第一篇:XXXXXSymantec终端安全防护SPS企业版方案建议书
Symantec终端安全防护 SPS企业版3.0方案建议书
Symantec软件(北京)有限企业
2013年03月 Symantec终端安全防护SPS企业版解决方案
第1章 1.1 1.2 第2章 2.1 2.2 2.3 2.4 2.5 2.6 第3章 3.1 3.2 3.3 3.4 项目综述.................................................................................................................................1 项目需求分析.........................................................................................................................1 总体技术思路及优势.............................................................................................................2 XXXXX终端安全防护架构设计方案....................................................................................5 系统架构设计.........................................................................................................................5 服务器和终端安全防护设计(SEP)...................................................................................6 安全自我隔离(SNAC SELF ENFORCEMENT).....................................................................9 终端系统保护和快速恢复设计(BESR)..........................................................................10 邮件应用的安全防护设计(FOR DOMINO以及EXCHANGE).............................................13 WEB安全网关设计(可选)....................................................................................................16 SPS企业版技术方案特点总结............................................................................................19 全面性—合适的价格,一步到位的实现............................................................................19 安全性—第一大安全品牌的强大的安全威胁防护............................................................20 保险性—具备强大的系统恢复功能,避免安全事故........................................................21 易用性—统一的控制平台...................................................................................................21
I Symantec终端安全防护SPS企业版解决方案
第1章 项目综述
1.1 项目需求分析
随着计算机技术的不断发展,信息技术在企业网络中的运用更加广泛,信息安全问题也显得尤为迫切。自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和数据安全造成了极大的破坏。而传统防病毒产品在应对新的终端安全威胁时效果欠佳,因为病毒来自与不同的传播途径,例如邮件,网页浏览,U盘的使用,高危程序的下载安装等多种途径,因此Symantec认为企业需要同时结合多种技术手段来综合的治理企业所面临的安全问题,巩固企业安全防线。
目前XXXXX的防病毒体系还处于依赖传统的防病毒产品来应对安全威胁的阶段,产品覆盖范围有限,缺乏统一的管理平台,没有完善的病毒防护响应机制,没有办法杜绝全部的病毒传播途径,发生大的安全事故缺乏快速恢复的保障;同时随着XXXXX信息化化步伐的加快,建立一套适应XXXXX未来发展的防病毒安全体系迫在眉睫。通过终端安全防护项目,设计一套满足XXXXX未来发展的防病毒体系:建立系统的运维管理规范、技术体系标准,优化企业内网环境,减少病毒对企业员工的影响,提高员工的工作效率,为企业的快速发展提供保障。
-1-
Symantec终端安全防护SPS企业版解决方案
1.2 总体技术思路及优势
Symantec是全球第一大安全软件厂商,第三大独立软件厂商,财富500强企业;拥有从终端管理到终端安全,服务器管理到服务器安全的全部尖端产品,具备丰富的全球行业安全经验,Symantec可以帮助XXXXX构建全方位的、高效的、健壮的终端安全防护体系
Symantec的全球安全服务实践证明,完整有效的终端安全解决方案包括技术、管理两个方面内容。虽然客户已经具备了完整的管理体系,但是全面的安全技术手段是必须的。
传统的病毒防护方案存在局限性,对于XXXXX这样的大型企业,整体的终端安全体系比单纯的查杀病毒显得更为重要,如果不能做到全网建立统一的安全体系,再强的防病毒软件也不能发挥应有作用,因此我们认为防病毒并不能解决客户遇到的全部安全问题,因为安全的问题来自各个不同的感染渠道,包括网络,邮件,因此我们应该建议客户采用更全面的解决方案,包括终端安全,准入控制,邮件安全,网络安全, 因此,我们建议终端安全防线应该如此规划: 一.终端计算机应该建立防病毒,反间谍软件控制
二.终端计算机需要建立端点防火墙,主机入侵检测以及防御
三.终端计算机需要控制USB以及非法软件的使用,避免非法软件以及US导致-2-
Symantec终端安全防护SPS企业版解决方案 的病毒感染
四.对于终端计算机不符合安全规定的将自动自我隔离
五.对于终端计算机,进行系统自动备份(在线备份),在发生故障可以即时恢复系统
六.对于可能导致计算机感染病毒的邮件系统可以设置邮件防病毒,防垃圾邮件
Symantec向您推荐以下产品的组合:Symantec protection Suite SPS 企业版 3.0 SPS EE 3.0含有以下产品组合:
• SEP 11-----防病毒/反间谍软件/端点防火墙/主机入侵检测/防御/USB设备与应用程序控制
• SNAC Self Enforcement-----网络访问控制自我强制隔离,对于不符合安全规定的企业客户端进行自我隔离
• BESR Desktop-----系统实时备份,恢复,不用担心企业出现各种的安全事故,仅仅需要从控制台发送一个命令,系统将全部恢复到之前的稳定状态
• SMSDOM -3-
Symantec终端安全防护SPS企业版解决方案
-----邮件防病毒,防垃圾邮件,for Domino • SMSMSE-----邮件防病毒,防垃圾邮件,for Exchange • SBG-----企业级邮件网关,通过额外购买硬件轻松扩展
• SWG-----企业级Web 网关,Web网关防毒,通过额外购买硬件轻松扩展 统一的控制平台:
-4-
Symantec终端安全防护SPS企业版解决方案
第2章 XXXXX终端安全防护架构设计方案
2.1 系统架构设计
根据XXXXX网络安全与病毒防护现状,本方案立足XXXXX构建整体的企业终端安全防护架构为目标,设计一套满足XXXXX未来发展的防病毒体系,方案核心设计主要包含:
通过建立多层次的安全防线,分别是服务器与终端安全防护、安全自我隔离、邮件安全、web安全和客户端系统备份恢复; 服务器以及终端安全防护:
实现对应用服务器的病毒安全防护,版本支持Linux和Windows平台及Mac OS平台;
终端防护自我隔离:
保护企业内所有终端并提供强大的安全防护与管控能力;对于没有符合规定的计算机,本机防火墙进行自我隔离 终端系统保护和快速恢复:
在所有的终端部署Symantec Backup Exec System Recovery,保护企业内所-5-
Symantec终端安全防护SPS企业版解决方案
有终端系统并提供快速恢复系统的能力。邮件服务器防病毒:
通过在邮件服务器部署群件邮件防病毒软件Symantec Mail Security for Domino /Exchange,实现邮件的安全保护; WEB安全网关(硬件选购):
通过部署SWG网关防毒,实现对HTTP、FTP、BT、即时通讯等流量的内容过滤,并可实现对内部僵尸网络或木马的检测和清除;
2.2 服务器和终端安全防护设计(SEP)
SEP将 Symantec Antivirus™与高级威胁防御功能相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击,这些攻击能够躲避传统的安全措施,如 Root kit、零日攻击和不断变化的间谍软件。
Symantec认为终端的防护应该注重以下方面:
-6-
Symantec终端安全防护SPS企业版解决方案
1、防病毒和间谍软件的查杀:
提供了无可匹敌的一流恶意软件防护能力,包括市场领先的防病毒防护、增强的间谍软件防护、新 Root kit 防护、减少内存使用率和全新的动态性能调整,以保持用户的工作效率。50次以上通过VB100的验证
2、先进的威胁防御能力:
能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括:
3、即刻可用的主动防护技术以及管理控制功能:
主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动 管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活-7-
Symantec终端安全防护SPS企业版解决方案
动。甚至可以根据用户位置阻止特定操作。
4、网络威胁防护:
提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB),该功能可以在恶意软件进入系统前将其阻止在外
5、主动威胁防护:
针对不可见的威胁(即零日威胁)提供防护。包括不依赖特征的主动威胁扫描。
6、设备以及程序控制:
针对USB可以采用直接的控制模式,例如只读,读写,分类控制;针对程序采用白名单的程序控制模式。
7、统一的控制模式:
不仅可以增强防护,而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。通过一个管理控制台即可进行管理。从而不仅-8-
Symantec终端安全防护SPS企业版解决方案
简化了端点安全管理,而且还提供了出色的操作效能,如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划;提供防病毒、反间谍软件、桌面防火墙、IPS,通过单个管理控制台即可进行全面管理。
多层防线可以显著降低风险,同时能够充分保护企业资产,从而使企业高枕无忧。它是一款功能全面的产品,只要您需要,即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起,还是来自于外部,端点都会受到充分保护。
2.3 安全自我隔离(SNAC Self Enforcement)
无需交换设备支持,保护企业内所有终端并提供强大的安全防护与管控能力;对于没有符合规定的计算机,本机防火墙进行自我隔离;
-9-
Symantec终端安全防护SPS企业版解决方案
1、检测客户端自身安全遵从性
2、符合规定允许访问受保护网络
3、不符合规定需要的隔离服务器进行修复
4、支持全部的交换设备以及HUB设备
2.4 终端系统保护和快速恢复设计(BESR)
Windows操作系统目前在各大企业中依然占据重要的地位,类似XXXXX企业的大部分终端都依赖于windows平台,由于其功能强大,而且易于使用,也使其很容易成为被各种威胁攻击的目标。终端用户对计算机的操作和管理能力相对较弱,操作系统出现故障通常解决起来很困难,可能因为一个小小的错误补丁就可能导致蓝屏,注册表破坏,系统文件损坏,都是造成系统崩溃的因-10-
Symantec终端安全防护SPS企业版解决方案
素,所以对于终端系统的备份和恢复要求尽可能操作简单易行。
利用Symantec终端集中系统保护功能模块BESR(Symantec Backup Exec System Recovery),可以实现:
1.完全避免了重装系统的过程,可以在二十分钟左右将系统恢复到上一次的备份状态,操作极其简单,终端用户可自行恢复。
2.可在管理服务器的集中管理下统一将所有的终端用户系统集中备份到网络位置,也可由终端用户自己进行在线备份。重要的是,系统的备份可支持增量备份,备份所需的时间极短,不会长时间占用网络资源,备份位置的灵活性适用于经常移动的用户将系统的备份带在身边随时可进行系统恢复,如:备份到移动硬盘、光盘,甚至直接备份到自己的电脑里。
3.终端集中系统保护模块BESR支持所有的windows终端,利用其restore anywhere的功能,可将系统进行不同硬件架构的恢复,用户再也不需要因为两台电脑间硬件差异太大导致系统恢复失败的问题而烦恼。
4.此外终端集中系统保护模块BESR可将备份下来的系统转换成虚拟机的格式直接在虚拟机下运行,立即验证恢复的可行性和恢复生产应用。
-11-
Symantec终端安全防护SPS企业版解决方案
其结构示意图如下:
主要功能:
1、可在不影响员工工作效率的情况下,自动备份台式机和笔记本电脑,并将备份保存到任意磁盘存储设备
2、可在几分钟内将整个系统恢复到相同或不同的硬件上,并支持 Windows 7 使用内置的搜索工具或 Google Desktop,可在几秒钟内还原单个文件和文件夹
3、可将备份异地复制到 FTP 位置或二级磁盘驱动器,从而增强灾难恢复能力
主要优势:
-12-
Symantec终端安全防护SPS企业版解决方案
1、可随时随地在几分钟内恢复您所需的内容,如单个文件、文件夹或整个系统,甚至可以恢复到不同的硬件或虚拟环境
2、在一个易用的向导型界面中,通过主动数据和系统保护功能来管理您的业务,而不是备份
3、以快速可靠的自动恢复流程取代费时、易错的手动恢复流程,从而最大限度地减少停机时间,规避灾难事件
4、可通过 Backup Exec System Recovery Manager 集中管理整个企业中多台台式机备份和恢复任务
2.5 邮件应用的安全防护设计(For Domino以及Exchange)
企业网邮件应用的安全防护重点是:
1、对来自外部网的垃圾邮件进行过滤和处理;
2、对病毒和蠕虫造成的邮件攻击进行拦截;
3、对不断增长的无用带宽进行限制和调整;
4、对包含不正当内容的邮件予以拦截;
