图书馆计算机系统的安全管理（ppt）-NetCharge.ppt

图书馆自动化系统安全 目录 安全概述硬件安全系统安全网络安全解决方法 安全概述 图书馆常见硬件故障图书馆常见的系统故障及崩溃原因故障原因 硬件常见故障 硬盘故障电源故障板卡故障网络交换机 硬件故障原因 正常硬件损耗 过年限使用 硬件本身质量问题 供电原因 电压不稳 波形失真 接地 维护原因 灰尘 工作环境如温度 湿度 润滑 静电 硬件故障解决方法 不使用过老产品 购买正宗渠道产品 改善供电环境 良好接地保持工作环境清洁 合适的温度 湿度 定期加润滑油 系统常见故障 操作系统崩溃应用系统故障 系统故障原因 操作系统漏洞 配置问题应用系统程序BUG 配置问题病毒攻击黑客攻击 解决办法 硬件容错 冗余电源 冗余风扇 RAID 操作系统 定制安装 补丁安装 了解应用需要 应用系统 正确安装 打补丁 细调参数 双机容错冷备份热备份 文件级 应用级 服务级 任务分担级 病毒防火墙 单机 网络 网络防火墙 高可用性集群简介 集群能力可用于多数康柏入门级 适中范围和高端ProLiant服务器具有升级至多路径软件的应用和数据访问保护可实现双环路配置能力支持StorageWorksRAIDArray4100子系统易于从现有ProLiant服务器移植 2 节点MSCS集群Supportfor WindowsNTServer4 0 Ent Ed Windows2000AdvancedServer64 BitFibreChannelHostController光纤通道主控卡7口和12口光纤通道HUB 或SwitchStorageSystem存储系统CompaqFibreChannelStorage光纤通道存储StorageWorksRAIDArray4100Singleloop单环连接EthernetorServernetinterconnect 以太网或Servernet节点互联 FCHostController FCHub interconnect ClientNetwork RA4100 RA4100 高可用性集群简介F100 RA4100 ProLiantClusterHA F200RA4100SAN解决方案2 RA4100 FCHubOrSwitch interconnect ClientNetwork 2服务器节点MSCS集群全系列ProLiant服务器光纤通道存储设备StorageWorksRA4100冗余RA4100RAID控制器双7或12口光纤通道集线器支持光纤通道交换器64bit光纤通道适配器多路径软件 SecurePath 管理光纤通道适配器 HBA 及光纤路径的故障回复 failover 支持操作系统 WindowsNTServer4 0企业版Windows2000AdvancedServer 网络安全 系统漏洞黑客攻击网络病毒尼姆达蠕虫讨论NT 2000环境下WEB服务器安全 NT 2000环境下服务器安全1 一 安装 不论是NT还是2000 硬盘分区均为NTFS分区 说明 1 NTFS比FAT分区多了安全控制功能 可以对不同的文件夹设置不同的访问权限 安全性增强 2 建议最好一次性全部安装成NTFS分区 而不要先安装成FAT分区再转化为NTFS分区 这样做在安装了SP5和SP6的情况下会导致转化不成功 甚至系统崩溃 3 安装NTFS分区有一个潜在的危险 就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀 这样一旦系统中了恶性病毒而导致系统不能正常启动 后果就比较严重 因此及建议平时做好防病毒工作 只安装一种操作系统 说明 安装两种以上操作系统 会给黑客以可乘之机 利用攻击使系统重启到另外一个没有安全设置的操作系统 或者他熟悉的操作系统 进而进行破坏 安装成独立的域控制器 StandAlone 选择工作组成员 不选择域 说明 主域控制器 PDC 是局域网中队多台联网机器管理的一种方式 用于网站服务器包含着安全隐患 使黑客有可能利用域方式的漏洞攻击站点服务器 NT 2000环境下服务器安全2 将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开 并在安装时最好不要使用系统默认的目录 如将 WINNT改为其他目录 说明 黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限 从而造成更大的破坏 安装操作系统最新的补丁程序 NT目前为SP6a 2000目前为SP2 在NT下 如果安装了补丁程序 以后如果要从NT光盘上安装新的Windows程序 都要重新安装一次补丁程序 2000下不需要这样做 