系统安全配置技术规范Juniper防火墙优质资料

系统安全配置技术规范-Juniper防火墙优质资料(可以直接使用，可编辑优质资料，欢迎下载）

系统安全配置技术规范-Juniper防火墙优质资料(可以直接使用，可编辑优质资料，欢迎下载）系统安全配置技术规范—Juniper防火墙版本V0.9日期2021-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目录1.适用范围42.帐号管理与授权42.1【基本】删除与工作无关的帐号42.2【基本】建立用户帐号分类42.3【基本】配置登录超时时间52.4【基本】允许登录的帐号52.5【基本】失败登陆次数限制62.6【基本】口令设置符合复杂度要求62.7【基本】禁止root远程登录63.日志配置要求73.1【基本】设置日志服务器74.IP协议安全要求74.1【基本】禁用Telnet方式访问系统74.2【基本】启用SSH方式访问系统74.3配置SSH安全机制84.4【基本】修改SNMP服务的共同体字符串85.服务配置要求85.1【基本】配置NTP服务85.2【基本】关闭DHCP服务95.3【基本】关闭FINGER服务96.其它安全要求96.1【基本】禁用Auxiliary端口96.2【基本】配置设备名称10适用范围如无特殊说明，本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。帐号管理与授权【基本】删除与工作无关的帐号配置项描述通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。检查方法方法一：[edit]showconfigurationsystemlogin方法二：通过WEB方式检查操作步骤方法一：[editsystemlogin]deletesystemloginuserabc3abc3是与工作无关的用户帐号方法二：通过WEB方法配置回退操作回退到原有的设置。操作风险低风险【基本】建立用户帐号分类配置项描述通过防火墙用户帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。检查方法方法一：[edit]user@host#showsystemlogin|match“class.*;”|count方法二：通过WEB方式检查将用户账号分配到相应的用户级别：setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user操作步骤方法一：[editsystemlogin]user@host#setuser<username>class<classname>方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险【基本】配置登录超时时间配置项描述配置所有帐号登录超时限制检查方法方法一：[edit]user@host#showsystemlogin|match“idle-timeout[0-9]|i

le-timeout1[0-5]”|count方法二：通过WEB方式检查操作步骤方法一：[editsystemlogin]user@host#setclass<classname>idle-timeout15建议超时时间限制为15分钟方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险【基本】允许登录的帐号配置项描述配置允许登录的帐号类别检查方法方法一：[edit]user@host#showsystemlogin|match“ermissions”|count方法二：通过WEB方式检查操作步骤方法一：[editsystemlogin]user@host#setclass<classname>permissions<permissionorlistofpermissions>方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险【基本】失败登陆次数限制配置项描述应限制失败登陆次数不超过三次，终断会话检查方法方法一：[edit]user@host#showsystemloginretry-optionstries-before-disconnect方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#setloginretry-optionstries-before-disconnect3方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险【基本】口令设置符合复杂度要求配置项描述口令设置符合复杂度要求，密码长度最少为8位，且包含大小写、数字和特殊符号中的至少4种。检查方法方法一：user@host#showsystemloginpassword方法二：通过WEB方式检查操作步骤方法一：口令必须包括字符集：[editsystem]user@ho

