服務(wù)器安全加固操作指南

服務(wù)器安全加固操作指南優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

服務(wù)器安全加固操作指南優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）網(wǎng)絡(luò)通信安全管理員培訓(xùn)WEB安全加固操作指南陜西郵電職業(yè)技術(shù)學(xué)院培訓(xùn)中心二零一二年五月1、Windowsserver2003系統(tǒng)加固41.1采集系統(tǒng)信息41.2賬號(hào)5優(yōu)化賬號(hào)5檢測(cè)隱藏帳號(hào)6更改默認(rèn)管理員用戶名71.3口令策略71.4授權(quán)91.5補(bǔ)丁管理101.6安全配置11協(xié)議安全配置h11屏幕保護(hù)13安裝防病毒軟件14病毒查殺15木馬查殺161.7日志審核18增強(qiáng)日志18增強(qiáng)審核201.8關(guān)閉不必要的端口、服務(wù)20修改遠(yuǎn)程桌面端口20關(guān)閉高危的數(shù)據(jù)庫(kù)端口21優(yōu)化服務(wù)22修改SNMP服務(wù)231.9啟動(dòng)項(xiàng)241.10關(guān)閉自動(dòng)播放功能251.11關(guān)閉共享261.12使用NTFS261.13網(wǎng)絡(luò)訪問271.14會(huì)話超時(shí)設(shè)置281.15注冊(cè)表設(shè)置281.16其他29網(wǎng)絡(luò)限制29安全性增強(qiáng)30檢查Everyone權(quán)限30限制命令操作權(quán)限31防病毒軟件建立計(jì)劃任務(wù)，每天深夜執(zhí)行全盤掃描32進(jìn)行IP-MAC雙向綁定32第三方軟件升級(jí)33開啟360safearp防火墻331.17Apache系統(tǒng)加固34帳號(hào)34授權(quán)35日志36禁止訪問外部文件37目錄列出38錯(cuò)誤頁(yè)面重定向38拒絕服務(wù)防范39隱藏Apache的版本號(hào)39關(guān)閉trace40禁用CGI41監(jiān)聽地址綁定41補(bǔ)丁42更改默認(rèn)端口42刪除缺省安裝的無(wú)用文件42加密協(xié)議43連接數(shù)設(shè)置43禁用非法441.18其他45禁止SSI451..18.2上傳目錄設(shè)置45保護(hù)敏感目錄46限制IP訪問rrr471、Windowsserver2003系統(tǒng)加固1.1采集系統(tǒng)信息操作名稱采集系統(tǒng)的相關(guān)信息檢查方法查看系統(tǒng)版本ver查看SP版本wmicosgetServicePackMajorVersion查看Hotfixwmicqfegethotfixid,InstalledOn查看主機(jī)名hostname查看網(wǎng)絡(luò)配置ipconfig/all查看路由表routeprint查看開放端口netstat-ano檢查結(jié)果通過(guò)上述查看方法，采集到的系統(tǒng)信息如下：加固方法無(wú)需加固操作目的了解系統(tǒng)的相關(guān)信息加固結(jié)果無(wú)需加固1.2賬號(hào)優(yōu)化賬號(hào)操作名稱優(yōu)化賬號(hào)檢查要求應(yīng)按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享；查看是否有不用的賬號(hào)，系統(tǒng)賬號(hào)所屬組是否正確以及guest賬號(hào)是否鎖定；按照用戶分配賬號(hào)。對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱；禁用guest（來(lái)賓）帳號(hào)。檢查方法開始->運(yùn)行->compmgmt.msc（計(jì)算機(jī)管理）->本地用戶和組，檢查結(jié)果使用netuser查看到的賬號(hào)：在計(jì)算機(jī)管理中看到的賬號(hào)：加固方法刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等無(wú)關(guān)的賬號(hào)。使用“netuser用戶名/del”命令刪除賬號(hào)使用“netuser用戶名/active:no”命令鎖定賬號(hào)。操作目的減少系統(tǒng)無(wú)用賬號(hào)，降低風(fēng)險(xiǎn)加固結(jié)果下圖中藍(lán)色標(biāo)記的賬號(hào)為本次禁用的無(wú)關(guān)賬號(hào)。檢測(cè)隱藏帳號(hào)操作名稱檢測(cè)隱藏帳號(hào)檢查要求通過(guò)查看計(jì)算機(jī)管理-本地用戶和組-用戶，注冊(cè)表中的SAM，查找是否有類似admin$之類的隱藏帳號(hào)。檢查方法開始->運(yùn)行->compmgmt.msc（計(jì)算機(jī)管理）->本地用戶和組；開始->運(yùn)行->regedit->HKEY_LOCAL_MACHINE\SAM\SAM，右鍵點(diǎn)擊SAM，點(diǎn)擊權(quán)限，允許Administrators組完全控制和讀取SAM，刷新后查看SAM\Domains\Accout\Users\Names。檢查結(jié)果開始->運(yùn)行->compmgmt.msc（計(jì)算機(jī)管理）->本地用戶和組：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names：加固方法刪除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中非法的隱藏賬號(hào)。操作目的刪除系統(tǒng)中非法的隱藏賬號(hào)，降低風(fēng)險(xiǎn)加固結(jié)果1.2.3更改默認(rèn)管理員用戶名操作名稱新建隱藏帳號(hào)、禁用默認(rèn)管理員賬號(hào)administrator；檢查結(jié)果默認(rèn)管理員賬號(hào)為administrator加固方法更改默認(rèn)管理員用戶名，建立一個(gè)復(fù)雜的隱藏管理員賬號(hào)，并禁用默認(rèn)管理員賬號(hào)。操作目的默認(rèn)管理員賬號(hào)可能被攻擊者用來(lái)進(jìn)行密碼暴力猜測(cè)，可能由于太多的錯(cuò)誤密碼嘗試導(dǎo)致該賬號(hào)被鎖定。加固結(jié)果禁用了管理員賬號(hào)，并新建了一個(gè)隱藏管理員賬號(hào)xadminy55$1.3口令策略操作名稱賬號(hào)口令策略修改要求內(nèi)容密碼長(zhǎng)度要求：最少8位密碼復(fù)雜度要求：至少包含以下四種類別的字符中的三種：英語(yǔ)大寫字母A,B,C,…Z英語(yǔ)小寫字母a,b,c,…z阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等檢查方法開始->運(yùn)行->secpol.msc（本地安全策略）->安全設(shè)置檢查結(jié)果從下圖藍(lán)圈標(biāo)記處可以看出，密碼的復(fù)雜性沒有作要求，長(zhǎng)度、最長(zhǎng)和最短使用期限未設(shè)置，強(qiáng)制密碼歷史未設(shè)置。從下圖藍(lán)圈處可以看出，賬號(hào)鎖定策略設(shè)置的比較安全。下圖藍(lán)圈處標(biāo)記出本地策略->安全選項(xiàng)中不顯示上次的用戶名未啟用。加固方法1，賬戶設(shè)置->密碼策略密碼必須符合復(fù)雜性要求：?jiǎn)⒂妹艽a長(zhǎng)度最小值：8個(gè)字符密碼最長(zhǎng)存留期：90天密碼最短存留期：30天強(qiáng)制密碼歷史：5個(gè)記住密碼2，賬戶設(shè)置->賬戶鎖定策略復(fù)位帳戶鎖定計(jì)數(shù)器：1分鐘帳戶鎖定時(shí)間：30分鐘帳戶鎖定閥值：6次無(wú)效登錄3，本地策略->安全選項(xiàng)交互式登錄：不顯示上次的用戶名：?jiǎn)⒂米詈?，使用gpupdate/force立即生效操作目的增強(qiáng)口令的復(fù)雜度及鎖定策略等，降低被暴力破解的可能性，保障賬號(hào)及口令的安全加固結(jié)果下圖為加固后“賬戶設(shè)置->密碼策略”中各項(xiàng)的參數(shù)(標(biāo)紅處為本次做過(guò)修改)。另外，還將“本地策略->安全選項(xiàng)”中的“交互式登錄：不顯示上次的用戶名”項(xiàng)設(shè)為了啟用。