题库来源：安全生产模拟考试一点通公众号小程序
 
安全生产模拟考试一点通：危险化学品生产单位安全生产管理人员最新解析参考答案及危险化学品生产单位安全生产管理人员考试试题解析是安全生产模拟考试一点通题库老师及危险化学品生产单位安全生产管理人员操作证已考过的学员汇总，相对有效帮助危险化学品生产单位安全生产管理人员作业模拟考试学员顺利通过考试。
 
 
1、【单选题】安全检查是指对生产过程及安全管理中可能存在的事故隐患、危险与有害因素、安全缺陷等进行()。（  C  ）
 
A、识别
 
B、检验
 
C、查证
 
2、【单选题】在生产过程、劳动过程、( )中存在的危害劳动者健康的因素,称为职业性危害因素。（  A  ）
 
A、作业环境
 
B、卫生环境
 
C、家庭环境
 
3、【单选题】《常用危险化学品分类及标志》按易燃液体闪点的高低分为( )易燃液体。（  B  ）
 
A、二项
 
B、三项
 
C、四项
 
4、【单选题】易燃液体在运输、泵送、灌装时要有良好的( )装置,防止静电积聚。（  A  ）
 
A、接地
 
B、防火
 
C、监测
 
5、【单选题】《危险化学品安全管理条例》规定,生产、储存危险化学品的单位,应当在其作业场所设置( )装置,并保证处于适用状态。（  B  ）
 
A、通风防爆
 
B、通信报警
 
C、通风报警
 
6、【单选题】《中华人民共和国安全生产法》规定,安全生产工作应当以人为本,坚持( )的方针。（  B  ）
 
A、安全第一、预防为主
 
B、安全第一、预防为主、综合治理
 
C、安全第一、以人为本
 
7、【单选题】若发现某化学品新的危害性,在有关信息发布的多长时间内,生产企业必须对安全技术说明书的内容进行修订()。（  A  ）
 
A、半年
 
B、一年
 
C、三个月
 
8、【单选题】坠落防护应通过采取( )等措施来实现。（  C  ）
 
A、消除坠落危险、坠落控制、坠落防护
 
B、消除坠落危害、坠落控制、坠落防护
 
C、消除坠落危害、坠落预防、坠落控制
 
 
9、【单选题】危险化学品单位应当将其危险化学品事故应急预案报所在地设区的市级人民政府安全生产监督管理部门( )。（  B  ）
 
A、评审
 
B、备案
 
C、发布
 
10、【单选题】某电化厂液氯工段发生液氯钢瓶爆炸,造成该工段414㎡厂房全部摧毁,相邻的冷冻厂厂房部分倒塌,两个厂房内设备、管线全部损毁。并造成附近办公楼及厂区周围280余间民房不同程度损坏。液氯工段当班的8名工人当场死亡。更为严重的是爆炸后氯气扩散7km,由于电化厂设在市区,与周围居民区距离较近,事故共导致千余人氯气中毒,数人死亡。直接经济损失若干。经调查最初爆炸的1只液氯钢瓶是由用户送到电化厂来充装液氯的。该用户在生产设备与液氯钢瓶连接管路上没有安装止逆阀、缓冲罐或其他防倒罐装置,致使氯化石蜡倒灌入液氯钢瓶中,而且在送来此钢瓶时也未向充装单位声明情况。负责充装钢瓶的液氯工段工人在充装液氯前没有对欲充装的钢瓶进行检查和清理,就进行液氯充装。充装时,钢瓶内的氯化石蜡和液氯发生化学反应,温度、压力升高,致使钢瓶发生爆炸,并导致周围钢瓶相继爆炸。双方工人均未经特种作业人员培训和考核,没有事故应急预案。根据上述描述,该事故发生的间接原因是()。（  C  ）
 
A、充装方工人违章操作
 
B、用户方违章造成液氯钢瓶内混入氯化石蜡
 
C、双方工人均未经特种作业人员培训和考核
 
11、【单选题】国务院地震工作主管部门和省、自治区、直辖市人民政府负责管理地震工作的部门或者机构,负责审定建设工程的( ),确定抗震设防要求。（  B  ）
 
A、安全评价报告
 
B、地震安全性评价报告
 
C、地震安全专篇
 
12、【单选题】重复使用的危险化学品包装物、容器在使用前,应当进行检查,并做出记录;检查记录应当至少保存( )年。（  B  ）
 
A、1
 
B、2
 
C、3
 
13、【单选题】《安全生产法》规定，生产经营单位的安全生产管理人员应当根据本单位的生产经营特点，对安全生产状况进行经常性检查；对检查中发现的（？？），应当立即处理；不能处理的，应当及时报告本单位有关负责人，有关负责人应当及时处理。检查及处理情况应当记录在案。（  B  ）
 
A、质量问题
 
B、安全问题
 
C、工作问题
 
14、【单选题】判定某一化学品是否是有毒品的判定依据中的毒性数据LD₅₀,所使用的试验动物是( )。（  A  ）
 
A、大鼠
 
B、小鼠
 
C、豚鼠
 
15、【单选题】噪声与振动较大的生产设备当设计需要将这些生产设备安置在多层厂房内时,宜将其安排在( )。（  A  ）
 
A、底层
 
B、上层
 
C、顶层
 
16、【单选题】IEC关于接地分为三大类,其中(接地的电网)电气设备金属外壳采用保护接零的是( )。（  C  ）
 
A、IT系统
 
B、TT系统
 
C、TN系统
 
17、【单选题】《中华人民共和国突发事件应对法》规定,突发事件应对工作原则为预防为主、( )。（  A  ）
 
A、预防与应急相结合
 
B、安全第一
 
C、以人为本
 
18、【单选题】锅炉燃烧装置的调试包括燃烧状况的调整和( )。（  B  ）
 
A、水位控制装置的调试
 
B、燃料的调节
 
C、温度控制
 
19、【单选题】向镁、铝等粉尘爆炸性混合物内充填( )可起到防止静电爆炸和火灾的作用。（  B  ）
 
A、氮气
 
B、氩
 
C、二氧化碳
 
20、【单选题】配电室等安装和使用非防爆电气设备的房间宜采用( )型防爆电气设备。（  A  ）
 
A、正压型
 
B、隔爆型
 
C、充油型
 
21、【单选题】比较适于扑灭电气设备火灾的是( )。（  B  ）
 
A、水
 
B、二氧化碳
 
C、沙石
 
22、【单选题】企业要按照国家有关规定实行重大危险源和重大隐患及有关应急措施备案制度,( )至少要进行一次全面的安全生产风险分析。（  C  ）
 
A、每年
 
B、每季度
 
C、每月
 
23、【单选题】新投用的燃油锅炉必须对锅炉的燃烧装置、安全附件等进行( )。（  B  ）
 
A、重新安装
 
B、调试
 
C、故障检查
 
24、【单选题】C类火灾指的是( )火灾。（  C  ）
 
A、固体物质
 
B、液体物质
 
C、气体物质
 
25、【单选题】《中华人民共和国安全生产法》规定,工会依法组织职工参加本单位( )工作的民主管理和民主监督,维护职工在安全生产方面的合法权益。（  C  ）
 
A、劳动保护
 
B、安全卫生
 
C、安全生产
 
26、【单选题】天然气燃烧火灾是( )类火灾。（  C  ）
 
A、A
 
B、B
 
C、C
 
27、【单选题】石油化工企业中,无飞火的明火设备,应布置在有散发可燃气体的设备、建筑物的主导风向( )。（  C  ）
 
A、下风头
 
B、下风头和侧风头
 
C、上风头和侧风头
 
28、【单选题】某韩国独资制鞋有限公司,2004年7月22日至8月7日,接连出现3例含苯化学物及汽油中毒患者(经职业病医院确诊)。3名女性中毒者都是在该公司生产流水线上进行手工刷胶的操作工。有关人员到工作现场调查确认:(1)在长70m、宽12m的车间内,并列2条流水线,有近百名工人进行手工刷胶作业;(2)车间内有硫化罐、烘干箱、热烤板等热源,但无降温、通风设施,室温高达37.2℃。(3)企业为追求利润,不按要求使用溶剂汽油,改用价格较低、毒性较高的燃料汽油作为橡胶溶剂,使得配制的胶浆中的含苯化学物含量较高。(4)所有容器(如汽油桶、亮光剂桶、胶浆桶及40多个胶浆盆等)全部敞口。(5)操作工人没有任何个人防护用品。(6)经现场检测,车间空气中苯和汽油浓度分别超过国家卫生标准2.42倍和2.49倍。根据上述描述,()必须采用有效的职业病防护设施,并为劳动者提供个人使用的职业病防护用品。（  B  ）
 
