網吧網絡安全作業(yè)

北京城市學院信息學部2011-2012-1學期網絡入侵與病毒防護課程大作業(yè)專業(yè)：網站建設與管理班級：09軟專A學生姓名：張思林學號：091305180072011年11月得分情況序號評分細則得分12345678910總分評語教師簽字：2011年11月日概述大型網吧是一個多元化應用的系統集成網絡，具備較強的預擴展性。越來越多的大型網吧正在或者已經建立多元化的網絡。二、需求分析

大型網吧網絡系統建設的主要目標是建設成為主干跑千兆，百兆交換到桌面；同時在大型網吧的范圍內建立一個以網絡技術、計算機技術與現代信息技術為支撐的娛樂、管理平臺，將現行以游戲網為主的活動發(fā)展到多功能娛樂這個平臺上來，籍以大幅度提高網吧競爭和盈利能力，建設成一流的高檔網吧，為吸引高端消費群打下強有力的基礎。

按照這一目標，大型網吧網絡系統的主要目標和任務是：

1、在大型網吧管轄范圍內，采用標準網絡協議，結合應用需求，建立大型網吧內聯網，并通過中國電信寬帶網與Internet相連；

2、在大型網吧內聯網上建立支持娛樂活動的服務器群（包括WWW、FTP、DNS、流媒體服務器、十六頻道有線電視轉播服務器組及SF和各種游戲戰(zhàn)網服務器等），具有信息共享、傳遞迅速、使用方便、高效率等特點的處理系統；

3、需要高穩(wěn)定性，網吧作為服務型營業(yè)場所，服務質量至關重要，而隨著網吧行業(yè)不斷發(fā)展，市場相對飽和后加劇競爭，頻繁斷線或大延遲網絡將直接影響網吧的聲譽和收益。多線路接入和負載均衡，為擴大接入帶寬和優(yōu)化電信/網通訪問速度，很多網吧采用多鏈路接入方式，需要支持多鏈路負載均衡和電信/網通鏈路優(yōu)選的設備來支持。5、需要帶寬管理功能，網吧業(yè)主最苦惱的莫過于網速慢的問題，雖然不斷增加成本擴充帶寬，但卻仍有用戶抱怨游戲卡、上網慢，簡單的接入功能無法滿足網吧現狀，一款帶有流量分析、流量管理的安全路由器才是用戶迫切需要的。6、需要安全防護，傳統路由器只提供接入功能，一旦碰到網絡病毒爆發(fā)或攻擊行為就很容易造成網絡癱瘓，大型網吧主機數較多，來自外部的攻擊和內部病毒爆發(fā)都會對接入設備帶來很大挑戰(zhàn)，因此為了保障網絡穩(wěn)定，接入設備需要具有較強的抗攻擊能力。7、需要設備端口鏡像，根據政府相關部門要求，監(jiān)控系統需要從網絡中監(jiān)聽數據，在核心接入設備上實現端口鏡像是最簡單易用的方法。

在本方案的設計過程中，始終以大型網吧建網的實際需求為主要參考，在較充分地了解大型網吧應用需求的基礎上，根據網絡建設中的相關技術路線和建設方針，最終完成了下面的方案設計。網絡設計原則大型網吧網絡系統建設是一項大型網絡工程，各網吧需要根據自身的實際情況來制定網絡設計原則。在大型網吧的網絡建設過程中，其遵循以下網絡設計原則：

1、實用性和經濟性

由于網吧一次性資金投入大，設備折舊快，目前外部經營環(huán)境差。另一方面，網吧應用環(huán)境比較惡劣，顧客應用水平較參差不齊，因此，在網絡的建設過程中，系統建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則。

2、先進性和成熟性

當前計算機網絡技術發(fā)展很快，設備更新淘汰也很快。這就要求網絡建設在系統設計時既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。只有采用當前符合國際標準的成熟先進的技術和設備，才能確保網絡絡能夠適應將來網絡技術發(fā)展的需要，保證在未來幾年內占主導地位。

3、可靠性和穩(wěn)定性

在考慮技術先進性和開放性的同時，還應從系統結構、技術措施、設備性能、系統管理、廠商技術支持及維修能力等方面著手，確保系統運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間。

