数据安全网关
数据安全网关快速入门
产品文档
【版权声明】
?2013-2019 腾讯云版权所有
本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。
【商标声明】
及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。
【服务声明】
本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
文档目录
快速入门
配置概览
控制台登录
管理配置入门
运维配置入门
角色管理
快速入门
配置概览
最近更新时间:2019-08-29 15:44:31
初次使用堡垒机需要配置内容有:修改根节点,创建组织结构,添加被管服务器,添加服务器账号,添加用户,将被管服务器权限分配和用户,基本操作涉及到模块分别为:组织结构,用户管理,资源管理,配置使用后可在审计
管理查看相关操作审计。
控制台登录
最近更新时间:2019-08-29 15:45:34
概述
购买堡垒机后,您可进入堡垒机管理界面进行配置,下面将为您详细介绍如何进入管理页面。
操作步骤
1. 进入控制台。
登录 腾讯云控制台,选择【云产品】>【数据安全】>【堡垒机】,单击左侧导航栏中【堡垒机】,即可进入堡垒机控制台。
2. 部署实例。
在堡垒机控制台,可以看到您已购买的堡垒机实例,选择任意堡垒机实例,单击【部署】,在弹出的配置界面
中,填写您云账号的 SecurityID 与 SecurityKey 以购买云服务器,购买完云服务器后,即可完成堡垒机实例的部署。
3. 管理堡垒机实例。
选择一台已部署好的堡垒机实例,单击【管理】,浏览器将弹出新窗口以显示堡垒机登录界面。
4. 登录堡垒机系统。
在登录界面,输入系统管理员账户 admin 与密码(默认密码在购买时将通过站内信发送)进入管理界面,即可开
始堡垒机的配置。配置堡垒机系统请您先查看 管理配置总览。
说明:
堡垒机系统的主管理账号为 admin,具有配置系统所有参数的权限,为确保系统安全,不同用户的账号密码不同,admin 默认密码将在购买后由腾讯云站内信发送,烦请注意站内信消息。
操作场景
本文为您详细介绍堡垒机的基本配置。
操作步骤
登录系统
堡垒机系统采用加密型的 HTTP
方式(即
HTTPS )进行访问,在浏览器地址栏中输入 https://
堡垒机
IP/iam 即
可。 由于采用
SSL
技术,访问会出现证书错误提示,如下图所示:
单击“继续浏览此网站”,输入管理员账号和密码登录进入堡垒机。
修改根节点
首次登录可将根目录改为对应公司名称或项目名称,以便组织结构创建和管理。1.
在左侧导航栏中,单击【组织结构】。
管理配置入门
最近更新时间:
2019-08-29 15:45:42
2. 单击【编辑当前节点】,在名称处输入“腾讯云”,将根目录修改为“腾讯云”,如下图所示。
新建组织结构
修改完根目录后创建组织结构,以便管理堡垒里的人员资源等信息,组织结构支持多层级分类创,可按照公司组织结构或资源分组管理情况来建设,以下为“腾讯云”的“安全部门”创建。
1. 在左侧导航栏中,单击【组织结构】。
2. 单击【新建】,输入组织结构名称“安全部门”,并选择组织结构类型为“综合组”:
3. 单击【新建】,完成组织结构“安全部门”的新建。
添加资源(目标设备)
组织结构创建完成后进行资源添加,通过“资源管理”模块将需要管理的设备信息导入到堡垒机,该模块可对资源和资
源账号以及账号登录方式进行管理:
资源添加支持手动添加或自动导入(自动导入时只导入资源名称和 IP,如果运维设备时需要堡垒进行代填需账号手动录入堡垒机)。
手动添加
以下为“安全模块”下手动添加设备“腾讯 DASB 服务器1”的操作步骤;
1. 在左侧导航栏中,单击【资源管理】。
2. 选择“安全部门” > “Redhat”。
3. 输入设备关键信息“资源名称,IP”,单击【保存】。
4. 单击【账号】>【新建】> 输入设备账号和口令。
5. 单击【保存】,完成资源和资源账号添加。
自动导入
以下是资源自动添加的操作过程,添加后资源存放在根节点“腾讯云”下;
1. 在左侧导航栏中,单击【资源管理】。
2. 单击【资源同步】,勾选需要堡垒管理的设备。
3. 单击【确定】,完成资源导入。
新建用户和权限分配
以上步骤完成后即完成了基本信息的录入工作,此时进行用户创建以及资源和用户授权绑定,完成后堡垒机上线前的配置工作就完成了。
在相对应的组节点下创建和管理用户,通过“用户管理”模块进行用户账号管理和授权分配管理,以下是在“安全部门”下创建普通运维用户“DASB_account”和授权资源步骤。
新建用户
1. 在左侧导航栏中,单击【用户管理】。
2. 选择“安全部门”>【新建】。
3. 输入用户和用户口令等。
4. 单击【保存】完成用户创建。
权限分配
1. 在左侧导航栏中,单击【用户管理】。
。
2. 选择“安全部门” > 单击个人岗位下的
3. 单击【新建】> 勾选节点“安全部门” >【查询】> 勾选服务器 >【确定】。
4. 单击【确认添加】,完成资源授权,此时普通用户拥有服务器访问权限,可使用该账户登录堡垒机进行单点登录
服务器。
审计查询
审计查看可分为堡垒机管理端管理操作审计和运维人员单点登录操作服务器的行为审计,步骤如下:
1. 在左侧导航栏中,单击【审计报表】。
2. 单击【行为审计】、【管理审计】或【审计报表】,即可查看审计内容。详细操作步骤您可参阅 审计查询文档。
操作场景
本文为您详细介绍运维人员安装控件、登录堡垒机并使用单点登录工具登录资源等一系列操作。
操作步骤
登录系统
在浏览器地址栏中输入 h ttps://
堡垒机
IP/iam ,打开堡垒机登录页面,并输入用户名密码进行登录。
安装控件(安装时全部默认安装)
运维用户第一次访问运维审计与管控系统,需下载单点登录控件,已安装过无需再安装。
单击【我的管理】,下面包含信息维护、更改口令和控件下载功能可对用户账号进行个人信息修改,如下图所示:
运维配置入门
最近更新时间:
2019-08-29 15:45:50
注意:
第一次使用单点登录需要安装控件,控件版本有两种,可根据需求安装控件:
单点登录工具(标准):支持单点登录和审计录像回放。
单点登录工具(无 JRE):仅支持单点登录。
单点登录工具支持列表
资源类型工具支持
Windows mstsc FTP--Linux Xshell(需自行安装)SecureCRT(需自行安装)Putty VNC Xwindow FTP SFTP--
如何使用 Xshell
1. 自行安装 Xshell 工具。
2. 下载单点登录控件,并 安装控件。
3. 到单点登录控件安装的路径下(默认安装路径为:C:\sso_client),找到配置文件 db_path,
径复制到文件 xshell= 后,如下图所示:
4. 复制后,保存文件。
5. 在运维界面登录 Linux 资源时,选择连接工具 Xshell 登录即可。
如何使用 SecureCRT
1. 打开 SecureCRT,单击【选项】>【全局选项】。
2. 单击【终端】>【网页浏览器】,相继单击设置 ssh2、ssh1 和 telnet ,如下图:
3. 单击【确定】,即可完成设置。
4. 在运维界面登录 Linux 资源时,选择连接工具 SecureCRT 登录即可。
单点登录
1. 登录堡垒机。
2. 单击【个人岗位】,找到您需要登录的 Linux 资源,在其操作一栏下,单击【配置登录】。
浙江大学校园网络建设和信息化成就
浙江大学校园网络建设和信息化成就 1.百年浙大 浙江大学是一所具有悠久历史的全国重点大学。前身求是书院成立于1897年,为中国人自己创办最早的新式高等学府之一。1998年9月,由原浙江大学、杭州大学、浙江农业大学、浙江医科大学于重新合并,组建为今日的浙江大学。经过一百多年的建设与发展,学校已成为一所基础坚实、实力雄厚,特色鲜明,居于国内一流水平,在国际上有较大影响的研究型、综合性大学,是首批进入国家“211工程”和“985计划”建设的若干所重点大学之一。现任校长是中国工程院院士、人工智能专家潘云鹤教授。目前,浙大有全日制在校学生40000余人,其中博士生近5千人、硕士生近1万1千人;教职工8400余人,其中两院院士20名,正教授1000余名。拥有国家专业目录所设11个大门类的学科,108个本科专业,硕士学位授权点262个,179个博士学位授权点,39个博士后流动站,24个国家重点学科。 (图片1-4) 2.浙江大学的教育信息化 世纪之交,浙大提出以“综合型、研究型、创新型”为办学特色,争创世界先进水平的一流大学。全球信息化浪潮,为浙大提供了前所未有的机遇和挑战。 四校合并之前,学校提出“四校合并,网络先行”,投入数千万,启动包括下列特色的信息化建设工程: ●建立联结各校区的高速宽带城域校园网络系统; ●全面推进信息网络化应用,建设数字化浙大校园; ●大力开展远程教育,发展多媒体网络教学新手段,探索网上培养学生的新途径; 目前,浙大的教育信息化建设方兴未艾,一个渗透教学、科研、管理、校园生活各个方面的数字化浙大正在形成。信息化技术有力推进了浙大的现代化。 3.信息化基础设施—浙大校园网络 浙江大学现有的城域规模的校园网络覆盖了原有五个校区及新建紫金港校区共6个校区以及所有的学生宿舍: ●主干环网:48芯单模光纤,环长54公里 ●主干交换机:双环自愈式ATM(622M)+星形拓扑千兆以太网 ●各校区网络:单模/多模混合光纤,总长150公里 ●校区网络构成:树形骨干网+单位局域网 ●单位局域网:21个学院级的局域网+4个学生区宿舍网+1个教工宿舍网 ●出口信道:中国教科网2.5G/1000M(2004.11月下旬完成升级) ●运行规模:联网计算机3.6万多台;每日Email 4-5万封 注册上网用户2万;平均日流量30-40TB; 用户服务器(网站)近120个。 (图片5)
数据安全管理规定
页眉内容 XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明
确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。 第三章职责定义 第七条数据创建者负责针对其所创建数据的内容和价值提出分类分级建议,提交对应级别数据所有者确认。 第八条来自XXX信息系统以外的数据,数据承接者视同创建者行使提出分级分类建议的责任和义务。 第九条数据所有者具有确认数据类别和敏感级别、确认销毁、提出技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利和义务。其中,XXX业务数据的所有者为XXX指定的相应业务部门。 第十条各类数据的责任部门是该类数据的管理者。数据管理者作为数据所有者的代理者,代理数据所有者从事数据管理工作,负责其所管辖范围内数据的安全管理工作。数据管理者的职责包括但不限于:数据类别和敏感级别的标识与声明,根据级别进行管理与保护,数据使用培训,执行销毁操作并声明,定期自查提交报告,配合数据安全违规调查等。
网络安全防范措施
网络安全防范措施 在信息化社会建设中,随着以网络经济为代表的网络应用时代,网络安全和可靠性成为公众共同关注的焦点。网络的发展和技术的提高给网络安全带来了很大的冲击,互联网的安全成了新信息安全的热点,针对计算机网络系统存在的安全性问题.该文提出了合理的网络安全防范措施,最终实现计算机网络系统的安全、稳定运行。从不同角度解析影响计算机网络安全的情况,做到防范心中有数,确保计算机网络的安全与有效运行。 1、利用系统安全漏洞进行攻击的例子 假设局域网内计算机安装的操作系统,存在Administrator账户为空密码的典型安全漏洞。这是很多计算机都存在的安全漏洞,黑客往往就利用系统的漏洞入侵系统,对系统进行破坏。下面就是使用虚拟机模拟局域网内的某台计算机,本机计算机作为入侵的黑客,并使远程计算机反复重新启动的过程。 假设局域网内计算机的IP地址为,黑客在入侵远程计算机时首先要与该计算机建立连接,取得管理员权限,黑客在本机事先编辑好bat文件,文件名称为,文件内容是shutdown命令,作用是使计算机重新启动。文件编辑完成后,黑客将该文件复制到远程计算机,之后修改远程计算机的注册表的开机启动项,使其开机时就执行文件,这样远程计算机每次重新启动之后就会执行文件,并再次重新启动。具体实施步骤如下: (1) 在本地计算机编辑批处理文件文件,打开记事本,写入命令如下的命令:shutdown –r –t 10。该命令表示计算机在10秒后重新启动。将文本文件另存为文件。 (2) 使用net use命令与远程计算机建立连接。建立连接前,对虚拟机需要做如下设置:开始——运行,输入打开组策略,找到“Windows设置——安全设置——本地策略——安全选项”,将本地帐户的共享和安全模式设置为“经典—本地用户以自己的身份验证”,再将使用空白密码的本地帐户只允许进行控制台登录设置为“已禁用”。设置完成后就可以使用命令与远程计算机建立连接了。使用的命令是:net use \\ “” /user:”administrator”命令,用户帐户是Administrator,密码为空。命令完成后如图所示:
煤矿企业远程数据安全传输的实践分析
煤矿企业远程数据安全传输的实践分析 发表时间:2018-07-18T11:03:49.223Z 来源:《基层建设》2018年第16期作者:刘斌 [导读] 摘要:当前,互联网技术已普遍使用,自煤矿企业联合重组后,也纷纷利用网络进行数据安全传输。 华北科技学院北京东燕郊 101601 摘要:当前,互联网技术已普遍使用,自煤矿企业联合重组后,也纷纷利用网络进行数据安全传输。但如何让确保远程数据传输安全也成为一个重要问题。基于此,本文分析了使用IPSec VPN和SSL VPN技术来实行维护煤矿企业VPN网络,以确保数据远程传输安全。 关键词:煤炭企业;数据远程传输;实践探析 自国家提出中小煤矿联合重组后,解决的技术落后的中小型煤矿的各种突发问题,并且促进了煤矿信息科技的利用,因为联合后的煤炭企业由于地理位置上的分散,必须在各煤炭矿区和和总部进行网络互连。这样远程数据传输的安全性问题的解决迫在眉睫。基于此,本文主要介绍了煤矿企业总部与各矿区网络连接的问题以及如何在网络传输中确保信息安全问题,以便提高企业的工作效率和管理效益,为本行业提供帮助。 1煤矿企业远程数据访问技术 虚拟专用网络可通过Internet创建虚拟通道,并充分利用其实践企业数据交换,从而保证煤矿企业之间数据传输的安全性。任意两个矿区VPN网络节点间不需要端到端物理链路,而是利用公共网络互动平台提供的逻辑链路,从而保证企业和企业之间数据的安全共享与传输。还可将其视为在公共网络上架构虚拟网络线,为数据的安全访问、远程访问提供了安全、便捷的优点,同时还可节省成本。因此可以看出公共网络技术可以充分的实现远程矿区、煤矿企业间的数据传输,保证煤矿企业数据的可用性及其完整性。 通过技术和现实操作中,表明使用SSL VPN可以实现煤炭企业总部和各分区之间的互连,也补用增加其他设备,操作过程简便,用户只需要下载客户端,使用网络登录,便可简单使用IPSec VPN网络实现煤炭企业之间的互联。尽管科技发展迅速,需定期增加或升级扩展硬件和硬件设备,使之可以安装IPSec VPN的功能,但该设备带来的安全性高等优势带来的收益完全大于客户端的更新投资。SSL VPN技术是一组数据信息安全协议,位于TCP、IP协议和应用程序协议之间,为远程移动用户数据通信提供安全支持。可以记录通过SSL协议和SSL握手协议,提供高层协议数据封装等基本功能,并实现为通信对双方进行协商身份验证、加密算法、密钥交换等。基于IPSec的 VPN 效率高、安全、节省成本的特性,在为网络层IP协议提供安全保障时,也可以使公共网络之间在复杂环境中通过使用互联网来解决煤炭企业在合并重组后面临的尴尬境地。 2安全解决方案设计与实践 煤矿企业通过联合重组,将自己的子矿区通过SSL VPN和IPSec VPN技术联合,使用公共网络资源,在因特网建立安全虚拟加密频道,达到煤矿企业和总部网络互连及保护数据信息传输的功能,使煤炭企业的联合重组,不再受距离和时间的限制,操作也简单方便。 2.1 IP地址规划和网络互连设备基本配置 2.1.1IP地址规划 煤矿企业总部网络IP地址网络为192.168.100.0/24,对外出口公网IP地址为200.28.106.9/24;分矿区网络IP地址网络为192.168.200.0/24,对外出口公网IP地址为215.33.20.9/24。 2.1.2网络基本设置 根据IP地址规划,在煤矿企业总部网络路由器尺上,分别配置对内和对外接口IP地址。在R2上分别配置对内、对外接口IP地址。然后再路由器R1和路由器R2上配置路由器的基本配置、默认路由等网络配置,由于比较简单,所以我们不再过多地叙述。 2.3 基于SSL的VPN实现远程数据安全传输 基于SSL的VPN配置分为服务端配置和客户端配置,其中客户端配置比较简单,对用户是透明的,在这里我们主要谈论基于服务端配置的VPN。 2.3.1基于SSL的VPN配置服务端配置 煤矿企业总部R1需具备SSL VPN功能方能对其进行相关配置,主要步骤包括以下两部:(1)开启AAA,设置SSL VPN客户端拨号的账户名、密码、认证按时等相关的IP地址范围。(2)定义Web VPN策略集,配置SSL VPN客户端通过认证软件方位IP地址和端口号为:https://200.28.106.9,关联拨号所需IP地址及AAA认证策略,配置Web VPN名称为vpnsslgateway,配置客户端拨号的策略及DNS。 3系统应用分析 该方案不仅经济实用,而且具有简单的配置,实现了传输的安全稳定,为煤炭企业联合重组计划提供了新的解决方案,促进了联合重组后的煤炭企业信息化建设,将为社会其他类似企业提供借鉴,有着良好的社会影响力。该设计充分利用VPN的独特性与和共同性的优势,可以创建一个或多个公共网络的安全“虚拟加密通道”。通过IPsec VPN技术和安全网关多层次保护企业数据信息传输的安全可靠。可以实现煤炭企业安全灵活的系统资源和传播以及经济实用、灵活的连接和支持多种网络协议的优点。该方案对于分矿区和煤炭企业总部网络设备有安全网关、路由器、是否冗余的问题,还有待进一步实验负载平衡,但是我们可以配置一些主要设备。使用安全网关支持增强的安全。在企业VPN安全网关不仅可以在总部网络故障,充分发挥其作用,并且可以在遇到有限的条件时有条件的矿区领域扩张,有着完善的解决。 结束语 综上所述,煤矿企业总部和各个矿区、远程用户之间使用VPN技术,将受到地理位置限制的矿区,通过使用公共资源互动,创建一个安全VPN网络的煤矿企业,不仅可以实现煤矿企业和矿区和远程用户数据安全传输,也可以构建一个全国范围内的煤矿企业VPN网络,有助于增强我国煤炭的竞争力,推动煤矿企业信息化建设和经济繁荣。 参考文献: [1]闫占强,白尚旺,党伟超,等.煤矿远程数据安全传输和访问的研究[J].计算机与数字工程,2011,(7):120-123,189. [2]高丹,李晓林,王晓栋.煤矿用远程数据传输系统设计[J].国外电子元器件,2008,(11):69-71. [3]韩臻.亭南煤矿综合自动化远程数据传输安全隔离技术的开发应用[J].山东煤炭科技,2013,(6):146-149.
