下载文档第一篇:强化内网服务器安全管理成果申请材料
科信中心强化内网服务器安全管理
(李广勇
张盼英
林君)
梁煤网站自2004年建立以来,网站的任务和宗旨是“宣传上级领导和部门的方针、政策,转发集团公司的通知公告和各种会议精神,发布梁家煤矿各种指导性文件,展示企业风采,报道企业安全生产动态,推动矿井安全生产工作的顺序开展。”随着矿井无纸化办公的不断深入推广,梁煤网站也成为矿井信息化工作的重要组成部分。
近期,由于受网络木马病毒和黑客程序、恶意软件的不间断攻击,SQLSERVER数据库被恶意删除,导致内网服务器运行不正常,给矿井日常办公造成了较大影响。为此,科技信息中心立即启动应急预案,组织技术人员边加紧查找恢复数据库文件边采取相关安全措施,通过努力顺利完成了网站服务器的维护和数据库文件复原工作。同时,采取措施通过其他技术手段,进一步加强了数据库文件的安全性,使网站服务器能够更好地防御网络攻击,确保网站的正常运行。
为保证今后不再出现类似问题,确保整个网络能够及时更新并安全可靠地运行,充分发挥网站在我矿安全生产方面的促进作用,根据领导的安排要求,并结合当前网站服务器的实际情况,我们研究了以下方案对服务器进行维护管理:
一、数据文件的恢复
由于受网络木马病毒和黑客程序、恶意软件的不间断攻击,SQL SERVER数据库文件被恶意删除,导致网络服务器数据库联接不上库文件而无法运行。我们使用了数据恢复工具软件,扫描被恶意删除的数据库存文件,进行数据库的恢复。
二、安全措施的加固
为了能更好的防御各种网络病毒、木马及黑客程序的攻击。我们将服务器上的杀毒软件进行了更换,安装了2012金山毒霸猎豹版的杀毒软件及360安全卫士,并将服务器自身的防火墙和杀毒软件的防护全部启用(如下图),并且采用了杀毒软件的自动升级,定时查杀功能,更好的防御病毒的侵害,从而保证了服务器的安全性。
windows自带防火墙
金山毒霸防护
360防火墙
三、SQL SERVER的卸载(挂起)
由于SQL SERVER数据库被损坏,导致SQL SERVER无法启动。为此需要对其卸载,重新安装。SQL SERVER程序在控制面板中没有显示,为此我们将系统Program files下的SQL安装目录删除。C:Program FilesMicrosoft SQL Server80Tools。
C:Program FilesMicrosoft SQL ServerMSSQL。而当我们安装SQL SERVER时,安装不上,提示SQL SERVER程序未挂起(卸载)。为此,我们又打开注册表,将注册表中SQL SERVER的相关信息删除。HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServer。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSDTC
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager中找到PendingFileRenameOperations项目,并删除它。这样就可以清除安装暂挂项目。
然后再把HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionsetup删除ExceptionComponents 这样我们算是彻底删除了SQL SERVER的程序。
四、SQL SERVER的安装
下面我们要对SQL SERVER程序的安装,安装过程如下:
将企业版安装光盘插入光驱后,出现以下提示框。请选择 安装 SQL Server 2000 组件,出现下一个页面后,选择 安装数据库服务器。
