NetCharge 网络管理计费系统演示文档 - JALIS

1、www.u-南京优康科技有限责任公司南京优康科技有限责任公司图书馆自动化系统安全图书馆自动化系统安全www.u-南京优康科技有限责任公司南京优康科技有限责任公司目录目录 安全概述安全概述 硬件安全硬件安全 系统安全系统安全 网络安全网络安全 解决方法解决方法www.u-南京优康科技有限责任公司南京优康科技有限责任公司安全概述安全概述 图书馆常见硬件故障图书馆常见硬件故障 图书馆常见的系统故图书馆常见的系统故障及崩溃原因障及崩溃原因 故障原因故障原因www.u-南京优康科技有限责任公司南京优康科技有限责任公司硬件常见故障硬件常见故障 硬盘故障硬盘故障 电源故障电源故障 板卡故障板卡故障 网络交换

2、机网络交换机www.u-南京优康科技有限责任公司南京优康科技有限责任公司硬件故障原因硬件故障原因 正常硬件损耗（过年限使用、正常硬件损耗（过年限使用、硬件本身质量问题）硬件本身质量问题） 供电原因供电原因(电压不稳、波形失电压不稳、波形失真、接地）真、接地） 维护原因（灰尘；工作环境维护原因（灰尘；工作环境如温度、湿度；润滑；静电）如温度、湿度；润滑；静电）www.u-南京优康科技有限责任公司南京优康科技有限责任公司硬件故障解决方法硬件故障解决方法 不使用过老产品、购买正宗不使用过老产品、购买正宗渠道产品）渠道产品） 改善供电环境、良好接地改善供电环境、良好接地 保持工作环境清洁；合适的保持工

3、作环境清洁；合适的温度、湿度；定期加润滑油温度、湿度；定期加润滑油www.u-南京优康科技有限责任公司南京优康科技有限责任公司系统常见故障系统常见故障 操作系统崩溃操作系统崩溃 应用系统故障应用系统故障www.u-南京优康科技有限责任公司南京优康科技有限责任公司系统故障原因系统故障原因 操作系统漏洞、配置问题操作系统漏洞、配置问题 应用系统程序应用系统程序BUGBUG、配置问配置问题题 病毒攻击病毒攻击 黑客攻击黑客攻击www.u-南京优康科技有限责任公司南京优康科技有限责任公司解决办法解决办法 硬件容错（冗余电源、冗余风扇、硬件容错（冗余电源、冗余风扇、RAID) 操作系统（定制安装、补丁安

4、装、了解应用需要）操作系统（定制安装、补丁安装、了解应用需要） 应用系统（正确安装、打补丁、细调参数）应用系统（正确安装、打补丁、细调参数） 双机容错双机容错 冷备份冷备份 热备份（文件级、应用级、服务级、任务分担热备份（文件级、应用级、服务级、任务分担级）级） 病毒防火墙（单机、网络）病毒防火墙（单机、网络）网络防火墙网络防火墙 www.u-南京优康科技有限责任公司南京优康科技有限责任公司高可用性高可用性 集集 群简介群简介集 群 能 力 可 用 于 多 数 康 柏 入 门 级 、 适 中 范 围 和 高 端 ProLiant 服 务 器 具 有升 级 至 多 路 径 软 件 的 应 用 和

5、 数 据 访 问 保 护 可 实 现 双 环 路 配 置 能 力 支 持 StorageWorks RAID Array 4100 子 系 统 易 于 从 现 有 ProLiant 服 务 器 移 植www.u-南京优康科技有限责任公司南京优康科技有限责任公司 2-节点 MSCS 集群 Support for:Windows NT Server 4.0, Ent. Ed. Windows 2000 Advanced Server 64-Bit Fibre Channel Host Controller光纤通 道主控卡 7口和12口光纤通道 HUB,或Switch Storage System存

6、储系统Compaq Fibre Channel Storage光纤通道存储 StorageWorks RAID Array 4100 Single loop单环连接 Ethernet or Servernet interconnect,以太网或Servernet节点互联FC Host ControllerFC HubinterconnectClient NetworkRA4100RA4100高可用性高可用性 集集 群简介群简介F100Fwww.u-南京优康科技有限责任公司南京优康科技有限责任公司RA 4100ProLiant Cluster HA/F200 RA4100 SAN 解决方案2RA

