《网络安全管理知识》PPT课件

网络安全管理知识 江苏省农民培训工程讲义 江苏畜牧兽医职业技术学院 陈斌 内容提要 研究网络安全社会意义研究网络安全的必要性 主要介绍网络安全研究的体系 计算机网络安全的相关法规 介绍瑞星杀毒 防火墙软件的安装与使用 介绍农民培训网的信息管理 一 研究网络安全的社会意义 目前研究网络安全已经不只为了信息和数据的安全性 网络安全已经渗透到国家的经济 军事等领域 网络安全与政治 目前政府上网已经大规模的发展起来 电子政务工程已经在全国启动并在北京试点 政府网络的安全直接代表了国家的形象 1999年到2001年 一些政府网站 遭受了四次大的黑客攻击事件 第一次在99年1月份左右 美国黑客组织 美国地下军团 联合了波兰的 英国的黑客组织以及世界上的黑客组织 有组织地对我们国家的政府网站进行了攻击 第二次 99年7月份 当台湾李登辉提出了两国论的时候 第三次是在2000年5月8号 美国轰炸我国驻南联盟大使馆后 第四次是在2001年4月到5月 美机撞毁王伟战机侵入我海南机场 网络安全与经济 一个国家信息化程度越高 整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高 我国计算机犯罪的增长速度超过了传统的犯罪 1997年20多起 1998年142起 1999年908起 2000年上半年1420起 再后来就没有办法统计了 利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务 近几年已经破获和掌握100多起 涉及的金额几个亿 2000年2月份黑客攻击的浪潮 是互连网问世以来最为严重的黑客事件 99年4月26日 台湾人编制的CIH病毒的大爆发 有统计说我国大陆受其影响的PC机总量达36万台之多 有人估计在这次事件中 经济损失高达近12亿元 1996年4月16日 美国金融时报报道 接入Internet的计算机 达到了平均每20秒钟被黑客成功地入侵一次的新记录 网络安全与社会稳定 互连网上散布一些虚假信息 有害信息对社会管理秩序造成的危害 要比现实社会中一个造谣要大的多 99年4月 河南商都热线一个BBS 一张说交通银行郑州支行行长协巨款外逃的帖子 造成了社会的动荡 三天十万人上街排队 一天提了十多亿 2001年2月8日正是春节 新浪网遭受攻击 电子邮件服务器瘫痪了18个小时 造成了几百万的用户无法正常的联络 网上不良信息腐蚀人们灵魂 色情资讯业日益猖獗 1997年5月去过色情网站浏览过的美国人 占了美国网民的28 2 河南郑州刚刚大专毕业的杨某和何某 在商丘信息港上建立了一个个人主页 用五十多天的时间建立的主页存了一万多幅淫秽照片的网站 100多部小说和小电影 不到54天的时间 访问他的人到了30万 网络安全与军事 在第二次世界大战中 美国破译了日本人的密码 将山本的舰队几乎全歼 重创了日本海军 目前的军事战争更是信息化战争 下面是美国三位知名人士对目前网络的描述 美国著名未来学家阿尔温托尔勒说过 谁掌握了信息 控制了网络 谁将拥有整个世界 美国前总统克林顿说过 今后的时代 控制世界的国家将不是靠军事 而是信息能力走在前面的国家 美国前陆军参谋长沙利文上将说过 信息时代的出现 将从根本上改变战争的进行方式 二 研究网络安全的必要性 网络需要与外界联系 受到许多方面的威胁物理威胁系统漏洞造成的威胁身份鉴别威胁线缆连接威胁有害程序等方面威胁 网络安全威胁的来源 1 外部渗入 penetration 未被授权使用计算机的人 2 内部渗入者被授权使用计算机 但不能访问某些数据 程序或资源 它包括 冒名顶替 使用别人的用户名和口令进行操作 隐蔽用户 逃避审计和访问控制的用户 3 滥用职权者 被授权使用计算机和访问系统资源 但滥用职权者 冒名顶替 废物搜寻 身份识别错误 不安全服务 配置 初始化 乘虚而入 代码炸弹 病毒 更新或下载 特洛伊木马 间谍行为 拨号进入 算法考虑不周 编辑口令 口令破解 口令圈套 窃听 偷窃 网络安全威胁 线缆连接 身份鉴别 有害程序 系统漏洞 物理威胁 网络安全威胁的几种类型 物理威胁 物理威胁包括四个方面 偷窃 废物搜寻 间谍行为和身份识别错误 1 偷窃网络安全中的偷窃包括偷窃设备 偷窃信息和偷窃服务等内容 如果他们想偷的信息在计算机里 那他们一方面可以将整台计算机偷走 另一方面通过监视器读取计算机中的信息 2 废物搜寻就是在废物 如一些打印出来的材料或废弃的软盘 中搜寻所需要的信息 在微机上 废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料 3 间谍行为是一种为了省钱或获取有价值的机密 采用不道德的手段获取信息 4 身份识别错误非法建立文件或记录 企图把他们作为有效的 正式生产的文件或记录 如对具有身份鉴别特征物品如护照 执照 出生证明或加密的安全卡进行伪造 属于身份识别发生错误的范畴 这种行为对网络数据构成了巨大的威胁 系统漏洞威胁 系统漏洞造成的威胁包括三个方面 乘虚而入 不安全服务和配置和初始化错误 1 乘虚而入例如 用户A停止了与某个系统的通信 但由于某种原因仍使该系统上的一个端口处于激活状态 这时 用户B通过这个端口开始与这个系统通信 这样就不必通过任何申请使用端口的安全检查了 2 不安全服务有时操作系统的一些服务程序可以绕过机器的安全系统 互联网蠕虫就利用了UNIX系统中三个可绕过的机制 3 配置和初始化错误如果不得不关掉一台服务器以维修它的某个子系统 