第一篇：I6信息化系統安全模塊操作流程及要求

I6信息化系統安全模塊操作流程及要求

一、數據錄入操作流程：

1、登錄系統——左側導航面板——單擊企業功能——單擊安全管理，進入如下界面：

2、項目部需要錄入內容主要為：安全知識庫、制度落實、管理活動、及上報材料中生產安全匯報記錄。錄入內容、格式與目前使用各項記錄基本相同。下面以“領導下井帶班記錄”、以張莊錄入人員為例說 明錄入過程：

（1）雙擊“領導下井帶班記錄”，選擇“信息歸屬組織樹”如下圖：

（2）選擇“信息歸屬組織樹”后，出現錄入人所在項目，選中，并選擇“新增”，如下圖：

（3）出現“領導下井帶班記錄”錄入界面：

（4）請把記錄中每項內容均按實際情況錄入，之后單擊保存右上角“”，錄入完畢。

3、其余每項內容錄入方法相同。

二、數據錄入要求

（一）安全知識庫：

措施中錄入“技術交底卡”，與實際技術交底安全交底相一致。

（二）制度落實：

1、措施傳達貫徹記錄：項目安全措施傳達貫徹記錄，按每項措施 分別錄入。

2、制度的學習：錄入集團、處及其他安全管理文件、制度的學習貫徹記錄，每學習、貫徹一次，錄入一次。

3、安全獎勵記錄：錄入項目日常安全管理的獎勵記錄。

4、安全罰款記錄：錄入項目日常安全管理的罰款記錄。

（三）、管理活動：

1、安全檢查：

（1）每日安全檢查：錄入跟班安檢員檢查記錄，每天錄入。（2）旬檢：錄入項目旬檢記錄，由項目經理組織全面的安全檢查，每月三次，每旬錄入一次。整改反饋表在附件中上傳掃描件。（3）領帶帶班下井記錄：錄入每班領導下井帶班記錄，每天必須錄入當天3班領導下井帶班記錄。

2、安全培訓：

（1）培訓計劃：錄入新工人崗前培訓的培訓計劃，培訓一批，錄入一次，按批次錄入。

（2）考勤：錄入新工人崗前培訓的考勤，培訓一批，錄入一次，按批次錄入。

（3）成績匯總表：a、錄入新工人崗前培訓的成績匯總，培訓一批，錄入一次，按批次錄入；b、錄入每月一考考試記錄。（4）一日一題：每天錄入一次，按實際培訓情況錄入。（5）一周一案：每周錄入一次，按實際培訓情況錄入。（6）一旬一課：每旬錄入一次，按實際培訓情況錄入。

3、事故調查處理記錄： 此項內容均不錄入。

4、全員參與安全管理：

（1）職工發現現場隱患的反應：按實際錄入。（2）三違舉報：按實際錄入。（3）合理化建議：按實際錄入。

5、安全辦公會議：

（1）錄入安全辦公記錄：根據項目實際安全辦公會召開情況，每旬或每周錄一次。

（四）、上報材料：

1、項目部對工程處上報材料（1）生產安全匯報記錄：每天錄入。

第二篇：操作流程與要求

生產操作流程及崗位職責

一.生 產 流 程：

業務接單 → 跟單跟蹤詳細的工藝要求 →生產經理審核 → BOM表制成 → 生產計劃派單 → 采購計劃制成 →采購回復物料交期 → 生產回復交期 → 跟蹤物料 → 備料 → 生產 → 入庫 → 出貨。

二.崗 位 職 責 分 工：

1.訂單審核是審核各項要求標準是否明確，客戶要求交期交期與品質是否合理。

2.BOM表制成：必須把所有的組裝物料、包裝材料、螺絲、生產輔助物料等關于訂單的所有一切物料都要在BOM表中體現出來，并注明用量及可追述的單位。

3．生產計劃派單：必修根據實際客人要求交期（以業務訂單為準）與實際生產現有訂單進行調整，使各個環節操作順堂，生產計劃派單后必須跟蹤結果，確認各個部門是否按照生產排期操作，是否在計劃時間內完成工作任務，如有違規或延期作業因及時要求調整及跟催。

