某移動(dòng)公司信息安全培訓(xùn)-操作安全

Beijing

Huaxinqiankun

Technology

Corporation1

操作安全

Beijing

Huaxinqiankun

Technology

Corporation2

操作安全1

、操作系統(tǒng)安全

(Windows/U

NIX)2

、控制措施

:

預(yù)防，檢測(cè)和糾正3

、管理手段

:

責(zé)任分離，工作輪換，最小特權(quán)等4

、常見(jiàn)的

IT

任務(wù)

:

計(jì)算機(jī)操作，生產(chǎn)調(diào)度，磁帶庫(kù)，系統(tǒng)安全等5

、日常審計(jì)和監(jiān)督6

、防病毒管理7

、變更管理，8

、各份和介質(zhì)處理9

、事件處理10

、常見(jiàn)的攻擊手段與防范

Beijing

Huaxinqiankun

Technology

Corporation3操作系統(tǒng)安全-

WinNT/2000/XP/2022系統(tǒng)?

版本的選擇?

正確的安裝系統(tǒng)?

修改默認(rèn)的安裝路徑?

系統(tǒng)的配置

Beijing

Huaxinqiankun

Technology

Corporation4

版本的選擇?

強(qiáng)烈建議選擇使用英文版的操作系統(tǒng)?

中文版的

bug

肯定要多于英文版?

補(bǔ)丁是先發(fā)表英文版的

Beijing

Huaxinqiankun

Technology

Corporation5?

盡量不采用網(wǎng)絡(luò)安裝?

強(qiáng)烈建議不要采用升級(jí)安裝，而是進(jìn)行全新的安裝?

硬盤(pán)的分區(qū)問(wèn)題?

如：

iis

緩沖溢出會(huì)影響整個(gè)系統(tǒng)的安全，建議分

3

個(gè)以上分區(qū)。第一個(gè)來(lái)安裝系統(tǒng)和日志，第二個(gè)放

IIS

；第三個(gè)放

FTP,

這樣無(wú)論

IIS

或

FTP

出了安全問(wèn)題都不會(huì)影響到這個(gè)系統(tǒng)。?

最好選擇為

NTFS

格式?

可以啟用

EFS(Encrypt

File

System)

對(duì)文件進(jìn)行加密?

不要先格式化為

fat32

然后再轉(zhuǎn)換到

NTFS

格式?

建議一定要在安裝完畢，并且安裝好各種補(bǔ)丁后在接入網(wǎng)絡(luò)。正確的安裝系統(tǒng)

Beijing

Huaxinqiankun

Technology

Corporation6

修改默認(rèn)的安裝路徑?Win2000

的默認(rèn)路徑為

c:

，存在安全的隱患，可以修改一下，比如

d:!@#

。這也能在一定的程度上保護(hù)系統(tǒng)。?

無(wú)論是那種操作系統(tǒng)安裝系統(tǒng)后，一定注意要先裝上補(bǔ)丁把系統(tǒng)給修補(bǔ)好?

補(bǔ)丁的安裝一定要在所有需要安裝的程序安裝完畢后，才進(jìn)行安裝，否則會(huì)導(dǎo)致某些不定不能正常的發(fā)揮作用。

Beijing

Huaxinqiankun

Technology

Corporation系統(tǒng)的配置?1

．端口，這可以說(shuō)是計(jì)算機(jī)的第一道屏障，端口配置是否合理直接影響到計(jì)算機(jī)的安全，一般來(lái)說(shuō)，打開(kāi)需要的端口就可以了，配置方法是在網(wǎng)卡的屬性中

--tcp/ip--

高級(jí)

--

選項(xiàng)

--tcp/ip

篩選。根據(jù)自己的需要配置。?2

．

IIS

配置，

IIS

是眾多組件中公認(rèn)的漏洞最多的一個(gè)，而微軟的

IIS

默認(rèn)安裝實(shí)在不敢恭維，所以

IIS

配置是我們必須的一步。首先，刪除系統(tǒng)盤(pán)符中的inetpub

目錄，然后再第二個(gè)盤(pán)中建一個(gè)

Inetpub

，或者干脆換個(gè)名字，然后在

IIS

管理器中將主目錄指向新的文件地址。其次，刪掉

IIS

默認(rèn)安裝時(shí)的

scripts等目錄。根據(jù)自己的需要建立，最后備份

IIS

。

7

Beijing

Huaxinqiankun

Technology

Corporation8

系統(tǒng)的配置

23

．徹底刪掉缺省共享在

Win

2000

中，默認(rèn)有如下共享：

c$,D$……

，還有

admin$,ipc$

等，我們可以在

“

計(jì)算機(jī)管理

”--“

共享

”

中刪除，但是這樣做還不能從根本上解決問(wèn)題，因?yàn)槿绻匦聠?dòng)，你就發(fā)現(xiàn)這些共享就又都出現(xiàn)了。如何完全解決這個(gè)問(wèn)題呢？可以采用以下方法：打開(kāi)記事本并輸入：net

share

C$

/deletenet

share

D$

/delete(

根據(jù)自己的盤(pán)符輸入，如果只有

c,d

兩個(gè)盤(pán)符上述就可以了，然后繼續(xù)下面的輸入

)net

share

ipc$

/deletenet

share

admin$

/delete然后保存為

*.bat

文件，可以隨便命名，保證后綴為

bat

即可，然后把該文件添加到啟動(dòng)選項(xiàng)，至于如何添加方法比較多，最簡(jiǎn)單的就是拖入開(kāi)始

--啟動(dòng)文件夾里就行了

Beijing

Huaxinqiankun

Technology

Corporation9（

3

）

禁用

guest

賬號(hào)，并且重命名為一個(gè)復(fù)雜的名字，設(shè)置一個(gè)復(fù)雜的口令，并且從

guest

組刪除，防止黑客利用工具將

guest

提升到管理員組（

4

）

建立健壯的口令，不要使用若口令如：

zhangsan，

iloveyou

等等。（

5

）

經(jīng)常改變口令，檢查賬號(hào)。

系統(tǒng)的配置

34

．賬號(hào)策略（

1

）

首先系統(tǒng)開(kāi)的賬號(hào)要盡可能的少，因?yàn)槊慷嘁粋€(gè)賬號(hào)，就是增加了一分被暴力攻破的概率，嚴(yán)格控制賬號(hào)的權(quán)限。（

