电力工程安全协议(精选8篇)
第一条甲方安全责任
甲方有监督检查乙方搞好安全生产的权利,有权对乙方不符合安全文明施工的行为进行制止、纠正并发出安全整改通知书,直至清退出场。
第二条乙方安全责任
1、在本工程施工期间发生的一切人身伤亡事故或因乙方施工造成甲方发生电网、设备损坏等事故均有乙方承担责任。
2、在正常运行期间,因甲方线路故障造成乙方人身伤亡、光缆线路和设备损坏等事故,甲方不承担任何责任,因乙方施工或其他原因(不可抗拒的自然灾害除外)给甲方造成的损失,由乙方负全部责任。
3、甲方的有关线路因改迁或架空线路改动时,应提前通知乙方,以便乙方制定相应的通信光缆改迁方案,其迁改费用由乙方承担。
4、甲方因上级或政策原因,需要乙方拆除光缆线路,乙方应无条件拆除。
第三条本协议所涉及的任何安全责任与沙河市消防大队无关。
第四条甲乙双方必须严格执行本协议,本协议具有法律效力。
第五条本协议经双方法定代表人或委托代理人签字盖章后生效。
第六条本协议一式四份,甲乙双方各执两份。
甲方:沙河市电力局
乙方:中国电信股份有限公司沙河分公司
法定代表人:法定代表人:
委托代理人:委托代理人:
第三方:沙河市消防大队:
代表人:
1 IPSec的相关概念和介绍
1.1 IPSec的组成
IPSec是因特网工程任务组 (IETF) 定义的一种协议套件, 由一系列协议组成, 验证头 (AH) 、封装安全载荷 (ESP) 、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域 (DOI) 、ISAKMP、Internet密钥交换 (IKE) 等。图1显示了IPSec的体系结构。
ESP:ESP是插入IP数据报内的一个协议头, 为IP数据包提供完整性检查、认证和加密, 它提供的机密性可防止篡改。ESP头可位于IP头与上层协议之间, 或者用它封装整个IP数据报。AH:用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务, AH不提供对通信数据的加密服务。IKE:IKE利用ISAKMP语言来定义密钥交换, 是对安全服务进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务。SA:一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性, 同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。
1.2 IPSec的两种模式
IPSec有两种模式:传输模式和隧道模式。传输模式:传输模式是IPSec的默认模式, 用于进行端对端的通信, IPSec只对IP负载进行加密。传输模式通过AH或ESP报头对IP负载提供保护。隧道模式:隧道模式为整个IP包提供保护。要保护的整个IP包都需封装到另一个IP数据报中, 同时在外部与内部IP头之间插入一个IPSec头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端, 沿途的路由器只检查最外面的IP报头, 不检查内部原来的IP报头。
2 基于IPSec的陕西地方电力调度数据网的设计与实现
2.1 方案描述
陕西地方电力调度数据网项目是陕西地方电力的全省性工程, 此项目涉及全省7个地市局 (咸阳市、宝鸡市、延安市、渭南市、商洛市、汉中市、安康市) 及其所属县局、变电站、厂站。本项目包括各个供电局、县局和站点的网络接入设备及VPN安全设备。根据陕西地电集团所辖7个分公司的电网实际情况, 基础的通信设施基本上都需要向电信服务商租用, 鉴于租赁的费用, 为了最大限度的实现性价比, 因此网络拓扑原则上采用“星形和树形”网络, 即从地电集团运行管理中心租用7个2 M的E1通道实现与7个市调的互联, 各个市调租用2 M的E1通道互联各个县调和直调厂站, 各个县调还可租用2 M通道实现下级厂站的互联, 从而实现一个以“地电集团运管中心”为金字塔的树形网络。
2.2 具体实施方案
(1) 将7个局NE20-8作为PE设备构成MPLS核心, 先实现本自治系统的规划和VPN配置。 (2) 将NE20-8做为PE设备, 各局现有由于缺少三层交换或防火墙, 所以将后台作为CE端, 完成PE、CE之间互通, 实现下属分局至地区局各业务VPN的互通。 (3) 在供电局NE20-8下联NE20-4作为分局PE设备, NE20-4下联设备由于缺少防火墙或交换机作为分局CE设备, 所以将综自后台作为CE设备。 (4) 110 kV厂站PE为AR28-31.部署方案同上。 (5) 35 kV厂站设备为USG2130防火墙, 通过电信公网建立IPSec VPN将数据传至地调USG2210防火墙。 (6) USG2210防火墙将其与35 kV变电站的IPSec VPN业务收集到的数据通过NE20-8路由器转发至调度后台。
2.3 设计方案特点
