附录A工业控制系统信息物理融合中的威胁
A.1感知层安全威胁
感知层主要由各种物理传感器、执行器等组成,是整个物理信息系统中信息的来源。为了适应多变的环境,网络节点多布置在无人监管的环境中,因此易被攻击者攻击。常见的针对感知层的攻击方式有:
a)数据破坏:攻击者未经授权,对感知层获取的信息进行篡改、增删或破坏等;
b)信息窃听:攻击者通过搭线或利用传输过程中的非法监听,造成数据隐私泄露等问
题;
c)节点捕获:攻击者对部分网络节点进行控制,可能导致密钥泄露,危及整个系统的
通信安全。
A.2网络层安全威胁
网络层一般要接入网络,而接入网络本身就会给整个物理信息系统带来威胁。一方面,作为链接感知层和控制层的数据传输的通道,其中传输的信息易成为攻击者的目标;另一方面,由于接入网络,网络层易受到攻击。网络层的主要安全威胁如下:
a)拒绝服务攻击:攻击者通过先向服务器发送大量请求,使得服务器缓冲区爆满而被
迫停止接受新的请求,使系统崩溃从而影响合法用户的使用;
b)选择性转发:恶意节点在接收到数据后,不全部转发所有信息,而是将部分或全部
关键信息在转发过程中丢掉,破坏了数据的完整性;
c)方向误导攻击:恶意节点在接收到数据包后,对其源地址和目的地址进行修改,使
得数据包沿错误路径发送出去,造成数据丢失或网络混乱。
A.3控制层安全威胁
控制层中数据库中存放着大量用户的隐私数据,因此在这一层中一旦发生攻击就会出现大量隐私泄漏的问题。针对应用层的主要威胁有:
a)用户隐私泄漏:用户的所有的数据都存储在控制层中的数据库中,其中包含用户的
个人资料等隐私的数据都存放在数据库中,一旦数据库被攻陷,就会导致用户的隐
私产生泄漏,造成很严重的影响;
b)恶意代码:恶意代码是指在运行过程中会对系统造成不良影响的代码库,攻击者一
般会将这些代码嵌入到注释中,脚本一旦在系统中运行,就会对系统造成严重的后
果;
c)非授权访问:对于一个系统来说,会有各种权限的管理者,比如超级管理员,对该
系统有着最高的操作权限,一般管理员对该系统有部分的操作权限。非授权访问指
的就是攻击者在未经授权的情况下不合理的访问本系统,攻击者欺骗系统,进入到
本系统中对本系统执行一些恶意的操作就会对本系统产生严重的影响。
附录 B
(资料性附录)
工业控制系统信息物理融合安全防护措施
B.1感知层防护措施
感知层主要由各种物理传感器等组成,因此感知层的安全主要涉及到各个结点的物理安全。因此,针对感知层可能出现的物理攻击,采取以下几种安全措施进行相应的保护。感知网络层的物理传感器一般放在无人的区域,缺少传统网络物理上的安全保障,节点容易受到攻击。因此,在这些基础结点上设计的初级阶段就要充分考虑到各种应用环境以及攻击者的攻击手段,建立有效的容错机制,降低出错率。对节点的身份进行一定的管理和保护,对结点增加认证和访问控制,只有授权的用户才能访问相应供应结点的数据,这样的设计能够使未被授权的用户访问无法访问结点的数据,有效地保障了感知网络层的数据安全。
B.2网络层防护措施
在网络层中采取安全措施的目的就是保障信息物理系统通信过程中的安全,主要包括数据的完整性、数据在传输过程中不被恶意篡改,以及用户隐私不被泄露等。具体措施可以结合加密机制、路由机制等方面进行阐述。点对点加密机制。点对点加密机制可以在数据跳转的过程中保证数据的安全性,由于在该过程中每个节点都是传感器设备,获取的数据都是没有经过处理的数据,也就是直接的数据,这些数据被攻击者捕获之后立即就能得到想要的结果,因此将每个节点上的数据进行加密,加密完成之后再进行传输可以降低被攻击者解析出来的概率。安全路由机制。安全路由机制就是数据在互联网传输的过程中,路由器转发数据分组的时候如果遭遇攻击,路由器依旧能够进行正确的进行路由选择,能够在攻击者破坏路由表的情况下构建出新的路由表,做出正确的路由选择,信息物理系统针对传输过程中各种安全威胁,应该设计出更安全算法,建设更完善的安全路由机制。
B.3控制层防护措施
控制层是信息物理系统决策的核心部分,所有的数据都是传到控制层处理的,因此,必须要对控制层的数据的安全性和隐私性进行保护。针对控制层的安全措施有以下几种,主要是加强不同应用场景的身份认证,在控制层中,有系统管理员,高级管理员,对于系统,他们的管理权限不同,攻击者可以欺骗系统进而对系统采取不法的操作,因此加强不同应用场景的身份认证可以有效地保护系统使其不受攻击者侵害。