2

）

重命名

administrator

，改為一個(gè)不容易猜到的用戶(hù)名，避免暴力破解

Beijing

Huaxinqiankun

Technology

Corporation10賬戶(hù)登陸事件

成功

失敗

系統(tǒng)的配置

45

．安全日志可以在

2000

的本地安全策略

--

審核策略中打開(kāi)相應(yīng)的審核，推薦如下：賬戶(hù)管理

成功

失敗登陸事件

成功

失敗對(duì)象訪(fǎng)問(wèn)

失敗策略更改

成功

失敗特權(quán)使用

成功

失敗系統(tǒng)時(shí)間

成功

失敗目錄服務(wù)訪(fǎng)問(wèn)

失敗

Beijing

Huaxinqiankun

Technology

Corporation11于發(fā)現(xiàn)入侵者的痕跡。

系統(tǒng)的配置

5在賬戶(hù)策略

->

密碼策略中設(shè)定：密碼復(fù)雜性要求

啟用密碼長(zhǎng)度最小值

8

位強(qiáng)制密碼歷史

3

次最長(zhǎng)存留期

30

天在賬戶(hù)策略

->

賬戶(hù)鎖定策略中設(shè)定：賬戶(hù)鎖定

3

次錯(cuò)誤登錄鎖定時(shí)間

15

分鐘復(fù)位鎖定計(jì)數(shù)

30

分鐘作為一個(gè)管理員，要學(xué)會(huì)定期的查看日志，并且善

Beijing

Huaxinqiankun

Technology

Corporation126

．目錄文件權(quán)限為了控制好服務(wù)器上用戶(hù)的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，我們必須設(shè)置目錄和文件的訪(fǎng)問(wèn)權(quán)限。

Windows

NT

的訪(fǎng)問(wèn)權(quán)限分為讀取，寫(xiě)入，執(zhí)行，修改列目錄，完全控制。設(shè)置的時(shí)候注意以下原則：

1>

權(quán)限是累計(jì)的：如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限；

2>

拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪(fǎng)問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪(fǎng)問(wèn)這個(gè)資源，所以請(qǐng)非常小心的設(shè)置，任何一個(gè)不當(dāng)?shù)木芙^都可能導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。

3>

文件權(quán)限比文件夾權(quán)限高。

4>

利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一；

5>

僅給用戶(hù)真正需要的權(quán)限，權(quán)限的最小化原則是

安全

的重要保障；

7

．停掉所有不必要的服務(wù)：如：

task

schulder

和

lanmanserver

系統(tǒng)的配置

6

Beijing

Huaxinqiankun

Technology

Corporation13操作系統(tǒng)安全

-

Unix

系統(tǒng)?

安裝，首先隔離網(wǎng)絡(luò)進(jìn)行系統(tǒng)安裝，選擇

custom

方式，安裝你的軟件包；?

硬盤(pán)分區(qū)，如果用

root

分區(qū)記錄數(shù)據(jù)，如

log

文件和.就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量的日志和垃圾郵件，導(dǎo)致系統(tǒng)崩潰，所以建議為/var單獨(dú)的建立分區(qū)，用來(lái)存放日志和.,避免root分區(qū)溢出。 /

root /var

log /swap

swap /hoMe?

及時(shí)打上安全補(bǔ)丁

Beijing

Huaxinqiankun

Technology

Corporation什么是

rootkit

?

rootkit

是可以獲得系統(tǒng)

root

訪(fǎng)問(wèn)權(quán)限的一類(lèi)工具。實(shí)際上，

rootkit

是攻擊者用來(lái)隱藏自己的蹤跡和保留

root

訪(fǎng)問(wèn)權(quán)限的工具，主要的表現(xiàn)形式就是修改正常的程序來(lái)實(shí)現(xiàn)自己的目的。

Beijing

Huaxinqiankun

Technology

CorporationRootkit

的組成

所有的

rootkit

基本上都是由幾個(gè)獨(dú)立的程序組成的，一個(gè)典型

rootkit

包括：

?

以太網(wǎng)嗅探器程序，用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩?hù)名和密碼等信息。

?

特洛伊木馬程序，例如：

inetd

或者

login

，為攻擊者提供后門(mén)以便攻擊者下次能夠很輕松的進(jìn)入。

?

隱藏攻擊者的目錄和進(jìn)程的程序，例如：

ps

、

netstat

、

rshd

和

ls

等。

?

可能還包括一些日志清理工具，例如：

zap

、

zap2

或者

z2

，攻擊

者使用這些清理工具刪除

wtmp

、

utmp

和

lastlog

等日志文件中有關(guān)

自己行蹤的條目。

?

一些復(fù)雜的

rootkit

還可以向攻擊者提供

telnet

、

shell

和

finger

等服務(wù)。

?

還包括一些用來(lái)清理

/var/log

和

/var/adm

目錄中其它文件的一些腳本。

Beijing

Huaxinqiankun

Technology

Corporationlrk

目前最常見(jiàn)的

rootkit

是

Linux

Rootkit(lrk)

，以

lrk

為例，列出這些程序及其功用，

lrk

工作集包含有

:

?

fix

-

改變文件的

timestamp(

時(shí)間戳

)

和

checksum

（校驗(yàn)和），用

來(lái)把竄改過(guò)的程序的

timestamp

和

checksum

，變更為和原先的系

統(tǒng)中的程序相同。

?

linsniffer

-

竊取特定網(wǎng)絡(luò)信息(.

/

telnet

/

imap..)的sniffer。

?

sniffchk

-

檢查

linsniffer

是否在運(yùn)行。

?

wted

-

查閱或移除

wtmp

中指定的欄位。

?

z2

-

移除某個(gè)使用者最后的

utmp/wtmp/lastlog

紀(jì)錄

Beijing

Huaxinqiankun

Technology

Corporation防范和發(fā)現(xiàn)

rootkit

?

首先，不要在網(wǎng)絡(luò)上使用明文傳輸密碼，或者使用一次性密碼。

?

