新世纪计算机信息安全教程chap05
合集下载
信息安全技术教程清华大学出版社-第五章
5.3.4 网络控件
• 现在的Web浏览器和其它的网络应用都依赖于能够提供大 量复杂功能的可执行程序。这种插件程序可以很容易地保 证系统处于最新状态并且能够支持很多新文件的类型。但 是这些程序同样可以被某些人利用,使其很容易就将恶意 代码发送到用户主机。
• 作为用户,必须保证病毒扫描器和防御软件可以有效地保 护系统不被恶意程序损坏。
马藏身之所。 – 在Autoexec.bat和Config.sys中启动 – 启动组:是木马隐藏的重要位置 – 制作好的带有木马启动命令的同名文件上传到服务
端覆盖这些同名文件,达到启动木马的目的 – 修改文件关联、捆绑文件
2020/1/24
• 木马的隐藏
– 隐藏在任务栏。这是木马最基本的隐藏方式。 – 隐藏在任务管理器。 – 主机端口 – 隐藏通讯 – 隐藏加载方式,木马通过对加载方式的隐藏,使得
爱虫病毒
2000年5 月至今
众多用户电脑被感染,损失超过100亿 美元以上
•
病毒不同 红色代码
与黑客技术相结合,
2019年7 月
网络瘫痪,直接经济损失超过26亿美 毒邮件堵塞服务器,损失达数 月至今 百亿美元
SQL蠕虫 2019年1 网络大面积瘫痪,银行自动提款机运
– 利用已经存在的代码:很多时候,攻击者需要的代 码已经存在于被攻击的程序中,攻击者要做的就是 传递一些参数
2020/1/24
5.4.4 拒绝服务攻击
• 定义
• 用于摧毁系统的可用性,导致系统过于繁忙以至于没 有能力去响应合法的请求
• 分布式拒绝服务攻击(Ddos) • SYN Flood攻击
2020/1/24
王
月
做中断,直接经济损失超过26亿美元
信息安全技术教程(全)课件pptx
05
数据安全与隐私保护技术
数据加密传输和存储技术
01
数据加密传输技术
02
SSL/TLS协议:通过握手协议、加密算法和密钥协商等机 制,实现数据传输过程中的机密性、完整性和身份验证。
03
VPN技术:通过建立虚拟专用网络,实现远程用户与内部 网络之间安全的数据传输。
04
数据加密存储技术
05
磁盘加密技术:利用加密算法对磁盘上的数据进行加密, 防止数据泄露。
常见数字签名算法
RSA、DSA、ECDSA等。
数字证书与PKI
数字证书是由权威机构颁发的包含公钥和持有者信息的电子文档, PKI(公钥基础设施)提供了一套完整的数字证书管理和使用方案。
03
网络攻击与防御技术
常见网络攻击手段及原理
拒绝服务攻击(DoS/DDoS)
恶意软件攻击
通过大量无效或过载的请求占用目标资源 ,使其无法提供正常服务。
06
文件加密技术:对特定文件进行加密,保护文件内容的机 密性。
数据备份恢复策略
完全备份
备份所有数据,恢复时只需恢复最近 一次备份的数据。
增量备份
仅备份自上次备份以来发生变化的数 据,恢复时需要按时间顺序恢复所有 备份。
数据备份恢复策略
• 差分备份:备份自上次完全备份以来发生变化的数据,恢 复时只需恢复最近一次完全备份和最近一次差分备份。
THANKS
感谢观看
02
密码学基础
密码学基本概念
密码学定义
研究信息加密、解密和破译的科 学。
密码体制
由五元组(P, C, K, E, D)构成, 包括明文空间P、密文空间C、密 钥空间K、加密算法E和解密算法D 。
计算机基础第五章安全信息
14
计算机基础 第五章 信息安全技术
2013-8-1
5.2.2 磁盘双工技术
使用“镜像卷”时,用户的硬件配置可以有以下两种选择: 两个磁盘驱动器都连接到同一个磁盘控制器。这种方式中如果控
制器出现故障的话,将丧失容错的功能,因为两个磁盘驱动器内 的数据都无法访问。
两个磁盘驱动器分别接到不同的磁盘控制器上。此种方式即使有
10
件, 97年《计算机信息网络国际联网安全保护管理办法》等部门规章 97年《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门 规章 89年《中华人民共和国保守国家秘密法》等法律 98年《计算机信息系统保密管理暂行规定》等部门规章 99年《商用密码管理条例》等法规 2005年《电子认证服务管理办法》等部门规章 2000年《计算机病毒防治管理办法》等部门规章, 94年《北京市计算机信息系统病毒预防和控制管理办法》等地方法规或规 章 98年《金融机构计算机信息安全保护工作暂行规定》等部门规章 2003年《广东省电子政务信息安全管理暂行办法》等地方法规或规章 计算机基础 第五章 信息安全技术 2004年《上海市信息系统安全测评管理办法》等地方法规或规章; 2013-8-1 刑法第285条、286条、287条等相关规定。
13
