第一篇：XXXXXSymantec終端安全防護SPS企業(yè)版方案建議書

Symantec終端安全防護 SPS企業(yè)版3.0方案建議書

Symantec軟件（北京）有限企業(yè)

2013年03月 Symantec終端安全防護SPS企業(yè)版解決方案

第1章 1.1 1.2 第2章 2.1 2.2 2.3 2.4 2.5 2.6 第3章 3.1 3.2 3.3 3.4 項目綜述.................................................................................................................................1 項目需求分析.........................................................................................................................1 總體技術(shù)思路及優(yōu)勢.............................................................................................................2 XXXXX終端安全防護架構(gòu)設(shè)計方案....................................................................................5 系統(tǒng)架構(gòu)設(shè)計.........................................................................................................................5 服務(wù)器和終端安全防護設(shè)計（SEP）...................................................................................6 安全自我隔離（SNAC SELF ENFORCEMENT）.....................................................................9 終端系統(tǒng)保護和快速恢復(fù)設(shè)計（BESR）..........................................................................10 郵件應(yīng)用的安全防護設(shè)計（FOR DOMINO以及EXCHANGE）.............................................13 WEB安全網(wǎng)關(guān)設(shè)計(可選)....................................................................................................16 SPS企業(yè)版技術(shù)方案特點總結(jié)............................................................................................19 全面性—合適的價格，一步到位的實現(xiàn)............................................................................19 安全性—第一大安全品牌的強大的安全威脅防護............................................................20 保險性—具備強大的系統(tǒng)恢復(fù)功能，避免安全事故........................................................21 易用性—統(tǒng)一的控制平臺...................................................................................................21

I Symantec終端安全防護SPS企業(yè)版解決方案

第1章 項目綜述

1.1 項目需求分析

隨著計算機技術(shù)的不斷發(fā)展，信息技術(shù)在企業(yè)網(wǎng)絡(luò)中的運用更加廣泛，信息安全問題也顯得尤為迫切。自從80年代計算機病毒出現(xiàn)以來，已經(jīng)有數(shù)萬種病毒及其變種出現(xiàn)，給計算機安全和數(shù)據(jù)安全造成了極大的破壞。而傳統(tǒng)防病毒產(chǎn)品在應(yīng)對新的終端安全威脅時效果欠佳，因為病毒來自與不同的傳播途徑，例如郵件，網(wǎng)頁瀏覽，U盤的使用，高危程序的下載安裝等多種途徑，因此Symantec認(rèn)為企業(yè)需要同時結(jié)合多種技術(shù)手段來綜合的治理企業(yè)所面臨的安全問題，鞏固企業(yè)安全防線。

目前XXXXX的防病毒體系還處于依賴傳統(tǒng)的防病毒產(chǎn)品來應(yīng)對安全威脅的階段，產(chǎn)品覆蓋范圍有限，缺乏統(tǒng)一的管理平臺，沒有完善的病毒防護響應(yīng)機制，沒有辦法杜絕全部的病毒傳播途徑，發(fā)生大的安全事故缺乏快速恢復(fù)的保障；同時隨著XXXXX信息化化步伐的加快，建立一套適應(yīng)XXXXX未來發(fā)展的防病毒安全體系迫在眉睫。通過終端安全防護項目，設(shè)計一套滿足XXXXX未來發(fā)展的防病毒體系：建立系統(tǒng)的運維管理規(guī)范、技術(shù)體系標(biāo)準(zhǔn)，優(yōu)化企業(yè)內(nèi)網(wǎng)環(huán)境，減少病毒對企業(yè)員工的影響，提高員工的工作效率，為企業(yè)的快速發(fā)展提供保障。

－1－

Symantec終端安全防護SPS企業(yè)版解決方案

1.2 總體技術(shù)思路及優(yōu)勢

Symantec是全球第一大安全軟件廠商，第三大獨立軟件廠商，財富500強企業(yè)；擁有從終端管理到終端安全，服務(wù)器管理到服務(wù)器安全的全部尖端產(chǎn)品，具備豐富的全球行業(yè)安全經(jīng)驗，Symantec可以幫助XXXXX構(gòu)建全方位的、高效的、健壯的終端安全防護體系

Symantec的全球安全服務(wù)實踐證明，完整有效的終端安全解決方案包括技術(shù)、管理兩個方面內(nèi)容。雖然客戶已經(jīng)具備了完整的管理體系，但是全面的安全技術(shù)手段是必須的。

傳統(tǒng)的病毒防護方案存在局限性，對于XXXXX這樣的大型企業(yè)，整體的終端安全體系比單純的查殺病毒顯得更為重要，如果不能做到全網(wǎng)建立統(tǒng)一的安全體系，再強的防病毒軟件也不能發(fā)揮應(yīng)有作用，因此我們認(rèn)為防病毒并不能解決客戶遇到的全部安全問題，因為安全的問題來自各個不同的感染渠道，包括網(wǎng)絡(luò)，郵件，因此我們應(yīng)該建議客戶采用更全面的解決方案，包括終端安全，準(zhǔn)入控制，郵件安全，網(wǎng)絡(luò)安全, 因此，我們建議終端安全防線應(yīng)該如此規(guī)劃： 一．終端計算機應(yīng)該建立防病毒，反間諜軟件控制

二．終端計算機需要建立端點防火墻，主機入侵檢測以及防御

三．終端計算機需要控制USB以及非法軟件的使用，避免非法軟件以及US導(dǎo)致－2－

Symantec終端安全防護SPS企業(yè)版解決方案 的病毒感染

四．對于終端計算機不符合安全規(guī)定的將自動自我隔離

五．對于終端計算機，進行系統(tǒng)自動備份(在線備份)，在發(fā)生故障可以即時恢復(fù)系統(tǒng)

六．對于可能導(dǎo)致計算機感染病毒的郵件系統(tǒng)可以設(shè)置郵件防病毒，防垃圾郵件

Symantec向您推薦以下產(chǎn)品的組合：Symantec protection Suite SPS 企業(yè)版 3.0 SPS EE 3.0含有以下產(chǎn)品組合：

? SEP 11-----防病毒/反間諜軟件/端點防火墻/主機入侵檢測/防御/USB設(shè)備與應(yīng)用程序控制

? SNAC Self Enforcement-----網(wǎng)絡(luò)訪問控制自我強制隔離,對于不符合安全規(guī)定的企業(yè)客戶端進行自我隔離

? BESR Desktop-----系統(tǒng)實時備份，恢復(fù)，不用擔(dān)心企業(yè)出現(xiàn)各種的安全事故，僅僅需要從控制臺發(fā)送一個命令，系統(tǒng)將全部恢復(fù)到之前的穩(wěn)定狀態(tài)

? SMSDOM －3－

Symantec終端安全防護SPS企業(yè)版解決方案

-----郵件防病毒，防垃圾郵件，for Domino ? SMSMSE-----郵件防病毒，防垃圾郵件，for Exchange ? SBG-----企業(yè)級郵件網(wǎng)關(guān)，通過額外購買硬件輕松擴展

? SWG-----企業(yè)級Web 網(wǎng)關(guān)，Web網(wǎng)關(guān)防毒，通過額外購買硬件輕松擴展 統(tǒng)一的控制平臺:

－4－

Symantec終端安全防護SPS企業(yè)版解決方案

第2章 XXXXX終端安全防護架構(gòu)設(shè)計方案

2.1 系統(tǒng)架構(gòu)設(shè)計

根據(jù)XXXXX網(wǎng)絡(luò)安全與病毒防護現(xiàn)狀，本方案立足XXXXX構(gòu)建整體的企業(yè)終端安全防護架構(gòu)為目標(biāo)，設(shè)計一套滿足XXXXX未來發(fā)展的防病毒體系，方案核心設(shè)計主要包含：

通過建立多層次的安全防線，分別是服務(wù)器與終端安全防護、安全自我隔離、郵件安全、web安全和客戶端系統(tǒng)備份恢復(fù)； 服務(wù)器以及終端安全防護：

實現(xiàn)對應(yīng)用服務(wù)器的病毒安全防護，版本支持Linux和Windows平臺及Mac OS平臺；

終端防護自我隔離：

保護企業(yè)內(nèi)所有終端并提供強大的安全防護與管控能力；對于沒有符合規(guī)定的計算機，本機防火墻進行自我隔離 終端系統(tǒng)保護和快速恢復(fù)：

在所有的終端部署Symantec Backup Exec System Recovery，保護企業(yè)內(nèi)所－5－

Symantec終端安全防護SPS企業(yè)版解決方案

有終端系統(tǒng)并提供快速恢復(fù)系統(tǒng)的能力。郵件服務(wù)器防病毒：

通過在郵件服務(wù)器部署群件郵件防病毒軟件Symantec Mail Security for Domino /Exchange，實現(xiàn)郵件的安全保護； WEB安全網(wǎng)關(guān)（硬件選購）：

通過部署SWG網(wǎng)關(guān)防毒，實現(xiàn)對HTTP、FTP、BT、即時通訊等流量的內(nèi)容過濾，并可實現(xiàn)對內(nèi)部僵尸網(wǎng)絡(luò)或木馬的檢測和清除；

2.2 服務(wù)器和終端安全防護設(shè)計（SEP）

SEP將 Symantec Antivirus?與高級威脅防御功能相結(jié)合，可以為筆記本、臺式機和服務(wù)器提供無與倫比的惡意軟件防護能力。它甚至可以防御最復(fù)雜的攻擊，這些攻擊能夠躲避傳統(tǒng)的安全措施，如 Root kit、零日攻擊和不斷變化的間諜軟件。

Symantec認(rèn)為終端的防護應(yīng)該注重以下方面：

－6－

Symantec終端安全防護SPS企業(yè)版解決方案

1、防病毒和間諜軟件的查殺：

提供了無可匹敵的一流惡意軟件防護能力，包括市場領(lǐng)先的防病毒防護、增強的間諜軟件防護、新 Root kit 防護、減少內(nèi)存使用率和全新的動態(tài)性能調(diào)整，以保持用戶的工作效率。50次以上通過VB100的驗證

2、先進的威脅防御能力：

能夠保護端點免遭目標(biāo)性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵?jǐn)_。它包括：

3、即刻可用的主動防護技術(shù)以及管理控制功能：

主動防護技術(shù)能夠自動分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測并阻止可疑活動 管理控制功能使您能夠拒絕對企業(yè)來說被視為高風(fēng)險的特定設(shè)備和應(yīng)用程序活－7－

Symantec終端安全防護SPS企業(yè)版解決方案

動。甚至可以根據(jù)用戶位置阻止特定操作。

4、網(wǎng)絡(luò)威脅防護：

提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進入系統(tǒng)前將其阻止在外

5、主動威脅防護：

針對不可見的威脅（即零日威脅）提供防護。包括不依賴特征的主動威脅掃描。

6、設(shè)備以及程序控制：

針對USB可以采用直接的控制模式，例如只讀，讀寫，分類控制；針對程序采用白名單的程序控制模式。

7、統(tǒng)一的控制模式：

不僅可以增強防護，而且可以通過降低管理開銷以及管理多個端點安全性產(chǎn)品引發(fā)的成本來降低總擁有成本。通過一個管理控制臺即可進行管理。從而不僅－8－

Symantec終端安全防護SPS企業(yè)版解決方案

簡化了端點安全管理，而且還提供了出色的操作效能，如單個軟件更新和策略更新、統(tǒng)一的集中報告及一個授權(quán)許可和維護計劃；提供防病毒、反間諜軟件、桌面防火墻、IPS，通過單個管理控制臺即可進行全面管理。

多層防線可以顯著降低風(fēng)險，同時能夠充分保護企業(yè)資產(chǎn)，從而使企業(yè)高枕無憂。它是一款功能全面的產(chǎn)品，只要您需要，即可立即為您提供所需的所有功能。無論攻擊是由惡意的內(nèi)部人員發(fā)起，還是來自于外部，端點都會受到充分保護。

2.3 安全自我隔離（SNAC Self Enforcement）

無需交換設(shè)備支持，保護企業(yè)內(nèi)所有終端并提供強大的安全防護與管控能力；對于沒有符合規(guī)定的計算機，本機防火墻進行自我隔離；

－9－

Symantec終端安全防護SPS企業(yè)版解決方案

1、檢測客戶端自身安全遵從性

2、符合規(guī)定允許訪問受保護網(wǎng)絡(luò)

3、不符合規(guī)定需要的隔離服務(wù)器進行修復(fù)

4、支持全部的交換設(shè)備以及HUB設(shè)備

2.4 終端系統(tǒng)保護和快速恢復(fù)設(shè)計（BESR）

Windows操作系統(tǒng)目前在各大企業(yè)中依然占據(jù)重要的地位，類似XXXXX企業(yè)的大部分終端都依賴于windows平臺，由于其功能強大，而且易于使用，也使其很容易成為被各種威脅攻擊的目標(biāo)。終端用戶對計算機的操作和管理能力相對較弱，操作系統(tǒng)出現(xiàn)故障通常解決起來很困難，可能因為一個小小的錯誤補丁就可能導(dǎo)致藍(lán)屏，注冊表破壞，系統(tǒng)文件損壞，都是造成系統(tǒng)崩潰的因－10－

Symantec終端安全防護SPS企業(yè)版解決方案

素，所以對于終端系統(tǒng)的備份和恢復(fù)要求盡可能操作簡單易行。

利用Symantec終端集中系統(tǒng)保護功能模塊BESR(Symantec Backup Exec System Recovery)，可以實現(xiàn)：

1.完全避免了重裝系統(tǒng)的過程，可以在二十分鐘左右將系統(tǒng)恢復(fù)到上一次的備份狀態(tài)，操作極其簡單，終端用戶可自行恢復(fù)。

2.可在管理服務(wù)器的集中管理下統(tǒng)一將所有的終端用戶系統(tǒng)集中備份到網(wǎng)絡(luò)位置，也可由終端用戶自己進行在線備份。重要的是，系統(tǒng)的備份可支持增量備份，備份所需的時間極短，不會長時間占用網(wǎng)絡(luò)資源，備份位置的靈活性適用于經(jīng)常移動的用戶將系統(tǒng)的備份帶在身邊隨時可進行系統(tǒng)恢復(fù)，如:備份到移動硬盤、光盤，甚至直接備份到自己的電腦里。

3.終端集中系統(tǒng)保護模塊BESR支持所有的windows終端，利用其restore anywhere的功能，可將系統(tǒng)進行不同硬件架構(gòu)的恢復(fù)，用戶再也不需要因為兩臺電腦間硬件差異太大導(dǎo)致系統(tǒng)恢復(fù)失敗的問題而煩惱。

4.此外終端集中系統(tǒng)保護模塊BESR可將備份下來的系統(tǒng)轉(zhuǎn)換成虛擬機的格式直接在虛擬機下運行，立即驗證恢復(fù)的可行性和恢復(fù)生產(chǎn)應(yīng)用。

－11－

Symantec終端安全防護SPS企業(yè)版解決方案

其結(jié)構(gòu)示意圖如下：

主要功能：

1、可在不影響員工工作效率的情況下，自動備份臺式機和筆記本電腦，并將備份保存到任意磁盤存儲設(shè)備

2、可在幾分鐘內(nèi)將整個系統(tǒng)恢復(fù)到相同或不同的硬件上，并支持 Windows 7 使用內(nèi)置的搜索工具或 Google Desktop，可在幾秒鐘內(nèi)還原單個文件和文件夾

3、可將備份異地復(fù)制到 FTP 位置或二級磁盤驅(qū)動器，從而增強災(zāi)難恢復(fù)能力

主要優(yōu)勢：

－12－

Symantec終端安全防護SPS企業(yè)版解決方案

1、可隨時隨地在幾分鐘內(nèi)恢復(fù)您所需的內(nèi)容，如單個文件、文件夾或整個系統(tǒng)，甚至可以恢復(fù)到不同的硬件或虛擬環(huán)境

2、在一個易用的向?qū)徒缑嬷校ㄟ^主動數(shù)據(jù)和系統(tǒng)保護功能來管理您的業(yè)務(wù)，而不是備份

3、以快速可靠的自動恢復(fù)流程取代費時、易錯的手動恢復(fù)流程，從而最大限度地減少停機時間，規(guī)避災(zāi)難事件

4、可通過 Backup Exec System Recovery Manager 集中管理整個企業(yè)中多臺臺式機備份和恢復(fù)任務(wù)

2.5 郵件應(yīng)用的安全防護設(shè)計（For Domino以及Exchange）

企業(yè)網(wǎng)郵件應(yīng)用的安全防護重點是：

1、對來自外部網(wǎng)的垃圾郵件進行過濾和處理；

2、對病毒和蠕蟲造成的郵件攻擊進行攔截；

3、對不斷增長的無用帶寬進行限制和調(diào)整；

4、對包含不正當(dāng)內(nèi)容的郵件予以攔截；

Symantec Mail Security for Domino以及Exchange 提供了實時防護功－13－

Symantec終端安全防護SPS企業(yè)版解決方案

能，可以保護電子郵件服務(wù)器、文檔和數(shù)據(jù)庫免遭病毒、垃圾郵件、間諜軟件、網(wǎng)頁仿冒和其他攻擊的侵?jǐn)_，同時確保針對它們實施內(nèi)容策略。Symantec Mail Security for Domino以及Exchange 被設(shè)計為一款集成的應(yīng)用程序，它的交叉平臺策略管理功能可以簡化異構(gòu)環(huán)境的管理。在 Bright mail 技術(shù)的支持下，Premium Anti spam 附加訂購服務(wù)阻止了 99% 的垃圾郵件，而誤報率低于百萬分之一。

Symantec群件安全防護方案主要功能：

1、卓越防護

防御病毒、群發(fā)郵件蠕蟲、特洛伊木馬、垃圾郵件、間諜軟件、網(wǎng)頁仿冒和拒絕服務(wù)攻擊。阻止了 99% 的垃圾郵件，而誤報率低于百萬分之一（僅限 Windows）。通過預(yù)定義的策略、正則表達式、附件條件和真實文件分類來過濾電子郵件內(nèi)容

2、管理靈活簡便

爆發(fā)通知功能可以在病毒爆發(fā)初現(xiàn)端倪時向管理員發(fā)出警告，從而使他們能夠立即做出響應(yīng)；交叉平臺策略和定義管理簡化了異構(gòu)環(huán)境的管理，集中式隔離數(shù)據(jù)庫功能極大降低了跟蹤所有服務(wù)器上隔離的電子郵件和附件所需的工作量

Symantec群件安全防護方案的特點：

1、采用了多種過濾技術(shù)，有效率達到95％以上，準(zhǔn)確性達到99.9999%，處于－14－

Symantec終端安全防護SPS企業(yè)版解決方案

世界領(lǐng)先水平；

2、在全世界擁有200萬個蜜罐郵箱，專門收集最新的垃圾郵件，能夠快速應(yīng)對最新的垃圾郵件發(fā)送技術(shù)。同時，Symantec企業(yè)在國內(nèi)設(shè)立了20萬蜜罐郵箱專門搜集國內(nèi)的垃圾郵件，針對中文垃圾郵件和國內(nèi)流行的垃圾郵件同樣具有很高的過濾效率；

3、自動生成垃圾郵件過濾規(guī)則，并且每5－10分鐘為用戶更新一次過濾規(guī)則，具有極快的響應(yīng)能力；

4、集成了倍受好評的 Symantec 防病毒技術(shù)來掃描和檢測病毒。并且防病毒定義與過濾規(guī)則一同升級，不需要用戶單獨維護。而且Symantec企業(yè)是世界上唯一一家同時具備國際領(lǐng)先的防垃圾郵件技術(shù)和防病毒技術(shù)的廠商，產(chǎn)品之間不存在集成和兼容性的問題，保證了用戶使用的穩(wěn)定性；

5、通過電子郵件防火墻技術(shù)，實現(xiàn)在真正的垃圾郵件與病毒郵件到達用戶網(wǎng)絡(luò)之前，就阻止其企圖的功能。通過此技術(shù)，可以極大的節(jié)省用戶網(wǎng)絡(luò)的帶寬利用，并且真正保護了最終郵件服務(wù)器的可用資源（SMS 8300獨有）；

6、可有效防止DHA攻擊、垃圾郵件攻擊、病毒攻擊、空連接攻擊、多重壓縮攻擊等各種針對電子郵件系統(tǒng)的DOS攻擊（SMS 8300獨有）；

7、通過郵件源信譽度判斷、SPF發(fā)件人身份認(rèn)證技術(shù)以及第四代增強型的URL過濾技術(shù)，可以有效的識別目前危害最大的“網(wǎng)絡(luò)釣魚”（Phishing）電子郵件，－15－

Symantec終端安全防護SPS企業(yè)版解決方案

從而保障目標(biāo)企業(yè)的員工不會遭受到巨大的經(jīng)濟損失；

8、強大的最終用戶可配置功能。最終用戶通過登陸管理配置界面，可以管理與自己有關(guān)的隔離區(qū)垃圾郵件，并且可以自定義個體的黑名單、白名單和語言選項，從而大大的降低管理員的管理負(fù)擔(dān)；

