时间:2023-07-02 09:54:04
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇井下安全防护范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
我国每年的经济增长态势呈直线上升的趋势,“三驾马车”带动中国的经济快速发展,其中出口、投资、消费都有赖于能源的后勤保障和供应。对于煤炭的依赖程度已经到了必不可少的地步。这些因素也直接带动了煤炭业的快速发展,其中也显现出了一个问题--煤矿井下人员的安全保障。这几年来,我国在煤炭开挖时,出现了很多起重大安全事故,死伤人数逐年呈递增的趋势,如何有效的解决这类事件的发生也引起了国家有关部门的高度重视。这里我们就引进了基于公共服务网络的煤炭安全防护信息系统,通过这个系统可以在很大的程度上降低井下发生危险的概率和提高炭难营救的成功率。
一 基于网络环境下煤炭信息系统
现有的煤炭信息系统是一种在网络的模式下实现安全信息的全面化的系统,它在煤炭生产中很多方面都起到了作用。在很多起煤炭坍塌和爆炸事故中,救援在很多的方面遇到了相当大的阻力,这就存在两方面的原因。一是救援时不能明确下井的具体人数,二是对井下的结构构造不了解。这都给救援带来了巨大的压力。在煤炭的开采的中间环境,必须在整套工作的流程中确定安全的保障手段,确保采煤的过程始终在安全的环境中进行,此外,对于井下的人员必须合理的掌握操作流程,井上工作人员的任务就是时刻保持与井下工作人员的配合。使用计算机网络可以对井下的情况做出具体的评估,而基于公共服务网络的井下人员检测系统可以在安全受到影响时及时做出安全提示,以保证采煤过程中有相应及时的安全的应急措施,因此我们在这个基础上使用了公共服务网络的煤炭安全防护信息系统。
在网络环境的平台下,对于网络的要求在于数据的安全保证,对于网络的交换设备的服务稳定和安全,以及数据库主要的数据资料必须在安全的情况下进行完善,监督部门可以随时对于煤炭生产的现状进行了解,对于煤炭开挖井下施工的具体情况做出详细的监督。并且该系统的防护系统还对于智能化的施工起到了关键的作用。对于一些网络的入侵和网络的防止病毒攻击有着一定的作用。此外,在企业利用这套系统可以实现内部的资源系统共享,保障人身和网络安全的同时,服务了煤炭企业的发展。
二 网络安全信息防护系统特点
基于现有的网络的煤炭安全防护信息系统主要的作用是起到安全防护的作用。在井上安装计算机的终端系统,用数据线连接井下的数据初口。初口连接的是两个识别卡系统。这里所说的识别卡都是在末端安装了高灵敏度的传感器,当井下的温度和空气含量一旦发生变化,识别卡就会在第一时间将数据传输到计算机信息终端,技术人员就可以根据数据的变化,即时的分析出此刻井下的相关情况,作出应急方案。在这里,系统两端的读卡器会一起将数据传输出去,不会引起任何的干扰。
在开挖的过程中,一旦存在安全隐患预警系统就会及时作出报警响应。其中包括气体压力的测试和机械磨损检测。系统中采用的是并联电路,蓄电池是24小时循环放电,让整个系统处于运转状态,我们利用传感器在压力感知方面灵敏度高、动态数据采集快、适应能力强的特点,在传感器末端安装了电容测变器。日常的工作状态下,这套系统的任务是时刻检测,在危机发生时,系统就会发出警报,好让井下的人员尽快撤离,也可以让井上的技术人员作出及时的决策。
井上的控制中心的计算机会根据这些动态分布掌握每个人员的实际所在位置,对于调度方面起到了帮助作用。系统也可以单个或者多个对井下的人员进行单方面的呼叫,掌握他们的工作时间和离井时间,把开挖的指令传达给每个人。系统也可以根据分布情况对井下的巡查人员进行监督。如对瓦斯浓度检测人员、实时温度检测人员。在很长的一段时间内,计算机系统可以根据以上监控作出相关的分析,得出技术员所需要的相关参数指标。了解每个施工人员的出勤率、总出勤时间、迟到和早退的记录和未到工作岗位的次数等等。如果在煤炭发生的突发时间,技术人员可以根据这套人员定位系统及时抽调出当时的工作动态情况,根据电脑中显示的人员分布情况,作出救援安排和部署。
在基于网络环境下的煤炭安全信息防护系统的使用中,先是打开电路,系统会自动更新,将上次的数据自动保存在硬盘中,然后自身启动重启格式化的功能。这时系统会提示是否将井下的及时情况监控与计算机网络系统联接。一旦系统联接了就会跳转到ARP模式中,选择HCP和HTTP处理。
三 煤炭企业信息化管理安全模式
对于网络环境下的煤炭信息网络系统,必须在保证网络安全的基础上实现管理的策略性发展,将具体的安全网络信息化管理和维护落实到企业管理的实处。
(1)使用目前世界先进的安全技术和产品(包括使用防火墙、入侵检测、防病毒和容灾备份等)。
1.云计算技术目前的发展
云计算的概念自2006年被Google提出之后,就在ICT产业界产生了巨大反响,Google,微软,IBM,英特尔等ICT巨头公司积极跟进云计算的研究以及云计算业务和应用的部署。关于云计算的理解,定义目前就有几十种,其中得到业界最广泛接受的,是由美国国家标准和技术研究院(NIST)提出的:云计算是一种通过网络以便捷、按需的形式从共享的可配置的计算资源池(这些资源包括网络、服务器、存储、应用和服务)中获取服务的业务模式。云计算业务资源应该支持通过简洁的管理或交互过程快速的部署和释放。
NIST对于云计算的定义,从根本上规范了其业务模式和特征。NIST给出的定义中还包含云计算的基本特征:按需自助服务,构建资源池,广泛的宽带网络接入,供可测量,快速弹性的,按使用量计费的服务等。根据云的使用范围及运营模式的不同,描述了云的4种部署模式:公有云、私有云、社区云、混合云。
就我国而言,云计算更合乎中国经济向服务型、高科技型转变的趋势,政府和医疗信息化、三网融合,大量迅速成长的电子商务应用,使我国云计算具有强大的市场前景,云计算的时代已经到来。
2.云计算环境下面临的信息安全问题
云计算迅速发展的同时,也面临着信息安全的巨大挑战。目前安全问题已成为困扰云计算更大发展的一个最重要因素。某种程度上,关于云计算安全问题的解决与否及如何解决,将会直接决定云计算在未来的发展走势。
随着云计算在各领域内的快速发展,安全事件也频繁发生:亚马逊云计算平台出现了大范围的故障;微软Azure云计算平台彻底崩溃,大量用户数据丢失;谷歌公司泄露了客户私人信息等等。根据云计算的定义和相关概念的理解,云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统,用户数据的存储,以及用户数据的处理和保护等操作,都是在“云”中完成的。这样,就不可避免地使用户的数据处于一种可能被破坏和窃取的不安全状态,并且也有更多更详细的个人隐私信息曝露在网络上,存在非常大的泄露风险。
