应用安全应用测评指导书三级版

编号：测评指导书

《信息系统安全等级保护基本要求》

基础网络安全-应用安全-第三级

V1.0

天融信信息安全等保中心

1、测评对象

2、入场确认

3、离场确认

等级保护测评_应用安全

一．应用系统安全测评指导书1.应用系统安全测评访谈：专门的登陆控制模块进行身份鉴别手工检查： 1.查看登陆控制模块 2.验证登陆控制模块功能是否正确。1.认证方式应该为混合认证方式 2.本身操作系统用户也必须输入密码才能登陆。访谈： 1.是否有专门的模块或选项，是否有相关参数需要配置 2.功能验证。访谈： 1.登录失败处理的功能(如结束会话、限制非法登陆次数，当连接超时，自动退出等)，查看是否启用配置。 2.应根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部进行测试： a.以错误的用户名或密码登录系统查看系统的反应 b.以超过系统规定的非法登录次数登陆系统查看系统的反应 c.当登陆系统连接超时查看系统的反应。

访谈： 1.是否有访问控制策略配置功能，以该授权主体身份登录系统，进行验证 2.以不具有修改访问控制策略权限的用户登录系统，试图修改访问控制策略，查看是否成功 3.系统是否有默认用户，是否限制了默认用户的访问权限 4.测试应用系统是对默认账户合法/非法操作进行限制。访谈： 1.最小授权、相互制约 2.用户职责分配的权限是否与其职责相符 3.不同账户的权限是否分离并形成制约关系 4.测试越权访问，能否成功。访谈： 1.功能是否满足并验证。

1.系统管理员是否依据安全策略对目标系统进行了正确的配置 2.进行验证。访谈： 1.询问安全审计员，审记策略是什么； 2.检查应用系统的审记策略，查看审记策略是否覆盖到每个用户，是否对系统异常等事件进行审计 3.确认审计功能是否全面、详细。访谈： 1.检查应用系统是否提供专门的审计工具 2.应用系统审计报表功能访谈： 1.询问应用系统审计方式，测试审计功能健壮性 2.验证审计功能 3.审计记录恢复功能。

安全管理机构业务指导书

安全管理机构业务指导书都匀供电局安全管理机构业务指导书 xx-08-25 发布 xx-09-01 实施都匀供电局发布 Q/CSG430042-xx 目录 1、业务说明3 2、适用范围3 3、引用文件3 4、术语与定义4 5、管理要点4 6、流程步骤及说明、6 7、附录1 附录 A 安全管理机构统计表、1 （资料性附录）1 Q/CSG430042-xx 都匀供电局安全管理机构业务指导书 1、业务说明 1、1 本业务是为安全管理提供必要的资源保障。 1、2 本业务规定了安全管理机构的设置、安全管理人员的任命、安全管理人员的资质要求。 2、适用范围本业务由安全监管部归口管理，本业务指导书适用于都匀供电局所属各部门、各供电局。 3、引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不

包括勘误的内容）或修订版均不适用于本标准，凡是不注日期的引用文件，其新版适用于本指导书。主席令第70 号《中华人民共和国安全生产法》第九条、第二条国能安全[xx]254 号《电网企业安全生产标准化规范及达标评级标准》 5、2、1、1、5、2、1、2、5、2、1、3 AQ/T9006-xx《企业安全生产标准化基本规范》 5、2 Q/CSG210005-xx《中国南方电网有限责任公司安全管理规定》第一条、第二条、第三条、第四条、第五条（xx 版）中国南方电网有限责任公司《安全生产风险管理体系》 1、6 Q/CSG-GZPG-DY430007-xx 《都匀供电局应急管理与响应业务指导书》 5、2 Q/CSG-GZPG-DY431016-xx 《都匀供电局检修、技改新设备投运业务指导书》 5、3 Q/CSG-GZPG-DY433003-xx《都匀供电局工程建设管理业务指导书》 5、6、3、3、5、6、3、4 Q/CSG-GZPG-DY430005-xx 《都匀供电局事故/事件业务指导书》 5、5 Q/CSG-GZPG-DY430012-xx 《都匀供电局安全区代表管理业务指导书》 5、2 Q/CSG-GZPG-DY430013-xx 《都匀供电局安全生产风险管理体系审核管理业务指导书》

