機(jī)房維護(hù)方案

1、.機(jī)房維護(hù)方案一、維護(hù)目的保障機(jī)房設(shè)備正常運(yùn)行，過(guò)對(duì)機(jī)房環(huán)境支撐系統(tǒng)、監(jiān)控設(shè)備、計(jì)算機(jī)主機(jī)設(shè)備定期檢測(cè)、維護(hù)和保養(yǎng)，保障機(jī)房設(shè)備運(yùn)行穩(wěn)定，通過(guò)保養(yǎng)延長(zhǎng)設(shè)備生命周期， 降低故障率。確保機(jī)房在突發(fā)事故導(dǎo)致硬件設(shè)備故障，影響機(jī)房正常運(yùn)作情況下， 可及時(shí)得到設(shè)備供應(yīng)商或機(jī)房服務(wù)維護(hù)人員的產(chǎn)品維修和技術(shù)支持，并快速解決故障。二、維護(hù)內(nèi)容1、機(jī)房主機(jī)設(shè)備維護(hù)管理：計(jì)算機(jī)服務(wù)器（包括PC 服務(wù)器及存儲(chǔ)服務(wù)器）；網(wǎng)絡(luò)設(shè)備（交換路由設(shè)備等） 。2、機(jī)房監(jiān)控設(shè)備維護(hù)管理 ：供配電監(jiān)測(cè)系統(tǒng)、溫度環(huán)境檢測(cè)系統(tǒng)、門禁設(shè)備系統(tǒng)、保安監(jiān)控設(shè)備。3、機(jī)房空調(diào)與配電設(shè)備維護(hù)管理：空調(diào)設(shè)備、新風(fēng)設(shè)備、 UPS電池、主配電箱。4、

2、機(jī)房消防設(shè)備維護(hù)管理 ：煙感熱感探測(cè)器、 手動(dòng)報(bào)警按鈕和報(bào)警控制器、滅火器的控制裝置。5、機(jī)房供水水路、 電路及照明維護(hù)管理： 水電路管線及接口的檢查維護(hù)。6、機(jī)房基礎(chǔ)維護(hù)管理： 機(jī)柜線路的整理、標(biāo)簽檢查更換、機(jī)房除塵清潔、防火地板、墻面、吊頂、門窗及相關(guān)配套的維護(hù)管理。三、具體維護(hù)方案1、機(jī)房主要設(shè)備維護(hù)及安全：.服務(wù)器維護(hù)及安全：關(guān)閉無(wú)用的端口：網(wǎng)絡(luò)連接都是通過(guò)開放的應(yīng)用端口來(lái)實(shí)現(xiàn)的。盡可能少地開放端口，就會(huì)大大減少了攻擊者成功的機(jī)會(huì)。關(guān)閉掉不會(huì)用到的服務(wù)。telnet 使用更為安全的ssh 來(lái)代替。下載端口掃描程序掃描系統(tǒng)，如果發(fā)現(xiàn)有未知的開放端口， 馬上找到正使用它的進(jìn)程， 從而判斷是

3、否關(guān)閉。Windows 主機(jī)可采用定義安全策略的方法關(guān)閉隱患端口；也可采用篩選 tcp 端口添加允許的端口，其余端口就被自動(dòng)排除。Linux 主機(jī)可檢查 inetdconf 文件。在該文件中注釋掉那些永不會(huì)用到的服務(wù) (如： echo、 gopher、rsh、rlogin 、rexec、ntalk、 finger等 )。刪除不用的軟件包將不需要的服務(wù)一律去掉， 如果服務(wù)器運(yùn)行了很多的服務(wù)。 但有許多服務(wù)是不需要的， 很容易引起安全風(fēng)險(xiǎn)； 同時(shí)可以騰出空間運(yùn)行必要的服務(wù)，既節(jié)省資源又能保證服務(wù)器安全。不設(shè)置缺省路由在服務(wù)器中， 應(yīng)該嚴(yán)格禁止設(shè)置缺省路由， 建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由， 否

4、則其它機(jī)器就可能通過(guò)一定方式訪問(wèn)該服務(wù)器而造成安全隱患?？诹罟芾矸?wù)器登陸口令的長(zhǎng)度一般不少于8 個(gè)字符，口令的組成應(yīng)以無(wú).規(guī)則的大小寫字母、 數(shù)字和符號(hào)相結(jié)合， 嚴(yán)格避免用英語(yǔ)單詞或詞組等設(shè)置口令，定期更換。Windows 主機(jī)可以通過(guò)組策略中的密碼策略強(qiáng)制使用強(qiáng)密碼并要求定期修改，還需要為administrator 賬號(hào)改名。Linux 主機(jī)口令的保護(hù)涉及到對(duì)/etc/passwd和/etc/shadow 文件的保護(hù)，必須做到只有系統(tǒng)管理員才有權(quán)限訪問(wèn)這2 個(gè)文件。安裝口令過(guò)濾工具加 npasswd，可檢查系統(tǒng)口令是否可經(jīng)受攻擊。分區(qū)管理潛在的攻擊首先就會(huì)嘗試緩沖區(qū)溢出。以緩沖區(qū)溢出為類型

5、的安全漏洞是最為常見的一種形式。更為嚴(yán)重的是， 緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以輕易使得一個(gè)匿名的Internet 用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)。Windows 主機(jī)分區(qū)格式采用ntfs 文件格式，對(duì)不同的文件夾設(shè)置不同的權(quán)限。為防止緩沖區(qū)溢出類型的網(wǎng)絡(luò)攻擊，安裝相應(yīng)的溢出漏洞補(bǔ)?。蝗罩疚募旁诜窍到y(tǒng)分區(qū)上。Linux 主機(jī)可為 /var 開辟單獨(dú)的分區(qū)，用來(lái)存放日志和郵件，以避免 root 分區(qū)被溢出。為特殊的應(yīng)用程序單獨(dú)開一個(gè)分區(qū)，特別是可以產(chǎn)生大量日志的程序，為/home 單獨(dú)分一個(gè)區(qū)，這樣可防止/home目錄文件填滿根分區(qū)， 從而就避免了部分針對(duì)Li

