卓越绩效管理模式、管理架构及实施六步法共121页_财务管理_经管营销_专业资料。...
 
1.8 9.3 73.4 气象指数 演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 学习交流PPT 9 安全观察与沟通 行动 录入软件 跟踪落实 计划 六步法: ......
 
6 62 20% 1.8 9.3 73.4 气象指数 演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 安全观察与沟通 行动 录入软件 跟踪落实 计划 10 六步法: ......
 
6 62 20% 1.8 9.3 73.4 气象指数 演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 安全观察与沟通 行动 录入软件 跟踪落实 计划 10 六步法: ......
 
6 62 20% 1.8 9.3 73.4 气象指数演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 安全观察与沟通 行动 录入软件 跟踪落实 计划 10 六步法: ?...
 
6 62 20% 1.8 9.3 73.4 气象指数演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 安全观察与沟通 行动 录入软件 跟踪落实 计划 10 六步法: ?...
 
62 20% 1.8 9.3 73.4 气象指数演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 9 安全观察与沟通 行动 计划 10 录入软件 跟踪落实 六步法: ?...
 
6 62 20% 1.8 9.3 73.4 气象指数 演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 安全观察与沟通 行动 录入软件 跟踪落实 计划 10 六步法: ......
 
() 5.安全观察与沟通以六步法为基础,包括:观察、制止、讨论、沟通、启发、 谩...
 
6 62 20% 1.8 9.3 73.4 气象指数 演 (横向) 练 0.3 修 0.2 正值 2.6 7.7 8.5 84.5 安全观察与沟通 行动 录入软件 跟踪落实 计划 10 六步法: ......
 
安全观察与沟通 公司领导 有制度、有活动记录,按安全观察与沟通的六步法和七项内容 安全市场部 5. QHSE 方针和战略目标 6. 落实 HSE 原则 公司各部门 公司领导......
 
100% 正 0 5 80% 值 2 50% 1 1.8 20% 6 9.3 7 演 0.3 练修 0.2 正 2.6 值 7.7 8.5 84.5 安全观察与沟通 录入软件 行动 计划 六步法: ?...
 
危险因素 15、 行为安全观察与沟通“六步法”是指( A )。 A. 观察——表...
 
5.2.6 实验人员在操作完有感染性的村料或动物后,离开实验室工作区之前必须进行“六 步法”洗手。 5.2.7 每日工作完毕,所有操作台面、离心机、加样枪、试管......
 
? 人员的反应 个人防护装备 人员的位置 工具和设备 程序 人体工效学 整洁 安全观察与沟通的方法 ? 六步法--- 1、观察。决定采取行动,安全地制止不安全行为。...
 
安全检查六步法: 1、 引起别人的重视; 2、 观察怎么和别人对话; 3、 开始...
 
行动 A、dcaeb B、dcbea 19.按照安全观察与沟通得“六步法”,将相应得步骤前得符号填写在括号内:( ) ( ):关注员工行为,决定采取行动,安全地制止不安全行为......
 
丰田汽车公司的安全观察 6(Safety Toyota Zero Accident Program 6 Items)。 23 安全观察与沟通的六步法: 6、感谢 1、观察 5. 启发 2. 表扬 4. 沟通 3. ......
 
A 目标 B 文件和资料控制 C 职业安全卫生管理方案 18. “安全观察与沟通”方法的六步法是() A 观察、表扬、讨论、沟通、启发、感谢 B 观察、学习、讨论、......
 
A.目标 B.文件和资料控制 C.职业安全卫生管理方案 18.“安全观察与沟通”方法的六步法是( ). A.观察、表扬、讨论、沟通、启发、感谢 B.观察、学习、讨论、......

