網(wǎng)絡(luò)安全管理知識(shí)江蘇省農(nóng)民培訓(xùn)工程講義江蘇畜牧獸醫(yī)職業(yè)技術(shù)學(xué)院陳斌內(nèi)容提要研究網(wǎng)絡(luò)安全社會(huì)意義研究網(wǎng)絡(luò)安全的必要性。主要介紹網(wǎng)絡(luò)安全研究的體系。計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)法規(guī)。介紹瑞星殺毒、防火墻軟件的安裝與使用。介紹農(nóng)民培訓(xùn)網(wǎng)的信息管理。一、研究網(wǎng)絡(luò)安全的社會(huì)意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國(guó)家的經(jīng)濟(jì)、軍事等領(lǐng)域。網(wǎng)絡(luò)安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來，電子政務(wù)工程已經(jīng)在全國(guó)啟動(dòng)并在北京試點(diǎn)。政府網(wǎng)絡(luò)的安全直接代表了國(guó)家的形象。1999年到2001年，一些政府網(wǎng)站，遭受了四次大的黑客攻擊事件。第一次在99年1月份左右，美國(guó)黑客組織“美國(guó)地下軍團(tuán)”聯(lián)合了波蘭的、英國(guó)的黑客組織以及世界上的黑客組織，有組織地對(duì)我們國(guó)家的政府網(wǎng)站進(jìn)行了攻擊。第二次，99年7月份，當(dāng)臺(tái)灣李登輝提出了兩國(guó)論的時(shí)候。第三次是在2000年5月8號(hào)，美國(guó)轟炸我國(guó)駐南聯(lián)盟大使館后。第四次是在2001年4月到5月，美機(jī)撞毀王偉戰(zhàn)機(jī)侵入我海南機(jī)場(chǎng)。網(wǎng)絡(luò)安全與經(jīng)濟(jì)一個(gè)國(guó)家信息化程度越高，整個(gè)國(guó)民經(jīng)濟(jì)和社會(huì)運(yùn)行對(duì)信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。我國(guó)計(jì)算機(jī)犯罪的增長(zhǎng)速度超過了傳統(tǒng)的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統(tǒng)計(jì)了。利用計(jì)算機(jī)實(shí)施金融犯罪已經(jīng)滲透到了我國(guó)金融行業(yè)的各項(xiàng)業(yè)務(wù)。近幾年已經(jīng)破獲和掌握100多起，涉及的金額幾個(gè)億。2000年2月份黑客攻擊的浪潮，是互連網(wǎng)問世以來最為嚴(yán)重的黑客事件。99年4月26日，臺(tái)灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計(jì)說我國(guó)大陸受其影響的PC機(jī)總量達(dá)36萬臺(tái)之多。有人估計(jì)在這次事件中，經(jīng)濟(jì)損失高達(dá)近12億元。1996年4月16日，美國(guó)金融時(shí)報(bào)報(bào)道，接入Internet的計(jì)算機(jī)，達(dá)到了平均每20秒鐘被黑客成功地入侵一次的新記錄。網(wǎng)絡(luò)安全與社會(huì)穩(wěn)定互連網(wǎng)上散布一些虛假信息、有害信息對(duì)社會(huì)管理秩序造成的危害，要比現(xiàn)實(shí)社會(huì)中一個(gè)造謠要大的多。99年4月，河南商都熱線一個(gè)BBS，一張說交通銀行鄭州支行行長(zhǎng)協(xié)巨款外逃的帖子，造成了社會(huì)的動(dòng)蕩，三天十萬人上街排隊(duì)，一天提了十多億。2001年2月8日正是春節(jié)，新浪網(wǎng)遭受攻擊，電子郵件服務(wù)器癱瘓了18個(gè)小時(shí)，造成了幾百萬的用戶無法正常的聯(lián)絡(luò)。網(wǎng)上不良信息腐蝕人們靈魂，色情資訊業(yè)日益猖獗。1997年5月去過色情網(wǎng)站瀏覽過的美國(guó)人，占了美國(guó)網(wǎng)民的28.2%。河南鄭州剛剛大專畢業(yè)的楊某和何某，在商丘信息港上建立了一個(gè)個(gè)人主頁，用五十多天的時(shí)間建立的主頁存了一萬多幅淫穢照片的網(wǎng)站、100多部小說和小電影。不到54天的時(shí)間，訪問他的人到了30萬。網(wǎng)絡(luò)安全與軍事在第二次世界大戰(zhàn)中，美國(guó)破譯了日本人的密碼，將山本的艦隊(duì)幾乎全殲，重創(chuàng)了日本海軍。目前的軍事戰(zhàn)爭(zhēng)更是信息化戰(zhàn)爭(zhēng)，下面是美國(guó)三位知名人士對(duì)目前網(wǎng)絡(luò)的描述。美國(guó)著名未來學(xué)家阿爾溫托爾勒說過“誰掌握了信息，控制了網(wǎng)絡(luò)，誰將擁有整個(gè)世界。美國(guó)前總統(tǒng)克林頓說過“今后的時(shí)代，控制世界的國(guó)家將不是靠軍事，而是信息能力走在前面的國(guó)家”。美國(guó)前陸軍參謀長(zhǎng)沙利文上將說過“信息時(shí)代的出現(xiàn)，將從根本上改變戰(zhàn)爭(zhēng)的進(jìn)行方式”。二、研究網(wǎng)絡(luò)安全的必要性網(wǎng)絡(luò)需要與外界聯(lián)系，受到許多方面的威脅物理威脅系統(tǒng)漏洞造成的威脅身份鑒別威脅線纜連接威脅有害程序等方面威脅。網(wǎng)絡(luò)安全威脅的來源

1.外部滲入（penetration） 未被授權(quán)使用計(jì)算機(jī)的人；

2.內(nèi)部滲入者 被授權(quán)使用計(jì)算機(jī)，但不能訪問某些數(shù)據(jù)、程序或資源，它包括：

-冒名頂替:使用別人的用戶名和口令進(jìn)行操作；

-隱蔽用戶:逃避審計(jì)和訪問控制的用戶；

3.濫用職權(quán)者:

被授權(quán)使用計(jì)算機(jī)和訪問系統(tǒng)資源，但濫用職權(quán)者。冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周編輯口令口令破解口令圈套竊聽偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別有害程序系統(tǒng)漏洞物理威脅網(wǎng)絡(luò)安全威脅的幾種類型物理威脅物理威脅包包括四個(gè)方方面：偷竊竊、廢物搜搜尋、間諜諜行為和身身份識(shí)別錯(cuò)錯(cuò)誤。1、偷竊網(wǎng)絡(luò)安全中中的偷竊包包括偷竊設(shè)設(shè)備、偷竊竊信息和偷偷竊服務(wù)等等內(nèi)容。如如果他們想想偷的信息息在計(jì)算機(jī)機(jī)里，那他他們一方面面可以將整整臺(tái)計(jì)算機(jī)機(jī)偷走，另另一方面通通過監(jiān)視器器讀取計(jì)算算機(jī)中的信信息。2、廢物搜尋尋就是在廢物物（如一些些打印出來來的材料或或廢棄的軟軟盤）中搜搜尋所需要要的信息。。在微機(jī)上上，廢物搜搜尋可能包包括從未抹抹掉有用東東西的軟盤盤或硬盤上上獲得有用用資料。3、間諜行為為是一種為了了省錢或獲獲取有價(jià)值值的機(jī)密、、采用不道道德的手段段獲取信息息。4、身份識(shí)別別錯(cuò)誤非法建立文文件或記錄錄，企圖把把他們作為為有效的、、正式生產(chǎn)產(chǎn)的文件或或記錄，如如對(duì)具有身身份鑒別特特征物品如如護(hù)照、執(zhí)執(zhí)照、出生生證明或加加密的安全全卡進(jìn)行偽偽造，屬于于身份識(shí)別別發(fā)生錯(cuò)誤誤的范疇。。這種行為為對(duì)網(wǎng)絡(luò)數(shù)數(shù)據(jù)構(gòu)成了了巨大的威威脅。系統(tǒng)漏洞威威脅系統(tǒng)漏洞造造成的威脅脅包括三個(gè)個(gè)方面：乘乘虛而入、、不安全服服務(wù)和配置置和初始化化錯(cuò)誤。