第一篇：I6信息化系統(tǒng)安全模塊操作流程及要求

I6信息化系統(tǒng)安全模塊操作流程及要求

一、數(shù)據(jù)錄入操作流程：

1、登錄系統(tǒng)——左側(cè)導(dǎo)航面板——單擊企業(yè)功能——單擊安全管理，進(jìn)入如下界面：

2、項目部需要錄入內(nèi)容主要為：安全知識庫、制度落實、管理活動、及上報材料中生產(chǎn)安全匯報記錄。錄入內(nèi)容、格式與目前使用各項記錄基本相同。下面以“領(lǐng)導(dǎo)下井帶班記錄”、以張莊錄入人員為例說 明錄入過程：

（1）雙擊“領(lǐng)導(dǎo)下井帶班記錄”，選擇“信息歸屬組織樹”如下圖：

（2）選擇“信息歸屬組織樹”后，出現(xiàn)錄入人所在項目，選中，并選擇“新增”，如下圖：

（3）出現(xiàn)“領(lǐng)導(dǎo)下井帶班記錄”錄入界面：

（4）請把記錄中每項內(nèi)容均按實際情況錄入，之后單擊保存右上角“”，錄入完畢。

3、其余每項內(nèi)容錄入方法相同。

二、數(shù)據(jù)錄入要求

（一）安全知識庫：

措施中錄入“技術(shù)交底卡”，與實際技術(shù)交底安全交底相一致。

（二）制度落實：

1、措施傳達(dá)貫徹記錄：項目安全措施傳達(dá)貫徹記錄，按每項措施 分別錄入。

2、制度的學(xué)習(xí)：錄入集團(tuán)、處及其他安全管理文件、制度的學(xué)習(xí)貫徹記錄，每學(xué)習(xí)、貫徹一次，錄入一次。

3、安全獎勵記錄：錄入項目日常安全管理的獎勵記錄。

4、安全罰款記錄：錄入項目日常安全管理的罰款記錄。

（三）、管理活動：

1、安全檢查：

（1）每日安全檢查：錄入跟班安檢員檢查記錄，每天錄入。（2）旬檢：錄入項目旬檢記錄，由項目經(jīng)理組織全面的安全檢查，每月三次，每旬錄入一次。整改反饋表在附件中上傳掃描件。（3）領(lǐng)帶帶班下井記錄：錄入每班領(lǐng)導(dǎo)下井帶班記錄，每天必須錄入當(dāng)天3班領(lǐng)導(dǎo)下井帶班記錄。

2、安全培訓(xùn)：

（1）培訓(xùn)計劃：錄入新工人崗前培訓(xùn)的培訓(xùn)計劃，培訓(xùn)一批，錄入一次，按批次錄入。

（2）考勤：錄入新工人崗前培訓(xùn)的考勤，培訓(xùn)一批，錄入一次，按批次錄入。

（3）成績匯總表：a、錄入新工人崗前培訓(xùn)的成績匯總，培訓(xùn)一批，錄入一次，按批次錄入；b、錄入每月一考考試記錄。（4）一日一題：每天錄入一次，按實際培訓(xùn)情況錄入。（5）一周一案：每周錄入一次，按實際培訓(xùn)情況錄入。（6）一旬一課：每旬錄入一次，按實際培訓(xùn)情況錄入。

3、事故調(diào)查處理記錄： 此項內(nèi)容均不錄入。

4、全員參與安全管理：

（1）職工發(fā)現(xiàn)現(xiàn)場隱患的反應(yīng)：按實際錄入。（2）三違舉報：按實際錄入。（3）合理化建議：按實際錄入。

5、安全辦公會議：

（1）錄入安全辦公記錄：根據(jù)項目實際安全辦公會召開情況，每旬或每周錄一次。

（四）、上報材料：

1、項目部對工程處上報材料（1）生產(chǎn)安全匯報記錄：每天錄入。

第二篇：操作流程與要求

生產(chǎn)操作流程及崗位職責(zé)

一.生 產(chǎn) 流 程：

業(yè)務(wù)接單 → 跟單跟蹤詳細(xì)的工藝要求 →生產(chǎn)經(jīng)理審核 → BOM表制成 → 生產(chǎn)計劃派單 → 采購計劃制成 →采購回復(fù)物料交期 → 生產(chǎn)回復(fù)交期 → 跟蹤物料 → 備料 → 生產(chǎn) → 入庫 → 出貨。

二.崗 位 職 責(zé) 分 工：

1.訂單審核是審核各項要求標(biāo)準(zhǔn)是否明確，客戶要求交期交期與品質(zhì)是否合理。

2.BOM表制成：必須把所有的組裝物料、包裝材料、螺絲、生產(chǎn)輔助物料等關(guān)于訂單的所有一切物料都要在BOM表中體現(xiàn)出來，并注明用量及可追述的單位。