1.4授權(quán)操作名稱口令授權(quán)要求內(nèi)容在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組；在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組；在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Administrators；在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計(jì)算機(jī)；在組策略中只允許授權(quán)帳號(hào)從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù)此計(jì)算機(jī)。檢查方法開始->運(yùn)行->eventvwr.msc->查看“本地策略”-“用戶權(quán)限分配”檢查結(jié)果從下圖可以看出，只有Administrators組從本地和遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)，但是還有其他兩個(gè)用戶組具有關(guān)機(jī)功能，修要修改加固。加固方法在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組；在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組；在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Administrators；在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計(jì)算機(jī)；在組策略中只允許授權(quán)帳號(hào)從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計(jì)算機(jī)。操作目的設(shè)置用戶組的關(guān)機(jī)權(quán)限加固結(jié)果將關(guān)閉系統(tǒng)功能僅指派給Administrators組1.5補(bǔ)丁管理操作名稱安裝系統(tǒng)補(bǔ)丁，修補(bǔ)漏洞檢查方法先使用FTP工具將提前準(zhǔn)備好的軟件傳至演練主機(jī)上，然后安裝360安全衛(wèi)士，使用360安全衛(wèi)士對(duì)電腦進(jìn)行安全體驗(yàn)。檢查結(jié)果使用360安全衛(wèi)士對(duì)電腦進(jìn)行體驗(yàn)后發(fā)現(xiàn)，服務(wù)器存在的問題很多，主要問題如下：電腦體驗(yàn)得分為0分；電腦存在87個(gè)高危漏洞；系統(tǒng)關(guān)鍵位置發(fā)現(xiàn)木馬或高危文件；內(nèi)層中發(fā)現(xiàn)運(yùn)行的木馬或高風(fēng)險(xiǎn)文件；未安裝殺毒軟件。加固方法使用360安全衛(wèi)士進(jìn)行漏洞修補(bǔ)。操作目的安裝系統(tǒng)補(bǔ)丁，修補(bǔ)漏洞。加固結(jié)果最終，使用360安全衛(wèi)士完修補(bǔ)了掃描到的87個(gè)漏洞。1.6安全配置1.6.1IP協(xié)議安全配置操作名稱IP協(xié)議安全配置檢查方法開始-設(shè)置-控制面板-防火墻檢查結(jié)果下圖為服務(wù)器防火墻的初始設(shè)置，未開啟防火墻。加固方法審核策略更改：對(duì)沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全機(jī)制(IPSec)或網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議；啟用Windows2003自帶防火墻。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的IP地址范圍；操作目的根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的IP地址范圍加固結(jié)果啟用防火墻，并允許遠(yuǎn)程桌面例外，設(shè)置訪問范圍。1.6.2屏幕保護(hù)操作名稱屏幕保護(hù)檢查方法桌面-屬性-屏幕保護(hù)程序檢查結(jié)果加固方法設(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘。對(duì)于遠(yuǎn)程登陸的帳號(hào)，設(shè)置不活動(dòng)斷連時(shí)間10分鐘。操作目的防止其他人使用你的電腦加固結(jié)果1.6.3安裝防病毒軟件操作名稱安裝防病毒軟件檢查方法通過(guò)360安全衛(wèi)士對(duì)電腦進(jìn)行體驗(yàn)檢查結(jié)果提示未安裝殺毒軟件加固方法下載并安裝360殺毒軟件操作目的刪除系統(tǒng)中高危病毒文件和程序加固結(jié)果下載并安裝360殺毒軟件。1.6.4病毒查殺操作名稱病毒查殺檢查方法使用360殺毒軟件對(duì)系統(tǒng)進(jìn)行病毒掃描檢查結(jié)果因已進(jìn)行過(guò)360安全衛(wèi)士的掃描和查殺，使用360殺毒軟件對(duì)系統(tǒng)進(jìn)行病毒掃描時(shí)掃描出下圖病毒。加固方法使用360殺毒軟件進(jìn)行查殺加固結(jié)果1.6.5木馬查殺操作名稱木馬查殺檢查方法使用多種木馬專殺軟件對(duì)系統(tǒng)進(jìn)行木馬查殺檢查結(jié)果使用360安全衛(wèi)士掃描，掃描到了7個(gè)木馬，如下圖所示：使用windows清理助手掃描，掃描到了兩個(gè)木馬，如下圖所示：再次使用windows清理助手掃描，又掃描到了1個(gè)木馬，如下圖所示：使用windows清理助手上推薦的惡意軟件查殺工具掃描，描到了1個(gè)木馬，如下圖所示：加固方法使用多種木馬專殺軟件對(duì)系統(tǒng)進(jìn)行木馬查殺操作目的刪除系統(tǒng)中的高危木馬加固結(jié)果1.7日志審核1.7.1增強(qiáng)日志操作名稱調(diào)整事件日志的大小、覆蓋策略檢查方法開始->運(yùn)行->eventvwr.msc->查看“應(yīng)用程序”“安全性”“系統(tǒng)”的屬性檢查結(jié)果經(jīng)查看，“應(yīng)用程序”“安全性”“系統(tǒng)”的屬性的日志大小都為16384KB，但為設(shè)置達(dá)到日志上限時(shí)，需修改，下面以“安全性”的屬性為例。加固方法設(shè)置：日志上限大?。?6384KB；達(dá)到日志上限大小時(shí)：改寫久于90天的事件。操作目的增大日志量大小，避免由于日志文件容量過(guò)小導(dǎo)致日志記錄不全加固結(jié)果完成了對(duì)“應(yīng)用程序”“安全性”“系統(tǒng)”的屬性的日志大小、設(shè)置達(dá)到日志上限時(shí)值的設(shè)置。1.7.2增強(qiáng)審核操作名稱設(shè)置主機(jī)審核策略檢查方法開始->運(yùn)行->secpol.msc->安全設(shè)置->本地策略->審核策略檢查結(jié)果安全設(shè)置->本地策略->審核策略的設(shè)置如下圖所示，存在很多安全問題，需加固。加固方法開始-運(yùn)行-gpedit.msc計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-審核策略以下審核是必須開啟的，其他的可以根據(jù)需要增加：審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗備注：gpupdate/force立即生效操作目的對(duì)系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時(shí)用于排查故障加固結(jié)果下圖為安全設(shè)置->本地策略->審核策略加固后的參數(shù)值（標(biāo)紅處表示已修改）。1.8關(guān)閉不必要的端口、服務(wù)1.8.1修改遠(yuǎn)程桌面端口操作名稱修改遠(yuǎn)程桌面端口要求內(nèi)容如對(duì)互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop)，需修改默認(rèn)服務(wù)端口。檢查方法開始->運(yùn)行Regedt32并轉(zhuǎn)到此項(xiàng):HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp找到“PortNumber”子項(xiàng)，設(shè)定值非00000D3D，即十進(jìn)制3389檢查結(jié)果遠(yuǎn)程桌面端口為默認(rèn)的3389.