KMS系统安全设计方案.doc

联通KMS系统安全设计方案目录1 概述62 安全管理框架基本定义72.1 安全管理框架的防范对象72.2 安全管理框架的设计思想82.3 安全管理框架的具体内容82.3.1 安全管理策略82.3.2 行政手段93 使用活动目录统一存储联通公司网络资源103.1 活动目录介绍103.1.1 活动目录（Active Directory）基本概念103.1.2 Active Directory的优点103.2实施活动目录管理的必要性123.2.1 以AD（活动目录）为中心的安全管理模式123.2.2 使用AD带来的好处123.3 联通公司实施活动目录的策略133.3.1 逻辑结构规划133.3.2 物理结构规划154 防范物理灾难的安全保护策略184.1 物理灾难种类及后果分析184.2 机房建设策略184.2.1 机房基本配置要求184.2.1 机房管理制度184.3 设备保护策略204.3.1 网络保护策略204.3.2 服务器保护策略204.4 数据保护策略234.4.1 数据库保护策略234.4.2 文件保护策略254.5 应用保护策略264.5.1 中间层应用保护策略264.5.2 数据库应用保护策略284.6 维护策略314.6.1 数据备份的维护策略314.6.2 服务器群集的维护策略315 防范内部员工蓄意破坏的安全保护策略325.1 内部员工蓄意破坏的方式及后果分析325.2 帐户策略325.3 安全审核策略355.4 补丁策略385.4.1 定期访问微软的安全网站385.4.2 使用检测工具定期检测是否存在安全漏洞并是否需要安装补丁程序385.5 行为规范策略395.5.1 钥匙管理395.5.2 监视机管理395.6 防范机密数据泄漏策略405.6.1 操作系统的权限设置策略405.6.2 数据库的权限设置策略415.6.3 文件夹的权限设置策略445.6.4 应用程序的权限设置策略456 防范外部人员蓄意破坏的安全保护策略466.1 外部人员蓄意破坏的方式及后果466.2 病毒防范策略466.2.1 什么是计算机病毒466.2.2 病毒防范的要求476.2.3建立一套完备的病毒防范策略476.2.4 规范内部的管理496.3 防范黑客攻击策略506.3.1 建立一套完备的Internet接入策略506.3.2 补丁策略506.3.3 监控策略517 防范员工操作不当引起安全问题的安全保护策略527.1员工操作不当的方式及后果527.2 权限管理策略527.3 桌面管理策略527.3.1 桌面管理策略的目标527.3.2 基于windows 2000的桌面管理策略527.3.3 联通公司的桌面管理策略578 事件日志查看及报警策略588.1 事件日志查看策略588.1.1 事件日志项目588.1.2 事件日志工具588.1.3 联通公司事件日志查看策略598.1.4 日志查看及处理记录表608.2 报警策略618.2.1 报警对象618.2.2 报警对象的报警设置方法628.2.3 联通公司系统报警策略639 加强风险意识649.1 风险评估的流程649.2 风险评估的部分工作简介659.2.1 风险记录659.2.2 风险消除策略659.2.3 好的风险管理标准6510 建立有效的规章制度6610.1 明确管理人员职责6610.2 解决问题流程6610.3 应急方案6610.4 操作及问题记录6710.5 奖惩制度6910.6 详细的文档6910.7 规章制度6911 联通公司安全管理框架实施过程7011.1 明确任务和人员分工7011.1 安全管理框架中制定的具体任务7011.2 人员分工7111.2.1 人员组成7111.2.2 角色定义7111.2 技术准备7111.3 具体实施过程7212 KMS系统安全设计7312.1 系统的安全连接7312.2 系统权限设计7312.3 系统日志记录7312.4 系统数据备份73附录A 微软战略技术保障计划74附录B Distributed Application Performance Guide76Performance Scenarios76Generic Performance Diagnosis78COM+ Performance Monitoring79IIS/ASP Performance Monitoring80SQL Server Performance Tuning80High CPU Utilization Diagnosis81Hanging Diagnosis81IIS/ASP Hang82MSMQ Hang82COM+ Application Hang83Improving MSMQ Performance84Performance Stress Tools84Coding Best Practices84Appendix A85附录C 网络安全管理制度87文档修改记录修改日期修改人修改内容1 概述广东联通知识库项目（KMS）是基于windows 2003平台开发的B/S模式的应用程序，使用到了SharePoint Portal Server 2003，SQL Server 2000等多个产品。