一是系统的可靠性和安全性。IPSec在IP层上实现了加密、认证、访问控制等多种安全技术, 极大地提高了TCP/IP协议的安全性。由于整个协议在IP层上实现, 上层应用可不必进行任何修改。考虑到陕西地方电力电网结构特点, 使用IPSec VPN更加安全可靠。二是在陕西地方电力现有网络上进行接入改动, IPSec可透过公共网络搭建企业Intranet和Extranet, 有效地降低了网络建设和运营的成本。陕西地方电力其他部分的业务也是由中国电信运营商提供网络接入, 本次网络建设是在原有网络上的提升。三是组网的灵活性。IPSec VPN在实现安全策略上的灵活性, 使得对安全网络系统的管理变得简便灵活。IPSec VPN接入的灵活性将实现陕西地方电力的三级调度结构。四是性价比的原因。作为国有企业作为配电网公司, 用更合理的投入换取更丰厚的回报, 是陕西地方电力公司投资建设首要考虑的原因。目前陕西地方电力只开展了实时的远动数据传输。
3 结语
关键词:电子商务 协议 SSL TLS SET
1 传输层安全协议
1.1 安全套接字层协议(SSL)
安全套接层协议是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了保密、认证服务和报文完整性。它可以有效的保护信用卡以及个人信息。Netscape Communicator和Microsoft IE浏览器中通常会用到SSL,这样能够更好的进行安全交易操作。SSL中的加密方法包括公开密钥和私有密钥。
1.2 传输层安全协议(TLS)
主要是在两个通信应用程序之间使用安全传输层协议(TLS),从而保证更高的保密性和数据完整性。该协议主要包括TLS 记录协议和TLS握手协议,前者处于较低层,它的位置是在某个可靠的传输协议上面。
①协议结构
TLS协议包括两个协议组,即TLS记录协议和TLS 握手协议,每组都包括了不少各有差异的格式信息。我们可以将TLS记录协议定义为一种分层协议,每层都会有长度、描述和内容等字段。他可以对接收到的数据进行解密、校验,或者是解压缩、重组等,之后高层客户机会接受以上的信息。TLS连接状态即为TLS记录协议的操作环境,其中包括压缩算法、加密算法和MAC算法。不同大小无空块的连续数据可以通过高层输送到TLS记录层。关于密钥计算方面要注意的有:记录协议在各种算法的协助下,通过握手协议提供的安全参数获得密钥、IV和MAC密钥。
②TLS握手协议过程
改变密码规格协议;警惕协议;握手协议。
③TLS记录协议
TLS 记录协议具有连接安全性,这种安全性的特性包括以下两点:
私有,即对称加密用以数据加密。密钥在经过对称加密后,每个连接有一个且仅有一个密钥,而且这个密钥基于另一个协议协商。我们再不加密的时候也能使用记录协议。
可靠,即信息传输包括使用密钥的MAC,能够对信息进行周密的检查。安全功能主要就是为了做好MAC 计算。如果没有MAC,记录协议还是会正常运行,但一般仅仅是在这种模式中是可以的,即有另一个协议正在使用记录协议传输协商安全参数。我们在对各种高层协议进行封装时,可以考虑TLS 记录协议。握手协议属于这种封装协议,在应用程序协议传输和接收其第一个数据字节前,它能让服务器与客户机实现相互认证,加密密钥和协商加密算法。
④ TLS握手协议
TLS握手协议具有连接安全性,这种安全性的属性包括以下几点:
第一,可以使用非对称的,或公共密钥的密码术对对等方的身份进行认证。此认证体现了一种可选性,但是要强调的是,最少要有一个结点方;第二,共享加密密钥的协商具有安全性。协商加密后,偷窃者就非常不容易再进行偷窃了。要注意的是,连接已经被认证后是不可以再获得加密的,就算是进入连接中间的攻击者也无法做到;第三,协商是可靠的。在未经通信方成员检测的情况下,不管是谁都无法修改通信协商。
总之TLS是保证因特网应用程序通信隐私和数据完整的协议。TLS和SSL的扩展,经常将他们表述为SSL/TLS、SSL/TLS协议由两层组成,即TLS握手协议允许服务和客户端间的认证,以及在传输真实数据前加密算法和沟通密钥。TLS记录协议位于可靠传输协议之上,如TCP。它确认通过数据加密的连接是隐秘和可靠的。TLS记录协议也用来包装更高层协议,人员TLS握手协议。由于服务器客户端都需要进行认证,SSL/TLS可以防御中间人攻击。此外,由于加密数据,它可以防御并截获传输中的数据包。
2 应用层安全协议
2.1 安全电子交易协议(SET)
1996年,美国Visa和MasterCard两个非常知名的信用卡组织,与国际上一些知名的科技机构一起,经过协商提出了应用于Internet上的在线交易安全标准,这一标准主要针对的是以银行卡为基础的在线交易。
① SET协议的好处
帮助商家制定了保护自己的一些方法,这样就能够保障商家在经营中的安全性,减少商家的运营成本。
对于买方的好处是,SET协议能够保障商家的经营是合法的,而且能够保障用户的信用卡号的安全,SET协议能够帮助买方保护好他们的秘密,让他们能够更加安全的在线进行购物。
使信用卡网上支付的信誉度变得更高,提高竞争力。
SET协议给参与交易的各方设置了互操作接口,不同厂商的产品可以共同使用一个系统。