施工项目安全生产管理工作指导书

施工项目安全生产管理工作指导书项目安全管理人员会签表

0 总则 0.1 项目部安全生产管理是指现场生产安全、环境保护和治安保卫管理工作的总和。 0.2 项目部安全生产管理工作应做到思想认识到位、人员组织到位、技术措施到位、现场管控到位。 1 质量、环境、职业健康安全目标、指标 1.1质量目标规范管理，保证安全监管工作质量。 1.2环境、职业健康安全目标 a）重伤以上人身伤害事故为“零”； b）群体性伤害事故和职业病发生率为零； c）累计财产损失不超过200万元； d）环保满足合同和当地法规要求。 2 安全职责 2.1项目安全职责综述 “安全生产，人人有责”是对项目部制定和落实安全职责的基本要求。根据工作内容的不同，项目部每个岗位赋予了固有的安全职责，不管是项目经理还是现场作业人员，都要认真履行与自身工作内容有关的安全职责。 2.2项目安全生产管理工作基本内容 a）建立职业健康安全和环境管理体系，落实安全生产责任制； b）完善本项目安全生产规章制度和操作规程； c）保证本项目安全生产投入的有效实施； d）开展安全生产监督检查，及时消除事故隐患； e）制定并实施本项目事故应急救援预案； f）及时、如实报告事故。 2.2 项目部安全职责基本内容 2.2.1 项目经理安全职责

（１）作为股份公司或／和子公司法定代表人在工程项目上的授权委托代理人，是项目部安全生产的第一责任人，对项目部的安全生产全面负责，并对项目部发生的安全事故（包括分包商和临时用工发生的事故，下同）承担主要领导责任；（２）及时与上级安全生产第一责任人签订安全生产责任书，在本项目部层层落实安全生产任制，负责把安全技术交底书面交到每一位作业人员；（３）建立健全安全生产管理部门，配备具有相应资质、满足工作需要的专职安全生产管理人员，并大力支持他们开展工作；（４）负责股份公司和子公司安全生产规章制度在项目部的贯彻落实，组织制定并实施项目部的安全生产计划，结合项目实际完善现场安全生产规章制度和安全操作规程；（５）确保项目部安全生产费用提取和有效使用，按标准要求完善施工现场安全防护设施，配齐个人安全防护用品，开展全员安全教育培训，实行文明施工，做好环境保护，接受上级安全监管部门的监督检查；（６）严格工程分包和临时用工的使用和管理，确保专业分包、劳务分包程序合法，做到安全教育培训到位；严格执行安全生产考核及奖罚办法，确保项目员工个人收入与安全生产绩效挂钩；（７）根据工程特点组织制订本项目部的安全技术措施，并严格执行；定期组织有针对性的安全检查，及时排除各类事故隐患，并做好安全检查及考核记录；（８）负责组织制定并实施本项目部的安全事故应急预案，定期组织进行演练和修改；（９）按规定向上级部门报告项目部安全生产情况，发生事故时，及时、如实报告股份公司和子公司，坚持按“四不放过”原则处理事故；（10）法律法规和公司规定的其他安全职责。

最受欢迎的十大WEB应用安全评估系统教学教材

最受欢迎的十大WEB应用安全评估系统在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明： 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作，能扫描和检测所有常见的Web 应用安全漏洞，例如SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如ISO 27001、OWASP 2007等。 2.HP WebInspect

目前，许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术，HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核（simultaneous crawl and audit, SCA）及并发应用程序扫描，您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。主要功能： ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具（HP Security Toolkit）执行渗透测试 ·配置以支持任何Web 应用程序环境游侠标注：毫无疑问的，WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner

建设工程施工安全监督评价指导书标准范本

管理制度编号：LX-FS-A92797 建设工程施工安全监督评价指导书标准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写：_________________________ 审批：_________________________ 时间：________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑

建设工程施工安全监督评价指导书标准范本使用说明：本管理制度资料适用于日常工作环境中对既定操作标准、规范进行约束，并要求相关人员共同遵守对应的办事规程与行动准则，使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整，套用时请仔细阅读。为加强我站建筑施工现场安全生产的监督检查，根据《中华人民共和国安全生产法》、《建设工程安全生产管理条例》（国务院令第393号）和《四川省建筑施工现场安全监督检查暂行办法》，现将有关意事项告知如下：一、开工安全生产条件审查（一）建设单位在申领《施工许可证》前，必须持下列资料到我站安全可进行施工安全监督备案： 1、中标施工企业安全生产许可证； 2、中标施工企业项目经理、安全员经建设行政

