新能源光伏電站電力監(jiān)控系統(tǒng)安全防護管理制度目錄TOC\o"1-3"\h\u8647光伏電站電力監(jiān)控系統(tǒng)安全防護管理制度 4199931、總則 4250402、組織機構(gòu)及安全職責(zé)分工 5105851.1領(lǐng)導(dǎo)小組 593811.2領(lǐng)導(dǎo)小組職責(zé) 6284761.3工作小組 68851.4工作小組職責(zé) 6119063、建設(shè)及運行管理制度細則 7274264、應(yīng)急管理制度細則 8238385、附則 9112691本管理辦法自發(fā)布之日起執(zhí)行。 9152142本管理辦法由XXXXX光伏電站負責(zé)解釋。 96343光伏電站電力監(jiān)控系統(tǒng)安全聯(lián)合防護應(yīng)急預(yù)案 1077321、總則 10135541.1、編制目的 10157051.2、工作原則 10146391.3、適用范圍 10219512、職責(zé)及分工 1087762.應(yīng)急保障小組：組長：XXX 1078553、應(yīng)急響應(yīng) 11269843.1、響應(yīng)程序 11224343.2、應(yīng)急處置 12141304、后期處置 1965245、預(yù)防措施 2012445光伏電站信息系統(tǒng)機房管理標(biāo)準(zhǔn) 21118881、總則 21132482、值班制度 2136193、巡視制度 22194423.1網(wǎng)絡(luò)運行設(shè)備的巡視 22183783.2機房環(huán)境的巡視 2281673.2.1機房門窗的關(guān)閉情況 22128843.2.2機房的衛(wèi)生情況 23291043.2.3機房的燈光狀況 23150803.2.4機房的溫度、溫度及空氣狀況 23113203.2.5認(rèn)真做好記錄 23203863.3機房設(shè)備的巡視 23239254、日常管理制度 23197675、運行維護制度 24281426、安全保密制度 25186236.1網(wǎng)絡(luò)運行安全管理 2568166.2系統(tǒng)設(shè)備安全管理 25293016.3認(rèn)真遵守國家的各項保密制度 26259157、外來人員管理制度 26138328、附則 2716496光伏電站教育培訓(xùn)管理制度 28573光伏電站外來人員管理制度 2921373光伏電站計算機系統(tǒng)管理制度 30119561.總則 30141672.監(jiān)控系統(tǒng)計算機的管理 30309822.1電廠監(jiān)控系統(tǒng)計算機 30250572.2監(jiān)控系統(tǒng)計算機 3070513.工程師站及辦公用計算機的管理： 30225393.1工程師站計算機 30213823.2辦公用計算機 31178784.計算機數(shù)據(jù)管理： 3165445.附則 3121393電力監(jiān)控系統(tǒng)安全評估制度 3298451.總則 3224982.安全評估制度 32286423.附則 3224986光伏電站主機加固安全管理制度 34254921.總則 34199552.權(quán)限管理 3473963.訪問控制管理 34105154.服務(wù)器密碼及口令管理 34286545.用戶密碼及口令管理 3555926.密碼及口令設(shè)定要求 35160287.設(shè)備及子系統(tǒng)的維護管理 355880光伏電站主機加固技術(shù)方案 37285091.1Windows服務(wù)器 37300651.2Linux 38231291.3Mysql 4159931.root 41269612.刪除默認(rèn)數(shù)據(jù)庫和數(shù)據(jù)庫用戶 41130601.4Oracle 51183291.5調(diào)度數(shù)據(jù)網(wǎng)及二次安防加固 58258551.5.1網(wǎng)絡(luò)設(shè)備 58109571.5.2縱向加密 60125621、不允許存在未建立完成的隧道 60169372、不允許存在除ICMP之外的明通策略 61251843、不允許存在源IP、端口到目的IP、端口過大的策略 6124824、日志服務(wù)器和遠程管理功能需要配置 61134491.5.3防火墻 61光伏電站電力監(jiān)控系統(tǒng)安全防護管理制度1、總則（〔201536（2014年第14號令），特制定本管理辦法。網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則。管理和技術(shù)并重、綜合防范”為方針，遵循“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一組織開發(fā)“的原則。理辦法的要求。理制度、應(yīng)急管理制度、檢查評估及整改制度。2、組織機構(gòu)及安全職責(zé)分工領(lǐng)導(dǎo)小組組長：XXX副組長：XXX、XXX成員：XXX、XXX、XXX、XXX領(lǐng)導(dǎo)小組職責(zé)急預(yù)案的啟動。工作小組組長：XXX副組長：XXX、XXX成員：XXX、XXX、XXX、XXX工作小組職責(zé)生產(chǎn)運營部負責(zé)組織XXXXX光伏電站電力監(jiān)控系統(tǒng)總體14合同條款或保密協(xié)議的方式保證其所提供的設(shè)備及系統(tǒng)符合規(guī)定要作，禁止關(guān)鍵技術(shù)和設(shè)備的擴散。