安全配置作业指导书防火墙设备
XXXX集团公司
2012年7月
前言
为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口
本技术基线起草单位:XXXX集团公司
本技术基线主要起草人:
本技术基线主要审核人:
目录
1.适用范围 (1)
2.规范性引用文件 (1)
3.术语和定义 (1)
4.防火墙安全配置规范 (2)
4.1. 防火墙自身安全性检查 (2)
4.1.1.检查系统时间是否准确 (2)
4.1.2.检查是否存在分级用户管理 (2)
4.1.3.密码认证登录 (3)
4.1.4.登陆认证机制 (4)
4.1.5.登陆失败处理机制 (4)
4.1.6.检查是否做配置的定期备份 (5)
4.1.7.检查双防火墙冗余情况下,主备切换情况 (6)
4.1.8.防止信息在网络传输过程中被窃听 (7)
4.1.9.设备登录地址进行限制 (8)
4.1.10.SNMP访问控制 (8)
4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级 (9)
4.2. 防火墙业务防御检查 (10)
4.2.1.启用安全域控制功能 (10)
4.2.2.检查防火墙访问控制策略 (11)
4.2.3.防火墙访问控制粒度检查 (12)
4.2.4.检查防火墙的地址转换转换情况 (13)
4.3. 日志与审计检查 (14)
4.3.1.设备日志的参数配置 (14)
4.3.2.防火墙流量日志检查 (15)
4.3.3.防火墙设备的审计记录 (15)
1.适用范围
本基作业指导书范适用于XXXX集团公司各级机构。
2.规范性引用文件
ISO27001标准/ISO27002指南
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》
GB/T 20272-2006 《信息安全技术操作系统安全技术要求》
GB/T 20273-2006 《信息安全技术数据库管理系统安全技术要求》
GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》
3.术语和定义
安全设备安全基线:指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。
严重漏洞(Critical):攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统
重要漏洞(Important):攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。
中等漏洞(Moderate):攻击者利用此漏洞有可能未经授权访问信息。注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用于进一步危及受影响系统的安全。
轻微漏洞(Low):攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。
4.防火墙安全配置规范
4.1.防火墙自身安全性检查
4.1.1.检查系统时间是否准确
4.1.2.检查是否存在分级用户管理
4.1.3.密码认证登录
4.1.4.登陆认证机制
4.1.
5.登陆失败处理机制
1、检查:
防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断
时间;查看是否设置登录连接超时,并自动退出;
2、测试:
验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限
制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连
接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作
等);
3、产品举例:
天融信防火墙用户登录超时设置:
路径:系统管配置理=>维护=>系统配置
4.1.6.检查是否做配置的定期备份
4.1.7.检查双防火墙冗余情况下,主备切换情况
4.1.8.防止信息在网络传输过程中被窃听
4.1.9.设备登录地址进行限制
4.1.10.SNMP访问控制
4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级
4.2.防火墙业务防御检查4.2.1.启用安全域控制功能
4.2.2.检查防火墙访问控制策略
4.2.3.防火墙访问控制粒度检查
s
4.3.日志与审计检查
4.3.1.设备日志的参数配置
4.3.2.防火墙流量日志检查
4.3.3.防火墙设备的审计记录
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
