響網路安全的因素:
1、自然災害、意外事故;
2、計算機犯罪;
3、人為行為,比如使用不當,安全意識差等;
4、黑客」 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;
5、內部泄密;
6、外部泄密;
7、信息丟失;
8、電子諜報,比如信息流量分析、信息竊取等;
9、網路協議中的缺陷,例如TCP/IP協議的安全問題等等。
(1)網路軟體授權是否不安全擴展閱讀:
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
1、保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
2、保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
3、保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
㈡ 網路安全法禁止的危害網路安全行為有
網路安全法禁止的危害網路安全行為包括:
1、禁止非法侵入他人網路;
2、干擾他人網路正常功能;
3、竊取網路數據等危害網路安全的活動;
4、竊取或者以其他非法方式獲取個人信息;
5、非法出售或者非法向他人提供個人信息;
6、設立用亍實施詐騙,傳授犯罪方法;
7、製作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組。
網路安全包含網路設備安全、網路信息安全、網路軟體安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
主要特徵包括:
1、保密性,信息不泄露給非 授權用戶、 實體或過程,或供其利用的特性;
2、完整性,數據未經授權不能進行改變的特性。即信息在 存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性;
3、可用性可被授權 實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對 可用性的攻擊;
4、可控性,對信息的傳播及內容具有控制能力;
5、可審查性,出現安全問題時提供依據與手段。
《中華人民共和國網路安全法》第十二條 國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
㈢ 網路軟體的安全問題
1)網路軟體的漏洞及缺陷被利用,使網路遭到入侵和破壞;
2)網路軟體安全功能不健全或被安裝了「特洛伊木馬 」軟體;
3)應加安全措施的軟體可能為未給予標識和保護,要害的程序可能沒有安全措施,使軟體被非法使用、被破壞或產生錯誤的結果;
4)未對用戶進行分類和標識,使數據的存取未受到限制或控制,而被非法用戶竊取或非法處理;
5)錯誤的進行路由選擇,為一個用戶與另一個用戶之間的通信選擇了不合適的路徑;
6)拒絕服務,中斷或妨礙通信,延誤對時間要求較高的操作;
7)信息重播,即把信息收錄下來准備過一段時間重播;
8)對軟體更改的要求沒有充分理解,導致軟體缺陷;
9)沒有正確的安全策略和安全機制,缺乏先進的安全工具和手段;
10)不妥當的標定或資料,導致所改的程序出現版本錯誤。如程序員沒有保存程序變更的記錄;沒有做拷貝;未建立保存記錄的業務。
㈣ 需要購物網站授權的借貸軟體安全嗎
還是不要授權,安全第一
㈤ 網路存在哪些安全隱患及如何解決網路安全隱患
網路安全是指網路系統的硬體、軟體和系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞,更改、泄露,系統連續可靠正常地運行,網路服務不中斷。網路安全從本質上講就是網路信息安全,包括靜態的信息存儲安全和信息傳輸安全。
進入21世紀以來,信息安全的重點放在了保護信息,確保信息在存儲、處理、傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防禦攻擊的措施。信息的保密性、完整性、可用性 、可控性就成了關鍵因素。
Internet的開放性以及其他方面因素導致了網路環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被開發和應用。但是,即便是在這樣的情況下,網路的安全依舊存在很大的隱患。
企業網路的主要安全隱患
隨著企業的信息化熱潮快速興起,由於企業信息化投入不足、缺乏高水平的軟硬體專業人才、以及企業員工安全意識淡薄等多種原因,網路安全也成了中小企業必須重視並加以有效防範的問題。病毒、間諜軟體、垃圾郵件……這些無一不是企業信息主管的心頭之患。
1.安全機制
每一種安全機制都有一定的應用范圍和應用環境。防火牆是一種有效的安全工具,它可以隱藏內部網路結構,細致外部網路到內部網路的訪問。但是對於內部網路之間的訪問,防火牆往往無能為力,很難發覺和防範。
2.安全工具
安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果,在很大程度上取決於使用者,包括系統管理員和普通用戶,不正當的設置就會產生不安全因素。
3.安全漏洞和系統後門
