『壹』 如何配置虛擬主機:如何安全配置虛擬化
Exactech的網路管理員Craig Bush表示:「之所以我們暫時不考慮採用伺服器虛擬化技術就是因為我聽說了虛擬管理器可能帶來的安全風險。」 以下是目前人們在虛擬環境下最為關注的四個安全問題:1、虛擬機可能帶來的安全問題 IT經理們擔心針對虛擬機的安全攻擊可能會影響到在同一主機環境下的虛擬機。如果一台虛擬機可以「避開」他所處的獨立環境而與配套的虛擬管理器協同工作的話,那麼攻擊者就無法攻進管理其他虛擬機的虛擬管理器,也就不必專門針對保護虛擬機而進行安全控制了。 「虛擬世界中安全問題的尚方寶劍就是避開虛擬機,掌握對虛擬機和虛擬環境的控制。」Burton Group高級分析師Pete Lindstrom最近在一個有關虛擬化技術安全問題的網路廣播中這樣說道。 雖然已經有了許多嘗試這種避開虛擬機的例子,但是還有人指出目前還沒有出現在虛擬機安全方面發生的災難故障。 Catapult Systems公司咨詢師Steve Ross表示:「在我看來,目前還沒有哪個黑客可以通過虛擬管理器將安全問題從一個虛擬主機上轉移到另一個虛擬主機上。」 美國緬因州Bowdoin College大學系統工程師Tim Antonowicz表示:「也許這種情況會發生,黑客或者攻擊者可能從一個虛擬機上轉移到另一個虛擬機,但是到目前為止我還沒有發現有任何的功能中斷情況。」Antonowicz應用了VMware ESX來進行伺服器虛擬化,他根據虛擬機上的數據信息和應用的靈敏性程度,將虛擬機從資源集群中隔離出來,從而將安全隱患降到最低水平。他說:「你不得不以這種方式將虛擬機隔離開來,這樣才能加強安全性。」 美國芝加哥Cars.com公司技術操作總監Edward Christensen也採取相同的做法對架構中的虛擬機進行隔離。他說:「確保IT環境安全的通常做法就是在資料庫和應用層之間建立防火牆。但是當你處在虛擬環境下,問題就復雜多了。」這家在線汽車公司使用虛擬機來對其配置的惠普伺服器進行虛擬化,在網路外存儲虛擬環境可以從一定程度上緩解安全問題。 2、為虛擬機打補丁 虛擬機的普及會帶來一個問題:虛擬機開發的簡易性會導致更多預期之外的應用實例出現,尤其是在虛擬環境下對操作系統的升級和更新。 Burton Group分析師Lindstrom表示:「因為這些虛擬機並不是固定的,所以為這些虛擬機打補丁成為一個嚴峻挑戰,在虛擬世界中確保一台虛擬機上的補丁程序的合法化是非常重要的。」 IT經理都表示認同打補丁是虛擬環境下一項重要工作,但是他們之間的分歧主要集中在為虛擬伺服器打補丁和為物理伺服器打補丁並不是一個安全問題,而是卷容量問題。 Catapult公司分析師Ross表示:「我們需要謹記一點,虛擬伺服器和物理伺服器一樣需要進行補丁管理和補丁維護。」Transplace有三種虛擬環境,其中兩個是在網路中而另一個是在DMZ中(包括大約150台虛擬機),「虛擬管理器為升級更新添加了新的層,但是打補丁這項工作無論在虛擬機還是物理機上都是十分重要的。」 在Antonowicz看來,現在虛擬機普遍應用之後首先要面臨一個優先考慮的問題,因為當在他直接管理下的虛擬機數量增加時,也就意味著為虛擬機打補丁所花費的時間更長了。早過去,他要給40台伺服器打補丁,而現在這個數量增加到了80台,他希望有一天能夠使用一款專門的工具來自動完成這個打補丁的工作。 他說:「如果不加以強行控制的話,虛擬環境就會瘋漲。在我們引進更多的虛擬機設備前,我希望業內能夠推出一款專門打補丁的自動化工具。」3、在DMZ上運行虛擬機 通常許多IT經理都會避免將虛擬伺服器在DMZ中運行,而其他IT經理則不會在DMZ或那些被企業級防火牆保護的虛擬機中運行關鍵業務應用。但是Burton Group分析師Lindstrom指出,只要有適當的安全保護措施,用戶完全可以將虛擬伺服器在DMZ中運行。他說:「只要防火牆或其他獨立設備是物理環境下的,你就可以在DMZ中應用虛擬化技術。大多數情況下,只要你將資源分離開,就可以放心的運行應用了。」 許多IT經理都開始著手將他們的虛擬伺服器進行分離,並設置在企業級防火牆的保護下。Transplace公司IT架構總監Scott Engle認為,有價值的東西都在防火牆保護下,那些在DMZ中運行的虛擬機應用包括DNS等服務。 Engle表示:「我們在託管主機中運行虛擬機。在DMZ中,我們將運行帶有少量VMware實例的物理伺服器,但是我們不會將託管伺服器和未託管網路連接起來。」4、新引入的虛擬管理器技術可能會讓黑客有機可乘 任何一套新的操作系統都可能有很多漏洞,這也就意味著黑客們也會極力找出虛擬操作系統致命弱點以發出安全攻擊。 業內觀察家建議安全經理應該謹慎對待虛擬操作系統,這些虛擬操作系統可能帶來的安全隱患恐怕不是所有手動操作都能解決的。 Ptak,Noel and Associates的首席分析師Richard L. Ptak表示:「虛擬系統實際上是一套全新的操作系統,可以實現底層硬體和環境的緊密交互源碼天空 ,可能帶來的管理換亂問題不容忽視。」 但是,虛擬管理器可能帶來的安全隱患也許比人們想像中的少。像VMware等公司都開始致力於最大程度上降低虛擬管理器技術可能存在的安全漏洞。 Internet Research Group首席分析師Peter Christy表示:「VMware此舉是一個很好的示範。但是一個管理器僅僅是出於表層的一小部分代碼,要比確保8000萬行代碼的安全性要容易多了。」
『貳』 關於2003伺服器的安全設置