其次使用

Tripwire

和

aide

等檢測(cè)工具能夠及時(shí)地幫助你發(fā)現(xiàn)攻擊者的入侵，它們能夠很好地提供系統(tǒng)完整性的檢查。

?

另外如果懷疑自己可能已經(jīng)被植入

rootkit

，可以使用

chkrootkit

來(lái)檢查，

chkrootkit

是專(zhuān)門(mén)針對(duì)

rootkit

的檢測(cè)工具

Beijing

Huaxinqiankun

Technology

Corporation訪(fǎng)問(wèn)控制的基本概念主體（

Subject

）

主體是指主動(dòng)的實(shí)體，是訪(fǎng)問(wèn)的發(fā)起者，它造成了信息的流動(dòng)和系統(tǒng)狀態(tài)的改變，主體通常包括人、進(jìn)程和設(shè)備?？腕w（

Object

）

客體是指包含或接受信息的被動(dòng)實(shí)體，客體在信息流動(dòng)中的地位是被動(dòng)的，是處于主體的作用之下，對(duì)客體的訪(fǎng)問(wèn)意味著對(duì)其中所包含信息的訪(fǎng)問(wèn)?？腕w通常包括文件、設(shè)備、信號(hào)量和網(wǎng)絡(luò)節(jié)點(diǎn)等對(duì)象或是資源。訪(fǎng)問(wèn)（

Access

）

訪(fǎng)問(wèn)（

Access

）是使信息在主體（

Subject

）和客體（

Object

）之間流動(dòng)的一種交互方式。訪(fǎng)問(wèn)包括讀取數(shù)據(jù)，更改數(shù)據(jù)，運(yùn)行程序，發(fā)起連接等。訪(fǎng)問(wèn)許可（

Access

Permissions

）

訪(fǎng)問(wèn)控制決定了誰(shuí)能夠訪(fǎng)問(wèn)系統(tǒng)，能訪(fǎng)問(wèn)系統(tǒng)的何種資源以及如何使用這些資源。

Beijing

Huaxinqiankun

Technology

Corporation訪(fǎng)問(wèn)控制分類(lèi)基本理念

??強(qiáng)制訪(fǎng)問(wèn)控制（

Mandatory

access

control

）自主訪(fǎng)問(wèn)控制（

Discretionary

access

control

）應(yīng)用環(huán)境

???網(wǎng)絡(luò)訪(fǎng)問(wèn)控制主機(jī)、操作系統(tǒng)訪(fǎng)問(wèn)控制應(yīng)用程序訪(fǎng)問(wèn)控制

Beijing

Huaxinqiankun

Technology

Corporation用戶(hù)管理的命令和工具?

useradd

：添加用戶(hù)?

adduser

：添加用戶(hù)?

passwd

：為用戶(hù)設(shè)置密碼?

usermod

：修改用戶(hù)命令，可以通過(guò)

usermod

來(lái)修改登錄

名、用戶(hù)的家目錄等等；?

pwcov

：同步用戶(hù)從

/etc/passwd

到

/etc/shadow?

pwck

：

pwck

是校驗(yàn)用戶(hù)配置文件

/etc/passwd

和

/etc/shadow

文件內(nèi)容是否合法或完整；?

finger

：查看用戶(hù)信息工具?

id

：查看用戶(hù)的

UID

、

GID

及所歸屬的用戶(hù)組?

chfn

：更改用戶(hù)信息工具?

su

：用戶(hù)切換工具

Beijing

Huaxinqiankun

Technology

Corporation??

用戶(hù)和密碼的相關(guān)文件/etc/passwd

文件含有全部系統(tǒng)需要知道的關(guān)于每個(gè)用戶(hù)的信息

(

加密后的口令存于

/etc/shadow

文件中

)

。/etc/passwd

中包含有用戶(hù)的登錄名

,

經(jīng)過(guò)加密的口令、用戶(hù)號(hào)、用戶(hù)組號(hào)、用戶(hù)注釋、用戶(hù)主目錄和用戶(hù)所用的

shell

程序。其中用戶(hù)號(hào)

(UID)

和用戶(hù)組號(hào)

(GID)

用于

UNIX

系統(tǒng)唯一地標(biāo)識(shí)用戶(hù)和同組用戶(hù)及用戶(hù)的訪(fǎng)問(wèn)權(quán)限。

Beijing

Huaxinqiankun

Technology

Corporation???????

/etc/passwd

文件內(nèi)容第一字段：用戶(hù)名（也被稱(chēng)為登錄名）第二字段：口令第三字段：

UID

第四字段：

GID第五字段：用戶(hù)名全稱(chēng)第六字段：用戶(hù)的

home

目錄所在位置第七字段：用戶(hù)所用

SHELL

的類(lèi)型

Beijing

Huaxinqiankun

Technology

Corporation設(shè)置密碼安全的命令passwd

:?

-k,

：保留即將過(guò)期的用戶(hù)在期滿(mǎn)后能仍能使用；?

-d,

：刪除用戶(hù)密碼，僅能以

root

權(quán)限操作；?

-l,

：鎖住用戶(hù)無(wú)權(quán)更改其密碼，僅能通過(guò)

root

權(quán)限操作；?

-u,

：解除鎖定；?

-f,

：強(qiáng)制操作；僅

root

權(quán)限才能操作；?

-x,

：兩次密碼修正的最大天數(shù)，后面接數(shù)字；僅能

root

權(quán)限操作；?

-n,

：兩次密碼修改的最小天數(shù)，后面接數(shù)字，僅能

root

權(quán)限操作；?

-w,

：在距多少天提醒用戶(hù)修改密碼；僅能

root

權(quán)限操作；?

-i,

：在密碼過(guò)期后多少天，用戶(hù)被禁掉，僅能以

root

操作；?

-S,

：查詢(xún)用戶(hù)的密碼狀態(tài)，僅能

root

用戶(hù)操作；chage

命令；?

chage

語(yǔ)法格式：?

chage

[OPTION...]

<accountName>?

-m

mindays

：設(shè)定使用者必須要更改密碼的最短天數(shù)。如果值為

0

，表示密碼永不過(guò)

期。

?

-M

maxdays

：指定密碼最長(zhǎng)的有效天數(shù)。?

