計算機安全實用技術(shù)及研究(六)

本論文在其他論文欄目，由論文格式網(wǎng)整理,轉(zhuǎn)載請注明來源www.donglienglish.cn,更多論文,請點論文格式范文查看
制定完整的系統(tǒng)備份計劃，并嚴格實施。
制定詳盡的入侵應(yīng)急措施以及匯報制度。發(fā)現(xiàn)入侵跡象，立即打開進程記錄功能（process accounting），同時保存內(nèi)存中的進程列表（psaef）以及網(wǎng)絡(luò)連接狀態(tài)（netstatn），保護當前的utmp、 wtmp、lastlog、 sulog等重要日志文件，有條件的話，立即打開網(wǎng)段上另外一臺主機監(jiān)聽網(wǎng)絡(luò)流量，盡力定位入侵者的位置。如有必要，斷開網(wǎng)絡(luò)連接。在服務(wù)主機不能繼續(xù)服務(wù)的情況下，應(yīng)該有能力從備份磁帶中恢復服務(wù)到備份主機上。
3.2 Windows 下的安全策略
3.2.1 Windows 98的安全
說實話，98的安全性是差到無法讓人想象的地步。舉例來說，一個初級黑客隨便用一個IP炸彈或是端口攻擊工具就可以在短短幾分鐘讓你死機幾十次。建議直接格式化你的硬盤，裝個2000吧。
3.2.2 Windows NT/2000的安全策略
作為一種針對網(wǎng)絡(luò)應(yīng)用的操作系統(tǒng)，安全性通過其本身的內(nèi)部機制得到了一定的基本的保證，比如：用戶帳號、用戶密碼；共享資源權(quán)限；用戶管理器等等。在實踐中的應(yīng)用也證明NT的安全性的可靠程度還能支持應(yīng)用。但是，隨著網(wǎng)絡(luò)的不斷擴大，以及通過Internet互聯(lián)，資源的共享和系統(tǒng)的安全、用戶的隱私（privacy）、運行的效率這些矛盾日益的突出。在用戶獲得較大的自由度和靈活性而與世界各地的人和計算機通訊(who you want to communication)的同時，在另一方面增加了系統(tǒng)的冒險性——有人也可以自由通過網(wǎng)絡(luò)訪問你的機器或資源，甚至于你的隱私，給你的系統(tǒng)增加負擔，降低運行效率。本人認為，為了更好發(fā)揮服務(wù)器的作用同時減輕其在安全性上的冒險性，有必要在NT安全模型的基礎(chǔ)上結(jié)合IIS(Internet Information Server)的安全機制，這樣在客觀上講，可以較好的解決上面所說的矛盾。
在網(wǎng)絡(luò)中，有三種方式可以訪問NT服務(wù)器：
（1）通過用戶帳號、密碼、用戶組方式登錄到服務(wù)器上，在服務(wù)器允許的權(quán)限內(nèi)對資源進行訪問、操作。這種方式的可控制性較強，可以針對不同的用戶。
（2）在局部范圍內(nèi)通過資源共享的形式，這種方式建立在NETBIOS的基礎(chǔ)之上。對共享的訪問不能經(jīng)過路由器，范圍被限制在一個子網(wǎng)范圍內(nèi)，在使用的靈活性上受到限制，通過對共享資源的共享權(quán)限的控制達到安全保護。但不能針對不同的用戶，當一個用戶在通過共享對某一個資源進行操作時（這時共享權(quán)限有所擴大），其他用戶趁虛而入，而造成對資源的破壞。
（3）在網(wǎng)絡(luò)中通過TCP/IP協(xié)議，對服務(wù)器進行訪問。目前典型應(yīng)用有FTP、HTTP、WWW等。通過對文件權(quán)限的限制和對IP的選擇，對登錄用戶的認證可以在安全性上做到一定的保護。但由于NT是微軟的產(chǎn)品，其透明度并不高，安全隱患有可能就隱藏于此。第一，NT本身有可能存在BUG，一但被發(fā)現(xiàn)，就有可能造成損失。第二，由于網(wǎng)絡(luò)的日益龐大，使通過INTERNET訪問某個國家的機密成為可能，假如在編寫網(wǎng)絡(luò)操作系統(tǒng)的同時，為以后通過TCP/IP 入侵留下隱藏的人為的漏洞。
以下是針對上面三種情況在安全措施上作一些介紹：
（1）設(shè)置用戶帳號
