海康威視監控系統、卡口系統、

電子警系統安全施工規范【實用

文檔】doc

文檔可直接使用可編輯，歡迎f

電子警察

施工調試規范

內部資料注意保密

海康威視安全施工規范

1.目的

為了貫徹執行“安全第一，預防為主”的安全施工方針，切實保證公司員工在施工中的安全和健康，

根據國家有關標準規程，并結合道路交通工程工程施工的具體情況，制定本安全規范。

公司參與施工現場項目的有關工作人員，包括項目管理人員、工程技術人員、工程施工人員、后

期維護人員及施工過程中到現場支援的本公司研發人員等，必須熱晶并嚴格遵守本安全施工規范。

2.對參加工程實施的人員要求

公司對本項目的工程實施人員必須具備F列條件：

2。1經醫師鑒定，無妨礙工作的病癥。

2.2具備必要的電工知識，熟悉被安全規范.

2.3對外單位派來人員，工作前應介紹現場情況并做好安全措施的交底工作.

3.工程實施過程的基本要求

1)健全與工程展開有關的各方面的安全工作措施以及相關的組織機構，對上崗的所有人員進行安全

知識教育.

2)上路施工人員必須身穿反光衣帶安全帽，禁止穿涼鞋拖鞋，并正確使用個人安全防護用品。

3)嚴禁酒后進入施工現場.

4)施工人員應有責任分工，在道路上施工時，必須實行嚴格的人員工作責任制，必須服從負責人管

理指揮，各種安全標志齊備，施工環境操作者配置安全裝置.

5)各工作點施工時均嚴格按要求布設安全示警牌、錐形交通標等安全設施，確保施工安全；晚上施工

人員撤離現場后，現場仍布設安全設施，確保過往車輛和行人的安全。

6)文明施工、合理安拄施工計劃和施工程序、盡早清運余土，盡量少占用行車道、非機動乍道和人

行道，確保道路暢通，人車安全。

7)各種電動工具必須有可靠有效的安全防護，接地裝置，做到一機一閘一漏電保護，不懂電氣和機

械的人員嚴禁使用和操作機電設備.

8)高處作業必須使用安全帶，安全帶使用前應進行檢查。安全帶必須掛在牢固的構件上或專為掛安

全帶用的鋼架或鋼絲繩上，并不得低掛高用，禁止掛在移動或不牢固的物件上。高度超過：。5m

以上時，必須使用安全帶等其它可用的安全措施。

9)高處作業應使用工具袋，較大的工具應固定在牢固的構件上，不準隨便亂放，上下傳遞物件應用繩

索拴牢傳遞，嚴禁上下拋擲。

90K/H,則反光路錐放置的安全距離為90M0

b)反光路錐從距離施工地點最遠端，按照比較緩的斜線慢慢放置，給乘車司機以緩沖空間，讓

車輛逐漸沿著路錐改道到其它車道。

施工現場的車輛、工程輔材停放堆放要求：

施工現場的車輛必須停放到來車方向施工位置前方，并開啟雙閃緊急指示燈.

工程輔材堆放盡量堆放到不影響交通的綠化帶或路邊。

距離為該路段的限速值，如果施工現場有公司車輛或租賃車輛務必將車輛停滯在施工界面前面的

來車方向。

對前端指揮交通人員的要求：

a)交通指揮員必須穿反光背心、帶安全帽。

b)交通指揮員在前端必須精神集中，并面向來車方向，嚴禁在工作期間玩、看電子書.

施工現場封路要求：

a)施工前，需和公安交警部門打好招呼，重要路段或車流量較大路段最好協調安排交警到現

場幫忙指揮交通。

b)施工封路時，按照保證施工現場交通有序、流暢的原則封路.避免做成堵車或發生交通事故。

c)施工封路必須按照封一條路，施工完畢?條的原則，進行封路施工；非必要情況下不允許同

事封兩條及以上的道路。

以下是施工過程中的幾種常見的封路方式.

