基于部署的軟件應(yīng)用安全技術(shù)研究

基于部署的軟件應(yīng)用安全技術(shù)研究

目錄前言............................：軟件應(yīng)用的部署技術(shù)（3頁）（一）部署技術(shù)概述（二）現(xiàn)狀及重要性：軟件應(yīng)用中常見的安全問題及解決辦法（5頁）（一）黑客（二）病毒、蠕蟲、特洛伊木馬（四）網(wǎng)絡(luò)安全漏洞（三）數(shù)據(jù)丟失：基于部署的軟件應(yīng)用安全技術(shù)（10頁）（一）硬件防火墻（二）網(wǎng)閘（三）網(wǎng)關(guān)（四）DMZ（五）還原卡（六）Langate：實(shí)證研究及結(jié)論（10-12頁）（一），實(shí)證問題概述（二），需要解決的主要問題（三），解決方案（四），重點(diǎn)過程描述（五），實(shí)證結(jié)論前言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)上各種應(yīng)用的不斷豐富,網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的焦點(diǎn)。人們在網(wǎng)絡(luò)安全部署策略中更多地注重網(wǎng)絡(luò)邊界的安全，防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段，我們通常認(rèn)為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時(shí)使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設(shè)備等，但據(jù)統(tǒng)計(jì)超過50%的網(wǎng)絡(luò)及信息安全問題源于內(nèi)部人員所為，其次才是外部黑客的攻擊。由于內(nèi)網(wǎng)是一個(gè)由網(wǎng)絡(luò)設(shè)備與信息系統(tǒng)組成的復(fù)雜環(huán)境，連接便捷、應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多是其顯著特點(diǎn),如果疏于對內(nèi)網(wǎng)的安全防范,那么就極易出現(xiàn)應(yīng)用系統(tǒng)被非法使用、數(shù)據(jù)被竊取和被破壞等情況，因此注重內(nèi)網(wǎng)安全系統(tǒng)建設(shè)、有效防范源自內(nèi)部的安全問題，其意義較之于外網(wǎng)安全防范更為重大。目前，在我國的各個(gè)行業(yè)系統(tǒng)中，無論是涉及科學(xué)研究的大型研究所，還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲(chǔ)在計(jì)算機(jī)和網(wǎng)絡(luò)中，如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注!第一章軟件應(yīng)用的部署技術(shù)（一）部署技術(shù)概述什么是部署？簡單的說部署就是把設(shè)計(jì)好的程序或是硬件放到一定的環(huán)境系統(tǒng)中運(yùn)行，從而發(fā)揮它的作用，這就是部署。我所要研究的重點(diǎn)是網(wǎng)絡(luò)安全中的硬件部署，那么就離不開各種硬件配置、網(wǎng)絡(luò)環(huán)境、計(jì)算機(jī)的操作系統(tǒng)，下面我將詳細(xì)的作介紹。一硬件配置1防火墻所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組隙內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.2.網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。網(wǎng)關(guān)網(wǎng)關(guān)守護(hù)著企業(yè)網(wǎng)絡(luò)以防終端用戶被植入后門程序或病毒下載器。4還原卡硬盤還原卡，又稱電腦還原卡，使用創(chuàng)新的安全硬盤管理技術(shù)HDSafe，硬件級解決電腦教室的管理問題，具備強(qiáng)大的數(shù)據(jù)保護(hù)和還原功能是誤刪除、誤格式化、感染病毒等不希望發(fā)生的硬盤數(shù)據(jù)改變，在下一次開機(jī)時(shí)能夠瞬間還原。5磁盤陣列是利用數(shù)組方式來作磁盤組，配合數(shù)據(jù)分散排列的設(shè)計(jì)，提升數(shù)據(jù)的安全性。6WinPassCA證書服務(wù)器Win-PassCA證書服務(wù)器系統(tǒng)是PKI公共密鑰安全體系中的關(guān)鍵設(shè)備，注冊、簽發(fā)、管理和發(fā)布網(wǎng)絡(luò)系統(tǒng)中各種設(shè)備和用戶的證書，用于建立和保障網(wǎng)絡(luò)通信中的身份認(rèn)證和相互信任體系。7LanGate是基于專用芯片及專業(yè)網(wǎng)絡(luò)安全平臺(tái)的新一代整體網(wǎng)絡(luò)安全硬件產(chǎn)品。二網(wǎng)絡(luò)環(huán)境一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。因此針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對待的一個(gè)重要問題。網(wǎng)絡(luò)安全防范的重點(diǎn)主要有兩個(gè)方面：一是計(jì)算機(jī)病毒，二是黑客犯罪。

計(jì)算機(jī)病毒是我們大家都比較熟悉的一種危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪是指個(gè)別人利用計(jì)算機(jī)高科技手段，盜取密碼侵入他人計(jì)算機(jī)網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號購物等。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實(shí)保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟(jì)安全、國家經(jīng)濟(jì)秩序的穩(wěn)定問題，因此各級組織和部門必須給予高度重視。

三操作系統(tǒng)Windows2000Server的安全機(jī)制是建立在WindowsNT4．0提供的安全機(jī)制上的。Windows2000的安全模式使各組織可以與合作伙伴、供應(yīng)商以及在信任關(guān)系之上使用基于Internet技術(shù)的消費(fèi)者安全地交互。Windows2000的活動(dòng)目錄對用戶、組及計(jì)算機(jī)賬戶信息采用分層命名，存儲(chǔ)了所有的域安全策略和賬戶信息?？梢岳媒M策略編輯器設(shè)置各種功能，包括軟件設(shè)置、應(yīng)用程序配置選項(xiàng)、腳本、用戶設(shè)置、文檔選項(xiàng)及安全設(shè)置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標(biāo)準(zhǔn)安全協(xié)議的鑒別，采用Kerberos5作為默認(rèn)鑒別協(xié)議。它使用Internet安全協(xié)議IPSec。Windows2000使用基于Internet技術(shù)的虛擬專用網(wǎng)VPN，通過ISP，IIS及VPN服務(wù)器來建立Inter—net連接。可利用VPN通過公共網(wǎng)來傳輸專用網(wǎng)數(shù)據(jù)。此外，可利用Windows2000提供的加密文件系統(tǒng)EFS對文件進(jìn)行加密保護(hù)。數(shù)據(jù)庫系統(tǒng)的安全機(jī)制SQLServer的安全性與權(quán)限管理，數(shù)據(jù)庫安全性是用戶權(quán)限管理等方面的內(nèi)容，這種安全性以信息資源和信息資源的用戶為主要管理對象，一個(gè)用戶只要具有對某個(gè)對象的訪問權(quán)限，就可以對信息資源進(jìn)行操作。作為網(wǎng)絡(luò)操作系統(tǒng)上的服務(wù)，SQLServer的安全性還可以與操作系統(tǒng)的安全性建立某種聯(lián)系，這就是SQLServer的安全性模式。它有3種安全模式：標(biāo)準(zhǔn)安全、集成安全、混合安全。標(biāo)準(zhǔn)安全完全由SQLServer自身維護(hù)安全性，對所有連接采用SQLServer本身的登錄證實(shí)過程，通過使用LoginID和口令來訪問數(shù)據(jù)庫服務(wù)器。集成安全允許SQLServer用Windows2000的認(rèn)證機(jī)制來證實(shí)SQLServer的所有連接。混合安全使得SQLServ—er的用戶和Windows2000的用戶都可以獲得訪問數(shù)據(jù)庫的權(quán)限。當(dāng)然，可以不使用SQLServer自身的用戶管理，只允許Windows2000的用戶具有訪問數(shù)據(jù)庫的權(quán)限。在SQLServer中，權(quán)限分兩大級別：連接權(quán)、訪問權(quán)。連接權(quán)指是否可以訪問SQLServer，訪問權(quán)指是否可以查詢或修改數(shù)據(jù)庫。每一個(gè)網(wǎng)絡(luò)用戶在訪問SQLServer數(shù)據(jù)之前，必須使用一個(gè)win—dows2000的賬號或SQLServer的LoginID以及口令，與SQLServer建立連接，SQLServer的安全系統(tǒng)通過對用戶提供的登錄信息的驗(yàn)證決定是否允許這個(gè)用戶連接。在連接成功后，用戶還需要在每個(gè)數(shù)據(jù)庫中都有一個(gè)數(shù)據(jù)庫用戶賬號，或者是用戶別名，查詢或者修改數(shù)據(jù)時(shí)，SQLServer的安全系統(tǒng)根據(jù)這個(gè)賬號或者別名的權(quán)限決定是否允許用戶請求的操作。（二）內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程，在網(wǎng)絡(luò)平臺(tái)上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計(jì)算機(jī)集成制造(CIMS)或企業(yè)資源計(jì)劃(ERP)，逐步實(shí)現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問題解決鏈。在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認(rèn)識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時(shí)在安全性和費(fèi)用問題上形成一個(gè)相互對立的局面，如何在其中尋找到一個(gè)平衡點(diǎn)，也是眾多企業(yè)中普遍存在的焦點(diǎn)問題。由此可見，無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。內(nèi)部網(wǎng)絡(luò)更易受到攻擊為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。(2)在對Internet嚴(yán)防死守和物理隔離的措施下，對網(wǎng)絡(luò)的破壞，大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺(tái)，自然有更多的系統(tǒng)漏洞。(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計(jì)算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進(jìn)行操作，利用內(nèi)網(wǎng)速度快的特性，對關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴(yán)格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。(8)涉密信息不僅僅限于服務(wù)器，同時(shí)也分布于各個(gè)工作計(jì)算機(jī)中，目前對個(gè)人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。第二章：軟件應(yīng)用中常見的安全問題及解決辦法1黑客黑客（hacker），源于英語動(dòng)詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個(gè)人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識?！庇蛇@些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。“黑客”能使更多的網(wǎng)絡(luò)趨于完善和安全，他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。

另一種入侵者是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。他們往往做一些重復(fù)的工作（如用暴力法破解口令），他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當(dāng)然還有一種人兼于黑客與入侵者之間。

