服務(wù)器日常安全運(yùn)維管理手冊范本

./安全日常運(yùn)維管理XX連益成信息技術(shù)有限公司編寫人陳磊時間2014-12-2版本Version1.0目錄第一章安全運(yùn)維管理體系分析41.1安全日常運(yùn)維管理的必要性41.2安全運(yùn)維管理的技術(shù)支撐體系51.3安全運(yùn)維管理遵循的PDCA周期61.4安全日常運(yùn)維管理的目標(biāo)6第二章帳戶口令管理72.1職責(zé)定義92.2口令賬號五個保密等級92.2.1[最低等級]等級一92.2.2[低等級]等級二102.2.3[中等級]等級三102.2.4[堅固級]等級四112.2.5[最高級]等級五122.3賬號管理132.3.1賬號角色分配目的132.3.2建立的原則132.3.3賬號建立的過程142.4口令管理162.4.1口令管理原則162.4.2口令設(shè)置原則172.4.3口令設(shè)置最低標(biāo)準(zhǔn)182.5權(quán)限管理192.5.1概述192.5.2確定最小權(quán)限192.5.3建立權(quán)限體系202.6賬號口令審計管理212.6.1概述212.6.2賬號審查通用要求222.6.3賬號口令審計流程設(shè)計建議23第三章服務(wù)與端口243.1什么是端口243.2什么是服務(wù)243.3常用端口列表25第四章安全補(bǔ)丁434.1概述434.2補(bǔ)丁安裝與操作434.2.1檢測內(nèi)容434.2.2建議操作444.2.3操作結(jié)果44第五章終端管理44第六章數(shù)據(jù)備份466.1備份管理466.1.1信息識別466.1.2制定備份計劃476.1.3實施備份計劃486.1.4備份存放486.1.5備份測試496.1.6備份恢復(fù)496.2數(shù)據(jù)恢復(fù)49第一章安全運(yùn)維管理體系分析1.1安全日常運(yùn)維管理的必要性IT系統(tǒng)是否能夠正常運(yùn)行直接關(guān)系到業(yè)務(wù)或生產(chǎn)是否能夠正常運(yùn)行。但I(xiàn)T管理人員經(jīng)常面臨的問題是：網(wǎng)絡(luò)變慢了、設(shè)備發(fā)生故障、應(yīng)用系統(tǒng)運(yùn)行效率很低。IT系統(tǒng)的任何故障如果沒有及時得到妥善處理都將會導(dǎo)致很大的影響,甚至?xí)斐煽膳碌慕?jīng)濟(jì)損失。但是什么原因?qū)е翴T系統(tǒng)屢出問題？是產(chǎn)品、技術(shù)、還是缺乏有效的、系統(tǒng)化的安全運(yùn)維管理？隨著電信IT系統(tǒng)的發(fā)展,業(yè)務(wù)應(yīng)用的持續(xù)增加,其IT基礎(chǔ)設(shè)施的架構(gòu)越來越復(fù)雜,單純憑某個工具或某個人不可能有效地保護(hù)自己的整體網(wǎng)絡(luò)安全;信息安全作為一個整體,需要把安全過程中的有關(guān)各層次的安全產(chǎn)品、分支機(jī)構(gòu)、運(yùn)營網(wǎng)絡(luò)、管理維護(hù)制度等納入一個緊密的統(tǒng)一安全管理平臺〔系統(tǒng)>中,才能有效地保障企業(yè)的網(wǎng)絡(luò)和信息安全。IT環(huán)境的復(fù)雜性,使更多的安全威脅被揭示出來。很多企業(yè)嘗試通過部署"最佳"安全產(chǎn)品來保護(hù)自己,比如防病毒網(wǎng)關(guān)、防火墻、入侵防護(hù)系統(tǒng)、VPN、訪問控制、身份認(rèn)證等。在這種極度復(fù)雜的情況下,需要的是一個集成的解決方案,使得企業(yè)能夠收集、關(guān)聯(lián)和管理來自異類源的大量安全事件,實時監(jiān)控和做出響應(yīng),需要的是能夠輕松適應(yīng)環(huán)境增長和變化的管理體系,需要的就是企業(yè)完整的安全管理平臺解決方案?？偠灾?對于企業(yè)安全運(yùn)維管理來說,三分技術(shù),七分管理,在企業(yè)內(nèi)部建立一套完善的安全管理規(guī)章制度,使管理機(jī)構(gòu)依據(jù)相應(yīng)的管理制度和管理流程對日常操作、運(yùn)行維護(hù)、審計監(jiān)督、文檔管理等進(jìn)行統(tǒng)一管理,同時加強(qiáng)對工作人員的安全知識和安全操作培訓(xùn),建立統(tǒng)一的安全管理體系,幫助企業(yè)識別、管理和減少信息通常所面臨的各種威脅,架構(gòu)企業(yè)的安全保障體系。安全運(yùn)維管理的技術(shù)支撐體系安全監(jiān)控和基礎(chǔ)維護(hù)安全技術(shù)支撐運(yùn)維預(yù)防P響應(yīng)R恢復(fù)R策略發(fā)現(xiàn)D安全監(jiān)控和基礎(chǔ)維護(hù)安全技術(shù)支撐PPDRR模型包括策略〔Policy、防護(hù)〔Protection、檢測〔Detection、響應(yīng)〔Response和恢復(fù)〔Recovery5個主要部分,其中,防護(hù)、檢測、響應(yīng)和恢復(fù)構(gòu)成一個完整的、動態(tài)的安全循環(huán),在安全策略的指導(dǎo)下共同實現(xiàn)安全保障信息安全的重要理論模型包括信息安全的概念范疇、信息安全保障體系的結(jié)構(gòu)框架、信息安全的三維結(jié)構(gòu)和PPDRR模型安全監(jiān)控和基礎(chǔ)維護(hù)安全技術(shù)支撐運(yùn)維預(yù)防P響應(yīng)R恢復(fù)R策略發(fā)現(xiàn)D安全監(jiān)控和基礎(chǔ)維護(hù)安全技術(shù)支撐制定網(wǎng)絡(luò)和系統(tǒng)層面的整體安全技術(shù)保護(hù)方案和技術(shù)規(guī)范；逐步實現(xiàn)安全自評估,全面掌握安全風(fēng)險；提供重大安全預(yù)警信息發(fā)布和解決方案；協(xié)調(diào)響應(yīng)網(wǎng)絡(luò)層面的各類重大安全事件；對各類安全事件有關(guān)數(shù)據(jù)進(jìn)行綜合分析,形成安全運(yùn)行分析報告；對生產(chǎn)層面的安全策略進(jìn)行集中控制；跟蹤研究各種安全問題和技術(shù),收集各種基礎(chǔ)信息資源。進(jìn)行7×24小時的日常安全安全事件監(jiān)測,負(fù)責(zé)受理安全投訴。對安全事件進(jìn)行收集匯總,進(jìn)行事件預(yù)處理。系統(tǒng)日?？诹罹S護(hù),加載安全補(bǔ)丁和梳理服務(wù)端口等實施各類安全設(shè)備和配套管理設(shè)備的日常維護(hù)。實施一般安全預(yù)警和安全應(yīng)急事件的處理。落實系統(tǒng)自身安全應(yīng)急預(yù)案,并參加安全應(yīng)急演練1.3安全運(yùn)維管理遵循的PDCA周期1.4安全日常運(yùn)維管理的目標(biāo)安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下,通過采用合適的安全技術(shù)與安全管理措施,完成下述網(wǎng)絡(luò)與信息安全的保障任務(wù)。進(jìn)不來：使用訪問控制機(jī)制,阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò),從而保證網(wǎng)絡(luò)系統(tǒng)的可用性拿不走：使用授權(quán)機(jī)制,實現(xiàn)對用戶的權(quán)限控制,即不該拿走的"拿不走",同時結(jié)合內(nèi)容審計機(jī)制,實現(xiàn)對網(wǎng)絡(luò)資 源及信息的可控性?？床欢菏褂眉用軝C(jī)制,確保信息不泄漏給未授權(quán)的實體或進(jìn)程,即"看不懂",從而實現(xiàn)信息的保密性改不了：使用數(shù)據(jù)完整性鑒別機(jī)制,保證只有得到允許的人才能修改數(shù)據(jù),而其它人"改不了",從而確保信息的完整性。跑不了：使用審計、監(jiān)控、防抵賴等安全機(jī)制,使得攻擊者、破壞者、抵賴者"走不脫",并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段,實現(xiàn)信息安全的可審查性。為保障IT系統(tǒng)的正常運(yùn)行,應(yīng)能做到如下所示總結(jié)：安全日常運(yùn)維管理可總結(jié)為高效管理能力、全面運(yùn)維能力、安全保護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急響應(yīng)能力、快速恢復(fù)能力第二章帳戶口令管理為什么有這么多人鐘情于竊取帳號口令？