1、乘虛而入入例如，用戶戶A停止了與某某個(gè)系統(tǒng)的的通信，但但由于某種種原因仍使使該系統(tǒng)上上的一個(gè)端端口處于激激活狀態(tài)，，這時(shí)，用用戶B通過這個(gè)端端口開始與與這個(gè)系統(tǒng)統(tǒng)通信，這這樣就不必必通過任何何申請(qǐng)使用用端口的安安全檢查了了。2、不安全服服務(wù)有時(shí)操作系系統(tǒng)的一些些服務(wù)程序序可以繞過過機(jī)器的安安全系統(tǒng)，，互聯(lián)網(wǎng)蠕蠕蟲就利用用了UNIX系統(tǒng)中三個(gè)個(gè)可繞過的的機(jī)制。3、配置和初初始化錯(cuò)誤誤如果不得不不關(guān)掉一臺(tái)臺(tái)服務(wù)器以以維修它的的某個(gè)子系系統(tǒng)，幾天天后當(dāng)重啟啟動(dòng)服務(wù)器器時(shí)，可能能會(huì)招致用用戶的抱怨怨，說他們們的文件丟丟失了或被被篡改了，，這就有可可能是在系系統(tǒng)重新初初始化時(shí)，，安全系統(tǒng)統(tǒng)沒有正確確的初始化化，從而留留下了安全全漏洞讓人人利用，類類似的問題題在木馬程程序修改了了系統(tǒng)的安安全配置文文件時(shí)也會(huì)會(huì)發(fā)生。身份鑒別威威脅身份鑒別造造成威脅包包括四個(gè)面面：口令圈圈套、口令令破解、算算法考慮不不周和編輯輯口令。1、口令圈套套口令圈套是是網(wǎng)絡(luò)安全全的一種詭詭計(jì)，與冒冒名頂替有有關(guān)。常用用的口令圈圈套通過一一個(gè)編譯代代碼模塊實(shí)實(shí)現(xiàn)，它運(yùn)運(yùn)行起來和和登錄屏幕幕一模一樣樣，被插入入到正常有有登錄過程程之前，最最終用戶看看到的只是是先后兩個(gè)個(gè)登錄屏幕幕，第一次次登錄失敗敗了，所以以用戶被要要求再輸入入用戶名和和口令。實(shí)實(shí)際上，第第一次登錄錄并沒有失失敗，它將將登錄數(shù)據(jù)據(jù)，如用戶戶名和口令令寫入到這這個(gè)數(shù)據(jù)文文件中，留留待使用。。2、口令破解解破解口令就就像是猜測(cè)測(cè)自行車密密碼鎖的數(shù)數(shù)字組合一一樣，在該該領(lǐng)域中已已形成許多多能提高成成功率的技技巧。3、算法考慮慮不周口令輸入過過程必須在在滿足一定定條件下才才能正常地地工作，這這個(gè)過程通通過某些算算法實(shí)現(xiàn)。。在一些攻攻擊入侵案案例中，入入侵者采用用超長(zhǎng)的字字符串破壞壞了口令算算法，成功功地進(jìn)入了了系統(tǒng)。4、編輯口令令編輯口令需需要依靠操操作系統(tǒng)漏漏洞，如果果公司內(nèi)部部的人建立立了一個(gè)虛虛設(shè)的賬戶戶或修改了了一個(gè)隱含含賬戶的口口令，這樣樣，任何知知道那個(gè)賬賬戶的用戶戶名和口令令的人便可可以訪問該該機(jī)器了。。線纜連接威威脅線纜連接造造成的威脅脅包括三個(gè)個(gè)方面：竊竊聽、撥號(hào)號(hào)進(jìn)入和冒冒名頂替。。1、竊聽對(duì)通信過程程進(jìn)行竊聽聽可達(dá)到收收集信息的的目的，這這種電子竊竊聽不一定定需要竊聽聽設(shè)備一定定安裝在電電纜上，可可以通過檢檢測(cè)從連線線上發(fā)射出出來的電磁磁輻射就能能拾取所要要的信號(hào)，，為了使機(jī)機(jī)構(gòu)內(nèi)部的的通信有一一定的保密密性，可以以使用加密密手段來防防止信息被被解密。2、撥號(hào)進(jìn)入入擁有一個(gè)調(diào)調(diào)制解調(diào)器器和一個(gè)電電話號(hào)碼，，每個(gè)人都都可以試圖圖通過遠(yuǎn)程程撥號(hào)訪問問網(wǎng)絡(luò)，尤尤其是擁有有所期望攻攻擊的網(wǎng)絡(luò)絡(luò)的用戶賬賬戶時(shí)，就就會(huì)對(duì)網(wǎng)絡(luò)絡(luò)造成很大大的威脅。。3、冒名頂替替通過使用別別人的密碼碼和賬號(hào)時(shí)時(shí)，獲得對(duì)對(duì)網(wǎng)絡(luò)及其其數(shù)據(jù)、程程序的使用用能力。這這種辦法實(shí)實(shí)現(xiàn)起來并并不容易，，而且一般般需要有機(jī)機(jī)構(gòu)內(nèi)部的的、了解網(wǎng)網(wǎng)絡(luò)和操作作過程的人人參與。有害害程程序序威威脅脅有害害程程序序造造成成的的威威脅脅包包括括三三個(gè)個(gè)方方面面：：病病毒毒、、代代碼碼炸炸彈彈和和特特洛洛伊伊木木馬馬。。1、病病毒毒病毒毒是是一一種種把把自自己己的的拷拷貝貝附附著著于于機(jī)機(jī)器器中中的的另另一一程程序序上上的的一一段段代代碼碼。。通通過過這這種種方方式式病病毒毒可可以以進(jìn)進(jìn)行行自自我我復(fù)復(fù)制制，，并并隨隨著著它它所所附附著著的的程程序序在在機(jī)機(jī)器器之之間間傳傳播播。。2、代代碼碼炸炸彈彈代碼碼炸炸彈彈是是一一種種具具有有殺殺傷傷力力的的代代碼碼，，其其原原理理是是一一旦旦到到達(dá)達(dá)設(shè)設(shè)定定的的日日期期或或鐘鐘點(diǎn)點(diǎn)，，或或在在機(jī)機(jī)器器中中發(fā)發(fā)生生了了某某種種操操作作，，代代碼碼炸炸彈彈就就被被觸觸發(fā)發(fā)并并開開始始產(chǎn)產(chǎn)生生破破壞壞性性操操作作。。代代碼碼炸炸彈彈不不必必像像病病毒毒那那樣樣四四處處傳傳播播，，程程序序員員將將代代碼碼炸炸彈彈寫寫入入軟軟件件中中，，使使其其產(chǎn)產(chǎn)生生了了一一個(gè)個(gè)不不能能輕輕易易地地找找到到的的安安全全漏漏洞洞，，一一旦旦該該代代碼碼炸炸彈彈被被觸觸發(fā)發(fā)后后，，這這個(gè)個(gè)程程序序員員便便會(huì)會(huì)被被請(qǐng)請(qǐng)回回來來修修正正這這個(gè)個(gè)錯(cuò)錯(cuò)誤誤，，并并賺賺一一筆筆錢錢，，這這種種高高技技術(shù)術(shù)的的敲敲詐詐的的受受害害者者甚甚至至不不知知道道他他們們被被敲敲詐詐了了，，即即便便他他們們有有疑疑心心也也無無法法證證實(shí)實(shí)自自己己的的猜猜測(cè)測(cè)。。3、特特洛洛伊伊木木馬馬特洛洛伊伊木木馬馬程程序序一一旦旦被被安安裝裝到到機(jī)機(jī)器器上上，，便便可可按按編編制制者者的的意意圖圖行行事事。。特特洛洛伊伊木木馬馬能能夠夠摧摧毀毀數(shù)數(shù)據(jù)據(jù)，，有有時(shí)時(shí)偽偽裝裝成成系系統(tǒng)統(tǒng)上上已已有有的的程程序序，，有有時(shí)時(shí)創(chuàng)創(chuàng)建建新新的的用用戶戶名名和和口口令令。。三、、網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的攻攻防防研研究究體體系系網(wǎng)絡(luò)絡(luò)安安全全（（NetworkSecurity）是一一門門涉涉及及計(jì)計(jì)算算機(jī)機(jī)科科學(xué)學(xué)、、網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù)、、通通信信技技術(shù)術(shù)、、密密碼碼技技術(shù)術(shù)、、信信息息安安全全技技術(shù)術(shù)、、應(yīng)應(yīng)用用數(shù)數(shù)學(xué)學(xué)、、數(shù)數(shù)論論、、信信息息論論等等多多種種學(xué)學(xué)科科的的綜綜合合性性科科學(xué)學(xué)。。