1.序言
隨著信息全球化的加劇和計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,加上計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、開(kāi)放性、互連性和廣泛性等特點(diǎn),致使現(xiàn)在的電腦和網(wǎng)絡(luò)越來(lái)越弱不禁風(fēng),全球的黑客、間諜、病毒爆炸式的增長(zhǎng),所以網(wǎng)絡(luò)系統(tǒng)中的信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。對(duì)于一些特殊的政府、銀行和軍事網(wǎng)絡(luò)等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言,網(wǎng)上信息的安全和保密工作更為重要。不管是在局域網(wǎng)還是在廣域網(wǎng)中,網(wǎng)絡(luò)安全工作都要全面、細(xì)致,要充分考慮到來(lái)自網(wǎng)內(nèi)網(wǎng)外的各種不同的威脅,并積極采取相應(yīng)措施,這樣才能有力地確保網(wǎng)絡(luò)信息系統(tǒng)的安全和保密。
2.網(wǎng)絡(luò)系統(tǒng)的不安全因素
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的不安全因素按威脅的對(duì)象可以分為三種:一是對(duì)網(wǎng)絡(luò)硬件的威脅,這主要指那些惡意破壞網(wǎng)絡(luò)設(shè)施的行為,如偷竊、無(wú)意或惡意毀損等等;二是對(duì)網(wǎng)絡(luò)軟件的威脅,如病毒、木馬入侵,流量攻擊等等;三是對(duì)網(wǎng)絡(luò)上傳輸或存儲(chǔ)的數(shù)據(jù)進(jìn)行的攻擊,比如修改數(shù)據(jù),解密數(shù)據(jù),刪除破壞數(shù)據(jù)等等。這些威脅有很多很多,可能是無(wú)意的,也可能是有意的,可能是系統(tǒng)本來(lái)就存在的,也可能是我們安裝、配置不當(dāng)造成的,有些威脅甚至?xí)瑫r(shí)破壞我們的軟硬件和存儲(chǔ)的寶貴數(shù)據(jù)。如CIH病毒在破壞數(shù)據(jù)和軟件的同時(shí)還會(huì)破壞系統(tǒng)BIOS,使整個(gè)系統(tǒng)癱瘓。針對(duì)威脅的來(lái)源主要有以下幾方面:
2.1無(wú)意過(guò)失
如管理員安全配置不當(dāng)造成的安全漏洞,有些不需要開(kāi)放的端口沒(méi)有即時(shí)用戶帳戶密碼設(shè)置過(guò)于簡(jiǎn)單,用戶將自己的帳號(hào)密碼輕意泄漏或轉(zhuǎn)告他人,或幾人共享帳號(hào)密碼等,都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。
2.2惡意攻擊
這是我們賴以生存的網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊,它有選擇地破壞信息的有效性和完整性,破壞網(wǎng)絡(luò)的軟硬件系統(tǒng),或制造信息流量使我們的網(wǎng)絡(luò)系統(tǒng)癱瘓;另一類是隱藏攻擊,它是在不影響用戶和系統(tǒng)日常工作的前提下,采取竊取、截獲、破譯和方式獲得機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的外泄或系統(tǒng)癱瘓。
2.3漏洞后門
網(wǎng)絡(luò)操作系統(tǒng)和其他工具、應(yīng)用軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,尤其是我們既愛(ài)又恨的“Windows”系統(tǒng),這些漏洞和缺陷就是病毒和黑客進(jìn)行攻擊的首選通道,無(wú)數(shù)次出現(xiàn)過(guò)的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統(tǒng)的漏洞)造成的重大損失和慘痛教訓(xùn),就是由我們的漏洞所造成的。黑客浸入網(wǎng)絡(luò)的事件,大部分也是利用漏洞進(jìn)行的。“后門”是軟件開(kāi)發(fā)人員為了自己的方便,在軟件開(kāi)發(fā)時(shí)故意為自己設(shè)置的,這在一般情況下沒(méi)有什么問(wèn)題,但是一旦該開(kāi)發(fā)人員有一天想不通要利用利用該“后門”,那么后果就嚴(yán)重了,就算他自己安分守己,但一旦“后門”洞開(kāi)和泄露,其造成的后果將更不堪設(shè)想。
3.計(jì)算機(jī)網(wǎng)絡(luò)的安全策略
3.1 物理安全策略
物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、打印機(jī)等硬件實(shí)體和通信鏈路的物理安全,如采取措施防止自然災(zāi)害、化學(xué)品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由于很多計(jì)算機(jī)系統(tǒng)都有較強(qiáng)的電磁泄漏和輻射,確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境就是我們需要考慮的;另外建立完備的安全管理制度,服務(wù)器應(yīng)該放在安裝了監(jiān)視器的隔離房間內(nèi),并且要保留10天以上的監(jiān)視記錄,另外機(jī)箱、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另外的安全位置,防止未經(jīng)授權(quán)而進(jìn)入計(jì)算機(jī)控制室,防止各種偷竊、竊取和破壞活動(dòng)的發(fā)生。
