计算机网络信息安全知识

计算机网络信息安全知识,网络监控中心,目录,计算机网络安全技术概述计算机网络信息安全概述计算机网络信息安全防范技巧,目录,计算机网络安全技术概述计算机网络信息安全概述计算机网络信息安全防范技巧,一.网络安全的含义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,计算机网络安全技术概述,网络安全包括的内容：（l）运行系统安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全。（4）网络上信息内容的安全。,计算机网络安全技术概述,二、网络安全技术研究的主要问题,网络防攻击问题；网络安全漏洞与对策问题；网络中的信息安全保密问题；防抵赖问题；网络内部安全防范问题；网络防病毒问题；网络数据备份与恢复、灾难恢复问题。,计算机网络安全技术概述,1.网络防攻击技术,服务攻击（applicationdependentattack）:对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击（applicationindependentattack）:不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。,计算机网络安全技术概述,2.网络安全漏洞与对策的研究,网络信息系统的运行涉及：计算机硬件与操作系统；网络硬件与网络软件；数据库管理系统；应用软件；网络通信协议。网络安全漏洞也会表现在以上几个方面。,计算机网络安全技术概述,3.网络中的信息安全问题,信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；,计算机网络安全技术概述,4.防抵赖问题,防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账；通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。,计算机网络安全技术概述,5.网络内部安全防范,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,计算机网络安全技术概述,6.网络防病毒,引导型病毒可执行文件病毒宏病毒混合病毒特洛伊木马型病毒Internet语言病毒,计算机网络安全技术概述,7.网络数据备份与恢复、灾难恢复问题,如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？,计算机网络安全技术概述,三.网络安全的关键技术加密与认证技术防火墙技术网络防攻击与入侵检测技术网络文件备份与恢复技术网络防病毒技术安全管理技术。,计算机网络安全技术概述,1加密与认证技术1.1密码算法与密码体制的基本概念,数据加密与解密的过程,计算机网络安全技术概述,密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥；传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制；如果加密密钥和解密密钥不相同，则称为非对称密码体制；密钥可以看作是密码算法中的可变参数。密码算法是相对稳定的。在这种意义上，可以把密码算法视为常量，而密钥则是一个变量；在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。,计算机网络安全技术概述,1.2对称密钥（symmetriccryptography）密码体系,对称加密的特点,计算机网络安全技术概述,1.3非对称密钥（asymmetriccryptography）密码体系,非对称密钥密码体系的特点,计算机网络安全技术概述,1.4数字信封技术,计算机网络安全技术概述,1.5数字签名技术,计算机网络安全技术概述,1.6身份认证技术的发展,身份认证可以通过3种基本途径之一或它们的组合实现：所知（knowledge）:个人所掌握的密码、口令；所有（possesses）:个人身份证、护照、信用卡、钥匙；个人特征（characteristics）:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征；新的、广义的生物统计学是利用个人所特有的生理特征来设计的；目前人们研究的个人特征主要包括：容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。