操作系统的安全(精选12篇)
操作系统的安全 第1篇
1.数据库系统安全性的意义
所谓的数据库系统就是一种系统软件, 其运作也需要进行安全保护方案的应用。这与数据库本身的重要性密切相关。在日常工作环节中, 数据库是进行数据存储的地方, 介于它的重要性, 做好保密工作模块是非常有意义等的。在数据库应用过程中, 由于用户使用权限的不同, 其所得到的信息也不同, 这与其用户的访问权限是密切相关的。因此为了提升系统安全性, 在数据库设计过程中, 要按照用户的权限展开访问权限的分类限制, 进行用户修改数据库数据的安全性保证, 从而避免未授权用户在未经许可情况下进行数据的应用, 进而避免影响其他用户的工作。
受到数据库性质的影响, 一旦数据库的数据发生改变, 其原先的数据也不会存在, 这又涉及到数据库的恢复技术, 从而有效针对应用系统的故障情况, 展开数据库的积极恢复。在工作场景中, 数据库是需要进行联机工作的, 能提供多个用户进行信息数据存取的操作, 为了保证该环节的正常开展, 就需要进行数据库破坏预防措施的应用, 确保数据库整体应用环节的优化, 提升其应用软件的安全性, 确保其数据的整体安全性。
2.数据库安全存在的威胁
在当下工作模块中, 数据库系统的安全运行必须依赖于操作系统, 依赖于良好的计算机硬件, 为了提升其安全性, 进行操作系统安全体系及其计算机硬件体系的优化是非常必要的, 这样可以避免不法分子的蓄意攻击而导致的威胁。比如硬件故障的威胁, 在计算机运作过程, 如果硬件出现损坏, 信息就会被破坏或者丢失, 特别是信息存储设备, 特别容易出现问题。有些软件保护系统的缺乏, 也可能导致系统漏洞的出现, 这是缺乏必要的安全体制。由于应用程序的设计漏洞而导致的不安全问题也是常见的, 这些漏洞很有可能被黑客安装了木马, 导致病毒的系统入侵, 从而影响了信息的安全性, 导致其出现重大的破坏。
数据库安全性策略及其安全技术的优化
1.安全策略的优化
为了提升数据库的安全性, 进行保护策略的优化是必要的, 这需要相关人员做好日常的工作规范, 进行数据库的合理设置。所谓的最小特权策略就是让用户得到合法的权限, 获得最小的特权, 能够满足用户日常的工作需要, 除该模块的权利, 其他权利不授权, 该模块的开展, 一定程度降低了数据库机密信息的泄密, 从而实现数据库系统的安全性。
在数据库的完整性优化过程中, 最大共享策略是重要的模块, 其最大限度的进行数据库的信息共享, 同时又能保证数据库的安全性、应用性。在数据库安全性应用过程中, 需要按照数据库的项进行不同信息安全级别的划分。在数据库安全操作应用过程中, 开、闭系统策略对于用户的信息防护是极为重要的, 在开系统策略中, 可以授权用户访问, 但不能涉及该策略明确禁止的项目。在封闭系统策略应用过程中, 用户的访问是需要进行授权的, 否则不能进行访问。
通过对上下文存取控制策略的应用, 可以提升数据库安全与操作的效益。该模块在工作过程中, 会按照上下文内容进行用户存取区域的控制。为了提升该模块的安全性, 也要依据历史的信息存取情况, 进行控制策略的应用, 进行信息泄露情况的避免, 从而确保数据信息的有效保护, 这需要进行数据库用户存取信息信息的保存, 按照以往的操作模式, 进行当下行为的控制。该控制策略分为两个应用部分。限制用户在其一次请求中或特定的一组相邻的请求中不能对不同属性的数据进行存取。另一部分可以规定用户对某些不同属性的数据必须一组存取。
在工作模块中, 要有发展、变化的眼光去看待数据库的保护, 数据库安全保护系统本身就是比较复杂的, 需要进行多种策略的协调应用。需要针对不同工作模块的需要, 进行相关的数据库安全策略的应用, 从而有效提升数据库的安全性, 以满足当下工作的需要, 提升其整体的安全性。
2.安全技术体系的健全
在数据库的安全维护过程中, 如何进行数据库的完整性维护是重难点, 只有做好该模块的工作, 才能确保服务器应用系统及其客户应用系统的正常工作。这就需要引起相关数据库设计人员的重视, 积极进行设计, 实现与客户端工作人员积极协调, 以保证数据库整体的完整性, 这也涉及到数据库的完整性约束环节, 该模块是已经设计完毕的规划及其业务规则, 再进行数据库的存放, 避免用户出现错误的数据的输入, 确保数据库的整体完整性。访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体对访问客体的访问权限, 从而使计算机系统在合法范围内使用。访问控制机制决定用户及代表一定用户利益的程序能做什么, 能做到什么程度。访问控制, 作为提供信息安全保障的主要手段, 被广泛用于防火墙、文件访问、VPN及物理安全等多个方面。
为了进行数据库安全效益的提升, 进行其内部各个模块的协调是非常必要的, 实际上如果数据库要运行, 必须要实现其内部字段、元素、记录等的联系, 从而保证用户对相关元素的读取。在“推理”预防过程中, 进行历史信息的参考是非常必要的, 从而根据上下文的需要, 进行不同时间段的数据的限制存取。存取控制是用来保护电脑的信息或资源免于被非法者故意删除、破坏或更改的一项重要措施。在实际使用数据库的过程中, 并不是允许所有人都能够对数据库进行信息浏览和查询的。
结语
通过对数据库安全及其加密技术的应用, 可以促进数据库安全与操作系统的正常运作, 这需要进行数据库系统保护工作的细节性进展, 以满足当下工作的需要。
七招制造安全的XP操作系统 第2篇
1、屏蔽不需要的服务组件
尽管服务组件安装得越多,用户可以享受的服务功能也就越多。但是用户平时使用到的服务组件毕竟还是有限,而那些很少用到的组件不但占用了不少系统资源,会引起系统不稳定外,它还会为 的远程入侵提供了多种途径,为此我们应该尽量把那些暂不需要的服务组件屏蔽掉。具体的操作方法为:首先在控制面板中找到“服务和应用程序”图标,然后再打开“服务”对话框,在该对话框中选中需要屏蔽的程序,并单击鼠标右键,从弹出的快捷菜单中依次选择“属性”/ “停止”命令,同时将“启动类型”设置为“手动”或“已禁用”,这样就可以对指定的服务组件进行屏蔽了。
2、及时使用Windows Update更新系统
Windows Update做为微软公司保护系统安全、提高Windows性能的重要组件,目前已经走进了它的V6版本。通过它,我们不但可以获得提升系统功能和性能的组件Service Pack(如目前流行的Windows XP Service Pack 2),同时也可以获得最新安全漏洞的补丁,当然你也可以获得最新的硬件驱动。最新、最流行的病毒、木马、蠕虫等通常都利用了操作系统的最新的漏洞,如果在它们大规模发作之前,就能升级好最新的补丁,那么计算机受到攻击导致瘫陷的几率将大大降低。
3、对重要信息进行加密
为防止其他人在使用自己的电脑时,偷看自己存储在电脑中的文件信息,Windows XP特意为我们普通用户提供了“文件和文件夹加密”功能,利用该功能我们可以对存储在电脑中的重要信息进行加密,这样其他用户在没有密码的情况下是无法访问文件或者文件夹中的内容的。在对文件进行加密时,我们首先打开Windows XP的资源管理器,然后在资源管理器操作窗口中找到需要进行加密的文件或者文件夹,然后用鼠标右键单击选中的文件或文件夹,从弹出的快捷菜单中选择“属性”命令,随后Windows XP会弹出文件加密对话框,单击对话框中的“常规”标签,然后再依次选择“高级”/“加密内容以便保护数据”就可以了。
4、锁定您的计算机
如果在使用电脑的过程中因有急事需要短暂离开电脑的话,许多人因担心自己的电脑会被别人占用,往往会采取先关机,后离开,然后回来再开机的办法来处理,但这样频繁开关机器对电脑是不利的。那我们有没有办法做到既不要关机又能防止其他人使用自己的计算机呢?办法当然是有的啦,您可以通过双击桌面快捷方式来迅速锁定键盘和显示器,而无需使用CTRL+ALT+DEL组合键或屏幕保护程序,
在锁定您的计算机时,您可以参照如下的步骤来执行:先用鼠标右键单击Windows XP的桌面,然后在右键菜单中依次选择新建/快捷方式,随后按照屏幕提示,在命令行的文本框中输入rundll32.exe user32.dll,LockWorkStation命令字符,再在随后的向导窗口中输入对应该快捷方式的具体名称,在这里为方便以后调用,您可以直接为该快捷方式取名为锁定计算机就可以了。以后您只要双击桌面上的“锁定计算机”,就可以达到锁定的目的了。或可以直接按下“windows键+L”的快捷键来锁定计算机。
5、使用“连接防火墙”功能
在网络时代中,病毒的传播方式、传播速度和破坏力发生了翻天覆地变化,而且 行为也正在全世界范围内活动。为了防止病毒和 的随意入侵,不少用户在自己的计算机中都安装了防火墙。而Windows XP就加入了“Internet 连接防火墙”功能,利用该功能,Windows XP能对出入系统的所有信息进行动态数据包筛选,允许系统同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的 来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。在使用“连接防火墙”功能时,您可以依次单击开始菜单中的“设置”/“网络连接”菜单项,然后从弹出的窗口中选择需要上网的拨号连接,然后用鼠标右键单击该连接图标,并选择“属性”命令,在随后弹出的拨号属性窗口中再单击高级标签,在对应标签的页面中选中“Internet连接防火墙”选项,然后再单击对应防火墙的“设置”按钮,来根据自己的要求设置一下防火墙,以便防火墙能更高效地工作。
6、安装第三方的杀毒程序、防火墙程序及上网安全保护程序
事实证明,“Internet 连接防火墙”的功能局限性很大,首先它并不具备杀毒、防毒的功用,其次在防火墙技术上保护很有限,效果微乎其微。用户有必要在开启“Internet 连接防火墙”的基础上再加装第三方的防火墙程序。防火墙软件的选用,首先要看实际的防护效果,能不能有效及时地在程序访问外界的时候第一时间发出提示寻问,并且在受到外界的各类攻击时能不能有效地屏蔽、过滤掉数据包,瑞星防火墙更加入了“追踪位置”的技术,能实时地监视受到的攻击并主动追踪其位置。杀毒程序是必须要安装的,杀毒的效率是值得考虑的问题,另外实时防毒效果更应该受到关注。在防护方面,瑞星杀毒软件监控相当全面,注册表的监控最为有效地防范了恶意的程序、木马等在用户不知情的情况下植入计算机中。
7、为自己分配管理权限
操作系统的安全 第3篇
【摘要】本文以某公司高层领导chen1、chen2出差在外,欲访问公司内部财务报表为背景,设计实现了在win2008、win2003、winxp不同操作系统下,基于VPN安全远程访问的实现。其中win2008为域控制器,win2003作为域中存放财务报表的成员,winxp为高层领导所用客户端。
【关键词】VPN;远程访问;域
本文以某公司高层领导chen1、chen2出差在外,欲访问、修改公司内部财务报表为背景,利用VPN技术妥善地为出差在外的公司高层提供方便、安全、快捷的财务报表远程访问服务。VPN(VirtualPrivateNetwork,虚拟专用网络)利用公网来构建专用的网络,通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同网络的组件和资源之间的相互连接,并提供同专用网络一样的安全和功能保障。
一、虚拟专用网为用户提供的功能[1]
加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
二、基于Windows操作系统安全远程访问的实现方案
VMWare虚拟机软件是一个“虚拟PC”软件,VMware可以使你在一台机器上同时运行多个操作系统。VMWare是真正主系统“同时”运行多个操作系统的平台,就如标准Windows应用程序之间的切换。而且每个操作系统都可以进行虚拟的分区、配置而不影响真实硬盘的数据,可以通过网卡将几台虚拟机用网卡连接为一个局域网,极其方便。安装在VMware操作系统性能上比直接安装在硬盘上的系统低不少,因此比较适合学习和测试。本文首先在虚拟机上安装win2008、win2003、winxp三个操作系统,之后在win2008上进行DNS服务器的安装、配置与测试[2],创建域,将服务器win2003加入到域中。至此Win2008作为域控制器,安装有活动目录AD、DNS服务器;win2003作为成员服务器,即存放公司内部财务报表的服务器;winxp为客户端,代表高层领导。本文依据虚拟专用网络VPN实现资源的远程访问,远程访问的网络传输协议采用PPTP协议,允许L2TP连接。[3]原理图如下:
三、具体实现过程
基于Windows操作系统安全远程访问的实现主要包括一)在域中发布文件夹共享并设置权限;二)VPN服务器配置:(1)安装VPN服务(2)启用“路由和远程访问服务”(3)配置路由和远程访问服务;三)客户端配置和测试PPTP客户端。具体实现过程如下:
(一)在域中发布文件夹共享并设置权限
1.在win2003中创建文件夹,名称为财务报表,在文件夹中创建文本文档,名称为2015-12财务收支.txt;2.在win2008AD中新建用户。在“ActiveDirectory用户和计算机”窗口中,右击users-->新建用户chen1、chen2,设置密码;3.赋予chen1、chen2”完全控制”权限。在“计算机管理”窗口中,右击共享-->新建共享,创建文件夹共享中选择“财务报表”-->选择chen1、chen2,赋予”完全控制”权限;4.在文件夹“财务报表”属性框“安全”选项卡中,赋予chen1“读取”权限,chen2“读取”“写入”权限
(二)VPN服务器配置
1.安装VPN服务。在“服务器管理器”界面中,添加角色-->依据添加角色向导,在服务器角色中选择“网络策略与访问服务”-->选择“路由和远程访问服务”,进行安装。
2.启用“路由和远程访问服务”。(1)网络配置,使本地连接2的IP地址、DNS服务器与内网不在一个网段;(2)在“路由和远程访问”界面中,右击win2008-->选择“配置并启用路由和远程访问”-->选择VPN,配置此服务器接受VPN连接-->选择将此服务器连接到internet的网络接口本地连接2-->为远程客户端分配IP地址;(3)在chen1、chen2属性对话框“拨入”选项卡,设置网络访问权限“允许访问”“不回拨”。
3.配置路由和远程访问服务。(1)在“路由和远程访问”窗口,右击win2008,打开属性对话框-->在“安全”选项卡中,选择“允许L2TP连接使用自定义IPsec策略”,输入欲共享的密钥-->重启路由和远程访问服务;(2)右击“端口”,在端口属性对话框中,选择PPTP,配置最多端口数-->选择L2TP,配置最多端口数。
(三)客户端配置和测试PPTP客户端
1.在网络连接中创建一个新的连接,虚拟专用网络连接,输入公司名称client及VPN服务器的IP;2.右击虚拟专用网络client,在属性对话框中选择包含windows登录域;3.右击client-->連接-->输入用户名chen1、密码、域-->点击“连接”,显示client已连接;4.在开始-运行中输入win2003的IP地址,可以看到共享文件夹,远程访问成功-->尝试chen1用户只能读取,不能写入的权限;5.重复3.4.尝试chen2的连接及读取写入权限。
参考文献
[1]张冬英.VPN技术在计算机网络中的应用[J].网络信息化,2015(10):116-117.