Symantec Mail Security for Domino以及Exchange 提供了实时防护功-13-
Symantec终端安全防护SPS企业版解决方案
能,可以保护电子邮件服务器、文档和数据库免遭病毒、垃圾邮件、间谍软件、网页仿冒和其他攻击的侵扰,同时确保针对它们实施内容策略。Symantec Mail Security for Domino以及Exchange 被设计为一款集成的应用程序,它的交叉平台策略管理功能可以简化异构环境的管理。在 Bright mail 技术的支持下,Premium Anti spam 附加订购服务阻止了 99% 的垃圾邮件,而误报率低于百万分之一。
Symantec群件安全防护方案主要功能:
1、卓越防护
防御病毒、群发邮件蠕虫、特洛伊木马、垃圾邮件、间谍软件、网页仿冒和拒绝服务攻击。阻止了 99% 的垃圾邮件,而误报率低于百万分之一(仅限 Windows)。通过预定义的策略、正则表达式、附件条件和真实文件分类来过滤电子邮件内容
2、管理灵活简便
爆发通知功能可以在病毒爆发初现端倪时向管理员发出警告,从而使他们能够立即做出响应;交叉平台策略和定义管理简化了异构环境的管理,集中式隔离数据库功能极大降低了跟踪所有服务器上隔离的电子邮件和附件所需的工作量
Symantec群件安全防护方案的特点:
1、采用了多种过滤技术,有效率达到95%以上,准确性达到99.9999%,处于-14-
Symantec终端安全防护SPS企业版解决方案
世界领先水平;
2、在全世界拥有200万个蜜罐邮箱,专门收集最新的垃圾邮件,能够快速应对最新的垃圾邮件发送技术。同时,Symantec企业在国内设立了20万蜜罐邮箱专门搜集国内的垃圾邮件,针对中文垃圾邮件和国内流行的垃圾邮件同样具有很高的过滤效率;
3、自动生成垃圾邮件过滤规则,并且每5-10分钟为用户更新一次过滤规则,具有极快的响应能力;
4、集成了倍受好评的 Symantec 防病毒技术来扫描和检测病毒。并且防病毒定义与过滤规则一同升级,不需要用户单独维护。而且Symantec企业是世界上唯一一家同时具备国际领先的防垃圾邮件技术和防病毒技术的厂商,产品之间不存在集成和兼容性的问题,保证了用户使用的稳定性;
5、通过电子邮件防火墙技术,实现在真正的垃圾邮件与病毒邮件到达用户网络之前,就阻止其企图的功能。通过此技术,可以极大的节省用户网络的带宽利用,并且真正保护了最终邮件服务器的可用资源(SMS 8300独有);
6、可有效防止DHA攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的DOS攻击(SMS 8300独有);
7、通过邮件源信誉度判断、SPF发件人身份认证技术以及第四代增强型的URL过滤技术,可以有效的识别目前危害最大的“网络钓鱼”(Phishing)电子邮件,-15-
Symantec终端安全防护SPS企业版解决方案
从而保障目标企业的员工不会遭受到巨大的经济损失;
8、强大的最终用户可配置功能。最终用户通过登陆管理配置界面,可以管理与自己有关的隔离区垃圾邮件,并且可以自定义个体的黑名单、白名单和语言选项,从而大大的降低管理员的管理负担;
9、能够支持包括英文、中文、法文、德文、日文、韩文等12种语言的垃圾邮件识别和过滤。
2.6 WEB安全网关设计(可选)
Symantec企业网关安全SWG — Security Web Gateway(以下简称SWG)是新一代的统一威胁管理设备。它采用了多种先进的安全技术,对进出企业网络的数据包进行检查、处理和控制,可以满足企业网抵御混合型威胁的需要。作为业界最全面的WEB网关设备,将基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、僵尸网络和木马检测技术无缝地集成在一起。Symantec Web Gateway 以Symantec全球情报网络为后盾,基于可伸缩的平台构建,可以快速同时扫描恶意软件和不适宜的 Web 内容,从而确保企业在遭受攻击时能够保持关键的运行时间和员工工作效率。
在部署时,SWG可以根据企业的实际需要启用不同的安全功能模块,从而-16-
Symantec终端安全防护SPS企业版解决方案
实现灵活部署与应用。在企业网出口的位置,为了避免企业网出口的单点故障,可以部署两台或多台SWG设备的集群环境。该架构可以同时承担负载均衡和高可用性责任。以上方案的效果可以使管理员灵活控制来自Internet的通讯流量,阻止各种外部黑客攻击和病毒和蠕虫。
利用Symantec的SWG方案部署在企业网出口,其特点如下:
1、具有强大的网络安全防护功能,集成了基于协议异常和基于攻击特征的入侵防御及入侵检测、病毒防护、僵尸网络和木马检测技术。可以在一台设备上实现对企业网的统一威胁管理。
2、SWG提供集中式管理,通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。同时SWG具有集成的高可用性和负载均衡选件,能够满足任何规模的企业网的性能要求。主要优势:
1、Symantec Web Gateway 以Symantec全球情报网络为后盾,由Symantec防病毒引擎提供动力,自 1999 年起连续多次蝉联 VB100 大奖。
2、提供了便利的自包含设备(其中包括保护 Web 网关所需的所有组件),无需在网络中采用其他技术。
3、采用了高度可伸缩的技术,无需延长时间即可满足各种企业的需求,从而确保了对最终用户的浏览体验毫无影响。
-17-
Symantec终端安全防护SPS企业版解决方案
4、不断收集由Symantec全球情报网络提供的数据(这些数据涵盖一些世界上最广泛的互联网威胁数据来源),可以针对最新威胁提供全面的最新防护。
-18-
Symantec终端安全防护SPS企业版解决方案
第3章 SPS企业版技术方案特点总结
3.1 全面性—合适的价格,一步到位的实现
SPS企业版3.0含有以下套件,一步到位:
• SEP 11-----防病毒/反间谍软件/端点防火墙/主机入侵检测/防御/USB设备与应用程序控制
• SNAC Self Enforcement-----网络访问控制自我强制隔离,对于不符合安全规定的企业客户端进行自我隔离
• BESR Desktop-----系统实时备份,恢复,不用担心企业出现各种的安全事故,仅仅需要从控制台发送一个命令,系统将全部恢复到之前的稳定状态
• SMSDOM-----邮件防病毒,防垃圾邮件,for Domino • SMSMSE-----邮件防病毒,防垃圾邮件,for Exchange • SBG -19-
Symantec终端安全防护SPS企业版解决方案
-----企业级邮件网关,通过额外购买硬件轻松扩展
• SWG-----企业级Web 网关,Web网关防毒,通过额外购买硬件轻松扩展
3.2 安全性—第一大安全品牌的强大的安全威胁防护
全面的防护 —
集成一流的技术,可以在安全威胁渗透到网络之前将其阻止,即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件,包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件...无论安全威胁来之包U盘的、非法的程序还是邮件系统; 主动防护 —
全新的主动威胁扫描使用独特的Symantec技术为未知应用程序的良好行为和不良行为评分,从而无需创建基于规则的配置即可增强检测能力并减少误报,同时针对不符合安全规定的计算机将自动隔离 业界最佳的威胁趋势情报 —
Symantec的防护机制使用业界领先的Symantec全球情报网络,可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施,并且可以帮助您防御不断变化的攻击,从而使您高枕无忧
-20-
Symantec终端安全防护SPS企业版解决方案
3.3 保险性—具备强大的系统恢复功能,避免安全事故
不再需要担心可能因为一个小小的错误补丁就可能导致蓝屏,注册表破坏,系统文件损坏造成系统崩溃的因素,通过强大的系统在线备份与恢复功能,故障计算机将在最短的时间内恢复系统
3.4 易用性—统一的控制平台
单一控制台 —
通过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。
-21-
Symantec终端安全防护SPS企业版解决方案
-22-
第二篇:Symantec终端安全防护SPS3.0企业版方案要点
Symantec终端安全防护 SPS企业版3.0方案建议书
xx有限公司
2018年10月 Symantec终端安全防护SPS企业版解决方案
第1章 1.1 1.2 第2章 2.1 2.2 2.3 2.4 2.5 2.6 第3章 3.1 3.2 3.3 3.4 项目综述.................................................................................................................................1 项目需求分析.........................................................................................................................1 总体技术思路及优势.............................................................................................................2 XX终端安全防护架构设计方案............................................................................................5 系统架构设计.........................................................................................................................5 服务器和终端安全防护设计(SEP)...................................................................................6 安全自我隔离(SNAC SELF ENFORCEMENT).....................................................................9 终端系统保护和快速恢复设计(BESR)..........................................................................10 邮件应用的安全防护设计(FOR DOMINO以及EXCHANGE).............................................13 WEB安全网关设计(可选)....................................................................................................16 SPS企业版技术方案特点总结............................................................................................19 全面性—合适的价格,一步到位的实现............................................................................19 安全性—第一大安全品牌的强大的安全威胁防护............................................................20 保险性—具备强大的系统恢复功能,避免安全事故........................................................21 易用性—统一的控制平台...................................................................................................21
I Symantec终端安全防护SPS企业版解决方案
第1章 项目综述
1.1 项目需求分析
随着计算机技术的不断发展,信息技术在企业网络中的运用更加广泛,信息安全问题也显得尤为迫切。自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和数据安全造成了极大的破坏。而传统防病毒产品在应对新的终端安全威胁时效果欠佳,因为病毒来自与不同的传播途径,例如邮件,网页浏览,U盘的使用,高危程序的下载安装等多种途径,因此Symantec认为企业需要同时结合多种技术手段来综合的治理企业所面临的安全问题,巩固企业安全防线。
目前xx的防病毒体系还处于依赖传统的防病毒产品来应对安全威胁的阶段,产品覆盖范围有限,缺乏统一的管理平台,没有完善的病毒防护响应机制,没有办法杜绝全部的病毒传播途径,发生大的安全事故缺乏快速恢复的保障;同时随着xx信息化步伐的加快,建立一套适应xx未来发展的防病毒安全体系迫在眉睫。通过终端安全防护项目,设计一套满足xx未来发展的防病毒体系:建立系统的运维管理规范、技术体系标准,优化企业内网环境,减少病毒对企业员工的影响,提高员工的工作效率,为企业的快速发展提供保障。
-1-
Symantec终端安全防护SPS企业版解决方案
1.2 总体技术思路及优势
Symantec是全球第一大安全软件厂商,第三大独立软件厂商,财富500强企业;拥有从终端管理到终端安全,服务器管理到服务器安全的全部尖端产品,具备丰富的全球行业安全经验,Symantec可以帮助xx构建全方位的、高效的、健壮的终端安全防护体系
Symantec的全球安全服务实践证明,完整有效的终端安全解决方案包括技术、管理两个方面内容。虽然客户已经具备了完整的管理体系,但是全面的安全技术手段是必须的。
传统的病毒防护方案存在局限性,对于xx这样的大型企业,整体的终端安全体系比单纯的查杀病毒显得更为重要,如果不能做到全网建立统一的安全体系,再强的防病毒软件也不能发挥应有作用,因此我们认为防病毒并不能解决客户遇到的全部安全问题,因为安全的问题来自各个不同的感染渠道,包括网络,邮件,因此我们应该建议客户采用更全面的解决方案,包括终端安全,准入控制,邮件安全,网络安全, 因此,我们建议终端安全防线应该如此规划: 一.终端计算机应该建立防病毒,反间谍软件控制
二.终端计算机需要建立端点防火墙,主机入侵检测以及防御
三.终端计算机需要控制USB以及非法软件的使用,避免非法软件以及US导致-2-
Symantec终端安全防护SPS企业版解决方案 的病毒感染
四.对于终端计算机不符合安全规定的将自动自我隔离
五.对于终端计算机,进行系统自动备份(在线备份),在发生故障可以即时恢复系统
六.对于可能导致计算机感染病毒的邮件系统可以设置邮件防病毒,防垃圾邮件
Symantec向您推荐以下产品的组合:Symantec protection Suite SPS 企业版 3.0 SPS EE 3.0含有以下产品组合:
• SEP 11-----防病毒/反间谍软件/端点防火墙/主机入侵检测/防御/USB设备与应用程序控制