3.2 訪問(wèn)控制策略
網(wǎng)絡(luò)中所能采用的各種安全策略必須相互配合、相互協(xié)調(diào)才能起到有效的保護(hù)作用,但訪問(wèn)控制策略可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它的主要目的是保證網(wǎng)絡(luò)信息不被非法訪問(wèn)和保證網(wǎng)絡(luò)資源不被非法使用。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。下面我們分述各種訪問(wèn)控制策略。
3.2.1 登陸訪問(wèn)控制
登陸訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。通過(guò)設(shè)置帳號(hào),可以控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)信息和使用資源;通過(guò)設(shè)置帳號(hào)屬性,可以設(shè)置密碼需求條件,控制用戶在哪些時(shí)段能夠登陸到指定域,控制用戶從哪臺(tái)工作站登陸到指定域,設(shè)置用戶帳號(hào)的失效日期。
注:當(dāng)用戶的登錄時(shí)段失效時(shí),到域中網(wǎng)絡(luò)資源的鏈接不會(huì)被終止。然而,該用戶不能再創(chuàng)建到域中其他計(jì)算機(jī)的新鏈接。
用戶的登陸過(guò)程為:首先是用戶名和密碼的識(shí)別與驗(yàn)證、然后是用戶帳號(hào)的登陸限制的檢查。兩個(gè)過(guò)程只要有一個(gè)不成功就不能登陸。
由于用戶名和密碼是對(duì)網(wǎng)絡(luò)用戶的進(jìn)行驗(yàn)證的第一道防線。所以作為網(wǎng)絡(luò)安全工作人員在些就可以采取一系列的措施防止非法訪問(wèn)。
a. 基本的設(shè)置
應(yīng)該限制普通用戶的帳號(hào)使用時(shí)間、方式和權(quán)限。只有系統(tǒng)管理員才能建立用戶帳號(hào)。用戶密碼方面應(yīng)該考慮以下情況:密碼的復(fù)雜情況、最小密碼長(zhǎng)度、密碼的有效期等。應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。應(yīng)對(duì)所有用戶的訪問(wèn)進(jìn)行審計(jì),如果多次輸入口令不正確,則應(yīng)該認(rèn)為是非法入侵,應(yīng)給出報(bào)警信息,并立即停用該帳戶。
b. 認(rèn)真考慮和處理系統(tǒng)內(nèi)置帳號(hào)
建議采取以下措施:i.停用Guest帳號(hào),搞不懂Microsoft為何不允許刪除Guest帳號(hào),但不刪除我們也有辦法:在計(jì)算機(jī)管理的用戶和組里面,把Guest帳號(hào)禁用,任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。如果還不放心,可以給Guest帳號(hào)設(shè)置一個(gè)長(zhǎng)而復(fù)雜的密碼。這里為對(duì)Windows 2000有深入了解的同行提供一個(gè)刪除Guest帳號(hào)的方法:Windows 2000系統(tǒng)的帳號(hào)信息,是存放在注冊(cè)表HKEY_LOCAL_MACHINE/SAM里的,但即使我們的系統(tǒng)管理員也無(wú)法打開(kāi)看到這個(gè)主鍵,這主要也是基于安全的原因,但是“System”帳號(hào)卻有這個(gè)權(quán)限,聰明的讀者應(yīng)該知道怎么辦了吧,對(duì)了,以“SYSTEM”權(quán)限啟動(dòng)注冊(cè)表就可以了,具體方法為:以“AT”命令來(lái)添加一個(gè)計(jì)劃任務(wù)來(lái)啟動(dòng)Regedit.exe程序,然后檢查注冊(cè)表項(xiàng),把帳號(hào)Guest清除掉。首先,看一下時(shí)間 00:30,在“運(yùn)行”對(duì)話框中或“cmd”中運(yùn)行命令:at 0:31 /interactive regedit.exe。這樣啟動(dòng)regedit.exe的身份就是“SYSTEM”了,/interactive的目的是讓運(yùn)行的程序以交互式界面的方式運(yùn)行。一分鐘后regedit.exe程序運(yùn)行了,依次來(lái)到以下位置: HKEY_LOCAL_MACHINE/SAM/Domains/Account/Users,將以下兩個(gè)相關(guān)鍵全部刪掉:一個(gè)是000001F5,一個(gè)是Names下面的Guest。完成后我們可是用以下命令證實(shí)Guest帳號(hào)確實(shí)被刪掉了“net user guest”。ii.系統(tǒng)管理員要擁有兩個(gè)帳號(hào),一個(gè)帳號(hào)是具有管理員權(quán)限,用于系統(tǒng)管理,另一個(gè)帳號(hào)只有一般權(quán)限,用于日常操作。這樣只有在維護(hù)系統(tǒng)或安裝軟件時(shí)才用管理員身份登陸,有利于保障安全。iii.將administrator帳號(hào)改名。Microsoft不允許將administrator帳號(hào)刪除和停用,這樣Microsoft就給Hacker們提供了特別大的幫助,但我們也可將之改名,如改為everyones等看視普通的名字。千萬(wàn)不要改為Admin、Admins等改了等于白改的名字。
c. 設(shè)置欺騙帳號(hào)
