精华内容
下载资源
问答
  • 演示安全标准化评审报告软件软件操作,自动生成报告。
  • 2019年8月以来,广东省水利厅在全省范围开展小型水库安全运行管理标准化工作,该项工作成为衡量检验我区水库安全运行管理水平的重要标尺。龙华区高度重视水库安全运行管理标准化工作,分管领导志东副区长亲自部署,...

    2019年8月以来,广东省水利厅在全省范围开展小型水库安全运行管理标准化工作,该项工作成为衡量检验我区水库安全运行管理水平的重要标尺。龙华区高度重视水库安全运行管理标准化工作,分管领导志东副区长亲自部署,区水务局精心筹划,制定了《深圳市龙华区小型水库标准化管理工作方案》,确定了基础管理规范化、运行管理精细化、安全管理常态化、信息管理智慧化四大目标和24项工作措施。

    fb1362d4345b5fcf8273d346bfe6f8c0.png8fb52dad393ad04c0ee1e516db7a4a7a.png2578c3dfcb2850e0323f794ab938f962.png7d5953dc323492fea985219953dba370.png

    图 | 龙华区副区长李志东多次调研水库安全运行管理标准化工作,区水务局、龙华排水公司主要负责同志陪同调研。

    2020年3月以来,龙华排水公司认真贯彻落实小型水库标准化管理工作方案,不断优化水库运行管理、强化水库安全管理、推进水库信息化管理。以水库创标工作为抓手,着力提升水库管理水平,逐步构建规范化、精细化、专业化、智慧化的水库运行管理新局面。

    5c73d2d30d43ce54d719562664d9cb18.pngf25de28c3f3e67a9363b218ca2b3b627.png9e48dcfa2c9da04b38db97496ce2a9ef.png039b8b9307f95a104841f472cdf246bd.png852b15632f70d970f205f1a76ac4953c.png

    图 | 龙华区水库风貌

    feff203dec8f90e60c2a02fd8f9f1fab.png558f35d077938d3c5a7a36cd384c09ac.png08f119d50d3509ce423e331041a7bbf4.png

    图 | 龙华区水库标准化标识标牌

    33fd4db91b11434f766b3961621a37ae.png86f2a2071eed4d996d5f366ff8ab8fd2.png30d7048297691e13fbeacd109df1c45b.pngb2f9f578364b4349b58a16863b900d88.png

    图 | 龙华区水库规范化基础管理

    e4bd1ae321156e8c9eed4ba68db90474.pnge3ce1fe23f5a051800998b3c1770b4cc.pngc49adcff84ba02ba6e4eee1361a6d958.png93a6a7e1a8502e3729509b3745e4ca9f.pngde8538c560d6cc82f0b6ec757bacdc36.png2890dcdd375417507f6b95f8cafadeaa.png

    图 | 龙华区水库精细化运行管理

    b9da8ae6d7f2a2756f0616632a1800d6.png5bc7049aa787a8f6147d42b77c5ecad4.png

    图 | 龙华区横坑水库开展现场实兵拉动教学式演练

    b2afec3320e89b831feb08b24be9fd4a.pngd0129f2f1eaed4b3496a8294f3f8b50a.pngf05c5a7f474547a40abca69e4fbaea65.pngc334144a2ad19d4397c021fa2d51f644.pngea357559eb2794e440d7184ec54d4739.png

    图 | 龙华区水库智慧化信息管理

    12月2日至10日,深圳市水务局、龙华区水务局组织专家组对高峰水库等14座水库安全运行管理标准化工作进行检查验收,专家组对我区水库管养工作予以充分肯定。

    根据专家组现场检查验收情况,高峰水库等10座水库达到安全运行管理标准化一级标准,三坳水库等4座水库达到安全运行管理标准化二级或以上标准,率先超额完成我市下达的2020年底前10座小型水库达到安全运行管理标准化二级或以上标准的目标。

    63849ef7447b2970bf52c71c66a64f0c.pnge98301bd048c0e34c636f5572c3242fd.pngdeeccaf0f4c020ac648deb57010f066a.png044603f27cdd1369ebb136e86df7791e.png1e48bcf96b4a5fd4ddb322eac3a5625d.png

    图 | 深圳市水务局、龙华区水务局专家组对龙华区14座小型水库安全运行管理标准化工作检查验收

    展开全文
  • 国家安全生产监督管理总局发布的安全生产标准化标准是指导全国生产经营单位建立安全生产标准化体系的依据,也是对生产经营单位的安全生产标准化进行评级的评审依据。
  • 食品企业安全标准化制度汇编,颁布令 4 安全生产目标管理制度 5 安全生产指标考核办法 8 安全生产会议管理制度 10 安全管理机构及配备安全管理人员管理制度 12 安全生产领导小组管理制度 13 安全生产责任制的制定、...
  • 导读:德州鑫茂检测技术有限公司为您提供德州市安全标准化评价的相关知识与详情:德州鑫茂检测技术有限公司dztg6x业务范围:环境影响评价,环境突发事件应急预案,环境检测,验收,销售环保设备,排污许可证,安全...

