安全控制方案范文

導語：如何才能寫好一篇安全控制方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞]物聯網；通信管道；安全控制

中圖分類號：TP391.44；TN915.08 文獻標識碼：A 文章編號：1009-914X（2014）34-0242-01

1 引言

從定義來講，物聯網是一種在互聯網的基礎之上來延伸和擴展的一種網絡，是互聯網從數字世界向物理世界的進一步延伸，傳統的互聯網的安全威脅物聯網也擁有，所以由于物聯網涉及的現實世界數量很龐大，安全風險將從原本的虛擬世界向真實的物理世界所延伸，安全形勢則越來越嚴峻。電信運營商作為物聯網建設的重要參與者要時刻重視物聯網的安全問題，為物聯網業務發展提供有利的環境。

2 物聯網安全風險及防護思路

1.感知層

物聯網感知層的特點包括數量龐大，環境條件惡劣，無人值守，節點失效等等，風險很大。所以大多數感知點在能量和儲存空間方面，計算能力方面受到多方面的限制，無法應付高強度的安全協議和安全算法，所以安全防護的困難很大。感知層的安全防護重點在于保障信息采集的安全性，在考慮因素中要注意節點資源受限等因素，建立加密算法，密鑰管理體系，保障采集的節點信息和其控制信息的有效性和真實性，防止信息的篡改。同時防止感知節點被病毒和垃圾信息的攻擊導致停止工作。

2.網絡層

物聯網的網絡層主要包括了有線，無線以及衛星通道等等，網絡安全問題已經不是物聯網研究范圍下的新課題，但對于物聯網通信網絡的大部分安全問題可以通過傳統的安全防護策略來解決。但是物聯網的網絡層和傳統的通信網絡層也很不同，物聯網網絡層的特點包括數量巨大，需要短時間之內接入網絡，信息流量和數據流量非常大，短時間內接入網絡，信息流量會到來網絡堵塞，所以要控制加強網絡資源管控能力，減少和環節突發流量對網絡的沖擊。同時物聯網的網絡層要認真考慮和計算安全性和實用性之間的平衡關系，考慮基于組的形式進行認證，避免導致大量網絡資源被消耗的問題發生。

（1）應用層

在物聯網應用層方面主要通過分析處理感知數據，為行業的用戶提供數據的服務。所以在這個過程中存在一系列的風險點，比如，大量的在使用無線通信和電子標簽涉及到用戶隱私的泄漏和惡意跟蹤等安全威脅，同時數據控制的安全也需要注意，存在一些業務濫用或者惡意的使用風險。由于應用層涉及各種行業應用，差異較大，應針對各類智能應用的特點、使用場景、服務對象及用戶特殊要求制定個性化的安全策略。在這些個性化安全策略的制定過程中，會有很多共性的安全防護策略。所以在應用層數據處理過程中應注意隱私保護問題，除了采用位置偽裝，空間加密等隱私保護技術外，還應對數據存取控制權限進行嚴格限定，防止隱私數據的非授權讀取。

3 物聯網通信管道安全控制方案

3.1 安全管理平臺架構

安全平臺的架構主要包括能力租用管理，能力租用管理又包括本平臺租用他平臺安全能力，另一種包括其他系統租用本平臺的安全管理能力。根據這幾點本方案主要采用云計算來架構安全管理的平臺，為物聯網終端提供統一的身份認證和安全基礎服務，同時為了減少終端存在的風險，要為物聯網終端提供配置安全策略，集中分發校驗的功能。最后，根據流量的變化來調整安全策略，用以環節突發流量對物聯網造成的破壞沖擊。

3.2 實現流程

在終端方面，首先應用系統要確認雙方身份的合法性才能夠保證安全管理，其次，在安全管理平臺驗證使用訪問權限和驗證碼的配置來控制保證安全策略的應用。第三，在雙方配置安全策略實現互相訪問和物聯網數據流量過大時造成的網絡堵塞，對網關的安全進行認證，從而有效的解決大量的驗證請求，最大限度的避免過多請求帶來的資源損耗。最后，在平臺相對閑暇時由管理平臺按照一定的策略來控制終端發起重認證。

3.3 密鑰管理

對安全密鑰的管理關系到整個數據傳輸的安全性，所以是非常有必要的手段，在本方案中，感知網絡通信密鑰由安全管理平臺來進行統一的歷和維護。本方案將安全密鑰大體分為兩種，第一是網內通信的密鑰，這個密鑰主要用于感知網絡內普通節點之間的通信，第二類是網關密鑰，但網關的密鑰要高于網內的密鑰，這兩點要辨析清楚，不能混用。對于普通的節點與應用服務器之間的數據傳輸經過網關節點來進行轉發，所以在過程中需要對兩段數據分別加密，普通節點和網關節點都應該加網絡密鑰，此后網關接收并且解密數據，最后再采用遠距離傳輸密鑰進行重新的加密和上傳。普通的節點在需要通信時，如果雙方都支持密鑰組，那么需要交換和協商，或者直接采用密鑰加密的方法，否則網關申請的密鑰從維護的密鑰組中隨機選擇一組密鑰來分配給雙方，雙方來對該密鑰進行加密。但在此過程中要對嚴格控制密鑰的擴散范圍，每個節點最多分配m個密鑰，當節點達到臨界點時，則無需與相同密鑰節點通信時，網關將為通信的雙方分配缺省的組間通信密鑰。

3.4 方案特點

本方案中，感知網絡安全策略和密鑰由安全管理平臺來進行統一的管理，并且并下發到網關節點，網關節點在感知網絡內實施安全策略從而大量的解決認證請求，特別是突發請求對于網絡資源大量消耗問題的解決。除此之外，安全管理平臺可以根據流量的變化來動態的調整安全策略，避免和緩解突發流量來對網絡進行沖擊，在本方案中，物聯網和終端中間，終端和應用服務器之間來進行互訪，由安全管理平臺進行統一的訪問控制和安全控制，配置動態的安全策略，按需開放最小訪問的權限以此來減少風險。另外，家庭網關默認禁止用戶接入，當控制終端需要接入時，才根據安全管理平臺下發的安全策略臨時添加相應的訪問控制策略，從而極大降低家庭網關的安全風險。

4 結語

物聯網的安全是物聯網大規模運用于生活中的基礎，同時物聯網的特性和安全問題將面臨著巨大的挑戰，給予安全管理平臺的通信管道安全控制方案來感知網絡安全策略，并將通信密鑰由安全管理平臺來統一的進行管理和發放到網關節點，這些都能夠有效的解決突發請求對于網絡資源大量消耗的問題，不僅如此，通過安全管理平臺來實施統一的安全策略控制，通信的雙方采取動態的配置安全策略，這些都能夠非常有效的減少通信雙方的安全風險。

參考文獻

篇2

【關鍵詞】

中圖分類號：TV523 文獻標識碼：A 文章編號：

一、前言

施工項目質量管理是一個系統工程。涉及施工單位、建設單位、監理單位、設計單位直至施工現場的操作工人。加之生產周期長、自然環境影響等因素，導致質量管理的難度很大。甲方要運用現代管理的思想和方法，建立行之有效的質量管理體系，項目施工的全過程有效運行，才能保證工程質量的穩定和提高。

二、工程設計階段甲方的管理

1、根據工程項目的計劃，優化選擇( 或招標選擇) 設計單位

好的設計單位能提供優秀的設計，設計成果的優劣直接關系到工程的使用效果和工程造價，選擇設計單位是整個工程的關鍵性工作；提供準確詳實的設計基本資料, 及時詳細地了解設計工作進展情況和設計思想，提出甲方對功能的使用要求和意見，避免和減少在施工中固甲方原因出現大量的設計變更；組織好設計圖紙和概算的審查工作;按有關程序做好工程項目的申報上作；辦理前期工作手續。

2 實行工程招投標制，優選施工隊伍

選擇業績優，素質好，社會效益及社會信譽高的施工隊伍是目前社會的大趨勢，國家建設部及省市建設主管部門有明文規定，全面推行工程招標制，凡超過1 0 0 0㎡的工程均執行招標制，我們在總結了過去幾年工程施工經驗的同時，為使今后工程質量年年達到優良， 實行了招投標制；1 0 0 0 ㎡以內的工程采取邀請招投標制，選擇3 ～4 個比較了解的工程隊伍進行招標；1000㎡ 以上的工程，實行公開招標，對中標的施工隊伍，我們采取了兩種措施：一是要強化技術培訓，對甲方技術人員做開工前的專門技術學習，對乙方的項目經理、施工隊伍、技術員、安全員、工長進行業務培訓，組織學習新的規范、規程，總結以前的建筑施工經驗，指出新開工的工程可能出現的質量通病，提出處理問題的有效措施，強化防范為主的質量意識。二是同中標單位簽訂合同時要提出強化質量的有效措施，加強合同建設效益，提出工程隊伍文明施工的要求，開展進度質量的勞動競賽，定期組織校區范圍的工程隊伍聯合檢查，以打分的形式評出先進的隊伍。

3 編制好施工組織設計

做好工程開工前的準備工作。甲方工程技術人員要以身作則，按圖紙內容，拿出甲方的施工組織設計，將工程線路、進度計劃、材料計劃及預算報上級領導。更主要的是做好中標企業開工前的技術工作，要求中標單位在半月內依據圖紙及施工規范要求，作出施工組織設計和施工進度計劃，及時向甲方人員提交材料計劃及預算，以便于甲方控制投資。對施工單位提交的施工方案，甲方主管工程師要在半個月內認真審查閱讀，批準施工方案。施工期間要根據該方案，嚴要求、嚴管理，積極配合施工單位落實施工計劃。