几天后当重启动服务器时 可能会招致用户的抱怨 说他们的文件丢失了或被篡改了 这就有可能是在系统重新初始化时 安全系统没有正确的初始化 从而留下了安全漏洞让人利用 类似的问题在木马程序修改了系统的安全配置文件时也会发生 身份鉴别威胁 身份鉴别造成威胁包括四个面 口令圈套 口令破解 算法考虑不周和编辑口令 1 口令圈套口令圈套是网络安全的一种诡计 与冒名顶替有关 常用的口令圈套通过一个编译代码模块实现 它运行起来和登录屏幕一模一样 被插入到正常有登录过程之前 最终用户看到的只是先后两个登录屏幕 第一次登录失败了 所以用户被要求再输入用户名和口令 实际上 第一次登录并没有失败 它将登录数据 如用户名和口令写入到这个数据文件中 留待使用 2 口令破解破解口令就像是猜测自行车密码锁的数字组合一样 在该领域中已形成许多能提高成功率的技巧 3 算法考虑不周口令输入过程必须在满足一定条件下才能正常地工作 这个过程通过某些算法实现 在一些攻击入侵案例中 入侵者采用超长的字符串破坏了口令算法 成功地进入了系统 4 编辑口令编辑口令需要依靠操作系统漏洞 如果公司内部的人建立了一个虚设的账户或修改了一个隐含账户的口令 这样 任何知道那个账户的用户名和口令的人便可以访问该机器了 线缆连接威胁 线缆连接造成的威胁包括三个方面 窃听 拨号进入和冒名顶替 1 窃听对通信过程进行窃听可达到收集信息的目的 这种电子窃听不一定需要窃听设备一定安装在电缆上 可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号 为了使机构内部的通信有一定的保密性 可以使用加密手段来防止信息被解密 2 拨号进入拥有一个调制解调器和一个电话号码 每个人都可以试图通过远程拨号访问网络 尤其是拥有所期望攻击的网络的用户账户时 就会对网络造成很大的威胁 3 冒名顶替通过使用别人的密码和账号时 获得对网络及其数据 程序的使用能力 这种办法实现起来并不容易 而且一般需要有机构内部的 了解网络和操作过程的人参与 有害程序威胁 有害程序造成的威胁包括三个方面 病毒 代码炸弹和特洛伊木马 1 病毒病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码 通过这种方式病毒可以进行自我复制 并随着它所附着的程序在机器之间传播 2 代码炸弹代码炸弹是一种具有杀伤力的代码 其原理是一旦到达设定的日期或钟点 或在机器中发生了某种操作 代码炸弹就被触发并开始产生破坏性操作 代码炸弹不必像病毒那样四处传播 程序员将代码炸弹写入软件中 使其产生了一个不能轻易地找到的安全漏洞 一旦该代码炸弹被触发后 这个程序员便会被请回来修正这个错误 并赚一笔钱 这种高技术的敲诈的受害者甚至不知道他们被敲诈了 即便他们有疑心也无法证实自己的猜测 3 特洛伊木马特洛伊木马程序一旦被安装到机器上 便可按编制者的意图行事 特洛伊木马能够摧毁数据 有时伪装成系统上已有的程序 有时创建新的用户名和口令 三 网络安全的攻防研究体系 网络安全 NetworkSecurity 是一门涉及计算机科学 网络技术 通信技术 密码技术 信息安全技术 应用数学 数论 信息论等多种学科的综合性科学 网络安全的攻防体系 攻击技术 如果不知道如何攻击 再好的防守也是经不住考验的 攻击技术主要包括五个方面 1 网络监听 自己不主动去攻击别人 在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据 2 网络扫描 利用程序去扫描目标计算机开放的端口等 目的是发现漏洞 为入侵该计算机做准备 3 网络入侵 当探测发现对方存在漏洞以后 入侵到目标计算机获取信息 4 网络后门 成功入侵目标计算机后 为了对 战利品 的长期控制 在目标计算机中种植木马等后门 5 网络隐身 入侵完毕退出目标计算机后 将自己入侵的痕迹清除 从而防止被对方管理员发现 防御技术 防御技术包括四大方面 1 操作系统的安全配置 操作系统的安全是整个网络安全的关键 2 加密技术 为了防止被监听和盗取数据 将所有的数据进行加密 3 防火墙技术 利用防火墙 对传输的数据进行限制 从而防止被入侵 4 入侵检测 如果网络防线最终被攻破了 需要及时发出被入侵的警报 网络安全的层次体系 从层次体系上 可以将网络安全分成四个层次上的安全 1 物理安全 2 逻辑安全 3 操作系统安全 4 联网安全 物理安全 物理安全主要包括五个方面 1 防盗 2 防火 3 防静电 4 防雷击 5 防电磁泄漏 1 防盗 像其他的物体一样 计算机也是偷窃者的目标 例如盗走软盘 主板等 计算机偷窃行为所造成的损失可能远远超过计算机本身的价值 因此必须采取严格的防范措施 以确保计算机设备不会丢失 物理安全 2 防火 计算机机房发生火灾一般是由于电气原因 人为事故或外部火灾蔓延引起的 电气设备和线路因为短路 过载 接触不良 绝缘层破坏或静电等原因引起电打火而导致火灾 人为事故是指由于操作人员不慎 吸烟 乱扔烟头等 使存在易燃物质 如纸片 磁带 胶片等 的机房起火 当然也不排除人为故意放火 外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾 物理安全 3 防静电 静电是由物体间的相互摩擦 接触而产生的 计算机显示器也会产生很强的静电 静电产生后 由于未能释放而保留在物体内 会有很高的电位 能量不大 从而产生静电放电火花 造成火灾 