第一篇:施工现场存在安全问题的汇报
施工现场安全、质量责任问题
从开工至现在,目前工地存在管理问题如下:
1、架子工外架搭设不符合规范要求
2、木工不听从管理人员安排,材料(钢管、方木)直接从楼层扔下,存在安全隐患
3、临边防护搭设不到位无人搭设防护架
4、材料随意混杂(钢管、方木、模板)堆放,长短不一
5、施工人员临边高空作业无安全带(架子工、木工)
6、管理人员及施工人员进出场地部分人未佩戴安全帽
7、现场存在质量问题不作处理
以上问题我项目部多次现场要求,张启斌置之不理,张启斌管理人员以该问题不归他管,人员他调动不了为由搪塞,对以上问题,恳请张总出面协调解决,如果该问题解决不了,我项目部愿自行退出,若发生安全、质量问题我们概不承担责任问题。
项目部:
2016年7月30日
第二篇:存在安全问题与防范措施
存在安全问题与防范措施(设备检修)
作者:互联网文章来源:互联网点击数: 518更新时间:2007-1-14
存在安全问题与防范措施(设备检修)——引言(1)
山西铝业公司供电分厂生产系统已投运多年,目前大部分电力、管网设备陈旧,部分已经严重老化,随之而来的将是大量的设备检修作业。而设备检修工人往往是在时间紧、任务重、作业环境复杂、多工种相互配合及交叉作业频繁的情况下进行的。如何针对设备检修工作中存在的危险因素,采取有效的防范措施,减少甚至避免检修施工过程中的人身伤害事故,已成为供电分厂实现更长周期安全生产的关键所在。
存在安全问题与防范措施(设备检修)——存在的安全问题(2)
目前,供电分厂所辖设备包括电力电缆及高低压电气设备、供排水管网及相关设备、通讯设施及大量的通风降温设施等。如果要对一台设备进行检修,从作业前的工器具和材料的准备、设备停运、故障点检修处理、试车到恢复运行,每个联阶段都可能存在危险因素,稍有疏忽就有可能出现难以预料的严重后果。供电分厂检修作业存在的安全问题主要表现在以下方面:
1、多种类型作业混合,多种危险因素并存
(1)交叉作业
由于检修作业经常是多工种、多工序相互配合,同时在多个工作层面交叉进行,因而存在着多种多样的危险因素,一旦某一细小环节出现失误,发生事故的可能性就极大。此种情况在供电分厂的高压电气检修、管网抢修和水源深水井检修中最为常见。
(2)电气检修作业
目前,供电分厂拥有3个电压等级(110kV、35kV、6kV)的14个一级配电所,管辖的6kV架空线路15条共60km;35kV架空线路1条共4km;100kV架空线路4条共35km;高压电缆总长180km。维护范围遍及全厂各个角落,点多、面广、线长。在辖区内架空或地埋的电力电缆、变配电系统、电气设备,特别是电缆隧道的检修过程中,都有可能发生意外,造成触电、电弧灼伤,甚至火灾爆炸等严重事故。
(3)登高作业
供电分厂所辖的电气、通讯、管网等检修工作中登高作业多,发生高处坠落事故的可能性就大一些。供电分厂自成立以来发生高处坠落事故及未遂事故就有4起
之多,其中,1993年4月,发生高处坠落重伤事故,导致供电分厂长周期安全生产记录被中断。
2、作业环境恶劣,工作条件差
供电分厂的设备检修作业常常需要在一些危险场地进行,若在场地狭窄、通风不畅、高空高压、地面高低不平、有毒有害气体以及照明不足等恶劣环境中进行,都有可能对检修人员造成伤害。如在排水井疏通、电缆隧道内及100kV铁塔上等分厂一级危险点源区域作业,就极易发生各种事故。
3、人工作业多,事故概率高
检修中拆装的机器设备、部件经常需要多次吊运,在人工扶、推、拉、抬以及使用各种手工或半机械化的工具的情况下,人机接触频繁,险情增多,发生事故的概率较高。如水泵或高压电机检修、电力电缆、通讯电缆大修等工作,施工作业人员多、涉及工种多,同时作业环境狭小,容易发生人身伤害事故。
4、检修安全管理难度大
检修工程量大、周期短,参加检修的单位、人员多,素质参差不齐,组织管理难度大;而检修作业又需在特定场所多工种协调配合下按要求的工期完成,这样,就会出现因抢工期违章增多、安全监督不到位等管理漏洞,容易发生事故。
