前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云安全的重要性主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:油氣儲運 設施 安全
一、油氣儲運設施的分類
油氣儲運設施就是油氣的儲存和運輸設施,在石油工業內部是連接產、運、銷各環節的紐帶,主要包括:礦場油氣集輸及處理、油氣的長距離運輸、轉運樞紐的儲存和裝卸、終點分配油庫(或配氣站)的營銷、煉油廠和石化廠的油氣儲運等設施。
天然氣儲存設施主要用作供氣調峰。短期調峰基本使用輸氣管道末端儲氣和儲氣罐;中長期調峰則需使用地下儲氣庫和各類LNG 設施。地下儲氣庫根據地質構造,可以劃分為枯竭油氣田型、含水層型、鹽穴型、巖洞型及廢棄礦井型等。LNG 儲存設施分為地下罐和地上罐,地下罐包括埋置式和池內式;地上罐包括球形罐、單容罐、雙容罐、全容罐及膜式罐。
油品儲存設施主要指油庫。根據油庫的管理體制和經營性質,可以劃分為獨立油庫和企業附屬油庫兩大類;根據主要儲油方式,可以劃分為地面油庫、隱蔽油庫、山洞油庫、水封石油洞庫和海上油庫等;根據運輸方式,可以劃分為水運油庫、陸運油庫和水陸聯運油庫;根據經營油品的種類,可以劃分為原油庫、油庫、成品油庫等。
油氣運輸包括鐵路運輸、公路運輸、水路運輸和管道運輸。當前,應用最多的運輸方式為管道運輸。根據輸送介質的種類,可以劃分為原油管道、成品油管道和天然氣管道。原油管道是油田、煉廠、港口或鐵路轉運站間原油的重要輸送方式,具有管徑大、運距長、分輸點少的特點;成品油管道將煉廠生產的各種油品運送至油庫或轉運站,具有輸油品種多、批量多、分輸點多的特點,一般采用一條管道順序輸送多種油品的工藝 ;陸地大量輸送天然氣的唯一方式就是管道運輸,其特點為運距長、管徑大、壓力高,并形成大型供氣管網系統。
石油和天然氣是經濟發展和人民生活不可缺少的重要能源。我國油氣儲運設施將繼續處于重要的發展期。隨著油氣儲運設施規模的不斷擴大,若發生大的泄漏、火災、爆炸事故,將會對國家財產、人民生命和環境安全造成巨大威脅。
石油和天然氣均屬于重點監管危險化學品,為易燃易爆物質,泄漏后遇點火源容易發生火災爆炸事故。原油、成品油和天然氣屬于可燃及易燃性物質,并且原油和成品油具有易揮發的特點,油品蒸氣、天然氣常常在油氣儲運設施區域彌漫、擴散或在低洼處聚集,在空氣中只要較小的點燃能量就會使其燃燒,具有較大的火災危險性。油品蒸氣和天然氣與空氣組成的混合氣體,當體積分數處于爆炸極限范圍內時,一旦被引燃,即可能發生爆炸,且油品與天然氣的爆炸范圍較寬,爆炸下限體積分數值較低,因此,爆炸危險性也較大。
油氣儲運設施由于自身特點,安全影響因素眾多。長輸管道沿線經過各種復雜的自然環境與人文環境,出現自然災害破壞或第三方破壞的概率較高;油庫生產運行中受人、物及自然環境等多種因素影響,發生事故的概率較大。
三、確保油氣儲運設施安全的措施
針對油氣管道“點多、線長、面廣”的特點,按照隱患“救其未萌”的HSE 新理念,在工程立項、設計、施工及運行管理的各個階段采取有效的安全防護措施,加強運行管道的監測。
1.提高本質安全
1.1加大“三同時”管理力度
從油氣儲運設施建設前期開始,確保油氣儲運設施的安全投用,嚴格執行安全設計審查。根據國家安全生產監督管理總局的規定,油氣儲運工程在設計階段,應通過政府安監部門組織的安全設施設計審查。通過安全設施設計審查,可以落實安全評價提出的安全對策措施,查找設計中存在的不安全問題,提高油氣管道工程的本質安全。同時加大施工過程中的安全監控力度,確保安全設施與主體工程同時施工和投入使用。在工程竣工驗收前,還要組織建設項目安全、環保、職業衛生設施的驗收。
1.2加強施工質量管理和施工質量驗收
施工質量嚴重影響油氣管道的運行安全,在油氣管道建設過程中,需高度重視施工過程的各個環節:一是杜絕管道運輸過程中的野蠻裝卸;二是嚴格控制焊接質量,確保焊縫質量達到承壓能力要求;三是切實保證管道的防腐工程質量;四是在管道敷設過程中,避免管道防腐層破損和管道外壁機械損傷。如果在油氣管道建設過程中不能嚴格做到以上幾點,處于強腐蝕區域的管道極易發生腐蝕泄漏,為油氣管道日常運行帶來極大的安全隱患。因此,嚴格執行施工安全管理規定,是提高油氣管道本質安全的基本保障。
1.3在工程投產前,必須通過工程質量驗收
施工質量驗收是油氣儲運設施安全投產、平穩運行的基礎,是管道“安、穩、長、滿、優”運行的保證。在國內油氣管道工程驗收中發現,往往由于趕進度、要效益而忽視了施工質量,導致重復性施工。根據對油氣管道工程的調查結果,工程主體設施的施工質量一般較好,但管道配套工程及防護設施的施工質量卻存在很大問題。
2.加強完整性管理
完整性管理是指對所有影響管道完整性的因素進行綜合的一體化管理。主要程序包括:建立完整性管理機構,擬定工作計劃;進行管道風險分析,制定預防和應急措施;定期進行管道完整性檢測和完整性評價,了解發生事故的原因和部位;采取修復和減輕失效威脅的措施;檢查衡量完整性管理效果,確定再評價周期等。通過完整性管理,可以提高管道的管理水平,確保管道的運行安全。
3.規范操作流程
目前,隨著我國油氣管道數量和里程的不斷增加,已形成相互交織的油氣管網。因此,在輸油生產過程中,任何一次誤操作,影響的不僅僅是一臺泵、一個閥門,而極有可能使儲油罐及上下游管道或泵站發生連鎖反應,釀成嚴重后果。確保每一次操作準確無誤,需要從制度入手,規范操作流程,加強職工的日常安全教育培訓,使職工養成良好的安全操作習慣,自覺主動地執行操作規程,確保油氣儲運設施安全平穩運行。
參考文獻
[1]付立武. 油氣長輸管道維搶修預警分級響應體系[J]. 油氣儲運. 2012(05).
[2]嚴大凡. 油氣儲運專業建業一甲子回溯[J]. 油氣儲運. 2012(06)
[3]高斌,姜進田. 跨國長輸天然氣管道清管作業特點[J]. 油氣儲運. 2012(06).
