网络系统安全论文范文

前言：我们精心挑选了数篇优质网络系统安全论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词网络安全管理防范

夜上海论坛 一．银行系统主要面临的网络安全问题

夜上海论坛 1．计算机网络系统的实体遭到破坏

实体是指网络中的关键设备，包括各类计算机（服务器、工作站等）、网

夜上海论坛 络通信设备（路由器、交换机、集线器、调制解调器、加密机等）、存放数据的媒体（磁带机、磁盘机、光盘等）、传输线路、供配电系统以及防雷系统和抗电磁干扰系统等。这些设备不管哪一个环节出现问题，都会给整个网络带来灾难性的后果。这类问题，一部分由于系统设计不合理造成，一部分由于内部工作人员责任心不强、不按规定操作、麻痹大意造成，一部分是来自外部的恶意破坏。

夜上海论坛 2．内部人员利用网络实施金融犯罪

据有关调查显示，在已破获的采用计算机技术进行金融犯罪的人员中

夜上海论坛 ，内部人员占到75%，其中内部授权人员占到58%。他们方便地利用所授的权利，轻松地对网络中的数据进行删除、修改、增加，转移某些帐户的资金，达到挪用、盗用的目的。更为严重的是预设“后门”，“后门”就是信息系统中未公开的通道，在用户未授权的情况下，系统的设计者或其他技术人员可以通过这些通道出入系统而不被用户发觉，这类行为不仅损害客户的利益，大大影响银行在民众中的信誉，更为严重的是“后门”成为黑客入侵系统的突破口危及整个系统的安全性和数据的安全性。

3．遭受各类黑客的侵犯和破坏

存储和运行在银行计算机网络系统中的信息、数据，不仅本质上代表着资金的运动，而且从微观上能反映某些企业的经济活动，从宏观上能折射出国家的经济运行情况。因此，在经济竞争如此激烈的当今时代，银行网络系统必然遭到各类黑客的“亲睐”。有的通过监视网络数据截取信息，从事经济领域的间谍活动；有的未经授权擅自对计算机系统的功能进行修改；有的进行信用卡诈骗和盗用资金；有的进行恶意破坏，造成通信流量堵塞；我国的电子商务工作屡遭挫折，很多原因是遭遇黑客，如2000年3月30日金融CA认证中心（由国内12家银行发起的保障企业进行电子商务交易的组织）试发证书的消息公布不到1小时，认证中心就遭到黑客的攻击。

4．面临名目繁多的计算机病毒的威胁

夜上海论坛 计算机病毒数据，将导致计算机系统瘫痪，程序和数据严重破坏，使网络的效率和作用大大降低，使许多功能无法使用或不敢使用。虽然，至今尚未出现灾难性的后果，但层出不穷的各种各样的计算机病毒活跃在各个角落，大有一触即发之势，令人堪忧。

二．银行计算机网络系统的安全防范工作

笔者认为，银行计算机网络系统的安全防范工作是一个极为复杂的系统

夜上海论坛 工程，是人防和技防相结合的工程方案。在目前法律法规尚不完善的情况下，首先是各级领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用一些先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。

夜上海论坛 1．加强安全制度的建立和落实工作

安全制度的建立也是一门科学。一定要根据本单位的实际情况和所采用

的技术条件，参照有关的法规、条例和其他单位的版本，制定出切实可行又比较全面的各类安全管理制度。主要有：操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机网络安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。

制度的建立切不能流于形式，重要的是落实和监督。尤其是在一些细小的环节上更要注意。如系统管理员应定期及时审查系统日志和记录。重要岗位人员调离时，应进行注销，并更换业务系统的口令和密钥，移交全部技术资料，但不少人往往忽视执行这一措施的及时性。还有防病毒制度规定，要使用国家有关主管部门批准的正版查毒杀毒软件适时查毒杀毒，而不少人使用盗版杀毒软件，使计算机又染上了其他病毒。另外，要强化工作人员的安全教育和法制教育，真正认识到计算机网络系统安全夜上海论坛的重要性和解决这一问题的长期性、艰巨性及复杂性。决不能有依赖于先进技术和先进产品的思想。技术的先进永远是相对的。俗话说：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始终在此消彼长的动态过程中进行。只有依靠人的安全意识和主观能动性，才能不断地发现新的问题，不断地找出解决问题的对策。