仪器设备维护保养内容作业指导书 1目的 为规范仪器设备维护保养项目编制内容,做好仪器设备的维护保养工作,正确填写维护保养记录而做出统一规定。 2范围 本规定适用于所有需要进行维护保养的仪器设备的维护保养。 3职责 3.1设备管理员和计量管理员编制仪器设备维护保养计划,并报技术负责人审批后由检测室按计划组织实施; 3.2检测室组织好人员按计划进行维护保养。 3.3技术负责人批准仪器设备维护计划。 4仪器设备维护保养项目的规定 4.1维护保养计划中项目内容可根据设备特点和设备操作规程的有关规定从中选择(项目内容应为多种): 1)电器系统是否完好; 2)紧固、滑动、传动、制动系统是否安全可靠; 3)设定的工艺参数是否达到; 4)操作系统是否灵敏可靠; 5)管道、密封是否漏气、漏水; 6)安全防护装置是否符合要求; 7)设备安装位是否保持水平; 8)其他设备是否对其使用出现了振动、电磁等新的影响; 9)必要时更换配件; 10)必要时补充或更换液压油; 4.2维修、维护保养内容可对应维护保养计划中项目内容: 1)经检查电器系统的电线完好、线路、开关等,符合要求; 2)紧固螺母可靠、未发现松动情况;滑动、传动、制动系统无异常,安全可靠; 3)达到设定的工艺参数要求; 4)操作系统灵敏可靠;
5)管道、密封无漏气、漏水; 6)安全防护装置符合要求; 7)设备安装位保持水平; 8)其他设备对其使用未出现振动、电磁等新的影响; 9)更换配件(如胶管、搅拌翅); 10)补充液压油或更换液压油; 5记录表格 使用《仪器设备维护保养计划》、《仪器设备维修、维护保养记录》。6附加说明 本作业指导书由检测室提出。 本作业指导书起草人: 审核人:年月日 批准人:年月日
设备安全生产操作规程 一、电焊机安全操作规程 (1)工作前应戴好个人劳保用品,如绝缘手套,绝缘鞋等。严禁穿短裤、湿衣、湿鞋进行工作。 (2)一次与二次线路必须完整无破损,有可靠的绝缘,易于辨认,二次线圈及外壳必须妥善接地。其接地 电阻不大于四欧姆。 (3)所用电焊焊把,必须完整无破损,有可靠的绝缘,不用应挂在安全地方。 (4)电焊机移动时先将电源开关拉开,彻底切断电源。 (5)电焊工应在电工指导下进行维修和更换线路及其他电气零件,不准独自动手。 (6)工作前应对一切焊件进行仔细检查,应排除因焊接而引起燃烧,倒塌等一切不安全因素,必要时要另 加防护挡板。 (7)在金属容器内焊接时,外面必须有人监护,并有足够的通风。 (8)不准焊和切割受力构件和内有压力的容器。如房架、锅炉等。 (9)在焊接场所或焊接件内不准有煤油、汽油或其他易燃、易爆物品,如装过这些物品的容器在焊接时, 应先清洗干净,并将所有的盖口打开,口向上方,经严格检查后,方可进行焊接。 (10)非电焊工不得进行电焊作业,未戴防护面具的人不能看电弧光。在清查熔渣或铁锈时,应戴防护眼 镜,仰焊时将衣服袖口领口扣紧,以防烫伤。 (11)电焊机要设单独的开关,开关放置于电控箱内,拉合时应戴手套侧向操作。 (12)焊钳与导线必须绝缘良好,连接牢固,更换焊条时应戴手套。在潮湿地点工作,应站在绝缘胶板或 木板上。 (13)焊接带电的设备必须先切断电源。 (14)导线、地线禁止与钢丝绳接触,更不得用钢丝或机电设备代替零线。所有地线接头,必须牢固。 (15)清理焊渣时应戴防护眼镜或面罩,防止铁渣飞溅伤人。 (16)工作结束,应切断焊机电源,整好线路,收拾工具,灭尽火种,并检查操作地点,确认无起火危险 后,方可离开。 二、火焰切割机操作规程 (1)严格遵守一般焊工安全操作规程和有关橡胶软管、氧气瓶、乙炔瓶的安全使用规则和割具安全操作规 程。 (2)工作前或停工时间较长再工作时,必须检查所有设备。乙炔瓶、氧气瓶及橡胶软管的接头,阀门紧固 件应紧固牢靠,不准有松动、破损和漏气现象,氧气瓶及其附件、橡胶软管、工具不能沾染油脂的泥垢。 (3)检查设备、附件及管路漏气,只准用肥皂水试验。试验时,周围不准有明火,不准抽烟。严禁用火试 验漏气。 (4)氧气瓶、乙炔瓶与明火间的距离应在10米以上。如条件限制,也不准低于5 米,并应采取隔离措施。
一、防火墙概述 1. 防火墙概述 防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。 与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。 由于防火墙用于安全边界,因此往往兼备NAT、VPN等功能,并且在这方面的相比路由器更加强劲。 我司防火墙:Eudemon系列 2. 防火墙分类 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包