,计算机网络安全技术概述,2防火墙技术2.1防火墙的基本概念,防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。,计算机网络安全技术概述,防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（securityperimeter）；构成防火墙系统的两个基本部件是包过滤路由器（packetfilteringrouter）和应用级网关（applicationgateway）；最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多种形式。,计算机网络安全技术概述,2.2包过滤路由器,包过滤路由器的结构,计算机网络安全技术概述,路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址；目的IP地址；协议类型；IP选项内容；源TCP端口号；目的TCP端口号；TCPACK标识。,计算机网络安全技术概述,包过滤的工作流程,计算机网络安全技术概述,包过滤路由器作为防火墙的结构,计算机网络安全技术概述,2.3应用级网关的概念,多归属主机（multihomedhost）典型的多归属主机结构,计算机网络安全技术概述,应用级网关,计算机网络安全技术概述,应用代理（applicationproxy）,计算机网络安全技术概述,2.4防火墙的系统结构,堡垒主机的概念一个双归属主机作为应用级网关可以起到防火墙作用；处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。,计算机网络安全技术概述,典型防火墙系统系统结构分析,采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构,计算机网络安全技术概述,包过滤路由器的转发过程,计算机网络安全技术概述,S-B1配置的防火墙系统中数据传输过程,计算机网络安全技术概述,采用多级结构的防火墙系统（S-B1-S-B1配置）结构示意图,计算机网络安全技术概述,3网络防攻击与入侵检测技术3.1网络攻击方法分析,目前黑客攻击大致可以分为8种基本的类型：入侵系统类攻击；缓冲区溢出攻击；欺骗类攻击；拒绝服务攻击；对防火墙的攻击；利用病毒攻击；木马程序攻击；后门攻击。,计算机网络安全技术概述,3.2入侵检测的基本概念,入侵检测系统（intrusiondetectionsystem，IDS）是对计算机和网络资源的恶意使用行为进行识别的系统；它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。,计算机网络安全技术概述,入侵检测系统IDS的基本功能：监控、分析用户和系统的行为；检查系统的配置和漏洞；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别攻击类型，并向网络管理人员报警；对操作系统进行审计、跟踪管理，识别违反授权的用户活动。,计算机网络安全技术概述,入侵检测系统框架结构,计算机网络安全技术概述,3.3入侵检测的基本方法,对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能；入侵检测系统按照所采用的检测技术可以分为：异常检测误用检测两种方式的结合,计算机网络安全技术概述,4网络文件备份与恢复技术4.1网络文件备份与恢复的重要性,网络数据可以进行归档与备份；归档是指在一种特殊介质上进行永久性存储；网络数据备份是一项基本的网络维护工作；备份数据用于网络系统的恢复。,计算机网络安全技术概述,4.2网络文件备份的基本方法,选择备份设备选择备份程序建立备份制度在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？怎样备份才可能在恢复系统时数据损失最少？,计算机网络安全技术概述,5网络防病毒技术5.1造成网络感染病毒的主要原因,70%的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右；从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占6%；从公司之间交换的软盘带来的病毒约占2%；其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。