夜上海论坛 2．构造全方位的防御机制

夜上海论坛 笔者认为，衡量一个网络系统的安全性如何，至少应能保证其数据的保

夜上海论坛 密性、完整性、可使用性及可审计性等。为达到这些要求应采用如下的防御机制：

要保证处于联机数据文件系统或数据库之中的以及网络传输当中的保密信息不会非法地主动地或被动地提供给非授权人员，系统资源只能被拥有资源访问权的用户所访问，能鉴别访问用户身份，保证合法用户对系统资源的访问和使用。其防御机制是：除了对关键数据进行级别较高的加密外，还要建立访问控制体系，根据信息密级和信息重要性划分系统安全域，在安全域之间用安全保密设备（加密机、防火墙、保密网关等），通过存取矩阵来限制用户使用方式，如只读、只写、可读写、可修改、可完全控制等。

要使信息的安全性、精确性、有效性不因种种不安全因素而降低，不会使存储在数据库中以及在网络中传输的数据遭受任何形式的插入、删除、修改或重发，保证合法用户读取、接收或使用的数据的真实性。其防御机制是除了安装“防火墙”和计算机病毒防治措施之外，还要建立良好的备份和恢复机制，形成多层防线。主要设备、软件、数据、电源等都有备份，并具有在较短时间内恢复系统运行的能力。

夜上海论坛 要使合法的用户能正常访问网络的资源，有严格时间要求的服务能得到及时响应，不会因系统的某些故障或误操作而使资源丢失，或妨碍对资源的使用，即使在某些不正常条件下也能正常运行。其防御机制主要靠系统本身所设计的功能来实现。

要使网络系统中的每一项操作都留有痕迹，记录下操作的各种属性，并保留必要的时限，以使各种犯罪行为有案可查。其关键是建立监控体系和审计系统。集中式审计系统将各服务器和安全保密设备中的审计信息收集、整理、分析汇编成审计报表，用来处理绝密级信息或信息内容，特别重要的系统，分布式审计系统的审计存放在各服务器和安全保密设备上，用于系统安全保密管理员审查。

3．采用先进的技术和产品

夜上海论坛 要构造上述的防御机制，保证计算机网络系统的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。

①“防火墙”技术

“防火墙”是近年发展起来的一种重要安全技术，是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段，它是电脑网络之间的一种特殊装置，主要用来接收数据，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其类别主要有：应用层网关、包过滤网关、服务器等，它可与路由器结合，按不同要求组成配置功能各异的防火墙。

②加密型网络安全技术

夜上海论坛 这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用

夜上海论坛 户数据在内的所有数据流，只有指定的用户或网络设备才能够解译加密数据，从而在不对网络环境作特殊要求的前提下从根本上保证网络信息的完整性和可用性。这种以数据和用户确认为基础的开放型安全保障技术是比较适用的，是对网络服务影响较小的一种途径，可望成为网络安全问题的最终的一体化解决途径。

③漏洞扫描技术

夜上海论坛 漏洞扫描是自动检测远端或本地主机安全脆弱点的技术，通过执行一些脚本文件对系统进行攻击并记录它的反应，从而发现其中的漏洞。它查询TCP/IP端口，并记录目标的响应，收集关于某些特定项目的有用信息，如正在进行的服务，拥有这些服务的用户，是否支持匿名登录，是否有某些网络服务需要鉴别等，可以用来为审计收集初步的数据。

④入侵检测技术

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和

第2篇

夜上海论坛 随着信息产业的高速发展，众多企业都利用互联网建立了自己的信息系统，以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时，也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵，这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患，并提出了行之有效的解决方案。

关键字：信息系统信息安全身份认证安全检测

Abstract：

夜上海论坛 Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

夜上海论坛 Keywords：InformationsystemInformationsecurity

夜上海论坛 StatusauthenticationSafeexamination

夜上海论坛 一、目前信息系统技术安全的研究

1.企业信息安全现状分析

随着信息化进程的深入，企业信息安全己经引起人们的重视，但依然存在不少问题。一是安全技术保障体系尚不完善，企业花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。

夜上海论坛 2003年5月至2004年5月，在7072家被调查单位中有4057家单位发生过信息网络安全事件，占被调查总数的58%。调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%，登录密码过于简单或未修改密码导致发生安全事件的占19%.

