第1章概述

本章提要：

?計(jì)算機(jī)網(wǎng)絡(luò)信息安全的實(shí)質(zhì)

?國內(nèi)外安全立法概述，安全管理傕述，安全技術(shù)概述

?實(shí)現(xiàn)物理安全需要考慮的內(nèi)容

?系統(tǒng)平臺的安全風(fēng)險(xiǎn)及安全加固方案

引言

提到網(wǎng)絡(luò)安全,人們就會想到最近幾年給社會生活帶來巨大震蕩的一系列事件：2001年

的“尼姆達(dá)”，2002年的“求職信”，2003年的“沖擊波”，2004年針對網(wǎng)絡(luò)銀行窿戶的“網(wǎng)

絡(luò)釣魚“，2005年4月中國電侑部分省市寬帶網(wǎng)大面積中斷……每一次事件的爆發(fā)，其后果

都是一樣的，那就是宜接、間接的巨大經(jīng)濟(jì)損失.

網(wǎng)絡(luò)改變著我們的生活方式.中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)于2005年1月19日發(fā)

布了第15次互聯(lián)網(wǎng)調(diào)查報(bào)告(注：此項(xiàng)調(diào)壹從1997年開始.至今共進(jìn)行了15次.由CNNIC

聯(lián)合四個(gè)互聯(lián)網(wǎng)絡(luò)單位實(shí)施,是關(guān)于我國Internet發(fā)展?fàn)顩r最全面、準(zhǔn)確的權(quán)威性統(tǒng)計(jì)報(bào)告).

報(bào)告顯示：網(wǎng)民數(shù)、上網(wǎng)計(jì)算機(jī)數(shù)分別達(dá)到了XOO萬戶、4160萬臺；CN下注冊的域名數(shù)、

網(wǎng)站數(shù)分別達(dá)到了432077個(gè)、668900個(gè)；網(wǎng)絡(luò)國際出口帶寬總數(shù)達(dá)到74429Mbit/s：我國

內(nèi)地的IPv4地址數(shù)達(dá)到了59945728個(gè).

然而,網(wǎng)絡(luò)的危險(xiǎn)卻無時(shí)不在，無處不在.“網(wǎng)堵安全”在人們眼中似乎成為一種不可求

得的理想狀態(tài)，即便是投入大量資金進(jìn)行安全建設(shè)的企業(yè)，依然會因?yàn)楦鞣N威脅而蒙受損失.

那么，我們能做些什么呢？我們該做些什么呢？我們該怎么做呢？

1.1計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系

計(jì)算機(jī)網(wǎng)絡(luò)是指把地理上分散的多臺獨(dú)立自主的計(jì)算機(jī)通過軟、硬件設(shè)餐互連，以實(shí)現(xiàn)

資源共享和信息交換的系統(tǒng).

信息安全涉及信息的保密性(Confidentiality),完整性(Integrity)、可用性(Availability)、

可控性(Controllability).綜合起來說,就是要保障電子信息的有效性.“保密性”就是對抗

對手的被動(dòng)攻擊.保證信息不泄案給未經(jīng)授權(quán)的人；"完整性”就是對抗對手的主動(dòng)攻擊，防

止信息被未經(jīng)授權(quán)的募改：“可用性"就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用；“可

網(wǎng)絡(luò)安全應(yīng)用技術(shù)

控性”就是對信息及信息系統(tǒng)實(shí)旅安全監(jiān)控.

計(jì)算機(jī)網(wǎng)絡(luò)信息安全的實(shí)質(zhì)就是安全立法、安全管理和安全技術(shù)的綜合實(shí)施?正如“木

桶原理”所說的：你的能力是由你最弱的那個(gè)環(huán)節(jié)決定的，因此，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息的安

全，應(yīng)該從上述三個(gè)方面考慮，而不能只偏重其中的某一個(gè)部分?在本書中，我們將計(jì)算機(jī)

網(wǎng)絡(luò)信息安全體系用RH-1友示.

安法實(shí)金皆現(xiàn)安全技術(shù)

圖14計(jì)*機(jī)網(wǎng)絡(luò)信息安全體系

1.1.1安全立法概述

當(dāng)今社會，計(jì)算機(jī)網(wǎng)絡(luò)犯罪活動(dòng)勇徵的一個(gè)主要原因，在于各國的計(jì)算機(jī)網(wǎng)絡(luò)信息安全

方面的立法不健全.隨著各種形式網(wǎng)絡(luò)犯罪、信息犯罪的不斷出現(xiàn)，對互聯(lián)網(wǎng)進(jìn)行必要的管

制和立法,日益完善安全立法.已成為世界性的趨勢.

1.國外安全立法簡介

(!)英國

1996年以前，英國主要依據(jù)《黃色出版物法》、《青少年保護(hù)法》、《錄像制品法》、

《禁止泛用電腦法》和《刑事司法與公共秩序修正法》,懲處利用電腦和互聯(lián)網(wǎng)絡(luò)進(jìn)行犯罪的

行為.1996年9月23日，英國政府頒布了第一個(gè)網(wǎng)絡(luò)監(jiān)管行業(yè)性法規(guī)《3R安全規(guī)則》.其

中“3R”代表分級認(rèn)定、舉報(bào)告發(fā)、承擔(dān)責(zé)任.

英國廣播電視的主管機(jī)關(guān)一獨(dú)立電視委員會(1TC)公開宣稱，依照英國1990年的《廣

播法》，它有權(quán)對因特網(wǎng)上的電視節(jié)目以及包含靜止或活動(dòng)圖像的廣告進(jìn)行管理，但它目前

并不打算直接行使其對因特網(wǎng)的管理權(quán)力，而是致力于指導(dǎo)和協(xié)助網(wǎng)絡(luò)行業(yè)建立一種自我管

理的機(jī)制.

英國政府1999年公布了《電子通信法案》的征求意見稿.這一草案醞釀已久，其主

要目的是為促進(jìn)英國電子商務(wù)發(fā)展，并為社會各界樹立對電子商務(wù)的信心而提供法律上的

保證.

(2)德國

德國是歐洲信息技術(shù)最發(fā)達(dá)的國家，其電子信息和通信服務(wù)已涉及該國所有經(jīng)濟(jì)和生活

領(lǐng)域.德國政府出臺了《信息和通信服務(wù)規(guī)范法》，即《多媒體法》.《多媒體法》于1997

年6月13日在聯(lián)邦會議獲得通過.1997年8月1日生效.《多媒體法》規(guī)定：服務(wù)提供者

根據(jù)般法律對自己提供的內(nèi)容負(fù)責(zé)；若提供的是他人的內(nèi)容，服務(wù)提供者只有在了解這些

內(nèi)容.在技術(shù)上有可能阻止其傳播的情況下對內(nèi)容負(fù)責(zé)；他人提供的內(nèi)容，在服務(wù)提供者的

途徑中傳播.服務(wù)提供者不對其內(nèi)容負(fù)責(zé)；根據(jù)用戶要求自動(dòng)和短時(shí)間地提供他人的內(nèi)容被

-2-

第I章幔■述

認(rèn)為是傳播途徑的中介；若服務(wù)提供者在不違背電信法有關(guān)保守電信秘密規(guī)定的情況下了解

這些內(nèi)容、在技術(shù)上有可能阻止且進(jìn)行阻止不超過其承受能力，則有義務(wù)按一般法律阻止違

法的內(nèi)容.