4.采購計劃制成：根據訂單數量、BOM表、損耗等列出供應商及所需物料總數。根據生產計劃要求，計劃各種物料的回料時間。

5.采購回復交期：根據采購計劃回復實際回料時間。

6.生產回復交期：根據采購回復的物料交期與生產評估的生產周期回復業務交貨時間。

7.跟蹤物料：根據回復的物料交期跟蹤結果是否在計劃時間內完成的，如有異常應及時加快步驟解決或采取其他方

式處理。

8.備料：根據BOM表、實際用量、訂單數量等相關數據備料，在備料的時候應注意物料的規格型號是否匹配，數量

嚴格按照需求物料發料。備料時間是根據計劃完成時間與實際生產周期而定。（正常備料時間根據計劃完成時間提前3個工作天備料，正常備料時間指的是生產2天內可以完成的產品）。

9.生產：根據生產計劃上線時間，提前1到2天確認物料是否到齊，必須在上線的前一天生產1-2件首件產品，以免上線時出現不必要的瓶頸。根據生產計劃與實際物料情況安排生產。

10.入庫：確認各項要求是否按照訂單要求生產的，包括包裝的細節、入庫數量等。

11.出貨：業務安排時間出貨。

備注：

1.操作過程中出現異常，有任何不明確的地方必須找相關人員追問清楚后才能進行下一步工作。否則出了問題將由直接操作人員承擔。

2.在操作過程中務必互相配合，如因配合問題導致生產瓶頸或延期交貨將會嚴厲處罰相關人員。

3.每下一個工序都有權利、責任、義務考核上一個工序的配合程度、品質要求、工藝要求、交期等相關事項。

制作人：周君群

2012-11-28

第三篇：危險品操作流程及要求

危險品操作流程及要求

FOR EXAMPLE ：

收到托書時間：5/16 ETD：5/28 截申報：5/25 上午10：00 船代：外代 聯系人：XXX 電話：021-XXXXXXXX 港區：外五

危險品類別：3類 進港地址：江海危庫

1、系統錄入：（5/16）

A、收到托書后，要先仔細審單，了解該客戶的需求與要求，查看訂艙資料是否齊全：比如：托書上是否顯示，起運港、中轉港、目的港、運費方式、貨物名稱及類別、箱型、箱量，以及危包證，技術說明書，MSDS等等

B、A審核OK后，該票貨物輸入系統，（注：信息要輸入齊全，客戶名稱、對應銷售、收發貨人、起運港、中轉港、目的港、運費方式、貨物名稱及類別、箱型、箱量等等）

C、內容錄入OK后，傳進倉通知書給客戶，注明：倉庫名稱，地址，聯系人，電話，最晚送貨時間，以及單證寄送地址及送單證最晚時間.2、訂艙：（5/16）

A、危險品訂艙一般需提前一周，訂艙時需提供完整資料給訂艙口，主要包括：托書、危包證、MSDS、及危險品申請表格（每家船公司都不一樣）

注：如整柜出運，首先要確認是出海單還是HOUSE單，通常情況下，整柜多數出海單，拼箱“都”出HOUSE單，1、出MBL，就直接按照客戶的托書來打印訂艙托書，2、出HBL，發貨人按照“鼎世”，收貨人根據運至港口再來決定，如至SINGAPORE，就出SINGAPORE對應代理。）

B、訂艙OK后，了解該船截申報時間、對應船代、對應聯系人、及停靠港區

3、做箱單給車隊：（5/20）

A、箱單上需顯示：船名，起運港，中轉港，目的港，箱型，箱量，提箱時間，報關時間（車隊排計劃時會根據這個時間安排，如特殊情況比如沒有按時提供箱號等等，再作另外鏈接工作），提單號，件數，毛重，凈重，體積，中文品名，英文品名，CLASS NO，UN NO，進倉編號，及是否安排打托，貼危標及嘜頭等.注：危險品出運時，英文品名要單單一致，如：訂艙=箱單（排計劃要用）=申報=報關=提單

同時箱單備注里面顯示（一目了然）：

ETD：5/28 截申報：5/25 上午10：00 港區：外五

提箱時間：周一（5/23）

申報時間：周一（5/23）

進港時間：根據進港地址決定

A、進危庫，排當天計劃，當天進港

B、進港區，根據網上危險品進港時間

危險品類別：3類（進危庫）

B、提供有箱號的正確箱單：（5/23），同時車隊排進港計劃

C、倉庫按排貨物打托、貼危標、貼嘜、拍照等事宜（這些工作貨物在到的前提下可以提前做起，進港前搞定就OK）

4、危險品申報：（5/23）

A、申報時需提供完整資料給申報公司，主要包括：裝箱單、裝箱證明書、危包證、技術說明書.注：箱單上面必須顯示：船名、箱封號、起運港、中轉港、目的港、提單號、件數、毛重、凈重，體積，中英文品名，如貨物是液體需提供該貨物閃點

B、申報OK后，申報公司提供，危包證、技術說明書、安全適運單、進港黃聯

5、進港：（5月23/24/25均可，具體根據實際情況）

? 申報OK后，將黃聯寄車隊進危庫

注：黃聯進港用

6、報關：（具體根據進港時間，進港后就可以安排，最好提前進行，以免碰到查驗）

A、提供完整報關資料，主要包括：核銷單、報關單、裝箱單、發票、產品說明、報關委托書，安全適運單、配艙回單，如需商檢再提供商檢單等等

7、提單確認：（5/26）

MBL：

1、SHIPPER：“鼎世”

2、CONSIGNEE：“目的港對應代理”

3、品名要與訂艙、報關、箱單計劃一致

HBL：根據客戶樣本

8、盯箱上船（5/27）

9、費用確認（5/28）

10、拉HOUSE單（5/28）

11、整理資料給國外代理（5/28）

總結：根據以上所有操作經驗。操作部是工作中的紐帶和橋梁，要與各方保持溝通的及時、明朗、準確，不能出現溝通不明引發誤會的情況。

2011/5/21

第四篇：操作系統安全實驗報告

云終端:安全訪地問來自不可靠系統的敏感應用程序

摘要：

目前的電腦和基于web的應用程序提供安全不足的信息訪問,因為任何漏洞在一個大的客戶端軟件堆棧都可以威脅機密性和完整性。我們提出一種新的安全的應用程序架構,云終端,其中唯一運行在端主機的軟件是一個輕量級的安全終端,最薄的應用程序邏輯是在一個偏遠的云的渲染引擎。安全瘦終端有一個非常小的TCB(23 KLOC)和不依賴不可信操作系統,所以它可以很容易地檢查和遠程證明。終端也是通用的:它只提供一個到遠程軟件的安全的顯示和輸入路徑。云渲染引擎在一個受限制的VM主辦的提供者上運行一個現成的應用程序,但是資源共享可以讓一臺服務器之間VM支持數以百計的用戶。我們實現了一個安全的瘦終端,運行在標準的PC硬件和應用程序提供了一個靈活的界面,如銀行業、電子郵件和文檔編輯。我們也表明,我們的云渲染引擎可以提供安全的網上銀行業務,每用戶每月5-10美分。｛瘦客戶端（Thin Client）指的是在客戶端-服務器網絡體系中的一個基本無需應用程序的計算機終端。它通過一些協議和服務器通信，進而接入局域網。作為應用程序平臺的Internet的到來為企業應用程序提供了一個全新的領域：一個基于Internet/intranet的應用程序運用一個只包含一個瀏覽器的瘦客戶端。這個瀏覽器負責解釋、顯示和處理應用程序的圖形用戶界面（GUI）和它的數據。這樣的一個應用程序只需要被安裝在一個Web服務器上，用戶可以自動接收升級。一個解決方案只需要部署一次，甚至對成千的用戶也是如此，這種想法的確很吸引人，尤其是Internet技術幫我們緩解了一些傳統的應用程序的障礙，比如防火墻和對多平臺的支持。｝