這是一個(gè)自我感覺(jué)非常有用的方法:創(chuàng)建一個(gè)名為Administrator的權(quán)限最低的欺騙帳號(hào),密碼設(shè)置相當(dāng)復(fù)雜,既長(zhǎng)又含特殊字符,讓Hacker們使勁破解,也許他破解還沒(méi)有成功我們就已經(jīng)發(fā)現(xiàn)了他的入侵企圖,退一步,即使他破解成功了最后還是會(huì)大失所望的發(fā)現(xiàn)白忙半天。
d. 限制用戶數(shù)量
因?yàn)橛脩魯?shù)量越多,用戶權(quán)限、密碼等設(shè)置的缺陷就會(huì)越多,Hacker們的機(jī)會(huì)和突破口也就越多,刪除臨時(shí)帳號(hào)、測(cè)試帳號(hào)、共享帳號(hào)、普通帳號(hào)、已離職員工帳號(hào)和不再使用的其他帳號(hào)能有效地降低系統(tǒng)缺陷。
e. 禁止系統(tǒng)顯示上次登陸的用戶名
Win9X以上的操作系統(tǒng)對(duì)以前用戶登陸的信息具有記憶功能,下次重啟時(shí),會(huì)在用戶名欄中提示上次用戶的登陸名,這個(gè)信息可能被別有用心的人利用,給系統(tǒng)和用戶造成隱患,我們可以通過(guò)修改注冊(cè)表來(lái)隱藏上次用戶的登陸名。修改方法如下:打開(kāi)注冊(cè)表,展開(kāi)到以下分支:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
在此分支下新建字符串命名為:DontDisplayLastUserName,并把該字符串值設(shè)為:“1”,完成后重新啟動(dòng)計(jì)算機(jī)就不會(huì)顯示上次登錄用戶的名字了。
f. 禁止建立空連接
默認(rèn)情況下,任何用戶通過(guò)空連接連上服務(wù)器后,可能進(jìn)行枚舉帳號(hào),猜測(cè)密碼,我們可以通過(guò)修改注冊(cè)表來(lái)禁止空連接。方法如下:打開(kāi)注冊(cè)表,展開(kāi)到以下分支:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa,然后將該分支下的restrictanonymous的值改為“1”即可。
g. 通過(guò)智能卡登錄
采用便攜式驗(yàn)證器來(lái)驗(yàn)證用戶的身份。如廣泛采用的智能卡驗(yàn)證方式。通過(guò)智能卡登錄到網(wǎng)絡(luò)提供了很強(qiáng)的身份驗(yàn)證方式,因?yàn)椋隍?yàn)證進(jìn)入域的用戶時(shí),這種方式使用了基于加密的身份驗(yàn)證和所有權(quán)證據(jù)。
例如,如果一些別有用心的人得到了用戶的密碼,就可以用該密碼在網(wǎng)絡(luò)上冒稱用戶的身份做一些他自己想做的事情。而現(xiàn)實(shí)中有很多人都選擇相當(dāng)容易記憶的密碼(如姓名、生日、電話號(hào)碼、銀行帳號(hào)、身份證號(hào)碼等),這會(huì)使密碼先天脆弱,很容易受到攻擊。
在使用智能卡的情況下,那些別有用心的人只有在獲得用戶的智能卡和個(gè)人識(shí)別碼 (PIN) 前提下才能假扮用戶。由于需要其它的信息才能假扮用戶,因而這種組合可以減少攻擊的可能性。另一個(gè)好處是連續(xù)幾次輸入錯(cuò)誤的 PIN 后,智能卡將被鎖定,因而使得采用詞典攻擊智能卡非常困難。
3.2.2 資源的權(quán)限管理
資源包括系統(tǒng)的軟硬件以及磁盤上存儲(chǔ)的信息等。我們可以利用Microsoft 在Windows 2000中給我們提供的豐富的權(quán)限管理來(lái)控制用戶對(duì)系統(tǒng)資源的訪問(wèn),從而起到安全管理的目的。
a. 利用組管理對(duì)資源的訪問(wèn)
組是用戶帳號(hào)的集合,利用組而不用單個(gè)的用戶管理對(duì)資源的訪問(wèn)可以簡(jiǎn)化對(duì)網(wǎng)絡(luò)資源的管理。利用組可以一次對(duì)多個(gè)用戶授予權(quán)限,而且在我們對(duì)一個(gè)組設(shè)置一定權(quán)限后,以后要將相同的權(quán)限授予別的組或用戶時(shí)只要將該用戶或組添加進(jìn)該組即可。
如銷售部的成員可以訪問(wèn)產(chǎn)品的成本信息,不能訪問(wèn)公司員工的工資信息,而人事部的員工可以訪問(wèn)員工的工資信息卻不能訪問(wèn)產(chǎn)品成本信息,當(dāng)一個(gè)銷售部的員工調(diào)到人事部后,如果我們的權(quán)限控制是以每個(gè)用戶為單位進(jìn)行控制,則權(quán)限設(shè)置相當(dāng)麻煩而且容易出錯(cuò),如果我們用組進(jìn)行管理則相當(dāng)簡(jiǎn)單,我們只需將該用戶從銷售組中刪除再將之添加進(jìn)人事組即可。
b. 利用NTFS管理數(shù)據(jù)
NTFS文件系統(tǒng)為我們提供了豐富的權(quán)限管理功能,利用了NTFS文件系統(tǒng)就可以在每個(gè)文件或文件夾上對(duì)每個(gè)用戶或組定義諸如讀、寫、列出文件夾內(nèi)容、讀和執(zhí)行、修改、全面控制等權(quán)限,甚至還可以定義一些特殊權(quán)限。NTFS只適用于NTFS磁盤分區(qū),不能用于FAT或FAT32分區(qū)。不管用戶是訪問(wèn)文件還是文件夾,也不管這些文件或文件夾是在計(jì)算機(jī)上還是在網(wǎng)絡(luò)上,NTFS的安全功能都有效。NTFS用訪問(wèn)控制列表(ACL)來(lái)記錄被授予訪問(wèn)該文件或文件夾的所有用戶、帳號(hào)、組、計(jì)算機(jī),還包括他們被授予的訪問(wèn)權(quán)限。注意:要正確和熟練地使用NTFS控制權(quán)限的分配必須深入了解NTFS權(quán)限的特點(diǎn)、繼承性、“拒絕”權(quán)限的特性以及文件和文件夾在復(fù)制和移動(dòng)后的結(jié)果。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)系統(tǒng)地考慮用戶的工作情況并將各種權(quán)限進(jìn)行有效的組合,然后授予用戶。各種權(quán)限的有效組合可以讓用戶方便地完成工作,同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn),從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。
