1.1非故意故障
如管理員安全配置不當造成的安全漏洞,壹些不需要打開的端口沒有即時用戶賬號密碼設置過於簡單,用戶會輕則泄露或告訴他人自己的賬號密碼,重則幾個人共用自己的賬號密碼,這些都會對網絡安全造成威脅。
1.2惡意攻擊
這是對我們賴以生存的網絡的最大威脅。這種攻擊可以分為以下兩種:壹種是明顯攻擊,有選擇地破壞信息的有效性和完整性,破壞網絡的軟硬件系統,或者制造信息流量使我們的網絡系統癱瘓;另壹種是隱蔽攻擊,即在不影響用戶和系統日常工作的情況下,竊取、攔截、破譯、獲取機密信息。這兩種攻擊都會對計算機網絡系統造成極大的危害,並導致機密數據的泄露或系統癱瘓。
1.3漏洞後門
網絡操作系統等工具和應用軟件不可能100%無bug無bug,尤其是我們既愛又恨的“Windows”系統。這些bug和bug是病毒和黑客攻擊的首選。無數病毒造成的巨大損失和慘痛教訓(比如最近的沖擊波和沖擊波采用了Windows系統中的bug)都是我們的bug造成的。黑客浸淫網絡的事件也大多是利用漏洞進行的。“後門”是軟件開發者為了自己的方便而故意設置的,壹般來說是沒有問題的,但是壹旦開發者有壹天搞不清楚如何使用“後門”,後果就嚴重了,即使他保住了自己的位置,但是壹旦“後門”被打開泄露,後果就更加不堪設想了。
如何提高網絡信息系統的安全性
2.1物理安全策略
物理安全策略的目的是保護計算機系統、服務器、網絡設備、打印機等硬件實體和通信鏈路的物理安全,如采取措施防止自然災害、化學腐蝕、人為盜竊和破壞、電纜盜竊和攻擊等。因為很多計算機系統都有很強的電磁泄漏和輻射,所以我們有必要為計算機系統保證壹個良好的電磁兼容工作環境。此外,應建立完整的安全管理體系。服務器應放置在有監控的隔離室內,監控記錄應保存65,438+0天以上。另外,櫃子、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另壹個安全的地方,防止擅自進入電腦控制室和各種盜竊、偷盜、破壞活動。
2.2訪問控制策略
網絡中可以使用的各種安全策略必須相互配合和協調才能發揮有效的保護作用,而訪問控制策略可以說是保證網絡安全最重要的核心策略之壹。其主要目的是保證網絡信息不被非法訪問,網絡資源不被非法使用。也是維護網絡系統安全、保護網絡資源的重要手段。下面我們討論各種訪問控制策略。
2.2.1登錄訪問控制
登錄訪問控制為網絡訪問提供了第壹層訪問控制。通過設置賬號,可以控制哪些用戶可以登錄服務器,獲取網絡信息,使用資源;通過設置帳戶屬性,您可以設置密碼要求,控制用戶何時可以登錄到指定域,控制哪些工作站用戶登錄到指定域,以及設置用戶帳戶的到期日期。
註意:當用戶的登錄期限到期時,到域中網絡資源的鏈接不會終止。但是,用戶不能再創建到域中其他計算機的新鏈接。
用戶的登錄流程是:首先是用戶名和密碼的識別和驗證,然後是用戶賬號登錄限制的檢查。兩個過程只要有壹個不成功,就不能登錄。
因為用戶名和密碼是驗證網絡用戶的第壹道防線。因此,作為壹名網絡安全工作者,妳可以采取壹系列措施來防止非法訪問。
A.基本設置
普通用戶賬號的時間、方式、權限都要有限制。只有系統管理員可以建立用戶帳戶。在用戶密碼中應考慮以下條件:密碼的復雜程度、密碼的最小長度、密碼的有效期等。它應該能夠控制用戶登錄網絡的站點,限制用戶訪問網絡的時間,限制用戶訪問網絡的工作站數量。應該審核所有用戶的訪問權限。如果多次輸入密碼錯誤,應認為是非法入侵,應給出報警信息,並立即停止賬號。
B.認真考慮和處理系統內建賬號。