选择 下一步,然后选择 本地计算机 进行安装。
在 安装选择 窗口,选择 创建新的SQL Server实例...。对于初次安装的用户,应选用这一安装模式,不需要使用 高级选项 进行安装。高级选项 中的内容均可在安装完成后进行调整。
在 用户信息 窗口,输入用户信息,并接受软件许可证协议。
在 安装定义窗口,选择 服务器和客户端工具选项进行安装。我们需要将服务器和客户端同时安装,这样在同一台机器上,我们可以完成相关的所有操作,对于我们学习SQL Server很有用处。如果你已经在其它机器上安装了SQL Server,则可以只安装客户端工具,用于对其它机器上SQL Server的存取。
在 实例名 窗口,选择 默认 的实例名称。这时本SQL Server的名称将和Windows 2000服务器的名称相同。然后点下一步
在 安装类型 窗口,选择 典型 安装选项,并指定 目的文件夹。
在 服务账号 窗口,请选择 对每个服务使用统一账户...的选项。在 服务设置 处,选择 使用本地系统账户。如果需要 使用域用户账户 的话,请将该用户添加至Windows Server的本机管理员组中。
在 身份验证模式 窗口,请选择 混合模式...选项,并设置管理员sa账号的密码。如果需要更高的安全性,则可以选择 Windows身份验证模式,这时就只有Windows Server的本地用户和域用户才能使用SQL Server了。
在 选择许可模式 窗口,根据您购买的类型和数量输入(0表示没有数量限制)。每客户表示同一时间最多允许的连接数,处理器许可证表示该服务器最多能安装多少个CPU。
然后就是约10分钟左右的安装时间,安装完毕后,以上步骤后,SQL SERVER安装完成。并把SQL SERVER 项目开启。然后再打上SQL2000SP4补丁。
五、附加数据库文件
依次点开始——所有程序——Microsoft sql server——打开企业管理器
首先建一个空数据库,比如:student——右击“数据库”——所有任务——附加数据库(找到存放的那两个数据库文件),这样就顺利的附加上了数据库文件。
六、桌面备份系统的使用
为了保证数数库文件的安全性,我们通过对桌面备份系统的使用,通过这一备份系统,利用技术手段,进一步加强了数据库文件的自动备份的安全性,确保了梁煤网站服务器的正常运行。
此次网站服务器的安全维护管理,是经过技术人员反复论证研究、领导批准后采用的最佳方案,该方案的动用极大地增强了梁煤网站服务器的稳定性和数据库文件的安全性,减少了手动备份数据库文件的繁琐,大大提高了工作效率,保证了梁煤网站的正常运行,确保了全矿安全生产工作的顺利开展。
第二篇:内网ftp服务器对外开放方法
内网ftp服务器对外开放方法
一、如果有固定IP的话只需要一个步骤:在本机安装并设置serv-u外网络,外网用户访问你的FTP://固定IP/serv-u用户名 用Serv-U架设个人FTP 设置方法如下:
架设FTP服务器,其实并没有技术难度,只需用Serv-U这个软件就可轻松搞定了。Serv-U支持所有版本的Windows操作系统,可以设定多个FTP服务器,可以限定登录用户的权限、登录目录及服务器空间大小,功能非常完善。以下笔者就以Serv-U汉化版为例,给大家讲讲架设个人FTP的具体步骤。
首先下载安装Serv-U,运行,将出现“设置向导”窗口,我们就来跟随着这个向导的指引,一步步进行操作。1.设置Serv-U的IP地址与域名
一路单击“下一步”跳过系统提示信息,来到“您的IP地址”窗口(如图1),这里要求输入本机的IP地址。图1 输入你的IP地址
