( 安全管理 )
单位:_________________________
姓名:_________________________
日期:_________________________
精品文档 / Word文档 / 文字可改
服务器主机安全规范(2020年)
Safety management is an important part of production management. Safety and production are in
the implementation process
服务器主机安全规范(2020年)
启用防火墙
阿里云windowsServer2008R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查!
补丁更新
启用windows更新服务,设置为自动更新状态,以便及时打补丁。
阿里云windowsServer2008R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查!
账号口令
优化账号
操作目的
减少系统无用账号,降低风险
加固方法
“Win+R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组。
1、删除不用的账号,系统账号所属组是否正确。云服务刚开通时,应该只有一个administrator账号和处于禁用状态的guest账号;
2、确保guest账号是禁用状态
3、买阿里云时,管理员账户名称不要用administrator
备注
口令策略
操作目的
增强口令的复杂度及锁定策略等,降低被暴力破解的可能性
加固方法
“Win+R”键调出“运行”->secpol.msc(本地安全策略)->安全设置
1、账户策略->密码策略
密码必须符合复杂性要求:启用
密码长度最小值:8个字符
密码最短使用期限:0天
密码最长使用期限:90天
强制密码历史:1个记住密码
用可还原的加密来存储密码:已禁用
2、本地策略->安全选项
交互式登录:不显示最后的用户名:启用
备注
“Win+R”键调出“运行”->gpupdate/force立即生效
网络服务
优化服务(1)
操作目的
关闭不需要的服务,减小风险
加固方法
“Win+R”键调出“运行”->services.msc,以下服务改为禁用:ApplicationLayerGatewayService(为应用程序级协议插件提
供支持并启用网络/协议连接)
BackgroundIntelligentTransferService(利用空闲的网络带宽在后台传输文件。如果服务被停用,例如WindowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息)
ComputerBrowser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏览)
DHCPClient
DiagnosticPolicyService
DistributedTransactionCoordinator
DNSClient
DistributedLinkTrackingClient
RemoteRegistry(使远程用户能修改此计算机上的注册表设置)PrintSpooler(管理所有本地和网络打印队列及控制所有打印工作)
Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)
中心机房安全管理操作规程 一、机房安保规程 1.出入机房应注意关闭机房门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定门禁系统,拒绝陌生人进出机房。 2.工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态(如检查并锁上自己工作柜、锁定工作电脑、并将桌面重要资料和数据妥善保存等等)。 3.工作人员和到访人员需填写《机房出入管理登记表》,外来人员进入必须有专门的工作人员全面负责其行为安全,禁止带领与机房工作无关的人员进出机房。 4.未经主管领导批准,禁止将机房相关的钥匙、密码透露给其它人员,同时有责任对信息保密;对于遗失物品的情况要即时上报,并积极主动采取措施保证机房安全。 5.机房人员对机房安全制度上的漏洞和不完善的地方应及时提出改善建议,绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。 6.出现机房盗窃、破门、水浸等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关
的事件。 二、机房用电安全操作规程 1.机房人员应学习常规的用电安全操作和知识,掌握机房用电应急处理步骤、措施和要领,了解机房内部的供电、用电设施的操作规程。 2.机房应安排专业人员定期检查供电、用电设备,如发现用电安全隐患,应采取措施解决,不能解决的必须及时联系相关负责人解决;严禁随意对设备断电、更改设备线路。 3.外来人员需要用电,必须得到机房管理人员允许,并使用安全和不对机房设备影响的供电方式。 4.在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路安全的基础上使用。 5.在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。 6.在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。 三、机房消防安全操作规程 1.机房工作人员应熟悉机房内部消防安全操作,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
管理制度编号:LX-FS-A64088 服务器机房安全管理制度标准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写:_________________________ 审批:_________________________ 时间:________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑
服务器机房安全管理制度标准范本 使用说明:本管理制度资料适用于日常工作环境中对既定操作标准、规范进行约束,并要求相关人员共同遵守对应的办事规程与行动准则,使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整,套用时请仔细阅读。 为科学、有效地管理服务器机房,促进网络系统安全的应用、高效运行,特制定本规章制度,请遵照执行。 一、机房管理 1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置服务器机房内,不得自行配置或更换,更不能挪作它用。 2、服务器房要保持清洁、卫生,并由专人7×24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。 6、做好操作系统的补丁修正工作。 7、网管人员统一管理服务器及其相关设备,完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文件。 8、服务器及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。 二、服务器病毒防范制度
文件编号:RHD-QB-K1372 (管理制度范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 服务器机房安全管理制 度标准版本
服务器机房安全管理制度标准版本操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 为科学、有效地管理服务器机房,促进网络系统安全的应用、高效运行,特制定本规章制度,请遵照执行。 一、机房管理 1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置服务器机房内,不得自行配置或更换,更不能挪作它用。 2、服务器房要保持清洁、卫生,并由专人7×24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。 6、做好操作系统的补丁修正工作。 7、网管人员统一管理服务器及其相关设备,完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文件。 8、服务器及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。 二、服务器病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。 2、采用国家许可的正版防病毒软件并及时更新软件版本。 3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。 4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 三、机房安全保密制度 1. 机房所有人员必须严格遵守单位各项安全保密制度,高度重视信息系统的安全保密工作,积极参加各种形式的安全保密工作的学习培训活动,接受安全检查。机房信息系统涉及全单位的管理、业务等企
网络服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1)
优化服务(2) ?在"网络连接"里,把不需要的协议和服务都移除 2去掉Qos数据包计划程序 2关闭Netbios服务(关闭139端口) 网络连接->本地连接->属性->Internet协议版本4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。 说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。 2Microsoft网络的文件和打印机共享 网络连接->本地连接->属性,把除了“Internet协议版本4”以外的东西都勾掉。 2ipv6协议 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f) 重启服务器即可关闭ipv6 2microsoft网络客户端(主要是为了访问微软的网站) ?关闭445端口
服务器安全使用指引规范 撰写:杨胜灵 日期:2007/01/22 为了确保服务器安全、服务器性能以及服务器连接带宽,提高机房资源使用效率,提升客户满意度,特制定此服务器使用指引规范。 1,服务器范围 机房服务器是指公司所需要提供服务的所有客户的网络设备,不仅包括公司电信机房的服务器、交换机、带宽等,还包括部署有公司产品的客户自建机房的服务器。 2,服务器管理 服务器由专人管理,负责服务器的日常安全、数据备份、例行检查、域名解析、项目部署(研发人员指导支撑)、网络分析、带宽管理、设备扩容等,需要两名责任人,每个责任人负责制定各自负责领域的详细执行细则; 第一名责任人由客服中心王元超承担,负责服务器数据备份、日常运行情况监控、例行检查、域名解析、网络分析、带宽管理、设备扩容等; 第二名责任人由研发人员承担,负责服务器的系统配置、日常项目的发布部署等;目前暂定由王嵛田同志整理具体执行细则; 3,服务器使用 3.1,使用原则: 1)责任人统一管理服务器账号密码;除责任人授权外,其它任何人不允许拥有服务器账号 密码信息。 2)中小企业网站,逐步迁移到阿里云服务器等专业托管商;带宽分流,减少使用成本; 3)政府类项目根据情况,需要独享服务器的尽量推荐使用独享服务器;后续根据访问流量, 该收费的需要收费;避免公司买单,客户无偿、无限制使用,影响其它付费优质客户的使用。 4)研发测试类、临时演示类项目使用单独服务器,不允许放到正式服务器,避免运营商封 闭IP。责任人可以给每个技术部门负责人创建账号,并对账号进行管理和监控; 5)数据库服务器,如果条件可行,单独配置专用服务器,同其它应用服务分开;避免性能 问题。