毒軟件或防火墻軟件版本。一般工作人員應(yīng)熟練掌握并嚴(yán)格遵守本專業(yè)的各項安全管理制度。設(shè)備等的維護管理。3、建設(shè)及運行管理制度細則網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的原則。護文字應(yīng)每年滾動修訂、完善。總體方案。后方可實施。本單位安全防護設(shè)備的運行和管理，及時處置異常情況。行審批流程，備份配置變更記錄。報告，關(guān)鍵安全設(shè)備應(yīng)啟用備品備件替換。運行。1.10.在對電力監(jiān)控系統(tǒng)運行過程中，如發(fā)現(xiàn)部分應(yīng)用系統(tǒng)及網(wǎng)還不能完成，則對責(zé)任人進行批評并依據(jù)相關(guān)規(guī)定進行處罰。4、應(yīng)急管理制度細則個方面并定期開展演練。定的地方，并根據(jù)學(xué)習(xí)的結(jié)果不斷的完善應(yīng)急預(yù)案。85、附則本管理辦法自發(fā)布之日起執(zhí)行。本管理辦法由XXXXX光伏電站負責(zé)解釋。光伏電站電力監(jiān)控系統(tǒng)安全聯(lián)合防護應(yīng)急預(yù)案1、總則、編制目的有效防止、控制XXXXX光伏電站生產(chǎn)大區(qū)監(jiān)控系統(tǒng)由于遭到黑客、、工作原則遵循“安全第一，預(yù)防為主，綜合治理”為方針，堅持防御和救《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全〔2015〕36）（201414制定XXXXX光伏電站電力監(jiān)控系統(tǒng)安全聯(lián)合防護應(yīng)急預(yù)案。、適用范圍適用于本公司電力監(jiān)控系統(tǒng)故障事件的應(yīng)急處置和應(yīng)急救援工作。2、職責(zé)及分工2.應(yīng)急保障小組：組長：XXX副組長：XXX、XXX成員：XXX、XXX、XXX、XXX2.2、應(yīng)急保障小組職責(zé)1）負責(zé)應(yīng)急預(yù)案的制訂、修訂，組建應(yīng)急專業(yè)指揮隊伍，組織實施和演練;檢查監(jiān)督作為重大事故的預(yù)防措施和應(yīng)急的各項準(zhǔn)備工作。實施救援行動;向上級和地調(diào)有關(guān)主管部門匯報事故情況，配合地調(diào)及省調(diào)相關(guān)部門做好應(yīng)急處理，必要時向公安機關(guān)報案、求助;組織事后的事故調(diào)查、分析，總結(jié)應(yīng)急救援工作經(jīng)驗教訓(xùn)。3）應(yīng)急保障小組分工及省調(diào)相關(guān)部門處理事故，防止事故進一步擴大;負責(zé)組織對事故的調(diào)查和向上級主管部門匯報工作，批準(zhǔn)所采取的糾正預(yù)防措施;及控制恢復(fù)情況。做好事故后的調(diào)查報告及總結(jié)。3、應(yīng)急響應(yīng)、響應(yīng)程序該預(yù)案由生產(chǎn)廠長宣布啟動；迅速組織召集各應(yīng)急處置負責(zé)人，部署應(yīng)急處置工作。由生產(chǎn)經(jīng)理負責(zé)協(xié)調(diào)各項應(yīng)急處置工作的開展，合理調(diào)配應(yīng)急資源；生產(chǎn)經(jīng)理在接到應(yīng)急預(yù)案啟動命令后，立即召集全部應(yīng)急處應(yīng)急處理；應(yīng)急響應(yīng)程序啟動后，由生產(chǎn)經(jīng)理負責(zé)向上級調(diào)度匯報應(yīng)急工作信息。、應(yīng)急處置總體原則起，若是內(nèi)部人為誤操作引起馬上組織恢復(fù)正常工作狀態(tài)，并上報應(yīng)急領(lǐng)導(dǎo)小組。根據(jù)實際情況通過應(yīng)急領(lǐng)導(dǎo)小組考慮是否上報上級調(diào)度。應(yīng)及時向上級調(diào)度報告緊急狀態(tài)，考慮是否應(yīng)斷開網(wǎng)路改用外部通信設(shè)施進行系統(tǒng)監(jiān)控，防止擴大事故范圍從而引起整個電網(wǎng)的癱瘓。周邊的上網(wǎng)設(shè)備進行聯(lián)系，請求同時做好防范工作，并協(xié)助配合對本系統(tǒng)進行監(jiān)控、協(xié)調(diào)與救援幫助。必要時及時報警（110）作。行系統(tǒng)恢復(fù)，力爭在最短的時間內(nèi)把故障消除恢復(fù)正常運行。內(nèi)提交防范整改措施，做好整改計劃并立即實施。組織加大監(jiān)控力度防止二次攻擊，并做好應(yīng)對二次攻擊的戰(zhàn)略計劃。及相關(guān)部門。應(yīng)急細則站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)故障應(yīng)急處理接入交換機故障運行環(huán)境描述及故障現(xiàn)象：接入交換機主要用于業(yè)務(wù)的接入，接入該交換機的業(yè)務(wù)網(wǎng)絡(luò)中斷。事故處置信息和告警信息或者聯(lián)系廠家反饋故障現(xiàn)象并提供解決方案。2M運行環(huán)境描述及故障現(xiàn)象：當(dāng)調(diào)度路由器出現(xiàn)故障時表現(xiàn)為廠內(nèi)所有業(yè)務(wù)同時中斷且調(diào)度數(shù)據(jù)網(wǎng)路由器2M綠燈不顯示，并且上聯(lián)SDH有告警聲。