1)雙車道路面局部施工時安全設施布設

2)四車道以上道路一惻路面施工時安全設施布設

3)同向車道中有一條車道路面施工時安全設施布設

4）同向車道中有兩條車道以上路面施工時安全設施布設

電子警察

施工調試規范

內部資料注意保密

海康威視安全施工規范

1.目的

為了貫徹執行“安全第一，預防為主”的安全施工方針，切實保證公司員工在施工中的安全和健

康，根據國家有關標準規程，并結合道路交通工程工程施工的具體情況，制定本安全規范。

公司參與施工現場項目的有關工作人員，包括項目管理人員、工程技術人員、工程施工人員、后

期維護人員及施工過程中到現場支援的本公司研發人員等，必須熱晶并嚴格遵守本安全施工規范。

2.對參加工程實施的人員要求

公司對本項目的工程實施人員必須具備F列條件：

2.1經醫師鑒定，無妨礙工作的病癥。

2.2具備必要的電工知識，熟悉被安全規范。

2.3對外單位派來人員，工作前應介紹現場情況并做好安全措施的交底工作。

3.工程實施過程的基本要求

1)健全與工程展開有關的各方面的安全工作措施以及相關的組織機構，對上崗的所有人員進行安全

知識教育。

2)上路施工人員必須身穿反光衣帶安全帽，禁止穿涼鞋拖鞋，并正確使用個人安全防護用品。

3)嚴禁酒后進入施工現場。

4)施工人員應有責任分工，在道路上施工時，必須實行嚴格的人員工作責任制，必須服從負責人管

理指揮，各種安全標志齊備，施工環境操作者配置安全裝置。

5)各工作點施工時均嚴格按要求布設安全示警牌、錐形交通標等安全設施，確保施工安全；晚上施

工人員撤離現場后，現場仍布設安全設施，確保過往車輛和行人的安全。

6)文明施工、合理安拄施工計劃和施工程序、盡早清運余土，盡量少占用行車道、非機動乍道和人

行道，確保道路暢通，人車安全。

7)各種電動工具必須有可靠有效的安全防護，接地裝置，做到一機一閘一漏電保護，不懂電氣和機

械的人員嚴禁使用和操作機電設備。

8)高處作業必須使用安全帶，安全帶使用前應進行檢查。安全帶必須掛在牢固的構件上或專為掛安

全帶用的鋼架或鋼絲繩上，并不得低掛高用，禁止掛在移動或不牢固的物件上。高度超過1.5m

以上時，必須使用安全帶等其它可用的安全措施。

9)高處作業應使用工具袋，較大的工具應固定在牢固的構件上，不準隨便亂放，上下傳遞物件應用

繩索拴牢傳遞，嚴禁上下拋擲。

10)在立桿吊裝、大交通量道路路面施工時，要制定詳細的施工方案和安全保障措施，并得到業主方

面的封道等幫助。

11)當安全與進度發生沖突時，要安全放在第i位。

12)施工現場要做好防盜措施，禁止非施工人員進入現場，保管好各種操作工具，確保公司和個人財

產安全。

13)對突發事件的現場作好應急措施。

4、對于登高作業的特殊要求

6)登高作業應具備合適的登高器具，最佳器具是高空作業車或升降車，高空作業車必須有專人操作。

7)部分工程商會選擇廉價的腳手架甚至是木梯子，我們禁止使用木梯子進行調試，在高空需要一手

拿筆記本，一手調試鏡頭，這樣工作危險性太高.。使用腳手架調試可以接受，但是必須放置足夠

的反光路錐，并把拄腳手架的車輛停放到腳手架前部，這樣有車沖進施工現場會多?層保護，登

高人員必須穿帶安全帶。

8)移動腳手架到新的位置時，腳手架上方不允許有人。

9)有高空作業時，高車下方嚴禁站人，防止高空墜物傷人。

10)有高空作業時，地面工作人員需佩戴安全帽。

5、對于指導施工項目施工現場安全設置不滿足要求的處理

4)現場工程師應及時即工程商集成商交流,提高對方的安全意識.

5)經過交流問題依然不能解決的，應及時和項目銷售人員溝通，嚴格要求工程商提供必要的安保

設施。

6)在現場情況危險的情況下，現場工程師可以拒絕危險作業，并及時同相關人員交流溝通。

6、道路施工安全設施設置

道路施工，施工路段前端必須放置施工警示牌、反光路錐。在車流量比較大或夜間需要安擇專人

在施工位置前端指揮交通。

施工警示牌放置要求：

d)前方道路施工指示牌放置在距離施工位置300到350米位置。

e)減速慢行標志放置在施工位置前150米位置。

0行車方向警示放置在施工位置前100米位置。

反光路錐放置要求：

c)反光路錐放置距離：反光路錐安全放置距離為施工車道限速值的距離，例如本車道限速值

90K/H,則反光路錐放置的安全距離為90M。

d)反光路錐從距離施工地點最遠端，按照比較緩的斜線慢慢放置，給乘車司機以緩沖空間，

讓車輛逐漸沿著路錐改道到其它車道。

施工現場的車輛、工程輔材停放堆放要求：

施工現場的車輛必須停放到來車方向施工位置前方，井開啟雙閃緊急指示燈。

工程輔材堆放盡量堆放到不影響交通的綠化帶或路邊。

距離為該路段的限速值，如果施工現場有公司車輛或租賃車輛務必將車輛停滯在施工界面前面的

來車方向。

對前端指揮交通人員的要求：

c)交通指揮員必須穿反光背心、帶安全帽。

d)交通指揮員在前端必須精神集中，并面向來車方向，嚴禁在工作期間玩、看電子書。

施工現場封路要求：

d)施工前，需和公安交警部門打好招呼，重要路段或車流量較大路段最好協調安排交警到現

場幫忙指揮交通。

e)施工封路時，夜照保證施工現場交通有序、流暢I：勺原則封路，避免做成堵車或發生交通事

故。

0施工封路必須設照封一條路，施T完畢一條的原則，進行封路施工：非必要情況下不允許

同事封兩條及以上的道路.

