第一篇:电子商务安全性初探
电子商务安全性初探
摘要:本文针对电子商务安全的要求,分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。
关键词:电子商务;数据加密;信息认证;安全交易标准
所谓电子商务(Electronic Commerce)是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为
关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES(Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL(secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
SET(Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定发布的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
参考文献:
[1] 万守付,电子商务基础(第二版),人民邮电出版社,2006年6月第2版
[2] 加里.斯奈德, 詹姆斯.佩里著,电子商务(第二版)[M], 成栋译.机械工业出版社, 2002.
第二篇:电子商务交易安全性与法律状况社会调查报告
电子商务交易安全性与法律状况社会调查报告
高明电大04级(秋季)电子商务班梁建军
最近中国电子商务协会政策法律委员会、中国电子商务法律网于2007年3至4月份在国内各大电子商务网站发起了一项名为“电子商务交易安全性与法律状况”的调查,这次调查分为3个版本:参与电子商务的个人版、参与电子商务的企业版和交易平台企业版,其中参与电子商务的企业版是针对那些没有自己的经营性网站而利用其他的网站平台进行交易的企业或者公司而设计的。这次调查问卷一共收集了550份有效问卷,其中个人版的有效问卷441份,参与电子商务的企业版的有效问卷85份,电子商务交易平台版的有效问卷13份。中国电子商务协会政策法律委员会、中国电子商务法律网分别对这三部分问卷进行了统计分析。初步获得了一些信息,很值得思考。
第一部分、参与电子商务的个人对电子商务交易安全性及法律的认识
这次参与调查的个人用户80%都具有大专以上学历,其中参与C2C的有将近60%,参与B2C的近39%,参与B2B的近1%。在这些个人用户中,电子商务最吸引他们的原因包括:33%的人认为是降低成本,25%的人认为是节约时间,17%的人认为是操作方便,8%的人是为了寻找稀有商品,7%的人是出于好奇或兴趣,5%的人认为是提供送货上门服务,3%的人认为是安全可靠,认为其他的有2%,而认为是商品或服务质量较好的则为0。
对于什么是参与电子商务的个人在电子商务中最关心的问题,47%的人认为是安全问题,22%的人认为是网上所提供的信息是否可靠(这两项内容都在某种程度上与网上交易主体身份认证有很大的关系),16%的人认为是商品或者服务质量,6%的人认为是成本问题,5%的人认为是付款是否方便,3%的人认为是配
送是否及时。
尽管目前我国的信用卡并不普及,网上银行的安全措施也不甚完善,但是这次调查中在电子商务中个人一般使用的支付方式却有51%的人选择网上银行支付,24%的人选择第三方(如网上交易平台等)所提供的支付方式,只有7%的人选择现金支付,6% 的人选择邮局汇款,10%的人选择银行电汇,1%的人选择手机支付,1%的人选择其他的支付方式。这与网上银行支付系统的快捷方便是有很大关系的,从中我们也可以看出支付方式的便捷性还是参与电子商务的个人的首选。
由于交易者的身份不确定,31%的人表示在电子商务中曾经有过上当受骗的经历。而当问及在电子商务中有过或者假设有受骗的经历,受骗后是否进行或者会进行投诉、向哪个部门投诉、效果怎样或者感觉效果会怎样的问题时,有45%的人选择不投诉自认倒霉,这与个人对于目前电子商务中投诉机制的信心不够有很大的关系。余下人。中有55%选择向网站投诉,6%的人选择向工商局投诉、6%的人选择向消费者协会投诉、6%的人选择向中国电子商务诚信联盟投诉、2%的人选择向法院投诉、3%的人选择向其它部门投诉。但关于具体的投诉效果还是值得我们进行一番思考的。
从以上的分析可以看出,个人用户在网站是个人在电子商务中受到欺诈或者发生纠纷时所首先考虑到的投诉对象,参与电子商务的个人似乎对国家相关部门将给予其更为充分的保护还没有足够的意识。在现在我国还缺乏相关的法律对交易平台网站在电子商务交易中所处的地位进行相应规范的大环境下,网站对于网民上当受骗或者网民之间的纠纷的协调能力还是有限的,但是从实践来看,网站出于经营或者其他因素的考虑对于投诉所采取的相应措施还是取得了一定的效果。另一方面国家的相关部门由于各种各样的原因,目前对于这部分的监督和救济的优势还未充分体现出来。电子商务交易中很多情况下对方当事人都是虚拟的,这次调查中85%的人都表示愿意采取相应的措施来对交易当事人
进行身份认证,只有4%的人表示不愿意,而另外11%的人则抱着无所谓的态度。对于我国前年4月1日开始实施的《电子签名法》,2%的人根本不知其为何物,也不感兴趣;19%的人虽然没有听过电子签名法,但比较感兴趣;54%听说过电子签名法,但是没有什么了解;24%的人对电子签名法比较了解。
《电子签名法》施行后,电子签名也将被赋予和手写签名相同的法律效力,对于确保电子商务交易安全具有重要作用,但是需要支付一定的费用。有23%的人表示不愿意在交易中选择电子签名来确认交易双方的身份,不愿意的理由中77%是由于费用问题,都觉得如果是收费的话就没什么兴趣了,8.4%的人认为电子签名仍然不安全,其余的14.6%的人则认为没有这个必要或者说电子签名的作用不大。77%的人表示在交易中愿意选择电子签名来确认交易双方的身份,愿意的理由几乎100%都是出于安全考虑。
对于具体的身份认证方法,85%的人愿意接受通过身份证的认证,36%的人愿意接受通过手机或电子邮件的认证,40%的人愿意接受通过信用卡的认证,58%的人愿意接受电子签名认证,40%的人愿意接受通过红盾标志(针对企业,工商局给从事电子商务的网站颁发的备案标志)的认证,37%的人愿意接受通过电子版的营业执照(针对企业)的认证,32%的人愿意接受通过居住地址进行认证,27%的人愿意接受通过网络公证进行认证,7%的人愿意接受其他的方法进行认证。当然这些认证方法还可以在某些情况下同时采用。