-d

lastday

：指定上次更改密碼的天數(shù)

?

-I

inactive

：指定在密碼過(guò)期后與賬號(hào)鎖定前的天數(shù)，假如指定值為

0

的話(huà)，在密碼

過(guò)期后，帳號(hào)將不會(huì)被鎖定。

?

-E

expiredate

：指定要鎖定帳號(hào)的日期（以

YYYY-MM-DD

格式）

?

-W

warndays

：指定密碼過(guò)期前要警告使用者的天數(shù)。

Beijing

Huaxinqiankun

Technology

Corporation危害密碼的行為

?

網(wǎng)絡(luò)偵聽(tīng)（

sniffer

）?

口令字猜測(cè)（

password

guessing

）

Beijing

Huaxinqiankun

Technology

Corporation密碼的安全防范?

密碼長(zhǎng)度?

密碼復(fù)雜性?

定期更改

Beijing

Huaxinqiankun

Technology

CorporationUnix/Linux

的系統(tǒng)目錄結(jié)構(gòu)/bin

bin

是

Binary

的縮寫(xiě)。這個(gè)目錄存放著最經(jīng)常使用的命令。

/boot

這里存放的是啟動(dòng)

Linux

時(shí)使用的一些核心文件，包括一些鏈接文件以及鏡像文件，有些類(lèi)似于

windows

系統(tǒng)中的

boot.ini

文件。

/dev

dev

是

Device(

設(shè)備

)

的縮寫(xiě)。該目錄下存放的是

Linux

的外部設(shè)備，在

Linux

中訪(fǎng)問(wèn)設(shè)備的方式和訪(fǎng)問(wèn)文件的方式是相同的，如磁盤(pán)設(shè)備在

Linux

中叫做

/dev/fda0,

磁盤(pán)稱(chēng)為/dev/hda0

或

/dev/scsi0,

磁帶設(shè)備稱(chēng)為

/dev/rmt0

。

/etc

這個(gè)目錄用來(lái)存放所有的系統(tǒng)管理所需要的配置文件和子目錄,比如大家都非常熟悉的init程序，.d、smb、ssh等配置文件,。

/home

用戶(hù)的主目錄，在

Linux

中，每個(gè)用戶(hù)都有一個(gè)自己的目錄，一般該目錄名是以用戶(hù)的賬號(hào)命名的，這和

Windows

系統(tǒng)中的主目錄是一個(gè)概念，類(lèi)似每個(gè)用戶(hù)的我的文檔這個(gè)文件夾。

/lib

這個(gè)目錄里存放著系統(tǒng)最基本的動(dòng)態(tài)鏈接共享庫(kù)，其作用類(lèi)似于

Windows

里的

DLL

文件。幾乎所有的應(yīng)用程序都需要用到這些共享庫(kù)。

/lost+found

這個(gè)目錄一般情況下是空的，當(dāng)系統(tǒng)非法關(guān)機(jī)后，這里就存放了一些文件。

/mnt

在這里面中有四個(gè)目錄，系統(tǒng)提供這些目錄是為了讓用戶(hù)臨時(shí)掛載別的文件系統(tǒng)的，我們可以將光驅(qū)掛載在

/mnt/cdrom

上，然后進(jìn)入該目錄就可以查看光驅(qū)里的內(nèi)容了。

/proc

這個(gè)目錄是一個(gè)虛擬的目錄，它是系統(tǒng)內(nèi)存的映射，我們可以通過(guò)直接訪(fǎng)問(wèn)這個(gè)目錄來(lái)獲取系統(tǒng)信息。/root

該目錄為系統(tǒng)管理員，也稱(chēng)作超級(jí)權(quán)限者的用戶(hù)主目錄。

/sbin

s

就是

Super

User

的意思，這里存放的是系統(tǒng)管理員使用的系統(tǒng)管理程序。

/tmp

這個(gè)目錄是用來(lái)存放一些臨時(shí)文件的。

/var

這個(gè)目錄中存放著在不斷擴(kuò)充著的東西，我們習(xí)慣將那些經(jīng)常被修改的目錄放在這個(gè)目錄下。包括各種日志文件。

第一字段：inodeinode的值是：90297第二字段：文件種類(lèi)和權(quán)限；文件類(lèi)型：文件類(lèi)型是-，表示這是一個(gè)普通文件；d表示目錄類(lèi)型；l表示鏈接文件類(lèi)型。文件權(quán)限：文件權(quán)限是-rw-r--r--，表示文件屬主可讀、可寫(xiě)，文件所歸屬的用戶(hù)組可讀，其它用戶(hù)可讀。第三字段：硬鏈接個(gè)數(shù)；硬鏈接個(gè)數(shù)：DCOPserver_linux__0這個(gè)文件沒(méi)有硬鏈接；因?yàn)閿?shù)值是1，就是他本身；第四字段：屬主；文件屬主：也就是這個(gè)文件歸于哪個(gè)用戶(hù)，它歸于root，也就是第一個(gè)root；第五字段：所歸屬的組；文件屬組：也就是說(shuō)，對(duì)于這個(gè)文件，它歸屬于哪個(gè)用戶(hù)組，在這里是root用戶(hù)組；第六字段：文件或目錄的大小；文件大?。何募笮∈?2個(gè)字節(jié)；第七字段和第八字段：最后訪(fǎng)問(wèn)或修改時(shí)間；訪(fǎng)問(wèn)可修改時(shí)間：這里的時(shí)間是最后訪(fǎng)問(wèn)的時(shí)間，最后訪(fǎng)問(wèn)和文件被修改或創(chuàng)建的時(shí)間，有時(shí)并不是一致的；第九字段：文件名或目錄名文件名：DCOPserver_linux__0

Beijing

Huaxinqiankun

Technology

CorporationLinux

文件屬性概述?

例

:90297

-rw-r--r--

1

root

root

52

Aug

22

16:56

.DCOPserver_linux__0

Beijing

Huaxinqiankun

Technology

Corporation文件權(quán)限位八進(jìn)制數(shù)字權(quán)限0---1--x2-w-3-wx4r—5r-x6rw-7rwx

Beijing

Huaxinqiankun

Technology

Corporation改變權(quán)限的命令

chmod

?