A、政府
 
B、用人单位
 
C、工会组织
 
29、【单选题】受理备案登记的安全生产监督管理部门应当对应急预案进行( ),经审查符合要求的,予以备案并出具应急预案备案登记表;不符合要求的,不予备案并说明理由。（  C  ）
 
A、要素审查
 
B、内容审查
 
C、形式审查
 
30、【单选题】通常情况下,液体的燃烧难易程度主要用( )的高低来衡量。（  A  ）
 
A、闪点
 
B、自燃点
 
C、最小点火能量
 
31、【单选题】职业病目录中,尘肺病有( )种。（  B  ）
 
A、11
 
B、13
 
C、17
 
32、【单选题】重大事故隐患,由生产经营单位( )组织制定并实施事故隐患治理方案。（  A  ）
 
A、主要负责人
 
B、负责人
 
C、有关人员
 
33、【单选题】变压器中性点接地叫( )接地。（  A  ）
 
A、工作
 
B、保护
 
C、安全
 
34、【单选题】疑似职业病病人在诊断、医学观察期间的费用，由( )承担。（  A  ）
 
A、用人单位
 
B、当地政府
 
C、患者本人
 
35、【单选题】在不能利用自然导体的情况下,保护零线导电能力最好不低于相线的( )。（  B  ）
 
A、1/3
 
B、1/2
 
C、1/4
 
36、【单选题】化学品安全技术说明书“接触控制和个体防护”中不包含()。（  C  ）
 
A、最高允许浓度
 
B、工程控制
 
C、危险特性
 
37、【单选题】安全泄放系统是由泄放路径和( )构成的。（  A  ）
 
A、泄放装置
 
B、爆破片
 
C、泄放口
 
38、【单选题】生产危险化学品的企业,应附有与危险化学品完全一致的化学品安全技术说明书,并在包装上加帖或者拴挂与包装内危险化学品()的化学品安全标签。（  C  ）
 
A、完全一致
 
B、主要内容相同
 
C、相符
 
39、【单选题】生产经营单位应对重大危险源采取便捷、有效的( )、治安报警措施和联络通信、记录措施。（  C  ）
 
A、泄漏
 
B、危险
 
C、消防
 
40、【单选题】化学品安全标签可以不包含( )。（  C  ）
 
A、信号词
 
B、危险性说明
 
C、法规信息
 
41、【单选题】某电化厂液氯工段发生液氯钢瓶爆炸，造成该工段414m²厂房全部摧毁，相邻的冷冻厂厂房部分倒塌，两个厂房内设备、管线全部损毁。并造成附近办公楼及厂区周围280余间民房不同程度损坏。液氯工段当班的8名工人当场死亡。更为严重的是爆炸后氯气扩散7km，由于电化厂设在市区，与周围居民区距离较近，事故共导致千余人氯气中毒，数人死亡。直接经济损失若干。经调查最初爆炸的1只液氯钢瓶是由用户送到电化厂来充装液氯的。该用户在生产设备与液氯钢瓶连接管路上没有安装止逆阀、缓冲罐或其他防倒罐装置，致使氯化石蜡倒灌入液氯钢瓶中，而且在送来此钢瓶时也未向充装单位声明情况。负责充装钢瓶的液氯工段工人在充装液氯前没有对欲充装的钢瓶进行检查和清理，就进行液氯充装。充装时，钢瓶内的氯化石蜡和液氯发生化学反应，温度、压力升高，致使钢瓶发生爆炸，并导致周围钢瓶相继爆炸。双方工人均未经特种作业人员培训和考核，没有事故应急预案。根据上述描述，危险物品的生产、经营、储存单位应当建立( )。（  B  ）
 
A、应急救援预案
 
B、应急救援组织
 
C、应急救援体系
 
42、【单选题】人们在生产和生活中为防御各种职业危害和伤害而在劳动过程中穿戴和配备的各种用品的总称称为( )。（  C  ）
 
A、特种防护用品
 
B、一般防护用品
 
C、个人劳动防护用品
 
43、【判断题】对于放热反应,投料速度不能过快。（  √  ）
 
44、【判断题】当不断加大向锅炉进水及采取其他措施，但水位仍继续下降时，必须紧急停炉。（  √  ）
 
45、【判断题】有毒品在水中的溶解度越大,其危险性也越大。（  √  ）
 
46、【判断题】危险物品的生产、经营、储存单位的主要负责人、安全生产管理人员未按规定考核合格取得安全资格证书的,安全生产监督部门责令其立即停产停业整顿。()（  ×  ）
 
47、【判断题】由于在容器或管道中的可燃气体浓度在爆炸上限以上,虽然空气能补充或渗漏进去,也不能引起燃烧和爆炸。（  ×  ）
 
48、【判断题】任何单位和个人不得交寄危险化学品或者在邮件、快件内夹带危险化学品,不得将危险化学品匿报或者谎报为普通物品交寄。()（  √  ）
 
49、【判断题】生产经营单位在实行“三同时”时,安全设施投资应当纳入建设项目概算。（  √  ）
 
50、【判断题】应急救援抢险人员应根椐事先拟定的抢险方案，在做好个体防护的基础上，以最快的速度排除险情，要严格避免次生和衍生事故的发生。（  √  ）
 
51、【判断题】2011年1月某公司1催化装置稳定单元发生闪爆事故,事故造成3人死亡、4人轻伤,事故未造成环境污染。事故的直接原因为重油催化装置稳定单元重沸器壳程下部入口管线上的点排凝阀,因固定阀杆螺母压盖的焊点开裂,阀门闸板失去固定,阀门失效,脱乙烷汽油泄漏挥发,与空气形成爆炸性混合物,因喷射产生静电发生爆炸。根据上述事实,请判断,石油化工装置可能存在的点火源除了静电外,还包括明火、电火花、高温表面等。（  √  ）
 
52、【判断题】生产经营单位的安全管理人员对由于安全生产所必需的资金投入不足导致的后果承担责任。（  ×  ）
 
53、【判断题】应急救援预案要有实用性、要根据本单位的实际条件制订,使预案便于操作。（  √  ）
 
54、【判断题】事故应急救援预案应覆盖事故发生后应急救援各阶段的计划,包括预案的启动、应急、救援、事后监测与处置等各个阶段。（  √  ）
 
55、【判断题】当氢气泄漏时,人员应迅速撤离泄漏污染区至上风处,并隔离直至气体散尽,切断火源。（  √  ）
 
56、【判断题】有毒品必须储存在仓库,不得露天存放。应远离明火、热源,库房通风应良好。（  √  ）
 
57、【判断题】用电火花点燃甲烷和空气的混合物时,当点火能量为0.18mJ,该混合气体便着火。（  ×  ）
 
58、【判断题】毒物浓度超过国家职业卫生接触限值时,应及时整改复测。（  √  ）
 
59、【判断题】2011年3月25日上午,某司分包商员工在常减压检修现场进行工程收尾。10时左右,管工刘某与辅助工许某到空冷器顶部平台更换阀门螺栓。刘某站在平台北侧作业,站位距平台边缘约0.6米。11时左右,刘某在作业过程中,扳手与螺母松脱,站立不稳,从平台上后仰、坠落至下层平台,落差5.64米,头部受伤,经医院抢救无效于下午15时死亡。根据上述描述,请判断,高处作业必须系挂安全带。（  √  ）
 