以卜.是施工過程中的幾種常見的封路方式。

5)雙車道路面局部施工時安全設施布設

6)四車道以上道路一惻路面施工時安全設施布設

7)同向車道中有一條車道路面施工時安全設施布設

8）同向車道中有兩條車道以上路面施工時安全設施布設

電子商務網站系統安全問題探討

中文摘要：隨著Internet、計算機技術、網絡技術的發展，出現了一種新興的

商務模式一電子商務。隨著電子商務的飛速發展，其在市場中的地位已經日見明

顯，慢慢開始在市場上盛行起來。可是，在發展的同時其也存在著威脅，安全成

為制約其發展的關鍵。電子商務以其快捷、便利等優點越來越受到社會的認可,

電子商務的發展前景十分誘人,但商業信息的安全依然是電子商務的首要問題。

本文在簡單介紹了電子商務的現狀、安全隱患及安全技術措施，其中重點探討電

子商務的交易安全及網絡安全問題及相應的解決措施。

Abstract：WiththedevelopmentofInternet,computertechnology,network

technology,thereisanewbusinessmodel-e-commerceWiththerapid

developmentofelectroniccommerce,itspositioninthemarkethasbecame

moreandmoreobvious,slowlybegantoprevailinthemarketllowever,there

existsathreat,atthesametimeinthedevelopmentofthesecuritybecome

thekeytoitsdevelopmentE-commerceandconvenientforitsadvantages

suchasmoreandmorerecognizedbysociety,thedevelopmentprospectof

e-commerceisveryattractive,butbusinessinformationsecurityremains

theprimaryproblemofelectroniccommerceThispapersimplyintroduces

thepresentsituationofelectroniccomirerce,securityandsafety

technicalmeasures,whichdiscussestheelectroniccommercetrade

securityandnetworksecurityproblemsandthecorrespondingsolutions

關鍵詞：電子商務安全數字簽名協議

Keywords：TheelectroniccommercesecurityAdigitalsignatureagreement

目錄

引言3

1.我國電子商務的現狀3

2.電子商務安全問題產生的原因3

2.1管理問題4

2.2技術問題4

2.3.環境問題4

3.網絡安全技術策略4

3.1支付安全4

密碼管理問題4

網絡病毒，木馬問題5

釣魚平臺5

3.2認證安全5

4.電子商務采用的主要安全技術6

4.1網絡節點的安全6

4.2通訊的安全6

4.3應用程序的安全性6

結論7

引言

互聯網的發展及全面普及，給現代商業帶來了新的發展機遇，基于互聯網的

電子商務應運而生，并成為一種新的商務模式。以互聯網為基礎的這種新的商務

模式，也存在著許多亟待解決的問題。調查顯示，網絡安全、互聯網基礎設施建

設等九大問題是阻礙電子商務發展的主要因素。其中，安全問題被調查對象列在

首位。人們在享受電子商務帶來極大方便的同時，也經常會被安全問題所困擾。

安全問題成為電子商務的核心問題。本文將對電子商務安全問題及基本解決辦法

做一個探討，從而為進一步地解決其遇到的問題提出合理化的建議。

1.我國電子商務的現狀

現如今，隨著互聯網的迅速發展，網上購物大軍達到2000萬人，在全體

互聯網網民中，有過購物經歷的網民占近20%的比例。目前仍有60%的中小企

業的信息化程度處于初級階段。因此，電子商務是互聯網應用發展的必然趨勢,

也是國際金融貿易中越來越重要的經營模式，以后它還會逐漸地成為我們經濟生

活中一個重要部分。但同時我們也看到，我國的電子商務還處于了發展的初級階

段還有很長的路要走，從而安仝是保證電子商務健康有序發展的關鍵因素。根據

調查顯示，目前電子商務安全主要存在的問題是:計算機網絡安全，商品的品質，

商家的誠信，貨款的支付，商晶的遞送，買賣糾紛處理，網站售后服務以上問題

可以歸結為兩大部分：計算機網絡安全和商務交易安全。

計算機網絡安全與商務交易安全實際上是密不可分的，兩者相輔相成，玦一

不可。電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。沒

有計算機網絡安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商

務交易安全保障，即使計算機網絡本身再安全，仍然無法達到電子商務所特有的

安全要求。只有解決好以上的矛盾，電子商務才能保證又快又好的發展。

2.電子商務安全問題產生的原因

電子商務安全問題，不僅僅是網絡安全問題，還包括信息安全問題、交易過

程安全問題。

2.1管理問題

大多數電子商務網站缺乏統一的管理，沒有一個合理的評價標準。同時，安

全管理也存在很大隱患，大多數網站普遍易受黑客的攻擊，造成服務器癱瘓，使

網站的信譽受到極大損害。

2.2技術問題

網絡安全體系尚未形成。網絡安全在全球還沒有形成一個完整的體系。雖然

電子商務安全的產品數量不少，但真正通過認證的卻相當少。安全技術的強度普

遍不夠，國外有關電子商務的安全技術，雖然整體來看其結構或加密技術都不錯，

但這種加密算法受到外國密碼政策的限制，對其他國出口的安全技術往往強度不

夠。

2.3.環境問題

社會環境對于電子商務發展帶來的影響也不小。社會法制建設不夠，近年來，

各種環境問題與事故頻頻發生，大氣環境受到了嚴重的污染，在全國部分地區霧

霾嚴重，環境問題十分嚴重，相關法律建設跟不上電子商務發展的法律基礎保

證。

3.網絡安全技術策略

3.1支付安全

由于網絡天生的不安全性，特別是其網上支付領域有著各種各樣的交易風險。

但無論是何種風險，其根本原因都是由于登錄密碼或支付密碼泄露造成的。

3.1.1密碼管理問題

大部分公司和個人受到網絡攻擊的主要原因是密碼政策管理不善。大多數用

戶使用的密碼都是字典中可查到的普通單詞姓名或者其他簡單的密碼。有86%的

用戶在所有網站上使用的都是同一個密碼或者有限的幾個密碼。許多攻擊者還會