數(shù)字法助記法標(biāo)記代表的意義u代表屬主g代表屬組o代表其它用戶(hù)a代表屬主、屬組和其它用戶(hù)，也就是上面三個(gè)用戶(hù)（或組）的所有；

Beijing

Huaxinqiankun

Technology

Corporation改變權(quán)限的命令

chmod?

助記法

Beijing

Huaxinqiankun

Technology

Corporation改變目錄權(quán)限?

如果我們想改變的僅僅是目錄的權(quán)限，只需要跟上所需的權(quán)限位

和目錄名就可以了

，不用加任何參數(shù)。如果想把目錄以下的所有

文件或子目錄改變，應(yīng)該加

-R

參數(shù)；

Beijing

Huaxinqiankun

Technology

Corporation默認(rèn)權(quán)限分配的命令

umask

?

umask

是通過(guò)八進(jìn)制的數(shù)值來(lái)定義用戶(hù)創(chuàng)建文件或目錄的默認(rèn)權(quán)限。

umask

表示的是禁止權(quán)限。不過(guò)文件和目錄有點(diǎn)不同。?

對(duì)于文件來(lái)說(shuō)，

umask

的設(shè)置是在假定文件擁有八進(jìn)制

666

權(quán)限上進(jìn)行，文件的權(quán)限就是

666

減去

umask

的掩碼數(shù)值；?

對(duì)于目錄來(lái)說(shuō)，

umask

的設(shè)置是在假定文件擁有八進(jìn)制

777

權(quán)限上進(jìn)行，目錄八進(jìn)制權(quán)限

777

減去

umask

的掩碼數(shù)值；

Beijing

Huaxinqiankun

Technology

Corporation改變文件的當(dāng)屬關(guān)系的工具

chown

?

chown

所接的新的屬主和新的屬組之間應(yīng)該以

.

或

:

連接，屬主

和屬組之一可以為空。如果屬主為空，應(yīng)該是

:

屬組

；如果

屬組為空就不必需要

.

或

:

了。?

chown

也提供了

-R

參數(shù)，這個(gè)參數(shù)對(duì)目錄改變屬主和屬組極

為有用，我們可以通過(guò)加

-R

參數(shù)來(lái)改變某個(gè)目錄下的所有文

件到新的屬主或?qū)俳M；

Beijing

Huaxinqiankun

Technology

Corporation改變文件的屬組工具

chgrp

?

它的用戶(hù)和

chown

類(lèi)似，只不過(guò)它僅是用來(lái)改

變文件或目錄的屬組的；

-R

參數(shù)用于目錄及目

錄下所有文件改變屬組的。它和

chown

的用法

是一樣的

Beijing

Huaxinqiankun

Technology

CorporationPAM?

PAM

（可插拔認(rèn)證模塊）方式允許系統(tǒng)管理員設(shè)置多種認(rèn)證措施而無(wú)須重新編譯要進(jìn)行認(rèn)證的程序，這就使得管理員能根據(jù)當(dāng)前需求的變化而變更用戶(hù)認(rèn)證的方法

Beijing

Huaxinqiankun

Technology

CorporationPAM

的模塊類(lèi)型PAM

定義了四種類(lèi)型的模塊：–

auth

模塊提供實(shí)際的認(rèn)證過(guò)程，可能是提示口令輸入并檢查輸入的口令，設(shè)置保密字如用戶(hù)組或

KERBEROS

通行證。–

account

模塊負(fù)責(zé)檢查并確認(rèn)是否可以進(jìn)行認(rèn)證（比如，帳戶(hù)是否到期，用戶(hù)此時(shí)此刻是否可以登入，等等）。

–

password

模塊被用來(lái)設(shè)置口令。–

session

模塊將被用來(lái)做使用戶(hù)使用其帳戶(hù)前的初始化工作，如安裝用戶(hù)的

HOME

目錄啦，使能用戶(hù)的電子郵箱啦

Beijing

Huaxinqiankun

Technology

Corporation

Telnet

安全

telnet

有以下幾個(gè)嚴(yán)重缺陷：

????口令沒(méi)有加密，第三者可用嗅探器捕獲到口令。

Telnet

沒(méi)有采用強(qiáng)用戶(hù)認(rèn)證。

Telnet

不進(jìn)行會(huì)話(huà)完整性檢查。

Telnet

會(huì)話(huà)沒(méi)有加密。

Beijing

Huaxinqiankun

Technology

CorporationSSH?

SSH(secure

Shell)

是一個(gè)用來(lái)替代

TELNET

、

FTP

以及

R

命令的工具包，主要是想解決口令

在網(wǎng)上明文傳輸?shù)膯?wèn)題。

Beijing

Huaxinqiankun

Technology

CorporationNFS

安全NFS(network

file

system)

是由

SUN

公司開(kāi)發(fā)

,

并于

1984

年推出，NFS

的功能在于提供不同機(jī)器間的檔案分享與共用

.NFS

的不安全性主要體現(xiàn)于以下

4

個(gè)方面

:–

新手對(duì)

NFS

的訪(fǎng)問(wèn)控制機(jī)制難于做到得心應(yīng)手

,

控制目標(biāo)的精確性難以實(shí)現(xiàn)–

NFS

沒(méi)有真正的用戶(hù)驗(yàn)證機(jī)制

,

而只有對(duì)

RPC/Mount

請(qǐng)求的過(guò)程驗(yàn)證機(jī)制–

較早的

NFS

可以使未授權(quán)用戶(hù)獲得有效的文件句柄–

在

RPC

遠(yuǎn)程調(diào)用中

,

一個(gè)

SUID

的程序就具有超級(jí)用戶(hù)權(quán)限

Beijing

Huaxinqiankun

Technology

Corporation??????

NFS

安全禁止

NFS

服務(wù)

,

或以

AFS

服務(wù)取而代之

(Andrew

File

System)如果一定要開(kāi)

NFS,

不要讓一個(gè)單機(jī)可以既是

client,

也是

serverexport

出的文件系統(tǒng)只設(shè)置為只讀禁止那些有

SUID

特性的程序的執(zhí)行不要

export

home

目錄不要

export

可執(zhí)行特性

Beijing

Huaxinqiankun

Technology

Corporation日志查看和分析工具

在

Linux

系統(tǒng)中，有三個(gè)主要的日志子系統(tǒng)：

?

