服务器系统安全加固技术要求——Linux服务器
中国电信股份有限公司广州研究院
2009年3月
目? 录
1补丁
1.1系统补丁
要求及时安装系统补丁。更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证。
系统补丁安装方法为(以下示例若无特别说明,均以RedHat Linux为例):使用up2date命令自动升级或在下载对应版本补丁手工单独安装。对于企业版5及之后的版本,可以直接使用yum工具进行系统补丁升级:
yum update
1.2其他应用补丁
除Linux开发商官方提供的系统补丁之外,基于Linux系统开发的服务和应用(如APACHE、PHP、OPENSSL、MYSQL等)也必须安装最新的安全补丁。
以RedHat Linux为例,具体安装方法为:首先确认机器上安装了gcc及必要的库文件。然后再应用官方网站下载对应的源代码包,如 *.,并解压:tar zxfv *.
根据使用情况对编译配置进行修改,或直接采用默认配置。
cd *
./configure
进行编译和安装:
make
make install
注意:补丁更新要慎重,可能出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前,应该在测试机上进行测试。
2账号和口令安全配置基线
2.1账号安全控制要求
系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHat Linux为例,设置方法如下:
锁定账号:/usr/sbin/usermod -L -s /dev/null $name
删除账号:/usr/sbin/user $name
2.2口令策略配置要求
要求设置口令策略以提高系统的安全性。例如要将口令策略设置为:非root 用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。以RedHat Linux为例,可在/etc/文件中进行如下设置:
vi /etc/
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 6
PASS_WARN_AGE 28
2.3root登录策略的配置要求
禁止直接使用root登陆,必须先以普通用户登录,然后再su成root。禁止root账号远程登录,以RedHat Linux为例,设置方法为:
touch /etc/securetty
echo “console” > /etc/securetty
2.4root的环境变量基线
root环境变量基线设置要求如表2-1所示:
表 2-1 root环境变量基线设置
3网络与服务安全配置标准
3.1最小化启动服务
1、Xinetd服务
如果xinetd服务中的服务,都不需要开放,则可以直接关闭xinetd服务。
chkconfig --level 12345 xinetd off
2、关闭邮件服务
1) 如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。
chkconfig --level 12345 sendmail off
2) 如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置Sendmail不运行在daemon模式。
编辑/etc/sysconfig/senmail文件,增添以下行:
DAEMON=no
QUEUE=1h
设置配置文件访问权限:
cd /etc/sysconfig
/bin/chown root:root sendmail
/bin/chmod 644 sendmail
3、关闭图形登录服务(X Windows)
在不需要图形环境进行登录和操作的情况下,要求关闭X Windows。
编辑/etc/inittab文件,修改id:5:initdefault:行为id:3:initdefault:
设置配置文件访问权限:
chown root:root /etc/inittab
chmod 0600 /etc/inittab
4、关闭X font服务器服务
如果关闭了X Windows服务,则X font服务器服务也应该进行关闭。
chkconfig xfs off
5、关闭其他默认启动服务
系统默认会启动很多不必要的服务,有可能造成安全隐患。建议关闭以下不必要的服务:
apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups chkconfig --level 12345 服务名 off
在关闭上述服务后,应同时对这些服务在系统中的使用的账号(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid 等)予以锁定或删除。
usermod -L 要锁定的用户
3.2最小化xinetd网络服务
1、停止默认服务
要求禁止以下Xinetd默认服务:
chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell
ktalk ntalk pop3s rexec rlogin rsh rsync servers services chkconfig 服务名 off
2、其他
对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许,可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。
4文件与目录安全配置
4.1临时目录权限配置标准
临时目录/tmp、/var/tmp必须包含粘置位,以避免普通用户随意删除由其他用户创建的文件。
chmod +t /tmp ——为/tmp增加粘置位。
4.2重要文件和目录权限配置标准
在Linux系统中,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc 目录为系统配置目录,包括账号文件、系统配置、网络配置文件等,这些目录和文件相对重要。重要文件及目录的权限配置标准必须按照表4-1进行配置。
表 4-1 重要文件和目录权限配置标准列表
4.3umask配置标准
umask命令用于设置新创建文件的权限掩码。要求编辑/etc/profile文件,设置umask为027;在系统转成信任模式后,可设置umask为077。
4.4SUID/SGID配置标准
SUID/SGID的程序在运行时,将有效用户ID改变为该程序的所有者
(组)ID,使得进程拥有了该程序的所有者(组)的特权,因而可能存在一定的安全隐患。对于这些程序,必须在全部检查后形成基准,并定期对照基准进行检查。查找此类程序的命令为:
# find / -perm -4000 -user 0 –ls ――查找SUID可执行程序
# find / -perm -2000 -user 0 –ls ――查找SGID可执行程序
5信任主机的设置
1.原则上关闭所有R系列服务:rlogin、rsh、rexec
2.对于需要以信任主机方式访问的业务系统,按照表5-1所示方式设置:
表 5-1 信任主机的设置方法
6系统Banner的配置
要求修改系统banner,以避免泄漏操作系统名称、版本号、主机名称等,并且给出登陆告警信息。
1.修改/etc/issue文件,加入:
ATTENTION:You have logged onto a secured server..ONLY Authorized users can access..