建議采取以下措施:壹、禁用訪客賬號。我不明白為什麽微軟不允許刪除Guest賬號,但我們也可以做點什麽:在電腦管理的用戶和組中禁用Guest賬號,任何時候都不允許Guest賬號登錄系統。如果不放心,可以給客人賬號設置壹個又長又復雜的密碼。下面給對Windows 2有深入了解的同事壹個刪除Guest賬號的方法:Windows 2系統的賬號信息存儲在註冊表HKEY_LOCAL_MACHINE\SAM中,但是即使是我們的系統管理員也不能打開這個主鍵,主要是出於安全考慮,但是“System”賬號有這個權利。聰明的讀者應該知道該怎麽做。對了,用“系統”權限啟動註冊表就行了。具體方法是添加壹個帶有“at”命令的調度任務來啟動Regedit.exe程序,然後檢查註冊表項並清空Guest帳號。首先,看看時間:3,運行運行對話框中的命令或cmd:at:31/Interactive regedit.exe。這樣,啟動regedit.exe的身份就是“系統”,/interactive的目的就是讓運行的程序在壹個交互的界面中運行。壹分鐘後,regedit.exe程序運行,依次到以下位置:HKEY _本地_機器\山姆\域\帳戶\用戶,並刪除以下兩個鍵:壹個是1F5,另壹個是Names下的Guest。完成後,我們使用以下命令來確認Guest帳戶確實被刪除了“net user guest”。二。系統管理員應該有兩個帳戶,壹個具有系統管理的管理員權限,另壹個具有日常操作的壹般權限。這樣,只有在維護系統或安裝軟件時,才能以管理員身份登錄,有利於保證安全。三。重命名管理員帳戶。微軟是不允許刪除和禁用管理員賬號的,所以微軟給Hacker提供了很大的幫助,但是我們也可以重命名,比如改成everyones等常用名。不要把名字改成Admin,Admins等。改名字等於白改。
C.設立壹個欺詐賬戶
這是壹個非常有用的自我意識的方法:創建壹個最低權限的名為Administrator的欺詐帳戶。密碼設置相當復雜,很長,包含特殊字符,黑客很難破解。也許在他成功破解之前,我們就已經發現了他的入侵企圖。退壹步說,即使他成功破解了,他還是會失望,發現自己忙了很久。
D.限制用戶數量
因為用戶越多,用戶權限和密碼的設置缺陷就越多,黑客的機會和突破口就越多。刪除臨時賬號、測試賬號、* *訪問賬號、普通賬號、前員工賬號等不再使用的賬號,可以有效減少系統缺陷。
E.禁止系統顯示上次登錄的用戶名。
Win9X以上的操作系統都有記憶以前用戶登錄的信息的功能。下次重新啟動時,將提示您在用戶名列中輸入最後壹個用戶的登錄名。這些信息可能會被別有用心的人利用,給系統和用戶造成隱患。我們可以通過修改註冊表來隱藏最後壹個用戶的登錄名。修改方法如下:打開註冊表,展開到以下分支:
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Winlogon
這個分支下的新字符串被命名為:DontDisplayLastUserName,字符串的值被設置為:“1”。當計算機重新啟動時,將不會顯示上次登錄的用戶名。
F.禁止建立空連接
默認情況下,任何通過空連接連接到服務器的用戶都可以枚舉帳戶並猜測密碼。我們可以通過修改註冊表來禁止空連接。方法如下:打開註冊表,展開到以下分支:HKEY _本地_機器\系統\當前控制集\控制\ LSA,然後將該分支下的restrictanonymous的值改為“1”。
G.通過智能卡登錄
便攜式驗證器用於驗證用戶的身份。例如廣泛使用的智能卡認證方法。通過智能卡登錄網絡提供了壹種強身份驗證方法,因為它在對進入域的用戶進行身份驗證時使用基於加密的身份驗證和所有權證據。
比如,別有用心的人拿到了用戶的密碼,就可以用它來冒充用戶,在網絡上做壹些他想做的事情。現實中,很多人選擇的密碼都是相當好記的(如姓名、生日、電話號碼、銀行賬號、身份證號等。),這將使密碼天生脆弱,容易受到攻擊。
在使用智能卡的情況下,那些別有用心的人只能在獲取其智能卡和個人識別號(PIN)的前提下偽裝成用戶。因為需要其他信息來模擬用戶,所以這種組合可以降低攻擊的可能性。另壹個好處是,連續幾次輸入錯誤的PIN碼後,智能卡會被鎖定,用字典攻擊智能卡非常困難。
2.2.2資源權限管理
資源包括系統的軟件和硬件以及存儲在磁盤上的信息。我們可以利用微軟在Windows 2中提供的豐富的權限管理來控制用戶對系統資源的訪問,從而達到安全管理的目的。
A.使用組來管理對資源的訪問
