1、修訂記錄：v1.0編寫人：審核人：批準人：目錄公司內部服務器的安全是關系到公司數據保密和安全的一件大事，是保證各個業務系統正常工作的前提條件，因此必須進行科學、有效地管理。為了保證網絡系統安全、高效運行，結合現有網絡結構情況，特制定如下制度，請遵照執行：1、 服務器的管理和維護1. 維護目標是保證中心機房設備與信息的安全，保障機房具有良好的運行環境和工作環境。2. 安排專人負責服務器的日常操作維護工作，其它人不得私自操作服務器；如果確實需要操作服務器，應征得管理人員許可，并報部門主管同意后方可進行。3. 服務器必須建立完整的技術文檔和維護方案。4. 服務器必須定期進行雙機熱備份。5. 每次更新

2、服務器網站程序前，必須把相關內容備份到移動硬盤中，再進行操作，防止造成不可挽回的損失。6. 服務器管理員應每周對服務器及外圍設備進行1 次例行檢查和維護。7. 如發現服務器故障應及時向部門主管報告，并負責計算機及外設的日常維護與排除故障，在遇到電腦公司三包范圍內的故障時，應及時催促電腦公司上門或將機器送至供應商處維修。2、 機房安全管理制度1. 機房應防塵、防靜電，保持清潔、整齊，設備無塵、排列正規、工具就 位、資料齊全。2 .機房門內外、通道、設備前后和窗口附近，均不得堆放物品和雜物，做 到無垃圾、無污水，以免妨礙通行和工作。3 .機房內嚴禁煙火，嚴禁存放和使用易燃易爆物品，嚴禁使用大功率電

3、器、 嚴禁從事危險性高的工作。如需施工，必須取得領導、消防、安保等相關 部門的許可方可施工。4 .外來人員進入機房應嚴格遵照機房進出管理制度規定，填寫人員進出機 房登記表，在相關部門及領導核準后，在值班人員陪同下進出，機房進出 應換穿拖鞋或鞋套。5 .進入機房人員服裝必須整潔，保持機房設備和環境清潔。外來人員不得 隨意進行拍照，嚴禁將水及食物帶入機房。6 .進入機房人員只能在授權區域與其工作內容相關的設備上工作，不得隨 意進入和觸動未經授權以外的區域及設備。7 .任何設備出入機房，經辦人必須填寫設備出入機房登記表，經相關部門 及領導批準后方可進入或搬出。三、云服務器管理制度為了加強公司云服務器

4、的安全管理工作，保障信息系統安全、穩定運 行，充分發揮系統效用，特制定本管理制度。本制度規定了公司云服務器 維護管理和故障處理辦法。適用于公司云服務器日常管理工作。系統管理員負責服務器的日常操作維護，登錄權限的管理。具體內容如下：1用戶管理用戶如果需要在服務器上進行操作設置的，需要經過管理員授權，管理員對操作進行監督，并做好操作記錄 ，備查。每周末匯總數據，提交部門經理。服務器應禁止匿名/默認帳戶或嚴格限制訪問權限2服務器維護及管理每天上班檢查所有服務器運行情況，并做好登記，若發現問題需立刻 處理，并做好相應記錄與分析；若存在自身無法處理的故障必須在一刻鐘 之內向上級領導匯報。每天上下班前檢查

5、服務器 cpu、硬盤使用情況，發現異常及時匯報上級 領導，并做好日報記錄。硬盤空間定期檢查，對產生的不必要文件進行刪 除。硬盤空間容量超過 80%寸，需要及時申報租用新的硬盤。服務器系統必須及時升級安裝安全補丁，打開防火墻。彌補系統漏洞； 必須為服務器系統做好病毒及木馬的實時監測，及時升級病毒庫。系統管理員對密碼不定期的更換。對賬戶、密碼等信息嚴格保密。不得擅自在服務器上安裝其他軟件。不得擅自更改、刪除、備份服務器數據。不得擅自修改服務器時間。 如需要登錄服務器，必須要在管理員處出示具有相關領導批示的單據。操 作人員必須在管理人員的陪同下進行相關操作。如果要更新服務器的應 用，必須提供程序測試