3．生產(chǎn)計劃派單：必修根據(jù)實際客人要求交期（以業(yè)務(wù)訂單為準(zhǔn)）與實際生產(chǎn)現(xiàn)有訂單進(jìn)行調(diào)整，使各個環(huán)節(jié)操作順堂，生產(chǎn)計劃派單后必須跟蹤結(jié)果，確認(rèn)各個部門是否按照生產(chǎn)排期操作，是否在計劃時間內(nèi)完成工作任務(wù)，如有違規(guī)或延期作業(yè)因及時要求調(diào)整及跟催。

4.采購計劃制成：根據(jù)訂單數(shù)量、BOM表、損耗等列出供應(yīng)商及所需物料總數(shù)。根據(jù)生產(chǎn)計劃要求，計劃各種物料的回料時間。

5.采購回復(fù)交期：根據(jù)采購計劃回復(fù)實際回料時間。

6.生產(chǎn)回復(fù)交期：根據(jù)采購回復(fù)的物料交期與生產(chǎn)評估的生產(chǎn)周期回復(fù)業(yè)務(wù)交貨時間。

7.跟蹤物料：根據(jù)回復(fù)的物料交期跟蹤結(jié)果是否在計劃時間內(nèi)完成的，如有異常應(yīng)及時加快步驟解決或采取其他方

式處理。

8.備料：根據(jù)BOM表、實際用量、訂單數(shù)量等相關(guān)數(shù)據(jù)備料，在備料的時候應(yīng)注意物料的規(guī)格型號是否匹配，數(shù)量

嚴(yán)格按照需求物料發(fā)料。備料時間是根據(jù)計劃完成時間與實際生產(chǎn)周期而定。（正常備料時間根據(jù)計劃完成時間提前3個工作天備料，正常備料時間指的是生產(chǎn)2天內(nèi)可以完成的產(chǎn)品）。

9.生產(chǎn)：根據(jù)生產(chǎn)計劃上線時間，提前1到2天確認(rèn)物料是否到齊，必須在上線的前一天生產(chǎn)1-2件首件產(chǎn)品，以免上線時出現(xiàn)不必要的瓶頸。根據(jù)生產(chǎn)計劃與實際物料情況安排生產(chǎn)。

10.入庫：確認(rèn)各項要求是否按照訂單要求生產(chǎn)的，包括包裝的細(xì)節(jié)、入庫數(shù)量等。

11.出貨：業(yè)務(wù)安排時間出貨。

備注：

1.操作過程中出現(xiàn)異常，有任何不明確的地方必須找相關(guān)人員追問清楚后才能進(jìn)行下一步工作。否則出了問題將由直接操作人員承擔(dān)。

2.在操作過程中務(wù)必互相配合，如因配合問題導(dǎo)致生產(chǎn)瓶頸或延期交貨將會嚴(yán)厲處罰相關(guān)人員。

3.每下一個工序都有權(quán)利、責(zé)任、義務(wù)考核上一個工序的配合程度、品質(zhì)要求、工藝要求、交期等相關(guān)事項。

制作人：周君群

2012-11-28

第三篇：危險品操作流程及要求

危險品操作流程及要求

FOR EXAMPLE ：

收到托書時間：5/16 ETD：5/28 截申報：5/25 上午10：00 船代：外代 聯(lián)系人：XXX 電話：021-XXXXXXXX 港區(qū)：外五

危險品類別：3類 進(jìn)港地址：江海危庫

1、系統(tǒng)錄入：（5/16）

A、收到托書后，要先仔細(xì)審單，了解該客戶的需求與要求，查看訂艙資料是否齊全：比如：托書上是否顯示，起運港、中轉(zhuǎn)港、目的港、運費方式、貨物名稱及類別、箱型、箱量，以及危包證，技術(shù)說明書，MSDS等等

B、A審核OK后，該票貨物輸入系統(tǒng)，（注：信息要輸入齊全，客戶名稱、對應(yīng)銷售、收發(fā)貨人、起運港、中轉(zhuǎn)港、目的港、運費方式、貨物名稱及類別、箱型、箱量等等）

C、內(nèi)容錄入OK后，傳進(jìn)倉通知書給客戶，注明：倉庫名稱，地址，聯(lián)系人，電話，最晚送貨時間，以及單證寄送地址及送單證最晚時間.2、訂艙：（5/16）

A、危險品訂艙一般需提前一周，訂艙時需提供完整資料給訂艙口，主要包括：托書、危包證、MSDS、及危險品申請表格（每家船公司都不一樣）

注：如整柜出運，首先要確認(rèn)是出海單還是HOUSE單，通常情況下，整柜多數(shù)出海單，拼箱“都”出HOUSE單，1、出MBL，就直接按照客戶的托書來打印訂艙托書，2、出HBL，發(fā)貨人按照“鼎世”，收貨人根據(jù)運至港口再來決定，如至SINGAPORE，就出SINGAPORE對應(yīng)代理。）