隨著互聯(lián)網(wǎng)上黑客病毒泛濫、信息恐怖、計(jì)算機(jī)犯罪等威脅日益嚴(yán)重，防火墻的攻破率不斷上升，在政府、軍隊(duì)、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國家安全、社會(huì)穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施。物理隔離網(wǎng)閘最早出現(xiàn)在美國、以色列等國家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。在電子政務(wù)建設(shè)中，我們會(huì)遇到安全域的問題，安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國家的秘密，但是涉及到本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指不涉及國家秘密也不涉及工作秘密，是一個(gè)向互聯(lián)網(wǎng)絡(luò)完全開放的公共信息交換空間。國家有關(guān)文件就嚴(yán)格規(guī)定，政務(wù)的內(nèi)網(wǎng)和政務(wù)的外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，互聯(lián)網(wǎng)就是公共服務(wù)域。國家有關(guān)研究機(jī)構(gòu)已經(jīng)研究了安全網(wǎng)閘技術(shù)，以后根據(jù)需求，還會(huì)有更好的網(wǎng)閘技術(shù)出現(xiàn)。通過安全網(wǎng)閘，把內(nèi)網(wǎng)和外網(wǎng)聯(lián)系起來；因此網(wǎng)閘成為電子政務(wù)信息系統(tǒng)必須配置的設(shè)備，由此開始，網(wǎng)閘產(chǎn)品與技術(shù)在我國快速興起，成為我國信息安全產(chǎn)業(yè)發(fā)展的一個(gè)新的增長點(diǎn)。2病毒、蠕蟲、特洛伊木馬病毒(n.)：以自我復(fù)制為明確目的編寫的代碼。病毒附著于宿主程序，然后試圖在計(jì)算機(jī)之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴(yán)重性分類（從Ebola病毒到普通的流感病毒）一樣，計(jì)算機(jī)病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會(huì)傳播。必須通過某個(gè)人共享文件和發(fā)送電子郵件來將它一起移動(dòng)。病毒是附著于程序或文件中的一段計(jì)算機(jī)代碼，它可在計(jì)算機(jī)之間傳播。它一邊傳播一邊感染計(jì)算機(jī)。病毒可損壞軟件、硬件和文件。蠕蟲(n.)：病毒的子類。通常，蠕蟲傳播無需用戶操作，并可通過網(wǎng)絡(luò)分發(fā)它自己的完整副本（可能有改動(dòng)）。蠕蟲會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計(jì)算機(jī)崩潰。蠕蟲的傳播不必通過“宿主”程序或文件，因此可潛入您的系統(tǒng)并允許其他人遠(yuǎn)程控制您的計(jì)算機(jī)。最近的蠕蟲示例包括Sasser蠕蟲和Blaster蠕蟲。與病毒相似，蠕蟲也是設(shè)計(jì)用來將自己從一臺(tái)計(jì)算機(jī)復(fù)制到另一臺(tái)計(jì)算機(jī)，但是它自動(dòng)進(jìn)行。首先，它控制計(jì)算機(jī)上可以傳輸文件或信息的功能。一旦您的系統(tǒng)感染蠕蟲，蠕蟲即可獨(dú)自傳播。最危險(xiǎn)的是，蠕蟲可大量復(fù)制。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計(jì)算機(jī)也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng)絡(luò)通信負(fù)擔(dān)沉重），使商業(yè)網(wǎng)絡(luò)和整個(gè)Internet的速度減慢。當(dāng)新的蠕蟲爆發(fā)時(shí)，它們傳播的速度非常快。它們堵塞網(wǎng)絡(luò)并可能導(dǎo)致您（以及其他每個(gè)人）等很長的時(shí)間才能查看Internet上的網(wǎng)頁。特洛伊木馬(n.)：一種表面上有用、實(shí)際上起破壞作用的計(jì)算機(jī)程序。一旦用戶禁不起誘惑打開了以為來自合法來源的程序，特洛伊木馬便趁機(jī)傳播。為了更好地保護(hù)用戶，Microsoft常通過電子郵件發(fā)出安全公告，但這些郵件從不包含附件。在用電子郵件將安全警報(bào)發(fā)送給客戶之前，我們也會(huì)在安全網(wǎng)站上公布所有安全警報(bào)。在神話傳說中，特洛伊木馬表面上是“禮物”，但實(shí)際上藏匿了襲擊特洛伊城的希臘士兵?，F(xiàn)在，特洛伊木馬是指表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序。最近的特洛伊木馬以電子郵件的形式出現(xiàn)，電子郵件包含的附件聲稱是Microsoft安全更新程序，但實(shí)際上是一些試圖禁用防病毒軟件和防火墻軟件的病毒?；诰W(wǎng)絡(luò)的防病毒

LanGate是網(wǎng)關(guān)級的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時(shí)是可在線升級的，可以實(shí)時(shí)更新病毒庫。

3網(wǎng)絡(luò)安全漏洞漏洞是存在于系統(tǒng)中的一個(gè)弱點(diǎn)或者缺點(diǎn)。廣義的漏洞是指非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。實(shí)際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如IBM兼容機(jī)的CMOS口令在CMOS的電池供電不足、不能供電或被移走情況下會(huì)丟失CMOS信息也是漏洞;操作系統(tǒng)、瀏覽器、TCP/IP、免費(fèi)電子郵箱等都存在漏洞。微軟對漏洞的明確定義：“漏洞是可以在攻擊過程中利用的弱點(diǎn)，可以是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或者配置不當(dāng)?shù)?。”漏洞掃描是一種自動(dòng)檢測計(jì)算機(jī)安全脆弱點(diǎn)的技術(shù)。掃描程序集中了已知的常用攻擊方法，針對系統(tǒng)可能存在的各種脆弱點(diǎn)進(jìn)行掃描，輸出掃描結(jié)果，以便審查人員分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。掃描程序還可以通過TCP/IP端口查詢，記錄目標(biāo)響應(yīng)的情況，收集相關(guān)的有用信息，以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。利用漏洞掃描技術(shù)可以快速地在大范圍內(nèi)發(fā)現(xiàn)已知的系統(tǒng)安全漏洞。網(wǎng)絡(luò)漏洞掃描系統(tǒng)是一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web服務(wù)器的各種TCP端口的分配、提供的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在互聯(lián)網(wǎng)上的安全漏洞，從而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時(shí)修補(bǔ)漏洞，構(gòu)筑堅(jiān)固的安全長城。4數(shù)據(jù)丟失如果使用過計(jì)算機(jī)或者管理過機(jī)房，您就可能會(huì)有這樣的經(jīng)歷，誤操作，不正常關(guān)機(jī)，Windows提示非法操作，遭遇神出鬼沒的病毒，以及學(xué)生的好奇和失誤導(dǎo)致的文件丟失、系統(tǒng)損毀等等。相信您對這些都會(huì)記憶猶新，我們覺得您有必要找一個(gè)專業(yè)維護(hù)人員，而不是由您親自維護(hù)每臺(tái)計(jì)算機(jī)，所以我們向您推薦硬盤還原卡。

只要將還原卡插入計(jì)算機(jī)，并且指定需要維護(hù)的數(shù)據(jù)區(qū)域，這樣您就能夠一勞永逸，任由學(xué)生刪除、格式化、安裝、卸載，盡最大可能地提供寬松的上機(jī)實(shí)驗(yàn)環(huán)境。因?yàn)閷δ鷣碚f，只要重新啟動(dòng)計(jì)算機(jī)，一切都會(huì)復(fù)原，硬盤還原卡讓從前的煩惱永遠(yuǎn)地成為了歷史。第三章：基于部署的軟件應(yīng)用安全技術(shù)一硬件防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問，對內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對服務(wù)器與外部網(wǎng)絡(luò)的訪問，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測的、潛在的破壞性侵入。防火墻基礎(chǔ)原理1、防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務(wù)。下面，我們將介紹這些手段的工作機(jī)理及特點(diǎn)，并介紹一些防火墻的主流產(chǎn)品。包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點(diǎn)是對用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進(jìn)行較為初步的安全控制，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024號以上的端口，使得安全性得到進(jìn)一步地提高。2、防火墻工作原理（1）包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

圖1：包過濾防火墻工作原理圖（2）應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對每個(gè)新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。（圖2）

圖2：應(yīng)用網(wǎng)關(guān)防火墻工作原理圖（3）狀態(tài)檢測防火墻狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對應(yīng)用是透明的，在此基礎(chǔ)上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。（圖3）

圖3：狀態(tài)檢測防火墻工作原理圖（4）復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對應(yīng)用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。（圖4）

圖4：復(fù)合型防火墻工作原理圖二網(wǎng)閘如今，網(wǎng)絡(luò)隔離技術(shù)已經(jīng)得到越來越多用戶的重視，重要的網(wǎng)絡(luò)和部門均開始采用隔離網(wǎng)閘產(chǎn)品來保護(hù)內(nèi)部網(wǎng)絡(luò)和關(guān)鍵點(diǎn)的基礎(chǔ)設(shè)施。目前世界上主要有三類隔離網(wǎng)閘技術(shù)，即SCSI技術(shù)，雙端口RAM技術(shù)和物理單向傳輸技術(shù)。SCSI是典型的拷盤交換技術(shù)，雙端口RAM也是模擬拷盤技術(shù)，物理單向傳輸技術(shù)則是二極管單向技術(shù)。本文就是和大家一起來探討物理隔離交換技術(shù)的應(yīng)用。網(wǎng)閘的概念網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對固態(tài)存儲(chǔ)介質(zhì)只有"讀"和"寫"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。物理隔離網(wǎng)閘應(yīng)用定位1)涉密網(wǎng)與非涉密網(wǎng)之間：2)局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）：有些局域網(wǎng)絡(luò)，特別是政府辦公網(wǎng)絡(luò)，涉及政府敏感信息，有時(shí)需要與互聯(lián)網(wǎng)在物理上斷開，用物理隔離網(wǎng)閘是一個(gè)常用的辦法。3)辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間：由于辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)的信息敏感程度不同，例如，銀行的辦公網(wǎng)絡(luò)和銀行業(yè)務(wù)網(wǎng)絡(luò)就是很典型的信息敏感程度不同的兩類網(wǎng)絡(luò)。為了提高工作效率，辦公網(wǎng)絡(luò)有時(shí)需要與業(yè)務(wù)網(wǎng)絡(luò)交換信息。為解決業(yè)務(wù)網(wǎng)絡(luò)的安全，比較好的辦法就是在辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間使用物理隔離網(wǎng)閘，實(shí)現(xiàn)兩類網(wǎng)絡(luò)的物理隔離。4)電子政務(wù)的內(nèi)網(wǎng)與專網(wǎng)之間：在電子政務(wù)系統(tǒng)建設(shè)中要求政府內(nèi)望與外網(wǎng)之間用邏輯隔離，在政府專網(wǎng)與內(nèi)網(wǎng)之間用物理隔離?，F(xiàn)常用的方法是用物理隔離網(wǎng)閘來實(shí)現(xiàn)。5）業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間：電子商務(wù)網(wǎng)絡(luò)一邊連接著業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器，一邊通過互聯(lián)網(wǎng)連接著廣大民眾。為了保障業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器的安全，在業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間應(yīng)實(shí)現(xiàn)物理隔離。三網(wǎng)關(guān)管道網(wǎng)關(guān)