9、能夠支持包括英文、中文、法文、德文、日文、韓文等12種語言的垃圾郵件識別和過濾。

2.6 WEB安全網(wǎng)關(guān)設(shè)計(可選)

Symantec企業(yè)網(wǎng)關(guān)安全SWG — Security Web Gateway（以下簡稱SWG）是新一代的統(tǒng)一威脅管理設(shè)備。它采用了多種先進的安全技術(shù)，對進出企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)包進行檢查、處理和控制，可以滿足企業(yè)網(wǎng)抵御混合型威脅的需要。作為業(yè)界最全面的WEB網(wǎng)關(guān)設(shè)備，將基于特征的入侵防御及入侵檢測引擎、獲獎的病毒防護、僵尸網(wǎng)絡(luò)和木馬檢測技術(shù)無縫地集成在一起。Symantec Web Gateway 以Symantec全球情報網(wǎng)絡(luò)為后盾，基于可伸縮的平臺構(gòu)建，可以快速同時掃描惡意軟件和不適宜的 Web 內(nèi)容，從而確保企業(yè)在遭受攻擊時能夠保持關(guān)鍵的運行時間和員工工作效率。

在部署時，SWG可以根據(jù)企業(yè)的實際需要啟用不同的安全功能模塊，從而－16－

Symantec終端安全防護SPS企業(yè)版解決方案

實現(xiàn)靈活部署與應(yīng)用。在企業(yè)網(wǎng)出口的位置，為了避免企業(yè)網(wǎng)出口的單點故障，可以部署兩臺或多臺SWG設(shè)備的集群環(huán)境。該架構(gòu)可以同時承擔(dān)負(fù)載均衡和高可用性責(zé)任。以上方案的效果可以使管理員靈活控制來自Internet的通訊流量，阻止各種外部黑客攻擊和病毒和蠕蟲。

利用Symantec的SWG方案部署在企業(yè)網(wǎng)出口，其特點如下：

1、具有強大的網(wǎng)絡(luò)安全防護功能，集成了基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測、病毒防護、僵尸網(wǎng)絡(luò)和木馬檢測技術(shù)?？梢栽谝慌_設(shè)備上實現(xiàn)對企業(yè)網(wǎng)的統(tǒng)一威脅管理。

2、SWG提供集中式管理，通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng)絡(luò)安全的管理。同時SWG具有集成的高可用性和負(fù)載均衡選件，能夠滿足任何規(guī)模的企業(yè)網(wǎng)的性能要求。主要優(yōu)勢：

1、Symantec Web Gateway 以Symantec全球情報網(wǎng)絡(luò)為后盾，由Symantec防病毒引擎提供動力，自 1999 年起連續(xù)多次蟬聯(lián) VB100 大獎。

2、提供了便利的自包含設(shè)備（其中包括保護 Web 網(wǎng)關(guān)所需的所有組件），無需在網(wǎng)絡(luò)中采用其他技術(shù)。

3、采用了高度可伸縮的技術(shù)，無需延長時間即可滿足各種企業(yè)的需求，從而確保了對最終用戶的瀏覽體驗毫無影響。

－17－

Symantec終端安全防護SPS企業(yè)版解決方案

4、不斷收集由Symantec全球情報網(wǎng)絡(luò)提供的數(shù)據(jù)（這些數(shù)據(jù)涵蓋一些世界上最廣泛的互聯(lián)網(wǎng)威脅數(shù)據(jù)來源），可以針對最新威脅提供全面的最新防護。

－18－

Symantec終端安全防護SPS企業(yè)版解決方案

第3章 SPS企業(yè)版技術(shù)方案特點總結(jié)

3.1 全面性—合適的價格，一步到位的實現(xiàn)

SPS企業(yè)版3.0含有以下套件，一步到位：

? SEP 11-----防病毒/反間諜軟件/端點防火墻/主機入侵檢測/防御/USB設(shè)備與應(yīng)用程序控制

? SNAC Self Enforcement-----網(wǎng)絡(luò)訪問控制自我強制隔離,對于不符合安全規(guī)定的企業(yè)客戶端進行自我隔離

? BESR Desktop-----系統(tǒng)實時備份，恢復(fù)，不用擔(dān)心企業(yè)出現(xiàn)各種的安全事故，僅僅需要從控制臺發(fā)送一個命令，系統(tǒng)將全部恢復(fù)到之前的穩(wěn)定狀態(tài)

? SMSDOM-----郵件防病毒，防垃圾郵件，for Domino ? SMSMSE-----郵件防病毒，防垃圾郵件，for Exchange ? SBG －19－

Symantec終端安全防護SPS企業(yè)版解決方案

-----企業(yè)級郵件網(wǎng)關(guān)，通過額外購買硬件輕松擴展

? SWG-----企業(yè)級Web 網(wǎng)關(guān)，Web網(wǎng)關(guān)防毒，通過額外購買硬件輕松擴展

3.2 安全性—第一大安全品牌的強大的安全威脅防護

全面的防護 —

集成一流的技術(shù)，可以在安全威脅滲透到網(wǎng)絡(luò)之前將其阻止，即便是由最狡猾的未知新攻擊者發(fā)起的攻擊也不例外。以實時方式檢測并阻止惡意軟件，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件...無論安全威脅來之包U盤的、非法的程序還是郵件系統(tǒng)； 主動防護 —

全新的主動威脅掃描使用獨特的Symantec技術(shù)為未知應(yīng)用程序的良好行為和不良行為評分，從而無需創(chuàng)建基于規(guī)則的配置即可增強檢測能力并減少誤報，同時針對不符合安全規(guī)定的計算機將自動隔離 業(yè)界最佳的威脅趨勢情報 —

Symantec的防護機制使用業(yè)界領(lǐng)先的Symantec全球情報網(wǎng)絡(luò)，可以提供有關(guān)整個互聯(lián)網(wǎng)威脅趨勢的全面視圖。借助此情報可以采取相應(yīng)的防護措施，并且可以幫助您防御不斷變化的攻擊，從而使您高枕無憂

－20－

Symantec終端安全防護SPS企業(yè)版解決方案

3.3 保險性—具備強大的系統(tǒng)恢復(fù)功能，避免安全事故

不再需要擔(dān)心可能因為一個小小的錯誤補丁就可能導(dǎo)致藍(lán)屏，注冊表破壞，系統(tǒng)文件損壞造成系統(tǒng)崩潰的因素，通過強大的系統(tǒng)在線備份與恢復(fù)功能，故障計算機將在最短的時間內(nèi)恢復(fù)系統(tǒng)

3.4 易用性—統(tǒng)一的控制平臺

單一控制臺 —

通過一個直觀用戶界面和基于 Web 的圖形報告將全面的安全技術(shù)集成到單一代理和集中的管理控制臺中。

－21－

Symantec終端安全防護SPS企業(yè)版解決方案

－22－

第二篇：Symantec終端安全防護SPS3.0企業(yè)版方案要點

Symantec終端安全防護 SPS企業(yè)版3.0方案建議書

xx有限公司

2018年10月 Symantec終端安全防護SPS企業(yè)版解決方案

第1章 1.1 1.2 第2章 2.1 2.2 2.3 2.4 2.5 2.6 第3章 3.1 3.2 3.3 3.4 項目綜述.................................................................................................................................1 項目需求分析.........................................................................................................................1 總體技術(shù)思路及優(yōu)勢.............................................................................................................2 XX終端安全防護架構(gòu)設(shè)計方案............................................................................................5 系統(tǒng)架構(gòu)設(shè)計.........................................................................................................................5 服務(wù)器和終端安全防護設(shè)計（SEP）...................................................................................6 安全自我隔離（SNAC SELF ENFORCEMENT）.....................................................................9 終端系統(tǒng)保護和快速恢復(fù)設(shè)計（BESR）..........................................................................10 郵件應(yīng)用的安全防護設(shè)計（FOR DOMINO以及EXCHANGE）.............................................13 WEB安全網(wǎng)關(guān)設(shè)計(可選)....................................................................................................16 SPS企業(yè)版技術(shù)方案特點總結(jié)............................................................................................19 全面性—合適的價格，一步到位的實現(xiàn)............................................................................19 安全性—第一大安全品牌的強大的安全威脅防護............................................................20 保險性—具備強大的系統(tǒng)恢復(fù)功能，避免安全事故........................................................21 易用性—統(tǒng)一的控制平臺...................................................................................................21

I Symantec終端安全防護SPS企業(yè)版解決方案

第1章 項目綜述

1.1 項目需求分析

隨著計算機技術(shù)的不斷發(fā)展，信息技術(shù)在企業(yè)網(wǎng)絡(luò)中的運用更加廣泛，信息安全問題也顯得尤為迫切。自從80年代計算機病毒出現(xiàn)以來，已經(jīng)有數(shù)萬種病毒及其變種出現(xiàn)，給計算機安全和數(shù)據(jù)安全造成了極大的破壞。而傳統(tǒng)防病毒產(chǎn)品在應(yīng)對新的終端安全威脅時效果欠佳，因為病毒來自與不同的傳播途徑，例如郵件，網(wǎng)頁瀏覽，U盤的使用，高危程序的下載安裝等多種途徑，因此Symantec認(rèn)為企業(yè)需要同時結(jié)合多種技術(shù)手段來綜合的治理企業(yè)所面臨的安全問題，鞏固企業(yè)安全防線。

目前xx的防病毒體系還處于依賴傳統(tǒng)的防病毒產(chǎn)品來應(yīng)對安全威脅的階段，產(chǎn)品覆蓋范圍有限，缺乏統(tǒng)一的管理平臺，沒有完善的病毒防護響應(yīng)機制，沒有辦法杜絕全部的病毒傳播途徑，發(fā)生大的安全事故缺乏快速恢復(fù)的保障；同時隨著xx信息化步伐的加快，建立一套適應(yīng)xx未來發(fā)展的防病毒安全體系迫在眉睫。通過終端安全防護項目，設(shè)計一套滿足xx未來發(fā)展的防病毒體系：建立系統(tǒng)的運維管理規(guī)范、技術(shù)體系標(biāo)準(zhǔn)，優(yōu)化企業(yè)內(nèi)網(wǎng)環(huán)境，減少病毒對企業(yè)員工的影響，提高員工的工作效率，為企業(yè)的快速發(fā)展提供保障。

－1－

Symantec終端安全防護SPS企業(yè)版解決方案

1.2 總體技術(shù)思路及優(yōu)勢

Symantec是全球第一大安全軟件廠商，第三大獨立軟件廠商，財富500強企業(yè)；擁有從終端管理到終端安全，服務(wù)器管理到服務(wù)器安全的全部尖端產(chǎn)品，具備豐富的全球行業(yè)安全經(jīng)驗，Symantec可以幫助xx構(gòu)建全方位的、高效的、健壯的終端安全防護體系

Symantec的全球安全服務(wù)實踐證明，完整有效的終端安全解決方案包括技術(shù)、管理兩個方面內(nèi)容。雖然客戶已經(jīng)具備了完整的管理體系，但是全面的安全技術(shù)手段是必須的。

傳統(tǒng)的病毒防護方案存在局限性，對于xx這樣的大型企業(yè)，整體的終端安全體系比單純的查殺病毒顯得更為重要，如果不能做到全網(wǎng)建立統(tǒng)一的安全體系，再強的防病毒軟件也不能發(fā)揮應(yīng)有作用，因此我們認(rèn)為防病毒并不能解決客戶遇到的全部安全問題，因為安全的問題來自各個不同的感染渠道，包括網(wǎng)絡(luò)，郵件，因此我們應(yīng)該建議客戶采用更全面的解決方案，包括終端安全，準(zhǔn)入控制，郵件安全，網(wǎng)絡(luò)安全, 因此，我們建議終端安全防線應(yīng)該如此規(guī)劃： 一．終端計算機應(yīng)該建立防病毒，反間諜軟件控制

二．終端計算機需要建立端點防火墻，主機入侵檢測以及防御

三．終端計算機需要控制USB以及非法軟件的使用，避免非法軟件以及US導(dǎo)致－2－

Symantec終端安全防護SPS企業(yè)版解決方案 的病毒感染

四．對于終端計算機不符合安全規(guī)定的將自動自我隔離

五．對于終端計算機，進行系統(tǒng)自動備份(在線備份)，在發(fā)生故障可以即時恢復(fù)系統(tǒng)

六．對于可能導(dǎo)致計算機感染病毒的郵件系統(tǒng)可以設(shè)置郵件防病毒，防垃圾郵件

Symantec向您推薦以下產(chǎn)品的組合：Symantec protection Suite SPS 企業(yè)版 3.0 SPS EE 3.0含有以下產(chǎn)品組合：

? SEP 11-----防病毒/反間諜軟件/端點防火墻/主機入侵檢測/防御/USB設(shè)備與應(yīng)用程序控制

? SNAC Self Enforcement-----網(wǎng)絡(luò)訪問控制自我強制隔離,對于不符合安全規(guī)定的企業(yè)客戶端進行自我隔離

? BESR Desktop-----系統(tǒng)實時備份，恢復(fù)，不用擔(dān)心企業(yè)出現(xiàn)各種的安全事故，僅僅需要從控制臺發(fā)送一個命令，系統(tǒng)將全部恢復(fù)到之前的穩(wěn)定狀態(tài)

? SMSDOM －3－

Symantec終端安全防護SPS企業(yè)版解決方案

-----郵件防病毒，防垃圾郵件，for Domino ? SMSMSE-----郵件防病毒，防垃圾郵件，for Exchange ? SBG-----企業(yè)級郵件網(wǎng)關(guān)，通過額外購買硬件輕松擴展

? SWG-----企業(yè)級Web 網(wǎng)關(guān)，Web網(wǎng)關(guān)防毒，通過額外購買硬件輕松擴展 統(tǒng)一的控制平臺:

－4－

Symantec終端安全防護SPS企業(yè)版解決方案

第2章 xx終端安全防護架構(gòu)設(shè)計方案

2.1 系統(tǒng)架構(gòu)設(shè)計

根據(jù)xx網(wǎng)絡(luò)安全與病毒防護現(xiàn)狀，本方案立足xx構(gòu)建整體的企業(yè)終端安全防護架構(gòu)為目標(biāo)，設(shè)計一套滿足xx未來發(fā)展的防病毒體系，方案核心設(shè)計主要包含：

通過建立多層次的安全防線，分別是服務(wù)器與終端安全防護、安全自我隔離、郵件安全、web安全和客戶端系統(tǒng)備份恢復(fù)； 服務(wù)器以及終端安全防護：

實現(xiàn)對應(yīng)用服務(wù)器的病毒安全防護，版本支持Linux和Windows平臺及Mac OS平臺；

終端防護自我隔離：

保護企業(yè)內(nèi)所有終端并提供強大的安全防護與管控能力；對于沒有符合規(guī)定的計算機，本機防火墻進行自我隔離 終端系統(tǒng)保護和快速恢復(fù)：

在所有的終端部署Symantec Backup Exec System Recovery，保護企業(yè)內(nèi)所有終端系統(tǒng)并提供快速恢復(fù)系統(tǒng)的能力。

－5－

Symantec終端安全防護SPS企業(yè)版解決方案

郵件服務(wù)器防病毒：

通過在郵件服務(wù)器部署群件郵件防病毒軟件Symantec Mail Security for Domino /Exchange，實現(xiàn)郵件的安全保護； WEB安全網(wǎng)關(guān)（硬件選購）：

通過部署SWG網(wǎng)關(guān)防毒，實現(xiàn)對HTTP、FTP、BT、即時通訊等流量的內(nèi)容過濾，并可實現(xiàn)對內(nèi)部僵尸網(wǎng)絡(luò)或木馬的檢測和清除；

2.2 服務(wù)器和終端安全防護設(shè)計（SEP）

SEP將 Symantec Antivirus?與高級威脅防御功能相結(jié)合，可以為筆記本、臺式機和服務(wù)器提供無與倫比的惡意軟件防護能力。它甚至可以防御最復(fù)雜的攻擊，這些攻擊能夠躲避傳統(tǒng)的安全措施，如 Root kit、零日攻擊和不斷變化的間諜軟件。

Symantec認(rèn)為終端的防護應(yīng)該注重以下方面：

－6－

Symantec終端安全防護SPS企業(yè)版解決方案

1、防病毒和間諜軟件的查殺：

提供了無可匹敵的一流惡意軟件防護能力，包括市場領(lǐng)先的防病毒防護、增強的間諜軟件防護、新 Root kit 防護、減少內(nèi)存使用率和全新的動態(tài)性能調(diào)整，以保持用戶的工作效率。50次以上通過VB100的驗證

2、先進的威脅防御能力：

能夠保護端點免遭目標(biāo)性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵?jǐn)_。它包括：

3、即刻可用的主動防護技術(shù)以及管理控制功能：

主動防護技術(shù)能夠自動分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測并阻止可疑活動 管理控制功能使您能夠拒絕對企業(yè)來說被視為高風(fēng)險的特定設(shè)備和應(yīng)用程序活－7－

Symantec終端安全防護SPS企業(yè)版解決方案

動。甚至可以根據(jù)用戶位置阻止特定操作。

4、網(wǎng)絡(luò)威脅防護：

提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進入系統(tǒng)前將其阻止在外

5、主動威脅防護：

針對不可見的威脅（即零日威脅）提供防護。包括不依賴特征的主動威脅掃描。

6、設(shè)備以及程序控制：

針對USB可以采用直接的控制模式，例如只讀，讀寫，分類控制；針對程序采用白名單的程序控制模式。

7、統(tǒng)一的控制模式：

不僅可以增強防護，而且可以通過降低管理開銷以及管理多個端點安全性產(chǎn)品引發(fā)的成本來降低總擁有成本。通過一個管理控制臺即可進行管理。從而不僅－8－

Symantec終端安全防護SPS企業(yè)版解決方案

簡化了端點安全管理，而且還提供了出色的操作效能，如單個軟件更新和策略更新、統(tǒng)一的集中報告及一個授權(quán)許可和維護計劃；提供防病毒、反間諜軟件、桌面防火墻、IPS，通過單個管理控制臺即可進行全面管理。

多層防線可以顯著降低風(fēng)險，同時能夠充分保護企業(yè)資產(chǎn)，從而使企業(yè)高枕無憂。它是一款功能全面的產(chǎn)品，只要您需要，即可立即為您提供所需的所有功能。無論攻擊是由惡意的內(nèi)部人員發(fā)起，還是來自于外部，端點都會受到充分保護。

2.3 安全自我隔離（SNAC Self Enforcement）

無需交換設(shè)備支持，保護企業(yè)內(nèi)所有終端并提供強大的安全防護與管控能力；對于沒有符合規(guī)定的計算機，本機防火墻進行自我隔離；

－9－

Symantec終端安全防護SPS企業(yè)版解決方案

1、檢測客戶端自身安全遵從性

2、符合規(guī)定允許訪問受保護網(wǎng)絡(luò)

3、不符合規(guī)定需要的隔離服務(wù)器進行修復(fù)

4、支持全部的交換設(shè)備以及HUB設(shè)備

2.4 終端系統(tǒng)保護和快速恢復(fù)設(shè)計（BESR）

Windows操作系統(tǒng)目前在各大企業(yè)中依然占據(jù)重要的地位，類似xx企業(yè)的大部分終端都依賴于windows平臺，由于其功能強大，而且易于使用，也使其很容易成為被各種威脅攻擊的目標(biāo)。終端用戶對計算機的操作和管理能力相對較弱，操作系統(tǒng)出現(xiàn)故障通常解決起來很困難，可能因為一個小小的錯誤補丁就可能導(dǎo)致藍(lán)屏，注冊表破壞，系統(tǒng)文件損壞，都是造成系統(tǒng)崩潰的因素，所－10－

Symantec終端安全防護SPS企業(yè)版解決方案

以對于終端系統(tǒng)的備份和恢復(fù)要求盡可能操作簡單易行。

利用Symantec終端集中系統(tǒng)保護功能模塊BESR(Symantec Backup Exec System Recovery)，可以實現(xiàn)：

1.完全避免了重裝系統(tǒng)的過程，可以在二十分鐘左右將系統(tǒng)恢復(fù)到上一次的備份狀態(tài)，操作極其簡單，終端用戶可自行恢復(fù)。

2.可在管理服務(wù)器的集中管理下統(tǒng)一將所有的終端用戶系統(tǒng)集中備份到網(wǎng)絡(luò)位置，也可由終端用戶自己進行在線備份。重要的是，系統(tǒng)的備份可支持增量備份，備份所需的時間極短，不會長時間占用網(wǎng)絡(luò)資源，備份位置的靈活性適用于經(jīng)常移動的用戶將系統(tǒng)的備份帶在身邊隨時可進行系統(tǒng)恢復(fù)，如:備份到移動硬盤、光盤，甚至直接備份到自己的電腦里。

3.終端集中系統(tǒng)保護模塊BESR支持所有的windows終端，利用其restore anywhere的功能，可將系統(tǒng)進行不同硬件架構(gòu)的恢復(fù)，用戶再也不需要因為兩臺電腦間硬件差異太大導(dǎo)致系統(tǒng)恢復(fù)失敗的問題而煩惱。

4.此外終端集中系統(tǒng)保護模塊BESR可將備份下來的系統(tǒng)轉(zhuǎn)換成虛擬機的格式直接在虛擬機下運行，立即驗證恢復(fù)的可行性和恢復(fù)生產(chǎn)應(yīng)用。