Windows NT的用戶管理器指定允許那些用戶或用戶組可以在服務(wù)器上操作，可以控制對Web節(jié)點的訪問。可以通過Web客戶請求提供在完成請求之前定制的IIS用戶名和密碼，這樣可以進一步控制在網(wǎng)絡(luò)中對服務(wù)器的訪問。通過公共的管理工具中的“策略”設(shè)置用戶權(quán)力，在“用戶管理器”中配置在計算機上授權(quán)用戶所進行的操作。用戶Basic身份驗證時用戶所要求用于Internet服務(wù)的權(quán)力，若使用Windows NT Challege/Response身份驗證，用戶使用Internet服務(wù)則須要有“從網(wǎng)絡(luò)訪問本機”的權(quán)力。
（2）設(shè)置必要的ＷＷＷ目錄訪問權(quán)限
在Internet Server manager中創(chuàng)建Web發(fā)布目錄（文件夾）時，可以為定義的主目錄或虛擬目錄及其中所有的文件夾設(shè)置訪問權(quán)限，這些權(quán)限是NTFS文件系統(tǒng)提供的權(quán)限之外的部分，其中的權(quán)限是：只讀，只執(zhí)行，這樣可以防止用戶修改。
（3）通過IP地址控制訪問權(quán)限
可以配置IIS以允許或拒絕特定的IP地址訪問你的服務(wù)器或整個網(wǎng)絡(luò)。在實際應(yīng)用中，對于一些未知的用戶，若從安全的角度出發(fā)，可以通過IP設(shè)置排出。假若在日志分析中通過分析可以發(fā)現(xiàn)某些用戶或用戶組有不良傾向或侵犯傾向，那Administrator可以通過IIS設(shè)置，不再允許這些用戶或組的IP地址訪問本機及本網(wǎng)絡(luò)。
（4）使用SSL（安全套接字層）保護數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸
在網(wǎng)絡(luò)應(yīng)用中數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸?shù)陌踩顷P(guān)系到整個網(wǎng)絡(luò)應(yīng)有安全的重要問題。使用密碼技術(shù)保護數(shù)據(jù)從服務(wù)器到客戶端的雙向傳輸，從某種意義上說也是保護NT資源不受侵犯的有效途徑。SSL為TCP/IP連接提供數(shù)據(jù)加密，服務(wù)器身份驗證和消息的完整性。它被視為Internet上的Web瀏覽器和服務(wù)器的標準安全措施。SSL加密的傳輸較之未加密的傳輸速度要慢，為了避免整個節(jié)點的性能受到影響，所以一般考慮對于較敏感的信息數(shù)據(jù)才采取SSL加密。目前使用較多的是身份驗證、信用卡、電子銀行等業(yè)務(wù)。
還有一點應(yīng)該考慮到：及時地為數(shù)據(jù)和文件作好備份，以防止最壞情況的發(fā)生。備份應(yīng)注意幾點：有效性，及時性，安全性。根據(jù)不同的使用情況在以上幾點和價格之間作出一定的折衷。
總之，為了確保基于 NT的服務(wù)器在網(wǎng)絡(luò)中的安全，應(yīng)該注意到在NT本身的安全模型上加以IIS等外掛的保證安全的應(yīng)用，這樣才能針對不同的問題，相互促進，對一些不足之處進行彌補。在盡力發(fā)揮NT性能的同時，保證其運行的安全，穩(wěn)定。
3.2.3 基本安全措施
為了保證NT在網(wǎng)絡(luò)應(yīng)用中的安全，避免資源被破壞，我們在配置、使用NT的過程中應(yīng)該注意養(yǎng)成良好的習慣，并且遵循一定的操作規(guī)程。作為基本的安全措施，我們應(yīng)該注意以下幾點：
1．在人員配置上，應(yīng)該對用戶進行分類，劃分不同的用戶等級。規(guī)定不同的用戶權(quán)限。
2．對資源進行區(qū)分，共享和不共享資源應(yīng)該放置于不同的文件夾或路徑下，對共享資源再進行細分，劃分不同的共享級別，比如：只讀、安全控制，備份、等等。
3．給不同的用戶或用戶組分配不同的帳號、口令、密碼。并且規(guī)定口令、密碼的有效期，對其進行動態(tài)的分配和修改，保證密碼的有效性。