_________________________________
网络信息安全及其防护措施 发表时间:2017-03-07T09:38:27.813Z 来源:《基层建设》2016年第33期作者:杨洪 [导读] 摘要:近年来,网络信息安全问题层出不穷,各种数据信息泄漏、黑客攻击、木马病毒、软件漏洞等等,给人们的工作生活带来了许多影响。 丽江市公安局 674100 摘要:近年来,网络信息安全问题层出不穷,各种数据信息泄漏、黑客攻击、木马病毒、软件漏洞等等,给人们的工作生活带来了许多影响。因此,网络信息安全问题越来越得到人们的关心和重视,为抵御其带来的安全威胁,保障人们能够安全正常稳定的使用信息网络,亟需提高人们在网络信息安全方面的保护意识,同时,还应通过技术层面的提高来保障网络信息安全。面对各式各样的关于网络信息安全方面的问题,应当及时采取有效的防范措施,以避免损失。 关键词:网络;信息安全;防护措施 计算机网络信息技术的飞速发展,使互联网在人们的工作生活中得到广泛应用,并占据重要地位。但随着黑客技术、木马病毒、软件漏洞的出现使网络信息安全问题日益突出。面对信息化时代的大趋势,计算机网络的信息安全问题必须得到充分的重视,并采取一系列的防护措施来保障人们安全稳定的使用计算机网络。 一、计算机网络信息安全的涵义 计算机网络安全是当今通信领域的热门议题,对其的关注不再局限于硬件、软件、结构设施方面,已遍及整个计算机网络的服务领域,在此范围内,对计算机的网络信息安全尤为重视。计算机网络信息安全是指通过专业的网络管控措施和技术手段,来保证在网络系统内的计算机上所存储、传输的数据的安全性、私密性以及运行的完整性。计算机网络信息安全涵盖了物理上的安全和逻辑上的安全。计算机网络信息的物理安全主要包括设备、程序系统在物理条件的保护下免于遭受损失、破坏。而逻辑安全则是指计算机网络信息在存储、传输方面的安全性和保密性。 二、计算机网络中存在的安全隐患 1.计算机网络操作系统的不完善。计算机网络的操作系统结构相对复杂,并涉及到海量的数据信息系统,并且系统的功能、数据需要根据实践应用进行不定时的升级,以便及时填补系统漏洞。值得注意的是,没有绝对完美、成熟的系统,任何系统都面临着漏洞的冲击和威胁。 2.计算机网络协议(TCP/IP)漏洞。计算机的网络协议是为服务于网络中的计算机进行数据交换所建立起的协议的集合体,不同的计算机之间需要使用同样的网络协议才能交换、传输数据。网络协议漏洞主要有协议自身的漏洞和协议服务上的漏洞两种。 3.计算机网络中病毒的广泛传播。计算机病毒是负责编程的工作人员在编写程序时,因失误或人为恶意企图而写入的某些具有侵略性甚至破坏性的程序,计算机病毒对人们的数据信息安全构成威胁,严重时甚至影响整个计算机网络的运行。应引起高度关注的是,病毒具有传播的普遍性及能够自我复制程序代码和指令的特点,并可以通过自我繁殖对计算机网络产生巨大的破坏力。 4.网络管理员的技术水平和防范意识不高。目前从事计算机网络信息安全管理的相当一部分人员并非科班出身,有些甚至未接受过正规教育,他们的综合素养离网络信息安全员的要求还有一定的距离。以致于在平时的工作中对信息网络安全的防范意识不高,处置信息网络安全问题的能力和水平明显不足。 三、2017年网络信息安全问题的四个预测 通过对过去一段时期威胁网络信息安全数据特征和发展趋势的分析,未来一年中可能面临的网络信息安全问题,主要有以下四个方面: 1.企业的“存在水平”增强导致网络信息安全的风险上升。越来越多的企业开始投入到互联网思维的浪潮中去,通过网络完成营销、策划、销售、反馈、合作等工作,在网络世界中的存在感越来越高。而这种存在感也容易引起黑客及犯罪分子的关注,并引发信息泄露、入侵等案事件。因此,企业在追随互联网思维潮流的同时,更应当加强在网络信息安全方面的防护意识。 2.钓鱼软件或程序继续是网络犯罪的赚钱机器。近年来,计算机网络中,钓鱼网站、流氓软件、勒索软件层出不穷,他们瞄准的目标群体庞大,对个人和企业的经济安全构成越来越大的威胁。 3.物联网攻击不断涌现出新形式。2016年发生的针对Dyn的DDOS供给而产生的“涟漪效应”,使人们了解到关于物联网中信息安全的周密调查。企业开始重视安全预警功能,以对抗未来可能出现的各种各样的物联网攻击。 4.在关于风险管理的决策制定中将威胁情报纳入其中。网络犯罪团伙为获取利益会不断变换新的攻击途径,负责网络安全的工作人员必须努力提高自身水平,建立专门的技术平台,加强风险管理。 四、针对计算机网络信息安全可采取的防护措施 1.采用防火墙技术是解决网络安全问题的主要手段。计算机网络中采用的防火墙手段,是通过逻辑手段,将内部网络与外部网络隔离开来。他在保护网络内部信息安全的同时又组织了外部访客的非法入侵,是一种加强内部网络与外部网络之间联系的技术。防火墙通过对经过其网络通信的各种数据加以过滤扫描以及筛选,从物理上保障了计算机网络的信息安全问题。 2.对访问数据的入侵检测是继数据加密、防火墙等传统的安全措施之后所采取的新一代网络信息安全保障手段。入侵检测通过从收集计算机网络中关键节点处的信息,加以分析解码,过滤筛选出是否有威胁到计算机网络信息安全性的因素,一旦检测出威胁,将会在发现的同时做出相应。