版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、信息安全及其前沿技術(shù)綜述一、信息安全基本概念1、定義(1)國內(nèi)的回答可以把信息安全保密內(nèi)容分為:實體安全、運行安全、數(shù)據(jù)安全和管理安 全四個方面。(沈昌祥)計算機安全包括:實體安全;軟件安全;運行安全;數(shù)據(jù)安全;(教科書)計算機信息人機系統(tǒng)安全的目標是著力于實體安全、運行安全、信息安全 和人員安全維護。安全保護的直接對象是計算機信息系統(tǒng), 實現(xiàn)安全保護的關(guān)鍵 因素是人。(等級保護條例)(2)國外的回答信息安全是使信息避免一系列威脅,保障商務(wù)的連續(xù)性,最大限度地減少 商務(wù)的損失,最大限度地獲取投資和商務(wù)的回報,涉及的是機密性、完整性、可 用性。(BS7799信息安全就是對信息的機密性、完整性、可
2、用性的保護。(教科書)信息安全涉及到信息的保密(3)信息安全的發(fā)展淵源來看1)通信保密階段(40 70年代)以密碼學(xué)研究為主重在數(shù)據(jù)安全層面2)計算機系統(tǒng)安全階段(70 80年代)開始針對信息系統(tǒng)的安全進行研究重在物理安全層與運行安全層,兼顧數(shù)據(jù)安全層3)網(wǎng)絡(luò)信息系統(tǒng)安全階段(90年代)開始針對信息安全體系進行研究重在運行安全與數(shù)據(jù)安全層,兼顧內(nèi)容安全層2、信息安全兩種主要論點關(guān)于信息安全的兩種主要論點內(nèi)容安全數(shù)據(jù)安全國外:信亀費全金三甬 面向?qū)傩缘男畔踩蚣車鴥?nèi):信,皂奩全分層結(jié)構(gòu) 面向應(yīng)用的信息安全框衆(zhòng)機密性(保密性):就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。完整性:就是對
3、抗對手主動攻擊,防止信息被未經(jīng)授權(quán)的篡改??捎眯裕壕褪潜WC信息及信息系統(tǒng)確實為授權(quán)使用者所用。(可控性:就是對信息及信息系統(tǒng)實施安全監(jiān)控。)二、為什么需要信息安全信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的 商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、 法律符合性和商業(yè)形象都是至關(guān)重要的。然而,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計算機詐騙、間諜、 蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS 攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞
4、,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計的, 所以僅依靠技術(shù)手 段來實現(xiàn)信息安全有其局限性, 所以信息安全的實現(xiàn)必須得到管理和程序控制的 適當支持。確定應(yīng)采取哪些控制方式則需要周密計劃, 并注意細節(jié)。 信息安全管 理至少需要組織中的所有雇員的參與, 此外還需要供應(yīng)商、 顧客或股東的參與和 信息安全的專家建議。在信息系統(tǒng)設(shè)計階段就將安全要求和控制一體化考慮, 則成本會更低、 效率 會更高。三、信息安全涵蓋的范圍信息安全涵蓋的范圍 .doc四、信息(網(wǎng)絡(luò))安全策略信息(網(wǎng)絡(luò))安全策略主要有網(wǎng)絡(luò)安全策略、應(yīng)用系統(tǒng)安全策略、部門安
5、全策略、設(shè)備安全策略、總體安全策略等。一個信息網(wǎng)絡(luò)的總體 安全策略 , 可以概括為“ 實體可信,行為可控,資源可管,事件可查,運行可靠” ,總 體安全策略為其它安全策略的制定提供總的依據(jù)。實體可信:(1)實體指構(gòu)成信息網(wǎng)絡(luò)的基本要素,主要有網(wǎng)絡(luò)基礎(chǔ)設(shè)備、軟件系 統(tǒng)、用戶和數(shù)據(jù)。(2)軟硬設(shè)備可信:沒有預(yù)留后門或邏輯炸彈等。(3)用戶可信:防止惡意用戶對系統(tǒng)的攻擊破壞。(4)數(shù)據(jù)是可信:數(shù)據(jù)在傳輸、處理、存儲等過程中是可信的,防止 搭線竊聽,非授權(quán)訪問或惡意篡改。行為可控:(1)用戶行為可控:即保證本地計算機的各種軟硬件資源 ( 例如:內(nèi)存、中斷、I/O端口、硬盤等硬件設(shè)備,文件、目錄、進程、系
6、統(tǒng)調(diào) 用等軟件資源 ) 不被非授權(quán)使用或被用于危害本系統(tǒng)或其它系統(tǒng) 的安全。(2)網(wǎng)絡(luò)接入可控:即保證用戶接入網(wǎng)絡(luò)應(yīng)嚴格受控,用戶上網(wǎng)必須 得到申請登記并許可。(3)網(wǎng)絡(luò)行為可控:即保證網(wǎng)絡(luò)上的通信行為受到監(jiān)視和控制,防止濫用資源、非法外聯(lián)、網(wǎng)絡(luò)攻擊、非法訪問和傳播有害信息等惡意事件的發(fā)生。資源可管:保證對軟硬件及數(shù)據(jù)等網(wǎng)絡(luò)資源進行統(tǒng)一管理。主要資源有:路由器、交換機、服務(wù)器、郵件系統(tǒng)、目錄系統(tǒng)、數(shù)據(jù) 庫、域名系統(tǒng)、安全設(shè)備、密碼設(shè)備、密鑰參數(shù)、交換機端口、 IP 地址、 用戶賬號、服務(wù)端口等。事件可查:保證對網(wǎng)絡(luò)上的各類違規(guī)事件進行監(jiān)控記錄,確保日志記錄的完整 性為安全事件稽查、取證提供依據(jù)