5、大量的技术改造工程项目增加了新的危险因素
当前供电分厂满足山西企业三期工程电力负荷的供应,对100kV系统进行了大规模的技术更新改造,水源防汛线路和通讯等方面都引进了先进的自动控制设备或设施,使危险点源相对集中;由于自动化程度要求高,职工维护和检修技术水平跟不上,产生新的危险因素。
存在安全问题与防范措施(设备检修)——事故的特点(3)
供电分厂历年来事故情况统计如表1所示。
从供电分厂历年来伤亡事故的统计分析来看,存在下列特点:
1、检修伤害事故的概率高,伤害严重程度大
供电分厂自成立以来(1990年8月~2004年1月)共发生人身伤害事故26起,检修过程中发生12起,占全部事故的46%,3起重伤事故有2起发生在检修施工过程中。由此可见,检修工作中的伤害事故发生率高,伤害程度严重。
2、机械伤害、物体打击和高处坠落事故突出
从伤亡事故类别分析,检修工作中发生事故总数12起伤12人,其中物体打击、机械伤害和高处坠落事故比较突出。在各类检修事故中,机械伤害4起4人占33.3 %,居第一位;物体打击3起3人占25%,居第二位;高处坠落2起2人占16.7%,居第三位。这3类事故合计占到检修事故总数的75%。
3、检修事故伤害以电工和钳工工种为多
供电分厂检修工种主要有电工、钳工、管工、焊工等。从所发生的12起检修事故的工种统计来看,电工5人;钳工3人;管工2人;其他2人。其中,电工占41.7%;钳工占25%。表1
序号 1 2 3 4 5 67 8
事故类别 物体打击 高处坠落 中毒窒息 机械伤害 灼烫伤 车辆伤害
事故次数/起 3 3 1 4 2 21 10
伤害程度及人数/人 1重2轻 1重2轻 1重 4轻 2轻 2轻 1轻 10轻3重23轻
备注
均为检修过程发生 1起重伤脑筋起轻伤为检修过程发生 非检修过程发生 1起为检修过程发生 1起为检修过程发生 检修过程发生 包括比照轻伤、治安各交通事故等 检修过程发生事故12起,伤12人
合计 起重伤
害 其他伤害
存在安全问题与防范措施(设备检修)——事故防范措施(4)
要保证供电分厂内部及外委检修施工企业人员的人身安全,必须建立有效的安全防范机制。
1、建立完善的检修安全管理模式
长期以来,供电分厂从检修工作实践中不断总结,已逐步形了具有水电管理特色的较为完善的检修作业安全管理模式:建立健全了有关检修工作的各项安全规章制度;检修工程按项目管理方法进行运作,项目经理或施工单位一把手是该项目安全第一责任人,并确定一名安全员协调和管理具体安全工作,参与施工的各级各类人员按照各自的安全职责分工协作,共同做好安全工作;设备部门将项目部或施工单位的安全工作作为一项重要内容进行管理和指导,安全部门进行监督检查;检修作业以国家有关安全技术标准,分厂安全技术操作规程、设备检修规程作为施工安全技术规范,严格执行。
2、做好检修项目安全措施的编制和审批
检修项目任务单下发后,项目部或施工单位必须针对检修任务,分析施工工艺和现场环境中可能出现的各种危险因素,进行安全策划,制定出具体安全措施,形成书面文件,并附安全文明施工措施审批表经设备部门和安全部门审核批准后,方可开工检修。对较大的施工项目还有分部、分项工程的安全措施。这些安全措施都作为一项必须和重要内容纳入施工组织设计之中。
3、加强检修前的安全技术交底和班前的安全教育
项目部或施工单位应根据制定出的安全措施,并结合同类检修工作中曾出现过的事故案例、检修必须具备的安全知识和技术能力以及有关规章制度等情况,做好检修前的安全技术交底。交底一般由安全员进行,主要对象为所有参加检修施工人员。由于检修工作情况复杂,施工过程中可能出现各种意料不到的问题,因此应及时进行安全检查,并根据检查的结果和施工进度在班前安排施工任务时同时进行安全教育,及时整改安全隐患。
4严格执行工作票制度和安全确认制