4．配合路由器和防火墻的使用，對一些IP地址進行過濾，可以在很大程度上防止其他用戶通過TCP/IP訪問你的服務(wù)器。
5．養(yǎng)成在登錄前，先鍵入ALT+DEL+CTRL的好習慣，防止特洛依木馬盜用你的口令和密碼。在使用軟件時應(yīng)該先檢查是否帶有病毒，防止病毒的進入。定期對系統(tǒng)進行病毒檢查，清除隱患。
3.3 其他安全注意事項
3.3.1 個人網(wǎng)絡(luò)安全對策
1.檢測并清除特洛伊程序
一旦被人操縱，上網(wǎng)是會出現(xiàn)很多奇怪的現(xiàn)象，比如突然出現(xiàn)藍屏然后死機；CD-ROM莫名其妙地自己彈出；鼠標左右鍵功能顛倒或者失靈；文件被刪除……這時你最好查一查你的注冊表，看看 \HKEY_LO-CAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\Run （或RunServices）下面有沒有類似netspy.exe、空格.exe或其他可疑的文件名，如果有，需要刪除用應(yīng)的鍵值，再刪除相應(yīng)的程序（不過，如果遇到最新的BackDoor—G等，你可能根本不能找到它的藏身之處）。也可以使用一些清除軟件，比如The Cleaner（www.homestead.com/moostoft）。
2.保護E—mail
可將電子郵件內(nèi)容加密，用加了密碼的zip文件做附件就是一個很好的辦法，當然，也可以使用專用加密軟件。使用有過濾功能和遠程郵箱管理功能的郵件服務(wù)軟件，比如Fox-Mail 3.0。如果想用軟件清除，可以選用Spam Fxterminator（www.anisyn.com）等。
3.安全設(shè)置瀏覽器
設(shè)置安全級別，關(guān)掉Cookies。Cookie是在瀏覽過程中被有些網(wǎng)站往硬盤寫入的一些數(shù)據(jù)，它們記錄下用戶的特定信息，因而當用戶回到這個頁面上時，這些信息（稱作狀態(tài)信息）就可以被重新利用。但是關(guān)注Cookie的原因不是因為可以重新利用這些信息，而是關(guān)心這些被重新利用信息的來源：你的硬盤。所以你要格外小心，干脆關(guān)掉這個功能！以IE5為例，步驟如下。選擇“工具”菜單下的“Internet選項”，選擇其中的“安全”標簽，就可以為不同區(qū)域的Web內(nèi)容指定安全設(shè)置。點擊下面的“自定義級別”，可以看到對Cookies和Java等不安全因素的使用限制。
4.隱藏IP地址
如果經(jīng)常使用ICQ，最好在進入“ICQMenu”—>“ Securi-ty&Privacy”，把“IP Publishing”下面的“Do not Publish IP ad-dress”選項上。如果已經(jīng)遭攻擊，用ICQ Bombsquad等軟件拆除炸彈。
3.3.2 網(wǎng)絡(luò)安全的幾項關(guān)鍵技術(shù)
商用網(wǎng)絡(luò)在互聯(lián)網(wǎng)上得以運行, 首先應(yīng)建立或使原有的網(wǎng)絡(luò)升級為內(nèi)部網(wǎng), 而專用的內(nèi)部網(wǎng)與公用的互聯(lián)網(wǎng)的隔離則有賴于防火墻技術(shù)。有了防火墻, 商家們便可以比較安全地在互聯(lián)網(wǎng)上進行相應(yīng)的商業(yè)活動。
1.防火墻技術(shù)
“防火墻”是一種形象的說法,其實它是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( scurity gateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。所謂防火墻就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。
