交換機安全防范技術(shù)
在網(wǎng)絡(luò)實際環(huán)境中,隨著計算機性能的不斷提升,針對網(wǎng)絡(luò)中的交換機、路由器或其它計算機等設(shè)備的攻擊趨勢越來越嚴重,影響越來越劇烈。交換機作為局域網(wǎng)信息交換的主要設(shè)備,特別是核心、匯聚交換機承載著極高的數(shù)據(jù)流量,在突發(fā)異常數(shù)據(jù)或攻擊時,極易造成負載過重或宕機現(xiàn)象。為了盡可能抑制攻擊帶來的影響,減輕交換機的負載,使局域網(wǎng)穩(wěn)定運行,交換機廠商在交換機上應(yīng)用了一些安全防范技術(shù),網(wǎng)絡(luò)管理人員應(yīng)該根據(jù)不同的設(shè)備型號,有效地啟用和配置這些技術(shù),凈化局域網(wǎng)環(huán)境。本文以華為3COM公司的Quidway系列交換機為例,分兩期為您介紹常用的安全防范技術(shù)和配置方法。以下您將學到廣播風暴控制技術(shù)、MAC地址控制技術(shù)、DHCP控制技術(shù)及ACL技術(shù)。
廣播風暴控制技術(shù)
網(wǎng)卡或其它網(wǎng)絡(luò)接口損壞、環(huán)路、人為干擾破壞、黑客工具、病毒傳播,都可能引起廣播風暴,交換機會把大量的廣播幀轉(zhuǎn)發(fā)到每個端口上,這會極大地消耗鏈路帶寬和硬件資源。可以通過設(shè)置以太網(wǎng)端口或VLAN的廣播風暴抑制比,從而有效地抑制廣播風暴,避免網(wǎng)絡(luò)擁塞。
1.廣播風暴抑制比
可以使用以下命令限制端口上允許通過的廣播流量的大小,當廣播流量超過用戶設(shè)置的值后,系統(tǒng)將對廣播流量作丟棄處理,使廣播所占的流量比例降低到合理的范圍,以端口最大廣播流量的線速度百分比作為參數(shù),百分比越小,表示允許通過的廣播流量越小。當百分比為100時,表示不對該端口進行廣播風暴抑制。缺省情況下,允許通過的廣播流量為100%,即不對廣播流量進行抑制。在以太網(wǎng)端口視圖下進行下列配置:
broadcast-suppressionratio
2.為VLAN指定廣播風暴抑制比
同樣,可以使用下面的命令設(shè)置VLAN允許通過的廣播流量的大小。缺省情況下,系統(tǒng)所有VLAN不做廣播風暴抑制,即ma*-ratio值為100%。
MAC地址控制技術(shù)
以太網(wǎng)交換機可以利用MAC地址學習功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡(luò)設(shè)備的MAC地址。對于發(fā)往這些MAC地址的報文,以太網(wǎng)交換機可以直接使用硬件轉(zhuǎn)發(fā)。如果MAC地址表過于龐大,可能導(dǎo)致以太網(wǎng)交換機的轉(zhuǎn)發(fā)性能的下降。MAC攻擊利用工具產(chǎn)生欺騙的MAC地址,快速填滿交換機的MAC表,MAC表被填滿后,交換機會以廣播方式處理通過交換機的報文,流量以洪泛方式發(fā)送到所有接口,這時攻擊者可以利用各種嗅探工具獲取網(wǎng)絡(luò)信息。TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機,會造成交換機負載過大,網(wǎng)絡(luò)緩慢和丟包,甚至癱瘓。可以通過設(shè)置端口上最大可以通過的MAC地址數(shù)量、MAC地址老化時間,來抑制MAC攻擊。
1.設(shè)置最多可學習到的MAC地址數(shù)
通過設(shè)置以太網(wǎng)端口最多學習到的MAC地址數(shù),用戶可以控制以太網(wǎng)交換機維護的MAC地址表的表項數(shù)量。如果用戶設(shè)置的值為count,則該端口學習到的MAC地址條數(shù)達到count時,該端口將不再對MAC地址進行學習。缺省情況下,交換機對于端口最多可以學習到的MAC地址數(shù)目沒有限制。
在以太網(wǎng)端口視圖下進行下列配置:
mac-addressma*-mac-countcount
2.設(shè)置系統(tǒng)MAC地址老化時間
