当前位置：文档库 › IIS虚拟主机网站防木马权限设置安全配置整理

IIS虚拟主机网站防木马权限设置安全配置整理

IIS 虚拟主机网站防木马权限设置安全配置整理
[ 来源:网页教学网 | 作者: | 时间:2007-12-25 09:41:19 | 收藏本文 ] 【大中小】
参考了网络上很多关于 WIN2003 的安全设置以及自己动手做了一些实践，综合了这些安全设置文章整理而成，希望对大家有所帮助，另外里面有不足之处还请大家多多指点，然后给补上，谢谢！一、系统的安装 1、按照 Windows2003 安装光盘的提示安装，默认情况下 2003 没有把 IIS6.0 安装在系统里面。中.国.站.长.站 2、IIS6.0 的安装
以下为引用的内容：开始菜单—>控制面板—>添加或删除程序—>添加/删除 Windows 组件应用程序 ———https://www.wendangku.net/doc/b06059834.html,(可选) |——启用网络 COM+ 访问(必选) |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。 3、系统补丁的更新:点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统:用 GHOST 备份系统。中.国.站长站 5、安装常用的软件:例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用 GHOST 再次备份系统。 6、先关闭不需要的端口开启防火墙导入 IPSEC 策略

在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议(TCP/IP)，由于要控制带宽流量服务，额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里--"NetBIOS"设置"禁用 tcp/IP 上的 NetBIOS(S)"。在高级选项里，使用"Internet 连接防火墙"，这是 windows 2003 自带的防火墙，在 2000 系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个 IPSec 的功能。中国站.长站修改 3389 远程连接端口修改注册表 Www@Chinaz@com 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000) 注意：别忘了在 WINDOWS2003 自带的防火墙给+上 10000 端口修改完毕。重新启动服务器设置生效。二、用户安全设置 1、禁用 Guest 账号在计算机管理的用户里面把 Guest 账号禁用。为了保险起见，最好给 Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为 Guest 用户的密码拷进去。 2、限制不必要的用户去掉所有的 Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、把系统 Administrator 账号改名 Www@Chinaz@com 大家都知道，Windows 2003 的 Administrator 用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成 Guesycludx。 4、创建一个陷阱用户中.国站长站什么是陷阱用户？即创建一个名为"Administrator"的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过 10 位的超级复杂密码。这样可以让那些 Hacker 们忙上一段时间，借此发现它们的入侵企图。 5、把共享文件的权限从 Everyone 组改成授权用户任何时候都不要把共享文件的用户设置成"Everyone"组，包括打印共享，默认的属性就是"Everyone"组的，一定不要忘了改。 6、开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为 20 分钟，用户锁定时间为 20 分钟，用户锁定阈值为 3 次。 (该项为可选) 7、不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表 "HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\DontDisplayLastUserName"，把 REG_SZ 的键值改成 1。 8、密码安全设置 a、使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如"welcome"等等。因此，要注意密码的复杂性，还要记住经常改密码。 b、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 c、开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为 6 位，设置强制密码历史为 5 次，时间为 42 天。 d、考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。三、系统权限的设置 1、磁盘权限系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、 ftp://ftp.exe/、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、
attrib.exe、https://www.wendangku.net/doc/b06059834.html,、del 文件只给 Administrators 组和 SYSTEM 的完全控制权限另将\System32\cmd.exe、https://www.wendangku.net/doc/b06059834.html,、ftp://ftp.exe/转移到其他目录或更名 Www~Chinaz~com Documents and Settings 下所有些目录都设置只给 adinistrators 权限。并且要一个一个目录查看，包括下面的所有子目录。站.长站删除 c:\inetpub 目录 2、本地安全策略设置开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略 Www@Chinaz@com 审核策略更改审核登录事件审核对象访问审核目录服务访问成功失败成功失败失败审核过程跟踪失败无审核
审核特权使用审核系统事件
失败成功失败
审核账户登录事件成功失败审核账户管理成功失败
B、本地策略——>用户权限分配关闭系统：只有 Administrators 组、其它全部删除。 Chinaz~com 通过终端服务允许登陆：只加入 Administrators,Remote Desktop Users 组，其他全部删除站长.站 C、本地策略——>安全选项 https://www.wendangku.net/doc/b06059834.html, 交互式登陆：不显示上次的用户名网络访问：不允许 SAM 帐户和共享的匿名枚举网络访问：不允许为网络身份验证储存凭证网络访问：可匿名访问的共享启用启用中国站.长站启用全部删除中.国.站长站
网络访问：可匿名访问的命网络访问：可远程访问的注册表路径
全部删除 Www_Chinaz_com 全部删除