7、。運行可靠:保證網(wǎng)絡(luò)節(jié)點在發(fā)生自然災(zāi)難或遭到硬摧毀時仍能不間斷運行,具有容災(zāi)抗毀和備份恢復(fù)能力。保證能夠有效防范病毒和黑客的攻擊所引起的網(wǎng)絡(luò)擁塞、系統(tǒng)崩潰和數(shù)據(jù)丟失,并具有較強的應(yīng)急響應(yīng)和災(zāi)難恢 復(fù)能力。五、信息(網(wǎng)絡(luò))安全管理1、 組成信息網(wǎng)絡(luò)安全管理包括 管理組織機構(gòu)、 管理制度和管理技術(shù) 三個方面,要 通過組建完整的信息網(wǎng)絡(luò)安全管理組織機構(gòu),設(shè)置安全管理人員,制定嚴格 的安全管理制度,利用先進的安全管理技術(shù)對整個信息網(wǎng)絡(luò)進行管理。2、內(nèi)容信息網(wǎng)絡(luò)安全管理的主要內(nèi)容有:(1)主要領(lǐng)導(dǎo)負責(zé)的逐級安全保護管理責(zé)任制,配備專職或兼職的安全員,各級職責(zé)劃分明確,并有效開展工作;(2)明確運行和使用
8、部門或崗位責(zé)任制,建立安全管理規(guī)章制度;(3)普及安全知識,對重點崗位職工進行專門培訓(xùn)和考核;(4)采取必要的安全技術(shù)措施;(5)對安全保護工作有檔案記錄和應(yīng)急計劃;(6)定期進行安全檢測和風(fēng)險分析和安全隱患整改。3、信息網(wǎng)絡(luò)安全保護體系信息網(wǎng)絡(luò)安全保護涉及 人員、技術(shù)和法規(guī) 三個方面,因此,信息 網(wǎng)絡(luò)安全防護體系從總體上可分為三大部分。即 技術(shù)防護體系、組織管理體 系和法規(guī)標準體系 ,它們以信息網(wǎng)絡(luò)的總體安全策略為核心,共同保護信息 網(wǎng)絡(luò)安全運行。4、信息安全等級保護制度信息網(wǎng)絡(luò)安全管理工作要堅持從實際出發(fā)、 保障重點的原則, 區(qū)分不 同情況,分級、分類、分階段進行信息網(wǎng)絡(luò)安全建設(shè)和管理。按
9、照計 算機信息系統(tǒng)安全保護等級劃分準則規(guī)定的規(guī)定,我國實行五級信息 安全等級保護。第一級:用戶自主保護級; 由用戶來決定如何對資源進行保 護,以及采用何種方式進行保護。第二級:系統(tǒng)審計保護級; 本級的安全保護機制支持用戶具 有更強的自主保護能力。特別是具有訪問審記能力,即它能創(chuàng)建、維護 受保護對象的訪問審計跟蹤記錄, 記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、 時間、用戶和事件類型等信息,所有和安全相關(guān)的操作都能夠被記錄下 來,以便當系統(tǒng)發(fā)生安全問題時,可以根據(jù)審記記錄,分析追查事故責(zé) 任人。第三級:安全標記保護級; 具有第二級系統(tǒng)審計保護級的所 有功能,并對訪問者及其訪問對象實施強制訪問控制。通過對
10、訪問者和 訪問對象指定不同安全標記,限制訪問者的權(quán)限。第四級:結(jié)構(gòu)化保護級; 將前三級的安全保護能力擴展到所 有訪問者和訪問對象,支持形式化的安全保護策略。其本身構(gòu)造也是結(jié) 構(gòu)化的,以使之具有相當?shù)目節(jié)B透能力。本級的安全保護機制能夠使信 息系統(tǒng)實施一種系統(tǒng)化的安全保護。第五級: 訪問驗證保護級; 具備第四級的所有功能, 還具有 仲裁訪問者能否訪問某些對象的能力。為此,本級的安全保護機制不能 被攻擊、被篡改的,具有極強的抗?jié)B透能力。計算機信息系統(tǒng)安全等級保護標準體系包括: 信息系統(tǒng)安全保護等級劃分標準、等級設(shè)備標準、等級建設(shè)標準、等級管理標準等, 是實行等級保護制度的重要基礎(chǔ)。5、信息網(wǎng)絡(luò)安全事
11、件與事件響應(yīng)(1) 信息網(wǎng)絡(luò)安全事件類型 用戶(個人、企業(yè)等)安全事件:個人隱私或商業(yè)利益的信息 在網(wǎng)絡(luò)上傳輸時受到侵犯,其他人或競爭對手利用竊聽、冒充、 篡改、抵賴等手段侵犯用戶的利益和隱私,破壞信息的機密性、 完整性和真實性。網(wǎng)絡(luò)運行和管理安全事件: 安全事件是對本地網(wǎng)絡(luò)信息的訪問、 讀寫等操作,出現(xiàn)、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非 法占用和非法控制等威脅,或遭受網(wǎng)絡(luò)黑客的攻擊。保密部門安全事件:國家機要信息泄露,對社會產(chǎn)生危害,對 國家造成巨大損失。社會教育和意識形態(tài)安全事件:在網(wǎng)絡(luò)上傳播不健康的內(nèi)容, 對社會的穩(wěn)定和人類的發(fā)展造成阻礙等都是安全事件。(2) 安全事件的響應(yīng) 對于網(wǎng)
12、絡(luò)運行和管理來說,網(wǎng)絡(luò)攻擊和計算機病毒傳播等安全事件 的響應(yīng)處置包括 6 個階段: 準備階段:建立一組合理的防范、控制措施,建立一組盡可能高 效的事件處理程序,獲得處理問題必須的資源和人員,最終建立應(yīng)急響 應(yīng)體系。 檢測階段:進行技術(shù)檢測,獲取完整系統(tǒng)備份,進行系統(tǒng)審計, 分析異?,F(xiàn)象,評估事件范圍,報告事件。 控制階段: 制定可能的控制策略, 擬定詳細的控制措施實施計劃, 對控制措施進行評估和選擇,記錄控制措施的執(zhí)行,繼續(xù)報告。 根除階段:查找出事件根源并根除之,確認備份系統(tǒng)的安全,記 錄和報告。 恢復(fù)階段:根據(jù)事件情況,從保存完好的介質(zhì)上恢復(fù)系統(tǒng)可靠性 高,一次完整的恢復(fù)應(yīng)修改所有用戶口令