4、安全性和保密性

在系統設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括系統安全機制、數據存取的權限控制等。

5、可擴展性和易維護性

為了適應系統變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統的擴展和維護。把當前先進性、未來可擴展性和經濟可行性結合起來，保護以往投資，實現較高的總體性能價格比。網絡設備選形由于網吧的條件千差萬別，對方案的要求也五花八門，這就要求網絡設備提供商能夠具有強大的網絡產品和解決方案定制能力；此外，網吧經費有限，因此也不會有很多財力用于網絡建設，這就要求網絡產品還必須具有極高的性價比優(yōu)勢。在對各網絡設備性能和價格考察比較之后，大型網吧的網絡決定采用：三層中心交換機（加X個千兆模塊）+堆疊交換機（加1個千兆模塊）作為接入層的網絡結構，滿足了大型網吧網絡對性能、應用、成本等方面的要求。三、網吧詳細設計1、全網吧共劃分為5個區(qū)域，服務器群組，視頻區(qū)，游戲區(qū)，上網區(qū)，商務VIP區(qū)。其中視頻區(qū)100臺機器，游戲區(qū)150臺機器，上網區(qū)130臺機器，商務VIP區(qū)120臺機器。網吧為雙線運行。其實只需要一臺路由器就可以了，但因為模擬軟件原因故使用了雙路由來驗證成功，網吧使用無盤工作站模式，為使網吧流暢運行每一個區(qū)域全部安裝無盤服務器來保證穩(wěn)定，快速運行。另外服務器均使用4網卡端口聚合功能連接堆疊交換機提高總體貸款、所有區(qū)域交換機均采用堆疊方式，另外于主交換機三層交換機全部采用光纖連接，也就是說主線路一律采用光纖。還有一臺老板查賬的機器。只有每個區(qū)域的收費機可以與老板機通訊，其他一律通過ACL拒絕。拓補圖：2、網吧組網方案對于五百臺以上機器的網吧，網絡質量的好壞，直接決定了網吧的生存能力。如何規(guī)劃一個優(yōu)質的網絡環(huán)境，是我們一些網管們面臨的一次挑戰(zhàn)。C類的IP地址決定了一個網段只能容納253臺機器，因此，隨之而來的各種問題也就出現了。2.1、網絡層次設計:五百臺以上的網吧，可以采取接入層、匯聚層、交換層三個網絡層次的設計。接入層，對于五百臺的機器來說，選擇一個合理的接入設備，是最關鍵的，而且我們要根據接入設備選擇合適的帶寬。我們可以簡單計算一下網絡帶寬來決定網絡接入設備的總帶寬，每臺機器最大的網絡流量7-8KB字節(jié)計算，五百臺機器是4000KB字節(jié)左右，加上30%的網絡損耗，網絡總帶寬應該為5200KB字節(jié)，我們的光纖初步可以選擇為50MB的接入。當然了，為了加快網絡速度，你也可以選擇百兆的接入點。這樣看來，我們的網絡接入層可以選擇為百兆設備。2.2、匯聚層:匯聚層是整個局域網的核心部分，由于網吧內部的數據交換量特別大，因此，我們在選擇匯聚層設備的時候，一定要選擇一款合適的匯聚層網絡設備。五百臺機器的網吧，可以選擇千兆的三層交換設備，支持VLAN功能，雖然我們不需要劃分VLAN，如果我們的網絡設計不能達到我們的要求，劃分VLAN是我們的必選之路;三層交換的背板帶寬不能低于16G，而且要支持MAC地址學習功能，MAC地址表不能小于32KB;匯聚層網絡設備最好支持網絡管理功能，方便我們的管理和維護;匯聚層網絡設備的端口數量，最好要比我們設備的網絡端口數量多出一些，方便以后我們的網絡升級和改造。雖然我們的接入層選擇的是百兆網絡設備，由于我們網吧中，相當大一部分數據流量，不必經過接入層，因此我們在選擇接入層的網絡設備時，沒有必要與匯聚層網絡設備同步。2.3、交換層:交換層是整個網絡中的中間層，連接著匯聚層和網絡節(jié)點，是決定我們整體網絡傳輸質量的很重要的一個環(huán)節(jié)。隨著百兆網絡設備的普及，我們交換層的網絡設備，肯定首選百兆。交換層設備選擇時，需要滿足下列要求:支持百兆傳輸帶寬，背板傳輸不能低于6G，支持MAC地址學習功能，MAC地址表不能小于8KB。2.4、綜合布線設計:布線是連接網絡接入層、匯聚層、交換層和網絡節(jié)點的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調線等具有輻射的線路混合布線。網絡設備的放置，最好放在節(jié)點的中央位置，這樣做，不是為了節(jié)約綜合布線的成本，而是為了提高網絡的整體性能，提高網絡傳輸質量。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網絡傳輸質量。在做網絡布線時，最好能夠設計一個設備間，放置網絡設備。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網絡性能得到最大的提升。匯聚層與交換層之間的雙絞線，由于是網絡數據傳輸量最大的一個層次，同樣采用超五類屏蔽雙絞線。交換層與網絡節(jié)點之間，我們就可以采用普通的超五類非屏蔽雙絞線。2.5、IP地址的分配為了滿足服務質量上的區(qū)分。對每個區(qū)域進行不同的IP分配。C類網IP段是到55。我們選擇作為其實網段。其中每個能容納253臺計算機。完全滿足網吧對不同計算機上網方式的劃分。路由內網IP：54服務器IP：-53客戶機：視頻區(qū)：IP地址-52廣播地址54游戲區(qū)：IP地址-52廣播地址54上網區(qū)：IP地址-52廣播地址54商務VIP區(qū)：IP地址-52廣播地址54收費機視頻：53游戲：53上網：53商務VIP：53所有機器子網掩碼為：內子網掩碼:/16附：命令清單：1.設置主路由做NAT轉換。內網可以PING通外網，外網不可以PING通內網MainR#enMainR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainR(config)#ipnatpoolcliennetmask52MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#access-list1permit55MainR(config)#ipnatinsidesourcelist1poolclienoverloadMainR(config)#intfa0/0MainR(config-if)#ipnatinsideMainR(config)#intfa0/1MainR(config-if)#ipnatoutside2.設置宣告，讓外網可以對其內網特定服務器訪問。MainR(config)#ipnatinsidesourcestatic00MainR(config)#ipnatinsidesourcestatic013.設置三層交換機開啟路由功能MainSW#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainSW(config)#no?access-listAddanaccesslistentrybannerDefinealoginbannerbootModifysystembootparameterscdpGlobalCDPconfigurationsubcommandsclockConfiguretime-of-dayclockconfig-registerDefinetheconfigurationregisterenableModifyenablepasswordparametershostnameSetsystem'snetworknameinterfaceSelectaninterfacetoconfigureipGlobalIPconfigurationsubcommandsipv6GlobalIPv6configurationcommandsmac-address-tableConfiguretheMACaddresstableport-channelEtherChannelconfigurationrouterEnablearoutingprocessserviceModifyuseofnetworkbasedservicesspanning-treeSpanningTreeSubsystemusernameEstablishUserNameAuthenticationvlanVlancommandsvtpConfigureglobalVTPstateMainSW(config)#norouting4.關閉三層交換機與路由器連接端口的二層功能。開啟三層功能MainSW(config)#intfa0/20MainSW(config-if)#noswitchport5.設置FA0/20端口IP地址與網關屬于同一網段,設置路由協議OSPFMainSW(config)#intfa0/20MainSW(config-if)#ipadd53MainSW(config)#routeospf1MainSW(config-router)#network55area0MainSW(config-router)#network55area0MainSW(config-router)#network55area0MainSW(config-router)#network55area0MainSW(config-router)#network55area06:配置主路由和三層交換機OSPF屬于同一區(qū)域Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameMainRMainR(config)#routeospf1MainR(config-router)#network55area0配置備份路由上網功能：AuxR>enAuxR#showipintbriefInterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/054YESmanualupupFastEthernet0/1YESmanualupupVlan1unassignedYESmanualadministrativelydowndownAuxR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.AuxR(config)#ipnatpoolclien2netmask52AuxR>enAuxR#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.AuxR(config)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleAuxR#enAuxR#conftAuxR(config)#ipnatpoolclien2netmask52AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#access-list2permit55AuxR(config)#ipnatinsidesourcelist2poolclien2overloadAuxR(config)#intfa0/0AuxR(config-if)#ipnatinsideAuxR(config-if)#exitAuxR(config)#intfa0/1AuxR(config-if)#ipnatoutside、三層交換機設置DHCP服務器分配IP給商務MainSW>enMainSW#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.MainSW(config)#vlan400MainSW(config-vlan)#nameAPMainSW(config-vlan)#exitMainSW(config)#intvlan400%LINK-5-CHANGED:InterfaceVlan400,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan400,changedstatetoupMainSW(config-if)#MainSW(config-if)#MainSW(config-if)#ipadd54MainSW(config-if)#exitMainSW(config)#ipdhcppoolAPMainSW(dhcp-config)#dns-server54MainSW(dhcp-config)#default-router54MainSW(dhcp-config)#networkMainSW(dhcp-config)#exitMainSW(config)#end劃分VLANServergroupSW(config)#vlan10ServergroupSW(config-vlan)#nameServerServergroupSW(config-vlan)#?VLANconfigurationcommands:exitApplychanges,bumprevisionnumber,andexitmodenameAsciinameoftheVLANnoNegateacommandorsetitsdefaultsServergroupSW(config-vlan)#exitServergroupSW(config)#intfa0/1ServergroupSW(config-if)#swServergroupSW(config-if)#switchportacServergroupSW(config-if)#switchportaccess?vlanSetVLANwheninterfaceisinaccessmodeServergroupSW(config-if)#switchportaccessvlan?<1-1005>VLANIDoftheVLANwhenthisportisinaccessmodeServergroupSW(config-if)#switchportaccessvlan10ServergroupSW(config-if)#intfa0/2ServergroupSW(config-if)#switServergroupSW(config-if)#switchportaccServergroupSW(config-if)#switchportaccessvlan10ServergroupSW(config-if)#intfa0/3ServergroupSW(config-if)#swServergroupSW(config-if)#switchportaceeServergroupSW(config-if)#switchportacServergroupSW(config-if)#switchportaccessvlan10ServergroupSW(config-if)#intfa0/4ServergroupSW(config-if)#swServergroupSW(config-if)#switchportaccessvlan10OneSW(config)#vlan100OneSW(config-vlan)#nameoneOneSW(config-vlan)#exitOneSW(config)#intfa0/1OneSW(config-if)#swOneSW(config-if)#switchportaccOneSW(config-if)#switchportaccessvlan100OneSW(config-if)#intfa0/2OneSW(config-if)#swOneSW(config-if)#switchportacOneSW(config-if)#switchportaccessvlan100OneSW(config-if)#intfa0/3OneSW(config-if)#switchportaccessvlan100OneSW(config-if)#intfa0/4OneSW(config-if)#switchportaccessvlan100OneSW(config-if)#TwoSW(config)#vlan200TwoSW(config-vlan)#nametwoTwoSW(config-vlan)#exitTwoSW(config)#intfa0/1TwoSW(config-if)#switchportaccessvlan200TwoSW(config-if)#intfa0/22.6、網絡節(jié)點設備的選擇:網卡和水晶頭屬于網絡中的網絡節(jié)點設備。選擇網卡的時候，百兆網卡是我們的最低選擇。在選擇網卡的時候，一定要選擇一款質量過關的網卡，這樣才能與我們的網絡布局配套。水晶頭在我們設計網絡時，往往是不被重視的一塊，質量差的水晶頭，經常會使網線與水晶頭接觸不良，大大降低我們的網絡傳輸速度。四、網絡安全解決方案概述隨著Internet在全球的廣泛推廣，用戶數量的迅速增加，使Internet成為全球通信的熱點。我國作為信息產業(yè)的后起之秀，網絡發(fā)展更是迅速。目前我國網民的數量也呈現出了高