網(wǎng)絡(luò)絡(luò)安安全全的的攻攻防防體體系系攻擊擊技技術(shù)術(shù)如果果不不知知道道如如何何攻攻擊擊，，再再好好的的防防守守也也是是經(jīng)經(jīng)不不住住考考驗(yàn)驗(yàn)的的，，攻攻擊擊技技術(shù)術(shù)主主要要包包括括五五個(gè)個(gè)方方面面：：1、網(wǎng)網(wǎng)絡(luò)絡(luò)監(jiān)監(jiān)聽聽：：自自己己不不主主動(dòng)動(dòng)去去攻攻擊擊別別人人，，在在計(jì)計(jì)算算機(jī)機(jī)上上設(shè)設(shè)置置一一個(gè)個(gè)程程序序去去監(jiān)監(jiān)聽聽目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)與與其其他他計(jì)計(jì)算算機(jī)機(jī)通通信信的的數(shù)數(shù)據(jù)據(jù)。。2、網(wǎng)網(wǎng)絡(luò)絡(luò)掃掃描描：：利利用用程程序序去去掃掃描描目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)開開放放的的端端口口等等，，目目的的是是發(fā)發(fā)現(xiàn)現(xiàn)漏漏洞洞，，為為入入侵侵該該計(jì)計(jì)算算機(jī)機(jī)做做準(zhǔn)準(zhǔn)備備。。3、網(wǎng)網(wǎng)絡(luò)絡(luò)入入侵侵：：當(dāng)當(dāng)探探測(cè)測(cè)發(fā)發(fā)現(xiàn)現(xiàn)對(duì)對(duì)方方存存在在漏漏洞洞以以后后，，入入侵侵到到目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)獲獲取取信信息息。。4、網(wǎng)網(wǎng)絡(luò)絡(luò)后后門門：：成成功功入入侵侵目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)后后，，為為了了對(duì)對(duì)““戰(zhàn)戰(zhàn)利利品品””的的長(zhǎng)長(zhǎng)期期控控制制，，在在目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)中中種種植植木木馬馬等等后后門門。。5、網(wǎng)網(wǎng)絡(luò)絡(luò)隱隱身身：：入入侵侵完完畢畢退退出出目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)后后，，將將自自己己入入侵侵的的痕痕跡跡清清除除，，從從而而防防止止被被對(duì)對(duì)方方管管理理員員發(fā)發(fā)現(xiàn)現(xiàn)。。防御御技技術(shù)術(shù)防御御技技術(shù)術(shù)包包括括四四大大方方面面：：1、操操作作系系統(tǒng)統(tǒng)的的安安全全配配置置：：操操作作系系統(tǒng)統(tǒng)的的安安全全是是整整個(gè)個(gè)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的關(guān)關(guān)鍵鍵。。2、加加密密技技術(shù)術(shù)：：為為了了防防止止被被監(jiān)監(jiān)聽聽和和盜盜取取數(shù)數(shù)據(jù)據(jù)，，將將所所有有的的數(shù)數(shù)據(jù)據(jù)進(jìn)進(jìn)行行加加密密。。3、防防火火墻墻技技術(shù)術(shù)：：利利用用防防火火墻墻，，對(duì)對(duì)傳傳輸輸?shù)牡臄?shù)數(shù)據(jù)據(jù)進(jìn)進(jìn)行行限限制制，，從從而而防防止止被被入入侵侵。。4、入入侵侵檢檢測(cè)測(cè)：：如如果果網(wǎng)網(wǎng)絡(luò)絡(luò)防防線線最最終終被被攻攻破破了了，，需需要要及及時(shí)時(shí)發(fā)發(fā)出出被被入入侵侵的的警警報(bào)報(bào)。。網(wǎng)絡(luò)安全的層層次體系從層次體系上上，可以將網(wǎng)網(wǎng)絡(luò)安全分成成四個(gè)層次上上的安全：1、物理安全；；2、邏輯安全；；3、操作系統(tǒng)安安全；4、聯(lián)網(wǎng)安全。。物理安全物理安全主要要包括五個(gè)方方面：1、防盜；2、防火；3、防靜電；4、防雷擊；5、防電磁泄漏漏。1、防盜：像其其他的物體一一樣，計(jì)算機(jī)機(jī)也是偷竊者者的目標(biāo)，例例如盜走軟盤盤、主板等。。計(jì)算機(jī)偷竊竊行為所造成成的損失可能能遠(yuǎn)遠(yuǎn)超過計(jì)計(jì)算機(jī)本身的的價(jià)值，因此此必須采取嚴(yán)嚴(yán)格的防范措措施，以確保保計(jì)算機(jī)設(shè)備備不會(huì)丟失。。物理安全2、防火：計(jì)算算機(jī)機(jī)房發(fā)生生火災(zāi)一般是是由于電氣原原因、人為事事故或外部火火災(zāi)蔓延引起起的。電氣設(shè)設(shè)備和線路因因?yàn)槎搪?、過過載、接觸不不良、絕緣層層破壞或靜電電等原因引起起電打火而導(dǎo)導(dǎo)致火災(zāi)。人為事故是指指由于操作人人員不慎，吸吸煙、亂扔煙煙頭等，使存存在易燃物質(zhì)質(zhì)（如紙片、、磁帶、膠片片等）的機(jī)房房起火，當(dāng)然然也不排除人人為故意放火火。外部火災(zāi)災(zāi)蔓延是因外外部房間或其其他建筑物起起火而蔓延到到機(jī)房而引起起火災(zāi)。物理安全3、防靜電：靜電是由物體體間的相互摩摩擦、接觸而而產(chǎn)生的，計(jì)計(jì)算機(jī)顯示器器也會(huì)產(chǎn)生很很強(qiáng)的靜電。。靜電產(chǎn)生后，，由于未能釋釋放而保留在在物體內(nèi)，會(huì)會(huì)有很高的電電位（能量不不大），從而而產(chǎn)生靜電放放電火花，造造成火災(zāi)。還可能使大規(guī)規(guī)模集成電器器損壞，這種種損壞可能是是不知不覺造造成的。物理安全利用引雷機(jī)理理的傳統(tǒng)避雷雷針防雷，不不但增加雷擊擊概率，而且且產(chǎn)生感應(yīng)雷雷，而感應(yīng)雷雷是電子信息息設(shè)備被損壞壞的主要?dú)⑹质?，也是易燃燃易爆品被引引燃起爆的主主要原因。雷擊防范的主主要措施是，，根?jù)電氣、、微電子設(shè)備備的不同功能能及不同受保保護(hù)程序和所所屬保護(hù)層確確定防護(hù)要點(diǎn)點(diǎn)作分類保護(hù)護(hù)；根據(jù)雷電和操操作瞬間過電電壓危害的可可能通道從電電源線到數(shù)據(jù)據(jù)通信線路都都應(yīng)做多層保保護(hù)。物理安全5、防電磁泄漏漏電子計(jì)算機(jī)和和其他電子設(shè)設(shè)備一樣，工工作時(shí)要產(chǎn)生生電磁發(fā)射。。電磁發(fā)射包括括輻射發(fā)射和和傳導(dǎo)發(fā)射。。這兩種電磁發(fā)發(fā)射可被高靈靈敏度的接收收設(shè)備接收并并進(jìn)行分析、、還原，造成成計(jì)算機(jī)的信信息泄露。屏蔽是防電磁磁泄漏的有效效措施，屏蔽蔽主要有電屏屏蔽、磁屏蔽蔽和電磁屏蔽蔽三種類型。。邏輯安全計(jì)算機(jī)的邏輯輯安全需要用用口令、文件件許可等方法法來實(shí)現(xiàn)?？梢韵拗频卿涗浀拇螖?shù)或?qū)?duì)試探操作加加上時(shí)間限制制；可以用軟軟件來保護(hù)存存儲(chǔ)在計(jì)算機(jī)機(jī)文件中的信信息；限制存取的另另一種方式是是通過硬件完完成，在接收收到存取要求求后，先詢問問并校核口令令，然后訪問問列于目錄中中的授權(quán)用戶戶標(biāo)志號(hào)。此外，有一些些安全軟件包包也可以跟蹤蹤可疑的、未未授權(quán)的存取取企圖，例如如，多次登錄錄或請(qǐng)求別人人的文件。操作系統(tǒng)安全全操作系統(tǒng)是計(jì)計(jì)算機(jī)中最基基本、最重要要的軟件。同一計(jì)算機(jī)可可以安裝幾種種不同的操作作系統(tǒng)。如果計(jì)算機(jī)系系統(tǒng)可提供給給許多人使用用，操作系統(tǒng)統(tǒng)必須能區(qū)分分用戶，以便便于防止相互互干擾。一些安全性較較高、功能較較強(qiáng)的操作系系統(tǒng)可以為計(jì)計(jì)算機(jī)的每一一位用戶分配配賬戶。通常，一個(gè)用用戶一個(gè)賬戶戶。