操作系統和應用軟體中通常都會存在一些BUG,別有心計的員工或客戶都可能利用這些漏洞想企業網路發起進攻,導致某個程序或網路喪失功能。有甚者會盜竊機密數據,直接威脅企業網路和企業數據的安全。即便是安全工具也會存在這樣的問題。幾乎每天都有新的BUG被發現和公布,程序員在修改已知BUG的同時還可能產生新的BUG。系統BUG經常被黑客利用,而且這種攻擊通常不會產生日誌,也無據可查。現有的軟體和工具BUG的攻擊幾乎無法主動防範。
系統後門是傳統安全工具難於考慮到的地方。防火牆很難考慮到這類安全問題,多數情況下,這類入侵行為可以經過防火牆而不被察覺。
第2頁:網路安全探討(二)
4.病毒、蠕蟲、木馬和間諜軟體
這些是目前網路最容易遇到的安全問題。病毒是可執行代碼,它們可以破壞計算機系統,通常偽裝成合法附件通過電子郵件發送,有的還通過即時信息網路發送。
蠕蟲與病毒類似,但比病毒更為普遍,蠕蟲經常利用受感染系統的文件傳輸功能自動進行傳播,從而導致網路流量大幅增加。
木馬程序程序可以捕捉密碼和其它個人信息,使未授權遠程用戶能夠訪問安裝了特洛伊木馬的系統。
間諜軟體則是惡意病毒代碼,它們可以監控系統性能,並將用戶數據發送給間諜軟體開發者。
5.拒絕服務攻擊
盡管企業在不斷的強化網路的安全性,但黑客的攻擊手段也在更新。拒絕服務就是在這種情況下誕生的。這類攻擊會向伺服器發出大量偽造請求,造成伺服器超載,不能為合法用戶提供服務。這類攻擊也是目前比較常用的攻擊手段。
6.誤用和濫用
在很多時候,企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中,企業員工的信息安全意識是相對落後的。而企業管理層在大部分情況下也不能很好的對企業信息資產做出鑒別。從更高的層次來分析,中小企業尚無法將信息安全的理念融入到企業的整體經營理念中,這導致了企業的信息管理中存在著大量的安全盲點和誤區。
網路安全體系的探討
1.防火牆
防火牆是企業網路與互聯網之間的安全衛士,防火牆的主要目的是攔截不需要的流量,如准備感染帶有特定弱點的計算機的蠕蟲;另外很多硬體防火牆都提供其它服務,如電子郵件防病毒、反垃圾郵件過濾、內容過濾、安全無線接入點選項等等。
在沒有防火牆的環境中,網路安全性完全依賴主系統的安全性。在一定意義上,所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大,把所有主系統保持在相同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普遍,入侵就時有發生。
防火牆有助於提高主系統總體安全性。 防火牆的基本思想——不是對每台主機系統進行保護,而是讓所有對系統的訪問通過某一點,並且保護這一點,並盡可能地對外界屏蔽保護網路的信息和結構。
防火牆是一種行之有效且應用廣泛的網路安全機制,防止Internet上的不安全因素蔓延到區域網內部。防火牆可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息,以便實施系統的訪問安全決策控制。 防火牆的技術已經經歷了三個階段,即包過濾技術、代理技術和狀態監視技術。
第3頁:網路安全探討(三)
2.網路病毒的防範
在網路環境下,病毒傳播擴散加快,僅用單機版殺毒軟體已經很難徹底清除網路病毒,必須有適合於區域網的全方位殺毒產品。如果在網路內部使用電子郵件進行信息交換,還需要一套基於郵件伺服器平台的郵件防病毒軟體。所以最好使用全方位的防病毒產品,針對網路中所有可能的病毒攻擊點設置對應的防病毒軟體,並且定期或不定期更新病毒庫,使網路免受病毒侵襲。
3.系統漏洞
解決網路層安全問題,首先要清楚網路中存在哪些安全隱患和弱點。面對大型我那個羅的復雜性和變化,僅僅依靠管理員的技術和經驗尋找安全漏洞和風險評估是不現實的。最好的方法就是使用安全掃描工具來查找漏洞並提出修改建議。另外實時給操作系統和軟體打補丁也可以彌補一部分漏洞和隱患。有經驗的管理員還可以利用黑客工具對網路進行模擬攻擊,從而尋找網路的薄弱點。
4.入侵檢測
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,能識別出任何不希望有的行為,從而達到限制這些活動,保護系統安全的目的。
5.內網系統安全
對於網路外部的入侵可以通過安裝防火牆來解決,但是對於網路內部的入侵則無能為力。在這種情況下我們可以採用對各個子網做一個具有一定功能的審計文件,為管理員分析自己的網路運作狀態提供依據。設計一個子網專用的監聽程序監聽子網內計算機間互聯情況,為系統中各個伺服器的審計文件提供備份。
企業的信息安全需求主要體現在迫切需要適合自身情況的綜合解決方案。隨著時間的發展,中小企業所面臨的安全問題會進一步復雜化和深入化。而隨著越來越多的中小企業將自己的智力資產建構在其信息設施基礎之上,對於信息安全的需求也會迅速的成長。
總之,網路安全是一個系統工程,不能僅僅依靠防火牆等單個的系統,而需要仔細考慮系統的安全需求,並將各種安全技術結合在一起,與科學的網路管理結合在一起,才能生成一個高效、通用、安全的網路系統。
㈥ 使用授權文件激活殺毒軟體是否安全會不會留下後患
安全的。不會有後患!
