1.序言 隨著信息全球化的加劇和計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，加上計算機(jī)網(wǎng)絡(luò)的多樣性、開放性、互連性和廣泛性等特點(diǎn)，致使現(xiàn)在的電腦和網(wǎng)絡(luò)越來越弱不禁風(fēng)，全球的黑客、間諜、病毒爆炸式的增長，所以網(wǎng)絡(luò)系統(tǒng)中的信息的安全和保密是一個至關(guān)重要的問題。對于一些特殊的政府、銀行和軍事網(wǎng)絡(luò)等傳輸敏感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，網(wǎng)上信息的安全和保密工作更為重要。不管是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)安全工作都要全面、細(xì)致，要充分考慮到來自網(wǎng)內(nèi)網(wǎng)外的各種不同的威脅，并積極采取相應(yīng)措施，這樣才能有力地確保網(wǎng)絡(luò)信息系統(tǒng)的安全和保密。 2.網(wǎng)絡(luò)系統(tǒng)的不安全因素 計算機(jī)網(wǎng)絡(luò)系統(tǒng)的不安全因素按威脅的對象可以分為三種:一是對網(wǎng)絡(luò)硬件的威脅，這主要指那些惡意破壞網(wǎng)絡(luò)設(shè)施的行為，如偷竊、無意或惡意毀損等等;二是對網(wǎng)絡(luò)軟件的威脅，如病毒、木馬入侵，流量攻擊等等;三是對網(wǎng)絡(luò)上傳輸或存儲的數(shù)據(jù)進(jìn)行的攻擊，比如修改數(shù)據(jù)，解密數(shù)據(jù)，刪除破壞數(shù)據(jù)等等。這些威脅有很多很多，可能是無意的，也可能是有意的，可能是系統(tǒng)本來就存在的，也可能是我們安裝、配置不當(dāng)造成的，有些威脅甚至?xí)瑫r破壞我們的軟硬件和存儲的寶貴數(shù)據(jù)。如CIH病毒在破壞數(shù)據(jù)和軟件的同時還會破壞系統(tǒng)BIOS，使整個系統(tǒng)癱瘓。針對威脅的來源主要有以下幾方面: 2.1無意過失 如管理員安全配置不當(dāng)造成的安全漏洞，有些不需要開放的端口沒有即時用戶帳戶密碼設(shè)置過于簡單，用戶將自己的帳號密碼輕意泄漏或轉(zhuǎn)告他人，或幾人共享帳號密碼等，都會對網(wǎng)絡(luò)安全帶來威脅。 2.2惡意攻擊 這是我們賴以生存的網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊，它有選擇地破壞信息的有效性和完整性，破壞網(wǎng)絡(luò)的軟硬件系統(tǒng)，或制造信息流量使我們的網(wǎng)絡(luò)系統(tǒng)癱瘓;另一類是隱藏攻擊，它是在不影響用戶和系統(tǒng)日常工作的前提下，采取竊取、截獲、破譯和方式獲得機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)系統(tǒng)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的外泄或系統(tǒng)癱瘓。 2.3漏洞后門 網(wǎng)絡(luò)操作系統(tǒng)和其他工具、應(yīng)用軟件不可能是百分之百的無缺陷和無漏洞的，尤其是我們既愛又恨的“Windows”系統(tǒng)，這些漏洞和缺陷就是病毒和黑客進(jìn)行攻擊的首選通道，無數(shù)次出現(xiàn)過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統(tǒng)的漏洞)造成的重大損失和慘痛教訓(xùn)，就是由我們的漏洞所造成的。黑客浸入網(wǎng)絡(luò)的事件，大部分也是利用漏洞進(jìn)行的。“后門”是軟件開發(fā)人員為了自己的方便，在軟件開發(fā)時故意為自己設(shè)置的，這在一般情況下沒有什么問題，但是一旦該開發(fā)人員有一天想不通要利用利用該“后門”，那么后果就嚴(yán)重了，就算他自己安分守己，但一旦“后門”洞開和泄露，其造成的后果將更不堪設(shè)想。 　　3.計算機(jī)網(wǎng)絡(luò)的安全策略 3.1 物理安全策略 物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、打印機(jī)等硬件實(shí)體和通信鏈路的物理安全，如采取措施防止自然災(zāi)害、化學(xué)品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由于很多計算機(jī)系統(tǒng)都有較強(qiáng)的電磁泄漏和輻射，確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境就是我們需要考慮的;另外建立完備的安全管理制度，服務(wù)器應(yīng)該放在安裝了監(jiān)視器的隔離房間內(nèi)，并且要保留10天以上的監(jiān)視記錄，另外機(jī)箱、鍵盤、電腦桌抽屜要上鎖，鑰匙要放在另外的安全位置，防止未經(jīng)授權(quán)而進(jìn)入計算機(jī)控制室，防止各種偷竊、竊取和破壞活動的發(fā)生。 3.2 訪問控制策略 網(wǎng)絡(luò)中所能采用的各種安全策略必須相互配合、相互協(xié)調(diào)才能起到有效的保護(hù)作用，但訪問控制策略可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它的主要目的是保證網(wǎng)絡(luò)信息不被非法訪問和保證網(wǎng)絡(luò)資源不被非法使用。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。