3.2.3 網(wǎng)絡(luò)服務(wù)器安全控制
網(wǎng)絡(luò)服務(wù)器是我們網(wǎng)絡(luò)的心臟,保護(hù)網(wǎng)絡(luò)服務(wù)器的安全是我們安全工作的首要任務(wù),沒(méi)有服務(wù)器的安全就沒(méi)有網(wǎng)絡(luò)的安全。為了有效地保護(hù)服務(wù)器的安全,我們必須從以下幾個(gè)方面開(kāi)展工作。
a. 嚴(yán)格服務(wù)器權(quán)限管理
由于服務(wù)器的重要地位,我們必須認(rèn)真分析和評(píng)估需要在服務(wù)器上工作的用戶的工作內(nèi)容和工作性質(zhì),根據(jù)其工作特點(diǎn)授予適當(dāng)?shù)臋?quán)限,這些權(quán)限要保證該用戶能夠順利地完成工作,但也決不要多給他一點(diǎn)權(quán)限(即使充分相信他不會(huì)破壞也要考慮他的誤操作),同時(shí)刪除一些不用的和沒(méi)有必要存在的用戶和組(如員工調(diào)動(dòng)部門或辭退等)。根據(jù)情況限制或禁止遠(yuǎn)程管理,限制遠(yuǎn)程訪問(wèn)權(quán)限等也是網(wǎng)絡(luò)安全工作者必需考慮的工作。
b. 嚴(yán)格執(zhí)行備份操作
作為一個(gè)網(wǎng)絡(luò)管理員,由于磁盤驅(qū)動(dòng)器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災(zāi)害等原因造成數(shù)據(jù)丟失是最為常見(jiàn)的事情。為了保證系統(tǒng)能夠從災(zāi)難中以最快的速度恢復(fù)工作,最大化地降低停機(jī)時(shí)間,最大程度地挽救數(shù)據(jù),備份是一個(gè)最為簡(jiǎn)單和可靠的方法。Windows 2000 集成了一個(gè)功能強(qiáng)大的圖形化備份實(shí)用程序。它專門為防止由于硬件或存儲(chǔ)媒體發(fā)生故障而造成數(shù)據(jù)丟失而設(shè)計(jì)的。它提供了五個(gè)備份類型:普通、副本、差異、增量和每日,我們根據(jù)備份所耗時(shí)間和空間可以靈活安排這五種備份類型來(lái)達(dá)到我們的目的。
警告:對(duì)于從Windows 2000 NTFS卷中備份的數(shù)據(jù),必須將之還原到一個(gè)Windows 2000 NTFS卷中,這樣可以避免數(shù)據(jù)丟失,同時(shí)能夠保留訪問(wèn)權(quán)限、加密文件系統(tǒng)(Encrypting File System)設(shè)置信息、磁盤限額信息等。如果將之還原到了FAT文件系統(tǒng)中,將丟失所有加密數(shù)據(jù),同時(shí)文件不可讀。
c. 嚴(yán)格起用備用服務(wù)器
對(duì)于一些非常重要的服務(wù)器,如域控制器、橋頭服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、WINS服務(wù)器等擔(dān)負(fù)網(wǎng)絡(luò)重要功能的服務(wù)器,也包括那些一旦癱瘓就要嚴(yán)重影響公司業(yè)務(wù)的應(yīng)用程序服務(wù)器,我們應(yīng)該不惜成本建立備份機(jī)制,這樣即使某個(gè)服務(wù)器發(fā)生故障,對(duì)我們的工作也不會(huì)造成太大的影響。我們也可以利用Windows 2000 Advance Server的集群功能使用兩個(gè)或兩個(gè)以上的服務(wù)器,這樣不但可以起到備用的作用,同時(shí)也能很好地提高服務(wù)性能。
d. 使用RAID實(shí)現(xiàn)容錯(cuò)功能
使用RAID有軟件和硬件的方法,究竟采用哪種要考慮以下一些因素:
硬件容錯(cuò)功能比軟件容錯(cuò)功能速度快。
硬件容錯(cuò)功能比軟件容錯(cuò)功能成本高。
硬件容錯(cuò)功能可能被廠商限制只能使用單一廠商的設(shè)備。
硬件容錯(cuò)功能可以實(shí)現(xiàn)硬盤熱交換技術(shù),因此可以在不關(guān)機(jī)的情況下更換失敗的硬盤。
硬件容錯(cuò)功能可以采用高速緩存技術(shù)改善性能。
Microsoft Windows 2000 Server支持三種類型的軟件RAID,在此作一些簡(jiǎn)單描述:
u RAID 0(條帶卷)
RAID 0 也被稱為磁盤條帶技術(shù),它主要用于提高性能,不屬于安全范疇,在此略過(guò),有興趣的朋友可以參閱相關(guān)資料。
u RAID 1(鏡像卷)
RAID 1 也被稱為磁盤鏡像技術(shù),它是利用Windows 2000 Server的容錯(cuò)驅(qū)動(dòng)程序(Ftdisk.sys)來(lái)實(shí)現(xiàn),采用這種方法,數(shù)據(jù)被同時(shí)寫入兩個(gè)磁盤中,如果一個(gè)磁盤失敗了,系統(tǒng)將自動(dòng)用來(lái)自另一個(gè)磁盤中的數(shù)據(jù)繼續(xù)運(yùn)行。采用這種方案,磁盤利用率僅有50%。