t#setloginpasswordchange-typecharacter-set必须包括4中不同字符集（大写字母，小写字母，数字，标点符号和特殊字符）user@host#setloginpasswordsminimum-changes4口令最短8位user@host#setloginpasswordsminimum-length8方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险中风险【基本】禁止root远程登录配置项描述Root为系统超级权限帐号，建议禁止远程。检查方法方法一：[edit]user@host#showsystemservicesssh方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#setservicessshroot-logindeny方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险日志配置要求【基本】设置日志服务器配置项描述设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。检查步骤方法一：[edit]user@host#showsystemsyslog|match“host”|count方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#setsysloghost<SYSLOG_SERVER><FACILITY><SEVERITY>方法二：通过WEB进行配置回退操作恢复原有日志配置策略。操作风险建议对设备启用Logging的配置，并设置正确的syslog服务器，保存系统日志。IP协议安全要求【基本】禁用Telnet方式访问系统配置项描述禁用Telnet方式访问系统。检查方法方法一：[edit]user@host#showsystemservices|matchtelnet方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#deleteservicestelnet方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险【基本】启用SSH方式访问系统配置项描述启用SSH方式访问系统，加密传输用户名、口令及数据信息，提高数据的传输安全性。检查方法方法一：[edit]user@host#showsystemservices|matchssh方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#setservicesssh启用SSH2user@host#setservicessshprotocol-versionv2方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险配置SSH安全机制配置项描述配置SSH安全机制，防制DOS攻击检查方法方法一：[edit]user@host#showsystemservices|matchssh方法二：通过WEB方法检查操作步骤方法一：限制最大连接数为10：[editsystem]user@host#setservicessshconnection-limit10限制每秒最大会话数为4：[editsystem]user@host#setservicessshrate-limit4方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险【基本】修改SNMP服务的共同体字符串配置项描述修改SNMP服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造成威胁。检查方法方法一：[edit]user@host#showsnmp|matchcommunity|match“public|private|admin|monitor|security”|count方法二：通过WEB方法检查操作步骤方法一：[editsnmp]user@host#renamecommunity<oldcommunity>tocommunity<newcommunity>方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险服务配置要求【基本】配置NTP服务配置项描述启用防火墙的NTP设置，配置IP，口令等参数，在NTPServer之间开启认证功能。检查方法方法一：[edit]user@host#showsystemntp|matchserver|exceptboot-server|count方法二：通过WEB方法检查操作步骤配置NTP：方法一：[editsystem]user@host#setntpserver<ServersIP>key<keyID>version4方法二：通过WEB进行配置回退操作取消NTPServer的认证功能，或将密码设置为NULL。操作风险中风险【基本】关闭DHCP服务配置项描述禁用DHCP，避免攻击者通过向DHCP提供虚假MAC的攻击。