計算機網絡系統的不安全因素按威脅的對象可以分為三種:壹是對網絡硬件的威脅,這主要指那些惡意破壞網絡設施的行為,如偷竊、無意或惡意毀損等等;二是對網絡軟件的威脅,如病毒、木馬入侵,流量攻擊等等;三是對網絡上傳輸或存儲的數據進行的攻擊,比如修改數據,解密數據,刪除破壞數據等等。這些威脅有很多很多,可能是無意的,也可能是有意的,可能是系統本來就存在的,也可能是我們安裝、配置不當造成的,有些威脅甚至會同時破壞我們的軟硬件和存儲的寶貴數據。如CIH病毒在破壞數據和軟件的同時還會破壞系統BIOS,使整個系統癱瘓。針對威脅的來源主要有以下幾方面:
1.1無意過失
如管理員安全配置不當造成的安全漏洞,有些不需要開放的端口沒有即時用戶帳戶密碼設置過於簡單,用戶將自己的帳號密碼輕意泄漏或轉告他人,或幾人***享帳號密碼等,都會對網絡安全帶來威脅。
1.2惡意攻擊
這是我們賴以生存的網絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:壹種是顯在攻擊,它有選擇地破壞信息的有效性和完整性,破壞網絡的軟硬件系統,或制造信息流量使我們的網絡系統癱瘓;另壹類是隱藏攻擊,它是在不影響用戶和系統日常工作的前提下,采取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網絡系統造成極大的危害,並導致機密數據的外泄或系統癱瘓。
1.3漏洞後門
網絡操作系統和其他工具、應用軟件不可能是百分之百的無缺陷和無漏洞的,尤其是我們既愛又恨的“Windows”系統,這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道,無數次出現過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統的漏洞)造成的重大損失和慘痛教訓,就是由我們的漏洞所造成的。黑客浸入網絡的事件,大部分也是利用漏洞進行的。“後門”是軟件開發人員為了自己的方便,在軟件開發時故意為自己設置的,這在壹般情況下沒有什麽問題,但是壹旦該開發人員有壹天想不通要利用利用該“後門”,那麽後果就嚴重了,就算他自己安分守己,但壹旦“後門”洞開和泄露,其造成的後果將更不堪設想。
如何提高網絡信息系統安全性
2.1 物理安全策略
物理安全策略的目的是保護計算機系統、服務器、網絡設備、打印機等硬件實體和通信鏈路的物理安全,如采取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由於很多計算機系統都有較強的電磁泄漏和輻射,確保計算機系統有壹個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度,服務器應該放在安裝了監視器的隔離房間內,並且要保留1天以上的監視記錄,另外機箱、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另外的安全位置,防止未經授權而進入計算機控制室,防止各種偷竊、竊取和破壞活動的發生。
2.2 訪問控制策略
網絡中所能采用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用,但訪問控制策略可以說是保證網絡安全最重要的核心策略之壹。它的主要目的是保證網絡信息不被非法訪問和保證網絡資源不被非法使用。它也是維護網絡系統安全、保護網絡資源的重要手段。下面我們分述各種訪問控制策略。
2.2.1 登陸訪問控制
登陸訪問控制為網絡訪問提供了第壹層訪問控制。通過設置帳號,可以控制哪些用戶能夠登錄到服務器並獲取網絡信息和使用資源;通過設置帳號屬性,可以設置密碼需求條件,控制用戶在哪些時段能夠登陸到指定域,控制用戶從哪臺工作站登陸到指定域,設置用戶帳號的失效日期。
註:當用戶的登錄時段失效時,到域中網絡資源的鏈接不會被終止。然而,該用戶不能再創建到域中其他計算機的新鏈接。
用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然後是用戶帳號的登陸限制的檢查。兩個過程只要有壹個不成功就不能登陸。
由於用戶名和密碼是對網絡用戶的進行驗證的第壹道防線。所以作為網絡安全工作人員在些就可以采取壹系列的措施防止非法訪問。
a. 基本的設置
應該限制普通用戶的帳號使用時間、方式和權限。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計,如果多次輸入口令不正確,則應該認為是非法入侵,應給出報警信息,並立即停用該帳戶。
