Window2003服务器安全配置方案

江西省信息中心李新华

前言：

安全是相对的，安全防护不是追求一个永远也攻不破的安全技术，安全体系应能够保证在入侵发生，系统部分损失等较大风险产生时，关键任务不能中断，保持网络的生存能力。

安全防护是有时效性的，今天的安全明天就不一定很安全，因为网络的攻防是此消彼长，道高一尺，魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断的检查、评估和调整相应的策略。

第一节安装 Windows 2003 Server

第二节安装和配置IIS

第三节 FTP服务器架设

第四节 win2003系统安全设置

第五节 IIS安全设置

第六节设置安全的虚拟主机访问权限

第一节安装 Windows 2003 Server

一、注意授权模式的选择（每服务器，每客户）：

建议选择“每服务器”模式，用户可以将许可证模式从“每服务器”转换为“每客户”，但是不能从“每客户”转换为“每服务器”模式。，以后可以免费转换为“每客户”模式。

所谓许可证（CAL）就是为需要访问Windows Server 2003的用户所购买的授权。有两种授权模式：每服务器和每客户。

每服务器：该许可证是为每一台服务器购买的许可证，许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端，但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。

每客户：该许可证模式是为网络中每一个客户端购买一个许可证，这样网络中的客户端就可以合法地访问网络中的任何一台服务器，而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器，并且客户端“同时”访问服务器的情况较多时采用。

微软在许可数上只是给了你一个法律上的限制，而不是技术上的。

所以假如你希望服务器有更多的并发连接，只要把每服务器模式的数量改的大一些即可。这个数量会限制到windows中所有的网络应用，包括数据库。

二、安装时候使用NTFS分区格式，设定好NTFS磁盘权限。

C盘赋给administrators 和system用户组权限，删除其他用户组，其它盘也可以同样设置。注意网站最好不要放置在C盘。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。另外，还将c:\windows\system32 目录下的一些DOS命令文件：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录默认everyone用户有权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等方法，在用做web/ftp服务器的系统里，建议是将这些目录都设置的限定好权限。

三、禁止不必要的服务和增强网络连接安全性

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

注意：不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP 过滤功能。

第二节安装和配置IIS

一、仅安装必要的组件，选择Internet(信息服务IIS)即可。原则是网站需要组件功能才安装，比如https://www.360docs.net/doc/a17113925.html,或其它组件不需使用就不要安装。

二、修改上传文件的大小

Windows server 2003服务器，当上传文件过大（超过200K）时，提示错误号 2147467259。原因是IIS6.0默认配置把上传文件限制在200k，超过即出错。解决方法如下：首先，停止以下服务：

IIS admin service

World Wide Web Publishing Service

HTTP SSL

然后找到：

C:\Windows\system32\inesrv\metabase.xml \Windows\system32\inesrv\

编辑文件metabase.xml(不要用写字板，要用记事本编辑，否则容易出错。) 找到：ASPMaxRequestEntityAllowed 默认为204800 （200k），改成需要的！保存。

最后，启动上面被停止的服务，就完成了！

注：可能会碰到metabase.xml 文件不能被保存，原因是你的服务未停干净，建议重启以后再进行上面的操作。

第三节FTP服务器架设

一、推荐使用Serv-U.FTP.Server.Corporate.v6.0.0.2

1.Serv-U最好不要使用默认安装路径，设置Serv-U的目录权限，只有管理员才能访问；

2、启用Serv-U中的安全，serv-u的几点常规安全设置：

选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP 地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有

权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

另外在"Block anti time-out schemes"也可以选中。其次，在"Advanced"选项卡中，检查 "Enable security"是否被选中，如果没有，选择它们。

3.可修改Serv-U的默认管理员名字和密码，默认端口也可以修改，详情见附录。

第四节 win2003系统安全设置

1、将一些危险的服务禁止，特别是远程控制注册表服务及无用和可疑的服务。

2、关闭机器上开启的共享文件，设置一个批处理文件删除默认共享。

3、封锁端口

黑客大多通过端口进行入侵，所以你的服务器只能开放你需要的端口以下是常用端口：80为Web网站服务；21为FTP服务；25 为E-mail SMTP服务；110为Email POP3服务。其他还有SQL Server的端口1433等，不用的端口一定要关闭！

关闭这些端口，我们可以通过Windows 2003的IP安全策略进行。

借助它的安全策略，完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入，右击“IP安全策略”，选择“创建IP安全策略”，点[下一步]。输入安全策略的名称，点[下一步]，一直到完成，你就创建了一个安全策略：

接着你要做的是右击“IP安全策略”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP和139端口为例说明。

关闭了ICMP，黑客软件如果没有强制扫描功能就不能扫描到你的机器，也Ping不到你的机器。关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP”，点右边的[添加]，再点[下一步]。在源地址中选“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“ICMP”，点[下一步]。回到关闭ICMP属性窗口，即关闭了ICMP。