B、訂艙OK后，了解該船截申報時間、對應(yīng)船代、對應(yīng)聯(lián)系人、及?？扛蹍^(qū)

3、做箱單給車隊：（5/20）

A、箱單上需顯示：船名，起運港，中轉(zhuǎn)港，目的港，箱型，箱量，提箱時間，報關(guān)時間（車隊排計劃時會根據(jù)這個時間安排，如特殊情況比如沒有按時提供箱號等等，再作另外鏈接工作），提單號，件數(shù)，毛重，凈重，體積，中文品名，英文品名，CLASS NO，UN NO，進(jìn)倉編號，及是否安排打托，貼危標(biāo)及嘜頭等.注：危險品出運時，英文品名要單單一致，如：訂艙=箱單（排計劃要用）=申報=報關(guān)=提單

同時箱單備注里面顯示（一目了然）：

ETD：5/28 截申報：5/25 上午10：00 港區(qū)：外五

提箱時間：周一（5/23）

申報時間：周一（5/23）

進(jìn)港時間：根據(jù)進(jìn)港地址決定

A、進(jìn)危庫，排當(dāng)天計劃，當(dāng)天進(jìn)港

B、進(jìn)港區(qū)，根據(jù)網(wǎng)上危險品進(jìn)港時間

危險品類別：3類（進(jìn)危庫）

B、提供有箱號的正確箱單：（5/23），同時車隊排進(jìn)港計劃

C、倉庫按排貨物打托、貼危標(biāo)、貼嘜、拍照等事宜（這些工作貨物在到的前提下可以提前做起，進(jìn)港前搞定就OK）

4、危險品申報：（5/23）

A、申報時需提供完整資料給申報公司，主要包括：裝箱單、裝箱證明書、危包證、技術(shù)說明書.注：箱單上面必須顯示：船名、箱封號、起運港、中轉(zhuǎn)港、目的港、提單號、件數(shù)、毛重、凈重，體積，中英文品名，如貨物是液體需提供該貨物閃點

B、申報OK后，申報公司提供，危包證、技術(shù)說明書、安全適運單、進(jìn)港黃聯(lián)

5、進(jìn)港：（5月23/24/25均可，具體根據(jù)實際情況）

? 申報OK后，將黃聯(lián)寄車隊進(jìn)危庫

注：黃聯(lián)進(jìn)港用

6、報關(guān)：（具體根據(jù)進(jìn)港時間，進(jìn)港后就可以安排，最好提前進(jìn)行，以免碰到查驗）

A、提供完整報關(guān)資料，主要包括：核銷單、報關(guān)單、裝箱單、發(fā)票、產(chǎn)品說明、報關(guān)委托書，安全適運單、配艙回單，如需商檢再提供商檢單等等

7、提單確認(rèn)：（5/26）

MBL：

1、SHIPPER：“鼎世”

2、CONSIGNEE：“目的港對應(yīng)代理”

3、品名要與訂艙、報關(guān)、箱單計劃一致

HBL：根據(jù)客戶樣本

8、盯箱上船（5/27）

9、費用確認(rèn)（5/28）

10、拉HOUSE單（5/28）

11、整理資料給國外代理（5/28）

總結(jié)：根據(jù)以上所有操作經(jīng)驗。操作部是工作中的紐帶和橋梁，要與各方保持溝通的及時、明朗、準(zhǔn)確，不能出現(xiàn)溝通不明引發(fā)誤會的情況。

