【正文】 pd漏洞，Ultrix的fingerd，AIX的rlogin等等。216。利用管理漏洞。如root身份運行d，建立shadow的備份但是忘記更改其屬性，用電子郵件寄送密碼等等。216。安全的口令應有以下特點：用戶口令不能未經(jīng)加密顯示在顯示屏上設置最小口令長度強制修改口令的時間間隔口令字符最好是數(shù)字、字母和其他字符的混合 用戶口令必須經(jīng)過加密口令的唯一性限制登錄失敗次數(shù)制定口令更改策略確保口令文件經(jīng)過加密確?？诹钗募粫槐I取對于系統(tǒng)管理員的口令即使是8位帶～!@＃＄％^＆＊的也不代表是很安全的，安全的口令應當是每月更換的帶～!@＃％^...的口令。而且如果一個管理員管理多臺機器，請不要將每臺機器的密碼設成一樣的，防止黑客攻破一臺機器后就可攻擊所有機器。對于用戶的口令，目前的情況下系統(tǒng)管理員還不能依靠用戶自覺保證口令的安全，管理員應當經(jīng)常運用口令破解工具對自己機器上的用戶口令進行檢查，發(fā)現(xiàn)如在不安全之列的口令應當立即通知用戶修改口令。郵件服務器不應該給用戶進shell的權利，新加用戶時直接將其shell指向/bin/passwd。對能進shell的用戶更要小心保護其口令，一個能進shell的用戶等于半個超級用戶。保護好/etc/passwd和/etc/shadow當然是首要的事情。不應該將口令以明碼的形式放在任何地方，系統(tǒng)管理員口令不應該很多人都知道。另外，還應從技術上保密，最好不要讓root遠程登錄，少用Telnet或安裝SSL加密Telnet信息。另外保護用戶名也是很重要的事情。登錄一臺機器需要知道兩個部分——用戶名和口令。如果要攻擊的機器用戶名都需要猜測，可以說攻破這臺機器是不可能的。、授權管理帳戶的權限控制是針對網(wǎng)絡非法操作所進行的一種安全保護措施。在用戶登錄網(wǎng)絡時，用戶名和口令驗證有效之后，再經(jīng)進一步履行用戶帳號的缺省限制檢查，用戶被賦予一定的權限，具備了合法訪問網(wǎng)絡的資格。我們可以根據(jù)訪問權限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權限可以用一個訪問控制表來描述。授權管理控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。同時對所有用戶的訪問進行審計和安全報警，具體策略如下：、目錄級安全控制控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限（Supervisor）讀權限（Read）寫權限（Write）創(chuàng)建權限（Create）刪除權限（Erase）修改權限（Modify）文件查找權限（File Scan）存取控制權限（Access Control）網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。、屬性級安全控制當使用文件、目錄時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力，避免引起不同的帳戶獲得其不該擁有的訪問權限。屬性設置可以覆蓋已經(jīng)指定的任何有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)拷貝一個文件刪除目錄或文件查看目錄和文件執(zhí)行文件隱含文件共享系統(tǒng)屬性網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。網(wǎng)絡管理員還應對網(wǎng)絡資源實施監(jiān)控，網(wǎng)絡服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。定期掃描與帳戶安全有關的問題。由于帳戶設置的問題使得系統(tǒng)用戶可以有意或無意地插入帳戶。用戶帳號檢測可以在系統(tǒng)的口令文件中尋找這類問題，同時尋找非活動帳號，它們往往是被攻擊的對象。