整个系统在安全方面涉及到了操作系统、数据库、浏览器、网络、WEB服务、KMS系统权限设置、人员操作规范、安全管理规范等多个方面，下面我们将针对这些方面，按照从安全管理框架到具体安全措施及策略的顺序来描述广东联通知识库项目的安全设计方案。 “MSF 白皮书 Data Security and Data Availability for End Systems 概述了网络面临的许多安全性威胁。破坏的范围从窥探和其他被动性的攻击到更恶意和更棘手的攻击如身份欺骗和拒绝服务。据 1999 年 CSI/FBI (联邦调查局) 计算机犯罪和安全调查估计，未经授权的访问和对私人信息的盗窃每年给企业和个人用户造成了巨大的损失。研究指出 70% 的未被授权的访问是由公司内部所为。千万别低估内贼。虽然这些攻击不一定是因于黑客的活动或挟怨报复的职员，但数据的损失肯定是由于意外事件或错误而造成的。所以，从内部保护数据而且使用多种安全机制是深入防卫的基础。”前面一段话非常客观地指出了给企业和个人造成安全危害的主要原因。我们可以看到如果企业内部没有一套行之有效的安全管理机制，企业将会蒙受很大的损失。下面是一些统计数字，通过这些数字可以看到安全管理的重要性：l 根据调查，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2000亿美元以上；l 据统计：信息窃贼在过去5年中以250%速度增长，99%的大公司都发生过大的入侵事件。世界著名的商业网站，如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安全的RSA网站也受到黑客的攻击； l 政府、银行、大企业等机构都有自己的内网资源。从这些组织的网络办公环境可以看出，行政结构是金字塔型，但是局域网的网络管理却是平面型的，从网络安全的角度看，当公司的内部系统被入侵、破坏与泄密是一个严重的问题，以及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计，全球80%以上的入侵来自于内部。此外，不太自律的员工对网络资源无节制的滥用对企业可能造成巨大的损失； 因此对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。 目前联通公司已经采取了一些安全管理的手段来提高网络和系统的安全性，主要表现在服务器的群集、防病毒、Internet访问限制等。但我们应该看到安全管理是一个系统的概念，有效的安全策略或方案的制定，是信息安全的首要目标。对安全管理我们不能采取一种“亡羊补牢”的做法，要对企业的安全管理有一个整体规划，这样才能做到防患于未然，才能使企业避免因存在安全漏洞而蒙受损失。因此尽早在联通公司实施一套安全管理机制是非常必要的。 2 安全管理框架基本定义几个值得思考的问题：“我们力图保护的是些什么资源?”“计算机系统必须防范谁?”“我们需要什么级别的安全?”我们在本文将通过建立一套联通公司的安全管理框架回答上述问题。2.1 安全管理框架的防范对象企业的安全威胁主要包括以下方面：l 自然灾害、意外事故l 计算机犯罪l 人为行为，比如使用不当，安全意识差等l “黑客” 行为l 内部泄密l 外部泄密l 信息丢失l 电子谍报l 信息战l 网络协议中的缺陷所以针对这些安全威胁，我们定义本安全框架的主要防范对象包括：l 自然灾害l 内部员工蓄意破坏l 外部人员蓄意破坏l 操作不当2.2 安全管理框架的设计思想 我们根据联通公司的网络、应用现状建制定一套以AD为中心的安全管理框架，该框架归纳了常见的安全问题，并提出具体的解决方案，并根据该框架实施安全管理的各项工作，使联通公司的安全管理工作更加有效，更加规范。2.3 安全管理框架的具体内容2.3.1 安全管理策略l 使用活动目录统一存储联通公司网络资源l 防范物理灾难的安全保护策略u 机房建设策略u 设备保护策略l 网络保护策略l 服务器保护策略u 数据保护策略l 数据库保护策略l 文件保护策略u 应用保护策略l 中间层应用保护策略l 数据库应用保护策略u 维护策略l 数据库备份的维护策略l 服务器群集的维护策略l 防范内部员工蓄意破坏的安全保护策略u 帐户策略u 安全审核策略u 补丁策略u 行为规范策略l 钥匙管理l 监视器管理l 值班管理u 防范机密数据泄漏策略l 操作系统的权限设置策略l 数据库的权限设置策略l 文件夹的权限设置策略l 应用程序的权限设置策略l 防范外部人员蓄意破坏的安全保护策略u 病毒防范策略u 防范黑客攻击策略l Internet接入策略l 补丁策略l 监控策略l 防范员工操作不当引起安全问题的安全保护策略u 权限管理策略u 