防火墻有二類, 標準防火墻和雙家網(wǎng)關(guān)。標準防火墻系統(tǒng)包括一個UNIX工作站, 該工作站的兩端各接一個路由器進行緩沖。其中一個路由器的接口是外部世界, 即公用網(wǎng);另一個則聯(lián)接內(nèi)部網(wǎng)。標準防火墻使用專門的軟件,并要求較高的管理水平,而且在信息傳輸上有一定的延遲。雙家網(wǎng)關(guān)(dual home gateway) 則是標準防火墻的擴充,又稱堡壘主機(bation host) 或應(yīng)用層網(wǎng)關(guān)(applications layer gateway),它是一個單個的系統(tǒng),但卻能同時完成標準防火墻的所有功能。其優(yōu)點是能運行更復雜的應(yīng)用,同時防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆,可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達內(nèi)部網(wǎng)絡(luò),反之亦然。
隨著防火墻技術(shù)的進步,雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置,一種是隱蔽主機網(wǎng)關(guān),另一種是隱蔽智能網(wǎng)關(guān)(隱蔽子網(wǎng))。隱蔽主機網(wǎng)關(guān)是當前一種常見的防火墻配置。顧名思義,這種配置一方面將路由器進行隱蔽,另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機。堡壘主機裝在內(nèi)部網(wǎng)上, 通過路由器的配置,使該堡壘主機成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進行通信的唯一系統(tǒng)。目前技術(shù)最為復雜而且安全級別最商的防火墻是隱蔽智能網(wǎng)關(guān),它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問,同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問。一般來說,這種防火墻是最不容易被破壞的。
2.數(shù)據(jù)加密技術(shù)
與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展, 網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外, 從技術(shù)上分別在軟件和硬件兩方面采取措施, 推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。
(1)數(shù)據(jù)傳輸加密技術(shù)。
目的是對傳輸中的數(shù)據(jù)流加密, 常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿, 是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端自動加密, 并進入TCP/IP數(shù)據(jù)包回封, 然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當這些信息一旦到達目的地, 被將自動重組、解密, 成為可讀數(shù)據(jù)。
(2)數(shù)據(jù)存儲加密技術(shù)。
目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密, 可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn); 后者則是對用戶資格、格限加以審查和限制, 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。
(3)數(shù)據(jù)完整性鑒別技術(shù)。
目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù) 據(jù)內(nèi)容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別, 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護。
(4)密鑰管理技術(shù)。