加固結(jié)果開始->運(yùn)行Regedt32并轉(zhuǎn)到此項(xiàng):HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子項(xiàng)，會(huì)看到默認(rèn)值00000D3D，它是3389的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào)，并保存新值。注意：軟件防火墻中必須允許遠(yuǎn)程桌面的端口通過(guò)。1.8.2關(guān)閉高危的數(shù)據(jù)庫(kù)端口操作名稱對(duì)于無(wú)需提供外部數(shù)據(jù)庫(kù)連接的服務(wù)器，關(guān)閉其數(shù)據(jù)庫(kù)端口的對(duì)外訪問加固結(jié)果1.8.3優(yōu)化服務(wù)操作名稱暫停不需要開放的服務(wù)端口檢查方法開始->運(yùn)行->services.msc查看高危和不需要的服務(wù)檢查結(jié)果當(dāng)前系統(tǒng)的高危和不需要的服務(wù)狀態(tài)和啟動(dòng)情況如下表所示：服務(wù)狀態(tài)啟動(dòng)類型AutomaticUpdates關(guān)閉手動(dòng)BackgroundIntelligentTransferService關(guān)閉手動(dòng)DHCPClient已啟用自動(dòng)Messenger關(guān)閉禁用RemoteRegistry關(guān)閉禁用PrintSpooler已啟用自動(dòng)Server（不使用文件共享可以關(guān)閉）已啟用自動(dòng)SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskSchedule已啟用自動(dòng)TCP/IPNetBIOSHelper已啟用自動(dòng)RemoteDesktopHelpSessionManager關(guān)閉手動(dòng)加固方法將高危和不需要的服務(wù)停止，并將啟動(dòng)方式修改為手動(dòng)。操作目的關(guān)閉不需要的服務(wù)，減小風(fēng)險(xiǎn)加固結(jié)果下表為加固后高危和不需要的服務(wù)狀態(tài)和啟動(dòng)情況表：服務(wù)嗎狀態(tài)啟動(dòng)類型AutomaticUpdates關(guān)閉手動(dòng)BackgroundIntelligentTransferService關(guān)閉手動(dòng)DHCPClient關(guān)閉手動(dòng)Messenger關(guān)閉禁用RemoteRegistry關(guān)閉禁用PrintSpooler關(guān)閉手動(dòng)Server（不使用文件共享可以關(guān)閉）關(guān)閉手動(dòng)SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskSchedule關(guān)閉手動(dòng)TCP/IPNetBIOSHelper關(guān)閉手動(dòng)RemoteDesktopHelpSessionManager關(guān)閉手動(dòng)1.8.4修改SNMP服務(wù)操作名稱修改SNMP服務(wù)檢查方法開始->運(yùn)行->services.msc查看SNMP服務(wù)，如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMPCommunityString設(shè)置。檢查結(jié)果打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMPService”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，可以修改communitystrings，也就是微軟所說(shuō)的“團(tuán)體名稱”。加固方法修改communitystrings，不是默認(rèn)的“public”操作目的防止非法用戶使用SNMP的默認(rèn)團(tuán)體名稱連接主機(jī)。加固結(jié)果無(wú)需加固1.9啟動(dòng)項(xiàng)操作名稱口令授權(quán)檢查方法通過(guò)360安全衛(wèi)士中的開機(jī)加速進(jìn)行查看檢查結(jié)果通過(guò)360安全衛(wèi)士中的開機(jī)加速進(jìn)行查看，發(fā)現(xiàn)開機(jī)啟動(dòng)項(xiàng)中有4個(gè)程序可以禁止啟用；1個(gè)服務(wù)可禁止啟用；6項(xiàng)啟動(dòng)項(xiàng)目需優(yōu)化；2項(xiàng)系統(tǒng)優(yōu)化與整理。如下圖所示：加固方法按照360安全衛(wèi)士的開機(jī)加速提示，關(guān)閉可禁止的啟動(dòng)項(xiàng)操作目的加快開機(jī)速度，阻止不必要的程序自動(dòng)打開加固結(jié)果按照360安全衛(wèi)士的開機(jī)加速提示，已關(guān)閉可禁止的啟動(dòng)項(xiàng)1.10關(guān)閉自動(dòng)播放功能操作名稱關(guān)閉自動(dòng)播放功能檢查方法開始→運(yùn)行→gpedit.msc，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置→管理模板→系統(tǒng)，檢查結(jié)果加固方法在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對(duì)話框中，選擇所有驅(qū)動(dòng)器，確定即可。操作目的加固結(jié)果無(wú)需加固1.11關(guān)閉共享操作名稱刪除主機(jī)默認(rèn)共享檢查方法開始->運(yùn)行->cmd.exe->netshare，查看共享檢查結(jié)果下圖標(biāo)紅處為本項(xiàng)所要檢查的參數(shù)，鍵值為0，表示關(guān)閉C$等默認(rèn)共享，無(wú)需加固。加固方法如無(wú)此項(xiàng)，通過(guò)開始->運(yùn)行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，新建AutoShareServer（REG_DWORD），鍵值為0操作目的刪除主機(jī)因?yàn)楣芾矶_放的共享加固結(jié)果無(wú)需加固1.12使用NTFS操作名稱使用NTFS檢查方法查看每個(gè)系統(tǒng)驅(qū)動(dòng)器是否使用NTFS文件系統(tǒng)檢查結(jié)果遠(yuǎn)程服務(wù)器只有C盤，且文件系統(tǒng)格式為NTFS，無(wú)需加固。加固方法無(wú)需加固操作目的利用NTFS實(shí)現(xiàn)文件系統(tǒng)的安全加固結(jié)果無(wú)需加固1.13網(wǎng)絡(luò)訪問操作名稱禁用匿名訪問命名管道和共享檢查方法查看“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的共享、可匿名訪問的命名管道是否設(shè)置為全部刪除檢查結(jié)果加固方法“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的共享設(shè)置為全部刪除“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的命名管道設(shè)置為全部刪除操作目的禁用匿名訪問命名管道和共享加固結(jié)果操作名稱禁用可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑檢查方法查看“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問中，查看，可遠(yuǎn)程訪問的注冊(cè)表路徑、可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑是否設(shè)置為全部刪除檢查結(jié)果加固方法“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑設(shè)置為全部刪除“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑設(shè)置為全部刪除操作目的加固結(jié)果1.14會(huì)話超時(shí)設(shè)置操作名稱對(duì)于遠(yuǎn)程登錄的賬戶，設(shè)置不活動(dòng)所連接時(shí)間15分鐘檢查方法進(jìn)入“控制面板—管理工具—本地安全策略”，在“安全策略—安全選項(xiàng)”：查看“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置檢查結(jié)果加固方法進(jìn)入“控制面板—管理工具—本地安全策略”，在“安全策略—安全選項(xiàng)”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘操作目的加固結(jié)果1.15注冊(cè)表設(shè)置操作名稱在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下，對(duì)注冊(cè)表信息進(jìn)行更新檢查方法點(diǎn)擊開始->運(yùn)行，然后在打開行里輸入regedit，然后單擊確定，查看相關(guān)注冊(cè)表項(xiàng)進(jìn)行查看；使用空連接掃描工具無(wú)法遠(yuǎn)程枚舉用戶名和用戶組檢查結(jié)果加固方法自動(dòng)登錄：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0源路由欺騙保護(hù)：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2刪除匿名用戶空鏈接HKEY_LOCAL_MACHINESYSTEM\Current\Control\Set\Control\Lsa將restrictanonymous的值設(shè)置為1，若該值不存在，可以自己創(chuàng)建，類型為REG_DWORD修改完成后重新啟動(dòng)系統(tǒng)生效碎片攻擊保護(hù)：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)1Synflood攻擊保護(hù)：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下，可設(shè)置：TcpMaxPortsExhausted。推薦值：5。TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400操作目的加固結(jié)果1.16其他1.16.1網(wǎng)絡(luò)限制操作名稱網(wǎng)絡(luò)限制檢查方法開始->運(yùn)行->secpol.msc->安全設(shè)置->本地策略->安全選項(xiàng)檢查結(jié)果查看安全設(shè)置->本地策略->安全選項(xiàng)，發(fā)現(xiàn)不允許SAM帳戶的匿名枚舉：?jiǎn)⒂?，無(wú)需加固；不允許SAM帳戶和共享的匿名枚舉：?jiǎn)⒂茫瑹o(wú)需加固；使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄：?jiǎn)⒂?，無(wú)需加固。加固方法無(wú)需加固操作目的網(wǎng)絡(luò)訪問限制加固結(jié)果無(wú)需加固1.16.2安全性增強(qiáng)操作名稱禁止匿名用戶連接(空鏈接)檢查方法開始->運(yùn)行->cmd.exe->netshare檢查結(jié)果HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，restricanonymous，值為0加固方法無(wú)需加固操作目的可以禁止匿名用戶列舉主機(jī)上所有用戶、組、共享資源加固結(jié)果無(wú)需加固1.16.3檢查Everyone權(quán)限操作名稱檢查Everyone權(quán)限檢查方法查看每個(gè)系統(tǒng)驅(qū)動(dòng)器根目錄是否設(shè)置為Everyone有所有權(quán)限檢查結(jié)果經(jīng)查看，Everyone具有C盤的所有權(quán)限，需加固。加固方法刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限操作目的限制Everyone賬號(hào)的權(quán)限，至少取消Everyone的寫權(quán)限。加固結(jié)果刪除Everyone的權(quán)限。1.16.4限制命令操作權(quán)限操作名稱限制特定執(zhí)行文件權(quán)限檢查方法使用cacls命令或資源管理器查看以下文件權(quán)限檢查結(jié)果經(jīng)查看，許多命令未作用戶組權(quán)限限制，一下以cmd.exe為例，需加固。加固方法對(duì)以下命令做限制，只允許system、Administrator組訪問cmd.exe、regsvr32.exe、tftp.exe、ftp.exe、telnet.exe、net.exe、net1.exe、cscript.exe、wscript.exe、regedit.exe、regedt32.exe、cacls.exe、command、at.exe操作目的限制部分命令的權(quán)限加固結(jié)果已全部限制為只允許system、Administrator組訪問1.16.5防病毒軟件建立計(jì)劃任務(wù)，每天深夜執(zhí)行全盤掃描操作名稱防病毒軟件建立計(jì)劃任務(wù)，每天深夜執(zhí)行全盤掃描。加固結(jié)果1.16.6進(jìn)行IP-MAC雙向綁定操作名稱進(jìn)行IP-MAC雙向綁定，防止ARP欺騙。加固結(jié)果1.16.7第三方軟件升級(jí)操作名稱將winrar、flash插件、ser-U等幾個(gè)常用軟件升到最新版本。加固結(jié)果1.16.8開啟360safearp防火墻操作名稱開啟360safearp防火墻加固結(jié)果1.17Apache系統(tǒng)加固1.17.1帳號(hào)操作名稱以專門的用戶帳號(hào)和組運(yùn)行Apache檢查方法查看Apache配置文件d.confUserApacheGroupApache上面兩行，代表Apache子進(jìn)程的運(yùn)行用戶為Apache；檢查是否使用非專用賬戶（如root）運(yùn)行apache。檢查結(jié)果加固方法Unix系統(tǒng)：如果沒有設(shè)置用戶和組，則新建用戶，并在Apache配置文件中指定(1)創(chuàng)建Apache組：groupaddApache(2)創(chuàng)建Apache用戶并加入Apache組：useraddApache–gApache(3)將下面兩行加入Apache配置文件d.conf中UserApacheGroupApacheWindows系統(tǒng)：(1)新建一個(gè)Apache用戶(2)設(shè)置Apache用戶對(duì)Apache目錄的相關(guān)權(quán)限(3)在服務(wù)管理器(service.msc)中找到Apache服務(wù)，右鍵選擇屬性，設(shè)置登錄身份為Apache用戶操作目的加固結(jié)果1.17.2授權(quán)操作名稱嚴(yán)格控制Apache主目錄的訪問權(quán)限，非超級(jí)用戶不能修改該目錄中的內(nèi)容檢查方法Apache的主目錄對(duì)應(yīng)于ApacheServer配置文件d.conf的ServerRoot控制項(xiàng)中，應(yīng)為：ServerRoot/usr/local/apache檢查結(jié)果加固方法嘗試修改，看是否能修改操作目的加固結(jié)果1.17.3日志操作名稱設(shè)備應(yīng)配置日志功能，對(duì)運(yùn)行錯(cuò)誤、用戶訪問等進(jìn)行記錄，記錄內(nèi)容包括時(shí)間，用戶使用的IP地址等內(nèi)容。檢查方法查看Apache配置文件d.conf（1）錯(cuò)誤日志ErrorLoglogs/error_log#存放診斷信息和處理請(qǐng)求中出現(xiàn)的錯(cuò)誤LogLevelwarn#設(shè)置錯(cuò)誤日志中的信息的詳細(xì)程度，可以選擇下列l(wèi)evel：Level描述例子emerg緊急(系統(tǒng)無(wú)法使用)"Childcannotopenlockfile.Exiting"alert必須立即采取措施"getpwuid:couldn'tdetermineusernamefromuid"crit致命情況"socket:Failedtogetasocket,exitingchild"error錯(cuò)誤情況"Prematureendofscriptheaders"warn警告情況"childprocess1234didnotexit,sendinganotherSIGHUP"notice一般重要情況"d:caughtSIGBUS,attemptingtodumpcorein..."info普通信息"Serverseemsbusy,(youmayneedtoincreaseStartServers,orMin/MaxSpareServers)..."debug調(diào)試信息"Openingconfigfile..."（2）訪問日志CustomLoglogs/access_logcommon#記錄服務(wù)器所處理的所有請(qǐng)求LogFormat"%h%l%u%t\"%r\"%>s%b"common#設(shè)置日志格式檢查結(jié)果編輯d.conf配置文件，設(shè)置日志記錄文件、記錄內(nèi)容、記錄格式。