网络访问：可远程访问的注册表路径和子路径帐户：重命名来宾帐户帐户：重命名系统管理员帐户 3、禁用不必要的服务开始-运行-services.msc
全部删除重命名一个帐户重命名一个帐户
TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络中国.站长站 Server 支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Distributed File System: 局域网管理共享文件，不需要可禁用 Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 Chinaz_com NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要可禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Www_Chinaz_com Remote Desktop Help Session Manager：禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组
以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。 4、修改注册表:修改注册表，让系统更强壮 Chinaz

a、隐藏重要文件/目录可以修改注册表实现完全隐藏 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hi-dden\SHOWALL"，鼠标右击"CheckedValue"，选择修改，把数值由 1 改为 0 b、防止 SYN 洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值，名为 SynAttackProtect，值为 2 Chinaz 新建 EnablePMTUDiscovery REG_DWORD 0 新建 NoNameReleaseOnDemand REG_DWORD 1 新建 EnableDeadGWDetect REG_DWORD 0 Chinaz~com 新建 KeepAliveTime REG_DWORD 300,000 Www^Chinaz^com 新建 PerformRouterDiscovery REG_DWORD 0 新建 EnableICMPRedirects REG_DWORD 03. 禁止响应 ICMP 路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inte rfaces\interface 新建 DWORD 值，名为 PerformRouterDiscovery 值为 0 c. 防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Chinaz 将 EnableICMPRedirects 值设为 0 d. 不支持 IGMP 协议 Chinaz_com HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 DWORD 值，名为 IGMPLevel 值为 0 [中国站长站] e、禁止 IPC 空连接： cracker 可以利用 net use 命令建立空连接，进而入侵，还有 net view，nbtstat 这些都是基于空连接的，禁止空连接就好了。 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成"1"即可。 f、更改 TTL 值 Chinaz cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如： TTL=107(WINNT); TTL=108(win2000); TTL=127 或 128(win9x); 中国站.长站 TTL=240 或 241(linux); TTL=252(solaris); Chinaz TTL=240(Irix); 实际上你可以自己改的： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters： DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值 128)改成一个莫名其妙的数字如 258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦 g. 删除默认共享有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是 2K 为管理而设置的默认共享， HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer 类型是 REG_DWORD 把值改为 0 即可 h. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成 "1"即可。 i、建立一个记事本，填上以下代码。保存为*.bat 并加到启动项目中
以下为引用的内容： net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
5、IIS 站点设置： a、将 IIS 目录&数据与系统磁盘分开，保存在专用磁盘空间内。 b、启用父级路径 Www@Chinaz@com c、在 IIS 管理器中删除必须之外的任何没有用到的映射(保留 asp 等必要映射即可) d、在 IIS 中将 HTTP404 Object Not Found 出错页面通过 URL 重定向到一个定制 HTM 文件 e、Web 站点权限设定(建议) 读写允许不允许不允许建议关闭站.长站建议关闭建议关闭 https://www.wendangku.net/doc/b06059834.html,
脚本源访问目录浏览日志访问索引资源

执行
推荐选择 "仅限于脚本"
f、建议使用 W3C 扩充日志文件格式，每天记录客户 IP 地址，用户名，服务器端口，方法，URI 字根，HTTP 状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和 system 为 Full Control)。
g、程序安全 https://www.wendangku.net/doc/b06059834.html, 1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在 ASP 文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限; 中国.站长站 2) 需要经过验证的 ASP 页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。3) 防止 ASP 主页.inc 文件泄露问题; 4) 防止 UE 等编辑器生成 some.asp.bak 文件泄露问题。 Chinaz^com 6、IIS 权限设置的思路 1) 要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。 2) 在 IIS 的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。 3) 设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限，并且要加上超管组和 SYSTEM 组)。 7、卸载最不安全的组件最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT 文件，( 以下均以 WIN2000 为例，如果使用 2003，则系统文件夹应该是 C:\WINDOWS\ ) 中国站.长.站
以下为引用的内容： regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINNT\WINDOWS\shell32.dll

然后运行一下，WScript.Shell, Shell.application, https://www.wendangku.net/doc/b06059834.html,work 就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示"×安全"了。