都需要进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对客户端来说防火墙是一个服务器,对服务器来说防火墙是一个客户端。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤,它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙 二、防火墙的基础知识点 1. 安全区域(Zone)的概念 安全区域(Security Zone),或者简称为区域(Zone),是一个安全概念,大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域,并且定义该安全去区域的安全级别,然后将防火墙的接口关联到一个安全区域,那么该接口所连接的这个网络,就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。 Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
一、单项选择题(本大题共15小题,每小题2分,共30分) 一.单选题a b d c a a b a a d b a c d c 二.多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三.判断题1 0 1 1 1 0 0 1 1 0 1 1 1 1 0 1.( A )使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务, 这属于什么漏洞?。 A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用 2.( B )使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用? A访问控制列表 B.执行控制列表 C.身份验证D:数据加密 3.(D )针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是哪种防火墙的特点? A. 包过滤型; B. 应用级网关型; C. 复合型防火墙; D. 代理服务型 4.( C )计算机犯罪的统计数字都表明计算机安全问题主要来源于 A.黑客攻击; B. 计算机病毒侵袭; C. 系统内部; D. 信息辐射 5.( A )下列协议中哪个是VPN常用的安全协议? A. PPTP B. SSL C.帧中继 D.TLS 6.( A )电路级网关是以下哪一种软/硬件的类型? A.防火墙; B.入侵检测软件; C.端口; D.商业支付程序 7.( B )随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下 哪个是应该考虑的部分? A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器 8.( A )哪种加密方式是使用一个共享的密钥? A.对称加密技术 B.非对称加密技术; C. HASH算法; D.公共密钥加密术; 页脚内容
v1.0 可编辑可修改 安全配置作业指导书 防火墙设备 XXXX集团公司 2012年7月
前言 为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。 本技术基线由XXXX集团公司提出并归口 本技术基线起草单位:XXXX集团公司 本技术基线主要起草人: 本技术基线主要审核人:
目录 1.适用范围 (1) 2.规范性引用文件 (1) 3.术语和定义 (1) 4.防火墙安全配置规范 (2) 4.1.防火墙自身安全性检查 (2) 4.1.1.检查系统时间是否准确 (2) 4.1.2.检查是否存在分级用户管理 (3) 4.1.3.密码认证登录 (3) 4.1.4.登陆认证机制 (4) 4.1.5.登陆失败处理机制 (5) 4.1.6.检查是否做配置的定期备份 (6) 4.1.7.检查双防火墙冗余情况下,主备切换情况 (7) 4.1.8.防止信息在网络传输过程中被窃听 (8) 4.1.9.设备登录地址进行限制 (9) 4.1.10.SNMP访问控制 (10) 4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级11 4.2.防火墙业务防御检查 (12) 4.2.1.启用安全域控制功能 (12) 4.2.2.检查防火墙访问控制策略 (13) 4.2.3.防火墙访问控制粒度检查 (14) 4.2.4.检查防火墙的地址转换情况 (15) 4.3.日志与审计检查 (16) 4.3.1.设备日志的参数配置 (16) 4.3.2.防火墙流量日志检查 (17) 4.3.3.防火墙设备的审计记录 (17)