速增長的態(tài)勢。與此同時，各大城市的網吧也得到了迅猛的發(fā)展。從最初的幾臺計算機，到現在幾十臺，甚至上百臺計算機都有可能不能滿足網吧上網人員的需要。但同時也隱含了許多嚴重的問題，這些網吧多為規(guī)模小，分布散亂，管理混亂。而今，網吧經營者的審查制、對網吧的大規(guī)模連鎖經營的鼓勵，各級文化公安部門對網吧的統一管理等等都使得網吧業(yè)產生了一個極大的變化。一方面，大量小且不規(guī)范的網吧面臨淘汰，另一方面，大量有規(guī)模和實力的網吧開始重建。2002年11月15日起施行的《互聯網上網服務營業(yè)場所管理條例》，明確規(guī)定互聯網上網服務營業(yè)場所經營單位和上網消費者不得利用互聯網上網服務營業(yè)場所制作、下載、復制、查閱、發(fā)布、傳播或者以其他方式使用含有淫穢、暴力、反動、邪教、迷信等內容的信息，不得進行危害信息網絡安全的活動。因而加強對網吧的管理，保障網吧網絡的穩(wěn)定、安全迫在眉睫。2、網吧的網絡結構和應用網吧計算機網絡系統總體上是一個星型結構的網絡，根據網絡規(guī)模的不同，可分為百兆以太網和千兆以太網兩種，根據經營管理方式的不同，又可以分為普通門店式網吧和連鎖網吧。網吧接入Internet方式也根據當地情況和網絡規(guī)模各不相同，普通中小網吧多數采用ADSL等寬帶接入方式，大中型網吧多采用光纖專線接入，一些高檔網吧可能還會進行線路備份。而網吧的網絡應用一般包含Internet訪問，寬帶電影瀏覽以及聯網游戲等。大型網吧內聯網上還會建立支持娛樂活動的服務器群（包括WWW、FTP、DNS、流媒體服務器、十六頻道有線電視轉播服務器組及SF和各種游戲戰(zhàn)網服務器等），具有信息共享、傳遞迅速、使用方便、高效率等特點的處理系統。網吧的網絡結構和應用目前網吧網絡，可能面臨的風險有：線路穩(wěn)定和網絡帶寬保證。無論是采用ADSL接入或者專線接入的網吧，由于長時間連續(xù)和公網連接，容易成為黑客攻擊和利用的目標，如果沒有有效的防護措施，極有可能成為黑客攻擊他人的跳板，這不僅僅會帶了網絡的安全問題，同時還會使網絡性能下降，帶寬降低。黑客入侵、病毒感染。對于網吧經營者，每天上網的顧客來來往往，網上病毒傳輸又難以操控，總會給網絡帶來一些不安全因素。隨著計算機技術的不斷進步，黑客和病毒技術也在不斷發(fā)展，并且有日益融合的趨勢。僅靠簡單的防病毒軟件，已經很難防止網絡蠕蟲病毒的擴散和傳播，必須采用防病毒、防火墻、入侵檢測等多種技術的有機結合才能起到比較好的防護、阻擋作用，最近的“沖擊波”病毒就是一個很好的例子。不良網站和信息的訪問。國家政策明文規(guī)定，限制互聯網上網服務營業(yè)場所經營單位和上網消費者對某些不良站點和信息的訪問，并且要求用戶上網記錄有據可查。也就是說網吧經營者必須加強對用戶網絡行為管理。帶寬管理（QOS）和多種媒體支持。網吧上網人數的猛增，網吧提供的Internet接入解決了網民的部分需求，但隨著網民視野的開闊，興趣的轉移，網民的需求不斷提高，簡單的網頁瀏覽、ICQ已不能滿足網民的需求，對于沒有QOS保證的互連網VOD、游戲服務，雖然網吧提供了寬帶接入，但多個網民同時進行操作時，仍不能保證畫面的流暢、聲音的同步，為了留住網民、發(fā)展網民，為網民提供高質量的視聽效果，成了網吧業(yè)主的當務之急。了解了網吧用戶的網絡需求、應用以及安全隱患之后，國恒聯合科技結合現有的網絡技術，根據不同規(guī)模網吧的應用需求，設計了如下圖所示的動態(tài)安全防護體系。通過這樣的設計可以盡可能地阻止來著外部的攻擊、監(jiān)控和管理內部的訪問，保障線路的暢通和應用服務的正常進行，提供對網吧系統高效、實用的安全保障。\速通防火墻在這里起到以下幾個作用：1、線路穩(wěn)定性和網絡安全的保證。速通防火墻支持PPPOE和DHCP客戶端，可以實現ADSL撥號等多種寬帶上網方式。速通防火墻的高效狀態(tài)檢測包過濾功能可以很好地保障網吧內部網絡和服務器的安全，阻擋黑客攻擊。同時速通防火墻支持平衡路由，可以很好滿足大型網吧網絡對于線路備份和負載均衡的要求。2、速通防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統，超越了傳統防火墻中的基于統計異常的入侵檢測功能，實現了可擴展的攻擊檢測庫，真正實現了抵御目前已知的各種攻擊方法，并通過升級入侵檢測庫的方法，不斷抵御新的攻擊方法。速通防火墻的入侵檢測模塊，可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式，并防火墻模塊實現聯動，自動調整控制規(guī)則，為整個網絡提供動態(tài)的網絡保護。速通防火墻入侵檢測模塊中包含了對網絡上傳輸病毒和蠕蟲的檢測，可以在計算機病毒和蠕蟲傳輸到宿主機之前檢測出來，在網關上防止網絡病毒的傳播，防患于未然。真正實現了少花錢多辦事的效果。3、速通防火墻的內容過濾功能，主要包含DNS和URL過濾功能，利用這些功能可以很好地限制內部用戶訪問不良站點和信息。4、速通防火墻的網管功能，可以實現對網絡帶寬的有效管理和流量計費，同時速通防火墻支持H.323協議、多波路由等，可以比較好地滿足網吧用戶對視頻、多媒體點播等的要求。5、速通防火墻的多網口結構、策略路由、VLANtrunck支持等能比較好地滿足大型網吧用戶對網絡規(guī)劃的要求。6、速通防火墻支持遠程、集中管理，對于連鎖網吧用戶來說，可以通過一個網絡管理員，集中統一地管理多臺防火墻。7、速通防火墻提供強大的日志功能，提供流量日志、網絡監(jiān)控日志和管理日志，可以向管理員提供比較詳盡的日志，同時提供日志查詢和日志報表功能，方便管理員的查詢和統計。3、網絡管理系統搖錢樹網吧計費管理系統2011B680搖錢樹網管軟件累計十五年軟件開發(fā)經驗、吸取目前網吧管理類軟件優(yōu)點，經歷上萬家網吧成熟使用，成功推向市場的企業(yè)級網吧經營管理軟件!

