‘壹’ 如何配置虚拟主机:如何安全配置虚拟化
Exactech的网络管理员Craig Bush表示:“之所以我们暂时不考虑采用服务器虚拟化技术就是因为我听说了虚拟管理器可能带来的安全风险。” 以下是目前人们在虚拟环境下最为关注的四个安全问题:1、虚拟机可能带来的安全问题 IT经理们担心针对虚拟机的安全攻击可能会影响到在同一主机环境下的虚拟机。如果一台虚拟机可以“避开”他所处的独立环境而与配套的虚拟管理器协同工作的话,那么攻击者就无法攻进管理其他虚拟机的虚拟管理器,也就不必专门针对保护虚拟机而进行安全控制了。 “虚拟世界中安全问题的尚方宝剑就是避开虚拟机,掌握对虚拟机和虚拟环境的控制。”Burton Group高级分析师Pete Lindstrom最近在一个有关虚拟化技术安全问题的网络广播中这样说道。 虽然已经有了许多尝试这种避开虚拟机的例子,但是还有人指出目前还没有出现在虚拟机安全方面发生的灾难故障。 Catapult Systems公司咨询师Steve Ross表示:“在我看来,目前还没有哪个黑客可以通过虚拟管理器将安全问题从一个虚拟主机上转移到另一个虚拟主机上。” 美国缅因州Bowdoin College大学系统工程师Tim Antonowicz表示:“也许这种情况会发生,黑客或者攻击者可能从一个虚拟机上转移到另一个虚拟机,但是到目前为止我还没有发现有任何的功能中断情况。”Antonowicz应用了VMware ESX来进行服务器虚拟化,他根据虚拟机上的数据信息和应用的灵敏性程度,将虚拟机从资源集群中隔离出来,从而将安全隐患降到最低水平。他说:“你不得不以这种方式将虚拟机隔离开来,这样才能加强安全性。” 美国芝加哥Cars.com公司技术操作总监Edward Christensen也采取相同的做法对架构中的虚拟机进行隔离。他说:“确保IT环境安全的通常做法就是在数据库和应用层之间建立防火墙。但是当你处在虚拟环境下,问题就复杂多了。”这家在线汽车公司使用虚拟机来对其配置的惠普服务器进行虚拟化,在网络外存储虚拟环境可以从一定程度上缓解安全问题。 2、为虚拟机打补丁 虚拟机的普及会带来一个问题:虚拟机开发的简易性会导致更多预期之外的应用实例出现,尤其是在虚拟环境下对操作系统的升级和更新。 Burton Group分析师Lindstrom表示:“因为这些虚拟机并不是固定的,所以为这些虚拟机打补丁成为一个严峻挑战,在虚拟世界中确保一台虚拟机上的补丁程序的合法化是非常重要的。” IT经理都表示认同打补丁是虚拟环境下一项重要工作,但是他们之间的分歧主要集中在为虚拟服务器打补丁和为物理服务器打补丁并不是一个安全问题,而是卷容量问题。 Catapult公司分析师Ross表示:“我们需要谨记一点,虚拟服务器和物理服务器一样需要进行补丁管理和补丁维护。”Transplace有三种虚拟环境,其中两个是在网络中而另一个是在DMZ中(包括大约150台虚拟机),“虚拟管理器为升级更新添加了新的层,但是打补丁这项工作无论在虚拟机还是物理机上都是十分重要的。” 在Antonowicz看来,现在虚拟机普遍应用之后首先要面临一个优先考虑的问题,因为当在他直接管理下的虚拟机数量增加时,也就意味着为虚拟机打补丁所花费的时间更长了。早过去,他要给40台服务器打补丁,而现在这个数量增加到了80台,他希望有一天能够使用一款专门的工具来自动完成这个打补丁的工作。 他说:“如果不加以强行控制的话,虚拟环境就会疯涨。在我们引进更多的虚拟机设备前,我希望业内能够推出一款专门打补丁的自动化工具。”3、在DMZ上运行虚拟机 通常许多IT经理都会避免将虚拟服务器在DMZ中运行,而其他IT经理则不会在DMZ或那些被企业级防火墙保护的虚拟机中运行关键业务应用。但是Burton Group分析师Lindstrom指出,只要有适当的安全保护措施,用户完全可以将虚拟服务器在DMZ中运行。他说:“只要防火墙或其他独立设备是物理环境下的,你就可以在DMZ中应用虚拟化技术。大多数情况下,只要你将资源分离开,就可以放心的运行应用了。” 许多IT经理都开始着手将他们的虚拟服务器进行分离,并设置在企业级防火墙的保护下。Transplace公司IT架构总监Scott Engle认为,有价值的东西都在防火墙保护下,那些在DMZ中运行的虚拟机应用包括DNS等服务。 