目录
1账户管理 (2)
1.1 用户管理 (2)
1.2 弱口令修改 (2)
1.3 密码策略 (2)
1.4 帐户锁定策略 (2)
2本地策略 (3)
2.1 审核策略: (3)
3服务 (4)
3.1 关闭不必须的服务 (4)
4网络协议 (6)
4.1 删除TCP/IP外的其他网络协议: (6)
4.2 解除NetBios与TCP/IP协议的绑定: (6)
4.3 使用TCP/IP筛选限制端口: (6)
5注册表设置 (7)
5.1 关闭默认共享 (7)
5.2 减少DDOS攻击的影响 (7)
5.3 处理HTTP/FTP半连接请求 (7)
5.4 禁用CD-ROM的自动运行 (7)
5.5 删除OS2、POSIX子系统 (8)
5.6 防止ICMP重定向报文的攻击 (8)
5.7 禁止响应ICMP路由通告报文 (8)
5.8 保护内核对象标志 (8)
5.9 禁止建立空连接 (8)
5.10 禁用路由功能 (8)
5.11 检查RUN (9)
6文件系统与权限 (10)
6.1 使用NTFS文件系统 (10)
6.2 保护重要的EXE程序 (10)
6.3 删除无用的系统文件和目录 (10)
6.4 保护重要系统文件和目录 (11)
6.5 加密重要、敏感文件 (11)
6.6 系统、文件的备份: (11)
7常规安全 (12)
7.1 更新Windows安全补丁: (12)
7.2 使用防病毒软件: (12)
7.3 使用木马扫描软件: (12)
7.4 使用个人防火墙: (12)
7.5 其他常规安全设置: (13)
1账户管理
1.1用户管理
1.2弱口令修改
使用口令猜测工具扫描计算机的弱口令帐户,并根据扫描结果,提交用户修改1.3密码策略
1.4帐户锁定策略
2本地策略2.1审核策略:
3服务
3.1关闭不必须的服务
4网络协议
4.1删除TCP/IP外的其他网络协议:
删除TCP/IP外的NETBEUI,IPX/SPX等其他协议,删除文件和打印共享
方法:本地连接-》属性
4.2解除NetBios与TCP/IP协议的绑定:
减少NetBios漏洞的攻击企图和系统信息泄漏
方法:
本地连接-》属性-》TCP/IP-》属性-》高级-》WINS-》禁用TCP/IP上的NetBios
4.3使用TCP/IP筛选限制端口:
UDP协议和ICMP协议一样是基于无连结的,一样容易伪造,所以如果不是必要(例如要从UDP提供DNS服务之类)应该选择全部不允许,避免受到洪水(Flood)或碎片(Fragment)攻击
最右边的一个编辑框是定义IP协议过滤的,我们选择只允许TCP协议通过,添加一个6(6是TCP在IP协议中的代码,IPPROTO_TCP=6)
方法:
本地连接-》属性-》TCP/IP-》属性-》高级-》选项-》TCP/IP筛选
5注册表设置
5.1关闭默认共享
注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
5.2减少DDOS攻击的影响
注册表项:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
5.3处理HTTP/FTP半连接请求
注册表项:HKLM\System\CurrentControlSet\Services\AFD\Parameters
5.4禁用CD-ROM的自动运行
防止恶意程序的自动加载运行,防止病毒等的扩散。
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
5.5删除OS2、POSIX子系统
注册表项:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
5.6防止ICMP重定向报文的攻击
注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
5.7禁止响应ICMP路由通告报文
注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
5.8保护内核对象标志
注册表项:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
5.9禁止建立空连接