计算机基础 第五章 信息安全技术
2013-8-1
磁盘像(Disk Image),是指将有某种储存装置(例如CD)的完整
内容及结构保存为一个电脑档案,所以通常这些档案都会是很大。 一般只有一个档案,里面包含了许多的档案备份。镜像的制作方 法除了工具把实体磁盘的内容保存起来之外,也有专门的工具可 不从实体磁盘制作出镜像(例如不需读取实体CD即可制作CD镜像) 最常用到的磁盘镜像是光盘镜像,是指从CD或DVD制作的镜像。 简单地说,光盘镜像就是CD或DVD的拷贝,所有的资料都存在一 个档案中,借此保存CD或DVD的结构及完整性。光盘镜像通常是 以ISO 9660格式存储的,其扩展名为.iso。 随身碟或软碟的镜像档为IMG格式;而诺顿魅影系统(Ghost)则 可以为硬盘产生GHO格式(版本9.0以后为V2I格式)的镜像;Mac OS X常用的磁盘映像文件为DMG格式,常常用于打包软件用于网 络分发,或备份磁盘等。
计算机基础-第五章-信息安全课件
计算机基础-第五章-信息安全
威胁网络安全的因素
2. 协议安全的脆弱性
TCP/IP协议以及mail、NFS等都包含着许多影响网络安全的 因素,存在许多漏洞。
3. 数据库管理系统安全的脆弱性
计算机基础-第五章-信息安全
威胁网络安全的因素
4. 人为的因素
大多数网络系统缺少安全管理员,特别是高素质的网络管理 员。此外,缺少网络安全管理的技术规范,缺少定期的安全测试 与检查,更缺少安全监控。 5. 其他方面的原因
• 1982年“黑色星期五”病毒侵入我国; • 1985年在国内发现更为危险的“病毒生产机”,生存
能力和破坏能力极强。这类病毒有1537、CLME等。 • 进入90年代,计算机病毒在国内的泛滥更为严重。
CIH病毒是首例攻击计算机硬件的病毒,它可攻击 计算机的主板,并可造成网络的瘫痪。
计算机基础-第五章-信息安全
毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者 程序代码。
计算机基础-第五章-信息安全
计算机病毒发展简史
• 世界上第一例被证实的计算机病毒是在1983年,出现了计算 机病毒传播的研究报告。
• 同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人 Thompson开发出了针对UNIX操作系统的病毒程序。
• 1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算 机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大 批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经 济损失近亿美元。
计算机基础-第五章-信息安全
计算机病毒在中国的发展情况
• 在我国,80年代末,有关计算机病毒问题的研究 和防范已成为计算机安全方面的重大课题。
计算机基础-第五章-信息安全
威胁网络安全的因素
2. 协议安全的脆弱性
TCP/IP协议以及mail、NFS等都包含着许多影响网络安全的 因素,存在许多漏洞。
3. 数据库管理系统安全的脆弱性
计算机基础-第五章-信息安全
威胁网络安全的因素
4. 人为的因素
大多数网络系统缺少安全管理员,特别是高素质的网络管理 员。此外,缺少网络安全管理的技术规范,缺少定期的安全测试 与检查,更缺少安全监控。 5. 其他方面的原因
• 1982年“黑色星期五”病毒侵入我国; • 1985年在国内发现更为危险的“病毒生产机”,生存
能力和破坏能力极强。这类病毒有1537、CLME等。 • 进入90年代,计算机病毒在国内的泛滥更为严重。
CIH病毒是首例攻击计算机硬件的病毒,它可攻击 计算机的主板,并可造成网络的瘫痪。
计算机基础-第五章-信息安全
毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者 程序代码。
计算机基础-第五章-信息安全
计算机病毒发展简史
• 世界上第一例被证实的计算机病毒是在1983年,出现了计算 机病毒传播的研究报告。
• 同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人 Thompson开发出了针对UNIX操作系统的病毒程序。
• 1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算 机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大 批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经 济损失近亿美元。
