第一篇:1308边界及1209工作面灌浆脱水安全评估
1306、1308、1209采空区灌浆脱水安全评估
一、采空区相邻位置关系
1306已采工作面北部和西部为1570中巷,东部为1308已采工作面,南部为1308边界;1308工作面北部为1570中巷,南部为1308边界,东部为1501已采工作面,西部为1306已采工作面;1209已采工作面东部1502已采工作面,北部为1308边界,西部为1540中巷,南部为长征煤矿破坏区。
二、灌浆系统
在原三矿采土场设置3台100D45×7型水泵,配套755型水枪,一套灌浆系统向该区域各灌浆点输送黄泥浆,进行灌浆防灭火治理。
本区域灌浆系统:地面采土场→ 三号回风主井→车场→1540北中巷→三采区轨下→ 1500北大巷→1500北一材上→ 1308边界→灌浆点。
三、灌浆脱水量统计分析:
从2007年10月至2012年5月,1306、1308及1209采空区灌浆区域共计灌浆8.7万m,灌入水量26.2万m,脱水量为24.3万m,剩余水量为1.9万m。
因受矿山压力影响,1306、1308、1209工作面隔离煤柱破损灌浆水经1502采空区从1500二石门和灌浆密闭及周围巷道脱出,剩余水量被剩余煤体吸收。
四、存在问题:
33331306、1308及1209工作面采空区暂不存在积水影响,今后在灌浆治理过程中,可能有积水存在。
五、安全措施:
1、灌浆期间巡浆工随时观察1306、1308及1209灌浆密闭及其周围巷道的脱水量及压力变化等情况,若脱水点脱水量及压力增大时,应立即停止灌浆工作,待脱水量及压力减小时,采取间歇性灌浆措施,防止溃浆事故的发生。
2、在今后灌浆过程中,要加强对各脱水点脱水量观测,并进行分析评估。
六、评估结论
该区域的灌浆剩余水量主要积存在各工作面采空区,少量吸附在煤体裂隙中,1500二石门脱水正常,不存在大量积水。今后在灌浆治理过程中,可能有积水存在,采取上述措施,将积水隐患降低至最低程度,确保安全生产。
第二篇:采掘工作面安全班评估制度
采掘工作面安全班评估制度
采掘工作面安全班评估是运用定性、定量的方法,对采掘工作面安全隐患的辨识评估,包括生产过程中的人、机、环境因素,即生产系统、安全技术装备、安全设施、安全管理等方面,目的就是为了防止和减少安全事故的发生,保障职工生命和财产安全。
一、《采掘工作面安全评估表》采用百分制考核办法,评估得分等于各专项评估实际得分之和。评估项目中的小项按规定必须有的,按评分办法评分;可以没有的,不扣分。
二、安全评估考核等级按工作面安全状态和管理效果分为:
(一)达到工程质量标准化的工作面(A):安全评估得分90分以上(含90分)
(二)具备安全生产条件工作面(B):安全评估得分为80分以上(含80分);
(三)基本具备安全生产条件工作面(C):安全评估得分为70分以上(含70分);
(四)不具备安全生产条件工作面(D):安全评估得分为70分以下;
三、被评为具备安全生产条件工作面或基本具备安全生产条件工作面的必备条件为:
1.本班杜绝了工伤事故和三级以上的非人身事故。
2.机电设备无失爆现象。3.无严重违章或多人次违章现象。
4.无危及安全生产的隐患。
5.各类安全生产系统健全完善。
6.生产现场有符合矿规定的工长、区队管理人员跟班。
7.A级工作面工程质量必须为优良品,B级工作面工程质量必须为合格品。
四、考核等级为C级的工作面,应边生产边整顿;考核等级为D级的工作面,应长期停产整顿,并挂红牌,罚款处理。
五、采掘工作面安全评估实行班评估,由安监员负责考核。安监员必须认真负责,实事求是,每班考核两次。安监员进入工作面后首先进行第一次考核,对工作面各类不安全因素及工程质量依照安全评估表内容逐项考核,对存在问题的项目打“×”号,并责成工作面区队跟班领导和班组长进行整改。合格项目打“√”号;安监员在交接班之前进行第二次考核,重点落实第一次检查处的问题的整改落实情况及新的不安全隐患,并根据两次的考核情况进行综合打分,考核分数主要以第二次考核结果为准,分数填在第二次检查结果内,同时对当班存在的主要问题进行总结。如第一次查出的问题在第二次考核时没能按期解决,除给予“黄牌”警告外,并加倍扣分,对当班工区跟班管理人员和班组长进行罚款;若得到整改后可得该小项的一半分数。考核结果由被考核单位的班组长及区队长进行签字认可。安监员弄虚作假或班组长、区队长无故不签字的,按照天池公司有关处罚条例加倍处罚。
山西马军峪煤焦有限公司
2011年1月10日
第三篇:综采工作面安全技术措施
二
综采工作面安全技术措施
第一节
一般规定
1、坚持“安全第一,预防为主”的方针,坚持做到“不安全不生产,措施不落实不生产,隐患不排除不生产”。
2、每一位职工上岗前必须认真学习本作业规程和进行专业培训,学习后人人签字,并进行考试。未经考试和培训,没有取得资格证书等,不得上岗作业。
3、各特殊工种必须经过专业技术培训,取得合格证后方可持证上岗,严禁无证操作。
4、工作面在回采期间,各工种必须遵守“三大规程”和《矿山安全法》、《矿山安全监察条例》规定,按要求正确作业。
5、任何人演进乘坐运煤机械和运料车辆,加强自主保安,自我防范意识,做到“三不伤害”。
6、正确处理安全与生产,安全与质量的关系,做到安全文明生产。
7、上班前不得酗酒,上班前必须开好班前会,领清工作任务,上班时注意好安全事项。
8、跟班队长、班长、安监员要在各自职责范围内切实负起责任,全面协调各生产环节,严格按《煤矿安全质量标准化标准及考核评级办法》、《作业规程》、《操作规程》文明施工,做到“安全第一,质量第一”。
9、所有作业人员必须持有效岗位证件上岗,严格执行各项规章制度,不违章指挥、不违章作业、不违犯劳动纪律。
10、各班组长必须按照《作业规程》规定的工艺及工序文明作业,严禁盲目蛮干。
11、各作业人员要做好设备的检查、使用、维护和保养工作。
12、各岗位工要各负其责,做好本质范围内的文明生产工作,做到设备完好,无浮煤、杂物、积油,设备运转灵活。
13、队长、班长及各司机必须在现场进行口对口交接,交清设备运转情况、存在故障机注意的事项等,接班人在接班后要详细检查设备,发现问题及时汇报,下班后及时填写跟班记录。
14、检修班各工种人员必须检修好每台设备,保证检修质量,定期定量进行各种润滑,使设备完好率达到90%以上,保证设备24小时内不影响生产,下班后及时填写设备检修及运行情况记录。
15、各班按照划定区域打扫好各自范围内的工业卫生及工作面卫生,做到巷道水沟畅通,无积煤、积水、煤泥很杂物等。
16、加强工程质量验收工作,对不合格的工程质量及存在的问题,及时整改,达到质量标准化要求。
17、各岗位必须严格执行岗位责任制、现场交接班制度、设备检修制度、质量验收制度和事故分析等有关制度。
18、非工作人员或陌生人进入工作面时必须讲明情况由专人引导,并停止割煤、移架、移溜工作,严防事故发生。
19、所有人员必须爱护通风、防尘、安全监测系统,严禁多班通风,防尘系统日常维护管理由通灭队进行安排。
20、严禁空顶作业,严格执行敲帮问顶制度。
21、加强对火工产品的安全管理,放炮工的具体操作必须按《煤矿安全规程》执行,对炸药、雷管的领用必须由专人负责,并配备专用箱。在使用过程中禁止将炸药、雷管随意放在支架和电缆槽上,对剩余炸药、雷管必须由专人用专用箱交回炸药库,禁止随意乱藏、乱放。
22、要爱惜综采设备,发现异常,必须立即停机处理,严禁带病运转。
23、严格遵守公司安全生产要求。
第二节
顶板
一、初采初放期间顶板管理的安全措施
依据对该面顶板情况的类比分析,初次来压步距为15~30米。
1、公司成立初采初放领导小组,全面跟班负责协调工作面的处采出放及安全工作。按照“设备完好标准”对工作面所有机电设备逐台检查,保证所有机电设备润滑良好,油位、压力正常,保护装置齐全可靠,接线符合标准,杜绝失爆。并从初采初放开始,应详细记录当班安全工作初采初放进展情况,及时汇报调度室或初采初放小组组长。
2、工作面安装验收后,由初采初放领导小组全面负责对工作面所有设备进行单机试运转,并进行调试,当单机运转正常后,再依照由外向里的顺序进行联合试运转,确保初采期间设备运转正常。
3、支架尾梁后顶板垮落时,即可开始由底到顶放煤,其放出量不超过顶煤总量的30%,随工作面向前推进,逐渐提高顶煤放出量。
4、工作面来压,直接顶初次垮落后,提高顶煤放出量,并保证采空区中有一定的充填高度,待顶板弯曲、下沉、断裂跨落后,即工作面初次来压后开始正常放煤,工作面初采初放期间,20m范围内顶煤出率达到50%。
5、出彩期间按照《作业规程》规定,架设好采场,并加强端头及两道超前支护,支柱完好、穿靴,柱头绑扎可靠。
6、严格按循环进度移架,及时支护顶板,尽量缩小空顶区及端面距。
7、工作面出现来压预兆时,加强跟班检查,加强支护,及时汇报、记录来压情况。
8、初采期间加强设备检修,乳化泵、液压系统完好无漏窜液,泵站压力达到30Mpa,乳化液浓度达到3~5%。
9、工作面来压时尽量加快推进度,直至初次来压后正常推进。
10、如工作面开切眼推完后,如顶煤仍不垮落,要强制放顶,直至顶板完全垮落。
11、工作面周期来压前及来压时,加强工作面及两道顶板管理,严防架前严重冒落压死支架及前部刮板输送机,压垮工作面超前巷道。
12、初采初放期间加强上下端头支护,保证畅通无阻,行人宽度不小于0.7m。
13、初采初放期间两巷备用足够数量的支护材料,以备来压时支护用。
14、工作面初采期间,两道超前支护距离均不得小于40米加强支护。
15、工作面两道行人、通风畅通无阻,并在指定地点储备当班所需的油脂、易损件维修工具及备用材料,综放工作面通风、防尘、防火、防瓦斯的设施必须齐全,并符合《煤矿安全规程》及有关文件要求。
16、初采期间,若压力显现不十分剧烈,应减慢工作面推进度,并反复升降支架,以便顶煤及早破碎跨落。
17、按以上方法,边采边放,只有经领导小组或技术人员现场鉴定、确定初采初放结束,工作面一切工序可按《作业规程》正常进行。
18、初采期间,严格按《作业规程》规定的生产工艺进行,割煤时,若煤壁压力大,有冒顶。片帮等预兆时,必须拉超前支架及时伸出前探梁和护帮板,煤壁附近严禁行人。
19、工作面所有支架必须保证有足够的初撑力。
20、初采期间,严把工作面工程质量关,移架时利用激光指向仪或工作面拉线,保证支架齐、直,同时要注意调整好支架间距,防止发生倒架、咬架等现象。
21、工作面在初采及工作回采期间检查瓦斯浓度每班不少于2次。
二、工作面正常生产时的顶板管理 严格执行“三大规程”,不断提高工作面顶板支护质量,保证工作面安全文明生产,工作面顶板管理,必须按以下要求进行:
1、端头架及时移设到位,不滞后,超前抬棚“一梁三柱”柱头绑扎可靠。
2、超前支护段行人宽度不小于0.7m,高度不低于1.8m。
3、超前支护无断梁折柱,梁柱齐正、不迈步射箭,无单挑梁和卸载柱。
4、超前支护完好,无空帮、空顶、漏顶现象。
5、端头支护超前点柱打成一条直线,抬棚梁平正、柱腿齐正,支撑有力,柱头绑扎,棚、柱距符合要求,保证支护质量,保证巷道高度和宽度。
6、端头支架销轴、十字头、推移缸、管路、操纵阀等完好,连接可靠,支架拉移到位,不挤压管缆,顶梁不起弓,架下浮煤清理干净。
7、超前支护作业时,严禁他人在该段内行走逗留。
8、超前支护背好顶帮,严防冒顶、片帮及漏矸伤人。
9、超前支柱必须打在同一竖直平面内,顶梁平正支实,棚距一致。
10、必须及时更换断梁折柱,严禁使用漏液、卸载或已损坏的单体支柱。
11、超前支护作业时,严格执行敲帮问顶制度。
12、在松软的顶板上打柱时,支柱要穿木鞋带木帽,初撑力不小于5KN,柱头必须用铁丝绑扎,以免崩柱伤人。
13、所有单体柱支撑有力,柱窝挖到实底且深度不小于0.1m。
