主机安全资料.docVIP

主机安全资料.精讲 主机安全资料.精讲 PAGE / NUMPAGES 主机安全资料.精讲 文档种类 内部文档 文档编号 文档版本 保密等级 主机安全 山东城联一卡通有限责任公司 目 录 一、身份鉴识 . 1 二、主机接见控制 1 三、强接见控制 2 四、系统保护 . 3 五、节余信息保护 5 六、入侵防备 . 5 七、歹意代码防备 7 八、资源控制 . 8 一、主机有关人员安全管理 10 二、机房管理 . 11 三、计算机病毒防备制度 12 四、数据保密及数据备份制度 13 主机安全管理 一、身份鉴识 系统与应用管理员用户设臵 对操作系统进行特权用户的特权分别 （如系统管理员、 应用管理员等）并供给专用登岸控制模块。采纳最小受权原则，进行受权。 系统与应用管理员口令安全 启用密码口令复杂性要求， 设臵密码长度最小值为 8 位，密码最长使用限期 90 天，强迫密码历史等，保证系统和应用管理用户身份表记不易被冒用。 登岸策略 采纳用户名、密码、密钥卡令牌实现用户身份鉴识。 非法接见警告 配臵账户锁定策略中的选项， 如账户锁准时间、 账户锁定阈值等实现结束会话、限制非法登岸次数和自动退出功能。 二、主机接见控制 主机相信关系 在域中设臵相信与被相信关系， 使一个域中的控制器考证另一个 域中的用户，进而自助控制主机相信关系， 并配臵了数据库主机相信 关系。 默认过期用户 1 超出 60 天没有更新计算机账户密码的计算机账户设臵为默认过 期用户，为防止共享账户存在，及时删除默认过期用户。 用户最小受权原则 依据管理用户的角色对权限做出标准仔细的区分， 并授与管理用 户的最小权限， 每个用户只好拥有刚够达成工作的最小权限。 并按角 色区分权限，每个角色各负其责，权限各自分别，一个管理角色不拥 有另一个管理角色的特权。 三、强接见控制 资源接见记录 经过系统安整日记以及设臵安全审计， 记录和剖析各用户和系统活动操作记录和信息资料，包含接见人员、接见计算机、接见时间、操作记录等信息。 重要系统文件强迫接见控制范围 对重要系统文件进行敏感标志， 设臵强迫接见控制体制。 依据管理用户的角色分派权限， 并作了仔细区分，禁授与管理用户最小权限，并对用户及用户程序进行限制，进而达到更高的安全级别。 共享目录 封闭系统设臵共享目录接见权限时，指定了一个鉴于当地 “Administrators ”组帐户的权限，保证共享目录的接见安全。 远程登岸控制 服务器上启用“路由和远程接见”服务，而且依照服务器操作系 2 统接见控制的安全策略， 受权接见用户身份 / 角色，未受权用户身份 / 角色接见客体，不一样意进行接见。 四、系统保护 系统备份 系统备份策略包含当地和远程两种方式。此中，当地备份主要使 用容错技术和冗余配臵来应付硬件故障， 采纳热备软件。 系统全部数 据存在数据库中，推行远程同步和备份数据库 故障恢复策略 正常状况下主服务器因为软硬件故障 （非人为要素）发生宕机时，网络容错软件立刻激活备份服务器保证业务过程连续进行， 不影响用户使用。 特别状况下因为网络系统遭黑客入侵，或网络系统遭病毒攻击，或系统管理员操作失误致使服务器瘫痪，就要恢复数据和系统。 故障恢复可分为数据复原和系统复原。 安全配臵 新建用户时账户便于记忆使用， 而且密码有必定复杂度； 对不一样账户进行受权，拥有相应权限；停用 GUEST账户；将管理员账户权限设臵最低；将共享文件权限改为受权用户； 登岸时不显示上一次登岸名；限制用户数目并开启用户策略。 采纳安全密码；开启密码策略；加密重要的文件和文件夹。 系统采纳 NTFS格式化分区；锁定注册表；配臵安全策略，并禁 3 止从软盘和光驱启动系统。 磁盘空间安全 采纳储存地区网络的方式集中化管理储存网络，包含来自多个 厂商的储存服务器、储存管理软件、应用服务器和网络硬件设备，随时随处的实现信息的储存、接见、共享和保护。 机房备有不中断电源 (UPS)，保证磁盘的正常工作。做好病毒防备以及系统升级工作 操作系统都存在着好多已知和未知的破绽， 加之此刻病毒攻击的范围也愈来愈宽泛， 而硬盘作为计算机的信息储存基地，往常都是计算机病毒攻击的首选目标。及时更新系统补丁，升级病毒库，做好病毒防备工作， 同时要注意对重要的数据进行保护和常常性的备份。在需要做硬件保护时，不进行带电操作。 服务器 7*24 小时开启，会长时间屡次的对硬盘进行读写，会对磁盘造成必定的伤害， 每个月作一次到两次磁盘碎片整理， 使硬盘的读写速度保持在最正确状态，保证磁盘空间安全。 主机加固 系统依照安全策略实行， 减少对外开放的端口， 在 MMC中封闭不需要的服务，禁止 Messenger 服务、禁止 Telnet 服务等；切断主机与应用管理的联系， 不授与主机的全局管理权限；