60、【判断题】危险化学品管理档案应当包括危险化学品名称、数量、标识信息、危险性分类和化学品安全技术说明书、化学品安全标签等内容。（  √  ）
 
61、【判断题】应急救援指在发生事故时,采取的消除、减少事故危害和防止事故恶化,最大限度降低事故损失的措施。（  √  ）
 
62、【判断题】在建立警戒区域时,不必要把警戒区和污染区内与事故无关的人员撤离。（  ×  ）
 
63、【判断题】安全阀与压力容器之间一般不宜装设截止阀门。（  √  ）
 
64、【判断题】高压容器的使用压力较高,密封是个关键,所以密封结构也是高压容器中的一个主要结构。（  √  ）
 
65、【判断题】盛装具有腐蚀性介质的容器,底部尽可能不装阀门,腐蚀性液体应从顶部抽吸排出。（  √  ）
 
66、【判断题】工作场所内危害物质不能控制在一定区域内,这时应采用全面通风的方式。（  √  ）
 
67、【判断题】同一企业生产、进口同一品种危险化学品的,按照生产企业进行一次登记,但应当提交进口危化学品的有关信息。（  √  ）
 
68、【判断题】催化反应是在催化剂的作用下所进行的化学反应。（  √  ）
 
69、【判断题】安全技术说明书的正文应采用简洁、明了、通俗易懂的规范汉字表述,数字资料要准确可靠,系统全面。（  √  ）
 
70、【判断题】国家对危险化学品的使用有限制性规定的,任何单位和个人不得违反限制性规定使用危险化学品。（  √  ）
 
71、【判断题】生产经营单位应当建立健全事故隐患排查治理制度。（  √  ）
 
72、【判断题】任何单位和个人有权对违反法的行为进行检举和控告。（  √  ）
 
73、【判断题】救援过程中,救援人员在做好自身防护的基础上,应快速实施救援,控制事故发展。（  √  ）
 
74、【判断题】2008年6月,B炼油厂油罐区的2号汽油罐发生火灾爆炸事故,造成1人死亡、3人轻伤,直接经济损失420万元。该油罐为拱顶罐,容量200?。油罐进油管从罐顶接入罐内,但未伸到罐底。罐内原有液位计,因失灵已拆除。2008年5月,油罐完成了清罐检修。6月6日8时,开始给油罐输油,汽油罐顶输油时进油管内流速为2.3~2.5m/s,导致汽油在罐内发生了剧烈喷溅,随即着火爆炸。爆炸把整个罐顶抛离油罐。根据上述事实,为防止静电放电火花引起的燃烧爆炸,可采取的措施有:控制流速、保持良好接地、采用静电消散技术等。（  √  ）
 
75、【判断题】特种设备使用单位应当使用符合安全技术规范要求的特种设备。（  √  ）
 
76、【判断题】腐蚀是材料与周围环境元素发生化学变化而遭受破坏的现象。（  ×  ）
 
77、【判断题】在触电事故中携带式和移动式电器设备触电事故较多。（  √  ）
 
78、【判断题】某炼化公司炼油三部裂化系列按停工网络开始温降量,分馏系统也作相应调整,作为装置冲洗油的塔减二线量相应减少。班组按停工方案引外来低氮油(柴油组分)做冲洗油。14时左右,班长王某、外主操俞某、周某一起到置边界处改流程,未按规定进行检查、确认就进行引油操作。在打开边界处两道阀门后,低氮油从第二、第三道阀门之间的放空阀喷出,遇附近高温蒸汽管线起火,王某被烧成重伤。根据上述事实,低氮油从处于开启状态的放空阀门喷出,遇附近裸露的蒸汽阀门、“8”字盲板等高温部位而起火不属于该起事故的间接原因。（  √  ）
 
79、【判断题】某化工厂大检修前,由某单位安装处在装置东面17m外空地上对新制成的重叠式换热器进行气密性试验。换热器每台有40个螺孔,在试验时换热器B装了13个螺栓,换热器A装了17个螺栓。试压环比原封头法兰厚4.7cm,试压环装上后仍用原螺栓。螺栓与螺母装配时两头不均匀。试压过程中,换热器(B)试压环紧固螺栓拉断,螺母脱落,管束与壳体分离。重4t的管束向前冲出8m,把前方黄河牌载有空气压缩机的汽车大梁撞弯,冲入车底,整台汽车被横推移位2~3m;重2t的壳体向相反方向冲出,与管束分离后飞出38.5m,碰到地桩停止;换热器A、B连接支座螺栓剪断,连接法兰短管拉断,重6t的换热器A受壳体断开短管处喷出气体的反作用推力,整个向东南方向移位8m左右,并转向170°。现场共有9人,4人不幸死亡。根据上述情况,请判断,该厂操作人员严重违反《压力容器安全监察规程》关于“耐压试验和气密试验时,各部位的紧固螺栓必须装配齐全”的规定,导致事故发生。()（  √  ）
 
80、【判断题】任何单位和个人不得阻挠和干涉对事故的报告和依法调查处理。（  √  ）
 
81、【判断题】《危险化学品安全管理条例》规定,储存危险化学品的位应当根据本单位具体情况,决定是否建立危险化学品出入库核查、登记制度。（  ×  ）
 
82、【判断题】任何单位和个人有权对违反本法的行为进行检举和控告。（平台订正：本法指《职业病防治法》）（  √  ）
 
83、【判断题】化学品安全技术说明书中“泄漏应急处理”是指化学品泄漏后现场可采用的简单有效的应急措施,注意事项以及消除方法。（  √  ）
 
84、【判断题】把作业场所和工作岗位存在的危险因素如实告知从业人员,会有负面影响,引起恐慌,增加思想负担,不利于安全生产。（  ×  ）
 
85、【判断题】《中华人民共和国安全生产法》规定,生产经营单位必须投保安生产责任保险。（  ×  ）
 
86、【判断题】企业涉及使用有毒物品的,除安全生产许可证外,还应当依法取得职业卫生安全许可证。（  √  ）
 
87、【判断题】当发生危险化学品事故时,现场人员必须根据各自企业制定的事故预案采取积极有效的抑制措施,尽量减少事故蔓延,并向有关部门报告和报警。（  √  ）
 
88、【判断题】用人单位应当保障职业病病人依法享受国家规定的职业待遇。（  √  ）
 
89、【判断题】重大危险源的特点是储存物质一般为易燃、易爆、有毒、有害物质,且存储量较大。（  √  ）
 
90、【判断题】直流电流与交流电流相比，容易摆脱，其室颤电流也比较小，因而，直流电击事故很少。（  ×  ）
 
91、【判断题】2007年3月27日14时23分,京沈高速公路辽中段610km处,一辆高速行驶的黑色桑塔纳车,撞上前方正在行驶的一辆货运槽车尾部,车上装有24吨丙烯腈,大量的液体喷涌而出,不仅被困者随时都有生命危险,而且数百辆车经过出事路段,附近还有上百名农民正在劳动,情况十分危急。根据上述描述,请判断,事故发生后,有关单位和人员应当妥善保护事故现场以及相关证据,任何单位和个人不得破坏事故现场、毁灭相关证据。（  √  ）
 
92、【判断题】废弃危险化学品的处置,依照有关环境保护的法律、行政法规和国家有关规定执行。（  √  ）
 
93、【判断题】直接接触触电与间接接触触电的最主要的区别是发生电击时所触及的带电体是正常运行的带电体还是意外带电的带电体。（  √  ）
 
94、【判断题】对于油品(特别是甲、乙类液体),不准使用两种不同导电性质的检尺、测温和采样工具进行操作。（  √  ）
 
95、【判断题】建设项目职业病防护设施建设期间，建设单位应当对其进行经常性的检查，对发现的问题及时进行整改。（  √  ）
 
96、【判断题】某生产企业为运输方便,自制一个油罐车,罐内用铁板隔开,前段存放汽油,后段存放柴油,在运油中,遇电闪雷鸣,引起储罐燃烧爆炸造成人员伤亡。根据上述描述,请判断,一个储罐可以同时存放两种危险化学品。（  ×  ）
 
97、【判断题】不同种类毒品、危险程度和灭火方法不同的毒害品可同库混存,性质相抵的禁止可同库混存。()（  ×  ）
 
98、【判断题】危险化学品生产企业因储罐泄漏造成环境污染和职工轻伤事故不适用于《生产安全事故报告和调查处理条例》。()（  ×  ）
 
99、【判断题】储存危险化学品建筑采暖的热媒温度不应过高,热水采暖不应超过80℃,也可采用蒸汽采暖和机械采暖。()（  ×  ）
 
100、【判断题】事故发生单位负责人接到事故报告后,应当立即启动事故相应应急预案,或者采取有效措施,组织抢救,防止事故扩大,减少人员伤亡和财产损失。()（  √  ）
 