目录
 
 网络隔离与访问控制
 
安全策略
 
网络边界安全
 
业务边界
 
VPN
 
安全策略
 
运维边界
 
安全策略
 
安全服务
 
与开发环境测试边界
 
安全策略
 
安全管理 
 
安全评估
 
网站监控
 
主机安全
 

https://support.huaweicloud.com/swp-sap/sap_03_0001.html 
 
 
 
 网络隔离与访问控制
 
SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。
 
图1 生产环境安全解决方案全景图
 
根据业务特点，参考企业安全实践，建议将云上系统(生产环境、开发测试环境)划分为不同安全级别的多个子区域(以子网为粒度进行隔离)，包括管理区、应用区、SAP DB区、DMZ区。
 
其中DMZ区较为特殊，其与Internet有交互，并且DMZ区为开发测试、生产共用区域。各区域建议采用相应的安全策略，限制区域间以及外部的访问。
 
DMZ区：直接与Internet互联，承载公网用户以及SAP支持人员对业务系统的访问，安全级别最低，安全风险最高。
应用区：部署SAP应用，供企业内部(IDC)用户接入使用，以及与AD服务器等系统互联，安全级别高于DMZ区。
SAP DB区：主要部署SAP DB，仅能被内网应用区、管理区等受限访问，安全级别最高。
管理区：部署运维堡垒机，作为系统运维人员(企业内部)，管理、运维其它区域云主机及系统的中转区域。
各区域采用相应的安全策略(使用安全组、网络ACL实现)，限制区域间以及外网的访问，策略的设置建议遵从“默认失败”、“最小化”原则：针对特定的访问源，仅开放业务必须的[IP]:[PORT]。
 
例如，对于企业内部管理员，可访问管理区堡垒机远程登录端口，而其他一般用户，或内部系统则无法访问。对于企业内部一般用户，应仅能访问内网应用区的SAP业务端口。系统内部各区域间(子网隔离)，应使用网络ACL限制默认拒绝所有流量，业务必须流量已白名单方式添加。
 
本章节将主要描述生产环境内部区域间的访问控制策略，基于上文提到的两个原则，给出网络ACL及安全组的设置建议(开发测试环境较为特殊，为了保证IDC内用户对该区资源的访问效率以及网络灵活性，相比生产环境，内部采用稍弱的访问控制策略，详见第2节)。
 
安全策略
 
如图2 生产环境子网、网络ACL分布图所示，生产环境涉及8个子网，建议分别创建相应的网络ACL实例：NACL-DMZ-SAP-Router、NACL-PRD-DMZ、NACL-PRD-APP、NACL-PRD-SAPDB-BUSI、NACL-PRD-SAPDB-INTERNAL、NACL-PRD-MGMT。
 
图2 生产环境子网、网络ACL分布图
 
网络ACL“NACL-DMZ-SAP-Router”，关联生产环境、开发测试环境公用的DEV&PRD-SAP-Router子网。通过策略限制，出方向限制可由SAP-Router访问生产环境SAP应用区、SAP-DB区指定的业务端口，入方向限制可由管理区堡垒机访问子网内服务器的管理端口(22等)。
 
说明：本节中提到的IP地址及端口号仅为示例，如有其它管理端口，可根据实际情况增加策略。本节仅涉及生产环境内部策略。
 

  表1 网络ACL“NACL-DMZ-SAP-Router”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-应用区
 
 
172.22.8.0/24
 
 
TCP
 
 
234
 
 
允许
 
 
允许SAP-Router服务器访问PRD-应用区域内服务器234业务端口。
 
 
对PRD-SAP-DB区
 
 
172.22.9.0/24
 
 
TCP
 
 
345
 
 
允许
 
 
允许SAP-Router服务器访问PRD-SAP-DB区域内服务器345业务端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的入站数据流。
 

  表2 网络ACL“NACL-DMZ-SAP-Router”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-管理区
 
 
172.22.6.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的入站数据流。
 
网络ACL“NACL-PRD-MGMT”，关联生产环境PRD-管理子网，出方向通过策略限制可由管理区堡垒机访问生产环境其它区域服务器的管理端口(22等)，并拒绝由其它区域发起的对管理区堡垒机的连接。
 

  表3 网络ACL“NACL-PRD-MGMT”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-DMZ区
 
 
172.22.7.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问PRD-DMZ区服务器SSH端口。
 
 
对PRD-应用区
 
 
172.22.8.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问PRD-应用区服务器SSH端口。
 
 
对PRD-SAP-DB区
 
 
172.22.9.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问PRD-SAP-DB区服务器SSH端口。
 
 
对DEV&PRD-SAP-Router
 
 
172.22.1.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问DEV&PRD-SAP-Router服务器SSH端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表4 网络ACL“NACL-PRD-MGMT”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
网络ACL“NACL-PRD-DMZ”，关联生产环境PRD-DMZ区子网，入方向通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等)，出方向限制可由本子网访问PRD-应用区以及PRD-SAP-DB区必要的业务端口。
 