管道是通過不兼容的網(wǎng)絡(luò)區(qū)域傳輸數(shù)據(jù)的比較通用的技術(shù)。數(shù)據(jù)分組被封裝在可以被傳輸網(wǎng)絡(luò)識別的幀中，到達(dá)目的地時(shí)，接收主機(jī)解開封裝，把封裝信息丟棄，這樣分組就被恢復(fù)到了原先的格式。

管道技術(shù)只能用于3層協(xié)議，從SNA到IPv6。雖然管道技術(shù)有能夠克服特定網(wǎng)絡(luò)拓?fù)湎拗频膬?yōu)點(diǎn)，它也有缺點(diǎn)。管道的本質(zhì)可以隱藏不該接受的分組，簡單來說，管道可以通過封裝來攻破防火墻，把本該過濾掉的數(shù)據(jù)傳給私有的網(wǎng)絡(luò)區(qū)域。

專用網(wǎng)關(guān)

很多的專用網(wǎng)關(guān)能夠在傳統(tǒng)的大型機(jī)系統(tǒng)和迅速發(fā)展的分布式處理系統(tǒng)間建立橋梁。典型的專用網(wǎng)關(guān)用于把基于PC的客戶端連到局域網(wǎng)邊緣的轉(zhuǎn)換器。該轉(zhuǎn)換器通過X.25網(wǎng)絡(luò)提供對大型機(jī)系統(tǒng)的訪問。shoO

這些網(wǎng)關(guān)通常是需要安裝在連接到局域網(wǎng)的計(jì)算機(jī)上的便宜、單功能的電路板，這使其價(jià)格很低且很容易升級。2層協(xié)議網(wǎng)關(guān)

2層協(xié)議網(wǎng)關(guān)提供局域網(wǎng)到局域網(wǎng)的轉(zhuǎn)換，它們通常被稱為翻譯網(wǎng)橋而不是協(xié)議網(wǎng)關(guān)。在使用不同幀類型或時(shí)鐘頻率的局域網(wǎng)間互連可能就需要這種轉(zhuǎn)換。安全網(wǎng)關(guān)

安全網(wǎng)關(guān)是各種技術(shù)有趣的融合，具有重要且獨(dú)特的保護(hù)作用，其范圍從協(xié)議級過濾到十分復(fù)雜的應(yīng)用級過濾1、包過濾器

包過濾是安全映射最基本的形式，路由軟件可根據(jù)包的源地址、目的地址或端口號建立許可權(quán)，對眾所周知的端口號的過濾可以阻止或允許網(wǎng)際協(xié)議如FTP、rlogin等。過濾器可對進(jìn)入和/或流出的數(shù)據(jù)操作，在網(wǎng)絡(luò)層實(shí)現(xiàn)過濾意味著路由器可以為所有應(yīng)用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分，這種過濾可在任何可路由的網(wǎng)絡(luò)中自由使用，但不要把它誤解為萬能的，包過濾有很多弱點(diǎn)，但總比沒有好。

包過濾很難做好，尤其當(dāng)安全需求定義得不好且不細(xì)致的時(shí)候更是如此。這種過濾也很容易被攻破。包過濾比較每個(gè)數(shù)據(jù)包，基于包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定，這種技術(shù)存在許多潛在的弱點(diǎn)。首先，它直接依賴路由器管理員正確地編制權(quán)限集，這種情況下，拼寫的錯(cuò)誤是致命的，可以在防線中造成不需要任何特殊技術(shù)就可以攻破的漏洞。即使管理員準(zhǔn)確地設(shè)計(jì)了權(quán)限，其邏輯也必須毫無破綻才行。雖然設(shè)計(jì)路由似乎很簡單，但開發(fā)和維護(hù)一長套復(fù)雜的權(quán)限也是很麻煩的，必須根據(jù)防火墻的權(quán)限集理解和評估每天的變化，新添加的服務(wù)器如果沒有明確地被保護(hù)，可能就會(huì)成為攻破點(diǎn)。

隨著時(shí)間的推移，訪問權(quán)限的查找會(huì)降低路由器的轉(zhuǎn)發(fā)速度。每當(dāng)路由器收到一個(gè)分組，它必須識別該分組要到達(dá)目的地需經(jīng)由的下一跳地址，這必將伴隨著另一個(gè)很耗費(fèi)CPU的工作：檢查訪問列表以確定其是否被允許到達(dá)該目的地。訪問列表越長，此過程要花的時(shí)間就越多。

包過濾的第二個(gè)缺陷是它認(rèn)為包頭信息是有效的，無法驗(yàn)證該包的源頭。頭信息很容易被精通網(wǎng)絡(luò)的人篡改，這種篡改通常稱為“欺騙”。

包過濾的種種弱點(diǎn)使它不足以保護(hù)你的網(wǎng)絡(luò)資源，最好與其它更復(fù)雜的過濾機(jī)制聯(lián)合使用，而不要單獨(dú)使用。

2、鏈路網(wǎng)關(guān)

鏈路級網(wǎng)關(guān)對于保護(hù)源自私有、安全的網(wǎng)絡(luò)環(huán)境的請求是很理想的。這種網(wǎng)關(guān)攔截TCP請求，甚至某些UDP請求，然后代表數(shù)據(jù)源來獲取所請求的信息。該代理服務(wù)器接收對萬維網(wǎng)上的信息的請求，并代表數(shù)據(jù)源完成請求。實(shí)際上，此網(wǎng)關(guān)就象一條將源與目的連在一起的線，但使源避免了穿過不安全的網(wǎng)絡(luò)區(qū)域所帶來的風(fēng)險(xiǎn)。

3、應(yīng)用網(wǎng)關(guān)

應(yīng)用網(wǎng)關(guān)是包過濾最極端的反面。包過濾實(shí)現(xiàn)的是對所有穿過網(wǎng)絡(luò)層包過濾設(shè)備的數(shù)據(jù)的通用保護(hù)，而應(yīng)用網(wǎng)關(guān)在每個(gè)需要保護(hù)的主機(jī)上放置高度專用的應(yīng)用軟件，它防止了包過濾的陷阱，實(shí)現(xiàn)了每個(gè)主機(jī)的堅(jiān)固的安全。

應(yīng)用網(wǎng)關(guān)的一個(gè)例子是病毒掃描器，這種專用軟件已經(jīng)成了桌面計(jì)算的主要產(chǎn)品之一。它在啟動(dòng)時(shí)調(diào)入內(nèi)存并駐留在后臺(tái)，持續(xù)地監(jiān)視文件不受已知病毒的感染，甚至是系統(tǒng)文件的改變。病毒掃描器被設(shè)計(jì)用于在危害可能產(chǎn)生前保護(hù)用戶不受到病毒的潛在損害。

這種保護(hù)級別不可能在網(wǎng)絡(luò)層實(shí)現(xiàn)，那將需要檢查每個(gè)分組的內(nèi)容，驗(yàn)證其來源，確定其正確的網(wǎng)絡(luò)路徑，并確定其內(nèi)容是有意義的還是欺騙性的。這一過程將產(chǎn)生無法負(fù)擔(dān)的過載，嚴(yán)重影響網(wǎng)絡(luò)性能。

4、組合過濾網(wǎng)關(guān)

使用組合過濾方案的網(wǎng)關(guān)通過冗余、重疊的過濾器提供相當(dāng)堅(jiān)固的訪問控制，可以包括包、鏈路和應(yīng)用級的過濾機(jī)制。這樣的安全網(wǎng)關(guān)最普通的實(shí)現(xiàn)是象崗哨一樣保護(hù)私有網(wǎng)段邊緣的出入點(diǎn)，通常稱為邊緣網(wǎng)關(guān)或防火墻。這一重要的責(zé)任通常需要多種過濾技術(shù)以提供足夠的防衛(wèi)。下圖所示為由兩個(gè)組件構(gòu)成的安全網(wǎng)關(guān)：一個(gè)路由器和一個(gè)處理機(jī)。結(jié)合在一起后，它們可以提供協(xié)議、鏈路和應(yīng)用級保護(hù)。

這種專用的網(wǎng)關(guān)不象其它種類的網(wǎng)關(guān)一樣，需要提供轉(zhuǎn)換功能。作為網(wǎng)絡(luò)邊緣的網(wǎng)關(guān)，它們的責(zé)任是控制出入的數(shù)據(jù)流。顯然的，由這種網(wǎng)關(guān)聯(lián)接的內(nèi)網(wǎng)與外網(wǎng)都使用IP協(xié)議，因此不需要做協(xié)議轉(zhuǎn)換，過濾是最重要的。

保護(hù)內(nèi)網(wǎng)不被非授權(quán)的外部網(wǎng)絡(luò)訪問的原因是顯然的?？刂葡蛲庠L問的原因就不那么明顯了。在某些情況下，是需要過濾發(fā)向外部的數(shù)據(jù)的。例如，用戶基于瀏覽的增值業(yè)務(wù)可能產(chǎn)生大量的WAN流量，如果不加控制，很容易影響網(wǎng)絡(luò)運(yùn)載其它應(yīng)用的能力，因此有必要全部或部分地阻塞此類數(shù)據(jù)。

聯(lián)網(wǎng)的主要協(xié)議IP是個(gè)開放的協(xié)議，它被設(shè)計(jì)用于實(shí)現(xiàn)網(wǎng)段間的通信。這既是其主要的力量所在，同時(shí)也是其最大的弱點(diǎn)。為兩個(gè)IP網(wǎng)提供互連在本質(zhì)上創(chuàng)建了一個(gè)大的IP網(wǎng)，保衛(wèi)網(wǎng)絡(luò)邊緣的衛(wèi)士--防火墻--的任務(wù)就是在合法的數(shù)據(jù)和欺騙性數(shù)據(jù)之間進(jìn)行分辨。

5、實(shí)現(xiàn)中的考慮

實(shí)現(xiàn)一個(gè)安全網(wǎng)關(guān)并不是個(gè)容易的任務(wù),其成功靠需求定義、仔細(xì)設(shè)計(jì)及無漏洞的實(shí)現(xiàn)。首要任務(wù)是建立全面的規(guī)則，在深入理解安全和開銷的基礎(chǔ)上定義可接受的折衷方案，這些規(guī)則建立了安全策略。

