?？低暠O(jiān)控系統(tǒng)、卡口系統(tǒng)、電子警系統(tǒng)安全施工規(guī)范

海康威視監(jiān)控系統(tǒng)、卡口系統(tǒng)、

電子警系統(tǒng)安全施工規(guī)范【實(shí)用

文檔】doc

文檔可直接使用可編輯，歡迎f

電子警察

施工調(diào)試規(guī)范

內(nèi)部資料注意保密

海康威視安全施工規(guī)范

1.目的

為了貫徹執(zhí)行“安全第一，預(yù)防為主”的安全施工方針，切實(shí)保證公司員工在施工中的安全和健康，

根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)規(guī)程，并結(jié)合道路交通工程工程施工的具體情況，制定本安全規(guī)范。

公司參與施工現(xiàn)場(chǎng)項(xiàng)目的有關(guān)工作人員，包括項(xiàng)目管理人員、工程技術(shù)人員、工程施工人員、后

期維護(hù)人員及施工過程中到現(xiàn)場(chǎng)支援的本公司研發(fā)人員等，必須熱晶并嚴(yán)格遵守本安全施工規(guī)范。

2.對(duì)參加工程實(shí)施的人員要求

公司對(duì)本項(xiàng)目的工程實(shí)施人員必須具備F列條件：

2。1經(jīng)醫(yī)師鑒定，無妨礙工作的病癥。

2.2具備必要的電工知識(shí)，熟悉被安全規(guī)范.

2.3對(duì)外單位派來人員，工作前應(yīng)介紹現(xiàn)場(chǎng)情況并做好安全措施的交底工作.

3.工程實(shí)施過程的基本要求

1)健全與工程展開有關(guān)的各方面的安全工作措施以及相關(guān)的組織機(jī)構(gòu)，對(duì)上崗的所有人員進(jìn)行安全

知識(shí)教育.

2)上路施工人員必須身穿反光衣帶安全帽，禁止穿涼鞋拖鞋，并正確使用個(gè)人安全防護(hù)用品。

3)嚴(yán)禁酒后進(jìn)入施工現(xiàn)場(chǎng).

4)施工人員應(yīng)有責(zé)任分工，在道路上施工時(shí)，必須實(shí)行嚴(yán)格的人員工作責(zé)任制，必須服從負(fù)責(zé)人管

理指揮，各種安全標(biāo)志齊備，施工環(huán)境操作者配置安全裝置.

5)各工作點(diǎn)施工時(shí)均嚴(yán)格按要求布設(shè)安全示警牌、錐形交通標(biāo)等安全設(shè)施，確保施工安全；晚上施工

人員撤離現(xiàn)場(chǎng)后，現(xiàn)場(chǎng)仍布設(shè)安全設(shè)施，確保過往車輛和行人的安全。

6)文明施工、合理安拄施工計(jì)劃和施工程序、盡早清運(yùn)余土，盡量少占用行車道、非機(jī)動(dòng)乍道和人

行道，確保道路暢通，人車安全。

7)各種電動(dòng)工具必須有可靠有效的安全防護(hù)，接地裝置，做到一機(jī)一閘一漏電保護(hù)，不懂電氣和機(jī)

械的人員嚴(yán)禁使用和操作機(jī)電設(shè)備.

8)高處作業(yè)必須使用安全帶，安全帶使用前應(yīng)進(jìn)行檢查。安全帶必須掛在牢固的構(gòu)件上或?qū)閽彀?/p>

全帶用的鋼架或鋼絲繩上，并不得低掛高用，禁止掛在移動(dòng)或不牢固的物件上。高度超過：。5m

以上時(shí)，必須使用安全帶等其它可用的安全措施。

9)高處作業(yè)應(yīng)使用工具袋，較大的工具應(yīng)固定在牢固的構(gòu)件上，不準(zhǔn)隨便亂放，上下傳遞物件應(yīng)用繩

索拴牢傳遞，嚴(yán)禁上下拋擲。

90K/H,則反光路錐放置的安全距離為90M0

b)反光路錐從距離施工地點(diǎn)最遠(yuǎn)端，按照比較緩的斜線慢慢放置，給乘車司機(jī)以緩沖空間，讓

車輛逐漸沿著路錐改道到其它車道。

施工現(xiàn)場(chǎng)的車輛、工程輔材停放堆放要求：

施工現(xiàn)場(chǎng)的車輛必須停放到來車方向施工位置前方，并開啟雙閃緊急指示燈.

工程輔材堆放盡量堆放到不影響交通的綠化帶或路邊。

距離為該路段的限速值，如果施工現(xiàn)場(chǎng)有公司車輛或租賃車輛務(wù)必將車輛停滯在施工界面前面的

來車方向。

對(duì)前端指揮交通人員的要求：

a)交通指揮員必須穿反光背心、帶安全帽。

b)交通指揮員在前端必須精神集中，并面向來車方向，嚴(yán)禁在工作期間玩、看電子書.

施工現(xiàn)場(chǎng)封路要求：

a)施工前，需和公安交警部門打好招呼，重要路段或車流量較大路段最好協(xié)調(diào)安排交警到現(xiàn)

場(chǎng)幫忙指揮交通。

b)施工封路時(shí)，按照保證施工現(xiàn)場(chǎng)交通有序、流暢的原則封路.避免做成堵車或發(fā)生交通事故。

c)施工封路必須按照封一條路，施工完畢?條的原則，進(jìn)行封路施工；非必要情況下不允許同

事封兩條及以上的道路。

以下是施工過程中的幾種常見的封路方式.

1)雙車道路面局部施工時(shí)安全設(shè)施布設(shè)

2)四車道以上道路一惻路面施工時(shí)安全設(shè)施布設(shè)

3)同向車道中有一條車道路面施工時(shí)安全設(shè)施布設(shè)

4）同向車道中有兩條車道以上路面施工時(shí)安全設(shè)施布設(shè)

電子警察

施工調(diào)試規(guī)范

內(nèi)部資料注意保密

海康威視安全施工規(guī)范

1.目的

為了貫徹執(zhí)行“安全第一，預(yù)防為主”的安全施工方針，切實(shí)保證公司員工在施工中的安全和健

康，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)規(guī)程，并結(jié)合道路交通工程工程施工的具體情況，制定本安全規(guī)范。