检查方法方法一：[edit]user@host#showsystemservices|matchdhcp方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#deleteservicesdhcp或：[editsystem]user@host#deleteservicesdhcp-localserver方法二：通过WEB进行配置回退操作恢复DHCP服务。操作风险低风险操作风险低风险【基本】关闭FINGER服务配置项描述禁用finger服务，避免攻击者通过finger服务进行攻击。检查方法方法一：[edit]user@host#showsystemservices|matchfinger方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#deleteservicesfinger方法二：通过WEB进行配置回退操作恢复finger服务。操作风险低风险其它安全要求【基本】禁用Auxiliary端口配置项描述禁用不使用的端口，避免为攻击者提供攻击通道。检查方法方法一：[edit]user@host#showsystemports方法二：通过WEB方式检查操作步骤方法一：Auxiliary端口禁止[editsystem]user@host#setportsauxiliarydisable方法二：通过WEB进行配置回退操作恢复端口原有配置。操作风险低风险，管理员需确认端口确实不需要使用【基本】配置设备名称配置项描述为设备配置合理的设备名称，以便识别检查方法方法一[edit]user@host#showsystemhost-name方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#sethost-name<hostname>方法二：通过WEB进行配置回退操作将超时设置恢复至初始值。操作风险低风险1工程概况1.1工程概况站址及地貌±800kV裕隆换流站新建工程站址地处西昌市裕隆乡长村村与星宿村交界处,位于西昌市西南方向约12km处.站址西面临山，东面2km处为裕隆乡，安宁河位于站址东面5km处。站址南面是裕隆－长村的乡村公路，该路为沥青路面，宽6m，路况良好，向东与县级道路相连。进站道路与该公路引接。全站围墙内占地面积17。19公顷、武警营区占地面积0.69公顷，建筑面积约为7500平方米。1.本工程位于四川省南部山区，地处安宁河谷,属热带高原季风气候区，具有冬暖夏凉、四季如春的特点；春季冷暖空气交替频繁,常发生大风天气；夏季降水集中,常遭受洪涝灾害；秋季凉爽多雨；冬季温和，日照充足，风速小。西昌气象站多年气象特征值如下：多年平均气温 16。9极端最高气温 36.6极端最低气温 —3.8多年最大日温差 24.4多年平均相对湿度 62%多年年平均降水量 973.7mm多年平均风速 1。5m/s最大积雪厚度 13cm最大湿球温度（夏季空调计算室外21.6) 29.3多年夏季日平均温差 9.7℃1．2工程概况本工程项目为极1高端阀厅与极1高端换流防火墙组成。极1高端阀厅辅控楼主体为三层建筑，结构形式采用现浇钢筋混凝土框架剪力墙结构,建筑结构安全等级为一级,抗震设防类别为Ⅱ类；极1高端阀厅辅控楼总建筑面积为1254。5㎡，总高度为25.88米，零米层建筑面积为434。6㎡,±0。000m相对于绝对标号1522。45m。极1高端换流变防火墙抗震等级为一级，建筑重要性类别为乙类，防火墙面积为主墙一面长64米、高26米厚0.3米，次墙长18米，高9米墙厚0。3米，±0.000m对于绝对标高1522。45m。本换流站地处高海拔、高地震烈度区,地震分组等级为第一组,抗震等级为二级,抗震设防烈度为8度。2．编制依据序号资料名称版本出版单位1项目作业指导书GC2F013—2021四川电力建设公司2极1高端防火墙结构图JG0396中南电力设计院3电力建设安全操作规程（变电所部分）DL5009。3-1997中国电力出版社国家电网公司电力建设安全工作规程（变电站部分）Q/GDW665—2021中国电力出版社4±800kV裕隆换流站工程质量创优实施细则/四川电力建设公司5±800kV裕隆换流站工程文明施工二次策划/四川电力建设公司6输变电工程安全文明施工标准Q/GDW250-2021国网公司7国网直流工程建设安全文明施工与环境保护策划、创优方案实施指导意见2021版国网公司8±800kV裕隆换流站工程建筑施工组织设计/四川电力建设公司9《建筑施工模板安全技术规范》JGJ162—2021/10《变电工程落地式钢管脚手架搭设安全技术规范》Q/GDW274—2021国网公司11《建筑施工扣件式钢管脚手架安全技术规范》JGJ130-2021/12《施工现场临时用电安全技术规范》JGJ46—2005/13《建筑机械使用安全技术规程》JGJ33-2001/14《建筑施工高处作业技术规范》JGJ80-91/3作业前的条件和准备工作3．1安全器具序号名称规格单位数量备注1消防器具4kg个8灭火器（配备2个箱子）2安全警示牌/个153安全帽/顶1204安全带/条255绝缘手套/双126绝缘鞋/双127密目网1.5＊6mm250004安全作业程序、方法4.1脚手架工程4。1.1脚手架安装4。1.1。1可产生危险与预控措施高处坠落、物体打击、坍塌（1）脚手架基础必须平整坚实并做好排水，回填土地面必须分层回填,逐层夯实硬化。

