时间:2022-07-19 13:06:40
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇银行安全总结范例。如需获取更多原创内容,可随时联系我们的客服老师。
仙居支行全体员工通过学习观看了案例视频锦集,真心觉得安全“代价”实在太大了。防范风险时刻能不松懈,它时刻和我们的人身安生企业财产安全息息相关。风险防范是银行每时每刻都存在的话题,所以每个柜员都必须深刻的认识银行存在的风险和防范风险发生的方法。通过这些案例的学习,能促使我增强自我保护意识,在平时的小事上在心中筑起“防火墙”,现将总结汇报如下:
一、沉重的代价是强烈的警示。
发生案件不但会给我行银行造成重大资金风险和损失,还会严重损害银行的形象;发生案件,不但要严惩银行内部的涉案人员,还要追究相关经办岗位,管理岗位和领导岗位人员的责任;发生案件,还会对一部分员工的家庭亲情造成伤害。无论案件对银行造成的损失,还是对员工造成的伤害,都令人为之惋惜。
二
安全保卫工作说起来容易,看起来简单。
安全教育但真正干起来是非常不容易的,过去我们自己对保卫工作的认识比较单一,认为不出问题,不出事件,安全保卫工作就做好了,通过观看一系列的安全视频讲座觉得我们的工作实践和安全保工作的内容很丰实,任务很艰巨,责任很重大。
三、安全防卫工作思想上必须有高度的重视,执行力上必须坚决、果断。
在***行保卫部的正确指导下,在部领导班子的领导下,完成了上级行交给的各项任务和业务指标,做到了安全无事故,下面将我行半年来安全保卫及案件防范工作做一下总结汇报:
一、完善安全防范设施建设,确保安全保障功能
监控设施的陈旧、老化,多年来一直困扰着我行,今年根据*行的安排,我行顺利地完成了对监控系统的改造,使监控系统符合了安全防范的要求,增强了技术防范能力。
同时对*楼的边门进行了维修改造,我行*楼的侧边门管理一直不是很好,进出人员比较多,为了更好地加强边门的安全检查防范,营业部专门召开会议研究了此事,要求综合办公室对边门进行改造,通过改造规范了侧边门的进出人员,确保了外来人员无法通过侧边门进入我行主楼,确保了大楼的安全。
二、加强职工的安全防范教育,增强员工防范意识
坚持抓职工的安全防范教育,不断的完善规章制度,强化制度的落实,是预防案件消灭隐患,确保银行安全的重要因素之一,使我行的内控外防机制更趋完善,提高了全员防范意识。任何管理工作首先是人的工作,人的工作的核心是思想教育,保卫工作更不能例外。当前保卫工作面临的形势愈加严峻,做好职工的防范教育已成为保卫工作的重要课题。防范教育搞好了员工的防范意思就能得到提高,就可以在日常安全防范工作中筑起一道牢固的屏障。所以我们始终把防范教育工作摆在安全保卫工作的重要位置。
领导抓、层层抓,确定从领导抓起,一级抓一级,形成层层抓防范教育的工作格局。一是增强领导自身的防范意识,我行领导坚持以身作则,牢固树立“安全第一”的防范思想,把安全防范教育工作纳入重要议事日程,利用各种场合开展防范教育工作,大会小会讲安全,定期召开安全工作会议,研究布置安全防范工作,定期组织一线员工学习案件简报及案件通报的同时,通过具体案例剖析,用活生生血的教训教育广大员工、并对照自查。每逢节假日都亲自检查节日安全防范工作,按时到网点进行安全检查,对安全检查存在的问题,责成办公室立即处理,做到了快报快办。
上半年我们组织员工观看消防知识教育光盘,印发了火灾逃生自救的知识材料,针对每年搞消防演练实际参与的人员少,不能全员参加的情况,保卫人员深入到各部室详细讲解消防器材的使用方法及发生火灾后的处理方法,使员工得到教育和培训,增强了员工的安全防范意识。
三、规范安全检查工作,完善规章制度
对安全保卫工作,安全检查是关健,只有加强检查的力度,才能发现问题,只有发现了问题才能有针对性地加以解决。我行严格执行上级行的要求去做,坚持网点每日检查,领导保卫部门每月检查,对检查中存在的问题积极督促整改、跟踪监督,把隐患消灭在萌芽中。为规范我们的安全检查制度,我行加强了对营业网点侧门的验“证”管理,实行“三证齐全,领导和保卫人员陪同”的检查制度,使安全检查更加规范化。
我行领导重视安全保卫和案件防范工作,真正做到了领导重视责任到人,年初我行就组织各部(室)、各专业签订了《安全防范责任书》,制定了《***安全保卫工作制度》。同时还结合“第二期扫雷工程”和内控检查,对储蓄网点进行明查暗访,对要害岗位人员做到经常定期轮换,对现实表现实行考核建立档案,并对网点门钥匙及权限卡进行严格管理和检查。我行加强值班工作,常抓不懈,每逢节假日及各项测试时间,领导亲自布置,亲自组织测试,带头值班,同时还要求保卫人员做好安全保障工作。
四、存在问题
(一)、少数员工防范意识差,有麻痹思想,执行制度和规定不够严格;
(二)、上报的材料有时不够及时;
(三)、由于经费的关系,不能保证每台微机配置一个灭火器.
