一、做好口令保護
防范入侵的前線是口令系統(tǒng)���?诹钣糜隍炞C登錄用戶的身份標識��。應當建立用戶帳號管理����,設置對文件、目錄、打印機和其他資源的訪問權限���,加強口令管理(如設置生效期等)和檢查,避免使用公共帳號,教育用戶保管好口令并避免使用過于簡單的口令��。保護口令的一種方法是口令加密�����,就是為一進步防止口令泄露���,口令在系統(tǒng)中保存時��,以加密的形式存放。阻止口令攻擊的另一種方法是拒絕入侵者訪問口令文件,如果只有一個特權用戶能夠訪問口令文件的加密部分�,那么入侵者如果不知道該用戶的口令����,就無法讀取它����。
二�、系統(tǒng)后門和安全補丁
后門是一種可以繞過安全性控制而獲得對程序或系統(tǒng)訪問權的隱蔽程序或方法。在軟件的開發(fā)階段�����,程序員常會在軟件內(nèi)創(chuàng)建后門以便修改程序�����。如果后門被其他人知道�,或是在發(fā)布軟件之前沒有刪除后門�����,那么就可能被利用來建立隱蔽通道���,甚至植入隱蔽的惡意程序�,達到非法訪問或竊取����、篡改、偽造�����、破壞數(shù)據(jù)等目的�����,F(xiàn)在后門多指系統(tǒng)被入侵后被安裝的具有控制系統(tǒng)權限的程序,通過它黑客可以遠程控制系統(tǒng)。
漏洞是軟件在開發(fā)的過程中沒有考慮到的某些缺陷����,也叫軟件的bug�����。操作系統(tǒng)和應用軟件都是存在安全漏洞的��,這些漏洞不斷地被發(fā)現(xiàn)。安全補丁是軟件開發(fā)廠商為堵塞安全漏洞�����,提高軟件的安全性和穩(wěn)定性����,開發(fā)的與原軟件結合或對原軟件升級的程序。因此����,要定期從廠商處獲取并安裝最新的補丁程序�,避免從非正規(guī)望站下載未知的補丁程序而被欺騙�����。
三�����、身份認證技術
身份認證技術主要包括數(shù)字簽名、身份驗證和數(shù)字證明�。數(shù)字簽名又稱電子加密,可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)���。這對于網(wǎng)絡數(shù)據(jù)傳輸,特別是電子商務是極其重要的,一般要采用一種稱為摘要的技術��,摘要技術主要是采用HASH 函數(shù)(HASH(哈希)函數(shù)提供了這樣一種計算過程:輸入一個長度不固定的字符串���,返回一串定長度的字符串���,又稱HASH值)將一段長的報文通過函數(shù)變換�����,轉換為一段定長的報文��,即摘要。身份識別是指用戶向系統(tǒng)出示自己身份證明的過程���,主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征��。數(shù)字證明機制提供利用公開密鑰進行驗證的方法���。
四����、防火墻的種類與選擇
傳統(tǒng)上認為,防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它通過允許����、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流����,防止不希望的�、未授權的通信��,并對進����、出內(nèi)部網(wǎng)絡的服務和訪問進行審計和控制��,本身具有較強的抗攻擊能力���,對網(wǎng)絡用戶基本上是“透明”的�����,并且只有授權的管理員方可對防火墻進行管理����。目前���,市場上有六種基本類型的防火墻�����,分別是嵌入式防火墻���、基于企業(yè)軟件的防火墻��、基于企業(yè)硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特殊防火墻。
嵌入式防火墻:就是內(nèi)嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊��,安裝到已有的路由器或交換機中�����。嵌入式防火墻也被稱為阻塞點防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣��,所以不是所有的網(wǎng)絡服務都能得到嵌入式防火墻的有效處理�����。嵌入式防火墻工作于IP層�����,無法保護網(wǎng)絡免受病毒、蠕蟲和特洛伊木馬程序等來自應用層的威脅���。就本質(zhì)而言,嵌入式防火墻常常是無監(jiān)控狀態(tài)的�,它在傳遞信息包時并不考慮以前的連接狀態(tài)����。