安全管理工作指导书

1.0目的规范重庆三电公司的安全管理工作，逐步引导及推广“安全文化”，创建安全健康的工作氛围。 2.0范围 2.1 本指导书适用于重庆三电全体员工及在重庆三电的所有相关方（如供方、承包商、顾客）； 2.2 本指导书适用于重庆三电厂区范围内的一切安全管理事项 3.0术语定义：无 4.0职责 4.1 重庆三电全体员工及相关方人员：负责遵守即执行本作业指导书的每一项规定 4.2 重庆三电管理层：负责引导及推广本作业指导书，负责及时传达本部门所有人员，监督及管理员工的安全行为。 4.3 人力资源部：负责本作业指导书的培训、更新及回顾，创建及推行重庆三电安全文化 5.0 流程 5.1安全管理制度： 5.1.1 全员参与：公司所有人员参与到安全管理中来，人人都是安全管理员。安全管理关系到每个人的安全，只有大家主动参与进来，提升自身安全意识，自觉养成良好的安全习惯和安全行为，才能从根本上杜绝事故的发生。5.1.2 区域负责制：区域主管（本区域的直接管理者）对本区域的安全直接负责。 A．对所负责区域的安全负责 B．对所有汇报者的安全负责，而不管汇报者何时、在何地工作。 C．对进入所负责区域的所有人员的安全负责。

5.2违纪处分等级 1）口头指导 2）书面指导 3）解除劳动合同 5.3安全管理准则 5.3.1 建筑施工现场安全准则： 1）进入施工现场，必须佩戴安全帽、安全鞋，车间作业者必须穿工作服；违者口头指导处分，承包商违者罚款100元/次。 2）高空作业，必须佩戴安全带，并将安全带挂在高处（高挂低用）。违者书面指导处分；承包商违者罚款200元/人/次。 3）动火作业：动火作业现场易燃物品必须清理干净，必须配备灭火器,违者口头指导处分；承包商违者罚款200元/次，甚至直接驱逐现场。因未配备灭火器造成事故者，由违反单位及相关人员全部赔偿，并另行罚款至少5000元。 4）临时用电作业：临时电控箱、插线板等禁止有裸漏端子的电线接头，并有漏电保护器，禁止使用老化、破损线缆，禁止碾压电线；违者书面指导处分，承包商违者至少罚款200元/次。 5）吸烟规定：厂房内禁止吸烟，禁止在非指定地点吸烟，禁止随意扔置烟头；违者口头指导处分，承包商违者罚款100元/次。 5.3.2车间安全准则： 1）进入车间，必须穿戴合适的个人防护用品，不准穿拖鞋、高跟鞋进入车间，女士进入车间长发必须盘起，戴防护帽；违者口头指导处分。 2）非特殊情况，行人必须走人行道；违者口头指导处分 3）车间不允许抽烟，不准在非指定地点吸烟；违者口头指导或书面指导以上处分 4）外来人员/参观人员必须有专人陪同 5.3.3 特种作业安全准则 A．特种作业实行许可制度，作业前必须进行特种作业申请，并得到许可批准后方能进行作业。 B．未经过许可的特种作业，违者书面指导处分，承包商被勒令停工甚至驱逐现场。 C．许可证失效后未进行重新申请而继续作业者，参照B项处理。 5.3.3.1 叉车作业 1）禁止无证操作；违者直接解除劳动合同 2）禁止叉车载人（叉齿载人或驾驶室载人），禁止叉齿上、下站人；违者直接解除劳动合同

安全管理测评作业指导书

安全管理测评作业指导书编制：校对：审核：批准： 2009－－发布2009－－实施

修订页

1 目的安全管理贯穿于信息系统的整个生命周期，在保障信息系统的安全中发挥了重要作用，与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施，通过文档化的管理体系，为保障系统正常运行所涉及的人员活动做出明确规定。本手册的编写目的是为了指导管理测评实施人员的实际工作，根据实际工作的深入开展，会及时对本作业指导书进行更新，以保证指导书的高指导性。 2 适用范围本手册适用于在现场测评实施中负责安全管理测评检查的测评人员。 3职责 3.1测评师 1）测评师应在客观、公正的情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动； 2）测评师应正确理解测评项，并具有良好的判断； 3）测评师应注意测评记录和证据的接收、处理、存储和销毁，保护其在测评期间免遭改变和遗失，并保守秘密； 4）测评师应遵循正确的测评方法进行现场测评和结果判定，以确保满足相关标准的要求。 4 相关文件 4.1依据标准 GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》 4.2参考标准《信息系统安全等级保护测评要求》（送审稿）

