有章不循是电力企业安全生产的最大的隐患 电力安全生产是电力企业一项十分关键的工作。是做好一切工作的前题。我们各级管理人员都要充分认识安全生产的极端重要性,要认真落实"安全第一,预防为主,综合治理"的方针,认真分析生产中存在的薄弱环节。安全局面的不稳定,固然有许多客观原因,但主观问题的存在是最根本的原因。大量的实践证明,有章不循现象是电力企业安全生产的最大隐患,应该引起我们全体员工的重视和思考。 一、它产生的具体原因是什么 (一)领导认识不到位,灌输教育不彻底,安全生产是电力生产的基础,是电力生产永恒的主,但个别领导不能把安全生产重要性的理念灌输到员工中去,致使部分员工一方面认为安全的规章制度定得太苛刻,不理解;另一方面在思想上不重视,从而重突击、轻平时,重检查、轻整改,使安全生产说起来重要、做起来次要、干起来不要。有的企业在安全管理上,不能横到边、纵到底;在安全教育上,不能达到自上而下灌输与自下而上的落实互动,安全责任压力不能全部传递到每一个员工。归纳起来有以下几种情况:一是安全培训不到位,安全活动流于形式。对员工的安全意识教育缺乏耐力和手段,安全培训缺少计划性、针对性的内容,培训得不到实效;安全活动流于形式,管理人员不能按规定参加下级学习活动,班组学习只是念文件或编记录、走过场,应付检查,安全生产要求处于棚架状态。二是安全管理上存在骄傲自满的心理,对安全形势盲目乐观,缺乏忧患意识,尤其在较长时间的安全稳定运行面前丧失警惕性,同时只重视主业而忽视了"三产"的管理,没有把"三产"外部项目的管理纳入到主业管理体系,造成外包项目管理松懈,违章成风。三是缺乏严、细、实的工作作风。在严管上宽松,出现违章造成事故时只要下边说情,就会网开一面,下不为例,既往不咎;也有干活越多违章和出事故的机率越大的想法,能宽则宽,不能严格要求按奖惩办法执行,致使责任人不能得到有效的处罚,纵容违章;在实管上放纵,存在岗位安全责任不落实、违章指挥、凭经验办事的现象。四是安全设施的投入不到位。过多考虑成本控制,存在现场安全工器具和检修工器具落后、不能正常投入,初设标准和现行安全标准对照有一定差距的问题。 (二)规章制度杂多,制定随意性大,熟悉了解难度大。上级下发的安全生产规章制度本身比较多,加之企业本身的补充规定和细则更是又多又长,延长了记忆和掌握的过程、遵循和落实的时间;有些人不注重学习,尤其是第一责任人、安全员对安全生产制度规定一知半解,导致执行上扭曲和不到位。同时还存在随意制定规章制度,产生了一个将军一个令的现象,使安全生产制度缺乏连贯性和一致性,员工无所适从;加之缺乏有效的安全生产管理,执行滞后,使各级岗位安全职责落实不到位。 (三)制度本身的不公正、不平等,放大了执行难度。有些企业对违反安全生产规章制度的人和事,不是按照"四不放过"原则,不是一视同仁,而是有亲有疏、有轻有重、有严有松,挫伤了部分员工遵章守纪的积极性;有些规章本身带有不平等,执行中只管员工不管领导,造成上行下效,放大了违章纠章难度,使规章制度难以落实和执行。 (四)制度执行不较真、不碰硬,助长了有章不循。有些企业对安全生产违章现象睁只眼闭只眼,不出事无人发现,发现了也无人管、无人查,甚至相互推诿扯皮,谁也不愿做得罪人的事;出了事,先是能瞒则瞒、能捂则捂,瞒不住、捂不了,则大事报小、小事报了;对事故责任有关人员的处理,前怕狼后怕虎,当惩不惩、当严不严,助长了有章不循的歪风。 (五)员工的思想障碍、行为偏差,造成了有章难循。一些员工的思想中存在侥幸心理,认为偶尔违章一次不一定出事故,过去也是这样干的就没发生问题;存在莽撞心理,工作不细致,不认真按工作票上的危险点分析去做,甚至根本就不去看危险点的内容盲目开工、冒险蛮干;存在投机心理,耍小聪明,投机取巧,隔项操作,但往往弄巧成拙;存在浮躁心理,心态不平衡、轻率、急躁,不按规程和程序操作,急于把活干完;存在疲惫心理,过度疲劳或受到某种刺激心情不好,体力、智力和情绪处于压抑状态,思想不集中,反应迟钝从而导致误操作;存在逆反心理,对领导不满意,对安排的工作不舒心、不服气、闹别扭,或认为"标准"、"措施"太烦琐、太束缚人,从而产生抵触情绪。这些情绪的存在,导致在安全生产上有章难循,成为造成违章和事故不可忽视的因素。 二、解决问题的办法 (一)加强安全教育,使员工从"要我安全"向"我要安全"转变 要着眼员工的安全心理进行安全教育。一要自上而下宣传贯彻上级的安全理念。管理人员特别是安全生产第一责任人,首先要把上级的安全理念、安全工作规定按照三级管理体制自上而下地贯彻、落实,然后再自下而上地检查落实情况,防止中间棚架现象;要下潜,重心下移,了解生产一线设备、人员的状况,对安全生产、重大危险源、员工的思想动态做到心中有数,要按照集团公司、分公司的要求做好安全生产责任制的落实。二要抓好安全培训和安全活动日的工作。首先要制定出安全培训计划并分层次、分类别、分时间段地制定对员工、外来工、新进厂人员的培训等,使安全培训工作正常化、重点化;要开展员工能够接受的多种形式的安全生产活动日活动,如安全讲座、事故演习、安全知识竞赛、安全技能训练、事故通报学习、违章分析与反思、每周的安全生产分析总结等;安全监督人员和各单位的一把手要亲自过问计划制定,参加班组安全日活动,督促文件精神的领会落实,通过每周半天、每年近一个月的学习,逐步提升全员的安全意识。三要利用安全心理效应抓好安全教育的重点培训。要从安全心理出发,抓住员工的安全心理倾向,抓住不同时期员工的安全心理状态,抓住不同类型员工的安全心理活动,进行因时、因人、因势而异的安全教育,形成安全心理共鸣,强化自我保护意识,使员工产生"我要安全"的强烈意识和行为。 (二)要把握员工的安全行为贯彻安全制度。要从员工的角度出发,根据工作性质不同、多工种联合、多工序交叉、多环节衔接作业的特点,把握员工生产过程中的安全行为。一要以人为本,进行人文关怀。要带着感情去抓安全,从关心员工的生命和家庭幸福出发去抓安全,用身边的事故教育身边的员工,使员工把违章造成的后果入脑、入心,造成"违章"心理障碍,不愿违章、不想违章、不去违章、不敢违章。二要建立健全安全机制,完善各种规章制度,督促和支持规章制度的执行。任何人在制度面前一视同仁,没有特权。在个人自我保护制度上,要强调员工的特权,即有权对违章的生产指挥不执行。同时加强各级安监人员的能力建设,落实他们的待遇,支持他们的工作,并由企业效能监督来检查他们的尽职尽责情况,形成对安全监督人员的闭环管理,从而从人文关怀上、制度上确立员工的主观能动性,从内因产生"我要安全"的行为,自觉地遵守安全规章制度,自觉地进行安全保护。 安全生产过程管理从安全制度建立、安全教育管理、安全监督管理、分析处罚管理到事故后管理应该是闭环管理过程,在监管过程中要挤干其中的水分,杜绝、避免事故后管理,因此在监管过程中要做到:一是安全意识上不掺假。二是安全投入上不掺假。三是安全检查不掺假。四是事故处理上不掺假。 (三)齐抓共管充分发挥各级人员的监督作用 要坚持"安全第一,预防为主、综合治理"的方针,党政工团齐抓共管,充分发挥企业经营层、中层管理人员、安监部专工、部门安全员、班组安全员的层层监督作用,使有章不循现象一出现就能及时发现、一发现就能及时纠正,真正做到防患于未然。一是要充分发挥安全监督委员会的主体监督作用。二是要发挥安全监管部门的监管职责作用。依法搞好综合监督管理,监督、指导、协调安全生产工作,加大全面监管力度,确保安全生产监管不缺位、不错位、不越位,及时发现和纠正有章不循的问题。 面对安全生产的有章不循现象,只要能够自上而下地提高认识,树立"任何事故都是可以避免的"安全理念,以员工的安全心理和安全行为为抓手,以安全生产的过程管理为重点,形成事事有人关、安全人人抓的良好局面,就杜绝安全隐患,确保安全生产无事故,真正做到有章可循。
电力系统二次安全防护策略论文
摘 要 :随着科技水平的不断提升,外界与电力系统之间的交互作用不断增强。由于电力系统二次安全防护措施能够有效地保证电力系统的稳定运行,因此,电力系统二次安全防护策略逐渐引起了人们的关注。本文对电力系统二次安全防护策略进行研究。
关键词: 电力系统;二次安全;防护策略
电力企业是我国国民经济组成中极为重要的一个部分。随着电力系统自动化水平的提升,电力二次系统安全防护工作中仍然存在能够引发电力系统故障的因素,因此,需要运用电力二次系统安全防护策略消除故障引发因素对电力系统的影响。
1电力系统二次安全防护现状
我国电力系统二次安全防护项目的实施,提升了电力系统的安防水平。但在目前的电力系统二次安全防护体系中仍然存在一些问题。
电力系统的内防水平较低
电力系统二次安全防护体系中的主要问题之一就是电力系统的内防水平较低。这种比较是针对电力系统的外防水平而言的。在电力系统的运行过程中,大多数网络安全装置的安全功能都是对外部网络信息进行限制,因此,当电力系统内部遭到攻击时,并没有有效的安全防护策略对其进行解决。目前,电力系统的内防水平已经对电力系统的稳定运行产生了影响,因此需要对电力系统的内防水平进行有效提升。
防护策略种类较少
目前我国的电力系统二次安全防护工作主要是通过防火墙实现的。运用防火墙技术对电力系统中的数据进行审查,达到对数据信息有效控制的目的。但这种电力系统二次安全防护方式不能100%地保证电力系统的运行安全,因此,需要增加有效保证电力系统运行安全的防护策略种类。
电力人员无法独立完成电力系统的相关操作
目前,我国电力系统的配置、调试及维修工作主要是由电力系统的生产厂家完成的,当电力系统出现一系列问题时,电力人员无法在第一时间对其进行解决,只能等待厂家的专业技术人员。电力人员无法独立完成电力系统相关操作的现象,对电力系统的安全运行产生了不利的影响。
2电力系统二次安全防护工作对电力系统的重要性
随着计算机技术的发展,电力系统的智能化和自动化水平有了显著提升。对于电力系统的故障及电力二次系统的攻击问题,可以建立电力系统二次安全防护体系,并不断对其进行完善,以此来保障电力系统的安全运行。电力系统二次安全防护工作是电力系统中信息的重要保障,同时,它对于系统中不同资源的整合与优化的发展也有着十分重要的意义。
3电力系统二次安全防护策略
为了确保电力系统二次安全防护工作的有效进行,针对电力系统中的一系列故障及二次攻击问题,对电力系统二次安全防护体系进行完善。运用有效的电力系统二次安全防护策略保障电力系统的安全运行,对社会经济的发展起到积极的促进作用。
电力系统二次安全防护的总体策略
可以将电力系统安全防护的总体策略概括为网络专用、纵向认证、横向隔离以及安全分区。需要为电力系统配置适宜的隔离、检测及防护设备,通过一系列有效管理措施的制定,保证电力系统的安全、稳定运行。
安全网络系统的建立
在电力系统的运行过程中,安全网络系统的建立能够对电力系统的安全、稳定运行起到一定的保障作用。建立安全网络系统的要求包括:在防火墙技术中引入入侵检测技术,提升防火墙技术中的相关性能;当入侵检测系统检测到电力系统中存在入侵行为时,能够及时终止入侵行为。
电力系统的软件安全防护策略
电力系统中的主要应用系统,如电能量管理系统、变电自动化系统等都应该运用相应的安全加固策略。电力系统主机的安全防护策略主要包括访问控制能力、安全补丁等。就电力系统的数据库而言,它的安全防护策略主要包括对数据库日志管理力度的加强、对数据库中相关程序的审核等。操作系统的安全防护策略及数据库的安全防护策略都是在安全区进行的,因此在电力系统二次安全防护策略中,安全区是主要的防护对象之一。
电力系统的数字证书应用策略
数字证书的应用目的是将网络通讯中的各方身份清晰地标示出来。数字证书为电力系统提供了一种有效的身份验证方式。电力系统二次安全防护体系中使用的数字证书是在公匙技术分布式基础上建立的。这种数字证书主要被用于电力系统中的生产控制大区,它负责为其中的关键用户、关键应用等提供相应的身份验证服务。设备证书是电力系统二次安全防护体系中常用的`数字证书之一,设备证书的应用可以实现对远程通信实体及实体通信过程中数据的签名和加密。在电力系统二次安全防护体系中应用数字证书,不但能够提升电力系统运行的便捷性,还能保证电力系统中数据信息的传输安全。
电力系统的防火墙安全防护策略
在电力系统二次安全防护体系中,防火墙占据着极其重要的地位。防火墙是由硬件和软件组成的,它通常被布置在内外网络的边界。包过滤防火墙是电力系统二次安全防护体系中较为常用的防火墙之一。包过滤防火墙可以根据数据目的地址、数据端口号及数据包源地址等相关标志对数据的具体信息进行系统地审查,如果审查结果表明该数据包满足包过滤防火墙的过滤规则,才会允许该数据包通过并传输至对应的目的地;如果审查结果表明该数据包不满足包过滤防火墙的过滤规则,那么该数据包将会被丢弃。可以将包过滤防火墙在电力系统中的应用分为以下2种:第一,动态包过滤防火墙,这种技术可以对防火墙的过滤规则进行动态设置,它能够对电力系统中的任意一条连接进行追踪,结合电力系统允许数据通过的要求,对防火墙中的过滤规则进行适当地调整;第二,静态包过滤防火墙,这种技术能够实现对电力系统中的数据包按照一定的过滤规则进行审查,对数据包是否符合静态包过滤防火墙的过滤规则进行判断。
4结论
电力系统二次安全防护工作能够促进电力系统的安全、稳定运行,同时,它也为电力系统智能化发展的实现打下了坚实的基础。因此,需要应用有效的电力系统二次安全防护策略,如建立安全网络系统、软件安全防护策略、数字证书应用策略以及防火墙安全防护策略等。
参考文献
[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[2]潘路.电力二次系统网络信息安全防护的设计与实现[D].广州:华南理工大学,2014.