14、回撤具有一定悬露面积的支护支柱时,必须先打好临时支护后在回柱。
15、工作面过拐点期间加强超前支护,严防冒顶事故发生。
16、严格执行先支后撤的原则,同段巷道内使用单体柱的规格必须统一。
17、不超前卸支柱,卸支柱时人员站在安全地点,避开来压支柱突崩方向。
18、回柱时应收完柱芯,柱体插入底板较深时,掏出柱体后再回,严禁强行回柱。
19、工作面上端头作业不得和工作生产平行作业。
20、严禁站在转载机槽内和未加盖而运行的转载机挡板上上梁、挑顶等。
21、每班必须及时补打超前支柱,保证超前支柱支护距离不小于40m。
22、转载机运行时不得进行架棚、撤钢支架等端头作业。
23、必须及时补打推移转载机时卸掉的超前点柱。
24、端头架及转载机拉移不动时,停止拉移,查明原因,严禁强行拉架。
25、在煤壁附近或前部刮板输送机上工作时,必须严格执行敲帮问顶制度,并可靠闭锁前部刮板机,及时伸出前探梁并打开护帮板支护顶板及煤帮。
26、支架前后齐直,高度统一,符合要求,不高低错茬,顶梁平行顶板,不前倾后仰,前探梁及时伸出护顶,尾梁升起,插板适当伸出,确保顶部矸石不窜入后部刮板输送机。
27、煤壁侧有人工作时,必须闭锁采煤机及前部刮板输送机,并护好顶帮。
28、采煤机割工作面上下口,人工请煤时,采煤机必须停止运转或严禁人工在上下端头及距采煤机前后5m范围内清煤,脱开离合器,严防伤人。
29、割煤时及时收回前滚筒处支架前探梁,卧底适量,严防滚筒割前探梁缸及护帮板等。
30、移架时注意好各部件动作情况,严防发生事故。
31、支架自降、管路漏液、咬架时,及时处理;管路带压或漏液时必须先释放压力后再进行处理。
32、移架时,本架下和前后3架内不得站立其他人员。
33、在最小控顶距下放煤,不得在采煤机运行区段内放煤,严禁架前放煤。
34、工作面控顶范围内,顶底板移近量不大于100mm/m。
35、工作面顶板不出现台阶下沉,支架顶梁接顶严实,无浮矸;底板跟运输、回风巷道底板在同一水平,不抬高不降低。
36、支架前梁至煤壁顶板冒高不得大于300mm。
37、支架排成一条直线,偏差出超过±50mm,中心距不超过±100mm。
38、支架顶梁平行顶板,最大仰、俯角小于7°。
39、相邻支架错茬高度不超过侧护板高度的2/3,支架不挤不咬,达到初撑力。采高3.5m,支架被压低时及时挑顶,严防支架过低放不出顶煤或压死支架。
40、煤壁平直,不留伞檐,煤壁垂直顶板板。
41、及时移架护顶,追击作业,伸出支架前探梁,端面距不超过300mm,接顶严实。
42、压力大时,移架前要绞好上下口,严防发生片帮、冒顶等事故。
43、转载机运转时不得回收岩帮侧托梁及金属网等。
44、单体支柱应按有关要求及时进行检修和做压力试验,不合格的单体支柱不得使用。
45、铁与铁相接触的支护处,其间要夹填适量木楔,以防突然来压时崩脱伤人。
46、升降工作面两道支护支柱时,要稳妥均匀进行,支柱达到初撑力后应停止升移。
47、上梁时要将梁、柱放稳,严防柱倒伤人,手扶在不易被挤压的地方。
48、运输巷超前支护段作业时,检修工在没有和端头支护工取得联系的情况下,不得随意开停转载机。
49、乳化泵、支架安全阀必须经专业部门的校验合格后方可使用,不得随意调整安全阀的整定压力。
50、工作面顶底平直,不起伏,无拱形;煤壁平直,不留伞檐。
51、开采前备足单体液压只主机支护材料,两端头及两道超前支护必须符合规定,否则不准开采。
52、煤壁要割直,顶底板割平,确保液压支架接顶严密。
53、工作面回采时顶板顶煤破碎期间,采用带压擦顶顺序移架,以防松动顶板,同时伸出前探梁和护帮板,减少空顶面积。
54、顶板压力较大时,要加强支护,同时加快工作面推进速度。
55、当处理冒顶条件不具备时,严禁人员进入冒顶范围内作业。
56、处理片帮、抽顶事故,必须迅速快捷,由外向里,自边缘向中央,在小范围,循序渐进,并有专人观察顶板情况,做到退路畅通,物料、工具齐全,此项工作有跟班队长和班长现场统一协调指挥。
57、处理片帮、抽顶等作业时,必须先停掉采煤机、输送机并闭锁,同时要挂号安全防护网,工作地点以下严禁站人,防止每块滚落伤人。
58、放顶要控制其放出量,杜绝超前出顶煤,防止出现切顶事故,防止空顶、片帮,保持支架接顶严实、支撑有力。
59、距冒顶区5m范围内严禁放顶煤。
60、处理局部冒顶前,必须对铆钉去周围加强支护,并检查冒顶区域的安全情况,冒顶区应架设物料充填处理。
61、要求回采过程中加强人工上下口修顶、修底工作机上下端头维护工作。且每班要有专人观察工作面片帮煤机上下端头支护,发现问题及时处理;工作面人员行走时,严禁在前立柱前方行走,防止片帮煤伤人。
第三节
“一通三防”与安全监控
一、通风与防瓦斯
1、加强矿井通风系统、设施、设备管理,保证工作面有足够的供风量。
2、严禁损坏或随意打开风门,造成风流短路。
3、加强两巷及工作面的顶板管理工作,保证有足够的通风断面。
4、当巷道局部0.5 m3空气内瓦斯浓度超过1.0%时立即采取措施进行处理,当附近20m内瓦斯浓度达到2%时,必须停止作业,撤出人员,切断电源,进行处理。
5、工作面停风时及时撤出人员到新鲜风流中。
6、因停电等恢复通风后,应先检查瓦斯浓度,待确认安全无误后方准人员进入工作面。
7、工作面及两巷气体检查每班不少于两次。
8、工作面气体不正常是及时汇报调度室,并采取措施进行处理。
9、严禁人员进入盲巷等瓦斯超限区或气体不明区。
10、工作面两巷进入采空区后,必须及时采取放顶措施,严禁其滞后距离达到3m以上。
二、防灭火
1、所有入井人员严禁携带烟草恶化点火物品。
2、严禁在工作面及硐室内存放汽油、煤油,严禁泼洒剩废油。
3、工作面检修所用润滑油、面纱、布头和纸等,必须放入盖严的铁筒内,并有专人定期运送升井处理,不准在井巷内内乱堆乱放。
4、工作面存放油脂的筒盖必须盖严,且数量不能超过当班所需用的最大量,对当班所剩的油脂要及时升井处理。
5、提高顶煤采取率,减少采空区遗煤,工作面有发火征兆时加快推进度。
6、及时清净输送带下浮煤泥等,及时检修更换磨损的托辊,防止输送带跑偏、托辊摩擦着火。
7、及时清扫、冲洗两巷及工作面支架等上的煤尘,使其经常保持干净。
8、不得向采空区遗弃背板等易燃物。
9、严禁井下敲打、拆开、撞击矿灯。
10、工作面不得进行电气焊作业,如必须进行时,工作地点至少备有两台灭火器,且每次都必须制定安全技术措施,严格按措施作业。
11、井下使用电气焊,运输氧气、乙炔瓶必须有瓶口保护罩,且两瓶不得在同一辆车上装运,在矿车上运输时,矿车必须有盖。
12、工作面遇有坚硬夹矸时,不得用采煤机硬割,以免产生火花,引起火灾。
13、无风或微风时不得进行生产作业。
14、风流中瓦斯浓度超过1.0%或CO2浓度超过1.5%时必须停止工作,撤出人员,采取措施,进行处理。
15、工作面老塘侧之后较长时,必须要及时采取措施,使工作面上下隅角架后顶板冒落严实。
16、检查工作面气体要详细、准确,并且每班不少于两次。
17、杜绝一切火灾,预防生产中各种事故的发生。
18、不得在井下直接用铁对铁砸东西,以免发生火花引起火灾。
19、当工作面大块煤卡住放煤口或有大块矸石时,严禁用非正规爆破的方法进行处理,工作面严禁放明炮、糊炮。
20、工作面爆破前后严格进行洒水降尘,爆破采用水泡泥。
21、两巷必须采取综合防灭火措施。
22、注浆管路不漏、不赌,保证可向采空区随时注浆。
23、两巷中部要存放一定数量的灭火器材,所有人员都必须熟悉灭火器材使用方法。
24、两巷隔爆水棚,必须按要求煎炒、加换水。
25、工作面各处喷雾齐全完好,生产时及时打开,采煤机割煤时必须喷雾。
26、电气设备严禁失爆,严禁使用明接头、“鸡爪子”、“羊尾巴”等方式接线,接线必须使用防爆接线盒。
27、严禁带点维修、搬迁电气设备。
28、液力耦合器要按照说明书的要求加入一定量的介质。
29、工作面回采结束后,必须在45天内进行永久性封闭。
30、采空区或巷道中出现自然发火征兆时,立即报告调度室,采取措施进行处理。
31、井口20m范围内严禁吸烟。
32、当出现外因火灾时,立即就地取材进行抗灾处理,并立即报告调度室,及时撤出受灾还威胁的人员。三.防尘
1、工作面支架、采煤机、破碎机进出口、转载机机头、带式输送机机头等各处喷雾设施齐全,雾化效果好。
2、放顶煤时工作面支架上要进行喷雾降尘。
3、生产时及时打开各处喷雾降尘。
4、煤体干燥时,应超前打钻注水预湿煤体,以减少生产时的煤尘生成量。
5、输送机转载点必须安设喷雾装置,作业时进行喷雾降尘。
6、及时清扫、冲洗巷道顶帮、架杆、电缆、列车、设备及支架等上的煤尘。
7、加强个体防护,有尘地点工作人员均要佩戴防尘口罩。
四、安全监控
1、工作面采煤机上必须安置完好的便携式瓦检仪,且必须正常工作。
2、对回采巷道的瓦斯浓度进行可靠连续监测,如果浓度超限,立即采取措施进行处理。
3、所有的监控设备必须每月至少调试、校正一次,以使其真实反映工作面气体状况。
4、不得甩开工作面监控仪器上的电源。
5、当监控器报警时,必须要及时采取措施进行处理,不得盲目生产。
6、当监控仪器发生故障时,必须及时报告调度室进行处理,不得隐瞒不报。
7、在处理监控设备故障期间,必须有安全措施。
第四节
运输
1、所有司机必须经过培训,持证上岗。
2、开机前,全面详细检查设备各部件,确认无故障后方可开机。
3、开机前必须先发出信号,先点开两次,确认无危险后,方可正常开机。
4、前部刮板输送机机尾应安设防止人员掉入其中的护顶盖板。
5、在距采煤机3m范围内的地点工作时,必须闭锁前部输送机。
6、均匀放煤,前后刮板输送机不得长时间超负荷运转或重载启动。
7、在刮板输送机运行时推移,弯曲段长度不小于15m,之后采煤机15m。
8、刮板输送机过载后,严禁频繁起动,应卸载后轻负荷起动。
9、转载机推移后,后部输送机机头不得压转载机机尾轴。
10、前后刮板输送机与转载机搭接合理,不上下窜,机体平直,不起伏。
11、超前支护时严禁向转载机内清煤过多,开转载机前必须先开破碎机。
12、密切观察运行中的输送机各部件及运行情况,如出现卡链、跳链、输送带严重跑偏等现象时,立即停机,处理好后方可开机。
13、及时调整输送带跑偏,及时清理工作面洒落浮煤。
14、带式输送机机头、机尾部应设有人员误入滚筒等处的防护栏。
15、严禁乘坐正在运行的刮板输送机、带式输送机。
16、严禁用刮板输送机、带式输送机拉运钢支架、木头等无聊。
17、在未取得联系的情况下,任何人不得随意开停机。
18、行人不得跨越运行中的刮板机、带式输送机,必须跨越时,要有人停机并可靠闭锁输送机后跨越。不得在停止或运行着的输送机上站立或作业,不得靠着输送机休息。
19、带式输送机运行时,不得清理滚筒、托辊等上浮煤、煤泥及线绳等杂物。
20、破碎机入口处应设有防护罩,出口处应设有防止飞出的碎煤矸块打伤人员的防护物。
21、严禁用转载机拉运锚杆、被板等。
22、所回收钢支架等材料装车后必须绑扎可靠,严防洒落。
23、处理掉道时,人员不得站在侧面或可能危及人身安全的地点,并阻好车。
24、所以配件物料要定点码放,挂牌管理,严禁乱放,确保物料及时回收。
25、溜煤眼堵塞后,不得用水冲或用炸药爆破的方法处理。
26、处理煤仓是必须制定专项安全技术措施,并严格遵照执行。
27、工作面所用绞车底座四角用四根木柱四角打牢并升紧固定,迎山有力。
28、钢丝绳导向必须用导向滑轮,严禁用链环等导向,严禁用单体柱导向钢丝绳。
29、使用绞车前先认真检查钢丝绳、绳头、制动器、信号系统及电机风罩和润滑等,确认各处完好无误后方可使用。
30、绳头与所拉物件等连接可靠,以免脱绳伤人。
31、必须听清信号,信号不清时严禁开停车。