三、影響施工項目質量的四大因素

四大因素即人、材料、機械和方法。

1、人的控制

（一）要選配技術水平高，管理能力強的項目經理及其領導班子成員。這種“選配”可通過招投標、親自考察等方式，尤其要考察近幾年的業績，并廣泛聽取有關人員的反映。

（二）要嚴格審查分包單位的資質。審查對象包括企業整體素質、領導班子素質以及職工隊伍個人素質，尤其要認真核查技術負責人的綜合素質。

（三）技術工人要持證上崗。技術人員的技術等級和相關證件要真實有效，有必要時應認真查驗原件。

（四）到自上而下層層抓緊。

（五）貫徹執行獎罰制度。適當的獎勵比一味地罰款更具有積極作用。

2、材料控制

嚴格控制建筑材料的質量是保證建筑工程質量的基礎。

（一）首先要把好材料采購關。通過招投標或其他形式，優選材料供應廠家。最好組織有關人員去廠家實地考察，檢查是否名列國家批準的名錄以內。另外，對企業規模、資質、廠家的檢測手段等項目都要認真考察。

（二）材料的試驗和檢驗。要求承包單位對主要原材料復試，并對復試結果妥善保管。對于材料的試驗和檢驗單位也要認真考察。

（三）對新材料新產品要核查、鑒定其證明和確認的文件。

（四）加強材料進場后的管理。要合理堆放，要有明顯標志；要有專人負責，經常檢查；要嚴格貫徹執行《建設工程質量管理條例》，不合格的建筑材料、構配件和設備不得在工程中使用或安裝。

3、機械設備的控制

（一）對于主要施工設備應審查其規格、型號是否符合施工組織設計的要求。設備進場并調試合格后，上報審核，需要定期檢查的設備，應有鑒定證明。

（二）對于工程項目的設備質量控制，主要包括檢查驗收，設備的安裝質量以及調試和試車運轉。要認真審查供貨廠家的資質證明、產品合格證、進口材料和設備商檢證明，并要求承包單位按規定進行復試。設備的安裝要符合設備的技術要求和質量標準。安裝過程中控制好土建和設備安裝的交叉作業。設備調試要按照設計要求和程序進行，要求試車運轉正常。

4、施工方法的控制

主要包括施工組織設計、施工技術方案、季節性的施工方案、冬季施工方案、雨季施工方案等。

（一）施工組織設計的編制、審查和批準應符合規定的程序。

（二）施工組織設計應符合國家的技術政策，充分考慮承包合同規定的條件,施工現場的條件及法規條件的要求。注意其可操作性，工期和質量目標切實可行。

（三）對主要項目、關鍵部位和難度較大的項目，如新結構、新材料、新工藝、大跨度、高大結構等部位，做好處理質量問題的預案。

四、建筑施工安全控制措施

建筑工程施工安全控制管理對象是整個施工過程的具體危險因素，施工過程的危險因素包括技術工藝因素、材料因素、機械設備因素、環境因素、管理因素等五大類因素，每種因素都包含一定數量的具體危險因素。根據建筑工程的施工過程危險因素預防控制工作可分為：施工準備階段的安全方案制定和初始評審及相關準備工作；工程實體施工全過程（基礎施工階段、主體施工階段、裝飾安裝階段）的危險因素識別分析、預報和定期評價分析、根據評價分析結果采取相應的控制措施；發生事故后的應急管理和緊急救援等不同階段的內容。

1、材料因素控制措施

建立安全物質材料和建筑實體材料招投標制度；建立安全物質材料和建筑實體材料進場復檢制度，確保使用的材料符合國家相關質量安全標準。

2.機械設備因素控制措施

選用安全性能較高的機械設備指定專人操作危險性較大的機械設備，特殊設備操作人員持證上崗定期檢修保養機械設備、及時更換零部件，確保機械設備安全正常運轉。

3.技術工藝因素控制措施

在施工組織設計中進行專項安全施工方案設計、采用成熟的施工工藝標準和安全技術標準等。專項安全施工方案應包括內容有：臨時用電安全方案、基坑護坡支護安全方案、腳手架搭拆安全方案、模板支撐體系安全設計方案、高處作業臨邊洞口安全防護方案、建筑構配件吊裝安全方案；使崗位安全化、操作標準化，根據各個工種所涉及的危險因素和技術工藝特征，編制科學合理的安全操作規程、安全作業指導書，通過專門的培訓教育或崗前的技術交底，使崗位安全操作規程和作業指導書，真正落到實處。施工企業對崗位安全操作規程和作業指導書，要根據施工進度和實際狀況進行定期檢查和修正。

結論

作為建設單位甲方是“主人”。應主動協調好各方的關系做到公正、公平、合理。對待參建各方既要嚴格要求，又要熱情關心。協調各方齊心協力把工程干好。作為施工單位要做到急甲方之所急，想甲方之所想。嚴格執行國家規范標準，履行施工合同，把工程建設好。

【參考文獻】

[1] 馬鳳起 甲方代表如何抓好建筑施工現場管理 [期刊論文] -管理觀察2011(33)

篇3

訪問控制技術是網絡安全體系中的重要技術，它是維護網絡安全的一個十分重要的保護屏障。本文首先從訪問控制技術的概念和原理進行了闡述，然后訪問控制涉及的技術手段進行討論，最后網絡安全中的應用層面的具體應用進行了詳細的分析和探討，希望能對保護網絡安全體系結構的研究和設計提出有效的建議。

關鍵詞：

網絡安全；訪問控制技術；應用；探討

0前言

隨著現代計算機網絡的不斷普及，網絡技術的應用已經深入社會生活的每個角落，尤其是行業的業務辦理系統中。當前很多企業的業務辦理，普遍使用的網絡業務系統進行辦公，在網絡系統不斷發展的過程中，網絡安全問題逐漸暴露在人們的眼中，也成為當前急切需要解決的重要問題。針對網絡安全問題，IT公司進行了大量的技術開發，訪問控制技術由此出現，并成為當前應用較廣的網絡安全保護措施。

1訪問控制概念及其應用的原理

（1）訪問控制的概念

訪問控制通常會以顯式手段對訪問能力及訪問內容范圍，進行限制性的設置。訪問控制是一種防范非法用戶進行資源訪問等入侵行為的有效的技術手段，它可以對用戶訪問重要資源的權限進行限定，即使是合法用戶由于錯誤操作而造成破壞，也可以通過訪問限制來進行阻止，這樣就保證了網絡資源在可控、合法的條件下進行使用。用戶進行系統訪問時，只能按照系統授予的權限，禁止越權進行系統訪問。雖然，訪問控制是以身份認證為技術實現的前提，但是訪問控制技術和身份認證技術有著根本性的差別。

（2）訪問控制技術應用的原理

當前訪問控制技術應用的原理是運用路由器上的訪問列表進行數據包有效過濾。由訪問列表對網絡數據包的傳遞進行嚴格的控制，不僅僅是對虛擬終端的線路通信量實施控制，并且對路由選擇更新也有很好的控制功能。路由器其自身產生的數據包，并非是由于包過濾功能造成的，如果數據包傳輸到達某一個端口的時候，路由器就具備對數據是否可以通過路由或者橋接的形式輸出的查驗功能。假設數據包無法輸出，則會被丟棄，如果查驗結果是該數據包可以有效輸出，那么路由器驗證數據包是否能夠符合端口定義的包過濾規則，若不符合該規則，路由器仍然會將數據包的傳輸阻斷，數據包會被路由系統丟棄。通常訪問列表是由多條規則組成的，因此可以通過制定輸入規則來進行數據包的允許或禁止的權限限定，可以將號碼作為訪問列表的特定標志，同樣的訪問列表中的所有語句應當對應的同樣的號碼，這樣就導致號碼范圍會取決于訪問列表的類型。

2在網絡安全中訪問控制的技術手段

訪問控制是進行網絡安全保護應用的主要技術手段，它通過充分保證網絡資源不會被攻擊和非法訪問。訪問控制的技術手段中涉及的內容也很多，比如：入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等等，下面進行詳細的討論。

（1）用戶入網訪問控制

對用戶入網訪問的操作進行控制是指為網絡訪問提供了第一層訪問控制。其主要的控制功能體現在設置用戶登錄到服務器的權限，以及用戶入網的時間范圍。用戶的入網訪問控制可以分成用戶名的識別、用戶口令的驗證以及用戶賬號的缺省限制查驗這三個主要步驟，必須完成三個步驟才能獲得訪問權限。

（2）網絡權限控制

進行網絡權限控制是為了解決有效防范網絡非法操作的措施，給予用戶及用戶組相應的權限。對于用戶及用戶組進行目錄、子目錄等網絡資源的訪問的權限進行控制，可用于具體指定此類用戶電影對應操作權限的文件、目錄、設備等內容。即以受托者授權用戶和用戶組使用目錄、文件等網絡資源，而繼承權限屏蔽（irm）方式類似于過濾器，對于子目錄從父目錄中繼承的權限進行控制。

（3）目錄級安全控制

網絡控制用戶對目錄進行訪問的方式是在一級目錄對應獲得的權限可以對該一級目錄下的所有子目錄有效，甚至用戶對子目錄中的文件訪問權限進行授權。提出對于目錄中文件的訪問權限有：系統管理員權限、讀寫權限、刪除權限、修改權限、查找權限等。判斷用戶對目錄文件的權限的有效性要看兩個方面，包括有用戶及用戶所在組的受托者指派和繼承權限屏蔽取消的用戶權限。為用戶設置合適的訪問權限是保證網絡資源訪問效率的主要因素。