    首页 > 新闻中心

    发布时间:2020-11-08 11:52:39

    导读:德州鑫茂检测技术有限公司为您提供德州市安全标准化评价的相关知识与详情:德州鑫茂检测技术有限公司dztg6x业务范围:环境影响评价,环境突发事件应急预案,环境检测,验收,销售环保设备,排污许可证,安全评价三同时,安全双体系,安全评价标准化评审,安全教育培训,应急预案等一是系统治理E综合施策加强水与经济发展E气候变化应对E粮食安全和地下水环境影响评价的评价原则:1评价应以地下水环境现状凋查和地下水环境影响预测结果为依据.对建设项目不同选址(选线)方案E各实施阶段(建设E……

    德州市安全标准化评价,德州鑫茂检测技术有限公司dztg6x业务范围:环境影响评价,环境突发事件应急预案,环境检测,验收,销售环保设备,排污许可证,安全评价三同时,安全双体系,安全评价标准化评审,安全教育培训,应急预案等一是系统治理E综合施策加强水与经济发展E气候变化应对E粮食安全和地下水环境影响评价的评价原则:1评价应以地下水环境现状凋查和地下水环境影响预测结果为依据.对建设项目不同选址(选线)方案E各实施阶段(建设E生产运行和服务期期满后)不同排污方案及不同防渗措施下的地下水环境影响进行评价.并通过评价结果的对比,推荐地下水环境影响小的方案.2地下水环境影响评价采用的预测值未包括环境质量现状值时.应叠加环境质量现状值后再进行评价.3Ⅰ类建设项目应评价建设项目污染源对地下水环境保护目标(包括已建成的在用E备用E应急水源地.在建和规划的水源地E生态环境脆弱区域和其他地下水环境敏感区域)的影响.评价因子与影响预测因子相同.4Ⅱ类建设项目应依据地下水流场变化,评价地下水水位(水头)降低或升高诱发的环境水文地质问题的影响程度和范围.水资源论证报告前期所需资料列表一E地下水报告书:1.供水水质限E概算水土保持方案中确定的措施设计落实E调整情况三E工程建设管理1E组织包括水土保持工作及具'

    计量设施安全的行为.第十三条用水实行计量收费和超定额累进加价制度.用水单位和个人应当按照计量值缴纳水

    580beebeae291d1a92b62c9f7a5f40c0.png

    德州市安全标准化评价

    监测报告2.水平衡图3.地勘报告4.水文地质报告(地质灾害评估报告)5.抽水试验地下水水位观测资料6.委托书7.项目可行性研究报告8.业主提出的供E排水方案二E地表水报告书:(一)水源为水库E河流(1)水量平衡图(2)供水E排水水质检测报告(3)周边其他用水户及水质监测点分布图(4)供E排水管线图(5)业主提出的取用水方案(根据项目位置E项目性质E经济成本E行业要求等提出的取水量,给出详细的用水量计算)(6)业主提出的排水方案(污水排放量E排放方式(污水管网/零排放/水功能区)E排放地点)(7)本项目可研报告(用水规划E用水工艺)(二)水源为自来水公司(1)供水协议(2)取水及排水水质检测报告(3)水量平衡图(4)本项目可研报告(用水规划E用水工艺)(5)输水管线图(6)自来水供水范围及用水户用水量及水质监测点分布图(7)自来水公司可研(处理规模E供水能力)(8)污水水质检测报告(9)业主提出的取用水方案申请之前向有管辖权的水行政主管部门提出设置申请在审批批准后再按照审批权限办理河道管理范围内建设项

    (根据项目位置E项目性质E经济成本E行业要求等提出的取水量,给出详细的用水量计算)(10)业主提出的排水方案(污水排放量E排放方式(污水管网/零排放/水功能区)E排放地点)?一E简要说明??有关水土保持方案实施情况说明二E责任范围??1E批复的水土流失责任范围与实际发生的责任范围对比,调整变化的原因2E扰动土地的治理面积E治理率三E工程设计??水土保持方案确定的水土保持措施,在设计报告中的设计要点,重大设计变四E施工??1E工程量及进度.各项工程完成的数量E实施时间,与批准的方案实施时间E工程量比较,并分析其原因2E施工质量管理.施工单位质量体系,建设单位和监理单位的质量控制体系,施工事故及其处理3E工程建设大事.包括有关,较大的设计变,有关合同协议,重要会议等4E价款结算.批准的工程量及其,施工合同价与实际结算价对比,分析增减的原因五E工程质量??1E项目划分.循环利用达到世界先进水平形成水资源利用与发展规模E产业结构和空间布局等协调发展的现代化新格局牵

    率等指标未达到和省考核标准的,应当相应核减其下一年的年度用水控制指标.设区的市E县(市E区)通过调整经济结构E采取工

    8869465cae5d400484c58e3d9fff9aef.png

    德州市安全标准化评价

    水土保持工程的单位工程E分部工程E单元工程划分情况2E质量检验.监理工程师E质量监督机构的质量检验方法,检验结果3E质量评定.初步验收确定的各单位工程的质量等级,对整体水土保持工程质量评价六E工程初期运行及成效评价??1E工程运行情况.各项水土保持工程建成运行后,其安全稳定性E暴雨后的完好情况,工程维修E植物补植情况2E工程效益??(1)水土流失治理.工程试运行期间控制水土流失面积,治理水土流失面积及治理程度,项目区水土流失强度变化值.废弃土E石E渣的拦挡水宣传教育力度建设节水型社会三主要目标到2020年节水法规E市场机制E标准体系趋于完善技术