[2]曹立志.常见WindowsServer2008服务功能的应用[J].技术研究,2014(19):83-85.
操作系统的安全 第4篇
关键词:linux操作系统,web系统,安全,形式化建模,实现,分析
本文对安全linux操作系统及安全web系统的形式化建模与实现进行了简要的分析。
1 有关 linux 操作系统和 web 系统的概念
1.1有关linux的操作系统
什么是安全linux的操作系统呢?其可以实际运行在多种不同种类的计算机上,是一种系统的主要内核。其主要提供了程序或是命令、计算机的实际硬件等在接口软件上的核心。linux的操作系统主要管理内容如下:主要采用什么方式、相应内存以及会在什么时候关闭文件或者是在什么时候打开相关的文件,也可以是在什么进程或者相关的程序上所获得的CPU等。换句话说,其也是一套比较自由而免费的Unix的相关操作体系,其主要是对一些Intelx86体系的CPU主机上,这个体系主要是通过全世界的相关程序人员来实现的,其最终的目的就是要积极建立不要受到任何商品的制约,要积极而自由的与Unix进行产品的兼容体系。
1.2有关web的系统概念
对web进行定义时就要对其实际的定义基础进行了解,它是在上个世纪90年代发明出来的,是World Wide Web的主要简称,意思是万维网。在中国的文化中,网会给人一种实体的感觉。也有很多专家和学者认为其是一种实体的物理网络,尤其是和Web进行联系时的客户机与服务器的真实性更加深入。对于web来说其主要是因特网上的一种服务器,换句话说是一种具体的信息性服务。有关信息的使用人员和相应的提供人员称作是网民,对信息服务中的各种角色就是信息的主要服务商。其中,信息的相关地址是由URI进行标识的,而信息的表示是用HTML来进行表示。
2 相关系统的控制建模
下文对矩阵模式信息的模型进行了仔细的分析。
2.1具体描述
对于模型的相关结构主要是在状态机的设计下以及在实际建模中,其系统状态主要是由一三元的组合所来决定的。
S:主要是表示了相关系统的主体集合,同时它也是相关系统中正在运行的集合性程序。
O:其主要是相关系统中一项主要的集合形式,同时它也是相关系统程序中正在运行的集合。通常情况下的客体主要是针对主体行为为对象,是主体行为的直接性承担者,比如:目录或者文件以及其他一些情况之下,主体是S的就可以成为客体。
M:主要是表现了一二维访问性矩阵。而在相关的访问矩阵中,其主体主要是用行表示。主要客体就是用列表来进行表示,客体和主体的相交点主要表示了对所有客体具有访问权限。该访问权限为集合A,比如 :写、读以及追加写三种。
在相关的系统中该状态的相关改变将决定于有关矩阵中M进行改变,对于一个比较独立的状态机来说其构成中重要的是相关系统,所以,相关的访问矩阵系统也被成为具有保护性状态。在相关系统中所有主体对相关客体的访问都是由监视器进行控制的。对于监视器的主要任务来说其主要就是充分确保在矩阵访问中所获得的实际操作被运行。
访问矩阵中的访问控制模型,其相关构成。(图1)
在上述访问中,主体的S是F所拥有的读写权限。但是在主体中的C、R就只有读的权限。主体的C就拥有了对客体中F2的读写权限,不仅如此,主体的R客体是F3中所拥有的读写权限。
2.2相关模型的主要评价
因为模型并没有进行明确指定相关的访问规则,所以就显的非常灵活,让它得到了更加广泛的利用。但是,对于任何事物来说其都具有一定的两面性,在访问矩阵的访问控制下其控制模型有着不能比拟的优点,但是也因为自身设计所带来的缺陷:
不进行详细的对矩阵进行访问,就很难保证相关系统的安全性。
在一些大型的系统中,访问的矩阵在实际的大小上也是比较强大的。但是,其中有诸多因素完全是空的。所以,要以矩阵的方式实现矩阵的访问根本不现实。
其三,因为客体的实际拥有人可以取消或者授予它主体对客体的权限访问,这就严重的造成了权限访问的困难,同时也给相关系统的管理造成了一定的困难。
3 有关交换结构主要概述
3.1部件的选择
对于交换机来说其主要分为两个部分,其一是交换形式,其二是总线形式。对于交换部的总线性主要是说网络的接口是分享一个总线,换句话说也就是在交换机的交换部件中主要使用的是单个总线视为转发的分组通道。通过实践证明该类型的交换部件被广泛的应用在规模小、速率低的场合,其是一种比较简单且廉价的部件交换。尽管如此,相关缺点也是比较明显的。它是要使用在总线的宽带要等于大于宽带为2N的倍数,同时,N也是作为相关网络接口的使用数量。这也就充分促进了多端口与高速率结构交换是不允许采用这种部件交换。而另外一种就是有关交换型的部件交换其主要被称作交行的阵列,而这种部件的交换也可以进行无阻塞或者是有阻塞的部件交换。对于无阻塞的种类来说,其部件的交换主要是到达交换的阵列的输入端的目标或者相应的输出端不能再发生冲突。通常在这样的情况下相关交换阵列能将分组目标发送到相应的输出端口。而对于另外一种有阻塞类型的来说,其尽管在抵达相应的输出端口时不会发生相互的冲突。但是,在经过阵列交换的时候就会很容易出现冲突性,就会造成相应的阻塞状况。
而从整个角度上来说,有关无阻塞的种类矩阵交换具有较好的性能。从实际的硬件的角度来说,无阻塞的矩阵交换其复杂的程度是可以重排的阵列交换较多。与此同时,那些可以重排的阵列交换的无阻塞程度也比有阻塞的程度阵列交换的大很多。随着经济技术的不断发展,以及相关软件不断复杂早已经不再是阵列组件的障碍。
3.2缓存器的主要位置
在相关的交换机机构交换中,机构缓存器的主要位置有三种,比如:可以安排在输出、输入以及相应的交叉点上。将缓存器主要安排在阵列机构的交换机输入端,这样的结构就被称作交换结构中的输入交换结构,并且实际的宽带要求是比较低的,实际的缓存也只需要链路上进行工作。如果一旦将缓存器实际安装在输入端口,就是有关输出结构的队列,对这种缓存的结构宽带要求早已经达到了链路N倍。一旦缓存安置在阵列的交换交叉处时就要要求缓存在实际的链路上并进行工作。所以,只是从缓存的宽带上的角度来说,交叉点以及输入端必须要先于输出的端口。如果只从整体的性能来说,因为在相关的输入队列中很容易出现HOL的阻塞,因此,只从这一点上来说输入缓存如果安置在交叉点或者是输入端会好很多。而从实际扩展角度来说,在相应的交差点上所安置的缓存是要实际的交换阵列上做到N2多存储器。因此,从这一点就可以充分的体现出有关交叉点有较大的拓展性。如果在实际的输出安置的缓存要实际面对有关拓展性的问题,由于其需要相应存储器的速率大于或等于相关链路的N倍,同时为了可以顾忌到交换机的拓展性以及相关性能,实际安置了多个缓存。
4 有关DPS的主要交换构造
相应的结构:
对高端口的交换机机构来说其主要是采用空分并行的相关技术进行的技术构造。空分并行实际意味着每个交换的阵列或者输入的链路是有诸多接口的,同时相关接口必须要在相同时刻参加交换工作。
例如 :有关交换机的交换机构是以链路速率所进行的工作,在相关的输入端口其主要的交换结构都会有交换数量是D的接口,且D大于1,与此同时我们也可以将D成为相关交换的端口。所以,在相关的输入链路上有D进行分组并进行相应的调度,同时也会存在D个分组所送低输出口,换句话就是对D进行分组并处理。但是,对于这种并行性空间,其和CIOQ的相应时间有较大的不同。对于重端口的交换机的DPS空间并行,其同传统意义相比有较大的优势。
优势一:DPS完全可以改变阵列和存储器的相关速率,让它低于实际的工作效率,同时这也是在实际的拓展中DPS要优于CIOQ主要核心。
优势二:就是DPS实际存在于更高的速率和灵敏性只是需要增加比较少量的电路就可以对DPS的相关端口进行速率配置,并且相关端口就可以支持低速率的一些链路。
5 有关linux操作系统的实际开发
在相关体系中,只有相应的授权用户才可以充分对实际操作进行信息处理,换句话说,相应的安全系统必须要积极实现比较完备的信息储存工作。
比如:
首先,要拥有一个比较明确以及较好的安全性方法。同时相应的安全策略要不断的实现在相应的系统中。其主要表现为利用一组进行存取控制的主要原则,并用来充分确定其客观与主管之间所存在的必然直接的关系,其相应的取控制主要体现在多种方面,主要有强制性的存取性控制以及自主性的存储控制。
其次,对相应的目录以及文件来说其在相应的系统中要直接标有安全等级的标识。
其三,和相关系统有着直接关联的事件进行审核以后,需要找到相应的当事人。
第四,需要有一套比较机制的硬件与软件来进行功能的实现,要将这些机制直接嵌入到实际操作中去,其实际机制的体现必须要有比较清晰的档案,来进行积极的评价其实际的安全性与完备性。
有上文我们可以知道,相应的存储控制体系主要实现了相应的操作安全性能。在linux操作系统进行实际开发的时候,其相应的体系需要进行比较合理的存储控制,linux操作系统与一些其他的系统是一样的,其相应的系统状态主要分成两种,核心性心态与分用户态。在进行实际运行的时候要依据实际程序进行,此时核外的主要运行程序完全处在用户态。相应的系统进行用户态的主要程序时只能单独存取其自己的数据与指令,并不能进行比较核心的进程性数据与指令,同时也要充分保证其指令的核心状态,就像IO的相应指令等在实际的用户态状态下进行合理的使用。此时,相应的用户程序只能经过比价系统的存取资源,直接运行成比较系统的调用,同时也要积极返回相应的用户态。其实际的系统性调用可以在编写的实际程序上进行真实界面的使用,其主要的用户程序直接进入到linux操作系统唯一一个入口。如果相应的程序不能调整,和相应的用户就会直接产生隔离现象,这就让其内核程序请求得到干扰和控制。所以,linux操作系统的相关控制以及研发,并真正支持其实际安全性的不断开发。与此同时,我们还应该充分保证相应安全性的不要依赖相应的系统的保密性,从而在进一步进行安全机制的不断实现,让linux操作系统的不断开放进行资源代码的安全性开发。
6 结语
操作系统的安全 第5篇
尊敬的各位评委、在场的职工朋友们:
大家好!
安全,对于铁路行业来说,安全生产是关系到企业兴衰,关系到广大职工生命和财产安全的头等大事!铁路事故不仅严重危害企业本身,而且殃及社会,给国民经济发展带来严重的灾难!安全就是生命、就是效益,唯有安全生产这个环节不出差错,我们的企业才能去争取更好的成绩,否则,皮之不存,毛将焉附?安全生产,得之于严,失之于宽;安全工作只有起点没有终点。如果稍有疏忽,安全意识一刹那间离开我们的头脑,可怕的事情就可能会发生,一切的美好,企业的兴旺,甚至于生命的珍贵都将化为乌有!
在这里,我先用一个简单数字模式来表示生命与生活的关系:我们把生命做为一个数字前面的“1”,把我们所拥有的一切诸如票子、房子、车子、幸福快乐等等都划归到后面的“0”。这个数字的“0”越多,那么它的值就越大。如果没有了前面的这个“1”,后面的“0”再多,也只是“0”,没有任何意义。
试问在这人海如潮、红尘滚滚的现实社会中,请问您最需要什么?是金钱、是美女、还是功名利禄?我想每一个人都会斩钉截铁的回答:我最需要的是健康!而安全是生命健康的有力保证。安全就是生命,安全就是效益,安全是一切工作的重中之重!
