1.序言 隨著信息全球化的加劇和計算機網絡的不斷發展,加上計算機網絡的多樣性、開放性、互連性和廣泛性等特點,,致使現在的電腦和網絡越來越弱不禁風,全球的黑客、間諜、病毒爆炸式的增長,所以網絡系統中的信息的安全和保密是一個至關重要的問題。對於一些特殊的政府、銀行和軍事網絡等傳輸敏感數據的計算機網絡系統而言,網上信息的安全和保密工作更為重要。不管是在局域網還是在廣域網中,網絡安全工作都要全面、細致,要充分考慮到來自網內網外的各種不同的威脅,並積極采取相應措施,這樣才能有力地確保網絡信息系統的安全和保密。 2.網絡系統的不安全因素 計算機網絡系統的不安全因素按威脅的對象可以分為三種:一是對網絡硬件的威脅,這主要指那些惡意破壞網絡設施的行為,如偷竊、無意或惡意毀損等等;二是對網絡軟件的威脅,如病毒、木馬入侵,流量攻擊等等;三是對網絡上傳輸或存儲的數據進行的攻擊,比如修改數據,解密數據,刪除破壞數據等等。這些威脅有很多很多,可能是無意的,也可能是有意的,可能是系統本來就存在的,也可能是我們安裝、配置不當造成的,有些威脅甚至會同時破壞我們的軟硬件和存儲的寶貴數據。如CIH病毒在破壞數據和軟件的同時還會破壞系統BIOS,使整個系統癱瘓。針對威脅的來源主要有以下幾方面: 2.1無意過失 如管理員安全配置不當造成的安全漏洞,有些不需要開放的端口沒有即時用戶帳戶密碼設置過於簡單,用戶將自己的帳號密碼輕意洩漏或轉告他人,或幾人共享帳號密碼等,都會對網絡安全帶來威脅。 2.2惡意攻擊 這是我們賴以生存的網絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊,它有選擇地破壞信息的有效性和完整性,破壞網絡的軟硬件系統,或制造信息流量使我們的網絡系統癱瘓;另一類是隱藏攻擊,它是在不影響用戶和系統日常工作的前提下,采取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網絡系統造成極大的危害,並導致機密數據的外洩或系統癱瘓。 2.3漏洞後門 網絡操作系統和其他工具、應用軟件不可能是百分之百的無缺陷和無漏洞的,尤其是我們既愛又恨的“Windows”系統,這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道,無數次出現過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統的漏洞)造成的重大損失和慘痛教訓,就是由我們的漏洞所造成的。黑客浸入網絡的事件,大部分也是利用漏洞進行的。“後門”是軟件開發人員為了自己的方便,在軟件開發時故意為自己設置的,這在一般情況下沒有什麼問題,但是一旦該開發人員有一天想不通要利用利用該“後門”,那麼後果就嚴重了,就算他自己安分守己,但一旦“後門”洞開和洩露,其造成的後果將更不堪設想。 3.計算機網絡的安全策略 3.1 物理安全策略 物理安全策略的目的是保護計算機系統、服務器、網絡設備、打印機等硬件實體和通信鏈路的物理安全,如采取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由於很多計算機系統都有較強的電磁洩漏和輻射,確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度,服務器應該放在安裝了監視器的隔離房間內,並且要保留10天以上的監視記錄,另外機箱、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另外的安全位置,防止未經授權而進入計算機控制室,防止各種偷竊、竊取和破壞活動的發生。 3.2 訪問控制策略 網絡中所能采用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用,但訪問控制策略可以說是保證網絡安全最重要的核心策略之一。它的主要目的是保證網絡信息不被非法訪問和保證網絡資源不被非法使用。它也是維護網絡系統安全、保護網絡資源的重要手段。下面我們分述各種訪問控制策略。 3.2.1 登陸訪問控制 登陸訪問控制為網絡訪問提供了第一層訪問控制。通過設置帳號,可以控制哪些用戶能夠登錄到服務器並獲取網絡信息和使用資源;通過設置帳號屬性,可以設置密碼需求條件,控制用戶在哪些時段能夠登陸到指定域,控制用戶從哪台工作站登陸到指定域,設置用戶帳號的失效日期。 注:當用戶的登錄時段失效時,到域中網絡資源的鏈接不會被終止。然而,該用戶不能再創建到域中其他計算機的新鏈接。 用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然後是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。 由於用戶名和密碼是對網絡用戶的進行驗證的第一道防線。所以作為網絡安全工作人員在些就可以采取一系列的措施防止非法訪問。 a. 基本的設置 應該限制普通用戶的帳號使用時間、方式和權限。