b. 認真考慮和處理系統內置帳號
建議采取以下措施:i.停用Guest帳號,搞不懂Microsoft為何不允許刪除Guest帳號,但不刪除我們也有辦法:在計算機管理的用戶和組裏面,把Guest帳號禁用,任何時候都不允許Guest帳號登陸系統。如果還不放心,可以給Guest帳號設置壹個長而復雜的密碼。這裏為對Windows 2有深入了解的同行提供壹個刪除Guest帳號的方法:Windows 2系統的帳號信息,是存放在註冊表HKEY_LOCAL_MACHINE\SAM裏的,但即使我們的系統管理員也無法打開看到這個主鍵,這主要也是基於安全的原因,但是“System”帳號卻有這個權限,聰明的讀者應該知道怎麽辦了吧,對了,以“SYSTEM”權限啟動註冊表就可以了,具體方法為:以“AT”命令來添加壹個計劃任務來啟動Regedit.exe程序,然後檢查註冊表項,把帳號Guest清除掉。首先,看壹下時間 :3,在“運行”對話框中或“cmd”中運行命令:at :31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是“SYSTEM”了,/interactive的目的是讓運行的程序以交互式界面的方式運行。壹分鐘後regedit.exe程序運行了,依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,將以下兩個相關鍵全部刪掉:壹個是1F5,壹個是Names下面的Guest。完成後我們可是用以下命令證實Guest帳號確實被刪掉了“net user guest”。ii.系統管理員要擁有兩個帳號,壹個帳號是具有管理員權限,用於系統管理,另壹個帳號只有壹般權限,用於日常操作。這樣只有在維護系統或安裝軟件時才用管理員身份登陸,有利於保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用,這樣Microsoft就給Hacker們提供了特別大的幫助,但我們也可將之改名,如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等於白改的名字。
c. 設置欺騙帳號
這是壹個自我感覺非常有用的方法:創建壹個名為Administrator的權限最低的欺騙帳號,密碼設置相當復雜,既長又含特殊字符,讓Hacker們使勁破解,也許他破解還沒有成功我們就已經發現了他的入侵企圖,退壹步,即使他破解成功了最後還是會大失所望的發現白忙半天。
d. 限制用戶數量
因為用戶數量越多,用戶權限、密碼等設置的缺陷就會越多,Hacker們的機會和突破口也就越多,刪除臨時帳號、測試帳號、***享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。
e. 禁止系統顯示上次登陸的用戶名
Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能,下次重啟時,會在用戶名欄中提示上次用戶的登陸名,這個信息可能被別有用心的人利用,給系統和用戶造成隱患,我們可以通過修改註冊表來隱藏上次用戶的登陸名。修改方法如下:打開註冊表,展開到以下分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在此分支下新建字符串命名為:DontDisplayLastUserName,並把該字符串值設為:“1”,完成後重新啟動計算機就不會顯示上次登錄用戶的名字了。
f. 禁止建立空連接
默認情況下,任何用戶通過空連接連上服務器後,可能進行枚舉帳號,猜測密碼,我們可以通過修改註冊表來禁止空連接。方法如下:打開註冊表,展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然後將該分支下的restrictanonymous的值改為“1”即可。
g. 通過智能卡登錄
采用便攜式驗證器來驗證用戶的身份。如廣泛采用的智能卡驗證方式。通過智能卡登錄到網絡提供了很強的身份驗證方式,因為,在驗證進入域的用戶時,這種方式使用了基於加密的身份驗證和所有權證據。
例如,如果壹些別有用心的人得到了用戶的密碼,就可以用該密碼在網絡上冒稱用戶的身份做壹些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等),這會使密碼先天脆弱,很容易受到攻擊。
在使用智能卡的情況下,那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由於需要其它的信息才能假扮用戶,因而這種組合可以減少攻擊的可能性。另壹個好處是連續幾次輸入錯誤的 PIN 後,智能卡將被鎖定,因而使得采用詞典攻擊智能卡非常困難。