基于軟件的防火墻:是能夠安裝在操作系統(tǒng)和硬件平臺上的防火墻軟件包�。如果用戶的服務器裝有企業(yè)級操作系統(tǒng),購買基于軟件的防火墻則是合理的選擇�。如果用戶是一家小企業(yè)����,并且想把防火墻與應用服務器(如網(wǎng)站服務器)結合起來����,添加一個基于軟件的防火墻就是合理之舉。
基于硬件的防火墻:捆綁在“交鑰匙”系統(tǒng)(Turnkey system)內(nèi)�����,是一個已經(jīng)裝有軟件的硬件設備���;谟布姆阑饓σ卜譃榧彝マk公型和企業(yè)型兩種款式�����。
特殊防火墻:是側重于某一應用的防火墻產(chǎn)品。目前�����,市場上有一類防火墻是專門為過濾內(nèi)容而設計的����,MailMarshal和WebMarshal就是側重于消息發(fā)送與內(nèi)容過濾的特殊防火墻。OKENA的StormWatch雖然沒有標明是防火墻����,但也具有防火墻類規(guī)則和應用防范禁閉功能�����。
五���、入侵檢測系統(tǒng)的作用
入侵檢測系統(tǒng)(IDS���,Intrusion Detection System)是通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并進行分析���,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象�。入侵檢測系統(tǒng)執(zhí)行的主要任務包括:監(jiān)視�����、分析用戶及系統(tǒng)活動�;審計系統(tǒng)構造和弱點�����;識別、反映已知進攻的活動模式�����,向相關人士報警�����;統(tǒng)計分析異常行為模式���;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性�����;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測系統(tǒng)可以彌補防火墻的不足����,為網(wǎng)絡安全提供實時的入侵檢測并采取相應的防護手段�����,如記錄證據(jù)、跟蹤入侵、恢復或斷開網(wǎng)絡連接等�。
通常���,入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源分為三種:基于主機的入侵檢測系統(tǒng)����,其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志�,一般只能檢測該主機上發(fā)生的入侵�;基于網(wǎng)絡的入侵檢測系統(tǒng),其輸入數(shù)據(jù)來源于網(wǎng)絡的信息流�,能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵�����;分布式入侵檢測系統(tǒng),能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng)�����,系統(tǒng)由多個部件組成�����,采用分布式結構�����。
六、什么是安全漏洞掃描技術
漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序�。通過使用漏洞掃描器���,系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務器的各種TCP端口的分配�����、提供的服務��、Web服務軟件版本和這些服務及軟件呈現(xiàn)在Internet上的安全漏洞。從而在計算機網(wǎng)絡系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”,及時修補漏洞����,構筑堅固的安全長城����。