關鍵詞:交接班;調度操作;事故處理
安全、穩定、和諧是當今社會的主題,無論做什么事都得講安全,電力企業尤其如此。制約電網安全運行的因素很多,其中做好電力調度值班工作是保證電網安全運行的重要一環。電力調度值班的主要任務是組織、指揮、協調電網運行的倒閘操作、電網故障和事故處理,盡可能地保證電網的正常運行。電力調度值班工作的好壞,直接影響著電網的安全和經濟運行。近年來,電力調度的自動化技術水平不斷提高,電力調度的信息化程度越來越高,對電網的安全穩定運行起到了極大的促進作用。但是,結合工作實際,筆者認為,要確保電力調度安全,值班人員在值班過程中必須緊緊抓住調度操作和事故處理這兩個關鍵環節。
一、規范交接班
筆者從事電網調度工作多年,認為交接班必須做好下面的幾點:
(1)接班人員應提前十五到三十分鐘到崗,認真仔細閱讀休班期間的各種記錄、檢修申請票、核對調度工作站,全面了解電網運行情況,為交接班做好準備,并按時進行交接班。如果遇到下列情況之一,不得進行交接班:1)接班人員未到齊。2)事故處理或倒閘操作未告一段落時。3)值班記錄、報表填寫不完整或交班內容交代不清時。4)如在交接班期間發生事故,應立即中止交接班,并由交班調度員進行事故處理,接班調度員可按交班調度員的要求協助處理事故,待事故處理告一段落后,再重新進行交接班。
(2)交班調度員應在交班前整理好各種記錄、報表,檢查本值調度工作的完成情況,并向主持交班的調度員匯報。主持交班的調度員應按有關規定準備好交班內容并對其準確性負責。交班的內容主要包括:1) 系統內操作和檢修工作進展情況。2)系統運行方式的調整及繼電保護、安全自動裝置的變更情況。3)系統內設備缺陷、異常、事故情況和注意事項。現在江西電網公司推行的調度生產MIS 中包含有調度運行日記、缺陷及電壓異常、跳閘及接地故障、線路工作及危險點、用電指標等多個模塊,要求每個模塊的填寫都要正確完備,已處理的缺陷及事故、已執行的停電票要及時填上時間歸檔,不要給下一班留下未處理、未執行的錯覺。4) 模擬圖板調整及接地刀閘( 或接地線) 的裝設情況。現在許多調度都已使用調度自動化系統,每一項操作后開關、刀閘的位置都會自動發生變位,但有時會因通信故障等原因不變位,這就要求我們每項操作后都認真核實,使調度自動化系統的結線圖與實際相符。裝設的接地線也要及時在結線圖上做好接地標志,并認真做好交接,以免造成帶接地線合閘送電的誤調度事故。5) 發電機組的開、停、出力及日調度計劃變更情況。6) 領導交辦的事項,要求傳閱的文件等。7)系統內的重點保供電情況等。
(3)在交接班時,接班調度員要認真聽取交班人員交代;交班調度員要語言清晰,講解內容充分明了。接班調度員如對交接的內容有疑問應立即提出,澄清疑問。如沒有疑問,交接班雙方調度員均應在調度日志上簽字,至此交接班手續履行完畢。
二、規范調度操作
值班調度員是電網安全、穩定和經濟運行的直接指揮者,通過調度操作命令的形式改變電網運行方式、設備狀態和調整經濟運行,無論是日常工作還是事故異常處理,調度員的每道調度操作命令都必須是正確的,這就要求調度員始終貫徹“安全第一”的方針,嚴格執行各種規程和規章制度,避免誤操作、誤調度事故,確保人身、電網和設備安全。具體來說,調度操作主要有工作票的接收、許可、終結和調度操作指令票預擬、審核和執行這幾個環節。
(1)工作票的接收、許可、終結。當值調度員收到工作票后應首先與調度計劃核對,審查工作的必要性,在此基礎上對工作票進行審核,包括工作內容、地點、計劃停送電時間和安全措施是否正確完備等。審查安全措施時,要向工作負責人詢問清楚停電線路是否有同桿架設、平行交叉、跨越等情況,是否有其他電源等,要確保停電線路必須斷開一切電源。工作票經審核無誤后,在工作票的指定位置進行編號,并在“工作票記錄”內對工作票進行登記,以備交接班及工作票總結時核對。當值調度員按照工作票要求將安全措施做好后,并把工作班數目、工作負責人姓名、工作地點及任務、接地線安裝情況等分別記入相應的記錄簿內才能通知工作負責人可以開始工作,并在工作票許可欄中按要求填寫許可手續。工作負責人確認工作已全部結束,工作地點的安全措施已拆除,人員已全部撤離,線路具備送電條件后方可辦理工作票終結手續。當值調度員在工作票終結欄中按要求填寫終結手續,并在工作票上加蓋“工作終結”章。工作票未辦理終結手續的線路不能合閘送電,如果安全措施改變的必須重新辦理工作票。
(2)調度操作指令票填寫、審核和執行。一般情況下由副值調度員根據方式專責所安排的運行方式及檢修計劃、收到的工作票來填寫指令票。副值調度員擬好指令票并自審合格后,交由正值調度員進行初審,初審無誤后值班負責人進行復審。經“三審”合格并簽名確認后才能視為可執行的指令票,嚴禁一人擬票審票,失去監督審核。填票人根據已審核的指令票逐項調度指令,嚴禁添項、漏項、倒項、跳項操作。下達調度指令前調度員要充分考慮操作對系統運行方式、潮流、繼電保護、自動裝置、計量等的影響。發令的全過程要認真做好監護工作,不能失去監護。和接受調度指令時要求做到:命令和接受命令雙方互通單位、姓名;受令人接受調度指令后應進行復誦,并做好錄音;調度指令須經雙方核對無誤后方可執行。發、受調度指令的全過程要使用普通話和標準調度術語。嚴禁約時停送電和無釋義的綜合令,嚴禁無資格的人員發、受調度指令。當值調度員調度指令后應立即在指令票中記錄指令的時間及受令人姓名。受令人在操作過程中如對操作有疑問,應及時向當值調度員詢問清楚,嚴禁有疑問盲目操作。受令人操作完畢后應迅速向發令人匯報,當值調度員只有接到操作單位操作完畢的報告后,方可認為該項操作結束,并將操作完畢的時間及匯報人姓名填入指令票內。每項操作完畢后,調度員要及時對模擬圖進行更改,使之與實際相符。
三、提高調度員的事故處理能力
電網事故有突發性、意外性和不可預見性的特點,這給調度員帶來了相當大的考驗。所以說調度員素質的高低,已成為影響電網安全穩定運行的重要因素。許多現實的例子也反映出,由于電網調度員處理事故不當所造成的后果極為嚴重。下面結合工作實際談談提高調度員事故處理能力的措施。
1. 提高調度員的心理素質和專業素質
調度員應具備機智、果斷、遇事不慌亂的心理素質,但由于調度員長期處于高度緊張的工作狀態,容易產生心理、生理疲勞,會出現焦慮、煩躁、壓抑、自卑、畏難、逃避等反應,所以我們必須鼓勵調度員多與人接觸,學會接受失敗,榮辱不驚,克服工作中存在的不良心理,積極面對困難,在快樂中工作,在工作中尋求快樂。調度員除了有過硬的心理素質外,還應有良好的專業素質,這樣才能承受重壓,因此必須重視調度員的素質教育和技能培訓工作。一方面我們要積極啟發職工增強提高自身素質的自覺性,形成“持續充電,提高綜合素質”的學習氛圍。另一方面要充分發揮集體的力量,齊抓共管,營造一個“塑造人”的良好環境。建立起“傳、幫、帶”的人員培訓機制,以老帶新,以新促老,提倡集體討論、共同學習、共同進步,形成團隊學習的良好風氣。調度崗位的培訓工作應注重實效,以提高調度員技術業務水平和安全意識為總體思路,不斷創新工作思路和方法,根據調度員的不同需求,合理制定調度培訓計劃,可通過采取反事故演習、事故預想、技術問答、技術講課等方式對調度員進行多方位、多層次的培訓。另外通過引入適當的競爭機制,增加調度員學習的壓力和動力,以提高整體調度員的業務水平。
2. 建立規范的電網事故預想制度
關鍵詞:鐵路運輸;安全意識;重要性;對策
中圖分類號:X731文獻標識碼: A
引言
鐵路運輸的安全問題是制約我國鐵路運輸發展的重要方面,甚至可以說是制約我國交通運輸整個行業發展的重要方面。只有我們從管理的高度上對那些已經出現的問題進行治理與改善,才能夠得到整個鐵路運輸方面的改革與進步,最終促成鐵路運輸安全的重大發展。
