服務(wù)器日常安全運(yùn)維管理手冊

平安日常運(yùn)維管理河北連益成信息技術(shù)編寫人陳磊時(shí)間2014-12-2版本Version1.0目錄第一章平安運(yùn)維管理體系分析 41.1平安日常運(yùn)維管理的必要性 41.2平安運(yùn)維管理的技術(shù)支撐體系 51.3平安運(yùn)維管理遵循的PDCA周期 61.4平安日常運(yùn)維管理的目標(biāo) 6第二章帳戶口令管理 72.1職責(zé)定義 92.2口令賬號五個(gè)保密等級 92.2.1【最低等級】等級一 92.2.2【低等級】等級二 102.2.3【中等級】等級三 102.2.4【鞏固級】等級四 112.2.5【最高級】等級五 122.3賬號管理 132.3.1賬號角色分配目的 132.3.2建立的原那么 132.3.3賬號建立的過程 142.4口令管理 162.4.1口令管理原那么 162.4.2口令設(shè)置原那么 172.4.3口令設(shè)置最低標(biāo)準(zhǔn) 182.5權(quán)限管理 192.5.1概述 192.5.2確定最小權(quán)限 192.5.3建立權(quán)限體系 202.6賬號口令審計(jì)管理 212.6.1概述 212.6.2賬號審查通用要求 222.6.3賬號口令審計(jì)流程設(shè)計(jì)建議 23第三章效勞與端口 243.1什么是端口 243.2什么是效勞 243.3常用端口列表 25第四章平安補(bǔ)丁 434.1概述 434.2補(bǔ)丁安裝與操作 434.2.1檢測內(nèi)容 434.2.2建議操作 444.2.3操作結(jié)果 44第五章終端管理 44第六章數(shù)據(jù)備份 466.1備份管理 466.1.1信息識別 466.1.2制定備份方案 476.1.3實(shí)施備份方案 486.1.4備份存放 486.1.5備份測試 496.1.6備份恢復(fù) 496.2數(shù)據(jù)恢復(fù) 49第一章平安運(yùn)維管理體系分析1.1平安日常運(yùn)維管理的必要性IT系統(tǒng)是否能夠正常運(yùn)行直接關(guān)系到業(yè)務(wù)或生產(chǎn)是否能夠正常運(yùn)行。但I(xiàn)T管理人員經(jīng)常面臨的問題是：網(wǎng)絡(luò)變慢了、設(shè)備發(fā)生故障、應(yīng)用系統(tǒng)運(yùn)行效率很低。IT系統(tǒng)的任何故障如果沒有及時(shí)得到妥善處理都將會導(dǎo)致很大的影響，甚至?xí)斐煽膳碌慕?jīng)濟(jì)損失。但是什么原因?qū)е翴T系統(tǒng)屢出問題？是產(chǎn)品、技術(shù)、還是缺乏有效的、系統(tǒng)化的平安運(yùn)維管理？隨著電信IT系統(tǒng)的開展，業(yè)務(wù)應(yīng)用的持續(xù)增加，其IT根底設(shè)施的架構(gòu)越來越復(fù)雜，單純憑某個(gè)工具或某個(gè)人不可能有效地保護(hù)自己的整體網(wǎng)絡(luò)平安;信息平安作為一個(gè)整體，需要把平安過程中的有關(guān)各層次的平安產(chǎn)品、分支機(jī)構(gòu)、運(yùn)營網(wǎng)絡(luò)、管理維護(hù)制度等納入一個(gè)緊密的統(tǒng)一平安管理平臺〔系統(tǒng))中，才能有效地保障企業(yè)的網(wǎng)絡(luò)和信息平安。IT環(huán)境的復(fù)雜性，使更多的平安威脅被揭示出來。很多企業(yè)嘗試通過部署“最正確”平安產(chǎn)品來保護(hù)自己，比方防病毒網(wǎng)關(guān)、防火墻、入侵防護(hù)系統(tǒng)、VPN、訪問控制、身份認(rèn)證等。在這種極度復(fù)雜的情況下，需要的是一個(gè)集成的解決方案，使得企業(yè)能夠收集、關(guān)聯(lián)和管理來自異類源的大量平安事件，實(shí)時(shí)監(jiān)控和做出響應(yīng)，需要的是能夠輕松適應(yīng)環(huán)境增長和變化的管理體系，需要的就是企業(yè)完整的平安管理平臺解決方案?？偠灾瑢τ谄髽I(yè)平安運(yùn)維管理來說，三分技術(shù)，七分管理，在企業(yè)內(nèi)部建立一套完善的平安管理規(guī)章制度，使管理機(jī)構(gòu)依據(jù)相應(yīng)的管理制度和管理流程對日常操作、運(yùn)行維護(hù)、審計(jì)監(jiān)督、文檔管理等進(jìn)行統(tǒng)一管理，同時(shí)加強(qiáng)對工作人員的平安知識和平安操作培訓(xùn)，建立統(tǒng)一的平安管理體系，幫助企業(yè)識別、管理和減少信息通常所面臨的各種威脅，架構(gòu)企業(yè)的平安保障體系。

平安運(yùn)維管理的技術(shù)支撐體系平安監(jiān)控和根底維護(hù)安全技術(shù)支撐運(yùn)維預(yù)防P響應(yīng)R恢復(fù)R策略發(fā)現(xiàn)D平安監(jiān)控和根底維護(hù)平安技術(shù)支撐PPDRR模型包括策略〔Policy〕、防護(hù)〔Protection〕、檢測〔Detection〕、響應(yīng)〔Response〕和恢復(fù)〔Recovery〕5個(gè)主要局部，其中，防護(hù)、檢測、響應(yīng)和恢復(fù)構(gòu)成一個(gè)完整的、動態(tài)的平安循環(huán)，在平安策略的指導(dǎo)下共同實(shí)現(xiàn)平安保障信息平安的重要理論模型包括信息平安平安監(jiān)控和根底維護(hù)安全技術(shù)支撐運(yùn)維預(yù)防P響應(yīng)R恢復(fù)R策略發(fā)現(xiàn)D平安監(jiān)控和根底維護(hù)平安技術(shù)支撐制定網(wǎng)絡(luò)和系統(tǒng)層面的整體平安技術(shù)保護(hù)方案和技術(shù)標(biāo)準(zhǔn)；逐步實(shí)現(xiàn)平安自評估，全面掌握平安風(fēng)險(xiǎn)；提供重大平安預(yù)警信息發(fā)布和解決方案；協(xié)調(diào)響應(yīng)網(wǎng)絡(luò)層面的各類重大平安事件；對各類平安事件有關(guān)數(shù)據(jù)進(jìn)行綜合分析，形成平安運(yùn)行分析報(bào)告；對生產(chǎn)層面的平安策略進(jìn)行集中控制；跟蹤研究各種平安問題和技術(shù)，收集各種根底信息資源。進(jìn)行7×24小時(shí)的日常平安平安事件監(jiān)測，負(fù)責(zé)受理平安投訴。對平安事件進(jìn)行收集匯總，進(jìn)行事件預(yù)處理。系統(tǒng)日?？诹罹S護(hù)，加載平安補(bǔ)丁和梳理效勞端口等實(shí)施各類平安設(shè)備和配套管理設(shè)備的日常維護(hù)。實(shí)施一般平安預(yù)警和平安應(yīng)急事件的處理。落實(shí)系統(tǒng)自身平安應(yīng)急預(yù)案，并參加平安應(yīng)急演練1.3平安運(yùn)維管理遵循的PDCA周期1.4平安日常運(yùn)維管理的目標(biāo)平安工作的目的就是為了在平安法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用適宜的平安技術(shù)與平安管理措施，完成下述網(wǎng)絡(luò)與信息平安的保障任務(wù)。進(jìn)不來：使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性拿不走：使用授權(quán)機(jī)制，實(shí)現(xiàn)對用戶的權(quán)限控制，即不該拿走的“拿不走”，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對網(wǎng)絡(luò)資 源及信息的可控性。看不懂：使用加密機(jī)制，確保信息不泄漏給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂”，從而實(shí)現(xiàn)信息的保密性改不了：使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，從而確保信息的完整性。跑不了：使用審計(jì)、監(jiān)控、防抵賴等平安機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫”，并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的平安問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息平安的可審查性。為保障IT系統(tǒng)的正常運(yùn)行，應(yīng)能做到如下所示總結(jié)：平安日常運(yùn)維管理可總結(jié)為高效管理能力、全面運(yùn)維能力、平安保護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急響應(yīng)能力、快速恢復(fù)能力第二章帳戶口令管理為什么有這么多人鐘情于竊取帳號口令？