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1) 操作目的关闭不需要的服务,减小风险 加固方法“Win+R”键调出“运行”->services.msc,以下服务改为禁用: Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网 络/协议连接) Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文 件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动 下载程序和其他信息) Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏 览) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使远程用户能修改此计算机上的注册表设置) Print Spooler(管理所有本地和网络打印队列及控制所有打印工作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个 页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络 上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网 络)
企业管理制度 服务器安全管理制度.服务器安全管理制度 1.目的 为了加强公司服务器的安全管理工作,保障信息系统安全、稳定运行,充分发挥 系统效用,特制定本管理制度。 2.适用范围 本制度规定了公司服务器维护管理和故障处理办法。适用于公司服务器安全管理 工作。 3.权责 系统管理员负责服务器的日常操作维护,进行软硬件设施的保养和定期检查。 4.定义 4.1 服务器:指的是网络环境的高性能计算机,它侦听网络上的其他计算机提交 的服务请求,并提供相应的服务。为此,服务器必须具有承担服务和保障服务的 能力。 4.2 服务器故障:软件故障、硬件故障,入侵与攻击,其他不可预料的未知故障 等。 5.管理内容与方法 5.1 人员管理要求: 5.1.1 服务器日常操作和维护由系统管理员负责,未经许可其他人不得对服务器 进行操作。 5.1.2 系统管理员负责服务器的安装调试、例行维护、日常检查等工作。 5.2 物理环境要求: 5.2.1 服务器须放置在机房或具备服务器运行相关条件的空间内。 5.2.2 系统管理员应在每季末对服务器进行一次硬件检测和除尘工作,并填写《服 务器硬件检测记录单》。 5.2.3 严禁易燃易爆和强磁物品进入机房,严禁吸烟。 5.2.4 服务器机房内必须配备一定数量的灭火器,并有专人负责管理,妥善保管, 定期检查,使其随时处于可用的良好状态。 5.2.5 做好机房的防火、防尘、防潮、防虫、降温等工作。保持机房内良好的卫 生和工作秩序。 5.3 软件环境要求: 5.3.1 无特殊情况,服务器要关闭网络文件与打印服务、Qos、终端服务、授权 服务、消息列队服务、远程存储、证书服务等其他暂时不用的服务。 5.3.2 服务器操作系统需设置安全策略,策略设定后要进行有效性检查,确保有 效执行。
Apache服务器配置安全规范以及其缺陷!正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。但是同其它应用程序一样,Apache也存在安全缺陷。毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷(1)使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。(2)缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。(3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。(4)恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题:(1)Apache服务器配置文件Apache Web服务器主要有三个配置文件,位于 /usr/local/apache/conf目录下。这三个文件是:httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限(2)Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的,欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案,档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录,建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容,进入要用合法的用户。注:采用了Apache内附的模组。也可以采用在httpd.conf中加入:options indexes followsymlinks allowoverride authconfig order allow,deny allow from all (3)Apache服务器访问控制我们就要看三个配置文件中的第三个文件了,即access.conf文件,它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.doczj.com/doc/6112065872.html, 设置允许来自某个域、IP地址或者IP段的访问。(4)Apache服务器的密码保护问题我们再使 用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如:AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件,供用户访问,并设置/home/ftp/pub目录为文件存放区域,用
随着网络技术的发展,服务器面临着越来越多的安全威胁。因此,加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢?今天,我们来谈一谈具体的防护措施,可以从以下五大方面入手: 一、安全设置 1、加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略,能够有效降低服务器的安全隐患,以确保它的安全性。安全设置主要包括:登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务,它既有域名,又有公网IP,显然存在着一些安全隐患。因此,可以给服务器分配私有的IP地址,并且运用防火墙来做NAT (网络地址转换),可将其进行隐藏。 有些攻击来源于内网,如果把内网计算机和服务器放置在相同的局域网之内,则在一定程度上会增加很多安全隐患,所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问,这样就能极大提