－11－

Symantec終端安全防護SPS企業(yè)版解決方案

其結(jié)構(gòu)示意圖如下：

主要功能：

1、可在不影響員工工作效率的情況下，自動備份臺式機和筆記本電腦，并將備份保存到任意磁盤存儲設(shè)備

2、可在幾分鐘內(nèi)將整個系統(tǒng)恢復(fù)到相同或不同的硬件上，并支持 Windows 7 使用內(nèi)置的搜索工具或 Google Desktop，可在幾秒鐘內(nèi)還原單個文件和文件夾

3、可將備份異地復(fù)制到 FTP 位置或二級磁盤驅(qū)動器，從而增強災(zāi)難恢復(fù)能力

主要優(yōu)勢：

－12－

Symantec終端安全防護SPS企業(yè)版解決方案

1、可隨時隨地在幾分鐘內(nèi)恢復(fù)您所需的內(nèi)容，如單個文件、文件夾或整個系統(tǒng)，甚至可以恢復(fù)到不同的硬件或虛擬環(huán)境

2、在一個易用的向?qū)徒缑嬷?，通過主動數(shù)據(jù)和系統(tǒng)保護功能來管理您的業(yè)務(wù)，而不是備份

3、以快速可靠的自動恢復(fù)流程取代費時、易錯的手動恢復(fù)流程，從而最大限度地減少停機時間，規(guī)避災(zāi)難事件

4、可通過 Backup Exec System Recovery Manager 集中管理整個企業(yè)中多臺臺式機備份和恢復(fù)任務(wù)

2.5 郵件應(yīng)用的安全防護設(shè)計（For Domino以及Exchange）

企業(yè)網(wǎng)郵件應(yīng)用的安全防護重點是：

1、對來自外部網(wǎng)的垃圾郵件進行過濾和處理；

2、對病毒和蠕蟲造成的郵件攻擊進行攔截；

3、對不斷增長的無用帶寬進行限制和調(diào)整；

4、對包含不正當(dāng)內(nèi)容的郵件予以攔截；

Symantec Mail Security for Domino以及Exchange 提供了實時防護功－13－

Symantec終端安全防護SPS企業(yè)版解決方案

能，可以保護電子郵件服務(wù)器、文檔和數(shù)據(jù)庫免遭病毒、垃圾郵件、間諜軟件、網(wǎng)頁仿冒和其他攻擊的侵?jǐn)_，同時確保針對它們實施內(nèi)容策略。Symantec Mail Security for Domino以及Exchange 被設(shè)計為一款集成的應(yīng)用程序，它的交叉平臺策略管理功能可以簡化異構(gòu)環(huán)境的管理。在 Bright mail 技術(shù)的支持下，Premium Anti spam 附加訂購服務(wù)阻止了 99% 的垃圾郵件，而誤報率低于百萬分之一。

Symantec群件安全防護方案主要功能：

1、卓越防護

防御病毒、群發(fā)郵件蠕蟲、特洛伊木馬、垃圾郵件、間諜軟件、網(wǎng)頁仿冒和拒絕服務(wù)攻擊。阻止了 99% 的垃圾郵件，而誤報率低于百萬分之一（僅限 Windows）。通過預(yù)定義的策略、正則表達式、附件條件和真實文件分類來過濾電子郵件內(nèi)容

2、管理靈活簡便

爆發(fā)通知功能可以在病毒爆發(fā)初現(xiàn)端倪時向管理員發(fā)出警告，從而使他們能夠立即做出響應(yīng)；交叉平臺策略和定義管理簡化了異構(gòu)環(huán)境的管理，集中式隔離數(shù)據(jù)庫功能極大降低了跟蹤所有服務(wù)器上隔離的電子郵件和附件所需的工作量

Symantec群件安全防護方案的特點：

1、采用了多種過濾技術(shù)，有效率達到95％以上，準(zhǔn)確性達到99.9999%，處于－14－

Symantec終端安全防護SPS企業(yè)版解決方案

世界領(lǐng)先水平；

2、在全世界擁有200萬個蜜罐郵箱，專門收集最新的垃圾郵件，能夠快速應(yīng)對最新的垃圾郵件發(fā)送技術(shù)。同時，Symantec企業(yè)在國內(nèi)設(shè)立了20萬蜜罐郵箱專門搜集國內(nèi)的垃圾郵件，針對中文垃圾郵件和國內(nèi)流行的垃圾郵件同樣具有很高的過濾效率；

3、自動生成垃圾郵件過濾規(guī)則，并且每5－10分鐘為用戶更新一次過濾規(guī)則，具有極快的響應(yīng)能力；

4、集成了倍受好評的 Symantec 防病毒技術(shù)來掃描和檢測病毒。并且防病毒定義與過濾規(guī)則一同升級，不需要用戶單獨維護。而且Symantec企業(yè)是世界上唯一一家同時具備國際領(lǐng)先的防垃圾郵件技術(shù)和防病毒技術(shù)的廠商，產(chǎn)品之間不存在集成和兼容性的問題，保證了用戶使用的穩(wěn)定性；

5、通過電子郵件防火墻技術(shù)，實現(xiàn)在真正的垃圾郵件與病毒郵件到達用戶網(wǎng)絡(luò)之前，就阻止其企圖的功能。通過此技術(shù)，可以極大的節(jié)省用戶網(wǎng)絡(luò)的帶寬利用，并且真正保護了最終郵件服務(wù)器的可用資源（SMS 8300獨有）；

6、可有效防止DHA攻擊、垃圾郵件攻擊、病毒攻擊、空連接攻擊、多重壓縮攻擊等各種針對電子郵件系統(tǒng)的DOS攻擊（SMS 8300獨有）；

7、通過郵件源信譽度判斷、SPF發(fā)件人身份認(rèn)證技術(shù)以及第四代增強型的URL過濾技術(shù)，可以有效的識別目前危害最大的“網(wǎng)絡(luò)釣魚”（Phishing）電子郵件，－15－

Symantec終端安全防護SPS企業(yè)版解決方案

從而保障目標(biāo)企業(yè)的員工不會遭受到巨大的經(jīng)濟損失；

8、強大的最終用戶可配置功能。最終用戶通過登陸管理配置界面，可以管理與自己有關(guān)的隔離區(qū)垃圾郵件，并且可以自定義個體的黑名單、白名單和語言選項，從而大大的降低管理員的管理負(fù)擔(dān)；

9、能夠支持包括英文、中文、法文、德文、日文、韓文等12種語言的垃圾郵件識別和過濾。

2.6 WEB安全網(wǎng)關(guān)設(shè)計(可選)

Symantec企業(yè)網(wǎng)關(guān)安全SWG — Security Web Gateway（以下簡稱SWG）是新一代的統(tǒng)一威脅管理設(shè)備。它采用了多種先進的安全技術(shù)，對進出企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)包進行檢查、處理和控制，可以滿足企業(yè)網(wǎng)抵御混合型威脅的需要。作為業(yè)界最全面的WEB網(wǎng)關(guān)設(shè)備，將基于特征的入侵防御及入侵檢測引擎、獲獎的病毒防護、僵尸網(wǎng)絡(luò)和木馬檢測技術(shù)無縫地集成在一起。Symantec Web Gateway 以Symantec全球情報網(wǎng)絡(luò)為后盾，基于可伸縮的平臺構(gòu)建，可以快速同時掃描惡意軟件和不適宜的 Web 內(nèi)容，從而確保企業(yè)在遭受攻擊時能夠保持關(guān)鍵的運行時間和員工工作效率。

在部署時，SWG可以根據(jù)企業(yè)的實際需要啟用不同的安全功能模塊，從而－16－

Symantec終端安全防護SPS企業(yè)版解決方案

實現(xiàn)靈活部署與應(yīng)用。在企業(yè)網(wǎng)出口的位置，為了避免企業(yè)網(wǎng)出口的單點故障，可以部署兩臺或多臺SWG設(shè)備的集群環(huán)境。該架構(gòu)可以同時承擔(dān)負(fù)載均衡和高可用性責(zé)任。以上方案的效果可以使管理員靈活控制來自Internet的通訊流量，阻止各種外部黑客攻擊和病毒和蠕蟲。

利用Symantec的SWG方案部署在企業(yè)網(wǎng)出口，其特點如下：

1、具有強大的網(wǎng)絡(luò)安全防護功能，集成了基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測、病毒防護、僵尸網(wǎng)絡(luò)和木馬檢測技術(shù)?？梢栽谝慌_設(shè)備上實現(xiàn)對企業(yè)網(wǎng)的統(tǒng)一威脅管理。

2、SWG提供集中式管理，通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng)絡(luò)安全的管理。同時SWG具有集成的高可用性和負(fù)載均衡選件，能夠滿足任何規(guī)模的企業(yè)網(wǎng)的性能要求。主要優(yōu)勢：

1、Symantec Web Gateway 以Symantec全球情報網(wǎng)絡(luò)為后盾，由Symantec防病毒引擎提供動力，自 1999 年起連續(xù)多次蟬聯(lián) VB100 大獎。

2、提供了便利的自包含設(shè)備（其中包括保護 Web 網(wǎng)關(guān)所需的所有組件），無需在網(wǎng)絡(luò)中采用其他技術(shù)。

3、采用了高度可伸縮的技術(shù)，無需延長時間即可滿足各種企業(yè)的需求，從而確保了對最終用戶的瀏覽體驗毫無影響。

－17－

Symantec終端安全防護SPS企業(yè)版解決方案

4、不斷收集由Symantec全球情報網(wǎng)絡(luò)提供的數(shù)據(jù)（這些數(shù)據(jù)涵蓋一些世界上最廣泛的互聯(lián)網(wǎng)威脅數(shù)據(jù)來源），可以針對最新威脅提供全面的最新防護。

－18－

Symantec終端安全防護SPS企業(yè)版解決方案

第3章 SPS企業(yè)版技術(shù)方案特點總結(jié)

3.1 全面性—合適的價格，一步到位的實現(xiàn)

SPS企業(yè)版3.0含有以下套件，一步到位：

? SEP 11-----防病毒/反間諜軟件/端點防火墻/主機入侵檢測/防御/USB設(shè)備與應(yīng)用程序控制

? SNAC Self Enforcement-----網(wǎng)絡(luò)訪問控制自我強制隔離,對于不符合安全規(guī)定的企業(yè)客戶端進行自我隔離

? BESR Desktop-----系統(tǒng)實時備份，恢復(fù)，不用擔(dān)心企業(yè)出現(xiàn)各種的安全事故，僅僅需要從控制臺發(fā)送一個命令，系統(tǒng)將全部恢復(fù)到之前的穩(wěn)定狀態(tài)

? SMSDOM-----郵件防病毒，防垃圾郵件，for Domino ? SMSMSE-----郵件防病毒，防垃圾郵件，for Exchange ? SBG －19－

Symantec終端安全防護SPS企業(yè)版解決方案

-----企業(yè)級郵件網(wǎng)關(guān)，通過額外購買硬件輕松擴展

? SWG-----企業(yè)級Web 網(wǎng)關(guān)，Web網(wǎng)關(guān)防毒，通過額外購買硬件輕松擴展

3.2 安全性—第一大安全品牌的強大的安全威脅防護

全面的防護 —

集成一流的技術(shù)，可以在安全威脅滲透到網(wǎng)絡(luò)之前將其阻止，即便是由最狡猾的未知新攻擊者發(fā)起的攻擊也不例外。以實時方式檢測并阻止惡意軟件，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件...無論安全威脅來之包U盤的、非法的程序還是郵件系統(tǒng)； 主動防護 —

全新的主動威脅掃描使用獨特的Symantec技術(shù)為未知應(yīng)用程序的良好行為和不良行為評分，從而無需創(chuàng)建基于規(guī)則的配置即可增強檢測能力并減少誤報，同時針對不符合安全規(guī)定的計算機將自動隔離 業(yè)界最佳的威脅趨勢情報 —

Symantec的防護機制使用業(yè)界領(lǐng)先的Symantec全球情報網(wǎng)絡(luò)，可以提供有關(guān)整個互聯(lián)網(wǎng)威脅趨勢的全面視圖。借助此情報可以采取相應(yīng)的防護措施，并且可以幫助您防御不斷變化的攻擊，從而使您高枕無憂

－20－

Symantec終端安全防護SPS企業(yè)版解決方案

3.3 保險性—具備強大的系統(tǒng)恢復(fù)功能，避免安全事故

不再需要擔(dān)心可能因為一個小小的錯誤補丁就可能導(dǎo)致藍(lán)屏，注冊表破壞，系統(tǒng)文件損壞造成系統(tǒng)崩潰的因素，通過強大的系統(tǒng)在線備份與恢復(fù)功能，故障計算機將在最短的時間內(nèi)恢復(fù)系統(tǒng)

3.4 易用性—統(tǒng)一的控制平臺

單一控制臺 —

通過一個直觀用戶界面和基于 Web 的圖形報告將全面的安全技術(shù)集成到單一代理和集中的管理控制臺中。

－21－

Symantec終端安全防護SPS企業(yè)版解決方案

－22－

第三篇：企業(yè)安全防護方案

企業(yè)安全防護方案

公司為進一步加強安全管理，建立安全管理長效機制，促進企業(yè)安全生產(chǎn)，特制定本方案。

一、指導(dǎo)思想和基本原則

(一)指導(dǎo)思想

1.堅持安全管理的科學(xué)發(fā)展觀。以科學(xué)發(fā)展觀統(tǒng)領(lǐng)全局，堅持“安全第一、預(yù)防為主、綜合治理”的方針，以保障職工生命安全為基本出發(fā)點，以杜絕重特大事故為目標(biāo)，倡導(dǎo)安全文化，落實安全責(zé)任，加大安全投入。

2.實現(xiàn)安全管理的“四化”。構(gòu)建覆蓋全公司、責(zé)任到人、職能到位的安全生產(chǎn)監(jiān)管網(wǎng)絡(luò)，形成各司其職、相互聯(lián)動、綜合監(jiān)管的工作格局，使安全工作實現(xiàn)“四化”：規(guī)范化、科學(xué)化、精細(xì)化、長效化。

(二)基本原則

1.以人為本。充分調(diào)動全員的積極性，把提高安全管理水平，努力為一線工人提供良好的工作環(huán)境作為安全管理的出發(fā)點和落腳點，切實解決安全管理的難點問題。

2.責(zé)任明確。安全管理工作是一個系統(tǒng)工程，需要各職能部門、各子公司、工區(qū)共同進行管理，因此要做到職責(zé)分工明確，各履其職，各負(fù)其責(zé)，防止推諉扯皮。

3.強化監(jiān)督，重視績效考核。網(wǎng)格化管理是開放的管理系統(tǒng)，需要強化對各公司、各工區(qū)等責(zé)任單位的監(jiān)督。網(wǎng)格化管理是有機的管理系統(tǒng)，細(xì)化考核內(nèi)容，量化考核標(biāo)準(zhǔn)，具體獎懲措施，建立安全管理工作綜合考評機制，為網(wǎng)格化安全管理提供制度保障。

二、工作目標(biāo)

1.深入開展安全管理，努力提高安全管理水平，構(gòu)建“橫向到邊，縱向到底，縱橫交錯，全面覆蓋，分級管理，層層履責(zé)，網(wǎng)格到底，責(zé)任到人”的網(wǎng)格化管理機制，推動我公司安全管理工作上臺階。

2.建立工區(qū)、作業(yè)面為網(wǎng)格終端的監(jiān)管平臺，形成分級分格監(jiān)管、責(zé)任明確、定位準(zhǔn)確、高效運轉(zhuǎn)的網(wǎng)格化監(jiān)管體系，實現(xiàn)層層監(jiān)管、事實監(jiān)控，確保日常監(jiān)管不留盲區(qū)、隱患排查不留死角、應(yīng)急救援及時有效，遏制較大事故，杜絕重特大事故，實現(xiàn)安全生產(chǎn)形式的明顯好轉(zhuǎn)。

三、工作內(nèi)容

1.建立“三分六定”管理體系。三分為：“分級建格，分區(qū)包片，分類指導(dǎo)?！绷椋骸邦I(lǐng)導(dǎo)定點，全員定則，監(jiān)管定位，排查定時，培訓(xùn)定期，獎懲定量。”

2.明確職責(zé)。明確網(wǎng)格管理第一責(zé)任人，明確職責(zé)，落實責(zé)任。責(zé)任人要嚴(yán)格按照崗位

責(zé)任制，明確安全監(jiān)管工作職責(zé)，做好檢查和監(jiān)管。

3.建立崗位責(zé)任制。在現(xiàn)有崗位責(zé)任制的基礎(chǔ)上，建立適合推行“三分六定”網(wǎng)格化管理的崗位責(zé)任制。

4.宣傳到位，廣造聲勢。要充分利用培訓(xùn)班、座談會、宣傳欄等形式，多渠道、多形式加強宣傳，營造濃厚的輿論氛圍，提高知曉率、支持度、參與率。

四、工作要求

1.精心組織，務(wù)求實效。各公司要按照《實施方案》、《實施細(xì)則》確定的工作目標(biāo)、工作內(nèi)容和工作職責(zé)認(rèn)真開展工作，一個網(wǎng)格一個網(wǎng)格落實責(zé)任、一個網(wǎng)格一個網(wǎng)格開展巡查、一個網(wǎng)格一個網(wǎng)格進行規(guī)范、一個網(wǎng)格一個網(wǎng)格強化監(jiān)管，網(wǎng)格到底、責(zé)任到人，務(wù)求實效。

2.健全機制，加強督查。建立安全管理網(wǎng)格化管理制約機制，定期組織網(wǎng)格化管理督查活動，形成以督查為標(biāo)準(zhǔn)的安全管理工作評估考核機制，推動安全管理網(wǎng)格化管理的規(guī)范運行。

3.嚴(yán)格責(zé)任，明確獎懲。公司要將網(wǎng)格化管理的目標(biāo)、任務(wù)、內(nèi)容、職責(zé)下達到每一位監(jiān)管人員，加強督查指導(dǎo)，層層抓落實。建立責(zé)任追究和獎勵機制，對工作不力、消極應(yīng)付的公司及監(jiān)管人員要予以懲處。對在實施網(wǎng)格化管理中取得顯著成績的單位和個人予以表彰和獎勵。

4.注重時效，快速反應(yīng)。圍繞提高處置效率這一環(huán)節(jié)，明確責(zé)任分工，增強責(zé)任意識，強化效能監(jiān)管，切實解決推諉扯皮、敷衍塞責(zé)、效率低下等狀況。

5.善于總結(jié)，不斷提高。網(wǎng)格化管理是一種新型的管理模式，沒有太多的經(jīng)驗可借鑒。每一位網(wǎng)格化管理的參與者都要通過自身不斷實踐、思考、總結(jié)，不斷地改進和創(chuàng)新工作方法，以與時俱進的工作精神，把安全工作網(wǎng)格化管理工作推到新的高度。

五、實施步驟

1.網(wǎng)格化定責(zé)階段。按照健全安全生產(chǎn)網(wǎng)格化監(jiān)管體系，合理劃分網(wǎng)格，對事故隱患、重大危險源、突出問題進行細(xì)致排查登記，建立臺帳和檔案，確定網(wǎng)格、各個責(zé)任區(qū)、各類人員的安全生產(chǎn)職責(zé)和措施。成立機構(gòu)，落實人員。

2.網(wǎng)格化立制階段。建立三分六定網(wǎng)格化安全生產(chǎn)監(jiān)管信息平臺，建立安全管理數(shù)據(jù)庫。制定上下級網(wǎng)格，統(tǒng)計網(wǎng)格，網(wǎng)格內(nèi)部的運行規(guī)則、程序、制度和應(yīng)急監(jiān)控措施，確保網(wǎng)格有序運行。

3.網(wǎng)格化運行階段。全面啟動“三分六定”網(wǎng)格化管理，發(fā)現(xiàn)和解決在推廣過程中出現(xiàn)的各類問題，保證網(wǎng)格化管理的有效運行。

4.網(wǎng)格化考評階段對“三分六定”網(wǎng)格化管理進行季度性檢查，年終考核驗收，總結(jié)經(jīng)驗，表彰先進。

六、實施細(xì)則

(一)宏觀管理三分

“三分”是指分級建格、分區(qū)包片、分類指導(dǎo)。

1.分級建格

子公司為一級大網(wǎng)格，區(qū)為二級中網(wǎng)格，作業(yè)面或掌子面為三級小網(wǎng)格，公司指導(dǎo)各級網(wǎng)格。一級大網(wǎng)格由各公司執(zhí)行董事、經(jīng)理和安全管理副總、安全科長組成。中網(wǎng)格則由工區(qū)長、安全員、各后勤人員及非生產(chǎn)班組的崗位工人組成。小網(wǎng)格由采礦、探礦、掘進作業(yè)面(或掌子面)班組長組成。網(wǎng)格之間相互依存，彌漏補缺。