公司參與施工現(xiàn)場(chǎng)項(xiàng)目的有關(guān)工作人員，包括項(xiàng)目管理人員、工程技術(shù)人員、工程施工人員、后

期維護(hù)人員及施工過程中到現(xiàn)場(chǎng)支援的本公司研發(fā)人員等，必須熱晶并嚴(yán)格遵守本安全施工規(guī)范。

2.對(duì)參加工程實(shí)施的人員要求

公司對(duì)本項(xiàng)目的工程實(shí)施人員必須具備F列條件：

2.1經(jīng)醫(yī)師鑒定，無妨礙工作的病癥。

2.2具備必要的電工知識(shí)，熟悉被安全規(guī)范。

2.3對(duì)外單位派來人員，工作前應(yīng)介紹現(xiàn)場(chǎng)情況并做好安全措施的交底工作。

3.工程實(shí)施過程的基本要求

1)健全與工程展開有關(guān)的各方面的安全工作措施以及相關(guān)的組織機(jī)構(gòu)，對(duì)上崗的所有人員進(jìn)行安全

知識(shí)教育。

2)上路施工人員必須身穿反光衣帶安全帽，禁止穿涼鞋拖鞋，并正確使用個(gè)人安全防護(hù)用品。

3)嚴(yán)禁酒后進(jìn)入施工現(xiàn)場(chǎng)。

4)施工人員應(yīng)有責(zé)任分工，在道路上施工時(shí)，必須實(shí)行嚴(yán)格的人員工作責(zé)任制，必須服從負(fù)責(zé)人管

理指揮，各種安全標(biāo)志齊備，施工環(huán)境操作者配置安全裝置。

5)各工作點(diǎn)施工時(shí)均嚴(yán)格按要求布設(shè)安全示警牌、錐形交通標(biāo)等安全設(shè)施，確保施工安全；晚上施

工人員撤離現(xiàn)場(chǎng)后，現(xiàn)場(chǎng)仍布設(shè)安全設(shè)施，確保過往車輛和行人的安全。

6)文明施工、合理安拄施工計(jì)劃和施工程序、盡早清運(yùn)余土，盡量少占用行車道、非機(jī)動(dòng)乍道和人

行道，確保道路暢通，人車安全。

7)各種電動(dòng)工具必須有可靠有效的安全防護(hù)，接地裝置，做到一機(jī)一閘一漏電保護(hù)，不懂電氣和機(jī)

械的人員嚴(yán)禁使用和操作機(jī)電設(shè)備。

8)高處作業(yè)必須使用安全帶，安全帶使用前應(yīng)進(jìn)行檢查。安全帶必須掛在牢固的構(gòu)件上或?qū)閽彀?/p>

全帶用的鋼架或鋼絲繩上，并不得低掛高用，禁止掛在移動(dòng)或不牢固的物件上。高度超過1.5m

以上時(shí)，必須使用安全帶等其它可用的安全措施。

9)高處作業(yè)應(yīng)使用工具袋，較大的工具應(yīng)固定在牢固的構(gòu)件上，不準(zhǔn)隨便亂放，上下傳遞物件應(yīng)用

繩索拴牢傳遞，嚴(yán)禁上下拋擲。

10)在立桿吊裝、大交通量道路路面施工時(shí)，要制定詳細(xì)的施工方案和安全保障措施，并得到業(yè)主方

面的封道等幫助。

11)當(dāng)安全與進(jìn)度發(fā)生沖突時(shí)，要安全放在第i位。

12)施工現(xiàn)場(chǎng)要做好防盜措施，禁止非施工人員進(jìn)入現(xiàn)場(chǎng)，保管好各種操作工具，確保公司和個(gè)人財(cái)

產(chǎn)安全。

13)對(duì)突發(fā)事件的現(xiàn)場(chǎng)作好應(yīng)急措施。

4、對(duì)于登高作業(yè)的特殊要求

6)登高作業(yè)應(yīng)具備合適的登高器具，最佳器具是高空作業(yè)車或升降車，高空作業(yè)車必須有專人操作。

7)部分工程商會(huì)選擇廉價(jià)的腳手架甚至是木梯子，我們禁止使用木梯子進(jìn)行調(diào)試，在高空需要一手

拿筆記本，一手調(diào)試鏡頭，這樣工作危險(xiǎn)性太高.。使用腳手架調(diào)試可以接受，但是必須放置足夠

的反光路錐，并把拄腳手架的車輛停放到腳手架前部，這樣有車沖進(jìn)施工現(xiàn)場(chǎng)會(huì)多?層保護(hù)，登

高人員必須穿帶安全帶。

8)移動(dòng)腳手架到新的位置時(shí)，腳手架上方不允許有人。

9)有高空作業(yè)時(shí)，高車下方嚴(yán)禁站人，防止高空墜物傷人。

10)有高空作業(yè)時(shí)，地面工作人員需佩戴安全帽。

5、對(duì)于指導(dǎo)施工項(xiàng)目施工現(xiàn)場(chǎng)安全設(shè)置不滿足要求的處理

4)現(xiàn)場(chǎng)工程師應(yīng)及時(shí)即工程商集成商交流,提高對(duì)方的安全意識(shí).

5)經(jīng)過交流問題依然不能解決的，應(yīng)及時(shí)和項(xiàng)目銷售人員溝通，嚴(yán)格要求工程商提供必要的安保

設(shè)施。

6)在現(xiàn)場(chǎng)情況危險(xiǎn)的情況下，現(xiàn)場(chǎng)工程師可以拒絕危險(xiǎn)作業(yè)，并及時(shí)同相關(guān)人員交流溝通。

6、道路施工安全設(shè)施設(shè)置

道路施工，施工路段前端必須放置施工警示牌、反光路錐。在車流量比較大或夜間需要安擇專人

在施工位置前端指揮交通。

施工警示牌放置要求：

d)前方道路施工指示牌放置在距離施工位置300到350米位置。

e)減速慢行標(biāo)志放置在施工位置前150米位置。

0行車方向警示放置在施工位置前100米位置。

反光路錐放置要求：

c)反光路錐放置距離：反光路錐安全放置距離為施工車道限速值的距離，例如本車道限速值

90K/H,則反光路錐放置的安全距離為90M。

d)反光路錐從距離施工地點(diǎn)最遠(yuǎn)端，按照比較緩的斜線慢慢放置，給乘車司機(jī)以緩沖空間，

讓車輛逐漸沿著路錐改道到其它車道。

施工現(xiàn)場(chǎng)的車輛、工程輔材停放堆放要求：

施工現(xiàn)場(chǎng)的車輛必須停放到來車方向施工位置前方，井開啟雙閃緊急指示燈。

工程輔材堆放盡量堆放到不影響交通的綠化帶或路邊。

距離為該路段的限速值，如果施工現(xiàn)場(chǎng)有公司車輛或租賃車輛務(wù)必將車輛停滯在施工界面前面的

來車方向。

對(duì)前端指揮交通人員的要求：

c)交通指揮員必須穿反光背心、帶安全帽。

d)交通指揮員在前端必須精神集中，并面向來車方向，嚴(yán)禁在工作期間玩、看電子書。

施工現(xiàn)場(chǎng)封路要求：

d)施工前，需和公安交警部門打好招呼，重要路段或車流量較大路段最好協(xié)調(diào)安排交警到現(xiàn)

場(chǎng)幫忙指揮交通。

e)施工封路時(shí)，夜照保證施工現(xiàn)場(chǎng)交通有序、流暢I：勺原則封路，避免做成堵車或發(fā)生交通事

故。

0施工封路必須設(shè)照封一條路，施T完畢一條的原則，進(jìn)行封路施工：非必要情況下不允許

同事封兩條及以上的道路.