13、。數(shù)據(jù)恢復(fù)應(yīng)十分小心,可以 從最新的完整備份或從容錯系統(tǒng)硬件中恢復(fù)數(shù)據(jù),記錄和報告。 追蹤階段:非常關(guān)鍵,其目標是回顧并整合發(fā)生事件信息,對事 件進行一次事后分析,為下一步進行的民事或刑事的法律活動提高有用 的信息。6、信息網(wǎng)絡(luò)安全服務(wù)(1)信息網(wǎng)絡(luò)安全防范產(chǎn)品與安全服務(wù)的關(guān)系購買了可靠的安全產(chǎn)品,還不能說信息網(wǎng)絡(luò)是安全的。在信息網(wǎng)絡(luò) 安全建設(shè)中,專業(yè)信息網(wǎng)絡(luò)安全服務(wù),利用科學(xué)的安全體系框架和方法 論,建立全面、有層次的安全管理體系,是保障信息網(wǎng)絡(luò)安全的基本保 證。信息網(wǎng)絡(luò)安全防范產(chǎn)品與安全服務(wù)相輔相成,二者不可或缺,各項 服務(wù)措施相互聯(lián)系,承上啟下,成熟的安全服務(wù)體系在安全服務(wù)進行中 起到重
14、要的指導(dǎo)作用,可以有條不紊地為用戶作好每一件工作。(2)信息網(wǎng)絡(luò)安全服務(wù)的內(nèi)容安全咨詢安全系統(tǒng)規(guī)劃安全策略制定安全系統(tǒng)集成安全產(chǎn)品配置安全培訓(xùn)應(yīng)急安全服務(wù)上述各種安全服務(wù)都是相輔相成的。六、信息網(wǎng)絡(luò)安全技術(shù)信息安全技術(shù)是指在信息系統(tǒng)的物理層、運行層,以及對信息自身的保護(數(shù) 據(jù)層)及攻擊(內(nèi)容層)的層面上,所反映出的對信息自身與信息系統(tǒng)在可用性、 機密性與真實性方面的保護與攻擊的技術(shù)。1、防火墻技術(shù)(1)什么是防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它是不同網(wǎng)絡(luò) 或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許
15、、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和In ternet之間的任何活動,保證了內(nèi) 部網(wǎng)絡(luò)的安全。(2)防火墻類型防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型,但總體來講可分為二大類:分組過濾、應(yīng)用代理。-分組過濾(Packet filtering ):作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號、協(xié)議類型等標志確定是 否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的 目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟
16、棄。分組過濾或包過濾,是一種通用、廉價、有效的安全手段。之所以通用,因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方 式;之所以廉價,因為大多數(shù)路由器都提供分組過濾功能; 之所以 有效,因為它能很大程度地滿足企業(yè)的安全要求。包過濾的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序,因為它 工作在網(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點也是明顯的:據(jù) 以過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求 不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加, 性能會受到很大地影響; 由于缺少上下文 關(guān)聯(lián)信息,不能有效地過濾如 UDR RP類的協(xié)議;另外,大多 數(shù)過濾器中缺少審計
17、和報警機制, 且管理方式和用戶界面較差; 對 安全管理人員素質(zhì)要求高, 建立安全規(guī)則時, 必須對協(xié)議本身及其 在不同應(yīng)用程序中的作用有較深入的理解。 因此,過濾器通常是和 應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。-應(yīng)用代理(Application Proxy):也叫應(yīng)用網(wǎng)關(guān)(Application Gateway) , 它作用在應(yīng)用層, 其特點是完全阻隔了網(wǎng)絡(luò)通信流, 通 過對每種應(yīng)用服務(wù)編制專門的代理程序, 實現(xiàn)監(jiān)視和控制應(yīng)用層通 信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點, 起著監(jiān)視和隔 絕應(yīng)用層通信流的作 用。同時也常結(jié)合入過濾器的功能。它工
18、作 在OSI模型的最高層,掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信 息。 復(fù)合型防火墻: 由于對更高安全性的要求,常把基于包過濾 的方法與基于應(yīng)用代理的方法結(jié)合起來, 形成復(fù)合型防火墻產(chǎn)品。 這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu): 在該結(jié)構(gòu)中, 分組過濾路由器或防 火墻與 Internet 相連,同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò),通過在 分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置,使堡壘機成為 Internet 上其它節(jié)點所能到達的唯一節(jié)點,這確保了內(nèi)部網(wǎng)絡(luò)不 受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu): 堡壘機放在一個子網(wǎng)內(nèi), 形成非軍 事化區(qū),兩個分組過濾路由器放在這一子網(wǎng)的兩端,