计算机基础-第五章-信息安全
计算机病毒在中国的发展情况
• 在我国,80年代末,有关计算机病毒问题的研究 和防范已成为计算机安全方面的重大课题。
计算机基础-第五章-信息安全
精品课件-网络信息安全-第5章
第5章 黑客入侵技术
许多系统如Windows、BSD、CISCO、HP/UX和IRIX会返回一 个RESET。通过发送一个SYN包,它含没有定义的TCP标记的TCP 头。那么在Linux系统的回应包就会包含这个没有定义的标记, 而在一些别的系统则会在收到SYN+BOGU包之后关闭连接。或是 利用寻找初始化序列长度模板与特定的操作系统相匹配的方法。 利用它可以对许多系统分类,例如较早的UNIX系统是长度为64 KB,一些新的UNIX系统的长度则是随机的。还有就是检查返回 包里包含的窗口长度,这项技术根据各个操作系统的不同的初 始化窗口大小来惟一确定它们。利用这种技术实现的工具很多, 比较著名的有NMAP、CHECKOS、QUESO等。
另外一种相对比较准确的方法是利用网络操作系统里的 TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。因为不 同的操作系统在网络底层协议的各种实现细节上略有不同。可以 通过远程向目标发送特殊的包,然后通过返回的包来确定操作系 统类型。例如通过向目标机发送一个FIN的包(或者是任何没有 ACK或SYN标记的包)到目标主机的一个开放的端口然后等待回应。
第5章 黑客入侵技术
第5章 黑客入侵技术
5.1 一般的常用入侵方法 5.2 网络攻击的一般步骤 5.3 扫描技术 5.4 拒绝服务攻击技术 5.5 缓冲区溢出 5.6 后门技术 5.7 Sniffer技术 习题
第5章 黑客入侵技术
5.1 一般的常用入侵方法
1.口令入侵 所谓口令入侵,就是指用一些软件解开已经得到但被人加 密的口令文档,不过许多黑客已大量采用一种可以绕开或屏蔽 口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口 令保护的程序通常被称为“Crack”。由于这些软件的广为流传, 使得入侵电脑网络系统有时变得相当简单,一般不需要很深入 地了解系统的内部结构就可侵入。
第五章 信息安全原理与技术ch05-Hash函数和数字签名
2020/7/20
Ch5-消息认证与数字签名
12
MAC的性质
• 一个安全的MAC函数应具有下列性质:
– 若攻击者知道M和Ck(M),则他构造满足 Ck(M’)= Ck(M)的消息M’在计算上是不可行的。
– Ck(M)应是均匀分布的,即对任何随机选择的 消息M和M’, Ck(M)=Ck(M’)的概率是2-n,其中n 是MAC的位数。
m2m1且H(m2)=H(m1)的m2在计算上是不可行的; • 找到任何满足H(m1)=H(m2)且m1 m2的消息对(m1, m2)
在计算上是不可行的。
2020/7/20
Ch5-消息认证与数字签名
16
安全的Hash函数的要求
• H可以应用于任意长度的数据块,产生固定长度的散列 值;
信息安全原理与技术
郭亚军 宋建华 李莉 清华大学出版社
第5章 消息认证与数字签名
• 主要知识点:
-- 认证 -- 认证码 -- 散列函数 -- MD5 -- SHA-512 -- 数字签名
2020/7/20
Ch5-消息认证与数字签名
2
认证
• 认证则是防止主动攻击的重要技术,可以 防止如下一些攻击 :
2020/7/20
Ch5-消息认证与数字签名
3
认证的目的
• 第一,验证消息的发送者是合法的,不是 冒充的,这称为实体认证,包括对信源、 信宿等的认证和识别;
• 第二,验证信息本身的完整性,这称为消 息认证,验证数据在传送或存储过程中没 有被篡改、重放或延迟等。
2020/7/20
Ch5-消息认证与数字签名
2020/7/20
Ch5-消息认证与数字签名
10
对MAC的攻击
计算机网络安全导论5(讲义5-7章)
二、网络踩点
踩点就是通过各种途径对所要攻击的目标进行多方面的了 解(包括任何可得到的蛛丝马迹,但要确保信息的准确)。
常见的踩点方法包括:
– 在域名及其注册机构的查询 – 公司性质的了解 – 对主页进行分析 – 邮件地址的搜集 – 目标IP地址范围查询。
踩点的目的就是探察对方的各方面情况,确定攻击的时机。 模清除对方最薄弱的环节和守卫最松散的时刻,为下一步 的入侵提供良好的策略。
具体见录像。。。
关于宽带上网密码的盗取和保护
什么情况下可能被盗取:
– 使用宽带路由器或者设置ADSL猫工作于路由方式,使得单位或家庭的多 台内网计算机实现共享上网的用户。盗取工具:冬陵ADSL密码终结者。