② SET协议的不足之处
协议中并未明确的规定收单银行给在线商店付款前,是不是一定要收到买方的货物接受证书,不然如果在线商店的货物没有达到相关的质量标准,买方有疑义时,会出现纠纷。协议未对 “非拒绝行为”进行担保,这说明在线商店并不能证明订购是否是签署证书的买方发出的。SET技术规范并未清楚的规定在事物处理结束后,怎样能够安全地保存这些数据,或者是销毁这类数据。在每一次进行SET协议交易时,协议的使用都是很繁琐的,不是很方便,增加了使用的成本,且只有当客户有电子钱包时才能使用。
SET主要针对的就是用户、商家和银行之间通过信用卡进行的支付交易,目的是更好的保护支付信息的机密,保障支付过程的完整,保护商户及持卡人的合法身份,操作性较好。SET中的核心技术包括公开密钥加密、电子数字签名等。
SET是一种基于消息流的协议,一般都是通过Visa和MasterCard以及其他一些业界主流厂商设计发布,以此来实现公共网络上银行卡支付交易的安全性。在国际方面,SET已经受住了很多次的考验,获得了良好的效果,但很多在Internet上购物的消费者实际上并未真正使用SET。
SET是一种非常复杂的协议,它能够清楚地向我们展现卡支付交易各方之间的各种关系。SET还对加密信息的格式进行了规定,完善了每笔卡支付交易时各方传输信息的规则。实际上,将SET定义为技术方面的协议是很不够的,他还体现了每一方所持有的数字证书的合法性。
2.2 PGP协议
PGP加密技术是一个给予RSA公钥加密体系的邮件加密软件,提出了公共钥匙的加密技术。PGP加密技术创造性地把RSA公钥体系和传统加密体系结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计,因此PGP成为目前最流行的公钥加密软件包。
2.3 安全超文本传输协议(HTTPS)
SSL的一个普通用途就是浏览器和网页服务的HTTP通信安全。安全模式就是由SSL/TLS发送“无格式”的HTTP协议并依据SSL命名的超文本传输协议。有时将其指定为支持HTTP协议的扩展HTTPSS。SSL/TLS建立客户端和服务间的安全连接并传输大量数据,HTTPS是为安全传输个人信息而设计的。
参考文献:
[1]《电子商务概论》.贾玢主编.北京交通大学出版社,2009年.
[2]《信息安全与通信保密》.2012年第7期.
甲方: 乙方:
一、目的
为维护甲乙双方的共同利益,保证施工质量和安全生产,保持良好的工作秩序和施工场所的卫生环境,经甲乙双方平等协商,签定本施工协议。
二、施工项目:
三、施工地点:
四、进场时间:
五、协议内容:
1、乙方进场施工,须经甲方同意,并指定施工负责人,施工现场设立安监人员,便于施工过程中的协调、联系。甲方尽力为乙方提供便利条件和服务。
2、乙方施工前,必须经安监人员对施工作业人员进行安全教育培训和现场技术交底后才能上岗作业。特种作业人员必须经专门培训,并取得特种作业操作资格证书,方可上岗作业。特种作业人员必须携带特种作业操作证,便于甲方人员和上级主管领导检查。
3、对危险性大的施工作业,乙方必须制订具体的施工方案和安全措施,并在实施过程中指派专人现场监控,严格执行。
4、乙方应在施工区域设置明显标志,施工人员应在施工区域内活动,不得随意进入非施工区域,甲方人员有权随时检查;要强
化现场指挥和施工作业监护。
5、施工现场应有完善的安全防护救援设施,各种警示标志应齐全、设置合理。施工现场要有严密的防火措施。施工队伍的安全防护器材必须配置到位,安全措施得力,否则将不得开工作业。
6、施工过程中如需使用水、电等,施工单位必须经甲方同意,由专业人员指定接水、电地点,电器线路和管路连接规范,并由施工单位安装合格计量仪表后方可使用。
7、有缺陷的工具、设备不准进入施工现场。乙方施工牵涉动火,必须向甲方专业人员申请并填写施工动火单;
8、乙方在施工过程中当天产生的垃圾尽量当日清理干净。施工结束后,乙方应对施工现场彻底清理,做到工完、料尽、场地清。清理出的垃圾应堆放到指定地点,并尽快清运。对施工中发生的操作、交通、火灾等意外事故由乙方负责;
9、施工过程中甲方有权制止违章作业,有权对违反安全规定的行为进行处罚或责令施工队伍停工整顿。
①对严重违规操作及存在重大安全隐患处以2000元罚款。②乙方对甲方提出的安全整改意见不及时整改的,每逾期一天,乙方按200元至1000元/天承担违约责任。
③施工过程中发生人身伤亡、电网和设备事故的,乙方应承担3000元至10000元/次的违约责任。
④未佩戴安全帽和酒后作业罚款200元/人次。⑤未持证上岗作业的罚款200-500元/人次。
⑥打架斗殴聚、众赌博罚款300元/人次。⑦高空作业不系安全带罚款500元/人次。其它未尽事宜由甲乙双方协商解决。
六、本协议一式肆份,甲乙双方各执两份,自签定之日起生效。
甲乙双方必须严格执行本协议,本协议的法律效力独立于主合同。
七、协议附件:
1、乙方项目经理、管理人员、技术人员相关证明材料及施工人员名单;
2、乙方特种作业人员上岗资格证书;