• SNAC Self Enforcement-----网络访问控制自我强制隔离,对于不符合安全规定的企业客户端进行自我隔离
• BESR Desktop-----系统实时备份,恢复,不用担心企业出现各种的安全事故,仅仅需要从控制台发送一个命令,系统将全部恢复到之前的稳定状态
• SMSDOM -3-
Symantec终端安全防护SPS企业版解决方案
-----邮件防病毒,防垃圾邮件,for Domino • SMSMSE-----邮件防病毒,防垃圾邮件,for Exchange • SBG-----企业级邮件网关,通过额外购买硬件轻松扩展
• SWG-----企业级Web 网关,Web网关防毒,通过额外购买硬件轻松扩展 统一的控制平台:
-4-
Symantec终端安全防护SPS企业版解决方案
第2章 xx终端安全防护架构设计方案
2.1 系统架构设计
根据xx网络安全与病毒防护现状,本方案立足xx构建整体的企业终端安全防护架构为目标,设计一套满足xx未来发展的防病毒体系,方案核心设计主要包含:
通过建立多层次的安全防线,分别是服务器与终端安全防护、安全自我隔离、邮件安全、web安全和客户端系统备份恢复; 服务器以及终端安全防护:
实现对应用服务器的病毒安全防护,版本支持Linux和Windows平台及Mac OS平台;
终端防护自我隔离:
保护企业内所有终端并提供强大的安全防护与管控能力;对于没有符合规定的计算机,本机防火墙进行自我隔离 终端系统保护和快速恢复:
在所有的终端部署Symantec Backup Exec System Recovery,保护企业内所有终端系统并提供快速恢复系统的能力。
-5-
Symantec终端安全防护SPS企业版解决方案
邮件服务器防病毒:
通过在邮件服务器部署群件邮件防病毒软件Symantec Mail Security for Domino /Exchange,实现邮件的安全保护; WEB安全网关(硬件选购):
通过部署SWG网关防毒,实现对HTTP、FTP、BT、即时通讯等流量的内容过滤,并可实现对内部僵尸网络或木马的检测和清除;
2.2 服务器和终端安全防护设计(SEP)
SEP将 Symantec Antivirus™与高级威胁防御功能相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击,这些攻击能够躲避传统的安全措施,如 Root kit、零日攻击和不断变化的间谍软件。
Symantec认为终端的防护应该注重以下方面:
-6-
Symantec终端安全防护SPS企业版解决方案
1、防病毒和间谍软件的查杀:
提供了无可匹敌的一流恶意软件防护能力,包括市场领先的防病毒防护、增强的间谍软件防护、新 Root kit 防护、减少内存使用率和全新的动态性能调整,以保持用户的工作效率。50次以上通过VB100的验证
2、先进的威胁防御能力:
能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括:
3、即刻可用的主动防护技术以及管理控制功能:
主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动 管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活-7-
Symantec终端安全防护SPS企业版解决方案
动。甚至可以根据用户位置阻止特定操作。
4、网络威胁防护:
提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB),该功能可以在恶意软件进入系统前将其阻止在外
5、主动威胁防护:
针对不可见的威胁(即零日威胁)提供防护。包括不依赖特征的主动威胁扫描。
6、设备以及程序控制:
针对USB可以采用直接的控制模式,例如只读,读写,分类控制;针对程序采用白名单的程序控制模式。
7、统一的控制模式:
不仅可以增强防护,而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。通过一个管理控制台即可进行管理。从而不仅-8-
Symantec终端安全防护SPS企业版解决方案
简化了端点安全管理,而且还提供了出色的操作效能,如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划;提供防病毒、反间谍软件、桌面防火墙、IPS,通过单个管理控制台即可进行全面管理。
多层防线可以显著降低风险,同时能够充分保护企业资产,从而使企业高枕无忧。它是一款功能全面的产品,只要您需要,即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起,还是来自于外部,端点都会受到充分保护。
2.3 安全自我隔离(SNAC Self Enforcement)
无需交换设备支持,保护企业内所有终端并提供强大的安全防护与管控能力;对于没有符合规定的计算机,本机防火墙进行自我隔离;
-9-
Symantec终端安全防护SPS企业版解决方案
1、检测客户端自身安全遵从性
2、符合规定允许访问受保护网络
3、不符合规定需要的隔离服务器进行修复
4、支持全部的交换设备以及HUB设备
2.4 终端系统保护和快速恢复设计(BESR)
Windows操作系统目前在各大企业中依然占据重要的地位,类似xx企业的大部分终端都依赖于windows平台,由于其功能强大,而且易于使用,也使其很容易成为被各种威胁攻击的目标。终端用户对计算机的操作和管理能力相对较弱,操作系统出现故障通常解决起来很困难,可能因为一个小小的错误补丁就可能导致蓝屏,注册表破坏,系统文件损坏,都是造成系统崩溃的因素,所-10-
Symantec终端安全防护SPS企业版解决方案
以对于终端系统的备份和恢复要求尽可能操作简单易行。
利用Symantec终端集中系统保护功能模块BESR(Symantec Backup Exec System Recovery),可以实现:
1.完全避免了重装系统的过程,可以在二十分钟左右将系统恢复到上一次的备份状态,操作极其简单,终端用户可自行恢复。
2.可在管理服务器的集中管理下统一将所有的终端用户系统集中备份到网络位置,也可由终端用户自己进行在线备份。重要的是,系统的备份可支持增量备份,备份所需的时间极短,不会长时间占用网络资源,备份位置的灵活性适用于经常移动的用户将系统的备份带在身边随时可进行系统恢复,如:备份到移动硬盘、光盘,甚至直接备份到自己的电脑里。
3.终端集中系统保护模块BESR支持所有的windows终端,利用其restore anywhere的功能,可将系统进行不同硬件架构的恢复,用户再也不需要因为两台电脑间硬件差异太大导致系统恢复失败的问题而烦恼。
4.此外终端集中系统保护模块BESR可将备份下来的系统转换成虚拟机的格式直接在虚拟机下运行,立即验证恢复的可行性和恢复生产应用。
-11-
Symantec终端安全防护SPS企业版解决方案
其结构示意图如下:
主要功能:
1、可在不影响员工工作效率的情况下,自动备份台式机和笔记本电脑,并将备份保存到任意磁盘存储设备
2、可在几分钟内将整个系统恢复到相同或不同的硬件上,并支持 Windows 7 使用内置的搜索工具或 Google Desktop,可在几秒钟内还原单个文件和文件夹
3、可将备份异地复制到 FTP 位置或二级磁盘驱动器,从而增强灾难恢复能力
主要优势:
-12-
Symantec终端安全防护SPS企业版解决方案
1、可随时随地在几分钟内恢复您所需的内容,如单个文件、文件夹或整个系统,甚至可以恢复到不同的硬件或虚拟环境
2、在一个易用的向导型界面中,通过主动数据和系统保护功能来管理您的业务,而不是备份
3、以快速可靠的自动恢复流程取代费时、易错的手动恢复流程,从而最大限度地减少停机时间,规避灾难事件
4、可通过 Backup Exec System Recovery Manager 集中管理整个企业中多台台式机备份和恢复任务
2.5 邮件应用的安全防护设计(For Domino以及Exchange)
企业网邮件应用的安全防护重点是:
1、对来自外部网的垃圾邮件进行过滤和处理;
2、对病毒和蠕虫造成的邮件攻击进行拦截;
3、对不断增长的无用带宽进行限制和调整;
4、对包含不正当内容的邮件予以拦截;
Symantec Mail Security for Domino以及Exchange 提供了实时防护功-13-
Symantec终端安全防护SPS企业版解决方案
能,可以保护电子邮件服务器、文档和数据库免遭病毒、垃圾邮件、间谍软件、网页仿冒和其他攻击的侵扰,同时确保针对它们实施内容策略。Symantec Mail Security for Domino以及Exchange 被设计为一款集成的应用程序,它的交叉平台策略管理功能可以简化异构环境的管理。在 Bright mail 技术的支持下,Premium Anti spam 附加订购服务阻止了 99% 的垃圾邮件,而误报率低于百万分之一。
Symantec群件安全防护方案主要功能:
1、卓越防护
防御病毒、群发邮件蠕虫、特洛伊木马、垃圾邮件、间谍软件、网页仿冒和拒绝服务攻击。阻止了 99% 的垃圾邮件,而误报率低于百万分之一(仅限 Windows)。通过预定义的策略、正则表达式、附件条件和真实文件分类来过滤电子邮件内容
2、管理灵活简便
爆发通知功能可以在病毒爆发初现端倪时向管理员发出警告,从而使他们能够立即做出响应;交叉平台策略和定义管理简化了异构环境的管理,集中式隔离数据库功能极大降低了跟踪所有服务器上隔离的电子邮件和附件所需的工作量
Symantec群件安全防护方案的特点:
1、采用了多种过滤技术,有效率达到95%以上,准确性达到99.9999%,处于-14-
Symantec终端安全防护SPS企业版解决方案
世界领先水平;
2、在全世界拥有200万个蜜罐邮箱,专门收集最新的垃圾邮件,能够快速应对最新的垃圾邮件发送技术。同时,Symantec企业在国内设立了20万蜜罐邮箱专门搜集国内的垃圾邮件,针对中文垃圾邮件和国内流行的垃圾邮件同样具有很高的过滤效率;
3、自动生成垃圾邮件过滤规则,并且每5-10分钟为用户更新一次过滤规则,具有极快的响应能力;
4、集成了倍受好评的 Symantec 防病毒技术来扫描和检测病毒。并且防病毒定义与过滤规则一同升级,不需要用户单独维护。而且Symantec企业是世界上唯一一家同时具备国际领先的防垃圾邮件技术和防病毒技术的厂商,产品之间不存在集成和兼容性的问题,保证了用户使用的稳定性;
5、通过电子邮件防火墙技术,实现在真正的垃圾邮件与病毒邮件到达用户网络之前,就阻止其企图的功能。通过此技术,可以极大的节省用户网络的带宽利用,并且真正保护了最终邮件服务器的可用资源(SMS 8300独有);
6、可有效防止DHA攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的DOS攻击(SMS 8300独有);
7、通过邮件源信誉度判断、SPF发件人身份认证技术以及第四代增强型的URL过滤技术,可以有效的识别目前危害最大的“网络钓鱼”(Phishing)电子邮件,-15-
Symantec终端安全防护SPS企业版解决方案
从而保障目标企业的员工不会遭受到巨大的经济损失;
8、强大的最终用户可配置功能。最终用户通过登陆管理配置界面,可以管理与自己有关的隔离区垃圾邮件,并且可以自定义个体的黑名单、白名单和语言选项,从而大大的降低管理员的管理负担;
9、能够支持包括英文、中文、法文、德文、日文、韩文等12种语言的垃圾邮件识别和过滤。
2.6 WEB安全网关设计(可选)
Symantec企业网关安全SWG — Security Web Gateway(以下简称SWG)是新一代的统一威胁管理设备。它采用了多种先进的安全技术,对进出企业网络的数据包进行检查、处理和控制,可以满足企业网抵御混合型威胁的需要。作为业界最全面的WEB网关设备,将基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、僵尸网络和木马检测技术无缝地集成在一起。Symantec Web Gateway 以Symantec全球情报网络为后盾,基于可伸缩的平台构建,可以快速同时扫描恶意软件和不适宜的 Web 内容,从而确保企业在遭受攻击时能够保持关键的运行时间和员工工作效率。
在部署时,SWG可以根据企业的实际需要启用不同的安全功能模块,从而-16-
Symantec终端安全防护SPS企业版解决方案
实现灵活部署与应用。在企业网出口的位置,为了避免企业网出口的单点故障,可以部署两台或多台SWG设备的集群环境。该架构可以同时承担负载均衡和高可用性责任。以上方案的效果可以使管理员灵活控制来自Internet的通讯流量,阻止各种外部黑客攻击和病毒和蠕虫。
利用Symantec的SWG方案部署在企业网出口,其特点如下:
1、具有强大的网络安全防护功能,集成了基于协议异常和基于攻击特征的入侵防御及入侵检测、病毒防护、僵尸网络和木马检测技术。可以在一台设备上实现对企业网的统一威胁管理。
2、SWG提供集中式管理,通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。同时SWG具有集成的高可用性和负载均衡选件,能够满足任何规模的企业网的性能要求。主要优势:
1、Symantec Web Gateway 以Symantec全球情报网络为后盾,由Symantec防病毒引擎提供动力,自 1999 年起连续多次蝉联 VB100 大奖。
2、提供了便利的自包含设备(其中包括保护 Web 网关所需的所有组件),无需在网络中采用其他技术。
3、采用了高度可伸缩的技术,无需延长时间即可满足各种企业的需求,从而确保了对最终用户的浏览体验毫无影响。
-17-
Symantec终端安全防护SPS企业版解决方案
4、不断收集由Symantec全球情报网络提供的数据(这些数据涵盖一些世界上最广泛的互联网威胁数据来源),可以针对最新威胁提供全面的最新防护。
-18-
Symantec终端安全防护SPS企业版解决方案
第3章 SPS企业版技术方案特点总结
3.1 全面性—合适的价格,一步到位的实现
SPS企业版3.0含有以下套件,一步到位:
• SEP 11-----防病毒/反间谍软件/端点防火墙/主机入侵检测/防御/USB设备与应用程序控制
• SNAC Self Enforcement-----网络访问控制自我强制隔离,对于不符合安全规定的企业客户端进行自我隔离
• BESR Desktop-----系统实时备份,恢复,不用担心企业出现各种的安全事故,仅仅需要从控制台发送一个命令,系统将全部恢复到之前的稳定状态
• SMSDOM-----邮件防病毒,防垃圾邮件,for Domino • SMSMSE-----邮件防病毒,防垃圾邮件,for Exchange • SBG -19-
Symantec终端安全防护SPS企业版解决方案
-----企业级邮件网关,通过额外购买硬件轻松扩展
• SWG-----企业级Web 网关,Web网关防毒,通过额外购买硬件轻松扩展
3.2 安全性—第一大安全品牌的强大的安全威胁防护
全面的防护 —
集成一流的技术,可以在安全威胁渗透到网络之前将其阻止,即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件,包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件...无论安全威胁来之包U盘的、非法的程序还是邮件系统; 主动防护 —
