VAV控制原理和控制方式
变风量(VAV)空调系统简介
变风量(Variable Air Volume)空调系统是一种通过改变送风量来调节室内温湿度的空调系统。Dleta控制公司是世界上首家设计、制造出一体化(即集控制器、执行机构和流速传感器于一身)的VAV控制器的BA产品制造商。
变风量空调系统60年代起源于美国,自80年代开始在欧美、日本等国得到迅速发展,最重要的原因是变风量空调系统巨大的节能优势。经过十几年的普及和发展,目前变风量空调系统己占据了欧、美、日集中空调系统约30% 的市场份额,并在世界上越来越多的国家得到应用。进入90年代以来,采用VAV技术的多层建筑与高层建筑已达到95%。
变风量空调系统由空气处理机组、新风/排风/送风/回风管道、变风量空调箱、房间温控器等组成,其中变风量空调箱是该系统的最重要部分。
一、变风量空调系统(VAV)的优势
变风量空调系统区别于其它空调形式的优势主要在以下几个方面:
1、节能
由于空调系统在全年大部分时间里是在部分负荷下运行,而变风量空调系统是通过改变送风量来调节室温的,因此可以大幅度减少送风风机的动力耗能。据模拟测算,当风量减少到80% 时,风机耗能将减少到51%;当风量减少到50%时,风机耗能将减少到15%。全年空调负荷率为60% 时,变风量空调系统(变静压控制)可节约风机动力耗能78%。
2、新风作冷源
因为变风量空调系统是全空气系统,在过渡季节可大量采用新风作为天然冷源,相对于风机盘管系统,能大幅度减少制冷机的能耗,亦可改善室内空气质量。
3、无冷凝水烦恼
变风量空调系统是全空气系统,冷水管路不经过吊顶空间,避免了风机盘管系统中令人烦恼的冷凝水滴漏和污染吊顶问题。
4、系统灵活性好
现代建筑工程中常需进行二次装修,若采用带VAV空调箱装置的变风量空调系统,其送风管与风口以软管连接,送风口的位置可以根据房间分隔的变化而任意改变,也可根据需要适当增加风口。而在采用定风量系统或风机盘管系统的建筑工程中,任何小的局部改造都显得很困难。
5、系统噪声低
风机盘管系统存在现场噪声,而变风量空调系统噪声主要集中在机房,用户端噪声较小。
6、不会发生过冷或过热
带VAV空调箱的变风量空调系统与一般定风量系统相比,能更有效地调节局部区域的温
度,实现温度的独立控制,避免在局部区域产生过冷或过热现象。
7、提高楼宇智能化程度
采用DDC数字控制的变风量空调系统,可以实现计算机联网运行,接入到楼宇自控系统中,从而提高楼宇智能化程度。
8、减少综合性初投资
由于增加了系统静压控制以及VAV空调箱等环节,设备控制上的造价会有所提高。但由于变风量空调系统可以根据冷热负荷的分布,使送风量在建筑物内各个控制区域间平衡转移,从而使系统的设计总送风量减少,因此可以减小空调系统的设备容量,系统综合性初投资不一定会增加,甚至可以降低。
9、变风量空调系统结构简单,维修工作量小,使用寿命长。
二、变风量空调系统(VAV)控制原理
变风量控制器和房间温控器一起构成室内串级控制,采用室内温度为主控制量,空气流量为辅助控制量。
变风量控制器按房间温度传感器检测到的实际温度,与设定温度比较差值,以此输出所需风量的调整信号,调节变风量末端的风阀,改变送风量,使室内温度保持在设定范围。
同时,风道压力传感器检测风道内的压力变化,采用PI或者PID调节,通过变频器控制变风量空调机送风机的转速,消除压力波动的影响,维持送风量。
三、变风量空调系统(VAV)常用控制方式
1、定静压控制
工作原理:保证系统风道内某一点(或几点平均)静压一定的前提下,室内所需风量由VAVBOX风阀调节;系统送风量由风道内静压与该点所设定值的差值控制变频器工作调节风机转速确定。
同时,可以改变送风温度来满足室内舒适性要求。
2、变静压控制
工作原理:在保证VAVBOX风阀尽可能的处于全开位置(85-100%),系统送风量由风道内所需静压来控制变频器工作,调节风机转速确定。
同时,可以改变送风温度来满足室内舒适性要求。
3、总风量控制
工作原理:通过改变送风量调整室内温度,并使送风与回风的差值保持恒定,以满足构筑物排风的需求。
四、变风量(VAV)系统基本构成
1、室内变风量温控器
2、变风量末端(VAVBOX)——带有控制器、传感器、风阀、BOX箱体及其他辅助设施
3、风道静压测量装置
4、变风量空调机(带有变频器)
五、变风量(VAV)空调系统发展趋势