也许,您会这样说:安全不就是那本《安规》吗?安全生产不是一直被当作头等大事来抓的吗?安全教育不是天天被挂在嘴上,写在纸上,贴在墙上吗?可是“安全第一,预防为主,以人为本,珍爱生命”这几句话究竟有没有植入我们的心中呢?这是我们每个人都应自省和深思的一个话题。这些年来,我们看到的,听到的,经历过的,那些由于主观上不重视安全而酿成的悲剧难道还少吗?那血淋淋的场面和亲人撕心裂肺、哭天喊地的情景,哪一幕不让人触目惊心?发人深省呢?
就在2003年8月,我们公司的一位职工在工作中因为一时大意,在横越铁路的时候被火车撞伤,经抢救无效而死亡。年仅32岁。噩耗传来,六十多岁的父母亲捶胸顿足,嚎啕大哭,随即昏厥过去;稍谙世事的儿子摇着妈妈身体不停地喊:“妈妈,你醒醒,妈妈,你醒醒啊,妈妈,你再看看我啊!。。。”然而,因工作麻痹大意酿成的悲剧已成为无法挽回的定局,逝者已矣,却给生者留下了无限的悲痛!
她去了,留下了她哭天喊地的父母亲人,她的父母饱尝了白发人送黑发人的痛苦;她去了,没来得及跟朝夕相伴的丈夫话别,没来得及再看一眼她最疼爱的儿子;她去了,使她的家庭婉如“花红时,无奈朝来寒雨晚来风”的侵袭一般而肢离破碎。最可怜的还是她7岁的儿子,这正是在妈妈怀里撒娇的年龄,他需要母亲那温暖的胸怀,可是只因一个小小的疏忽让他永远失去了世界上最伟大的母爱。他只有把对母亲的万般思念化为无尽的哭声,这揪人心肺的哭喊声沿着冰凉的钢轨传的很远很远......此时此刻,请大家扪心自问:在您每天重复几十遍甚至上百遍的日常工作中有没有安全措施不完善的一回?在您上千次的巡视和检修工作的过程中有没有省去过一个安全步骤的一次?有没有过一次无意间的违章操作呢?
我想大家和我一样都不能作出绝对否定的回答。回顾过去发生过的大大小小的事故,我们不难发现之所发生事故,不是安全教育工作没有做到位,而是没有将“安全”植入我们的心中,把安全生产作为我们工作的唯一标准。请不要小看这一纸《安规》,它的每一条都是前辈们用鲜血和教训总结出来的;请不要小看这一顶安全帽,一根安全带,它就是呵护我们生命的保护神。
现在让我们把时间倒回2003年并做一个假设,如果这位职工在横越铁路时能执行《安规》中“一站、二看、三通过”的制度,执行“工作中必须精神集中”的规定。那么这一切悲剧就不会发生,丈夫不会失去心爱的妻子,儿子不会失去最伟大的母爱,父母不会饱尝这白发人送黑发人的彻骨之痛。
——前车之鉴给予我们告戒,未雨绸缪让我们理性。大量事实证明,几乎每一起事故的背后都存在着严重违章的问题。人为因素是引发事故的一个很重要的原因!
作为神朔铁路公司的职工,我们在工作中要牢固树立“安全第一,预防为主”的思想,爱岗敬业,钻研业务,通过平时的实际工作不断提高自我的技术水平和综合素质,提高安全意识,增强安全责任心,时时刻刻绷紧“安全”这根弦,克服侥幸心理,消除麻痹大意的松懈思想,真正做到在岗一分钟,安全60秒。以严格的要求,严谨的态度,高度的责任感,来体现人生的价值。
掌控Windows系统的安全 第6篇
对于很多的PC用户来说,最关心的事情莫过于Windows系统的安全了。为了提高系统的安全程度,我们可能对系统进行了多方面的安全设置,但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平,对于这些,我们可能还没有一个整体的了解和掌握。
Windows XP系统提供的“安全配置和分析”管理工具可以帮助我们实现这个目标,它的主要作用是对本地系统的安全性进行分析和配置。“安全配置和分析”管理工具可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析,在分析结果中,以可视化的标记或注释突出显示当前的设置与系统建议的安全级别不匹配的区域,从而找出系统安全的薄弱环节,同时这个工具为我们提供了快速对系统进行安全配置的途径,用户只需要选择相应的安全模板,剩下的事情由“安全配置和分析”管理工具自动为您完成,从而轻松地掌控系统的安全。
要启动“安全配置和分析”管理工具,需要启动系统控制台,并将“安全配置和分析”管理单元加载到控制台中。方法如下:
1.在[开始]菜单的“运行”处,执行“mmc”命令,启动系统控制台窗口;
2.点击“控制台”主界面中“文件”菜单下的“添加/删除管理单元”命令;
3.在“添加/删除管理单元”对话框中,点击“独立”选项页的“添加”,在弹出的“添加独立管理单元”对话框中,选择列表中的“安全配置和分析”项,点击“添加”,如图1所示;
图1 添加“安全配置和分析”管理单元
4.点击“关闭”,返回“添加/删除管理单元”对话框,此时在列表中可以看到新增加了“安全配置和分析”项;
5.点击“确定”,完成“安全配置和分析”管理单元的加载。
执行安全性分析是根据系统提供的安全模板来实现的,这个过程中,需要用户打开或新建一个包含安全信息的数据库,并选择合适的安全模板。
1.在控制台窗口中,右键点击控制台根节点下的“安全配置和分析”,在快捷菜单中选择“打开数据库”命令,如图2所示;
图2打开安全配置与分析数据库
2.如果是首次对系统进行安全性分析,需要新建一个数据库,在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称,然后点击“打开”;
3.在弹出的“导入模板”对话框中,可以看到7个安全模板文件,这些安全模板文件的安全级别以及作用的效果为:
Rootsec:系统根目录安全模板。可以指定由 Windows XP所引入的新的根目录权限。默认情况下,Rootsec.inf 为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限,则可利用该模板重新应用根目录权限,或者通过修改模板对其它卷应用相同的根目录权限,该模板并不覆盖已经明确定义在子对象上的权限,它只传递由子对象继承的权限。
Setup security:默认的安全设置模板。这是一个针对特定计算机的安全模板,它包含了在安装操作系统期间所应用的默认安全设置,包括系统驱动器的根目录的文件权限。由于是默认的安全设置模板,当系统出现故障时,可以利用该模板或模板的一部分进行灾难恢复。
Compatws:兼容模板。通常情况下,工作站和服务器的默认权限主要授予三个本地用户组:Administrators、Power users和Users,Administrators组成员拥有最高的权限,而Users组中的用户权限最低。由于权限的限制,不同组中的用户能够访问应用程序的能力有很大的区别,而兼容模板可以以某种方式对已经授予users组的默认文件和注册表的权限进行更改,而不需要更改用户所在的组,可以极大地提高系统所有权的安全性和可靠性。
Securedc和Securews:安全模板。安全模板定义了至少可能影响应用程序兼容性的增强安全设置。例如,严格密码和锁定设置、审核策略的设置等等。安全模板的安全级别要高于兼容模板。
Hisecdc和Hisecws:高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的,要求对安全通道数据进行强力的加密和签名,从而形成域到成员和成员到域的信任关系。
对于工作站而言,使用安全模板进行系统安全性分析就可以了。
4.选择一个适宜的安全模板,如Securews.inf,点击“打开”;
5.右键单击“安全配置和分析”项,选择菜单中的“立即分析计算机”命令,并在“进行分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的分析进程;
6.安全分析进程结束后,展开“安全配置和分析”节点下的各项,在右侧窗格的项目列表中,通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别匹配,哪些不匹配,如图3所示;
图3查看安全分析结果
例如在图3中,密码策略中有四项策略带有红色的差号,这表明不匹配;两项策略带有绿色的对号,表示匹配。
如果再想用其他的安全模板进行安全性分析,可以在“安全配置和分析”节点上单击右键,点击快捷菜单中的“导入模板”命令,在“导入模板”对话框中,选择需要的安全模板文件,同时选择“导入之前清除这个数据库”选择框,如图4所示,重复上述步骤5和6的操作。
图4导入安全模板
使用Windows XP的安全配置和分析管理工具,您不仅可以分析系统的安全配置是否适合,同时还可以设置系统安全配置,从而将您系统的安全状况掌握在自己手中,但是在使用安全配置和分析管理工具时您需要注意以下两点:
1.必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;
浅析Linux操作系统的安全策略 第7篇
1. Linux操作系统编程安全模型设计
Linux操作系统是面向多用户的, 在同一时间可以有许多用户向操作系统发出各种系统命令, 在现代的操作系统里面都有编程安全的概念, 编程程序是一个包含可以执行代码的文件, 当编程程序被系统调用到内存以后, 系统会给程序分配一定的资源, 然后进行一系列的复杂操作使程序变成进程以供系统调用。在Linux操作系统里面为了区分各个不同的进程, Linux操作系统给每一个进程分配了一个ID以便识别, 为了充分的利用资源, Linux操作系统还对编程进行了安全模型的设计。
1.1 严格权限禁止非法切换, 保障编程模型安全
在Linux中SU是一个很常用的命令, 它可以完成从普通用户到root用户的切换也可以用于普通用户之间的切换, 只要用户知道root密码就可以完成此项操作, 使系统存在一定风险。因此, 有必要限制使用SU进行用户切换, 只有属于wheel组的用户才可以使用SU命令来切换用户。
SU命令限制是由PAM机制来限定的, PAM是由SUN提出的一种认证机制, 它通过提供一系列动态链接库和一套统一的API, 将系统提供的服务和认证方式分开。使得系统管理员可以灵活地根据服务需要配置不同的认证方式, 同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中, 目前已移植到Linux操作系统之中。
1.2 Linux信号系统安全策略访问控制模型
安全操作系统的访问控制模型, 将密码服务与高级别存取控制机制有机地结合起来, 形成一个适应各类安全实用的操作系统。该安全服务器将在Linux操作系统的基础上, 目前Linux操作系统主要发行版本的安全性大致处于《TCSEC》标准, 该类模型是从访问控制的角度描述安全系统, 主要针对系统中主体对客体的访问及其安全控制。
BLP模型的安全策略包括强制访问控制和自主访问控制两部分, 强制访问控制中的安全特性, 要求对给定安全级别的主体, 对给定安全级别上的主体, 仅被允许向相同安全级别或较高安全级别上的客体进行信息服务, 任意访问控制允许用户自行定义是否让个人或组织存取数据;DTE模型它通过赋予文件不同的型 (type) 、赋予进程不同的域 (domain) 来进行访问控制, 从一个域访问其他的域以及从一个域访问不同的型都要通过DTE策略的控制, DTE使域和每一个正在运行的进程相关联, 型和每一个对象相关联, DTE系统的内核在做标准的系统许可检查之前先做DTE许可检查, 如果当前域拥有被访问文件所属的型所要求的访问权, 那么这个访问得以批准, 继续执行正常的系统检查。
2. 安全策略科学化系统共享设计
随着Linux操作系统的广泛应用, 它的安全性也越来越受到用户的关注。在实际的使用中用户希望Linux操作系统可以和360安全卫士等安装操作一样的简单、界面形象直观、易于管理。我们在应用Linux强大网络功能的同时, 要同时着手于解决其安全性问题, 在使用Linux操作系统时要将安全性、科学化的系统共享进行合理化的设计安装。
2.1 合理规划实现多系统共存, 创建使用库
在Linux操作系统的初步安装操作中用户可以先使用双硬盘, 在硬盘中分别安装Windows和Linux操作系统。第一块硬盘安装Windows系统, 第二块硬盘安装好Linux服务器版和默认安装GRUB (引导装载管理器) , 并确保GRUB安装在第二块硬盘的主引导扇区, 接好两块硬盘的数据线, 借助Linux的GRUB进行配置, 自动接管双重系统的启动选单。
完成Linux系统的初步安装过程后, 可以从一个静态库中直接拷贝函数到可执行二进制映像, 或者在可执行程序正在运行时从共享库文件中读出, 从而间接地应用到Linux操作系统之中。构建Linux系统数据库当多个进程同时使用一个共享库时, Linux将把共享库中存放可执行代码的内存进行共享。
2.2 严谨系统操作, 创建Linux操作系统编程安全策略
Linux操作要求在程序的应用中力求严谨、认真的态度, 在系统的使用和运行时保证内部信息安全是设计系统安全的最为重要的核心部分。严谨的系统操作主要表现在隐藏文件夹的保护, 在隐藏文件夹中如果有不想让别人直接看到的文件, 最简单的办法就是对文件进行加密处理, 也可以在终端通过MVTEST.TEST命令实现。“test”文件会出现在文件夹中但“.test”则不会出现, 如果需要查看隐藏文件, 就必须要在终端进入对应文件夹用Js□a命令查看, 这样可以达到保护Linux系统内部隐藏文件的作用。
2.3 设计密码保证Linux系统安全
无论是Linux系统的操作还是计算机的其他应用系统, 密码是保证系统安全的第一道防线, 因此在Linux系统的必须要有一个强健的密码设计。密码设置的原则是足够长不要用完整的单词, 尽可能要包括数字、字母、特殊字符和大小写混写, 经常进行修改, 所以在Linux系统中必须要遵循以上原则外。
在此之外, 启动和加载程序时, 要尽量使用GRUB而不要使用LILO, 这样可以防止使用被定制的内核来启动系统。此外Linux是一个多用户操作系统, 为了保证系统安全, 在登出和锁定屏幕的时候也是非常重要的, 特别是在系统上是唯一用户时, 建议锁定屏幕保证系统安全。在启动和加载程序时, ULO在配置文件中可以使用明文口令, 这样可以防止使用被定制的内核来启动系统。
结语:本系统通过对Linux核心结构和操作系统安全体系的层次结构研究, 并且遵循国内、外的相关安全标准, 将Linux操作系统安全策略模型和已有技术有机地结合起来, 增加了强制访问控制、可信路径等安全功能。Linux操作系统安全技术作为计算机信息安全的关键部分, 对安全策略的研究和建模有重要意义, 对Linux操作系统安全的研究在实际应用中还需要进一步地考验和完善。
摘要:Linux是一类Unix计算机操作系统的统称, Linux操作系统是自由软件和开放源代码发展中最为经典的案例。Linux这个词本身只表示Linux内核, 但在实际上人们已经习惯了用Linux来形容整个基于Linux内核, 并且使用GNU工程各种工具和数据库的操作系统。Linux是一个可以自由分发的操作系统, 它包括内核、系统工具、应用程序, 以及完整的开发环境。
关键词:Linux操作系统,安全策略,计算机技术,安全性问题
参考文献
[1]Michael K.Linux应用程序开发[M].电子工业出版社, 2005.