《信息系统安全等级保护测评过程指南》（送审稿）上述文件中的条款通过本手册的引用而成为本手册的内容。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本手册。凡是不注明日期的引用文件，其最新版本适用于本手册。 5 测评方法人员访谈测评师通过与被检查人员进行交流，对测评检查项进行细化。所获得测评所需数据，进行查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效。文档检查测评师通过文档检查验证用户的现有文档与测评要求的符合程度，获取证据以证明信息系统安全等级保护措施是否有效。 6 操作步骤 6.1测评前准备确定安全管理检查的测评内容。根据《信息系统安全等级保护基本要求》中的管理要求，安全管理测评包括五个部分，分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。管理访谈在进入现场实施访谈工作之前，需要与被测方进行沟通，确认对方被访谈对象的名单，确认其中是否存在同一被访谈对象对应多个访谈岗位的状况，在与被测方就“岗位——人员”对应关系取得一致性意见后，编写访谈工作实施计划，并提交被测方，确认访谈工作开展的时间、地点、被访谈对象的先后顺序。同时进入现场之前，需确认所有安全管理访谈检查表已准备妥当，并熟悉列表中的内容。管理文档检查在进入现场实施检查工作之前，需要与被测方进行沟通，确认配合文档检查的人员等。同时进入现场之前，需确认所有文档检查表已准备妥当，并

安全管理指导书施工安全

安全管理指导书安全调度科副科长（施工）二〇一四年八月

临沂车务段安全文化车务段安全文化铁路是高危行业，安全是饭碗工程干部要吃苦吃亏，职工要遵章守纪严是爱、松是害，思想政治工作是安全生产的生命线安全调度科安全理念责任落实是关键，预防为主抓超前车站安全理念持之以恒抓标准，日积月累抓基础行车安全理念让标准成为习惯调车安全理念

目录一、岗位职责 (5) 二、岗位工作权限 (5) 1.基本规章掌握 (6) 配备《技规》、《行规》、《站细》、《铁路运输调度规则》、《车站行车工作细则编制规则》、《铁路交通事故调查处理规则》、《铁路交通事故应急救援规则》、《电气化铁路劳动安全手册》、《济南铁路局营业线施工安全管理实施细则》、《铁路货车统计规则》、《列车运行监控装置（LKJ）运用维护规则》、《铁路事故救援队管理标准》、《接发列车作业》、《车机联控作业》、《济南铁路局车机联控作业》、《非正常情况接发列车作业》、《铁路调车作业》、《非正常调车作业》、《中间站站长工作标准》、《中间站调车区长一班作业标准》、《车务作业人身安全标准》、《车务系统有效技术规章汇编》等规章制度，熟练掌握并督促落实。 (6) 6.设备及备品管理 (7) 参与制定车务段《行车设备“用、管、修”制度》，并督促各站抓好落实。 (7) 四、岗位安全过程控制 (8) 1.日常安全检查 (8) ⑤现场检查：每月不少于8天；0至6点不少于3次，每次不少于2小时；一线跟班作业1次；检查接发列车不少于20列；检查调车作业不少于10批，专用线（专用铁道）检查不少于6家（每

季对管内专用线检查一遍）。 (8) 2.接发列车安全过程控制 (8) 3.调车作业安全过程控制 (9) 4.施工安全过程控制 (9) 5.劳动安全控制 (10) 6.路外安全控制 (10) 五、岗位应急处置 (11) 1.岗位应急处置职责 (11) （6）定期总结应急处置存在的问题，并向上级汇报需要协调解决的问题。 (11) 2.岗位应急处置流程 (11) （7）根据故障处置中存在的缺陷，优化应急处置预案。.. 11 六、工作流程 1.一日工作流程 2.值班工作流程

等级保护2.0 三级-Linux 测评指导书V1.0

1.1安全计算环境-Linux 1.1.1身份鉴别测评项： a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；测评方法：测评项： b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；测评方法：测评项： c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；测评方法：

测评项： d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。测评方法： 1.1.2访问控制测评项： a) 应对登录的用户分配账户和权限；测评方法：测评项： b) 应重命名或删除默认账户，修改默认账户的默认口令；测评方法：测评项： c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；测评方法：

测评项： d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；测评方法：测评项： e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；测评方法：测评项： f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；测评方法：测评项： g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。测评方法：

1.1.3安全审计测评项： a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；测评方法：测评项： b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；测评方法：测评项： c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；测评方法：