桌面管理策略l 事件日志查看及报警策略2.3.2 行政手段除了在2.3.1中列出的采用计算机技术实现安全管理的方法外，还需要采取行之有效的行政手段加强安全保障，具体内容如下：l 加强风险意识l 建立有效的规章制度n 系统管理员职责n 解决问题流程n 应急方案n 监控方案n 操作及问题记录n 奖惩制度n 详细的文档n 规章制度3 使用活动目录统一存储联通公司网络资源3.1 活动目录介绍3.1.1 活动目录（Active Directory）基本概念Active Directory（活动目录） 是 Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，包括人、计算机、打印机、应用程序、其他网络的信息，这样易于管理员和用户查找及使用。Active Directory 目录服务采用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory服务为组织、管理和控制网络上的资源提供基础构造和功能，它广泛支持各种Internet标准协议。3.1.2 Active Directory的优点l 信息安全性安全性完全与 Active Directory 集成。不仅可在目录中的每个对象上定义访问控制，而且还可在每个对象的属性上定义。详细信息，请参阅安全性。Active Directory 提供安全策略的存储和应用范围。安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权。通过组策略设置执行安全策略。l 基于策略的管理Active Directory 目录服务包括数据存储和逻辑分层结构。作为逻辑结构，它为策略应用程序提供分层的环境。作为目录，它存储着分配给特定环境的策略（称为组策略对象）。组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，可确定： l 目录对象和域资源的访问l 用户可使用什么域资源（如应用程序）l 这些域资源是如何配置使用的例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至 Microsoft SQL Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过 Active Directory，您可将组策略设置应用于适当的环境中，不管它是您的整个单位还是您单位中的特定部门。l 可扩展性Active Directory 可进行扩展，即管理员可将新的对象类添加到架构中，而且可将新的属性添加到现有的对象类中。例如，您可以为 User 对象添加“Purchase Authority”属性，然后存储每个用户的购买权利限制，并将其作为用户帐户的一部分。可以通过以下两种方法将对象和属性添加至目录中：使用 Active Directory 架构、通过 Active Directory 服务接口 (ADSI) 或者 LDIFDE 或 CSVDE 命令行实用程序创建脚本。l 可伸缩性Active Directory 包含一个或多个域，每个域具有一个或多个域控制器，以便您可以调整目录的规模以满足任何网络的需要。多个域可合并为域树，多个域树可合并为树林。目录将其架构和配置信息分发给目录中所有的域控制器。该信息存储在域的第一个域控制器中，并且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。l 信息的复制复制为目录提供了信息可用性、容错、负载平衡和性能优势。Active Directory 使用多主机复制，允许您在任何域控制器上而不是单个主域控制器上更新目录。多主机模式具有更大容错的优点，因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。虽然用户可能没有意识到这一点，但是由于进行了多主机复制，它们将更新目录的单个副本。在域控制器上创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。Active Directory 已经设计成只复制更改的目录信息。进行多主机复制时，可能经常会出现完全相同的目录更改发生在多个域控制器的情况。Active Directory 还设计用于跟踪和仲裁对目录的冲突更改，并自动解决几乎所有情况中的冲突。在一个域中配置多个域控制器能提供容错和负载平衡能力。如果域中的一个域控制器变慢、停止或失败，相同域中的其他域控制器可提供必要的目录访问，因为它们包含相同的目录数据。l 灵活的查询用户和管理员可使用“开始”菜单、“网上邻居”或“Active Directory 用户和计算机”上的“搜索”命令，通过对象属性快速查找网络上的对象。例如，您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户。