全面推薦：最實用、最易用、最好用的網吧計費管理軟件，網吧經營的搖錢樹！

1、先進的軟件數據結構設計，即便網吧出現突然斷電，或者服務器死機等情況，仍然可以正常計費，不影響用戶使用！

2、清爽明了，簡單易用的用戶界面，輕松上手。

3、系統與硬盤保護卡相結合，上網者可以自由使用電腦，隨意沖浪，更吸引顧客。

4、獨特的多層架構設計、創(chuàng)新的數據加密，讓系統在穩(wěn)定的同時，更加安全、高效。

5、靈活多變的計費費率設置，可區(qū)分會員和臨時客戶，管理得心應手。

6、人性化的會員管理，更有效的吸引、穩(wěn)定顧客。

7、方便的商品交易功能，管理員可隨時添加、刪除、銷售商品以及查詢銷售記錄，顧客可在客戶機直接選購，更加人性化。

8、完善且功能強大的客戶端程序設計，徹底杜絕顧客逃費的可能，程序小巧，絲毫不占用系統資源。

9、準確的班次交接，責任到人的操作管理。

10、可設置管理員、操作員等多級權限帳號，徹底杜絕作弊的可能，管理者更加放心，管理更加輕松。

11、詳細的報表查詢，以圖表的方式更加直觀。

12、全面的帳號、帳單、沖值、實收減免等查詢，讓管理者對網吧經營一目了然。

13、智能化系統自動定時備份數據，最大限度保證數據的安全。

14、強大的遠程監(jiān)控功能，可以方便的監(jiān)控網吧客戶機，可以遠程控制操作。

15、全面的區(qū)域設置功能，可在網吧內設置不同的區(qū)域，每個區(qū)域可以設置不同的普通費率、包時費率，網吧經營更加多樣化、網吧收入可以多元化。

16、支持客戶機掛機功能，使顧客使用更加自由。

17、支持手動開關機，滿足網吧不同需要。

18、支持網吧電腦動態(tài)分配IP。

19、支持客戶機掛機操作模式。

20、支持各種方式的換機操作。

21、支持在線軟件升級。

22、支持充值卡充值。

23、支持遠程查賬管理。

24、支持先上機后付費模式。

25、獨創(chuàng)遠程開啟客戶機功能（客戶機可以是關機狀態(tài)）。

26、獨創(chuàng)統一安裝功能，網吧只需安裝服務端軟件，即可一次性遠程在所有客戶機安裝客戶端軟件。

4、入侵檢測與病毒防護入侵檢測技術是一種利用入侵留下的痕跡，如試圖登陸的失敗記錄等信息來有效的發(fā)現來自外部或內部的非法入侵的技術。它以探測于控制為技術本質，起著主動防御的作用，是網絡安全中極其重要的部分。入侵檢測技術原理入侵檢測可分為實時入侵和事后入侵檢測兩種。實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發(fā)現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環(huán)進行的。事后入侵檢測有網絡管理人員進行，他們具有網絡安全的專業(yè)知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據和進行數據恢復。事后入侵檢測是管理員定期過不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統。入侵檢測方法的分類基于用戶行為概率統計模型的入侵檢測方法這種入侵檢測方法是基于對擁護歷史行為建模以及在早期的證據或模型的基礎上，審計系統實時的檢測用戶對系統的使用情況，根據系統內部保存的擁護行為概率統計模型進行檢測，當發(fā)現有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測、記錄該用戶的行為。系統要根據每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當用戶改變他們的行為習慣時，這種異常就回被檢測出來?；谏窠浘W絡入侵檢測方法這種方法是利用神經網絡技術來進行入侵檢測。因此，這種方法對用戶行為具有學習和自適應功能，能夠根據實際檢測到的信息有效的加以處理并作出入侵可能性的判斷。但該方法還不成熟，目前該沒有出現較為完善的產品?；趯＜蚁到y的入侵檢測技術該技術感受安全專家對可疑行為的分析經驗來形成一套推理規(guī)則，然后在此基礎上建立響應的專家系統，由此專家系統自動進行對所涉及入侵行為建立行為的分析工作。該系統應當能夠隨著經驗的積累而利用其自學能力進行規(guī)則的擴充和修正。基于模型推理的入侵檢測技術該技術根據入侵者在進行入侵時所執(zhí)行的某些行為模型所代表的入侵意圖的行為特征來判斷用戶執(zhí)行的操作是否是屬于入侵行為。當然這種方法也是建立在對當前以知的入侵行為程序的基礎之上的，對未知的入侵方法所執(zhí)行的行為程序的模型識別需要進一步的學習和擴展。以上幾種方法每一種都不能保證能準確的檢測出變化無窮的入侵行為。因此在網絡安全防護中要充分衡量各種方法的利弊，綜合運用這些方法才能有效的檢測出入侵者的非法行為。入侵檢測系統的功能和結構入侵檢測系統的功能有：*監(jiān)視用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作。*檢測系統培植的正確性和安全漏洞，并提示管理條例修補漏洞。*對擁護的非正?；顒舆M行統計分析，發(fā)現入侵行為的規(guī)律。*檢查系統程序和數據的一致性和正確性如計算和比較文件系統的校驗和。*能夠實時對檢測到的入侵行為進行反應。*操作系統的審計跟蹤管理。根據以上入侵檢測系統的功能，可以把它的功能結構分為兩個大的部分：中心檢測平臺和代理服務器。代理服務器是負責從各個操作系統中采集審計數據，并把審計數據轉換平臺無關的格式后傳送到中心檢測平臺，或者把中心平臺的審計數據要求傳送到各個操作系統中。而中心檢測平臺由專家系統、知識庫和管理員組成，其功能是根據代理服務器采集來的審計數據進行專家系統分析，產生系統安全報告。管理員可以向各個主機提供安全管理功能，根據專家系統的分析向各個代理服務器發(fā)出審計數據的需求。另外，在中心檢測平臺和代理服務器之間是通過安全的RPC進行通信。殺毒軟件的查殺方法文件查殺是我們的病毒特征碼與殺毒軟件的病毒庫中的代碼來進行比較，如果病毒庫中有相同的特征碼，就會認為這個是病毒--通俗一點講，比如你身上一個特征你的朋友就會認識到這個就是你了。所以，對于這樣的查殺模式。我們只要改變特征碼殺毒軟件就會不認識了。內存查殺其實內存查殺也是通過特征碼的，和文件查殺基本上一樣，一個區(qū)別就是它是通過內存特征碼來查殺的。行為查殺是通過判斷程序的動作來進行定義，如果程序對某個地方進行動作就會被認出來，而且被阻止。什么是特征碼殺毒軟件在對文件進行查殺的時候。會挑選文件內部的一句或者幾句代碼來作為它識別病毒的方式。這種代碼就叫做病毒的特征碼。如果我們將這個代碼變更或者修改。就會使得殺毒軟件對其無法查殺。也就達到我們免殺的效果。特征碼主要分為:復合文件特征碼，復合內存特征碼。下面具體解釋下A：文件特征碼文件特征碼就是病毒程序代碼中的一句或幾句被殺毒軟件作為識別的的代碼，舉例來說。當一某段程序，它程序中的一某段代碼，被殺毒軟件給提到病毒庫中后，當我們再次殺毒的時候，殺毒軟件就會報毒了。B：內存特征碼內存特征碼是程序運行以后。在windows內存中的運行代碼。