安全作业指导书

神木龙华电厂水塔烟囱工程安全施工作业指导书施工负责人：任全喜安全员：郭建民审核：刘铭编制：郭献立西北电力建设第四工程公司龙华项目部二00三年十月

烟囱、水塔工程安全施工作业指导书我分公司在神木龙华电厂承建100M/3.2M烟囱和一座2000M2冷却塔等工程，为保该工程安全施工，依据《电力建设安全工作规程》编制此安全施工作业指导书，希各施工人员遵照执行。本作业指导书适用神木龙华电厂烟囱和冷却塔等工程安全施工作业和安全监督管理使用。一、作业人员资格要求： 1、凡本工地施工人员必须是经过《电力建设安全工作规程》考试合格者，并熟悉高空作业有关规定、参加高空作业人员必须经过身体检查合格人员。凡患有精神病、聋哑、色盲或经医生诊断不适应高空作业人员，不得参加高空处作业。 2、凡新进厂职工、临时工、民工须由项目部管理部门通知安检人员登记造册，进行三级安全培训，并进行《安规》考试，体检合格方可上岗作业。并由熟练人员和上述人员参杂作业，半年后方可独立作业。对于联营队伍，必须经有关部门严格审查其安全资质证明，未经审查或审查不合格的联营单位严禁录用。对于管理混乱或上年度发生过人身死亡事故的联营单位，不得继续留用。本工程项目部对联营单位负有监督、指导义务。 3、特殊工种须经技术培训，考试合格符合上岗条件，持证上岗，新工须由持证人员带领，做辅助工作。二、安全作业设施、工具等：现场安全作业设施工具主要有：安全标语、安全帽、安全带、安

全网、防护、隔离设施、警戒区域线及小红旗、脚手板、栏杆、爬梯、警戒指示灯、劳动保护用品工具等，凡外购安全物品须有厂家产品合格证、使用说明、符合国家标准和到指定的专卖店购买。凡搭设、加工的安全设施应经安监部门或有关人员验收通过后方可使用。烟囱、水塔所使用的脚手板应逐块检查，方可铺设，并半月检查一次，班组班前检查，凡不合格或受损不能使用的应及时更换。三、安全岗位责任制项目经理安全职责： 1.项目经理是本工程项目第一安全责任人，对本工程项目安全健康与环境工作负全面责任。直接主管本单位安全监督部门。 2、审定本项目部年度安全工作计划。主持本单位安全工作例会、及时研究解决安全工作中存在的问题。组织落实，及时协调在工作中出现的问题。 3.保证安全技术措施经费的提取和使用，确保现场具备完善的安全文明施工条件。 4.保证本单位安全奖金的建立和使用，确保本单位安全奖惩。颁发的实施 5.保证承发包合同中有安全文明施工的要求和奖惩措施，并严格按合同执行。 6.组织并参加本单位安全大检查工作。按三不放过的原则组织并主持人身重伤事故的调查处理工作。参加人身死亡事故和重大施工机械设备、火灾事故的调查处理工作。

应用安全测评指导书

1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果 1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现； 2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别； 2) 登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3)应用系统不存在密码为空的用户。 b)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/ 口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）；手工检查： 1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。 c)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处访谈： 1）访谈应用系统管理员，询问应用系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）；手工检查： 1）以弱口令用户注册，验证其用 1)应用系统配备身份标识（如建立帐号）和鉴别（如口令等）功能；其身份鉴别信息具有不易被冒用的特点，规定字符混有大、小写字母、数字和特殊字符）； 2)以不符合复杂度要求和不符合长度要求

15-SGISLOP-SA17-10-IDS等级保护测评作业指导书(三级)

控制编号：SGISL/OP-SA17-10 信息安全等级保护测评作业指导书 IDS（三级）版号：第 2 版修改次数：第0 次生效日期：2010年01月06日中国电力科学研究信息安全实验室

修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注 1SGISL/OP-S A17-10 唐斐按公安部要求修订詹雄2010.3.8

一、安全审计1．日志记录测评项编号ADT-FW-04 对应要求应对设备运行状况、网络流量等进行日志记录测评项名称日志记录测评分项1：记录IDS的管理行为、设备运行状况和网络异常流量。操作步骤查看IDS日志，是否存在设备运行状况和网络异常流量等相关日志记录适用版本任何产品实施风险无符合性判定存在防火墙的管理行为、网络流量等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为不符合测评分项2：审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等操作步骤查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本所有内容实施风险无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为不符合备注

2．日志分析测评项编号ADT-FW-04 对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项1：根据各种审计数据分析，并生成报表操作步骤登陆IDS管理界面，获取日志分析报告及图表适用版本任何产品实施风险无符合性判定能获取到日志分析报告及图表，判定结果为符合不能获取到日志分析报告及图表，判定结果为不符合3．审计记录的保护测评项编号ADT-FW-04 对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称审计记录的保护测评分项1：审计记录的完好性保护操作步骤查看审计记录的存储，是否未经授权可删除、修改审计记录适用版本任何产品实施风险无符合性判定未经授权，不可删除、修改审计记录，判定结果为符合未经授权，可删除、修改审计记录，判定结果为不符合三、安全防护