可以利用鏡像卷保護(hù)系統(tǒng)磁盤分區(qū)或引導(dǎo)磁盤分區(qū),它具有良好的讀寫性能,比RAID 5 卷使用的內(nèi)存少。
可以采用磁盤雙工技術(shù)更進(jìn)一步增強(qiáng)鏡像卷的安全性,它不需要附加軟件支持和配置。(磁盤雙工技術(shù):如果用一個(gè)磁盤控制器控制兩個(gè)物理磁盤,那么當(dāng)磁盤控制器發(fā)生故障,則兩個(gè)磁盤均不能訪問(wèn),而磁盤雙工技術(shù)是用兩個(gè)磁盤控制器控制兩個(gè)物理磁盤,當(dāng)這兩個(gè)磁盤組成鏡像卷時(shí)更增強(qiáng)了安全性:即使一個(gè)磁盤控制器損壞,系統(tǒng)也能工作。)
鏡像卷可以包含任何分區(qū),包括引導(dǎo)磁盤分區(qū)或系統(tǒng)磁盤分區(qū),然而,鏡像卷中的兩個(gè)磁盤必須都是Windows 2000 的動(dòng)態(tài)磁盤。
u RAID 5(帶有奇偶校驗(yàn)的條帶卷)
在Windows 2000 Server中,對(duì)于容錯(cuò)卷,RAID 5是目前運(yùn)用最廣的一種方法,它至少需要三個(gè)驅(qū)動(dòng)器,最多可以多達(dá)32個(gè)驅(qū)動(dòng)器。Windows 2000 通過(guò)在RAID-5卷中的各個(gè)磁盤分區(qū)中添加奇偶校檢翻譯片來(lái)實(shí)現(xiàn)容錯(cuò)功能。如果單個(gè)磁盤失敗了,系統(tǒng)可以利用奇偶信息和剩余磁盤中的數(shù)據(jù)來(lái)重建丟失的數(shù)據(jù)。
注:RAID-5卷不能保護(hù)系統(tǒng)磁盤和引導(dǎo)磁盤分區(qū)。
e. 嚴(yán)格監(jiān)控系統(tǒng)啟動(dòng)的服務(wù)
很多木馬或病毒程序都要在系統(tǒng)中創(chuàng)建一個(gè)后臺(tái)服務(wù)或進(jìn)程,我們應(yīng)該經(jīng)常檢查系統(tǒng),一旦發(fā)現(xiàn)一些陌生的進(jìn)程或服務(wù),就要特別注意是否有木馬、病毒或間諜等危險(xiǎn)軟件運(yùn)行。作為網(wǎng)絡(luò)管理員,經(jīng)常檢查系統(tǒng)進(jìn)程和啟動(dòng)選項(xiàng)是應(yīng)該養(yǎng)成的一個(gè)經(jīng)常習(xí)慣。這里有一個(gè)對(duì)初級(jí)網(wǎng)絡(luò)管理員的建議:在操作系統(tǒng)和應(yīng)用程序安裝完成后利用工具軟件(如Windows優(yōu)化大師等軟件)導(dǎo)出一個(gè)系統(tǒng)服務(wù)和進(jìn)程列表,以后經(jīng)常用現(xiàn)有的服務(wù)和進(jìn)程列表與以前導(dǎo)出的列表進(jìn)行比較,一旦發(fā)現(xiàn)陌生進(jìn)程或服務(wù)就要特別小心了。
3.2.4 網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制
網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn),對(duì)非法的網(wǎng)絡(luò)訪問(wèn),服務(wù)器應(yīng)以圖形、文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò),網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù),如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值,那么該帳戶將被自動(dòng)鎖定。
服務(wù)器允許在服務(wù)器控制臺(tái)上執(zhí)行一些如裝載和卸載管理模塊的操作,也可以進(jìn)行安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺(tái),以防止非法用戶修改、刪除重要服務(wù)組件或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時(shí)間和時(shí)長(zhǎng)、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。
3.2.5 防火墻控制
防火墻的概念來(lái)源于古時(shí)候的城堡防衛(wèi)系統(tǒng),古代戰(zhàn)爭(zhēng)中為了保護(hù)一座城市的安全,通常是在城市周圍挖出一條護(hù)城河,每一個(gè)進(jìn)出城堡的人都要通過(guò)一個(gè)吊橋,吊橋上有守衛(wèi)把守檢查。在設(shè)計(jì)現(xiàn)代網(wǎng)絡(luò)的時(shí)候,設(shè)計(jì)者借鑒了這一思想,設(shè)計(jì)出了現(xiàn)在我要介紹的網(wǎng)絡(luò)防火墻技術(shù)。
防火墻的基本功能是根據(jù)一定的安全規(guī)定,檢查、過(guò)濾網(wǎng)絡(luò)之間傳送的報(bào)文分組,以確定它們的合法性。它通過(guò)在網(wǎng)絡(luò)邊界上建立起相應(yīng)的通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)外網(wǎng)絡(luò),以阻止外部網(wǎng)絡(luò)的侵入。我們一般是通過(guò)一個(gè)叫做分組過(guò)濾路由器的設(shè)備來(lái)實(shí)現(xiàn)這個(gè)功能的,這個(gè)路由器也叫做篩選路由器。作為防火墻的路由器與普通路由器在工作機(jī)理上有較大的不同。普通路由器工作在網(wǎng)絡(luò)層,可以根據(jù)網(wǎng)絡(luò)層分組的ip地址決定分組的路由;而分組過(guò)濾路由器要對(duì)IP地址、TCP或UDP分組頭進(jìn)行檢查與過(guò)濾。通過(guò)分組過(guò)濾路由器檢查過(guò)的報(bào)文還要進(jìn)一步接受應(yīng)用網(wǎng)關(guān)的檢查。因此,從協(xié)議層次模型的角度看,防火墻應(yīng)覆蓋網(wǎng)絡(luò)層、傳輸層與應(yīng)用層。