夜上海论坛 对于网络安全管理情况的调查:调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力“较高”和“一般”的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低。

2.企业信息安全防范的任务

信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范的任务主要是:

从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。

夜上海论坛 从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识。

信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。

夜上海论坛 二、计算机网络中信息系统的安全防范措施

（一）网络层安全措施

①防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为甚。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙是网络安全的屏障：一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

②入侵检测技术

IETF将一个入侵检测系统分为四个组件：事件产生器(EventGenerators)；事件分析器(EventAnalyzers)；响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

根据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode)，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志(CSignature-Based)，另一种基于异常情况(Abnormally-Based)。

夜上海论坛 （二）服务器端安全措施只有正确的安装和设置操作系统，才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。

夜上海论坛 ①正确地分区和分配逻辑盘。

微软的IIS经常有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器，C盘20G，用来装系统和重要的日志文件，D盘20G放IIS,E盘20G放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

②正确

夜上海论坛 地选择安装顺序。

夜上海论坛 一般的人可能对安装顺序不太重视，认为只要安装好了，怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的：

首先，何时接入网络：Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Win2000SERVER之前，一定不要把主机接入网络。

其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装，尽管很麻烦，却很必要。

（三）安全配置

夜上海论坛 ①端口：：端口是计算机和外部网络相连的逻辑接口，从安全的角度来看，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选，不过对于Win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。

夜上海论坛 ②IIS：IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点，所以在本系统的WWW服务器采取下面的设置：

夜上海论坛 首先，把操作系统在C盘默认安装的Inetpub目录彻底删掉，在D盘建一个Inetpub在IIS管理器中将主目录指向D：\Inetpub。

其次，在IIS安装时默认的scripts等虚拟目录一概删除，这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了，但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建，需要什么权限开什么。特别注意写权限和执行程序的权限，没有绝对的必要千万不要给。

③应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射，删除所有的映射，具体操作：在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射，然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。

夜上海论坛 经过了Win2000Server的正确安装与正确配置，操作系统的漏洞得到了很好的预防，同时增加了补丁，这样子就大大增强了操作系统的安全性能。

虽然信息管理系统安全性措施目前已经比较成熟，但我们切不可马虎大意，只有不断学习新的网络安全知识、采取日新月异的网络安全措施，才能保证我们的网络安全防御真正金汤。

参考文献：

夜上海论坛 刘海平，朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002（10）

夜上海论坛 东软集团有限公司，NetEye防火墙使用指南3.0，1-3

贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清华大学出版社

EricMaiwald，Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用：（学位论文）.辽宁：东北大学，2002

刘广良.建设银行计算机网络信息系统安全管理策略研究：（学位论文）.湖南：湖南大学.2001

第3篇

随着我国地铁建设迅速发展，加之地铁工程规模大，周边建筑物与地下管线情况复杂，地面交通繁忙，地质条件不确定性因素多，而安全管理没有跟上，缺少实时监测和风险评估，安全事故时有发生。文献［1］统计了我国2003—2011年地铁隧道施工事故数据资料，坍塌、物体打击、高处坠落是地铁隧道施工中的主要事故类型，上述事故约占总数的40％，同时，事故造成的经济损失和人员伤亡十分严重。安全无小事，细节决定成败。目前安全管理比以前有了很大的进步，例如文献［2－16］介绍了几款施工安全监控管理信息系统，主要实现位移监测、轴力监测、测斜监测、视频监测等数据的远程传输、监测数据分析预警、门禁等功能；文献［16－18］介绍了施工安全风险自动识别、风险的信息化管理等技术与实现效果；文献［19］介绍了一款用于应急组织、培训演练、响应调度、辅助决策的基于GIS的网络系统。从查阅的大量文献来看，目前绝大部分的系统主要实现安全监测预警功能，也有关于施工风险的自动识别、应急响应的相关研究，大大降低了地铁施工风险程度。在信息共享的今天，只有实现多功能的集成，才能发挥安全管理的效率最大化。目前地铁施工信息化管理还未实现人员、机械设备、环境、工程结构物、临时设施、周围既有设施设备等的精细化管理，不安全状态与不安全行为的智能化评判，以及人－机、机－机、机－建之间等的智能冲突分析，在风险预测预警、隐患辨识等方面也有待进一步研发。因此，有必要研究开发能够实现人员、机械设备、工程结构物、临时设施的安全管理，以及冲突分析和可视化动态监测预测预警等功能于一体的地铁施工安全风险分析与管理远程网络系统（以下简称系统）。