2.分區(qū)包片

在網(wǎng)格中明確責(zé)任區(qū)、明確責(zé)任人、實施包片負(fù)責(zé)。

各公司執(zhí)行董事為一級大網(wǎng)格負(fù)責(zé)人，是本公司安全生產(chǎn)第一責(zé)任人;區(qū)長為二級中網(wǎng)格負(fù)責(zé)人，是所在工區(qū)安全生產(chǎn)第一責(zé)任人，對本工區(qū)的安全生產(chǎn)負(fù)總責(zé);班組長為三級小網(wǎng)格負(fù)責(zé)人，是所在作業(yè)面或掌子面的責(zé)任者。各級責(zé)任區(qū)內(nèi)管理部門、管理人員要對所在責(zé)任區(qū)的主要責(zé)任者高度負(fù)責(zé)，發(fā)揮好職能，服務(wù)于責(zé)任區(qū)。各責(zé)任區(qū)的責(zé)任人要充分調(diào)動、利用好各方面力量確保安全生產(chǎn)。責(zé)任區(qū)責(zé)任者也可細(xì)化網(wǎng)格內(nèi)責(zé)任區(qū)，包片到人，各負(fù)其責(zé)，層層抓安全，責(zé)任分工明確，一級對一級負(fù)責(zé)，層層深入，形成更具特色的安全管理氛圍。

3.分類指導(dǎo)

明確安全防范工作的重點，分類指導(dǎo)。受各種因素的影響和作用，安全管理的重點也在不時地發(fā)生變化，不安全因素也在隨時發(fā)生改變。這就需要各職能部門或?qū)I(yè)性較高的管理人員分類指導(dǎo)，分類指導(dǎo)使之職能部門或?qū)I(yè)性較高的管理人員更為充分地發(fā)揮專長，有利地防止人員蠻干，違章指揮、違章作業(yè)的發(fā)生。各分片負(fù)責(zé)人對本片的隱患排查、安全檢查、隱患處理要明確責(zé)任，明確防范工作重點。

(二)具體實施“六定”

“六定”是指領(lǐng)導(dǎo)定點、全員定責(zé)、監(jiān)管定位、排查定時、培訓(xùn)定期、獎懲定量。

1.領(lǐng)導(dǎo)定點

公司領(lǐng)導(dǎo)小組成員要經(jīng)常到一級大網(wǎng)格各子公司掛點指導(dǎo)，檢查安全生產(chǎn)情況。

執(zhí)行董事、經(jīng)理、副經(jīng)理要經(jīng)常到二級中網(wǎng)格工區(qū)掛點指導(dǎo)、檢查，要了解情況，幫助解決具體不安全問題。

各區(qū)長、安全員到小網(wǎng)格班組掛點指導(dǎo)、檢查，親自組織生產(chǎn)活動，解決具體不安全問題。

如上級網(wǎng)格組成人數(shù)不能滿足下級網(wǎng)格掛點需要，上級網(wǎng)格必須派機關(guān)其他職能人員參與網(wǎng)格管理。

2.全員定責(zé)

所有網(wǎng)格管理參與者嚴(yán)格實行“一崗雙責(zé)”，將安全生產(chǎn)責(zé)任落實到管理和生產(chǎn)過程的每一個環(huán)節(jié)，崗位和個人。層層簽訂責(zé)任書，明晰責(zé)任主體，分解責(zé)任指標(biāo)，建立健全企業(yè)安全生產(chǎn)責(zé)任制。

建立安全責(zé)任制，讓明確自己的職責(zé)并嚴(yán)格履行其職責(zé)和義務(wù)，高度樹立安全生產(chǎn)的思想。簽定聯(lián)保責(zé)任書，系統(tǒng)之間、工區(qū)之間、班組之間、班組成員之間相互監(jiān)督幫扶，形成抓安全人人有責(zé)的安全生產(chǎn)環(huán)境。

3.監(jiān)管定位

對每個區(qū)域、每個掌子面明確安全生產(chǎn)責(zé)任，實施有效監(jiān)管。橫向與縱向的區(qū)域劃分結(jié)合定員、定位、上至公司，下至作業(yè)面層層有監(jiān)管，層層有負(fù)責(zé)人。責(zé)任到人、分工明確、包干到位，做到管理無盲區(qū)，監(jiān)管清晰明了。

4.排查定時

公司每周組織一次安全抽查，由領(lǐng)導(dǎo)小組臨時抽取檢查子公司的工區(qū)。一級網(wǎng)格每天檢查一次二級網(wǎng)格，二級網(wǎng)格時時檢查三級網(wǎng)格。

公司安全部對重點部位，重要時段的事故隱患，在加強日常監(jiān)管的基礎(chǔ)上，定時排查，限時整改。對于可能產(chǎn)生意外的工段，必須在發(fā)現(xiàn)后立即向上級領(lǐng)導(dǎo)匯報并處理，最遲不得超過6小時，確保不發(fā)生意外事件;對一般可能存在危險的工區(qū)必須于發(fā)現(xiàn)后48小時內(nèi)處理，并通過負(fù)責(zé)人驗收;對情況復(fù)雜一時難以立即修復(fù)的工區(qū)，在采取安全措施后經(jīng)研究討論確定方案，一般在10天內(nèi)予以解決。

5.培訓(xùn)定期

對于一級網(wǎng)格責(zé)任人員，公司領(lǐng)導(dǎo)小組委托安全部定期培訓(xùn)并通報一周安全情況。對二級網(wǎng)格和三級網(wǎng)格的責(zé)任人員，定期定崗進行專業(yè)培訓(xùn)，確保持證上崗。

子公司要制定培訓(xùn)計劃，完善三級教育培訓(xùn)制度，理論與現(xiàn)場教育相結(jié)合的教育模式，進行專業(yè)輪訓(xùn)。每半年通過書面與實踐相結(jié)合的考核方法來完善、檢驗培訓(xùn)效果。

6.獎懲定量

由領(lǐng)導(dǎo)小組或上級網(wǎng)格每月組織一次考評工作，每季度進行一次評分。考核內(nèi)容主要是：

網(wǎng)格化管理建設(shè)情況;網(wǎng)格化管理執(zhí)行情況;是否發(fā)生安全事故。

考核成績按優(yōu)秀、良好、合格、不合格劃分為四個等次。90分及以上為優(yōu)秀，80—89分為優(yōu)良，70—79分為良好，60—69分為合格，60以下為不合格。

把每月考核情況納入安全生產(chǎn)管理目標(biāo)獎懲內(nèi)容，獎懲資金從各子公司風(fēng)險保證金支取。

第四篇：移動網(wǎng)絡(luò)安全防護方案建議書

XX單位網(wǎng)絡(luò)安全防護方案書

北京天融信公司長春辦事處

2011年9月

一． 前言

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,信息產(chǎn)業(yè)已經(jīng)成為人類社會的支柱產(chǎn)業(yè)，全球信息化已成為人類社會發(fā)展的大趨勢,由此帶動了計算機網(wǎng)絡(luò)的迅猛發(fā)展和普遍應(yīng)用。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。這些都使信息安全問題越來越復(fù)雜。所以網(wǎng)絡(luò)的安全性也就成為廣大網(wǎng)絡(luò)用戶普遍關(guān)心的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時進一步提高網(wǎng)絡(luò)的安全性，真正做到“既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全”這一問題已成為了網(wǎng)絡(luò)界積極研究的課題。

在我國，近幾年隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的普及和豐富，網(wǎng)絡(luò)安全的問題也日益嚴(yán)重，利用信息技術(shù)進行的高科技犯罪事件呈現(xiàn)增長態(tài)勢。根據(jù)國際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計，自1995年以來漏洞累計達到24313個，2006年第一季度共報告漏洞1597個，平均每天超過17個，超過去年同期2個。CNCERT/CC 2005年共整理發(fā)布漏洞公告75個，CNCERT/CC 2006年上半年共整理發(fā)布漏洞公告34個。從統(tǒng)計情況來看，2006年上半年漏洞報告數(shù)量仍處較高水平，大量漏洞的存在使得網(wǎng)絡(luò)安全總體形勢仍然嚴(yán)峻。

對信息系統(tǒng)的安全威脅，包括網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對這種挑戰(zhàn)。北京天融信公司作為中國信息產(chǎn)業(yè)的排頭兵，決心憑借自身成熟的安全建設(shè)經(jīng)驗，網(wǎng)絡(luò)安全系統(tǒng)出謀劃策。

隨著XX單位網(wǎng)絡(luò)化和信息化建設(shè)的發(fā)展，安全問題對于XX單位信息網(wǎng)絡(luò)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX單位業(yè)務(wù)平臺的穩(wěn)定性和業(yè)務(wù)的正常提供的一個重大問題，所以提升XX單位自身的安全性已經(jīng)成為不可忽視的問題。XX單位的領(lǐng)導(dǎo)充分認(rèn)識到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開展、配合XX單位各方面工作，決定對現(xiàn)有信息系統(tǒng)進行網(wǎng)絡(luò)安全技術(shù)改造。

本方案主要針對目前XX單位的最重要部分，即財務(wù)系統(tǒng)的安全進行重點防護，提出我們的觀點和意見。

二． 用戶現(xiàn)狀分析 1 用戶網(wǎng)絡(luò)現(xiàn)狀

目前XX單位的網(wǎng)絡(luò)主要是一套星形交換網(wǎng)絡(luò)，辦公網(wǎng)對外出口為互聯(lián)網(wǎng)，辦公網(wǎng)通過部署的一臺核心交換機分別為辦公網(wǎng)絡(luò)和財務(wù)網(wǎng)絡(luò)兩個子網(wǎng), 具體如下圖所示： 系統(tǒng)資源分析

XX單位網(wǎng)絡(luò)資產(chǎn)主要可以分為三大類： 物理資源； 軟件資源； 其他資源。物理資源：

網(wǎng)絡(luò)基礎(chǔ)設(shè)施：包括連接網(wǎng)絡(luò)的光纜、各個資源內(nèi)網(wǎng)電纜、路由器、交換設(shè)備、數(shù)據(jù)存儲服務(wù)器、光電轉(zhuǎn)換設(shè)備、個人電腦等。

系統(tǒng)運營保障設(shè)施：包括供電設(shè)施、供水設(shè)施、機房、防火設(shè)備、UPS、加濕器、防靜電設(shè)備等。軟件資源：

重要業(yè)務(wù)軟件，如業(yè)務(wù)應(yīng)用軟件以及其他基本的應(yīng)用辦公軟件； 計算機平臺軟件，包括操作系統(tǒng)、軟件開發(fā)平臺軟件、數(shù)據(jù)庫系統(tǒng)、WEB應(yīng)用軟件等；

工具軟件，如殺毒軟件、OFFICE辦公軟件、硬件驅(qū)動庫等。其他資源：

XX單位網(wǎng)絡(luò)中還包括其他重要的資產(chǎn)，如文檔資料等。這些資源在構(gòu)建信息安全保障體系時也應(yīng)當(dāng)被考慮。安全風(fēng)險分析

XX單位信息系統(tǒng)的建設(shè)，給XX單位辦公帶來了極大的便利，利用此信息平臺，極大的提高了辦公的效率，提高了事件處理響應(yīng)速度，同時我們也看到，系統(tǒng)的建設(shè)帶來了許多安全風(fēng)險，必然會受到來自外部或內(nèi)部的各種攻擊，包括信息竊取、病毒入侵和傳播等行為。針對內(nèi)部業(yè)務(wù)網(wǎng)和外部辦公網(wǎng)，要保證網(wǎng)絡(luò)的整體安全，就必須從分析攻擊的方式入手。攻擊行為一般包括偵聽、截獲、竊取、破譯等被動攻擊和修改、偽造、破壞、冒充、病毒擴散等主動攻擊。針對主動和被動攻擊，通過對XX單位網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)分析，我們認(rèn)為，網(wǎng)絡(luò)面臨的主要安全威脅包括：物理層安全風(fēng)險、網(wǎng)絡(luò)層安全風(fēng)險、系統(tǒng)層安全風(fēng)險、應(yīng)用層安全風(fēng)險：（1）

物理層安全風(fēng)險

我們所說的物理層指的是整個網(wǎng)絡(luò)中存在的所有的信息機房、通信線路、網(wǎng) 絡(luò)設(shè)備、安全設(shè)備等，保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個 網(wǎng)絡(luò)系統(tǒng)安全的前提，然而，這些設(shè)備都面臨著地震、水災(zāi)、火災(zāi)等環(huán)境事 故以及人為操作失誤、錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程，設(shè)備安 全威脅主要包括設(shè)備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、電源掉電、服務(wù)器宕機以及物理設(shè)備的損壞等等。這些都對整個 網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅，這些事故一旦出現(xiàn)，就會使整個網(wǎng)絡(luò)不可用，給內(nèi)網(wǎng)平臺造成極大的損失。

(A)信息機房周邊對設(shè)備運行產(chǎn)生不良影響的環(huán)境條件，如：周邊環(huán)境溫度、空氣濕度等。

(B)供電系統(tǒng)產(chǎn)生的安全威脅，UPS自身的安全性。

(C)各種移動存儲媒體(如軟盤、移動硬盤、USB盤、光盤等)在應(yīng)用后得不到及時的處置，也會造成機密信息的外泄。

(D)一些重要的數(shù)據(jù)庫服務(wù)器系統(tǒng)的存在著硬件平臺的物理損壞、老化等現(xiàn)象，導(dǎo)致數(shù)據(jù)的丟失。

(E)網(wǎng)絡(luò)安全設(shè)備有直接暴露在非網(wǎng)絡(luò)管理人員或外來人員的面前，外來人有可能直接使安全設(shè)備喪失功能，為以后的侵入打下基礎(chǔ)，如：直接關(guān)掉入侵檢測系統(tǒng)的電源、關(guān)掉防病毒系統(tǒng)等。

(F)外來人員及非網(wǎng)絡(luò)管理人員可以直接對一些設(shè)備進行操作，更改通信設(shè)備(如交換機、路由器)、安全設(shè)備(如更改防火墻的安全策略配置)等。（2）網(wǎng)絡(luò)層安全風(fēng)險

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測、竊聽等搜集信息，然后利用 IP欺騙、重放或重演、拒絕服務(wù)攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進行攻擊。（A）網(wǎng)絡(luò)設(shè)備存在的風(fēng)險

在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器、交換機等有可能存在著以下的安全威脅：（以最常用的交換機為例）

a)交換機缺省情況下只使用簡單的口令驗證用戶的身份，并且遠(yuǎn)程TELNET 登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。b)交換機口令的弱點是沒有計數(shù)器功能的，所有每個人都可以不限數(shù)的嘗 試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。c)每個管理員都可能使用相同的口令，因此，交換機對于誰曾經(jīng)作過什么 修改，系統(tǒng)沒有跟蹤審計能力。

d)交換機實現(xiàn)的協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用

來破壞網(wǎng)絡(luò)的設(shè)置，達到破壞網(wǎng)絡(luò)或為攻擊做準(zhǔn)備。

（B）網(wǎng)絡(luò)訪問的合理性

網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序，訪問的目標(biāo)資源是否受控等問題，都會直接影響到內(nèi)網(wǎng)平臺的穩(wěn)定與安全。如果存在網(wǎng)絡(luò)內(nèi)訪問混亂，外來人員也很容易接入網(wǎng)絡(luò)，地址被隨意使用等問題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下將，無法部署安全設(shè)備、對攻擊者也無法進行追蹤審計。

對于XX單位的網(wǎng)絡(luò)來講，嚴(yán)格地控制專網(wǎng)內(nèi)終端設(shè)備的操作及使用是非常必要的，例如，一位非法外聯(lián)的撥號用戶將會使在網(wǎng)絡(luò)邊界的防火墻設(shè)備的所有安全策略形同虛設(shè)。

（C）TCP/IP網(wǎng)絡(luò)協(xié)議的缺陷

TCP/IP協(xié)議是當(dāng)前網(wǎng)絡(luò)的主流通信協(xié)議，已成為網(wǎng)絡(luò)通信和應(yīng)用的實際標(biāo)準(zhǔn)。然而，基于數(shù)據(jù)流設(shè)計的TCP/IP協(xié)議自身存在著許多安全漏洞，在網(wǎng)絡(luò)發(fā)展的

早期，由于應(yīng)用范圍和技術(shù)原因，沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點。在網(wǎng)上辦公、網(wǎng)上文件審批、網(wǎng)上數(shù)據(jù)傳遞等活動中，對TCP/IP網(wǎng)絡(luò)服務(wù)的任一環(huán)節(jié)的攻擊，都有可能威脅到用戶機密，都可能使重要的信息，比如重要數(shù)據(jù)、重要的口令在傳遞過程中遭到竊聽和篡改。因此，針對網(wǎng)絡(luò)層安全協(xié)議的攻擊將給網(wǎng)絡(luò)帶來嚴(yán)重的后果。（D）傳輸上存在的風(fēng)險

從網(wǎng)絡(luò)結(jié)構(gòu)的分析上，我們看到，現(xiàn)今網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)間只是通過交換機連接，完全透明，那么當(dāng)數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡(luò)中進行傳遞和交換時，就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn)，具體來講對數(shù)據(jù)傳輸安全造成威脅的主要行為有：

竊聽、破譯傳輸信息：由于網(wǎng)絡(luò)間的完全透明，攻擊者能夠通過線路偵聽等 方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放環(huán)境中的路由或交 換設(shè)備，非法截取通信信息；

篡改、刪減傳輸信息：攻擊者在得到報文內(nèi)容后，即可對報文內(nèi)容進行修改，造成收信者的錯誤理解。即使沒有破譯傳輸?shù)男畔?，也可以通過刪減信息內(nèi) 容等方式，造成對信息的破壞，比如將一份報文的后半部分去掉，造成時間、地點等重要內(nèi)容的缺失，導(dǎo)致信息的嚴(yán)重失真；

重放攻擊：即使攻擊者無法破譯報文內(nèi)容，也無法對報文進行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進行重放攻擊。對于一些業(yè)務(wù) 系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會造成數(shù)據(jù)失真以及數(shù)據(jù)錯誤； 偽裝成合法用戶：利用偽造用戶標(biāo)識，通過實時報文或請求文件傳輸?shù)靡赃M 入通信信道，實現(xiàn)惡意目的。例如，偽裝成一個合法用戶，參與正常的通信 過程，造成數(shù)據(jù)泄密。

網(wǎng)絡(luò)中病毒的威脅：由于網(wǎng)絡(luò)間都為透明模式，一旦有機器中病毒，就會在 整個網(wǎng)絡(luò)上大量傳播，造成整個網(wǎng)絡(luò)癱瘓，造成無法辦公。（3）應(yīng)用層安全

操作系統(tǒng)安全即是主機安全。整個網(wǎng)絡(luò)是一個分布式交換的服務(wù)平臺，其最核心的和需要保護的是財務(wù)處網(wǎng)絡(luò)中的服務(wù)器，從操作系統(tǒng)本身來講，現(xiàn)在代碼的龐大和程序人員編碼的習(xí)慣等等都會給操作系統(tǒng)留下一些BUG，比如一些鮮為人知的如 WINGDOW 2000的3389、139等等漏洞，都會給財務(wù)處網(wǎng)絡(luò)帶來一定的風(fēng)險。一旦通過其操作系統(tǒng)的問題而造成的網(wǎng)絡(luò)的崩潰，其后果是不可設(shè)想的。

操作系統(tǒng)面臨的安全風(fēng)險主要來自兩個方面，一方面來自操作系統(tǒng)本身的脆弱性，另一方面來自對系統(tǒng)的使用、配置和管理，主要有：

? 操作系統(tǒng)是否安裝補丁和修正程序：由于技術(shù)開發(fā)原因，幾乎所有網(wǎng)絡(luò)中的操作系統(tǒng)在設(shè)計時就存在各種各樣的漏洞，大多數(shù)漏洞直接與系統(tǒng) 的安全有關(guān)，操作系統(tǒng)的開發(fā)公司發(fā)現(xiàn)后都安裝了補丁和修正程序，但這種補丁和修正程序不一定為用戶所知。

? 操作系統(tǒng)的后門：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的產(chǎn)品或者其他任何商用操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door，這將成為潛在的安全隱患。

? 系統(tǒng)配置：系統(tǒng)的安全程度與系統(tǒng)的應(yīng)用面及嚴(yán)格管理有很大關(guān)系，一個工作組的打印服務(wù)器和一個機要部門的數(shù)據(jù)庫服務(wù)器的選擇標(biāo)準(zhǔn)顯而易見是不可同日而與的，因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，以正確評定數(shù)據(jù)流向。比如,由于服務(wù)器需要進行日常的維護與管理及內(nèi)容更新，這就要求系統(tǒng)管理員或服務(wù)提供者能登錄到服務(wù)器上。對此類訪問服務(wù)器不應(yīng)拒絕。在使用防火墻之前，服務(wù)器通過簡單靜態(tài)的口令字進行身份鑒別（如使用服務(wù)器或數(shù)據(jù)庫的認(rèn)證機制），一旦身份鑒別通過，用戶即可訪問服務(wù)器。侵襲者可以通過以下幾種方式很容易地獲取口令字：

? 一是內(nèi)部的管理人員因安全管理不當(dāng)而造成泄密； ? 二是通過在公用網(wǎng)上搭線竊取口令字； ? 三是通過假冒，植入嗅探程序，截獲口令字； ? 四是采用字典攻擊方式，獲得口令字。