2.2.2 資源的權限管理
資源包括系統的軟硬件以及磁盤上存儲的信息等。我們可以利用Microsoft 在Windows 2中給我們提供的豐富的權限管理來控制用戶對系統資源的訪問,從而起到安全管理的目的。
a. 利用組管理對資源的訪問
組是用戶帳號的集合,利用組而不用單個的用戶管理對資源的訪問可以簡化對網絡資源的管理。利用組可以壹次對多個用戶授予權限,而且在我們對壹個組設置壹定權限後,以後要將相同的權限授予別的組或用戶時只要將該用戶或組添加進該組即可。
如銷售部的成員可以訪問產品的成本信息,不能訪問公司員工的工資信息,而人事部的員工可以訪問員工的工資信息卻不能訪問產品成本信息,當壹個銷售部的員工調到人事部後,如果我們的權限控制是以每個用戶為單位進行控制,則權限設置相當麻煩而且容易出錯,如果我們用組進行管理則相當簡單,我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。
b. 利用NTFS管理數據
NTFS文件系統為我們提供了豐富的權限管理功能,利用了NTFS文件系統就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內容、讀和執行、修改、全面控制等權限,甚至還可以定義壹些特殊權限。NTFS只適用於NTFS磁盤分區,不能用於FAT或FAT32分區。不管用戶是訪問文件還是文件夾,也不管這些文件或文件夾是在計算機上還是在網絡上,NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機,還包括他們被授予的訪問權限。註意:要正確和熟練地使用NTFS控制權限的分配必須深入了解NTFS權限的特點、繼承性、“拒絕”權限的特性以及文件和文件夾在復制和移動後的結果。壹個網絡系統管理員應當系統地考慮用戶的工作情況並將各種權限進行有效的組合,然後授予用戶。各種權限的有效組合可以讓用戶方便地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
2.2.3 網絡服務器安全控制
網絡服務器是我們網絡的心臟,保護網絡服務器的安全是我們安全工作的首要任務,沒有服務器的安全就沒有網絡的安全。為了有效地保護服務器的安全,我們必須從以下幾個方面開展工作。
a. 嚴格服務器權限管理
由於服務器的重要地位,我們必須認真分析和評估需要在服務器上工作的用戶的工作內容和工作性質,根據其工作特點授予適當的權限,這些權限要保證該用戶能夠順利地完成工作,但也決不要多給他壹點權限(即使充分相信他不會破壞也要考慮他的誤操作),同時刪除壹些不用的和沒有必要存在的用戶和組(如員工調動部門或辭退等)。根據情況限制或禁止遠程管理,限制遠程訪問權限等也是網絡安全工作者必需考慮的工作。
b. 嚴格執行備份操作
作為壹個網絡管理員,由於磁盤驅動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最為常見的事情。為了保證系統能夠從災難中以最快的速度恢復工作,最大化地降低停機時間,最大程度地挽救數據,備份是壹個最為簡單和可靠的方法。Windows 2 集成了壹個功能強大的圖形化備份實用程序。它專門為防止由於硬件或存儲媒體發生故障而造成數據丟失而設計的。它提供了五個備份類型:普通、副本、差異、增量和每日,我們根據備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。
警告:對於從Windows 2 NTFS卷中備份的數據,必須將之還原到壹個Windows 2 NTFS卷中,這樣可以避免數據丟失,同時能夠保留訪問權限、加密文件系統(Encrypting File System)設置信息、磁盤限額信息等。如果將之還原到了FAT文件系統中,將丟失所有加密數據,同時文件不可讀。
c. 嚴格起用備用服務器
對於壹些非常重要的服務器,如域控制器、橋頭服務器、DHCP服務器、DNS服務器、WINS服務器等擔負網絡重要功能的服務器,也包括那些壹旦癱瘓就要嚴重影響公司業務的應用程序服務器,我們應該不惜成本建立備份機制,這樣即使某個服務器發生故障,對我們的工作也不會造成太大的影響。我們也可以利用Windows 2 Advance Server的集群功能使用兩個或兩個以上的服務器,這樣不但可以起到備用的作用,同時也能很好地提高服務性能。
d. 使用RAID實現容錯功能
使用RAID有軟件和硬件的方法,究竟采用哪種要考慮以下壹些因素:
硬件容錯功能比軟件容錯功能速度快。
硬件容錯功能比軟件容錯功能成本高。
硬件容錯功能可能被廠商限制只能使用單壹廠商的設備。
硬件容錯功能可以實現硬盤熱交換技術,因此可以在不關機的情況下更換失敗的硬盤。
硬件容錯功能可以采用高速緩存技術改善性能。
Microsoft Windows 2 Server支持三種類型的軟件RAID,在此作壹些簡單描述:
u RAID (條帶卷)
RAID 也被稱為磁盤條帶技術,它主要用於提高性能,不屬於安全範疇,在此略過,有興趣的朋友可以參閱相關資料。
u RAID 1(鏡像卷)
RAID 1 也被稱為磁盤鏡像技術,它是利用Windows 2 Server的容錯驅動程序(Ftdisk.sys)來實現,采用這種方法,數據被同時寫入兩個磁盤中,如果壹個磁盤失敗了,系統將自動用來自另壹個磁盤中的數據繼續運行。采用這種方案,磁盤利用率僅有5%。
可以利用鏡像卷保護系統磁盤分區或引導磁盤分區,它具有良好的讀寫性能,比RAID 5 卷使用的內存少。
可以采用磁盤雙工技術更進壹步增強鏡像卷的安全性,它不需要附加軟件支持和配置。(磁盤雙工技術:如果用壹個磁盤控制器控制兩個物理磁盤,那麽當磁盤控制器發生故障,則兩個磁盤均不能訪問,而磁盤雙工技術是用兩個磁盤控制器控制兩個物理磁盤,當這兩個磁盤組成鏡像卷時更增強了安全性:即使壹個磁盤控制器損壞,系統也能工作。)
鏡像卷可以包含任何分區,包括引導磁盤分區或系統磁盤分區,然而,鏡像卷中的兩個磁盤必須都是Windows 2 的動態磁盤。
u RAID 5(帶有奇偶校驗的條帶卷)
在Windows 2 Server中,對於容錯卷,RAID 5是目前運用最廣的壹種方法,它至少需要三個驅動器,最多可以多達32個驅動器。Windows 2 通過在RAID-5卷中的各個磁盤分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁盤失敗了,系統可以利用奇偶信息和剩余磁盤中的數據來重建丟失的數據。
註:RAID-5卷不能保護系統磁盤和引導磁盤分區。
e. 嚴格監控系統啟動的服務
很多木馬或病毒程序都要在系統中創建壹個後臺服務或進程,我們應該經常檢查系統,壹旦發現壹些陌生的進程或服務,就要特別註意是否有木馬、病毒或間諜等危險軟件運行。作為網絡管理員,經常檢查系統進程和啟動選項是應該養成的壹個經常習慣。這裏有壹個對初級網絡管理員的建議:在操作系統和應用程序安裝完成後利用工具軟件(如Windows優化大師等軟件)導出壹個系統服務和進程列表,以後經常用現有的服務和進程列表與以前導出的列表進行比較,壹旦發現陌生進程或服務就要特別小心了。
2.2.4 網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形、文字或聲音等形式報警,以引起網絡管理員的註意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那麽該帳戶將被自動鎖定。
服務器允許在服務器控制臺上執行壹些如裝載和卸載管理模塊的操作,也可以進行安裝和刪除軟件等操作。網絡服務器的安全控制包括設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定服務器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。
2.2.5 防火墻控制
防火墻的概念來源於古時候的城堡防衛系統,古代戰爭中為了保護壹座城市的安全,通常是在城市周圍挖出壹條護城河,每壹個進出城堡的人都要通過壹個吊橋,吊橋上有守衛把守檢查。在設計現代網絡的時候,設計者借鑒了這壹思想,設計出了現在我要介紹的網絡防火墻技術。
防火墻的基本功能是根據壹定的安全規定,檢查、過濾網絡之間傳送的報文分組,以確定它們的合法性。它通過在網絡邊界上建立起相應的通信監控系統來隔離內外網絡,以阻止外部網絡的侵入。我們壹般是通過壹個叫做分組過濾路由器的設備來實現這個功能的,這個路由器也叫做篩選路由器。作為防火墻的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網絡層,可以根據網絡層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進壹步接受應用網關的檢查。因此,從協議層次模型的角度看,防火墻應覆蓋網絡層、傳輸層與應用層。
其他的妳去:/HaoLw/JvJueWeiXie-AnQuanYingYongWindowsXiTong/ 上面都有太多了`我復制不下來``