對帳戶進行安全問題的檢測，應使第三方掃描軟件搜索不到您的內(nèi)部帳戶名稱和口令，將可能出現(xiàn)的安全問題提前處理掉，并將當前系統(tǒng)帳戶設置同上一次系統(tǒng)安全掃描評價時的設置相比較，將發(fā)現(xiàn)的新增的未認證帳戶和用戶修改過的標識刪除，及時將發(fā)現(xiàn)的其它安全問題修正。運行網(wǎng)絡安全管理、目的保障秦熱運行網(wǎng)絡的安全運行，明確日常運行網(wǎng)絡管理責任。、范圍本制度適應于對秦熱網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)。、定義運行網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)在運行過程中的訪問控制和數(shù)據(jù)的安全性。包括資源管理、入侵檢測、日常安全監(jiān)控與應急響應、人員管理和安全防范。、日常安全監(jiān)控、值班操作員每隔50分鐘檢查一次業(yè)務系統(tǒng)的可用性、與相關主機的連通性及安全日志中的警報。、網(wǎng)絡管理員每天對安全日志進行一次以上的檢查、分析。檢查內(nèi)容包括防火墻日志、IDS日志、病毒防護日志、漏洞掃描日志等。、網(wǎng)絡管理員每天出一份安全報告，安全報告送網(wǎng)絡處主管領導。重要安全報告由主管領導轉(zhuǎn)送部門領導、安全小組和相關部門。所有安全報告存檔科技部綜合處，網(wǎng)絡管理員在分析處理異常情況時能夠隨時調(diào)閱。文檔的密級為A級，保存期限為二年。、安全日志納入系統(tǒng)正常備份，安全日志的調(diào)閱執(zhí)行相關手續(xù)，以磁介質(zhì)形式存放，文檔的密級為B級，保存期限為一年。、安全響應、發(fā)現(xiàn)異常情況，及時通知網(wǎng)絡管理員及網(wǎng)絡處主管領導，并按照授權的應急措施及時處理。、黑客入侵和不明系統(tǒng)訪問等安全事故，半小時內(nèi)報知部門領導和安全小組。、對異常情況確認為安全事故或安全隱患時，確認當天報知部門領導和安全小組。、系統(tǒng)計劃中斷服務15分鐘以上，提前一天通知業(yè)務部門、安全小組。系統(tǒng)計劃中斷服務1小時以上時，提前一天報業(yè)務領導。文檔的密級為C級，保存期限為半年。、非計劃中斷服務，一經(jīng)發(fā)現(xiàn)即作為事故及時報計算機中心管理處、安全小組、科技部部門領導。非計劃中斷服務半小時以上，查清原因后，提交事故報告給安全小組、科技部部門領導。文檔的密級為A級，保存期限為兩年。、運行網(wǎng)絡安全防范制度、網(wǎng)絡管理員每一周對病毒防火墻進行一次病毒碼的升級。、網(wǎng)絡管理員每個月對網(wǎng)絡結構進行分析，優(yōu)化網(wǎng)絡，節(jié)約網(wǎng)絡資源，優(yōu)化結果形成文檔存檔，文檔的密級為A級，保存期限為二年。、網(wǎng)絡管理員每個月對路由器、防火墻、安全監(jiān)控系統(tǒng)的安全策略進行一次審查和必要的修改，并對修改部分進行備份保存，以確保安全策略的完整性和一致性。對審查和修改的過程和結果要有詳細的記錄，形成必要的文檔存檔，文檔的密級為A級，保存期限為二年。、網(wǎng)絡管理員每個月對網(wǎng)絡、系統(tǒng)進行一次安全掃描，包括NETRECON的檢測，及時發(fā)現(xiàn)并修補漏洞，檢測結果形成文檔，文檔密級為B級，保存期限為一年。、新增加應用、設備或進行大的系統(tǒng)調(diào)整時，必須進行安全論證并進行系統(tǒng)掃描和檢測，系統(tǒng)漏洞修補后，符合安全要求才可以正式運行。、重大系統(tǒng)修改、網(wǎng)絡優(yōu)化、安全策略調(diào)整、應用或設備新增時，必須經(jīng)過詳細研究討論和全面測試，并要通過安全方案審核，確保網(wǎng)絡和業(yè)務系統(tǒng)的安全和正常運行。、系統(tǒng)內(nèi)部IP地址需要嚴格遵守相關的IP地址規(guī)定。