中国移动安全基线

Oracle数据库系统平安配置基线中国移动通信管理信息系统部2021年 4月备注：1.假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。

目录第1章概述 (4)目的 (4)适用范围 (4)适用版本 (4)实施 (4)例外条款 (4)第2章帐号 (5)帐号平安 (5)删除不必要帐号* (5)限制超级管理员远程登录* (5)用户属性控制 (6)数据字典访问权限 (6)TNS登录IP限制* (7)第3章口令 (8)口令平安 (8)帐号口令的生存期 (8)重复口令使用 (8)认证控制* (9)更改默认帐号密码 (9)密码更改策略 (10)密码复杂度策略 (10)第4章日志 (12)日志审计 (12)数据库审计谋略* (12)第5章其他 (13)其他配置 (13)设置监听器密码 (13)加密数据* (13)第6章评审与修订 (14)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库平安性设置标准，本文档旨在指导数据库管理人员进展ORACLE数据库系统的平安配置。

1.2 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络平安管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。

1.3 适用版本ORACLE数据库系统。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应及时反应。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信管理信息系统部进展审批备案。

第2章帐号2.1 帐号平安2.1.1删除不必要帐号*2.1.2限制超级管理员远程登录*2.1.3用户属性控制2.1.4数据字典访问权限2.1.5TNS登录IP限制*第3章口令3.1 口令平安3.1.1帐号口令的生存期3.1.2重复口令使用3.1.3认证控制*3.1.4更改默认帐号密码3.1.5密码更改策略3.1.6密码复杂度策略第4章日志4.1 日志审计4.1.1数据库审计谋略*第5章其他5.1 其他配置5.1.1设置监听器密码5.1.2加密数据*第6章评审与修订本标准由中国移动通信管理信息系统部定期进展审查，根据审视结果修订标准，并颁发执行。

安全安全基础通用L1２015年4月30日9点0分试题数:120,重复命题数：31,重复命题率:25.83%1. 重大故障处理完毕后，中国移动各省级公司网络维护部门应在（）日内通过工单以附件形式向集团公司网络部提交专题书面报告。

A.1B.2ﻫC.3D.４答案：B重复命题2次20１5年１０月12日9点30分安全安全基础通用Ｌ12014年1０月2１日9点２5分安全安全基础通用L12. 制定企业安全补丁加载方案的决策者是?A．网络工程师B.公司最高层Ｃ.项目审计人员ﻫD.项目负责人答案:D3. 在Linux系统下,查看网卡信息的命令是（)。

A.ｉpｃonfigﻫB.ifcｏnfｉｇC.shｏwipconfD.intｄcoｎf答案:B4．防火墙策略配置的原则包括A.利用内置的对动态端口的支持选项B.以上全部都是ﻫC.策略应双向配置D.将涉及常用的服务的策略配置在所有策略的顶端答案：B重复命题1次２01４年１0月２１日9点25分安全安全基础通用L１5.两台主机之间建立一次正常的TＣP连接，一共需要相互传递几次信息？A．3ﻫＢ.4Ｃ.1ﻫD．２答案:A６. 审核责任人应按照《中国移动内控手册》等相关规定,对相关系统用户帐户口令至少()年进行一次定期审核,对不符合要求的及时进行整改。

Ａ.2年ﻫＢ.1年Ｃ．３年Ｄ．半年答案：D7．针对施工管理,以正式的施工委托函为局楼出入依据，工期超过一个月的施工人员需办理临时出入证,临时出入证最长有效期为( )A.２年B.3个月C.1年ﻫD.半年答案:B重复命题1次2０１4年10月２1日9点25分安全安全基础通用L18.以下不属于存储和处理客户信息的通信系统的有(）A.数据业务监测系统ﻫB.ＭSＣ/VＬR/MGＷ/SeｒverC.HＬRD.ＧPRS答案:Ａ９. 系统管理员组织人员对计划入网的设备在独立的测试测试环境中进行测试,测试通过后发起“入网申请”，填写在《( )》的“入网申请”部分，提交技术部经理审批。

网络安全管理员-中级工考试题含答案一、单选题（共49题，每题1分，共49分）1.针对信息安全风险的全程管理和信息安全管理持续改进，南方电网公司信息安全风险管理流程将覆盖（）四个环节，完善信息安全风险管理核心流程，并进行流程设计和实施。