如果你的电脑有固定的IP地址,那就直接输入;如果你只有动态IP(例如拨号用户),那该处请留空,Serv-U在运行时会自动确定你的IP地址。
下一步,进行“域名”设定。这个域名只是用来标识该FTP域,没有特殊的含义,比如笔者输入“ftp.wxxi520.com”。
接下来的“系统服务”选项必须选“是”,这样当你的电脑一启动,服务器也会跟着开始运行。2.设置匿名登录
匿名访问就是允许用户以Anonymous为用户名,无需特定密码即可连接服务器并拷贝文件。如果你不想让陌生人随意进入你的FTP服务器,或想成立VIP会员区,就应该在“匿名账号”窗口中选“否”,这样就只有经过你许可的用户才能登录该FTP。鉴于匿名登录尚有一定的实用需求,笔者在此选“是”(如图2)。
图2 允许匿名登录
之后就要为匿名账户指定FTP上传或下载的主目录,这是匿名用户登录到你的FTP服务器后看到的目录。设定后,向导还会继续询问你是否将匿名用户锁定于此目录中,从安全的角度考虑,建议选“是”。这样匿名登录的用户将只能访问你指定的主目录及以下的各级子目录,而不能访问上级目录,便于保证硬盘上其他文件的安全。3.创建新账户
除了匿名用户,我们一般还需要建立有密码的专用账号,也就是说可以让指定用户以专门的账号和密码访问你的服务器,这样做适用于实行会员制下载或只让好友访问。在“命名的账号”窗口中将“创建命名的账号吗”选为“是”,进入“账号名称”设置,填入你制定的账号名称,而后在“账号密码”窗口输入该账号的密码。
单击“下一步”,会要求你指定FTP主目录,并询问是否将用户锁定于主目录中,选“是”,作用与匿名账户设定基本相同,不再赘述。紧接着要设置该账户的远程管理员权限,分为“无权限”、“组管理员”、“域管理员”、“只读管理员”和“系统管理员”五种选项,每项的权限各不相同,可根据具体情况进行选择。
至此,我们已拥有了一个域——ftp.wxxi520.com及两个用户——Anonymous和wxxi520。点击“完成”退出向导,稍等片刻Serv-U软件主界面将自动弹出,我们还要在此进行一些管理员设置。
4.管理员设置
图3为Serv-U管理员界面,每个Serv-U引擎都能用来运行多个虚拟的FTP服务器,而虚拟的FTP服务器就称为“域”。
图3 Serv-U管理员界面
对FTP服务器来说,建立多个域是非常有用的,每个域都有各自的用户、组和相关的设置。以下笔者就简要说说管理器界面上必要的各项设置。★ 首先点击窗体左方的“本地服务器”,勾选右边的“自动开始(系统服务)”。★ 选择左方的“域→活动”,这里记载了该域下所有用户的活动情况,是非常重要的监控数据。
★ “域→组”:在此可自建一些用户组,把各类用户归到相应的组中,便于管理。
★ “域→用户”:这里有我们刚建立的两个账号,其中的细节设置十分重要,具体如下。
账号:如果有用户违反FTP的规定,你可以点击此处的“禁用账号”,让该用户在一段时间内被禁止登录。另外此处的“锁定用户于主目录”一定要勾选,否则你硬盘的绝对地址将暴露。
常规:根据自身的实际需要,在此设置最大的下载和上传速度、登录到本服务器的最大用户数、同一IP的登录线程数等。IP访问:你可以在此拒绝某个讨厌的IP访问你的FTP服务器,只要在“编辑规则”处填上某个IP地址,以后该IP的访问将会全部被拦下。
配额:勾选“启用磁盘配额”,在此为每位FTP用户设置硬盘空间。点击“计算当前”,可知当前的所有已用空间大小,在“最大”一栏中设定最大的空间值。最后,请在有改动内容的标签卡上点击右键,选择“应用”,如此才能使设置生效!