攻擊者竊取帳號有著非法的目的、意圖,惡意毀壞操作等行為,他們或以出名,或以炫耀技術(shù)為目的。而目前,竊取帳號的行為都與竊取商業(yè)機(jī)密和機(jī)密信息、數(shù)據(jù)、經(jīng)濟(jì)利益相關(guān),大都有著利益化的傾向犯罪行為。帳號衩竊取的常見原因2.1職責(zé)定義2.2口令賬號五個保密等級2.2.1[最低等級]等級一只有基本的甚至沒有保障措施,用于電子系統(tǒng)的帳號。在第一等級的保障的情況下,只有基本的甚至沒有保障措施用于電子系統(tǒng)的帳號,等級一的情況下,錯誤的口令、帳號和權(quán)限管理可能導(dǎo)致給公司、客戶或者第三方帶來最小的不便。不會給公司、客戶或者第三方帶來直接的經(jīng)濟(jì)損失不會給公司、客戶或者第三方帶來不快不會給公司、客戶或者第三方帶來名譽(yù)或者地位的損失不會破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易不會導(dǎo)致民事或者刑事犯罪不會向未經(jīng)授權(quán)的組織或個人暴露個人、公司、政府、商業(yè)的敏感信息未驗收和未投入使用的系統(tǒng),工程過程中的系統(tǒng)〔假設(shè)沒有涉及知識產(chǎn)權(quán),例如軟件代碼泄密的問題的情況下[低等級]等級二通過常用的措施即可保護(hù)系統(tǒng)的可信認(rèn)證,必須充分考慮代價和認(rèn)證安全性的平衡這種等級的認(rèn)證被誤用或者破壞可能導(dǎo)致：給公司、客戶或者第三方帶來較小的不便給公司、客戶或者第三方帶來較小直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會給公司、客戶或者第三方帶來較小的不快會給公司、客戶或者第三方帶來較小名譽(yù)或者地位的損失存在一定的風(fēng)險,可能破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易不會導(dǎo)致民事或者刑事犯罪。存在一定風(fēng)險,可能少量向未經(jīng)授權(quán)的組織或個人暴露個人、公司、政府、商業(yè)的敏感信息舉例：一臺常用辦公電腦,該電腦上沒有存儲任何機(jī)密文件,他的帳號被竊取可能導(dǎo)致公司常用信息例如通訊錄被泄漏。一個有查詢系統(tǒng)的帳號,用戶可以通過Internet注冊來查詢自己的帳單。該帳號失竊可能導(dǎo)致用戶信息的泄漏。2.2.3[中等級]等級三如果該級別的帳號被破壞,攻擊者往往可以通過這種系統(tǒng)作為中轉(zhuǎn),進(jìn)而對部分關(guān)鍵的系統(tǒng)主機(jī)進(jìn)行破壞。這種級別的帳號口令雖然不是直接的業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫的帳號,但是,如果該級別的帳號被破壞,攻擊者往往可以通過這種系統(tǒng)作為中轉(zhuǎn),進(jìn)而對部分關(guān)鍵的系統(tǒng)主機(jī)進(jìn)行破壞,該等級被誤用的主要風(fēng)險有：通過中轉(zhuǎn)可能給公司、客戶或者第三方帶來較大的不便通過中轉(zhuǎn)有可能給公司、客戶或者第三方帶來較大直接的經(jīng)濟(jì)損失或沒有直接經(jīng)濟(jì)損失通過中轉(zhuǎn)會給公司、客戶或者第三方帶來較大的不快通過中轉(zhuǎn)會給公司、客戶或者第三方帶來較大名譽(yù)或者地位的損失存在一定的風(fēng)險,會破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易可能會導(dǎo)致民事或者刑事犯罪存在一定風(fēng)險,可能大量向未經(jīng)授權(quán)的組織或個人暴露個人、公司、政府、商業(yè)的敏感信息舉例：維護(hù)終端的用戶帳號,由于一些業(yè)務(wù)系統(tǒng)會對終端做特定限制,維護(hù)終端被破壞后,導(dǎo)致攻擊者可以進(jìn)一步破壞業(yè)務(wù)系統(tǒng),重要的可信網(wǎng)絡(luò)設(shè)備的帳號等。[堅固級]等級四通常等級四意味著正式的業(yè)務(wù)流程使用的帳號,通常需要較高信心來保證身份的認(rèn)證和正確的授權(quán)。通常等級四意味著正式的業(yè)務(wù)流程使用的帳號,通常需要較高信心來保證身份的認(rèn)證和正確的授權(quán),這種等級的認(rèn)證被誤用或者破壞可能導(dǎo)致：給公司、客戶或者第三方帶來較大的不便給公司、客戶或者第三方帶來較大直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會給公司、客戶或者第三方帶來較大的不快會給公司、客戶或者第三方帶來較大名譽(yù)或者地位的損失存在較大的風(fēng)險,會破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易會導(dǎo)致民事或者刑事犯罪存在較大風(fēng)險,可能大量向未經(jīng)授權(quán)的組織或個人暴露個人、公司、政府、商業(yè)的敏感信息舉例：一般的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、和路由器的高權(quán)限帳號,例如root、administrator、dba等。業(yè)務(wù)系統(tǒng)的關(guān)鍵管理帳號,可以讀寫重要的用戶信息、業(yè)務(wù)信息和帳單信息。[最高級]等級五等級五的保障通常對應(yīng)需要非常大的信心保障的系統(tǒng)。等級五的保障通常對應(yīng)需要非常大的信心保障的系統(tǒng)這種等級的認(rèn)證被誤用或者破壞可能導(dǎo)致：給所有公司、客戶或者第三方帶來巨大的不便給公司、客戶或者第三方帶來極大直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會給公司、客戶或者第三方帶來極大的不快會給公司、客戶或者第三方帶來巨大名譽(yù)或者地位的損失破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易會導(dǎo)致民事或者刑事犯罪大量向未經(jīng)授權(quán)的組織或個人暴露個人、公司、政府、商業(yè)的敏感信息舉例：關(guān)鍵系統(tǒng),例如計費系統(tǒng)數(shù)據(jù)庫主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫。用于存儲公司最高商業(yè)機(jī)密或密級為絕密的系統(tǒng)的認(rèn)證。2.3賬號管理2.3.1賬號角色分配目的〔一加強(qiáng)網(wǎng)絡(luò)與信息安全管理,明確各級系統(tǒng)用戶權(quán)的職責(zé)?！捕鶕?jù)業(yè)務(wù)系統(tǒng)的要求及網(wǎng)絡(luò)信息管理規(guī)范,進(jìn)一步完善各級用戶在系統(tǒng)中的職能劃分與角色定位?！踩龔?qiáng)化系統(tǒng)帳戶和密碼的管理,降低帳戶和密碼泄漏對系統(tǒng)和數(shù)據(jù)安全產(chǎn)生的影響,確保各相關(guān)信息報告系統(tǒng)安全、有效運(yùn)行。系統(tǒng)管理員和超級用戶是有權(quán)限對系統(tǒng)的配置、系統(tǒng)最核心信息進(jìn)行更改的帳號和角色,普通帳號是用戶用于訪問業(yè)務(wù)系統(tǒng),實現(xiàn)日常業(yè)務(wù)操作的用戶,是最為常見的用戶類型,第三方帳號通常指由于某種特殊情況,系統(tǒng)允許移動以外的人員和組織訪問的帳號。在核心系統(tǒng)中,應(yīng)該設(shè)置安全審計員帳號,該帳號可以對系統(tǒng)安全設(shè)置和日志信息進(jìn)行專門的審計。2.3.2建立的原則〔1不同類型用戶的建立應(yīng)遵循滿足其工作需要的原則,而用戶的權(quán)限分配則應(yīng)以保障網(wǎng)絡(luò)與信息的高效、準(zhǔn)確、安全為原則。〔2用戶的權(quán)限分配應(yīng)盡量使用系統(tǒng)提供的角色劃分。如需特殊的操作權(quán)限,應(yīng)在準(zhǔn)確理解其各項操作內(nèi)容的基礎(chǔ)上,盡量避免和減少權(quán)限相互抵觸、交叉及嵌套情況的發(fā)生,經(jīng)測試成功后,再創(chuàng)建相應(yīng)的角色賦予本級用戶或直報用戶。〔3通過對用戶進(jìn)行角色劃分,分配審計賬號、用戶權(quán)限,合理限制對其他角色用戶、數(shù)據(jù)的修改權(quán)限,將審查數(shù)據(jù)與配置數(shù)據(jù)相對剝離,即原始配置數(shù)據(jù)與統(tǒng)計查看查看信息分開。