設(shè)置合適的老化時間可以有效實現(xiàn)MAC地址老化的功能。用戶設(shè)置的老化時間過長或者過短,都可能導(dǎo)致以太網(wǎng)交換機廣播大量找不到目的MAC地址的數(shù)據(jù)報文,影響交換機的運行性能。如果用戶設(shè)置的老化時間過長,以太網(wǎng)交換機可能會保存許多過時的MAC地址表項,從而耗盡MAC地址表資源,導(dǎo)致交換機無法根據(jù)網(wǎng)絡(luò)的變化更新MAC地址表。如果用戶設(shè)置的老化時間太短,以太網(wǎng)交換機可能會刪除有效的MAC地址表項。一般情況下,推薦使用老化時間age的缺省值300秒。
在系統(tǒng)視圖下進行下列配置:mac-addresstimer{agingage|no-aging}
使用參數(shù)no-aging時表示不對MAC地址表項進行老化。
3.設(shè)置MAC地址表的老化時間
這里的鎖定端口就是指設(shè)置了最大學習MAC地址數(shù)的以太網(wǎng)端口。在以太網(wǎng)端口上使用命令mac-addressma*-mac-count設(shè)置端口能夠?qū)W習的最大地址數(shù)以后,學習到的MAC地址表項將和相應(yīng)的端口綁定起來。如果某個MAC地址對應(yīng)的主機長時間不上網(wǎng)或已移走,它仍然占用端口上的一個MAC地址表項,從而造成MAC地址在這5個MAC地址以外的主機將不能上網(wǎng)。此時可以通過設(shè)置鎖定端口對應(yīng)的MAC地址表的老化時間,使長時間不上網(wǎng)的主機對應(yīng)的MAC地址表項老化,從而使其他主機可以上網(wǎng)。缺省情況下,鎖定端口對應(yīng)的MAC地址表的老化時間為1小時。
在系統(tǒng)視圖下進行下列配置:
lock-portmac-aging{age-time|no-age}
DHCP控制技術(shù)
DHCPServer可以自動為用戶設(shè)置IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù),解決客戶機位置變化(如便攜機或無線網(wǎng)絡(luò))和客戶機數(shù)量超過可分配的IP地址的情況,簡化用戶設(shè)置,提高管理效率。但在DHCP管理使用上,存在著DHCPServer冒充、DHCPServer的Dos攻擊、用戶隨意指定IP地址造成網(wǎng)絡(luò)地址沖突等問題。
1.三層交換機的DHCPRelay技術(shù)
早期的DHCP協(xié)議只適用于DHCPClient和Server處于同一個子網(wǎng)內(nèi)的情況,不可以跨網(wǎng)段工作。因此,為實現(xiàn)動態(tài)主機配置,需要為每一個子網(wǎng)設(shè)置一個DHCPServer,這顯然是不經(jīng)濟的。DHCPRelay的引入解決了這一難題:局域網(wǎng)內(nèi)的DHCPClient可以通過DHCPRelay與其他子網(wǎng)的DHCPServer通信,最終取得合法的IP地址。這樣,多個網(wǎng)絡(luò)上的DHCPClient可以使用同一個DHCPServer,既節(jié)省了成本,又便于進行集中管理。DHCPRelay配置包括:
(1)配置IP地址
為了提高可靠性,可以在一個網(wǎng)段設(shè)置主、備DHCPServer。主、備DHCPServer構(gòu)成了一個DHCPServer組。可以通過下面的命令指定主、備DHCPServer的IP地址。
在系統(tǒng)視圖下進行下列配置:
dhcp-servergroupNoipipaddress1[ipaddress2]
(2)配置VLAN接口對應(yīng)的組
在VLAN接口視圖下進行下列配置:
dhcp-servergroupNo
(3)使能/禁止VLAN接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性將啟動VLAN接口下用戶地址合法性的檢查,這樣可以杜絕用戶私自配置IP地址擾亂網(wǎng)絡(luò)秩序,同DHCPServer配合,快速、準確定位病毒或干擾源。
在VLAN接口視圖下進行下列配置:
address-checkenable
(4)配置用戶地址表項
為了使配置了DHCPRelay的VLAN內(nèi)的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查,需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對應(yīng)關(guān)系的靜態(tài)地址表項。如果有另外一個非法用戶配置了一個靜態(tài)IP地址,該靜態(tài)IP地址與合法用戶的固定IP地址發(fā)生沖突,執(zhí)行DHCPRelay功能的以太網(wǎng)交換機,可以識別出非法用戶,并拒絕非法用戶的IP與MAC地址的綁定請求。