五、下半年工作打算
XX农商行安全保卫部:
根据武穴农商行关于开展2020年“安全生产月”和“安全生产楚天行”活动实施方案,我支行迅速成立以行长为组长,其他员工为成员的安全活动领导小组,结合我支行的实际工作,广泛深入地开展了全方位、多层次、多渠道、多形式的安全生产月活动。
一、营业部XX行长迅速组织员工学总书记关于安全生产重要论述。营业部全体员工在认真聆听X行长行长对XX总书记安全生产重要论述的理解 。
二、开展安全教育,提高员工的安全意识。
三、我支行在门头LED上滚动播出“1,安全是发展的前提,发展是安全的保障。2,依法严厉打击各类犯罪活动,全力维护公共安全。3,网络安全为人民,网络安全靠人民。 ”活动主题。在营业网点设置宣传咨询台,向过往群众和员工宣传安全生产知识。
四、组织员工发现营业网点,自助银行等重点区域安全隐患及时整改,重点环节的人防、物防、技防、消防的重点场所,关键环节安全风险隐患进行了全面的深入的排查整治,确保安全无事故。扎实开展安全生产宣传教育和应急预案的演练工作,增强了营业部全体员工的安全意识和应急处置能力。为安全生产提供了坚实的保障。
最后,我支行将认真总结活动经验,坚持问题导向,拓展思路,砥砺前行。进一步提高安全生产在日常工作、生活中的重要性,使安全生产更加贴近实际,动员全辖员工更加关注安全生产,为全行的经营发展营造安全稳健的环境。
银行安全保卫部根据年初工作规划和总行的工作部署,结合郭尔罗斯农商行工作实际,切实抓好人防、物防、技防等工作,确保职工的人身及资金安全、以各营业网点的安防工作为重点,2018年工作的开展情况级2019年工作规划做如下汇报:
一、2018年上半年工作总结(一)网点新建、改建及基础设施建设1.提升基础设施标准对2017年新建、改建网点的建设标准按照公安部GA38-2015、GA745-2017标准执行。完成吉拉吐支行、巴特尔支行模拟摄像机的更新工作,加快更新网络高清摄像机。
2.推进营业网点安防建设达标工作对营业场所防尾随联动门、网点出入口等重点部位录像设备不达标的基础设施进行升级改造。
(二)制度建设与安防知识培训1.签订服务协议与押运公司签订服务合同,落实双方权利义务,修改部分服务条款,提升合同约束力。
2.明确责任目标董事长与全辖39家支行和19个部室负责人签订2018年安全保卫目标管理责任书。
3.精简安防登记簿根据实际工作情况,优化《营业场所安全员检查日志》、《行长安全检查登记簿》、《监控设备检查登记簿》等八种登记簿,去重补漏,将八项登记簿合并为《吉林郭尔罗斯农村商业银行股份有限公司营业网点监督检查登记簿》。
4.持续开展“十个一”活动继续落实消防安全十项重点基础工作,并以此为抓手,常态化推进全行消防管理责任和措施落实。
5.加强教育培训为增强员工安全防范意识教育和技能培训,夯实人防基础,对各营业网点的工作人员进行培训,主要培训新登记簿如何正确使用、地震逃生知识等。确保能够正确记录营业网点安防信息,妥善处置突发应急事件,不流于形式,让人人都能掌握安全保卫相关知识。
(三)安防设施的配备与器材检修1.消防器械维修保养。5月份分两批次对全辖各类灭火器共757个进行维修、年检。
(四)网点安全隐患整改情况1.加强检查监督,强化规范化管理基础。对营业网点安全防范设施达标开展检查,对不达标的,及时整改。完成春节突击检查、一季度、二季度检查;每月对防火工作情况进行一次检查,对检查中发现的问题进行督查督办;通过检查发现违规现象2人次。
2.具体对营业场所的重点检查内容(1)硬件设施。主要对网点的营业设备进行检查,包括防盗门、电线、电话线、网线、报警器等。(2)营业场所。对老旧营业场所进行全方位查看。自助服务区设备运转情况降温情况、值班室内是否存在私接用电设备等不稳定电器。检查离行式自助设备的一键报警功能及种畜场ATM与当地派出所的联网系统。(3)附属房相关设施。检查办公区附近是否存在易燃易爆物品,营业场所是否与煤仓相连。食堂、锅炉房的用火、用电等情况,特别是食堂液化气总阀的使用情况。