2.修改/etc/文件,加入:
ATTENTION:You have logged onto a secured server..ONLY Authorized users can access..
3.修改/etc/文件,在telnet一行的最后,更改telnetd为telnetd –b
/etc/issue,增加读取banner参数。
4.重启inetd进程。
Kill –HUP “inetd进程pid”
7内核参数
要求调整以下内核参数,以提高系统安全性:
设置tcp_max_syn_backlog,以限定SYN队列的长度
设置rp_filter为1,打开反向路径过滤功能,防止ip地址欺骗
设置accept_source_route为0,禁止包含源路由的ip包
设置accept_redirects为0,禁止接收路由重定向报文,防止路由表
被恶意更改
设置secure_redirects为1,只接受来自网关的“重定向”icmp报文配置方法为:
编辑/etc/,增加以下行:
设置配置文件权限:
/bin/chown root:root /etc/
/bin/chmod 0600 /etc/
在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置。
设置ip_forward为0,禁止ip转发功能
设置send_redirects为0,禁止转发重定向报文
配置方法如下:
编辑/etc/,增加:
8syslog日志的配置
1.syslog的基线配置要求如表8-1所示:
表 8-1 syslog日志安全配置列表
2.要求将日志输出至专用日志服务器,或者至少输出至本地文件中。
附件:选装安全工具
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
Windows Server系统自身安全防护措施 提示: 为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设置。 一、关闭服务器不必要端口 利用win2003自带防火墙关闭所有端口,如就留一个端口:80 。(设置有两种方法,一个使用windows自带防火墙设,一个实在TCP/IP属性里设。) 设置方法: 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。
二、在服务中关闭不必要的服务 以下服务可以关闭: Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
公路工程施工安全技术规范 1 总则 1.0.1 为规范公路工程施工安全技术,保障施工安全,制定本规范。 1.0.2 本规范适用于各等级新建、改扩建、大中修公路工程。 1.0.3 公路工程施工安全生产应贯彻“安全第一、预防为主、综合治理”的方针。 1.0.4 公路工程施工应制定相应的安全技术措施。 1.0.5 公路工程施工除应符合本规范的规定外,尚应符合国家和行业现行有关标准的规定。 2 术语 2.0.1 危险源 可能造成人员伤害、疾病、财产损失、作业环境破坏或其他损失的因素或状态。 2.0.2 危险源辨识 发现、识别危险源的存在,并确定其特性的过程。 2.0.3 事故隐患 可能导致事故发生的人的不安全行为、物(环境)的不安全状态和管理上的缺陷。 2.0.4 应急预案 针对可能发生的事故,为迅速、有序地开展应急行动而预先制定的行动方案。应急预案由综合应急预案、专项应急预案、现
场处置方案组成。 2.0.5 风险评估 对工程中存在的各种安全风险及其影响程度进行综合分析,包括风险辨识、风险估测、风险评价和防控措施。 2.0.6 特种设备 涉及生命安全、危险性较大的锅炉、压力容器(含气瓶)、压力管道、电梯、起重机械和场(厂)内专用机动车辆等。 2.0.7 特殊作业人员 从事容易发生事故,对操作者本人、他人的安全健康及设备、设施的安全可能造成重大危害的作业的从业人员。 2.0.8 危险性较大工程 在施工过程中存在的、可能导致作业人员群死群伤或造成重大财产损失、作业环境破坏或其他损失的工程。 2.0.9 警戒区 作业现场未经允许不得进入的区域。 3 基本规定 3.0.1 公路工程施工必须遵守国家有关法律法规,符合安全生产条件要求,建立安全生产责任制,健全安全生产管理制度,设立安全生产管理机构,足额配备具相应资格的安全生产管理人员。 3.0.2公路工程施工应进行现场调查,应在施工组织设计中编制安全技术措施和施工现场临时用电方案,对于附录A中危险
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1.适用范围.................................................. 错误!未定义书签。 2.帐号管理与授权............................................ 错误!未定义书签。 1 ........................................................... 错误!未定义书签。 2 ........................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ..................... 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号................ 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ................. 错误!未定义书签。 【基本】设定不能重复使用口令 ......................... 错误!未定义书签。 不使用系统默认用户名 ................................. 错误!未定义书签。 口令生存期不得长于90天 .............................. 错误!未定义书签。 设定连续认证失败次数 ................................. 错误!未定义书签。 远端系统强制关机的权限设置 ........................... 错误!未定义书签。 关闭系统的权限设置 ................................... 错误!未定义书签。 取得文件或其它对象的所有权设置 ....................... 错误!未定义书签。 将从本地登录设置为指定授权用户 ....................... 错误!未定义书签。 将从网络访问设置为指定授权用户 ....................... 错误!未定义书签。 3.日志配置要求.............................................. 错误!