機房設備風險管控

1、機房設備風險管控服務器維護及安全：①關(guān)閉無用的端口：網(wǎng)絡連接都是通過開放的應用端口來實現(xiàn)的。盡可能少地開放端口，就會大大減少了攻擊者成功的機會。關(guān)閉掉不會用到的服務。tel使用更為安全的ssh來代替。下載端口掃描程序掃描系統(tǒng)，如果發(fā)現(xiàn)有未知的開放端口，馬上找到正使用它的進程，從而判斷是否關(guān)閉。Windows主機可采用定義安全策略的方法關(guān)閉隱患端口；也可采用篩選tcp端口添加允許的端口，其余端口就被自動排除。②刪除不用的軟件包將不需要的服

2、務一律去掉，如果服務器運行了很多的服務。但有許多服務是不需要的，很容易引起安全風險；同時可以騰出空間運行必要的服務，既節(jié)省資源又能保證服務器安全。③不設置缺省路由在服務器中，應該嚴格禁止設置缺省路由，建議為每一個子網(wǎng)或網(wǎng)段設置一個路由，否則其它機器就可能通過一定方式訪問該服務器而造成安全隱患。④口令管理服務器登陸口令的長度一般不少于8個字符，口令的組成應以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合，嚴格避免用英語單詞或詞組等設置口令，定期更換

3、。Windows主機可以通過組策略中的密碼策略強制使用強密碼并要求定期修改，還需要為administrat賬號改名。⑤分區(qū)管理潛在的攻擊首先就會嘗試緩沖區(qū)溢出。以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式。更為嚴重的是，緩沖區(qū)溢出漏洞占了遠程網(wǎng)絡攻擊的絕大多數(shù)，這種攻擊可以輕易使得一個匿名的Inter用戶有機會獲得一臺主機的部分或全部的控制權(quán)。Windows主機分區(qū)格式采用ntfs文件格式，對不同的文件夾設置不同的權(quán)限。為防止緩沖區(qū)

4、溢出類型的網(wǎng)絡攻擊，安裝相應的溢出漏洞補??；日志文件放在非系統(tǒng)分區(qū)上。⑥防范網(wǎng)絡嗅探：嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發(fā)現(xiàn)?？墒褂冒踩耐負浣Y(jié)構(gòu)、會話加密、使用靜態(tài)的ARP地址來防范。⑦完整的日志管理日志文件記錄著系統(tǒng)運行情況，攻擊者往往在攻擊時修改日志文件，來隱藏蹤跡；因此需要對日志文件及目錄設置嚴格的訪問權(quán)限，禁止其他用戶的讀取和寫入權(quán)限。Windows主機開啟審核策略，對賬戶管理、登錄事件、對象訪問、策略更改、

5、特權(quán)使用、系統(tǒng)事件、目錄服務訪問、賬戶登錄事件的成功失敗進行審核，產(chǎn)生日志文件，同時只有系統(tǒng)管理員對日志文件有訪問權(quán)限。⑧使用安全工具軟件：Windows主機可部署防病毒軟件，安裝微軟基線安全分析器MBSA掃描服務器操作系統(tǒng)漏洞，及時下載serverpack和漏洞補丁。部署主機IDS（入侵檢測系統(tǒng)）；如免費的輕量級網(wǎng)絡入侵檢測系統(tǒng)snt，網(wǎng)絡設備安全①交換機的安全啟用VLAN技術(shù)：在交換機的端口上定義VLAN，所有連接到這個特定端口的終

6、端都是虛擬網(wǎng)絡的一部分，并且整個網(wǎng)絡可以支持多個VLAN。VLAN通過建立網(wǎng)絡防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個VLAN間的傳輸和可能出現(xiàn)的問題，使網(wǎng)絡吞吐量大大增加，減少了網(wǎng)絡延遲。在虛擬網(wǎng)絡環(huán)境中，可以通過劃分不同的虛擬網(wǎng)絡來控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來并不麻煩，管理員可以邏輯上重新配置網(wǎng)絡，迅速、簡單、有效地平衡負載流量，增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)

7、絡配置。②路由器的安全:a堵住安全漏洞限制系統(tǒng)物理訪問是確保路由器安全的最有效方法，將控制臺和終端會話配置成在較短閑置時間后自動退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問，則一定要確保路由器的安全補丁是最新的。b避免身份危機入侵者常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外，一旦重要的IT員工辭職，用戶應該立即更換口令。用戶應該啟用路由器