国外高档写字楼一般都是把VAV空调系统作为常规的必备系统而拒绝采用FC+新风系统,“让FC重新回到宾馆里去”正是这种情况的最好结论。
国内高档写字楼的发展趋势也必将是VAV系统,因为VAV系统在技术、经济、灵活性、维护量小几个方面都具有无可比拟的优越性。
浅谈强制访问控制(MAC)
浅谈强制访问控制(MAC) 【摘要】访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。访问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。 访问控制分类:1)传统访问控制:自主访问控制DAC,强制访问控制MAC;2)新型访问控制:基于角色的访问控制RBAC,基于任务的访问控制TBAC……。本文主要谈论传统访问控制中的强制访问控制MAC。 【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型 引言 随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,给用户造成严重损失。 访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。 访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。其中,强制访问控制就在次方面有很重要的作用。 访问控制从实现的基本理念来分有以下两种: 1)强制访问控制(Mandatory access control) 2)自主访问控制(Discretionary access control) 本文主要谈论强制访问控制控制,包括其定义、原理及其分类。 一、强制访问控制
浅谈访问控制策略
浅谈访问控制策略 身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。 在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。 其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。 访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
访问控制方式总结
访问控制方式总结 授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程,通常是以访问控制的形式实现的。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的,以保证资源的安全性和有效性。 访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。 设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。 目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等
AIX访问控制安全策略
一、AIX服务器 1<身份鉴别> 1.1配置密码策略 参考配置操作: 当前系统管理员密码为弱密码,建议其更换强密码,编辑/etc/security/user 设置以下参考数值设定: #vi/etc/security/user minalpha=1口令必须包含1个字母 minother=2口令必须包含2个非字母字符 minlen=8口令不得少于8个字符 maxage=4口令可使用周期(4周) maxexpired=1达到使用周期后1周内必须更改口令pwdwarntime=7在达到使用周期前7天提示修改口令histsize=5不能使用上5次用过的口令 1.2启用登录失败处理功能 参考配置操作: 编辑/etc/security/user文件,并修改以下内容: loginretries=3口令重试3次后锁定 解锁方法: 以user用户为例,执行命令: #lsuser user检查unsuccessful_login_count参数(登录失败次数) #chuser unsuccessful_login_count=0user重置user用户登录失败次数 1.3远程访问加密措施 参考配置操作: 1)在官网下载Openssl和OPenSSH软件。