19、 使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘 主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。( 3) 防火墻操作系統(tǒng)防火墻應(yīng)該建立在安全的操作系統(tǒng)之上,而安全的操作系統(tǒng) 來自于對專用操作系統(tǒng)的安全加固和改造,從現(xiàn)有的諸多產(chǎn)品看, 對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進行: 取消危險的系統(tǒng)調(diào)用; 限制命令的執(zhí)行權(quán)限; 取消 IP 的轉(zhuǎn)發(fā)功能; 檢查每個分組的接口; 采用隨機連接序號; 駐留分組過濾模塊; 取消動態(tài)路由功能; 采用多個安全內(nèi)核。(4) 防火墻的局限性 防火墻不是萬能的,如防火墻不能防范不經(jīng)過防火墻的攻擊。例如,如果允許從受保護的
20、網(wǎng)絡(luò)內(nèi)部向外撥號, 一些用戶就可能形 成與 Internet 的直接連接。另外,防火墻很難防范來自于網(wǎng)絡(luò)內(nèi) 部的攻擊以及病毒的威脅。2、數(shù)據(jù)加密技術(shù) 與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng) 及數(shù)據(jù)的安全性和保密性 , 防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù) 手段之一。隨著信息技術(shù)的發(fā)展 , 網(wǎng)絡(luò)安全與信息保密日益引起人們的 關(guān)注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外 , 從技術(shù) 上分別在軟件和硬件兩方面采取措施 , 推動著數(shù)據(jù)加密技術(shù)和物理防范 技術(shù)的不斷發(fā)展。按作用不同 , 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù) 存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種 。(1
21、) 數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密 , 常用的方針有線路加密和端 - 端加 密兩種。前者側(cè)重在線路上而不考慮信源與信宿 , 是對保密信息通過各 線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端自動 加密,并進入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識別的數(shù)據(jù) 穿過互聯(lián)網(wǎng) , 當這些信息一旦到達目的地 , 被將自動重組、解密 , 成為 可讀數(shù)據(jù)。(2) 數(shù)據(jù)存儲加密技術(shù) 目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密 , 可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、 附加密碼、 加密模塊等方法實現(xiàn) ; 后 者則是對用戶資格、格限加以審查和限制 , 防止非法用戶存取數(shù)據(jù)
22、或合 法用戶越權(quán)存取數(shù)據(jù)。(3) 數(shù)據(jù)完整性鑒別技術(shù) 目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證 , 達到保密的要求 , 一般包括口令、密鑰、身份、數(shù)據(jù)等項的 鑒別, 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù) , 實現(xiàn)對數(shù)據(jù)的安全保護。(4) 密鑰管理技術(shù)為了數(shù)據(jù)使用的方便 , 數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用 因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有 : 磁卡、磁帶、 磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、 更換與銷毀等各環(huán)節(jié)上的保密措施。3、智能卡技術(shù) 與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能 卡
23、就是密鑰的一種媒體 , 一般就像信用卡一樣 , 由授權(quán)用戶所持有并由 該用戶賦與它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密 碼一致。當口令與身份特征共同使用時 , 智能卡的保密性能還是相當有 效的。4、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)( NAT) 網(wǎng)絡(luò)地址轉(zhuǎn)換器也稱為地址共享器 (Address Sharer) 或地址映射 器,設(shè)計它的初衷是為了解決 IP 地址不足, 現(xiàn)多用于網(wǎng)絡(luò)安全。 內(nèi)部主 機向外部主機連接時, 使用同一個 IP 地址;相反地,外部主機要向內(nèi)部 主機連接時,必須通過網(wǎng)關(guān)映射到內(nèi)部主機上。它使外部網(wǎng)絡(luò)看不到內(nèi) 部網(wǎng)絡(luò),從而隱藏內(nèi)部網(wǎng)絡(luò),達到保密作用,使系統(tǒng)的安全性提高,并 且節(jié)約