全新的主动威胁扫描使用独特的Symantec技术为未知应用程序的良好行为和不良行为评分,从而无需创建基于规则的配置即可增强检测能力并减少误报,同时针对不符合安全规定的计算机将自动隔离 业界最佳的威胁趋势情报 —
Symantec的防护机制使用业界领先的Symantec全球情报网络,可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施,并且可以帮助您防御不断变化的攻击,从而使您高枕无忧
-20-
Symantec终端安全防护SPS企业版解决方案
3.3 保险性—具备强大的系统恢复功能,避免安全事故
不再需要担心可能因为一个小小的错误补丁就可能导致蓝屏,注册表破坏,系统文件损坏造成系统崩溃的因素,通过强大的系统在线备份与恢复功能,故障计算机将在最短的时间内恢复系统
3.4 易用性—统一的控制平台
单一控制台 —
通过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。
-21-
Symantec终端安全防护SPS企业版解决方案
-22-
第三篇:企业安全防护方案
企业安全防护方案
公司为进一步加强安全管理,建立安全管理长效机制,促进企业安全生产,特制定本方案。
一、指导思想和基本原则
(一)指导思想
1.坚持安全管理的科学发展观。以科学发展观统领全局,坚持“安全第一、预防为主、综合治理”的方针,以保障职工生命安全为基本出发点,以杜绝重特大事故为目标,倡导安全文化,落实安全责任,加大安全投入。
2.实现安全管理的“四化”。构建覆盖全公司、责任到人、职能到位的安全生产监管网络,形成各司其职、相互联动、综合监管的工作格局,使安全工作实现“四化”:规范化、科学化、精细化、长效化。
(二)基本原则
1.以人为本。充分调动全员的积极性,把提高安全管理水平,努力为一线工人提供良好的工作环境作为安全管理的出发点和落脚点,切实解决安全管理的难点问题。
2.责任明确。安全管理工作是一个系统工程,需要各职能部门、各子公司、工区共同进行管理,因此要做到职责分工明确,各履其职,各负其责,防止推诿扯皮。
3.强化监督,重视绩效考核。网格化管理是开放的管理系统,需要强化对各公司、各工区等责任单位的监督。网格化管理是有机的管理系统,细化考核内容,量化考核标准,具体奖惩措施,建立安全管理工作综合考评机制,为网格化安全管理提供制度保障。
二、工作目标
1.深入开展安全管理,努力提高安全管理水平,构建“横向到边,纵向到底,纵横交错,全面覆盖,分级管理,层层履责,网格到底,责任到人”的网格化管理机制,推动我公司安全管理工作上台阶。
2.建立工区、作业面为网格终端的监管平台,形成分级分格监管、责任明确、定位准确、高效运转的网格化监管体系,实现层层监管、事实监控,确保日常监管不留盲区、隐患排查不留死角、应急救援及时有效,遏制较大事故,杜绝重特大事故,实现安全生产形式的明显好转。
三、工作内容
1.建立“三分六定”管理体系。三分为:“分级建格,分区包片,分类指导。”六定为:“领导定点,全员定则,监管定位,排查定时,培训定期,奖惩定量。”
2.明确职责。明确网格管理第一责任人,明确职责,落实责任。责任人要严格按照岗位
责任制,明确安全监管工作职责,做好检查和监管。
3.建立岗位责任制。在现有岗位责任制的基础上,建立适合推行“三分六定”网格化管理的岗位责任制。
4.宣传到位,广造声势。要充分利用培训班、座谈会、宣传栏等形式,多渠道、多形式加强宣传,营造浓厚的舆论氛围,提高知晓率、支持度、参与率。
四、工作要求
1.精心组织,务求实效。各公司要按照《实施方案》、《实施细则》确定的工作目标、工作内容和工作职责认真开展工作,一个网格一个网格落实责任、一个网格一个网格开展巡查、一个网格一个网格进行规范、一个网格一个网格强化监管,网格到底、责任到人,务求实效。
2.健全机制,加强督查。建立安全管理网格化管理制约机制,定期组织网格化管理督查活动,形成以督查为标准的安全管理工作评估考核机制,推动安全管理网格化管理的规范运行。
3.严格责任,明确奖惩。公司要将网格化管理的目标、任务、内容、职责下达到每一位监管人员,加强督查指导,层层抓落实。建立责任追究和奖励机制,对工作不力、消极应付的公司及监管人员要予以惩处。对在实施网格化管理中取得显著成绩的单位和个人予以表彰和奖励。
4.注重时效,快速反应。围绕提高处置效率这一环节,明确责任分工,增强责任意识,强化效能监管,切实解决推诿扯皮、敷衍塞责、效率低下等状况。
5.善于总结,不断提高。网格化管理是一种新型的管理模式,没有太多的经验可借鉴。每一位网格化管理的参与者都要通过自身不断实践、思考、总结,不断地改进和创新工作方法,以与时俱进的工作精神,把安全工作网格化管理工作推到新的高度。
五、实施步骤
1.网格化定责阶段。按照健全安全生产网格化监管体系,合理划分网格,对事故隐患、重大危险源、突出问题进行细致排查登记,建立台帐和档案,确定网格、各个责任区、各类人员的安全生产职责和措施。成立机构,落实人员。
2.网格化立制阶段。建立三分六定网格化安全生产监管信息平台,建立安全管理数据库。制定上下级网格,统计网格,网格内部的运行规则、程序、制度和应急监控措施,确保网格有序运行。
3.网格化运行阶段。全面启动“三分六定”网格化管理,发现和解决在推广过程中出现的各类问题,保证网格化管理的有效运行。
4.网格化考评阶段对“三分六定”网格化管理进行季度性检查,年终考核验收,总结经验,表彰先进。
六、实施细则
(一)宏观管理三分
“三分”是指分级建格、分区包片、分类指导。
1.分级建格
子公司为一级大网格,区为二级中网格,作业面或掌子面为三级小网格,公司指导各级网格。一级大网格由各公司执行董事、经理和安全管理副总、安全科长组成。中网格则由工区长、安全员、各后勤人员及非生产班组的岗位工人组成。小网格由采矿、探矿、掘进作业面(或掌子面)班组长组成。网格之间相互依存,弥漏补缺。
2.分区包片
在网格中明确责任区、明确责任人、实施包片负责。
各公司执行董事为一级大网格负责人,是本公司安全生产第一责任人;区长为二级中网格负责人,是所在工区安全生产第一责任人,对本工区的安全生产负总责;班组长为三级小网格负责人,是所在作业面或掌子面的责任者。各级责任区内管理部门、管理人员要对所在责任区的主要责任者高度负责,发挥好职能,服务于责任区。各责任区的责任人要充分调动、利用好各方面力量确保安全生产。责任区责任者也可细化网格内责任区,包片到人,各负其责,层层抓安全,责任分工明确,一级对一级负责,层层深入,形成更具特色的安全管理氛围。
3.分类指导
明确安全防范工作的重点,分类指导。受各种因素的影响和作用,安全管理的重点也在不时地发生变化,不安全因素也在随时发生改变。这就需要各职能部门或专业性较高的管理人员分类指导,分类指导使之职能部门或专业性较高的管理人员更为充分地发挥专长,有利地防止人员蛮干,违章指挥、违章作业的发生。各分片负责人对本片的隐患排查、安全检查、隐患处理要明确责任,明确防范工作重点。
(二)具体实施“六定”
“六定”是指领导定点、全员定责、监管定位、排查定时、培训定期、奖惩定量。
1.领导定点
公司领导小组成员要经常到一级大网格各子公司挂点指导,检查安全生产情况。
执行董事、经理、副经理要经常到二级中网格工区挂点指导、检查,要了解情况,帮助解决具体不安全问题。
各区长、安全员到小网格班组挂点指导、检查,亲自组织生产活动,解决具体不安全问题。
如上级网格组成人数不能满足下级网格挂点需要,上级网格必须派机关其他职能人员参与网格管理。
2.全员定责
所有网格管理参与者严格实行“一岗双责”,将安全生产责任落实到管理和生产过程的每一个环节,岗位和个人。层层签订责任书,明晰责任主体,分解责任指标,建立健全企业安全生产责任制。
建立安全责任制,让明确自己的职责并严格履行其职责和义务,高度树立安全生产的思想。签定联保责任书,系统之间、工区之间、班组之间、班组成员之间相互监督帮扶,形成抓安全人人有责的安全生产环境。
3.监管定位
对每个区域、每个掌子面明确安全生产责任,实施有效监管。横向与纵向的区域划分结合定员、定位、上至公司,下至作业面层层有监管,层层有负责人。责任到人、分工明确、包干到位,做到管理无盲区,监管清晰明了。
4.排查定时
公司每周组织一次安全抽查,由领导小组临时抽取检查子公司的工区。一级网格每天检查一次二级网格,二级网格时时检查三级网格。
公司安全部对重点部位,重要时段的事故隐患,在加强日常监管的基础上,定时排查,限时整改。对于可能产生意外的工段,必须在发现后立即向上级领导汇报并处理,最迟不得超过6小时,确保不发生意外事件;对一般可能存在危险的工区必须于发现后48小时内处理,并通过负责人验收;对情况复杂一时难以立即修复的工区,在采取安全措施后经研究讨论确定方案,一般在10天内予以解决。
5.培训定期
对于一级网格责任人员,公司领导小组委托安全部定期培训并通报一周安全情况。对二级网格和三级网格的责任人员,定期定岗进行专业培训,确保持证上岗。
子公司要制定培训计划,完善三级教育培训制度,理论与现场教育相结合的教育模式,进行专业轮训。每半年通过书面与实践相结合的考核方法来完善、检验培训效果。
6.奖惩定量
由领导小组或上级网格每月组织一次考评工作,每季度进行一次评分。考核内容主要是:
网格化管理建设情况;网格化管理执行情况;是否发生安全事故。
考核成绩按优秀、良好、合格、不合格划分为四个等次。90分及以上为优秀,80—89分为优良,70—79分为良好,60—69分为合格,60以下为不合格。
把每月考核情况纳入安全生产管理目标奖惩内容,奖惩资金从各子公司风险保证金支取。
第四篇:移动网络安全防护方案建议书
XX单位网络安全防护方案书
北京天融信公司长春办事处
2011年9月
一. 前言
随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业,全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。这些都使信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。发展和推广网络应用的同时进一步提高网络的安全性,真正做到“既要使网络开放又要使网络安全”这一问题已成为了网络界积极研究的课题。
在我国,近几年随着网络技术的发展,网络应用的普及和丰富,网络安全的问题也日益严重,利用信息技术进行的高科技犯罪事件呈现增长态势。根据国际权威应急组织CERT/CC统计,自1995年以来漏洞累计达到24313个,2006年第一季度共报告漏洞1597个,平均每天超过17个,超过去年同期2个。CNCERT/CC 2005年共整理发布漏洞公告75个,CNCERT/CC 2006年上半年共整理发布漏洞公告34个。从统计情况来看,2006年上半年漏洞报告数量仍处较高水平,大量漏洞的存在使得网络安全总体形势仍然严峻。
对信息系统的安全威胁,包括网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。北京天融信公司作为中国信息产业的排头兵,决心凭借自身成熟的安全建设经验,网络安全系统出谋划策。
随着XX单位网络化和信息化建设的发展,安全问题对于XX单位信息网络的发展也越来越重要。安全问题已经成为影响XX单位业务平台的稳定性和业务的正常提供的一个重大问题,所以提升XX单位自身的安全性已经成为不可忽视的问题。XX单位的领导充分认识到网络安全建设的重要性,为了更好的开展、配合XX单位各方面工作,决定对现有信息系统进行网络安全技术改造。
本方案主要针对目前XX单位的最重要部分,即财务系统的安全进行重点防护,提出我们的观点和意见。
二. 用户现状分析 1 用户网络现状
目前XX单位的网络主要是一套星形交换网络,办公网对外出口为互联网,办公网通过部署的一台核心交换机分别为办公网络和财务网络两个子网, 具体如下图所示: 系统资源分析
XX单位网络资产主要可以分为三大类: 物理资源; 软件资源; 其他资源。物理资源:
网络基础设施:包括连接网络的光缆、各个资源内网电缆、路由器、交换设备、数据存储服务器、光电转换设备、个人电脑等。
系统运营保障设施:包括供电设施、供水设施、机房、防火设备、UPS、加湿器、防静电设备等。软件资源:
重要业务软件,如业务应用软件以及其他基本的应用办公软件; 计算机平台软件,包括操作系统、软件开发平台软件、数据库系统、WEB应用软件等;
工具软件,如杀毒软件、OFFICE办公软件、硬件驱动库等。其他资源:
XX单位网络中还包括其他重要的资产,如文档资料等。这些资源在构建信息安全保障体系时也应当被考虑。安全风险分析
XX单位信息系统的建设,给XX单位办公带来了极大的便利,利用此信息平台,极大的提高了办公的效率,提高了事件处理响应速度,同时我们也看到,系统的建设带来了许多安全风险,必然会受到来自外部或内部的各种攻击,包括信息窃取、病毒入侵和传播等行为。针对内部业务网和外部办公网,要保证网络的整体安全,就必须从分析攻击的方式入手。攻击行为一般包括侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击。针对主动和被动攻击,通过对XX单位网络结构和应用系统分析,我们认为,网络面临的主要安全威胁包括:物理层安全风险、网络层安全风险、系统层安全风险、应用层安全风险:(1)
物理层安全风险
我们所说的物理层指的是整个网络中存在的所有的信息机房、通信线路、网 络设备、安全设备等,保证计算机信息系统各种设备的物理安全是保障整个 网络系统安全的前提,然而,这些设备都面临着地震、水灾、火灾等环境事 故以及人为操作失误、错误及各种计算机犯罪行为导致的破坏过程,设备安 全威胁主要包括设备的被盗、恶意破坏、电磁信息辐射泄漏、线路截获监听、电磁干扰、电源掉电、服务器宕机以及物理设备的损坏等等。这些都对整个 网络的基础设备及上层的各种应用有着严重的安全威胁,这些事故一旦出现,就会使整个网络不可用,给内网平台造成极大的损失。
(A)信息机房周边对设备运行产生不良影响的环境条件,如:周边环境温度、空气湿度等。
(B)供电系统产生的安全威胁,UPS自身的安全性。
(C)各种移动存储媒体(如软盘、移动硬盘、USB盘、光盘等)在应用后得不到及时的处置,也会造成机密信息的外泄。
(D)一些重要的数据库服务器系统的存在着硬件平台的物理损坏、老化等现象,导致数据的丢失。
(E)网络安全设备有直接暴露在非网络管理人员或外来人员的面前,外来人有可能直接使安全设备丧失功能,为以后的侵入打下基础,如:直接关掉入侵检测系统的电源、关掉防病毒系统等。
(F)外来人员及非网络管理人员可以直接对一些设备进行操作,更改通信设备(如交换机、路由器)、安全设备(如更改防火墙的安全策略配置)等。(2)网络层安全风险
网络层是网络入侵者攻击信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。(A)网络设备存在的风险
在网络中的重要的安全设备如路由器、交换机等有可能存在着以下的安全威胁:(以最常用的交换机为例)
a)交换机缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。b)交换机口令的弱点是没有计数器功能的,所有每个人都可以不限数的尝 试登录口令,在口令字典等工具的帮助下很容易破解登录口令。c)每个管理员都可能使用相同的口令,因此,交换机对于谁曾经作过什么 修改,系统没有跟踪审计能力。
d)交换机实现的协议存在着一定的安全漏洞,有可能被恶意的攻击者利用
来破坏网络的设置,达到破坏网络或为攻击做准备。
(B)网络访问的合理性
网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到内网平台的稳定与安全。如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。