秋浙大远程教育8计算机信息安全答案
第8章计算机信息安全(单选题) 一.计算机安全定义、计算机安全属性 1、计算机系统安全通常指的是一种机制,即____A__。 A.只有被授权的人才能使用其相应的资源 ---- 对! B.自己的计算机只能自己使用 C.只是确保信息不暴露给未经授权的实体 D.以上说法均错 [解析]略。 2、计算机安全属性包含如下几个方面:可用性、可靠性、完整性、__C___和不可抵赖性(也称不可否认性)。(请看解析) A.可靠性 B.完整性 C.保密性 D.以上说法均错 [解析]参考p.286。在此给出关于计算机安全的5个基本属性: ●完整性,是防止对信息的不当删除、修改、伪造、插入等破坏。 ●保密性,是指确保信息不暴露给未经授权的实体。 ●可用性,是指得到授权的实体在需要时能访问资源和得到服务。 ●可靠性,是在规定的条件下和规定的时间内完成规定的功能。 ●不可抵赖性(又称不可否认性),是指通信双方对其收发过的信息均不可抵赖。 3、信息安全的属性不包括___D__。 A.保密性 B.可用性 C.可控性 D.合理性 [解析]选D。可控性是什么?对于网络信息安全而言,还需要考虑可控性,所谓可控性是指对信息的传播及内容具有可控制能力。 4、计算机信息安全属性不包括___A___。 A.语意正确性 B.完整性 C.可用性服务和可审性 D.保密性 [解析]略 5、下面,关于计算机安全属性不正确的是____B__。 A.计算机的安全属性包括:保密性、完整性、不可抵赖性、可靠性等 B.计算机的安全属性包括:保密性、完整性、不可抵赖性、可用性等 C.计算机的安全属性包括:可用性、可靠性、完整性、正确性等 D.计算机的安全属性包括:保密性、完整性、可用性、可靠性等 6、得到授权的实体需要时就能得到资源和获得相应的服务,这一属性指的是_B___。 A.保密性 B.可用性 C.完整性
数据安全规范
数据安全管理规范 1 范围 本标准规定数据安全规范的基本要求。 本标准适用于服务器机房,监控室等。 3 数据信息完整性 3.1确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。 3.2应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。 3.4具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计。 3.5在传输数据信息时,经过不安全网络的(例如INTERNET网),需要对传输的数据信息提供完整性校验。 3.6应具备完善的权限管理策略,支持权限最小化原则、合理授权。 4 数据信息保密性 4.1数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用,确保数据信息能够被安全、方便、透明的使用。为此,业务平台应采用加密等安全措施开展数据信息保密性工作。 4.2应采用加密效措施实现重要业务数据信息传输保密性; 4.3应采用加密实现重要业务数据信息存储保密性; 4.4加密安全措施主要分为密码安全及密钥安全。 5 密码安全要求 密码的使用应该遵循以下原则 a) 不能将密码写下来,不能通过电子邮件传输; b) 不能使用缺省设置的密码; c) 不能将密码告诉别人; d) 如果系统的密码泄漏了,必须立即更改;
e) 密码要以加密形式保存,加密算法强度要高,加密算法要不可逆; f) 系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等; g) 如果需要特殊用户的口令(比如说administrator),要禁止通过该用户进行交互式登录。 6 密钥安全要求 6.1密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。因此,应采取加密技术等措施来有效保护密钥,以免密钥被非法修改和破坏;(这段说的是密钥的重要性,建议不要) 6.2应对生成、存储和归档保存密钥的设备采取物理保护。(什么样的物理保护?) 7 密钥的管理 7.1密钥产生:为不同的密码系统和不同的应用生成密钥; 7.2密钥证书:生成并获取密钥证书; 7.3密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活; 7.4密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括授权用户如何访问密钥; 7.5密钥变更:包括密钥变更时机及变更规则,处置被泄露的密钥; 7.6密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露或者相关运维操作员离开业务平台部门时(在这种情况下,应当归档密钥); 7.7密钥恢复:作为业务平台连续性管理的一部分,对丢失或破坏的密钥进行恢复; 7.8密钥归档:归档密钥,以用于归档或备份的数据信息; 7.9密钥销毁:密钥销毁将删除该密钥管理下数据信息客体的所有记录,将无法恢复,因此,在密钥销毁前,应确认由此密钥保护的数据信息不再需要。 8 数据信息备份与恢复 8.1备份要求 8.1.1 数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管。
企业信息系统安全防护措施