連接時(shí)間日志

--

由多個(gè)程序執(zhí)行，把記錄寫(xiě)入到

/var/log/wtmp

和

/var/run/utmp

，

login

等程序更新

wtmp

和

utmp

文件，使系統(tǒng)管理員能夠跟

蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。

?

進(jìn)程統(tǒng)計(jì)

--

由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程向進(jìn)程統(tǒng)計(jì)

文件（

pacct

或

acct

）中寫(xiě)一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本

服務(wù)提供命令使用統(tǒng)計(jì)。

?

錯(cuò)誤日志

--

由

syslogd

（

8

）執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶(hù)程序和內(nèi)核通

過(guò)

syslog

（

3

）向文件

/var/log/messages

報(bào)告值得注意的事件。另外有許多

UNIX

程序創(chuàng)建日志。像

HTTP

和

FTP

這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持

詳細(xì)的日志。

日志文件描述access-log記錄HTTP/web的傳輸acct/pact記錄用戶(hù)命令aculog記錄MODEM的活動(dòng)btmp記錄失敗的記錄lastlog記錄最近幾次成功登錄的事件和最后一次不成功的登錄messages從syslog中記錄信息（有的鏈接到syslog文件）sudolog記錄使用sudo發(fā)出的命令sulog記錄使用su命令的使用syslog從syslog中記錄信息（通常鏈接到messages文件）utmp記錄當(dāng)前登錄的每個(gè)用戶(hù)wtmp一個(gè)用戶(hù)每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄xferlog記錄FTP會(huì)話(huà)

Beijing

Huaxinqiankun

Technology

CorporationLinux

的日志文件

Beijing

Huaxinqiankun

Technology

Corporation日志查看命令?

who

：

who

命令查詢(xún)

utmp

文件并報(bào)告當(dāng)前登錄的每個(gè)

用戶(hù)。

who

的缺省輸出包括用戶(hù)名、終端類(lèi)型、

登錄日期及遠(yuǎn)程主機(jī)。

?

w

：

w

命令查詢(xún)

utmp

文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶(hù)和它所運(yùn)行的進(jìn)程信息。

Beijing

Huaxinqiankun

Technology

Corporation日志查看命令?

users

：

users

用單獨(dú)的一行打印出當(dāng)前登錄的用戶(hù)，每個(gè)顯示的用戶(hù)名對(duì)應(yīng)一個(gè)登錄會(huì)話(huà)。如果一個(gè)用戶(hù)有不止一個(gè)登錄會(huì)話(huà)，那他的用戶(hù)名將顯示相同的次數(shù)。

?

last

：

last

命令往回搜索

wtmp

來(lái)顯示自從文件第一次創(chuàng)建以來(lái)登錄過(guò)的用戶(hù)。

?

lastlog

：

lastlog

文件在每次有用戶(hù)登錄時(shí)被查詢(xún)。

Beijing

Huaxinqiankun

Technology

Corporation日志查看命令?

lastcomm

命令報(bào)告以前執(zhí)行的文件。

?

sa

命令報(bào)告、清理并維護(hù)進(jìn)程統(tǒng)計(jì)文件。

?

Syslog

已被許多日志函數(shù)采納，它用在許多保護(hù)措施中

--

任何程序

都可以通過(guò)

syslog

記錄事件。

Syslog

可以記錄系統(tǒng)事件，可以寫(xiě)到一個(gè)文件或設(shè)備中，或給用戶(hù)發(fā)送一個(gè)信息。它能記錄本地事件或通過(guò)網(wǎng)絡(luò)記錄另一個(gè)主機(jī)上的事件。

?

Syslog

設(shè)備依據(jù)兩個(gè)重要的文件：

/etc/syslogd

（守護(hù)進(jìn)程）和/etc/syslog.conf

配置文件

Beijing

Huaxinqiankun

Technology

Corporation46

操作安全1

、操作系統(tǒng)安全

(Windows/U

NIX)2

、控制措施

:

預(yù)防，檢測(cè)和糾正3

、管理手段

:

責(zé)任分離，工作輪換，最小特權(quán)等4

、常見(jiàn)的

IT

任務(wù)

:

計(jì)算機(jī)操作，生產(chǎn)調(diào)度，磁帶庫(kù)，系統(tǒng)安全等5

、日常審計(jì)和監(jiān)督6

、防病毒管理7

、變更管理，8

、備份和介質(zhì)處理9

、事件處理10

、常見(jiàn)的攻擊手段與防范

Beijing

Huaxinqiankun

Technology

Corporation47?

預(yù)防?

檢測(cè)?

糾正控制措施

Beijing

Huaxinqiankun

Technology

Corporation48

管理手段?

責(zé)任分離?

AB

角色?

工作輪換?

最小特權(quán)（知道）控制系統(tǒng)應(yīng)用數(shù)據(jù)操作數(shù)據(jù)安全備份系統(tǒng)質(zhì)量小組分析員程序員錄入員員庫(kù)管理員管理員管理員程序員保證小組控制小組系統(tǒng)分析員應(yīng)用程序員數(shù)據(jù)錄入員操作員數(shù)據(jù)庫(kù)管理員安全管理員備份管理員系統(tǒng)程序員質(zhì)量保證小組

Beijing

Huaxinqiankun

Technology

CorporationIT崗位分權(quán)

Beijing

Huaxinqiankun

Technology

Corporation常見(jiàn)的

IT

任務(wù)????計(jì)算機(jī)操作生產(chǎn)調(diào)度磁帶庫(kù)系統(tǒng)安全50

Beijing

Huaxinqiankun

Technology

Corporation

日常審計(jì)和監(jiān)督?

日常審計(jì)和監(jiān)督51

Beijing

Huaxinqiankun

Technology

Corporation52

操作安全1

、操作系統(tǒng)安全

(Windows/U

NIX)2

、控制措施

:

預(yù)防，檢測(cè)和糾正3

、管理手段

:

責(zé)任分離，工作輪換，最小特權(quán)等4

、常見(jiàn)的

IT

任務(wù)

:

計(jì)算機(jī)操作，生產(chǎn)調(diào)度，磁帶庫(kù)，系統(tǒng)安全等5

、日常審計(jì)和監(jiān)督6

、防病毒管理7

、變更管理，8

、各份和介質(zhì)處理9

、事件處理10

、常見(jiàn)的攻擊手段與防范

Beijing

Huaxinqiankun

Technology

Corporation53?