设备维护保养作业指导书 1、总则 1.1做好设备维护保养是确保设备的正常运转、减少故障,降低动力消耗,延长 设备使用寿命,实现生产的安、稳、长、满、优; 1.2本维护保养作业指导书适用公司生产装置中的设备。 2、混料搅拌机 2.1结构及工作原理 2.1.1 结构:主要由箱体、搅拌轴、搅拌桨、防结料装置、驱动装置、辅助管道 系统组成。 2.1.2工作原理:搅拌机水平安装,物料运动方向由进料搅笼来料经推动搅拌桨 将物料向后方向移动,同时同轴向运行的反向搅拌桨将还没有混合好的物料由后向进料方向推动,扬起的物料互相接触,达到物料混合目的,在一定的时间下反复运动,混合均匀。 2.2 岗位设备操作规程 2.2.1开车前进行有效盘车,各运动部件应无卡滞现象; 2.2.2设备转动灵活平稳,无异常震动和噪声; 2.2.3传动三角带按设备要求配置,松紧适宜; 2.2.4电动机、减速器和轴向轴承的温升不超过35℃,其最高温度低于70℃; 2.2.5减速机加注牌铭规定的润滑油到油标刻度线,保持润滑; 2.2.6停车前应停止加料,避免带负荷启动设备。 2.2.7料未放完尽量避免停车,如有紧急情况停车,料多时应先将大批的料清出, 严禁带负荷启动,特别是将物料在箱体中较长时间停留板结后再启动,极易造成搅拌奖、轴、减速机电机故障; 2.3 安装和调试要求 2.3.1保证设备本体水平; 2.3.2整体安装时轴向中心线在一条直线上。 2.3.3 减速机和电机传动三角带松紧合适、径向同心; 2.3.4 注意减速箱的油位和轴承座的油脂润滑。
2.4混料搅拌机的维护检查内容及周期 2.5常见故障及处理
文件编号:TP-AR-L5641 There Are Certain Management Mechanisms And Methods In The Management Of Organizations, And The Provisions Are Binding On The Personnel Within The Jurisdiction, Which Should Be Observed By Each Party. (示范文本) 编制:_______________ 审核:_______________ 单位:_______________ 生产设备安全操作规程 正式样本
生产设备安全操作规程正式样本 使用注意:该操作规程资料可用在组织/机构/单位管理上,形成一定的管理机制和管理原则、管理方法以及管理机构设置的规范,条款对管辖范围内人员具有约束力需各自遵守。材料内容可根据实际情况作相应修改,请在使用时认真阅读。 1、非本机(工序)人员,不得任意开动机器。 2、开机前应检查设备有无故障、有无修理人员在检修,检查各减速机油面是否正常及机件有无松脱现象。 3、开机后注意设备的运转情况,发现异常现象或不正常的响声时,应立即停机,请机电车间人员检查或修理,不得带病运行。 4、每班次要搞好班前或班后设备清洁卫生及各轴承加注润滑油脂。 5、设备运行时,操作工不得离开正在运行的生产设备,随时观察设备的运行情况,不得看书报或做
私事。 6、设备在运行时防护罩不得任意打开,设备运行或虽然停机但尚未完成静止时,人身手脚杂物不得伸入设备转动部位。 7、非本设备操作工,未经领导同意,不得任意开动机器。 8、设备检修必须完全停机后才能进行,应在该机的电掣处挂上“禁止开车”的红牌,检修完毕把红牌除下。 9、设备操作工上班时要穿工作服,不得穿拖鞋、高跟鞋,不得带小孩及外人进入车间。 10、凡挂有严禁烟火标志的场所一律不准吸烟。 11、每周生产设备要进行一定时间的维修及保养。
1.防火墙对数据包进行状态检测过滤时,不可以进行检测过滤的是:D 源和目的IP地址;源和目的端口;IP协议号;数据包中的内容 2. 防火墙对要保护的服务器作端口映射的好处是:D 便于管理;提高防火墙的性能;提高服务器的利用率;隐藏服务器的网络结构,使服务器更加安全 3. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换,规则中的动作应选择:B Allow;NAT;SAT;FwdFast 4. 输入法漏洞通过什么端口实现的?D 21;23;445;3389 5. 不属于常见把被入侵主机的信息发送给攻击者的方法是:D E-MAIL;UDP;ICMP;连接入侵主机 6. 公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?A 包过滤型;应用级网关型;复合型防火墙;代理服务型 7. 关于防火墙发展历程下面描述正确的是:A 第一阶段:基于路由器的防火墙; 第二阶段:用户化的防火墙工具集;第三阶段:具有安全操作系统的防火墙;第四阶段:基于通用操作系统防火墙 8. 防火墙能够:B 防范恶意的知情者;防范通过它的恶意连接;防备新的网络安全问题;完全防止传送己被病毒感染的软件和文件 9. 关于入侵检测技术,下列哪一项描述是错误的?A 入侵检测系统不对系统或网络造成任何影响;审计数据或系统日志信息是入侵检测系统的一项主要信息来源;入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵;基于网络的入侵检测系统无法检查加密的数据流 10. 安全扫描可以实现:C 弥补由于认证机制薄弱带来的问题;弥补由于协议本身而产生的问题;弥补防火墙对内网安全威胁检测不足的问题;扫描检测所有的数据包攻击,分析所有的数据流 11. 