注册表项:Local_Machine\System\CurrentControlSet\Control\LSA
5.10禁用路由功能
注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
5.11检查RUN
注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run
6文件系统与权限
6.1使用NTFS文件系统
NTFS相对FAT32拥有更优秀的安全、效率和功能。在可能的情况下,所有分区都应该使用NTFS格式
6.2保护重要的EXE程序
6.3删除无用的系统文件和目录
6.4保护重要系统文件和目录
在更高的安全需求的情况下,将需要对其他重要的系统文件和目录进行更为细致的访问权限控制,防止普通用户越权行为的发生。
详尽的重要系统文件和目录的信息,在需要实施的情况下,将在附件中提供
6.5加密重要、敏感文件
对计算机上的重要文件、敏感数据进行加密存储,使用Windows的加密文件系统(EFS)或者第三方的加密软件进行保护。
6.6系统、文件的备份:
对操作系统、重要文件,视具体需求,通过服务器集中备份、磁带、移动介质备份等方式进行异地备份
7常规安全
7.1更新Windows安全补丁:
及时升级Windows的安全补丁,是保证操作系统系统安全的重要基础。建立健全的补丁管理体系,高效管理补丁的获取、测试、升级和检查。保证各个Windows系统的健壮性。
在可能的情况下,在局域网内部署Microsoft SUS服务器,进行整个办公网主机的补丁升级管理,通过配置将客户端的升级路径指向SUS服务器,加快Windows补丁升级流程。
同时在SUS服务器上部署MBSA。在使用SUS 进行修补程序管理,必须使用MBSA 进行审核和扫描。MBSA 将报告操作系统上缺少的安全更新和Service Pack,并识别其漏洞。
进行全面的补丁升级检查,获取各个主机的补丁升级情况。
在安全加固中,对检查出的未完成所有Windows安全补丁升级的计算机进行补丁升级工作,并在实施完成后进行扫描确认。
7.2使用防病毒软件:
安装防病毒软件,建立优良的病毒检测、响应、和病毒库升级机制。减少各种病毒、蠕虫和木马所带来的危害。
进行完整的病毒扫描,以确认进行安全加固前,主机上不存在病毒。
检查计算机中防病毒软件的安装、升级、使用情况。主机的评估病毒防护策略的完善性。
7.3使用木马扫描软件:
通过安装木马扫描软件,辅助防病毒软件,检查扫描进程加载、端口开放情况等,检测当前系统中存在的木马。
进行完整的木马扫描,以确保在进行安全加固前主机上不存在可疑的木马程序。
7.4使用个人防火墙:
个人防火墙系统,能检查过滤进出的网络流量,阻挡攻击者的扫描探测和未授权的访问企图。
检查主机上个人防火墙的安装、使用情况,未安装的进行安装,并对访问策略进行安全增强。
7.5其他常规安全设置:
把共享文件的权限从”everyone”组改成“授权用户”
在BIOS中设定启动密码
把应用程序安装在非系统分区上
设置屏幕保护密码
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)
文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
安全检查需备三种常用 工具 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
安全检查需备三种常用“工具”无庸置疑,安全检查是安全管理工作中的重要组成部分,也是保证长周期安全生产的有效手段。因此,要能有效地提高安全检查质量,就需要配备“望远镜、显微镜、放大镜”这3种常用“工具”。 安全检查前需备上常用的“望远镜”。安全检查首先应突出其预见性、时效性和针对性。因此,检查人员应当具有看得远的“眼力”。能够紧密结合时节的变化和特点,坚持“旱季防洪”思想,有的放矢地开展安全突击检查。做到超前检查重点、要害、关键部门和单位的各方面准备情况,是否做到未雨绸缪,在每个环节上是否存在隐患和缺陷。与此同时,安全检查人员还可以依据外界发生的各种情况,从偶然的事故教训中找出必然的因果关系,举一反三,及时进行专项内容的检查,查制度建设、查基础工作、查措施落实、查实际效果,做到警钟先鸣。并对查出的各类隐患责令整改并跟踪督察,直至按期整改到位。在安全检查中还应善于交流,即将第一时间所看到和掌握的各类安全信息进行归类总结,这样每到一处检查时可以及时提出指导意见。 安全检查时需备上常用的“显微镜”。“千里大堤,溃于蚁穴”。安全检查应由表及里随时随地进行,打破时差上的限制,能够从中去发现安全管理工作中是否存在“空档”。安全检查不能浮在层面上检查,特别应从深层次的细节入手,尤其要针对中晚班和有离散性、流动性、危险