㈦ 下載app授權信任會讓其他不法分子克隆手機里軟體么
首先要明確下載的app是否為安全的正版app。如果是,就不會有問題,如果是盜版的,非安全的app,就要當心了。
教你如何識別垃圾App
教你如何識別垃圾App
1.從正規渠道下載
「從正規渠道下載」真是老生常談了,但偏偏就是有人不聽勸,直接通過搜索引擎搜到的結果並不一定代表著那就是正規應用,反而有很多惡意應用通過優化關鍵字或其它方式,達到在搜索結果中排名靠上的目的。用戶可以從該應用的官網直接下載,或者通過大型應用市場下載。
2.看認證標識或者下載量
但應用市場中也是魚龍混雜,一些惡意應用繞過了審核,堂而皇之的等著用戶來下載,若是遇上了「高仿版本」則更難分辨,一模一樣的圖標,相似度極高的應用名稱,甚至登上了推薦榜,一不留神就會失誤下載。破解的方式只有一個:看認證標識!
正規渠道的應用都會帶有認證標記,比如「官方」或「已認證」等字樣,看準這些再下載安全性會大大提升。
3.看評論
沒有認證標記怎麼辦?看評論。如果這是一款來源可靠的好軟體,可能很少有人願意在評論中誇它幾句,但如果這是一款功能差勁體驗不佳的應用,肯定會有大批用戶自願到評論區中為它「美言」幾句。如果大家無法判斷一款應用的優劣,不妨看看其它用戶是怎麼說的。
當然不排除水軍的存在,但這類評論通常很「軟」,容易識別,要是評論中清一色的點贊,那麼可要留點心眼了。
4.看流量是否有偷跑
已經下載了好多應用該怎麼辦呢?難不成要一個一個重新下載嗎?當然不用這么麻煩!安卓手機可以在設置菜單中查看到應用的流量使用情況,若是某些應用的流量使用高的不正常,必然常常在後台偷跑,要麼限制它聯網,要麼直接刪除永絕後患。
5.有多個版本時怎麼辦
為了適配不同的屏幕尺寸/解析度,很多應用都推出了不同版本,比如HD版、XX系統專用版等等,若同為官方發布的應用,這些App也會帶有官方認證的標識,若沒有也不要緊,上述的幾種方法都能幫助你辨別這款應用的真偽。
6.破解版、綠色版
一看到破解版、綠色版幾個字,相信很多用戶都會亮眼放光,其實這些應用都經過了再加工,讓用戶繞過授權碼或者加密措施直接使用,看上去這種方式方便了用戶,但實際上它們不僅侵犯了正版廠商的利益,還有可能在應用中植入一些亂七八糟的代碼,用戶可千萬不要貪小便宜吃大虧,對於此類應用還是保持警惕為好。
7.看許可權
在應用安裝時,請求的許可權會暴露出它所有的目的,拍照應用為何要通訊錄許可權?手電筒應用為何要錄音許可權?大家安裝軟體可能只是點擊一下「安裝」就完事了,但在那之前應該好好閱讀一下許可權列表,不讓惡意應用有可乘之機。
8.要賬號密碼?門都沒有!