以卜.是施工過程中的幾種常見的封路方式。

5)雙車道路面局部施工時(shí)安全設(shè)施布設(shè)

6)四車道以上道路一惻路面施工時(shí)安全設(shè)施布設(shè)

7)同向車道中有一條車道路面施工時(shí)安全設(shè)施布設(shè)

8）同向車道中有兩條車道以上路面施工時(shí)安全設(shè)施布設(shè)

電子商務(wù)網(wǎng)站系統(tǒng)安全問題探討

中文摘要：隨著Internet、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，出現(xiàn)了一種新興的

商務(wù)模式一電子商務(wù)。隨著電子商務(wù)的飛速發(fā)展，其在市場(chǎng)中的地位已經(jīng)日見明

顯，慢慢開始在市場(chǎng)上盛行起來?？墒?，在發(fā)展的同時(shí)其也存在著威脅，安全成

為制約其發(fā)展的關(guān)鍵。電子商務(wù)以其快捷、便利等優(yōu)點(diǎn)越來越受到社會(huì)的認(rèn)可,

電子商務(wù)的發(fā)展前景十分誘人,但商業(yè)信息的安全依然是電子商務(wù)的首要問題。

本文在簡(jiǎn)單介紹了電子商務(wù)的現(xiàn)狀、安全隱患及安全技術(shù)措施，其中重點(diǎn)探討電

子商務(wù)的交易安全及網(wǎng)絡(luò)安全問題及相應(yīng)的解決措施。

Abstract：WiththedevelopmentofInternet,computertechnology,network

technology,thereisanewbusinessmodel-e-commerceWiththerapid

developmentofelectroniccommerce,itspositioninthemarkethasbecame

moreandmoreobvious,slowlybegantoprevailinthemarketllowever,there

existsathreat,atthesametimeinthedevelopmentofthesecuritybecome

thekeytoitsdevelopmentE-commerceandconvenientforitsadvantages

suchasmoreandmorerecognizedbysociety,thedevelopmentprospectof

e-commerceisveryattractive,butbusinessinformationsecurityremains

theprimaryproblemofelectroniccommerceThispapersimplyintroduces

thepresentsituationofelectroniccomirerce,securityandsafety

technicalmeasures,whichdiscussestheelectroniccommercetrade

securityandnetworksecurityproblemsandthecorrespondingsolutions

關(guān)鍵詞：電子商務(wù)安全數(shù)字簽名協(xié)議

Keywords：TheelectroniccommercesecurityAdigitalsignatureagreement

目錄

引言3

1.我國(guó)電子商務(wù)的現(xiàn)狀3

2.電子商務(wù)安全問題產(chǎn)生的原因3

2.1管理問題4

2.2技術(shù)問題4

2.3.環(huán)境問題4

3.網(wǎng)絡(luò)安全技術(shù)策略4

3.1支付安全4

密碼管理問題4

網(wǎng)絡(luò)病毒，木馬問題5

釣魚平臺(tái)5

3.2認(rèn)證安全5

4.電子商務(wù)采用的主要安全技術(shù)6

4.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全6

4.2通訊的安全6

4.3應(yīng)用程序的安全性6

結(jié)論7

引言

互聯(lián)網(wǎng)的發(fā)展及全面普及，給現(xiàn)代商業(yè)帶來了新的發(fā)展機(jī)遇，基于互聯(lián)網(wǎng)的

電子商務(wù)應(yīng)運(yùn)而生，并成為一種新的商務(wù)模式。以互聯(lián)網(wǎng)為基礎(chǔ)的這種新的商務(wù)

模式，也存在著許多亟待解決的問題。調(diào)查顯示，網(wǎng)絡(luò)安全、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建

設(shè)等九大問題是阻礙電子商務(wù)發(fā)展的主要因素。其中，安全問題被調(diào)查對(duì)象列在

首位。人們?cè)谙硎茈娮由虅?wù)帶來極大方便的同時(shí)，也經(jīng)常會(huì)被安全問題所困擾。

安全問題成為電子商務(wù)的核心問題。本文將對(duì)電子商務(wù)安全問題及基本解決辦法

做一個(gè)探討，從而為進(jìn)一步地解決其遇到的問題提出合理化的建議。

1.我國(guó)電子商務(wù)的現(xiàn)狀

現(xiàn)如今，隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)上購物大軍達(dá)到2000萬人，在全體

互聯(lián)網(wǎng)網(wǎng)民中，有過購物經(jīng)歷的網(wǎng)民占近20%的比例。目前仍有60%的中小企

業(yè)的信息化程度處于初級(jí)階段。因此，電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢(shì),

也是國(guó)際金融貿(mào)易中越來越重要的經(jīng)營(yíng)模式，以后它還會(huì)逐漸地成為我們經(jīng)濟(jì)生

活中一個(gè)重要部分。但同時(shí)我們也看到，我國(guó)的電子商務(wù)還處于了發(fā)展的初級(jí)階

段還有很長(zhǎng)的路要走，從而安仝是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。根據(jù)

調(diào)查顯示，目前電子商務(wù)安全主要存在的問題是:計(jì)算機(jī)網(wǎng)絡(luò)安全，商品的品質(zhì)，

商家的誠(chéng)信，貨款的支付，商晶的遞送，買賣糾紛處理，網(wǎng)站售后服務(wù)以上問題

可以歸結(jié)為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。

計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，玦一

不可。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。沒

有計(jì)算機(jī)網(wǎng)絡(luò)安全作為基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談起。沒有商

務(wù)交易安全保障，即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全，仍然無法達(dá)到電子商務(wù)所特有的

安全要求。只有解決好以上的矛盾，電子商務(wù)才能保證又快又好的發(fā)展。

2.電子商務(wù)安全問題產(chǎn)生的原因

電子商務(wù)安全問題，不僅僅是網(wǎng)絡(luò)安全問題，還包括信息安全問題、交易過

程安全問題。

2.1管理問題

大多數(shù)電子商務(wù)網(wǎng)站缺乏統(tǒng)一的管理，沒有一個(gè)合理的評(píng)價(jià)標(biāo)準(zhǔn)。同時(shí)，安