性的工种、人员、设备和区域,广泛地在多个不同作业点、线、面之间进行“针孔式”检查,坚持有深度的突击性、经常性和反复性。并深入班组了解巡查、抽查、自查的效果,参与班组的安全学习,从中洞察到安全管理工作是否扎实有效,是否有利于不断提高职工的安全思想意识、安全操作技能和班组整体安全素质。在生产现场检查时,能够从繁忙的生产场面里发现是否隐藏有习惯性违章,劳保用品穿戴不齐等现象。能够从开关插座里的保险丝“变”成了铜丝、铁丝以及消防器材该“退休”却依然坚持“在岗”等细节,进一步发现安全管理工作的漏洞。检查中还应采用现场提问、询问等方式充分了解安全管理工作是否延伸到8小时以外,是否杜绝管理“盲区”以及安全管理网络、安全规章制度是否健全和正常运作。 安全检查还需备上常用的“放在镜”。安全无小事。由于安全工作具有长期性、复杂性、多变性等特点,因此,安全检查时发现不了问题就是最大的隐患。安全检查人员应深入生产一线进行“放大镜”式的检查。善于发现人、机、环、法、物,这些生产要素中的每一个环节存在的隐患。能够及时从最不引人注目、最容易忽视、最薄弱细小的环节上入手,在检查中深入死角,不放过任何可疑迹象。从别人视而不见的现象中发现问题,从中看到隐藏的巨大危害,对于可疑的问题坚持聚焦进行放大倍数检查,做到“一个都不能少”,不查清楚不罢休。通过细致认真的检查,还应发现职工思想上的安全这根弦是否时时绷紧。这“放大镜”式检查也要求安全检查人员在进行检查时,对于所发现的安全生产
主机及存储设备性能监控方案 一背景和目标 目前,为各省配备的小型机和存储设备都已进入稳定运行阶段,总局信息中心决定在各省开展小型机和存储设备的性能监控工作,对小型机和存储设备的主要性能数据进行定期采集,了解和掌握当前设备的性能和压力状况,为基础设施的运行维护、资源优化和建设规划工作积累经验和提供依据。 二监控范围 主机及存储设备性能监控的范围主要包括总局统一为各省配备的HP小型机(superdome)、IBM小型机(P595,P570)和EMC磁盘阵列设备。 三监控时间 主机及存储设备性能监控工作将对连续3个月内的关键时间点对HP 小型机、IBM小型机和EMC磁盘阵列设备的关键性能指标进行数据采集,建议在系统忙时和闲时分别进行检测。一般建议每月至少监控4天,其中征期至少两天,非征期至少两天;每天监控至少4次,其中忙时至少两次,闲时至少两次。具体监控时间和详细的监控次数,各省可根据本省的业务特点进行确定和调整。
四监控方式 主机及存储设备性能监控通过运行小型机及存储设备自带的命令对关键性能指标进行查看,并进行数据采集。技术方案第五部分详细介绍了HP小型机、IBM小型机和EMC磁盘阵列性能监控命令的操作指南。数据采集工作可直接按照操作指南运行命令进行,也可以通过运行命令脚本(详见附件三)进行。 五操作指南 5.1 IBM小型机性能监控方案 5.1.1系统性能检查方式及说明: (一)IBM小型机性能监控均通过IBM AIX系统自带命令,非第三方软件。IBM AIX系统安装后,无需额外安装任何软件包即可使用。(二)IBM小型机性能监控的命令,均不额外增加系统负荷。即是说当系统繁忙度较高时,仍可执行下列命令,且不对系统造成影响。(三)采样数据的保存。通过执行IBM小型机性能监控命令,输出结果的保存办法,一般常用以下几种: 1、使用专业的telnet工具登录到主机上。专业telnet工具均会含有“捕获输出文字”的功能,只要打开捕获输出文字功能,所有的输出均会记录到文件中。(推荐,不影响系统) 2、使用AIX系统的输出重定向功能。 命令格式:# 命令> 文件名
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
食品经营设备及工具清 单 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
