第一篇:I6信息化系统安全模块操作流程及要求
I6信息化系统安全模块操作流程及要求
一、数据录入操作流程:
1、登录系统——左侧导航面板——单击企业功能——单击安全管理,进入如下界面:
2、项目部需要录入内容主要为:安全知识库、制度落实、管理活动、及上报材料中生产安全汇报记录。录入内容、格式与目前使用各项记录基本相同。下面以“领导下井带班记录”、以张庄录入人员为例说 明录入过程:
(1)双击“领导下井带班记录”,选择“信息归属组织树”如下图:
(2)选择“信息归属组织树”后,出现录入人所在项目,选中,并选择“新增”,如下图:
(3)出现“领导下井带班记录”录入界面:
(4)请把记录中每项内容均按实际情况录入,之后单击保存右上角“”,录入完毕。
3、其余每项内容录入方法相同。
二、数据录入要求
(一)安全知识库:
措施中录入“技术交底卡”,与实际技术交底安全交底相一致。
(二)制度落实:
1、措施传达贯彻记录:项目安全措施传达贯彻记录,按每项措施 分别录入。
2、制度的学习:录入集团、处及其他安全管理文件、制度的学习贯彻记录,每学习、贯彻一次,录入一次。
3、安全奖励记录:录入项目日常安全管理的奖励记录。
4、安全罚款记录:录入项目日常安全管理的罚款记录。
(三)、管理活动:
1、安全检查:
(1)每日安全检查:录入跟班安检员检查记录,每天录入。(2)旬检:录入项目旬检记录,由项目经理组织全面的安全检查,每月三次,每旬录入一次。整改反馈表在附件中上传扫描件。(3)领带带班下井记录:录入每班领导下井带班记录,每天必须录入当天3班领导下井带班记录。
2、安全培训:
(1)培训计划:录入新工人岗前培训的培训计划,培训一批,录入一次,按批次录入。
(2)考勤:录入新工人岗前培训的考勤,培训一批,录入一次,按批次录入。
(3)成绩汇总表:a、录入新工人岗前培训的成绩汇总,培训一批,录入一次,按批次录入;b、录入每月一考考试记录。(4)一日一题:每天录入一次,按实际培训情况录入。(5)一周一案:每周录入一次,按实际培训情况录入。(6)一旬一课:每旬录入一次,按实际培训情况录入。
3、事故调查处理记录: 此项内容均不录入。
4、全员参与安全管理:
(1)职工发现现场隐患的反应:按实际录入。(2)三违举报:按实际录入。(3)合理化建议:按实际录入。
5、安全办公会议:
(1)录入安全办公记录:根据项目实际安全办公会召开情况,每旬或每周录一次。
(四)、上报材料:
1、项目部对工程处上报材料(1)生产安全汇报记录:每天录入。
第二篇:操作流程与要求
生产操作流程及岗位职责
一.生 产 流 程:
业务接单 → 跟单跟踪详细的工艺要求 →生产经理审核 → BOM表制成 → 生产计划派单 → 采购计划制成 →采购回复物料交期 → 生产回复交期 → 跟踪物料 → 备料 → 生产 → 入库 → 出货。
二.岗 位 职 责 分 工:
1.订单审核是审核各项要求标准是否明确,客户要求交期交期与品质是否合理。
2.BOM表制成:必须把所有的组装物料、包装材料、螺丝、生产辅助物料等关于订单的所有一切物料都要在BOM表中体现出来,并注明用量及可追述的单位。
3.生产计划派单:必修根据实际客人要求交期(以业务订单为准)与实际生产现有订单进行调整,使各个环节操作顺堂,生产计划派单后必须跟踪结果,确认各个部门是否按照生产排期操作,是否在计划时间内完成工作任务,如有违规或延期作业因及时要求调整及跟催。
4.采购计划制成:根据订单数量、BOM表、损耗等列出供应商及所需物料总数。根据生产计划要求,计划各种物料的回料时间。
5.采购回复交期:根据采购计划回复实际回料时间。
6.生产回复交期:根据采购回复的物料交期与生产评估的生产周期回复业务交货时间。
7.跟踪物料:根据回复的物料交期跟踪结果是否在计划时间内完成的,如有异常应及时加快步骤解决或采取其他方
式处理。
8.备料:根据BOM表、实际用量、订单数量等相关数据备料,在备料的时候应注意物料的规格型号是否匹配,数量
严格按照需求物料发料。备料时间是根据计划完成时间与实际生产周期而定。(正常备料时间根据计划完成时间提前3个工作天备料,正常备料时间指的是生产2天内可以完成的产品)。
9.生产:根据生产计划上线时间,提前1到2天确认物料是否到齐,必须在上线的前一天生产1-2件首件产品,以免上线时出现不必要的瓶颈。根据生产计划与实际物料情况安排生产。
