网络安全配置基础总结
威胁:威胁是指可能对资产带来危险的任何活动,因为对资产带来危险的基本活动很少改变,威胁的变化性小于漏洞。常见的威胁包括:1)想方设法盗取、修改或破坏数据、系统或设备的人。2)引起数据、系统或设备损坏的灾难。
漏洞:漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括:1)新开发的软件和实现的硬件时常会带来新的漏洞。2)人在忙碌时难免犯错。3)许多组织是以被动的而非主动的方式应对网络安全问题。
攻击:攻击时之故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现,但是,当每种攻击方法公开后,防范这种攻击的对策通常也会随后公开。
攻击者的动机:
1、个人的进步或满足:如心存嫉妒而从同事那里窃取创意的人+被开除后伺机报复前雇主的雇员+沉溺于追求优越感、喜欢控制别人或喜欢游离于正常社会之外的人;
2金钱利益:如窃取信用卡号或身份证并出卖这些证件的人+有组织的从事计算机诈骗的犯罪者; 3在同辈中的声望:如希望向同辈显示实力的程序员新手+想获得高级程序员名声的中级程序员; 4影响:如想攻击出名的人+想给他或她不喜欢的组织带来负面影响的人;
5恐怖主义:如通常由于政治或意识形态的原因想胁迫或强制组织、社会或政府的人;
6地下执法者或激进主义:如感觉有责任为了公众的利益而仔细寻查安全性弱点的人;
7间谍:如侦查其他组织或其他政府以获得资源或优势的人。
常见的攻击:电子欺骗:伪装为其他人或其他事物。
中间人(Man-in-the-middle):在通信双方未察觉的情况下拦截器传输数据。
后门(Back door):允许攻击者绕过安全措施访问系统的软件。
拒绝服务(Denial of service):造成某个资源无法访问。
重放:捕获传输数据,然后再次使用。数据包嗅探(Packet sniffing):窃听网络通信。
社交工程(Social engineering):诱使用户违反正确的安全程序。
SID(Security IDentifier)安全标识符:是一个包括字符和数字的具有唯一性的字符串,它在网络中代表用户。系统使用SID来判断哪些安全主体(如用户账户和安全组)拥有特定受保护资源的访问权限。LSA(Local Security Authority)本地安全机构:在windows中,LSA进程负责进行授权。LSA几乎执行所有与安全相关的功能,包括用户登录以及创建访问令牌、访问安全账户数据库,并检查对受保护资源的访问权限。
KDC(Key Distribution Center)密钥分发中心:密码学中的密钥分发中心(KDC)是密钥体系的一部分,旨在减少密钥体制所固有的交换密钥时所面临的风险。KDC应用在这样的系统中:系统内一些用户能够使用某些服务,而其他人不能使用那些服务。
GPO(Group Policy Object)组策略对象:组策略对象能控制操作系统中用户账户的相关特性。OU(Organizational Unit)组织单元:是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
VPN(Virtual Private Network)虚拟专用网络。采用了隧道技术、加解密技术、密钥管理技术在公用网络上建立专用网络的技术。
RRAS(Routing and Remote Access Service)路由和远程访问服务器。是一种允许用户从远端通过拨号连接连接到本地计算机的远程服务
FTP(File Transfer Protocol)文件传输协议。是TCP/IP网络上两台计算机传送文件的协议。
DNS(Domain Name System)域名系统。可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网。
PKI(Public Key Infrastructure)公钥基础结构:证书在认证用户和受信资源之间进行交换,用来在组织内和组织外保护数据和管理身份凭证。
SNMP(Simple Network Management Protocol)简单网络管理协议。由一组网络管理的标准组成,能够支持网络管理。
HTTPS(hypertext transport protocol)超文本传送协议。一种规定了浏览器和万维网服务器之间互相通信规则,通过因特网传送万维网文档的数据传送协议。
IIS(Internet Information Services)互联网信息服务。由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
TLS(Transport Layer Security)安全传输层协议。用于在两个通信应用程序之间提供保密性和数据完整性。
IPSEC(Internet Protocol Security)Internet 协议安全。使用加密的安全服务确保在 Internet 协议(IP)网络上进行保密而安全的通讯。
WAP(Wireless Application Protocol)无线应用协议。是一项全球性的网络通信协议。
WEP(Wired Equivalent Privacy)有线等效保密协议。对两台设备间无线传输数据进行加密,以防止非法用户窃听或侵入。DES(Data Encryption Standard)数据加密标准。是一种对称加密算法。
数字证书:由一个由权威机构CA机构中心发行,是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式。
CA(Certification Authority,证书颁发机构):是一项服务,负责建立并保证属于用户(最终实体)或其他证书颁发机构的公钥的真实性的实体。证书颁发机构的活动可能包括通过所签署的证书将公钥绑定到特征名称上,以及管理证书序号和证书吊销。
SSID(Service Set Identifier)服务器设置标识符
RRAS(Routing and Remote Access Service)路由和远程访问服务:是Microsoft Windows组件,管理对网络的远程访问和网络间路由。
对称算法:私钥加密算法,加/解密密钥是相同的;优点:算法公开、计算量小、加密速度快、加密效率高;缺点:如果需要与很多人交换数据,就需要为每一方都准备单独的密钥,这可能会使密钥管理变得非常困难。算法:AES,DES,3DES, IDEA
非对称算法:公钥加密算法,加/解密密钥是不同的;优点:它提供一种无需交换密钥的安全通信方式既可以验证个人身份也可以验证数据的完整性安全性高;缺点: 加密和解密的处理速度相对较慢。RSA算法,Rabin算法、、散列算法:MD4和MD5以及FIPS 180-1
SSL(Security Socket Layer)安全套接字层是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的超文本传输协议(HTTP)使用 SSL 来实现安全的通信。