企业信息系统安全防护措施 企业信息安全现状: 信息安全是随着企业信息化建设面临的最大问题,在普华永道最新发布的全球信息安全状况调查显示,最近一年中国内地和香港企业检测到的信息安全事件平均数量高达1245次,与前次调查记录的241次事件相比,攀升517%。信息安全逐渐成为企业良性发展的最大制约,企业发生信息安全事件后会遭受难以估算的名誉及经济损失,也许一次信息安全事件就可以将一个企业置于“死地”。 企业信息安全的主要威胁及来源: 信息安全主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 从威胁源上划分主要为内部威胁、外部威胁和自然因素威胁。 主要威胁包括: 1.信息泄露:信息被泄露或透露给某个非授权的实体; 2.破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受 到损失; 3.非法使用(非授权访问):某一资源被某个非授权的人,或以非授权 的方式使用; 4.计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害 功能的程序。 主要威胁来源:
1.人为疏忽,比如员工对信息数据使用不当,安全意识差等 2.黑客行为,网络环境被黑客入侵,关键数据被黑客窃取 3.内部泄密,员工为获取非法利益将企业信息资产出售 企业信息系统的安全防护措施: A.内部制度: 建立完善的信息资产管控制度,如关键技术人员的竞业限制,信息数据的分级授权,信息数据的使用规定等 B.网络防护: 1.安装防火墙:防火墙在某种意义上可以说是一种访问控制产品。 它在内部网络与不安全的外部网络之间设置障碍,阻止外界对 内部资源的非法访问,防止内部对外部的不安全访问。主要技 术有:包过滤技术,应用网关技术,代理服务技术。防火墙能 够较为有效地防止黑客利用不安全的服务对内部网络的攻击, 并且能够实现数据流的监控、过滤、记录和报告功能,较好地 隔断内部网络与外部网络的连接。但它其本身可能存在安全问 题,也可能会是一个潜在的瓶颈。 2.网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实 现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于 对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两 者的区别可参见参考资料。网络安全隔离与防火墙的区别可参 看参考资料。
远程实时健康监护系统中数据传输及安全性研究.
远程实时健康监护系统中数据传输及安全 性研究 陈苏蓉,朱晓辉★,王杰华,石振国 (南通大学计算机科学与技术学院,江苏南通226019 摘要:随着医疗检测技术的微型化和计算机网络技术的发展,利用微型传感器对人体健康状况进行远程实时监护已成为医学诊疗仪器领域研究的重点。受限于微型传感器体积、功耗、电池、内存、计算能力等限制,如何实现传感器和数据中心间的双向数据传输及保证数据传输过程的可靠性和安全性成为需要重点解决的问题。提出了利用蓝牙、GPRS(WCDMA技术并以智能手机为媒介来实现数据的双向传输,并利用IOCP协议、动态密钥、数据正确性验证、防恶意攻击等多种方法来解决数据传输过程中的可靠性及安全性问题。通过实验模拟及在实际项目中的应用表明,该方法是有效的。 关键词:健康监护;数据传输;数据验证;数据安全 Research of Data Transmission and Security for Remote Real-time Health Monitor System CHEN Su-rong, ZHU Xiao-hui, WANG Jie-hua, SHI Zheng-guo (College of Computer Science and Technology, Nantong University, Nantong JiangSu 226019,China 【Abstract】With the development of the miniaturization of medical testing technology and computer network technology, monitoring human health by micro sensor remotely and real-timely are becoming the most important research field. However, limited by micro sensor’s volume, power, battery, memory and computing ability, it is important to solve the problem of reliability and security for the two-way data transmission between sensor and data center. This paper presents a solution for the reliability and security in data transmission by using IOCP protocol, dynamic encryption
数据安全管理规定80331
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配置文件中的数据、配置信息等。
浙江大学远程教育2015计算机信息安全8