舉例來說：有一天，你家里來了個毛賊，然后他在你家胡作非為，這樣就會留下一些痕跡，這樣我們就能判斷是不是有人來過。這些根據就是內存特征碼。C：復合特征碼一個程序中的多句代碼被殺毒軟件作為識別標志。有一處不修改都不能免殺但現在不少殺軟都加入了【主動防御】的概念，目的就是為了克服特征碼查殺永遠落后與病毒的缺點。一般意義上的“主動防御”，就是全程監(jiān)視進程的行為，一但發(fā)現“違規(guī)”行為，就通知用戶，或者直接終止進程。它類似于警察判斷潛在罪犯的技術，在成為一個罪犯之前，大多數的人都有一些異常行為，比如“性格孤僻，有暴力傾向，自私自利，對現實不滿”等先兆，但是并不是說有這些先兆的人就都會發(fā)展為罪犯，或者罪犯都有這些先兆。因此“主動防御”并不能100%發(fā)現病毒或者攻擊，它的成功率大概在60%--80%之間。如果再加上傳統的“特征碼技術”，則有可能發(fā)現100%的惡意程序與攻擊行為了。從國外的情況看，諾頓、Kaspersky、McAfee等主流安全廠商，都已經向“主動防御”+“特征碼技術”過渡了，可以說這是安全系統的必然發(fā)展趨勢.VPN技術一、概述IPVPN（虛擬專用網）是指通過共享的IP網絡建立私有數據傳輸通道，將遠程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，提供端到端的服務質量（QoS）保證以及安全服務。隨著IPVPN的興起，用戶和運營商都將目光轉向了這種極具競爭力和市場前景的VPN。對用戶而言，IPVPN可以非常方便地替代租用線和傳統的ATM/幀中繼（FR）VPN來連接計算機或局域網（LAN），同時還可以提供租用線的備份、冗余和峰值負載分擔等，大大降低了成本費用；對服務提供商而言，IPVPN則是其未來數年內擴大業(yè)務范圍、保持競爭力和客戶忠誠度、降低成本和增加利潤的重要手段。IPVPN需要通過一定的隧道機制實現，其目的是要保證VPN中分組的封裝方式及使用的地址與承載網絡的封裝方式及使用編址無關。另外，隧道本身能夠提供一定的安全性，并且隧道機制還可以映射到IP網絡的流量管理機制之中。IPVPN本質上是對專用網通信的仿真，因此除了隧道協議外，其邏輯結構（如編址、拓撲、連通性、可達性和接入控制等）都與使用專和設施的傳統專用網部分或全部相同，也同樣考慮路由、轉發(fā)、QoS、業(yè)務管理和業(yè)務提供等問題。二、HiPER系列VPN安全網關的設計IPVPN技術主要是通過隧道機制（Tunneling）來實現的，通常情況下VPN在鏈路層和網絡層實現了隧道機制。在鏈路層支持隧道機制的有：PPTP（PointtoPointTunnelingProtocol，點到點隧道協議）、L2TP（Layer2TunnelingProtocol，鏈路層隧道協議）、L2F（Layer2Forwarding，鏈路層轉發(fā)協議）。PPTP是一個第2層的協議，將PPP數據楨封裝在IP數據報內通過IP網絡傳送。PPTP還可用于專用局域網絡之間的連接。RFC草案“點對點隧道協議”對PPTP協議進行了說明和介紹。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術把數據封裝成PPP數據楨通過隧道傳送?？梢詫Ψ庋bPPP楨中的負載數據進行加密或壓縮。GRE（通用路由協議封裝）規(guī)定了如何用一種網絡協議去封裝另一種網絡協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，并支持各種路由協議，如RIP2、OSPF等。GRE協議提出得比較早，也比較簡單，因此可以說已經比較成熟。L2TP（第二層隧道協議）定義了利用包交換方式的公共網絡基礎設施（如IP網絡、ATM和幀中繼網絡）封裝鏈路層PPP（點到點協議）幀的方法。在L2TP（RFC266）中，被封裝的是鏈路層PPP協議，封裝協議由L2TP定義。承載協議首選網絡層的IP協議，也可以采用鏈路層的ATM或幀中繼協議。L2TP可以支持多種撥號用戶協議，如IP、IPX和AppleTalk，還可以使用保留IP地址。目前，L2TP及其相關標準（如認證與計費）已經比較成熟，并且客戶和運營商都已經可以組建基于L2TP的遠程接入VPN（AccessVPN），因此國內外已經有不少運營商開展了此項業(yè)務。在實施的AccessVPN中，一般是運營商提供接入設備，客戶提供網關設備（客戶自己管理或委托給運營商）管理。AccessVPN的主要吸引力在于委托網絡任務的方式，ISP可以通過IP骨干網把用戶數據從本地呈現點（POP）轉發(fā)到企業(yè)用戶網絡中去，大幅度地節(jié)省企業(yè)客戶的費用。該服務主要面向分散的、具有一定移動性的用戶，為此類用戶遠程接入專用網絡提供經濟的、可控制的并具有一定安全保證的手段。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。此外，IPSec也允許提供逐個數據流或者逐個連接的安全，所以能實現非常細致的安全控制。對于用戶來說，便可以對于不同的需要定義不同級別地安全保護（即不同保護強度的IPSec通道）。IPSec為網絡數據傳輸提供了：●數據機密性數據完整性數據來源認證抗重播等安全服務，就使得數據在通過公共網絡傳輸時，就不用擔心被監(jiān)視、篡改和偽造。IPSec是通過使用各種加密算法、驗證算法、封裝協議和一些特殊的安全保護機制來實現這些目的，而這些算法及其參數是保存在進行IPSec通信兩端的SA（SecurityAssociation，安全聯盟），當兩端的SA中的設置匹配時，兩端就可以進行IPSec通信了。IPSec使用的加密算法包括DES-56位、Triple-Des-168位和AES-128位；驗證算法采用的也是流行的HMAC-MD5和HMAC-SHA算法。IPSec所采用的封裝協議是AH（AuthenticationHeader，驗證頭）和ESP（EncapsulatingSecurityPayload，封裝安全性有效負載）。ESP定義于RFC2406協議。它用于確保IP數據包的機密性（對第三方不可見）、數據的完整性以及對數據源地址的驗證，同時還具有抗重播的特性。具體來說，是在IP頭（以及任何IP選項）之后，在要保護的數據之前，插入一個新的報頭，即ESP頭。受保護的數據可以是一個上層協議數據，也可以是整個IP數據包，最后添加一個ESP尾。ESP本身是一個IP協議，它的協議號為50。這也就是說，ESP保護的IP數據包也可以是另外一個ESP數據包，形成了嵌套的安全保護，ESP的封裝方式如下圖：如上圖所示，ESP頭沒有加密保護，只采用了驗證保護，但ESP尾的一部分則進行的加密處理，這是因為ESP頭中包含了一些關于加/解密的信息。所以ESP頭自然就采用明文形式了。AH定義于RFC2402中。該協議用于為IP數據包提供數據完整性、數據包源地址驗證和一些有限的抗重播服務，與ESP協議相比，AH不提供對通信數據的加密服務，同樣提供對數據的驗證服務，但能比ESP提供更加廣的數據驗證服務，如圖所示：它對整個IP數據包的內容都進行了數據完整性驗證處理。