Engle表示:“我们在托管主机中运行虚拟机。在DMZ中,我们将运行带有少量VMware实例的物理服务器,但是我们不会将托管服务器和未托管网络连接起来。”4、新引入的虚拟管理器技术可能会让黑客有机可乘 任何一套新的操作系统都可能有很多漏洞,这也就意味着黑客们也会极力找出虚拟操作系统致命弱点以发出安全攻击。 业内观察家建议安全经理应该谨慎对待虚拟操作系统,这些虚拟操作系统可能带来的安全隐患恐怕不是所有手动操作都能解决的。 Ptak,Noel and Associates的首席分析师Richard L. Ptak表示:“虚拟系统实际上是一套全新的操作系统,可以实现底层硬件和环境的紧密交互源码天空 ,可能带来的管理换乱问题不容忽视。” 但是,虚拟管理器可能带来的安全隐患也许比人们想象中的少。像VMware等公司都开始致力于最大程度上降低虚拟管理器技术可能存在的安全漏洞。 Internet Research Group首席分析师Peter Christy表示:“VMware此举是一个很好的示范。但是一个管理器仅仅是出于表层的一小部分代码,要比确保8000万行代码的安全性要容易多了。”
‘贰’ 关于2003服务器的安全设置
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。
第一招:正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限
比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限
4、其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
第三招:禁用不必要的服务,提高安全性和系统效率
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查兇手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些着名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".
如果系统提示"拒绝访问数据库",不管他.
你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.
‘叁’ 数据安全怎么做,安全性更高
随着大数据的蓬勃发展,大数据的安全问题越来越受到业界的重视。不久前,中国信息通信研究院发表了《大数据安全白皮书》,指出了当前大数据发展面临的安全问题,并提出了促进大数据安全技术发展的具体建议。
白皮书认为,大数据已经对经济运行机制、社会生活方式和国家治理能力产生深刻影响,需要从“大安全”的视角认识和解决大数据安全问题。无论是商业策略、社会治理还是国家战略的制定,都越来越重视大数据的决策支撑能力。但业界同时也要看到,大数据是一把双刃剑,大数据分析预测的结果对社会安全体系所产生的影响力和破坏力可能是无法预料与提前防范的。
大数据安全是涉及技术、法律、监管、社会治理等领域的综合性问题,其影响范围涵盖国家安全、产业安全和个人合法权益。同时,大数据在数量规模、处理方式、应用理念等方面的革新,不仅会导致大数据平台自身安全需求发生变化,还将带动数据安全防护理念随之改变,同时引发对高水平隐私保护技术的需求和期待。
白皮书认为,大数据安全威胁渗透在数据生产、采集、处理和共享等方面,大数据产业链的各个环节,风险成因复杂交织;既有外部攻击,也有内部泄露;既有技术漏洞,也有管理缺陷;既有新技术新模式触发的新风险,也有传统安全问题的持续触发。对于未来大数据安全技术发展,白皮书给出了具体建议:
第一,站在总体安全观的高度,应构建大数据安全综合防御体系
安全是发展的前提,必须全面提高大数据安全技术保障能力,进而构建贯穿大数据应用云管端的综合立体防御体系,以满足国家大数据战略和市场应用的需求。一是建立覆盖数据收集、传输、存储、处理、共享、销毁全生命周期的安全防护体系,综合利用数据源验证、大规模传输加密、非关系型数据库加密存储、隐私保护、数据交易安全、数据防泄露、追踪溯源、数据销毁等技术,与系统现有网络信息安全技术设施相结合,建立纵深的防御体系;二是提升大数据平台本身的安全防御能力,引入用户和组件的身份认证、细粒度的访问控制、数据操作安全审计、数据脱敏等隐私保护机制,从机制上防止数据的未授权访问和泄露,同时增加大数据平台组件配置和运行过程中隐含的安全问题的关注,加强对平台紧急安全事件的响应能力;三是实现从被动防御到主动检测的转变,借助大数据分析、人工智能等技术,实现自动化威胁识别、风险阻断和攻击溯源,从源头上提升大数据安全防御水平,提升对未知威胁的防御能力和防御效率。