在系統(tǒng)視圖下進行下列配置:
dhcp-securitystaticip_addressmac_address
2.其它地址管理技術(shù)
在二層交換機上,為了使用戶能通過合法的DHCP服務(wù)器獲取IP地址,DHCP-Snooping安全機制允許將端口設(shè)置為信任端口與不信任端口。其中信任端口連接DHCP服務(wù)器或其他交換機的端口;不信任端口連接用戶或網(wǎng)絡(luò)。不信任端口將接收到的DHCP服務(wù)器響應(yīng)的DHCPACK和DHCPOFF報文丟棄;而信任端口將此DHCP報文正常轉(zhuǎn)發(fā),從而保證了用戶獲取正確的IP地址。
(1)開啟/關(guān)閉交換機DHCP-Snooping功能
缺省情況下,以太網(wǎng)交換機的DHCP-Snooping功能處于關(guān)閉狀態(tài)。
在系統(tǒng)視圖下進行下列配置,啟用DHCP-Snooping功能:
dhcp-snooping
(2)配置端口為信任端口
缺省情況下,交換機的端口均為不信任端口。
在以太網(wǎng)端口視圖下進行下列配置:
dhcp-snoopingtrust
(3)配置VLAN接口通過DHCP方式獲取IP地址
在VLAN接口視圖下進行下列配置:
ipaddressdhcp-alloc
(4)訪問管理配置--配置端口/IP地址/MAC地址的綁定
可以通過下面的命令將端口、IP地址和MAC地址綁定在一起,支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC綁定方式,防止私自移動機器設(shè)備或濫用MAC地址攻擊、IP地址盜用攻擊等,但這種方法工作量巨大。
ACL(訪問控制列表)技術(shù)
為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包,需要配置一系列的匹配規(guī)則,以識別需要過濾的對象。在識別出特定的對象之后,網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過。訪問控制列表(AccessControlList,ACL)就是用來實現(xiàn)這些功能。ACL通過一系列的匹配條件對數(shù)據(jù)包進行分類,這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL應(yīng)用在交換機全局或端口,交換機根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包,從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。訪問控制列表又可分為以下幾種類型。
基本訪問控制列表:根據(jù)三層源IP制定規(guī)則,對數(shù)據(jù)包進行相應(yīng)的分析處理。
高級訪問控制列表:根據(jù)源IP、目的IP、使用的TCP或UDP端口號、報文優(yōu)先級等數(shù)據(jù)包的屬性信息制定分類規(guī)則,對數(shù)據(jù)包進行相應(yīng)的處理。高級訪問控制列表支持對三種報文優(yōu)先級的分析處理:TOS(TypeOfService)優(yōu)先級、IP優(yōu)先級和DSCP優(yōu)先級。
二層訪問控制列表:根據(jù)源MAC地址、源VLANID、二層協(xié)議類型、報文二層接收端口、報文二層轉(zhuǎn)發(fā)端口、目的MAC地址等二層信息制定規(guī)則,對數(shù)據(jù)進行相應(yīng)處理。
用戶自定義訪問控制列表:根據(jù)用戶的定義對二層數(shù)據(jù)幀的前80個字節(jié)中的任意字節(jié)進行匹配,對數(shù)據(jù)報文作出相應(yīng)的處理。正確使用用戶自定義訪問控制列表需要用戶對二層數(shù)據(jù)幀的構(gòu)成有深入的了解。
訪問控制列表在網(wǎng)絡(luò)設(shè)備中有著廣泛的應(yīng)用,訪問控制列表配置、啟用包括以下幾個步驟,最好依次進行,其中前兩個步驟可以不用配置,采用默認值。
(1)配置時間段