二、概述，包括使用的情況，我們的威脅模型，與現有系統的比較，和設計的概述等

2.1使用情況。云終端是專為公眾和企業提高信息安全的應用程序，但不做密集的計算或渲染

公共服務

通過使用一個單一的安全的瘦終端，最終用戶和機構有激勵措施，以防止攻擊，用戶界面的要求很簡單

公司情況：

通過使用一個安全的瘦終端，員工可以減少數據盜竊和惡意軟件的攻擊面。

2.2目標和威脅模型

目標

1。此解決方案應該是可安裝在現有的pc和一個潛在的破壞商品操作系統,而不需要用戶重新形象她的系統。

2。該解決方案應該不需要信任主機操作系統。

3。解決方案應該能夠證明它的存在,兩個用戶和應用程序提供商,以防止欺騙和釣魚。

4。系統應該支持廣泛的敏感的應用程序。

5。TCB的系統應該小。

一些假設。

我們的目標是防止攻擊者查看和修改用戶和安全的應用程序之間的相互作用，并把它作為用戶登錄

云終端也防止一些社會工程攻擊,如用戶被騙來運行一個假的客戶,通過遠程認證。此外,它提供了兩種防御網絡釣魚:共享密鑰之間的用戶和安全的薄的形式終端,終端圖形主題的UI,并能夠使用用戶的TPM作為第二,un-phishable身份驗證因素和檢測登錄從一個新的設備。這些機制類似于常見的機制在web應用程序(例如。,SiteKey[32]和cookies來檢測登錄從新的機),重要的區別,這個秘密圖像和TPM私有密鑰不能被檢索到的惡意軟件或通過中間人攻擊。然而,我們認識到,有開放的問題對社會工程保護用戶和我們不旨在創新在這一點上,問題是我們所關注的正交設計好孤立的客戶端。

云終端必須與不受信任的操作系統共存

2.3現有方法

我們比較現有的幾種建議，并解釋我們的方法，讓它符合目標的元素。

建議的做法是使用虛擬機隔離敏感的應用，包括內部的應用程序在TCB可信的虛擬機（例如，一個Web瀏覽器）。基于虛擬機的系統增加對用戶的管理負擔。相比之下，Chrome OS的瀏覽器的操作系統，限制他們的攻擊面不允許二進制應用程序，并提供強大的Web應用程序之間的隔離。但是，這意味著他們不能運行現有的傳統用戶的軟件或訪問非Web

瘦客戶端系統允許組織集中管理他們的臺式機和消除感染,他們仍然遭受基本限制云終端相比,用戶的所有應用程序運行在同一個虛擬機并不是互相隔絕遠程認證是最具挑戰性的基于虛擬機的方法

這些方法錯過這樣一個大好機會,提供強大的安全保證通過TPM認證。

云終端實現現有系統，支持一般的應用，遠程認證，并通過兩個設計元素來完成一個小任務。

小,一般客戶:云終端訪問所有敏感的應用程序通過相同,簡單的組件:一個安全瘦終端能夠顯示任意遠程ui。因此,用戶不需要管理多個vm,服務提供者可以運行他們的應用程序在他們自己的數據中心的嚴格控制。不像在虛擬桌面系統、敏感的應用程序也互相隔離的(而不是運行在同一個VM),瘦終端保護,免受不可信主機操作系統。

Microvisor:安全瘦終端隔離本身從操作系統通過hypervisor像層,但這種“Microvisor”規模遠小于一個完整的管理程序,因為它不是被設計來運行多個虛擬機。例如,訪問網絡和存儲microvisor設備通過可信操作系統(但它加密數據),利用操作系統現有的司機不必信任他們。同樣,它不需要代碼來管理多個vm,甚至對于啟動不可信操作系統,它可以自動安裝下面的運行實例操作系統,只需要保護一個內存區域的操作系統。這個設計可以讓云終端實現一個“甜點”安全之間,信任代碼大小和普遍性:它可以通過一個小的，孤立的，和遠程核查客戶端訪問廣泛的應用.2.4結構

云終端體系結構安全的瘦終端上的客戶端和服務器上的云的渲染引擎.我們現在描述這些抽象和展示他們如何與其它系統組件交互。安全的瘦終端(STT)。軟件運行的STT是在用戶的電腦和提供安全訪問遠程應用程序,而不需要任何其他軟件的信任在設備上。暫時接管的STT通用系統,并將其轉化為一個較為有限,但值得信賴的設備訪問通用遠程應用程序。這個STT具有以下特點:

STT提供了一個通用的圖形終端的功能，可用于許多應用程序。

STT隔離本身，所以，不信任的系統無法訪問其數據。

STT實現是輕量級的，使其更容易檢查校正.安全的STT來自于它的簡單性:它僅僅關注提供一個接口,其他地方運行的應用程序。它提供了這個接口僅僅通過繼電保護輸入事件和遠程呈現的位圖。共同存在于一個預先存在的STT不可信操作系統,但不依賴于不可信系統安全至關重要的功能。使用硬件虛擬化,STT隔離本身的不可信操作系統:操作系統從未加密的訪問的數據,當STT是活躍的不能讀取輸入事件或訪問視頻內存。