2011/5/21

第四篇：操作系統(tǒng)安全實驗報告

云終端:安全訪地問來自不可靠系統(tǒng)的敏感應(yīng)用程序

摘要：

目前的電腦和基于web的應(yīng)用程序提供安全不足的信息訪問,因為任何漏洞在一個大的客戶端軟件堆棧都可以威脅機(jī)密性和完整性。我們提出一種新的安全的應(yīng)用程序架構(gòu),云終端,其中唯一運行在端主機(jī)的軟件是一個輕量級的安全終端,最薄的應(yīng)用程序邏輯是在一個偏遠(yuǎn)的云的渲染引擎。安全瘦終端有一個非常小的TCB(23 KLOC)和不依賴不可信操作系統(tǒng),所以它可以很容易地檢查和遠(yuǎn)程證明。終端也是通用的:它只提供一個到遠(yuǎn)程軟件的安全的顯示和輸入路徑。云渲染引擎在一個受限制的VM主辦的提供者上運行一個現(xiàn)成的應(yīng)用程序,但是資源共享可以讓一臺服務(wù)器之間VM支持?jǐn)?shù)以百計的用戶。我們實現(xiàn)了一個安全的瘦終端,運行在標(biāo)準(zhǔn)的PC硬件和應(yīng)用程序提供了一個靈活的界面,如銀行業(yè)、電子郵件和文檔編輯。我們也表明,我們的云渲染引擎可以提供安全的網(wǎng)上銀行業(yè)務(wù),每用戶每月5-10美分。｛瘦客戶端（Thin Client）指的是在客戶端-服務(wù)器網(wǎng)絡(luò)體系中的一個基本無需應(yīng)用程序的計算機(jī)終端。它通過一些協(xié)議和服務(wù)器通信，進(jìn)而接入局域網(wǎng)。作為應(yīng)用程序平臺的Internet的到來為企業(yè)應(yīng)用程序提供了一個全新的領(lǐng)域：一個基于Internet/intranet的應(yīng)用程序運用一個只包含一個瀏覽器的瘦客戶端。這個瀏覽器負(fù)責(zé)解釋、顯示和處理應(yīng)用程序的圖形用戶界面（GUI）和它的數(shù)據(jù)。這樣的一個應(yīng)用程序只需要被安裝在一個Web服務(wù)器上，用戶可以自動接收升級。一個解決方案只需要部署一次，甚至對成千的用戶也是如此，這種想法的確很吸引人，尤其是Internet技術(shù)幫我們緩解了一些傳統(tǒng)的應(yīng)用程序的障礙，比如防火墻和對多平臺的支持。｝

二、概述，包括使用的情況，我們的威脅模型，與現(xiàn)有系統(tǒng)的比較，和設(shè)計的概述等

2.1使用情況。云終端是專為公眾和企業(yè)提高信息安全的應(yīng)用程序，但不做密集的計算或渲染

公共服務(wù)

通過使用一個單一的安全的瘦終端，最終用戶和機(jī)構(gòu)有激勵措施，以防止攻擊，用戶界面的要求很簡單

公司情況：

通過使用一個安全的瘦終端，員工可以減少數(shù)據(jù)盜竊和惡意軟件的攻擊面。

2.2目標(biāo)和威脅模型

目標(biāo)

1。此解決方案應(yīng)該是可安裝在現(xiàn)有的pc和一個潛在的破壞商品操作系統(tǒng),而不需要用戶重新形象她的系統(tǒng)。

2。該解決方案應(yīng)該不需要信任主機(jī)操作系統(tǒng)。

3。解決方案應(yīng)該能夠證明它的存在,兩個用戶和應(yīng)用程序提供商,以防止欺騙和釣魚。

4。系統(tǒng)應(yīng)該支持廣泛的敏感的應(yīng)用程序。

5。TCB的系統(tǒng)應(yīng)該小。

一些假設(shè)。

我們的目標(biāo)是防止攻擊者查看和修改用戶和安全的應(yīng)用程序之間的相互作用，并把它作為用戶登錄

云終端也防止一些社會工程攻擊,如用戶被騙來運行一個假的客戶,通過遠(yuǎn)程認(rèn)證。此外,它提供了兩種防御網(wǎng)絡(luò)釣魚:共享密鑰之間的用戶和安全的薄的形式終端,終端圖形主題的UI,并能夠使用用戶的TPM作為第二,un-phishable身份驗證因素和檢測登錄從一個新的設(shè)備。這些機(jī)制類似于常見的機(jī)制在web應(yīng)用程序(例如。,SiteKey[32]和cookies來檢測登錄從新的機(jī)),重要的區(qū)別,這個秘密圖像和TPM私有密鑰不能被檢索到的惡意軟件或通過中間人攻擊。然而,我們認(rèn)識到,有開放的問題對社會工程保護(hù)用戶和我們不旨在創(chuàng)新在這一點上,問題是我們所關(guān)注的正交設(shè)計好孤立的客戶端。

云終端必須與不受信任的操作系統(tǒng)共存

2.3現(xiàn)有方法

我們比較現(xiàn)有的幾種建議，并解釋我們的方法，讓它符合目標(biāo)的元素。

建議的做法是使用虛擬機(jī)隔離敏感的應(yīng)用，包括內(nèi)部的應(yīng)用程序在TCB可信的虛擬機(jī)（例如，一個Web瀏覽器）?；谔摂M機(jī)的系統(tǒng)增加對用戶的管理負(fù)擔(dān)。相比之下，Chrome OS的瀏覽器的操作系統(tǒng)，限制他們的攻擊面不允許二進(jìn)制應(yīng)用程序，并提供強(qiáng)大的Web應(yīng)用程序之間的隔離。但是，這意味著他們不能運行現(xiàn)有的傳統(tǒng)用戶的軟件或訪問非Web

瘦客戶端系統(tǒng)允許組織集中管理他們的臺式機(jī)和消除感染,他們?nèi)匀辉馐芑鞠拗圃平K端相比,用戶的所有應(yīng)用程序運行在同一個虛擬機(jī)并不是互相隔絕遠(yuǎn)程認(rèn)證是最具挑戰(zhàn)性的基于虛擬機(jī)的方法