未定义书签。 3 ........................................................... 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核................ 错误!未定义书签。 【基本】设置日志查看器大小 ........................... 错误!未定义书签。 4.IP协议安全要求 ........................................... 错误!未定义书签。 4 ........................................................... 错误!未定义书签。 开启TCP/IP筛选 ...................................... 错误!未定义书签。 启用防火墙 ........................................... 错误!未定义书签。 启用SYN攻击保护 ..................................... 错误!未定义书签。
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
最新资料,word文档,可以自由编辑!! 精 口 口口 文 档 下 载 【本页是封面,下载后可以删除!】 桥梁施工安全技术规范 基坑开挖 1、基坑开挖之前,要在基坑顶面边坡以外的四周开挖排水沟,并保持畅通,防止积水灌入基坑,引起坍塌。 2、处在土石松动坡脚下的基坑,开挖前应做好防护措施,如排除危石、设置挡护墙等,防止土石落入坑内。
3、基坑顶面安设机械、堆放料具和弃土,均应在安全距离(1—1.5米)之外,引起地面振动的机械,安全距离更要严格控制, —般在1.5 —2米之外。 4、开挖基坑时,要按照规定的坡度,分层下挖到符合基坑承载力要求的设计标高为止,严禁采用局部开挖深坑,再由底层向四周掏土的方法施工。 5、人力出土时,要按照有关脚手架的规定,搭好出土通道,基坑较深时,还应搭好上下跳板和梯子,其宽度、坡度及强度应符合有关规定。 6、使用机械开挖基坑,要按照有关机械操作规程和规定信号,专人指挥操作;吊机扒杆和土斗下面严禁站人。 7、遇到涌水、涌砂、边缘坍塌等异常情况时,必须采取相应的防护措施之后,方可继续施工。 8在高寒地区采用冻结法开挖基坑时,必须根据地质、水文、 气象等实际情况,制定施工安全技术措施,并严格执行。在施工过程中,要注意保护表面冷冻层,使之不被破坏。 9、基坑底部用汇水井或井点排水时,应保持基坑不被浸泡。 10、采用钢筋混凝土围圈护壁时,除顶层可以一次整体灌注外,往下应根据土质情况,控制开挖高度和长度,并随开挖随灌注,钢筋混凝土围圈顶面应高出地面0.5 米。 11、基坑开挖需要爆破时,要按国家现行的爆破安全规程办理。 12、当基坑开挖接近设计标高时,应注意预留10—20 厘米,待 下一道工序准备就绪,在灌注混凝土之前挖除,挖除后立即灌注混凝土。
TongWeb服务器安全配置基线 页脚内容1
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 页脚内容2
目录 第1章...................................................................................................... 概述0 1.1 .............................................................................................................. 目的 1.2 ..................................................................................................... 适用范围 1.3 ..................................................................................................... 适用版本 1.4 ............................................................................................................. 实施 1.5 ..................................................................................................... 例外条款 第2章 ........................................................................... 账号管理、认证授权0 2.1 ............................................................................................................. 帐号 2.1.1 ....................................................................................... 应用帐号分配 2.1.2 ....................................................................................... 用户口令设置 页脚内容
网络安全界有句名言:最少的服务加最小的权限等于最大的安全。 公司服务器配置情况如下: 67、68、69、70的服务器安装的系统是WIN2000 Advance Server版本,采用了IIS5.0作为虚拟主机系统,为保证系统的安全和数据的可靠,特将硬盘划分为系统盘与数据盘,WIN2000安装于系统盘上,数据库系统安装在数据盘上. 服务器上采取的安全防护措施如下: 1. 所有的分区都格式化成NTFS格式,保证对用户权限的控制.给予administrators 和system完全控制的权限,将系统默认的everyone的完全控制权限删除,根据不同用户再分别授予相应的权限。 2. 将硬盘空间分成系统分区(安装操作系统),网站分区(运行虚拟主机和客户网站,后台数据库的分区),备份分区(做数据与程序的备份存储用)。 3. 开启了事件审核功能,对用户登录,策略改动以及程序运行情况进行实时监控,保证在系统被破坏的情况下也能有案可查。 4. 对于后台数据库中的用户数据,在SQLSERVER中进行了设置,每天晚上会自动执行一次所有后台数据库数据的备份工作,即使当天客户的数据库被误删除了,也能找到前天晚上备份的所有数据,保证客户数据的安全可靠。 