,计算机网络安全技术概述,5.2网络病毒的危害,网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。,计算机网络安全技术概述,5.3典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手：一是工作站，二是服务器；网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒；网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描；一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,计算机网络安全技术概述,5.4网络工作站防病毒方法,采用无盘工作站使用单机防病毒卡使用网络防病毒卡,计算机网络安全技术概述,6网络管理技术6.1网络管理的基本概念,网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。,计算机网络安全技术概述,6.2OSI管理功能域,配置管理（configurationmanagement）故障管理（faultmanagement）性能管理（performancemanagement）安全管理（securitymanagement）记账管理（accountingmanagement）,计算机网络安全技术概述,6.3简单网络管理协议SNMP,Internet网络管理模型,计算机网络安全技术概述,简单网络管理协议SNMP,计算机网络安全技术概述,目录,计算机网络安全技术概述计算机网络信息安全概述计算机网络信息安全防范技巧,一、网络信息安全面临严峻挑战,网络信息安全面临严峻挑战,网上犯罪形势不容乐观有害信息污染严重网络病毒的蔓延和破坏网上黑客无孔不入机要信息流失与信息间谍潜入网络安全产品的自控权信息战的阴影不可忽视网上权益纠纷和违规行为,用户安全需求的多样性网络服务商：提供可靠的网络服务电子邮件用户：保证信息保密畅通企业内部网：防止外部非法访问企业外部网：安全组资源共享电子商务用户：验证、防抵赖、安全安全投资必须与网络攻击所造成的损失大小相适应,网上黑客无孔不入,美国网络屡遭扫荡军事、政治、经济美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史全球网络危机四伏非法侵入、破坏系统、窃取机密中国网络不断被侵入五一中美黑客大战800多网站被黑,网络的开放性,互联机制提供了广泛的可访问性Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会,技术的公开性,如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。,安全缺陷广泛存在网络层：协议、路由器、集线器系统层：操作系统应用层：浏览器管理层：法规、管理、策略,安全威胁多种多样非授权访问：伪冒、身份攻击、非法进入、越权访问信息泄露：敏感数据泄露传输窃听、存储泄露完整性破坏：非法删除、修改、重发信息拒绝服务攻击：使正常业务无法进行网络病毒：CIHMelisa爱虫欢乐时光,网络安全漏洞百出（1）系统开放了不必要的服务（2）软件的版本问题、缺省配置、具有弱点、未装补丁（3）NT服务器的配置问题（4）Web服务器的配置问题（5）防火墙的配置与路由器的访问控制表的配置问题（6）信息泄露Telnet旗标、Finger、SNMP（7）信任关系rlogin、rsh、rexec（8）口令弱（9）检测类似BO、NetBus等特洛伊木马（10）文件共享不合适netbios（11）远程访问不安全（12）不合适的登录、监测、检测配置（13）缺乏全局策略、对策、程序与指导,口令攻击拒绝服务攻击IP欺骗利用简单邮件传输协议（SMTP）入侵利用文件传输协议（FTP）进行的入侵WWW上的入侵网络文件系统（NFS）/远程过程调用（RPC）病毒缓冲区溢出,网络主要攻击与威胁,一攻击口令的手段黑客攻击目标是常常把破译普通用户的口令作为攻击的开始。先用“finger远端主机名”或其他方法找出主机上的用户帐号，然后就采用字典穷举法进行攻击。