云计算安全事件频发,其稳定性、安全性、完整性等都是亟待解决的问题;加上公共平台的开放和不可控性,急需一套针对云计算的信息安全防护方案。云计算环境下的信息安全防护体系的建立,必将使云计算得以更加健康、有序的发展。
3.云技术环境信息安全防护方案探索
3.1 体系结构的总体防护
云计算安全体系结构可以划分为数据安全、虚拟化服务安全、基础网络安全三部分。数据安全即保障云计算海量数据存储、传输并实现数据安全隔离的支撑平台的安全;虚拟化服务安全即保障整合、处理各种虚拟化资源,提供“按需服务”的承载平台的安全;基础网络安全即保障各类计算资源基于统一基础架构的网络接入和运行平台的安全。
(1)数据安全
数据传输安全:云环境下用户的数据信息从终端到云计算环境的传输中,数据信息容易被截获,可采用在云端部署SSL VPN网关的接入方案,以保证用户端到云端数据的安全访问和接入。云端部署SSL VPN网关示意图如图1所示。
图1 云端部署SSL VPN网关示意图
利用SSL VPN技术,可以随时随地的在客户端与资源中心之间建立一个私密通道,保证不同客户信息私密性,可采用的防护技术包括:不同客户访问相应云计算资源的身份认证与鉴权;客户端和云端数据流加密;终端用户的准入管理(补丁管理、杀毒软件升级等);防数据泄漏;自主访问控制;标记和强制访问控制;系统安全审计;用户数据完整性保护;用户数据保密性保护;客体安全重用以及程序可信执行保护。
用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,应采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期中用户标识的唯一性;在每次用户登录系统时,应采用受安全管理中心控制的令牌、口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份的鉴别,并对鉴别数据进行保密性和完整性保护。
数据完整性保护:应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复。
数据保密性保护:应采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。
(2)虚拟化服务安全
“按需服务”是云计算平台的终极目标,只有借助虚拟化技术,才可能根据需求,提供个性化的应用服务和合理的资源分配。无论是基础的网络架构,还是存储和服务器资源,都必须要支持虚拟化,才能提供给用户端到端的云计算服务。因此,在云计算数据中心内部,应采用VLAN和分布式虚拟交换机等技术,通过虚拟化实例间的逻辑划分,实现不同用户系统、网络和数据的安全隔离。
在多租户情况下,云联数据中心的所有安全设备应支持1:N的虚拟化,形成端到端的虚拟通道。每个安全设备经过虚拟化后,都可实现关键特性的多实例配置,比如防火墙的多实例、支持独立的安全域划分及策略配置。
实现跨设备链路聚合,简化网络拓扑结构,便于管理维护和配置,消除“网络环路”,增强网络的可靠性,提高链路的利用率,可采取横向网络虚拟整合,即N:1网络虚拟化。
每个虚拟设备都应具备独立的管理员权限,实现用户的分级管理,如图2所示,可以随时监控、调整策略的配置实现情况。可以将管理员划分为多级进行管理,不同的级别具有不同的管理权限和访问权限。通过灵活的用户访问控制,对虚拟机的配置和远程访问权限进行保护。
采用虚拟防火墙和虚拟设备管理软件为虚拟机环境部署安全防护策略,且采用防恶意软件,建立补丁管理和版本管理机制,及时防范因虚拟化带来的潜在安全隐患。
图2 用户分级示意图
(3)基础网络安全
基础网络是指地理位置不同的的是数据中心和用户终端的互联。应采用可信网络连接机制,通过对连接到通信网络的设备进行可信检验,以确保接入通信网络的设备真实可信,防止设备的非法接入。基础网强调的是无收敛和精细化,相应对安全设备也提出相应的要求,在园区网,安全设备性能要满足与网络相匹配的性能的需求,且应可以实现随着业务发展需要,灵活的扩减防火墙、入侵防御、流量监管、负载均衡等安全功能,解决在安全设备端口不足和自身处理性能不足情况下灵活扩展问题,实现安全和网络设备高度融合。
3.2 应用层面的安全防护
由于云环境的灵活性、开放性、公众可用性等特性,给应用安全带来了很多挑战。
对于企业终端用户而言,企业应做风险评估,比较数据存在云中和存储在自己内部数据中心的潜在风险,比较各家云服务供应商,把选择缩减到几家,并取得优选者的服务水平保证。云服务供应商在云主机上部署的Web应用程序应当充分考虑来自互联网的威胁。企业终端用户应该清楚指定哪些服务和任务由公司内部的IT人员负责、哪些服务和任务交由云服务供应商负责。随着虚拟化技术的广泛应用,许多用户喜欢在桌面或笔记本电脑上使用虚拟机来区分工作。通常这些虚拟机甚至都没有达到补丁级别,这些系统被暴露在网络上更容易被黑客利用成为流氓虚拟机。对于企业客户,应该从制度上规定连接云计算应用的PC机禁止安装虚拟机,并且对PC机进行定期检查。
对于使用云服务的终端用户而言,应该保证自己计算机的安全。在用户的终端上部署安全软件,包括反恶意软件、防病毒、个人防火墙及IPS类型的软件。目前,互联网浏览器已经普遍成为云服务应用的客户端,但不幸的是所有的互联网浏览器毫无例外地存在软件漏洞,这些软件漏洞加大了终端用户被攻击的风险,从而影响云计算环境应用的安全。因此云用户应该采取必要措施保护浏览器免受攻击,在云环境中实现端到端的安全。云用户应使用自动更新功能,定期完成浏览器打补丁和更新及杀毒工作。
云用户还应使用过滤器,目的在于监视哪些数据离开了用户的网络,从而自动阻止敏感数据外泄。这些数据涉及到用户的个人隐私,用户可以对过滤器系统进行安全配置,以防止数据在用户不知情的状态下被泄露,防止由此造成的用户自身数据的安全性降低。
4.结束语
安全问题已经成为困扰云计算更大发展的一个最重要因素。在某种程度上,关于云计算安全问题的解决与否以及如何解决等,将会直接决定着云计算在未来的发展走势。关于云计算安全问题的解决,需要考虑到云计算安全的成因,多管齐下,从技术、标准、法律以及业务监管等多个方面来进行综合考虑;还需要云平台提供商,系统集成商,云服务提供商,杀毒软件厂商等的共同努力。随着整个云计算产业链的不懈努力,云计算环境应用及服务必将朝着可信、可靠、可持续的方向健康发展。
参考文献:
[1]NIST..