10.入库:确认各项要求是否按照订单要求生产的,包括包装的细节、入库数量等。
11.出货:业务安排时间出货。
备注:
1.操作过程中出现异常,有任何不明确的地方必须找相关人员追问清楚后才能进行下一步工作。否则出了问题将由直接操作人员承担。
2.在操作过程中务必互相配合,如因配合问题导致生产瓶颈或延期交货将会严厉处罚相关人员。
3.每下一个工序都有权利、责任、义务考核上一个工序的配合程度、品质要求、工艺要求、交期等相关事项。
制作人:周君群
2012-11-28
第三篇:危险品操作流程及要求
危险品操作流程及要求
FOR EXAMPLE :
收到托书时间:5/16 ETD:5/28 截申报:5/25 上午10:00 船代:外代 联系人:XXX 电话:021-XXXXXXXX 港区:外五
危险品类别:3类 进港地址:江海危库
1、系统录入:(5/16)
A、收到托书后,要先仔细审单,了解该客户的需求与要求,查看订舱资料是否齐全:比如:托书上是否显示,起运港、中转港、目的港、运费方式、货物名称及类别、箱型、箱量,以及危包证,技术说明书,MSDS等等
B、A审核OK后,该票货物输入系统,(注:信息要输入齐全,客户名称、对应销售、收发货人、起运港、中转港、目的港、运费方式、货物名称及类别、箱型、箱量等等)
C、内容录入OK后,传进仓通知书给客户,注明:仓库名称,地址,联系人,电话,最晚送货时间,以及单证寄送地址及送单证最晚时间.2、订舱:(5/16)
A、危险品订舱一般需提前一周,订舱时需提供完整资料给订舱口,主要包括:托书、危包证、MSDS、及危险品申请表格(每家船公司都不一样)
注:如整柜出运,首先要确认是出海单还是HOUSE单,通常情况下,整柜多数出海单,拼箱“都”出HOUSE单,1、出MBL,就直接按照客户的托书来打印订舱托书,2、出HBL,发货人按照“鼎世”,收货人根据运至港口再来决定,如至SINGAPORE,就出SINGAPORE对应代理。)
B、订舱OK后,了解该船截申报时间、对应船代、对应联系人、及停靠港区
3、做箱单给车队:(5/20)
A、箱单上需显示:船名,起运港,中转港,目的港,箱型,箱量,提箱时间,报关时间(车队排计划时会根据这个时间安排,如特殊情况比如没有按时提供箱号等等,再作另外链接工作),提单号,件数,毛重,净重,体积,中文品名,英文品名,CLASS NO,UN NO,进仓编号,及是否安排打托,贴危标及唛头等.注:危险品出运时,英文品名要单单一致,如:订舱=箱单(排计划要用)=申报=报关=提单
同时箱单备注里面显示(一目了然):
ETD:5/28 截申报:5/25 上午10:00 港区:外五
提箱时间:周一(5/23)
申报时间:周一(5/23)
进港时间:根据进港地址决定
A、进危库,排当天计划,当天进港
B、进港区,根据网上危险品进港时间
危险品类别:3类(进危库)
B、提供有箱号的正确箱单:(5/23),同时车队排进港计划
C、仓库按排货物打托、贴危标、贴唛、拍照等事宜(这些工作货物在到的前提下可以提前做起,进港前搞定就OK)
4、危险品申报:(5/23)
A、申报时需提供完整资料给申报公司,主要包括:装箱单、装箱证明书、危包证、技术说明书.注:箱单上面必须显示:船名、箱封号、起运港、中转港、目的港、提单号、件数、毛重、净重,体积,中英文品名,如货物是液体需提供该货物闪点
B、申报OK后,申报公司提供,危包证、技术说明书、安全适运单、进港黄联
5、进港:(5月23/24/25均可,具体根据实际情况)
申报OK后,将黄联寄车队进危库
注:黄联进港用
6、报关:(具体根据进港时间,进港后就可以安排,最好提前进行,以免碰到查验)
A、提供完整报关资料,主要包括:核销单、报关单、装箱单、发票、产品说明、报关委托书,安全适运单、配舱回单,如需商检再提供商检单等等
7、提单确认:(5/26)
MBL:
1、SHIPPER:“鼎世”
2、CONSIGNEE:“目的港对应代理”
3、品名要与订舱、报关、箱单计划一致
HBL:根据客户样本
8、盯箱上船(5/27)
9、费用确认(5/28)
10、拉HOUSE单(5/28)
11、整理资料给国外代理(5/28)
总结:根据以上所有操作经验。操作部是工作中的纽带和桥梁,要与各方保持沟通的及时、明朗、准确,不能出现沟通不明引发误会的情况。
2011/5/21