好了,若是以上幾項都很正常,是不是就是一款好應用呢?也不完全是!若是通訊應用突然讓你填寫銀行賬號和密碼,那可就要小心了,密碼是保障賬戶安全最重要的一道關卡,怎麼能輕易告訴別人呢?此類應用必定存在不良目的,不要猶豫直接卸載。
其實不僅是安卓,iPhone中也存在不少惡意應用,只是它們的偽裝術更高明,更不易察覺,不過由於iOS系統的封閉性,已經幫助用戶擋住了很多惡意應用的侵襲,但大家也不要放鬆警惕,時刻提防新騙術才是正經事。
㈧ 有關於網路信息系統安全的四個問題
1.網路系統的不安全因素
計算機網路系統的不安全因素按威脅的對象可以分為三種:一是對網路硬體的威脅,這主要指那些惡意破壞網路設施的行為,如偷竊、無意或惡意毀損等等;二是對網路軟體的威脅,如病毒、木馬入侵,流量攻擊等等;三是對網路上傳輸或存儲的數據進行的攻擊,比如修改數據,解密數據,刪除破壞數據等等。這些威脅有很多很多,可能是無意的,也可能是有意的,可能是系統本來就存在的,也可能是我們安裝、配置不當造成的,有些威脅甚至會同時破壞我們的軟硬體和存儲的寶貴數據。如CIH病毒在破壞數據和軟體的同時還會破壞系統BIOS,使整個系統癱瘓。針對威脅的來源主要有以下幾方面:
1.1無意過失
如管理員安全配置不當造成的安全漏洞,有些不需要開放的埠沒有即時用戶帳戶密碼設置過於簡單,用戶將自己的帳號密碼輕意泄漏或轉告他人,或幾人共享帳號密碼等,都會對網路安全帶來威脅。
1.2惡意攻擊
這是我們賴以生存的網路所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊,它有選擇地破壞信息的有效性和完整性,破壞網路的軟硬體系統,或製造信息流量使我們的網路系統癱瘓;另一類是隱藏攻擊,它是在不影響用戶和系統日常工作的前提下,採取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網路系統造成極大的危害,並導致機密數據的外泄或系統癱瘓。
1.3漏洞後門
網路操作系統和其他工具、應用軟體不可能是百分之百的無缺陷和無漏洞的,尤其是我們既愛又恨的「Windows」系統,這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道,無數次出現過的病毒(如近期的沖擊波和震盪波就是採用了Windows系統的漏洞)造成的重大損失和慘痛教訓,就是由我們的漏洞所造成的。黑客浸入網路的事件,大部分也是利用漏洞進行的。「後門」是軟體開發人員為了自己的方便,在軟體開發時故意為自己設置的,這在一般情況下沒有什麼問題,但是一旦該開發人員有一天想不通要利用利用該「後門」,那麼後果就嚴重了,就算他自己安分守己,但一旦「後門」洞開和泄露,其造成的後果將更不堪設想。
如何提高網路信息系統安全性
2.1 物理安全策略
物理安全策略的目的是保護計算機系統、伺服器、網路設備、列印機等硬體實體和通信鏈路的物理安全,如採取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由於很多計算機系統都有較強的電磁泄漏和輻射,確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度,伺服器應該放在安裝了監視器的隔離房間內,並且要保留1天以上的監視記錄,另外機箱、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另外的安全位置,防止未經授權而進入計算機控制室,防止各種偷竊、竊取和破壞活動的發生。
2.2 訪問控制策略
網路中所能採用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用,但訪問控制策略可以說是保證網路安全最重要的核心策略之一。它的主要目的是保證網路信息不被非法訪問和保證網路資源不被非法使用。它也是維護網路系統安全、保護網路資源的重要手段。下面我們分述各種訪問控制策略。
2.2.1 登陸訪問控制
登陸訪問控制為網路訪問提供了第一層訪問控制。通過設置帳號,可以控制哪些用戶能夠登錄到伺服器並獲取網路信息和使用資源;通過設置帳號屬性,可以設置密碼需求條件,控制用戶在哪些時段能夠登陸到指定域,控制用戶從哪台工作站登陸到指定域,設置用戶帳號的失效日期。
注:當用戶的登錄時段失效時,到域中網路資源的鏈接不會被終止。然而,該用戶不能再創建到域中其他計算機的新鏈接。
用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然後是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。