支持全国各地区精准危险化学品生产单位安全生产管理人员考试试题，支持安全资格证，特种作业操作证，职业技能鉴定等工种题库练习。

 
作者 | 匡大虎
 来源 | 阿里巴巴云原生公众号
 
云原生进程中的容器安全挑战
 
云原生的火热带来了企业基础设施和应用架构等技术层面的革新，在云原生的大势所趋下，越来越多的企业选择拥抱云原生，在 CNCF 2020 年度的调研报告中，已经有83% 的组织在生产环境中选择 Kubernetes，容器已经成为应用交付的标准，也是云原生时代计算资源和配套设施的交付单元。显然，容器已经成为应用交付的标准，也是云原生时代计算资源和配套设施的交付单元。
 
然而，由于在隔离和安全性方面存在的天然缺陷，安全一直是企业进行容器改造化进程中关注的核心问题之一。来到云原生时代，企业又将面临哪些容器安全新挑战？
 
 
缺少体系化的容器安全能力建设：传统的企业应用安全模型通常基于内部架构不同的信任域来划分对应的安全边界，在信任域内的东西向服务交互被认为是安全的。而上云后企业应用需要在 IDC 和云上部署和交互，在物理安全边界消失后，如何在零信任的网络安全模型下构建企业级容器安全体系是云服务商需要解决的重要问题。
 
 
更多的攻击面：基于容器技术的应用部署依赖 Linux 内核 namespaces 和 cgroups 等特性，从攻击者的角度出发，可以利用内核系统漏洞，容器运行时组件和容器应用部署配置等多个维度发起针对性的逃逸和越权攻击。K8s、Docker、Istio 等开源社区近年来也相继爆出不少的高危漏洞，这都给攻击者提供了可乘之机。
 
 
缺少应用侧全生命周期的安全防护手段：容器技术在为企业应用架构提供了弹性、敏捷和动态可扩展等特性的同时，也改变了应用的部署模式。首先应用自身的生命周期被大幅缩短，一个容器应用的生命周期通常是分钟级；与此同时，随着存储网络和异构资源利用率等基础设施能力上的提升，容器应用的部署密度也越来越高，传统的面向虚机维度的安全防护策略和监控告警手段已经无法适应容器技术的需求。
 
 
缺少对云上安全责任共担模型的理解：企业应用上云后的安全需要遵循责任共担模型，在企业应用架构云原生话的转型过程中，需要企业应用管理者和安全运维人员理解企业自身和云服务商之前的责任边界。这个过程中也需要云服务商面向企业应用侧输出更全面的容器安全最佳实践并提升安全能力的易用性，降低使用门槛。
 
 
构建容器安全体系的基本原则
 
为了应对上述企业应用在容器化进程中的安全挑战，云服务商和企业应用安全管理运维人员需要携手共建容器应用安全体系：
 
 
图 1 - ACK 容器服务安全责任共担模型
 
1. 云服务供给侧
 
对于云服务商，首先需要依托于云平台自身的安全能力，构建安全稳定的容器基础设施平台，并且面向容器应用从构建，部署到运行时刻的全生命周期构建对应的安全防护手段。整个安全体系的构建需要遵循如下基本原则：
 
1）保证容器管控平台基础设施层的默认安全
 
容器平台基础设施层承载了企业应用的管控服务，是保障业务应用正常运行的关键，容器平台的安全性是云服务商应该格外关注的。
 
 
完备的平台安全能力：首先云服务商自身基础设施的安全性是容器平台是否安全的基础，比如 VPC 的安全配置能力，SLB 的访问控制，DDoS 能力和账号系统对云资源的访问控制能力等都是平台侧面向企业应用需要提供的基础安全能力。
 
 
版本更新和漏洞应急响应机制：虚机 OS 的版本更新和漏洞补丁的安装能力也是保证基础设施安全的基本防护措施，除此之外如 K8s 等容器相关开源社区的风险漏洞，都可能成为恶意攻击者首选的攻击路径，需要厂商提供漏洞的分级响应机制并提供必要的版本升级能力。
 
 
平台的安全合规性：这也是很多金融企业和政府部门应用上云的硬性前提条件。云服务商需要基于业界通用的安全合规标准，保证服务组件配置的默认安全性，同时面向平台用户和安全审计人员，提供完备的审计机制。
 
 
2）面向容器应用侧提供纵深防御能力
 
云服务商不仅要在自身管控侧建立完善的安全武装，同时也需要面向业务应用负载，提供适合云原生场景下容器应用的安全防护手段，帮助终端用户在应用生命周期各阶段都能有对应的安全治理方案。由于云原生具有动态弹性的基础设施，分布式的应用架构和创新的应用交付运维方式等特点，这就要求云服务商能够结合自身平台的基础安全能力，将云原生能力特性赋能于传统的安全模型中，构建面向云原生的新安全体系架构。
 
2. 企业安全侧
 
对于企业的安全管理和运维人员来说，首先需要理解云上安全的责任共担模型边界，究竟企业自身需要承担起哪些安全责任。云原生微服务架构下企业应用在 IDC 和云上进行部署和交互，传统的网络安全边界已经不复存在，企业应用侧的网络安全架构需要遵循零信任安全模型，基于认证和授权重构访问控制的信任基础。对于企业安全管理人员来说可以参考关注如下方向加固企业应用生命周期中的生产安全：
 
保证应用制品的供应链安全
 
云原生的发展使得越来越多的大规模容器应用开始在企业生产环境上部署，也大大丰富了云原生应用制品的多样性，像容器镜像和 helm charts 都是常见的制品格式。对于企业来说制品供应链环节的安全性是企业应用生产安全的源头，一方面需要在应用构建阶段保证制品的安全性；另一方面需要在制品入库，分发和部署时刻建立对应的访问控制，安全扫描、审计和准入校验机制，保证制品源头的安全性。
 
权限配置和凭证下发遵循权限最小化原则
 
基于统一的身份标识体系进行认证授权是在零信任安全模型下构建访问控制能力的基础。对于企业安全管理人员来说，需要利用云服务商提供的访问控制能力，结合企业内部的权限账号体系，严格遵循权限最小化原则配置对云上资源和容器侧应用资源的访问控制策略；另外严格控制资源访问凭证的下发，对于可能造成越权攻击行为的已下发凭证要及时吊销。另外要避免容器应用模板配置如特权容器这样的过大权限，确保最小化攻击面。
 
关注应用数据和应用运行时刻安全
 
应用的成功部署上线并不意味着安全工作的结束。除了配置完备的资源请求审计外，安全管理运维人员还需要利用厂商提供的运行时刻监控告警和事件通知等机制，保持对容器应用运行时安全的关注，及时发现安全攻击事件和可能的安全隐患。对于企业应用自身依赖的敏感数据（比如数据库密码，应用证书私钥等）需要根据应用数据的安防等级采用对应的密钥加密机制，利用云上的密钥管理方案和落盘加密，机密计算等能力，保证数据在传输和落盘链路上的数据安全性。
 
及时修复安全漏洞和进行版本更新
 
无论是虚机系统，容器镜像或是容器平台自身的安全漏洞，都有可能被恶意攻击者利用成为入侵应用内部的跳板，企业安全管理运维人员需要根据云服务商推荐的指导方案进行安全漏洞的修复和版本更新（比如 K8s 集群版本，应用镜像版本等）。此外企业要负责内部员工的安全培训工作，居安思危，提升安全防护意识也是企业安全生产的基础要务。
 
端到端的云原生容器安全架构
 
阿里云 ACK 容器服务面向广大的企业级客户，构建了完整的容器安全体系，提供了端到端的应用安全能力。在今年 Forrester IaaS 安全评测中，阿里云容器安全能力与谷歌并列满分，领先其他厂商。下图为阿里云容器服务的安全体系架构图：
 