這些方法錯過這樣一個大好機(jī)會,提供強(qiáng)大的安全保證通過TPM認(rèn)證。

云終端實現(xiàn)現(xiàn)有系統(tǒng)，支持一般的應(yīng)用，遠(yuǎn)程認(rèn)證，并通過兩個設(shè)計元素來完成一個小任務(wù)。

小,一般客戶:云終端訪問所有敏感的應(yīng)用程序通過相同,簡單的組件:一個安全瘦終端能夠顯示任意遠(yuǎn)程ui。因此,用戶不需要管理多個vm,服務(wù)提供者可以運行他們的應(yīng)用程序在他們自己的數(shù)據(jù)中心的嚴(yán)格控制。不像在虛擬桌面系統(tǒng)、敏感的應(yīng)用程序也互相隔離的(而不是運行在同一個VM),瘦終端保護(hù),免受不可信主機(jī)操作系統(tǒng)。

Microvisor:安全瘦終端隔離本身從操作系統(tǒng)通過hypervisor像層,但這種“Microvisor”規(guī)模遠(yuǎn)小于一個完整的管理程序,因為它不是被設(shè)計來運行多個虛擬機(jī)。例如,訪問網(wǎng)絡(luò)和存儲microvisor設(shè)備通過可信操作系統(tǒng)(但它加密數(shù)據(jù)),利用操作系統(tǒng)現(xiàn)有的司機(jī)不必信任他們。同樣,它不需要代碼來管理多個vm,甚至對于啟動不可信操作系統(tǒng),它可以自動安裝下面的運行實例操作系統(tǒng),只需要保護(hù)一個內(nèi)存區(qū)域的操作系統(tǒng)。這個設(shè)計可以讓云終端實現(xiàn)一個“甜點”安全之間,信任代碼大小和普遍性:它可以通過一個小的，孤立的，和遠(yuǎn)程核查客戶端訪問廣泛的應(yīng)用.2.4結(jié)構(gòu)

云終端體系結(jié)構(gòu)安全的瘦終端上的客戶端和服務(wù)器上的云的渲染引擎.我們現(xiàn)在描述這些抽象和展示他們?nèi)绾闻c其它系統(tǒng)組件交互。安全的瘦終端(STT)。軟件運行的STT是在用戶的電腦和提供安全訪問遠(yuǎn)程應(yīng)用程序,而不需要任何其他軟件的信任在設(shè)備上。暫時接管的STT通用系統(tǒng),并將其轉(zhuǎn)化為一個較為有限,但值得信賴的設(shè)備訪問通用遠(yuǎn)程應(yīng)用程序。這個STT具有以下特點:

STT提供了一個通用的圖形終端的功能，可用于許多應(yīng)用程序。

STT隔離本身，所以，不信任的系統(tǒng)無法訪問其數(shù)據(jù)。

STT實現(xiàn)是輕量級的，使其更容易檢查校正.安全的STT來自于它的簡單性:它僅僅關(guān)注提供一個接口,其他地方運行的應(yīng)用程序。它提供了這個接口僅僅通過繼電保護(hù)輸入事件和遠(yuǎn)程呈現(xiàn)的位圖。共同存在于一個預(yù)先存在的STT不可信操作系統(tǒng),但不依賴于不可信系統(tǒng)安全至關(guān)重要的功能。使用硬件虛擬化,STT隔離本身的不可信操作系統(tǒng):操作系統(tǒng)從未加密的訪問的數(shù)據(jù),當(dāng)STT是活躍的不能讀取輸入事件或訪問視頻內(nèi)存。

一種硬件信任根，可以開始遠(yuǎn)程各方證明機(jī)器的完全控制，即它的代碼是未經(jīng)修改的，它直接訪問一個真正的（非仿真）的CPU。STT由微鏡，它提供了從操作系統(tǒng)隔離；云終端客戶，這與遠(yuǎn)程應(yīng)用程序，使其顯示；和一個不受信任的用戶空間輔助隧道加密的數(shù)據(jù)通過不可信操作系統(tǒng)。云的渲染引擎（CRE）。CRE STT的服務(wù)器端。它具有以下屬性：幾乎所有的CRE包含應(yīng)用程序功能,重要的位圖顯示的生產(chǎn)。

一個孤立的CRE運行應(yīng)用程序的實例為每個STT,在一個單獨的虛擬機(jī)

執(zhí)行應(yīng)用程序的實例為每個用戶會話在一個單獨的虛擬機(jī)提供強(qiáng)大的隔離 最后 CRE作為“云”虛擬機(jī)的主機(jī)。瘦終端和云安全的渲染引擎和網(wǎng)絡(luò)使用云終端協(xié)議。云終端協(xié)議擴(kuò)展了現(xiàn)有的幀緩沖級遠(yuǎn)程桌面協(xié)議(VNC)通過添加額外的級別的安全性。具體地說,云終端協(xié)議使用端到端加密在云終端客戶和CRE STT,執(zhí)行遠(yuǎn)程認(rèn)證的客戶端,并提供之間的相互認(rèn)證用戶和應(yīng)用程序