(4)监控设施。检查网点的监控摄像头是否存在电磁干扰、焦距不准、镜头有污垢等情况,并查看网点内环境的半球摄像头红外功能是否正常。营业网点周围环境是否均有摄像头,是否能够达到全覆盖。
(5)易燃品进行规范管理。对网点有储物间、自助设备加钞间、更衣室的,不必要的杂物、业务用纸等进行统一清理等。
二、2018年下半年工作规划(一)基础设施建设加强安全防护设施建设,夯实技防物防基础,按照公安部GA38-2015、GA745-2017标准对宝甸支行、红旗支行、王府支行安防设施薄弱的网点进行改建,确保高质量完成,积极协调消防、公安部门新网点验收,高效率的完成此项工作。
(二)消防隐患整治推进消防重点隐患治理改革工作。一是继续改造强电电路和柜台综合理线系统。二是推广新建、改建网点使用新型取暖设备,降低能耗。三是对食堂“罐改管”工作进行推进。
(三)安全知识培训加强员工安全防范意识教育和技能培训,夯实人防基础,计划每半年对全体员工进行一次消防安全知识培训及逃生演练,主要培训案防、技防、地震和防恐怖袭击等知识。确保能够妥善处置突发应急事件,不流于形式,让人人都能掌握安全保卫相关知识。
(四)加强检查监督,强化规范化管理基础,常规及突击检查中发现的问题明确责任人,明确整改时间,严格按照相关制度及处罚办法进行奖惩,确保安全保卫责任落到实处。
(五)按照“省公安厅网点安全评估”与“全省农村信用社安防建设管理标准化达标工作”的相关要求,参照省联社《营业场所安防建设管理达标验收标准》进行检查,对不达标的,制定整改计划,提出整改措施。对前郭镇、吉拉吐、红旗、宝甸、王府、洪泉、新庙、八郎、平凤、巴特尔、金伦、新立、海勃日戈13家不合格的网点分三年整改完毕,其中2018年计划整改完成不合格网点30%,2019年计划整改完成不合格网点30%,2020年计划整改完成不合格网点40%。
(六)对辖内23家支行的模拟摄像机进行改造,逐步建成全高清覆盖的现代化网点,从技术手段提升安防效果。
(七)与松原市押运服务公司签订服务合同,确定款项押运及相关服务条款,为日常款包、票据包交接保驾护航。
一、加强全员安全防范意识教育和技能培训,夯实人防基础
人是做好安全防范工作的第一要素,我行把重视和加强对员工的安全教育,全面提高防范意识,增强防范技能,作为安全防范工作的基础工作来抓。支行党总支始终坚持“防范胜于治理”的法则,不管形势如何变化,始终绷紧教育这根弦,做到了警钟长鸣。因为无论多么完善的制度、多么坚固的防护设施、多么先进的技防设备,都是要靠人去遵守、去操作、去维护,只有把全行员工调动起来,夯实人防基础,制度、设施、设备才能发挥最大的效用。
我们把增强员工的防范意识放在十分突出的地位,重点围绕防抢、防盗、防诈骗的应知应会等内容对网点员工进行预案教育和防范技能教育,收到了较好的效果。
预案教育,就是对员工进行案例教育,组织员工熟悉“四防预案”,增强防范意识,提高防范能力。针对近年来银行案件日趋频繁的严峻局面,我们及时收集整理转发相关案例,认真组织员工学习上级行下发的各种文件、通报、通知、案例剖析,组织员工进行分析,针对我行自身的防范工作查找隐患,完善防范措施。
对前台网点的防范技能教育,主要侧重学习相关规章制度和基本防范技能,掌握正确的操作规范和程序以及发生紧急情况的应急处置措施分工、动作要领,各种自卫武器、报警监控装置的操作使用等。使员工较熟练地掌握了突发性事件及遇险的应急方法,有效地提高了全员安全防范的能力。
二、加强防护设施建设,夯实技防物防基础
防护设施建设对抵御盗窃、抢劫等不法侵害案件的发生起着无法替代的作用。因此,我行在注重抓全员防范意识教育培训的同时,十分注重抓好防护设施建设,保证所有营业场所有灵敏可靠、严密完善的技防、物防设施。