全管理也存在很大隱患，大多數(shù)網(wǎng)站普遍易受黑客的攻擊，造成服務(wù)器癱瘓，使

網(wǎng)站的信譽(yù)受到極大損害。

2.2技術(shù)問題

網(wǎng)絡(luò)安全體系尚未形成。網(wǎng)絡(luò)安全在全球還沒有形成一個(gè)完整的體系。雖然

電子商務(wù)安全的產(chǎn)品數(shù)量不少，但真正通過認(rèn)證的卻相當(dāng)少。安全技術(shù)的強(qiáng)度普

遍不夠，國(guó)外有關(guān)電子商務(wù)的安全技術(shù)，雖然整體來看其結(jié)構(gòu)或加密技術(shù)都不錯(cuò)，

但這種加密算法受到外國(guó)密碼政策的限制，對(duì)其他國(guó)出口的安全技術(shù)往往強(qiáng)度不

夠。

2.3.環(huán)境問題

社會(huì)環(huán)境對(duì)于電子商務(wù)發(fā)展帶來的影響也不小。社會(huì)法制建設(shè)不夠，近年來，

各種環(huán)境問題與事故頻頻發(fā)生，大氣環(huán)境受到了嚴(yán)重的污染，在全國(guó)部分地區(qū)霧

霾嚴(yán)重，環(huán)境問題十分嚴(yán)重，相關(guān)法律建設(shè)跟不上電子商務(wù)發(fā)展的法律基礎(chǔ)保

證。

3.網(wǎng)絡(luò)安全技術(shù)策略

3.1支付安全

由于網(wǎng)絡(luò)天生的不安全性，特別是其網(wǎng)上支付領(lǐng)域有著各種各樣的交易風(fēng)險(xiǎn)。

但無論是何種風(fēng)險(xiǎn)，其根本原因都是由于登錄密碼或支付密碼泄露造成的。

3.1.1密碼管理問題

大部分公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是密碼政策管理不善。大多數(shù)用

戶使用的密碼都是字典中可查到的普通單詞姓名或者其他簡(jiǎn)單的密碼。有86%的

用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼。許多攻擊者還會(huì)

直接使用軟件強(qiáng)力破解一些安全性弱的密碼。因此，因此建議用戶使用復(fù)雜的密

碼，降低被病毒破譯密碼的可能性，提高計(jì)算機(jī)系統(tǒng)的安全性。需要注意：一是

密碼不要設(shè)置為姓名、普通單詞一、號(hào)碼、生日等簡(jiǎn)單密碼;二是結(jié)合字母、

數(shù)字、大小寫共組密碼;三是密碼位數(shù)應(yīng)盡量大于9位。

3.1.2網(wǎng)絡(luò)病毒，木馬問題

現(xiàn)今流行的很多木馬病毒都是專門用于竊取網(wǎng)上銀行密碼而編制的。木馬會(huì)

監(jiān)視1E瀏覽器正在訪問的網(wǎng)頁，如果發(fā)現(xiàn)用戶正在登錄個(gè)人銀行，直接進(jìn)行鍵

盤記錄輸入的帳號(hào)、密碼，或者彈出偽造的登錄對(duì)話框，誘騙用戶輸入登錄密碼

和支付密碼.然后通過郵件將竊取的信息發(fā)送出去。因此，需要做好自身電腦的

日常安全維護(hù)，注意以下幾點(diǎn)：

一是經(jīng)常給電腦系統(tǒng)升級(jí)，二是安裝殺毒軟件、防火墻，經(jīng)常升級(jí)和殺毒,

三在平時(shí)上網(wǎng)是盡量不上一些小型網(wǎng)站，選大型網(wǎng)站，知名度比較高的網(wǎng)站，避

免網(wǎng)站掛有病毒、木馬造成中毒，四盡量不要在公共電腦上使用自己的有關(guān)資金

的帳戶和密碼，五有條件的情況下，在初裝系統(tǒng)后確認(rèn)電腦安全的后，給自己的

電腦做上備份，在使用資金帳戶前做一次系統(tǒng)恢復(fù)。

釣魚平臺(tái)

“網(wǎng)絡(luò)釣魚”攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙

活動(dòng)，如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。受騙

者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶號(hào)和口令等。因此，在登錄支

付資金時(shí)，應(yīng)注意：一是確認(rèn)該網(wǎng)是否是官方網(wǎng)站，二是仔細(xì)核對(duì)該網(wǎng)的域名是

否正確，注意小寫“1”與“L”、“0”與“0”等情況，三保證良好的上

網(wǎng)習(xí)慣，收藏常用的網(wǎng)址，減少網(wǎng)上鏈接。

3.2認(rèn)證安全

電子商務(wù)為了保證網(wǎng)絡(luò)上傳遞信息的安全，通常采用加密的方法。但這是不

夠的，如何確定交易雙方的身份，如何獲得通訊對(duì)方的公鑰并且相信此公鑰是由

某個(gè)身份確定的人擁有的，解決方法就是找一個(gè)大家共同信任的第三方，即認(rèn)證

中心頒發(fā)電子證書。用戶之間利用證書來保證安全性和雙方身份的合法性，只有

確定身份后，交易的糾紛，才得到有效的裁決。息之，電子商務(wù)的安全是個(gè)非常

復(fù)雜的問題，它的保障機(jī)制必須是有機(jī)的，多層次的，需要有企業(yè)管理方面，技

術(shù)支持方面的協(xié)調(diào)來實(shí)現(xiàn)。它是一個(gè)系統(tǒng)有機(jī)的整體，不僅需要計(jì)算機(jī)網(wǎng)絡(luò)安全

的保證，也需要商務(wù)交易安全上的保隙，更需要管理上的進(jìn)步，才能確保電子商

務(wù)的安全。同時(shí)我國(guó)在電子商務(wù)技術(shù)性較為落后，必須加強(qiáng)具有自主產(chǎn)權(quán)的信息

安全產(chǎn)品的研究，注意加強(qiáng)信息安全人才的培養(yǎng)，多方共同努力建立科學(xué)的電子

商務(wù)安全機(jī)制，才能為我國(guó)的電子商務(wù)又快又好的發(fā)展保駕護(hù)行。

4.電子商務(wù)采用的主要安全技術(shù)