攻擊者竊取帳號有著非法的目的、意圖，惡意毀壞操作等行為，他們或以知名，或以炫耀技術(shù)為目的。而目前，竊取帳號的行為都與竊取商業(yè)機(jī)密和機(jī)密信息、數(shù)據(jù)、經(jīng)濟(jì)利益相關(guān)，大都有著利益化的傾向犯罪行為。帳號衩竊取的常見原因2.1職責(zé)定義2.2口令賬號五個(gè)保密等級2.2.1【最低等級】等級一只有根本的甚至沒有保障措施，用于電子系統(tǒng)的帳號。在第一等級的保障的情況下，只有根本的甚至沒有保障措施用于電子系統(tǒng)的帳號，等級一的情況下，錯(cuò)誤的口令、帳號和權(quán)限管理可能導(dǎo)致給公司、客戶或者第三方帶來最小的不便。不會給公司、客戶或者第三方帶來直接的經(jīng)濟(jì)損失不會給公司、客戶或者第三方帶來不快不會給公司、客戶或者第三方帶來名譽(yù)或者地位的損失不會破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易不會導(dǎo)致民事或者刑事犯罪不會向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息未驗(yàn)收和未投入使用的系統(tǒng)，工程過程中的系統(tǒng)〔假設(shè)沒有涉及知識產(chǎn)權(quán)，例如軟件代碼泄密的問題的情況下〕【低等級】等級二通過常用的措施即可保護(hù)系統(tǒng)的可信認(rèn)證，必須充分考慮代價(jià)和認(rèn)證平安性的平衡這種等級的認(rèn)證被誤用或者破壞可能導(dǎo)致：給公司、客戶或者第三方帶來較小的不便給公司、客戶或者第三方帶來較小直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會給公司、客戶或者第三方帶來較小的不快會給公司、客戶或者第三方帶來較小名譽(yù)或者地位的損失存在一定的風(fēng)險(xiǎn)，可能破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易不會導(dǎo)致民事或者刑事犯罪。存在一定風(fēng)險(xiǎn)，可能少量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：一臺常用辦公電腦，該電腦上沒有存儲任何機(jī)密文件，他的帳號被竊取可能導(dǎo)致公司常用信息例如通訊錄被泄漏。一個(gè)有查詢系統(tǒng)的帳號，用戶可以通過Internet注冊來查詢自己的帳單。該帳號失竊可能導(dǎo)致用戶信息的泄漏。2.2.3【中等級】等級三如果該級別的帳號被破壞，攻擊者往往可以通過這種系統(tǒng)作為中轉(zhuǎn)，進(jìn)而對局部關(guān)鍵的系統(tǒng)主機(jī)進(jìn)行破壞。這種級別的帳號口令雖然不是直接的業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫的帳號，但是，如果該級別的帳號被破壞，攻擊者往往可以通過這種系統(tǒng)作為中轉(zhuǎn)，進(jìn)而對局部關(guān)鍵的系統(tǒng)主機(jī)進(jìn)行破壞，該等級被誤用的主要風(fēng)險(xiǎn)有：通過中轉(zhuǎn)可能給公司、客戶或者第三方帶來較大的不便通過中轉(zhuǎn)有可能給公司、客戶或者第三方帶來較大直接的經(jīng)濟(jì)損失或沒有直接經(jīng)濟(jì)損失通過中轉(zhuǎn)會給公司、客戶或者第三方帶來較大的不快通過中轉(zhuǎn)會給公司、客戶或者第三方帶來較大名譽(yù)或者地位的損失存在一定的風(fēng)險(xiǎn)，會破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易可能會導(dǎo)致民事或者刑事犯罪存在一定風(fēng)險(xiǎn)，可能大量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：維護(hù)終端的用戶帳號，由于一些業(yè)務(wù)系統(tǒng)會對終端做特定限制，維護(hù)終端被破壞后，導(dǎo)致攻擊者可以進(jìn)一步破壞業(yè)務(wù)系統(tǒng)，重要的可信網(wǎng)絡(luò)設(shè)備的帳號等。【鞏固級】等級四通常等級四意味著正式的業(yè)務(wù)流程使用的帳號，通常需要較高信心來保證身份的認(rèn)證和正確的授權(quán)。通常等級四意味著正式的業(yè)務(wù)流程使用的帳號，通常需要較高信心來保證身份的認(rèn)證和正確的授權(quán)，這種等級的認(rèn)證被誤用或者破壞可能導(dǎo)致：給公司、客戶或者第三方帶來較大的不便給公司、客戶或者第三方帶來較大直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會給公司、客戶或者第三方帶來較大的不快會給公司、客戶或者第三方帶來較大名譽(yù)或者地位的損失存在較大的風(fēng)險(xiǎn)，會破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易會導(dǎo)致民事或者刑事犯罪存在較大風(fēng)險(xiǎn)，可能大量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：一般的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、和路由器的高權(quán)限帳號，例如root、administrator、dba等。業(yè)務(wù)系統(tǒng)的關(guān)鍵管理帳號，可以讀寫重要的用戶信息、業(yè)務(wù)信息和帳單信息。【最高級】等級五等級五的保障通常對應(yīng)需要非常大的信心保障的系統(tǒng)。等級五的保障通常對應(yīng)需要非常大的信心保障的系統(tǒng)這種等級的認(rèn)證被誤用或者破壞可能導(dǎo)致：給所有公司、客戶或者第三方帶來巨大的不便給公司、客戶或者第三方帶來極大直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會給公司、客戶或者第三方帶來極大的不快會給公司、客戶或者第三方帶來巨大名譽(yù)或者地位的損失破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易會導(dǎo)致民事或者刑事犯罪大量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：關(guān)鍵系統(tǒng)，例如計(jì)費(fèi)系統(tǒng)數(shù)據(jù)庫主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫。用于存儲公司最高商業(yè)機(jī)密或密級為絕密的系統(tǒng)的認(rèn)證。2.3賬號管理2.3.1賬號角色分配目的〔一〕加強(qiáng)網(wǎng)絡(luò)與信息平安管理，明確各級系統(tǒng)用戶權(quán)的職責(zé)。〔二〕根據(jù)業(yè)務(wù)系統(tǒng)的要求及網(wǎng)絡(luò)信息管理標(biāo)準(zhǔn)，進(jìn)一步完善各級用戶在系統(tǒng)中的職能劃分與角色定位?！踩硰?qiáng)化系統(tǒng)帳戶和密碼的管理，降低帳戶和密碼泄漏對系統(tǒng)和數(shù)據(jù)平安產(chǎn)生的影響，確保各相關(guān)信息報(bào)告系統(tǒng)平安、有效運(yùn)行。系統(tǒng)管理員和超級用戶是有權(quán)限對系統(tǒng)的配置、系統(tǒng)最核心信息進(jìn)行更改的帳號和角色，普通帳號是用戶用于訪問業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)日常業(yè)務(wù)操作的用戶，是最為常見的用戶類型，第三方帳號通常指由于某種特殊情況，系統(tǒng)允許移動以外的人員和組織訪問的帳號。在核心系統(tǒng)中，應(yīng)該設(shè)置平安審計(jì)員帳號，該帳號可以對系統(tǒng)平安設(shè)置和日志信息進(jìn)行專門的審計(jì)。2.3.2建立的原那么〔1〕不同類型用戶的建立應(yīng)遵循滿足其工作需要的原那么，而用戶的權(quán)限分配那么應(yīng)以保障網(wǎng)絡(luò)與信息的高效、準(zhǔn)確、平安為原那么?！?〕用戶的權(quán)限分配應(yīng)盡量使用系統(tǒng)提供的角色劃分。如需特殊的操作權(quán)限，應(yīng)在準(zhǔn)確理解其各項(xiàng)操作內(nèi)容的根底上，盡量防止和減少權(quán)限相互抵觸、交叉及嵌套情況的發(fā)生，經(jīng)測試成功后，再創(chuàng)立相應(yīng)的角色賦予本級用戶或直報(bào)用戶。