对任何检修施工项目,检修单位接到工作任务后,施工前必须按程序办理停电工作票和机械工作票,然后到工作现场进行安全确认,确认的主要内容有:检修的设备编号与工作票上检修设备编号相符;检修设备的电源开关、阀门等处于关闭状态,检修设备与未检修设备之间相关的开关、阀门必须有明显的分界线;检修场地的井、坑、沟、洞等必须有盖板,平台有防护栏杆;各种安全措施和防护装置齐全可靠;在设备电源、启动开关处悬挂“有人检修、禁止合闸”。对上述内容经确认无任何隐患后,方可开工。
5、做好施工过程控制
事故大都是在施工过程中发生的,因此,做好施工过程控制是检修安全管理的关键,为此必须做好以下几点。
(1)要找到施工中的危险因素或危险源并将其作为安全检查控制的重点。
(2)要充分发挥安全管理网络的作用,主要是发挥各级管理干部和安全员的作用,认
真进行安全检查,对查出的事故隐患必须及时处理,决不能拖延推诿。
(3)教育职工要树立集体安全观念,严守操作规程,做到“四不伤害”即“我不伤害
自己,我不伤害他人,我不被他人伤害,不让他人伤害他人”。
(4)广泛开展“安全预知预想”活动。预知预想是预防事故的重要措施,施工人员上
班之后干活前要开展多种形式的安全预知预想活动,以便提高检修人员的安全意识,及时发现问题,采取相应的安全防范措施。
(5)坚持“4S”活动与定置管理,做到安全文明施工。检修过程中坚持 “4S”(整理、整顿、清扫、清洁)活动,做到检修工器具排列整齐有序,垃圾、油污等及时清理,保持作业环境清洁卫生,安全通道畅通,废物分类存放在指定地点,为检修安全工作创造良好的施工环境。施工完毕后必须将因施工需要而拆除的设施予以完好恢复,施工现场做到场清料净,所有施工人员都完全撤离现场后,经检查确认无误,方可试车。
6、强化外委项目检修施工的安全管理
对外委项目检修施工的安全管理,必须从各个环节严格把关。委托单位(或部门)、施工单位、生产单位(或部门)、安全部门4方各负其责,共同遵守安全规定,有序地组织实施,才能确保施工安全。具体而言,委托单位认真审核施工方案,对工程工期、参与人员技术资质及施工质量把好关;施工单位认真办理安全文明施工审批的各项手续,做好施工全过程的各项管理;生产单位(或部门)在作业前对检修施工人员进行所检修设备和周围环境主危险因素及防范措施的安全技术交底,做好交底记录,并加强督查;安全部门认真审核施工安全措施,提出针对性的补充意见,加强施工过程的安全监督。这样,才能保证外委项目检修全过程的安全。
存在安全问题与防范措施(设备检修)——结语(5)
大量的检修工程安全管理经验证明:各级领导只要采取切实有效的安全防范措施,按照科学的安全管理模式,坚持不懈地把设备检修安全工作抓细、抓严、抓好,将检修安全管理规章制度真正落到实处,就一定达到预防和减少事故发生的目的。
第三篇:施工现场安保汇报材料
安保工作汇报材料
尊敬的各位领导:各位同仁,大家上午好,我是十二标,北京*****建设工程有限公司安全负责人,工程信息联络员,我叫***,下面由我为给位领导汇报十二标段的安保情况。
为了做好本标段的安保工作,我单位制定了,安全保卫管理方案、安保管理制度、安保岗位职责、项目部安全责任分解表,施工现场消防安全保卫措施及应急救援预;成立了安全保卫组织机构。
根据我标段的实际施工进展情况,临建还未搭设,正在做场地平整工作,项目部租住于居民小区,员工租住于村民闲置房屋中。
施工现场目前只做了土石方地基处理工程,现场施工车辆30余辆,放置箱式安保值班室一间,用于24小时安保工作的巡查。
项目部安保负责人根据人员进场的时间,及时录入个人信息至山东省流动人口服务管理综合信息系统,以便于公安机关及时掌握施工现场劳务人员的信息,并同时报安保部。对于现场施工机械车辆,进场后及时收集车辆的行驶证、驾驶证、保险单、合格证等,确保机械车辆的合法性,安全性。
关于租住房屋的管理人员及员工,项目部要求:遵守当地的法律法规,村民公约等,严禁大声喧哗影响他人休息工作等。保持室内及个人卫生,建立卫生公约和卫生值日制,严禁男妇混居和留他人住宿。严禁卧床吸烟,打架斗殴,酗酒闹事、吸毒、赌博等违法活动。宿舍内禁止使用电炉及私拉乱接电源。