[3]黄睦奇.电力二次系统安全防护策略研究[J].黑龙江科技信息,2014(36):27.
关于安全技术防范工作中若干问题的探讨 我国安全技术防范事业的迅速发展,已引起社会各界的密切关注。由于历史和现实诸多条件的限制,我国安全技术防范工作中许多理论和实践问题未能得到认真的研究和界定。本文针对实际工作中遇到的一些问题,提出了笔者的一些思考和建议,希望能起到抛砖引玉的作用。不妥之处,欢迎业界同仁批评指正。 一、安全防范的概念 安全防范是一个历史范畴的概念,它首先是人类生存的一种自然选择,随着生产力的不断发展和社会、经济的不断进步,其内容、形式也不断变化,逐步形成了专门的技术和相应的产业,成为社会经济生活的一个重要组成部分。 1.安全防范的一般概念(Security&Protection) 根据现代汉语词典的解释,所谓安全,就是没有危险、不受侵害、不出事故;所谓防范,就是防备、戒备,而防备是指作好准备以应付攻击或避免受害,戒备是指防备和保护。 综合上述解释,是否可给安全防范下如下定义:作好准备和保护,以应付攻击或避免受害,从而使被保护对象处于没有危险、不受侵害、不出现事故的安全状态。 显而易见,这里,安全是目的,防范是手段,通过防范的手段达到或实现安全的目的,就是安全防范的基本内涵。 2.两种安全解释(Safety与Security) 中文所说的安全,在英文中有Safety和Security两种解释。 牛津大学出版的现代高级英汉双解辞典对Safety一词的主体解释是:安全,稳妥;保险(锁)、保险(箱)等。而对Security一词的主体解释是:安全,无危险,无忧虑;提供安全之物,使免除危险或忧虑之物;抵押品,担保品;安全(警察),安全(部队)等。 实际上,中文所讲的安全,是一种广义的安全,它包括两层涵义:一是指自然属性或准自然属性的安全,它对应英文中的Safety;其二是指社会人文性的安全,即有明显人为属性的安全,它与Security相对应。自然属性或准自然属性的安全的被破坏,主要不是由于人的有目的的参与而而造成的,如自然灾害事故(水,旱,震灾等)和准自然灾害事故(产品设计缺陷、环境、卫生条件恶化等)所产生的对安全的破坏。而社会人文性安全的被破坏,主要是由于人的有目的参与而造成的,如入侵盗窃、抢劫、破坏、爆炸等违法犯罪活动所产生的对安全的破坏。因此,广义地讲,安全应该包括Safety和Security两层含义,而我们常说的安全防范主要是狭义的安全:Security,国外通常叫“保安”。 3.损失预防与犯罪预防——安全防范的本质内涵 在西方,不用“安全防范” 这个词,而用损失预防和犯罪预防(Loss Prevention & Crime Prevention)这个概念。正像中文的安全与防范要连在一起使用,构成一个新的复合词一样,在西方,Loss Prevention和Crime Prevention也是连在一起使用的。损失预防与犯罪预防构成了Safety/Security一个问题的两个方面。在国外,Loss Prevention通常是指社会保安业的工作重点,而Crime Prevention则是警察执法部门的工作重点。这两者的有机结合,才能保证社会的安定与安全。从这个义上说,损失预防和犯罪预防就是安全防范的本质内涵。 综上所述,安全防范既是一项公安业务(警察执行部门),又是一项社会公共事业和社会经济行业。它们的发展和进步,既依赖于科学技术的发展和进步,同时又为科学技术的进步和发展提供创造优越的社会环境。 4.有中国特色的社会公共安全科学技术 需要指出的是,损失预防(Loss Prevention)仍然是一个比较宽泛的概念.广义上讲它包括防灾减灾和公共安全两大领域。就公共安全而言,它不仅包括以防盗、防劫、防入侵、防破坏、防爆炸为主要内容的“安全防范”,而且包括防火安全、交通全安信息安全、通信安全、人体防护以及法庭科学等诸多方面的内容。 由于社会公共安全的需求和防范技术的不断进步,在社会公共安全事业兴起和发展的过程中,服务于社会公共安全的科学技术也应运而生,并得到迅速发展,逐渐形成了一个独立的科学技术体系,这就是社会公共安全科学技术。而“安全防范技术”是它的重要组成部分。 (1)社会公共安全科学技术的定义 社会公共安全科学技术,是一门新兴的科学技术,国际上尚无统一的定义。我国公安科技管理部门普组织各方面专家对此命题进行过多次研讨。根据我国国情,对社会公共安全科学技术的定义,作了如下界定:它是预防、控制、处理各种社会违法犯罪活动和治安灾害事故,维护社会治安、保障社会的正常工作、生活秩序、保护国家和人民生命财产安全的综合性应用科学技术。它包括安全防范、计算机安全、侦察、物证鉴定、治安管理、道路交通管理、消防、信息管理、警用通信指挥、警用武器、防护装备等专业领域。 (2)社会公共安全科技技术的特性 从“社会公共安全科学技术”的定义可以看出,社会公共安全科学技术的主要特点在于它的综合性、多学科、实效性。它既包括了西方“损失预防和犯罪预防”(除防灾减灾之外)的内容,又包括了“法庭科学”(Forensic Science)的内容,既涉及自然科学的诸多学科又涉及社会人文科学的众多领域,它所要解决的不仅是损失预防(治安灾害事故预防)和犯罪预防的问题,还包括对事故和犯罪的控制与处理。 在预防、控制、处理各种损失、犯罪和治安灾害事故的每个环节上,都要十分强调手段的实效性,即:要预防得好、控制得住、处理的及时、否则就会酿成大祸,就会造成国家和人民生命财产的重大损失,甚至影响社会安定,影响社会正常的工作、生活秩序。 二、安全防范技术与安全技术防范 1.安全防范的三种基本防范手段:人防、物防和技防 如上所述,安全防范是社会公共安全的一部分,安全防范技术及其产业是社会公共全科学技术及其产业的一个分支。就防范手段而言,安全防范包括人力防范、实体(物)防范和技术防范三个范畴。其中人力防范和实体防范是古而有之的传统防范手段,它们是安全防范的基础。随着科学技术的不断进步,这些传统的防范手段也不断融入新科技的内容。 技术防范的概念是在近代科学技术(最初是电子报警技术)用于安全防范领域并逐渐形成一种独立防范手段的过程中所产生的一种新的防范概念。由于现代科学技术的不断发展和普及、应用,“技术防范“的概念也越来越普及,越来越为警察执法部门和社会公众所认可、所接受,以致成为使用频度很高的一个新词汇,技术防范的内容也随着科学技术的进步而不断更新。在科学技术迅猛发展的当今时代,可以说几乎所有的高新技术都将或迟或早地移植或应用于安全防范工作中,因此“技术防范”在安全防范中的地位和作用将越来越重要,它将带来安全防范的一次新的革命。 2.安全防范的三个基本防范要素:探测、延迟与反应 探测Detection 感知显性和隐性风险事件的发生并发出报警 延迟Delay 延长和推延风险事件发生的进程 反应Response 组织力量制止风险事件的发生所采取的快速行动。 在安全防范的三种基本手段中,要实现防范的最终目的,都要围绕探测、延迟、反应这三个基本防范要素开展工作、采取措施,以预防和阻止风险事件的发生。当然三种防范手段在实施防范的过程中,所起的作用是有所不同的。 基础的人力防范手段,是利用人们自身的传感器(眼,耳等感官)进行探测,发现防害或破坏安全的目标,做出反应:用声音警告、恐吓、设障、武器还击等手段来延迟或阻止危险的发生,在自身力量不足时还要发出救援信号,以期做出进一步的反应,制止危险的发生或处理已发生的危险。 实体防范的主要作用在于推迟危险的发生,为“反应”提供足够的时间。现代的实体防范,已不是单纯物质屏障的被动防范,而是越来越多地采用高科技的手段,一方面使实体屏障被破坏的可能性变小,增大延迟时间;另一方面也使实体屏障本身增加探测和反应的功能。 技术防范手段可以说是人力防范手段和实体防范手段的功能延伸和加强,是对人力防范和实体防范在技术手段上的补充和强化。它要融入人力防范和实体防范之中,使人力防范和实体防范能力在探测、延迟、反应三个基本要素中不断地增加高科技的含量,不断提高探测能力、延迟能力和反应能力,使防范手段真正起到作用,达到预期的目的。比如各种高科技的技术防范产品、系统的应用,都离不开实体防护设施,都要靠高素质的操作人员和高水平的组织管理才能充分发挥高科技的威力。 探测、延迟和反应三个基本要素之间是相互联系、缺一不可的关系。一方面,探测要准确无误、延迟时间长短要合适,反应要迅速;另一方面,反应的总时间,应小于(至多等于)探测加延迟的总时间,即:T反应≤T探测+T延迟 3.安全防范技术 什么是安全防范技术,简言之,用于安全防范工作的专门技术就是安全防范技术。那末,到底哪些技术是安全防范工作经常采用的技术呢? 在国外,安全防范技术通常分为三大类:物理防范技术(Physical Protection)、电子防范技术(Electronic Protection)、生物统计学防范技术(Biometric Protection)。这里的物理防范技术,主要是指实体防范技术,如建筑物和实体屏障以及与其相配套的各种实物设施、设备和产品(如各种门窗、柜、锁具等)。电子防护技术主要是指应用于安全防范的电子、通信、计算机与信息处理技术及其相关技术,如:电子报警技术、视频监控技术、出入口控制技术、计算机网络技术以及与其相关的各种软件、系统工程等。生物统计学防范技术是法庭科学的鉴定技术和安全防范技术中的模式识别技术相结合的产物,它主要是指利用人体的生物学特征进行安全防范的一种特殊技术门类,现在应用较广的有指纹、掌纹、眼纹、声纹等识别 控制技术。 4.安全技术防范 所谓安全技术防范,可以从字面上简单地理解为利用安全防范的技术手段进行安全防范的一类工作。 根据安全防范的本质内涵,安全技术防范可以从两个不同的层面来理解和解释。对于警察执法部门而言,安全技术防范,就是利用安全防范技术开展安全防范工作的一项公安业务;而对于社会经济部门来说,安全技术防范,就是利用安全防范技术为社会公众提供安全服务的一种产业,既然是一种产业,就要有产品的研制与开发,就要有系统的设计与工程的施工、服务和管理。因此,要给安全技术防范下一个确切的定义,并非易事。正因为如此,关于安全技术防范,我国目前尚无严格、统一的定义。作为一个建议,笔者在综合安防管理部门大多数管理专家和产品研发领域大多数技术专家的意见,暂给安全技术防范下如下定义: 安全技术防范是以安全防范技术为先导,以人力防范为基础,以技术防范和实体防范为物段,为建立具有探测、延迟、反应基本功能并使其有效结合的综合安全防范服务保障体系而进行的社会实践活动。它是以预防损失和预防犯罪为目的的一项公安业务和社会经济产业。 注:预防损失和预防犯罪的具本内容主要包括:预防入侵、盗窃、抢劫、破坏、爆炸等违法犯罪活动和重大治安事故。 5.安全防范技术的专业体系 安全防范技术作为社会公共安全科学技术的一个分支,具有其相对独立的技术内容 和专业体系。根据我国安全防范行业技术现状和未来发展,可以将安全防范技术照学科专业、产品属性和应用领域的不同粗略地进行如下分类: 入侵探测与防盗报警技术 视频探测与视频监控技术 出入口目标识别与控制技术 报警信息传输/控制/显示/记录技术 移动目标反劫防盗报警技术 社区安防与社会救助应急报警技术 实体防护技术 防爆安检技术 安全防范系统、网络与系统集成技术 安全防范工程设计与施工技术 需要指出的是,由于安全防范技术是正在发展中的新兴技术领域,因此上述专业的划分只具有相对的意义。实际上,上述各项专业技术本身,都涉及诸多不同的自然科学和技术的门类,它们之间又互相交叉和互相渗透,专业的界面会变得越来越不明显,同一技术同时应用于不同专业的情况,也会越来越多。 三、综合安全理念与社会公共安全服务保障体系 1.人防、技防、物防相结合,综合治理保平安 技术防范手段在安全防范工作中的重要作用和地位已为众多的实例所验证,但是,要真正做好安全防范工作,单靠一种手段是不能完成任务的。 (1)技术防范系统的探测与警示(威慑)作用及其局限性 被防护对象采用了某种级别的技术防范系统之后,可以利用高科技的手段对所遇到的威胁进行准确无误的探测和报警。技术防范系统的探测和告警功能,可以有效预防损失和扼制犯罪,其警示和威慑作用已被实践证明是有效的。但是任何技术设备和系统,都不可能真正做到万无一失,其本征可靠性概率是遵从一定统计分布规律的,加上技术的发展永无止境、系统的运行会受到多方面因素的影响和制约,特别是人的因素的影响。从这个意义上说,任何技术防范系统都存在着局限性。 (2)高科技物防设施不可替代的延迟作用 一般来说,物防设施是技术系统的物质载体或实物基础,它是延迟风险发生或预防犯罪的主要基础手段,它在安全防范中的“延迟”作用是其它手段难以代替的。但是,物防设施延迟作用的有效发挥,需要高科技的支撑,需要高科技的支撑,需要人来维护和管理,离开技防和人防的有效配合与积极支持,物防的延迟作用是难以发挥的,传统意义上的“物防”之所以被淘汰,就是这个道理。 (3)人力防范的快速反应作用 人力防范是安全防范的基础。技防也好,物防也好,都离不开人的作用。但是人的自然力的局限性限制了人防功能的发挥和发展。这里所讲的人力防范,已不只是人的自然能力的展现,而是科技人与科技群体有组织的防范行为。它一方面指防卫人员本身,需要高科技知识的武装和高科技物防的保护(如高素质的防卫人员,高科技的防范手段和高科技的人身防护),另一方面是指,具有高水平防范反应能力和高水平的决策、指挥与群体快速反应的能力。而要做到这些,单靠人海战术是不行的,传统“人海战术”不是真正意义上的“人防”,相反,是人防工作的一大误区。 总而言之,要实现真意义上的安全防范,要为社会公众提供质量的安全服务,必须实施人防、技防、物防的有机结合,才能有效地预防损失、化解风险和扼制、打击犯罪。 2.现代化的管理与高科技手段的有机结合,是综合治理、确保平安的根本保证 从更高的层面上来讲,所谓三防的结合,就是现代化管理与高科技手段的结合,实现这种结合的现实必要性和紧迫性,是社会安全的需求,是科技强警的需要。就目前而言,对现代化管理的需求,甚至比高科技的手段、设施更为迫切,因为现代化技防系统(设施)由于落后的管理方式而失效、瘫痪、造成巨大浪费的便 例子已屡见不鲜。管理问题是一门专门的学问,安全技术防范行业的管理、安全技术防范工作的管理等问题,均应引起有关方面的关注和重视。 3.公安机关在安全技术防范中的特殊地位和核心作用 安全技术防范是一项重要的公安业务。公安机关肩负着维护社会安定,保障公民安全的神圣职责,在安全技术防范工作中,实施人防、技防、物防相结合的方针,建立探测、延迟、反应的有效机制,对安防产品与系统的质量技术监督,对安全防范行业的指导与管理等,都是安全防范公安业务的重要内容。我国安全防范事业发展的实践证明,公安机关是安全防范工作的领导者、组织者、推动者,其特殊地位和核心作用是无法替代的。 4.确立综合安全理念,建设社会公共安全服务保障体系 我国目前的发防管理体制不能适应保障公共安全的社会需求。解决这一问题,需要实施综合安全的政府工作(或省长、市长工程)。需要指出的是,要建设和发展有中国特色的安全防范事业,需要首先确立综合安全理念,才能构筑社会公共安全服务保障体系,进而满足社会公众对安全服务的需求。 所谓综合安全的理念,就是广义安防的理念,就是要为社会公众提供时时安全、处处安全的综合安全服务。所谓社会公共安服务保障体系,就是由政府发动、政府组织、社会各界(决不是公安执法部门一家、更不是公安执法门内部的某一机构)联合实施的综合安全系统工程(硬件、软件)和管理服务体系。 随着我国社会主义市场经济的深入发展和未来知识经济时代的临近,“安全”作为一项综合服务,将会形成更大规模的产业。这方面的社会需求记已在逐步升温。作为政府职能的重要组成部分,保障公民生命财产安全和社会的安定,实施“综合安全服务工程”将会像“环保工程”、“生态农业工程”一样,受到社会的关注和公众的欢迎。笔者认为,综合安全理念的确立和社会公共安全服务保障体系形成之时,将是有中国特色的安防事业步入世界先进行列之日。
不要急。我们可以提供你资料。电力安全论文4000字
食品安全论文(摘要〕食品安全问题举国关注,世界各国政府大多将食品安全视为国家公共安全,并纷纷加大监管力度。2004年9月1日,国务院发布了《国务院关于进一步加强食品安全工作的决定》,决定采取切实有效的措施,进一步加强食品安全工作。食品安全涉及多部门、多层面、多环节,是一个复杂的系统工程。从当前来看,应尽快建立健全:食品安全法律体系;统一协调、权责明晰的监管体系;食品安全应急处理机制;完整统一的食品安全标准和检验检测体系;食品安全风险评估评价体系;食品安全信用体系;食品安全信息监测、通报、发布的网络体系;中介及研究单位的推动体系等九大体系,促进食品安全水平的全面提高。〔关键词〕食品安全;体系建设;监管民以食为天。食品是人类赖以生存和发展的最基本的物质条件。在我国国民经济中,食品工业已成为第一大产业。但是全球及我国接连不断发生的恶性食品安全事故却引发了人们对食品安全的高度关注,也促使各国政府重新审视这一已上升到国家公共安全高度的问题,各国纷纷加大了对本国食品安全的监管力度。我国目前的食品安全监管较发达国家而言,起步较缓、问题较多,造成我国食品安全问题屡禁不绝的重要原因还是在于我国食品安全缺乏完整的保障体系。我们认为,在今后较长的一段时间里,我国应当把在整体上建立我国食品安全的保障体系作为食品安全工作重点和战略目标来实现。一、基本建立和逐步完善我国食品安全法律体系国务院于1979年8月28日发布了《中华人民共和国食品卫生管理条例》(现已失效),全国人大常委会于1982年11月19日发布了《中华人民共和国食品卫生法(试行)》(现已失效),全国人大常委会于1995年10月30日发布了现行有效的《中华人民共和国食品卫生法》(以下简称"《食品卫生法》"),这3个法律规定从法律层面上相继构成了我国改革开放后食品安全法律体系的核心,对我国的食品安全起到了重要的、不可替代的作用。但随着经济社会及科学技术的快速发展和人们对食品安全问题认识的不断深化,我国目前的食品安全法律体系有些方面已经不能适应当今食品安全形势的发展需要,作为食品安全法律体系的核心,《食品卫生法》对体系内其他法律法规、规范性文件的指导作用也有所降低。主要原因包括:第一,《食品卫生法》等法律法规所调整的范围过于狭窄。《食品卫生法》第四条规定:"凡在中华人民共和国领域内从事食品生产经营的,都必须遵守本法。"从此条可以看出,《食品卫生法》的"食品"概念是狭义的,并没有包括种植、养殖、储存等环节中的食品以及与食品相关的食品添加剂、饲料及饲料添加剂的生产、经营或者使用。第二,《食品卫生法》确定的执法主体职责与现实情况有所脱节。根据该法第三条的规定:"国务院卫生行政部门主管全国食品卫生监督管理工作。国务院有关部门在各自的职责范围内负责食品卫生管理工作。"而1998年机构改革之后,我国食品监管主要由国家食品药品监督管理局、公安部、农业部、商务部、卫生部、国家工商行政管理局、国家质量监督检验检疫总局、海关总署等多个部委共同按职能分段监管,已形成了食品安全多部门的监管体制。第三,食品安全法律体系的内容比较单薄,对经济社会和科技发展所导致的食品安全的新情况、新问题大多尚未涉及。和经济发达国家的食品安全法规相比,我国缺少一系列保障食品安全的重要制度。例如食品安全应急处理机制、食品安全风险评价制度、食品安全信用制度以及食品安全信息发布制度等。同时,我国食品安全法律体系对"食品安全"等最重要最基本的概念尚未有明确的法律定义。 第四,现行食品安全法律体系中尚欠缺对食品安全监管机关及其工作人员的监管职责的落实和失职责任的追究机制。综上,在建立我国食品安全法律体系的过程中,应当首先抓紧组织修订《食品卫生法》。我们认为,食品卫生仅是食品安全问题中的一部分,无论是从法律的名称还是从法律本身的内容考虑,食品安全法律体系都应围绕"食品安全"这一核心加以建设。法律的尊严是执行出来的,而不是制定出来的。无论多严密、多完善的法律,还必须经由各级政府职能部门的正确施行,才能真正发挥其保障食品安全的强大规范作用。如果行政执法部门不严格执法或者出于各种原因错误地理解和适用了食品安全法律法规,那么就算这些法律法规再完善,也不能产生预期的效果。在现今的食品安全监管中,执法不力的问题不容回避。二、建立和完善统一协调、权责明晰的食品安全监管体系 我国现今的食品安全监管体制在延续历史做法的同时,更要向管理体制卓有成效的国家学习,使监管体制相对协调集中,逐渐开创我国科学、协调的食品安全监管新模式。第一,可以考虑在现行的部际食品安全联席协调会议的管理架构上有所突破,如成立国务院食品安全委员会,以统一协调、管理涉及国家食品安全的相关部门,彻底改变目前相关行政部门各自为政、协调不力、重复管理、执法软弱的局面。第二,进一步探索多种管理模式,将对品种的管理和"划段"管理结合起来,对能够集中的管理链条和跨度不太大的品种可由一、二部门管理起来。对于需要"划段"的管理,要明确边界和衔接的方式方法,特别是信息的沟通和共享,职能上尽可能避免交叉。三、建立较为完善的食品安全应急处理体系目前,我国在对食品的安全监管中尚未建立起较为完善的食品安全应急处理制度。 食品安全方面的应急管理过程由三阶段(事故发生前、发生中和发生后)组成,在每一个阶段,都需要建立相应的应急管理机制。应急管理机制的建立应当围绕5个主要环节进行:应急信息收集、应急预防准备、应急演习、损害控制处理以及事后恢复。因此,需要建立应急计划系统、应急训练系统、应急感应系统、应急指挥中心(包括决策者与智囊、应急处理小组和应急处理专家)、应急监测系统和应急资源管理系统。建立食品安全应急处理机制的前提是有法可依。因此,国家在建立食品安全应急机制的同时,应抓紧出台相关的法律法规,明确应急机制各部门及其负责人的法律责任,对主观上故意瞒报、不作为、隐瞒信息等行为,都必须追究法律责任。 三、建立较为完善的食品安全应急处理体系目前,我国在对食品的安全监管中尚未建立起较为完善的食品安全应急处理制度。从现实来看,一旦发生了食品安全事故,往往是监管部门事后仓促应对,相关部门匆匆召开联席会议,确定彼此的职责、工作分工和工作步骤。这种事后的应急处理方式已经不能及时控制原因日趋复杂的食品安全事故,也不能满足公众对政府高效处理此等事故的期望,更可能发生部门之间的互相推诿以及信息沟通的迟缓与不力。建立并不断完善食品安全应急处理机制,不仅有助于上述问题的解决,还可以加强食品安全执法部门的队伍建设。 食品安全方面的应急管理过程由三阶段(事故发生前、发生中和发生后)组成,在每一个阶段,都需要建立相应的应急管理机制。应急管理机制的建立应当围绕5个主要环节进行:应急信息收集、应急预防准备、应急演习、损害控制处理以及事后恢复。因此,需要建立应急计划系统、应急训练系统、应急感应系统、应急指挥中心(包括决策者与智囊、应急处理小组和应急处理专家)、应急监测系统和应急资源管理系统。事故发生前的管理活动要努力将事故化解在爆发前。事故发生中的管理活动要注意将危害控制在最小范围内。事故发生后的管理活动重在恢复原状,汲取教训。目前,北京、安徽、淮南、沈阳等地纷纷出台了或即将出台食品安全重大事故应急预案。不可否认,应急预案在及时控制和减轻消除食品突发事故的危害、保障人民群众的生命安全和身体健康方面能够发挥一定的积极作用。但是,食品安全应急预案不同于食品安全应急处理机制,结合前面分析,它们的主要区别是:"预案"应对事后,"机制"管理事前、事中以及事后,成一系统;"预案"具有可变性,"机制"具有长期性和稳定性;"预案"以事先沟通为保障,"机制"以制度建设为保障;"预案"强调分工和职能,"机制"强调协作和职责;"预案"各地做法不一,"机制"则应全国统一,便于上令下达,下情上报。建议在各地现有的应急预案的基础上,逐步总结国内外相关经验,在国家层面上形成较为完善的、系统的食品安全应急处理机制,在全国统一执行。建立食品安全应急处理机制的前提是有法可依。因此,国家在建立食品安全应急机制的同时,应抓紧出台相关的法律法规,明确应急机制各部门及其负责人的法律责任,对主观上故意瞒报、不作为、隐瞒信息等行为,都必须追究法律责任。