由於用戶名和密碼是對網路用戶的進行驗證的第一道防線。所以作為網路安全工作人員在些就可以採取一系列的措施防止非法訪問。
a. 基本的設置
應該限制普通用戶的帳號使用時間、方式和許可權。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計,如果多次輸入口令不正確,則應該認為是非法入侵,應給出報警信息,並立即停用該帳戶。
b. 認真考慮和處理系統內置帳號
建議採取以下措施:i.停用Guest帳號,搞不懂Microsoft為何不允許刪除Guest帳號,但不刪除我們也有辦法:在計算機管理的用戶和組裡面,把Guest帳號禁用,任何時候都不允許Guest帳號登陸系統。如果還不放心,可以給Guest帳號設置一個長而復雜的密碼。這里為對Windows 2有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2系統的帳號信息,是存放在注冊表HKEY_LOCAL_MACHINE\SAM里的,但即使我們的系統管理員也無法打開看到這個主鍵,這主要也是基於安全的原因,但是「System」帳號卻有這個許可權,聰明的讀者應該知道怎麼辦了吧,對了,以「SYSTEM」許可權啟動注冊表就可以了,具體方法為:以「AT」命令來添加一個計劃任務來啟動Regedit.exe程序,然後檢查注冊表項,把帳號Guest清除掉。首先,看一下時間 :3,在「運行」對話框中或「cmd」中運行命令:at :31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是「SYSTEM」了,/interactive的目的是讓運行的程序以互動式界面的方式運行。一分鍾後regedit.exe程序運行了,依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,將以下兩個相關鍵全部刪掉:一個是1F5,一個是Names下面的Guest。完成後我們可是用以下命令證實Guest帳號確實被刪掉了「net user guest」。ii.系統管理員要擁有兩個帳號,一個帳號是具有管理員許可權,用於系統管理,另一個帳號只有一般許可權,用於日常操作。這樣只有在維護系統或安裝軟體時才用管理員身份登陸,有利於保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用,這樣Microsoft就給Hacker們提供了特別大的幫助,但我們也可將之改名,如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等於白改的名字。
c. 設置欺騙帳號
這是一個自我感覺非常有用的方法:創建一個名為Administrator的許可權最低的欺騙帳號,密碼設置相當復雜,既長又含特殊字元,讓Hacker們使勁破解,也許他破解還沒有成功我們就已經發現了他的入侵企圖,退一步,即使他破解成功了最後還是會大失所望的發現白忙半天。
d. 限制用戶數量
因為用戶數量越多,用戶許可權、密碼等設置的缺陷就會越多,Hacker們的機會和突破口也就越多,刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。
e. 禁止系統顯示上次登陸的用戶名
Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能,下次重啟時,會在用戶名欄中提示上次用戶的登陸名,這個信息可能被別有用心的人利用,給系統和用戶造成隱患,我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表,展開到以下分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在此分支下新建字元串命名為:DontDisplayLastUserName,並把該字元串值設為:「1」,完成後重新啟動計算機就不會顯示上次登錄用戶的名字了。
f. 禁止建立空連接
默認情況下,任何用戶通過空連接連上伺服器後,可能進行枚舉帳號,猜測密碼,我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表,展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然後將該分支下的restrictanonymous的值改為「1」即可。
g. 通過智能卡登錄
採用攜帶型驗證器來驗證用戶的身份。如廣泛採用的智能卡驗證方式。通過智能卡登錄到網路提供了很強的身份驗證方式,因為,在驗證進入域的用戶時,這種方式使用了基於加密的身份驗證和所有權證據。
