Ⅰ 最基本安全管理制度包括哪些
法律分析:
安全管理制度內容包括:1、安全生產會議制度;2、安全生產資金投入及安全生產費用提取、管理和使用制度;3、安全生產教育培訓制度;4、安全生產檢查制度和安全生產情況報告制度;5、建設項目安全設施、職業病防護設施,必須與主體工程同時設計、同時施工、同時投入生產和使用(以下簡稱「三同時」)管理制度;6、安全生產考核和獎懲制度;7、崗位標准化操作制度;8、危險作業管理和職業衛生制度;9、生產安全事故隱患排查治理制度;10、重大危險源檢測、監控、管理制度;11、勞動防護用品配備、管理和使用制度;12、安全設施、設備管理和檢修、維護制度;13、特種作業人員管理制度;14、生產安全事故報告和調查處理制度;15、應急預案管理和演練制度;16、安全生產檔案管理制度;17、其他保障安全生產的管理制度。
法律依據:
《煤炭工業部關於嚴格安全管理制度和勞動紀律的指令》
第一條 各煤礦井口要迅速建立入井人員的檢身制度,配備專人,嚴格檢身。每個入井人員必須佩戴安全帽、礦燈和自救器;嚴禁攜帶煙草和點火物品入井;嚴禁在所有井口規定的安全范圍內和在井下吸煙。
第二條 所有入升人員的井口,要懸掛包括乘罐、乘車定員在內的井口安全管理制度的牌子。入井人員要聽從把鉤工的統一指揮;嚴禁超員乘罐、乘車;嚴禁搶罐、擠罐和蹬車、跳車、扒車。
第三條 嚴格執行部頒發的防止運輸事故的有關命令、規定和措施,切實加強運輸管理。嚴禁行人走絞車道。兼作行人的主要絞車道,必須設專人把口,並設立用於聯系的聲光信號,確保行人不行車和行車不行人。
第四條 嚴格執行部頒發的防止瓦斯事故的有關規定和措施。必須按規定措施排放瓦斯,按規定停送電。瓦斯突出礦井必須制定防突的措施。要配齊瓦斯檢查員,嚴格按規定的路線和時間檢查瓦斯,嚴禁空班和脫崗漏檢。嚴禁隨意停開局扇,嚴禁在停風區或瓦斯超限地點作業。嚴禁隨意破壞通風設施和打開柵欄進入盲巷,所有盲巷都必須及時封閉。
衍生問題:
施工現場安全管理細則有哪些?
1、現場施工人員必須認真填寫安全培訓考核試卷,考試內容全部掌握。未經教育不得上崗,施工人員進入現場一律穿工作服,嚴禁穿短褲、短袖、拖鞋、高跟鞋、硬底鞋、赤膊進入施工現場。吊籃上嚴禁坐卧、說笑、打鬧。2、進入施工現場必須戴好安全帽,系好帽帶,2米以上高空作業必須系好安全帶,扣好保險掛鉤,安全帶要高掛低用。3、高處作業不得往下亂拋材料和工具雜物等,施工區域內要有專人看護。4、進入現場的施工人員不得在現場抽煙、大小便,不得酒後上班操作,井字架、吊籃、料斗不準乘人。5、特殊工種如焊工等一定要持證上崗,操作前要配帶好相應的防護用品。如絕緣鞋、絕緣手套、防護面罩、護眼鏡等,焊工作業時要設置接火斗,三組以上焊工同時作業時要設專職看火人一名,並佩帶消防器材。6、現場任何施工人員均不得私自接改用電線路,使用總包或其他施工單位的施工機械一定要經過有關人員的批准。7、未經有關人員同意,不得隨意拆除安全設施和安全裝置,各種電器設備必須有漏電保護裝置及可靠的安全接地裝置方可使用。8、電、氣焊工在作業時,必須查驗操作區周圍是否有易燃易暴物品,如有隱患應提前處理或上報,處理後方可進行施工操作。
Ⅱ 煤礦入井人員管理制度
法律分析:入井人員必須戴安全帽(系好帽帶)、穿戴好勞動防護用品,隨身攜帶自救器、礦燈,按規定攜帶瓦斯便攜儀;嚴禁酒後、攜帶煙草及點火物品、穿化纖衣服入井;嚴禁拆卸及摔打礦燈。
法律依據:《煤礦入井人員管理制度》
第十條 入井人員必須戴安全帽(系好帽帶)、穿戴好勞動防護用品,隨身攜帶自救器、礦燈,按規定攜帶瓦斯便攜儀;嚴禁酒後、攜帶煙草及點火物品、穿化纖衣服入井;嚴禁拆卸及摔打礦燈。