6、報告，并且該程序經過測試可以上線試運。服務器故障發生后，管理員需及時對故障問題進行處理并做好詳細的 登記，包括故障時間，故障現象、處理方法和結果，同時根據故障現象及 處理方案，完成服務器故障處理技術文檔的更新。服務器的數據庫必須做 好按時備份。如遇到服務器重啟或安裝、調試關鍵服務時，提前做好備份 確保系統一旦發生故障時能夠快速恢復。重要的數據必須定期、完整地轉儲到U盤或者硬盤上，每月定期檢查備份數據，如有損壞，及時重新備份。每次服務器進行數據操作及維護后，必須在服務器運營表上進行登記，用來備查。四、網絡安全管理制度1 .運行維護部門必須制定相應的體系確保網絡安全，維護人員必須確立網 絡安全第一

7、的意識。2 .在網絡建設期必須考慮工程和現網的關系，加強施工安全管理和網絡割 接準備工作，確保現網的安全，嚴禁人為事故發生。3 .網絡運行維護期應確保維護工作、設備運行、系統數據的安全。4 .客戶數據的制作以及對設備的指令操作要嚴格按照客戶數據制作規范和設備技術手冊的要求根據工單執行；對設備的所有操作要有詳細記錄，操作時要一人操作一人核對，準確無誤方可執行，操作人員要在工單上簽 字確認。5 .網絡運行維護期的安全可以通過三種控制方法保證，操作控制包括對操作流程、客戶分級、權限分級、操作記錄、遠程管理、密碼管理、防火墻技術、數據備份的安全保證；運行控制包括對告警處理、 測試、性能分析、 應急預案

8、的安全保證；操作設備控制包括防病毒、殺毒軟件、非生產應用 軟件的安全控制6 . 未經許可，嚴禁設備廠商通過遠程控制技術對設備進行修改維護，運行維護部門應有可靠的防范措施。7 . 為保證遠程技術支持的可靠性，需定期對遠程維護設備、端口進行檢查，在確保安全保密的同時確保其可用性。8 . 磁盤、磁帶等必須進行檢查確認無病毒后，方可使用。9 . 為保證網絡安全，遠程維護設備在一般情況下要處于關閉狀態，只有在需要的時候才開通使用。5、 安全及保密管理制度1. 維護工程師必須熟悉并嚴格執行安全保密準則。2. 外部人員因公需進入機房，應經上級批準并指定專人帶領方可入內。3. 有關通信設備、網絡組織電路開放等

9、資料不得任意抄錄、復制，防止失密。需要監聽電路時，應按保密規則進行。4. 機房內消防器材應定期檢查，每個維護人員應熟悉一般消防和安全操作方法。5. 機房內嚴禁吸煙和存放、使用易燃、易爆物品。6. 搞好安全保密教育，建立定期檢查制度，加強節假日的安全保密工作。7. 未經有關領導批準，非機房管理人員嚴禁入機房。8. 機房內嚴禁煙火，不準存放易燃易爆物品。9. 注重電氣安全，嚴禁違章使用電器設備，不準超負荷使用電器。10. 按規定配備消防器材，并定期更新。11. 定期檢查接地設施、配電設備、避雷裝置，防止雷擊、觸電事故發生。12. 發現事故苗頭，應盡快采取有效措施，并及時報告領導。13. 進行維修時

10、，嚴格按照程序進行，杜絕人為事故發生。14. 禁違規接入大功率無線發射設備。6、 操作系統日常維護要求（一） Windows Server 系統 / Linux 系統1. 系統運行狀況檢查1 ）事件日志檢查（ 應用程序 / 安全性 / 系統 ）: 每日檢查: 發現有錯誤的日志出現需要檢查出原因并排除錯誤2）共享文件夾檢查: 每日檢查: 發現有未經允許的共享文件夾, 馬上刪除3）本地用戶和組檢查: 每日檢查: 發現有未經允許的用戶和組, 馬上刪除4）磁盤大小和碎片檢查: 每日檢查: 發現磁盤空間低于警戒值（30%可用）, 需要清理無用的磁盤文件: 發現磁盤碎片大于警戒值（70%碎片）, 需要在服