食品经营设备及工具清单 □货架()个; □冷藏柜()个; □清洁容器()个; □冰柜()个; □勺子()个; □其他设备、工具 备注:根据《中华人民共和国食品安全法》的规定,本人(单位)食品经营的设施设备及空间布局等符合食品安全卫生的条件和要求,做到食品的容器、工具及个人生活用品严格分开。 食品安全负责人签字: 年月日 食品经营设施空间布局和操作流程 食品经营设施空间布局图: 食品经营操作流程 1.申领《食品流通许可证》和《营业执照》,取得食品经营资格。 2.按照《索证索票制度》和《协议准入制度》的要求对食品供应商进行资格审验,验明 所进食品的“三证”、合格检验报告书等证明文件。 3.按照《进货检查验收制度》的要求对食品质量进行检查,并按照《进货台帐制度》对 购进食品的名称、规格、数量、生产批号、保质期、供货者名称及联系方式、进货日期等内容进行登记,建立台帐。
4.按照《销货台帐制度》和《质量自检制度》的要求,对销售食品进行登记检查,定期 检查库存食品,及时清理变质或超过保质期的食品,严格执行《不合格产品退市制度》。 5.按照《食品安全信息公开制度》的要求公示经销食品的安全信息,确保经销食品安全 信息准确、有效,发现食品安全不稳定因素的,及时向有关部门报告,并停止销售。 食品安全负责人或委托代理人签字(盖章): 年月日 食品安全制度 为保障人民群众身体健康和生命安全,加强对食品经营、食品质量监督管理,保护消费者的合法权益,依据《中华人民共和国食品安全法》、《中华人民共和国食品安全法实施条例》、《流通环节食品安全监督管理办法》等国家有关法律、法规、规章的规定,我单位就食品卫生管理工作,制定如下制度: 食品安全管理人员制度 一、制定本单位食品卫生管理制度和岗位卫生责任制管理措施。 二、制定本单位食品经营场所卫生设施改善的规划。 三、按有关发放食品流通许可证管理办法,办理领取或换发食品流通许可证,无食品流通许可证不得从事食品经营。做到亮证、亮照经营。 四、组织本单位食品从业人员进行食品安全有关法规和知识的培训,培训合格者才允许从事食品流通经营。 五、建立并执行从业人员健康管理制度。 六、执行食品安全标准。 七、协助食品安全监督管理机构实施食品安全监督、监测。 食品安全检查制度
怎样看电脑各硬件的参数,从而评价一台电脑性能的好坏呢? 怎样看CPU参数 1.看CPU首先要看的是用什么内核,就是核心的类型,以英特尔来说现在市场上还有的 就有Allendale\Presler\rescott\Yorkfield四种核心 Yorkfield现在高端便用的核心,四核CPU的多数用这种核心,最好的核Allendale现在主流便用的核心,双核CPU的多数用这种核心,第二好 以上两种核心都叫酷睿架构的核心Wolfdale Presler从前主流使用的核心,单核CPU多数用这种,如奔腾4 rescott从前低端使用的核心,单核CPU多数用这种,如赛扬D CPU最重要的是核心,所以看参数先看核心 2.之后就是看主频,主频不用说了,在相同的核心的前提下,主频越高,CPU 越好,如果核心不相同的话,光看主频没有 可比性的,主频就是你这个CPU是多少G的CPU,比如以前奔腾4 3G,就是3G的主频了,Intel Pentium E2180只有2.4G的 主频,但Intel Pentium E2180比奔4 3G要好很多,原因就是核心先进 3.看完主频看L2(二级)缓存,L2缓存越高,CPU就越好,但是必须是在相同核心和相同主频的前提下来看才有可比性, 否则没有可比性 4.还有一点就是看步进方式,步进这一点我只能说越先进的步进方式对CPU就越好,现在时下较先进的步进方式是CO步进 5.CPU的参数还有接口类型,不同的接口数型适合不同的主板 6.外频和倍频,外频和倍频相乘就是主频,所以主频是由外频和倍频来决定的 7.核心电压,这个电压是标准的CPU核心电压,超频的时候可以改变的。CPU的制造工艺的进步是促使CPU核心电压降低的 一个重要因素,CPU内核工作电压越低,则表示CPU的制造工艺越先进,也表示CPU运行时耗电功率越小。所以工作电压越小 越好。 8.前端总线(FSB),就是CPU接到内存之间的总线数,总线越高,CPU就越好,但要有主板和内存的支持,它的速度(频率) 高低影响着CPU访问内存的速度。 关于一级缓存和二级缓存 为了分清这两个概念,我们先了解一下RAM RAM和ROM相对的,RAM是掉电以后,其中才信息就消失那一种,ROM在掉电以后信息也不会消失那一种 RAM又分两种: 一种是静态RAM,SRAM;一种是动态RAM,DRAM。前者的存储速度要比后者快得多,我们现在使用的内存一般都是动态RAM。 有的菜鸟就说了,为了增加系统的速度,把缓存扩大不就行了吗,扩大的越大,缓存的数据越多,系统不就越快了吗