在系統(tǒng)視圖下使用time-range命令配置時間段。例如,如果想在每周的上班時間8:00--16:00控制用戶訪問,可以使用下面的命令:
time-rangeourworingtime8:00to16:00working-day
(2)選擇交換機使用的流分類規(guī)則模式
交換機只能選擇一種流分類規(guī)則模式:二層ACL模式或者三層ACL模式。在二層ACL模式下,只有二層ACL可以被定義、激活或者被其他應(yīng)用引用,三層ACL模式類似。可以通過下面的命令來選擇使用L2或L3模式的流分類規(guī)則。缺省情況下,選擇使用IP-based流分類規(guī)則模式,即L3流分類規(guī)則。
在系統(tǒng)視圖下進行下列配置:
aclmode{ip-based|link-based}
(3)定義訪問控制列表(命令較多,只以高級訪問控制列表為例)
①進入相應(yīng)的訪問控制列表視圖
acl{numberacl-number|nameacl-nameadvanced}[match-order{config|auto}]
②定義訪問列表的子規(guī)則
在系統(tǒng)視圖下使用rule命令配置規(guī)則。
例如,如果想控制內(nèi)網(wǎng)10.10.2.0/24用戶在工作時間使用ftp下載,可以使用下面的命令:
aclnumber3006
rule1denytcpsource10.10.2.0255.255.255.0destinationanydestination-porteqftptime-rangeourworingtime
③激活訪問控制列表
不同的交換機型號配置命令不太相同,以S6500系列為例,在QoS視圖下進行下列配置:
packet-filterinbound{ip-group{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rulerule]}
下期將為您介紹流量及端口限速控制技術(shù)、TCP屬性及CPU負載控制技術(shù)、ARP技術(shù)、登錄和訪問交換機控制技術(shù)、鏡像技術(shù)。
以下您將學到流量及端口限速控制技術(shù)、TCP屬性及CPU負載控制技術(shù)、ARP技術(shù)、登錄和訪問交換機控制技術(shù)、鏡像技術(shù)。
流量及端口限速控制技術(shù)
為了防止因大流量數(shù)據(jù)傳輸引起的端口阻塞,消除惡意用戶或者中毒用戶對網(wǎng)絡(luò)的影響,可以采用流量及端口限速控制技術(shù)。
配置端口流量閾值
通過配置端口流量閾值,系統(tǒng)可以周期性地對端口的數(shù)據(jù)流量進行監(jiān)控。當端口的數(shù)據(jù)流量超出配置的閾值后,系統(tǒng)將根據(jù)指定的方式進行處理:自動關(guān)閉端口并發(fā)送告警信息或僅發(fā)送告警信息。在以太網(wǎng)端口視圖下配置端口的流量閾值及超出閾值后的處理方式:
flow-constraintime-valueflow-value{bps|pps}
flow-constrainmethod{shutdown|trap}
流量監(jiān)管
流量監(jiān)管是基于流的速率限制,它可以監(jiān)督某一流量的速率,如果流量超出指定的規(guī)格,就采用相應(yīng)的措施,如丟棄那些超出規(guī)格的報文或重新設(shè)置它們的優(yōu)先級。
端口限速
端口限速就是基于端口的速率限制,它對端口輸出報文的總速率進行限制。
TCP屬性及CPU負載控制技術(shù)
黑客掃描、蠕蟲病毒等都會引起過多TCP連接,CPU負載過重與此也有關(guān)系,適當?shù)卣{(diào)整交換機的TCP屬性和送達CPU的報文,可以有效地降低CPU負載。
配置TCP屬性
synwait定時器:當發(fā)送SYN報文時,TCP啟動synwait定時器,如果synwait超時前未收到回應(yīng)報文,則TCP連接將被終止。synwait定時器的超時時間取值范圍為2~600秒,缺省值為75秒:
tcptimersyn-timeouttime-value
finwait定時器:當TCP的連接狀態(tài)由FIN_WAIT_1變?yōu)镕IN_WAIT_2時,啟動finwait定時器,如果finwait定時器超時前仍未收到FIN報文,則TCP連接被終止。finwait的取值范圍為76~3600秒,finwait的缺省值為675秒:
tcptimerfin-timeouttime-value
面向連接Socket的接收和發(fā)送緩沖區(qū)的大小:范圍為1~32K字節(jié),缺省值為4K字節(jié):
tcpwindowwindow-size
配置特殊IP報文是否送CPU處理
在交換機的IP報文轉(zhuǎn)發(fā)過程中,通常重定向、TTL超時及路由不可達的報文會送到CPU,CPU在收到以上報文后會通知對方處理。但如果配置錯誤或有人惡意攻擊,則會造成CPU負載過重,這時便可通過下面的命令設(shè)置相應(yīng)報文不送CPU處理,以保護系統(tǒng)的正常運行。缺省情況下,重定向、路由不可達的報文不送CPU處理,TTL超時報文送CPU處理:
undoip{redirects|ttl-e*pires|unreachables}
ARP技術(shù)
IP地址不能直接用來進行通信,因為鏈路層的網(wǎng)絡(luò)設(shè)備只能識別MAC地址。ARP用于將IP地址解析為MAC地址,ARP動態(tài)執(zhí)行并自動尋求IP地址到以太網(wǎng)MAC地址的解析,無需管理員的介入,也可以手工維護。通常將手工配置的IP地址到MAC地址的映射,稱之為靜態(tài)ARP。
免費ARP技術(shù)通過對外發(fā)送免費ARP報文,防止通過各種ARP欺騙手段產(chǎn)生的攻擊。
動態(tài)ARP老化定時器
交換機允許用戶指定動態(tài)ARP老化定時器的時間。動態(tài)地址表的老化時間是指在該表項從交換機地址表中刪除之前的生存時間,若定時器超時,就將該表項從地址表中刪除。缺省情況下,動態(tài)ARP老化定時器為20分鐘:
arptimeragingaging-time
免費ARP技術(shù)
免費ARP功能:網(wǎng)絡(luò)中設(shè)備可以通過發(fā)送免費ARP報文來確定其他設(shè)備的IP地址是否與自己沖突。如果發(fā)送免費ARP報文的設(shè)備正好改變了硬件地址,那么這個報文就可以通知其他設(shè)備及時更新高速緩存中舊的硬件地址。例如:設(shè)備收到一個免費ARP報文后,如果高速緩存中已存在此報文對應(yīng)的ARP表項,那么此設(shè)備就用免費ARP報文中攜帶的發(fā)送端硬件地址(如以太網(wǎng)地址)對高速緩存中相應(yīng)的內(nèi)容進行更新。設(shè)備接收到任何免費ARP報文都要完成這個操作。
免費ARP報文的特點:報文中攜帶的源IP和目的IP地址都是本機地址,報文源MAC地址是本機MAC地址。當設(shè)備收到免費ARP報文后,如果發(fā)現(xiàn)報文中的IP地址和自己的IP地址沖突,則給發(fā)送免費ARP報文的設(shè)備返回一個ARP應(yīng)答,告知該設(shè)備IP地址沖突。缺省情況下,交換機的免費ARP報文發(fā)送功能處于開啟狀態(tài),免費ARP報文學習功能處于關(guān)閉狀態(tài)。在系統(tǒng)視圖下免費ARP的配置過程如下:
arpsend-gratuitousenable
gratuitous-arp-learningenable
登錄和訪問交換機控制技術(shù)
目前,以太網(wǎng)交換機提供了多種用戶登錄、訪問設(shè)備的方式,主要有通過Console口、SNMP訪問、通過TELNET或SSH訪問和通過HTTP訪問等方式。以太網(wǎng)交換機提供對這幾種訪問方式進行安全控制的特性,防止非法用戶登錄、訪問交換機設(shè)備。
安全控制分為兩級:第一級安全通過控制用戶的連接實現(xiàn),通過配置ACL對登錄用戶進行過濾,只有合法用戶才能和交換機設(shè)備建立連接;第二級安全主要通過用戶口令認證實現(xiàn),連接到設(shè)備的用戶必須通過口令認證才能真正登錄到設(shè)備。
設(shè)置口令
為防止未授權(quán)用戶的非法侵入,必須在不同登錄和訪問的用戶界面(AU*用戶界面用于通過Console口對以太網(wǎng)交換機進行訪問,VTY用戶界面用于通過Telnet對以太網(wǎng)交換機進行訪問)設(shè)置口令,包括容易忽略的SNMP的訪問口令(一定不要用“public”的默認口令)和BootMenu口令,同時設(shè)置登錄和訪問的默認級別和切換口令。
在不同登錄和訪問的用戶界面,使用如下命令設(shè)置口令:
authentication-modepassword