組是用戶帳戶的集合。使用組而不是單個用戶來管理對資源的訪問可以簡化網絡資源的管理。組可以用來壹次授予多個用戶權限,我們為壹個組設置了壹定的權限後,以後想授予其他組或用戶相同的權限時,只需要將用戶或組添加到組中即可。
比如銷售部門的成員可以訪問產品的成本信息,但是不能訪問公司員工的工資信息,而人事部門的員工可以訪問員工的工資信息,但是不能。當壹個銷售部門的員工調到人事部門後,如果我們的權限控制是基於每個用戶的,權限設置就相當麻煩,容易出錯。如果我們按組管理,那就相當簡單了。我們只需要從銷售組中刪除用戶,並將其添加到人事組中。
B.使用NTFS管理數據
NTFS文件系統為我們提供了豐富的權限管理功能。使用NTFS文件系統,我們可以為每個用戶或組定義對每個文件或文件夾的讀取、寫入、列出文件夾內容、讀取和執行、修改、完全控制等權限,甚至可以定義壹些特殊的權限。NTFS只適用於NTFS磁盤分區,不適用於FAT或FAT32分區。無論用戶訪問文件或文件夾,也無論這些文件或文件夾是在計算機上還是在網絡上,NTFS的安全功能都是有效的。NTFS使用訪問控制列表(ACL)來記錄被授予文件或文件夾訪問權限的所有用戶、帳戶、組和計算機,包括授予他們的訪問權限。註意:要正確、熟練地使用NTFS控制權限的分配,必須深刻理解NTFS權限的特點、繼承性、“被拒絕”權限的特點以及文件和文件夾復制移動後的結果。壹個網絡系統管理員應該系統地考慮用戶的工作情況,有效地組合各種權限,然後授予用戶。各種權限的有效組合可以使用戶方便地完成工作,同時可以有效地控制用戶對服務器資源的訪問,從而加強網絡和服務器的安全性。
2.2.3網絡服務器安全控制
網絡服務器是我們網絡的心臟,保護網絡服務器的安全是我們安全工作的首要任務。沒有服務器的安全,就沒有網絡安全。為了有效地保護服務器的安全,我們必須從以下幾個方面著手。
A.嚴格的服務器權限管理
由於服務器的重要地位,我們必須對需要在服務器上工作的用戶的工作內容和性質進行仔細的分析和評估,並根據其工作特點授予適當的權限。這些權限要保證用戶能順利完成工作,但絕不能給他更多的權限(即使我們完全相信他不會破壞,也要考慮他的誤操作),刪除壹些不用的、不必要的用戶和組(比如員工調動或辭退)。網絡安全工作者也有必要根據情況限制或禁止遠程管理,限制遠程訪問權限。
B.嚴格執行備份操作
作為網絡管理員,由於磁盤驅動器故障、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最常見的事情。為了保證系統能夠以最快的速度從災難中恢復,最大限度地減少停機時間,最大程度地保存數據,備份是最簡單可靠的方法。Windows 2集成了壹個強大的圖形備份工具。它是專門為防止硬件或存儲介質故障導致的數據丟失而設計的。它提供五種備份類型:正常、復制、差異、增量和每日。我們可以根據備份所消耗的時間和空間來靈活安排這五種備份類型,以達到我們的目標。
警告:對於從Windows 2 NTFS卷備份的數據,必須將其恢復到Windows 2 NTFS卷,以避免數據丟失,同時保留訪問權限,加密文件系統設置信息、磁盤配額信息等。如果將其恢復到FAT文件系統,所有加密的數據都將丟失,文件將無法讀取。
C.嚴格啟動備用服務器。
對於壹些非常重要的服務器,如域控制器、橋頭服務器、DHCP服務器、DNS服務器、WINS服務器等。,包括那些壹旦宕機就會嚴重影響公司業務的應用服務器,我們要不惜任何代價建立備份機制,這樣即使壹臺服務器出現故障,也不會對我們的工作造成太大影響。我們也可以利用Windows 2 Advance Server的集群功能,使用兩臺或多臺服務器,既能起到備份的作用,又能提高服務性能。
D.利用RAID實現容錯功能
使用RAID有軟件和硬件兩種方法,采用哪壹種要考慮以下因素:
硬件容錯功能比軟件容錯功能快。
硬件容錯功能比軟件容錯功能貴。
硬件容錯功能可能受廠商限制,只能使用單壹廠商的設備。