    量E拦渣率,各类开挖面E拆除后的施工营地的平整E护砌量,植被恢复数量(2)植被变化.建设前E施工期间E竣工后林草植被面积,植被恢复指数(3)土地整治及生产条件恢复.土地整治率,施工临时占用耕地的恢复数量,土地生产力恢复能力(4)水土流失监测.根据水土流失专项监测报告,提出施工期间E工程运行后水土流失量,是否达到规定的限值.对水系E下游河道径流泥沙影响,水土流失危害情况变化(5)综合评价.主体工程建设对水土流失及生态环境的实际影响范围E程度E时间,水土保持工程的控制,成效七E附件及有关资料??1E工程竣工后水土流失责任范围图??2E水土保持工程设计文件E资料??3E水土保持工程施工合同E验收报告??4E工程质量等级评定报告??5E水土流失专项监测报告??6E水土保持设施竣工验收图??7E水土保持工程实施过程中的影像资料防洪评价评估的主要内容为:(1)是否符合江河流域综合规划和有关可持续利用支撑经济社会持续健康发展二E总体要求一指导思想以新时代特色思想为指导贯彻的和十九

    的国土及区域发展规划,对规划实施有何影响;(2)是否符合防洪标准和有关技术要求;(3)对河势稳定E水流形态E水质E冲淤变化有无不利影响;(4)是否防碍行洪E降低河道泄洪能力;(5)对堤防E护岸和其它水工程安全的影响;(6)是否妨碍防汛抢险;(7)建设项目防御洪涝的设防标准与措施是否适当(8)是否影响第三人合法的水事权益;(9)是否符合其它有关规定和协议.地下水环境影响评价的评价要求:一EⅠ类建设项目评价Ⅰ类建设项目对地下水水质影响时,可采用以下判据评价水质能否满足地下水环境质量标准要求.1以下情况应得出有节水标语的矿泉水华北水利水电大学黄河科学研究院院长韩宇平题为节水在路上的精彩辅导讲座动

    位应当加强对供水管网的维护,定期进行管网查漏.公共供水管网漏失率不得高于规定的标准;漏失率高于规定

    d999cc779588b1dc34296fdbca6b921b.png

    德州市安全标准化评价

    可以满足地下水环境质量标准要求的结论:(1)建设项日在各个不同生产阶段E除污染源附近小范围以外地区,均能达到地下水环境质量标准要求.(2)在建设项目实施的某个阶段.有个别水质因子在较大范围内出现超标,但采取环保措施后,可满足地下水环境质量标准要求.2以下情况应做出不能满足地下水环境质量标准要求的结论:(1)改E扩建项目已经排放和将要排放的主要污染物在评价范围内的地下水中已经超标.(2)削减措施在技术上不可行,或在经济上明显不合理.二EⅡ类建设项目评价Ⅱ类建设项目对地下水流场或地下水水位(水头)影响时,应依据地下水资源补采平衡的原则.评价地下水开发利用的合理后的完好情况工程维修E植物补植情况2E工程效益1水土流失治理工程试运行期间控制水土流失面积

    性及可能出现的环境水文地质问题的类型E性质及其影响的范围E特征和程度等.三EⅢ类建设项目Ⅲ类建设项目的环境影响评价应按照(一)和(二)进行[1].地下水环境影响评价的评价原则:1评价应以地下水环境现状凋查和地下水环境影响预测结果为依据.对建设项目不同选址(选线)方案E各实施阶段(建设E生产运行和服务期期满后)不同排污方案及不同防渗措施下的地下水环境影响进行评价.并通过评价结果的对比,推荐地下水环境影响小的方案.2地下水环境影响评价采用的预测值未包括环境质量现状值时.应叠加环境质量现状值后再进行评价.3Ⅰ类建设项目应评价建设项目污染源对地下水环境保护目标(包括已建成的在用E备用E应急水源地.在建和规用水E综合利用以及废水处理回用等措施用水效率建设节水型企业

    展开全文
  • 看看文件标准化

    2014-01-15 00:17:42
    好好学习安全生产标准化的内容,这是份商场安全标准化评审标准
  • 涉及到网络安全等级保护建设方面的要求: 第一部分为前置要求部分。共设3 节25 条评审前置条款。 医院在评审周期内发生一项及以上情形的,延期一年评审。延期期间原等次取消,按照“未定等”管理。旨在进一步发挥...

    在这里插入图片描述

    涉及到网络安全等级保护建设方面的要求:

    第一部分为前置要求部分。共设3 节25 条评审前置条款。

    医院在评审周期内发生一项及以上情形的,延期一年评审。延期期间原等次取消,按照“未定等”管理。旨在进一步发挥医院评审工作对于推动医院落实相关法律法规制度要求和改革政策的杠杆作用。

    第一部分前置要求
    三、安全管理与重大事件

    (五)发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果。

    第三部分现场检查
    第二章临床服务质量与安全管理

    二、医疗质量安全核心制度

    (四十三)实施电子病历的医院,应当建立电子病历的建立、记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。

    (四十六)建立信息安全管理制度。明确医院主要负责人是患者诊疗信息安全管理第一责任人,依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系。

    四、信息管理

    (一百五十三)建立以院长为核心的医院信息化建设领导小组,有负责信息管理的专职机构,建立各部门间的组织协调机制,制订信息化发展规划,有与信息化建设配套的相关管理制度。

    (一百五十五)落实《网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。

    《三级医院评审标准(2020年版)》解读

    01

    一、为什么要修订医院评审标准?