根据检测方式的不同,可将其分为误入检测系统、异常检测系统、混合型入侵检测系统。 3.对网络信息的加密技术是一种非常重要的技术手段和有效措施,通过对所传递信息的加密行为,有效保障在网络中传输的信息不被恶意盗取或篡改。这样,即使攻击者截获了信息,也无法知道信息的内容。这种方法能够使一些保密性数据仅被拥有访问权限的人获取。 4.控制访问权限也是对计算机网络信息安全问题的重要防护手段之一,该手段以身份认证为基础,在非法访客企图进入系统盗取数据时,以访问权限将其阻止在外。访问控制技能保障用户正常获取网络上的信息资源,又能阻止非法入侵保证安全。访问控制的内容包括:用户身份的识别和认证、对访问的控制和审计跟踪。 结语 综上所述,人们对计算机网络信息安全问题的重视程度越来越高,在关于网络信息安全的防护工作上,还需要加强网络信息安全管理
1.应该如何保护我们个人信息安全? 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时,最安全的办法就是将该计算机与其他上网的计算机切断连接。这样,可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说,网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时,使用加密技术。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,发送方使用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,使用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他也只能得到无法理解的密文,从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料,不要随便在网络上泄露包括电子邮箱等个人资料。现在,一些网站要求网民通过登记来获得某些“会员”服务,还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意,要养成保密的习惯,仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话,可以化被动为主动,用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时,可以简单地改动姓名、邮政编号、社会保险号的几个字母,这就会使输入的信息跟虚假的身份相联系,从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼,不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料,在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中。在保护网络隐私权方面,防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件,反制Cookie和彻底删除档案文件。如前所述,建立Cookie 信息的网站,可以凭借浏览器来读取网民的个人信息,跟踪并收集网民的上网习惯,对个人隐私权造成威胁和侵害。网民可以采取一些软件技术,来反制Cookie软件。另外,由于一些网站会传送一些不必要的信息给网络使用者的计算机中,因此,网民也可以通过每次上网后清除暂存在内存里的资料,从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护,除了对未成年人进行隐私知识和媒介素养教育外,应在家长或监护人的帮助下,借助相关的软件技术进行。
预防措施 网安措施 计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。 (一)保护网络安全。 网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下: (1)全面规划网络平台的安全策略。 (2)制定网络安全的管理措施。 (3)使用防火墙。 (4)尽可能记录网络上的一切活动。 (5)注意对网络设备的物理保护。 (6)检验网络平台系统的脆弱性。 (7)建立可靠的识别和鉴别机制。 (二)保护应用安全。 保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。 由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。 虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。 (三)保护系统安全。 保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系