為了數(shù)據(jù)使用的方便,數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用, 因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。
3.智能卡技術(shù)
與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣, 由授權(quán)用戶所持有并由該用戶賦與它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當口令與身份特征共同使用時, 智能卡的保密性能還是相當有效的。
網(wǎng)絡(luò)安全和數(shù)據(jù)保護達些防范措施都有一定的限度, 并不是越安全就越可靠。因而, 在看一個內(nèi)部網(wǎng)是否安全時不僅要考察其手段, 而更重要的是對該網(wǎng)絡(luò)所采取的各種措施, 其中不光是物理防范, 還有人員的素質(zhì)等其他“軟”因素, 進行綜合評估, 從而得出是否安全的結(jié)論。
結(jié)束語
通過這次對計算機安全課題的研究，我個人認為網(wǎng)絡(luò)安全是一門非常值得研究的學科。互聯(lián)網(wǎng)的高速發(fā)展給我們的生活、工作和人與人之間的溝通帶來了極大的方便，但互聯(lián)網(wǎng)極差的安全狀況也成了培育黑客的溫床。近年來，國際國內(nèi)黑客事件的不斷發(fā)生，不僅擾亂了正常的網(wǎng)絡(luò)秩序，而且還帶來了嚴重的經(jīng)濟損失，這種現(xiàn)象正逐步得到各個國家和政府部門的重視，也使得網(wǎng)絡(luò)安全越來越受到個人、公司和政府的高度重視。
在我做畢業(yè)設(shè)計期間，正遇上了中美黑客大戰(zhàn)。后面的日子里我仔細分析了一下這場大戰(zhàn)。首先要說的就是雙方的攻擊手法總體上說水平一般，受攻擊的大多是Windows NT系統(tǒng)，其次是Linux、BSDI、Solaris等系統(tǒng)。主要是使用一些現(xiàn)有的工具對操作系統(tǒng)的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權(quán)限，進而達到實施破壞的目的。為了日后的安全防范，我把具體的攻擊手法簡單介紹一下：
1、弱口令攻擊：不少網(wǎng)站的管理員賬號密碼、ftp賬號密碼、Sql賬號密碼等都使用很簡單的或是很容易猜測到的字母或數(shù)字，利用現(xiàn)有的家用PIII機器配合編寫恰當?shù)钠平廛浖阋栽诙虝r間內(nèi)輕松破解，一旦口令被破解，網(wǎng)站就意味著被攻破。
2、Unicode編碼漏洞：對于Windows NT4.0和Windows 2000來說都存在有該漏洞，利用該漏洞遠程用戶可以在服務(wù)器上以匿名賬號來執(zhí)行程序或命令，從而輕易就可達到遍歷硬盤、刪除文件、更換主頁和提升權(quán)限等目的，由于實施方法簡單，僅僅擁有一個瀏覽器就可實施，所以這次被攻破的網(wǎng)站大多是因為存在此漏洞導致的。
3、ASP源碼泄漏和MS SQL Server攻擊：通過向web服務(wù)器請求精心構(gòu)造的特殊的url就可以看到不應(yīng)該看到的asp程序的全部或部分源代碼，進而取得諸如MS SQL Server的管理員sa的密碼，再利用存儲過程xp_cmdshell就可遠程以SYSTEM賬號在服務(wù)器上任意執(zhí)行程序或命令，事實上，MS SQL Server默認安裝的管理員sa的密碼為空，并且大多數(shù)系統(tǒng)管理員的確沒有重新設(shè)定為新的復雜密碼，這直接就留下了嚴重的安全隱患。
4、IIS緩沖溢出：對于IIS4.0和IIS5.0來說都存在有嚴重的緩沖溢出漏洞，利用該漏洞遠程用戶可以以具有管理員權(quán)限的SYSTEM賬號在服務(wù)器上任意執(zhí)行程序或命令，極具危險性。但由于操作和實施較為復雜，一般為黑客高手所用。這種攻擊主要存在于Windows NT和2000系統(tǒng)中。
