機房維護方案27845

1、機房維護方案27845機房維護方案27845機房維護方案27845資料僅供參考文件編號：2022年4月機房維護方案27845版本號： A修改號： 1頁 次： 1.0 審 核： 批 準: 發(fā)布日期： 機房維護方案維護目的保障機房設(shè)備正常運行，過對機房環(huán)境支撐系統(tǒng)、監(jiān)控設(shè)備、計算機主機設(shè)備定期檢測、維護和保養(yǎng)，保障機房設(shè)備運行穩(wěn)定，通過保養(yǎng)延長設(shè)備生命周期，降低故障率。確保機房在突發(fā)事故導(dǎo)致硬件設(shè)備故障，影響機房正常運作情況下，可及時得到設(shè)備供應(yīng)商或機房服務(wù)維護人員的產(chǎn)品維修和技術(shù)支持，并快速解決故障。維護內(nèi)容1、機房主機設(shè)備維護管理：計算機服務(wù)器（包括PC服務(wù)器及存儲服務(wù)器）；網(wǎng)絡(luò)設(shè)備（交換路由

2、設(shè)備等）。2、機房監(jiān)控設(shè)備維護管理：供配電監(jiān)測系統(tǒng)、溫度環(huán)境檢測系統(tǒng)、門禁設(shè)備系統(tǒng)、保安監(jiān)控設(shè)備。 3、機房空調(diào)與配電設(shè)備維護管理：空調(diào)設(shè)備、新風(fēng)設(shè)備、UPS電池、主配電箱。 4、機房消防設(shè)備維護管理：煙感熱感探測器、手動報警按鈕和報警控制器、滅火器的控制裝置。 5、機房供水水路、電路及照明維護管理：水電路管線及接口的檢查維護。6、機房基礎(chǔ)維護管理：機柜線路的整理、標簽檢查更換、機房除塵清潔、防火地板、墻面、吊頂、門窗及相關(guān)配套的維護管理。三、具體維護方案1、機房主要設(shè)備維護及安全：服務(wù)器維護及安全：關(guān)閉無用的端口 ：網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實現(xiàn)的。盡可能少地開放端口，就會大大減少了攻

3、擊者成功的機會。關(guān)閉掉不會用到的服務(wù)。telnet使用更為安全的ssh來代替。下載端口掃描程序掃描系統(tǒng)，如果發(fā)現(xiàn)有未知的開放端口，馬上找到正使用它的進程，從而判斷是否關(guān)閉。Windows主機可采用定義安全策略的方法關(guān)閉隱患端口；也可采用篩選tcp端口添加允許的端口，其余端口就被自動排除。Linux主機可檢查inetdconf文件。在該文件中注釋掉那些永不會用到的服務(wù)(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。刪除不用的軟件包將不需要的服務(wù)一律去掉，如果服務(wù)器運行了很多的服務(wù)。但有許多服務(wù)是不需要的，很容易引起安全風(fēng)險；同時可以騰出空間運行必要的

4、服務(wù)，既節(jié)省資源又能保證服務(wù)器安全。不設(shè)置缺省路由在服務(wù)器中，應(yīng)該嚴格禁止設(shè)置缺省路由，建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由，否則其它機器就可能通過一定方式訪問該服務(wù)器而造成安全隱患?？诹罟芾?服務(wù)器登陸口令的長度一般不少于8個字符，口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合，嚴格避免用英語單詞或詞組等設(shè)置口令，定期更換。Windows主機可以通過組策略中的密碼策略強制使用強密碼并要求定期修改，還需要為administrator賬號改名。Linux主機口令的保護涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統(tǒng)管理員才有權(quán)限訪問這2個文件。安裝口令過濾工具

5、加npasswd，可檢查系統(tǒng)口令是否可經(jīng)受攻擊。分區(qū)管理 潛在的攻擊首先就會嘗試緩沖區(qū)溢出。以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式。更為嚴重的是，緩沖區(qū)溢出漏洞占了遠程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權(quán)。 Windows主機分區(qū)格式采用ntfs文件格式，對不同的文件夾設(shè)置不同的權(quán)限。為防止緩沖區(qū)溢出類型的網(wǎng)絡(luò)攻擊，安裝相應(yīng)的溢出漏洞補?。蝗罩疚募旁诜窍到y(tǒng)分區(qū)上。Linux主機可為/var開辟單獨的分區(qū)，用來存放日志和郵件，以避免root分區(qū)被溢出。為特殊的應(yīng)用程序單獨開一個分區(qū)，特別是可以產(chǎn)生大量日志的程序，