 图 2 - ACK 容器服务安全体系架构图
 
首先整个容器安全体系依托于阿里云强大的平台安全能力，包括物理/硬件/虚拟化以及云产品安全能力，构建了夯实的平台安全底座。
 
在云平台安全层之上是容器基础设施安全层，容器基础设施承载了企业容器应用的管控能力，其默认安全性是应用能够稳定运行的重要基础。首先面向集群 host 节点 OS 镜像本身阿里云操作系统团队做了很多安全加固相关工作，Alibaba Cloud Linux 2 (原 Aliyun Linux 2) 不仅是阿里云官方操作系统镜像，也是 ACK 的首选默认系统镜像。Alibaba Cloud Linux 2 在 2019 年 8 月 16 日正式通过了 CIS 组织的全部认证流程并发布对应的 CIS Aliyun Linux 2 Benchmark version 1.0.0。ACK 正在支持对基于 Alibaba Cloud Linux 操作系统的集群进行 CIS 安全加固来满足简单、快捷、稳定、安全的使用需求。除 CIS 合规外，2021 年 1 月，ACK 已经正式支持对基于 Alibaba Cloud Linux 操作系统的集群进行等保加固。
 
在容器管控侧，阿里云容器服务基于 CIS Kubernetes 等业界安全标准基线对容器管控面组件配置进行默认的安全加固，同时遵循权限最小化原则收敛管控面系统组件和集群节点的默认权限，最小化攻击面。三月，阿里云容器服务提交的 CIS Kubernetes benchmark for ACK 正式通过 CIS 社区组织的认证审核，成为国内首家发布 CIS Kubernetes 国际安全标准基线的云服务商。
 
统一的身份标识体系和访问控制策略模型是在零信任安全模型下构建安全架构的核心，ACK 管控侧和阿里云 RAM 账号系统打通，提供了基于统一身份模型和集群证书访问凭证的自动化运维体系，同时面对用户凭证泄露的风险，创新的提出了用户凭证吊销的方案，帮助企业安全管理人员及时吊销可能泄露的集群访问凭证，避免越权访问攻击事件。
 
针对密钥管理、访问控制、日志审计这些企业应用交互访问链路上关键的安全要素，ACK 容器服务也提供了对应的平台侧安全能力：
 
 
访问控制：ACK 基于 K8s RBAC 策略模型提供集群内应用资源的访问控制能力，在保证非主账号或集群创建者默认无权限的安全前提下，集群管理员可以通过控制台或 OpenAPI 的方式对指定的子账号或 RAM 角色进行集群和账号维度的批量 RBAC 授权，ACK 面向企业常见授权场景，提供了四种预置的权限模板，进一步降低了用户对 RBAC 及 K8s 资源模型的学习成本。对于应用容器中通常依赖的集群访问凭证 serviceaccount，ACK 集群支持开启针对 serviceaccount 的令牌卷投影特性，支持对 sa token 配置绑定 audience 身份，并且支持过期时间的设置，进一步提升了应用对管控面 apiserver 的访问控制能力。
 
 
密钥管理：针对企业客户对数据安全自主性和合规性的要求，ACK Pro 集群支持对 K8s Secret 的落盘加密能力，同时支持使用 BYOK 的云盘加密能力，保证企业核心数据安心上云；同时 ACK 集群支持将用户托管在阿里云 KMS 凭据管家中的敏感信息实时同步到应用集群中，用户在 K8s 应用中直接挂载凭据同步的指定 secret 实例即可，进一步避免了对应用敏感信息的硬编码问题。
 
 
日志审计：ACK 除了支持 K8s 集群 audit 审计，controlplane 管控面组件日志等基本的管控面日志采集外，还支持对 Ingress 流量的日志审计和基于 NPD 插件的异常事件告警。以上日志审计能力均对接了阿里云 SLS 日志服务，通过 SLS 服务提供的快速检索、日志分析和丰富的 dashboard 展示能力，大大降低了对容器应用开发运维和安全审计的难度。
 
 
面向容器应用层在供应链和运行时刻的安全挑战，阿里云从容器应用的构建、部署到运行全生命周期，提供全方位覆盖的安全能力：
 

 图 3 - ACK 容器服务应用全生命周期安全能力
 
应用构建阶段
 
据 Prevasio 对于托管在 Docker Hub 上 400 万个容器镜像的调查统计，有 51% 的镜像存在高危漏洞；另外有 6432 个镜像被检测出包含恶意木马或挖矿程序，而光这 6432 个恶意镜像就已经被累计下载了 3 亿次。
 
如何应对这些潜伏于镜像制品中的安全挑战，一方面要求企业应用开发者在构建应用镜像时使用可信的基础镜像，规范化镜像构建流程, 保证镜像最小化；另一方面阿里云 ACR 容器镜像服务针对镜像构建流程中的安全风险，提供了仓库权限的访问控制，操作审计和镜像安全扫描等基础能力。其中镜像安全扫描是用户能够主动发现安全漏洞的基础手段，ACR 容器镜像服务和阿里云云安全中心提供了不同版本的镜像漏洞库，在支持镜像深度扫描的同时具备漏洞库的实时更新能力，满足企业安全合规需求。在阿里云容器镜像服务企业版中还可以通过创建和管理交付链实例，将安全扫描和分发流程自由组合并内置到自动化任务中并且自动拦截包含漏洞的镜像，确保分发到仓库中镜像的安全性。
 
在镜像构建环节，除了及时发现镜像漏洞，如何在保证镜像在分发和部署时刻不被恶意篡改也是重要的安全防护手段，这就需要镜像的完整性校验。在阿里云容器服务企业版实例中，企业安全管理人员可以配置加签规则用指定的 KMS 密钥自动加签推送到仓库中的镜像。
 
应用部署时刻
 
K8s 原生的 admission 准入机制为应用部署时刻提供了天然的校验机制。
 
滥用特权容器，敏感目录挂载，以 root 用户启动容器，这些常见的应用模板配置都很可能成为容器逃逸攻击的跳板。K8s 原生的 PSP 模型通过策略定义的方式约束应用容器运行时刻的安全行为。ACK 容器服务提供面向集群的策略管理功能，帮助企业安全运维人员根据不同的安全需求定制化 PSP 策略实例，同时绑定到指定的 ServiceAccount 上，对 PSP 特性的一键式开关也面向用户屏蔽了其复杂的配置门槛。此外，ACK 容器服务还支持 gatekeeper 组件的安装管理，用户可以基于 OPA 策略引擎更为丰富的场景下定制安全策略。
 
针对应用镜像在部署时刻的安全校验需求，谷歌在 18 年率先提出了 Binary Authorization 的产品化解决方案。ACK 容器服务也在去年初正式落地了应用部署时刻的镜像签名和验签能力。通过安装定制化的 kritis 组件，企业安全运维人员可以通过定制化的验签策略保证应用部署镜像的安全性，防止被篡改的恶意镜像部署到企业生产环境中。
 

 图 4 -  一致性安全策略管理
 
应用运行时刻
 
企业应用的稳定运行离不开运行时刻的安全防护手段。ACK 容器服务和云安全中心团队合作，面向容器内部入侵，容器逃逸，病毒和恶意程序，异常网络连接等常见的运行时刻攻击行为进行实时监控和告警，同时云安全中心还提供了针对告警事件的溯源和攻击分析能力。与此同时，ACK 容器服务基于业界安全基线和最佳实践，面向集群内运行应用提供了一键化的免费安全巡检能力，通过巡检任务及时暴露运行中容器应用在健康检查/资源限制/网络安全参数/安全参数等配置上不符合基线要求的危险配置，并提示用户修复建议，避免可能发生的攻击。
 
对于安全隔离程度要求较高的企业客户可以选择使用安全沙箱容器集群，安全沙箱容器基于轻量虚拟化技术实现，应用运行在独立的内核中，具备更好的安全隔离能力，适用于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等多种场景。
 
对于金融支付，区块链等对数据计算过程中的完全性，完整性和机密性有强安全诉求的场景，可以选择部署使用 ACK-TEE 机密计算托管集群，其中机密计算基于 Intel SGX 技术，支持将重要的数据和代码防止在一个特殊的可信执行加密环境（Trusted Execution Environment，TEE）中，而不会暴露给系统其他部分。其他应用、BIOS、OS、Kernel、管理员、运维人员、云服务商、甚至除了 CPU 以外的其他硬件均无法访问机密计算平台数据，极大减少敏感数据的泄露风险。
 