操作系統(tǒng)統(tǒng)不允許一個(gè)個(gè)用戶修改由由另一個(gè)賬戶戶產(chǎn)生的數(shù)據(jù)據(jù)。聯(lián)網(wǎng)安全聯(lián)網(wǎng)的安全性性通過兩方面面的安全服務(wù)務(wù)來達(dá)到：1、訪問控制服服務(wù)：用來保保護(hù)計(jì)算機(jī)和和聯(lián)網(wǎng)資源不不被非授權(quán)使使用。2、通信安全服服務(wù)：用來認(rèn)認(rèn)證數(shù)據(jù)機(jī)要要性與完整性性，以及各通通信的可信賴賴性。四、網(wǎng)絡(luò)安全全制度建設(shè)目前網(wǎng)絡(luò)安全全方面的法規(guī)規(guī)已經(jīng)寫入中中華人民共和和國(guó)憲法。于1982年8月23日寫入中華人人民共和國(guó)商商標(biāo)法于1984年3月12日寫入中華人人民共和國(guó)專專利法于1988年9月５日寫入中中華人民共和和國(guó)保守國(guó)家家秘密法于1993年9月2日寫入中華人人民共和國(guó)反反不正當(dāng)競(jìng)爭(zhēng)爭(zhēng)法。我國(guó)立法情況況國(guó)際立法情況況美國(guó)和日本是是計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全比較完完善的國(guó)家，，一些發(fā)展中中國(guó)家和第三三世界國(guó)家的的計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全方面的的法規(guī)還不夠夠完善。歐洲共同體是是一個(gè)在歐洲洲范圍內(nèi)具有有較強(qiáng)影響力力的政府間組組織。為在共同體內(nèi)內(nèi)正常地進(jìn)行行信息市場(chǎng)運(yùn)運(yùn)做，該組織織在諸多問題題上建立了一一系列法律，，具體包括：競(jìng)爭(zhēng)（反托拉拉斯）法；產(chǎn)產(chǎn)品責(zé)任、商商標(biāo)和廣告規(guī)規(guī)定；知識(shí)產(chǎn)產(chǎn)權(quán)保護(hù)；保保護(hù)軟件、數(shù)數(shù)據(jù)和多媒體體產(chǎn)品及在線線版權(quán)；數(shù)據(jù)據(jù)保護(hù)；跨境境電子貿(mào)易；；稅收；司法法問題等。這這些法律若與與其成員國(guó)原原有國(guó)家法律律相矛盾，則則必須以共同同體的法律為為準(zhǔn)。我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)準(zhǔn)在我國(guó)國(guó)根據(jù)據(jù)《計(jì)算機(jī)機(jī)信息息系統(tǒng)統(tǒng)安全全保護(hù)護(hù)等級(jí)級(jí)劃分分準(zhǔn)則則》，1999年10月經(jīng)過過國(guó)家家質(zhì)量量技術(shù)術(shù)監(jiān)督督局批批準(zhǔn)發(fā)發(fā)布準(zhǔn)準(zhǔn)則將將計(jì)算算機(jī)安安全保保護(hù)劃劃分為為以下下五個(gè)個(gè)級(jí)別別第一級(jí)級(jí)為用用戶自自主保保護(hù)級(jí)級(jí)：它它的安安全保保護(hù)機(jī)機(jī)制使使用戶戶具備備自主主安全全保護(hù)護(hù)的能能力，，保護(hù)護(hù)用戶戶的信信息免免受非非法的的讀寫寫破壞壞。第二級(jí)級(jí)為系系統(tǒng)審審計(jì)保保護(hù)級(jí)級(jí)：除除具備備第一一級(jí)所所有的的安全全保護(hù)護(hù)功能能外，，要求求創(chuàng)建建和維維護(hù)訪訪問的的審計(jì)計(jì)跟蹤蹤記錄錄，使使所有有的用用戶對(duì)對(duì)自己己的行行為的的合法法性負(fù)負(fù)責(zé)。。第三級(jí)級(jí)為安安全標(biāo)標(biāo)記保保護(hù)級(jí)級(jí)：除除繼承承前一一個(gè)級(jí)級(jí)別的的安全全功能能外，，還要要求以以訪問問對(duì)象象標(biāo)記記的安安全級(jí)級(jí)別限限制訪訪問者者的訪訪問權(quán)權(quán)限，，實(shí)現(xiàn)現(xiàn)對(duì)訪訪問對(duì)對(duì)象的的強(qiáng)制制保護(hù)護(hù)。第四級(jí)級(jí)為結(jié)結(jié)構(gòu)化化保護(hù)護(hù)級(jí)：：在繼繼承前前面安安全級(jí)級(jí)別安安全功功能的的基礎(chǔ)礎(chǔ)上，，將安安全保保護(hù)機(jī)機(jī)制劃劃分為為關(guān)鍵鍵部分分和非非關(guān)鍵鍵部分分，對(duì)對(duì)關(guān)鍵鍵部分分直接接控制制訪問問者對(duì)對(duì)訪問問對(duì)象象的存存取，，從而而加強(qiáng)強(qiáng)系統(tǒng)統(tǒng)的抗抗?jié)B透透能力力第五級(jí)級(jí)為訪訪問驗(yàn)驗(yàn)證保保護(hù)級(jí)級(jí)：這這一個(gè)個(gè)級(jí)別別特別別增設(shè)設(shè)了訪訪問驗(yàn)驗(yàn)證功功能，，負(fù)責(zé)責(zé)仲裁裁訪問問者對(duì)對(duì)訪問問對(duì)象象的所所有訪訪問活活動(dòng)。。國(guó)際評(píng)評(píng)價(jià)標(biāo)標(biāo)準(zhǔn)根據(jù)美美國(guó)國(guó)國(guó)防部部開發(fā)發(fā)的計(jì)計(jì)算機(jī)機(jī)安全全標(biāo)準(zhǔn)準(zhǔn)——可信任任計(jì)算算機(jī)標(biāo)標(biāo)準(zhǔn)評(píng)評(píng)價(jià)準(zhǔn)準(zhǔn)則（（TrustedComputerStandardsEvaluationCriteria：TCSEC），也也就是是網(wǎng)絡(luò)絡(luò)安全全橙皮皮書，，一些些計(jì)算算機(jī)安安全級(jí)級(jí)別被被用來來評(píng)價(jià)價(jià)一個(gè)個(gè)計(jì)算算機(jī)系系統(tǒng)的的安全全性。。自從1985年橙皮皮書成成為美美國(guó)國(guó)國(guó)防部部的標(biāo)標(biāo)準(zhǔn)以以來，，就一一直沒沒有改改變過過，多多年以以來一一直是是評(píng)估估多用用戶主主機(jī)和和小型型操作作系統(tǒng)統(tǒng)的主主要方方法。。其他子子系統(tǒng)統(tǒng)（如如數(shù)據(jù)據(jù)庫和和網(wǎng)絡(luò)絡(luò)）也也一直直用橙橙皮書書來解解釋評(píng)評(píng)估。。橙皮皮書把把安全全的級(jí)級(jí)別從從低到到高分分成4個(gè)類別別：D類、C類、B類和A類，每每類又又分幾幾個(gè)級(jí)級(jí)別，，安全級(jí)級(jí)別類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證安全級(jí)級(jí)別D級(jí)是最最低的的安全全級(jí)別別，擁擁有這這個(gè)級(jí)級(jí)別的的操作作系統(tǒng)統(tǒng)就像像一個(gè)個(gè)門戶戶大開開的房房子，，任何何人都都可以以自由由進(jìn)出出，是是完全全不可可信任任的。。對(duì)于硬硬件來來說，，是沒沒有任任何保保護(hù)措措施的的，操操作系系統(tǒng)容容易受受到損損害，，沒有有系統(tǒng)統(tǒng)訪問問限制制和數(shù)數(shù)據(jù)訪訪問限限制，，任何何人不不需任任何賬賬戶都都可以以進(jìn)入入系統(tǒng)統(tǒng)，不不受任任何限限制可可以訪訪問他他人的的數(shù)據(jù)據(jù)文件件。屬于這這個(gè)級(jí)級(jí)別的的操作作系統(tǒng)統(tǒng)有：：DOS和Windows98等。安全級(jí)級(jí)別C1是C類的一一個(gè)安安全子子級(jí)。。