近年来,我行对网点防护设施的建设,按照“未达标的网点限期整改,已达标的网点巩固完善”的要求,在区分行的大力支持下,克服费用紧张等多方面的困难,逐步对5个营业场所进行了加固改造,全部安装了防弹玻璃,配足配齐了防盗、防劫、防暴、防火等防卫器械,对3个网点的电视监控设备进行了改造更新,更换为硬盘数字式监控设备,保证了监控录像图像的清晰和正常运转,5个网点全部与公安部门110报警系统实现联网。目前,所有网点防护设施都达到了规定的标准,基本形成了人防、物防、技防相结合的防护体系,为做好安全保卫工作打下了坚实基矗
在物防、技防设施的管理上,支行明确各网点主任对物防、技防设施的管理负总责,并建立健全了110报警系统、电视监控系统的检测校准台帐,定期进行检测、校准,确保了各种物防、技防设施的正常运行。三、加强规章制度建设,夯实规范管理基础
加强规章制度建设,是一项保障安全防范工作步入规范和有序轨道的基础性工作,其目的是通过规范管理和操作程序来抵御犯罪行为。我行根据总分行下发的《中国×××银行安全保卫工作暂行规定》、《中国×××银行安全保卫岗位操作规程(试行)》、《中国×××银行经济***管理暂行规定》、《中国×××银行守护押运枪支管理规定》、《关于印发守护押运人员六条禁令的通知》、《中国×××银行金库管理办法》、《中国×××银行安全防护设施建设及使用管理暂行规定》等规章制度的精神,本着在发展中完善,在需要中充实,在变化中调整,在实践中创新的原则,联系我行实际,建立健全了安全防范工作规章制度。
一是建立了“安全保卫岗位责任制”,修订和完善了各项管理制度和规定。针对营业网点、金库守护、运钞车、办公楼消防、特种设备(公用车辆、食堂煤气罐)等五个环节制订了5套防突发事件处置预案和消防应急处置预案。支行在年初与各部门、营业网点签订了安全防范责任书。
二是注重内部管理的规范化。建立了营业网点、运钞车、***、电视监控等安全防范设施档案资料,逐步建立健全了各类台帐。
2018年上学期转眼即逝,在本学期内我严格执行上级下达的各项任务,认真履行岗位职责,努力完成本职工作。现将工作总结如下:
1、尽职完成财务工作
在担任出纳工作时,能够坚持“钱帐分管”的要求,做到“自觉、自律、自制”。确保现金帐实相符、账款相符。做好幼儿收费工作、上缴非税收入并及时开据幼儿财政收据。完成往来银行间的业务,日常报销与缴费工作。协助各项代收款工作,核算并控制好幼儿及职工膳食开支等等。
2、安全工作放首位
担当好门岗人员职责并做好各项安全检查工作。坚持做到每周一小检,每月一大检,对园舍内的环境,如水电煤、家具物品、监控、消防等方面认真细心地检查,发现问题及时联络相关负责人员处理并跟进。每月结合本园开展的安全教育活动做好安全总结、消防安全工作总结并上交。
3、积极完成后勤工作
《__年__市绩效评估指标表》涉及我局部分主要是食品生产安全监管工作。我局严格按照市政府的安排部署和要求,多措并举在生产环节从严把关食品质量,以保障全市人民群众的身体健康和生命安全为目的,突出获证企业后续监管、食品安全专项整治和小作坊监管三个重点,切实加大工作力度,全市食品生产企业质量安全总体上有明显好转,重点食品、重点区域得到有效治理,未发生一起食品安全事故。现将有关绩效工作总结如下:
一、加强基础工作,落实企业食品质量安全主体责任
1、建立食品质量档案。针对我市食品生产企业分布广、数量多、规模小的状况,充分发挥食品安全监管网络体系作用,层层签订《责任状》,落实区域责任,明确责任人员,全面摸清食品生产企业及小作坊数量,实施动态监管。全市79家食品生产加工企业已登记建档,12家企业划分了监督管理质量等级。
2、加强宣传教育培训。组织瓶装水、大米、食用油等企业质量管理、检验人员20多人参加食品安全国家标准、检验员培训。开展“3.15”和“食品安全宣传周”活动,广泛宣传食品质量安全知识。我局6月邀请市人大代表、政协委员参加“质检邀您看企业、食品安全大家行”活动,发放食品安全宣传资料1000余份。