,原理：根据网络上的用户常采用的一些英语单词或自己的姓氏作为口令的实际情况。通过一些程序，自动地从计算机字典中取出一个单词，作为用户口令输入给远端的主机，尝试进入系统。若口令错误，就按序取出下一个单词，进行下一个尝试，并且一直循环下去，直到找到正确的口令或直到找到正确的口令或字典的单词试完为止。,利用一些端口，如FtpTelnetPOP3RshRlogin等，对已知远端主机的用户进行口令尝试登录，获取口令或敏感文件。,二导致服务拒绝原理：往某远程主机发大量数据或占用远程主机资源，从而导致主机瘫痪、重启、死机或蓝屏。*用户数据报（UDP）炸弹：发送一个头信息错误的UDP包，可使某些计算机重起，危害很大。,*Ping炸弹连续的以延迟会话方式Ping一个主机，发过量的ICMP包，可使主机重起或挂起。*同步风暴（SYNStorm）发送大量SYN包，目标主机都将会给每一个连接分配一个缓冲区用于会话，而无法响应建立别的连接。,*数据洪流（Dataflood）大量数据轰击一个指定端口，使端口提供的服务无效。*日志洪流（Logflood）日志容量有限，向端口syslog发大量的数据包可使主机瘫痪。*E_mail炸弹发送大量邮件，使邮箱占满，冲掉正常邮件，同时占用了大量的网络资源，导致网络阻塞。,三IP欺骗原理：伪造TCP序列号或源主机IP地址，使数据包看起来来自于被信任的计算机而非正确的源计算机，从而达到隐藏源主机地址的目的。IP欺骗会危及象Rsh、Rlogin此类的服务。,同步风暴攻击方法也用到IP欺骗流程图：（1）攻击主机SYN（伪造的自己的地址）被攻击主机（2）伪造的地址SYN-ACK被攻击主机（3）被攻击主机等待伪造端的回答,四利用简单邮件传输协议（SMTP）入侵SendMail的主要功能是转发邮件。它解释SMTP协议，作为客户和服务器的应用软件。SendMail在系统启动时作为一个守护进程启动，作为SMTP的服务器监听SMTP端口，等待邮件的到来。目前，决大多数UNIX系统下的邮件服务器都采用SendMail。WindowsNT系统下邮件服务器有一部分采用SendMail，也有一部分采用Microsoft的ExchangeServer等其他软件。,入侵者可以利用SendMail的漏洞入侵系统。SendMail的漏洞：过期（Outdated）：旧版本的SendMail存在不同程度的漏洞。VRFY：列出用户名及用户邮箱。EXPN：提供用户全名信息。后门：入侵者可通过后门程序访问到主机。它是程序员、设计者为了调试方便而留的漏洞，但是却没有清除。,五利用文件传输协议（FTP）进行的入侵利用的漏洞：匿名FTP：任何人都可访问到主机FTP可写：FTP下的目录可写，有潜在的隐患FTPCDrootlogin：回上一级目录可访问到根权限SiteExec（老版本的FTP）：允许任何远程或本地用户获得根访问,六WWW上的入侵入侵者可利用Web服务器上存在的一些弱点和漏洞，篡改主页，窃取保密信息。有4种重叠的风险类型：（1）存放于Web服务器文件系统上的私人或保密的文件被非法用户窃取（2）由远程用户发送给Web服务器的私人或保密信息（如信用卡密码）被截获。（3）有关Web服务器主机的详细信息泄露出去，使入侵者分析、找出漏洞并闯入系统。（4）服务器存在允许外来者在服务器主机上执行命令的漏洞，使他们得以改动或破坏系统。,（CGIScript：脚本语言，实现HTML主页与其它Web服务器上程序的接口函数）CGIScript是WWW安全漏洞的主要来源，漏洞在于两个方面：（1）无意间泄露主机系统的信息，帮助黑客侵入。（2）处理远程用户输入的，如表格的内容或“搜索索引”命令的Script，可能容易被远程用户攻击而执行命令。,七网络文件系统（NFS）/远程过程调用（RPC）NFS服务器通过对外输出（export）一个目录，提供共享资源。NFS鉴别一个写文件的请求时是鉴别发出这个请求的机器，而不是用户，因而，在基于NFS的文件系统中运行SU命令而成为某个文件的拥有者并不是一件困难的事情。入侵者可利用的漏洞：目录可被任何人安装主机可写主机可通过CD.访问到上级目录等,远程过程调用（RPC）：客户把自己的程序在远程服务器上运行，此时需启动一些进程。一些RPC进程为入侵者提供了诸如系统信息，口令文件，用户名等信息，有些进程会导致安全漏洞。