    医院评审是政府实施行业监管,推动医院不断加强内涵建设,完善和落实医院管理制度,促进医院高质量发展的重要抓手,也是国际上医院管理的通行做法。

    1994年发布的《医疗机构管理条例》明确规定“国家实行医疗机构评审制度”,在法规层面将医院评审工作制度固定下来。

    1995年,原卫生部发布《医疗机构评审办法》,确定了医疗机构评审的基本原则、方法和程序,开展医疗机构评审工作。为提高医院评审工作的科学性、时代性、精准性,按照《医疗机构管理条例》和《医疗机构评审办法》规定,我委于2011年制定发布《医院评审暂行办法》和《三级综合医院评审标准(2011年版)》。该标准颁布实施9年以来,在指导各地加强评审标准管理、规范评审行为、强化医院主体责任和保障医疗质量安全等方面发挥了重要作用。

    随着医药卫生体制改革的深入,该标准已不能满足医疗服务管理需要,迫切需要进行修订,主要体现在以下几个方面:

    一是2011年以后颁布了一系列新的法律、法规、规章以及医院管理的制度、规范,分级诊疗体系建设、现代医院管理制度对医院也提出了明确要求,原评审标准未能体现。

    二是我委于2017年按照国务院“放管服”改革要求取消了“三级医院评审结果复核与评价”行政审批事项,需要制定新的标准以发挥医院评审工作在推动医院落实深化医药卫生体制改革,提高管理水平中的作用。

    三是利用信息化手段开展医疗质量管理工作取得明显成效,能够推动医院评审更加科学、客观、精细、量化,应当纳入医院评审工作中。

    四是各地在评审工作中积累了很多先进的经验和做法,需要在评审标准中予以吸纳。为此,我们组织修订了《三级医院评审标准(2020年版)》(以下简称《标准》)。

    02

    二、修订的原则和思路是什么?

    新标准的修订围绕“医疗质量安全”这条主线,秉承“继承、发展、创新,兼顾普遍适用与专科特点”的原则,精简合并条款,推动医院评审由以现场检查、主观定性、集中检查为主的评审形式转向以日常监测、客观指标、现场检查、定量与定性评价相结合的工作思路和工作方向,符合当前医院管理工作需要,对于进一步促进医院践行“三个转变、三个提高”,努力实现公立医院高质量发展具有重要意义。

    03

    三、修订的主要内容是什么?

    《标准》共3个部分101节,设置448条标准和监测指标。修订内容主要体现以下几个方面:

    一是充分融入新颁政策和医改要求,体现时代性。《标准》在保持2011年版标准延续性的基础上,融入《基本医疗卫生与健康促进法》《医疗纠纷预防与处理条例》《医疗质量管理办法》《医疗技术临床应用管理办法》《医疗质量安全核心制度要点》等近年来颁布实施的法律、条例、规章相关内容,以及分级诊疗体系建设、现代医院管理制度等改革要求,增加了新冠肺炎疫情常态化防控相关要求。

    二是由主观定性向客观定量转变,增强科学性。《标准》增加了医院资源配置、质量、安全、服务、绩效等指标监测以及DRG评价、单病种质控和重点医疗技术等日常监测数据的比重,指导各地由以现场检查、主观定性、集中检查为主的评审形式转向以日常监测、客观指标、现场检查、定性与定量相结合的评审工作模式。一方面,引导医疗机构重视日常质量管理和绩效,减少突击迎检行为;另一方面,尽量减少主观偏倚,增强评审结果的客观性。

    三是梳理整合并简化实地评审条款,提升操作性。《标准》现场检查部分共24节183条,较2011年版标准的66节354条有大幅度压缩。一方面,全面梳理整合原标准中的重复条款,提高工作效率;另一方面,对原标准中操作性不强,或者可以用日常数据监测替代现场检查的条款进行了剔除或调整,提高标准的可操作性。

    四是注重借鉴国际、国内先进理念和经验,体现兼容性。《标准》充分借鉴了国际上部分医院评价机构的工作方法和标准,采纳了国内一些省市好的经验和做法,与国际国内评审评价管理先进理念更加契合和兼容。

    04

    四、如何使用《标准》?

    《标准》是各地开展三级医院等级评审工作的主要依据。各省级卫生健康行政部门要根据当前医疗卫生工作重点,结合本地特点,遵循“标准只升不降,内容只增不减”的原则,对《标准》进行适当补充后报我委备案,加强《标准》培训,提升《标准》的认知度和实施效果。医疗机构要紧紧围绕标准,强化日常管理,充分发挥《标准》在引导医院自我管理和健康可持续发展等方面的作用。同时,不断加强信息化建设,按要求及时、完整、准确的报送重点专业质量控制指标、单病种质控等《标准》中规定的数据信息,为本机构参加医院评审奠定基础。

    润成安全官微回复【三级医院评审】获取《三级医院评审标准(2020年版)》。

    来源:中国政府网医政医管局。
    版权归原作者所有。此处仅做学习分享,若有不妥请联系删除。
    在这里插入图片描述

    展开全文
  • ... 简易大纲 对数据签名是一个已经被...把结构数据进行哈希处理不是件小事,错误的话会导致系统丧失安全性。 因此,谚语“不要推出你自己的加密算法”在这里就适用了。相反,我们需要使用一个经过同行评审的...