安全管理规章制度和操作规程

安全管理规章制度和操作规程一、电工 1、安装临时用电线路的电气作业人员，必须持有电工作业证。 2、临时用电设备和线路应按供电电压等级和容量正确使用，所用的电气元件应符合国家规范标准要求，临时用电电源施工、安装应严格执行电气施工安装规范，并接地良好。 3、电气操作人员在施工过程中应思想集中，电器线路在未经测电笔确定无电前，应一律视为“有电”，不可用手触摸，不可绝对相信绝缘体，应认为有电操作。 4、工作前应详细检查自己所用工具是否安全可靠，穿戴好必须的防护用品，以防工作时发生意外。 5、维修线路要采取必要的措施，在开关手把上或线路上悬挂“有人工作、禁止合闸”的警告牌，防止他人中途送电。 6、使用测电笔时要注意测试电压范围，禁止超出范围使用，电工人员一般使用的电笔，只许在五百伏以下电压使用。 7、处理好所有拆除的电线要，带电线头包好，以防发生触电。 8、所用导线及保险丝，其容量大小必须合乎规定标准，选择开关时必须大于所控制设备的总容量。 9、工作结束后，必须全部工作人员撤离工作地段，拆除临时地线、警告牌、所有材料、工具、仪表等随之撤离，原有防护装置随时安装好。并检查是否有工具等物品遗漏。

10、操作地段清理后，操作人员要亲自检查，如要送电试验一定要和有关人员联系好，以免发生意外。 11、发生火警时，应立即切断电源，用四氯化碳粉质灭火器或黄砂扑救，严禁用水扑救。二、焊工 1、工作前应戴好劳动保护用品，电焊工在潮湿地方作业要穿绝缘鞋，不要穿潮湿衣服工作。 2、禁止在易燃、易爆物体上和装载易燃易爆的容器内外进行焊接或切割，若需要焊接，应将容器内外所有残存物清洗干净，并经有关安全人员检查同意后才可进行工作，焊接工作要离开易燃、易爆物体10米以外。 3、禁止在可燃粉尘浓度高的环境下进行焊接或切割工作。 4、焊接工作时，先检查四周环境是否允许烧焊，高空作业要扎好安全带，工作点要牢固，焊条工具等牢固放好，防止掉下伤人，下边做好安全措施，专人监视，注意行人等安全工作，落雨时，不准露天或高空作业。 5、焊接密封容器时，要打开容器进行排气通风，人进入容器内工作，要加强通风设施，最少要2人一起工作，一人操作、一人监视保护。 6、电焊机的输入输出线头要接牢固，应有可靠的接地线，焊钳绝缘装置要齐全良好，电焊机工作温度不得超过60℃~70℃。 7、电焊工必须认真注意防火，焊条用剩部份不要乱扔，统一放置，下班前将焊机电源切断，焊把线绕好，个人所属工作面清理干净，露

软件安全风险评估

1概述 1.1安全评估目的随着信息化的发展，政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。对信息系统软件进行安全测评，综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果，对其软件系统安全要求符合性和安全保障能力作出综合评价，提出相关改进建议，并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。根据最新的统计结果，超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器，而发生在各种应用程序中-特别是关键的业务系统中。因此，有必要针对xxx系统应用软件进行安全风险评估，根据评估结果，预先采取防范措施，预防或缓解各种可能出现的信息数据安全风险。安全评估要求 XXXXXXXX 软件安全评估具体需求安全评估指导原则软件安全风险评估作为一项目标明确的项目，应分为以下五个阶段，每个阶段有不同的任务需要完成。 1、启动和范围确定：在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任，管理者检查必备的资源（包括人员、技术、基础设施和时间安排），确保软件安全性分析的开展； 2、策划：软件安全性分析管理者应制定安全性分析计划，该计划可作为所属软件过程或活动的计划的一部分。 3、执行和控制：管理者应监控由软件安全性分析计划规定的任务的执行。管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决（解决方案有可能导致计划变更）。 4、评审和评价：管理者应对安全性分析及其输出的软件产品进行评价，以便使软件安全性分析达到目标，完成计划。 5、结束：管理者应根据合同或任务书中的准则，确定各项软件安全性分析任务是否完成，并核查软件安全性分析中产生的产品和记录是否完整。安全评估主要任务根据安全评估指导原则，为尽量发现系统的安全漏洞，提高系统的安全标准，在具体的软件安全评估过程中，应该包含但不限于以下七项任务：软件需求安全性分析需要对分配给软件的系统级安全性需求进行分析，规定软件的安全性需求，保证规定必要的软件安全功能和软件安全完整性。