32、绞车收绳时钢丝绳排列整齐,严防夹绳、乱緾绳及钢丝脱离滚筒。
33、随时观察绞车的运行情况,发现不安全因素立即停车处理。
34、拉运重物时,严禁行人通过施工地段,在钢丝绳波及范围内不得有人工作或停留,严防甩钩崩绳伤人。
35、严禁用钢丝绳扛电机、护罩及滚筒大盘等,以免损坏。
36、严禁绞车超负荷运行,以免损坏。
37、严禁使用打结、死弯、严重变形的磨损超限的钢丝绳。
38、不得用绞车直接拉运和超重设备,导向要用滑轮。
39、轨道发生变形或不合格时,必须及时进行整修,达到标准。40、乘坐人车时系好安全链,不睡觉、不打闹。
41、头、手机工具器件等不得伸出人车外,长柄工具放在人车顶部圆筒内。
42、装卸单体柱等笨重器件时应轻装、轻放,严防损坏。
43、运输车辆上、下山时(带有坡度段),必须严格执行“行车不行人,行人不行车”的制度,严禁放飞车。
44、绞车司机、挂钩信号工必须持证上岗,并严格执行期操作规程。
45、车辆装载不得超长、超宽、超高,必须扎绑牢固。
46、使用绞车前必须全面、仔细地检查,各部位正常后方可使用。
第五节
机电
严格执行“三大规程”,不断提高工作面机电设备质量,树立质量与安全、质量与效益的辩证统一关系。严格按以下措施使用、检修机电设备、1、各司机、电钳工必须持证上岗,不得无证操作。
2、每一台在用设备各部件必须灵活、可靠,螺丝紧固,接线完好,不失爆。
3、遇有较硬夹矸或煤体时,采煤机慢速行走,不得强行截割,正常割煤时,采煤机不得超速行走。
4、严禁用采煤机割铁锚杆、锚索、钢支架及木头等。
5、采煤机停止运转时,用采煤机上的闭锁可靠地闭锁前部刮板输送机。
6、进刀时采煤要慢速行走,进刀进到距离不小于20M进刀后再推至刮板输送机。
7、停机前牵引手把归零,停机后脱开离合,切断电源,打开隔离开关。
8、停机前落下滚筒,使摇臂及滚筒上各齿轮得到充分润滑。
9、严禁强行挂离合,严禁重负荷起动采煤机。
10、及时清理机上浮煤矸,严防大块浮煤矸滚落伤人。
11、及时补全采煤机截齿和电缆夹等,截齿完好率大于95%。
12、割煤时机组上下3至5米范围内严禁行人或进行其他作业,采煤机行走前应先检查齿轨、溜槽及滑鞋等到是否完好。
13、及时取出上下口煤壁上的锚杆及金属网。
14、检修采煤机或需较长时间停机时,必须切断其电源,分离离合器、打开隔离开关。
15、确保采煤机喷雾、冷却良好,电气、液压、机械系统完好上。
16、乳化泵站完好,泵压力符合规定,无漏液现象。
17、严禁开清水泵,及时添加水和乳化油,严禁使用变质或不合格的乳化油。
18、泵站必须空载起动,且排空,不得带压起动。
19、停泵时,必须先停负荷,再停泵站,且要卸载。
20、输送机平直,不高低起伏,机头机尾保持一条直线,机头机尾不滞后不超前。
21、及时更换损坏的刮板、E形螺栓及托辊等,及时紧固各部件螺栓,保持设备良好。
22、工作面电缆槽、前后输送机机头、支架间、支架上、支架前后、两巷超前支护范围内、电机、减速箱、采煤机上浮煤杂物,工作面管路、电缆悬挂整齐,不挤压、不漏液、工作面无积水。
23、转载机、前后输送机电机和减速箱冷却良好,冷却水不进入工作面和煤流系统。
24、清理后溜大炭时,严防挤伤清理人员。
25、拉后输送机前搬掉大块煤矸,不挤压管路,推前部输送机前清净机道上浮煤杂物,不强行推移输送机。
26、支架锁轴、管路、密封、U形卡、安全阀、操纵阀等齐全完好,支架无漏窜液,立柱无自降现象。
27、作业完毕后支架所有手把归零位。
28、管路必须悬挂在不易被挤、压、碰的地方,以免破损或高压液体伤人。
29、移端头架前打好超前支护,清净转载机两旁和其下浮煤矸及杂物。30、移端头架时保护好各种管路和电缆,防止损坏。
31、移设端头架时支架锁轴、管路、转载机档板等齐全完好。
32、推移转载机时,两缸体同步伸出,不一次伸完,以免损坏推移缸等。
33、新的缸体使用前,升降几次,排尽空气,以免柱芯伤人。
34、弯曲、损坏的单体柱,必须及时升井检修,严禁使用折损的坑木和金属顶梁等进行支护。
35、工作面及两巷照明完好上,各电气设备保护装置齐全、灵敏可靠,无失爆现象。
36、工作面供电做到“三无、四有、两齐、三全、三坚持”和“十不准”,接线盒压板、压线有力可靠。
三无——无“鸡爪子”,无“羊尾巴”,无明接头。四有——有过电流和漏电保护装置,有螺钉和弹簧垫,有密封圈和挡板,有接地装置。
两齐——电缆悬挂整齐,设备列车清洁整齐。三全——保护装置全,绝缘用具全,图纸资料全。
三坚持——坚持使用检漏继电器,坚持使用煤电钻,坚持使用照明和信号综合保护。
十不准——不准带电检修或搬迁电气设备;不准甩掉无压释放装置和过流保护装置;不准甩掉检漏继电器、煤电钻、照明、信号综合保护;不准明火操作、明火打点、明火爆破;不准用铜铝、铁丝等代替熔继器中的熔体;工作面停风、停电未检查瓦斯不准送电;失爆设备和失爆电器不准使用;不准在井下拆卸矿灯;有故障的供电线路不准强行送电;电气设备的保护装置失灵不准送电。
37、严禁带电作业,带电检修、带电搬移电气设备。
38、所有电气设备都应设有标志牌,有接地装置,若设备出现故障,待查明原因检修好后方可送电。
39、定期检查测定并处理电缆、电机绝缘阻值及开关受潮情况。40、绞车反向转动时,要从远控按钮上操作,不得在开关上送反向电。
41、设备在进行检修时,要停馈电开关,并要悬挂“有人工作,不得送电”牌板。
42、瓦斯浓度低于1.0%时方可打开低压开关或搬移设备。
43、拉列车时谨防电缆受力拨出造成事故。
44、拉移列车停送电时要通知工作面各工作点,以便做好准备,严防发生事故。
45、设备列车拉移到位后,要对设备列车上各开关全面检查,待确认完好后方可进行送电工作,送电后设备不得自动起。
46、操作千伏级电气设备主回路时,操作人员必须戴绝缘手套或穿绝缘胶鞋,操作必须按照停送电管理制度及安全措施进行。
47、实行专人停送电制度,严禁私自停送电或电话预约停送电,严格执行停送电制度和负荷调整申请制度。
48、做电缆头及接线头时必须擦洗净电缆头脏物及煤尘等,严禁漏电。
49、各种管缆悬挂整齐,不挤压、卡挂。
50、煤电钻必须有检漏、短路、过负荷、远距离启动和停止煤电钻的综合保护装置。
51、煤电钻出现故障后及时停机并检查处理。
52、煤电钻不用时切断电源,盘好电缆,放在通风良好,无滴水,顶板完好的地点。
53、用煤电钻打眼时禁止戴手套,扎紧袖口并系好纽扣,悬挂好电缆防止拉断挤破。
54、电工要熟练掌握电气设备的原理和维修技术并严格执行有关规定。
55、所有电气设备严禁失爆,电气操作至少有两人以上联合作业。
56、所有电气设备保护装置、闭锁装置必须灵敏可靠。
57、所有电气设备的外壳必须可靠接地,接地板连线等应符合标准要求。
58、禁止用铁丝吊挂电缆,各种电缆分类吊挂整齐,电缆不得拖地。电缆受到挤压时,必须检查并及时处理。
59、设备列车移动前,应清除列车前言及两侧的杂物,理顺电缆,油水管路,挖出接地极,列车移动时,绞车速度适中,设专人观察列车移动情况,除拉移绞车外,其它设备都必须停电闭锁。
60、列车拉移前,要检查好绞车的稳定情况以及绳、绳长、车与车之前的连接情况,非工作人员必须远离拉车段两帮,确保无隐患时方可拉移。61、遇到列车下坡时,用绞车牵挂或设置3处以上的防跑车装置。62、拉完设备列车后,必须固定挂牢,将电缆挂好,接好接地檄。63、随时检查电气设备的完好情况,定期清扫擦洗电气设备,保持设备清洁完好。
64、所有电工都必须严格执行停送电操作规,做到专人停送电,关闭锁挂牌,严禁违章作业,接拆电必须办理手续,并按有关规定严格执行。
65、必须严格执行《煤矿安全规程》、《操作规程》及岗位职责,杜绝发生机电事故。检修要做到无失爆现象,防保护装置全、绝缘用具全、图纸资料全;坚持使用检漏继电器、坚持使用瓦斯和风电闭锁、坚持使用煤电站、照明和信号综合保护装置。
66、列车、电气设备、开关附近应支护完好,有淋水地段,应设置防水设施。
67、液压系统检修时,必须对检修部位正确卸压,并关闭上一级压力截止阀,泵箱、油池拆检时必须采取可靠的防污措施。
68、精密仪器、阀件等不得在井下拆、卸、安装。
69、液压元件、液压管口等在升井、入井时,都必须有防止煤尘等污物进入液压系统的措施,否则不得升井、入井。
70、检修工作要到位,并做好检修记录,各种操作手把、按钮必须灵敏可靠,螺丝紧固,油温、油位正常,设备运转良好,无噪音,保持各部位清洁,设备完好率保持在90%以上,严禁不完好设备入井,严禁设备带病运转。
71、破碎机司机经培训考试合格,必须持有有效岗位操作证上岗。72、破碎机司机必须坚守岗位,严格执行操作规程、岗位责任制等有关规定,熟悉设备的工作原理、性能及操作方法。
73、启动前的准备工作: a、检查6m安全区和3m防尘挡煤板,铁链隔板、橡胶板等应完好无损,破碎机内喷雾降尘装置工作正常,并清除转载机上的杂物。
b、操作按钮要悬挂在巷道宽敞安全的位置,并能清楚地看到破碎机的整个安全区,以便安全操作。
c、检查破碎机各部螺栓的紧固情况,对松动失效件进行紧固更换。d、停掉破碎机控制开关电源并闭锁挂牌,详细检查破碎机刀齿的磨损情况及刀齿固定螺栓防松垫和紧固情况。
e、给各润滑部位按规定加注足量的润滑脂。f、检查各楔块、夹紧块的配合情况。
g、送电、点动电动机,看转动方向是否与煤流方向一致,否则倒换开关隔离刀闸手把位置。
74、启动:经上述工作的,即可发出开机信号,先启动破碎机、随机打开喷雾降尘闸阀,然后启动转载机。
75、停机:转载机停转后,有压下停止按钮,待破碎机完全停止运转后,对设备进行全面检查,发现问题汇报队领导及时处理。工作面停产期间,必须对其控制开关停电闭锁。
76、注意事项:
a、设备运转期间随时观察转载机上物料情况,发现大块矸石、超长物料时及时发出停机信号,待转载机停机后停下破碎机,捡出大块矸石及超长物料,严禁其通过破碎机,防止损坏破碎机刀齿等部件或发生事故。
b、严禁在破碎机运转过程中跨越转载机,人员远离破碎机,禁止在破碎机附近从事工作。
c、应随时检查轴承温度,若温度大于80℃时要及时停机,通知检修工检查轴承间隙,在故障未排除前严禁开机。d、润滑:密封每天加油1次,支承座每月加油1次,支承座扭拧螺帽每月加油一次,润滑脂为锂基润滑脂。
e、破碎机运行一周后,要每日检查三角带松紧、油管及插头的完好情况。77、三机司机必须持证上岗,要严格执行所负责设备的操作规程。78、严禁无水开机、用水直接冷却减速箱等。
79、人员必须走安全出口,严禁乘座或翻越运行中的输送机。
80、三机运行期间,司机不得擅自离开岗位,要求手不离扭,必须集中精力,确保异常时及时停机。
81、胶带输送机必须安设清扫器,其低速、跑偏、温度等到保护应齐全可靠,有程序控制和信号监控装置。
82、三机抢修或处理事故时,必须停电闭锁挂牌。
83、各转载地点搭接合理,接煤合适,不得出现拉循环煤的现象。84、在转载机上捡大矸、背板等时,必须和转载机司机、破碎机司机亲自取得联系,否则严禁工作。
85、加强带式输送机的维护与检修,应保证胶带正稳,胶带一旦跑偏应及时调整,严禁使用背板等强行调整。
86、所有开关必须灵敏可靠,运输顺槽内的信号必须完善,保证其灵敏可靠。
87、泵工应熟练掌握泵的原理、性能和维修技术。
88、泵站在起动之前,首先检查各部位是否完好,连接螺丝是否紧固,润滑油油位、泵箱液位是否满足要求,各种保护是否齐全,确认无误后方可开机。
89、泵站起动后注意监听,若运转状态异常,应立即停泵并启动备用泵,然后进行处理和汇报值班队长要求检修,严禁带病运转。
90、泵站司机不得擅自位,不得任意开、停泵。91、检修或生产过程中更换阀件或高低压管路,需停泵处理,做到专人负责开、停泵,以免误操作伤人,泵的卸载阀、安全阀的整定值,不得在井下随意调整。