一種硬件信任根，可以開始遠程各方證明機器的完全控制，即它的代碼是未經修改的，它直接訪問一個真正的（非仿真）的CPU。STT由微鏡，它提供了從操作系統隔離；云終端客戶，這與遠程應用程序，使其顯示；和一個不受信任的用戶空間輔助隧道加密的數據通過不可信操作系統。云的渲染引擎（CRE）。CRE STT的服務器端。它具有以下屬性：幾乎所有的CRE包含應用程序功能,重要的位圖顯示的生產。

一個孤立的CRE運行應用程序的實例為每個STT,在一個單獨的虛擬機

執行應用程序的實例為每個用戶會話在一個單獨的虛擬機提供強大的隔離 最后 CRE作為“云”虛擬機的主機。瘦終端和云安全的渲染引擎和網絡使用云終端協議。云終端協議擴展了現有的幀緩沖級遠程桌面協議(VNC)通過添加額外的級別的安全性。具體地說,云終端協議使用端到端加密在云終端客戶和CRE STT,執行遠程認證的客戶端,并提供之間的相互認證用戶和應用程序

公共設施服務：目錄服務、驗證服務

第五篇：操作系統安全 復習資料

第三章 windows server 2003 用戶賬號安全

一、密碼安全設置原則

1．不可讓賬號與密碼相同

2．不可使用自己的姓名

3．不可使用英文詞組

4．不可使用特定意義的日期

5．不可使用簡單的密碼

二、要保證密碼的安全，應當遵循以下規則：

1．用戶密碼應包含英文字母的大小寫、數字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達到最好的保密效果。

2．用戶密碼不要太規則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。

3．根據Windows系統密碼的散列算法原理，密碼長度設置應超過7位，最好為14位。

4．密碼不得以明文方式存放在系統中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。

5．密碼應定期修改，應避免重復使用舊密碼，應采用多套密碼的命名規則。

6．建立賬號鎖定機制。一旦同一賬號密碼校驗錯誤若干次，即斷開連接并鎖定該賬號，經過一段時間才解鎖。

三、在Windows Server 2003系統中，如果在“密碼策略”中啟用了“密碼必須符合復雜性要求”設置的話，則對用戶的密碼設置有如下要求：

1．不包含全部或部分的用戶賬戶名。

2．長度至少為7個字符。

3．包含以下4種類型字符中的3種字符。

(1)英文大寫字母（從A到Z）

(2)英文小寫字母（從a到z）

(3)10個基本數字（從0到9）

(4)非字母字符（如!、$、#、%）

四、強密碼則具有以下特征：

1．長度至少有7個字符。

2．不包含用戶的生日、電話、用戶名、真實姓名或公司名等。

3．不包含完整的字典詞匯。

4．包含全部4種類型的字符。

除此之外，管理員賬戶的密碼應當定期修改，尤其是當發現有不良攻擊時，更應及時修改復雜密碼，以免被破解。為避免密碼因過于復雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。

五、賬戶策略包含兩個子集：密碼策略和賬戶鎖定策略

六、密碼策略包含以下6個策略：

1．密碼必須符合復雜性要求。

2．密碼長度最小值。

3．密碼最長使用期限。

4．密碼最短使用期限。

5．強制密碼歷史。

6．用可還原的加密來儲存密碼。

七、“強制密碼歷史”策略

該策略通過確保舊密碼不能繼續使用，從而使管理員能夠增強安全性。重新使用舊密碼之前，該安全設置確定與某個用戶賬戶相關的唯一新密碼的數量。該值必須為0～24之間的一個數值，推薦值為8

八、雙擊“密碼最長使用期限”，選中“定義這個策略設置”復選框

該安全設置要求用戶更改密碼之前可以使用該密碼的時間（單位為天）。可將密碼的過期天數設置在1～999天之間，或將天數設置為0，可指定密碼永不過期。如果密碼最長使用期限在1～999天之間，那么密碼最短使用期限必須小于密碼最長使用期限。如果密碼最長使用期限設置為0，則密碼最短使用期限可以是1～998天之間的任意值。