此外,德國政府還通過了《電信眼務(wù)數(shù)據(jù)保護(hù)法》,并根據(jù)發(fā)展信息和通信服務(wù)的需要

對《刑法》法典、《傳播危害青少年文字法》、《著作權(quán)法》和《報(bào)價(jià)法》作了必要的修改

和補(bǔ)充。

(3)美國

美眾院司法委員會要求.色情郵件須加標(biāo)注，使得用戶可以不打開郵件直接將郵件IM除.

另外，因特網(wǎng)接入朦務(wù)提供商可以起訴潴發(fā)垃圾郵件者，索賠100萬美元以上的費(fèi)用.

此外,《兒童網(wǎng)上保護(hù)法》已經(jīng)獲得美國國會批準(zhǔn)，并在1998年經(jīng)美國前總統(tǒng)克林頓簽

署成為法律?該法要求商業(yè)網(wǎng)站的運(yùn)營者在允許互聯(lián)網(wǎng)用戶瀏覽對未成年人有害的內(nèi)容之前，

先使用電子年齡驗(yàn)證系統(tǒng)對互聯(lián)網(wǎng)用戶的年齡進(jìn)行鑒別?第一次建反者將面臨最高6個(gè)月的

監(jiān)禁和50(XX)美元的罰款.但是,這條法律由于網(wǎng)站運(yùn)營商缺乏有效的措施來陰止未成年人

接觸有害內(nèi)容而從未正式實(shí)施過.

(4)法國

法國在國際互聯(lián)網(wǎng)的使用上起步較晚，此前它使用的是自建的一套商業(yè)電信系統(tǒng)。在

意識到因特網(wǎng)的重要性及其存在的何JS之后.法國政府積極地關(guān)注因特網(wǎng)的發(fā)展并制訂了

有關(guān)法律.1996年6月,法國郵電、電信及空間部長級代表對一部有關(guān)通信自由的法律進(jìn)

行補(bǔ)充并提出《菲勒修正案》。該法案根據(jù)互聯(lián)網(wǎng)的特點(diǎn)，為在互聯(lián)網(wǎng)從業(yè)人員和用戶之

間自律解決互聯(lián)網(wǎng)帶來的有關(guān)問題提出以下三方面措旗：迫使上網(wǎng)服務(wù)的網(wǎng)絡(luò)信道提供者

向客戶提供封鎖某些信道的軟件設(shè)備，從而使成年人通過技術(shù)控制對未成年人負(fù)貴】建立

一個(gè)委員會負(fù)責(zé)制訂上網(wǎng)服務(wù)的職業(yè)規(guī)癌，對被告發(fā)的服務(wù)提出處理意見，特別是重新負(fù)

費(fèi)原由網(wǎng)絡(luò)信息委員會管轄的終端視訊服務(wù)；若網(wǎng)絡(luò)信道提供者違反技術(shù)規(guī)定，為進(jìn)入已

存異議的上網(wǎng)提供信道，或在知情的情況下為被控告的服務(wù)進(jìn)入網(wǎng)絡(luò)提供信道.則追究其

刑事責(zé)任.

(5)新加坡

新加坡廣播管理局(SBA)1996年7月I1日宣布對互聯(lián)網(wǎng)絡(luò)實(shí)行管制，宣布實(shí)施分類

許可證制度.該制度自1996年7月15日起生效.它是一種自動(dòng)取得許可證的制度，目的是

鼓勵(lì)正當(dāng)使用互聯(lián)網(wǎng)絡(luò)，促進(jìn)其在新加堪的健康發(fā)展。它依據(jù)計(jì)售機(jī)空間的量基本標(biāo)準(zhǔn)，謀

求保護(hù)網(wǎng)絡(luò)用戶，尤其是年輕人，免受非法和不健康的信息傳播之害.

(6)韓國

韓國情報(bào)通信部目前正在積極推進(jìn)有關(guān)利用信息通信網(wǎng)的法律修改工作，以加強(qiáng)時(shí)信息

通信網(wǎng)的管理。按照該法案,韓國將制定一部《關(guān)于保護(hù)個(gè)人信息和確立健全的信息通信秩

序》的法律。這一法律將明確規(guī)定個(gè)人信息管理者和使用者的權(quán)限和責(zé)任，對向第三者泄漏

個(gè)人信息者將加重處罰，刑期從過去的1年以下增加至7年以下，井將處以10億韓元以下的

罰款(U00韓元合1美元).與此同時(shí)，這一法律還將加強(qiáng)對涅穢、暴力、犯罪等非法信息

流通的管理.

2.我國計(jì)算機(jī)網(wǎng)絡(luò)信息安全立法簡介

從20世紀(jì)90年代初起，為配合網(wǎng)絡(luò)信息安全管理的需要，國家、相關(guān)部門、行業(yè)和地

-3-

網(wǎng)絡(luò)安全應(yīng)用技末

方政府相繼制定了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定《商用密碼管

理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)

算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)

間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等有關(guān)網(wǎng)絡(luò)信息安全的法律法規(guī)文件.

我國網(wǎng)絡(luò)信息安全立法體系框架分為以下三個(gè)層面.

第一層面：法律

指由全國人民代表大會及其常委會通過的法律規(guī)的.

我國與信息網(wǎng)絡(luò)安全相關(guān)的法律主要有：《憲法》、《人民警察法》、《刑法》、《治安管理

處罰條例》、《刑事訴訟法》、《國家安全法人《保守國家秘巒法》、《行政處罰法》、《行政訴

訟法》、《行政復(fù)議法》、《國家賠償法》、《立法法》,《全國人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全

的決定》等.

例如《刑法》第二百八十五條規(guī)定，違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科

學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役.

第二層面：行政法規(guī)

指國務(wù)院為執(zhí)行憲法和法律而制定的法律規(guī)范.

與信息網(wǎng)絡(luò)安全有關(guān)的行政法規(guī)主要有《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條

例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理忸行規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)

安全保護(hù)管理辦法》、《商用密碼管理?xiàng)l例》、《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務(wù)

管理辦法》、《計(jì)算機(jī)軟件保護(hù)條例》等.

例如《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理蕾行規(guī)定》中規(guī)定計(jì)算機(jī)信息網(wǎng)絡(luò)

進(jìn)行國際聯(lián)網(wǎng)的原則：a,必須使用郵電部國家公用電信網(wǎng)提供的國際出入口信道：b.接入

網(wǎng)絡(luò)必須通過互聯(lián)網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)：c.用戶的計(jì)算機(jī)或計(jì)算機(jī)侑息網(wǎng)絡(luò)必須通過接入網(wǎng)絡(luò)

進(jìn)行國際聯(lián)網(wǎng).