24、從 ISP 得到的外部 IP 地址。5、操作系統(tǒng)安全內(nèi)核技術(shù) 除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手,人們開始在操作系統(tǒng)的層次上考 慮網(wǎng)絡(luò)安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中 剔除出去,從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括:采用安 全性較高的操作系統(tǒng);對操作系統(tǒng)的安全配置;利用安全掃描系統(tǒng)檢查 操作系統(tǒng)的漏洞等。美國國防部(DOD技術(shù)標準把操作系統(tǒng)的安全等級分成了 D1、C1、C2、 B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統(tǒng)的安全 等級都是C2級(例如,Unix、Windows NT,其特征包括: 用戶必須通過用戶注冊名和口令讓系統(tǒng)識別; 系統(tǒng)可以根據(jù)
25、用戶注冊名決定用戶訪問資源的權(quán)限; 系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄; 可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。B1 級操作系統(tǒng)除上述機制外,還不允許文件的擁有者改變其許可權(quán) 限。B2 級操作系統(tǒng)要求計算機系統(tǒng)中所有對象都加標簽,且給設(shè)備(如 磁盤、磁帶或終端)分配單個或多個安全級別。6、入侵檢測技術(shù)入侵檢測是防火墻的合理補充, 幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊, 擴展了 系統(tǒng)管理員的安全管理能力 (包括安全審計、 監(jiān)視、進攻識別和 響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系 統(tǒng)中的若干關(guān)鍵點收集信息, 并分析這些信息, 看看網(wǎng)絡(luò)中是否 有違反安全策略的行為和遭到襲擊的跡象。 入侵檢
26、測被認為是防 火墻之后的第二道安全閘門, 在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng) 絡(luò)進行監(jiān)測, 從而提供對內(nèi)部攻擊、 外部攻擊和誤操作的實時保 護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn): 監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計; 識別反映已知進攻的活動模式并向相關(guān)人士報警; 異常行為模式的統(tǒng)計分析; 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解 網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安 全策略的制訂提供指南。更為重要的一點是,它應(yīng)該管理、配置簡單, 從而使非專業(yè)人員非常容易地獲
27、得網(wǎng)絡(luò)安全。而且,入侵檢測的規(guī)模還 應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在 發(fā)現(xiàn)入侵后,會及時作出響應(yīng), 包括切斷網(wǎng)絡(luò)連接、 記錄事件和報警等。 通常,入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源分為三種:基于主機 的入侵檢測系統(tǒng),其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志,一般只能檢測該 主機上發(fā)生的入侵;基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),其輸入數(shù)據(jù)來源于網(wǎng)絡(luò) 的信息流,能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵;分布式入侵檢測系統(tǒng), 能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),系 統(tǒng)由多個部件組成,采用分布式結(jié)構(gòu)。7、安全漏洞掃描技術(shù)漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程 序。通過使
28、用漏洞掃描器,系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務(wù)器的各種TCP端口的分配、提供的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟 件呈現(xiàn)在 Internet 上的安全漏洞。 從而在計算機網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中 做到“有的放矢”,及時修補漏洞,構(gòu)筑堅固的安全長城。一般可以將漏洞掃描器分為兩種類型:主機漏洞掃描器(Host Seanner)和網(wǎng)絡(luò)漏洞掃描器(Network Seanner)。(1)網(wǎng)絡(luò)漏洞掃描器是指基于 Internet 遠程檢測目標網(wǎng)絡(luò)和主機系統(tǒng)漏洞的程序, 如 提供網(wǎng)絡(luò)服務(wù)、后門程序、密碼破解和阻斷服務(wù)等的掃描測試。( 2) 主機漏洞掃描器是指針對操作系統(tǒng)內(nèi)部進行的掃描,如 Unix 、