92、加强液压系统的卫生处理,各种过滤网,要定期清理,保持乳化液泵泵箱常盖,泵箱每月清洗一次。
93、乳化液浓度严格控制在3~5%,每班乳化液浓度测定次数不少于2次,且乳化液泵站压力控制在30Mpa,并有现场操作手段和纪录登记。
第六节
采煤机的安全使用
1、采煤机司机必须由专职培训的人员担任,并严格执行操作规程,遵守岗位责任制,坚持持证上岗。
2、采煤机司机要熟练掌握其结构原理、性能、一般维护技术和操作要求,并严格执行有关规定。
3、采煤机上的刮板输送机闭锁装置可靠,机组、煤帮溜子必须设开机声光信号。
4、开机前,采煤司机必须先进行检查采煤机各部螺栓、紧固件、截齿的紧固情况,操作手把及按钮的灵活性,油位、水压以及冷却喷雾装置是否符合要求,管线有无挂卡等,确认各部位完好后发出开机信号,人员躲至安全地点后,方可送水、送电开机。
5、采煤机司机必须3人密切配合、协同工作,采煤机下行割煤时,两人操作,采煤机司机严禁在前滚筒前操作,另一司机要随意观察所到位置的顶煤、煤壁和刮板运输机运行以及电缆情况,发现意外情况时,应立即停机处理,要求司机用好摇控器,做好自主保安。
6、采煤机割煤时,支架前立柱至煤帮侧不准行人或作业,支架工处理前后左右立柱之间。
7、必须严格执行“六不割煤制度”:①无水或水压不足;②瓦斯超限;③顶板破碎、支护不及时;④输送机内有物料;⑤输送机停转;⑥遇坚硬夹矸时。
8、割煤前,必须先开机空转滚筒2~3分钟后再开始牵引割煤,停机时,先停止牵引割煤,再切断电源,禁止带负荷起动或停止采煤机。
9、采煤机运行中不得突然换向,司机要注意观察电缆拖电情况,防止出槽或被卡住,必须严格执行采煤机操作规程。
10、采煤机过载保护、防滑应完好可靠,并随时检查采煤机电动机、齿轮、驱动轮、齿轨是否完好,如有问题及时处理,以防采煤机因此下滑造成事故。
11、采高必须控制在规定范围内,做到顶底板平整,煤壁齐、直,禁止割顶或留底煤。
12、必须保证支架梁端距煤壁不少于200mm,以防采煤机截割铲板。
13、采煤机割至工作面两端时,应放慢速度,司机集中精力,并有专人观察周围情况,防止割坏管线、支架、锚杆、钢梁等,同时上下出口不得有人员停留,防止甩出杂物或截齿伤人,煤帮的锚杆等到支护用品提前回收,严禁用采煤机硬割。
14、交接班时,采煤机停在进刀缺口处,离合器手把必须置于零位,隔离开关拨至“分”位,滚筒在工作面底板上处于非工作状态,并清净机身上浮煤。
15、采煤机检修前,应顶底板完整地段,升实支架,护好顶帮,检查试验马达液力制动装置是否可靠,采煤机检修时,必须停电闭锁,摘掉离合器。
16、采煤机司机必须搞好采煤机日常检修制度,保证其截齿齐全,喷雾、制动、防滑等性能完好可靠;并且采煤机司机要有交接班记录,将本班存在的问题交接清楚,防止发生事故。
第七节
移架、推溜
1、支架工必须了解支架各元件的性能和作用,熟练准确地按操作规程进行各种操作。
2、移架前,必须检查煤壁顶底板有无异常情况,支架阀组、管路、立柱密封是否完好,推移千斤顶与溜子是否牢靠,有无咬架、挤架现象,尾梁插板是否落在后部输送机上,同时清净架前杂物和浮煤,其他人员不得在架前下方停留,确认无问题后方可移架。
3、移架时利用拉线,使移后的支架成一条直线。移架时带压擦顶少降快移,并利用好侧板、防倒、防滑装置,防止出现倒、挤、咬架现象,并观察架间,防止受挤、受拉。
4、支架出现窜、漏液时,应及时处理,严禁带病操作,禁止单腿销、铁丝和无销现象。
5、移架要移够规定的步距,保证支架齐、直,受力方向垂直顶底板。
6、移架时及时调整支架,防止歪斜,架间距不超过规定(<200mm)。
7、移架时操作人员面向煤壁,防止崩销伤人。
8、移架距采煤机后滚筒控制在5m左右,顶板破碎或片帮严重时,必须伸出前探梁护帮板或及时移架。
9、升架必须使支架与顶板严密接实,支架操作完毕后,各操作手把必须复零。
10、移溜必须按《操作规程》规定执行,严禁相向操作或任意分段推移。
11、推溜距移架10~15m,由下向上顺序推移,输送机弯曲段不得小于15m,推溜阻力过大时,应找出原因及时处理,不能强行硬推,不得在采煤机10m范围内推溜。
12、移溜时本架、邻架同时操作,推前溜或拉后溜时,必须在溜子运行中进行,但停机时可推机头、机尾。
13、拉移后部溜子时,必须先检查输送机、支架尾梁、插板、防滑链、液压管路是否有干涉,然后由下向上依次顺序拉移。
第八节
支架防倒防滑、防止输送机上窜下滑
一、设备防倒防滑措施
1、正常情况下在工作面上、下部7~10付支架安装防倒滑装置(应全部一次安设到位),中部支架出现倾斜下滑现象时及时安设防倒防滑装置。
2、及时调整支架支撑状态不符合要求的液压支架,及时处理煤壁片帮及局部顶板冒落,严防因冒落区扩大引起的支架稳定,发生支架倾倒事故。
3、当输送机的垂直误差大于±5°(90±5°)时,应及时调架。
4、工作面调成伪斜开采,使工作面下部超前上部一定距离,下顺槽超前上顺槽的距离应为5~8m。
5、改变推溜顺序,采取上行推移工作面输送机和移置液压支架。
6、在工作面下口采用缸径200mm的千斤顶,一端顶在下顺槽下沿帮(利用废溜皮焊接铁鞋,在溜槽插入同厚度的木板),另一端顶在前溜的机头处,顶紧前溜,在端头架顶梁上焊两个吊环,用链环将油缸悬吊,端头架前移时带动油缸迁移。
二、设备下滑上窜的处理措施
1、调斜工作面或增大伪斜度,若工作面采取调斜防滑措施,设备仍下滑时,则可适当的增大伪斜度。在工作面下部多吃一刀煤,若工作面调斜后有上窜现象,则表明,伪斜角调大了,则割煤时在工作面上口多吃一刀煤。
2、调整顺槽输送机和液压支架,在输送机机头后部和中间安装有1m或0.5m保证输送机下滑后调整的调节槽,输送机下滑0.5m后,可更换一次调节槽,这样输送机就可缩短0.5m,保证输送机和转载机的正常搭接,液压支架前移过程中,利用侧护板和防滑装置由上向下逐架调整。
3、利用缸径为100mm的防滑千斤顶牵引输送机,在工作面内每隔5架安置一个千斤顶,其两端分别与工作面后部输送机和液压支架底座相连。油缸的活塞杆通过邻近架的操纵阀与泵站的压力管路接通,在本架支架推移输送机前,称操纵操纵阀,使牵引油缸活塞杆收回并拉紧,然后切断其液路,再操纵本架推移输送机,这时油缸斜角拉大便给输送机一个向上牵引力。
第九节
泵站维护
1、泵工必须熟悉泵的液压系统及工作原理,性能和一般维修技术,操作要求,并执行有关规定。
2、泵站在启动之前,首先检查各部位是否完好,连接螺栓是否紧固,有无松动现象,柱塞密封是否良好,乳化泵箱体温底是否正常,油温是滞过高,注意油位的变化,油位不得低于下限,油压不小于0.1Mpa。
3、注意浮化液箱的液位不得过低,以免吸空,随时补充乳化液,液温不得超过40℃,观察压力表的指示范围。
4、注意泵在运转中,有无异常噪声或震动、管路有无泄漏现象,若运转异常,应立即停泵并启动备用泵,然后进行处理或向跟班队长和值班队长汇报要求检修,严禁带病运行。
5、泵站司机不得擅自离开岗位,不得任意开、停泵。
6、检修或生产过程中更换阀件或高压管路,需停泵处理,做到专人负责开、停泵,以免误协作伤人,在井下严禁随意调整安全阀、卸载阀。
7、加强液压系统的卫生处理,各中过滤网,要定期清理,保持乳化液泵泵箱常温,泵箱每周清洗一次。
8、乳化液浓度严格控制在3~5%,每班乳化液浓度测定数不少于2次。
第十节
破碎机操作
1、破碎机初次使用时,紧固件每天要紧固一次,使用两周后每周要紧固一次。
2、破碎机轴承座内的润滑脂(3号锂基润滑脂)必须在每次运转完成后马上加注,不得延误,避免轴承座因停机冷却将其它杂物吸入油腔。
3、破碎轴刀体及紧固件要每天检查,保证无裂损、松动现象。不允许使用破裂或工作端磨损到极限的刀体。
4、不允许使用破裂或带槽不完整的皮带轮,皮带要经常检查,发现隐患,及时排除。
5、每天都必须检查喷雾系统、冷却系统的工作情况,发现问题,及时处理。
6、破碎机出入口防尘帘的链帘,胶皮帘失去功能时,应及时更换或维修。
7、停机超过5min时应切断水源。
第十一节
中双链刮板输送机
1、当输送机运行时,任何人不得横跨输送机,同时也不允许滞留在卸载端,机尾端。
2、除了工作面采出的煤和矸石以外,不允许运载其它物料。
3、输送机运行时,不可倚靠输送机,也不可坐在或站在输送机上。
4、运行过程中不可站在输送机靠工作面一侧。
5、除非输送机检修,否则在拆掉护板的情况下不许开动机器,若要开动,也应在有关人员的严格监视下进行。当输送机检修时,刮板仍可能通过链轮运载煤和矸石,应格外小心。不要站在卸载端和机尾端的链轮对面。
6、设备运行时应和动力部件保持一定的安全距离。
7、当检修设备或输送机运行时,操作人员应注意安全。
8、所有的螺栓和连接件应正确安装,并按规定拧紧。
9、工作面输送机进行维护保养工作(如更换刮板、链轮、链条等)都应在断开电源的情况下进行。
10、使用阻链装置紧链时,机械、电器的关联部分必须十分协调。紧链完毕后,切记要松开紧链装置和拆除阻链装置。
11、工作面输送机要谨防链条过度张紧。如果发生链条过度张紧则在链条上进行任何工作都是危险的。
12、拆卸和更换液压力件时,必须先释放掉压力。
13、刮板机开机前要先开电机冷却水,再开机;停机时先停电机,15分钟后再停冷却水。
14、输送机推移应逐架缓缓进行,兼顾前后左右,严禁冲击和隔架推移。
15、拉架时应使邻架完全顶牢,被拉架卸载后,再缓缓拉进。
16、禁止在机关传动部,机尾附近进行爆破作业,否则必须采取保护措施。
17、禁止在输送机上运送其它物料,特别是杆状物料,以免造成事故。
18、不允许有超槽宽的煤块进入输送机。
19、煤流应尽量均匀,避免超载运行。
20、随时注意电动机冷却水量和温度,确保电机冷却良好。
21、严禁长期或频繁在低速段运行。
第十二节
中双链刮板转载机
1、当转载机运行时,除规定的人行道以外,任何人不得横跨转载机,不得翻越转载机,同时也不允许滞留在卸载端,机尾端。
2、除了工作面采出的煤和杆石以外,不允许运载其它物料。
3、转载机运行时,不可倚靠转载机,也不可坐在或站在转载机体上。
4、运行过程中不可站在转载机的破碎出口处。
5、除非转载机检修,否则机头在拆掉护板的情况下不许开动机器若要开动,也应在有关人员的严格监视下进行。当转载机检修时,刮板仍可能通过链轮运载煤和矸石,应格外小心不要站在卸载端和机尾端的链轮对面。
6、设备运行时应和运动部件保持一定的安全距离。
7、当检修设备或转载机运行时,操作人员应注意安全。
8、所有螺栓和连接件应正常安装,并按规定拧紧。
9、工作面转载机进行维护保养工作(如更换刮板、链轮、链条等)都应在断开电源的情况下进行。
10、使用阻链装置紧链时,机械、电器的关联部分必须十分协调。紧链完毕后,切记要松开紧链装置和拆除阻链装置。
11、工作面转载机要谨防链条过度张紧。如果发生链条过度张紧则在链条上进行任何工作都是危险的。
12、拆卸和更换液压件时,应先释放掉压力。
13、转载机开机前要先开冷却水,再启动电机,停机时先停电机,15分钟后再停冷却水。
14、严禁长期或频繁在低速段运行。
15、刮板链链条须有适当预紧力,一般为机头链轮下边的链环松弛量为两个节距为适宜。
16、转载机应避免空负荷运转,以减少磨损,无特殊情况不要反转。
17、按规定部位、油种、时间进行加油润滑。
第十三节
可伸缩胶带输送机
1、为做到安全运输、预防为主,保证人员安全及输送机正常运行,对操作工必须上岗前培训,做到持证上岗;必须每班开机前沿输送机巡视检查,发现故障,及时排除。
2、机头司机详细检查驱动部连接螺栓是否紧固,减速箱油量是否充足,是否有漏泄现象。
3、检查各保护装置是否可靠,张紧装置 是否有效,皮带松紧程度是否适宜,减速箱齿轮及机头,机尾各滚筒润滑情况。