Web应用安全测试方案

1 Web 安全测试技术方案 1.1测试的目标更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围本期测试服务范围包含如下各个系统： Web 系统： 1.3测试的内容 1.3.1WEB 应用针对网站及WEB 系统的安全测试，我们将进行以下方面的测试： Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 RSS （跨站脚本） CRLF 注入目录遍历文件包含输入验证认证逻辑错误 GoogleHacAing 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP

方法（如：PUT、DELETE） 1.4测试的流程方案制定部分：获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。信息收集部分：这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具（AWVS 、burpsuite 、Nmap 等）进行收集。测试实施部分：在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web 应用），此阶段如果成功的话，可能获得普通权限。安全测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普

消防安全管理作业指导书正式版

Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.消防安全管理作业指导书正式版

消防安全管理作业指导书正式版下载提示：此管理制度资料适用于通过共同创造，促进集体发展的明文规则，建立共同的价值观、培养团队精神、加强个人学习方面的行为准则，实现对自我，对组织的价值贡献。文档可以直接使用，也可根据实际需要修订后使用。 1、目的为防止火灾事故的发生，尽量减少因火灾事故造成的环境影响和财产的损失，特制定本消防安全管理作业指导书。 2、适用范围本作业指导书适用于××分厂的消防安全管理工作。 3、职责 3.1、分厂厂长职责 3.1.1对分厂内的消防安全管理工作负全面领导责任，贯彻执行消防法规，保障本部门消防安全符合规定，掌握本部门的

消防安全情况。对火灾事故现场有指挥和调度权。 3.1.2贯彻落实消防工作的各项制度，督促落实防火安全教育及培训。 3.1.3为本部门的消防安全提供必要的经费和组织保障，监督实施消防设施的计划、购置、维修、使用。 3.2 、安环组职责 3.2.1拟定本部门消防工作计划，实施日常消防安全管理工作。 3.2.2负责防火安全教育，检查安全防火制度的落实。 3.2.3负责日常防火检查和火灾隐患整改工作，发现隐患及时报告，提出整改意见并督促落实，及时处理火灾事故。

软件安全性测试

二十一世纪，智能化的软件成为商业决策、推广等不可缺少的利器，很多软件涉及了客户商业上重要的信息资料，因此客户很关心软件的安全性。往往一个细小的安全漏洞，对客户产生的影响都是巨大的。所以我们需要尽可能的保证软件的安全性，确保软件在安全性方面能满足客户期望。一、那么什么是软件安全性测试? 安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患，并检查应用程序对非法侵入的防范能力，根据安全指标不同测试策略也不同。二、安全性测试又有哪些方法和手段呢？目前有许多种的测试手段可以进行安全性测试，安全测试方法分主要为三种： ①静态的代码安全测试：主要通过对源代码进行安全扫描，根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对，从中找出代码中潜在的安全漏洞。静态的源代码安全测试是非常有用的方法，它可以在编码阶段找出所有可能存在安全风险的代码，这样开发人员可以在早期解决潜在的安全问题。而正因为如此，静态代码测试比较适用于早期的代码开发阶段，而不是测试阶段。 ②动态的渗透测试：渗透测试也是常用的安全测试方法。是使用自动化工具或者人工的方法模拟黑客的输入，对应用系统进行攻击性测试，从中找出运行时刻所存在的安全漏洞。这种测试的特点就是真实有效，一般找出来的问题都是正确的，也是较为严重的。但渗透测试一个致命的缺点是模拟的测试数据只能到达有限的测试点，覆盖率很低。 ③程序数据扫描。一个有高安全性需求的软件，在运行过程中数据是不能遭到破坏的，否则就会导致缓冲区溢出类型的攻击。数据扫描的手段通常是进行内存测试，内存测试可以发现许多诸如缓冲区溢出之类的漏洞，而这类漏洞使用除此之外的测试手段都难以发现。例如，对软件运行时的内存信息进行扫描，看是否存在一些导致隐患的信息，当然这需要专门的工具来进行验证（比如：HP WebInspect、IBM Appscan 和Acunetix Web Vulnerability Scanner）。三、常见的软件安全性缺陷和漏洞有哪些？软件的安全包含很多方面的内容，主要的安全问题是由软件本身的漏洞造成的，下面我们说说几种常见的软件安全性缺陷和漏洞，大家在程序开发或是测试时不妨考虑或验证一下，我们所开发或是测试的程序，是否存在这些方面的安全隐患。（1）SQL注入所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL 命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。简单举个小例子，一个登录模块，让你输入用户名密码。我们一般都会老老实实的输入我们的用户名和密码。但如果我们刻意的去绕过登录认证呢？猜想下面这个sql语句，单说用户名，开发人员很可能会这样去数据库里对比： Select * from sys_user where username=‘XXX’ 当然可能更复杂，假如我们在输入框里输入下面一句特殊的字符会如何？’or‘1=1 这是段神奇的字符，因为这样这个sql就变成： Select * from sys_user where username=‘’or‘1=1’ 这样我们就跳过了用户名的验证，实现了入侵，是不是很简单，看到这里大家不妨动手尝试一下吧。（2）修改提交数据曾经某公司做过一个关于在线支付的商城，在安全性测试过程中，发现通过抓包抓到的提交价格（如使用火狐插件：live http headers），经过修改再发包可以通过。简单来说就是本来100块钱买的东西，抓包修改为1块就能成功购买。这就成为了一个巨大的隐患。（3）跨站脚本攻击 XSS是如何发生的呢？假如有下面一个textbox：