〔3〕通過對用戶進(jìn)行角色劃分，分配審計(jì)賬號、用戶權(quán)限，合理限制對其他角色用戶、數(shù)據(jù)的修改權(quán)限，將審查數(shù)據(jù)與配置數(shù)據(jù)相對剝離，即原始配置數(shù)據(jù)與統(tǒng)計(jì)查看查看信息分開?！?〕系統(tǒng)內(nèi)所有涉及查看數(shù)據(jù)的帳戶信息均必須采用真實(shí)信息，即有查詢機(jī)制確認(rèn)審計(jì)人員信息準(zhǔn)確。賬號建立的過程帳號管理貫穿帳號創(chuàng)立、授權(quán)、權(quán)限變更及帳號撤銷或者凍結(jié)全過程帳號設(shè)置應(yīng)與崗位職責(zé)相容；堅(jiān)持最小授權(quán)原那么，防止超出工作職責(zé)的過度授權(quán)；應(yīng)制定嚴(yán)格的審批和授權(quán)流程，標(biāo)準(zhǔn)帳號申請、修改、刪除等工作，授權(quán)審批記錄應(yīng)編號、留檔〔表格命名規(guī)那么及格式參見附件，各省公司可重新制定相關(guān)表格〕；帳號創(chuàng)立、調(diào)整和刪除申請審批通過后，應(yīng)及時(shí)更新系統(tǒng)中的帳號狀態(tài)，確保與審批結(jié)論保持一致；原那么上，除低權(quán)限的查詢帳號外，各系統(tǒng)不允許存在其它共享帳號，必須明確每個(gè)帳號責(zé)任人，不得以部門或用戶組作為最終責(zé)任人。在完成特定任務(wù)后，系統(tǒng)管理員應(yīng)立即收回臨時(shí)帳號。帳號創(chuàng)立、變更、刪除審批流程超級帳號由主管領(lǐng)導(dǎo)以授權(quán)的方式授予具體的系統(tǒng)管理員，授權(quán)書至少應(yīng)包括系統(tǒng)名稱、超級帳號名、授予人姓名、職責(zé)描述、有效期等；所有帳號，包括系統(tǒng)管理員帳號、普通帳號、程序帳號的責(zé)任人，應(yīng)按規(guī)定的申請表格式要求提出申請，申請表至少包含申請人姓名、聯(lián)系方式、申請人職責(zé)描述、申請時(shí)間、申請目的、申請帳號所屬系統(tǒng)名稱、帳號類型、創(chuàng)立或者變更或者刪除操作類型、帳號權(quán)限描述、主管領(lǐng)導(dǎo)審批意見、系統(tǒng)管理員變更操作記錄及簽字確認(rèn)、權(quán)責(zé)描述備注欄目等；主管領(lǐng)導(dǎo)進(jìn)行審批，重點(diǎn)檢查所申請權(quán)限與申請人職責(zé)的一致性；系統(tǒng)管理員負(fù)責(zé)創(chuàng)立、變更或者刪除帳號，保存審批表格、并備案。如因系統(tǒng)能力或者管理原因無法按用戶創(chuàng)立帳號時(shí)，應(yīng)采取如下管理措施：明確共享帳號責(zé)任人，責(zé)任人負(fù)責(zé)按照上述流程要求提出共享帳號審批表，并在審批表中注明該共享帳號的所有用戶名單；限制共享帳號的使用人數(shù)，建立相關(guān)管理制度保證系統(tǒng)的每項(xiàng)操作均可以對應(yīng)到執(zhí)行操作的具體人員；限定使用范圍和使用環(huán)境；建立完善的操作記錄制度，對交接班記錄、重要操作記錄表等等；定期更新共享帳號密碼。對于程序運(yùn)行或者程序自身由于管理需要訪問其它系統(tǒng)所使用的專用帳號，應(yīng)符合如下要求：只允許系統(tǒng)和設(shè)備之間通信使用，不得作為用戶登錄帳號使用；將此類帳號的維護(hù)管理權(quán)限統(tǒng)一授權(quán)給該系統(tǒng)的系統(tǒng)管理員，由后者歸口管理；2.4口令管理2.4.1口令管理原那么口令至少由6位及以上大小寫字母、數(shù)字及特殊符號等混合、隨機(jī)組成，盡量不要以姓名、號碼以及出生日期等作為口令或者口令的組成局部。應(yīng)以HASH或者加密技術(shù)保存口令，不得以明文方式保存或者傳輸；口令至少每90天更換一次。修改口令時(shí)，須保存口令修改記錄，包含帳號、修改時(shí)間、修改原因等，以備審計(jì)；5次以內(nèi)不得設(shè)置相同的口令；由于員工離職等原因，原帳號不能刪除或者需要重新賦予另一個(gè)人時(shí)，應(yīng)修改相應(yīng)帳號的口令。如系統(tǒng)能力支持，應(yīng)開啟并設(shè)置自動拒絕不符合上述口令管理規(guī)那么帳號和口令的參數(shù)；對于無法建立口令規(guī)那么強(qiáng)制檢查的系統(tǒng)，帳號用戶應(yīng)在每次口令修改后留有記錄。對于無法進(jìn)行定期修改口令的帳號，如內(nèi)置帳號、專用帳號等，由系統(tǒng)管理員負(fù)責(zé)在系統(tǒng)升級或重啟時(shí)催促落實(shí)口令修改工作，負(fù)責(zé)催促落實(shí)調(diào)用該帳號的程序與所訪問系統(tǒng)兩側(cè)的口令同步工作。當(dāng)發(fā)生下述情況時(shí)，應(yīng)立即撤銷帳號或更改帳號口令，并做好記錄：帳號使用者由于崗位職責(zé)變動、離職等原因，不再需要原有訪問權(quán)限時(shí)；臨時(shí)性或階段性使用的帳號，在工作結(jié)束后；帳號使用者違反了有關(guān)口令管理規(guī)定；有跡象，說明口令可能已經(jīng)泄露等。2.4.2口令設(shè)置原那么口令必須具有足夠的長度和復(fù)雜度，使口令難于被猜想口令在一定時(shí)間或次數(shù)內(nèi)不能循環(huán)使用不同帳號的口令應(yīng)當(dāng)不同，并且沒有直接聯(lián)系，以保證不可由一個(gè)帳號的口令推知其它帳號的口令同一帳號前后兩個(gè)口令之間的相同局部應(yīng)當(dāng)盡量減少，減低由前一個(gè)口令分析出后一個(gè)口令的時(shí)機(jī)口令不應(yīng)當(dāng)取過于簡單的字符串，如號碼、使用者的姓名、寵物、生日或其倒序，6位字符都相同、6位連續(xù)字符等易于猜想的信息開戶時(shí)設(shè)定的初始口令必須是隨機(jī)產(chǎn)生的口令，而不能是相同或者有規(guī)律的口令所有系統(tǒng)管理員級別的口令〔例如root、enable、NTadministrator、DBA等〕在沒有使用增強(qiáng)口令的情況下，必需按照較短周期進(jìn)行更改，例如每三個(gè)月更換一次。應(yīng)該注意關(guān)鍵性帳號信息的定期行備份。用戶所使用的任何具備系統(tǒng)超級用戶權(quán)限〔包括并不限于系統(tǒng)管理員帳號和有sodu權(quán)限帳號〕帳號口令必需和這個(gè)用戶其他帳號的口令均不相同。如果有雙要素認(rèn)證機(jī)制，那么以上的要求和下面關(guān)于強(qiáng)口令選擇的要求可以不考慮?？诹畈荒茉陔娮余]件或者其他電子方式下以明文方式傳輸。當(dāng)使用SNMP時(shí)，communicationstring不允許使用缺省的Public、Private和system等，并且該communicationstring不應(yīng)該和系統(tǒng)的其他口令相同，應(yīng)該盡量使用SNMPv2以上的版本。2.4.3口令設(shè)置最低標(biāo)準(zhǔn)如果技術(shù)上支持，口令至少要有6位長口令必須是字母和非字母的組合口令第1位和最后1位至少應(yīng)包含1個(gè)非數(shù)字字符與前次口令比擬，在任何位置不能有超過3個(gè)字符連續(xù)相同口令不能包含超過2個(gè)連續(xù)相同的字符用戶名不能作為口令一局部與前4次相同的口令不能重復(fù)使用口令不能被共享除非每個(gè)口令的行為都能被區(qū)分對于級別要求很高的系統(tǒng)，普通用戶口令要求8位以上管理員/超級用戶帳號最近20個(gè)口令不可重復(fù)，口令的長度不可小于7位，口令中必須包含大寫字母、小寫字母和數(shù)字中的兩類，口令中同一個(gè)符號不得多于2次，且不得有1個(gè)以上的字符出現(xiàn)兩次，前后2個(gè)口令中相同位置的字符相同的不得多于2個(gè)；口令不得有明顯的意義修改帳號的使用人應(yīng)當(dāng)定期修改帳號口令，修改口令的間隔應(yīng)小于本標(biāo)準(zhǔn)的相關(guān)規(guī)定，對于本標(biāo)準(zhǔn)沒有規(guī)定的用戶，其間隔應(yīng)當(dāng)小于6個(gè)月不同用戶的修改口令的最大間隔為：1)普通帳號應(yīng)當(dāng)小于6個(gè)月2)管理員帳號和超級管理員帳號應(yīng)當(dāng)小于3個(gè)月匿名用戶帳號可以不修改口令2.5權(quán)限管理2.5.1概述按照“誰主管，誰負(fù)責(zé)”、“誰使用、誰負(fù)責(zé)”、所有帳號均應(yīng)落實(shí)責(zé)任人的原那么制定本方法。帳號和口令管理包括基于帳號的操作或訪問控制權(quán)限的管理。帳號是作為訪問的主體。而基于帳號進(jìn)行操作的目標(biāo)就是訪問的客體。通常這個(gè)客體被當(dāng)成為資源。對資源的訪問控制權(quán)限的設(shè)定依不同的系統(tǒng)而不同。從移動帳號管理的角度，可以進(jìn)行基于角色的訪問控制權(quán)限的設(shè)定。即對資源的訪問控制權(quán)限是以角色或組為單位進(jìn)行授予。2.5.2確定最小權(quán)限1、所謂最小特權(quán)〔LeastPrivilege〕，指的是“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體〔用戶或進(jìn)程〕必不可少的特權(quán)”。最小特權(quán)原那么，那么是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確?？赡艿氖鹿?、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。2、最小特權(quán)原那么一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。