安全策略可以是寬松的、嚴(yán)格的或介于二者之間。在一個(gè)極端情況下，安全策略的基始承諾是允許所有數(shù)據(jù)通過，例外很少，很易管理，這些例外明確地加到安全體制中。這種策略很容易實(shí)現(xiàn)，不需要預(yù)見性考慮，保證即使業(yè)余人員也能做到最小的保護(hù)。另一個(gè)極端則極其嚴(yán)格，這種策略要求所有要通過的數(shù)據(jù)明確指出被允許，這需要仔細(xì)、著意的設(shè)計(jì)，其維護(hù)的代價(jià)很大，但是對網(wǎng)絡(luò)安全有無形的價(jià)值。從安全策略的角度看，這是唯一可接受的方案。在這兩種極端之間存在許多方案，它們在易于實(shí)現(xiàn)、使用和維護(hù)代價(jià)之間做出了折衷，正確的權(quán)衡需要對危險(xiǎn)和代價(jià)做出仔細(xì)的評估。四DMZDMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。

一般網(wǎng)絡(luò)分成內(nèi)網(wǎng)和外網(wǎng)，也就是LAN和WAN,那么，當(dāng)你有1臺(tái)物理位置上的1臺(tái)服務(wù)器，需要被外網(wǎng)訪問，并且，也被內(nèi)網(wǎng)訪問的時(shí)候，那么，有2種方法，一種是放在LAN中，一種是放在DMZ。因?yàn)榉阑饓δJ(rèn)情況下，是為了保護(hù)內(nèi)網(wǎng)的，所以，一般的策略是禁止外網(wǎng)訪問內(nèi)網(wǎng)，許可內(nèi)網(wǎng)訪問外網(wǎng)。但如果這個(gè)服務(wù)器能被外網(wǎng)所訪問，那么，就意味著這個(gè)服務(wù)器已經(jīng)處于不可信任的狀態(tài)，那么，這個(gè)服務(wù)器就不能（主動(dòng)）訪問內(nèi)網(wǎng)。

構(gòu)建DMZ的策略1.內(nèi)網(wǎng)可以訪問外網(wǎng)

內(nèi)網(wǎng)的用戶顯然需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要進(jìn)行源地址轉(zhuǎn)換。2.內(nèi)網(wǎng)可以訪問DMZ

此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。3.外網(wǎng)不能訪問內(nèi)網(wǎng)

很顯然，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問。4.外網(wǎng)可以訪問DMZ

DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的，所以外網(wǎng)必須可以訪問DMZ。同時(shí)，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。5.DMZ不能訪問內(nèi)網(wǎng)

很明顯，如果違背此策略，則當(dāng)入侵者攻陷DMZ時(shí)，就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。6.DMZ不能訪問外網(wǎng)

此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪問外網(wǎng)，否則將不能正常工作。DMZ的實(shí)現(xiàn)根據(jù)以上訪問控制策略可以設(shè)定Linux防火墻的過濾規(guī)則。下面將在一個(gè)虛構(gòu)的網(wǎng)絡(luò)環(huán)境中，探討如何根據(jù)以上六條訪問控制策略建立相應(yīng)的防火墻過濾規(guī)則。這里的討論和具體應(yīng)用會(huì)有所區(qū)別，不過這種討論將有助于實(shí)際應(yīng)用。用戶在實(shí)際應(yīng)用時(shí)可根據(jù)具體的情況進(jìn)行設(shè)置。該虛擬環(huán)境的網(wǎng)絡(luò)拓?fù)淙鐖D1。如圖1所示，路由器連接Internet和防火墻。作為防火墻的Linux服務(wù)器使用三塊網(wǎng)卡：網(wǎng)卡eth0與路由器相連，網(wǎng)卡eth1與DMZ區(qū)的Hub相連，網(wǎng)卡eth2與內(nèi)網(wǎng)Hub相連。作為一個(gè)抽象的例子，我們用“[內(nèi)網(wǎng)地址]”來代表“/24”之類的具體數(shù)值。同理還有“[外網(wǎng)地址]”和“[DMZ地址]”。

所以，如果服務(wù)器放在內(nèi)網(wǎng)（通過端口重定向讓外網(wǎng)訪問），一旦這個(gè)服務(wù)器被攻擊，則內(nèi)網(wǎng)將會(huì)處于非常不安全的狀態(tài)。

但DMZ就是為了讓外網(wǎng)能訪問內(nèi)部的資源，也就是這個(gè)服務(wù)器，而內(nèi)網(wǎng)呢，也能訪問這個(gè)服務(wù)器，但這個(gè)服務(wù)器是不能主動(dòng)訪問內(nèi)網(wǎng)的。

DMZ就是這樣的一個(gè)區(qū)域。為了讓物理位置在內(nèi)網(wǎng)的，并且，希望能被外網(wǎng)所訪問的這樣的一個(gè)區(qū)域。五還原卡工作原理還原卡的主體是一種硬件芯片，插在主板上與硬盤的MBR（主引導(dǎo)扇區(qū)）協(xié)同工作。大部分還原卡的原理都差不多，其加載驅(qū)動(dòng)的方式十分類似DOS下的引導(dǎo)型病毒：接管BIOS的INT13中斷，將FAT、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時(shí)儲(chǔ)存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表；再另外將FAT信息保存到臨時(shí)儲(chǔ)存單元中，用來應(yīng)付我們對硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間，然后將我們修改的數(shù)據(jù)保存到其中。每當(dāng)我們向硬盤寫入數(shù)據(jù)時(shí)，其實(shí)還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于保護(hù)卡接管INT13，當(dāng)發(fā)現(xiàn)寫操作時(shí)，便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤空間，并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當(dāng)我們讀取數(shù)據(jù)時(shí)，和寫操作相反，當(dāng)某程序訪問某文件時(shí)，保護(hù)卡先在第二份備份的FAT中查找相關(guān)文件，如果是啟動(dòng)后修改過的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫入數(shù)據(jù)相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉。硬盤還原卡是一種基于硬件的硬盤保護(hù)系統(tǒng)，跟還原軟件的作用相同都是在系統(tǒng)損壞或數(shù)據(jù)丟失時(shí)及時(shí)恢復(fù)。還原卡將計(jì)算機(jī)的系統(tǒng)分區(qū)或其他需要保護(hù)的分區(qū)保護(hù)起來，用戶可以將還原卡設(shè)定為下次啟動(dòng)或過一定的時(shí)間后對系統(tǒng)進(jìn)行自動(dòng)還原，這樣，在此期間內(nèi)對系統(tǒng)所作的修改將不復(fù)存在，免去了系統(tǒng)每使用一段時(shí)間后就由于種種原因造成系統(tǒng)紊亂、經(jīng)常出現(xiàn)死機(jī)而不得不再次重裝系統(tǒng)之苦。計(jì)算機(jī)系統(tǒng)恢復(fù)時(shí)的操作更加方便，只需重啟一下計(jì)算機(jī)即可，并且還原卡的保護(hù)效果也遠(yuǎn)遠(yuǎn)的好于軟件還原，能防止各種病毒的侵襲。還原卡的原理是在操作系統(tǒng)啟動(dòng)之前獲得機(jī)器的控制權(quán)。用戶對硬盤的操作，實(shí)際上不是對原來數(shù)據(jù)的修改，而是對還原卡保留區(qū)進(jìn)行操作，從而達(dá)到對系統(tǒng)數(shù)據(jù)保護(hù)的功能。具體來說：

（一）控制權(quán)的獲得

要得到控制權(quán)就要求還原卡里的程序趕在操作系統(tǒng)引導(dǎo)以前運(yùn)行。計(jì)算機(jī)的啟動(dòng)過程是在BIOS（基本輸入輸出系統(tǒng)）的控制下進(jìn)行的。BIOS是直接與硬件打交道的底層代碼，它為操作系統(tǒng)提供了控制硬件設(shè)備的基本功能。BIOS包括有系統(tǒng)BIOS（即常說的主板BIOS）、顯卡BIOS和其它設(shè)備（例如IDE控制器、SCSI卡或網(wǎng)卡等）的BIOS，BIOS一般被存放在ROM(只讀存儲(chǔ)芯片)之中，即使在關(guān)機(jī)或掉電以后，這些代碼也不會(huì)消失。而絕大部分硬件還原卡程序正是駐留在網(wǎng)卡的BIOS里。計(jì)算機(jī)的啟動(dòng)過程是這樣的，當(dāng)按下電源開關(guān)時(shí)，電源開始向主板和其它設(shè)備供電，這時(shí)CPU從固定的內(nèi)存地址開始執(zhí)行一條跳轉(zhuǎn)指令，跳到系統(tǒng)BlOS中真正的啟動(dòng)代碼處裝載系統(tǒng)BlOS程序。接著系統(tǒng)BIOS的啟動(dòng)代碼首先要做的事情就是進(jìn)行POST(加電后自檢)，POST的主要任務(wù)是檢測系統(tǒng)中一些關(guān)鍵設(shè)備是否存在和能否正常工作。接下來BIOS將查找顯卡的BlOS，對顯卡進(jìn)行初始化工作。查找網(wǎng)卡等其它BIOS并裝載運(yùn)行之。還原卡上的程序正是利用這個(gè)時(shí)機(jī)將自己裝載到內(nèi)存中的特定地址。緊接著是對CPU、內(nèi)存等一系列設(shè)備的測試。系統(tǒng)BlOS的啟動(dòng)代碼的最后一項(xiàng)工作就是讀取并執(zhí)行硬盤上的主引導(dǎo)記錄里的主引導(dǎo)程序。我們看到還原卡程序是在硬盤啟動(dòng)前得到了機(jī)器的控制權(quán)，從而達(dá)到對計(jì)算機(jī)運(yùn)行時(shí)硬盤的全程監(jiān)控。

（二）對數(shù)據(jù)保護(hù)