C1又稱選選擇性性安全全保護(hù)護(hù)（DiscretionarySecurityProtection）系統(tǒng)統(tǒng)，它它描述述了一一個(gè)典典型的的用在在Unix系統(tǒng)上上安全全級(jí)別別這種級(jí)級(jí)別的的系統(tǒng)統(tǒng)對(duì)硬硬件又又有某某種程程度的的保護(hù)護(hù)，如如用戶戶擁有有注冊(cè)冊(cè)賬號(hào)號(hào)和口口令，，系統(tǒng)統(tǒng)通過過賬號(hào)號(hào)和口口令來來識(shí)別別用戶戶是否否合法法，并并決定定用戶戶對(duì)程程序和和信息息擁有有什么么樣的的訪問問權(quán)，，但硬硬件受受到損損害的的可能能性仍仍然存存在。。用戶擁擁有的的訪問問權(quán)是是指對(duì)對(duì)文件件和目目標(biāo)的的訪問問權(quán)。。文件件的擁擁有者者和超超級(jí)用用戶可可以改改變文文件的的訪問問屬性性，從從而對(duì)對(duì)不同同的用用戶授授予不不通的的訪問問權(quán)限限。安全級(jí)級(jí)別使用附附加身身份驗(yàn)驗(yàn)證就就可以以讓一一個(gè)C2級(jí)系統(tǒng)統(tǒng)用戶戶在不不是超超級(jí)用用戶的的情況況下有有權(quán)執(zhí)執(zhí)行系系統(tǒng)管管理任任務(wù)。。授權(quán)權(quán)分級(jí)級(jí)使系系統(tǒng)管管理員員能夠夠給用用戶分分組，，授予予他們們?cè)L問問某些些程序序的權(quán)權(quán)限或或訪問問特定定的目目錄。。能夠達(dá)達(dá)到C2級(jí)別的的常見見操作作系統(tǒng)統(tǒng)有：：（1）、Unix系統(tǒng)（2）、Novell3.X或者更高高版本（3）、WindowsNT、Windows2000和Windows2003安全級(jí)別別B級(jí)中有三三個(gè)級(jí)別別，B1級(jí)即標(biāo)志志安全保保護(hù)（LabeledSecurityProtection），是支支持多級(jí)級(jí)安全（（例如：：秘密和和絕密））的第一一個(gè)級(jí)別別，這個(gè)個(gè)級(jí)別說說明處于于強(qiáng)制性性訪問控控制之下下的對(duì)象象，系統(tǒng)統(tǒng)不允許許文件的的擁有者者改變其其許可權(quán)權(quán)限。安全級(jí)別別存在保保密、絕絕密級(jí)別別，這種種安全級(jí)級(jí)別的計(jì)計(jì)算機(jī)系系統(tǒng)一般般在政府府機(jī)構(gòu)中中，比如如國(guó)防部部和國(guó)家家安全局局的計(jì)算算機(jī)系統(tǒng)統(tǒng)。安全級(jí)別別B2級(jí)，又叫叫結(jié)構(gòu)保保護(hù)級(jí)別別（StructuredProtection），它要要求計(jì)算算機(jī)系統(tǒng)統(tǒng)中所有有的對(duì)象象都要加加上標(biāo)簽簽，而且且給設(shè)備備（磁盤盤、磁帶帶和終端端）分配配單個(gè)或或者多個(gè)個(gè)安全級(jí)級(jí)別。B3級(jí)，又叫叫做安全全域級(jí)別別（SecurityDomain），使用用安裝硬硬件的方方式來加加強(qiáng)域的的安全，，例如，，內(nèi)存管管理硬件件用于保保護(hù)安全全域免遭遭無授權(quán)權(quán)訪問或或更改其其他安全全域的對(duì)對(duì)象。該該級(jí)別也也要求用用戶通過過一條可可信任途途徑連接接到系統(tǒng)統(tǒng)上。安全級(jí)別別A級(jí)，又稱稱驗(yàn)證設(shè)設(shè)計(jì)級(jí)別別（VerifiedDesign），是當(dāng)當(dāng)前橙皮皮書的最最高級(jí)別別，它包包含了一一個(gè)嚴(yán)格格的設(shè)計(jì)計(jì)、控制制和驗(yàn)證證過程。。該級(jí)別別包含了了較低級(jí)級(jí)別的所所有的安安全特性性設(shè)計(jì)必須須從數(shù)學(xué)學(xué)角度上上進(jìn)行驗(yàn)驗(yàn)證，而而且必須須進(jìn)行秘秘密通道道和可信信任分布布分析。。可信任任分布（（TrustedDistribution）的含義義是：硬硬件和軟軟件在物物理傳輸輸過程中中已經(jīng)受受到保護(hù)護(hù)，以防防止破壞壞安全系系統(tǒng)。橙皮書也也存在不不足。TCSEC是針對(duì)孤孤立計(jì)算算機(jī)系統(tǒng)統(tǒng)，特別別是小型型機(jī)和主主機(jī)系統(tǒng)統(tǒng)。假設(shè)設(shè)有一定定的物理理保障，，該標(biāo)準(zhǔn)準(zhǔn)適合政政府和軍軍隊(duì)，不不適合企企業(yè)，這這個(gè)模型型是靜態(tài)態(tài)的。五、WINDOWS操作系統(tǒng)統(tǒng)安全WindowsNT（NewTechnology）是微軟軟公司第第一個(gè)真真正意義義上的網(wǎng)網(wǎng)絡(luò)操作作系統(tǒng)，，發(fā)展經(jīng)經(jīng)過NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多多版本，，并逐步步占據(jù)了了廣大的的中小網(wǎng)網(wǎng)絡(luò)操作作系統(tǒng)的的市場(chǎng)。。WindowsNT眾多版本本的操作作系統(tǒng)使使用了與與Windows9X完全一致致的用戶戶界面和和完全相相同的操操作方法法，使用用戶使用用起來比比較方便便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功功能更加加強(qiáng)大并并且安全全。安全配置置方案初初級(jí)篇安全配置置方案初初級(jí)篇主主要介紹紹常規(guī)的的操作系系統(tǒng)安全全配置，，包括十十二條基基本配置置原則：：物理安全全、停止止Guest帳號(hào)、限限制用戶戶數(shù)量創(chuàng)建多個(gè)個(gè)管理員員帳號(hào)、、管理員員帳號(hào)改改名陷阱帳號(hào)號(hào)、更改改默認(rèn)權(quán)權(quán)限、設(shè)設(shè)置安全全密碼屏幕保護(hù)護(hù)密碼、、使用NTFS分區(qū)運(yùn)行防毒毒軟件和和確保備備份盤安安全。1、物理理安全服務(wù)器應(yīng)應(yīng)該安放放在安裝裝了監(jiān)視視器的隔隔離房間間內(nèi)，并并且監(jiān)視視器要保保留15天以上上的攝像像記錄。。另外，機(jī)機(jī)箱，鍵鍵盤，電電腦桌抽抽屜要上上鎖，以以確保旁旁人即使使進(jìn)入房房間也無無法使用用電腦，，鑰匙要要放在安安全的地地方。2、停止止Guest帳帳號(hào)在計(jì)算機(jī)機(jī)管理的的用戶里里面把Guest帳號(hào)停用用，任何何時(shí)候都都不允許許Guest帳號(hào)登陸陸系統(tǒng)。。為了保險(xiǎn)險(xiǎn)起見，，最好給給Guest加一個(gè)復(fù)復(fù)雜的密密碼，可可以打開開記事本本，在里里面輸入入一串包包含特殊殊字符,數(shù)字，字字母的長(zhǎng)長(zhǎng)字符串串。用它作為為Guest帳號(hào)的密密碼。并并且修改改Guest帳號(hào)的屬屬性，設(shè)設(shè)置拒絕絕遠(yuǎn)程訪訪問，如如圖7-1所示。3限制制用戶數(shù)數(shù)量去掉所有有的測(cè)試試帳戶、、共享帳帳號(hào)和普普通部門門帳號(hào)等等等。用用戶組策策略設(shè)置置相應(yīng)權(quán)權(quán)限，并并且經(jīng)常常檢查系系統(tǒng)的帳帳戶，刪刪除已經(jīng)經(jīng)不使用用的帳戶戶。帳戶很多多是黑客客們?nèi)肭智窒到y(tǒng)的的突破口口，系統(tǒng)統(tǒng)的帳戶戶越多，，黑客們們得到合合法用戶戶的權(quán)限限可能性性一般也也就越大大。