windows server2003是目前最為成熟的網路伺服器平台,安全性相對於windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實際情況來對win2003進行全面安全配置。說實話,安全配置是一項比較有難度的網路技術,許可權配置的太嚴格,好多程序又運行不起,許可權配置的太松,又很容易被黑客入侵,做為網路管理員,真的很頭痛,因此,我結合這幾年的網路安全管理經驗,總結出以下一些方法來提高我們伺服器的安全性。
第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤
為了提高安全性,伺服器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁碟配額、EPS文件加密等。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網安聯盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業可升級版,這個一個完全破解了的版本,可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件,安裝完後打上最新的補丁,到網上升級到最新版本!保證操作系統本身無漏洞。
第二招:正確設置磁碟的安全性,具體如下(虛擬機的安全設置,我們以asp程序為例子)重點:
1、系統盤許可權設置
C:分區部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創建文件/寫入數據(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取許可權
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改許可權
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改許可權
2、網站及虛擬機許可權設置(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機創建了一個guest用戶,用戶名為vhost1...vhostn並且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組裡面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權
比如F盤為數據備份盤,我們只指定一個管理員對它有完全操作的許可權
4、其它地方的許可權設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作許可權
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheler 允許程序在指定時間運行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
第四招:修改注冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接_blank">防火牆,在設置服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務埠
運行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進制狀態下改成你想要的埠號吧,比如7126之類的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的埠號和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設置的默認共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼許可權都沒有的那種,然後打開記事本,一陣亂敲,復制,粘貼到「密碼」里去,呵呵,來破密碼吧~!破完了才發現是個低級賬戶,看你崩潰不?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些*常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣,出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況,一台主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:安全日誌是空的,倒,請記住:Win2000的默認安裝是不開任何安全審核的!那麼請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義
5. 運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice_blank">防火牆
6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置,更改默認埠,和管理密碼
7.設置ip篩選、用blackice禁止木馬常用埠
一般禁用以下埠
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.
打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開資料庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".
如果系統提示"拒絕訪問資料庫",不管他.
你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全資料庫重建成功.