全面落实食堂安全制度、卫生制度,食堂安全用电,炊事设备符合额定的电压,并做有可靠的接地,做到一闸一机一漏报,远离水源,液化石油气瓶和灶具需满足安全距离。炊事人员需符合身体健康并按时体检,取得健康证才可上岗,禁止食用过期腐蚀食品,严禁群体中毒事件的发生,严格执行食堂卫生制度,生熟食分类存放。
施工现场设安保值班室,由4人昼夜轮流值班,白天对外来人员和进出车辆巡查,夜间值班巡查机械车辆停放区。重点是仓库、机械设备的看护。值班室放置灭火器16只。
巡护时注意个人的人身安全,发现违法犯罪应及时报案,并呼叫同伴,确保人身安全后,才能保护财产安全。
土方开挖时,工作区应设置安全警戒线,无关闲杂人员进入入内,作业半径内严禁人员进入。
土方运输车辆应符合安全行驶标准,按指定路线,指定速度行驶,严禁超速,礼让三先,文明行车。
土方平整压实,土方卸载区应有专人指挥车辆进行卸载,指挥人员应穿反光背心,安全员袖标等安全醒目标记。
全体管理人员及员工严禁现场随意吸烟,动用明火。每月对职工进行一次治安保卫常识教育,每季度召开一次治保会,定期组织治安保卫检查。
对易燃、易爆、有毒物品设专库、专管,非经单位工程负责人批准,任何人不得动用。不按此执行,造成后果追究当事人的责任。施工现场必须按照“谁主观、谁负责”的原则,确定主要领导干部负责治安保卫工作。分包单位的工程,实行总承包单位负责的治安保卫工作责任制,建立治安保卫领导小组,与分包单位签订工作责任书。分包单位接受总承包单位的统一领导和监督检查
项目部定期培训熟悉防火知识,遵守各种消防规章制度,定期开展消防训练活动,爱护消防设施。参加防火学习活动并宣传,发现隐患及时报告。事故的扑救工作,做到召之即来,来之能战,战之能胜。
做到人人懂消防,人人防消防,人人会用消防设备。并有项目部主要领导担任义务消防队负责人。
在工作中难免有不足之处,和不到位的地方,我想通过在今后的工作中积极的向各位领导及各位同仁认真学习,弥补自己的不足之处,积极认真的做好安全保卫工作。
我的汇报完毕,谢谢大家。
第四篇:施工现场存在的问题汇总
施工现场存在的问题汇总
一、参建单位质量安全行为方面
1.对监理企业发出的整改通知拒不执行;2.关键岗位管理人员履职不到位;3.未严格执行工序报验制度;4.工程在进行重要节点验收时,勘察、设计单位项目负责人不到场;5.未严格实行材料进场报验制度、现场使用的材料与设计不符、项目无设备进场报验单。6.未履行企业定期检查制度和项目部例检制度。检查记录与现场实际明显不符;7.项目管理人员名单未经公司审批;8.施工企业存在经公司审批的项目管理人员名单与实际不符的现象,特别是区外企业,项目管理人员名单未经入桂备案的现象突出。管理人员变更手续不全.9.工程资料与工程进度不同步;10.未执行工地例会制度;11.施工组织设计和专项施工方案无针对性
12.施工现场未执行《建筑施工模板及作业平台钢管支架构造安全技术规范》(DB45/T618-2009)
13.分项分部工程验收不严。一是验收组人员资格不符;二是验收走过场,现场实际与验收记录不符;三是验收时不检查质量保证资料;四是违反验收程序,前道工序未验收即已进入下道工序。14.无施工许可证 15.施工图未经审查
16.未在现场公示项目部人员名单、照片和签名样式等 17.未认真执行保障性安居工程质量安全公开承诺制度。18.未建立安全生产责任制 19.未按规定配备专职安全员
20.施工组织设计、专项方案未经审批或无针对性
21.未采取书面安全技术交底或交底内容不全面或交底未履行签字手续 22.新入场工人未进行三级安全教育和考核 23.监理项目部从业人员无公司任命授权文件,24.监理人员履职不到位;
25.现场监理工作由监理员操控;监理资料由监理员越权代签字;
26.总监未认真组织编制监理规划,监理规划和监理实施细则使用通用版本,无针对性; 27.总监未认真审查施工单位的施工方案; 28.总监不主持召开工地例会。
29.监理企业未履行定期检查制度和项目监理机构不按要求开展周检。30.未完全配备符合条件的专业监理工程师。