3、乙方施工安全技术组织措施;乙方的施工组织设计。
甲方(公章)乙方(公章)
工程分包方:
因甲方施工的XXX工程,因施工需要,经甲、乙方友好协商,甲方将:工程分包给乙方施工。甲乙双方是属于经济承包关系,乙方自雇人员统一管理和全面负责,接受总承包方督查。为了贯彻“安全第一,预防为主”的安全方针,根据《合同法》、《安全生产法》、《建筑工程安全生产管理条例》中有关安全责任的规定,结合本工程实际,在签定协议的基础上,甲、 乙双方签定如下安全协议:
一、 甲方责任:
1、 甲方帮助对乙方职工加强安全性教育,传达上级安全生产指标精神,对乙方所施工的工程项目进行针对性的安全交底,甲方对乙方文明施工、生活卫生、治安防火、环境、职业健康安全方面的督促检查,有关违章处罚对照 项目部相关制度同等执行。
2 甲方苏中公司、监理对乙方施工中的安全工作进行监督、检查,督促其对隐患进行整改、对乙方违章违纪行为进行教育处罚,处罚款直接从安全保证金中扣除。乙方不接受管理或严重屡教不改,甲方有权责令其停止施工或无条件退场。
3、甲乙双方在结算标准中包含安全生产等费用,乙方必须采购符合国家及相关标准的劳防物品,对自雇人员免费发放;甲方、总承包方协助乙方办理暂住证等对外协调工作,协调和相关费用由乙方自理,发生事故甲方:总承包方协助乙方向保险公司索赔尽可能提供必要的帮助(在为自雇人员办理意外伤害保险的基础上)。
二、乙方责任:
1、乙方应根据相关法规及总承包单位要求的《分包单位须知》提供:资质证书、安全生产许可证、营业执照、当地建筑工程交易中心备案证明等复印件加盖单位红章,提供分包单位法定代表人签发的本项目经理(负责人)、安全员的《任命书》及建设部统一的各自《安全考核合格证》原件等安全手续,并为所有自雇职工办理意外伤害保险并报总承包单位备案。
2、甲乙双方属于经济、承包关系,乙方所自行雇俑的人员与乙方为雇佣关系,乙方对自雇职工安全教育培训并报总承包单位备案,乙方所自行雇俑人员的工程进度、工作安排、生产条件、生产工具(特别是吊篮)、工资发放、人员的雇佣与辞退等全面管理及负责:
3、乙方进场前必须交纳安全保证金:给总承包方(总承包方开具专用收据), 无条件接受业主、总承包方及监理等的违章教育及处罚;乙方如没有违章处罚款项或没有发生任何事故等相关费用,在经三方验收确认后,结算工程款或退还保证金。
4、按照“谁施工谁负责”的原则,实行包质量、包安全、包文明施工、包综合治理,乙方 对自雇人员的安全生产,文明施工、综合治理全面责任,经常对自雇人员加强安全教育并进行安全技术交底,并对安全生产工作、综合治理督促检查:服从总承包、监理及业主等的统一管理,履行安全职责,承担安全责任。乙方对总承包方或相关方检查的所有安全隐患应无条件限期整改合格,达到安全要求,并向总承包方回复,整改不合格、拒绝整改或不接受管理,总承包方可责令其停工或无条件退场:
5、乙方进场时向总承包方提供自雇人员合法有效身份证原件及照片4张及高空作业有效资格证书等相关信息,乙方因管理不当用人不善,发生敲诈勒索,社会治安包括各种伤害事故等,即使总承包方或业主事先垫付部分费用,在结算时该费用仍从乙方工程款中全额扣除,如对承包方造成不良影响,乙方承担赔偿等责任,同时视情节轻重,情节严重将追究法律责任。
6、乙方对所有安全隐患应立即停止作业整改合格后再施工,并向甲方、总承包方、监理单位书面汇报后撤离现场,若知情不报或留下安全隐患,造成事故等严重后果,乙方承担主要责任及相关费用:对不具备安全条件的部位不得冒险施工,并向甲方、总承包方汇报,一经施工就表示你单位确认施工现场消防、作业环境、设施设备等符合安全生产要求,因此所产生的不良后果及相关费用由乙方承担主要责任及相关费用。
7. 乙方有权拒绝甲方、总承包等的违章指挥,如违章指挥乙方拒绝后,甲方、总承包方(项目经理以上管理人员)用强制性手段(如扣罚等)迫使乙方施工所造成的不良后果,甲方、总承包方承担主要负责相关费用:
8.乙方对施工用具、材料及个人物品等自行妥善保管,如有丢失责任自负费用自理,在工地内外自雇人员发生的工伤等事故,包括自然 治安(交通、雷击),火灾等意外事故、非自身作业范围内非工伤事故等,除保险公司赔付以外的其它费用由乙方自负(在为自雇员工已缴纳意外伤害保险的前提下要求保险公司赔付),否则乙方负全部责任及相关一切费用。
乙方及自雇人员对他人(包括甲方或其它人员)造成的伤害,乙方负全部责任及相关费用。反之,XXX乙方及自雇人员被他人伤害,则伤害他人一方面要负全部责任:发生事故,必须立即组织抢救,XXX采取一切有效措施抢救,采取一切有效措施防止事态扩大并保护好现场,立即向总承包业主监理XXX等相关单位报告。
三、处罚一般规定:
1、禁止聚众闹事或打架斗殴等违法违纪行为。打架斗殴不论谁是谁非,乙方自雇职工打架一次,先罚款5 00元;自雇职工与总承包班组及分、外包单位班组职工之间,只要发生打架(斗殴),不论谁是谁非,先罚1000元,另根据责任追加处罚,打人治伤的承担全部医疗费及误工等相关费用(包括赔偿费),不服从调解或造成严重后果的由公安部门处理。