对于XX单位的网络来讲,严格地控制专网内终端设备的操作及使用是非常必要的,例如,一位非法外联的拨号用户将会使在网络边界的防火墙设备的所有安全策略形同虚设。
(C)TCP/IP网络协议的缺陷
TCP/IP协议是当前网络的主流通信协议,已成为网络通信和应用的实际标准。然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在网络发展的
早期,由于应用范围和技术原因,没有引起重视。但这些安全漏洞正日益成为黑客们的攻击点。在网上办公、网上文件审批、网上数据传递等活动中,对TCP/IP网络服务的任一环节的攻击,都有可能威胁到用户机密,都可能使重要的信息,比如重要数据、重要的口令在传递过程中遭到窃听和篡改。因此,针对网络层安全协议的攻击将给网络带来严重的后果。(D)传输上存在的风险
从网络结构的分析上,我们看到,现今网络接入互联网,网络间只是通过交换机连接,完全透明,那么当数据以明文的方式在这种不可信任网络中进行传递和交换时,就给数据的安全性、保密性带来极大的挑战,具体来讲对数据传输安全造成威胁的主要行为有:
窃听、破译传输信息:由于网络间的完全透明,攻击者能够通过线路侦听等 方式,获取传输的信息内容,造成信息泄露;或通过开放环境中的路由或交 换设备,非法截取通信信息;
篡改、删减传输信息:攻击者在得到报文内容后,即可对报文内容进行修改,造成收信者的错误理解。即使没有破译传输的信息,也可以通过删减信息内 容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、地点等重要内容的缺失,导致信息的严重失真;
重放攻击:即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,但也可以通过重新发送收到的数据包的方式,进行重放攻击。对于一些业务 系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误; 伪装成合法用户:利用伪造用户标识,通过实时报文或请求文件传输得以进 入通信信道,实现恶意目的。例如,伪装成一个合法用户,参与正常的通信 过程,造成数据泄密。
网络中病毒的威胁:由于网络间都为透明模式,一旦有机器中病毒,就会在 整个网络上大量传播,造成整个网络瘫痪,造成无法办公。(3)应用层安全
操作系统安全即是主机安全。整个网络是一个分布式交换的服务平台,其最核心的和需要保护的是财务处网络中的服务器,从操作系统本身来讲,现在代码的庞大和程序人员编码的习惯等等都会给操作系统留下一些BUG,比如一些鲜为人知的如 WINGDOW 2000的3389、139等等漏洞,都会给财务处网络带来一定的风险。一旦通过其操作系统的问题而造成的网络的崩溃,其后果是不可设想的。
操作系统面临的安全风险主要来自两个方面,一方面来自操作系统本身的脆弱性,另一方面来自对系统的使用、配置和管理,主要有:
操作系统是否安装补丁和修正程序:由于技术开发原因,几乎所有网络中的操作系统在设计时就存在各种各样的漏洞,大多数漏洞直接与系统 的安全有关,操作系统的开发公司发现后都安装了补丁和修正程序,但这种补丁和修正程序不一定为用户所知。
操作系统的后门:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的产品或者其他任何商用操作系统,其开发厂商必然有其Back-Door,这将成为潜在的安全隐患。
系统配置:系统的安全程度与系统的应用面及严格管理有很大关系,一个工作组的打印服务器和一个机要部门的数据库服务器的选择标准显而易见是不可同日而与的,因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。不同的用户应从不同的方面对其网络作详尽的分析,以正确评定数据流向。比如,由于服务器需要进行日常的维护与管理及内容更新,这就要求系统管理员或服务提供者能登录到服务器上。对此类访问服务器不应拒绝。在使用防火墙之前,服务器通过简单静态的口令字进行身份鉴别(如使用服务器或数据库的认证机制),一旦身份鉴别通过,用户即可访问服务器。侵袭者可以通过以下几种方式很容易地获取口令字:
一是内部的管理人员因安全管理不当而造成泄密; 二是通过在公用网上搭线窃取口令字; 三是通过假冒,植入嗅探程序,截获口令字; 四是采用字典攻击方式,获得口令字。
侵袭者一旦掌握了某一用户口令字,就有可能得到管理员的权限并可造成不可估量的损失。
由于操作系统的配置牵涉到各个方面,上面运行的服务也各种各样,故在系统的配置上很容易出错,因此,我们认为的系统的配置错误地很难避免,但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
(4)应用层安全
数据库安全也是整个财务处网络最为重要的应用,同时也是需要重点考虑的问题之一。整个网络主要的业务就是信息的共享和数据交换的方便性。从应用系统的角度,占据本网络整个信息平台的就是数据库,如果在数据库上不能保证安全,整个本网络的信息中心基本上就是空设防地带,数据库管理系统面临的安全风险有:
系统认证口令强度不够,过期账号,登录攻击的风险; 系统授权。帐号权限,登录时间超时的风险;
系统完整性。如:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序; 脆弱的帐号设置。在许多情况下,数据库用户往往缺乏足够的安全设置,例如未禁用缺省用户帐号和密码,用户口令设置存在脆弱性等。 缺乏角色分离。传统数据库管理并没有“安全管理员(Security Administrator),这一角色,这就迫使数据库管理员(DBA)既要负责帐号的维护管理,又要专门对数据库执行性能和操作行为进行调试跟踪,从而导致安全管理效率低下。
缺乏审计跟踪。数据库审计经常被DBA以提高性能或节省磁盘空间为由忽视或关闭,这大大降低了安全管理的效率。XX单位财务系统可能存在的风险和问题
1)来自财务网络外部的风险
虽然财务网络依托于XX单位的办公网络,但是财务网络毕竟是独立的网络个体,如果没有边界防护将是危险的。财务网络很容易遭到来自于办公网络可能的入侵者的攻击。如:入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪在Internet上爆发网络蠕虫病毒的时候,如果内网的边界处没有访问控制设备对蠕虫病毒在第一时间进行隔离,那么蠕虫的攻击
将会对网络造成致命的影响。2)来自财务网络外部的非授权访问
非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。3)来自财务网络内部的风险
目前财务网络内部的财务主服务器与财务办公主机,混杂在一台交换机上,这对于财务主服务器是完全不可取的,由于财务办公主机的使用人员纷杂,计算机安全意识参差不齐,所以财务办公主机的安全性和可靠性完全不能保证,而财务办公主机与财务主服务器之间完全没有任何防护手段。4)来自财务网络内部的非授权访问
对于财务处网络向外部网络的访问没有任何的限制,也是不可取的,针对不同用户的不同访问需求,应给于不同的访问权限。无限制的任由用户使用现有的网络资源,将会造成网络品质的整体下降。同时当财务处网络中的主机因蠕虫原因大量向外发送数据包,没有相应安全防护设备,将造成包括办公网络的整个网络的瘫痪。同时,没有完善的日志能力,对于日后的责任认定也造成了很大的麻烦。
5)病毒的风险
病毒的危险是现在网络最需要解决的问题,目前的病毒传播途径多样化,传播方式智能化,决定了使用单一的防病毒软件是无法完全解决病毒问题的,在网络的边界处,部署网关防护设备,可以有效地抑制病毒的传播,尤其是当出现大规模爆发的蠕虫病毒的时候,网关防护设备可以有效地把蠕虫病毒抑制在小范围之内,而不至于继续扩散。6)没有完善的日志系统
财务处网络中数据的完整性,可靠性,要求对于任何一次访问,都要有明确的记录,以便日后审查使用,而目前XX单位的财务网络中没有这样的能力,这对日后的究责是非常不利的 三.整体方案的设计
根据XX单位的现有网络环境,分析可能存在的威胁和风险,考虑通过部署
天融信防火墙系统,入侵防御系统及病毒过滤网关系统来加固XX单位的信息网络。
采用千兆天融信防火墙系统,入侵防御系统及病毒过滤网关系统部署在互联 网与XX单位办公网接入处用于互联网与XX单位办公网的安全防护,百兆天融信防火墙系统,入侵防御系统及病毒过滤网关系统部署在财务网络与XX单位办公网络的边界处,用于隔离财务网络中的工作主机和内部业务网络中的服务器,通过天融信防火墙系统,入侵防御系统及病毒过滤网关系统,保护服务器不受外来攻击。
具体部署如下图所示:
四.防火墙子系统 1 防火墙部署的意义
防火墙是近年发展起来的重要安全技术,其主要作用是在网络区域边界处检查网络通信,根据用户设定的安全规则,在保护重要网络区域安全的前提下,提供不同网络区域间通信。通过使用防火墙过滤不安全的通信,提高网络安全和减少主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。设立防火墙的目的就是保护一个网络区域不受来自另一个网络区域的攻击,防火墙的主要功能包括以下几个方面:
(A)防火墙提供安全边界控制的基本屏障。设置防火墙可提高网络安全性,降
低受攻击的风险。
(B)防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济。
(C)防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火
墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。(D)防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防
外,又能防止内部业务网络中未经授权主机对服务器区域的访问。防火墙的安装部署
防火墙部署的目的是隔离不同安全等级的网络区域,所以我们把XX单位办公网络,XX单位财务网络分别看作一个网络区域,同时XX单位办公网络与财务网络之外的所有节点看作另一个网络区域,防火墙部署在两个网络区域之间,即部署在财务网络和办公网络的接口处。XX单位办公网络与互联网络接口处。防火墙的工作模式和接入方式
防火墙提供多种工作模式,包括透明接入,路由接入和混合接入。
连接方式:将百兆天融信防火墙的接口1连接财务网络区域交换机,接口 2连接XX单位办公网络,接口3连接财务网络服务器区域交换机,千兆天融信
防火墙接口1连接XX单位办公网络,接口2连接互联网区域,这样我们使用防火墙实现了各个安全区域的隔离作用。
工作模式:考虑到对XX单位办公网络和财务网络的影响尽可能小,建议将 百兆防火墙配置成透明工作模式,即防火墙本身不参与路由转发和运算,只提供访问控制等防护功能,这样对网络中原有IP地址的配置影响小,互联网与XX单位办公网络需要地址转换,将配置成的路由工作模式。防火墙的配置和功能
1)通过防火墙隔离财务网络的各个区域
通过防火墙的连接,原本属于一个网络(XX单位办公网络)的节点,被划分为不同的网络区域(财务处办公区域、财务处服务器区域、办公区域、互联网区域等),通过对访问请求的审核,我们隔离不同网络区域间的网络连接,可以达到保护脆弱的服务、控制对财务服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。这样在工作主机访问财务服务器时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全。2)通过防火墙保护财务服务器
通过在防火墙上设置详细的访问控制规则,各个区域,各个IP节点间的通信,必须要符合防火墙的访问控制规则,例如当工作主机向服务器请求访问时,也只能访问服务器的相应服务端口,在保护了服务器的同时,也清除了网络中传输的不必要的数据。保证了整个业务网络的纯净,提高了网络的品质。通过防火墙的阻断功能,使得内部业务网络各个区域不受到恶意的攻击,攻击者无法通过防火墙进行扫描、攻击等非法动作。防火墙可防止攻击者对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS / RIP / ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。测的功能.3)通过防火墙限制对服务器的访问权限
通过在防火墙上进行严格的访问控制,通过对不同的用户进行分组,对于不同的用户组,给予不同的访问权限进行访问服务器,减小用户对于服务器可以进行操作的权限,极大地降低了服务器面临的风险。
4)通过防火墙限制财务网用户向外的访问
通常大多数用户认为从财务网络向外部的访问不会造成风险和威胁,这种想法是错误的,例如反弹型木马就是借助这种麻痹大意的想法进行侵入的。
缺乏安全控制的滥用互联网络,可能导致:组织内部重要资料和秘密资料通过 BBS、Email、QQ 和 MSN 等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患:对于政府、事业单位以及其他公共服务单位,如果互联网管理的不够完善,将会带来极大信息安全隐患,例如经济等类型的重要的信息被通过非法渠道泄漏,此举必然会有损组织的权威及名誉,并导致组织的公信力下降。对于公司企业等盈利性机构而言,企业的机密信息等同于企业的生命。而在互联网极度开放的今天,任何的疏忽都有可能导致企业机密信息外泄;而一旦发生企业机密信息外泄的情况,企业因此而投入了的大量人力物力将会付诸东流,此类案例在互联网广泛使用的今天是屡见不鲜的。
5)通过防火墙调整网络使用效率
通过防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽利用如:在网络中如果有工作主机向服务器区域FTP的访问、Web访问等等,可以在防火墙中直接加载控制策略,使FTP访问、Web访问按照预定的带宽进行数据交换。实现每个用户、每个服务的带宽控制,调整链路带宽利用的效率。
6)通过防火前完善日志
通过防火墙可以采集所有流经防火墙的数据,记录到防火墙的日志服务器中,通过日志服务器的日志分析和统计功能,在对收集的事件进行详尽分析及统计的基础上输出丰富的报表,实现分析结果的可视化;系统提供多达300多种的报表模板,不仅支持对网络事件按条件统计,更提供了对流量等变化趋势的形象表现;对于分析结果系统提供了表格及多种图形表现形式(柱状图、曲线图),使管理员一目了然。同时采用多种告警方式,通知网络管理人员。7)实现了重要财务工作人员直接访问财务处网络
通过天融信防火墙的访问控制能力,我们可以控制各个访问者访问的权限,同时我们采用用户名,口令,证书等验证方式,彻底实现了对于访问者身份验证的目的。
五.入侵防御子系统
通常通过防火墙进行网络安全防范。从理论上分,防火墙可以说是第一层安全防范手段,通常安装在网络入口来保护来自外部的攻击。其主要防范原理为基于TCP/IP的IP地址和及端口进行过滤、限制。由于防火墙本身为穿透型(所有数据流需要经过防火墙才能到达目的地),因此为了提高其过滤、转发效率,通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。但是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶意的攻击企图。虽然目前一些防火墙增强了对于应用层内容分析的功能,但是考虑其因分析、处理应用层内容而导致的网络延迟的增加,因此从其实际应用角度来说,存在一些局限性。但是网络入侵防御系统由于其以串接模式部署到现有网络中,执行各种复杂的应用层分析工作。因此可以成为防火墙有效的扩展。同时自带阻断功能,可以实现整体的安全防范体系。1入侵防御产品概述