31.检查发现问题也未发出书面通知要求施工企业整改;检查记录与现场实际不符;
32.监理日记不按单位工程记录,无记录人签名,只记录施工单位工作人数和工作内容,绝大部分均未记录巡检情况和存在问题。33.材料报验和工序验收把关不严。
二、工程实体质量方面
1.混凝土同养、标养试块留置不规范。未按桂建管〔2011〕8号文要求刻写相关信息,未按规定放置在代表部位旁,无积温记录。
2.混凝土、砂浆为现场搅拌,质量控制措施不落实。未按要求控制原材料计量 3.钢筋抗震构造措施不完善。
4.钢管和门式架支撑普遍存在缺扫地杆、封顶杆、水平加固杆和剪刀撑现象。5.不按方案施工。
6.抗震设防区未按抗震设防设计和标准规范的要求施工。未按要求设置构造柱和水平联系梁,漏设构造柱和水平联系梁,构造柱主筋未与上部结构有效连接或主筋搭接长度严重不足,构造柱未设马牙槎,少设拉结筋,拉结筋长度严重不足且末端未设弯钩,端部和搭接区内箍筋未加密,抗震箍未做135°弯钩,弯钩平直段长度不足10d。构造柱、构造梁设置图纸标示不清、施工留设不规范。构造柱和构造梁的浇筑质量较差。
7.采用超出允许范围冷拉或冷拔而造成直径偏小的钢筋 8.配合比牌设置不规范。
9.使用砂浆塑化剂无出厂合格证、无进场复检报告、无型式检验报告。
10.模板支撑体系不规范。采用木模板支撑体系的工程,普遍存在立杆间距过大、尾径不足、斜支、垫脆性材料等现象;多数工程梁下、板下横担采用圆木;板端无顶撑;部分工程拆模过早,未能保持两层支撑体系。使用钢管和门式架支撑的工程,存在缺扫地杆、封顶杆、水平加固杆和剪刀撑现象;大横担采用钢管无防滚动措施;顶托、底托外伸长度超过规范要求;采用梁板混搭体系、板边无立杆,与方案严重不符,改变模板体系传力方式,留下质量安全隐患。
11.墙体水平灰缝不平,灰缝不饱满,局部竖缝透光;在墙体上(包括外墙)随意留设脚手眼;马牙槎留设不规范;门过梁搁置长度达不到规范要求;卫生间翻边高度不足120mm或未做卫生间翻边。
12.工程钢筋制作安装通病较多。如:剪力墙柱钢筋偏位,变截面钢筋处理措施不规范,柱主筋焊接偏位等。
13.模板支撑搭设不规范。模板搭设未按方案执行,方案制定错误,未严格执行广西地方标准DB45/T618-2009。木支撑的模板工程搭设缺少水平拉结,垂直度差。木模板支撑体系普遍存在立杆间距过大、尾径不足等现象。
14.桩基检测不规范,桩基工程未能提供基桩承载力检测报告。
15.盲目施工、野蛮施工现象。项目部未制定施工方案,质量安全保证资料不全,现场管理人员不交底、不带班。
16.项目对重要质量验收程序不重视。在进行地基与基础分部工程验收时,勘察单位项目负责人、设计单位项目负责人、项目总监理工程师均未到场,且未通知当地监督机构有关人员到位监督,却已完成分部工程质量验收.17.未按要求留置抹灰砂浆试块
三、安全文明施工方面
1.基坑及边坡。人工挖孔桩开挖,无专用通风设备、无应急软爬梯、无每日施工前通风记录、无活体试验记录。
2.临边洞口防护。施工现场安全通道不明显、楼层临边洞口防护不及时、不严密。临边和洞口防护不严、物料提升机在楼层。电梯临边、电梯内无防护。多数施工现场安全通道不明显,楼层清理、临边防护不及时。不少工地安全网破损严重,未及时更换。一些工地在一楼随意设置出入通道,未搭设防护棚。
3、特种作业人员管理不严格。绝大数受检工程的特种作业人员名单未按规范要求报送监理审查,有的无特种作业人员汇总表,有的特种作业人员未持建设主管部门颁发的有效上岗证件,有的证件逾期未年审。
4、施工临时用电。临时用电没有采用TN-S接零保护系统,未实行三级配电两级保护;不少用电设备未做保护接零。PE线设置不规范、电箱无标识、一箱多闸现象较普遍。建筑电工操作技能和项目管理人员的用电管理水平有待提高。分配电箱内无隔离开关、无分路标识;开关箱内无隔离开关、漏电保护器参数选择错误;楼层移动式开关箱绝大部分控制多台设备,部分用电设备接线采用活接;一些配电箱设置位置不合理,人员难以到达;楼梯照明灯具无防护罩、未采用36V安全电压;大部分工地无电工对用电线路的维护记录。违规使用已明令禁止使用的HK型闸刀开关