我們先來看看是什么改變和破壞了硬盤內(nèi)的數(shù)據(jù)。首先是用戶的修改和刪除數(shù)據(jù)，其次是計(jì)算機(jī)病毒的影響。我們引用較為普遍計(jì)算機(jī)病毒定義：計(jì)算機(jī)病毒是一種人為制造的、隱藏在計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)資源中的、能夠自我復(fù)制進(jìn)行傳播的程序?？梢娪脩艉筒《緦?shù)據(jù)的改變都是通過寫操作和刪除操作引起的，而還原卡正是通過對這兩項(xiàng)操作加以影響而達(dá)到對硬盤數(shù)據(jù)的保護(hù)的。操作物理機(jī)的最低層是ROMBIOS，而層次越低適用范圍越廣，因?yàn)樯蠈佣家{(diào)用它。因此截取到ROMBIOS的硬盤讀寫例程，就能攔截到系統(tǒng)運(yùn)行時(shí)所有的硬盤讀寫操作。而ROMBIOS的程序是由許多中斷程序所組成，完成硬盤操作的中斷是INTl3，因此還原卡程序啟動(dòng)后的第一件工作便是查找到系統(tǒng)BlOS的中斷向量表，用自己的INTl3程序替換掉原有的INTl3程序。來達(dá)到對硬盤讀寫的攔截。

那么還原卡程序如何通過攔截INTl3來達(dá)到對硬盤的保護(hù)呢?還原卡程序接管BIOS的INT13中斷，將FAT（文件分配表）、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時(shí)儲(chǔ)存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表，再另外將FAT信息保存到臨時(shí)儲(chǔ)存單元中，用來應(yīng)付我們對硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間作為保留區(qū)，然后將我們修改的數(shù)據(jù)保存到其中。

每當(dāng)我們向硬盤寫入數(shù)據(jù)時(shí)，其實(shí)還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于還原卡接管INT13，當(dāng)發(fā)現(xiàn)寫操作時(shí)，便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤空間，并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當(dāng)我們讀取數(shù)據(jù)時(shí)，和寫操作相反，先在第二份備份的FAT中查找相關(guān)文件，如果是啟動(dòng)后修改過的，便在重新定向的空間中讀取，否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫入數(shù)據(jù)相同，就是將文件的FAT記錄從第二份備份的FAT中刪除掉?？梢娺€原卡的主要功能就是改變原有讀寫數(shù)據(jù)的地址。使其對原有數(shù)據(jù)的讀寫轉(zhuǎn)向到對保留區(qū)里的數(shù)據(jù)進(jìn)行操作，而并沒有對數(shù)據(jù)存在的原有地址進(jìn)行讀寫，從而達(dá)到對原有數(shù)據(jù)的保護(hù)七LangateLanGate是網(wǎng)關(guān)級的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時(shí)是可在線升級的，可以實(shí)時(shí)更新病毒庫。基于用戶策略的安全管理

整個(gè)網(wǎng)絡(luò)安全服務(wù)策略可以基于用戶進(jìn)行管理，相比傳統(tǒng)的基于IP的管理方式，提供了更大的靈活性。

防火墻功能

LanGate系列產(chǎn)品防火墻都是基于狀態(tài)檢測技術(shù)的，保護(hù)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)免遭來自Internet的攻擊。防火墻通過“外->內(nèi)”、“內(nèi)->外”?ⅰ澳?->內(nèi)”（子網(wǎng)或虛擬子網(wǎng)之間）的接口設(shè)置，提供了全面的安全控制策略。

VPN功能

LanGate支持IPSec、PPTP及L2TP的VPN網(wǎng)絡(luò)傳輸隧道。內(nèi)容過濾功能

LanGate的內(nèi)容過濾不同于傳統(tǒng)的基于主機(jī)系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品。LanGate設(shè)備是網(wǎng)關(guān)級的內(nèi)容過濾，是基于專用芯片硬件技術(shù)實(shí)現(xiàn)的。LanGate專用芯片內(nèi)容處理器包括功能強(qiáng)大的特征掃描引擎，能使很大范圍類型的內(nèi)容與成千上萬種關(guān)鍵詞或其它模式的特征相匹配。具有根據(jù)關(guān)鍵字、URL或腳本語言等不同類型內(nèi)容的過濾，還提供了免屏蔽列表和組合關(guān)鍵詞過濾的功能。同時(shí)，LanGate還能對郵件、聊天工具進(jìn)行過濾及屏蔽。

入侵檢測功能

LanGate內(nèi)置的網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）是一種實(shí)時(shí)網(wǎng)絡(luò)入侵檢測傳感器，它能對外界各種可疑的網(wǎng)絡(luò)活動(dòng)進(jìn)行識別及采取行動(dòng)。IDS使用攻擊特征庫來識別過千種的網(wǎng)絡(luò)攻擊。同時(shí)LanGate將每次攻擊記錄到系統(tǒng)日志里，并根據(jù)設(shè)置發(fā)送報(bào)警郵件或短信給網(wǎng)絡(luò)管理員。

垃圾郵件過濾防毒功能

包括：

對SMTP服務(wù)器的IP進(jìn)行黑白名單的識別

垃圾郵件指紋識別

實(shí)時(shí)黑名單技術(shù)

對所有的郵件信息病毒掃描

帶寬控制（QoS）

LanGate為網(wǎng)絡(luò)管理者提供了監(jiān)測和管理網(wǎng)絡(luò)帶寬的手段，可以按照用戶的需求對帶寬進(jìn)行控制，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運(yùn)行。帶寬管理可自定義優(yōu)先級，確保對于流量要求苛刻的企業(yè)，最大限度的滿足網(wǎng)絡(luò)管理的需求。

系統(tǒng)報(bào)表和系統(tǒng)自動(dòng)警告

LanGate系統(tǒng)內(nèi)置詳細(xì)直觀的報(bào)表，對網(wǎng)絡(luò)安全進(jìn)行全方位的實(shí)時(shí)統(tǒng)計(jì)，用戶可以自定義閥值，所有超過閥值的事件將自動(dòng)通知管理管理人員，通知方式有Email及短信方式（需結(jié)合短信網(wǎng)關(guān)使用）。

多鏈路雙向負(fù)載均衡

提供了進(jìn)出流量的多鏈路負(fù)載均衡，支持自動(dòng)檢測和屏蔽故障多出口鏈路，同時(shí)還支持多種靜態(tài)和動(dòng)態(tài)算法智能均衡多個(gè)ISP鏈路的流量。支持多鏈路動(dòng)態(tài)冗余，流量比率和智能切換；支持基于每條鏈路限制流量大??；支持多種DNS解析和規(guī)劃方式，適合各種用戶網(wǎng)絡(luò)環(huán)境；支持防火墻負(fù)載均衡。

