服務(wù)器安全策略有哪些�����?
一��、修改windows默認(rèn)的遠(yuǎn)程端口
專(zhuān)注于為中小企業(yè)提供網(wǎng)站建設(shè)���、成都做網(wǎng)站服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)相山免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都�,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了上千家企業(yè)的穩(wěn)健成長(zhǎng)�,幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。
也許有高手認(rèn)為自己做的挺安全的��,就算是默認(rèn)端口也不用被入侵以及被破密���。其實(shí)修改默認(rèn)的遠(yuǎn)程端口一方面是防止入侵�,另外一方面也是防止被掃描影響系統(tǒng)的穩(wěn)定��。
有了解過(guò)掃描3389軟件的人都知道����,一般的攻擊者都是掃描3389端口的,所以改成其它的端口可以防止被掃描到您的主機(jī)����。為什么說(shuō)另外一方面也是防止被掃描3389端口影響到系統(tǒng)的穩(wěn)定呢���?如果您的服務(wù)器默認(rèn)是使用3389端口,掃描軟件就會(huì)強(qiáng)力嘗試密碼字典里的密碼���,與您的主機(jī)建議很多的連接��,占用系統(tǒng)里的資源導(dǎo)致服務(wù)器出現(xiàn)卡的現(xiàn)象��。所以修改默認(rèn)的遠(yuǎn)程端口是有幾個(gè)好處的����,希望大家重視���。
二��、修改windows默認(rèn)的用戶名
我們做安全也是針對(duì)攻擊的行為而制作相對(duì)的策略��,攻擊的人嘗試密碼破解的時(shí)候����,都是使用默認(rèn)的用戶名administrator��,當(dāng)你修改了用戶名之后�����,它猜不出您的用戶名��,即使密碼嘗試上千萬(wàn)次都不會(huì)成功的��,如果要使用用戶名字典再加下密碼字典�����,我估計(jì)攻擊者就沒(méi)有那個(gè)心思了�,而且也不會(huì)一時(shí)間破密到您的用戶名。所以修改用戶名就會(huì)減低被入侵的可能��。
那么修改成什么樣的用戶名才是比較安全呢���?個(gè)人建議使用中文再加上數(shù)字再上字母這樣的用戶名就非常強(qiáng)大了����。例如: 非誠(chéng)勿擾ADsp0973
三����、使用復(fù)雜的密碼
從掃描以及破解的軟件看,都是使用簡(jiǎn)單的常用的密碼進(jìn)行破解的����,例如1q2w3e4r5t或者123456或者12345qwert等簡(jiǎn)單的組合密碼����,所以使用這些密碼是非常不安全的�。我個(gè)人就建議避免使用簡(jiǎn)單的密碼防止被破解。
建議使用的密碼里包含 大字字母+小字字母+數(shù)字+特殊字符��。 長(zhǎng)度至少要12以上這樣會(huì)好一些��。
怎么設(shè)置IP安全策略��,只允許特定IP訪問(wèn)服務(wù)器
1��、首先我們選擇鼠標(biāo)單擊打開(kāi)服務(wù)器中的安全策略功能選項(xiàng)����。
2、設(shè)定舉例��,這里選擇設(shè)定限制一個(gè)IP范圍���。
3����、首先創(chuàng)建兩個(gè)網(wǎng)段規(guī)則,右鍵單擊空白區(qū)域����。
4����、選擇鼠標(biāo)單擊新IP篩選器的功能選項(xiàng)。創(chuàng)建IP地址范圍���。
5��、設(shè)置兩個(gè)網(wǎng)段后��,設(shè)置兩個(gè)策略���,一個(gè)用于權(quán)限,一個(gè)用于阻止�����。
計(jì)算機(jī)服務(wù)器的安全策略
網(wǎng)站要依靠計(jì)算機(jī)服務(wù)器來(lái)運(yùn)行整個(gè)體系��,計(jì)算機(jī)服務(wù)器的安全程度直接關(guān)系著網(wǎng)站的穩(wěn)定程度�����,加強(qiáng)計(jì)算機(jī)服務(wù)器的安全等級(jí),避免網(wǎng)站信息遭惡意泄露�����。
一��、基于帳戶的安全策略
1����、帳戶改名
Administrator和guest是Windows系統(tǒng)默認(rèn)的系統(tǒng)帳戶,正因如此它們是最可能被利用���,攻擊者通過(guò)破解密碼而登錄計(jì)算機(jī)服務(wù)器�����?���?梢酝ㄟ^(guò)為其改名進(jìn)行防范���。
2��、密碼策略
密碼策略作用于域帳戶或本地帳戶����,其中就包含以下幾個(gè)方面:強(qiáng)制密碼歷史,密碼最長(zhǎng)使用期限����,密碼最短使用期限���,密碼長(zhǎng)度最小值����,密碼必須符合復(fù)雜性要求���,用可還原的`加密來(lái)存儲(chǔ)密碼���。
對(duì)于本地計(jì)算機(jī)的用戶帳戶,其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個(gè)中進(jìn)行的��。
3���、帳戶鎖定
當(dāng)計(jì)算機(jī)服務(wù)器帳戶密碼不夠安全時(shí)����,非法用戶很容易通過(guò)多次重試“猜”出用戶密碼而登錄系統(tǒng),存在很大的安全風(fēng)險(xiǎn)�����。那如何來(lái)防止黑客猜解或者爆破計(jì)算機(jī)服務(wù)器密碼呢?