还可能使大规模集成电器损坏 这种损坏可能是不知不觉造成的 物理安全 利用引雷机理的传统避雷针防雷 不但增加雷击概率 而且产生感应雷 而感应雷是电子信息设备被损坏的主要杀手 也是易燃易爆品被引燃起爆的主要原因 雷击防范的主要措施是 根据电气 微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护 根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护 物理安全 5 防电磁泄漏电子计算机和其他电子设备一样 工作时要产生电磁发射 电磁发射包括辐射发射和传导发射 这两种电磁发射可被高灵敏度的接收设备接收并进行分析 还原 造成计算机的信息泄露 屏蔽是防电磁泄漏的有效措施 屏蔽主要有电屏蔽 磁屏蔽和电磁屏蔽三种类型 逻辑安全 计算机的逻辑安全需要用口令 文件许可等方法来实现 可以限制登录的次数或对试探操作加上时间限制 可以用软件来保护存储在计算机文件中的信息 限制存取的另一种方式是通过硬件完成 在接收到存取要求后 先询问并校核口令 然后访问列于目录中的授权用户标志号 此外 有一些安全软件包也可以跟踪可疑的 未授权的存取企图 例如 多次登录或请求别人的文件 操作系统安全 操作系统是计算机中最基本 最重要的软件 同一计算机可以安装几种不同的操作系统 如果计算机系统可提供给许多人使用 操作系统必须能区分用户 以便于防止相互干扰 一些安全性较高 功能较强的操作系统可以为计算机的每一位用户分配账户 通常 一个用户一个账户 操作系统不允许一个用户修改由另一个账户产生的数据 联网安全 联网的安全性通过两方面的安全服务来达到 1 访问控制服务 用来保护计算机和联网资源不被非授权使用 2 通信安全服务 用来认证数据机要性与完整性 以及各通信的可信赖性 四 网络安全制度建设 目前网络安全方面的法规已经写入中华人民共和国宪法 于1982年8月23日写入中华人民共和国商标法于1984年3月12日写入中华人民共和国专利法于1988年9月 日写入中华人民共和国保守国家秘密法于1993年9月2日写入中华人民共和国反不正当竞争法 我国立法情况 国际立法情况 美国和日本是计算机网络安全比较完善的国家 一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够完善 欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织 为在共同体内正常地进行信息市场运做 该组织在诸多问题上建立了一系列法律 具体包括 竞争 反托拉斯 法 产品责任 商标和广告规定 知识产权保护 保护软件 数据和多媒体产品及在线版权 数据保护 跨境电子贸易 税收 司法问题等 这些法律若与其成员国原有国家法律相矛盾 则必须以共同体的法律为准 我国评价标准 在我国根据 计算机信息系统安全保护等级划分准则 1999年10月经过国家质量技术监督局批准发布准则将计算机安全保护划分为以下五个级别第一级为用户自主保护级 它的安全保护机制使用户具备自主安全保护的能力 保护用户的信息免受非法的读写破坏 第二级为系统审计保护级 除具备第一级所有的安全保护功能外 要求创建和维护访问的审计跟踪记录 使所有的用户对自己的行为的合法性负责 第三级为安全标记保护级 除继承前一个级别的安全功能外 还要求以访问对象标记的安全级别限制访问者的访问权限 实现对访问对象的强制保护 第四级为结构化保护级 在继承前面安全级别安全功能的基础上 将安全保护机制划分为关键部分和非关键部分 对关键部分直接控制访问者对访问对象的存取 从而加强系统的抗渗透能力第五级为访问验证保护级 这一个级别特别增设了访问验证功能 负责仲裁访问者对访问对象的所有访问活动 国际评价标准 根据美国国防部开发的计算机安全标准 可信任计算机标准评价准则 TrustedComputerStandardsEvaluationCriteria TCSEC 也就是网络安全橙皮书 一些计算机安全级别被用来评价一个计算机系统的安全性 自从1985年橙皮书成为美国国防部的标准以来 就一直没有改变过 多年以来一直是评估多用户主机和小型操作系统的主要方法 其他子系统 如数据库和网络 也一直用橙皮书来解释评估 橙皮书把安全的级别从低到高分成4个类别 D类 C类 B类和A类 每类又分几个级别 安全级别 安全级别 D级是最低的安全级别 拥有这个级别的操作系统就像一个门户大开的房子 任何人都可以自由进出 是完全不可信任的 对于硬件来说 是没有任何保护措施的 操作系统容易受到损害 没有系统访问限制和数据访问限制 任何人不需任何账户都可以进入系统 不受任何限制可以访问他人的数据文件 属于这个级别的操作系统有 DOS和Windows98等 安全级别 C1是C类的一个安全子级 C1又称选择性安全保护 DiscretionarySecurityProtection 系统 它描述了一个典型的用在Unix系统上安全级别这种级别的系统对硬件又有某种程度的保护 如用户拥有注册账号和口令 系统通过账号和口令来识别用户是否合法 并决定用户对程序和信息拥有什么样的访问权 但硬件受到损害的可能性仍然存在 用户拥有的访问权是指对文件和目标的访问权 文件的拥有者和超级用户可以改变文件的访问属性 从而对不同的用户授予不通的访问权限 安全级别 使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务 