关于安全审计目的描述错误的是:D 识别和分析未经授权的动作或攻击;记录用户活动和系统管理;将动作归结到为其负责的实体;实现对安全事件的应急响应 12. 安全审计跟踪是: 安全审计系统检测并追踪安全事件的过程;安全审计系统收集并易于安全审计的数据;人利用日志信息进行安全事件分析和追溯的过程;对计算机系统中的某种行为的详尽跟踪和观察13. 以下哪一个最好的描述了数字证书?A 等同于在网络上证明个人和公司身份的身份证;浏览器的一标准特性,它使得黑客不能得知用户的身份;网站要求用户使用用户名和密码登陆的安全机制;伴随在线交易证明购买的收据14. 保证信息不能被未经授权者阅读,这需要用到:A 加密;数字签名;消息摘要;身份验证 15. DNS服务使用的端口是:C 21;80;53;20 16. 以下关于Cookies的说话正确的是:D Cookies是一个图形文件;Cookies会包含可被用户激活的病毒;Cookies会在用户计算机上占用大量空间;Cookies被放在HTTP请求头部发送
1目的 Objective 规范防火墙系统的安全管理,保障公司防火墙系统的安全。 2适用范围 Scope 本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。 3定义 DMZ(demilitarized zone):中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通常,它放在外网和内网中间,是内网中不被信任的系统。在进行防火墙设置时可阻断内网对DMZ的公开访问,尤其禁止DMZ到内网的主动连接。 GRE(Generic Routing Encapsulation):即通用路由封装协议,它提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。 VPN(Virtual Private Networking):即虚拟专用网,VPN是用以实现通过公用网络(Internet)上构建私人专用网络的一种技术。 4管理细则 4.1基本管理原则 1.公司IT系统不允许直接和外部网络连接(包括Internet、合资公司等等),必须经 过防火墙的限制保护。防火墙的建设、安装须遵守《防火墙建设规范》。 2.防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。 3.防火墙口令设置参照《帐号和口令标准》,并由安全控制办统一管理。 4.防火墙日志管理参照《系统日志管理规定》。 5.防火墙变更管理参照《IT生产环境变更管理流程》。 6.防火墙不允许直接通过Internet管理;内部管理IP地址只允许相关人员知晓。 7.防火墙紧急开通策略有效期为2周。如2周内没有申请防火墙策略,则将自动失效。 8.在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。 4.2防火墙系统配置细则 1.当防火墙启动VPN功能时,需使用IPSEC进行隧道加密:认证算法采用SHA-1,加密 算法采用3DES算法。
1目的 建立公司内设备的安全运行操作规程。 2 范围 所有公司内常用动设备 3 责任 设备岗位操作人员。 4 内容 4.1 立式往复真空泵操作规程 4.1.1 开机前准备 (1)检查进气设备、管路上法兰、接头、阀门、人孔、釜盖等,不得出现漏气;(2)曲轴箱内加入足够的清洁润滑油,油位应在上、下油位线之间。润滑油牌号:冬季使用20#机械油,夏季使用46#机械油; (3)开启冷却水进水阀门,确认冷却水畅通; (4)关闭进气管阀门; (5)用手盘动皮带轮至少3转,确认无异常现象后方可启动电动机; 4.1.2 运转 (1)推上电动机电源开关,驱动真空泵,泵的转向必须与皮带轮防护罩上的标向一致; (2)缓慢开启进气阀门,使泵的吸入口通向被抽容器,避免泵的启动冲击过大;(3)泵在运转过程中应无明显冲击声,否则应停机找出原因,进行调整修理;(4)各运动部位润滑良好,油泵油压明显; (5)冷却水出水温度不得超过40℃; 4.1.3 停机 (1)关闭进气管阀门; (2)关闭电动机电源开关; (3)在停机10分钟后,关闭冷却水进水阀; (4)在冬季,泵冷却水必须放空,以防冷却水结冰冻裂气缸、汽缸盖、填料箱、水管等; 4.1.4 日常保养注意事项