A、可行性分析.控制实施.运行监控和响应恢复B、可行性分析.需求分析.控制实施和运行监控C、可行性分析.需求分析.运行监控和响应恢复D、需求分析.控制实施.运行监控和响应恢复正确答案：D2.“公开密钥密码体制”的含义是（）A、将所有密钥公开B、将私有密钥公开，公开密钥保密C、将公开密钥公开，私有密钥保密D、两个密钥相同正确答案：C3.1X是基于（）的一项安全技术A、物理地址B、物理端口C、应用类型D、IP地址正确答案：B4.刀片服务器不适合的工作环境（）。

A、计算密集型B、分布式应用C、处理密集型D、i/O密集型正确答案：B5.ARP欺骗可以对局域网用户产生（）威胁。

A、挂马B、局域网网络中断C、中间人攻击D、以上均是正确答案：D6.在信息系统的运行过程中，当系统所处理的信息和业务状态的变化可能影响到系统的安全保护等级时，系统运营、使用部门/单位应（）。

A、继续按原来的系统等级进行保护B、重新确定信息系统安全保护等C、评估系统等级若低于现在的等级，则继续按原来的系统等级进行保护D、以上都不对正确答案：B7.系统在返回给用户的错误报告中能包含的信息有（）。

A、主机信息B、软件版本信息C、网络DNS信息D、自定义的错误代码正确答案：D8.关于IDS和IPS，说法正确的是（）A、IDS部署在网络边界，IPS部署在网络内部B、IDS适用于加密和交换环境，IPS不适用C、用户需要对IDS日志定期查看，IPS不需要D、IDS部署在网络内部，IPS部署在网络边界正确答案：D9.AD域组策略下达最大单位是（）。

A、OUB、DomainC、SiteD、User正确答案：B10.以下工作于OSI 参考模型数据链路层的设备是（）。

中国移动业务安全通用评估规范2012年3月目录第1章概述 (3)第2章评估依据 (3)第3章框架及模型 (3)3.1 概述 (3)3.2 安全评估模型 (4)3.3 模型简介 (5)3.3.1 网络结构安全 (5)3.3.2 设备安全 (5)3.3.3 平台及软件安全 (5)3.3.4 业务流程安全 (5)3.3.5 终端安全 (7)3.3.6 安全管控 (7)3.3.7 应用指导原则 (8)第4章实施方案 (8)4.1 网络结构安全 (8)4.2 设备安全 (10)4.3 平台及软件安全 (21)4.4 业务流程安全 (25)4.4.1 内容安全 (25)4.4.2 计费安全 (27)4.4.3 能力开放接口安全 (28)4.4.4 客户信息安全 (29)4.4.5 业务逻辑安全 (31)4.4.6 传播安全 (34)4.4.7 营销安全 (34)4.5 终端安全 (36)4.6 安全管控 (38)4.6.1 系统安全 (38)4.6.2 人员安全 (40)4.6.3 第三方安全管理 (40)第1章概述为了加强中国移动业务安全管理，保证业务发展与信息安全措施同步规划、同步建设、同步运行，提升业务安全整体水平，降低业务安全风险，特制定本安全评估规范。

本评估规范针对各业务类型的信息安全水平进行客观、综合评价，促进业务安全管理工作的开展，为业务发展提供良好支撑。

本规范解释权归总部信息安全管理与运行中心。

第2章评估依据1.《中国移动业务安全评估标准》2.《中国移动账号口令管理办法》3.《中国移动设备通用安全功能和配置规范》4.《中国移动第三方管理办法》5.《中国移动帐号口令集中管理系统功能及技术规范》6.《中国移动业务支撑网4A安全技术规范》7.《中国移动客户信息安全保护管理规定》8.《中国移动安全域管理办法》第3章框架及模型3.1概述中国移动业务安全评估依据科学的安全风险评估方法，从业务所涉及的各类软硬件资产（网络、设备、通用平台及软件、业务实现程序、终端）出发，依据不同类型资产耦合度，划分为五个层次。