在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的。公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书,客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证,此认证同时需要客户端和服务器的数字证书。
工作原理:
SSL 客户机:使用 SSL 开始通信的一方称为 SSL 客户机。
SSL 服务器:接收通信的一方称为 SSL 服务器。
SSL 服务器证书:SSL 服务器向 SSL 客户机提供其服务器证书。
证书密钥数据库:SSL 服务器将其服务器证书保留在其密钥数据库中(对于 IBM HTTP server 的情况,在名为 key.kdb 的文件中)。
密钥数据库密码:为了保护密钥数据库中的服务器证书,设置了密码供已经过配置以使用 SSL 的应用程序使用。
证书验证:SSL 客户机验证服务器证书是否可靠。要完成该任务,该客户机必须有服务器证书的副本或发放服务器证书的认证中心的根证书。
(TM)证书密钥库:用于验证服务器证书的所有证书存储在 SSL 客户机上。在 SSL 客户机是 Java 客户机的情况下,证书就会存储在 Java 密钥库(名为 key.jks 的文件)中。
Java 密钥库密码:对于 Java 程序,密钥数据库密码还使用户可以访问 Java 密钥库。
加密消息;如果 SSL 客户机已验证了服务器证书的可靠性,它可以使用服务器证书中的信息对要发送的消息进行加密。
解密消息:SSL 服务器接收消息时可将其解密,因为该消息使用其本身的服务器证书进行加密。域的各种操作:
1创建(1个或多个)、删除、禁用本地用户账户,创建、删除安全组;
2创建和管理Active Directory域账户和安全组,具体主要如下:
3域用户账户单点登录,域用户账户身份验证,域用户访问域中的资源;
4有效使用域安全组:用安全组设置权限;
5针对大型组织的安全组优化措施;
6在域中创建和管理用户账户和安全组的指导方针。
IDS:Intrusion Detection Systems,入侵检测系统,指对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。以保证网络系统资源的机密性、完整性和可用性。
工作原理:入侵检测可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
无线技术:wireless LAN,无线局域网wlan的构建,使得客户计算机无需物理连接就可接入网络,由于硬件价格不断下降以及更高带宽协议的频频发布,无线网络已从默默无闻发展到被广泛采用。
无线访问点(Wireless Access Point/WAP):多个无线网络适配器可通过访问点相互通信(基础模式),通常不可移动,常见的有效距离从50米到上百米。
WAP配置:客户端网络适配器只与称作无线访问点WAP的特殊无线桥接器会话,无线桥接器直接连入有线网络,当在客户端和WAP之间创建关联时,配置客户端使用服务设置标识符(SSID,Service Set Identifier)作为WAP。
WEP(有线等效隐私,Wired Equivalent Privacy)是无线网络中保护数据私密性,加密数据的技术。WEP配置:在小型网络中使用WEP在技术上并不复杂,必须逐个地在大多数WAP设备和客户端上用WEP密钥来设置密钥。在大企业中保持共享密钥的机密性需要严格的信息技术规程,而且会提高IT人员的工作量,此时可以选用包含自动部署WEP的管理工具的无线设备,可以简化WEP加密的大范围部署。防火墙的基本功能如下:它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。
1.包过滤:具备包过滤的就是防火墙,即是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发:事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击:如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失,
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
最后说一下802.1X的相关概念和配置。
802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
下面的配置AAA认证所使用的为本地的用户名和密码。
3550-1#conf t
3550-1(config)#aaa new-model /启用AAA认证。
3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
后记
通过MAC地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。
―――中油泰安销售分公司“安全环保基础年”工作总结
按照山东公司2006年“安全环保基础年”的工作安排,泰安分公司结合自身实际情况,年初制定了《泰安公司2006年“安全环保基础年”活动方案》,深入开展了以“强三基、反三违、严达标、除隐患”为主要内容的“安全环保基础年”活动。在安全管理方面、数质量管理方面、设备管理方面和QHSE体系管理方面均取得了良好的成果。
一、安全工作回顾
(一)强化“以人为本”,提高安全管理水平。对员工进行安全教育,增强了员工的安全意识;公司每季度组织对库站各项安全生产和设备设施的安全大检查,保证了安全生产的顺利进行。
1、公司从安全思想教育入手,组织干部员工认真学习陈总、蒋总在集团公司领导干部会议上的讲话精神,联系实际情况,扎实做好本岗位工作。组织安全基础年为主题的培训活动,活动的内容包括安全法律法规,公司安全规章制度,安全环保常识等,并且还组织全员开展 “员工的三违行为有哪些?如何杜绝?员工是否掌握各自岗位的操作程序?是否了解本岗位的安全风险及隐患?”等议题的讨论活动,加深对“谁主管、谁负责,谁分管、谁负责,谁主办、谁负责,谁受益、谁负责”安全管理原则的认识。
2、加大对现场生产的安全管理力度,对各具体岗位的操作规范性进行检查。要求他们认真学习加油站作业指导书及相关操作规程,严格执行服务规范,并将相关的操作规程和操作制度制成醒目的标志牌,使操作人员自觉执行各项规程,杜绝“三违行为”,提高操作的规范性和作业现场的安全系数。
3、开展周期性的安全生产大检查。在安全生产检查中,对检查的项目进行细化汇总,并以此为依据对各加油站以及油库进行安全检查。检查中对加油站、油库的关键装置进行重点检查。例如:在加油站检查中对油罐及附件、加油机、加油站罩棚、配电设施、消防设施、电视监控系统等设备设施是否齐全完好,维修保养是否及时等进行重点检查。在油库的改造中,检查施工是否严格遵守施工、安全等各项规章制度,是否严格按照操作规程作业,安全措施是否落实等。加大对施工现场“三同时”的管理,并严格执行作业票的管理制度。在检查中将检查的各项项目做相应的记录,对检查出现的问题,采取有效措施,积极整改,确保安全生产顺利进行。