setauthenticationpassword{cipher|simple}password
配置ACL對登錄用戶進行過濾
通過配置ACL對登錄用戶進行過濾控制,可以在進行口令認證之前將一些惡意或者不合法的連接請求過濾掉,保證設(shè)備的安全。配置ACL對登錄用戶進行過濾控制需要定義訪問控制列表和引用訪問控制列表。
配置舉例及步驟:僅允許來自10.10.1.66和10.10.1.78的TELNET用戶訪問交換機:
#定義基本訪問控制列表。
[Quidway]aclnumber2008match-orderconfig
[Quidway-acl-basic-2008]rule1permitsource10.10.1.660
[Quidway-acl-basic-2008]rule2permitsource10.10.1.780
[Quidway-acl-basic-2008]quit
#引用訪問控制列表。
[Quidway]user-interfacevty04
[Quidway-user-interface-vty0-4]acl2008inbound
鏡像技術(shù)
以太網(wǎng)交換機提供基于端口和流的鏡像功能,即可將指定的1個或多個端口的報文或數(shù)據(jù)包復(fù)制到監(jiān)控端口,用于報文的分析和監(jiān)視、網(wǎng)絡(luò)檢測和故障排除(以S6500系列為例):
mirroring-groupgroupId{inbound|outbound}mirroring-port-list&mirrored-tomornitor-port
由于大多數(shù)對局域網(wǎng)危害較大的網(wǎng)絡(luò)病毒和人為破壞都具有典型的欺騙和掃描、快速發(fā)包、大量ARP請求等特征,考慮局域網(wǎng)的實際情況,綜合采用上述技術(shù)中的某幾種,在接入層、匯聚層交換機上分級配置,可以在一定程度上自動阻斷惡意數(shù)據(jù)包,及時告警,準確定位病毒源、故障或干擾點,及時采取措施,把對局域網(wǎng)的危害減輕到盡可能小的程度。
篇2:高空作業(yè)腳手架(架子工)工程安全防范技術(shù)措施及安全交底
一、安全方針與安全目標
1.安全方針
“安全第一,預(yù)防為主,綜合治理,”以“安全責任重于泰山”的使命感和責任感,杜絕違章指揮、違章作業(yè)和違反勞動紀律行為的發(fā)生,最大限度地消除事故隱患,預(yù)防和避免各類事故的發(fā)生。
2.?墩柱施工安全目標
以安全教育、安全檢查為手段,以保護勞動者在墩柱施工過程中的安全與健康為目的,強化安全生產(chǎn)意識,落實安全管理責任制,確保本工程施工重傷及死亡率為0,輕傷率小于0.5%。
二、建立安全管理體系
1.墩柱施工安全管理人員配制
①施工處建立完善的安全生產(chǎn)管理體系。配備足夠?qū)B毎踩珕T,墩柱各工區(qū)施工隊兼職安全員2-4人。
②成立安全生產(chǎn)領(lǐng)導(dǎo)小組,處主任擔任組長,項目總工程師、安全部部長為副組長,各部室、班組負責人及專、兼職安全員為成員。工程部負責安全生產(chǎn)日常指導(dǎo)工作,辦公室負責安全生產(chǎn)日常教育宣傳工作,專職安全員負責全工地日常安全檢查管理工作,兼職安全員協(xié)助班組長做好本組的各項安全管理工程。
三、腳手架(架子工)工程安全防范技術(shù)措施
1)從事架子工種的人員,必須定期(每年)進行體檢,架子工屬國家規(guī)定的特種作業(yè)人員,必須經(jīng)有關(guān)部門培訓,考試合格,持證上崗。
2)凡是高血壓、心臟病、癲癇病、暈高或視力不夠等不適合做高處作業(yè)的人員,均不得從事架子作業(yè)。配備架子工的徒工,在培訓以前必須經(jīng)過醫(yī)務(wù)部門體檢合格,操作時必須有技工帶領(lǐng),指導(dǎo),由低到高,逐步增加,不得任意單獨上架操作。
3)腳手架支搭以前,必須制定施工方案和進行安全技術(shù)交底。對于高大異形的架子并應(yīng)報請上級部門批準,向所有參加作業(yè)人員進行書面交底。
4)操作小組接受任務(wù)后,必須根據(jù)任務(wù)特點和交底要求進行認真討論,確定支搭方法,明確分工。在開始操作前,班組長和安全員應(yīng)對施工環(huán)境及所需防護用具做一次檢查,消除隱患后方可開始操作。