侵襲者一旦掌握了某一用戶口令字，就有可能得到管理員的權(quán)限并可造成不可估量的損失。

由于操作系統(tǒng)的配置牽涉到各個方面，上面運行的服務(wù)也各種各樣，故在系統(tǒng)的配置上很容易出錯，因此，我們認(rèn)為的系統(tǒng)的配置錯誤地很難避免，但是，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認(rèn)證（特別是在到達服務(wù)器主機之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

（4）應(yīng)用層安全

數(shù)據(jù)庫安全也是整個財務(wù)處網(wǎng)絡(luò)最為重要的應(yīng)用，同時也是需要重點考慮的問題之一。整個網(wǎng)絡(luò)主要的業(yè)務(wù)就是信息的共享和數(shù)據(jù)交換的方便性。從應(yīng)用系統(tǒng)的角度，占據(jù)本網(wǎng)絡(luò)整個信息平臺的就是數(shù)據(jù)庫，如果在數(shù)據(jù)庫上不能保證安全，整個本網(wǎng)絡(luò)的信息中心基本上就是空設(shè)防地帶，數(shù)據(jù)庫管理系統(tǒng)面臨的安全風(fēng)險有：

? 系統(tǒng)認(rèn)證口令強度不夠，過期賬號，登錄攻擊的風(fēng)險； ? 系統(tǒng)授權(quán)。帳號權(quán)限，登錄時間超時的風(fēng)險；

? 系統(tǒng)完整性。如：Y2K兼容，特洛伊木馬，審核配置，補丁和修正程序； ? 脆弱的帳號設(shè)置。在許多情況下，數(shù)據(jù)庫用戶往往缺乏足夠的安全設(shè)置，例如未禁用缺省用戶帳號和密碼，用戶口令設(shè)置存在脆弱性等。? 缺乏角色分離。傳統(tǒng)數(shù)據(jù)庫管理并沒有“安全管理員(Security Administrator)，這一角色，這就迫使數(shù)據(jù)庫管理員(DBA)既要負(fù)責(zé)帳號的維護管理，又要專門對數(shù)據(jù)庫執(zhí)行性能和操作行為進行調(diào)試跟蹤，從而導(dǎo)致安全管理效率低下。

? 缺乏審計跟蹤。數(shù)據(jù)庫審計經(jīng)常被DBA以提高性能或節(jié)省磁盤空間為由忽視或關(guān)閉，這大大降低了安全管理的效率。XX單位財務(wù)系統(tǒng)可能存在的風(fēng)險和問題

1)來自財務(wù)網(wǎng)絡(luò)外部的風(fēng)險

雖然財務(wù)網(wǎng)絡(luò)依托于XX單位的辦公網(wǎng)絡(luò)，但是財務(wù)網(wǎng)絡(luò)畢竟是獨立的網(wǎng)絡(luò)個體，如果沒有邊界防護將是危險的。財務(wù)網(wǎng)絡(luò)很容易遭到來自于辦公網(wǎng)絡(luò)可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓在Internet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對蠕蟲病毒在第一時間進行隔離，那么蠕蟲的攻擊

將會對網(wǎng)絡(luò)造成致命的影響。2)來自財務(wù)網(wǎng)絡(luò)外部的非授權(quán)訪問

非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。3)來自財務(wù)網(wǎng)絡(luò)內(nèi)部的風(fēng)險

目前財務(wù)網(wǎng)絡(luò)內(nèi)部的財務(wù)主服務(wù)器與財務(wù)辦公主機，混雜在一臺交換機上，這對于財務(wù)主服務(wù)器是完全不可取的，由于財務(wù)辦公主機的使用人員紛雜，計算機安全意識參差不齊，所以財務(wù)辦公主機的安全性和可靠性完全不能保證，而財務(wù)辦公主機與財務(wù)主服務(wù)器之間完全沒有任何防護手段。4)來自財務(wù)網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪問

對于財務(wù)處網(wǎng)絡(luò)向外部網(wǎng)絡(luò)的訪問沒有任何的限制，也是不可取的，針對不同用戶的不同訪問需求，應(yīng)給于不同的訪問權(quán)限。無限制的任由用戶使用現(xiàn)有的網(wǎng)絡(luò)資源，將會造成網(wǎng)絡(luò)品質(zhì)的整體下降。同時當(dāng)財務(wù)處網(wǎng)絡(luò)中的主機因蠕蟲原因大量向外發(fā)送數(shù)據(jù)包，沒有相應(yīng)安全防護設(shè)備，將造成包括辦公網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的癱瘓。同時，沒有完善的日志能力，對于日后的責(zé)任認(rèn)定也造成了很大的麻煩。

5)病毒的風(fēng)險

病毒的危險是現(xiàn)在網(wǎng)絡(luò)最需要解決的問題，目前的病毒傳播途徑多樣化，傳播方式智能化，決定了使用單一的防病毒軟件是無法完全解決病毒問題的，在網(wǎng)絡(luò)的邊界處，部署網(wǎng)關(guān)防護設(shè)備，可以有效地抑制病毒的傳播，尤其是當(dāng)出現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時候，網(wǎng)關(guān)防護設(shè)備可以有效地把蠕蟲病毒抑制在小范圍之內(nèi)，而不至于繼續(xù)擴散。6)沒有完善的日志系統(tǒng)

財務(wù)處網(wǎng)絡(luò)中數(shù)據(jù)的完整性，可靠性，要求對于任何一次訪問，都要有明確的記錄，以便日后審查使用，而目前XX單位的財務(wù)網(wǎng)絡(luò)中沒有這樣的能力，這對日后的究責(zé)是非常不利的 三．整體方案的設(shè)計

根據(jù)XX單位的現(xiàn)有網(wǎng)絡(luò)環(huán)境，分析可能存在的威脅和風(fēng)險，考慮通過部署

天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)來加固XX單位的信息網(wǎng)絡(luò)。

采用千兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在互聯(lián) 網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護，百兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)絡(luò)的邊界處，用于隔離財務(wù)網(wǎng)絡(luò)中的工作主機和內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中的服務(wù)器，通過天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)，保護服務(wù)器不受外來攻擊。

具體部署如下圖所示：

四．防火墻子系統(tǒng) 1 防火墻部署的意義

防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)區(qū)域邊界處檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護重要網(wǎng)絡(luò)區(qū)域安全的前提下，提供不同網(wǎng)絡(luò)區(qū)域間通信。通過使用防火墻過濾不安全的通信，提高網(wǎng)絡(luò)安全和減少主機的風(fēng)險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。設(shè)立防火墻的目的就是保護一個網(wǎng)絡(luò)區(qū)域不受來自另一個網(wǎng)絡(luò)區(qū)域的攻擊，防火墻的主要功能包括以下幾個方面：

（A）防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高網(wǎng)絡(luò)安全性，降

低受攻擊的風(fēng)險。

（B）防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計等），比分散管理更經(jīng)濟。

（C）防火墻強化安全認(rèn)證和監(jiān)控審計。因為所有進出網(wǎng)絡(luò)的通信流都通過防火

墻，使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù)。（D）防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器，即能防

外，又能防止內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中未經(jīng)授權(quán)主機對服務(wù)器區(qū)域的訪問。防火墻的安裝部署

防火墻部署的目的是隔離不同安全等級的網(wǎng)絡(luò)區(qū)域，所以我們把XX單位辦公網(wǎng)絡(luò)，XX單位財務(wù)網(wǎng)絡(luò)分別看作一個網(wǎng)絡(luò)區(qū)域，同時XX單位辦公網(wǎng)絡(luò)與財務(wù)網(wǎng)絡(luò)之外的所有節(jié)點看作另一個網(wǎng)絡(luò)區(qū)域，防火墻部署在兩個網(wǎng)絡(luò)區(qū)域之間，即部署在財務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的接口處。XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口處。防火墻的工作模式和接入方式

防火墻提供多種工作模式，包括透明接入，路由接入和混合接入。

? 連接方式：將百兆天融信防火墻的接口1連接財務(wù)網(wǎng)絡(luò)區(qū)域交換機，接口 2連接XX單位辦公網(wǎng)絡(luò)，接口3連接財務(wù)網(wǎng)絡(luò)服務(wù)器區(qū)域交換機，千兆天融信

防火墻接口1連接XX單位辦公網(wǎng)絡(luò)，接口2連接互聯(lián)網(wǎng)區(qū)域，這樣我們使用防火墻實現(xiàn)了各個安全區(qū)域的隔離作用。

? 工作模式：考慮到對XX單位辦公網(wǎng)絡(luò)和財務(wù)網(wǎng)絡(luò)的影響盡可能小，建議將 百兆防火墻配置成透明工作模式，即防火墻本身不參與路由轉(zhuǎn)發(fā)和運算，只提供訪問控制等防護功能，這樣對網(wǎng)絡(luò)中原有IP地址的配置影響小，互聯(lián)網(wǎng)與XX單位辦公網(wǎng)絡(luò)需要地址轉(zhuǎn)換，將配置成的路由工作模式。防火墻的配置和功能

1)通過防火墻隔離財務(wù)網(wǎng)絡(luò)的各個區(qū)域

通過防火墻的連接，原本屬于一個網(wǎng)絡(luò)（XX單位辦公網(wǎng)絡(luò)）的節(jié)點，被劃分為不同的網(wǎng)絡(luò)區(qū)域（財務(wù)處辦公區(qū)域、財務(wù)處服務(wù)器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等），通過對訪問請求的審核，我們隔離不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)連接，可以達到保護脆弱的服務(wù)、控制對財務(wù)服務(wù)器的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在工作主機訪問財務(wù)服務(wù)器時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可以設(shè)置成相應(yīng)的保護級別，以保證系統(tǒng)的安全。2)通過防火墻保護財務(wù)服務(wù)器

通過在防火墻上設(shè)置詳細(xì)的訪問控制規(guī)則，各個區(qū)域，各個IP節(jié)點間的通信，必須要符合防火墻的訪問控制規(guī)則，例如當(dāng)工作主機向服務(wù)器請求訪問時，也只能訪問服務(wù)器的相應(yīng)服務(wù)端口，在保護了服務(wù)器的同時，也清除了網(wǎng)絡(luò)中傳輸?shù)牟槐匾臄?shù)據(jù)。保證了整個業(yè)務(wù)網(wǎng)絡(luò)的純凈，提高了網(wǎng)絡(luò)的品質(zhì)。通過防火墻的阻斷功能，使得內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)各個區(qū)域不受到惡意的攻擊，攻擊者無法通過防火墻進行掃描、攻擊等非法動作。防火墻可防止攻擊者對重要服務(wù)器的TCP/UDP的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^外部網(wǎng)對重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊。測的功能.3)通過防火墻限制對服務(wù)器的訪問權(quán)限

通過在防火墻上進行嚴(yán)格的訪問控制，通過對不同的用戶進行分組，對于不同的用戶組，給予不同的訪問權(quán)限進行訪問服務(wù)器，減小用戶對于服務(wù)器可以進行操作的權(quán)限，極大地降低了服務(wù)器面臨的風(fēng)險。

4)通過防火墻限制財務(wù)網(wǎng)用戶向外的訪問

通常大多數(shù)用戶認(rèn)為從財務(wù)網(wǎng)絡(luò)向外部的訪問不會造成風(fēng)險和威脅，這種想法是錯誤的，例如反彈型木馬就是借助這種麻痹大意的想法進行侵入的。

缺乏安全控制的濫用互聯(lián)網(wǎng)絡(luò)，可能導(dǎo)致：組織內(nèi)部重要資料和秘密資料通過 BBS、Email、QQ 和 MSN 等途徑向外散發(fā)，或被別有用心的人截獲而加以利用，或是進行不當(dāng)互聯(lián)網(wǎng)訪問而引起組織內(nèi)部計算機感染木馬病毒，加大了組織重要及秘密信息的曝光率，給組織信息安全帶來隱患：對于政府、事業(yè)單位以及其他公共服務(wù)單位，如果互聯(lián)網(wǎng)管理的不夠完善，將會帶來極大信息安全隱患，例如經(jīng)濟等類型的重要的信息被通過非法渠道泄漏，此舉必然會有損組織的權(quán)威及名譽，并導(dǎo)致組織的公信力下降。對于公司企業(yè)等盈利性機構(gòu)而言，企業(yè)的機密信息等同于企業(yè)的生命。而在互聯(lián)網(wǎng)極度開放的今天，任何的疏忽都有可能導(dǎo)致企業(yè)機密信息外泄；而一旦發(fā)生企業(yè)機密信息外泄的情況，企業(yè)因此而投入了的大量人力物力將會付諸東流，此類案例在互聯(lián)網(wǎng)廣泛使用的今天是屢見不鮮的。

5)通過防火墻調(diào)整網(wǎng)絡(luò)使用效率

通過防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中如果有工作主機向服務(wù)器區(qū)域FTP的訪問、Web訪問等等，可以在防火墻中直接加載控制策略，使FTP訪問、Web訪問按照預(yù)定的帶寬進行數(shù)據(jù)交換。實現(xiàn)每個用戶、每個服務(wù)的帶寬控制，調(diào)整鏈路帶寬利用的效率。

6)通過防火前完善日志

通過防火墻可以采集所有流經(jīng)防火墻的數(shù)據(jù)，記錄到防火墻的日志服務(wù)器中，通過日志服務(wù)器的日志分析和統(tǒng)計功能，在對收集的事件進行詳盡分析及統(tǒng)計的基礎(chǔ)上輸出豐富的報表，實現(xiàn)分析結(jié)果的可視化；系統(tǒng)提供多達300多種的報表模板，不僅支持對網(wǎng)絡(luò)事件按條件統(tǒng)計，更提供了對流量等變化趨勢的形象表現(xiàn)；對于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式（柱狀圖、曲線圖），使管理員一目了然。同時采用多種告警方式，通知網(wǎng)絡(luò)管理人員。7)實現(xiàn)了重要財務(wù)工作人員直接訪問財務(wù)處網(wǎng)絡(luò)

通過天融信防火墻的訪問控制能力，我們可以控制各個訪問者訪問的權(quán)限，同時我們采用用戶名，口令，證書等驗證方式，徹底實現(xiàn)了對于訪問者身份驗證的目的。

五．入侵防御子系統(tǒng)

通常通過防火墻進行網(wǎng)絡(luò)安全防范。從理論上分，防火墻可以說是第一層安全防范手段，通常安裝在網(wǎng)絡(luò)入口來保護來自外部的攻擊。其主要防范原理為基于TCP/IP的IP地址和及端口進行過濾、限制。由于防火墻本身為穿透型（所有數(shù)據(jù)流需要經(jīng)過防火墻才能到達目的地），因此為了提高其過濾、轉(zhuǎn)發(fā)效率，通常不會對每個數(shù)據(jù)報文或者數(shù)據(jù)流進行過多的、細(xì)致地分析、檢查。但是恰恰很多符合防火墻的TCP/IP過濾安全策略的數(shù)據(jù)流或者報文中參雜著惡意的攻擊企圖。雖然目前一些防火墻增強了對于應(yīng)用層內(nèi)容分析的功能，但是考慮其因分析、處理應(yīng)用層內(nèi)容而導(dǎo)致的網(wǎng)絡(luò)延遲的增加，因此從其實際應(yīng)用角度來說，存在一些局限性。但是網(wǎng)絡(luò)入侵防御系統(tǒng)由于其以串接模式部署到現(xiàn)有網(wǎng)絡(luò)中，執(zhí)行各種復(fù)雜的應(yīng)用層分析工作。因此可以成為防火墻有效的擴展。同時自帶阻斷功能，可以實現(xiàn)整體的安全防范體系。1入侵防御產(chǎn)品概述

天融信公司新版本的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù)，它通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點進行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，安全地保護內(nèi)部IT資源。

網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵點，實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡(luò)行為，提供及時的報警及響應(yīng)機制。其動態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強大的協(xié)防體系，大大增強了用戶的整體安全防護強度。

2入侵防御系統(tǒng)產(chǎn)品特點 強大的高性能并行處理架構(gòu)

TopIDP應(yīng)用了先進的多核處理器硬件平臺，將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS（Topsec Operating System）系統(tǒng)，集成多項發(fā)明專利，形成了先進的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力，能夠勝任高速網(wǎng)絡(luò)的安全防護要求。

精確的基于目標(biāo)系統(tǒng)的流重組檢測引擎

傳統(tǒng)的基于單個數(shù)據(jù)包檢測的入侵防御產(chǎn)品無法有效抵御TCP流分段重疊的攻擊，任何一個攻擊行為通過簡單的TCP流分段組合即可輕松穿透這種引擎，在受保護的目標(biāo)服務(wù)器主機上形成真正的攻擊。TopIDP產(chǎn)品采用了先進的基于目標(biāo)系統(tǒng)的流重組檢測引擎，首先對到達的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機的操作系統(tǒng)類型進行流重組，然后對重組后的完整數(shù)據(jù)進行攻擊檢測，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。

準(zhǔn)確與完善的檢測能力

TopIDP產(chǎn)品的智能檢測引擎可分析網(wǎng)絡(luò)攻擊的組合行為特征來準(zhǔn)確識別各種攻擊，準(zhǔn)確性更高；可以智能地識別出多種攻擊隱藏手段及變種攻擊，帶來更

高安全性；通過智能化檢測引擎，能夠識別出多種高危網(wǎng)絡(luò)行為，并可以將此類行為以告警方式通知管理員，達到防患于未然的目的，帶來更高網(wǎng)絡(luò)安全性；同時新版TopIDP具有強大的木馬檢測與識別能力；完善的應(yīng)用攻擊檢測與防護能力；豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時的應(yīng)急響應(yīng)能力。豐富靈活的自定義規(guī)則能力

TopIDP產(chǎn)品內(nèi)置了豐富靈活的自定義規(guī)則能力，能夠根據(jù)協(xié)議、源端口、目的端口及協(xié)議內(nèi)容自行定義攻擊行為，其中協(xié)議內(nèi)容支持強大靈活的PCRE（兼容perl的正則表達式）語法格式，特定協(xié)議支持更多達10種，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于靈活的自定義規(guī)則能力，用戶可以輕松定義自己的應(yīng)用層檢測和控制功能。

可視化的實時報表功能

現(xiàn)實網(wǎng)絡(luò)中的攻擊行為紛繁復(fù)雜且瞬息萬變，TopIDP產(chǎn)品提供了可視化的實時報表功能，可以實時顯示按發(fā)生次數(shù)排序的攻擊事件排名，使網(wǎng)絡(luò)攻擊及其威脅程度一目了然。應(yīng)用配套的TopPolicy產(chǎn)品，可以實時顯示Top10攻擊者、Top10被攻擊者、Top10攻擊事件等統(tǒng)計報表，更可以顯示24小時連續(xù)變化的事件發(fā)生統(tǒng)計曲線圖。借助于可視化的實時報表功能，用戶可以輕松實現(xiàn)全網(wǎng)威脅分析。

3入侵防御產(chǎn)品的作用

在基于TCP/IP的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵防御系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵防御系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù)）。一旦入侵被檢測到，會引發(fā)某種響應(yīng)（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當(dāng)?shù)胤垂簦?/p>

利用防火墻技術(shù)，經(jīng)過精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低網(wǎng)絡(luò)安全風(fēng)險。但是，存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要入侵防御系統(tǒng)提供實時的入侵檢測及采取相應(yīng)的防護手

段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等，來保護電子政務(wù)局域網(wǎng)的安全。

入侵防御是防火墻等其它安全措施的補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的流量中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵防御被認(rèn)為是防火墻之后的第二道安全閘門，對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。

除了入侵防御技術(shù)能夠保障系統(tǒng)安全之外，下面幾點也是使用入侵防御的原因：

（1）計算機安全管理的基本目標(biāo)是規(guī)范單個用戶的行為以保護信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進行懲罰，有助于上述目標(biāo)的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。

（2）入侵防御可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進行非授權(quán)的訪問，尤其是連接到電子政務(wù)局域網(wǎng)的系統(tǒng)，而當(dāng)這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：

? 很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新

? 有的系統(tǒng)雖然可以及時得到補丁程序，但是管理員沒有時間或者資源進行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。

? 正常工作可能需要開啟網(wǎng)絡(luò)服務(wù)，而這些協(xié)議是具有漏洞，容易被攻擊的。

? 用戶和管理員在配置和使用系統(tǒng)時可能犯錯誤。

? 在進行系統(tǒng)訪問控制機制設(shè)置時可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯誤操作。

（3）當(dāng)黑客攻擊一個系統(tǒng)時，他們總是按照一定的步驟進行。首先是對系統(tǒng)或網(wǎng)絡(luò)的探測和分析，如果一個系統(tǒng)沒有配置入侵防御，攻擊者可以自

由的進行探測而不被發(fā)現(xiàn)，這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵防御，則會對攻擊者的行動帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標(biāo)系統(tǒng)的訪問，或者對安全人員報警以便采取響應(yīng)措施阻止攻擊者的下一步行動。

（4）入侵防御證實并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全管理方案時，通常需要證實網(wǎng)絡(luò)很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助于選擇保護網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。

（5）在入侵防御運行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設(shè)計與管理的問題暴露出來，在還沒有造成損失的時候進行糾正。