3.2实施活动目录管理的必要性3.2.1 以AD（活动目录）为中心的安全管理模式我们提出的联通公司安全管理框架是一个“以AD为中心”的安全管理模式，在未来的各种安全措施和应用系统中将使用AD的应用有：l OA系统必须使用AD进行用户管理：n 邮件系统：在Exchange 2000系统中，用户管理是由Windows 2000活动目录完成的，所以邮件系统的所有用户信息全部包存在AD中；n sharepoint server、content management server等软件全部使用AD进行用户管理；l 很多安全措施必须依靠AD功能才能完成：n 域安全策略；n 访问审核策略；n 权限管理策略；n 桌面管理策略l 很多安全策略间接依赖AD的用户管理实现：n 网络保护策略；n 服务器保护策略；n 数据库保护策略；n 文件保护策略；n 中间层应用保护策略；n 数据库应用保护策略；n 病毒防范策略；n 防范黑客攻击策略。3.2.2 使用AD带来的好处l 统一管理：网络用户、邮件用户等可以在一个界面内设置；l 提高系统的安全性：安全性完全与 Active Directory 集成。不仅可在目录中的每个对象上定义访问控制，而且还可在每个对象的属性上定义；l 提高系统管理员的管理水平：通过Active Directory 管理工具可以减少系统管理员的维护工作量，使管理工作更加规范；l 未来可以将目前业务系统的安全管理机制从数据库存储安全管理信息向AD存储安全管理信息过渡，通过扩展AD的架构（向AD中添加新的对象和新的属性），就可以集成权限验证方法，用户只需登录一次就可以访问不同的业务系统和办公系统，无需反复登录：l 减少维护难度：DNS与AD集成，管理员无需再专门进行DNS的设计和维护工作。3.3 联通公司实施活动目录的策略3.3.1 逻辑结构规划Active Directory的逻辑结构提供了灵话的方法来设计目录层次结构，逻辑机构包含了三个组件：域（Domain）、组织单位（Organizational Unit）、树和森林（Tree and Forest）。1、 域规划域是Active Directory逻辑结构的核心单元，是一个计算机的集合，它们共享相同的目录数据库。在Windows 2000的网络里，域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系。域的管理员有权限执行域内的管理，除非管理员被赋予其他域的权限。域也是复制的单元，所有域的控制器在域里都分担了复制，包含了整个域的目录信息的一个复制。Active Directory采用了一个多主的复制模式，特定域中的所有域控制器可接收更改内容并将这些内容复制到域中的所有其他域控制器中。在Active Directory中，域默认是安装成为混合的模式，这种混合模式支持安装在Windows 2000和Windows NT的域控制器。Active Directory使用这种混合的模式支持那些尚没有升级到Windows 2000的域控制器。当网络上不再有Windows NT或所有Windows NT都升级为Windows 2000后，可以将域的混合模式转换成本机模式。本机模式所有的域控制器都运行在Windows 2000上，但不要求所有的成员服务器和客户计算机全部使用Windows 2000。有一些Active Directory的功能，例如组嵌套、全局安全组等都要求域是本机域。从混合域模型到本机域模型的转变是一个单向的过程，本机域模型不能转变成混合域模型。最容易管理的域结构就是单域。在企业里第一个产生的Windows 2000域称为根域（root domain），包含了整个森林的配置和结构信息。企业在作域规划时，应从单域开始，并且只有在单域模式不能满足您的要求时，才增加其他的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相独立而且非常灵活。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。如果只是反映联通公司的部门组织结构，则不必创建独立的域树。在一个域中，可以使用组织单位来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单位中。企业在下面的原因可以考虑创建多个域：l 部门之间不同的密码要求 l 大量的对象 l 不同的 Internet 域名 l 对复制进行更多的控制 l 分散的网络管理2、 组织单位设计一个组织单元是一个容器对象，用于管理域中的对象，例如：用户账号、组、计算机、打印机和其他的组织单位。可以使用组织单位在一个逻辑层次中组织各种对象，这样能够体现企业基于部门的或基于地理分界的结构，网络管理模式是基于行政的管理架构。可以在域中创建组织单位的层次结构。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象。