5)架子工在高處(距地高度2M以上)作業(yè)時,必須佩帶安全帶。所用的桿子應(yīng)栓2M長的桿子繩。安全帶必須與已綁好的立、橫桿掛牢,不得掛在鉛絲扣或其他不牢固的地方,不得“走過檔”(即在一根順水桿上不扶任何支點行走),也不得跳躍架子。在架子上操作應(yīng)精力集中,禁止打鬧和玩笑,休息時應(yīng)下架子。嚴禁酒后作業(yè)。
6)遇有惡劣氣候(如風力五級以上,高溫、雨天氣等)影響安全施工時應(yīng)停止高處作業(yè)。
7)大橫桿應(yīng)綁在立桿里邊,綁第一步大橫桿時,必須檢查立桿是否立正,綁至四步時必須綁臨時小橫桿和臨時十字蓋。綁大橫桿時,必須2-3人配合操作,由中間一人結(jié)桿、放平,按順序綁扎。
8)遞桿、拉桿時,上下左右操作人員應(yīng)密切配合,協(xié)調(diào)一致。拉桿人員應(yīng)注意不碰撞上方人員和已綁好的桿子,下方遞桿人員應(yīng)在上方人員接住桿子后方可松手,并躲離其垂直操作距離3M以外。使用人力吊料,大繩必須堅固,嚴禁在垂直下方3M以內(nèi)拉大繩吊料。使用機械吊運,應(yīng)設(shè)天地輪,天地輪必須加固,應(yīng)遵守機械吊裝安全操作規(guī)程,吊運木板、鋼管等物應(yīng)綁扎牢固,接料平臺外側(cè)不準站人,接料人員應(yīng)等起重機械停車后再接料、解綁繩。
9)未搭完的一切腳手架,非架子工一律不準上架。架子搭完后由其施工人會同架子組長以及使用工種、技術(shù)、安全等有關(guān)人員共同進行驗收,認為合格,辦理交接驗收手續(xù)后方可使用。使用中的架子必須保持完整,禁止隨意拆、改腳手架或挪用腳手板;必須拆改時,應(yīng)經(jīng)施工負責人批準,由架子工負責操作。
10)所有架子,經(jīng)過大風、大雨后,要進行檢查,如發(fā)現(xiàn)傾斜下沉及松扣、崩扣要及時修理。
11)外架拆除前,班組長要向拆架施工人員進行書面安全交底工作。交底有接受人簽字。
12)拆除前,班組要學習安全技術(shù)操作規(guī)程,班組長必須對拆架人員進行安全交底,交底要有記錄,交底內(nèi)容要有針對性,拆架子的注意事項必須講清楚。
13)拆架前在地上用繩子或鐵絲先拉好圍欄,沒有監(jiān)護人,沒有安全員、班組長在場,外架不準拆除。
14)架子拆除程序應(yīng)由上而下,按層按步拆除。先清理架子上雜物,如腳手板上的混凝土、砂漿塊、U型卡、活動桿子及材料。按拆架原則先拆后搭的桿子。剪刀撐、拉桿不準一次性全部拆除,要求桿拆到哪一層,剪刀撐、拉桿拆到哪一層。
15)拆除工藝流程:拆護欄?拆腳手板拆小橫桿?拆大橫桿?拆
剪刀撐?拆立桿?拉桿傳遞至地面?清除扣件按規(guī)格堆碼。
16)拆桿和放桿時必須由2-3人協(xié)同操作,拆大橫桿時,應(yīng)由站在中間的人將桿順下傳遞,下方人員接到桿拿穩(wěn)拿牢后,上方人員才準松手,嚴禁往下亂扔腳手料具。
17)拆架人員必須系安全帶,拆除過程中,應(yīng)指派一個責任心強、技術(shù)水平高的工人擔任指揮,負責拆除工作的全部安全作業(yè)。
18)拆架時有管線阻礙不得任意割移,同時要注意扣件崩扣,避免踩在滑動的桿件上操作。
19)拆架時螺絲扣必須從鋼管上拆除,不準螺絲扣在被拆下的鋼管上。
20)拆架人員應(yīng)配備工具套,手上拿鋼管時,不準同時拿板手,工具用后必須放在工具套內(nèi)。
21)拆架休息時不準坐在架子上或不安全的地方,嚴禁在拆架時嘻戲打鬧。
22)拆架人員要穿戴好個人勞保用品,不準穿膠底易滑鞋上架作業(yè),衣服要輕便。
23)拆除中途不得換人,如更換人員必須重新進行安全技術(shù)交底。
24)拆下來的腳手桿要隨拆、隨清、隨運,分類、分堆、分規(guī)格碼放整齊,要有防水措施,以防雨后生銹。扣件要分型號裝箱保管。
25)拆下來的鋼管要定期重新外刷一道防銹漆,刷一道調(diào)合漆。彎管要調(diào)直,扣件要上油潤滑。
26)嚴禁架子工在夜間進行架子搭拆工作。未盡事宜班組長在安全技術(shù)交底中做詳細的交底,施工中存在問題的地方應(yīng)及時與技術(shù)部門聯(lián)系,以便及時糾正。
四、墩柱施工危險源安全事故應(yīng)急處置措施
(1)腳手架失穩(wěn)引起倒塌及造成人員傷亡時的應(yīng)急處置措施
?1)迅速確定事故發(fā)生的準確位置、可能波及的范圍、腳手架損壞的程度、人員傷亡情況等,以根據(jù)不同情況進行處置。