（6）即使當(dāng)入侵防御不能阻止攻擊時，它仍可以收集該攻擊的可信的詳細(xì)信息進行事件處理和恢復(fù)，此外，這些信息在某些情況下可以作為犯罪的佐證。

4入侵防御產(chǎn)品部署

我們建議在XX單位辦公網(wǎng)與財務(wù)網(wǎng)接入處部署一臺天融信百兆入侵防御系統(tǒng)，主要監(jiān)控不同區(qū)域和財務(wù)網(wǎng)服務(wù)器的安全狀況。在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處部署一臺天融信千兆入侵防御系統(tǒng).IDP的探測引擎應(yīng)串連部署在XX單位辦公網(wǎng)與財務(wù)網(wǎng), 互聯(lián)網(wǎng)與XX單位辦公網(wǎng)連接線路上。5入侵防御策略配置

1）配置事件庫升級

配置入侵防御系統(tǒng)進行定期的事件庫升級。2）配置服務(wù)器區(qū)網(wǎng)絡(luò)的全局預(yù)警策略

入侵防御系統(tǒng)將發(fā)現(xiàn)的針對XX單位財務(wù)網(wǎng)絡(luò)的入侵事件進行整理，并建立戰(zhàn)略級全局預(yù)警事件庫，進而可以據(jù)此對XX單位網(wǎng)絡(luò)做出有針對性的全局預(yù)警。

3）配置XX單位網(wǎng)絡(luò)特有的異常事件集策略

修改或定義XX單位網(wǎng)絡(luò)特有的事件，動態(tài)生成XX單位網(wǎng)絡(luò)自己的事件庫，提高入侵防御系統(tǒng)對XX單位網(wǎng)絡(luò)應(yīng)用的適應(yīng)性和事件檢測的準(zhǔn)確性。4）配置XX單位網(wǎng)絡(luò)異常流量分析策略

根據(jù)實時監(jiān)控XX單位網(wǎng)絡(luò)流量，進行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計情況，定義XX單位網(wǎng)絡(luò)流量異常的閥值，對異常流量進行實時報警。5）配置XX單位網(wǎng)絡(luò)內(nèi)容異常分析策略

配置內(nèi)容異常分析策略對XX單位網(wǎng)絡(luò)所設(shè)定的異常報警內(nèi)容進行多方位的定點跟蹤和顯示，對異常內(nèi)容進行實時報警。6）配置XX單位網(wǎng)絡(luò)安全報表策略

根據(jù)XX單位網(wǎng)絡(luò)中所需要的事件記錄內(nèi)容，建立報表模板。按照XX單位網(wǎng)絡(luò)中的需求選擇報表類型，定制相應(yīng)的報表。7）配置XX單位網(wǎng)絡(luò)蠕蟲分析策略

XX單位網(wǎng)絡(luò)中心針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進行配置網(wǎng)絡(luò)蠕蟲策略，包括Nimda蠕蟲、Sql slammer蠕蟲等。9）配置XX單位網(wǎng)絡(luò)入侵防御管理策略

針對XX單位網(wǎng)絡(luò)不同安全等級的入侵事件進行不同的響應(yīng)方式。包括記錄，報警，阻斷。

10）配置日志輸出策略

配置將日志輸出到綜合審計系統(tǒng)上的策略

六．防病毒網(wǎng)關(guān)系統(tǒng)

1XX單位網(wǎng)絡(luò)防毒需求分析和產(chǎn)品選型

通過對XX單位網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境和主要網(wǎng)絡(luò)業(yè)務(wù)狀況進行分析，我們認(rèn)為計算機病毒是威脅系統(tǒng)正常運行的一個重要因素。

當(dāng)前的病毒發(fā)展呈現(xiàn)出復(fù)合型威脅態(tài)勢，傳播方式多樣化、速度極快，在網(wǎng)絡(luò)中極易形成交叉感染的狀況，同時計算機病毒的危害也不再只限于破壞文件和本機，它甚至可以發(fā)動網(wǎng)絡(luò)攻擊，導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器崩潰。一旦病毒爆發(fā)，肯定會給網(wǎng)絡(luò)系統(tǒng)帶來很大損失。

針對混合型安全威脅攻擊，還需要加強邊界防毒的防范過濾，這樣才能更有效的保證系統(tǒng)的安全性、網(wǎng)絡(luò)的可用性。我們建議在XX單位財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與互聯(lián)網(wǎng)接入處部署天融信防病毒網(wǎng)關(guān)，工作在互

聯(lián)網(wǎng)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與財務(wù)網(wǎng)絡(luò)的接入口處。防病網(wǎng)關(guān)可以進行病毒特征碼升級。

通過配置防病毒網(wǎng)關(guān)，我們可以實現(xiàn)： ? 保證所有通過郵件/HTTP/FTP等方式進入外網(wǎng)辦公網(wǎng)網(wǎng)絡(luò)及用戶系統(tǒng)前都會通過防病毒模塊查殺毒。

2防病毒網(wǎng)關(guān)產(chǎn)品組成

防病毒網(wǎng)關(guān)主要是處理網(wǎng)絡(luò)中數(shù)據(jù)，對數(shù)據(jù)進行分析過濾，防止病毒代碼從設(shè)備中穿過滲透到內(nèi)部網(wǎng)絡(luò)。同時防止蠕蟲的攻擊，和垃圾郵件對正常辦公的干擾。

WEB方式管理主要是通過遠(yuǎn)程登陸防火墻，對防病毒網(wǎng)關(guān)進行配置和管理。用戶可以遠(yuǎn)程地管理硬件設(shè)備，對要處理的主要網(wǎng)絡(luò)協(xié)議進行設(shè)置，設(shè)置相應(yīng)協(xié)議中的方便管理員的操作和管理。同時用戶可以通過WEB方式查詢相應(yīng)的日志和生成所要的報表。

3防病毒網(wǎng)關(guān)產(chǎn)品部署

在本方案中將在XX單位辦公網(wǎng)絡(luò)與財務(wù)處網(wǎng)絡(luò)接入處部署天融信百兆防病毒網(wǎng)關(guān)，XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入處部署天融信千兆防病毒網(wǎng)關(guān),對來自互聯(lián)網(wǎng)的數(shù)據(jù)及財務(wù)網(wǎng)絡(luò)區(qū)以外的數(shù)據(jù)，進行病毒檢測，針對SMTP、POP3、FTP、HTTP等協(xié)議的數(shù)據(jù)流進行病毒掃描，從而提供網(wǎng)關(guān)層次的防毒能力。

天融信防病毒網(wǎng)關(guān)的部署,實現(xiàn)了真正的即插即用，不需要改動現(xiàn)有網(wǎng)絡(luò)的任何設(shè)置。部署的位置被確定，只需要為防病毒網(wǎng)關(guān)連接上網(wǎng)線，開啟電源開關(guān)就可以進行掃描。管理IP地址就是防病毒網(wǎng)關(guān)管理IP地址。安裝向?qū)笇?dǎo)管理員進行基本的設(shè)置，非常簡單易懂。

4防病毒網(wǎng)關(guān)產(chǎn)品功能

天融信防病毒網(wǎng)關(guān)處理所有主要的網(wǎng)絡(luò)協(xié)議，它能處理以下協(xié)議：SMTP、POP3、HTTP、FTP和IMAP。管理員還可以針對每個協(xié)議設(shè)置高級選項，例如：可以選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還可以在相應(yīng)的協(xié)議中設(shè)置一些附加功能的設(shè)置，如對關(guān)鍵字的過濾設(shè)置，對文件類型的掃描設(shè)置等。

七 系統(tǒng)層安全設(shè)計

1系統(tǒng)層安全目標(biāo)

? 操作系統(tǒng)：保障操作系統(tǒng)平臺的安全和正常運行，為應(yīng)用系統(tǒng)提供及時多樣的服務(wù)；

? 數(shù)據(jù)庫：保證數(shù)據(jù)庫不受到惡意侵害或未經(jīng)授權(quán)的存取與修改。? 應(yīng)用系統(tǒng)：能提供有效的訪問控制和身份驗證手段，保證應(yīng)用平臺的持續(xù)、可靠的提供服務(wù)。

2操作系統(tǒng)安全要求

操作系統(tǒng)是所有計算機終端、工作站和服務(wù)器等正常運行的基礎(chǔ)，操作系統(tǒng)的安全十分重要。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000/2003、OS/

2、NOVELL Netware等。這些操作系統(tǒng)大部分獲得了美國政府的C-2級安全性認(rèn)證。但是針對操作系統(tǒng)應(yīng)用環(huán)境對安全要求的不同，公司網(wǎng)絡(luò)對操作系統(tǒng)的不同適用范圍作如下要求：

在XX單位網(wǎng)絡(luò)中關(guān)鍵的服務(wù)器群和工作站（如數(shù)據(jù)庫服務(wù)器、WWW服務(wù)器、代理服務(wù)器、Email服務(wù)器、病毒服務(wù)器、DHCP主域服務(wù)器、備份服務(wù)器和網(wǎng)管工作站）應(yīng)該采用服務(wù)器版本的操作系統(tǒng)。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。網(wǎng)管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng)，如Windows NT Workstation/Server、Windows 2000等。

3操作系統(tǒng)安全管理

操作系統(tǒng)因為設(shè)計和版本的問題，存在許多的安全漏洞；同時因為在使用中安全設(shè)置不當(dāng)，也會增加安全漏洞，帶來安全隱患。在沒有其它更高安全級別的商用操作系統(tǒng)可供選擇的情況下，安全關(guān)鍵在于操作系統(tǒng)的安全管理。

為了加強操作系統(tǒng)的安全管理，要從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機安全、注冊表安全、RAS安全、數(shù)據(jù)安全、各應(yīng)用系統(tǒng)安全等方面制定強化安全的措施。

加強物理安全管理，系統(tǒng)要有能力限制對I/O設(shè)備（軟驅(qū)、打印設(shè)備）的訪問。例如：

? 如果沒有必要，建議去掉或鎖死軟盤驅(qū)動器，禁止DOS或其他操作系統(tǒng)訪問NTFS分區(qū)；

? 在服務(wù)器上設(shè)置系統(tǒng)啟動口令，設(shè)置BIOS禁用軟盤引導(dǎo)系統(tǒng)； ? 不創(chuàng)建任何DOS分區(qū)； ? 保證機房的物理安全。

? 下載安裝最新的操作系統(tǒng)及其它應(yīng)用軟件的安全和升級補丁。如用最新的Service Pack（SP6）升級Windows NT Server 4。0，包括所有補丁程序和后來發(fā)表的很多安全補丁程序。

? 掌握并使用操作系統(tǒng)提供的安全功能，關(guān)閉不必要的服務(wù)和端口，專用主機只開專用功能。例如：運行網(wǎng)管、數(shù)據(jù)庫重要進程的主機上不應(yīng)該運行如sendmail這種bug比較多的程序。網(wǎng)管網(wǎng)段路由器中的訪問控制應(yīng)該限制在最小限度，與系統(tǒng)集成商研究清楚各進程必需的進程端口號，關(guān)閉不必要的端口。

? Windows NT缺省安裝未禁用Guest賬號，并且給Everyone（每個人）工作組授予“完全控制”權(quán)限，沒有實施口令策略等，都給網(wǎng)絡(luò)的安全留下了漏洞。要加強服務(wù)器的安全，必須根據(jù)需要設(shè)置這些功能。? 控制授權(quán)用戶的訪問，實行“用戶權(quán)限最小化” 配置原則，將用戶以“組”的方式進行管理。例如：“用戶權(quán)限最小化” 配置。域里配置適當(dāng)?shù)腘TFS訪問控制可以增強網(wǎng)絡(luò)的安全。取消或更改缺省情況下的Everyone組的：“完全控制”權(quán)限，要始終設(shè)置用戶所能允許的最小的文件夾和文件的訪問權(quán)限。另外，不要共享任何一個FAT卷。? 避免給用戶定義特定的訪問控制。將用戶以“組”的方式進行管理是一個用戶管理的有效方法。如果一個用戶在公司里的角色變了，很難跟蹤并更改他的訪問權(quán)。最明智的作法就是為每個用戶指定一個工作組，為工作組指定文件、文件夾訪問權(quán)。如果要收回或更改某個用戶的訪問權(quán)，只要把該用戶從工作組中刪除或指定另一個工作組。

? 實施賬號及口令策略。配置口令策略，設(shè)置賬號鎖定。主要原則有：登錄名稱中字符不要重復(fù)或循環(huán)；至少包含兩個字母字符和一個非字母字符；至少有6個字符長度；不是用戶的姓名，不是相關(guān)人物、著名人物的姓名，不是用戶的生日和電話號碼及其他容易猜測的字符組合等；要

求用戶定期更改口令；給系統(tǒng)的默認(rèn)用戶特別是Administrator、Root改名，禁用Guest賬號；不要使用無口令的賬號，否則會給安全留下隱患；設(shè)置賬號鎖定，建議設(shè)置嘗試注冊三次后鎖定賬號，在合適的鎖定時間后被鎖定的賬號自動打開，或者只有管理員才能打開，用戶恢復(fù)正常。

? 控制遠(yuǎn)程訪問服務(wù)。遠(yuǎn)程訪問是黑客攻擊系統(tǒng)的常用手段，應(yīng)在系統(tǒng)中集成強認(rèn)證系統(tǒng)，如交換加密用戶ID和口令數(shù)據(jù)，使用專用的挑戰(zhàn)響應(yīng)協(xié)議（Challenge / Response Protocol），確保不會多次出現(xiàn)相同的認(rèn)證數(shù)據(jù)，阻止內(nèi)部黑客捕捉網(wǎng)絡(luò)信息包。同時，如條件允許，應(yīng)該使用回叫安全機制，并盡量采用數(shù)據(jù)加密技術(shù)，保證數(shù)據(jù)安全。

? 啟用登錄工作站和登錄時間限制。如果每個用戶只有一個PC，并且只允許工作時間登錄，可以把每個用戶的賬號限制在自己的PC上，且在工作時間內(nèi)使用，從而保護網(wǎng)絡(luò)數(shù)據(jù)的安全。

? 啟動審查功能。為防止未經(jīng)授權(quán)的訪問，應(yīng)該啟用安全審查功能，以便在事件查看器安全日志中記錄未經(jīng)授權(quán)的訪問企圖，以便盡早發(fā)現(xiàn)安全漏洞。但要結(jié)合工作實際，設(shè)置合理的審計規(guī)則，切忌審查事件太多，以免無時間全部審查安全問題。

? 定期檢查系統(tǒng)日志文件，在備份設(shè)備上及時備份。如對用戶開放的各個主機的日志文件全部定向到一個syslogd server上，集中管理。服務(wù)器可以由一臺擁有大容量存貯設(shè)備的Unix或NT主機承擔(dān)。

? 確保注冊表、系統(tǒng)文件、關(guān)鍵配置文件安全。首先，取消或限制對regedit。exe、regedit32。exe的訪問；其次，利用regedit。exe或文件管理器設(shè)置只允許管理員訪問注冊表，其他任何用戶不得訪問注冊表；定期檢查關(guān)鍵配置文件（最長不超過一個月）。? 制定完整的系統(tǒng)備份計劃，并嚴(yán)格實施。

? 制定詳盡的系統(tǒng)漏洞掃描以及匯報制度，及時更新系統(tǒng)安全補丁，完善系統(tǒng)安全設(shè)置，關(guān)閉不必要和危險的服務(wù)。

4應(yīng)用層系統(tǒng)安全

在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上如HTTP、FTP、TELNET、RLOGIN等服務(wù)。還有就是加強登錄身份認(rèn)證。確保用戶使用的合法性；并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

5數(shù)據(jù)庫系統(tǒng)安全

數(shù)據(jù)庫管理系統(tǒng)自身安全策略

目前的商用數(shù)據(jù)庫管理系統(tǒng)主要有MS SQL Sever、Oracal、Sybase、Infomix等。在XX單位網(wǎng)絡(luò)中的數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有如下安全能力：

? 自主訪問控制（DAC）：DAC用來決定用戶是否有權(quán)訪問數(shù)據(jù)庫對象； ? 驗證：保證只有授權(quán)的合法用戶才能注冊和訪問； ? 授權(quán)：對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限； ? 審計：監(jiān)視各用戶對數(shù)據(jù)庫施加的動作。

? 數(shù)據(jù)庫管理系統(tǒng)應(yīng)能夠提供與安全相關(guān)事件的審計能力： ? 試圖改變訪問控制許可權(quán)

? 試圖創(chuàng)建、拷貝、清除或執(zhí)行數(shù)據(jù)庫。

? 系統(tǒng)應(yīng)能在下面列出的級別對數(shù)據(jù)庫的訪問控制授權(quán)：

表；視圖；紀(jì)錄；或元素。

? 系統(tǒng)應(yīng)提供在數(shù)據(jù)庫級和紀(jì)錄級標(biāo)識數(shù)據(jù)庫信息的能力。

數(shù)據(jù)庫系統(tǒng)的增強加固技術(shù)

數(shù)據(jù)庫管理系統(tǒng)的安全保護策略實現(xiàn)了對數(shù)據(jù)庫中數(shù)據(jù)的有效保護。而現(xiàn)實中某些應(yīng)用環(huán)境需要保持當(dāng)前主流數(shù)據(jù)庫管理系統(tǒng)的某些特性，同時又需要其滿足一定程度的安全性要求，提供必需的安全功能。針對這種客觀需要，比較直接經(jīng)濟的方法是對數(shù)據(jù)庫及數(shù)據(jù)庫管理系統(tǒng)進行安全增強與加固。

對數(shù)據(jù)庫管理系統(tǒng)的安全功能增強主要是指對已存在的主流數(shù)據(jù)庫管理系統(tǒng)進行安全封裝與數(shù)據(jù)過濾，增加數(shù)據(jù)庫管理系統(tǒng)的安全功能，實現(xiàn)數(shù)據(jù)保密性、完整性、可訪問性，最終達到保護數(shù)據(jù)的目的。這些數(shù)據(jù)庫管理系統(tǒng)自身缺乏或部分缺乏必要的安全功能，可在其外部增加安全控制模塊，一個或多個安全功能子系統(tǒng)，封裝后對外展現(xiàn)安全特性。一種典型安全增強配置參見下圖?？梢愿郊?的子系統(tǒng)包括：

? 認(rèn)證子系統(tǒng) ? 訪問控制子系統(tǒng)

? 數(shù)據(jù)的加密存儲與解密子系統(tǒng) ? 傳輸加密子系統(tǒng) ? 審計子系統(tǒng)

方案總結(jié)

實施以上方案后，可以解決XX單位網(wǎng)絡(luò)的如下安全問題：

針對網(wǎng)絡(luò)層：在網(wǎng)絡(luò)邊界和內(nèi)部引入了訪問控制措施、對限制措施和強化邊界訪問的授權(quán)、受控。

針對應(yīng)用層：解決應(yīng)用的安全優(yōu)化，,對網(wǎng)絡(luò)攻擊的防護，對病毒的查殺。針對管理層：建議建立網(wǎng)絡(luò)安全管理組織，結(jié)合實際情況建立完整的一系列安全策略以及安全策略的發(fā)布、執(zhí)行、審查、修訂的相關(guān)流程。對網(wǎng)絡(luò)的安全事件進行統(tǒng)一的整理和歸納，確保網(wǎng)絡(luò)系統(tǒng)的整體安全。

第五篇：安全防護方案

安全施工方案

第一章工程概況

1.工程名稱：回龍觀xxx區(qū)工程 2.工程地點：回龍觀小區(qū) 3.結(jié)構(gòu)形式：磚混結(jié)構(gòu)

4.建設(shè)單位：xxxxx地產(chǎn)開發(fā)公司 5.施工單位：昌平xx十六部

6.監(jiān)理單位：北京xxxx設(shè)監(jiān)理有限責(zé)任公司 7.監(jiān)督單位：房屋修建工程質(zhì)量監(jiān)督站 第二章工程特點

xxxxxxxxxxxxxxxxxxxxxxx東南部，北起十里長街，南至黃土店北路，東起良莊街，西至站前街。

xxxxxxxxxxxxxxxxxxxxxxx質(zhì)粉土，室內(nèi)外高差1.05米，建筑面積8131.68平方米。

xxxxxx長69.55米，層高2.7米，總寬16.64米，總高18.5米。基礎(chǔ)標(biāo)高40.0米，持力層粘質(zhì)粉土，室內(nèi)外高差1.05米，建筑面積5893.14平方米。

xxxx號樓總長76.45米，層高2.7米，總寬19.14米，總高18.5米?；A(chǔ)標(biāo)高40.2米，持力層粘質(zhì)粉土，室內(nèi)外高差0.6米，建筑面積6427.07平方米。

xxxxx號樓總長61.45米，層高2.7米，總寬16.44米，總高18.5米?；A(chǔ)標(biāo)高40.2米，持力層粘質(zhì)粉土，室內(nèi)外高差0.6米，建筑面積5158.52平方米。