5、脚手架。大部分悬挑脚手架未做到立杆根根落地,且无加固处理措施,大部分架体悬挑层竖立面未做防护;架体上堆放杂物过多,易造成物体打击事故;部分工程架体未跟上施工进度;一些落地式脚手架连墙件设置不符合要求,顶撑数量不足,架体晃动明显;部分架体内封闭不严,个别架体上无任何一块脚手板;一些工地为了搭设方便,剪刀撑的角度过大,超出规范要求;部分脚手架基础未硬化。脚手架连墙件设置不符合规范和方案要求,架体内封闭不严,与建筑物空隙处超过规范规定,施工首层和作业层均未满铺脚手板。悬挑式钢管脚手架悬挑面未封闭严密。悬挑架部分悬挑槽钢悬挑与锚固不符合要求的现象较为普遍。
6、文明施工。无围挡、无大门、无五牌一图;项目生产区、办公区、生活区无明显分隔;施工场地未做硬化处理、无组织排水。工地缺少安全标识、标牌,无安全生产宣传气氛。未严格实行封闭施工;多数施工现场材料堆放不整齐;
7、物料提升机。物料提升机无“一视频两联动”装置、无停靠装置或失效;无楼层运输通道安全门、无吊篮安全门、安全通道和停靠装置;物料提升机自由高度超过6m。物料提升机采用缆风绳固定,设置不对称、直径偏小、地锚不规范。采用附墙杆的提升机,附墙杆非原厂生产的标准件。绝大部分的物料提升机未经验收、未经检测合格、未经备案、无养护资料。,无专人操作。井架和塔吊安装、拆卸单位资质和人员未按规范要求申报,未经检测就投入使用。
8、塔吊。所抽查的塔吊,绝大部分经过检测合格,也进行了备案。突出问题是:司机配备不足(应一台塔吊配2名司机)、缺信号、司索作业人员;卸料平台无限荷标识、平台与脚手架之间的空隙未做防护、只设置一道钢丝绳;塔吊用的吊具,部分只采用一个绳卡、编织长度小于300mm;大部分塔吊无使用说明书、无日常维护保养资料。
9、施工升降机。绝大部分的施工升降机未按规范要求每年对防坠安全器进行标定,未按要求每3个月做一次坠落试验。
第五篇:电子商务发展中存在的安全问题
:我所了解的电子商务发展中存在的安全问题。
可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程,没有人敢用,安全问题非常重要。
怎么看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便的地方,可能会带来成本和代价。在安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。1:程序安全
程序安全中的问题主要包括程序漏洞和恶意代码,众所周知,程序开发中的微小需错误都可能造成很大的安全问题,所以不安全编程引发的问题就会被一些恶意的攻击者所利用从而改变程序的执行流程,譬如:缓冲区溢出不完全输入验证以及“检查时刻到使用时刻”错误恶意代码是以破坏为目的的一类程序,例如病毒 蠕虫 特洛伊木马 隐蔽通道分析 因此人们对如何保证软件质量预防程序漏洞或恶意代码应当引起极大的关注。2:操作系统安全
随着电子商务运行环境通过网络访问共享资源的未知用户的增加,如何提供验证机制是一个很重要的问题 3:数据库安全
当前越来越多的应用系统依靠数据库管理系统来管理和保护大量的共享数据,数据库管理系统也成为计算机信息系统的核心部件,因此他的安全问题也变得越来越重要。4:网络安全
网络安全是信息系统安全的基础,它可以通过采用各种技术和管理措施来防御各种网络攻击,保证网络系统正常运行,并确保网络数据的可用性,完整性和保密性。随着INTERNET的发展,网络丰富的信息资源给用户带来了极大的方便,通过INTERNET 进行的各种电子商务业务也日益增多,但是由于INTERNET的开放性,电子商务应用和企业网络中的商业机密均成为攻击者的目标,因此网络安全问题也成为各种网络服务和应用能否进一步发展的关键问题之一。二:电子商务过程中遇到安全问题的解决方法。1:关于程序安全。