4.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能

夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判

斷。通過靈活有效地運(yùn)用這些功能，制定正確的安全策略,將能提供一個(gè)安全、高

效的Intranet系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或

任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全

方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、

服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措

施，以及管埋制度等。所有擔(dān)叮能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加

以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。

4.2通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所

傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安

全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到

128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽

器出示它的證書,證書包括一個(gè)公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。

瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰。

驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只

需用戶下載該站點(diǎn)的服務(wù)器證書，此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

4.3應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,

因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送

到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí)；

程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有

有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可。

結(jié)論

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但

是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決

于系統(tǒng)的風(fēng)險(xiǎn)要控制在H么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,

僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的，而不是絕對(duì)的。因此,為進(jìn)一

步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子

商務(wù)中出現(xiàn)的各類問題，使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn)

[1]馮昊，電子商務(wù)的安全問題及對(duì)策，高等教育出版社，2005

[2]張曉黎:數(shù)據(jù)加密技術(shù)的應(yīng)用，計(jì)算機(jī)與數(shù)字工程,2005

[3]祁明：電子商務(wù)安全與保密，高等教育出版社,2001

一系統(tǒng)安全設(shè)計(jì)

1.1常用安全設(shè)備

1.1.1防火墻

主要是可實(shí)現(xiàn)基本包過濾策略的防火墻，這類是有硬件處理、軟件處理等,

其主要功能實(shí)現(xiàn)是限制對(duì)IP：port的訪問?；旧系膶?shí)現(xiàn)都是默認(rèn)情況下關(guān)閉所

有的通過型訪問，只開放允許訪問的策略。

1.L2抗DD0S設(shè)備

防火墻的補(bǔ)充，專用抗DDOS設(shè)備，具備很強(qiáng)的抗攻擊能力。

1.1.3IPS

以在線模式為主，系統(tǒng)提供多個(gè)端口，以透明模式工作。在一些傳統(tǒng)防火墻

的新產(chǎn)品中也提供了類似功能，其特點(diǎn)是可以分析到數(shù)據(jù)包的內(nèi)容，解決傳統(tǒng)防

火墻只能工作在4層以下的問題。和IDS一樣，IPS也要像防病毒系統(tǒng)定義N種

已知的攻擊模式，并主要通過模式匹配去阻斷非法訪問。

1.1.4SSLVPN

它處在應(yīng)用層，SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在

應(yīng)用程序協(xié)議和TCP/IP之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服

務(wù)器認(rèn)證以及可選擇的客戶機(jī)認(rèn)證。

1.1.5WAF（WEB應(yīng)用防火墻）

Web應(yīng)用防護(hù)系統(tǒng)（WebApplicationFirewall,簡(jiǎn)稱：WAF）代表了一類新興的信息

安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火

墻不同，WAF工作在應(yīng)用層，因此對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)?；谧芖eb應(yīng)

用業(yè)務(wù)和邏輯的深刻理解,WAF對(duì)來自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)

證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防

護(hù)。

產(chǎn)品特點(diǎn)

?異常檢測(cè)協(xié)議

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)

求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范

圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未

被完全制定的選項(xiàng)。

?增強(qiáng)的輸入驗(yàn)證

增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入

侵行為。從而減小Web服務(wù)器被攻擊的可能性。

?及時(shí)補(bǔ)丁

修補(bǔ)Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會(huì)知道下一秒有

什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來什么樣的危害。WAF可以為我們做這項(xiàng)工

作了一一只要有仝面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏

洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對(duì)應(yīng)的補(bǔ)丁木

身就是一種安全威脅，但我們?cè)跊]有選擇的情況下，任何保護(hù)措施都比沒有保護(hù)

措施更好。

（附注：及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中，因?yàn)檫@些應(yīng)

用的通信協(xié)議都具規(guī)范性。）

?基于規(guī)則的保護(hù)和基于異常的保護(hù)

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)

規(guī)則庫，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有

的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但

這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困

難的一件事情。

?狀態(tài)管理

WAF能夠判斷用戶是否是第一次訪問并且將請(qǐng)求重定向到默認(rèn)登錄頁面并

且記錄事件。通過檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理

模式還能檢測(cè)出異常事件（比如登陸失?。?，并且在達(dá)到極限值時(shí)進(jìn)行處理，這

對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

?其他防護(hù)技術(shù)

WAF還有一些安全增強(qiáng)的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)

帶來的問題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保

護(hù)。

1.2網(wǎng)絡(luò)安全設(shè)計(jì)

1.2.1訪問控制設(shè)計(jì)

防火墻通過制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪

問控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。其

中防火墻產(chǎn)品從網(wǎng)絡(luò)層到應(yīng)用層都實(shí)現(xiàn)了自由控制。

屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)

兩種類型。先來看單宿堡壘主機(jī)類型。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)

安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)

則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被

授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪

問Interneto

L2.2拒絕服務(wù)攻擊防護(hù)設(shè)計(jì)

對(duì)某些域名服務(wù)器的大規(guī)模拒絕服務(wù)攻擊會(huì)造成互聯(lián)網(wǎng)速度普遍下降或停止運(yùn)行；以使

得被攻擊計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或者資源，合法用戶的請(qǐng)求得不到及時(shí)的響應(yīng)。

由于DoS的攻擊具有隱蔽性，到FI前為止還沒有行之有效的防御方法。首先，這種攻擊的

特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP,才有可能完全抵御住DoS攻擊。

1）和ISP協(xié)調(diào)工作，讓他們幫助實(shí)施正確的路由訪問控制策略以保護(hù)帶寬和內(nèi)部網(wǎng)絡(luò)。

2）建立邊界安全界限，確保輸入輸出的包受到正確限制。經(jīng)常檢測(cè)系統(tǒng)配置信息，并

注意查看每天的安全日志，

3）利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，

過濾掉所有的可能的偽造數(shù)據(jù)包。

4）關(guān)閉不必要的服務(wù)，及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。對(duì)一

些重要的信息建立和完善備份機(jī)制，對(duì)一些特權(quán)帳號(hào)的密碼設(shè)置要謹(jǐn)慎。

5）充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。如路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)

絡(luò)有效地保護(hù)起來。被攻擊時(shí)最先死掉的是路由器，但其他機(jī)器沒有死。死掉的路由器經(jīng)重

啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會(huì)

丟失，而且重啟服務(wù)器是一個(gè)漫長(zhǎng)的過程。

當(dāng)你發(fā)現(xiàn)自己正遭受DoS攻擊時(shí)，應(yīng)立即關(guān)閉系統(tǒng)，或至少切斷與網(wǎng)絡(luò)的連接，保存

入侵的記錄，讓安全組織來研究分析。

6）使用專業(yè)DoS防御設(shè)備。

1.2.3嗅探（sniffer）防護(hù)設(shè)計(jì)

嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)行數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探