4、中部巡视人员应沿线检查皮带有无障碍物,上、下托辊是否齐全,各皮带接头是否完好,皮带沿线各托辊是否被积煤拥住或煤、矸石阻卡现象。
5、机尾人员应检查机尾皮带下有无积煤,机尾滚筒是否被积煤拥住,缓冲托辊有无损坏,机尾紧固螺栓是否牢固可靠,机尾部清扫器是否有效。
6、每班开机前,首先检查馈电开关、起动开关、及信号系统是否正常。
7、每班下班前要打扫清理各自范围的设备及巷道卫生,清理机头机尾及中段浮煤,等待交接班。
第十四节 灾害防治
1、撤离灾区人员
(1)事故发生后,灾区人员必须在班长、带班队长的带领下,立即采取自救、互救措施,佩戴自救器。根据避灾路线尽快撤离灾区,或在较为安全的地点避灾,灾区可能涉及到人员接调度室通知后迅速撤离现场,带班队长(班长)清点人员,及时向调度室汇报。
(2)救灾指挥部在指挥就在时,首先采取有效措施,约请矿山救护队抢救遇险人员。
2、火灾
(1)当火灾发生在采煤工作面及进风巷(皮带巷)时,保持正常通风,必要是可适当增加或限制风量。
(2)当火灾较小时,现场人员要有组织的采取方法直接灭火,在灭火过程中,要密切注意火风压时对火灾通风的影响。
(3)不论采取何种灭火方式,都不得危及井下人员安全,不允许形成瓦斯集聚,煤尘飞扬会带来爆炸危险。应及时阻止火灾扩大,抑制火势。并及时将现场情况汇报矿调度室。
3、水灾
(1)发生透水事故时,现场人员除及时向调度室汇报外,应在带班对(班)长及有经验的老工人指挥下,加固工作地点直呼,封堵出水点。如果水势较大,情况紧急时,则有组织地避开压力水头,迅速撤离现场,行走路线由底向高。
(2)矿救灾指挥部接调度室汇报,立即制定措施,并迅速撤离灾区及范围内的井下作业人员到安全地点。
(3)透水后,应尽可能将涌水引入940水仓,并根据涌水大小确定水泵启动台数。
(4)溜煤眼或煤仓出现积水时,必须制定专门的泄水措施。
4、冒顶
(1)发生冒顶事故时,必须以最快速度将人员撤离危险区,并立即报告调度室冒顶情况,是否有人员隔离在冒顶层内,调度室要尽快组织人员前往营救遇险人员。
(2)事故现场,应在带班对(班)长或有经验的老工人的指挥下,由里向外里加固冒顶区附近支架,清理好安全退路,尽快接近遇险人员,抢救的同时积极与遇险人员联络(呼叫、击打飞物)。
(3)如果人员被困在无风空间内应立即启用钻孔或钢管向里供风,然后组织营救。
(4)营救时,应加强支护,指派有经验的老工人观察顶板,防止二次冒顶,造成事故扩大。
第十五节
其他
一、工作面调采措施
刮板输送机出现下滑或上窜现象,要通过工作面调采使溜子恢复与转载机正常搭接。
1、调采时,要严格按照安全技术措施要求掌握机头、机尾向前推进量,并事先在巷帮上做出标志。调采时,严禁将刮板输送机推成陡弯,严禁工作面超前,防止溜槽脱节,断链伤人。
2、调采时,上下端头支护要及时、可靠,插帮后要及时正确使用好支架前探梁,护帮板及支架的调架防滑装置,防止出现片帮、冒顶,挤架、咬架。
3、除采用调整工艺外,无法满足需要时可脱开部分千斤顶,用单体柱强行调整。
二、工作面两巷维修、回收措施
1、巷道内出现坠包、片帮等现象时要及时当班维修,保证两道畅通。
2、两道浮煤杂物必须及时清理干净,备用材料码放整齐。做到通风、行人、运料畅通。
3、两道维修必须派专人负责,维修现场有空顶时,必须及时绞顶处理。
4、巷道中使用的单体柱必须完好,若有自动卸载现象,应及时跟换。
5、所用导链必须性能完好,安全可靠,必须拴挂在安全可靠的支架或单体柱上使用。
三、油脂截齿管理措施
1、油脂领用与发放,管理员必须有记录可查。
2、各类油脂中应无杂质,盛装油脂的容器必须密封,变质或失效的油脂严禁发放和使用,并设专人管理,人工提油桶必须专用,注油时仔细清洗油器,防止煤尘落入。
3、油脂存放处应配备干粉灭火器等消防器材。
4、各类设备所用油脂牌号不同,作用不同,必须按规定牌号添加,严禁向设备乱加乱添油脂。
5、设备中油脂应常检查,发现变质或杂质太多的油脂,坚决予以更换,向设备添加油脂的数量按规定执行,不得过多或过少,有记录可查。
6、特种油脂,在新油使用前应作油质分析和检测,合格后方可使用,运行中的油,每半年作一次简化分析,并有记录可查。
7、电气设备使用的绝缘油,每月做一次物化学和电器耐压试验,操作频繁的电气设备使用的绝缘油,每半年进行一次电气耐压实验。
8、截齿要按要求安装并注意保护,工作面上下断头两道的金属锚杆要提前拆除,不得硬割。
9、及时更换坏截齿,坚持教旧领新,领一换一。
10、严格控制滚筒高度,以防采煤机割顶梁或割铲板,与坚硬夹矸时放炮处理,严禁硬割。
11、要建立油脂截齿使用台帐,工作面各种设备要按照润滑周期及时进行注油,并认真做好注油牌,注油量,注油日期记录。
四、防止大块煤滚落伤人的措施
1、由于工作面倾角大,沿工作面倾斜方向在支架前往间挂防护金属网(每10m一组,中间留一副支架过道)。在工作面前柱与电缆托架间每隔15m挂防护尼龙网,所挂网子质量可靠牢固。
2、人员必须在支架箱以外的其他空间作业时,要通过扩音电话通知上部人员必须停止工作,防止蹬落煤块伤人,同时将作业地点以上的安全防护网挂牢拴好。
3、在采煤机割煤过程中,工作人员不得随意行走或逗留。
4、采煤机上行清煤时,推溜工滞后采煤机15m(即采煤机上到安全网以上)方可进行推溜作业,同时拴牢作业地点安全防护网,以防滚落煤块伤人。
5、正常情况下禁止任何人在支架箱以外的其他空间行走或逗留,应在支架箱内踏板上行走。
第四篇:脱水车间安全生产工作管理制度
脱水车间安全生产工作管理制度
1、认真学习《中华人民共和国安全生产法》等各项法律法规,积极参与上级部门组织的安全生产各项法律法规培训考试工作。
2、严格执行安全生产各项管理制度,加强学习,提高个人修养及法律意识,杜绝出现监守自盗,内外勾结偷盗产品现象的发生,按时上下班,做到现场交接班工作。
3、上岗前穿戴齐全劳保防护用品。
4、产品管护人员勤检查各安全设施是否正常运行。
5、产品管护人员应加强夜间的产品管护值班工作,确保锌精粉、铅精粉的安全。
6、遇到偷盗产品的现象及时制止并上报处理。
7、脱水工接班前认真检查设备运行情况,查看设备运行记录。
8、作业中按章作业,杜绝“三违”(违章指挥,违章操作,违反劳动纪律)的发生,及时发现设备故障,及时上报处理。
9、作业中禁止非工作人员进入车间现场。
10、坚持班前讲安全,班后总结安全。
11、熟悉本厂安全生产应急预案,积极参与安全生产事故演练工作。
第五篇:典型企业网络边界安全解决方案
典型中小企业网络边界安全解决方案
意见征询稿
Hillstone Networks Inc.2010年9月29日
典型中小型企业网络边界安全解决方案
目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42
典型中小型企业网络边界安全解决方案
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42
典型中小型企业网络边界安全解决方案 前言
1.1 方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2 方案概述
本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部/ 42
典型中小型企业网络边界安全解决方案
集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性; 实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。/ 42
典型中小型企业网络边界安全解决方案
保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;
保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为; 保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;
实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;
实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性; 安全需求分析
2.1 典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支/ 42
典型中小型企业网络边界安全解决方案
机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图:
典型中小企业组网结构示意图 / 42
典型中小型企业网络边界安全解决方案
2.2 典型中小企业网络安全威胁
在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括: 【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露; 【恶意代码传播】
大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。【防范ARP欺骗】
大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问/ 42
典型中小型企业网络边界安全解决方案
数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密; 【恶意访问】
对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。【身份与行为的脱节】
常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。【拒绝服务攻击】
大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击/ 42
典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象; 【不安全的远程访问】
对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。【缺乏集中监控措施】
典型中小型企业的特点是,集中管理,分布监控,但是在安全方面目前尚缺乏集中的监控手段,对于各分支机构员工的上网行为,访问业务的行为,以及总部重要资源的受访问状态,都没有集中的监控和管理手段,一旦发生安全事件,将很难快速进行察觉,也很难有效做出反应,事后也很难取证,使得企业的安全管理无法真正落地。
2.3 典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题,山石网科认为,应当进行有针对性的设计和建设,最大化降低威胁,并实现有效的管理。
2.3.1 需要进行有效的访问控制
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。/ 42
典型中小型企业网络边界安全解决方案
中小企业的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的,特别是针对中小企业员工对互联网的访问行为,应当采取有效的控制措施,杜绝过度占用带宽的访问行为,保障正常的业务和上网访问。
对于中小企业重要的应用服务器和数据库资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
2.3.2 深度应用识别的需求