（4）屬性安全控制

網絡系統管理員可以在權限安全的基礎上設置文件、目錄等內容對應的訪問安全屬性。屬性的具體設置應當將指定的受托者指派和有效權限進行覆蓋，生成對應一張訪問屬性控制表，以表示用戶對網絡資源的訪問能力。屬性能夠控制的權限包括：文件數據寫入和拷貝、目錄查看和刪除、文件的執行、隱藏和共享操作等。

（5）服務器安全控制

用戶可以使用網絡服務器控制臺進行系統模塊的裝載和卸載操作，以及進行軟件的安裝和刪除等。實施網絡服務器的安全控制，可以設定口令鎖定服務器控制臺和服務器登錄時間限制，有效防范非法用戶對于網絡資源進行惡意的修改、刪除等破壞性操作。

（6）網絡端口和節點的安全控制

信息通過網絡端口進入計算機系統中，端口對于網絡資源系統進行安全保護的形式，通常是借助自動回呼設備以及靜默調制解調器進行加密以識別節點身份。自動回呼設備的作用主要在于用戶身份真實性識別，而靜默調制解調器的作用主要在于防御黑客利用自動撥號程序攻擊網絡系統。此外在服務器端和用戶端進行系統安全控制的方式。還有用戶攜帶身份驗證硬件進行驗證，如智能卡、安全密碼驗證器等，只有用戶身份得到訪問控制系統確認之后，才能被授權進入用戶端。

（7）網絡檢測和自動鎖定控制

服務器可以自身具備一定的監控功能，對用戶對網絡資源的訪問進行記錄，一旦出現異常，系統可以自發向網絡資源管理人員發送警告提示，通知網絡資源管理人員及時采取相應的措施。假如非法攻擊和入侵網絡的次數達到系統設置的合理數值，網絡資源系統也可以自行進行鎖定。（8）防火墻控制通過防火墻技術是進行加強網絡間訪問控制的常見手段，可以有效防范外部網絡的用戶強行侵入內部網絡,對內部網絡資源進行竊取、復制等惡意操作。防火墻技術對多個網絡間的數據都會在既有的安全規則框架下進行檢查,以充分保證網絡通信的合法性和安全性,并且可以有效對網絡運行是否正常進行監督。

3訪問控制技術在網絡安全中的應用

訪問控制技術在整個的網絡信息系統中的各個層面，都可以進行訪問控制技術的運用，例如本文從應用系統層、網絡層、數據庫管理系統層、操作系統層控制技術的運用進行了探討.

（1）訪問控制技術在應用系統層的運用

應用系統是由數據庫管理系統、操作系統等軟件進行基礎架構的，能夠為客戶提供其需要的軟件程序。進行應用系統的開發，就必須考慮訪問控制措施的合理規劃。而訪問控制措施的規劃要結合網絡信息系統中主要的綜合業務系統進行對應的配套開發。業務系統的操作模式，系統中操作主體的權限都是需要進行訪問控制規劃考慮的重要內容。尤其是該業務系統中的安全管理這一部分，要有針對性的制定訪問控制措施的具體規則，進行業務操作必須按照規則來進行。

（2）訪問控制技術在網絡層的運用

訪問控制列表在路由器和三層交換機中有廣泛的應用。其中主客體即源地址、端口號與目的地址，在進行訪問控制列表的網絡資源時，必須遵循相應的保護規則，假如數據包可以充分滿足網絡安全保護規則標準，才能被則允許輸出。MAC地址過濾的步驟中，往往就將待訪問目標視為客體，而將MAC地址視為主體，因此通常就是按照定義MAC地址過濾列表來制定相應的保護規則，滿足這個保護規則的MAC地址數據包才能被允許輸出。此外，網絡內部網絡和外部網絡之分，以源端口號、源IP地址作為主體，而將目的端口號與IP地址作為客體，然后遵循安全保護規則的數據包才能被允許輸出，這種技術就是防火墻技術。

（3）訪問控制技術在數據庫管理系統層的運用

在網絡系統中，不僅僅是操作系統具有重要性，數據庫管理系統也是非常重要的，它是組成應用系統構架的重要內容。在數據庫管理系統中，訪問控制技術也被視為一個關鍵性的安全保護措施。數據庫管理系統將身份認證通過的登錄信息作為主體，而系統中的文件、字段、表以及操作作為對應的客體?？刂朴脩粼L問的規則也會對用戶在數據庫中的存取操作的執行產生影響。數據庫中的存取矩陣也是對用戶訪問控制規則的反應。數據庫中，列在該存取矩陣中代表著系統客體，比如字段、表等等，陣列的各個單元表示的是主體對于客體或相異主體之間的存取方法，比如進行數據庫中的增刪、查詢、修改等操作。數據庫管理系統由于其數據的重要性，進行應用系統設計時要考慮將數據庫中內容作為依據，因而訪問控制措施對于數據庫管理系統中數據的保護而言就具有重要意義。由于一旦數據庫管理系統的訪問權限被非法用戶獲取后，就可能出現不需要經過應用系統直接獲取數據庫中數據的情況，因此，網絡系統開發管理部門就需要重視制定嚴格有效數據庫系統的訪問控制方案，對于數據庫管理系統中主體的最小權限進行深入分析，然后再進行存取矩陣的設定工作。一般而言，應用系統用戶沒有直接獲取數據庫管理系統權限的途徑,這樣進行規劃的目的在于不會對數據庫管理系統進行直接操作,通過制定有效的管控措施來避免直接授權操作。如果存在直接登錄進行數據庫系統操作的必要,那么也要進行操作的限制，不能對開發用戶進全面的授權?？梢越档筒樵儥嘞薜氖谟枰?但一定要對數據庫系統中數據增刪和修改操作權限的嚴格限制。

（4）訪問控制技術在操作系統層的運用

在網絡操作系統中的系統操作層面，用戶的身份認證有著極其重要作用，也是進行訪問控制依據的內容，并以此來進行網絡安全管理。隨著技術的不斷進步，進行用戶身份認證的方法有很多，如口令、指紋以及身份卡以等等。系統會對身份認證沒有通過的用戶實施禁入措施，假如用戶的身份認證正確，那么系統會將登錄系統的身份信息作為主體，而將系統的設備、數據文件、系統操作、系統進程作為客體，通常會出現比如數據讀寫、刪除以及修改等操作行為。通常利用用戶對信息存取控制進行用戶的身識別和存取訪問規則的制定，系統會根據需要授予不同的用戶不一樣的系統存取的權限，比如在寫入或者讀取方面。通常以存取矩陣模型來進行訪問控制規則的表示，因此從大型矩陣陣列則可以看出系統安全運行的狀態。系統主體由行進行表示，而對應的系統客體則用列來進行表示。主體對于客體或各個不同主體之間的存取是通過陣列單元進行填入的數值表示的。數據庫管理系統以及操作系統都是通過科學的設置訪問控制措施來對內部與外包開發人員進行有效限，以有效避免出現內部與外包開發人員故意越權進行操作系統的情況。因為假如出現對系統的內部和外包開發人授予權限過多的情況，那么網絡系統的安全就難以得到保障。進行網絡系統開發的科技部門必須對于操作系統訪問控制措施的設計給予充分的重視，對于文件系統中的用戶要按照最小權限進行授予，再在此基礎上通過存取矩陣進行科學的設定。

4結束語

隨著現代社會中網絡科技的迅速發展和普及，計算機網絡在各行各業的業的業務系統建設建設中占據了相當重要的位置。在網絡安全體系結構的設計中，訪問控制已經成為保障網絡安全的核心技術手段之一。訪問控制措施的設計必須符合相關的標準和要求，即嚴格遵循最小權限授予原則、分散系統業務職責給多人負責，對非法用戶的操作進行及時阻止等，以此充分保障網絡安全體系結構設計的科學性。

作者：梁樹軍 李玉華 尚展壘 單位：鄭州輕工業學院

引用：

[1]房文治.網絡安全訪問控制技術[J].電子技術與軟件工程，2014.

[2]許鑫.基于訪問控制模型實現銀行網絡安全目標[J].計算機技術與發展，2012.

[3]王鐵鋼.淺談“訪問控制”技術在銀行網絡安全中的運用[J].計算機光盤軟件與應用，2012.

[4]黃義強.探究網絡安全中的訪問控制技術[J].無線互聯科技，2011.