29、NT、 Liunx 系統(tǒng)日志 文件分析,可以彌補網(wǎng)絡(luò)型安全漏洞掃描器只從外面通過網(wǎng)絡(luò)檢查系統(tǒng) 安全的不足。(3)數(shù)據(jù)庫作安全漏洞檢查的掃描器 除了上述二大類的掃描器外,還有一種專門針對數(shù)據(jù)庫作安全漏洞 檢查的掃描器,主要功能為找出不良的密碼設(shè)定、過期密碼設(shè)定、偵測 登入攻擊行為、關(guān)閉久未使用的帳戶,而且能追蹤登入期間的限制活動 等,數(shù)據(jù)庫的安全掃描也是信息網(wǎng)絡(luò)安全內(nèi)很重要的一環(huán)。8、隔離技術(shù)隔離器有 2 種:物理隔離器和邏輯隔離器(1) 物理隔離器 是一種不同網(wǎng)絡(luò)間的隔離部件,通過物理隔離的方式使兩個網(wǎng)絡(luò)在 物理連線上完全隔離,且沒有任何公用的存儲信息,保證計算機的數(shù)據(jù) 在網(wǎng)際間不被重用。一般
30、采用電源切換的手段,使得所隔離的區(qū)域始終 處在互不同時通電的狀態(tài)下 ( 對硬盤、軟驅(qū)、光驅(qū),也可通過在物理上控 制 IDE 線實現(xiàn) ) 。被隔離的兩端永遠無法通過隔離部件交換信息。( 2) 邏輯隔離器 也是一種不同網(wǎng)絡(luò)間的隔離部件,被隔離的兩端仍然存在物理上數(shù) 據(jù)通道連線,但通過技術(shù)手段保證被隔離的兩端沒有數(shù)據(jù)通道,即邏輯 上隔離。一般使用協(xié)議轉(zhuǎn)換、數(shù)據(jù)格式剝離和數(shù)據(jù)流控制的方法,在兩 個邏輯隔離區(qū)域中傳輸數(shù)據(jù)。并且傳輸?shù)姆较蚴强煽貭顟B(tài)下的單向,不 能在兩個網(wǎng)絡(luò)之間直接進行數(shù)據(jù)交換。9、介紹VPN技術(shù)VPN即虛擬專用網(wǎng),是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng)) 建立一個臨時的、安全的連接,是一條穿過
31、混亂的公用網(wǎng)絡(luò)的安全、穩(wěn) 定的隧道。通常,VPN是對企業(yè)內(nèi)部網(wǎng)的擴展,通過它可以幫助遠程用 戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全 連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球 因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛 擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬 專用網(wǎng)。VPN架構(gòu)中采用了多種安全機制,如隧道技術(shù)(Tunneling )、 加解密技術(shù)( Encryption )、密鑰管理技術(shù)、身份認證技術(shù) ( Authentication )等,通過上述的各項網(wǎng)絡(luò)安全技術(shù),確保資料在公 眾網(wǎng)絡(luò)中傳輸時不被竊取
32、,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包 內(nèi)所傳送的資料。10、PKI/CA 技術(shù)PKI( Public Key Infrastructure )指的是公鑰基礎(chǔ)設(shè)施。 CA(Certificate Authority )指的是認證中心。 PKI 從技術(shù)上解決了 網(wǎng)絡(luò)通信安全的種種障礙。CA從運營、管理、規(guī)范、法律、人員等多個 角度來解決了網(wǎng)絡(luò)信任問題。由此,人們統(tǒng)稱為“ PKI/CA”。從總體構(gòu)架 來看,PKI/CA主要由最終用戶、認證中心和注冊機構(gòu)來組成。(1) PKI/CA的工作原理PKI/CA 的工作原理就是通過發(fā)放和維護數(shù)字證書來建立一套 信任網(wǎng)絡(luò),在同一信任網(wǎng)絡(luò)中的用戶通過申請到的數(shù)
33、字證書來完成身份 認證和安全處理。( 2)數(shù)字證書 數(shù)字證書就像日常生活中的身份證、駕駛證,在您需要表明 身份的時候,必須出示證件來明確身份。您在參與電子商務(wù)的時候就依 靠這種方式來表明您的真實身份。( 3)認證中心( CA) 一個認證中心是以它為信任源,由她維護一定范圍的信任體 系,在該信任體系中的所有用戶、服務(wù)器,都被發(fā)放一張數(shù)字證書來證 明其身份已經(jīng)被鑒定過,并為其發(fā)放一張數(shù)字證書,每次在進行交易的 時候,通過互相檢查對方的數(shù)字證書即可判別是否是本信任域中的可信 體。( 4)注冊機構(gòu)注冊中心負責(zé)審核證書申請者的真實身份,在審核通過后, 負責(zé)將用戶信息通過網(wǎng)絡(luò)上傳到認證中心,由認證中心負責(zé)
34、最后的制證 處理。證書的吊銷、更新也需要由注冊機構(gòu)來提交給認證中心做處理。 總的來說,認證中心是面向各注冊中心的,而注冊中心是面向最終用戶 的,注冊機構(gòu)是用戶與認證中心的中間渠道。(5) PKI/CA的作用以數(shù)字證書為核心的 PKI/CA技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔?進行加密和解密、數(shù)字簽名和簽名驗證,從而保證:信息除發(fā)送方和接 收方外不被其它人竊取;信息在傳輸過程中不被篡改;發(fā)送方能夠通過 數(shù)字證書來確認接收方的身份;發(fā)送方對于自己的信息不能抵賴。PKI/CA 解決方案已經(jīng)普遍地應(yīng)用于全球范圍的電子商務(wù)應(yīng)用中,為電子商務(wù)保 駕護航,為電子商務(wù)的健康開展掃清了障礙。七、信息網(wǎng)絡(luò)安全前沿技術(shù)1、未