[2]胡志昂,范红.信息系统等级保护安全建设技术方案设计实现与应用[M].电子工业出版社,2010.
中图分类号:TP393.08
1 研究背景
随着虚拟化技术不断成熟及普及,各行业掀起了数据中心虚拟化改造的热潮。虚拟化技术给数据中心的运营带来了很大的改变,IT部门无需再因为新业务的上线而考虑购置新的设备、计算电力及冷却系统是否能够承载新业务的上线,仅仅只需要从虚拟计算池中划出适合的计算资源构建虚拟服务器即可将新业务上线,提高数据中心计算资源的使用率。虚拟服务器通过与虚拟计算平台中的虚拟交换网络进行连接从而达到他们之间的数据交换的目的,由于数据始终在虚拟计算平台中交互使得数据中心的区域边界变得越发模糊,同时外部物理安全设备无法对数据进行检测分析,导致无法对数据的流向以及内容进行有效的控制,由此带来了数据的不可视、不可控等问题,另外虚拟服务器的故障迁移的随机性使得物理安全设备的策略调整带来非常大的挑战。因此,对于解决虚拟计算环境的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案。
2 数据中心虚拟化安全需求
在利用现有成熟安全防护技术解决好当前信息安全存在的普遍性安全威胁后,现阶段虚拟化环境下的安全防护重点主要考虑虚拟机与虚拟机和虚拟机与客户端之间交互流量安全问题。分析虚拟环境下流量的流向,对于虚拟化环境下流量的可视化和管控有重要意义,目前对于虚拟机的数据流向可以分为2类:纵向流量和横向流量。
3 虚拟化环境下纵向流量分析
目前多数数据中心的虚拟化建设都处于单中心虚拟环境阶段,通过引入虚拟化技术建立虚拟计算池,逐步将应用系统迁移至虚拟化平台上,这个阶段初期典型特征就是实体服务器及虚拟服务器共存,先将非重要业务迁移到虚拟平台上,重要业务系统仍部署于实体服务器上,如下图所示:
图1
初期阶段虚拟化平台搭建主要是客户端去访问虚拟环境下的虚拟机。这个阶段虚拟化环境下网络的流量以纵向为主,纵向流量主要是外部客户端到虚拟机的访问请求,以及在同一台宿主机上的不同虚拟机通过物理接入交换机和客户端进行的数据交互。业务服务器通过物理交换机到达安全设备进行过滤,针对虚拟服务器的访问大多需要通过接入层交换机及安全设备,这种模式下的安全防护仍以传统的安全防护方式为主,与传统的数据中心的安全防护相比没有本质区别,可以在业务服务器区域边界部署边界网关类安全产品,同时在数据交互的物理交换机部署网络审计系统或入侵检测系统,对虚拟化环境下的虚拟机做安全防护和审计及病毒检测。
4 虚拟化环境下横向流量分析
完成基础虚拟化平台搭建后,企业大部分业务都迁移到虚拟平台上,由于业务种类的不同,需要在虚拟平台内划分安全域,如下图所示:
图2
虚拟平台承载业务的增加以及安全域划分后,同一层次上不同安全域和同一安全域的虚拟机之间的互访增多,这时网络的流量以横向为主。横向流量安全问题是指在虚拟环境下,虚拟机之间互访流量不可视、不可控所产生的特定问题。在同一台宿主机上的不同虚拟机之间交互,所产生的网络流量,不通过物理接入交换机,导致传统网络安全设备无法对同宿主机上的不同虚拟机之间交互流量进行监控,同时无法对虚拟机与虚拟机之间做安全隔离。一旦同宿主机上的一台虚拟机被黑客入侵取得控制权限,就可以对同宿主机上的其他虚拟机发起攻击,由于同宿主机上的不同虚拟机没有任何安全防护措施,且无法对流量进行监控,黑客很容易在用户不知情情况下获得整个服务器群的控制权。从安全防护角度看需要能够识别横向流量,判断是否符合相关安全策略,且应该能够判断出数据流是否具有攻击特征。
5 虚拟化环境安全防护
虚拟环境下将各种应用均迁移到虚拟计算环境中,出于各种安全需求虚拟计算环境中仍需按照原有架构进行安全域的划分,按照相关安全标准域内及域间的网络流量需要做到可控、可视及可记录,从技术思路与网络防护上主要有以下两种方式:
一种方式是将物理安全网关移植到虚拟平台上,以虚拟安全网关形式接入虚拟计算平台的vSwitch上,接着通过在虚拟平台引入安全接入引擎将所有虚拟系统数据导入虚拟安全网关上进行控制及过滤后再发往相应的目的虚拟系统,主要是配合IEEE 802.1Qbg和802.1BR等标准协议,首先将数据转发到外部网络接口上去,如果服务器内部同一vlan内的VM间通信,数据也需要先转发出去,再从网络转发回服务器内寻找对应的目的VM,从而达到虚拟系统间数据交互的可视、可控及可审计的目的。此方案对数据中心网络的改动较小,能够很好的满足数据中心改造的需求,但其虚拟安全网关也存在需要占用物理服务器计算资源的问题,所以对物理服务器的性能有很高的要求。
另外一种方式是将虚拟系统的数据交换仍然交由物理网络设备执行,安全控制及过滤则由物理安全设备负责,所以这种方式就需要在数据中心中加入一台物理交换机,这台交换机需要给每个虚拟系统流量打个全局唯一的标签,虚拟平台外部物理设备应能够识别这种标签,并能够以虚拟系统为单位执行安全过滤及交互。虚拟机之间的流量都牵引到物理接入交换机上,但由于物理服务器内部交互流量两次通过物理网卡与物理接入交换机之间的链路,部署时需要保证拥有足够的网络带宽余量,所以要求加入数据中心的这台物理交换机要有足够的转发性能,这种方案要求网络基础设备及安全设备需要支持和识别这类标签,因这种方案需要对物理设备进行升级改造,故而这种方案并不适用于已在用数据中心的改造。
6 展望
未来云平台虚拟化的技术将向多中心虚拟环境和数据中心云平台为用户提供按需服务(IaaS、PaaS、SaaS)发展,在云平台发展的三个阶段虚拟平台内部的数据交互有着不同的需要,对安全系统的建设也有不同的要求,本文通过对云平台上现阶段虚拟环境下存在横向流量和纵向流量进行了分析,提出了安全防护需求和安全防护建设的建议,确保传统IT基础架构向虚拟化、云计算架构的平滑迁移。
参考文献:
[1]云计算关键领域安全指南[Z].Cloud Security Alliance,2009.
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)28-6874-02
The Introduction about Safeguarding Internet Experiment In Open and Distance
YU Hai-wen
(College ofInformation Engineering Nanchang University ,Nanchang 330000,China)
Abstract:Under the environment about new Experiment management In Open and Distance,we introduce the potential safety hazard of the LAB,and we also investigate 2 kinds of project about the safeguarding of internet.