對(duì)于WindowsNT/2000主機(jī)，如如果系統(tǒng)統(tǒng)帳戶超超過10個(gè)，一般般能找出出一兩個(gè)個(gè)弱口令令帳戶，，所以帳帳戶數(shù)量量不要大大于10個(gè)。4多個(gè)個(gè)管理員員帳號(hào)雖然這點(diǎn)點(diǎn)看上去去和上面面有些矛矛盾，但但事實(shí)上上是服從從上面規(guī)規(guī)則的。。創(chuàng)建一一個(gè)一般般用戶權(quán)權(quán)限帳號(hào)號(hào)用來處處理電子子郵件以以及處理理一些日日常事物物，另一一個(gè)擁有有Administrator權(quán)限的帳帳戶只在在需要的的時(shí)候使使用。因?yàn)橹灰卿浵迪到y(tǒng)以后后，密碼碼就存儲(chǔ)儲(chǔ)再WinLogon進(jìn)程中，，當(dāng)有其其他用戶戶入侵計(jì)計(jì)算機(jī)的的時(shí)候就就可以得得到登錄錄用戶的的密碼，，盡量減減少Administrator登錄的次次數(shù)和時(shí)時(shí)間。5管理理員帳號(hào)號(hào)改名Windows2000中的Administrator帳號(hào)是不不能被停停用的，，這意味味著別人人可以一一遍又一一邊的嘗嘗試這個(gè)個(gè)帳戶的的密碼。。把Administrator帳戶改名名可以有有效的防防止這一一點(diǎn)。不要使用用Admin之類的名名字，改改了等于于沒改，，盡量把把它偽裝裝成普通通用戶，，比如改改成：guestone。具體操操作的時(shí)時(shí)候只要要選中帳帳戶名改改名就可可以了，，如圖7-2所示。6陷阱阱帳號(hào)所謂的陷陷阱帳號(hào)號(hào)是創(chuàng)建建一個(gè)名名為“Administrator”的本地帳帳戶，把把它的權(quán)權(quán)限設(shè)置置成最低低，什么么事也干干不了的的那種，，并且加加上一個(gè)個(gè)超過10位的超級(jí)復(fù)復(fù)雜密碼。。這樣可以讓讓那些企圖圖入侵者忙忙上一段時(shí)時(shí)間了，并并且可以借借此發(fā)現(xiàn)它它們的入侵侵企圖?？煽梢詫⒃撚糜脩綦`屬的的組修改成成Guests組，如圖7-3所示。7更改默默認(rèn)權(quán)限共享文件的的權(quán)限從““Everyone””組改成“授授權(quán)用戶””?！癊veryone””在Windows2000中意味著任任何有權(quán)進(jìn)進(jìn)入你的網(wǎng)網(wǎng)絡(luò)的用戶戶都能夠獲獲得這些共共享資料。。任何時(shí)候不不要把共享享文件的用用戶設(shè)置成成“Everyone””組。包括打打印共享，，默認(rèn)的屬屬性就是““Everyone””組的，一定定不要忘了了改。設(shè)置置某文件夾夾共享默認(rèn)認(rèn)設(shè)置如圖圖7-4所示。8安全密碼碼好的密碼對(duì)對(duì)于一個(gè)網(wǎng)網(wǎng)絡(luò)是非常常重要的，，但是也是是最容易被被忽略的。。一些網(wǎng)絡(luò)管管理員創(chuàng)建建帳號(hào)的時(shí)時(shí)候往往用用公司名，，計(jì)算機(jī)名名，或者一一些別的一一猜就到的的字符做用用戶名，然然后又把這這些帳戶的的密碼設(shè)置置得比較簡(jiǎn)簡(jiǎn)單，比如如：“welcome”、“iloveyou””、“l(fā)etmein”或者和用戶戶名相同的的密碼等。。這樣的帳帳戶應(yīng)該要要求用戶首首此登陸的的時(shí)候更改改成復(fù)雜的的密碼，還還要注意經(jīng)經(jīng)常更改密密碼。這里給好密密碼下了個(gè)個(gè)定義：安安全期內(nèi)無無法破解出出來的密碼碼就是好密密碼，也就就是說，如如果得到了了密碼文檔檔，必須花花43天或者更長(zhǎng)長(zhǎng)的時(shí)間才才能破解出出來，密碼碼策略是42天必須改密密碼。9屏幕保護(hù)護(hù)密碼設(shè)置屏幕保保護(hù)密碼是是防止內(nèi)部部人員破壞壞服務(wù)器的的一個(gè)屏障障。注意不不要使用OpenGL和一些復(fù)雜雜的屏幕保保護(hù)程序，，浪費(fèi)系統(tǒng)統(tǒng)資源，黑黑屏就可以以了。還有一點(diǎn)，，所有系統(tǒng)統(tǒng)用戶所使使用的機(jī)器器也最好加加上屏幕保保護(hù)密碼。。將屏幕保護(hù)護(hù)的選項(xiàng)““密碼保護(hù)護(hù)”選中就就可以了，，并將等待待時(shí)間設(shè)置置為最短時(shí)時(shí)間“1秒”，如圖圖7-5所示。10NTFS分區(qū)區(qū)把服務(wù)器的的所有分區(qū)區(qū)都改成NTFS格格式。NTFS文件件系統(tǒng)要比比FAT、、FAT32的文件件系統(tǒng)安全全得多。11防毒軟軟件Windows2000/NT服務(wù)器一般般都沒有安安裝防毒軟軟件的，一一些好的殺殺毒軟件不不僅能殺掉掉一些著名名的病毒，，還能查殺殺大量木馬馬和后門程程序。設(shè)置了放毒毒軟件，““黑客”們們使用的那那些有名的的木馬就毫毫無用武之之地了，并并且要經(jīng)常常升級(jí)病毒毒庫。12備份盤盤的安全一旦系統(tǒng)資資料被黑客客破壞，備備份盤將是是恢復(fù)資料料的唯一途途徑。備份份完資料后后，把備份份盤防在安安全的地方方。不能把資料料備份在同同一臺(tái)服務(wù)務(wù)器上，這這樣的話還還不如不要要備份。安全配置方方案中級(jí)篇篇安全配置方方案中級(jí)篇篇主要介紹紹操作系統(tǒng)統(tǒng)的安全策策略配置，，包括十條條基本配置置原則：操作系統(tǒng)安安全策略、、關(guān)閉不必必要的服務(wù)務(wù)關(guān)閉不必要要的端口、、開啟審核核策略開啟密碼策策略、開啟啟帳戶策略略、備份敏敏感文件不顯示上次次登陸名、、禁止建立立空連接和和下載最新新的補(bǔ)丁1操作系系統(tǒng)安全策策略利用Windows2000的安全配置置工具來配配置安全策策略，微軟軟提供了一一套的基于于管理控制制臺(tái)的安全全配置和分分析工具，，可以配置置服務(wù)器的的安全策略略。在管理工具具中可以找找到“本地地安全策略略”，主界界面如圖7-6所示?？梢耘渲盟乃念惏踩卟呗裕簬魬舨呗?、本本地策略、、公鑰策略略和IP安全策略。。在默認(rèn)的的情況下，，這些策略略都是沒有有開啟的。。2關(guān)閉不不必要的服服務(wù)Windows2000的TerminalServices（終端服務(wù)務(wù)）和IIS（Internet信息服務(wù)））等都可能能給系統(tǒng)帶帶來安全漏漏洞。為了能夠在在遠(yuǎn)程方便便的管理服服務(wù)器，很很多機(jī)器的的終端服務(wù)務(wù)都是開著著的，如果果開了，要要確認(rèn)已經(jīng)經(jīng)正確的配配置了終端端服務(wù)。有些惡意的的程序也能能以服務(wù)方方式悄悄的的運(yùn)行服務(wù)務(wù)器上的終終端服務(wù)。。要留意服服務(wù)器上開開啟的所有有服務(wù)并每每天檢查。。Windows2000作為服務(wù)器器可禁用的的服務(wù)及其其相關(guān)說明明如表7-1所示。Windows2000可禁禁用的服務(wù)務(wù)服務(wù)名說明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Taskscheduler允許程序在指定時(shí)間運(yùn)行RoutingandRemoteAccess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫RemoteRegistryService允許遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件的自動(dòng)發(fā)布到訂閱COM組件3關(guān)閉不不必要的端端口關(guān)閉端口意意味著減少少功能，如如果服務(wù)器器安裝在防防火墻的后后面，被入入侵的機(jī)會(huì)會(huì)就會(huì)少一一些，但是是不可以認(rèn)認(rèn)為高枕無無憂了。