1、鐵路交通運輸行業的發展優勢分析
(1)運輸能力強。鐵路是大宗、通用的交通運輸方式,能承擔大量的貨物和人的運輸。(2)運輸成本低。鐵路交通固定資產折舊費所占比例較大而且與運輸距離長短、運量的大小密切相關。運距越長、運輸量越大,單位成本越低。(3)安全系數大。隨著先進技術的發展和在鐵路運輸中的應用,鐵路輸的安全系數越來越大。大部分國家的鐵路運輸行業廣泛采用了電子計算機和自動控制等高新技術,安裝了列車自動停車、列車自動控制、自動操作、設備故障和道口故障報警等裝置。這些先進技術的應用有效地提高了鐵路的安全性。(4)適應性強。依靠現代科學技術,鐵路幾乎可以在任何需要的地方修建,可以實現全年全天候不停地運營,受地理和氣候的限制極少。并且,鐵路運輸具有較高的連續性和可靠性,而且適合長途運輸和短途運輸各類不同重量和體積的人和物的雙向運輸。(5)運送速度快。鐵路的運送速度一般為200―400公里每小時以上,公路與水運的運輸速度與此相去甚遠。因此在速度上高速鐵路的發展前景是很廣闊的。(6)環境污染程度低。交通運輸業在一定程度上破壞了自然環境的平衡,而其中對空氣和地表的污染最為明顯的是汽車運輸,相比之下鐵路運輸對環境和生態平衡的影響程度較小,特別是電氣化鐵路,對環境的破壞更是大大的減小了。
2、加強鐵路運輸安全意識的重要性
2.1鐵路運輸安全的基本概念
鐵路運輸的安全主要來說是在鐵路運輸的過程當中,我們要能夠及時得運用各種不同的手段進行有效管理,對于那些行使有效的安全規章制度、具體的勞動和作業方面的具體紀律與秩序我們切實地執行,有關鐵路運輸安全的各個方面進行有效地配合已達到接觸各種安全隱患、避免行車途中的安全事故,最終達到來保證旅客的人身和財產安全、運輸貨物的按時按量到達目的地。當然,這樣一項內容豐富且復雜的工作是不可能由某一個單獨的工作單位來完成,而是需要不同的工作方面來進行配合。在鐵路運輸安全問題中我們需要注意的是預防比治理來得更重要,事后的補救工作做得再完美也難以彌補已經造成的傷害、挽回那些已經形成的損失。因此我們在鐵路運輸安全中強調的是防微杜漸、防患于未然,將一切安全事故發生的可能扼殺在搖籃之中。
2.2鐵路運輸安全的意識的重要性
在現代化的今天,我國經濟、科技蓬勃發展。這一情況在很大程度上促進了鐵路運輸的發展和進步。利用新興技術來提高鐵路運輸速度,鐵路運輸效果將會更加。當然,實現這一目標應以安全運輸為前提。鐵路運輸安全工作在任何時候都不能夠松懈,其是保證整個鐵路運輸平穩、正常進行的關鍵。因此,鐵路運輸企業應當注重鐵路運輸安全意識的強化。鐵路運輸人員具有較高的安全意識,在執行鐵路運輸相關工作的過程中能夠時刻注重自身的安全性和鐵路運輸的安全性,針對于避免安全事故的發生有很大幫助,人身安全和財產安全得到保障。而從鐵路運輸安全意識出發,選用適合的鐵路運輸新技術的應用,能夠提高鐵路運輸水平,促使鐵路運輸更加安全、穩定、高效。總體來說,加強鐵路運輸安全意識是非常重要的,能夠降低安全事故發生的可能,有效的保障了人身和財產安全,為我國鐵路運輸更好的發展創造了條件。
3、如何提高鐵路運輸安全
3.1建立健全的安全管理體制
安全管理體制是有效保證鐵路運輸安全的綱領,安全管理體制應該滲透進鐵路運輸安全工作的各個角落。健全的安全管理體制要求,鐵路安全的管理者應該樹立安全的管理觀念,重視鐵路安全的的管理工作,擔任好領導者的角色,做好鐵路安全運輸的把關工作,提高決策水平。同時,要從以人為本的理念出發,加強對客運人員的管理,提高其高度的工作責任感,共同為鐵路安全事業貢獻自己的力量。其次,則要健全各項安全管理制度,形成規范的安全管理體制,各項工作嚴格按照安全規章制度進行工作和實施。同時要加強安全負責制的實施,加強對安全工作的考核,完善對客運人員的管理約束機制,以提高客運人員的責任感,在進行工作執行時,認真謹慎。最后,還要建立健全的鐵路安全法規和監督機制,以不斷提高提高鐵路的安全管理。
3.2注重文化建設,提高安全意識
鐵路作為我國的經濟命脈,保障鐵路運輸安全、高效、穩定的運行尤為重要。為此,在鐵路運輸方面積極的、有效的落實安全文化建設有很大作用。安全文化建設的開展不僅能夠落實“安全第一、預防為主、綜合治理”的安全方針,還能夠促使鐵路運輸向科學化、和諧化、高效化的方向發展。通常在鐵路運輸管理的過程中講究“嚴”與“情”的有效結合。但在“嚴”與“情”的實際控制當中,往往容易出現一些偏差,比如人們認為“嚴”就是管人、罰人、使得人人自危;而“情”就是不講原則、相安無事即可。鐵路運輸方面開展安全文化建設可以協調好“嚴”與“情”的關系,使其在思想和心理上誘導職工,增強職工的安全意識,使職工在工作中時刻的保證自身和鐵路運輸的安全。所以說,在鐵路運輸方面注重文化建設,對于提高職工的安全意識有很大幫助,促使鐵路運輸更加安全。
3.3加強對鐵路設備實施的技術改進
現代社會是一個科技社會,任何工作領域都必須擁有先進的技術設備。尤其針對鐵路運輸事業,更加需要強有力的技術設備支持,才能保證其運行的安全性。因此,鐵路運輸要加強對設備設施的技術改進,加大對設備設施的建設投入。依靠先進的科學技術,引進科學適用的技術設備以減輕客運人員的工作,進而降低由人為因素造成的安全事故。這種設備設施的改進,要充分考慮鐵路運輸的安全性,不斷升級改造行車安全監管裝置,消除鐵路運輸設備上的安全隱患。同時還要加強對信息安全管理系統的應用,用現代化技術保障鐵路運輸安全管理工作。
3.4注重新型操作平臺的構建,提高安全保障措施
在我國經濟蓬勃發展的今天,我國政府對鐵路運輸提出了更加嚴格的要求、更高的目標,鐵路運輸中所應用的傳統信號設備和模擬信號處理技術已經無法滿足現代鐵路運輸的需求,對此,應當利用計算機技術、計算機軟件、計算機硬件、網絡技術等來構建新型操作平臺,以此來合理的、有效的控制鐵路運輸,提高鐵路運輸的安全性、穩定性。其實,新型操作平臺的構建是非常困難的,需要結合鐵路運輸的實際情況,對整個鐵路運輸存在的缺陷、存在的安全問題、信號系統運用方式等方面進行分析和考慮,進而選擇適合的計算機軟件、計算機硬件等,合理的開發一個新型操作平臺。但是,新型操作平臺可以集鐵路運輸信號、并信號進行處理,進而得到鐵路運輸實況信息,調整鐵路運輸的安全措施、處理鐵路運輸存在的問題等,提高鐵路運輸安全水平。所以,即便新型操作平臺的構建很困難,但也要不斷努力構建,為促進我國鐵路運輸更好的發展創造條件。
3.5提升鐵路調度人員工作技能
調度人員的業務素質、安全素質、是否具有責任心等與管理安全具有重要聯系,調度人員的基礎工作是調度指揮的根本保障。鐵路部門要及時對從業人員進行技術培訓和心理培訓,加強他們對于鐵路安全的認識,減少在操作中不必要的錯誤,并要求其掌握應急情況下的緊急措施,避免或減輕交通事故的經濟損失和人員傷亡。調度人員的入崗選拔要擇優準入,制定鐵路調度員相應的從業基本條件,如從業者的年齡、學歷、經驗等,選擇年齡合適,文化水平相對較高,有一定經驗的人員。入崗后,對調度人員要落實業務水平考核,對日常工作表現等方面記錄,定期進行業務培訓,加強安全意識。
結束語
鐵路是國家重要的交通設施,是交通運輸系統的骨干企業,是關系到國民經濟發展的重要因素。其對國家的政治領域、經濟領域、文化領域及國防建設與發展都起著重要的作用。與水路交通運輸行業、公路交通運輸方式、公路交通運輸方式、航空交通運輸方式及管道交通運輸方式相比較,鐵路交通運輸方式具有速度快、運量大、成本低、適應性強等優點。因此,必須要全面促進鐵路交通運輸行業的發展,才能保持國民經濟的持續、穩定、協調發展。
參考文獻
[1]萬樹勛.強化鐵路運輸安全意識的重要性及其對策探索[J].科技創新導報,2013,28:193+195.