『叄』 數據安全怎麼做,安全性更高
隨著大數據的蓬勃發展,大數據的安全問題越來越受到業界的重視。不久前,中國信息通信研究院發表了《大數據安全白皮書》,指出了當前大數據發展面臨的安全問題,並提出了促進大數據安全技術發展的具體建議。
白皮書認為,大數據已經對經濟運行機制、社會生活方式和國家治理能力產生深刻影響,需要從「大安全」的視角認識和解決大數據安全問題。無論是商業策略、社會治理還是國家戰略的制定,都越來越重視大數據的決策支撐能力。但業界同時也要看到,大數據是一把雙刃劍,大數據分析預測的結果對社會安全體系所產生的影響力和破壞力可能是無法預料與提前防範的。
大數據安全是涉及技術、法律、監管、社會治理等領域的綜合性問題,其影響范圍涵蓋國家安全、產業安全和個人合法權益。同時,大數據在數量規模、處理方式、應用理念等方面的革新,不僅會導致大數據平台自身安全需求發生變化,還將帶動數據安全防護理念隨之改變,同時引發對高水平隱私保護技術的需求和期待。
白皮書認為,大數據安全威脅滲透在數據生產、採集、處理和共享等方面,大數據產業鏈的各個環節,風險成因復雜交織;既有外部攻擊,也有內部泄露;既有技術漏洞,也有管理缺陷;既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。對於未來大數據安全技術發展,白皮書給出了具體建議:
第一,站在總體安全觀的高度,應構建大數據安全綜合防禦體系
安全是發展的前提,必須全面提高大數據安全技術保障能力,進而構建貫穿大數據應用雲管端的綜合立體防禦體系,以滿足國家大數據戰略和市場應用的需求。一是建立覆蓋數據收集、傳輸、存儲、處理、共享、銷毀全生命周期的安全防護體系,綜合利用數據源驗證、大規模傳輸加密、非關系型資料庫加密存儲、隱私保護、數據交易安全、數據防泄露、追蹤溯源、數據銷毀等技術,與系統現有網路信息安全技術設施相結合,建立縱深的防禦體系;二是提升大數據平台本身的安全防禦能力,引入用戶和組件的身份認證、細粒度的訪問控制、數據操作安全審計、數據脫敏等隱私保護機制,從機制上防止數據的未授權訪問和泄露,同時增加大數據平台組件配置和運行過程中隱含的安全問題的關注,加強對平台緊急安全事件的響應能力;三是實現從被動防禦到主動檢測的轉變,藉助大數據分析、人工智慧等技術,實現自動化威脅識別、風險阻斷和攻擊溯源,從源頭上提升大數據安全防禦水平,提升對未知威脅的防禦能力和防禦效率。
『肆』 windows 2008 R2 做web伺服器該怎麼配置安全方面的問題
看了你的設置,覺得不像新手。
很不錯了。而且你的數字列表也是計算機形式,少見。
0、這里的安全是網站自身登陸帳號器或者後台用戶的許可權分配。
1、原則上開啟這兩個就會達到目標是,遠程式控制制和遠程80訪問。
2、是的,通常開個目標是用戶可以遠程管理站點。通過相應的許可權上傳資料。不需要給整個後台的許可權。
3、有的站點系統會集成郵件系統,如果你沒有,完全可以關閉。
4、是的。就是要開啟了
5、對一些普通用戶掃描3389共享會有用的。這個搜索一下,即可在注冊表裡更改,重新啟動生效。
6、這個不太確定,應該是不用的。有的系統,前台和資料庫是分離的,用戶只管和前台80請求即可。Mysql不需要發布出去。
7、這個就不太懂了。這個網站方面的漏洞了。
8、可以在TCP/IP中的IPfilter中過濾埠也可以。微軟本身有一個安全工具,找找Microsoft Baseline Security Analyzer,可以進一步給出建議。
以後可能有網站防火牆,在前面擋一下。如果我有的話,到時候介紹給你
『伍』 如何做好重要客戶用電安全管理
【摘 要】重要客戶由於廣泛的社會影響性,任何事故都會給社會政治、經濟、治安等諸多方面帶來影響。因此,供電企業非常重視重要客戶的安全管理,積極採取各項措施保障其安全用電。然而,部分重要客戶自身存在用電安全隱患,並對供電企業提出的整改要求不配合不落實,給供用電安全帶來巨大的隱患。為此,如何抓好重要客戶的用電安全管理,確保隱患整改到位,消除安全風險,這是政府以及供用電雙方乃至整個社會共同關注的問題。
【關鍵詞】重要客戶;用電安全;整改
1.政府的政策引導與供電企業的專業管理