6、為/home單獨分一個區(qū)，這樣可防止/home目錄文件填滿根分區(qū)，從而就避免了部分針對Linux分區(qū)溢出的惡意攻擊。防范網(wǎng)絡(luò)嗅探： 嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發(fā)現(xiàn)。可使用安全的拓撲結(jié)構(gòu)、會話加密、使用靜態(tài)的ARP地址來防范。完整的日志管理 日志文件記錄著系統(tǒng)運行情況，攻擊者往往在攻擊時修改日志文件，來隱藏蹤跡；因此需要對日志文件及目錄設(shè)置嚴格的訪問權(quán)限，禁止其他用戶的讀取和寫入權(quán)限。Windows主機開啟審核策略，對賬戶管理、登錄事件、對象訪問、策略更改、特權(quán)使用、系統(tǒng)事件、目錄服務(wù)訪問、賬戶登錄事件的成功 失敗進行審核，產(chǎn)生日志文件，同時只有系統(tǒng)管理員對日志文件有訪

7、問權(quán)限。Linux主機要限制對varlog文件的訪問，禁止一般權(quán)限的用戶去查看日志文件；另外，還可以安裝icmptcp日志管理程序，如iplogger，來觀察那些可疑的多次的連接嘗試。 使用安全工具軟件： Windows主機可部署防病毒軟件，安裝微軟基線安全分析器MBSA掃描服務(wù)器操作系統(tǒng)漏洞，及時下載server pack和漏洞補丁。部署主機IDS（入侵檢測系統(tǒng)）；如免費的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)snort，Linux主機也有一些工具可以保障服務(wù)器的安全。如bastille linux，它是一套相當方便的軟件，bastille linux 目的是希望在已經(jīng)存在的 linux 系統(tǒng)上，建構(gòu)出一個

8、安全性的環(huán)境。網(wǎng)絡(luò)設(shè)備安全交換機的安全 啟用VLAN技術(shù)：在交換機的端口上定義VLAN ，所有連接到這個特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分，并且整個網(wǎng)絡(luò)可以支持多個VLAN。VLAN通過建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個VLAN間的傳輸和可能出現(xiàn)的問題，使網(wǎng)絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中，可以通過劃分不同的虛擬網(wǎng)絡(luò)來控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來并不麻煩，管理員可以邏輯上重新配置網(wǎng)絡(luò)，迅速、簡單、有效地平衡負載流量，增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)絡(luò)配置。路由器的安全: a堵住安全漏洞 限制

9、系統(tǒng)物理訪問是確保路由器安全的最有效方法，將控制臺和終端會話配置成在較短閑置時間后自動退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問，則一定要確保路由器的安全補丁是最新的。 b避免身份危機 入侵者常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外，一旦重要的IT員工辭職，用戶應(yīng)該立即更換口令。用戶應(yīng)該啟用路由器上的口令加密功能。 2、機房除塵及環(huán)境要求：定期對設(shè)備進行除塵處理，清理，調(diào)整安保攝像頭清晰度，防止由于機器運轉(zhuǎn)、靜電等因素將塵土吸入監(jiān)控設(shè)備內(nèi)部。同時檢查機房通風(fēng)、散熱、凈塵、供電等設(shè)施。機房室內(nèi)

10、溫度應(yīng)控制在+5+35，相對濕度應(yīng)控制在10%80%。3、機房空調(diào)及新風(fēng)維護：檢查空調(diào)運行是否正常，換風(fēng)設(shè)備運轉(zhuǎn)是否正常。從視鏡觀察制冷劑液面，看是否缺少制冷劑。檢查空調(diào)壓縮機高、低壓保護開關(guān)、干燥過濾器及其他附件。4、UPS及電池維護：根據(jù)實際情況進行電池核對性容量測試；進行電池組充放電維護及調(diào)整充電電流，確保電池組正常工作；檢查記錄輸出波形、諧波含量、零地電壓；查清各參數(shù)是否配置正確；定期進行UPS功能測試，如UPS同市電的切換試驗。5、消防設(shè)備維護：檢查火警探測器、手動報警按鈕、火災(zāi)警報裝置外觀及試驗報警功能；檢查火災(zāi)警報控制器的自檢、消音、復(fù)位功能及主備用電源切換功能。6、電路及照明電路維護：鎮(zhèn)