Key words:the Lab in open and distance; the firwall basede on internet; thefiiewall
网络安全,一直是威胁着网上信息安全的重要话题。
所存在的安全隐患可能有:
非超级用户在未获得相应权限情况下非法登陆服务器或其他设备,恣意篡改合法用户的账号密码;恣意篡改网络设备(路由器、交换机)的参数,导致无法正常实验;篡改正常的学生预约实验安排;等等。这些问题的出现,都隐射一个问题:在给予学生人性化的实验环境的同时,如何提高远程开放式网络实验环境下的安全防护能力?
本文拟从2种不同的安全防护方案入手,探讨下这种远程实验环境的安全防护措施。
1 软防火墙――网络级防火墙方案
1.1 网络级防火墙方案原理
目前的网络级防火墙大都基于IP路由器实现,其基础是路由器的访问控制列表(ACL)。ACL提供了一种机制,可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定机构内部网络的安全策略,这些策略可以描述安全功能,并且反映流量的优先级别。
简而言之,就是通过将两个IP子网划分到不同的VLAN中,利用三层交换技术实现两个子网的相互通信,然后通过访问控制列表(ACL)实现IP地址过滤、限制ICMP、远程登录交换机、禁止TCP协议等功能,达到网络防火墙的防护目的。在本实验室中,我们实际是过协议过滤来限制远程登录的,比如Telnet。
1.2 访问控制列表
路由器一般都支持两种类型的访问表:标准访问表和扩展访问表。在一个接口上配置访问表需要三个步骤:
1) 定义访问表;
2) 指定访问表所应用的接口;
3) 定义访问表作用于接口上的方向。
任务:
1) 创建和配置VLAN与IP子网;
2) 创建和配置ACL;
这里,访问控制列表包括2种:
1) 标准访问表:
标准访问表控制(表序号从1到99)基于网络地址的信息流,只实现IP地址过滤。
标准IP访问表的基本格式:
access-list[list number][permit/deny][host/any][source address][wildcard-mask][log]
2) 扩展访问表
扩展访问表(表号标识从l00到199)通过网络地址和传输中的数据类型进行信息流控制,允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。
扩展IP访问表的基本格式:
access-list[list-number][ permit/deny][protocol][any/source[source-mask]][any/destination[destination-mask]][port-number]
2 硬防火墙PIX501方案
2.1 网络拓扑
图1为网络实验室组成。
2.2 防火墙PIX501配置
配置Cisco PIX防火墙有如下几个基本命令:nameif,interface,ip address,global,natl,route,static,conduit,ACL,fixup,telnet,show,DHCP。这些命令在配置PIX是必须的。
配置的基本步骤:
1) 配置防火墙接口的名字,并指定安全级别:nameif
2) 配置以太口参数:interface。配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
3) 配置内外网卡的IP地址:ip address
4) 指定外部地址范围:global
5) 指定要进行转换的内部地址:nat
6) 设置指向内网和外网的静态路由:route
7) 配置静态IP地址翻译port redirection with statics:static
8) 管道命令:conduit
由于使用static命令可以在一个本地ip地址和一个全局ip地址之间创建一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
9) 访问控制列表:ACL
10) 配置协议 : fixup
fixup命令的作用是启用或禁止一个服务或协议,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
11) 配置远程访问):telnet
用户必须配置pix来建立一条到另外一台pix、路由器或VPN客户端的ipsec隧道;另外在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2。
12) 显示查看配置情况:show
13) 启用动态主机配置服务:DHCP
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(dhcp server),cisco firewall pix都具有这种功能。
3 结束语
从上面2种方案的讨论,显然,后者有着更好的防护能力,实际实现的是软、硬件的双重防护效果。
[中图分类号]X913
[文献标识码]A
[文章编号]1672—5158(2013)05—0467—01
引言
云计算在信息领域是一种新的技术革新,它通过计算机和网络为基础平台,使不同区域地域的用户可以获得同样的计算资源。成本低,规模大,计算能力较强,是未来互联网发展的方向。现如今,互联网发展急速,计算机存储数据的数量越来越多,花费的成本变高。互联网需要一个新的平台来解决原有的网络和服务用户的各种问题。同时,对于一些数据资源在新平台上进行分析,随后提出了云计算的概念。
云计算是一种新型的模型计算,它的发展依托于原有的三种运算,分布式运算,并行运算和网格运算。这种模型计算处于一种分布式的环境状态,而且规模巨大。主要目的是给予加大的数据存储,是一种共享模式,具有强大的发展势头。
现有的数据处理和一些应用服务基本是在当地计算机中进行,核心是桌面。云计算和现有的方式不同,它是把这些数据和服务放在“云”端。这样我们所有用户都可以进行内容的共享下载,相互交流,这样的方式改变了以往的获取信息的情况。但是这种云计算,首要考虑的是它的安全问题。用户会担心这些数据的安全性,对提供数据者担心如何保证所提供的云中数据不被破坏。因此对安全问题的研究就越发重要。
1云计算概述
云计算到现在为止,没有一个清晰的概念,只是有一个大致的认识。网络只是云计算的一个界面,就像一个通用的交流渠道一样,提供给不同的用户容量较大的各种服务。“云”就是网络,这个网络是资源存在的平台,用户通过互联网进行获取资源。因此“云”连接着很多台计算机。对于每一个使用“云”者只是看到了统一的接口。云计算模式是通过以下三种:云客户,云构架和传统的基础设施构建的。