第24卷第1期2024年1月交　通　工　程Vol.24No.1Jan.2024DOI:10.13986/ki.jote.2024.01.012基于调度大厅应用场景的国产化云桌面系统研究高　洋,王彩虹,耿鸿雁(中铁信弘远(北京)软件科技有限责任公司,北京　100844)摘　要:基于国产技术的铁路云桌面系统改造办公桌面系统,将用户桌面数据集中在数据中心,通过虚拟化技术组建资源池,提供业务用户使用瘦终端接入,办公数据由终端从办公云上调取,每位用户拥有独立的虚拟桌面,精确资源分配,有效实现对用户桌面的集中管理,根据应用场景差异化需求,按需配置㊁发放㊁回收删除桌面,支持用户个性化设置,同时实现集中存储,集中运算,确保数据安全.有效解决传统PC 分布广,维护工作量大的弊端.关键词:国产云桌面;虚拟化;调度大厅中图分类号:U 491文献标志码:A文章编号:2096⁃3432(2024)01⁃067⁃08收稿日期:2023⁃11⁃20.基金项目:中国铁路信息科技集团有限公司科技研究开发计划重大课题(WJZG⁃CKY⁃2022009(2022A08)).作者简介:高洋(1982 ),女,硕士,研究方向为国产化云桌面系统.E⁃mail:gaoyangbj@.Research on Localized Cloud Desktop System Based on Dispatching Hall Application ScenariosGAO Yang,WANG Caihong,GENG Hongyan(SinoRail Hongyuan (Beijing)Software Technology Co.,Ltd.,Beijing 100844,China)Abstract :Based on domestic technology,the railway cloud desktop system is transformed into an officedesktop system.The user desktop data is centralized in the data center,and a resource pool is formed through virtualization technology to provide business users with thin terminal access.Office data isretrieved from the office cloud by the terminal,and each user has an independent virtual desktop with precise resource allocation,effectively achieving centralized management of user desktops.According to the differentiated needs of application scenarios,it is configured,distributed,and recycle and delete desktops,support user personalized settings,and achieve centralized storage and calculation to ensure data security.Effectively solving the drawbacks of widespread distribution and heavy maintenance workload of traditional PCs.Key words :domestic cloud desktop;virtualization;dispatching hall0　引言国产云桌面系统以虚拟化技术为主要基础,计算虚拟化㊁存储虚拟化和网络虚拟化等关键技术,形成1个统一的资源池,减少基础硬件设施的投入;采用自研的云桌面传输协议,国产服务器通过该传输协议和铁路行业信创终端设备通讯,不同应用场景按需配置发放不同桌面,给铁路行业提供高安全㊁高性能㊁高可靠的云桌面环境.提供图形化界面和自助运维能力,降低运维复杂度,以及通过铁路专用应用管理商店及安全防护管理系统实现铁路信创终端统一运维管理㊁统一安全防护.1　现状分析近年来,面对严峻的国际形势,为维护国家安全,需要加速科技自主可控的发展,特别是在网络安交　通　工　程2024年全㊁数据安全和信息系统防护领域.国家已颁布并实施了一系列法律法规和政策文件,包括‘网络安全法“‘GJ信息基础设施安全保护条例“‘中华人民共和国数据安全法“等.与此同时,云桌面技术在政府㊁企业㊁金融㊁教育和医疗等多个领域已得到广泛应用.然而,在云桌面的使用过程中,仍然存在一系列挑战,如庞大的硬件设备库存㊁终端用户多㊁复杂的运维要求以及多样的外设类型,这些问题使得精确管控变得复杂.