(1)每天或每班对润滑油油质、油位检查一次,缺油点及时加油(电机轴承另行规定); (2)要按操作规程使用机器,勤检查、勤调整、及时处理故障并记入运行记录;(3)工作时,要保持机器和地面清洁;交班前应将设备擦拭干净; (4)冬季室温低于5℃时,停车后要放掉隔腔内的冷却水; (5)每800h清洗气阀一次、清除阀座、阀盖积碳、清洗油过滤器,对运动机构进行一次检查; (6)每1200h清洗空气滤清器一次(真空缓冲罐); (7)每2000h将机油过滤一次;如油不干净则需更换;轴瓦应刮调一次;对整机的间隙进行全面检查; (8)试车检查:地脚螺栓检查紧固性、手动盘车无卡涩、润滑点及油位检查、冷却水通畅确认; (9)启动电动机检查转动方向、运行电流是否正常;油温、油压检查,管路泄漏检查;轴承温度检查(不得超过70℃),发现异常应当紧急停车、经处理后才能继续试车,试车合格方可正式投入使用; 4.2 罗茨真空泵操作规程 4.2.1 开机前准备 (1)打开冷却水进水阀,检查冷却水是否畅通; (2)轴承箱轴封空腔及油杯内注满润滑油,齿轮箱及轴承箱内的润滑油加至油窗直径3/4高度,润滑油用100#真空泵油; (3)凡在下列情况中使用时,必须采取相应的措施: a)吸入气体中有粉尘或颗粒时,应在吸气口前装置除尘器或过滤器; b)如果吸入气体中带有腐蚀性,必须采取中和措施; c)如果吸入气体中含有水蒸汽,必须装置冷凝器; 4.2.2 运转 (1)起动前级泵; (2)打开前级泵预抽旁通管道上的阀门和罗茨真空泵进、排气管道上阀门;(3)待系统内压力达到罗茨真空泵允许入口压力(一般-0.095MPa)后,将旁通管道上阀门关闭,再起动罗茨真空泵,如无旁通管道及阀门,则待系统内压力达
防火墙安全配置规范试题 总分:100分时间:70分钟姓名:_____________ 工号:__________ 一、判断题(每题2分,共20分) 1、工程师开局需要使用推荐版本和补丁。(对) 2、防火墙Console口缺省没有密码,任何人都可以使用Console口登录设备。(错) 3、一般情况下把防火墙连接的不安全网络加入低优先级域,安全网络加入高优先级域 (对) 4、防火墙缺省包过滤默认是打开的。(错) 5、防火墙local域和其它域inbound方向可以不做安全策略控制。(错) 6、防火墙双机热备场景下,HRP心跳线可以只用一条物理链路。(错) 7、原则上SNMP需要采用安全的版本,不得采用默认的community,禁用SNMP写功能, 配置SNMP访问列表限制访问。(对) 8、防火墙可以一直开启ftp server功能。(错) 9、远程登录防火墙建议使用SSH方式。(对) 10、正确设置设备的系统时间,确保时间的正确性。(对) 二、单选题(每题3分,共36分) 1. 防火墙一般部署在内网和外网之间,为了保护内网的安全,防火墙提出了一种区别路由 器的新概念(A),用来保障网络安全。 A. 安全区域 B. 接口检测 C. 虚拟通道 D. 认证与授权 2. 防火墙默认有4 个安全区域,安全域优先级从高到低的排序是(C) A. Trust、Untrust 、DMZ、Local B. Local、DMZ 、Trust 、Untrust
C. Local、Trust、DMZ 、Untrust D. Trust 、Local、DMZ 、Untrust 3. 针对防火墙安全功能描述错误的是(D) A. 防火墙可以划分为不同级别的安全区域,优先级从1-100 B. 一般将内网放入Trust 域,服务器放入 DMZ 域,外网属于Untrust 域 C. 要求在域间配置严格的包过滤策略 D. 防火墙默认域间缺省包过滤是permit 的 4.防火墙Console口缺省用户名和密码是( D) A. huawei;huawei B. huawei;huawei@123 C. root;huawei D. admin;Admin@123 5.防火墙登录密码必须使用强密码,什么是强密码?(D ) A.长度大于8,同时包含数字、字母 B.包含数字,字母、特殊字符 C.包含数字,字母 D.长度大于8,同时包含数字、字母、特殊字符 6.对于防火墙域间安全策略,下面描述正确的是() A.防火墙域间可以配置缺省包过滤,即允许所有的流量通过 B.域间inbound方向安全策略可以全部放开 C.域间outbound方向安全策略可以全部放开 D.禁止使用缺省包过滤,域间要配置严格的包过滤策略;若要使用缺省包过滤,需得 到客户书面授权。
设备安全技术操作规程(总则) 一、机械设备安全技术操作规程 1.机械设备是企业完成施工生产的重要物质基础,必须做到“安全生产,人人有责”。 2.严禁违章指挥及操作,违反劳动纪律等不安全行为。发现问题及时处理,使机械 设备达到安全、优质、高效、低耗地运行。 3.机械设备操作人员必须认真学习安全操作规程,待完全熟悉规程后方可操作机械 设备。 4.机械操作人员必须熟悉其操作机械的构造、原理、性能及安全技术要求,做到会 使用、会保养、会检查、会排除故障。并经培训考核取得操作证后,方可操作机 械。 5.机械操作人员必须严格遵守机械设备的有关保养规定、认真、及时地做好各级保 养,使机械经常处于完好状态。 6.严格执行交接班制度,认真填写记录,做到清楚、准确、完整,并做好例保“十 字作业”。 7.操作人员必须身体健康,凡患病、酒后及其他原因不能正常工作的人员,不允许 操作机械,非机械操作人员不得操作机械,操作人员只能操作指定的机械设备。 8.机械设备不得带病作业,严禁在机械运行中进行维护、保养工作。发现问题立即 停机,待故障排除后方可继续使用。 9.机械操作人员必须穿戴符合规定的劳动防护用品,不得穿拖鞋及高跟鞋,女工应 戴工作帽,长发应束紧不得外露。 10.认真做好设备的防火、防盗、防冻、防滑为中心的四防工作。 11.设备的各种安全防护装置,照明、信号、监测仪表,警戒标记,不得随意拆除或 移作它用。 12.机械集中存放及修理场所,应有防火设施。 13.机械设备使用的油料必须符合说明书的规定。 二、电器设备安全技术操作规程 1.电器设备维修前必须切断电源并由专业技术维修人员进行。 2.电源电压必须与电器设备额定电压相同。所有保险丝必须符合规定,严禁用其他