  表5 网络ACL“NACL-PRD-DMZ”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-应用区
 
 
172.22.8.0/24
 
 
TCP
 
 
8080
 
 
允许
 
 
允许生产环境DMZ区主机访问PRD-应用区服务器8080业务端口。
 
 
对PRD-应用区
 
 
172.22.8.0/24
 
 
TCP
 
 
8443
 
 
允许
 
 
允许生产环境DMZ区主机访问PRD-应用区服务器8443业务端口。
 
 
对PRD-SAP-DB区
 
 
172.22.9.0/24
 
 
TCP
 
 
345
 
 
允许
 
 
允许生产环境DMZ区主机访问PRD-SAP-DB区服务器345业务端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表6 网络ACL“NACL-PRD-DMZ”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-管理区
 
 
172.22.6.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
网络ACL“NACL-PRD-APP”，关联生产环境PRD-应用区子网，入方向通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等)，限制可由SAP-Router、PRD-DMZ区访问本子网内服务器的业务端口；出方向限制可由本子网访问PRD-SAP-DB区必要的业务端口。
 

  表7 网络ACL“NACL-PRD-APP”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-SAP-DB区
 
 
172.22.9.0/24
 
 
TCP
 
 
345
 
 
允许
 
 
允许生产环境应用区主机访问PRD-SAP-DB区服务器345业务端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表8 网络ACL“NACL-PRD-APP”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-管理区
 
 
172.22.6.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。
 
 
对DEV&PRD-SAP-Router
 
 
172.22.1.0/24
 
 
TCP
 
 
234
 
 
允许
 
 
允许SAP-Router服务器访问本PRD-应用区域内服务器234业务端口。
 
 
对PRD-DMZ区
 
 
172.22.7.0/24
 
 
TCP
 
 
8080
 
 
允许
 
 
允许生产环境DMZ区主机访问PRD-应用区服务器8080业务端口。
 
 
对PRD-DMZ区
 
 
172.22.7.0/24
 
 
TCP
 
 
8443
 
 
允许
 
 
允许生产环境DMZ区主机访问PRD-应用区服务器8443业务端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
网络ACL“NACL-PRD-SAPDB-BUSI”，关联生产环境PRD-SAP-DB区业务子网(172.22.9.0/24)，入方向通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等)，限制可由SAP-Router、PRD-DMZ区、PRD-应用区访问本子网内服务器的业务端口。
 

  表9 网络ACL“NACL-PRD-SAPDB-BUSI”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表10 网络ACL“NACL-PRD-SAPDB-BUSI”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对PRD-管理区
 
 
172.22.6.0/24
 
 
TCP
 
 
22
 
 
允许
 
 
允许生产环境管理区堡垒机访问本区域内服务器SSH端口。
 
 
对DEV&PRD-SAP-Router
 
 
172.22.1.0/24
 
 
TCP
 
 
345
 
 
允许
 
 
允许SAP-Router服务器访问PRD-SAP-DB区服务器345业务端口。
 
 
对PRD-DMZ区
 
 
172.22.7.0/24
 
 
TCP
 
 
345
 
 
允许
 
 
允许生产环境DMZ区主机访问PRD-SAP-DB区服务器345业务端口。
 
 
对PRD-应用区
 
 
172.22.8.0/24
 
 
TCP
 
 
345
 
 
允许
 
 
允许生产环境应用区主机访问PRD-SAP-DB区服务器345业务端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
网络ACL“NACL-PRD-SAPDB-INTERNAL”，关联生产环境PRD-SAP-DB区内部通信子网(172.22.10-12.0/24)，内部通信子网仅供涉及的子网内部通信，需通过网络ACL拒绝所有入站与出站流量。
 

  表11 网络ACL“NACL-PRD-SAPDB- INTERNAL”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表12 网络ACL“NACL-PRD-SAPDB- INTERNAL”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
安全组，如SG_PRD_MGMT、SG_PRD_DB等(与公网无交互)，关联生产环境中相应子网中的云服务器，需严格按照最小化的原则控云服务器机对外开放的端口范围，可参考以下图3 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略，通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见图1 生产环境安全解决方案全景图)，可参考实施。
 