篇4

【關鍵詞】房屋裝修；房屋控制；安全措施；

隨著經濟水平的快速增長，近年來，人們的生活水平也得到明顯改善，因而對于一些生活方面的條件要求越來越高，居住環境要求就是很典型的一個例子，人們伴隨著人們對居住條件的不斷增強，住宅的裝修改造逐漸成為一種時尚潮流。

一、房屋裝修裝飾

1.1含義

房屋建筑裝修裝飾工程即在保證建筑物的主體結構完整的前提下，為了使建筑物的外表看起來更舒適，使用功能更為完備，用各種裝修材料或者裝飾品對建筑物的內外表面以及空間進行裝飾的處理過程[1]。因而對于房屋裝修來說，它是將科學的建筑功能和藝術化的建筑環境相結合的一項工程，房屋的裝修裝飾已經成為人們日常生活中必不可少的一部分。

1.2作用

房屋裝修滿足了人們對于其居住生活環境的向往，為戶主提供一種更為舒適的、精神所需的生活場所，它與人們的生活息息相關，時時刻刻在為人們的生活質量提供服務。

（1）對建筑主體結構或圍護結構的保護作用

一般情況下，建筑物損害的原因包括兩個方面：一個方面是受到自然條件的影響，比如雨水侵蝕作用等；另一方面是認為因素，如因為人們的行為對其造成損壞等。通過對建筑物進行裝修裝飾，采用科學合理的施工技術及材料，對房屋建筑進行有效的防范保護作用，從而有效的保障了建筑結構的完整，從而延長其使用壽命。

（2）提升房屋建筑使用功能的作用

對房屋建筑進行裝修裝飾，能夠改善其內外部的空間環境，不單單是對防災措施的完善，另一方面通過對房屋設施裝備的完善，創造更好的居住條件，對于優化人們生活居住環境，提升房屋空間功能有著重要的促進作用。

（3）美化建筑空間增強藝術效果的作用

對房屋的裝飾裝修即是設計者從房屋的空間、體型、比例、尺度、用材等多方面進行考量，對建筑物的室內外色彩、線條、花飾等進行藝術加工處理，從而創造出滿足戶主的和諧豐富費物質空間環境，從而促使使用者精神物質上得到極大的滿足[2]。

二、房屋控制

2.1設計質量的安全控制

房屋建筑的裝修是將科學與美觀相結合的藝術和技術的吻合之作。然而近些年的裝修市場各種問題的涌現，例如：沒有提前對房屋建筑進行科學設計就直接施工，落后于市場需求的房屋裝飾裝修，只重視設計創新而忽視施工結構和工藝的現象更是普遍。所以對于房屋設計師我們必須要提出更高的職業要求，不僅僅要求他們要有藝術修養、造型能力，豐富的基礎知識和實踐經驗更為重要，要從根本上避免因設計師不科學的實際要求給房屋建筑帶來安全隱患的行為。

2.2房屋空間改造的安全控制

由于存在戶主忽視房屋建筑結構，隨意擴大房屋空間或是隨意更改房屋建造，而設計師只是一味滿足戶主提出的要求的行為，這些不規范的做法對房屋建筑造成了極大的損害。如：為了增強房屋的采光效果，對具有承重或剪力的墻體進行拆除；抑或是任意增加樓層造成地面負荷載，使房屋樓板承受超過能夠負荷的重量；甚至在對墻面進行裝飾時使用一些厚重且規格巨大的建筑材料，這些等等行為都為發生安全隱患埋下伏筆[3]。因而在進行設計裝修時，必須進行嚴格考察研究，盡量保持原有的建筑結構完整性和功能性。

2.3裝飾造型的安全控制

對于裝飾造型的要求，我們必須本著“結構合理、安全可靠”的進行指導。即對于懸掛式吊頂，必須嚴格按照施工規范操作安裝；對于墻面、地面裝飾的材料也必須是不燃性或者難燃性材料；對一些具有可燃性的木材等物質必須進行防腐、防火處理。裝飾造型必須引起我們的足夠重視，根據結構特點及承載條件、安全系數，嚴格按照規范的規章制度進行實施，對于一些實際情況要及時采取相關措施來確保其穩定性和安全性。

三、對房屋建筑安全問題的防范措施

3.1 改進建筑設計，減少二次裝修

在房屋建筑設計中，為了將建筑結構的破壞減少到最小，通常會采用對房屋的平面設計和功能分的方法，因而在設計的過程中，要極力避免存在某些空間太小或者發生空間交叉的現象，且對于容易遭到破壞的地方，要根據合理的布局加以改造。因此在實際的房屋建設設計中，要結合實際的情況，將房屋居住狀況和市場需求分析相結合，探索出舒適科學的房屋裝修設計，共同促進設計市場對于房屋建筑裝修裝飾空間的合理設計，盡量避免二次裝修。3.2加強從業人員與住戶溝通，合理進行裝修設計

隨著人們生活水平的提高，對生活居住環境的要求也逐漸走向高端，房屋的裝修裝飾逐漸開始成為市場活躍的主題。但是設計市場中存在的沒有對房屋建筑進行提前設計直接施工的現象極為普遍，設計是一項工程的最基本的程序，沒有科學合格的設計，就不可能保障房屋建設的合理完成，科學合理的設計是對工程順利實施直至完成的重要保證。施工單位應當加強與住戶及使用者的高通問題，通過開展信息咨詢、質量評估等多項服務，判別設計出專業、合理的設計方案，從根本上杜絕裝飾裝修給房屋帶來損害的行為；戶主也應當積極配合設計者的工作，不能一味追求舒適、美觀，忽視房屋本身的設計結構，向設計者提出不合理的裝修要求，設計出劣質方案而給房屋建筑帶來危害。

3.3 加強裝修市場管理，規范裝修企業

由于目前從事裝修業務的企業較多，市場還存在規模大小、實力強弱大相徑庭等多種問題，對各大裝修裝飾企業進行經營資格方面的考察和監管是很有必要的行為，從而督促企業正確開展規范，健康有序的發展。然而由于經濟發展步調不一致，我國的裝修裝飾行業的發展分布并不等同，在發達地區，這些企業往往都受到相關行業主管部門的管制，通過對合格的裝修企業頒發資質證書來保障正常的運營操作；而在欠發達地區，由于缺乏管理，沒有完善的管理制度的保證，各種裝修公司、個體經營、甚至是零散的裝修隊伍同時并存，給正規的房屋裝修公司造成惡性競爭，從而給當地的裝修企業的發展造成不良影響，面對這些惡，我們必須加強相關部門的監管工作，為我國的房屋建筑裝修裝飾工作提供一個健康的發展環境[4]。

結束語：總而言之，在面對裝修裝飾工程中出現的各種隱患，要根據實際的項目設計、施工環節提出相應的安全控制措施，意識到設計對于安全控制的重要性，從根本上減少災害發生的幾率，為戶主提供美觀實用、安全可行的生活環境。

參考文獻：

[1]段汝勝. 淺議發展規范裝飾裝修業[J]. 考試周刊，2011，10：237-238.

[2]周一峰. 淺談建筑裝飾裝修工程的質量控制與安全控制[J]. 科技致富向導，2012，21：362.

篇5

關鍵詞：LAN；威脅；安全控制；病毒防治

隨著信息化的不斷擴展，各類網絡版應用軟件推廣應用，計算機網絡在提高數據傳輸效率，實現數據集中、數據共享等方面發揮著越來越重要的作用，網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提，因此計算機網絡和系統安全建設就顯得尤為重要。

1、局域網安全現狀

廣域網絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡，形成極大的安全隱患。目前，局域網絡安全隱患是利用了網絡系統本身存在的安全弱點，而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。

2、局域網安全威脅分析

局域網（LAN）是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每1臺電腦，因此局域網內信息的傳輸速率比較高，同時局域網采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類：

（1）欺騙性的軟件使數據安全性降低

由于局域網很大的1部分用處是資源共享，而正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，數據安全性較低。例如“網絡釣魚攻擊”，釣魚工具是通過大量發送聲稱來自于1些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的1種攻擊方式。最常用的手法是冒充1些真正的網站來騙取用戶的敏感的數據。以往此類攻擊的冒名的多是大型或著名的網站，但由于大型網站反應比較迅速，而且所提供的安全功能不斷增強，網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段，因此會造成經常性的信息丟失等現象發生。

（2）服務器區域沒有進行獨立防護

局域網內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網中服務器區域不進行獨立保護，其中1臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網中任何1臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網內部的攻擊。

（3）計算機病毒及惡意代碼的威脅

由于網絡用戶不及時安裝防病毒軟件和操作系統補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年，預計犯罪軟件社區對寄生軟件的興趣將繼續增長，寄生軟件的總量預計將增長20%。

（四）局域網用戶安全意識不強

許多用戶使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外1機兩用甚至多用情況普遍，筆記本電腦在內外網之間平凡切換使用，許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用，造成病毒的傳入和信息的泄密。

（五）IP地址沖突

局域網用戶在同1個網段內，經常造成IP地址沖突，造成部分計算機無法上網。對于局域網來講，此類IP地址沖突的問題會經常出現，用戶規模越大，查找工作就越困難，所以網絡管理員必須加以解決。

正是由于局域網內應用上這些獨特的特點，造成局域網內的病毒快速傳遞，數據安全性低，網內電腦相互感染，病毒屢殺不盡，數據經常丟失。

3、局域網安全控制與病毒防治策略

（1）加強人員的網絡安全培訓

安全是個過程，它是1個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看，主要涉及管理、技術和應用3個層面。要確保信息安全工作的順利進行，必須注重把每個環節落實到每個層次上，而進行這種具體操作的是人，人正是網絡安全中最薄弱的環節，然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質。同時要加強法制建設， 進1步完善關于網絡安全的法律，以便更有利地打擊不法分子。對局域網內部人員，從下面幾方面進行培訓：

1、加強安全意識培訓，讓每個工作人員明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任。

2、加強安全知識培訓，使每個計算機使用者掌握1定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。

3、加強網絡知識培訓，通過培訓掌握1定的網絡知識，能夠掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。

（2）局域網安全控制策略

安全管理保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分，對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡終端安全管理主要從終端狀態、行為、事件3個方面進行防御。利用現有的安全管理軟件加強對以上3個方面的管理是當前解決局域網安全的關鍵所在。1、利用桌面管理系統控制用戶入網。入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略。它為網絡訪問提供了第1層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予1定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據，提高系統安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網。