11、務器空閑時間進行碎片整理。5）系統服務和應用程序檢查: 每日檢查: 發現未經允許的系統服務和應用程序的安裝，馬上刪除6） IIS 的檢查 /其他中間件: 每日檢查:發現有未經允許的 web網站運行,馬上刪除7）進程和應用程序檢查: 每日多次檢查: 發現有可疑的進程和應用程序，馬上關閉并找到運行文件進行刪除8）檢查cpu 使用和內存的占用情況: 每日多次檢查: 發現 cpu 長時間占用過高（90%）檢查主要原因, 看情況重啟服務器。2 .windows 常規安全設置1）計算機配置/Windows 設置 /安全設置/軟件限制策略選項，同時用鼠標右鍵單擊該選項，并執行快捷菜單中的創建軟件限制策略命令

12、; 用鼠標雙擊強制組策略項目，打開的設置對話框，選中其中的除本地管理員以外的所有用戶選項，其余參數都保持默認設置，再單擊確定按鈕結束上述設置操作2）拒絕網絡病毒藏于臨時文件組策略編輯命令gpedit.msc依次選中計算機配置/Windows設置/安全設置 / 軟件限制策略/ 其他規則選項，同時用鼠標右鍵單擊該選項，并執行快捷菜單中的新建路徑規則命令，打開的設置對話框，單擊其中的瀏覽按鈕，從彈出的文件選擇對話框中，選中并導入Windows Server 系統的臨時文件夾，同時再將安全級別參數設置為不允許，最后單擊確定3）防止非法PING字符串命令gpedit.msc 計算機配置節點選項，并從目標

13、節點下面逐一點選 Windows 設置、安全設置、高級安全Windows 防火墻、高級安全Windows防火墻；本地組策略對象選項，再用鼠標選中目標選項下面的入站規則項目; 接著在對應入站規則項目右側的操作列表中，點選新規則選項，此時系統屏幕會自動彈出新建入站規則向導對話框，依照向導屏幕的提示，先將自定義選項選中，再將所有程序項目選中，之后從協議類型列表中選中ICMPv4。之后向導屏幕會提示我們選擇什么類型的連接條件時，我們可以選中阻止連接選項。4）斷開遠程連接恢復系統狀態 特殊情況下處理輸入 gpedit.msc 命令，其次選中組策略控制臺窗口左側位置處的用戶配置節點分支，并用鼠標逐一點選目

14、標節點分支下面的管理模板/ 網絡 /網絡連接組策略選項，之后雙擊網絡連接分支下面的刪除所有用戶遠程訪問連接選項，在選項設置對話框中，選中已啟用選項，再單擊確定按鈕保存。5）強行保護所有連接運行框中輸入字符串命令gpedit.msc ， 進入本地服務器系統的組策略編輯界面;其次將鼠標定位于計算機配置/ 管理模板/網絡 /網絡連接/Windows防火墻 /標準配置文件分支選項，在標準配置文件分支選項下面，用鼠標雙擊Windows防火墻：保護所有網絡連接組策略選項，目標組策略屬性界面，選中該界面中的已啟用項目，最后單擊確定按鈕。3 .Linux 常規安全設置1 ） ROOT1戶安全方案禁止ROOTS

15、程登陸（因為沒有物理管理的條件，這一條就沒有意義）修改ROOHRPM,把ROOTI改為普通用戶權限，把一個普通用戶修改為ROOTZ限。注意：經過比較簡單的測試發現修改ROOT勺用戶名或者權限標記都導致了系統不能正常啟動；通過測試的只有修改（ROOT勺登錄方式為Nologin ,再為一個普通用戶彳改權限標記為0;重啟后達到效果ROOTI戶名無法登錄、被修改的普通用戶登錄后系統顯示為root ）#以下是修改后的內容root:x:0:0:/root:/sbin/nologinhuojun:x: 0:0:/home/huojun:/bin/bash2) 設置密碼時間為普通用戶設置密碼的最大修改時間，保

16、證所有的普通用戶即時更新密碼， 如果用戶長期不用則會被禁止登陸。來達到對普通用戶的安全管理。3) 使用固定IP 登錄配置sshd_config文件，添加遠程登錄的固定 IP,將非授權的IP地址登錄排除在外。vim /etc/ssh/sshd_config添加一行：注： xxx 為你用來登入服務器的用戶名，可以為多個用戶添加多個IP地址4) SSH口將默認的登錄端口22， 修改成其他端口，可以有效防止非法嘗試登錄。vi /etc/ssh/sshd_config / 找到 Port 22 修改為自定義的端口5) ping 請求不在響應ping 請求，立即生效。echo “ 1” > /pro