并且之前很多政府企业在办公领域大多采用国外的云桌面软件,自主可控性差,用户数据安全无法保证.铁路行业是我国经济命脉型行业,其行业内的办公㊁生产中使用超过70万台PC终端,但是很多业务场景下都采用国外的桌面云技术,例如调度大厅使用的是VMware桌面云软件,以及大多数铁路终端设备都采用国外的软件,自主可控能力差,不能兼容国产操作系统及插件,安全存在风险.如果未进行统一管控,那么任何1个点都可能存在数据丢失:1)数据传输中容易被非法截获PC需要经常与外部进行数据交互,铁路调度大厅汇集了列车行车线路㊁行车计划㊁防灾预警等各类运输信息,这些数据可能会被缓存在本地或者在传输中被截获.2)办公和上网桌面安全有隐患调度大厅的办公桌面和上网桌面没有隔离,在办公桌面环境上网,很容易出现未知病毒感染㊁信息被恶意盗取等安全事件,容易对调度系统产生影响,影响范围极广.如果断开互联网,又会降低员工工作效率.3)运维管理安全调度台使用的各业务系统及终端是由各业务部门建设的,为了确保PC终端的安全性,通常需要在计算机上安装各种安全软件,使电脑负担过重,增加维护成本,员工使用也不便捷,影响办公效率.国产云桌面系统成功地应对了上述难题,它能将用户的物理设备㊁操作系统㊁应用程序和数据逻辑上分离,而对终端用户而言,这一切都是完全透明的.2　国产云桌面系统架构国产云桌面系统整体架构分为资源层㊁服务层㊁协议层㊁国产终端设备和应用场景.如图1所示.图1　国产云桌面系统架构2.1　资源层国产云桌面平台的硬件基础设施包括国产服务器㊁存储设备㊁网络设备以及显卡等硬件,为该平台提供计算㊁存储㊁网络和显卡资源支持.一是实现对硬件资源的虚拟化,形成逻辑资源池㊁多副本存储㊁调度策略㊁负载均衡等底层逻辑功能;二是对虚拟资源㊁桌面㊁应用㊁安全㊁资源监控㊁高可用㊁用户和权限等集中管理,包含多个功能模块,通过策略选择分配给不同的用户使用,满足不同用户的管理需求.2.2　管理平台层管理平台层提供虚拟机管理㊁资源管理㊁终端管理㊁用户管理㊁认证管理㊁策略管控㊁账号控制等功能.虚拟机管理模块包括虚拟桌面Agent管理㊁虚拟机设置㊁虚拟机运维操作等功能;资源管理模块支持资源分组管理㊁远程资源管理等功能;终端管理模块包括终端配置㊁实现合法性认证对终端进行支持, 86　第1期高　洋,等:基于调度大厅应用场景的国产化云桌面系统研究例如终端与用户或用户组的关联㊁802.1X认证(密码或证书方式)以及CA认证等方式,以确保终端安全,避免非法终端的接入[4];用户管理支持创建㊁删除㊁编辑㊁分类等用户的全生命周期管理;认证管理支持密码认证设置㊁防暴力破解等;策略管理支持对策略组的全生命周期管理㊁等功能.2.3　协议层通过自研的国产云桌面传输协议实现桌面云平台与国产终端设备的通讯,传输虚拟桌面图像数据㊁流数据㊁文件数据和管理数据等.2.4　国产终端设备层通常是通过不同类型的客户端访问桌面云,这些客户端包括桌面云专用的国产瘦客户端㊁个人电脑㊁笔记本电脑以及各种智能设备,也可是非国产终端产品,兼容各类国产芯片计算机㊁笔记本和利旧PC[5].3　国产云桌面系统关键技术3.1　国产云桌面传输协议技术3.1.1　2D图形显示技术X窗口系统是一种以位图方式显示的软件窗口系统.如图2所示,鼠标和键盘信息通过Linux内核中的鼠标和键盘驱动,将鼠标和键盘事件发送给X 服务(),X服务通过X协议将鼠标和键盘事件转发给对应的X客户端(各应用程序,如GNOME/KDE等),X客户端负责事件处理,并将处理结果传达给X服务,X服务调用显示驱动进行结果显示处理,将最终结果通过显示驱动,展现给用户.图2　国产桌面2D图形显示技术3.1.2　3D图形显示显示技术1)GPU直通国产服务器的GPU以直通方式分配给虚拟机,并通过远程协议,用户可远程访问.单个GPU物理核只能给单个虚拟机使用,单GPU卡并发数比较低,成本较高.2)vGPU采用虚拟化技术,将物理显卡的显存分配给多个虚拟机,这些虚拟机安装了NVIDIA显卡驱动,共享物理显卡的计算资源.但是,只有国产X86芯片+NVIDIA显卡的模式可实现vGPU.3.1.3　语音技术如图3所示,在资源虚拟化层模拟1个音频设备给虚拟机,虚拟机直接使用标准的音频驱动,音频APP调用系统音频处理接口(录音㊁放音API),虚拟声卡设备进行交互.图3　语音技术实现原理96交　通　工　程2024年3.1.4　视频技术目前在国产云桌面系统中,由于视频帧率高㊁变化区域较大,消耗带宽也较大,普通图形处理流程无法满足视频场景,主要的视频优化方案有3种:1)视频非重定向方案如图4所示,虚拟机内部播放视频时直接解码并显示视频画面,云桌面服务端识别视频区域,随后,对视频区域的图像进行重新编码处理,然后将重新编码后的视频数据传输至客户端,以便进行解码㊁播放和显示.