统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施: (1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。 (2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。 (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 商交措施 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。 各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。 (一)加密技术。 加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。 (1)对称加密。 对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。 (2)非对称加密。 非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。 (二)认证技术。 认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。 (1)数字签名。
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存 60天内系统运行日志和用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
网络安全防范措施 在信息化社会建设中,随着以网络经济为代表的网络应用时代,网络安全和可靠性成为公众共同关注的焦点。网络的发展和技术的提高给网络安全带来了很大的冲击,互联网的安全成了新信息安全的热点,针对计算机网络系统存在的安全性问题.该文提出了合理的网络安全防范措施,最终实现计算机网络系统的安全、稳定运行。从不同角度解析影响计算机网络安全的情况,做到防范心中有数,确保计算机网络的安全与有效运行。 1、利用系统安全漏洞进行攻击的例子 假设局域网内计算机安装的操作系统,存在Administrator账户为空密码的典型安全漏洞。这是很多计算机都存在的安全漏洞,黑客往往就利用系统的漏洞入侵系统,对系统进行破坏。下面就是使用虚拟机模拟局域网内的某台计算机,本机计算机作为入侵的黑客,并使远程计算机反复重新启动的过程。 假设局域网内计算机的IP地址为,黑客在入侵远程计算机时首先要与该计算机建立连接,取得管理员权限,黑客在本机事先编辑好bat文件,文件名称为,文件内容是shutdown命令,作用是使计算机重新启动。文件编辑完成后,黑客将该文件复制到远程计算机,之后修改远程计算机的注册表的开机启动项,使其开机时就执行文件,这样远程计算机每次重新启动之后就会执行文件,并再次重新启动。具体实施步骤如下: (1) 在本地计算机编辑批处理文件文件,打开记事本,写入命令如下的命令:shutdown –r –t 10。该命令表示计算机在10秒后重新启动。将文本文件另存为文件。 (2) 使用net use命令与远程计算机建立连接。建立连接前,对虚拟机需要做如下设置:开始——运行,输入打开组策略,找到“Windows设置——安全设置——本地策略——安全选项”,将本地帐户的共享和安全模式设置为“经典—本地用户以自己的身份验证”,再将使用空白密码的本地帐户只允许进行控制台登录设置为“已禁用”。设置完成后就可以使用命令与远程计算机建立连接了。使用的命令是:net use \\ “” /user:”administrator”命令,用户帐户是Administrator,密码为空。命令完成后如图所示:
互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用
物理安全与电磁防护 请从环境安全,设备安全和媒体安全三个方面来考虑机房的建立方案,要求: 1机房的安全功能需求自己提出来 要求内容 1、装饰装修系统工程 2、机房电气系统工程 3、机房空调通风系统工程 4、机房安防系统工程 5、应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 6、电源线和通信线缆应隔离铺设,避免互相干扰; 7、应对关键区域实施电磁屏蔽。 8尘埃:主机房在静态条件下,每升空气中大于或等于0.5μm的尘粒数,应少于18,000粒。9机房内的噪声,在计算机系统停机条件下,在主操作员位置测量应小于68dB(A)。《城市区域环境躁声标准》:1类环境昼间低于55dB,夜间低于45dB。 10主机房内无线电干扰场强,在频率为0.15~1,000MHz时,不应大于126dB。 11主机房内磁场干扰环境场强不应大于800A/m。 12在计算机系统停机条件下主机房地板表面垂直及水平向的振动加速度值,不应大于500mm/s2。 13主机房地面及工作台面的静电泄漏电阻,应符合现行国家标准《计算机机房用活动地板技术条件》的规定。 14采用三相五线制,接地采用TN-S方式,在稳态下,应达到电压220V±2%,频率50±0.02 HZ,波形失真不大于5%,瞬时断电时间小于4 ms。 15主机房内绝缘体的静电电位不应大于1kV。