公司数据安全管理规范

******有限公司数据安全管理规范为了确保ERP系统的安全和保密管理，保障公司各项数据的安全准确，特制定本制度。 1、信息部是公司信息系统的管理部门，负责全公司信息化设备的管理、ERP系统的正常运行，基本参数的设置，系统用户权限的划分管理，系统数据的提取变更。信息部门负责人为公司信息安全第一责任人，负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作，用户授权和权限管理采取保守原则，选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则：（1）为各部门各门店管理人员统一发放系统登陆账号，账号专人专用，账号下发后需立即更改初始密码，严禁使用他人工号或泄露密码。一经发现处以500元每次罚款，并永久性取消登录权限，由此造成的后果个人承担责任；情节严重的予以辞退。（2）公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。（3）如需信息部配合提取系统销售数据或者需变更工号操作权限，需填写业务联系函写明原因并由部门负责人和执行副总签字，否则信息部不予配合。（4）人事部每月应将主管级以上人员离职名单传递信息中心，信息部接到通知后立即给予权限终止，防止数据外泄。（5）公司员工计算机内涉及公司机密数据的，应给计算机设定开机密码并把文件进行加密处理，非工作需要不得以任何形式进行转移，不得随便拷贝到移动存储设备。（6）离开原工作岗位的员工，各部门负责人需把其工作资料进行回收保存，并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的，电脑保留原岗位不变。（7）公司内部经信息部确认需要送外维修的电脑，送修前需联系信息部拆除电脑的存储设备并由信息部保管，维修好后再联系信息部进行安装。（8）对于公司连接外网的电脑，不得浏览来历不明的网站或下载不明网站的程

城市道路交通安全设施设置规范

城市道路交通安全设施设置规范The Installation Specification for City Road Traffic Safety Facilities 第1部分交通标志 (征求意见稿)

目次前言 (1) 1范围 (2) 2规范性引用文件 (2) 3术语和定义 (2) 4标志设置基本原则 (3) 5标志设置要点 (3) 6标志板、支撑方式及安装要求 (8) 7一般道路指路标志的设置 (14) 8城市快速路标志的设置 (20)

城市道路交通安全设施设置规范第1部分交通标志 1 范围本部分规定了道路交通标志的结构、尺寸及设置要求。本部分适用于中心城区内城市道路、各区县政府所在地建成区内城市道路的交通标志设置。本部分含有相关的术语和定义，规定了基本要求、标志设置要点、标志板、支撑方式及安装要求、一般道路指路标志的设置、城市快速路标志的设置。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 5768.2—2009 道路交通标志 GB 50007 建筑地基基础设计规范 GB 50009 建筑结构荷载规范 GB 50017 钢结构设计规范 GB/T 18833—2012 道路交通反光膜 GB/T 23827 道路交通标志板及支撑件 GB51038-2015城市道路交通标志和标线设置规范 DB510100/T 129.1-2013 道路指路标志系统-第1部分-总则 DB510100/T 129.2-2013 道路指路标志系统-第2部分-一般城市道路 DB510100/T 129.3-2013 道路指路标志系统-第3部分-城市快速路 DB510100/T 129.4-2013 道路指路标志系统-第4部分-一般公路 DB510100/T 129.5-2013 道路指路标志系统-第5部分-慢行交通 3 术语和定义下列术语和定义适用于本文件。 3.1 道路交通标志road traffic signs 在道路上用于交通管理目的并以颜色、形状、字符、图形等向道路使用者传递特定信息的设施。3.2 组合标志 combination signs 两个或两个以上警告、禁令、指示标志布设在同一个版面上的交通标志。 3.3 作业区 work zone 由于道路施工、养护等作业影响交通运行，而进行交通管控的路段。

有限空间防护设备配置

ICS13.100 C65 备案号：DB11 北京市地方标准 DB 11/ 852.3—2014 地下有限空间作业安全技术规范第3部分：防护设备设施配置 Safety technical regulation for working in underground confined spaces Part3：Allocation of protective equipments 2014-02-26发布2014-06-01实施

目次前言................................................................................ II 1 范围 (1) 2 规范性引用文件 (1) 3 基本要求 (1) 4 安全警示设施 (1) 5 作业防护设备 (2) 6 个体防护用品 (2) 7 应急救援设备设施 (2) 附录A（规范性附录）地下有限空间作业安全告知牌样式 (3) 附录B（规范性附录）防护设备设施配置表 (4)

前言 DB11/ 852《地下有限空间作业安全技术规范》拟分成部分出版，目前计划发布如下部分：——第1部分：通则； ——第2部分：气体检测与通风； ——第3部分：防护设备设施配置。本部分为DB11/ 852的第3部分。本部分4.4、5.1、6.1、7.2为强制性条款，其余为推荐性条款。表B.1部分指标强制。本部分按照GB/T 1.1—2009给出的规则起草。本部分由北京市安全生产监督管理局提出并归口。本部分由北京市安全生产监督管理局组织实施。本部分起草单位：北京市劳动保护科学研究所。本部分主要起草人：刘艳、常纪文、秦妍、胡玢、陈娅、董艳、汪彤、马虹、刘英杰、赵岩。

