如何有效保障文件伺服器
⑴ 如何才能保障企業內網安全
1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時 建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別,即只需賦予他們所需要的訪問許可權級別即可,如訪問郵件服 務器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入 內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此,既然不能控制合作者的網路安全策略和活動,那麼就應該為每一個合作企業創建一個 DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之,要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail,有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的,關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台 (例如30000台)機子,那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對服 務器做效益分析評估,然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產,並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網路訪問的強制性和可利用性,並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外,並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略,使得員工給客戶一些非法的訪問許可權,導致了內網實時跟蹤的困難。因此,須在邊界防火牆之外建立過客訪問網路塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣,如果一個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護,現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。
10、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火牆之間的不同等等,但是他們作為公司的合作 者,也是網路的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網路安全策略。
另外,在技術上,採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。
⑵ 如何保證文件傳輸伺服器FTP的安全
,系統的安全性是非常重要的,這是建立
FTP伺服器
者所考慮的
第一個問題
。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受
匿名FTP
連接,匿名FTP用戶可以使用"
anonymous
"或"FTP"作為用戶名,自己的Internet
電子郵件地址
作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的
文件屬性
進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些
系統文件
,應將這個目錄的所有者設為"root"(即
超級用戶
),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
###NextPage###FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:一、
未經授權的用戶禁止在伺服器上進行FTP操作。
二、
FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、
未經允許,FTP用戶不能在伺服器上建立文件或目錄。
四、
FTP用戶不能刪除伺服器上的文件或目錄。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以使用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問。
⑶ 如何高效合理地管理文件伺服器空間
推薦使用開始文檔管理系統文件伺服器版來設置伺服器文件夾及文件的許可權可以很方便的實現你提出的要求1、設置總目錄所有用戶為只讀2、設置子文件夾1,用戶A為完全控制許可權3、設置子文件夾2,用戶B為完全控制許可權即可KASS文件伺服器版是專門針對文件管理推出的企業級產品可以實現文件的集中管理、版本管理、許可權管理、安全管理等等就許可權方面來說,設置更方便,許可權類型(只允許看,不允許復制;只允許修改,不允許刪除等許可權)
⑷ 區域網內共享文件安全性如何才能保障
公司內網沒有文件伺服器的,經常採用共享文件來實現文件共享和分發,但是弊端很多,特別是共享文件的安全性沒有辦法保障。
合力天下內網安全監管平台,可以完美解決這個問題,可以網路下
合力天下內網安全監控平台基於系統管理思想和安全實踐經驗,全面考慮區域網和互聯網可能造成信息破壞及外泄的各個方面,保護企業信息不被人為外泄、非法盜取、惡意篡改,幫助企業對信息安全進行系統規劃及管理。
合力天下內網安全監控平台通過靈活有力的管理,在保持企業活力的前提下規范終端行為,提升企業執行力;管理人員通過區域網中單一控制台隨時了解各台計算機運行日誌及員工工作狀態,並進行系統數據安全管理及實時管控。
⑸ 怎樣簡單、有效地加強對文件伺服器(/共享伺服器)的數據管理
向你推薦一個文件伺服器的管理工具。
在網路搜索:文件伺服器管理專家 v3.0 ,有下載的。
這個軟體是通過對windows的共享和安全架構進行擴展,來增強對伺服器文件資源的管理。簡單易用強大。
企業的文件伺服器必須加強管理,保證數據安全。windows共享+AD域許可權是最常用的文件伺服器管理方式。但是它既不便於操作,管理功能也很弱,比如:它缺乏精確、方便的許可權管理(指控制用戶對文件的瀏覽、列印、下載、修改、刪除、授權等操作),和版本管理、工作協同(check in/check out)、操作日誌以及文件的防泄密等功能。
與AD域等管理方法或其他基於資料庫的文件管理(包括PDM產品數據管理)軟體相比,SafeShare具有下列優點:
1.擴展自windows的優秀內核,甚至不需要安裝資料庫軟體,系統穩定、可靠、高效。
2.簡單易用,可以即裝即用。直接對企業現有的文件伺服器進行增強管理,不需要數據准備工作,軟體的安裝、部署、使用和維護都非常簡單。
3.沒有風險。本軟體停用後,文件庫能自動恢復為文件夾,所有文件一個不少、一個不變。
4.獨創的數據安全功能。本軟體能讓用戶遠程使用(瀏覽和批註)伺服器上的文件,全程文件不落地,從根本上防止了文件的丟失、泄密。本軟體獲得了國家保密局的《涉密信息系統安全檢測證書》。
5.特別針對設計企業開發了AutoCAD的集成插件,設計工程師能在AutoCAD中完成圖紙的查詢、許可權控制、上傳、自動保存版本、協同工作等管理工作,提升了工作效率。
6.本軟體能夠管理所有的文件類型,例如:所有的三維CAD圖紙,包括UG、Proe、catia、Inventor、SolidEdge、Solidworks等等。
⑹ 如何組建高速又安全的文件伺服器
兩人之間共享文件,可按「網上鄰居法」設置共享目錄;如果共享文件給多個人,可效仿「FTP法」建立一個簡單的FTP伺服器。難道掌握了這些本領,我們真的就高枕無憂了嗎?
要回答上面的問題,讓我們先來看看下面幾種情況:如果許可權分配出現失誤,文件的普通訪問者變成了控制者;如果當你好意提供給別人的上傳空間時,很可能被感染了活動猖獗的蠕蟲病毒;如果辦公室里有很多人都想共享自己的文件,難道每個人都在自己的電腦上建立共享目錄或者FTP伺服器?說到這里,你也就明白在力求工作效率與計算機安全的辦公環境中,「網路鄰居法」與「FTP法」都遠遠不及「專職」文件伺服器(一台安裝了Windows 2000 Server操作系統而且隨時聽候我們調用的伺服器)。下面我們就來建立一台可以指定一定空間給同事們使用又能最大限度防止受病毒侵害的文件伺服器。
初級篇
讓我們從Windows 2000磁碟限額分配方法談起。安裝設置完成Windows 2000 Server以後,作為文件伺服器管理員的你就得考慮劃分一個專用於存放共享文件的分區,如果你的系統分區是C,那麼建議共享文件的分區分配在D或者E等分區,做好這一步之後繼續。
1. 將分區格式轉換成NTFS
採用NTFS格式的分區是實現磁碟限額的基本條件。眾所周知,如果共享目錄所在的分區採用FAT32格式,而你又分配給同事寫入數據的許可權,那這個分區的可用空間就開始處在不確定狀態中,而且你很難掌控空間的使用情況。如果磁碟分區採用NTFS這種更加高效安全的分區格式,那麼你就能決定同事最多能佔用多大的空間,就能順理成章地把握整個分區乃至磁碟空間的使用狀態。現在的分區仍然是FAT32嗎?趕快轉換成NTFS吧!
小知識:如何將FAT32轉換成NTFS分區格式?
方法一:使用Windows 2000的分區轉換命令Convert.exe。例如,要把D分區由FAT32轉換成NTFS,操作步驟是:點擊「開始→運行」;在運行輸入框中輸入命令Convert D: /FS: NTFS;在輸入卷標提示後面輸入D分區的卷標,如D_DISK。剩餘的工作就交給Windows 2000自動去完成了。
方法二:使用Server Magic 4.0等專業分區管理軟體(這里略過不談)
2. 啟用磁碟限額
用滑鼠右擊D分區,在彈出的快捷菜單中選中「屬性」,在D分區屬性窗口中切換到「配額」選項卡——這就是磁碟限額功能所在的地方啦。然後,依次點擊選中「啟用配額管理」和「拒絕將磁碟空間給超過配額限制的用戶」兩個選項,接下來就根據辦公室和伺服器的情況來決定磁碟空間限制為多少,本例中的限制為100MB。
小提示:這是對新用戶默認的限制大小,如果沒有單獨指定,每個新用戶的可使用空間都只能有100MB。
3. 為特定的用戶指定配額
如果要讓某一個用戶使用更多的空間,就必須要單獨指定了。操作步驟是:點擊此窗口下方的「配額項」按鈕,在彈出的窗口中點擊「新建配額項」按鈕,然後在新窗口中的「查找范圍」一欄中選擇這台文件伺服器(本例中的伺服器名稱為SRV),然後在接著顯示出的用戶列表中選擇一位同事的登錄名,雙擊後添加。其他用戶的添加方法也是一樣,最後點擊「確定」按鈕完成;最後為這次添加的同事指定空間,例如:1GB。至此磁碟配額設置工作完成。
有趣的是,磁碟配額功能在共享及上傳文件時都有效,即你的同事不管是在伺服器上的共享文件夾中存放文件還是通過FTP來上傳文件,所有的文件總尺寸都不能超過磁碟限額所規定的空間大小。
圖1 使用Convert.exe命令將Fat32轉換為NTFS分區格式
圖2 為新用戶指定默認的限額大小
圖3 添加需要單獨指定限額空間的同事
圖4 由於添加多個用戶,所以這里的用戶名就是很「奇怪」的「<Multiple>」
圖5 看看吧,一個普通用戶能使用的空間是多少?
高級篇
初級篇我們介紹了如何簡單的搭建一個文件伺服器,這里,我們需要提供一個更加完美的空間管理方案。如果你看到上面所講的就馬上去動手做,肯定能行!不過久而久之,你會為管理這些文件而頭痛不已:所有的用戶都把文件存放在一個地方,究竟這些文件是誰存放的?這位同事存放了哪些文件……請不要奢望Windows 2000 Server自動為你提供了直接解決這些問題的辦法。現在我們就綜合「網上鄰居法」和「FTP法」為你解決這個難題。
1. 對於網上鄰居法
其實文件伺服器與在普通電腦上共享文件夾的方法類似。不同的是,既然是作為一台文件伺服器,就允許用戶將私人文件存放在伺服器上,同時通過一個公共目錄與大家一起共享文件。
操作步驟:首先,在D分區上建立若干個以你的同事電腦名稱為名的目錄,分別為這些目錄分配各自的許可權——也就是私有目錄的許可權。然後,再建立一個公共目錄,並設置許可權為所有用戶均可訪問。
小提示:原則上,一個目錄只能讓名稱與之對應的電腦來訪問,而來自其他的用戶來訪則一律拒絕,這樣就可以保證每個目錄下的文件被固定用戶所有及管理,而公共目錄下的文件大家互相共享,這樣,大家的共享操作都在文件伺服器上進行,也就杜絕XX病毒通過網上鄰居直接進入用戶的電腦中。
2. 對於FTP法
有興趣的朋友可以使用 Serv-U等專業的FTP伺服器軟體來實現強大的功能:單獨的用戶FTP目錄控制、不依賴於Windows用戶信息的FTP賬戶……
如果你想在辦公室實現高速而且安全無毒的網路共享環境,組建這樣的文件伺服器無疑是你的最佳選擇。
「實踐是檢驗真理的惟一標准。」搭建一台中小型企業區域網的文件伺服器,確實能夠有效地提高我們的文件交換效率。只要注意文件伺服器的病毒防治,也能有效地控制病毒在區域網中的傳播,當然前提是給文件伺服器安裝強大的殺毒軟體和防火牆。
⑺ 如何加固文件伺服器
它是企業環境中進行文件共享、軟體分發、個人存儲等文件交互需求的一個很好的解決方案。但由於它的公用性、共享性,因此安全性備受網路管理員的關注。 常見案例: 1、文件伺服器上的共享文件被誤刪或者惡意竄改、刪除。 2、文件伺服器的存儲空間被濫用,成了員工存儲軟體的倉庫,存儲空間頻頻告急。 3、文件伺服器上的文件被隨意復制,機密檔案不再安全,泄密事件時有發生。 ...... 諸如此類的種種案例是網路管理員經常遇到並且非常頭痛的問題。由於文件伺服器是面向整個區域網用戶開放,若不對用戶的使用許可權,使用空間等方面進行限制的話,有可能一部分用戶就會在伺服器上隨意存放歌曲、電影等文件,佔用大量可用磁碟空間。甚至一些存有惡意的員工會更改或者修改某些共享文件,對企業造成不利影響。那如何來加固文件伺服器呢?下面筆者根據自己的實踐提供如下安全策略,供大家參考。 一、基本安全計劃 1、採用NTFS分區格式 NTFS格式的安全性可以為我們在以後對共享文件的訪問許可權和加密中,提供更多設置選項,建議伺服器磁碟採用NTFS分區格式。(圖1) 2、帳戶密碼安全 在伺服器初始化完成之後,就應重命名Administrator和Guest賬戶,然後將其密碼更改為長而復雜的值。還要在每個伺服器上使用不同的名稱和密碼,這將有效提高公司在文件訪問方面的限制功能。 二、擴展安全計劃 1、部署活動目錄(AD) 對於客戶端超過100個的企業,如果沒有統一的目錄服務,尋找任何網路資源都成為問題,更別說後續的文件許可權劃分和調整了,需要盡快升級到活動目錄控制下的網路運行方式。 2、SCW增強安全性 Windows Server 2003通過提供安全配置向導(Security Configuration Wizard,簡稱SCW)之類的新安全工具增強了安全基礎結構,有助於確保伺服器基於角色來設置安全性,建議進行配置。(圖2) 三、存儲空間限制計劃 1、NTFS磁碟配額 文件伺服器如果沒有限制用戶的存儲容量,必將導致文件伺服器空間被大量佔用。這主要是因為沒有配置適當的保證措施和服務。以Windows Server 2003操作系統為例,可以使用磁碟配額跟蹤和控制NTFS卷上的磁碟空間使用情況。磁碟配額可防止用戶由於在超過指定的磁碟空間限制值時記錄事件而超出設定的磁碟空間。(圖3) 2、FSRM磁碟配額 或者我們可以使用Windows Server 2003提供的文件伺服器資源管理器(File Server Resource Manager,以下簡稱為FSRM),也可以實現磁碟配額功能。(圖4) FSRM與NTFS的磁碟配額功能一樣,採用了用戶存儲空間的限制功能,可以提供了包含管理、限制、監控三種功能共計六個模板。根據公司日常文件存儲的特性以及伺服器實際的磁碟空間,我們可以自行創建配額模板(可以復制某一個模板信息),FSRM在配置配額的「空間限制」選項中指定了存儲空間的大小。 四、存儲格式限制計劃 為了保證只和工作有關的文件優先存儲,就需要控制文件存儲的格式,FSRM中的「文件篩選器」功能可以有效地提高存儲格式方面的管理。 「文件篩選器」中已經包含了一些模板,我們可以在這些模板中添加或修改其屬性。在「篩選類型」中,選擇要應用的篩選類型,比如針對視頻和音頻文件等。文件類型中還包括可執行文件、系統文件等,如果將這些文件也過濾掉,能夠減少一些病毒對伺服器的威脅。(圖5) 五、文件版權保護計劃 1、EFS加密 數據加密方面的軟體很多,在Windows操作系統上直接提供的是EFS加密。EFS是一種基於公共密鑰的加密機制,能夠實時、透明地對磁碟上的數據進行加密,那些沒有正確密鑰的攻擊者是無法訪問這些數據的。在正常使用時,用戶根本感覺不到它的存在。但是當其他非受權用戶試圖訪問加密過的數據時,就會收到「訪問拒絕」的錯誤提示,從而進一步保護了文件的訪問許可權。(圖6) 2、RMS許可權設置 由於移動存儲設備隨處可見,企業的重要文檔可能隨時都被復制,造成信息的泄密。建議採用數字版權管理服務技術(Rights Management Services,簡稱RMS),減少泄露文檔信息的機會。在RMS中,許可權伴隨文檔,規定信息使用的許可權和條件,並且許可權信息加密,強制實施文檔許可權,未經授權,該文檔就不能修改、復制,不能列印、分發,即使拷貝出去,也不能打開。文件伺服器搭配RMS就可以防止企業文件被惡意泄露。(圖7) 總結:文件伺服器是企業文件交互的一條重要通道,可謂企業信息重地。它能否穩定、安全地運行,其重要性對於企業不言而喻。
⑻ 如何保障OA辦公系統安全性
針對企業對於OA系統6大安全性要求,泛微OA系統在解決系統安全性方面有如下措施:
1、准入層面安全
認證體系方面:CA認證體系,可支持證書認證等多種強安全身份認證方式,解決弱口令所存在的安全隱患。
登錄安全體系方面:雙音子體系支撐(Ukey支撐、動態密碼支撐、簡訊支撐)和硬體對接支撐(指紋、面部識別等硬體支撐)
密碼要求體系方面:可以自定義密碼安全要求級別(密碼復雜性要求、密碼變更周期要求、強制密碼修改要求、密碼鎖定要求);登錄策略要求(對於設備的重復登錄管理、對於網斷的重復登錄管理、對於時間控制的登錄管理)
2、傳輸層面安全
DMZ區域:DMZ區域+埠映射——將移動應用伺服器放置在DMZ區域,PC應用伺服器放置在伺服器區域,通過埠向外映射的方式進行對外通訊。
優點:較為安全,僅開放一個埠;多重防火牆保護;策略設置方便;帶寬佔用相對較小;
缺點:仍然有一處埠對外;仍然承受掃描風險和DDOS風險;一般數據不加密傳輸;
建議在中間件端開啟Https,增強傳輸安全性;
VPN區域:通過VPN設備構建內網統一環境
優點:安全性高,通過VPN撥入形成統一的內網環境;數據通過Https加密保證傳輸安全;
缺點:需要進行一步VPN撥號操作;需要額外的VPN開銷;需要額外的帶寬開銷
SSL中間件生成:通過resin設置,在不增加VPN硬體的情況下實現外部線路的SSL加密。
3、數據層面安全
結構化數據方面:分庫、加密、審計
非結構化數據方面:加密、切分、展現層控制
文件切分、加密存儲方式——所有數據通過切分、加密技術保證:文件伺服器不存在由於文件有毒而中毒情況;文件伺服器所有數據不可以直接從後台讀取;所有數據必須通過應用伺服器才可以展現
當然也支持不加密方式以方便對於文件有獨立訪問要求的客戶
4、硬體層面安全
三層次部署結構:最常見的OA系統集中部署方式,我們建議採用DMZ+伺服器區+數據區
三層結構,以保證數據的安全性;
防火牆體系:各區域中間通過硬體或軟體防火牆進行邊界防護和區域防護,保證DDOS攻擊和入侵的防控。
5、實施運營運維層面安全
實施層面的安全操守與運營層面的數據和許可權保證:穩定團隊、專業操守、工作詳細記錄和確認、對於敏感數據可以進行虛擬數據實施
運維層面的響應和記錄要求:通過變更評估流程形成統一的問題提交窗口,減少直接修正造成的許可權錯誤和管控缺失;減少直接修正造成的部門間管理沖突;明確變更成本(IT成本和運營成本);有章可循、有跡可查。
6、災難回復層面安全
數據的保存:
①數據備份內容
a.程序文件:不需要自動周期備份,只需要在安裝或升級後將伺服器的程序安裝的文件夾手動備份到其他伺服器或電腦中;
b.數據文件:一般可通過伺服器的計劃執行命令來備份;
c.資料庫內容:可直接使用資料庫的定期備份功能進行備份;
②備份周期頻率
a.數據備份保留周期
b.備份頻率:數據文件—每日增量備份、每周全備份;資料庫—每日全備份;
c.取備份的時間表:數據短期保留周期14日;數據中、長期保留周期-抽取每月最後一周全備份進行中、長期保留;
d.備份保留周期的要求:年度全備份需永久保留;保留最近12個月的月度全備份;保留最近1個月內的周全備份;保留最近1個月內的日增量備份;
e.針對不需要雙機熱備的運行狀態,還需要對e-cology日常運行的數據和程序周期進行備份,以便系統或伺服器出現異樣時可快速還原正常狀態。
系統的快速恢復:程序文件、數據文件、資料庫內容已損壞的數據都可以快速恢復
數據許可權的終端:若終端不慎遺失,系統管理員可直接進行銷號操作,並綁定新設備