在SA中定義了用來負責數據完整性驗證的驗證算法（即散列算法，如AH-MD5-HMAC、AH-SHA-HMAC）來進行這項服務。AH和ESP都提供了一些抗重播服務選項，但是否提供抗重播服務，則是由數據包的接收者來決定的。HiPER系列VPN安全網關設計支持L2TP，PPTP和IPSec，支持和多種設備在Internet上建立VPN，隧道連接了兩個遠端局域網，每個局域網上的用戶都可以訪問另一個局域網網上的資源：對方的設備可以使用如Windows2000服務器，Cisco?PIX,華為Quidway等路由器，netscreen，fortigate設備等其他支持標準的VPN網絡設備。除了以上介紹的隧道技術以外，作為一個網關的IPVPN安全網關還有以下特點，如備份技術，流量控制技術，包過濾技術，網絡地址轉換技術，抗擊打能力和網絡監(jiān)控和管理技術等。三、使用HiPER系列VPN安全網關的安全解決方案根據上面所述的路由器安全特性設計的要求，HiPER系列VPN安全網關提供了各種網絡安全解決方案，以適應不同的應用需求，包括：電子政務的VPN聯網和Internet的安全互聯通過Internet構建VPN電子商務應用教育系統校校通的應用HiPER系列VPN安全網關提供了和Internet安全互聯的解決方案，HiPERVPN安全網關主要是通過基于訪問列表的包過濾和網絡地址轉換，實現以下的功能：基于接口的包過濾可以通過對訪問列表中時間段參數的設置，實現對與時間相關的訪問管理。網管軟件可以監(jiān)控網絡運行情況，以便用戶的管理和控制。外部主機無法直接訪問內部服務器。外部主機A無法通過內部服務器的實際地址來訪問它，而外部主機B則可以通過路由器設置的虛擬地址來訪問內部服務器，這樣就可以在一定程度上保護內部服務器。這是通過網絡地址轉換來實現的，若同時配置了帶訪問列表的網絡地址轉換，則還可以限制外部主機對內部服務器的服務訪問類型（如HTTP、FTP等）。內部主機可以路由器的管理下訪問外部Server，在屏蔽內部網絡地址信息的同時，還加強了對內部主機的管理。2．通過Internet構建VPNHiPER系列VPN安全網關通過Internet構建VPN的方案如。通過專線方式進行遠地辦事機構網絡互聯的成本比較昂貴，且利用率低，可以通過Internet來實現網絡的互聯，在HIPER系列VPN路由器提供的IPSec-VPN方案中，用戶不僅實現了這一目標，而且保證了網絡傳輸的安全性。HiPER系列VPN安全網關提供的方案具有以下功能：外出人員可以通過當PSTN接入企業(yè)內部網絡外出人員可以通過當PSTN接入任一遠程辦公機構遠程辦公機構可以通過路由器和企業(yè)內部網絡建立安全通道若干遠地辦事機構可以相互建立安全連接HiPER所有的VPN產品都支持動態(tài)地址接入。也就是說，互聯的節(jié)點無需采用固定地址，它們之間就可以建立VPN的連接。這種方式通過HiPER的DNS服務器，每次撥號時獲得的地址，可以通過HiPER的DNS服務器分配一個固定的FQDN，也就是主機名+域名。因此，不管地址如何變化，外網訪問它使用不變的主機名和域名。四、結論作為IPVPN網絡的VPN安全網關需要提供較為先進的安全技術，包括備份技術、包過濾技術、網絡地址轉換、各種VPN隧道技術、密鑰交換技術、高級的IPSec加密技術、可以選擇多種經濟的連接方式（用ADSL,FTTX+LAN，CableModem或ISDN），節(jié)省大量的專線費用，支持同時發(fā)起多個隧道，同時撥入和撥出，能提供多種網絡安全解決方案，適應當前網絡發(fā)展的需要。操作系統安全配置方案5.1物理安全服務器安裝在有監(jiān)視器的隔離房間內，并且監(jiān)視器保留20天的攝像記錄，另外機箱、鍵盤、電腦桌抽屜上鎖，以確保旁人即使進入房間也無法使用計算機，鑰匙要放在安全的地方5.2停止GUEST賬號在計算機管理的用戶里吧GUEST賬號停用，任何時候都不允許Guest賬號登陸系統，為了保險起見，最好給Guest加一個復雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符、數字、字母的長字符串，用它作為Guest賬號的密碼，并且修改Guest賬號的屬性，設置拒絕遠程訪問。5.3限制用戶數量。去掉所有的測試賬戶、共享賬號和普通部門賬號等等，用戶組策略設置相應權限，并且經常檢查系統的賬戶，刪除已經不適用的賬戶。很多賬戶是黑客們入侵系統的突破口，系統的賬戶越多，黑客們得到合法用戶的權限的可能性一般也就越大。5.4多個管理員賬號創(chuàng)建一個一般用戶權限賬號來處理電子郵件及處理一些日常事務，創(chuàng)建另一個擁有Administrator權限的賬戶只在需要的時候使用，因為只要登錄系統以后，密碼就儲存在WinLogon進程中，當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼，盡量減少Administrator登陸的次數和時間5.5管理員賬號改名把Administrator賬戶改名，防止嘗試這個賬號的密碼、5.6陷阱賬號創(chuàng)建一個名為Administrator的本地賬戶，把它的權限設置成最低，什么事情也干不了，并且加上一個超過10位的復雜密碼，可以讓企圖入侵系統的入侵者花費很長時間并且可以借此發(fā)現他們的入侵企圖。5.7更改默認權限獎共享文件的權限從：everyone組改成授權用戶。5.8安全密碼。設置復雜密碼，并且注意經常更改密碼。5.9屏幕保護密碼設置屏幕保護密碼，并且將等待時間設置為最短時間1分鐘5.10NTFS分區(qū)把服務器所有分區(qū)設置成NTFS分區(qū)。5.11防毒軟件安裝防毒軟件，并且經常更新病毒庫5.12備份盤的安全本分完資料后，把備份盤放在一個絕對安全的地方。不能把資料備份在同一個服務器上，這樣的話還不如不要備份5.13操作系統安全策略配置服務器的本地安全策略5.14關閉不必要的服務終端服務和IIS服務等有可能會給系統帶來安全漏洞。留意服務器上開啟的所有服務并且每天檢查。5.15關閉不必要的端口用端口掃描器掃面系統所開放的端口，在Winnt\system32\driver\etc\services文件中有知名端口和服務對照表可供參考。一臺Web服務器只潤需TCP的80端口通過就可以了。5.16開啟審核策略開啟以下審核策略審核系統登錄時間審核賬戶管理審核登錄時間審核對象訪問審核策略更改審核特權使用審核系統時間。5.17開啟密碼策略密碼復雜性要求開啟密碼長度最小值6位密碼最長存期限15天強制密碼歷史5次5.18開啟賬戶策略復位賬戶鎖定計算器30分鐘賬戶鎖定時間30分鐘賬戶鎖定閾值5次5.19備份敏感文件把敏感文件存放在另外的文件服務器中。5.20不顯示上次登錄名5.21禁止建立空連接5.22下載最新的系統補丁5.23關閉DirectDraw5.24關閉默認共享5.25禁用Dump文件5.26加密Temp文件夾5.27鎖住注冊表5.28關機時清除文件5.29禁止軟盤光盤啟動5.30使用智能卡5.31使用IPSec5.32禁止判斷主機類型5.33抵抗DDos5.34禁止Guest訪問日志5.35數據恢復如果數據被破壞，可以利用數據恢復軟件找回部分被刪除的數據

附錄資料：不需要的可以自行刪除安全生產總則1、“安全生產，人人有責”。所有員工必須加強法制觀念，認真執(zhí)行黨和國家有關安全生產、勞動保護政策、法令、規(guī)定。嚴格遵守安全技術操作規(guī)程和各項安全生產規(guī)章制度。2、凡不符合安全生產要求，有嚴重危險的廠房、生產線和設備，員工有權向上級報告。遇有嚴重危及生命安全的情況，員工有權停止操作并及時報告領導處理。3、新入公司的員工實習、代培、臨時參加勞動及變換工種的人員，未經三級教育或考試不合格者，不準參加生產或單獨操作。電氣、起重、壓力容器、廠內機動車司機、電汽焊等特種作業(yè)人員均應經專業(yè)培訓和考試合格，持證上崗。外來參觀人員，接待部門應組織必要的安全教育和交待我公司有關安全規(guī)定。4、工作前，必須按規(guī)定穿戴好防護用品，女工要把發(fā)辮放入帽內，旋轉機床嚴禁戴手套操作。檢查設備和工作場地，排除故障和隱患；保證安全防護、信號保險裝置齊全、靈敏、可靠；保持設備潤滑及通風良好。不準讓小孩進入工作崗位，不準穿拖鞋、赤腳、赤膊、敞衣、戴頭巾、圍巾工作；上班前不準飲酒。5、工作中，應集中精力，堅守崗位，不準擅自把自己的工作交給他人；不準打鬧、睡覺和做與本職工作無關的事；凡運轉設備，不準跨越、傳遞物件和觸動危險部位；不準用手拉、嘴吹鐵屑；不準站在砂輪的正前方進行磨削；不準超限使用設備；中途停電，應關閉電源開關。6、搞好文明生產，保持車間、庫房通道的清潔衛(wèi)生，保障安全道暢通無阻。7、嚴格執(zhí)行交接班制度，末班人員下班前必須切斷電源、汽源、熄滅火種，清理現場。8、二人以上工作時，必須有主有從，統一指揮。9、公司內行人要走指定通道，注意各種警標，嚴禁跨越危險區(qū)；嚴禁從行駛中的機動車輛爬上、跳下、拋卸物品；車間內不準騎自行車。公司路面施工，要設安全遮欄和標記，夜間應設紅色警告燈。10、嚴禁任何人攀登吊運中的物件及在吊鉤下通過和停留。11、操作工必須熟悉其設備性能、工藝要求和設備操作規(guī)程。設備要定人操作，使用本工種以外的設備時，須經有關領導批準。12、檢查修理機構電氣設備時，必須掛停電警告牌，設人監(jiān)護。停電牌必須誰掛誰取，非工作人員禁止合閘。13、各種安全防護裝置、照明、信號、監(jiān)測儀表、警戒標記等不得隨意拆除。14、一切電氣、機械設備的金屬外殼或行車軌道必須有可靠的接地措施。非電氣人員不準裝修電氣設備和線路。使用手持電動工具必須絕緣可靠，有良好的接地或接零措施，并戴好絕緣手套操作。機床、鉗臺、行燈等局部照明燈不得超過36V電壓。15、高空作業(yè)必須扎好安全帶，戴好安全帽，不得穿硬底鞋。嚴禁投擲工具、材料等物件。16、對易燃、易爆、劇毒、放射、腐蝕等物品要分類存放，并設專人管理。易燃、易爆等危險場所，嚴禁吸煙和明火作業(yè)。17、防毒、防塵措施，噪聲治理點，三廢處理裝置，沖床安全裝置等必須經常維護、保養(yǎng)，并保持一貫良好有效。18、油庫、化工庫、毒品庫、各試驗檢查站等危險、要害部門，非崗位人員未經批準嚴禁入內。19、各消防器材、工具應按要求設置齊全不準隨便動用，安放地點周圍，不得堆放其他物品。20、發(fā)生事故或重大未遂事故時，要及時搶救，保護現場，并立即報告有關領導。車工安全操作規(guī)程1、禁止戴圍巾、手套和扎圍裙，高速切削時要穿好工作服，戴好工作帽和護目鏡，女工發(fā)辮應挽在帽子內。開機前，首先檢查油路和轉動部件是否靈活正常。2、裝卸卡盤及大的工卡具時，床面要墊木板，不準開車裝卸卡盤。裝卸工件后應立即取下扳手。禁止用手剎車。3、床頭、小刀架，床面不放置工、量、刀或其他東西。4、裝卸工件要牢固，夾緊時可用接長套筒，禁止用榔頭打，滑絲的卡盤不準使用。5、加工細長工件要用頂尖，跟刀架、車頭前面伸出部分不得超過工件直徑的20－25倍，車頭后伸超過300毫米時必須裝托架。必要時安裝防護欄。6、用銼刀光工件時，應右手在后，身體離開卡盤，禁止用砂布裹在工件上砂光，應比照用銼刀的方法成直條狀壓在工件上。7、車內孔時，不準用銼刀倒角，用砂布光內孔時，不準將手指手臂伸進去打磨。8、加工偏心，導型工件時，必須加平衡鐵，并要堅固牢靠，剎車不要過猛。9、攻絲或套絲必須用專用工具。不準一手扶攻絲架（或扳牙架），一手開車。10、切大料時，應留有足夠余量，卸下砸斷，以免切斷時掉下傷人。小料切斷時不準用手接。11、主軸箱掛輪時，必須停車變換速度，以免損壞機件。12、卡盤的放松塊，必須裝好把牢，以防突然反車時卡盤甩出傷人。13、發(fā)現機床在運轉時有異常，應立即停車檢查。14、不準用手直接清除鐵屑，應使用專用工具清掃。15、不準在機床運轉時離開工作崗位。因故離開時，必須停車，并切斷電源。16、機床運轉需停車時，嚴禁使用反車剎車以免損壞電機和設備其他部件。17、工作場地應保持整齊、清潔、工件存放要穩(wěn)妥，不能堆放過高，鐵屑應及時處理，電器發(fā)生故障應馬上斷開總電源，及時叫電工檢修，不能擅自亂動。機床工安全操作規(guī)程1、加工工件時，必須扎緊袖口，束緊衣襟。嚴禁戴手套、圍巾或敞開衣服操作旋轉機床。2、檢查設備上的防護裝置是否完好和關閉。保險、聯鎖、信號裝置必須靈敏、可靠，否則不準開動。3、工件、夾具、工具、刀具必須裝卡牢固。4、開車前要觀察周圍動態(tài)，有妨礙運轉、傳動的物件要先清除，加工點附近不準有人站立。機床開動后，操作者要站在安全位置上，以避開機床運動部位和切屑飛濺。5、機床停止前，不準接觸運動工件、刀具和傳動部件。嚴禁隔著機床遺轉、傳動部分傳遞或拿取工具等物品。6、調整機床行程、限位，裝夾拆卸工件、刀具，測量工件，擦拭機床都必須停車進行。7、機床導軌面?zhèn)?、工作臺上不得放工具或其它物品。8、不準用手直接清除切屑，應采用專門工具清理。9、兩人或兩人以上在同一機臺工作時，必須有一人負責統一指揮。10、發(fā)現設備出現異常情況，應立即停車檢查。11、不準在機床運轉時離開工作崗位。因故要離去必須停車，并切斷電源。12、正確使用工具，要使用符合規(guī)格的扳手，不準加墊塊和任意用套管。13、使用起吊工具時，必須遵守掛鉤工安全操作規(guī)程。工件堆放不得超高。14、工作完畢，應將各類手柄扳回到非工作位置，并切斷電源和及時清理工作場地的切屑、油污，保持通道暢通。電鉆安全操作規(guī)程一、臺鉆1、使用臺鉆要帶好防護眼睛和規(guī)定的防護用品，禁止帶手套。2、鉆孔時，工件必須用鉗子、夾具或壓鐵夾緊壓牢。禁止用手拿著鉆孔。鉆薄片工件時，下面要墊木板。3、不準在鉆孔時用砂布清除鐵屑，亦不允許用嘴吹或者用手擦試。4、在鉆孔開始或工件要鉆穿時，要輕輕用力，以防工件轉動或甩出。5、工作中，要把工件放正，用力要均勻，以防鉆頭折斷。二、鉆工1、工作前對所用鉆床和工卡量進行全面檢查，確認無誤時方可工作。2、工件夾緊時必須牢固可靠，鉆小件時應用工具夾持，不準用手拿著鉆，工作中嚴禁帶手套，女工發(fā)辮應挽在帽子內。3、使用自動走刀時，要選好進給速度，調整好行程限位塊。手動進刀時按照逐漸增壓和逐漸減壓原則進行，一面用力過猛造成事故。