2.乙方对自己的职工自行管理,不请假外出属于无故旷工,造成一切后果自负;对未经安全教育培训合格,办理相关暂住、登记、工伤保险等手续,擅自安排职工上岗,总承包方将根据相关法规,对乙方按100元/人进行处罚,此类人员发生违章行为或遭受事故,乙方负全部责任和费用:未经专业培训或非机械操作工无证擅自动用塔机、木工、钢筋工及装饰用机械等中小型机电设备或动用电气焊设备所造成的一切后果,乙方负全部责任,所有费用自理;总承包方只负责协助调查处理之责,概不承担任何费用。给总承包单位造成不良影响的,乙方承担相关赔偿及消除响等责任。
3、高空杨尘一次罚款100元,高空抛物者一次罚200元,致人伤残的负全部责任及承担所有相关费用,直至交公安部门处理;对损坏或破坏公共物品或损坏安全、消防或机械等设施照价赔偿,并视情节处罚200-500元,造成事故依法追究其责任:在楼上大便一次罚款500元直至清理出场。
4、按照三级配电两级保护要求配电和管理,电线必须架空使用,禁止使用大于60W的灯泡照 ,明禁止使用碘钨灯照明或取暖;施工中禁止使用多用插座、无二次降压保护装置的电焊机、不带漏电保护器的移动电箱或漏电保护失效的电器设备,发现一次罚款100元;用其它金属丝代替保险丝每次罚款100元;私自关电影响生产处罚乙方500元/次,另根据情节轻重追究责任。 `
5、所有职工上班前不得饮酒,喝酒者负责人不得安排上班,违反者处罚乙方每次500元/人对因饮酒造成事故的乙方负全部责任与自雇职工共同承包相关费用。
6、总承包方或监理对乙方违章人员的处罚不记名,总承包方或监理持有相关照片或记录等罚,XX款以及按照合同约定的处罚款项,均直接算到分包单位账上;重大违章或其它处罚事项,根据有关律法规条文,总承包单位的有关规定、与业主签定的相关合同条款及总承包项目部研究决定执行,所有处罚款项均无需确认,从各自安全保证金或工程款中扣除。
四、 配合协助管理:
1、总包方帮助甲方配合乙方工作,提供现有的人临设施、现有的内外脚手架、人货电梯、水电、安全设施、纠察、资料收集整理汇编,对乙方的日常工作负监督、检查责任,不承担任何费用。
2、总包方收取乙方配合协助资料费XX元/平方米,总包方只开具收据不提供发票。
五、其他:
⒈ 进场后,现场的成品(墙面、门窗角、卫生洁具、机电设备等)如因乙方造成损坏或丢失, 由乙方照价赔偿级承担相关安装费用。
⒉ 本协议共叁页,一式两份,双方签字生效,甲方执壹份, 乙方各执壹份:
⒊ 本协议作为施工协议的补充协议,同样具有法律效力,如因违约发生争议,可诉以劳动仲裁机关裁决。
4.20XX年X月XX日签定之日起生效,施工协议规定的工程结束,该协议同时废止,双方权利和义务关系终止;
5.总承包项目部的各种制度规定及《违章处理细则》(见附页)对乙方及自雇职工同等有效。
总承包方: XXX
代表: XXX
乙方:XXX
代表: XXX
现场负责人:XXX
电话 XXXX
立协议日期:20XX年X月XX日
3施工分包安全协议书
工程名称:XXXXXX
总包单位:XXXXXX
分包单位:XXXXXX
甲方(发包方): 乙方(承包方): 工程承包内容: 生产地点范围:
生产期:自
****年**月**日至
****年**月**日全部竣工。
为加强对生产队伍的安全管理运行维护生产现场的正常生产和工作秩序,保证安全生产和生产工程顺利进行,根据国家、地方、行业和公司文件指示精神和安全管理的要求,认真贯彻“安全第一、预防为主”的方针,防止发生人身和设备事故,经双方协商达成如下协议: 一、总则
1、施工队伍必须具备符合规定的各种证件和手续。
2、在签订工程承包合同的同时双方必须签订安全协议书一式三份,甲乙双方各一份,一份交安全监察部门存档备查。
3、施工队伍超过30人的单位必须配备专职安全员,30人以下的队伍必须设有兼职安全员。
4、施工队伍应指定一名领导为安全负责人,应对施工人员、施工现场的安全工作负责;甲方负责提供各种安全学习材料,并对其进行检查、督促和考核。
5、施工队年龄50岁以上人员不得超过施工队总数的5%,16岁以下60岁以上人员不得使用。
6、施工现场发生安全问题必须立即到甲方安全监察部门进行汇报。
7、为保证本协议的贯彻执行,乙方必须向甲方交纳安全风险抵押金每人100元或交纳承包款的5%作为安全生产保证金,此保证金作为对违反本协议的处罚和赔偿用款,不足时由乙方补齐,余款退还给乙方。
8、乙方应向甲方交纳安全管理费每人10元。
二、甲方应承担的安全责任
1、对承包单位的资质进行审查,确认符合各项要求。
2、开工前应乙方要求向生产人员进行安全交底,并应有记录和资料。
3、在有危险性的电力生产区域内作业,有可能造成火灾、触电、中毒、窒息、机械伤害、烧伤烫伤等及可能引起生产设备停电、停运事故时,甲方应事先要求承包方制定安全技术措施,经甲方审查合格后监督实施,并按《电业安全工作规程》的要求设置甲、乙双方监护人。
4、甲方负责对乙方安全问题进行检查、监察、考核。
5、甲方负责向乙方介绍有关公司的各种规章制度。
6、乙方单位生产人员在电力生产区域内作业违反有关安全规章制度的规定时,甲方安全生产部门有权按本单位承包协议安全管理的规定进行处罚。
