黄金城娱乐服务器管理规范13

2020-09-02 01:09

  服务器管理制度v1.0 编写人: 审核人: 批准人: 修订记录: 目录 15十一、 文件、磁盘检查 16十二、 日志检查.............................................................................. 16 十三、 故障管理.............................................................................. 16 十四、 保密制度.............................................................................. 17 附1:服务器管理员职责 17公司内部服务器的安全是关系到公司数据保密和安全的一件大 事,是保证各个业务系统正常工作的前提条件,因此必须进行科学、 有效地管理。为了保证网络系统安全、高效运行,结合现有网络结构 情况,特制定如下制度,请遵照执行: 服务器的管理和维护1.维护目标是保证中心机房设备与信息的安全,保障机房具有良好的 运行环境和工作环境。 2.安排专人负责服务器的日常操作维护工作,其它人不得私自操作服 务器;如果确实需要操作服务器,应征得管理人员许可,并报部门主 管同意后方可进行。 3.服务器必须建立完整的技术文档和维护方案。 4.服务器必须定期进行双机热备份。 5.每次更新服务器网站程序前,必须把相关内容备份到移动硬盘中, 再进行操作,防止造成不可挽回的损失。 6.服务器管理员应每周对服务器及外围设备进行 7.如发现服务器故障应及时向部门主管报告,并负责计算机及外设的日常维护与排除故障,在遇到电脑公司三包范围内的故障时,应及时 催促电脑公司上门或将机器送至供应商处维修。 机房安全管理制度1.机房应防尘、防静电,保持清洁、整齐,设备无尘、排列正规、工 具就位、资料齐全。 2.机房门内外、通道、设备前后和窗口附近,均不得堆放物品和杂物, 做到无垃圾、无污水,以免妨碍通行和工作。 3.机房内严禁烟火,严禁存放和使用易燃易爆物品,严禁使用大功率 电器、严禁从事危险性高的工作。如需施工,必须取得领导、消防、 安保等相关部门的许可方可施工。 4.外来人员进入机房应严格遵照机房进出管理制度规定,填写人员进 出机房登记表,在相关部门及领导核准后,在值班人员陪同下进出, 机房进出应换穿拖鞋或鞋套。 5.进入机房人员服装必须整洁,保持机房设备和环境清洁。外来人员 不得随意进行拍照,严禁将水及食物带入机房。 6.进入机房人员只能在授权区域与其工作内容相关的设备上工作,不 得随意进入和触动未经授权以外的区域及设备。 7.任何设备出入机房,经办人必须填写设备出入机房登记表,经相关 部门及领导批准后方可进入或搬出。 云服务器管理制度为了加强公司云服务器的安全管理工作,保障信息系统安全、稳 定运行,充分发挥系统效用,特制定本管理制度。本制度规定了公 司云服务器维护管理和故障处理办法。适用于公司云服务器 日常管理工作。 系统管理员负责服务器的日常操作维护,登录权限的管理。 具体内容如下: 用户如果需要在服务器上进行操作设置的,需要经过管理员授权,管理员对操作进行监督,并做好操作记录,备查。每周末汇总数据, 提交部门经理。 每天上班检查所有服务器运行情况,并做好登记,若发现问题需立刻处理,并做好相应记录与分析;若存在自身无法处理的故障必须 在一刻钟之内向上级领导汇报。 每天上下班前检查服务器cpu、硬盘使用情况,发现异常及时汇报上级领导,并做好日报记录。硬盘空间定期检查,对产生的不必要 文件进行删除。硬盘空间容量超过80%时,需要及时申报租用新的硬 服务器系统必须及时升级安装安全补丁,打开防火墙。弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒 不得擅自更改、删除、备份服务器数据。不得擅自修改服务器时间。如需要登录服务器,必须要在管理员处出示具有相关领导批示的 单据。操作人员必须在管理人员的陪同下进行相关操作。如果要更新 服务器的应用,必须提供程序测试报告,并且该程序经过测试可以上 服务器故障发生后,管理员需及时对故障问题进行处理并做好详细的登记,包括故障时间,故障现象、处理方法和结果,同时根据故 障现象及处理方案,完成服务器故障处理技术文档的更新。