第十一條 檢身內容及要求:
(一)勞動保護用品(工作服、安全帽、膠鞋、毛巾)未穿戴整齊者不準入井。
(二)自救器、礦燈未隨時攜帶者不準入井。
(三)測量酒精,酒精含量達到檢測儀器報警值者不準入井。
(四)煙草和點火物品攜帶者不準入井。
(五)穿化纖衣服者不準入井。
(六)攜帶大件或小件未放入工具包者不準入井。
(七)精神狀態可疑者不準入井。
(八)未帶證件者不準入井(對應崗位證件等)。
(九)沒有入井牌者不準入井。
Ⅲ 煤礦安全防護管理制度和建立警示標志制度
安全防護設施管理制度(第一個例子)
為進一步加強對壓風自救裝置、防突金屬柵欄、隔爆水棚和瓦斯突出防逆風裝置的監管,保證採掘工作面工作人員的安全,經礦領導指導,依據「一通三防」管理規范,特製定此管理制度。
壓風自救裝置、防突金屬柵欄、隔爆水棚由施工單位負責安裝管理,施工單位要做好這些防護設施的日常維護工作,隨著工作面的推進,施工單位要按照規定及時補充壓風自救裝置,並調整防突金屬柵欄和隔爆水棚的位置,保證符合規定要求;瓦斯突出防逆風裝置由通風區負責安裝管理,通風區要做好對防逆風裝置的日常維護和校檢工作。
對防突柵欄、防逆風裝置、三道反向防突風門等安全防護體系的各重要環節實行項目檢查銷號制。
防突科和安監科負責壓風自救裝置、防突金屬柵欄、隔爆水棚和瓦斯突出防逆風裝置的監督檢查工作,對存在的隱患逾期不整改者,安監科要根據情節進行處罰,並追究相關人員的責任。
安全防護裝置管理制度(第二個例子)
第一條
凡是新製造、新購置的設備,安全防護裝置必須齊全有效並經生產技術部驗收合格方可投入使用。
第二條
在用設備,在日常檢修、中修和大修設備的同時,在檢修單上必須明確規定檢修安全防護裝置,車間領導和維修人員對本車間設備安全裝置做到底數清,隨時發現損壞應及時安排檢修,並做好記錄,包括:
1.各種泵類聯軸器應裝護板。
2.各種傳動帶、輪處應安裝防護罩或遮攔。
3.直梯、斜梯、平面應符合有關要求,各種接梯操作台安全防護欄桿不得低於110厘米,豎立桿間距不得大於20厘米。
4.升降機各層機械連鎖護欄、托杠、限位器等。
5.移動和季節排風扇和伸手部位能接觸到的各類軸流排風扇或電扇應裝置防護網或焊接隔離格、條、護罩。
6.各種防護網、罩、欄應安裝牢固,便於檢修。
第三條
生產作業人員在使用設備前要檢查防護裝置是否齊全有效,發現防護罩有問題要及時通知車間、部門和有關人員進行檢修。
第四條
安全防護裝置未經生產維修部同意,不得任意拆除或拆改。凡在各級巡視中發現私自拆除或隨意損壞者,對責任者進行嚴肅批評教育,並責令部門重新裝好,對當事人進行100—500元罰款,造成事故或險造事故者按有關規定追究責任,並參照有關規定執行。
警示標識配備和管理制度(第一個例子)
1. 要根據職業病危害的種類配備不同的警示標識和中文警示說明。
(1)在產生嚴重職業病危害的作業崗位的醒目位置,設置警示標識和中文警示說明。警示說明應當載明產生職業病危害的種類、後果、預防以及應急救治措施。
(2)產生職業病危害因素的設備,要在設備的醒目位置設置警示標識和中文警示說明,警示說明應當載明設備性能、可能產生的職業病危害因素種類、安全操作和維護注意事項、職業病防護以及應急救治措施等內容。
(3)產生職業病危害的化學品、放射性同位素、含有放射性物質的材料等貯存場所,要在房間門口或設備(材料)旁設置危險物品標識或放射性警示標識。
2.警示標識要指定專人負責檢查、維護,每月檢查一次,及時維護和更換。
3.警示說明不得隨意更換位置,不得丟棄、不得塗改。