1系统功能需求

夜上海论坛 系统应实现以下功能。1）基础信息管理。①人员安全基础信息管理。有专家对事故发生原因进行统计分析，结果表明人为因素导致的事故占80％以上，而性别、年龄、是否饮酒、睡眠情况、反应敏捷性、性情等有差异的人员发生安全事故的概率亦有不同，即使是同一个人，其各种状态也经常变化［20］。因此，系统应能动态管理施工人员的上述信息。②机械设备安全基础信息管理。任何一种机械由于自身的性能、结构等特性，都有一定的使用技术要求，机械设备在使用过程中，其性能状态是动态变化的。因此，系统应动态把握机械设备的性能状态。③环境安全基础信息管理。工作环境不仅影响着施工人员的工作质量，还会影响施工人员在工作中的精神状态。特殊的自然环境如雨雪天气、大风天气、高低温环境、密闭空间等对施工人员的安全行为和心理会造成很大的危害和影响［20］。以特殊天气条件为例：雪天时路面、工程结构物、机械设备上湿滑，设备移动过程中制动困难易发生冲撞与倾覆事故，工人在工程结构物和机械设备上作业易发生高处坠落事故；雨天易发生城市内涝，若排水不畅，车站基坑易积水发生坍塌事故；若高耸机械设备防雷措施不当，则雷雨天还可能发生雷击事故；雾霾天气能见度变小，也易引发安全事故；6级强风以上则易引起高耸设备、围挡被风吹倒并进一步造成路面社会交通事故。因此，系统应能实现对环境信息的动态管理。④工程结构物信息管理。工程结构物的三维地理信息、工程进度信息等与安全风险分析有极为密切的关系，因此，系统应能动态管理工程结构物的基本信息和进度信息。⑤临时设施信息管理。主要包括施工围挡、竖井、斜井、施工材料堆放场、临时办公与生活用房等。正是由于临时设施的临时性，往往易被忽略而引发安全事故，因此应纳入系统进行动态管理。⑥周边既有建（构）筑物、市政管线、路面等既有设备设施信息管理。2）监控信息管理。系统应能为施工开展提供及时的反馈信息，为车站基坑周围环境进行及时、有效的保护提供依据，并将监测结果用于反馈优化设计，为改进设计提供依据；通过对监测数据与理论值的比较分析，可以检验设计理论的正确性；在施工全过程中，通过对既有地面和地下建（构）筑物各项指标的监测，将结构变形严格控制在标准限值内，保证既有建（构）筑物的安全等［2－5］。3）不安全状态与不安全行为分析评判。人员、机械设备的不安全状态和人员的不安全行为是导致施工事故的关键［20］，因此，系统应能辅助安全管理人员对人员的不安全状态和行为进行分析评判，并将施工人员（尤其是安全人员）安排到最合适的工作岗位上。系统还应能辅助安全管理人员分析机械设备，尤其是高耸机械、大型施工装备的不安全状态，以便对机械设备故障进行有效预防，并对可能的安全事故进行防控。4）冲突风险分析。人员与机械混合作业、多机混合作业时，人员与机械设备之间、机械设备与机械设备之间、机械设备与工程结构物之间、机械设备与地面社会交通之间可能发生冲突事故，系统应能进行三维冲突分析，以便辅助安全管理人员分析高风险点、高风险区域以及高危作业的基本情况。5）风险预测与事故预警。6）安全隐患辨识与管理。7）应急处理方案管理与智能选择。8）事故逃生与救援指挥。