直接使用軟件強力破解一些安全性弱的密碼。因此，因此建議用戶使用復雜的密

碼，降低被病毒破譯密碼的可能性，提高計算機系統的安全性。需要注意：一是

密碼不要設置為姓名、普通單詞一、號碼、生日等簡單密碼;二是結合字母、

數字、大小寫共組密碼;三是密碼位數應盡量大于9位。

3.1.2網絡病毒，木馬問題

現今流行的很多木馬病毒都是專門用于竊取網上銀行密碼而編制的。木馬會

監視1E瀏覽器正在訪問的網頁，如果發現用戶正在登錄個人銀行，直接進行鍵

盤記錄輸入的帳號、密碼，或者彈出偽造的登錄對話框，誘騙用戶輸入登錄密碼

和支付密碼.然后通過郵件將竊取的信息發送出去。因此，需要做好自身電腦的

日常安全維護，注意以下幾點：

一是經常給電腦系統升級，二是安裝殺毒軟件、防火墻，經常升級和殺毒,

三在平時上網是盡量不上一些小型網站，選大型網站，知名度比較高的網站，避

免網站掛有病毒、木馬造成中毒，四盡量不要在公共電腦上使用自己的有關資金

的帳戶和密碼，五有條件的情況下，在初裝系統后確認電腦安全的后，給自己的

電腦做上備份，在使用資金帳戶前做一次系統恢復。

釣魚平臺

“網絡釣魚”攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙

活動，如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。受騙

者往往會泄露自己的財務數據，如信用卡號、賬戶號和口令等。因此，在登錄支

付資金時，應注意：一是確認該網是否是官方網站，二是仔細核對該網的域名是

否正確，注意小寫“1”與“L”、“0”與“0”等情況，三保證良好的上

網習慣，收藏常用的網址，減少網上鏈接。

3.2認證安全

電子商務為了保證網絡上傳遞信息的安全，通常采用加密的方法。但這是不

夠的，如何確定交易雙方的身份，如何獲得通訊對方的公鑰并且相信此公鑰是由

某個身份確定的人擁有的，解決方法就是找一個大家共同信任的第三方，即認證

中心頒發電子證書。用戶之間利用證書來保證安全性和雙方身份的合法性，只有

確定身份后，交易的糾紛，才得到有效的裁決。息之，電子商務的安全是個非常

復雜的問題，它的保障機制必須是有機的，多層次的，需要有企業管理方面，技

術支持方面的協調來實現。它是一個系統有機的整體，不僅需要計算機網絡安全

的保證，也需要商務交易安全上的保隙，更需要管理上的進步，才能確保電子商

務的安全。同時我國在電子商務技術性較為落后，必須加強具有自主產權的信息

安全產品的研究，注意加強信息安全人才的培養，多方共同努力建立科學的電子

商務安全機制，才能為我國的電子商務又快又好的發展保駕護行。

4.電子商務采用的主要安全技術

4.1網絡節點的安全

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能

夠有效地監視網絡的通信信息，并記憶通信狀態，從而作出允許/拒絕等正確的判

斷。通過靈活有效地運用這些功能，制定正確的安全策略,將能提供一個安全、高

效的Intranet系統。應給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或

任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全

方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、

服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措

施，以及管埋制度等。所有擔叮能受到網絡攻擊的地方都必須以同樣安全級別加

以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。

4.2通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所

傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安

全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到

128位。為在瀏覽器和服務器之間建立安全機制，SSL首先要求服務器向瀏覽

器出示它的證書,證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。

瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰。

驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只

需用戶下載該站點的服務器證書，此時瀏覽器也會出進入安全狀態的提示。

4.3應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的,

因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送

到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時；

程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有

有限的指令子集在特權模式下運行,其他的部分只有縮小的許可。

結論

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但

是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決

于系統的風險要控制在H么程度范圍內。電子商務的安全運行必須從多方面入手,

僅在技術角度防范是遠遠不夠的。安全只是相對的，而不是絕對的。因此,為進一

步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子

商務中出現的各類問題，使電子商務系統相對更安全。

參考文獻

[1]馮昊，電子商務的安全問題及對策，高等教育出版社，2005

[2]張曉黎:數據加密技術的應用，計算機與數字工程,2005

[3]祁明：電子商務安全與保密，高等教育出版社,2001

一系統安全設計

1.1常用安全設備

1.1.1防火墻

主要是可實現基本包過濾策略的防火墻，這類是有硬件處理、軟件處理等,

其主要功能實現是限制對IP：port的訪問。基本上的實現都是默認情況下關閉所

有的通過型訪問，只開放允許訪問的策略。

1.L2抗DD0S設備

防火墻的補充，專用抗DDOS設備，具備很強的抗攻擊能力。

1.1.3IPS

以在線模式為主，系統提供多個端口，以透明模式工作。在一些傳統防火墻