7、 4100FC HubOr SwitchinterconnectClient Network. 2 服务器节点 MSCS 集群 全系列 ProLiant 服务器 光纤通道存储设备 StorageWorks RA4100 冗余 RA4100 RAID 控制器双 7 或 12 口光纤通道集线器 支持光纤通道交换器 64 bit 光纤通道适配器 多路径软件 ( Secure Path ) 管理光纤通道适配器( HBA ) 及光纤路径的故障回复 ( failover ) 支持操作系统 : Windows NT Server 4.0 企业版 Windows 2000 Advanced Swww.u-南京

8、优康科技有限责任公司南京优康科技有限责任公司网络安全网络安全 系统漏洞系统漏洞 黑客攻击黑客攻击 网络病毒网络病毒 尼姆达蠕虫尼姆达蠕虫 讨论讨论NT/2000环境下环境下WEB服务器安全服务器安全www.u-南京优康科技有限责任公司南京优康科技有限责任公司NT/2000NT/2000环境下服务器安全环境下服务器安全1 1一、 安装： 不论是NT还是2000，硬盘分区均为NTFS分区； 说明： （1） NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。 （2） 建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装

9、了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。 （3） 安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。 只安装一种操作系统； 说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。 安装成独立的域控制器（Stand Alone）,选择工作组成员，不选择域； 说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使

10、黑客有可能利用域方式的漏洞攻击站点服务器。 www.u-南京优康科技有限责任公司南京优康科技有限责任公司NT/2000NT/2000环境下服务器安全环境下服务器安全2 2将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将WINNT改为其他目录； 说明：黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。 安装操作系统最新的补丁程序，NT目前为SP6a，2000目前为SP2；在NT下，如果安装了补丁程序，以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序， 2000下不需要这

11、样做。 说明： （1） 最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点； （2） 安装NT的SP5、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS，这样会造成很多麻烦，建议同时做好数据备份工作。 （3） 安装Service Pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。 尽量不安装与WEB站

12、点服务无关的软件； 其他应用软件有可能存在黑客熟知的安全漏洞。www.u-南京优康科技有限责任公司南京优康科技有限责任公司NT/2000NT/2000环境下服务器安全环境下服务器安全3 3帐号策略：（1）帐号尽可能少，且尽可能少用来登录； （2）除过Administrator外，有必要再增加一个属于管理员组的帐号； ，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。 （3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限； （4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循着

13、一原则。这样可以为黑客攻击增加一层障碍。 （5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从 Guest组删掉；有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提升到管理员组。 （6）给所有用户帐号一个复杂的口令，长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。 （7）口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）； （8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝

14、试，同时也使管理员对该帐号提高警惕。 www.u-南京优康科技有限责任公司南京优康科技有限责任公司NT/2000NT/2000环境下服务器安全环境下服务器安全4 4帐号策略：（1）帐号尽可能少，且尽可能少用来登录； （2）除过Administrator外，有必要再增加一个属于管理员组的帐号； ，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。 （3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限； （4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循着一原则。这样可以为黑客攻

15、击增加一层障碍。 （5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从 Guest组删掉；有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提升到管理员组。 （6）给所有用户帐号一个复杂的口令，长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。 （7）口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）； （8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐

16、号提高警惕。 www.u-南京优康科技有限责任公司南京优康科技有限责任公司NT/2000NT/2000环境下服务器安全环境下服务器安全5 5解除NetBios与TCP/IP协议的绑定 方法：NT：控制面版/网络/绑定/NetBios接口/禁用 2000：控制面版/网络和拨号连接/本地网络/属性/TCP/IP/属性/高级/WINS/禁用TCP/IP上的NETBIOS 删除所有的网络共享资源 方法：(1)NT:管理工具/服务器管理器/共享目录/停止共享; 2000:控制面版/管理工具/计算机管理/共享文件夹/停止共享 但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次 （2）修改注册表：

17、 运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一个键 Name: AutoShareServer Type: REG_DWORD Value: 0 然后重新启动您的服务器，磁盘分区共享去掉了，但IPC共享仍存在，需每次重启后手工删除。 www.u-南京优康科技有限责任公司南京优康科技有限责任公司NT/2000NT/2000环境下服务器安全环境下服务器安全6 6改NTFS的安全权限； 说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建