图3 安全组策略示例
 
安全组，如SG_SAP_ROUTER(与公网有交互)，关联生产环境中相应子网中的云服务器，需严格按照最小化的原则控制云服务器对外开放的端口范围以及源IP范围，如公网IP较为固定，可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。
 
图4 安全组策略示例
 
如公网IP不固定的场景，可根据业务需要(如模拟测试，技术支持)，临时放通特定公网源IP，相应事务完成后删除策略。
 
安全组，如SG_PRD_SRM、SG_PRD_Hybrids(与公网有交互)，业务端口需要对全网开放，可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。其中对22/3389等管理端口的源IP控制，将由网络ACL实现，控制只能由管理区堡垒机访问。80等业务端口将对Internet全网开放，不做源IP访问控制，建议采用合适的安全产品进行防护，详见1.2.1节。
 
图5 安全组策略示例
 
网络边界安全
 
业务边界
 
根据业务特点，由于生产环境需对公网提供服务，同时也需要与其它IDC进行互联，需建立与企业内网(IDC)互联的VPN通道，同时需要设置云上与云下以及云上与互联网之间的访问控制策略。
 
针对DMZ区、内网应用区、管理区，由于能够被外部访问，建议采取相应的边界防护措施。
 
VPN
 
由于企业内部使用，多为静态连接需求，综合考虑安全性与时延，推荐的优先级为：专线(DC)>VPN(IPSec)>SSL VPN。
 
说明：华为VPN云服务当前仅提供专线和IPSec VPN形式，暂不支持SSL VPN，如需使用SSL VPN可选用第三方镜像产品自行部署。
 
安全策略
 
由于开发环境同时需要与企业内部通信，还需提供互联网的业务访问，综合考虑通过网络ACL进行相应的访问控制策略。
 
网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网，需严格控制互联网访问的入方向策略，限制特定外网网段能够访问特定的[IP]:[PORT]。
 
说明：本节中提到的IP地址及端口号仅为示例，如公网IP不固定的场景，可根据业务需要(如技术支持)，临时放通特定源IP，相应事务完成后删除策略。如有其它业务流，可根据实际情况增加策略。
 

  表1 网络ACL“NACL-DMZ-SAP-Router” 出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的入站数据流。
 

  表2 网络ACL“NACL-DMZ-SAP-Router”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对SAP技术支持人员，SAP GU/软件服务器I等
 
 
123.123.123.0/24
 
 
TCP
 
 
3299
 
 
允许
 
 
允许互联网SAP技术支持人员(特定源IP)，SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router，进而访问后端业务。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
网络ACL “NACL-PRD-DMZ”关联生产环境相应子网，需严格控制互联网/IDC访问的入方向策略，限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]。
 

  表3 网络ACL“NACL-PRD-DMZ”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对AD/ADFS服务器
 
 
IDC-AD/ADFS网络
 
 
TCP
 
 
AD/ADF端口
 
 
允许
 
 
允许与IDC内部AD/ADFS服务器进行对接。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表4 网络ACL“NACL-PRD-DMZ”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对Internet用户
 
 
0.0.0.0/0
 
 
TCP
 
 
80
 
 
允许
 
 
允许互联网用户、IDC内部用户，访问生产环境中的WEB服务。
 
 
对Internet用户
 
 
0.0.0.0/0
 
 
TCP
 
 
443
 
 
允许
 
 
允许互联网用户、IDC内部用户，访问生产环境中的WEB服务。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
网络ACL “NACL-PRD-APP”关联生产环境相应子网，需严格控制IDC访问的入方向策略，限制特定IDC网络仅能访问开发测试环境特定的[IP]:[PORT]，出方向策略同上。
 

  表5 网络ACL“NACL-PRD-APP”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对AD/ADFS服务器
 
 
IDC-AD/ADFS网络
 
 
TCP
 
 
AD/ADF端口
 
 
允许
 
 
允许与IDC内部AD/ADFS服务器进行对接。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表6 网络ACL“NACL-PRD-APP”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对IDC内部用户、顾问。
 