第二部分、参与电子商务的企业对电子商务交易安全性的认识
这次参与调查的85家企业中参与B2C电子商务的为56%,参与C2C的是33%,参与B2B的为11%,还有一家是参与U2B的(消费者联合对企业通过网络实施的商务活动)。
这些企业中有41%都是2004年以后成立的,其中33%的企业有属于自己的经营性网站,42%的企业有属于自己的非经营性网站,25%的企业没有网站。64%的企业认为目前我国经营性网站进行互联网信息服务增值电信业务经营许可证(也即通常所谓的ICP许可证)“注册资本最低限额为100万元人民币”的要求过高,36%的企业认为这种注册资本要求不高还能够接受。这些企业参与电子商务时有87%采用网上银行支付方式,53%采用现金支付,56%的企业采用邮局汇款,69%采用银行电汇,6%采用手机支,18%采用其他的支付方式。
调查显示,56%的企业认为开展电子商务最关键的环节是交易信息的真实性。在问及“制约和影响开展电子商务最关键的因素”时,有12%的企业认为制约和影响开展电子商务最关键的因素是法律法规的状况,27%的企业认为制约和影响开展电子商务最关键的因素是安全认证机制,28%的企业认为是政府税收政策,2%的企业认为是企业信用,22%的企业认为个人信用,8%其他。作为参与电子商务的企业客户,58%的企业都对客户觉得网上交易主体身份不确定而对交易不放心的状况表示比较担心。
对于何为电子商务交易中最重要的问题,55%的企业认为是交易主体的信用问题,24%的企业认为是交易安全问题,9%的企业认为是商品或者服务质量问题,5%的企业认为是交易成本问题,5%的企业认为是配送是否及时的问题,2%的企业认为是其他的原因。在这些企业参与的电子商务中,79%的企业有过由于交易者身份不确定而交易不成功的案例,其中24%的企业有过很多不成功的案例,55%的企业有过不多的案例。
特别值得一提的是,在调查中,有48%的企业目前已经采取了相应的方法对网络交易主体身份进行认证,52%的企业没有采取过。85%的企业表示愿意采取一定的办法对交易当事人进行身份认证,6%的企业表示不愿意,9%的企业表示无所谓。表示愿意的理由是出于安全、诚信、交易的成功率等方面的考虑,而不愿意的理由是觉得需要耗费人力、物力,太过麻烦。
第三部分、安全与质量:六成网民不信任网上购物
网上购物安全吗?新浪网最近一次有近2万人次参与的在线调查表明,超过6成的被调查者认为网上购物的安全和网上商品的质量问题是阻碍他们网上购物的主要原因。本人最近亦对身边朋友、同事、网友做过调查如下: 安全问题1: “我的账号被盗了”
朋友小斌说,今年4月22日上午,他的淘宝网账户被人盗用了,他在报警的同时向网站申请冻结他和盗用者的账户,但网站只冻结了他的账户。淘宝网公关部的工作人员表示,网站不是侦查机关,很难判定是非,为防止恶意行为,在公安机关介入调查前,网站不能随意冻结其他人的账户。工作人员认为,淘宝网的支付平台系统本身没有问题,网友账户被盗可能和电脑中了病毒或账号信息外泄有关,网站只能建议网友安装防病毒“安全控键”和防盗“数字证书”。
安全问题2: “我买的货有质量问题”
同事小顺说,他在易趣网买了个CPU,收到后发现是坏的,便提出退货,可卖家却不同意退货,还出了一份检测证明,证明商品售出前是正常的。小顺要求网站暂时不要将已打到交易平台的货款付给卖家,但网站提出让小顺提供收到货时商品有无问题的证明,这可难坏了小顺。
易趣网公关部的刘小姐说,网站已根据卖家的证明向检测人员作了核实,基本采信;可小顺却没有相应的证明。网站会进一步调解,若调解不成,网站会依据自己的判断对受骗者全额赔付,对另一方也会有相应处理。刘小姐表示,网站一向要求网友“先验货后付款”,有问题可当场拒收;邮寄的货物可送到有资质的部门检验,并将检验结果和相关联系人交给网站,以便网站处理。安全问题3: 品牌货是真的吗 ?
“网上有很多品牌化妆品,价钱比商场的便宜很多,可我不知道那些货是
真是假。”网友张小姐的担心或许也是很多人的顾虑。本人在网上随机查找了几家化妆品店看到,店主都表示自己的商品是从机场免税店、香港及品牌原产地等处进的货,可对此谁又敢轻易相信呢。
对此,淘宝和易趣都表示,若出售品牌物品,必须获得厂商许可,否则只要被举报,网站就会立即删除其物品。但两家网站又都表示,他们不是知产专家,因此无法对每一位卖家都去核准。
“网上开店卖自己的物品可以,若成批经营品牌物品就是侵权。”天坛律师事务所的宋绍富律师认为,在网上卖品牌物品也应向工商局注册经营许可证,并有义务纳税,同时也应向品牌所有者申请授权,但目前相关部门对这方面的管理还不到位——现实中的品牌经营往往都有地区专属或排他性,但网上却没有地域限制。
第四部分、初步结论:
此次调查显示出,交易安全性仍是目前我国开展电子商务的主要障碍,而交易安全性的有效保障之一是交易者身份的确定性。安全与质量问题也是我国开展电子商务又一大拌脚石,解决问题的能力有待提高。显然,如果要推动电子商务的发展,作为电子商务第一部基本法律规范的《电子签名法》,亟需做进一步地宣传推广。调查还显示出,网上支付正在成为电子商务支付的主渠道。此外,我国电子商务的投诉处理机制目前还不是很健全,效率和解决问题的能力有待进一步提高。
第三篇:数字证书安全性研究——电子商务安全实验报告(浙江财经大学)
电子商务安全期末报告
题目:数字证书安全性研究
项目类型报告类 实训日期 指导教师 学院
专业名称电子商务 组 长 组 员
2015年5月
一、数字证书的含义以及特点
(一)数字证书的含义
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,它是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
(二)数字证书的特点
1.信息的保密性
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
3.不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
4.不可修改性 交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
(三)数字证书的结构与主要信息有那些?