17、c/sys/net/ipv4/icmp_echo_ignore_all6) 關閉 SELinux這是一個控制安全策略的內核安全機制，因為與現有的應用不兼容所以不使用，再對其深入研究后再使用也不遲。vi /etc/sysconfig/selinux關閉 SELinux:修改 SELINUX=enforcing 為 SELINUX=disabled7) 防火墻防火墻使用的是Firewall ，暫不提供IPtable 。firewall-cmd -state #查看防火墻狀態，是否是runningfirewall-cmd -list-all /查看防火墻規則，可查到你當前開放的端口信息。firewa

18、ll-cmd-zone=public-add-port=8888/tcp-permanent /為防火墻添加端口注意：使用systemctl 重啟防火墻（二）數據庫狀態檢查維護1 ）檢查數據庫的日常維護的運行結果: 每日檢查: 保證數據和日志按要求正確備份, 運行失敗的重新手工備份且排除出錯原因2）檢查數據庫的事務日志: 每日檢查:當事務日志大于300M時候，需要完整備份日志后對日志進行收縮操作3）檢查數據庫文件的碎片: 每半月檢查: 當數據庫的碎片大于警戒值, 需要進行碎片整理工作: 方法，如果掃描密度與平均頁面密度小于100%表示有碎片產生，此兩項應保持較高的百分比。而邏輯與扇區掃描碎片應

19、盡可能接近于0，一般不應超過10。（三）web系統檢查1） web系統的登陸檢查: 每日檢查:確保web系統能正常登陸2） web系統的響應檢查 : 每日檢查:檢查web系統的請求和響應速度，如果響應過慢或者無響應，需要檢查原因和排除.3） web系統的文件檢查: 每月檢查:檢查和備份web系統的程序文件4） web流量檢查: 每日檢查: 確保流量正常，發現流量異常的情況，需要查明原因和解決掉。7、 軟件環境去掉其它的網絡文件與打印服務、QoS終端服務、終端授權服務、Site Server ILS 服務、消息隊列服務(MSMQ、遠程存儲、證書服務等 其他目前暫時用不到的服務。為了保證服務器的最

20、大優化，除了安裝解壓縮、殺毒軟件等必要的應用軟件外，一般不安裝其他非必要的軟件，包括OFFICE等，不設置壁紙、屏幕保護等。嚴禁安裝游戲、聊天工具。8、 殺毒和系統安全1. 需要拷貝到服務器上的程序和數據，必須經過檢測確認無病毒后方可進行傳入。2. 設置服務器晚間0 點進行定時殺毒。3. 殺毒軟件要定時升級病毒庫。4. 在得知有新病毒流行時應立即確認殺毒源庫是否為最新，如果不是應立即上網下載，同時應立即上微軟網站下載最新的補丁程序。5. 在得知有最新的安全漏洞時，應立即上網查看微軟最新安全補丁。九、操作系統補丁1 .每隔7天上微軟網站查看是否有最新的更新通知2 .在得知有最新的安全漏洞時，應立

21、即上網查看微軟最新安全補丁3 .微軟一般在8-12個月內會發一次SP （目前為SP22 ,屆時應全數下載， 并立即分發各工作站十、開關機和重啟一般情況下，服務器不得隨意關機，在以下情況下，可以關機，但盡量安排在晚上；若必須在工作時間重啟服務器，應提前通知各部門人員：更新服務器上運行的網站，比如公司OA安裝必要的軟件正常的維護需要服務器在出現嚴重故障非重起不能解決時服務器在得到停電通知時服務器出現嚴重的硬件故障時服務器在出現嚴重故障非重起不能解決時，應用：NET SEND DOMIAN/USER ”服務器需要重啟，請存盤，3分鐘后恢復正常”通知網絡 用戶，以便用戶保存正在編輯的文件或中斷數據庫連接服務器在得到UPS停電通知時，必須在1個小時內關閉。此項設置必須在APC的監控軟件中設置服務器出現嚴重的硬件故障時，應立即通知網絡用戶并立即關機，同時通知硬件供應商處理服務器在開機時必須確認 ups 共電是否正常十一、文件、磁盤檢查1. 每天檢查服務器的磁盤占用情況，如果發現磁盤的使用容量超