〔4系統(tǒng)內(nèi)所有涉及查看數(shù)據(jù)的帳戶信息均必須采用真實信息,即有查詢機(jī)制確認(rèn)審計人員信息準(zhǔn)確。賬號建立的過程帳號管理貫穿帳號創(chuàng)建、授權(quán)、權(quán)限變更及帳號撤銷或者凍結(jié)全過程帳號設(shè)置應(yīng)與崗位職責(zé)相容；堅持最小授權(quán)原則,避免超出工作職責(zé)的過度授權(quán)；應(yīng)制定嚴(yán)格的審批和授權(quán)流程,規(guī)范帳號申請、修改、刪除等工作,授權(quán)審批記錄應(yīng)編號、留檔〔表格命名規(guī)則及格式參見附件,各省公司可重新制定相關(guān)表格；帳號創(chuàng)建、調(diào)整和刪除申請審批通過后,應(yīng)及時更新系統(tǒng)中的帳號狀態(tài),確保與審批結(jié)論保持一致；原則上,除低權(quán)限的查詢帳號外,各系統(tǒng)不允許存在其它共享帳號,必須明確每個帳號責(zé)任人,不得以部門或用戶組作為最終責(zé)任人。在完成特定任務(wù)后,系統(tǒng)管理員應(yīng)立即收回臨時帳號。帳號創(chuàng)建、變更、刪除審批流程超級帳號由主管領(lǐng)導(dǎo)以授權(quán)的方式授予具體的系統(tǒng)管理員,授權(quán)書至少應(yīng)包括系統(tǒng)名稱、超級帳號名、授予人姓名、職責(zé)描述、有效期等；所有帳號,包括系統(tǒng)管理員帳號、普通帳號、程序帳號的責(zé)任人,應(yīng)按規(guī)定的申請表格式要求提出申請,申請表至少包含申請人姓名、聯(lián)系方式、申請人職責(zé)描述、申請時間、申請目的、申請帳號所屬系統(tǒng)名稱、帳號類型、創(chuàng)建或者變更或者刪除操作類型、帳號權(quán)限描述、主管領(lǐng)導(dǎo)審批意見、系統(tǒng)管理員變更操作記錄及簽字確認(rèn)、權(quán)責(zé)描述備注欄目等；主管領(lǐng)導(dǎo)進(jìn)行審批,重點檢查所申請權(quán)限與申請人職責(zé)的一致性；系統(tǒng)管理員負(fù)責(zé)創(chuàng)建、變更或者刪除帳號,保留審批表格、并備案。如因系統(tǒng)能力或者管理原因無法按用戶創(chuàng)建帳號時,應(yīng)采取如下管理措施：明確共享帳號責(zé)任人,責(zé)任人負(fù)責(zé)按照上述流程要求提出共享帳號審批表,并在審批表中注明該共享帳號的所有用戶名單；限制共享帳號的使用人數(shù),建立相關(guān)管理制度保證系統(tǒng)的每項操作均可以對應(yīng)到執(zhí)行操作的具體人員；限定使用范圍和使用環(huán)境；建立完善的操作記錄制度,對交接班記錄、重要操作記錄表等等；定期更新共享帳號密碼。對于程序運(yùn)行或者程序自身由于管理需要訪問其它系統(tǒng)所使用的專用帳號,應(yīng)符合如下要求：只允許系統(tǒng)和設(shè)備之間通信使用,不得作為用戶登錄帳號使用；將此類帳號的維護(hù)管理權(quán)限統(tǒng)一授權(quán)給該系統(tǒng)的系統(tǒng)管理員,由后者歸口管理；2.4口令管理2.4.1口令管理原則口令至少由6位及以上大小寫字母、數(shù)字及特殊符號等混合、隨機(jī)組成,盡量不要以姓名、電話號碼以及出生日期等作為口令或者口令的組成部分。應(yīng)以HASH或者加密技術(shù)保存口令,不得以明文方式保存或者傳輸；口令至少每90天更換一次。修改口令時,須保留口令修改記錄,包含帳號、修改時間、修改原因等,以備審計；5次以內(nèi)不得設(shè)置相同的口令；由于員工離職等原因,原帳號不能刪除或者需要重新賦予另一個人時,應(yīng)修改相應(yīng)帳號的口令。如系統(tǒng)能力支持,應(yīng)開啟并設(shè)置自動拒絕不符合上述口令管理規(guī)則帳號和口令的參數(shù)；對于無法建立口令規(guī)則強(qiáng)制檢查的系統(tǒng),帳號用戶應(yīng)在每次口令修改后留有記錄。對于無法進(jìn)行定期修改口令的帳號,如內(nèi)置帳號、專用帳號等,由系統(tǒng)管理員負(fù)責(zé)在系統(tǒng)升級或重啟時督促落實口令修改工作,負(fù)責(zé)督促落實調(diào)用該帳號的程序與所訪問系統(tǒng)兩側(cè)的口令同步工作。當(dāng)發(fā)生下述情況時,應(yīng)立即撤銷帳號或更改帳號口令,并做好記錄：帳號使用者由于崗位職責(zé)變動、離職等原因,不再需要原有訪問權(quán)限時；臨時性或階段性使用的帳號,在工作結(jié)束后；帳號使用者違反了有關(guān)口令管理規(guī)定；有跡象,表明口令可能已經(jīng)泄露等。2.4.2口令設(shè)置原則口令必須具有足夠的長度和復(fù)雜度,使口令難于被猜測口令在一定時間或次數(shù)內(nèi)不能循環(huán)使用不同帳號的口令應(yīng)當(dāng)不同,并且沒有直接聯(lián)系,以保證不可由一個帳號的口令推知其它帳號的口令同一帳號前后兩個口令之間的相同部分應(yīng)當(dāng)盡量減少,減低由前一個口令分析出后一個口令的機(jī)會口令不應(yīng)當(dāng)取過于簡單的字符串,如電話號碼、使用者的姓名、寵物、生日或其倒序,6位字符都相同、6位連續(xù)字符等易于猜測的信息開戶時設(shè)定的初始口令必須是隨機(jī)產(chǎn)生的口令,而不能是相同或者有規(guī)律的口令所有系統(tǒng)管理員級別的口令〔例如root、enable、NTadministrator、DBA等在沒有使用增強(qiáng)口令的情況下,必需按照較短周期進(jìn)行更改,例如每三個月更換一次。應(yīng)該注意關(guān)鍵性帳號信息的定期行備份。用戶所使用的任何具備系統(tǒng)超級用戶權(quán)限〔包括并不限于系統(tǒng)管理員帳號和有sodu權(quán)限帳號帳號口令必需和這個用戶其他帳號的口令均不相同。如果有雙要素認(rèn)證機(jī)制,則以上的要求和下面關(guān)于強(qiáng)口令選擇的要求可以不考慮?？诹畈荒茉陔娮余]件或者其他電子方式下以明文方式傳輸。當(dāng)使用SNMP時,communicationstring不允許使用缺省的Public、Private和system等,并且該communicationstring不應(yīng)該和系統(tǒng)的其他口令相同,應(yīng)該盡量使用SNMPv2以上的版本。2.4.3口令設(shè)置最低標(biāo)準(zhǔn)如果技術(shù)上支持,口令至少要有6位長口令必須是字母和非字母的組合口令第1位和最后1位至少應(yīng)包含1個非數(shù)字字符與前次口令比較,在任何位置不能有超過3個字符連續(xù)相同口令不能包含超過2個連續(xù)相同的字符用戶名不能作為口令一部分與前4次相同的口令不能重復(fù)使用口令不能被共享除非每個口令的行為都能被區(qū)分對于級別要求很高的系統(tǒng),普通用戶口令要求8位以上管理員/超級用戶帳號最近20個口令不可重復(fù),口令的長度不可小于7位,口令中必須包含大寫字母、小寫字母和數(shù)字中的兩類,口令中同一個符號不得多于2次,且不得有1個以上的字符出現(xiàn)兩次,前后2個口令中相同位置的字符相同的不得多于2個；口令不得有明顯的意義修改帳號的使用人應(yīng)當(dāng)定期修改帳號口令,修改口令的間隔應(yīng)小于本標(biāo)準(zhǔn)的相關(guān)規(guī)定,對于本標(biāo)準(zhǔn)沒有規(guī)定的用戶,其間隔應(yīng)當(dāng)小于6個月不同用戶的修改口令的最大間隔為：1>普通帳號應(yīng)當(dāng)小于6個月2>管理員帳號和超級管理員帳號應(yīng)當(dāng)小于3個月匿名用戶帳號可以不修改口令2.5權(quán)限管理2.5.1概述按照"誰主管,誰負(fù)責(zé)"、"誰使用、誰負(fù)責(zé)"、所有帳號均應(yīng)落實責(zé)任人的原則制定本辦法。帳號和口令管理包括基于帳號的操作或訪問控制權(quán)限的管理。帳號是作為訪問的主體。而基于帳號進(jìn)行操作的目標(biāo)就是訪問的客體。通常這個客體被當(dāng)成為資源。對資源的訪問控制權(quán)限的設(shè)定依不同的系統(tǒng)而不同。從移動帳號管理的角度,可以進(jìn)行基于角色的訪問控制權(quán)限的設(shè)定。即對資源的訪問控制權(quán)限是以角色或組為單位進(jìn)行授予。2.5.2確定最小權(quán)限1、所謂最小特權(quán)〔LeastPrivilege,指的是"在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體〔用戶或進(jìn)程必不可少的特權(quán)"。最小特權(quán)原則,則是指"應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán),確?？赡艿氖鹿省㈠e誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小"。