5. 对于前台网站,我们采用系统自带的备份功能,设置了每周的备份计划,将客户的网站在每周日进行一次完全备份.保证了客户网站的数据完整。 6. 在IIS安装时只安装了WEB服务,其余的FTP、SMTP、NNTP均未安装。 7. FTP服务器采用了Ser-U服务器程序,运行稳定且可靠,并升级到了最新的版本,禁止匿名用户的登陆,给每个用户分配了一个强健的密码,并设定了只能访问其自身的目录。 8. 操作系统安装好以后,及时打好了SP4和系统安全补丁,防止了病毒感染和黑客攻击的可能性,保证了系统的正常安全运行.在微软的漏洞被发现以后,及时升级系统,打好系统补丁。 9. 同时安装了微软自带的终端服务和SYMANTEC公司的pcanywhere远程控制软件,即使一个远程控制服务没能开启,也可以保证采用另一个远程登陆方式能连接上服务器。 10. 防病毒软件采用了SYMANTEC公司的norton防病毒软件,并每周按时升级后杀毒,保证了系统的无毒和安全。 11. 禁用了来宾用户帐号,对系统管理员帐号进行了重命名,最大限度地减少了系统被攻击的可能性。 12. 对系统的用户的密码进行了控制,管理员的密码采用了字母与数字以及特殊字符相结合的办法,防范暴力破解密码的可能性,保证服务器的安全。 13. 对于测试法破解密码的方法,采取了五次密码输错即锁定用户30分钟的做法,防止测试法试探密码。 14. 采用了网络漏洞扫描工具定期对服务器进行网络安全的检查和测试,发现安全漏洞后及时修补,防止安全问题的产生。 15. SQL Server 2000数据库安装以后即升级到SP3的版本,减少数据库漏洞的产生,防止了蠕虫病毒的感染和黑客的破坏。 16. 数据库中的SA超级用户采用了个强健的密码,并对每个用户使用的数据库制定了一个用户名和密码,并设定了相应的权限。每个用户只能对本数据库进行操作,有效地防止了跨库
系统安全配置技术规范- W i n d o w s -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1. 适用范围 ..................................................................................................... 错误!未定义书签。 2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。 【基本】设定不能重复使用口令......................................................... 错误!未定义书签。 不使用系统默认用户名 .................................................................... 错误!未定义书签。 口令生存期不得长于90天 .............................................................. 错误!未定义书签。 设定连续认证失败次数 .................................................................... 错误!未定义书签。 远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。 关闭系统的权限设置 ........................................................................ 错误!未定义书签。 取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。 将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。 将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。 3. 日志配置要求 ............................................................................................. 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。 【基本】设置日志查看器大小............................................................. 错误!未定义书签。 4. IP协议安全要求 ......................................................................................... 错误!未定义书签。 开启TCP/IP筛选................................................................................ 错误!未定义书签。 启用防火墙 ........................................................................................ 错误!未定义书签。 启用SYN攻击保护............................................................................ 错误!未定义书签。 5. 服务配置要求 ............................................................................................. 错误!未定义书签。 【基本】启用NTP服务 ........................................................................ 错误!未定义书签。 【基本】关闭不必要的服务................................................................. 错误!未定义书签。 【基本】关闭不必要的启动项............................................................. 错误!未定义书签。 【基本】关闭自动播放功能................................................................. 错误!未定义书签。 【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。 【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。 