(一)明确了《食品安全法》的适用范围《食品安全法》第二条明确规定下列活动为该法调整范围:(一)食品生产和加工(以下称食品生产),食品流通和餐饮服务(以下称食品经营);(二)食品添加剂的生产经营;(三)用于食品的包装材料、容器、洗涤剂、消毒剂和用于食品生产经营的工具、设备(以下称食品相关产品)的生产经营;(四)食品生产经营者使用食品添加剂、食品相关产品;(五)对食品、食品添加剂和食品相关产品的安全管理。食用农产品则遵守《中华人民共和国农产品质量安全法》的规定监管。但是,制定有关食用农产品的质量安全标准、公布食用农产品安全有关信息,应当遵守本法的有关规定。保健食品则在《食品安全法》第五十一条明确,其具体管理办法由国务院规定。同时,该法还在附则的第九十九条,对食品、食品添加剂、用于食品的包装材料和容器、用于食品生产经营的工具、设备、用于食品的洗涤剂、消毒剂等用语的含义,进行了法律解释。(二)确立了食品安全监管体制一是对国务院有关食品安全监管部门的职责进行明确界定。国务院质量监督、工商行政管理和国家食品药品监督管理部门依照食品安全法和国务院规定的职责,分别对食品生产、食品流通、餐饮服务活动实施监督管理。国务院卫生行政部门承担食品安全综合协调职责,负责食品安全风险评估、食品安全标准制定、食品安全信息公布、食品检验机构的资质认定条件和检验规范的制定,组织查处食品安全重大事故。(第四条)二是在县级以上地方人民政府层面,进一步明确工作职责,理顺工作关系。县级以上地方人民政府统一负责、领导、组织、协调本行政区域的食品安全监督管理工作,建立健全食品安全全程监督管理的工作机制;统一领导、指挥食品安全突发事件应对工作;完善、落实食品安全监督管理责任制,对食品安全监督管理部门进行评议、考核。县级以上地方人民政府依照本法和国务院的规定确定本级卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门的食品安全监督管理职责。有关部门在各自职责范围内负责本行政区域的食品安全监督管理工作。按照食品安全法规定,实行省以下垂直领导的质监部门应当在所在地人民政府的统一组织、协调下,依法做好食品安全监督管理工作。(第五条)三是为防止各食品安全监管部门各行其是、工作不衔接,食品安全法规定县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当加强沟通、密切配合,按照各自的职责分工,依法行使职权,承担责任。(第六条)四是为了使食品安全监管体制运行更加顺畅,食品安全法规定,国务院设立食品安全委员会,其工作职责由国务院规定。(第四条)五是食品安全法授权国务院根据实际需要,可以对食品安全监督管理体制作出调整。(第一百零三条)(三)质监部门职责一是负责食品生产许可。《食品安全法》规定,我国对食品生产经营实行许可制度。从事食品生产应当依法取得食品生产许可。县级以上质监部门依照《中华人民共和国行政许可法》的规定,审核申请人提交的相关资料,必要时对申请人的生产经营场所进行现场核查;对符合规定条件的,决定准予许可;对不符合规定条件的,决定不予许可并书面说明理由。(第二十九条、第三十一条)该法还规定,国家对食品添加剂的生产实行许可制度。申请食品添加剂生产许可的条件、程序,按照国家有关工业产品生产许可证管理的规定执行。(第四十三条)食品生产经营者在本法施行前已经取得相应许可证的,该许可证继续有效。(第一百条)二是食品安全履行风险评估通报、建议、监管职责。《食品安全法》的亮点之一就是食品安全风险监测和评估。该法也对质检系统在该项工作中的具体职责进行了明确规定。一是获知有关食品安全风险信息后,应当立即向国务院卫生行政部门通报;二是应当向国务院卫生行政部门提出食品安全风险评估的建议,并提供有关信息和资料;三是当食品安全风险评估结果得出食品不安全结论的,应当依据职责范围立即采取相应措施,确保该食品停止生产经营,并告知消费者停止食用。(第十二条、第十五条、第十六条)三是提供食品安全标准编号。《食品安全法》规定,食品安全国家标准由国务院卫生行政部门负责制定、公布,由国家标准化管理委员会提供国家标准编号。该法还规定,食品安全标准是强制执行的标准。除食品安全标准外,不得制定其他的食品强制性标准。国务院卫生行政部门应对现行的食用农产品质量安全标准、食品卫生标准、食品质量标准和有关食品的行业标准中强制执行的标准予以整合,统一公布为食品安全国家标准。(第十九条、第二十一条、第二十二条)四是责令召回不符合安全标准的食品。《食品安全法》规定,我国建立食品召回制度。具体规定是:食品生产者发现其生产的食品不符合食品安全标准,应当立即停止生产,召回已经上市销售的食品,通知相关生产经营者和消费者,并记录召回和通知情况。食品生产者应当对召回的食品采取补救、无害化处理、销毁等措施,并将食品召回和处理情况向县级以上质监部门报告。当食品生产经营者未依照规定召回或者停止经营不符合食品安全标准的食品时,县级以上质监部门可以责令其召回或者停止经营。(第五十三条)五是开展食品检验工作。《食品安全法》明确指出,食品安全监督管理部门对食品不得实施免检。县级以上质监部门应当对食品进行定期或者不定期的抽样检验。质监部门应当购买抽检的样品,不收取检验费和其他任何费用。另外,县级以上质监部门在执法工作中需要对食品进行检验的,应当委托经资质认定的食品检验机构进行,并支付相关费用。对检验结论有异议的,可以依法进行复检。(第六十条)该法还规定,食品检验机构按照国家有关认证认可的规定取得资质认定后,方可从事食品检验活动。食品检验实行食品检验机构与检验人负责制。食品检验报告应当加盖食品检验机构公章,并有检验人的签名或者盖章。食品检验机构和检验人对出具的食品检验报告负责。(第五十七条、第五十九条)六是参与食品安全事故处置。《食品安全法》规定,质监部门在日常监督管理中发现食品安全事故,或者接到有关食品安全事故的举报,应当立即向卫生行政部门通报,并会同卫生部门,按照卫生部门的要求进行处理。具体工作包括:封存可能导致食品安全事故的食品及其原料,并立即进行检验;对确认属于被污染的食品及其原料,责令食品生产经营者依照规定予以召回、停止经营并销毁;封存被污染的食品用工具及用具,并责令进行清洗消毒等。(第七十一条、第七十二条)七是实施对食品生产者的监督检查。《食品安全法》规定,县级以上质监部门对食品生产者进行监督检查,应当记录监督检查的情况和处理结果,建立食品生产者食品安全信用档案,对有不良信用记录的食品生产者增加监督检查频次。在履行监管职能时,质监部门可以行使“五大”权力。包括:进入食品生产经营场所实施现场检查;对生产经营的食品进行抽样检验;查阅、复制有关合同、票据、账簿以及其他有关资料;查封、扣押有证据证明不符合食品安全标准的食品,违法使用的食品原料、食品添加剂、食品相关产品,以及用于违法生产经营或者被污染的工具、设备;查封违法从事食品生产经营活动的场所等措施。(第七十七条、第七十八条、第七十九条)八是准确、及时、客观的公开食品安全信息。《食品安全法》规定,县级以上质监部门应依据职责公布食品安全日常监督管理信息,应当做到准确、及时、客观。当获知依据该法需要统一公布的信息,应当向上级主管部门报告,由上级主管部门立即报告国务院卫生行政部门;必要时,可以直接向国务院卫生行政部门报告。县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当相互通报获知的食品安全信息。(第八十二条、第八十三条)九是处理投诉举报。《食品安全法》规定县级以上质监部门接到咨询、投诉、举报,对属于本部门职责的,应当受理,并及时进行答复、核实、处理;对不属于本部门职责的,应当书面通知并移交有权处理的部门处理。有权处理的部门应当及时处理,不得推诿;应当按照法定权限和程序履行食品安全监督管理职责;对生产者的同一违法行为,不得给予二次以上罚款的行政处罚;涉嫌犯罪的,应当依法向公安机关移送。(第八十条、第八十一条)十是对违反《食品安全法》的行为实施处罚。《食品安全法》涉及我局职责范围的行政处罚有八条,近二十种违法行为的行政处罚,包括:对未经许可从事食品生产经营活动,或者未经许可生产食品添加剂的(第84条);生产经营营养成分不符合食品安全标准的专供婴幼儿和其他特定人群的主辅食品(第85条第三项);未建立并遵守查验记录制度、出厂检验记录制度(第87条第二项);事故单位在发生食品安全事故后未进行处置、报告的(第88条)等。《食品安全法》规定的行政处罚罚款幅度,大多数界于《产品质量法》和《特别规定》之间,比产品质量法严厉,体现了食品安全监管严峻形势下,“乱世用重典”立法倾向;比特别规定轻,则体现了更加成熟、理性的立法思想,考虑了实践中行政处罚履行的问题。(四)食品安全制度框架一是建立了食品安全风险监测和评估机制。食品安全风险监测和评估是国际上流行的预防和控制食品风险的有效措施。食品安全法从食品安全风险监测计划的制定、发布、实施、调整等方面,规定了完备的食品安全风险监测制度。同时,食品安全法还从食品安全风险评估的启动、具体操作、评估结果的用途等方面规定了一整套完整的食品安全风险评估制度。二是调整了食品安全标准制定、发布体系。食品安全法明确了食品安全国家标准的制定、发布主体,制定方法,明确对有关标准进行整合。食品安全国家标准由国务院卫生行政部门负责制定、公布,并对现行的食用农产品质量安全标准、食品卫生标准、食品质量标准和有关食品的行业标准中强制执行的标准予以整合,统一公布为食品安全国家标准。三是明确了食品安全事故处置机制。食品安全法规定了制定食品安全事故应急预案及食品安全事故的报告制度。事故发生单位和接收病人进行治疗的单位应当及时向事故发生地县级卫生部门报告。食品安全监督管理部门在日常监督管理中发现食品安全事故,或者接到有关食品安全事故的举报,应当立即向卫生行政部门通报。另外,规定了县级以上卫生行政部门处置食品安全事故的措施。四是明确了食品企业的责任义务。食品安全法规定食品生产经营企业应当建立健全本单位的食品安全管理、食品生产从业人员健康管理、进货查验记录以及食品出厂检验记录制度,依照法律、法规和食品安全标准从事生产经营活动,对社会和公众负责,保证食品安全,接受社会监督,承担社会责任。五是明确食品流通环节的监管机制。食品安全法规定由工商行政管理部门负责食品流通的食品安全监管,主要职责是食品的流通环节的许可管理、流通环节的食品召回及停止经营、食品抽样检验、监督检查、食品广告管理、将食品安全事故、举报以及食品安全信息通报给卫生部门、参与食品安全事故的调查处理。六是明确餐饮环节的监管机制。食品安全法规定由食品药品监督部门负责餐饮服务的食品安全监管,主要职责是食品的餐饮服务的许可管理、餐饮服务的食品召回及停止经营、食品抽样检验、监督检查、将食品安全事故、举报以及食品安全信息通报给卫生部门、参与食品安全事故的调查处理。七是国家建立食品安全信息统一公布制度。由国务院卫生行政部门统一公布的信息包括:国家食品安全总体情况;食品安全风险评估信息和食品安全风险警示信息;重大食品安全事故及其处理信息;其他重要的食品安全信息和国务院确定的需要统一公布的信息。其中食品安全风险评估信息和食品安全风险警示信息以及重大食品安全事故及其处理信息,其影响限于特定区域的,也可以由有关省、自治区、直辖市人民政府卫生行政部门公布。县级以上农业行政、质量监督、工商行政管理、食品药品监督管理部门依据各自职责准确、及时、客观的公布食品安全日常监督管理信息。八是设立的食品安全委员会。该委员会是一个常设机构,虽然该机构的职责未在法律中说明,但是结合该法附则中“国务院根据实际需要,可以对食品安全监督管理体制作出调整。”的规定,可以预见该机构很可能在下一轮食品安全监管体制改革中扮演重要角色。九是明确了食品安全违法行为的法律责任。食品安全法的法律责任部分共一章十五条,明确了食品生产经营者,食品检验机构、人员,食品安全监督管理部门或者承担食品检验职责的机构、食品行业协会、消费者协会、县级以上地方人民政府食品安全监管违法行为的直接负责的主管人员和其他直接责任人员的民事、行政以及刑事法律责任。并特别规定了民事赔偿责任优先以及十倍索赔制度,体现了立法为民的思想。