– 不使用共享上网方式,而是电脑直接PPPOE拨号上网的用户,如果电脑 被人入侵,使用DialPass也可得到预存在电脑中的拨号密码。
目的达到后将他改回原状。 – 4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。 – 5、在发表黑客文章时不要用你的真实名字。 – 6、正在入侵的时候,不要随意离开你的电脑。 – 7、不要入侵或破坏政府机关的主机。 – 8、将你的笔记放在安全的地方。 – 9、已侵入的电脑中的账号不得清除或修改。 – 10、可以为隐藏自己的侵入而作一些修改,但要尽量保持原系统的安全性,不能
• 2、乱序扫描:对连续的端口进行扫描,源地址一致, 时间间隔短的扫描。
扫描的基连接数破解补丁
• 运行使用专门的最大连接数破解补丁程序,FTP可下载 • 使用迅雷、PPLIVE等进行破解
– 关闭防火墙
使用网络:校园网/电信宽带,扫描的目标网络:校园网/ 电信公网
计算机网络安全导论5(5-7章)
黑客守则
任何职业都有相关的职业道德,一名黑客同样有职业道德,一些守则是必须 遵守的,不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。
计算机信息安全技术课后习题答案
计算机信息安全技术课后习题答案(总25页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。
(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA指的是什么Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性Availability 可用性,是指信息的可靠度4、简述PPDR安全模型的构成要素及运作方式PPDR由安全策略,防护,检测和响应构成运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。
防护,检测和响应构成一个完整的、动态的安全循环。
5、计算机信息安全研究的主要内容有哪些(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学7、信息安全系统中,人、制度和技术之间的关系如何在信息安全系统中,人是核心。
任何安全系统的核心都是人。
而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。
信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。
只有三者的完美结合,才有安全的信息安全系统第二章密码技术一、选择题1.下列(RSA算法)算法属于公开密钥算法。
2.下列(天书密码)算法属于置换密码。
加密过程中,需要进行(16)轮交换。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
7、注册表安全
注册表(Registry)实质上是一个庞大的数据库,用来存储计算 机软、硬件的各种配置信息。它允许用户对本地计算机的软件、硬件 系统进行配置。作为服务器操作系统,必须对某些默认的注册表设置 进行修改。 禁止注册表远程访问:Windows Server 2003在默认安装时启用 了允许远程访问注册表。不过,开启此功能将会对系统安全带来极大 的隐患,因为服务的启动、ACL权限的修改、用户名的建立等信息, 都可以在注册表中完成,因此,应严格禁止使用远程注册表访问功能。 注册表安全设置:Windows Server 2003注册表中包含了包括许 多关于的安全设置,其中大部分位于 HKEY_LOCAL_MACHINE\System\CurrentControlSet\分支下。 注册表备份和恢复:注册表包含了系统启动、文件关联、系统安 全等一些列的重要数据,为了保证系统健康,建议经常备份注册表信 息,以便在出现故障时可以及时恢复,将损失降低到最小。
新世纪计算机信息安全教程
二、Linux操作系统安全 Linux操作系统安全
1、文件系统
与Windows系统不同,Linux不使用设备标志符(如设备号或驱动 器名称)来访问独立文件系统,而是用一个将整个文件系统表示成单 一实体的层次树结构来访问它。Linux每挂载(mount)一个文件系统 时都会将其加入到文件系统层次树中,无论文件系统属于什么类型, 都被连接到一个目录上,且此文件系统上的文件将取代该目录中已存 在的文件,当卸载此文件系统后,原挂载目录中原有的文件将再次出 现。
新世纪计算机信息安全教程
二、Linux操作系统安全 Linux操作系统安全