事故處置檢查路由器至SDH2MSDH光纖發(fā)生故障傳輸業(yè)務(wù)網(wǎng)絡(luò)光纖中斷。事故處置應(yīng)先聯(lián)系鎮(zhèn)江供電公司通信部門以確定光纖斷接點位置，然后根用纖芯標(biāo)簽標(biāo)示。加密裝置故障運行環(huán)境描述及故障現(xiàn)象加密裝置出現(xiàn)故障時表現(xiàn)為該條鏈路業(yè)務(wù)中斷。故障處置選擇用網(wǎng)絡(luò)跳線跳過加密裝置或者斷電旁路加密裝置觀察業(yè)務(wù)運行障現(xiàn)象并提供解決方案。5.III區(qū)防火墻故障運行環(huán)境描述及故障現(xiàn)象III區(qū)防火墻出現(xiàn)故障時表現(xiàn)為該條鏈路業(yè)務(wù)中斷。故障處置IIIIII若防火墻狀態(tài)燈閃爍正常，則觀察防火墻內(nèi)外網(wǎng)口燈閃爍是否正常，若內(nèi)外網(wǎng)口燈閃爍不正常或者燈熄滅，則需檢查接口網(wǎng)線是否松動，可嘗試重新插拔網(wǎng)線，再觀察燈光閃爍情況。若仍不能解決問題，則需聯(lián)系廠家反饋故障現(xiàn)象并提供解決方案。6、電源故障故障現(xiàn)象描述鳴報警。事故處理信電源故障告警信息，并及時聯(lián)系維修人員檢查原因、處理故障。行。并啟用備用柴油發(fā)電機。站內(nèi)機房故障應(yīng)急處理機房環(huán)境溫度異常處理故障現(xiàn)象描述:機房監(jiān)控系統(tǒng)發(fā)出溫度超限值18～26度報警。事故處置則需立即通知設(shè)備廠家到廠維修。機房環(huán)境濕度異常處理故障現(xiàn)象描述:巡檢時發(fā)現(xiàn)濕度儀濕度超限值55%報警。事故處置增加備用移動式除濕機并通知空調(diào)廠家到廠維修。機房環(huán)境失火異常處理故障現(xiàn)象描述機房有濃煙，明火冒出或者聞到燒焦氣味和火災(zāi)報警開啟。事故處置當(dāng)值人員發(fā)現(xiàn)通信機房內(nèi)有冒煙現(xiàn)象或聞到燒焦氣味時，可能是和防止起火點復(fù)燃，不得隨意離開現(xiàn)場和將事故隱瞞不報119120站內(nèi)主機故障應(yīng)急處理主機網(wǎng)絡(luò)故障故障現(xiàn)象描述：主機ping突然不通網(wǎng)關(guān)或者ping不通遠端設(shè)備。事故處理IPIP和網(wǎng)關(guān)配置是否丟失（windows服務(wù)器使用cmd命令行輸入ipconfigLinuxifconfig），如果丟失需要重新配IParparp-darparparparp上報省公司DDOSDDOSping源進行查殺。主機狀態(tài)故障主機硬件故障故障現(xiàn)象描述提示內(nèi)存空間不足等。故障處理接線，若為硬件故障則需迅速更換相應(yīng)備品備件。3.主機被非法入侵導(dǎo)致故障1.1.故障描述常操作指令。1.2侵源，或者在windows系統(tǒng)下使用netstat-aLinux系統(tǒng)下使用netstat-a毒查殺。4、后期處置1、后期處置內(nèi)容置、現(xiàn)場恢復(fù)堅持安全第一的原則。財務(wù)部根據(jù)損失情況以及保險范圍，做好保險理賠工作。、按“四不放過”原則，對本次事故進行認(rèn)真調(diào)查，找出事故原組織相關(guān)人員進行學(xué)習(xí)。2、事故調(diào)查與應(yīng)急評估2.1、發(fā)生電力監(jiān)控系統(tǒng)系統(tǒng)安全故障事件后，按照國家法律、法規(guī)2.2、電力監(jiān)控系統(tǒng)安全故障事件應(yīng)急處置后，組織或聘請有關(guān)專家3、應(yīng)急工作總結(jié)與評價理工作中存在的問題和個人要給予批評和處罰。5、預(yù)防措施1、通信與信息講機、通話機等，以保證在廠內(nèi)通訊設(shè)備發(fā)生故障時應(yīng)急。2、保障措施期檢查，發(fā)現(xiàn)隱患及時處理。估，做到有備無患。到防患于未然。21合演習(xí)。、通過預(yù)案演練總結(jié)所暴露出的問題和不足，按期完成整改。光伏電站信息系統(tǒng)機房管理標(biāo)準(zhǔn)1、總則5值班制度巡視制度日常管理制度運行維護制度安全保密制度外來人員管理制度2、值班制度機房在生產(chǎn)發(fā)電期間保持有人值班值班人員要遵守值班守則值班守則判斷能力。務(wù)無關(guān)的任何私事，不得擅自離開崗位。各項規(guī)定，并督促進入機房人員嚴(yán)格遵守。巡視記錄表，發(fā)現(xiàn)問題及時向相關(guān)管理人員反映。記錄。領(lǐng)導(dǎo)?？呻x崗。必須嚴(yán)格遵守各項相關(guān)管理規(guī)定和消防管理規(guī)定。3、巡視制度網(wǎng)絡(luò)運行設(shè)備的巡視CPU防火墻的工作狀況網(wǎng)站的工作狀況網(wǎng)絡(luò)交換機的工作狀況客戶端的網(wǎng)絡(luò)運行速度認(rèn)真做好記錄機房環(huán)境的巡視機房門窗的關(guān)閉情況機房的衛(wèi)生情況機房的燈光狀況機房的溫度、溫度及空氣狀況認(rèn)真做好記錄機房設(shè)備的巡視以保證網(wǎng)絡(luò)安全，正常的運行。主配電柜的供電電壓、電流。電源裝置的輸出電壓、電流和負載功率。電源裝置電池的狀況空調(diào)的工作狀況。消防報警系統(tǒng)的工作狀況。查看所有機房設(shè)備的報警記錄。認(rèn)真做好巡視記錄。4、日常管理制度每日清理機房的環(huán)境衛(wèi)生。