常規(guī)標準����,可以將漏洞掃描器分為兩種類型:主機漏洞掃描器(Host Scanner)和網(wǎng)絡漏洞掃描器(Network Scanner)���。網(wǎng)絡漏洞掃描器是指基于Internet遠程檢測目標網(wǎng)絡和主機系統(tǒng)漏洞的程序����,如提供網(wǎng)絡服務、后門程序��、密碼破解和阻斷服務等的掃描測試�。主機漏洞掃描器是指針對操作系統(tǒng)內(nèi)部進行的掃描,如Unix��、NT�����、Liunx系統(tǒng)日志文件分析���,可以彌補網(wǎng)絡型安全漏洞掃描器只從外面通過網(wǎng)絡檢查系統(tǒng)安全的不足�。一般采用Client/Server的架構��,其會有一個統(tǒng)一控管的主控臺(Console)和分布于各重要操作系統(tǒng)的Agents����,然后由Console端下達命令給Agents進行掃描���,各Agents再回報給Console掃描的結果�����,最后由Console端呈現(xiàn)出安全漏洞報表。除了上述二大類的掃描器外,還有一種專門針對數(shù)據(jù)庫作安全漏洞檢查的掃描器,主要功能為找出不良的密碼設定�����、過期密碼設定���、偵測登入攻擊行為���、關閉久未使用的帳戶��,而且能追蹤登入期間的限制活動等����,數(shù)據(jù)庫的安全掃描也是信息網(wǎng)絡安全內(nèi)很重要的一環(huán)���。
七��、物理隔離器和邏輯隔離器的作用
物理隔離器是一種不同網(wǎng)絡間的隔離部件��,通過物理隔離的方式使兩個網(wǎng)絡在物理連線上完全隔離,且沒有任何公用的存儲信息�����,保證計算機的數(shù)據(jù)在網(wǎng)際間不被重用����。一般采用電源切換的手段��,使得所隔離的區(qū)域始終處在互不同時通電的狀態(tài)下(對硬盤、軟驅��、光驅��,也可通過在物理上控制IDE線實現(xiàn))。被隔離的兩端永遠無法通過隔離部件交換信息。
邏輯隔離器也是一種不同網(wǎng)絡間的隔離部件,被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線��,但通過技術手段保證被隔離的兩端沒有數(shù)據(jù)通道�,即邏輯上隔離。一般使用協(xié)議轉換、數(shù)據(jù)格式剝離和數(shù)據(jù)流控制的方法����,在兩個邏輯隔離區(qū)域中傳輸數(shù)據(jù)����。并且傳輸?shù)姆较蚴强煽貭顟B(tài)下的單向���,不能在兩個網(wǎng)絡之間直接進行數(shù)據(jù)交換��。
八���、什么是信息內(nèi)容過濾產(chǎn)品
現(xiàn)在網(wǎng)絡上大量的黃色��、反動、暴力、賭博等不良信息���,以及垃圾郵件、病毒郵件、泄密郵件和網(wǎng)絡聊天等問題,一直令企業(yè)領導者及網(wǎng)絡管理者感到頭疼。采取信息內(nèi)容過濾產(chǎn)品可以有效的防止這些不良信息的入侵,有效的減輕網(wǎng)絡管理人員及信息安全工作者的工作。
信息過濾產(chǎn)品可以對互聯(lián)網(wǎng)上的信息內(nèi)容進行實時分析,對預先定義的非法信息內(nèi)容進行過濾和攔截�。信息過濾產(chǎn)品按其針對的服務進行分類�,主要可分為:HTTP���、郵件��、TELNET(BBS)����、FTP等�。
九、介紹VPN技術
VPN即虛擬專用網(wǎng),是通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的���、安全的連接�����,是一條穿過混亂的公用網(wǎng)絡的安全�����、穩(wěn)定的隧道。通常����,VPN是對企業(yè)內(nèi)部網(wǎng)的擴展���,通過它可以幫助遠程用戶�����、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接��,并保證數(shù)據(jù)的安全傳輸�����。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入��,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路�,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)�����。
VPN 架構中采用了多種安全機制�����,如隧道技術(Tunneling)�����、加解密技術(Encryption)�、密鑰管理技術�、身份認證技術(Authentication)等,通過上述的各項網(wǎng)絡安全技術����,確保資料在公眾網(wǎng)絡中傳輸時不被竊取�����,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料�����。
十���、安全操作系統(tǒng)和安全數(shù)據(jù)庫