器能夠收集的信息就越少，網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)各。有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能

跨過的：交換機(jī)、路由器、網(wǎng)橋“對(duì)網(wǎng)絡(luò)進(jìn)行分段，比如在交換機(jī)上設(shè)置VLAN,使得網(wǎng)絡(luò)

隔離不必要的數(shù)據(jù)傳送。采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)字。然后，每個(gè)

月人為地對(duì)每段進(jìn)行檢測(cè)（也可以每個(gè)月采用MD5隨機(jī)地對(duì)某個(gè)段進(jìn)行檢測(cè)）。

1.3主機(jī)安全設(shè)計(jì)

1.3.1操作系統(tǒng)

1.3.2安全基線配置

操作系統(tǒng)安全是信息系統(tǒng)安全的最基本，最基礎(chǔ)的安全要素。操作系統(tǒng)的任何安全脆弱

性和安全漏洞，必然導(dǎo)致信息系統(tǒng)的整體安全脆弱性。在目前的操作系統(tǒng)中，對(duì)安全機(jī)制的

設(shè)計(jì)不盡完善，存在較多的安全漏洞隱患。面對(duì)黑客的盛行，網(wǎng)絡(luò)攻擊的日益頻繁，運(yùn)用技

術(shù)愈加選進(jìn)，有必要使用安全漏洞掃描工具對(duì)計(jì)算機(jī)操作系統(tǒng)的進(jìn)行漏洞掃描，對(duì)操作系統(tǒng)

進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行升級(jí)。

應(yīng)及時(shí)安裝操作系統(tǒng)安全補(bǔ)丁程序，對(duì)掃描或手工檢查發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)，并及

時(shí)關(guān)閉存在漏洞的與承載業(yè)務(wù)無關(guān)的服務(wù)；通過訪問控制限制對(duì)漏洞程序的訪問。比如

windows操作系統(tǒng)補(bǔ)丁升級(jí)

在操作系統(tǒng)安裝之后立即安全防病毒軟件，定期掃描，實(shí)時(shí)檢查和清除計(jì)算磁盤引導(dǎo)記

錄、文件系統(tǒng)和內(nèi)存，以及電子郵件病毒。目前新的病毒發(fā)展很快，需及時(shí)更新病毒庫。比

如SyniantecEndpointProtect（SEP防病毒服務(wù)器版）。

SymantecEndpointProiect無縫集成了一些基本技術(shù)，如防病毒、反間諜軟件、防火墻、

入侵防御、設(shè)備和應(yīng)用程序控制。能有效阻截惡意軟件，如病毒、蠕蟲、特洛伊木馬、間諜

軟件、惡意軟件、Bo、零日威脅和rootkit.從而防止安全違規(guī)事件的發(fā)生，從而降低管理

開銷。

通過配置用戶帳號(hào)與口令安全策略，提高主機(jī)系統(tǒng)帳戶與口令安全。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

Daemon

Bin

Sys

Adm

Uucp

清理多余用戶帳號(hào)，限制系統(tǒng)默認(rèn)

限制系統(tǒng)無用Nuucp

帳號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶，

的默認(rèn)帳號(hào)登錄

Lpd制訂用戶列表進(jìn)行妥善保存

Imnadm

Ldap

Lp

Snapp

invscout

root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄

口令中某一字符最多只能重復(fù)3

次

maxrepeats=3

口令最短為8個(gè)字符

minlen=8

口令中最少包含4個(gè)字母字符

minalpha=4

口令中最少包含一個(gè)非字母數(shù)字

minother=l

字符

口令策略

mindiff=4

新口令中最少有4個(gè)宇符和出口

minage=l令不司

maxage=25（可選）口令最小使用壽命1周

histsize=10口令的最大壽命25周

口令不重復(fù)的次數(shù)10次

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

FTP用戶帳號(hào)

/etc/ftpusers禁止root用戶使用FTP

控制

對(duì)系統(tǒng)的口志進(jìn)行安全控制與管理，保護(hù)口志的安全與有效性。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

記錄authlog、

記錄必需的日志信息，以便進(jìn)行申

日志記錄wtmp.log、sulog、

計(jì)

failedlogin

日志存儲(chǔ)（可日志必須存儲(chǔ)在日志使用日志服務(wù)器接受與存儲(chǔ)主機(jī)

選）服務(wù)器中日志

日志保存要求2個(gè)月日志必須保存2個(gè)月

日志系統(tǒng)配置文件屬性400（管理修改日志配置文件（syslog.conf）

文件保護(hù)員帳號(hào)只讀）權(quán)限為400

文件屬性400（管理修改日志文件authlog、wtmp.log、

日志文件保護(hù)

員帳號(hào)只讀）sulog、failedlogin的權(quán)限為400

1.4數(shù)據(jù)庫

1.4.1安全基線配置

數(shù)據(jù)庫系統(tǒng)自身存在很多的漏洞，嚴(yán)重威脅數(shù)據(jù)庫自身的安全，縣：至還會(huì)威脅到操作系

統(tǒng)的安全。oracle.SQLServer等數(shù)據(jù)庫有很多的廣為人知的漏洞，惡意的用戶很可能利用這

些漏洞進(jìn)行數(shù)據(jù)庫入侵操作。同時(shí)在企業(yè)內(nèi)部對(duì)數(shù)據(jù)庫權(quán)限管理不嚴(yán)格，數(shù)據(jù)庫管理員不正

確的管理數(shù)據(jù)庫，使得內(nèi)部普通員工很容易獲取數(shù)據(jù)庫的數(shù)據(jù)。因此需通過數(shù)據(jù)庫安全掃描

工具，比如安信通數(shù)據(jù)庫漏洞掃描系統(tǒng)DatabaseSecurityScanSystem簡(jiǎn)稱AXT-DBSo

AXTDBS數(shù)據(jù)庫安全掃描系統(tǒng)能夠臼動(dòng)地鑒別在數(shù)據(jù)庫系統(tǒng)中存在的安全隱患，能夠掃描從

口令過于簡(jiǎn)單、權(quán)限控制、系統(tǒng)配置等一系列問題，內(nèi)置的知識(shí)庫能夠?qū)`背和不遵循安全

性策略的做法推薦修正的裸作，并提供簡(jiǎn)單明了的綜合報(bào)告和詳細(xì)報(bào)告。

配置用戶帳號(hào)與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)帳戶與口令安全。

技術(shù)要求技術(shù)點(diǎn)（參數(shù)）說明

數(shù)據(jù)庫主機(jī)管理

控制默認(rèn)主機(jī)管理員帳號(hào)禁止使用oracle或

員帳號(hào)

administrator作為數(shù)據(jù)庫主機(jī)