建设现代化畜牧业强省必须转变畜牧业生产方式[编者按] 四川省人民政府于2005年12月5日发出通知,对如何保持我省畜牧业稳定发展的势头,提出了新的目标和新的要求。其主导思想就是,要把转变畜牧业的生产方式,作为全省各级政府和畜牧主管部门发展我省畜牧业的基本思路,并以此来制定畜牧工作的方针和措施。现将《四川省人民政府关于转变畜牧业生产方式加快建设现代化畜牧业强省的意见》刊登于后供各地畜牧部门学习参考。我省畜牧业已经连续28年持续稳步增长,多项经济技术指标名列全国前茅,生猪出栏和猪肉产量居于全国首位,畜牧业已经成为农村经济的支柱产业和国民经济的重要产业。近年来,畜产品质量安全和动物疫病防控越来越受到人们关注,分散养殖和粗放经营越来越制约畜牧业健康发展,彻底转变畜牧业生产方式,加快推进畜禽的规模化养殖和标准化生产,确保提供优质、安全、高效的畜禽产品,已成为新时期畜牧业发展的战略选择和构建现代化畜牧经济强省的必然途径。为此,特提出以下意见。一、指导思想坚持以人为本,用科学发展观指导畜牧业生产方式的转变;以确保产品安全,维护公众健康,保护生态环境,促进社会和谐为目的;以推进畜禽规模化饲养和标准化生产为突破口;以实现数量、质量和生态并重发展为重点,以提高畜牧业综合效益,增加农民收入为目标来建设现代化畜牧业强省。二、基本原则1、把动物疫病防治控制与畜牧业投入品监控结合起来,建设无公害畜产品基地,提高畜产品质量,保证消费者安全。2、把畜牧业生产发展与畜禽养殖环境建设结合起来,促进生态环境与生产条件的同步改善,实现生态效益和经济效益的同步增长。3、把畜牧业科技创新与适用技术普及推广结合起来,着力构筑现代化畜牧业生产体系,建立种、养、加、销一体化的经济结构。4、把政府的政策导向和市场机制要求结合起来,引导广大养殖户遵循自然规律、经济规律和市场规律,坚持走畜牧业可持续发展之路。三、目标任务总体目标:实现畜牧业“四改五化”,即通过改良畜禽品种、改善养殖环境、改变饲养管理、改革经营流通,建立一套功能完善、运行良好的畜牧业健康养殖体系,努力达到养殖规模化、生产标准化、管理规范化、经营产业化、畜禽产品安全化,构建现代化畜牧经济强省。具体任务:“十一五”期间,无疫区建设充分发挥作用,重大动物疫病有效控制,畜禽养殖环境明显改善,规模化养殖场畜禽粪污实现达标排放,畜产品全部实现安全化;推行畜禽的适度规模饲养和标准化生产,商品猪适度规模饲养出栏量占总出栏的比重达60%以上,建立一批畜禽标准化饲养基地;畜禽良种率每年提高5个百分点以上,将我省建成全国最大的种畜禽生产基地;推进畜产品精深加工,规范畜禽定点屠宰,严格禁止私屠滥宰,严格对病死畜实行“四不一处理”,生猪的工厂化屠宰加工达60%以上;到2010年,畜牧业产值实现1930亿元,占农业总产值60%,农民人均畜产品现金收入每年增加50元以上。四、保障措施(一)加强技术培训,实现从业人员技能化一是努力提高广大养殖户的科学文化素质。大力开展对养殖户的技术培训,力争在2010年前把养殖户普遍培训一次,改变农村的卫生习俗和养殖习惯,提高养殖技术水平。引导农民分工分业,走专业化饲养的路子,逐步实现从业人员专门化和技能化。二是加快对畜牧兽医从业人员的技术培训。到2010年,使30%以上的养殖户获得绿色证书,畜禽规模化养殖场配备具有大专学历水平的兽医和畜牧专业人员。乡镇兽医人员达到中专学历水平以上。三是加强对畜禽屠宰加工人员的培训和管理。重点对定点屠宰加工人员进行职业技能培训、动物疫病知识培训和公共卫生知识培训。有条件的地方应逐步推行屠宰加工人员上岗许可制度。(二)规范饲养技术,实现畜禽生产标准化一是加快畜牧业技术规范和行业标准的制定和推广应用。严格按照优良畜禽品种标准和无公害畜产品生产技术规程,从环境与设施、品种与繁殖、畜禽饲养投入品管理使用等方面实行规范化饲养和标准化生产。“十一五”期间,全省重点建设60个标准化商品猪生产基地(县)、60个标准化商品禽生产基地(县)、20个标准化肉羊生产基地(县)、10个标准化肉牛生产基地(县)、10个标准化奶源生产基地(县)。二是加大畜牧业科技开发和技术推广力度。加快培育优质、高效、抗逆性强,具有知识产权和地方特色的畜禽新品种(系)与配套系。抓紧新饲料开发,研制安全饲料加工配制技术。推广畜禽疫病快速诊断和监测技术,完善兽药残留检测标准的制定。以适度规模养殖场和生态养殖小区为载体,将成熟技术集成配套,组织实施畜牧业“科技入户”工程,建立“科技人员直接到户,良种良法直接到圈,技术要领直接到人”的科技成果快速转化机制。三是努力提高畜禽良种工程的建设和管理水平。坚持引种、培育、推广相结合,做好良种的扩繁和推广工作。各地应积极研究和制定畜禽良种补贴等优惠政策,发挥畜禽育种科研单位的作用,扶持民营科研机构,继续鼓励和支持民间资本投入畜禽良种工程建设。支持有条件的龙头企业牵头组建畜禽种业集团,加快畜禽良种生产的产业化,力争把我省建成全国最大的种畜禽生产基地。(三)加大监控力度,实现饲养管理科学化一是强化对动物疫病监控。在充分发挥无规定动物疫病示范区建设作用的同时,重点抓好种畜禽场、大中型规模养殖场、畜产品加工企业的动物疫病监测和产品质量监控,建立产品安全的把关、溯源、设限和布控体系。强化适度规模场、生态养殖小区动物疫病的防控能力。建设动物防疫屏障体系,做好流通防疫监管。二是加强畜产品及其投入品的监管。重点落实源头治理,市场监督等措施,继续加大畜牧投入品专项整治力度,对养殖、加工、流通实行全程监测。推行《兽药生产质量管理规范》和《兽药经营质量管理规范》,加强兽药质量监管和兽药残留监控。建立畜产品质量安全监控体系,除在养殖环节加大力度外,重点加强对畜产品加工企业的技术改造和质量监控。三是加强对畜禽养殖和生产过程的管理。生态养殖小区和适度规模养殖场要建立科学规范、切实可行的生产经营和防疫管理体系。推行统一规划、统一防疫、统一治污、统一服务、统一销售的“五统一”管理模式。要依托当地资源,积极构建 “果园养猪”、“山地养鸡”、“稻鸭共育”等畜禽生态循环模式,促进畜禽养殖规模的扩大和生产水平的提高。(四)拓展服务领域,实现体系建设配套化一是建立多种领域、多种形式、多种功能的畜牧业服务体系。按乡镇或区域设立畜牧兽医站,人员、业务、经费等由县级兽医行政主管部门统一管理,承担动物防疫、检疫、和公益性技术推广服务职能。依托科研单位、技术推广部门、专业合作组织、加工营销龙头企业等组建畜牧业成果转化中心、创新服务中心、专家大院、专业协会、信息网络等,将良种推广、疫病防控、投入品管理等传统的服务项目与环境治理、投资管理、信息服务和市场拓展等现代服务项目有效地结合起来。拓展服务领域、扩大服务内容、充实服务形式、提高服务效能。形成服务主体多元化、服务内容多样化的畜牧业社会化服务体系。二是建立规范的养殖管理和质量保证体系。加强养殖业的规范化管理,提高畜产品质量,探索启动良好农业规范(GAP),良好管理规范(GMP),良好兽医规范(GVP)以及危害分析与关键点控制(HACCP)等行之有效的受理体系认证。为我省的畜产品特别是猪肉制品的外销和出口打下良好的基础。(五)创新组织形式,实现经营流通产业化一是培育壮大骨干龙头企业。按照“扶优、扶强、扶大”的原则,引导具有比较优势的行业龙头企业整合资源、资金、技术、人才等要素,逐步形成生产、加工、流通一体化的产业集团和不同层次的龙头企业群体。支持有条件的龙头企业进行股份制改造,争取上市融资,增加龙头企业的辐射力和带动力。二是大力发展畜产品精深加工业。围绕我省农业主导产业和重点产品,大力发展精深加工业。根据市场需求发展保鲜肉和方便肉制品。扩大加工规模,提高产品档次,打造知名品牌,增加外销出口,提高畜产品附加值和畜牧业综合效益。三是促进流通领域龙头企业发展壮大。坚持统筹安排,合理规划,搞好农产品市场建设。按照“谁投资、谁所有、谁收益”的原则,积极拓宽融资渠道,扶持现有综合市场和专业市场做强做大。四是提高农民的组织化程度。以专业合作经济组织为主要的联结纽带,把农户、规模养殖场、生态养殖小区及畜产品加工企业有效地联结起来,处理好企业和农户之间、合作社成员之间的利益关系,提升生态养殖小区、适度规模养殖场以及散养农户的技术水平和养殖效益,增强其规避疫病灾害和抵御市场风险的能力。(六)加大扶持力度,实现政策投入制度化一是解决好养殖小区和适度规模养殖场建设用地。凡是生态养殖小区和适度规模养殖场用地,一律作为农业用地。不得占有基本农田,不占或少占耕地。各地要在贯彻落实国家土地政策,盘活存量土地资源的基础上,按照种养业协调发展的原则,把发展畜禽适度规模养殖以及建设畜禽养殖小区所需的土地列入乡镇土地利用总体规划,支持农民充分利用荒山、荒坡、荒地和滩涂发展畜禽的适度规模养殖。二是调整省级财政畜牧专项资金结构。规范引种补助标准,重点支持对畜禽场和生态养殖小区农户的引种补贴,加快良种推广进度。三是支持养殖户、养殖小区和适度规模养殖场的沼气建设。畜禽粪便是很好的有机肥,也是沼气能源的最好原料,在当前耕地肥力下降、能源紧缺的情况下,开展畜禽粪便的综合利用尤其必要。财政资金和农村能源建设经费应重点支持养殖场户的沼气建设,发展农村循环经济。四是加大对畜牧业的扶持力度。各级财政要围绕转变畜牧业生产方式,增加对畜牧业的投入,重点支持畜禽良种工程建设、生态养殖小区建设、适度规模养殖场的圈舍改造和粪污处理以及标准化生产示范基地建设等。引导农民发展适度规模养殖,建立畜禽生态养殖小区。五是加大金融机构对养殖户的信贷支持。坚持和推广小额信贷,农村信用联社要支持规模饲养的发展。逐步建立和完善担保体系,龙头企业可根据国家规定成立担保公司为所带动的农户提供担保贷款,扩大基地规模,做大做强企业。六是在全省推广生猪养殖保险。建立畜禽养殖保险体系,对于防范和降低养殖业风险特别是推进病死家禽“四不一处理”有很好的保障作用,应搞好试点,取得经验后在全省逐步推广。推行初期,可由各市、县政府制定鼓励、支持养殖户参加生猪养殖保险的办法,促进养殖保险顺利开展。
可以根据染色馒头事件做一论述,写一下关于食品安全,及其预防问题。