[2]俞平.鐵路行車安全事故分析及對策研究[D].西南交通大學,2002.
關鍵詞:在役管道 光(電)纜 管理過程 完整性
完整性管理在引入我國之初,在剛投產的或在役管道推廣應用,取得良好效果。但是,由于對這項新技術全局性理念認識不足,因而忽視了管道設計、建設期間的完整性管理,管道原始、變更信息資料的缺失成為新老管道實施完整性管理的最大障礙。本文將以獨烏原油管道工程在施工過程中發生的事件為例,重點闡述了在役管道、光(電)纜在建設、運行期間運營單位突出存在的管理問題及原因分析,提出了進一步加強管理過程完整性上的管理措施,切實保證在役管道、光(電)纜在建設、運行期間的安全。
2007年,中石油集團公司做出管道建設與生產運營分開運作的重大決策。通過近五年的實踐,證明建管分開管理模式是切實可行的。但由于建管分開管理模式尚不完善,還存在如:建設期間營運單位管理介入問題、建設期間工程質量監管問題、建設結束的驗收移交問題、第三方與在役管道并行、穿越監管問題等。只有看清問題并制定出一套完整的管理規范、標準,才能從本質上確保在役管道的安全運行。
一、 運營單位管理存在的問題
1.早期建設的在役管道、光(電)纜,產權單位幾經變更。導致管道、光(電)纜走向、深度等技術資料、信息丟失。
2.在役管道、光(電)纜巡護人員一部分是臨時雇傭人員,流動性較大。導致人員交接工作時,管道、光(電)纜走向、深度等技術資料、信息交接不完整,無法幫助運營單位及后建管道施工單位確認在役管道、光(電)纜的具體信息。
3.在役管道、光(電)纜巡護人員責任心不強,在后建工程有危及在役管道、光(電)纜運行安全的施工作業時,未及時提示告知在役管道、光(電)纜的實際走向、位置、埋深等信息。
4.在役管道、光(電)纜運營單位管理不嚴,線路上未埋設或在丟失后未及時補充管道、光(電)纜的標識(如:里程、測試樁、轉角樁)。
5.在役光、電纜在重新更換改變走向、位置后,運營單位未在新的走向、位置上設置新的標識。
6.管道、光(電)纜建成后在移交運營單位時,運營單位未按照施工圖紙對管道(光、電)纜走向及位置進行認真復查驗收,導致部分在役管道、光(電)纜的走向、位置及深度存在信息不準確,未被及時發現。
二、管道建設時存在的問題
1.管道建設單位,在河流、溝渠等位置施工完成后,光纜鋪設工作完成前,就提前做好了水工保護工作,導致光纜必須偏離到設計位置進行敷設(有的位置偏離較遠),且未有任何變更資料的記錄。
2.管道建設單位在埋設電位樁時,電位樁內未放置陰極保護線,導致運營單位與后期建設單位,無法通過測量陰保接線確定在役管道、光(電)纜的走向、位置及埋深。
3.管道建設單位施工完成后,未進行管道走向、位置、埋深等標識的埋設工作。
三、事件案例
1.2011年11月,某施工單位在作業帶內進行開挖作業時,挖斷克烏復線光纜。
原因分析:該線路光纜曾經被損壞過,運營單位在敷設新光纜時向南側偏移20米,且該光纜走向改變后未重新設置新的標識,管道巡護人員亦不知光纜走向已有變動。
2.同年12月,西氣東輸二線光纜在新建管道作業帶內被挖斷。
原因分析:西二線該段線路在施工時,光纜敷設進度滯后于水工保護,致使光纜敷設偏離設計位置30米,且施工單位未進行光纜走向變更記錄,光纜標識樁亦未按照光纜實際走向進行埋設。
3.2012年3月,某施工單位在進行連穿2條地方燃氣管道挖掘作業時,損壞燃氣管道防腐層。
原因分析:由于其中一家燃氣管道運營單位埋設的管道標識樁位置誤差,加之該單位管理人員對管道實際走向位置不明確,指揮施工方挖掘機進行挖掘,造成該管道防腐層損壞。
4.同年4月,某施工單位在進行開挖作業時,挖斷某油田單位光纜且管道防腐層受損。
原因分析:設計單位未在施工圖紙上標注此處有在役管道、光(電)纜,該管道運營單位未在管道上方設置任何標識樁,管道巡護人員亦未對施工單位進行任何形式的告知。
綜上所述,運營單位管理方面的漏洞,造成在役管道、光(電)纜損壞的事件數量已超過穿越施工單位和建設施工單位因為管理問題而發生安全事件的總和。由此可見在役管道、光(電)纜運營單位的管理過程完整性已成為保障在役管道、光(電)纜運行安全的重要控制環節。
四、 保障管道本質安全的措施
自2001年完整性管理理念被引入我國油氣行業以來,經過幾年的推廣和應用實踐,已成為當前最流行的管道安全管理模式。2009年中石油編制了國內首套系列企業標準Q/SY 1180《管道完整性管理規范》,通過技術層面和管理層面上對管道完整性管理的各個環節進行了詳細規定、給出了具體可操作的方法和標準。其中管理層面(管理過程的完整性、資產的完整性(AIM)、決策的正確性)中的管理過程完整性是在保證管道安全上極為重要的環節。管理過程的完整性是管理者對管道設計、施工、運行、維護整個過程的完整性管理,它貫穿于管道建設和運行的全壽命過程。
1.通過介入管道設計、建設管理保證管道的本質安全
管道營運單位要在管道設計階段就介入參與管理。將以往管道運營經驗、教訓的總結提供給新建項目,并共同參與設計改進方案。
管道建設期間,運營單位應對管道防腐、焊接、敷設、重點地段、設施等可以影響日后管道運行安全的重要環節進行重點監管,并做好施工數據的復查、收集,且做好管道回填到管道交接“真空”時期的巡護管理工作。
2.通過數字化信息的采集保證資料的完整性
數字化是實施管理過程完整性的第一步,也是最為關鍵的一步,其數據的完整性制約著管理過程完整性后續的完整性分析、評價的準確性。管道建設期間,完善數據庫及完整性數據收集機制,是管理過程完整性的首要任務。運營單位需制定技術規范及嚴格的數據采集、審核流程,按照規范、適用、可靠、完備和開放性的原則采集存儲數據,并收集、整合可研、勘察、設計、施工階段形成的大量資料。
管道運行期間,運營單位要把在管道運行期間所發生的數據變更及時準確的輸入管理系統,做到有據可查。
3.通過風險評價和事故分析保證管道的運行安全
風險評價是實現管理過程完整性的重要手段。風險評價是一個連續的過程,應按照統一的標準,由經過專業培訓的風險工程師對管道在設計、施工、運行期間的已知風險和未知風險識別評價,編制風險評價報告和應急預案,落實安全措施。
由專業人員通過使用事故調查工具,對事故進行系統、詳細的調查取證、分析等一系列工作,并提交一份具有詳細改進措施的事故根源分析報告。
五、結束語
關鍵詞:計算機;密碼;RSA算法
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)21-5064-03
隨著通信與計算機網絡技術的快速發展和公共信息系統商業性應用步伐的加快,人們對網絡環境和網絡信息資源的依賴程度的日亦加深,這時,網絡信息安全的重要性也就從各個方面(電子政務、電子商務、網絡金融、網絡媒體)體現了出來。
1 RSA的研究意義
產生網絡信息安全問題的根源可以從三個方面分析:自身缺陷,開放性和人的因素。