5、BIND緩沖溢出：在最新版本的Bind以前的版本中都存在有嚴重的緩沖溢出漏洞，可以導致遠程用戶直接以root權(quán)限在服務(wù)器上執(zhí)行程序或命令，極具危險性。但由于操作和實施較為復雜，一般也為黑客高手所用。這種攻擊主要存在于Linux、BSDI和Solaris等系統(tǒng)中。
6、其他攻擊手法：還有利用Sendmail、Local Printer、CGI、Virus、Trojan、DOS、DDOS等漏洞攻擊的手段，但在這次大戰(zhàn)中表現(xiàn)的不是很明顯，這里順便提及。
上面的6種方法中，我曾用前面的三條做過一些實驗性的測試。對弱口令的攻擊我采用了國人小榕的流光進行測試，拿它的探測IPC遠程登錄的功能作個簡單介紹。我用它的IPC探測功能在短短的半個小時內(nèi)對某個C類的網(wǎng)段進行掃描，居然得到了六、七十個用戶名和相對的弱口令，其中很多是Administrator用戶，也就是說你已經(jīng)拿到了最高權(quán)限。而且很多主機的Admin用戶的口令為空如此差的安全狀況著實另人吃驚。而且我同時對FTP、SQL的口令進行了探測，發(fā)現(xiàn)很多用戶將ID和Passwd設(shè)為相同，這也是一個極其嚴重的安全隱患。在對Unicode編碼漏洞的利用中發(fā)現(xiàn)雖然這個漏洞是很久以前發(fā)現(xiàn)并公布的，但是網(wǎng)上的很多網(wǎng)站仍然存在此漏洞，大部分未作任何的補丁，使得你用一個瀏覽器就可以輕松進入網(wǎng)站的內(nèi)部。有些網(wǎng)站作了補丁，但是還是有隱患存在，黑客仍舊可以利用此漏洞進入后利用程序提升權(quán)限，最后得到Admin權(quán)限。在對ASP源碼泄漏和MS SQL Server攻擊的測試過程中我主要對MS SQL Server默認安裝的管理員sa的密碼進行了一些簡單的探測，由于MS SQL Server默認安裝的管理員sa的密碼為空，而且有些管理員根本就沒有重新更改密碼，即使有些修改了密碼也非常的容易被探測出。這使得黑客可以不費任何的力氣就進入提升權(quán)限，從而取得root進行惡意的破壞。
除上述的攻擊手法外，我還對國內(nèi)的一些網(wǎng)站、服務(wù)器進行了簡單的測試。運用的方法是Win2000中文版的輸入法漏洞。由于此方法成功率極高，而且主要是針對國內(nèi)網(wǎng)站，所以方法我就不詳細敘述。我只是用掃描工具大概掃了幾個網(wǎng)段，很多都有此漏洞。同時我對其可用性進行了測試，在幾分鐘內(nèi)就進入了網(wǎng)站內(nèi)部，并且得到Admin級的權(quán)限。
前面的章節(jié)陸續(xù)給出了一些安全防范措施，這里就不再闡述。最后再針對國內(nèi)的網(wǎng)絡(luò)現(xiàn)狀給出一些大的安全建議：
1、成立網(wǎng)絡(luò)安全領(lǐng)導小組
要從上到下把網(wǎng)絡(luò)安全重視起來，由行政領(lǐng)導牽頭，技術(shù)部門負責，系統(tǒng)和管理員參與，成立安全管理領(lǐng)導監(jiān)督小組。加強網(wǎng)絡(luò)安全項目的建設(shè)和管理，負責貫徹國家有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)，落實各項網(wǎng)絡(luò)安全措施；督促有關(guān)部門對網(wǎng)絡(luò)用戶的安全教育，監(jiān)督、檢查、指導網(wǎng)絡(luò)安全工作；監(jiān)督網(wǎng)絡(luò)安全管理制度的執(zhí)行和貫徹，查處違反網(wǎng)絡(luò)安全管理的違紀、違規(guī)行為；協(xié)助、配合公安機關(guān)查處網(wǎng)絡(luò)犯罪行為。
2、制訂一套完整的安全方案
一套完整的安全方案是整個系統(tǒng)安全的有力保障，要結(jié)合自己實際的網(wǎng)絡(luò)狀況，從人力、物力、財力做好部署與配置，由于安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技術(shù)實現(xiàn)等多方面專業(yè)技能，并且要求要有較高的認知能力，大多數(shù)企業(yè)、公司、政府等可能不具備此能力，此時可以聘請專業(yè)安全顧問公司來完成，大多安全顧問公司在做安全方案方面有著豐富的經(jīng)驗，能夠制訂出符合需要的合理的安全方案來。