第三層面：地方性法規(guī)、規(guī)童、規(guī)范性文件

指國務(wù)院各部、委根據(jù)法律和國務(wù)院行政法規(guī)，在本部門的權(quán)限范圍內(nèi)制定的法律規(guī)范，

以及省、自治區(qū)、宜轄市和較大的市的人民政府根據(jù)法律、行政法規(guī)和本省.自治區(qū)、直轄

市的地方性法規(guī)制定的法律規(guī)范.這些規(guī)范性文件.

例如公安部制定了《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷倍許可證管理辦法》，《計(jì)算

機(jī)痛毒防治管理辦法》、《金融機(jī)構(gòu)計(jì)豫機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《關(guān)于開展計(jì)算

機(jī)安全員培訓(xùn)工作的通知》等。

信息產(chǎn)業(yè)部制定了《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《計(jì)算機(jī)信

息系統(tǒng)集成密質(zhì)管理辦法》、《國際通信出入口局管理辦法》、《國際通信設(shè)施建設(shè)管理規(guī)定》、

《中國互聯(lián)網(wǎng)絡(luò)域名管理辦券》、《電信網(wǎng)間互聯(lián)管理哲行規(guī)定》等“

1.1.2安全管理概述

長期以來,人們對保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全的手段偏重于依IT技術(shù),從早期的加密技

術(shù)、數(shù)據(jù)各份、防病毒，到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢漓、身份認(rèn)證等。廠商在安

全技術(shù)和產(chǎn)品的研發(fā)上不遺余力，新的技術(shù)和產(chǎn)品不新涌現(xiàn)：消費(fèi)者也更加相信安全產(chǎn)品.

把僅有的預(yù)算都投入到安全產(chǎn)品的采購上.但僅僅依靠技術(shù)和產(chǎn)品來保障網(wǎng)絡(luò)信息安全的

-4-

第1章幅述

愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的「三分技術(shù)，

七分管理”這個(gè)在其他領(lǐng)域總結(jié)出來的實(shí)踐經(jīng)驗(yàn)和原則.在信息安全領(lǐng)域也同樣適用。據(jù)

有關(guān)部門統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中，約有52%是人為因素造成的，25%由火災(zāi)、

水災(zāi)等自然災(zāi)害引起,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%，僅有3%左右是由外

部不法人員的攻擊造成,由此可知，屬于管理方面原因產(chǎn)生的安全事件比重高達(dá)70%以

上，其中的95%是可以通過科學(xué)的安全管理來避免的.安全管理已成為為計(jì)算機(jī)網(wǎng)絡(luò)信

息安全保障能力的重要基礎(chǔ)，它包括系統(tǒng)安全管理、安全服務(wù)管理以及安全機(jī)制管理三個(gè)

方面。

1.系統(tǒng)安全管理

系統(tǒng)安全管理是指涉及環(huán)境安全方面的管理.屬于這一類安全管理的典型活動(dòng)有如下幾

個(gè)方面.

（1）總體安全策略的管理，包括致性的修改與維護(hù).

（2）與其他安全管理功能的相互作用.

（3）與安全服務(wù)管理和安全機(jī)制管理的交互作用.

（4）事件處理管理，包括遠(yuǎn)程報(bào)告那些建反系統(tǒng)安全的明顯企圖，以及對用來觸發(fā)事件

報(bào)告的閾值的修改。

（5）安全審計(jì)管理，包括選擇將被記錄和被遠(yuǎn)程搜集的事件，授予或取消對所選?件進(jìn)

行審計(jì)跟蹤日志記錄的能力，審計(jì)記錄的運(yùn)程搜集，準(zhǔn)等安全審計(jì)報(bào)告.

（6）安全恢復(fù)管理,包括維護(hù)那些用來對實(shí)有的或可疑的安全事故做出反應(yīng)的規(guī)則，遠(yuǎn)

程報(bào)告對系統(tǒng)安全的明顯建規(guī)，安全管理者的交互作用.

2.安全服務(wù)管理

安全服務(wù)管理是指涉及特定安全服務(wù)的管理.在管理?種特定安全服務(wù)時(shí)，可能執(zhí)行的

典型活動(dòng)有如下幾個(gè)方面。

（i）為該服務(wù)決定與指派安全保護(hù)的目標(biāo).

（2）指定與維護(hù)選擇規(guī)則（存在可選情況時(shí)），用以選取為提供所需的安全服務(wù)而使用的

州定的安全機(jī)制。

（3）對那些需要事先取得管理者同意的可用安全機(jī)制進(jìn)行協(xié)商.

<4）通過適當(dāng)?shù)陌踩珯C(jī)制管理功能調(diào)用特定的安全機(jī)制.

（5）與其他的安全服務(wù)管理功能和安全機(jī)制管理功能的交互作用.

3.安全機(jī)制管理

安全機(jī)制管理是指涉及特定安全機(jī)制的管理。典型的安全機(jī)制管理功能有如下幾個(gè)方面.

（1）密鑰管理；

（2）加密管理；

（3）數(shù)字簽名管理：

<4）訪問控制管理：

<5）數(shù)據(jù)完整性管理；

（6）鑒別管理；

（7）通信業(yè)務(wù)填充管理,，

（8）路由選擇控制管理?

-5

網(wǎng)絡(luò)安全點(diǎn)M技米

（9）公證管理。

1.1.3安全技術(shù)概述

安全技術(shù)包括以下四個(gè)方面的內(nèi)容：物理安全、系統(tǒng)平臺安全、網(wǎng)絡(luò)安全和應(yīng)用安全.

I.物理安全

物理安全是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他

環(huán)境事故（如電磁污染等）破壞的措施和過程.

本章1.2節(jié)將對其做出說明。

2.系統(tǒng)平臺安全

系統(tǒng)平臺安全主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全，這是兩類非常成熟的

產(chǎn)品，安全功能較為完善,為了保證系統(tǒng)平臺安全，總體思路是先通過安全加固解決企業(yè)

管理方面安全漏洞,然后采用安全技術(shù)設(shè)備來增強(qiáng)其安全防護(hù)能力。本章1.3節(jié)將做詳細(xì)的

說明.

3.網(wǎng)絡(luò)安全.

計(jì)算機(jī)網(wǎng)絡(luò)是應(yīng)用數(shù)據(jù)的傳輸通道，并控制流入、流出內(nèi)部網(wǎng)的信息流.網(wǎng)絡(luò)安全最主

要的任務(wù)是規(guī)范其連接方式,加強(qiáng)訪問控制，部署安全保護(hù)產(chǎn)品,建立相應(yīng)的管理制度并貫

制實(shí)施。建設(shè)網(wǎng)絡(luò)安全體系應(yīng)注意以下幾個(gè)方面.

（I）計(jì)算機(jī)網(wǎng)絡(luò)邊界的保護(hù)強(qiáng)度與其內(nèi)部網(wǎng)中數(shù)據(jù)、應(yīng)用的重要程度緊密相關(guān)，網(wǎng)絡(luò)安

全等級應(yīng)根據(jù)節(jié)點(diǎn)的網(wǎng)絡(luò)規(guī)模、數(shù)據(jù)里要性和應(yīng)用重要性進(jìn)行劃分并動(dòng)態(tài)調(diào)整。

（2）可以根據(jù)不同數(shù)據(jù)和應(yīng)用的安全等級以及相互之間的訪問關(guān)系，將內(nèi)部網(wǎng)絡(luò)劃分為

不同的區(qū)域，建立以防火墻為核心的邊界防護(hù)體系.