天融信公司新版本的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术,它通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等,安全地保护内部IT资源。
网络卫士入侵防御系统部署于网络中的关键点,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度。
2入侵防御系统产品特点 强大的高性能并行处理架构
TopIDP应用了先进的多核处理器硬件平台,将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
精确的基于目标系统的流重组检测引擎
传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。
准确与完善的检测能力
TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更
高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。丰富灵活的自定义规则能力
TopIDP产品内置了丰富灵活的自定义规则能力,能够根据协议、源端口、目的端口及协议内容自行定义攻击行为,其中协议内容支持强大灵活的PCRE(兼容perl的正则表达式)语法格式,特定协议支持更多达10种,包括:ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于灵活的自定义规则能力,用户可以轻松定义自己的应用层检测和控制功能。
可视化的实时报表功能
现实网络中的攻击行为纷繁复杂且瞬息万变,TopIDP产品提供了可视化的实时报表功能,可以实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。应用配套的TopPolicy产品,可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表,更可以显示24小时连续变化的事件发生统计曲线图。借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。
3入侵防御产品的作用
在基于TCP/IP的网络中,普遍存在遭受攻击的风险。除了恶意的攻击外,非恶意目的发起的攻击也是非常重要的一部分。有效的入侵防御系统可以同时检测内部和外部威胁。入侵防御系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。
利用防火墙技术,经过精心的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。但是,存在着一些防火墙等其它安全设备所不能防范的安全威胁,这就需要入侵防御系统提供实时的入侵检测及采取相应的防护手
段,如记录证据用于跟踪和恢复、断开网络连接等,来保护电子政务局域网的安全。
入侵防御是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的流量中收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵防御被认为是防火墙之后的第二道安全闸门,对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。
除了入侵防御技术能够保障系统安全之外,下面几点也是使用入侵防御的原因:
(1)计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁,并对攻击者进行惩罚,有助于上述目标的实现,并对那些试图违反安全策略的人造成威慑。
(2)入侵防御可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术,能够对大量系统进行非授权的访问,尤其是连接到电子政务局域网的系统,而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度,但是很多情况下这是不能避免的:
很多系统的操作系统不能得到及时的更新
有的系统虽然可以及时得到补丁程序,但是管理员没有时间或者资源进行系统更新,这个问题很普遍,特别是在那些具有大量主机或多种类型的软硬件的环境中。
正常工作可能需要开启网络服务,而这些协议是具有漏洞,容易被攻击的。
用户和管理员在配置和使用系统时可能犯错误。
在进行系统访问控制机制设置时可能产生矛盾,而这将造成合法用户逾越他们权限的错误操作。
(3)当黑客攻击一个系统时,他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析,如果一个系统没有配置入侵防御,攻击者可以自
由的进行探测而不被发现,这样很容易找到最佳攻入点。如果同样的系统配置了入侵防御,则会对攻击者的行动带来一定难度,它可以识别可疑探测行为,阻止攻击者对目标系统的访问,或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。
(4)入侵防御证实并且详细记录内部和外部的威胁,在制定网络安全管理方案时,通常需要证实网络很可能或者正在受到攻击。此外,攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。
(5)在入侵防御运行了一段时间后,系统使用模式和检测问题变得明显,这会使系统的安全设计与管理的问题暴露出来,在还没有造成损失的时候进行纠正。
(6)即使当入侵防御不能阻止攻击时,它仍可以收集该攻击的可信的详细信息进行事件处理和恢复,此外,这些信息在某些情况下可以作为犯罪的佐证。
4入侵防御产品部署
我们建议在XX单位办公网与财务网接入处部署一台天融信百兆入侵防御系统,主要监控不同区域和财务网服务器的安全状况。在互联网与XX单位办公网接入处部署一台天融信千兆入侵防御系统.IDP的探测引擎应串连部署在XX单位办公网与财务网, 互联网与XX单位办公网连接线路上。5入侵防御策略配置
1)配置事件库升级
配置入侵防御系统进行定期的事件库升级。2)配置服务器区网络的全局预警策略
入侵防御系统将发现的针对XX单位财务网络的入侵事件进行整理,并建立战略级全局预警事件库,进而可以据此对XX单位网络做出有针对性的全局预警。
3)配置XX单位网络特有的异常事件集策略
修改或定义XX单位网络特有的事件,动态生成XX单位网络自己的事件库,提高入侵防御系统对XX单位网络应用的适应性和事件检测的准确性。4)配置XX单位网络异常流量分析策略
根据实时监控XX单位网络流量,进行网络流量的分类分析和统计情况,定义XX单位网络流量异常的阀值,对异常流量进行实时报警。5)配置XX单位网络内容异常分析策略
配置内容异常分析策略对XX单位网络所设定的异常报警内容进行多方位的定点跟踪和显示,对异常内容进行实时报警。6)配置XX单位网络安全报表策略
根据XX单位网络中所需要的事件记录内容,建立报表模板。按照XX单位网络中的需求选择报表类型,定制相应的报表。7)配置XX单位网络蠕虫分析策略
XX单位网络中心针对当前流行的网络蠕虫和病毒进行配置网络蠕虫策略,包括Nimda蠕虫、Sql slammer蠕虫等。9)配置XX单位网络入侵防御管理策略
针对XX单位网络不同安全等级的入侵事件进行不同的响应方式。包括记录,报警,阻断。
10)配置日志输出策略
配置将日志输出到综合审计系统上的策略
六.防病毒网关系统
1XX单位网络防毒需求分析和产品选型
通过对XX单位网络的网络环境和主要网络业务状况进行分析,我们认为计算机病毒是威胁系统正常运行的一个重要因素。
当前的病毒发展呈现出复合型威胁态势,传播方式多样化、速度极快,在网络中极易形成交叉感染的状况,同时计算机病毒的危害也不再只限于破坏文件和本机,它甚至可以发动网络攻击,导致网络设备和服务器崩溃。一旦病毒爆发,肯定会给网络系统带来很大损失。
针对混合型安全威胁攻击,还需要加强边界防毒的防范过滤,这样才能更有效的保证系统的安全性、网络的可用性。我们建议在XX单位财务网络与XX单位办公网,XX单位办公网与互联网接入处部署天融信防病毒网关,工作在互
联网与XX单位办公网,XX单位办公网与财务网络的接入口处。防病网关可以进行病毒特征码升级。
通过配置防病毒网关,我们可以实现: 保证所有通过邮件/HTTP/FTP等方式进入外网办公网网络及用户系统前都会通过防病毒模块查杀毒。
2防病毒网关产品组成
防病毒网关主要是处理网络中数据,对数据进行分析过滤,防止病毒代码从设备中穿过渗透到内部网络。同时防止蠕虫的攻击,和垃圾邮件对正常办公的干扰。
WEB方式管理主要是通过远程登陆防火墙,对防病毒网关进行配置和管理。用户可以远程地管理硬件设备,对要处理的主要网络协议进行设置,设置相应协议中的方便管理员的操作和管理。同时用户可以通过WEB方式查询相应的日志和生成所要的报表。
3防病毒网关产品部署
在本方案中将在XX单位办公网络与财务处网络接入处部署天融信百兆防病毒网关,XX单位办公网络与互联网接入处部署天融信千兆防病毒网关,对来自互联网的数据及财务网络区以外的数据,进行病毒检测,针对SMTP、POP3、FTP、HTTP等协议的数据流进行病毒扫描,从而提供网关层次的防毒能力。
天融信防病毒网关的部署,实现了真正的即插即用,不需要改动现有网络的任何设置。部署的位置被确定,只需要为防病毒网关连接上网线,开启电源开关就可以进行扫描。管理IP地址就是防病毒网关管理IP地址。安装向导会指导管理员进行基本的设置,非常简单易懂。
4防病毒网关产品功能
天融信防病毒网关处理所有主要的网络协议,它能处理以下协议:SMTP、POP3、HTTP、FTP和IMAP。管理员还可以针对每个协议设置高级选项,例如:可以选择清除病毒、删除文件、隔离病毒或是记录日志的方式来处理病毒。而且还可以在相应的协议中设置一些附加功能的设置,如对关键字的过滤设置,对文件类型的扫描设置等。
七 系统层安全设计
1系统层安全目标
操作系统:保障操作系统平台的安全和正常运行,为应用系统提供及时多样的服务;
数据库:保证数据库不受到恶意侵害或未经授权的存取与修改。 应用系统:能提供有效的访问控制和身份验证手段,保证应用平台的持续、可靠的提供服务。
2操作系统安全要求
操作系统是所有计算机终端、工作站和服务器等正常运行的基础,操作系统的安全十分重要。目前的商用操作系统主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000/2003、OS/
2、NOVELL Netware等。这些操作系统大部分获得了美国政府的C-2级安全性认证。但是针对操作系统应用环境对安全要求的不同,公司网络对操作系统的不同适用范围作如下要求:
在XX单位网络中关键的服务器群和工作站(如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站)应该采用服务器版本的操作系统。典型的有:SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。网管终端、办公终端可以采用通用图形窗口操作系统,如Windows NT Workstation/Server、Windows 2000等。
3操作系统安全管理
操作系统因为设计和版本的问题,存在许多的安全漏洞;同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下,安全关键在于操作系统的安全管理。
为了加强操作系统的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。
加强物理安全管理,系统要有能力限制对I/O设备(软驱、打印设备)的访问。例如:
如果没有必要,建议去掉或锁死软盘驱动器,禁止DOS或其他操作系统访问NTFS分区;
在服务器上设置系统启动口令,设置BIOS禁用软盘引导系统; 不创建任何DOS分区; 保证机房的物理安全。
下载安装最新的操作系统及其它应用软件的安全和升级补丁。如用最新的Service Pack(SP6)升级Windows NT Server 4。0,包括所有补丁程序和后来发表的很多安全补丁程序。
掌握并使用操作系统提供的安全功能,关闭不必要的服务和端口,专用主机只开专用功能。例如:运行网管、数据库重要进程的主机上不应该运行如sendmail这种bug比较多的程序。网管网段路由器中的访问控制应该限制在最小限度,与系统集成商研究清楚各进程必需的进程端口号,关闭不必要的端口。
Windows NT缺省安装未禁用Guest账号,并且给Everyone(每个人)工作组授予“完全控制”权限,没有实施口令策略等,都给网络的安全留下了漏洞。要加强服务器的安全,必须根据需要设置这些功能。 控制授权用户的访问,实行“用户权限最小化” 配置原则,将用户以“组”的方式进行管理。例如:“用户权限最小化” 配置。域里配置适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Everyone组的:“完全控制”权限,要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外,不要共享任何一个FAT卷。 避免给用户定义特定的访问控制。将用户以“组”的方式进行管理是一个用户管理的有效方法。如果一个用户在公司里的角色变了,很难跟踪并更改他的访问权。最明智的作法就是为每个用户指定一个工作组,为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权,只要把该用户从工作组中删除或指定另一个工作组。
实施账号及口令策略。配置口令策略,设置账号锁定。主要原则有:登录名称中字符不要重复或循环;至少包含两个字母字符和一个非字母字符;至少有6个字符长度;不是用户的姓名,不是相关人物、著名人物的姓名,不是用户的生日和电话号码及其他容易猜测的字符组合等;要
求用户定期更改口令;给系统的默认用户特别是Administrator、Root改名,禁用Guest账号;不要使用无口令的账号,否则会给安全留下隐患;设置账号锁定,建议设置尝试注册三次后锁定账号,在合适的锁定时间后被锁定的账号自动打开,或者只有管理员才能打开,用户恢复正常。
控制远程访问服务。远程访问是黑客攻击系统的常用手段,应在系统中集成强认证系统,如交换加密用户ID和口令数据,使用专用的挑战响应协议(Challenge / Response Protocol),确保不会多次出现相同的认证数据,阻止内部黑客捕捉网络信息包。同时,如条件允许,应该使用回叫安全机制,并尽量采用数据加密技术,保证数据安全。
启用登录工作站和登录时间限制。如果每个用户只有一个PC,并且只允许工作时间登录,可以把每个用户的账号限制在自己的PC上,且在工作时间内使用,从而保护网络数据的安全。
启动审查功能。为防止未经授权的访问,应该启用安全审查功能,以便在事件查看器安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞。但要结合工作实际,设置合理的审计规则,切忌审查事件太多,以免无时间全部审查安全问题。
定期检查系统日志文件,在备份设备上及时备份。如对用户开放的各个主机的日志文件全部定向到一个syslogd server上,集中管理。服务器可以由一台拥有大容量存贮设备的Unix或NT主机承担。