2系统开发思路

从前述的系统功能需求来看，施工人员、机械设备、工程结构物、既有建（构）筑物、既有市政管线、地面社会交通之间的空间冲突分析，人员逃生路线分析，事故救援方案分析，救援物资调配方案研究等功能的实现，都离不开三维空间位置信息的采集、存储、管理、描述以及对空间数据信息的操作、分析、模拟和可视化显示。因此，系统应运用三维地理信息系统（3DGIS）来实现，例如采用ArcGIS3D。因需要进行远程监控与管理，还应采用网络系统［11］。可视化开发环境主要考虑系统的反应速度、健壮性以及快速开发，例如采用C＃，VB．NET等作为集成开发环境。考虑到空间数据和属性数据之间的无缝连接，系统宜利用Oracle等大型空间数据库管理系统来管理空间数据和属性数据。从控制系统开发成本来考虑，在满足系统性能基本要求的前提下，也可以采用MicrosoftSQLServer等数据库管理系统对属性数据进行管理，空间数据、施工图和竣工图等则以文件形式进行管理。

3系统总体结构设计

系统通过对属性数据库和空间数据库的数据访问，实现数据录入和管理，并可对其进行分析统计和查询，实现不安全状态与行为评判、冲突风险分析、特殊天气风险分析、预测预警、应急处理方案智能选择、事故逃生救援指挥等功能。除此以外，为了维护系统安全和方便用户使用，还应设计系统维护功能。系统总体结构如图1所示。1）基础信息管理。①人员安全基础信息管理：应包括所属单位、所属标段、人员类型（项目经理、安全总监、安全员、技术人员、施工队长、施工小组长、普通工人、特种作业人员等）、出生年月、性别、职务（或工种）、学历、工作经验、身体状态、心理状态、安全培训考核情况、作业地点（针对作业人员）等信息。②机械设备安全基础信息管理：应包括机械设备与装备的类别（盾构机、土石方机械、混凝土机械、起重及运输机械、钢筋加工及焊接机械、装饰装修机械、脚手架等）、名称、型号、所属单位、性能状态、责任人、检修情况、验收记录、安全交底情况等信息。③环境安全基础信息管理：应区分自然环境和社会环境，自然环境应包括特殊天气类型、风力等级、风向、能见度、气温、密闭空间含氧量、地下空间潮湿程度等信息，社会环境应包括项目部安全文化建设情况、安全制度制定情况、安全奖惩制度实施情况、安全交底通畅情况、施工人员之间是否和谐等信息。④工程结构物信息管理：应包括结构物各部位的三维地理信息、工程进度信息、结构强度增长信息等。⑤临时设施信息管理：应包括临时设施类型、地理位置、平面布置、高度等动态信息。⑥既有设备设施信息管理：应区分建筑物、构筑物、路面、市政管线。建（构）筑物应包括基础类型、基础埋深、结构形式、建筑物高度、建筑物与地铁水平距离、监测断面距开挖面水平距离、已用年限、裂缝和倾斜度等信息；路面应包括路面类型、路面宽度、交通荷载情况、路面距离基坑边缘的距离；市政管线则应包括管线材质、接头类型、管线压力、管线埋深、管线外径、管线与基坑边缘水平距离、监测断面与开挖面水平距离以及管线张开角、埋设年代、铺设方法、截面形状等信息。2）监控信息管理。利用高清音视频采集、传输和处理技术，直观且全方位地了解施工现场情况，辅助决策和指挥。利用位移传感器、温度传感器、湿度传感器、氧含量传感器等测得邻近建（构）筑物变形、车站基坑变形、区间隧道变形、工作环境温度、工作环境湿度、地下空间氧含量等信息，通过光纤等传输介质实时传输给系统。3）不安全状态与不安全行为分析评判。利用专家模糊评价法对人员和机械设备不安全状态进行分析，根据变形监测信息对基坑坍塌、邻近建（构）筑物开裂倾覆等进行风险分析，采用模糊评价法、计算分析法等评价风险严重程度等级和概率等级。4）冲突风险分析。利用3DGIS的空间分析功能，分析某一正进行人工作业的工人是否位于机械设备（例如挖掘机）的回转半径、倾覆半径之内，对2个及以上的大型施工装备（机械）进行回转半径重叠分析和倾覆半径冲突分析，对大型施工装备（机械）和工程结构物（或临时设施）之间的冲撞可能性进行分析，对高耸机械设备倾倒半径与地面社会交通之间进行重叠分析，对事故的多米诺骨牌效应（即某一事故可能引发一连串事故）风险进行分析，采用模糊评价法、计算分析法等评价风险严重程度等级和概率等级。以塔式起重机和履带式起重机之间的冲撞为例进行分析，当塔式起重机和履带式起重机同时作业时，塔式起重机起重臂旋转空域与履带式起重机吊臂的变幅和转动空域有重叠，如图2所示。若将GPS接收机OEM板分别安装于履带吊和塔式起重机的回转中心（便于安装且不易损坏的位置），则可即时获得履带吊和塔式起重机的回转中心的的坐标，当两者的距离小到一定值时，履带式起重机和塔式起重机空间区域可能有重叠，即两者存在冲撞的风险。由于信号传输需要时间导致OEM版接收数据会有滞后性，所以当两者趋于接近时，就应该触发警报，提醒司机注意，若司机未采取相应措施，系统可控制起重机停车。5）特殊天气风险分析。利用从气象部门获取的天气预报信息，分析特殊天气可能导致的风险，并分析特殊天气最不利组合（例如：强风＋暴雨＋雷电、强风＋暴雪、强风＋雾霾）可能导致的风险，采用模糊评价法、计算分析法等评价风险严重程度等级和概率等级。6）风险预测、事故预警。系统根据各种数据（基础信息、监测信息、天气信息、风险严重程度等级和概率等级、冲突分析结果）生成报表、变形曲线图、变形速率图等，并对风险进行综合分析预测，计算各项风险的风险值，与系统预设的分级预警值进行比较，一旦达到预设的某一级别预警值，系统立即发出相应级别警告，可供选择的警告方式有：①电脑音响警报（针对系统管理员）；②手机警报（该方式需要与移动通讯服务商签订协议，系统可实现群呼叫。手机内设置多种风险语音报警铃声，不同类型风险按照通讯录群组来划分，不同通讯录群组设置不同的风险报警铃声，一旦系统监测或分析出来某种事故征兆或安全隐患，立即自动拨打相应施工人员手机。这种方式用于地下空间时，可能因为信号不畅而需要在地下空间设置手机信号站）；③对讲机报警（系统设计网络模拟对讲机功能，一旦系统监测或分析出来某种事故征兆或安全隐患，立即通过预设语音自动进行对讲机呼叫，也可以由系统管理员手持实体对讲机进行呼叫）；④通过埋设在隧道和基坑内的警报器发出报警。7）安全隐患辨识与管理。应包括隐患编号、隐患名称、状态描述、现场照片、危害等级、位置、辨识人、责任人、责任单位、是否解决、解决措施、解决效果等信息。8）应急处理方案选择。系统应能根据险情位置、类型等从应急预案库中自动调出可供选用的应急预案，安全管理人员可根据现场实际情况选择合适的应急预案，并由现场具体实施。9）事故逃生与救援指挥。系统能够指导施工人员在事故前进行紧急避险，指导施工人员在事故发生后进行安全逃生，并能够立即调出救援预案，利用GIS的网络分析功能为施工救援提供物资调配、救援人员调遣等参考信息［19］。10）系统维护。包括系统软硬件安全维护、用户权限等数据维护、系统使用帮助。

