整優(yōu)化能力在現(xiàn)有軟硬件資源基礎(chǔ)上，充分發(fā)揮數(shù)據(jù)庫(kù)管理系統(tǒng)潛能、全面優(yōu)化并提升應(yīng)用型數(shù)據(jù)庫(kù)操作效能不僅可以節(jié)約系統(tǒng)運(yùn)行成本，而且能夠保障數(shù)據(jù)庫(kù)的安全、穩(wěn)定和效率［2］。空間數(shù)據(jù)調(diào)優(yōu)最主要內(nèi)容是空間索引和影像金字塔維護(hù)，空間數(shù)據(jù)索引對(duì)于提高空間數(shù)據(jù)庫(kù)的查詢和操作效率起著至關(guān)重要的作用［3］。通過(guò)自動(dòng)化運(yùn)維平臺(tái)監(jiān)測(cè)到空間數(shù)據(jù)需要調(diào)優(yōu)，系統(tǒng)則自動(dòng)構(gòu)建調(diào)優(yōu)計(jì)劃，根據(jù)不同調(diào)優(yōu)項(xiàng)啟動(dòng)不同調(diào)優(yōu)策略，同時(shí)將調(diào)優(yōu)計(jì)劃推送給運(yùn)維人員確認(rèn)存檔，如圖8所示。5)安全審計(jì)能力安全審計(jì)包括賬號(hào)密碼審計(jì)、用戶權(quán)限審計(jì)、審計(jì)管理，運(yùn)維管理平臺(tái)自動(dòng)監(jiān)測(cè)用戶賬號(hào)信息、用戶權(quán)限信息和數(shù)據(jù)訪問(wèn)操作行為，以可視化方式展示數(shù)據(jù)安全相關(guān)信息。空間數(shù)據(jù)最重要的是空間地理數(shù)據(jù)問(wèn)題，在空間數(shù)據(jù)訪問(wèn)、編輯、導(dǎo)入、導(dǎo)出時(shí)必須增加權(quán)限控制，同時(shí)做好詳細(xì)日志信息記錄。通過(guò)安全審計(jì)，逐步解決數(shù)據(jù)安全面臨的問(wèn)題，從事后的處理逐漸轉(zhuǎn)變?yōu)槭虑暗念A(yù)防，實(shí)現(xiàn)系統(tǒng)的持續(xù)安全運(yùn)行，如圖9所示。6)運(yùn)維數(shù)據(jù)分析能力運(yùn)維平臺(tái)通過(guò)統(tǒng)一數(shù)據(jù)編目方式，集中管理空間數(shù)據(jù)庫(kù)運(yùn)行產(chǎn)生的相關(guān)信息，包括數(shù)據(jù)庫(kù)日志文件、空間數(shù)據(jù)引擎日志文件、業(yè)務(wù)應(yīng)用系統(tǒng)日志文件和操作系統(tǒng)日志信息。通過(guò)數(shù)據(jù)抽取方式從各類日志文件提取故障、警告和安全信息，以可視化界面分類展示，協(xié)助數(shù)據(jù)運(yùn)維人員快速查找有用日志信息。運(yùn)維數(shù)據(jù)分析既可以基于實(shí)時(shí)數(shù)據(jù)實(shí)現(xiàn)運(yùn)維監(jiān)控需求，也可以基于歷史數(shù)據(jù)進(jìn)行事件分析和預(yù)測(cè)分析，如圖10所示。

4結(jié)束語(yǔ)

隨著地理信息系統(tǒng)在日常生活中的廣泛應(yīng)用，空間數(shù)據(jù)已經(jīng)被社會(huì)各行各業(yè)重視并及時(shí)應(yīng)用到生產(chǎn)生活中，如自然資源信息化、交通管理、銀行數(shù)據(jù)分析、城市規(guī)劃發(fā)展、航空航天、高鐵建設(shè)運(yùn)營(yíng)等。在可預(yù)見的未來(lái)，運(yùn)維的角色將變得越來(lái)越重要，空間數(shù)據(jù)庫(kù)的運(yùn)維工作也將越來(lái)越繁重。本文提出的空間數(shù)據(jù)運(yùn)維標(biāo)準(zhǔn)化、流程化和自動(dòng)化建設(shè)的內(nèi)容和思路，旨在通過(guò)標(biāo)準(zhǔn)化和自動(dòng)化降低空間數(shù)據(jù)運(yùn)維難度，提高運(yùn)維監(jiān)測(cè)預(yù)警能力，盡可能做到“事前預(yù)防、事中快速響應(yīng)、事后可追溯”，為未來(lái)空間數(shù)據(jù)自動(dòng)化和智能化運(yùn)維體系建設(shè)提供了一定參考。

參考文獻(xiàn):

［1］郭文格，湯志華，李慶耀．淺析GIS空間數(shù)據(jù)庫(kù)［J］．北京測(cè)繪，2011，25(2):92－94．

［2］張靖欣．?dāng)?shù)據(jù)庫(kù)及中間件自動(dòng)化運(yùn)維監(jiān)測(cè)系統(tǒng)的研究［J］．科技經(jīng)濟(jì)導(dǎo)刊，2018，26(27):21－23．