（3）項(xiàng)目規(guī)劃階段就要考慮防火墻、漏洞掃描、入侵檢泅和防病毒等各安全產(chǎn)品之間的

互相協(xié)作關(guān)系.以實(shí)現(xiàn)動(dòng)態(tài)防護(hù)。

網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的.整體的系統(tǒng)工程，一個(gè)單獨(dú)的組件是無法確保信息網(wǎng)絡(luò)安全性

的.一套網(wǎng)絡(luò)安全完整解決方案包括以下一些技術(shù)環(huán)節(jié).

?應(yīng)用防病毒技術(shù).建立全面的網(wǎng)絡(luò)防病毒體系,本書第3章介紹?

?應(yīng)用數(shù)據(jù)加密技術(shù)，保證數(shù)據(jù)的保密性和完整性；本書第4章介紹?

?應(yīng)用防火墻技術(shù),控制訪問權(quán)陽，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理,本書第5章介紹.

?應(yīng)用入侵檢測技術(shù)保護(hù)主機(jī)資源，防止內(nèi)外網(wǎng)攻擊，本書第6章介紹?

?應(yīng)用安全漏洞掃描技術(shù)主動(dòng)探測網(wǎng)絡(luò)安全漏洞，進(jìn)行定期網(wǎng)絡(luò)安全評估與安全加固，

本書第1章與第7章介紹.

?應(yīng)用網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全可靠的運(yùn)行,防范突發(fā)事件，本書第2

章與第9章介紹.

4.應(yīng)用安全

應(yīng)用安全是保護(hù)應(yīng)用系統(tǒng)安全、穩(wěn)定的運(yùn)行,保障企業(yè)和企業(yè)用戶的合法權(quán)益.保證應(yīng)

用系統(tǒng)安全,應(yīng)加強(qiáng)以下兩個(gè)方面的建設(shè)。

<1）建立統(tǒng)一的密碼基礎(chǔ)設(shè)施,保證在此統(tǒng)一的基礎(chǔ)上實(shí)現(xiàn)各項(xiàng)安全技術(shù).

<2）實(shí)施合適的安全技術(shù).如身份鑒別、訪問控制、審計(jì)，數(shù)據(jù)保密性與完整性保護(hù)、

著份與恢復(fù)等，

-6-

M\t梃述

1.2物理安全

物理安全是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的前提，如果物理安全得不到保證，則整個(gè)計(jì)算機(jī)

網(wǎng)絡(luò)信息系統(tǒng)的安全也就不可能實(shí)現(xiàn).

目前，物理安全防范日益重要，特別是對于大型數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)的安全防范。為此

各國針對物理安全防范需求，制定了詳細(xì)的技術(shù)標(biāo)準(zhǔn)，我國出臺了以下一些技術(shù)規(guī)范：

?GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》；

?《計(jì)算機(jī)站場地技術(shù)條件》；

?GB9361-88《計(jì)算機(jī)站場安全要求》：

?《計(jì)算機(jī)信息系統(tǒng)安全通用技術(shù)規(guī)范》.

具體地說，實(shí)現(xiàn)物理安全需要考慮的問題如表1-1所示。

*14物理安全包含的內(nèi)容

考慮因案具體描述

消除火災(zāi)防患

設(shè)置火災(zāi)報(bào)■系統(tǒng)

防火

配置滅火設(shè)番

加強(qiáng)防火管理和掾作規(guī)范

不在機(jī)房內(nèi)鋪設(shè)水*和蒸汽管道

防水墻壁、天花板、地面應(yīng)選擇防水防潮材料

不將機(jī)房設(shè)在樓房底層戚她下室

機(jī)房所在建筑特應(yīng)具抗蒙能力

防K機(jī)柜和網(wǎng)絡(luò)設(shè)務(wù)費(fèi)固定牢靠，并安裝防11裝置

不It動(dòng)在線運(yùn)行的網(wǎng)絡(luò)設(shè)備等

設(shè)置報(bào)警器

加裝候定裝置

防盜

攝像監(jiān)控

嚴(yán)格限制無關(guān)人員進(jìn)入安全區(qū)域

減少不必要的洞口

防K蟲害利用超聲波要鼠、投放殺M藥物、安裝捕員器械

在電康外施加毒餌，防止*蟲啃食電埴,造成漏電、電源短路等現(xiàn)，

所在建筑物應(yīng)安裝?雷針

防雷網(wǎng)絡(luò)設(shè)備需安全較地

對■要網(wǎng)絡(luò)設(shè)備安裝專用防雷設(shè)it

網(wǎng)絡(luò)設(shè)備應(yīng)可靠接地

防電磁利用屏蔽方法對信號線及M要設(shè)冬進(jìn)行電悌屏蔽,防止電樣信號的港?

遠(yuǎn)離電磁干擾源

7

網(wǎng)絡(luò)安全應(yīng)用按術(shù)

埃表

考慮因量具體描述

人員服裝要控制齡電.帶防牌電手套

工作鞋成采用低阻值材料

防靜電

控制室內(nèi)溫度（18C?22C）、溺度（40%?60%）

工作臺、柜等選用產(chǎn)生舒電小的材料

使用專用供電線路

安全供電使用不間斷電海（UPS）為網(wǎng)絡(luò)中■要設(shè)備供電

在長時(shí)間斷電時(shí).啟用備用發(fā)電機(jī)使網(wǎng)絡(luò)運(yùn)轉(zhuǎn)

1.3系統(tǒng)平臺安全

系統(tǒng)平臺是指網(wǎng)絡(luò)操作系統(tǒng)平臺。目前，較流行的網(wǎng)絡(luò)操作系統(tǒng)有Windows9X系列.

WindowsNT/2000/XP系列、UNIX系列、Linux系列、NetWare系列.

網(wǎng)絡(luò)操作系統(tǒng)的主要功能是實(shí)現(xiàn)資源共享.根據(jù)共享資源的方式不同，網(wǎng)絡(luò)操作系統(tǒng)劃

分為兩大類型.如果網(wǎng)絡(luò)操作系統(tǒng)軟件同等地分布在網(wǎng)絡(luò)上的所有計(jì)算機(jī)上，這種機(jī)制下的

網(wǎng)絡(luò)操作系統(tǒng)稱之為對等式網(wǎng)絡(luò)操作系統(tǒng).如Windows9X/Me、WindowsNTWorkstation72000

Professional/XPProfessionaVXPHome.Novell公司的PersonalNetWare,它們代裝了當(dāng)今

流行的對等式網(wǎng)絡(luò)操作系統(tǒng).如果網(wǎng)絡(luò)愫作系統(tǒng)的主要部分駐留在服務(wù)器上,其他計(jì)算機(jī)

使用由服務(wù)淵所管理的資源，這種機(jī)制下的網(wǎng)絡(luò)操作系統(tǒng)稱之為“客戶機(jī)/服務(wù)器”式網(wǎng)

絡(luò)操作系統(tǒng)。如IBM的OS/2LANServerAdvanced3.0、WindowsNT/2000Server、Banyan

Vines等.