服务器的 数据库必须做好按时备份。如遇到服务器重启或安装、调试关键服务 时,提前做好备份。确保系统一旦发生故障时能够快速恢复。重要的 数据必须定期、完整地转储到U 盘或者硬盘上,每月定期检查备份数 据,如有损坏,及时重新备份。 每次服务器进行数据操作及维护后,必须在《服务器运营表》上进行登记,用来备查。 网络安全管理制度1.运行维护部门必须制定相应的体系确保网络安全,维护人员必须确 立网络安全第一的意识。 2.在网络建设期必须考虑工程和现网的关系,加强施工安全管理和网 络割接准备工作,确保现网的安全,严禁人为事故发生。 3.网络运行维护期应确保维护工作、设备运行、系统数据的安全。 4.客户数据的制作以及对设备的指令操作要严格按照客户数据制作 规范和设备技术手册的要求根据工单执行;对设备的所有操作要有详 细记录,操作时要一人操作一人核对,准确无误方可执行,操作人员 要在工单上签字确认。 5.网络运行维护期的安全可以通过三种控制方法保证,操作控制包括 对操作流程、客户分级、权限分级、操作记录、远程管理、密码管理、 防火墙技术、数据备份的安全保证;运行控制包括对告警处理、测试、 性能分析、应急预案的安全保证;操作设备控制包括防病毒、杀毒软 件、非生产应用软件的安全控制。 6.未经许可,严禁设备厂商通过远程控制技术对设备进行修改维护, 运行维护部门应有可靠的防范措施。 7.为保证远程技术支持的可靠性,需定期对远程维护设备、端口进行 检查,在确保安全保密的同时确保其可用性。 8.磁盘、磁带等必须进行检查确认无病毒后,方可使用。 9.为保证网络安全,远程维护设备在一般情况下要处于关闭状态,只 有在需要的时候才开通使用。 安全及保密管理制度1.维护工程师必须熟悉并严格执行安全保密准则。 2.外部人员因公需进入机房,应经上级批准并指定专人带领方可入 3.有关通信设备、网络组织电路开放等资料不得任意抄录、复制,防止失密。需要监听电路时,应按保密规则进行。 4.机房内消防器材应定期检查,每个维护人员应熟悉一般消防和安全 操作方法。 5.机房内严禁吸烟和存放、使用易燃、易爆物品。 6.搞好安全保密教育,建立定期检查制度,加强节假日的安全保密工 7.未经有关领导批准,非机房管理人员严禁入机房。8.机房内严禁烟火,不准存放易燃易爆物品。 9.注重电气安全,严禁违章使用电器设备,不准超负荷使用电器。 10.按规定配备消防器材,并定期更新。 11.定期检查接地设施、配电设备、避雷装置,防止雷击、触电事故 发生。 12.发现事故苗头,应尽快采取有效措施,并及时报告领导。 13.进行维修时,严格按照程序进行,杜绝人为事故发生。 14.禁违规接入大功率无线发射设备。 操作系统日常维护要求(一)Windows Server 系统 Linux系统 1.系统运行状况检查 1)事件日志检查(应用程序/安全性/系统) :每日检查 :发现有错误的日志出现需要检查出原因并排除错误 2)共享文件夹检查 :每日检查 :发现有未经允许的共享文件夹,马上删除 3)本地用户和组检查 :每日检查 :发现有未经允许的用户和组,马上删除 4)磁盘大小和碎片检查 :每日检查 :发现磁盘空间低于警戒值(30%可用),需要清理无用的磁盘文件 :发现磁盘碎片大于警戒值(70%碎片),需要在服务器空闲时间进 行碎片整理。 5)系统服务和应用程序检查 :每日检查 :发现未经允许的系统服务和应用程序的安装,马上删除 6)IIS 的检查/其他中间件 每日检查:发现有未经允许的web 网站运行,马上删除 7)进程和应用程序检查 :每日多次检查 :发现有可疑的进程和应用程序,马上关闭并找到运行文件进行 删除 8)检查cpu 使用和内存的占用情况 :每日多次检查 :发现cpu 长时间占用过高(90%)检查主要原因,看情况重启服务 2.windows常规安全设置 1)计算机配置/Windows 设置/安全设置/软件限制策略选项,同 时用鼠标右键单击该选项,并执行快捷菜单中的创建软件限制策略命 令;用鼠标双击强制组策略项目,打开的设置对话框,选中其中的除 本地管理员以外的所有用户选项,其余参数都保持默认设置,再单击 确定按钮结束上述设置操作 2)拒绝网络病毒藏于临时文件 组策略编辑命令gpedit.msc 依次选中计算机配置/Windows 设置 /安全设置/软件限制策略/其他规则选项,同时用鼠标右键单击该选 项,并执行快捷菜单中的新建路径规则命令,打开的设置对话框,单 击其中的浏览按钮,从弹出的文件选择对话框中,选中并导入Windows