    翻译自:https://eips.ethereum.org/EIPS/eip-712

    简易大纲

    对数据签名是一个已经被解决的问题如果我们只关注那些字节字符串。遗憾的是在这个真实的世界里,我们关心的是那些复杂的、有意义的信息。把结构化数据进行哈希处理不是件小事,错误的话会导致系统丧失安全性。

    因此,谚语“不要推出你自己的加密算法”在这里就适用了。相反,我们需要使用一个经过同行评审的、经过充分测试的标准。这个EIP旨在成为这个标准。

    摘要

    这是一个对结构化数据哈希和签名的标准,而不仅仅是字节字符串。它包含:

    1. 正确编码功能的理想框架
    2. 结构化数据和solidity中的结构体类似并且兼容的详细说明
    3. 这些结构的实例的安全哈希算法
    4. 这些实例可以被安全地包含在一组可签名消息内
    5. 领域分离的可扩展机制
    6. 新的RPC调用:eth_signTypedData
    7. 应用于EVM的优化的哈希算法

    动机

    这个EIP旨在提高链下消息签名对链上的可用性。我们可以看到,因为节省gas以及减少链上交易的原因,采用链下消息签名的需求日益增长。现在已经被签名的消息,展示给用户的是一串难以理解的16进制的字符串,附带一些组成这个消息的项目的上下文。

    eth_sign

    这里我们大致描绘了编码结构化数据,并且在用户签名时把结构化数据展示给他们确认的场景。下面就是当用户签名时,应该展现给他们的符合EIP规范的消息 的例子:

    structedDataSign

    签名以及哈希概要

    签名方案由哈希算法和签名算法组成。以太坊选择的签名算法是secp256k1,哈希算法选择了keccak256,这是一个从字节串B^8n^到256位字符串B^256^的函数。

    一个好的哈希算法应该满足安全属性,如确定性,第二个预映象阻抗和碰撞阻力。 当应用于字节串时, keccak256函数满足了上述条件。如果我们想将它应用于其他集合,首先我们需要把这个集合映射到字节串。编码函数的确定性和单射性相当重要。如果它不满足确定性的话,那么验证时刻的哈希可能会不同于签名时刻的哈希,这会导致签名不正确被拒绝。如果它不是单射的,那么在集合中就会有2个不同的元素哈希完得到相同的值,导致对一个完全不同的不相干的消息,签名也同样适用。

    交易和字节串

    在以太坊中,可以找到关于上述破损的解释例子。以太坊有两种消息,交易T和字节串B⁸ⁿ。这些分别用eth_sendTransactioneth_sign来签名。最初的编码函数encode : T∪B⁸ⁿ→B⁸ⁿ如下定义:

    • encode(t : T) = RLP_encode(t)
    • encode(b : B⁸ⁿ) = b

    独立来看的话,它们都满足要求的属性,但是合在一起看就不满足了。如果我们采用b = RLP_encode(t)就会产生碰撞。在Geth PR 2940中,通过修改编码函数的第二条定义,这种情况得到了缓解:

    • encode(b : B⁸ⁿ) = "\x19Ethereum Signed Message:\n" ‖ len(b) ‖ b 其中len(b)b中字节数的ASCII十进制编码。

    这就解决了两个定义之间的冲突,因为RLP_encode(t : T)永远不会以\x19作为开头。但新的编码函数依然存在确定性和单射性风险,仔细思考这些对我们很有帮助。

    原来,上面的定义并不具有确定性。对一个4个字节大小的字符串b来说,用len(b) = "4"或者len(b) = "004"都是有效的。我们可以进一步要求所有表示长度的十进制编码前面不能有0并且len("")="0"来解决这个问题。

    上面的定义并不是明显无碰撞阻力的。一个以"\x19Ethereum Signed Message:\n42a…"开头的字节串到底表示一个42字节大小的字符串,还是一个以"2a"作为开头的字符串?这个问题在 Geth issue #14794中被提出来,也直接促使了trezor不使用这个标准。幸运的是这并没有导致真正的碰撞因为编码后的字节串总长度提供了足够的信息来消除这个歧义。

    如果忽略了len(b),确定性和单射性就没有那么重要了。重点是,很难将任意集合映射到字节串,而不会在编码函数中引入安全问题。目前对eth_sign的设计仍然将字节串作为输入,并期望实现者提供一种编码。

    任意消息

    eth_sign方法会假设消息就是字节串形式的。在实践当中,我们不会哈希这些字节串,而是这些不同的dappM的所有不同语义的消息。遗憾的是,这个集合并不能正式确定。所以,我们用类型化的命名结构集S来近似表示它。这个标准正式确定了S集合并为它提供了确定性的、单射性的编码函数。

    只是编码结构体还是不够的。比如两个不同的dapp使用同样的结构,那么用于其中一个dapp的签名消息同样对另一个也是有效的。这种签名是兼容的,这可能是有意而为的行为,在这种情况下,只要dapps预先把重放攻击(replay attack)考虑进来就没什么问题。如果不预先考虑这些问题,那么就会存在安全问题。

    解决这个问题的办法啊就是引入一个域名分隔符,一个256位的数字。这个值和签名混合,并且每个域名的值都不一样。这就让针对不同域名的签名无法相互兼容。域名分隔符的设计中要包含Dapp的独特信息,比如dapp的名字,预期的验证者合约地址,预期的Dapp域名等。用户和用户代理可以使用此信息来减轻钓鱼攻击,如果一个恶意的Dapp试图诱骗用户为另一个Dapp的消息签名的话。

    重放攻击注意点

    这个标准只是关于对消息签名和验证签名。在很多实际应用中,已签名的消息被用来授权一个动作,例如token交换。使用者需要确保当应用程序看到两笔一模一样的已签名消息时依然可以做出正确的行为,这一点十分重要。举个例子,重复的消息需要被拒绝,或者授权的行为应当是幂等的(注:一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同)。至于这是如何实现的,要视特定应用而定,并且超出了本标准的范围。

    详细说明

    可签名的消息集合由交易和字节串T ∪ B⁸ⁿ扩展而来,还包含了结构化数据S。可签名消息集合的最新表示就是`T ∪ B⁸ⁿ ∪ S。他们都被编码成适合哈希和签名的字节串,如下所示:

    • encode(transaction, T) = RLP_encode(transaction)
    • encode(message, B⁸ⁿ) = "\x19Ethereum Signed Message:\n" ‖ len(message) ‖ message,其中len(message)是message中字节数的非零填充的ascii十进制编码。
    • encode(domainSeparator : B²⁵⁶, message : S) = "\x19\x01" ‖ domainSeparator ‖ hashStruct(message),其中domainSeparatorhashStruct(message)如下定义。

    这种编码满足确定性,因为单独的组件都满足确定性。同时编码也是单射的,因为在上面三种情况下,第一个字节永远不一样。(RLP_encode(transaction))并不会以\x19作为开始。

    这种编码同时也和EIP-191兼容。其中的vertion byte这里就是0x01version specific data这里就是32字节的域名分隔符domainSeparatordata to sign在这里就是hashStruct(message)

    类型化的结构数据S的定义

    为了定义所有结构化数据的集合,我们从定义可接受的类型开始。就像ABIv2一样,这些都和solidity的类型紧密相关。用solidity符号来解释定义就是个例证。该标准特别针对EVM,但旨在脱离与更高级别的语言的关联。例如:

    struct Mail {
        address from;
        address to;
        string contents;
    }

    定义:一个struct类型,具有有效的标识符作为名称并包含零个或多个成员变量。成员变量由一个成员类型和一个名称组成。

    定义:一个成员类型可以是一个原子类型,动态类型或者引用类型。

    定义:原子类型有:bytes1bytes32uint8uint256int8int256booladdress。这些在solidiy中都有相应的定义。注意没有别名uintint;注意合约地址始终是普通的address。该标准也不支持定点数,未来版本中可能会增加新的原子类型。

    定义:动态类型有bytesstring。这些在声明时和原子类型一样,但是它们在编码中的处理是不同的。

    定义:引用类型有arrays和structs。arrays可以是固定长度的,也可以是动态长度的,分别用Type[n]Type[]表示。structs是由其名称引用的其他结构体。该标准支持嵌套的struct。

    定义:结构化的类型数据S的集合包含所有struct类型的实例。

    hashStruct的定义

    hashStruct方法如下定义:

    • hashStruct(s : S) = keccak256(typeHash ‖ encodeData(s)) ,其中 typeHash = keccak256(encodeType(typeOf(s)))

    注意typeHash对于给定结构类型来说是一个常量,并不需要运行时再计算。

    encodeType的定义

    一个结构的类型用name ‖ "(" ‖ member₁ ‖ "," ‖ member₂ ‖ "," ‖ … ‖ memberₙ ")"来编码,其中每个成员(member)都用type ‖ " " ‖ name来表示。举个例子,上面的Mail结构体,就用Mail(address from,address to,string contents)来编码。

    如果结构类型引用其他的结构体类型(并且这些结构类型又引用更多的结构类型),那么就会收集被引用的的结构类型集合,按名称排序并附加到编码中。一个编码的例子就是,Transaction(Person from,Person to,Asset tx)Asset(address token,uint256 amount)Person(address wallet,string name)

    encodeData的定义

    一个结构体实例的编码:enc(value₁) ‖ enc(value₂) ‖ … ‖ enc(valueₙ),也就是说,成员值的编码按照他们在类型中出现的顺序连接在一起,每个编码后的成员值长度是确定的32字节。

    原子类型的值按照如下方法编码:

    • 布尔值falsevalue都分别编码成uint256类型的0或者1
    • 地址都编码成uint160类型
    • 整数(Integer)类型值都符号扩展成256位,并按大端顺序编码。
    • bytes1bytes31是从索引0开始到索引length - 1的数组,它们从自身结束到bytes32的位置都用0填充,并且按照从开始到结束的顺序编码。这对应了她们在ABI v1和v2中的编码。
    • 动态值bytesstring用他们内容的哈希值来编码。(哈希用keccak256方法)
    • 数组值的编码则是把其内容的encodedData连接起来,再对整体进行keccak256。(例如,对someType[5]进行编码,和对包含5个类型为someType的成员的结构体进行编码,是完全一样的)。
    • 结构体值被递归编码成hashStruct(value),对于循环数据不能采用这种定义。

    domainSeparator的定义

    domainSeparator = hashStruct(eip712Domain)

    其中eip712Domain的类型是一个名为EIP712Domain的结构体,并带有一个或多个以下字段。协议设计者只需要包含对其签名域名有意义的字段,未使用的字段不在结构体类型中。

    • string name:用户可读的签名域名的名称。例如Dapp的名称或者协议。
    • string version:签名域名的目前主版本。不同版本的签名不兼容。
    • uint256 chainIdEIP-155中的链id。用户代理应当拒绝签名如果和目前的活跃链不匹配的话。
    • address verifyContract:验证签名的合约地址。用户代理可以做合约特定的网络钓鱼预防。
    • bytes32 salt:对协议消除歧义的加盐。这可以被用来做域名分隔符的最后的手段。

    此标准的未来扩展可以添加具有新用户代理行为约束的新字段。用户代理可以自由使用提供的信息来通知/警告用户或者直接拒绝签名。

    eth_signTypedData JSON RPC的详细说明

    eth_signTypedData方法已经添加进了Ethereum JSON-RPC中。这个方法与`eth_sign相似。

    eth_signTypedData

    这个签名方法用sign(keccak256("\x19Ethereum Signed Message:\n" + len(message) + message))计算一个以太坊特定的签名。