高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ(隔离区)端口,将不适宜对外公布的重要信息的服务器,放在内部网络,进而在提供对外服务的同时,可以最大限度地保护好内部网络。 3、网络管理员,要不断加强网络日常安全的维护与管理 要对“管理员用户名与密码”定期修改;要对服务器系统的新增用户情况进行定时核对,并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库,必要时,可针对比较特殊的病毒,安装专门的杀毒程序,同时要定期查杀服务器的系统病毒,定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况,需要及时给予妥当处理。因为很多“病毒与木马程序”,都是运用系统漏洞来进行攻击的,所以需要不断自动更新服务器系统,以及定期扫描服务器系统的漏洞。 很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取,而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作“肉鸡”,来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是,网络管理员在网站安全的防护上太被动。他们只是被动的防御,而没有进行主动防御和检测。为了彻底提高服务器的安全等级,网站安全需要主动出击。、
Web服务器安全标准 前言和文档控制 此文档是西安石油大学制定发布的有关信息安全政策规定、处理流程、行业标准和指导意见的系列文档之一。该文档应保证至少一年审核一次,以保证其有效性。 在没有得到文档发布者的明确授权下,此文档的全部或部分内容,均不得重制或发布。
目录 1目的 (3) 2范围 (3) 3责任 (3) 4Web服务器安全要求 (3) 4.1总则 (3) 4.2网络安全 (3) 4.3流量过滤 (3) 4.4合规性 (4) 4.5数据保护 (4) 4.6输入和输出管理 (4) 4.7安全代码/应用/插件 (4)
1目的 发布本文档所列标准的目的是为了保护学校网站和相关信息资产。本标准的目标是为了确保: ●按照现有最佳的实践经验,在全校统一部署安全控制措施,以消除或者最低限 度的减少系统漏洞和其他安全隐患。 ●学校能在信息安全的完善方面更方便的有据监管、理解风险和评估改进。 ●所有的院系部门和网站开发人员都能了解相应的安全需求 2范围 所列标准适用于学校所有的web网站服务器,包括:学校内部或第三方建设、采购、部署、修改和维护的。具体为: ●所有仅限内部和面向公共的web服务器 ●所有由外部供应商托管的面向公共的web服务器 ●所有通过学校或者代表学校的web服务器建设、采购、部署、修改和维护的 3责任 以下学校实体具体的信息安全责任 ●学校信息化委员会 ●信息安全部门领导 ●信息安全小组应支撑学校满足信息安全功能和防护的各项要求。 ●学院和部门领导对所在部门的信息安全负有义务和责任。 ●Web服务器用户对其处理的信息负有安全责任。 4Web服务器安全要求 4.1总则 4.1.1基于风险分析的深度信息安全防范手段应被采用,包括: 4.1.1.1安全控件在Web服务器的每一层次上都应部署,以避免过度依赖单一 安全防护手段。 4.1.1.2在所有Web服务器上应部署最基本的安全控制措施,以解决常见风险。 4.1.1.3安全控制措施应该是务实的、易于部署、有效和可以衡量的。 4.1.2在虚拟化环境中,所有能考虑到的安全因素都应当适用于主机系统、虚拟机 管理层和虚拟化管理工具。 4.1.3渗透性测试每年至少执行一次,并且在重要系统架构部署、应用升级或修改 后,都应测试。 4.1.4每季度应执行一次漏洞扫描。 4.2网络安全 4.2.1安全控制措施应涵盖每一个活跃版本的网络协议,包括IPv4和IPv6。 4.2.2Web服务器都应分配相应的静态IP地址,除了需要部署动态域名系统技术以 实现负载均衡的服务器。 4.2.3只使用唯一可信的授权DNS来源,避免受到DNS劫持和攻击。 4.2.4所有的非console口管理员级别的访问应使用高强度加密手段进行加密。 4.3流量过滤 4.3.1只有从Internet到特定的IP地址和授权的公共可用服务、协议和端口的入 站流量是允许的。 4.3.2从Web服务器的非授权出站流量是禁止的。
数据库服务器对硬件配置的五个要求 【来源:小鸟云计算】 小鸟云- 企业级云服务器、虚拟主机、服务器租用托管服务提供商 说了这么多数据库的重要性,那么如何挑选一款可靠的,稳定的数据库服务器呢?我们从五个方面入手,帮助您系统的了解数据库服务器对服务器硬件有哪些要求。 选择数据库服务器的五个原则: 1)高性能原则 保证所选购的服务器,不仅能够满足运营系统的运行和业务处理的需要,而且能够满足一定时期业务量的增长。一般可以根据经验公式计算出所需的服务器TpmC值(Tpmc是衡量计算机系统的事务处理能力的程序),然后比较各服务器厂商和TPC组织公布的TpmC值,选择相应的机型。同时,用服务器的市场价/报价除去计算出来的TpmC值得出单位TpmC值的价格,进而选择高性能价格比的服务器。 结论:服务器处理器性能很关键,CPU的主频要高,要有较大的缓存 2)可靠性原则 可靠性原则是所有选择设备和系统中首要考虑的,尤其是在大型的、有大量处理要求的、需要长期运行的系统上。考虑服务器系统的可靠性,不仅要考虑服务器单个节点的可靠性或稳定性,而且要考虑服务器与相关辅助系统之间连接的整体可靠性,如:网络系统、安全系统、远程打印系统等。在必要时,还应考虑对关键服务器采用集群技术,如:双机热备份或集群