2、采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上，與網絡的其余部分隔開，它使內部網絡與Internet之間或與其他外部網絡互相隔離，限制網絡互訪，用來保護內部網絡資源免遭非法使用者的侵入，執行安全管制措施，記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統，是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發現及封阻應用攻擊所采用的技術有：（1）深度數據包處理。深度數據包處理在1個數據流當中有多個數據包，在尋找攻擊異常行為的同時，保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免應用時帶來時延。（2）IP/URL過濾。1旦應用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要1種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是1項重要的操作，可以阻止通常的腳本類型的攻擊。（3）TCP/IP終止。應用層攻擊涉及多種數據包，并且常常涉及不同的數據流。流量分析系統要發揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數據包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協議，并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。系統中存著1些訪問網絡的木馬、病毒等IP地址，檢查訪問的IP地址或者端口是否合法，有效的TCP/IP終止，并有效地扼殺木馬。時等。（4）訪問網絡進程跟蹤。訪問網絡進程跟蹤。這是防火墻技術的最基本部分，判斷進程訪問網絡的合法性，進行有效攔截。這項功能通常借助于TDI層的網絡數據攔截，得到操作網絡數據報的進程的詳細信息加以實現。

3、封存所有空閑的IP地址，啟動IP地址綁定，采用上網計算機IP地址與MCA地址唯1對應，網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。

4、屬性安全控制。它能控制以下幾個方面的權限：防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件。

5、啟用殺毒軟件強制安裝策略，監測所有運行在局域網絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

（3）病毒防治

病毒的侵入必將對系統資源構成威脅，影響系統的正常運行。特別是通過網絡傳播的計算機病毒，能在很短的時間內使整個計算機網絡處于癱瘓狀態，從而造成巨大的損失。因此，防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的，主要從以下幾個方面制定有針對性的防病毒策略：

1、增加安全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。

2、小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。

3、挑選網絡版殺毒軟件。1般而言，查殺是否徹底，界面是否友好、方便，能否實現遠程控制、集中管理是決定1個網絡殺毒軟件的3大要素。瑞星殺毒軟件在這些方面都相當不錯，能夠熟練掌握瑞星殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關鍵。

通過以上策略的設置，能夠及時發現網絡運行中存在的問題，快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點，及時、準確的切斷安全事件發生點和網絡。

局域網安全控制與病毒防治是1項長期而艱巨的任務，需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統來設置和維護對安全的防護策略。

參考文獻

1、鐘平.校園網安全防范技術研究[DB].CNKI系列數據庫，2007.

篇6

關鍵詞：權限；訪問控制；視頻服務器

1. 基于數據庫訪問安全的訪問控制模型

為了達到安全訪問數據庫的目的，在傳統的數據庫訪問方式中加入加密和認證安全技術以及防火墻技術，形成新的數據庫訪問結構，而基于數據庫訪問安全的模型中數據庫的安全訪問控制是以的形式在起作用[1]。

1.1 數據庫訪問安全

數據庫訪問安全DASP是用于對抗惡意DBM各種威脅的應用層防火墻。DBMS被認為是不可信任的，所以必須控制并記錄所有外界信息流與DBMS的交互過程。沒有DASP的環境中，客戶端將直接與DBMS進行交互；而有了DASP后，客戶端不允許直接與位于物理隔離環境中的DBMS進行交互，而只能與位于物理隔離環境邊界上的DASP進行交互，所有信息流只能在DASP的監控和管理下，與后端DBMS進行交互。這樣就使得所有DBMS與外界的交互必須經過DASP的各種控制，從而達到一定的安全性保障。

1.2 數據庫訪問安全的作用

為了不因為安全訪問系統的介入而增加信息系統解決方案的復雜度，采用的形式。有很多系統得到了廣泛應用。例如HTTP、FTP、POP3以至包羅萬象的SOCKS。同HTTP和FTP一樣，數據庫安全訪問作用在應用層。之所以稱之為是因為系統接收數據庫應用的數據庫訪問請求，把請求映射到系統對于數據庫的訪問，而系統不對這些請求進行過于復雜的處理。同其它系統一樣，這種具有能夠加入安全控制的特點，同時系統對外接收數據庫訪問請求，而數據庫系統可以只接受的訪問請求，起到隔離和安全保護作用。另一個重要特點是，可以加入到已經開發應用的信息系統中，極大提高原有系統的安全性能而不需要重新開發。這是因為接收的是標準的數據庫訪問同時通過標準的數據庫訪問API對數據庫進行訪問。這也和通用的系統很類似。

2. 基于角色的訪問控制模型

基于角色的訪問控制模型的基本思想是:將用戶劃分成與其職能和職位相符合的角色，通過將權限授予角色而不是直接授予主體，主體通過角色分派來得到客體操作權限從而實現授權，因此減少授權管理的復雜性，降低管理開銷，為管理員提供一個比較好的實現復雜安全政策的環境，引起了極大的關注，以其顯著的優勢被認為是自主型訪問控制和強制型訪問控制的最佳替代者[2]。

基于角色的訪問控制模型RBAC是目前主流的訪問控制模型，它比傳統的自主訪問控制和強制訪問控制更優越，同時也提供了更高的靈活性和擴展性。

基于角色的訪問策略根據用戶在系統中的活動來管理用戶對信息的訪問，這種訪問策略首先要求標識出系統中的角色，角色可以定義為與一個工作實體相聯系的行為和職權的集合[3]。在標識出角色之后，就可以將對客體對象的訪問權限授予各個角色，而不必再對每個用戶分別聲明其允許執行的訪問權限，用戶根據他的職責被分配以相應的角色而獲得對客體的訪問權限，這大大簡化了權限的管理工作。這種策略具有很大的靈活性。

3. RBAC模型在視頻服務器系統中的應用

RBAC模型在系統的應用主要體現在對登錄系統的用戶的身份認證和訪問控制，主要流程如下[4]：

(1)用戶登錄，激活相應的客戶端模塊；

(2)通過數據庫訪問服務器查詢數據庫，進行用戶身份認證，認證用戶的合法性以及用戶的權限級別；

(3)進入系統，根據用戶自己的權限實現相應的訪問控制功能；

系統使用者根據自己的權限類型，通過訪問流程，調用相應的功能模塊實現相應的操作[5]。系統中用戶信息及其權限信息都是以表的形式保存的數據庫中，系統中獨立的數據庫訪問模塊實現對數據庫的訪問控制[6]。

隨著計算機技術和企業信息化的發展，對信息系統的安全訪問控制技術也在逐步的探索中完善起來。隨著RBAC模型的發展完善，應用規范的逐步建立，必將出現各種新型的RBAC模型，RBAC技術必將在各領域迅速發展并獲得充分應用。

參考文獻：

[1]黃益民，楊子江，平玲娣等。安全管理系統中基于角色訪問控制的實施方法[J]。浙江大學學報：工學版，2004，38(4)：408413。

[2]黃益民，平玲娣和潘雪增，一種基于角色的訪問控制擴展模型及其實現;計算機研究與發展[J]，2003,10,1521-1528。

[3]李黎，王小明和張黎明，基于角色的統一模型[J]，計算機工程與應用，2004,23,54-58。

[4]張黎明，王小明和李黎，幾種基于角色的授權模型特征比較[J]，微機發展，2004,11,12 6-129。

篇7

根據國家安全生產監督管理局《關于印發推廣非公有制企業安全監管試點經驗實施方案》的通知，和《關于進一步做好推廣非公有制企業安全管理經驗工作的通知》為深入貫徹落實《國務院關于進一步加強安全生產工作的決定》和國院領導同志關于強化非公有制企業安全監管工作的指示精神，結合我街道實際，按照的要求，在全街道范圍內推廣廣東佛山市非公有制企業安全監管經驗。

指導思想

以“三個代表”重要思想為指針，深入貫徹落實《安全生產法》、《國務院關于進一步加強安全生產工作的決定》、《市人民政府關于建立安全生產長效機制的決定》和全省、市安全生產會議精神，大力推廣非公有制企業安全生產管理經驗，牢固樹立“以人為本”的科學發展觀，強化法律的約束和政策引導，堅持服務宗旨，寓監管于服務之中，開創我街道非公有制企業安全監管工作的新局面，建立健全安全生產長效機制。

推廣內容

佛山的非公有制企業安全監管工作的特點：總體規劃、重心下移、更新觀念、強化主體、立足服務、培育中介、實質和目標是建立非公有制企業安全生產長效機制，實現非公有制企業安全生產工作“有人管，管得住，管的好”，為經濟建設和全面建設小康社會創造良好的安全環境。

我街道辦事處要著重從以下六個方面推廣佛山經驗：

1、是抓典型經驗，發揮典型經驗引導作用，選擇一定代表性的非公有制企業培養為安全生產樣板企業，用典型經驗推動全街道的安全生產工作。

2、是加強法律約束和政策引導。全面貫徹《安全生產法》，依法落實企業安全保障各項制度，認真實施安全生產許可制度，推動建立提取安全費用、提高企業事故賠償標準和風險抵押金等三項經濟政策。

3、是加強非公有制企業“雙基”工作。督促企業落實主體責任，在非公有制企業廣泛開展安全質量標準化活動，規范各環節和各崗位的安全行為，提高安全生產管理水平，加強作業場所安全生產檢查，落實“三同時”制度，促進企業從防范傷亡事故向全面做好安全生產工作轉變。

4、是建立和完善安全生產服務體系。切實做好政策咨詢、技術指導、培訓教育、隱患整改等服務工作。加強安全生產支撐體系建設，發揮社團組織和中介機構在安全服務中的作用。加快應急救援體系建設，利用現有資源建立區域性和地方性應急救援組織，為非公有制企業提供事故應急救服務。