 
客户数据中心某子网-b
 
 
TCP
 
 
8080
 
 
允许
 
 
允许客户数据中心某子网-b中的内部用户、顾问，访问生产环境中的应用区8080业务端口。
 
 
对IDC内部用户、顾问。
 
 
客户数据中心某子网-b
 
 
TCP
 
 
8443
 
 
允许
 
 
允许客户数据中心某子网-b中的内部用户、顾问，访问生产环境中的应用区8443业务端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
对于网络ACL “NACL-PRD-SAPDB-BUSI/INTERNEL”，由于无与外部网络交互需求，只需根据1.1节设置内部访问控制策略即可。
 
安全组策略请见2.1节中相关内容。
 
安全服务
 
Anti-DDoS
根据业务特点，由于生产环境有公网访问需求，需要针对SAP Router、SRM、Hybrids服务器部署Anti-DDoS防护，推荐使用华为云Anti-DDoS流量清洗服务，对相应的EIP进行DDoS防护。
 
Web应用防火墙-WAF
根据业务特点，由于生产环境需向互联网提供Web应用服务，需要部署Web应用防火墙，应对诸如OWASP TOP10 Web攻击，推荐华为云Web应用防火墙服务，创建WAF实例防护相应EIP/ELB。
 
虚拟下一代防火墙-vNGFW
根据业务特点，SAP Router会提供给第三方使用并接入内部系统，开发测试环境SRM/Hybrids会对外方开放用于模拟测试。以上入口均面临网络攻击入侵风险，建议部署虚拟下一代防火墙对后端进行防护。
 
运维边界
 
由于管理区无公网访问需求，参考企业安全实践，仅需设置与IDC间的访问控制策略。
 
安全策略
 
如图2 生产环境子网、网络ACL分布图所示，网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网，对于由IDC发起的对生产环境的入方向策略(管理员)，可限制能够访问管理区主机的22/3389等管理端口。
 
说明：本节中提到的IP地址及端口号仅为示例，如有其它管理端口，可根据实际情况增加策略。
 

  表1 网络ACL“NACL-PRD-MGMT”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对管理员
 
 
客户数据中心某子网-a
 
 
TCP
 
 
22
 
 
允许
 
 
允许客户数据中心某子网-a中的管理员访问生产环境管理区的VM。
 
 
对管理员
 
 
客户数据中心某子网-a
 
 
TCP
 
 
3389
 
 
允许
 
 
允许客户数据中心某子网-a中的管理员访问生产环境管理区的VM。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 

  表2 网络ACL“NACL-PRD-MGMT”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
1
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
允许
 
 
对于由管理区发起的出方向流量不做限制。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的数据流。
 
安全服务
 
参考企业安全实践，通过堡垒机实现运维/运营人员不接触系统账户密码(各系统部件账号托管在堡垒机系统)，对运维人员通过堡垒机进行的操作范围进行权限控制，限制高危操作权限，并对运维人员操作全流程审计记录，做到事件可监控、可追踪、可回溯。堡垒机以云服务器模式部署于管理区子网中。
 
与开发环境测试边界
 
由于测试环境仍属于安全级别较低的区域，安全风险较高，如需与生产环境互联，此边界需要特别关注，采用较严格的访问控制策略：由开发测试环境发起对生产环境的访问，需严格控制(默认失败)，仅能访问生产环境中必要的[IP]:[PORT] (最小化)；由生产环境发起的对开发测试环境的访问，可以采用稍弱的访问控制策略。
 
安全策略
 
网络ACL“NACL-PRD-DMZ/APP/SAPDB-BUSI”关联生产环境相应子网，需严格按照最小化的原则控制访问开发测试环境的入方向策略，限制其仅能访问生产环境中特定的[IP]:[PORT]；对于由生产环境发起的对开发测试环境的出方向策略，这里可以根据实际情况设置稍弱的访问控制策略。
 
说明：强的、安全性高的、复杂的访问控制策略，会一定程度增加部署配置及运维成本，可以根据企业自身情况适当减少策略。
 
与开发测试环境边界的策略主要包括对DEV-DMZ区、对DEV-应用区、对DEV-DB区的策略，详细请参考表1、表2、表3、表4、表5和表6。
 
说明：本节中提到的IP地址及端口号仅为示例，如有其它业务流，可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。
 
 

  表1 网络ACL“NACL-PRD-APP”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对DEV-应用区
 