到機房工作的人員要聽從值班人員管理鞋，并定期清理自己的專用工作服和工作鞋。與工作無關(guān)的事宜。易爆、強磁、腐蝕性物體等危險物品進入機房。無關(guān)的設(shè)備。機房內(nèi)不能存放任何食品。嚴(yán)禁在機房內(nèi)使用其它用電器。嚴(yán)禁在機房內(nèi)存放雜物。嚴(yán)禁在機房大聲喧嘩、玩電子游戲、聊天等。INTERNET件。在機房工作必須按操作規(guī)程正確操作、使用各類設(shè)備。非機房工作人員不能隨意進入機房。非機房工作人員進入機房必須登記和服從值班人員管理。防雷：需按國家的規(guī)定對機房的設(shè)備進行接地，對進出機施及設(shè)備接地進行檢測。防火：需按國家的規(guī)定進行消防設(shè)施的安裝。消防報警及24嚴(yán)格執(zhí)行進出機房不得攜帶其他物品的規(guī)定。防蟲害：經(jīng)常檢查機房的頂棚上和地板下的封閉情況。不得在機房內(nèi)存放食品，不得在機房內(nèi)堆放雜物。5、運行維護制度2否可靠。UPS2UPSUPS對電池進行放電。水更換。及報警設(shè)備的可靠性、檢查消防設(shè)備的電池、噴頭?？啃?、檢查接地狀況。調(diào)整和清潔、地板下、天棚板上進行清潔。6、安全保密制度網(wǎng)絡(luò)運行安全管理INTERNETINTERNET行升級。經(jīng)常對計算機病毒進行檢測。系統(tǒng)設(shè)備安全管理進入機房不得帶拷貝工具和便攜機。機房內(nèi)所有服務(wù)器都應(yīng)設(shè)有帶密碼的屏幕保護。網(wǎng)管人員操作后應(yīng)將服務(wù)器處于鎖定狀態(tài)。非網(wǎng)管人員不得私自操作任何服務(wù)器。認(rèn)真遵守國家的各項保密制度收、發(fā)要登記，定期集中銷毀廢棄的涉密紙物。必須同時在場陪同。嚴(yán)禁與機房工作無關(guān)的人員進入機房非機房工作人員在機房工作時必須有機房值班人員陪同機房內(nèi)各類服務(wù)器應(yīng)由專人分類管理建立設(shè)備、資料責(zé)任制7、外來人員管理制度做如下規(guī)定：1、外來人員必須登記，登記外來人員登記表。2、外來人員禁止進入生產(chǎn)場所。3、牽扯外來人員施工，需辦理工作票，進行安全培訓(xùn)后方可進行工作。8、附則8.1本管理辦法自發(fā)布之日起執(zhí)行光伏電站教育培訓(xùn)管理制度求：安全的警惕性和自覺性。二、對局域網(wǎng)用戶進行安全教育和培訓(xùn)，使用戶自覺遵守和維護的網(wǎng)絡(luò)安全知識。容。四、不定期地邀請公安機關(guān)有關(guān)人員進行信息安全方面的培訓(xùn)，五、遇到安全問題時，及時匯報上級領(lǐng)導(dǎo)，采取措施及時解決。光伏電站外來人員管理制度做如下規(guī)定：1、外來人員必須登記，登記外來人員登記表。2、外來人員禁止進入生產(chǎn)場所。3、牽扯外來人員施工，需辦理工作票，進行安全培訓(xùn)后方可進行工作。光伏電站計算機系統(tǒng)管理制度總則為保證電廠生產(chǎn)辦公用計算機設(shè)備本身和計算機網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行，以及相關(guān)工作的正常開展,保證存儲在計算機中的信息和數(shù)據(jù)不被破壞,防止操作系統(tǒng)程序及應(yīng)用軟件系統(tǒng)不被非法更改或破壞,特制定本辦法,加強計算機系統(tǒng)管理。監(jiān)控系統(tǒng)計算機的管理電廠監(jiān)控系統(tǒng)計算機《運規(guī)》、《調(diào)規(guī)》及相關(guān)規(guī)定和要求進行操作。監(jiān)控系統(tǒng)計算機工程師站及辦公用計算機的管理：工程師站計算機的插入和操作，嚴(yán)禁進行與工作無關(guān)的任何操作。辦公用計算機計算機數(shù)據(jù)管理：寫合格，打印后交由場領(lǐng)導(dǎo)審核批準(zhǔn)后，方可上報電網(wǎng)公司。附則本管理辦法自發(fā)布之日起執(zhí)行電力監(jiān)控系統(tǒng)安全評估制度總則XX未然，特制定電力監(jiān)控系統(tǒng)安全評估制度。安全評估制度監(jiān)控系統(tǒng)在投運前、升級改造之后必須進行安全評估。力監(jiān)控系統(tǒng)安全評估的相關(guān)規(guī)定，進行定期安全評估。結(jié)果應(yīng)及時向上級主管部門匯報、備案。何形式攜帶出公司，并按國家有關(guān)要求做好保密工作。影響電力監(jiān)控系統(tǒng)的安全穩(wěn)定運行。系統(tǒng)的相關(guān)管理規(guī)定。附則本管理辦法自發(fā)布之日起執(zhí)行。光伏電站主機加固安全管理制度總則（包括數(shù)據(jù)和進程）權(quán)限管理人員賦予相應(yīng)的訪問權(quán)限和操作權(quán)限。訪問控制管理操作人員登錄進入關(guān)鍵的業(yè)務(wù)系統(tǒng)以及對關(guān)鍵的控制操作應(yīng)該進行賬號身份認(rèn)證及操作權(quán)限控制。USBu服務(wù)器密碼及口令管理負責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時在場設(shè)定。時由系統(tǒng)管理員記錄封存。密碼及口令要定期更換（視網(wǎng)絡(luò)具體情況要銷毀原記錄，裝飾新密碼或口令記錄封存人，經(jīng)生產(chǎn)副總指示后再更換密碼和口令。用戶密碼及口令管理（簽字或電話通知），管理員核實后，履行審批手續(xù)，并用戶檔案做更新記載。