《CIW网络安全基础与防火墙》模拟试卷 一、单项选择题(本大题共15小题,每小题2分,共30分) 一.单选题 a b d c a a b a a d b a c d c 二.多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三.判断题 1 0 1 1 1 0 0 1 1 0 1 1 1 1 0 1.( A )使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务, 这属于什么漏洞?。 A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用 2.( B )使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用? A访问控制列表 B.执行控制列表 C.身份验证D:数据加密 3.(D )针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是哪种防火墙的特点? A. 包过滤型; B. 应用级网关型; C. 复合型防火墙; D. 代理服务型 4.( C )计算机犯罪的统计数字都表明计算机安全问题主要来源于 A.黑客攻击; B. 计算机病毒侵袭; C. 系统内部; D. 信息辐射 5.( A )下列协议中哪个是VPN常用的安全协议? A. PPTP B. SSL C.帧中继 D.TLS 6.( A )电路级网关是以下哪一种软/硬件的类型? A.防火墙; B.入侵检测软件; C.端口; D.商业支付程序 7.( B )随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下哪 个是应该考虑的部分? A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器 8.( A )哪种加密方式是使用一个共享的密钥? A.对称加密技术 B.非对称加密技术; C. HASH算法; D.公共密钥加密术; 9.(A )公司财务人员需要定期通过Email发送文件给他的主管,他希望只有主管能查阅该邮件,可以 采取什么方法? A.加密; B.数字签名; C.消息摘要; D.身份验证 10.(D )下列不属于WEB管理员的管理工作的是: A.监视WEB服务器性能; B.确保站点安全; C.维护站点更新链接等; D.根据站点的发展升级软件 11.( B )下列证书不使用X.509v3标准的是: A.服务器证书; B.数字证书; C.个人证书; D.发行者证书 12.( A )以下代理服务器哪个可被Linux客户端使用? A. Microsoft proxy; B. FTP proxy; C. Winsock proxy; D. SOCKS proxy. 13.( C )用户希望在Windows 2000上配置文件的审核功能,首先应该做什么? A.扩大磁盘容量 B.使用FAT32格式化磁盘 C.使用NTFS格式化磁盘 D.使用RAID5 14.( D )以下哪个命令或工具可以使用户从远程终端登录系统? A. HOST; B. Finger; C. SetRequest; D.Telnet 15.( C )防止盗用IP行为是利用防火墙的什么功能? A.防御攻击的功能; B.访问控制功能; C. IP地址和MAC地址绑定功能; D. URL过滤功能 二、多选题(本大题共15小题,每空3分,共45分) 16.(ABCD )网络安全工作的目标包括: 第1页,共8页
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、应用代理、访问控制和D oS防御。本文主要介绍地址转换和访问控制两种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基于IP 协议的技术,所有的信息通信都是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的IP 地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。当一个网络需要接入Internet上使用时,网络中的每一台设备都有一个I nternet地址,这在实行各种Internet应用上当然是最理想不过的。但是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备攻击,同时由于I nternet目前采用的IPV4协议在网络发展到现在,所剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法Internet IP可以映射六万多台内部网主机。从而隐藏内部网路地址信息,使外界无法直接访问内部网络设备。