它们表现为“Active Directory 用户和计算机”中的文件夹。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的人。这样，您就可以在管理员中分配域的管理工作，以更接近指派的单位职责的方式来管理这些管理性职责工作。通常，应该创建能反映组织单位的职能或商务结构的单位。例如，您可以创建顶级单位，例如人事、设备管理和营销等部门单位。在人事单位中，您可以创建其他的嵌套组织单位，例如福利和招聘单位。在招聘单位中，也可以创建另一级的嵌套单位。例如，内部招聘和外部招聘单位。总之，组织单位可使您以一种更有意义且易于管理的方式来模拟企业实际工作的情况，而且在任何一级指派一个适当的本地权利机构作为管理员。 3、树和森林设计l 树树是Windows 2000域的层次排列，共享相同的命名空间。当在树里增加一个域，那么新的域是存在父域的一个子域，子域的名称要结合父域的DNS的域名。l 森林森林是一组不共享命名空间的树。在森林中所有的树都共享相同的配置、架构和全局分类。在默认的情况下，第一创建的树是这个森林的根树（root tree）。每一个树有自己的命名空间。在通常的情况下，每个组织的单一的森林是一个标准。但是，这也许就是一个公司在配置后具有多个森林的原因：l 两个都已经配置了活动目录的公司合并到一起。l 由于某些法规上的原因，目录必须完全互相独立。l 每个部门都需要自己的配置。l 在部门间缺乏统一的计划和通信。l 一个组织中的两个实体具有不同的更改控制策略。l 域的信任关系域信任是域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行验证。身份验证请求遵循信任路径。信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前，Windows 2000 安全机制必须确定信任域（含有用户试图访问的资源的域）和受信任域（用户的登录域）之间是否有信任关系。为此，Windows 2000 安全系统将计算信任域中的域控制器和受信任域的域控制器之间的信任路径。所有域信任关系都只能有两个域：信任域和受信任域。域信任关系按以下特征进行描述： 双向 单向 可传递 不可传递 单向信任单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的，并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。即如果域 A 与域 B 有单向信任关系，域 B 与域 C 有单向信任关系，则域 A 与域 C 之间没有单向信任关系。在Windows 2000中不同树的域可以建立单向信任关系，或者Windows NT的域也可以建立单向信任。双向信任Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时，双向可传递信任在新的子域和父域之间自动建立。在双向信任中，域 A 信任域 B，且域 B 信任域 A。这意味着身份验证请求可在两个目录中的两个域之间传递。要建立不可传递的双向信任，您必须在相关域之间建立两个单向信任。可传递信任Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向：此关系中的两个域相互信任。可传递信任不受信任关系中的两个域的约束。每次当您建立新的子域时，在父域和新子域之间就隐含地（自动）建立起双向可传递信任关系。这样，可传递信任关系在域树中按其形成的方式向上流动，并在域树中的所有域之间建立起可传递信任。不可传递信任不可传递信任受信任关系中的两个域的约束，并不流向树林中的任何其他域。在 Windows 2000 域和 Windows NT 域之间的所有信任关系都是不可传递的。从 Windows NT 升级至 Windows 2000 时，目前所有的 Windows NT 信任都保持不动。在混和模式环境中，所有的 Windows NT 信任都是不可传递的。 不可传递信任默认为单向信任关系，但您也可通过建立两个单向信任来建立一个双向关系。在相同树林中的域（并非都是 Windows 2000 域）之间建立的所有信任关系都是不可传递的。 3.3.2 物理结构规划在Active Directory里，逻辑结构和物理结构是区分开来的。逻辑结构用于组织网络资源，物理结构是用于配置和管理网络流量。Active Directory的物理结构是由站点（sites）和域控制器（domain controllers）组成。它定义了在那里、在什么时候复制和登录流量的发生，物理结构的规划有利于优化网络的流量和登录的处理。1、站点规划为方便起见，将站点考虑为由一个或多个 IP 子网中的一组计算机定义。这样会工作得比较好，因为要确保目录信息的有效交换，站点中的计算机需要很好地连接，尤其是子网内的计算机。