安全施工方案

本工程20xx年9月xx日開工，20xx年10月31日竣工。第三章 施工部署 一．施工部署：

本工程要求通過合理安排施工工序，以解決工期緊、混凝土量大的困難。結(jié)構(gòu)工程、裝修工程等，選擇有經(jīng)驗、有信譽的勞務(wù)分承包方負(fù)責(zé)施工，項目部對施工進行嚴(yán)格管理，保證工程質(zhì)量和工期要求。

二、施工工序：

先基礎(chǔ)工程施工，后主體施工，2003年5月份插入裝修水電配合施工進行。

第三章 施工準(zhǔn)備工作計劃

一、項目部組成

本工程實行項目經(jīng)理負(fù)責(zé)制，以項目合同和成本控制為主要內(nèi)容，以科學(xué)的管理和先進技術(shù)為手段，行使計劃、組織、指揮、協(xié)調(diào)、控制、監(jiān)督六項基本職能，全面履行合同，形成以全面質(zhì)量管理為中心環(huán)節(jié)，科學(xué)管理、開拓敬業(yè)的原則，實現(xiàn)對業(yè)主的承諾。

第四章 施工安全保證措施

一、安全目標(biāo)：

本工程地處回龍觀，施工中要認(rèn)真貫徹“企業(yè)負(fù)責(zé)、國家監(jiān)察、群眾監(jiān)督”的安全生產(chǎn)管理制度。

1.施工管理方針“安全第一，預(yù)防為主”。

安全施工方案

2.安全文明施工管理目標(biāo)：北京市文明樣板工地。3.預(yù)防目標(biāo)：杜絕重大人身傷亡事故和機械傷人，不發(fā)生火災(zāi)事故，確保安全施工。

二、施工安全措施： 1.施工安全管理目標(biāo)

堅持公司的質(zhì)量方針，以人為本實施科學(xué)管理，創(chuàng)建一流工程，真誠回報社會。

堅持“安全第一，預(yù)防為主”的安全生產(chǎn)方針，貫徹執(zhí)行有關(guān)各項法制、法規(guī)制度章程。

2.施工安全生產(chǎn)管理原則：

建立健全各項安全生產(chǎn)責(zé)任制，實行安全崗位目標(biāo)管理責(zé)任制原則。

3.施工安全生產(chǎn)措施；

實行各項工作誰主管、誰負(fù)責(zé)，管理責(zé)任效果與經(jīng)濟效益、效率，責(zé)任者進行獎勵；失職違法亂紀(jì)的事故責(zé)任者，嚴(yán)格處罰。第五章 施工管理措施

1.建立健全安全生產(chǎn)體系

成立以項目經(jīng)理為核心，以安全生產(chǎn)為中心。各項管理工作包括：施工安全、治安、消防、保衛(wèi)、環(huán)保衛(wèi)生、防汛、交通等。

2.建立健全的安全生產(chǎn)崗位責(zé)任制。

3.實行誰主管誰負(fù)責(zé)，安全目標(biāo)各項管理制度。

4.建立健全各項安全生產(chǎn)法規(guī)的有關(guān)各項安全章程、制度、安全施工方案

規(guī)定。

5.保證安全設(shè)備的投入及措施。（1）實行用電安全管理制度的措施。（2）臨時用電安全管理措施。（3）安全消滅火災(zāi)管理措施。

（4）施工安全管理措施，安全防護、安全預(yù)防措施。（5）現(xiàn)場施工文明管理責(zé)任及管理措施。（6）施工現(xiàn)場各項管理責(zé)任及管理措施。第六章 安全生產(chǎn)教育措施 安全生產(chǎn)教育目標(biāo)：

宣傳貫徹執(zhí)行安全生產(chǎn)教育制度，落實各項安全管理，各項安全教育檢測，使所有工程人員得到認(rèn)真學(xué)習(xí)國家有關(guān)建筑情況、安全生產(chǎn)方針、各項政策等法規(guī)、各項安全生產(chǎn)知識。

使所有人員首先要牢固樹立起安全生產(chǎn)第一、預(yù)防為主根本的安全主導(dǎo)思想和意識，搞好各項安全生產(chǎn)、實行安全生產(chǎn)、教育計劃。

1.施工人員執(zhí)行進場各項法制法規(guī)思想教育。

2.執(zhí)行上崗前安全教育，掌握崗位施工安全生產(chǎn)知識。3.特殊工種人員進場考試培訓(xùn)，持證上崗，安全技能教育。4.施工人員季節(jié)教育，節(jié)假日教育，特種事件、國情、治安、各項工程過程教育。

5.變換工地、工種教育、違章教育。

安全施工方案

6.全體教育、班組教育、個人教育、個人培訓(xùn)、集體培訓(xùn)、內(nèi)部培訓(xùn)和尾部培訓(xùn)措施等。

7.教育又分為班前班后教育和崗位教育：

安全教育內(nèi)容：主要是依據(jù)施工，針對現(xiàn)場環(huán)境，作業(yè)狀況，操作行為、安全程度、安全狀況、安全區(qū)域因素和環(huán)境變異，因季節(jié)變化和改變條件，改善針對安全管理制度、規(guī)定章程和勞動紀(jì)律等有關(guān)要求，全面進行教育。

具體：機械安全用電，防火災(zāi)、防大水、防毒、防暑、防痢疾，施工安全防護，預(yù)防高處墜落、樁機、落物、撞傷、扎傷、摔傷、坍塌、治安交通、環(huán)衛(wèi)、衛(wèi)生等。第七章 安全技術(shù)措施

根據(jù)實際情況，制定以下措施： 1.安全措施及安全防護措施。

2.腳手架、井字架、四口、五臨邊防護措施。3.防高處墜落措施。4.機械安全裝置、保護措施。

5.季節(jié)安全措施和各項技術(shù)交接措施。6.防觸電措施。

7.新設(shè)施、新環(huán)境和改變、改換、改善安全環(huán)境需要措施。8.安全技術(shù)交底。第八章 安全檢查制度

一、安全檢查內(nèi)容：

安全施工方案

1.查思想、查制度、查現(xiàn)場查措施、查隱患、查事故處理。2.重點檢查：勞動條件、安全措施、機電設(shè)備、勞動保護、人員違章、季節(jié)措施等。

3.檢查方式：定期和不定期檢查，以自檢為主，外檢為輔，有針對性的各項檢查和重點、重點專業(yè)檢查等。

4.嚴(yán)格檢查的“三定”整改原則措施，查明隱患問題，定人、定措施限期整改，并保證不發(fā)生同類現(xiàn)象。

二、安全驗收制度措施：

1.包括工程全面性安全防護措施，機電設(shè)備設(shè)施、安全裝置保險措施，培訓(xùn)、投入運行效應(yīng)檢查驗證。2.施工現(xiàn)場環(huán)境狀態(tài)，規(guī)定措施，規(guī)定行為等。例如：機械設(shè)備進場，運行過程驗收。

腳手架搭設(shè)驗收，防護措施驗收。責(zé)任制度落實，責(zé)任區(qū)各項管理等。環(huán)境衛(wèi)生保護管理制度落實執(zhí)行等。

第九章 施工安全措施

根據(jù)工程安全生產(chǎn)需要，故制定以下安全防護措施：

一、基礎(chǔ)土方開挖安全防護措施：

1.基礎(chǔ)開挖時，距槽邊1m以內(nèi)不準(zhǔn)堆土，并按規(guī)定1：0.2進行放坡。如未按規(guī)定放坡，也不加防護，則不準(zhǔn)施工。2.工人上下坑時，應(yīng)預(yù)先搭設(shè)好穩(wěn)固的階梯，避免人員上下時發(fā)生墜落，工人清槽時必須帶好安全帽。

安全施工方案

3.開挖深度超過2m的基坑，沿邊必須設(shè)兩道1.2m高牢固的護欄，并懸掛危險標(biāo)志，夜間還應(yīng)設(shè)有紅色標(biāo)志燈，禁止人員在坑下休息。

4.施工中，施工人員要經(jīng)常注意邊坡是否有裂縫、滑坡現(xiàn)象，一旦發(fā)現(xiàn)應(yīng)立即停止作業(yè)，帶進行處理后才能繼續(xù)進行施工。5.在基礎(chǔ)土方開挖用機械開挖時，挖掘機應(yīng)停放在平坦堅實的地面上，以保證回轉(zhuǎn)機械的正常工作。

6.當(dāng)鏟斗未離開工作面時，禁止挖掘機轉(zhuǎn)動，在挖掘機轉(zhuǎn)動時，不得用鏟對工作面進行側(cè)面沖擊或用鏟斗的側(cè)面沖擊土壤。7.在挖掘機工作時鏟斗桿下放不得有人穿越和停留，當(dāng)鏟斗接觸地面時禁止挖掘機轉(zhuǎn)動，人機配合適當(dāng)。

8.挖掘機移動時，動臂應(yīng)放在行走方向，鏟斗距地下不得超過1m，顫抖滿載時禁止移動。

9.挖掘前要了解地下有無埋設(shè)物，要注意不要挖壞底下埋設(shè)物。

二、腳手架支搭安全防護措施：

1.鋼管腳手架應(yīng)用外徑48-51mm，壁厚3-3.5mm，無嚴(yán)重銹蝕、壓扁或裂紋的鋼管。

3.結(jié)構(gòu)腳手架的立桿間距不得大于1.5m，大橫桿間距不得大于1.5m，小橫桿間距不得大于1m。

4.腳手架必須按樓層與結(jié)構(gòu)拉接牢固，拉節(jié)點按兩步三跨設(shè)置。5.腳手架的操作面必須滿鋪腳手板，離墻面不大于200mm，不得有空隙和探頭板、飛跳板，腳手板下層要設(shè)置水平網(wǎng)，操作面

安全施工方案

兩側(cè)應(yīng)設(shè)兩道護身欄和一道擋腳板或護身欄，立掛安全網(wǎng)，下口封嚴(yán)，防護高度為1.2m。《詳見腳手架搭設(shè)方案》

三、施工現(xiàn)場掛設(shè)安全標(biāo)志、標(biāo)語，放置于大門口及建筑物通道口處等相關(guān)位置。

四、安全網(wǎng)防護措施：

1.新網(wǎng)必須有產(chǎn)品質(zhì)量合格證報告，多張網(wǎng)連接使用時，相臨部分應(yīng)靠近或重疊，連接繩材料與網(wǎng)相同，強力不低于其網(wǎng)繩強力。

2.安裝立網(wǎng)時，安裝平面與水平垂直，立網(wǎng)底部與腳手架全部封嚴(yán)。

3.保證安全網(wǎng)受力均勻，必須經(jīng)專人驗收合格后才能使用。4.拆除安全網(wǎng)必須在有經(jīng)驗人員的嚴(yán)密監(jiān)督下進行。拆網(wǎng)應(yīng)自上而下，同時采取防墜落措施。

五、“四口”和“五臨邊”防護措施

樓梯平臺口：在樓梯口處設(shè)兩道防護欄或制作專用的防護架隨層架設(shè)。

出 入 口：在建筑物的出口處搭長3——6米，寬于通道口各1米的防護棚，棚頂應(yīng)滿鋪不小于5厘米厚的腳手板，非出入口和出入口通道兩側(cè)必須封嚴(yán)，嚴(yán)禁人員出入。

預(yù) 留 洞口：1.5 *1.5m以下的孔洞，應(yīng)預(yù)埋通長鋼筋網(wǎng)并加固定蓋板；1.5 *1.5m以上的孔洞，四周必須設(shè)兩道

安全施工方案

護身欄桿，中間支搭掛安全網(wǎng)。

五臨邊安全防護

1、建筑施工中的五臨邊是指：深度超過2米的槽坑溝的四屋結(jié) 夠樓層的周邊；井字架和腳手架與建筑物的通道兩側(cè)邊；樓梯口 的樓段邊；陽臺、挑平臺、上料平臺的周邊。

2、臨邊防護必須符合下列規(guī)定：

（1）臨邊的防護都必須設(shè)置防護欄。

（2）分層施工的樓梯口和樓梯邊，必須臨時安裝護欄。頂層樓梯口應(yīng)隨工程結(jié)構(gòu)進度安裝正式防護欄桿。

（3）井架和腳手架與建筑物通道兩側(cè)邊，必須設(shè)防護欄桿。地面通道上部應(yīng)設(shè)安全防護棚。

（4）各種垂直運輸接料平臺，除兩側(cè)設(shè)防護為欄外，平臺口還應(yīng)設(shè)安全門。

（5）鋼筋橫杠上杠直徑不小于16mm，下桿直徑不小于14mm。欄桿直徑不小于18mm，采用電焊或鋼絲綁扎牢固。

（6）鋼管橫桿及欄桿柱均采用腳手管，以扣件固定。

3、搭設(shè)臨邊防護欄桿必須符合下列規(guī)定；

（1）防護欄桿應(yīng)由上、下兩道橫桿及欄桿柱組成，上、下橫桿離地面為0.6m和1.2m。坡度大的屋面，防護欄桿應(yīng)高1.5m，并加掛安全網(wǎng)。

（2）防護欄必須自上而下用安全網(wǎng)封嚴(yán)。

安全施工方案

上料平臺兩側(cè)護欄必須自上而下加掛安全網(wǎng)。

六、提升架安全防護措施

1.龍門架搭設(shè)方法和要求必須嚴(yán)格按照搭設(shè)方案進行。2.龍門架首層四周用鋼管搭設(shè)防護井架，并掛立網(wǎng)封閉，禁止人員通行，首層進料口上方設(shè)寬2m，長3m的護頭棚,頂板滿鋪5cm腳手板，兩側(cè)封閉。

3.龍門架按樓層與建筑物進行剛性拉接，高度在15m處設(shè)一組攬風(fēng)繩，設(shè)專用地錨，用花籃螺絲調(diào)節(jié)松緊，鉤口封死，鋼絲繩連接不得少于3個繩卡，U型彎要卡在短鋼繩上，并將短繩直徑壓凹2/5-1/3，防止鋼絲繩受壓拉脫。

4.龍門架的吊盤進出料口設(shè)安全門，兩側(cè)封死，每層卸料平臺設(shè)安全門，兩側(cè)綁一道護身欄（1.2m高），立掛安全網(wǎng)，吊盤設(shè)定拉桿裝置，在距天梁之間的垂直距離不小于2m，設(shè)超高限位器，防止沖頂。

5.卷揚機按規(guī)定埋設(shè)地錨，卷桶與導(dǎo)向滑輪垂直對正，鋼絲繩過路加遮護，導(dǎo)向滑輪單設(shè)地錨，不得固定在架子上，不準(zhǔn)使用開口滑輪，卷揚機到龍門架的距離不得少于15m。

七、施工機械防護措施

施工機械進場時，安全裝置不良的設(shè)備不得進場，現(xiàn)場每月對施工機械定期進行檢測、維修、和保養(yǎng)，每半年進行中等保養(yǎng)一次，每年冬季大修保養(yǎng)一次，機械專人使用，專人負(fù)責(zé)，其他人不得隨意使用，機手在每天使用前，要先檢查一遍機械狀況，經(jīng)試運

安全施工方案

轉(zhuǎn)后，要進行全面清理保養(yǎng)，禁止帶病使用，操作人員嚴(yán)格按操作規(guī)程操作。1.卷揚機安全防護：

（1）作業(yè)前檢查卷揚機與地面固定情況，防護措施，電器、線路、制動裝置和鋼絲繩等全部合格方可使用。

（2）以動力正反轉(zhuǎn)的卷揚機，卷筒旋轉(zhuǎn)方向應(yīng)與操縱開關(guān)上指示的方向一致。

（3）卷揚機制動操縱桿的行程范圍內(nèi)不得有障礙物，卷筒上的鋼絲繩應(yīng)排列整齊，如發(fā)現(xiàn)重疊或斜繞時，停機重新排列，嚴(yán)禁在轉(zhuǎn)動中用手去撿、腳踩鋼絲繩。

（4）作業(yè)中，任何人不得跨越正在作業(yè)的卷揚機，休息時物件或吊籠應(yīng)降至地面；作業(yè)中，如遇停電，應(yīng)切斷電源，將提升物降至地面。

2.電鋸、電刨安全防護：（1）圓盤鋸安全防護：

A.鋸片上方必須安裝保險擋板和防護擋網(wǎng)，離齒10-15mm處，必須安裝分料器，鋸片的安裝應(yīng)保持與軸同心。

B.鋸片必須鋸齒尖銳，不得連續(xù)缺齒兩個，裂紋長度不得超過20mm，裂縫末端應(yīng)防止裂孔。

C.如鋸線走偏，應(yīng)逐漸糾正不得用力猛扳，以免損壞鋸片。D.操作人員不得站在鋸片旋轉(zhuǎn)離心力面上操作，手不得跨越鋸片，鋸片溫度過高時，應(yīng)用水冷卻，直徑600mm以上的鋸片，安全施工方案

在操作中應(yīng)噴水冷卻。（2）平刨安全防護：

A.使用前檢查機械刨刀安裝是否緊固安全防護罩是否齊全，電源線漏電保護器是否有效，確認(rèn)無問題后方可開機操作。B.平刨運轉(zhuǎn)后，機手不準(zhǔn)調(diào)試，檢修或清理刨刀，衣袖要扎緊，不準(zhǔn)帶手套，防止發(fā)生意外。

C.使用時不準(zhǔn)將手伸進安全擋板內(nèi)側(cè)，禁止摘掉安全擋板操作，手指不準(zhǔn)按在料上面，刮小面時，手可以按在料上面或側(cè)面，單手指必須在側(cè)面的上半部，而且必須離開刨口至少3-6cm以上。禁止一只手放在料后面推料，按在料上面的手經(jīng)過刨口時，用力輕壓。15cm以下的短料不準(zhǔn)上手刨。

D.加工薄、短和窄料時，必須使用擋板或推棍。不得用手直接推料，防止刨手。

（3）禁止在操作棚內(nèi)吸煙或用明火，工作完畢將鋸末、刨花打掃干凈，段電時鎖好閘箱后，方可離開。（4）電焊機安全防護：

A.電焊機應(yīng)放在干燥絕緣好的地方，在使用前檢查一次，二次線絕緣是否良好，接線處是否有防護罩，焊鉗是否完好，外殼是否有接零保護確認(rèn)無問題后方可使用，一次線不得長于5m，二次線不得長于30m，必須安裝二次空載漏電保護器。

B.在潮濕的地溝、管道內(nèi)施焊時，應(yīng)采取絕緣措施，可墊絕緣板和橡膠皮，穿絕緣鞋帶絕緣手套操作。

安全施工方案

C.焊接時操作人員必須帶絕緣手套，穿絕緣鞋，焊接時必須雙線接地線，不準(zhǔn)用裸導(dǎo)線，應(yīng)用多股銅芯電纜線，更不能短路焊接。D.操作時必須有動火證，設(shè)消防器材，并設(shè)專人看護，不能借路焊接。

E.電焊工必須持證上崗操作，電焊機設(shè)專用開關(guān)箱，不準(zhǔn)將電焊機放在手推車上使用，工作結(jié)束后，切斷電源，檢查操作地點，確認(rèn)無引火災(zāi)危險方可離開。（5）氣焊安全防護

A、施焊場地周圍除易燃易爆物品或進行覆蓋、隔離。B、氧氣瓶應(yīng)有防震膠圈，旋安全帽，避免碰撞和劇烈震動，并防暴曬，凍結(jié)后應(yīng)用熱水加熱，嚴(yán)禁用火烤。

C.點燃時焊槍口不準(zhǔn)對人，正在燃燒的焊槍不得放在工件上，焊槍帶有乙炔和氧氣時，不準(zhǔn)放在金屬容器內(nèi)，以防氣體溢出，發(fā)生燃燒事故。

D.工作完畢后，應(yīng)將氧氣瓶氣閥關(guān)好，擰上安全罩，檢查操作場地，確定無著火危險方準(zhǔn)離開。（6）切斷機安全防護：

A．操作前檢查漏電保護器是否靈敏，電源接線是否正確，各電器部分絕緣是否良好，傳動部位是否有防護罩，機身是否可靠的接零保護，確定無問題后方可使用。

B.使用前必須空車試轉(zhuǎn)，確認(rèn)無問題后方可正式開始工作。C.切斷短料時，必須鉗子加緊后送料，防止末端擺動傷人，當(dāng)切

安全施工方案

斷長料時，應(yīng)兩人操作，機械運轉(zhuǎn)過程中，禁止進行調(diào)整，檢修和清掃。

D．更換刀片和檢修時，先斷電后在更換，加工好的鋼筋應(yīng)碼放整齊，對段下的鋼筋頭必須清理干凈，加工完后拉閘，鎖好閘箱后方可離開。

（7）鋼筋彎曲機防護：

A.工作前檢修電源線部件和彎曲中心軸是否良好，漏電保護器和接零保護有效，并先空轉(zhuǎn)，確認(rèn)無問題方可使用。

B.彎曲較長的鋼筋時應(yīng)兩人扶持，兩人動作一致，不得任意拉拽，防止傷人。

C.更換彎曲機中心軸要先斷電，不得在運轉(zhuǎn)時更換和修理，防止傷人。

（8）振搗棒安全防護：

A.使用前檢查不見和軟軸，接線是否正確，試運轉(zhuǎn)后，方可使用。B.單設(shè)電源線和電源箱，箱內(nèi)要有漏電保護器，電機外殼做好接零保護，工作時兩人操作，一人持棒，一人看機，隨時挪電極，不得拖拉。