[2]梁肇新.编程高手箴言[M].电子工业出版社, 2005.
操作系统的安全 第8篇
1 Android安全机制
Android的安全机制是在Linux安全机制基础上的发展和创新, 是传统的Linux安全机制和Android特有的安全机制的共同发展。Android安全机制中的主要出发点是, 在默认的情况下, 应用程序任何能够给用户、系统或者其他应用程序带来负面影响的操作是不可以执行的。Android是一个支持多任务的系统, 其安全机制依托于数字签名和权限, 系统中的应用程序之间一般是不可以互相访问的, 每一个应用程序都有独立的进程空间。
1.1 用户ID
Android系统是基于Linux内核的, 对应用程序文件和系统文件的访问都要遵循Linux的许可机制, 并将这种机制用于管理应用程序。在Android应用程序安装成功后, 系统就为其指定了一个唯一的用户名, 对应着系统中唯一的UID, 每个用户可以属于一个或者多个组。如果在应用程序执行期间有越轨或超越权限操作的行为时, 用户将会得到Android的警告信息。
1.2 应用程序数字签名
数字签名是过某种密码运算生成一系列符号及代码组成电子密码进行签名, 来代替书写签名或印章。签名的主要作用是身份认证、完整性验证和建立信任关系。
Android系统不会安装没有进行签名的应用程序, 所有应用程序进行签名认证是必须的, 但签名认证是第三方证书认证机构可以不参与的。Android系统对签名证书的过期时间检查是在应用程序安装时进行的, 这就意味着如果一个应用程序在安装后才发现其签名证书过期, 就不会影响应用程序的运行。需要注意的是, 应用程序必须使用同一个证书进行签名才可以升级到新的版本, 两个应用程序使用同一个数字签名才可以相互授予权限来访问彼此的资源。
1.3 Permission机制
Android是一个权限分离的系统, 它利用Linux已有的权限管理机制, 为每一个应用程序分配不同的UID和GID, 使不同的应用程序之间的私有数据和访问达到隔离的目的。如果使不同的应用程序之间的私有数据和访问达到共享, 就需要声明对应的权限。为此, Android在原有的基础上进行了扩展, 提供了permission机制, 它主要是用来对应用程序可以执行的某些具体操作进行权限细分和访问控制。在manifest文件中添加一个permission标签, 就定义一个permission。另外, Android为了对某些特定的数据块进行ad-hoc方式的访问, 还提供了per-URI permission机制。
一个权限主要包含权限名、权限组和保护级别, 若干个具体权限构成一个权限组, 权限组是根据权限的功能划分出来的, 每个权限有不同的保护级别 (普通级别、危险级别、签名级别和系统/签名级别四类) , 不同的保护级别代表了应用程序使用此权限时的认证方式。
1.4 沙箱隔离
Android引入沙箱的概念来实现应用程序之间的分离, 具有允许或拒绝一个应用程序访问另一个应用程序资源的权限。
每个应用程序在安装后都有一个UID号, 且一直不会改变。系统根据UID号为每个应用程序建立一个沙箱, 不同的进程空间中运行着不同应用程序的代码, 且不能随意的互访彼此的进程空间。如果两个应用程序的UID不同, 运行在基本沙箱进程中的应用程序默认情况下是没有被分配权限, 因此它们无法交互彼此的数据, 此类应用程序要想访问系统文件、资源文件等变得不太可能, 这种相互隔离的沙箱模式保证了数据的安全性。那么, 不同的应用之间需要共享资源该怎么办, 可以通过请求权限来解决, 即设置应用的shared Userld属性, 或者是与其他受信任的应用程序运行在同一进程中, 从而共享对其数据资源的访问。如此一来, 相同用户的应用程序的资源和数据就如同使用应用程序自身的资源一样可以互相访问和使用。但是, 若想两个应用程序分配同样的UID, 那么必须使用相同的签名, 且请求设置了同一个shared Userld。
2 Android的安全隐患
Android系统的开源性势必会给我们带来一系列的安全隐患, 有Linux内核安全漏洞造成的, 有Android自身权限机制不健全造成的, 也有基于硬件损伤造成的, 但也正因为开源性才可以让我们有自由创造和发挥的空间。
1) 基于硬件的问题主要体现在硬件损伤、温度过高等因素导致便携设备不能工作的现象。由于Android系统过于开放, 至少在手机死机现象频繁发生的问题上扮演了重要角色。
2) 在Linux内核安全上, 有一个哈希算法问题, 即当攻击者把经过特殊构造的包传给系统并接收后, 服务器的资源因哈希表产生冲突而被耗尽。哈希算法是把一组关键词经过某种哈希运算后, 把得出的相同的哈希值存储到同一个地址区间, 从而使哈希表变成了一个单向链表, 插入操作的复杂度因此也变得比较大, 从原来的O (n) 级变为O (n*n) 级, 如此导致处理器资源被大量消耗, 服务器拒绝服务, 也就产生了Do S攻击。还有Linux内核中的整数溢出漏洞问题, 它是由于一个正数/负数不匹配整形漏洞引起的, 存在于XDR处理器例程中。当Linux系统的XDR处理程序接收到经过攻击者精心构造的包时, 包的大小被程序中的检测语句错误的估计, 致使大批的内存不断的从内核中复制出来, 导致系统瘫痪, 内核数据遭受破坏。当然, Linux内核还有其他的一些问题, 此处不再叙述。
3) Android自身权限机制问题。首先, 不透明的权限问题。用户在安装应用时, 系统会把该应用使用的权限列表以界面的方式弹出告诉用户。但是, 为什么用这些权限, 用户或许不清楚, 也许根本就不了解、不关心, 由于用户要使用这个应用所以必须安装, 从而造成不必要的损失。其次, 不可分的权限集问题。上面提到, 应用程序安装后, 系统已经给出了使用的权限列表, 权限的使用只限于该列表而不能超出该列表。但问题的关键在于, 用户不能选中权限列表中的部分选项, 要么全选, 要么不选, 都是一种绝对的状态, 用户只有全选权限才能使用该应用程序, 否则只能放弃使用。最后, 研发工作者在研发应用程序的过程中, 由于某种原因声明了一些或许根本就没有使用到的权限, 那么在安装应用程序时, 也会告诉用户, 从而增加了系统的负担和一些不安全的因素, 用户由于担心安全问题而不敢随意安装该应用程序。
3 结束语
Android是一款非常出色的操作系统平台, 随着Andriod系统智能终端的日益推广, Android操作系统的安全性越来越重要, 在其快速发展中不可避免的存在不完善的地方。Android平台的开源造成了系统易被攻击, 随着安全技术的不断发展和进步, 开源的Android平台的安全性可以不断地被改进, Android系统的安全漏洞会得到有益补充。除了要不断改善Android自身的安全, 用户也应该加强安全维护意识, 还要对第三方程序开发商进行严格的监管, 制定出有效的应用程审核和管理机制, 这样才能使得用户对Android操作系统的支持越来越多, 才能更好地保障整个系统的安全性。
摘要:Android系统自推出以来, 就以明显的优势逐渐扩大市场占有份额。Android是一个开放性的系统, 备受开发者的青睐, 其安全性至关重要。研究了Android系统的用户ID机制、应用程序签名机制、沙箱隔离机制等安全策略, 分析了它在硬件方面、Linux内核方面及Android自身权限机制方面存在的安全隐患。
关键词:Android,安全机制,permission
参考文献
[1]蒋绍林, 王金双, 张涛, 等.Android安全研究综述[J].计算机应用与软件, 2012, 29 (10) :205-210.
[2]刘昊辰, 罗森林.Android系统木马隐藏及检测技术[J].信息网络安全, 2013, (01) :33-37.
[3]刘志伟.Android操作系统安全性增强方案的设计与实现[D].西安:西北大学, 2012.
[4]朱涛.基于Linux内核的Android安全探讨[J].电子制作, 2013, (05) :98-98.
[5]李文龙, 王灵莉.Android安全机制及应用软件安全性的研究[J].中国新技术新产品, 2013, (4) :1-3.
[6]李凡.Android系统安全机制的分析与增强[D].武汉:华中科技大学, 2012.
[7]华鹏.基于Android平台增强权限管理研究与实现[D].南京:南京理工大学, 2012.