如果站点包括多个子网，由于相同原因那些子网也必须良好连接。广域网 (WAN) 应使用多个站点。如果未使用，整个广域网内的服务请求或复制目录信息可能效率非常低。定义站点有利于配置Active Directory共享和复制的拓扑结构，Windows 2000能够使用到最有效的网络连接带宽和适合的时间来复制及处理登录流量。产生站点的主要原因有： 优化Active Directory复制的流量 能够使用户通过稳定、高速的线路连接到域控制器站点反映网络的物理结构，而域通常反映您单位的逻辑结构。逻辑结构和物理结构相互独立，其具有下列因果关系： 您网络的物理结构及其域结构之间没有必要的相关性。 Active Directory 允许单个站点中有多个域，单个域中有多个站点。 站点和域名称空间之间没有必要的连接。 2、域控制器规划域控制器是运行了Windows 2000的服务器，保存了整个目录的一个复制。一个域控制器管理目录的改变信息，并将这些信息发送给域里其它域控制器。域控制器存储了目录的数据，管理用户的登录过程、认证和目录搜索。一个域有一个以上的域控制器，使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。 3、全局编录规划考虑默认情况下，在树林中的初始域控制器上自动创建全局编录。在联通公司安装的第一个服务器默认成为全局编录服务器。它存储着其主机域的目录中所有对象的全部副本及树林中每个其他域的目录所包含的所有对象的部分副本。因为副本存储着树林中每个对象的部分而非全部的属性值，所以这只是一部分。全局编录发挥两个重要目录的作用： 启动登录过程时，它通过将全局组成员信息提供给域控制器来启用网络登录。 它允许查找目录信息，而不管树林中的哪个域实际包含这些数据。 用户登录到网络时，全局编录为向域控制器发送登录请求的帐户提供全局组成员信息。如果域中只有一个域控制器，则域控制器和全局编录是相同的服务器。如果网络中有多个域控制器，则全局编录位于如此配置的域控制器上。如果当用户启动网络登录过程时全局编录无效，那么用户只能登录到本地计算机。4、主机操作服务器规划考虑Active Directory 支持域中所有域控制器之间目录数据存储的多宿主复制。但是，某些更改以多宿主方式进行是不实际的，因此只有一个称作操作主机的域控制器才能接受这些更改请求。因为在域或树林中操作主机角色可传递至其他域控制器，所以这些角色有时作为灵活的单主机操作。在任何 Active Directory 树林中，有五个操作主机角色可指派给一个或多个域控制器。某些角色必须出现在每个树林中。其他角色必须出现在树林中的每个域中。每个 Active Directory 树林必须具有以下角色： 架构主机 域命名主机 在树林中这些角色必须是唯一的。这意味着在整个树林中，只能有一个架构主机和一个域命名主机。 架构主机架构主域控制器控制对架构的全部更新和修改。要更新树林的架构，您必须拥有架构主机的访问权。任何时候，整个树林中只能有一个架构主机。 域命名主机担当域命名主机角色的域控制器控制树林中域的添加或删除。任何时候，整个树林中只能有一个域命名主机。树林中的每个域都必须有下列角色：n 相对 ID 主机 n 主域控制器 (PDC) 仿真程序 n 基础主机 在每个域中这些角色都必须是唯一的。即树林中的每个域都只能有一个相对 ID 主机、PDC 仿真程序以及基础结构主机。 相对 ID 主机相对 ID 主机将系列相对 ID 分配给域中每个不同的域控制器。任何时候，树林中的每个域都只能有一个充当相对 ID 主机的域控制器。无论域控制器何时创建用户、组或计算机对象，它都给对象指派唯一的安全 ID。安全 ID 包括域安全 ID（对于域中创建的所有安全 ID 都是相同的）和相对 ID（对于域中创建的每个安全 ID 都是唯一的）。要在不同的域之间移动对象（使用 Movetree.exe），必须由您启动在域控制器上的移动操作，而此域控制器必须是目前包含该对象的域的相对 ID 主机。 PDC 仿真程序如果此域包含在没有 Windows 2000 客户软件情况下运行的计算机，或者包含 Windows NT 备份域控制器 (BCD)，则由 PDC 仿真程序担当 Windows NT 的主域控制器。它处理来自客户的密码更改并将更新复制到 BDC。任何时候，树林中的每个域中只能有一个域控制器作为 PDC 仿真程序。在以本机模式运行的 Windows 2000 域中，PDC 仿真器接收由域中其他域控制器执行的密码更改的优先复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登录尝试前将验证请求转发给 PDC 仿真程序。 基础主机基础主机负责在重新命名或更改组成员时更新“组到用户”的引用。任何时候，每个域中只能有一个域控制器作为基础主机。当您重新命名或移动组成员（并且该成员常驻在与组不同的域中）时，则组中可能暂时不显示该成员。