(完整版)应用系统权限及数据管理安全管理办法

用友系统权限及数据管理办法一、总则为了保障在用友系统使用及管理过程中因不安全的操作而导致的数据泄漏、被盗取等安全事件的发生，特制定本办法。二、本管理办法仅适用于公司全员。三、职责与分工 1、职能部门：（1）公司权限负责人：总经理 1）负责签批部门间的权限的授予； 2）负责对用友系统用户帐号及密码安全进行不定期抽查；（2）系统管理员：财务负责人 1）用友系统管理由财务部负责，除总经理及财务部指定的系统管理员外任何部门不得担任系统管理员一职。 2）负责帐号、各岗位权限分配、系统维护、各模块使用情况的安全运行监管。 3）负责根据《用友用户新增\变更\注销请示单》在系统中设置用户权限； 4）负责维护本单位用户和权限清单； 5）遵守职业道德，接受总经理权限负责人的抽查。（3）各岗位系统操作员：负责所使用模块的权限管理和该模块的数据安全； A.采购部负责有关产品基础信息定义、系统采购模块使用。 B.销售部负责系统销售模块使用。 C.物流部负责仓库管理权限和销售单打印、查询权限； 2、用户帐号: 登录用友系统需要有用户帐号，用户帐号是由财务部系统管理员根据员工工作岗位员工的工作性质规定下进行系统岗位功能、权限分配和设置的。（1）密码设置及更改： 1）第一次登录用友系统时，用户必须改变事先由管理员分配的初始密码； 2）系统管理员及操作员密码每三个月必须变更一次，密码不少于6位。 3、帐号与密码保管：系统使用人必须保证用户ID和用户密码的保密和安全，不得对外泄漏，用户帐号不可转借他人使用；

3、责任承担及注意事项：（1）帐号的对应的使用者应对该帐号在系统中所做的操作及结果负全部责任。（2）系统管理员应该每天检查系统日志，对发现的非法登录、访问等行为。（3）管理帐号及管理权限的增加、删除必须经总经理书面批准，任何人不得任意增加、修改、删除。（4）任何人除所负责权限岗位以外的信息数据不得随意导出：如客户资料、产品进价、销售数据等，如有需要需提交书面申请交总经理审批后统一由财务部导出打印，并建立打印档案。（5）非财务部指定的系统管理人员未经许任何人不得擅自操作和对运行系统及各种设置进行更改。四、用户申请\变更\注销流（1）由用户本人提出申请（填写《请示单》）经部门主管审核交财务部并报总经理审核批示使用权限；（2）财务部系统管理员根据经总经理审批《请示单》在系统中进行权限设置后通知申请人；（3）申请人应在收到通知的当天修改初始口令。（4）当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时，应填写书面《请示单》经总经理审批后系统管理员应及时进行用户的变更、暂停或注销权限。三、数据备份及安全管理 1、服务器数据库要设置每日自动备份，每周五财务部应进行一次介质数据的备份并异地存放，确保系统一旦发生故障时能够快速恢复，备份数据不得更改。 2、系统管理人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。 3、服务器是用友系统的关键设备，不得随意调试、挪作它用。 4、系统操作时，外来人员不得随意操作、靠近观看。对外来人员不合理要求应婉拒，外来人员不得未经同意不得查看、操作系统。二、计算机病毒防范制度 1、系统管理人员应有较强的病毒防范意识，定期进行病毒检测。 2、不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测。 3、经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。 4、定期进行电脑杀毒，对电脑中毒后在各种杀毒办法无效后，须重新对电脑格

数据库安全管理

西南石油大学实验报告一、实验课时：2 二、实验目的 (1) 掌握使用T-SQL语句创建登录帐户的方法。 (2) 掌握使用T-SQL语句创建数据库用户的方法。 (3) 掌握使用T-SQL语句创建数据库角色的方法。 (4) 掌握使用T-SQL语句管理数据库用户权限方法。三、实验要求 (1) 使用SQL Server 2008查询分析器。 (2) 严格依照操作步骤进行。四、实验环境 (1) PC机。 (2) SQL Server 2008。五、实验内容及步骤注意事项：（1）首先在C盘根目录创建文件夹Bluesky，执行脚本文件“PracticePre-第11章安全管理.sql”，创建数据库BlueSkyDB和表；（2）如何建立“数据库引擎查询”；（3）使用“select user_name()”可查询当前登录账号在当前数据库中的用户名。