首先,網絡自身的安全缺陷主要體現在協議和業務的不安全上,而協議的不安全主要原因是:一方面互聯網起源的出忠是進行學術交流和信息的溝通,并非商業目的而導致缺乏安全的總體構想和設計。另一方面是協議本身的泄漏。然而業務上的不安全表現在錯誤信息或業務本身的不完善。
其次,網絡的開放性體現在業務是基于公開的協議等原因。
最后,人的因素才是最主要的因素,表現為三方面:人為的無意失誤,黑客攻擊,管理不善。
隨著這些問題不斷的出現,網絡信息安全的意義也就體現出來了:從大的方面說,網絡信息安全關系到國家的安全、社會的穩定、民族文化的繼承和發揚等。從小的發面說,網絡信息安全關系到公私財產和個人隱私的安全。因此,密碼學在網絡信息安全中發揮的重要性也體現了出來。密碼技術是實現網絡信息安全的核心技術,是保護數據最重要的工具之一。最常用的技術有:數據加密標準DES、高級加密標準AES、RSA算法、橢圓曲線密碼算法ECC、IDEA算法、PGP系統等。
2 RSA的國內外發展趨勢
2012年2月27日到3月2日在美國舊金山舉辦的RSA信息安全大會上,網絡安全,云安全仍然是時下最為熱點的話題。而其中云安全仍是2010、2011和2012年度最耀眼的新星,圍繞著云安全與網絡安全提出了許多問題以及解決的方法,比如:云安全需要急迫解決的安全隱患;云計算是轉變安全交付方式的機會;云安全將成為2010安全領域趨勢;安全專家看RSA大會焦點:云安全準備出發;RSA大會三大主題:網絡計犯罪,云計算,IT消費;安全風向標:品味RSA 2012信息安全大會;RSA2012主題揭秘:偉大的密碼比劍更有力;新的安全威脅面前需要新的安全架構。
另外,前人針對RSA所做的一些研究,比如:RSA算法的改進;基于AES與RSA混合加密策略的硬盤分區加密技術;一種基于RSA的加密算法;RSA密碼算法的研究與改進實現;RSA加密算法的研究及應用等等。
3 RSA公鑰密碼
3.1 RSA算法簡介
公開密碼算法與其他密碼學完全不同,它是基于數學函數而不是基于替換或置換。與使用一個密鑰的對稱算法不同,公開密鑰算法是非對稱的,并且它使用的是兩個密鑰,包括用于加密的公鑰和用于解密的私鑰。公開密鑰算法有RSA、Elgamal等。
RSA公鑰密碼算法是由美國麻省理工學院(MIT)的Rivest,Shamir和Adleman在1978年提出來的,并以他們的名字的有字母命名的。RSA是是第一個安全、實用的公鑰密碼算法,已經成為公鑰密碼的國際標準,是目前應用廣泛的公鑰密碼體制。
RSA的基礎是數論的Euler定理,其安全性基于大整數因子分解問題的困難性,公私鑰是一對大素數的函數。并且該算法已經經受住了多年深入的密碼分析,雖然密碼分析者既不能證明也不能否地RSA的安全性,但這不恰恰說明該算法有其一定的可信度。
3.2加解密算法描述
3.2.1 RSA利用了單向陷門函數
云安全不能包打天下
2008年,亞馬遜的AWS、Google的App Engine和蘋果的Mobile Me成為云計算這一新領域的先驅。在這個領域里,應用和數據在巨大的數據中心里運行并通過互聯網與臺式電腦、便攜式電腦及手機連接。
中國工程院院士方濱興認為,云計算使得用戶能夠充分使用電腦資源并只為所使用的服務付費,還能讓用戶隨時隨地使用數據、應用和服務,能夠獲得比他們可承擔的更強大的計算能力。全球金融危機使世界各地的企業對各項開銷都十分謹慎,包括IT投資,而云計算帶來的這些好處便極具吸引力。
同時,眾多專家也提出了一個看法:在云計算時代如何保證網絡及數據安全的關鍵是控制,畢竟大部分大型企業對業務關鍵應用的安全控制不會輕易放手,除非使用云計算的收益遠超于其風險。
云計算已經被企業、用戶、科學家乃至政府熱捧,其勢頭不可阻擋 。那么,“云”如何安全?方濱興認為,云安全有三個含義,分別為:云安全服務、云的安全和安全的云。
云安全服務的典型例子就是Google,它會提示用戶哪些網站可能含有惡意代碼,建議用戶不要訪問。方濱興說,云可以幫助用戶完成很多后臺的事情,這種處理能力遠非用戶端所能比擬。但是云安全也有其短板,比如在云和防護系統之間不能有任何的信息來,因為云往往是開放的,只要是開放的環境就不會安全,就需要保證云不被攻擊、不崩潰、程序不被篡改和竊取并且能夠可靠地提供服務。
當然,云中出問題是必然的,不出問題才是偶然的。問題的關鍵是,我們如何解決云中的安全問題。
方濱興對此表示,通常數據需要通過某種應用表現出來,而無法直接觀察到本體數據。有害信息將變得更具隱蔽性,僅是通過給其他的應用程序提供服務。如何對云進行安全監控已經成為一道難題。同時,IP地址的動態分配,使得傳統的IP過濾措施將會失效,造成資源動態分配帶來的追蹤和監管困難。
方濱興認為,最基本的解決方法就是通過虛擬機隔離技術實現,對云實施等級保護制度或許是一條有意義的路,但是需要分析哪塊云更重要。其重要性取決于應用,而不取決于云自身。云的漂浮性使得區域性的等級無法確定,只能按最高級別定級。
可信計算營造可信網絡
2009年,我國多個省區市相繼啟動了無線城市建設。同時,各大運營商也開發出多項便捷的業務,逐步推廣無線互聯網應用。然而,安全問題一直在困擾著無線互聯網前行的腳步。中科院信息安全國家重點實驗室主任、中國密碼學會副理事長馮登國表示,信息安全問題是一個綜合問題,它不僅僅是技術和管理問題,還必須從政治和社會的角度把握和認識信息安全問題,從人、社會、網絡相結合的復雜巨系統角度分析信息安全問題,我們需要一個可信的環境。
信息技術在給人們帶來方便和信息共享的同時,也帶來了安全問題,如密碼分析者大量利用了信息技術本身提供的計算和決策方法實施破解,網絡攻擊者利用網絡技術本身編寫大量的攻擊工具、病毒和垃圾郵件;由于信息技術帶來的信息共享、復制和傳播能力,造成了難以管理數字版權的局面;互聯網深度應用引發輿情、視音頻等問題。
隨著網絡高速化、無線化、移動化和設備小型化的發展,信息安全的計算環境可能附加越來越多的制約,這往往約束了常用方法的實施。馮登國舉了一個例子:傳感器網絡由于其潛在的軍事用途,常常需要比較高的安全性,但是由于節點的計算能力、功耗和尺寸均受到制約,因此難以實施通用的安全方法。
可信計算技術作為信息安全領域一個支撐性的安全技術,它不僅涉及到計算機,還涉及到網絡可信環節的構建。從技術角度看,馮登國將可信計算定義為“系統提供可信賴的計算服務的能力,而這種可信賴性是可以驗證的”。
任何一個信任體系都有一個公認的、不需要證明的起始點,這個起始點就是根信任關系。于是,信任關系可以從根開始一級一級向下傳遞,從而確保了可信的安全引導過程。同時,可信計算平臺在網絡上不再依賴IP地址,而是通過唯一的身份證書來標識自己,內部各元素之間進行嚴密的互相認證、對用戶身份進行鑒別,這保證了完整的身份認證。
可信計算就是基于硬件信任根的建立,基于密碼的身份認證,基于標簽的強制訪問和執行代碼的一致性驗證,從而能夠做到系統的最小優化配置與資源的嚴格控制。
網絡威脅的蝴蝶效應