 
172.22.4.0/24
 
 
TCP
 
 
2433
 
 
允许
 
 
允许测试环境DEV-应用区中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的入站数据流。
 
 

  表2 网络ACL“NACL-PRD-APP”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对DEV-应用区
 
 
172.22.8.0/24
 
 
TCP
 
 
ANY
 
 
允许
 
 
允许生产环境PRD-应用区中的 VM访问DEV-应用区域中服务器任意TCP端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。
 
 

  表3 网络ACL“NACL-PRD-DMZ”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对DEV-DMZ区
 
 
172.22.3.0/24
 
 
TCP
 
 
1433
 
 
允许
 
 
允许测试环境DMZ区中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的入站数据流。
 
 

  表4 网络ACL“NACL-PRD-DMZ”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对DEV-DMZ区
 
 
172.22.4.0/24
 
 
TCP
 
 
ANY
 
 
允许
 
 
允许生产环境PRD-DMZ区中的 VM访问DEV-DMZ区域中服务器任意TCP端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。
 
 

  表5 网络ACL“NACL-PRD-SAPDB-BUSI”入方向
 
 
规则 #
 
 
源 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对DEV-SAP DB区
 
 
172.22.5.0/24
 
 
TCP
 
 
3433
 
 
允许
 
 
允许测试环境DEV-SAP DB区中的 VM访问生产环境PRD-SAP-DB区中服务器3433端口进行软件/代码推送更新。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则处理的入站数据流。
 
 

  表6 网络ACL“NACL-PRD-SAPDB-BUSI”出方向
 
 
规则 #
 
 
目的 IP
 
 
协议
 
 
目的端口
 
 
允许/拒绝
 
 
说明
 
 
对DEV-SAP DB区
 
 
172.22.5.0/24
 
 
TCP
 
 
ANY
 
 
允许
 
 
允许生产环境PRD-SAP DB区中的 VM访问DEV- SAP DB区域中服务器任意TCP端口。
 
 
*
 
 
0.0.0.0/0
 
 
ANY
 
 
ANY
 
 
拒绝
 
 
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。
 
安全管理 
 
安全评估
 
对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。
 
服务测试范围包括： 
  
网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。
主机类：远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。
华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。
提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。
网站监控
 
非法篡改监控(监测网页篡改行为，特别是一些越权篡改、暗链篡改等)。
坏链检测（如链接目的页面已经删除或转移，网站搬家导致链接无效，设置静态链接导致原内文章链接地址无法访问等）。
脆弱性检测（SQL注入、XSS跨站、文件包含、敏感信息泄露、任意文件下载等）。
可用性检测（通过全国多地监测和DNS解析监测监控网站的可用性）。
对外服务开放监测（定期对网站开放服务进行扫描，检测是否开放多余服务）。
敏感内容审计（定期对网站内容进行检测，对出现敏感内容页面进行告警）。
协同预警（协同技术小组根据最新漏洞与威胁跟踪结果提供预警）
主机安全
 
与公网有交互的云服务器建议参考华为云主机防暴力破解解决方案进行相应的加固。主要涉及系统加固，以及主机安全产品(HIDS/AV等)的应用。
为了增加业务关键云主机的可靠性，建议(云服务器创建阶段)将同类的关键节点关联到一个云服务器组，将云主机尽量分散到不同的物理主机上(反亲和策略)，提高业务可靠性。比如ELB的后端主机、SAP DB云主机等，可以设置相应的云服务器组。

 
信息中心安全生产责任制 (刘
 
通风部(信息中心)主任安全生产责任制
 
1、认真贯彻执行党和国家的安全生产方针、政策、法律、法规以及上级有关安全生产的指标、指令、决议，全面落实上级下达的安全工作目标。
 
2、负责通风部(信息中心)主要工作，是信息中心安全第一责任者，加强监测监控质量标准化工作，确保监测监控系统安全可靠运行。
 
3、积极落实执行安全隐患排查管理制度，发现安全生产隐患落实整改责任，按照五定要求及时处理，确保安全生产。
 
执行《煤矿安全规程》和国家行业标准相关的规定，对矿井安全监控系统、矿井产量监控系统、人员定位系统、视频监控系统、通信联络系统、束管监控系统和安全执法管理系统等系统(以下简称信息化系统)的管理和维护负全面责任。
 