云计算的基本体系构架主要可以分为三个层次,最基础的是管理层,其次中间部分是应用接口,最上面的层次是访问层次。管理层包括一些集群系统、网格并行运算等,是分布式的文件系统。对于应用接口层主要有用户验证、权限管理、应用软件和网络接入等。访问层是实现云计算的应用,比如视频监控,存储数据远程共享,网络在线存储等。
云计算有许多优点,比如可靠性高,扩展性强,计算或存储快,成本也较低,如今发展迅速。但它也有它的缺点,那就是安全性还被人们怀疑,对于像政府、银行等特殊的场合选择“云”服务要保持警惕,一些大型的商业机构之所以不选择云计算就是考虑到它的安全性,希望信息保密不被泄露。
2.安全问题
尽管云有较大的优势,应用越来越广,使用范围较大,但是人们从一开始就担心它的安全问题。当这些巨大存量的数据和计算聚集在“云”中,用户会感觉难以控制,担心云可能破坏我们的隐私,对我们的权益产生伤害。一些IT人认为云计算可能会把一些敏感数据泄露,而且大型的企业采用云计算可能或损害公司的商业机密,风险较大。当前用户较为熟悉的云服务模型有IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service)三种。这几中模型都是用户把计算和数据存储赋予云端,但是云提供商在我们享受这个服务的过程中不能给予足够的安全防护,不能渴求他们为用户解决所有遇到的问题。
云计算主要存在以下几种安全问题:
在技术方面,如果采用云,我们的硬盘不存储东西,仅仅借助于云中--数据共享,那一旦由于某种原因技术故障导致服务中断,用户将不能继续任务和工作,只能静等。
在服务方面,用户没有很多的知情权,具体的细节和运转方式都是模糊的,也许只有提供商知道云的采用技术。
虽然提供商采用加密技术保护用户的各种数据,只是对数据的传输进行加密,对数据的存储保护难以解决。即使采用特定的隔离技术也难以让用户完全信任。
3.云计算中安全问题的应对措施
1)加密已经保存的文件和发送的电子邮件。即使数据传输到别人的数据中心,没有密码仍然不会打开,,这对保存的文件有一点的保护作用;电子邮件容易被其他人访问,最好使用一些程序自动对收到的发送的邮件进行加密保护。
2)使用有良好信誉的服务。现在信誉是一个身份的象征,信誉好,名气大的服务才能赢得更多的用户。所以这样的数据泄密发生几率较小,也不会与其它营销商共享资源。
3)考虑商业模式。在选择存储环境时,—般应该先考虑付费存储模式。这样的商业模式,通过收取费用的网络应用服务比广告资助的服务更加安全。
4)一定要阅读隐私声明。把数据存储云的时候,一定要阅读隐私声明。为了保证我们不被这些隐含的漏洞所蒙蔽,认真阅读声明,这样分类保存不同的共享数据,有些数据不适合保存在云环境,有些应该保存在我们的个人电脑中。
5)使用过滤器和安全传输。使用过滤器可以自动阻止敏感数据。
结束语
随着网络的发展,云计算越来越受到重视和普及,这就要求它的安全性越来越高。在使用这个云计算的过程中,如何让用户存储数据在云中并保证安全是对提供商的要求,对我们用户,我们怎样才能相信提供商的安全保证也是要解决的。进一步的研究工作在以下几个方面展开:三防系统的有效运用,移动网络终端安全保证,数据的保密和检索,对一些虚拟软件的漏洞进行监测保护以及虚拟化的安全问题等。只有对信息的安全防护做到较高要求,满足用户,云计算才能在现在的互联网时挥更强劲的功能。
参考文献
[1]Edwards John.Cutting through the Fog of Cloud Security[J],Computer world;2009;45(8):26 29.
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)22-0015-02
Abstract: Nowaday, the internet is growing fast and wifi has change our life. When it comes to information security. The question is how to take measures to protect our security of privacy and property effectively. This article try to answer this question. It contain wireless penetration,wpa2-psk.And how to use kali-linux and offer some safety tips.
Key words: wifi; information security; wireless penetration; kali-linux
1 互联网现状
1.1 背景
在国家的大力支持创新型技术的背景下,互联网逐渐出现在我们的视野下。人们最早的接触信息的方式还是通过报纸,电视,看着一帧一帧的画面在电视里闪动已经是不可思议了,然而网络的出现将这种浪潮瞬间激起。
许多新奇的东西喷涌而现,诸如QQ,网游,百度等等产品充斥着青少年的生活。究其缘由无非就是它带给我们不一样的感受,源于对技术的痴迷,使得网络发展更加迅速。现如今Virtual Reality已经成为了现实,设想还有什么不可能的,只是时间问题。
1.2 信息安全
随之来临的就是互联网安全问题。就拿网页传输密码来说,在post方式下,密码是明文的,这无疑暴露了很大的风险。当然这只是以前的情况,现在都会以加密的形式传输,在服务器端进行解密。厂商们可以使用的加密手段有很多种,其中不乏一些安全性高的技术手段。但是相对于用户而言是透明的,即用户无需关心其实现,注重的是体验。
2 Wifi安全
2.1 简述
WIFI现在已经被许多人熟知,其中很重要的一个因素就是其能减轻人们的流量负担。所以一些FreeWifi受到了大部分人的青睐,这是否意味着一些加密的wifi就可以放心地使用呢?答案是否定的,毕竟没有最锋利的矛,也没有最锋利的盾。在人们的安全意识提高以及厂商的重视后,基本上是不用考虑它的安全性的。但是如果被别有用心的人盯上了,也只是相当于穿了一件透明的衣服,在外面看来已暴露无遗。
现如今Wifi普遍的加密方式都是wp2-psk,可以说是安全级别较高的一种方式了。但是接下来笔者将展示如何在不知不觉中将你的信息取走。
3 无线渗透
3.1 基本环境
注:本节只是向读者展示如何渗透及获取用户的信息,不代表笔者推崇此种方式。
我们所需要准备的:虚拟机(Vbox),kali-linux 4.6.0,usb网卡。经如下所示命令即可得到想要的安全信息。由于kali本身集成了许多开发者用于渗透测试和研究的工具,免去了不必要的麻烦,也便于笔者进行展示。