7、甲方安全生产部门发现承包单位生产中的不安全生产情况,有权纠正或立即停止其工作。
三、乙方应承担的安全责任
1、乙方在承包工程时必须执行有关规程和生产现场的一切安全技术措施,认真执行国家、省、市建委、劳动局及甲方关于文明生产和人身安全等有关规定并应设置各种安全标志。
2、开工前必须进行安全技术交底,全体生产人员均应掌握工程特点及生产安全措施。
3、复杂的和危险性较大的工程,应制定单独的生产安全技术措施,经甲方审查合格后贯彻落实,必要时可请甲方协助制订安全技术措施。
4、现场生产中,必须严格执行《电业安全工作规程》、《消防规程》和“安全、文明生产”规定的有关部分,进入电力生产区域内生产,必须严格执行工作票制度。
5、开工前应组织生产人员学习上述规程中的有关部分,并经考试合格后方可进行工作。
6、开工前应对生产机械、工器具及安全防护设施进行一次检查,确保符合安全规定并不超过检验周期。
7、在易燃、易爆场所生产时,乙方在动火前必须办理动火工作票,并落实动火措施防止发生火情、火灾。
8、严禁使用未成年工和不适应现场安全生产要求的老、弱、病、残人员进行生产。
9、承包单位的特种作业人员,必须持有劳动部门颁发的特种作业操作证上岗。
10、承包单位的负责人对发包单位安全监察部门提出的意见必须及时整改。
11、承包单位必须接受甲方单位的监督、管理和指导;发生人身事故或危及生产的不安全情况,必须立即报告甲方安全监察部门。
12、施工人员违反甲方管理制度和安全规程造成的设备、人身伤亡事故,乙方要负全部法律和经济责任。
四、承包单位资格审核应具备的条件
1、营业执照和资质证书副本
2、生产简历和近三年内的安全生产记录
3、建筑企业安全资格认可证
4、安全生产许可证
5、特种作业许可证
6、施工人员身份证、暂住证、做工证
7、施工队全体人员花名册
8、安全规程培训考试记录(考试卷存档)
9、生产安全技术措施
经甲方审查上述条件具备同意将工程发包给甲方单位(发包方)
公章
甲方单位负责人签字
年 月 日
联系电话:
发包单位安全员签字: 安全部门审批意见:
单位乙方单位(承包方)公章
乙方单位负责人签字
年 月 日 联系电话:
外包工程安全风险抵押合同
甲方: 乙方: 对乙方要求: 按生产协议要求的时间完成工程作业; 现场作业环境符合国家及电力系统和我公司有关规定; 3 不发生人身轻伤及以上事故; 不发生人为责任造成的设备损坏和人身伤害事故; 5 不发生违章作业和野蛮生产。
生产时间:从
年月 日开始至 年月 日结束。
承包实施:乙方交纳安全风险抵押金
万
仟
佰
拾元。乙方交纳安全管理费
元、安全培训费
元。乙方完成承包内容于 年 月 日返还安全风险抵押金。
注:安全风险抵押合同作为安全管理的一项措施,此合同书代替收据。
甲方单位盖章、签字
乙方单位盖章、签字
年 月 日
目前无线局域网已相当普及, 不仅具有方便灵活的特点, 而且其传输速度大大提高, 大有赶超有线局域网以太网的趋势, 例如802.11n标准的无线局域网已经达到了320Mbps。无线局域网具有运营成本低、网络布线成本低与管理配置方便的优点, 特别适用于智能监控系统中在移动变化复杂和网络布线不确定的通信环境中。但是它在实际使用中也遇到了很多问题, 其中网络局域网的安全性问题就是制约无线局域网发展的一个严重瓶颈。信息安全中的安全威胁是指人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险[1,2,3]。由于无线局域网的无线链路是完全暴露在外, 它遭受的网络攻击主要集中在数据链路层与网络层, 不但遭受来自无线网络的攻击也可能遭受来自有线网络的攻击。
1 无线局域网特性
1.1 快捷、方便
无线局域网可以根据实际需要安排资源分配, 不需要各个终端通过电缆进线连接通信。利用无线局域网, 系统可以在无线访问节点AP (Access Point) 信号覆盖的范围内通信, 而不需要通过其他网络交换设备的支持进线通信。
1.2 灵活的网络访问
在有线局域网内, 如有额外的用户需要接入网络, 必须改变网络拓扑, 重新进线网络布线, 这必然大大增加了经济成本。在无线局域网中, 只要有无线信号的覆盖, 用户可以随时随地接入无线局域网, 这样提高了网络访问的灵活性。
1.3 站点和设备集成程度高
无线局域网可以通过无线电波的形式连接以太网设备, 为系统用户提供经济、方便的网络连接。无线站点之间无论是点对点还是单点对多点的连接都可以进行有效设置, 广泛地应用到智能监控系统的通信环境中。无线技术能解决大量系统用户对唯一有线高速网络链路的争用, 可以高效共享无线通讯链路。
2 无线局域网的安全性威胁
无线局域网的安全性威胁主要体现在以下几个方面。
2.1 广播侦听