安全仪表系统的安全生命周期 第9篇
安全仪表系统(SIS)是由国际电工委员会(IEC)标准IEC61508及IEC61511定义的独立于DCS/PLC的专门用于工业过程的安全系统,其对装置可能发生的危险或不采取措施将继续恶化的状态进行及时地响应和保护,使生产装置按照规定的条件或程序退出运行,从而使危险降低到最低程度,以保证人员、设备的安全和避免工厂周边环境的污染。安全仪表系统主要由检测部分(传感器、变送器)、逻辑运算部分、执行动作部分(阀门、泵、电机)等三部分组成。一个安全仪表系统从开始设计到最终停用要经过许多阶段,在安全仪表系统的设计和执行过程中需要考虑其整个生命周期。
2 安全仪表系统的安全生命周期模型
安全仪表系统的生命周期(SLC)模型对安全仪表系统项目的设计和执行有非常重要的指导意义。IEC61508和IEC61511定义的安全仪表系统的生命周期模型与ISA S84.01定义的安全仪表系统的生命周期模型有相似之处,其自始至终大致可以分为工艺设计、危险学习及评估、安全功能分配、系统设计、系统集成、现场安装、调试和验证、系统投运及维护、系统升级或更新换代等阶段[1]。图1给出了基于ISA S84.01的安全仪表系统的生命周期模型,它是最早的安全仪表系统的生命周期模型,现已逐渐被IEC61511安全生命周期模型所取代,但其对安全仪表系统项目的执行仍具有重要的指导意义。
2.1 工艺设计中应注意的问题
安全仪表系统的建立是为了保证人员、设备的安全或避免工厂周边环境的污染。然而其只能降低风险发生的概率,或者减轻风险发生后果的严重性,并不能完全抑制风险的发生。为降低生产过程中风险发生的概率,应保证工艺设计的固有安全性,即在工艺设计中尽可能地采用低压、低容量的设计方案。
2.2 工艺过程的危险学习、分析及评估
危险学习主要分为六个阶段:
(1)第一阶段即概念危险分析。
主要是根据工艺设计,学习和发现会导致风险发生的原料及操作,分析风险发生的形式,如爆炸、毒气泄漏污染环境等等,收集先前生产过程中危险发生的经验,但并不涉及重要的自动化工程设计。
(2)第二阶段又称为初步工艺风险分析(PHA,Process Hazard Analysis)。
在这一阶段,依据工艺流程及第一阶段的学习结果,通过依次提出典型风险然后分析引起风险原因的方法,以表格或者矩阵的方式记录风险以及引起危险的事件的顺序(SOE,Sequence Of Event),并注明危险发生的频率(frequency)及后果(consequence)。根据可以接受的危险频率及后果,利用故障树分析(Fault Tree Analysis)等方法估计出风险减少因子(RRF),并说明所采用的包括机械设施、电气设施及仪表设施在内的所有保护措施。
(3)第三阶段即工厂的危险与可操作性分析阶段(HAZOP)。
HAZOP是以系统工程为基础的一种可用于定性分析或定量评价系统危险性的方法,用于解决危险识别与安全操作两方面的问题,探明生产装置和工艺过程中的危险及其原因,寻求必要对策。通过从工艺流程、状态及参数、操作顺序、安全措施等方面着手,分析生产运行过程中工艺状态参数的变动,操作控制中可能出现的偏差,以及这些变动与偏差对系统的影响及可能导致的后果,找出出现变动和偏差的原因,明确装置或系统及生产过程中存在的主要危险、危害因素,找出装置在工艺设计、设备运行、操作以及安全措施等方面存在的不足,并针对变动与偏差的后果提出应采取的措施,为装置的安全运行与安全隐患整改提供指导。
(4)第四、第五和第六阶段分别在SIS硬件安装完成后,SIS现场软件调试前和SIS运行一段时间后进行。第四阶段学习主要是确保现场设备安装符合设计要求,并且安全仪表系统的设计涵盖了所有PHA及HAZOP中确定的危险。第五阶段的学习则是为了确保安全仪表系统全面地进行操作测试和验证,并要求第三方对安全仪表系统的设计和执行给出合格的功能安全评估(FSA)。第六阶段的学习则主要是为验证安全仪表系统的性能指标可以满足期望风险减小(desired risk reduction)的要求。
图2给出了危险学习、风险管理列表和安全系统之间的关系,其中风险管理列表中的风险及初始频率通过危险学习的前三阶段得到,通过可以接受的风险频率确定风险减少因子,并编写安全需求说明书,设计SIS的和非SIS的降低风险的方法和动作,最终得到可以接受的风险频率。在项目执行的过程中通过验证(IQ,OQ,PQ)来确保安全仪表系统可以实现期望的风险减小目标,风险管理列表的维护和升级贯穿工厂安全仪表系统的整个生命周期。
2.3 安全功能的分配
工艺过程风险评估之后,应当针对计划采用的保护层分配风险减少任务。安全功能的分配涵盖了基于ISA S84.01的安全仪表系统的生命周期模型的第三、第四及第五步。如果非安全仪表系统保护层可以将风险发生的频率降低到可以接受的范围,则没有必要采用价格昂贵的安全仪表系统。图3给出了安全仪表系统在减少风险的保护层中的位置。如非安全仪表系统不能将风险发生的频率降到可以接受的范围,则一定要采用安全仪表系统。在根据工艺定义完安全仪表系统中所有安全仪表功能(SIF)后,在这一阶段最重要的就是根据IEC61511定义的相关方法定义安全仪表功能的安全完整性等级和子系统结构,并进行可靠性分析。
2.3.1 安全完整性等级(SIL)的定义方法
安全完整性等级是指在一定时间内、一定条件下,安全相关系统执行其所规定的安全功能的可能性[2,3]。安全完整性等级与风险减少因子和平均失效概率之间的关系如表1所示。
IEC61151-3附件中(B、C、D、E、F)共定义了四种常用的定义安全完整性等级的方法:半量化方法(附件B)、安全保护层矩阵法(附件C)、风险图法(附件D,E)和保护层分析法(LOPA,附件F)[3,4]。
(1)半量化方法(Semi quantitative method)。
它是根据所有保护层的总风险减少因子(Total RRF)及其它非SIS保护层的风险减少因子,推算出SIS的风险减少因子,SIS的平均失效概率(PFDAVG)即为其风险减少因子的倒数,再根据表1所示RRF和PFDAVG与安全完整性等级之间的关系,确定SIS的SIL。图4给出了根据半量化方法计算SIS安全完整性等级的过程。图5所示的事件树(Event Tree)清晰记录了一个防止有毒气体泄漏的系统各保护层的平均失效概率及安全完整性等级,在用半量化方法确定SIS的SIL时,事件树为SIS的SIL的最终确定提供了重要依据。但是,在很多场合下很难精确地确定非安全仪表系统的风险减少因子(或安全完整性等级),因而无法精确得到SIS的安全完整性等级,这就为使用其它方法来确定SIS的SIL提供了重要的前提。
(2)基于IEC61151-3附件C的安全保护层矩阵法(Safety Layer Matrix Diagram)。
首先将危险事件的后果分为轻微、严重和重大三类,将危险事件的概率分为低、中、高三类,将独立保护层的数量定义为1、2、3等三层(SIS为其中的一层)。其中,要求针对危险学习中的危险所设计的每一保护层的风险减少因子至少在10以上,保护层之间没有公共的失效原因(Common Cause)且保护层的功能可以进行独立验证(Validation)[5]。将保护层的数量作为纵坐标,将危险事件的后果及概率作为双横坐标就得到了图6所示的安全风险矩阵,其中每一个矩阵元素代表一个安全完整性水平,这个安全完整性水平代表SIS使一个具有相应后果和可能性的事件的风险降低到允许范围所必需的安全完整性等级。安全保护层矩阵法在使用中应根据工厂实际情况,确定危险的后果、概率及独立保护层的层数后,再根据图6所示的矩阵图定出SIS的安全完整性等级。
(3)基于IEC61151-3附件D的校准风险图法(Calibrated risk graph)。
SIS的安全完整性等级(SIL)蕴涵在风险图的结构中。校准风险图使用4个参数来确定SIS的SIL:后果C,处于危险区域的时间F,避开危险的概率P和要求频率W。图7为校准风险图法的示意图,在使用过程中,从评估起点开始,根据工艺及危险学习结果,参照图7中后果的分类参数、处于危险区域的时间的分类参数、避开危险的概率的分类参数[6],最终找到要求频率矩阵中对应的SIS的安全完整性等级。
(4)基于IEC61151-3附件E的保护层分析法(LOPA,Layers Of Protection Analysis)。
它是严格依据工厂的危险与可操作性分析(HAZOP)结果的一种安全完整性等级评定方法[5]。该方法要求设计人员制作一张表格,分12栏分别列出危险事件的名称及后果描述、危险后果的严重性及可容忍的风险概率、导致风险发生的原因(SOE)、导致危险发生的原因的概率、减小风险发生的工艺设计或装置及其对应的PFD、减小风险发生概率的BPCS控制回路及其对应的PFD、减小风险发生的各类报警和操作员反应及其对应的PFD、减轻风险后果的缓解保护层及其对应的PFD、其它完全独立的保护层(IPL)及其对应的PFD、导致风险发生的初始原因的发生频率与各保护层的PFD的乘积、SIF的PFD以及导致风险发生的初始原因发生的最终频率。其中,每一个SIF的PFD都是根据可容忍的风险频率和导致风险的原因的初始频率与其它保护层的PFD的乘积的商来确定的。目前,LOPA越来越多地被美国及其它欧洲国家的大型工程公司所采用。
注:CA轻微伤害;CB严重伤害:致命率小于0.1;CC少数致命;CD多人致命;FA处于受风险影响的区域的时间少于总时间的10%;FB经常到持续处于受意外影响的区域;PA操作人员有足够的反应撤离时间;PB操作人员无足够的反应撤离时间;W1小于0.03次每年;W2介于0.03次和0.3次之间每年;W3介于0.3次和3次之间每年;-没有安全需求;a没有特别的安全需求;b单独E/E/PES达不到预期效果;1,2,3,4需要的安全完整性等级
2.3.2 子系统结构及失效裕度的确定
当安全仪表系统的安全仪表功能和安全完整性等级确定以后,可以采用不同冗余结构和失效裕度(FT,Fault Tolerance)的子系统结构来实现SIF期望的安全完整性等级。在确定子系统冗余结构的过程中要折中考虑安全性(PFDAVG)与可用性(错误停车率),因为单纯追求安全性致使错误停车率太高会降低工厂的生产效益。在实际过程中常见的冗余结构有1oo1(FT=0),1oo2(FT=1),2oo3(FT=1),1oo2D(FT=1)和2oo4D(FT=2)。在通常情况下,安全失效分数(SFF,Safe failure fraction)越大,使相关子系统达到期望SIL的失效裕度(FT)越小。表2给出了一个逻辑控制器子系统的SIL与SFF及FT之间的关系。同理,对于检测部分和执行器部分,如果设备满足使用经验总结,设备密码保护,SIL4要求以下且设备只能设置与过程相关的参数,那么同样SIL要求的情况下,设备的失效裕度(FT)可以减少1。通常在SIS的设计过程中,设备冗余结构采用最多的是2oo3(FT=1)和1oo2D(FT=1)。
2.3.3 安全仪表系统的可靠性分析
在安全仪表系统的安全仪表功能设计完成、安全仪表等级确定且各个SIF的子系统结构确定以后,应当对SIS(所有SIF)进行可靠性分析以确保其满足设计的要求。安全仪表系统的可靠性分析包括对错误停车率(spurious trips)和平均失效概率(PFDAVG)进行计算,如果每一个安全仪表功能的错误停车率和平均失效概率都好于或等于设计的期望值,才能根据之前的设计编写安全需求说明书(SRS,Safety Requirement Specification)。安全仪表功能的子系统结构可靠性功能结构如图8所示,其分析计算公式如表3所示。
注:MTBFsp两次错误停车之间的时间;MTTF两次失效之间的时间;λs显性失效导致的错误停车率;λd隐性失效的危险失效率;DC诊断覆盖率;λDD通过自诊断方式发现的危险失效率;λDU通过手动测试方式发现的危险失效率;λD可检测的危险失效率
一个完整的SIF的PFDAVG应当为检测部分(Sensor)、逻辑运算部分(Logic Solver)和执行动作部分(Actuator)三部分的PFDAVG之和,同样一个完整的SIF的错误停车率(Spurious trip rate)也应当为检测部分、逻辑运算部和执行动作部分三部分的错误停车率之和。
注:MTTR平均修复时间;Ti连续两次手动测试之间的时间
2.4 安全仪表系统的设计
安全功能分配好之后,安全仪表系统项目的执行会由工艺部门交接给自动化部门,由工程公司或设计院的自动化部门进行安全仪表系统的设计。安全仪表系统的设计一般分为概念设计、初步设计及细节设计三个阶段。工程公司或设计院的自动化部门在设计阶段需要编写安全需求说明书、仪表需求说明书及逻辑运算器的需求说明书,绘制每一个SIF的P&ID,制作I/O及仪表清单,招标并选择承包商,然后由承包商完成安全仪表系统的集成、安装、调试。
2.4.1 安全需求说明书(SRS)的编写
安全需求说明书(SRS,Safety Requirement Specification)是一份由工程公司或设计院编写的详细定义工厂安全仪表系统的功能和要求的书面文档。SRS根据安全功能分配阶段定义的SIF及相应的SIL等文档,针对每一个SIF,详细定义其工艺的安全状态、导致停车的原因(SOE)、停车逻辑及停车时执行器的动作(得电或失电状态),同时要定义要求该SIF实现的风险减少和SIL以及对错误停车率的限制等等。此外,还要求在P&ID上详细体现出每一个SIF,并绘制停车的因果矩阵图及逻辑图。表4、图9分别给出了一个停车因果矩阵表及逻辑图典型示例。
注意:停车设备只有在操作员确认后才能重启
2.4.2 安全仪表系统概念设计、初步设计及细节设计
国外大型工程公司一般将自动化项目的设计分为概念设计(Concept Design)、初步设计(Preliminary Design)和细节设计(Detail Design)三步。安全仪表系统SIS的概念设计只需较为准确地给出系统结构图,这一阶段的I/O、仪表设备清单只能作为初步设计的参考,具有很大的不确定性。初步设计则需要准确地绘制出系统结构图,较精确地绘制每一个SIF的P&ID,此外还需要较精确地编写仪表需求说明书(包括SIL及相关的评估报告和认证证书、使用经验总结、设备密码保护、信号输出、过程连接、供电方式、测量介质、抗压能力及防爆要求等等)及逻辑运算器Logic Solver的需求说明书(包括SIL及相关的评估报告和认证证书、系统软件、应用软件、Logic Solver的运算速度、Logic Solver的负载能力、Logic Solver的安装环境、LVL的编程方式、控制模块的搭建方式、上位机的硬件配置、图形界面的要求、仿真要求、FAT要求等等),并统计I/O、仪表数量,列出I/O及仪表清单,初步设计的准确度应当达到80%以上。细节设计则要求精确给出系统结构图、P&ID、仪表需求说明书及逻辑运算器的需求说明书、I/O清单、仪表清单,细节设计的准确度应当达到100%。每一阶段的设计完成后,工程公司都会进行招标并评估承包商的方案及报价,并在细节设计完成之后的招标中依据承包商的方案、报价及业主的倾向确定最终的承包商。
2.5 安全仪表系统的集成、安装、调试及验证
当承包商选定之后,由承包商最终完成安全仪表系统(逻辑运算器和仪表)的集成、安装、调试。当逻辑运算器的承包商(HIMA等等)集成完毕并由工程公司和业主在FAT报告上签字后,逻辑运算器及仪表的承包商(E+H,EMERSON等等)应当在现场进行(指导)安装,在工程公司或第三方的监督下完成IQ并提供相应的IQ报告。此后,由逻辑运算器及仪表的承包商共同完成安全仪表系统的调试,在工程公司或第三方的监督下完成OQ并提供相应的OQ报告。最后再在工程公司或第三方的监督下由承包商进行试运行,确保安全仪表系统的安全性及可用性达到了设计的要求后才能交接给业主进行使用。
2.6 安全仪表系统的投运、维护、周期性功能测试、PQ及变更(停运)
当承包商完成与业主的交接后,业主依据承包商提供的操作及维护手册对安全仪表系统进行使用和维护,并周期性地进行功能测试以保证安全仪表系统的安全性。每隔一段时间后,还应当对安全仪表系统的性能进行评估(PQ)。
当业主有新的使用要求时,需从工艺设计开始重新进行以上所有步骤。当使用一定阶段后,系统及仪表老化,PQ不能达到业主与设计的要求时,应当对该安全仪表系统进行升级或废弃处理。
3 小 结
目前安全仪表系统产品的安全性能已日趋提高,很多承包商的产品采用1oo1结构就可以达到SIL3的要求,如恩德斯豪斯自动化设备有限公司Liquiphant M系列音叉(FTL50、FTL51,PFM输出)、Liquiphant S系列音叉(FTL70、FTL71,PFM输出)等产品。但是,单纯靠使用高安全性能产品来提高安全仪表系统的安全性,代价往往会比较昂贵,在国外增加安全仪表系统的SIL的一般费用是一个回路增加一级约增加9104 US$[7]。如何在保证安全的基础上尽可能少投入,是所有需要使用安全仪表系统的企业所关注的。符合IEC标准的安全生命周期对安全仪表系统项目设计及执行具有极其重要的意义,依据IEC61511和IEC61508定义的方法,按照安全生命周期模型定义的工艺设计、危险学习及评估、安全功能分配、系统设计、系统集成、现场安装、调试和验证、系统投运及维护、系统升级或更新换代等步骤一步一步去规划和执行安全仪表系统项目,才能使安全仪表系统项目的设计和执行达到最优化,以最低的项目成本实现工厂的安全需求。
摘要:阐述了基于ISA S84.01的安全仪表系统的安全生命周期。对安全仪表系统在设计和执行过程中的危险学习、安全完整性等级的评定、子系统结构的选择、可靠性分析等关键技术的主要过程和方法进行了详细的介绍。
关键词:安全仪表系统,安全仪表功能,安全完整性等级,安全生命周期
参考文献
[1]ANSI/ISA-84.01,Application of Safety Instrumented Systemsfor Process Industries,Instrument Society of America[S].