例如,如果一些別有用心的人得到了用戶的密碼,就可以用該密碼在網路上冒稱用戶的身份做一些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等),這會使密碼先天脆弱,很容易受到攻擊。
在使用智能卡的情況下,那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由於需要其它的信息才能假扮用戶,因而這種組合可以減少攻擊的可能性。另一個好處是連續幾次輸入錯誤的 PIN 後,智能卡將被鎖定,因而使得採用詞典攻擊智能卡非常困難。
2.2.2 資源的許可權管理
資源包括系統的軟硬體以及磁碟上存儲的信息等。我們可以利用Microsoft 在Windows 2中給我們提供的豐富的許可權管理來控制用戶對系統資源的訪問,從而起到安全管理的目的。
a. 利用組管理對資源的訪問
組是用戶帳號的集合,利用組而不用單個的用戶管理對資源的訪問可以簡化對網路資源的管理。利用組可以一次對多個用戶授予許可權,而且在我們對一個組設置一定許可權後,以後要將相同的許可權授予別的組或用戶時只要將該用戶或組添加進該組即可。
如銷售部的成員可以訪問產品的成本信息,不能訪問公司員工的工資信息,而人事部的員工可以訪問員工的工資信息卻不能訪問產品成本信息,當一個銷售部的員工調到人事部後,如果我們的許可權控制是以每個用戶為單位進行控制,則許可權設置相當麻煩而且容易出錯,如果我們用組進行管理則相當簡單,我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。
b. 利用NTFS管理數據
NTFS文件系統為我們提供了豐富的許可權管理功能,利用了NTFS文件系統就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內容、讀和執行、修改、全面控制等許可權,甚至還可以定義一些特殊許可權。NTFS只適用於NTFS磁碟分區,不能用於FAT或FAT32分區。不管用戶是訪問文件還是文件夾,也不管這些文件或文件夾是在計算機上還是在網路上,NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機,還包括他們被授予的訪問許可權。注意:要正確和熟練地使用NTFS控制許可權的分配必須深入了解NTFS許可權的特點、繼承性、「拒絕」許可權的特性以及文件和文件夾在復制和移動後的結果。一個網路系統管理員應當系統地考慮用戶的工作情況並將各種許可權進行有效的組合,然後授予用戶。各種許可權的有效組合可以讓用戶方便地完成工作,同時又能有效地控制用戶對伺服器資源的訪問,從而加強了網路和伺服器的安全性。
2.2.3 網路伺服器安全控制
網路伺服器是我們網路的心臟,保護網路伺服器的安全是我們安全工作的首要任務,沒有伺服器的安全就沒有網路的安全。為了有效地保護伺服器的安全,我們必須從以下幾個方面開展工作。
a. 嚴格伺服器許可權管理
由於伺服器的重要地位,我們必須認真分析和評估需要在伺服器上工作的用戶的工作內容和工作性質,根據其工作特點授予適當的許可權,這些許可權要保證該用戶能夠順利地完成工作,但也決不要多給他一點許可權(即使充分相信他不會破壞也要考慮他的誤操作),同時刪除一些不用的和沒有必要存在的用戶和組(如員工調動部門或辭退等)。根據情況限制或禁止遠程管理,限制遠程訪問許可權等也是網路安全工作者必需考慮的工作。
b. 嚴格執行備份操作
作為一個網路管理員,由於磁碟驅動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最為常見的事情。為了保證系統能夠從災難中以最快的速度恢復工作,最大化地降低停機時間,最大程度地挽救數據,備份是一個最為簡單和可靠的方法。Windows 2 集成了一個功能強大的圖形化備份實用程序。它專門為防止由於硬體或存儲媒體發生故障而造成數據丟失而設計的。它提供了五個備份類型:普通、副本、差異、增量和每日,我們根據備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。
警告:對於從Windows 2 NTFS卷中備份的數據,必須將之還原到一個Windows 2 NTFS卷中,這樣可以避免數據丟失,同時能夠保留訪問許可權、加密文件系統(Encrypting File System)設置信息、磁碟限額信息等。如果將之還原到了FAT文件系統中,將丟失所有加密數據,同時文件不可讀。
c. 嚴格起用備用伺服器
對於一些非常重要的伺服器,如域控制器、橋頭伺服器、DHCP伺服器、DNS伺服器、WINS伺服器等擔負網路重要功能的伺服器,也包括那些一旦癱瘓就要嚴重影響公司業務的應用程序伺服器,我們應該不惜成本建立備份機制,這樣即使某個伺服器發生故障,對我們的工作也不會造成太大的影響。我們也可以利用Windows 2 Advance Server的集群功能使用兩個或兩個以上的伺服器,這樣不但可以起到備用的作用,同時也能很好地提高服務性能。