X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN1语法进行编码。
版本号:标识证书的版本(版本
1、版本2或是版本3)。
序列号:标识证书的唯一整数,由证书颁发者分配的本证书的唯一标识符。
签名:用于签证书的算法标识,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。
颁发者:证书颁发者的可识别名(DN)。
有效期:证书有效期的时间段。本字段由”Not Before”和”Not After”两项组成,它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。
主体:证书拥有者的可识别名,这个字段必须是非空的,除非你在证书扩展中有别名。主体公钥信息:主体的公钥(以及算法标识符)。
颁发者唯一标识符:标识符—证书颁发者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
主体唯一标识符:证书拥有者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
(四)目前的数字证书有哪些格式
cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem)p7b一般是证书链,里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。在Security编程中,有几种典型的密码交换信息文件格式:
DER-encoded certificate:.cer,.crt
PEM-encoded message:.pem
PKCS#12 Personal Information Exchange:.pfx,.p12
PKCS#10 Certification Request:.p10
PKCS#7 cert request response:.p7r
PKCS#7 binary message:.p7b
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。
(五)数字证书颁发的过程
二、以网上银行的数字证书为例
(一)网上银行存在的安全问题
近几年,国内商业银行在网上银行项目发展上有很大的进步,国家也在大力倡导网上银行数字证书的应用,以保障网上银行的安全。但是网上银行仍然存在一些安全问题,例如假造银行通知、网上“钓鱼”、病毒程序、短信诈骗等。黑客们利用这些手段,直接窃取用户的账号和密码。去年的所谓“网银大盗”事件,就是一帮黑客将托洛依木马程序置于某银行网银,窃取了近800万客户的账号及密码,给广大网银用户造成了很大的经济损失。
我们知道,目前我国的网上银行主要有两种形式:一种是“大众版”网上银行,另一种是“专业版”网上银行。“大众版”网上银行即指简单的“用户名+口令”的登陆方式。许多网络银行在开通时,为了迅速抢占更多的客户资源,往往过分宣传网银的便利性而推荐采用“用户名+口令”的简单的“大众版”的形式,这种简单的“大众版”网上银行其实存在很多不安全因素,比如客户误登假银行网站;卡号和密码丢失;个人电脑中木马病毒等情况,这些都可能导致他人盗取用户的帐户名和密码从而造成经济上的损失。实际上目前发生的大部分用户网上银行资金被盗案件正是由于用户使用简单的“大众版”网上银行方式使帐户名和密码被盗造成的。
“专业版”的利用数字证书登陆网上银行的方式是非常安全的,用户如果正确使用数字证书,就可以保证其帐户的安全。迄今为止,尚未发现一例数字证书机制被攻破的事例。但是如果用户不能很好的保存数字证书,使数字证书被他人窃取,则很可能导致用户帐户资金被盗的情况发生,比如用户将数字证书存放在硬盘上,这样就有可能被盗,存在风险。如果用户将数字证书保存在从银行发放的USBKEY中,这样密钥可以不出卡,安全级别最高,可以很好的保证帐户和资金的安全。
(二)正确使用数字证书,保障网上银行的安全
虽然数字证书可以有效的保证网上交易的安全,国家也在大力倡导数字证书的应用,到目前为止,全国网银数字证书的发放量仅仅为80万张左右,比起4000万的网银用户数,实在太少了。目前制约网银数字证书的发放主要有如下几个因素:首先是目前多数人对数字证书不太了解,不知道它在保障网上交易安全上能给我们带来的好处,从而没有尝试这一新生事物;其次,比起 “用户名+口令”的“大众版”网上银行,数字证书的使用还很烦琐,要通过“进入网银界面、输入用户名和密码、插入数字证书、询问是否需要签字”等几个步骤,然后,用户要等待十几秒甚至更长的时间,才能完成,这对于已经习惯于使用“用户名+口令”简单方式的用户来说,实在是很罗嗦,也太慢,普通老百姓很难适应它。因此对于仍然使用“用户名+口令”的“大众版”网上银行的用户来说,要保证网上交易的安全,最主要的是要养成良好的网上银行使用习惯。具体来说,普通用户在使用网上银行时要注意以下几个方面:
1.妥善保管卡号和密码
个人要妥善保管卡号和密码,防止将银行卡卡号和密码泄漏,尽量不要用生日和个人其他重要信息设置密码,以防密码被修改。另外,用户在使用网上银行时,请选择安全的、固定的地点上网,不要在公用的计算机上使用网上银行,以防密码被盗。2.直接输入银行网址
使用网上银行时,请直接在地址栏输入该银行的正确网址或从收藏栏中调出以前收藏的该银行的网址,尽量避免通过搜索的形式登录银行网站,因为这样可能会误登“钓鱼网站”。
3.做好个人电脑的安全措施
为电脑安装防火墙程序,防止个人账户信息遭到黑客窃取。为电脑安装防病毒软件,并经常升级。及时更新相关软件,下载补丁程序,防止他人利用软件漏洞进入计算机窃取资料。对于陌生的电子邮件不要打开,直接删除,防止电子邮件欺诈等等。
4.定期查看交易明细,如有异常,及时和银行沟通
对网上银行办理的各项业务做好记录,定期查看交易明细,如发现异常交易或账务差错,应及时与银行联系。另外,银行网站如有重大变故,银行一般会提前公告用户。用户遇到非正常提示,应立即与银行确认。万一发现资料被盗,应立即修改相关交易密码或办理银行卡挂失。
普通的用户如果能养成上述良好的网上银行使用习惯,基本上也能保障网上银行的安全,但随着网络上病毒和黑客的泛滥,要更好的保障网上银行的安全,建议大家还是使用数字证书网上银行。
对于使用数字证书网上银行的用户来说,用户在向银行申请开通网上银行时,银行会给用户一个数字证书,数字证书应由用户、银行以外的权威的第三方安全认证机构(CA)发放。目前国内主要的数字证书是由中国金融认证中心(CFCA)发放的。据了解,CFCA是金融行业唯一的第三方安全认证机构,当前,除中行和招行外,国内其余全国性商业银行都在使用他们提供的数字证书。
数字证书可以存放在计算机的硬盘、随身软盘、U盘或银行发放的USBKEY中。对于存放在计算机的硬盘、随身软盘或U盘中的数字证书其实并不安全,病毒或黑客可以通过复制,从而从这些存储器中盗取用户的数字证书,并冒充用户进行网上交易,造成用户资金的损失。为了更好的保证网上银行的安全,我们建议用户使用USBKEY来保存数字证书,USBKEY是一个类似于U盘的的存储设备,里面存储了用户个人的认证信息,即数字证书。由于USBKEY中存储的信息具有不可复制性,因此,用户只要保存好USBKEY,就能保证网上银行的安全。这意味着,就算被别人知道了用户的卡号和密码,没有数字证书确认,任何网上交易都不可能成功,当然别人也就不可能通过网上银行盗用用户卡里的钱。因此,我们建议各位用户在申请开通网上银行时,最好选用由USBKEY保存数字证书,这样,只要用户保存好数字证书,就可以保证网上银行的安全
三、数字证书的相关操作
(一)安装数字证书 鼠标双击刚下载的证书,出现“证书”对话框,展开对话框左侧的证书列表(见下图):我们下载的根证书包含两个证书。
分别双击“SHECA”和“UCA ROOT”证书,在出现的“证书”对话框中选择“安装证书”,然后使用默认设置进行安装即可。其中“UCA ROOT”为根证书,“SHECA”为中级颁发机构的证书。安装后请到IE的证书中查找到相应证书的安装位置和证书的相关信息。
(二)查看数字证书
1.证书在电脑中的安装位置:IE游览器属性的内容选项卡“证书栏目”中。见如下图:
2.已经安装的证书类别和证书查询:点击上图中的“证书”按钮或者“发行商”按钮,即可打开证书对话框,见下图:
从上图可以看出IE把证书归为个人、其他人、中级证书办法机构、受信任的根证书颁发机构、受信任的发行者、未受信任的发行者6个证书存储容器,用以分类存储数字证书。
(3)证书结构认识。在上图中任意选择一证书后双击,在打开的如下图的证书信息窗口中查看证书的信息,包括证书的详细信息和安装路径:
(三)导出数字证书
证书的导出。由于因计算机故障等因素,需要重新安装系统,系统安装后原先系统中的信息就不存在了。因此安装前要进行证书的导出和保存,否则又要重新申请等,比较麻烦和费钱。导出证书的步骤如下: 打开IE游览器属性,在证书中找到需要导出的证书“UCA ROOT”,然后选择界面中的“导出”按钮,根据向导进行导出。导出的证书名称为“UCA ROOT”,导出到桌面上。同样导出名为“SHECA”的证书到桌面上。导出后可将证书存储到磁盘或者U盘等存储器中,以备后用。
(四)安装数字证书
证书的删除:对于已经过期的则可以通过证书界面的删除按钮进行。
(五)如何检测数字证书?