编程人员可以使用对缓冲区溢出攻击具有抵抗力的标准库来防御缓冲区溢出攻击。采用数字签名阻止漏洞被攻击者利用,采用软件工程控制等等方法来保护程序的安全。2:关于操作系统安全。
可以通过自主访问控制,强制访问控制给予角色访问控制等办法来控制访问权限 3:关于数据库安全。
可以采用数据库访问控制,完整性约束,推理控制和秘密通道数据库加密以及数据库用户管理来保护数据库的安全。4:关于网络安全。
防火墙是一种用来保护本地系统的设备,以防止网络攻击破坏系统或网络,另外虚拟私有网络和入侵监测系统能够阻止部分网络攻击但是要想全面防范,则还需要在网络服务或应用程序开发阶段就要开始仔细考虑安全因素这样才能减少程序漏洞,不要随意相信用户输入的任何数据对所有输入数据进行检查,此外最小特权原则也是有效的安全策略,系统管理员可以只赋予服务器上的程序所需要的最低权限,仅允许其访问完成任务所必需的资源。三:电子商务安全对策
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。这里我们具体要了解的是商务交易安全及安全措施。商务交易安全:
当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
1窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。2篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
5信息保密性
交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
6交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
7不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
8不可修改性
交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。安全措施:
在早期的电子交易中,曾采用过一些简易的安全措施,包括:
部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。
此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。
主要的协议标准有:
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
主要的安全技术有: 虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。目前,美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。电子商务安全认证中心(CA)的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。对数字证书和数字签名进行验证。对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于B C电子商务模式的层次性结构。
由于B B电子商务模式的发展,要求CA的支付接口能够兼容支持B B与B C的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
近年来,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都已经走向成熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:
由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点: 强大的加密保证
使用者和数据的识别和鉴别 存储和加密数据的保密 联网交易和支付的可靠 方便的密钥管理
数据的完整、防止抵赖