说明 1 最新的补丁程序 表示系统以前有重大漏洞 非补不可了 对于局域网内服务器可以不是最新的 但站点必须安装最新补丁 否则黑客可能会利用低版本补丁的漏洞对系统造成威胁 这是一部分管理员较易忽视的一点 2 安装NT的SP5 SP6有一个潜在威胁 就是一旦系统崩溃重装NT时 系统将不会认NTFS分区 原因是微软在这两个补丁中对NTFS做了改进 只能通过Windows2000安装过程中认NTFS 这样会造成很多麻烦 建议同时做好数据备份工作 3 安装ServicePack前应先在测试机器上安装一次 以防因为例外原因导致机器死机 同时做好数据备份 尽量不安装与WEB站点服务无关的软件 其他应用软件有可能存在黑客熟知的安全漏洞 NT 2000环境下服务器安全3 帐号策略 1 帐号尽可能少 且尽可能少用来登录 2 除过Administrator外 有必要再增加一个属于管理员组的帐号 一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号 另方面 一旦黑客攻破一个帐号并更改口令 我们还有有机会重新在短期内取得控制权 3 所有帐号权限需严格控制 轻易不要给帐号以特殊权限 4 将Administrator重命名 改为一个不易猜的名字 其他一般帐号也应尊循着一原则 这样可以为黑客攻击增加一层障碍 5 将Guest帐号禁用 同时重命名为一个复杂的名字 增加口令 并将它从Guest组删掉 有的黑客工具正是利用了guest的弱点 可以将帐号从一般用户提升到管理员组 6 给所有用户帐号一个复杂的口令 长度最少在8位以上 且必须同时包含字母 数字 特殊字符 7 口令必须定期更改 建议至少两周该一次 且最好记在心里 除此以外不要在任何地方做记录 另外 如果在日志审核中发现某个帐号被连续尝试 则必须立刻更改此帐号 包括用户名和口令 8 在帐号属性中设立锁定次数 比如改帐号失败登录次数超过5次即锁定改帐号 这样可以防止某些大规模的登录尝试 同时也使管理员对该帐号提高警惕 NT 2000环境下服务器安全4 帐号策略 1 帐号尽可能少 且尽可能少用来登录 2 除过Administrator外 有必要再增加一个属于管理员组的帐号 一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号 另方面 一旦黑客攻破一个帐号并更改口令 我们还有有机会重新在短期内取得控制权 3 所有帐号权限需严格控制 轻易不要给帐号以特殊权限 4 将Administrator重命名 改为一个不易猜的名字 其他一般帐号也应尊循着一原则 这样可以为黑客攻击增加一层障碍 5 将Guest帐号禁用 同时重命名为一个复杂的名字 增加口令 并将它从Guest组删掉 有的黑客工具正是利用了guest的弱点 可以将帐号从一般用户提升到管理员组 6 给所有用户帐号一个复杂的口令 长度最少在8位以上 且必须同时包含字母 数字 特殊字符 7 口令必须定期更改 建议至少两周该一次 且最好记在心里 除此以外不要在任何地方做记录 另外 如果在日志审核中发现某个帐号被连续尝试 则必须立刻更改此帐号 包括用户名和口令 8 在帐号属性中设立锁定次数 比如改帐号失败登录次数超过5次即锁定改帐号 这样可以防止某些大规模的登录尝试 同时也使管理员对该帐号提高警惕 NT 2000环境下服务器安全5 解除NetBios与TCP IP协议的绑定 方法 NT 控制面版 网络 绑定 NetBios接口 禁用2000 控制面版 网络和拨号连接 本地网络 属性 TCP IP 属性 高级 WINS 禁用TCP IP上的NETBIOS删除所有的网络共享资源 方法 1 NT 管理工具 服务器管理器 共享目录 停止共享 2000 控制面版 管理工具 计算机管理 共享文件夹 停止共享 但上述两种方法太麻烦 服务器每重启一次 管理员就必须停止一次 2 修改注册表 运行Regedit 然后修改注册表在HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters下增加一个键Name AutoShareServer Type REG DWORD Value 0 然后重新启动您的服务器 磁盘分区共享去掉了 但IPC共享仍存在 需每次重启后手工删除 NT 2000环境下服务器安全6 改NTFS的安全权限 说明 NTFS下所有文件默认情况下对所有人 EveryOne 为完全控制权限 这使黑客有可能使用一般用户身份对文件做增加 删除 执行等操作 建议对一般用户只给予读取权限 而只给管理员和System以完全控制权限 但这样做有可能使某些正常的脚本程序不能执行 或者某些需要写的操作不能完成 这时需要对这些