【基本】关闭默认共享......................................................................... 错误!未定义书签。 【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。 【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。 【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。 关闭远程注册表 ................................................................................ 错误!未定义书签。 对于远程登陆的帐号,设置不活动断开时间为1小时................. 错误!未定义书签。 IIS服务补丁更新 ............................................................................... 错误!未定义书签。 6. 其它配置要求 ............................................................................................. 错误!未定义书签。 【基本】安装防病毒软件..................................................................... 错误!未定义书签。 【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。 【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。 【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。 设置带密码的屏幕保护 .................................................................... 错误!未定义书签。
文件编号:RHD-QB-K7255 (管理制度范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 网络服务器安全保密制 度标准版本
网络服务器安全保密制度标准版本操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 为确保公司ERP软件稳定安全的运行,现根据公司的网络运行环境及硬件设施特制定出如下安全保密措施及制度: 一、服务器安全防护措施 1、在两台ERP服务器上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对服务器系统的干扰和破坏。 2、做好生产日志的留存。服务器具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况等。 3、ERP系统软件建立双机热备份机制,一旦主
服务器系统遇到故障或受到攻击导致不能正常运行,保证备用服务器系统能及时替换主系统提供服务。 4、关闭服务器系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,设置定期病毒查杀。 5、服务器平时处于锁定状态,并保管好登录密码;远程桌面连接设置超级用户名及密码,并绑定IP及MAC地址,以防他人登入。 6、服务器提供集中式权限管理,针对不同的应用系统、终端、操作人员,由服务器系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由服务器系统管理员定期检查操作人员权限。
《建筑施工模板安全技术规范》(JGJ162-2008) 1 总则 1.0.1 为在工程建设模板工程施工中贯彻国家安全生产的方针和政策,做到安全生产、技术先进、经济合理、方便适用,制定本规范。 1.0.2 本规范适用于建筑施工中现浇混凝土工程模板体系的设计、制作、安装和拆除。 1.0.3 进行模板工程的设计和施工时,应从工程实际情况出发,合理选用材料、方案和构造措施,应满足模板在运输、安装和使用过程中的强度、稳定性和刚度要求,并宜优先采用定型化、标准化的模板支架和模板构件。 1.0.4 建筑施工模板工程的设计、制作、安装和拆除除应符合本规范的要求外,尚应符合国家现行有关标准的规定。 2 术语、符号 2.1 术语 2.1.1 面板 surface slab 直接接触新浇混凝土的承力板,包括拼装的板和加肋楞带板。面板的种类有钢、木、胶合板、塑料板等。 2.1.2 支架 support 支撑面板用的楞梁、立柱、连接件、斜撑、剪刀撑和水平拉条等构件的总称。 2.1.3 连接件 pitman 面板与楞梁的连接、面板自身的拼接、支架结构自身的连接和其中二者相互间连接所用的零配件。包括卡销、螺栓、扣件、卡具、拉杆等。 2.1.4 模板体系 shuttering 由面板、支架和连接件三部分系统组成的体系,可简称为“模板”。 2.1.5 小梁 minor beam 直接支承面板的小型楞梁,又称次楞或次梁。 2.1.6 主梁 main beam 直接支承小楞的结构构件,又称主楞。一般采用钢、木梁或钢桁架。 2.1.7 支架立柱 support column 直接支承主楞的受压结构构件,又称支撑柱、立柱。 2.1.8 配模 matching shuttering 在施工设计中所包括的模板排列图、连接件和支承件布置图,以及细部结构、异形模板和特殊部位详图。 2.1.9 早拆模板体系 early unweaving shuttering 在模板支架立柱的顶端,采用柱头的特殊构造装置来保证国家现行标准所规定的拆模原则下,达到早期拆除部分模板的体系。 滑动模板 glide shuttering 模板一次组装完成,上面设置有施工作业人员的操作平台。并从下而上采用液压或其他提升装置沿现浇混凝土表面边浇筑混凝土边进行同步滑动提升和连续作
2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于:《玉色主流空间》分类:未分类 [作者:墨鱼来源:互联网时间:2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般 入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一 个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的 密码一定要强壮! 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.