4、紧扣“安全”主弦,加强消防演练。为了确保应急预案有效可行、提高员工的安全防范意识和对突发事件的处理能力,增强员工实战操作技能,泰安公司对所属的69个加油站分别进行了消防演练,在此基础上各片区还举办了5次消防演练活动,参加人员共800多人。为更好的贯彻落实“预防为主,防消结合”的消防工作方针,增强全员的消防安全意识,提高基层员工的灭火实战能力,紧密围绕“119消防日”开展了主题为“关注安全、关爱生命、创造良好消防安全环境”的系列活动,组织了由各片区、油库参加的消防演练和消防安全知识竞赛,使员工把理论知识和实际操作紧密结合在一起,达到了共同提高的效果。
5、加强对加油站隐患的排查整改工作。共使用安全改造资金111.6万元,其中,4座加油站罐区改造59万元;更换加油机45台38.8万元;安装电视监控5套13.8万元,提高了加油站抵御风险的能力,确保了加油站的安全生产运营。
6、加强对公司的车辆安全管理。把车辆管理工作落实到具体人员,司机负责管理好自己定点的车辆,加强对车辆的检查、保洁工作等。每周对司机进行安全例会,加强对车辆的管理知识和安全知识的学习,公司还严格执行公务车辆用“派车单”的管理,在动用公务车时必须经过部门领导审批和办公室主任签字才能生效动用。对节假日期间车辆的安全管理,严格执行“三交一封”的车辆管理制度。通过以上的这些管理措施规范了公司的车辆安全管理。
(二)加强库存商品管理,提高数质量管理水平。在数质量管理工作中,始终坚持将“质量达标,计量准确”的服务承诺落到实处,严把油品入库质量关,加强油品在运输、储存、销售中的数质量监督管理,确保了数质量工作安全、顺利、圆满地完成。
1、数质量工作完成情况(1)铁路运输入库情况
1-10月份共接卸成油品60713.478吨,损耗68.343吨,定额损耗83.728吨,损耗率控制在规定的范围之内。
(2)库存商品管理盈亏情况
1-10月份共计盘盈油品1348.164吨,其中油库盘盈905.246吨;控股23座加油站盘盈189.048吨;全资46座加油站盘盈253.870吨。库存盈亏核销处理按照《库存商品管理办法》执行,盈亏量均已作帐务处理。
(3)库存管理执行情况
库存商品管理严格按照《山东公司计量管理暂行办法》、《体积计量交接实施细则》和《加油站油品库存盈亏管理办法》,盈亏奖罚兑现按照月度考核、季度兑现的原则进行,对加油站奖励、处罚按照超耗量与当期零售价格折成金额的比例进行。加油站加油机计量校对制度化,每月一次,刚性执行,使加油机的偏差始终处于国家允许范围内,使消费者的权益得到了最大程度的满足。
启用了新的防盗铅封,为各站配置专用剪线钳,根据油罐车的构造、性能及加油站卸油场地的不同,采用老铅封将不用的计量口和卸油口进行封堵,加以区别,仅此一项就节约铅封使用费用约1500元/月。
2、油品数质量人员培训情况
公司时刻把油品的质量放在首位,通过“3.15”和“安全生产月”活动,发放有关油品资料进行学习,收到了学习与宣传双重效果。同时,我们一直把培训工作作为一项重要工作来抓,举办计量员培训班两期,培训人员70余人,培训对象为在岗的计量员和新选拔的计量员,培训内容主要是新帐表的填写要求、油品接卸注意事项、油品库存管理等知识,使在岗员工的理论知识和实际操作技能都有了明显的提高。此间,我们和人力资源部协调选拔储备计量员,共有88人参加,通过考试和面试的方式层层筛选,最后产生22名储备计量员。另外,积极参加山东公司技术比武,最终取得了团体第二名、计量员获三等奖一名的好成绩,并在炼销板块技术比武中取得三等奖的好成绩,这必将为公司以后的计量交接工作打下坚实的基础。
3、质量监督管理情况(1)油品出入库管理
油库是油品进入的第一个环节,把好这个环节尤为重要。油品入库质量验收严格按照《山东公司质量管理暂行办法》和《油品质量管理的补充规定》执行,计量验收按照《山东公司计量管理暂行办法》和《体积计量交接实施细则》执行。按照《加油站管理规范》的有关要求,结合本公司实际情况,对油品验收接卸操作规程的各个环节作了详细的说明,并要求在实际工作中严格执行,杜绝油品在接卸过程中发生洒、冒、滴、漏。
(2)化验室积极配合
化验室对油品合格证和油样进行封存和保管,以备处理油品质量纠纷等事宜。化验室对储存和销售的油品质量进行检验和不定期抽检,特别是换季时更为重要,根据检验结果出具油品质量检验报告,做好化验室与计量室的合理衔接,按照内控和体系相关要求,做好相关资料的归档整理工作。加强对化验设备的维护保养,做到“三勤”,操作严格按照《化验室设备操作规程》执行,详细记录每个设备的运行情况,做好跟踪检查。
(3)乙醇汽油的监督管理
山东地区自今年3月份推广乙醇汽油以来,我们加强了对乙醇汽油的监督管理。尤其在清罐过程中,严格把关,清罐干净彻底,不留死角,在油品配送过程中实行专车专用、专管专用,并下发了《乙醇汽油管理措施》和《车用乙醇汽油乙醇含量检测管理办法》,时刻跟踪乙醇汽油的质量指标,确保无质量事故发生。
(4)油品抽样检测情况
1-10月份我们对油库、加油站油品抽样自检68份,工商部门对我加油站油品抽样检验64份,合格率达到100%。
(5)质量监督执行情况
①加油站库存油品质量检测制度化,每月盘点时抽检油品进行化验。
②加油站油罐水杂检测日常化,特别是多雨季节,坚持每个班一检测,乙醇汽油罐水高测量执行晴天一测量、雨天两测量,为确保雨水不进入罐中,保证油品质量合格,对公司所属10座加油站18个油罐操作井内人孔盖进行了重新密封,确保了雨水不再进入油罐中。③圆满完成了对公司所属69座加油站的128个油罐清洗工作,加装干燥器135个,历时26天,安全等级事故为零。
④“3.15”消费者权益日期间,公司通过悬挂以“消费与环境”为主题的宣传条幅,组织部分员工到泰安市区对 “车用乙醇汽油”常识和“中油牡丹卡”业务进行宣传并发放宣传资料,提高了中国石油的知名度,巩固了市场份额。
⑤为保证乙醇汽油中的水分含量不超标,我们对前期清罐改造的干燥剂进行全面检查,发现均已到保质期,立即购置了1个烘干箱和150瓶干燥剂,进行全面更换和储备。
⑥为确保加油站油品质量合格,结合加油站油罐的清洗周期和罐内油品的现状,对需要清洗的油罐进行调查统计,制定清罐方案和清罐作业计划,与施工方签订安全施工合同,严格执行作业票签字审批制度,做好现场的安全监督工作,本次共对16座加油站的37座柴油罐进行清洗,所有的胶垫均进行了更换,密封严密,此项工作已安全有序圆满的完成。
4、完善并制定各项规章制度,加大考核力度。
为不断加强对乙醇汽油的监督管理,确保油品质量合格,制定并下发了《乙醇汽油管理措施》、《车用乙醇汽油乙醇含量检测管理办法》、《乙醇汽油干燥剂使用要求》、《油品配送环节铅封使用管理规定》和《成品油质量管理办法》,贯彻执行《库存盈亏奖罚考核管理办法》,相应规章制度的下发,堵塞了管理中存在的漏洞,有利于以后各项工作沿着高效、有序、制度化的方向发展。
(三)强化落实“三定”,贯彻执行“三勤”,提高设备管理水平。