的新產品中也提供了類似功能，其特點是可以分析到數據包的內容，解決傳統防

火墻只能工作在4層以下的問題。和IDS一樣，IPS也要像防病毒系統定義N種

已知的攻擊模式，并主要通過模式匹配去阻斷非法訪問。

1.1.4SSLVPN

它處在應用層，SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在

應用程序協議和TCP/IP之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服

務器認證以及可選擇的客戶機認證。

1.1.5WAF（WEB應用防火墻）

Web應用防護系統（WebApplicationFirewall,簡稱：WAF）代表了一類新興的信息

安全技術，用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火

墻不同，WAF工作在應用層，因此對Web應用防護具有先天的技術優勢。基于灼Web應

用業務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗

證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網站站點進行有效防

護。

產品特點

?異常檢測協議

Web應用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請

求。并且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范

圍。甚至，一些Web應用防火墻還可以嚴格限定HTTP協議中那些過于松散或未

被完全制定的選項。

?增強的輸入驗證

增強輸入驗證，可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入

侵行為。從而減小Web服務器被攻擊的可能性。

?及時補丁

修補Web安全漏洞，是Web應用開發者最頭痛的問題，沒人會知道下一秒有

什么樣的漏洞出現，會為Web應用帶來什么樣的危害。WAF可以為我們做這項工

作了一一只要有仝面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏

洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應的補丁木

身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護

措施更好。

（附注：及時補丁的原理可以更好的適用于基于XML的應用中，因為這些應

用的通信協議都具規范性。）

?基于規則的保護和基于異常的保護

基于規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個

規則庫，并時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有

的產品可以基于合法應用數據建立模型，并以此為依據判斷應用數據的異常。但

這需要對用戶企業的應用具有十分透徹的了解才可能做到，可現實中這是十分困

難的一件事情。

?狀態管理

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并

且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理

模式還能檢測出異常事件（比如登陸失敗），并且在達到極限值時進行處理，這

對暴力攻擊的識別和響應是十分有利的。

?其他防護技術

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數據

帶來的問題。比如：隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保

護。

1.2網絡安全設計

1.2.1訪問控制設計

防火墻通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪

問控制。并且防火墻可以實現單向或雙向控制，對一些高層協議實現較細粒的訪問控制。其

中防火墻產品從網絡層到應用層都實現了自由控制。

屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機

兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡，同時一個堡壘主機

安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接。通常在路由器上設立過濾規

則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內部網絡不受未被

授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪

問Interneto

L2.2拒絕服務攻擊防護設計

對某些域名服務器的大規模拒絕服務攻擊會造成互聯網速度普遍下降或停止運行；以使

得被攻擊計算機或網絡無法提供正常的服務或者資源，合法用戶的請求得不到及時的響應。

由于DoS的攻擊具有隱蔽性，到FI前為止還沒有行之有效的防御方法。首先，這種攻擊的

特點是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP,才有可能完全抵御住DoS攻擊。

1）和ISP協調工作，讓他們幫助實施正確的路由訪問控制策略以保護帶寬和內部網絡。

2）建立邊界安全界限，確保輸入輸出的包受到正確限制。經常檢測系統配置信息，并

注意查看每天的安全日志，

3）利用網絡安全設備（例如：防火墻）來加固網絡的安全性，配置好它們的安全規則，

過濾掉所有的可能的偽造數據包。

4）關閉不必要的服務，及早發現系統存在的攻擊漏洞，及時安裝系統補丁程序。對一

些重要的信息建立和完善備份機制，對一些特權帳號的密碼設置要謹慎。

5）充分利用網絡設備保護網絡資源。如路由器、防火墻等負載均衡設備，它們可將網

絡有效地保護起來。被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重

啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數據會

丟失，而且重啟服務器是一個漫長的過程。

當你發現自己正遭受DoS攻擊時，應立即關閉系統，或至少切斷與網絡的連接，保存

入侵的記錄，讓安全組織來研究分析。

6）使用專業DoS防御設備。

1.2.3嗅探（sniffer）防護設計