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計,如果多次輸入口令不正確,則應該認為是非法入侵,應給出報警信息,並立即停用該帳戶。 b. 認真考慮和處理系統內置帳號 建議采取以下措施:i.停用Guest帳號,搞不懂Microsoft為何不允許刪除Guest帳號,但不刪除我們也有辦法:在計算機管理的用戶和組裡面,把Guest帳號禁用,任何時候都不允許Guest帳號登陸系統。如果還不放心,可以給Guest帳號設置一個長而復雜的密碼。這裡為對Windows 2000有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2000系統的帳號信息,是存放在注冊表HKEY_LOCAL_MACHINE\SAM裡的,但即使我們的系統管理員也無法打開看到這個主鍵,這主要也是基於安全的原因,但是“System”帳號卻有這個權限,聰明的讀者應該知道怎麼辦了吧,對了,以“SYSTEM”權限啟動注冊表就可以了,具體方法為:以“AT”命令來添加一個計劃任務來啟動Regedit.exe程序,然後檢查注冊表項,把帳號Guest清除掉。首先,看一下時間 00:30,在“運行”對話框中或“cmd”中運行命令:at 0:31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是“SYSTEM”了,/interactive的目的是讓運行的程序以交互式界面的方式運行。一分鐘後regedit.exe程序運行了,依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,將以下兩個相關鍵全部刪掉:一個是000001F5,一個是Names下面的Guest。完成後我們可是用以下命令證實Guest帳號確實被刪掉了“net user guest”。ii.系統管理員要擁有兩個帳號,一個帳號是具有管理員權限,用於系統管理,另一個帳號只有一般權限,用於日常操作。這樣只有在維護系統或安裝軟件時才用管理員身份登陸,有利於保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用,這樣Microsoft就給Hacker們提供了特別大的幫助,但我們也可將之改名,如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等於白改的名字。
c. 設置欺騙帳號 這是一個自我感覺非常有用的方法:創建一個名為Administrator的權限最低的欺騙帳號,密碼設置相當復雜,既長又含特殊字符,讓Hacker們使勁破解,也許他破解還沒有成功我們就已經發現了他的入侵企圖,退一步,即使他破解成功了最後還是會大失所望的發現白忙半天。 d. 限制用戶數量 因為用戶數量越多,用戶權限、密碼等設置的缺陷就會越多,Hacker們的機會和突破口也就越多,刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。 e. 禁止系統顯示上次登陸的用戶名 Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能,下次重啟時,會在用戶名欄中提示上次用戶的登陸名,這個信息可能被別有用心的人利用,給系統和用戶造成隱患,我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表,展開到以下分支: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 在此分支下新建字符串命名為:DontDisplayLastUserName,並把該字符串值設為:“1”,完成後重新啟動計算機就不會顯示上次登錄用戶的名字了。 f. 禁止建立空連接 默認情況下,任何用戶通過空連接連上服務器後,可能進行枚舉帳號,猜測密碼,我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表,展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然後將該分支下的restrictanonymous的值改為“1”即可。 g. 通過智能卡登錄 采用便攜式驗證器來驗證用戶的身份。如廣泛采用的智能卡驗證方式。通過智能卡登錄到網絡提供了很強的身份驗證方式,因為,在驗證進入域的用戶時,這種方式使用了基於加密的身份驗證和所有權證據。 例如,如果一些別有用心的人得到了用戶的密碼,就可以用該密碼在網絡上冒稱用戶的身份做一些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等),這會使密碼先天脆弱,很容易受到攻擊。 在使用智能卡的情況下,那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由於需要其它的信息才能假扮用戶,因而這種組合可以減少攻擊
