[精編]《安全管理》之電力部門如何維護管理信息系統(tǒng)的安全

1、此資料由網(wǎng)絡收集而來，如有侵權請告知上傳者立即刪除。資料共分享，我們負責傳遞知識。電力部門如何維護管理信息系統(tǒng)的安全 摘 要 詳細分析了管理信息系統(tǒng)常見的系統(tǒng)安全問題，針對性地提出解決方案和應注意的事項。 關鍵詞 系統(tǒng) 安全 維護 概述 隨著公司及下屬各單位的局域網(wǎng)和互聯(lián)網(wǎng)絡的深入應用，網(wǎng)絡不斷地擴展和日趨復雜，系統(tǒng)安全問題愈來愈突出。安全問題能導致信息系統(tǒng)的癱瘓、重要數(shù)據(jù)的丟失，使我們的業(yè)務停頓，管理陷入混亂，最終結(jié)果是給企業(yè)造成嚴重的經(jīng)濟損失。因此信息系統(tǒng)的安全問題，已經(jīng)與企業(yè)的生存能力息息相關，了解系統(tǒng)面臨的各種威脅，防范和消除這些威脅，實現(xiàn)真正的系統(tǒng)安全己經(jīng)成了信息技術發(fā)展中最重要的事

2、情。本文針對公司本部 mis 安全防范的管理經(jīng)驗，談談如何改善和解決系統(tǒng)的安全問題，希望起到拋磚引玉的作用，引起同行對系統(tǒng)安全管理的重視。 1從基本做起 對于中小型網(wǎng)絡來說系統(tǒng)管理員一般承擔安全管理員的角色。系統(tǒng)管理員采取的安全策略，最重要的是保證服務器的安全和分配好各類用戶的權限。一般情況下，需要注意以下一些方面。 2.1系統(tǒng)管理員必須了解整個網(wǎng)絡中的重要公共數(shù)據(jù)（限制寫）和機密數(shù)據(jù)（限制讀）分別是哪些，它在哪兒，哪些人使用，屬于哪些人，丟失或泄密會造成怎樣的損失。這些重要數(shù)據(jù)應集中放在中心機房的服務器上，置于有安全經(jīng)驗的專人管理之下。同時定期對各類用戶進行安全培訓。 2.2服務器上所有的卷

3、全部使用ntfs，使用最新的service p k升級你的nt和200操作系統(tǒng)。取消服務器上不用的服務和協(xié)議種類，網(wǎng)絡上的服務和協(xié)議越多安全性越差。 2.3不要將服務器的操作系統(tǒng)設置為自動登錄，應使用 nt security對話框（ctrlaltdel）注冊 。修改默認的“administrator”用戶名，加上“強口令”（多于10個字符且必須包括數(shù)字和符號），最好再創(chuàng)建一個具有“強口令”的管理員特權的賬號，使網(wǎng)絡管理員賬號不易被攻破。平時管理員賬號僅用于系統(tǒng)管理，不要在任何客戶機上使用管理員賬號，對屬于administrator組和備份組的成員用戶要特別慎重。 2.4限制可以登錄到有敏感數(shù)據(jù)

4、的服務器的用戶數(shù)，這樣在出現(xiàn)問題時可以縮小懷疑范圍。通過系統(tǒng)策略編輯器”可以進一步控制一般用戶或組在windowsgx客戶機上的行為。限制goest賬號的權限，最好不允許使用guest賬號。不要在everyone組增加任何權限，因為guest也屬于該組。 2.5一般不直接給用戶賦權，而通過用戶組分配用戶權限。新增用戶時分配一個口令，并控制用戶“首次登錄必須更改口令”，最好進一步設置成口令的不低于6個字符，杜絕安全漏洞。至少對用戶“登錄和注銷”網(wǎng)絡、“重新啟動、關機”、“安全規(guī)則更改”活動進行審計，但不要忘了過多的審計將影響系統(tǒng)性能。 2.6利用網(wǎng)管軟件管理好網(wǎng)絡設備，及時修改網(wǎng)絡設備默認的系統(tǒng)