1.如何检验假证书?
公共密钥基础设施在设计时考虑了多个安全功能,这些功能让终端实体来决定自己的信任。这个系统中,如果证书被感染,证书颁发机构(CA)发布的数字证书会被撤销,或证书颁发机构可能被吊销发放证书的资格。CA证书被捆绑在Web浏览器来支持新的SSL协议。虽然这种做法将系统设置为在默认情况下信任CA,最大的问题是任何CA都可以发布任何名称的证书。企业可以在安装软件之前,检查已签名软件的证书吊销情况,从而检测出看似真实的证书是否为假证书。企业还可以检查通过HTTP下载的每个文件,看看文件是否由已吊销证书签名,然而可以阻止下载。另外,企业可以检查本地系统的每个文件以确定文件是否由已吊销证书签名,如果发现由已吊销证书签名的文件,应该调查该文件所在系统。
2.如何识别数字证书的攻击?
银行早期推出的数字证书是一种虚拟的数字证书,由用户下载并安装在IE浏览器中,这种软证书虽具备了PKI(公开密钥体系)加密的特性,但不强制用户设置证书使用口令,其他人登录同一台电脑就能直接使用,软证书的私钥可以导出,从而给木马程序以可乘之机,很多新的病毒木马可以偷走证书文件,这样一来用户账户信息就得不到有效的保障。
四、数字证书与令牌认证比较分析
(一)适用范围方面
1.数字证书
用户、系统之间认证,支持双方认证,用户、系统都能够验证对方的身份;用户、用户之间认证,基于可信的数字证书,用户可以认证相互之间的身份;系统、系统之间认证,网络应用系统之间可以采用数字证书进行系统之间的认证;支持数据保密,可以采用数字证书对传输数据进行加密保护;支持基于数字证书的交易签名,符合电子签名法要求,可作为有效法律证据。
2.令牌认证
系统对用户进行认证;适用于主机、设备、网站等认证登录用户的身份。
(二)可靠性方面
数字证书认证包括两个过程,证书发放和证书登录,证书发放过程通过CA系统完成,证书登录过程主要通过业务系统完成。在CA系统瘫痪时,业务系统仍然可以继续采用数字证书进行登录。此时最大的问题是无法为新的用户签发证书,不能及时吊销现有的证书。相对于业务系统不能登录而言,这些问题并不算太严重 2.令牌认证
令牌认证过程包括两个部分:客户端产生动态口令和后台验证该动态口令。后台对动态口令验证是通过独立的系统完成的,该系统服务暂停时,将导致整个业务系统不能登录
(三)易用性方面
1.数字证书
首次使用存在一定难度,习惯后难度降低。主要包括设备驱动软件安装,接受新的登录方式等。在硬件证书丢失后,可以签发临时的软件证书应急使用。
2.令牌认证
简单易用,登录失败率低。令牌遗失后,需要获取新的令牌,没有灵活的临时方案。
(四)标准化程度
1.数字证书
技术成熟,国家标准、国际标准、行业标准完备,软硬件技术一致性很高,具有很高的兼容性,大部分软、硬件可以通用。
2.令牌认证
所采用的技术成熟,具有行业标准,对动态口令产生算法提供指导。各厂家的软、硬件技术差异较大,部分厂家技术保密,各厂家之间软硬件集成难度较大,应用中一般采用特定某一厂家的产品。
(五)管理和维护难度
1.数字证书
在管理、维护方面的功能较丰富,方便运营维护的使用。客户端需要安装PKI/CA相关的软、硬件,对最终用户的技术支持会稍多些。2.令牌认证
设备丢失后,恢复麻烦,需要一定的时间。
数字证书认证由第三方CA认证中心颁发证书,可保证公钥的正确性,采用非对称算法,算法强度高;目前来说应该是最安全、稳定的认证方式,一定程度还具有一定的抗抵赖性;但是采用此种认证方式的客户端需要安装驱动程序,管理、部署和维护复杂;在许多特殊场景下无法使用,终端容易受到黑客攻击。
令牌认证核心在于算法,其使用相对比较灵活,无需记忆密码,采用双因素认证机制可起到双保险的作用,简单易行;是身份认证机制新的发展方向,它提供了比传统静态口令更高的安全性,是适应当前信息安全发展特点的一项重要的身份认证技术,在政府办公、银行业、证券业、大型企业等有着良好的应用前景。
小组成员分工比例:张景阳50%,薛蓉50% 期望的成绩:良好 原因:
1.小组成员都很认真的对数字证书的相关方面进行了探究,除了灵活应用课堂上所学的知识之外,也有将自己的看法写入到报告中,很认真的完成这次的报告;
2.报告的内容都是小组成员查找相关刊物和搜索得出的结论,相对科学,也花费了大量的时间,很认真的对待这次报告;
3.相比较其他小组有代码和作品,我们可能在这方面有所劣势,所以距离优秀还有一定距离
第四篇:食品安全性
食品安全性 1、1906年美国国会通过了第一部对食品安全,诚实经营和食品标签进行管理的国家立法—《食品与药物法》同年还通过了《肉类检验法》。
2、我国于1982年制定了《中华人们共和国食品卫生法》(试行)经过了13年的试行阶段于1935年由全国人大常务委员会通过,成为具有法律效力的食品卫生法规。
3、食品安全性问题: 首先,近年来食源性疾病的暴发流行性仍在世界不同国家不断发生,但病的种类有所变化。其次,在由癌症及其他与饮食营养有关的慢性疾病上升,化学药物特别是妇幼群体危害日益明显,以及动物性食品在饮食结构中重要性增大的条件下,兽药使用不当,饲料中过量添加抗生素及生长促进素对食品安全性的影响,逐渐突出出来。最后需要提及的,是在人类进入核时代以后食品安全性中的核安全问题,近年来世界范围的核试验,核事故已构成对食品安全性的新威胁。
4、什么是食品安全性?