电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
四:关于《中华人民共和国电子签名法》
该法所涉及的技术问题是电子签名问题。电子签名也称作“数字签名”,是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章,它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。所谓电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,通俗地说,也就是通过密码技术对电子文件所进行的电子形式的签名。电子签名运用一定的加密技术,将签名人信息转化为加密状态,并在需要时进行解密还原。电子文件在经过电子签名后,就可以用来识别签名人的身份以及文件内容是否是签名人所认可的原本内容。目前制约因素主要有:国内电子签名的软硬件普遍不过硬,国内真正有实力的认证企业屈指可数,其中很多没有任何国家资质,只是在行业和go-vern-ment内部使用,而且国内直接提供电子签名技术的企业更是凤毛麟角;其次,认证标准有待互联互通,在目前情况下,电子签名认证采用的技术标准不止一个,这也会在很大程度上影响电子签名的普及应用。
除了法律和技术问题之外,电子签名或许还要面对“心理”门槛。一位有多次网上购物经历的张老师,她对中国经济时报记者说,大宗交易我不敢信任电子签名,而像百元左右的小宗交易,又觉得不需要电子签名。电子商务的法律完善集中以下领域:数据与隐私权保护、电子合同、电子支付、电子商务的消费者保护、信息安全、电子商务税收、知识产权问题、相关程序法律问题。目前的法律主要解决了信息流方面的问题,包括电子签名、电子合同、电子记录的法律效力,但是对于信息流的知识产权、信息监管以及资金流的电子支付、电子发票、网上证券、网上银行与物流方面的所有权凭证的转移等没有涉及。我国《电子签名法》明确和规范了以下几个方面的问题: 1.明确了电子签名的法律效力。
2.明确了电子签名所需要的技术和法理条件。3.对电子商务认证机构和行为做了规定。
4.明确了电子商务交易双方和认证机构在电子签名活动中的权利、义务和行为规范。5.明确了“技术中立”原则。
6.增加了有关go-vern-ment监管部门法律责任的条款。
随着这部法律的出台和实施,电子签名将获得与传统手写签名和盖章同等的法律效力,意味着在网上通行有了“身份证”。专家认为,这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。这部法律规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。尽管开始实施的《电子签名法》只是我国电子商务历程中一部从局部入手的法律,但是它的诞生却是我国在信息化领域探索法治管理的一个良好开端。这部法律将建立良好的网络信用机制和高效的网上交易途径,对我国电子商务的发展以及网络经济繁荣起到极其重要的促进作用。《电子签名法》实施后将对我国电子商务的发展起到极其重要的促进作用。在我国网络信用与数据电文法律效力保障缺乏的情况下,《电子签名法》的实施,使网上数据电文获得法律效力保障,这在很大程度上消除了网络信用危机,加强了电子商务的安全性,使得电子签名与传统手写签名和盖章有同等的法律效力。另外一个好处就是降低成本,提高效率。《电子签名法》的出台为我国电子商务发展提供了基本的法律保障,它解决了电子签名的法律效力这一基本问题,并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。有了《电子签名法》的相关规定,电子商务发展中的许多问题就有了解决的依据,真正的网上交易将会逐步发展起来,制约电子商务发展的一些问题也会在发展中逐步解决,我国电子商务将会很快走出无法可依、盲目无序的状态。电子签名法的通过,标志着我国首部“真正意义上的信息化法律”已正式诞生,已经于2005年4月1日起施行。