图4　视频非重定向流程图 2)视频重定向方案如图5所示,虚拟机内部播放视频时,云桌面插件把播放器解析后的音㊁视频编码流拦截下来,音频和视频编码流可直接发送至桌面客户端以进行解码㊁播放和显示.图5　视频重定向流程图 3)网页重定向方案虚拟机内部播放视频时,云桌面插件把播放器播放视频文件(或视频网页)的URL 路径发送给桌面云客户端,客户端拉起同样的播放器或者定制的播放器来访问该URL.图6　网页重定向流程图7　第1期高　洋,等:基于调度大厅应用场景的国产化云桌面系统研究3.1.5　外设重定向技术外设重定向技术指的是在国产云桌面环境中,将终端侧的国产外设设备通过云桌面协议映射到远程桌面,并实现远程桌面对这些外设设备的使用.根据外设技术实现的原理,可分为2种类型: 1)端口重定向:是指在远程桌面操作系统中,针对端口底层协议进行重定向;如图7所示的USB 端口重定向.2)设备重定向:是指在远程桌面的操作系统中,针对设备应用协议进行重定向;如图8所示的摄像头设备重定向.图7　USB端口重定向图8　摄像头设备重定向3.1.6　小结国产云桌面传输协议中,国产桌面采用 来创建操作系统所用的图形用户界面;后端采用国产X86芯片的服务器,配置NVIDIA显卡,通过vGPU虚拟化的方式共享物理显卡,实现铁路实际业务中的3D应用;在不同应用场景下采用不同的方案满足视频场景,分别为非重定向场景㊁视频重定向场景和网页重定向场景;外设重定向技术中,大多数外设采用端口重定向和设备重定向两种方法. 3.2　终端管控关键技术3.2.1　终端发现国产云桌面平台管理员通过定义网络IP段分组,周期性地使用多种协议和机制来发现特定网络分组中的终端,并统计这些网络中的终端数量和类型.3.2.2　终端安全防护1)安全威胁管理:国产云桌面系统用系统防护㊁入侵防护㊁IP黑白名单㊁主机防火墙和微隔离㊁文件保护与病毒防护等多种方式全面保护国产终端安全.2)威胁检测:在威胁攻击发生前,国产云桌面系统通过基线核查㊁系统加固㊁漏洞加固㊁网络控制㊁预防攻击与文件保护等方式进行威胁预测,提前防御可能出现的威胁.3)系统安全管理:在威胁攻击前,国产云桌面系统提前对国产终端安全进行加固,通过国产终端安全基线核查机制为国产终端建立其特有的安全基线;对国产终端进行漏洞检测,根据危害等级展示漏洞情况,如有漏洞将下发补丁修复指令,实现系统加固.3.2.3　终端运维管理1)补丁管理:国产云桌面系统主动检测国产终端计算机的操作系统类型,随后自动下载所需的补丁㊁进行自动安装,并提供相关提示.2)软件管理:国产云桌面系统中软件管理模块提供一站式下载及安装软件功能.3)移动存储管理:针对国产终端接入的移动存储设备,系统提供拦截㊁认证㊁授权和审计功能,以确保只有经过认证的移动存储设备可被授权访问,防止非法设备接入和未经授权的数据外泄.4)违规外联管理:迅速检测和管理网络中的非法外联活动,对涉及发送外联行为的设备进行控制和警示.5)网络行为监控:包括网络访问控制㊁网络流量控制㊁僵尸网络检测等.17交　通　工　程2024年3.3　应用虚拟化由于UOS 和麒麟操作系统的推广和Windows7停服,目前还存在很多Windows 端的应用没有国产操作系统客户端的应用可替代,比如IE㊁Chrome 等,在国产化操作系统上使用这些应用,不能看到Windows 系统,于是衍生出操作系统上的远程应用的需求,后端使用Windows7或Windows10的操作系统承载应用,将应用发布给国产化终端接入使用.如图9所示,Windows 服务器端向系统注册窗口事件钩子,在回调接口中将窗口相关的信息通过主通道传递给客户端.图9　应用虚拟化实现方式国产客户端原理:1)显示原理:在建立连接过程中,先将客户端窗口隐藏,在打开应用的过程中,会接收到Windows 端发送过来窗口位置信息,对整个桌面进行裁减,将对应窗口的位置保留显示,其他位置裁减掉(其他位置是透明且能鼠标穿透),这样就只显示了打开的应用,多窗口的情况类似.2)跟踪服务端窗口:客户端本地会创建1个透明属性的窗口,这个窗口的属性跟服务端对应的应用窗口属性完全保持一致.3.4　安全防护关键技术根据国产云桌面系统面临的安全威胁和挑战,国产云桌面系统各部分安全功能如下:3.4.1　终端安全包括终端自身安全㊁接入认证安全以及相关安全策略配置,保障接入的终端一定是合法授权过的.3.4.2　网络安全主要围绕网络隔离与管控来构建整个云桌面的网络安全体系,包括分布式防火墙㊁安全域划分及VPN 隧道技术等方面.3.4.3　虚拟化安全包含计算㊁存储㊁网络虚拟化安全㊁资源隔离以及虚拟机内部安全等.3.4.4　数据安全通过剪切板审计㊁水印㊁磁盘数据加密等措施,保障用户数据免受侵害.3.4.5　运维管理安全通过桌面统一管理㊁远程协助运维㊁用户自助备份还原㊁用户自助申请开户㊁日志管理㊁管理员分级分权等功能来保证系统的安全.4　应用场景分析为促进铁路行业终端向自主可控方向迁移,国产云桌面在铁路行业中适用于以下场景:生产运营㊁综合办公㊁研发运维场景.4.1　综合办公场景综合办公场景中,传统的个人计算机数据安全性差㊁灵活性[1].