TUser3，初始密码均为“123456”。步骤2 使用TUser1建立一个新的数据库引擎查询，在“可用数据库”下拉列表框中是否能看到并选中BlueSkyDB数据库？为什么？可以看到数据库BlueSkyDB但是不能选中打开，因为用户仅仅是能够使用服务器的合法用户，但不能访问数据库

映射为数据库BlueSkyDB的用户，用户名同登录名。步骤4 再次使用TUser1建立一个新的数据库引擎查询，这次在“可用数据库”下拉列表框中是否能看到并选中BlueSkyDB数据库？为什么？

能够选中BlueSkyDB，因为TUser1已经成为该数据库的合法用户了步骤5 用TUser1用户在BlueSkyDB数据库中执行下述语句，能否成功？为什么？ SELECT * FROM BOOKS；

网络数据和信息安全管理规范

网络数据和信息安全管理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。术语本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

信息安全管理制度-网络安全设备配置规范1.doc

信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？

1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试） 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为：

?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255） ?保留地址（224.0.0.0）

数据安全管理规范

业务平台安全管理制度 —数据安全管理规范 XXXXXXXXXXX公司网络运行维护事业部

目录一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四. 数据信息完整性安全规范 (5) 五. 数据信息保密性安全规范 (6) 5.1密码安全 (6) 5.2密钥安全 (6) 六. 数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)

一. 概述数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。

二. 数据信息安全管理制度 2.1 数据信息安全存储要求数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定： ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范： ?必须符合国家有关加密技术的法律法规； ?根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度； ?听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。 ◆机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。 ◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范： ?充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。 ?采取保护公钥完整性的安全措施，例如使用公钥证书； ?确定签名算法的类型、属性以及所用密钥长度； ?用于数字签名的密钥应不同于用来加密内容的密钥。

安全设施标准化管理规定(新编版)

( 安全管理 ) 单位：_________________________ 姓名：_________________________ 日期：_________________________ 精品文档 / Word文档 / 文字可改安全设施标准化管理规定(新编版) Safety management is an important part of production management. Safety and production are in the implementation process

安全设施标准化管理规定(新编版) 第一章总则第一条为了规范光伏电站安全设施管理，保障设备和人身安全，确保安全生产工作顺利进行，特制定本规定。第二条本规定依据《国家电网公司电力安全工作规程（变电部分）（线路部分）》、《变电站标准化管理条例》、《电力生产企业安全设施规范手册》，结合阜康市新风新能源有限公司（以下简称“光伏电站”）实际制定，适用于光伏电站。第二章职责第三条光伏电站负责本规定的编制和修订。第四条上级公司安全部门负责对所属光伏电站安全设施标准化管理进行监督与检查。第五条光伏电站是本规定的执行单位，负责本规定的落实。光伏电站应按照本规定进行自查，对不满足本规定的安全设施进行整

改。第三章标准化管理内容与要求第六条标志、标牌（一）所有生产用建筑物、设备均应在醒目位置设置标志牌；（二）设备命名应有统一规定，与设备一一对应；（三）设备标志应定义清晰，能准确反映设备的功能、用途和属性；（四）光伏电站应结合生产实际和企业文化设置一定数量的安全文化标志。第七条升压站部分（一）屋内装设的油量大于100kg和屋外装设的油量大于1000kg 的高压电气设备（均指单台）应设有符合规定的贮油（或挡油）和排油设施；（二）水泥构架应无严重龟裂、混凝土脱落、钢筋外露等缺陷，钢构架应无严重腐蚀；（三）屋外电瓷外绝缘爬电比距应符合所在地区污秽等级的要

AI操作系统安全配置规范

AIX安全配置程序

1 账号认证编号：安全要求-设备-通用-配置-1 编号：安全要求-设备-通用-配置-2

2密码策略编号：安全要求-设备-通用-配置-3

编号：安全要求-设备-通用-配置-4 编号：安全要求-设备-通用-配置-5

编号：安全要求-设备-通用-配置-6 3审核授权策略编号：安全要求-设备-通用-配置-7 (1)设置全局审核事件

配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号：安全要求-设备-通用-配置-8

数据安全管理规定

XXX 数据安全管理规定编制：____________________ 审核：____________________ 批准：____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXX所有，受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]

1.分发控制分发对象文档权限说明 XXX内部员工只读 2.文件版本信息版本日期拟稿和修改说明 3.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

第一章总则第一条为保证XXX信息系统核心数据安全，维护数据所有者权利，明确利益相关者的责任与义务，按照分类管理、分级保护、授权使用的原则，根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求，特制订本规定。第二条本规定所管理的数据均为非涉密的数据，XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。第二章术语定义第四条本规定所称数据所有者是指，对所管理业务领域内的信息或信息系统，有权获取、创建、维护和授权的业务主管。第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中，非文件形式的数据包括数据库及配置文件中的数据、配置信息等。