组所属的域的基础主机负责组的更新工作，所以它知道成员的新名称或位置。基础主机通过多主机复制的方法分发更新的内容。在成员重命名和组更新期间，对安全性无危害。只有查看那个特定组成员身份的管理员才会注意到暂时的不一致性现象。4 防范物理灾难的安全保护策略4.1 物理灾难种类及后果分析物理灾难种类发生原因后果电源故障插线板损坏设备电源盒损坏设备无法使用存储设备故障安装时的无意磕碰、掉电、电流突然波动、机械自然老化等存储设备无法使用网络设备故障传输距离过长、设备添加与移动、传输介质的质量问题和老化网络中断，无法传输数据自然灾害水灾、火灾、地震等设备损坏，无法使用4.2 机房建设策略4.2.1 机房基本配置要求一个良好的计算机机房除必须满足计算机设备对温度、湿度和空气洁净度，供电电源的质量（电压、频 率、稳定性等）接地地线、和电磁场和振动等项的技术要求，还必须满足机房工作人员对照度、流动速度、噪音等的要求。机房主体可以分为主机房、操作室、通信设备室、配电房、值班室、休息室等不同区域，从而使不同人员的工作区、不同噪声的设备隔开，避免“机对人”和“人对人”的干扰，各种设备做到有序排列，一目了然,形成一定的纵深感。下面是一些基本的机房建设要求：l 采用双路电源供电，双路冗余UPS电源及大功率后备柴油发电机设计，保证对数据中心7 x 24小时不间断供电；l 机房抗地震功能，机架区楼板承重能力（500公斤/平方米），UPS区楼板承重能力（1100公斤/平方米）；l 工业级制冷环境，冗余设计7x24小时下送风上回风空调系统。 提供独立空调系统；l 智能型消防警报系统，设有气体灭火系统；l 提供分等级感应式门禁系统，防盗警报系统，闭路电视7x24小时监控系统，在公共区域和入口处均有闭路电视监控点和磁带记录，所有的通道门均安装电子安全锁。4.2.1 机房管理制度一、机房日志管理1、建立机房日志管理制度的目的机房日志管理制度是机房日常运行管理的基础，是对机房安全、正常运行的监测，同时也为机房设备的维修提供了可靠的依据。2、机房日志内容包括设备运行日志,机房值班日志，机房安全日志，上机人员登记，机房各部门逐日工作进度登记等。3、机房内所有设备运行日志内容包含设备名称、设备型号编号、日期、设备运行(参数、状况)、例外信息、填写人等内容。4、机房值班人员职责 1) 机房值班人员必须认真填写机房值班日志，它包含：值班人.交班人、交班日期时间、系统口令交接、系统运行交接等内容。 2) 机房值班人员还必须认真做好机房上机人员登记，它包含：进入时间、上机人、上机区域、退出时间等内容。5、机房监控管理员职责机房监控管理员必须认真填写机房安全日志，它包含：时间、摄像机号、设防拆防、运行状况、处理方法等内容。6、机房各部门负责人职责机房各部门负责人应对逐日工作进度进行登记，以便科学管理决策，它包含：工作任务及目标、责任人、计划安排时间、实际用工时间等内容。7、机房日志必须定期进行反馈，认真执行。二、机房安全保密制度1、机房工作人员应以身作则，模范遵守国家安全保密法规，勇于同违反法规的现象作斗争，堵塞各种不安全的漏洞。2、机房值班人员负责机房安全保密工作的督促、检查，并组织实施。3、机房工作人员密码操作规程机房工作人员通过键入自身专用密码方能进入机房，且应注意自身密码的保密。随同他人进入机房的工作人员，应站立于前面人后左方一米处，待前面人进入且机房门关合后，再上前键入自身密码进入，不允许尾随他人进入机房，更不可盗用他人密码进入机房。4、机房参观规程：来访宾客如要进入机房，须到综合室填写进入机房申请表，并得到领导的签字后，才可在机房工作人员的陪同下一同进入。在机房内参观，只能走参观走道，不可随意乱动机房内设备，不准拍照。5、上机人员在处理涉密数据的计算机程序要采取保密措施。6、上机人员退出机房时，应将机器退至安全口令上一级，并将上机资料及打印的各种报表妥善保管。4.3 设备保护策略4.3.1 网络保护策略网络是企业信息化建设的根本，如果没有网络的支持，所有的业务系统将无法正常运行。目前联通公司的所有服务器全部放在 主机房，总共600多个客户机分布在联通公司，联通公司等，楼间的网络全部使用光纤连接，如果光纤出现问题，则所有业务系统将无法使用，整个联通公司将处于瘫痪状态，因此要制定合理的网络保护策略，避免因为网络故障影响业务系统的运行。具体保护策略包括如下几个方面：l 主干网采用备份策略，如备份光纤等；l 所有主要的网络设备，如路由器等应有备份设备。4.3.2 服务器保护策略 这里所说的服务器保护策略主要是指对单台服务器的灾难恢复，后面介绍的使用服务器群集技术保护数据库服务器，使用application center技术保护中间层服务器这两种方法都只是提供了一种冗余技术，我们还需要采用一些行之有效的方法来保护单台服务器，以做到最快的灾难恢复。 计算机故障就是任何导致计算机无法启动或继续运行的事件。计算机出现故障的原因小到一个硬件损坏，大到整个系统丢失（例如在发生火灾或类似事件）。