：實(shí)證研究及結(jié)論，實(shí)證問題概述網(wǎng)絡(luò)安全技術(shù)是當(dāng)前信息化應(yīng)用的重中之重，其實(shí)現(xiàn)方式通常包括硬件和軟件兩種，本題目主要以《鐵道部貨檢集中監(jiān)控系統(tǒng)技術(shù)條件》為需求，研究軟件應(yīng)用安全的主要問題、基于部署的主要解決方案，目前，哈爾濱鐵路局機(jī)房啟用了4臺(tái)服務(wù)器，承擔(dān)著中間站網(wǎng)絡(luò)的運(yùn)行（貨運(yùn)站及貨運(yùn)處網(wǎng)站）。經(jīng)過幾年來的運(yùn)行，數(shù)據(jù)量不斷增大，子系統(tǒng)不斷增加，導(dǎo)致信息冗余加劇。加之鐵道部使用的應(yīng)用平臺(tái)沒有經(jīng)過專業(yè)測試，未能判斷程序間的兼容性，在與鐵路局信息互訪、統(tǒng)一辦公過程中，各方面數(shù)據(jù)相互沖突，網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)互訪、信息鏈接、數(shù)據(jù)冗余沒有經(jīng)過系統(tǒng)劃分，雜亂無章，造成了應(yīng)用程序混亂，從而導(dǎo)致系統(tǒng)響應(yīng)緩慢，鏈接失敗，站段不能正常上傳信息，進(jìn)而影響了整體路局的網(wǎng)絡(luò)辦公體系。隨著計(jì)算機(jī)的不斷升級換代，網(wǎng)絡(luò)應(yīng)用的不斷深入，毋庸置疑，局域網(wǎng)已經(jīng)成為信息傳遞的重要載體和平臺(tái)?？蛻舳说牟粩嘣黾樱畔⒒难杆侔l(fā)展，數(shù)據(jù)庫的不斷升級擴(kuò)容，100Mbit/s已經(jīng)不能滿足現(xiàn)行網(wǎng)絡(luò)大量傳輸。因此，信息鏈路的簡潔化實(shí)施已經(jīng)迫在眉睫，必須改造網(wǎng)絡(luò)的端口速率，調(diào)整各自應(yīng)用平臺(tái)，確保正常辦公。根據(jù)哈爾濱電子所機(jī)房實(shí)地考察，從網(wǎng)絡(luò)分布、硬件及配置、軟件現(xiàn)狀三個(gè)方面作以簡要描述。鐵路局八臺(tái)服務(wù)器物理分布（如圖1所示）。中間站為服務(wù)器1、服務(wù)器2、服務(wù)器3、服務(wù)器4；鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)為服務(wù)器5（鐵道部規(guī)章）、服務(wù)器6；報(bào)價(jià)系統(tǒng)為服務(wù)器7、服務(wù)器8。發(fā)現(xiàn)問題：在月初和月末文件傳輸當(dāng)中出現(xiàn)無法上傳、網(wǎng)絡(luò)響應(yīng)慢或者鏈接超時(shí)，引起各站段不能正常辦公。網(wǎng)絡(luò)分布圖1：網(wǎng)絡(luò)簡易圖硬件及配置1、服務(wù)器服務(wù)器計(jì)算機(jī)名用戶名/口令remontecontrol口令配置參數(shù)中間站服務(wù)器一ZJZ-1administratorhebhyctoechebtoec134C2.66G/R8G/H146*2服務(wù)器二ZJZ-2administratorhebhyctoechebtoecC2.66G/R8G/H146*3服務(wù)器三ZJZ-3administratorhebhyctoechebtoec137C2.66G/R8G/H146*3服務(wù)器四（數(shù)據(jù)庫）hyc-web.hyc.dnsadministratorhycwz0802C3.2G/R4G/H73*4危險(xiǎn)品及鐵道部規(guī)章服務(wù)器五hebhycadministrator缺hebtoecC3.2G/R8G/H73*4服務(wù)器六（新增）hebhycadministratorhebwxptoec空C3.0G/R8G/H146*3保價(jià)系統(tǒng)服務(wù)器七h(yuǎn)ebbj1administratorhebbjhebhyaqC3.0G/R8G/H146*3服務(wù)器八hebbj2administratorhebbjhebhyaqC3.0G/R8G/H146*32、網(wǎng)絡(luò)設(shè)備設(shè)備名稱參數(shù)用戶名/密碼備注負(fù)載均衡AIP:9VIP:0admin/admin中間站使用路由模式負(fù)載均衡BIP:9VIP:0admin/admin中間站備用路由模式負(fù)載均衡CIP:6VIP:7admin/admin危險(xiǎn)品使用交換機(jī)24口百兆+2口千兆，背板帶寬4.4GLAN交換24口百兆交換機(jī)，背板帶寬2.4GWAN交換軟件現(xiàn)狀服務(wù)器IP地址應(yīng)用備注服務(wù)器1貨運(yùn)站系統(tǒng)，其中包括貨運(yùn)站網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、人力資源、培訓(xùn)考核。，貨運(yùn)處系統(tǒng)包括貨運(yùn)處網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁服務(wù)器1：貨運(yùn)處管理系統(tǒng)、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、培訓(xùn)教材、技術(shù)表演賽。服務(wù)器2：設(shè)備專用線系統(tǒng)中的“設(shè)備圖形”文件及FTP文件服務(wù)器2服務(wù)器33服務(wù)器410貨運(yùn)站系統(tǒng)、貨運(yùn)處系統(tǒng)、各子系統(tǒng)的數(shù)據(jù)庫SQL數(shù)據(jù)庫服務(wù)器511鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)及鐵道部危險(xiǎn)品數(shù)據(jù)庫服務(wù)器5：鐵道部危險(xiǎn)品數(shù)據(jù)庫SQL,規(guī)章數(shù)據(jù)庫Oracle服務(wù)器65服務(wù)器711保價(jià)系統(tǒng)服務(wù)器812（二）、需要解決的主要問題硬件分析整體網(wǎng)絡(luò)物理分布位置不統(tǒng)一。數(shù)據(jù)庫與應(yīng)用服務(wù)器分布在不同機(jī)房，中間鏈接無法確認(rèn)，使得應(yīng)用服務(wù)器訪問數(shù)據(jù)庫需要經(jīng)過N個(gè)接點(diǎn)，出現(xiàn)冗余信息影響網(wǎng)絡(luò)正常通信，加大了訪問時(shí)間。為滿足日益增加的各站段數(shù)據(jù)錄入，數(shù)據(jù)處理的需求，我們曾將中間站3臺(tái)服務(wù)器部署成集群模式，以提高服務(wù)器的性能。但因長期數(shù)據(jù)積累，信息量大，使得百兆的交換機(jī)無法滿足當(dāng)前的應(yīng)用環(huán)境，即使在集群模式下也會(huì)出現(xiàn)端口瓶頸，引起網(wǎng)絡(luò)阻塞，導(dǎo)致網(wǎng)絡(luò)頁面響應(yīng)緩慢、延遲及無法響應(yīng)等現(xiàn)象。危險(xiǎn)品數(shù)據(jù)庫（服務(wù)器5）、中間站數(shù)據(jù)庫（服務(wù)器4）硬盤空間不足。服務(wù)器型號老，接口不統(tǒng)一，擴(kuò)充能力差，無法滿足后期應(yīng)用需求。軟件分析中間站三臺(tái)服務(wù)器安裝的應(yīng)用有差別，沒有真正達(dá)到集群要求。鐵路局和鐵道部的應(yīng)用部署混亂，數(shù)據(jù)不能明確劃分，導(dǎo)致系統(tǒng)響應(yīng)緩慢，信息讀取延時(shí)，影響整體應(yīng)用的穩(wěn)定性。（三），解決方案1、帶寬提升增加網(wǎng)絡(luò)帶寬，提升端口吞吐量，升級百兆端口到千兆，端口模式設(shè)為全雙工，實(shí)現(xiàn)端口匯聚功能，保證網(wǎng)絡(luò)內(nèi)部無瓶頸。2、優(yōu)化鏈接簡化網(wǎng)絡(luò)物理鏈接結(jié)構(gòu)，優(yōu)化網(wǎng)絡(luò)設(shè)備分布，減少冗余鏈路。從而提升網(wǎng)絡(luò)讀寫速度，保證多客戶端信息上傳、下載流暢無延時(shí)。3、數(shù)據(jù)整合合并中間站數(shù)據(jù)庫和危險(xiǎn)品數(shù)據(jù)庫，保證一臺(tái)服務(wù)器專門處理單一形式文件，防止應(yīng)用繁瑣而導(dǎo)致系統(tǒng)崩潰或響應(yīng)延時(shí)現(xiàn)象。在一臺(tái)磁盤容量可擴(kuò)展的服務(wù)器上安裝中間站數(shù)據(jù)庫SQL、鐵道部危險(xiǎn)品數(shù)據(jù)庫SQL及鐵道部規(guī)章數(shù)據(jù)庫Oracle,提供6*146G大容量磁盤空間，提供高可用性的RAID-5保證數(shù)據(jù)的安全性。4、集群設(shè)計(jì)負(fù)載均衡調(diào)整為橋接模式，進(jìn)行服務(wù)器間應(yīng)用的均衡。通過權(quán)重比安排服務(wù)器各自承載的數(shù)據(jù)量，保證每臺(tái)相同負(fù)載均衡下的服務(wù)器應(yīng)用軟件統(tǒng)一，從而提供多臺(tái)冗余，保證集群7*24小時(shí)運(yùn)行，避免軟件不統(tǒng)一導(dǎo)致單臺(tái)服務(wù)器宕機(jī)，影響局部應(yīng)用無法正常運(yùn)行。5、信息分離八臺(tái)服務(wù)器中的應(yīng)用進(jìn)行物理隔離，鐵道部的危險(xiǎn)品監(jiān)控系統(tǒng)及鐵道部保價(jià)系統(tǒng)進(jìn)行單獨(dú)劃分，與中間站的應(yīng)用分割在不同服務(wù)器，從而保證各自系統(tǒng)安全穩(wěn)定、安全、獨(dú)立運(yùn)行，減少單獨(dú)系統(tǒng)資源非正常被占用情況，便于維護(hù)及升級。應(yīng)用鏈接網(wǎng)站中各子系統(tǒng)鏈接之間減少數(shù)據(jù)處理，數(shù)據(jù)編輯，添加數(shù)據(jù)庫鏈接，提取現(xiàn)有數(shù)據(jù)，提高網(wǎng)絡(luò)讀取速度。7、性能標(biāo)準(zhǔn)確保服務(wù)器硬件、應(yīng)用軟件及機(jī)器本身性能滿足安全1+1+1；權(quán)限1/3+1/3+1/3；性能3A標(biāo)準(zhǔn)。硬件冗余硬盤數(shù)據(jù)需要做本地或異地備份，防止因硬盤損壞而丟失數(shù)據(jù)。（二）物理設(shè)計(jì)1、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)如圖2所示圖2：規(guī)劃圖2、服務(wù)器部署服務(wù)器配置參數(shù)備注中間站服務(wù)器一C2.66G/R8G/H146*2貨運(yùn)站及貨運(yùn)處網(wǎng)站服務(wù)器二C2.66G/R8G/H146*2服務(wù)器三C2.66G/R8G/H146*2危險(xiǎn)品及鐵道部規(guī)章服務(wù)器四C3.2G/R4G/H73*4鐵道部危險(xiǎn)品系統(tǒng)及鐵道部規(guī)章服務(wù)器五C3.2G/R8G/H73*4數(shù)據(jù)庫服務(wù)器六C3.0G/R8G/H146*6貨運(yùn)站、貨運(yùn)處及鐵道部危險(xiǎn)品數(shù)據(jù)庫保價(jià)系統(tǒng)服務(wù)器七C3.0G/R8G/H146*2服務(wù)器八C3.0G/R8G/H146*23、網(wǎng)絡(luò)設(shè)備設(shè)備名稱參數(shù)用戶名/密碼備注負(fù)載均衡AIP:9VIP:0admin/admin中間站使用橋接模式負(fù)載均衡BIP:9VIP:0admin/admin中間站備用橋接模式負(fù)載均衡CIP:6VIP:7admin/admin危險(xiǎn)品使用橋接模式交換機(jī)16口千兆，背板帶寬16G，支持端口匯聚LAN交換16口千兆，背板帶寬16G，支持端口匯聚WAN交換4.軟件部署服務(wù)器IP地址應(yīng)用備注服務(wù)器1貨運(yùn)站系統(tǒng)，其中包括貨運(yùn)站網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁、規(guī)章系統(tǒng)、設(shè)備專用線系統(tǒng)、人力資源、培訓(xùn)考核。，貨運(yùn)處系統(tǒng)包括貨運(yùn)處網(wǎng)頁、裝載加固系統(tǒng)、問題庫、hebweb網(wǎng)頁服務(wù)器2服務(wù)器33服務(wù)器410鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)IP改為5服務(wù)器511鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)和鐵道部規(guī)章系統(tǒng)服務(wù)器65貨運(yùn)站系統(tǒng)、貨運(yùn)處系統(tǒng)數(shù)據(jù)庫、鐵道部危險(xiǎn)品數(shù)據(jù)庫及鐵道部規(guī)章數(shù)據(jù)庫IP改為10SQL和Oracle服務(wù)器711保價(jià)系統(tǒng)服務(wù)器812，重點(diǎn)過程描述（一）硬件改造將新增的危險(xiǎn)品服務(wù)器6（IP:5）添加硬盤到滿載146G*6做RAID-5，提高安全系數(shù)。將服務(wù)器4（IP：10）和服務(wù)器5（IP:11）遷移到中間站機(jī)柜中，減少網(wǎng)絡(luò)鏈接，提高網(wǎng)絡(luò)性能，便于管理及維護(hù)。更換以前的百兆WAN交換機(jī)和LAN交換機(jī)為千兆交換機(jī)。更換百兆網(wǎng)線為千兆網(wǎng)線。調(diào)整端口匯聚，提升網(wǎng)絡(luò)帶寬瓶頸。調(diào)整負(fù)載均衡為橋接模式，開放端口。（二）軟件調(diào)整將新增的危險(xiǎn)品服務(wù)器6（IP:5）安裝SQL及Oracle數(shù)據(jù)庫，導(dǎo)入中間站及鐵道部危險(xiǎn)品數(shù)據(jù)庫數(shù)據(jù)。將服務(wù)器4（IP：10）和服務(wù)器5（IP:11）安裝鐵道部危險(xiǎn)品監(jiān)控系統(tǒng)及鐵道部規(guī)章。將服務(wù)器1（IP:1）、服務(wù)器2（IP:2）和服務(wù)器3（IP:3）中應(yīng)用程序調(diào)整統(tǒng)一。各級主頁均取消“危險(xiǎn)品運(yùn)輸管理系統(tǒng)”；增加“危貨運(yùn)量表”不需手工維護(hù)，自動(dòng)讀??；原“應(yīng)急預(yù)案”自動(dòng)讀??；原導(dǎo)航欄“報(bào)表管理”中“危貨運(yùn)量表”取消；“辦理規(guī)定資質(zhì)查詢”貨運(yùn)處、直屬站段、貨運(yùn)站均鏈接，從鐵道部辦理資質(zhì)中取；“跟蹤系統(tǒng)”取消；貨運(yùn)處、直屬站段頁面均取消“安全管理保價(jià)子系統(tǒng)”，增加“保價(jià)格式四、格式六”；直屬站段、貨運(yùn)站頁面均取消“全路專用線名稱表”，“全路專用線名稱表”加在設(shè)備專用線管理子系統(tǒng)中，每兩個(gè)月手工同步修改升級。調(diào)整路局信息與鐵道部信息共享。（五），實(shí)證結(jié)論最終部署最終網(wǎng)絡(luò)拓?fù)溟_發(fā)及調(diào)整軟件方面1、危貨運(yùn)輸：貨運(yùn)站、貨運(yùn)處系統(tǒng)主頁均取消“危險(xiǎn)品運(yùn)輸管理系統(tǒng)”；增加“危貨運(yùn)量表”，但不需手工維護(hù)，只需自動(dòng)讀取，建立鏈接；原“應(yīng)急預(yù)案”系統(tǒng)改為自動(dòng)讀取；原導(dǎo)航欄“報(bào)表管理”中“危貨運(yùn)量表”取消；“辦理規(guī)定資質(zhì)查詢”貨運(yùn)處、直屬站段、貨運(yùn)站均鏈接，從鐵道部辦理資質(zhì)中讀??；“跟蹤系統(tǒng)”取消。2、保價(jià)運(yùn)輸：貨運(yùn)處、直屬站段頁面均取消“安全管理保價(jià)子系統(tǒng)”，增加“保價(jià)格式四、格式六”。3、規(guī)章文電：單獨(dú)部署，均使用哈局版，建立哈局信息與鐵道部信息共享。直屬站段、貨運(yùn)站頁面均取消“全路專用線名稱表”，程序重新制作，“全路專用線名稱表”加在設(shè)備專用線管理子系統(tǒng)中，每兩個(gè)月手工同步修改升級。4、驗(yàn)證事故處理、規(guī)章文電及專用線系統(tǒng)。5、編寫服務(wù)器硬件及應(yīng)用軟件分配表。6、編寫整改后總結(jié)。硬件方面1、安裝配置3臺(tái)千兆交換機(jī)，用以替換老型號百兆交換機(jī)。2、重新部署千兆網(wǎng)線。3、配置3臺(tái)負(fù)載均衡設(shè)備。4、備份服務(wù)器3（3）數(shù)據(jù)，安裝服務(wù)器3系統(tǒng)及應(yīng)用程序，配置ctrix發(fā)布信息。5、調(diào)整服務(wù)器硬盤。6、測試中間站應(yīng)用、網(wǎng)絡(luò)流量及局域網(wǎng)帶寬。7、登記交換機(jī)、負(fù)載均衡、服務(wù)器SN及ID號。項(xiàng)目實(shí)施的技術(shù)方案采用3臺(tái)中間站服務(wù)器采用集群模式，提升服務(wù)器處理性能，減少物理鏈接接點(diǎn)，增加端口帶寬，提升網(wǎng)絡(luò)傳輸速度。負(fù)載均衡采用橋接模式，減少網(wǎng)絡(luò)接點(diǎn)，提高傳輸性能。用戶可以延續(xù)當(dāng)前的IP架構(gòu)，在不改變IP地址的情況下根據(jù)需要增加負(fù)載均衡服務(wù)器。使用橋接模式時(shí)，LAN和WAN接口必須處在分開的網(wǎng)絡(luò)中，而且服務(wù)器在均衡器上的應(yīng)用處于平衡的時(shí)候，LAN接口必須處于被負(fù)載均衡的服務(wù)器相同的邏輯交換機(jī)上。交換速率采用全千兆網(wǎng)絡(luò)鏈路，改變以前百兆鏈路，增加網(wǎng)絡(luò)吞吐量。WAN交換機(jī)和LAN交換機(jī)采用管理型全千兆以太網(wǎng)，增加交換機(jī)背板帶寬，提升網(wǎng)絡(luò)性能。中間站應(yīng)用軟件采用統(tǒng)一部署，實(shí)現(xiàn)集群負(fù)載。取消21個(gè)站段網(wǎng)絡(luò)應(yīng)用平臺(tái)，統(tǒng)一為直屬站主頁和直屬段主頁。成果1、提升了網(wǎng)絡(luò)帶寬。（百兆網(wǎng)線換成千兆網(wǎng)線，百兆交換機(jī)換千兆交換機(jī)。）2、增大了磁盤的容量.（增加了6塊146G硬盤）3、更新了負(fù)載均衡版本及規(guī)則庫。4、變更了負(fù)載均衡的服務(wù)方式，提升了處理速度。（路由模式改橋接模式）5、刪減了冗余信息。（刪除了中間站危險(xiǎn)品系統(tǒng)）6、調(diào)整了應(yīng)用軟件的鏈接。綜上所述，滿足《哈局12月10、11日會(huì)議紀(jì)要》要求，不但節(jié)約人力成本而且提高工作效率，從網(wǎng)絡(luò)安全的角度來說，也最大限度降低了網(wǎng)絡(luò)風(fēng)險(xiǎn)，實(shí)現(xiàn)了安全、穩(wěn)定、高效的網(wǎng)絡(luò)環(huán)境,經(jīng)過傲盾網(wǎng)絡(luò)測速軟件測試，整改前響應(yīng)為0.1ms,丟包率6.00%,整改后響應(yīng)為0.02ms,丟包率0.00%。