最小特權(quán)原那么要求每個(gè)用戶和程序在操作時(shí)應(yīng)當(dāng)使用盡可能少的特權(quán)，而角色允許主體以參與某特定工作所需要的最小特權(quán)去簽入〔Sign〕系統(tǒng)。被授權(quán)擁有強(qiáng)力角色〔PowerfulRoles〕的主體，不需要動輒運(yùn)用到其所有的特權(quán)，只有在那些特權(quán)有實(shí)際需求時(shí)，主體才去運(yùn)用它們。如此一來，將可減少由于不注意的錯(cuò)誤或是侵入者假裝合法主體所造成的損壞發(fā)生，限制了事故、錯(cuò)誤或攻擊帶來的危害。它還減少了特權(quán)程序之間潛在的相互作用，從而使對特權(quán)無意的、沒必要的或不適當(dāng)?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權(quán)的最小局部才擁有特權(quán)。3、基于角色的訪問控制是一種新型訪問控制模型，它的根本思想是將權(quán)限與角色聯(lián)系起來，在系統(tǒng)中根據(jù)應(yīng)用的需要為不同的工作崗位創(chuàng)立相應(yīng)的角色，同時(shí)根據(jù)用戶職務(wù)和責(zé)任指派適宜的角色，用戶通過所指派的角色獲得相應(yīng)的權(quán)限，實(shí)現(xiàn)對文件的訪問。它支持最小特權(quán)、責(zé)任別離以及數(shù)據(jù)抽象三個(gè)根本的平安原那么。4、最小權(quán)限原那么規(guī)定：每個(gè)用戶/任務(wù)/應(yīng)用在必需知情的前提下被賦予明確的訪問對象和模塊的權(quán)限。遵循最小權(quán)限原那么運(yùn)行的系統(tǒng)要求授予用戶訪問對象的明確權(quán)限。準(zhǔn)許或拒絕訪問數(shù)據(jù)庫或效勞器對象的第一步是認(rèn)證和授權(quán)對帳號的授權(quán)，應(yīng)以其能進(jìn)行系統(tǒng)管理、操作的最小權(quán)限進(jìn)行授權(quán)。比方這個(gè)帳號作為系統(tǒng)帳號只能進(jìn)行數(shù)據(jù)備份的操作，那就只授權(quán)其可以進(jìn)行數(shù)據(jù)備份操作的命令。別的諸如進(jìn)行系統(tǒng)網(wǎng)絡(luò)狀態(tài)監(jiān)控的命令那么不授權(quán)其可以進(jìn)行。對于授權(quán)，應(yīng)該支持一定的授權(quán)粒度控制，從而控制用戶的訪問對象和訪問行為，保證用戶的最小授權(quán)。2.5.3建立權(quán)限體系基于角色訪問控制〔RBAC〕模型是目前國際上流行的先進(jìn)的平安訪問控制方法。它通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供角色分配規(guī)那么。平安管理人員根據(jù)需要定義各種角色，并設(shè)置適宜的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問控制過程就分成兩個(gè)局部，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯別離。由于實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯別離，基于角色的策略極大的方便了權(quán)限管理。例如，如果一個(gè)用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，參加代表新職務(wù)或新任務(wù)的角色即可。研究說明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多，并且給用戶分配角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行，而給角色配置權(quán)限的工作比擬復(fù)雜，需要一定的技術(shù)，可以由專門的技術(shù)人員來承當(dāng)，但是不給他們給用戶分配角色的權(quán)限，這與現(xiàn)實(shí)中的情況正好一致?；诮巧L問控制可以很好的描述角色層次關(guān)系，實(shí)現(xiàn)最小特權(quán)原那么和職責(zé)別離原那么2.6賬號口令審計(jì)管理概述號口令管理的執(zhí)行情況，在很大程度上取決于帳號口令審查的監(jiān)督力度。在公司內(nèi)部推行帳號口令管理制度的很大一局部工作需要通過不斷的監(jiān)督、審查再配合相關(guān)的獎懲規(guī)定來保證。因此完善的帳號口令審查制度對于整個(gè)帳號口令管理至關(guān)重要。賬號審查通用要求對于保障等級一、二類帳號的普通用戶，可以根據(jù)實(shí)際情況決定是否進(jìn)行定期審查對于保障等級一、二類帳號的超級用戶，定期審查的時(shí)間間隔不超過六個(gè)月對于保障等級三、四類帳號的普通用戶，定期審查的時(shí)間間隔不超過三個(gè)月對于保障等級四、四類帳號的超級用戶，定期審查的時(shí)間間隔不超過一個(gè)月對于保障等級五類帳號的所有用戶，定期查的時(shí)間間隔不超過一個(gè)月任何變化發(fā)生后應(yīng)進(jìn)行審查，如：發(fā)生非法入侵、人員變動等；對于審查過程中出現(xiàn)的多余、閑置或非法的帳戶，應(yīng)及時(shí)予以凍結(jié)或刪除對核查中發(fā)現(xiàn)的問題，應(yīng)催促相關(guān)人員采取必要措施予以糾正通用原那么對于已經(jīng)實(shí)施集中認(rèn)證系統(tǒng)，審計(jì)的主要工作是對于認(rèn)證和授權(quán)的日志進(jìn)行檢查，審核是否有非法登陸事件，是否有越權(quán)使用的行為等對于操作系統(tǒng)級的帳號口令審計(jì)分為兩種：第一種可以設(shè)置帳號登陸和權(quán)限使用事件的追蹤，這種帳號口令的審計(jì)也是對系統(tǒng)日志和防火墻等訪問控制設(shè)備日志的審計(jì)；對于不能實(shí)現(xiàn)帳號登錄和權(quán)限追蹤的系統(tǒng)，需要人工進(jìn)行審計(jì)，應(yīng)該根據(jù)業(yè)務(wù)系統(tǒng)的屬性制定詳細(xì)的審計(jì)checklist，由專門的平安組織進(jìn)行定期或者不定期的帳號隨機(jī)抽查審計(jì)對于應(yīng)用系統(tǒng)的帳號審計(jì)工作也是參照操作系統(tǒng)的分類進(jìn)行處理對于網(wǎng)絡(luò)設(shè)備的帳號審計(jì)工作，由于大局部的設(shè)備帳號都是沒有日志記錄的，所以主要審計(jì)方式是人工審計(jì)，由專門的信息平安組織根據(jù)設(shè)備的風(fēng)險(xiǎn)等級規(guī)定審計(jì)的頻度和審計(jì)的checklist審計(jì)checklist的內(nèi)容主要依據(jù)審計(jì)對象的帳號口令管理規(guī)定制作，審計(jì)的關(guān)鍵點(diǎn)是帳號口令的復(fù)雜度，權(quán)限，更改的要求等等在制作審計(jì)checklist設(shè)計(jì)的時(shí)候，需要區(qū)別不同業(yè)務(wù)系統(tǒng)不同級別帳號的差異，對于關(guān)鍵業(yè)務(wù)系統(tǒng)和關(guān)鍵帳號的審計(jì)頻度和審計(jì)的內(nèi)容要求更加嚴(yán)格審計(jì)的結(jié)果應(yīng)該和獎懲規(guī)定掛鉤，對于屢次審計(jì)不合格或者優(yōu)秀的員工和分公司要按照獎懲規(guī)定進(jìn)行相應(yīng)的獎懲專門的信息平安部門或者組織應(yīng)該對審計(jì)的結(jié