存在安全隐患的RPC服务进程：RPCStatdBootParameterNetstatAdminRexd,八病毒病毒是一个程序，有时是有破坏性的，可自我复制，能以替换、插入等形式附着在操作系统或可执行文件上，这些行为在用户毫无觉察之中进行。他还可通过网络传播，发作时有危害。蠕虫特洛伊木马（如NetBus）BO（BackOrifice）CIHW97M/Thus(感染word文件),九缓冲区溢出（bufferflow）原理：缓冲区溢出指的是一种系统攻击手段，通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他命令，以达到攻击的目的。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。,缓冲区溢出的原因：造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。防止缓冲区溢出的办法：使应用程序更加完善，无懈可击。,二、网络信息安全对策,什么是信息安全（五要素）可用性：授权实体有权访问数据机密性：信息不暴露给未授权实体或进程完整性：保证数据不被未授权修改可控性：控制授权范围内的信息流向及操作方式可审查性：对出现的安全问题提供依据与手段,如何实现网络信息安全以安全法规为基础以安全技术为支持以安全管理为重点以安全服务、安全机制和安全技术构成安全框架,抓紧安全管理系统安全管理安全服务管理安全机制管理安全制度管理,完善安全服务访问控制服务数据机密性服务数据完整性服务对象认证服务防抵赖服务抗破坏性服务防有害性服务可核查性服务,健全安全机制加密机制访问控制机制数据完整性机制认证交换机制数字签名机制路由控制机制公证机制,开发安全技术,信息加密技术身份认证技术访问控制技术网络边界安全技术病毒防治技术网络隐患扫描技术内容识别与过滤技术网络实时监控与恢复技术,目录,计算机网络安全概述计算机网络信息安全的重要性计算机网络信息安全技术计算机网络信息安全防范技巧,病毒,信息安全威胁,黑客,信息服务拒绝,信息安全（informationsecurity)威胁主要来自以下几个方面：,非法窃取密码，侵入他人网络系统,是人为编制的一些能够通过修改程序，尽可能地把自身复制进去，进而去传染给其他程序并具有破坏他人电脑系统的计算机程序,在很短时间内收到大量无用的信息,使计算机处于瘫痪状态,计算机病毒（1）计算机病毒特性,计算机病毒与生物体感染的病毒有相类似的特性，主要具有如下五个特性：,（1）寄生性：依附于内存或硬盘的可执行程序和数据文件,（2）传染性：尽可能地把自身的代码复制添加到其他正常的程序中。,（3）潜伏性：表现为产生变体、反跟踪、不使文件长度变大等,（4）爆发性：爆发以特定时间或操作为发作条件,（5）破坏性：修改程序使其失效，破坏硬盘数据使系统不能修复,计算机病毒（2）计算机病毒种类,从计算机病毒的破坏情况来分，可以分为良性和恶性两种。,（1）恶性病毒：一旦发作就会破坏计算机系统内的信息。,（2）良性病毒：一般不破坏信息，但由于其不断复制、传染，逐渐占据大量存储空间，而病毒程序的执行也增加了系统内存的开销，降低了系统的有效运行速度。,从计算机病毒的基本类型来,系统引导型病毒,可执行文件型病毒,宏病毒,混合型病毒,特洛伊木马型病毒,蠕虫病毒,计算机病毒的防治,计算机病毒的防治三个方面:预防、检查和消毒,可以采用专用计算机杀毒软件，定期或不定期地对计算机系统的所有软件进行检查和消毒。能有效地查杀已知的计算机病毒。,与计算机病毒相比，杀毒软件永远具有滞后性，就目前技术而言，所有杀毒软件都无法时刻保证计算机完全安全。,计算机病毒预防措施:(1)对重要数据定期备份,备份软盘要写保护.(2)不要非法复制别人的软件.(3)不要使用来历不明的软盘或光盘.(4)安装最新反病毒软件.(5)要谨慎选择使用从网络下载的免费、共享软件.(6)要谨慎处理电子邮件中的附件文件.,防范黑客木马攻击,(1)不要访问不太解的网站,(2)经常升级操作系统的安全补丁,(3)安装能检测特洛伊木马的防毒软件,并经常更新升级,(4)不要在网络上随意公布自己的电子邮件地址,(5)使用复杂的密码,并经常更改上网密码.,防火墙和它们充当的角色,防火墙是被连接到互联网任一个网络的整体部分。如果没有安装防火墙，许多攻击可能在管理员不知道的情况下发生。许多这样的攻击可能是很致命的，会直接导致计算机宕机，如果没有防火墙，可用路由器过滤掉易被入侵者利用来攻击网络的不需要的协议和端口。最多被使用的是TCP/IP协议。