 图 5 - 容器应用安全配置巡检
 

 图 6 - 容器应用运行时刻安全监控
 
安全是企业上云的首要关切
 
安全是企业上云的首要关切。随着云原生对计算基础设施和企业应用架构的重定义，容器作为云的新界面，也将紧跟云原生的发展大潮，向更加安全、可信的方向发展。未来，阿里云容器服务将始终以“让企业放心上云，安心用云”为目标，在容器安全领域保持世界级的竞争力，在不断夯实自身基础设施安全的基础上，为客户的应用安全保驾护航。
 
参考资料
 
 
《RED KANGAROO》
 
 
《Binary Authorization》
 

 
作者：秦静超(非台)
 
“ 本文主要讲述了淘宝客户端的安全生产，即在阿里内外成熟的技术方案的基础上，淘宝客户端是如何来建设自身的安全生产体系，从研发、构建、发布、应急四个阶段再次推动效率和用户体验不断得到升级。”
 
安全生产
 
首先我们将“客户端安全生产”定义为：为预防客户端研发生命周期过程中发生体验相关的事故，而采取的一系列措施和活动。
 
为此淘宝客户端建立了“‘研发、构建、发布、应急’一整套规范化流程及平台”。
 
 
图1 安全生产架构图
 
淘宝客户端安全生产，主要分四个阶段：研发期、构建期、发布期和应急态，同时沉淀开发过程数据，围绕数据线上线下异常复盘，为提升代码质量、提升开发能力，进一步完善平台做数据支持，从而提升开发的良好研发环境，保障线上用户使用体验。
 
研发期：这一阶段主要是指开发同学把需求开发的阶段，往往是单模块的开发，这一阶段主要关注模块自身的质量，这一阶段安全生产平台主要通过需求管理、代码分支管理、单测管理、Code Review、测试请求|审批，一站式的方式为开发同学提供便利；
构建期：这一阶段主要是指开发同学把已经通过测试的代码，将代码提交到集成区做代码的集成测试，这一阶段安全生产平台主要通过质量卡口、包大小分析、产物校验来确保集成进来的模块是否满足集成标准（重复的资源文件、代码等或高危的隐私API、调试代码等或不合理的组件导出、DEBUG代码等），通过前置风险分析，防止风险代码集成；
发布期：这一阶段主要在通过测试后发布（灰度、正式）完整的APP、配置变更、活动上线下线，这一阶段需关注APP稳定性数据、性能数据、业务数据与舆情数据（端到云的监控方案），确保发布的APP满足用户的体验要求；
应急态：前三个阶段主要是规避线上风险线，这一阶段则是在线上APP无法满足用户正常使用时所进入的状态，线上核心指标波动，会触发及时告警，从而通过钉钉快速组建应急小队，对线上问题进行处理，分析问题及问题背后的原因，快速给出解决方案，通过预案回滚、降级处理等手段快速化解线上风险，从而避免风险升级，防止故障产生。
另外为了确保线上APP的高可用体验，淘宝端架构专门成立了“端侧日常保障”小组，主要从事版本值班、大促保障、应急处理、复盘优化等工作，从日常工作中不断的发现问题、总结思考、优化流程、改进研发环境，不断把部分需要人工介入的流程自动化、数据化、平台化，从而提高“研发、构建、发布、应急”阶段的研发体验和研发效率，最终把人力从重复的、低效的工作中释放出来，通过过程数据不断优化安全生产平台体验，从而保障上层业务健康持续发展。让开发有更多的时间和精力从事更高维度的研发工程，提升开发的成就感。
 
研发期
 
研发期主要是开发同学开发为主，这里平台提供了代码覆盖率（单测），核心模块中间件的单测代码覆盖率需要满足80%及以上，核心变更需要双人CR（含TL），非核心变更需要技术专家及以上CR。
 
构建期
 
质量卡口
 
随着淘宝业务不断扩张，线上问题时有发生，淘系的场景非常丰富，本地的测试、Review、Monkey、甚至灰度等手段都不能覆盖到所有的场景。但问题一旦到了线上，所花费的成本都急剧增加。
 
经过对历史线上问题进行一些分析，发现其中的相当一部分问题，可以通过 “静态代码分析”， “二进制产物分析” 等方法提前发现，那么为什么不能用技术的手段来提前发现问题，阻断它们溜到线上呢。例如：
 
同名 Category 方法冲突问题, 导致手淘很多功能异常；
@{} 初始化没判空问题；
oc block持有 c++ this指针导致 User After Free 问题；
objc_msgSend 发送 alloc 导致内存泄露问题；
一些系统api不再安全，比如vm_remap；
组件导出；
线程泄漏；
......
这些问题上线后可能就引起很难定位的问题，但是在代码阶段，通过静态分析等手段就可以阻断他们的发生。因此客户端质量卡口平台应运而生，将手淘客户端已有问题扫描工具和规则整合，结合DevSecOps卡口设计的开放卡口接入平台，形成完整的客户端线下问题发现、治理推动和集成卡口的能力，减少线上问题。
 
技术方案上，在Android Lint+Spotbugs+Clang Static Analyzer（Android），OCLint（iOS）+Clang Static Analyzer基础上结合淘系具体平台和具体问题进行改进，以满足淘系的技术需求（如扫描线程原生接口使用，辅助淘系整体线程架构迁移）。
 
包大小
 
包大小是客户端的非常重要的性能指标。从用户视角看，同样的功能和服务，用户倾向于选择安装包比较小的App，可以让用户用更少的流量下载和更新，一定程度提高用户的下载率和更新升级率，对于推广和新增都会有较为重要的影响；从技术视角看，安装包中的每个文件都在瘦身的范围，对不同的文件类型，需要有针对性的瘦身方案，所以瘦身是一个大工程，包含了很多方面的技术。
 
Android采用了图片压缩（TinyPng，Webp），重复资源合并、shrinkResource 严格模式、分包、Proguard、ARSC瘦身、下无用代码（代码插桩分析）、无用业务下线、远端so、检测so调试信息。
 
iOS采用了图片压缩（TinyPng，Webp）、编译优化（不导出符号、oz、lto）、selectorRef无用资源下线，剔除重复代码、业务下线、共享动态库技术（<iOS9）、Ld链接器压缩。
 
产物校验
 
产物校验发生在APP发布前的最后一个环节，主要来分析本次发布与上一次发布核心变更存在哪些具体的差异，来确保本次发布的正确性。这一环节主要进行了核心代码变更分析（启动、CrashSDK、监控SDK），需要关注核心代码变更带来的可能的风险；组件导出分析，防止不必要的组件导出，受到外部攻击；签名校验，防止签名出错导致APP无法正常上架；等等。
 
发布期
 
监控告警
 
淘系高度重视手机用户的稳定性和性能，通过高可用的度量指标的建立，稳定性和性能的治理，自动化和数据平台的建设，开发了一套系统化的解决方案及平台EMAS-MOTU,全方位的提升手机淘宝稳定性和性能。
 
变更管控
 
淘系是一个高频活动运营APP集，我们发现有一些故障是由变更导致的（含活动上线，配置上线等），具有强相关性。因此淘系沉淀了变更管控平台，变更管控平台主要作用是监控分析平台发现的异常数据（Crash、ANR、卡断、泄漏等）与变更的相关性。
 
变更管控平台的核心思路是为每一次变更产生一个唯一的变更ID，并在本次变更下发的过程中，将变更ID加入到监控信息的变更ID集里，当监控信息上报时会带上所有的变更ID，服务可以对变更ID进行聚类分析，通过相关性确认相同聚类问题是由哪些变更ID产生的，并对具体的变更留观或回滚，防止风险升级。
 