其中，錯(cuò)誤日志：LogLevelnotice#日志的級(jí)別ErrorLog/.../logs/error_log#日志的保存位置（錯(cuò)誤日志）訪問日志：LogFormat"%h%l%u%t\"%r\"%>s%b"%{Accept}i\"\"%{Referer}i\"\"%{User-Agent}i\""combinedCustomLog/.../logs/access_logcombined（訪問日志）ErrorLog指令設(shè)置錯(cuò)誤日志文件名和位置。錯(cuò)誤日志是最重要的日志文件，Apached將在這個(gè)文件中存放診斷信息和處理請(qǐng)求中出現(xiàn)的錯(cuò)誤。若要將錯(cuò)誤日志送到Syslog，則設(shè)置：ErrorLogsyslog。CustomLog指令指定了保存日志文件的具體位置以及日志的格式。訪問日志中會(huì)記錄服務(wù)器所處理的所有請(qǐng)求。LogFormat設(shè)置日志格式，建議設(shè)置為combined格式。LogLevel用于調(diào)整記錄在錯(cuò)誤日志中的信息的詳細(xì)程度，建議設(shè)置為notice加固方法修改Apache配置文件d.conf，正確設(shè)置錯(cuò)誤日志和訪問日志后，重新啟動(dòng)Apache操作目的加固結(jié)果1.17.4禁止訪問外部文件操作名稱禁止Apache訪問Web目錄之外的任何文件檢查方法1、參考配置操作編輯d.conf配置文件，<Directory/>OrderDeny,AllowDenyfromall</Directory>2、補(bǔ)充操作說(shuō)明設(shè)置可訪問目錄，<Directory/web>OrderAllow,DenyAllowfromall</Directory>其中/web為網(wǎng)站根目錄。檢查結(jié)果加固方法操作目的加固結(jié)果1.17.5目錄列出操作名稱禁止Apache列表顯示文件檢查方法1、參考配置操作(1)編輯d.conf配置文件，<Directory"/web">OptionsIndexesFollowSymLinks#刪掉IndexesAllowOverrideNoneOrderallow,denyAllowfromall</Directory>將OptionsIndexesFollowSymLinks中的Indexes去掉，就可以禁止Apache顯示該目錄結(jié)構(gòu)。Indexes的作用就是當(dāng)該目錄下沒有index.html文件時(shí)，就顯示目錄結(jié)構(gòu)。(2)重新啟動(dòng)Apache服務(wù)檢查結(jié)果加固方法操作目的加固結(jié)果1.17.6錯(cuò)誤頁(yè)面重定向操作名稱Apache錯(cuò)誤頁(yè)面重定向檢查方法檢查結(jié)果加固方法1、參考配置操作(1)修改d.conf配置文件：ErrorDocument400/custom400.htmlErrorDocument401/custom401.htmlErrorDocument403/custom403.htmlErrorDocument404/custom404.htmlErrorDocument405/custom405.htmlErrorDocument500/custom500.htmlCustomxxx.html為要設(shè)置的錯(cuò)誤頁(yè)面。(2)重新啟動(dòng)Apache服務(wù)操作目的加固結(jié)果1.17.7拒絕服務(wù)防范操作名稱web服務(wù)擴(kuò)展檢查方法根據(jù)業(yè)務(wù)需要，合理設(shè)置session時(shí)間，防止拒絕服務(wù)攻擊檢查結(jié)果加固方法1、參考配置操作(1)編輯d.conf配置文件，Timeout10#客戶端與服務(wù)器端建立連接前的時(shí)間間隔KeepAliveOnKeepAliveTimeout15#限制每個(gè)session的保持時(shí)間是15秒注：此處為一建議值，具體的設(shè)定需要根據(jù)現(xiàn)實(shí)情況。(2)重新啟動(dòng)Apache服務(wù)操作目的加固結(jié)果1.17.8隱藏Apache的版本號(hào)操作名稱隱藏Apache的版本號(hào)及其它敏感信息檢查方法檢查d.conf配置文件?？蛻舳耍簍elnetIP80輸入HEAD//1.1，兩次回車服務(wù)器返回：/1.1400BadRequestDate:Wed,13May202107:07:20GMTServer:Apache/Connection:closeContent-Type:text/html;charset=iso-8859-1檢查結(jié)果加固方法1、參考配置操作修改d.conf配置文件：ServerSignatureOffServerTokensProd操作目的加固結(jié)果1.17.9關(guān)閉trace作名稱關(guān)閉TRACE，防止TRACE方法被訪問者惡意利用檢查方法判定條件2、檢測(cè)操作客戶端：#telnetIP80輸入下面兩行內(nèi)容后，兩次回車OPTIONS*/1.1HOST:.4服務(wù)器返回：/1.1200OKDate:Wed,13May202107:09:31GMTServer:Apache/(CentOS)Allow:GET,HEAD,POST,OPTIONS,TRACEContent-Length:0Connection:closeContent-Type:text/plain;charset=UTF-8表示支持TRACE方法，注意查看是否還支持其他方法，如：PUT，DELETE等，一般情況下都不應(yīng)該出現(xiàn)在生產(chǎn)主機(jī)上檢查結(jié)果加固方法使用命令“vi/etc/d/conf/d.conf”修改配置文件，添加“TraceEnableOff”注：適用于Apache2.0以上版本操作目的加固結(jié)果1.17.10禁用CGI操作名稱如果服務(wù)器上不需要運(yùn)行CGI程序，建議禁用CGI檢查方法使用命令“vi/etc/d/conf/d.conf”查看配置文件LoadModulecgi_modulemodules/mod_cgi.so#加載的模塊ScriptAlias/cgi-bin/"/var/www/cgi-bin/"<Directory"/var/www/cgi-bin">AllowOverrideNoneOptionsNoneOrderallow,denyAllowfromall</Directory>檢查結(jié)果加固方法使用命令“vi/etc/d/conf/d.conf”修改配置文件，把cgi-bin目錄的配置和模塊都注釋掉#LoadModulecgi_modulemodules/mod_cgi.so#ScriptAlias/cgi-bin/"/var/www/cgi-bin/"#<Directory"/var/www/cgi-bin">#AllowOverrideNone#OptionsNone#Orderallow,deny#Allowfromall#</Directory>檢測(cè)操作目的加固結(jié)果1.17.11監(jiān)聽地址綁定操作名稱服務(wù)器有多個(gè)IP地址時(shí)，只監(jiān)聽提供服務(wù)的IP地址檢查方法使用命令“cat/etc/d/conf/d.conf|grepListen”查看是否綁定IP地址檢查結(jié)果加固方法修改帳號(hào)弱密碼為包含英文大小寫、數(shù)字、特殊字符的復(fù)雜密碼刪除不必要的帳戶操作目的使用命令“vi/etc/d/conf/d.conf”修改配置文件，修改Listenx.x.x.x:80加固結(jié)果1.17.12補(bǔ)丁操作名稱在不影響業(yè)務(wù)的情況下，升級(jí)解決高危漏洞，而且該補(bǔ)丁要通過(guò)實(shí)驗(yàn)測(cè)試。檢查方法根據(jù)apache安裝路徑使用命令行查看版本情況。如：/usr/local/apache/bin/apachectl–v與需要的版本進(jìn)行對(duì)比檢查結(jié)果加固方法訪問，查看最新的apache版本，在實(shí)驗(yàn)室測(cè)試通過(guò)的前提下，編譯升級(jí)apache，以解決高危漏洞。操作目的加固結(jié)果1.17.13更改默認(rèn)端口操作名稱更改Apache服務(wù)器非公眾服務(wù)默認(rèn)端口檢查方法修改d.conf配置文件，更改默認(rèn)端口到xx端口（不常見端口）Listenx.x.x.x:xx端口（2）重啟Apache服務(wù)操作目的加固結(jié)果1.17.14刪除缺省安裝的無(wú)用文件操作名稱刪除缺省安裝的無(wú)用文件。