5、管理口令（大部分網(wǎng)絡設備都沒有設置系統(tǒng)管理的口令）有條件的單位可以配置功能較強的網(wǎng)管軟件，主要包含網(wǎng)絡構(gòu)成管理、網(wǎng)絡故障管理、網(wǎng)絡性能管理、網(wǎng)絡安全管理等功能。 2.6.1網(wǎng)絡構(gòu)成管理 自動發(fā)現(xiàn)網(wǎng)絡節(jié)點 自動生成管理網(wǎng)絡圖 對象化管理 tp地址資源管理 2.6.2網(wǎng)絡故障管理 設定監(jiān)控方式 報告網(wǎng)絡故障 故障自動通知 面板管理和定制 2.6.3網(wǎng)絡性能管理 測定通信量 統(tǒng)計分析通信狀況 系統(tǒng)性能監(jiān)視預警 2.6.4網(wǎng)絡安全管理 形成網(wǎng)絡管理操作日志 判斷ip的合法使用 管理權限控制 3、做好數(shù)據(jù)備份 管理信息系統(tǒng)的服務器擔負著企業(yè)的關鍵應用，存儲著企業(yè)最為重要的信息和數(shù)據(jù)，為領導和決策部門提供

6、綜合信息查詢的服務，為網(wǎng)絡環(huán)境下的大量客戶機提供快速高效的信息查詢、數(shù)據(jù)處理和internet的各項服務。為保護關鍵應用數(shù)據(jù)的安全，在發(fā)生人為或自然災難的情況下，保證數(shù)據(jù)不丟失，必須建立可靠的網(wǎng)絡備份系統(tǒng)。 3.1完整的數(shù)據(jù)備份系統(tǒng)必須考慮以下幾點 計算機網(wǎng)絡數(shù)據(jù)備份的自動化，以減少系統(tǒng)管理員的工作量。 使數(shù)據(jù)備份工作制度化，科學化。 對介質(zhì)管理的有效化，防止讀寫操作的錯誤。 對數(shù)據(jù)形成分門別類的介質(zhì)存儲，使數(shù)據(jù)的保存更細致、科學。 自動介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命。 以備份服務器形成備份中心，對各種平臺的應用系統(tǒng)及其他信息數(shù)據(jù)進行集中的備份，系統(tǒng)管理員可以在任意一臺工作站上管理

7、、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理，集中管理的特點。 維護人員可以容易地恢復損壞的整個文件系統(tǒng)和各類數(shù)據(jù)。 備份系統(tǒng)還應考慮網(wǎng)絡帶寬對備份性能的影響，備份服務器的平臺選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴展性等因素。 3.2備份管理軟件的選擇 建設一個成功的自動備份系統(tǒng)，來承擔復雜的、多平臺的、系統(tǒng)不斷擴展的計算機網(wǎng)絡的數(shù)據(jù)備份，備份管理軟件的選擇是一個相當重要的工作。企業(yè)級備份市場目前可分為兩大塊：專有系統(tǒng)市場（es9000，as400）和開放系統(tǒng)市場（unix，nt）。在開放系統(tǒng)市場上，目前技術和市場的領先者是美國的veritas 公司、legato公司和ca公司。對于僅需

8、備份nt平臺的系統(tǒng)最好選擇ca公司的arcserer。對于跨多平臺多業(yè)務的系統(tǒng)，可以考慮選擇 veritas或 legato。 3.3備份設備的選擇 常用的存儲介質(zhì)類型有：磁盤、磁帶、光盤和 m0 （磁光盤），其中，磁帶和 光盤的費效比較高，在大容量的數(shù)據(jù)存儲方面比較常用。 目前比較流行的磁帶機技術主要有5種： dc200travan技術。這種技術主要為 pc 機提供入門級的數(shù)據(jù)保護，適合pc或低檔的pc 服務器，在商用市場里，這種技術己逐步退出市場。 qicdc600技術。也就是數(shù)據(jù)流帶機，最早由3m 公司開發(fā)，由于磁帶體積較大，因此，帶機只有5.25英寸格式。幾個主要的研究、生產(chǎn)的廠商如

9、seagate、tecmar都己停止了對它的開發(fā)。只有tandberg一家還在繼續(xù)生產(chǎn)。 8mm技術于1987 年由exabyt 公司最先推出，這種技術在相當高的價位上提供了相對較高的容量，由于其技術開放性較差，目前其市場占有率已越來越受到新技術產(chǎn)品的挑戰(zhàn)。 dlt（digital liner tape）技術。這種技術最早由dec公司開發(fā)，由于其技術的穩(wěn)定性，非常高的備份速度，以及極大的備份容量，目前在高端服務器市場的占有率正迅速提高。dlt 驅(qū)動器的容量從10gb（壓縮20gb）到35gb（壓縮70gb）不等，國外廠商近期己推出50gb（壓縮100gb）的 dlt磁帶機，數(shù)據(jù)傳輸速度相應從1