、嚴格禁止泄露IP地址、防火墻策略、監(jiān)控策略等信息。、運行網(wǎng)絡人員管理制度、嚴格限制每個用戶的權限，嚴格執(zhí)行用戶增設、修改、刪除制度，防止非授權用戶進行系統(tǒng)登錄和數(shù)據(jù)存取。、嚴格網(wǎng)絡管理人員、系統(tǒng)管理人員的管理，嚴格執(zhí)行離崗審計制度。、對公司技術支持人員進行備案登記制度，登記結果存檔，密級為C級，保存期限為半年。數(shù)據(jù)備份、目的規(guī)范業(yè)務數(shù)據(jù)備份和恢復操作，確保業(yè)務系統(tǒng)和數(shù)據(jù)安全。、適用范圍業(yè)務系統(tǒng)各服務器的磁帶備份和硬盤備份。其它服務器備份可參考本制度。、定義循環(huán)日志備份方式，也稱為脫機備份方式，是指當備份任務運行時，只有備份任務可以與數(shù)據(jù)庫連接，其他任務都不能與數(shù)據(jù)庫連接。利用數(shù)據(jù)庫的脫機備份映像（Image）文件可以恢復數(shù)據(jù)庫到與備份時間點一致的狀態(tài)。歸檔日志備份方式，也稱為聯(lián)機備份方式，是指當備份任務運行的同時，其他應用程序或者進程可以繼續(xù)與該數(shù)據(jù)庫連接并繼續(xù)讀取盒修改數(shù)據(jù)。利用數(shù)據(jù)庫的聯(lián)機備份映像文件和日志（Log）文件，可以恢復數(shù)據(jù)庫到與日志文件相符的某個時間點一致的狀態(tài)。、規(guī)定、系統(tǒng)和配置備份系統(tǒng)安裝、升級、調(diào)整和配置修改時做系統(tǒng)備份。包括系統(tǒng)備份和數(shù)據(jù)庫備份。數(shù)據(jù)庫采用循環(huán)日志備份方式，也就是脫機備份方式。備份由管理員執(zhí)行。備份一份。長期保存。、應用數(shù)據(jù)備份、日備份日備份的數(shù)據(jù)庫，分別采用兩盤磁帶進行備份，備份的數(shù)據(jù)保留三個月。為了實現(xiàn)業(yè)務系統(tǒng)24小時的不間斷對外服務，數(shù)據(jù)庫的備份方式是歸檔日志備份方式，也就是聯(lián)機備份方式。采用這種方式進行備份，系統(tǒng)的服務不需要停止，數(shù)據(jù)庫采用其內(nèi)部的機制實現(xiàn)備份前后數(shù)據(jù)的一致。備份由操作員執(zhí)行。、月備份系統(tǒng)每月進行一次月備份。備份的內(nèi)容包括應用程序、數(shù)據(jù)庫應用程序以及進行數(shù)據(jù)庫的循環(huán)日志備份。備份由管理員執(zhí)行。備份一份。長期保存。、應用變更備份應用系統(tǒng)應用變更時，做一次系統(tǒng)備份。備份由管理員執(zhí)行。備份一份，長期保存。、備份磁帶命名依據(jù)設備或者秦熱的相關設備命名規(guī)范。、備份數(shù)據(jù)的保管需要專人和專用設備進行保管。、備份數(shù)據(jù)的使用參考秦熱的相關規(guī)定。應急方案、目的確保網(wǎng)絡和業(yè)務系統(tǒng)安全有效運行，及時、有效處理各種突發(fā)事件，防范降低風險，提高計算機系統(tǒng)的運行效率。、定義應急方案包括：主機系統(tǒng)故障應急方案、通信系統(tǒng)故障應急方案、系統(tǒng)和數(shù)據(jù)的災難備份與恢復、黑客攻擊的應急方案、主機感染病毒后的應急方案、安全體系受損或癱瘓的應急方案。、應急方案、主機系統(tǒng)故障應急方案、通信系統(tǒng)故障應急方案、系統(tǒng)和數(shù)據(jù)的災難備份與恢復、黑客攻擊的應急方案、主機感染病毒后的應急方案、安全體系受損或癱瘓的應急方案。、應急方案的管理、應急方案要歸檔管理。、應急方案隨著網(wǎng)絡和業(yè)務系統(tǒng)的改變而即時進行修改。、要保證應急方案啟動的快速性、實施的高效性、結果的正確性。、定時進行應急演練。計算機安全產(chǎn)品管理制度、安全產(chǎn)品的