引入的安全控制系统,应当能够支持深度应用识别功能,特别是对使用动态端口的P2P和IM应用,能够做到精准鉴别,并以此为基础实现基于应用的访问控制和QOS,提升控制和限制的精度和力度。
对于分支机构外来用户,在利用分支机构互联网出口进行访问时,基于身份识别做到差异化的控制,提升系统总体的维护效率。
2.3.3 需要有效防范病毒
在访问控制的技术上,需要在网络边界进行病毒过滤,防范病毒的传播;在互联网出口上要能够有效检测出挂马网站,对访问此类网站而造成的病毒下发,能够快速检测并响应;同时也能够防范来自其他节点的病毒传播。
2.3.4 需要实现实名制管理
应对依托IP地址进行控制,QOS和日志的缺陷,应实现基于用户身份的访问控制、QOS、日志记录,应能够与中小企业现有的安全准入系统整合起来,当员工接入办公网并对互联网访问时,/ 42
典型中小型企业网络边界安全解决方案
先进行准入验证,验证通过后将验证信息PUSH给网关,网关拿到此信息,在用户发出上网请求时,根据IP地址来索引相关的认证信息,确定其角色,最后再根据角色来执行访问控制和带宽管理。
在日志记录中,也能够根据确定的身份来记录,使得日志可以方便地追溯到具体的员工。
2.3.5 需要实现全面URL过滤
应引入专业性的URL地址库,并能够分类和及时更新,保障各个分支机构在执行URL过滤策略是,能够保持一致和同步。
2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口,作为专线的备份链路,在不增加链路投资的前提下,使分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时,容易遭到窃听和篡改的风险,为此需要设备提供IPSEC VPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.3.7 需要实现集中化的管理
集中化的管理首先要求日志信息的集中分析,各个分支机构既能够在本地查看详细的访问日志,总部也能够统一查看各个分支机构的访问日志,从而实现总部对分支机构的有效监管。
总部能够统一对各个分支机构的安全设备进行全局性配置管理,各个分支机构也能够在不违背全局性策略的前提下,配置符合本节点特点的个性化策略。
由于各个厂商的技术壁垒,不同产品的功能差异,因此要实现集中化管理的前提就是统一品牌,/ 42
典型中小型企业网络边界安全解决方案
统一设备,而从投资保护和便于维护的角度,中小企业应当选择具有多种功能的安全网关设备。安全技术选择
3.1 技术选型的思路和要点
现有的安全设备无法解决当前切实的安全问题,也无法进一步扩展以适应当前管理的需要,因此必须进行改造,统一引入新的设备,来更好地满足运行维护的要求,在引入新设备的时候,必须遵循下属的原则和思路。
3.1.1 首要保障可管理性
网络安全设备应当能够被集中监控,由于安全网关部署在中小企业办公网的重要出口上,详细记录了各节点的上网访问行为,因此对全网监控有着非常重要的意义,因此系统必须能够被统一管理起来,实现日志行为,特别是各种防护手段形成的记录进行集中的记录与分析。
此外,策略也需要分级集中下发,总部能够统一下发集中性的策略,各分支机构可根据自身的特点,在不违背全局性策略的前提下,进行灵活定制。
3.1.2 其次提供可认证性
设备必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
对于中小企业而言,设备必须能够与中小企业的AD域管理整合,通过AD域来鉴别用户的身份和角色信息,并根据角色执行访问控制和QOS,根据身份来记录上网行为日志。/ 42
典型中小型企业网络边界安全解决方案
3.1.3 再次保障链路畅通性
对于多出口链路的分支机构,引入的安全设备应当支持多链路负载均衡,正常状态下设备能够根据出口链路的繁忙状态自动分配负载,使得两条链路都能够得到充分利用;在某条链路异常的状态下,能够自动切换负载,保障员工的正常上网。
目前中小企业利用互联网的主要应用就是上网浏览,因此系统应提供强大的URL地址过滤功能,对员工访问非法网站能够做到有效封堵,这就要求设备应提供强大的URL地址库,并能够自动升级,降低管理难度,提高控制精度。
中小企业的链路是有限的,因此应有效封堵P2P、IM等过度占用带宽的业务访问,保障链路的有效性。
3.1.4 最后是稳定性
选择的产品必须可靠稳定,选择产品形成的方案应尽量避免单点故障,传统的网络安全方案总是需要一堆的产品去解决不同的问题,但这些产品接入到网络中,任何一台设备故障都会造成全网通信的故障,因此采取集成化的安全产品应当是必然选择。
另外,安全产品必须有多种稳定性的考虑,既要有整机稳定性措施,也要有接口稳定性措施,还要有系统稳定性措施,产品能够充分应对各种突发的情况,并保持系统整体工作的稳定性。
3.2 选择山石安全网关的原因
基于中小企业的产品选型原则,方案建议采用的山石网科安全网关,在多核Plus G2硬件架构的基础上,采用全并行架构,实现更高的执行效率。并综合实现了多个安全功能,完全能够满足中小企业安全产品的选型要求。/ 42
典型中小型企业网络边界安全解决方案
山石网科安全网关在技术上具有如下的安全技术优势,包括:
3.2.1 安全可靠的集中化管理
山石网科安全管理中心采用了一种全新的方法来实现设备安全管理,通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责,从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率,减少开销并降低运营成本。
利用山石网科安全管理中心,可以为特定用户分配适当的管理接入权限(从只读到全面的编辑权限)来完成多种工作。可以允许或限制用户接入信息,从而使用户可以作出与他们的角色相适应的决策。
山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性,同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标,山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时,只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。
山石网科安全管理中心还带有一种高性能日志存储机制,使IT部门可以收集并监控关键方面的详细信息,如网络流量、设备状态和安全事件等。利用内置的报告功能,管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。
山石网科安全管理中心采用了一种3层的体系结构,该结构通过一条基于TCP的安全通信信道-安全服务器协议(SSP)相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路,就不需要在不同分层之间建立VPN隧/ 42
典型中小型企业网络边界安全解决方案 道,从而大大提高了性能和灵活性。
山石网科安全管理中心提供统一管理功能,在一个统一界面中集成了配置、日志记录、监控和报告功能,同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡,对于安全网关这类安全设备的大规模部署非常重要。
3.2.2 基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷,山石网科采用RBNS(基于身份和角色的管理)技术让网络配置更加直观和精细化,不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
另外,在采用了RBNS技术后,使得审计记录可以直接反追溯到真实的访问者,更便于安全事件的定位。
在本方案中,利用山石网科安全网关的身份认证功能,可结合AD域认证等技术,提供集成化的认证+控制+深度检测+行为审计的解决方案,当访问者需跨网关访问时,网关会根据确认的访问者身份,自动调用邮件系统内的邮件组信息,确定访问者角色,随后根据角色执行访问控制,限制其访问范围,然后再对访问数据包进行深度检测,根据角色执行差异化的QOS,并在发现非法的访问,或者存在可疑行为的访问时,记录到日志提供给系统员进行事后的深度分析。/ 42
典型中小型企业网络边界安全解决方案
3.2.3 基于深度应用识别的访问控制
中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上,新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。
3.2.4 深度内容安全(UTMPlus®)
山石网科安全网关可选UTMPlus®软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。
由于中小企业包含了多个分支机构,一旦因某个节点遭到恶意代码的传播,病毒将会很快在企业的网络内传播,造成全网故障。在使用了山石网科安全网关后,并在全网各个节点的边界部署后,将在逻辑上形成不同的隔离区,一旦某个节点遭遇到病毒攻击/ 42
典型中小型企业网络边界安全解决方案
后,不会影响到其他节点。并且山石支持硬件病毒过滤技术,在边界进行病毒查杀的时候,对性能不会造成过多影响。
3.2.5 高性能病毒过滤
对于中小企业而言,在边界进行病毒的过滤与查杀,是有效防范蠕虫、木马等网络型病毒的有效工具,但是传统病毒过滤技术由于需要在应用层解析数据包,因此效率很低,导致开启病毒过滤后对全网的通信速度形成很大影响。
山石安全网关在多核的技术上,对病毒过滤采取了全新的流扫描技术,也就是所谓的边检测边传输技术,从而大大提升了病毒检测与过滤的效率。
流扫描策略
传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的,并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。
文件接受扫描文件发送延迟
山石网科扫描引擎是基于流的,病毒过滤扫描引擎在数据包流到达时进行检查,如果没有检查到病毒,则发送数据包流。由此,用户将看到明显的延迟改善,并且他们的应用程序也将更快响应。/ 42
典型中小型企业网络边界安全解决方案
文件接收扫描文件发送延迟
流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑,流扫描技术适合网关病毒过滤解决方案。
基于策略的病毒过滤功能
山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过滤扫描,哪些用户或者用户组进行扫描,以及哪些服务器和应用被保护。
3.2.6 灵活高效的带宽管理功能
山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高优先级保证它们的带宽使用;对于P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。
将山石网科的角色鉴别以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42
典型中小型企业网络边界安全解决方案
控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。
结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP地址内部应用类型的流量进行有效管控。