4、鉆頭上繞有鐵屑時，要停車清除。禁止用風吹，用手拉，要用刷子或鐵鉤清除。5、鉆孔直徑不得超過機床允許范圍。6、精絞深孔時，撥取園器和稍棒，不可用力過猛，以免將手撞在刀具上。7、不準在旋轉的刀具下，翻轉、卡壓或測量工件，手不準觸摸旋轉刀具。8、使用搖臂鉆時，橫臂回轉范圍內不準有障礙物，工作前橫臂必須卡緊。9、橫臂和工作臺上不準存放物件，被加工件必須按規(guī)定卡緊，以防工件移位造成重大人身傷害事故和設備事故。10、工作結束時，將橫臂降到最低位置，主軸箱靠近立柱。并且都要卡緊。磨工的一般操作規(guī)程磨時或修正砂輪要戴好防護眼鏡和口罩。查砂輪是否松動、裂紋，防護罩是否牢固可靠，發(fā)現問題時不準開動。砂輪的正面不準站人，操作者要站在砂輪的側面。砂輪的轉速不準超限，進給要選擇合理進刀量，嚴防砂輪破裂飛出上人，嚴禁為工時加大進給量。卸裝工件時，砂輪一定要退到安全位置，防止磨手。砂輪未離開工件時，不得停止砂輪轉動。用金剛石修正砂輪時，一定要將金剛石固定牢，禁止用手拿著修砂輪。吸塵器必須保持完好狀態(tài)，并充分利用。干磨工件不準途中加冷卻液，濕式磨床冷卻停止時，應立即停止磨削，工作完畢應將砂輪空轉五分鐘，將砂輪上的冷卻液甩掉。電焊工安全操作規(guī)程1、必須遵守焊、割設備一般安全規(guī)定及電焊機安全操作規(guī)程。2、電焊機外殼，必須接地良好，其電源的裝拆應由電工進行。3、電焊機要設單獨的開關，開關應放在防雨的閘箱內，拉合時應戴手套側向操作。4、焊鉗與把線必須絕緣良好，連接牢固，更換焊條應戴手套，在潮濕地點工作，應站在絕緣膠板或木板上。5、嚴禁在帶電和帶壓力的容器上或管道上施焊，焊接帶電的設備必須先切斷電源。6、焊接貯存過易燃、易爆、有毒物品的容器或管道，必須清除干凈，并將所有孔口打開。7、在密閉金屬容器內施焊時，容器必須可靠接地，通風良好，并應有人監(jiān)護，嚴禁向容器內輸入氧氣。8、焊接預熱工件時，應有石棉布或檔板等隔熱措施。9、把線、地線禁止與鋼絲繩接觸，更不得用鋼絲繩索或機電設備代替零線，所有地線接頭，必須連接牢固。10、更換場地移動把線時，應切斷電源并不得手持把線爬梯登高。11、清除焊渣或采用電弧氣刨清根時，應戴好防護眼鏡或面罩，防止鐵渣飛濺傷人。12、多臺焊機在一起集中施焊時，焊接平臺或焊件必須接地，并應有隔光板。13、釷鎢板要放置在密閉鉛盒內，磨削釷鎢板時，必須戴手套，口罩，并將粉塵及時排除。14、二氧化碳氣體預熱器的外殼應絕緣，端電壓不應大于36V。15、雷雨時，應停止露天焊接作業(yè)。16、施焊場地周圍應清除易燃易爆物品，或進行覆蓋、隔離。17、必須在易燃易爆氣體或液體擴散區(qū)施焊時，應經有關部門檢試許可后，方可施焊。18、工作結束應切斷焊機電源，并檢查工作地點，確認無起火危險后，方可離開。氣焊工安全操作規(guī)程1、必須遵守焊、割設備一般安全規(guī)定及氣焊設備安全操作規(guī)程。2、施焊場地周圍應清除易燃易爆物品，或進行覆蓋、隔離，必須在易燃易爆氣體或液體擴散區(qū)施焊時，應經有關部門檢試許可后，方可進行。3、乙炔發(fā)生器必須設有回火防止安全裝置。氧氣瓶、乙炔瓶、氧氣、乙炔表及焊割工具上，嚴禁沾染油脂。4、乙炔發(fā)生器的零件和管路接頭，不得采用紫銅制作。5、高、中壓乙炔發(fā)生器應可靠接地，壓力表、安全閥應定期校驗。6、乙炔發(fā)生器不得放在民線的正下方，與氧氣瓶不得放一處，距易燃易爆物品和明火的距離，不得少于10米。檢驗是否漏氣，要用肥皂水，嚴禁用明火。7、氧氣瓶、乙炔瓶應有防震膠圈，旋緊安全帽，避免碰撞和劇烈震動，并防止曝曬。8、乙炔氣管用后需清除管內積水，膠管防止回火的安全裝置凍結時，應用熱水加熱解凍，不準用火烤。9、點火時，焊槍口不準對人，正在燃燒的焊槍不得放在工件或地面上。帶有乙炔和氧氣時，不準放在金屬容器內，以防氣體逸出，發(fā)生燃燒事故。10、不得手持連接膠管的焊槍爬梯、登高。11、嚴禁在帶壓的容器或管道上焊、割，帶電設備應先切斷電源。12、在貯存過易燃易爆及有毒物品的容器或管道上焊、割時，應先清除干凈，并將所有孔、口打開。13、鉛焊時，場地應通風良好，皮膚外露部分應涂護膚油脂。工作完畢應洗漱。14、工作完畢，應將氧氣瓶、乙炔氣瓶閥關好，擰上安全罩。檢查操作場地，確認無著火危險，方準離開。15、氧氣瓶、乙炔氣瓶分開，貯放在通風良好的庫房內。吊運時應用吊籃，工地搬運時，嚴禁在地面上滾，應輕抬輕放。16、焊、割作業(yè)人員從事高處、水上等作業(yè)，必須遵守相應的安全規(guī)定。17、嚴禁無證人員從事焊、割作業(yè)。氣焊設備安全操作規(guī)程嚴格遵守焊、割設備一般安全規(guī)定一、焊、割前準備1、檢查橡膠軟管接頭、氧氣表、減壓閥等應緊固牢靠，無泄漏。嚴禁油脂、泥垢沾染氣焊工具、氧氣瓶。2、嚴禁將氧氣瓶、乙炔發(fā)生器靠近熱源和電閘箱；并不得放在高壓線及一切電線的下面；切勿在強陽光下爆曬；應放在操作工點的上風處，以免引起爆炸。四周應設圍欄，懸掛“嚴禁煙火”標志，氧氣瓶、乙炔氣瓶與焊、割炬（也稱焊、割槍）的間距應在10m以上，特殊情況也應采取隔離防護措施，其間距也不準少于5m,同一地點有兩個以上乙炔發(fā)生器，其間距不得小于10m。3、氧氣瓶應集中存放，不準吸煙和明火作業(yè)，禁止使用無減壓閥的氧氣瓶。4、氧氣瓶應配瓶嘴安全帽和兩個防震膠圈。移動時，應旋上安全帽，禁止拖拉、滾動或吊運氧氣瓶；禁止帶油脂的手套搬運氧氣瓶；轉運時應用專用小車，固定牢靠，避免碰撞。5、氧氣瓶應直立放置，設支架穩(wěn)固，防止傾倒；橫放時，瓶嘴應墊高。6、乙炔氣瓶使用前，應檢查防爆和防回火安全裝置。7、按工件厚度選擇適當的焊炬和焊嘴，并擰緊焊嘴應無漏氣。8、焊、割炬裝接膠管應有區(qū)別，不準互換使用，氧氣管用紅色軟管，乙炔管用綠或黑色軟管。使用新軟管時，應先排除管內雜質、灰塵，使管內暢通。9、不得將橡膠軟管放在高溫管道和電線上，或將重物或熱的物件壓在軟管上，更不得將軟管與電焊用的導線敷設在一起。10、安裝減壓器時，應先檢查氧氣瓶閥門接頭不得有油脂，并略開氧氣瓶閥門出氣口，關閉氧氣瓶閥門時，須先松開減壓器的活門螺絲（不可緊閉）。11、檢查焊（割）炬射吸性能時，先接上氧氣軟管，將乙炔軟管和焊、割炬脫開后，即可打開乙炔閥和氧氣閥，再用手指輕按焊炬上乙炔進氣管接口，如手感有射吸能力，氣流正常后，再接上乙炔管路。如發(fā)現氧氣從乙炔接頭中倒流出來，應立即修復，否則禁止使用。12、檢查設備、焊炬、管路及接頭是否漏氣時，應涂抹肥皂水，觀察有無氣泡產生，禁止用明火試漏。13、焊、割嘴堵塞，可用通針將嘴通一下，禁止用鐵絲通嘴。二、焊、割中注意事項1、開啟氧氣瓶閥門時，禁止用鐵器敲擊，應用專用工具，動作要緩慢，不要面對減壓器。2、點火前，急速開啟焊、割炬閥門，用氧氣吹風，檢查噴嘴出口。無風時不準使用，試風時切忌對準臉部。3、點火時，可先把氧氣調節(jié)閥稍為打開后，再打開乙炔調節(jié)閥，點火后即可調整火焰大小和形狀。點燃后的焊炬不能離開