一只南美亞馬遜河流域熱帶雨林中的蝴蝶,偶爾扇動幾下翅膀,可能在兩周后引起美國德克薩斯的一場龍卷風。這就是蝴蝶效應。
國家互聯網應急中心袁春陽說,事物發展的結果對初始條件具有極為敏感的依賴性。哪怕初始條件的極小偏差,都將引起結果的極大差異。互聯網也是如此,例如今年的5•19暴風影音斷網事件,就是因為暴風影音的DNS合作伙伴DNSPod遭遇惡意攻擊,導致了國內出現大面積網絡故障,這在近年是十分罕見的。
DNSPod就是那只小小的蝴蝶,而最終卻由暴風影音掀起這場發生在國內互聯網領域的罕見的風暴。而令人擔憂的是,這次偶然事件背后的原因顯示,下一只“蝴蝶”可能正在某處潛伏。這次事件給中國互聯網界敲了一次警鐘。
袁春陽認為,從技術角度而言,DNS是用戶能否登錄網站的關鍵。在國外,DNS攻擊事件已屢有發生。2002年10月21日,負責全球互聯網DNS服務的13臺互聯網根服務器均受到攻擊,事后安全專家心有余悸地說,只要攻擊再持續一個小時,整個互聯網的域名服務體系就會陷入崩潰。
在國內,大家都比較重視網站自身安全問題,而對作為基礎服務的DNS的安全問題卻很少有人關注,尤其是免費DNS服務器。“企業不管使用任何DNS服務,都需要有一套故障應急預案。
袁春陽表示,互聯網網絡遠沒有我們想象中的那么安全和強壯,建立安全可靠的互聯網網絡,還需要從5個方面入手:
1.加強對域名、路由等互聯網網絡運行基礎設施的安全監測及防護。
2.重視軟件安全開發和漏洞問題,加強對互聯網應用軟件的監管和安全審查措施。
3.建立信息共享機制,提高預警能力。工業和信息化部于2009年6月開始實施《互聯網網絡安全信息通報實施辦法》,當前已有60多家通報工作成員單位。
1988年,張明正手中攥著5000美元,帶著老婆和孩子在一棟只有一部傳真機、一部電話、一張桌子和一扇門的簡易房中創立了趨勢科技。酷愛玩魔術的張明正,以一系列魔術般的策略,將趨勢科技從一個名不見經傳的小軟件公司,變為全球矚目的網絡安全防護霸主。
如今二十啷當歲的趨勢科技經歷過日本經濟大蕭條,也趕上了中國信息化建設的大潮。策略的不斷調整,讓趨勢科技渡過了無數難關。
20多年來,無論從防毒技術到防毒產品的研發,還是從軟件市場經營到硬件市場擴展,再到顛覆整個行業的云安全技術,趨勢科技一直靠不斷變化和創新,走在世界前列。這些年的歷練與成長,造就了趨勢科技堅實的發展根基與強大的企業實力。
變化和創新,是趨勢科技企業文化中的重要元素。“2008年終于過去了,我們經歷過兩次‘完美風暴’,再大的困難,也能夠應付。” 趨勢科技合伙創始人及首席文化官陳怡蓁在趨勢科技2009年度渠道大會上為所有渠道合作伙伴打氣。
“趨勢科技經歷過金融危機的洗禮,我們的成長是策略決定的,不是靠運氣而成功的。現在我們手里擁有18億美元流動資金,而且沒有欠款,就算維持也可以活3年。”如今已解甲歸田的張明正,面對現在全球性的金融危機,顯得從容而淡定。
兩次“完美風暴”
在過去的11年當中,趨勢科技一直保持著可持續增長的態勢。自1998年在東京證券交易上市以來,趨勢科技和其它國際著名公司一道躋身于日經優良企業排名和道瓊斯可持續發展指數。然而,隨后的兩次“完美風暴”給趨勢科技帶來了兩次嚴峻的考驗。
第一次發生在2001年,當時網絡神話破滅,全球經濟風暴侵襲,全球大部分企業處于大震蕩中。趨勢科技也被卷入這場“完美風暴”,“那時股票一天之內下跌20%,沉重的氣氛悶得大家無話說。” 股票下跌、市值縮水的殘酷事實擺在張明正的面前。
趨勢科技像一條小船,在洶涌的大海里,處境非常危險。面對殘酷的事實,張明正和他的團隊冷靜下來,開始思考趨勢科技的核心競爭力。
經過思考、爭論,趨勢科技總結出五大核心競爭力:首先是防病毒的先進技術與知識。從對付米開朗基羅和黑色星期五病毒開始,趨勢科技的每一個防毒產品都是自行研發,擁有多項世界專利。第二是趨勢擁有的先進網關技術與較高的市場占有率。第三是技術創新與產品上市之間的平衡。最新的技術不一定為用戶所接受,每一項防毒產品都必須做好技術與市場間的平衡。第四是全球服務網絡的健全與聲譽。趨勢的技術服務團隊遍布全球,客戶服務人員直接面對客戶溝通,將問題反映給菲律賓的病毒實驗室,在最短的時間內將結果反饋給客戶。其最后一個核心競爭力是最佳的策略聯盟,“術業有專攻”,趨勢多年來與英特爾、思科、CheckPoint、Juniper等公司都保持著充分的合作,整合產品,共同為客戶提供服務。
趨勢科技通過尋找核心競爭力,掌握了生死存亡的關鍵,在大海中找到了方向。
第二次風暴是2005年4月23日發生的“594”事件,“594”是趨勢科技當時新的一個病毒碼。早上6點到8點半之間,一部分下載了“594”病毒碼的客戶紛紛出現系統速度被拖慢的癥狀,甚至影響了日本鐵路公司的售票系統。趨勢科技執行副總裁張偉欽回憶說,當時整個日本市場差不多要完蛋了,趨勢科技日本員工下班都不敢從正門走。
一向以客戶服務和技術實力見長的趨勢公司,因一個小小的病毒碼而令商譽受損。剛剛從張明正手中接過CEO接力棒的陳怡樺,在當日深夜給趨勢科技所有客戶寫了一封公開信,表明趨勢科技公司將對所有受“594”事件影響的用戶道歉并承擔相應責任的立場。趨勢科技勇于認錯的精神被客戶接受了,重新贏得了信任。
因為2005年沒有出現大規模病毒爆發,導致趨勢科技隨后又經歷了長達8個月的業績停滯。在陳怡樺眼中,這卻成為一個契機,促使他們又一次重新調整了戰略、組織、文化和執行力,公司的一切都在新的形勢下重新調整,在中國的新的布局也隨即展開。
張偉欽的內部手術
布局中國市場,為客戶提供服務的重要一步是設立研發中心。早在1994年,張明正就在美國從Oracle挖來了一個優秀的年輕人。在一次閑談中,他得知這個年輕人在南京還有一群少年科技班的同學。此時張明正心里動了一個念頭――在南京設立一個研發中心。
三年后,趨勢科技在南京開始籌備中國研發中心,至今已經有300多名員工。他們負責開發供趨勢科技所有產品使用的通用模塊,比如信息防泄漏系統和郵件服器解決方案等。
趨勢科技全球目前擁有4000名員工,其中技術人才超過2/3。“但在趨勢科技內部,市場與研發曾經是脫節的。” 張偉欽說,銷售團隊與產品研發團隊曾經發生過嚴重的分歧。
市場銷售團隊認為,應以大量的市場調查來發掘客戶真正需求,重新定義產品規格;產品研發團隊卻對客戶需求有不同的理解,他們認為客戶即使知道問題何在,也不了解有什么技術可以解決問題。
為了調和這種矛盾,深入了解客戶需求,工程師出身的張偉欽在2007年被調到中國區,同時還掌管全球的研發團隊,就是為了給產品研發團隊與市場銷售團隊進行一次內部手術,增加溝通,彌合分歧。
張偉欽心中時刻不忘“594”事件帶來的慘痛教訓,經常提醒研發人員,要對代碼負責,因為研發人員每寫一行代碼,可能會影響全世界至少5000萬人。