4.發現警示標識丟失、塗改、損壞等,要立即報安全部門,由安全部門負責盡快更換,以免誤導員工。
5.故意損毀、塗改、偷竊警示標識者,由單位領導視情節輕重,採取警告、罰款、劃分、開除等處理方式。
安全警示標志管理制度(第二個例子)
現階段施工現場安全警示標志牌、安全標語牌隨意拆除現象突出,致使標牌破損。根據《安全生產法》第二十六條規定「生產經營單位應當在有較大危險因素的生產經營場所和有關設施、設備,設置明顯的安全警示標志。」特製定本規定。
1、規定
(1)施工現場各種安全警示標志,未經施工現場管理人員同意,任何人不得移動和拆除。
(2)各施工班組安全員認真識別作業區域內危險因素,在較大危險因素的生產經營場所和有關設施、設備,設置明顯的安全警示標志;各施工班組負責對設置的安全警示標志維護。
2、監督管理
礦山安全科結合辦公室按照本規定對施工現場的安全標志、標語、施工班組進行監督管理;
礦山安全科、辦公室人員應忠於職守,堅持原則;對施工班組未按規定執行的,嚴格按照本規定進行處理。
3、責任
(1)各施工班組,有下列行為之一的,給予經濟處罰:
①未經施工現場管理人員同意,移動、拆除安全警示標志、標語,為對安全警示標志、標語造成破壞者,處50-100元經濟罰款;
②未經施工現場管理人員同意,移動、拆除安全警示標志、標語,對安全警示標志、標語造成破壞者,賠償標牌費用,並處50?-100元經濟罰款;
③故意對安全警示標志、標語造成破壞者,賠償標牌費用,並處150-300元經濟罰款;
(2)各施工班組,有下列行為之一的,限期整改;逾期未整改者,給與50-200元經濟處罰:
①班組安全員未對施工現場危險因素進行識別;
②班組未在較大危險因素的場所和有關設施、設備上設置明顯的安全警示標志。
4、附則
有較大危險因素的生產經營場所和有關設施、設備,一般是指生產經營場所進行的作業性質、使用的設備、材料或者儲存的物品有危險因素,容易造成從業人員或者其他人員傷亡,或者有關設施、設備的操作使用中容易對人身造成傷害。
安全警示標志是指提醒人們注意的各種標牌、文字、符號以及燈光等,同時安全警示標志應當明顯,便於為作業人員及社會公眾所識別。
Ⅳ 煤礦安全管理制度都有哪些
煤礦企業應當建立、健全主要負責人(董事長、總經理、礦長,以下同)、分管負責人(各副董事長、副總經理、副礦長,以下同)、安全生產管理人員安全生產責任制;建立、健全區(隊)班(組)長安全生產責任制和各工種崗位安全生產責任制;建立、健全各職能部門主要負責人安全生產責任制及本部門業務保安責任制。
煤礦企業應當制定安全目標管理制度、安全獎懲制度、安全技術審批制度、事故隱患排查治理報告制度、安全檢查制度、安全辦公會議制度、井工煤礦入井檢身制度與出、入井人員清點制度等安全生產規章制度;制定各工種操作規程。
Ⅳ 煤礦一人一檔管理制度是什麼
煤礦安全管理部門,應建立:
1、從業人員信息一人一檔;
2、安全培訓信息一人一檔;
3、職業病防治信息一人一檔。
將以上三項內容,整理匯總,按人頭分別建立煤礦從業人員安全管理信息一人一檔,長期保存,直至退休。
Ⅵ 煤礦安全管理
轉載的文章,請看下
煤炭行業是高危行業,安全管理工作是一切工作的重中之重,隨著社會的發展與人民生活水平的不斷提高,以人為本的思想也越來越突出。因此,安全管理更是一刻也不能鬆懈。筆者在多年的工作實踐中認識到,要抓好煤礦安全管理必須形成「制度覆蓋廣,安全人人抓,隱患有人查,整改有人督,事情有人辦」的安全工作機制。
健全管理制度,形成嚴密的安全防範網路
抓好安全生產,健全制度和創新機制是根本。構築全礦上上下下安全生產防範體系,嚴格遵守「礦長統一領導,部門依法監管」的原則,實行礦長全面負責,群眾監督參與,使幹部和全體職工都重視和支持。在這個過程中,著重建立並嚴格執行四種制度:
一是嚴格落實煤礦生產責任和著力抓好十項措施。進一步強化煤礦安全生產的主體地位,全面落實煤礦安全生產責任,著力抓好井下通風、頂板支護、提升運輸、機電設備管理、防瓦斯、防滅火、防煤塵、防治水,規范入井人員安全防護裝備、控制超能力生產等十項措施。
二是實行每月一次的安全生產例會制度和隱患排查治理制度。
三是實行安全生產控制指標制度,杜絕「三超」作業。做到一日一參考,一月一對照,一季一公布,半年一總結,年終總兌現。對於工作到位,沒有突破生產控制指標的,要給予獎勵;對於不負責任的,發生重大事故的,要給予重罰,並追究相關責任人的責任,甚至追究刑事責任。
四是制定評價標准和工作目標,促進煤礦加大安全生產投入,徹底改善安全生產條件,不斷夯實安全生產基礎工作。
強化基層幹部的責任意識,夯實基礎管理
一是要加強基層幹部的責任心教育,嚴肅整治只講生產不講安全、視安全工作為兒戲的壞風氣,努力使每一位基層幹部「安全工作責任意識到位」。
二是強化遵章指揮意識。在安全生產過程中,基層幹部是直接的指揮者和管理者,所以,必須帶頭做到吃透規程措施,熟悉管理制度,並進行學習和考試,考試不及格就不能上崗,同時也要把規程、措施貫徹到每一個工人。對於那些只抓生產不抓安全的基層幹部要給予嚴肅處理,對不負責任的要及時撤換。
三是強化現場把關意識。煤礦安全工作重在現場,所以要求基層幹部必須強化現場把關意識。基層帶班幹部要把好現場工人遵章作業提示關,提高工人遵章作業意識。一方面現場安全提示有親切感,工人容易接受;另一方面,因為絕大多數工人都明白,若不遵「旨」照辦,帶班幹部一旦發現「三違」,不僅「丟面子」,而且還要「丟票子」,所以通常來說,帶班幹部在現場進行安全提示是極為有效的;其次是帶班幹部要把住重點人物關。對那些經常有違章行為的人,要盯緊盯牢盯實,使其沒有違章作業的機會;同時要掌握有利時機,設身處地、用現實案例教育其遵章守紀,增強認識;最後是要善於把住現場安全生產的重點環節、關鍵部位,才能保證安全生產工作的順利進行。
四是形成以帶班幹部為主的安全責任體系,改變過去以工人為主的安全責任體系管理模式。加大對幹部的處罰力度,工人違章,帶班幹部也要受到牽連和處罰,用以體現幹部是決定因素的原則。因為工人違章作業絕大部分是由於幹部管理不到位所造成的。幹部肩上有擔子、有壓力,迫使帶班幹部不得不抓好安全工作,使帶班幹部中「嘴動手不動、兩腿怕動、頭腦不動」的現象減少,形成「幹部盡心竭力抓安全,工人一心一意保安全」的安全生產新局面。
從嚴把關,全力進行安全隱患排查和消除
事故隱患排查及消除的關鍵是及時發現事故隱患並及時排查處理。根據生產具體情況建立一整套完善的事故隱患排查制度,能有效地控制事故的發生,尤其是控制重大事故的發生。
首先事故隱患排查的關鍵是抓現場管理。作業現場事故隱患排查應遵守的原則是:不安全不生產;事故隱患未徹底處理不生產;安全措施不落實不生產;生產過程中出現事故隱患,必須立即停止作業,進行事故隱患整改;交班時事故隱患未處理徹底,必須向下一個班交待清楚。
執行這項工作的關鍵人物是跟班幹部,其具備的專業知識的多與少,責任心的強與弱,直接影響現場事故隱患的發現、排查及其預防。因此,抓好事故隱患排查的關鍵是:抓跟班幹部的安全管理,提高跟班幹部安全素質和責任意識。
其次重大事故隱患治理,首先應及時採取有效的、針對性強的防範措施,以控制其引發事故。現場管理者責任心的強弱及其擁有的安全技術水平高低決定重大事故隱患是否帶來危害。提高現場安全管理者的安全技術水平是關鍵,同時排查重大事故隱患要快速,做到資金、材料設備、技術措施落實到位,不要怕花錢、不要怕費時、費力,更不要有僥幸心理,尤其是不可急功近利。