授权分级使系统管理员能够给用户分组 授予他们访问某些程序的权限或访问特定的目录 能够达到C2级别的常见操作系统有 1 Unix系统 2 Novell3 X或者更高版本 3 WindowsNT Windows2000和Windows2003 安全级别 B级中有三个级别 B1级即标志安全保护 LabeledSecurityProtection 是支持多级安全 例如 秘密和绝密 的第一个级别 这个级别说明处于强制性访问控制之下的对象 系统不允许文件的拥有者改变其许可权限 安全级别存在保密 绝密级别 这种安全级别的计算机系统一般在政府机构中 比如国防部和国家安全局的计算机系统 安全级别 B2级 又叫结构保护级别 StructuredProtection 它要求计算机系统中所有的对象都要加上标签 而且给设备 磁盘 磁带和终端 分配单个或者多个安全级别 B3级 又叫做安全域级别 SecurityDomain 使用安装硬件的方式来加强域的安全 例如 内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象 该级别也要求用户通过一条可信任途径连接到系统上 安全级别 A级 又称验证设计级别 VerifiedDesign 是当前橙皮书的最高级别 它包含了一个严格的设计 控制和验证过程 该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证 而且必须进行秘密通道和可信任分布分析 可信任分布 TrustedDistribution 的含义是 硬件和软件在物理传输过程中已经受到保护 以防止破坏安全系统 橙皮书也存在不足 TCSEC是针对孤立计算机系统 特别是小型机和主机系统 假设有一定的物理保障 该标准适合政府和军队 不适合企业 这个模型是静态的 五 WINDOWS操作系统安全 WindowsNT NewTechnology 是微软公司第一个真正意义上的网络操作系统 发展经过NT3 0 NT40 NT5 0 Windows2000 和NT6 0 Windows2003 等众多版本 并逐步占据了广大的中小网络操作系统的市场 WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法 使用户使用起来比较方便 与Windows9X相比 WindowsNT的网络功能更加强大并且安全 安全配置方案初级篇 安全配置方案初级篇主要介绍常规的操作系统安全配置 包括十二条基本配置原则 物理安全 停止Guest帐号 限制用户数量创建多个管理员帐号 管理员帐号改名陷阱帐号 更改默认权限 设置安全密码屏幕保护密码 使用NTFS分区运行防毒软件和确保备份盘安全 1 物理安全 服务器应该安放在安装了监视器的隔离房间内 并且监视器要保留15天以上的摄像记录 另外 机箱 键盘 电脑桌抽屉要上锁 以确保旁人即使进入房间也无法使用电脑 钥匙要放在安全的地方 2 停止Guest帐号 在计算机管理的用户里面把Guest帐号停用 任何时候都不允许Guest帐号登陆系统 为了保险起见 最好给Guest加一个复杂的密码 可以打开记事本 在里面输入一串包含特殊字符 数字 字母的长字符串 用它作为Guest帐号的密码 并且修改Guest帐号的属性 设置拒绝远程访问 如图7 1所示 3限制用户数量 去掉所有的测试帐户 共享帐号和普通部门帐号等等 用户组策略设置相应权限 并且经常检查系统的帐户 删除已经不使用的帐户 帐户很多是黑客们入侵系统的突破口 系统的帐户越多 黑客们得到合法用户的权限可能性一般也就越大 对于WindowsNT 2000主机 如果系统帐户超过10个 一般能找出一两个弱口令帐户 所以帐户数量不要大于10个 4多个管理员帐号 虽然这点看上去和上面有些矛盾 但事实上是服从上面规则的 创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物 另一个拥有Administrator权限的帐户只在需要的时候使用 因为只要登录系统以后 密码就存储再WinLogon进程中 当有其他用户入侵计算机的时候就可以得到登录用户的密码 尽量减少Administrator登录的次数和时间 5管理员帐号改名 Windows2000中的Administrator帐号是不能被停用的 这意味着别人可以一遍又一边的尝试这个帐户的密码 把Administrator帐户改名可以有效的防止这一点 不要使用Admin之类的名字 改了等于没改 尽量把它伪装成普通用户 比如改成 guestone 具体操作的时候只要选中帐户名改名就可以了 如图7 2所示 6陷阱帐号 所谓的陷阱帐号是创建一个名为 Administrator 的本地帐户 把它的权限设置成最低 什么事也干不了的那种 并且加上一个超过10位的超级复杂密码 这样可以让那些企图入侵者忙上一段时间了 并且可以借此发现它们的入侵企图 可以将该用户隶属的组修改成Guests组 如图7 3所示 7更改默认权限 共享文件的权限从 Everyone 组改成 授权用户 Everyone 在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料 任何时候不要把共享文件的用户设置成 Everyone 组 包括打印共享 默认的属性就是 Everyone 组的 一定不要忘了改 设置某文件夹共享默认设置如图7 4所示 8安全密码 好的密码对于一个网络是非常重要的 但是也是最容易被忽略的 