4.信息加密策略
加密是我們?cè)?Intranet、Extranet 和 Internet上進(jìn)行信息交換的安全基礎(chǔ)。加密主要用在三個(gè)地方:(1)、身份驗(yàn)證,主要是使收件人確信發(fā)件人就是他或她所期望的那個(gè)人,而不是別人冒名;(2)、機(jī)密性,主要是確保只有預(yù)期的收件人才能夠閱讀所傳遞的信息;(3)、完整性,主要是確保郵件在傳輸過(guò)程中沒(méi)有發(fā)生不期望的更改。從加密的原理來(lái)看,加密是利用數(shù)學(xué)方法將信息轉(zhuǎn)換為不可讀格式從而達(dá)到保護(hù)數(shù)據(jù)的目的的一門科學(xué)。
如果按照收發(fā)雙方密鑰是否相同來(lái)分類,可以將加密分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。
4.1對(duì)稱加密:一個(gè)密鑰
也叫做機(jī)密密鑰加密或共享密鑰加密,發(fā)件人和收件人共用同一個(gè)密鑰,這個(gè)密鑰叫做機(jī)密密鑰(也稱為對(duì)稱密鑰或會(huì)話密鑰),它既用于加密,也用于解密。由于對(duì)稱密鑰加密在加密和解密時(shí)使用相同的密鑰,所以這種加密過(guò)程的安全性取決于是否有未經(jīng)授權(quán)的人獲得了對(duì)稱密鑰。希望使用對(duì)稱密鑰加密通信的雙方,在交換加密數(shù)據(jù)之前必須先安全地交換密鑰。
對(duì)稱密鑰加密速度較快,主要用于加密大量數(shù)據(jù)。對(duì)稱密鑰加密的算法有許多種,都用可還原的方式將明文(未加密的數(shù)據(jù))轉(zhuǎn)換為暗文。暗文使用加密密鑰編碼,對(duì)于沒(méi)有解密密鑰的任何人來(lái)說(shuō)它都是一堆毫無(wú)意義的亂碼。
對(duì)稱算法可靠與否的關(guān)鍵是其密鑰的長(zhǎng)度和復(fù)雜性。密鑰越長(zhǎng),在采用枚舉法破解密碼的時(shí)候需要測(cè)試的數(shù)據(jù)量就越多,所需要的時(shí)間也就越長(zhǎng)。同樣,密鑰越復(fù)雜(也就是說(shuō)密鑰包含的字符類型多)所需要測(cè)試的數(shù)據(jù)量也越大,時(shí)間也就越長(zhǎng),破解這種算法就越困難。有了好的加密算法和足夠長(zhǎng)而復(fù)雜的密鑰,如果有人想在一段實(shí)際可行的時(shí)間內(nèi)逆轉(zhuǎn)轉(zhuǎn)換過(guò)程,并從暗文中推導(dǎo)出明文,從計(jì)算的角度來(lái)講,這種做法是行不通的。
4.2公鑰加密:兩個(gè)密鑰
公鑰加密(也叫做不對(duì)稱密鑰)使用兩個(gè)數(shù)學(xué)上是相關(guān)聯(lián)的密鑰——一個(gè)私鑰和一個(gè)公鑰。在公鑰加密中,公鑰可在通信雙方之間公開(kāi)傳遞,甚至對(duì)外發(fā)布,但相關(guān)的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數(shù)據(jù)。使用私鑰加密的數(shù)據(jù)只能用公鑰解密。
公鑰加密與對(duì)稱密鑰加密一樣,同樣有許多算法。公鑰算法是復(fù)雜的數(shù)學(xué)方程式,使用了非常大的數(shù)字,因而這種加密方式的速度相對(duì)較低,所以它一般僅在關(guān)鍵時(shí)候才使用公鑰算法,如在交換對(duì)稱密鑰或進(jìn)行數(shù)字簽名時(shí)使用。
5.日志文件的重要性
Windows網(wǎng)絡(luò)操作系統(tǒng)都設(shè)計(jì)有各種各樣的日志文件,如應(yīng)用程序日志,安全日志、系統(tǒng)日志、Scheduler服務(wù)日志、FTP日志、WWW日志、DNS服務(wù)器日志等等,這些根據(jù)你的系統(tǒng)開(kāi)啟的服務(wù)的不同而有所不同。我們?cè)谙到y(tǒng)上進(jìn)行一些操作時(shí),這些日志文件通常會(huì)記錄下我們操作的一些相關(guān)內(nèi)容,這些內(nèi)容對(duì)系統(tǒng)安全工作人員相當(dāng)有用。比如說(shuō)有人對(duì)系統(tǒng)進(jìn)行了IPC探測(cè),系統(tǒng)就會(huì)在安全日志里迅速地記下探測(cè)者探測(cè)時(shí)所用的IP、時(shí)間、用戶名等,用FTP探測(cè)后,就會(huì)在FTP日志中記下IP、時(shí)間、探測(cè)所用的用戶名等。甚至你的系統(tǒng)里什么時(shí)候啟動(dòng)或停止了某項(xiàng)服務(wù),日志文件里也會(huì)有相關(guān)情況的記錄。而優(yōu)秀的黑客們?cè)诟杀M壞事后往往會(huì)刪除對(duì)他(她)有記錄的日志。所以保護(hù)日志文件的安全也相關(guān)重要。
日志文件默認(rèn)位置:
安全日志文件:%systemroot%/system32/config/SecEvent.EVT,默認(rèn)文件大小512KB;
系統(tǒng)日志文件:%systemroot%/system32/config/SysEvent.EVT,默認(rèn)文件大小512KB;