d. 使用RAID實現容錯功能
使用RAID有軟體和硬體的方法,究竟採用哪種要考慮以下一些因素:
硬體容錯功能比軟體容錯功能速度快。
硬體容錯功能比軟體容錯功能成本高。
硬體容錯功能可能被廠商限制只能使用單一廠商的設備。
硬體容錯功能可以實現硬碟熱交換技術,因此可以在不關機的情況下更換失敗的硬碟。
硬體容錯功能可以採用高速緩存技術改善性能。
Microsoft Windows 2 Server支持三種類型的軟體RAID,在此作一些簡單描述:
u RAID (條帶卷)
RAID 也被稱為磁碟條帶技術,它主要用於提高性能,不屬於安全范疇,在此略過,有興趣的朋友可以參閱相關資料。
u RAID 1(鏡像卷)
RAID 1 也被稱為磁碟鏡像技術,它是利用Windows 2 Server的容錯驅動程序(Ftdisk.sys)來實現,採用這種方法,數據被同時寫入兩個磁碟中,如果一個磁碟失敗了,系統將自動用來自另一個磁碟中的數據繼續運行。採用這種方案,磁碟利用率僅有5%。
可以利用鏡像卷保護系統磁碟分區或引導磁碟分區,它具有良好的讀寫性能,比RAID 5 卷使用的內存少。
可以採用磁碟雙工技術更進一步增強鏡像卷的安全性,它不需要附加軟體支持和配置。(磁碟雙工技術:如果用一個磁碟控制器控制兩個物理磁碟,那麼當磁碟控制器發生故障,則兩個磁碟均不能訪問,而磁碟雙工技術是用兩個磁碟控制器控制兩個物理磁碟,當這兩個磁碟組成鏡像卷時更增強了安全性:即使一個磁碟控制器損壞,系統也能工作。)
鏡像卷可以包含任何分區,包括引導磁碟分區或系統磁碟分區,然而,鏡像卷中的兩個磁碟必須都是Windows 2 的動態磁碟。
u RAID 5(帶有奇偶校驗的條帶卷)
在Windows 2 Server中,對於容錯卷,RAID 5是目前運用最廣的一種方法,它至少需要三個驅動器,最多可以多達32個驅動器。Windows 2 通過在RAID-5卷中的各個磁碟分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁碟失敗了,系統可以利用奇偶信息和剩餘磁碟中的數據來重建丟失的數據。
注:RAID-5卷不能保護系統磁碟和引導磁碟分區。
e. 嚴格監控系統啟動的服務
很多木馬或病毒程序都要在系統中創建一個後台服務或進程,我們應該經常檢查系統,一旦發現一些陌生的進程或服務,就要特別注意是否有木馬、病毒或間諜等危險軟體運行。作為網路管理員,經常檢查系統進程和啟動選項是應該養成的一個經常習慣。這里有一個對初級網路管理員的建議:在操作系統和應用程序安裝完成後利用工具軟體(如Windows優化大師等軟體)導出一個系統服務和進程列表,以後經常用現有的服務和進程列表與以前導出的列表進行比較,一旦發現陌生進程或服務就要特別小心了。
2.2.4 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
伺服器允許在伺服器控制台上執行一些如裝載和卸載管理模塊的操作,也可以進行安裝和刪除軟體等操作。網路伺服器的安全控制包括設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定伺服器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。
2.2.5 防火牆控制
防火牆的概念來源於古時候的城堡防衛系統,古代戰爭中為了保護一座城市的安全,通常是在城市周圍挖出一條護城河,每一個進出城堡的人都要通過一個吊橋,吊橋上有守衛把守檢查。在設計現代網路的時候,設計者借鑒了這一思想,設計出了現在我要介紹的網路防火牆技術。
防火牆的基本功能是根據一定的安全規定,檢查、過濾網路之間傳送的報文分組,以確定它們的合法性。它通過在網路邊界上建立起相應的通信監控系統來隔離內外網路,以阻止外部網路的侵入。我們一般是通過一個叫做分組過濾路由器的設備來實現這個功能的,這個路由器也叫做篩選路由器。作為防火牆的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網路層,可以根據網路層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網關的檢查。因此,從協議層次模型的角度看,防火牆應覆蓋網路層、傳輸層與應用層。
其他的你去:http://www.haolw.net/HaoLw/JvJueWeiXie-AnQuanYingYongWindowsXiTong/ 上面都有太多了`我復制不下來``