国产云桌面系统建立了统一的云桌面管理平台[2],对国产终端㊁原有PC㊁桌面和铁路应用进行统一管理与维护,减轻运维压力;同时,后端国产服务器部署在数据中心,数据集中上云管理,解决数据容易丢失和数据泄密的安全难题[3];利用应用虚拟化的方式,实现已改造应用和未改造完成的应用 同时运行”,保障铁路行业业务正常运行.4.2　生产运营场景生产运营场景中,国产终端主要访问的应用系统包括客运㊁货运㊁工电㊁机辆等生产业务涉及的规划设计㊁运行流转㊁监控分析等应用系统.终端在使用办公类终端常用的办公软件㊁通讯软件㊁辅助软件和信息安全软件的基础上,还会使用业务专用软件,例如CTC㊁STP 等列车运行㊁通信系统生产专用软件㊁动环监测专用软件.此类场景特点是终端承担关键业务,稳定性要求极高,终端故障会影响工作.国产云桌面可通过镜像编辑和静默更新再不影响正常工作的同时对终端桌面进行部署更新,简化运维难度,依托故障回退等措施快速处理终端故障,保障业务连续.4.3　研发运维场景研发运维场景要访问的应用系统包括各类综合信息系统㊁业务应用系统㊁安全管理系统㊁监控分析27　第1期高　洋,等:基于调度大厅应用场景的国产化云桌面系统研究系统和仿真培训系统.在使用办公类终端常用软件的基础上,技术类终端还会使用secureCRT 远程登录软件,AutoCAD㊁3ds㊁MAX 等设计软件以及Visual studio㊁Pycharm 等编程开发软件.此类场景对国产终端性能和数据安全有很高的要求,通过国产云桌面平台资源弹性分配功能满足不同岗位桌面算力的差异化需求,提高资源的利用率;对资源文档集中云端存储,根据权限进行精细化管控,有效保障信息的安全性.5　典型应用场景:调度大厅终端国产改造5.1　背景介绍调度指挥中心设备主要分为调度指挥中心大屏与调度台设备,在国产化改造的大背景下,业务要求实现国产改造的目标,同时保证业务稳定运行.调度台使用的各业务系统及终端由各业务部门建设,缺乏统一规划㊁设计和部署,不利于后期维护管理[6],并且调度台已出现工作站数量不足㊁服务器性能不足㊁存储空间不足等现象.例如,因性能㊁空间不足造成虚拟桌面非正常退出后,无法正常登录系统等现象出现多次,影响了调度值班人员工作.同时,调度大厅业务系统非常重要,软件开发㊁改造㊁升级㊁部署和更新工作需要简单化,目前系统的运维工作占据了IT 人员的大量精力和时间.调度大厅业务系统非常重要,短期内全部系统改造难度巨大,同时存在兼容性问题,越来越多的研发人员专注于信息化架构,包括存储分离㊁桌面分离以及应用分离[7].5.2　国产云桌面系统在调度大厅场景下的应用为了完成国产化改造,国产云桌面系统采用X86架构芯片的国产服务器㊁国产终端及相关设备,通过国产云桌面软件,为终端用户提供Windows 或linux 云桌面,满足调度业务应用使用需求.后端采用X86国产服务器部署云桌面系统,分为2个集群,1个集群作为云桌面资源集群(每台国产服务器配置支持GPU 虚拟化的显卡,采用NVIDIA GPU 虚拟化技术为每个用户提供相应的GPU 资源)[8],1个集群作为云桌面和虚拟化管理集群;在调度大厅配置瘦客户端,供调度人员使用.(另外后端配备多余的X86国产服务器,提供虚拟化应用服务.)存储方面,计算资源和分布式存储资源分离方式进行部署,由于国产化服务器性能略低,采用多台分布式存储服务器分离部署模式,避免计算节点资源和存储资源进行性能争抢.将已经完成的国产化改造的业务运行在国产桌面,未完成改造的业务系统在Windows 系统上运行,通过国产终端接入办公,实现无缝切换.当调度大厅的业务系统全部改造完成后,回收Windows 桌面,将国产桌面统一分布给用户使用.图10　调度大厅国产云桌面解决方案6　结束语作为铁路日常运输组织的核心指挥中心,调度大厅在确保铁路运输的安全和高效运行方面扮演着至关重要的角色.本文基于国产云桌面系统,研究了国产云桌面系统的关键技术,分析了国产云桌面系统在铁路行业里的实际应用场景,并针对调度大厅国产化改造提出了完整的国产终端解决方案,包括服务器软硬件部署㊁网络架构㊁后台管理等.帮助改善调度大厅工作人员的工作环境,增强运输数据的安全性以及系统运行可靠性,提高调度大厅信息化基础设施运维管理水平,为铁路信息化不断完善创新夯实基础.37交　通　工　程2024年参考文献:[1]李楠.桌面云在企业智慧办公中的应用研究[J].网络安全技术与应用,2021(12):108⁃109.[2]段然,周来新.智慧云桌面系统的设计与实现[J].数字通信世界,2021(4):94⁃101.[3]戴媛媛,刘树峰.桌面云在企业智慧办公中的应用研究[J].现代工业经济和信息化,2021,11(2):130⁃132.[4]高伟.桌面云技术在企业办公生产中的应用[J].电子技术与软件工程,2021(1):182⁃183.[5]刘龙庚,李安伦,庄金鑫.