應(yīng)用程序日志文件:%systemroot%/system32/config/AppEvent.EVT,默認(rèn)文件大小512KB;
DNS日志文件:%systemroot%/system32/config/DnsEvent.EVT,默認(rèn)文件大小512KB;
WWW日志默認(rèn)位置:%systemroot%/system32/logfiles/w3svc1/,默認(rèn)每天一個(gè)日志;
FTP日志默認(rèn)位置:%systemroot%/system32/logfiles/msftpsvc1/,默認(rèn)每天一個(gè)日志;
Scheduler服務(wù)日志默認(rèn)位置:%systemroot%/schedlgu.txt。
上面提及的日志在注冊(cè)表里均有相應(yīng)的鍵,我們可以在注冊(cè)表中找到日志文件的相關(guān)設(shè)置。
應(yīng)用程序日志,安全日志,系統(tǒng)日志,DNS日志在注冊(cè)表中的位置是:
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/Eventlog
為了保護(hù)日志文件的安全,管理員將日志文件重定向是相當(dāng)有必要的,我們可以在這里看到重定向的目錄。
Scheduler服務(wù)日志在注冊(cè)表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
由于日志文件在管理員了解網(wǎng)絡(luò)潛在危險(xiǎn)中起了舉足輕重的作用,所以作為網(wǎng)絡(luò)安全管理員,我們要養(yǎng)成經(jīng)常查看日志文件的習(xí)慣,同時(shí)要采取切實(shí)可行的方法保障這些文件的安全,如:注意保護(hù)系統(tǒng)管理員帳戶安全,對(duì)日志文件重定向等等。
6.其他修改注冊(cè)表來(lái)提高安全性的技巧
為了有效地保障網(wǎng)絡(luò)系統(tǒng)的安全和可靠,我們還可以對(duì)注冊(cè)表做一些必要的修改以保證安全。修改注冊(cè)表來(lái)完善我們的安全系統(tǒng)涉及的地方很多,這里只列舉很少的一部分,大家有興趣可以參閱相關(guān)的資料。
(1) 隱藏一個(gè)服務(wù)器
為了保證網(wǎng)絡(luò)中的服務(wù)器不被末授權(quán)的訪問(wèn)、更改和非法攻擊,從安全的角度出發(fā),有時(shí)需要把網(wǎng)絡(luò)中指定的服務(wù)器名稱隱藏起來(lái),以便讓其他網(wǎng)絡(luò)用戶無(wú)法訪問(wèn)。修改注冊(cè)表的方法是:
1、打開(kāi)注冊(cè)表編輯器,來(lái)到下面分支:HKEY_LOCAL_ MACHINE / SYSTEM / CurrentControlSet /Services / LanmanServer / Parameters鍵值;
2、用鼠標(biāo)單擊該鍵值下面的Hidden數(shù)值名稱,如果未發(fā)現(xiàn)此名稱,那么添加一個(gè),其數(shù)據(jù)類型為REG_DWord,值設(shè)為1;
3、重新啟動(dòng)計(jì)算機(jī)后就可以在網(wǎng)絡(luò)中隱藏一個(gè)服務(wù)器了。
(2) 阻止非法修改注冊(cè)表
注冊(cè)表是整個(gè)系統(tǒng)的靈魂,任何對(duì)注冊(cè)表的錯(cuò)誤修改都有可能導(dǎo)致整個(gè)系統(tǒng)癱瘓。因此,阻止注冊(cè)表被惡意或無(wú)意修改,是我們安全工作者必須要考慮的問(wèn)題。我們可以通過(guò)修改注冊(cè)表來(lái)達(dá)到阻止修改的目的。
1、在注冊(cè)表編輯器中,來(lái)到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/鍵值;
2、在Policies鍵值的下面新建一個(gè)System主鍵,如果該主鍵已經(jīng)存在,進(jìn)行下一步操作;
3、在System主鍵右邊窗口的空白處新建一個(gè)名為DisableRegistryTools的 DWORD串值,并將其值設(shè)為1;
4、重啟系統(tǒng)就達(dá)到了防止其他人非法編輯注冊(cè)表的目的。
(3) 屏蔽“控制面板”的訪問(wèn)
我們可以利用系統(tǒng)自帶的控制面板進(jìn)行許多的系統(tǒng)軟硬件設(shè)置工作,因此防止他人隨意利用控制面板對(duì)Windows系統(tǒng)進(jìn)行非法修改也是很有必要的,要達(dá)到這個(gè)目的,我們也可對(duì)注冊(cè)表進(jìn)行修改:
1、首先在注冊(cè)表中來(lái)到以下分支:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System鍵值;
2、隨后在對(duì)應(yīng)System鍵值的右邊窗口中,用鼠標(biāo)右鍵單擊該窗口的空白處,并從彈出的快捷菜單中選擇“新建”/“DWORD”命令,來(lái)新建一個(gè)DWORD值;
3、把DWORD值的名稱命名為NoDispCPL,設(shè)置NoDispCPL的值為1。
(4) 將用戶登錄名隱藏
Win9x以后的操作系統(tǒng)對(duì)以前用戶登錄的信息具有記憶功能,當(dāng)重新啟動(dòng)系統(tǒng)時(shí),系統(tǒng)默認(rèn)會(huì)在用戶名欄中顯示上次用戶的登錄名,這個(gè)信息可能會(huì)被一些非法分子利用,造成系統(tǒng)隱患。我們可以通過(guò)設(shè)置注冊(cè)表將上次用戶的登錄名隱藏。
1、打開(kāi)注冊(cè)表編輯器,并在編輯器中依次展開(kāi)以下鍵值:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon;