通过精确的变更相关灰度染色数据，管控相关灰度和全量发布，及时卡住异常发布，避免发布引起故障，同时也是提高发布效率的核心手段。
 
应急态
 
定位
 
1 追踪、度量、日志
 
随着客户端功能不断细化与完善，模块化、跨团队的协同开发方式已经成为了客户端开发标准的开发方式，模块化、跨团队的协同开发方式的诞生极大提升了客户端交付与部署的效率，但同时可以看到这种模块化、跨团队的架构背后，原先运维与诊断的需求也变得越来越复杂。为了适应客户端日益增长的功能需求，需实现面向用户视角的标准化的DevSecOps诊断与分析系统，包括追踪（Tracing），度量（Metrics），日志（Logging）。
 
Tracing ：用于记录客户端行为范围内的信息，它在单次请求的范围内，处理信息。任何的数据、元数据信息都被绑定到系统中的单个事务上。例如，用户进入页面，到数据渲染的过程。它是我们排查客户端问题的利器；
Metrics ：用于记录可聚合的数据。他们具有原子性，每个都是一个逻辑计量单元，或者一个时间段内的柱状图。例如：队列的当前深度可以被定义为一个计量单元，在写入或读取时被更新统计；输入HTTP请求的数量可以被定义为一个计数器，用于简单累加；请求的执行时间可以被定义为一个柱状图，在指定时间片上更新和统计汇总。例如，从客户端发起的网络请求数，与正确收到网络数据的接受。它是我们衡量业务宏观质量的利器；
Logging ：用于记录离散的事件。例如，应用程序的调试信息或错误信息。它是我们诊断问题的依据。
基于追踪（Tracing），度量（Metrics），日志（Logging）的设计原则，淘系借鉴了OpenTracing实现了全日志平台TLog。通过漏斗模型、对比模型通过数据横向对比可以快速发现自身的性能瓶颈，缩小范围，提升排查效率。
 
2 全景定位
 
淘系是一个高频活动运营APP集，我们发现一些故障是由变更导致的（含活动上线，配置上线等），具有强相关性。因此淘系沉淀了全景定位平台，全景定位平台主要作用是监控分析线上的变更。全景定位平台的核心思路是当线上风险产生时，全景定位平台会主动去收集线上变更，并按时间维度呈现出来，开发可基于全景定位平台快速查看线上变更，定位和排查线上风险与变更的相关性，对潜在风险的变更留观或回滚，直至风险消除。
 
全景定位与变更管控有一定的相似性，都是对线上变更的监控与分析，区别在于全景定位主要在风险发生后对变更进行分析（业务在变化，无法保障所有的变更都会接入变更管控），变更管控则主要风险发生前打标，风险发生后对变更进行分析，因此全景定位是变更管控的一种补充与保障。
 
恢复
 
“对代码功能不符合项目预期或代码不够健壮导致App运行时崩溃或异常的线上问题进行恢复”。恢复是淘系应对线上突发问题的重要手段，淘系目前对线上不同的场景采用了不同的恢复策略，目前主要恢复策略有降级、预案、安全模式。
 
1 降级
 
在淘系复杂生态的环境下，大促期间还是会出现由于各种重资源的业务叠加，导致卡顿，体验明显下降，内存水位暴涨，崩溃率也会随之飙升。因此从2018年开始，尝试开始对重资源、高风险业务，针对不同设备的性能情况进行多维度降级。目的是对用户体验进行分级，实现 “高端设备最炫体验，低端设备流畅优先，紧急问题快速降级”（随着时间的推移，老的设备的软硬件条件，已经无法满足所有新技术、新业务的落地，需要有一定的取舍，从而给每一个设备最佳的用户体验）。
 
针对不同设备的软硬件不同特性，基于Listwise-SmartScorer模型，淘系对客户端设置了高、中、底三个维度，0-100（0表示设备性能优于市场上主流的0%的设备，100表示设备性能优于市场上主流的100%的设备）的动态的设备评分算法。
 
设备评分是个什么？从机器学习的角度来看：它可能是一个分类问题，即设备分为高/中/低三类，我们需要区分这几个类；它可能是一个回归问题，即设备存在一个绝对的分，我们需要去拟合这个分。无论分类还是回归问题，都把设备评分定义为一个绝对的值，而在实际体验中，我们往往说“iPhone X”比“iPhone 8”快，而不是说“iPhone X” 90分，“iPhone 8” 70分，即设备评分是相对的，同时由于设备的损耗，它的评分也是动态的，基于此，我们把设备评分定义为一个排序问题。
 
在设备评分的基础上，实现统一降级平台，业务可以通过“高、中、底”或“0-100”选取相应的设备投放自身业务。
 
2 预案
 
什么是预案？根据评估分析或经验，对潜在的或可能发生的突发事件的类别和影响程度而事先制定的应急处置方案。预案可以降低可预估或不可预估的风险，减少损失，而当下面临大多数的风险，都来自于各类变更，还有阿里最重要的大促场景下，大流量所带来的系统、业务压力。预案有分提前预案和应急预案。
 
提前预案：也称定时预案，提前预估大促期间的系统状况与业务状况，为了避免大促的业务峰值影响而进行的缓存预热、机器重启、有限降级、磁盘清理或者业务下线等等，一般对业务无影响或影响可控。
 
应急预案：针对可能存在的应急情况，如超出预期的异常流量、系统依赖超时及不可用、本系统的非预期不可用等采取的应急手段，一般对业务有损，同时可能会带来客诉，资损等，需要对应的技术、业务等兜底，执行需要慎重。在新增变更中，在Code Review环节，对代码有“可灰度、可监控、可回滚”（稳定性三板斧）要求，即确保代码有应急预案，在线上代码出现风险时，快速回滚。
 
预案和降级的区别在于，预案对全部设备采取相同的策略，而降级是对不同的设备采用不同的策略。
 
3 安全模式
 
恢复场景，（启动阶段）未正常使用网络的崩溃问题。网络未初始化导致配置无法下载发挥作用，于是淘系开发了一个安全模式（在连续触发相同Crash后强制进入“安全模式”--Android轻量级子进程，iOS进入安全模式代码，用来在对程序恢复初始状态（清除历史产生的持久化信息），如有必要会触发配置的下载），为主进程正常启动做必要的保障。如：启动时候因为持久化数据出错，导致APP启动连续闪退，这时安全模式可以发挥巨大作用，弥补配置下发执行前的代码盲区，避免用户只能通过卸载重装APP才能解决问题。
 
总结
 
客户端安全生产是在淘系较为完善的底层基础设施上建立起来的规范化、自动化、数据化的平台。文中涉及到的技术点是借鉴了阿里内外众多开发、产品、运维等从业人员对历史问题的总结与实现，这里感谢参与安全生产小伙伴的努力与付出，同时也感谢阿里以外的开发、产品、运维对丰富客户端技术、改进用户体验的努力与付出。文中更多的是对APP不同阶段的问题的思考与解问题的思路，希望对大家有帮助。
 
参考
 
[1] 移动研发平台EMAS:https://www.aliyun.com/product/emas
 
[2] OpenTracing:https://github.com/opentracing
 
[3] 安全模式：天猫 App 启动保护实践：https://juejin.cn/post/6844903437948157959
 
关注【阿里巴巴移动技术】官方公众号，每周 3 篇移动技术实践&干货给你思考！

一、方案背景
 
危化品领域从2015年以来一共发生了10起重特大事故，特别是2017年到2019年发生了7起重特大事故。危险化学品安全生产是安全生产工作的重中之重。
 
 
1、现状分析
 
1）生产过程安全隐患多，事故易发多发
 
危化产品生产经营过程中70%以上都具有易燃、易爆、易中毒、易腐蚀的特点。一旦经营者在生产过程中出现纰漏，极有可能引发火灾、爆炸、中毒和烧伤等安全生产事故。
 
2）传统监控方式滞后，智能化水平低
 
工厂监管系统严重滞后，新兴技术利用率不高，传统的视频监控方式主要用于监视、录像和回放，无法实时监测识别安全风险和上报预警，导致工厂风险防范能力较低。
 
3）数据壁垒严重，跨部门共享难
 
危化品生产监管涉及公安、消防、市政等多个职责部门，信息化水平不齐，数据相互配合度不高，信息孤岛严重，工厂监管数据跨部门共享难，造成政府部门协同监管不到位。
 
2、需求分析
 
1）智能监测
 
实时监测并自动快速识别人、车、物以及危险行为等，如人脸识别、车辆识别、烟火识别、危险区域闯入、周界入侵等，及时发现工厂安全隐患，弥补人力监管的不足。
 
2）智能告警
 
一旦发现监测异常如工作人员未着工装、烟火、周界入侵、危险区域闯入等，便立刻告警，并抓拍、录像、存储等，同时推送消息给管理人员，便于及时处理，化解重大安全风险、遏制重特大事故。
 
