機房設備維護方案一、維護目的

保障機房設備正常運行，過對機房環境支撐系統、監控設備、計算機主機設備定期檢測、維護和保養，保障機房設備運行穩定，通過保養延長設備生命周期，降低故障率。確保機房在突發事故導致硬件設備故障，影響機房正常運作情況下，可及時得到設備供應商或機房服務維護人員的產品維修和技術支持，并快速解決故障。

二、維護內容

1、機房主機設備維護管理：計算機服務器（包括PC服務器及存儲服務器）；網絡設備（交換設備等）。

2、機房監控設備維護管理：供配電監測系統、溫度環境檢測系統、門禁設備系統、保安監控設備。

     3、機房空調與配電設備維護管理：空調設備、新風設備、UPS電池、主配電箱。

     4、機房消防設備維護管理：煙感熱感探測器、手動報警按鈕和報警控制器、滅火器的控制裝置。

     5、機房供水水路、電路及照明維護管理：水電路管線及接口的檢查維護。

6、機房基礎維護管理：機柜線路的整理、標簽檢查更換、機房除塵清潔、防火地板、墻面、吊頂、門窗及相關配套的維護管理。

三、具體維護方案

1、機房主要設備維護及安全：

服務器維護及安全：

①關閉無用的端口 ：

網絡連接都是通過開放的應用端口來實現的。盡可能少地開放端口，就會大大減少了攻擊者成功的機會。關閉掉不會用到的服務。telnet使用更為安全的ssh來代替。下載端口掃描程序掃描系統，如果發現有未知的開放端口，馬上找到正使用它的進程，從而判斷是否關閉。

Windows主機可采用定義安全策略的方法關閉隱患端口；也可采用篩選tcp端口添加允許的端口，其余端口就被自動排除。

Linux主機可檢查inetd．conf文件。在該文件中注釋掉那些永不會用到的服務(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。

②刪除不用的軟件包

將不需要的服務一律去掉，如果服務器運行了很多的服務。但有許多服務是不需要的，很容易引起安全風險；同時可以騰出空間運行必要的服務，既節省資源又能保證服務器安全。

③不設置缺省路由

在服務器中，應該嚴格禁止設置缺省路由，建議為每一個子網或網段設置一個路由，否則其它機器就可能通過一定方式訪問該服務器而造成安全隱患。

④口令管理

服務器登陸口令的長度一般不少于8個字符，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或詞組等設置口令，定期更換。

Windows主機可以通過組策略中的密碼策略強制使用強密碼并要求定期修改，還需要為administrator賬號改名。

Linux主機口令的保護涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統管理員才有權限訪問這2個文件。安裝口令過濾工具加npasswd，可檢查系統口令是否可經受攻擊。

⑤分區管理

潛在的攻擊首先就會嘗試緩沖區溢出。以緩沖區溢出為類型的安全漏洞是最為常見的一種形式。更為嚴重的是，緩沖區溢出漏洞占了遠程網絡攻擊的絕大多數，這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權。

Windows主機分區格式采用ntfs文件格式，對不同的文件夾設置不同的權限。為防止緩沖區溢出類型的網絡攻擊，安裝相應的溢出漏洞補丁；日志文件放在非系統分區上。

Linux主機可為/var開辟單獨的分區，用來存放日志和郵件，以避免root分區被溢出。為特殊的應用程序單獨開一個分區，特別是可以產生大量日志的程序，為/home單獨分一個區，這樣可防止/home目錄文件填滿根分區，從而就避免了部分針對Linux分區溢出的惡意攻擊。

⑥防范網絡嗅探：

　嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發現。可使用安全的拓撲結構、會話加密、使用靜態的ARP地址來防范。

⑦完整的日志管理

　　日志文件記錄著系統運行情況，攻擊者往往在攻擊時修改日志文件，來隱藏蹤跡；因此需要對日志文件及目錄設置嚴格的訪問權限，禁止其他用戶的讀取和寫入權限。

Windows主機開啟審核策略，對賬戶管理、登錄事件、

對象訪問、策略更改、特權使用、系統事件、目錄服務訪問、賬戶登錄事件的成功 失敗進行審核，產生日志文件，同時只有系統管理員對日志文件有訪問權限。

Linux主機要限制對／var／log文件的訪問，禁止一般權限的用戶去查看日志文件；另外，還可以安裝icmp／tcp日志管理程序，如iplogger，來觀察那些可疑的多次的連接嘗試。