1 引言网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。2 防火墙的概述及其分类网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 概述在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。1)什么是防火墙古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。2)防火墙的功能防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点:·根据应用程序访问规则可对应用程序联网动作进行过滤;·对应用程序访问规则具有学习功能;·可实时监控,监视网络活动;·具有日志,以记录网络访问动作的详细信息;·被拦阻时能通过声音或闪烁图标给用户报警提示。3)防火墙的使用由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。 防火墙的分类市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。1)包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。2)代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。3)监测型监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3 防火墙的作用、特点及优缺点防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。 防火墙的作用防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。 防火墙的特点我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。防火墙一般具有如下显著特点:·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等;·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏;·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息;·反欺 欺是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃;·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。 防火墙的优势和存在的不足防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。1) 防火墙的优势(1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。(2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。2) 防火墙存在的不足(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。(2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。(3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。4 防火墙的管理与维护如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。 建立防火墙的安全策略要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。1) 网络服务访问策略网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。比如,如果一个防火墙阻止用户使用Telnet服务访问因特网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。2) 防火墙的设计策略防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种:① 除非明确不允许,否则允许某种服务;② 除非明确允许,否则将禁止某项服务。执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。3) 安全策略设计时需要考虑的问题为了确定防火墙安全设计策略,进而构建实现预期安全策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下问题:·需要什么服务,如Telnet、WWW或NFS等;·在那里使用这些服务,如本地、穿越因特网、从家里或远方的办公机构等;·是否应当支持拨号入网和加密等服务;·提供这些服务的风险是什么;·若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大;·与可用性相比,站点的安全性放在什么位置。 日常管理日常管理是经常性的琐碎工作,以使防火墙保持清洁和安全。为此,需要经常去完成的主要工作:数据备份、账号管理、磁盘空间管理等。1) 数据备份一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后,最好还能发送出一封确定信,而当它发现错误的时候,也最好能产生一个明显不同的信息。为什么只是在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信,或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人,也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行,并在备份没有执行的时候产生一个信息。2) 账号管理账号的管理。包括增加新账号、删除旧账号及检查密码期限等,是最常被忽略的日常管理工作。在防火墙上,正确的增加新账号、迅速地删除旧账号以及适时地变更密码,绝对是一项非常重要的工作。建立一个增加账号的程序,尽量使用一个程序增加账号。即使防火墙系统上没有多少用户,但每一个用户都可能是一个危险。一般人都有一个毛病,就是漏掉一些步骤,或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码,入侵者就很容易进来了。账号建立程序中一定要标明账号日期,以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号,但是需要自动通知那些账号超过期限的人。可能的话,设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件,然后传送到其他的机器上,或者是在各台机器上产生账号,自动把这些账号文件拷贝到UNIX上,再检查它们。如果系统支持密码期限的功能,应该把该功能打开。选择稍微长一点的期限,譬如说三到六个月。如果密码有效期太短,例如一个月,用户可能会想尽办法躲避期限,也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知,就不要开启这个功能。否则,用户会很不方便,而且也会冒着锁住急需使用机器的系统管理者的风险。3) 磁盘空间管理数据总是会塞满所有可用的空间,即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西,把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间,只是这种碎片就容易造成混乱,使事件的处理更复杂。于是有人可能会问:那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?等等,不幸的是能自动找出这种“垃圾”的方法没有,尤其是可以在磁盘上到处写东西的系统管理者。因此,最好有一个人定期检查磁盘,如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。在大多数防火墙中,主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行,自动重新开始,这些数据最好把它压缩起来。Trimlon程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时,一定要停止程序或让它们暂停记录,如果在截断或搬移记录时,还有程序在尝试写入记录文件,显然就会有问题。事实上,即使只是有程序开启了文件准备稍后写入,也可能会惹上麻烦。 监视系统对防火墙的维护、监视系统是维护防火墙的重点,它可以告诉系统管理者以下的问题:·防火墙已岌岌可危了吗?·防火墙能提供用户需求的服务吗?·防火墙还在正常运作吗?·尝试攻击防火墙的是哪些类型的攻击?要回答这几个问题,首先应该知道什么是防火墙的正常工作状态。1) 专用设备的监视虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据,但是也可能会觉得如果有一些专用的监视设备会很方便。例如,可能需要在周围网络上放一个监视站,以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机,也可以使用特殊用途的网络检测器。如何确定这一台监视机器不会被入侵者利用呢?事实上,最好根本不要让入侵者知道它的存在。在某些网络硬件设备上,只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能,就可以使这台机器无法被检测到,也很难被入侵者利用。如果有操作系统的原始程序,也可以从那里取消传输功能,随时停止传输。但是,在这种情况下很难确认操作是否已经做成功了。2) 应该监视的内容理想的情况是,应该知道通过防火墙的一切事情,包括每一条连接,以及每一个丢弃或接受的数据包。然而实际的情况是很难做到的,而折衷的办法是,在不至于影响主机速度也不会太快填满磁盘的情况下,尽量多做记录,然后再为所产生的记录整理出摘要。在特殊情况下,要记录好以下内容:一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名;三是所有从路由器中发现的错误、堡垒主机和一些代理程序。3) 监视工作中的一些经验应该把可疑的事件划分为几类:一是知道事件发生的原因,而且这不是一个安全方面的问题;二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从未再出现过;三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试服务器连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS(Network File System,网络文件系统)映射;四是给站点的SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器发送debug命令。如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别是因特网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。4) 对试探作出的处理通常情况下,不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包,企图用不存在的账户进行登录等。试探通常进行一两次,如果他们没有得到令人感兴趣的反应,他们通常就会走开。而如果想弄明白试探来自何方,这可能就要花大量时间追寻类似的事件。然而,在大多数情况下,这样做不会有很大成效,这种追寻试探的新奇感很快就会消失。一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如,在匿名的FTP区域设置装有用户账号数据的文件,即使试探者破译了密码,看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的,这还能得到报复的快感,但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒,从而坚定了入侵者闯入站点的决心。 保持最新状态保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时现有的工具也会不断地被更新。因此,要使防火墙能同该领域的发展保持同步。当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确,防火墙的设计和建造做的越好,防火墙适应这些改变所花的时间就越少。5 结束语随着Internet在我国的迅速发展,网络安全的问题越来越得到重视,防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙的一些研究,还对国外的信息安全和防火墙的发展进行了密切的关注,以便能更快掌握这方面的信息,更早的应用到我们的网络上面。当然,金无足赤,人无完人,我们从防火墙维护和管理的研究上得知,防火墙能保护网络的安全,但并不是绝对安全的,而是相对的。参考文献[1] 虞益诚.网络技术及应用.东南大学出版社,[2] 王 睿,林海波.网络安全与防火墙技术.清华大学出版社,[3] 黄志晖.计算机网络设备全攻略.西安电子科技大学出版社[4] 石良武.计算机网络与应用.清华大学出版社,