檢查方法檢查結(jié)果加固方法刪除缺省HTML文件：#rm-rf/usr/local/apache2/htdocs/*刪除缺省的CGI腳本：#rm–rf/usr/local/apache2/cgi-bin/*刪除Apache說(shuō)明文件：#rm–rf/usr/local/apache2/manual刪除源代碼文件：#rm-rf/path/to/d-*根據(jù)安裝步驟不同和版本不同，某些目錄或文件可能不存在或位置不同。操作目的加固結(jié)果1.17.15加密協(xié)議操作名稱對(duì)于通過(guò)協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用S等加密協(xié)議。檢查方法檢查結(jié)果加固方法不同的apahce版本，可能對(duì)ssl的支持不一樣。有的在編譯的時(shí)候，就支持mod_ssl模塊，有的未支持。此處建議，根據(jù)不同情況，做具體處理。由于步驟繁瑣，不統(tǒng)一提出配置操作建議。操作目的加固結(jié)果1.17.16連接數(shù)設(shè)置操作名稱根據(jù)機(jī)器性能和業(yè)務(wù)需求，設(shè)置最大最小連接數(shù)。檢查方法1、判定條件d.conf文件中的內(nèi)容已被修改2、檢測(cè)操作通過(guò)ps-ax|grepd命令確認(rèn)d進(jìn)程已啟動(dòng)。通過(guò)ps-ef|grepd|wc–l命令檢查現(xiàn)在的連接數(shù)檢查結(jié)果加固方法使用d–l檢查Apache的工作模式，如列出prefork.c，則進(jìn)行下列操作：修改d.conf文件找到<IfModuleprefork.c>StartServers8MinSpareServers5MaxSpareServers20MaxClients150MaxRequestsPerChild1000</IfModule>修改MaxClients150為需要的連接數(shù)，如1500ServerLimit1500//連接數(shù)大于256需設(shè)置此項(xiàng)MaxClients1500然后保存退出。重新啟動(dòng)服務(wù)：/etc/rc.d/init.d/drestart操作目的加固結(jié)果1.17.17禁用非法操作名稱禁用PUT、DELETE等危險(xiǎn)的方法。檢查方法查看d.conf文件，檢查如下內(nèi)容，是否只允許get、post方法<LimitExceptGETPOST>Denyfromall</LimitExcept>檢查結(jié)果加固方法編輯d.conf文件，只允許get、post方法<LimitExceptGETPOST>Denyfromall</LimitExcept>操作目的加固結(jié)果1.18其他1.18.1禁止SSI操作名稱如果服務(wù)器上不需要SSI，建議禁用SSI（ServerSideIncludes）檢查方法查看Apache配置文件d.confLoadModuleinclude_modulemodules/mod_include.so#加載的模塊<Directory"/var/www/html">OptionsIndexesFollowSymLinksIncludesAllowOverrideNoneOrderallow,denyallowfromall</Directory>檢查結(jié)果加固方法修改Apache配置文件d.conf，把相關(guān)模塊注釋掉，在“Include”前面添加減號(hào)#LoadModuleinclude_modulemodules/mod_include.so<Directory"/var/www/html">OptionsIndexesFollowSymLinks-IncludesAllowOverrideNoneOrderallow,denyallowfromall</Directory>操作目的加固結(jié)果1..18.2上傳目錄設(shè)置操作名稱禁止動(dòng)態(tài)腳本在上傳目錄的運(yùn)行權(quán)限，防止攻擊者繞過(guò)過(guò)濾系統(tǒng)上傳webshell檢查方法詢問開發(fā)工程師，找到存放上傳文件的目錄檢查結(jié)果加固方法修改Apache配置文件d.conf，添加以下行，以php為例：<Directory"/var/www/html/upload"><FilesMatch"\.php$"> Orderallow,deny Denyfromall</FilesMatch></Directory>操作目的加固結(jié)果1.18.3保護(hù)敏感目錄操作名稱對(duì)敏感目錄設(shè)置密碼。例如：admin目錄檢查方法詢問開發(fā)工程師，找到存放上傳文件的目錄檢查結(jié)果加固方法（1）修改Apache配置文件d.conf，添加以下行，以admin目錄為例<Directory"/var/www/html/admin">AuthName"AdminAccessPage"AuthType"Basic"AuthUserFile"/etc/d/conf/.htpasswdRequirevalid-user</Directory>（2）新建密碼文件，并添加一個(gè)用戶[root@Linux~]#htpasswd-c/etc/d/conf/.htpasswduser1Newpassword:Re-typenewpassword:Addingpasswordforuseruser1再添加一個(gè)用戶[root@Linux~]#htpasswd-m/etc/d/conf/.htpasswduser2Newpassword:Re-typenewpassword:Addingpasswordforuseruser2添加完成后查看密碼文件內(nèi)容[root@Linux~]#cat/etc/d/conf/.htpasswduser1:dy4U7/uW5JVrEuser2:$apr1$76k4P...$De4fvJ4Qeyded6J6NOElE/操作目的加固結(jié)果1.18.4限制IP訪問操作名稱對(duì)網(wǎng)站或敏感目錄的訪問IP進(jìn)行限制檢查方法未設(shè)置此參數(shù)時(shí)，任意IP地址都可以訪問網(wǎng)站或敏感目錄檢查結(jié)果加固方法查看Apache配置文件d.conf<Directory"/var/www/html">OptionsIndexesFollowSymLinksAllowOverrideNoneOrderallow,denyallowfromall</Directory>Order定義了allow和deny的生效順序，deny排在后面代表先處理下面allowfrom定義的允許訪問的地址，其余地址均deny操作目的加固結(jié)果服務(wù)器租用/托管合同甲方：__________（以下簡(jiǎn)稱甲方）地址：__________乙方：溫州穩(wěn)網(wǎng)信息技術(shù)（以下簡(jiǎn)稱乙方）地址：溫州望江東路麗江花苑B#502甲乙雙方根據(jù)《中華人民共和國(guó)合同法》的規(guī)定，本著真誠(chéng)合作，互惠互利的原則友好協(xié)商，就乙方向甲方提供IDC業(yè)務(wù)達(dá)成協(xié)議如下：服務(wù)內(nèi)容乙方作為互聯(lián)網(wǎng)數(shù)據(jù)中心運(yùn)營(yíng)商，向甲方有償提供IDC服務(wù)（機(jī)房位于）。乙方負(fù)責(zé)為甲方所托管服務(wù)器等網(wǎng)絡(luò)設(shè)備提供機(jī)房環(huán)境，并負(fù)責(zé)日常維護(hù)、管理工作。業(yè)務(wù)內(nèi)容：。IP地址：。設(shè)備詳情：。費(fèi)用、服務(wù)期限與付費(fèi)方式費(fèi)用一次性業(yè)務(wù)費(fèi)用合計(jì)：元整（大寫）周期性業(yè)務(wù)費(fèi)用合計(jì)：______________________________元整/月（大寫）服務(wù)期限自年月日至年月日（不得低于3個(gè)月）；自本協(xié)議生效后，甲方以（□現(xiàn)金□支票□貸記憑證□銀行托收）方式支付費(fèi)用。甲方以____________（1.月付費(fèi)；2.半年預(yù)存付費(fèi)；3.年預(yù)存付費(fèi)）的方式交納周期性業(yè)務(wù)費(fèi)用。甲方責(zé)任和義務(wù)1、甲方保證其系統(tǒng)中的通信設(shè)備及接口規(guī)范應(yīng)符合中華人民共和國(guó)信息產(chǎn)業(yè)部的相關(guān)技術(shù)規(guī)范，從而確保不對(duì)乙方網(wǎng)絡(luò)正常運(yùn)行造成影響；2、甲方提供自身服務(wù)器接入互聯(lián)網(wǎng)所需的軟硬件設(shè)備及發(fā)布內(nèi)容，并保證發(fā)布內(nèi)容的版權(quán)、軟件的使用權(quán)及硬件的所有權(quán)等相關(guān)資源的合法性，否則由此造成的一切后果由甲方負(fù)責(zé)；3、甲方作為最終用戶，未經(jīng)乙方同意，不得利用乙方提供的網(wǎng)絡(luò)環(huán)境，提供第三方使用，也不得以任何形式非法從事電信業(yè)務(wù)經(jīng)營(yíng)。