现在,一个简单的个人FTP服务器就已经完整地呈现在你面前了。不过这时还要测试一下能否成功地下载和上传。
serv-u设置
二、如果不是固定IP,但不需要长期做FTP,则方法与固定IP一样。直接访问浮动IP
三、如不是固定IP,有需要长期做FTP,则需要花生壳之类的软件将本机的浮动IP绑定成一个域名,外网访问你FTP://域名/serv-u用户名。花生壳设置方法如下: 不论你是否有没听说过花生壳这一软件,还是曾经用过花生壳 1.0 或 2.1 等版本;不管你是否申请过域名,还是至今不懂域名管理„„这一切,都不要紧。从现在开始,花生壳3系列版本的面世,将使域名注册和管理、动态域名解析等等事项轻而易举地驾驭于你手中。
花生壳3系列是一套完全免费的桌面式域名管理和动态域名解析(DDNS)等功能为一体的客户端软件。
花生壳客户端向用户提供全方位的桌面式域名管理以及动态域名解析服务。用户无需通过IE浏览器,直接通过客户端使用www.teniu.ccame(别名)、URL 重定向等,用户操作界面清晰简单。
拥有花生壳只需以下步骤: 第一步:下载和安装花生壳 第二步:注册花生护照
第三步:注册免费域名或顶级域名
一、下载和安装花生壳
请访问花生壳官方网站的http://www.oray.net/PeanutHull/PeanutHull_Dowload.asp页面下载花生壳安装程序。
安装花生壳程序:请参照如何安装花生壳(点击打开)
二、注册花生护照
运行花生壳客户端程序,如果您已经有花生护照,请直接登陆客户端;如果您还没有花生护照,请点击客户端主界面中的〔注册花生护照〕进行免费注册(http://www.oray.net/Passport/Passport_Register_Statement.asp)。阅读用户协议,然后点击 [ 我同意 ] :
按要求填写你要注册的用户名,以及用户名密码,点[下一步]: 填写密码保护问题(可要记住哦),点下一步: 至此,你已成功注册获得一个花生护照,我们强烈建议成功申请花生护照后填写护照完整资料,这是证明花生护照所有者的身份证明资料。
第三篇:外网用户如何访问内网FTP服务器
网友提问:我的网通用户,在机子上建立了个FTP;在XP下用IPCONFIG命令获得的是一个10.xx.xx.xx的内网IP地址,朋友是电信ADSL用户,是否有办法能让朋友访问到我的FTP?
【IT168 网友解答】实际上,电脑用户是可以直接访问网通用户的,只是速度上不堪一睹;究其原因是由于随着电信网通南北方分踞的出现,使得全国一张大网的布局被割断,造成现在所有的大型网站访问都面临着电信网通之间的访问速度方面的瓶颈,有时还根本无法访问。
比较成熟的解决办法是配置VPN网络(即虚拟专用网络)。利用这类网络结构即可让远程电脑用户通过现有网络的物理链路在需要的时候安全地与网通上的FTP服务器进行互访;而且其最大的特点就是速度快,就如同在一个局域网内一样。下面具体来看看。
一、理解VPN。
虚拟专用网络(Virtual Private Network,VPN)属于专用网络的延伸,通过VPN可以以模拟点对点专用链接的方式采用共享或公共网络的方式在两台计算机之间发送数据。我们可以这样来理解:VPN是道路中的“公交专用线”,但要分清,由VPN组成的这条公交专用线并不是物理存在的,而是通过某种技术手段模拟出来,即是“虚拟”的;故其具有良好的保密性和不受干扰性,使双方能进行自由而安全的点对点间的连接。
二、VPN架设准备。
一般的Win9X/2000/XP操作系统已经内置了VPN功能,也有专门的支持VPN功能的宽带路由器,不过那样显得投资太大。为使不同系统间更好的配合,这里采用第三方软件的办法来实现(Wingate VPN)。总的架设流程为:先申请一个免费域名,然后在两台电脑里分别安装此软件并配置,之后即可象在局域网一般使用VPN网。
Wingate VPN下载地址:http://www.teniu.cc/download/wgvpn.exe
三、架设流程。
1.免费域名申请。