‘肆’ windows 2008 R2 做web服务器该怎么配置安全方面的问题
看了你的设置,觉得不像新手。
很不错了。而且你的数字列表也是计算机形式,少见。
0、这里的安全是网站自身登陆帐号器或者后台用户的权限分配。
1、原则上开启这两个就会达到目标是,远程控制和远程80访问。
2、是的,通常开个目标是用户可以远程管理站点。通过相应的权限上传资料。不需要给整个后台的权限。
3、有的站点系统会集成邮件系统,如果你没有,完全可以关闭。
4、是的。就是要开启了
5、对一些普通用户扫描3389共享会有用的。这个搜索一下,即可在注册表里更改,重新启动生效。
6、这个不太确定,应该是不用的。有的系统,前台和数据库是分离的,用户只管和前台80请求即可。Mysql不需要发布出去。
7、这个就不太懂了。这个网站方面的漏洞了。
8、可以在TCP/IP中的IPfilter中过滤端口也可以。微软本身有一个安全工具,找找Microsoft Baseline Security Analyzer,可以进一步给出建议。
以后可能有网站防火墙,在前面挡一下。如果我有的话,到时候介绍给你
‘伍’ 如何做好重要客户用电安全管理
【摘 要】重要客户由于广泛的社会影响性,任何事故都会给社会政治、经济、治安等诸多方面带来影响。因此,供电企业非常重视重要客户的安全管理,积极采取各项措施保障其安全用电。然而,部分重要客户自身存在用电安全隐患,并对供电企业提出的整改要求不配合不落实,给供用电安全带来巨大的隐患。为此,如何抓好重要客户的用电安全管理,确保隐患整改到位,消除安全风险,这是政府以及供用电双方乃至整个社会共同关注的问题。
【关键词】重要客户;用电安全;整改
1.政府的政策引导与供电企业的专业管理
重要电力客户的供用电安全隐患治理,需要政府的政策引导以及供电企业的专业管理,这已经成为了共识。近些年,相关部门相继出台《关于加强对重要客户安全供用电工作管理的通知》、《关于做好重要客户应急抢险供电服务现场处置方案编制工作的通知》等文件,各级供电企业发挥自身的专业优势,对重要客户开展了一系列供用电安全检查、隐患排查、综合治理等工作,切实履行社会责任。
1.1完善基础资料及相应的制度
1.1.1制定《重要电力客户用电管理办法》,对重要用户的用电安全提出要求,对监督检查机构及方式、法律责任和处罚进行明确,对重要用户所属供电电源配置、自备应急电源配置、应急预案演练、危险点分析等安全用电管理进行严格要求,进一步提高客户所属设备的健康运行和维护水平,加强安全用电管理,提高重要客户安全用电管理水平,杜绝重大事故发生。
1.1.2建立健全重要客户专项档案,多渠道及时掌握重要客户的双(多)回路电源情况,应急自备电源情况、电工持证情况等。进一步完善并妥善保存留有客户签字的历次用电检查记录、客户受电装置各类试验(消缺、整改)记录、进线继电保护和安全自动装置的定值计算(整改、校验)记录,待用电安全防护措施、反事故措施、电气设备明细等基础资料统一归档并实行动态管理。
1.1.3根据管辖范围内重要客户的供用电特点,制定《重要客户停电事故应急处理预案》。明确供电正常情况下应急保电处置程序、供电可靠性下降后处置程序以及客户双回路失电情况下应急保电处置程序,确保在客户事故状态下的供电应急服务到位,提升客户事故状态下的风险应对能力。
1.2严格开展定期专项安全检查
各级供电企业要把重要客户安全隐患的排查整治置于非常重要的位置,定期开展安全专项检查,具体内容为:供电方式、保安电源、自备应急电源保安措施的可靠性情况、电气设备和继电保护整定的定期试验检测情况、缺陷记录、安全工具配置、变配电系统的安全制度、电工资格证有效性等。
1.3规范客户隐患通知程序
