1.序言 隨著信息全球化的加劇和計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，加上計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、開放性、互連性和廣泛性等特點(diǎn)，致使現(xiàn)在的電腦和網(wǎng)絡(luò)越來越弱不禁風(fēng)，全球的黑客、間諜、病毒爆炸式的增長(zhǎng)，所以網(wǎng)絡(luò)系統(tǒng)中的信息的安全和保密是一個(gè)至關(guān)重要的問題。對(duì)于一些特殊的政府、銀行和軍事網(wǎng)絡(luò)等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，網(wǎng)上信息的安全和保密工作更為重要。不管是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)安全工作都要全面、細(xì)致，要充分考慮到來自網(wǎng)內(nèi)網(wǎng)外的各種不同的威脅，并積極采取相應(yīng)措施，這樣才能有力地確保網(wǎng)絡(luò)信息系統(tǒng)的安全和保密。 2.網(wǎng)絡(luò)系統(tǒng)的不安全因素 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的不安全因素按威脅的對(duì)象可以分為三種:一是對(duì)網(wǎng)絡(luò)硬件的威脅，這主要指那些惡意破壞網(wǎng)絡(luò)設(shè)施的行為，如偷竊、無意或惡意毀損等等;二是對(duì)網(wǎng)絡(luò)軟件的威脅，如病毒、木馬入侵，流量攻擊等等;三是對(duì)網(wǎng)絡(luò)上傳輸或存儲(chǔ)的數(shù)據(jù)進(jìn)行的攻擊，比如修改數(shù)據(jù)，解密數(shù)據(jù)，刪除破壞數(shù)據(jù)等等。這些威脅有很多很多，可能是無意的，也可能是有意的，可能是系統(tǒng)本來就存在的，也可能是我們安裝、配置不當(dāng)造成的，有些威脅甚至?xí)瑫r(shí)破壞我們的軟硬件和存儲(chǔ)的寶貴數(shù)據(jù)。如CIH病毒在破壞數(shù)據(jù)和軟件的同時(shí)還會(huì)破壞系統(tǒng)BIOS，使整個(gè)系統(tǒng)癱瘓。針對(duì)威脅的來源主要有以下幾方面: 2.1無意過失 如管理員安全配置不當(dāng)造成的安全漏洞，有些不需要開放的端口沒有即時(shí)用戶帳戶密碼設(shè)置過于簡(jiǎn)單，用戶將自己的帳號(hào)密碼輕意泄漏或轉(zhuǎn)告他人，或幾人共享帳號(hào)密碼等，都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。 2.2惡意攻擊 這是我們賴以生存的網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊，它有選擇地破壞信息的有效性和完整性，破壞網(wǎng)絡(luò)的軟硬件系統(tǒng)，或制造信息流量使我們的網(wǎng)絡(luò)系統(tǒng)癱瘓;另一類是隱藏攻擊，它是在不影響用戶和系統(tǒng)日常工作的前提下，采取竊取、截獲、破譯和方式獲得機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的外泄或系統(tǒng)癱瘓。 2.3漏洞后門 網(wǎng)絡(luò)操作系統(tǒng)和其他工具、應(yīng)用軟件不可能是百分之百的無缺陷和無漏洞的，尤其是我們既愛又恨的“Windows”系統(tǒng)，這些漏洞和缺陷就是病毒和黑客進(jìn)行攻擊的首選通道，無數(shù)次出現(xiàn)過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統(tǒng)的漏洞)造成的重大損失和慘痛教訓(xùn)，就是由我們的漏洞所造成的。黑客浸入網(wǎng)絡(luò)的事件，大部分也是利用漏洞進(jìn)行的。“后門”是軟件開發(fā)人員為了自己的方便，在軟件開發(fā)時(shí)故意為自己設(shè)置的，這在一般情況下沒有什么問題，但是一旦該開發(fā)人員有一天想不通要利用利用該“后門”，那么后果就嚴(yán)重了，就算他自己安分守己，但一旦“后門”洞開和泄露，其造成的后果將更不堪設(shè)想。 　　3.計(jì)算機(jī)網(wǎng)絡(luò)的安全策略 3.1 物理安全策略 物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、打印機(jī)等硬件實(shí)體和通信鏈路的物理安全，如采取措施防止自然災(zāi)害、化學(xué)品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由于很多計(jì)算機(jī)系統(tǒng)都有較強(qiáng)的電磁泄漏和輻射，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境就是我們需要考慮的;另外建立完備的安全管理制度，服務(wù)器應(yīng)該放在安裝了監(jiān)視器的隔離房間內(nèi)，并且要保留10天以上的監(jiān)視記錄，另外機(jī)箱、鍵盤、電腦桌抽屜要上鎖，鑰匙要放在另外的安全位置，防止未經(jīng)授權(quán)而進(jìn)入計(jì)算機(jī)控制室，防止各種偷竊、竊取和破壞活動(dòng)的發(fā)生。 3.2 訪問控制策略 網(wǎng)絡(luò)中所能采用的各種安全策略必須相互配合、相互協(xié)調(diào)才能起到有效的保護(hù)作用，但訪問控制策略可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它的主要目的是保證網(wǎng)絡(luò)信息不被非法訪問和保證網(wǎng)絡(luò)資源不被非法使用。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。下面我們分述各種訪問控制策略。 3.2.1 登陸訪問控制 登陸訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。