然而,2008年全球金融風暴給趨勢科技帶來了第三次挑戰。面對金融危機可能帶來的困難,趨勢科技在市場銷售方面的調整也在悄悄進行。制造業一直是趨勢科技的優勢行業,但因全球金融危機的影響,在2008年第三季度出現下滑趨勢。此時趨勢科技不得不調整市場戰略,將目光投在金融、政府和教育行業上。為此,趨勢科技專門成立了金融事業部,這也是趨勢科技中國區內部的惟一一個行業事業部。
同時,趨勢科技開始重點推廣“硬件+服務”的銷售方針。據張偉欽介紹,趨勢科技通過“硬件+服務”所獲得的收入,約占2008年總體收入的50%,已經可以和軟件的銷售份額分庭抗禮。張偉欽說,面對現在的金融危機,網絡安全服務商要穩定過冬,承擔起危機時刻的企業安全服務職責。
在技術上,趨勢科技則把寶壓在了云安全上。張偉欽表示:云安全技術不僅可以釋放用戶端大量的系統資源,降低終端的帶寬消耗,而且還提供了更及時、更全面的及時保護。趨勢科技將以發展云安全為中心,堅持貫徹精英政策、堅持做深金融市場、堅持增進業內合作、堅持擴展戰略聯盟四個堅持來經營。云安全已經被眾多企業IT管理人員稱為在全球金融危機下,企業網絡安全的“救命稻草”。
押寶云安全
2008年7月,趨勢科技率先推出了云安全技術。在當時業界并不以為然,甚至還有不少人冷嘲熱諷。陳怡樺說,云安全技術已經超越了傳統的代碼對比技術,通過把大多數特征碼文件保存到互聯網云端數據庫中,而在用戶的終端上僅存最低數量的病毒庫。在Web威脅到達企業網絡之前,即可將其攔截。
從整個產業角度來看,瑞星、金山、綠盟科技等信息安全公司都在努力強調云安全技術。而將云安全作為2009年的中心戰略,實質上是趨勢科技在信息安全領域投下的最大賭注。張明正對此保持著一份理性。他認為,云安全不會在一夜間帶來巨大回報,但它代表了未來的IT架構,“我們就是要賭一個和別人不一樣的東西”。
張偉欽向記者透露,趨勢科技為了云安全,保守估算已經投入了1億美元,而每年的維護費也高達1000萬美元。趨勢科技在全球設置了34000多臺服務器,憑借后臺強大的計算和分析能力,為用戶提供毫秒級快速云端查詢,讓用戶獲得保護的時間由過去的1.7小時縮短至15分鐘之內。同時,7×24小時運作的云安全智能保護網絡可以實現對網絡威脅的高效防護。
的確,趨勢科技在2008年的云安全技術在網絡安全行業掀起了全球互聯網主動防御的“云旋風”。針對2008年年底的IE7.0漏洞攻擊,趨勢科技實現7分鐘實際攔截,其技術已經得到市場的廣泛認同。
關鍵詞 移動互聯網 云計算 安全
1 概述
云計算的發展并不局限于PC,隨著移動互聯網的蓬勃發展,基于手機等移動終端的云計算服務已經出現。根據云計算的定義,移動互聯網云計算是指通過移動網絡以按需、易擴展的方式獲得所需的基礎設施、平臺、軟件(或應用)等的一種IT資源(或信息)服務的交付與使用模式。當移動互聯網產業與云計算技術結合,移動云計算成為ICT行業炙手可熱的新業務發展模式。2009年7月ABI Research一份關于移動云計算的研究報告提到,云計算不久將成為移動世界中的一股爆破力量,并最終成為移動應用的主導運行方式。由于擁有開放的技術接口、分布式的計算理念、超強而又靈活的處理能力,云計算正在被人們所接受。經過了一年多的市場培育期,人們將注意力逐漸從對云計算技術特點和業務模式的分析轉向對其業務所提供的可用性與響應速度的關注上來。借助于移動云計算,Google的手機導航系統、手機語音搜索系統以及Android平臺上各種服務的表現已經讓人贊嘆不已。2011年3月,美國蘋果公司的市值和利潤都超越了微軟,其被世界上公認為最有創意的最有價值的IT公司,這也證明了移動云計算的重要性。
2009年中國各大運營商獲得3G牌照,標志著移動互聯網在中國的發展進入了快車道。我國3G網絡投入了過萬億,其成功應該且必須借鑒于類同蘋果AppStore方式的移動云計算。利用移動云計算的各種移動互聯網服務正逐步深入到人們的生活中,而人們對移動互聯網各類服務的大量使用反過來又進一步推動著“移動云計算”市場與技術的發展。
正如任何新技術或新業務模式的發展一樣,云計算在創造新機遇的同時也帶來了新的風險。云計算的發展使移動互聯網網絡資源、業務資源、用戶資源在應用模式上發生重大變化。多租戶、資源共享、數據存儲的非本地化、承載業務類型的多元化以及網絡帶寬的快速增長,不僅要求進一步強化應對傳統的安全問題,同時也要求應對移動互聯網應用引入的新安全問題。因此,在云計算快速推進、廣泛普及的同時,有必要重點對移動環境下的云安全技術進行研究,在云計算中采取更強大的安全措施;否則,云中的特性以及云提供的服務不僅無法控制,還將對國家、企業、用戶帶來嚴重的安全威脅。
2 移動互聯網環境下云計算安全問題
2.1云安全的含義
云安全包括兩個層面的含義:
(1)云計算技術在安全領域的應用
云計算技術在安全領域的具體應用,屬于云計算應用的一個分支,即通過采用云計算技術來提升安全系統的服務效能,比如基于云計算的防病毒技術、掛馬檢測技術等。
(2)安全技術在云環境下的應用
利用常規安全技術,解決云環境下的安全問題,提升云計算自身的安全性,保障云計算服務的可用性、數據機密性和完整性、隱私的安全性等,這是云計算技術健康可持續發展的基礎。
傳統安全廠商多立足于第一層面,利用云計算技術解決常規安全問題;云廠商多位于第二層面,構建云平臺的安全保障體系。
2.2云計算技術面臨的安全問題
從總體來說,云計算技術主要面臨如下安全問題:
(1)虛擬化安全問題
利用虛擬化帶來的經濟上的可擴展特性,有利于加強在基礎設施、平臺、軟件層面提供多租戶云服務的能力,然而虛擬化技術也會帶來如下安全問題;
如果主機受到破壞,那么主要的主機所管理的客戶端服務器有可能被攻克;
如果虛擬網絡受到破壞,那么客戶端也會受到損害;
需要保障客戶端共享和主機共享的安全,因為這些共享有可能被不法之徒利用其漏洞加以攻擊;
如果主機有問題,那么所有的虛擬機都會產生問題。
(2)數據集中后安全問題
用戶的數據存儲、處理、網絡傳輸等都與云計算系統有關。如果發生關鍵或私隱的信息丟失和竊取,對用戶來說無疑是致命的。如何保證云服務提供商內部的安全管理和訪問控制機制符合客戶的安全需求?如何實施有效的安全審計,對數據操作進行安全監控?如何避免云計算環境中多用戶共存帶來的潛在風險……都已成為云計算環境下所面臨的安全挑戰。
(3)云平臺可用性問題
用戶的數據和業務應用處于云計算系統中,其業務流程將依賴于云計算服務提供商所提供的服務,這對服務商的云平臺服務連續性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰。另外當發生系統故障時,如何保證用戶數據的快速恢復也成為一個重要問題。
(4)云平臺遭受攻擊的問題
云平臺由于其用戶、信息資源的高度集中,容易成為黑客攻擊的目標,拒絕服務攻擊造成的后果和破壞性將會明顯超過對傳統的企業網應用環境的影響。
(5)法律風險