对因客户原因形成的用电安全问题和隐患,严格执行书面告知,下发《用电安全隐患限期整改通知书》或由安监部门发出限期整改指令,督促客户制定有效整改和消缺措施,切实做到检查全覆盖、过程全指导、通知全到位、隐患无遗漏;对煤矿、化工等高危型重要客户,建立隐患整治常态化督导机制;对隐患进行动态跟踪,加强隐患排查后的复查工作,坚持反复抓、抓反复、及时督促其整改到位。
2.重要客户存在的安全隐患
2.1重要客户普遍存在的安全隐患
2.1.1用户变配电设施达不到安全标准。部分高危型重要客户变配电设施没有定期维护,存在运行年限较长的设备带病运行的情况,达不到电力设施的安全运行标准。
2.1.2应急预防措施欠缺。部分重要客户未按国家和行业相关规定配置双电源、自备应急电源;自备应急电源的运行管理、投切装置不符合安全技术要求;部分客户对制定停电应急预案和停电应急措施比较排斥,有些客户虽制定了但措施针对性不强。
2.1.3人员安全素质不高。部分重要客户所配置的设备运行操作人员未经过专业培训和考试,缺乏基本的安全技能和安全素质,且缺少电力监管员,对现场操作监察力度不够。
2.2存在安全隐患的原因
针对这些普遍存在的问题,虽然部分重要电力客户已采取相应措施开展整改,但从笔者走访调查的情况来看,情形不容乐观。
2.2.1客户内部资金不足。通过供电部门多次对重要客户进行用电安全检查,发现存在隐患的设备数量多、单价金额高,企业改造需要投入的资金较多,动辄需要几十万上百万元。
2.2.2客户安全意识淡薄。由于市场竞争激烈,一些企业重经济、轻安全,没有把电力安全与经济效益、企业发展放在同等重要的位置上,万事以经济效益为先,认识不到隐患整改工作的严峻形势和重大影响。从而对电力安全隐患心存侥幸、思想麻痹,甚至漠不关心、听之任之,致使隐患整改不到位、人员不明确、责任不落实。
2.2.3客户自身缺乏必要的整改能力。重大安全隐患的整改是一个复杂的系统工程,既要考虑到用电安全,又要考虑到生产效益;既要考虑到眼前工作,又要考虑到长远规划;既要考虑到迅速彻底,又要考虑到企业的实力等。
3.重要电力客户安全隐患的整改对策
重要电力客户的用电安全,关系到全社会的安全稳定,切实推进重要电力客户用电安全隐患整治刻不容缓。重要电力客户隐患整改是一项系统工程,需要政府供电企业电力客户以及全社会的共同努力。因此,有必要建立政府引导,供电企业专业指导,电力客户主导,社会各方支持配合的整治机制。
3.1提高重要客户的安全意识和能力。加大安全知识宣传力度,定期发放安全用电常识、安全警示教育及安全事故案例等方面的资料;与客户共享安全生产新政策、新规程、新技术,使重要客户对安全检查及隐患排查治理工作有新的认识,充分认识隐患排查治理工作对自身安全和维护公共安全的重要性;定期组织电力技术、安全生产等方面的专家对重要客户开展技术帮扶,就重要客户的电力安全生产管理、事故应急管理等方面进行讲解和授课,切实提高重要客户线路、变压器等电力设施运行维护管理水平。
3.2协助重要客户完成隐患整改工作。指导客户健全企业内部的变(配)电所运行管理制度、安全工作规程、设备运行规程、工作票制度,完善安全标识警示牌设置;帮助重要客户联系有试验资质、信誉较好的单位定期对用电设备进行维护和故障消缺;以供电企业的技术优势,协助重要客户制订切实可行的整改方案,为重要客户解决用电安全隐患提供帮助和指导。
3.3多渠道筹集整改资金。客户资金不足是制约隐患整改的重要原因,如何筹集整改资金,为隐患整改提供必要的经济保障成了需要切实解决的问题。建议客户在遵循市场经济规律的基础上,积极采取法律、行政等多种手段,通过政府投入、社会集资、单位自筹、银行贷款等多种方式解决资金问题,并对客户的筹资过程实时跟踪,适当给予帮助,加速整改筹资的速度,尽快完成隐患整改,消除用电风险。
3.4加强与政府及相关部门的沟通,联合督办推进整改。重大电力安全隐患整改关系到社会稳定,经济持续、健康发展,因此仅凭供电企业的力量来推进隐患整改确实存在很大的困难。
3.5联手媒体,强化宣传。媒体以其传播速度快、涉及面广、反响大的特点对各行各业的监督效果不容小觑。
4.结束语
用户用电安全不仅关系自身的安危,还关系到电网的安全运行和供电秩序的和谐稳定,完善用电专业管理,加强安全隐患治理是提高用户用电安全水平、实现用电安全的重要途径,作为供电行业的管理者,供电企业应充分发挥好自己的作用,主动和用户沟通联系,发挥专业优势,做好用电安全管理工作保证用户的用电安全不仅仅只取决于用户自己和供电企业,还需要社会各界的共同努力,才能实现用电安全,确保工作取得实效。