（2）封圈型脚手架的布设应符合相关规定。

（3）脚手架必须布设供人员上下的垂直爬梯。4。1.2脚手架拆除4。1。2。1可产生危险与预控措施高处坠落、物体打击、坍塌、其他伤害（1）脚手架拆除前，应对脚手架作全面检查，清除剩余材料、工器具及杂物。(2）地面应设安全围栏和安全标志牌，并派专人监护，严禁非施工人员入内。拆除时要统一指挥，上下呼应，动作协调，当解开与另一人有关扣件时应先通知对方，以防坠落。(3)拆除脚手架时,必须设置安全围栏确定警戒区域、挂好警示标志并指定监护人加强警戒，应按规定自上而下顺序(后装先拆，先装后拆），先拆横杆，后拆立杆,逐步往下拆除；不得上下同时拆除；严禁将脚手架整体推倒；架材有专人传递，不得抛扔.4。2钢筋工程4。2.1可产生危险与预控措施机械伤害、物体打击、高处坠落、触电(（1)作业人员在制作台上使用齿口扳弯曲钢筋时，操作台必须牢固可靠，操作者要紧握扳手，脚要站稳，用力均匀，防止扳手滑移或钢筋突断伤人。（2）使用调直机调直钢筋时，手与滚筒应保持一定距离,严禁戴手套操作，避免将手套卷入滚筒，伤及手臂。钢筋调直到末端时，人员必须躲开，以防甩动伤人,短于2m或直径大于9mm的钢筋调直,应低速加工。（3）使用钢筋弯曲机时,操作人员应站在钢筋活动端的反方向，弯曲小于400mm的短钢筋时，要防止钢筋弹出伤人。（4）使用切断机切断大直径钢筋时,冲切力大，应在切断机口两侧机座上安装两个角钢挡杆，防止钢筋摆动。(5）加工好的钢筋应放平稳、分散，防止倾倒、塌落伤人。（6）人工搬运钢筋时，作业人员衣着必须灵便，行走步调要一致，当上下坡或转弯时，要前后呼应，步伐稳慢。注意钢筋的两端摆动，防止碰撞物体或打击人身，特别防止碰挂周围和上下的电线。上肩和卸料时要互相打招呼.（7）人工垂直传递钢筋时，上下作业人员不得在同一垂直方向上，送料人应站立在牢固平整的地面或临时构筑物上，接料人应有防止前倾的牢固物体,必要时应挂好安全带。（8)框架柱竖向钢筋一般采用电渣压力焊接,焊接前应根据焊接钢筋的高度搭设相应的操作平台,平台要牢固可靠,便于施焊.（9）焊接时应加强对电源的维护管理，严禁钢筋接触电源，焊机必须接地或接零，焊接导线及钳口接线处应可靠绝缘，变压器和焊机不得超负荷使用。（10）绑扎框架钢筋时，操作人员不得站在钢筋骨架上和攀登柱骨架上下。绑扎柱钢筋，不得站在钢箍上绑扎，不得将木料、管子等穿在钢箍内作脚手板，避免坠落伤人。（11）操作人员登高必须把工具放人工具套（袋)内，防止滑落伤人，上下传递物件严禁抛掷。(12）高处钢筋绑扎时，不得将钢筋集中堆放在模板或脚手架上，脚手架上不得随意放置工具、箍筋或短钢筋，避免滑下伤人。(13)高处安装钢筋,应避免在高处修整、扳弯粗钢筋,必须操作时，应选好位置系牢安全带。4、3模板工程4。3.1。1可产生危险与预控措施物体打击(1）柱模板合模过程中要保持稳定,模板要轻动轻移，防止倾倒伤人.(2)找正合模后,用柱箍进行加固，柱箍的间距为500～1000mm。（3）用卡具固定柱模时，应在稳固的平台上作业，使用F型卡具固定，在敲击过程中要保证卡具稳定，防止弹出伤人。（4）用花篮螺丝和铁线校正柱垂直度时，用力应均匀，防止铁线绷断伤人。(5）梁底模板安装应先将两端找正后固定，采用钢管支撑时,支柱间距不得大于700mm；支柱装完后,应沿横向、纵向加设水平撑和垂直剪刀撑，并与支柱固定牢固。（6）模板及支撑系统在没有固定前,禁止利用拉杆支撑攀登，当支柱高度小于4m时,水平撑应设上下两道,中间加设剪刀撑,支柱每增高2m，再加一道水平撑，其间再加一道剪刀撑。(7）用绳索捆扎吊运模板时，应检查绳扣的牢固程度及模板的刚度。(8)支模过程中，如中途停歇，应将支撑、搭头、柱头板等固定牢固.（9)模板拆除应按顺序分段进行，严禁猛撬、硬砸及大面积撬落或拉倒。作业人员应选择稳妥可靠的立足点，高处拆模应有专人指挥，并在下面标出工作区,暂停人员过往。（10)模板拆除严禁高处撬落，应用绳索吊下.拆下的模板不得堆放在脚手架或临时搭设的工作台上。（11）下班时，不得留下松动的或悬挂着的模板，及时将拆除的模板运到指定地点集中堆放。物体打击、坍塌（1）组拼钢模板须采用平板车辆运输,运输通道平整、顺畅。

(2)向坑下送模板时宜设置坡道，坑上坑下要统一指挥，牵送挂钩、绳索安全可靠.

（3）模板安装应由下至上逐层进行,模板就位后应及时连接固定,合模过程中要保证模板稳定。

（4）调整找正轴线的过程中要轻动轻移，严防模板轿杠滑落伤人；合模时逐层找正，逐层支撑加固，斜撑、水平撑要与补强管（木）固定牢固。

（5）作业人员上下基坑不得登踩支撑，应用靠梯上下。

（6)现场应坚持安全文明施工，做到工完、料清场地清。其他伤害(1)钢模组模须选择平整场地进行.钢模板堆放齐整，高度不超过1m。

（2）组模施工两人一组配合协调，组模用卡扣使用前要经检查，去除有伤痕卡扣。

（3）模板采用木方加固时，绑扎后应将铁丝末端应处理，以防刮伤人.4.3.。1可产生危险与预控措施物体打击、坍塌、高处坠落（1)模板拆除应经施工技术负责人同意后方可进行。

(2)拆模作业应按后支先拆、先支后拆的原则，由上向下先拆除支撑和本层卡扣，同时将模板运送至地面，然后再拆除下层的支撑、卡扣、模板.