重要電力客戶的供用電安全隱患治理,需要政府的政策引導以及供電企業的專業管理,這已經成為了共識。近些年,相關部門相繼出台《關於加強對重要客戶安全供用電工作管理的通知》、《關於做好重要客戶應急搶險供電服務現場處置方案編制工作的通知》等文件,各級供電企業發揮自身的專業優勢,對重要客戶開展了一系列供用電安全檢查、隱患排查、綜合治理等工作,切實履行社會責任。
1.1完善基礎資料及相應的制度
1.1.1制定《重要電力客戶用電管理辦法》,對重要用戶的用電安全提出要求,對監督檢查機構及方式、法律責任和處罰進行明確,對重要用戶所屬供電電源配置、自備應急電源配置、應急預案演練、危險點分析等安全用電管理進行嚴格要求,進一步提高客戶所屬設備的健康運行和維護水平,加強安全用電管理,提高重要客戶安全用電管理水平,杜絕重大事故發生。
1.1.2建立健全重要客戶專項檔案,多渠道及時掌握重要客戶的雙(多)迴路電源情況,應急自備電源情況、電工持證情況等。進一步完善並妥善保存留有客戶簽字的歷次用電檢查記錄、客戶受電裝置各類試驗(消缺、整改)記錄、進線繼電保護和安全自動裝置的定值計算(整改、校驗)記錄,待用電安全防護措施、反事故措施、電氣設備明細等基礎資料統一歸檔並實行動態管理。
1.1.3根據管轄范圍內重要客戶的供用電特點,制定《重要客戶停電事故應急處理預案》。明確供電正常情況下應急保電處置程序、供電可靠性下降後處置程序以及客戶雙迴路失電情況下應急保電處置程序,確保在客戶事故狀態下的供電應急服務到位,提升客戶事故狀態下的風險應對能力。
1.2嚴格開展定期專項安全檢查
各級供電企業要把重要客戶安全隱患的排查整治置於非常重要的位置,定期開展安全專項檢查,具體內容為:供電方式、保安電源、自備應急電源保安措施的可靠性情況、電氣設備和繼電保護整定的定期試驗檢測情況、缺陷記錄、安全工具配置、變配電系統的安全制度、電工資格證有效性等。
1.3規范客戶隱患通知程序
對因客戶原因形成的用電安全問題和隱患,嚴格執行書面告知,下發《用電安全隱患限期整改通知書》或由安監部門發出限期整改指令,督促客戶制定有效整改和消缺措施,切實做到檢查全覆蓋、過程全指導、通知全到位、隱患無遺漏;對煤礦、化工等高危型重要客戶,建立隱患整治常態化督導機制;對隱患進行動態跟蹤,加強隱患排查後的復查工作,堅持反復抓、抓反復、及時督促其整改到位。
2.重要客戶存在的安全隱患
2.1重要客戶普遍存在的安全隱患
2.1.1用戶變配電設施達不到安全標准。部分高危型重要客戶變配電設施沒有定期維護,存在運行年限較長的設備帶病運行的情況,達不到電力設施的安全運行標准。
2.1.2應急預防措施欠缺。部分重要客戶未按國家和行業相關規定配置雙電源、自備應急電源;自備應急電源的運行管理、投切裝置不符合安全技術要求;部分客戶對制定停電應急預案和停電應急措施比較排斥,有些客戶雖制定了但措施針對性不強。
2.1.3人員安全素質不高。部分重要客戶所配置的設備運行操作人員未經過專業培訓和考試,缺乏基本的安全技能和安全素質,且缺少電力監管員,對現場操作監察力度不夠。
2.2存在安全隱患的原因
針對這些普遍存在的問題,雖然部分重要電力客戶已採取相應措施開展整改,但從筆者走訪調查的情況來看,情形不容樂觀。
2.2.1客戶內部資金不足。通過供電部門多次對重要客戶進行用電安全檢查,發現存在隱患的設備數量多、單價金額高,企業改造需要投入的資金較多,動輒需要幾十萬上百萬元。
2.2.2客戶安全意識淡薄。由於市場競爭激烈,一些企業重經濟、輕安全,沒有把電力安全與經濟效益、企業發展放在同等重要的位置上,萬事以經濟效益為先,認識不到隱患整改工作的嚴峻形勢和重大影響。從而對電力安全隱患心存僥幸、思想麻痹,甚至漠不關心、聽之任之,致使隱患整改不到位、人員不明確、責任不落實。
2.2.3客戶自身缺乏必要的整改能力。重大安全隱患的整改是一個復雜的系統工程,既要考慮到用電安全,又要考慮到生產效益;既要考慮到眼前工作,又要考慮到長遠規劃;既要考慮到迅速徹底,又要考慮到企業的實力等。
3.重要電力客戶安全隱患的整改對策
重要電力客戶的用電安全,關繫到全社會的安全穩定,切實推進重要電力客戶用電安全隱患整治刻不容緩。重要電力客戶隱患整改是一項系統工程,需要政府供電企業電力客戶以及全社會的共同努力。因此,有必要建立政府引導,供電企業專業指導,電力客戶主導,社會各方支持配合的整治機制。