2、在Winlogon鍵值右邊的窗口中, “新建”/“字符串”;
3、給新建字符串命名為"DontDisplayLastUserName",并把該字符串值設(shè)置為"1";
4、設(shè)置完后,重新啟動(dòng)計(jì)算機(jī)就可以隱藏上機(jī)用戶登錄的名字了。
(5) 禁止用戶撥號(hào)訪問(wèn)
如果用戶的計(jì)算機(jī)上面有重要的信息,有可能不允許其他人隨便訪問(wèn)。那么如何禁止其他人撥入訪問(wèn)你的計(jì)算機(jī),減少安全隱患呢,具體步驟為:
1、打開(kāi)注冊(cè)表編輯器,并在編輯器中依次展開(kāi)以下鍵值: [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Network];
2、在編輯器右邊的列表中用選擇“NoDialIn”鍵值,如果沒(méi)有,則新建一個(gè)DWORD值,名稱設(shè)置為“NoDialIn”;
3、接著用鼠標(biāo)雙擊“NoDialIn”鍵值,編輯器就會(huì)彈出一個(gè)名為“字符串編輯器”的對(duì)話框,在該對(duì)話框的文本欄中輸入數(shù)值“1”,其中1代表允許撥入訪問(wèn)功能,0代表禁止撥入訪問(wèn)功能;
4、退出后重新登錄網(wǎng)絡(luò),上述設(shè)置就會(huì)起作用。
(6) 屏蔽對(duì)軟盤的網(wǎng)絡(luò)訪問(wèn)
病毒有很多都是通過(guò)訪問(wèn)染毒軟盤而被感染得來(lái)的,如果我們?cè)试S用戶通過(guò)網(wǎng)絡(luò)來(lái)訪問(wèn)軟盤的話,那么整個(gè)網(wǎng)絡(luò)都有可能被感染病毒,最終將會(huì)使網(wǎng)絡(luò)中的所有計(jì)算機(jī)都中毒癱瘓。為了防止病毒入侵整個(gè)網(wǎng)絡(luò),我們必須嚴(yán)格管理計(jì)算機(jī)的輸入設(shè)備,以斷絕病毒的源頭,我們可以通過(guò)設(shè)置注冊(cè)表來(lái)限制通過(guò)網(wǎng)絡(luò)訪問(wèn)軟盤。
1、打開(kāi)注冊(cè)表編輯器,并在編輯器中依次展開(kāi)以下鍵值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon;
3、在對(duì)應(yīng)Winlogon右邊的窗口中,看看有沒(méi)有包含鍵值A(chǔ)llocateFloppies,如果沒(méi)有,用鼠標(biāo)右鍵單擊窗口的空白處,從彈出的快捷菜單中選擇“新建”/“DWORD值”;
4、把新建的DWORD值取名為AllocateFloppies,同時(shí)把它的值修改為0或1,其中0代表可被域內(nèi)所有管理員訪問(wèn),1代表僅可被當(dāng)?shù)氐顷懻咴L問(wèn)。
(7) 隱藏網(wǎng)上鄰居
通過(guò)網(wǎng)上鄰居我們可以訪問(wèn)到局域網(wǎng)中其他的計(jì)算機(jī),如果其他計(jì)算機(jī)沒(méi)有設(shè)置特別的訪問(wèn)權(quán)限的話,那么我們就可以干任何我們想干的事,為了保護(hù)局網(wǎng)中其他計(jì)算機(jī)上的數(shù)據(jù)安全,我們可以利用注冊(cè)表來(lái)隱藏“網(wǎng)上鄰居”。
1、打開(kāi)注冊(cè)表編輯器,并在編輯器中依次展開(kāi)以下鍵值:HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer;
2、在對(duì)應(yīng)Explorer鍵值右邊的窗口中,用鼠標(biāo)單擊窗口的空白處,從彈出的快捷菜單中,用鼠標(biāo)依次訪問(wèn)“新建”/“DWORD串值”;
3、將新建的DWORD串值命名為NoNetHood,同時(shí)把該值設(shè)置為1(十六進(jìn)制);
4、設(shè)置好后,重新啟動(dòng)計(jì)算機(jī)就可以使設(shè)置生效了。
(8) 限制用戶使用指定程序
為防止用戶非法運(yùn)行或者修改程序,我們可以通過(guò)修改注冊(cè)表來(lái)讓用戶只能運(yùn)行指定的程序,從而保證系統(tǒng)安全。
1、在注冊(cè)表編輯器窗口中依次打開(kāi)HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer鍵值;
2、在對(duì)應(yīng)Explorer鍵值右邊的窗口中,新建一個(gè)DWORD串值,名字取為“RestrictRun”,把它的值設(shè)為“1”;
3、在RestrictRun的主鍵下分別添加名為“1”、“2”、“3”等字符串值,然后將“1”,“2”、“3”等字符串的值設(shè)置為我們?cè)试S用戶使用的程序名,樣,用戶就只能使用指定的程序了。
7.結(jié)束語(yǔ)
隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的融合和發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)將日益成為商業(yè)、工業(yè)、農(nóng)業(yè)和國(guó)防等方面的重要信息存儲(chǔ)和交換手段,滲透到社會(huì)生活的各個(gè)領(lǐng)域。我們一定要認(rèn)清網(wǎng)絡(luò)的脆弱性和看到網(wǎng)絡(luò)潛在威脅,并采取強(qiáng)有力的安全策略,保障網(wǎng)絡(luò)的安全性,這對(duì)于維護(hù)社會(huì)、經(jīng)濟(jì)穩(wěn)定和國(guó)家安全都將起著重要作用。
新聞熱點(diǎn)
疑難解答
圖片精選