5、是建立非公有制企業安全生產信息體系。分級建立包括企業安全評價等級、安全基本條件、職業危害程度等在內的信息庫，形成資料齊全、查詢便利的信息系統，使各級安全監管部門對轄區內非公有制企業安全狀況心中有數，提高監管效率。

6、是加強監管體系建設，加大監督執法力度。爭取各級地方政府支持，充實監管力量，提高監管人員的整體素質和服務意識，加大對違法行為的經濟處罰力度，對嚴重忽視安全生產，造成事故、構成犯罪的違法業主依法進行打擊。

工作要求

篇8

目前，我區域將全面進入森林防火期，今冬明春，氣溫偏高，火險等級偏高，森林防火形勢嚴峻，為切實做好今冬明春森林防火工作，保障廣大人民生命財產安全，現就護林防火工作的有關事項通知如下：

高度重視，全面落實防火責任制

為加強今冬明春護林防火工作，各單位要以對人民生命財產高度負責的態度，充分認識森林防火的重要性增強工作責任感和緊迫感，嚴格執行森林防火各級政府行政首長負責制，認真落實好組織機構，防火責任。切實加強對護林防火工作的領導。

1、成立護林防火工作領導組

2、落實各單位護林防火值班人員

3、落實各單位護林防火巡邏人員

4、組建專業（兼）撲火隊伍30人

5、落實村干部分片包干山場責任區

6、建立固定護林防火標牌8個，刷寫防火標語50條

7、實行24小時值班巡邏制度

各單位要落實好防火專業人員及機械手，村委會山場及綠色長廊由村主任負責，林場由場長負責，鎮分工干部分片包干，明確任務責任到人。

加強宣傳，營造全民護林防火氛圍

各單位要把防火安全作為一項重要工作廣泛宣傳，營造聲勢，要充分利用廣播、電視、宣傳欄，刷寫防火標語等形式，大力宣傳護林防火法規和知識，著力營造有利于護林防火工作開展的良好社會氛圍，要在林區中小學校普及防火知識教育，增強師生護林防火意識，要嚴格執行野外火源監督管理，林區各進山路口及村莊要刷寫護林防火標語，對重點林區、墳場、墓地集中地段安排專人巡邏，實行死看硬守，確保萬無一失。

加強林區管理，完善防火預案

各單位要針對當前野外用火增多，根據各地的實情，制定防火預案，落實措施，做到防火人員時刻在崗，要認真檢查檢修各類防火器械，備齊各種防火用具，對林區道路兩旁墳場、墓地的雜草、枯枝必須在11月底前集中勞力全部清除，形成寬20米的防火隔離帶，同時刷寫好各林區及村莊、道路兩側的防火宣傳標語。特別是“三節”期間林區用火增多，墳場、墓地及各主要進山路口都要有專人死看硬守，確保不發生森林火災，要完善撲救預案，一旦發現火情，及時組織人員撲救，做到打早、打小、打了。

篇9

對Tang等（TANG Y，LEE P，LUI J，et al. Secure overlay cloud storage with access control and assured deletion. IEEE Transactions on Dependable and Secure Computing，2012，9（6）：903-916）提出的一種云存儲的細粒度訪問控制方案進行安全性分析，發現其存在不能抵抗合謀攻擊的問題，并給出了具體的攻擊方法。針對該方案安全性方面的不足，利用基于屬性的加密算法抗合謀攻擊的特性，對使用訪問樹結構的密文策略加密（CP-ABE）算法進行改進，使改進后的算法能夠直接運用到云存儲訪問控制方案中而不需要對云存儲服務器進行任何修改，同時可實現細粒度的訪問控制和用戶數據的徹底刪除。最后基于判斷雙向性Deffie-Hellman（DBDH）假設，證明了該方案在選擇明文攻擊下的安全性，并通過將方案運用到實際的云環境中進行分析后證明改進后的方案能夠抵抗合謀攻擊。

關鍵詞：云存儲；訪問控制；密文策略的屬性加密算法；合謀攻擊；判斷雙向性Deffie-Hellman假設

中圖分類號： TP309.1

文獻標志碼：A

Security analysis and improvement of access control scheme for cloud storage

Abstract：

An access control scheme for cloud storage proposed by Tang et al. （TANG Y，LEE P，LUI J，et al. Secure overlay cloud storage with access control and assured deletion. IEEE Transactions on Dependable and Secure Computing，2012，9（6）：903-916） was analyzed and proved to be vulnerable to collusion attacks， and a detailed attack method was given. To address this problem of the given scheme， this paper took the advantage of the property of collusion attack resistant of the attribute based encryption algorithm and improved a ciphertext-policy attribute-based encryption （CP-ABE） algorithm which used the access tree. Then the improved algorithm could be used seamlessly into the access control and assured deletion scheme for cloud storage without changing the cloud server. Finally， the security against the chosen plaintext attack was proved under the Decision Bilinear Diffie-Hellman （DBDH） assumption， and the ability of resisting the collusion attack of the scheme was proved by analyzing a practical cloud situation.

Key words：

cloud storage； access control； CP-ABE algorithm； collusion attack； Decision Bilinear Diffie-Hellman （DBDH） assumption

0 引言

云存儲是在云計算的概念上發展起來的，能夠對外提供數據存儲和業務訪問功能的大容量存儲系統。因其強大的存儲能力、高易用性和可擴展性，云存儲具有廣闊的應用前景。然而， 隨著云服務的推廣，業界很快發現數據的安全問題是制約云存儲服務發展的重要因素。Gartner2009年的調查結果顯示，70%以上受訪企業認為近期不采用云服務的首要原因在于存在數據安全性與隱私性的憂慮[1]。

針對云存儲的安全問題，訪問控制是實現用戶數據機密性和進行隱私保護的重要手段。關于云存儲訪問控制的研究，由于無法信賴云服務提供商，研究者關注最多的是基于密碼學方法實現可問控制。這種訪問機制對數據加密后再上傳到服務器，通過控制用戶對解密密鑰的獲取來實現訪問控制目標。目前已提出了大量的密碼訪問控制方案[2-5]。一種方法是基于屬性的加密訪問控制機制（Attribute-Based Encryption，ABE）[6]，這種訪問控制機制以基于身份的密碼體制為基礎，將身份看作是系列屬性的集合。最初的ABE機制僅能支持門限訪問控制策略，為了表示更靈活的訪問控制策略，學者們進一步提出了密鑰策略的屬性加密（Key-Policy Attribute-Based Encryption，KP-ABE）[7-8]和密文策略的屬性加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）[9-10]等機制。

文獻[11]中Tang等將基于用戶屬性的加密機制運用到云存儲安全中，提出了一個云存儲服務的細粒度訪問控制和確認刪除的方案，以下簡稱FADE方案。FADE方案的優點是不依賴當前的第三方云存儲服務的形式，云存儲服務只需支持上傳和下載功能即可以實現兩個安全目標：1）實現細粒度訪問控制，防止云存儲服務商泄露用戶隱私；2）確定刪除，即確認云上已刪除的文件對任何人不可見（包括文件所有者）。本文對FADE方案進行了分析，發現該方案存在著不能抵抗合謀攻擊的問題。

本文對一個使用訪問樹結構的CP-ABE算法進行改進后，將其運用到云存儲細粒度訪問控制和確定刪除的方案中。CP-ABE機制由Bethencourt等[10]提出，其將密文與訪問結構相關聯，實現由文件發送方決定的訪問控制策略，適用于云存儲環境中。文獻[12]是最先在判斷雙向性Deffie-Hellman（Decision Bilinear Diffie-Hellman，DBDH）問題假設下證明CP-ABE 機制安全性的方案，但僅支持屬性的與操作。Ibraimi等[13]提出了訪問樹結構的CP-ABE方案，可實現支持屬性的與、或和門限操作。ABE訪問控制系統的參與實體包括授權機構和用戶，授權機構監管屬性并為用戶頒發屬性密鑰。本文對Ibraimi的方案進行了改進，使得用戶的密鑰產生不依賴于授權機構，在密鑰管理中心的協助下使每個文件所有者可以靈活產生密鑰并將密鑰安全的存儲在云服務器上，從而可以實現細粒度的訪問控制和確定刪除。最后在DBDH假設下證明了方案在選擇明文攻擊（Chosen Paintext Attack，CPA）下的安全性，并證明方案能夠有效抵抗合謀攻擊。

1 預備知識

1）雙線性對。

G0和G1是兩個階為素數p的乘法群，g為G0的生成元。雙線性對e：G0×G1G1是具有如下性質的映射：

雙線性性 對于所有的u，v，a，b，都有e（ua，vb）=e（u，v）ab。

非退化性 e（g，g）≠1。

2）DBDH假設。

給定g，ga，gb，gc∈G0（a，b，c∈Z*p是未知的隨機數），Z∈G1，判斷等式e（g，g）abc=Z是否成立。

對于算法A，如果|Pr[A（g，ga，gb，gc，e（g，g）abc）=1]-Pr[Α（g，ga，gb，gc，Z）=1]|≥ε，則稱算法A能夠以優勢ε攻破G0上的DBDH問題。如果不存在運行時間至多為t，解決群G0上的DBDH問題的優勢至少為ε的算法，則稱（t，ε）-DBDH假設成立。