再者,事故隱患的消除要通過多種渠道,尤其是要增強所有從業人員的安全意識,不斷提高安全文化建設。由於從業人員的素質參差不齊,要求安全管理方法也要千差萬別,這就需要煤礦全體幹部員工共同努力才能實現。人是引發事故隱患的最活躍因素,所以消除事故隱患首先要抓住人為這個關鍵,不斷強化作業人員、管理人員的安全素質教育,增強人的安全責任心。
強化培訓,增強職工防範意識
一是重視安全生產的思想教育,提高員工安全意識。安全生產的思想教育包括:安全生產的法制教育、道德教育、集體榮譽感教育、責任感教育。
法制教育就是對員工進行安全方針、政策、法紀、事故案例教育以及安全生產技術法規教育等,使員工自覺遵守安全生產的法律、法規,做到執法、懂法、守法;道德教育就是讓員工在工作中逐步養成希望為他人服務的情感,做到「我不傷害別人」,當別人受到傷害時能及時搶救,尤其是當他人違章時能及時制止,並能及時提醒他人預防為主;集體榮譽感教育就是讓員工關心集體的榮譽、企業的興衰,把自己在生產中的行為與集體的榮譽緊密聯系起來,讓員工知道,不安全行為易發生工傷事故,不僅影響班組和企業的記錄、評比和聲譽,還會造成經濟上的巨大損失,有損企業的形象;安全責任感教育就是讓員工充分認識「我」在家庭、企業和社會中的重要性;正確認識自己的價值,樹立正確的安全價值觀;認識到安全不僅是企業生產的需要,最主要的還是自己的安全需要;認識到安全不僅是要對企業負責,對社會負責,更是對自己、對家庭負責。
二是加強員工的安全技術知識和技能教育,提高安全管理層次。安全生產技術知識教育,包括一般生產技術知識、一般安全生產技術知識和專業安全生產技術知識等教育。
一般生產技術知識教育的主要內容有:企業的基本生產概況、生產技術過程、作業方法或工藝流程,與生產技術過程和作業方法相適應的各種機械設備的性能和知識,工人在生產中積累的操作技能和經驗以及產品的結構、性能、質量和規格等。一般安全生產知識教育就是井下的危險設備和區域及其安全防護的基本知識和注意事項;個人安全防護常識等。專業安全生產技術知識教育比較專門和深入,包括安全生產技術知識,以及根據這些技術知識和經驗制定的各種安全生產操作規程等教育。
總之,加強煤礦安全管理,做到防患於未然。不僅要從制度上,還要從基礎管理、從人員、從素質教育上保證經常化、全面化和規范化。只有這樣才能真正實現企業安全生產管理工作的長治久安。
Ⅶ 煤礦安全管理制度都有哪些
煤礦企業應當建立、健全主要負責人(董事長、總經理、礦長,以下同)、分管負責人(各副董事長、副總經理、副礦長,以下同)、安全生產管理人員安全生產責任制;建立、健全區(隊)班(組)長安全生產責任制和各工種崗位安全生產責任制;建立、健全各職能部門主要負責人安全生產責任制及本部門業務保安責任制。
煤礦企業應當制定安全目標管理制度、安全獎懲制度、安全技術審批制度、事故隱患排查治理報告制度、安全檢查制度、安全辦公會議制度、井工煤礦入井檢身制度與出、入井人員清點制度等安全生產規章制度;制定各工種操作規程。
Ⅷ 網路安全管理的管理制度
1、所有接入網路的用戶必須遵守國家有關法律、法規,嚴格執行安全保密制度,並對所提供的信息負責。任何單位和個人不得利用連網計算機從事危害城域網及校園網防火牆、路由器、交換機、伺服器等網路設備的活動。
2、在網站上發現大量有害信息,以及遭到黑客攻擊後,必須在12小時內向三門縣教育局現代教育中心及公安機關報告,並協助查處。在保留有關上網信息和日誌記錄的前題下,及時刪除有關信息。問題嚴重、情況緊急時,應關閉交換機或相關伺服器。