更換密碼及口令，并設(shè)專人負責(zé)保密和維護工作。密碼及口令設(shè)定要求88符組合作為自己的密碼。設(shè)備及子系統(tǒng)的維護管理關(guān)閉遠程登陸端口，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)等。充分準(zhǔn)備各個設(shè)備及子系統(tǒng)的維護資料及維護工具。備份，并經(jīng)常進行預(yù)演。對軟件進行加固。一旦出現(xiàn)安全故障應(yīng)該及時報告、保護現(xiàn)場、恢復(fù)系統(tǒng)。光伏電站主機加固技術(shù)方案Windows服務(wù)器1、停止或刪除不需要的服務(wù)：C:>services.msc用不必要的服務(wù)。（如：snmpmessageDHCPClient務(wù)、DNSClient2、刪除默認(rèn)網(wǎng)絡(luò)共手工刪除默認(rèn)共創(chuàng)建autosharedel.bat文件，鍵入如下內(nèi)容netsharec$/delnetshared$/delnetsharee$/del? netshareipc$/delnetshareadmin$/del創(chuàng)建此文件的快捷方式，將其拖放到開始->程序->啟動欄中這樣每次重啟系統(tǒng)后系統(tǒng)會動刪除默認(rèn)共享。3Administrator：WindowsAdministrator帳號是不能被停用的，攻擊者可以利用這一點對Administrator4、配置系統(tǒng)審核策略：在控制面板－管理工具－本地安全策略-本地策略中指定需要的審核策略。5guest必要的系統(tǒng)帳號。如主機不需開放IISwww服務(wù)，可刪除或禁用IUSR_yourputername、IWAM_yourputername6、設(shè)置較強的密碼策略：建議進行下列更改，啟用“密碼必須符合86002Linux1、為不同的管理員分配不同的賬號：為用戶創(chuàng)建賬號：#useraddusername#創(chuàng)建賬號#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#755戶分配不同的賬號，設(shè)置不同的口令及權(quán)限信息等。2shell#userdellp#groupdellp如果下面這些系統(tǒng)默認(rèn)帳號不需要的話，建議刪除。lp,sync,shutdown,halt,news,uucp,operator,games,gophershelluucp,ftpnewsFTP/bin/bash/bin/shShell/etc/passwdshell/bin/false/dev/nullusernameshell為/dev/null。3、限制超級管理員遠程登錄：SSH:#vi/etc/ssh/sshd_config把PermitRootLoginyes改為PermitRootLoginnosshd在/etc/securetty文件中配置：CONSOLE=/dev/tty014、對系統(tǒng)賬號進行登錄限制：Vi/etc/passwd例如修改lynn:x:500:500::/home/lynn:/sbin/bash更改為：lynn:x:500:500::/home/lynn:/sbin/nologin該用戶就無法登錄了。5、為空口令用戶設(shè)置密碼：awk-F:'($2==""){print$1}'/etc/passwdrootLinuxpasswd加口令。例如：passwdtesttest。6httpd.conf內(nèi)容、記錄格式。LogLevelnoticeErrorLoglogs/error_logLogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept}i\"\"%{Referer}i\"\"%{User-Agent}i\""binedCustomLoglogs/access_logbinedErrorLogSyslog，ErrorLogsyslogCustomLogLogFormatLogLevelnotice。7ApacheServeraccess.confOptionsIncludesNOEXECApacheServerApache的執(zhí)行程序，而造成服務(wù)器系統(tǒng)的公開化。access.confhttpd.conf修改：OptionsIncludesNoexec8、拒絕服務(wù)防范：(1)httpd.confTimeout10KeepAliveOnKeepAliveTimeout15AcceptFilterSSHdata9HTML#rm-rf/usr/local/apache2/htdocs/*刪除缺省的CGI腳本：#rm–rf/usr/local/apache2/cgi-bin/*刪除Apache說明文件：#rm–rf/usr/local/apache2/manual刪除源代碼文件：#rm-rf/path/to/httpd-2.2.4*同。