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。
总之,通过采取山石网科产品所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42
典型中小型企业网络边界安全解决方案
3.2.7 强大的URL地址过滤库
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性,当时设备被部署到网络中后,各个设备均采用统一标准的过滤地址库,在进行URL访问日志中也可以保持日志内容的一致性。
3.2.8 高性能的应用层管控能力
安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。
山石网科安全网关具有丰富的应用层管控能力,包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等,能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤,防止潜在的安全风险。/ 42
典型中小型企业网络边界安全解决方案
此外,山石网科安全网关均采用多核系统架构,在性能上具有很高的处理能力,能够实现大并发处理。
3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎,这保证了在CPU核数增加时,IPSec的性能得到相应提高,不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps,达到和防火墙一样的性能和设备极限。
山石网科安全网关设备支持标准IPSec协议,能够保障与第三方VPN进行通讯,建立隧道并实现安全的数据传输。
3.2.10 高可靠的冗余备份能力
山石网科安全网关能够支持设备级别的HA解决方案,如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制,保证在设备切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断会话,为企业提供真正意义的网络冗余/ 42
典型中小型企业网络边界安全解决方案
解决方案。山石网科安全甚至还能够提供VPN传输的状态同步,并包括SA状态的同步。系统部署说明
对于中小企业,在设计边界安全防护时,首要进行的就是安全区域的划分,划分安全域是信息安全建设常采用的方法,其好处在与可以将原本比较庞大的网络划分为多个单元,根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计,保障了安全建设的针对性和差异性。
安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则,可操作性不强,在实际划分过程中有很多困难。在本方案中,建议按照资产重要性以及支撑的业务类型,纵向上可划分为总部及分支机构域,从资产角度可根据业务类型的不同,将总部/ 42
典型中小型企业网络边界安全解决方案
信息网络划分为ERP域、OA域、网站域、终端域和运维域等,而分支机构的域相对简单,由于只有终端,因此不再细分。
4.1 安全网关部署设计
划分安全域后,可在所有安全域的边界,特别是重要的业务系统安全域的边界配置安全网关即可,配置后形成的边界安全部署方案可参考下图:
部署要点: 通过总部配置的山石网科安全管理中心,集中监管各个分支机构边界部署的山石网科安全网关,对日志进行集中管理;同时各个分支机构本地也部署管理终端,在本地对网关进行监管; / 42
典型中小型企业网络边界安全解决方案
纵向链路的出口分别部署安全网关,实现对中小企业网的纵向隔离,对分支机构的上访行为进行严格控制,杜绝非法或非授权的访问;
安全网关启用源地址转换策略,在终端上网过程中进行转换,保障内网用户上网的要求,同时启用相应的日志,对上网行为进行有效记录;
安全网关在分支机构上网出口的链路上,运用深度应用识别技术,有效鉴别出哪些是合法的HTTP应用,哪些是过度占用带宽的P2P和IM应用,对P2P和IM通过严格的带宽限制功能能进行及限制,并对HTTP执行保障带宽策略,保障员工正常上网行为;
安全网关与中小企业的AD域认证整合,在确认访问者身份的基础上,进行实名制的访问控制,QOS控制,以及上网行为审计;
安全网关内置全面的URL地址库,用以对员工的访问目标地址进行分类,对于非法网站进行封堵,且URL地址库能够自动升级,保障了该功能的持续性和完整性;
安全网关运用IPSEC VPN技术,实现与总部的加密传输,作为现有专线的备份链路,在不增加投资的前提下提升系统的可靠性。
安全网关运用SSL VPN技术,对移动办公用户配发USB KEY,当其需要远程访问企业网时,利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道,从而实现了安全可靠的远程访问。
4.2 安全网关部署说明
4.2.1 部署集中安全管理中心
通过在总部部署山石网科安全管理中心,然后对分布在各个分支机构边界的安全网关进行配置,/ 42
典型中小型企业网络边界安全解决方案
使网关接受管理中心的集中管理来实现,并执行如下的集中监管。
设备管理
设备管理包括域管理和设备组管理,域和设备组都是用来组织被管理设备的逻辑组,域包含设备组。通过域的使用,可以实现设备的区域化管理;而通过设备组的使用,可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备,普通管理员可以执行设备组的操作,将设备从设备组中删除。
设备基本信息监管
显示设备的基本信息,例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。
通过客户端可查看的设备属性信息包括:设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。/ 42
典型中小型企业网络边界安全解决方案
日志浏览
山石网科安全管理中心接收设备发送的多种日志信息,经过系统处理后,用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览:
●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志
流量监控
山石网科安全管理中心可以实时监控以下对象的流量,并在客户端通过饼状图或者柱状图直观显示:
●设备接口(TOP 10)/ 42
典型中小型企业网络边界安全解决方案
●指定接口TOP 10 IP,进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用,进而可以查看指定应用的TOP 10 IP的流量
柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。
攻击监控
山石网科安全管理中心可以实时监控以下对象的攻击情况,并在客户端通过饼状图或者柱状图直观显示:
●设备接口遭受攻击(TOP 10)
●指定接口发起攻击TOP 10 IP,进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型,进而可以查看发起指定攻击类型的TOP 10 IP
VPN监控
山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量,并在客户端通过饼状图或者柱状图直观显示。/ 42
典型中小型企业网络边界安全解决方案
4.2.2 基于角色的管理配置
对于中小企业办公网而言,终端使用者的身份不尽相同,因此其访问权限,对资源的要求等也不尽相同,实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS(基于身份和角色的管理)策略来实现。RBNS包含三个部分:用户身份的认证、用户角色的确定、基于角色控制和服务。
在访问控制部分,通过RBNS实现了基于用户角色的访问控制,使得控制更加精准; 在QOS部分,通过RBNS实现了基于角色的带宽控制,使得资源分配更加贴近中小企业办公网的管理模式; 在会话限制部分,通过RBNS实现了基于角色的并发限制,对于重要用户放宽并发连接的数量,对于非重要用户则压缩并发连接的数量; 在上网行为管理部分,通过RBNS实现了基于角色的上网行为管理;
在审计部分,通过RBNS实现实名制审计,使审计记录能够便捷地追溯到现实的人员。
在整合了AD域以及邮件系统后的实名制管理与控制方案后,在员工上网访问过程中实现精细化的管理,大大降低了单纯依靠IP地址带来的安全隐患,也降低了配置策略的难度,还提升了日志的可追溯性; / 42
典型中小型企业网络边界安全解决方案
整合后实名制监管过程示意图
4.2.3 配置访问控制策略
山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术,使设备能够适应复杂的网络环境,即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下,也能有效的获取应用层信息,从而保证安全策略的有效实施。
山石网科安全网关,作用在中小企业的互联网出口链路上,通过访问控制策略,针对访问数据包,根据数据包的应用访问类型,进行控制,包括: / 42
典型中小型企业网络边界安全解决方案
限制不被许可的访问类型:比如在只允许进行网页浏览、电子邮件、文件传输,此时当终端用户进行其他访问(比如P2P),即使在网络层同样使用TCP 80口进行访问数据包的传送,但经过山石网科安全网关的深度应用识别后,分析出真实的应用后,对P2P和IM等过度占用带宽的行为进行限制;
限制不被许可的访问地址:山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
基于身份的访问控制:传统访问控制的基础是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特别是根据不同IP地址配置不同强度的访问控制规则时,通过修改IP地址可以获得较宽松的访问限制,及时采用了IP+MAC绑定,但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合,可实现基于“实名制”下的访问控制,将大大提升了访问控制的精度。
4.2.4 配置带宽控制策略
针对外网的互联网出口链路,承载了员工上网的访问,因此必须应采取带宽控制,来针对不同访问的重要级别,提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理
基于山石网科的多核 Plus G2安全架构,StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统
/ 42
典型中小型企业网络边界安全解决方案
中可容纳多于40,000的QoS队列。结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个角色产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
对应用控制流量和区分优先级
山石网科提供专有的智能应用识别(Intelligent Application Identification)功能,简称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类;Hillstone 山石网科还支持用户自定义的流量,并对自定义流量进行分类;同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。