因为一般宽带的上网地址都是动态变化的,而我们要进行远程两机的交流,必须得有固定IP才能相互在茫茫网海中找到,解决的办法就是申请域名及安装动态域名解析软件。网上提供这类服务的站点还是不少,比如www.teniu.cc、http://www.oray.net/等;笔者是在http://www.oray.net/申请的,同时注意申请域名成功后一定要到“域名服务中心”下激活你申请的域名,否则后面安装的解析软件是无法正常工作的!当按照页面提示申请到域名并激活之后,一并下载网站上提供的解析软件“花生壳”安装(只在提供服务端安装),这样另一端通过解析的这个域名即可访问到服务端了。
2.服务端Wingate VPN安装及配置.(即网通FTP服务器)
配置之初,先将这台电脑上需要共享的目录设置为共享。安装完毕并启动Wingate VPN时,会要求你输入登录账户及密码;默认账户名为“Administrator”,密码为空,如图1所示。(可到主菜单栏“options”下的“Change password”里修改密码,不过账户好像不能更改)。
图1(点击看大图)
然后还需要建立一个VPN用户。方法是在主界面左面切换到“Users”选项,接着在“Users”上点右键选“New user”,之后输入用户名及密码并一定勾选下面的“account enbled”即可。
步骤1:单击工具栏“control”按钮,在左面“VPNs hosted”栏下双击“Add a new VPN”;接着在出现的对话框的“General”选项卡下输入VPN名及节点名,切记要将“Local”选择为“Local network”,否则另一方就无法享受此VPN服务了(如图2所示);
图2(点击看大图)步骤2:切换到“X509 Certificate”选项卡,在这里生成一个私有的证书,用于VPN网的简单身份验证。先选中“Generat a X509 Certificate First”后点“Generat Certificate”选项;在出现图3所示的窗口下方,两次输入证书密码而其它项保持默认,接着对建立者相关信息如E-mail等做些设置后在下一步里单击完成即可。
图3(点击看大图)
步骤3:这一步主要是配置可以访问此VPN连接的用户信息。切换到“Policies”选项卡,点击下面“Add”按钮进入如图4所示窗口;“Recipient”选项用于设定允许访问的用户组,可以是全部,也可以指定;并可在“Location”和“Time”选项里作进一步权限配置,为了此VPN实例的高效简易运行,建议保持其默认值。配置完成后返回“Recipient”单击“Apply”后,再单击“OK”。
图4(点击看大图)
至此服务端VPN配置基本完成,在主界面右边也能看到配置的VPN名了。而要让另一端能访问到服务端,还须将服务端的配置导入另一端,这也算是采用此软件的一大简易快捷之处。方法为:双击主界面左面“Miscellaneous”框内的“General”,在“VPNs to Host”选项卡下选中建立的VPN项目后点“Export Config”(导出配置);接着在出现的如图5所示对话框中,输入本机当前IP地址或是在前面申请到的免费域名,点OK后选择保存路径即可(生成以VPN为后缀名的文件)。
采用什么方式将此配置文件传到另一端就大家自己想吧!
图5(点击看大图)
3.访问端设置。(即电脑用户端)
首先以服务端安装方法在接收端安装好Wingate VPN。同样双击主界面左面“Miscellaneous”框内的“General”选项,之后切换到“VPNs to Join”点“Import Config”(导入配置);选中服务端提供的配置文件将它导入,接着会出现如图6所示窗口,让我们进一步验证服务端的配置;单击确定之后在主界面“VPNs to Join”栏下即可看到此VPN配置名;选择“Connect”后即可以右边看到服务端的电脑名了。同理,如果把接收端配置好的VPN文件导入服务端,两边同样可以连接成功,这也充分体现了点到点网络访问的优越之处。
图6(点击看大图)
四、应用。
只要VPN连接建立后,笔者觉得就都知道怎么用了。因为如果连接成功,主窗口右面会如“网上邻居”一样显示出双方共享目录情况,这样即可象在局域网内一样,自由而安全地互访事先设置好的共享目录(即在共享目录上双击就可打开,所有操作就跟局域网的相互访问一样了),当然也就可以访问服务器端的各类服务了。注意使用完了关闭VPN服务就行,以避免一些突发性安全隐患。