食品中不应含有可能损害或威胁人体健康的有毒,有害物质或因素,从而导致消费者急性或慢性毒害或感染疾病或产生危及消费者及其后代健康的隐患。
5、绝对安全性、相对安全性
绝对安全性被认为是指确保不可能因食用某种食品而危及健康或造成伤害的一种承诺,也就是食品应绝对没有风险 相对安全性,被定义为一种食物或成分在合理食用方式和正常食量的情况下不会导致对健康损害的实际确定性。
6、毒性是指物质在任何条件下对机体产生任何种类(慢性或急性)损害或伤害的一种能力,这也包括损害正在发育的胎儿(致畸胎),改变遗传密码(致突变)或引发癌症(致癌)的能力等。
7、风险可简单地理解为人所不欲事件发生的概率或机会的多少
8、营养失控,微生物致病,自然毒素,环境污染物,人为加入食物链的有害化学物质,其他不确定的饮食风险,为现代食品安全性的六大类问题。
9、建立和完善确保食品安全性的社会管理体系 1)就食品安全性进行完整的立法
2)对食品安全和供应系统所用的各类化学品 3)对食源性疾病风险实行环境全过程控制
4)采用绿色或可持续的生产技术,生产对人与环境无害的安全食品 5)建立健全市场食品安全性的检验制度,加强执法,保障人民健康
10、消费者应怎样自我保护? 1)充分认识和把握食品风险的各种来源;2)膳食结构和饮食方式要讲科学;3)购物的安全性意识;4)家庭制作中的食品安全性
11、环境是指环绕着人群的空间及其中可以直接,间接影响人类生活和发展的各种自然因素的总体,环境是一个非常复杂的体系,通常所说的环境,一般是以人或人类作为主体,其他生物和非生命物质被认为是环境要素,即人类的生存环境。
12、环境污染是指人类活动所引起的环境质量下降而对人类及其他生物的正常生存和发展产生不良影响的现象。
13、原生环境是指天然生成,并未受人为活动影响或影响较小的环境次生环境是指在人类活动影响下,其中的物质交换,迁移和转化,能量、信息的传递都发生了重大变化的环境。
14、大气污染对食品安全性的影响
1)氯化物 2)煤烟粉尘和金属飘尘 3)沥青烟雾 4)酸雨
15、大气中的SO2和Nox是酸雨物质的主要来源,一般来说,SO2对酸雨的形成更为主要。
16、酸雨对食品安全性的影响
酸雨对水生生态系统的影响是使淡水湖泊和河流酸化,影响人类繁殖,另外,瑞典,加拿大,和美国的研究结果揭示,酸雨地区内鱼的含汞量很大,鱼和淡水湖泊中含汞量的增加,会通过食物链给人类健康产生有害影响。
酸雨对陆生生态系统也带来潜在的危害,土壤酸化,土壤中的锰、铜、铅、汞、镉、锌等元素,转化为可溶性化合物,使土壤溶液中中重金属浓度增高,通过淋溶转入江河湖海和地下水,引起水体重金属元素浓度增高。通过食物链在水生植物以及粮食,蔬菜中积累,给食品安全性带来影响。
17、对食品安全性有影响的水污染物有三类:无机有毒物,包括各类重金属(汞、铬、铅、镉)和氰化物,氟化物等;有机有毒物,病原体
18、酚对植物的影响表现在:低浓度酚促进庄稼生长,而高浓度抑制生长
19.苯影响人的神经系统,剧烈中毒能麻醉人体,失去知觉,甚至死亡,轻侧引起头晕、无力和呕吐等症状。20、土壤污染的发生途径首先是农用施肥,农药使用和污灌,污染物质进入土壤,并随之积累,其次,土壤作为废物(垃圾、废渣和污水等)的处理场所,使大量的有机和无机的污染物质进入土壤。
21、土壤污染的特点是进入土壤的有害物质迁移的速度较缓慢,污染达到一定程度后,即使中断污染,其土壤也很难复原。
22、土壤中重金属对植物的影响分为:(1)镉(2)铅(3)砷(4)汞(5)铬
23、化肥
24、食物中放射性物质的来源?
(1)食品中天然放射性物质(2)食品中人工放射性物质
25、关于辐照食品的安全性,以下几方面值得考虑
(1)有害物质的生成(2)营养成分的破坏(3)致癌物质的生成(4)诱变物质的生成(5)食品中的诱导放射性(6)伤残微生物的危害
26、食品中的化学成分分为四组:1)是人们赖以生存的,具有营养作用的化学物质,如蛋白质、脂肪、糖水化合物、维生素和矿物质等
2)化学物质是人体不可缺少的,但它们既不增加,也不减少食品的营养价值,如纤维素、它们在胃肠系统中运动,当他们通过时对周围的组织没什么影响,对其他养分也不起什么作用,3)化学物质虽然对人体健康有益,但不能被认为是真正的营养物质,如抗癌物质,增强胆固醇排泄的物质,提高营养物质吸收速率的物质,4)对人体健康的有害物质
27、天然有毒物质的中毒条件:
1)遗传基因 2)过敏反应 3)食用量过大 4)食物成分不正常
28、食物中天然有毒物质的种类:
1)生物碱 2)甙(dai)类 3)有毒蛋白和肽
29、食物中毒特点:潜伏期短,食用某种物质后突然发病,常常伴有呕吐、头疼、腹泻等胃肠炎的病症,严重的可成昏迷休克等症状,甚至可引起死亡,特别是在集体就餐的地方,如果同时食用了同样的食物并发生类似急性肠胃炎的患者,则食物中毒的可能性很大。、解毒处理原则:1)清除毒物 2)应用有效解毒剂 3)促进体内解毒排泄 4)对症治疗
31、有毒食用植物中毒种类:
1)非食用部位有毒 2)在某个特定的发育期有毒3)其有毒成分加工可去除4)含有微量有毒成分,食用量过大引起中毒
32、几种常见的食用有毒植物:
1)豆类 生豆浆2)马铃薯,含有茄碱,是一种弱碱性的甙生物碱,应将马铃薯存放于干燥阴凉处,以防止发芽,采取措施,烹调时加点醋,以破坏残余的毒素,因为茄碱可溶于水,与稀盐酸或醋酸共加热可被水解为无毒的茄啶和一些糖。
32、河豚鱼其毒素主要有两种:河豚毒素和河豚酸
33、含有毒物质的动物组织:
一、内分泌腺:1)甲状腺2)肾上腺3)病变淋巴腺
二、动物肝脏
34、毒蘑菇的中毒类型:1)胃肠炎型中毒2)神经经神类型中毒3)中毒性肝损害型4)中毒性溶血性
35、脂质功能:1)供给能量2)构成人体组织3)供给人体必需脂肪酸4)促进脂溶性维生素的吸收和利用
36、什么是蛋白质的生物价:
蛋白质生物价=氮储留量/氮吸收量*100% 食物蛋白质生物价越高,其营养价值越高
