Download presentation
Presentation is loading. Please wait.
1
信息系统安全 常州兆豪电子科技有限公司 陈 健
2
目 录 安全概述 硬件安全 系统安全 网络安全 解决方法
3
安 全 概 述 常见硬件故障 常见的系统故障及崩溃原因 故障原因
4
硬件常见故障 硬盘故障 电源故障 板卡故障 网络交换机
5
硬件故障原因 正常硬件损耗(过年限使用、硬件本身质 量问题) 供电原因(电压不稳、波形失真、接地)
正常硬件损耗(过年限使用、硬件本身质 量问题) 供电原因(电压不稳、波形失真、接地) 维护原因(灰尘;工作环境如温度、湿度; 润滑;静电)
6
硬件故障解决方法 不使用过老产品、购买正宗渠道产品) 改善供电环境、良好接地 保持工作环境清洁;合适的温度、湿度;定 期加润滑油
7
系统常见故障 操作系统崩溃 应用系统故障
8
系统故障原因 操作系统漏洞、配置问题 应用系统程序BUG、配置问题 病毒攻击 黑客攻击
9
解决办法 硬件容错(冗余电源、冗余风扇、RAID) 操作系统(定制安装、补丁安装、了解应用需要) 应用系统(正确安装、打补丁、细调参数)
双机容错 冷备份 热备份(文件级、应用级、服务级、任务分担) 病毒防火墙(单机、网络) 网络防火墙
10
高可用性 集 群简介 集群能力可用于多数入门级、适中范围和高端服器 具有升级至多路径软件的应用和数据访问保护可实 现双环路配置能力
具有升级至多路径软件的应用和数据访问保护可实 现双环路配置能力 支持StorageWorks RAID Array 4100子系统 易于从现有服务器移植
11
高可用性集群简介 … Client Network FC Host FC Hub Controller RA4100 RA4100
2-节点 MSCS 集群 Support for: Windows NT Server 4.0, Ent. Ed. Windows 2000 Advanced Server 64-Bit Fibre Channel Host Controller光纤通 道主控卡 7口和12口光纤通道 HUB,或Switch Storage System存储系统 Compaq Fibre Channel Storage光纤通道 存储 StorageWorks RAID Array 4100 Single loop单环连接 Ethernet or Servernet interconnect,以太网或 Servernet节点互联 interconnect FC Host Controller FC Hub RA4100 RA4100 …
12
Cluster 解决方案2 ... 2服务器节点 MSCS 集群 全系列 ProLiant 服务器 光纤通道存储设备
Client Network 2服务器节点 MSCS 集群 全系列 ProLiant 服务器 光纤通道存储设备 StorageWorks RA4100 冗余 RA4100 RAID 控制器 双 7 或 12 口光纤通道集线器 支持光纤通道交换器 64 bit 光纤通道适配器 多路径软件 ( Secure Path ) 管理光 纤通道适配器( HBA ) 及光纤路径的 故障回复 ( failover ) 支持操作系统 : Windows NT Server 4.0 企业 版 Windows 2000 Advanced Server interconnect FC Hub Or Switch ... RA 4100 RA 4100
13
网络安全 系统漏洞 黑客攻击 网络病毒 尼姆达蠕虫 讨论NT/2000环境下WEB服务器安全
14
NT/2000环境下服务器安全1 不论是NT还是2000,硬盘分区均为NTFS分区; 说明:
一、 安装: 不论是NT还是2000,硬盘分区均为NTFS分区; 说明: (1) NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权 限,安全性增强。 (2) 建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为 NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系 统崩溃。 (3) 安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对 软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统 不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。 只安装一种操作系统; 说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。 安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域; 说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
15
NT/2000环境下服务器安全2 将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录; 说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。 安装操作系统最新的补丁程序,NT目前为SP6a,2000目前为SP2;在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序, 2000下不需要这样做。 说明: (1) 最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点; (2) 安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。 (3) 安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。 尽量不安装与WEB站点服务无关的软件; 其他应用软件有可能存在黑客熟知的安全漏洞。
16
NT/2000环境下服务器安全3 帐号策略: (1)帐号尽可能少,且尽可能少用来登录;
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号; ,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权。 (3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限; (4)将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循着一原则。这样可以为黑客攻击增加一层障碍。 (5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从 Guest组删掉;有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。 (6)给所有用户帐号一个复杂的口令,长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。 (7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令); (8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
17
NT/2000环境下服务器安全4 解除NetBios与TCP/IP协议的绑定 方法:NT:控制面版/网络/绑定/NetBios接口/禁用
2000:控制面版/网络和拨号连接/本地网络/属性/TCP/IP/属性/高级/WINS/禁用TCP/IP上的NETBIOS 删除所有的网络共享资源 方法:(1)NT:管理工具/服务器管理器/共享目录/停止共享; 2000:控制面版/管理工具/计算机管理/共享文件夹/停止共享 但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次 (2)修改注册表: 运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键 Name: AutoShareServer Type: REG_DWORD Value: 0 然后重新启动您的服务器,磁盘分区共享去掉了,但IPC共享仍存在,需每次重启后手工删除。
18
NT/2000环境下服务器安全5 改NTFS的安全权限;
说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。 系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。(或者在boot.ini里将TimeOut 的值改为0) 只开放必要的端口,关闭其余端口。缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。
19
小结 硬件安全 系统安全 网络安全
20
谢 谢! 优康科技
Similar presentations