第四篇:操作系统安全实验报告
云终端:安全访地问来自不可靠系统的敏感应用程序
摘要:
目前的电脑和基于web的应用程序提供安全不足的信息访问,因为任何漏洞在一个大的客户端软件堆栈都可以威胁机密性和完整性。我们提出一种新的安全的应用程序架构,云终端,其中唯一运行在端主机的软件是一个轻量级的安全终端,最薄的应用程序逻辑是在一个偏远的云的渲染引擎。安全瘦终端有一个非常小的TCB(23 KLOC)和不依赖不可信操作系统,所以它可以很容易地检查和远程证明。终端也是通用的:它只提供一个到远程软件的安全的显示和输入路径。云渲染引擎在一个受限制的VM主办的提供者上运行一个现成的应用程序,但是资源共享可以让一台服务器之间VM支持数以百计的用户。我们实现了一个安全的瘦终端,运行在标准的PC硬件和应用程序提供了一个灵活的界面,如银行业、电子邮件和文档编辑。我们也表明,我们的云渲染引擎可以提供安全的网上银行业务,每用户每月5-10美分。{瘦客户端(Thin Client)指的是在客户端-服务器网络体系中的一个基本无需应用程序的计算机终端。它通过一些协议和服务器通信,进而接入局域网。作为应用程序平台的Internet的到来为企业应用程序提供了一个全新的领域:一个基于Internet/intranet的应用程序运用一个只包含一个浏览器的瘦客户端。这个浏览器负责解释、显示和处理应用程序的图形用户界面(GUI)和它的数据。这样的一个应用程序只需要被安装在一个Web服务器上,用户可以自动接收升级。一个解决方案只需要部署一次,甚至对成千的用户也是如此,这种想法的确很吸引人,尤其是Internet技术帮我们缓解了一些传统的应用程序的障碍,比如防火墙和对多平台的支持。}
二、概述,包括使用的情况,我们的威胁模型,与现有系统的比较,和设计的概述等
2.1使用情况。云终端是专为公众和企业提高信息安全的应用程序,但不做密集的计算或渲染
公共服务
通过使用一个单一的安全的瘦终端,最终用户和机构有激励措施,以防止攻击,用户界面的要求很简单
公司情况:
通过使用一个安全的瘦终端,员工可以减少数据盗窃和恶意软件的攻击面。
2.2目标和威胁模型
目标
1。此解决方案应该是可安装在现有的pc和一个潜在的破坏商品操作系统,而不需要用户重新形象她的系统。
2。该解决方案应该不需要信任主机操作系统。
3。解决方案应该能够证明它的存在,两个用户和应用程序提供商,以防止欺骗和钓鱼。
4。系统应该支持广泛的敏感的应用程序。
5。TCB的系统应该小。
一些假设。
我们的目标是防止攻击者查看和修改用户和安全的应用程序之间的相互作用,并把它作为用户登录
云终端也防止一些社会工程攻击,如用户被骗来运行一个假的客户,通过远程认证。此外,它提供了两种防御网络钓鱼:共享密钥之间的用户和安全的薄的形式终端,终端图形主题的UI,并能够使用用户的TPM作为第二,un-phishable身份验证因素和检测登录从一个新的设备。这些机制类似于常见的机制在web应用程序(例如。,SiteKey[32]和cookies来检测登录从新的机),重要的区别,这个秘密图像和TPM私有密钥不能被检索到的恶意软件或通过中间人攻击。然而,我们认识到,有开放的问题对社会工程保护用户和我们不旨在创新在这一点上,问题是我们所关注的正交设计好孤立的客户端。
云终端必须与不受信任的操作系统共存
2.3现有方法
我们比较现有的几种建议,并解释我们的方法,让它符合目标的元素。
建议的做法是使用虚拟机隔离敏感的应用,包括内部的应用程序在TCB可信的虚拟机(例如,一个Web浏览器)。基于虚拟机的系统增加对用户的管理负担。相比之下,Chrome OS的浏览器的操作系统,限制他们的攻击面不允许二进制应用程序,并提供强大的Web应用程序之间的隔离。但是,这意味着他们不能运行现有的传统用户的软件或访问非Web
瘦客户端系统允许组织集中管理他们的台式机和消除感染,他们仍然遭受基本限制云终端相比,用户的所有应用程序运行在同一个虚拟机并不是互相隔绝远程认证是最具挑战性的基于虚拟机的方法
这些方法错过这样一个大好机会,提供强大的安全保证通过TPM认证。
云终端实现现有系统,支持一般的应用,远程认证,并通过两个设计元素来完成一个小任务。