安全评价指导书

吉木萨尔县龙腾海加气站安全评价指导书编制部门：吉木萨尔县龙腾海加气站 2012年4月1日

一、评价组织由加气站站长负责对公司进行安全评价。主要评价人员由安全领导小组组成。评价组组长：张红健（站长）成员：王辉（副站长）张玉新（专职安全员）二、评价目的确保安全生产活动获得最佳秩序，保证安全管理及生产条件达到法律、行政法规、部门规章和标准等要求制定的规则。三、评价范围公司确立评价范围为：加气站内的各类设施、各种作业活动、设备丢弃、废弃、拆除与处置、气候、地震及其他自然灾害。包括地下储气井、干燥器、压缩机，供配电、仪表自动化等公用工程。四、评价方法公司采用了安全检查表（SCL）分析方法和工作危害（JHA）分析方法。根据风险评价的结果、自身经营情况、财务状况和可选技术等因素，确定优先顺序，制定措施消减风险，将风险控制在可以接受的程度，防止事故的发生。五、评价准则风险评价S、L值取值方法

1、评估危害及影响后果的严重性（S）等级分数人员伤亡程度财产损失停工时间法规及规章制度符合状况形象受损程度管理失控 5 死亡终身残废丧失劳动能力 ≥50万元生产装置停工 3天以上违法加气站影响加气站管理失控 4 部分丧失劳动能力职业病慢性病住院治疗 ≥10万元生产装置停工 1天以上潜在不符合法律法规加气站影响加气站管理失控 3 需要去医院治疗，但不需住院 ≥2万元生产装置停工 12小时以上不符合公司规章制度标准加气站影响加气站管理失控 2 皮外伤短时间身体不适＜2万元生产装置停工 12小时以下不符合公司规章制度加气站影响其他小范围的管理失控 1 没有受伤无没有停工完全符合无影响没有失控 2、危害发生的可能性及频率(L) 等级分数偏差发生频率安全检查操作规程员工胜任程度（意识、技能、经验）防范、控制措施 5 每天发生、经常发生从来没有检查没有操作规程不胜任（无任何培训、意训不够、缺乏经验）无任何防范或控制措施 4 每月发生偶尔按标准检查有，但只是偶尔执行或操作规程规定不具体不够胜任防范、控制措施不完善 3 每季度发生部分时间按标准检查有操作规程，只是部分执行一般胜任有，但没有完全使用如个人防护用品 2 每年发生偶乐不按标准检查有、但偶尔不执行胜任，但偶然出差错有，偶尔失去作用或出差错 1 以往未发生、偶尔或一年以上发生按标准检查有操作规程，而且严格执行高度胜任（培训充分，经验丰富，意识强）有效防范控制措施。注：偏差发生的频率是指危害、超过标准、偏差原因、失效模式发生的频率。风险控制措施及实施期限风险度等级应采取的行动/控制措施实施期限 20－25不可容忍在采取措施降低危害前,不能继续作业, 对改进措施进行评估立刻 15－16巨大风险采取紧急措施降低风险，建立运行控制程序，定期检查、测量及评估。立即或近期整改 9－12中等可考虑建立目标、建立操作规程，加强培训及沟通 1年内治理 4－8可容忍可考虑建立操作规程、作业指导书但需定期检查有条件、有经费时治理 <4轻微或可忽略的风险无需采用控制措施，一般不用考虑