通過設(shè)置帳號(hào)，可以控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)信息和使用資源;通過設(shè)置帳號(hào)屬性，可以設(shè)置密碼需求條件，控制用戶在哪些時(shí)段能夠登陸到指定域，控制用戶從哪臺(tái)工作站登陸到指定域，設(shè)置用戶帳號(hào)的失效日期。 注:當(dāng)用戶的登錄時(shí)段失效時(shí)，到域中網(wǎng)絡(luò)資源的鏈接不會(huì)被終止。然而，該用戶不能再創(chuàng)建到域中其他計(jì)算機(jī)的新鏈接。 用戶的登陸過程為:首先是用戶名和密碼的識(shí)別與驗(yàn)證、然后是用戶帳號(hào)的登陸限制的檢查。兩個(gè)過程只要有一個(gè)不成功就不能登陸。 由于用戶名和密碼是對(duì)網(wǎng)絡(luò)用戶的進(jìn)行驗(yàn)證的第一道防線。所以作為網(wǎng)絡(luò)安全工作人員在些就可以采取一系列的措施防止非法訪問。 a. 基本的設(shè)置 應(yīng)該限制普通用戶的帳號(hào)使用時(shí)間、方式和權(quán)限。只有系統(tǒng)管理員才能建立用戶帳號(hào)。用戶密碼方面應(yīng)該考慮以下情況:密碼的復(fù)雜情況、最小密碼長(zhǎng)度、密碼的有效期等。應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)，如果多次輸入口令不正確，則應(yīng)該認(rèn)為是非法入侵，應(yīng)給出報(bào)警信息，并立即停用該帳戶。 　　b. 認(rèn)真考慮和處理系統(tǒng)內(nèi)置帳號(hào) 建議采取以下措施:i.停用Guest帳號(hào)，搞不懂Microsoft為何不允許刪除Guest帳號(hào)，但不刪除我們也有辦法:在計(jì)算機(jī)管理的用戶和組里面，把Guest帳號(hào)禁用，任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。如果還不放心，可以給Guest帳號(hào)設(shè)置一個(gè)長(zhǎng)而復(fù)雜的密碼。這里為對(duì)Windows 2000有深入了解的同行提供一個(gè)刪除Guest帳號(hào)的方法:Windows 2000系統(tǒng)的帳號(hào)信息，是存放在注冊(cè)表HKEY_LOCAL_MacHINESAM里的，但即使我們的系統(tǒng)管理員也無法打開看到這個(gè)主鍵，這主要也是基于安全的原因，但是“System”帳號(hào)卻有這個(gè)權(quán)限，聰明的讀者應(yīng)該知道怎么辦了吧，對(duì)了，以“SYSTEM”權(quán)限啟動(dòng)注冊(cè)表就可以了，具體方法為:以“AT”命令來添加一個(gè)計(jì)劃任務(wù)來啟動(dòng)Regedit.exe程序，然后檢查注冊(cè)表項(xiàng)，把帳號(hào)Guest清除掉。首先，看一下時(shí)間 00:30,在“運(yùn)行”對(duì)話框中或“cmd”中運(yùn)行命令:at 0:31 /interactive regedit.exe。這樣啟動(dòng)regedit.exe的身份就是“SYSTEM”了，/interactive的目的是讓運(yùn)行的程序以交互式界面的方式運(yùn)行。一分鐘后regedit.exe程序運(yùn)行了，依次來到以下位置: HKEY_LOCAL_MACHINESAMDomainsAccountUsers，將以下兩個(gè)相關(guān)鍵全部刪掉:一個(gè)是000001F5，一個(gè)是Names下面的Guest。完成后我們可是用以下命令證實(shí)Guest帳號(hào)確實(shí)被刪掉了“net user guest”。ii.系統(tǒng)管理員要擁有兩個(gè)帳號(hào)，一個(gè)帳號(hào)是具有管理員權(quán)限，用于系統(tǒng)管理，另一個(gè)帳號(hào)只有一般權(quán)限，用于日常操作。這樣只有在維護(hù)系統(tǒng)或安裝軟件時(shí)才用管理員身份登陸，有利于保障安全。iii.將administrator帳號(hào)改名。Microsoft不允許將administrator帳號(hào)刪除和停用，這樣Microsoft就給Hacker們提供了特別大的幫助，但我們也可將之改名，如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等于白改的名字。 c. 設(shè)置欺騙帳號(hào) 這是一個(gè)自我感覺非常有用的方法:創(chuàng)建一個(gè)名為Administrator的權(quán)限最低的欺騙帳號(hào)，密碼設(shè)置相當(dāng)復(fù)雜，既長(zhǎng)又含特殊字符，讓Hacker們使勁破解，也許他破解還沒有成功我們就已經(jīng)發(fā)現(xiàn)了他的入侵企圖，退一步，即使他破解成功了最后還是會(huì)大失所望的發(fā)現(xiàn)白忙半天。 　　d. 限制用戶數(shù)量 因?yàn)橛脩魯?shù)量越多，用戶權(quán)限、密碼等設(shè)置的缺陷就會(huì)越多，Hacker們的機(jī)會(huì)和突破口也就越多，刪除臨時(shí)帳號(hào)、測(cè)試帳號(hào)、共享帳號(hào)、普通帳號(hào)、已離職員工帳號(hào)和不再使用的其他帳號(hào)能有效地降低系統(tǒng)缺陷。 　　e. 禁止系統(tǒng)顯示上次登陸的用戶名 Win9X以上的操作系統(tǒng)對(duì)以前用戶登陸的信息具有記憶功能，下次重啟時(shí)，會(huì)在用戶名欄中提示上次用戶的登陸名，這個(gè)信息可能被別有用心的人利用，給系統(tǒng)和用戶造成隱患，我們可以通過修改注冊(cè)表來隱藏上次用戶的登陸名。修改方法如下:打開注冊(cè)表，展開到以下分支: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 在此分支下新建字符串命名為:DontDisplayLastUserName，并把該字符串值設(shè)為:“1”，完成后重新啟動(dòng)計(jì)算機(jī)就不會(huì)顯示上次登錄用戶的名字了。