(3）拆除模板时,作业人员不得站在正在拆除的模板上。卸连接卡扣时要两人在同一面模板的两侧进行,卡扣打开后用撬棍沿模板的根部加垫轻轻撬动，防止模板突然倾倒。

（4）拆模间隙时应将已活动模板临时固定。拆下的模板要及时运走，不得乱堆乱放，更不允许大量堆放在坑口边。

（5）现场应坚持安全文明施工，做到工完、料清场地清。

(6）拆模后应及时封盖预留洞口,盖板必须可靠牢固，并设立警示标志。4.4混凝土工程4。4。1混凝土搅拌4。4.1.1可产生危险与预控措施(1）混凝土搅拌宜设置搅拌站，搅拌站场地应硬化。（2)搅拌机应搭设能防风、防雨、防晒、防砸的防护棚，在出料口设置安全限位挡墙，操作平台设置应便于搅拌机手操作。（3）搅拌站由搅拌机手或专人统一指挥.（4）搅拌机开转前，检查结合部分是否松动，转动是否灵活，搅拌机的保险钩、防护罩等安全防护装置是否齐全有效；离合器、制动器是否灵敏可靠;检查钢丝绳是否有断丝、破股、锈蚀等现象，不符合安全要求的必须更换。（5）机手作业要戴好风帽、防护镜和口罩，上料按石子、水泥、砂子的顺序投料.用手推车向搅拌机料斗卸料时,不得用力过猛和撒把。（6）进料时严禁将头、手伸人料斗与机架之间。（7)清理搅拌斗下的砂石，必须待送料斗提升并固定稳妥后方可进行。清扫闸门及搅拌器应在切断电源后进行。（8）作业后送料斗应收起，挂好双侧安全挂钩，切断电源，锁上电源箱.4。4。2车辆伤害、高处坠落、触电。1可产生危险与预控措施(1）混凝土机械运输时，应规定行驶路线，运输通道平顺，行驶速度小于5km／h。

（2）严禁任何人员、材料搭乘翻斗车。

(3）基坑口搭设卸料平台，平台平整牢固，同时在坑口前设置限位横木.

(4）卸料时前台下料人员协助司机卸料,基坑内不得有人；前台下料作业要坑上坑下协作进行，严禁将混凝土直接翻入基础内。

(5)投料高度超过2m应使用溜槽或串筒下料,串筒宜垂直放置,串筒之间连接牢固，串筒连接较长时，挂钩应予加固。严禁攀登串筒进行清理.