2、最小特權(quán)原則一方面給予主體"必不可少"的特權(quán),這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面,它只給予主體"必不可少"的特權(quán),這就限制了每個主體所能進(jìn)行的操作。

最小特權(quán)原則要求每個用戶和程序在操作時應(yīng)當(dāng)使用盡可能少的特權(quán),而角色允許主體以參與某特定工作所需要的最小特權(quán)去簽入〔Sign系統(tǒng)。被授權(quán)擁有強(qiáng)力角色〔PowerfulRoles的主體,不需要動輒運(yùn)用到其所有的特權(quán),只有在那些特權(quán)有實際需求時,主體才去運(yùn)用它們。如此一來,將可減少由于不注意的錯誤或是侵入者假裝合法主體所造成的損壞發(fā)生,限制了事故、錯誤或攻擊帶來的危害。它還減少了特權(quán)程序之間潛在的相互作用,從而使對特權(quán)無意的、沒必要的或不適當(dāng)?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權(quán)的最小部分才擁有特權(quán)。3、基于角色的訪問控制是一種新型訪問控制模型,它的基本思想是將權(quán)限與角色聯(lián)系起來,在系統(tǒng)中根據(jù)應(yīng)用的需要為不同的工作崗位創(chuàng)建相應(yīng)的角色,同時根據(jù)用戶職務(wù)和責(zé)任指派合適的角色,用戶通過所指派的角色獲得相應(yīng)的權(quán)限,實現(xiàn)對文件的訪問。它支持最小特權(quán)、責(zé)任分離以及數(shù)據(jù)抽象三個基本的安全原則。4、最小權(quán)限原則規(guī)定：每個用戶/任務(wù)/應(yīng)用在必需知情的前提下被賦予明確的訪問對象和模塊的權(quán)限。遵循最小權(quán)限原則運(yùn)行的系統(tǒng)要求授予用戶訪問對象的明確權(quán)限。準(zhǔn)許或拒絕訪問數(shù)據(jù)庫或服務(wù)器對象的第一步是認(rèn)證和授權(quán)對帳號的授權(quán),應(yīng)以其能進(jìn)行系統(tǒng)管理、操作的最小權(quán)限進(jìn)行授權(quán)。比如這個帳號作為系統(tǒng)帳號只能進(jìn)行數(shù)據(jù)備份的操作,那就只授權(quán)其可以進(jìn)行數(shù)據(jù)備份操作的命令。別的諸如進(jìn)行系統(tǒng)網(wǎng)絡(luò)狀態(tài)監(jiān)控的命令則不授權(quán)其可以進(jìn)行。對于授權(quán),應(yīng)該支持一定的授權(quán)粒度控制,從而控制用戶的訪問對象和訪問行為,保證用戶的最小授權(quán)。2.5.3建立權(quán)限體系基于角色訪問控制〔RBAC模型是目前國際上流行的先進(jìn)的安全訪問控制方法。它通過分配和取消角色來完成用戶權(quán)限的授予和取消,并且提供角色分配規(guī)則。安全管理人員根據(jù)需要定義各種角色,并設(shè)置合適的訪問權(quán)限,而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣,整個訪問控制過程就分成兩個部分,即訪問權(quán)限與角色相關(guān)聯(lián),角色再與用戶關(guān)聯(lián),從而實現(xiàn)了用戶與訪問權(quán)限的邏輯分離。由于實現(xiàn)了用戶與訪問權(quán)限的邏輯分離,基于角色的策略極大的方便了權(quán)限管理。例如,如果一個用戶的職位發(fā)生變化,只要將用戶當(dāng)前的角色去掉,加入代表新職務(wù)或新任務(wù)的角色即可。研究表明,角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多,并且給用戶分配角色不需要很多技術(shù),可以由行政管理人員來執(zhí)行,而給角色配置權(quán)限的工作比較復(fù)雜,需要一定的技術(shù),可以由專門的技術(shù)人員來承擔(dān),但是不給他們給用戶分配角色的權(quán)限,這與現(xiàn)實中的情況正好一致?；诮巧L問控制可以很好的描述角色層次關(guān)系,實現(xiàn)最小特權(quán)原則和職責(zé)分離原則2.6賬號口令審計管理概述號口令管理的執(zhí)行情況,在很大程度上取決于帳號口令審查的監(jiān)督力度。在公司內(nèi)部推行帳號口令管理制度的很大一部分工作需要通過不斷的監(jiān)督、審查再配合相關(guān)的獎懲規(guī)定來保證。因此完善的帳號口令審查制度對于整個帳號口令管理至關(guān)重要。賬號審查通用要求對于保障等級一、二類帳號的普通用戶,可以根據(jù)實際情況決定是否進(jìn)行定期審查對于保障等級一、二類帳號的超級用戶,定期審查的時間間隔不超過六個月對于保障等級三、四類帳號的普通用戶,定期審查的時間間隔不超過三個月對于保障等級四、四類帳號的超級用戶,定期審查的時間間隔不超過一個月對于保障等級五類帳號的所有用戶,定期查的時間間隔不超過一個月任何變化發(fā)生后應(yīng)進(jìn)行審查,如：發(fā)生非法入侵、人員變動等；對于審查過程中出現(xiàn)的多余、閑置或非法的帳戶,應(yīng)及時予以凍結(jié)或刪除對核查中發(fā)現(xiàn)的問題,應(yīng)督促相關(guān)人員采取必要措施予以糾正通用原則對于已經(jīng)實施集中認(rèn)證系統(tǒng),審計的主要工作是對于認(rèn)證和授權(quán)的日志進(jìn)行檢查,審核是否有非法登陸事件,是否有越權(quán)使用的行為等對于操作系統(tǒng)級的帳號口令審計分為兩種：第一種可以設(shè)置帳號登陸和權(quán)限使用事件的追蹤,這種帳號口令的審計也是對系統(tǒng)日志和防火墻等訪問控制設(shè)備日志的審計；對于不能實現(xiàn)帳號登錄和權(quán)限追蹤的系統(tǒng),需要人工進(jìn)行審計,應(yīng)該根據(jù)業(yè)務(wù)系統(tǒng)的屬性制定詳細(xì)的審計checklist,由專門的安全組織進(jìn)行定期或者不定期的帳號隨機(jī)抽查審計對于應(yīng)用系統(tǒng)的帳號審計工作也是參照操作系統(tǒng)的分類進(jìn)行處理對于網(wǎng)絡(luò)設(shè)備的帳號審計工作,由于大部分的設(shè)備帳號都是沒有日志記錄的,所以主要審計方式是人工審計,由專門的信息安全組織根據(jù)設(shè)備的風(fēng)險等級規(guī)定審計的頻度和審計的checklist審計checklist的內(nèi)容主要依據(jù)審計對象的帳號口令管理規(guī)定制作,審計的關(guān)鍵點是帳號口令的復(fù)雜度,權(quán)限,更改的要求等等在制作審計checklist設(shè)計的時候,需要區(qū)別不同業(yè)務(wù)系統(tǒng)不同級別帳號的差異,對于關(guān)鍵業(yè)務(wù)系統(tǒng)和關(guān)鍵帳號的審計頻度和審計的內(nèi)容要求更加嚴(yán)格審計的結(jié)果應(yīng)該和獎懲規(guī)定掛鉤,對于多次審計不合格或者優(yōu)秀的員工和分公司要按照獎懲規(guī)定進(jìn)行相應(yīng)的獎懲專門的信息安全部門或者組織應(yīng)該對審計的結(jié)果定期進(jìn)行公布,力爭將審計的威懾力逐步提高,讓帳號使用者提高安全使用帳號口令的意識賬號口令審計流程設(shè)計建議帳號口令的審計流程以業(yè)務(wù)系統(tǒng)的風(fēng)險等級做為差異定制,針對不同的風(fēng)險等級制定不同的審計checklist帳號口令的審計可以結(jié)合現(xiàn)有的IT技術(shù),盡可能通過日志文件等方式進(jìn)行審計,但是有部分系統(tǒng)沒法提供電子審計對象,對于高風(fēng)險等級的系統(tǒng),必須制定替代的審計方法,包括手工的方法帳號口令審計工作應(yīng)該以省為單位由省公司安全部門牽頭,各業(yè)務(wù)系統(tǒng)維護(hù)單位負(fù)責(zé)的方式,涉及難以實現(xiàn)電子化審計的,省安全審計負(fù)責(zé)人應(yīng)該制定一些不定期抽查制度,對于抽查中出現(xiàn)的與審計不符合的情況,應(yīng)結(jié)合獎懲規(guī)從嚴(yán)處理帳號口令管理流程中需要考慮相應(yīng)的組織建立,可以明確責(zé)任的,確定責(zé)任人,不能落實到人的,落實到部門的安全相應(yīng)領(lǐng)導(dǎo)帳號口令審計后應(yīng)該將審計結(jié)果及時公布,對于違規(guī)和表現(xiàn)良好的可以進(jìn)行典型案例的宣傳,起到增強(qiáng)員工帳號口令安全意識的作用第三章服務(wù)與端口3.1什么是端口什么是端口號,一個端口就是一個潛在的通訊通道,也是一個入侵通道,開放一個端口就是一臺計算機(jī)在網(wǎng)絡(luò)上打開了一扇窗戶,黑客入侵的方法就是用手工掃描或利用掃描軟件找到服務(wù)器所開放的端口,去根據(jù)其相應(yīng)的漏洞對服務(wù)器進(jìn)行入侵或攻擊,因此對端口的了解是非常重要的。