2)上传文件 将openssh_5.2p1_aix61.tar.Z用ftp传到/tmp/openssh目录下 将openssl.0.9.8.1103.tar.Z用ftp传到/tmp/openssl目录下3)解压文件 #cd/tmp/openssh/ #uncompress openssh_5.2p1_aix61.tar.Z #tar-xvf openssh_5.2p1_aix61.tar #cd/tmp/openssl/ #uncompress openssl.0.9.8.1103.tar.Z #tar-xvf openssl.0.9.8.1103.tar 4)安装openssl 进入openssl目录 #cd/tmp/openssl 开始安装 #smitty install 顺序选择Install and Update Software->Install Software INPUT device/directory for software[/tmp/openssl]输入openssl目录. 选中SOFTWARE to install[_all_latest]行,按F4,选择openssl.license,回车 选中ACCEPT new license agreements?行,按Teb键,选择[yes] 回车,执行安装 Command:OK表示安装完成。 5)安装openssh 进入openssh目录 #cd/tmp/openssh 删除目录下openssh_5.2p1_aix61.tar包 #rm-rf openssh_5.2p1_aix61.tar 开始安装 #smitty install
浅谈我对信息安全的认识
浅谈我对信息安全的认识 姓名:XXXXX 学号:XXXXXXXX 班级:XXXXXX 摘要 随着信息技术的不断发展,网络信息的安全问题也受到了威胁。本文主要从网络信息安全的定义、影响因素、防御措施几个方面进行阐述,希望可以一定程度的提升我国网络信息的安全程度。 如今的信息发展速度是飞快的,我们的通信与网络之间的联系也越来越紧密。此种情况下一定程度的促进了网络的迅速发展,不可否认的是网络通信在日益腾飞的今天,它的安全问题也逐渐受到消费者的重视,对于维护网络通信的安全压力也越来越大。网络通信的天然属性就是开放,与此同时开放性的存在也导致了许多安全方面的漏洞,随着内外安全环境的日益恶化,诸如信息窃取或者网络攻击的活动也逐渐变得猖獗。同时网络的恶意行为趋势也渐渐变得明显,在一定程度上充分的引起了我们的注重。许多有组织的集团或者骇客攻击的存在都严重影响着我国网络的通信安全。 一、网络的通信安全 在对网络的通信安全进行定义时需要从多方面来考虑。其定义从国际化的角度看来可以是信息的可用性、可靠性、完整性以及保密性。一般情况下网络通信安全指的是依据网络的特性由相关的安全技术以及预防计算机的网络硬件系统遭迫害所采取的措施服务。 (一)影响网络通信安全的因素 首先就是软硬件的设施。许多的软硬件系统一开始是为了方便管理才事先设置了远程终端登录的控制通道,这样会极大程度的加大了病毒或者黑客攻击的漏洞。除此之外很多软件在一开始设计时虽然会将种种安全的因素考虑进去,但不可避免的时间一长就会出现缺陷。在出现问题后就需要立即发布补丁来进行漏洞弥补。与此同时一些商用的软件源程序会逐渐变得公开或者半公开化的形态,这就使得一些别有用心的人轻易找到其中漏洞进行攻击。在一定程度上使得网络的通信安全受到威胁。 其次就是人为的破坏。某些计算机的内部管理员工由于缺乏一定的安全意识以及安全技术,利用自身的合法身份进到网络中,从事一些破坏、恶意窃取的行为。最后就是TCP/IP的服务比较脆弱,由于因特网的基本协议就是TCP/IP协议,这个协议的设计虽然比较有实效但是安全因素比较匮乏。这样就会增大代码的量,最终也会导致TCP/1P的实际运行效率降低。因此TCP/IP其自身的设计就存在着许多隐患。许多以TCP/IP为基础的应用服务比如电子邮件、FTP 等服务都会在不同的程度受到安全威胁。 (二)常用的几种通信安全技术 比较常用的有数据加密技术,所谓的加密就是将明文转化为密文的过程。还有数字签名的技术,这时一种对某些信息进行研究论证的较有效手段。除此之外访问控制也是一种有效地安全技术,这一种形式的机制就是利用实体的能力,类
访问控制技术手段
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。