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的��亿美元上升到今年的亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
随着计算机网络的飞速发展,网络安全越来越被人们所认识和重视,在维护网络正常运行方面越来越起到举足轻重之作用,已成为当代信息社会的一个重要特征。在众多安全措施中,防火墙首当其中。以网络安全为中心,考虑网络的各个层面,整体把握网络在应用中的安全性。在构造防火墙的过程中,阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP/IP(传输控制协议/网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看,文中总体把握包过滤防火墙的思想,深入细致地介绍了网络会话的细节,基于输入包和输出包的过滤思想,如何有选择性地开放Internet公共服务三方面重要的内容,并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明,包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上,本文是基于Redhat Linux操作系统,主要用内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述,给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起,介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计,阐述防火墙设计的两种安全策略:默认禁止一切和默认接受一切,并对其进行相互的比较,给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明,阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙,旨在保护其网络安全并节俭网络费用,为此实现NAT共享IP,屏蔽保护子网共享防火墙外网真实IP,达到伪装保护且节俭网络费用之功效,从而减轻网络负担;构造DMZ,将保护子网与网络服务器分离,有效地解决服务器提供网络服务与子网安全保护这一对矛盾,从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点,同时 为中小型企业构建和维护防火墙提供了相关的理论依据和参考。 试问你是大学生不,这是大学生防火墙论文的。我去年用的
自己写才是王道
[1] 杨波,朱秋萍. Web安全技术综述[J]. 计算机应用研究, 2002,(10) . [2] 罗铁坚,徐海智,董占球. Web安全问题[J]. 计算机应用, 2000,(04) . [3] 张霆,王亚东,陈玉华. Web安全技术与防火墙的功能[J]. 黑龙江水专学报, 2000,(03) . [4] 苏莹莹. Web安全技术[J]. 牙膏工业, 2003,(04) . [5] 赵伟,贾卓生. 应用级的Web安全[J]. 铁路计算机应用, 2004,(01) . [6] 谭云松,史燕. 一种新的Web安全与防火墙技术[J]. 计算机时代, 2002,(03) . [7] 邓谱. Web安全技术与防火墙[J]. 重庆电力高等专科学校学报, 2000,(04) . [8] 刘大勇. Web的安全威胁与安全防护[J]. 大众科技, 2005,(06) . [9] 杨继东. 浅析密码与Web安全[J]. 甘肃农业, 2005,(05) . [10] 李文锋. Web攻击方法及其安全研究[J]. 科学技术与工程, 2005,(04) . [1] 边娜. Web安全技术与防火墙[J]. 山西财经大学学报, 2000,(S2) [1] 邓谱. Web安全技术与防火墙[J]. 重庆电力高等专科学校学报, 2000,(04) [2] 张洪霞 , 刘仁涛. 浅谈安全的网络城墙——防火墙[J]. 应用能源技术, 2002,(04) [3] 沈芳阳, 阮洁珊, 李振坤, 黄智勇, 邓静, 刘怀亮, 柳正青. 防火墙选购、配置实例及前景[J]. 广东工业大学学报, 2003,(03) [4] 史晓龙. 防火墙技术在网络中的应用[J]. 公安大学学报(自然科学版), 2001,(03) [5] Web应用防火墙来势汹汹[J]. 电力信息化, 2009,(07) [6] 闫宝刚. 防火墙组网方案分析[J]. 大众标准化, 2004,(08) [7] 潘登. 浅析防火墙技术[J]. 株洲工学院学报, 2004,(02) [8] 芦军, 丁敏. 浅谈防火墙设计[J]. 房材与应用, 2004,(01) [9] 陈冰. 企业计算机网络防火墙的选择[J]. 供用电, 2004,(04) [10] 徐文海. 防火墙技术及虚拟专用网络的建立[J]. 铁道运营技术, 2003,(04)
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之,防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。 随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。 [正文] 1 引言 网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今, Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,将作为本次论文设计的的重点。 几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。有人曾提出过如果把每个单独的系统配置好,其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统,我们不得不承认在Windows 2003以前的时代, Windows默认开放了太多不必要的服务和端口,共享信息没有合理配置与审核。如果管理员通过安全部署,包括删除多余的服务和组件,严格执行NTFS权限分配,控制系统映射和共享资源的访问,以及帐户的加固和审核,补丁的修补等。但是致命的一点是,该服务器系统无法在安全性,可用性和功能上进行权衡和妥协。因此,如何保护企业内部网络中的资源及信息不受外部攻击者肆意破坏或盗窃,是企业网络安全需要解决的重要问题。 防火墙就是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。 ......
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的��亿美元上升到今年的亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
上安全焦点看上几篇关于防火墙的文章就会找到灵感了
一、普通高校开展军事课在学生素质教育中的地位 根据教育部、总参谋部、总政治部关于印发《普通高等学校军事课教学大纲》的通知要求,军事课列入学校教学计划,军事理论教学时数为36学时,军事技能训练为2-3周,学生成绩记入学生档案。军事课在普通高校虽然属于基本素质教育的范畴,但在整个高等教育体系中它不仅具有“增强全民国防观念,提高全民国防意识”的功能,而且是对学生人生观、价值观、世界观趋于成熟的关键引导,特别是在强手如林的未来世界激烈竞争中,他们必须有坚强的意志,强烈的民族精神才能利于不败之地。所以,军事课在提高学生综合素质方面,具有其他学科所无法替代的地位和作用。 1、学校领导及教师的认同感 多年来实践证明,开展大学生军事课,对大学生进行军事教育不仅使学生学到了一定的军事理论知识和技能知识,同时还培养了学生的组织纪律性和吃苦耐劳的精神,对他们的健康成长起到了良好的作用。另外,各高校把军事课看成是新生入学的第一课,上好这一课将给大学生在校4-5年的学习生活中打下良好的基础,因此,被各高校领导及教师们认同。由于各所高校领导的重视,各部门的积极支持配合,给予了大量人力物力投入,所以军事课在普通高校中充分体现出了它的育人地位和效果。 2、学生的认同感 军训期间学生们能自愿接受紧张而艰苦的军事训练,亲身体验军营生活接受军事锻炼,部队派出的优秀教官进校军训,在完成承训任务的同时,把人民军队的好思想、好作风带进了校园,使同学们有了面对面向解放军学习的机会。解放军严明的组织纪律性和优良作风对同学们产生了直接影响,解放军的良好素质和军人魅力给他们留下了永不磨灭的印象,并建立了深厚友谊。虽然是十几天的军训生活,却能使他们终身难忘,军训后仍然留恋那十几天的军营生活,有人说,“军人的素质是一种永恒”,这足以证明军事课在当代大学生心灵深处的地位和影响。目前社会上一些企事业单位招聘高校学生,把学生是否经过军事教育作为一个优先选择的条件,学生本身也认识到了这一点,所以在军事教育过程中积极主动接受军事训练,认真学习军事理论基础知识争取好的成绩。 3、家长及社会的认同感 家长及社会对高校的学生军事教育给予了大力的支持和认同。家长更希望自己的孩子能通过军事训练改变日常生活中懒散懈怠作风,锻炼他们的意志品德,平衡他们的心态。认为一个人要成就一番事业就必须有坚强的意志,聪明是一种财富,意志则是更大的财富。聪明人办小事,坚强者才能办大事的道理。社会上一些企事业单位招聘高校学生也把学生是否经过军事教育作为一个条件来优先选择,普通高校的军事教育得到了社会各界支持与鼓励,形成了良好社会风气。《2004年中国的国防》白皮书中说:“中国政府多年来开展多种形式的国防教育,提高国防观念。国防教育工作已初步形成政府重视、社会支持、全民参与的良好局面。”由此看出普通高校的国防教育有它素质教育的现实意义,是不可多得的实施人才兴国战略、培养“四有”新人的重要基地。 二、普通高校开展军事课在学生素质教育中的作用 军事课是高校国防教育的重要组成部分,是爱国主义教育的重要内容之一。国防教育与科学文化教育、思想道德教育、心理素质教育等既有联系又有区别。学校的国防教育是通过集中军事训练,上军事理论课和分层次的多种形式国防教育,以及课程之外的国防知识演讲、竞赛、军事夏令营等军体活动来体现的,无论在德育,还是在智育、体育等方面,都为大学生成才提供了一个新的载体。它不仅有助于良好道德的形成,而且拓宽了大学生的知识面,增强了体魄,从这种意义上来说,起到了其它教育形式所不能替代的作用。 普通高校的国防教育内容是按照《通知》要求进行教学的,从教育目的、教育内容和手段及方法上看,国防教育为高校教育注入了活力,当代大学生思想活跃可塑性强,接受能力快,特别是刚迈入大学校门的学生,他们充满对大学的好奇和渴望,大学时期正是世界观、人生观、价值观改造和形成的关键时期。高校的国防教育有着广阔的空间,使学生在军事课程之内接受系统国防教育,充分发挥着国防教育在学生素质教育中的作用。 1、通过基本军事技能训练能磨练他们的意志品质,并提高他们的身体素质和精神面貌。