16照明:机房>400LX,辅助机房>200LX,事故照明≥50Lx。 17接地电阻<1Ω,零地压降<1V。 18楼板荷载按照国家标准GB/T2887-2000《电子计算机场地通用规范》要求或按选定设备重量确定。 19机房要求防火、防水、防尘、防鼠害、防盗、防雷、防静电、隔热、保温。 2机房所涉及到的设备自己提出来 吊顶隔断墙铝合金门窗和隔断活动地板电气系统配电柜插座电缆(电线)照明系统防雷系统接地系统空调系统门禁系统监控系统消防系统计算机交换机布线系统网线防静电地板桌椅空调稳定电源交换机柜 3机房的物理空间大小根据实际需要,按标准确定 本次机房建设分为主机房面积为120平米,将放置近20台机柜,将成为今后十处所有业务系统数据集中汇集、存储、处理的中心。因此需要稳定可靠的UPS电源系统、机房精密空调系统及合理实用的机房强弱电施工、消防系统以及良好的机房环境来保障整个系统的平稳可靠运行. 4提出物理设备型号,支持系统设备型号及所有设备的单位总价 写出所依据的相关标准 1供配电系统 本机房工程采用TN-S系统,低压380V/220V三相五线制、50HZ、单相三线制、三相五线制供电方式。机房供电标准按A级设计。机房配电系统包括UPS配电系统、动力配电系统、照明配电系统。 2照明系统 机房的照明应划分为正常照明和应急照明两部分。正常照明电源取自照明配电箱,应急照明电源取自应急照明配电箱。机房灯具采用嵌入式格栅荧光灯和嵌入式节能筒灯及灯带。
服务与质量保障措施
一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙(硬件防火墙正在采购中),做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司
动火作业安全措施 一开工准备 ㈠办理动火证,落实安全措施。 ㈡对作业人员进行安全教育,安全技术交底 ㈢检查灭火器材、消防器材,确保完好无隐患。二动火作业六大禁令 ㈠动火证未经批准,禁止动火。 ㈡不与生产系统可靠隔绝,禁止动火。 ㈢不清洗,置换不合格,禁止动火。 ㈣不消除周围易燃物,禁止动火。 ㈤不按时作动火分析,禁止动火。 ㈥没有消防措动火作业安全操作规程。 三安全防护措施 ⑴首先要保证磨内足够照明,采用通风机进行通风换气,确保作业时磨内含氧量达到标准。动火前,要用彩瓦遮盖,防止火花飞溅到电缆上或周围其他设备。动火部位下部所有重要仪表设施,在动火前都需采取包裹、隔离措施。动火时,安排专人监护。 (2)水泥磨处于高空,高处动火作业前,操作者必须辨识火种可能或潜在落下区域,明确周围环境是否放置可燃易燃品,按规定确认、清理现场,以防火种溅落引起火灾爆炸事故。
(3)施工现场要规范配置灭火器材和消防器具,消防器材不得擅自移作他用、消防通道必须保持畅通,必要时可不定期将现场洒水浸湿。 (4)现场作业人员严禁抽烟,需焊割和明火作业,应事先消除周围可燃物或采取防范措施。 (5)氧气和乙炔气体要有严格的安全防护措施,乙炔瓶应装有防爆回火装置,安全距离大于5米,与明火距离大于10米,设专人看管,乙炔表要装有防爆回火装置。气瓶严禁在阳光下曝晒,氧气瓶口及减压阀、阀门处不得沾染油脂、油污,乙炔瓶严禁横躺卧放;运输、储存、使用气瓶时,严禁碰撞、敲击、剧烈滚动,且气瓶要放置牢固,防止气瓶倾倒。 ⑹动火作业前应检查电焊机、气瓶(减压阀、胶管、割炬等)、砂轮、修整工具、电缆线、切割机等器具,确保其在完好状态下,电线无破损、漏电、卡压、乱拽等不安全因素;电焊机的地线应直接搭接在焊件上,不可乱搭乱接,以防接触不良、发热、打火引发火灾或漏电致人伤亡。 (7)班前、班中、班后安全员须做好检查,发现隐患,及时纠正排除。动火作业结束后,操作人员必须对周围现场进行安全确认,整理整顿现场,在确认无任何火源隐患的情况下,方可离开现场,确保人走火灭。