小结: 以上实例为个人应用中的两台电脑间的互访问题,并没过多的考虑安全等方面的因素。而在企业部门间如采用VPN方案,由于VPN网络是在开放的Internet平台之上构建的虚拟网络,所以必须保证没有获得授权的用户无法接入VPN网络;一般都采用加装专门的VPN服务器,这样企业网管人员通过它,可指定只有符合特定身份要求的用户才能连接VPN服务器以获得访问,而且可以对所有VPN数据进行加密,从而确保数据的安全性。
第四篇:Chinasec内网安全管理平台
Chinasec内网安全管理平台
Chinasec(安元)内网安全管理平台是基于内网安全和可信计算理论研发的内网安全系列管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,主要解决用户在传统PC架构下的数据安全问题,针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案。
Chinasec(安元)内网安全管理平台系列产品是在Chinasec(安元)内网安全管理平台的基础上,由多个系统组成,分别是Chinasce(安元)终端数据防泄密系统、Chinasce(安元)文档安全管理系统、Chinasce(安元)应用保护系统、Chinasce(安元)桌面管理系统、Chinasce(安元)文件审批系统、Chinasce(安元)身份认证系统、Chinasce(安元)终端应用模式切换系统、Chinasce(安元)移动存储介质管理系统等。
Chinasec(安元)内网安全管理平台系列产品注重从信息的源头开始抓安全,对信息的存储、交换和使用等环节实现全面保护,通过主动加密、事前控制、事中监视、事后审计等四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄露,为企事业单位构建了一个可信可控的内网环境。Chinasec(安元)内网安全管理平台已经通过国家保密局、公安部、解放军信息安全测评中心和国家信息安全测评中心等权威机构的评审认定,并已在中国海关总署、奇瑞汽车、南车时代、中国银行、广东电力设计院、第二炮兵部队和中国石油等数千家单位成功应用,得到用户高度肯定。
第五篇:内网管理规定(范文)
市场部内网管理规定
一、总则
为全面提升部门综合管理水平,切实提高运转效率和服务水平,加快推行无纸化办公模式,实现节能降耗的目的,规范部门电脑及网络的使用与管理,确保电脑及网络的正常运作,使电脑更好的发挥其作用,特制定本制度。
二、内网使用人员
由部门负责人指定的内网管理员及经审批同意使用的其他部门内部人员。
三、内网用途
内网主要用于处理公司各种内部文件及涉密文件。
四、内网系统
内网系统主要包括内网计算机、打印机等连接内网的办公设备。
五、内网的使用规定
1.2.内网管理员负责内网计算机等设备的日常维护及管理。内网计算机应设置密码,保证计算机信息安全。管理员必须严格遵守网络保密制度,不得将已知的用户名、密码、地址、域名等告知非授权人员;不得擅自从网络内进入部门的数据库进行调阅和更改。3.为了信息保密和数据安全,严禁任何个人在内网计算机上运行有可能对网络安全构成危害的软件以及运行有可能对网络传输带来不利影响的软件。4.计算机必须安装杀毒软件,定时查杀病毒,计算机必须与
互联网进行物理隔离;连接内网的计算机,坚持做到“涉密信息不上网,上网信息不涉密”的原则。5.未经审批不能私自拷贝、复制、打印内网计算机内相关涉密信息,如需导出,需填写《内网数据导出审批表》并经部门领导审批同意后使用指定存储介质导出。6.计算机安全管理按照“谁运行,谁负责,谁使用,谁负责”的原则。计算机设备的使用人员是第一安全责任人。7.部门内计算机、打印机等,只限内部使用,严禁外来人员操作使用。8.内网计算机管理员对本部门计算机涉密信息状况具有监督检查权,负责随机检查本部门计算机涉密信息管理及技术措施执行情况,发现涉密信息不安全因素及时上报部门主管,同时组织整改。9.内网系统运行的组织与管理工作由行政部负责,技术保障工作由网络管理员负责。用户在使用内网系统过程中发现的问题和不足,应及时向网络管理员反馈,以便进一步完善内网系统。
本制度最终解释权归公司所有。本制度自签发之日起施行。
注:附件一《内网数据导出审批表》