一些网络管理员创建帐号的时候往往用公司名 计算机名 或者一些别的一猜就到的字符做用户名 然后又把这些帐户的密码设置得比较简单 比如 welcome iloveyou letmein 或者和用户名相同的密码等 这样的帐户应该要求用户首此登陆的时候更改成复杂的密码 还要注意经常更改密码 这里给好密码下了个定义 安全期内无法破解出来的密码就是好密码 也就是说 如果得到了密码文档 必须花43天或者更长的时间才能破解出来 密码策略是42天必须改密码 9屏幕保护密码 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障 注意不要使用OpenGL和一些复杂的屏幕保护程序 浪费系统资源 黑屏就可以了 还有一点 所有系统用户所使用的机器也最好加上屏幕保护密码 将屏幕保护的选项 密码保护 选中就可以了 并将等待时间设置为最短时间 1秒 如图7 5所示 10NTFS分区 把服务器的所有分区都改成NTFS格式 NTFS文件系统要比FAT FAT32的文件系统安全得多 11防毒软件 Windows2000 NT服务器一般都没有安装防毒软件的 一些好的杀毒软件不仅能杀掉一些著名的病毒 还能查杀大量木马和后门程序 设置了放毒软件 黑客 们使用的那些有名的木马就毫无用武之地了 并且要经常升级病毒库 12备份盘的安全 一旦系统资料被黑客破坏 备份盘将是恢复资料的唯一途径 备份完资料后 把备份盘防在安全的地方 不能把资料备份在同一台服务器上 这样的话还不如不要备份 安全配置方案中级篇 安全配置方案中级篇主要介绍操作系统的安全策略配置 包括十条基本配置原则 操作系统安全策略 关闭不必要的服务关闭不必要的端口 开启审核策略开启密码策略 开启帐户策略 备份敏感文件不显示上次登陆名 禁止建立空连接和下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略 微软提供了一套的基于管理控制台的安全配置和分析工具 可以配置服务器的安全策略 在管理工具中可以找到 本地安全策略 主界面如图7 6所示 可以配置四类安全策略 帐户策略 本地策略 公钥策略和IP安全策略 在默认的情况下 这些策略都是没有开启的 2关闭不必要的服务 Windows2000的TerminalServices 终端服务 和IIS Internet信息服务 等都可能给系统带来安全漏洞 为了能够在远程方便的管理服务器 很多机器的终端服务都是开着的 如果开了 要确认已经正确的配置了终端服务 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务 要留意服务器上开启的所有服务并每天检查 Windows2000作为服务器可禁用的服务及其相关说明如表7 1所示 Windows2000可禁用的服务 3关闭不必要的端口 关闭端口意味着减少功能 如果服务器安装在防火墙的后面 被入侵的机会就会少一些 但是不可以认为高枕无忧了 用端口扫描器扫描系统所开放的端口 在Winnt system32 drivers etc services文件中有知名端口和服务的对照表可供参考 该文件用记事本打开如图7 7所示 设置本机开放的端口和服务 在IP地址设置窗口中点击按钮 高级 如图7 8所示 在出现的对话框中选择选项卡 选项 选中 TCP IP筛选 点击按钮 属性 如图7 9所示 设置端口界面如图7 10所示 一台Web服务器只允许TCP的80端口通过就可以了 TCP IP筛选器是Windows自带的防火墙 功能比较强大 可以替代防火墙的部分功能 4开启审核策略 安全审核是Windows2000最基本的入侵检测方法 当有人尝试对系统进行某种方式 如尝试用户密码 改变帐户策略和未经许可的文件访问等等 入侵的时候 都会被安全审核记录下来 很多的管理员在系统被入侵了几个月都不知道 直到系统遭到破坏 表7 2的这些审核是必须开启的 其他的可以根据需要增加 审核策略默认设置 审核策略在默认的情况下都是没有开启的 如图7 11所示 双击审核列表的某一项 出现设置对话框 将复选框 成功 和 失败 都选中 如图7 12所示 5开启密码策略 密码对系统安全非常重要 本地安全设置中的密码策略在默认的情况下都没有开启 需要开启的密码策略如表7 3所示 设置选项如图7 13所示 6开启帐户策略 开启帐户策略可以有效的防止字典式攻击 设置如表7 4所示 设置帐户策略 设置的结果如图7 14所示 7备份敏感文件 把敏感文件存放在另外的文件服务器中 虽然服务器的硬盘容量都很大 但是还是应该考虑把一些重要的用户数据 文件 数据表和项目文件等 存放在另外一个安全的服务器中 并且经常备份它们 8不显示上次登录名 默认情况下 终端服务接入服务器时 登陆对话框中会显示上次登陆的帐户名 本地的登陆对话框也是一样 黑客们可以得到系统的一些用户名 进而做密码猜测 修改注册表禁止显示上次登录名 在HKEY LOCAL MACHINE主键下修改子键 Software Microsoft WindowsNT CurrentVersion Winlogon DontDisplayLastUserName 将键值改成1 如图7 15所示 9禁止建立空连接 默认情况下 任何用户通过空连接连上服务器 进而可以枚举出帐号 猜测密码 可以通过修改注册表来禁止建立空连接 在HKEY LOCAL MACHINE主键下修改子键 System CurrentControlSet