确保注册表、系统文件、关键配置文件安全。首先,取消或限制对regedit。exe、regedit32。exe的访问;其次,利用regedit。exe或文件管理器设置只允许管理员访问注册表,其他任何用户不得访问注册表;定期检查关键配置文件(最长不超过一个月)。 制定完整的系统备份计划,并严格实施。
制定详尽的系统漏洞扫描以及汇报制度,及时更新系统安全补丁,完善系统安全设置,关闭不必要和危险的服务。
4应用层系统安全
在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
5数据库系统安全
数据库管理系统自身安全策略
目前的商用数据库管理系统主要有MS SQL Sever、Oracal、Sybase、Infomix等。在XX单位网络中的数据库管理系统应具有如下安全能力:
自主访问控制(DAC):DAC用来决定用户是否有权访问数据库对象; 验证:保证只有授权的合法用户才能注册和访问; 授权:对不同的用户访问数据库授予不同的权限; 审计:监视各用户对数据库施加的动作。
数据库管理系统应能够提供与安全相关事件的审计能力: 试图改变访问控制许可权
试图创建、拷贝、清除或执行数据库。
系统应能在下面列出的级别对数据库的访问控制授权:
表;视图;纪录;或元素。
系统应提供在数据库级和纪录级标识数据库信息的能力。
数据库系统的增强加固技术
数据库管理系统的安全保护策略实现了对数据库中数据的有效保护。而现实中某些应用环境需要保持当前主流数据库管理系统的某些特性,同时又需要其满足一定程度的安全性要求,提供必需的安全功能。针对这种客观需要,比较直接经济的方法是对数据库及数据库管理系统进行安全增强与加固。
对数据库管理系统的安全功能增强主要是指对已存在的主流数据库管理系统进行安全封装与数据过滤,增加数据库管理系统的安全功能,实现数据保密性、完整性、可访问性,最终达到保护数据的目的。这些数据库管理系统自身缺乏或部分缺乏必要的安全功能,可在其外部增加安全控制模块,一个或多个安全功能子系统,封装后对外展现安全特性。一种典型安全增强配置参见下图。可以附加 的子系统包括:
认证子系统 访问控制子系统
数据的加密存储与解密子系统 传输加密子系统 审计子系统
方案总结
实施以上方案后,可以解决XX单位网络的如下安全问题:
针对网络层:在网络边界和内部引入了访问控制措施、对限制措施和强化边界访问的授权、受控。
针对应用层:解决应用的安全优化,,对网络攻击的防护,对病毒的查杀。针对管理层:建议建立网络安全管理组织,结合实际情况建立完整的一系列安全策略以及安全策略的发布、执行、审查、修订的相关流程。对网络的安全事件进行统一的整理和归纳,确保网络系统的整体安全。
第五篇:安全防护方案
安全施工方案
第一章工程概况
1.工程名称:回龙观xxx区工程 2.工程地点:回龙观小区 3.结构形式:砖混结构
4.建设单位:xxxxx地产开发公司 5.施工单位:昌平xx十六部
6.监理单位:北京xxxx设监理有限责任公司 7.监督单位:房屋修建工程质量监督站 第二章工程特点
xxxxxxxxxxxxxxxxxxxxxxx东南部,北起十里长街,南至黄土店北路,东起良庄街,西至站前街。
xxxxxxxxxxxxxxxxxxxxxxx质粉土,室内外高差1.05米,建筑面积8131.68平方米。
xxxxxx长69.55米,层高2.7米,总宽16.64米,总高18.5米。基础标高40.0米,持力层粘质粉土,室内外高差1.05米,建筑面积5893.14平方米。
xxxx号楼总长76.45米,层高2.7米,总宽19.14米,总高18.5米。基础标高40.2米,持力层粘质粉土,室内外高差0.6米,建筑面积6427.07平方米。
xxxxx号楼总长61.45米,层高2.7米,总宽16.44米,总高18.5米。基础标高40.2米,持力层粘质粉土,室内外高差0.6米,建筑面积5158.52平方米。
安全施工方案
本工程20xx年9月xx日开工,20xx年10月31日竣工。第三章 施工部署 一.施工部署:
本工程要求通过合理安排施工工序,以解决工期紧、混凝土量大的困难。结构工程、装修工程等,选择有经验、有信誉的劳务分承包方负责施工,项目部对施工进行严格管理,保证工程质量和工期要求。
二、施工工序:
先基础工程施工,后主体施工,2003年5月份插入装修水电配合施工进行。
第三章 施工准备工作计划
一、项目部组成
本工程实行项目经理负责制,以项目合同和成本控制为主要内容,以科学的管理和先进技术为手段,行使计划、组织、指挥、协调、控制、监督六项基本职能,全面履行合同,形成以全面质量管理为中心环节,科学管理、开拓敬业的原则,实现对业主的承诺。
第四章 施工安全保证措施
一、安全目标:
本工程地处回龙观,施工中要认真贯彻“企业负责、国家监察、群众监督”的安全生产管理制度。
1.施工管理方针“安全第一,预防为主”。
安全施工方案
2.安全文明施工管理目标:北京市文明样板工地。3.预防目标:杜绝重大人身伤亡事故和机械伤人,不发生火灾事故,确保安全施工。
二、施工安全措施: 1.施工安全管理目标
坚持公司的质量方针,以人为本实施科学管理,创建一流工程,真诚回报社会。
坚持“安全第一,预防为主”的安全生产方针,贯彻执行有关各项法制、法规制度章程。
2.施工安全生产管理原则:
建立健全各项安全生产责任制,实行安全岗位目标管理责任制原则。
3.施工安全生产措施;
实行各项工作谁主管、谁负责,管理责任效果与经济效益、效率,责任者进行奖励;失职违法乱纪的事故责任者,严格处罚。第五章 施工管理措施
1.建立健全安全生产体系
成立以项目经理为核心,以安全生产为中心。各项管理工作包括:施工安全、治安、消防、保卫、环保卫生、防汛、交通等。
2.建立健全的安全生产岗位责任制。
3.实行谁主管谁负责,安全目标各项管理制度。
4.建立健全各项安全生产法规的有关各项安全章程、制度、安全施工方案
规定。
5.保证安全设备的投入及措施。(1)实行用电安全管理制度的措施。(2)临时用电安全管理措施。(3)安全消灭火灾管理措施。
(4)施工安全管理措施,安全防护、安全预防措施。(5)现场施工文明管理责任及管理措施。(6)施工现场各项管理责任及管理措施。第六章 安全生产教育措施 安全生产教育目标:
宣传贯彻执行安全生产教育制度,落实各项安全管理,各项安全教育检测,使所有工程人员得到认真学习国家有关建筑情况、安全生产方针、各项政策等法规、各项安全生产知识。
使所有人员首先要牢固树立起安全生产第一、预防为主根本的安全主导思想和意识,搞好各项安全生产、实行安全生产、教育计划。
1.施工人员执行进场各项法制法规思想教育。
2.执行上岗前安全教育,掌握岗位施工安全生产知识。3.特殊工种人员进场考试培训,持证上岗,安全技能教育。4.施工人员季节教育,节假日教育,特种事件、国情、治安、各项工程过程教育。
5.变换工地、工种教育、违章教育。
安全施工方案
6.全体教育、班组教育、个人教育、个人培训、集体培训、内部培训和尾部培训措施等。
7.教育又分为班前班后教育和岗位教育:
安全教育内容:主要是依据施工,针对现场环境,作业状况,操作行为、安全程度、安全状况、安全区域因素和环境变异,因季节变化和改变条件,改善针对安全管理制度、规定章程和劳动纪律等有关要求,全面进行教育。
具体:机械安全用电,防火灾、防大水、防毒、防暑、防痢疾,施工安全防护,预防高处坠落、桩机、落物、撞伤、扎伤、摔伤、坍塌、治安交通、环卫、卫生等。第七章 安全技术措施
根据实际情况,制定以下措施: 1.安全措施及安全防护措施。
2.脚手架、井字架、四口、五临边防护措施。3.防高处坠落措施。4.机械安全装置、保护措施。
5.季节安全措施和各项技术交接措施。6.防触电措施。
7.新设施、新环境和改变、改换、改善安全环境需要措施。8.安全技术交底。第八章 安全检查制度
一、安全检查内容:
安全施工方案
1.查思想、查制度、查现场查措施、查隐患、查事故处理。2.重点检查:劳动条件、安全措施、机电设备、劳动保护、人员违章、季节措施等。
3.检查方式:定期和不定期检查,以自检为主,外检为辅,有针对性的各项检查和重点、重点专业检查等。
4.严格检查的“三定”整改原则措施,查明隐患问题,定人、定措施限期整改,并保证不发生同类现象。
二、安全验收制度措施:
1.包括工程全面性安全防护措施,机电设备设施、安全装置保险措施,培训、投入运行效应检查验证。2.施工现场环境状态,规定措施,规定行为等。例如:机械设备进场,运行过程验收。
脚手架搭设验收,防护措施验收。责任制度落实,责任区各项管理等。环境卫生保护管理制度落实执行等。
第九章 施工安全措施
根据工程安全生产需要,故制定以下安全防护措施:
一、基础土方开挖安全防护措施:
1.基础开挖时,距槽边1m以内不准堆土,并按规定1:0.2进行放坡。如未按规定放坡,也不加防护,则不准施工。2.工人上下坑时,应预先搭设好稳固的阶梯,避免人员上下时发生坠落,工人清槽时必须带好安全帽。
安全施工方案
3.开挖深度超过2m的基坑,沿边必须设两道1.2m高牢固的护栏,并悬挂危险标志,夜间还应设有红色标志灯,禁止人员在坑下休息。
4.施工中,施工人员要经常注意边坡是否有裂缝、滑坡现象,一旦发现应立即停止作业,带进行处理后才能继续进行施工。5.在基础土方开挖用机械开挖时,挖掘机应停放在平坦坚实的地面上,以保证回转机械的正常工作。
6.当铲斗未离开工作面时,禁止挖掘机转动,在挖掘机转动时,不得用铲对工作面进行侧面冲击或用铲斗的侧面冲击土壤。7.在挖掘机工作时铲斗杆下放不得有人穿越和停留,当铲斗接触地面时禁止挖掘机转动,人机配合适当。
8.挖掘机移动时,动臂应放在行走方向,铲斗距地下不得超过1m,颤抖满载时禁止移动。
9.挖掘前要了解地下有无埋设物,要注意不要挖坏底下埋设物。
二、脚手架支搭安全防护措施:
1.钢管脚手架应用外径48-51mm,壁厚3-3.5mm,无严重锈蚀、压扁或裂纹的钢管。
3.结构脚手架的立杆间距不得大于1.5m,大横杆间距不得大于1.5m,小横杆间距不得大于1m。
4.脚手架必须按楼层与结构拉接牢固,拉节点按两步三跨设置。5.脚手架的操作面必须满铺脚手板,离墙面不大于200mm,不得有空隙和探头板、飞跳板,脚手板下层要设置水平网,操作面
安全施工方案
两侧应设两道护身栏和一道挡脚板或护身栏,立挂安全网,下口封严,防护高度为1.2m。《详见脚手架搭设方案》
三、施工现场挂设安全标志、标语,放置于大门口及建筑物通道口处等相关位置。
四、安全网防护措施:
1.新网必须有产品质量合格证报告,多张网连接使用时,相临部分应靠近或重叠,连接绳材料与网相同,强力不低于其网绳强力。
2.安装立网时,安装平面与水平垂直,立网底部与脚手架全部封严。
3.保证安全网受力均匀,必须经专人验收合格后才能使用。4.拆除安全网必须在有经验人员的严密监督下进行。拆网应自上而下,同时采取防坠落措施。
五、“四口”和“五临边”防护措施
楼梯平台口:在楼梯口处设两道防护栏或制作专用的防护架随层架设。
出 入 口:在建筑物的出口处搭长3——6米,宽于通道口各1米的防护棚,棚顶应满铺不小于5厘米厚的脚手板,非出入口和出入口通道两侧必须封严,严禁人员出入。
预 留 洞口:1.5 *1.5m以下的孔洞,应预埋通长钢筋网并加固定盖板;1.5 *1.5m以上的孔洞,四周必须设两道
安全施工方案
护身栏杆,中间支搭挂安全网。
五临边安全防护
1、建筑施工中的五临边是指:深度超过2米的槽坑沟的四屋结 够楼层的周边;井字架和脚手架与建筑物的通道两侧边;楼梯口 的楼段边;阳台、挑平台、上料平台的周边。
2、临边防护必须符合下列规定:
(1)临边的防护都必须设置防护栏。
(2)分层施工的楼梯口和楼梯边,必须临时安装护栏。顶层楼梯口应随工程结构进度安装正式防护栏杆。
(3)井架和脚手架与建筑物通道两侧边,必须设防护栏杆。地面通道上部应设安全防护棚。
(4)各种垂直运输接料平台,除两侧设防护为栏外,平台口还应设安全门。
(5)钢筋横杠上杠直径不小于16mm,下杆直径不小于14mm。栏杆直径不小于18mm,采用电焊或钢丝绑扎牢固。
(6)钢管横杆及栏杆柱均采用脚手管,以扣件固定。
3、搭设临边防护栏杆必须符合下列规定;
(1)防护栏杆应由上、下两道横杆及栏杆柱组成,上、下横杆离地面为0.6m和1.2m。坡度大的屋面,防护栏杆应高1.5m,并加挂安全网。
(2)防护栏必须自上而下用安全网封严。
安全施工方案
上料平台两侧护栏必须自上而下加挂安全网。
六、提升架安全防护措施
1.龙门架搭设方法和要求必须严格按照搭设方案进行。2.龙门架首层四周用钢管搭设防护井架,并挂立网封闭,禁止人员通行,首层进料口上方设宽2m,长3m的护头棚,顶板满铺5cm脚手板,两侧封闭。
3.龙门架按楼层与建筑物进行刚性拉接,高度在15m处设一组揽风绳,设专用地锚,用花篮螺丝调节松紧,钩口封死,钢丝绳连接不得少于3个绳卡,U型弯要卡在短钢绳上,并将短绳直径压凹2/5-1/3,防止钢丝绳受压拉脱。
4.龙门架的吊盘进出料口设安全门,两侧封死,每层卸料平台设安全门,两侧绑一道护身栏(1.2m高),立挂安全网,吊盘设定拉杆装置,在距天梁之间的垂直距离不小于2m,设超高限位器,防止冲顶。
5.卷扬机按规定埋设地锚,卷桶与导向滑轮垂直对正,钢丝绳过路加遮护,导向滑轮单设地锚,不得固定在架子上,不准使用开口滑轮,卷扬机到龙门架的距离不得少于15m。
七、施工机械防护措施
施工机械进场时,安全装置不良的设备不得进场,现场每月对施工机械定期进行检测、维修、和保养,每半年进行中等保养一次,每年冬季大修保养一次,机械专人使用,专人负责,其他人不得随意使用,机手在每天使用前,要先检查一遍机械状况,经试运
安全施工方案
转后,要进行全面清理保养,禁止带病使用,操作人员严格按操作规程操作。1.卷扬机安全防护:
(1)作业前检查卷扬机与地面固定情况,防护措施,电器、线路、制动装置和钢丝绳等全部合格方可使用。
(2)以动力正反转的卷扬机,卷筒旋转方向应与操纵开关上指示的方向一致。
(3)卷扬机制动操纵杆的行程范围内不得有障碍物,卷筒上的钢丝绳应排列整齐,如发现重叠或斜绕时,停机重新排列,严禁在转动中用手去捡、脚踩钢丝绳。
(4)作业中,任何人不得跨越正在作业的卷扬机,休息时物件或吊笼应降至地面;作业中,如遇停电,应切断电源,将提升物降至地面。
2.电锯、电刨安全防护:(1)圆盘锯安全防护:
A.锯片上方必须安装保险挡板和防护挡网,离齿10-15mm处,必须安装分料器,锯片的安装应保持与轴同心。
B.锯片必须锯齿尖锐,不得连续缺齿两个,裂纹长度不得超过20mm,裂缝末端应防止裂孔。
C.如锯线走偏,应逐渐纠正不得用力猛扳,以免损坏锯片。D.操作人员不得站在锯片旋转离心力面上操作,手不得跨越锯片,锯片温度过高时,应用水冷却,直径600mm以上的锯片,安全施工方案
在操作中应喷水冷却。(2)平刨安全防护:
A.使用前检查机械刨刀安装是否紧固安全防护罩是否齐全,电源线漏电保护器是否有效,确认无问题后方可开机操作。B.平刨运转后,机手不准调试,检修或清理刨刀,衣袖要扎紧,不准带手套,防止发生意外。
C.使用时不准将手伸进安全挡板内侧,禁止摘掉安全挡板操作,手指不准按在料上面,刮小面时,手可以按在料上面或侧面,单手指必须在侧面的上半部,而且必须离开刨口至少3-6cm以上。禁止一只手放在料后面推料,按在料上面的手经过刨口时,用力轻压。15cm以下的短料不准上手刨。
D.加工薄、短和窄料时,必须使用挡板或推棍。不得用手直接推料,防止刨手。
(3)禁止在操作棚内吸烟或用明火,工作完毕将锯末、刨花打扫干净,段电时锁好闸箱后,方可离开。(4)电焊机安全防护:
A.电焊机应放在干燥绝缘好的地方,在使用前检查一次,二次线绝缘是否良好,接线处是否有防护罩,焊钳是否完好,外壳是否有接零保护确认无问题后方可使用,一次线不得长于5m,二次线不得长于30m,必须安装二次空载漏电保护器。