一、指導(dǎo)思想?

二、制度規(guī)定?

三、違規(guī)處理防病毒管理

Beijing

Huaxinqiankun

Technology

Corporation54

一、指導(dǎo)思想?

在防病毒工作中，以構(gòu)建

預(yù)防為主、防殺結(jié)合

的計(jì)算機(jī)病毒長(zhǎng)效管理與應(yīng)急處理機(jī)制，全面落實(shí)

“

早發(fā)現(xiàn)、早報(bào)告、早隔離、早防殺

”

的防病毒工作原則，提高快速反應(yīng)和應(yīng)急處理能力，將防治工作納入科學(xué)化和規(guī)范化的軌道，保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性。

Beijing

Huaxinqiankun

Technology

Corporation55

二、制度規(guī)定1.

新購(gòu)進(jìn)的計(jì)算機(jī)設(shè)備，為防止原始計(jì)算機(jī)病毒的侵害，使用者必須再檢查無(wú)病毒后方可聯(lián)網(wǎng)使用；2.

計(jì)算機(jī)用戶(hù)應(yīng)在自己所使用的個(gè)人計(jì)算機(jī)和服務(wù)器上，啟用各種信息安全工具和策略，以防止木馬、蠕蟲(chóng)等計(jì)算機(jī)病毒或惡意軟件對(duì)計(jì)算機(jī)中的信息資產(chǎn)的破壞、竊取以及對(duì)校園網(wǎng)絡(luò)的速度、穩(wěn)定性以及服務(wù)質(zhì)量的影響。3.

未經(jīng)管理人員許可，不得在服務(wù)器上安裝新軟件，若確為需要安裝，安裝前應(yīng)進(jìn)行病毒例行檢測(cè)。4.

為了防止病毒侵蝕，不得從

internet

網(wǎng)下載游戲及與工作無(wú)關(guān)的軟件（

QQ

等），不得在微機(jī)、服務(wù)器上安裝、運(yùn)行游戲軟件5.

軟盤(pán)、光盤(pán)、

U

盤(pán)、

MP3

、

MP4

、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)，在使用前必須進(jìn)行查毒，確認(rèn)無(wú)計(jì)算機(jī)病毒后才可以使用；6.

外來(lái)的軟件或下載的軟件，要先進(jìn)行計(jì)算機(jī)病毒清查，確認(rèn)無(wú)計(jì)算機(jī)病毒后才可以使用；7.

嚴(yán)禁隨意運(yùn)行安裝不清楚和可疑的外來(lái)或下載的軟件程序，防止?jié)撛诘陌踩[患；

Beijing

Huaxinqiankun

Technology

Corporation56

二、制度規(guī)定8.

嚴(yán)禁員工將私人設(shè)備（包括電腦、集線(xiàn)器、交換機(jī)、無(wú)線(xiàn)

AP

等）接入公司網(wǎng)絡(luò)；9.

各部門(mén)公用和重要的服務(wù)器應(yīng)明確專(zhuān)人負(fù)責(zé)服務(wù)器的防病毒工作，責(zé)任人應(yīng)負(fù)責(zé)安裝防病毒軟件，及時(shí)升級(jí)系統(tǒng)補(bǔ)丁程序，監(jiān)測(cè)防病毒軟件運(yùn)行情況；10.

當(dāng)計(jì)算機(jī)出現(xiàn)中毒跡象時(shí)，應(yīng)立即對(duì)計(jì)算機(jī)采取斷網(wǎng)隔離處理，嚴(yán)禁帶

“

毒

”

繼續(xù)聯(lián)網(wǎng)使用；11.

斷網(wǎng)后應(yīng)進(jìn)入安全模式，利用防病毒軟件查殺計(jì)算機(jī)中的病毒，查殺毒工作完成后，應(yīng)重啟計(jì)算機(jī)，再次用防病毒軟件檢查確認(rèn)是否已清除干凈，并檢查受感染和破壞的數(shù)據(jù)或程序是否可以正常讀取和運(yùn)行；12.

如果在使用防病毒軟件后仍無(wú)法清除干凈，請(qǐng)速與工程部取得聯(lián)系，交由技術(shù)人員處理；13.

員工在計(jì)算機(jī)恢復(fù)聯(lián)網(wǎng)之前，應(yīng)思考中毒原因，盡可能的找出中毒原因，并做出相應(yīng)處理（如更新系統(tǒng)補(bǔ)丁和升級(jí)病毒庫(kù)），防止再次中毒；14.

安裝機(jī)器前，必須提前準(zhǔn)備好殺毒軟件，斷網(wǎng)安裝，查殺無(wú)病毒后，再插網(wǎng)線(xiàn)。

Beijing

Huaxinqiankun

Technology

Corporation57

三、違規(guī)處理1.

對(duì)于沒(méi)有按要求安裝防毒軟件、沒(méi)有及時(shí)升級(jí)病毒庫(kù)和更新操作系統(tǒng)補(bǔ)丁的員工或服務(wù)器的責(zé)任人，給予通報(bào)批評(píng)；2.

對(duì)于未遵守上述規(guī)定要求而導(dǎo)致計(jì)算機(jī)感染病毒并對(duì)網(wǎng)絡(luò)運(yùn)行造成嚴(yán)重影響的責(zé)任人，將進(jìn)行通報(bào)批評(píng)；3.

為了及時(shí)消除信息安全隱患以及對(duì)其他計(jì)算機(jī)用戶(hù)的影響，對(duì)于拒絕修補(bǔ)安全漏洞和啟用各種信息安全工具的計(jì)算機(jī)用戶(hù)，行政部可以給予有關(guān)當(dāng)事人警告提醒，并要求當(dāng)事人立即采取防范措施，對(duì)經(jīng)過(guò)警告仍未改正的、有可能造成嚴(yán)重后果的，可采取緊急斷網(wǎng)處理，直至其改正為止。4.