新型桌面云应用发展研究[J].信息技术与标准化,2022(Z1):31⁃34,49.[6]柯文,李攀科.铁路调度大厅桌面虚拟化方案的研究与设计[J].长江信息通信,2022,35(12):90⁃93.[7]程燕,贾宁,李巧意.陕西省地震局应急指挥大厅桌面虚拟化设计与研究[J].长江信息通信,2021,34(1):131⁃134.[8]韩栋梁,贺霄琛,李少飞.基于VGPU 的桌面虚拟化在三维设计中的应用[J].电子工业专用设备,2021,50(1):52⁃56.(上接第60页)参考文献:[1]GUO D,DENG X H,SONG S Y,et al.Study on TrafficFlow Characteristics of Multi⁃lane Freeway Tunnel [J ].IOP Conference Series:Earth and Environmental Science,2021,787(1):012036(5pp).[2]胡江碧,马文倩.基于驾驶视认需求的隧道入口段光环境研究[J].上海交通大学学报,2015,49(4):464⁃469.[3]白翰.高速公路隧道出入口车辆安全运行顺适过渡理论相关基础研究[D].西安:长安大学,2015.[4]WANG W,WU Z.Car⁃following Model ConsideringMultiple Distances and Numerical Simulation of Mixed Traffic Flow [J ].IOP Conference Series:Earth and Environmental Science,2018,189(6).[5]ZENG Y Z,RAN B,ZHANG Ni,et bined Effectsof Drivers'Disturbance Risk Preference Heterogeneity andthe Nearest Following Vehicle Headway on Traffic FlowInstability:Analytical studies[J].Physical A:Statistical Mechanics and its Applications,2020,545.[6]曲昭伟,潘昭天,陈永恒,等.基于最优速度模型的改进安全距离跟驰模型[J].吉林大学学报(工学版),2019,49(4):1092⁃1099.[7]邓红星,胡翼,王猛.考虑前车加速度信息的改进IDM模型研究[J].重庆理工大学学报(自然科学),2022,36(5):226⁃232.[8]梅家林,杜志刚,王首硕.不同时段高速公路特长隧道入口视觉特性研究[J].武汉理工大学学报(交通科学与工程版),2022,46(1):50⁃59.[9]梅家林,杜志刚,郑号染,等.不同时段特长隧道入口区域视觉负荷研究[J].中国安全科学学报,2021,31(6):176⁃181.[10]肖志军,栾利强.基于照度的高速公路隧道入口安全评价研究[J].交通科技,2015(6):72⁃74.[11]方松,马健霄.城市隧道长度对驾驶人视觉特性影响分析[J].交通信息与安全,2020,38(6):24⁃30.[12]高峰,张龙潇,刘汉银,等.毗邻隧道连接段进口处视觉变化及合理照度研究[J].公路工程,2021,46(3):112⁃117.[13]杜志刚,黄发明,严新平,等.基于瞳孔面积变动的公路隧道明暗适应时间[J].公路交通科技,2013,30(5):98⁃102.[14]TREIBER M,HENNECKE A,HELBING D.CongestedTraffic States in Empirical Observations and Microscopic Simulations[J].Physical Review E,2000,62:1805⁃1824.[15]KESTING A,TREIBER M,HELBING D.EnhancedIntelligent Driver Model to Access the Impact of DrivingStrategies on TrafficCapacity [J ].PhilosophicalTransactions of the Royal Society A:Mathematical,Physical and Engineering Sciences,2010,368(1928):4585⁃4605.[16]王华,何晓宇,徐静,等.融合交通心理学的车辆群组运动仿真研究综述[J].郑州大学学报(工学版),2020,41(1):83⁃90.[17]W.T.Bommel.Road lighting:fundamentals,technologyand application [M].Netherlands:Springer,2015.47。