小,一般客户:云终端访问所有敏感的应用程序通过相同,简单的组件:一个安全瘦终端能够显示任意远程ui。因此,用户不需要管理多个vm,服务提供者可以运行他们的应用程序在他们自己的数据中心的严格控制。不像在虚拟桌面系统、敏感的应用程序也互相隔离的(而不是运行在同一个VM),瘦终端保护,免受不可信主机操作系统。
Microvisor:安全瘦终端隔离本身从操作系统通过hypervisor像层,但这种“Microvisor”规模远小于一个完整的管理程序,因为它不是被设计来运行多个虚拟机。例如,访问网络和存储microvisor设备通过可信操作系统(但它加密数据),利用操作系统现有的司机不必信任他们。同样,它不需要代码来管理多个vm,甚至对于启动不可信操作系统,它可以自动安装下面的运行实例操作系统,只需要保护一个内存区域的操作系统。这个设计可以让云终端实现一个“甜点”安全之间,信任代码大小和普遍性:它可以通过一个小的,孤立的,和远程核查客户端访问广泛的应用.2.4结构
云终端体系结构安全的瘦终端上的客户端和服务器上的云的渲染引擎.我们现在描述这些抽象和展示他们如何与其它系统组件交互。安全的瘦终端(STT)。软件运行的STT是在用户的电脑和提供安全访问远程应用程序,而不需要任何其他软件的信任在设备上。暂时接管的STT通用系统,并将其转化为一个较为有限,但值得信赖的设备访问通用远程应用程序。这个STT具有以下特点:
STT提供了一个通用的图形终端的功能,可用于许多应用程序。
STT隔离本身,所以,不信任的系统无法访问其数据。
STT实现是轻量级的,使其更容易检查校正.安全的STT来自于它的简单性:它仅仅关注提供一个接口,其他地方运行的应用程序。它提供了这个接口仅仅通过继电保护输入事件和远程呈现的位图。共同存在于一个预先存在的STT不可信操作系统,但不依赖于不可信系统安全至关重要的功能。使用硬件虚拟化,STT隔离本身的不可信操作系统:操作系统从未加密的访问的数据,当STT是活跃的不能读取输入事件或访问视频内存。
一种硬件信任根,可以开始远程各方证明机器的完全控制,即它的代码是未经修改的,它直接访问一个真正的(非仿真)的CPU。STT由微镜,它提供了从操作系统隔离;云终端客户,这与远程应用程序,使其显示;和一个不受信任的用户空间辅助隧道加密的数据通过不可信操作系统。云的渲染引擎(CRE)。CRE STT的服务器端。它具有以下属性:几乎所有的CRE包含应用程序功能,重要的位图显示的生产。
一个孤立的CRE运行应用程序的实例为每个STT,在一个单独的虚拟机
执行应用程序的实例为每个用户会话在一个单独的虚拟机提供强大的隔离 最后 CRE作为“云”虚拟机的主机。瘦终端和云安全的渲染引擎和网络使用云终端协议。云终端协议扩展了现有的帧缓冲级远程桌面协议(VNC)通过添加额外的级别的安全性。具体地说,云终端协议使用端到端加密在云终端客户和CRE STT,执行远程认证的客户端,并提供之间的相互认证用户和应用程序
公共设施服务:目录服务、验证服务
第五篇:操作系统安全 复习资料
第三章 windows server 2003 用户账号安全
一、密码安全设置原则
1.不可让账号与密码相同
2.不可使用自己的姓名
3.不可使用英文词组
4.不可使用特定意义的日期
5.不可使用简单的密码
二、要保证密码的安全,应当遵循以下规则:
1.用户密码应包含英文字母的大小写、数字、可打印字符,甚至是非打印字符。建议将这些符号排列组合使用,以期达到最好的保密效果。
2.用户密码不要太规则,不要使用用户姓名、生日、电话号码以及常用单词作为密码。
3.根据Windows系统密码的散列算法原理,密码长度设置应超过7位,最好为14位。
4.密码不得以明文方式存放在系统中,确保密码以加密的形式写在硬盘上并包含密码的文件是只读的。
5.密码应定期修改,应避免重复使用旧密码,应采用多套密码的命名规则。
6.建立账号锁定机制。一旦同一账号密码校验错误若干次,即断开连接并锁定该账号,经过一段时间才解锁。
三、在Windows Server 2003系统中,如果在“密码策略”中启用了“密码必须符合复杂性要求”设置的话,则对用户的密码设置有如下要求:
1.不包含全部或部分的用户账户名。
2.长度至少为7个字符。
3.包含以下4种类型字符中的3种字符。
(1)英文大写字母(从A到Z)
(2)英文小写字母(从a到z)
(3)10个基本数字(从0到9)
(4)非字母字符(如!、$、#、%)
四、强密码则具有以下特征:
1.长度至少有7个字符。