[2]IEC61508,Functional Safety of Electrical/Electronic/Pro-grammable Electronic Safety-Related Systems,InternationalElectro-technical Commission[S].
[3]IEC61511,Functional Safety of Electrical/Electronic/Pro-grammable Electronic Safety-Related Systems,InternationalElectro-technical Commission[S].
[4]MARSZAL E,SCHARPFE.Safety Integrity Level Selection:Systematic Methods Including Layer of Protection Analysis[M].US:ISA,2002:165-177.
[5]STAVRIANIDIS P,KBHIMAVARAPU K.Performance-basedStandards:Safety Instrumented Functions and Safety IntegritLevels[J].Journal of Hazardous Materials,2000,71(1):449-465.
[6]郭海涛,阳宪惠.一种安全仪表系统SIL分配的定量方法[J].化工自动化及仪表,2006,33(2):65-67.
计算机操作系统的安全加固探析 第10篇
在科学技术快速发展的带动下, 计算机网络应用日益普遍, 也使得网络安全问题成为社会发展中一个非常重要的问题。计算机操作系统作为用户针对信息进行处理的软件环境, 其运行的高效性、安全性和可靠性直接关系着信息处理质量。因此, 重视计算机操作系统的安全问题, 做好相应的防范和加固措施, 切实保障计算机操作系统的运行安全, 是需要相关技术人员重点关注的问题。
1 计算机操作系统常见安全问题
在计算机运行过程中, 受各种因素的影响, 计算机操作系统中经常会出现一些安全问题, 影响系统安全, 这些问题主要体现在以下几个方面。
1.1 系统漏洞
系统漏洞是指在操作系统内部存在的, 可能允许未经授权用户对系统进行访问的软硬件特征, 属于操作系统自身的缺陷。系统漏洞表现为三种形式, 一是物理漏洞, 即未经授权的用户能够对系统中不被允许的内容进行访问, 导致系统信息的泄露;二是软件漏洞, 主要是由于错误授权的应用程序所导致的漏洞;三是不兼容漏洞, 即由于操作系统在开发过程中存在不兼容问题, 进而导致的漏洞。计算机漏洞的存在严重影响了系统安全, 如果不能及时打上安全补丁, 则系统可能会遭受黑客的恶意攻击, 从而造成难以估量的损失。
1.2 程序安全
用户程序自身的安全性通常表现在程序的耗时性、兼容性、稳定性、病毒性以及死锁问题等, 受各种因素的影响, 在用户程序中, 或多或少都存在着一定的缺陷, 这些缺陷多是由于程序设计或者编程过程中的不合理逻辑造成的, 可能是设计人员无意识的误操作, 也可能是有意为之。
1.3 数据库安全
操作系统中的数据库安全, 通常体现在数据库的完整性、可审计性、访问控制用户认证以及保密性等方面。数据库中存在的不安全因素, 包括了数据的损坏、篡改和窃取三种情况, 除去一些黑客与病毒的恶意攻击, 数据库本身也存在着数据错误、安全机制不完善等风险因素。
2 计算机操作系统的安全加固措施
针对上述安全问题, 计算机使用人员和管理人员应该充分重视, 采取切实可行的安全防范加固措施, 及时消除和解决计算机操作系统中存在的安全隐患, 确保计算机操作系统运行的稳定和安全。
2.1 数据信息的安全防范
数据信息在计算机操作系统中的重要性是不言而喻的, 其安全防范工作应该从几个方面入手:一是应该强化访问控制, 对数据信息的访问权限进行设置, 未经授权的用户不得对其进行访问, 用户可以根据自身的缺陷, 对相应的内容进行访问。这一目标可以通过用户标识认证、数据完整性审查、数据库并发以及安全过滤器等技术实现;二是应该对一些重要文件进行加密处理, 提升文件的安全性, 确保其不会被随意篡改和窃取;三是应该做好数据的备份工作, 减少意外情况所造成的数据损坏和丢失。
2.2 系统漏洞的防范处理
一是应该做好日志监视工作, 在操作系统中实施相应的安全审核策略, 由系统管理人员定期对系统中的安全日志记录进行检查, 对各种应用的日志文件进行查看, 实现对系统状态的监测。这样, 一旦计算机操作系统出现漏洞, 安全日志上会有所显示, 通过日志检查, 管理人员能够及时发现系统漏洞, 及时对其进行修复处理。二是应该做好系统进程及相关信息的监视工作, 从计算机任务管理器, 对进程进行查看, 看是否存在异常。通常情况下, 隐藏的进程多存在于其他进程之下, 可以通过进程内存映像, 对其进行观察。通过对系统进程及相关信息的检查, 能够掌握计算机操作系统的信息和运行状态, 及时发现和解决系统中存在的问题。一般情况下, 计算机操作系统在发现漏洞后, 都会主动发出警告, 提醒用户对漏洞进行修复, 在对漏洞补丁进行下载时, 应该关注补丁的更新源, 以防止有非法的组织通过提供假的更新源向主机注入后门程序。
2.3 系统防火墙安装
防火墙是一个由软件和硬件设备组合而成的, 建立在内部网与外部网之间、专用网与公共网之间的保护屏障, 能够保护内部网免受非法用户的侵入, 对网络之间的通信进行管理和控制, 属于一种强制性的安全防范措施。在计算机操作系统中, 安装系统防火墙, 能够对系统数据进行保护, 避免重要数据的遗失。防火墙能够准确识别并屏蔽非法用户的访问请求, 还可以禁止超越权限的信息访问, 能够对操作系统和互联网之间的信息交换进行相应的监测和过滤。
2.4 操作系统修复
对于计算机操作系统的修复, 可以通过计算机硬盘备份软件GHOST来完成, 该软件能够将计算机中的数据完全复制到另外的硬盘中, 无论计算机采用的是哪一种操作系统, 都能够实现快速克隆。GHOST的操作流程为:选择一台配置相近的计算机, 将其操作系统以及各种数据信息复制到GHOST中, 利用GHOST将操作系统制作成为一个映像文件。当相同配置的计算机遭受黑客入侵或者病毒破坏产生损坏时, 可以利用GHOST软件, 对计算机操作系统进行还原, 以保证系统中重要程序的安全。不仅如此, 还可以利用移动硬盘, 对GHOST中的镜像文件进行备份, 转移到其他计算机中, 实现系统的修复。
2.5 隔离控制
(1) 普通隔离:主要是指在物理层面上的隔离, 使得不同的用户程序只能分配到相应的物理对象。例如, 安全级别不同的用户分配到不同的打印机设备, 对于特殊用户的高密级运算, 则可以在CPU一级进行隔离, 采用专门的CPU进行运算, 以保障信息安全。 (2) 时间隔离:时间隔离是指针对安全需求不同的用户进程, 对其运行时间进行分配, 当用户需要对高密级信息进行运算时, 可以拥有计算机系统的最大权限。 (3) 逻辑隔离:逻辑隔离是在确保多个用户相互独立存在的前提下, 保障其同时运行, 在操作系统内部, 对各个进程的运行区域进行限定, 禁止用户进程在没有经过授权的情况下对其他进程进行访问。 (4) 加密隔离:主要是通过加密的方式, 将系统进程及计算活动隐藏起来, 以密码的形式, 对口令及系统核心数据进行存储, 避免用户的访问, 从而保证操作系统的安全。上述几种隔离方法的复杂性是逐步递增的, 而且都具有较高的安全性, 尤其是后两种隔离方法, 主要是解决计算机操作系统自身的功能实现的, 用户可以根据实际需求, 对隔离方法进行选择和应用。
3 结束语
从目前的发展情况来看, 针对计算机操作系统的安全攻击类型越来越多, 很容易造成信息的泄露, 给用户带来巨大的经济损失。对此, 在对计算机进行使用时, 应该加强防范意识, 对计算机操作系统进行安全加固处理, 切实做好计算机软件、硬件和数据的防护工作, 保证计算机操作系统的运行安全。
摘要:在当前的信息化社会, 由于信息资源传输和共享的需要, 计算机技术与计算机网络技术在各个领域和行业中都得到了前所未有的发展。在整个计算机的运行过程中, 计算机操作系统的安全直接影响着其性能的有效发挥, 也影响着信息传输的稳定和安全。文章对计算机操作系统中存在的安全问题进行了分析, 并就相应的安全加固策略进行了研究和阐述。
关键词:计算机,操作系统,安全加固
参考文献
[1]于平华, 马连喜, 李欣, 等.计算机操作系统的安全问题与防范对策[J].计算机光盘软件与应用, 2014 (20) :165+167.
[2]冯昀, 黎洁文.计算机操作系统的安全加固探讨[J].广西通信技术, 2013 (4) :44-50.
[3]张伟杰.计算机操作系统的安全设置与防范[J].科技视界, 2014 (29) :92.
[4]柴育峰.浅析服务器操作系统的安全加固[J].科技视界, 2013 (5) :38-39.
操作系统的安全 第11篇
关键词:医院信息系统;安全;国家安全
中图分类号:TP311.52文献标识码:A文章编号:1007-9599 (2010) 13-0000-01
The Hospital Information System Security and National Security Relations
Xu Jing1,Qin Lei2
(1.The Third Xiangya Hospital of Central South University,Changsha410013,China;2.National University of Defense Technology,Changsha410073,China)
Abstract:The HIS(Hospital Information System) is becoming more and more widely applied.The role it plays in society is quite out-standing.Information security is the core of untraditional national security.The security closely related to political security,economical security and social security which are important parts of traditional national security.Therefore,its status is obviously vital.