按照“谁使用、谁负责”的原则,严格执行设备管理制度。使设备完好率达95%以上。按照加油站管理规范要求制定维修保养计划,确保库站设备安全可靠运行。
1、加强学习,提高认识。加强学习设备管理的法规文件,补充设备管理知识,不但管理者自己要掌握设备管理的基本技能和理解其重要性,还要大力宣传教育,使每位员工都懂得设备管理的重要性,了解设备管理的知识和上级的有关规定,不断提高认识。把设备管理的规章制度运用到实际管理中,思想和行动达到了高度统一。
2、加强管理者的职能。对管理者的职能实行责任制,操作人员负责日常检查、维护和保养,加油站经理和设备管理员要进行巡检,通过实施这种管理制度使管理人员做到三好(管理好、使用好、养修好);四会(会使用、养修、检查、排除故障)的基本要求。切实完成好自己应承担的养修项目。如日常的维修保养润滑等,提高机械设备的完好率、利用率、出勤率。公司部门还对设备定期进行检查和测试,并把检查的情况做了相应的记录。确保设备正常运行。
3、切实完善设备管理的台帐,建立健全设备技术档案。在这些档案中对加油站的每台设备都有准确、齐全的技术档案记录。这些技术资料包括:设备基本资料卡(名称、主要性能、购进价格、使用日期、设备照片等);原始技术资料(产品出厂合格证、说明书、油罐容积检定表等);试运行记录(安装、试压及试运转记录);维修检修记录、报废记录等,充分了解每台设备的技术状况,随时掌握准确可靠的数据和情况,以便合理使用,计划修理,确定机械设备使用费等。通过切实完善设备管理的台帐、技术档案,加强设备的管理,健全了设备管理的规章制度。
(四)贯彻落实QHSE管理体系,提升公司整体管理水平。大力推进QHSE管理体系建设,确保QHSE管理体系有效运行。储运安全部深入基层库站,带领所有营运库站全体员工重新辨识危险源和环境因素,进一步完善所有营运库站QHSE管理体系资料,做到了QHSE管理体系持续改进,并收到了良好的效果。
加强对QHSE管理体系工作的落实。公司开展岗位自学和严格落实QHSE体系文件:在岗位自学中对管理岗位和操作岗位分别提供相关的学习材料,管理岗位要求学习相关的办法、细则、规定等,操作岗位主要学习各项岗位操作规程,安全应急措施,常见紧急情况的处理措施等一些操作的相关知识,达到了规范操作的目的。通过开展岗位自学,使管理人员和操作人员均达到了管理和操作的规范性。
首先,公司组织所属加油站和油库的负责人认真学习了《山东销售公司QHSE体系管理评审会会议纪要》,要求各单位找出本次体系调整过程中与本单位相关的内容。公司质量安全环保部根据调整之后的新版《记录清单》和部分内容调整之后的体系记录,重新印刷了加油站和油库的体系记录,针对体系记录的填写,举办了专门的培训班,共计培训加油站经理和安全员150多人,并下发了体系记录填写说明,保证了体系记录的规范性和体系运行的有效性。
其次,公司充分利用企业内刊《泰山〃宝石花》对QHSE管理体系进行宣传贯彻,对所属各单位的作业场所和作业过程进行体系指导,解决实际问题,加强“三基”建设,消除“三违”行为。努力实现各个作业岗位和各种作业流程的“无事故、无污染、无职业危害”的管理体系最终目标,有力推动了QHSE体系的运行。
二、工作中的不足之处
(一)基础管理工作不到位
1、对加油站现场管理检查监督不到位,个别加油站的安全隐患不能够及时发现,因而不能采取相应措施加以避免;
2、部分新计量员专业技能有待加强,不能满足现有工作的需要。
(二)培训执行力有待加强
1、对人员的安全培训力度不够:
2、安全演练有待于加强,全员参与安全意识有待于进一步提高;
3、部分员工对设备的检修保养知识了解较少,不能完全使设备处于良好运作状态。
(三)体系运作有待加强监管
1、QHSE体系建设虽已运行,但没有形成全员共同关心、共同参与体系建设的良好局面;
2、各种应急预案的演练次数较少,处理突发事件的能力较差,团结协作有待加强。
三、下一步的工作打算
(一)强化落实安全生产责任制,贯彻执行“以人为本”的工作方针。
1、落实“谁主管,谁负责”的原则,签订责任状和安全生产施工合同,确保合同签约率达到100%;
2、执行安全生产“一票否决制”,并与安全风险抵押金切实挂钩;
3、不断建立健全各种规章制度,及时发现原有制度的不足、及时补充并加以完善。
4、执行首问负责制,简化工作程序,提高工作效率,营造积极为基层服务的工作热情。
(二)培训、监督、考核并行。
1、针对工作中的难点和不足,找出员工知识匮乏的切入点,有针对性、分层次的开展各项培训工作;
2、对每一位的培训课件进行审核,完善培训教材,提高培训师的整体水平,不走形式、看过场,把员工想学、想会的知识进行授课,做好培训效果的监督评审工作;
3、加大考核力度,不断激励员工努力学习新知识、掌握新技术,同时促进培训整体水平的提高。
(三)积极查摆隐患,做好现场监督工作。
1、不断加强对基层隐患的检查,对检查出的问题分类分项整理,按照轻重缓急方法逐步进行整改;
2、设立施工现场安全监督岗,加强施工现场的质量安全监督,积极指出现场存在的问题,提出合理化建议,并监督整改落实情况;
3、坚决贯彻执行作业票审核制度,无作业票一律不准施工,安全措施落实不到位不准施工;
4、加强竣工验收的质量把关,确保工程质量全部达标,不留死角。
(四)以各种安全活动带动整体安全基础管理。
1、“3.15消费者权益日”期间,加大宣传力度,开展质量计量相关法律法规知识竞赛;
2、搞好安全生产月和质量服务月活动;
3、“119消防日”期间,联合消防部门开展消防演习,提高员工的实战演练能力;
4、不断加强各种预案的演练,增强员工处理突发事件的能力和团结协作能力;
5、开展体系审核,落实季度安全大检查,不断提升基层管理水平;
6、开展各种专项检查,有针对性的开展活动,鼓励员工参与,做到互查互纠互帮互助,达到共同进步。
通过 “安全环保基础年”工作的开展,泰安分公司规范落实安全环保责任制,提高了全体员工的责任意识,形成稳定规范的安全管理长效机制,在公司的各个管理层次形成安全环保工作齐抓共管的局面,做到安全监督,安全管理,安全执行到位,这必将为实现公司安全发展,清洁发展的目标起到极大的推动作用。我们坚信,只要坚持不懈的努力,狠抓落实,强化执行,2007年安全生产目标一定能够圆满完成。
中石油山东泰安销售分公司
储运安全部
6.Standards: De facto/by fact De jure/by law 7.ISO: The International Standards Organization ITU-T: The International Telecommunication Union-Telecommunication Standards Sector ANSI: The American National Standards Institute IEEE: The Institute of Electrical and Electronics Engineers EIA: The Electronics Industries Association 8.Line configuration: Point-to-point: wired or wireless Multipoint 9.Topology: Mesh Star Bus Tree Ring Peer-to-peer: The devices share the link equally Primary-Secondary: Where one device controls traffic and the other must transmit through it Peer-to-peer: Mesh Ring Bus Primary-Secondary: Star Tree Bus