⑧使用安全工具軟件：

Windows主機可部署防病毒軟件，安裝微軟基線安全分析器MBSA掃描服務器操作系統漏洞，及時下載server pack和漏洞補丁。部署主機IDS（入侵檢測系統）；如免費的輕量級網絡入侵檢測系統snort，

Linux主機也有一些工具可以保障服務器的安全。如bastille linux，它是一套相當方便的軟件，bastille linux 目的是希望在已經存在的 linux 系統上，建構出一個安全性的環境。

網絡設備安全

啟用VLAN技術：在交換機的端口上定義VLAN ，所有連接到這個特定端口的終端都是虛擬網絡的一部分，并且整個網絡可以支持多個VLAN。VLAN通過建立網絡防火墻使不必要的數據流量減至最少，隔離各個VLAN間的傳輸和可能出現的問題，使網絡吞吐量大大增加，減少了網絡延遲。在虛擬網絡環境中，可以通過劃分不同的虛擬網絡來控制處于同一物理網段中的用戶之間的通信。這樣一來有效的實現了數據的保密工作，而且配置起來并不麻煩，管理員可以邏輯上重新配置網絡，迅速、簡單、有效地平衡負載流量，增加、刪除和修改用戶，而不必從物理上調整網絡配置。

     2、機房除塵及環境要求：定期對設備進行除塵處理，清理，調整安保攝像頭清晰度，防止由于機器運轉、靜電等因素將塵土吸入監控設備內部。同時檢查機房通風、散熱、凈塵、供電等設施。機房室內溫度應控制在+5℃~+35℃，相對濕度應控制在10%~80%。

3、機房空調及新風維護：檢查空調運行是否正常，換風設備運轉是否正常。從視鏡觀察制冷劑液面，看是否缺少制冷劑。檢查空調壓縮機高、低壓保護開關、干燥過濾器及其他附件。

4、UPS及電池維護：根據實際情況進行電池核對性容量測試；進行電池組充放電維護及調整充電電流，確保電池組正常工作；檢查記錄輸出波形、諧波含量、零地電壓；查清各參數是否配置正確；定期進行UPS功能測試，如UPS同市電的切換試驗。

5、消防設備維護：檢查火警探測器、手動報警按鈕、火災警報裝置外觀及試驗報警功能；檢查火災警報控制器的自檢、消音、復位功能及主備用電源切換功能。

6、電路及照明電路維護：鎮流器、燈管及時更換，開關更換；線頭氧化處理，標簽巡查更換；供電線路絕緣檢查，防止意外短路。

7、機房基礎維護：靜電地板清洗清潔，地面除塵；縫隙調整，損壞更換；接地電阻測試；主接地點除銹、接頭緊固；防雷器檢查；接地線觸點防氧化加固。

8、機房運維管理體系：完善機房運維規范，優化機房運維管理體系。維護人員24小時及時響應。

9、維護服務質量

（1）、提供專用電話技術咨詢，如果電話技術支持不能解決問題，服務提供商將派出技術人員到現場協助解決，根據系統故障的程度提供不同的響應時間和故障排除時間：

故障程度

響應時間

故障排除時間（工作小時）

一般故障

≤1小時

≤4小時（市區內）

嚴重故障

≤0.5小時

≤2小時（市區內）

系統緊急故障

立即

≤2小時

（2）、對本項目涉及的設備進行1年4次（即每季度一次）的定期檢測、保養、可預防性的對設備進行檢測，并且出具檢修報告及時向用戶方匯報設備運行狀態，報告由用戶方確認，雙方存底備查。任何故障的維修響應時間為全天24小時。

（3）、設備或材料產生損壞時，服務商負責送設備至原廠進行維修或更換，當維修或更換設備所需要的時間超過3個工作日（計算機服務器、網絡設備等須在1個工作日內），則必須提供檔次不低于送修設備的備件。在維護期間，提供保修服務（保修服務包括維護、檢測、設備免費維修和更換，提供的更換件不低于需要維修或現使用的產品檔次），涉及到的相關維修路途、車費、手續等費用均包含在本投標費用中。維修工作要求10個工作日內處理完成，確實難以在短期內解決的，可以與用戶方協商先行使用替代設備或材料，延長處理時間。   

（4）、在用戶因其它項目建設，提出協助請求時（如長時間停電、系統切換、調整網絡結構、線路遷移等），服務提供商必須派專業技術人員到現場監控設備的運行情況，做好相關配合工作。

（5）、在服務期內，由運維服務商指定具有相關機房維保資質的服務人員實施定期檢查設備狀況，對機房出現的故障及時進行檢查、提供處理方案，并解決，消除隱患。