附錄資料：不需要的可以自行刪除動(dòng)力車間崗位責(zé)任制主任崗位責(zé)任制1、在公司領(lǐng)導(dǎo)下負(fù)責(zé)車間的行政、生產(chǎn)、人事管理等全面工作；是車間職業(yè)健康、安全、環(huán)保、消防工作第一責(zé)任人。2、負(fù)責(zé)對本車間人員工作的檢查、監(jiān)督和考核，根據(jù)工作業(yè)績完成員工月度及年終等績效考核。3、建立健全車間的管理制度與工作程序，堅(jiān)持按制度和程序辦事，明確責(zé)任分工。并且以身作則，帶頭執(zhí)行，使車間管理科學(xué)化、規(guī)范化4、每月召開一次車間管理人員、班組長會(huì)議，總結(jié)上月工作，布置本月任務(wù)。每周召開一次車間生產(chǎn)例會(huì)。5、加強(qiáng)車間內(nèi)部管理，組織好業(yè)務(wù)學(xué)習(xí)、培訓(xùn)職工考評及崗位練兵工作；6、負(fù)責(zé)本車間安全培訓(xùn)和安全管理，認(rèn)真貫徹執(zhí)行安全生產(chǎn)管理制度，保障車間生產(chǎn)安全7、加強(qiáng)車間內(nèi)部建設(shè)，對職工思想工作做好動(dòng)態(tài)管理，抓好職工隊(duì)伍建設(shè)；副主任崗位責(zé)任制1、在車間主任領(lǐng)導(dǎo)下，負(fù)責(zé)組織生產(chǎn)、工藝和設(shè)備管理，同時(shí)受生產(chǎn)副總經(jīng)理的領(lǐng)導(dǎo)，在指定的工作范圍內(nèi)對安全生產(chǎn)負(fù)責(zé)；2、貫徹工藝管理制度，組織制定、修訂崗位管理技術(shù)標(biāo)準(zhǔn)及管理制度，并檢查貫徹執(zhí)行情況。3、負(fù)責(zé)編制生產(chǎn)、檢修、技措技改、安措和質(zhì)量工作計(jì)劃，并監(jiān)督執(zhí)行。4、負(fù)責(zé)貫徹安全生產(chǎn)制度，組織工藝事故的調(diào)查、分析和處理，并制定落實(shí)防范措施。5、發(fā)動(dòng)好職工的合理化建議討論，并組織好論證與實(shí)施；6、加強(qiáng)車間崗位練兵制的實(shí)施與業(yè)務(wù)培訓(xùn)，不斷提高職工素質(zhì)、崗位技能、提高業(yè)務(wù)水平；7、協(xié)助車間主任做好職工的政治、思想工作；抓好職工隊(duì)伍的建設(shè)8、協(xié)助主任工作，在主任外出時(shí)代行其責(zé)工藝技術(shù)員崗位責(zé)任制1、在車間主任和副主任的領(lǐng)導(dǎo)下，協(xié)助做好車間的工藝技術(shù)管理工作。2、編寫車間各種工藝試車方案、規(guī)程，制訂和修訂崗位操作規(guī)程和工藝指標(biāo)，并檢查貫徹執(zhí)行情況。3、編制車間年、季、月原輔材料消耗、降耗節(jié)能和技措技改計(jì)劃。4、每日研究生產(chǎn)操作記錄，分析判斷生產(chǎn)中的薄弱環(huán)節(jié)，提出對策不斷挖掘生產(chǎn)潛力，實(shí)現(xiàn)安全、高產(chǎn)、優(yōu)質(zhì)、低耗。5、根據(jù)職能部門規(guī)定，建立健全各類工藝臺(tái)帳。6、對生產(chǎn)中出現(xiàn)異常狀況要及時(shí)分析和處理，參加工藝事故分析，提出防范措施7、制定職工業(yè)務(wù)培訓(xùn)計(jì)劃，做好業(yè)務(wù)技術(shù)培訓(xùn)和考核。8、負(fù)責(zé)本車間各崗位各種數(shù)據(jù)記錄報(bào)表的審查，并對其負(fù)責(zé)。9、努力鉆研業(yè)務(wù)技術(shù)，不斷進(jìn)行知識更新。掌握國內(nèi)外先進(jìn)生產(chǎn)技術(shù)，參與組織實(shí)施技術(shù)革新活動(dòng)10、定期對生產(chǎn)系統(tǒng)的安全隱患進(jìn)行排查、治理，對排查出來的安全隱患，要落實(shí)整改措施設(shè)備技術(shù)員崗位責(zé)任制1、在車間主任和副主任的領(lǐng)導(dǎo)下，做好本車間的設(shè)備管理工作2、負(fù)責(zé)編制本車間各類設(shè)備檢修規(guī)程，維護(hù)保養(yǎng)制度3、協(xié)調(diào)檢修車間做好車間的設(shè)備檢修工作4、建立健全車間各類設(shè)備管理臺(tái)帳，做到有計(jì)劃的更換和檢修，保證安全穩(wěn)定長周期運(yùn)行。5、每日對車間主要設(shè)備進(jìn)行一次巡檢，做好記錄，及時(shí)發(fā)現(xiàn)和解決問題。6、定期對設(shè)備的安全隱患進(jìn)行排查、治理，對排查出來的安全隱患，要落實(shí)整改措施7、編制車間設(shè)備的大、小修計(jì)劃、備品備件計(jì)劃；8、努力鉆研業(yè)務(wù)技術(shù)，不斷進(jìn)行知識更新。掌握國內(nèi)外先進(jìn)生產(chǎn)技術(shù)，參與組織實(shí)施技術(shù)革新活動(dòng)安全員崗位責(zé)任制1、在車間主任和副主任的領(lǐng)導(dǎo)下，負(fù)責(zé)車間日常安全管理工作，貫徹上級有關(guān)安全生產(chǎn)的指示和規(guī)定，并監(jiān)督檢查執(zhí)行情況。在業(yè)務(wù)上受公司按環(huán)部領(lǐng)導(dǎo)，有權(quán)直接向按安環(huán)部反映情況，匯報(bào)安全方面的工作。2、做好員工的環(huán)境保護(hù)、職業(yè)衛(wèi)生、安全生產(chǎn)、消防知識、安全技術(shù)教育工作、負(fù)責(zé)新入廠人員的車間級安全教育，指導(dǎo)并督促檢查班組(崗位)的安全教育。3、每日深入現(xiàn)場檢查安全生產(chǎn)情況，發(fā)現(xiàn)違章作業(yè)者，要及時(shí)糾正或制止。遇有重大險(xiǎn)情，應(yīng)立即報(bào)告車間處理。4、負(fù)責(zé)車間事故的管理，參與事故分析和處理，查明責(zé)任，積極提出防范措施，建立事故臺(tái)帳。5、協(xié)助車間技術(shù)人員編制安全技術(shù)措施計(jì)劃并檢查執(zhí)行情況，負(fù)責(zé)勞動(dòng)保護(hù)用品、消防器材的管理，對存在的不安全因素督促有關(guān)人員及時(shí)處理。6、建立健全車間安全管理臺(tái)帳，負(fù)責(zé)安全資料的管理。7、負(fù)責(zé)制定、修訂車間級事故應(yīng)急預(yù)案，制定演練計(jì)劃、方案，并定期組織演練。8、總結(jié)和推廣安全管理工作的先進(jìn)經(jīng)驗(yàn)。綜合管理員崗位責(zé)任制1、在車間主任（副主任）的領(lǐng)導(dǎo)下，貫徹執(zhí)行公司各項(xiàng)規(guī)章制度。2、負(fù)責(zé)本單位職工考勤的匯總和職工探親假報(bào)批工作。3、負(fù)責(zé)本單位辦公用品的計(jì)劃編制、領(lǐng)取、保管及發(fā)放工作。