公共設(shè)施服務(wù)：目錄服務(wù)、驗證服務(wù)

第五篇：操作系統(tǒng)安全 復(fù)習(xí)資料

第三章 windows server 2003 用戶賬號安全

一、密碼安全設(shè)置原則

1．不可讓賬號與密碼相同

2．不可使用自己的姓名

3．不可使用英文詞組

4．不可使用特定意義的日期

5．不可使用簡單的密碼

二、要保證密碼的安全，應(yīng)當(dāng)遵循以下規(guī)則：

1．用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達(dá)到最好的保密效果。

2．用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。

3．根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長度設(shè)置應(yīng)超過7位，最好為14位。

4．密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。

5．密碼應(yīng)定期修改，應(yīng)避免重復(fù)使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。

6．建立賬號鎖定機(jī)制。一旦同一賬號密碼校驗錯誤若干次，即斷開連接并鎖定該賬號，經(jīng)過一段時間才解鎖。

三、在Windows Server 2003系統(tǒng)中，如果在“密碼策略”中啟用了“密碼必須符合復(fù)雜性要求”設(shè)置的話，則對用戶的密碼設(shè)置有如下要求：

1．不包含全部或部分的用戶賬戶名。

2．長度至少為7個字符。

3．包含以下4種類型字符中的3種字符。

(1)英文大寫字母（從A到Z）

(2)英文小寫字母（從a到z）

(3)10個基本數(shù)字（從0到9）

(4)非字母字符（如!、$、#、%）

四、強(qiáng)密碼則具有以下特征：

1．長度至少有7個字符。

2．不包含用戶的生日、電話、用戶名、真實姓名或公司名等。

3．不包含完整的字典詞匯。

4．包含全部4種類型的字符。

除此之外，管理員賬戶的密碼應(yīng)當(dāng)定期修改，尤其是當(dāng)發(fā)現(xiàn)有不良攻擊時，更應(yīng)及時修改復(fù)雜密碼，以免被破解。為避免密碼因過于復(fù)雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。

五、賬戶策略包含兩個子集：密碼策略和賬戶鎖定策略

六、密碼策略包含以下6個策略：

1．密碼必須符合復(fù)雜性要求。

2．密碼長度最小值。

3．密碼最長使用期限。

4．密碼最短使用期限。

5．強(qiáng)制密碼歷史。

6．用可還原的加密來儲存密碼。

七、“強(qiáng)制密碼歷史”策略

該策略通過確保舊密碼不能繼續(xù)使用，從而使管理員能夠增強(qiáng)安全性。重新使用舊密碼之前，該安全設(shè)置確定與某個用戶賬戶相關(guān)的唯一新密碼的數(shù)量。該值必須為0～24之間的一個數(shù)值，推薦值為8

八、雙擊“密碼最長使用期限”，選中“定義這個策略設(shè)置”復(fù)選框

該安全設(shè)置要求用戶更改密碼之前可以使用該密碼的時間（單位為天）。可將密碼的過期天數(shù)設(shè)置在1～999天之間，或?qū)⑻鞌?shù)設(shè)置為0，可指定密碼永不過期。如果密碼最長使用期限在1～999天之間，那么密碼最短使用期限必須小于密碼最長使用期限。如果密碼最長使用期限設(shè)置為0，則密碼最短使用期限可以是1～998天之間的任意值。

九、雙擊“密碼最短使用期限”，選中“定義這個策略設(shè)置”復(fù)選框

該安全策略設(shè)置確定用戶可以更改密碼之前必須使用該密碼的時間（單位為天）?？梢栽O(shè)置1～998天之間的某個值，或者通過將天數(shù)設(shè)置為0，允許立即更改密碼。

十、雙擊“最小密碼長度”，選中“定義這個策略設(shè)置”復(fù)選框

將“密碼必須至少是”的值設(shè)置為 8, 然后雙擊“確定”。通過將字符數(shù)設(shè)置為0，可設(shè)置不需要密碼。

十一、賬戶鎖定閾值

該安全設(shè)置確定造成用戶賬戶被鎖定的登錄失敗嘗試的次數(shù)。在鎖定時間內(nèi)，無法使用鎖定的賬戶，除非管理員進(jìn)行了重新設(shè)置或該賬戶的鎖定時間已過期。登錄嘗試失敗的范圍可設(shè)置為0～999之間，建議值為3～5，既允許用戶輸或記憶錯誤，又避免惡意用戶反復(fù)嘗試用不同密碼登錄系統(tǒng)。如果將鎖定閾值設(shè)為0，將無法鎖定賬戶。對于使用Ctrl+Alt+Delete組合鍵或帶有密碼保護(hù)的屏幕保護(hù)程序鎖定的計算機(jī)上，失敗的密碼嘗試計入失敗的登錄嘗試次數(shù)中。

十二、賬戶鎖定時間

該安全設(shè)置確定鎖定的賬戶在自動解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍從0～99，999分鐘。如果將賬戶鎖定時間設(shè)置為0，那么在管理員明確將其解鎖前，該賬戶將一直被鎖定。如果定義了賬戶鎖定閾值，則賬戶鎖定時間必須大于或等于重置時間。

十三、復(fù)位賬戶鎖定計數(shù)器

確定在登錄嘗試失敗計數(shù)器被復(fù)位為0（即0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數(shù)。有效范圍為1～99，999分鐘之間。如果定義了賬戶鎖定閾值，則該復(fù)位時間必須小于或等于賬戶鎖定時間

十四、系統(tǒng)管理員設(shè)置原則

1．更改管理員賬戶名

2．禁用Administrator賬戶

3．強(qiáng)密碼設(shè)置

十五、除非有特殊應(yīng)用，否則Guest賬戶應(yīng)當(dāng)被禁用。事實上，許多網(wǎng)絡(luò)攻擊就是借助Guest用戶來實現(xiàn)的。即使啟用Guest賬戶，也應(yīng)當(dāng)為其指定最低的訪問權(quán)限

十六、共享文件夾權(quán)限

當(dāng)將文件夾設(shè)置為共享資源時，除了必須為文件和文件夾指定NTFS訪問權(quán)限以外，還應(yīng)當(dāng)為共享文件夾指定相應(yīng)的訪問權(quán)限。共享文件夾權(quán)限比NTFS權(quán)限簡單一些，而且NTFS權(quán)限的優(yōu)先級要高于共享文件夾權(quán)限。因此，共享文件夾的權(quán)限可以粗略設(shè)置，而NTFS權(quán)限則必須詳細(xì)劃分

十七、為用戶組指定權(quán)限時，有以下兩點需要注意

1．權(quán)限是疊加的用戶可以同時屬于多個用戶組，用戶所擁有的權(quán)限，是其所屬組權(quán)限的總和。對組指派的用戶權(quán)限應(yīng)用到該組的所有成員（在它們還是成員的時候）。如果用戶是多個組的成員，則用戶權(quán)限是累積的，這意味著用戶有多組權(quán)限。

2．拒絕權(quán)限優(yōu)先

無論用戶在其他組擁有怎樣大的權(quán)限，只要其所屬組中有一個明確設(shè)置了“拒絕”權(quán)限，那么該權(quán)限及其包含的權(quán)限也都將被拒絕。

第四章 文件訪問安全

一、多重NTFS權(quán)限

1)權(quán)限的積累

用戶對資源的有效權(quán)限是分配給該個人用戶帳戶和用戶所屬的組的所有權(quán)限的總和。如果用戶對文件具有“讀取”權(quán)限，該用戶所屬的組又對該文件具有“寫入”的權(quán)限，那么該用戶就對該文件同時具有“讀取”和“寫入”的權(quán)限，舉例如下：

假設(shè)情況如下所示：有一個文件叫FILE。USER1用戶屬于GROUP1組

2)文件權(quán)限高于文件夾權(quán)限

意思就是說NTFS文件權(quán)限對于NTFS文件夾權(quán)限具有優(yōu)先權(quán)，假設(shè)用戶能夠訪問一個文件，那么即使該文件位于用戶不具有訪問權(quán)限的文件夾中，也可以進(jìn)行訪問（前提是該文件沒有繼承它所屬的文件夾的權(quán)限）。

舉例說明如下：假設(shè)用戶對文件夾FOLDER沒有訪問權(quán)限，但是該文件夾下的文件FILE.TXT沒有繼承FOLDER的權(quán)限，也就是說用戶對FILE.TXT文件是有權(quán)限訪問的，只不過無法用資源管理器之類的東西來打開FOLDER文件夾，無法看到文件FILE而已（因為對FOLDER沒有訪問權(quán)限），但是可以通過輸入它的完整的路徑來訪問該文件。比如可以用 c:folderfile.txt來訪問FILE文件（假設(shè)在C盤）。

3)拒絕高于其他權(quán)限

拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為一個組的成員有權(quán)訪問文件夾或文件，但是該組被拒絕訪問，那么該用戶本來具有的所有權(quán)限都會被鎖定而導(dǎo)致無法訪問該文件夾或文件。也就是說上面第一點的權(quán)限累積原則將失效。舉例說明如下：