九、雙擊“密碼最短使用期限”，選中“定義這個策略設置”復選框

該安全策略設置確定用戶可以更改密碼之前必須使用該密碼的時間（單位為天）。可以設置1～998天之間的某個值，或者通過將天數設置為0，允許立即更改密碼。

十、雙擊“最小密碼長度”，選中“定義這個策略設置”復選框

將“密碼必須至少是”的值設置為 8, 然后雙擊“確定”。通過將字符數設置為0，可設置不需要密碼。

十一、賬戶鎖定閾值

該安全設置確定造成用戶賬戶被鎖定的登錄失敗嘗試的次數。在鎖定時間內，無法使用鎖定的賬戶，除非管理員進行了重新設置或該賬戶的鎖定時間已過期。登錄嘗試失敗的范圍可設置為0～999之間，建議值為3～5，既允許用戶輸或記憶錯誤，又避免惡意用戶反復嘗試用不同密碼登錄系統。如果將鎖定閾值設為0，將無法鎖定賬戶。對于使用Ctrl+Alt+Delete組合鍵或帶有密碼保護的屏幕保護程序鎖定的計算機上，失敗的密碼嘗試計入失敗的登錄嘗試次數中。

十二、賬戶鎖定時間

該安全設置確定鎖定的賬戶在自動解鎖前保持鎖定狀態的分鐘數。有效范圍從0～99，999分鐘。如果將賬戶鎖定時間設置為0，那么在管理員明確將其解鎖前，該賬戶將一直被鎖定。如果定義了賬戶鎖定閾值，則賬戶鎖定時間必須大于或等于重置時間。

十三、復位賬戶鎖定計數器

確定在登錄嘗試失敗計數器被復位為0（即0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數。有效范圍為1～99，999分鐘之間。如果定義了賬戶鎖定閾值，則該復位時間必須小于或等于賬戶鎖定時間

十四、系統管理員設置原則

1．更改管理員賬戶名

2．禁用Administrator賬戶

3．強密碼設置

十五、除非有特殊應用，否則Guest賬戶應當被禁用。事實上，許多網絡攻擊就是借助Guest用戶來實現的。即使啟用Guest賬戶，也應當為其指定最低的訪問權限

十六、共享文件夾權限

當將文件夾設置為共享資源時，除了必須為文件和文件夾指定NTFS訪問權限以外，還應當為共享文件夾指定相應的訪問權限。共享文件夾權限比NTFS權限簡單一些，而且NTFS權限的優先級要高于共享文件夾權限。因此，共享文件夾的權限可以粗略設置，而NTFS權限則必須詳細劃分

十七、為用戶組指定權限時，有以下兩點需要注意

1．權限是疊加的用戶可以同時屬于多個用戶組，用戶所擁有的權限，是其所屬組權限的總和。對組指派的用戶權限應用到該組的所有成員（在它們還是成員的時候）。如果用戶是多個組的成員，則用戶權限是累積的，這意味著用戶有多組權限。

2．拒絕權限優先

無論用戶在其他組擁有怎樣大的權限，只要其所屬組中有一個明確設置了“拒絕”權限，那么該權限及其包含的權限也都將被拒絕。

第四章 文件訪問安全

一、多重NTFS權限

1)權限的積累

用戶對資源的有效權限是分配給該個人用戶帳戶和用戶所屬的組的所有權限的總和。如果用戶對文件具有“讀取”權限，該用戶所屬的組又對該文件具有“寫入”的權限，那么該用戶就對該文件同時具有“讀取”和“寫入”的權限，舉例如下：

假設情況如下所示：有一個文件叫FILE。USER1用戶屬于GROUP1組

2)文件權限高于文件夾權限

意思就是說NTFS文件權限對于NTFS文件夾權限具有優先權，假設用戶能夠訪問一個文件，那么即使該文件位于用戶不具有訪問權限的文件夾中，也可以進行訪問（前提是該文件沒有繼承它所屬的文件夾的權限）。

舉例說明如下：假設用戶對文件夾FOLDER沒有訪問權限，但是該文件夾下的文件FILE.TXT沒有繼承FOLDER的權限，也就是說用戶對FILE.TXT文件是有權限訪問的，只不過無法用資源管理器之類的東西來打開FOLDER文件夾，無法看到文件FILE而已（因為對FOLDER沒有訪問權限），但是可以通過輸入它的完整的路徑來訪問該文件。比如可以用 c:folderfile.txt來訪問FILE文件（假設在C盤）。

3)拒絕高于其他權限

拒絕權限可以覆蓋所有其他的權限。甚至作為一個組的成員有權訪問文件夾或文件，但是該組被拒絕訪問，那么該用戶本來具有的所有權限都會被鎖定而導致無法訪問該文件夾或文件。也就是說上面第一點的權限累積原則將失效。舉例說明如下：