安全操作系統(tǒng)是指計算機信息系統(tǒng)在自主訪問控制���、強制訪問控制���、標記����、身份鑒別�����、客體重用�、審計����、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑��、可信恢復等十個方面滿足相應的安全技術要求�����。安全操作系統(tǒng)主要特征:1���、最小特權原則����,即每個特權用戶只擁有能進行他工作的權力���;2�����、自主訪問控制����;強制訪問控制����,包括保密性訪問控制和完整性訪問控制����;3、安全審計�����;4、安全域隔離。只要有了這些最底層的安全功能��,各種混為“應用軟件”的病毒���、木馬程序��、網(wǎng)絡入侵和人為非法操作才能被真正抵制���,因為它們違背了操作系統(tǒng)的安全規(guī)則���,也就失去了運行的基礎�����。
數(shù)據(jù)庫的安全性包括:機密性、完整性和可用性,數(shù)據(jù)庫在三個層次上���,客戶機 /服務器通過開放的網(wǎng)絡環(huán)境,跨不同硬件和軟件平臺通信,數(shù)據(jù)庫安全問題在這個環(huán)境下變得更加復雜�����。管理分布或聯(lián)邦數(shù)據(jù)庫環(huán)境��,每個結點服務器還能自治實行集中式安全管理和訪問控制�,對自己創(chuàng)建的用戶����、規(guī)則����、客體進行安全管理。如由DBA或安全管理員執(zhí)行本部門�����、本地區(qū)���、或整體的安全策略�,授權特定的管理員管理各組應用程序、用戶���、規(guī)則和數(shù)據(jù)庫。因此訪問控制和安全管理尤為重要���。安全數(shù)據(jù)庫是指數(shù)據(jù)庫管理系統(tǒng)必須允許系統(tǒng)管理員有效地管理數(shù)據(jù)庫管理系統(tǒng)和它的安全,并且只有被授權的管理員才可以使用這些安全功能和設備���。數(shù)據(jù)庫管理系統(tǒng)保護的資源包括數(shù)據(jù)庫管理系統(tǒng)存儲、處理或傳送的信息����。數(shù)據(jù)庫管理系統(tǒng)阻止對信息的未授權訪問��,以防止信息的泄漏、修改和破壞�。
十一�����、網(wǎng)頁恢復產(chǎn)品的用途
網(wǎng)頁恢復產(chǎn)品是對受保護網(wǎng)頁目錄、文件的未授權破壞進行識別���,并能用備份目錄�、文件進行自動恢復,主要包括:1�����、網(wǎng)頁目錄���、文件未授權增加的恢復�����;2���、網(wǎng)頁目錄����、文件未授權刪除的恢復;3����、網(wǎng)頁目錄���、文件未授權修改(包括目錄�、文件屬性修改���、重命名��、移動等)的恢復���。
十二�����、安全審計產(chǎn)品
安全審計產(chǎn)品是對網(wǎng)絡或指定系統(tǒng)的使用狀態(tài)進行跟蹤記錄和綜合梳理的工具��,分為用戶自主保護���、系統(tǒng)審計保護兩級�。
網(wǎng)絡安全審計能夠對網(wǎng)絡進行動態(tài)實時監(jiān)控��,可通過尋找入侵和違規(guī)行為��,記錄網(wǎng)絡上發(fā)生的一切,為用戶提供取證手段。網(wǎng)絡安全審計不但能夠監(jiān)視和控制來自外部的入侵�����,還能夠監(jiān)視來自內(nèi)部人員的違規(guī)和破壞行動�����,它是評判一個系統(tǒng)是否安全的重要尺度����。
十三��、什么是PKI/CA
PKI(Public Key Infrastructure)指的是公鑰基礎設施��。CA(Certificate Authority)指的是認證中心。PKI從技術上解決了網(wǎng)絡通信安全的種種障礙。CA從運營、管理��、規(guī)范�、法律、人員等多個角度來解決了網(wǎng)絡信任問題。由此�,人們統(tǒng)稱為“PKI/CA”�。從總體構架來看�����,PKI/CA主要由最終用戶、認證中心和注冊機構來組成�。
(1)PKI/CA的工作原理
PKI/CA的工作原理就是通過發(fā)放和維護數(shù)字證書來建立一套信任網(wǎng)絡�����,在同一信任網(wǎng)絡中的用戶通過申請到的數(shù)字證書來完成身份認證和安全處理。
(2)什么是數(shù)字證書�?
數(shù)字證書就像日常生活中的身份證�����、駕駛證,在您需要表明身份的時候����,必須出示證件來明確身份�����。您在參與電子商務的時候就依靠這種方式來表明您的真實身份��。
(3)什么是認證中心(CA)?