3）数据共享
 
支持横向及纵向平台数据共享，将数据汇聚到区级、市级、省级相关政府监管单位，满足政府部门加强对危化品生产监管的需求，实现数据的互联互通，多方协同，联动处置。
 
二、方案介绍
 
1）方案概述
 
对危化工厂的关键卡口、危化品生产区，危化存储区、周界等关键区域进行全方位监测，将前端设备采集到的图像、视频等数据传输至EasyCVR智能边缘网关，并依托AI视频分析技术对现场图像、视频中的人、车、物、行为等进行自动检测与识别，如人脸识别、车辆识别、工服识别等，对识别出的异常事件（如抽烟、入侵、烟火等）进行智能告警，从而实现对危化工厂生产及管理的全面、高效、智能监管，减少安全隐患，打破传统人工监管的不足，助力生产监管效率提升。
 
2）方案架构
 
 
3）EasyCVR智能边缘网关
 
EasyCVR智能边缘网关是TSINGSEE青犀视频旗下软硬一体的一款产品，可提供多协议的设备接入、采集、AI智能检测与识别、处理、分发等服务。通过对视频监控场景中的人、车、物、行为进行抓拍、检测与识别，对异常情况进行智能提醒和通知，可广泛应用于安防监控、智能分析、通行核验等场景。
 
三、功能特点
 
1）人脸检测/识别
 
平台可对前端采集的图片和视频源中的人脸自动检测与识别，实现多人脸检测与抓拍、人脸比对识别、人脸属性分析（如性别、年龄、人员信息）、人流量统计等，对接人脸闸机，还可以实现人脸门禁、人脸考勤等，有利于工厂实现更加智能化的管理。
 
 
人脸比对：比对速度 100 万/秒
 
人脸门禁：·利用人脸识别进出，防止陌生人员闯入
 
人脸考勤：人脸识别打卡，并实时统计监控区域内的人员流量
 
口罩佩戴识别：实时检测人脸是否佩戴口罩，提高防疫
 
2）车辆检测/识别
 
自动对视频图像进行检测分析，提取视频中车辆的各种信息，可实时对工厂园区卡口的进出车辆进行自动识别（车牌、车型）和车流量统计，有效加强对危化品运输的智能监管，降低人力监管成本，提高工作效率。
 
 
识别速度快：识别时间<0.05秒
 
多结果输出：可输出车辆照片、车牌照片、识别结果、车牌颜色
 
精准识别率高：车牌检测正确率>95%，汉字识别正确率>99%、 字符位识别率大于>97%、全车牌识别正确率>96%
 
支持各种车牌：民用车牌（92式）、民用货车尾牌（双行）、民用车牌（2002个性化）、 警车车牌、武警车牌、军用车牌（2004式）
 
3）烟雾火焰检测
 
对重点区域进行烟火监测，当识别有烟雾、明火时，立即触发报警，同时推送给相关人员及时处理，避免发生安全事故。
 
4）人员巡检检测
 
针对化工厂存在的重大危险源需要24小时巡检的情况，通过人员巡检算法定时检测危险源监控画面是否有巡检员出现，当在规定时间内没有识别到检测人员出现时触发告警，并通知管理人员及时处理。
 
 
5）机器设备定期检修检测
 
对需要定期维护检查的设备实时监测，当在规定时间内未有人员检修将会触发报警，通知相关人员及时处理。
 
6）操作流程违规作业检测
 
对工业生产线实时监测，当有人员未按照规范操作流程作业时，发出告警提示，及时纠正规范作业流程，减少安全生产隐患。
 
7）安全帽佩戴检测
 
自动检测进出人员并识别其是否佩戴安全帽，防止工作人员未戴安全帽进入园区作业现场。
 
8）工装识别
 
自动检测与识别工装、反光服、防护服等，对未按照指定要求穿戴的人员给出告警提示、语音喊话。
 
9）抽烟检测
 
对关键区域进行实时监测，当监测到有人吸烟时，立即触发报警，通知管理人员及时处理，防患于未然。
 
10）人员睡岗离岗检测
 
对在岗执勤人员活动进行检测，当有人员离岗超出规定时间或者在相关岗位睡觉时，触发告警并通知相关人员，还可现场喊话。
 
11）玩手机检测
 
对工作区域的员工玩手机行为进行实时监测，当监测到有人员违规玩手机时，立即触发报警提示，并通知安全管理人员及时处理。
 
12）周界入侵
 
对周界监控区域自动监测人员入侵事件，一旦检测到有可疑人员靠近或攀越围墙时，将立即抓拍、触发报警，并推送消息至管理人员，还可对接调用实际场景中声光报警装置，对可疑人员发出警告。
 
13）危险区域人员入侵检测
 
当检测到工厂配电房、大型生产机械等危险区域有人员闯入时，自动触发报警，并可联动现场语音设备提醒闯入人员离开。
 
14）安全生产监测
 
能够实现对可燃及有毒有害气体、危险化学品储罐及重点监管危险化学工艺的温度、压力、液位、联锁投切信号等工艺参数的实时数据及报警信息采集，一旦异常，立即向平台预警。
 
 
15）智能告警
 
平台可对检测出的异常情况以及前端设备上传的信息进行自动告警，如视频信号丢失、镜头遮挡、识别出异常事件（烟火、攀爬、入侵等），并进行可视化弹窗提醒与通知，方便工作人员实时查看。预警消息可通过语音、短信、消息通知、微信等方式推送给工作人员。
 
16）视频融合管理
 
多路视频并发那接入：支持接入多路摄像头的高清视频流，覆盖整个工厂监控区域，支持H.265/H.264视频压缩技术，有效降低带宽消耗和存储成本。
 
视频抓拍、录像、上传：7*24小时实时高清视频监控，对工厂监控区域内识别出的异常情况进行及时抓拍，并将报警信息上传至平台，提供云端录像、检索、回放、存储等。
 
全终端覆盖：支持RTSP/RTMP/HTTP-FLV/WS-FLV/HLS等视频流格式，可使用电视墙、电脑、手机、平板等多终端查看监控视频。
 
多平台级联：支持多平台级联、区域级联，多级联网，结合实时安全监测预警数据，打通监管部门之间的信息孤岛，实现综合监控、多方共享。
 
17）数据分析
 
可视化、综合化、智慧化的数据融合分析、管理与展示平台：
 
· 显示电子地图、摄像机实时监控画面；
 
· 显示设备状态监测、内存、CPU、带宽等信息。
 
将设备采集的数据经AI检测分析，展示数据结果：
 
· 人脸检测数据实时分析如：性别、人员相关信息，人流量统计等；
 
· 车辆检测数据实时分析如：车型、车牌、车流量统计等；
 
· 生产安全监控检测信息如：工装识别、设备检修、危险区域闯入等；
 
· 异常告警信息提示如：越界、攀爬、烟火、抽烟等。
 
四、方案优势
 
1）AI智能化监管
 
基于AI智能识别，自动实时监测工厂的人、车、物、行为，实现安全生产少人、无人化、智能化监管，降本增效，降低人力成本。
 
2）实时识别并预警
 
能准确检测识别工厂内异常事件并及时预警，便于人工干预。隐患识别率高，可极大提升工厂的风险防范水平，保障安全生产。
 
3）云边端一体化
 
基于云边端一体化管理，实现对工厂生产经营的全面感知，解决传统手段下信息获取不及时、预警不到位、人力成本过高等痛点。
 
4）平台拓展能力强
 
平台具有强大的数据接入、处理及分发能力，支持多协议、多类型设备接入，便于利旧，兼容性强、开放度高，可灵活拓展。
 
5）数据互通，多方监督
 
多平台级联、数据互联互通，可有效实现多方监管，满足政府部门的辅助监督需求，在突发事故中可协助相关部门进行应急指挥。