)果定期進(jìn)行公布，力爭將審計(jì)的威懾力逐步提高，讓帳號使用者提高平安使用帳號口令的意識賬號口令審計(jì)流程設(shè)計(jì)建議帳號口令的審計(jì)流程以業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)等級做為差異定制，針對不同的風(fēng)險(xiǎn)等級制定不同的審計(jì)checklist帳號口令的審計(jì)可以結(jié)合現(xiàn)有的IT技術(shù)，盡可能通過日志文件等方式進(jìn)行審計(jì)，但是有局部系統(tǒng)沒法提供電子審計(jì)對象，對于高風(fēng)險(xiǎn)等級的系統(tǒng)，必須制定替代的審計(jì)方法，包括手工的方法帳號口令審計(jì)工作應(yīng)該以省為單位由省公司平安部門牽頭，各業(yè)務(wù)系統(tǒng)維護(hù)單位負(fù)責(zé)的方式，涉及難以實(shí)現(xiàn)電子化審計(jì)的，省平安審計(jì)負(fù)責(zé)人應(yīng)該制定一些不定期抽查制度，對于抽查中出現(xiàn)的與審計(jì)不符合的情況，應(yīng)結(jié)合獎懲規(guī)從嚴(yán)處理帳號口令管理流程中需要考慮相應(yīng)的組織建立，可以明確責(zé)任的，確定責(zé)任人，不能落實(shí)到人的，落實(shí)到部門的平安相應(yīng)領(lǐng)導(dǎo)帳號口令審計(jì)后應(yīng)該將審計(jì)結(jié)果及時(shí)公布，對于違規(guī)和表現(xiàn)良好的可以進(jìn)行典型案例的宣傳，起到增強(qiáng)員工帳號口令平安意識的作用第三章效勞與端口3.1什么是端口什么是端口號，一個(gè)端口就是一個(gè)潛在的通訊通道，也是一個(gè)入侵通道，開放一個(gè)端口就是一臺計(jì)算機(jī)在網(wǎng)絡(luò)上翻開了一扇窗戶，黑客入侵的方法就是用手工掃描或利用掃描軟件找到效勞器所開放的端口，去根據(jù)其相應(yīng)的漏洞對效勞器進(jìn)行入侵或攻擊，因此對端口的了解是非常重要的。按對應(yīng)的協(xié)議類型，端口有兩種：TCP端口和UDP端口。由于TCP和UDP兩個(gè)協(xié)議是獨(dú)立的，因此各自的端口號也相互獨(dú)立，比方TCP有235端口，UDP也可以有235端口，兩者并不沖突。端口號只有整數(shù)，范圍是從0到655353.2什么是效勞一臺擁有IP地址的主機(jī)可以提供許多效勞，比方Web效勞、ftp效勞、SMTP效勞等，這些效勞完全可以通過1個(gè)IP地址來實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)效勞呢？顯然不能只靠IP地址，因?yàn)镮P地址與網(wǎng)絡(luò)效勞的關(guān)系是一對多的關(guān)系。實(shí)際上是通過“IP地址+端口號”來區(qū)分不同的效勞的。需要注意的是，端口并不是一一對應(yīng)的。比方你的電腦作為客戶機(jī)訪問一臺WWW效勞器時(shí)，WWW效勞器使用“80”端口與你的電腦通信，但你的電腦那么可能使用“3457”這樣的端口端口都有確切的定義，對應(yīng)著相應(yīng)的效勞，每一個(gè)翻開的端口，都代表一個(gè)系統(tǒng)效勞。例如，80端口就代表Web效勞。21對應(yīng)著FTP，25對應(yīng)著SMTP、110對應(yīng)著POP3等。動態(tài)端口(從1024到65535)當(dāng)你需要與別人通信時(shí)，Windows會從1024起，在本機(jī)上分配一個(gè)動態(tài)端口，如果1024端口未關(guān)閉，再需要端口時(shí)就會分配1025端口供你使用，依此類推。但是有個(gè)別的系統(tǒng)效勞會綁定在1024到49151的端口上，例如3389端口(遠(yuǎn)程終端效勞)。從49152到65535這一段端口，通常沒有捆綁系統(tǒng)效勞，允許Windows動態(tài)分配給你使用。3.3常用端口列表[tr]端口號碼/層名稱注釋[/tr]1tcpmuxTCP端口效勞多路復(fù)用5rje遠(yuǎn)程作業(yè)入口7echoEcho效勞9discard用于連接測試的空效勞11systat用于列舉連接了的端口的系統(tǒng)狀態(tài)13daytime給請求主機(jī)發(fā)送日期和時(shí)間17qotd給連接了的主機(jī)發(fā)送每日格言18msp消息發(fā)送協(xié)議19chargen字符生成效勞；發(fā)送無止境的字符流20ftp-dataFTP數(shù)據(jù)端口21ftp文件傳輸協(xié)議〔FTP〕端口；有時(shí)被文件效勞協(xié)議〔FSP〕使用22ssh平安Shell〔SSH〕效勞23telnetTelnet效勞25smtp簡單郵件傳輸協(xié)議〔SMTP〕37time時(shí)間協(xié)議39rlp資源定位協(xié)議42nameserver互聯(lián)網(wǎng)名稱效勞43nicnameWHOIS目錄效勞49tacacs用于基于TCP/IP驗(yàn)證和訪問的終端訪問控制器訪問控制系統(tǒng)50re-mail-ck遠(yuǎn)程郵件檢查協(xié)議53domain域名效勞〔如BIND〕63whois++WHOIS++，被擴(kuò)展了的WHOIS效勞67bootps引導(dǎo)協(xié)議〔BOOTP〕效勞；還被動態(tài)主機(jī)配置協(xié)議〔DHCP〕效勞使用68bootpcBootstrap〔BOOTP〕客戶；還被動態(tài)主機(jī)配置協(xié)議〔DHCP〕客戶使用69tftp小文件傳輸協(xié)議〔TFTP〕70gopherGopher互聯(lián)網(wǎng)文檔搜尋和檢索71netrjs-1遠(yuǎn)程作業(yè)效勞72netrjs-2遠(yuǎn)程作業(yè)效勞73netrjs-3遠(yuǎn)程作業(yè)效勞73netrjs-4遠(yuǎn)程作業(yè)效勞79finger用于用戶聯(lián)系信息的Finger效勞80用于萬維網(wǎng)〔WWW〕效勞的超文本傳輸協(xié)議〔〕88kerberosKerberos網(wǎng)絡(luò)驗(yàn)證系統(tǒng)95supdupTelnet協(xié)議擴(kuò)展101hostnameSRI-NIC機(jī)器上的主機(jī)名效勞102/tcpiso-tsapISO開發(fā)環(huán)境〔ISODE〕網(wǎng)絡(luò)應(yīng)用105csnet-ns郵箱名稱效勞器；也被CSO名稱效勞器使用107rtelnet遠(yuǎn)程Telnet109pop2郵局協(xié)議版本2110pop3郵局協(xié)議版本3111sunrpc用于遠(yuǎn)程命令執(zhí)行的遠(yuǎn)程過程調(diào)用〔RPC〕協(xié)議，被網(wǎng)絡(luò)文件系統(tǒng)〔NFS〕使用113auth驗(yàn)證和身份識別協(xié)議115sftp平安文件傳輸協(xié)議〔SFTP〕效勞117uucp-pathUnix到Unix復(fù)制協(xié)議〔UUCP〕路徑效勞119nntp用于USENET討論系統(tǒng)的網(wǎng)絡(luò)新聞傳輸協(xié)議〔NNTP〕123ntp網(wǎng)絡(luò)時(shí)間協(xié)議〔NTP〕137netbios-ns在紅帽企業(yè)Linux中被Samba使用的NETBIOS名稱效勞138netbios-dgm在紅帽企業(yè)Linux中被Samba使用的NETBIOS數(shù)據(jù)報(bào)效勞139netbios-ssn在紅帽企業(yè)Linux中被Samba使用的NETBIOS會話效勞143imap互聯(lián)網(wǎng)消息存取協(xié)議〔IMAP〕161snmp簡單網(wǎng)絡(luò)管理協(xié)議〔SNMP〕162snmptrapSNMP的陷阱163cmip-man通用管理信息協(xié)議〔CMIP〕164cmip-agent通用管理信息協(xié)議〔CMIP〕174mailqMAILQ電子郵件傳輸隊(duì)列177xdmcpX顯示管理器控制協(xié)議〔XDMCP〕178nextstepNeXTStep窗口效勞器179bgp邊界網(wǎng)絡(luò)協(xié)議191prosperoProspero分布式文件系統(tǒng)效勞194irc互聯(lián)網(wǎng)中繼聊天〔IRC〕199smuxSNMPUNIX多路復(fù)用201at-rtmpAppleTalk選路202at-nbpAppleTalk名稱綁定204at-echoAppleTalkecho效勞206at-zisAppleTalk區(qū)塊信息209qmtp快速郵件傳輸協(xié)議〔QMTP〕210z39.50NISOZ39.50數(shù)據(jù)庫213ipx互聯(lián)網(wǎng)絡(luò)分組交換協(xié)議〔IPX〕，被NovellNetware環(huán)境常用的數(shù)據(jù)報(bào)協(xié)議220imap3互聯(lián)網(wǎng)消息存取協(xié)議版本3245linkLINK/3-DNSiQuery效勞347fatservFATMEN文件和磁帶官吏效勞器363rsvp_tunnelRSVP隧道369rpc2portmapCoda文件系統(tǒng)端口映射器370codaauth2Coda文件系統(tǒng)驗(yàn)證效勞372ulistprocUNIXLISTSERV389ldap輕型目錄存取協(xié)議〔LDAP〕427svrloc效勞位置協(xié)議〔SLP〕434mobileip-agent可移互聯(lián)網(wǎng)協(xié)議〔IP〕代理435mobilip-mn可移互聯(lián)網(wǎng)協(xié)議〔IP〕管理器443s平安超文本傳輸協(xié)議〔〕444snpp小型網(wǎng)絡(luò)分頁協(xié)議445microsoft-ds通過TCP/IP的效勞器消息塊〔SMB〕464kpasswdKerberos口令和鑰匙改換效勞468photurisPhoturis會話鑰匙管理協(xié)議487saft簡單不對稱文件傳輸〔SAFT〕協(xié)議488gss-用于的通用平安效勞〔GSS〕496pim-rp-disc用于協(xié)議獨(dú)立的多址傳播〔PIM〕效勞的會合點(diǎn)發(fā)現(xiàn)〔RP-DISC〕500isakmp互聯(lián)網(wǎng)平安關(guān)聯(lián)和鑰匙管理協(xié)議〔ISAKMP〕535iiop互聯(lián)網(wǎng)內(nèi)部對象請求代理協(xié)議〔IIOP〕538gdomapGNUstep分布式對象映射器〔GDOMAP〕546dhcpv6-client動態(tài)主機(jī)配置協(xié)議〔DHCP〕版本6客戶547dhcpv6-server動態(tài)主機(jī)配置協(xié)議〔DHCP〕版本6效勞554rtsp實(shí)時(shí)流播協(xié)議〔RTSP〕563nntps通過平安套接字層的網(wǎng)絡(luò)新聞傳輸協(xié)議〔NNTPS〕565whoamiwhoami用戶ID列表587submission郵件消息提交代理〔MSA〕610npmp-local網(wǎng)絡(luò)外設(shè)管理協(xié)議〔NPMP〕本地/分布式排隊(duì)系統(tǒng)〔DQS〕611npmp-gui網(wǎng)絡(luò)外設(shè)管理協(xié)議〔NPMP〕GUI/分布式排隊(duì)系統(tǒng)〔DQS〕612hmmp-indHyperMedia管理協(xié)議〔HMMP〕表示/DQS631ipp互聯(lián)網(wǎng)打印協(xié)議〔IPP〕636ldaps通過平安套接字層的輕型目錄訪問協(xié)議〔LDAPS〕674acap應(yīng)用程序配置存取協(xié)議〔ACAP〕694ha-cluster用于帶有高可用性的群集的心跳效勞749kerberos-admKerberos版本5〔v5〕的“kadmin”數(shù)據(jù)庫管理750kerberos-ivKerberos版本4〔v4〕效勞765webster網(wǎng)絡(luò)詞典767phonebook網(wǎng)絡(luò)簿873rsyncrsync文件傳輸效勞992telnets通過平安套接字層的Telnet〔TelnetS〕993imaps通過平安套接字層的互聯(lián)網(wǎng)消息存取協(xié)議〔IMAPS〕994ircs通過平安套接字層的互聯(lián)網(wǎng)中繼聊天〔IRCS〕995pop3s通過平安套接字層的郵局協(xié)議版本3〔POPS3〕端口號碼/層名稱注釋[/tr]512/tcpexec用于對遠(yuǎn)程執(zhí)行的進(jìn)程進(jìn)行驗(yàn)證512/udpbiff[comsat]異步郵件客戶〔biff〕和效勞〔comsat〕513/tcplogin遠(yuǎn)程登錄〔rlogin〕513/udpwho[whod]whod用戶記錄守護(hù)進(jìn)程514/tcpshell[cmd]無記錄的遠(yuǎn)程shell〔rshell〕和遠(yuǎn)程復(fù)制〔rcp〕514/udpsyslogUNIX系統(tǒng)日志效勞515printer[spooler]打印機(jī)〔lpr〕假脫機(jī)517/udptalkTalk遠(yuǎn)程對話效勞和客戶518/udpntalk網(wǎng)絡(luò)交談〔ntalk〕，遠(yuǎn)程對話效勞和客戶519utime[unixtime]UNIX時(shí)間協(xié)議〔utime〕520/tcpefs擴(kuò)展文件名效勞器〔EFS〕520/udprouter[route,routed]選路信息協(xié)議〔RIP〕521ripng用于互聯(lián)網(wǎng)協(xié)議版本6〔IPv6〕的選路信息協(xié)議525timed[timeserver]時(shí)間守護(hù)進(jìn)程〔timed〕526/tcptempo[newdate]Tempo530/tcpcourier[rpc]Courier遠(yuǎn)程過程調(diào)用〔RPC〕協(xié)議531/tcpconference[chat]互聯(lián)網(wǎng)中繼聊天532netnewsNetnews新聞組效勞533/udpnetwall用于緊急播送的Netwall540/tcpuucp[uucpd]UNIX-to-UNIX復(fù)制效勞543/tcpkloginKerberos版本5〔v5〕遠(yuǎn)程登錄544/tcpkshellKerberos版本5〔v5〕遠(yuǎn)程shell548afpovertcp通過傳輸控制協(xié)議〔TCP〕的Appletalk文件編制協(xié)議〔AFP〕556remotefs[rfs_server,rfs]Brunhoff的遠(yuǎn)程文件系統(tǒng)〔RFS〕端口號碼/層名稱注釋[/tr]1080socksSOCKS網(wǎng)絡(luò)應(yīng)用程序代理效勞1236bvcontrol[rmtcfg]GracilisPacketen網(wǎng)絡(luò)轉(zhuǎn)換遠(yuǎn)程配置效勞器[a]1300h323hostcallscH.323電訊主持平安1433ms-sql-sMicrosoftSQL效勞器1434ms-sql-mMicrosoftSQL監(jiān)視器1494icaCitrixICA客戶1512winsMicrosoftWindows互聯(lián)網(wǎng)名稱效勞器1524ingreslockIngres數(shù)據(jù)庫管理系統(tǒng)〔DBMS〕鎖定效勞1525prospero-np無特權(quán)的Prospero1645datametrics[old-radius]Datametrics/從前的radius工程1646sa-msg-port[oldradacct]sa-msg-port/從前的radacct工程1649kermitKermit文件傳輸和管理效勞1701l2tp[l2f]第2層隧道效勞〔LT2P〕/第2層轉(zhuǎn)發(fā)〔L2F〕1718h323gatediscH.323電訊守門裝置發(fā)現(xiàn)機(jī)制1719h323gatestatH.323電訊守門裝置狀態(tài)1720h323hostcallH.323電訊主持設(shè)置1758tftp-mcast小文件FTP組播1759/udpmtftp組播小文件FTP〔MTFTP〕1789helloHello路由器通信端口1812radiusRadius撥號驗(yàn)證和記帳效勞1813radius-acctRadius記帳1911mtpStarlight網(wǎng)絡(luò)多媒體傳輸協(xié)議〔MTP〕1985hsrpCisco熱備用路由器協(xié)議1986licensedaemonCisco許可管理守護(hù)進(jìn)程1997gdp-portCisco網(wǎng)關(guān)發(fā)現(xiàn)協(xié)議〔GDP〕2049nfs[nfsd]網(wǎng)絡(luò)文件系統(tǒng)〔NFS〕2102zephyr-srvZephyr分布式即時(shí)消息效勞器2103zephyr-cltZephyr客戶2104zephyr-hmZephyr主機(jī)管理器2401cvspserver并行版本系統(tǒng)〔CVS〕客戶/效勞器操作2430/tcpvenus用于Coda文件系統(tǒng)〔codacon端口〕的Venus緩存管理器2430/udpvenus用于Coda文件系統(tǒng)〔callback/wbcinterface界面〕的Venus緩存管理器2431/tcpvenus-seVenus傳輸控制協(xié)議〔TCP〕的副作用2431/udpvenus-seVenus用戶數(shù)據(jù)報(bào)協(xié)議〔UDP〕的副作用2432/udpcodasrvCoda文件系統(tǒng)效勞器端口2433/tcpcodasrv-seCoda文件系統(tǒng)TCP副作用2433/udpcodasrv-seCoda文件系統(tǒng)UDPSFTP副作用2600hpstgmgr[zebrasrv]Zebra選路2601discp-client[zebra]discp客戶；Zebra集成的shell2602discp-server[ripd]discp效勞器；選路信息協(xié)議守護(hù)進(jìn)程〔ripd〕2603servicemeter[ripngd]效勞計(jì)量；用于IPv6的RIP守護(hù)進(jìn)程2604nsc-ccs[ospfd]NSCCCS；開放式短路徑優(yōu)先守護(hù)進(jìn)程〔ospfd〕2605nsc-posaNSCPOSA；邊界網(wǎng)絡(luò)協(xié)議守護(hù)進(jìn)程〔bgpd〕2606netmon[ospf6d]DellNetmon；用于IPv6的OSPF守護(hù)進(jìn)程〔ospf6d〕2809corbaloc公共對象請求代理體系〔CORBA〕命名效勞定位器3130icpv2互聯(lián)網(wǎng)緩存協(xié)議版本2〔v2〕；被Squid代理緩存效勞器使用3306mysqlMySQL數(shù)據(jù)庫效勞3346trnsprntproxy透明代理4011pxe執(zhí)行前環(huán)境〔PXE〕效勞4321rwhois遠(yuǎn)程Whois〔rwhois〕效勞4444krb524Kerberos版本5〔v5〕到版本4〔v4〕門票轉(zhuǎn)換器5002rfe無射頻以太網(wǎng)〔RFE〕音頻播送系統(tǒng)5308cfengine配置引擎〔Cfengine〕5999cvsup[CVSup]CVSup文件傳輸和更新工具6000/tcpx11[X]X窗口系統(tǒng)效勞7000afs3-fileserverAndrew文件系統(tǒng)〔AFS〕文件效勞器7001afs3-callback用于給緩存管理器回電的AFS端口7002afs3-prserverAFS用戶和組群數(shù)據(jù)庫7003afs3-vlserverAFS文件卷位置數(shù)據(jù)庫7004afs3-kaserverAFSKerberos驗(yàn)證效勞7005afs3-volserAFS文件卷管理效勞器7006afs3-errorsAFS錯(cuò)誤解釋效勞7007afs3-bosAFS根本監(jiān)查進(jìn)程7008afs3-updateAFS效勞器到效勞器更新器7009afs3-rmtsysAFS遠(yuǎn)程緩存管理器效勞9876sdIP多址傳播會議的會話指揮10080amanda高級Maryland自動網(wǎng)絡(luò)磁盤歸檔器〔Amanda〕備份效勞11371pgpkeyserver良好隱私〔PGP〕/GNU隱私衛(wèi)士〔GPG〕公鑰效勞器11720h323callsigaltH.323調(diào)用信號交替13720bprdVeritasNetBackup請求守護(hù)進(jìn)程〔bprd〕13721bpdbmVeritasNetBackup數(shù)據(jù)庫管理器〔bpdbm〕13722bpjava-msvcVeritasNetBackupJava/MicrosoftVisualC++(MSVC)協(xié)議13724vnetdVeritas網(wǎng)絡(luò)工具13782bpcdVertiasNetBackup13783vopiedVeritasVOPIE驗(yàn)證守護(hù)進(jìn)程22273wnn6[wnn4]假名/漢字轉(zhuǎn)換系統(tǒng)[c]26000quakeQuake〔以及相關(guān)的〕多人游戲效勞器26208wnn6-dsWnn6假名/漢字效勞器33434tracerouteTraceroute網(wǎng)絡(luò)跟蹤工具注:

a./etc/services中的注釋如下：端口1236被注冊為“bvcontrol”，但是它也被GracilisPacketen遠(yuǎn)程配置效勞器使用。正式名稱被列為主要名稱，未注冊的名稱被列為別名。

b.在/etc/services中的注釋：端口2600到2606被zebra軟件包未經(jīng)注冊而使用。主要名稱是被注冊的名稱，被zebra使用的未注冊名稱被列為別名。

c./etc/services文件中的注釋：該端口被注冊為wnn6，但是還在FreeWnn軟件包中使用了未注冊的“wnn4”。端口號碼/層名稱注釋[/tr]1/ddprtmp路由表管理協(xié)議2/ddpnbp名稱綁定協(xié)議4/ddpechoAppleTalkEcho協(xié)議6/ddpzip區(qū)塊信息協(xié)議[tr]端口號碼/層名稱注釋[/tr]751kerberos_masterKerberos驗(yàn)證752passwd_serverKerberos口令〔kpasswd〕效勞器754krb5_propKerberosv5附屬傳播760krbupdate[kreg]Kerberos注冊1109kpopKerberos郵局協(xié)議〔KPOP〕2053knetdKerberos多路分用器2105ekloginKerberosv5加密的遠(yuǎn)程登錄〔rlogin〕15/tcpnetstat網(wǎng)絡(luò)狀態(tài)〔netstat〕98/tcplinuxconfLinuxconfLinux管理工具106poppassd郵局協(xié)議口令改變守護(hù)進(jìn)程〔POPPASSD〕465/tcpsmtps通過平安套接字層的簡單郵件傳輸協(xié)議〔SMTPS〕616/tcpgii使用網(wǎng)關(guān)的〔選路守護(hù)進(jìn)程〕互動界面808omirr[omirrd]聯(lián)機(jī)鏡像〔Omirr〕文件鏡像效勞871/tcpsupfileserv軟件升級協(xié)議〔SUP〕效勞器901/tcpswatSamba萬維網(wǎng)管理工具〔SWAT〕953rndcBerkeley互聯(lián)網(wǎng)名稱域版本9〔BIND9〕遠(yuǎn)程配置工具1127/tcpsupfiledbg軟件升級協(xié)議〔SUP〕調(diào)試1178/tcpskkserv簡單假名到漢字〔SKK〕日文輸入效勞器1313/tcpxtel法國Minitel文本信息系統(tǒng)1529/tcpsupport[prmsd,gnatsd]GNATS錯(cuò)誤跟蹤系統(tǒng)2003/tcpcfingerGNUfinger2150ninstall網(wǎng)絡(luò)安裝效勞2988afbackupafbackup客戶-效勞器備份系統(tǒng)3128/tcpsquidSquid萬維網(wǎng)代理緩存3455prsvpRSVP端口5432postgresPostgreSQL數(shù)據(jù)庫4557/tcpfaxFAX傳輸效勞〔舊效勞〕4559/tcphylafaxHylaFAX客戶-效勞器協(xié)議〔新效勞〕5232sgi-dglSGI分布式圖形庫5354noclogNOCOL網(wǎng)絡(luò)操作中心記錄守護(hù)進(jìn)程〔noclogd〕5355hostmonNOCOL網(wǎng)絡(luò)操作中心主機(jī)監(jiān)視5680/tcpcannaCanna日文字符輸入界面6010/tcpx11-ssh-offset平安Shell〔SSH〕X11轉(zhuǎn)發(fā)偏移6667ircd互聯(lián)網(wǎng)中繼聊天守護(hù)進(jìn)程〔ircd〕7100/tcpxfsX字體效勞器〔XFS〕7666/tcptircproxyTircproxyIRC代理效勞8008-alt超文本傳輸協(xié)議〔〕的另一選擇8080webcache萬維網(wǎng)〔WWW〕緩存效勞8081tproxy透明代理9100/tcpjetdirect[laserjet,hplj]Hewlett-Packard(HP)JetDirect網(wǎng)絡(luò)打印效勞9359mandelspawn[mandelbrot]用于X窗口系統(tǒng)的并行mandelbrot生成程序10081kamanda使用Kerberos的Amanda備份效勞10082/tcpamandaidxAmanda索引效勞器10083/tcpamidxtapeAmanda磁帶效勞器20011isdnlog綜合業(yè)務(wù)數(shù)字網(wǎng)〔ISDN〕記錄系統(tǒng)20012vboxdISDN音箱守護(hù)進(jìn)程〔vboxd〕22305/tcpwnn4_KrkWnn韓文輸入系統(tǒng)22289/tcpwnn4_CncWnn中文輸入系統(tǒng)22321/tcpwnn4_TwtWnn中文輸入系統(tǒng)〔臺灣〕24554binkpBinkleyTCP/IPFidonet郵寄程序守護(hù)進(jìn)程27374asp地址搜索協(xié)議60177tfidoIfmailFidoNet兼容郵寄效勞60179fido默認(rèn)doNet電子郵件和新聞網(wǎng)絡(luò)第四章平安補(bǔ)丁4.1概述信息系統(tǒng)的根底構(gòu)成是PC、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等，隨著病毒和漏洞的結(jié)合，CodeRed、Nimda、SQLSlammer、Blaster蠕蟲、僵尸、漏洞等對網(wǎng)絡(luò)甚至經(jīng)濟(jì)都造成了嚴(yán)重的影響。