?2)劃出事故特定區(qū)域,非救援人員未經(jīng)允許不得進入特定區(qū)域。迅速核實腳手架上作業(yè)人數(shù),如有人員被坍塌的腳手架壓在下面,要立即采取可靠措施加固四周,然后拆除或切割壓住傷者的桿件,將傷員移出。如腳手架太重可用吊車將架體緩緩抬起,以便救人。如無人員傷亡,立即實施腳手架加固或拆除等處理措施。以上行動須由有經(jīng)驗的安全員和架子工長統(tǒng)一安排。
(2)發(fā)生高處墜落事故的應(yīng)急處置措施
?1)救緩人員首先根據(jù)傷者受傷部位立即組織搶救,促使傷者快速脫離危險環(huán)境,送往醫(yī)院救治,并保護現(xiàn)場。察看事故現(xiàn)場周圍有無其它危險源存在。
?2)在搶救傷員的同時迅速向上級報告事故現(xiàn)場情況。
?3)搶救受傷人員時幾種情況的處理:
--如發(fā)生人員昏迷、傷及內(nèi)臟,骨折及大量失血:①立即聯(lián)系120急救車或距現(xiàn)場最近的醫(yī)院,并說明傷情。為取得最佳搶救效果,還可根據(jù)傷情送往專科醫(yī)院。②外傷大出血:急救車未到前,現(xiàn)場采取止血措施。③骨折:注意搬運時的保護,對昏迷、可能傷及脊椎、內(nèi)臟或傷情不詳者一律用擔架或平板,禁止用摟、抱、背等方式運輸傷員。
--一般性傷情送往醫(yī)院檢查,防止破傷風。
五、確保施工安全
確保施工安全,必須切實做好對腳手架的安全管理,以避免造成人員傷亡和重大經(jīng)濟損失的安全事故發(fā)生。
篇3:有限空間作業(yè)安全防范措施規(guī)范
從有限空間作業(yè)事故案例中我們可以看到,如果對有限空間作業(yè)活動的危險性認識不足,防范措施不到位,極易引發(fā)多人傷亡事故。同時,有限空間中作業(yè)存在的危害,極大多數(shù)情況下均是完全可以預(yù)防的。在有限空間內(nèi)作業(yè),必須嚴格執(zhí)行浙江省質(zhì)量技術(shù)監(jiān)督局發(fā)布的《有限空間作業(yè)安全技術(shù)規(guī)程》(DB33/707—2008),認真落實以下防范措施:
(一)在有限空間外敞面醒目處,設(shè)置警戒區(qū)、警戒線、警戒標志,未經(jīng)許可,不得入內(nèi)。
(二)對任何可能造成職業(yè)危害、人員傷亡的有限空間場所作業(yè)應(yīng)做到先檢測后監(jiān)護再進入的原則。先檢測確認有限空間內(nèi)有害物質(zhì)濃度,作業(yè)前30分鐘,應(yīng)再次對有限空間有害物質(zhì)濃度采樣,分析合格后方可進入有限空間。
(三)進入自然通風換氣效果不良的有限空間,應(yīng)采用機械通風,通風換氣次數(shù)每小時不能少于3次。對不能采用通風換氣措施或受作業(yè)環(huán)境限制不易充分通風換氣的場所,作業(yè)人員必須配備并使用空氣呼吸器或軟管面具等隔離式呼吸保護器具。嚴禁使用過濾式面具。
(四)生產(chǎn)經(jīng)營單位應(yīng)建立有限空間作業(yè)審批制度、作業(yè)人員健康檢查制度、有限空間安全設(shè)施監(jiān)管制度;同時應(yīng)對從事有限空間作業(yè)人員進行培訓教育。
(五)有限空間作業(yè)人員應(yīng)具備對工作認真負責的態(tài)度,身體無妨礙從事相應(yīng)工種作業(yè)的疾病和生理缺陷,并符合相應(yīng)工種作業(yè)需要的資格。
(六)生產(chǎn)經(jīng)營單位在作業(yè)前應(yīng)針對施工方案,對從事有限空間危險作業(yè)的人員進行作業(yè)內(nèi)容、職業(yè)危害等教育;對緊急情況下的個人避險常識、中毒窒息和其他傷害的應(yīng)急救援措施教育。
(七)有限空間作業(yè)現(xiàn)場應(yīng)明確監(jiān)護人員和作業(yè)人員。監(jiān)護人員不得進入有限空間。
(八)有限空間作業(yè)人員應(yīng)遵守有限空間作業(yè)安全操作規(guī)程,正確使用有限空間作業(yè)安全設(shè)施與個體防護用具;應(yīng)與監(jiān)護人員進行有效的安全、報警、撤離等雙向信息交流;作業(yè)人員意識到身體出現(xiàn)危險異常癥狀時,應(yīng)及時向監(jiān)護者報告或自行撤離有限空間。
當有限空間作業(yè)過程中發(fā)生急性中毒和窒息事故時,應(yīng)急救援人員應(yīng)在做好個體防護并配戴必要應(yīng)急救援設(shè)備的前提下,才能進行救援。其他作業(yè)人員千萬不要貿(mào)然施救,以免造成不必要的傷亡。