win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息,包括启动、系统甚至移动媒体,鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件,被加密的文件可以被设置为只读,且不能被重新加密。 在保存好Bitlocker信息后关闭电脑,BitLocker的恢复信息存储在计算机的属性文件中,大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性,防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进,在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置,可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条,方便管理员或标准用户设置它们的UAC安全级别。
建议将UAC安全级别设置为“始终通知”,请放心Windows 10中遇到的安全通知 要比Vista少很多。 虽然UAC功能提供了一个必要的防御机制,但是为了系统的稳定性,请谨慎使用 管理员帐户。 3、及时升级 在Windows 10的默认设置中,Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。 有一项研究表明,微软的软件是世界上补丁最多的产品。但是系统并没有提醒你,及时更新其他的非系统软件,比如浏览器、媒体播放器等。黑客们现在都喜欢从这些 方面对电脑进行攻击。 4、备份数据 道高一尺,魔高一丈。有的时候真的是防不胜防,即使做了很多努力,当病毒来 临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道,这样就算遇到了极 具杀伤性的病毒,也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门 同XP、Vista一样,在默认情况下也开启了网络共享。虽然这可以让局域网共享 更加方便,但同时也为病毒传播创造了条件。因此关闭默认共享,可以大大降低系统 被病毒感染的概率。Windows在默认情况下会开启以下隐藏管理共享:
施工场所安全检查、检验仪器、工具配备管理制度 中建二局第三建筑工程有限公司 官港家园小区项目
施工场所安全检查、检验仪器、工具配备 管理制度 为落实公司安全管理制度,实现公司安全管理目标,提高安全检查与检验的水平和效率,结合公司项目的情况,制定本制度。 一、仪器工具的配置 1、根据公司项目的实际情况,填写《仪器、工具购置申请单》,经公司主管领导审 批后方可购买,本公司现在应配备如下仪器及工具:①经纬仪②水准仪③扭力 矩扳手④游标卡尺⑤5米卷尺。 2、用途:①经纬仪用于测量垂直运输机械的垂直度;②水准仪用于测量机械基础 的水平度;③扭力矩扳手用于测量外墙脚手架、模板支撑系统、机械金属连接 螺栓强度。④游标卡尺用于测量外墙脚手架、模板支撑系统所用钢管直径及钢 管壁厚度和机械金属的厚度;⑤5米卷尺用于测量外墙脚手架、模板支撑系统、 临边防护钢筋间距、模板整体尺寸等。 二、仪器工具的入库 1、仪器、工具应由专人负责保管 2、新购置的仪器、工具应按装箱单验收型号数量,无误后及时入库,并建立台账, 做到物卡账相符,库存处应清洁、干燥、通风、避光、防震。 三、仪器工具的领用 仪器工具的领用应办理领用手续,领用人就当面进行检查,发现问题立即通知保管员。 四、仪器工具的使用 1、仪器开箱前,应将仪器箱平放在地上,严禁手提或怀抱着仪器开箱,以免仪器在 开箱时仪器落地损坏。开箱后应注意看清楚仪器在箱中安放的状态,以便在用 完后按原样入箱。 2、仪器在箱中取出前,应松开各制动螺旋,提取仪器时,要用手托信仪器的基座, 另一手握持支架,将仪器轻轻取出,严禁猛提猛拉。仪器及所用部件取出后, 就及时合上箱盖,以免灰尘进入箱内。仪器箱放在工作处附近,箱上不得坐人。 3、安置仪器时根据控制点所在位置,尽量选择地势平坦,施工干扰小的位置,安置 仪器时,一定要注意仪器,检查仪器支撑是否可靠,确认连接部件牢固后,方 可松手。 4、仪器使用完毕,应及时入箱,拆卸仪器时应用双手托持,按出箱时的位置放入原 箱,检查箱内附件齐全后方可合上箱盖,箱盖吻合后方可锁紧固定锁扣,不得 强力施压以免损坏仪器。