云計算應用地域性弱、信息流動性大,信息服務或用戶數據可能分布在不同的地區甚至不同的國家,因而在政府信息安全監管等方面可能存在法律差異與糾紛;同時由于虛擬化等技術引起的用戶間物理界限模糊,可能導致的司法取證問題也不容忽視。
2.3區別于傳統互聯網環境下的安全問題
移動互聯網環境下的云計算安全涉及移動終端、移動互聯網和云計算整個架構的安全,移動互聯網畢竟是在固定互聯網的基礎上發展的,安全問題兩者必然存在著相似性,但在每個環節上卻又有所區別。這些區別具體體現在其終端、網絡、業務和應用幾個環節,既包括上面分析的云計算安全問題,如租戶的接入控制、認證、虛擬化安全、數據隔離、業務隔離、云服務濫用等,也包括移動終端使用云服務時的安全問題。
(1)終端安全
作為移動互聯網“無所不在”的服務、個人信息和業務創新的載體,終端是移動互聯網區別于固定互聯網的最重要環節,其安全問題貫穿并影響了移動互聯網安全的各個環節。由于移動互聯網終端軟、硬件技術存在的局限,從總體來說安全性比固定互聯網終端好。但是在移動云計算環境下,終端也有其安全問題的特殊性,即瀏覽器已經普遍成為云服務應用的客戶端,目前互聯網瀏覽器毫無例外地存在軟件漏洞,這些軟件漏洞加大了終端用戶被攻擊的風險,從而影響云計算應用的安全。另一方面,移動互聯網環境下的Always-on的特性會招致更多的竊聽和監視問題;其“個性化”容易引發涉及隱私等的惡意代碼攻擊;同時,較PC用戶,移動互聯網用戶在使用云服務時缺乏安全意識,病毒傳播途徑呈現多樣化,如短信、彩信、藍牙等。
(2)網絡安全
移動互聯網建立在固定互聯網基礎之上,其網絡節點和相應的協議由于引入了“移動性”需求進行擴展。移動互聯網的接入方式多種多樣,因此網絡安全也 將呈現不同的特點。相比較固定互聯網,移動互聯網的網絡結構封閉,便于管理和控制。網絡安全的特殊性主要表現在網絡結構、協議及其網絡標識幾個方面。互聯網主張開放、平等,網絡中沒有控制點,而移動通信網多主張封閉性更強的“圍墻花園”模型和有差別的服務。網絡中可以部署關鍵控制點,便于實現可管、可控;移動互聯網的網絡標識是其最重要的特點之一,除了可以像固定互聯網一樣使用IP地址作為位置和身份標識,在移動互聯網中也可以采用SIM卡信息作為用戶標識,精確定位終端及位置。因此,從這個方面來講,移動互聯網的溯源性要優于固定互聯網。但在移動網絡環境下使用云服務時,對于傳輸中數據的最大威脅是不采用加密算法。通過移動網絡傳輸數據,采用的傳輸協議也要能保證數據的完整性。
(3)應用和云平臺安全
對固定互聯網的業務復制是目前移動互聯網業務發展的特點,而融合“移動”特征的業務創新則是移動互聯網業務發展的方向。因此,其業務系統環節會更多,應用涉及到的用戶及服務器的信息也會更多。由于云計算技術中的數據是存儲在云中,一方面為用戶提供了較大的數據存儲空間;另一方面為用戶提供便捷的存取機制,方便不同用戶之間進行數據分享。但是,服務關閉的事件近年來在云服務提供商中時有發生,包括亞馬遜,谷歌和微軟等大企業也不例外。因此,對一個移動云服務提供商服務的過分依賴會導致服務發生故障時受到致命的打擊,因為用戶將自己的數據全部托付給移動云服務提供商,同時又沒有選擇價格昂貴的備份和容災服務,一旦發生事故,將導致一些關鍵數據不能恢復。
(4)信息和內容安全
在移動互聯網業務中,不同客戶的需求是不同的,個性化和定制化服務雖然可以滿足不同用戶的需求,但是往往會造成服務負載過大。移動云服務使各個服務之間的資源得到共享,有效地降低了服務成本,但同時也造成了更多信息內容的暴露,涉及大量的私密信息和位置信息。因此,有可能引發大規模的攻擊和信息發掘,包括拒絕服務攻擊及其對于特定群組的敏感信息搜集等。
3 移動互聯網環境下云計算安全建議
本文針對上述安全問題,借鑒互聯網和云計算安全保障措施,根據移動互聯網的特點,從如下幾個方面對移動互聯網環境下云計算安全提出建議:
(1)加強對于云終端的控制,發現漏洞,彌補漏洞;較固定終端而言,移動終端對用戶的重要性越發明顯,已經如身份證一樣不可或缺,而且用戶使用云業務,大量的信息存儲云端,因此必須加強云端的安全性。
(2)加強移動網絡接入和傳輸的安全性。避免身份假冒、數據在傳輸過程中被非法篡改、遭受拒絕服務攻擊等。對用戶隱藏網絡拓撲,使得用戶無法對網絡節點發起攻擊。
(3)加強移動云服務業務系統之間訪問控制,制定統一的安全策略管理,防止業務流程被非法修改、業務被非法控制、業務流程被中斷等。
(4)加強移動互聯網云應用的統一認證技術研究,可以避免用戶在登錄多個業務系統時用戶信息泄露。
(5)對于負載變化較大的應用,采用智能負載均衡技術彈性地為用戶提供資源,有效地利用多個應用之間周期的變化,智能均衡應用負載,提高資源利用率,從而保證每個應用的可靠性和安全性。
(6)運營商加強對移動互聯網運營的優化,包括對不良內容過濾、網絡流量清洗、在關鍵節點部署DPI/DFI的策略。
(7)加強統一身份管理(IDM)及IP地址的溯源機制的部署,降低各種安全威脅,提高網絡的整體安全強度。
顯然,安全領域已經注意到軟件部署方式的最新變化,并找到了解決問題的辦法。日前,Imperva對外公布了一系列最新舉措來應對市場的最新變化,包括收購新興云安全網關公司Skyfence、與云計算網絡應用安全公司Incapsula達成協議收購其剩余股份,同時,Imperva還了為亞馬遜AWS提供的SecureSphere網絡應用防火墻。Imperva是專注與數據中心安全的解決方案供應商,其WAF(網絡應用防火墻)在市場頗有知名度。
“經過這一系列動作,Imperva將把我們在應用安全領域的解決方案能力擴展到云平臺上,從而為客戶提供全面的安全防護。”Imperva亞太及日本區副總裁Stree G.Naidu在接受記者采訪時表示。
據Stree介紹,新興云網絡Skyfence可以為導入到SaaS應用中的數據提供實時監控和保護,包括執行安全策略、保護敏感數據不受內外部的威脅,并確保運行符合標準。Skyfence采用特有的網絡流量分析和動態用戶指紋技術來記錄正常的用戶行為,并檢測可能由黑客或者內部威脅所引起的異常。而Incapsula則能通過應用程序的全球云交付網絡為網站和網絡應用程序提供安全保障,包括DDoS防護、負載均衡技術和故障解決方案等。
面向AWS的SecureSphere網絡應用防火墻類似于Incapsula,主要針對在AWS上運行的生產應用,為之提供企業級的網絡應用防火墻,可直接運行在AWS。本質上,面向AWS的SecureSphere網絡防火墻是一種SaaS應用,企業采用訂閱的方式,按需部署和使用,利用它企業用戶可以直接將其數據中心基礎架構連同原有的針對本地應用的安全管控一起移至云端。
目前NGFW(下一代防火墻)被炒得很熱,甚至有說法認為NGFW要替代WAF,Stree對此并不認同。他說,盡管與NGFW相比WAF似乎受關注的程度要低一些,但這不代表其重要性要低于NGFW,NGFW不可能替代WAF,因為到目前位置WAF還是唯一能夠檢測入站網絡流量的技術。