(6）浇筑混凝土过程中，木工、架子工要跟班随时检查模板、脚手架的牢固情况。

（7)振捣工、瓦工作业禁止踩踏模板支撑。振捣工作业要穿好绝缘靴、戴好绝缘手套，搬动振动器或暂停工作应将振动器电源切断,不得将振动着的振动器放在模板、脚手架或未凝固的混凝土上。5。1作业的安全危害因素辨识和控制安全危害因素辨识和控制表序号危险点和环境因素描述拟采用的风险控制技术措施实施负责人确认签证人-场地和环境因素1在施工现场照明不足安装合格照明灯具并能投入正常使用顾刚王军2运输道路不畅通、不坚实运输前先平整道路，夯实路基，局部加钢板或脚手板过渡顾刚王军3在施工现场使用电、火焊，周围存在火灾隐患5米范围内清除易燃、易爆物体顾刚王军4电焊机露天摆放露天摆放的电焊机放在干燥场所,有棚遮蔽或使用电焊机专用箱顾刚王军5施工中废弃物不集中回收，造成污染施工中废弃物集中回收，不得乱扔乱抛，对有毒有害的应采取防污染措施,并集中回收到物资部指定存放处顾刚王军6噪声控制减少夜间运输车辆行走；混凝土搅拌和振捣隔离；钢筋加工搭设防护棚。顾刚王军二作业和人员1钢筋加工、木工加工使用机械不当。按操作规程执行顾刚王军2钢筋碰焊、无齿锯切割、电焊作业无防护罩，不戴防护眼镜施工过程中佩戴必要的防护用品顾刚王军3运输车辆、混凝土罐车溜坡停车时拉起手刹，车轮下设道木止动顾刚王军4混凝土凿毛飞溅伤人、插筋刺伤剔毛戴防护眼镜，将立筋临时扳弯顾刚王军5钢筋网片倾倒伤人网片绑扎加临时支撑固定牢固顾刚王军6交叉作业各方作业前进行周密安排，统一调度，减少交叉交叉作业前，通报各方，互相配合,尽量减少交叉顾刚王军7混凝土浇筑人员踏空倾倒伤害施工面、行走道路铺设脚手板,禁止直接踏在钢筋上顾刚王军三使用工机具1电焊机无可靠接地电焊机外壳必须进行保护接零和重复接地顾刚王军2电焊机一次侧电源线老化或破损过长电焊机、一次侧电源线必须绝缘良好，长度不超过3米，超长时则架高布设顾刚王军3电源一闸多用电焊机，无齿锯应分别有单独的电源控制装置顾刚王军4电焊机二次线接头裸露发生触电电焊机二次线接头必须包好，绝缘良好,无漏电，电焊把线与电焊机连接必须使用铜鼻子连接,接触必须牢固（采用快速插头）顾刚王军5气瓶不装合格减压阀，乙炔瓶无回火器,人员伤害，火灾装减压阀、回火器，并定期检查顾刚王军6氧气、乙炔瓶摆放在放工现场氧气和乙炔瓶使用时，摆放间距大于8m顾刚王军7电源箱漏电保护器失灵，电源线破损,触电伤害定期检查漏电保护器和电源线，并及时更换顾刚王军8钢筋加工等转动机械外壳破损、螺丝松动，机械伤人。完善机械,定期检修,破损停用或更换顾刚王军9震捣器、电锯、电打夯机、无齿锯等电动工具漏电伤人使用前检查，接线加漏电保护器，操纵人员穿绝缘鞋、带绝缘手套顾刚王军10运输车辆刹车失灵、超速、超载伤人检查车辆的性能，限重、限速，驾驶人员持证上岗顾刚王军5.2环境条件序号环境因素描述控制对策实施负责人确认签证人1施工场地不平整施工场地平整坚实,道路畅通，并实现水电通。顾刚王军2夜间施工不充足夜间施工设置足够的灯具满足安全文明施工条件顾刚王军3施工现场水源电源接到施工现场顾刚王军5。3施工安全要求5。3。1所有施工人员必须认真遵守《电力建设安全工作规程（Q/GDW665-2021）》和《电力建设安全施工管理规定》，杜绝“5.5.3.35。3。4在建筑物外脚手架4—6m5。5。3。65。3。75.3.85.3。95。3.105.3。115.3.125。3.135.3。145。3。155.3.165.3。17电焊机做好防雨工作，焊工应佩带焊工手套,穿绝缘鞋。严禁使用裸露的铝线作为二次线。使用氧气和乙炔时，氧气瓶与乙炔瓶的安全距离大于10米5.3.185.3.195。3.20⑴施工用周转性材料要放在指定的地点，且要码放整齐。⑵施工用钢筋要分类码放整齐，施工作业人员不得在钢筋上踩踏行走。⑶混凝土浇筑过程中遗留下的残渣在施工浇筑完毕后要将其清扫干净。⑷施工中用电由供电队负责，电缆铺设穿过重要部位时要悬挂标示牌；施工中用电源箱要分级控制.⑸施工区域各种警示牌、标语应规定悬挂齐全、整齐。⑹认真做好施工区域的安全文明施工工作,施工过程中边角料及垃圾随干随清,真正做到“工完、料尽、场地清”。5。3。215.3。225。3.235.3。245。3。255。3。265.4消防管理5。4.15.4.2电工，焊工从事电气设备安装电、气焊作业，要有操作证和用火证。动火前要清除附近易燃物，配备看火人员和灭火用具.用火证当日有效。动火地点变换，要重新办理用火手续.

5。4.3使用电气设备和易燃、易爆物品，必须严格防火措施,指定防火负责人，配备灭火器材，确保施工安全.

5.4.4施工材料的堆放、保管，应符合防火安全要求，库房应用非燃材料搭设。易燃、易爆物品,应专库储存,分类单独堆放，保持通风，用火符合防火规定。

5.4。5施工现场严禁吸烟。必要时设有防火措施的吸烟室。

55。4。7氧气瓶，乙炔气瓶工作间距不小于8米,禁止在工程内使用液化石油气“钢瓶”、乙炔发生器作业。

5。4.8施工工程始末要坚持防火安全交底制度。

55.4.10现场防火材料堆放的防火要求有3点：

（1）木料堆放不宜过多，垛之间要保持一定的防火距离。木材加工的废料要及时清理，以防自燃。

（2）易燃、易爆物品的仓库应设在地势低处.