Cisco路由器提供了几种NAT转换的功能: 1、内部地址与出口地址的一一对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。 2、内部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口号为随机产生的大于1024的号码,而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。 具体配置:由于实验用的是ISDN拨号上网,在internet上只能随机获得出口地址,所以NAT转换的地址池设置为BRI口上拨号所获得的地址。 interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon
设备保养 编制校对批准 责任人:操作工 一级保养 目的:保持设备清洁、整齐,使设备润滑良好,安全可靠,运行正常。 基本内容:严格按规程操作,合理使用设备。 班前:按点检要求对设备各项进行点检,按五定(定人、定时、定量、定质、定点)原则加注润滑油。 班中:定时检查设备的主要项点,发现问题及时处理。 班后:擦拭设备外观及各滑动面,清除设备内部铁屑,清理生产场地,做好交接班工作。 保养周期:每班一次。 保养工时:每班10- 15分钟;周末一小时。 二、二级保养责任人:以操作工为主,必要时由维修工配合。 目的:保持设备润滑良好,减少设备磨损,排除设备缺陷,消除事故隐患,脱黄袍、清内脏、去污除锈、漆见本色铁见光,油路畅通、油窗明亮,保证各部操作灵活、运行正常,使设备保持完好状态。 基本内容:对设备外观、内脏进行彻底擦拭,检查;疏通油路,清理油杯、油线;油箱清洗换油;调整配合间隙,消除紧固件松动,检查电器设备线路。保养周期:6个月一次 保养工时:4小时(如遇特殊情况可增加时间)。 三、三级保养责任人:以维修工为主,操作工参加。 目的:提高设备完好率,使设备达到完好标准。 基本内容:全部完成二保规定内容,对设备进行部分解体,清洗检修,更换或修复磨损件,按工艺要求恢复设备精度和性能。 保养周期:A类、关键设备为6个月;B类设备为12个月;C类设备为18
个月。 保养工时:不少于8小时(等待更换件时间除外)。 车床(数控车床)类设备一级保养内容 保养内容 1、 擦拭外表及滑动面。 2、 检查各操纵手柄及电器开关,要求位置正确无松动,动作灵活。 3、 检查各紧固件无松动。 4、 检查各安全装置完整、安全、灵活、准确、可靠。 5、 检查外部电器及地线,保证牢固可靠。 6按润滑图表加油。 7、低速启动运转,声音正常,润滑良好。 1、严格遵守操作规程。 2、操作中要通过听、看、摸、闻等方法观察设备的运转情况,发现问题及时处 理。 3、遇到故障实行“停、呼、待”。 1、 清扫切屑,认真擦拭外表及各滑动面。 2、 做到一空三后。即:操纵手柄、开关放在空位,尾座、大、中拖板放在后 部。 3、 做好交接班 1、 全面擦拭机床各部,保持漆见本色铁见光。 2、 检查紧固件无松动。 3、 检查、清洗油线及毛毡。 4、润滑各部位。 车床(数控车床)类设备二、三级保养内容 时间 ~班 前
1.目的 為使英華達(南京)科技有限公司廠區設施設備之使用,維修得到有效管理,以保障公司生產管理正常運作。 2.範圍 適用于公司重要設備:空氣壓縮機、氮氣機、發電機、空調機組以及生産所用的大型設備的使用及維修。 3.組織與權責 設施設備之使用,保養由厰務部負責維護保養之人員負責。 4.內容 4.1 空氣壓縮機使用,維修管理程序 4.1.1 開機前準備工作 4.1.1.1 檢查油位,必要時添加潤滑油. 4.1.1.2 確保隔離閥門打開. 4.1.1.3 閉合主電源開關,<顯示屏>奌亮,表示控制迴路接通電源,同時<卸載>指示燈亮。 4.1.2 開機 按下START啟動按鈕,壓縮機啟動;如有供氣的需求,壓縮機會自動加載,同時壓力上升至設 定點(8.5~9kg) . 4.1.3 停機 按下 STOP卸載停機按鈕,壓縮機立即卸載,並繼續運行約7秒鐘後,壓縮機停機.如果在卸載運行過程中,按下
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。 防火墙按照处理方式可以分为以下三类: 包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。