對(duì)有下列情況的計(jì)算機(jī)用戶(hù)，工程部可無(wú)需事先警告，對(duì)該計(jì)算機(jī)用戶(hù)或部門(mén)進(jìn)行緊急斷網(wǎng)處理，直至消除信息安全隱患為止：（一）對(duì)造成蠕蟲(chóng)、木馬等計(jì)算機(jī)病毒大面積傳播的或可能引起嚴(yán)重后果的；（二）嚴(yán)重影響網(wǎng)速和服務(wù)質(zhì)量的；（三）可能導(dǎo)致其他計(jì)算機(jī)用戶(hù)的重要信息泄漏，造成嚴(yán)重?fù)p失的；（四）可能導(dǎo)致公司的信息資產(chǎn)被惡意控制或利用，造成損害的；（五）超出信息安全工具許可證使用規(guī)定，可能對(duì)公司造成名譽(yù)或經(jīng)濟(jì)上損失的；（六）其他違反法律法規(guī)規(guī)定的情形的。

Beijing

Huaxinqiankun

Technology

Corporation58

操作安全1

、操作系統(tǒng)安全

(Windows/U

NIX)2

、控制措施

:

預(yù)防，檢測(cè)和糾正3

、管理手段

:

責(zé)任分離，工作輪換，最小特權(quán)等4

、常見(jiàn)的

IT

任務(wù)

:

計(jì)算機(jī)操作，生產(chǎn)調(diào)度，磁帶庫(kù)，系統(tǒng)安全等5

、日常審計(jì)和監(jiān)督6

、防病毒管理7

、變更管理8

、備份和介質(zhì)處理9

、事件處理10

、常見(jiàn)的攻擊手段與防范

Beijing

Huaxinqiankun

Technology

Corporation59

變更管理?

重要定義?

過(guò)程與活動(dòng)

Beijing

Huaxinqiankun

Technology

Corporation60

重要定義?

CAB

應(yīng)急委員會(huì)

(CAB/EC)

。

只負(fù)責(zé)處理緊急變更事項(xiàng)的

CAB

專(zhuān)設(shè)機(jī)構(gòu)。組建這個(gè)委員會(huì)的目的在于，針對(duì)具有特殊優(yōu)先級(jí)的緊急變更事項(xiàng)做出授權(quán)或予以否決。

?

變更。

刻意導(dǎo)入

IT

環(huán)境的一切新增

IT

組件，要么對(duì)

IT

服務(wù)級(jí)別產(chǎn)生影響，要么對(duì)整個(gè)

IT

環(huán)境或它的某一部分產(chǎn)生影響。

?

變更顧問(wèn)委員會(huì)

(CAB)

。

CAB

是一個(gè)跨職能部門(mén)，負(fù)責(zé)評(píng)價(jià)針對(duì)業(yè)務(wù)需求的變更請(qǐng)求、優(yōu)先級(jí)別、成本

/

效益指標(biāo)以及對(duì)其他系統(tǒng)或過(guò)程的潛在影響。

CAB

通常針對(duì)變更請(qǐng)求提出付諸實(shí)施、深入分析、暫緩實(shí)施或徹底否決等建議。

?

變更類(lèi)別。

變更部署對(duì)

IT

和業(yè)務(wù)產(chǎn)生所影響的衡量指標(biāo)。為確定變更類(lèi)型，有關(guān)方面將對(duì)變更復(fù)雜程度和所需資源（包括人員、資金及時(shí)間）加以衡量。此外，部署風(fēng)險(xiǎn)（包括可能發(fā)生的服務(wù)中斷）也是一個(gè)影響因素。

?

變更發(fā)起人。

最初提起變更請(qǐng)求的人員；這個(gè)人可能是業(yè)務(wù)代表或

IT

部門(mén)成員。

?

變更管理人員。

IT

機(jī)構(gòu)中對(duì)變更管理過(guò)程負(fù)有全面管理責(zé)任的角色。

?

變更擁有者。

負(fù)責(zé)在

IT

環(huán)境下計(jì)劃并實(shí)施變更事項(xiàng)的角色。變更擁有者角色由變更管理人員針對(duì)特定變更事項(xiàng)指派給有關(guān)人員，擔(dān)當(dāng)這個(gè)角色的人員將在收到已經(jīng)核準(zhǔn)的

RFC

的時(shí)刻起承擔(dān)相關(guān)職責(zé)。變更擁有者必須遵循業(yè)經(jīng)核準(zhǔn)的變更時(shí)間安排。

?

變更優(yōu)先級(jí)。

決定變更請(qǐng)求核準(zhǔn)與部署速度的變更分類(lèi)機(jī)制。解決方案需求的緊迫性和不予實(shí)施變更的業(yè)務(wù)風(fēng)險(xiǎn)是賴(lài)以確定優(yōu)先級(jí)的主要標(biāo)準(zhǔn)。

?

配置項(xiàng)目

(CI)

。

受配置管理職能控制的

IT

組件。每個(gè)

CI

都可能由其他的

CI

組成。大到整個(gè)系統(tǒng)（包括全部硬件、軟件和文檔），小到單個(gè)軟件模塊或次要硬件組件，不同

CI

的復(fù)雜程度、大小和類(lèi)型可能存在天壤之別。

?

發(fā)布。

由一或多項(xiàng)變更組成的集合，其中包括已通過(guò)測(cè)試并被引入生產(chǎn)環(huán)境的新增和

/

或變更配置項(xiàng)目。

?

變更請(qǐng)求

(RFC)

。

這里指正規(guī)變更請(qǐng)求，包括針對(duì)變更的描述、受到影響的組件、業(yè)務(wù)需求、成本估算、風(fēng)險(xiǎn)評(píng)估、資源需求及核準(zhǔn)狀態(tài)等信息。

Beijing

Huaxinqiankun

Technology

Corporation61

變更請(qǐng)求團(tuán)隊(duì)模型角色群體申報(bào)變更請(qǐng)求的常見(jiàn)類(lèi)型

Beijing

Huaxinqiankun

Technology

Corporation62需要對(duì)變更管理程序所控制的

IT

基礎(chǔ)架構(gòu)任何部分進(jìn)行