Keywords:HIS;Security;National security
随着全球信息化的不断发展,信息安全问题日益凸显。信息安全作为非传统安全的核心内容,备受各国的关注,并成为国家安全体系中的关键要素。作为信息安全重要组成部分的医院信息系统是利用计算机软硬件技术、网络通讯技术等现代化手段,对医院及其所属各部门对人流、物流、财流进行综合管理,对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务。医院信息系统的安全与否关系到国家安全体系中的各个方面。
一、医院信息系统安全与经济安全
随着冷战的结束和时代主题的转换,经济增长与经济安全的需求已成为世界各国最大的需求,经济安全上升为最重要的地位。经济的发展不仅构成国家综合国力的基础,也是国家安全的核心内容和根本所在。进入到信息时代后,越来越多的经济活动借助于网络进行,以信息网络为手段的经济活动已深入到经济生活的各个方面。网络安全与经济安全的关系日益密切,经济的发展越来越依赖于信息网络,而信息网络的安全则越来越直接地决定着经济发展的速度和命脉。可见,随着工业经济向知识经济的转变,信息在成为整个经济的基础的同时,也使信息安全以及由它所决定的金融安全成为国家经济安全的核心和命脉。
医疗卫生事业是国家经济的重要部分,涉及国民经济的各个方面,医院信息系统是发展社会经济的重要载体。医院的经济往来包括了医疗器械药品的购买、患者医疗费用、工作人员的福利待遇等等,这些构成了医院信息系统的财务管理系统。安全、可靠的医院财务管理系统是医院运营的基础。在医院信息系统中,存储着与经营相关的所有财务收入数据,一旦发生财务数据丢失,必然对医院经济收入造成损失。特别是与经营活动密切相关的收费和物价系统,不允许发生任何的事故和偏差,若发生系统瘫痪或数据丢失等安全问题,不仅会严重影响正常的医疗工作秩序,而且会造成财务管理的混乱,带来严重的经济损失。
二、医院信息系统安全与政治安全
当今世界,政治活动与政治较量,越来越集中地体现于信息网络系统之中。借助于信息网络系统,政治斗争的范围扩大了,形式改变了,铺天盖地般地展开了,无声无息地进行着。信息安全与政治之间的关系因此复杂化了、普遍化了。信息攻击与防御能力的水平和实力在很大程度上标志着政治影响力的大小和能力。政治安全对信息安全的依赖程度空前地提高了,信息安全的水平直接影响到国家政治的安全与稳定。
医院的很多信息涉及国家机密,按照规定不能对外公布。有些情况下通过非法手段侵入医院信息系统获取相关资料不仅获得巨大的经济利益,甚至造成重大政治影响。别有用心的组织或者人员以一定的患者信息为基础杜撰分析结果,大肆渲染某地区的劳工伤病等问题,挑起政治事端。
三、医院信息系统安全与军事安全
信息技术的飞速发展带动了新军事革命的发展,引发了战争形态由机械化战争向信息化战争的质的飞跃。与机械化战争不同,信息化战争以信息化武器装备为手段,以夺取信息优势为战略指导,以信息化指挥系统为核心,以电子战、信息战、远程精确打击和空间战等为主要作战样式,是诸军兵种联合作战的复杂电磁条件下的战争。同时,战场也随着战争方式的转变而变化,由单一的接触性战场转变为多样性战场,包括看不见摸不到的网络。它对信息网络系统具有极高的依赖性。因此,信息安全对军事活动的核心作用和决定意义前所未有地突出出来。信息安全保障能力和实力成为信息时代军事能力和实力的实质和核心。
网络攻击已成为当今社会纷纷议论的热门话题,它不仅严重侵害了广大用户的正当权益,更给国家安全特别是军事安全带来了极大的危害。医院信息系统作为医院正常运行的基本保障系统,与医院的经营管理和各项医疗活动密切相关,其涉及医疗活动的每一个环节,任何的事故或安全问题,都将会给医院的正常医疗活动造成无法估量的损失。如果信息系统突然故障或者发生意外,且医院在应对突发事件的反应方面没有充分的准备,那么病人通常会被滞留在就诊大厅内,如果在就诊高峰时间,病人只进入不离开,其后果不堪设想。如果在战争中发生此类情况,将造成重大的人员伤亡。因此医院信息系统也是无声的战场。
四、医院信息系统安全与社会安全
在全球信息化高速发展的今天,来自网上的威胁日益增加,这给社会安全带来了新的挑战和威胁,信息安全与社会的关系日益密切和复杂。信息安全问题日益增多,信息犯罪应运而生,严重影响着社会治安。信息犯罪严重扰乱社会经济秩序。
医院患者权益的需要尊重和保护患者隐私,保证患者的医疗数据和信息安全是医院应尽的责任和义务。由于信息系统安全因素,而导致的患者隐私泄漏或医疗资料信息丢失不仅是对患者权益的侵害,同时也会为医院带来难以处置的法律风险和后果。从维护社会稳定和保障患者权益的高度认识和加强医院信息系统安全建设,是医院运行和发展的客观要求。
2008年春节前后,深圳就发生了一次全市的孕妇信息库泄露事件,不法分子将孕妇的资料制成了“泄密光盘”,4万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、暂住、常住)、家庭住址、联系电话,以及就诊医院及预产期的信息以每条0.3元的价格进行销售,更令人咂舌的是这些信息每月还“滚动更新”,累计达到了10万条。同时,很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的目的。此类事件造成了极坏的社会影响。针对这种情形,全国人大常委会通过了刑法修正案(七)的表决,并且从颁布之日起实施。修正案规定单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。
医院信息系統每天24小时不间断运行,其安全问题就成为系统能否持续正常运行的关键。安全是医院信息系统的生命线,只有安全的信息才是有用的信息。我国大多数医院信息中心通过各种途径维护信息安全,但依然存在诸多安全方面的隐患,加强医院信息系统安全建设的工作仍然任重道远。
参考文献:
[1]Michael E.Whitman.信息安全原理.清华大学出版社,2006,3
安全仪表系统的功能安全测试研究 第12篇
关键词:安全仪表功能,工厂验收测试,离线测试,在线测试,测试流程
1 引 言
安全仪表系统 (SIS) 在石油、化工等流程工业领域中的应用越来越多[1]。人们对SIS的依赖性逐渐增强, 同时, 系统安全功能失效导致的危险也在增加。安全仪表系统作为保障生产安全的重要措施, 需要在危险发生时正确地执行其安全功能[2], 系统投入运行前和运行后严格而有效的测试验证是维持所需安全完整性等级 (SIL) 和保证系统功能安全的关键。虽然IEC61511对安全仪表系统的分析、设计、实施、运行和维护给出了相关的指导原则, 但对于安全仪表系统如何进行合理、有效的测试, 尤其对安全仪表功能 (SIF) 器件及系统测试的要求、测试方法和测试流程等各方面并没有进行详细阐述。
目前, 我国在安全仪表系统测试验证的要求、技术方法与测试流程等方面的专项研究刚开始, 现有工程上的安全仪表系统的测试验证基本上采取常规过程控制系统的测试方法进行, 缺乏针对SIS的具体测试技术方法、流程和规范的指导, 测试的要求也不明确, 无法满足SIS的测试要求和整体安全生命周期的功能安全管理要求。因此, 研究安全仪表系统投入运行前和运行后各阶段SIF的各部件及系统的具体测试要求、测试技术方法和测试流程来保证SIS的功能和性能具有重要的现实指导意义。
笔者阐述了安全仪表系统投入运行前与运行后进行的测试内容和要求, 给出SIF各组成部分的离线测试和在线测试的内容和指导原则, 对实施离线测试和在线测试的流程、测试要求及方法等方面进行了详细的分析和讨论。所提出的系统和部件的测试方法、流程和测试要求等内容可为规划和管理安全仪表系统SIF整体生命周期的测试验证提供有力的指导, 也为安全仪表系统的分析、设计、开发、运行和维护等各阶段活动提供参考。
2 SIS投入运行前的测试及要求
在SIS安装到企业现场前需要对逻辑演算器和相关软件一起进行测试, 这种测试称为工厂验收测试 (FAT) , 有时也称为集成测试, 目的是确保逻辑演算器及相关软件满足安全要求规范中定义的要求[3], FAT测试可以较容易地将错误尽早地辨识出来进行校正。进行FAT测试前, 需要编制计划确定实施测试的类型、测试用例、测试描述和测试数据、与其他系统或接口的独立性、测试环境和工具、逻辑演算器配置、判断测试完成的测试准则、测试失败时的校正流程、测试人员的资格、测试的地点这几部分。其中, 测试的类型包括黑盒系统功能性测试 (把系统视为一个“黑盒”的测试设计方法, 从而无需使用系统内部结构知识, 有时又称为行为测试、功能性测试、密封盒测试) 、性能测试 (定时、可靠性、可用性、完整性、安全目标和约束) 、环境测试 (EMC、寿命和应力测试) 、接口测试、在各种降级和/或故障模式下的测试、异常状态下的测试、SIS维护和操作手册的应用。对于每一个测试, 应包含所使用测试计划的版本、项目测试的说明、测试活动的日志、使用的工具、设备和接口等内容。工厂验收测试应该进行建档, 它是整个安全系统文档的一部分, 根据IEC61511-1要求, 应包含测试例子、测试结果、目标和测试标准是否满足等内容。如果测试过程中出现失败, 则应把失败原因写入文档, 并进行分析, 采取相应的改进措施。
在安全仪表系统的SIF正式投入使用前, 需要对SIF的部件进行校准测试和性能确认。校准测试设备应出于认可的标准性能组织, 用于对传感器、控制器到终端输出设备整个回路进行满量程的至少三点校准 (5%、50%和95%) , 以防止标定错误。对阀门也应该进行校准测试, 以校验其行程的全开和全闭位置。
SIF中每种类型的部件都应有校准程序。一般来说, 应该使用部件制造商推荐的校准程序。在有额外要求 (如传感器或阀门的响应时间) 以满足SIF的特殊功能时, 在校准过程中这些都应该进行测试。SIF元件校核的程序应验证新近校验的现场传感器与过程的实际读数是合理一致的。表1给出了校验任务的指导方针及校验SIF部件的资源。
3 SIS投入运行后的测试
是否应将SIF作为一个集成系统进行测试或对SIF的不同部分在不同的时间进行测试有不同意见。很多标准中并未要求SIF所有测试必须同时进行。在引入危险物质前, 作为预启动验收测试的集成测试必须进行以确保SIF可实现安全要求规范中所规定的功能。这些未检测到失效的测试是逐步进行还是整体集成进行功能测试并不重要, 重要的是失效能被及时发现并进行了校正[4]。通常, 根据SIF的完整性要求安排测试。SIS的不同部分可能要求不同的测试频率, 校验测试的频率与平均失效概率 (PFDavg) 计算时所使用的测试频率一样。
用于发现可能导致SIF失效最主要的手段是离线功能测试, 它是在被保护的过程不处于工作状态下进行的, 可以验证所有的SIF性能。由于有很多过程的作业周期大于为保障安全完整性要求所进行的测试周期, 而离线测试必须停产, 流程工业中系统停车的成本较高, 启动生产和停产的过程通常又是过程生命周期中危险性最高的阶段。因此, 能在过程运行的情况下, 具备执行在线测试的能力是必需的。无论测试是离线还是在线进行, 都需有一定的方法, 在一定的要求下来实施以确保能以较高的概率检测出可能发生的故障。
每个SIF都应该有具体的书面测试流程, 内容包括:SIF包含的安全功能列表;每个安全功能的设备描述及位置;每个安全功能的功能逻辑;检查程序;校核和测试方法;校核、测试、检查及维护活动的频率;指定可接受的性能限值 (若无指定限值, 为量程±2%偏差) ;若需要的话, 指定测试顺序;指定应该进行测试的人员;指出进行测试时的过程状态;如果SIF逻辑映射在BPCS中, 测试应该显示SIF驱动的终端控制设备;在测试完成后验证SIF的操作状态;内部和外部诊断测试;核对附属服务元件是工作状态的;定义一种方法, 保证测试能够进行并有记录。所有的测试程序都应包含测试的系统, 在流程中每一页中都有页码及修改的日期。在测试流程中应制定维护每一个流程的负责人。
4 安全仪表系统的离线测试
离线测试可对SIS中的每个SIF (包括应用软件、硬件设备及用于在线测试的相关逻辑设备) 进行完整的测试。要将每个SIF及其相关输入、输出及逻辑都辨识出来进行校验, 制定的测试程序要明确每个SIF是如何进行验证的。实现测试所必需的所有装备 (包括具备追踪功能的校准设备等) 都应进行标识和校验。SIS的全面功能测试包含所有的SIF各部分及其动态性能, 如热电偶、变送器、输入周期时间、逻辑周期时间、输出信号周期时间以及所有必需的终端控制单元, 以确保满足性能指标[5]。
确定离线测试如何进行是非常关键的, 下面给出SIF部件进行离线测试的测试内容、方法和流程。
4.1 SIF部件离线测试内容
验证对象为传感器, 测试内容包括检测部分、开关或变送器、布线和逻辑演算器输入模块等;验证对象为逻辑演算器, 测试内容包括与每个输入设备相关的软件和硬件、集成输入、跳变 (trip) 设定点、运行顺序、诊断和计算等;验证对象为最终控制单元, 测试内容包括逻辑演算器输出模块、布线、执行设备 (如继电器) 和影响过程运行的最终控制部分;验证对象为单个SIF和整体系统的功能, 测试内容包括安全参数在某个指定时间内必须动作的响应速度、将SIF输出带入安全状态的手动停止功能、用户实施的诊断、测试后的SIF可操作性。如果SIF元件经过维修或被替换、替代过, 那么校验和测试有所不同。对于现场设备 (如变送器、继电器、开关、阀门等) 要进行校准, 验证开关设定和阀门行程, 同时, 验证SIF修改或替代器件能正确运作, 如所有修复或替代器件输入/输出的功能测试;对从替代传感器到SIF中其他器件信号流的功能性校验;从逻辑演算器到替换阀门的信号流的功能性校验。对于逻辑演算器及I/O模块, 如果逻辑演算器系统包含有内部诊断和报告可以验证器件的可操作性, 那么所替代的逻辑演算器器件其输入至输出的功能测试就不必要。
4.2 各部件的离线测试方法与流程
4.2.1 传感器离线测试方法与流程
利用测量源来模拟传感器的输入和毫安模拟工具模拟传感器的输出来测试传感器。使用模拟测量输入给传感器是最可靠和常用的技术, 可用于测试传感器、连线及接收设备。在输出端使用电流模拟仪器来测试连线与接收设备。
每一个部件离线状态都应进行检查并基于与过程离线状态相应的预期值进行验证。下面给出验证SIF中传感器运行的测试方法和流程, 以测试毫安压力传感器 (传感与变送一体) 为例。利用4~20 mA的信号模拟器通过下面步骤来验证传感器的故障情况, 测试流程如图1所示。
