機(jī)房設(shè)備風(fēng)險(xiǎn)管控

1、機(jī)房設(shè)備風(fēng)險(xiǎn)管控服務(wù)器維護(hù)及安全: 關(guān)閉無(wú)用的端口 ：網(wǎng)絡(luò)連接都是通過(guò)開(kāi)放的應(yīng)用端口來(lái)實(shí)現(xiàn)的。盡可能少地開(kāi)放端口，就會(huì)大大減少了攻擊者成功的機(jī)會(huì)，關(guān)閉掉不會(huì)用到的服務(wù)。telnet使用更為安全 的ssh來(lái)代替。下載端口掃描程序掃描系統(tǒng)，如果發(fā)現(xiàn)有未知的開(kāi)放端 口，馬 上找到正使用它的進(jìn)程，從而判斷是否關(guān)閉。"，十Windows主機(jī)可采用定義安全策略的方法關(guān)閉隱患端口;也可采用篩選tcp端口添加允許的端口，其余端口就被自動(dòng)排除。v* ' V ® v * 刪除不用的軟件包將不需要的服務(wù)一律去掉,如果服務(wù)器運(yùn)行了很多的服務(wù)。但有許多服務(wù) 是不需要的，很容易引起安全風(fēng)險(xiǎn)；同

2、時(shí)可以騰岀空間運(yùn)行必要的服務(wù), 既節(jié)省資源又能保證服務(wù)器安全。 不設(shè)置缺省路由 在服務(wù)器中，應(yīng)該嚴(yán)格禁止設(shè)置缺省路由，建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由，否則其它機(jī)器就可能通過(guò)一定方式訪問(wèn)該服務(wù)器而造成安全隱患。 口令管理服務(wù)器登陸口令的険度般不少于8個(gè)字符,口令的組成應(yīng)以無(wú)規(guī)則的大小寫(xiě)字母、數(shù)字和符號(hào)相結(jié)合,嚴(yán)格避免用英語(yǔ)單詞或詞組等設(shè)置口令，定期 更' r 1 汴.t ° "，卞2換。Windows主可以通過(guò)組策略中的密碼策賂強(qiáng)制使用強(qiáng)密碼并要求定期修改，還/*.a.I2 . f . « 8 口. * 需耍為administrator賬號(hào)改名 分區(qū)管理

3、 潛在的攻擊首先就會(huì)嘗試緩沖區(qū)溢出。以緩沖區(qū)溢出為類(lèi)型的安全漏洞是最為常 廠J4. K曠4.1-4 . ? 1-*.b.見(jiàn)的一種形式漫更為嚴(yán)重的是，緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕 大多數(shù)吳這種攻擊可以輕易使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控 制權(quán)。Windows主機(jī)分區(qū)格式采用ntfs文件格式，對(duì)不同的文件夾設(shè)置不同的權(quán)限。為防止緩沖區(qū)溢出類(lèi)型的網(wǎng)絡(luò)攻擊，安裝相應(yīng)的溢出漏洞補(bǔ)丁；日志文件放在非系統(tǒng) 分區(qū)上。 防范網(wǎng)絡(luò)嗅探;嗅探器能夠造成很大的安 全危害，主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)?？墒褂冒踩耐?fù)浣Y(jié)構(gòu)、會(huì)話加密、使用靜 態(tài)的 ARP地址來(lái)防范。 完整的日志管

4、理日志文件記錄著系統(tǒng)運(yùn)行情況，攻擊者往往在攻擊時(shí)修改日 * V * 志文件，來(lái)隱藏蹤跡；因此需要對(duì)日志文件及目錄設(shè)置嚴(yán)格的訪問(wèn)權(quán)限，禁止其他用戶的讀 取和寫(xiě) 入權(quán)限。Windows主機(jī)開(kāi)啟審核策略，對(duì)賬戶管理、登錄事件、對(duì)象訪問(wèn)、策略更改、特權(quán)使用、系統(tǒng)事件、目錄服務(wù)訪問(wèn)、賬戶登錄事 件的成功 失敗進(jìn)行審核，產(chǎn)生日志文 件，同時(shí)只有系統(tǒng)管理員對(duì)日志文件有訪問(wèn)權(quán)限。 使用安全工具軟件：Win dows主機(jī)可部署防病毒軟件，安裝微軟基線安全分析器MBSAm描服務(wù)器操作（入侵檢測(cè)系統(tǒng)）:系統(tǒng)漏洞，及時(shí)下載server pack和漏洞補(bǔ)丁部署主機(jī)IDS如免費(fèi)的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)snort ,網(wǎng)絡(luò)設(shè)

5、備安全 交換機(jī)的安全啟用VLAN技術(shù)：在交換機(jī)的端口上定義VLAN,所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分'并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè)VLAN VLAN通過(guò)建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個(gè)VLAN間的傳輸和可能岀現(xiàn)的問(wèn)題，使網(wǎng)絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中，可 以通過(guò) 劃分不同的虛擬網(wǎng)絡(luò)來(lái)控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來(lái)有效的®*.>VI實(shí)現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來(lái)并不麻煩，管理員可以邏輯上重新配置網(wǎng)絡(luò)， 迅速、簡(jiǎn)單、有效地平衡負(fù)載流量，增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng) 絡(luò)配置。路由器的安全：a堵住安全漏洞限制系統(tǒng)物理訪問(wèn)是確保路由器安全的最有效方法，將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重 要。一旦限制了路由器的物理訪問(wèn)，則一定要確保路由器的安全補(bǔ)丁是最新的。b避免身份危機(jī)入侵者常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長(zhǎng)口令