① 输入airmon-ng 查看我们当前的网卡,此时是笔者当前的usb无线网卡的具体信息。
② 继续输入cd fluxion-master
./fluxion 此是为了进入到此次所使用的一个工具,该工具具有强大的功能,也由于其是开源的项目而被笔者所熟悉,它集成了常用的渗透工具,如airmon, Pyrit等。均能在linux环境下能发挥最大化的作用。如图1。接下来就开始检索之前插入在虚拟机上的网卡了,此步骤需要耗费一些时间去扫描当前设备上的终端无线网络设备,需要等待一会。
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)11-0032-02
DHCP为动态主机分配协议,在UDP协议下进行使用,为局域网提供网络协议,主要用途是将IP地址自动分配给LAN内的主机,是实验室内部主机管理中管理员采取的主要管理措施,尤其在局域网环境下得到了广泛的应用。对试验室复杂网络进行管理时,采用DHCP服务进行管理非常重要,获取IP地址时,利用广播数据包,在一个广播域内实现DHCP服务。但是实际网络环境中,为了对广播包进行隔离,防止出现网络风暴,因此Vlan被广泛应用,这种情况下,DHCP服务的功能显示出来。而在真实实验室网络环境中,通常所用的DHCP服务都是跨网段进行的,因此针对某一网段的DHCP服务已经非常少。对于实验室管理人员来说,对DHCP服务配置与安全防护进行掌握,有利于实现对复杂网络环境的管理。本文主要通过H3C S3600三层交换机为例,分析HDCP服务器跨网构建的方法及相关防护措施进行研究。
1 DHCP服务工作原理
DHCP的工作方式为C/S,在获取IP地址时,DHCP客户端计算机通常采用三种方法:首次登陆网络、再次登陆网络及延长IP地址租用有效期。DHCP服务采用UDP协议,在获取TCP/IP协议时,DHCP客户端计算机通过四线回话获取:
1)发现阶段。通过计算法将DHCP报文广播向网络发送,同时在网络中对DHCP服务器进行搜索。
2)提供阶段。DHCP收到报文以后,选取一个未分配的IP地址分配给计算机,并将出租IP地址及其他配置报文发送到客户端计算机。
3)选择阶段。客户端对DHCP网络服务器进行IP地质选择,如果网络中存在多个DHCP服务器,同时发送给DHCP客户端多个IP地址,由于客户端计算机智能接收一个报文,并且只能接收第一个报文,然后通过广播将接收报文的信息发送到服务器,所发送信息包含选择的IP地址。
4)确认阶段。客户端返回的报文被服务器收到后,向客户端发送IP地址及其他配置的确认报文,客户端收到报文后将TCI/IP协议和网卡绑定在一起。
对于客户端计算机状态而言,根据不同的功能分为六种状态,即初始化、选择、请求、绑定、更新及重新绑定六种状态。可以对客户端IP地址实现续租,如果初始租期达到一半的时候,客户端会给DHCP服务器发出请求续租的广播,HDCP服务器如果没有对广播进行回应,客户端系统会将请求广播重复进行发送,直到第三次发送仍未给予回应为止。租期达到87.5%的时候,需要重新绑定客户端计算机,此时客户机向网络中所有DHCP服务器发送REUQEST消息,请求续租IP地址,HDCP服务器要是还没有回应,则IP地址停用,根据四线回话规则,对IP地址重新申请获取。
2 构建实验室三层网络环境下DHCP服务
2.1 实验设备
实验所需要设备如表1所示:
2.2 实验网络拓扑,图1
2.3 实验要求
对于一个实验室来说,其内部网络往往不是单一,而是同时存在多个计算机网络,本文所介绍实验室中,包含有四个网络:四个网络之间的通信通过三层交换机完成,通过Windows 2008 Server对DHCP服务及安全防护进行相关设置,达到不同网络环境下,计算机在开机以后,可以获得HDCP服务器分配的不同网络下的IP地址,各Vlan计算机之间也能相互连通。
2.4 实验步骤
2.4.1 三层交换机配置
1)准备工作。先登录交换机。首先,建立配置环境,利用交换机配置的电缆将终端串口和以太网交换机接口连接起来,如图2。其次,在计算机上运行终端防震程序,设置和交换机连接的串口终端通信参数,这些参数中,包括8位数据位和1位停止位,传输速率为9600bit/s,无流控、无校验。第三,将三层交换机通电启动,终端显示屏内显示出自检信息,自检信息结束语后,按回车键进入系统,显示命令提示符,可输入命令。第四,键入命令,查看交换机运行状态及相关参数的配置情况。在操作过程中,如果遇到疑问和不会的操作时,可以输入问号查询,输入具体命令时,可以参考配置手册完成输入。
2)创建DHCP及设置相关参数。首先,对Vlan在三层交换机上进行设置。其次,设置完成以后,将三层交换机中的DHCP功能开启。第三,对Vlan指定相关DHCP服务器。第四,默认端口正确配置。第五,将静态路由在H3C U200-C路由器上正确进行配置。
2.4.2 配置动态IP地址作用域
服务器为微软最新视窗操作系统,与以前版本对比该服务器的其稳定性更可靠。通过操作系统的加强可以实现Windows 2008 Server的保护网络环境的安全,对IT系统在加快部署与维护的时候,利用现有应用程度或虚拟化的服务器会使操作变得更加简单,能够将管理工具直接给出,由此可见,Windows 2008 Server能够提供能加方便、快捷、灵活的操作方法,方便IT人员操作,也使实验室计算机服务器建设与网络基础的构建效率更高。对动态IP地址作用域进行配置的时候,遵循以下步骤:首先,在服务器系统中打开服务器管理界面,查找DHCP服务器内的四个网络,建立四个Vlan的IP地址段的动态地址作用域。其次,为了方便记忆和分类,新建作用域用各自Vlan名称命名。第三,根据实际情况设定动态IP地址的范围,同时也可以对排除地址范围进行设置。第四,默认IP地址租期为8天。第五,针对不同的Vlan设置不同的IP地址。第六,在同一台服务器上安装DHCP服务于DNS服务,因此DNC IP地址设置为与Vlan接口IP地址相同的父域名。最后,将作用域激活, DHCP服务功能即可启动。
2.5 实验结果
在不同Vlan计算机上运行IP地址获取命令,看能否得到IP地址,并运行ping命令,查看四个Vlan计算机是否已经连通,如果可以连通,则表明实验成果。启动DHCP服务,能够看到四个Vlan动态IP地址分配作用域均开启,而连接在Vlan中的多台客户端计算机均获取到对应的IP地址。
3 实验室网络DHCP安全防护策略
3.1 重复分配IP地址造成冲突故障