10.Transmission Mode: Simplex Half-duplex Full-duplex Simplex mode: one station can transmit, the other can only receive Half-duplex mode: Each station can both transmit and receive, but not at the same time.Full-duplex mode: Both stations can transmit and receive simultaneously 11.The Open System Interconnection(OSI model is a layered framework for the design of network system that allows for communication across all types of computer systems.OSI model has 7 layers: Physical Data link Network Transportation Session Presentation Application 12.Peer to peer processes: The processes on each machine that communicate at a given layer are called peer-to-peer processes.This communication is governed by an agree-upon series of rules and conventions call protocols The 7 layers are divided into 3 groups: the network support layers(1,2,3 user support layers(5,6,7 link the above subgroups(4 13.fig.3.3
The process starts from layer 7, then move from layer to layer in descending sequential order, at each layer(except 7 and 1 a header is added.At layer 2 a trailer is added as well.14.Physical layers: Line configuration Data transmission mode Topology Signals Encoding Interface Medium 15.The Physical layer coordinates the hardware and software functions required to transmit a bit stream over a Physical medium.It deals with a mechanical and electrical specifications of the primary connections The data link layer is responsible for delivering frames from one station to the next with out errors.It provides error handling and flow control between one station and the next.The network layer is responsible for the source-to-destination delivery of a data packet.It handles switching and routing The transport layer is responsible for the source-to-destination(end-to-end delivery of the entire message from one application to another.The session layer is the network dialog controller.It establishes, maintains, and synchronizes the interaction between communicating devices.The presentation layer ensures interoperability among communicating devices.To transact, encrypt, and compress data The application layer enables the user, whether human or software, to access the network.16.Hz kHz(10^3Hz MHz(10^6Hz GHz(10^9Hz THz(10^12Hz s ms(10^-3s us(10^-6s ns(10^-9s ps(10^-12s 17.The frequency Spectrum of a signal is the combination of all sine wave signals that make that signal.Bandwidth of a signal is the width of the frequency spectrum.18.If we send only those components whose amplitudes are significant(above an acceptable