第8章计算机信息安全(单选题) 完成下列题目,这些题目与期末考试题或将来的统考题类似,请同学们认真做一遍。注意:上传你所做的答案后就可以下载我的参考答案。 一.计算机安全定义、计算机安全属性 1、计算机系统安全通常指的是一种机制,即__A____。 A.只有被授权的人才能使用其相应的资源 ---- 对! B.自己的计算机只能自己使用 C.只是确保信息不暴露给未经授权的实体 D.以上说法均错 [解析]略。 2、计算机安全属性包含如下几个方面:可用性、可靠性、完整性、__C___和不可抵赖性(也称不可否认性)。(请看解析) A.可靠性 B.完整性 C.保密性 D.以上说法均错 [解析]参考p.286。在此给出关于计算机安全的5个基本属性: ●完整性,是防止对信息的不当删除、修改、伪造、插入等破坏。 ●保密性,是指确保信息不暴露给未经授权的实体。 ●可用性,是指得到授权的实体在需要时能访问资源和得到服务。 ●可靠性,是在规定的条件下和规定的时间内完成规定的功能。 ●不可抵赖性(又称不可否认性),是指通信双方对其收发过的信息均不可抵赖。 3、信息安全的属性不包括__D___。 A.保密性 B.可用性 C.可控性 D.合理性 [解析]选D。可控性是什么?对于网络信息安全而言,还需要考虑可控性,所谓可控性是指对信息的传播及内容具有可控制能力。 4、计算机信息安全属性不包括_C_____。 A.语意正确性 B.完整性 C.可用性服务和可审性 D.保密性 [解析]略 5、下面,关于计算机安全属性不正确的是___D___。 A.计算机的安全属性包括:保密性、完整性、不可抵赖性、可靠性等 B.计算机的安全属性包括:保密性、完整性、不可抵赖性、可用性等 C.计算机的安全属性包括:可用性、可靠性、完整性、正确性等 D.计算机的安全属性包括:保密性、完整性、可用性、可靠性等
大数据安全保障措施
(一)数据产生/采集环节的安全技术措施 从数据安全角度考虑,在数据产生/采集环节需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标,相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例,元数据安全管理需要实现的功能,包括数据表级的所属部门、开发人、安全责任人的设置和查询,表字段的资产等级、安全等级查询,表与上下游表的血缘关系查询,表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况,包括每个字段的类型、具体描述、数据类型、安全等级等,同时显示这个数据表的开发人、负责人、安全接口人、所属部门等信息,并且可以通过这个界面申请对该表访问操作权限。 2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级分类管理,特别是在组织内部拥有大量数据的情况下,能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化,通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例,显示了一个数据表每个字段的数据类型和安全等级,在这个示例中,“C”表示该字段的数据类型,“C”后面的数字表示该字段的安全等级。
数据类型、安全等级标识示例 (二)数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节,可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路,也可以直接对数据进行加密,以密文形式传输,保障数据传输过程安全。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 (三)数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理,防止数据遭窃取、泄漏、损毁。为实现这一目标,除了防火墙、入侵检测、防病毒、防DDoS、漏洞检测等网络安全防护技术措施外,数据使用环节还需实现的安全技术能力包括: 1、账号权限管理 建立统一账号权限管理系统,对各类业务系统、数据库等账号实现统一管理,是保障数据在授权范围内被使用的有效方式,也是落实账号权限管理及审批制度必需的技术支撑手段。账号权限管理系统具体实现功能与组织自身需求有关,除基本的创建或删除账号、权限管理和审批功能外,建议实现的功能还包括:一是权限控制的颗粒度尽可能小,最好做到对数据表列级的访问和操作权限控
浙江大学《信息系统安全》在线作业2017年
窗体顶端 您的本次作业分数为:91分单选题 1.【第01章】指纹识别上班打卡机,其核心技术是()。 A 加密技术 B 数字签名技术 C 生物识别技术 D 防火墙技术 正确答案:C 单选题 2.【第01章】公司实施了指纹考勤机,张三为了破解让李四实现代打卡。1)先用铅笔在白纸的一小块上反复涂抹,直至完全涂黑;2)把手洗净擦干,用录过指纹的手指在纸上涂黑处来回涂抹10次;3)取一小块宽胶带,在涂胶面用刚才涂黑的手指按一下,力度轻重适度,以指纹清晰为目的;4)把刚才印上指纹的胶带贴在橡皮上,不能有气泡;5)切割橡皮,以适应指纹考勤机窗口,注意保留指纹;6)拿着这块指纹橡皮去指纹考勤机上测试,如不成功,则重复第3步。这突破了OSI安全体系结构的()机制。 A 鉴别 B 访问控制 C 数据保密 D 数据完整 正确答案:A 单选题 3.【第01章】安全计算机往往有加密密钥,插入密钥,再输入密码,才能开机,这种安全技术保证了计算机的()。 A 数据完整性 B 可用性 C 可靠性 D 机密性 正确答案:D 单选题 4.【第01章】上课时,老师带U盘其中存储了上课用PPT,同时把该PPT放在互联网电子邮件系统的网络存储中,这种安全技术保证了数据的()。
A 完整性 B 可用性 C 访问权限 D 机密性 正确答案:B 单选题 5.【第01章】某数据中心制定规定,每月将数据备份到另外一幢楼的存储中,这是为了数据的()。 A 完整性 B 可用性 C 可靠性 D 机密性 正确答案:C 单选题 6.【第03、04章】某银行用户张三在ATM机取款后,忘记取走信用卡,其后的用户李四用张三遗忘在ATM机中的信用卡,取款20000元。这在信息安全领域,属于威胁类别为()。 A 泄密 B 欺骗 C 中断 D 篡夺 正确答案:D 单选题 7.【第03、04章】某旅客张三在乘火车时睡着了,其隔壁的旅客李四使用张三的手机,给张三通讯录中所有联系人发短信“我在出差中钱包被盗,手机马上欠费停机,李四是我朋友,请帮助汇款200元,到工商银行卡号xxxxxx,谢谢”,这在信息安全领域,属于威胁类别为()。 A 泄密 B 欺骗 C 中断
数据安全管理规范
业务平台安全管理制度 —数据安全管理规范 XXXXXXXXXXX公司网络运行维护事业部