實(shí)施系統(tǒng)平臺安全應(yīng)注意以下幾個(gè)方面的問題.

（1）加強(qiáng)主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的賬戶與口令管理，系統(tǒng)建設(shè)過程中可能遺留有無

用賬戶'缺省賬戶和缺省口令，應(yīng)注意清查并及時(shí)刪除；如無法確認(rèn)，必須修改缺省口令：

賬戶口令要符合設(shè)置要求，對重要設(shè)備的系統(tǒng)級（ROOT）賬戶口令每個(gè)月至少要變更一次，

孽要操作后要及時(shí)變更口令.

<2）要建立操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)相關(guān)應(yīng)用和端口的對應(yīng)關(guān)系，關(guān)閉主機(jī)系統(tǒng)上

與應(yīng)用服務(wù)無關(guān)的培口.

<3）企業(yè)應(yīng)用系統(tǒng)對不間斷運(yùn)行的要求較高,若采用打補(bǔ)丁的方式進(jìn)行加固，風(fēng)險(xiǎn)大，

工作量大，即便是表面看起來很普通的補(bǔ)丁也可能造成整個(gè)系統(tǒng)健瘓.因此，打補(bǔ)丁的?佳

時(shí)機(jī)是在應(yīng)用系統(tǒng)上線投產(chǎn)前的安裝調(diào)試:階段；應(yīng)用上線后，盡量不要采用打補(bǔ)丁加固的方

法，如要確實(shí)要打補(bǔ)丁，必須要經(jīng)過嚴(yán)格的流試并做好數(shù)據(jù)備份和回退措施.

（4）如果系統(tǒng)平臺中存在較大安全漏洞而無法打補(bǔ)丁加固的，可利用安全保護(hù)措施的互

補(bǔ)性.在網(wǎng)絡(luò)邊界處采取合適安全保護(hù)措施，并加強(qiáng)對主機(jī)系統(tǒng)的審計(jì)與管理,以彌補(bǔ)該問

題遺留的安全隱患.

（5）對于由企業(yè)外公司開發(fā)的應(yīng)用系統(tǒng)，如需要開發(fā)公司工程師遠(yuǎn)程登入看找故障，應(yīng)

-8—

第I章耀■述

賞徹最小授權(quán)原則，開放的賬戶只能給予滿足要求的■小權(quán)限，并對遠(yuǎn)程登入時(shí)間、操作完

成時(shí)間、操作事項(xiàng)等進(jìn)行記錄，及時(shí)關(guān)閉開放的用戶】有條件的,可打開系統(tǒng)平臺自帶的審

計(jì)工具,或配備第三方的監(jiān)控、審計(jì)和身份認(rèn)證工具。?.

13.1系統(tǒng)平臺的安全風(fēng)險(xiǎn)

?-1,■?1.

風(fēng)險(xiǎn)是威脅和漏洞的組合?如果沒有漏洞，也就沒有風(fēng)險(xiǎn)。每個(gè)平臺，無論是硬件還是

軟件，都存在著漏洞。作為網(wǎng)絡(luò)安全的基礎(chǔ),網(wǎng)絡(luò)操作系統(tǒng)也不例外.從某種意義上說.系

統(tǒng)平臺的風(fēng)險(xiǎn)大小取決于網(wǎng)絡(luò)操作系統(tǒng)漏洞的多少及Z?簟程度。盡管眾多的操作系統(tǒng)廠商和

安全服務(wù)提供商花費(fèi)大量人力財(cái)力來發(fā)現(xiàn)系統(tǒng)漏洞、修撲漏洞，但建漏洞仍不斷被發(fā)現(xiàn)出來.

甚至有愈演愈烈的態(tài)勢。

1.Windows系統(tǒng)平臺的安全風(fēng)險(xiǎn)?，M??

因?yàn)閃indows的簡單易用，個(gè)人電腦用戶普遍使用WinSws.作為自己電腦的操作系統(tǒng)

平臺，現(xiàn)在許多廠家也已較使用Windows作為自己的服務(wù)器操作系統(tǒng)平臺.但是，Windows

操作系統(tǒng)卻存在著諸多方面的安全風(fēng)險(xiǎn).????.

(1)Windows口令v:…

賬號和口令是進(jìn)入Windows系統(tǒng)的重要憑證，獲取寐號和口令信息是入侵者攻擊

Windows系統(tǒng)的重要途徑。例如：Windows2000的默認(rèn)安裝允許任何用戶通過空用戶得到系

統(tǒng)所有的賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，任何一

個(gè)遠(yuǎn)程用戶通過同樣的方法都能得到今戶列表.進(jìn)而可以使用非法手段破解賬戶密碼，對用

戶的計(jì)算機(jī)進(jìn)行攻擊.、八

(2)Windows惡意代碼，r

由于Windows系統(tǒng)自身的安全隱患,許多計(jì)算機(jī)病毒、網(wǎng)然麻蟲、特洛伊木馬等安全事

件都與Windows系統(tǒng)相關(guān)，例如，“沖擊波7第蟲「，，?

(3)Windows應(yīng)用軟件漏洞，-一

近年來，運(yùn)行在Windows平臺的應(yīng)用軟件安全坳患日益暴露，這些安全隱患常常導(dǎo)致

Windows系統(tǒng)被非授權(quán)訪問、非法濫用等.例如，1E瀏覽粉的安全*洞導(dǎo)致遠(yuǎn)程攻擊者植入

木馬，進(jìn)而危及整個(gè)系統(tǒng)的安全.I...”?'

(4)Windows系統(tǒng)程序的漏洞"?

Windows系統(tǒng)程序中設(shè)計(jì)、實(shí)現(xiàn)的安全隱患通常帶來不少安全問也例如，RPC程序的

漏洞導(dǎo)致康沖區(qū)溢出攻擊.?'”

(5)Windows注冊表安全”.?，，一,

注冊表是有關(guān)MndoM系統(tǒng)配置的重要文件，存儲在“系統(tǒng)安裝目錄\5ymem32\Confi8”

下.由于所有配置和控制系統(tǒng)數(shù)據(jù)都存于注冊表中,而且注冊表的缺省權(quán)限設(shè)It是對“所有

人”都具有“完全控制”和“創(chuàng)建”的權(quán)限，因此，這種設(shè)置可能會使趨意用戶■除或者

替換掉注冊表文件,例如，入侵者通過修改、創(chuàng)建注冊表的相關(guān)參數(shù)設(shè)置，讓系統(tǒng)啟動(dòng)惡

意進(jìn)程???，〃，??.,

(6)Windows文件共享安全?x-.