故障恢复就是在发生故障后恢复计算机，使您能够登录并访问系统资源。我们这里介绍三种故障恢复的方法：1. 系统备份可以使用“备份”备份和还原如下系统组件：l 注册表 l COM+ 类注册数据库 l 引导文件，包括系统文件 l 证书服务数据库 l Active Directory 目录服务 l SYSVOL 目录 l 群集服务信息 备份将这些系统组件作为系统状态数据。对于 Windows 2000 Professional，系统状态数据只包括注册表、COM+ 类注册数据库和引导文件。对于 Windows 2000 Server 操作系统，系统状态数据包括注册表、COM+ 类注册数据库、系统引导文件和证书服务数据库(如果服务器是证书服务器)。如果服务器是域控制器，Active Directory 和 SYSVOL 目录也包含在系统状态数据中。如果在域控制器上运行域名服务，则系统状态数据中的“Active Directory”部分也会包含 DNS 区域信息（集成 DS 和非集成 DS）。如果服务器运行群集服务，那么系统状态数据也将包括所有资源注册表检查点和仲裁资源恢复日志，该日志含有最新的群集数据库信息。当您选择备份或还原系统状态数据时，所有与计算机相关的系统状态数据将得以备份或还原。您不能选择备份或还原系统状态数据的单独组件。这是由于系统状态组件间的依存关系。然而，您可以还原系统状态数据到备用位置。如果执行这个任务，只有注册表文件、SYSVOL 目录文件、群集数据库信息和系统引导文件被还原到备用位置。如果当还原系统状态数据时指派了备用位置，将不还原 Active Directory 目录服务、证书服务数据库和 COM+ 类注册数据库。此外，如果本单位有多个域控制器，并且 Active Directory 目录服务被复制到所有其他的服务器中，您必须对所有要还原的 Active Directory 数据执行强制性还原。为此，您需要在还原系统状态数据之后和启动网络服务器之前运行 Ntdsutil 实用程序。Ntdsutil 实用程序要求您将 Active Directory 对象标记为强制性还原。这将保证所有还原的已复制或已分发数据在本组织内得到正确的复制或分发。例如，如果您不小心删除或修改了存储在 Active Directory 目录服务中的对象，并且这些对象已复制或分发到其他服务器，那么将需要对这些对象进行强制性还原，并重新复制或分发到其他服务器上。如果没有对这些对象执行强制性还原，它们不会复制或分发到其他服务器上，因为它们比其他服务器上当前的对象旧。使用 Ntdsutil 实用程序将对象标志为强制性还原，保证所要还原的数据在本组织内得以复制或分发。另一方面，如果系统磁盘出现故障或 Active Directory 数据库遭到破坏，则可以不使用 Ntdsutil 实用程序而以非命令性模式简单地还原数据。Ntdsutil 命令行实用程序可从命令提示符下运行。有关 Ntdsutil 实用程序的帮助，也可以从命令提示符下通过键入 ntdsutil /? 获得。2. 修复启动故障 如果磁盘系统或启动卷发生故障，系统将不能启动。从启动故障恢复的过程取决于磁盘的配置和计算机系统微处理器的类型。对于配置为镜像卷的一部分的系统或启动卷（可以应用于启动和系统卷中的唯一容错方法），故障恢复程序可能使用启动盘。启动盘在创建启动盘之后，应该在未发生任何故障之前测试它，否则如果主磁盘丢失，将不能从镜像卷上启动计算机。通过使用启动盘从镜像卷中启动系统来检查启动盘。先打开主磁盘电源然后关闭电源，来测试您的磁盘。在这两种情况下，如果都可以登录，则那么启动盘生效。每次更改卷时，都应该升级启动盘。例如，如果正在使用卷 2 启动系统，并删除了卷 1，则必须更改 ARC 名称以启用卷 1。同样，如果在卷 2 上启动系统，并删除了卷 1，则将它分成卷 1 和卷 2，必须更改 ARC 名称以启用卷 3。3. 紧急修复盘如果安全模式和故障恢复控制台不起作用，而且事先已做了适当的高级准备，则可以试着用紧急修复磁盘来修复系统。紧急修复磁盘可以帮助修复内核系统文件。紧急修复盘是由“备份”实用程序创建的磁盘，它包含关于当前windows系统设置的信息。如果计算机不能启动或者系统文件被破坏或删除，可以使用这个磁盘修复计算机。紧急修复磁盘也被称为“ERD”。通过在计算机工作正常时准备 ERD，可以在需要修复系统文件时使用。（在这种情况下，要启动需要修复的计算机，可以使用 Windows 2000 安装光盘或从光盘创建的软盘。）用这种方式进行修复仅限于基本的系统文件、分区启动扇区和启动环境。该修复过程不会还原注册表。要替换注册表文件，请使用恢复控制台。“紧急修复磁盘”不备份数据或程序，并且不能代替常规的系统备份。根据以上三种服务器灾难恢复的具体要求，联通公司需要对现在正在使用的所有安装了windows 2000 advanced server操作系统的服务器进行以下