4与现有系统的对比

基于3DGIS的地铁施工安全风险远程网络系统与现有可视化监控系统（包括视频监控系统、考勤定位系统、LED显示系统、无卡报警系统、管理系统等）相比，功能进一步拓展，更加智能化、集成化、可视化，具体的功能比较见表1。安全资金投入方面，前者主要增加的投入是3DGIS系统平台软件的购买和开发费用，以ArcGIS3D为例，购买费用约3．1万元。前者比后者还需要增加系统开发费用约30万元，但软件系统可复制在多个施工项目部使用，因此系统开发费用是可以接受的。位移、温度、湿度、氧含量监控可采用光纤传感器，也可采用无线传输，所需增加的只有温度、湿度、氧含量传感器的购置费用，对资金投入影响不大。适用性方面，前者主要是硬件系统，未实现智能集成，在信息共享方面也有所欠缺，仍需要人员在监控室全方位安全监视、高强度地分析，人为因素偏大，更不利于安全风险的综合分析与评判预警；后者则可软硬件良好配合，软件系统充分集成各硬件监测信息，并将监测信息与基础信息进行综合管理与分析，可大大减轻监视人员的工作强度，提高风险监控的工作效率，真正实现“人机环基础信息管理—动态监控信息管理—冲突分析—隐患辨识与管理—风险预测预警—事故救援指挥”的全流程、全方位的安全精细化管理。

5结论与建议