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

公司数据安全管理规范

****** 有限公司数据安全管理规范为了确保ERP系统的安全和保密管理，保障公司各项数据的安全准确，特制定本制度。 1、信息部是公司信息系统的管理部门，负责全公司信息化设备的管理、ERP系统的正常运行，基本参数的设置，系统用户权限的划分管理，系统数据的提取变更。信息部门负责人为公司信息安全第一责任人，负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作，用户授权和权限管理采取保守原则，选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则：（1）为各部门各门店管理人员统一发放系统登陆账号，账号专人专用，账号下发后需立即更改初始密码，严禁使用他人工号或泄露密码。一经发现处以500元每次罚款，并永久性取消登录权限，由此造成的后果个人承担责任；情节严重的予以辞退。（2）公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。（3）如需信息部配合提取系统销售数据或者需变更工号操作权限，需填写业务联系函写明原因并由部门负责人和执行副总签字，否则信息部不予配合。（4）人事部每月应将主管级以上人员离职名单传递信息中心，信息部接到通知后立即给予权限终止，防止数据外泄。（5）公司员工计算机内涉及公司机密数据的，应给计算机设定开机密码并把文件进行加密处理，非工作需要不得以任何形式进行转移，不得随便拷贝到移动存储设备。（6）离开原工作岗位的员工，各部门负责人需把其工作资料进行回收保存，并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的，电脑保留原岗位不变。（7）公司内部经信息部确认需要送外维修的电脑，送修前需联系信息部拆除电脑的存储设备并由信息部保管，维修好后再联系信息部进行安装。（8）对于公司连接外网的电脑，不得浏览来历不明的网站或下载不明网站的程

信息安全管理制度网络安全设备配置规范

网络安全设备配置规范 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭、、、等，以及使用而不是远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许到公网服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击？ 5.防火墙是否阻断下述欺骗、私有（1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255）

安全设施配置

《XX工程建设安全设施配置规范》调研报告第一部分：法律法规要求武汉博晟安全科技有限公司联系地址1：武汉市东湖新技术开发区关山大道特1号光谷软件园A8栋4楼 430073 联系地址2：武汉市武昌区东湖南路8号武汉大学工学部A-100信箱 430072 公司网址：电子邮箱：联系电话：，87611231 传真：转807

3、其他行业安全设施配置规范 3.1中铁建设集团有限公司《文明安全施工样板集》中铁建设集团有限公司《文明安全施工样板集》共12个部分，内容主要为：现场及料具管理；环境保护；安全防护；基槽、坑、沟防护；脚手架防护；施工用电；机械安全；塔式起重机；施工升降机；生活区管理；消防保卫；安全色及安全标识。其中安全防护、脚手架防护、施工用电、机械安全塔式起重机、消防保卫作了非常详细的规定，且非常具有特色。（1）现场大门口洗车台做法。作为环境保护中的一点，要求施工现场出入口必须设置洗车台，施工车辆出场时必须经过清洗干净，不得将泥沙带出工地。图3-1 （2）现场设置防扬尘喷洒设施。为有效控制施工现场扬尘污染，根据实际情况安装定时或手动开启的喷淋设备，或采用人工洒水降尘。在隧洞内，应鼓励安装定时开启的喷淋设备，在施工区内则应鼓励采用洒水车等进行定时洒水除尘。

图3-2 （3）施工现场可以采用薄质密目网对土方进行整理覆盖，土方下不覆盖不严密出，可播撒种子，能有效防止扬尘。图3-3 （4）采用了工具式、定型化人员上下通道。该型通道要求地基樱花，限承10人，且安装时要有专项方案即技术交底，验收合格后才能使用，同时该型通道要符合马道搭设的相关要求。图3-4 （5）固定式配电箱防护棚及相关标识。现场固定式配电箱设