6、nux 分區(qū)溢出的惡意攻擊。防范網(wǎng)絡(luò)嗅探：嗅探器能夠造成很大的安全危害， 主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。.可使用安全的拓?fù)浣Y(jié)構(gòu)、會(huì)話加密、使用靜態(tài)的ARP 地址來(lái)防范。完整的日志管理日志文件記錄著系統(tǒng)運(yùn)行情況， 攻擊者往往在攻擊時(shí)修改日志文件，來(lái)隱藏蹤跡； 因此需要對(duì)日志文件及目錄設(shè)置嚴(yán)格的訪問(wèn)權(quán)限，禁止其他用戶的讀取和寫入權(quán)限。Windows 主機(jī)開啟審核策略，對(duì)賬戶管理、登錄事件、對(duì)象訪問(wèn)、策略更改、特權(quán)使用、系統(tǒng)事件、目錄服務(wù)訪問(wèn)、賬戶登錄事件的成功失敗進(jìn)行審核，產(chǎn)生日志文件，同時(shí)只有系統(tǒng)管理員對(duì)日志文件有訪問(wèn)權(quán)限。Linux 主機(jī)要限制對(duì) varlog 文件的訪問(wèn)，禁止一般權(quán)限的用戶去查

7、看日志文件；另外，還可以安裝icmptcp 日志管理程序，如iplogger，來(lái)觀察那些可疑的多次的連接嘗試。使用安全工具軟件：Windows 主機(jī)可部署防病毒軟件， 安裝微軟基線安全分析器 MBSA 掃描服務(wù)器操作系統(tǒng)漏洞，及時(shí)下載 server pack和漏洞補(bǔ)丁。部署主機(jī) IDS（入侵檢測(cè)系統(tǒng)）；如免費(fèi)的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)snort，Linux 主機(jī)也有一些工具可以保障服務(wù)器的安全。如 bastille linux ，它是一套相當(dāng)方便的軟件， bastille linux 目的是希望在已經(jīng)存在的 linux 系統(tǒng)上，建構(gòu)出一個(gè)安全性的環(huán)境。網(wǎng)絡(luò)設(shè)備安全交換機(jī)的安全.啟用 VLAN 技

8、術(shù)：在交換機(jī)的端口上定義 VLAN ，所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分， 并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè) VLAN 。VLAN 通過(guò)建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個(gè) VLAN 間的傳輸和可能出現(xiàn)的問(wèn)題，使網(wǎng)絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。 在虛擬網(wǎng)絡(luò)環(huán)境中，可以通過(guò)劃分不同的虛擬網(wǎng)絡(luò)來(lái)控制處于同一物理網(wǎng)段中的用戶之間的通信。 這樣一來(lái)有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作， 而且配置起來(lái)并不麻煩， 管理員可以邏輯上重新配置網(wǎng)絡(luò)，迅速、簡(jiǎn)單、有效地平衡負(fù)載流量，增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)絡(luò)配置。路由器的安全 :a 堵住安全漏洞限制系統(tǒng)物理訪問(wèn)是確保路由器安全的最

9、有效方法， 將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)。 避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。 一旦限制了路由器的物理訪問(wèn)，則一定要確保路由器的安全補(bǔ)丁是最新的。b 避免身份危機(jī)入侵者常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長(zhǎng)口令、選用 30 到 60 天的口令有效期等措施有助于防止這類漏洞。 另外，一旦重要的 IT 員工辭職，用戶應(yīng)該立即更換口令。用戶應(yīng)該啟用路由器上的口令加密功能。2、機(jī)房除塵及環(huán)境要求： 定期對(duì)設(shè)備進(jìn)行除塵處理，清理，調(diào)整安保攝像頭清晰度， 防止由于機(jī)器運(yùn)轉(zhuǎn)、 靜電等因素將塵土吸入監(jiān).控設(shè)備內(nèi)部。同時(shí)檢查機(jī)房通風(fēng)、散熱、凈塵、供電等設(shè)施。機(jī)房室內(nèi)溫度應(yīng)控

10、制在 +5+35，相對(duì)濕度應(yīng)控制在10%80%。3、機(jī)房空調(diào)及新風(fēng)維護(hù)：檢查空調(diào)運(yùn)行是否正常，換風(fēng)設(shè)備運(yùn)轉(zhuǎn)是否正常。從視鏡觀察制冷劑液面，看是否缺少制冷劑。檢查空調(diào)壓縮機(jī)高、低壓保護(hù)開關(guān)、干燥過(guò)濾器及其他附件。4、UPS 及電池維護(hù)： 根據(jù)實(shí)際情況進(jìn)行電池核對(duì)性容量測(cè)試；進(jìn)行電池組充放電維護(hù)及調(diào)整充電電流，確保電池組正常工作； 檢查記錄輸出波形、諧波含量、零地電壓；查清各參數(shù)是否配置正確；定期進(jìn)行 UPS 功能測(cè)試，如 UPS 同市電的切換試驗(yàn)。5、消防設(shè)備維護(hù)： 檢查火警探測(cè)器、手動(dòng)報(bào)警按鈕、火災(zāi)警報(bào)裝置外觀及試驗(yàn)報(bào)警功能；檢查火災(zāi)警報(bào)控制器的自檢、消音、復(fù)位功能及主備用電源切換功能。6、電路及照明電路維護(hù)：鎮(zhèn)流器、