‘陆’ 如何做好网络安全防护
一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐 WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于 MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当然好,但仅仅依靠硬件防火墙,并不能阻挡 hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。
二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如 mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。
三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件,pcanywhere也不错。
四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker 攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口,如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站如果真的做得无漏洞可钻,hacker也就无可奈何了。
‘柒’ 倒车影像和ESP功能是用户最看重的安全配置
中国汽车流通协会近日发布的《2019年11月汽车用户看选买行为分析报告》显示,用户看车阶段更爱整车测评,视频传播形式更受欢迎;用户选车阶段用户更看车型级别和配置,倒车影像和ESP功能是用户最为看重的两类安全配置。
《报告》显示,在选车阶段,从用户对汽车信息的关注度看,视频仍是用户最受欢迎的内容类型,长、短视频往往能够占据当月相关内容题材半数以上。从用户主动搜索的内容类型来看,评测类节目占比大幅提高,用户对改装、试驾、测试等内容更为关注。
当用户从“看”的阶段进入到“选”的阶段,车型级别和价格是用户首先考虑的两个因素,占比均为70%以上。除此之外,用户较为关注到变速箱和燃料等因素,关注变速箱用户占比为27%。
在产品配置上,在不同领域用户的关注点不同。《报告》显示,倒车影像和ESP功能是用户最为看重的两类安全配置,一半以上的用户在考虑车辆安全时均为关注到以上两项。在各类舒适配置对用户的重要程度中,无钥匙启动、全景天窗、多功能方向盘排在前三位,可以看到,随着年轻一代消费群体的崛起,他们对科技配置的要求越来越高。对生活质量要求高的消费者,会尽可能要求丰富的舒适配置,比如座椅加热、定速巡航等。
从买车方面看,根据用户购买意向看,德系、自主和日系依然三足鼎立,三者合计占比超过80%。在细分车款价格留资趋势方面,20万以内车型仍是“买车”主流选择。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
‘捌’ Win XP 的安全设置(注册表)怎样设置是SP1有。
正常使用的情况下不必自己手动更改,注册表更改权限等会导致系统或软件运行异常,甚至崩溃,在关键的地方系统已经自动设置了不能更改或隐藏的属性,个人不必更改。
Win XP默认设置的七个安全问题
随着电脑越来越深入到普通用户的生活、工作之中,原来只有专业人员才会遇到的问题,例如配置小型(家庭)网络,现在普通用户也会经常遇到。Windows系列操作系统一直以易用着称,力图让本来复杂的任务通过简单的操作即可完成。但是有的时候,易用性和安全是相互冲突的;同时,由于网络的广泛使用,每一台上网的PC实际上就是一个Internet的节点,所以安全是每一个用户必须关注的问题。XP作为Windows最新的版本,当然也是最容易使用的操作系统;另一方面,为了提高易用性而采用的许多默认设置却带来了安全风险。
一、简单文件共享