2、备份
定期的系统备份是每一个管理员都应该养成的良好习惯,也是任 何网络安全计划的一个重要部分。最安全的备份就是定期将备份保存 到磁带机或专用服务器上,并且还要在异地保存一些备份。如果发生 重大的安全事故,可以将损失降低到最小。 dump和restore命令是Linux系统中用来创建备份和从备份恢复的 常用命令。根据最初安装Linux系统时所选设置的不同,dump和 restore命令可能不会被安装。Red Hat和SuSE都有一个rmp文件,通 过它即可安装这些命令。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
9、事件审核及日志管理
按照系统日志的类型不同,可以分为操作系统日志、应用系统日 志、安全系统日志等等。每种操作系统的日志都有其自身特有的设计 和规范,例如Windows系统的日志通常按照其惯有的应用程序、安全 和系统这样的分类方式进行存储,而类似Linux这样的各种UNIX系统, 通常都使用兼容Syslog规范的日志系统。 而很多硬件设备的操作系统也具有独立的日志功能,以Cisco路由 器为代表的网络设备通常都具有输出Syslog兼容日志的能力。应用系 统日志,主要包括各种应用程序服务器(例如Web服务器、FTP服务器) 的日志系统和应用程序自身的日志系统,不同的应用系统都具有根据 其自身要求设计的日志系统。安全系统日志,从狭义上讲是指信息安 全方面设备或软件,如防火墙系统的日志;从更广泛的意义上来说, 所有为了安全目的所产生的日志都可归入此类。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
5、磁盘存储安全管理
磁盘是当前数据存储的主要介质,客户端用户账户配置信息、重 要的数据信息等都保存在服务器上,常用的安全存储技术包括服务器 RAID存储和局域网存储两种,其中前者适用于中小型网络用户,投资 少,但可以提供可靠、快速、安全的数据存储。局域网存储技术,适 用于大型网络,它的功能类似于一台文件服务器,不过其安全性、传 输效率却是文件服务器无法与其媲美的。来自新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
8、系统服务安全
安装操作系统的同时,会自动安装大量服务。但是,运行的服务 越多,往往安全漏洞也越多,同时还会占用大量的系统资源。而对于 有能力利用服务特权和功能来访问本地Web服务器或其他网络服务器 的不法入侵者来说,服务是最主要的漏洞点。不验证客户端身份的服 务、使用不安全协议的服务、特权太多的服务等都将带来风险。因此, 凡是不需要的服务,均应将其禁用,既可有效地减少非法入侵者的攻 击,同时也可节省大量的系统资源。 配置系统服务时应注意以下事项: (1) 根据服务的描述以及业务的需求,确定是否使用此服务。 (2) 具体每个服务的内容和功能,请参考微软的说明和咨询业内 安全专家。 (3) 禁止或者设置成手工启动的方式处理系统非必需的服务。 (4) 如对系统可能造成的影响不了解,在测试环境中测试验证通 过以后,再在应用环境中部署。 (5) 对于与安装应用程序同步安装的服务,如无必要,应将其关 闭。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
3、安全配置向导
安全配置向导(SCW)可以缩小受攻击范围,用于安装Service Pack 1后的Windows Server 2003家族成员。SCW确定服务器的一个或 多个角色所需的最少功能,并禁用不必要的功能。 SCW 将执行下列操作: (1) 禁用不需要的服务。 (2) 阻止未使用的端口。 (3) 允许对打开的端口进一步实施地址或安全限制。 (4) 禁止不需要的IIS web扩展(如果适用)。 (5) 减少对服务器消息块(SMB)、LanMan和轻型目录访问协议 (LDAP)的协议公开。 (6) 定义强的信号到噪声审核策略。 SCW指导我们完成基于服务器的选定角色创建、编辑、应用或回 滚安全策略的全过程。使用SCW创建的安全策略是XML文件,这些文件 在被应用时将配置服务、网络安全、特定的注册表值、审核策略以及 (如果适用)Internet信息服务(IIS)。
新世纪计算机信息安全教程
第5章 服务器系统安全
重点内容: 重点内容:
Server系统安全 Windows Server系统安全 Linux操作系统安全 Linux操作系统安全
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
1、系统组件安全