MysqlrootMySQLroot8MySQLmysaladminrootmysqluser修改方法如下所示：#/usr/local/mysql/bin/mysqladmin-urootpassword“upassword”//使用mysqladmin#mysql>usemysql;r=’root’;#mysql>flushprivileges;//強制刷新內(nèi)存授權(quán)表，否則用的還是在內(nèi)存緩沖的口令刪除默認(rèn)數(shù)據(jù)庫和數(shù)據(jù)庫用戶一般情況下，MySQLphpmysqlMySQLtestroot#mysql>dropdatabasetest;//刪除數(shù)據(jù)庫test#usemysql;#deletefromdb;//#mysql>deletefromuserwherenot(user=root);//root的用戶#mysql>deletefromuserwhereuser=’root’andpassword=”;//刪除root，盡量重復(fù)操作QueryOK,2rowsaffected(0.00sec)#mysql>flushprivileges;//強制刷新內(nèi)存授權(quán)表。3.改變默認(rèn)mysql管理員帳號關(guān)于密碼的管理MD5()SHA1()mysqlpassword（）sqlusersmsyqlrootMySQL因為任何具有FILE權(quán)限的用戶能夠用root創(chuàng)建文件(例如，~root/.bashrc)mysqldroot–user=rootmysqldlinuxmysqlMySQL。Unixusermy.f[mysqld]組的用戶名。#vi/etc/my.f[mysqld]user=mysql該命令使服務(wù)器用指定的用戶來啟動，無論你手動啟動或通過mysqld_safemysql.servermysqluserlinuxrootmysqlduserrootMySQLlinuxmysqldlinux禁止遠程連接數(shù)據(jù)庫netstat-ant3306mysqld庫，默認(rèn)情況是允許遠程連接數(shù)據(jù)的。為了禁止該功能，啟動sqlTCP/IP的權(quán)利，保證安全性。假如需要遠程管理數(shù)據(jù)庫，可通過安裝PhpMyadminmysql聽端口的數(shù)據(jù)通過。#vi/etc/my.cf將#skip-networking停止數(shù)據(jù)庫#/usr/local/mysql/bin/mysqld_safe–user=mysql&//后臺用mysql用戶啟動mysql限制連接用戶的數(shù)量my.fmysqldmax_user_connectionsGRANT戶允許的使用范圍。#vi/etc/my.f[mysqld]max_user_connections28.用戶目錄權(quán)限限制mysql/usr/local/mysql，而對應(yīng)的數(shù)據(jù)庫文件在/usr/local/mysql/var問。確保mysqld運行時，只使用對數(shù)據(jù)庫目錄具有讀或?qū)憴?quán)限的linux用戶來運行。#chown-Rroot/usr/local/mysql///mysql主目錄給root#chown-Rmysql.mysql/usr/local/mysql/var//確保數(shù)據(jù)庫目錄權(quán)限所屬mysql用戶9.命令歷史記錄保護shell.bash_history，如果而登陸數(shù)據(jù)庫后的操作將記錄在.mysql_history作時，應(yīng)該使用-p#rm.bash_history.mysql_history//刪除歷史記錄#ln-s/dev/null.bash_history//shellmysql10.MySQLmysqlloaddatalocalinfile5.0MySQL“LOADDATALOCALINFILE”命令。網(wǎng)絡(luò)上流傳的一些攻擊方法中就有LOADDATALOCALINFILELOADDATALOCALINFILE/etc/passwd”進一個數(shù)據(jù)庫表，然后SELECTmy.flocal-infile=0local-infile=0mysql。#/usr/local/mysql/bin/mysqld_safe–user=mysql–local-infile=0&#mysql>loaddatalocalinfile’ intotableusersfieldsterminatedby‘,’;#ERROR1148(42000):TheusedmandisnotallowedwiththisMySQLversion–local-infile=0mysqld關(guān)閉。MySQLMySQLSELECTINSERTUPDATEDELETE（user）。它的附加的功能包括有匿名的用戶并對MySQLLOADDATAINFILEuser，db，hostuseruseruser定的數(shù)據(jù)庫、表或列授權(quán)，F(xiàn)ILELOADDATAINFILESELECT…INTOOUTFILE語句讀和寫服務(wù)器上的文件任何被授予FILE權(quán)限的用戶都能讀或?qū)慚ySQL服務(wù)器能讀或?qū)懙娜魏挝募?說明用戶可以讀任何數(shù)據(jù)庫目錄下的文件因為服務(wù)器可以訪問這些文件）FILE權(quán)限允許用戶在MySQL服務(wù)器具有寫權(quán)限的目錄下創(chuàng)建新文件，但不能覆蓋已有文件在user表的File_priv設(shè)置Y或N。，所以當(dāng)你不需要對服務(wù)器文件讀取時，請關(guān)閉該權(quán)限。