机房运维服务 2016-07-15 10:28

保障机房设备正常运行,过对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养,保障机房设备运行稳定,通过保养延长设备生命周期,降低故障率。确保机房在突发事故导致硬件设备故障快速解决故障。

机房设备维护方案

一、维护目的

保障机房设备正常运行,过对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养,保障机房设备运行稳定,通过保养延长设备生命周期,降低故障率。确保机房在突发事故导致硬件设备故障,影响机房正常运作情况下,可及时得到设备供应商或机房服务维护人员的产品维修和技术支持,并快速解决故障。

二、维护内容

1、机房主机设备维护管理:计算机服务器(包括PC服务器及存储服务器);网络设备(交换设备等)。

2、机房监控设备维护管理:供配电监测系统、温度环境检测系统、门禁设备系统、保安监控设备。

     3、机房空调与配电设备维护管理:空调设备、新风设备、UPS电池、主配电箱。

     4、机房消防设备维护管理:烟感热感探测器、手动报警按钮和报警控制器、灭火器的控制装置。

     5、机房供水水路、电路及照明维护管理:水电路管线及接口的检查维护。

6、机房基础维护管理:机柜线路的整理、标签检查更换、机房除尘清洁、防火地板、墙面、吊顶、门窗及相关配套的维护管理。

三、具体维护方案

1、机房主要设备维护及安全:

服务器维护及安全:

①关闭无用的端口 :

网络连接都是通过开放的应用端口来实现的。尽可能少地开放端口,就会大大减少了攻击者成功的机会。关闭掉不会用到的服务。telnet使用更为安全的ssh来代替。下载端口扫描程序扫描系统,如果发现有未知的开放端口,马上找到正使用它的进程,从而判断是否关闭。

Windows主机可采用定义安全策略的方法关闭隐患端口;也可采用筛选tcp端口添加允许的端口,其余端口就被自动排除。

Linux主机可检查inetd.conf文件。在该文件中注释掉那些永不会用到的服务(如:echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。

②删除不用的软件包

将不需要的服务一律去掉,如果服务器运行了很多的服务。但有许多服务是不需要的,很容易引起安全风险;同时可以腾出空间运行必要的服务,既节省资源又能保证服务器安全。

③不设置缺省路由

在服务器中,应该严格禁止设置缺省路由,建议为每一个子网或网段设置一个路由,否则其它机器就可能通过一定方式访问该服务器而造成安全隐患。

④口令管理

服务器登陆口令的长度一般不少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免用英语单词或词组等设置口令,定期更换。

Windows主机可以通过组策略中的密码策略强制使用强密码并要求定期修改,还需要为administrator账号改名。

Linux主机口令的保护涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才有权限访问这2个文件。安装口令过滤工具加npasswd,可检查系统口令是否可经受攻击。

⑤分区管理

潜在的攻击首先就会尝试缓冲区溢出。以缓冲区溢出为类型的安全漏洞是最为常见的一种形式。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。

Windows主机分区格式采用ntfs文件格式,对不同的文件夹设置不同的权限。为防止缓冲区溢出类型的网络攻击,安装相应的溢出漏洞补丁;日志文件放在非系统分区上。

Linux主机可为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,为/home单独分一个区,这样可防止/home目录文件填满根分区,从而就避免了部分针对Linux分区溢出的恶意攻击。

⑥防范网络嗅探:

 嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。可使用安全的拓扑结构、会话加密、使用静态的ARP地址来防范。

⑦完整的日志管理

  日志文件记录着系统运行情况,攻击者往往在攻击时修改日志文件,来隐藏踪迹;因此需要对日志文件及目录设置严格的访问权限,禁止其他用户的读取和写入权限。

Windows主机开启审核策略,对账户管理、登录事件、 对象访问、策略更改、特权使用、系统事件、目录服务访问、账户登录事件的成功 失败进行审核,产生日志文件,同时只有系统管理员对日志文件有访问权限。