下面我们再设置关闭139，同样在管理IP筛选器列表中点“添加”，名称设置为“关闭139”，点右边的“添加”，点[下一步]。在源地址中选择“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“TCP”，点[下一步]。在设置IP协议端口中选择从任意端口到此端口，在此端口中输入139，点[下一步]。即完成关闭139端口，其他的端口也同样设置

然后进入设置管理筛选器操作，点“添加”，点[下一步]，在名称中输入“拒绝”，点[下一步]。选择“阻止”，点[下一步]。

然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。选择“此规则不指定隧道”，点[下一步]。在选择网络类型中选择“所有网络连接”，点[下一步]。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法，你可以将“关闭139”等其他筛选器加入进来。

最后要做的是指派该策略，只有指派后，它才起作用。方法是右击“安全”，在菜单中选择“所有任务”，选择“指派”。IP安全设置到此结束，你可根据自己的情况，设置相应的策略。

第五节 IIS安全设置

1、删掉c:/inetpub目录，删除iis不必要的映射。

2、使用虚拟主机的每个web站点都应该新建单独的IIS来宾用户。

3、 IIS为每个虚拟主机设置来宾帐号，这样即使一个网站由于后台漏洞被入侵也不会波及整台服务器,整个服务器管理权限不会沦陷。

4、IIS管理后台设置限定IP地址访问,仅仅开放需要进入后台的IP。

5、IIS管理器内一些文件夹内只有图片并没有程序（例如image、pic），可将其运行权限设置为无（默认可运行脚本）。

6、将IIS日志默认保存位置修改至其它分区，防止黑客入侵后删除安全事件及web日志。

7、防止ASP木马程序入侵的三种办法：

1）上传目录的权限选择无执行权限，即使上传木马也会因无执行权限而入侵失败。

访问时可执行文件的ASP显示：

2）上传的文件加上IP地址限制，只允许信息员机器IP地址访问。

a.目录限定：

b.文件限定：

3）在上传文件中增加验证程序，比如：

这样打开页面即提示：

4）加入防注入代码，在上传文件入口处或关键程序中增加一行代码调用防注入程序，可以

登陆后台对防注入程序进行管理，查看入侵扫描信息。代码不要放在首页，这样影响网

站打开速度，网站首页的ASP代码要尽可能少，最好已经是HTML，调用数据库内容太多

会影响网站速度。

登陆后台页面

入侵信息记录

在防注入系统后台系统设置中推荐采用“直接关闭网页”。锁定IP可以封扫描IP，但不推荐使用，以防误操作一个局域网段的internet出口地址全部被封。这个自己在使用中可以慢慢体会。

5）使用从网上摘抄的源代码后台需要对其进行改动，尤其是上传文件名，比如upfile.asp 改为jxic-upfile.asp。

第六节设置安全的虚拟主机访问权限

由于公网IP数量紧张，多个站点在一台服务器已经很普遍，对于拥有虚拟站点的主机，我们要设置好用户的访问权，同时对于有子网站的用户，单列出一个主机头，使用自己的虚拟目录，这样在子网站存在漏洞被黑客入侵时也很难跨站入侵。

一、新建web网站访问用户组和用户。

原理涉及到用户权限和组的权限，我们的目的的是新建一个组，这个组的权限是由用户的权限来决定。只给予用户必要的权限即可。同时也为了避免网站访问出现500内部错误问题，这个是由于IUSER帐号（默认的web访问用户）的三个系统文件内部时间不协调引起的。

1、首先右键点击“我的电脑”图标-“管理”-“本地用户和组”。

2、左边栏目中选择“组”，点击右键，选择“新建组”，新建一个组名，加上描述。

3、左边栏目中选择“用户”，点击右键，选择“新建用户”，新建一个用户名，加上描

述，设置密码（后面IIS设置中需要此密码），将用户下次登陆时需更改密码前的勾去除，同时勾选用户不能更改密码和密码永不过期。

4、在右边栏目中选中刚创建的用户“jxdpc-webguest”，右键选择“属性”-“隶属于”，

选择“Users”组后点击“删除”，在点击“添加”。

5、点击“高级”，再点击“立即查找”。

6、双击新建的组“webguestgroup”,添加到下图所示方框后-点击确定完成。

二、设置目录的权限，我们把web网站放在D盘jxjw文件夹（基于安全考虑）.