毫无疑问,网络安全防护设备和系统防火墙是服务器安全的重要 保障,其实许多内置的Windows服务组件自身就集成了安全配置功能, 用户只需简单配置即可增加一道新的屏障。用户可以根据自己的具体 需要和使用情况而进行更详细的网络设置,这里仅以最常用的网络服 务简单介绍。 (1)Web服务的安全 (2)FTP服务的安全 (3)E-mail服务的安全 (4)文件服务的安全
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
10、 10、安全入侵监测
防范网络攻击最常用的方法就是防火墙,从技术理论上看,防火 墙已经成为一种先进和复杂的基于应用层的网关,不仅能完成传统防 火墙的过滤任务,同时也能够针对各种网络应用提供相应的安全服务。 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全 的网络保护,降低网络安全的风险。但仅仅使用防火墙保障网络安全 是远远不够的,因为入侵者可以寻找防火墙背后可能敞开的后门;另 外,“防火墙完全不能阻止内部袭击”,对于企业内部心怀不满的员 工来说,防火墙形同虚设;而且,由于性能的限制,防火墙通常不能 提供有效的入侵检测能力。因此,以为在Internet入口处部署防火墙 系统就足够安全的想法是不切实际的。不过,黑客侵入系统一般来说, 不可能没有迹象和留下痕迹。掌握一定的知识,就可以及时发现入侵, 并采取相应的措施。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
4、账号安全管理
计算机是模拟现实中的生活的电子设备,同样,联网的计算机也 是模拟客观世界人与人之间的关系与交往的。在现实世界中,人人都 有一个身份,每个人的身份决定了每人的工作与职权范围。同样,在 网络中每台计算机和计算机的使用者也都有其各自不同的身份,拥有 不同的访问或管理权限。 用户名:保护计算机和计算机内存储数据的安全措施之一,就是 指定拥有不同访问权限的用户账户,通过限制账户的权限的方式,实 现对计算机资源访问的控制。 密码:要确保所有系统密码,特别是那些具有管理权限的密码不 要被猜破(长的、多种含义的、字母与数字混杂在一起的密码最好不 过)。您还应该设置合适的账户管理策略来进一步保证系统的安全。 可以通过User Manager工具来设置密码。 用户组:对于大中型网络而言,为每个单独的用户赋予权限是一 件既费时费力,又非常容易出错的工作。而权限一旦出错,安全也就 没有了保障。因此,虽然用户权利可以应用于单个的用户账户,但最 好是在组账户基础上管理。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
6、组策略安全
功能强大的组策略也提供了相应的安全配置组件,不仅可以应用 于本地计算机及用户,还可以在域环境中,部署到客户端计算机和用 户账户。系统管理员可以根据不同的用户访问网络需求,建立相应的 组织单位,对定制的组织单位同意部署安全策略,对客户端影响的数 量取决与组织单位中用户的多少。客户端计算机在登录到域后,从服 务器上下载并应用定制的安全策略,保护本地计算机或网络上的文件 资源。 Windows Server 2003操作系统提供了强大的安全机制,但是在 默认状态下基本上没有配置。在网络环境中,使用Windows Server 2003的组策略机制,可以快速、批量地设定策略作用下的批量用户, 为用户提供统一的安全设置。
新世纪计算机信息安全教程
一、Windows Server系统安全 Server系统安全
11、 11、端口安全
不同的网络服务使用的通信端口也有所不同,例如FTP服务、Web 服务、E-mail服务等可以使用同一个IP地址。其实许多网络攻击也是 通过通信端口实现的,这也是不建议用户在同一台服务器提供多种网 络服务的原因。关闭相应的系统端口,也就限制了相应的服务,进而 阻断了相应类型的网络攻击。 运行系统内置的netstat命令工具,可以查看当前活动的TCP连接、 计算机侦听的端口、以太网统计信息、IP路由表、IPv4统计信息(对 于IP、ICMP、TCP和UDP协议)以及IPv6统计信息(对于 IPv6、 ICMPv6、通过IPv6的TCP以及通过IPv6的UDP协议)等。 Port Reporter是微软公司提供的一款免费的端口监控软件,并 且安装完成后,是以后台服务的方式运行的,不会影响用户其他工作 的进行。 为了系统安全起见,应将不常用的端口关闭,只开放一些常用端 口。例如,需要访问网站,则启用80端口,需要从FTP网站下载文件, 则开放21端口,等等。在Windows 2000系统中,无法只禁止某个端口, 需要先禁止所有端口,然后开放允许使用的端口。