十几年的寒窗苦读使他们长期处于脑力劳动状态,再加上各种主客观因素,普遍存在心理素质脆弱,视力下降,身体素质差等问题。而高校的军事训练是高等教育的组成部分,它集中训练的特点是,严格、紧张、统一、有序。这对于刚刚走出家门的大学生来说是对自我极限的挑战,军事训练很好的培养了他们顽强拼搏和集体主义协作的精神,增强他们的组织纪律观念和集体荣誉感,为他们的大学生活乃至将来的工作生活打下了良好的基础。 2、大学生学习军事理论对完善学生知识结构具有重要作用,每一个国家和民族从自身安全出发,都把自己的最新科技成果运用到国防上,大学生通过学习现代军事科学知识,可以亲身感受到自己所学专业和知识在军事领域中的应用,从而极大的激发他们刻苦学习现代科学文化知识的积极性和自觉性,可以增强勇于向困难挑战,勇攀科学高峰的意识。 3、普通高校的军事课,教学方法和手段先进灵活。目前,高校国防教育基本做到了理论和实践相结合,军事训练和军事理论相结合,利用多媒体教学,结合教学内容及要求制作教学课件,形象生动,增强了学生的感性认识,提供最新最快最先进信息,激发他们的爱国热情。课外国防教育活动灵活多样,知识性与趣味性相结合,使学生产生浓厚兴趣,保证国防教育在高校具有稳定和长效功能。 三、普通高校开展军事课在学生素质教育中具有的深远意义 《国防教育法》指出:“学校的国防教育是全民国防教育的基础,是实施素质教育的重要内容。”在高校开展以学生军训、军事理论课教学和课外多层次多样式国防教育活动,是按照国防教育要面向现代化、面向世界、面向未来的要求,适应我国人才培养的战略目标和加强国防后备力量建设的需要,是提高学生全面素质的一个重要环节,所以搞好高校国防教育具有深远的意义。 学生是国防建设的后备力量,随着军事高科技的飞速发展,未来战争是技术的抗衡,是人才的较量。而这些人才的培养,仅仅靠军队院校是远远不够的,还必须依靠地方院校来培养。青年学生是社会的重要组成部分,也是最生动最具活力的群体。他们的素质高低,国防观念的强弱,将对社会起到巨大的“辐射”作用。随着我国社会的发展和进步,社会公民绝大多数受过大、中学校教育,据2003年统计表明,全国有1100多所高等院校和11500多所高级中学按照要求开展了学生军训,800多万学生接受军事训练及军事理论基础教育。因此学生军事课开设将在全体公民中形成越来越大的覆盖面,作为后备兵员的储备,对改善现代军队兵员文化、科学技术结构具有重要意义。 学生是祖国的未来,通过学校国防教育所积淀形成的道德行为、意志品德,渗透到社会各个领域,有助于形成良好的社会道德风尚,成为二十一世纪现代化建设的社会主义
一、普通高校开展军事课在学生素质教育中的地位根据教育部、总参谋部、总政治部关于印发《普通高等学校军事课教学大纲》的通知要求,军事课列入学校教学计划,军事理论教学时数为36学时,军事技能训练为2-3周,学生成绩记入学生档案。军事课在普通高校虽然属于基本素质教育的范畴,但在整个高等教育体系中它不仅具有“增强全民国防观念,提高全民国防意识”的功能,而且是对学生人生观、价值观、世界观趋于成熟的关键引导,特别是在强手如林的未来世界激烈竞争中,他们必须有坚强的意志,强烈的民族精神才能利于不败之地。所以,军事课在提高学生综合素质方面,具有其他学科所无法替代的地位和作用。1、学校领导及教师的认同感多年来实践证明,开展大学生军事课,对大学生进行军事教育不仅使学生学到了一定的军事理论知识和技能知识,同时还培养了学生的组织纪律性和吃苦耐劳的精神,对他们的健康成长起到了良好的作用。另外,各高校把军事课看成是新生入学的第一课,上好这一课将给大学生在校4-5年的学习生活中打下良好的基础,因此,被各高校领导及教师们认同。由于各所高校领导的重视,各部门的积极支持配合,给予了大量人力物力投入,所以军事课在普通高校中充分体现出了它的育人地位和效果。2、学生的认同感军训期间学生们能自愿接受紧张而艰苦的军事训练,亲身体验军营生活接受军事锻炼,部队派出的优秀教官进校军训,在完成承训任务的同时,把人民军队的好思想、好作风带进了校园,使同学们有了面对面向解放军学习的机会。解放军严明的组织纪律性和优良作风对同学们产生了直接影响,解放军的良好素质和军人魅力给他们留下了永不磨灭的印象,并建立了深厚友谊。虽然是十几天的军训生活,却能使他们终身难忘,军训后仍然留恋那十几天的军营生活,有人说,“军人的素质是一种永恒”,这足以证明军事课在当代大学生心灵深处的地位和影响。目前社会上一些企事业单位招聘高校学生,把学生是否经过军事教育作为一个优先选择的条件,学生本身也认识到了这一点,所以在军事教育过程中积极主动接受军事训练,认真学习军事理论基础知识争取好的成绩。3、家长及社会的认同感家长及社会对高校的学生军事教育给予了大力的支持和认同。家长更希望自己的孩子能通过军事训练改变日常生活中懒散懈怠作风,锻炼他们的意志品德,平衡他们的心态。认为一个人要成就一番事业就必须有坚强的意志,聪明是一种财富,意志则是更大的财富。聪明人办小事,坚强者才能办大事的道理。社会上一些企事业单位招聘高校学生也把学生是否经过军事教育作为一个条件来优先选择,普通高校的军事教育得到了社会各界支持与鼓励,形成了良好社会风气。《2004年中国的国防》白皮书中说:“中国政府多年来开展多种形式的国防教育,提高国防观念。国防教育工作已初步形成政府重视、社会支持、全民参与的良好局面。”由此看出普通高校的国防教育有它素质教育的现实意义,是不可多得的实施人才兴国战略、培养“四有”新人的重要基地。二、普通高校开展军事课在学生素质教育中的作用军事课是高校国防教育的重要组成部分,是爱国主义教育的重要内容之一。国防教育与科学文化教育、思想道德教育、心理素质教育等既有联系又有区别。学校的国防教育是通过集中军事训练,上军事理论课和分层次的多种形式国防教育,以及课程之外的国防知识演讲、竞赛、军事夏令营等军体活动来体现的,无论在德育,还是在智育、体育等方面,都为大学生成才提供了一个新的载体。它不仅有助于良好道德的形成,而且拓宽了大学生的知识面,增强了体魄,从这种意义上来说,起到了其它教育形式所不能替代的作用。普通高校的国防教育内容是按照《通知》要求进行教学的,从教育目的、教育内容和手段及方法上看,国防教育为高校教育注入了活力,当代大学生思想活跃可塑性强,接受能力快,特别是刚迈入大学校门的学生,他们充满对大学的好奇和渴望,大学时期正是世界观、人生观、价值观改造和形成的关键时期。高校的国防教育有着广阔的空间,使学生在军事课程之内接受系统国防教育,充分发挥着国防教育在学生素质教育中的作用。1、通过基本军事技能训练能磨练他们的意志品质,并提高他们的身体素质和精神面貌。十几年的寒窗苦读使他们长期处于脑力劳动状态,再加上各种主客观因素,普遍存在心理素质脆弱,视力下降,身体素质差等问题。而高校的军事训练是高等教育的组成部分,它集中训练的特点是,严格、紧张、统一、有序。这对于刚刚走出家门的大学生来说是对自我极限的挑战,军事训练很好的培养了他们顽强拼搏和集体主义协作的精神,增强他们的组织纪律观念和集体荣誉感,为他们的大学生活乃至将来的工作生活打下了良好的基础。2、大学生学习军事理论对完善学生知识结构具有重要作用,每一个国家和民族从自身安全出发,都把自己的最新科技成果运用到国防上,大学生通过学习现代军事科学知识,可以亲身感受到自己所学专业和知识在军事领域中的应用,从而极大的激发他们刻苦学习现代科学文化知识的积极性和自觉性,可以增强勇于向困难挑战,勇攀科学高峰的意识。3、普通高校的军事课,教学方法和手段先进灵活。目前,高校国防教育基本做到了理论和实践相结合,军事训练和军事理论相结合,利用多媒体教学,结合教学内容及要求制作教学课件,形象生动,增强了学生的感性认识,提供最新最快最先进信息,激发他们的爱国热情。课外国防教育活动灵活多样,知识性与趣味性相结合,使学生产生浓厚兴趣,保证国防教育在高校具有稳定和长效功能。三、普通高校开展军事课在学生素质教育中具有的深远意义《国防教育法》指出:“学校的国防教育是全民国防教育的基础,是实施素质教育的重要内容。”在高校开展以学生军训、军事理论课教学和课外多层次多样式国防教育活动,是按照国防教育要面向现代化、面向世界、面向未来的要求,适应我国人才培养的战略目标和加强国防后备力量建设的需要,是提高学生全面素质的一个重要环节,所以搞好高校国防教育具有深远的意义。学生是国防建设的后备力量,随着军事高科技的飞速发展,未来战争是技术的抗衡,是人才的较量。而这些人才的培养,仅仅靠军队院校是远远不够的,还必须依靠地方院校来培养。青年学生是社会的重要组成部分,也是最生动最具活力的群体。他们的素质高低,国防观念的强弱,将对社会起到巨大的“辐射”作用。随着我国社会的发展和进步,社会公民绝大多数受过大、中学校教育,据2003年统计表明,全国有1100多所高等院校和11500多所高级中学按照要求开展了学生军训,800多万学生接受军事训练及军事理论基础教育。因此学生军事课开设将在全体公民中形成越来越大的覆盖面,作为后备兵员的储备,对改善现代军队兵员文化、科学技术结构具有重要意义。学生是祖国的未来,通过学校国防教育所积淀形成的道德行为、意志品德,渗透到社会各个领域,有助于形成良好的社会道德风尚,成为二十一世纪现代化建设的社会主义新人,是一件利国利民关乎国家长治久安的大事。所以,军事课在普通院校开设具有深远的现实意义
我考~都二中的!~! 很多地方都有二中。哪个二中啊、 我政和二中的。 2班
写作思路:可以从建设强大的国防力量就是国家的最高利益与根本利益这个角度出发进行阐述,说明自己总结出来的方针以及措施等等。
正文:
国防建设就是整个经济建设的重要组成部分,建设强大的国防力量就是国家的最高利益与根本利益,也就是实现我国“富民强国”的重要保障,又就是维护国家安全,确立中国国际地位的根本保障。
新中国成立以来,中国结束了有国无防的历史。特别就是经过改革开放后,国防力量有了很大的进步。但在当前国际形势并不太平,强权政治、霸权主义依然存在的形势下,西方国家把中国视为潜在的“全球对手”,周边国家纷纷加强军事建设,对我国采取“防御”措施,我国周边的军事环境、安全环境十分严峻。
为此,建议进一步加强国防建设,确保国家安全,实现中华民族真正的富强。
一、建立一支有快速反应能力、强大投送能力的军队。针对我国海岸线长、邻国多的情况,不仅要建立强大的边、海防,而且要建立一支有快速反应能力、强大投送能力、高度机动能力的军队,确保国家在任何方向上遭到侵略,都能迅速投入交战,并取得胜利。
二、集中科技力量,重点解决武器装备技术问题。当前我国国防科技特别就是高科技,与美俄等国家比还有相当大的差距,一些高精尖武器人家对我们实行禁售。因此我们要集中科技力量,自力更生,有重点的研制与生产精确制导武器与远程打击武器,以及指挥控制情报侦察系统、通信与电子战等高技术武器装备,提高我国的武器装备技术水平。
三、不断加大国防投入,为经济发展保驾护航。尽管我国的国防投入近年呈增长的状态,但占财政支出却呈现出下降趋势,占GDP比例维持在左右的较低水平,国防费总额仍低于世界一些主要政治、军事大国水平,这与我国经济发展水平不相协调。只有不断加大国防投入,建立强有力的现代化国防,才能为经济发展保驾护航,才能确保经济发展成果不被别国掠夺。
四、加大国防教育力度,增强全民国防观念。国防直接关系到国家的安全、民族的尊严与经济的发展。要从小抓好爱国主义为主要内容的国防教育,增强全国军民居安思危的国防警觉与一旦强敌压境全民族同仇敌忾消灭敌人的精神准备,在全社会形成关心国防、热爱国防、建设国防、保卫国防的良好氛围。
国防,就是一门求生学问,也就是国家的防务,就是指为捍卫国家主权、领土完整,防备外来侵略与颠覆,所进行的军事及与军事有关的政治、外交、经济、文化等方面的建设与斗争。国防伴随国家的产生而产生,服务于国家利益。丘吉尔有一句名言:“我们没有永恒的朋友,也没有永恒的敌人,只有永恒的利益。”此言一语中的。国防直接关系国家的安全、民族的尊严、社会的发展。