4、甲方保證不利用托管服務(wù)器進(jìn)行違反國(guó)家有關(guān)法律、法規(guī)、信息產(chǎn)業(yè)部有關(guān)規(guī)定及社會(huì)公共道德的行為，否則由此造成的一切后果由甲方負(fù)責(zé)。5、對(duì)乙方分配給甲方的IP地址，甲方不得有償轉(zhuǎn)借給他人使用。若發(fā)生以上情況，乙方有權(quán)收回分配給甲方的IP地址。6、甲方在進(jìn)入乙方機(jī)房進(jìn)行設(shè)備安裝和調(diào)試時(shí)，應(yīng)當(dāng)遵守乙方托管機(jī)房的有關(guān)規(guī)定。7、甲方辦理業(yè)務(wù)時(shí)，應(yīng)提供企業(yè)營(yíng)業(yè)執(zhí)照副本、甲方經(jīng)辦人身份證，以及單位介紹信或授權(quán)委托書，如甲方系國(guó)際互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營(yíng)者，還須向乙方提供國(guó)家主管部門核發(fā)的有效證件，經(jīng)乙方審核后，對(duì)上述有效證件以復(fù)印件方式留存。乙方責(zé)任和義務(wù)乙方負(fù)責(zé)為甲方服務(wù)器提供互聯(lián)網(wǎng)接入，公共網(wǎng)絡(luò)設(shè)備維護(hù)，保證公共網(wǎng)絡(luò)的正常運(yùn)行；并對(duì)甲方服務(wù)器進(jìn)行日常的檢測(cè)，如有異常及時(shí)通知甲方并協(xié)助甲方排除故障。2、乙方保證向甲方提供電信級(jí)的機(jī)房基礎(chǔ)設(shè)施環(huán)境，以保證甲方托管設(shè)備的正常穩(wěn)定的運(yùn)行。3、乙方確保機(jī)房7×24小時(shí)技術(shù)人員值班，負(fù)責(zé)日常維護(hù)及緊急情況處理。乙方設(shè)立機(jī)房保障，受理甲方緊急故障申報(bào)，并設(shè)立服務(wù)監(jiān)督，接受甲方申告。4、因基礎(chǔ)設(shè)施擴(kuò)容或其他國(guó)家工程建設(shè)因素而對(duì)為甲方托管設(shè)備正常運(yùn)行造成影響時(shí)，乙方應(yīng)提前48小時(shí)通知甲方。乙方應(yīng)協(xié)助甲方的工作人員進(jìn)行托管機(jī)房安裝、調(diào)試和維護(hù)工作。因甲方托管設(shè)備原因或甲方人員在維護(hù)過(guò)程中，對(duì)乙方機(jī)房及其他托管用戶設(shè)備正常運(yùn)行造成影響時(shí)，乙方享有對(duì)甲方追償損失的權(quán)利。乙方需對(duì)網(wǎng)絡(luò)信息資源按信息產(chǎn)業(yè)部等相關(guān)法律、法規(guī)進(jìn)行依法管理。保密未經(jīng)雙方書面許可，任何一方不得向第三方提供或披露與對(duì)方業(yè)務(wù)有關(guān)的資料和信息，除法律另有規(guī)定違約責(zé)任甲方應(yīng)該按照本協(xié)議約定的付費(fèi)方式和時(shí)間及時(shí)、足額向乙方支付應(yīng)付款項(xiàng)，甲方逾期不繳納費(fèi)用的，乙方除要求甲方補(bǔ)繳外，同時(shí)有權(quán)按照《電信條例》的規(guī)定，按所欠費(fèi)用每日加收千分之三的違約金。對(duì)于超過(guò)付費(fèi)期限1個(gè)自然月后仍不付清全部費(fèi)用的，乙方有權(quán)終止服務(wù)。如經(jīng)乙方催告，甲方仍拒不支付所拖欠費(fèi)用，乙方有權(quán)對(duì)甲方托管設(shè)備行使處置權(quán)。2、因乙方原因造成甲方服務(wù)器無(wú)法正常工作，乙方應(yīng)及時(shí)修復(fù)故障恢復(fù)正常服務(wù)。對(duì)于由此而造成的違約責(zé)任，乙方承諾以兩倍的中斷時(shí)間延長(zhǎng)向甲方提供服務(wù)。3、在約定的服務(wù)期限內(nèi)，如一方提出單方終止協(xié)議（協(xié)議條款規(guī)定的除外）的，均被視作違約，違約方須向守約方支付違約金，違約金為協(xié)議期限內(nèi)業(yè)務(wù)費(fèi)用總額的30%。免責(zé)條款因不可抗力導(dǎo)致甲乙雙方或一方不能履行或不能完全履行本協(xié)議項(xiàng)下有關(guān)義務(wù)時(shí)，甲乙雙方相互不承擔(dān)違約責(zé)任。但遇有不可抗力的一方或雙方應(yīng)于發(fā)生不可抗力情況發(fā)生的15日內(nèi)將情況告知對(duì)方，并提供有關(guān)證明。雙方通過(guò)友好協(xié)商達(dá)成在合理的時(shí)間內(nèi)繼續(xù)履行本協(xié)議或解除本協(xié)議。協(xié)議生效及終止本協(xié)議自雙方簽字蓋章后生效。自本協(xié)議規(guī)定的服務(wù)期屆滿后，除非甲方提前30天以書面通知乙方，否則本協(xié)議將自動(dòng)延展一年；在延展期內(nèi)，客戶可以終止本協(xié)議，但是應(yīng)當(dāng)提前30天以書面通知乙方。爭(zhēng)議解決在本協(xié)議的執(zhí)行過(guò)程中發(fā)生爭(zhēng)議，雙方可協(xié)商解決。協(xié)商不成的，任何一方可將爭(zhēng)議提交乙方所在地人民法院進(jìn)行訴訟。特約條款________________________________________________________________________________________________________________________________________________________________十一、其他對(duì)本協(xié)議的任何修改、變更與補(bǔ)充均應(yīng)以書面形式做出，并經(jīng)雙方授權(quán)代表簽署，作為本協(xié)議的補(bǔ)充協(xié)議。本協(xié)議的補(bǔ)充協(xié)議和附件（包括附件一、附件二、附件三、附件四、附件______）成為本協(xié)議不可分割的一部分，與本協(xié)議具有同等法律效力。本協(xié)議一式兩份，甲乙雙方各執(zhí)一份，具有同等法律效力。附件一：非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案登記協(xié)議附件二：網(wǎng)絡(luò)與信息安全責(zé)任書附件三：出入機(jī)房管理制度甲乙雙方認(rèn)真閱讀并完全理解本協(xié)議內(nèi)容，簽章后表明將完全履行本協(xié)議。甲方：乙方：溫州穩(wěn)網(wǎng)信息技術(shù)（簽章）（簽章）授權(quán)代表（簽名）：經(jīng)辦人（簽名）：聯(lián)系人：聯(lián)系人：日期：日期：附件一：非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案登記協(xié)議為規(guī)范非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案及備案管理，促進(jìn)互聯(lián)網(wǎng)信息服務(wù)業(yè)的健康發(fā)展，根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，《中華人民共和國(guó)電信條例》，《非經(jīng)營(yíng)性互聯(lián)網(wǎng)備案管理辦法》及其他相關(guān)法律、行政法規(guī)的規(guī)定，制定本協(xié)議。2、甲方若在乙方提供的IDC主機(jī)托管及CMNET專線接入業(yè)務(wù)中開展非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)明確告知乙方，并應(yīng)當(dāng)按照信產(chǎn)部備案管理系統(tǒng)完成互聯(lián)網(wǎng)信息服務(wù)備案，并把備案信息以書面形式通知乙方。3、甲方原先并不從事互聯(lián)網(wǎng)信息服務(wù)，但其后轉(zhuǎn)而從事互聯(lián)網(wǎng)信息服務(wù)的，應(yīng)及時(shí)進(jìn)行網(wǎng)上備案，并把備案信息以書面形式通知乙方；否則乙方一旦發(fā)現(xiàn)，有權(quán)停止對(duì)甲方的服務(wù)。