按對應(yīng)的協(xié)議類型,端口有兩種：TCP端口和UDP端口。由于TCP和UDP兩個協(xié)議是獨立的,因此各自的端口號也相互獨立,比如TCP有235端口,UDP也可以有235端口,兩者并不沖突。端口號只有整數(shù),范圍是從0到655353.2什么是服務(wù)一臺擁有IP地址的主機(jī)可以提供許多服務(wù),比如Web服務(wù)、ftp服務(wù)、SMTP服務(wù)等,這些服務(wù)完全可以通過1個IP地址來實現(xiàn)。那么,主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址,因為IP地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實際上是通過"IP地址+端口號"來區(qū)分不同的服務(wù)的。需要注意的是,端口并不是一一對應(yīng)的。比如你的電腦作為客戶機(jī)訪問一臺WWW服務(wù)器時,WWW服務(wù)器使用"80"端口與你的電腦通信,但你的電腦則可能使用"3457"這樣的端口端口都有確切的定義,對應(yīng)著相應(yīng)的服務(wù),每一個打開的端口,都代表一個系統(tǒng)服務(wù)。例如,80端口就代表Web服務(wù)。21對應(yīng)著FTP,25對應(yīng)著SMTP、110對應(yīng)著POP3等。動態(tài)端口<從1024到65535>當(dāng)你需要與別人通信時,Windows會從1024起,在本機(jī)上分配一個動態(tài)端口,如果1024端口未關(guān)閉,再需要端口時就會分配1025端口供你使用,依此類推。但是有個別的系統(tǒng)服務(wù)會綁定在1024到49151的端口上,例如3389端口<遠(yuǎn)程終端服務(wù)>。從49152到65535這一段端口,通常沒有捆綁系統(tǒng)服務(wù),允許Windows動態(tài)分配給你使用。3.3常用端口列表[tr]端口號碼/層名稱注釋[/tr]1tcpmuxTCP端口服務(wù)多路復(fù)用5rje遠(yuǎn)程作業(yè)入口7echoEcho服務(wù)9discard用于連接測試的空服務(wù)11systat用于列舉連接了的端口的系統(tǒng)狀態(tài)13daytime給請求主機(jī)發(fā)送日期和時間17qotd給連接了的主機(jī)發(fā)送每日格言18msp消息發(fā)送協(xié)議19chargen字符生成服務(wù)；發(fā)送無止境的字符流20ftp-dataFTP數(shù)據(jù)端口21ftp文件傳輸協(xié)議〔FTP端口；有時被文件服務(wù)協(xié)議〔FSP使用22ssh安全Shell〔SSH服務(wù)23telnetTelnet服務(wù)25smtp簡單郵件傳輸協(xié)議〔SMTP37time時間協(xié)議39rlp資源定位協(xié)議42nameserver互聯(lián)網(wǎng)名稱服務(wù)43nicnameWHOIS目錄服務(wù)49tacacs用于基于TCP/IP驗證和訪問的終端訪問控制器訪問控制系統(tǒng)50re-mail-ck遠(yuǎn)程郵件檢查協(xié)議53domain域名服務(wù)〔如BIND63whois++WHOIS++,被擴(kuò)展了的WHOIS服務(wù)67bootps引導(dǎo)協(xié)議〔BOOTP服務(wù)；還被動態(tài)主機(jī)配置協(xié)議〔DHCP服務(wù)使用68bootpcBootstrap〔BOOTP客戶；還被動態(tài)主機(jī)配置協(xié)議〔DHCP客戶使用69tftp小文件傳輸協(xié)議〔TFTP70gopherGopher互聯(lián)網(wǎng)文檔搜尋和檢索71netrjs-1遠(yuǎn)程作業(yè)服務(wù)72netrjs-2遠(yuǎn)程作業(yè)服務(wù)73netrjs-3遠(yuǎn)程作業(yè)服務(wù)73netrjs-4遠(yuǎn)程作業(yè)服務(wù)79finger用于用戶聯(lián)系信息的Finger服務(wù)80http用于萬維網(wǎng)〔WWW服務(wù)的超文本傳輸協(xié)議〔HTTP88kerberosKerberos網(wǎng)絡(luò)驗證系統(tǒng)95supdupTelnet協(xié)議擴(kuò)展101hostnameSRI-NIC機(jī)器上的主機(jī)名服務(wù)102/tcpiso-tsapISO開發(fā)環(huán)境〔ISODE網(wǎng)絡(luò)應(yīng)用105csnet-ns郵箱名稱服務(wù)器；也被CSO名稱服務(wù)器使用107rtelnet遠(yuǎn)程Telnet109pop2郵局協(xié)議版本2110pop3郵局協(xié)議版本3111sunrpc用于遠(yuǎn)程命令執(zhí)行的遠(yuǎn)程過程調(diào)用〔RPC協(xié)議,被網(wǎng)絡(luò)文件系統(tǒng)〔NFS使用113auth驗證和身份識別協(xié)議115sftp安全文件傳輸協(xié)議〔SFTP服務(wù)117uucp-pathUnix到Unix復(fù)制協(xié)議〔UUCP路徑服務(wù)119nntp用于USENET討論系統(tǒng)的網(wǎng)絡(luò)新聞傳輸協(xié)議〔NNTP123ntp網(wǎng)絡(luò)時間協(xié)議〔NTP137netbios-ns在紅帽企業(yè)Linux中被Samba使用的NETBIOS名稱服務(wù)138netbios-dgm在紅帽企業(yè)Linux中被Samba使用的NETBIOS數(shù)據(jù)報服務(wù)139netbios-ssn在紅帽企業(yè)Linux中被Samba使用的NETBIOS會話服務(wù)143imap互聯(lián)網(wǎng)消息存取協(xié)議〔IMAP161snmp簡單網(wǎng)絡(luò)管理協(xié)議〔SNMP162snmptrapSNMP的陷阱163cmip-man通用管理信息協(xié)議〔CMIP164cmip-agent通用管理信息協(xié)議〔CMIP174mailqMAILQ電子郵件傳輸隊列177xdmcpX顯示管理器控制協(xié)議〔XDMCP178nextstepNeXTStep窗口服務(wù)器179bgp邊界網(wǎng)絡(luò)協(xié)議191prosperoProspero分布式文件系統(tǒng)服務(wù)194irc互聯(lián)網(wǎng)中繼聊天〔IRC199smuxSNMPUNIX多路復(fù)用201at-rtmpAppleTalk選路202at-nbpAppleTalk名稱綁定204at-echoAppleTalkecho服務(wù)206at-zisAppleTalk區(qū)塊信息209qmtp快速郵件傳輸協(xié)議〔QMTP210z39.50NISOZ39.50數(shù)據(jù)庫213ipx互聯(lián)網(wǎng)絡(luò)分組交換協(xié)議〔IPX,被NovellNetware環(huán)境常用的數(shù)據(jù)報協(xié)議220imap3互聯(lián)網(wǎng)消息存取協(xié)議版本3245linkLINK/3-DNSiQuery服務(wù)347fatservFATMEN文件和磁帶官吏服務(wù)器363rsvp_tunnelRSVP隧道369rpc2portmapCoda文件系統(tǒng)端口映射器370codaauth2Coda文件系統(tǒng)驗證服務(wù)372ulistprocUNIXLISTSERV389ldap輕型目錄存取協(xié)議〔LDAP427svrloc服務(wù)位置協(xié)議〔SLP434mobileip-agent可移互聯(lián)網(wǎng)協(xié)議〔IP代理435