芄单选 螂1. (D)采用软硬件相结合、USB Key 一次一密的强双因子认证模式,很好地解决了安全 性与易用性之间的矛盾。(单选)A动态口令B生物识别C双因素编辑 D USB KEY 袇2. ( A )在网络的传输层上实施访问控制策略,是在内、外网络主机之间建立一个虚拟电 路进行通信,相当于在防火墙上直接开了个口子进行传输,不像应用层防火墙那样能严密地控制应用层的信息。(单选)A电路层网关B自适应代理技术C代理服务器型D包过滤型 蚇3.(C)即在异地建立一个热备份中心,采取同步或者异步方式,通过网络将生产系统的数据备份到备份系统中。(单选)A本地容灾B异地数据冷备份C异地数据热备份D异地应 用级容灾 肄4. (B)是指用语言或行为的方式欺辱、羞辱他人,贬低他人人格,使他人人格或名誉受 损的行为。(单选)A诽谤B侮辱C虐待D诈骗 蕿1.在技术领域中,网络安全包括(B),用来保证计算机能在良好的环境里持续工作。 (单 选) 艿A实体安全B运行安全C信息安全D经济安全 肇2. (C)是通过软件对要备份的磁盘子系统数据快速扫描,建立一个要备份数据的快照逻 辑单元号LUN 和快照Cache。(单选) 螅ASAN或NAS技术B基于IP的SAN互联技术C快照技术D远程镜像技术 蚁3. (C)是将备份的文件恢复到另一个不同的位置或系统上去,而不是进行备份操作时它 们当时所在的位置。(单选) 莇A 个别文件恢复 B 全盘恢复 C 重定向恢复 D 容灾备份 薆4. (B)通常涉及维护与安全相关的、已发生的事件日志,即列出每一个事件和所有执行 过添加、删除或改变操作的用户。(单选) 薅A 审计日志归并 B 可确认性 C 可信路径 D 全面调节 螂 螀 芅
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
安全技术措施审批管理制 度示范文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
安全技术措施审批管理制度示范文本使用指引:此管理制度资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 1、施工安全技术措施必须明确施工时间、施工地点、 工程总负责人、施工内容以及影响区域等内容;施工方要 在施工前制定切实可行的安全措施。 2、施工前,施工安全技术负责人要组织参与施工作业 人员就施工安全技术措施、相关安全管理规定等进行强制 性的安全技术交底培训。通过笔试、复述等针对性措施落 实,使每名参与施工作业的人员都熟知掌握施工安全技术 措施、相关安全管理规定。参与施工作业人员在安全技术 措施贯彻登记表上签字率必须达到百分之百。 3、各项工程施工必须严格执行一项工程一项措施规 定。外委工程施工,必须与施工单位签定外委工程安全协 议书。开工前,施工方必须按规定足额交纳安全质量保证
金,提交开工报告及安全技术措施,报甲方备案;施工中,要按照安全措施和施工标准以及操作程序组织施工;由于施工方未履行安全措施而导致人身伤害问题,甲方不予承担安全责任。 4、安全技术措施的制定、审批、执行是确保施工安全的重要环节。安全技术措施审批必须严格按规定的格式、程序进行,审批意见不全面、未程序报批视为无措施严禁施工。 5、安全技术措施要规范管理。经过审批后的各项施工安全技术措施,施工方、施工管理部门及安监处要规范留存。留存时间根据工程性质、影响范围等情况酌定,原则上至少保存3年;特殊情况,要规范存档,长期留存。 请在此位置输入品牌名/标语/slogan Please Enter The Brand Name / Slogan / Slogan In This Position, Such As Foonsion
信息泄露防不胜防?教你几招,个人信息安全指数提高三个等级! 信息网络的快速发展,要求我们不仅要掌握自我防范意识,更要增强网络安全意识。接下来跟小编一起了解一下必要的网络安全知识吧! 什么是网络安全? 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。简而言之就是,虚拟的数据也要得到保护。 一、防止钓鱼WIFI 安全解说: 钓鱼Wi-Fi的成本低,黑客一般只需几百元便可设置一个钓鱼Wi-Fi,并在公共场合部署,而且在名称上与免费Wi-Fi相似。 受害者访问钓鱼Wi- Fi时,他的所有数据信息都可能会被钓鱼Wi-FI记录下来,从而盗取微信账号、游戏密码等个人隐私信息,甚至导致严重的财产损失。 安全贴士: ●关闭手机自动连接Wi- Fi的功能; ●在公共场所,不连接未知的Wi-Fi;