10、.5mb秒到6mb秒。 4mm技術。即 dat（digital audio type）技術，最早由惠普公司和索尼公司共同開發(fā)，這種技術以螺旋掃描記錄為基礎，將數(shù)據(jù)轉(zhuǎn)化為數(shù)字后存儲下來。4mm技術由于其良好的開放性已成為業(yè)界的標準。因此得到了廣泛的應用。目前，擁有較大的市場占有率。 一般來說，dat適合部門級網(wǎng)絡的備份，dlt則適合大型主機和網(wǎng)絡的高性能備份。 4、網(wǎng)絡防病毒 隨著網(wǎng)絡用戶數(shù)量不斷增多，內(nèi)外文件數(shù)據(jù)交換增大，數(shù)據(jù)交換渠道難以控制。在這種情況下，計算機病毒通過網(wǎng)絡傳播，甚至直接攻擊服務器，對整個網(wǎng)絡體系的安全構(gòu)成了極大的威脅。因此，為杜絕病毒可能對網(wǎng)絡系統(tǒng)構(gòu)成的危害，網(wǎng)絡防病毒工作

11、必須滲透到服務器和客戶端的各個角落，才能實現(xiàn)真正的安全防護。網(wǎng)絡防病毒系統(tǒng)應該包括以下功能： 全方位的病毒防護?？梢詴r刻監(jiān)視系統(tǒng)當中的病毒活動、系統(tǒng)狀況，時刻監(jiān)視網(wǎng)絡上硬盤、軟盤、光盤、因特網(wǎng)、網(wǎng)絡驅(qū)動器、電子郵件上的病毒傳染，在對染毒文件進行復制、移動、打開、運行、下載等操作前作出報苦提示，用戶通過選擇處理方案，可以將病毒阻止在操作系統(tǒng)外部。 定時掃描功能。允許用戶預定掃描作業(yè)，到達預定時間自動啟動，掃描所指定的服務器或工作站。用戶可以選擇非工作時間設定預掃描作業(yè)，減輕系統(tǒng)工作壓力。 集中網(wǎng)絡管理功能。能夠?qū)崿F(xiàn)對系統(tǒng)中的工作站和服務器進行集中統(tǒng)一管理，可以對網(wǎng)絡中的所有ntwindows20

12、00服務器和工作站進行任務分配、自動下載和分發(fā)、掃描設置等日常的安全維護工作。對病毒事件進行安全審計，向系統(tǒng)管理員提供證據(jù)，用來跟蹤、追查各種可能的病毒事件。 網(wǎng)絡報警功能。擁有網(wǎng)絡報警系統(tǒng)，可以多種方式向網(wǎng)絡管理員和用戶進行病毒報警，提供網(wǎng)絡廣播、故障打印、郵件、尋呼機報警等多種報警方式.用戶無論身在何處，均可以及時獲得報警信息，及時進行處理。 網(wǎng)絡自動更新、軟件分發(fā)功能。擁有病毒升級文件的自動下載、更新和分發(fā)系統(tǒng)。通過管理員簡單的配置，無需人工千預，在一臺服務器上下載升級文件就可自動完成全域內(nèi)所有計算機的升級工作。所有的下載、更新和分發(fā)工作全部由自動啟動、控制，自動完成。 實時防護郵件系統(tǒng)

13、功能。可以對notes或 exchange 郵件系統(tǒng)中的郵件及其附件提供實時的病毒防護，時時刻刻保護郵件系統(tǒng)。 5、安全漏洞掃描與實時監(jiān)控 5.1安全漏洞掃描 根據(jù)網(wǎng)絡構(gòu)造，可以把網(wǎng)絡安全問題具體定位在以下三個層次上： 層次一：通訊和服務 該層次的安全問題主要體現(xiàn)在網(wǎng)絡協(xié)議本身存在的一些漏洞。如ping炸彈可使一臺主機宕機，無需口令通過 rlogon以root身份登錄到一臺主機等，都是利用了tcpip協(xié)議本身的漏洞。 層次二：操作系統(tǒng) 這一層次的安全問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運行各種unix的操作系統(tǒng)。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來的威脅。 層次三：應用程序 該層次的安全威脅來自內(nèi)部網(wǎng)的防火墻配置、內(nèi)外web 站點的服務、網(wǎng)上交易、撥號服務、e-mail服務、傳真服務及對數(shù)據(jù)庫的保