信息系统安全

1、常州兆豪电子科技有限公司常州兆豪电子科技有限公司 陈陈 健健 安全概述安全概述 硬件安全硬件安全 系统安全系统安全 网络安全网络安全 解决方法解决方法安安 全全 概概 述述常见硬件故障常见硬件故障常见的系统故障及崩溃原因常见的系统故障及崩溃原因故障原因故障原因 硬盘故障硬盘故障 电源故障电源故障 板卡故障板卡故障 网络交换机网络交换机 正常硬件损耗（过年限使用、硬件本身质正常硬件损耗（过年限使用、硬件本身质 量问题）量问题） 供电原因供电原因(电压不稳、波形失真、接地）电压不稳、波形失真、接地） 维护原因（灰尘；工作环境如温度、湿度；维护原因（灰尘；工作环境如温度、湿度； 润滑；静电）润滑；静

2、电） 不使用过老产品、购买正宗渠道产品）不使用过老产品、购买正宗渠道产品） 改善供电环境、良好接地改善供电环境、良好接地 保持工作环境清洁；合适的温度、湿度；定保持工作环境清洁；合适的温度、湿度；定 期加润滑油期加润滑油 操作系统崩溃操作系统崩溃 应用系统故障应用系统故障 操作系统漏洞、配置问题操作系统漏洞、配置问题 应用系统程序应用系统程序BUGBUG、配置问题配置问题 病毒攻击病毒攻击 黑客攻击黑客攻击 硬件容错（冗余电源、冗余风扇、硬件容错（冗余电源、冗余风扇、RAID) 操作系统（定制安装、补丁安装、了解应用需要）操作系统（定制安装、补丁安装、了解应用需要） 应用系统（正确安装、打补丁

3、、细调参数）应用系统（正确安装、打补丁、细调参数） 双机容错双机容错 冷备份冷备份 热备份（文件级、应用级、服务级、任务分担）热备份（文件级、应用级、服务级、任务分担） 病毒防火墙（单机、网络）病毒防火墙（单机、网络）网络防火墙网络防火墙 集群能力可用于多数入门级、适中范围和高端服器集群能力可用于多数入门级、适中范围和高端服器 具有升级至多路径软件的应用和数据访问保护可实具有升级至多路径软件的应用和数据访问保护可实 现双环路配置能力现双环路配置能力 支持支持StorageWorksStorageWorks RAID Array 4100 RAID Array 4100子系统子系统 易于从现有服

4、务器移植易于从现有服务器移植2-2-节点节点 MSCS MSCS 集群集群Support for:Support for: Windows NT Server 4.0, Windows NT Server 4.0, EntEnt. Ed. . Ed. Windows 2000 Advanced ServerWindows 2000 Advanced Server64-Bit 64-Bit FibreFibre Channel Host Controller Channel Host Controller光光纤通纤通 道主控卡道主控卡 7 7口和口和1212口口光纤通道光纤通道 HUB,HUB,

5、或或SwitchSwitchStorage SystemStorage System存储系统存储系统 Compaq Compaq FibreFibre Channel Storage Channel Storage光纤通道光纤通道存储存储 StorageWorksStorageWorks RAID Array 4100 RAID Array 4100Single loopSingle loop单环连接单环连接 Ethernet or Ethernet or ServernetServernet interconnect, interconnect,以太网以太网或或ServernetServer

6、net节点互联节点互联FC Host ControllerFC HubinterconnectClient NetworkRA4100RA4100RA 4100RA 4100FC HubOr SwitchinterconnectClient Network. 2服务器节点服务器节点 MSCS 集群集群 全系列全系列 ProLiant 服务器服务器 光纤通道存储设备光纤通道存储设备 StorageWorks RA4100 冗余冗余 RA4100 RAID 控制器控制器双双 7 或或 12 口光纤通道集线器口光纤通道集线器 支持光纤通道交换器支持光纤通道交换器 64 bit 光纤通道适配器光纤通道

7、适配器 多路径软件多路径软件 ( Secure Path ) 管理光管理光纤通道适配器纤通道适配器( HBA ) 及光纤路径的及光纤路径的故障回复故障回复 ( failover ) 支持操作系统支持操作系统 : Windows NT Server 4.0 企业企业版版 Windows 2000 Advanced Server 系统漏洞系统漏洞 黑客攻击黑客攻击 网络病毒网络病毒 尼姆达蠕虫尼姆达蠕虫 讨论讨论NT/2000环境下环境下WEB服务器安全服务器安全一、 安装： 不论是NT还是2000，硬盘分区均为NTFS分区； 说明： （1） NTFS比FAT分区多了安全控制功能，可以对不同的文件

8、夹设置不同的访问权 限，安全性增强。 （2） 建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为 NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系 统崩溃。 （3） 安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对 软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统 不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。 只安装一种操作系统； 说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。 安装成独立的域控制器（S

9、tand Alone）,选择工作组成员，不选择域； 说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。 将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将WINNT改为其他目录； 说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。 安装操作系统最新的补丁程序，NT目前为SP6a，2000目前为SP2；在NT下，如果安装了补丁程序，以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程

10、序， 2000下不需要这样做。 说明： (1) 最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点； (2) 安装NT的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。 (3) 安装Service Pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份

11、。 尽量不安装与WEB站点服务无关的软件； 其他应用软件有可能存在黑客熟知的安全漏洞。帐号策略：(1)帐号尽可能少，且尽可能少用来登录； (2)除过Administrator外，有必要再增加一个属于管理员组的帐号； ，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。 (3)所有帐号权限需严格控制，轻易不要给帐号以特殊权限； (4)将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循着一原则。这样可以为黑客攻击增加一层障碍。 (5)将Guest帐号禁用，同时重命名为一个复杂的名字，增加

12、口令，并将它从 Guest组删掉；有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提升到管理员组。 (6)给所有用户帐号一个复杂的口令，长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。 (7)口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）； (8)在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。 解除NetBios与TCP/IP协议的绑定 方法：NT：控制面版

13、/网络/绑定/NetBios接口/禁用 2000：控制面版/网络和拨号连接/本地网络/属性/TCP/IP/属性/高级/WINS/禁用TCP/IP上的NETBIOS 删除所有的网络共享资源 方法：(1)NT:管理工具/服务器管理器/共享目录/停止共享; 2000:控制面版/管理工具/计算机管理/共享文件夹/停止共享 但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次 （2）修改注册表： 运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一个键 Name: AutoShareServer Type: REG_DWORD Value: 0 然后重新启动您的服务器，磁盘分区共享去掉了，但IPC共享仍存在，需每次重启后手工删除。 改NTFS的安全权限； 说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权