●限制共享的信息; ●在未知Wi-Fi信号下不输入微信、银行卡、支付宝等密码。 二、正确使用移动支付 安全解说: 微信支付、支付宝支付等移动支付,以绑定银行卡的快捷支付为基础,用户购买商品时,不需开通网银,只需提供银行卡卡号、用户名、手机号码等信息。 银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令完成支付。不法分子从拿到受害人的手机和钱包到绑定成功再到转账完毕,整个过程只需耗时3分钟。 安全贴士: ●第三方平台的支付密码与银行卡的支付密码不要相同; ●手机和第三方支付平台设置不同的解锁密码; ●手机内不存储身份证及银行卡信息,若丢失,及时补办手机号。 三、规范社交网络 安全解说: 在当前的信息大爆炸时代,信息的快速传播使我们足不出户便可知天下事,静坐家中也可与远在天边的朋友相见。同时,我们的每一次聊天、每一次社交软件的登陆,都有让我们信息泄露的嫌疑,一定要时时刻刻保护好自己的个人信息。 安全贴士: ●不暴露平常外出的日程、行踪,不晒贵重物品; ●不轻信QQ群、微信群内的虚假信息;
第七章物理安全技术实施 7.1 概述 物理安全由称为实体安全,是整个计算机信息系统安全的基石,其目标是保护计算机设备、通信链路和其它媒体免遭自然灾害、环境事故、人为失误及各种计算机犯罪行为导致的破坏。 从机房建设的角度划分,物理安全建设可分为环境物理安全建设、基本物理设备安全建设和只能设备物理安全建设三个部分。环境物理安全建设是整个信息系统安全建设不可忽视的重要组成部分,旨在加强对地震、水灾和雷电等自然灾害的预防;基本物理设备安全建设指配电柜、UPS电源、机房专用空调和网络设备等机房必须设备的安全建设,保障基本物理设备的安全,已成为信息系统建设的第一道防线;智能设备物理安全建设包括门禁系统、防盗报警系统、机房监控系统、消防报警系统等,随着信息社会的高速发展,智能设备在机房建设中越来越重要,其效果比之前的人工管理也有了很大的提供,故实现机房的智能化管理,已成为现代机房建设的必备元素。 7.2 安全风险 信息系统物理安全风险可分为非人为安全风险和人为安全风险两部分。非人为安全风险指自然灾害、环境影响和设备故障等造成的风险,人为安全风险是指由人员失误或恶意攻击等造成的风险。对物理安全风险的简单描述如表7-1所示。 表7-1 物理安全风险分类表
物理安全建设是整个信息系统安全建设的第一步,故其完成度和安全性对信息系统安全建设影响很大。为了实现信息系统的可靠运行,物理安全建设应达到以下目标: (一)根据不同的安全等级,选择机房建设位置和建筑建设基本要求; (二)实现不同安全等级的访问控制功能,保护机房的设备及数据安全; (三)实现不同安全等级的防雷击和防火要求,根据系统级别配置相应的避雷设备和灭火设备; (四)保护机房设备,防止其被盗窃或者被破坏; (五)采取相应的措施防止机房进水或者设备漏水,同时加强机房的温湿度控制,加强机房环境管理。 (六)保障机房电力正常供应,并对主要设备进行防静电和电磁防护措施。 物理安全建设技术要求从物理环境建设技术和人员控制技术两方面来实现,其对各级系统的概括要求如表7-2所示。 表7-2 物理安全控制点
______________网络与信息安全保障措施网站名称 网站信息网站域名: I P 地址: 服务器物理地址:移动电话: 网站安全负责人姓名:职务:办公电话:移动电话: 人员管理岗位网站安全责任制度:□已建立□未建立 重点岗位人员安全保密协议:□全部签订□部分签订□均未签订人员离岗离职安全管理规定:□已制定□未制定 外部人员访问机房等重要区域审批制度:□已建立□未建立 信息安全数据库审计:□是□否 用户名密码设置:□简单□符合复杂性要求 网站安全规划规划制定情况(单选): □制定了网站安全规划 □在网站总体发展规划中涵盖了网站安全规划□无 网络边界安全防护网站安全防护设备部署(可多选): ■防火墙□入侵检测设备□安全审计设备□防病毒网关□抗拒绝服务攻击设备 □其它: 杀毒软件: □没有□有具体名称: 设备安全策略配置: □使用默认配置□根据需要配置□屏蔽高危端口网络访问日志: ■留存日志6个月□未留存日志 网站安全防护网页防篡改措施: □采取□未采取 漏洞扫描: □定期□不定期□未进行信息发布管理: □已建立审核制度,且记录完整 □已建立审核制度,但记录不完整 □未建立审核制度 运维方式: □自行运维□委托第三方运维 域名解析系统情况: □自行建设■委托第三方:
一、网络安全保障措施 为了全面确保官方网站的正常接入和网络安全,在 IDC机房网络平台解决方案设计中,主要将基于以下设计原则: A、安全性 在本方案的设计中,我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析,采用先进的安全技术,如下一代防火墙、加密技术、VPN、IPS等,为机房内业务系统提供系统、完整的安全体系。确保系统安全运行。 B、高性能 考虑 IDC机房未来业务量的增长,在本方案的设计中,我们将从网络、服务器、软件、应用等角度综合分析,合理设计结构与配置,以确保大量用户并发访问峰值时段,系统仍然具有足够的处理能力,保障服务质量。 C、可靠性 IDC网络平台作为自用和提供企业托管等业务的平台,设计中将充分考虑业务系统运行的稳定、可靠性。