低端的TCP端口135，139，和445，以及UDP端口135，137，和445应该被阻拦，还有其他所有未使用的端口。你可以认为防火墙是修筑在您的网络附近的物理墙壁。每次您打开端口，就在墙壁打了一个孔来安装窗口。一些窗口向外，另外一些向内。入侵者能利用窗口但只能看到网络里面有什么。您安装窗口(端口)越多，您的墙壁将变得更加透明。,Servicepacks,Servicepacks是为了修补已发售的产品的一些错误以及产品的一些新的应用的一个补丁合集。没有这些补丁包，一些windows的应用将无法实现。安全补丁也被发布用于修补有弱点并且程序员未注意的区域。当漏洞被发现后也许要几天甚至几星期才会有一个有效的补丁发布。这期间，您的机器将可能被扫描并且漏洞被人利用。应当让你在网络上的机器随时关注windows的升级中心并随时升级补丁程序，这样你的机器将会安全些。如果您不想为您的机器打补丁，一旦中招，你将花费许多的时间来修复当机的后果，损失将无法计算。,帐户考虑,如果您使用WindowsNT或以上的版本，确保你的管理员的帐号是安全的。给管理员帐户改名，然后再创造其它帐户将之命名为管理员。并且给原来的那个管理员帐户最低的权限，这样入侵者将花费更多的时间才能猜解得到可以存取的管理员帐户。,反病毒,病毒发展迅速，并且许多新病毒每周被发布。如果您的机器有互联网连接或有传输介质与其他的计算机连接，抗病毒就是必需的。定期升级抗病毒软件，这样中毒的风险将大大减少。使用有安全证书的软件，扫描你接收的电子邮件，以及使用的光盘等传输介质。将网络浏览器的安全级别设置为高。不要用服务器或其他重要机器来上网浏览网页。使用安装了补丁并且安装了杀毒软件的测试系统来下载必要的软件这样可以保证软件系统的安全。不要下载形式未知的数据包。从文件共享服务器下载软件不仅危险，并且可能减弱整个网络的性能。一些病毒在执行后被传播到整个网络，根据病毒的危害性将有可能导致网络瘫痪，造成财政损失。,反病毒,病毒软件设置需要被设置为最高安全性。保证任一种恶意病毒活动的形式都被禁止。可以设置修复被病毒传染的文件，但如果文件不可修复而又不是系统必须的，就没有保留的必要了。木马类型的病毒可轻易地打开你的您的网络，既使您的防火墙将所有的端口关闭。当机器感染特洛伊木马，它可以让你的网络后门大开。在您的邮件服务器禁止所有潜在地恶意文件类型。如VBS、EXE，COM等。如果这些文件为企业目的必须使用，可由信任的用户执行。如果用户需要发送包含.exe的邮件，建议他们给文件改名，并以不同的方式发送。设置您的抗病毒扫描包含选择的方式确保病毒无法通行。,拨号接入或远程网络连接,限制拨号用户的接入和限制用户从远程登入的功能。并且记录用户活动。使用VPN访问网络是一种可信任的安全方法。比正常PPP连接，VPN连接的数据相是较不易受拦截。在高安全环境下设定远程连接要求证件检验。在客户端证明上使用强的密码认证方法。远程存取依然是最微弱的链接，如果不正确地实施，在许多情况下将会被入侵者寻找利用。从公司网络划分出独立的网段给拨号用户是一个不错的方法。这种解答可能有许多功能特点。如果您的网络用户需要拨号回到被预先决定的数字是一个好方式，这样可以保证后面设置连接确实连接到用户的家里。另一考虑是,用户不能在本地机器存放密码，他访问网络的密码不应该被保存，应该在每次连接时键入。,入侵检测,入侵检测是强化windows网络的一重要部份，有许多的入侵检测软件，也有很多安全组织可以帮你的忙。如,安全的密码,怎样才算一个好密码?大于8个字符包含元素至少三到四个字符集大写体字符小写字母数字非alpha数字字符不包含某些帐户、用户名或其部分，或任何共同的词的部份使用ALT字符。ALT字符是那些您键入由持续Alt键(FN+ALT笔记本)并且键入三或四数字数字在数字小键盘。多数密码探测器不能测试大多数ALT字符。不要允许密码缓存的存贮。,安装的服务,服务作为注册的进程运行在多数windows机器上。这些服务是入侵者试图发现弱点的目标。关闭无用的服务可减少被入侵者利用的机会。还可以减少硬件资源的消耗。,文件系统,应该选择可以给文件以最高安全性的文件系统。NTFS是一个强的安全文件系统。让管理员和用户按照各自被分配的允许控制对文件的访问。这种控制不仅保护用户免受潜在的入侵者入侵，而且可以防止病毒在计算机上的安装运行。这是一个好想法用NTFS格式化所有分区，这样在机器被窃取或被误置的情况下，也能保障数据安全。数