Control LSA RestrictAnonymous 将键值改成 1 即可 如图7 16所示 10下载最新的补丁 很多网络管理员没有访问安全站点的习惯 以至于一些漏洞都出了很久了 还放着服务器的漏洞不补给人家当靶子用 谁也不敢保证数百万行以上代码的Windows2000不出一点安全漏洞 经常访问微软和一些安全站点 下载最新的ServicePack和漏洞补丁 是保障服务器长久安全的唯一方法 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置 包括十四条配置原则 关闭DirectDraw 关闭默认共享禁用DumpFile 文件加密系统加密Temp文件夹 锁住注册表 关机时清除文件禁止软盘光盘启动 使用智能卡 使用IPSec禁止判断主机类型 抵抗DDOS禁止Guest访问日志和数据恢复软件 1关闭DirectDraw C2级安全标准对视频卡和内存有要求 关闭DirectDraw可能对一些需要用到DirectX的程序有影响 比如游戏 但是对于绝大多数的商业站点都是没有影响的 在HKEY LOCAL MACHINE主键下修改子键 SYSTEM CurrentControlSet Control GraphicsDrivers DCI Timeout 将键值改为 0 即可 如图7 17所示 2关闭默认共享 Windows2000安装以后 系统会创建一些隐藏的共享 可以在DOS提示符下输入命令NetShare查看 如图7 18所示 停止默认共享 禁止这些共享 打开管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上按右键 点停止共享即可 如图7 19所示 3禁用Dump文件 在系统崩溃和蓝屏的时候 Dump文件是一份很有用资料 可以帮助查找问题 然而 也能够给黑客提供一些敏感信息 比如一些应用程序的密码等需要禁止它 打开控制面板 系统属性 高级 启动和故障恢复 把写入调试信息改成无 如图7 20所示 4文件加密系统 Windows2000强大的加密系统能够给磁盘 文件夹 文件加上一层安全保护 这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据 微软公司为了弥补WindowsNT4 0的不足 在Windows2000中 提供了一种基于新一代NTFS NTFSV5 第5版本 的加密文件系统 EncryptedFileSystem 简称EFS EFS实现的是一种基于公共密钥的数据加密方式 利用了Windows2000中的CryptoAPI结构 5加密Temp文件夹 一些应用程序在安装和升级的时候 会把一些东西拷贝到Temp文件夹 但是当程序升级完毕或关闭的时候 并不会自己清除Temp文件夹的内容 所以 给Temp文件夹加密可以给你的文件多一层保护 6锁住注册表 在Windows2000中 只有Administrators和BackupOperators才有从网络上访问注册表的权限 当帐号的密码泄漏以后 黑客也可以在远程访问注册表 当服务器放到网络上的时候 一般需要锁定注册表 修改Hkey current user下的子键Software microsoft windows currentversion Policies system把DisableRegistryTools的值该为0 类型为DWORD 如图7 21所示 7关机时清除文件 页面文件也就是调度文件 是Windows2000用来存储没有装入内存的程序和数据文件部分的隐藏文件 一些第三方的程序可以把一些没有的加密的密码存在内存中 页面文件中可能含有另外一些敏感的资料 要在关机的时候清楚页面文件 可以编辑注册表修改主键HKEY LOCAL MACHINE下的子键 SYSTEM CurrentControlSet Control SessionManager MemoryManagement把ClearPageFileAtShutdown的值设置成1 如图7 22所示 8禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的安全机制 比如一些管理员工具 从软盘上或者光盘上引导系统以后 就可以修改硬盘上操作系统的管理员密码 如果服务器对安全要求非常高 可以考虑使用可移动软盘和光驱 把机箱锁起来仍然不失为一个好方法 9使用智能卡 对于密码 总是使安全管理员进退两难 容易受到一些工具的攻击 如果密码太复杂 用户把为了记住密码 会把密码到处乱写 如果条件允许 用智能卡来代替复杂的密码是一个很好的解决方法 10使用IPSec 正如其名字的含义 IPSec提供IP数据包的安全性 IPSec提供身份验证 完整性和可选择的机密性 发送方计算机在传输之前加密数据 而接收方计算机在收到数据之后解密数据 利用IPSec可以使得系统的安全性能大大增强 11禁止判断主机类型 黑客利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型 Ping的用处是检测目标主机是否连通 许多入侵者首先会Ping一下主机 因为攻击某一台计算机需要根据对方的操作系统 是Windows还是Unix 如过TTL值为128就可以认为你的系统为Windows2000 如图7 23所示 从图中可以看出 TTL值为128 说明改主机的操作系统是Windows2000操作系统 表7 