threshold,we can still recreate the digital signal with reasonable accuracy at the receiver(minimum distortion.We call this part of the infinite spectrum the significant spectrum, and its bandwidth the significant bandwidth.19.Channel capacity is the maximum bit rate a transmission medium can transfer.It depends on : the type of encoding technique, and the signal-to-noise ratio of the system.20.Encode: Analog/Digital D/D D/A A/A 4 kinds D/D encoding : Unipolar Bipolar Polar Polar: Non-Return to Zero, level NRZ-L: 0 “-” 1 “+” Non-Return to Zero, Inverse NRZ-I: 0 “not changed” 1 “convert” Return to Zero RZ: 0 “-to 0” 1 “+ to 0” Manchester 0 “+ to-” 1 “-to +” Different Manchester 0 “transmission” 1 “no transmission” Bipolar: AMI B8ZS HDB3
21.PCM four processes: PAM quantization binary encoding digital encoding 22.A/D PAM: Pulse Amplitude Modulation PCM: Pulse code Modulatio 23.Nyquist 采样定理: f >= 2 f_max
24.D/A encoding: ASK FSK PSK QAM 25.Bit rate(比特率 is the number of bits per second(bps Baud rate(波特率 is the number of signal units per second.ASK baud rate = bit rate = bandwidth(带宽 FSK bandwidth = fc1-fc0 + Nbaud(波特率
26.A diagram called constellation or phase-state diagram is used to show the relationship between phase in PSK 27.Data transmission: Parallel Serial(Asynchronous Synchronous 28.Parallel transmission: use n wires to send n bits at one time.In Serial transmission: one bit follows another, so we need only one communication channel rather than n In Asynchronous transmission mode: start bit(0 stop bit(1 gaps In Synchronous transmission mode: we send bits one after another without start/stop bit or gaps.It is responsibility of the receiver to group the bits into meaningful frames.29.A DTE is any device that is a source of or destination for binary digital data.A DCE is any device that transmits or receives data in the form of an analog or digital through a network.DTE-DCE standards try to define the mechanical, electrical and functional characteristics of connection between the DTE and DCE.30.EIA-530 standard is a version of EIA-449 that uses DB-25 Pins.31.Modem is the most familiar type of DCE.Modem stands for modulator/ demodulator.A modulator converts a digital signal to an analog signal.A demodulator converts an analog signal to a digital signal.32.Intelligent modem contain software to support a number of additional functions, such as automatic answering and dialing.33.Transmission media : Guided media Unguided media Guided media: twisted-pair cable, coaxial cable fiber-optic cable UTP: Unshielded Twisted-pair STP: Shielded Twisted-pair 34.Propagation mode: Multimode Single mode Multimode: Step-index Graded-index 35.光纤优点:noise resistance, less signal attenuation, higher bandwidth
缺点:cost much, hard to installate/maintain, fragility easy broken than wire 36.Multiplexing is the set of techniques that allows the simultaneous transmission of multiple signals across a single data link A Path refers to a physical link.Channel refers to a portion of a path that carries a transmission between a given pair of devices.Multiplexing: Frequency-division multiplexing(FDM Time-division multiplexing(TDM TDM: overlapping.Definition: Synchronous Asynchronous 37.In FDM, channels