其實(shí)�,要避免這一情況,通過(guò)組策略設(shè)置帳戶鎖定策略即可完美解決����。此時(shí)當(dāng)某一用戶嘗試登錄系統(tǒng)輸入錯(cuò)誤密碼的次數(shù)達(dá)到一定閾值即自動(dòng)將該帳戶鎖定,在帳戶鎖定期滿之前��,該用戶將不可使用����,除非管理員手動(dòng)解除鎖定。
二��、安全登錄系統(tǒng)
1����、遠(yuǎn)程桌面
遠(yuǎn)程桌面是比較常用的遠(yuǎn)程登錄方式�����,但是開(kāi)啟“遠(yuǎn)程桌面”就好像系統(tǒng)打開(kāi)了一扇門(mén)�����,合法用戶可以進(jìn)來(lái)��,惡意用戶也可以進(jìn)來(lái)�,所以要做好安全措施����。
(1).用戶限制
點(diǎn)擊“遠(yuǎn)程桌面”下方的“選擇用戶”按鈕����,然后在“遠(yuǎn)程桌面用戶” 窗口中點(diǎn)擊“添加”按鈕輸入允許的用戶,或者通過(guò)“高級(jí)→立即查找”添加用戶��。由于遠(yuǎn)程登錄有一定的安全風(fēng)險(xiǎn)����,管理員一定要嚴(yán)格控制可登錄的帳戶。
(2).更改端口
遠(yuǎn)程桌面默認(rèn)的連接端口是3389��,攻擊者就可以通過(guò)該端口進(jìn)行連接嘗試。因此��,安全期間要修改該端口���,原則是端口號(hào)一般是1024以后的端口��,而且不容易被猜到�����。
2�、telnet連接
telnet是命令行下的遠(yuǎn)程登錄工具���,因?yàn)槭窍到y(tǒng)集成并且操作簡(jiǎn)單���,所以在計(jì)算機(jī)服務(wù)器管理占有一席之地。因?yàn)樗诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)����,別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且�����,這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊��。�,并且其默認(rèn)的端口是23這是大家都知道的。因此我們需要加強(qiáng)telnet的安全性��。
3��、第三方軟件
可用來(lái)遠(yuǎn)程控制的第三方工具軟件非常多���,這些軟件一般都包括客戶端和計(jì)算機(jī)服務(wù)器端兩部分����,需要分別在兩邊都部署好��,才能實(shí)現(xiàn)遠(yuǎn)控控制�。一般情況下�,這些軟件被安全軟件定義為木馬或者后門(mén),從而進(jìn)行查殺����。安全期間建議大家不要使用此類(lèi)軟件,因?yàn)槭褂么祟?lèi)工具需要對(duì)安全軟件進(jìn)行設(shè)置(排除�、端口允許等)��,另外�����,這類(lèi)軟件也有可能被人植入木馬或者留有后門(mén)�����,大家在使用時(shí)一定要慎重��。
網(wǎng)絡(luò)安全策略
安全策略是指在某個(gè)安全區(qū)域內(nèi)(通常是指屬于某個(gè)組織的一系列處理和通信資源)�,用于所有與安全相關(guān)活動(dòng)的一套規(guī)則����。這些規(guī)則是由此安全區(qū)域中所設(shè)立的一個(gè)安全權(quán)力機(jī)構(gòu)建立的,并由安全控制機(jī)構(gòu)來(lái)描述���、實(shí)施或?qū)崿F(xiàn)的���。安全策略通常建立在授權(quán)的基礎(chǔ)之上,未經(jīng)適當(dāng)授權(quán)的實(shí)體�,信息資源不可以給予、不允許訪問(wèn)�、不得使用�。安全策略基于身份����、規(guī)則、角色進(jìn)行分類(lèi)��。
機(jī)房組建應(yīng)按計(jì)算機(jī)運(yùn)行特點(diǎn)及設(shè)備具體要求確定��。機(jī)房一般宜由主機(jī)房區(qū)���、基本工作區(qū)����、輔助機(jī)房區(qū)等功能區(qū)域組成�����。
主機(jī)房區(qū)包括服務(wù)器機(jī)房區(qū)���、網(wǎng)絡(luò)通信區(qū)、前置機(jī)房區(qū)和介質(zhì)庫(kù)等�����。