硬件容錯功能可以實現硬盤熱插拔技術,因此可以在不關機的情況下更換故障硬盤。
硬件容錯功能可以使用緩存技術來提高性能。
Microsoft Windows 2 Server支持三種類型的軟件RAID,下面簡單介紹壹下:
U RAID(條帶卷)
RAID又稱磁盤條帶化技術,主要用於提高性能,不屬於安全範疇。這裏略過,有興趣的朋友可以參考相關資料。
U RAID 1(鏡像卷)
RAID 1又稱磁盤鏡像技術,是利用Windows 2 Server的容錯驅動程序(Ftdisk.sys)實現的。這樣,數據同時寫入兩個磁盤。如果壹個磁盤出現故障,系統將自動使用另壹個磁盤中的數據繼續運行。采用這種方案,磁盤利用率只有5%。
鏡像卷可用於保護系統盤分區或引導盤分區,讀寫性能好,比RAID 5卷占用內存少。
磁盤雙工技術可用於進壹步增強鏡像卷的安全性,這不需要額外的軟件支持和配置。(磁盤雙工技術:如果壹個磁盤控制器控制兩個物理磁盤,那麽當磁盤控制器出現故障時,兩個磁盤都無法訪問。磁盤雙工技術使用兩個磁盤控制器來控制兩個物理磁盤,增強了兩個磁盤形成鏡像卷時的安全性:即使壹個磁盤控制器損壞,系統仍然可以工作。)
鏡像卷可以包含任何分區,包括啟動磁盤分區或系統磁盤分區。但是,鏡像卷中的兩個磁盤都必須是Windows 2動態磁盤。
U RAID 5(帶奇偶校驗的條帶卷)
在Windows 2 Server中,RAID 5是容錯卷最廣泛使用的方法,它需要至少三個驅動器,最多32個驅動器。Windows 2通過向RAID-5卷中的每個磁盤分區添加奇偶校驗轉換片來實現容錯。如果單個磁盤出現故障,系統可以使用奇偶校驗信息和剩余磁盤中的數據來重建丟失的數據。
註意:RAID-5卷不能保護系統磁盤和引導磁盤分區。
E.嚴格監控系統啟動的服務。
許多特洛伊木馬或病毒程序不得不在系統中創建壹個後臺服務或進程。我們應該經常檢查系統。壹旦我們發現壹些陌生的進程或服務,我們應該特別註意是否有危險的軟件,如特洛伊馬,病毒或間諜運行。作為網絡管理員,經常檢查系統進程和啟動選項是壹個固定的習慣。這裏給初級網絡管理員壹個建議:在安裝完操作系統和應用程序後,使用工具軟件(如Windows Optimizer)導出壹個系統服務和進程的列表,以後經常將已有的服務和進程列表與之前導出的列表進行比較。壹旦發現奇怪的流程或服務,要特別小心。
2.2.4網絡監控和鎖定控制
網絡管理員應該監控網絡,服務器應該記錄用戶對網絡資源的訪問。對於非法網絡訪問,服務器應以圖形、文字或聲音的形式進行報警,以引起網絡管理員的註意。如果犯罪分子試圖訪問網絡,網絡服務器應自動記錄嘗試訪問網絡的次數。如果非法訪問次數達到設定值,賬戶將自動鎖定。
允許服務器執行壹些操作,例如加載和卸載管理模塊,以及在服務器控制臺上安裝和刪除軟件。網絡服務器的安全控制包括設置密碼鎖定服務器控制臺,防止非法用戶修改、刪除重要服務組件或破壞數據;您可以設置服務器登錄時間和持續時間,以及非法訪問者檢測和關閉的時間間隔。
防火墻控制
防火墻的概念起源於古代城堡防禦系統。古代戰爭中為了保護壹座城市的安全,通常會在城市周圍挖壹條護城河,每個進出城堡的人都要經過壹座吊橋,由衛兵把守。在設計現代網絡時,設計者借鑒了這壹思想,設計了我現在要介紹的網絡防火墻技術。
防火墻的基本功能是按照壹定的安全規定對網絡間傳輸的數據包進行檢查和過濾,以確定其合法性。它通過在網絡邊界建立相應的通信監控系統來隔離內外網,防止外網入侵。我們通常通過壹種叫做包過濾路由器的設備來實現這個功能,包過濾路由器也叫屏蔽路由器。作為防火墻,路由器在工作機制上與普通路由器有很大不同。普通路由器工作在網絡層,可以根據網絡層數據包的IP地址確定數據包的路由;包過濾路由器應該檢查並過濾IP地址、TCP或UDP數據包報頭。由包過濾路由器檢查的包將由應用網關進壹步檢查。因此,從協議層次模型的角度來看,防火墻應該覆蓋網絡層、傳輸層和應用層。
妳去看剩下的:上面太多了‘我抄不了’
另外,集團IDC在線上有很多產品,價格便宜,口碑也不錯。