下面我們分述各種訪問控制策略。 3.2.1 登陸訪問控制 登陸訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。通過設(shè)置帳號，可以控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)信息和使用資源;通過設(shè)置帳號屬性，可以設(shè)置密碼需求條件，控制用戶在哪些時段能夠登陸到指定域，控制用戶從哪臺工作站登陸到指定域，設(shè)置用戶帳號的失效日期。 注:當(dāng)用戶的登錄時段失效時，到域中網(wǎng)絡(luò)資源的鏈接不會被終止。然而，該用戶不能再創(chuàng)建到域中其他計算機(jī)的新鏈接。 用戶的登陸過程為:首先是用戶名和密碼的識別與驗(yàn)證、然后是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。 由于用戶名和密碼是對網(wǎng)絡(luò)用戶的進(jìn)行驗(yàn)證的第一道防線。所以作為網(wǎng)絡(luò)安全工作人員在些就可以采取一系列的措施防止非法訪問。 a. 基本的設(shè)置 應(yīng)該限制普通用戶的帳號使用時間、方式和權(quán)限。只有系統(tǒng)管理員才能建立用戶帳號。用戶密碼方面應(yīng)該考慮以下情況:密碼的復(fù)雜情況、最小密碼長度、密碼的有效期等。應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。應(yīng)對所有用戶的訪問進(jìn)行審計，如果多次輸入口令不正確，則應(yīng)該認(rèn)為是非法入侵，應(yīng)給出報警信息，并立即停用該帳戶。 　　b. 認(rèn)真考慮和處理系統(tǒng)內(nèi)置帳號 建議采取以下措施:i.停用Guest帳號，搞不懂Microsoft為何不允許刪除Guest帳號，但不刪除我們也有辦法:在計算機(jī)管理的用戶和組里面，把Guest帳號禁用，任何時候都不允許Guest帳號登陸系統(tǒng)。如果還不放心，可以給Guest帳號設(shè)置一個長而復(fù)雜的密碼。這里為對Windows 2000有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2000系統(tǒng)的帳號信息，是存放在注冊表HKEY_LOCAL_MacHINESAM里的，但即使我們的系統(tǒng)管理員也無法打開看到這個主鍵，這主要也是基于安全的原因，但是“System”帳號卻有這個權(quán)限，聰明的讀者應(yīng)該知道怎么辦了吧，對了，以“SYSTEM”權(quán)限啟動注冊表就可以了，具體方法為:以“AT”命令來添加一個計劃任務(wù)來啟動Regedit.exe程序，然后檢查注冊表項(xiàng)，把帳號Guest清除掉。首先，看一下時間 00:30,在“運(yùn)行”對話框中或“cmd”中運(yùn)行命令:at 0:31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是“SYSTEM”了，/interactive的目的是讓運(yùn)行的程序以交互式界面的方式運(yùn)行。一分鐘后regedit.exe程序運(yùn)行了，依次來到以下位置: HKEY_LOCAL_MACHINESAMDomainsAccountUsers，將以下兩個相關(guān)鍵全部刪掉:一個是000001F5，一個是Names下面的Guest。完成后我們可是用以下命令證實(shí)Guest帳號確實(shí)被刪掉了“net user guest”。ii.系統(tǒng)管理員要擁有兩個帳號，一個帳號是具有管理員權(quán)限，用于系統(tǒng)管理，另一個帳號只有一般權(quán)限，用于日常操作。這樣只有在維護(hù)系統(tǒng)或安裝軟件時才用管理員身份登陸，有利于保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用，這樣Microsoft就給Hacker們提供了特別大的幫助，但我們也可將之改名，如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等于白改的名字。 c. 設(shè)置欺騙帳號 這是一個自我感覺非常有用的方法:創(chuàng)建一個名為Administrator的權(quán)限最低的欺騙帳號，密碼設(shè)置相當(dāng)復(fù)雜，既長又含特殊字符，讓Hacker們使勁破解，也許他破解還沒有成功我們就已經(jīng)發(fā)現(xiàn)了他的入侵企圖，退一步，即使他破解成功了最后還是會大失所望的發(fā)現(xiàn)白忙半天。 　　d. 限制用戶數(shù)量 因?yàn)橛脩魯?shù)量越多，用戶權(quán)限、密碼等設(shè)置的缺陷就會越多，Hacker們的機(jī)會和突破口也就越多，刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統(tǒng)缺陷。 　　e. 禁止系統(tǒng)顯示上次登陸的用戶名 Win9X以上的操作系統(tǒng)對以前用戶登陸的信息具有記憶功能，下次重啟時，會在用戶名欄中提示上次用戶的登陸名，這個信息可能被別有用心的人利用，給系統(tǒng)和用戶造成隱患，我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表，展開到以下分支: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 在此分支下新建字符串命名為:DontDisplayLastUserName，并把該字符串值設(shè)為:“1”，完成后重新啟動計算機(jī)就不會顯示上次登錄用戶的名字了。