3、用安全產(chǎn)品和技術(shù)處理加固系統(tǒng)
要達到網(wǎng)絡(luò)系統(tǒng)是安全的目的，就必須對系統(tǒng)進行一系列的處理，比如：安裝防火墻和入侵檢測系統(tǒng)等安全產(chǎn)品、為系統(tǒng)打補丁堵塞安全漏洞、用戶和文件目錄權(quán)限管理、設(shè)置安全策略等系統(tǒng)安全處理，以求消除隱患，加固系統(tǒng)。由于這種系統(tǒng)加固服務(wù)需要非常專業(yè)的安全技能，一般的企業(yè)和公司要想做好是不現(xiàn)實的，而大多安全咨詢顧問公司都提供有這種服務(wù)。主要加固項目如下：
網(wǎng)絡(luò)拓撲路由分析
火墻內(nèi)外部隔離
入侵檢測系統(tǒng)跟蹤
網(wǎng)站恢復系統(tǒng)監(jiān)控
系統(tǒng)安全加固處理
應(yīng)用系統(tǒng)安全檢測
整體網(wǎng)絡(luò)安全評估
4、制定并貫徹安全管理制度
在對系統(tǒng)安全方案和系統(tǒng)安全處理的同時，還必須制定出一套完整的安全管理制度，如：外來人員網(wǎng)絡(luò)訪問制度，服務(wù)器機房出入管理制度，管理員網(wǎng)絡(luò)維護管理制度等等。約束普通用戶等網(wǎng)絡(luò)訪問者，督促管理員很好地完成自身的工作，增強大家的網(wǎng)絡(luò)安全意識，防止因粗心大意或不貫徹制度而導致安全事故。尤其要注意制度的監(jiān)督貫徹執(zhí)行，否則就形同虛設(shè)。
5、建立完善的安全保障體系
建立完善的安全保障體系是系統(tǒng)安全所必需的，如管理人員安全培訓、可靠的數(shù)據(jù)備份、緊急事件響應(yīng)措施、定期系統(tǒng)安全評估及更新升級系統(tǒng)，如此這些都為系統(tǒng)的安全提供了有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回損失。
6、選擇一個好的安全顧問公司
可以說，在兩年前國內(nèi)還沒有一家具有真正意義上的網(wǎng)絡(luò)安全顧問公司，但由于目前形勢的需要，國內(nèi)的安全顧問公司可以說是蓬勃發(fā)展，百花齊放，但不外主要是從以下幾種轉(zhuǎn)型而來的：
（1）網(wǎng)絡(luò)安全產(chǎn)品公司兼做網(wǎng)絡(luò)安全顧問服務(wù)
（2）傳統(tǒng)系統(tǒng)集成公司設(shè)立網(wǎng)絡(luò)安全顧問部門
（3）自由黑客組織轉(zhuǎn)型為專業(yè)網(wǎng)絡(luò)安全顧問公司
（4）國家科研教育機構(gòu)成立的網(wǎng)絡(luò)安全顧問公司
選擇安全顧問公司是要必須非常謹慎的，要從安全公司的背景、理念、實力、管理等多方面進行考查，不僅要看一個安全公司的技術(shù)和資金實力，而且還要看公司人員的組成，因為一旦你的系統(tǒng)交給了安全公司，其實你的系統(tǒng)就等于對其百分之百的開放，但大多網(wǎng)絡(luò)安全公司人員層次不齊，即便技術(shù)和資金很強，但若管理不善，人員流失較大，就會使得其客戶的系統(tǒng)資料就處于不可控狀態(tài)，從而帶來極大的安全隱患，所以一旦選擇失誤，不僅不能帶來安全保障，而且可能會帶來嚴重的負面影響。最謹慎、最安全的人會將他們的信息放在屋子里鎖好，妥善地保護起來。這樣做當然極為安全。不過一般來說，保護有價值的緊要數(shù)據(jù)時，還是盡量聽從安全專家的意見為好。除了那些復雜的技術(shù)安全措施以外，還要注意企業(yè)中的管理漏洞，因為設(shè)備管理中總會有一些未知的因素。

首頁上一頁 3 4 5 6 下一頁尾頁 6/6/6

相關(guān)論文


上一篇：LED數(shù)碼管顯示技術(shù)	下一篇：防御網(wǎng)站被攻擊對策探討

Tags：計算機安全實用技術(shù) 研究

【收藏】【返回頂部】