5、制定和审核信息化系统业务范围内的规程、措施，把好信息化系统安全技术关口。
 
6、加强信息化系统管理，做到故障判断准确、排查迅速及时。
 
7、建立完整的信息化系统安全档案资料台账，及时提供安全生产动态分析资料
 
8、加强现场安全管理，狠抓质量、设备、组织等现场管理工作。
 
9、认真落实各项规章制度，及时排查整改安全隐患。
 
10、严格监督检查，加大对信息中心的管理力度。
 
11、严格落实责任追究，确保责任明晰，及时完善防范措施，积极教育职工了解事故，吸取事故教训。
 
12、参加集体劳动，及时解决生产中存在的问题，每月下井和跟班劳动次数不低于矿规定的次数。
 
13、参与我矿的安全质量大检查，加强与相关单位的联系，及时组织各种专项检查。
 
14、参与我矿事故处理方案的制定和抢救工作，对业务范围内的各种事故组织、参与、分析事故追查工作，并坚持“四不放过”原则。
 
15、及时传达贯彻上级调度的通知通报和矿领导有关安全生产的指示，并督促落实。做到上情下达，下情上报，及时准确并有记录。
 
通风部(信息中心)主管安全生产责任制
 
1、以信息化系统量化细化考核为准则，加强业务技术培训，努力提升班组整体素质。
 
2、积极开展好本井监测监控相关工作，严格遵守“数据准确、断电可靠、汇报及时、处置及时”原则确保系统稳定可靠，对分管范围内的工作负责，熟练掌握矿安全专业知识。
 
3、坚决执行“一工程一措施”，认真贯彻落实安全措施。
 
4、加强职工安全知识和业务知识培训，不断增强职工安全意识，提高职工业务技能水平。
 
5、深入现场监督检查各种传感器的可靠性、灵敏性，保证井下设备完好，及时解决工作中的技术问题。
 
6、深入井下抓好现场安全管理，严格执行“三大规程”，坚持做到“四不生产”，杜绝“三违”。
 
7、对信息化系统设备的维修、调校进行检查，提高其使用率。
 
8、坚持值班制度，发现隐患及时组织处理汇报。
 
9、加强督促检查，狠抓班组劳动纪律，抓好工程质量，搞好材料回收和文明生产工作。
 
10、及时更新信息化系统设备布置图，做到图纸与实际相符合。
 
11、参与事故追查分析，指定防范措施，防止同类事故重复发生。
 
12、协助主任做好图表牌板、调度和统计业务的管理工作。
 
13、协助主任经常检查监控系统工作，按时参加会议，搞好信息中心人员业务学习和培训工作，不断地提高信息中心工作人员业务水平，创建标准化信息中心。
 
14、发生重大事故时，积极参加抢险救灾。防止事故扩大。
 
15、按时完成领导交办的各项任务，自觉遵守有关规定。
 
通风部(信息中心)维修工安全生产责任制
 
1.安全监测监控维修工是矿井信息化系统的责任者，按照“三大规程”要求，负责管辖范围内的矿井信息化系统的安装、测试、维修、校正、监测工作。
 
2.熟悉矿井通风系统、避灾路线，并依法经过培训，取得安全技术工种操作资格证后，持证上岗。?
 
3.信息化系统维修工在作业过程中，应当严格遵守本单位的安全生产规章制度和操作规程，服从管理，正确配戴和使用劳动防护用品。?
 
4.自觉接受安全教育培训，不断学习安全知识，提高作业规程等要求的应知应会能力，在工作中切实消除危险，保证职工自身不受伤害。?
 
5. 信息化系统维修工负责矿井信息化系统设备的安装、测试、维修、校正、监测等工作，对本岗位的安全工作负责。?
 
6.遵守各项规章制度，不断学习业务知识，提高业务水平，按领导要求做好本职工作。?
 
7.按规程要求检查信息化系统的应用情况，及时提出信息化系统设备安装调整方案，对本班工作范围内本岗位的安全工作负责。?
 
8.巡回检查矿井信息化系统使用情况，出现故障，要立即查明原因，并及时处理，向调度中心值班领导以及业务主管部门汇报。
 
9.认真填写信息化系统巡查记录表、信息化系统设备故障登记表及信息化系统的报表、台帐和数据。?
 