管理員帳號(hào)

oracle帳號(hào)刪除無用帳號(hào)清理帳號(hào)，刪除無用帳號(hào)

默認(rèn)帳號(hào)修改口令如DBSNMPSCOTT

修改配置參數(shù)，禁止SYSDBA

禁止遠(yuǎn)程登錄

遠(yuǎn)程登錄

數(shù)據(jù)庫SYSDBA

帳號(hào)

修改配置參數(shù)，禁止SYSDBA

禁止自動(dòng)登錄

自動(dòng)登錄

a）密碼復(fù)雜度8個(gè)字符

a)PASSWORD_VERIFY_FUNCTION8

口令策略b）口令有效期180天

b)PASSWORD_LIFE_TIME180(可選)

c）禁止使用最近5次使用的

c)PASSWORD_REUSE_MAX5

口令

帳號(hào)策略FAILED_LOGIN_ATTEMPTS5連續(xù)5次登錄失敗后鎖定用戶

public權(quán)限優(yōu)化清理public各種默認(rèn)權(quán)限

對(duì)系統(tǒng)的口志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

日志審核啟用啟用數(shù)據(jù)庫審計(jì)功能

登錄日志記錄啟動(dòng)建立日志表，啟動(dòng)觸發(fā)器

數(shù)據(jù)庫操作日志

啟動(dòng)建立日志表，啟動(dòng)觸發(fā)器

（可選）

日志審計(jì)策略

OS日志記錄在操作系統(tǒng)中

（可選）

日志保存要求2個(gè)月日志必須保存2個(gè)月

日志文件保護(hù)啟用設(shè)置訪問日志文件權(quán)限

對(duì)系統(tǒng)配置參數(shù)進(jìn)行調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

啟用數(shù)據(jù)字典保護(hù)限制只有SYSDBA權(quán)限的用戶

數(shù)據(jù)字典保護(hù)

才能訪問數(shù)據(jù)字典

監(jiān)聽程序加密設(shè)置監(jiān)聽器口令設(shè)置監(jiān)聽器口令

監(jiān)聽服務(wù)連接超編輯listener.ora文件

設(shè)置監(jiān)聽器連接超時(shí)

時(shí)connect_timeout_listener=10秒

服務(wù)監(jiān)聽端口

在不影響應(yīng)用的情況下，更改默認(rèn)端口修改默認(rèn)端口TCP1521

（可選）

1.4.2中間件

Tomcat中間件安全要求

應(yīng)用安全加固，提高程序安全。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

關(guān)閉war自動(dòng)部署，防止被植入木馬unpackWARs="false"

應(yīng)用程序安全

等惡意程序autoDeploy="false"

用戶帳號(hào)與口令安全

配置用戶帳號(hào)與口令安全策略，提高系統(tǒng)帳戶與口令安全。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

安全策略屏蔽用戶權(quán)限用戶安全設(shè)置

<?xmlversion='1.0'encoding='utf-8'?>

注釋或刪除

tomcat_users.xm<tomcat-users>注釋或刪除所有用戶權(quán)限

1所有用戶權(quán)限

</tomcat-users>

隱藏tomcat版本隱藏tomcat版本信息，編輯

enableLookup=wfalsew

信息server.xml

<init-param>

<param-name>listings</param-name>

安全配置禁止列目錄，編輯web.xml

<param-value>false</param-value>

</init-param>

對(duì)系統(tǒng)的配置進(jìn)行優(yōu)化，保護(hù)程序的安全與有效性。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

用普通用戶啟動(dòng)Tomcat為了進(jìn)一步安全，我們不建

議使用root來啟動(dòng)Tomcato

這邊建議使用專用用戶

tomcat或者nobody用戶來

優(yōu)化server.xml啟動(dòng)Tomcat。

在啟動(dòng)之前，需要對(duì)我們的

tomcat安裝目錄下所有文件

的屬主和屬組都設(shè)置為指定用

戶。

安全防護(hù)

通過對(duì)tomcat系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全穩(wěn)定。

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明

設(shè)置session過期時(shí)間，tomcat默認(rèn)

防止已知攻擊

是30分鐘

maxThreads連接數(shù)限制maxThreads是Tomcat所能接

受最大連接數(shù)。一般設(shè)置不要超過

8000以上，如果你的網(wǎng)站訪問量非

常大可能使用運(yùn)行多個(gè)Tomcat實(shí)

例的方法，即，在一個(gè)服務(wù)器上啟

動(dòng)多個(gè)tomcat然后做負(fù)載均衡處

安裝優(yōu)化（可選）理

tomcat作為一個(gè)應(yīng)用服務(wù)器，也是

支持gzlp壓縮功能的。我們可以在

壓縮傳輸server.xml配置文件中的

Connector節(jié)點(diǎn)中配置如下參數(shù)，

來實(shí)現(xiàn)對(duì)指定資源類型進(jìn)吁壓縮。

線上是不使用Tomcat默

禁用Tomcat管理頁面

認(rèn)提供的管理頁面的，因此都

會(huì)在初始化的時(shí)候就把這些頁

技術(shù)要求標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明

面刪掉。這些頁面是存放在

Tomcat安裝目錄下的

webapps目錄下的。

我們只需要?jiǎng)h除該目錄下的

所有文件即可c

L5應(yīng)用安全設(shè)計(jì)

1.5.1身份鑒別防護(hù)設(shè)計(jì)

1)口令創(chuàng)建

口令創(chuàng)建時(shí)必須具有相應(yīng)規(guī)則，如要求，口令不能使用連續(xù)數(shù)字、必須由大小寫字母數(shù)

字和特殊字符混合組成等，

2)口令傳輸

口令驗(yàn)證、修改等操作發(fā)生時(shí)，傳輸?shù)椒?wù)器端的口令，在傳輸通道I:應(yīng)采用加密或

SSL方式傳輸。降低口令在網(wǎng)絡(luò)傳輸被截取所帶來的風(fēng)險(xiǎn)。

3)口令存儲(chǔ)

口令在存儲(chǔ)時(shí)，應(yīng)采MD5加密后存儲(chǔ)。嚴(yán)禁明文存儲(chǔ)，避免口令存儲(chǔ)文件暴露時(shí)用戶

口令泄密。

4)口令輸入

網(wǎng)絡(luò)認(rèn)證登耒時(shí)?，口令輸入控件避免使用游覽器自苕的口令輸入框和鍵盤直接輸入。通

過提供口令輸入插件、軟件盤等方式提高口令輸入安全性。

5)口令猜測(cè)

限制口令長(zhǎng)度不低于8位，降低被猜測(cè)的風(fēng)險(xiǎn)，提高口令破解難度。

6)口令維護(hù)

