鹏展网络传媒

企业服务器安全的防护应该从以下几个方面入手：1.安全接入控制：采用网络隔离、防火墙、VPN等技术，限制服务器对外开放的端口并设置访问控制。2.远程登录安全：对于需要远程登录管理服务器的用户，应采用合适的安全认证方法，如SSH密钥、双因素认证等，避免密码被攻击者盗取，3.安全配置管理：对服务器的操作系统、应用程序、数据库等进行合理的安全配置，关闭不必要的服务、端口，启用加密通信等。

5.数据备份和恢复：定期备份关键数据和系统配置信息，并测试备份数据的可恢复性。6.日志管理和监控：开启系统日志、安全审计日志等功能，定期检查和分析日志，及时发现并处理安全事件。7.安全培训和意识：加强对用户的安全培训，提高用户的安全意识，避免出现简单密码、未及时更新补丁等安全风险。

安全审计的主要功能有以下几点安全审计自动响应(AU_APR)定义在被测事件指示出一个潜在的安全攻击时做出的响应，它是管理审计事件的需要，这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同，系统将做出不同的响应，其响应的行动可做增加、删除、修改等操作。安全审计数据生成(AU_GEN)功能要求记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。

一．Windows日志系统WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt，根据系统开通的服务还会产生相应的日志文件。例如，DNS服务器日志DNSServ.evt，FTP日志、WWW日志等。日志文件默认存放位置：%systemroot%\system32\config，默认文件大小512KB。

系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。如审计功能的启动和关闭，使用身份验证机制，将客体引入主体的地址空间，删除客体、管理员、安全员、审计员和一般操作人员的操作，以及其他专门定义的可审计事件。对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。

主要任务包括：（1）潜在威胁分析。日志分析系统可以根据安全策略规则监控审计事件，检测并发现潜在的入侵行为，其规则可以是已定义的敏感事件子集的组合。（2）异常行为检测，在确定用户正常操作行为基础上，当日志中的异常行为事件违反或超出正常访问行为的限定时，分析系统可指出将要发生的威胁。（3）简单攻击探测，日志分析系统可对重大威胁事件的特征进行明确的描述，当这些攻击现象再次出现时，可以及时提出告警。

审计 日志 几点 删除 定期