在无线局域网中, 由于无线链路的开放性使黑客可以使用WEPcrack与AirSnort等无线探测软件进行侦听、记录无线局域网中的数据包。例如, 在一个使用802.11b协议的无线局域网通信环境, 数据传输速率达到理论最大值11Mbps, 无线接入点AP一直处于繁忙状态其数据流量为3 000Byte/s;WLAN中使用WEP协议对传输的数据进行加密处理。通过计算分析, 大约超过10h就能获得WEP协议重复使用初始化向量加密的数据包, 攻击者可以成功破解出WEP的加密密钥。
2.2 拒绝服务攻击
拒绝服务DOS (Denial of Service) 是非法用户大量使用系统资源, 导致系统无法给系统合法用户提供服务的一种攻击手段。在无线局域网中, 黑客一般通过泛洪 (Flooding) 攻击、干扰无线通信频段、破坏通信信号等方式来阻止系统正常用户接入网络, 甚至让无线网络不能正常工作。
2.3 消息注入与主动侦听
目前绝大多数无线网络设备都支持IEEE802.11无线网络协议, 这样黑客攻击者可以使用软件修改信息帧结构的某些字段, 所以黑客可以产生或者修改无线网络中数据帧。重发攻击是消息注入攻击的常用手段, 这种方法不仅可以进行实时攻击也可以进行非实时攻击, 并且不破坏网络传输的数据帧。入侵者可以通过捕获网络中传输的消息, 并且将截获的会话消息帧格式保留下来, 等待它需要对无线网络进行破坏的时候, 就可以将保留的数据帧进行有机组合然后重放到网络中, 也可以不经处理就直接放入网络, 对无线局域网进行攻击。
2.4 中间人攻击
中间人攻击指攻击者通过某些方式连接到无线网络中并完成了接入认证, 复制或是篡改合法用户与无线接入点之间的传输数据而不被发现。它需要攻击者一直接入到无线网络中并且与各终端进行通信, 攻击者通过对截获的数据信息进行分析欺骗终端节点和无线接入点。
2.5 MAC欺骗
无线局域网的一种接入认证方式是通过终端网卡MAC地址进行认证, 无线局域网只会对事先约定好的MAC地址终端认证并接入。虽然网卡的MAC地址是固化在网卡硬件上, 但是可以通过软件的手段伪装MAC地址来进行MAC欺骗攻击。
无线局域网虽然遭受着严重的信息安全威胁, 但是我们可以通过各种手段来实现无线局域网的身份认证、访问控制、数据机密性、数据完整性与不可否认性。在无线网络中实现信息安全的目的可以通过非密码机制手段与密码机制手段。非密码机制手段主要是无线电技术对无线局域网的无线信号进行处理来实现安全的目的, 这样就需要对网络的硬件进行修改。
3 IEEE802.11i安全标准
2004年6月IEEE委员会提出了新无线局域网安全标准802.11i, 在这个无线局域网安全标准中提出了无线局域网的新的安全体系RSN (Robust Security Network) , 即强健安全网络, 旨在提高无线网的安全能力, 该标准主要包括802.1x认证机制、基于TKIP和AES的数据加密机制以及密钥管理技术, 目标是实现身份识别、接入控制、数据的机密性、抗重放攻击、数据完整性校验[2]。
在IEEE802.11i安全标准中主要完成3个功能, 分别是数据加密、身份认证与密钥管理。
在网络数据加密方面, 此标准中定义了TKIP、CCMP和WRAP 3种加密方式, 其中TKIP机制采用WEP安全标准中的RC4流密码作为核心加解密算法;CCMP机制采用AES加解密算法和CCM加解密鉴别方法, 使得无线局域网的安全性大大提升, 这些是强健安全网络 (RSN) 的强制要求;WRAP机制基于OCB模式的AES加解密算法, 这种方式可以同维护时数据的机密性和完整性, 但它在RSN中是可选的。
在身份认证方面, IEEE802.11i安全标准采用802.1x和可扩展认证协议 (EAP) 。其中IEEE802.1x是一种基于端口的网络接入控制技术, 用户只有成功通过身份认证才能接入无线网络。这个协议中包含3个实体, 分别是客户端、认证者和认证服务器。对于无线局域网来说, 客户端发起请求接入无线网络, 客户端必须装有802.1x客户端软件, 这种客户端通常被称为终端 (STA) 。认证者是客户端需要访问的控制端口, 一般是无线局域网中的AP, 在认证的过程中认证者的作用只是传递数据, 所有认证算法的执行过程都是通过客户端终端盒认证服务器之间执行。认证服务器执行具体的认证算法, 通知认证者是否可以让客户端终端访问指定的服务, 并且身份认证需要的信息都存储在这台服务器上, 它就是经常提到的RADIUS服务器。802.1x本身不提供具体的认证机制, 它需要和上层服务一起完成用户的身份认证和密钥交换, 在这里802.1x协议使用EAP协议作为认证信息交换机制, EAP消息封装在EAPOL分组中。这里EAP是身份认证信息的承载体, 对各种认证技术有很好的兼容性。EAP-TLS采用基于证书的传输层安全方式在使用强加密方式的客户端终端和认证服务器之间提供双向认证, 并生成加密无线传输数据的密钥, 具有高度可靠的安全性能。[3]
在密钥管理方面, IEEE802.11i安全标准主要负责各种密钥的生成和密钥生命周期的管理。用户终端每次加入AP都需要实时身份认证和生成新密钥, 每次离开AP就意味着原来密钥生命周期结束。在此安全标准中包含两种密钥:一种是用于单个用户的密钥, 另一种是用于小组组播的密钥。单播密钥首先由身份认证生成的主会话密钥 (MSK) 生成主密钥 (PMK) , 然后再由主密钥生成加密传输数据的临时密钥 (PTK) 。