Sybase数据库安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0 创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.2口令 (5)2.2.1修改sa默认密码 (5)2.2.2修改dba默认密码 (5)2.2.3修改mon_user默认密码 (6)2.2.4修改jagadmin默认密码 (6)2.2.5修改entldbdbo默认密码 (7)2.2.6修改PIAdmin默认密码 (7)2.2.7修改PortalAdmin默认密码 (8)2.2.8修改pkiuser默认密码 (8)2.2.9修改pso默认密码 (9)2.2.10密码复杂度 (10)2.2.11最大错误登录次数* (10)第3章其他安全要求 (12)3.1其他安全配置 (12)3.1.1补丁版本* (12)3.1.2系统通用配置* (12)第4章评审与修订 (15)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Sybase数据库的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。

1.3 适用版本Sybase数据库。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

信息安全管理员-中级工模拟题及参考答案一、单选题（共43题，每题1分，共43分）1.应根据国家相关管理部门对计算机安全事件等级划分方法，根据安全事件在本系统产生的影响，将本系统计算机安全事件进行（）。

A、事件划分B、危险度划分C、级别划分D、等级划分正确答案：D2.以下哪种不是并发结构（）。

A、多线程B、分布式计算C、消息传递D、以上都不是正确答案：C3.下列属于C类计算机机房安全要求范围之内的是（）。

A、火灾报警及消防设施B、电磁波的防护C、防鼠害D、防雷击正确答案：A4.（）服务器一般都支持SMTP和POP3协议，分别用来进行电子邮件的发送和接收。

A、FTPB、GopherC、E-mailD、Telnet正确答案：C5."点击“开始”菜单，在运行栏中输入"（）"然后回车，可以打开组策略。

"A、gpedit.mscB、regeditC、taskmgrD、services.msc正确答案：A6.数据资源管理平台与主数据消费业务系统之间，通过信息集成平台进行的主数据同步交互过程是（）。

A、准实时服务B、网省同步服务C、变更广播服务D、批量处理服务正确答案：C7.下面不属于虚拟化平台的是（）。

A、VmwareB、Hyper-vC、CitrixD、DOS正确答案：D8.下列设备中既属于输入设备又属于输出设备的是（）。

A、硬盘B、显示器C、打印机D、键盘正确答案：A9.云大物移智中的移是指（）。

A、中国移动B、移动互联C、中国电信D、中国联通正确答案：B10.下面哪种方法不能够更新针对计算机的组策略设定（）。

A、后台更新B、gpupdateC、重启机器D、当前用户重新登陆正确答案：D11.插入内存条时，需要（）。

A、用大力按压B、两边均匀用力C、先一边用力D、用螺丝固定正确答案：B12.A.B类计算机机房的空调设备应尽量采用（）。

A、风冷式空调B、立式的C、分体的D、规定中没有要求正确答案：A13.下面不属于本地用户组密码安全策略的内容是（）。