windows 性能监视器使用及解释 Windows XP系统自带的性能监视器,如下图所示: 如果要查看系统的内存占用、CPU占用等性能信息,大家通常会想到Windows的任务管理器,不过在Windows 2000/XP中还有一个功能更为强大的工具,可以查看更为详细的系统性能信息。通过这些数据可以了解系统的工作状态以及资源的使用情况,而且它还具备日志记录和警报功能。根据日志记录可以诊断系统性能问题,从而优化系统。通过警报功能则可以监视系统中的性能数据,当达到指定条件时及时通知用户,可谓是电脑的“火警”监测器(下面主要以Windows XP 为例,Windows 2000基本相同)。
打开“火警”监测器 单击“控制面板→管理工具→性能”,或在开始菜单“运行”栏中输入“Perfmon.msc”即可打开系统性能管理工具,在左边可以看到功能分为“系统监视器”和“系统日志和警报”两大模块。 系统监视器——透过现象看本质 1.理解重要概念 系统监视器以图形方式实时显示出指定系统性能数据。在使用前,首先需要理解一些概念的含义。 (1)性能对象:所谓性能对象,就是指影响系统性能表现最关键的几个部件:CPU、内存、硬盘等。Windows XP从它们那里获得性能数据。要监视系统状态,首先就要选择这些对象。 (2)性能计数器:上面提到的关键部件的性能随时都在变化,是动态的数据,所以必须有一台“摄像机”随时监控它们,并把记录下来的性能表现随时回放给我们。每个性能对象的计数器就扮演着这样的角色,每个计数器用于描述与性能有关的特定方面的数据。为了统一衡量标准,所以性能数据都以具体数值来表示。例如,“Memory”(内存)对象提供的“Pages/sec”(分页/秒)计数器跟踪虚拟内存读取和写入速度,也就是每秒处理的分页数。 什么是分页(Page)? 还记得我们今年第5期《虚拟内存到底应该怎么设?》吗?里面介绍了“Page”这个概念,再让我们一起复习一下吧:为了便于管理和存放数据,Windows会将物理内存(RAM)与虚拟内存分割成许多小块,称为Page(分页),每个Page为4KB,它也是内存在Windows系统中的单位,每个Page都有编号。程序运行时,系统就会将该程序所需文件先从硬盘调入并保存到这些内存分页中,之后要用那个文件,只需指明文件所在相应分页的编号即可,调用起来非常方便。Windows 2000/XP的虚拟内存文件Pagefile.sys被称为分页文件(或页面文件)。 2.如何阅读监视器中的数据 在Windows XP中,系统监视器默认会装入三个性能计数器:“Pages/sec”(内存
福建中景石化有限公司 35万吨/年聚丙烯一期工程项目试生产前安全检查表 单位:中心/车间 序号检查内容检查结果确认人签字 1 “三查四定”检查问题是否全部整改完毕? 2 机泵上压力表、防护罩、接地线等附件是否齐全? 3 验收记录是否齐全? 4 设备润滑系统是否正常,油质是否合格? 压力容器和工艺设备的压力表、液面计、温度计是否齐 5 全经过校验,安全阀是否齐全并定压合格? 设备(储罐)位号和管道介质名称,流向标志是否齐全、 6 清楚? 7 机械设备本身的安全车间是否校验完毕? 8 各类设备是否按规定试压合格?记录是否齐全? 机泵等机械设备是否已单机试运合格?冷试车是否符 9 合要求? 10 平台、梯子、护栏安装是否牢固并符合要求? 加热炉看火孔、防爆门、火嘴设施、通风设施等是否齐 11 全好用?(如有) 12 设备润滑油脂、备品备件是否准备齐全? 检修施工用工具、脚手架及电气设备等是否全部拆除? 13 现场是否清洁?道路是否畅通? 安全防护设施、走梯、护栏、安全防护罩是否完好、齐 14 全? 车间防雷、防静电设施及呼吸阀、阻火器、安全阀等附 15 件是否齐全好? 16 各种仪表、液位显示是否调校正常?