#mysql>loaddatainfile’ sqlfile.txt’intotableloadfile.usersfieldsterminatedby‘,’;QueryOK,4rowsaffected(0.00sec)//讀取本地信息sqlfile.txt’Records:4Deleted:0Skipped:0Warnings:0#mysql>updateusersetFile_priv=’N’whereuser=’root’;//禁止讀取權(quán)限QueryOK,1rowaffected(0.00sec)Rowsmatched:1Changed:1Warnings:0mysql>flushprivileges;//刷新授權(quán)表QueryOK,0rowsaffected(0.00sec)#mysql>loaddatainfile’ intotableusersfieldsterminatedby‘,’;//重登陸讀取文件#ERROR1045(28000):Accessdeniedforuser‘root’(usingpassword:YES)//失敗#mysql>select*fromloadfile.usersintooutfile‘ fieldsterminatedby‘,’;ERROR1045(28000):Accessdeniedforuser‘root’(usingpassword:YES)SHOWGRANTSREVOKEchrootMySQLChrootlinux程序的時候。WebWebMySQLPHPWebPHPMySQLphpwebWebMySQLMySQLwebWebMySQLweb至少檢查以下清單：WebMySQL試試修改動態(tài)URL，可以在其中添加%22(‘”’)、%23(‘#’)和%27(‘’’)。URL擊。MySQLMySQLMySQL任何不需要的訪問權(quán)限。數(shù)據(jù)庫備份策略使用mysqldump進行備份非常簡單，如果要備份數(shù)據(jù)庫”nagios_db_backup”，使用命令，同時使用管道gzipRsynccrontab#!/bin/shtime=`date+”(“%F”)”%R`$/usr/local/mysql/bin/mysqldump-unagios-pnagiosnagios|gzip>/home/sszheng/nfs58/nagiosbackup/nagios_backup.$time.gz#crontab-l#mhdommondowmand0000***/home/sszheng/shnagios/backup.sh恢復(fù)數(shù)據(jù)使用命令：gzip-dnagios_backup.\(2008-01-24\)00\:00.gznagios_backup.(2008-01-24)00:00#mysql–uroot-pnagios</home/sszheng/nfs58/nagiosbackup/nagios_backup.\(2008-01-24\)12\:00Mysqld–local-infile[={0|1}]–local-infile=0LOCALinLOADDATA語句。–old-passwords強制服務(wù)器為新密碼生成短(pre-4.1)密碼哈希。當(dāng)服務(wù)器必須支持舊版本客戶端程序時，為了保證兼容性這很有用。(OBSOLETE)–safe-show-databaseMySQLSHOWDATABASESMySQL5.1SHOWDATABASES據(jù)庫名的訪問。–safe-user-create如果啟用，用戶不能用GRANT語句創(chuàng)建新用戶，除非用戶有mysql.user表的INSERT權(quán)限如果你想讓用戶具有授權(quán)權(quán)限來創(chuàng)新用戶，你應(yīng)給用戶授予下面的權(quán)限：mysql>GRANTINSERT(user)ONmysql.userTO‘ @'host_name’;GRANT授予該權(quán)限。–secure-auth不允許鑒定有舊(pre-4.1)16.information_schema$cfg['servers'][$i]['hide_db']=‘information_schema’;PHPIDSmemechae代理knock1.php?id=11.php/?id=1Oracle1.為不同的管理員分配不同的賬號createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;role，rolerole2.刪除或鎖定無效賬號select*fromall_users;select*fromdba_users;限制超級管理員遠程登錄Oracle以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。使用showparameterREMOTE_LOGIN_PASSWORDFILENONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.ora文 件 中 參 數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE。使用數(shù)據(jù)庫角色（ROLE）一．創(chuàng)建角色,修改角色創(chuàng)建角色，不指定密碼：createroletestrole；創(chuàng)建角色，指定密碼：createroletestroleidentifiedbypasswd;修改角色：alterroletestroleidentifiedbypasswd;給角色授予權(quán)限。GrantselectonTable_nametotestrole;把角色賦予用戶：（特別說明，授予角色不是實時的。如下：）granttestroletoUser_Name;二、起用角色：給用戶賦予角色，角色并不會立即起作用。