2.不包含用户的生日、电话、用户名、真实姓名或公司名等。
3.不包含完整的字典词汇。
4.包含全部4种类型的字符。
除此之外,管理员账户的密码应当定期修改,尤其是当发现有不良攻击时,更应及时修改复杂密码,以免被破解。为避免密码因过于复杂而忘记,可用笔记录下来,并保存在安全的地方,或随身携带避免丢失。
五、账户策略包含两个子集:密码策略和账户锁定策略
六、密码策略包含以下6个策略:
1.密码必须符合复杂性要求。
2.密码长度最小值。
3.密码最长使用期限。
4.密码最短使用期限。
5.强制密码历史。
6.用可还原的加密来储存密码。
七、“强制密码历史”策略
该策略通过确保旧密码不能继续使用,从而使管理员能够增强安全性。重新使用旧密码之前,该安全设置确定与某个用户账户相关的唯一新密码的数量。该值必须为0~24之间的一个数值,推荐值为8
八、双击“密码最长使用期限”,选中“定义这个策略设置”复选框
该安全设置要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1~999天之间,或将天数设置为0,可指定密码永不过期。如果密码最长使用期限在1~999天之间,那么密码最短使用期限必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1~998天之间的任意值。
九、双击“密码最短使用期限”,选中“定义这个策略设置”复选框
该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1~998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。
十、双击“最小密码长度”,选中“定义这个策略设置”复选框
将“密码必须至少是”的值设置为 8, 然后双击“确定”。通过将字符数设置为0,可设置不需要密码。
十一、账户锁定阈值
该安全设置确定造成用户账户被锁定的登录失败尝试的次数。在锁定时间内,无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间,建议值为3~5,既允许用户输或记忆错误,又避免恶意用户反复尝试用不同密码登录系统。如果将锁定阈值设为0,将无法锁定账户。对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。
十二、账户锁定时间
该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~99,999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将一直被锁定。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。
十三、复位账户锁定计数器
确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1~99,999分钟之间。如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间
十四、系统管理员设置原则
1.更改管理员账户名
2.禁用Administrator账户
3.强密码设置
十五、除非有特殊应用,否则Guest账户应当被禁用。事实上,许多网络攻击就是借助Guest用户来实现的。即使启用Guest账户,也应当为其指定最低的访问权限
十六、共享文件夹权限
当将文件夹设置为共享资源时,除了必须为文件和文件夹指定NTFS访问权限以外,还应当为共享文件夹指定相应的访问权限。共享文件夹权限比NTFS权限简单一些,而且NTFS权限的优先级要高于共享文件夹权限。因此,共享文件夹的权限可以粗略设置,而NTFS权限则必须详细划分
十七、为用户组指定权限时,有以下两点需要注意
1.权限是叠加的用户可以同时属于多个用户组,用户所拥有的权限,是其所属组权限的总和。对组指派的用户权限应用到该组的所有成员(在它们还是成员的时候)。如果用户是多个组的成员,则用户权限是累积的,这意味着用户有多组权限。
2.拒绝权限优先
无论用户在其他组拥有怎样大的权限,只要其所属组中有一个明确设置了“拒绝”权限,那么该权限及其包含的权限也都将被拒绝。
第四章 文件访问安全
一、多重NTFS权限