3、任何單位和個人不得在校園網及其連網的計算機上收閱下載傳遞有政治問題和淫穢色情內容的信息。
4、所有接入網路的用戶必須對提供的信息負責,網路上信息、資源、軟體等的使用應遵守知識產權的有關法律法規。對於運行無合法版權的網路軟體而引起的版權糾紛由使用部門(個人)承擔全部責任。
5、嚴禁在網路上使用來歷不明、引發病毒傳染的軟體,對於來歷不明的可能引發計算機病毒的軟體應使用公安部門推薦的殺毒軟體檢查、殺毒。
6、認真執行各項管理制度和技術規范,監控、封堵、清除網上有害信息。為有效地防範網上非法活動、各子網站要加強出口管理和用戶管理。重要網路設備必須保持日誌記錄,時間不少於180天。
Ⅸ 煤礦監控系統的所有管理制度
一、煤礦瓦斯監測監控系統是有效預防和杜絕煤礦瓦斯事故發生的重要設施,監控人員必須以高度的責任感認真履行自己的職責,嚴格執行《煤礦安全規程》、「朔州市地方煤礦瓦斯監測監控系統管理辦法(試行)」和本礦各項規章制度,牢固樹立「安全為天、以人為本」的思想,確保本礦瓦斯監測監控系統能正常運行,並發揮其安全保障作用。
二、瓦斯值班人員必須遵章守紀,持證上崗。愛護設備,遵守上機操作規程。嚴格執行交班制度,聽從調度指揮,做好本班一切工作。
三、認真填寫瓦斯監測監控運行日誌和異常情況匯總日報表,隨時掌握採掘進度,並按規定及時標注瓦斯探頭的實際位置,准確反映系統的運行情況。
四、瓦斯監測值班人員發現系統無數據、數據不更新、不上傳;瓦斯警報點定義不當、瓦斯曲線不正常;CO濃度超限、溫度超高;主扇或局扇停止運行;風流短路或受阻、差壓異常;饋斷電報警等情況,必須立即通知調度主任、值班礦領導進行隱患排查,並將所發生異常情況報告上一級調度機構,而後隨時匯報處理情況和接受上級調度指出指令。
五、瓦監值班人員發現瓦斯超限報警,必須立即通知調度主任、值班礦領導組織隱患排查,並將瓦斯超限原因、採取措施報告上一級調度機構,而後隨時匯報處理情況和接受上級調度指令。並做好詳細記錄。
六、瓦斯系統一旦發生故障,瓦斯值班人員應立即向值班領導報告。積極組織廠家和系統維修人員進行搶修,盡可能在短時間內恢復正常。發生故障超過1小時後得不到處理,應向上一級調度機構報告,並做好故障發生的時間、地點、現象、原因以及處理辦法和恢復正常的記錄,留檔備查。
七、瓦監值班人員收到上級管理部門的「指令」和「監管處理決定書」後,必須馬上報告調度主任、值班礦領導採取有力措施認真貫徹執行。而後每隔半小時向發令部門匯報一次落實處理情況,直到異常情況消除為止。
八、瓦監值班人員必須遵守機房、調度監控室內等管理制度,不得用瓦斯臨近計算機人事危害公共安全、網路安全、損害公共利益或侵害他人正當權益的活動,不得傳播和發送與安全生產無關的其它信息,不得安裝與監測系統無關的任何程序,值班人員或其它人員不得玩游戲、播放光碟,發現以上情況給予罰款或除名處理。
九、監控值班人員平時應經常學習計算機知識和系統相關的軟體知識,每年至少參加一次上級主管部門組織的系統培訓,熟練掌握系統的維修技能、故障處理技能和計算機操作技能,以便提高自己的實際工作能力。
十、瓦斯監控人員無故脫崗或值班期間未認真履行職責,玩忽職守,致使重大隱患和險情未能及時發現報告,造成不良後果的罰款50-100元,造成嚴重後果的要撤職,造成事故的要追查刑事責任。
十一、在監控室內不允許與監控無關的人員出入或隨意去耍微機,發現後對當事人和監控值班人員給予100元的罰款。
Ⅹ 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。