2 FADE方案的安全性分析

2.1 FADE方案

FADE方案中引入一個密鑰管理中心對每個策略的對應密鑰進行管理，對于策略Pi，密鑰管理中心產生RSA算法的公私鑰對（ei，di）和模指數ni。對于單一策略Pi，其相關文件的上傳過程如圖1（a）所示。用戶向密鑰管理中心證明該用戶符合策略Pi，密鑰管理中心將Pi對應的公鑰（ni，ei）發送給用戶。用戶隨機產生文件加密密鑰K和策略密鑰Si。使用K對文件F進行加密，密文為{F}K，進而利用Si對K進行加密，密文為{K}Si，最后用ei對Si加密，密文為Seii。用戶丟棄K和Si，將Pi，{K}Si，Seii，{F}K上傳到云存儲服務器上。

文件的下載過程如圖1（b）所示，用戶從云存儲服務器上下載Pi，{K}Si，Seii，{F}K，之后用戶產生一個隨機數R，計算Rei，用戶向密鑰管理中心證明該用戶符合策略Pi并將Seii·Rei=（SiR）ei發送給密鑰管理中心。密鑰管理中心計算（（SiR）ei）di=SiRi，將SiRi發送給用戶。用戶可恢復出Si，進而對{K}Si解密得到K，最后對{F}K解密得到F。

FADE方案支持多個訪問策略的與、或等邏輯組合，如果訪問文件F需要多個策略P1，P2，…，Pm相關聯，用戶需要對每個策略產生不同的策略密鑰：S1，S2，…，Sm，并利用不同的加密密鑰產生S1e1，S2e2，…，Smem。對于多個策略的與運算即P1∩P2∩…∩Pm，用戶計算{{K}S1}S2…Sm并將結果上傳到云存儲服務器上。對應的下載階段，用戶將（S1R）e1，（S2R）e2，…，（SmR）em發送到密鑰管理中心，解密后得到S1，S2，…，Sm，進而得到K和F。

2.2 FADE方案的分析

分析FADE方案，發現方案是不能抵抗合謀攻擊的。即如果某加密文件{F}K相關聯的策略為P1∩P2，則僅滿足策略P1的用戶1和僅滿足策略P2的用戶2可以通過合謀解密文件{F}K。二者合謀攻擊的方案如圖2所示。具體步驟為：

1）用戶1和用戶2都從云存儲服務器上下載P1∩P2，{{K}S1}S2，S1e1，S2e2，{F}K。

2）用戶2產生隨機數R2，向密鑰管理中心證明其滿足策略P2后將（S2R2）e2發送給密鑰管理中心。

3）由于用戶2滿足策略P2，密鑰管理中心用d2對（S2R2）e2解密后將S2R2發給用戶2。

4）用戶2得到后對{{K}S1}S2得到{K}S1。

5）用戶2將{K}S1傳給用戶1。

6）用戶1產生隨機數R1，向密鑰管理中心證明其滿足策略P1后將（S1R1）e1發送給密鑰管理中心。

7）由于用戶1滿足策略P1，密鑰管理中心用d1對（S1R1）e1解密后將S1R1發給用戶1。

8）用戶1利用S1對用戶2傳來的{K}S1解密得到K，進而對{F}K解密，得到F。

3 改進的方案

為了克服FADE方案不能抵抗合謀攻擊的缺陷，本文對該方案提出了一個改進措施。改進的方案描述如下：

文件的上傳階段，分為四個步驟，如圖3所示。

1）初始化：給定階為p的雙線性群G0和G1，g為G0的生成元，定義雙線性映射e：G0×G1G1。生成屬性集A={a1，a2，…，an}，并隨機產生α，t1，t2，…，tn∈Z*p。另y=e（g，g）α，Tj=gtj，則公鑰為pk=（e，g，y，Tj，gα），私鑰為mk=（α，tj）（1≤j≤n）。

2）向密鑰管理中心申請加密公鑰。用戶向密鑰管理中心證明該用戶具有屬性集A，密鑰管理中心將屬性集A中的每個屬性對應的公鑰（nj，ej）發送給用戶，對tj加密得到sk=（tejj）（1≤j≤n）。

3）加密：隨機選擇s∈Z*p，計算c0=gs，c1=K·gs=Ke（g，g）αs。

生成訪問結構τ，設置τ的根節點值為s，設置根節點為已標記，其所有的子節點為未標記。對于所有未標記的非葉節點，采用遞歸的方式進行賦值：

如果是與操作，且其子節點未標記，為其每一個子節點（除最后一個）分配隨機值1≤si≤p-1，最后一個子節點分配st=s-∑si mod p，將該節點設置為已標記。

如果是或操作，且其子節點未標記，為其每一個子節點賦值為s，將該節點設置為已標記。

對于每一個τ中的葉節點aj，i，計算cj，i=Tsij，i為aj，i在τ中的索引值。

最終的密文為：cτ=（τ，c0，c1，aj，i∈τ：cj，i）。

4）上傳：用戶將cτ、{F}K、sk、pk上傳到云存儲服務器上。

文件下載階段，分為三個步驟，如圖4所示。

1）下載：用戶從云存儲服務器上下載cτ、{F}K、sk、pk。

2）向密鑰管理中心申請解密：用戶判斷自己的屬性集ω是否符合訪問結構τ，如果滿足，選擇ω′ω且能符合τ的最小集合。產生隨機數r，對ω′={a1，a2，…，am}中的每個屬性aj對應的tejj計算（rtj）ej，向密鑰管理中心證明該用戶具有屬性集ω′，將（rtj）ej（1≤j≤m）、g發送給密鑰管理中心。

密鑰管理中心計算（（rtj）ej）dj=rtj（1≤j≤m）。產生隨機數ρ，并計算gρ，dj=gρ（rtj）-1（1≤j≤m）發送給用戶。

3）解密：用戶計算d0=gα-ρr-1。

對于aj∈ω′，計算

4 安全性分析

4.1 選擇明文攻擊安全性證明

定理1 如果DBDH假設成立，則不存在挑戰者能夠在多項式時間內對方案進行選擇明文攻擊成功。

假設攻擊者Α能夠以不可忽略的優勢ε贏得CPA游戲，用反證法證明模擬者β能夠通過ρ以優勢ε/2贏得DBDH假設的游戲，即證明DBDH假設不成立。令挑戰者產生群G0和G1，g為G0的生成元，定義雙線性映射e，選擇隨機數a，b，c，θ∈Z*p。挑戰者通投擲硬幣μ來決定Zμ=e（g，g）abc如果μ=0或者Zμ=e（g，g）θ如果μ=1。挑戰者將tj=kj發送給模擬者β，β將作為攻擊者Α在CPA游戲中的挑戰者。

初始化：攻擊者選擇挑戰訪問樹τ*并將其發送給β。

建立：β選擇隨機數x′∈Zp，令e（g，g）α=e（g，g）abe（g，g）x′，從而有α=ab+x′，對于所有的aj∈A，選擇隨機數kj∈Zp，如果ajτ*，令Tj=（gb）1/kj，從而tj=b/kj，如果aj∈τ*，令Tj=gkj，從而tj=kj。β將公鑰發送給Α。

階段1：攻擊者Α請求查詢任意屬性集wj={aj|aj∈A}的私鑰，其中ajτ*。對于每次請求，挑戰者選擇隨機數r′，ρ′∈Z*p并計算d0=gx′-（r′）-1ρ′b=gα-（ab+（r′）-1ρ′b）。對于aj∈wj，β計算私鑰

4.2 抗合謀攻擊證明

分析如下情形，假設三個用戶u1、u2和u3。他們的屬性集分別為Au1={研發部門}，Au2={工作10年以上}，Au3={研發部門，工作10年以上}。用戶u3的訪問結構樹τ3表示同時滿足“研發部門”和“工作10年以上”這兩個屬性。u3利用文件加密密鑰K根據本文中的方案對文件F進行加密后得到加密后的文件{F}K，對K加密的密文cτ3，加密公鑰為pk3=（e，g，e（g，g）α，gt1，gt2，gα），私鑰為mk3=（α，t1，t2），密鑰管理中心利用e1、e2對私鑰mk3的加密密文為sk3=（te11，te22）。u3將cτ3、{F}K、sk3、pk3上傳到云存儲服務器。

用戶u1和u2可以從云存儲服務器上下載到cτ3、{F}K、sk3、pk3。為了對cτ3解密得到K，u1和u2分別將自己的屬性證書、sk3=（te11，te22）和各自生成的隨機數r1、r2上傳到密鑰管理中心。密鑰管理中心對u1的屬性證書驗證，認為其僅滿足屬性“研發部門”，因此只對te11解密，生成隨機數ρ1計算d1=gρ1（r1t1）-1后發給u1。同理，對用戶u2的屬性證書驗證，認為其僅滿足屬性“工作10年以上”，因此只對te22解密，生成隨機數ρ2計算d2=gρ2（r2t2）-1后發給u2。u1和u2要想合謀通過式（1）解密cτ3，必須要求ρ1r-11=ρ2r-12。由于用戶u1和u2間的隨機數ρ1和ρ2不同，而且用戶無法得到這個隨機數的數值，不能滿足等式的成立，就不能互相結合私鑰。方案通過密鑰管理中心為每個用戶生成的隨機數作為掩碼，防止了用戶間的合謀。

5 結語

本文分析了現有的不安全的云存儲訪問控制方案，在對CP-ABE算法改進后，提出了一個訪問樹結構的CP-ABE云存儲訪問控制與確定刪除方案，方案能夠在對云存儲服務器無任何安全性要求的條件下實現對云存儲的細粒度訪問控制，以及確保用戶文件的有效刪除。最后在DBDH假設下證明了方案在選擇明文攻擊下的安全性和抗合謀攻擊的特性，克服了原方案的安全缺陷。

參考文獻：

[1] FENG D， ZHANG M， ZHANG Y， et al. Study on cloud computing security[J].Journal of Software，2011，22（1）：71-83.（馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報，2011，22（1）：71-83.）

[2] CRAMPTON J，MARTIN K，WILD P. On key assignment for hierarchical access control[C]// Proceedings of the 19th IEEE Computer Security Foundations Workshop. Washington， DC： IEEE Computer Society， 2006：5-7.