10、加强安全知识的学习和业务技术学习，不断提高安全意识和工作能力，对监控设备安全畅通负责。
 
11、设备、线路的安装必须符合完好标准，电缆吊挂整齐，杜绝电缆“鸡爪子”、“羊尾巴”、

选择题（搜题答案解析在优题宝）
 
1、我国安全生产的方针是什么(B)
 
A.安全生产、预防为主、综合治理
 
B.安全第一、 预防为主、 综合治理
 
C.安全生产、注意防范、综合治理
 
D.安全第一-、预防为主、综合整治
 
2、安全生产义务有哪些(D)
 
A.拒绝违章指挥和强令冒险作业
 
B.紧急情况下停止作业与撤离
 
C.对安全管理的批评、检举、控告
 
D.遵章守纪,服从管理
 
3、下列哪项不属于安全生产六大纪律(B)
 
A.进入现场,必须戴好安全帽,扣好帽扣,正确使用劳动防护用品。
 
B.三米以上的高处悬空作业,无按全设施的必须戴好安全带,扣好保险钩
 
C.高处作业时,不准往下面乱抛材料和工具等物件
 
D.吊装区域非操作人员严禁入内,把杆下方不准站人
 
4、以下哪项不属于正确使用安全帽的做法(A)
 
A.安全帽顶部与头顶留有空间，空间要大于12毫米
 
B._上班时戴好安全帽、系紧帽带
 
C.定期检查安全帽是否有裂缝
 
D.有凹陷或严重磨损时,要立即更换
 
5、安全生产包括哪两个方面的安全(A)
 
A.人身安全、设备安全
 
B.人身安全、财赔安全
 
C.财产安全、设备安全
 
6、下列不属于安全生产"三违”范畴的是(D)
 
A.违章作业
 
B.违章指挥.
 
C.违反劳动纪律
 
D.违反道德标准
 
7、安全生产事故处理”四不放过”原则，下列说法不正确的是(B)
 
A.事故原因没有查清不放过
 
B.事故责任者没有得到制裁不放过
 
C广大职工没有受到教育不放过
 
D.防护措施没有得到落实不放过
 
8、以下不属于安全生产十不准的一项是: (D)
 
A.防火禁区不准吸烟
 
B.高空作业不挂安全网、不系安全带,不准施工
 
C.穿高跟鞋、拖鞋、赤脚不准作业
 
D.吊车无人指挥、只要看清起落点也是可以吊装的
 
9、以下说法正确的是: (A) .
 
A.-级高处作业: 2-5M;二级高处作业5- 15M;三级高处作业, 15- 30M;四级高处作业, 30MI以上
 
B.在高处作业遇有雷击或乌云密布将有大雷雨时,脚手架上的作业人员穿上雨披继续工作
 
C.冬季在寒冷地区从事高处作业时,要穿防滑鞋
 
D.登高时禁止使用没有防滑的梯子,梯档缺损的梯子可以继续使用.
 
10、以下对高空坠落急救说法错误的是: (A)
 
A.去除伤员身上的用具和口袋中的财物
 
B.在搬运和转送过程中,颈部和躯干不能前屈或扭转,而应使脊柱伸直,绝对禁止一一个抬肩一 一个抬
 
腿的搬法,以免发生或加重截瘫
 
C.领面部伤员首先应保持呼吸道畅通,松解伤员的颈、胸部钮扣
 
D.周围血管伤,压迫伤部以上动脉干至骨骼。直接在伤口上放置厚敷料,绷带加压包扎以不出血
 
和不影响肢体血循环为宜,常有效
 
11.人身安全指的是(A)
 
A、劳动者本人及相关人员
 
B、只要穿戴好劳保用品
 
C、只要我安全就可以
 
D、不违反规定就是安全
 
12.设备安全指的是(A )
 
A、为搞好安全生产而开展的一系列活动
 
B、只要我当班管用就行
 
C、设备不缺油就安全
 
D、只要不误操作设备就安全
 
13.安全生产的方针是(A)
 
A、安全第一、 预防为主、综合治理
 
B、安全第一、防治为主、全面管理
 
C、安全第- -、全面治理、防预结合