中小学、幼儿园安全技术防范系统要求 1 范围 本标准规定了中小学校和幼儿园安全技术防范系统基本要求、重点部位和区域及其防护要求、系统技术要求、保障措施等。 本标准适用于各类中小学、幼儿园(以下统称学校),其他未成年人集中教育培训机构或场所参照执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 7401 彩色电视图像质量主观评价方法 GB/T 15408-2011 安全防范系统供电技术要求 GB 50348 安全防范工程技术规范 GB 50394 入侵报警系统工程设计规范 GB 50395 视频安防监控系统工程设计规范 GB 50396 出入口控制系统工程设计规范 GA/T 644 电子巡查系统技术要求 GA/T 678 联网型可视对讲系统技术要求 3 术语和定义 GB 50348、GB 50394、GB 50395、GB 50396中界定的术语和定义适用于本文件。 4 基本要求 4.1 学校安全技术防范系统建设,应符合国家现行相关法律、法规的规定。 4.2 安全技术防范系统建设应统筹规划,坚持人防、物防、技防相结合的原则,以保障学生和教职员工的人身安全为重点。 4.3 学校安全技术防范系统中使用的产品应符合国家现行相关标准的要求,经检验或认证合格,并防止造成对人员的伤害。 4.4 学校安全技术防范系统应留有联网接口。 5 防护要求
5.1 重点部位和区域 5.1.1 下列部位和区域确定为学校安全技术防范系统的重点部位和区域: a)学校大门外一定区域; b)学校周界; c)学校大门口; d)门卫室(传达室); e)室外人员集中活动区域; f)教学区域主要通道和出入口; g)学生宿舍楼(区)主要出入口和值班室; h)食堂操作间和储藏室及其出入口、就餐区域; i)易燃易爆等危险品储存室、实验室; j)贵重物品存放处; k)水电气热等设备间; l)安防监控室。 注:学校大门外一定区域是指学生上下学时段,校门外人员密集集中的区域。 5.2 防护要求 5.2.1 学校大门外一定区域应设置视频监控装置,监视及回放图像应能清晰显示监视区域内学生出入校园、人员活动和治安秩序情况。 5.2.2 学校周界应设置实体屏障,宜设置周界入侵报警装置。 5.2.3 学校大门口应设置视频监控装置,监视及回放图像应能清楚辨别进出人员的体貌特征和进出车辆的车型及车牌号。 5.2.4 学校大门口宜配置隔离装置,用于在学生上学、放学的人流高峰时段,大门内外一定区域内通过隔离装置设置临时隔离区,作为学生接送区。 5.2.5 学校大门口宜设置对学生、教职员工、访客等人员进行身份识别的出入口控制通道装置。 5.2.6 幼儿园大门口宜安装访客可视对讲装置。 5.2.7 学校门卫室(传达室)应设置紧急报警装置。 5.2.8 室外人员集中活动区域(操场等)宜设置视频监控装置,监视及回放图像应能清晰显示监视区域内人员活动情况。 5.2.9 教学区域内学生集中出入的主要通道和出入口宜设置视频监控装置。
随着网络技术的发展,服务器面临着越来越多的安全威胁。因此,加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢?今天,我们来谈一谈具体的防护措施,可以从以下五大方面入手: 一、安全设置 1、加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略,能够有效降低服务器的安全隐患,以确保它的安全性。安全设置主要包括:登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务,它既有域名,又有公网IP,显然存在着一些安全隐患。因此,可以给服务器分配私有的IP地址,并且运用防火墙来做NAT (网络地址转换),可将其进行隐藏。 有些攻击来源于内网,如果把内网计算机和服务器放置在相同的局域网之内,则在一定程度上会增加很多安全隐患,所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问,这样就能极大提
高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ(隔离区)端口,将不适宜对外公布的重要信息的服务器,放在内部网络,进而在提供对外服务的同时,可以最大限度地保护好内部网络。 3、网络管理员,要不断加强网络日常安全的维护与管理 要对“管理员用户名与密码”定期修改;要对服务器系统的新增用户情况进行定时核对,并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库,必要时,可针对比较特殊的病毒,安装专门的杀毒程序,同时要定期查杀服务器的系统病毒,定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况,需要及时给予妥当处理。因为很多“病毒与木马程序”,都是运用系统漏洞来进行攻击的,所以需要不断自动更新服务器系统,以及定期扫描服务器系统的漏洞。 很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取,而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作“肉鸡”,来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是,网络管理员在网站安全的防护上太被动。他们只是被动的防御,而没有进行主动防御和检测。为了彻底提高服务器的安全等级,网站安全需要主动出击。、