對(duì)需要重新設(shè)置口令的，管理員重置為初始口令。用戶首次使用該口令時(shí)，強(qiáng)制要求修改初

始口令。增加口令有效期限制，同一口令超出有效期后用戶必須更改新口令。

1.5.2訪問控制防護(hù)設(shè)計(jì)

自主性訪問控制是在確認(rèn)主體身份及其所屬的組的基礎(chǔ)上對(duì)訪問進(jìn)行控制的一種控制策略。

它的基本思想是：允許某個(gè)主體顯示的指定其他主體對(duì)該主體所擁有的信息資源是否可以訪

問以及執(zhí)行。

自主訪問控制有兩種實(shí)現(xiàn)機(jī)制：一是基于主體DAC實(shí)現(xiàn)，它通過權(quán)限表表明主體對(duì)所有客

體的權(quán)限，當(dāng)刪除一個(gè)客體時(shí)，需遍歷主體所有的權(quán)限表；另一種是基于客體的DAC實(shí)現(xiàn)，

它通過訪問控制鏈表ACL(AccessControlList)來表明客體對(duì)所有主體的權(quán)限，當(dāng)刪除一個(gè)主體

時(shí)，要檢查所有客體的ACL。為了提高效率，系統(tǒng)一般不保存整個(gè)訪問控制矩陣，是通過基

于矩陣的行或列來實(shí)現(xiàn)訪問控制策略。

1.6自身安全防護(hù)設(shè)計(jì)

L6.1注入攻擊防護(hù)設(shè)計(jì)

1）對(duì)數(shù)據(jù)進(jìn)行正確地轉(zhuǎn)義處理：

以保證它們不會(huì)被解釋為HTML代碼（對(duì)瀏覽器而言）或者XML代碼（對(duì)Flash而言）。

過濾參數(shù)中符合＜htmlx/html＞標(biāo)簽和＜scriptx/script＞的特殊字符，對(duì)替換為

“＞”替換為“（”替換為“(“，替換為“("，…替換為"'”,

替換""”。

2）刪除會(huì)被惡意使用的字符串或者字符：

一般情況下，刪除一些字符會(huì)對(duì)用戶體驗(yàn)造成影響，舉例來說，如果開發(fā)人員刪除了上

撇號(hào)（'），那么對(duì)某些人來說就會(huì)帶來不便，如姓氏中帶有撇號(hào)的人，他們的姓氏就無法正常

顯示。

對(duì)所有用戶提供的又被發(fā)回給Web瀏覽器的數(shù)據(jù)都進(jìn)行轉(zhuǎn)義處理，包括AJAX調(diào)用、移動(dòng)式

應(yīng)用、Web頁面、重定向等內(nèi)的數(shù)據(jù)。過濾用戶輸入要保護(hù)應(yīng)用程序免遭跨站點(diǎn)腳本編制

的攻擊，請(qǐng)通過將敏感字符轉(zhuǎn)換為其對(duì)應(yīng)的字符實(shí)體來清理HTMLo這些是HTML敏感字

符：＜＞"'%；）（&+o

1.6.2漏洞利用防護(hù)設(shè)計(jì)

使用安裝在目標(biāo)計(jì)算系統(tǒng)上的安全組件在傳輸層（例如傳輸通信協(xié)議（TCP）套接層）監(jiān)

控網(wǎng)絡(luò)流量。當(dāng)接收到以所述計(jì)算系統(tǒng)為目的的消息時(shí)，將被包括在所述消息中的數(shù)據(jù)與用

于識(shí)別惡意代碼的利用證據(jù)進(jìn)行比較。所述利用證據(jù)通過收集關(guān)于所述惡意代碼的信息的安

全服務(wù)提供給所述安全組件。基于所述消息中的數(shù)據(jù)與所述利用證據(jù)的所述比較，識(shí)別規(guī)則，

所述規(guī)則指示所述安全組件對(duì)所接收的消息采取適當(dāng)?shù)男袆?dòng)。

1.6.3防篡改設(shè)計(jì)

當(dāng)判斷出現(xiàn)篡改后，系統(tǒng)進(jìn)入緊急處理程序。緊急程序首先做的是恢復(fù)被篡改文件。將“樣

本”文件覆蓋到WebService的指定目錄中去，使WEB服務(wù)正常；然后發(fā)送報(bào)警信息，同時(shí)，

縮短輪詢時(shí)間為每50亳秒一次。當(dāng)繼續(xù)檢測(cè)到異常時(shí)，首先停止WEB服務(wù)，然后發(fā)送報(bào)警

信息。

1.6.4應(yīng)用審計(jì)設(shè)計(jì)

系統(tǒng)提供日志功能，將用戶登錄、退出系統(tǒng)，以及重要H勺模塊所有的操作都記錄在日志中，

并且重要的數(shù)據(jù)系統(tǒng)采用回收站的方式保留，系統(tǒng)管理員能夠恢復(fù)被刪除的數(shù)據(jù)，有效追蹤

非法入侵和維護(hù)系統(tǒng)數(shù)據(jù)安全。

操作系統(tǒng)日志是操作系統(tǒng)為系統(tǒng)應(yīng)用提供的一項(xiàng)審計(jì)服務(wù),這項(xiàng)服務(wù)在系統(tǒng)應(yīng)用提供的

文本串形式的信息前面添加應(yīng)用運(yùn)行的系統(tǒng)名、時(shí)戳、事件ID及用戶等信息，然后進(jìn)行本

地或遠(yuǎn)程歸檔處理。操作系統(tǒng)口志很容易使用，許多安全類工具都使用它作為自己的口志數(shù)

據(jù)。如，Window操作系統(tǒng)日志記錄系統(tǒng)運(yùn)行的狀態(tài)，通過分析操作系統(tǒng)日志，可以實(shí)現(xiàn)對(duì)

操作系統(tǒng)的實(shí)時(shí)監(jiān)拄，達(dá)到入侵防范的目的。

操作系統(tǒng)日志分析需要將大量的系統(tǒng)日志信息經(jīng)過提取并處理得到能夠讓管理員識(shí)別

的可疑行為記錄，然后分析日志可以對(duì)操作系統(tǒng)內(nèi)的可疑行為做出判斷和響應(yīng)。

為了保證日志分析的正常判斷，系統(tǒng)日志的安全就變得異常重要，這就需要從各方面去

保證日志的安全性，系統(tǒng)日志安全通常與三個(gè)方面相關(guān)，簡(jiǎn)稱為“QA”：

1.保密性(Confidentiality)：使信息不泄露給非授權(quán)的個(gè)人