mobilip-mn可移互聯(lián)網(wǎng)協(xié)議〔IP管理器443https安全超文本傳輸協(xié)議〔HTTP444snpp小型網(wǎng)絡(luò)分頁協(xié)議445microsoft-ds通過TCP/IP的服務(wù)器消息塊〔SMB464kpasswdKerberos口令和鑰匙改換服務(wù)468photurisPhoturis會話鑰匙管理協(xié)議487saft簡單不對稱文件傳輸〔SAFT協(xié)議488gss-http用于HTTP的通用安全服務(wù)〔GSS496pim-rp-disc用于協(xié)議獨立的多址傳播〔PIM服務(wù)的會合點發(fā)現(xiàn)〔RP-DISC500isakmp互聯(lián)網(wǎng)安全關(guān)聯(lián)和鑰匙管理協(xié)議〔ISAKMP535iiop互聯(lián)網(wǎng)內(nèi)部對象請求代理協(xié)議〔IIOP538gdomapGNUstep分布式對象映射器〔GDOMAP546dhcpv6-client動態(tài)主機(jī)配置協(xié)議〔DHCP版本6客戶547dhcpv6-server動態(tài)主機(jī)配置協(xié)議〔DHCP版本6服務(wù)554rtsp實時流播協(xié)議〔RTSP563nntps通過安全套接字層的網(wǎng)絡(luò)新聞傳輸協(xié)議〔NNTPS565whoamiwhoami用戶ID列表587submission郵件消息提交代理〔MSA610npmp-local網(wǎng)絡(luò)外設(shè)管理協(xié)議〔NPMP本地/分布式排隊系統(tǒng)〔DQS611npmp-gui網(wǎng)絡(luò)外設(shè)管理協(xié)議〔NPMPGUI/分布式排隊系統(tǒng)〔DQS612hmmp-indHyperMedia管理協(xié)議〔HMMP表示/DQS631ipp互聯(lián)網(wǎng)打印協(xié)議〔IPP636ldaps通過安全套接字層的輕型目錄訪問協(xié)議〔LDAPS674acap應(yīng)用程序配置存取協(xié)議〔ACAP694ha-cluster用于帶有高可用性的群集的心跳服務(wù)749kerberos-admKerberos版本5〔v5的"kadmin"數(shù)據(jù)庫管理750kerberos-ivKerberos版本4〔v4服務(wù)765webster網(wǎng)絡(luò)詞典767phonebook網(wǎng)絡(luò)電話簿873rsyncrsync文件傳輸服務(wù)992telnets通過安全套接字層的Telnet〔TelnetS993imaps通過安全套接字層的互聯(lián)網(wǎng)消息存取協(xié)議〔IMAPS994ircs通過安全套接字層的互聯(lián)網(wǎng)中繼聊天〔IRCS995pop3s通過安全套接字層的郵局協(xié)議版本3〔POPS3端口號碼/層名稱注釋[/tr]512/tcpexec用于對遠(yuǎn)程執(zhí)行的進(jìn)程進(jìn)行驗證512/udpbiff[comsat]異步郵件客戶〔biff和服務(wù)〔comsat513/tcplogin遠(yuǎn)程登錄〔rlogin513/udpwho[whod]whod用戶記錄守護(hù)進(jìn)程514/tcpshell[cmd]無記錄的遠(yuǎn)程shell〔rshell和遠(yuǎn)程復(fù)制〔rcp514/udpsyslogUNIX系統(tǒng)日志服務(wù)515printer[spooler]打印機(jī)〔lpr假脫機(jī)517/udptalkTalk遠(yuǎn)程對話服務(wù)和客戶518/udpntalk網(wǎng)絡(luò)交談〔ntalk,遠(yuǎn)程對話服務(wù)和客戶519utime[unixtime]UNIX時間協(xié)議〔utime520/tcpefs擴(kuò)展文件名服務(wù)器〔EFS520/udprouter[route,routed]選路信息協(xié)議〔RIP521ripng用于互聯(lián)網(wǎng)協(xié)議版本6〔IPv6的選路信息協(xié)議525timed[timeserver]時間守護(hù)進(jìn)程〔timed526/tcptempo[newdate]Tempo530/tcpcourier[rpc]Courier遠(yuǎn)程過程調(diào)用〔RPC協(xié)議531/tcpconference[chat]互聯(lián)網(wǎng)中繼聊天532netnewsNetnews新聞組服務(wù)533/udpnetwall用于緊急廣播的Netwall540/tcpuucp[uucpd]UNIX-to-UNIX復(fù)制服務(wù)543/tcpkloginKerberos版本5〔v5遠(yuǎn)程登錄544/tcpkshellKerberos版本5〔v5遠(yuǎn)程shell548afpovertcp通過傳輸控制協(xié)議〔TCP的Appletalk文件編制協(xié)議〔AFP556remotefs[rfs_server,rfs]Brunhoff的遠(yuǎn)程文件系統(tǒng)〔RFS端口號碼/層名稱注釋[/tr]1080socksSOCKS網(wǎng)絡(luò)應(yīng)用程序代理服務(wù)1236bvcontrol[rmtcfg]GracilisPacketen網(wǎng)絡(luò)轉(zhuǎn)換遠(yuǎn)程配置服務(wù)器[a]1300h323hostcallscH.323電訊主持電話安全1433ms-sql-sMicrosoftSQL服務(wù)器1434ms-sql-mMicrosoftSQL監(jiān)視器1494icaCitrixICA客戶1512winsMicrosoftWindows互聯(lián)網(wǎng)名稱服務(wù)器1524ingreslockIngres數(shù)據(jù)庫管理系統(tǒng)〔DBMS鎖定服務(wù)1525prospero-np無特權(quán)的Prospero1645datametrics[old-radius]Datametrics/從前的radius項目1646sa-msg-port[oldradacct]sa-msg-port/從前的radacct項目1649kermitKermit文件傳輸和管理服務(wù)1701l2tp[l2f]第2層隧道服務(wù)〔LT2P/第2層轉(zhuǎn)發(fā)〔L2F1718h323gatediscH.323電訊守門裝置發(fā)現(xiàn)機(jī)制1719h323gatestatH.323電訊守門裝置狀態(tài)1720h323hostcallH.323電訊主持電話設(shè)置1758tftp-mcast小文件FTP組播1759/udpmtftp組播小文件FTP〔MTFTP1789helloHello路由器通信端口1812radiusRadius撥號驗證和記帳服務(wù)1813radius-acctRadius記帳1911mtpStarlight網(wǎng)絡(luò)多媒體傳輸協(xié)議〔MTP1985hsrpCisco熱備用路由器協(xié)議1986licensedaemonCisco許可管理守護(hù)進(jìn)程1997gdp-portCisco網(wǎng)關(guān)發(fā)現(xiàn)協(xié)議〔GDP2049nfs[nfsd]網(wǎng)絡(luò)文件系統(tǒng)〔NFS2102zephyr-srvZephyr分布式即時消息服務(wù)器2103zephyr-cltZephyr客戶2104zephyr-hmZephyr主機(jī)管理器2401cvspserver并行版本系統(tǒng)〔CVS客戶/服務(wù)器操作2430/tcpvenus用于Coda文件系統(tǒng)〔codacon端口的Venus緩存管理器2430/udpvenus用于Coda文件系統(tǒng)〔callback/wbcinterface界面的Venus緩存管理器2431/tcpvenus-seVenus傳輸控制協(xié)議〔TCP的副作用2431/udpvenus-seVenus用戶數(shù)據(jù)報協(xié)議〔UDP的副作用2432/udpcodasrvCoda文件系統(tǒng)服務(wù)器端口2433/tcpcodasrv-seCoda文件系統(tǒng)TCP副作用2433/udpcodasrv-seCoda文件系統(tǒng)UDPSFTP副作用2600hpstgmgr[zebrasrv]Zebra選路2601discp-client[zebra]discp客戶；Zebra集成的shell2602discp-server[ripd]discp服務(wù)器；選路信息