1)权限的积累
用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该用户就对该文件同时具有“读取”和“写入”的权限,举例如下:
假设情况如下所示:有一个文件叫FILE。USER1用户属于GROUP1组
2)文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,假设用户能够访问一个文件,那么即使该文件位于用户不具有访问权限的文件夹中,也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。
举例说明如下:假设用户对文件夹FOLDER没有访问权限,但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限,也就是说用户对FILE.TXT文件是有权限访问的,只不过无法用资源管理器之类的东西来打开FOLDER文件夹,无法看到文件FILE而已(因为对FOLDER没有访问权限),但是可以通过输入它的完整的路径来访问该文件。比如可以用 c:folderfile.txt来访问FILE文件(假设在C盘)。
3)拒绝高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下:
假设情况如下:有一个文件叫FILE。USER1用户属于GROUP1组
有一个文件叫FILE。
USER1用户属于GROUP1组,同时也属于GROUP2组,二、NTFS 权限继承
1.在同一NTFS分区间复制或移动
2.在不同NTFS分区间复制或移动
3.从NTFS分区复制或移动到FAT格式分区
三、创建配额
可以创建两种方式的配额:
普通配额:普通配额只是应用到某个卷或文件夹,并限制整个文件夹树(此文件夹本身和它的所有子文件夹)所使用的磁盘空间;比如可以使用普通配额来限制用户在某个文件夹中存储的数据大小;
自动配额:自动配额允许用户为某个卷或文件夹指派一个配额模板,FSRM将基于此配额模板自动为现有子文件夹或任何将来创建的新子文件夹生成普通配额,但是FSRM并不会针对此文件夹本身创建普通配额。自动配额通常使用在以下场景:用户数据分别按子目录存放在一个公用的文件夹中,那么可以针对公用文件夹启用自动配额。
第五章 网络通信安全
一、在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等
二、端口分类
1.按端口号分布划分
(1)知名端口(Well-Known Ports)
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
(2)动态端口(Dynamic Ports)
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
2.按协议类型划分
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。
(2)UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。
第六章 应用程序和服务安全
一、IIS 6.0版本支持以下6种身份验证方法,使用这些方法可以确认任何请求访问网站的用
户的身份,以及授予访问站点公共区域的权限,同时又可防止未经授权的用户访问专用文件和目录。
匿名身份验证。允许网络中的任意用户进行访问,不需要使用用户名和密码登录。
基本身份验证。需要用户键入用户名和密码,然后通过网络“非加密”将这些信息传送到服务器,经过验证后方可允许用户访问。
摘要式身份验证。与“基本身份验证”非常类似,所不同的是将密码作为“哈希”值发送。摘要式身份验证仅用于Windows域控制器的域。
高级摘要式身份验证。与“摘要式身份验证”基本相同,所不同的是,“高级摘要式身份验证”将客户端凭据作为MD5哈希存储在Windows Server 2003域控制器的Active Directory(活动目录)服务中,从而提高了安全性。
集成Windows身份验证。使用哈希技术来标识用户,而不通过网络实际发送密码。证书。可以用来建立安全套接字层(SSL)连接的数字凭据,也可以用于验证。
当不允许用户匿名访问时,就应当为IIS用户账户设置强密码以实现IIS的访问安全。
点击咨询 