35、來網(wǎng)絡(luò)技術(shù)變化及其存在的問題(1)技術(shù)變化從總體角度來看,安全技術(shù)不會有大變化:TCP/IP協(xié)議不會發(fā)生根本變化遍布世界的巨型資產(chǎn)不會輕易退出歷史舞臺帶寬的提高僅是量的變化,并不會帶來技術(shù)上面的質(zhì)的變化無線網(wǎng)的出現(xiàn)只表明接入方式的變化,等效于以太網(wǎng)時期的廣播效應(yīng),并不帶來安全方面的本質(zhì)問題防范對象仍為資源的惡意消耗與業(yè)務(wù)的盜用(2)新技術(shù)帶來的困惑IPv6為網(wǎng)絡(luò)安全的保護帶來了災(zāi)難性的影響IPv6的倡導(dǎo)者將著重點放在了保護數(shù)據(jù)安全之上,將網(wǎng)絡(luò)安全問題 交付給終端用戶。IPv6無法解決一些目前存在的網(wǎng)絡(luò)安全問題無法完全解決目前廣泛存在的 DoS拒絕服務(wù))攻擊,更無法有效的防 止DDoS攻擊。無法
36、有效防止針對協(xié)議本身的攻擊。無法解決口令攻擊,也無法防止利用緩沖區(qū)溢出進行的攻擊。注:DDO是英文 Distributed Denial of Service的縮寫,意即“分布式拒絕服務(wù)”。2、安全策略前沿技術(shù)(1)風(fēng)險分析、安全評估如何評估系統(tǒng)處于用戶自主、系統(tǒng)審計、安全標記、結(jié)構(gòu)化、訪問驗證等五個保護級的哪一級?(2)漏洞掃描技術(shù)基于關(guān)聯(lián)的弱點分析技術(shù)基于用戶權(quán)限提升的風(fēng)險等級量化技術(shù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的發(fā)現(xiàn),尤其是 Peer to Peer網(wǎng)絡(luò)拓撲結(jié)構(gòu)的發(fā) 現(xiàn)拓撲結(jié)構(gòu)綜合探測技術(shù)(發(fā)現(xiàn)黑洞的存在) 基于P2P的拓撲結(jié)構(gòu)發(fā)現(xiàn)技術(shù)(解決局域性問題)注:Peer to Peer( P2P): P2P
37、的英文全稱是peer-to-peer,可以理解為伙伴 對伙伴的意思,或稱為對等網(wǎng)絡(luò)計算機,通俗的講就是端到端。當對等計算機 在客戶機/服務(wù)器模式下作為客戶機進行操作時,它還包含另外一層可使其具有 服務(wù)器功能的軟件。對等計算機可對其他計算機的要求進行響應(yīng)。請求和響應(yīng)范圍和方式都根據(jù)具體應(yīng)用程序不同而同。P2P計算簡單地定義為通過直接交換共 享計算機資源和服務(wù),不同PC用戶之間不經(jīng)過中繼設(shè)備直接交換數(shù)據(jù)或服務(wù)的 技術(shù),它允許互聯(lián)網(wǎng)用戶直接使用對方的文件,使得網(wǎng)絡(luò)上的溝通變得容易、更 直接,真正地消除了中間商。每個人可以直接連接到其他用戶的計算機交換文件, 而不是像過去那樣連接到服務(wù)器去瀏覽與下載。
38、3、系統(tǒng)防護前沿技術(shù)病毒防護,側(cè)重于網(wǎng)絡(luò)制導(dǎo)、移動終端防護。病毒將始終伴隨著信息系統(tǒng)而存在。隨著移動終端的能力增強,病毒必將伴隨而生。隔離技術(shù)基于協(xié)議的安全島技術(shù):協(xié)議的變換與解析單向路徑技術(shù):確保沒有直通路徑DoS(拒絕服務(wù))是個致命的問題,需要有解決辦法訪問控制技術(shù)家庭網(wǎng)絡(luò)終端(電器)、移動終端的絕對安全多態(tài)訪問控制技術(shù)4、入侵檢測前沿技術(shù)基于IPv6的入侵檢測系統(tǒng)側(cè)重于行為檢測向操作系統(tǒng)、應(yīng)用系統(tǒng)中進行封裝分布式入侵檢測入侵檢測信息交換協(xié)議IDS (入侵檢測)的自適應(yīng)信息交換與防攻擊技術(shù)特洛伊木馬檢測技術(shù)守護進程存在狀態(tài)的審計守護進程激活條件的審計預(yù)警技術(shù)基于數(shù)據(jù)流的大規(guī)模異常入侵檢測5
39、、應(yīng)急響應(yīng)前沿技術(shù)快速判定、事件隔離、證據(jù)保全緊急傳感器的布放,傳感器高存活,網(wǎng)絡(luò)定位企業(yè)網(wǎng)內(nèi)部的應(yīng)急處理企業(yè)網(wǎng)比外部網(wǎng)更脆弱,強化內(nèi)部審計蜜罐技術(shù)(蜜罐就是誘捕攻擊者的一個陷阱)漏洞再現(xiàn)及狀態(tài)模擬應(yīng)答技術(shù)沙盒技術(shù),誘捕攻擊行為僚機技術(shù)動態(tài)身份替換,攻擊的截擊技術(shù)被攻系統(tǒng)躲避技術(shù),異常負載的轉(zhuǎn)配6、災(zāi)難恢復(fù)前沿技術(shù)基于structure-free的備份技術(shù)構(gòu)建綜合備份中心 IBC (Internet Backup Center)遠程存儲技術(shù)數(shù)據(jù)庫體外循環(huán)備份技術(shù)容侵(intrusion-tolerant)技術(shù)受到入侵時甩掉被攻擊部分防故障污染生存(容忍)技術(shù)可降級運行,可維持最小運行體系八、信
40、息安全雜談1、信息安全高級論壇展覽內(nèi)容(1)互聯(lián)網(wǎng)安全(2)電子政務(wù)安全(3)虛擬專用網(wǎng)(VPN(4)公共密鑰基礎(chǔ)設(shè)施(PKI)(5)證書中心(CA(6)入侵檢測系統(tǒng)(IDS)(7)網(wǎng)絡(luò)安全與管理(8)計算機安全(9)計算機取證(10)通訊安全(11)數(shù)據(jù)存儲/備份(12)防火墻(13)計算機病毒防護(14)災(zāi)難恢復(fù)(15)安全審核(16)無線安全(17)掌上電腦安全(18)培訓(xùn)及安全服務(wù)(19)法律法規(guī)2、國家信息安全技術(shù)水平考試課程1) 信息安全基礎(chǔ)和體系2)計算機系統(tǒng)網(wǎng)絡(luò)安全3)網(wǎng)絡(luò)操作系統(tǒng)安全4)計算機病毒的攻擊和防范5)提高應(yīng)用服務(wù)安全性6)黑客技術(shù)7)防火墻技術(shù)8)侵檢測技術(shù)9)安