数据中心安全管理制度

益阳市紧急医疗救援指挥中心数据中心安全管理制度为保证数据中心中的设备及数据的安全，中心办公室设立以下管理规定，所有授权进出数据中心的人员必须严格遵守此规定。一、硬件安全 1. 数据中心机房只有授权人员才可以进入，其他公司技术和管理人员获得邀请并登记后也可以进入数据中心。 2. 离开数据中心前应确保关闭机柜门、整理好有关设备、离开时必须关闭数据中心大门。 3. 进入数据中心操作时应穿防静电鞋套，保持服装整洁，以防带入灰尘。 4. 进入数据中心后应关闭大门，以免灰尘飘入数据中心。 5. 数据中心内禁止饮食、吸烟，禁止带入不相关的东西。 6. 数据中心专用工具及软件应由系统管理员统一注册、并统一保管，外借工具应登记（借出、借入方均需签名）并应在两工作天内归还，借出者负责跟进收回工具。 7. 系统管理员必须定期检查所有设备是否工作正常，包括检查网络是否畅通、散热设备是否运转、设备是否过热及服务器状态是否良好等等，一般可定一星期检查一次。二、软件安全 1. 所有数据中心设备（包括服务器、路由器、交换机及精密空调等等）均需设置密码进行保护。 2. 密码最少八位长度，必须由数据中心管理人员一人或多人完全掌握。核心数据密码不宜写在纸上或文件中，并要求至少三个月更新一次。 3. 控制系统操作人员权限，数据库及应用系统超级管理员权限只能赋予数据中心内部人员，开发运维商只能赋予普通用户权限，开发运维商如需登录数据库或应用系统时须在数据中心内部人员的陪同下进行。 4. 更新/维护设备或软件时，必须至少提前一天通知受影响用户，紧急情况

时应尽量将影响程度降至最低。 5. 按需求安装软件时，必须在其它机器中测试并验证可用后，才可以在服务器中安装。 6. 服务器中软件均为正版软件，禁止在服务器中安装没有授权证（License）的软件，不应在服务器中安装测试版软件。

设备安装安全操作规范

设备安装安全操作规范为保障施工安全,特制定以下安全操作规范,现场施工人员必须严格遵守。 1、施工人员进入现场前,必须进行安全教育,并宣讲客户要求的各种注意事项。安排工作时要分工明确。 2、所有施工人员持证上岗,统一着装,并配备厂牌,进入现场必须戴安全帽,高处作业必须严格执行高处作业安全管理规定,系好安全带,并检查安全带是否安全有效, 有无破损,发现问题及时解决。安全带必须固定在牢固的设备结构件上。 3、施工项目负责人必须在现场监护,严禁违章作业。 4、施工现场材料堆放整齐、分类、分规格标识清楚,不占用施工道路和作业区。必须按平面布置搭设临设,布置电焊机具,堆放各种材料整齐,使之井然有序。 5、安装施工前应检查工作面是否平整。 6、指挥叉车、吊车、等厂内机动车辆安全行驶,防止车辆伤害。 7、施工现场临时用电工程必须设置专用保护零线。配电箱、开关箱采用铁皮制作,能防雨、防尘。配电箱和开关箱箱体不应有带电的金属物体。使用设备要求保护接零,开关箱必须设漏电保护器。配电箱、开关箱中导线的进线口和出线口设在箱体的底面,所有配电箱,开、关箱必须上锁,严禁无证人员私拉乱接。 8、电焊作业时,二次线长度不能超过30米,并且双线到位。焊工持证上岗。施工用火、气焊接必须执行审批制度,办理动火手续,保证安全措施到位。高空明火作业,必须在其下方采取隔离措施,不得使火种从高空散落。 9、在进行上、下立体交叉作业时首先必须具有一定左、右方向的安全间隔距离, 不能确实保证此距离,应设置能防止下落物伤害下方人员的防护层。 10、现场吊装作业时,吊车要指派专人指挥。严格遵守起重机操作规程,严禁违章作业。 11、施工现场机械设备整洁,电气开关柜(箱)按规定制作,完整并带锁,安全保护装置齐全可靠。 12、设专人清理施工废渣,严禁从上往下倾倒垃圾,垃圾集中运输至垃圾场倾倒。施工作业面保证工完场清。保持施工现场场地平整、清洁,道路、通道畅通。每天收工后要现场断电,应清理现场,施工工具、材料应分类堆放在一起,放到指定地点后方可离开现场。严格遵守文明施工管理规定。设备安装调试安全管理规范一、防火 1、安装调试车间、现场办公室等允许使用火或可能发生火灾的地方要设有灭火器。灭火器应时刻随手可得。不得在灭火器上悬挂任何东西,不能有异物,并至少每月检查一次。 2、吸烟只允许在受控的条件下在指定地区进行。在安装调试现场严禁吸烟。 3、在允许使用灭火器的地方,如安装车间、办公室、吸烟区和动火工作区应设置灭火器。在上述每一地区应至少放一个灭火器。所有的管理人员和班组长都应受训学会使用灭火器。 4、现场所有固体废弃物,不可长时间堆放,应及时清理干净。二、安全装备 1、所有的工人均应穿合适的工作服和穿安全鞋。