3.1提高重要客戶的安全意識和能力。加大安全知識宣傳力度,定期發放安全用電常識、安全警示教育及安全事故案例等方面的資料;與客戶共享安全生產新政策、新規程、新技術,使重要客戶對安全檢查及隱患排查治理工作有新的認識,充分認識隱患排查治理工作對自身安全和維護公共安全的重要性;定期組織電力技術、安全生產等方面的專家對重要客戶開展技術幫扶,就重要客戶的電力安全生產管理、事故應急管理等方面進行講解和授課,切實提高重要客戶線路、變壓器等電力設施運行維護管理水平。
3.2協助重要客戶完成隱患整改工作。指導客戶健全企業內部的變(配)電所運行管理制度、安全工作規程、設備運行規程、工作票制度,完善安全標識警示牌設置;幫助重要客戶聯系有試驗資質、信譽較好的單位定期對用電設備進行維護和故障消缺;以供電企業的技術優勢,協助重要客戶制訂切實可行的整改方案,為重要客戶解決用電安全隱患提供幫助和指導。
3.3多渠道籌集整改資金。客戶資金不足是制約隱患整改的重要原因,如何籌集整改資金,為隱患整改提供必要的經濟保障成了需要切實解決的問題。建議客戶在遵循市場經濟規律的基礎上,積極採取法律、行政等多種手段,通過政府投入、社會集資、單位自籌、銀行貸款等多種方式解決資金問題,並對客戶的籌資過程實時跟蹤,適當給予幫助,加速整改籌資的速度,盡快完成隱患整改,消除用電風險。
3.4加強與政府及相關部門的溝通,聯合督辦推進整改。重大電力安全隱患整改關繫到社會穩定,經濟持續、健康發展,因此僅憑供電企業的力量來推進隱患整改確實存在很大的困難。
3.5聯手媒體,強化宣傳。媒體以其傳播速度快、涉及面廣、反響大的特點對各行各業的監督效果不容小覷。
4.結束語
用戶用電安全不僅關系自身的安危,還關繫到電網的安全運行和供電秩序的和諧穩定,完善用電專業管理,加強安全隱患治理是提高用戶用電安全水平、實現用電安全的重要途徑,作為供電行業的管理者,供電企業應充分發揮好自己的作用,主動和用戶溝通聯系,發揮專業優勢,做好用電安全管理工作保證用戶的用電安全不僅僅只取決於用戶自己和供電企業,還需要社會各界的共同努力,才能實現用電安全,確保工作取得實效。
『陸』 如何做好網路安全防護
一、做好基礎性的防護工作,伺服器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦 WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟體,至少能對付大多數木馬和病毒的,安裝好殺毒軟體,設置好時間段自動上網升級,設置好帳號和許可權,設置的用戶盡可能的少,對用戶的許可權盡可能的小,密碼設置要足夠強壯。對於 MSSQL,也要設置分配好許可權,按照最小原則分配。最好禁用xp_cmdshell。有的網路有硬體防火牆,當然好,但僅僅依靠硬體防火牆,並不能阻擋 hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬體防火牆的阻擋。WIN2K3系統自帶的防火牆功能還不夠強大,建議打開,但還需要安裝一款優秀的軟體防火牆保護系統,我一般習慣用ZA,論壇有很多教程了。對於對互聯網提供服務的伺服器,軟體防火牆的安全級別設置為最高,然後僅僅開放提供服務的埠,其他一律關閉,對於伺服器上所有要訪問網路的程序,現在防火牆都會給予提示是否允許訪問,根據情況對於系統升級,殺毒軟體自動升級等有必要訪問外網的程序加到防火牆允許訪問列表。那麼那些反向連接型的木馬就會被防火牆阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網路上有很多基礎型的防護資料,大家可以查查相關伺服器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如 mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些埠,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站都是因為這個伺服器被入侵,如果我們作為網站或者伺服器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網路管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對於公司來說,如果系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、伺服器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對於外網開放的伺服器來說,就要謹慎了,要想到自己能用,那麼這個埠就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問伺服器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389埠改一下。當然也可以用其他的遠程管理軟體,pcanywhere也不錯。