37、人体合理膳食的原则:1)满足身体的各种营养素需要2)对人体无毒无害3)易于消化吸收4)科学的膳食制度
38、营养素摄入不平衡引发的疾病:
1)肿瘤2)动脉粥样硬化3)肥胖症4)糖尿病
39、抑制肿瘤发生的营养因素:
1)硒可以抑制肿瘤特别是胃肠道和泌尿生殖系统肿瘤 2)视黄醇类物质具有防止上皮细胞癌变的功能
3)维生素C可以增强人体的免疫系统和结缔组织的功能
4)维生素E具有较强的抗氧化性,可与体内过氧化物反应,从而达到抑制肿瘤的目的
5)丰富的蛋白质可以提高机体的免疫功能,使机体处于良好的状态 40、食品添加剂定义(98页)
41、食品添加剂分类:
一是天然提取物二是用发酵等方法制取的物质三是纯化学合成物
42、食品添加剂对人体的毒性概括起来有致癌性,致畸性和致突变性,这些毒性的共同特点是要经历较长时间的才能显露出来,即对人体产生潜在的毒害,这也就是人们关心食品添加剂安全性的原因。
43、防腐剂主要是苯甲酸和苯甲酸钠 亚慢性毒性试验表明:在体内无蓄积作用,无致畸、致癌、致突变作用
44、食品添加剂的安全管理:包括食品添加剂的毒理学评价,食品添加剂使用量标准的制定,食品添加剂标准审批、生产或使用添加剂审批手续,食品添加剂法规等。
45、农药残留是指农药使用后残存于生物体、食品(农副产品)和环境中的微量农药原体,有毒代谢物,降解物和杂质的总称,具有毒理学意义。
46、农药污染食品的途径主要是:1)施用农药后,对作物或食品的直接污染2)空气、水、土壤的污染造成动植物体内含有农药残留而间接污染食品3)来自生物链和食物富集作用4)运输及储存中由于和农药混放而造成食品污染
47、降低食品种农药残留措施:
1)建立健全农药法规标准,加强对原料作物的生产管理 2)改变食用方式
48、兽药进入动物体的主要途径:1)预防和治疗畜禽疾病用药2)饲料添加剂中的兽药的使用3)食品保鲜中引入药物
49、兽药残留的主要原因:1)不遵守休药期有关规定2)不正确使用和滥用兽药3)饲料加工过程中受到兽药污染或运送出现错误4)食用未经批准的药物5)按错误的用药方法用药或未作用药记录6)屠宰前使用兽药7)厩舍粪池中所含兽药
50、兽药残留对人体的危害:1)毒性作用2)过敏反应和变态反应3)细菌耐药性4)菌群失调5)致畸致癌致突变作用6)激素作用
51、控制动物性食品中兽药使用残留措施:
1)加强兽药使用中的合理的使用规范2)严格规定休药期和制定动物性食品药物的最大残留限量3)加强监督检测作用4)合适的食品食用方式
52、看镉对人体的危害
53、减少食品中金属污染的措施:
1)加强农用化学物质的管理,禁止使用含有有毒重金属的农药、化肥等化学物质如汞,含砷制剂;严格管理农药、化肥的使用
2)限制使用含汞含铅等金属食品的加工用具,管道容器和包装材料,以及此类重金属的添加剂和各种原材料。
3)减少环境污染,严格按照环境标准执行工业废气、废水、废渣的排放
4)加强食品卫生监督管理,完善食品卫生标准,加强对食品的卫生监督监测工作,进行完善食品研究和食品安全性研究工作,进行生物检测和流行病学调查
54、膳食中硝酸盐的来源包括:1)食品添加剂2)从自然环境中摄取和生物机体氮的利用3)含氮肥料(包括无机肥和有机肥)和农药的使用,4)工业废水和生活污水,其中直接来源是食品添加剂,主要来源是肥料的大量使用
55、硝酸盐和亚硝酸盐对人体的危害:
1)婴儿正铁血红蛋白症2)婴儿先天畸形3)甲状腺肿4)癌症
56、生物性污染是指微生物、寄生虫、昆虫等生物对食品的污染
57、看关于黄曲霉的毒素
58、防止霉菌毒素中毒的措施:
1)选用抗菌品种2)作物收获时要及时晒干、脱粒3)粮食粮食的存储管理 4)食品加工前应测毒素含量5)不吃霉变食品
59、看金黄色葡萄球菌类型、症状 60、病毒引起的食物中毒:
1)病毒在视频上的残存2)海洋生物对病毒的吸收 61、塑料包装材料的污染物来源:
1)塑料包装表面污染物2)塑料包装材料本身的有毒残留物迁移3)包装材料回收或处理不当
62、聚乙烯材料的残留物主要包括:聚乙烯单体乙烯、低相对分子质量聚乙烯,回收制品污染物残留以及添加色素残留,其中乙烯单体有低毒。63、食品包装用纸的食品安全问题主要是:
1、纸原料不清洁,有污染,甚至霉变,使成品染上大量霉菌
2、经荧光增白剂处理,使包装纸和原料纸中含有荧光化学污染物 3包装纸涂蜡,使其含有过高的多坏芳烃化合物
4、彩色颜色污染,如糖果所使用的彩色包装纸。涂色层接触糖果造成污染 性物质,农药及重金属等化学残留物的污染 64、食品中危害成分的毒理学评价:
1、初步工作
2、第一阶段:急性毒性试验
3、第二阶段:遗传毒性试验(蓄积毒性试验,致突变实验
4、第三阶段:亚慢性毒性试验
5、第四阶段:慢性毒性试验(包括致癌试验)65、急性病毒试验是指一次给予受试物或在短期内多次给予受试物所产生的毒性 66、半数致死量了解
67、亚慢性毒性试验试验目的: 1)观察受试物以不同剂量水平较长期喂养,确定动物的毒性作用性质和靶器官,并初步确定最大无作用剂量
2)了解受试物对动物繁殖及对子代地致畸作用 3)为慢性毒性和致癌试验的剂量选择提供依据 4)为评价受试物能否用于食品提供依据 68、慢性试验是观察实验动物长期摄入受试物所产生的毒性反应,尤其是进行性和不可逆的毒性作用以及致癌作用,最后确定最大无作用剂量,为受试物能否用于食品的最终评价提供依据
69、风险评价包括危害确定、危害鉴定、暴露量评估和风险鉴定
70、风险鉴定是指根据危害确定、危害鉴定和暴露量评估有关资料,对某一特殊人群已知的或潜在的健康危害发生的可能性进行定性和定量的评价 71、食品标准的用途:1)保证食品的使用安全性2)国家管理食品行业的依据3)企业科学管理的基础
72、食品卫生标准的制定程序
1)食品卫生标准中有害化学物质的制定程序
2)其他理化指标及微生物指标的制定程序
第五篇:涉网安全性
关于电厂涉网安全评估的思考