5（2）工棚的高度不得低于2。5米,棚内应留有通道，合理设门窗，门窗均应向外开.

（3）工棚内的灯具、电线都应采用妥善的绝缘保护，灯具与易燃物一般应保持30㎝间距，使用大灯泡时要加大距离，工棚内不准使用碘钨灯照明。6作业指导书应急处置预案.执行项目部《土建B包工程应急处置方案》.计算机网络安全与防火墙技术研究摘要：近年来,网络犯罪的递增、大量黑客网站的诞生，网络系统的安全问题越来越受到重视。网络系统的安全对于国家机关、银行、企业是至关重要的，即使是对于学校、甚至个人也是如此。因此，安全保密工作越来越成为网络建设中的关键技术，防火墙技术就是其中重要的一环。防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流，允许合法数据包通过，组织非法数据包通过，从而达到有效保护内部网络安全的目的。本文讨论了防火墙的安全功能、体系结构和实现防火墙的主要技术手段及配置等。关键字：计算机网络；防火墙；网络安全；防范措施引言反恐是现今世界的重要课题，计算机网络安全是其中一个重要方面，尤其是银行、航空等关系到国计民生的行业。研究网络安全具有重要的现实意义。影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。这些因素可以大体分类为：计算机病毒、人为的无意失误、人为的恶意攻击、网络软件的缺陷和漏洞、物理安全问题。而防火墙技术又是网络安全最基本的技术之一。人们应当了解一些防火墙技术，更好地设置防火墙，使它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。防火墙的概念网络防火墙技术是—种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内互联设备。它对两个或的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。设立防火墙的主要目的是保护—个网络不受来自另一个网络的攻击。防火墙相当于—个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行，在这种情况下，防火墙检查进人和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。防火墙是一种保护计算机网络安全的技术性措施，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙的分类按防火墙的软硬件形式来分软件防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。芯片级防火墙芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。按防火墙的处理机制来分包过滤型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。应用代理型应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。状态检测型状态检测型直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。按防火墙的结构来分单一主机防火墙单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。路由器集成式防火墙分布式防火墙按防火墙的应用部署位置来分边界防火墙边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。个人防火墙个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。混合式防火墙混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。防火墙的功能限制他人进入内部网络，过滤掉不安全服务和非法用户；防止入侵者接近防御设施；限制访问特殊站点；为监视网络安全和预警提供方便；防止资源被滥用。防火墙系统的构建创建步骤创建成功的防火墙系统一般需要6步：制订安全计划、构建安全体系、制订规则程序、落实规则集、注意更换控制、做好审计工作。应遵循的原则在构建过程中，应遵循以下两个原则：未经说明许可的就是拒绝防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都建立在逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于，过于强调安全，而减弱了可用性，限制了用户可以申请的服务的数量。未说明拒绝的均为许可的约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝的。当然，该理念的不足在于，它将可用性置于比安全性更为重要的地位，增加了保证企业网安全性的难度。防火墙的体系架构目前，成熟的体系构架有X86架构，它采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。而对于一些对网络安全有一定要求的中小企业来说，选择NP防火墙是最佳的选择。NP技术通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用。如果你受到的网络攻击太过复杂，那么使用基于ASIC的防火墙是你的最佳选择。ASIC将指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。防火墙的特点特性所有的通信都经过防火墙；防火墙只放行经过授权的网络流量；防火墙能经受的住对其本身的攻击。优点防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内；防火墙可以用于限制对某些特殊服务的访问；防火墙功能单一，不需要在安全性，可用性和功能上做取舍；防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。弱点不能防御已经授权的访问,以及存在于网络内部系统间的攻击；不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁；不能修复脆弱的管理措施和存在问题的安全策略；不能防御不经过防火墙的攻击和威胁。防火墙的入侵检测入侵检测系统的概念入侵检测系统IDS（IntrusionDetectionSystem）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。误报没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面：缺乏共享数据的机制；缺乏集中协调的机制；缺乏揣摩数据在一段时间内变化的能力；缺乏有效的跟踪分析。入侵检测系统的类型和性能比较根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。入侵检测的方法目前入侵检测方法有三种分类依据：根据物理位置进行分类；根据建模方法进行分类；根据时间分析进行分类。常用的方法有三种：静态配置分析静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。异常性检测方法异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的