实验室局域网中经常出现的一类故障就是IP地址冲突问题,造成客户端没有办法获取IP地址。很多时候,此类故障被认为是ARP病毒引起,但实质上DHCP问题也会造成这类故障出现。为了对IP地址冲突的问题进行预防,服务器在分配IP地址以前,对IP地址要先进行探测,通过ping功能实现,通过检测可以将指定时间段内可能出现冲突的IP地址检测出来。DHCP服务器通过发送目的地址为需要分配的IP地址回显请求报文,如果客户端收到报文,则需要重新选择新的IP地址进行再次检测,直到指定时间内无法收到回显报文,则可确认该IP地址时唯一的。
3.2 DOS攻击造成IP地址资源耗尽
此类问题可以理解为人为破坏,如果有人恶意通过病毒软件对计算机的MAC地址不断进行修改,并想DHCP服务器发送请求IP地址报文,那么服务器中的IP地址很快就会耗尽,造成其他用户无法获取IP地址,无法进行网络通信,这就是DOS攻击。为防止DOS攻击,可通过DHCP SNOOPING绑定表来解决,客户端发送报文时,绑定表对其中的各项内容会进行检查,报文内容与绑定表数据库内容匹配,则可通过,反之则丢弃,这样能够防止人为修改客户端MAC地址和IP地址,保证IP地址资源不被人为破坏。
4 结束语
在实验室局域网中通过DHCP服务对IP地址进行分配,实现复杂网络环境下的DHCP配置及安全问题。本文主要针对DHCP服务在复杂网络环境下的构建进行分析,并对DHCP服务应用中存在的安全问题进行分析,提出相关解决措施,保证了实验室网络管理的有效性。
中图分类号:TD365.1文献标识码:A 文章编号:
井下高压电网越级跳闸一般会造成大面积的停电事故,不仅会影响正常的井下工作,而且因为井下风井和水泵等都是要通过电力来起作用,因此越级跳闸导致风井、水泵无法正常工作从而引发井下瓦斯气体急剧升高,井下排水不力现象,而这也成为造成人员死伤和瓦斯爆炸、井下水渗漏甚至塌方的主要原因。
1、造成井下高压电网越级跳闸的原因
1.1线路保护措施不当
煤矿井下作业受到条件的限制,很难做到输电线路的安全防护特别到位,尤其是在煤矿开采作业区域, 地下环境脏乱差的状况根本无法获得有效处理最常见的情况是输电管线要在煤矿矿洞潮湿、杂乱的环境下通过,而且由于施工作业的需要,难免要来回拖动输电线路。为了保证井下工作用电需要,输电线路的电压强度也普遍达到6 K V甚至更高。如此高压输电线路在来回拖动甚至人员、器械踩踏压折过程中难免会发生电缆绝缘层破裂等情况,就很容易造成线 路短路。高压输电线路短路造成越级跳闸是必然情况。
1.2电源开关设置不合理
井下操作的用电器械众多,而且并不固定,照明用电和工程施工用电、设备用电等,分区域而且要随时跟随工程进展进行调动调整,因此要用到非常多的电源开关端口节点进行拆装。而且现在煤矿井下作业用的电源开关虽然具有高压防爆功能,但是很多情况下出于工作的需要会随时调整和选用,很难做到完 全符合相关的安全指标,这就造成一些专用开关设备不合格,造成事故隐患。比如常规的开关设备应该有继电保护动作时间和高压防爆开关的固有动作时间 两部分构成。而有些时候随机采用的开关设备,根本达不到这样的标准化要求, 在实际应用中更谈不上防爆或继电保护的作用, 这当然根本无法应对高压输电 线路的安全保护需要。造成越级跳闸也就十分简单了。
此外,井下作业的潮湿、脏乱差的环境也会对开关的灵活性造成不小的影响。最常见的是开关生涩、反应动作迟缓、井下和井上开关动作不协调,造成井下防爆开关过缓,井上防爆开关提前发生作用,就会引起跳闸。
1.3 电流短路速断保护失效
速断保护是根据供电线路短路的首尾变化值来进行动作的。一般来讲,井下长距离输电线路的两端短路电流值有较大的差距,这样继电保护的范围就更大一些。在发生短路的时候也能够尽快提供上下级速断保护措施,这也是井下电路保护的理论安全措施。不过在实际的井下线路铺设和操作过程中,很多时候是采用短距离多分段式线路来构成输电网络,这样的话, 因为线路两端的短 路电流值差距很小,而继电保护在设置的时候又会考虑安全的调整系数, 这就 更加窄化了速断保护的可靠范围。换句话说,当发生短路隋况的时候,线路两端的速断保护因为接收到的电流值差异太小,就容易造成两端速断保护反应时间极短,甚至造成上级速断保护比下级速断保护更先发挥作用的情况,也就是越级跳闸。
除了短距离多段输电网络设计之外,如果采用长距离输电的线路横截面过大,也会造成短路电流过大,同时满足上下级速断保护的标准,这样也会造成越级跳闸。
1.4速断保护措施不力
上下级速断保护是根据时间差来设定的,一般是0.5 s 的时间差。而在煤矿井下输电线路保护过程中,为了确保故障快速排除,有些企业会直接将上下级时限差设置为0。这样的话, 速断防护能力就会大幅降低,也会加大越级跳闸的几率。
2、防治井下高压电网越级跳闸的措麓
2.1强化线路保护措施
针对因为外力磨损压折等情况造成的线路绝缘层破裂或算坏等隋况,可以进行一些保护措施。比如在电缆外涂抹绝缘或防护层,降低外力摩擦等情况引起的绝缘层损耗。再就是如果有外置保护措施,比如高压输电线路区域绝缘保护垫的覆盖铺设,可以在一定程度上降低人员踩踏等对输电线路的直接摩擦损耗。
2.2很多煤矿都习惯于在局部区域实行短距离线路多段式电网结构设定这种设计方式给各级速断保护带来不少的麻烦。建议考虑对这种电网设置模式进行更新。尤其是在一些井下安全防护区域或重要的用电设备,尽量更换电网结构,避免越级跳闸造成大面积停电导致井下安全防护措施无法正常开启。比如井下风井和水泵的供电设备,如果能够独立供电,或者采用更安全的供电网络进行设置,也会有效的防止越级跳闸造成大面积大范围的安全事故。
2.3重点用电区域独立供电或双回路设置
考虑到井下用电的安全防护作用,可以考虑在特定用电区域进行独立供电或双回路供电设计。独立供电的话,自然就不会受到短路隋况的影响,至少可以规避局部区域的越级跳闸危害。此外可以设置双回路供电,这样的话,当其中一路供电暂停工作,可以有另一路电路担负负荷,也能够避免越级跳闸造成的危害。
2.4选择智能保护装置很重要
考虑到煤矿井下高压输电线路的情况复杂,靠人力来进行管理实在不算很好的风险预防措施。建议引进高端智能保护设备,可以进行多样化调控和功能选择,可以根据井下供电实际需要做出灵活调整,且各种情况可以获得精确的监控和安全防护,其应急响应措施也要比人员操作更精准有序和快速,比起人力防护措施更加有效。一般的高端智能保护设备可以实现短路、超负荷、接地、欠电压释放等多种情况的自主保护,对井下各种电气运行参数进行实时监护,而且具有远程操控和监护功能,对于电力调度机构开展相关保护措施也有很好的辅助作用。
国内有些煤矿采用有采用ZBT-1l型保护器进行煤矿井下供电系统保护的。这种保护器可以对井下各种供电防爆开关和电路进行监护,还能够和电力监测站进行远程信息共享与即时操作协同,在应对各种供电网络故障和越级跳闸现象的时候表现出色,其安全系数要比现有的各种数码电脑保护装置、模拟保护装置好得多。而且可以和BGP系列和PBG系列高压开关柜配合使用,功能强大,是比较受到认可的智能保护设备。