从系统结构、网络结构、技术措施、设施选型等多方面进行综合考虑,以尽量减少系统中的单故障节点,实现7×24小时的不间断服务。 D、可扩展性 优良的体系结构(包括硬件、软件体系结构)设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中,硬件系统(如服务器、存储设计等)将遵循可扩充的原则,以确保系统随着业务量的不断增长,在不停止服务的前提下无缝平滑扩展;同时软件体系结构的设计也将遵循可扩充的原则,适应新业务增长的需要。 E、开放性 考虑到本系统中将涉及不同厂商的设备技术,以及不断扩展的系统需求,在本项目的产品技术选型中,全部采用国际标准/工业标准,使本系统具有良好的开放性。 F、先进性 本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展趋势,采用相对先进同时市场相对成熟的产品技术,以满足未来热点网站的发展需求。 G、系统集成性 在IDC建设时期对硬件选型主要包括国内外一线厂商明星产品(如华为、思科、金盾、绿盟等)。我们将为客户提供完整的应用集成服务,使客户将更多的资源集中在业务的开拓 1、硬件设施保障措施: IDC机房内服务器及设备符合互联网通信网络的各项技术接口指标和终端通信的技术标准和通信方式等,不会影响公网的安全。 IDC机房提供放置信息服务器及基础设备,包括:空调、照明、湿度、不间断电源、发电机、防静电地板等。 IDC机房分别接入CHINANET、CHINAUnicom、CMNET
信息安全管理制度 1.信息管理部职责 1.1 公司设立信息管理部门,设部门经理一名。 1.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 1.3 负责系统软件的调研、采购、安装、升级、保管工作。 1.4 负责软件有效版本的管理。 1.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 1.6 信息管理人员负责计算机网络、办公自动化、销售经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、采购、销售等)。 1.7 信息管理人员执行企业保密制度,严守企业商业机密。 1.8员工执行计算机安全管理制度,遵守企业保密制度。 1.9系统管理员的密码必须由信息管理部门相关人员掌握。 1.10 负责公司网络系统基础线路的实施及维护。 2.信息管理细则 2.1网络系统维护 2.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》记录各类设备的运行状况及相关事件。 2.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 2.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或
1目的 为对施工安全状态进行有效控制,消除和控制施工过程中的不安全行为和状态,预防事故的发生,确保施工生产顺利进行及员工生命安全。 2 适用范围 本程序适用于公司经营活动和承建的所有工程的施工、交付、保修等产品实现全过程的施工安全和劳动保护控制。 3术语和定义 本程序采用GB/T19001-2000idt ISO9001:2008《质量管理体系要求》、GB/T24001-2000idt ISO14001:2004《环境管理体系要求及使用指南》和GB/T28001-2011《职业健康安全管理体系规范》标准和公司《管理手册》中有关术语和定义。 4 职责 4.1总经理负责组织制定和审批安全管理方针、目标和重大安全决策,主持重大伤亡事故的调查和处理,保障全体员工健康和安全。 4.2管理者代表负责组织公司安全生产所需资金、人员的有效,组织重大安全事故的调查、处理,监督安全规章的制定和落实,定期向总经理和员工代表汇报安全生产情况。 4.3负责编制和监督实施本程序,组织编制和审批施工组织设计、管理方案、操作规程等安全文件,并对其贯彻执行情况进行监督、检查。 4.4 工程管理部负责组织开展施工安全检查和隐患整改工作,组织安全事故的调查和处理工作,负责劳动保护用品、机械设备安全性能验证和重大问题的处理。 4.5 项目部负责施工日常安全管理工作,编制、实施安全施工方案、技术交底等项目安全制度,配备安全防护用品,组织项目人员安全培训。 4.6 综合办负责组织员工的安全教育、培训和考核,负责开展员工体检和工伤保险缴纳工作,组织员工代表的评选。 5 工作程序 5.1 施工安全策划 5.1.1 工程管理部根据职业健康安全方针、目标要求,组织项目部进行施工现场危险源识别,并汇总危险源辨识和评价结果,制定年度安全目标和相应措