這些漏洞造成的危害，是利用了操作系統(tǒng)或者應(yīng)用程序、設(shè)備的漏洞，而消除漏洞的常規(guī)方法就是安裝補(bǔ)丁。4.2補(bǔ)丁安裝與操作檢測內(nèi)容建議操作操作結(jié)果Windows、網(wǎng)絡(luò)設(shè)備的補(bǔ)丁是系統(tǒng)平安中重要組成局部，通常情況下安裝補(bǔ)丁不會對系統(tǒng)造成任何不良的影響。但存在補(bǔ)丁與應(yīng)用系統(tǒng)沖突的可能，造成業(yè)務(wù)中斷，必須做好系統(tǒng)備份和打補(bǔ)丁前的測試工作。另外效勞器安裝補(bǔ)丁最好選擇在業(yè)務(wù)不繁忙時(shí)間段進(jìn)行。注意：在安裝系統(tǒng)補(bǔ)丁的過程中不能夠使系統(tǒng)斷電或非正常安裝完畢而重新啟動系統(tǒng)，這樣可能會造成系統(tǒng)不能正常啟動的嚴(yán)重后果。第五章終端管理以往提起信息平安，人們更多地把注意力集中在防火墻、防病毒、IDS〔入侵檢測〕、網(wǎng)絡(luò)互聯(lián)設(shè)備即對交換機(jī)、集線器和路由器等的管理，卻忽略了對網(wǎng)絡(luò)環(huán)境中的計(jì)算單元—效勞器、臺式機(jī)乃至便攜機(jī)的管理。正確、全面的認(rèn)識終端桌面管理的開展趨勢和技術(shù)特點(diǎn)，是IT研發(fā)廠商面臨的開展抉擇，同時(shí)也是企、事業(yè)IT管理人員和高層決策人員在進(jìn)行終端桌面平安防護(hù)部署時(shí)必須考慮的議題。終端桌面平安管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加，作為網(wǎng)絡(luò)管理技術(shù)的邊緣產(chǎn)物而衍生的，它同傳統(tǒng)平安防御體系的缺陷相關(guān)聯(lián)，是傳統(tǒng)網(wǎng)絡(luò)平安防范體系的補(bǔ)充，也是未來網(wǎng)絡(luò)平安防范體系重要的組成局部。因此，終端桌面平安管理技術(shù)無論在現(xiàn)在還是未來都應(yīng)當(dāng)歸入根底網(wǎng)絡(luò)平安產(chǎn)品體系之列。近兩年的平安防御調(diào)查也說明，政府、企業(yè)單位中超過80%的管理和平安問題來自終端，計(jì)算機(jī)終端廣泛涉及每個(gè)用戶，由于其分散性、不被重視、平安手段缺乏的特點(diǎn)，已成為信息平安體系的薄弱環(huán)節(jié)。因此，網(wǎng)絡(luò)平安呈現(xiàn)出了新的開展趨勢，平安戰(zhàn)場已經(jīng)逐步由核心與主干的防護(hù)，轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個(gè)終端。建立桌面計(jì)算機(jī)平安管理系統(tǒng)的意義在于：解決大批量的計(jì)算機(jī)平安管理問題。具體來說，這些問題包括：加強(qiáng)桌面計(jì)算機(jī)的平安性，例如：通過批量設(shè)置計(jì)算機(jī)的平安保護(hù)措施提高桌面計(jì)算機(jī)的平安性，及時(shí)更新桌面計(jì)算機(jī)的平安補(bǔ)丁，減少被攻擊的可能；實(shí)現(xiàn)動態(tài)平安評估，實(shí)時(shí)評估計(jì)算機(jī)的平安狀態(tài)及其是否符合管理規(guī)定，例如：評估計(jì)算機(jī)的網(wǎng)絡(luò)流量是否異常，評估計(jì)算機(jī)是否做了非法操作〔撥號上網(wǎng)、安裝游戲軟件等〕，評估計(jì)算機(jī)的平安設(shè)置是否合理等；批量管理設(shè)置計(jì)算機(jī)，例如：進(jìn)行批量的軟件安裝、批量的平安設(shè)置等；防止外來電腦非法接入，防止網(wǎng)絡(luò)平安遭受破壞或者信息泄密；確保本單位的計(jì)算機(jī)使用制度得到落實(shí)，例如：禁止撥號上網(wǎng)，禁止使用外部郵箱，禁止訪問非法網(wǎng)站，禁止將單位機(jī)密文件復(fù)制、發(fā)送到外部等；出現(xiàn)平安問題后，可以對有問題的IP/MAC/主機(jī)名等進(jìn)行快速的定位；實(shí)現(xiàn)計(jì)算機(jī)的資產(chǎn)管理和控制。管理措施如下列圖所示：第六章數(shù)據(jù)備份6.1備份管理6.1.1信息識別內(nèi)容：確定本部門/業(yè)務(wù)系統(tǒng)需要備份的電子數(shù)據(jù)。標(biāo)準(zhǔn)：識別重要的信息資產(chǎn)，或信息資產(chǎn)的子系統(tǒng)相關(guān)的數(shù)據(jù)。操作：收集需要備份的資產(chǎn)的相關(guān)信息，主要包括信息資產(chǎn)的名稱、重要性、資產(chǎn)的保護(hù)級別等屬性，填寫《信息備份識別清單》。需要檢查的信息資產(chǎn)可能包括：生產(chǎn)機(jī)上運(yùn)行的應(yīng)用系統(tǒng)軟件源代碼；數(shù)據(jù)庫結(jié)構(gòu)〔表結(jié)構(gòu)、存儲過程、視圖、索引、函數(shù)等〕業(yè)務(wù)運(yùn)作數(shù)據(jù)；系統(tǒng)配置參數(shù)；日志文件。關(guān)鍵點(diǎn)：具體是否需要備份，還要看信息是否被損壞的威脅程度。特情處理：無法備份的信息，盡量多使用其復(fù)制件，而保存原件。6.1.2制定備份方案內(nèi)容：填寫《信息備份方案》。標(biāo)準(zhǔn)：方案符合信息本身的特點(diǎn)，完整填寫《信息備份方案》中的每一項(xiàng)。關(guān)鍵點(diǎn)：選擇適宜的備份方式與周期。特情處理：責(zé)任人沒有足夠的工具或條件可要求相關(guān)的工程師協(xié)助。操作：根據(jù)資產(chǎn)識別的《信息備份識別清單》，制定《信息備份方案》，備份方案具體包括：確定備份周期：根據(jù)信息更新速度，易損壞程度，及備份媒體的有效期，確定備份周期。另外，在相關(guān)業(yè)務(wù)每次重大行動之前，以及每年年底的最后一天，也需要進(jìn)行備份。備份介質(zhì)類型：確定備份使用的媒體，一般是電子信息光碟，軟盤、硬盤或磁帶庫，要同時(shí)考慮本錢與可靠性。備份方式：一般要采用復(fù)制，雙系統(tǒng)同步，轉(zhuǎn)儲，壓縮復(fù)制等。備份工具：備份使用的工具，如光盤刻錄機(jī)、復(fù)印機(jī)、軟驅(qū)、壓縮軟件、磁帶機(jī)，選擇工具時(shí)，要確定在信息失效之前，對應(yīng)的恢復(fù)工具可用。份數(shù)：確定備份的數(shù)量，一般信息備份一份即可，對于特別重要的信息需要備份多份。存放位置：備份信息一般應(yīng)與原始信息盡量分開存放，要根據(jù)信息保密級別有相應(yīng)的保密措施。責(zé)任人：確定備份的責(zé)任人。備份方案應(yīng)提交給相關(guān)部門負(fù)責(zé)人，經(jīng)部門負(fù)責(zé)人確認(rèn)并批準(zhǔn)后予以實(shí)施。6.1.3實(shí)施備份方案內(nèi)容：執(zhí)行《信息備份方案》的方案。標(biāo)準(zhǔn)：方案規(guī)定的周期與備份方式。操作：對于分散的信息整理、歸類；執(zhí)行備份程序，檢查備份數(shù)據(jù)的可用性；清理過程中的臨時(shí)數(shù)據(jù)，填寫完整的《信息備份記錄》。關(guān)鍵點(diǎn)：信息備份要保證完整性，同時(shí)保證信息在備份過程中的保密。特情處理：如果是絕密信息，可通過特殊方式來進(jìn)行處理。6.1.4備份存放內(nèi)容：將備份的媒體存放在平安位置。標(biāo)準(zhǔn)：存放位置應(yīng)符合軟件管理程序的規(guī)定。操作：備份完畢，備份操作員需向部門負(fù)責(zé)人或備份管理人員提交備份結(jié)果，包括：備份使用的媒體，備份過程中的相關(guān)文件，如：備份記錄文件、備份恢復(fù)工具或軟件、備份恢復(fù)指導(dǎo)書等；將備份媒體保存到《信息備份方案》中指定的位置，一般要按時(shí)間順序存放。媒體的存儲主要考慮以下幾個(gè)方面：對業(yè)務(wù)影響重大的關(guān)