安全的RSNA建立过程分为6个阶段, 分别如下所述。
第一阶段:无线网络信号发现与安全配置参数确定。AP有两种工作方式, 一种是在某一个特定频率的信道发送信标帧 (Beacon) , 表示AP无线接入点的存在, 同时会在这些信息中包含自己的安全信息参数。另外一种方式是AP会监听某些特定频率的信道, 如果收到无线终端的探询请求帧, 那么它就对这些请求帧做出应答。同时无线终端也可以主动或是被动地发现并连接这些无线接入点。
第二阶段:无线认证接入。无线终端从众多可以访问的AP中选择一个, 然后与此AP进行认证连接, 注意此时的认证是很脆弱的, 只是进行简单的口令认证。这时它们也交换安全信息参数, 以确定下一步如何进行IEEE802.1x的认证。
第三阶段:IEEE802.1x与EAP认证。产生一个组播密钥 (GTK) , 并将这个密钥发送到该组。此阶段是无线终端与RADIUS认证服务器之间执行EAP-TLS双向认证协议, 认证者AP只是进行数据中转的功能。执行完双向认证协议之后, RADIUS认证服务器一方面认证了无线终端的身份为合法用户同时也生成了共享密钥也就是主会话密钥 (MSK) 。之后RADIUS认证服务器与无线终端都是用相同的算法从主会话密钥 (MSK) 推导出主密钥 (PMK) , 客户端与认证服务器就都拥有了相同的主密钥 (PMK) 。
第四阶段:四次握手生成单播密钥。此阶段无线终端与认证者AP进行四次握手, 通过这四次握手认证者AP确认无线终端拥有主密钥 (PMK) , 同时确定安全机制, 生成临时密钥 (PTK) 用于以后数据传输中的数据加密。这时IEEE802.1x的端口打开, 进行数据传输。
第五阶段:组播密钥生成。当存在组播时才会有这个阶段。
第六阶段:数据传输。这是无线终端与认证者AP通过协商的加密组件与产生的临时密钥 (PTK) 对传输的数据进行加密传输。这时就可以传输数据了。
4 结语
无线局域网具备快捷、方便、灵活的优点, 其网络访问、站点和设备的集成程度高但存在着潜在的安全问题, 比如广播侦听、拒绝服务攻击、消息注入与主动侦听、MAC欺骗等。针对这些问题, 本文论述了IEEE802.11i协议的安全标准, 从网络数据加密、身份认证和密钥管理三个方面, 阐述了IEEE802.11i协议的安全措施。
参考文献
[1]王军号.基于IEEE802.11标准的无线局域网安全策略研究[J].贵州大学学报, 2009, 26 (6) :88-90.
[2]邵丹.无线局域网安全标准的比较与分析[J].长春理工大学学报, 2009, 19 (12) :61-64.
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
这一夜,互联网门户洞开
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。
中国有至少三万台机器“带病”
一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。
余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实时跟踪事态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响!443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。
自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。余弦说,这是目前最危险的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
问题的应对与新的问题
目前,ZoomEye仍在持续不断地给全球服务器“体检”,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟;而给那三万多台“带病”服务器重复体检,则只需两分钟。目前,余弦已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。
而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。
与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。
【电力工程安全协议】推荐阅读:
电力项目部安全协议07-10
电力工程安全管理探讨07-08
浅析电力工程施工安全管理06-17
电力建设项目安全监理工程师的职责07-19
浅谈如何对电力工程施工进行安全管理07-04
园林工程施工安全协议07-27
建设工程安全生产管理协议09-23
建筑工程安全措施费协议书09-20
建设工程施工安全生产协议书06-19
天然气安装工程安全施工协议书06-24