〔摘要〕分析了电力体制实施“厂网分开”后,电网安全责任主体发生变化,电网安全工作面临的新情况,考虑到全国联网的初始阶段和电力供应再度紧张使电网安全问题凸显,作为应对措施之一,理应对过去行之有效的安全性评价适时地予以创新或改进,据此提出了“并网电厂涉网安全性评估”,并就有关的评估标准制定、评估内容和实施等问题进行了思考和探讨。
〔关键词〕安全管理 安全性评估 并网运行
随着电力体制改革的深化,“厂网分开,竞价上网”的逐步实施,电网经营企业和并网电厂关于电网安全的责任出现了变化,电网安全工作面临不少新的情况。但是,电能的生产、传输、分配和使用同时完成的特点,以及由此引起的电能传输通道电网安全稳定运行的客观要求依然未变。如何使变化了的主体适应电网安全未变的要求,确保电网在新情况下仍然安全、优质、经济地运行,已成为电业系统人士共同关心的问题。
2003年以来,全国不少地区电网的电力供应又趋紧张,电网安全问题再次凸显。与此同时,全国联网的步伐进一步加快,联网初期必然存在的弱联系过程,使电网的安全稳定问题一时变得十分突出。特别是8月14日美加大停电造成了巨大的经济损失和不良的社会影响,引起世界各国的普遍关注,也引发我国业界人士对电网安全问题进行更加广泛和更为深入的思考。
总结我国电网安全工作中长期积累的经验,对一些行之有效的做法加以创新或改进,使之成为适用于现阶段又易为各方接受的新规范,不失为事半功倍之举,当能收立竿见影之效。应当指出,并网电厂安全性评价作为电网安全工作的重要手段,曾被广泛应用,问题的症结在于,“厂网分开”后,如何进行创新,以适应变化了的新情况;如何不断改进,以提高评价工作的公正性和透明度。笔者对此进行了某些思考和探索。“厂网分开”后电网安全面临的新情况 1.1 厂、网隶属关系不复存在
在新中国电力工业半个多世纪的发展历程中,前35年主要由国家投资建设发电厂和输电网,电力工业基本由国家垄断经营。长期以来,发电厂和电网由网省电力局统一管理,统一核算,发电厂是网省电力局的下属单位,行政上是隶属关系。即使在20世纪90年代初,网省电力局相继改制组建成电力公司后,情况也基本上没有变化。唯其如此,长期以来,电网安全的责任,很自然地通过行政手段由电力局或电力公司传递到发电厂。发电厂投资主体多元化以后,绝大部分发电厂仍然隶属于网省电力公司或委托网省电力公司代为管理,即使对非隶属发电厂仍然可以通过“安全文明达标”或“创一流企业”等活动将电网安全工作的有关要求,纳入到对发电厂的考核之中。
电力体制实施“厂网分开”以后,情况有了很大变化,发电厂隶属新组建的全国性发电公司,而网省电力公司则改制为区域或省(市)电网经营企业,两者之间的行政关系不复存在。电网经营企业主要承担的电网安全的责任,难以通过行政手段或其他形式的活动直接或间接地延伸到发电厂。
1.2 发电厂更加关注经济效益
“厂网分开”以后,发电厂领导向控股的发电公司或董事会负责,而发电公司或董事会对电网安全不再直接承担责任。由于“竞价上网”的压力,发电公司或董事会更加关注发电厂的经济效益。发电厂从自身的经济利益出发,自然以“多发稳发”为经营目标。在安全管理上则贯彻“保人身、保设备”的原则。在主要由电网经营企业承担的“保电网”这一层面上,平时通过执行《并网调度协议》的相关条款来具体实施;当电网发生事故时,主要是执行相关调度机构调度员发出的调度命令等。除此而外,很难有更进一步的作为。
1.3 《并网调度协议》难以涵盖电网安全工作
“厂网分开”之后,发电厂和电网经营企业都是法律上平等的法人实体,两者之间的关系,主要由双方签订的《购售电合同》和《并网调度协议》进行调整。目前作为范本通行的《购售电合同》文本,仅处理与购售电有关的商务问题,所有技术问题以及由此引发的违约处理,均纳入《并网调度协议》之中。这与当前的电力体制下,购电方(电网经营企业)与电力调度机构是同一实体不无关系。但即便如此,《并网调度协议》关注的重点仍然是并网电厂的调度运行、发电计划安排、运行设备的技术参数和检修以及与此相关的继电保护和安全自动装置、调度自动化及调度通信等。至于更深层次的电网安全问题,不可能悉数列入协议之中。从某种意义上讲,有关电网安全的责任难以通过合同或协议向并网电厂做有效的延伸。电网安全问题依然突出 2.1 全国联网后的电网安全问题
在“西电东送,南北互供”方针的指引下,近年来全国联网的步伐明显加快。在区域电网互联或区域电网扩展的过程中,由于起始阶段电网结构相对薄弱,稳定问题一时变得突出,再加调度机构运作尚有一段适应期,电网的安全运行状况突然显得严竣起来。
2.2 电力供应紧张使电网安全问题凸显
2003年开始,全国不少地区又出现了电力供应紧张的局面,使电网安全形势更为严竣。为此,国务院日前发出《关于加强电力安全工作的通知》,要求加强法规建设,切实落实电力安全生产责任制;完善调度协调体系,建立有效的电力安全应急机制等。国务院同时授权国家电力监管委员会具体负责电力安全监督管理。国家电网公司和南方电网公司分别负责所辖范围内的电网安全。在电力供应紧张的电网中,特别是电网无备用容量可供使用的情况下,电网的安全问题尤为突出。
2.3 美、加大停电事故发人深醒
2003-08-14,美国东北部和加拿大部分地区的电力系统发生了大面积停电事故,波及面之广,为患时间之长,前所罕见,引起各国密切关注。事后我国电业系统专家学者多次开会,研讨防止中国电网出现类似事故之良策。纷纷指出,我国电网建设长期滞后,电网结构相对薄弱,近年装机容量不足,电力供应再度紧张,使电网安全受到很大威协。如不加强厂网协调,强化统一调度,及早改善电网结构,妥善解决互联电网稳定问题,类似美加的大停电事故,在我国并非不可能发生。尽快建立和健全重大电网事故的应急处理机制已经刻不容缓。并网电厂涉网安全性评估的提出
基于风险评估理论的发供电企业安全性评价在我国已开展多年,对于发现安全隐患,消除薄弱环节,防患于未然,起到积极的作用。面对变化了的电网情况,在厂网协调层面上,关于并网电厂的安全性评价尤其显得重要,如能适时地予以创新或改进,必能为建立厂网协调统一的电网安全管理机制助一臂之力。