基本工作區(qū)包括緩沖區(qū)、監(jiān)控區(qū)和軟件測(cè)試區(qū)等�。
輔助機(jī)房區(qū)包括配電區(qū)、配線區(qū)��、UPS?區(qū)�����、消防氣瓶間和精密空調(diào)區(qū)等����。
設(shè)備標(biāo)識(shí)和鑒別:應(yīng)對(duì)機(jī)房中設(shè)備的具體位置進(jìn)行標(biāo)識(shí),以方便查找和明確責(zé)任�����。機(jī)房?jī)?nèi)關(guān)鍵設(shè)備部件應(yīng)在其上設(shè)置標(biāo)簽��,以防止隨意更換或取走�����。
設(shè)備可靠性:應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)���,將設(shè)備或主要部件進(jìn)行固定���,并設(shè)置明顯的不易除去的標(biāo)記�。應(yīng)對(duì)關(guān)鍵的設(shè)備關(guān)鍵部件冗余配置����,例如電源、主控板����、網(wǎng)絡(luò)接口等。
防靜電:機(jī)房?jī)?nèi)設(shè)備上線前必須進(jìn)行正常的接地����、放電等操作,對(duì)來(lái)自靜電放電的電磁干擾應(yīng)有一定的抗擾度能力�����。機(jī)房的活動(dòng)地板應(yīng)有穩(wěn)定的抗靜電性能和承載能力����,同時(shí)耐油、耐腐蝕�、柔光、不起塵等。
電磁騷擾:機(jī)房?jī)?nèi)應(yīng)對(duì)設(shè)備和部件產(chǎn)生的電磁輻射騷擾�、電磁傳導(dǎo)騷擾進(jìn)行防護(hù)��。
電磁抗擾:機(jī)房?jī)?nèi)設(shè)備對(duì)來(lái)自電磁輻射的電磁干擾和電源端口的感應(yīng)傳導(dǎo)的電磁干擾應(yīng)有一定的抗擾度�。
浪涌抗擾:機(jī)房?jī)?nèi)設(shè)備應(yīng)對(duì)來(lái)自電源端口的浪涌(沖擊)的電磁干擾應(yīng)有一定的抗擾度。
電源適應(yīng)能力:機(jī)房供電線路上設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備�����。對(duì)于直流供電的系統(tǒng)設(shè)備���,應(yīng)能在直流電壓標(biāo)稱(chēng)值變化?10%的條件下正常工作�����。
泄漏電流:機(jī)房?jī)?nèi)設(shè)備工作時(shí)對(duì)保護(hù)接地端的泄漏電流值不應(yīng)超過(guò)5mA���。
電源線:機(jī)房?jī)?nèi)設(shè)備應(yīng)設(shè)置交流電源地線,應(yīng)使用三芯電源線�����,其中地線應(yīng)于設(shè)備的保護(hù)接地端連接牢固����。
線纜:機(jī)房通信線纜應(yīng)鋪設(shè)在隱蔽處�,可鋪設(shè)在地下或管道中�。
絕緣電阻:機(jī)房?jī)?nèi)設(shè)備的電源插頭或電源引入端與設(shè)備外殼裸露金屬部件之間的絕緣電阻應(yīng)不小于5MΩ。
場(chǎng)地選擇:機(jī)房場(chǎng)地選擇應(yīng)避開(kāi)火災(zāi)危險(xiǎn)程度高的區(qū)域���,還應(yīng)避開(kāi)有害氣體來(lái)源以及存放腐蝕��、易燃�����、易爆物品的地方�����。機(jī)房場(chǎng)地應(yīng)避開(kāi)強(qiáng)振動(dòng)源���、強(qiáng)噪聲源和強(qiáng)電場(chǎng)干擾的地方。機(jī)房不應(yīng)該選擇在樓層的最高層或者最低層地方����。
防火:機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)報(bào)警系統(tǒng),包括火災(zāi)自動(dòng)探測(cè)器��、區(qū)域報(bào)警器、集中報(bào)警器和控制器等����,能對(duì)火災(zāi)發(fā)生的部位以聲、光或電的形式發(fā)出報(bào)警信號(hào)��,并啟動(dòng)自動(dòng)滅火設(shè)備��,切斷電源�、關(guān)閉空調(diào)設(shè)備等�����。機(jī)房采取區(qū)域隔離防火措施����,布局要將脆弱區(qū)和危險(xiǎn)區(qū)進(jìn)行隔離,防止外部火災(zāi)進(jìn)入機(jī)房�����,特別是重要設(shè)備地區(qū)��,安裝防火門(mén)��、使用阻燃材料裝修。機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料����。