Linux主机要限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件;另外,还可以安装icmp/tcp日志管理程序,如iplogger,来观察那些可疑的多次的连接尝试。

⑧使用安全工具软件:

Windows主机可部署防病毒软件,安装微软基线安全分析器MBSA扫描服务器操作系统漏洞,及时下载server pack和漏洞补丁。部署主机IDS(入侵检测系统);如免费的轻量级网络入侵检测系统snort,

Linux主机也有一些工具可以保障服务器的安全。如bastille linux,它是一套相当方便的软件,bastille linux 目的是希望在已经存在的 linux 系统上,建构出一个安全性的环境。

网络设备安全

启用VLAN技术:在交换机的端口上定义VLAN ,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的保密工作,而且配置起来并不麻烦,管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,增加、删除和修改用户,而不必从物理上调整网络配置。

     2、机房除尘及环境要求:定期对设备进行除尘处理,清理,调整安保摄像头清晰度,防止由于机器运转、静电等因素将尘土吸入监控设备内部。同时检查机房通风、散热、净尘、供电等设施。机房室内温度应控制在+5℃~+35℃,相对湿度应控制在10%~80%。

3、机房空调及新风维护:检查空调运行是否正常,换风设备运转是否正常。从视镜观察制冷剂液面,看是否缺少制冷剂。检查空调压缩机高、低压保护开关、干燥过滤器及其他附件。

4UPS及电池维护:根据实际情况进行电池核对性容量测试;进行电池组充放电维护及调整充电电流,确保电池组正常工作;检查记录输出波形、谐波含量、零地电压;查清各参数是否配置正确;定期进行UPS功能测试,如UPS同市电的切换试验。

5、消防设备维护:检查火警探测器、手动报警按钮、火灾警报装置外观及试验报警功能;检查火灾警报控制器的自检、消音、复位功能及主备用电源切换功能。

6、电路及照明电路维护:镇流器、灯管及时更换,开关更换;线头氧化处理,标签巡查更换;供电线路绝缘检查,防止意外短路。

7、机房基础维护:静电地板清洗清洁,地面除尘;缝隙调整,损坏更换;接地电阻测试;主接地点除锈、接头紧固;防雷器检查;接地线触点防氧化加固。

8、机房运维管理体系:完善机房运维规范,优化机房运维管理体系。维护人员24小时及时响应。

9、维护服务质量

(1)、提供专用电话技术咨询,如果电话技术支持不能解决问题,服务提供商将派出技术人员到现场协助解决,根据系统故障的程度提供不同的响应时间和故障排除时间:

故障程度

响应时间

故障排除时间(工作小时)

一般故障

≤1小时

≤4小时(市区内)

严重故障

≤0.5小时

≤2小时(市区内)

系统紧急故障

立即

≤2小时

(2)、对涉及的设备进行1年4次(即每季度一次)的定期检测、保养、可预防性的对设备进行检测,并且出具检修报告及时向用户方汇报设备运行状态,报告由用户方确认,双方存底备查。任何故障的维修响应时间为全天24小时。

(3)、设备或材料产生损坏时,服务商负责送设备至原厂进行维修或更换,当维修或更换设备所需要的时间超过3个工作日(计算机服务器、网络设备等须在1个工作日内),则必须提供档次不低于送修设备的备件。在维护期间,提供保修服务(保修服务包括维护、检测、设备免费维修和更换,提供的更换件不低于需要维修或现使用的产品档次),涉及到的相关维修路途、车费、手续等费用均包含在本投标费用中。维修工作要求10个工作日内处理完成,确实难以在短期内解决的,可以与用户方协商先行使用替代设备或材料,延长处理时间。   

(4)、在用户因其它项目建设,提出协助请求时(如长时间停电、系统切换、调整网络结构、线路迁移等),服务提供商必须派专业技术人员到现场监控设备的运行情况,做好相关配合工作。

(5)、在服务期内,由运维服务商指定具有相关机房维保资质的服务人员实施定期检查设备状况,对机房出现的故障及时进行检查、提供处理方案,并解决,消除隐患。