假設(shè)情況如下：有一個文件叫FILE。USER1用戶屬于GROUP1組

有一個文件叫FILE。

USER1用戶屬于GROUP1組，同時也屬于GROUP2組，二、NTFS 權(quán)限繼承

1．在同一NTFS分區(qū)間復(fù)制或移動

2．在不同NTFS分區(qū)間復(fù)制或移動

3．從NTFS分區(qū)復(fù)制或移動到FAT格式分區(qū)

三、創(chuàng)建配額

可以創(chuàng)建兩種方式的配額：

普通配額：普通配額只是應(yīng)用到某個卷或文件夾，并限制整個文件夾樹（此文件夾本身和它的所有子文件夾）所使用的磁盤空間；比如可以使用普通配額來限制用戶在某個文件夾中存儲的數(shù)據(jù)大小；

自動配額：自動配額允許用戶為某個卷或文件夾指派一個配額模板，F(xiàn)SRM將基于此配額模板自動為現(xiàn)有子文件夾或任何將來創(chuàng)建的新子文件夾生成普通配額，但是FSRM并不會針對此文件夾本身創(chuàng)建普通配額。自動配額通常使用在以下場景：用戶數(shù)據(jù)分別按子目錄存放在一個公用的文件夾中，那么可以針對公用文件夾啟用自動配額。

第五章 網(wǎng)絡(luò)通信安全

一、在網(wǎng)絡(luò)技術(shù)中，端口（Port）大致有兩種意思：一是物理意義上的端口，比如，ADSL Modem、集線器、交換機(jī)、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號的范圍從0到65535，比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的21端口等等

二、端口分類

1.按端口號分布劃分

（1）知名端口（Well-Known Ports）

知名端口即眾所周知的端口號，范圍從0到1023，這些端口號一般固定分配給一些服務(wù)。比如21端口分配給FTP服務(wù)，25端口分配給SMTP（簡單郵件傳輸協(xié)議）服務(wù)，80端口分配給HTTP服務(wù)，135端口分配給RPC（遠(yuǎn)程過程調(diào)用）服務(wù)等等。

（2）動態(tài)端口（Dynamic Ports）

動態(tài)端口的范圍從1024到65535，這些端口號一般不固定分配給某個服務(wù)，也就是說許多服務(wù)都可以使用這些端口。只要運行的程序向系統(tǒng)提出訪問網(wǎng)絡(luò)的申請，那么系統(tǒng)就可以從這些端口號中分配一個供該程序使用。比如1024端口就是分配給第一個向系統(tǒng)發(fā)出申請的程序。在關(guān)閉程序進(jìn)程后，就會釋放所占用的端口號。

2.按協(xié)議類型劃分

按協(xié)議類型劃分，可以分為TCP、UDP、IP和ICMP（Internet控制消息協(xié)議）等端口。下面主要介紹TCP和UDP端口：

（1）TCP端口

TCP端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。常見的包括FTP服務(wù)的21端口，Telnet服務(wù)的23端口，SMTP服務(wù)的25端口，以及HTTP服務(wù)的80端口等等。

（2）UDP端口

UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務(wù)器之間建立連接，安全性得不到保障。常見的有DNS服務(wù)的53端口，SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QQ使用的8000和4000端口等等。

第六章 應(yīng)用程序和服務(wù)安全

一、IIS 6.0版本支持以下6種身份驗證方法，使用這些方法可以確認(rèn)任何請求訪問網(wǎng)站的用

戶的身份，以及授予訪問站點公共區(qū)域的權(quán)限，同時又可防止未經(jīng)授權(quán)的用戶訪問專用文件和目錄。

匿名身份驗證。允許網(wǎng)絡(luò)中的任意用戶進(jìn)行訪問，不需要使用用戶名和密碼登錄。

基本身份驗證。需要用戶鍵入用戶名和密碼，然后通過網(wǎng)絡(luò)“非加密”將這些信息傳送到服務(wù)器，經(jīng)過驗證后方可允許用戶訪問。

摘要式身份驗證。與“基本身份驗證”非常類似，所不同的是將密碼作為“哈?！敝蛋l(fā)送。摘要式身份驗證僅用于Windows域控制器的域。

高級摘要式身份驗證。與“摘要式身份驗證”基本相同，所不同的是，“高級摘要式身份驗證”將客戶端憑據(jù)作為MD5哈希存儲在Windows Server 2003域控制器的Active Directory（活動目錄）服務(wù)中，從而提高了安全性。

集成Windows身份驗證。使用哈希技術(shù)來標(biāo)識用戶，而不通過網(wǎng)絡(luò)實際發(fā)送密碼。證書?？梢杂脕斫踩捉幼謱樱⊿SL）連接的數(shù)字憑據(jù)，也可以用于驗證。

當(dāng)不允許用戶匿名訪問時，就應(yīng)當(dāng)為IIS用戶賬戶設(shè)置強(qiáng)密碼以實現(xiàn)IIS的訪問安全。