3.1 安全性评价日益受到重视
20世纪90年代,我国电力企业相继开展安全性评价工作,华北电力集团公司等电力企业为此制定了一系列有关发供电企业的安全性评价标准,在实践中取得了较好的效果。国家电网公司成立之后,提出全面规范和推动安全性评价工作。为了适应电力体制改革后电网安全运行管理的需要,进一步加强发电厂并网运行安全管理,保障电网安全、优质、经济运行,国家电网公司组织编制了《发电厂并网运行安全性评价》并要求网省电力公司结合本网实际,组织编制实施细则,以便贯彻执行。
3.2 并网电厂涉网安全性评估的提出
考虑到“厂网分开”后电网面临的新情况,对并网电厂的安全性评价,将不同于过去习用的发电厂安全性评价,应该充分考虑电网面临的安全问题,严格将评价范畴限定在涉及电网安全运行的设备、系统、作业环境以及安全管理等方面。为了同过去沿用的并网安全运行评价相区别,提出加上“涉网”两字予以限定,以突出其特色,也使发电厂明确其评价范畴,便于将其纳入电厂总体安全工作之中,组织实施。
安全性评价之含义是对企业的生产设备和系统、劳动安全与作业环境以及安全管理等进行查评和论断。进行此项工作的应为具有资质的独立的评估机构。由于我国目前尚无此类机构,且在发电厂隶属于网省电力公司的情况下,多由网省电力公司组织长期从事电力生产并熟悉电厂安全管理的专家进行。采用“评价”二字也符合这一特定的历史阶段。鉴于“评价”容易被理解为业绩考核的必然结果,从某种意义上讲,具有一定的行政色彩,所以不少网省电力公司安全专家一再呼吁安全性评价要严格执行不与奖金、荣誉、领导业绩挂钩的“三不挂钩”原则。既然如此,考虑采用“评估”二字可能更为“中性”一些,如当前社会生活中由第三方从事的资产评估、房地产评估等。这也为今后由具有资质的独立的第三方的评估机构承担此项工作创造条件,更便于同过去按老模式进行的“评价”相区别,因此建议此处改用“评估”二字。基于上述考虑,提出“并网电厂涉网安全性评估”遂成为顺理成章的事。关于并网电厂涉网安全性评估的思考
并网电厂涉网安全性评估的提出,不仅是一个名称的简单改变,应该说具有深刻的内涵,它不仅影响涉网安全性评估标准的制定,还将涉及安全性评估如何来进行。
4.1 制定并网电厂涉网安全性评估标准的依据
并网电厂涉网安全性评估标准事关电网经营企业和并网电厂。由于资产重组后发电厂归属变化,过去以企业或部门文件等形式下发的有关电网安全的某些规定或反事故措施等在发电厂执行的有效性受到质疑。因此,在制定并网电厂涉网安全性评估标准时,首先应以国家的法律和法规为依据,在这个层面上,目前已有《中华人民共和国电力法》、《中华人民共和国安全生产法》、《电网调度条例》等法律法规。其次,评估标准应当遵循国家标准(GB)和电力行业标准(DL),特别是具体项目的考评依据,更应出自国家标准或行业标准的规定。由于这些标准制定和修改的程序十分严格,通常还要借鉴或套用相关的国际标准,对于技术更新快、发展迅猛的某些领域,现有国家标准或行业标准尚未涉及时,可以变通地采用进口设备制造时依据的相关国际标准或制造国的技术标准。再次,评估标准应当符合所并电网现行的规程制度,因为这些正是某个电网安全、优质、经济运行的具体基础。最后,制定并网电厂涉网安全性评估标准的重要依据就是该发电厂与电网经营企业签订的《购售电合同》和《并网调度协议》。目前已有国家电力监管委员会和国家工商总局联合制定的示范文本问世,合同与协议在不同发电厂和不同电网之间的差异不会很大。
4.2 并网电厂涉网安全性评估的内容 顾名思义,并网电厂安全性评估的对象主要为涉及电网安全运行的设备、系统以及与此相关的作业环境和安全管理。可见,并网电厂同电网直接连接的220 kV及以上等级电压的升压站设备应首列其中。鉴于大型发电机组的运行状况对电网影响甚大,亦应列入评估范畴,但重点却为《并网调度协议》商定的运行指标,包括与电网稳定密切相关的励磁系统以及同电网一次调频密切相关的机组电调系统等。对于发电厂的二次设备,在继电保护和安全自动装置方面,同电网安全运行直接有关的电厂高压出线保护、高压母线差动保护、发电机变压器组的后备保护方为评估内容。为了保障调度系统正常工作,安装在电厂的调度自动化系统和调度通信系统当为并网电厂涉网安全性评估的重点之一。
考虑到其他类型电厂异于常规火电厂对电网安全运行承担某些特殊的功能,涉网安全性评估内容还应包括水电厂的水库调度与水情自动测报系统,以协调水利调度与电力调度之间的关系;评估抽水蓄能电厂和燃气轮机电厂的机组启动系统,以验证其调峰和事故备用之有效性;评估核电厂由电网供电的保安电源,以确保核电厂之安全运行等。
此外,并网电厂涉网安全管理工作亦在评估之列,但应作为电厂安全管理工作的一部分来审视,不可另起炉灶游离于电厂统一管理之外。涉网运行管理和检修管理评估应严格按照《购售电合同》和《并网调度协议》的相关条款进行。对于涉网技术监督,则限定为涉网设备的绝缘、电测仪表、继电保护和电能质量等4项技术监督,其中包括是否参加技术监督网活动等,以彰显交流互动之功效。
4.3 关于涉网安全性评估的实施
前已指出,考虑到“厂网分开”后的实际,并网电厂涉网安全性评估宜由国家电力监管会授权或认证的独立的第三方评估机构承担,以确保评估的公正性。当前,由于此类评估机构尚未诞生,可由电网经营企业商、并网电厂或发电公司,聘请有关专家组成专家组进行。从所周知,安全评估要收到实效,关键在于被评估企业认真地进行整改。安全性评估相当于进行“体格检查”,评估报告犹如“体检报告”,列出发现的问题足矣。在评估标准中为整改设限,似不足取。
与其他评估类似,安全性评估结果要尽可能地用数字说明问题,因此查评中应以对电网安全运行的影响程度用分值进行量化,但也不必过分拘泥于分值,诉说何值及格云云。因为除非并网必备条件通不过,不允许并入电网运行或不能作商业运行外,其他尽可视其对电网安全的危及程度,根据《并网调度协议》妥善处理。
鲁公网安备37028302000876号