访问控制策略配备管理制度
访问控制策略配备管理制度 [日期:2010-12-18] 作者:浏览:367 第一章总则 第一条为加强对网络层和系统层的访问控制,对网络设备和安全专用设备,以及操作系统和数据库系统的安全配置和日常运行进行管理,保障信息网络的安全、稳定运行,特制订本制度。 第二条本制度暂时适用于海南电网公司(以下简称公司)本部的信息系统的所有网络设备和安全专用设备,以及操作系统和数据库系统的访问控制策略配置管理。分公司、直属各单位及其他联网单位可参照执行。 第二章访问控制策略的制定 第三条公司本部的信息管理部门负责访问控制策略的制定和组织实施工作,并指定网络管理员协同系统管理员、数据库管理员负责有关工作。 第四条在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前,应掌握以下已形成文档的资料,并必须根据变化作出即时的更新: 公司域网的详细网络结构; 各个业务应用系统的安全要求; 各个业务应用系统的数据流情况; 不同系统及网络之间的访问控制及数据传输要求; 各种连接的访问权限; 各个服务器系统及其承载应用服务的安全要求; 各个服务器操作系统的访问控制及安全要求; 各个服务器数据库系统的访问控制及安全要求; 各个终端计算机或各种用户群的访问控制及安全要求。 第五条制定的访问控制策略要求体现以上文档的要求,并根据以上文档的更新作出相应的修改。制定的网络访问控制策略必须包含内部远程访问控制和外部远程访问控制两部分;制定的操作系统和数据库系统访问控制策略必须包含特权用户和普通用户两部分;还应制定对各种用户群的访问控制策略。
第六条内部远程访问是指公司内部人员通过拨号等方式远程接入本单位的内部公司域网。如用户确因工作需要要求内部远程访问,应填写《内部人员远程访问审批表》(参见附表1)。经被远程登录方信息管理部门负责人批准同意后,由被远程登录方网络管理员分配远程访问的用户名和口令。批准远程访问的时间结束后,网络管理员应及时变更远程访问的用户名和口令。 第七条外部远程访问是指外单位人员因故需通过拨号方式对信息系统进行远程登录维护,或外单位因业务需要需通过拨号方式接入等。进行外部远程访问前,有关业务系统的系统管理员应填写《外部人员远程访问审批表》(参见附表2),并要得到信息管理部门负责人以及有关业务管理部门负责人批准。对于需进行远程登录维护的情况,有关系统的系统管理员应监控整个外部远程访问过程,确保系统安全,并且在外部远程访问结束后,应及时拔掉电话线,关闭调制解调器的电源,并更改用于外部远程访问的用户名和口令。 第八条网络及安全专用设备访问控制。内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理,并定期修改。用于管理有关设备的客户端软件应由专人管理,未经信息系统运行管理部门负责人同意,任何个人不得擅自安装或使用。 第九条不同网络之间的访问控制。公司本部以及直属供电公司的内部网络应根据各个生产业务系统的安全要求,采用物理分开或虚拟网等方式划分开不同的网络。不同网络之间应该有明确的边界,在边界应设置相应的网络安全设备,并根据不同网络的安全要求设置访问控制策略,在不同网络之间实现有效的流量和访问控制。 第十条系统主机访问控制。系统主机操作系统和数据库系统的超级用户口令必须由专人保管、每月修改,注意保密。系统用户和一般用户的添加及权限的设定,需要按照系统运行安全管理制度要求填写《操作系统帐户授权审批表》或《数据库系统帐户授权审批表》,应经系统业务主管部门审批同意,由系统管理员统一处理,并建立用户资料档案。 第三章访问控制策略的管理 第十一条访问控制策略的制定、修改、审批管理。策略的制定、修改应提出申请,填写《访问策略变更审批表》(附表3),并经信息中心审批。审批同意后方可按照策略修改有关设备的配置,并要求做好相关的记录。 第十二条网络管理员、系统管理员、数据库管理员和网络安全审计员原则上要求由不同的人专职或兼职担任。 网络安全审计员负责每月检查各种设备的配置及日志纪录,确定网络管理员、系统管理员、数据库管理员完全按照经过审批的网络访问控制策略配置有关设备且没有做过不正常的修改。 第十三条网络管理人员、系统管理员、数据库管理员和网络安全审计员应分别每季度向信息中心的负责人报告有关设备的的运行情况及审计情况,以备检查。有关的文档应归档保存。