并行访问技术,甚至采用可能的完全容错机。 结论:服务器要具备冗余技术,同时像硬盘、网卡、内存、电源此类设备要以稳定耐用为主,性能其次。 3)可扩展性原则 保证所选购的服务器具有优秀的可扩展性原则。因为服务器是所有系统处理的核心,要求具有大数据吞吐速率,包括:I/O速率和网络通讯速率,而且服务器需要能够处理一定时期的业务发展所带来的数据量,需要服务器能够在相应时间对其自身根据业务发展的需要进行相应的升级,如:CPU型号升级、内存扩大、硬盘扩大、更换网卡、增加终端数目、挂接磁盘阵列或与其他服务器组成对集中数据的并发访问的集群系统等。这都需要所选购的服务器在整体上具有一个良好的可扩充余地。一般数据库和计费应用服务器在大型计费系统的设计中就会采用集群方式来增加可靠性,其中挂接的磁盘存储系统,根据数据量和投资考虑,可以采用DAS、NAS或SAN等实现技术。 结论:服务器的IO要高,否则在CPU和内存都是高性能的情况下,会出现瓶颈。除此之外,服务器的扩展性要好,为的是满足企业在日后发展的需要。 4)安全性原则 服务器处理的大都是相关系统的核心数据,其上存放和运行着关键的交易和重要的数据。这些交易和数据对于拥有者来说是一笔重要的资产,他们的安全性就非常敏感。服务器的安全性与系统的整体安全性密不可分,如:网络系统的安全、数据加密、密码体制等。服务器需要在其自身,包括软硬件,都应该从安全的角度上设计考虑,在借助于外界的安全设施保障下,更要保证本身的高安全性。
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 服务器主机安全规范(2020年) Safety management is an important part of production management. Safety and production are in the implementation process
服务器主机安全规范(2020年) 启用防火墙 阿里云windowsServer2008R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windowsServer2008R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 操作目的 减少系统无用账号,降低风险 加固方法
“Win+R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组。 1、删除不用的账号,系统账号所属组是否正确。云服务刚开通时,应该只有一个administrator账号和处于禁用状态的guest账号; 2、确保guest账号是禁用状态 3、买阿里云时,管理员账户名称不要用administrator 备注 口令策略 操作目的 增强口令的复杂度及锁定策略等,降低被暴力破解的可能性 加固方法 “Win+R”键调出“运行”->secpol.msc(本地安全策略)->安全设置 1、账户策略->密码策略 密码必须符合复杂性要求:启用
左机服务器运维管理制度 2013-03-21 发布2013-03-21 执行
XXXXX发布 为了实现励治支付公司IT规范管理,明确各相关部门职责,规范业务管理,使信息系统正常、高效安全运行,充分发挥系统的良好作用,特制定本管理制度。 本管理制度由励治支付公司技术部提出、起草、归口并解释。 本管理制度的主要编写人员:董昱李启洋 本管理制度的审核人:张宏涛 本管理制度的批准人:王骐恺 本管理制度自发布之日起实施。 执行中的问题和意见,请及时反馈至励治支付公司技术部。
、范围 本制度明确了励治支付公司IT的使用规定及工作规范。 本制度适用于励治支付公司IT运维管理工作。励治支付公司所 有相关人员均应严格遵照执行, 与信息安全相关的业务也应严格遵守 本制度。 二、规范性引用文件 F列文件对于本规范的应用是必不可少的。凡是注日期的引用文 件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 中华人民共和国计算机信息系统安全保护条例中华人民共和国国家 安全法中华人民共和国保守国家秘密法计算机信息系统国际联网保 密管理规定中华人民共和国计算机信息网络国际联网管理暂行规定 IS027001标准/IS027002指南 公通字[2007]43号信息安全等级保护管理办法 GB/T 21028-2007信息安全技术服务器安全技术要求 GB/T 20269-2006信息安全技术信息系统安全管理要 GB/T 22239-2008信息安全技术信息系统安全等级保 护基本要求 GB/T 22240-2008信息安全技术信息系统安全等级保
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 服务器主机安全规范(新编版)
服务器主机安全规范(新编版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 启用防火墙 阿里云windowsServer2008R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windowsServer2008R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 操作目的 减少系统无用账号,降低风险 加固方法 “Win+R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组。
1、删除不用的账号,系统账号所属组是否正确。云服务刚开通时,应该只有一个administrator账号和处于禁用状态的guest账号; 2、确保guest账号是禁用状态 3、买阿里云时,管理员账户名称不要用administrator 备注 口令策略 操作目的 增强口令的复杂度及锁定策略等,降低被暴力破解的可能性 加固方法 “Win+R”键调出“运行”->secpol.msc(本地安全策略)->安全设置 1、账户策略->密码策略 密码必须符合复杂性要求:启用 密码长度最小值:8个字符 密码最短使用期限:0天 密码最长使用期限:90天 强制密码历史:1个记住密码 用可还原的加密来存储密码:已禁用
中国××公司 服务器操作系统安全配置标准-Windows 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者: 版本控制 版本提交日期相关组织和人员版本描述V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用范围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 内置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用8.3 格式文件名的自动生成 8 4.5 禁用LMHASH 创建 8 4.6 配置NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11