Windows98以后的系統(tǒng)都提供文件共享安全，祖是共享帶來的何題是造成信息的泄露。

比如，Windows2000/XP在默認(rèn)安裝后允評任何用戶通過空用月連接(IPC$)得到系統(tǒng)的所

-9一

網(wǎng)絡(luò)妾全應(yīng)用技術(shù)

有聯(lián)號和共享列表，這本來是為了方便局域網(wǎng)用戶共享費(fèi)源和文件的,但是任何一個(gè)遠(yuǎn)程用

戶都可以利用這個(gè)空的連接得到用戶列表.黑客就利用這項(xiàng)功能，查找系統(tǒng)的用戶列表，并

使用一些字典工具，對系統(tǒng)進(jìn)行攻擊，這就是較流行的IPC攻擊.

2.UNIX/Linux系*1平臺的安仝風(fēng)險(xiǎn)

UNIX/Linux操作系統(tǒng)由于其開放源代碼的優(yōu)點(diǎn)，被越來越多的企業(yè)級用戶及個(gè)人用戶使

用.但是，它的安全風(fēng)險(xiǎn)也不容忽視.'.

(1)UNIX/Linux系統(tǒng)的口令/*號安全

UNDC/Linux系統(tǒng)的*號和口令是入侵者量為蜃要的攻擊對象，特別是超級用戶root的

口令,一旦root的口令jt*,則危及整個(gè)系統(tǒng)的安全.在UNIX/Linux中.口令信息保存在

passwd和shadow文件中,這兩個(gè)文件所在的目錄是/etc.入侵者常利用各種方法來獲取口令

文件.例如，通過WebCGl程序的涵洞來查著口令文件passwd.

(2)UNIX/Linux可信主機(jī)文件安全!?

在UNIX/Linux系統(tǒng)環(huán)境中,為了便于主機(jī)之間的互操作，系統(tǒng)提供了兩個(gè)文件

SHOME/.rhostW/etc/hosU.equiv來配置實(shí)現(xiàn)可信主機(jī)的添加.當(dāng)一臺主機(jī)A信任另一臺

主機(jī)B后，主機(jī)B的用戶無需主機(jī)A的認(rèn)證就可以從主機(jī)B登錄到主機(jī)A.但是，這

種簡單的信任關(guān)系很容易導(dǎo)致假H,如果可信主機(jī)文件配置不當(dāng)，就難以避免地帶來安

全16患.

(3)UNIX/Linux應(yīng)用軟件漏洞

UNMLinux平臺的應(yīng)用軟件安全齡患日益暴露，特別是常用的應(yīng)用軟件包，例如

Sendmail和BIND,這些安全隱患常常導(dǎo)致系統(tǒng)被非授權(quán)訪閆、非法漁用等.早期的“莫里

斯”蜻蟲就是利用SendmailII洞來傳播的.?

(4)UNIX/Linux的SUID文件安全

在UNIX/Linux中，SU1D文件是指被設(shè)置成可以帶有文件擁有者的身份和權(quán)限執(zhí)行的可

執(zhí)行文件.因?yàn)樵S多系統(tǒng)安全漏洞存在于sum文件中，所以sdto文件已成為系統(tǒng)安全的

It大隱患.

(5)UNIX/Linux的惡意代碼

同Windows系統(tǒng)相比，UNK/Linux系統(tǒng)的計(jì)算機(jī)病毒危害少一些，但仍然存在.例如：

最早的網(wǎng)絡(luò)蜻蟲就是在UNIX系統(tǒng)中爆發(fā)的.

(6)UNMLinux文件系統(tǒng)安全

文件系統(tǒng)是UNIX/Linux系統(tǒng)安全的核心.在UNIX/Linux中，所有的資源都被看作文件.

UNIX/Linux文件安全是通過對文件設(shè)置權(quán)限控制的，如果這種控制攆作設(shè)置不當(dāng)，就會給系

統(tǒng)帶來危害.例如，假設(shè)/etc/shadow文件允許任何人可讀，就會導(dǎo)致口令信息泄露.

(7)UNIX/Linux網(wǎng)絡(luò)服務(wù)安全

在UNIX/Linux系統(tǒng)中，系統(tǒng)提供許多網(wǎng)絡(luò)履務(wù)，例如finger、R命令服務(wù)等.雖然這些

服務(wù)能鐳給工作帶來方便，但是也造成系統(tǒng)存在安全風(fēng)險(xiǎn).例如，通過fihg*服務(wù)可以獲取

遠(yuǎn)程UNIX/Linux主機(jī)的信息.

(8)UNIX/Linux系統(tǒng)程序漏洞

入侵者一般通過普通*號進(jìn)入U(xiǎn)NIX/Linux系統(tǒng)，然后再利用系統(tǒng)的程序漏洞梃升權(quán)限.

例如,入侵者會利用SunOS5.5的eject程序漏洞獲取超級用戶權(quán)限.

-10-

第I章機(jī)述

13.2系統(tǒng)平臺的安全加固

系統(tǒng)平臺的安全加固是指根據(jù)對操作系統(tǒng)安全進(jìn)行評估的結(jié)果，針對目前操作系統(tǒng)平臺

所存在的安全問題和安全防患,進(jìn)行有針對性的補(bǔ)丁加固，并在不影響系統(tǒng)正常工作的前提

下,對系統(tǒng)性能進(jìn)行優(yōu)化.系統(tǒng)平臺安全加固的內(nèi)容包括：系統(tǒng)補(bǔ)丁、系統(tǒng)升級、系統(tǒng)配置

安全加固、系統(tǒng)登錄權(quán)限安全加固、關(guān)閉無用端口、系統(tǒng)管理安全加固等多個(gè)方面.

1.系統(tǒng)平臺的加固方案

盡管加固系統(tǒng)平臺的具體方案是依據(jù)系統(tǒng)平臺的不同而定的,但總體指導(dǎo)思想是一致的，

具體如下，?

?減少無用軟件、服務(wù)和進(jìn)程的數(shù)目,

?在持續(xù)提供對資源訪問的同時(shí)，要使所有軟件、服務(wù)以及進(jìn)程配置處于最安全的狀態(tài)；

?盡可能避免系統(tǒng)對其身份、服務(wù)以及功能等信息的泄漏.

為達(dá)到成功加固系統(tǒng)平臺的目的，應(yīng)采取如下步驟：

第一，確定目標(biāo)系統(tǒng)的用途；

第二.評定系統(tǒng)是否符合最初要求、

第三，根據(jù)目標(biāo)系統(tǒng)需求，制定安全策略?

第四,實(shí)施系統(tǒng)平臺加固s

2.系統(tǒng)平臺加固的主要內(nèi)容

系統(tǒng)平臺加固應(yīng)包括的主要內(nèi)容有：安裝系統(tǒng)樸丁、進(jìn)行系統(tǒng)升級、系統(tǒng)配置安全加固、

系統(tǒng)登錄權(quán)限安全加固、關(guān)閉無用端口及進(jìn)程、系統(tǒng)管理安全加固等多個(gè)方面。

（1）安裝系統(tǒng)補(bǔ)丁、進(jìn)行系統(tǒng)升級

大量系統(tǒng)入侵事件，是因?yàn)橛脩魶]有及時(shí)安裝系統(tǒng)補(bǔ)丁或進(jìn)行系統(tǒng)升級,管理員重要的

任務(wù)之一是更新系統(tǒng)，保證系統(tǒng)安裝■新的補(bǔ)丁.以Windows掾作系統(tǒng)為例，Windows提供

兩種類型的樸丁*ServicePack和Hotfix.