協(xié)議守護(hù)進(jìn)程〔ripd2603servicemeter[ripngd]服務(wù)計量；用于IPv6的RIP守護(hù)進(jìn)程2604nsc-ccs[ospfd]NSCCCS；開放式短路徑優(yōu)先守護(hù)進(jìn)程〔ospfd2605nsc-posaNSCPOSA；邊界網(wǎng)絡(luò)協(xié)議守護(hù)進(jìn)程〔bgpd2606netmon[ospf6d]DellNetmon；用于IPv6的OSPF守護(hù)進(jìn)程〔ospf6d2809corbaloc公共對象請求代理體系〔CORBA命名服務(wù)定位器3130icpv2互聯(lián)網(wǎng)緩存協(xié)議版本2〔v2；被Squid代理緩存服務(wù)器使用3306mysqlMySQL數(shù)據(jù)庫服務(wù)3346trnsprntproxy透明代理4011pxe執(zhí)行前環(huán)境〔PXE服務(wù)4321rwhois遠(yuǎn)程Whois〔rwhois服務(wù)4444krb524Kerberos版本5〔v5到版本4〔v4門票轉(zhuǎn)換器5002rfe無射頻以太網(wǎng)〔RFE音頻廣播系統(tǒng)5308cfengine配置引擎〔Cfengine5999cvsup[CVSup]CVSup文件傳輸和更新工具6000/tcpx11[X]X窗口系統(tǒng)服務(wù)7000afs3-fileserverAndrew文件系統(tǒng)〔AFS文件服務(wù)器7001afs3-callback用于給緩存管理器回電的AFS端口7002afs3-prserverAFS用戶和組群數(shù)據(jù)庫7003afs3-vlserverAFS文件卷位置數(shù)據(jù)庫7004afs3-kaserverAFSKerberos驗證服務(wù)7005afs3-volserAFS文件卷管理服務(wù)器7006afs3-errorsAFS錯誤解釋服務(wù)7007afs3-bosAFS基本監(jiān)查進(jìn)程7008afs3-updateAFS服務(wù)器到服務(wù)器更新器7009afs3-rmtsysAFS遠(yuǎn)程緩存管理器服務(wù)9876sdIP多址傳播會議的會話指揮10080amanda高級Maryland自動網(wǎng)絡(luò)磁盤歸檔器〔Amanda備份服務(wù)11371pgpkeyserver良好隱私〔PGP/GNU隱私衛(wèi)士〔GPG公鑰服務(wù)器11720h323callsigaltH.323調(diào)用信號交替13720bprdVeritasNetBackup請求守護(hù)進(jìn)程〔bprd13721bpdbmVeritasNetBackup數(shù)據(jù)庫管理器〔bpdbm13722bpjava-msvcVeritasNetBackupJava/MicrosoftVisualC++<MSVC>協(xié)議13724vnetdVeritas網(wǎng)絡(luò)工具13782bpcdVertiasNetBackup13783vopiedVeritasVOPIE驗證守護(hù)進(jìn)程22273wnn6[wnn4]假名/漢字轉(zhuǎn)換系統(tǒng)[c]26000quakeQuake〔以及相關(guān)的多人游戲服務(wù)器26208wnn6-dsWnn6假名/漢字服務(wù)器33434tracerouteTraceroute網(wǎng)絡(luò)跟蹤工具注:

a./etc/services中的注釋如下：端口1236被注冊為"bvcontrol",但是它也被GracilisPacketen遠(yuǎn)程配置服務(wù)器使用。正式名稱被列為主要名稱,未注冊的名稱被列為別名。

b.在/etc/services中的注釋：端口2600到2606被zebra軟件包未經(jīng)注冊而使用。主要名稱是被注冊的名稱,被zebra使用的未注冊名稱被列為別名。

c./etc/services文件中的注釋：該端口被注冊為wnn6,但是還在FreeWnn軟件包中使用了未注冊的"wnn4"。端口號碼/層名稱注釋[/tr]1/ddprtmp路由表管理協(xié)議2/ddpnbp名稱綁定協(xié)議4/ddpechoAppleTalkEcho協(xié)議6/ddpzip區(qū)塊信息協(xié)議[tr]端口號碼/層名稱注釋[/tr]751kerberos_masterKerberos驗證752passwd_serverKerberos口令〔kpasswd服務(wù)器754krb5_propKerberosv5從屬傳播760krbupdate[kreg]Kerberos注冊1109kpopKerberos郵局協(xié)議〔KPOP2053knetdKerberos多路分用器2105ekloginKerberosv5加密的遠(yuǎn)程登錄〔rlogin15/tcpnetstat網(wǎng)絡(luò)狀態(tài)〔netstat98/tcplinuxconfLinuxconfLinux管理工具106poppassd郵局協(xié)議口令改變守護(hù)進(jìn)程〔POPPASSD465/tcpsmtps通過安全套接字層的簡單郵件傳輸協(xié)議〔SMTPS616/tcpgii使用網(wǎng)關(guān)的〔選路守護(hù)進(jìn)程互動界面808omirr[omirrd]聯(lián)機(jī)鏡像〔Omirr文件鏡像服務(wù)871/tcpsupfileserv軟件升級協(xié)議〔SUP服務(wù)器901/tcpswatSamba萬維網(wǎng)管理工具〔SWAT953rndcBerkeley互聯(lián)網(wǎng)名稱域版本9〔BIND9遠(yuǎn)程配置工具1127/tcpsupfiledbg軟件升級協(xié)議〔SUP調(diào)試1178/tcpskkserv簡單假名到漢字〔SKK日文輸入服務(wù)器1313/tcpxtel法國Minitel文本信息系統(tǒng)1529/tcpsupport[prmsd,gnatsd]GNATS錯誤跟蹤系統(tǒng)2003/tcpcfingerGNUfinger2150ninstall網(wǎng)絡(luò)安裝服務(wù)2988afbackupafbackup客戶-服務(wù)器備份系統(tǒng)3128/tcpsquidSquid萬維網(wǎng)代理緩存3455prsvpRSVP端口5432postgresPostgreSQL數(shù)據(jù)庫4557/tcpfaxFAX傳輸服務(wù)〔舊服務(wù)4559/tcphylafaxHylaFAX客戶-服務(wù)器協(xié)議〔新服務(wù)5232sgi-dglSGI分布式圖形庫5354noclogNOCOL網(wǎng)絡(luò)操作中心記錄守護(hù)進(jìn)程〔noclogd5355hostmonNOCOL網(wǎng)絡(luò)操作中心主機(jī)監(jiān)視5680/tcpcannaCanna日文字符輸入界面6010/tcpx11-ssh-offset安全Shell〔SSHX11轉(zhuǎn)發(fā)偏移6667ircd互聯(lián)網(wǎng)中繼聊天守護(hù)進(jìn)程〔ircd7100/tcpxfsX字體服務(wù)器〔XFS7666/tcptircproxyTircproxyIRC代理服務(wù)8008http-alt超文本傳輸協(xié)議〔HTTP的另一選擇8080webcache萬維網(wǎng)〔WWW緩存服務(wù)8081tproxy透明代理9100/tcpjetdirect[laserjet,hplj]Hewlett-Packard<HP>JetDirect網(wǎng)絡(luò)打印服務(wù)9359mandelspawn[mandelbrot]用于X窗口系統(tǒng)的并行mandelbrot生成程序10081kamanda使用Kerberos的Amanda備份服務(wù)10082/tcpamandaidxAmanda索引服務(wù)器10083/tcpamidxtapeAmanda磁帶服務(wù)器20011isdnlog綜合業(yè)務(wù)數(shù)字網(wǎng)〔ISDN記錄系統(tǒng)20012vboxdISDN音箱守護(hù)進(jìn)程〔vboxd22305/tcpwnn4_KrkWnn韓文輸入系統(tǒng)22289/tcpwnn4_CncWnn中文輸入系統(tǒng)22321/tcpwnn4_TwtWnn中文輸入系統(tǒng)〔XX24554binkpBinkleyTCP/IPFidonet郵寄程序守護(hù)進(jìn)程27374asp地址搜索協(xié)議60177tfidoIfmailFidoNet兼容郵寄服務(wù)60179fido默認(rèn)doNet電子郵件和新聞網(wǎng)絡(luò)第四章安全補(bǔ)丁4.1概述信息系統(tǒng)的基礎(chǔ)構(gòu)成是PC、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等,隨著病毒和漏洞的結(jié)合,CodeRed、Nimda、SQLSlammer、Blaster蠕蟲、僵尸、漏洞等對網(wǎng)絡(luò)甚至經(jīng)濟(jì)都造成了嚴(yán)重的影響。