1、河北連益成信息技術(shù)有限公司 安全日常運(yùn)維管理安 全 日 常 運(yùn) 維 管 理河北連益成信息技術(shù)有限公司編寫人陳磊時(shí)間2014-12-2版本Version 1.0目錄第一章 安全運(yùn)維管理體系分析41.1 安全日常運(yùn)維管理的必要性41.2 安全運(yùn)維管理的技術(shù)支撐體系51.3 安全運(yùn)維管理遵循的PDCA周期61.4 安全日常運(yùn)維管理的目標(biāo)6第二章 帳戶口令管理72.1 職責(zé)定義92.2 口令賬號(hào)五個(gè)保密等級(jí)92.2.1 【最低等級(jí)】等級(jí)一92.2.2 【低等級(jí)】 等級(jí)二102.2.3 【中等級(jí)】 等級(jí)三102.2.4 【堅(jiān)固級(jí)】 等級(jí)四112.2.5 【最高級(jí)】 等級(jí)五122.3 賬號(hào)管理132.3.

2、1 賬號(hào)角色分配目的132.3.2 建立的原則132.3.3 賬號(hào)建立的過程142.4 口令管理162.4.1 口令管理原則162.4.2 口令設(shè)置原則172.4.3 口令設(shè)置最低標(biāo)準(zhǔn)182.5 權(quán)限管理192.5.1 概述192.5.2 確定最小權(quán)限192.5.3 建立權(quán)限體系202.6 賬號(hào)口令審計(jì)管理212.6.1 概述212.6.2 賬號(hào)審查通用要求222.6.3 賬號(hào)口令審計(jì)流程設(shè)計(jì)建議23第三章 服務(wù)與端口243.1 什么是端口243.2 什么是服務(wù)243.3 常用端口列表25第四章 安全補(bǔ)丁434.1 概述434.2 補(bǔ)丁安裝與操作434.2.1 檢測(cè)內(nèi)容434.2.2 建議操作

3、444.2.3 操作結(jié)果44第五章 終端管理44第六章 數(shù)據(jù)備份466.1 備份管理466.1.1 信息識(shí)別466.1.2 制定備份計(jì)劃476.1.3 實(shí)施備份計(jì)劃486.1.4 備份存放486.1.5 備份測(cè)試496.1.6 備份恢復(fù)496.2 數(shù)據(jù)恢復(fù)49第一章 安全運(yùn)維管理體系分析1.1 安全日常運(yùn)維管理的必要性IT系統(tǒng)是否能夠正常運(yùn)行直接關(guān)系到業(yè)務(wù)或生產(chǎn)是否能夠正常運(yùn)行。但I(xiàn)T管理人員經(jīng)常面臨的問題是：網(wǎng)絡(luò)變慢了、設(shè)備發(fā)生故障、應(yīng)用系統(tǒng)運(yùn)行效率很低。IT系統(tǒng)的任何故障如果沒有及時(shí)得到妥善處理都將會(huì)導(dǎo)致很大的影響，甚至?xí)斐煽膳碌慕?jīng)濟(jì)損失。但是什么原因?qū)е翴T系統(tǒng)屢出問題？是產(chǎn)品、技術(shù)、

4、還是缺乏有效的、系統(tǒng)化的安全運(yùn)維管理？隨著電信IT系統(tǒng)的發(fā)展，業(yè)務(wù)應(yīng)用的持續(xù)增加，其IT基礎(chǔ)設(shè)施的架構(gòu)越來越復(fù)雜，單純憑某個(gè)工具或某個(gè)人不可能有效地保護(hù)自己的整體網(wǎng)絡(luò)安全;信息安全作為一個(gè)整體，需要把安全過程中的有關(guān)各層次的安全產(chǎn)品、分支機(jī)構(gòu)、運(yùn)營(yíng)網(wǎng)絡(luò)、管理維護(hù)制度等納入一個(gè)緊密的統(tǒng)一安全管理平臺(tái)（系統(tǒng))中，才能有效地保障企業(yè)的網(wǎng)絡(luò)和信息安全。IT環(huán)境的復(fù)雜性，使更多的安全威脅被揭示出來。很多企業(yè)嘗試通過部署“最佳”安全產(chǎn)品來保護(hù)自己，比如防病毒網(wǎng)關(guān)、防火墻、入侵防護(hù)系統(tǒng)、VPN、訪問控制、身份認(rèn)證等。在這種極度復(fù)雜的情況下，需要的是一個(gè)集成的解決方案，使得企業(yè)能夠收集、關(guān)聯(lián)和管理來自異類源的

5、大量安全事件，實(shí)時(shí)監(jiān)控和做出響應(yīng)，需要的是能夠輕松適應(yīng)環(huán)境增長(zhǎng)和變化的管理體系，需要的就是企業(yè)完整的安全管理平臺(tái)解決方案?？偠灾?，對(duì)于企業(yè)安全運(yùn)維管理來說，三分技術(shù)，七分管理，在企業(yè)內(nèi)部建立一套完善的安全管理規(guī)章制度，使管理機(jī)構(gòu)依據(jù)相應(yīng)的管理制度和管理流程對(duì)日常操作、運(yùn)行維護(hù)、審計(jì)監(jiān)督、文檔管理等進(jìn)行統(tǒng)一管理，同時(shí)加強(qiáng)對(duì)工作人員的安全知識(shí)和安全操作培訓(xùn)，建立統(tǒng)一的安全管理體系，幫助企業(yè)識(shí)別、管理和減少信息通常所面臨的各種威脅，架構(gòu)企業(yè)的安全保障體系。 1.2 安全運(yùn)維管理的技術(shù)支撐體系安全監(jiān)控和基礎(chǔ)維護(hù)安全技術(shù)支撐運(yùn)維預(yù)防P響應(yīng)R恢復(fù)R策略發(fā)現(xiàn)D安全監(jiān)控和基礎(chǔ)維護(hù)安全技術(shù)支撐PPD

6、RR模型包括策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）5個(gè)主要部分，其中，防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)構(gòu)成一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下共同實(shí)現(xiàn)安全保障信息安全的重要理論模型包括信息安全的概念范疇、信息安全保障體系的結(jié)構(gòu)框架、信息安全的三維結(jié)構(gòu)和PPDRR模型1. 制定網(wǎng)絡(luò)和系統(tǒng)層面的整體安全技術(shù)保護(hù)方案和技術(shù)規(guī)范；2. 逐步實(shí)現(xiàn)安全自評(píng)估，全面掌握安全風(fēng)險(xiǎn)；3. 提供重大安全預(yù)警信息發(fā)布和解決方案；4. 協(xié)調(diào)響應(yīng)網(wǎng)絡(luò)層面的各類重大安全事件；5. 對(duì)各類安全事件有關(guān)數(shù)據(jù)進(jìn)行綜合分析，形成安全運(yùn)行分

7、析報(bào)告；6. 對(duì)生產(chǎn)層面的安全策略進(jìn)行集中控制；7. 跟蹤研究各種安全問題和技術(shù)，收集各種基礎(chǔ)信息資源。8. 進(jìn)行7×24小時(shí)的日常安全安全事件監(jiān)測(cè)，負(fù)責(zé)受理安全投訴。9. 對(duì)安全事件進(jìn)行收集匯總，進(jìn)行事件預(yù)處理。10. 系統(tǒng)日?？诹罹S護(hù)，加載安全補(bǔ)丁和梳理服務(wù)端口等11. 實(shí)施各類安全設(shè)備和配套管理設(shè)備的日常維護(hù)。12. 實(shí)施一般安全預(yù)警和安全應(yīng)急事件的處理。13. 落實(shí)系統(tǒng)自身安全應(yīng)急預(yù)案，并參加安全應(yīng)急演練1.3 安全運(yùn)維管理遵循的PDCA周期1.4 安全日常運(yùn)維管理的目標(biāo)安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用合適的安全技術(shù)與安全管理措施，完成下述

8、網(wǎng)絡(luò)與信息安全的保障任務(wù)。Ø 進(jìn)不來：使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性Ø 拿不走：使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的“拿不走”，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性。Ø 看不懂：使用加密機(jī)制，確保信息不泄漏給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂”，從而實(shí)現(xiàn)信息的保密性Ø 改不了：使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，從而確保信息的完整性。Ø 跑不了：使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫”，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提

9、供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。 為保障IT系統(tǒng)的正常運(yùn)行，應(yīng)能做到如下所示總結(jié)：安全日常運(yùn)維管理可總結(jié)為高效管理能力、全面運(yùn)維能力、安全保護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急響應(yīng)能力、快速恢復(fù)能力第二章 帳戶口令管理 為什么有這么多人鐘情于竊取帳號(hào)口令？攻擊者竊取帳號(hào)有著非法的目的、意圖，惡意毀壞操作等行為，他們或以出名，或以炫耀技術(shù)為目的。而目前，竊取帳號(hào)的行為都與竊取商業(yè)機(jī)密和機(jī)密信息、數(shù)據(jù)、經(jīng)濟(jì)利益相關(guān)，大都有著利益化的傾向犯罪行為。帳號(hào)衩竊取的常見原因2.1 職責(zé)定義2.2 口令賬號(hào)五個(gè)保密等級(jí)2.2.1 【最低等級(jí)】等級(jí)一只有基本的甚至沒有保障措施，用于電子系統(tǒng)的帳號(hào)。在第一等級(jí)的

10、保障的情況下，只有基本的甚至沒有保障措施用于電子系統(tǒng)的帳號(hào)，等級(jí)一的情況下，錯(cuò)誤的口令、帳號(hào)和權(quán)限管理可能導(dǎo)致給公司、客戶或者第三方帶來最小的不便。不會(huì)給公司、客戶或者第三方帶來直接的經(jīng)濟(jì)損失不會(huì)給公司、客戶或者第三方帶來不快不會(huì)給公司、客戶或者第三方帶來名譽(yù)或者地位的損失不會(huì)破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易不會(huì)導(dǎo)致民事或者刑事犯罪不會(huì)向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息未驗(yàn)收和未投入使用的系統(tǒng)，工程過程中的系統(tǒng)（假設(shè)沒有涉及知識(shí)產(chǎn)權(quán)，例如軟件代碼泄密的問題的情況下）2.2.2 【低等級(jí)】 等級(jí)二通過常用的措施即可保護(hù)系統(tǒng)的可信認(rèn)證，必須充分考慮代價(jià)和認(rèn)

11、證安全性的平衡這種等級(jí)的認(rèn)證被誤用或者破壞可能導(dǎo)致：給公司、客戶或者第三方帶來較小的不便給公司、客戶或者第三方帶來較小直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會(huì)給公司、客戶或者第三方帶來較小的不快會(huì)給公司、客戶或者第三方帶來較小名譽(yù)或者地位的損失存在一定的風(fēng)險(xiǎn)，可能破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易不會(huì)導(dǎo)致民事或者刑事犯罪。存在一定風(fēng)險(xiǎn)，可能少量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：一臺(tái)常用辦公電腦，該電腦上沒有存儲(chǔ)任何機(jī)密文件，他的帳號(hào)被竊取可能導(dǎo)致公司常用信息例如通訊錄被泄漏。一個(gè)有查詢系統(tǒng)的帳號(hào)，用戶可以通過Internet注冊(cè)來查詢自己的帳單。該帳號(hào)

12、失竊可能導(dǎo)致用戶信息的泄漏。2.2.3 【中等級(jí)】 等級(jí)三如果該級(jí)別的帳號(hào)被破壞，攻擊者往往可以通過這種系統(tǒng)作為中轉(zhuǎn)，進(jìn)而對(duì)部分關(guān)鍵的系統(tǒng)主機(jī)進(jìn)行破壞。這種級(jí)別的帳號(hào)口令雖然不是直接的業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫(kù)的帳號(hào)，但是，如果該級(jí)別的帳號(hào)被破壞，攻擊者往往可以通過這種系統(tǒng)作為中轉(zhuǎn)，進(jìn)而對(duì)部分關(guān)鍵的系統(tǒng)主機(jī)進(jìn)行破壞，該等級(jí)被誤用的主要風(fēng)險(xiǎn)有：通過中轉(zhuǎn)可能給公司、客戶或者第三方帶來較大的不便通過中轉(zhuǎn)有可能給公司、客戶或者第三方帶來較大直接的經(jīng)濟(jì)損失或沒有直接經(jīng)濟(jì)損失通過中轉(zhuǎn)會(huì)給公司、客戶或者第三方帶來較大的不快通過中轉(zhuǎn)會(huì)給公司、客戶或者第三方帶來較大名譽(yù)或者地位的損失存在一定的風(fēng)險(xiǎn)，會(huì)破壞公司、客戶或者

13、第三方需要執(zhí)行的商業(yè)措施或者交易可能會(huì)導(dǎo)致民事或者刑事犯罪存在一定風(fēng)險(xiǎn)，可能大量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：維護(hù)終端的用戶帳號(hào)，由于一些業(yè)務(wù)系統(tǒng)會(huì)對(duì)終端做特定限制，維護(hù)終端被破壞后，導(dǎo)致攻擊者可以進(jìn)一步破壞業(yè)務(wù)系統(tǒng)，重要的可信網(wǎng)絡(luò)設(shè)備的帳號(hào)等。2.2.4 【堅(jiān)固級(jí)】 等級(jí)四通常等級(jí)四意味著正式的業(yè)務(wù)流程使用的帳號(hào)，通常需要較高信心來保證身份的認(rèn)證和正確的授權(quán)。通常等級(jí)四意味著正式的業(yè)務(wù)流程使用的帳號(hào)，通常需要較高信心來保證身份的認(rèn)證和正確的授權(quán)，這種等級(jí)的認(rèn)證被誤用或者破壞可能導(dǎo)致：給公司、客戶或者第三方帶來較大的不便給公司、客戶或者第三方帶來較大直接的經(jīng)濟(jì)

14、損失或者沒有直接經(jīng)濟(jì)損失會(huì)給公司、客戶或者第三方帶來較大的不快會(huì)給公司、客戶或者第三方帶來較大名譽(yù)或者地位的損失存在較大的風(fēng)險(xiǎn)，會(huì)破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易會(huì)導(dǎo)致民事或者刑事犯罪存在較大風(fēng)險(xiǎn)，可能大量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：一般的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、和路由器的高權(quán)限帳號(hào)，例如root、administrator、dba等。業(yè)務(wù)系統(tǒng)的關(guān)鍵管理帳號(hào)，可以讀寫重要的用戶信息、業(yè)務(wù)信息和帳單信息。2.2.5 【最高級(jí)】 等級(jí)五等級(jí)五的保障通常對(duì)應(yīng)需要非常大的信心保障的系統(tǒng)。等級(jí)五的保障通常對(duì)應(yīng)需要非常大的信心保障的系統(tǒng)這種等級(jí)的認(rèn)證被誤

15、用或者破壞可能導(dǎo)致：給所有公司、客戶或者第三方帶來巨大的不便給公司、客戶或者第三方帶來極大直接的經(jīng)濟(jì)損失或者沒有直接經(jīng)濟(jì)損失會(huì)給公司、客戶或者第三方帶來極大的不快會(huì)給公司、客戶或者第三方帶來巨大名譽(yù)或者地位的損失破壞公司、客戶或者第三方需要執(zhí)行的商業(yè)措施或者交易會(huì)導(dǎo)致民事或者刑事犯罪大量向未經(jīng)授權(quán)的組織或個(gè)人暴露個(gè)人、公司、政府、商業(yè)的敏感信息舉例：關(guān)鍵系統(tǒng)，例如計(jì)費(fèi)系統(tǒng)數(shù)據(jù)庫(kù)主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)。用于存儲(chǔ)公司最高商業(yè)機(jī)密或密級(jí)為絕密的系統(tǒng)的認(rèn)證。2.3 賬號(hào)管理2.3.1 賬號(hào)角色分配目的（一）加強(qiáng)網(wǎng)絡(luò)與信息安全管理，明確各級(jí)系統(tǒng)用戶權(quán)的職責(zé)。（二）根據(jù)業(yè)務(wù)系統(tǒng)的要求及網(wǎng)絡(luò)信息管理規(guī)范，進(jìn)

16、一步完善各級(jí)用戶在系統(tǒng)中的職能劃分與角色定位。（三）強(qiáng)化系統(tǒng)帳戶和密碼的管理，降低帳戶和密碼泄漏對(duì)系統(tǒng)和數(shù)據(jù)安全產(chǎn)生的影響，確保各相關(guān)信息報(bào)告系統(tǒng)安全、有效運(yùn)行。系統(tǒng)管理員和超級(jí)用戶是有權(quán)限對(duì)系統(tǒng)的配置、系統(tǒng)最核心信息進(jìn)行更改的帳號(hào)和角色，普通帳號(hào)是用戶用于訪問業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)日常業(yè)務(wù)操作的用戶，是最為常見的用戶類型，第三方帳號(hào)通常指由于某種特殊情況，系統(tǒng)允許移動(dòng)以外的人員和組織訪問的帳號(hào)。在核心系統(tǒng)中，應(yīng)該設(shè)置安全審計(jì)員帳號(hào)，該帳號(hào)可以對(duì)系統(tǒng)安全設(shè)置和日志信息進(jìn)行專門的審計(jì)。2.3.2 建立的原則（1）不同類型用戶的建立應(yīng)遵循滿足其工作需要的原則，而用戶的權(quán)限分配則應(yīng)以保障網(wǎng)絡(luò)與信息的高效、準(zhǔn)

17、確、安全為原則。（2）用戶的權(quán)限分配應(yīng)盡量使用系統(tǒng)提供的角色劃分。如需特殊的操作權(quán)限，應(yīng)在準(zhǔn)確理解其各項(xiàng)操作內(nèi)容的基礎(chǔ)上，盡量避免和減少權(quán)限相互抵觸、交叉及嵌套情況的發(fā)生，經(jīng)測(cè)試成功后，再創(chuàng)建相應(yīng)的角色賦予本級(jí)用戶或直報(bào)用戶。（3）通過對(duì)用戶進(jìn)行角色劃分，分配審計(jì)賬號(hào)、用戶權(quán)限，合理限制對(duì)其他角色用戶、數(shù)據(jù)的修改權(quán)限，將審查數(shù)據(jù)與配置數(shù)據(jù)相對(duì)剝離，即原始配置數(shù)據(jù)與統(tǒng)計(jì)查看查看信息分開。（4）系統(tǒng)內(nèi)所有涉及查看數(shù)據(jù)的帳戶信息均必須采用真實(shí)信息，即有查詢機(jī)制確認(rèn)審計(jì)人員信息準(zhǔn)確。2.3.3 賬號(hào)建立的過程帳號(hào)管理貫穿帳號(hào)創(chuàng)建、授權(quán)、權(quán)限變更及帳號(hào)撤銷或者凍結(jié)全過程Ø 帳號(hào)設(shè)置應(yīng)與崗位職責(zé)

18、相容；Ø 堅(jiān)持最小授權(quán)原則，避免超出工作職責(zé)的過度授權(quán)；Ø 應(yīng)制定嚴(yán)格的審批和授權(quán)流程，規(guī)范帳號(hào)申請(qǐng)、修改、刪除等工作，授權(quán)審批記錄應(yīng)編號(hào)、留檔（表格命名規(guī)則及格式參見附件，各省公司可重新制定相關(guān)表格）；Ø 帳號(hào)創(chuàng)建、調(diào)整和刪除申請(qǐng)審批通過后，應(yīng)及時(shí)更新系統(tǒng)中的帳號(hào)狀態(tài)，確保與審批結(jié)論保持一致；Ø 原則上，除低權(quán)限的查詢帳號(hào)外，各系統(tǒng)不允許存在其它共享帳號(hào)，必須明確每個(gè)帳號(hào)責(zé)任人，不得以部門或用戶組作為最終責(zé)任人。Ø 在完成特定任務(wù)后，系統(tǒng)管理員應(yīng)立即收回臨時(shí)帳號(hào)。帳號(hào)創(chuàng)建、變更、刪除審批流程超級(jí)帳號(hào)由主管領(lǐng)導(dǎo)以授權(quán)的方式授予具體的系統(tǒng)管理員，

19、授權(quán)書至少應(yīng)包括系統(tǒng)名稱、超級(jí)帳號(hào)名、授予人姓名、職責(zé)描述、有效期等；所有帳號(hào)，包括系統(tǒng)管理員帳號(hào)、普通帳號(hào)、程序帳號(hào)的責(zé)任人，應(yīng)按規(guī)定的申請(qǐng)表格式要求提出申請(qǐng)，申請(qǐng)表至少包含申請(qǐng)人姓名、聯(lián)系方式、申請(qǐng)人職責(zé)描述、申請(qǐng)時(shí)間、申請(qǐng)目的、申請(qǐng)帳號(hào)所屬系統(tǒng)名稱、帳號(hào)類型、創(chuàng)建或者變更或者刪除操作類型、帳號(hào)權(quán)限描述、主管領(lǐng)導(dǎo)審批意見、系統(tǒng)管理員變更操作記錄及簽字確認(rèn)、權(quán)責(zé)描述備注欄目等；主管領(lǐng)導(dǎo)進(jìn)行審批，重點(diǎn)檢查所申請(qǐng)權(quán)限與申請(qǐng)人職責(zé)的一致性；系統(tǒng)管理員負(fù)責(zé)創(chuàng)建、變更或者刪除帳號(hào)，保留審批表格、并備案。如因系統(tǒng)能力或者管理原因無法按用戶創(chuàng)建帳號(hào)時(shí)，應(yīng)采取如下管理措施：Ø 明確共享帳號(hào)責(zé)任人，

20、責(zé)任人負(fù)責(zé)按照上述流程要求提出共享帳號(hào)審批表，并在審批表中注明該共享帳號(hào)的所有用戶名單；Ø 限制共享帳號(hào)的使用人數(shù)，建立相關(guān)管理制度保證系統(tǒng)的每項(xiàng)操作均可以對(duì)應(yīng)到執(zhí)行操作的具體人員；Ø 限定使用范圍和使用環(huán)境；Ø 建立完善的操作記錄制度，對(duì)交接班記錄、重要操作記錄表等等；Ø 定期更新共享帳號(hào)密碼。Ø 對(duì)于程序運(yùn)行或者程序自身由于管理需要訪問其它系統(tǒng)所使用的專用帳號(hào)，應(yīng)符合如下要求：Ø 只允許系統(tǒng)和設(shè)備之間通信使用，不得作為用戶登錄帳號(hào)使用；Ø 將此類帳號(hào)的維護(hù)管理權(quán)限統(tǒng)一授權(quán)給該系統(tǒng)的系統(tǒng)管理員，由后者歸口管理；2.4 口令

21、管理2.4.1 口令管理原則Ø 口令至少由6位及以上大小寫字母、數(shù)字及特殊符號(hào)等混合、隨機(jī)組成，盡量不要以姓名、電話號(hào)碼以及出生日期等作為口令或者口令的組成部分。Ø 應(yīng)以HASH或者加密技術(shù)保存口令，不得以明文方式保存或者傳輸；Ø 口令至少每90天更換一次。修改口令時(shí)，須保留口令修改記錄，包含帳號(hào)、修改時(shí)間、修改原因等，以備審計(jì)；Ø 5次以內(nèi)不得設(shè)置相同的口令；Ø 由于員工離職等原因，原帳號(hào)不能刪除或者需要重新賦予另一個(gè)人時(shí)，應(yīng)修改相應(yīng)帳號(hào)的口令。Ø 如系統(tǒng)能力支持，應(yīng)開啟并設(shè)置自動(dòng)拒絕不符合上述口令管理規(guī)則帳號(hào)和口令的參數(shù)；

22、6; 對(duì)于無法建立口令規(guī)則強(qiáng)制檢查的系統(tǒng)，帳號(hào)用戶應(yīng)在每次口令修改后留有記錄。Ø 對(duì)于無法進(jìn)行定期修改口令的帳號(hào)，如內(nèi)置帳號(hào)、專用帳號(hào)等，由系統(tǒng)管理員負(fù)責(zé)在系統(tǒng)升級(jí)或重啟時(shí)督促落實(shí)口令修改工作，負(fù)責(zé)督促落實(shí)調(diào)用該帳號(hào)的程序與所訪問系統(tǒng)兩側(cè)的口令同步工作。當(dāng)發(fā)生下述情況時(shí)，應(yīng)立即撤銷帳號(hào)或更改帳號(hào)口令，并做好記錄：Ø 帳號(hào)使用者由于崗位職責(zé)變動(dòng)、離職等原因，不再需要原有訪問權(quán)限時(shí)；Ø 臨時(shí)性或階段性使用的帳號(hào)，在工作結(jié)束后；Ø 帳號(hào)使用者違反了有關(guān)口令管理規(guī)定；有跡象，表明口令可能已經(jīng)泄露等。2.4.2 口令設(shè)置原則Ø 口令必須具有足夠的長(zhǎng)度和復(fù)

23、雜度，使口令難于被猜測(cè)Ø 口令在一定時(shí)間或次數(shù)內(nèi)不能循環(huán)使用Ø 不同帳號(hào)的口令應(yīng)當(dāng)不同，并且沒有直接聯(lián)系，以保證不可由一個(gè)帳號(hào)的口令推知其它帳號(hào)的口令Ø 同一帳號(hào)前后兩個(gè)口令之間的相同部分應(yīng)當(dāng)盡量減少，減低由前一個(gè)口令分析出后一個(gè)口令的機(jī)會(huì)Ø 口令不應(yīng)當(dāng)取過于簡(jiǎn)單的字符串，如電話號(hào)碼、使用者的姓名、寵物、生日或其倒序，6位字符都相同、6位連續(xù)字符等易于猜測(cè)的信息Ø 開戶時(shí)設(shè)定的初始口令必須是隨機(jī)產(chǎn)生的口令，而不能是相同或者有規(guī)律的口令Ø 所有系統(tǒng)管理員級(jí)別的口令（例如root、enable、NT administrator、DBA等）

24、在沒有使用增強(qiáng)口令的情況下，必需按照較短周期進(jìn)行更改，例如每三個(gè)月更換一次。應(yīng)該注意關(guān)鍵性帳號(hào)信息的定期行備份。Ø 用戶所使用的任何具備系統(tǒng)超級(jí)用戶權(quán)限（包括并不限于系統(tǒng)管理員帳號(hào)和有sodu權(quán)限帳號(hào)）帳號(hào)口令必需和這個(gè)用戶其他帳號(hào)的口令均不相同。Ø 如果有雙要素認(rèn)證機(jī)制，則以上的要求和下面關(guān)于強(qiáng)口令選擇的要求可以不考慮。Ø 口令不能在電子郵件或者其他電子方式下以明文方式傳輸。Ø 當(dāng)使用SNMP時(shí)，communication string不允許使用缺省的Public、Private和system等，并且該communication string不應(yīng)該和系

25、統(tǒng)的其他口令相同，應(yīng)該盡量使用SNMPv2以上的版本。2.4.3 口令設(shè)置最低標(biāo)準(zhǔn)Ø 如果技術(shù)上支持，口令至少要有6位長(zhǎng)Ø 口令必須是字母和非字母的組合Ø 口令第1位和最后1位至少應(yīng)包含1個(gè)非數(shù)字字符Ø 與前次口令比較，在任何位置不能有超過3個(gè)字符連續(xù)相同 Ø 口令不能包含超過2個(gè)連續(xù)相同的字符Ø 用戶名不能作為口令一部分Ø 與前4次相同的口令不能重復(fù)使用Ø 口令不能被共享除非每個(gè)口令的行為都能被區(qū)分Ø 對(duì)于級(jí)別要求很高的系統(tǒng)，普通用戶口令要求8位以上Ø 管理員/超級(jí)用戶帳號(hào)最近20個(gè)口令不可重

26、復(fù)，口令的長(zhǎng)度不可小于7位，口令中必須包含大寫字母、小寫字母和數(shù)字中的兩類，口令中同一個(gè)符號(hào)不得多于2次，且不得有1個(gè)以上的字符出現(xiàn)兩次，前后2個(gè)口令中相同位置的字符相同的不得多于2個(gè)；口令不得有明顯的意義修改Ø 帳號(hào)的使用人應(yīng)當(dāng)定期修改帳號(hào)口令，修改口令的間隔應(yīng)小于本標(biāo)準(zhǔn)的相關(guān)規(guī)定，對(duì)于本標(biāo)準(zhǔn)沒有規(guī)定的用戶，其間隔應(yīng)當(dāng)小于6個(gè)月Ø 不同用戶的修改口令的最大間隔為：1) 普通帳號(hào)應(yīng)當(dāng)小于6個(gè)月2) 管理員帳號(hào)和超級(jí)管理員帳號(hào)應(yīng)當(dāng)小于3個(gè)月Ø 匿名用戶帳號(hào)可以不修改口令2.5 權(quán)限管理2.5.1 概述按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)”、“誰(shuí)使用、誰(shuí)負(fù)責(zé)”、所有帳號(hào)均應(yīng)落實(shí)責(zé)任人

27、的原則制定本辦法。帳號(hào)和口令管理包括基于帳號(hào)的操作或訪問控制權(quán)限的管理。帳號(hào)是作為訪問的主體。而基于帳號(hào)進(jìn)行操作的目標(biāo)就是訪問的客體。通常這個(gè)客體被當(dāng)成為資源。對(duì)資源的訪問控制權(quán)限的設(shè)定依不同的系統(tǒng)而不同。從移動(dòng)帳號(hào)管理的角度，可以進(jìn)行基于角色的訪問控制權(quán)限的設(shè)定。即對(duì)資源的訪問控制權(quán)限是以角色或組為單位進(jìn)行授予。2.5.2 確定最小權(quán)限1、所謂最小特權(quán)（Least Privilege），指的是“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體（用戶或進(jìn)程）必不可少的特權(quán)”。最小特權(quán)原則，則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確?？赡艿氖鹿?、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。 2、最小特

28、權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。 最小特權(quán)原則要求每個(gè)用戶和程序在操作時(shí)應(yīng)當(dāng)使用盡可能少的特權(quán)，而角色允許主體以參與某特定工作所需要的最小特權(quán)去簽入（Sign）系統(tǒng)。被授權(quán)擁有強(qiáng)力角色（Powerful Roles）的主體，不需要?jiǎng)虞m運(yùn)用到其所有的特權(quán)，只有在那些特權(quán)有實(shí)際需求時(shí)，主體才去運(yùn)用它們。如此一來，將可減少由于不注意的錯(cuò)誤或是侵入者假裝合法主體所造成的損壞發(fā)生，限制了事故、錯(cuò)誤或攻擊帶來的危害。它還減少了特權(quán)程序之間潛在的相互作用，

29、從而使對(duì)特權(quán)無意的、沒必要的或不適當(dāng)?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權(quán)的最小部分才擁有特權(quán)。 3、基于角色的訪問控制是一種新型訪問控制模型，它的基本思想是將權(quán)限與角色聯(lián)系起來，在系統(tǒng)中根據(jù)應(yīng)用的需要為不同的工作崗位創(chuàng)建相應(yīng)的角色，同時(shí)根據(jù)用戶職務(wù)和責(zé)任指派合適的角色，用戶通過所指派的角色獲得相應(yīng)的權(quán)限，實(shí)現(xiàn)對(duì)文件的訪問。它支持最小特權(quán)、責(zé)任分離以及數(shù)據(jù)抽象三個(gè)基本的安全原則。 4、最小權(quán)限原則規(guī)定：每個(gè)用戶/任務(wù)/應(yīng)用在必需知情的前提下被賦予明確的訪問對(duì)象和模塊的權(quán)限。遵循最小權(quán)限原則運(yùn)行的系統(tǒng)要求授予用戶訪問對(duì)象的明確權(quán)限。準(zhǔn)許或拒絕訪問數(shù)據(jù)庫(kù)或服務(wù)器對(duì)

30、象的第一步是認(rèn)證和授權(quán) Ø 對(duì)帳號(hào)的授權(quán)，應(yīng)以其能進(jìn)行系統(tǒng)管理、操作的最小權(quán)限進(jìn)行授權(quán)。比如這個(gè)帳號(hào)作為系統(tǒng)帳號(hào)只能進(jìn)行數(shù)據(jù)備份的操作，那就只授權(quán)其可以進(jìn)行數(shù)據(jù)備份操作的命令。別的諸如進(jìn)行系統(tǒng)網(wǎng)絡(luò)狀態(tài)監(jiān)控的命令則不授權(quán)其可以進(jìn)行。Ø 對(duì)于授權(quán)，應(yīng)該支持一定的授權(quán)粒度控制，從而控制用戶的訪問對(duì)象和訪問行為，保證用戶的最小授權(quán)。2.5.3 建立權(quán)限體系基于角色訪問控制（RBAC）模型是目前國(guó)際上流行的先進(jìn)的安全訪問控制方法。它通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供角色分配規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派

31、為不同的角色。這樣，整個(gè)訪問控制過程就分成兩個(gè)部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。 由于實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，基于角色的策略極大的方便了權(quán)限管理。例如，如果一個(gè)用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，加入代表新職務(wù)或新任務(wù)的角色即可。研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對(duì)要慢得多，并且給用戶分配角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行，而給角色配置權(quán)限的工作比較復(fù)雜，需要一定的技術(shù)，可以由專門的技術(shù)人員來承擔(dān)，但是不給他們給用戶分配角色的權(quán)限，這與現(xiàn)實(shí)中的情況正好一致。 基于角色訪問控制可以很好的描述角色

32、層次關(guān)系，實(shí)現(xiàn)最小特權(quán)原則和職責(zé)分離原則2.6 賬號(hào)口令審計(jì)管理2.6.1 概述號(hào)口令管理的執(zhí)行情況，在很大程度上取決于帳號(hào)口令審查的監(jiān)督力度。在公司內(nèi)部推行帳號(hào)口令管理制度的很大一部分工作需要通過不斷的監(jiān)督、審查再配合相關(guān)的獎(jiǎng)懲規(guī)定來保證。因此完善的帳號(hào)口令審查制度對(duì)于整個(gè)帳號(hào)口令管理至關(guān)重要。2.6.2 賬號(hào)審查通用要求Ø 對(duì)于保障等級(jí)一、二類帳號(hào)的普通用戶，可以根據(jù)實(shí)際情況決定是否進(jìn)行定期審查Ø 對(duì)于保障等級(jí)一、二類帳號(hào)的超級(jí)用戶，定期審查的時(shí)間間隔不超過六個(gè)月Ø 對(duì)于保障等級(jí)三、四類帳號(hào)的普通用戶，定期審查的時(shí)間間隔不超過三個(gè)月Ø 對(duì)于保障等級(jí)四

33、、四類帳號(hào)的超級(jí)用戶，定期審查的時(shí)間間隔不超過一個(gè)月Ø 對(duì)于保障等級(jí)五類帳號(hào)的所有用戶，定期查的時(shí)間間隔不超過一個(gè)月Ø 任何變化發(fā)生后應(yīng)進(jìn)行審查，如：發(fā)生非法入侵、人員變動(dòng)等；Ø 對(duì)于審查過程中出現(xiàn)的多余、閑置或非法的帳戶，應(yīng)及時(shí)予以凍結(jié)或刪除Ø 對(duì)核查中發(fā)現(xiàn)的問題，應(yīng)督促相關(guān)人員采取必要措施予以糾正通用原則Ø 對(duì)于已經(jīng)實(shí)施集中認(rèn)證系統(tǒng)，審計(jì)的主要工作是對(duì)于認(rèn)證和授權(quán)的日志進(jìn)行檢查，審核是否有非法登陸事件，是否有越權(quán)使用的行為等Ø 對(duì)于操作系統(tǒng)級(jí)的帳號(hào)口令審計(jì)分為兩種：第一種可以設(shè)置帳號(hào)登陸和權(quán)限使用事件的追蹤，這種帳號(hào)口令的審計(jì)也是

34、對(duì)系統(tǒng)日志和防火墻等訪問控制設(shè)備日志的審計(jì)；對(duì)于不能實(shí)現(xiàn)帳號(hào)登錄和權(quán)限追蹤的系統(tǒng)，需要人工進(jìn)行審計(jì)，應(yīng)該根據(jù)業(yè)務(wù)系統(tǒng)的屬性制定詳細(xì)的審計(jì)checklist，由專門的安全組織進(jìn)行定期或者不定期的帳號(hào)隨機(jī)抽查審計(jì)Ø 對(duì)于應(yīng)用系統(tǒng)的帳號(hào)審計(jì)工作也是參照操作系統(tǒng)的分類進(jìn)行處理Ø 對(duì)于網(wǎng)絡(luò)設(shè)備的帳號(hào)審計(jì)工作，由于大部分的設(shè)備帳號(hào)都是沒有日志記錄的，所以主要審計(jì)方式是人工審計(jì)，由專門的信息安全組織根據(jù)設(shè)備的風(fēng)險(xiǎn)等級(jí)規(guī)定審計(jì)的頻度和審計(jì)的checklistØ 審計(jì)checklist的內(nèi)容主要依據(jù)審計(jì)對(duì)象的帳號(hào)口令管理規(guī)定制作，審計(jì)的關(guān)鍵點(diǎn)是帳號(hào)口令的復(fù)雜度，權(quán)限，更改的要求等等

35、Ø 在制作審計(jì)checklist設(shè)計(jì)的時(shí)候，需要區(qū)別不同業(yè)務(wù)系統(tǒng)不同級(jí)別帳號(hào)的差異，對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)和關(guān)鍵帳號(hào)的審計(jì)頻度和審計(jì)的內(nèi)容要求更加嚴(yán)格Ø 審計(jì)的結(jié)果應(yīng)該和獎(jiǎng)懲規(guī)定掛鉤，對(duì)于多次審計(jì)不合格或者優(yōu)秀的員工和分公司要按照獎(jiǎng)懲規(guī)定進(jìn)行相應(yīng)的獎(jiǎng)懲Ø 專門的信息安全部門或者組織應(yīng)該對(duì)審計(jì)的結(jié)果定期進(jìn)行公布，力爭(zhēng)將審計(jì)的威懾力逐步提高，讓帳號(hào)使用者提高安全使用帳號(hào)口令的意識(shí)2.6.3 賬號(hào)口令審計(jì)流程設(shè)計(jì)建議Ø 帳號(hào)口令的審計(jì)流程以業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)做為差異定制，針對(duì)不同的風(fēng)險(xiǎn)等級(jí)制定不同的審計(jì)checklistØ 帳號(hào)口令的審計(jì)可以結(jié)合現(xiàn)有的IT

36、技術(shù)，盡可能通過日志文件等方式進(jìn)行審計(jì)，但是有部分系統(tǒng)沒法提供電子審計(jì)對(duì)象，對(duì)于高風(fēng)險(xiǎn)等級(jí)的系統(tǒng)，必須制定替代的審計(jì)方法，包括手工的方法Ø 帳號(hào)口令審計(jì)工作應(yīng)該以省為單位由省公司安全部門牽頭，各業(yè)務(wù)系統(tǒng)維護(hù)單位負(fù)責(zé)的方式，涉及難以實(shí)現(xiàn)電子化審計(jì)的，省安全審計(jì)負(fù)責(zé)人應(yīng)該制定一些不定期抽查制度，對(duì)于抽查中出現(xiàn)的與審計(jì)不符合的情況，應(yīng)結(jié)合獎(jiǎng)懲規(guī)從嚴(yán)處理Ø 帳號(hào)口令管理流程中需要考慮相應(yīng)的組織建立，可以明確責(zé)任的，確定責(zé)任人，不能落實(shí)到人的，落實(shí)到部門的安全相應(yīng)領(lǐng)導(dǎo)Ø 帳號(hào)口令審計(jì)后應(yīng)該將審計(jì)結(jié)果及時(shí)公布，對(duì)于違規(guī)和表現(xiàn)良好的可以進(jìn)行典型案例的宣傳，起到增強(qiáng)員工帳號(hào)口令安

37、全意識(shí)的作用第三章 服務(wù)與端口3.1 什么是端口什么是端口號(hào)，一個(gè)端口就是一個(gè)潛在的通訊通道，也是一個(gè)入侵通道，開放一個(gè)端口就是一臺(tái)計(jì)算機(jī)在網(wǎng)絡(luò)上打開了一扇窗戶，黑客入侵的方法就是用手工掃描或利用掃描軟件找到服務(wù)器所開放的端口，去根據(jù)其相應(yīng)的漏洞對(duì)服務(wù)器進(jìn)行入侵或攻擊，因此對(duì)端口的了解是非常重要的。 按對(duì)應(yīng)的協(xié)議類型，端口有兩種：TCP端口和UDP端口。由于TCP和UDP 兩個(gè)協(xié)議是獨(dú)立的，因此各自的端口號(hào)也相互獨(dú)立，比如TCP有235端口，UDP也 可以有235端口，兩者并不沖突。端口號(hào)只有整數(shù)，范圍是從0 到655353.2 什么是服務(wù)一臺(tái)擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)

38、、ftp服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個(gè)IP地址來實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因?yàn)镮P地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對(duì)多的關(guān)系。實(shí)際上是通過“IP地址+端口號(hào)”來區(qū)分不同的服務(wù)的。需要注意的是，端口并不是一一對(duì)應(yīng)的。比如你的電腦作為客戶機(jī)訪 問一臺(tái)WWW服務(wù)器時(shí)，WWW服務(wù)器使用“80”端口與你的電腦通信，但你的電腦則可能使用“3457”這樣的端口Ø 端口都有確切的定義，對(duì)應(yīng)著相應(yīng)的服務(wù)，每一個(gè)打開的端口，都代表一個(gè)系統(tǒng)服務(wù)。Ø 例如，80端口就代表Web服務(wù)。21對(duì)應(yīng)著FTP，25對(duì)應(yīng)著SMTP、110對(duì)應(yīng)著POP3等。 &#

39、216; 動(dòng)態(tài)端口(從1024到65535) 當(dāng)你需要與別人通信時(shí)，Windows會(huì)從1024起，在本機(jī)上分配一個(gè)動(dòng)態(tài)端口，如果1024端口未關(guān)閉，再需要端口時(shí)就會(huì)分配1025端口供你使用，依此類推。 Ø 但是有個(gè)別的系統(tǒng)服務(wù)會(huì)綁定在1024到49151的端口上，例如3389端口(遠(yuǎn)程終端服務(wù))。從49152到65535這一段端口，通常沒有捆綁系統(tǒng)服務(wù)，允許Windows動(dòng)態(tài)分配給你使用。3.3 常用端口列表tr端口號(hào)碼 / 層名稱注釋/tr 1 tcpmux TCP 端口服務(wù)多路復(fù)用 5 rje 遠(yuǎn)程作業(yè)入口 7 echo Echo 服務(wù) 9 discard 用于連接測(cè)試的空服務(wù)

40、11 systat 用于列舉連接了的端口的系統(tǒng)狀態(tài) 13 daytime 給請(qǐng)求主機(jī)發(fā)送日期和時(shí)間 17 qotd 給連接了的主機(jī)發(fā)送每日格言 18 msp 消息發(fā)送協(xié)議 19 chargen 字符生成服務(wù)；發(fā)送無止境的字符流 20 ftp-data FTP 數(shù)據(jù)端口 21 ftp 文件傳輸協(xié)議（FTP）端口；有時(shí)被文件服務(wù)協(xié)議（FSP）使用 22 ssh 安全 Shell（SSH）服務(wù) 23 telnet Telnet 服務(wù) 25 smtp 簡(jiǎn)單郵件傳輸協(xié)議（SMTP） 37 time 時(shí)間協(xié)議 39 rlp 資源定位協(xié)議 42 nameserver 互聯(lián)網(wǎng)名稱服務(wù) 43 nicname W

41、HOIS 目錄服務(wù) 49 tacacs 用于基于 TCP/IP 驗(yàn)證和訪問的終端訪問控制器訪問控制系統(tǒng) 50 re-mail-ck 遠(yuǎn)程郵件檢查協(xié)議 53 domain 域名服務(wù)（如 BIND） 63 whois+ WHOIS+，被擴(kuò)展了的 WHOIS 服務(wù) 67 bootps 引導(dǎo)協(xié)議（BOOTP）服務(wù)；還被動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)使用 68 bootpc Bootstrap（BOOTP）客戶；還被動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）客戶使用 69 tftp 小文件傳輸協(xié)議（TFTP） 70 gopher Gopher 互聯(lián)網(wǎng)文檔搜尋和檢索 71 netrjs-1 遠(yuǎn)程作業(yè)服務(wù) 72 net

42、rjs-2 遠(yuǎn)程作業(yè)服務(wù) 73 netrjs-3 遠(yuǎn)程作業(yè)服務(wù) 73 netrjs-4 遠(yuǎn)程作業(yè)服務(wù) 79 finger 用于用戶聯(lián)系信息的 Finger 服務(wù) 80 http 用于萬(wàn)維網(wǎng)（WWW）服務(wù)的超文本傳輸協(xié)議（HTTP） 88 kerberos Kerberos 網(wǎng)絡(luò)驗(yàn)證系統(tǒng) 95 supdup Telnet 協(xié)議擴(kuò)展 101 hostname SRI-NIC 機(jī)器上的主機(jī)名服務(wù) 102/tcp iso-tsap ISO 開發(fā)環(huán)境（ISODE）網(wǎng)絡(luò)應(yīng)用 105 csnet-ns 郵箱名稱服務(wù)器；也被 CSO 名稱服務(wù)器使用 107 rtelnet 遠(yuǎn)程 Telnet 109 pop2

43、 郵局協(xié)議版本2 110 pop3 郵局協(xié)議版本3 111 sunrpc 用于遠(yuǎn)程命令執(zhí)行的遠(yuǎn)程過程調(diào)用（RPC）協(xié)議，被網(wǎng)絡(luò)文件系統(tǒng)（NFS）使用 113 auth 驗(yàn)證和身份識(shí)別協(xié)議 115 sftp 安全文件傳輸協(xié)議（SFTP）服務(wù) 117 uucp-path Unix 到 Unix 復(fù)制協(xié)議（UUCP）路徑服務(wù) 119 nntp 用于 USENET 討論系統(tǒng)的網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP） 123 ntp 網(wǎng)絡(luò)時(shí)間協(xié)議（NTP） 137 netbios-ns 在 紅帽企業(yè) Linux 中被 Samba 使用的 NETBIOS 名稱服務(wù) 138 netbios-dgm 在 紅帽企業(yè) Lin

44、ux 中被 Samba 使用的 NETBIOS 數(shù)據(jù)報(bào)服務(wù) 139 netbios-ssn 在 紅帽企業(yè) Linux 中被 Samba 使用的 NETBIOS 會(huì)話服務(wù) 143 imap 互聯(lián)網(wǎng)消息存取協(xié)議（IMAP） 161 snmp 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP） 162 snmptrap SNMP 的陷阱 163 cmip-man 通用管理信息協(xié)議（CMIP） 164 cmip-agent 通用管理信息協(xié)議（CMIP） 174 mailq MAILQ 電子郵件傳輸隊(duì)列 177 xdmcp X 顯示管理器控制協(xié)議（XDMCP） 178 nextstep NeXTStep 窗口服務(wù)器 179

45、bgp 邊界網(wǎng)絡(luò)協(xié)議 191 prospero Prospero 分布式文件系統(tǒng)服務(wù) 194 irc 互聯(lián)網(wǎng)中繼聊天（IRC） 199 smux SNMP UNIX 多路復(fù)用 201 at-rtmp AppleTalk 選路 202 at-nbp AppleTalk 名稱綁定 204 at-echo AppleTalk echo 服務(wù) 206 at-zis AppleTalk 區(qū)塊信息 209 qmtp 快速郵件傳輸協(xié)議（QMTP） 210 z39.50 NISO Z39.50 數(shù)據(jù)庫(kù) 213 ipx 互聯(lián)網(wǎng)絡(luò)分組交換協(xié)議（IPX），被 Novell Netware 環(huán)境常用的數(shù)據(jù)報(bào)協(xié)議 22

46、0 imap3 互聯(lián)網(wǎng)消息存取協(xié)議版本3 245 link LINK / 3-DNS iQuery 服務(wù) 347 fatserv FATMEN 文件和磁帶官吏服務(wù)器 363 rsvp_tunnel RSVP 隧道 369 rpc2portmap Coda 文件系統(tǒng)端口映射器 370 codaauth2 Coda 文件系統(tǒng)驗(yàn)證服務(wù) 372 ulistproc UNIX LISTSERV 389 ldap 輕型目錄存取協(xié)議（LDAP） 427 svrloc 服務(wù)位置協(xié)議（SLP） 434 mobileip-agent 可移互聯(lián)網(wǎng)協(xié)議（IP）代理 435 mobilip-mn 可移互聯(lián)網(wǎng)協(xié)議（IP）

47、管理器 443 https 安全超文本傳輸協(xié)議（HTTP） 444 snpp 小型網(wǎng)絡(luò)分頁(yè)協(xié)議 445 microsoft-ds 通過 TCP/IP 的服務(wù)器消息塊（SMB） 464 kpasswd Kerberos 口令和鑰匙改換服務(wù) 468 photuris Photuris 會(huì)話鑰匙管理協(xié)議 487 saft 簡(jiǎn)單不對(duì)稱文件傳輸（SAFT）協(xié)議 488 gss-http 用于 HTTP 的通用安全服務(wù)（GSS） 496 pim-rp-disc 用于協(xié)議獨(dú)立的多址傳播（PIM）服務(wù)的會(huì)合點(diǎn)發(fā)現(xiàn)（RP-DISC） 500 isakmp 互聯(lián)網(wǎng)安全關(guān)聯(lián)和鑰匙管理協(xié)議（ISAKMP） 535 i

48、iop 互聯(lián)網(wǎng)內(nèi)部對(duì)象請(qǐng)求代理協(xié)議（IIOP） 538 gdomap GNUstep 分布式對(duì)象映射器（GDOMAP） 546 dhcpv6-client 動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）版本6客戶 547 dhcpv6-server 動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）版本6服務(wù) 554 rtsp 實(shí)時(shí)流播協(xié)議（RTSP） 563 nntps 通過安全套接字層的網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTPS） 565 whoami whoami 用戶ID列表 587 submission 郵件消息提交代理（MSA） 610 npmp-local 網(wǎng)絡(luò)外設(shè)管理協(xié)議（NPMP）本地 / 分布式排隊(duì)系統(tǒng)（DQS） 611 np

49、mp-gui 網(wǎng)絡(luò)外設(shè)管理協(xié)議（NPMP）GUI / 分布式排隊(duì)系統(tǒng)（DQS） 612 hmmp-ind HyperMedia 管理協(xié)議（HMMP）表示 / DQS 631 ipp 互聯(lián)網(wǎng)打印協(xié)議（IPP） 636 ldaps 通過安全套接字層的輕型目錄訪問協(xié)議（LDAPS） 674 acap 應(yīng)用程序配置存取協(xié)議（ACAP） 694 ha-cluster 用于帶有高可用性的群集的心跳服務(wù) 749 kerberos-adm Kerberos 版本5（v5）的“kadmin”數(shù)據(jù)庫(kù)管理 750 kerberos-iv Kerberos 版本4（v4）服務(wù) 765 webster 網(wǎng)絡(luò)詞典 767

50、 phonebook 網(wǎng)絡(luò)電話簿 873 rsync rsync 文件傳輸服務(wù) 992 telnets 通過安全套接字層的 Telnet（TelnetS） 993 imaps 通過安全套接字層的互聯(lián)網(wǎng)消息存取協(xié)議（IMAPS） 994 ircs 通過安全套接字層的互聯(lián)網(wǎng)中繼聊天（IRCS） 995 pop3s 通過安全套接字層的郵局協(xié)議版本3（POPS3）端口號(hào)碼 / 層名稱注釋/tr 512/tcp exec 用于對(duì)遠(yuǎn)程執(zhí)行的進(jìn)程進(jìn)行驗(yàn)證 512/udp biff comsat 異步郵件客戶（biff）和服務(wù)（comsat） 513/tcp login 遠(yuǎn)程登錄（rlogin） 513/ud

51、p who whod whod 用戶記錄守護(hù)進(jìn)程 514/tcp shell cmd 無記錄的遠(yuǎn)程 shell（rshell）和遠(yuǎn)程復(fù)制（rcp） 514/udp syslog UNIX 系統(tǒng)日志服務(wù) 515 printer spooler 打印機(jī)（lpr）假脫機(jī) 517/udp talk Talk 遠(yuǎn)程對(duì)話服務(wù)和客戶 518/udp ntalk 網(wǎng)絡(luò)交談（ntalk），遠(yuǎn)程對(duì)話服務(wù)和客戶 519 utime unixtime UNIX 時(shí)間協(xié)議（utime） 520/tcp efs 擴(kuò)展文件名服務(wù)器（EFS） 520/udp router route, routed 選路信息協(xié)議（RIP）

52、521 ripng 用于互聯(lián)網(wǎng)協(xié)議版本6（IPv6）的選路信息協(xié)議 525 timed timeserver 時(shí)間守護(hù)進(jìn)程（timed） 526/tcp tempo newdate Tempo 530/tcp courier rpc Courier 遠(yuǎn)程過程調(diào)用（RPC）協(xié)議 531/tcp conference chat 互聯(lián)網(wǎng)中繼聊天 532 netnews Netnews 新聞組服務(wù) 533/udp netwall 用于緊急廣播的 Netwall 540/tcp uucp uucpd UNIX-to-UNIX 復(fù)制服務(wù) 543/tcp klogin Kerberos 版本5（v5）遠(yuǎn)程登

53、錄 544/tcp kshell Kerberos 版本5（v5）遠(yuǎn)程 shell 548 afpovertcp 通過傳輸控制協(xié)議（TCP）的 Appletalk 文件編制協(xié)議（AFP） 556 remotefs rfs_server, rfs Brunhoff 的遠(yuǎn)程文件系統(tǒng)（RFS） 端口號(hào)碼 / 層名稱注釋/tr 1080 socks SOCKS 網(wǎng)絡(luò)應(yīng)用程序代理服務(wù) 1236 bvcontrol rmtcfg Gracilis Packeten 網(wǎng)絡(luò)轉(zhuǎn)換遠(yuǎn)程配置服務(wù)器a 1300 h323hostcallsc H.323 電訊主持電話安全 1433 ms-sql-s Microsoft

54、 SQL 服務(wù)器 1434 ms-sql-m Microsoft SQL 監(jiān)視器 1494 ica Citrix ICA 客戶 1512 wins Microsoft Windows 互聯(lián)網(wǎng)名稱服務(wù)器 1524 ingreslock Ingres 數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）鎖定服務(wù) 1525 prospero-np 無特權(quán)的 Prospero 1645 datametrics old-radius Datametrics / 從前的 radius 項(xiàng)目 1646 sa-msg-port oldradacct sa-msg-port / 從前的 radacct 項(xiàng)目 1649 kermit Kermit 文件傳輸和管理服務(wù) 1701 l2tp l2f 第2層隧道服務(wù)（LT2P） / 第2層轉(zhuǎn)發(fā)（L2F） 1718 h323gatedisc H.323 電訊守門裝置發(fā)現(xiàn)機(jī)制 1719 h323gatestat H.323 電訊守門裝置狀態(tài) 1720 h323hostcall H.323 電訊主持電話設(shè)置 1758 tftp-mcast 小文件 FTP 組播 1759/udp mtftp 組播小文件 FTP（MTFTP） 1789 hello Hello 路由器通信端口 1812 radius Radius 撥號(hào)