3、落实企业主体责任。通过加大对食品生产加工企业的巡查、回访、监督抽查、后处理、执法检查等日常监管工作力度,督促企业主动承担食品安全第一责任人的主体责任。监督企业严格按标准组织生产,并结合实际情况实施严格的现场监督检查。重点检查企业的原辅材料进货验收制度是否有效进行,是否按规定使用、管理食品添加剂,是否使用非食品原料和过期的、失效的、变质的原料生产加工食品,生产场所、生产加工过程质量控制记录是否符合规定要求,是否实施产品批批出厂检验,标签标识是否符合相关要求。7月9日,我局召开了全市食品生产安全监管工作大会,50余家食品生产企业递交了《食品质量安全承诺书》,并向社会庄严承诺。
4、严格生产许可,扎实推进市场准入制度。进一步改进食品生产许可申办程序,严格按照新修订的《食品生产许可证管理办法》和审查通则的要求,严把准入关,确保许可质量。对今年申报的8家企业,我局到现场从严要求,帮助其改善生产条件,指导其建立食品安全各项管理制度,规范其生产台帐,规范其生产经营行为。
二、落实监管职能,深入开展食品安全专项行动
1、加强食品监督抽查和后处理工作。共抽查69家食品企业,抽查69批次,合格57批次,不合格12批次,合格率为82.6%。我局对不合格企业下达了责令整改通知,认真帮助其查找原因,制定整改方案,促使企业整改到位。现企业已申请复查,生产的食品送衡阳市食品检验所检验,复查结果全部为合格。
2、继续开展食品安全专项整治。继续开展对饮用水、白酒及湿米粉三个行业的专项整治,打击卫生条件差、标识不规范、质量不合格、无证生产等违法行为。我局共出动执法人员330人次,巡查69家食品生产加工企业及小作坊,发现安全隐患18起,下达责令整改通知20份,回访企业20家,立案查处12起,惩处了一批违法企业,食品生产经营秩序得到进一步好转,从而促进各食品企业合法经营,健康发展,提高产品质量总体水平。
3、打击食品非法添加和滥用食品添加剂的违法行为。我局按照省市的统一安排和部署《关于严厉打击食品非法添加行为切实加强食品添加剂监管的通知》,常抓不懈,严格规范食品添加剂的使用和管理,督促企业主要负责人、生产配料人员、原材料采购人员签订《防止食品非法添加和滥用食品添加剂责任书》,努力保障人民群众的食品安全。到目前为止,我市未发现食品非法添加行为。
一年来,食品生产安全监管取得的主要成效:经过分类整治和帮扶,不规范食品生产加工单位数量下降,质量合格率稳步提升,行业性食品质量安全问题得到有效解决,有些小作坊完成了食品企业的转变,取得了生产许可证。在取得成绩的同时,食品安全还存在不少问题:我市生产加工单位数量大、规模小、缺乏知名品牌,企业普遍科技含量不高,设备和技术工艺不先进,规章制度不够健全,部分小作坊改造升级进展缓慢。监管 人力资源不足。
三、加强我市食品生产加工质量安全监管的意见和建议
1、进一步加强食品安全监管力量。发挥乡镇食品安全和安全生产监管办公室的作用,配备街道、村协管员、信息员,实现监管重心下移,触角延伸。
2、进一步完善食品安全监管手段。在做好食品质量信用等级评定和分类监管的基础上,建立黑名单制度,作为银行贷款、立项、用地、房屋租赁、使用单位参照的依据。完善群众举报和曝光制度。
3、进一步加大食品安全监管投入。政府要给予经费充足保障,加大技术检测设备的投入和人员的培训,增加巡查经费。
关键词:网络安全;网络攻击;建设原则
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0114-01
计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,防火墙应用等,重点针对企业网络中出现的网络安全问题,作了个介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分.