Server 系统的临时文件夹,同时再将安全级别参数设置为不允许, 最后单击确定 3)防止非法PING 字符串命令gpedit.msc 计算机配置节点选项,并从目标节点下 面逐一点选Windows 设置、安全设置、高级安全Windows 防火墙、高 级安全 Windows 防火墙;本地组策略对象选项,再用鼠标选中目标选 项下面的入站规则项目;接着在对应入站规则项目右侧的操作列表 中,点选新规则选项,此时系统屏幕会自动弹出新建入站规则向导对 话框,依照向导屏幕的提示,先将自定义选项选中,再将所有程序项 目选中,之后从协议类型列表中选中ICMPv4。 之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以 选中阻止连接选项。 4)断开远程连接恢复系统状态[特殊情况下处理] 输入gpedit.msc 命令,其次选中组策略控制台窗口左侧位置处 的用户配置节点分支,并用鼠标逐一点选目标节点分支下面的管理模 板/网络/网络连接组策略选项,之后双击网络连接分支下面的删除所 有用户远程访问连接选项,在选项设置对话框中,选中已启用选项, 再单击确定按钮保存。 5)强行保护所有连接 运行框中输入字符串命令 gpedit.msc,进入本地服务器系统的 组策略编辑界面; 其次将鼠标定位于计算机配置/管理模板/网络/网络连接 /Windows 防火墙/标准配置文件分支选项,在标准配置文件分支选项 下面,用鼠标双击Windows 防火墙:保护所有网络连接组策略选项, 目标组策略属性界面,选中该界面中的已启用项目,最后单击确定按 3.Linux常规安全设置 1)ROOT 用户安全方案 禁止 ROOT 远程登陆(因为没有物理管理的条件,这一条就没有 意义) 修改ROOT 权限,把ROOT 修改为普通用户权限,把一个普通用户 修改为ROOT 权限。 注意:经过比较简单的测试发现修改ROOT 的用户名或者权限标记都 导致了系统不能正常启动;通过测试的只有修改(ROOT 的登录方式 Nologin,再为一个普通用户修改权限标记为0;重启后达到效果 ROOT 用户名无法登录、被修改的普通用户登录后系统显示为root) #以下是修改后的内容 root:x:0:0::/root:/sbin/nologin huojun:x: 0:0::/home/huojun:/bin/bash 2)设置密码时间 为普通用户设置密码的最大修改时间,保证所有的普通用户即时 更新密码,如果用户长期不用则会被禁止登陆。来达到对普通用户的 安全管理。 3)使用固定IP 登录 配置 sshd_config 文件,添加远程登录的固定 IP,将非授权的 IP 地址登录排除在外。 vim /etc/ssh/sshd_config 添加一行: allowusers .100.159 注:xxx 为你用来登入服务器的用户名,可以为多个用户添加多 个IP 地址 4)SSH 端口 将默认的登录端口 22,修改成其他端口,可以有效防止非法尝 试登录。 vi /etc/ssh/sshd_config //找到 Port 22 修改为自定义的端 5)ping请求 不在响应ping 请求,立即生效。 echo /proc/sys/net/ipv4/icmp_echo_ignore_all6)关闭SELinux 这是一个控制安全策略的内核安全机制,因为与现有的应用不兼 容所以不使用,再对其深入研究后再使用也不迟。 vi /etc/sysconfig/selinux 关闭SELinux:修改SELINUX=enforcing 为SELINUX=disabled 7)防火墙 防火墙使用的是Firewall,暂不提供IPtable。 firewall-cmd --state ##查看防火墙状态,是否是running firewall-cmd --list-all //查看防火墙规则,可查到你当前开 放的端口信息。 firewall-cmd --zone=public --add-port=8888/tcp --permanent //为防火墙添加端口 注意:使用systemctl 重启防火墙 (二)数据库状态检查维护 1)检查数据库的日常维护的运行结果 :每日检查 :保证数据和日志按要求正确备份,运行失败的重新手工备份且 排除出错原因 2)检查数据库的事务日志 :每日检查 :当事务日志大于300M 时候,需要完整备份日志后对日志进行收 缩操作 3)检查数据库文件的碎片 :每半月检查 :当数据库的碎片大于警戒值,需要进行碎片整理工作 :方法,如果扫描密度与平均页面密度小于100%表示有碎片产生, 此两项应保持较高的百分比。而逻辑与扇区扫描碎片应尽可能接近于 0,一般不应超过10。 (三)web 系统检查 1)web 系统的登陆检查 :每日检查 :确保web 系统能正常登陆 2)web 系统的响应检查 :每日检查 :检查web 系统的请求和响应速度,如果响应过慢或者无响应,需 要检查原因和排除. 3)web 系统的文件检查 :每月检查 :检查和备份web 系统的程序文件 4)web 流量检查 :每日检查 :确保流量正常,发现流量异常的情况,需要查明原因和解决掉。 软件环境去掉其它的网络文件与打印服务、QoS、终端服务、终端授权服 务、Site Server ILS 服务、消息队列服务(MSMQ)、远程存储、证书 服务等其他目前暂时用不到的服务。为了保证服务器的最大优化,除 了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必 要的软件,包括 OFFICE 等,不设置壁纸、屏幕保护等。严禁安装游 戏、聊天工具。 杀毒和系统安全1.需要拷贝到服务器上的程序和数据,必须经过检测确认无病毒后方 可进行传入。 2.设置服务器晚间0 点进行定时杀毒。 3.杀毒软件要定时升级病毒库。 4.在得知有新病毒流行时应立即确认杀毒源库是否为最新,如果不是 应立即上网下载,同时应立即上微软网站下载最新的补丁程序。 5.在得知有最新的安全漏洞时,应立即上网查看微软最新安全补丁。 操作系统补丁1.每隔7 天上微软网站查看是否有最新的更新通知 2.在得知有最新的安全漏洞时,应立即上网查看微软最新安全补丁 3.微软一般在8-12 个月内会发一次SP(目前为SP2),届时应全数下 载,并立即分发各工作站 等网站。 开关机和重启一般情况下,服务器不得随意关机,在以下情况下,可以关机, 但尽量安排在晚上;若必须在工作时间重启服务器,应提前通知各部 门人员: 服务器出现严重的硬件故障时服务器在出现严重故障非重起不能解决时,应用:NET SEND DOMIAN/USER “服务器需要重启,请存盘,3 分钟后恢复正常”通知网 络用户,以便用户保存正在编辑的文件或中断数据库连接 服务器在得到UPS 停电通知时,必须在1 个小时内关闭。此项设 置必须在APC 的监控软件中设置 服务器出现严重的硬件故障时,应立即通知网络用户并立即关 机,同时通知硬件供应商处理 服务器在开机时必须确认UPS 供电是否正常 十一、 文件、磁盘检查 1.每天检查服务器的磁盘占用情况,如果发现磁盘的使用容量超过 70%以上时,应及时清除不必要的文件腾出磁盘空间,清除前要做好 数据备份,必要时可以申请新的存储器。 2.每隔2 做一次磁盘碎片整理。十二、 日志检查 1.每天检查一次每台服务器的“事务日志”,发现有“严重错误”的,必须 立即检查并排除故障。 2.所有日志在得到“事务已经满”提示的情况下,必须立即进行备份到 C:\LOGS 下,文件名格式为:YYYYMMDD 3.事务日志备份完毕应立即清空。 十三、 故障管理 1.服务器的故障包括:软件故障,硬件故障,网站故障,黑客入侵与 攻击,其他不可预料的未知故障等。 2.故障记录:建立服务器故障日志,对发现的各种故障现象进行详细 记录,记录内容包括:故障发生的时间,故障现象,故障位置,故障 分析,故障原因,故障记录人员。 3.对于维护人员不能尽快处理的故障,应尽快以书面或者电话或者其 他相关形式尽快通知上级主管领导并发布公告。 十四、 保密制度 1.服务器管理员登陆密码仅限管理员及部门经理掌握,密码必须严格 保密,每1 个月进行1 次修改,并有书面记录。 2.服务器管理员密码和数据库密码设置不能过于简单,应至少包含字 母和数字,其长度必须8 位以上。 3.禁止泄露、外借和转移专业数据信息。 4.经批准不得随意更改业务数据。 附1:服务器管理员职责 1.严格控制操作服务器人员,做好人员登记和记录日志等。 2.负责服务器的系统安全,保证其正常运行。其中,包括服务器 的日常和维护、定期修改登录密码、定期备份等。 3.负责日常操作系统、病毒防治等工作。 4.定期对机器进行维护,保证机器正常运行。 5.要定期检查机房及各种安全设备,做好记录确保安全。 6.搞好服务器清洁卫生,保持一个良好的运行环境。