ServicePack是源列系統(tǒng)漏洞的樸丁程序包，最新版本的ServicePack包括「以前

發(fā)布的所有的Hotfix.Hotfix通常用于修補(bǔ)某個(gè)特定的安全問題，比ServicePack發(fā)布更

為頻繁.

管理員或普通用戶應(yīng)訂閱微軟的免費(fèi)安全通知服務(wù).以便通過電子郵件獲取Windows操

作系統(tǒng)的最新安全補(bǔ)丁的發(fā)布通知。

（2）系統(tǒng)登錄權(quán)限安全加固

系統(tǒng)登錄權(quán)限安全加固,主要包括以下一些加固操作：指定安全費(fèi)錄口令、重命名

admininstrator聯(lián)號、禁用或刪除不必要的張?zhí)枴㈥P(guān)閉賬號的空連接、刪除管理共享等。

<3）關(guān)閉無用進(jìn)程及端口

進(jìn)程一般分為系統(tǒng)進(jìn)程、附加進(jìn)程和普通進(jìn)程（應(yīng)用程序進(jìn)程）.系統(tǒng)進(jìn)程是系統(tǒng)運(yùn)行的

基本條件,有了這些進(jìn)程，系統(tǒng)才能穩(wěn)定地運(yùn)行：附加系統(tǒng)進(jìn)程不是系統(tǒng)必需的.只是運(yùn)行

某個(gè)系統(tǒng)進(jìn)程時(shí)才需要：和附加系統(tǒng)進(jìn)程一樣，普通進(jìn)程也只是用戶打開某個(gè)應(yīng)用程序時(shí)才

在內(nèi)存中產(chǎn)生的一個(gè)進(jìn)程，可以根據(jù)需要通過服務(wù)管理器來增加或減少.因?yàn)檫\(yùn)行的程序多

了,進(jìn)程也就多,這樣很消耗系統(tǒng)資源.

例如，在Windows2000/XP系統(tǒng)里，表1?2所示進(jìn)程是一些基本的系統(tǒng)進(jìn)程，是系統(tǒng)正

-II-

月姑安金應(yīng)用

常運(yùn)行不可缺少的.

褰1-2Windom2MO/X.P下的“本系娘進(jìn)程

進(jìn)科說明

Sm?.cxcSessionmanager1會話皆理制）

CsresLcxc了系姨取務(wù)器強(qiáng)押

Wmlogon.exe管理用戶目錄

Scrviccs.e5c但能根多第績及務(wù)

Lm$.cxc本地次全權(quán)限”務(wù),控制Windows安全機(jī)餐

SvchoM.cxc包含報(bào)名系統(tǒng)跟與

Explorcr.exe資勰管理虢

wmMgjni.exe■*）*■卷仲理的枝心相料,遁過WMI<Wi?k?ws管瑾蛭&）技術(shù)處理來日應(yīng)用客戶網(wǎng)的請求

為了在行和管理當(dāng)他系統(tǒng)的進(jìn)程,一般有以下兩種方式.

力N「利用系統(tǒng)本身自帶的T具.技（Ctrll+[Alt]?[Dei].打開"Windows任務(wù)

管理器”.4“進(jìn)程”培頂點(diǎn)中,可以自推宜看或停止某一進(jìn)程,如圖卜2所示.

W1-2克司和詈理系統(tǒng)近程

方式1利用期：方工具合看系統(tǒng)比程.如利用“Window*優(yōu)化大牌”軟件附帶的“進(jìn)

程管理”功呢，叫可以完成6看和臂理進(jìn)程的工作.PCiools里面的PSlistexe可以用來列出

進(jìn)程.而PSkill.exe則用來結(jié)束某個(gè)進(jìn)程.

件看打開端口的情況,一般有以下兩腫方式.

Ml*應(yīng)逐

方式-：4：MS-DOSF輸入“netstaj-na”命令.

方式.：利用第二方的工具查看.如利用“Windows優(yōu)化大帥??軟件的端口分析古看功

能,用EPortmActivePorts等J.具也可很方便地令看到打開端口的情況.

因?yàn)橐谑且蕾囉诜?wù)的，我們只要杷服務(wù)停I匕它對應(yīng)的端口也就關(guān)閉「.例如；

為了關(guān)閉80播口.H需停止WWW服務(wù),即在“檸制面板”一“管理工具”一“刪務(wù)”

中將"WorldWideWebPublishingService,,服務(wù)伸止呻nJ.

為了關(guān)閉139端口.在Windows2000F.打開“網(wǎng)絡(luò)和撥號沒接在“本地連接”時(shí)

話框中選取“imemet協(xié)議(TCP/IP)"Mft.進(jìn)入“離級TCP1P設(shè)置”電話粕.打開WINS

選坳卜.選中”能用TCP/IP的NetBIOS”的選按機(jī)，然后單擊“確定-按鈕.139瑞口就X.

冊了,如圖卜3所示.要知道，139墻”的開后站由)NetBIOS這個(gè)網(wǎng)絡(luò)稱漢A使用它.人

們可以利用它通過139墻口達(dá)到入侵的目的,可見這個(gè)漏口件件有危院性.

ffi1-3如醇*問13。瑞14

，4＞系統(tǒng)配置安全M固

根據(jù)系統(tǒng)的應(yīng)用需求,對系統(tǒng)提供的各種服務(wù)做安全配置,如加固系統(tǒng)的TCP4P歸置.

可以關(guān)用NetBIOS腹務(wù)，防止男客利用“9期口的四洞進(jìn)打攻擊：如里系統(tǒng)利用IlSftl件對

外提供Imcrnct信息服務(wù)，那就要對1摒進(jìn)行一系列安全性的配置工作,因?yàn)镮IS的翻洞總足

層出不窮地被發(fā)現(xiàn)出來.

1.4主要產(chǎn)品及應(yīng)用實(shí)例

1.4.1系統(tǒng)平臺加固工具

加固T具是種自動(dòng)高效地帚助人們確定系統(tǒng)平臺的潟制,并輔助人們加固系統(tǒng)中臺的

-13-

網(wǎng)絡(luò)安全應(yīng)用技術(shù)

工具。目前，常用的加固工具有以下兩種.

1.Nessus

Nessus是一個(gè)功能強(qiáng)大而又免費(fèi)的網(wǎng)絡(luò)漏洞掃描工具，運(yùn)行于POSIX系統(tǒng)(Solaris.

FreeBSD.GNU/Linux等).該系統(tǒng)被設(shè)計(jì)為客戶/服務(wù)器模式，服務(wù)器端(nessusd)負(fù)責(zé)進(jìn)

行安全掃描，客戶端(nessus)用來配置、管理服務(wù)器端。Nessus在進(jìn)行漏洞掃描時(shí)不僅根

據(jù)端口號來判斷服務(wù)類型，還能夠檢測出開設(shè)在非標(biāo)準(zhǔn)端口的常見服務(wù)類型，并根據(jù)其版本

號進(jìn)行相應(yīng)的漏洞檢測.Nessus掃描結(jié)果可以保存為多種文件格式，并且對每種掃描出的系

統(tǒng)漏洞給出建議的加固方法.