嗅探器只能在當前網絡段上進行數據捕獲。這就意味著，將網絡分段工作進行得越細，嗅探

器能夠收集的信息就越少，網絡分段需要昂貴的硬件設各。有三種網絡設備是嗅探器不可能

跨過的：交換機、路由器、網橋“對網絡進行分段，比如在交換機上設置VLAN,使得網絡

隔離不必要的數據傳送。采用20個工作站為一組，這是一個比較合理的數字。然后，每個

月人為地對每段進行檢測（也可以每個月采用MD5隨機地對某個段進行檢測）。

1.3主機安全設計

1.3.1操作系統

1.3.2安全基線配置

操作系統安全是信息系統安全的最基本，最基礎的安全要素。操作系統的任何安全脆弱

性和安全漏洞，必然導致信息系統的整體安全脆弱性。在目前的操作系統中，對安全機制的

設計不盡完善，存在較多的安全漏洞隱患。面對黑客的盛行，網絡攻擊的日益頻繁，運用技

術愈加選進，有必要使用安全漏洞掃描工具對計算機操作系統的進行漏洞掃描，對操作系統

進行風險評估，并進行升級。

應及時安裝操作系統安全補丁程序，對掃描或手工檢查發現的系統漏洞進行修補，并及

時關閉存在漏洞的與承載業務無關的服務；通過訪問控制限制對漏洞程序的訪問。比如

windows操作系統補丁升級

在操作系統安裝之后立即安全防病毒軟件，定期掃描，實時檢查和清除計算磁盤引導記

錄、文件系統和內存，以及電子郵件病毒。目前新的病毒發展很快，需及時更新病毒庫。比

如SyniantecEndpointProtect（SEP防病毒服務器版）。

SymantecEndpointProiect無縫集成了一些基本技術，如防病毒、反間諜軟件、防火墻、

入侵防御、設備和應用程序控制。能有效阻截惡意軟件，如病毒、蠕蟲、特洛伊木馬、間諜

軟件、惡意軟件、Bo、零日威脅和rootkit.從而防止安全違規事件的發生，從而降低管理

開銷。

通過配置用戶帳號與口令安全策略，提高主機系統帳戶與口令安全。

技術要求標準點（參數）說明

Daemon

Bin

Sys

Adm

Uucp

清理多余用戶帳號，限制系統默認

限制系統無用Nuucp

帳號登錄，同時，針對需要使用的用戶，

的默認帳號登錄

Lpd制訂用戶列表進行妥善保存

Imnadm

Ldap

Lp

Snapp

invscout

root遠程登錄禁止禁止root遠程登錄

口令中某一字符最多只能重復3

次

maxrepeats=3

口令最短為8個字符

minlen=8

口令中最少包含4個字母字符

minalpha=4

口令中最少包含一個非字母數字

minother=l

字符

口令策略

mindiff=4

新口令中最少有4個宇符和出口

minage=l令不司

maxage=25（可選）口令最小使用壽命1周

histsize=10口令的最大壽命25周

口令不重復的次數10次

技術要求標準點（參數）說明

FTP用戶帳號

/etc/ftpusers禁止root用戶使用FTP

控制

對系統的口志進行安全控制與管理，保護口志的安全與有效性。

技術要求標準點（參數）說明

記錄authlog、

記錄必需的日志信息，以便進行申

日志記錄wtmp.log、sulog、

計

failedlogin

日志存儲（可日志必須存儲在日志使用日志服務器接受與存儲主機

選）服務器中日志

日志保存要求2個月日志必須保存2個月

日志系統配置文件屬性400（管理修改日志配置文件（syslog.conf）

文件保護員帳號只讀）權限為400

文件屬性400（管理修改日志文件authlog、wtmp.log、

日志文件保護

員帳號只讀）sulog、failedlogin的權限為400

1.4數據庫

1.4.1安全基線配置

數據庫系統自身存在很多的漏洞，嚴重威脅數據庫自身的安全，縣：至還會威脅到操作系

統的安全。oracle.SQLServer等數據庫有很多的廣為人知的漏洞，惡意的用戶很可能利用這

些漏洞進行數據庫入侵操作。同時在企業內部對數據庫權限管理不嚴格，數據庫管理員不正

確的管理數據庫，使得內部普通員工很容易獲取數據庫的數據。因此需通過數據庫安全掃描

工具，比如安信通數據庫漏洞掃描系統DatabaseSecurityScanSystem簡稱AXT-DBSo

AXTDBS數據庫安全掃描系統能夠臼動地鑒別在數據庫系統中存在的安全隱患，能夠掃描從

口令過于簡單、權限控制、系統配置等一系列問題，內置的知識庫能夠對違背和不遵循安全

性策略的做法推薦修正的裸作，并提供簡單明了的綜合報告和詳細報告。

配置用戶帳號與口令安全策略，提高數據庫系統帳戶與口令安全。

技術要求技術點（參數）說明

數據庫主機管理

控制默認主機管理員帳號禁止使用oracle或

員帳號

administrator作為數據庫主機

管理員帳號

oracle帳號刪除無用帳號清理帳號，刪除無用帳號

默認帳號修改口令如DBSNMPSCOTT

修改配置參數，禁止SYSDBA

禁止遠程登錄

遠程登錄

數據庫SYSDBA

帳號

修改配置參數，禁止SYSDBA

禁止自動登錄

自動登錄

a）密碼復雜度8個字符

a)PASSWORD_VERIFY_FUNCTION8

口令策略b）口令有效期180天

b)PASSWORD_LIFE_TIME180(可選)

c）禁止使用最近5次使用的

c)PASSWORD_REUSE_MAX5

口令

帳號策略FAILED_LOGIN_ATTEMPTS5連續5次登錄失敗后鎖定用戶

public權限優化清理public各種默認權限

對系統的口志進行安全控制與管理，保護日志的安全與有效性。

技術要求標準點（參數）說明

日志審核啟用啟用數據庫審計功能

登錄日志記錄啟動建立日志表，啟動觸發器

數據庫操作日志

啟動建立日志表，啟動觸發器

（可選）

日志審計策略

OS日志記錄在操作系統中

（可選）

日志保存要求2個月日志必須保存2個月

日志文件保護啟用設置訪問日志文件權限

對系統配置參數進行調整，提高數據庫系統安全。

技術要求標準點（參數）說明

啟用數據字典保護限制只有SYSDBA權限的用戶

數據字典保護

才能訪問數據字典

監聽程序加密設置監聽器口令設置監聽器口令

監聽服務連接超編輯listener.ora文件

設置監聽器連接超時

時connect_timeout_listener=10秒

服務監聽端口

在不影響應用的情況下，更改默認端口修改默認端口TCP1521

（可選）

1.4.2中間件

Tomcat中間件安全要求

應用安全加固，提高程序安全。

技術要求標準點（參數）說明

關閉war自動部署，防止被植入木馬unpackWARs="false"

應用程序安全

等惡意程序autoDeploy="false"