四、另外一個容易忽視的環節是網路容易被薄弱的環節所攻破,伺服器配置安全了,但網路存在其他不安全的機器,還是容易被攻破,「千里之堤,潰於蟻穴 」。利用被控制的網路中的一台機器做跳板,可以對整個網路進行滲透攻擊,所以安全的配置網路中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker 攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟體,比如DDOS攻擊軟體,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最後想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80埠,如果服務方面存在漏洞的話,水平高的hacker還是可以鑽進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。「攻就是防,防就是攻」 ,這個觀點我比較贊同,我說的意思並不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什麼叫克隆管理員賬號,也許你的機器已經被入侵並被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站如果真的做得無漏洞可鑽,hacker也就無可奈何了。
『柒』 倒車影像和ESP功能是用戶最看重的安全配置
中國汽車流通協會近日發布的《2019年11月汽車用戶看選買行為分析報告》顯示,用戶看車階段更愛整車測評,視頻傳播形式更受歡迎;用戶選車階段用戶更看車型級別和配置,倒車影像和ESP功能是用戶最為看重的兩類安全配置。
《報告》顯示,在選車階段,從用戶對汽車信息的關注度看,視頻仍是用戶最受歡迎的內容類型,長、短視頻往往能夠占據當月相關內容題材半數以上。從用戶主動搜索的內容類型來看,評測類節目佔比大幅提高,用戶對改裝、試駕、測試等內容更為關注。
當用戶從「看」的階段進入到「選」的階段,車型級別和價格是用戶首先考慮的兩個因素,佔比均為70%以上。除此之外,用戶較為關注到變速箱和燃料等因素,關注變速箱用戶佔比為27%。
在產品配置上,在不同領域用戶的關注點不同。《報告》顯示,倒車影像和ESP功能是用戶最為看重的兩類安全配置,一半以上的用戶在考慮車輛安全時均為關注到以上兩項。在各類舒適配置對用戶的重要程度中,無鑰匙啟動、全景天窗、多功能方向盤排在前三位,可以看到,隨著年輕一代消費群體的崛起,他們對科技配置的要求越來越高。對生活質量要求高的消費者,會盡可能要求豐富的舒適配置,比如座椅加熱、定速巡航等。
從買車方面看,根據用戶購買意向看,德系、自主和日系依然三足鼎立,三者合計佔比超過80%。在細分車款價格留資趨勢方面,20萬以內車型仍是「買車」主流選擇。
本文來源於汽車之家車家號作者,不代表汽車之家的觀點立場。
『捌』 Win XP 的安全設置(注冊表)怎樣設置是SP1有。
正常使用的情況下不必自己手動更改,注冊表更改許可權等會導致系統或軟體運行異常,甚至崩潰,在關鍵的地方系統已經自動設置了不能更改或隱藏的屬性,個人不必更改。
Win XP默認設置的七個安全問題
隨著電腦越來越深入到普通用戶的生活、工作之中,原來只有專業人員才會遇到的問題,例如配置小型(家庭)網路,現在普通用戶也會經常遇到。Windows系列操作系統一直以易用著稱,力圖讓本來復雜的任務通過簡單的操作即可完成。但是有的時候,易用性和安全是相互沖突的;同時,由於網路的廣泛使用,每一台上網的PC實際上就是一個Internet的節點,所以安全是每一個用戶必須關注的問題。XP作為Windows最新的版本,當然也是最容易使用的操作系統;另一方面,為了提高易用性而採用的許多默認設置卻帶來了安全風險。