4、甲方應(yīng)當(dāng)在其網(wǎng)站開通時(shí)在主頁(yè)底部的中央位置標(biāo)明備案編號(hào)，并在備案編號(hào)下方要求鏈接信息產(chǎn)業(yè)部備案管理系統(tǒng)網(wǎng)址，供公眾查詢核對(duì)。5、甲方應(yīng)當(dāng)在其網(wǎng)站開通時(shí)，按照信息產(chǎn)業(yè)部備案管理系統(tǒng)的要求，將備案電子驗(yàn)證標(biāo)識(shí)放置在其網(wǎng)站的指定目錄下；并在每年規(guī)定時(shí)間登陸信息產(chǎn)業(yè)部備案管理系統(tǒng)，履行年度審核手續(xù)。6、甲方在備案有效期內(nèi)需要變更其備案信息的，應(yīng)當(dāng)提前三十日登陸備案系統(tǒng)履行備案變更手續(xù)。7、乙方有義務(wù)提供相關(guān)信息（IP地址）協(xié)助、督促甲方進(jìn)行互聯(lián)網(wǎng)備案工作。甲方收到乙方提供的IP地址信息后，應(yīng)在20天內(nèi)完成備案，并把備案信息告知乙方。在規(guī)定時(shí)間內(nèi)甲方未完成備案的，乙方有權(quán)收回該IP地址，由此造成的損失，由甲方自行承擔(dān)。8、對(duì)拒不履行備案手續(xù)的非經(jīng)營(yíng)性網(wǎng)站，乙方將停止為其提供互聯(lián)網(wǎng)接入服務(wù)，由此所造成的損失，由甲方自行承擔(dān)。9甲方在其經(jīng)營(yíng)活動(dòng)中有違《非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法》的，一經(jīng)查實(shí)，乙方有權(quán)立即停止對(duì)甲方的服務(wù)，由此所造成的損失由甲方自行承擔(dān)。附件二：網(wǎng)絡(luò)與信息安全責(zé)任書為了保證廣大用戶的合法利益，保障互聯(lián)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，不影響其他網(wǎng)絡(luò)的運(yùn)行安全，依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，特制定本安全責(zé)任書。1、甲方在使用乙方IDC業(yè)務(wù)時(shí)，應(yīng)遵守國(guó)家有關(guān)法律、法規(guī)和行政規(guī)章。2、甲方不得利用互聯(lián)網(wǎng)從事危害國(guó)家安全、泄露國(guó)家秘密等犯罪活動(dòng)；不得利用互聯(lián)網(wǎng)查閱、復(fù)制和傳播危害國(guó)家安全、妨礙社會(huì)治安和淫穢黃色的信息，甲方若發(fā)現(xiàn)此類信息需向國(guó)家主管部門報(bào)告，并同時(shí)告知乙方。3、甲方在使用互聯(lián)網(wǎng)業(yè)務(wù)時(shí)，應(yīng)遵守互聯(lián)網(wǎng)的國(guó)際慣例，不得向他人發(fā)送惡意的、挑釁性的文件和商業(yè)廣告，包括垃圾郵件、垃圾信息等；不得向任何網(wǎng)絡(luò)發(fā)動(dòng)任何形式的攻擊。4、甲方有責(zé)任對(duì)自身系統(tǒng)的安全狀況負(fù)責(zé)，并定期對(duì)其系統(tǒng)的安全狀況進(jìn)行檢查。5、甲方單位應(yīng)向所屬員工宣傳國(guó)家及電信主管部門有關(guān)使用互聯(lián)網(wǎng)的法規(guī)和規(guī)定；建立健全使用者檔案，加強(qiáng)對(duì)使用者管理、教育工作；建立健全網(wǎng)絡(luò)安全保密管理辦法。6、乙方可以對(duì)甲方托管服務(wù)器中的內(nèi)容進(jìn)行檢查。對(duì)于出現(xiàn)來(lái)源于甲方的互聯(lián)網(wǎng)攻擊，乙方將通知甲方限期進(jìn)行處理，對(duì)未按照要求及時(shí)處理的，乙方有權(quán)采取相應(yīng)措施，以避免安全事件的進(jìn)一步擴(kuò)大；當(dāng)出現(xiàn)緊急事件時(shí)，為保護(hù)廣大用戶的合法權(quán)益，乙方有權(quán)在事先不通知甲方的情況下采取相應(yīng)處理措施。7、為保證網(wǎng)絡(luò)安全運(yùn)行，乙方將根據(jù)具體情況要求IDC的托管客戶配合進(jìn)行網(wǎng)絡(luò)安全方面的調(diào)整，如客戶不能按照要求期限進(jìn)行昂落安全調(diào)整的情況，乙方可以關(guān)閉客戶業(yè)務(wù)。8、甲方應(yīng)積極配合國(guó)家主管部門和乙方進(jìn)行網(wǎng)絡(luò)安全事件的跟蹤，并提供相關(guān)的、合法的資料。附件三：出入機(jī)房管理制度1、客戶證件辦理制度客戶在簽署IDC主機(jī)托管業(yè)務(wù)協(xié)議后應(yīng)及時(shí)到IDC機(jī)房所在的物業(yè)管理處辦理機(jī)房臨時(shí)出入證。客戶憑由營(yíng)銷業(yè)務(wù)部門簽章確認(rèn)的《申領(lǐng)外來(lái)施工人員臨時(shí)出入證登記表》辦理臨時(shí)出入證。辦理臨時(shí)出入證，必須攜帶客戶單位員工的照片和身份證復(fù)印件。客戶單位人員變更，應(yīng)憑客戶單位介紹信及時(shí)到營(yíng)銷業(yè)務(wù)部門進(jìn)行登記審核，并在IDC物業(yè)管理處具體辦理出入證注銷、變更，如由于客戶原因?qū)е鲁鋈胱C人證不符，延誤維護(hù)工作，責(zé)任由客戶承擔(dān)?？蛻舫鋈胱C遺失時(shí)，應(yīng)攜帶本單位出具的證明及時(shí)到IDC機(jī)房所在的物業(yè)管理處進(jìn)行登記注銷，并補(bǔ)辦出入證，物業(yè)管理處酌情收取工本手續(xù)費(fèi)。業(yè)務(wù)協(xié)議終止后，應(yīng)將臨時(shí)出入證交回物業(yè)管理處進(jìn)行注銷。2、客戶出入機(jī)房管理客戶單位員工進(jìn)入機(jī)房需要向保安人員、機(jī)房管理人員出示本人有效證件和臨時(shí)出入證，并登記。特殊情況下，持有臨時(shí)出入證人員無(wú)法親自進(jìn)入機(jī)房進(jìn)行維護(hù)，臨時(shí)前來(lái)的沒有出入證的客戶維護(hù)人員須出示以下證件方能進(jìn)入機(jī)房，但是進(jìn)入機(jī)房總?cè)藬?shù)不得超過(guò)5位。a.蓋有本單位公章的單位介紹信；b.日常維護(hù)人員的臨時(shí)出入證；c.本人有效證件。客戶托管主機(jī)第一次進(jìn)入機(jī)房由溫州穩(wěn)網(wǎng)信息技術(shù)人員陪同或憑營(yíng)銷業(yè)務(wù)出具的相關(guān)證明文件，并由機(jī)房管理人員指導(dǎo)客戶人員填寫《托管設(shè)備登記表》，并簽名確認(rèn)。封網(wǎng)期間，客戶需要進(jìn)入IDC機(jī)房進(jìn)行緊急維護(hù)，需要向營(yíng)銷業(yè)務(wù)部門提出申請(qǐng)，確認(rèn)后方可進(jìn)入IDC機(jī)房進(jìn)行維護(hù)工作。因?yàn)榫S修等原因，客戶托管設(shè)備需要臨時(shí)搬出機(jī)房或用新設(shè)備替換原托管設(shè)備的，客戶維護(hù)人員須憑溫州穩(wěn)網(wǎng)信息技術(shù)開具的相關(guān)證明文件在機(jī)房進(jìn)行辦理。機(jī)房管理人員做好托管設(shè)備變更登記工作，由客戶簽名確認(rèn)，并開具《物資檢驗(yàn)放行證》。如果，客戶存在拖欠業(yè)務(wù)費(fèi)用的情況，我公司將不予辦理?？蛻艟S護(hù)人員在機(jī)房請(qǐng)勿隨意走動(dòng)，嚴(yán)禁查看或操作與自己托管設(shè)備無(wú)關(guān)的任何設(shè)備。3.IDC機(jī)房參觀制度客戶參觀IDC機(jī)房，需事先向溫州穩(wěn)網(wǎng)信息技術(shù)進(jìn)行申請(qǐng)，我司開具介紹信后，方能進(jìn)入機(jī)房參觀。客戶進(jìn)入機(jī)房參觀，需向門衛(wèi)和機(jī)房管理人員出示有效證件和和我公司開出的介紹信。參觀人員必須由機(jī)房管理人員帶領(lǐng)參觀，不得隨意走動(dòng)，嚴(yán)禁查看或操作任何設(shè)備。機(jī)房接待參觀時(shí)間為正常工作日的9：00—16：30。文檔號(hào)CSLJC_COM_STD_ISMS_1104_P_V0.9密級(jí)ISO27001信息安全管理體系文件服務(wù)器安全管理規(guī)定ISMS-MP-A.11-03活動(dòng)簽名日期創(chuàng)建成濤202