這些漏洞造成的危害,是利用了操作系統(tǒng)或者應(yīng)用程序、設(shè)備的漏洞,而消除漏洞的常規(guī)辦法就是安裝補(bǔ)丁。4.2補(bǔ)丁安裝與操作檢測內(nèi)容建議操作操作結(jié)果Windows、網(wǎng)絡(luò)設(shè)備的補(bǔ)丁是系統(tǒng)安全中重要組成部分,通常情況下安裝補(bǔ)丁不會對系統(tǒng)造成任何不良的影響。但存在補(bǔ)丁與應(yīng)用系統(tǒng)沖突的可能,造成業(yè)務(wù)中斷,必須做好系統(tǒng)備份和打補(bǔ)丁前的測試工作。另外服務(wù)器安裝補(bǔ)丁最好選擇在業(yè)務(wù)不繁忙時間段進(jìn)行。注意：在安裝系統(tǒng)補(bǔ)丁的過程中不能夠使系統(tǒng)斷電或非正常安裝完畢而重新啟動系統(tǒng),這樣可能會造成系統(tǒng)不能正常啟動的嚴(yán)重后果。第五章終端管理以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS〔入侵檢測、網(wǎng)絡(luò)互聯(lián)設(shè)備即對交換機(jī)、集線器和路由器等的管理,卻忽略了對網(wǎng)絡(luò)環(huán)境中的計算單元—服務(wù)器、臺式機(jī)乃至便攜機(jī)的管理。正確、全面的認(rèn)識終端桌面管理的發(fā)展趨勢和技術(shù)特點,是IT研發(fā)廠商面臨的發(fā)展抉擇,同時也是企、事業(yè)IT管理人員和高層決策人員在進(jìn)行終端桌面安全防護(hù)部署時必須考慮的議題。終端桌面安全管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加,作為網(wǎng)絡(luò)管理技術(shù)的邊緣產(chǎn)物而衍生的,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián),是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補(bǔ)充,也是未來網(wǎng)絡(luò)安全防范體系重要的組成部分。因此,終端桌面安全管理技術(shù)無論在現(xiàn)在還是未來都應(yīng)當(dāng)歸入基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品體系之列。近兩年的安全防御調(diào)查也表明,政府、企業(yè)單位中超過80%的管理和安全問題來自終端,計算機(jī)終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環(huán)節(jié)。因此,網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢,安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護(hù),轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個終端。建立桌面計算機(jī)安全管理系統(tǒng)的意義在于：解決大批量的計算機(jī)安全管理問題。具體來說,這些問題包括：加強(qiáng)桌面計算機(jī)的安全性,例如：通過批量設(shè)置計算機(jī)的安全保護(hù)措施提高桌面計算機(jī)的安全性,及時更新桌面計算機(jī)的安全補(bǔ)丁,減少被攻擊的可能；實現(xiàn)動態(tài)安全評估,實時評估計算機(jī)的安全狀態(tài)及其是否符合管理規(guī)定,例如：評估計算機(jī)的網(wǎng)絡(luò)流量是否異常,評估計算機(jī)是否做了非法操作〔撥號上網(wǎng)、安裝游戲軟件等,評估計算機(jī)的安全設(shè)置是否合理等；批量管理設(shè)置計算機(jī),例如：進(jìn)行批量的軟件安裝、批量的安全設(shè)置等；防止外來電腦非法接入,避免網(wǎng)絡(luò)安全遭受破壞或者信息泄密；確保本單位的計算機(jī)使用制度得到落實,例如：禁止撥號上網(wǎng),禁止使用外部郵箱,禁止訪問非法網(wǎng)站,禁止將單位機(jī)密文件復(fù)制、發(fā)送到外部等；出現(xiàn)安全問題后,可以對有問題的IP/MAC/主機(jī)名等進(jìn)行快速的定位；實現(xiàn)計算機(jī)的資產(chǎn)管理和控制。管理措施如下圖所示：第六章數(shù)據(jù)備份6.1備份管理6.1.1信息識別內(nèi)容：確定本部門/業(yè)務(wù)系統(tǒng)需要備份的電子數(shù)據(jù)。標(biāo)準(zhǔn)：識別重要的信息資產(chǎn),或信息資產(chǎn)的子系統(tǒng)相關(guān)的數(shù)據(jù)。操作：收集需要備份的資產(chǎn)的相關(guān)信息,主要包括信息資產(chǎn)的名稱、重要性、資產(chǎn)的保護(hù)級別等屬性,填寫《信息備份識別清單》。需要檢查的信息資產(chǎn)可能包括：生產(chǎn)機(jī)上運(yùn)行的應(yīng)用系統(tǒng)軟件源代碼；數(shù)據(jù)庫結(jié)構(gòu)〔表結(jié)構(gòu)、存儲過程、視圖、索引、函數(shù)等業(yè)務(wù)運(yùn)作數(shù)據(jù)；系統(tǒng)配置參數(shù)；日志文件。關(guān)鍵點：具體是否需要備份,還要看信息是否被損壞的威脅程度。特情處理：無法備份的信息,盡量多使用其復(fù)制件,而保存原件。6.1.2制定備份計劃內(nèi)容：填寫《信息備份計劃》。標(biāo)準(zhǔn)：計劃符合信息本身的特點,完整填寫《信息備份計劃》中的每一項。關(guān)鍵點：選擇合適的備份方式與周期。特情處理：責(zé)任人沒有足夠的工具或條件可要求相關(guān)的工程師協(xié)助。操作：根據(jù)資產(chǎn)識別的《信息備份識別清單》,制定《信息備份計劃》,備份計劃具體包括：確定備份周期：根據(jù)信息更新速度,易損壞程度,及備份媒體的有效期,確定備份周期。另外,在相關(guān)業(yè)務(wù)每次重大行動之前,以及每年年底的最后一天,也需要進(jìn)行備份。備份介質(zhì)類型：確定備份使用的媒體,一般是電子信息光碟,軟盤、硬盤或磁帶庫,要同時考慮成本與可靠性。備份方式：一般要采用復(fù)制,雙系統(tǒng)同步,轉(zhuǎn)儲,壓縮復(fù)制等。備份工具：備份使用的工具,如光盤刻錄機(jī)、復(fù)印機(jī)、軟驅(qū)、壓縮軟件、磁帶機(jī),選擇工具時,要確定在信息失效之前,對應(yīng)的恢復(fù)工具可用。份數(shù)：確定備份的數(shù)量,一般信息備份一份即可,對于特別重要的信息需要備份多份。存放位置：備份信息一般應(yīng)與原始信息盡量分開存放,要根據(jù)信息保密級別有相應(yīng)的保密措施。責(zé)任人：確定備份的責(zé)任人。備份計劃應(yīng)提交給相關(guān)部門負(fù)責(zé)人,經(jīng)部門負(fù)責(zé)人確認(rèn)并批準(zhǔn)后予以實施。6.1.3實施備份計劃內(nèi)容：執(zhí)行《信息備份計劃》的計劃。標(biāo)準(zhǔn)：計劃規(guī)定的周期與備份方式。操作：對于分散的信息整理、歸類；執(zhí)行備份程序,檢查備份數(shù)據(jù)的可用性；清理過程中的臨時數(shù)據(jù),填寫完整的《信息備份記錄》。關(guān)鍵點：信息備份要保證完整性,同時保證信息在備份過程中的保密。特情處理：如果是絕密信息,可通過特殊方式來進(jìn)行處理。6.1.4備份存放內(nèi)容：將備份的媒體存放在安全位置。標(biāo)準(zhǔn)：存放位置應(yīng)符合軟件管理程序的規(guī)定。操作：備份完畢,備份操作員需向部門負(fù)責(zé)人或備份管理人員提交備份結(jié)果,包括：備份使用的媒體,備份過程中的相關(guān)文件,如：備份記錄文件、備份恢復(fù)工具或軟件、備份恢復(fù)指導(dǎo)書等；將備份媒體保存到《信息備份計劃》中指定的位置,一般要按時間順序存放。媒體的存儲主要考慮以下幾個方面：對業(yè)務(wù)影響重大的關(guān)鍵備份媒體要異地