用戶帳號與口令安全

配置用戶帳號與口令安全策略，提高系統帳戶與口令安全。

技術要求標準點（參數）說明

安全策略屏蔽用戶權限用戶安全設置

<?xmlversion='1.0'encoding='utf-8'?>

注釋或刪除

tomcat_users.xm<tomcat-users>注釋或刪除所有用戶權限

1所有用戶權限

</tomcat-users>

隱藏tomcat版本隱藏tomcat版本信息，編輯

enableLookup=wfalsew

信息server.xml

<init-param>

<param-name>listings</param-name>

安全配置禁止列目錄，編輯web.xml

<param-value>false</param-value>

</init-param>

對系統的配置進行優化，保護程序的安全與有效性。

技術要求標準點（參數）說明

用普通用戶啟動Tomcat為了進一步安全，我們不建

議使用root來啟動Tomcato

這邊建議使用專用用戶

tomcat或者nobody用戶來

優化server.xml啟動Tomcat。

在啟動之前，需要對我們的

tomcat安裝目錄下所有文件

的屬主和屬組都設置為指定用

戶。

安全防護

通過對tomcat系統配置參數調整，提高系統安全穩定。

技術要求標準點（參數）說明

設置session過期時間，tomcat默認

防止已知攻擊

是30分鐘

maxThreads連接數限制maxThreads是Tomcat所能接

受最大連接數。一般設置不要超過

8000以上，如果你的網站訪問量非

常大可能使用運行多個Tomcat實

例的方法，即，在一個服務器上啟

動多個tomcat然后做負載均衡處

安裝優化（可選）理

tomcat作為一個應用服務器，也是

支持gzlp壓縮功能的。我們可以在

壓縮傳輸server.xml配置文件中的

Connector節點中配置如下參數，

來實現對指定資源類型進吁壓縮。

線上是不使用Tomcat默

禁用Tomcat管理頁面

認提供的管理頁面的，因此都

會在初始化的時候就把這些頁

技術要求標準點(參數)說明

面刪掉。這些頁面是存放在

Tomcat安裝目錄下的

webapps目錄下的。

我們只需要刪除該目錄下的

所有文件即可c

L5應用安全設計

1.5.1身份鑒別防護設計

1)口令創建

口令創建時必須具有相應規則，如要求，口令不能使用連續數字、必須由大小寫字母數

字和特殊字符混合組成等，

2)口令傳輸

口令驗證、修改等操作發生時，傳輸到服務器端的口令，在傳輸通道I:應采用加密或

SSL方式傳輸。降低口令在網絡傳輸被截取所帶來的風險。

3)口令存儲

口令在存儲時，應采MD5加密后存儲。嚴禁明文存儲，避免口令存儲文件暴露時用戶

口令泄密。

4)口令輸入

網絡認證登耒時?，口令輸入控件避免使用游覽器自苕的口令輸入框和鍵盤直接輸入。通

過提供口令輸入插件、軟件盤等方式提高口令輸入安全性。

5)口令猜測

限制口令長度不低于8位，降低被猜測的風險，提高口令破解難度。

6)口令維護

對需要重新設置口令的，管理員重置為初始口令。用戶首次使用該口令時，強制要求修改初

始口令。增加口令有效期限制，同一口令超出有效期后用戶必須更改新口令。

1.5.2訪問控制防護設計

自主性訪問控制是在確認主體身份及其所屬的組的基礎上對訪問進行控制的一種控制策略。