1、进入网站所在目录，点右键选择“属性”。

2、选择“安全”，将除Administrators,CREATOR OWNER,SYSTEMS的用户组删除。有些组提示不能删除，是因为继承权限的原因，可以点击上图中的“高级”，将“允许父项的继承项传播到该对象和所有子对象”勾去除-选择“应用”。

3、添加新建的用户”jxdpc-webguest”。

4、给予“用户修改、读取和运行、列出文件夹目录、读取、写入”这些权限，去除“完全控制”权限。

三、IIS设置。

1、依次打开“开始”-“设置”-“控制面板”-“管理工具-Internet 信息服务(IIS)管理器”。

服务器配置方案v1.1

服务器配置方案

目录服务器配置方案 (1) 第一章引言 (3) 1.1.编写目的 (3) 1.2.项目背景 (3) 第二章系统网络拓扑结构 (4) 第三章硬件需求 (6) 第四章软件需求 (7) 第五章网络需求 (8) 第六章云环境租用说明 (8)

第一章引言 1.1.编写目的该文档针对工程造价类项目管理信息系统（以下简称项目管理系统）的实际情况，提出其服务器配置方案。方案的制定本着满足用户实际需要并降低资金投入的原则，需要满足从硬件、网络、软件、安全等方面进行阐述，提供主推方案和备选方案，以便用户根据自身特点进行决策。 1.2.现状和目标工程造价类项目管理信息系统建设的主要目的是：建立对造价项目的全生命周期管理，包括从项目的启发到项目的后评估，对项目的各里程碑阶段提供信息化支撑手段；统一管理造价项目的各类信息，做到安全存储、有效统计、有效分析；实现造价项目相关流程的信息化，提高流程的流转效率，降低因纸质流程所带来的效率低下和非增值工作的浪费。因此系统的运行需要满足以下目标：用户在内外网均可访问：公司的员工可以在公司局域网和Internet上均能够访问使用系统；高可用性：当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会迅速的自动启动并运行（一般为2分钟左右），从而保证整个系统的正常运行。扩展性：整个网络以及硬件环境须具有可扩展性，满足公司用户能正常流畅的实用系统。比如存储能能扩展满足日益增长公司业务需求等。项目管理系统适用于以项目管理为主线贯穿销售、人资、客服等环节业务的管理。用户范围包括造价项目相关的所有人员，目前公司员工240多人，预计在2015年员工总人数达到300人以上，因此系统实用规模预计支持在线用户200人，并发用户50人。公司目前硬件环境如下：

服务器灾备方案

服务器灾备方案一、服务器灾备的目的服务器灾备计划就是在平时对服务器的重要数据、数据库、配置文件、应用服务等做备份，为了在发生重大灾难或者事故后，能尽快将原服务器中重要的数据、数据库或者应用服务等恢复出来继续给客户提供服务。 ※本方案适用于基于Windows操作平台下的服务器。二、主要的服务器备份方式按备份系统的准备程度，可将其分为冷备份、温备份和热备份三大类。冷备份备份系统未安装或未配置成与当前使用的系统相同或相似的运行环境, 应用系统数据没有及时装入备份系统。一旦发生灾难，需安装配置所需的运行环境，用数据备份介质（磁带或光盘）恢复应用数据，手工逐笔或自动批量追补孤立数据，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，节省通信费用，通信环境要求不高。缺点：恢复时间较长，一般要数天至1周，数据完整性与一致性较差。温备份将备份系统已安装配置成与当前使用的系统相同或相似的系统和网络运行环境，安装了应用系统业务定期备份数据。一旦发生灾难，直接使用定期备份数据，手工逐笔或自动批量追补孤立数据或将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，通信环境要求不高。缺点：恢复时间长，一般要十几个小时至数天，数据完整性与一致性较差。热备份备份处于联机状态，当前应用系统通过高速通信线路将数据实时传送到备份系统，保持备份系统与当前应用系统数据的同步；也可定时在备份系统上恢复应用系统的数据。一旦发生灾难，不用追补或只需追补很少的孤立数据，备份系统可快速接替生产系统运行，恢复营业。优点：恢复时间短，一般几十分钟到数小时，数据完整性与一致性最好，数据丢失可能性最小。缺点：设备投资大，通信费用高，通信环境要求高，平时运行管理较复杂。在计算机服务器备份和恢复中，冷备份服务器（cold server）是在主服务器丢失的情况下才使用的备份服务器。冷备份服务器基本上只在软件安装和配置的情况下打开，然后关闭直到需要时再打开。温备份服务器（warm server）一般都是周期性开机，根据主服务器内容进行更新，

Windows操作系统安全配置方案

Windows操作系统安全配置方案一、物理安全服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留１５天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。二、停止Guest帐号在［计算机管理］中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。三、限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。四、多个管理员帐号管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。五、管理员帐号改名在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。六、陷阱帐号和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。

服务器部署方案

服务器架构方案一： FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100，数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值，如果是利用FMS技术，要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出：100人 * 30k = 3000k 3000k ÷ 128k/M = 23.4M(约20M带宽) 如果网站的视频观众最高并发量时达到100人，就需要至少20M的带宽；如果网站的视频观众最高并发量时达到1000人，就需要至少200M的带宽；如果网站的视频观众最高并发量时达到5000人，就需要至少1000M的带宽；推荐服务器：服务器的配置重点在于带宽，根据市场了解G端口<1000M带宽>的服务器推荐硬件配置固态硬盘，大内存即可，CPU占用率相对较低，目前没有一定数量的真实用户，暂时不能测试出对服务器硬件的消耗值，不过16G内存的服务器承载5000人同时观看直播。服务器架构方案二：

服务器配置方案

服务器配置方案本文转自：傲龙网络在日常工作中，经常给客户进行硬件配置建议，发现很多客户基本的信息化基础的知识都不是太懂，比如服务器配置数选择和用户数关系等等。甚至很多IT专业人士，比如erp，crm顾问都不是很清楚。当然也有可能这些顾问只专注于他自己工作的那一块，认为这些是售前干的事情，不需要了解太多。在我看来我觉得多了解一些，碰到不懂的客户也可以给人家说个所以然出来，至少也没有什么坏处嘛。下面这篇文章也是平常的工作总结，贴出来给大家分享一下，也许还用的着。第一章服务器选择 1.1 服务器选择和用户数关系

说明：首选原则：在初期给客户提供硬件配置参考时，在线用户数建议

按注册用户数（或工作站数量）的50％计算。备用原则：根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑，在线用户数比例可以适当下调，由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。服务器推荐选择品牌：IBM、DELL（戴尔）、HP（惠普）、Sun 、Lenovo （联想）、浪潮、曙光等品牌机型。 CPU：如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动，只要求达到同级别或该级别以上处理能力。硬盘：对于硬盘方面，推荐选择SCSI硬盘，并做RAID5；对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业，强烈推荐采用磁盘阵列。硬盘容量＝每用户分配容量×注册用户数＋操作系统容量＋部分冗余 1.2 常见机型参考报价

由于IBM服务器在几个品牌的PC服务器系列中价格较高，如果报价是供客户做预算用，则可将该报价直接发给客户供参考，减少商务询价的工作量。硬件配置和相关型号可上网查询： IBM服务器 HP服务器 DELL服务器 SUN服务器 Lenovo（联想） 1.3 服务器选择和用户数关系在线计算在IBM网站上有提供IBM Systems Workload Estimator工具可用于

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

服务器部署方案

服务器部署方案标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]

FMScms网站包含2个部分，即为客户端和服务端。客户端:网站前台+网站后台服务端:FMS直播软件和组件 FMS主播系统工作图解 FMS主播系统服务器架构以及硬件级宽带需求说明 FMS服务器安排需要两部分，WEB服务器以及FMS直播服务器，即为开始所说的用程序的2部分。 WEB服务器的作用是用来安装承载用户访问的客户端(网站或者移动端前台) FMS直播服务器的作用是用来接收处理并发布直播视频流一般来说，WEB服务器的要求不高，普通的服务器或者云主机就可以满足需求，FMS服务器相对来说带宽要求较高，硬件要求：市面上配置不错的独立服务器即可满足，当然还是推荐SSD固态硬盘。服务架构图服务器架构方案一： FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100，数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值，如果是利用FMS技术，要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出： 100人 * 30k = 3000k 3000k ÷ 128k/M = (约20M带宽)

如果网站的视频观众最高并发量时达到100人，就需要至少20M的带宽；如果网站的视频观众最高并发量时达到1000人，就需要至少200M的带宽；如果网站的视频观众最高并发量时达到5000人，就需要至少1000M的带宽；推荐服务器：服务器的配置重点在于带宽，根据市场了解G端口<1000M带宽>的服务器推荐硬件配置固态硬盘，大内存即可，CPU占用率相对较低，目前没有一定数量的真实用户，暂时不能测试出对服务器硬件的消耗值，不过16G内存的服务器承载5000人同时观看直播。服务器架构方案二：采用CDN加速，分发流媒体。这种方式目前也是需要FMS服务器，未来一段时间我们会用另外的方法代替，不过这种方式对服务器的硬件以及带宽的需求就大大减小了。 1.web服务器，当然也可以安装FMS 2.流媒体服务器，这里的流媒体服务器FMS只用来承载聊天、礼物赠送等数据 3.接入CDN，我们目前支持RTMP协议的流媒体加速方式，即将推出的版本的FMSCMS会添加HTTP协议的流媒体，更适合主流加速方式。方案二的优点 1.服务器硬件以及带宽要求降低太多，节省服务器成本 2.在线观看直播人数可以无限拓宽，不需要担心服务器占用达到峰值的危险 3.网络环境得到优化，直播效果更加理想

实验室建设方案

实验室建设方案一、已进行的工作（一）学生培养方案 1．科研方案在科研方面，实验室主要以开放式的方式进行科研活动。这主要可以体现在实验室的人员配置上：在实验室中，本校固定的研究人员占三分之二，校外客座的研究人员占三分之一。客座科研人员承担实验室发布的开放式课题研究，在实验室工作时间由实验室与被聘用者协商决定。实验室对客座科研人员的相关研究成果有冠名权。学生通过主动提出申请，可以加入到这些科研工作中，在专家的指导下，进行科研学习工作，提高学生的专业素质和科研能力。同时，为使学生在学业、学术上进行大胆的自主创新活动，实验室也鼓励校内外的学生来实验室进行创新项目申请，在有关专家小组对项目评审后，对合格的项目，予以人力、物力、资源、资金等方面的资助，从而来锻炼学生的自主创新能力及独立科研能力。另外，实验室也重视与企业和社会的横向项目的合作。这类科研合作主要是面向实际应用的。通过这些面向实际应用的横向合作，学生可以把理论与实际相结合，增加实际工作经验。从成功的项目中，进行抽象概括，由特殊到一般，上升到理论，对以后的科研工作进行普遍性地指导。 2．培养特色 3．交叉学科培养复旦大学金融创新研究生开放实验室，是教育部批准的、国家唯一的一所金融领域的文理交叉实验室，主要用于校内外研究生的金融教学实验和自主金融创新研究，为培养高层次的金融人才服务。它整合了复旦大学经济学院，管理学院，数学系和计算机系等院系的金融研究队伍，科研与教学力量居国内前列，研究范围涵盖了国际金融，数学金融，金融市场，货币银行，金融工程，保险等领域。在这样的研究平台上，可以对研究生进行交叉学科的培养：来自于不同专业背景的同学，在相关领域专家的指导下，可以共同承担一个科研创新项目，在项目的科研中，可能会需要不同的专业知识，这就可以使同学之间相互学习，或者学生个人主动学习不同领域的专业知识，从而达到对学生进行交叉学科培养的目的，使得实验室培养出的学生具有多方面的专业知识，在今后的学习、工作中能很好地适应各种环境，出色的完成各种任务。（二）学生项目情况

AIX操作系统安全配置规范

AIX安全配置程序

1账号认证编号：安全要求-设备-通用-配置-1 编号：安全要求-设备-通用-配置-2

2密码策略编号：安全要求-设备-通用-配置-3

编号：安全要求-设备-通用-配置-4 编号：安全要求-设备-通用-配置-5

编号：安全要求-设备-通用-配置-6 3审核授权策略编号：安全要求-设备-通用-配置-7 (1)设置全局审核事件

配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号：安全要求-设备-通用-配置-8

服务器安装方案

一、实施计划方案实施方案和计划进度针对本次的项目实施，我公司将组建项目实施小组，按客户的要求和相应的设计方案，完成设备采购要求的伴随服务中的安装调试环节，实施过程采用项目管理方式进行管理和运作。在项目组成员的选择上，我公司会选择经验丰富的项目管理人员出任项目经理，并挑选各类资深认证工程师及商务、物流接口人组成专门的项目组。人员构成团队组成岗位人员职责发起人高青负责项目运作的监控和变更审批负责项目质量定义和实施检查项目经理刘庆负责项目整体运作、客户接口及合作方协调工作负责项目计划实施、流程规范执行管理负责跟踪项目执行和服务质量监控负责协调人员到场及货物交接负责组织验收、客户回访负责项目执行成本进度分析和控制资深工程师A 孟亮负责整体项目架构的构建和实施指导配合及测试验收工作资深工程师B 陈警负责现场环境考察、客户需求沟通负责实施方案撰写负责现场部分实施工作及测试验收工作项目实施进度计划针对客户项目的设计和实施需求，安装实施项目大致可分为以下阶段一、立项、启动和计划阶段控制过程主要完成以下工作： ●任命项目经理，召开项目启动会 ●项目实施计划、项目流程管理规范、执行文档模板的撰写 ●项目资源规划及落实 ●建立顺畅的沟通渠道和机制二、考察、咨询、方案设计阶段主要完成以下工作： ●客户安装现场环境考察 ●客户需求沟通，并提供安装、调试及系统架构相关技术咨询 ●项目实施技术方案撰写

●实施方案完善并提交客户审核 ●提交现场环境需求书和整改建议三、订货跟踪阶段此阶段神码将指定专人进行跟踪。及时跟踪产品订货的各项环节，及时汇报进展程度和进度预期。项目组将对可能发生的延误风险进行及时的处理，以避免和缓解影响。四、实施准备阶段针对项目实施所用到的工具、设备、介质和其他资源进行检测，确保完好可用完成初步的实施、维护、使用及测试验收文档模板五、到货交付阶段 ●完成内部货物入库，销售、出库、运输流程 ●协调人员进行现场货物交接和签收 ●对交付中产生的问题进行记录，并尽快积极解决，达到合同要求六、安装、调试阶段 ●项目经理跟踪项目执行和服务质量监控 ●相关现场人员对到场设备拆除包装上架 ●对现场环境进行复查检测，已确认符合安装规范要求 ●协同工作进行拓扑连接、上电验机 ●按客户规划要求和实施方案指导进行硬件、软件安装调试 ●项目组成员共同处理安装调试时发生的异常情况 ●责任人对实施、维护、使用及测试验收文档进行最终的完善 ●物流负责人对运输、拆箱安装现场环境进行清理和复原七、初验、监控阶段 ●按照计划安排和认可的测试流程进行设备功能性测试 ●对测试中遇到的问题和故障进行处理 ●提交实施、维护、使用及测试验收文档 ●在监控期安排工程师职守随时处理问题八、终验阶段 ●进行最终产品配置功能测试完成验收主要环节 ●对于实施、维护、使用及测试验收文档验证及及最后的修正 ●组织相关技术人员针对客户使用、维护等相关问题进行技术咨询解答 ●客服人员对项目组成员工作进行客户回访和满意度调查 ●项目经理对项目执行成本进度分析(内部)

机房服务器硬件配置方案

机房服务器硬件配置方案一、入门级常规服务器硬配置方案：硬件名称基本参数奔腾E2160系列，LPGA封装，双核，工作功率65W，核心电压 1.25V,数量参考价CPU 内存主板主频1800MHZ，总线频率800MHZ，倍频9，外频200MHZ，128M一级缓存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T111￥460￥135￥599Kingston DDRII 667 1G,采用PBGA封，频率667MHZ 采用Intel P965/ICH8芯片组，集成Realtek ALC 662声卡芯片，适用Core2 Extreme/Core 2 Quad/Core 2 Duo/奔腾4/赛扬D/PentiumD系列处理器。前端总线频率FSB 1066MHz 硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存（KB）:8000KB接口类型: Serial ATA接口速率: Serial ATA 300 机箱类型: xx飓风II机箱样式: 立式机箱结构: Micro ATX/ATX 3.51￥380机箱

光驱散热器 UPS 稳压器显示器鼠标键盘英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源: 金河田 355WB 3C 选配，普通DVD光驱热器类型: CPU散热器散热方式: 风冷风扇转数（RPM）:2200轴承类型: 合金轴承适用范围: Intel LGA775 Conroe、Pentium D、Pentium4 Celeron D全系列最大风量(CFM):43CFM UPS电源类型: 后备式UPS额定输出容量: 0.5kva 选配

先进自动化联合实验室配置方案

先进自动化联合实验室配置方案 CETTIC & SIEMENS 先进自动化联合实验室配置方案及总体规划进展方向

建设方案概述一.背景现代企业对职员的实践能力、科技开发与新技术应用能力要求越来越高，面向21世纪的高级技术人才应是复合型、制造型人才，应具备适应能力、进展能力和竞争能力；具备扎实的理论基础、广博的知识和合理的知识结构、较强的自动化工程实践能力；具备自动化大工程意识、创新意识、运用规范的自动化工程语言和各种技术信息资源解决工程实际问题的能力；具备一定的打算、决策、组织、和谐和市场开拓及应变能力；具备科学、务实的思想作风和工作态度；具备善于抓住、占据现代科技进展前沿的意识和能力。开放型的工程培训及认证基地是完成这一培养目标的不可缺少的必要条件。构建“四大平台”，即工业自动化系统认知平台、基础自动化工程培训及认证平台、现代自动化工程系统培训及认证平台以及自动化综合与创新培训及认证平台，并将创新培训及认证贯穿整个自动化工程培训及认证的始终，形成了“纵向及顶”、“横向达边”的自动化工程培训及认证新体系。所谓纵向及顶，即从专业技能培养方面逐步进入该领域技术前沿；所谓横向达边，即表达人才培养中，各科知识的融合与贯穿，以及学科专业的交叉和渗透，使被培养者成为复合型、创新创业型人才。二.电气实验室整体方案规划 (1).实验室具备功能 (2).核心理论依据 (3).建设方案依照职业技术学院的实际情形制定以下规划：本试验中心包括以下几部份： 1．生产自动化（FA）实验室2套装置操纵器采纳CPU314C-DP，自带I/O，通过CP 343-1和以太网交换机X208进行工业以太网通讯，可通过232电缆学习对触摸屏的编程调试，可实现当今大多工业企业在过程操纵领域中较为重要的操纵解决方案。 2．分布式过程操纵系统DCS 1套装置外表总线操纵及网络远程监控功能，操纵器采纳PCS7 BOX，通过Profibus-DP连接分布式I/O(ET200M)，通过DP/PA Link将DP转成PA网络，配置供实验用的过程操纵外表，可实现工业现场的多种操纵任务。带有PROFIBUS-DP 诊断中继器依照 RS 485 系统连接 PROFIBUS-DP 分段。另外，提供对铜总线电缆的物理在线监控。在发生故障时，给 DP 主站发送诊断信息，其中包含了故障类型和

服务器配置方案

说明：首选原则：在初期给客户提供硬件配置参考时，在线用户数建议按注册用户数（或工作站数量）的50％计算。备用原则：根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑，在线用户数比例可以适当下调，由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。服务器推荐选择品牌：IBM、DELL（戴尔）、HP（惠普）、Sun 、Lenovo （联想）、浪潮、曙光等品牌机型。 CPU：如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动，只要求达到同级别或该级别以上处理能力。

硬盘：对于硬盘方面，推荐选择SCSI硬盘，并做RAID5；对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业，强烈推荐采用磁盘阵列。硬盘容量＝每用户分配容量×注册用户数＋操作系统容量＋部分冗余常见机型参考报价

由于IBM服务器在几个品牌的PC服务器系列中价格较高，如果报价是供客户做预算用，则可将该报价直接发给客户供参考，减少商务询价的工作量。硬件配置和相关型号可上网查询： IBM服务器 HP服务器 DELL服务器 SUN服务器 Lenovo（联想）服务器选择和用户数关系在线计算在IBM网站上有提供IBM Systems Workload Estimator工具可用于计算在各种应用和用户数规模下建议采用的服务器型号配置，配置结果提供服务器型号、建议配置情况、可扩展性等信息。以下为IBM Systems Workload Estimator工具计算结果，供参考： At peak, this system will have 1000 active mail clients. The calculations for this workload take into consideration a maximum of 60 percent utilization. Based on the type of client connection, this translates to 4000 effective clients. 即当前配置可支持1000在线用户，4000有效用户，服务器配置结果受录入的基本信息影响较大。相关概念解释

混凝土实验室建设及仪器的配置方案

混凝土实验室建设与仪器的选配文摘：本文主要论述了高性能混凝土实验室应具备的检测试验能力，以及仪器设备配置和实验室环境测量控制等方面的问题。初步探讨了实验室管理的有关问题。关键词：混凝土实验室管理高性能混凝土 0 前言高性能混凝土实验室既是科研机构从事科学研究也是预拌商品混凝土生产企业进行产品研发与生产质量控制的必备基础性条件。高性能混凝土实验室建设与管理的目标是为获得满足科学研究与生产质量控制要求的必要种类的高质量的检测试验结果数据。因此，对高性能混凝土实验室的建设与管理探讨也应从以上两个方面入手。 0.1关于实验室检测试验数据质量无论是科学研究还是生产质量控制，都要求检测试验数据具备以下四种特性或其质量满足以下四个方面的要求： ■真实性； ■准确性； ■代表性； ■完整性。 0.2关于高性能混凝土实验室检测试验能力高性能混凝土实验室检测试验能力应满足科研机构从事科学研究或预拌商品混凝土生产企业进行产品研发与生产质量控制要求。 1．指导高性能混凝土实验室建设与管理的有关标准主要管理标准：检测和校准实验室能力的通用要求 GB/T27025—2008/ISO/IEC17025：2005

实验室资质认定评审准则测量管理体系测量过程和测量设备的要求 GB/T19022-2003/ISO10012：2003 用于检测实验室的测量设备的校准间隔确定的指南 D10 主要技术标准：建筑工程施工质量验收统一标准 GB50300-2001 混凝土结构施工质量验收规范 GB50204-2002 混凝土结构设计规范 GB50010-2010 混凝土结构耐久性设计规范 GB/T50476-2008 普通混凝土长期性能和耐久性能试验方法标准 GB/T50082-2009 混凝土耐久性检验评定标准 JGJ/T193-2009 混凝土结构耐久性评定标准 CECS220：2007 高性能混凝土应用技术规程 CECS207：2006 混凝土结构耐久性设计与施工指南 CCES 01-2004 民用建筑工程室内环境污染控制规范GB50325-2010 2．高性能混凝土实验室应具备的检测试验能力高性能混凝土实验室的检测试验能力应满足以下要求： ■有关验收规范标准、设计规范对混凝土及原材料质量进行检测试验的要求； ■混凝土原材料优选与质量控制对检测试验的要求； ■混凝土配合比设计对检测试验的要求； ■混凝土性能检验对检测试验的要求。因此，高性能混凝土实验室应具备以下几方面检测试验能力：混凝土原材料（水泥、砂石、掺合料、外加剂）检测试验能力；

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。第2章安全配置要求 2.1账号编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。操作指南1．参考配置操作 A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称

直播服务器配置方案

直播服务器配置方案（一）一、方案原理说明：本套方案通过直播页面配置边缘服务器以适应直播会议的最大访问量，本地PC机通过Flash Media Encode软件把摄像头捕获的是视频流直接推送至源服务器（接收直播流并处理分发给边缘服务器的主服务器，客户端不访问该源服务器，所以对该源服务器带宽要求不高，但是每个连接的客户端会有到源服务器的一个连接，因此对源服务器的资源配置要求会高些，例如内存，CPU等）；同时源服务器接收到直播流后会将直播流分发给边缘服务器（客户端访问边缘服务器，对边缘服务器的带宽要求很高，但是对资源要求不高）；在直播页面插入自己制作的FLASH播放器，FLASH播放器连接的服务器地址为边缘服务器地址IP，客户端通过播放器连接至不同的边缘服务器进行观看。二、方案所需器材 1、Flash Media Encoder2.5编码软件，Flash Media Server3.5破解版 2、现场配置快速能连接Internet的PC机一台，安装Flash Media Encoder2.5编码软件及Flash Media Server3.5破解版； 3、录制直播流的摄像机或者摄像头一个； 4、源服务器一台，安装Flash Media Server3.5破解版，保持默认配置； 5、边缘服务器若干台，安装Flash Media Server3.5破解版，配置为边缘服务器；三、方案图示说明四、方案描述会场通过连接PC机的摄像头拍摄直播视频，通过PC机的编码软件推送直播流至源服务器，源服务器分发数据流至各个边缘服务器；直播网页嵌入自己制作的FLASH播放器（每个播放器编码源于获取不同的边缘服务器），用户访问直播页面，通过程序控制展示给客户不同的FLASH播放器，各个不同的FLASH播放器获取不同的边缘服务器数据流，从而达到用户流的分配至不同的边缘服务器，实现直播分发的需求。五、架设步骤 1、准备内存、CPU配置较高，带宽可以稍低的服务器作为源服务器，源服务器安装Flash Media Server 3.5破解版软件，默认配置保持不变，同时Media Server两个服务（Flash Media Administration Server，Flash Media Server (FMS)）正常启动，软件能正常的使用；

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则通用版使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

部署_系统部署方案11(精选.)

xxxxxxx系统部署方案

1.网络拓扑结构

2.运行环境注意，由于系统运行于.NET Framework 3.5上，因此应用服务器和客户端需要安装.NET Framework 3.5的运行环境。 2.1应用服务器操作系统：Windows Server 2003 SP1 或更高 CPU：至强处理器2G或更高 Web服务器：IIS 6.0 内存：2G或更高硬盘空间：100G或更多 2.2数据库服务器 ORACLE 9i 2.3局域网客户端操作系统：Windows XP Professional SP2 或更高浏览器：IE6或更高版本 CPU：1.7G，推荐2G或更高内存：512MB，推荐1G或更高硬盘空间：10G或更多网络连接：局域网10M/100M

3.软件系统的安装与升级模式 3.1服务器端 1.安装.NET Framework 3.5； 2.安装IIS； 3.安装数据库服务器ORACLE 9i； 4.在Internet信息服务下创建两个虚拟目录，分别指向系统发布的程序文件夹和WCF文件夹。并设置好权限。 3.2客户端本系统的安装与升级使用SmartClient技术以实现智能在线安装与升级。安装步骤如下： 1.安装.NET Framework 3.5； 2.利用浏览器登录到指定网站，并进入系统安装与升级服务网页； 3.点击“安装”按钮； 4.系统自动执行安装/升级进程； 5.安装应用软件程序；系统启动时自动检测最新版本并更新。

4.故障的处理 4.1硬件系统的故障处理 1.用户使用本软件过程中出现硬件故障问题而影响到各子系统与数据库服务器的正常通讯，需要进行故障消除后方可正常使用软件系统。 2.如果由于服务器硬件配置低而影响系统的正常使用和使用效果，则需要提高服务器的硬件配置。 4.2软件系统的故障处理 1.如果由于操作系统版本较低而影响系统正常使用则需要升级操作系统版本。 2.产品软件使用过程中因人为因素造成数据或者程序文件丢失，可手工恢复数据或者执行在线软件安装或升级。最新文件仅供参考已改成word文本。方便更改

操作系统安全配置管理办法

行业资料：________ 操作系统安全配置管理办法单位：______________________ 部门：______________________ 日期：______年_____月_____日第1 页共8 页

操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南第 2 页共 8 页

3支持文件《IT主流设备安全基线技术规范》（Q/CSG11804-xx） 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员，负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置，应由终端管理员负责进行配置，或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理，变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善，由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型，不同的应用环境及不同的安全等级，结合信息系统和终端安全特性，制定合适的操作系统安全配置，以采取合适的安全控制措施。 5.2根据应用系统实际情况，在总体安全要求的前提下，操作系统的安全配置应满足《IT主流设备安全基线技术规范》（Q/CSG11804-xx）文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。第 3 页共 8 页