[3] MALEK B，MIRI A. Combining attribute-based and access systems[C]// Proceedings of the 12th IEEE International Conference on Computational Science and Engineering. Washington， DC： IEEE Computer Society，2009：305-312.

[4] CHANG Y C， MITZENMACHER M. Privacy preserving keyword searches on remote encrypted data[C]// Proceedings of the 3rd International Conference on Applied Cryptography and Network Security. New York：Springer-Verlag，2005：442-455.

[5] RAY I，RAY I，NARASIMHAMUTHI N.A cryptographic solution to implement access control in a hierarchy and more[C]// Proceedings of the 7th ACM Symposium on Access Control Models and Technologies. New York：ACM，2002：65-73.

[6] SAHAI A，WATES B. Fuzzy identity-based encryption[C]// Proceedings of the 24th Annual International Conference on Theory and Applications of Cryptographic Techniques. Berlin：Springer-Verlag，1984：47-53.

[7] GOYAL V，PANDEY O，SAHAI A，et al. Attribute-based encryption for fine-grained access control of encrypted data[C]// Proceedings of the 13th ACM Conference on Computer and Communications Security. New York： ACM，2006：89-98.

[8] OSTROVSKY R，SAHAI A，WATES B. Attribute-based encryption with non-monotonic access structures[C]// Proceedings of the 14th ACM Conference on Computer and Communications Security. New York：ACM，2007：195-203.

[9] SU J， CAO D， WANG X， et al. Attribute-based encryption schemes[J].Journal of Software， 2011，22（6）：1299-1315.（蘇金樹，曹丹，王小峰，等.屬性基加密機制[J].軟件學報，2011，22（6）：1299-1315.）

[10] BETHENCOURT J，SAHAI A，WATES B. Ciphertext-policy attribute- based encryption[C]// Proceedings of the 2007 IEEE Symposium on Security and Privacy. Washington， DC：IEEE Computer Society，2007：321-334.

[11] TANG Y，LEE P，LUI J，et al. Secure overlay cloud storage with access control and assured deletion[J].IEEE Transactions on Dependable and Secure Computing，2012，9（6）：903-916.

篇10

【關鍵詞】：土建施工 安全監理承包方工程質量

中圖分類號： O213.1 文獻標識碼： A 文章編號：

引言

21世紀以來，在以經濟建設為中心的指導下，我國的各項事業都在有條不紊地發展壯大。近年來，我國的建筑行業發展迅速，建筑施工單位的施工質量也有所提高，但是在快速發展的過程中也暴露出建筑行業很多弊端和問題，這主要體現在建筑安全方面，部分施工單位為降低成本忽視了工程質量的重要性，監理單位在施工過程中監管力度不到位，工作人員專業業務知識缺乏等因素同樣制約著土建施工的安全監理質量控制，因此，在新的時代背景下，我國建筑行業更應該加強其施工安全監理工作，改善工程的總體質量。

一．建筑施工安全監理的基本環節

建筑施工的安全監理由四個基本環節構成，按順序依次為：方案環節，交底環節，檢查環節和總結環節，這四個基本環節環環相扣，任何一個環節出現錯誤都會導致整個施工安全監理出現嚴重問題。方案環節也就是指在施工前不僅需要做好具體的安全方案，而且還需做好現場的施工安全措施；交底環節要求施工方對具體施工人員做好有關安全和技術方面的交底工作，使施工人員對施工環節有進一步的了解和認識；檢查環節也就是施工方為確保方案能順利開展而對現場所做的檢查工作，檢查過程中需要對各方面情況進行詳細記錄，并反復核查確保施工方案安全有效；總結環節顧名思義就是對上訴三個環節的總結，這種總結有利于施工方對整個施工過程進行宏觀調控，并能夠及時發現和解決各類安全隱患。

二．土建質量監理的具體表現形式

隨著建筑技術的快速發展，判斷一項工程質量是好是壞的方法越來越多，而工程監理體系就能有效反映出工程的質量情況。

監理工作因為施工階段的不同而表現出不同的形式，在正式開始施工之前承包人必須先就此次的單項工程作出詳細的開工報告，此類開工報告必須包含以下基本情況：第一，使用材料；第二，機械設備；第三，勞動了；第四、現場管理人員；第五，其他條件的準備。此外，承包方需準備必要的施工基礎材料，如標準試驗和放樣測量等，在完成上述準備工作后，承包人還需對其施工技術安案和設計進行審批。

三．土建施工準備階段的監理工作

監理工程師在整個安全監理過程中起著十分重要的作用，他不僅要了解該項建筑工程的大致情況，而且還要了解業主的不同要求，在國家相關規定的許可下盡可能滿足業主的要求，進一步完善該項工程質量監理規劃，確保此項工程的監理標準與目標能順利實現。在具體的土建工程中，施工人員應嚴格按照監理規劃執行，相關監理單位需認真執行監理工作，保證整個土建施工工作安全有效開展，從而提高工程總體質量。

一方面，若施工方單純按照設計圖來制定其具體施工方案效果并不理想，施工過程中的細節部分很難通過這種方式表現出來，因此，在對施工方案進行審批的時候應嚴格規范方案中的細節部分。另一方面，為加強對整個施工情況的了解，監理部門必須對其專業圖紙、幾何尺寸和平面設計等進行詳細審批，在對整個土建工程中的各個環節都有了較為詳細的認識之后，監理部分才能對整個施工環節提出合理有效的質量控制安排。此外，科學合理的土建監理規劃有利于避免施工環節中容易出現的問題，監理部門對整個工程的監理應該從審圖著手，針對設計圖中的不足和缺陷，提出問題并與設計單位探討出行之有效的解決措施，保證整個工程能順利開展。

因此，監理工程師必須根據實際情況對整個施工方案進行合理修改以確保整個工程的質量達標。

四．土建施工中的監理控制

現階段，建筑施工對于監理細則方面的發展相對滯后，監理細則往往是由監理單位獨自完成，但實際上施工單位的認識水平很難與相關審查單位一致，這一情況直接導致了施工過程中雙方關系的僵化，從而影響施工進程的正常推進，制約整個工程的發展。

此外，監理人員在監理過程中經常發現與設計圖紙不符或是違反規定的施工情況，在整個工程中質量控制工作往往處于比較被動的地位，因此必須加強施工人員的教育與培訓工作，加強質量檢測，提高承包商的技術管理和質量管理水平。不斷加強施工人員的專業技術水平也是監理質量控制的重要任務之一，只有施工人員對整個施工過程中的重點、難點有足夠認識后才能有效將理論知識與實際情況相結合，從而保證工程質量。

土建施工中的監理控制能有效降低事故發生率，施工過程中的安全監理主要包括施工環境、安全操作、安全防護措施等等，其中施工機械及防護設施、消防設施的檢測尤為重要，它能有效降低人為因素引發的各類意外。安全監理控制不僅能保證工程質量，而且也能保障施工人員的生命安全。安全規范的施工過程和安全監理相輔相成，共同保證整個工程的順利進行。

整個工程中，監理部門必須時刻進行全過程、全方位的監理，確保對整個施工過程有較為詳細的了解，排除各類安全隱患，同時對出現的突發問題能及時發現并提出行之有效的解決措施，確保工程順利竣工。監理工程師應按時對整個施工情況進行巡視和考察，以考察得到的實際結果和相關數據進行比對以驗證整個工程的實際質量，對不合格的部分下達整改通知，責令其限期整改，整個施工應嚴格遵守安全施工條例，保證工程質量，符合國家法律法規的相應規定。

五．土建驗收階段的監理把關

監理部門在整個工程的施工完成之后需要對工程進行嚴格的監理把關，確保整個工程質量達標。監理部門的驗收工作主要包括對地基基礎、防水工程、土建主體及水暖電的使用功能進行質量檢測，針對多數承包商分項分部進行施工的情況，監理部門應該一一對應收取其自檢記錄并開展驗收工作，驗收合格則在其申請書上簽字認可，承包商方可交房；若發現工程中的質量問題和安全隱患，驗收結果為不合格，則應責令施工方根據處理意見進行工程整改，承包方整改完成之后監理部門再次進行驗收。對屢教不改的施工工程，監理部門可協調相關部門按照相應法律法規對其進行處理。

結束語

總而言之，在全球呼吁加強工程安全監理、保證工程質量的大背景下，行之有效的科學安全監理工作顯得尤其重要。這不僅是可持續發展戰略在建筑行業的重要體現，更是建筑事業興旺發達的活力源泉。施工工程中的監理工程師必須時刻進行全過程、全方位的工程監理，確保對整個施工過程有較為詳細的了解，并排除各類安全隱患，同時對出現的突發問題能及時提出行之有效的解決措施，確保工程順利竣工。

參考文獻：

[1] 駱婷. 搞好土建監理安全施工——提高工程施工質量[J].中華名居, 2011, (6)：32

[2] 杜清. 淺析如何加強建筑工程施工安全監理[J]. 城市建設理論研究（電子版）, 2011, (32) ：68-70