用端口掃描描器掃描系系統(tǒng)所開放放的端口，，在Winnt\system32\drivers\etc\services文件中有知知名端口和和服務(wù)的對(duì)對(duì)照表可供供參考。該該文件用記記事本打開開如圖7-7所示。設(shè)置本機(jī)開開放的端口口和服務(wù)，，在IP地址設(shè)置窗窗口中點(diǎn)擊擊按鈕“高高級(jí)”，如如圖7-8所示。在出現(xiàn)的對(duì)對(duì)話框中選選擇選項(xiàng)卡卡“選項(xiàng)””，選中““TCP/IP篩選”，點(diǎn)點(diǎn)擊按鈕““屬性”，，如圖7-9所示。設(shè)置端口界界面如圖7-10所示。一臺(tái)Web服務(wù)器只允允許TCP的80端口通過就就可以了。。TCP/IP篩選器是Windows自帶的防火火墻，功能能比較強(qiáng)大大，可以替替代防火墻墻的部分功功能。4開啟審審核策略安全審核是是Windows2000最基本的入入侵檢測(cè)方方法。當(dāng)有有人嘗試對(duì)對(duì)系統(tǒng)進(jìn)行行某種方式式（如嘗試試用戶密碼碼，改變帳帳戶策略和和未經(jīng)許可可的文件訪訪問等等））入侵的時(shí)時(shí)候，都會(huì)會(huì)被安全審審核記錄下下來。很多的管理理員在系統(tǒng)統(tǒng)被入侵了了幾個(gè)月都都不知道，，直到系統(tǒng)統(tǒng)遭到破壞壞。表7-2的這些審核核是必須開開啟的，其其他的可以以根據(jù)需要要增加。策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗審核策略默默認(rèn)設(shè)置審核策略在在默認(rèn)的情情況下都是是沒有開啟啟的，如圖圖7-11所示。雙擊審核列列表的某一一項(xiàng)，出現(xiàn)現(xiàn)設(shè)置對(duì)話話框，將復(fù)復(fù)選框“成成功”和““失敗”都都選中，如如圖7-12所示。5開啟密密碼策略密碼對(duì)系統(tǒng)統(tǒng)安全非常常重要。本本地安全設(shè)設(shè)置中的密密碼策略在在默認(rèn)的情情況下都沒沒有開啟。。需要開啟啟的密碼策策略如表7-3所示策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位密碼最長(zhǎng)存留期15天強(qiáng)制密碼歷史5個(gè)設(shè)置選項(xiàng)如如圖7-13所示。。6開啟帳帳戶策略開啟帳戶策策略可以有有效的防止止字典式攻攻擊，設(shè)置置如表7-4所示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖定時(shí)間30分鐘帳戶鎖定閾值5次設(shè)置帳戶策策略設(shè)置的結(jié)果果如圖7-14所示示。7備份敏敏感文件把敏感文件件存放在另另外的文件件服務(wù)器中中，雖然服服務(wù)器的硬硬盤容量都都很大，但但是還是應(yīng)應(yīng)該考慮把把一些重要要的用戶數(shù)數(shù)據(jù)（文件件，數(shù)據(jù)表表和項(xiàng)目文文件等）存存放在另外外一個(gè)安全全的服務(wù)器器中，并且且經(jīng)常備份份它們8不顯示示上次登錄錄名默認(rèn)情況下下，終端服服務(wù)接入服服務(wù)器時(shí)，，登陸對(duì)話話框中會(huì)顯顯示上次登登陸的帳戶戶名，本地地的登陸對(duì)對(duì)話框也是是一樣。黑黑客們可以以得到系統(tǒng)統(tǒng)的一些用用戶名，進(jìn)進(jìn)而做密碼碼猜測(cè)。修改注冊(cè)表表禁止顯示示上次登錄錄名，在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改改成1，如圖7-15所示。9禁止建建立空連接接默認(rèn)情況下下，任何用用戶通過空空連接連上上服務(wù)器，，進(jìn)而可以以枚舉出帳帳號(hào)，猜測(cè)測(cè)密碼?？梢酝ㄟ^修修改注冊(cè)表表來禁止建建立空連接接。在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改改成“1”即可。如圖圖7-16所示。10下載載最新的補(bǔ)補(bǔ)丁很多網(wǎng)絡(luò)管管理員沒有有訪問安全全站點(diǎn)的習(xí)習(xí)慣，以至至于一些漏漏洞都出了了很久了，，還放著服服務(wù)器的漏漏洞不補(bǔ)給給人家當(dāng)靶靶子用。誰也不敢保保證數(shù)百萬萬行以上代代碼的Windows2000不出一點(diǎn)安安全漏洞。。經(jīng)常訪問微微軟和一些些安全站點(diǎn)點(diǎn)，下載最最新的ServicePack和漏洞補(bǔ)丁丁，是保障障服務(wù)器長(zhǎng)長(zhǎng)久安全的的唯一方法法。安全配置方方案高級(jí)篇篇高級(jí)篇介紹紹操作系統(tǒng)統(tǒng)安全信息息通信配置置，包括十十四條配置置原則：關(guān)閉DirectDraw、關(guān)閉默認(rèn)認(rèn)共享禁用DumpFile、文件加密密系統(tǒng)加密Temp文件夾、鎖鎖住注冊(cè)表表、關(guān)機(jī)時(shí)時(shí)清除文件件禁止軟盤光光盤啟動(dòng)、、使用智能能卡、使用用IPSec禁止判斷主主機(jī)類型、、抵抗DDOS禁止Guest訪問日志和和數(shù)據(jù)恢復(fù)復(fù)軟件1關(guān)閉DirectDrawC2級(jí)安全標(biāo)準(zhǔn)準(zhǔn)對(duì)視頻卡卡和內(nèi)存有有要求。關(guān)關(guān)閉DirectDraw可能對(duì)一些些需要用到到DirectX的程序有影影響（比如如游戲），，但是對(duì)于于絕大多數(shù)數(shù)的商業(yè)站站點(diǎn)都是沒沒有影響的的。在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將將鍵鍵值值改改為為““0””即可可，，如如圖圖7-17所示示。。2關(guān)關(guān)閉閉默默認(rèn)認(rèn)共共享享Windows2000安裝裝以以后后，，系系統(tǒng)統(tǒng)會(huì)會(huì)創(chuàng)創(chuàng)建建一一些些隱隱藏藏的的共共享享，，可可以以在在DOS提示示符符下下輸輸入入命命令令NetShare查看看，，如如圖圖7-18所示示。。停止止默默認(rèn)認(rèn)共共享享禁止止這這些些共共享享，，打打開開管管理理工工具具>計(jì)算算機(jī)機(jī)管管理理>共享享文文件件夾夾>共享享，，在在相相應(yīng)應(yīng)的的共共享享文文件件夾夾上上按按右右鍵鍵，，點(diǎn)點(diǎn)停停止止共共享享即即可可，，如如圖圖7-19所示示。。3禁禁用用Dump文文件件在系系統(tǒng)統(tǒng)崩崩潰潰和和藍(lán)藍(lán)屏屏的的時(shí)時(shí)候候，，Dump文件件是是一一份份很很有有用用資資料料，，可可以以幫幫助助查查找找問問題題。。然然而而，，也也能能夠夠給給黑黑客客提提供供一一些些敏敏感感信信息息，，比比如如一一些些應(yīng)應(yīng)用用程程序序的的密密碼碼等等需要要禁禁止止它它，，打打開開控控制制面面板板>系統(tǒng)統(tǒng)屬屬性性>高級(jí)級(jí)>啟動(dòng)動(dòng)和和故故障障恢恢復(fù)復(fù)，，把把寫寫入入調(diào)調(diào)試試信信息息改改成成無無，，如如圖圖7-20所示示。。4文文件件加加密密系系統(tǒng)統(tǒng)Windows2000強(qiáng)大大的的加加密密系系統(tǒng)統(tǒng)能能夠夠給給磁磁盤盤，，文文件件夾夾，，文文件件加加上上一一層層安安全全保保護(hù)護(hù)。。這這樣樣可可以以防防止止別別人人把把你你的的硬硬盤盤掛掛到到別別的的機(jī)機(jī)器器上上以以讀讀出出里里面面的的數(shù)數(shù)據(jù)據(jù)。。