B.在潮湿的地沟、管道内施焊时,应采取绝缘措施,可垫绝缘板和橡胶皮,穿绝缘鞋带绝缘手套操作。
安全施工方案
C.焊接时操作人员必须带绝缘手套,穿绝缘鞋,焊接时必须双线接地线,不准用裸导线,应用多股铜芯电缆线,更不能短路焊接。D.操作时必须有动火证,设消防器材,并设专人看护,不能借路焊接。
E.电焊工必须持证上岗操作,电焊机设专用开关箱,不准将电焊机放在手推车上使用,工作结束后,切断电源,检查操作地点,确认无引火灾危险方可离开。(5)气焊安全防护
A、施焊场地周围除易燃易爆物品或进行覆盖、隔离。B、氧气瓶应有防震胶圈,旋安全帽,避免碰撞和剧烈震动,并防暴晒,冻结后应用热水加热,严禁用火烤。
C.点燃时焊枪口不准对人,正在燃烧的焊枪不得放在工件上,焊枪带有乙炔和氧气时,不准放在金属容器内,以防气体溢出,发生燃烧事故。
D.工作完毕后,应将氧气瓶气阀关好,拧上安全罩,检查操作场地,确定无着火危险方准离开。(6)切断机安全防护:
A.操作前检查漏电保护器是否灵敏,电源接线是否正确,各电器部分绝缘是否良好,传动部位是否有防护罩,机身是否可靠的接零保护,确定无问题后方可使用。
B.使用前必须空车试转,确认无问题后方可正式开始工作。C.切断短料时,必须钳子加紧后送料,防止末端摆动伤人,当切
安全施工方案
断长料时,应两人操作,机械运转过程中,禁止进行调整,检修和清扫。
D.更换刀片和检修时,先断电后在更换,加工好的钢筋应码放整齐,对段下的钢筋头必须清理干净,加工完后拉闸,锁好闸箱后方可离开。
(7)钢筋弯曲机防护:
A.工作前检修电源线部件和弯曲中心轴是否良好,漏电保护器和接零保护有效,并先空转,确认无问题方可使用。
B.弯曲较长的钢筋时应两人扶持,两人动作一致,不得任意拉拽,防止伤人。
C.更换弯曲机中心轴要先断电,不得在运转时更换和修理,防止伤人。
(8)振捣棒安全防护:
A.使用前检查不见和软轴,接线是否正确,试运转后,方可使用。B.单设电源线和电源箱,箱内要有漏电保护器,电机外壳做好接零保护,工作时两人操作,一人持棒,一人看机,随时挪电极,不得拖拉。
C.随电机的电缆线不得捆在架管和钢筋上,防止破损漏电。D.用完振捣棒先断电再盘好电缆线,电机放在干燥处,防止受潮造成电机烧毁现象。
E.工作时戴好绝缘手套穿好绝缘鞋。(9)蛙式打夯机安全防护:
安全施工方案
A.夯机使用前检查绝缘、线路漏电保护器,定向开关,皮带,偏心缺等,确认无问题后方可使用。
B.夯机操作时两人操作,一人扶夯把,一人整理电线,防止夯头打击电源,发生触电事故。
C.夯机不得在冻土、坚石、碎砖石、固土上夯打,夯机拐弯时不得猛拐或撒把不扶任其行走。
D.随机电源线应保持3-4m余量,发现电缆扭结,缠绕破裂时,及时断电,停止作业,马上修理。E.操作者带绝缘手套穿绝缘鞋。
F.漏电动作电流不得大于15Ma,时间0.1S。(10)塔吊安全防护: A.塔吊机手必须持证上岗。
B.起重机安装后,在无何载情况下,塔身与地面垂直偏差值不超过3‰。
C.起重机设专用配电箱,电源开关应符合规定要求,电缆线无破损现象。
D.起重机的塔身上,不得悬挂标语牌。
E.起重机的地基必须经过砼浇注后,能承受工作状态和非工作状态的最大荷载,并能满足起重机的稳定性要求。
F.起重机必须证件齐全方可进场,并办理安装后的所有手续后方可使用,起重机的五限位,三宝险必须齐全、灵敏。第十章
现场临时用电安全
安全施工方案
1.施工现场临时用电,必须用专职电工进行安装、架设、维修和检测,其他人员禁止私设自动用电器设备。
2.现场电工必须每天检查用电情况,出现问题立即解决,防止触电事故发生。
3.施工现场的所有机械设备,手持电动工具等必须按照建设部颁发的《施工现场临时用电安全技术规范》的要求,做好三相五线制,接零保护。
4.现场电工必须严格按照操作规程进行工作,防止任何事故的发生。
5.现场电工必须严格按照操作规程进行操作,穿戴好绝缘防护用品,本着对工作高度负责的精神态度进行工作,防止任何事故的发生。
6.工地负责人不定期检查现场用电情况,如发现严重事故隐患,将根据工地制定的规章制度和处罚措施。对电工进行处罚。《详见临时用电施工方案》 第十一章现场防雷措施
现场施工楼外脚手架设一组防雷接地装置,接闪器用直径25mm的镀锌圆钢制成,用来连接接闪器和接地钎子,接地电阻不大于4Ω,由电工定期摇测作好记录。塔吊防雷接地装置,详见《塔吊施工方案》。
第十二章 现场消防保卫措施
安全施工方案
1.现场建立逐级消防保卫责任制,确定工地各级人员在消防保卫安全工作中的权利、义务和应负的责任建立健全的组织。2.建立定期检查制度,每15天检查一次,发现问题立即整改。3.建立义务消防组织和义务消防队,做到招之即来。
消防小组名单
组
长:xxxx 副组长:xxxxxxxxxxxxxxx 组
员:xxxxxxxxxxxxxxxxx、4.现场设专职消防保卫干部,具体负责现场治安防火工作,检查监督各级防火制度的落实,实施纠正违纪违反消防条例规定的行为,领导保安人员执行警卫任务。
5.实行逐级防火安全责任制,与各施工队签定防火安全责任书,组织各队学习消防知识,施工人员进行防火安全知识考试同时建立治保组织。组织班组设专职负责人负责班组的各级防火工作。
6.严格执行市政府的有关规定和消防条例,工程内不准设材料仓库,现场材料必须使用防火材料搭设,禁止使用可燃材料,情况特殊须上报上级主管严格审批。强化管理确保安全。7.现场根据情况在施工现场设3个消火栓,配定配起水龙带和水枪,消防设施3m内不得堆放物料。现场根据施工现场的平面图设5组5-5编制消防器材,消防器材采用干粉型灭火器,以适应施工现场的防火需要。
安全施工方案
8.各种明火作业前,必须有消防安全交底,严格用火审批制度特殊工种必须持证上岗。电气焊时必须配备看火人员和放火器材,检查作业面,防止火星四溅。
9.现场用电符合规定严格控制电源,严禁乱拉乱接和使用电炉、高功率电热器等。
10.每月一次消防保卫安全会,搞好宣传,加强防火的重要性,提高放火意识,把防火意识放在首位确保工程安全进行。11.严格控制可燃材料进入施工现场,搞好文明施工,争创文明样板工地,为首都建设作出贡献。
义务消防队员
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 第十三章 现场施工作业人员的个人防护
1.进入施工现场的所有人员必须戴好安全帽,高出作业人员,在没有可靠的防护设施情况下,必须系安全带,不准穿拖鞋,塑料鞋等易滑鞋,及酒后和身体患病有碍安全时,禁止登高作业。
2.立体交叉作业时,要有严密的防护隔离措施,设专人监护,否则施工人员有权拒绝施工。
3.剔槽磨削和使用木工电锯、平刨时,操作人员要戴防护镜和口罩,使用木工电锯平刨时,操作人员不准带手套,防止将手套卷入。
安全施工方案
4.使用打夯机、电焊机、手持电动工具等必须保证绝缘良好,操作人员必须戴好防护用品,特种作业人员,必须经过专业培训,持证上岗,严禁违章作业。
5.现场所有施工作业人员,在工作中严禁打闹、高空抛物、乘吊盘上下、攀登脚手架和擅自动用电器机械设备,杜绝事故发生。第十四章 文明施工
一、总则
1.文明施工是一个系统工程,贯穿于项目施工的始终,它是施工现场综合管理的体现,涉及每个员工的生产、生活及工作环境。2.在施工过程中,自觉的形成环保意识,要创造良好的生产环境,工作设备噪音均控制在国家和市允许范围。
二、实施责任
1.项目经理是文明施工的第一责任者,工程部负责文明施工。2.区域人员直接负责责任区的文明施工。
3.设专职文明施工管理员,专门负责现场文明施工。
三、文明施工管理要点 1.总平面管理
(1)分基础、结构、装修阶段,合理安排现场平面图。(2)明确表示临电、临水、消防管线、排水管线和道路的位置。(3)材料、构件、模板、成品、半成品等按总平面图划分位置,分类整齐存放,每天做到工完场地清。
安全施工方案
2.对施工现场进行设计和规划,以确保文明工地的实现。3.严格遵守有关消防、保卫方面的法令、法规,制定有关消防、保卫管理制度,完善消防设施,消除事故隐患,佩戴统一印制的出入证,加强现场保卫工作。
四、环境保护措施
1.施工现场临时道路全部硬化给雨季施工带来很大的便利,给工人提供良好的环境,很大程度上加强了现场文明施工。2.运输散装料,车要封闭,避免散落。砼罐车撤离现场前,派人用水将下料斗及车身冲洗干净。
3.派专人进行现场洒水,防止扬尘,保护周边环境清洁。4.建立有效的排污设施,如二级沉淀池,保证现场和周围环境整洁文明。
5.除在早6:00~晚10:00之外,不允许做较大的噪音工作。6.夜间灯光集中照射,避免灯光扰民。7.严格按市有关环保规定执行。8.搞好施工现场卫生
(1)施工现场垃圾按指定地点分类集中收集,及时运出现场,时刻保持现场文明。
(2)现场的厕所、排水沟及阴暗潮湿地带要经常进行消毒,以防虫蚊蝇滋生。
(3)现场施工道路,要保持畅通与清洁,不得随意堆放物品,更不允许堆放杂乱物品和施工垃圾。
安全施工方案
(4)施工现场要天天打扫,保持整洁卫生,场体平整道路畅通,到无积水,有排水措施,施工现场内挂牌,实行责任制。(5)施工现场内严禁大小便,发现有随地大小便现象要对责任人进行处罚,各施工区,生活区有明确划分,设标志牌上注明姓名和管理范围。
(6)办公室内做到天天打扫,保持整洁卫生,做到窗明地净。(7)食堂办理卫生证,设隔油池,灶具经常洁刷,生熟食品分开存放,无腐烂变质食品,炊事员必须办理健康证。
(8)楼内清理的垃圾用水泥袋装好,集中用塔吊运下,严禁高空抛散。
第十五章现场规定:
1、进入施工现场的各类人员必须戴好安全帽,禁止吸烟、随地大小便。
2、各工种必须学习,熟悉有关的安全技术操作规程,并且在操作中严格遵守。
3、电工、焊工、架子工、塔吊司机、卷扬机机手、搅拌机机手、起重机司机和各种机动车辆等特种作业人员,必须经过专门培训,考试合格发给操作证,方准独立操作。
4、对新进民工,进入现场前必须进行安全生产教育,在操作中经常进行安全操作要求和做好安全技术交底。
安全施工方案
5、夜间施工应有足够的照明设备,行灯照明必须有防护并不得超过36V的安全电压,在金属容器内或潮湿场所工作时,行灯电压不得超过12V的安全电压且必须设专人监护。
6、要正确使用个人防护用品和安全防护措施,进入现场必须戴安全帽,禁止穿拖鞋、高跟鞋或光脚。上班前和工作过程中不准饮酒。操作时要集中精神,不得互相打闹嬉戏或上下抛掷物件。
7、禁止攀脚手架、井架和乘坐吊篮、吊笼或吊斗上下。
8、禁止使用未满16周岁的童工。
9、施工过程中应按照现场平面布置操作、存放,切实做好各项工作,已达到经常保持现场清洁,消除事故隐患。
10、属于危险作业的地带应加上明显的标志,必要时派专人看管。
11、当建筑楼层邻近人员来往频繁的交通地带时,应装设防护挡板或张挂安全网,防止物件下坠伤人。
12、同一现场有多单位配合施工时,有关单位应遵守总包单位的一切规章制度和管理办法。
13、现场内的沟、池、井各电梯井口,楼梯口、阳台口、通道口及各种预留洞口等其他危险部位,应设置防护拦或防护挡板,并设危险标志,在可能范围内加以封闭。
14、一切脚手架或棚架,防护设施,安全标志牌等,一经设后,不得擅自拆动。如需拆动时,必须经现场施工负责
安全施工方案
人同意。
15、不应踏在拆落的模板上走动,以防钉伤和模板失稳坠落伤人。
16、施工现场道路应平稳坚实,且有排水设施,不应积水和泥泞以及乱堆材料垃圾等现象,轮碾坑陷部位应经常填补维修,雨后泥泞,应铺渣防滑。
17、禁止小孩和与工作无关的其他人员进入现场。
18、各种易燃性材料,如汽油、酒精、氧气、乙炔、油漆等设专用仓库,堆放场所禁止烟火和住宿。
19、木料、木制品应分别码垛平整,垛间应保持2M间距。木料垛每高40CM应垫横木一层,堆码高度不应超过1.5米。
20、混凝土构件堆放的土质要坚实,不得堆放在松土和坑洼不平的地方,防止下沉或局部下沉。
21、袋装水泥仓库应按出厂日期先后次序堆放整齐顺直,放置在木平台上,台底必须通风防潮,其高度一般不超过10袋,四周不得紧靠墙壁(不小于80cm)。
22、堆放钢筋制品应分类码放,钢筋不得占用道路。
23、堆放砂、石子、泥土、炉渣等颗粒材料,禁止紧贴建筑物和墙壁,必须成方堆放。
24、施工现场的一切电气线路、设备安装、维护必须由持证电工负责。
安全施工方案
25、各种电气设备应装专开关和插头。
26、一切移动式用电设备的电源线外绝缘层应无机械损伤,必须架空禁止拖地,严禁设在树上,脚手架上。
27、钢管脚手架、井架塔吊等高耸构筑物,在雨季施工前必选装防雷装置,其接地电阻不应大于4欧。
28、开关箱必须严格实行“一机一闸一漏三保险”制,严禁用同一个开关直接控制二台以上用电设备(含插座)。开关箱内禁止存放物品,门应加锁及应有防雨,防潮措施。
29、拆除现场线路时,必须先切断电源严禁留有可能带电的导线。
30、拉闸停电进行电气检修作业时,必须在配电箱门挂上“由人操作,禁止合闸”的标牌,必要时设专人看守。
31、机械设备应按其技术性能的要求正确使用,缺少安全装置或安全装置已失效的机械设备不得使用。
32、严禁拆除机械设备的自动控制机构,各种限位器等安全装置。其调试和故障的排除应由专业人员负责进行。
33、处在运行和运行中的机械严禁对其进行维修,保养或调整作业。
34、机械设备应定期进行保养,当发生有漏油、失修或超载带病运转情况时,应停止使用。
35、机械作业时,操作人员不得擅自离开工作岗位或将机械交给非机械操作人员操作。严禁无关人员进入作业区和
安全施工方案
操作室内,工作时,思想要集中,严禁酒后操作。
36、机械操作人员和配合工作人员,都必须按规定穿戴劳动保护用品,女工长发不得外露。
37、机械进入作业地点后,施工技术人员应向机械操作人员进行施工任务及安全技术措施交底,操作人员应熟悉作业环境和施工条件,听从指挥遵守现场安全规则。
38、严禁非工作人员进入施工现场及易燃易爆物品存放仓库等场所。上列场所应按消防规定的要求设置各种防火消防器材及工具,其周围不得堆放物品。
39、当使用机械设备与安全发生矛盾时,必须服从安全的要求。
40、高处作业的环境,通道必须经常保持畅通不得堆放与操作无关的物件。
41、超过2米的高处或悬空作业时,如无稳固的立足点或可靠防护措施,均应扣好安全带。安全带应绑在稳固的地方,扣环应悬挂在腰部的上方,并要注意带子不能与锋利或毛刺的地方接触,以防摩擦割断。
42、在统一垂直面上下交叉作业时,必须设置有效的安全隔离和安全网。
43、高处作业所用材料要堆放平稳,上下传递禁止抛掷,楼层上的零碎转、灰渣、木条等材料均应用溜槽滑落或吊运地面。
安全施工方案
44、禁止攀登起重臂、绳索和随同运料的吊笼、吊装物上下。
45、大模的吊装运输,存放必须稳固可靠,严防倾覆存放时如不能满足自稳角要求,必须采用加固措施。
46、必须加强消防治安工作,消防供水系统应符合要求。
47、支模、粉刷、砌墙等各种进行上下立体,交叉作业时,不得在同一垂直操作,下层作业的位置,必须处于依上层高度确定的可能坠落范围半径之外。不符合以上条件,应设置安全防护层。
48、模板、脚手架等拆除时,下方不得有其他操作人员。
49、模板拆除后,临时堆放处离楼层边沿不应小于1米。楼层边口、通道口、脚手架边缘处,严禁堆放任何拆下的物件。
50、结构施工自二层,凡人员进出的通道口(包括井架、龙门架、施工用电梯的进出通道口)均应搭设安全防护棚(防护棚搭设应按标准规范搭设)。
51、现场材料,应按平面图位置分类码放整齐、稳固,并挂标识牌,场地应平整,坚实,有排水设施。
52、对产生噪声,振动的施工机械,应采取有效控制措施,减轻噪声扰民。
53、在动用电气焊及明火作业时必须开具用火证,配置足够的消防器材并设监护人。
安全施工方案
54、各工种在施工过程中一定要搞好成品保护。
点击咨询 