4、負(fù)責(zé)本單位文件、信函、報(bào)刊的接收、登記、傳遞、發(fā)放及保管、歸檔管理工作。

5、負(fù)責(zé)辦理本單位員工調(diào)轉(zhuǎn)、離、退休等工作的報(bào)批手續(xù)及新員工的接收工作。

6、負(fù)責(zé)辦理本單位職工的轉(zhuǎn)正、定級、工資晉升等報(bào)批手續(xù)及工資領(lǐng)發(fā)工作。

7、負(fù)責(zé)辦理經(jīng)本單位領(lǐng)導(dǎo)同意的職工所需的各種證明、介紹信等手續(xù)。

8、負(fù)責(zé)建立個(gè)人考勤臺(tái)帳。負(fù)責(zé)外來電話的記錄，各種會(huì)議的通知及有關(guān)會(huì)議的記錄、整理工作。

9、積極完成領(lǐng)導(dǎo)交辦的其它工作。班長崗位責(zé)任制１、在車間主任（副主任）領(lǐng)導(dǎo)下，負(fù)責(zé)組織班組的生產(chǎn)和工藝管理，在值班期間受調(diào)度室的領(lǐng)導(dǎo)，對本崗位所屬設(shè)備的安全、經(jīng)濟(jì)、文明運(yùn)行負(fù)責(zé)，領(lǐng)導(dǎo)全班完成各項(xiàng)生產(chǎn)任務(wù)。２、主持班前和班后會(huì)，根據(jù)上級指示和調(diào)度安排，布置當(dāng)班的工作和注意事項(xiàng)。３、嚴(yán)格執(zhí)行崗位操作規(guī)程，控制好各項(xiàng)工藝指標(biāo)４、對本班組的安全、生產(chǎn)、勞動(dòng)紀(jì)律、現(xiàn)場管理負(fù)責(zé)。５、及時(shí)總結(jié)本班組的生產(chǎn)、操作管理經(jīng)驗(yàn)８、負(fù)責(zé)本班的日常檢查、整改工作。９、實(shí)事求是，認(rèn)真細(xì)致地填寫崗位各項(xiàng)記錄，并予以保管，對其它崗位的所有記錄要經(jīng)常檢查其填寫情況。10、對違章指揮和命令有權(quán)拒絕執(zhí)行，并迅速越級上報(bào)11、負(fù)責(zé)崗位的設(shè)備、專用工器具、消防和防護(hù)器材保管工作。12、負(fù)責(zé)本班員工的日常工作考核，制定本班員工考核辦法，每月將員工考核情況上報(bào)車間。一三、關(guān)心班組職工生活，圍繞以生產(chǎn)為中心搞好班組建設(shè)，增創(chuàng)先進(jìn)文明生產(chǎn)班組。嚴(yán)格執(zhí)行崗位安全生產(chǎn)責(zé)任制，指揮協(xié)調(diào)本班生產(chǎn)。司爐崗位責(zé)任制1、司爐是當(dāng)班本臺(tái)鍋爐運(yùn)行的負(fù)責(zé)人，并服從調(diào)度的統(tǒng)一調(diào)度管理，對所管設(shè)備的安全、經(jīng)濟(jì)運(yùn)行負(fù)全部責(zé)任。2、負(fù)責(zé)所管設(shè)備的起動(dòng)停止，切換操作，認(rèn)真監(jiān)視設(shè)備儀表，及時(shí)進(jìn)行運(yùn)行調(diào)整，確保各項(xiàng)運(yùn)行參數(shù)的正常，對運(yùn)行日志，記錄及其真實(shí)性負(fù)責(zé)。3、司爐指揮副司爐搞好設(shè)備巡回檢查和定期工作，搞好設(shè)備的維護(hù)，對所管設(shè)備按規(guī)定認(rèn)真檢查，發(fā)現(xiàn)異常及時(shí)匯報(bào)班長。4、對出現(xiàn)的設(shè)備異常或發(fā)生事故時(shí)，應(yīng)沉著、冷靜準(zhǔn)確判斷并組織人員按規(guī)程有關(guān)規(guī)定處理，并及時(shí)報(bào)告班長、調(diào)度，對危及設(shè)備及人身安全的命令有權(quán)拒絕執(zhí)行，但必須向有關(guān)領(lǐng)導(dǎo)匯報(bào)。5、如因公或其它原因須暫時(shí)離崗，經(jīng)班長許可并向副司爐交待好工作，否則不得脫離工作崗位，班長不在時(shí)，代理班長職務(wù)，指揮全班生產(chǎn)。6、交接班前要按專責(zé)分工，搞好交接班的一切檢查或準(zhǔn)備工作。7、負(fù)責(zé)專責(zé)范圍內(nèi)的設(shè)備和場地的整潔，搞好文明生產(chǎn)。8、協(xié)助班長及時(shí)完成車間交給的各項(xiàng)臨時(shí)任務(wù)。副司爐崗位責(zé)任制１、在司爐的直接領(lǐng)導(dǎo)下，協(xié)助司爐搞好所管設(shè)備的安全經(jīng)濟(jì)運(yùn)行，司爐需離崗時(shí)，可受委托代行司爐職責(zé)。２、在司爐或班長的指導(dǎo)和監(jiān)護(hù)下，對所管設(shè)備進(jìn)行啟動(dòng)、停止、切換等重大操作和進(jìn)行定期工作。３、運(yùn)行中如發(fā)現(xiàn)其它異常運(yùn)行時(shí)，應(yīng)及時(shí)匯報(bào)司爐，并配合司爐搞好各種事故處理，獨(dú)立處理事故時(shí)，要及時(shí)、準(zhǔn)確，事后要立即將處理的全過程報(bào)告司爐或班長。４、認(rèn)真執(zhí)行各項(xiàng)規(guī)章制度，搞好勞動(dòng)紀(jì)律、值班紀(jì)律。5、協(xié)助司爐搞好交接班工作，完成分工負(fù)責(zé)的接班、交班前的檢查和準(zhǔn)備工作，并將情況匯報(bào)主操。6、對所管設(shè)備按規(guī)定認(rèn)真檢查，發(fā)現(xiàn)異常及時(shí)匯報(bào)司爐或班長。7、副司爐離開崗位時(shí)，需經(jīng)司爐、班長同意。鍋爐除渣、除灰工崗位責(zé)任制１、在班長、司爐的領(lǐng)導(dǎo)和指揮下，完成本崗的工作任務(wù)及各項(xiàng)臨時(shí)工作。２、在司爐、副司爐的指導(dǎo)下，搞好鍋爐的灰渣排放、外運(yùn)。３、負(fù)責(zé)氣力輸灰系統(tǒng)與除塵器的正常運(yùn)行和定期巡檢。發(fā)現(xiàn)異常及時(shí)匯報(bào)班長、司爐或副司爐，并做好記錄。4、負(fù)責(zé)放灰管、放渣管的檢查，確保放灰管暢通，發(fā)現(xiàn)堵管應(yīng)及時(shí)排除。如因故