为了让网络上的用户只需点击几下鼠标就可以实现文件共享,XP加入了一种称为“简单文件共享”的功能,但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是:打开“我的电脑”,选择菜单“工具”→“文件夹选项”,点击“查看”,在“高级设置”中取消“使用简单文件共享(推荐)”。 二、FAT32
凡是新买的机器,许多硬盘驱动器都被格式化成FAT32。要想提高安全性,可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限,进而还可以使用加密文件系统(EFS,Encrypting File System),从文件分区这一层次保证数据不被窃取。在“我的电脑”中用右键点击驱动器并选择“属性”,可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS,先备份一下重要的文件,选择菜单“开始”→“运行”,输入cmd,点击“确定”。然后,在命令行窗口中,执行convert x: /fs:ntfs(其中x是驱动器的盘符)。
三、Guest帐户
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户,最好禁用它。在Win XP Pro中,打开“控制面板”→“管理工具”,点击“计算机管理”。在左边列表中找到“本地用户和组”并点击其中的“用户”,在右边窗格中,双击Guest帐户,选中“帐户已停用”。WinXP Home不允许停用Guest帐户,但允许为Guest帐户设置密码:先在命令行环境中执行Net user guest password命令,然后进入“控制面板”、“用户设置”,设置Guest帐户的密码。
四、Administrator帐户
黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限,但不一定非用“Administrator”这个名称不可。所以,无论在XP Home还是Pro中,最好创建另一个拥有全部权限的帐户,然后停用Administrator帐户。另外,在WinXP Home中,修改一下默认的所有者帐户名称。最后,不要忘记为所有帐户设置足够复杂的密码。
五、交换文件
即使你的操作完全正常,Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件,但黑客肯定会。你首先要做的是,要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的“开始”菜单,选择“运行”,执行Regedit。在注册表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然后创建或修改ClearPageFileAtShutdown,把这个DWORD值设置为1。
六、转储文件
系统在遇到严重问题时,会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题,但对一般用户来说没有用;另一方面,就象交换文件一样,转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下:打开“控制面板”→“系统”,找到“高级”,然后点击“启动和故障恢复”下面的“设置”按钮,将“写入调试信息”这一栏设置成“(无)”。类似于转储文件,Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是:在注册表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug,把Auto值改成“0”。然后在Windows资源管理器中打开Documents and Settings\All Users\Shared Documents\DrWatson,删除User.dmp和Drwtsn32.log这两个文件。
七、多余的服务
为了方便用户,WinXP默认启动了许多不一定要用到的服务,同时也打开了入侵系统的后门。如果你不用这些服务,最好关闭它们:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打开“控制面板”→“管理工具”→“服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。