    通过给消息加上前缀,可以将计算出的签名识别为以太坊特定的签名。这可以防止恶意DApp签署任意数据(例如交易),并使用签名来冒充受害者的情况。

    注意:用来签名的地址必须解锁。

    参数

    1. Address - 20字节 - 对消息签名的账户地址
    2. TypedData - 需要被签名的类型化的结构数据。

    类型化的数据是一个JSON对象,它包含类型信息,域名分割参数和消息对象。以下是一个TypedData参数的JSON-schema定义:

    {
      type: 'object',
      properties: {
        types: {
          type: 'object',
          additionalProperties: {
            type: 'array',
            items: {
              type: 'object',
              properties: {
                name: {type: 'string'},
                type: {type: 'string'}
              },
              required: ['name', 'type']
            }
          }
        },
        primaryType: {type: 'string'},
        domain: {type: 'object'},
        message: {type: 'object'}
      }
    }

    返回值

    DATA:签名。就像在eth_sign里一样,它是一个以0x开头的16进制的129字节数组。它以大端模式编码了rsv参数(黄皮书附录F)。字节0…64包含了参数r,字节64…128是参数s,最后一个字节是参数v。注意到参数v包含了链id,这在EIP-155有详细说明。

    示例

    请求
    curl -X POST --data '{"jsonrpc":"2.0","method":"eth_signTypedData","params":["0xCD2a3d9F938E13CD947Ec05AbC7FE734Df8DD826", {"types":{"EIP712Domain":[{"name":"name","type":"string"},{"name":"version","type":"string"},{"name":"chainId","type":"uint256"},{"name":"verifyingContract","type":"address"}],"Person":[{"name":"name","type":"string"},{"name":"wallet","type":"address"}],"Mail":[{"name":"from","type":"Person"},{"name":"to","type":"Person"},{"name":"contents","type":"string"}]},"primaryType":"Mail","domain":{"name":"Ether Mail","version":"1","chainId":1,"verifyingContract":"0xCcCCccccCCCCcCCCCCCcCcCccCcCCCcCcccccccC"},"message":{"from":{"name":"Cow","wallet":"0xCD2a3d9F938E13CD947Ec05AbC7FE734Df8DD826"},"to":{"name":"Bob","wallet":"0xbBbBBBBbbBBBbbbBbbBbbbbBBbBbbbbBbBbbBBbB"},"contents":"Hello, Bob!"}}],"id":1}'
    结果
    {
      "id":1,
      "jsonrpc": "2.0",
      "result": "0x4355c47d63924e8a72e509b65029052eb6c299d53a04e167c5775fd466751c9d07299936d304c153f6443dfa05f40ff007d72911b6f72307f996231605b915621c"
    }

    关于如何使用solidity中的ecrecover方法来验证用eth_signTypedData得出的签名的例子,可以在EIP712 Example.js中找到。这个合约就被部署在Ropsten和Rinkeby测试网络上。

    personal_signTypedData

    同样还有一个对应的personal_signTypedData方法,这个方法接受账户的密码作为最后一个参数。

    Web3 API的详细说明

    Web3 version 1中新加了两个方法,和web3.eth.sign以及web3.eth.personal.sign类似。

    web3.eth.signTypedData
    web3.eth.signTypedData(typedData, address [, callback])

    使用特定的账户对类型化的数据签名。这个账户需要解锁。

    参数

    1. Object - 域名分割和需要签名的类型化数据。根据以上在eth_signTypedData JSON RPC调用中指定的JSON-schema进行结构化。
    2. String|Number - 用来签名数据的地址。或者是本地钱包的地址或索引:ref:web3.eth.accounts.wallet<eth_accounts_wallet>
    3. Function - (非必须)可选的回调函数,返回错误作为第一个参数,结果作为第二个参数。

    注意:2.中的address参数同样可以是web3.eth.accounts.wallet <eth_accounts_wallet>中的地址或者索引。然后它会在本地用账户的私钥进行签名。

    返回值

    Promise返回String - 由eth_signTypedData返回的签名

    示例

    有关typedData的值,参考上面的eth_signTypedData JSON-API的示例

    web3.eth.signTypedData(typedData, "0xCD2a3d9F938E13CD947Ec05AbC7FE734Df8DD826")
    .then(console.log);
    > "0x4355c47d63924e8a72e509b65029052eb6c299d53a04e167c5775fd466751c9d07299936d304c153f6443dfa05f40ff007d72911b6f72307f996231605b915621c"
    web3.eth.personal.signTypedData
    web3.eth.personal.signTypedData(typedData, address, password [, callback])

    web3.eth.signTypedData一样,除了要多加一个password参数。(类比web3.eth.personal.sign

    理念

    对于新类型,encode方法将扩展为新的情况。编码的第一个字节用来区分这些情况。出于同样的原因,立即开始使用域名分隔符或者typeHash是不安全的。虽然很难,但可以构建出一个typeHash,这恰好也是一个合理的交易的RLP编码的前缀。

    域名分割符可以防止和其他相同的结构碰撞。有可能两个Dapp具有同样的结构,比如Transfer(address from, address to, uint256 amount),但它们不应该兼容。通过引入域名分隔符,Dapp开发者可以保证不会发生签名冲突。

    域名分隔符也允许相同的结构实例使用多个不同的签名用例在一个给定的Dapp中。在之前的例子中,或许fromto两个都需要提供,通过提供两个不同的域名分隔符,这些签名可以相互区分。