2.HardenNT

HardenNT是專為MicrosoftWindows系統(tǒng)平臺設(shè)計(jì)的眾多加固腳本之一.此工具主要完

成以下工作：

?根據(jù)操作系統(tǒng)版本及CPU的結(jié)構(gòu)安裝相應(yīng)的安全補(bǔ)丁：

?限制用戶組的默認(rèn)NT特權(quán)：

?啟動(dòng)WindowsNT安全事件審計(jì)服務(wù)；

?設(shè)置NTFSACL許可，除/移走重要的安全文件；

?保護(hù)Windows系統(tǒng)的注冊表.

1.4.2系統(tǒng)平臺加固實(shí)例

我們用一張表對比介紹UNIX與Windows兩個(gè)系統(tǒng)平臺的簡單加固操作，見表1-3.

素1-3UNIX和WMmt平臺的餐單平臺加固操作

項(xiàng)目UNIXWindows

安裝?新版本的系統(tǒng),安裝Service

安裝量新版本的系統(tǒng)，用patch命令安裝?斷

系統(tǒng)安裝Pick和Hotfix補(bǔ)丁,安裝防病毒

補(bǔ)丁

軟件

盡量不用root身份運(yùn)行朦務(wù)程序(除非是特殊下面的服務(wù)可以手工或自動(dòng)啟動(dòng)，

關(guān)閉不必要的服務(wù)

要求),關(guān)閉不用的R系列?務(wù)，RPC■務(wù)等.其他蜃務(wù)一般情況下應(yīng)謨禁止.

使用ssh代菁.如需要匿名FTP錄，則使用DHCP、Dadtnin、DNSCachc、

量新版本,使用FTP日志并經(jīng)常壹看,盡■使Dmservcr、EvcntSystan、Eventlog.

ftp、telnet

目錄不可寫，檢查所有躍認(rèn)配置選項(xiàng)，■保沒LmHosts、Lanmanscrvcr,Lanman

WSITEEXEC命令Workstation.Nellogon>Netman、

PhigPlay.Protcctedstorage、RpcSs.

使用?新版本sendmaiL配置gimp認(rèn)證；防止RemoteRegjstry、SamSs、SENS、

Smtp被利用轉(zhuǎn)發(fā)垃圾郵件?增加日志級別,以發(fā)現(xiàn)SysmonLog、TritWks、WMI、

可疑行為W32Time

使用最新版本：不以root運(yùn)行：限制CGI程序

盡量不使用IIS(■洞太多卜如需

http運(yùn)行及cgi4)in目錄的權(quán)限；如運(yùn)行CGI,?認(rèn)

使用，要做訪問限制

其是安全的.對用戶，入有嚴(yán)格的校查

使root賬號只能從控制臺登錄，需要root權(quán)限

時(shí)使用su金令確認(rèn)只府root用戶的uid或更改號名字：設(shè)置

系統(tǒng)管理員?tdministEtor*

gid為0；保證系統(tǒng)用戶(如bin.sync.new.屏幕保護(hù)口令

uucp等)不可登錄

第1章梃逑

續(xù)表

項(xiàng)目UNIXWindows

刪除不再使用的普通*號：發(fā)現(xiàn)可以登錄時(shí).

普通用戶，禁止；禁止不再使用的賬號

立刻禁止該用戶guest

如可能，使用NTFS禁止：禁止對

用md5sum命令對重整文件進(jìn)行數(shù)字簽名；禁

ADMINS,C$、D$等的自動(dòng)共享：

止：確認(rèn)文件的權(quán)限：確認(rèn)或要文件

文件系統(tǒng)NFS/dev盡量不共享文件,如有必要，對共

（/etc/passwd等）的訪問權(quán)限】取消不必要的

事文件、目錄、磁盤等設(shè)置合適的

suid或sgid文件

訪問權(quán)限

Syslogd服務(wù),正確配置/etc/syslogxonf,保證

日志激活系統(tǒng)的審計(jì)功能

日志文件不會被更改

1.5實(shí)訓(xùn)

1.5.1實(shí)訓(xùn)項(xiàng)目一：虛擬機(jī)軟件VMWareWor—tio■初體驗(yàn)

I.實(shí)詞說明

學(xué)習(xí)網(wǎng)絡(luò)安全需要勃?jiǎng)邮郑鄬?shí)踐.因此，后續(xù)章節(jié)中均安排有多個(gè)實(shí)訓(xùn)項(xiàng)目，幫助學(xué)

生深入理解理論知識，提高分析問忌、解決問題的能力。教師在授課中，應(yīng)盡量安排學(xué)生完

成每一個(gè)實(shí)訓(xùn)項(xiàng)目.但由于實(shí)訓(xùn)環(huán)境所限，學(xué)生也許不能每人擁有幾臺計(jì)算機(jī)完成一個(gè)較復(fù)

雜的網(wǎng)絡(luò)實(shí)訓(xùn)，那么，就可以利用虛擬機(jī)軟件，幫助我們實(shí)現(xiàn)一人多機(jī)實(shí)訓(xùn)環(huán)境的搭建，較

好的體會網(wǎng)絡(luò)實(shí)踐帶給學(xué)生的真實(shí)體驗(yàn)與全新的知識接受方式。

在以F實(shí)訓(xùn)場合，我們都可以用VMWareWorkstation來構(gòu)建網(wǎng)絡(luò)實(shí)訓(xùn)環(huán)境：

?需要運(yùn)行多種不同的操作系統(tǒng)，Linux、UNIX、Windows等；

?多臺計(jì)算機(jī)之間網(wǎng)絡(luò)通信的實(shí)訓(xùn)；

?Windows2000的各種服務(wù)和活動(dòng)目錄的相關(guān)實(shí)訓(xùn)；

?網(wǎng)絡(luò)攻防實(shí)踐；

?病毒及病毒實(shí)訓(xùn)；

使用VMWareWorkstation,只需要一臺計(jì)算機(jī)就可以完成要很多主機(jī)設(shè)備才能完成的實(shí)

訓(xùn),完全可以模擬真實(shí)的實(shí)訓(xùn)環(huán)境.但需注意，開啟一臺虛擬機(jī)的計(jì)算機(jī)內(nèi)存至少應(yīng)該在

512MB以上，否則，主機(jī)和虛擬機(jī)的運(yùn)行速度就很難讓人接受了.當(dāng)然，開啟兩臺甚至更多

臺虛擬機(jī)時(shí)，需要更多的內(nèi)存支持.

2.實(shí)訓(xùn)環(huán)境及準(zhǔn)備工作

所需軟件：VMWareWorkstetion4（本實(shí)訓(xùn)以此版本為基礎(chǔ)進(jìn)行）。

準(zhǔn)備工作：按照每個(gè)實(shí)訓(xùn)項(xiàng)目的要求，安裝不同的虛擬機(jī)操作系統(tǒng)（選擇Windows2000

Server,可以滿足本書中絕大多數(shù)實(shí)訓(xùn)的