一、网络威胁、风险分析
随着通讯技术和计算机技术的飞速发展,网络正逐步成为当今社会发展的一个主题,其改变着人们的工作方式和生活方式。网络的互连性,开放性,共享性程度的扩大,然而网络的重要性和对社会的影响也越来越大主要是Internet的出现。随着数字货币,电子现金,电子商务和政府上网以及网络银行等网络行为的出现,网络安全的问题变得越来越重要。
(一)其他网络的攻击
据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:
当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。
近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。
计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。
(二)管理及操作人员缺乏安全知识
我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。
现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。
二、网络安全总体设计
据统计,在英国50%的用户口令都是宠物名称,而在全世界销售的150,000套防火墙中有85%的防火墙没有正确的配置,60%的防火墙按缺省设置安装。然而对于系统安全的维护和管理需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,根据实际情况对安全管理产品进行详细地配置,对于企业的策略进行设计和安全管理规范,就算功能再强大的安全产品也会达不到非常好的安全防护作用。
三、安全系统的建设原则
“使入侵者花费不可接受的金钱与时间,并且承受非常高的风险才可以闯入的系统叫做安全系统。我们认为,绝对安全与可靠的信息系统并不存在。然而安全性的增加通常会导致企业费用的增长,这些费用包括系统复杂性增加、系统性能下降、操作与维护成本增加和系统可用性降低等等。安全不是目的而是一个过程。威胁与弱点会随时间变化。然而安全的努力依赖于许多因素,例如新业务应用的实施、职员的调整、安全漏洞和新攻击技术与工具的导入。
参考文献:
[1]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003
[2]高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合 ASP 动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2 用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。
3 SP安全漏洞和防范
3.1 程序设计与脚本信息泄漏隐患
bak 文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入 DLL之中;二是使用微软的Script Encoder对ASP页面进行加密。
3.3 程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的 URL 路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL 注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL 注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造 SQL 语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录: 假设登录页面有两个文本框,分别用来供用户输入帐号和 密码,利用执行SQL 语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入 'OR 0=0,即不管前面输入的用户帐号和密码是什么,OR后面的 0=0 总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入' GO DROP TABLE 用户表,后果是用户表被彻底删除。
C.参数传递: 假设我们有个网页链接地址是 HTTP://……asp?id=22, 然后 ASP在页面中利用 Request.QueryString['id']取得该 id值,构成某 SQL 语句, 这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22 and user=0 ,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql 语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一: 在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二: 在客户端利用 ASP 自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三: 为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四: 对于参数的情况,页面利用 QueryString 或者 Quest 取得参数后, 要对每个参数进行判断处理,发现异常字符, 要利用 replace 函数将异常字符过滤掉,然后再做下一步操作。
转贴于
第五:只给出一种错误提示信息,服务器都只提示HTTP 500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4 传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载 。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5 SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用Beyond Compare 2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。 Beyond Compare 2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳 田晓芳 李桂宝《ASP程序设计与 WEB信息安全》 中国教育信息化2007年21期.