6给出了一些常见操作系统的对照值 修改TTL的值 入侵者就无法入侵电脑了 比如将操作系统的TTL值改为111 修改主键HKEY LOCAL MACHINE的子键 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS新建一个双字节项 如图7 24所示 在键的名称中输入 defaultTTL 然后双击改键名 选择单选框 十进制 在文本框中输入111 如图7 25所示 设置完毕重新启动计算机 再用Ping指令 发现TTL的值已经被改成111了 如图7 26所示 12抵抗DDOS 添加注册表的一些键值 可以有效的抵抗DDOS的攻击 在键值 HKEY LOCAL MACHINE System CurrentControlSet Services Tcpip Parameters 下增加响应的键及其说明如表7 7所示 13禁止Guest访问日志 在默认安装的WindowsNT和Windows2000中 Guest帐号和匿名用户可以查看系统的事件日志 可能导致许多重要信息的泄漏 修改注册表来禁止Guest访问事件日志 禁止Guest访问应用日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Application下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 系统日志 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog System下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 安全日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Security下添加键值名称为 RestrictGuestAccess 类型为 DWORD 将值设置为1 14数据恢复软件 当数据被病毒或者入侵者破坏后 可以利用数据恢复软件可以找回部分被删除的数据 在恢复软件中一个著名的软件是EasyRecovery 软件功能强大 可以恢复被误删除的文件 丢失的硬盘分区等等 软件的主界面如图7 26所示 比如原来在E盘上有一些数据文件 被黑客删除了 选择左边栏目 DataRecovery 然后选择左边的按钮 AdvancedRecovery 如图7 28所示 进入AdvancedRecovery对话框后 软件自动扫描出目前硬盘分区的情况 分区信息是直接从分区表中读取出来的 如图7 29所示 现在要恢复E盘上的文件 所以选择E盘 点击按钮 Next 如图7 30所示 软件开始自动扫描该盘上曾经有哪些被删除了文件 根据硬盘的大小 需要一段比较长的时间 如图7 31所示 扫描完成以后 将该盘上所有的文件以及文件夹显示出来 包括曾经被删除文件和文件夹 如图7 32所示 选中某个文件夹或者文件前面的复选框 然后点击按钮 Next 就可以恢复了 如图7 33所示 在恢复的对话框中选择一个本地的文件夹 将文件保存到该文件夹中 如图7 34所示 选择一个文件夹后 电击按钮 Next 就出现了恢复的进度对话框 如图7 35所示 瑞星杀毒使用指南 第一步启动安装程序下载并点击安装瑞星杀毒软件 就可以进行瑞星杀毒软件下载版的安装了 这时会给出安装提示 用户只要按照相应提示 就可以轻松进行安装了 一 安装 第二步完成安装当软件安装成功后会出现以下结束框 默认是启动 运行设置向导 运行瑞星杀毒软件主程序 和 瑞星监控中心 当用户点击 完成 后 就完成了整个瑞星杀毒软件下载版的安装 这时会自动运行设置向导 按照自己的需求进行每一项的具体设置 点击下一步完成各项设置 用户也可以通过打勾的方法 自行改变要启动的程序 第三步输入产品序列号和用户ID启动杀毒软件 当出现如下图所示的窗口后 在相应位置输入您购买获得的产品序列号和用户ID 点击 确定 通过验证后则会提示 您的瑞星杀毒软件现在可以正常使用 2 1安装完成后应该做什么 安装瑞星杀毒软件下载版成功后建议您立即智能升级您的瑞星杀毒软件至最新版本 并进行全盘查杀 建议您下载最新版用户手册并仔细阅读 了解各项设置和功能 2 2如何进行智能升级 当瑞星杀毒软件下载版安装完成后 可以有三种方法启动升级程序 方法一 进入瑞星杀毒软件下载版主界面 点击下方的 升级 按钮进行智能升级 如下图所示 二 升级 方法二 左键单击瑞星杀毒软件下载版 实时监控 绿色小伞 图标 在弹出的菜单中选择 启动智能升级 如下图所示 方法三 在操作系统开始菜单的程序中找到瑞星杀毒软件下载版 然后在里面找到 升级程序 点击即可进行瑞星杀毒软件下载版的智能升级 如下图所示 2 3在用户通过网络进行升级之前 如何进行网络设置 操作方法 在瑞星杀毒软件下载版主程序界面中 选择 设置 网络设置 在弹出的 网络设置 窗口选择您使用的上网方式使用InternetExplorer的设置连接网络通过局域网或直接连接访问网络通过代理服务器访问网络选择此项须填写代理服务器的IP地址和端口号 可能还需要身份验证点击 确定 保存设置 3 1手动查杀病毒第一步 启动瑞星杀毒软件 通过以下几种方式 您可以快速启动瑞星杀毒软件主程序 双击Windows桌面上的瑞星杀毒软件快捷方式图标双击Windows任务栏中瑞星实时监控的绿色雨伞图标单击Windows快速启动栏中的瑞星杀毒软件图标 三 杀毒 第二步 