17 润滑油三级过滤制度是否落实,设备润滑点是否明确? 仪表、计算机检测、控制、联锁、报警系统是否调校完 18 毕正常?计算机是否进行联校? 设备和管线、法兰、垫片、螺栓和阀门等材质是否符合 19 规定要求,阀门位置方向、检测点、采样点以及排空、 取样点是否符合规定要求? 20 系统吹扫、清洗、气密是否完毕,是否符合规定要求? 21 干燥、置换、三剂的装填是否完成? 是否完成岗位练兵、模拟练兵、反事故练兵,达到“三22 懂六会”和“六种能力”的提高? 23 各岗位人员考试是否合格、是否取得上岗证? 是否已经汇编了同类车间事故案例并组织学习,是否贯24 彻“三不放过”的原则? 工艺技术规程、安全操作规程是否发到岗位人员,并组 25 织学习和考试,达到熟练操作目的? 26 热试车方案是否进行了交底、学习和讨论? 各种事故应急处理预案是否制定完善?是否组织学习 27 和实际操作演练 28 职工三级安全教育培训是否完成? 接触剧毒、高毒化学危险品操作人员是否经过培训?是 29 否持证上岗?各种急救措施和设施是否到位完好? 特殊工种作业人员是否经过了专业技术培训考试合 30 格?是否持证上岗 31 各种检测报警系统是否校验完好? 安全设施、消防设施、职业卫生设施、环保设施是否符 32 合管理规定?是否符合“三同时”要求? 生产车间、罐区的水幕喷淋以及火灾报警系统、烟感报 33 警系统、可燃气体测报警系统、电视监控系统投用是否 正常,全部完好?
事情的起因是BOSS/CRM系统的扩容。我所要做得,仅仅是写一份CRM Windows服务器的性能分析,不过这足以让我一筹莫展了,毕竟当时对主机性能分析的认识,还只是停留在用“任务管理器”查看CPU、内存使用率…之前对CRM Windows性能分析的监控主要依赖于Tivoli,它仅做到了对CPU和内存使用率的报表。不巧的是,由于技术原因,Tivoli对主机内存使用率的监控并不准确。于是便想到了用比较原始的方法,直接使用Windows自带的”性能”工具解决这一问题。 好的,开篇说了一大堆废话。现在进入正题,讲讲我对性能日志、警报以及性能分析的关键指标的总结。 性能日志和告警对Tivoli的取代 “性能日志和警报”对操作系统资源利用情况进行详细监视。最常见到的性能指标诸如CPU、内存、磁盘I/O负荷等等。 通常我们要进行如下设置: 1、选择计数器和数据采样间隔:采用何种计数器取决于当前服务器担任的角色,采样间隔则取决于你要求的精度,不宜过度精确而加重负载。 2、报告格式:通常选择CSV格式,这样可以方便的在Excel中进行分析 3、设置起始时间和停止时间:通常每次之分析一段时间内的机器性能。可以日志的停止时间设置成“在此时以后n天”,接着选择“当日志文件关闭时”,“启动一个新的日志文件” 设置告警时,还要进行以下设置: 1、触发警报阈值:比较烦人的是,不能设置多级阈值以及持续时间。一般的网管系统都能够设置多级阈值,比如CPU使用率到达85%为一般告警,超过95%则为严重告警。不过这个可以通过设置多个告警得以解决…持续时间,有可能CPU只是一瞬间到达一个高峰值,之后立刻回复常态。这时则没必要告警,而Windows自带告警无法实现这个功能;好了,毕竟它不是专业的网管系统,历数缺点恐怕就没个头了。 2、当触发警报时:选择“将项记入应用程序事件日志”,方便查看系统的资源是否有可能危机业务的正常运行。 通过以上设置,可以从一定程度上缓建我们对监控单台主机性能的需求,虽然它有些缺陷。 搭建自己的网管系统 现在我们已经在每台机器上订上日志和告警,那么在日常维护中我们可以怎么做呢?CRM 70 多台Windows主机,难道要我们一台一台的远程登录上去,去查阅计数日志吗?不好意思,我开始就是这么做的… 其实在域中,我们完全可以选择一台比较空闲的机器作为网管主机,用它集中采集域中其他机器的性能数据和告警信息。不过在初次使用时,可能会遇到点小麻烦… 如果不对配置做任何更改,当你试图启动计数器时,很可能会出现以下错误:
《网络安全防护技术》课程标准一、课程基本信息 课程名称网络安全防护技术先修课计算机组网技术、网络操作系统、网络管理 学分 4 学时建议68学时 授课对象网络专业三年级学生后续课攻防对抗、网络安全检 测与评估 课程性质专业核心课 二、课程定位 计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程,《网络安全防护技术》则是其中承上启下,为这三个专业方向提供支撑,是计算机网络技术专业的核心课程。 《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习,帮助学生学会正确使用各娄安全技术:加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等,能实施包括防水墙、入侵检测等安全产品配置,更能根据不同应用网络环境规划安全方案及应急响应策略。从内容上看,它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术,也是网络安全工程师NCSE一、二级职业资格考试的重要内容,在整个课程体系中具有重要的作用。 学生学习了这门课程,既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程,又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解,提高学生的网络安全管理能力,培养更适应计算机网络相关岗位的合格从业人员。 三、课程设计(参照信息产业部NCSE一、二级证书的考试大纲) 1、课程目标设计 (1)能力目标 能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的安全应用型人才。能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法,并能规划不同应用网络环境中的安全方案及应急响应策略。 (2)知识目标 掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类防护技术原理有正确的认识。 (3)态度目标 遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动;正确认识攻击事件,有应急处理维护和恢复信息系统的意识。 (4)终极目标 培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