目录 一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四. 数据信息完整性安全规范 (5) 五. 数据信息保密性安全规范 (6) 5.1密码安全 (6) 5.2密钥安全 (6) 六. 数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)
一. 概述 数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度 2.1 数据信息安全存储要求 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定: ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信 息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无 用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和 应用加密技术时,应符合以下规范: ?必须符合国家有关加密技术的法律法规; ?根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密 钥的长度; ?听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。 ◆机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称 加密。 ◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数 字签名时应符合以下规范: ?充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。 ?采取保护公钥完整性的安全措施,例如使用公钥证书; ?确定签名算法的类型、属性以及所用密钥长度; ?用于数字签名的密钥应不同于用来加密内容的密钥。
数据中心机房用电安全防护措施
仅供参考[整理] 安全管理文书 数据中心机房用电安全防护措施 日期:__________________ 单位:__________________ 第1 页共5 页
数据中心机房用电安全防护措施 1.综述 为尽量避免机房内电力意外事故,以保障人身安全、防止设备损坏及影响供电系统等为目的。规范数据中心机房设备加电、日常操作的用电安全防护措施,制定本文档。 2.范围 本文档适用于北京移动数据中心所有机房(菜市口、望京、昌平、丰台、大白楼)。 3.用电安全措施 机房日常用电安全的最高准则为确保人员安全。 3.1设备用电安全措施 3.1.1设备上架加电要求 所有进入机房,需使用机房电源的设备应为正规品牌且具有3C标志(即中国强制性产品认证)中CCC+5安全认证标志或CCC+SB安全与电磁兼容认证标志任意一个。任何自行组装(DIY)设备不得上架加电。 设备上架加电前应在机房外,使用非机房(生产用电)电源进行加电、开机测试,测试该设备电源组件为正常运行方可上架加电。 不能在机房外加电测试的直流电设备,进入机房后首次加电需机房负责人,电力维护人员,中通维护人员,运维人员及客户同时在场。 不能在机房加电测试的其他交流电设备,进入机房后首次加电需机房负责人中通维护人员,运维人员及客户同时在场。 设备上架后,加电前,由中通维护人员对机柜电源进行通路、电压测试,测试结果正常后由客户自行闭合对应的空开。 ●以上任意一点不能达到标准,必须由机房负责人书面(包含邮件) 第 2 页共 5 页
批准。 3.1.2设备日常操作安全措施 机房内应设置维护和测试用电源插座(地插、强插等),供日常维护过程中接插相关维护设备,仪器仪表等。严禁随意使用机柜内电源接插。 需要关闭电源时,不要设想电源已关闭,必须仔细检查,确认。 为避免静电对设备的电子器件造成损坏,对设备进行操作时应穿着防静电服或戴防静电手套或佩戴防静电手镯。 拿电路板时,应拿电路板边缘,不要接触元器件和印制电路。 保持机柜内清洁、无尘。 防静电手镯的使用方法如下: 1、将手伸进防静电手镯,戴至手腕处。 2、拉紧锁扣,确认防静电手镯与皮肤有良好的接触。 3、将防静电手镯,插入设备的防静电手镯插孔内,或者是用鳄鱼夹夹在机柜的接地处。 4、确认防静电手镯良好接地。 3.2.日常维护人员安全措施: 非电工作业人员、不具有电气电力专业资质人员严禁进行任何电工作业。电工作业包括但不限于以下内容:对机房配供电设施、装置进行安装、维护、检查、检修等操作。 配供电设施、装置的绝缘或外壳损坏,可能导致人体接触及带电部分时,应立即停止使用,并及时修复或更换。 移动用电设备、打开用电设备外壳时必须拔掉所有电源线和外部电缆。 第 3 页共 5 页
远程系统的安全性
远程自动控制系统中的安全性研究 A research on security of telecontrol System 富瑶、郑雪峰、陈丽娜 Fu,Yao.zheng,Xuefeng. Chen,Lina 北京科技大学信息学院计算机系 100083 (School of Information Computer, USTB Beijing, Beijing 100083, China) 摘要:随着控制系统日益向网络化、集成化、分布化及节点智能化发展,安全日益成为影响控制系统网络传输效能的重要问题。因此研究远程自动控制系统中的安全性是十分必要的,基于此本文主要研究了冶金系统工业远程实时数据共享系统中存在的安全问题及其解决办法,为自动控制生产中提供高级别的安全机制。 