must be separated by trips of unused bandwidth to prevent signals from FDM is an analog technique that can be applied when the bandwidth of a link is greater than the combined bandwidth of the signal.TDM is a digital process that can be applied when the data rate capacity of the transmission medium is greater than the data rate required by the sending and receiving devices.38.Errors: Single-bit-error, Multiple-bit error, burst-error Error detection and correction is done by the data link layer or transport layer.Single-bit errors is when only one bit in the data unit has changed.Multiple-bit error is when two or more nonconsecutive bits in the data unit have changed.Burst error means that two or more consecutive bits in the data unit have changed.39.Redundancy means adding extra bits for detecting errors at the destination.Redundancy check(冗余校验: VRC, VRC: LRC: CRC: LRC, CRC, checksum Vertical Redundancy Check(垂直冗余校验 Longitudinal Redundancy Check(纵向冗余校验 Cyclical Redundancy Check(循环冗余校验 used in data link layer VRC, LRC, CRC is implemented in physical layer, transport layer.1.Checksum is primarily used by networks, including the internet, and is implemented in the In VRC a parity bit is added to every data unit so that the total
number of 1s(including Parity bit becomes even for even-parity check or odd for odd-parity check.VRC can detect all single-bit errors.It can detect multiple bit or burst errors only if the total number of errors is odd.2.In LRC, a redundant unit is added after a number of data units.3.In CRC a sequence of bits, called the CRC or the CRC remainder is appended to the end of a data unit, so that the resulting data unit becomes exactly divisible by a second, predetermined binary number.40.Application Presentation Session Transport Network Data link : Physical Line discipline: Who should send now? Flow control: How much data may be sent? Line discipline Flow control Error control Error control: 41.Line discipline: How can errors be corrected? ENQ/ACK Poll/Select Enquiry/acknowledgement: ENQ/ACK.is used in peer to peer communication, where there are dedicated link between two devices Poll/Select line discipline is used in primary-secondary communication if the primary wants to receive data, it asks the secondaries If they have anything to send;this function is called polling.If the primary wants to receive, this function is called selecting.43.Flow control: stop-and-wait ARQ go-back-n Sliding window ARQ selective-reject sliding window ARQ: In go-back-n ARQ, retrains mission begins with the last unacknowledged frame even if subsequent frames have arrived correctly.Duplicate frames are discarded.44.Data link protocol: Asynchronous protocol Character-oriented protocol Synchronous protocol Bit-oriented protocol 45.Synchronous protocols: of bits as data.Data transparency in BSC is achieved by a process called byte stuffing.It involves two activities: Defining the transparent text region with data link escape(DLE characters and preceding any DLE