一個認證中心是以它為信任源�����,由她維護一定范圍的信任體系�����,在該信任體系中的所有用戶�����、服務器�����,都被發(fā)放一張數(shù)字證書來證明其身份已經(jīng)被鑒定過�����,并為其發(fā)放一張數(shù)字證書,每次在進行交易的時候�����,通過互相檢查對方的數(shù)字證書即可判別是否是本信任域中的可信體��。
(4)什么是注冊機構�����?
注冊中心負責審核證書申請者的真實身份,在審核通過后��,負責將用戶信息通過網(wǎng)絡上傳到認證中心��,由認證中心負責最后的制證處理����。證書的吊銷���、更新也需要由注冊機構來提交給認證中心做處理����。總的來說�,認證中心是面向各注冊中心的,而注冊中心是面向最終用戶的,注冊機構是用戶與認證中心的中間渠道����。
(5)PKI/CA的作用�����?
以數(shù)字證書為核心的PKI/CA技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,從而保證:信息除發(fā)送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證書來確認接收方的身份�;發(fā)送方對于自己的信息不能抵賴�����。PKI/CA解決方案已經(jīng)普遍地應用于全球范圍的電子商務應用中,為電子商務保駕護航,為電子商務的健康開展掃清了障礙。
十四�、電磁泄漏和電磁干擾
電磁泄漏是指信息系統(tǒng)的設備在工作時能經(jīng)過地線����、電源線�����、信號線���、寄生電磁信號或諧波等輻射出去��,產(chǎn)生電磁泄漏��。這些電磁信號如果被接收下來,經(jīng)過提取處理���,就可恢復出原信息,造成信息失密�。具有保密要求的計算機信息系統(tǒng)必須注意防止電磁泄漏���。
電磁干擾是指雷電電磁脈沖、電網(wǎng)操作過電壓、靜電放電等電磁場會對計算機信息系統(tǒng)運行造成干擾�����。
十五���、計算機信息系統(tǒng)雷擊災害與防雷保安器
計算機設備大量采用的大規(guī)模集成電路芯片�����,其耐過電壓��、過電流的能力極低。在雷電天氣狀況下��,避雷針引雷時���,強大的雷電流經(jīng)避雷針入地并在避雷針周圍產(chǎn)生強電磁場�,在電磁場內(nèi)的電子設備可被感應出較高的雷電壓、雷電流,造成電子設備損壞。
計算機信息系統(tǒng)防范雷擊災害可以在與計算機連接的所有外線上(包括電源線和通信線)加設防雷保安器����,同時規(guī)范地線�����,防止雷擊時在地線上產(chǎn)生的高電位反擊。
十六、計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可管理
銷售許可管理是依據(jù)國務院《中華人民共和國計算機信息系統(tǒng)安全保護條例》和公安部《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》的規(guī)定而實行的一項行政管理�����。我國境內(nèi)的計算機安全專用產(chǎn)品進入市場銷售須申領公安部頒發(fā)的銷售許可證���,已取得銷售許可證的產(chǎn)品應在固定位置標明“銷售許可”標記��。
十七、如何選擇安全專用產(chǎn)品
目前��,我國計算機信息系統(tǒng)安全專用產(chǎn)品的種類已由單機防病毒產(chǎn)品發(fā)展到現(xiàn)在的網(wǎng)絡防毒���、防火墻���、身份鑒別��、網(wǎng)絡隔離�����、網(wǎng)頁保護、漏洞掃描�、防攻擊預警�����、操作系統(tǒng)、數(shù)據(jù)庫等十幾大類信息安全保護產(chǎn)品�,產(chǎn)品的功能檢測也隨著安全保護技術的完善由簡單的功能確認發(fā)展到分級檢驗����。在選擇安全專用產(chǎn)品時應當考慮產(chǎn)品的性價比�����、特征庫的升級與維護費用��、最大處理能力、產(chǎn)品的可伸縮性����、運行與維護開銷�、產(chǎn)品是否容易被躲避及響應方法����、是否獲得安全專用產(chǎn)品銷售許可證。
來源:巨靈鳥 歡迎分享本文