它的基本思想是：允許某個主體顯示的指定其他主體對該主體所擁有的信息資源是否可以訪

問以及執行。

自主訪問控制有兩種實現機制：一是基于主體DAC實現，它通過權限表表明主體對所有客

體的權限，當刪除一個客體時，需遍歷主體所有的權限表；另一種是基于客體的DAC實現，

它通過訪問控制鏈表ACL(AccessControlList)來表明客體對所有主體的權限，當刪除一個主體

時，要檢查所有客體的ACL。為了提高效率，系統一般不保存整個訪問控制矩陣，是通過基

于矩陣的行或列來實現訪問控制策略。

1.6自身安全防護設計

L6.1注入攻擊防護設計

1）對數據進行正確地轉義處理：

以保證它們不會被解釋為HTML代碼（對瀏覽器而言）或者XML代碼（對Flash而言）。

過濾參數中符合＜htmlx/html＞標簽和＜scriptx/script＞的特殊字符，對替換為

“＞”替換為“（”替換為“(“，替換為“("，…替換為"'”,

替換""”。

2）刪除會被惡意使用的字符串或者字符：

一般情況下，刪除一些字符會對用戶體驗造成影響，舉例來說，如果開發人員刪除了上

撇號（'），那么對某些人來說就會帶來不便，如姓氏中帶有撇號的人，他們的姓氏就無法正常

顯示。

對所有用戶提供的又被發回給Web瀏覽器的數據都進行轉義處理，包括AJAX調用、移動式

應用、Web頁面、重定向等內的數據。過濾用戶輸入要保護應用程序免遭跨站點腳本編制

的攻擊，請通過將敏感字符轉換為其對應的字符實體來清理HTMLo這些是HTML敏感字

符：＜＞"'%；）（&+o

1.6.2漏洞利用防護設計

使用安裝在目標計算系統上的安全組件在傳輸層（例如傳輸通信協議（TCP）套接層）監

控網絡流量。當接收到以所述計算系統為目的的消息時，將被包括在所述消息中的數據與用

于識別惡意代碼的利用證據進行比較。所述利用證據通過收集關于所述惡意代碼的信息的安

全服務提供給所述安全組件。基于所述消息中的數據與所述利用證據的所述比較，識別規則，

所述規則指示所述安全組件對所接收的消息采取適當的行動。

1.6.3防篡改設計

當判斷出現篡改后，系統進入緊急處理程序。緊急程序首先做的是恢復被篡改文件。將“樣

本”文件覆蓋到WebService的指定目錄中去，使WEB服務正常；然后發送報警信息，同時，

縮短輪詢時間為每50亳秒一次。當繼續檢測到異常時，首先停止WEB服務，然后發送報警

信息。

1.6.4應用審計設計

系統提供日志功能，將用戶登錄、退出系統，以及重要H勺模塊所有的操作都記錄在日志中，

并且重要的數據系統采用回收站的方式保留，系統管理員能夠恢復被刪除的數據，有效追蹤

非法入侵和維護系統數據安全。

操作系統日志是操作系統為系統應用提供的一項審計服務,這項服務在系統應用提供的

文本串形式的信息前面添加應用運行的系統名、時戳、事件ID及用戶等信息，然后進行本

地或遠程歸檔處理。操作系統口志很容易使用，許多安全類工具都使用它作為自己的口志數

據。如，Window操作系統日志記錄系統運行的狀態，通過分析操作系統日志，可以實現對

操作系統的實時監拄，達到入侵防范的目的。

操作系統日志分析需要將大量的系統日志信息經過提取并處理得到能夠讓管理員識別

的可疑行為記錄，然后分析日志可以對操作系統內的可疑行為做出判斷和響應。

為了保證日志分析的正常判斷，系統日志的安全就變得異常重要，這就需要從各方面去

保證日志的安全性，系統日志安全通常與三個方面相關，簡稱為“QA”：

1.保密性(Confidentiality)：使信息不泄露給非授權的個人