假設情況如下：有一個文件叫FILE。USER1用戶屬于GROUP1組

有一個文件叫FILE。

USER1用戶屬于GROUP1組，同時也屬于GROUP2組，二、NTFS 權限繼承

1．在同一NTFS分區間復制或移動

2．在不同NTFS分區間復制或移動

3．從NTFS分區復制或移動到FAT格式分區

三、創建配額

可以創建兩種方式的配額：

普通配額：普通配額只是應用到某個卷或文件夾，并限制整個文件夾樹（此文件夾本身和它的所有子文件夾）所使用的磁盤空間；比如可以使用普通配額來限制用戶在某個文件夾中存儲的數據大小；

自動配額：自動配額允許用戶為某個卷或文件夾指派一個配額模板，FSRM將基于此配額模板自動為現有子文件夾或任何將來創建的新子文件夾生成普通配額，但是FSRM并不會針對此文件夾本身創建普通配額。自動配額通常使用在以下場景：用戶數據分別按子目錄存放在一個公用的文件夾中，那么可以針對公用文件夾啟用自動配額。

第五章 網絡通信安全

一、在網絡技術中，端口（Port）大致有兩種意思：一是物理意義上的端口，比如，ADSL Modem、集線器、交換機、路由器用于連接其他網絡設備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協議中的端口，端口號的范圍從0到65535，比如用于瀏覽網頁服務的80端口，用于FTP服務的21端口等等

二、端口分類

1.按端口號分布劃分

（1）知名端口（Well-Known Ports）

知名端口即眾所周知的端口號，范圍從0到1023，這些端口號一般固定分配給一些服務。比如21端口分配給FTP服務，25端口分配給SMTP（簡單郵件傳輸協議）服務，80端口分配給HTTP服務，135端口分配給RPC（遠程過程調用）服務等等。

（2）動態端口（Dynamic Ports）

動態端口的范圍從1024到65535，這些端口號一般不固定分配給某個服務，也就是說許多服務都可以使用這些端口。只要運行的程序向系統提出訪問網絡的申請，那么系統就可以從這些端口號中分配一個供該程序使用。比如1024端口就是分配給第一個向系統發出申請的程序。在關閉程序進程后，就會釋放所占用的端口號。

2.按協議類型劃分

按協議類型劃分，可以分為TCP、UDP、IP和ICMP（Internet控制消息協議）等端口。下面主要介紹TCP和UDP端口：

（1）TCP端口

TCP端口，即傳輸控制協議端口，需要在客戶端和服務器之間建立連接，這樣可以提供可靠的數據傳輸。常見的包括FTP服務的21端口，Telnet服務的23端口，SMTP服務的25端口，以及HTTP服務的80端口等等。

（2）UDP端口

UDP端口，即用戶數據包協議端口，無需在客戶端和服務器之間建立連接，安全性得不到保障。常見的有DNS服務的53端口，SNMP（簡單網絡管理協議）服務的161端口，QQ使用的8000和4000端口等等。

第六章 應用程序和服務安全

一、IIS 6.0版本支持以下6種身份驗證方法，使用這些方法可以確認任何請求訪問網站的用

戶的身份，以及授予訪問站點公共區域的權限，同時又可防止未經授權的用戶訪問專用文件和目錄。

匿名身份驗證。允許網絡中的任意用戶進行訪問，不需要使用用戶名和密碼登錄。

基本身份驗證。需要用戶鍵入用戶名和密碼，然后通過網絡“非加密”將這些信息傳送到服務器，經過驗證后方可允許用戶訪問。

摘要式身份驗證。與“基本身份驗證”非常類似，所不同的是將密碼作為“哈希”值發送。摘要式身份驗證僅用于Windows域控制器的域。

高級摘要式身份驗證。與“摘要式身份驗證”基本相同，所不同的是，“高級摘要式身份驗證”將客戶端憑據作為MD5哈希存儲在Windows Server 2003域控制器的Active Directory（活動目錄）服務中，從而提高了安全性。

集成Windows身份驗證。使用哈希技術來標識用戶，而不通過網絡實際發送密碼。證書。可以用來建立安全套接字層（SSL）連接的數字憑據，也可以用于驗證。

當不允許用戶匿名訪問時，就應當為IIS用戶賬戶設置強密碼以實現IIS的訪問安全。