微軟軟公公司司為為了了彌彌補(bǔ)補(bǔ)WindowsNT4.0的不不足足，，在在Windows2000中，，提提供供了了一一種種基基于于新新一一代代NTFS：NTFSV5（第第5版本本））的的加加密密文文件件系系統(tǒng)統(tǒng)（（EncryptedFileSystem，簡(jiǎn)簡(jiǎn)稱稱EFS）。。EFS實(shí)現(xiàn)現(xiàn)的的是是一一種種基基于于公公共共密密鑰鑰的的數(shù)數(shù)據(jù)據(jù)加加密密方方式式，，利利用用了了Windows2000中的的CryptoAPI結(jié)構(gòu)構(gòu)。。5加加密密Temp文文件件夾夾一些些應(yīng)應(yīng)用用程程序序在在安安裝裝和和升升級(jí)級(jí)的的時(shí)時(shí)候候，，會(huì)會(huì)把把一一些些東東西西拷拷貝貝到到Temp文件件夾夾，，但但是是當(dāng)當(dāng)程程序序升升級(jí)級(jí)完完畢畢或或關(guān)關(guān)閉閉的的時(shí)時(shí)候候，，并并不不會(huì)會(huì)自自己己清清除除Temp文件夾的的內(nèi)容。。所以，給給Temp文件夾加加密可以以給你的的文件多多一層保保護(hù)。6鎖住住注冊(cè)表表在Windows2000中，只有有Administrators和BackupOperators才有從網(wǎng)網(wǎng)絡(luò)上訪訪問注冊(cè)冊(cè)表的權(quán)權(quán)限。當(dāng)當(dāng)帳號(hào)的的密碼泄泄漏以后后，黑客客也可以以在遠(yuǎn)程程訪問注注冊(cè)表，，當(dāng)服務(wù)務(wù)器放到到網(wǎng)絡(luò)上上的時(shí)候候，一般般需要鎖鎖定注冊(cè)冊(cè)表。修修改Hkey_current_user下的子鍵鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為為0，類型為為DWORD，如圖7-21所示。7關(guān)機(jī)機(jī)時(shí)清除除文件頁面文件件也就是是調(diào)度文文件，是是Windows2000用來存儲(chǔ)儲(chǔ)沒有裝裝入內(nèi)存存的程序序和數(shù)據(jù)據(jù)文件部部分的隱隱藏文件件。一些第三三方的程程序可以以把一些些沒有的的加密的的密碼存存在內(nèi)存存中，頁頁面文件件中可能能含有另另外一些些敏感的的資料。。要在關(guān)關(guān)機(jī)的時(shí)時(shí)候清楚楚頁面文文件，可可以編輯輯注冊(cè)表表修改改主鍵HKEY_LOCAL_MACHINE下的子鍵鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置置成1，如圖7-22所示。8禁止止軟盤光光盤啟動(dòng)動(dòng)一些第三三方的工工具能通通過引導(dǎo)導(dǎo)系統(tǒng)來來繞過原原有的安安全機(jī)制制。比如如一些管管理員工工具，從從軟盤上上或者光光盤上引引導(dǎo)系統(tǒng)統(tǒng)以后，，就可以以修改硬硬盤上操操作系統(tǒng)統(tǒng)的管理理員密碼碼。如果服務(wù)務(wù)器對(duì)安安全要求求非常高高，可以以考慮使使用可移移動(dòng)軟盤盤和光驅(qū)驅(qū)，把機(jī)機(jī)箱鎖起起來仍然然不失為為一個(gè)好好方法。。9使用用智能卡卡對(duì)于密碼碼，總是是使安全全管理員員進(jìn)退兩兩難，容容易受到到一些工工具的攻攻擊，如如果密碼碼太復(fù)雜雜，用戶戶把為了了記住密密碼，會(huì)會(huì)把密碼碼到處亂亂寫。如果條條件允允許，，用智智能卡卡來代代替復(fù)復(fù)雜的的密碼碼是一一個(gè)很很好的的解決決方法法。10使使用用IPSec正如其其名字字的含含義，，IPSec提供IP數(shù)據(jù)包包的安安全性性。IPSec提供身身份驗(yàn)驗(yàn)證、、完整整性和和可選選擇的的機(jī)密密性。。發(fā)送送方計(jì)計(jì)算機(jī)機(jī)在傳傳輸之之前加加密數(shù)數(shù)據(jù)，，而接接收方方計(jì)算算機(jī)在在收到到數(shù)據(jù)據(jù)之后后解密密數(shù)據(jù)據(jù)。利用IPSec可以使使得系系統(tǒng)的的安全全性能能大大大增強(qiáng)強(qiáng)。11禁禁止止判斷斷主機(jī)機(jī)類型型黑客利利用TTL（Time-To-Live，活動(dòng)動(dòng)時(shí)間間）值值可以以鑒別別操作作系統(tǒng)統(tǒng)的類類型，，通過過Ping指令能能判斷斷目標(biāo)標(biāo)主機(jī)機(jī)類型型。Ping的用處處是檢檢測(cè)目目標(biāo)主主機(jī)是是否連連通。。許多入入侵者者首先先會(huì)Ping一下主主機(jī)，，因?yàn)闉楣魮裟骋灰慌_(tái)計(jì)計(jì)算機(jī)機(jī)需要要根據(jù)據(jù)對(duì)方方的操操作系系統(tǒng)，，是Windows還是Unix。如過過TTL值為128就可以以認(rèn)為為你的的系統(tǒng)統(tǒng)為Windows2000，如圖圖7-23所示。。從圖中中可以以看出出，TTL值為128，說明明改主主機(jī)的的操作作系統(tǒng)統(tǒng)是Windows2000操作系系統(tǒng)。。表7-6給出了了一些些常見見操作作系統(tǒng)統(tǒng)的對(duì)對(duì)照值值。操作系統(tǒng)類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，，入侵侵者就就無法法入侵侵電腦腦了。。比如如將操操作系系統(tǒng)的的TTL值改為為111，修改改主鍵鍵HKEY_LOCAL_MACHINE的子鍵鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一一個(gè)雙雙字節(jié)節(jié)項(xiàng)，，如圖圖7-24所示。。在鍵的的名稱稱中輸輸入““defaultTTL””，然后后雙擊擊改鍵鍵名，，選擇擇單選選框““十進(jìn)進(jìn)制””，在在文本本框中中輸入入111，如圖圖7-25所示。。設(shè)置完完畢重新啟啟動(dòng)計(jì)計(jì)算機(jī)機(jī)，再用用Ping指令，，發(fā)現(xiàn)現(xiàn)TTL的值已已經(jīng)被被改成成111了，如如圖7-26所示。。12抵抵抗抗DDOS添加注注冊(cè)表表的一一些鍵鍵值，，可以以有效效的抵抵抗DDOS的攻擊擊。在在鍵值值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加加響應(yīng)應(yīng)的鍵鍵及其其說明明如表表7-7所示。。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設(shè)置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報(bào)文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí),保護(hù)機(jī)制才會(huì)采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協(xié)議"EnableDeadGWDetect"=dword:00000000禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)"IPEnableRouter"=dword:00000001支持路由功能13禁禁止止Guest訪訪問日日志在默認(rèn)認(rèn)安裝裝的WindowsNT和Windows2000中，Guest帳號(hào)和和匿名名用戶戶可以以查看看系統(tǒng)統(tǒng)的事事件日日志，，可能能導(dǎo)致致許多多重要要信息息的泄泄漏，，修改改注冊(cè)冊(cè)表來來禁止止Guest訪問事事件日日志。。禁止Guest