带宽利用率最大化
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽的利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制,允许某一类的网络使用者享有弹性QoS,另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。
实时流量监控和统计
山石网科 QoS解决方案提供各种灵活报告和监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备
/ 42
典型中小型企业网络边界安全解决方案
提供带宽使用情况的历史记录,为将来分析提供方便。同时用户还可以自己定制想要的统计数据。
4.2.5 上网行为日志管理
通过山石网科安全网关,在实现分支机构员工上网访问控制和QOS控制的基础上,对行为进行全面记录,来控制威胁的上网行为,并结合基于角色的管理技术,实现“实名制”审计,在本方案中将配置执行如下的安全策略:
网络应用控制策略规则
网络应用控制策略规则,是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:
策略规则名称 – 上网行为管理策略规则的名称。
优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为,比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作,比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。
/ 42
典型中小型企业网络边界安全解决方案
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
例外设置
对于特殊情况下不需要上网行为管理策略规则进行控制的对象,可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。
/ 42
典型中小型企业网络边界安全解决方案
分级日志管理模式示意图
4.2.6 实现URL过滤
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库,包含数千万条域名的分类web页面库,并能够实时同步更新,该地址库将被配置在所有分支机构出口的山石安全网关上,对员工访问的目标站点进行检查,保障健康上网。
山石网科提供的URL过滤功能包含以下组成部分: 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单:包含允许访问URL。不同平台白名单包含的最大URL条数不同。
关键字列表:如果URL中包含有关键字列表中的关键字,则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
/ 42
典型中小型企业网络边界安全解决方案
不受限IP:不受URL过滤配置影响,可以访问任何网站。
只允许用域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP地址类型的URL将被拒绝访问。
只允许访问白名单里的URL:如果开启该功能,用户只可以访问白名单中的URL,其它地址都会被拒绝。
4.2.7 实现网络病毒过滤
随着病毒技术的发展,网络型病毒(比如蠕虫、木马等)已经被广泛应用了,这种病毒的特点是没有宿主就可以传播,在网络中快速扫描,只要发现网络有许可的行为,就能够快速传播,其危害除了对目标主机造成破坏,在传播过程中也产生大量的访问,对网络流量造成影响,对此传统在主机上进行病毒查杀是不足的,对此问题就产生了病毒过滤网关,该系统类似于防火墙,采用“空中抓毒“技术,工作在网络的关键节点,对经过网关的数据包进行过滤,在判断为是病毒的时候进行阻断,防止病毒利用网络进行传播。
这里建议中小企业可利用安全网关的病毒过滤技术,对各个安全域在实行访问控制的同时,进行有效的病毒过滤,杜绝某个安全域内(比如终端区域)的主机感染了病毒,该病毒无法穿越病毒过滤网关,从而无法在全企业网蔓延,造成更大的破坏。
山石网科的病毒过滤能够有效解析出上十万种病毒,能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力,其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力,全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和最大可扫描文件
/ 42
典型中小型企业网络边界安全解决方案
方面提供高升级性。
病毒过滤系统同样也大大提升了服务器的安全性,在当前访问控制的基础上,进一步保障了关键业务的安全性。
4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术,作用于中小企业,可实现总部与分支机构之间通过互联网的纵向互联,并作为现有专线的备份链路,在不增加额外投资的基础上,提升了系统总体的安全效率。(当然需要总部的互联网出口也部署有标准IPSEC VPN系统)
在通过互联网实现纵向互联的过程中,通过IPSEC VPN技术,将实现如下的保护: 机密性保护:在传输过程中对数据进行加密,从而防范了被篡改的风险;
完整性保护:在传输过程中,通过HASH算法,对文件进行摘要处理,当到达接收端时再次进行HASH,并与发送端HASH后形成的摘要进行批对,如果完全相同则证明数据没有
/ 42
典型中小型企业网络边界安全解决方案
被篡改,从而保障了传输过程的完整性; 抗抵赖:IPSEC VPN运用了数字签名技术,采用对称密钥算法防范传输数据被抵赖的风险; 抗重放:IPSEC VPN运用系列号,一旦某个数据包被处理,序列号自动加一,防范攻击者在收取到数据包,以自己的身份重新发送的风险; 山石网科安全网关IPSec VPN支持的主要技术包括: 标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通,只要对端采用标准IPSEC协议,即可实现互联互通; 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
支持静态IP对端、动态IP对端、拨号VPN对端,可以很好地使用各个分支机构实际的网络环境; 支持VPN上的应用控制,在隧道内针对中小企业,提供更完善的访问控制。
4.2.9 实现安全移动办公
山石网科安全网关支持的SSL VPN技术,针对移动办公人员,在不需要配置任何客户端的情况下,实现安全可靠的接入。通过USB KEY的方式,配发证书,移动办公人员必须在提交KEY证书后,安全网关方可允许其通过互联网接入到企业网内,实现安全快捷的访问。方案建设效果
本方案利用山石网科安全网关,作用于中小企业各个分支机构的互联网出口,对员工上网行为进行有效控制和记录,对比现有的安全手段,将在如下层面提升安全性:
/ 42
典型中小型企业网络边界安全解决方案
总体部署效果示意图
【实现集中监控】
在采取了统一品牌的山石网科安全网关后,通过部署在总部的安全管理中心,实现对分布在各个分支机构互联网出口的安全设备的集中管理,重点对日志进行集中的收集和分析,确保在发生安全事件后能够快速传递到总部,以便采取必要的保障措施。【实现有效访问控制】
通过严格的访问控制,限制了内、外部用户对企业各种资源的访问,限制员工对ERP和OA的访问,限制互联网用户对企业网站的访问,由于这些人员只能通过许可的方式,因此大大降低了重要信息资产的暴露程度,提升了系统的安全性; 【有效保护关键资产】
/ 42
典型中小型企业网络边界安全解决方案
对于中小企业而言,关键的信息资产就是各类应用服务器,和数据库,由于本方案采取安全域划分的方式,将这些关键资产集中起来进行有效防护,因此大大提升了系统的总体安全性; 【有效防范攻击】
山石安全网关支持超过3,000种的攻击检测和防御,支持攻击特征库离线在线更新,定期自动更新多种方式。
山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护,当其他主机访问业务系统时,发起对服务器的访问,山石入侵防御系统会在线分析这些数据包,并从中剥离出哪些是正常访问的数据包,哪些是存在攻击行为的数据包,在此基础上对攻击包采取有效的封堵行为,从而保障了安全可靠的访问,进一步保护了易程公司关键的应用服务器。
【有效过滤病毒】
与防范攻击的作用类似,科山石安全网关内置的过滤网关部署在重要的安全域边界,当重要的服务器接受访问时,病毒过滤网关深入分析数据包,检测出是否携带病毒,或者数据包本身就是由一些恶意病毒(比如木马、蠕虫等)引发的,并采取有效的查杀,或者将数据包直接丢弃。
【基于角色的控制与资源保障】
/ 42
典型中小型企业网络边界安全解决方案
中小企业的上网人员是多个层面多种角色的,因角色不同,在访问控制和资源保障部分,需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合,在控制(比如访问控制、日志审计)和资源保障(比如QOS)方面能够根据用户身份以及对应的角色来进行配置,解决了传统以IP地址为依据时,IP地址容易被伪造的问题; 【上网行为实名制审查】
国家相关监管部门要求提供上网的机构,应当对上网人员的行为进行记录,以备在员工进行违规访问(比如发布发动言论,访问非法网站)时,能够进行追溯。而目前中小企业员工均通过NAT来上网,这样单纯在互联网上无法准确定位访问者,即使有些分支机构采取了NAT和上网行为管理设备,但这些设备对行为之记录到IP地址,很难对应到具体的人员。
对此山石安全网关能够在身份识别和角色确定的基础上,对上网人员的行为(访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等)进行有效记录,从而做到实名制审计。【有效封堵P2P和IM】
P2P和IM的特点是,运用动态端口进行访问,对此传统访问控制的基础是地址、协议和端口,这种控制方法根本无法从根本上封堵P2P和IM。
山石安全网关支持的深度应用识别,通过协议分析能够有效鉴别出真实的应用,再此基础上进行控制,方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】
目前中小企业的URL过滤库采用手工方式维护,这种方式无论从实效性、全面性上都存在明显不足,山石网科安全网关内置了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网。
/ 42
典型中小型企业网络边界安全解决方案 【对专线形成补充】
目前中小企业各个分支机构与总公司之间,通过专线实现纵向链接,并支撑纵向的业务访问,而总公司和各个分支机构都有互联网的通道,该通道也可作为专线的备份链路,并且从节约投资的角度,甚至可以用互联网通道取代专线,降低系统总体成本。
山石安全网关支持的IPSEC VPN技术,可以在互联网通道上提供安全保护,数据传输过程中采用加密、完整性校验措施,保障了数据的安全性。【实现安全移动办公】
通过SSL VPN解决了远程办公的安全隐患,使移动人员能够安全、可靠地访问企业网资源。
/ 42
点击咨询 