    展开全文
  • 9月25日,浙江省标准创新贡献奖评审委员会公布了获奖获奖名单,以阿里云Link ID²物联网设备身份认证为依据的标准项目斩获重大贡献奖,阿里巴巴集团首席风险官郑俊芳代表领奖。 物联网已成为支撑智能家居、智慧城市...
  • 本次评审会由木材节约发展中心主任、正高工刘能文,中国基建物资租赁承包协会质量安全标准化分会首席顾问、正高工秦春芳,中建一局集团建设发展有限公司副总经理李浩,中国建筑标准设计研究院有限公司副总工、正高工...
  • (三)《水利工程管理单位安全生产标准化评审标准(试行)》;(四)《发电企业安全生产标准化规范及达标评级标准》;(五)《公司安全生产管理办法》。第二章 目标制定第四条 公司安全生产目标实行分级管...
  • 以国际标准管理体系为框架,以“三集五大”及各管理子体系为主体,以SG186和EPR系统为支撑,融合质量、环境、职业健康安全、信息安全等国际先进管理理论与方法,初步构建一体化的公司标准化运作平台。为确保试点建设...
  • 数字医院河南省数字医院评审标准》评审要点分析的组织管理、基础设施、应用系统、应用集成、信息安全、信息利用共六项评审通过项的得分合计。
  • 在卫生部三级综合医院评审标准实施细则3.9.1明确要求:有主动报告医疗安全(不良)事件的制度与可执行的工作流程,并让医务人员充分了解。 米软不良事件管理系统满足不良事件由医院质控办统一管理,能够监管不良...
  • GJB/Z113-1998 标准化评审.pdf GJB 841-1990 故障报告、分析和纠正措施系统.pdf GJB 1687-1993 军工产品承制单位内部质量审核要求.pdf GJB/Z379A-92 质量管理手册编制指南.pdf GJB/Z116-1998 售后技术服务质量...
  • 1、【判断题】安全标准化是指为安全生产活动获得最佳秩序,保证安全管理及生产条件达到法律、行政法规、部门规章和标准等要求制定的规则。(√) 2、【判断题】生产经营单位的应急预案由生产经营单位主要负责人签署...
  • 近日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》新的国家标准,新的国标将于2020年11月1日正式实施。新版定级指南有哪些变化呢?指南前言中指出:...
  • 信息安全架构体系,组织应根据整体业务活动及其面临的风险,建立、实施、运作、监视、评审、 保持并改进文件的信息安全管理体系。本标准应用了图1所示的PDCA模式。
  • 国家安监局

    2015-06-30 11:31:36
    国家安全监管总局危险化学品从业单位安全生产标准化评审标准
  • 12月12日下午,《车载式道路标线逆反射测量仪(征求意见稿)》专家审查会在北京召开。中国交通运输协会标委会以及来自交通运输部公路局... 会议由中国交通运输协会标准化技术委员会委员兼秘书长孙小年主持,中国交通运...
  • 近日,数美科技CEO唐会军被聘为中国信息通信研究院互联网新技术新业务安全评估中心(以下简称“评估中心”)高级评估专家,主要参与数据安全政策标准研究制定、关键技术研究、项目评审、风险研判等工作,提高行业...
  • 为全面提升信创产业安全保障能力和服务水平,推进安全技术及解决方案的完善和升级,促进信创产业高质量发展,中国电子工业标准化技术协会信息技术应用创新工作委员会(以下简称“信创工委会”)于2020年开展了信创安全...
  • 在新基建的背景下,工业互联网理念在智慧水务...水系统智能技术研究会秘书长时文歆,上海市政总院总工陆继诚,南通水务有限公司总经理施焱,宁波市供排水集团有限公司副总工、宁波市网络安全评审专家刘青友,广西城
  • 计算机审计准则是对电算化审计的标准化,是衡量审计工作的标准。在制定标准和准则时要在考虑我国国情的前提下大力吸收借鉴国外先进经验,主管财政部门在评审某会计软件时,应同时规范、指定与之相适应匹配的审计...
  • 信息工程项目(以下简称“项目”)验收会议,是项目在完成相关有效文件(包括招标文件,项目合同等)的约定事项,达到项目的建设目标,系统在试运行后功能的正确性、性能等指标均能达到相关行业标准,并能供用户在...
  • 本研究以双重预防机制的组成部分即风险分级管控与隐患排查治理为研究对象,依据2017年~2018年期间内蒙古、山西、四川、山东的99处煤矿企业数据进行安全生产标准化评审的结果,利用软件SPSS24.0对对风险分级管控与隐患...
  • 国家二级综合医院评审标准 国家三级综合医院评审标准 JCI认证标准 与众不同 软件智能 AI学习机器人、BI大数据挖掘、智能提醒、智能纠错、智能推送等 强大资源库 专家建议库、模版样式库、云共享库、案例库、...
  • 国家安全标准化一级评审员 国际项目经理IPMP培训师 国际注册管理咨询师CMC 国际项目经理IPMP 国际工程项目经理 南方电网高级审核员 广东省企业培训研究会讲师 南方电网公司安规修编培训专家 广东电网备案...
  • DevSecOps将安全性集成到DevOps管道的每个阶段,它统一了开发活动,操作支持和安全检查,并协调了软件开发生命周期(SDLC)中涉及的团队,其自动有助于团队之间的协同作用。 但DevSecOps并不是一个快速解决方案或...
  • 测试部门目标

    2016-04-28 23:30:21
    提高开发质量制定单元测试结果验收标准,通过CI自动检查测试结果是否达标并...减少漏测运用覆盖率工具统计功能覆盖率,减少漏测测试用例评审增加接口自动,UI自动,性能,安全多种测试类型,并运用到实际项目...

空空如也

空空如也

1 2 3
收藏数 58
精华内容 23
关键字:

安全标准化评审标准