3、总结
煤矿井下高压电网越级跳闸的原因有很多,有线路保护不到位,有电气设备不合理设置和使用等多种原因- 而要防止越级跳闸,一方面需要严格相关的电气保护和使用规范,按照《煤矿安全规程》等做好相关的防护措施;另~方面需要加大智能化保护设备的应用,比如一些专门为矿井和大型企业工程配备的电网保护设备,在保证电网安全和规避越级跳闸的风险等方面更具智能化和可操作性,也是保护煤矿井下工作正常进行的有力措施
0 引言
煤矿井下煤仓处于井下运煤系统的中间环节,它的上口一般安装一部或多部胶带输送机,下口安装给煤机。在煤仓进煤、储煤和放煤的过程中,往往会有流水、大石头和长物料伴随煤炭进入,流水积存多了会造成水煤溃泄,大石头和长物料会造成煤仓堵塞。另外,煤仓上口也是人员作业或途经的场所,稍有不慎,会导致人员误入造成伤亡事故。针对煤仓上口存在的一系列问题,研制安装煤仓上口安全防护装置具有重大意义。
1 方案设计及确定
1.1 技术方案
提出了多种技术方案,最终选择了以下三个方案进行比较。
方案一:煤仓上口用工字钢、钢篦子和厚木板封堵。四周加围栏,在胶带输送机放煤口加装钢制活动门,通过手动机构和牵引钢丝绳来控制活动门的开闭。
方案二:按方案一办法封堵煤仓,在胶带输送机放煤口安设专用装置。该装置由四根可调高立柱、上平台、活动调节前梁和螺纹丝杠调节机构等部件组成。通过调节螺纹丝杠可使活动前梁前后移动,从而改变胶带输送机放煤口的大小直至全部封闭。
方案三:在煤仓上口机架上安设活动小车,通过操纵机构控制活动小车前后移动,从而改变放煤口的大小,或使放煤口处于全封闭状态。
1.2 方案比较
方案一缺点:无法控制大石头和长物料进入煤仓。方案二缺点:丝杠调节速度慢,且容易损伤变形,整体结构笨重,活动前梁运行阻力大。方案三克服了上述两个方案存在的缺点,具有功能齐全,操作方便,机构灵活的特点,通过研究决定采用第三方案。
2 装置的组成及结构
2.1 装置的组成
煤仓上口安全防护装置主要由防水圈、护栏及机架、活动小车、控制机构和中间隔离板等部件组成(见附图)。
2.2 防水圈
防水圈用料石砌成,内径较仓口略大500mm左右,厚约300mm,高约500mm,外表面抹混凝土以防水渗入。对处于巷道下坡处、顶板有渗水和附近安有水管的煤仓,防水圈一侧还应设置排水沟,以防积水过多流入煤仓。
■
煤仓口防护装置示意图
1-活动小车 2-护栏及机架 3-下层固定隔板 4-堵物处理门 5-胶带输送机6-控制机构 7-基础框架 8-煤仓 9-防水圈
2.3 护栏及机架护栏
护栏高约800~1000毫米,长约1900~3000毫米,护栏敷设于框架上,用角钢和钢筋网制成,敷设于机架四周,机架由工字钢和槽钢制作,与煤仓上口封堵钢梁连接在一起,机架上方两侧架设钢轨,作为活动小车的运行轨道。
2.4 活动小车
活动小车为钢制结构件,下设四个滚轮,骑于设在机架上的轨道上,轨道(跑道)由15~20公斤/米钢轨制成,活动小车后端与控制机构相连,前端正对胶带输送机放煤口。活动小车的尺寸与护栏框架大小、胶带输送机的安装位置和同一煤仓四周布置的胶带输送机数量有关,如只有一部SDJ-150型胶带输送机时,活动小车的尺寸一般长约850mm,宽约1700mm。
2.5 控制机构
控制机构主要包括气缸(电液推杆)、控制阀(按钮)和附件等,气缸一端和活动小车相连,另一端和机架连接,控制阀安装在胶带输送机司机的控制台上。
3 工作原理
在胶带输送机机运转之前,通过控制机构将活动小车调整到适当位置,一般离开煤流水平距离100~200毫米,如欲接住混入煤流中的大石头和长物件,应使活动小车前端尽量靠近煤流,并将活动小车可靠制动,这样,就可以利用大物件所具有的较大惯性和较大尺寸将其接住。当胶带输送机停机、检修和空载运行时,将活动小车推至卸载滚筒下端,活动小车与下层固定隔板一起,将煤仓口全部封闭,装置前端下部胶带输送机电机侧设有堵物处理门,当煤仓口发生堵塞时,可打开此门进行疏通。
4 布置形式
当在煤仓上口只安装一部胶带输送机时,安全防护装置的布置形式如附图所示,这种布置形式最简单。如果在同一煤仓上口同时安装两部胶带输送机且相向布置时,活动小车应设置两个,这时活动小车的安装位置为:一个如附图中的安装位置,另一个则设置在距它约200~250毫米的下方,大体相当于附图中下层固定隔板的位置。两小车的推移装置分别安装在护栏框架的两侧面。当两胶带输送机在同一煤仓口呈90度或其它角度错角布置时,安全防护装置的布置形式也和相向布置的情况基本相同,只是将活动小车在上下空间位置上沿不同角度错开。
5 应用效果
5.1 达到了设计目标
镇城底矿第一套煤仓上口安全防护装置于2008年11月下井安装试运行。试用3个月后,又在全矿井下所有煤仓推广使用。一年多的使用情况表明,该装置达到了设计目标和要求。
①能够防止巷道流水进入煤仓。
②能够减少煤流中的大石头和长物料进入煤仓。
③保证了煤仓上口作业人员和过往人员的安全。
④动作灵活,维护简单,操作方便。
5.2 安全效益分析
局团委:
接《有色地质勘查局团委关于开展青工安全防护技能比赛的通知》(西色地团[]5号)后,为进一步推动安全生产工作,增强职工安全意识,提高职工安全技能,按照通知要求,我队在全队范围内开展了“安全防护技能比赛”,现将活动情况总结如下:
一、安全知识学习培训及测试
6月份,在全队范围组织开展“学安全、懂安全、会安全”安全知识自学活动,通过悬挂横幅、张贴宣传画、办黑板报、安全知识竞赛、安全猜谜等活动,大力宣传法律法规和安全知识,对矿山主要负责人、安全管理人员和班组长下发学习材料267本,对各单位学习人员进行了辅导学习,并对学习人员进行了考核测试。
二里河矿开展复工前外聘施工人员安全教育,分批次对外聘施工队返矿人员进行安全教育,累计培训344人次;组织清洁生产培训/!/、安全生产知识培训、尾矿库安全生产管理知识培训及法律法规知识培训,共计培训665人次;聘请宝鸡市疾控中心专家对职工进行危险化学品、“三品”和职业卫生健康知识培训,培训216人次,发放学习教材168本。
陕西震奥鼎盛矿业有限公司开展落实企业安全生产责任知识培训,共计培训364人次。
陕西华源矿业有限责任公司对各单位负责人、部门负责人和管理人员进行培训,共计34人次;对职工和施工队从业人员进行培训,共计420人次;对特种作业人员外送接受市、县组织的安全技能教育培训,共计137人次。
马泉金矿开展复工培训、岗中培训、视频培训,共计培训400人次;组织安全管理人员和特种作业人员参加陇南市安监局组织的培训班,共计34人次。
二、开展应急救援演练