41、全審計技術(shù)10)密碼技術(shù)11)網(wǎng)絡(luò)安全攻防及應(yīng)急響應(yīng)12)Internet 網(wǎng)絡(luò)安全計劃3、信息安全管理標準 -BS 7799BS7799標準是由英國標準協(xié)會(BSI)制定的信息安全管理標準,是目前國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分 :BS7799-1:1999 信息安全管理實施細則BS7799-2:1999 信息安全管理體系規(guī)范BS7799-1:1999 信息安全管理實施細則是組織建立并實施信息安全管 理體系的一個指導(dǎo)性的準則, 主要為組織制定其信息安全策略和進行有效的信 息安全控制提供的一個大眾化的最佳慣例。 雖然,實施細則中的指南內(nèi)容盡可能 趨于全面, 并提供一套
42、國際現(xiàn)行安全控制的最佳慣例, 但是, 實施細則中所提供 的控制方法并非對每個組織都是充分的, 也不是對每個組織都是缺一不可的, 它沒有考慮實際信息系統(tǒng)在環(huán)境和技術(shù)上的限制因素,標準假設(shè)條款的實施是由具有合適資格和經(jīng)驗的人來承擔(dān)或指導(dǎo)的。BS7799-2:1999信息安全管理體系規(guī)范規(guī)定了建立、實施和文件化信 息安全管理體系(ISMS)的要求,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要 求。即本標準適用以下場合:組織按照本標準要求建立并實施信息安全管理體系,進行有效的信息安全 風(fēng)險管理,確保商務(wù)可持續(xù)性發(fā)展;作為尋求信息安全管理體系第三方認證的標準。BS7799標準第二部分明確提出安全控制要求,
43、標準第一部分對應(yīng)給出了通 用的控制方法(措施),因此可以說,標準第一部分為第二部分的具體實施提供 了指南。但標準中的控制目標、控制方式的要求并非信息安全管理的全部,組織可以根據(jù)需要考慮另外的控制目標和控制方式。其中BS7799-1:1999于2000年12月通過國際標準化組織(ISO)認可,正 式成為國際標準,即ISO/IEC17799:2000信息技術(shù)-信息安全管理實施細則。“組織”這一術(shù)語貫穿BS7799標準的始終,它既包括盈利組織,也包括非盈利 組織,如公共部門或公共組織。有關(guān)控制方式的兩個標準章節(jié)對照如下表控制方式內(nèi)容BS7799-1:1999章節(jié)號(要求)BS7799-2:1999早
44、節(jié)號(慣例)1 信息安全方針34.11組織安全414.2資產(chǎn)歸類與控制54.3人員安全64.41實物與環(huán)境安全74.5通信與運作安全84.6訪問控制94.7系統(tǒng)開發(fā)與維護104.8商務(wù)持續(xù)性管理114.9符合性124.104、建立信息安全管理體系的意義組織可以參照信息安全管理模型,按照先進的信息安全管理標準 BS7799 標準建立組織完整的信息安全管理體系并實施與保持,達到動態(tài)的、系統(tǒng)的、 全員參與、制度化的、以預(yù)防為主的信息安全管理方式,用最低的成本,達 到可接受的信息安全水平,從根本上保證業(yè)務(wù)的連續(xù)性。組織建立、實施與保持信息安全管理體系將會產(chǎn)生如下作用:強化員工的信息安全意識,規(guī)范組織信
45、息安全行為;對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢;在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低 程度;使組織的生意伙伴和客戶對組織充滿信心;如果通過體系認證,表明體系符合標準,證明組織有能力保障重要信息,提高組織的知名度與信任度;促使管理層堅持貫徹信息安全保障體系。5、實施信息安全管理體系的步驟信息安全管理管理體系ISMS是一個系統(tǒng)化、程序化和文件化的管理體系,屬于風(fēng)險管理的范疇,體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評 估,ISMS體現(xiàn)預(yù)防控制為主的思想,強調(diào)遵守國家有關(guān)信息安全的法律法 規(guī)及其他合同方要求,強調(diào)全過程和動態(tài)控制,本著控制費用與風(fēng)險平衡的 原則合理選擇安全控制方式保護組織所擁有的關(guān)鍵信息資產(chǎn),確保信息的保密性、完整性和可用性,保持組織的競爭優(yōu)勢和商務(wù)運作的持續(xù)性。組織內(nèi)部成功實施信息安全管理的關(guān)鍵因素為:反映商務(wù)目標的安全方針、目標和活動;與組織文化一致的實施安全的方法;來自管理層的有形支持和承諾;對安全要求、風(fēng)險評估和風(fēng)險管理的良好理解; 向所有管理者及雇員推行安全意識; 向所有雇員和承包商分發(fā)有
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 讀書的體會作文400字
- 儀器、設(shè)備維修申請單范本
- 大學(xué)的學(xué)習(xí)計劃15篇
- 2023四年級語文下冊 第3單元 9 短詩三首配套教學(xué)實錄 新人教版
- 代理成本-詳解
- 2024-2025學(xué)年高中政治 專題4 4 堅持和完善人民代表大會制度教學(xué)實錄 新人教版選修3
- 趣味籃球活動方案9篇
- 公司的承諾書合集七篇
- 2024年版民辦幼兒園經(jīng)營管理承包合同版B版
- 前臺年度工作總結(jié)5篇
- CX-TGK01C型微電腦時間溫度控制開關(guān)使用說明書
- CDR-臨床癡呆評定量表
- 《八年級下學(xué)期語文教學(xué)個人工作總結(jié)》
- 電儀工段工段長職位說明書
- 恒亞水泥廠電工基礎(chǔ)試題
- 簡易送貨單EXCEL打印模板
- 4s店信息員崗位工作職責(zé)
- 旋轉(zhuǎn)導(dǎo)向+地質(zhì)導(dǎo)向+水平井工具儀器介紹
- 無心磨的導(dǎo)輪及心高調(diào)整講解
- 乳腺癌化療的不良反應(yīng)級處理ppt課件
- 艾灸療法(課堂PPT)
評論
0/150
提交評論