C.隨電機的電纜線不得捆在架管和鋼筋上，防止破損漏電。D.用完振搗棒先斷電再盤好電纜線，電機放在干燥處，防止受潮造成電機燒毀現(xiàn)象。

E.工作時戴好絕緣手套穿好絕緣鞋。（9）蛙式打夯機安全防護：

安全施工方案

A．夯機使用前檢查絕緣、線路漏電保護器，定向開關(guān)，皮帶，偏心缺等，確認(rèn)無問題后方可使用。

B.夯機操作時兩人操作，一人扶夯把，一人整理電線，防止夯頭打擊電源，發(fā)生觸電事故。

C.夯機不得在凍土、堅石、碎磚石、固土上夯打，夯機拐彎時不得猛拐或撒把不扶任其行走。

D.隨機電源線應(yīng)保持3-4m余量，發(fā)現(xiàn)電纜扭結(jié)，纏繞破裂時，及時斷電，停止作業(yè)，馬上修理。E.操作者帶絕緣手套穿絕緣鞋。

F.漏電動作電流不得大于15Ma，時間0.1S。（10）塔吊安全防護： A.塔吊機手必須持證上崗。

B.起重機安裝后，在無何載情況下，塔身與地面垂直偏差值不超過3‰。

C.起重機設(shè)專用配電箱，電源開關(guān)應(yīng)符合規(guī)定要求，電纜線無破損現(xiàn)象。

D.起重機的塔身上，不得懸掛標(biāo)語牌。

E.起重機的地基必須經(jīng)過砼澆注后，能承受工作狀態(tài)和非工作狀態(tài)的最大荷載，并能滿足起重機的穩(wěn)定性要求。

F.起重機必須證件齊全方可進場，并辦理安裝后的所有手續(xù)后方可使用，起重機的五限位，三寶險必須齊全、靈敏。第十章

現(xiàn)場臨時用電安全

安全施工方案

1.施工現(xiàn)場臨時用電，必須用專職電工進行安裝、架設(shè)、維修和檢測，其他人員禁止私設(shè)自動用電器設(shè)備。

2.現(xiàn)場電工必須每天檢查用電情況，出現(xiàn)問題立即解決，防止觸電事故發(fā)生。

3.施工現(xiàn)場的所有機械設(shè)備，手持電動工具等必須按照建設(shè)部頒發(fā)的《施工現(xiàn)場臨時用電安全技術(shù)規(guī)范》的要求，做好三相五線制，接零保護。

4．現(xiàn)場電工必須嚴(yán)格按照操作規(guī)程進行工作，防止任何事故的發(fā)生。

5．現(xiàn)場電工必須嚴(yán)格按照操作規(guī)程進行操作，穿戴好絕緣防護用品，本著對工作高度負(fù)責(zé)的精神態(tài)度進行工作，防止任何事故的發(fā)生。

6．工地負(fù)責(zé)人不定期檢查現(xiàn)場用電情況，如發(fā)現(xiàn)嚴(yán)重事故隱患，將根據(jù)工地制定的規(guī)章制度和處罰措施。對電工進行處罰?！对斠娕R時用電施工方案》 第十一章現(xiàn)場防雷措施

現(xiàn)場施工樓外腳手架設(shè)一組防雷接地裝置，接閃器用直徑25mm的鍍鋅圓鋼制成，用來連接接閃器和接地釬子，接地電阻不大于4Ω，由電工定期搖測作好記錄。塔吊防雷接地裝置，詳見《塔吊施工方案》。

第十二章 現(xiàn)場消防保衛(wèi)措施

安全施工方案

1．現(xiàn)場建立逐級消防保衛(wèi)責(zé)任制，確定工地各級人員在消防保衛(wèi)安全工作中的權(quán)利、義務(wù)和應(yīng)負(fù)的責(zé)任建立健全的組織。2．建立定期檢查制度，每15天檢查一次，發(fā)現(xiàn)問題立即整改。3．建立義務(wù)消防組織和義務(wù)消防隊，做到招之即來。

消防小組名單

組

長：xxxx 副組長：xxxxxxxxxxxxxxx 組

員：xxxxxxxxxxxxxxxxx、4．現(xiàn)場設(shè)專職消防保衛(wèi)干部，具體負(fù)責(zé)現(xiàn)場治安防火工作，檢查監(jiān)督各級防火制度的落實，實施糾正違紀(jì)違反消防條例規(guī)定的行為，領(lǐng)導(dǎo)保安人員執(zhí)行警衛(wèi)任務(wù)。

5．實行逐級防火安全責(zé)任制，與各施工隊簽定防火安全責(zé)任書，組織各隊學(xué)習(xí)消防知識，施工人員進行防火安全知識考試同時建立治保組織。組織班組設(shè)專職負(fù)責(zé)人負(fù)責(zé)班組的各級防火工作。

6.嚴(yán)格執(zhí)行市政府的有關(guān)規(guī)定和消防條例，工程內(nèi)不準(zhǔn)設(shè)材料倉庫，現(xiàn)場材料必須使用防火材料搭設(shè)，禁止使用可燃材料，情況特殊須上報上級主管嚴(yán)格審批。強化管理確保安全。7.現(xiàn)場根據(jù)情況在施工現(xiàn)場設(shè)3個消火栓，配定配起水龍帶和水槍，消防設(shè)施3m內(nèi)不得堆放物料?，F(xiàn)場根據(jù)施工現(xiàn)場的平面圖設(shè)5組5－5編制消防器材，消防器材采用干粉型滅火器，以適應(yīng)施工現(xiàn)場的防火需要。

安全施工方案

8.各種明火作業(yè)前，必須有消防安全交底，嚴(yán)格用火審批制度特殊工種必須持證上崗。電氣焊時必須配備看火人員和放火器材，檢查作業(yè)面，防止火星四濺。

9.現(xiàn)場用電符合規(guī)定嚴(yán)格控制電源，嚴(yán)禁亂拉亂接和使用電爐、高功率電熱器等。

10.每月一次消防保衛(wèi)安全會，搞好宣傳，加強防火的重要性，提高放火意識，把防火意識放在首位確保工程安全進行。11.嚴(yán)格控制可燃材料進入施工現(xiàn)場，搞好文明施工，爭創(chuàng)文明樣板工地，為首都建設(shè)作出貢獻。

義務(wù)消防隊員

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 第十三章 現(xiàn)場施工作業(yè)人員的個人防護

1.進入施工現(xiàn)場的所有人員必須戴好安全帽，高出作業(yè)人員，在沒有可靠的防護設(shè)施情況下，必須系安全帶，不準(zhǔn)穿拖鞋，塑料鞋等易滑鞋，及酒后和身體患病有礙安全時，禁止登高作業(yè)。

2.立體交叉作業(yè)時，要有嚴(yán)密的防護隔離措施，設(shè)專人監(jiān)護，否則施工人員有權(quán)拒絕施工。

3.剔槽磨削和使用木工電鋸、平刨時，操作人員要戴防護鏡和口罩，使用木工電鋸平刨時，操作人員不準(zhǔn)帶手套，防止將手套卷入。

安全施工方案

4.使用打夯機、電焊機、手持電動工具等必須保證絕緣良好，操作人員必須戴好防護用品，特種作業(yè)人員，必須經(jīng)過專業(yè)培訓(xùn)，持證上崗，嚴(yán)禁違章作業(yè)。

5.現(xiàn)場所有施工作業(yè)人員，在工作中嚴(yán)禁打鬧、高空拋物、乘吊盤上下、攀登腳手架和擅自動用電器機械設(shè)備，杜絕事故發(fā)生。第十四章 文明施工

一、總則

1.文明施工是一個系統(tǒng)工程，貫穿于項目施工的始終，它是施工現(xiàn)場綜合管理的體現(xiàn)，涉及每個員工的生產(chǎn)、生活及工作環(huán)境。2.在施工過程中，自覺的形成環(huán)保意識，要創(chuàng)造良好的生產(chǎn)環(huán)境，工作設(shè)備噪音均控制在國家和市允許范圍。

二、實施責(zé)任

1.項目經(jīng)理是文明施工的第一責(zé)任者，工程部負(fù)責(zé)文明施工。2.區(qū)域人員直接負(fù)責(zé)責(zé)任區(qū)的文明施工。

3.設(shè)專職文明施工管理員，專門負(fù)責(zé)現(xiàn)場文明施工。

三、文明施工管理要點 1.總平面管理

（1）分基礎(chǔ)、結(jié)構(gòu)、裝修階段，合理安排現(xiàn)場平面圖。（2）明確表示臨電、臨水、消防管線、排水管線和道路的位置。（3）材料、構(gòu)件、模板、成品、半成品等按總平面圖劃分位置，分類整齊存放，每天做到工完場地清。

安全施工方案

2.對施工現(xiàn)場進行設(shè)計和規(guī)劃，以確保文明工地的實現(xiàn)。3.嚴(yán)格遵守有關(guān)消防、保衛(wèi)方面的法令、法規(guī)，制定有關(guān)消防、保衛(wèi)管理制度，完善消防設(shè)施，消除事故隱患，佩戴統(tǒng)一印制的出入證，加強現(xiàn)場保衛(wèi)工作。

四、環(huán)境保護措施

1.施工現(xiàn)場臨時道路全部硬化給雨季施工帶來很大的便利，給工人提供良好的環(huán)境，很大程度上加強了現(xiàn)場文明施工。2.運輸散裝料，車要封閉，避免散落。砼罐車撤離現(xiàn)場前，派人用水將下料斗及車身沖洗干凈。

3.派專人進行現(xiàn)場灑水，防止揚塵，保護周邊環(huán)境清潔。4.建立有效的排污設(shè)施，如二級沉淀池，保證現(xiàn)場和周圍環(huán)境整潔文明。

5.除在早6：00～晚10：00之外，不允許做較大的噪音工作。6.夜間燈光集中照射，避免燈光擾民。7.嚴(yán)格按市有關(guān)環(huán)保規(guī)定執(zhí)行。8.搞好施工現(xiàn)場衛(wèi)生

（1）施工現(xiàn)場垃圾按指定地點分類集中收集，及時運出現(xiàn)場，時刻保持現(xiàn)場文明。

（2）現(xiàn)場的廁所、排水溝及陰暗潮濕地帶要經(jīng)常進行消毒，以防蟲蚊蠅滋生。

（3）現(xiàn)場施工道路，要保持暢通與清潔，不得隨意堆放物品，更不允許堆放雜亂物品和施工垃圾。

安全施工方案

（4）施工現(xiàn)場要天天打掃，保持整潔衛(wèi)生，場體平整道路暢通，到無積水，有排水措施，施工現(xiàn)場內(nèi)掛牌，實行責(zé)任制。（5）施工現(xiàn)場內(nèi)嚴(yán)禁大小便，發(fā)現(xiàn)有隨地大小便現(xiàn)象要對責(zé)任人進行處罰，各施工區(qū)，生活區(qū)有明確劃分，設(shè)標(biāo)志牌上注明姓名和管理范圍。

（6）辦公室內(nèi)做到天天打掃，保持整潔衛(wèi)生，做到窗明地凈。（7）食堂辦理衛(wèi)生證，設(shè)隔油池，灶具經(jīng)常潔刷，生熟食品分開存放，無腐爛變質(zhì)食品，炊事員必須辦理健康證。

（8）樓內(nèi)清理的垃圾用水泥袋裝好，集中用塔吊運下，嚴(yán)禁高空拋散。

第十五章現(xiàn)場規(guī)定：

1、進入施工現(xiàn)場的各類人員必須戴好安全帽，禁止吸煙、隨地大小便。

2、各工種必須學(xué)習(xí)，熟悉有關(guān)的安全技術(shù)操作規(guī)程，并且在操作中嚴(yán)格遵守。

3、電工、焊工、架子工、塔吊司機、卷揚機機手、攪拌機機手、起重機司機和各種機動車輛等特種作業(yè)人員，必須經(jīng)過專門培訓(xùn)，考試合格發(fā)給操作證，方準(zhǔn)獨立操作。

4、對新進民工，進入現(xiàn)場前必須進行安全生產(chǎn)教育，在操作中經(jīng)常進行安全操作要求和做好安全技術(shù)交底。

安全施工方案

5、夜間施工應(yīng)有足夠的照明設(shè)備，行燈照明必須有防護并不得超過36V的安全電壓，在金屬容器內(nèi)或潮濕場所工作時，行燈電壓不得超過12V的安全電壓且必須設(shè)專人監(jiān)護。

6、要正確使用個人防護用品和安全防護措施，進入現(xiàn)場必須戴安全帽，禁止穿拖鞋、高跟鞋或光腳。上班前和工作過程中不準(zhǔn)飲酒。操作時要集中精神，不得互相打鬧嬉戲或上下拋擲物件。

7、禁止攀腳手架、井架和乘坐吊籃、吊籠或吊斗上下。

8、禁止使用未滿16周歲的童工。

9、施工過程中應(yīng)按照現(xiàn)場平面布置操作、存放，切實做好各項工作，已達到經(jīng)常保持現(xiàn)場清潔，消除事故隱患。

10、屬于危險作業(yè)的地帶應(yīng)加上明顯的標(biāo)志，必要時派專人看管。

11、當(dāng)建筑樓層鄰近人員來往頻繁的交通地帶時，應(yīng)裝設(shè)防護擋板或張掛安全網(wǎng)，防止物件下墜傷人。

12、同一現(xiàn)場有多單位配合施工時，有關(guān)單位應(yīng)遵守總包單位的一切規(guī)章制度和管理辦法。

13、現(xiàn)場內(nèi)的溝、池、井各電梯井口，樓梯口、陽臺口、通道口及各種預(yù)留洞口等其他危險部位，應(yīng)設(shè)置防護攔或防護擋板，并設(shè)危險標(biāo)志，在可能范圍內(nèi)加以封閉。

14、一切腳手架或棚架，防護設(shè)施，安全標(biāo)志牌等，一經(jīng)設(shè)后，不得擅自拆動。如需拆動時，必須經(jīng)現(xiàn)場施工負(fù)責(zé)

安全施工方案

人同意。

15、不應(yīng)踏在拆落的模板上走動，以防釘傷和模板失穩(wěn)墜落傷人。

16、施工現(xiàn)場道路應(yīng)平穩(wěn)堅實，且有排水設(shè)施，不應(yīng)積水和泥濘以及亂堆材料垃圾等現(xiàn)象，輪碾坑陷部位應(yīng)經(jīng)常填補維修，雨后泥濘，應(yīng)鋪渣防滑。

17、禁止小孩和與工作無關(guān)的其他人員進入現(xiàn)場。

18、各種易燃性材料，如汽油、酒精、氧氣、乙炔、油漆等設(shè)專用倉庫，堆放場所禁止煙火和住宿。

19、木料、木制品應(yīng)分別碼垛平整，垛間應(yīng)保持2M間距。木料垛每高40CM應(yīng)墊橫木一層，堆碼高度不應(yīng)超過1.5米。

20、混凝土構(gòu)件堆放的土質(zhì)要堅實，不得堆放在松土和坑洼不平的地方，防止下沉或局部下沉。

21、袋裝水泥倉庫應(yīng)按出廠日期先后次序堆放整齊順直，放置在木平臺上，臺底必須通風(fēng)防潮，其高度一般不超過10袋，四周不得緊靠墻壁（不小于80cm）。

22、堆放鋼筋制品應(yīng)分類碼放，鋼筋不得占用道路。

23、堆放砂、石子、泥土、爐渣等顆粒材料，禁止緊貼建筑物和墻壁，必須成方堆放。

24、施工現(xiàn)場的一切電氣線路、設(shè)備安裝、維護必須由持證電工負(fù)責(zé)。

安全施工方案

25、各種電氣設(shè)備應(yīng)裝專開關(guān)和插頭。

26、一切移動式用電設(shè)備的電源線外絕緣層應(yīng)無機械損傷，必須架空禁止拖地，嚴(yán)禁設(shè)在樹上，腳手架上。

27、鋼管腳手架、井架塔吊等高聳構(gòu)筑物，在雨季施工前必選裝防雷裝置，其接地電阻不應(yīng)大于4歐。

28、開關(guān)箱必須嚴(yán)格實行“一機一閘一漏三保險”制，嚴(yán)禁用同一個開關(guān)直接控制二臺以上用電設(shè)備（含插座）。開關(guān)箱內(nèi)禁止存放物品，門應(yīng)加鎖及應(yīng)有防雨，防潮措施。

29、拆除現(xiàn)場線路時，必須先切斷電源嚴(yán)禁留有可能帶電的導(dǎo)線。

30、拉閘停電進行電氣檢修作業(yè)時，必須在配電箱門掛上“由人操作，禁止合閘”的標(biāo)牌，必要時設(shè)專人看守。

31、機械設(shè)備應(yīng)按其技術(shù)性能的要求正確使用，缺少安全裝置或安全裝置已失效的機械設(shè)備不得使用。

32、嚴(yán)禁拆除機械設(shè)備的自動控制機構(gòu)，各種限位器等安全裝置。其調(diào)試和故障的排除應(yīng)由專業(yè)人員負(fù)責(zé)進行。

33、處在運行和運行中的機械嚴(yán)禁對其進行維修，保養(yǎng)或調(diào)整作業(yè)。

34、機械設(shè)備應(yīng)定期進行保養(yǎng)，當(dāng)發(fā)生有漏油、失修或超載帶病運轉(zhuǎn)情況時，應(yīng)停止使用。

35、機械作業(yè)時，操作人員不得擅自離開工作崗位或?qū)C械交給非機械操作人員操作。嚴(yán)禁無關(guān)人員進入作業(yè)區(qū)和

安全施工方案

操作室內(nèi)，工作時，思想要集中，嚴(yán)禁酒后操作。

36、機械操作人員和配合工作人員，都必須按規(guī)定穿戴勞動保護用品，女工長發(fā)不得外露。

37、機械進入作業(yè)地點后，施工技術(shù)人員應(yīng)向機械操作人員進行施工任務(wù)及安全技術(shù)措施交底，操作人員應(yīng)熟悉作業(yè)環(huán)境和施工條件，聽從指揮遵守現(xiàn)場安全規(guī)則。

38、嚴(yán)禁非工作人員進入施工現(xiàn)場及易燃易爆物品存放倉庫等場所。上列場所應(yīng)按消防規(guī)定的要求設(shè)置各種防火消防器材及工具，其周圍不得堆放物品。

39、當(dāng)使用機械設(shè)備與安全發(fā)生矛盾時，必須服從安全的要求。

40、高處作業(yè)的環(huán)境，通道必須經(jīng)常保持暢通不得堆放與操作無關(guān)的物件。

41、超過2米的高處或懸空作業(yè)時，如無穩(wěn)固的立足點或可靠防護措施，均應(yīng)扣好安全帶。安全帶應(yīng)綁在穩(wěn)固的地方，扣環(huán)應(yīng)懸掛在腰部的上方，并要注意帶子不能與鋒利或毛刺的地方接觸，以防摩擦割斷。

42、在統(tǒng)一垂直面上下交叉作業(yè)時，必須設(shè)置有效的安全隔離和安全網(wǎng)。

43、高處作業(yè)所用材料要堆放平穩(wěn)，上下傳遞禁止拋擲，樓層上的零碎轉(zhuǎn)、灰渣、木條等材料均應(yīng)用溜槽滑落或吊運地面。

安全施工方案

44、禁止攀登起重臂、繩索和隨同運料的吊籠、吊裝物上下。

45、大模的吊裝運輸，存放必須穩(wěn)固可靠，嚴(yán)防傾覆存放時如不能滿足自穩(wěn)角要求，必須采用加固措施。

46、必須加強消防治安工作，消防供水系統(tǒng)應(yīng)符合要求。

47、支模、粉刷、砌墻等各種進行上下立體，交叉作業(yè)時，不得在同一垂直操作，下層作業(yè)的位置，必須處于依上層高度確定的可能墜落范圍半徑之外。不符合以上條件，應(yīng)設(shè)置安全防護層。

48、模板、腳手架等拆除時，下方不得有其他操作人員。

49、模板拆除后，臨時堆放處離樓層邊沿不應(yīng)小于1米。樓層邊口、通道口、腳手架邊緣處，嚴(yán)禁堆放任何拆下的物件。

50、結(jié)構(gòu)施工自二層，凡人員進出的通道口（包括井架、龍門架、施工用電梯的進出通道口）均應(yīng)搭設(shè)安全防護棚（防護棚搭設(shè)應(yīng)按標(biāo)準(zhǔn)規(guī)范搭設(shè)）。

51、現(xiàn)場材料，應(yīng)按平面圖位置分類碼放整齊、穩(wěn)固，并掛標(biāo)識牌，場地應(yīng)平整，堅實，有排水設(shè)施。

52、對產(chǎn)生噪聲，振動的施工機械，應(yīng)采取有效控制措施，減輕噪聲擾民。

53、在動用電氣焊及明火作業(yè)時必須開具用火證，配置足夠的消防器材并設(shè)監(jiān)護人。

安全施工方案

54、各工種在施工過程中一定要搞好成品保護。