信息系统权限及数据管理办法

******股份有限公司信息系统权限及数据管理办法（试行）第一章总则第一条为了加强对******股份有限公司（简称：公司）各运行信息系统权限和数据的管理，明确权限及数据管理相关责任部门，提高信息系统的安全运行和生产能力，规范公司业务系统权限申请及数据管理流程，防范业务系统操作风险，公司制定了信息系统权限及数据管理办法，以供全公司规范执行。第二条本办法所指信息系统权限及数据包括，但不仅限于公司运行的OA办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理，以及数据的提取和变更。第三条本办法遵循责权统一原则对员工进行系统授权管理，控制公司相关信息传播范围或防范进行违规操作。第四条信息技术部是本办法主要执行部门，设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人（简称：数据权限管理员）负责统一按本办法所制定的流程执行相关操作，或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。第五条用户授权和权限管理应采取保守原则，选择最小的权限满足用户需求。第二章系统权限管理第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成，风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批，信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限（信息技术部可以拥有开发测试环境超级用户权限），风险与合规部拥有超级用户权限，风险与合规部数据权限管理员拥有对权限列表进行查询的权限，以方便行使监督职能。．第七条为有效的进行用户权限管理，各业务部门负责人应掌握系统各功能模块、菜单结构，按功能模块完成系统中权限角色设计；应熟悉本部门各岗位工作基本情况，有效识别权限与职责的匹配关系。第八条用户申请使用、增加或者修改系统权限（包括新增员工权限申请、变更、离职员工权限），需填写《系统权限申请表》（见附件五），说明申请用户人事信息、所在部门、岗位、申请理由、申请内容。第九条信息技术部系统运维岗完成用户权限的设置后，必须将《系统权限申请表》（见附件五）电子文档、纸质文档进行存档，并以邮件方式从信息技术部运维组信箱（IT_yunw@******.）发送至风险与合规部机构信箱，提请风险与合规部对结果进行审核。如在三个工作日内风险与合规部没有作出答复，则信息技术部默认权限设置成功。信息技术部系统运维岗在保证信息安全前提下，通知最终用户启用。电子文档和纸质文档的存档规则如下： (一)电子文档的在公司文件服务器设置专门目录存放，存档文件名格式为：权限申请+日期+两位序号（部门中文名称）（财务部）.doc，《批量权限申请表》附于此文档后。

数据安全管理规范

数据库安全管理规范版本: V1.0 (最后修该日期：2007-6-8) 编者: 宽连十方运维中心目的: 建立一个在数据库管理维护过程中，相关数据库管理人员可以遵循的安全操作标准。修改记录: 1.0 建立数据库安全管理规范（日期：2007-6-7）支持信息：

目录数据库安全管理规范 (1) 1.规范公司内部管理制度 (3) 2.数据库级安全管理制度 (3) 2.1 操作系统口令管理 (3) 2.2 数据库内部口令管理 (3) 2.3 密码自身保护 (3) 2.4 用户（帐号）分类 (4) 2.5 数据库管理员日常维护管理 (4) 2.6 数据库管理员授权控制 (5) 2.7 网络安全管理 (5) 2.8数据访问控制 (5)

1. 规范公司内部管理制度主要是控制相关工作人员本身的行为规范。需要公司管理部门配合，联合制定一套安全管理制度。包括在界定工作职责（角色）基础之上建立不同级别（权限）的口令。规定不同角色的工作人员不得相互泄露口令等重要安全信息等。 2. 数据库级安全管理制度 2.1 操作系统口令管理在操作系统上的有ROOT权限的用户必须由系统管理员全部收回，对于一些特殊原因，如研发人员需要下载相关运行日志，需要建立实名的FTP,以及配套的日志下载权限。，如果确实需要修改系统内部参数的，都要求研发人员向系统管理人员申请协同工作，共同修改。系统管理员会记录下每次协同工作日志和修改日志。 2.2 数据库内部口令管理 1.关键的数据库内部管理用户（SYS, SYSTEM）的口令在数据库创建之初就必须变换默认口令信息。 2.对于数据内部默认存在的非管理用户（SCOTT, DBSNMP, OUTLN等）的口令也需要修改。 3.对于研发而言，需要建立测试数据库环境。对于上线系统，理论上不提供研发人员对数据库的直接访问和修改。 4.由于java class很容易反编译，建议java class连库的时候要读密码文件。密码文件对用户来说是不读的, 但对java程序来说是可读的。或采用其他方式保护数据库连接所需要的用户的密码信息。 2.3 密码自身保护周期性更换密码（2-3个月），并要求密码具有一定的复杂度（至少6位密码包含数字和字母）