第二章 Windows系统安全加固 Windows Server 2003操作系统,具有高性能、高可靠性和高安全性等特点。Windows Server 2003在默认安装的时候,基于安全的考虑已经实施了很多安全策略,但由于服务器操作系统的特殊性,在默认安装完成后还需要张先生对其进行安全加固,进一步提升服务器操作系统的安全性,保证应用系统以及数据库系统的安全。 在安装Windows Server 2003操作系统时,为了提高系统的安全性,张先生按系统建议,采用最小化方式安装,只安装网络服务所必需的组件。如果以后有新的服务需求,再安装相应的服务组件,并及时进行安全设置。 在完成操作系统安装全过程后,要对Windows系统安全性方面进行加固,系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容,从而使得操作系统变得更加安全可靠,为以后的工作提供一个良好的环境平台。 操作系统的安全是整个计算机系统安全的基础,其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面,操作系统发挥着十分重要的作用。因此,操作系统本身的安全就成了安全防护的头等大事。 一、操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容: (1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务,如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求; (2)针对各种常用的操作系统,进行相关配置,使之能正确对付和防御各种入侵; (3)保证操作系统本身所提供的网络服务能得到安全配置。 一般来说,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。主体是指发出访问操作、存取请求的主动方,它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体是指被调用的程序或要存取的数据访问,它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。 主体对客体的安全访问策略是一套规则,可用于确定一个主体是否对客体拥有访问能力。 一般所说的操作系统的安全通常包含两方面的含义:①操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全;②操作系统在使用中,通过一系列的配置,保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力,才能够最
查看电脑配置命令大全 dxdiag---------检查DirectX信息regedit--------- 注册表编辑器 regedt32-------注册表编辑器 msconfig------- 系统配置 msinfo32 ------- 系统信息 winmsd---------系统信息 progman--------程序管理器 drwtsn32------ 系统医生 dxdiag.exe 检测配置 gpedit.msc---------组策略 services.msc-----服务 compmgmt.msc---计算机管理devmgmt.msc--- 设备管理器 explorer-------打开资源管理器 calc------启动计算器 write----------写字板 mspaint--------画图板 notepad--------记事本 Nslookup-------IP地址侦测器diskmgmt.msc---磁盘管理实用程序dfrg.msc-------磁盘碎片整理程序 logoff---------注销命令 tsshutdn-------60秒倒计时关机命令rononce -p ----15秒关机 lusrmgr.msc----本机用户和组services.msc---本地服务设置 netstat--------端口查看 conf-----------启动netmeeting dvdplay--------DVD播放器 charmap--------启动字符映射表chkdsk.exe-----Chkdsk磁盘检查regsvr32 /u *.dll----停止dll文件运行regsvr32 /u zipfldr.dll------取消ZIP支持Msconfig.exe---系统配置实用程序msconfig /auto系统配置实用程序 rsop.msc-------组策略结果集 mem.exe--------显示内存使用情况
网络安全主机安全加固 网络安全主机安全加固 、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ?正确的安装; ?安装最新和全部OS和应用软件的安全补丁; ?操作系统和应用软件的安全配置; ?系统安全风险防范; ?提供系统使用和维护建议; ?系统功能测试; ?系统安全风险测试; ?系统完整性备份;
?必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,贝U可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2 )明确系统运行状况的内容包括: ?系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ?系统上运行的应用系统及其正常所必需的服务。 ?我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4 )系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二?加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ?系统安全需求分析 ?系统安全策略制订
目录 一、 安全加固配置说明..........................................................................................................- 2 - 1.1安全加固配置目的............................................................................................................- 2 - 1.2适用系统...........................................................................................................................- 2 - 1.3相关说明...........................................................................................................................- 2 - 二、 主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -