日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:查看服务器状态打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。检查当前进程情况切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程.可以在网络上搜索一下该进程名加以确定[进程知识http://www.baidu.com/。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]定期更新查看当前端口开放情况使用netstat-anb,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知有哪些网络连接正在运作。使用时如果不带参数,netstat显示活动的TCP连接。Netstat一般格式为:netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]-a显示所有socket,包括正在监听的。-c每隔1秒就重新显示一遍,直到用户中断它。-i显示所有网络接口的信息,格式“netstat-i”。-n以网络IP地址代替名称,显示出网络连接情形。-r显示核心路由表,格式同“route-e”。-b显示在创建每个连接或侦听端口时涉及的可执行程序。-e显示以太网统计。此选项可以与-s选项结合使用。常用組合netstat-an来显示所有连接的端口并用IP地址代表netstat-anb顯示正在連接的每个连接或侦听端口时涉及的可执行程序。检查系统服务运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。查看相关日志运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在選中对应的日志记录.選擇視檢選項卡“筛选器”。在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID号和具体描述信息,以便找到问题解决的办法。检查系统文件主要检查系统盘的exe和dll文件,系统安装完毕之后用dir*.exe/s>1.txt将C盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
上一篇:信息系统项目各阶段的监理工作要点
下一篇:工程办公楼建筑节能 监理实施细则