关键词:远程自动控制,数据实时共享,SSL,加密 中图分类号:A 文献标识码:TP309.7 Abstract: With the development of control systems to networking, integrated, distribution, and the intelligent nodes, security has increasingly become an important issue on network transmission of the telecontrol system network; therefore research on the security of the automatic control system is very necessary. Because of this the paper research the security problems and their solutions of the real-time data sharing in the telecontrol system, providing the high security for the automatic production. Keywords: telecontrol system, real-time data sharing, secure socket layer, encrypt 1 引言 信息技术的迅猛发展对企业信息化和自动化领域的发展产生了巨大的影响。网络控制系统(Networked Control System,简称为NCS),即网络化的控制系统,又称为控制网络,是计算机技术、通信技术与控制技术发展和融合的产物,它可应用于几乎任何带有控制器的分布设备需要进行数据交换的场合。DCS、工业以太网和现场总线系统都属于网络控制系统。随着网络控制系统规模的日益发展壮大也同样带来了许多管理上及信息交换过程中的安全隐患问题,本文正是在这样的背景下提出了在自动控制的数据共享系统中基于SSL协议的安全机制的实现。 2 远程自动控制系统中存在的安全问题 本文所研究的远程自动控制系统如图1所示,用于冶金系统的工业远程控制。 图1 远程控制系统架构图 它是基于PLC-DCS两级架构,以Alpha机作为下位机,通过RFM5595网卡构成一个光纤令牌环网。作为存储数据的内存网卡RFM5565,通过各种PLC设备搜集,存储,从精轧区采集过来的数据,然后转发到各个Alpha机上。其次各台Alpha机通过交换机又组成了一个局域网,实现数据共享。远程客户端可以登录服务器进行实时监控。
数据安全加密保护方案
数据安全加密保护方案 数据泄露事件而引起的浪潮,已经在不停的冲刷企业内部筑起的数据安全堤坝。在国内甚至全球,数据安全已经成为了急需解决的重点问题,数据防泄密也不 止一次两次被个人及企业提及关注。很多人在说,却也不是很懂。数据防泄密 系统到底是什么?数据防泄密技术真能有效保护数据安全吗?数据防泄密能防 哪些泄密? 数据防泄密是通过一定的技术手段,例如加密技术,防止企业的重要数据或信 息资产被内部内鬼窃取或者外部网络攻击而流出。工作中,文档数据的流通包 含括创建、存储、使用和传输等几个主要过程。数据防泄密系统就是保护企业 的机密信息不被非法存储、使用和传输。做到文档数据的全生命周期管控,全 程管控信息流通的各个环节,企业数据安全就受到严密的保护。 从这个意义上说,数据防泄密系统是一个全方位的体系。在这个体系中,数据 全程处于保护状态,一切对数据的操作都会被加密控制。形象的说,数据被加 上一个透明的外壳。数据在"壳"里自由流动。未经许可,里面的数据出不来, 外面的人拿不到。 数据防泄密系统的功能很多,能防范的泄密也很多。用红线防泄密系统以下一 些案例来详细说明。 1 防止窃取和泄密红线防泄密系统以数据加密为基础。日常所有类型的文件,都能被加密。加密过的文档,未经许可及对应权限即无法打开,即使被拷贝走 打开也是密文显示,无法查看真实内容。无论内部人员或外部入侵都无法造成 数据泄密。 2 防止越权访问管理员通过权限控制,能精确控制人员对文件的访问、编辑(包括复制、截屏、打印)权限,同时划分文件密级,有效防止越权访问。常 见的通过U盘拷贝、邮件发送等方式的泄露手段都将无用武之地。 3 防止二次扩散企业内部文档数据在创建后即被强制自动加密,采用透明加密技术,可自由设置所支持的自动透明加解密应用,在文档数据需要外发时,需 申请管理员审批解密。防止二次扩散。
(全)浙江大学实验室安全准入考试答案
1、[ 判断题] 触电事故是因电流流过人体而造成的。分值) 你的答案:正确 2、[判断题] 用手搬运重物时,应先以半蹲姿势,抓牢重物,然后用腿肌出力站起,切勿弯腰,以防伤及背部和腰。(分值)你的答案:正确 3、[ 判断题] 高校实验室科研教学活动中产生和排放的废气、废液、固体废物、噪声、放射性等污染物,应按环境保护行政主管部门的要求进行申报登记、收集、运输和处置。严禁把废气、废液、废渣和废弃化学品等污染物直接向外界排放。(分值)你的答案:正确 4、[判断题] 化学废液要回收并集中存放,不可倒入下水道。(分值) 你的答案:正确 5、[判断题] 电离辐射的标识是 (分值) 你的答案:正确 6、[判断题] 因为实验需要,可以在实验室存放大量气体钢瓶。(分值) 你的答案:错误 7、[判断题] 若被火场浓烟所困,应迅速起身跑出火场。分值)
你的答案:错误 8、[判断题] 电弧焊焊接工位的防护屏可预防焊接电弧辐射对他人的伤害。(分值) 你的答案:正确 9、[判断题] 及时淘汰老化、性能不稳又具有安全隐患的仪器设备(如冰箱10 年以上,烘箱12 年以上)。(分值) 你的答案:正确 10、[ 判断题] 实验结束后,应该打扫卫生、整理或运走废弃的试样或物品。(分值)你的答案:正确 11、[判断题] 实验废弃物应分类存放,及时送学校废弃物中转站,最后由学校联系有资质的公司进行处理。(分值)你的答案:正确 12、[ 判断题] 灭火的四种方法是隔离法、窒息法、冷却法、化学抑制法。(分值)你的答案:正确 13、[判断题] 如遇呼吸道吸进有毒气体、蒸气、烟雾而引起呼吸系统中毒时,应立即将病人移至室外空气新鲜的地方,解开衣领,使之温暖和安静,切勿随便进行人工呼吸。(分值)你的答案:正确 14、[ 判断题] 当发生火情时尽快沿着疏散指示标志和安全出口方向迅速离开火场。(分值)你的答案:正确 15、[ 判断题] 可以用湿布擦电源开关。(分值) 你的答案:错误 16、[ 判断题] 急救时伤口包扎越紧越好。(分值) 你的答案::错误 17、[ 判断题] 手工锻造时思想要集中,掌钳者必须夹牢和放稳工件,并控制锤击方向。(分值) 你的答案:正确 18、[ 判断题] 锻造过程中,身体不得接触尚未冷却透的锻件。(分值)你的答案:正确