6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16 8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用范围 本规范的使用者包括: 服务器系统管理员、应用管理员、网络安全管理员。 本规范适用的范围包括: 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准一经颁布,即为生效。 1.3 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户ID(UID)。 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码
服务器主机安全规 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1)
优化服务(2) ?在"网络连接"里,把不需要的协议和服务都移除 2去掉Qos数据包计划程序 2关闭Netbios服务(关闭139端口) 网络连接->本地连接->属性->Internet协议版本4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。 说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。 2Microsoft网络的文件和打印机共享 网络连接->本地连接->属性,把除了“Internet协议版本4”以外的东西都勾掉。 2ipv6协议 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f) 重启服务器即可关闭ipv6 2microsoft网络客户端(主要是为了访问微软的) ?关闭445端口 445端口是netbios用来在局域网解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。 修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,则更加一个Dword项:SMBDeviceEnabled,值:0 ?关闭LLMNR(关闭5355端口)
如某项主机安全要求涉及到系统配置和服务状态的更改,则需要依次执行如下操作 1)查看和记录相关服务的初始状态 2)备份相关的系统配置 3)更改系统配置和服务状态 4)生成恢复系统配置和服务状态的命令或shell脚本。 操作之前先备份系统的如下文件: /etc/login.defs /etc/passwd /etc/shadow /etc/pam.d/system-auth /etc/ssh/sshd_config 1.1 身份鉴别 1.1.1 a) 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别 登录操作系统和数据库系统,均需要通过用户名和密码进行验证 1.1.2 b) 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点,口令是否有复杂度要求并定期更换 1. 口令复杂度 口令必须具备采用3种以上字符、长度不少于8位并定期更换; #vi /etc/pam.d/system_auth password requisite pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcredit=1 ocredit=1 意思为最少有1个大写字母,1个小写字符,1个数字, 1个符号 2. 口令有效期 # vi /etc/login.defs PASS_MAX_DAYS 60 1.1.3 c) 是否启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 设置6次登陆失败后锁定帐户,锁定时间3000秒 # vi /etc/pam.d/system-auth auth required pam_tally.so onerr=fail deny=6 unlock_time=3000 (放在system-auth文件的第一行,若对root用户起作用,加上even_deny_root root_unlock_time=3000) 解锁用户 faillog -u <用户名》 -r 1.1.4 d) 当对服务器进行远程管理时,是否采取必要措施,防止鉴别信息在网络传输过程中被窃听 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。
服务器主机安全规范标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号
口令策略
网络服务 优化服务(1)
Print Spooler(管理所有本地和网络打印队列及控制所有打印工 作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属 性,“共享”这个页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供TCP/IP (NetBT)服务上的NetBIOS 和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享 文件、打印和登录到网络) Task Scheduler(使用户能在此计算机上配置和计划自动任务) Windows Remote Management(47001端口,Windows远程管理服 务,用于配合IIS管理硬件,一般用不到) Workstation(创建和维护到远程服务的客户端网络连接。如果服 务停止,这些连接将不可用) 备注用服务需谨慎,特别是远程计算机 优化服务(2) 在"网络连接"里,把不需要的和服务都移除 2 去掉Qos数据包计划程序 2?关闭Netbios服务(关闭139端口)