setroletestroleidentifiedbypasswd立即生效；無密碼的角色：setroletestrole；對用戶的屬性進行控制，包括密碼策略、資源限制可通過下面類似命令來創(chuàng)建profile，并把它賦予一個用戶SQL>showparameterresource_limitSQL>altersystemsetresource_limit=true;CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERuser_namePROFILEprofile_name;6.缺省密碼長度復(fù)雜度限制642PASSWORD_VERIFY_FUNCTION度示例:SQL>CREATEORREPLACEFUNCTIONmy_password_verify(usernameVARCHAR2,passwordVARCHAR2,old_passwordVARCHAR2)RETURNBOOLEANIS2BEGIN3IFLENGTH(password)<6THEN4raise_application_error(-20001,''Passwordmustbeatleast6characterslong'');5ENDIF;6RETURN(TRUE);7END;SQL>createprofileTEST_PROFILElimit2password_verify_functionMY_PASSWORD_VERIFY;7.對密碼重復(fù)使用的限制為用戶建profile,指定PASSWORD_REUSE_MAX為５當(dāng)前使用的密碼，必需在密碼修改５次后才能再次被使用密碼重試限制profile，F(xiàn)AILED_LOGIN_ATTEMPTS如果連續(xù)６次連接該用戶不成功，用戶將被鎖定修改默認(rèn)密碼可通過下面命令來更改默認(rèn)用戶的密碼：ALTERUSERuser_nameIDENTIFIEDBYpasswd;下面是默認(rèn)用戶密碼列表：CTXSYSCTXSYSDBSNMPDBSNMPLBACSYSLBACSYSMDDATAMDDATAMDSYSMDSYSDMSYSDMSYSOLAPSYSMANAGERORDPLUGINSORDPLUGINSORDSYSORDSYSOUTLNOUTLNSI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASYSCHANGE_ON_INSTALLSYSMANCHANGE_ON_INSTALLSYSTEMMANAGER啟用日志記錄功能createtablelogin_log--(session_idintnotnull,--sessionidlogin_on_timedate,--登入時間login_off_timedate,--登出時間user_in_dbvarchar2(30),--登入的dbusermachinevarchar2(20),--機器名ip_addressvarchar2(20),--ip地址run_programvarchar2(20)--以何程序登入);createorreplacetriggerlogin_on_info--記錄登入信息的觸發(fā)器afterlogonondatabaseBegininsertintologin_log(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)selectAUDSID,sysdate,null,sys.login_user,machine,SYS_CONTEXT('USERENV','IP_ADDRESS'),programfromv$sessionwhereAUDSID=USERENV('SESSIONID');--END;createorreplacetriggerlogin_off_info--記錄登出信息的觸發(fā)器beforelogoffondatabaseBeginupdatelogin_logsetlogin_off_time=sysdatewheresession_id=USERENV('SESSIONID');--當(dāng)前SESSIONexceptionwhenothersthennull;END;記錄用戶對設(shè)備的操作createtableemployees_log(whovarchar2(30),actionvarchar2(20));whendate);createorreplacetriggerbiud_employ_copybeforeinsertorupdateordeleteonemployees_copydeclarel_actionemployees_log.action%type;beginifinsertingthenl_action:='insert';elsifupdatingthenl_action:='delete';elsifdeletingthenl_action:='update';elseraise_application_error(-2001,'youshouleneverevergetthiserror.');endif;insertintoemployees_log(who,action,when)values(user,l_action,sysdate);endbiud_employ_copy;12.記錄系統(tǒng)安全事件createtablejax_event_table(eventnamevarchar2(30),timedate);createtriggertr_startupafterstartupondatabasebegininsertintojax_event_tablevalues(ora_sysevent,sysdate);end;createtriggertr_s