一、簡單文件共享
為了讓網路上的用戶只需點擊幾下滑鼠就可以實現文件共享,XP加入了一種稱為「簡單文件共享」的功能,但同時也打開了許多NetBIOS漏洞。關閉簡單文件共享功能的步驟是:打開「我的電腦」,選擇菜單「工具」→「文件夾選項」,點擊「查看」,在「高級設置」中取消「使用簡單文件共享(推薦)」。 二、FAT32
凡是新買的機器,許多硬碟驅動器都被格式化成FAT32。要想提高安全性,可以把FAT32文件系統轉換成NTFS。NTFS允許更全面、細粒度地控制文件和文件夾的許可權,進而還可以使用加密文件系統(EFS,Encrypting File System),從文件分區這一層次保證數據不被竊取。在「我的電腦」中用右鍵點擊驅動器並選擇「屬性」,可以查看驅動器當前的文件系統。如果要把文件系統轉換成NTFS,先備份一下重要的文件,選擇菜單「開始」→「運行」,輸入cmd,點擊「確定」。然後,在命令行窗口中,執行convert x: /fs:ntfs(其中x是驅動器的盤符)。
三、Guest帳戶
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門。如果不需要用到Guest帳戶,最好禁用它。在Win XP Pro中,打開「控制面板」→「管理工具」,點擊「計算機管理」。在左邊列表中找到「本地用戶和組」並點擊其中的「用戶」,在右邊窗格中,雙擊Guest帳戶,選中「帳戶已停用」。WinXP Home不允許停用Guest帳戶,但允許為Guest帳戶設置密碼:先在命令行環境中執行Net user guest password命令,然後進入「控制面板」、「用戶設置」,設置Guest帳戶的密碼。
四、Administrator帳戶
黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一台計算機至少需要一個帳戶擁有Administrator(管理員)許可權,但不一定非用「Administrator」這個名稱不可。所以,無論在XP Home還是Pro中,最好創建另一個擁有全部許可權的帳戶,然後停用Administrator帳戶。另外,在WinXP Home中,修改一下默認的所有者帳戶名稱。最後,不要忘記為所有帳戶設置足夠復雜的密碼。
五、交換文件
即使你的操作完全正常,Windows也會泄漏重要的機密數據(包括密碼)。也許你永遠不會想到要看一下這些泄漏機密的文件,但黑客肯定會。你首先要做的是,要求機器在關機的時候清除系統的頁面文件(交換文件)。點擊Windows的「開始」菜單,選擇「運行」,執行Regedit。在注冊表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然後創建或修改ClearPageFileAtShutdown,把這個DWORD值設置為1。
六、轉儲文件
系統在遇到嚴重問題時,會把內存中的數據保存到轉儲文件。轉儲文件的作用是幫助人們分析系統遇到的問題,但對一般用戶來說沒有用;另一方面,就象交換文件一樣,轉儲文件可能泄漏許多敏感數據。禁止Windows創建轉儲文件的步驟如下:打開「控制面板」→「系統」,找到「高級」,然後點擊「啟動和故障恢復」下面的「設置」按鈕,將「寫入調試信息」這一欄設置成「(無)」。類似於轉儲文件,Dr. Watson也會在應用程序出錯時保存調試信息。禁用Dr. Watson的步驟是:在注冊表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug,把Auto值改成「0」。然後在Windows資源管理器中打開Documents and Settings\All Users\Shared Documents\DrWatson,刪除User.dmp和Drwtsn32.log這兩個文件。
七、多餘的服務
為了方便用戶,WinXP默認啟動了許多不一定要用到的服務,同時也打開了入侵系統的後門。如果你不用這些服務,最好關閉它們:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打開「控制面板」→「管理工具」→「服務」,可以看到有關這些服務的說明和運行狀態。要關閉一個服務,只需右鍵點擊服務名稱並選擇「屬性」菜單,在「常規」選項卡中把「啟動類型」改成「手動」,再點擊「停止」按鈕。