附录5.2-机房设备维护方案.pdfVIP

机房设备维护方案 一、维护目的 保障机房设备正常运行，过对机房环境支撑系统、监控设备、计 算机主机设备定期检测、维护和保养，保障机房设备运行稳定，通过 保养延长设备生命周期，降低故障率。确保机房在突发事故导致硬件 设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房 服务维护人员的产品维修和技术支持，并快速解决故障。 二、维护内容 1、机房主机设备维护管理：计算机服务器（包括 PC 服务器及 存储服务器 ；网络设备（交换设备等 。 2 、机房监控设备维护管理：供配电监测系统、温度环境检测系 统、门禁设备系统、保安监控设备。 3 、机房空调与配电设备维护管理：空调设备、新风设备、 UPS 电池、主配电箱。 4 、机房消防设备维护管理：烟感热感探测器、手动报警按 钮和报警控制器、灭火器的控制装置。 5 、机房供水水路、电路及照明维护管理：水电路管线及接 口的检查维护。 6、机房基础维护管理：机柜线路的整理、标签检查更换、机房 除尘清洁、防火地板、墙面、吊顶、门窗及相关配套的维护管理。 三、具体维护方案 1、机房主要设备维护及安全： 服务器维护及安全： ①关闭无用的端口 ： 网络连接都是通过开放的应用端口来实现的。尽可能少地开放端 口，就会大大减少了攻 者成功的机会。关闭掉不会用到的服务。 telnet 使用更为安全的ssh 来代替。下载端口扫描程序扫描系统，如 果发现有未知的开放端口，马上找到正使用它的进程，从而判断是否 关闭。 Windows 主机可采用定义安全策略的方法关闭隐患端口；也可采 用筛选tcp 端口添加允许的端口，其余端口就被自动排除。 Linux 主机可检查inetd ．conf 文件。在该文件中注释掉那些永不 会用到的服务(如：echo 、gopher 、rsh、rlogin 、rexec 、ntalk 、finger 等) 。 ②删除不用的软件包 将不需要的服务 律去掉，如果服务器运行了很多的服务。但有 许多服务是不需要的，很容易引起安全风险；同时可以腾出空间运行 必要的服务，既节省资源又能保证服务器安全。 ③不设置缺省路由 在服务器中，应该严格禁止设置缺省路由，建议为每 个 网或 网段设置 个路由，否则其它机器就可能通过一定方式访问该服务器 而造成安全隐患。 ④口令管理 服务器登陆口令的长度 般不少于8 个字符，口令的组成应以无 规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组 等设置口令，定期更换。 Windows 主机可以通过组策略中的密码策略强制使用强密码并 要求定期修改，还需要为administrator 账号改名。 Linux 主机口令的保护涉及到对/etc/passwd 和/etc/shadow 文件的 保护，必须做到只有系统管理员才有权限访问这2 个文件。安装口令 过滤工具加npasswd ，可检查系统口令是否可经受攻 。 ⑤分区管理 潜在的攻 首先就会尝试缓冲区溢出。以缓冲区溢出为类型的安 全漏洞是最为常见的 种形式。更为严重的是，缓冲区溢出漏洞占了 远程网络攻 的绝大多数，这种攻 可以轻易使得 个匿名的 Internet 用户有机会获得 台主机的部分或全部的控制权。 Windows 主机分区格式采用ntfs 文件格式，对不同的文件夹设置 不同的权限。为防止缓冲区溢出类型的网络攻 ，安装相应的溢出漏 洞补丁；日志文件放在非系统分区上。 Linux 主机可为/var 开辟单独的分区，用来存放日志和邮件，以 避免root 分区被溢出。为特殊的应用程序单独开 个分区，特别是可 以产生大量日志的程序，为/home 单独分 个区，这样可防止/home 目录文件填满根分区，从而就避免了部分 对Linux 分区溢出的恶意 攻 。 ⑥防范网络嗅探： 嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。 可使用安全的拓扑结构、会话加密、使用静态的ARP 地址来防范。 ⑦完整的日志管理 日志文件记录着系统运行情况，攻击者往往在攻 时修改日 志文件，来隐藏踪迹；因此需要对日志