character within the transparent region by an extra DLE character.47.HDLC defines 3 classes of frames Information frame(I-frame Flag Address Control Information FCS Flag 46.Data transparency in data communication means we should be able to send any combination Supervisory frames(S-frame Flag Address Control FCS Flag Unnumbered frame(U-frame Flag Address Control Information FCS Flag 48.Bit stuffing 作用 Bit stuffing in HDLC is the process of adding one extra 0 whenever there are five consecutive is in the data so that the receiver does not mistake the data for a flag.49.LANs: Ethernet 50.LLC 定义: MAC 定义: Token bus Token ring FDDI logical link control is the upper sub layer of the data link layer.Media access control is the lower sub layer of the data link layer.Broadband Analog 51.802.3 defines two categories of LAN : Baseband Digital 52.CSMA/CD : Carrier Sense Multiple Access with Collision Detection is the result of an evolution from MA to CSMA to CSMA/CD.53.[ 10Base5 ] 10Base-T, cable.10-10Mbps Base-Baseband 5-500meters a star-topology LAN using unshielded twisted pair(UTP cable instead of coaxial 54.Token ring(令牌环网 allows each station to send one frame per turn.Each situation may transmit only during its turn and may send only one frame during each turn.The mechanism that coordinates this rotating is called token passing.55.FDDI: Fiber Distributed Data Interface.(光纤分布式数据接口)FDDI is a local area network protocol standardized by ANSI and the ITU-U.It supports data rates of 100 Mbps.56.4B/5B: FDDI uses a special encoding mechanism called four bits/five bits(4B/5B.Each for-bit segment of data is replaced by five-bit code before being encoded in NRI-I 4B/5B encoding mechanism is designed to avoid long sequence of 0s.57.Switching methods: Circuit switching: circuit Packet Message switching Time-devising switching Space-division switching 58.TSI(Time-Slot Interchange作用 The main component of time-division switching is a device called a time-slot interchange(TSI.In TSI time slot are sent out in an order based on the decision of a control unit.59.Packet switching: Datagram approach virtual circuit approach 60.X.25 is a packet switching protocol used in a wide area network X.25 is an interface between data terminal equipment and data circuit terminating equipment for terminal operation at the packet mode on public data networks.61.the relationship of X.25 and OSI Network: Data link: Physical: D = 1: D = 0: M = 1: Packet layer protocol(PLP Link access procedure balanced(LAPB EIA-232 V-Series X-Series others 62.complete packet sequence the packet requires an acknowledgement from final destination no acknowledgement is needed.后面有包 M = 0: 后面没包 63.connecting devices: a.Networking i.ii.i.ii.Repeaters: Bridges: Routers: physical layer 1、2 层 1、2、3 层 b.Internetworking Gateways: 1~7 层 64.A bridge divide a large
【网络安全配置基础总结】推荐阅读:
2018年网络安全自查总结06-17
网络信息安全应急预案演练总结07-03
学校开展国家网络安全宣传周优秀活动总结06-28
网络实用技术基础报告06-19
计算机网络基础培训06-14
计算机网络基础试题及答案范文07-01
网络安全安全责任书06-26
局网络安全报告05-25
网络安全知识大赛06-01