4.2.2 逻辑演算器离线测试方法和流程
当测试逻辑演算器时, 利用SIF特定的功能测试程序, 包括书面流程、逻辑框图、控制线路图、电气控制图表和检查表。通过人为创造故障条件并利用HMI来测试每个SIF以验证其在HMI上的响应, 观察最终控制单元。
利用被测试逻辑设备的PLC编程器及HMI对所编程的逻辑功能进行逐项测试。彻底检查和核对内部的校验用换算系数。通过人工改变输入和输出值来测试量程范围。利用认证的检测仪和PLC来测试每个传感器, 验证PLC获得的测量值经换算是否与检测仪的测量值一致。若两者的差值超过测量范围2%, 则其性能是不可接受的。下面给出复杂逻辑系统的功能测试的流程和要求。
(1) 测试人员要求:只有具备SIS维修资格的人员才可进行该SIS测试工作。
(2) 书面测试流程:如果相关的过程单元没有完全停止工作, 且强制输入和输出用于功能测试工作的一部分, 那么在批准进行逻辑演算器测试工作之前需制定详细步骤的功能测试流程。
(3) 重新激活紧急停车点:所有的SIS点都必须在完成测试任务后恢复。在完成功能测试后, 激活的I/O必须根据主单进行检查, 并将此检查进行记录作为变更管理的依据, 此记录应该与对象的SIS记录一起存档。
(4) SIS系统功能测试依据现场变化和维修。要拿到记录有SIS系统现场变化或修改信息的参考文档, 包含控制流程图、SIS逻辑框图、梯形列表和数据映射字典、SIS示意图。
(5) 当对逻辑演算器软件进行变更时, 所使用的流程应遵循公司指南或以往惯例。
(6) 与主机程序比较:通过使用安全PLC配置站的上传-比较工具功能将逻辑演算器SIS中逻辑程序跟主机内程序进行比较。如果没有发现程序上的变化而只有计划性的修改, 那么不需要对现有未变的SIS逻辑进行输入-输出功能检查。
(7) 程序比较列表:打印出程序比较列表并将其与传感器和过程执行器的功能检查的文档一起备案。
(8) 功能检查:SIS逻辑的任何改动都需要进行功能性检查, 检查流程为:通过通讯模块将逻辑器中的数字量和模拟值输入读取到BPCS, 在BPCS操作工作站上进行监测。在PLC逻辑中的信号以及由逻辑演算器接收到的任何输入信号并不能直接输入到BPCS时, 将安全PLC配置计算机连接到逻辑器。当模拟输入现场值范围改变时, 安全PLC配置计算机用于校验正确的SIS程序值。为功能性检查与SIS变化相关的模拟和数字输入, 确认PLC逻辑能正确读取数字输入状态和0%、50%及100%的模拟输入信号值;任何一个输入点都不禁止, 除非需要禁止一个不需要的停车功能。为功能性检查SIS变更相关的数字或模拟输出需激励一个逻辑输入信号使得其输出值发生状态变化或产生一个已知模拟值, 或者是禁止相关的输出寄存器并输入一个强迫值, 输出设备响应必须进行现场确认。
(9) SIS所有的停车操作和预警以及与变化逻辑相关的优先跳变指示应该进行验证。
(10) 在测试任务完成后, 所有的功能测试检查期间所禁止的点都应该回到允许状态。
(11) 存在任何逻辑变更等情况必须记录建档。
(12) 周期性功能测试包括制定测试计划、明确测试要求、批准计划、记录功能测试、进行缺陷校正和填写缺陷报告。
4.2.3 终端控制单元的离线测试
SIF阀门的测试应确定阀门是否能满足安全要求规范中提供的功能要求。通过人工打开 (或关闭) 阀门或单独启动 (或停止) 电机的测试需重复两、三次, 以保证阀门能正确动作。通过人工改变线性控制装置如控制阀的输出值, 观测HMI的反馈值和设备本身来观察设备的响应。记录HMI每个阀门现场的反应和在HMI的显示值。除了满行程测试之外, 有些情况下, 阀门测试涉及到泄漏测试, 这时对阀门的最大泄漏速率有规定。如果阀门行程速度很重要, 则需测试确定并记录行程所需时间。行程时间应包括从输出信号变化到阀门位置变化的时间, 而不仅仅是阀门行程动作的开始和结束时间。
4.2.4 人机交互界面 (HMI) 离线测试
所有人机交互界面上的SIF变量的显示, 无论是操作员站的显示还是面板上的灯, 都应按变量逐个进行核实。测试过程中应对过程变量的正常范围、预报警及跳变点的设置以及其他变量信息进行验证和存档。应分别记录测试前 (as found) 值和测试后 (as left) 值。只要提供SIF的信息, 应对所有显示界面的标识和访问控制进行验证。如果HMI用于SIF的启动输出功能或者人工停车功能, 则该功能也应进行测试。
4.2.5 通信的离线测试
对所有与其他系统 (如基本过程控制系统) 的通信均应进行测试, 以验证来自SIF的数据和信息能正确传输到其他系统。所有传输的信息除了与SIF上的信息相比外, 还都应将所发送的信息与接收到的及系统中显示的信息进行比较。应该对阻止BPCS操作员站的信息传输给SIF逻辑演算器的安全措施, 尤其是用于防止对SIF应用软件进行非法更改的措施进行验证。在BPCS操作员站对SIF中的逻辑进行更改测试, 以验证其不可更改性。防止来自配置站对逻辑的改变的安全措施也需进行测试, 如果必须通过配置站对逻辑进行更改, 则需验证其他可编程电子系统 (PES) 不可以执行该功能。如果使用了密码保护技术, 测试确保其不能轻易的被一般黑客软件所破解。
4.3 SIF离线测试的最后流程
在测试完后应确认所有的输入、输出及逻辑均处在正确状态, 如去掉所有的旁路和跨接等, 将所有的终端控制单元恢复到预启动的位置, 准备好系统的启动。通过比较每个SIF的检查表单, 验证任何用作旁路的临时跨接都处于正常状态。对逻辑演算器和SIF部件进行最后的检验, 目的是保证所有的SIF工作均已完成, 系统能安全恢复到正常运行。检验应该包括:核实所有的警报都被清除;核实所有被识别的问题和故障已经被标明;检查任何被代替的元件和设备, 以确保处于合适的工作状态;核实所有的开关和手动开关都处在合适的位置上;查看所有SIF的压力和设备测量计, 确保处于合适的工作状态;查看配管、管线终端和连线以保证其是安全的。这可能包括用力拉来测试接线端状况;在过程处于非作业状态时, 核实所有的终端控制单元均处在正确的位置;核实所有的仪表气源提供调节器均处在其合适的设置状态下;核实现场功能箱和外壳是牢固的, 能抵挡天气造成的影响;核实所有的导线管和导线管进出板是牢固不受天气影响的;核实所有的从过程主阀门到传感器和开关是打开状态, 所有泄压阀是关闭的。
5 SIF的在线测试
在线测试若不能正确实施, 很可能造成过程扰动或无意间关闭系统。因此, 为保证在线测试能顺利进行, 在线测试必须有详细周密的计划、设计和程序。SIF的在线测试对过程和测试人员都会造成压力, 有必要在严密控制的条件下, 运用已验证的方法来实施在线测试, 务必在不影响过程安全的情况下完成。任何用于在线测试而安装的设备如旁路或测量仪器都应在其测试过程中与相关的逻辑一起进行彻底的测试。一旦输入或输出被旁路, 专门负责控制系统的操作者应该运用与SIF独立的方法持续监控该过程。倘若测试中, 过程要求遇到过程响应, 操作者应该能够人工执行SIF或者其他所安装系统的停车。一旦手动控制阀打开或关闭, 专门的现场操作员应能够在过程要求响应时迅速打开或关闭隔断阀门。所有在线测试之前, 操作者必须完全理解并在测试过程中发生停车要求时, 能够采取正确的处理措施。测试过程中遇到意外时, 涉及SIF在线测试的所有人员都应该知道如何处理。
5.1 SIS在线测试准备
在线测试之前, 需对将要进行的测试进行评估。由对过程和SIF熟悉的仪表人员、电气工、操作工以及相关技术人员组成的测试组来实施测试, 测试前至少做好以下几项准备工作[5]:
(1) 告知接班的操作员, SIF系统是要进行测试还是正常工作;
(2) 审查SIF系统的描述;
(3) 审查安全仪表系统的测试程序;
(4) 讨论在线测试是否影响其他系统如BPCS、报警或其他的SIF;
(5) 讨论工作范围, 究竟检查什么?是流量、压力、温度还是液位等;
(6) 讨论当激活报警时, 技术人员应该如何通知操作者;
(7) 讨论当系统旁路时, 哪些设备将不再起作用;
(8) 审查测试过程中需要特殊预防措施的操作;
(9) 讨论在进行测试的输入处于旁路时, 如果未经计划的SIF发生, 应采取怎样的操作及维护措施;
(10) 讨论在旁路存在的情况下, 如果操作者必须启动SIF, 应采取什么样的操作及维护措施;
(11) 讨论应采取什么程序以保证一旦SIF测试完成, SIF将恢复到工作状态, 如自动校核、各自审查等。
5.2 SIS各部件的在线测试
5.2.1 传感器的在线测试
需要在线测试的过程传感器在安装时, 应该有一定程度的冗余使得在测试一个传感器时, 另一个仍然能够进行必要的测量。如果过程生产的可靠性要求高, 应使用2oo2或2oo3表决型传感器。然后, 设计者再确定是否使用旁路以便于测试。对于2oo2或2oo3表决型传感器, 测试时可不必旁路。当使用在线诊断来检测传感器失效时, 设计者应确定阈值逻辑是否会发生改变。例如, 如果失效传感器表决结果是进行停车, SIF的逻辑可能从2oo3表决降低到1oo2表决。相反的, 如果失效传感器表决脱离停车状态, 它将从2oo3表决降低到2oo2表决。如果传感器是1oo2结构, 则必须有旁路, 使得每个传感器能在线测试, 同时保持其他传感器的测量性能。在这种测试中, 逻辑将降低到1oo1, 这是比1oo2更低的SIF。在测试中应采取合适的预防措施, 以保证不影响安全。
传感器的测试频率可以高于或低于SIF部件的测试频率, 这取决于部件的MTTF (Mean Time To Failure, 平均失效前时间) 及表决配置。模拟传感器是以冗余配置方式安装的, 模拟信号的比较和信号偏离的报警可提供诊断使得单个传感器的测试间隔可适当延长。当产生偏离报警时, 应进行传感器的测试和核对。
5.2.2 逻辑演算器的测试
不建议在过程处于运行状态时进行逻辑演算器的在线测试。逻辑演算器是SIF中典型的最可靠部分, 经过系统投入运行前的FAT测试或离线测试后, 一般没必要对逻辑演算器进行在线测试, 除非逻辑演算器中的逻辑发生更改。当逻辑发生改变时, 逻辑演算器也应该在SIF投入运行之前, 重新进行测试。
5.2.3 终端控制单元的在线测试
终端控制单元的在线测试是SIF相关测试中最为困难的。如果测试进行的不合理, 任何阀门的在线测试均可导致过程中断。阀门测试可利用过程旁路, 实施全部行程或部分行程测试以检查阀门的动作情况。无论是使用单一还是冗余的阀门, 在线测试需要附加的设计要求, 如全流量旁路、部分行程测试设备、测试装置等。任何阀门测试均应进行评估, 以确定在测试中检测什么故障模式。对于部分行程测试阀门, 其不能确定阀门是否能完成全开或全闭功能, 这只能通过全部行程测试来确定。
5.2.4 人机接口的在线测试
HMI的在线测试只有在对操作者提供的信息发生改变的情况下才需要进行。任何显示给操作者关于SIF状态的信息发生改变时, 都应进行测试, 以验证其合适性。在过程正常运行情况下, 只要HMI显示屏幕自身故障, 就应该进行测试, 这种故障常常是由于输入或是显示器器件本身引起。当修理完后替换为新HMI, 原有的SIF中所指定的HMI的所有特性均应进行测试。
5.2.5 通信测试
SIF及其他系统的通信应与逻辑演算器同时进行测试。在有任何通信故障指示的时候, 也要进行通信测试。如果与其他系统的联系对SIF的安全完整性有影响, 应使用包括在完整性评价中的测试间隔。任何通信连线的在线测试都不应降低SIF执行其功能的能力。
从SIF到其他任何系统的通讯发生改变时, 都应进行测试。不建议当SIF还在给过程提供保护时对通讯进行变动, 因为这些变动会导致SIF的细微故障或造成程序错误, 而这些故障可能使得SIF无法执行其功能[6]。
6 结 论
(1) 安全仪表系统是工业安全防护层中非常关键的一环, 是减少生产事故、降低风险的有效措施。在SIS投入运行前和投入运行后, 科学、合理地做好测试验证工作是保证安全仪表系统满足安全要求规格, 维持所需安全完整性等级, 实现其功能安全的重要组成部分[7]。研究安全仪表系统的测试要求、流程与相关的技术方法是科学实施SIS整体生命周期功能安全管理亟待解决的问题, 对于提高我国安全生产检测和安全监控水平至关重要。
(2) 确定安全仪表系统在正式投入使用前进行工厂验收测试的内容和要求, 并依据所编制计划执行集成测试, 对SIF的部件进行校准测试和性能确认, 是SIS投入运行前一项重要测试工作。采用何种测试技术方法, 明确离线测试的内容、在线测试的准备和要求, 以及SIS系统的传感器、逻辑演算器、终端控制单元、人机接口和安全总线通信等各组成部分在线测试和离线测试的流程和技术方法, 对于指导安全仪表系统的SIF测试具有重要的指导意义。
(3) 如何衡量功能测试的价值与实施测试所需的花费往往是影响是否进行测试的决策主因。有效的安全测试受本地条件的影响很大, 危险、资源甚至现场的情况都会相差很大。但不管测试方案如何使用, 都必须非常的实际, 要求测试在保障SIF的安全等级的同时, 尽量地的减少维修和运行成本。
参考文献
[1]李战平.安全仪表系统在长北气田的应用与研究[J].自动化技术与应用, 2009, 28 (2) :117-120.
[2]方来华, 吴宗之, 等.安全仪表系统的开发与要求[J].中国安全科学学报, 2009, (4) :159-168.
[3]IEC61511-1~3.Functional Safety-Safety Instrumented Sys-tems for the Process Industry Sector[S].2004.
[4]IEC61508-1~6.Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems, International Electro technical Commission[S].2000.
[5]ISA-TR84.00.03, Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented Systems (SIS) [S].ISA-The Instrumentation, Systems, and Automation Society, 2002.
[6]方来华, 吴宗之, 刘骥.安全相关控制系统中的安全总线分析和研究[J].化工自动化及仪表, 2007, 34 (1) :1-6.