确定要扫描的文件夹或者其它目标 在 查杀目标 中被勾选的目录即是当前选定的查杀目标 第三步 单击 查杀病毒 则开始扫描相应目标 发现病毒立即清除 扫描过程中可随时点击 暂停杀毒 按钮来暂时停止扫描 按 继续杀毒 按钮则继续扫描 或点击 停止杀毒 按钮停止扫描 扫描中 带毒文件或系统的名称 所在文件夹 病毒名称将显示在查毒结果栏内 您可以使用右键菜单对染毒文件进行处理 第四步 扫描结束后 扫描结果将自动保存到杀毒软件工作目录的指定文件中 您可以通过历史记录来查看以往的扫描结果 第五步 如果您想继续扫描其他文件或磁盘 重复第二 第三步即可 3 2定时查杀病毒定时扫描功能是在一定时刻 瑞星杀毒软件自动启动 对预先设置的扫描目标进行扫描病毒 此功能为用户提供了即使在无人值守的情况下 也能保证计算机防御病毒的安全 操作方法 1 在瑞星杀毒软件下载版主程序界面中 选择 设置 详细设置 定制任务 定时扫描 2 在 定时扫描 页进行设置 具体选项如下 发现病毒时 您可以根据需要选择 询问用户 直接杀毒 直接删除 忽略 杀毒结束后 您可以根据需要选择 返回 退出 重启 关机 扫描频率 您可以根据需要选择 不扫描 每周期一次 每周一次 每天一次 每小时一次 等不同的扫描频率 扫描时刻 根据每小时 每天 每周 每月的扫描频率设置 用户可设置相应的时刻进行定时扫描 扫描内容设定 在定时扫描时 用户可选择对引导区 内存 邮箱或指定的目录等进行扫描 高级设置 通过高级设置 可以对以下内容进行设置 扫描文件类型 未知病毒类型 优化选项 发现病毒时的处理方式 清除失败时的处理方式 杀毒结束时的处理方式和将染毒文件备份到病毒隔离系统失败时的处理方式 4 1对软件进行定期升级是一项重要的日常维护管理工作使用定时智能升级能保持您及时升级到最新版本 从而可以查杀各种新病毒 设置定时升级操作方法 方法一 在瑞星杀毒软件主程序界面中 选择 设置 详细设置 定时升级 四 维护 方法二 在瑞星杀毒软件主程序界面中 选择 设置 定时升级设置 升级频率 您可以根据需要选择 不升级 每周期一次 每周一次 每天一次 每小时一次 升级时刻 设置定时升级的时间 系统时钟会在到达设定的时间时自动升级 升级策略 静默升级 选中此项 即可在不打扰用户的情况下 不显示升级程序界面 升级程序根据定时升级的设定值自动完成升级 只升级病毒库 选中此项 即在升级的时候 只升级病毒库 而不升级其它部分以减少下载量 版本检测自动检测最新版本 升级程序自动连接瑞星网站 检测是否有最新版本 默认每隔120分钟检测一次 4 2经常进行系统漏洞扫描 获取系统漏洞的补丁包 进行系统漏洞的更新瑞星漏洞扫描工具是对Windows系统存在的 系统漏洞 和 安全设置缺陷 进行检查 并提供相应的补丁下载和安全设置缺陷修补的工具 4 2 1启动漏洞扫描方法一 在瑞星杀毒软件下载版主程序界面中 选择 工具列表 漏洞扫描 运行 方法二 选择 开始 程序 瑞星杀毒软件 瑞星工具 瑞星漏洞扫描 启动系统漏洞扫描程序 4 2 2使用漏洞扫描 勾选 安全漏洞 和 安全设置 选项 点击 开始扫描 进行系统漏洞扫描 4 2 3阅读扫描报告扫描结束自动显示扫描报告 内容包括扫描时间 发现的安全漏洞 未修复的安全设置 点击 查看详细 可以分别查看安全漏洞和未修复的安全设置的详细信息 4 2 4安全漏洞的修复选择 扫描报告 发现的安全漏洞 查看详细 选项可以查看详细的安全漏洞信息 也可直接进入 安全漏洞 页查看 在该页中漏洞扫描给出了每个漏洞信息的详细解释和漏洞的安全级别 的多少将用于表示此漏洞对您的系统造成的危害程度 越多表示危害程度越高 在想要修复的漏洞前面 打勾 勾选 然后点击右下角 修复选择的漏洞 漏洞扫描可以自动连接网络下载相关补丁文件 页面最下面显示了补丁保存目录 您也可以点击 更换目录 更改补丁保存目录 当漏洞信息的相关补丁文件下载到本地后 可以直接运行补丁文件 进行系统文件的更新 在更新的过程中更新程序可能要求系统重新启动计算机 这些步骤都是微软根据补丁程序的需要进行的必要操作 4 2 5 安全设置 漏洞的修复选择 扫描报告 未修复的安全设置 查看详细 选项可以查看详细的安全设置信息 也可直接进入 安全设置 页进行查看 在想要修复的设置前面勾选 然后点击右下角 修复选择的设置 即可对所选的安全设置进行修复 对于由于用户的设置而造成的系统的不安全隐患 漏洞扫描已经给出了相应的解释 对于某些设置 漏洞扫描是可以进行自动修补的 而对于无法自动修复的设置 则需要用户的参与 比如 不安全的共享 过多的管理员 系统管理员的密码为空等 这些情况需要用户手动更改解决 4 2 6进行漏洞的更新当漏洞信息的相关补丁文件下载到本地后 可以直接运行补丁文件 进行系统文件的更新 在更新的过程中更新程序可能要求重新启动计算机 这些步骤都是微软公司根据补丁程序的需要进行的必要操作 4 2 7 安全设置 漏洞的修复对由于用户的设置而造成的系统的不安全隐患 漏洞扫描已经给出了相应的解释 对于某些设置 漏洞扫描是可以进行自动修复的 而对无法自动修复的设置 则需要用户的参与 比如 不安全的共享 过多的管理员帐号 系统管理员帐号的密码为空等 这些情况需要用户手动更改解决 瑞星防火墙使用指南 第一步启动安装程序当把瑞星个人防火墙下载版安装程序保存到您的电脑中的指定目录后 找到该目录 双击运行安装程序 就可以进行瑞星个人防火墙下载版的安装了 这时会给出安装提示 用户只要按照相应提示 就可以轻松进行安装了 一