電磁輻射防護(hù):電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾�����。應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽��。通信線采取屏蔽措施�,防止外部電磁場(chǎng)對(duì)機(jī)房?jī)?nèi)計(jì)算機(jī)及設(shè)備的干擾,同時(shí)也抑制電磁信息的泄漏���。應(yīng)采用屏蔽效能良好屏蔽電纜作為機(jī)房的引入線�����。機(jī)房的信號(hào)電纜線(輸入/輸出)端口和電源線的進(jìn)�����、出端口應(yīng)適當(dāng)加裝濾波器�����。電纜連接處應(yīng)采取屏蔽措施���,抑制電磁噪聲干擾與電磁信息泄漏�����。
供電系統(tǒng):應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電����。應(yīng)建立備用供電系統(tǒng)��。機(jī)房供電電源設(shè)備的容量應(yīng)具有一定的余量�����。機(jī)房供電系統(tǒng)應(yīng)將信息系統(tǒng)設(shè)備供電線路與其它供電線路分開(kāi)�,應(yīng)配備應(yīng)急照明裝置�。機(jī)房應(yīng)配置電源保護(hù)裝置,加裝浪涌保護(hù)器�。機(jī)房電源系統(tǒng)的所有接點(diǎn)均應(yīng)鍍錫處理,并且冷壓連接�。
靜電防護(hù):主機(jī)房?jī)?nèi)絕緣體的靜電電位不應(yīng)大于1kV。主機(jī)房?jī)?nèi)的導(dǎo)體應(yīng)與大地作可靠的連接���,不應(yīng)有對(duì)地絕緣的孤立導(dǎo)體��。
防雷電:機(jī)房系統(tǒng)中所有的設(shè)備和部件應(yīng)安裝在有防雷保護(hù)的范圍內(nèi)����。不得在建筑物屋頂上敷設(shè)電源或信號(hào)線路。必須敷設(shè)時(shí)����,應(yīng)穿金屬管進(jìn)行屏蔽防護(hù),金屬管應(yīng)進(jìn)行等電位連接�。機(jī)房系統(tǒng)電源及系統(tǒng)輸入/輸出信號(hào)線,應(yīng)分不同層次�����,采用多級(jí)雷電防護(hù)措施����。
機(jī)房接地:對(duì)直流工作接地有特殊要求需單獨(dú)設(shè)置接地裝置的系統(tǒng),接地電阻值及其它接地體之間的距離�����,應(yīng)按照機(jī)房系統(tǒng)及有關(guān)規(guī)范的要求確定�����。
溫濕度控制:機(jī)房應(yīng)有較完備的空調(diào)系統(tǒng),保證機(jī)房溫度的變化在計(jì)算機(jī)設(shè)備運(yùn)行所允許的范圍�����。當(dāng)機(jī)房采用專(zhuān)用空調(diào)設(shè)備并與其它系統(tǒng)共享時(shí)�����,應(yīng)保證空調(diào)效果和采取防火措施�。機(jī)房空氣調(diào)節(jié)控制裝置應(yīng)滿足計(jì)算機(jī)系統(tǒng)對(duì)溫度、濕度以及防塵的要求����?�?照{(diào)系統(tǒng)應(yīng)支持網(wǎng)絡(luò)監(jiān)控管理�����,通過(guò)統(tǒng)一監(jiān)控�,反映系統(tǒng)工作狀況。
機(jī)房防水:機(jī)房水管安裝不得穿過(guò)屋頂和活動(dòng)地板��,穿過(guò)墻壁和樓板的水管應(yīng)使用套管,并采取可靠的密封措施����。機(jī)房應(yīng)有有效的防止給水、排水�、雨水通過(guò)屋頂和墻壁漫溢和滲漏的措施,應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透�����。機(jī)房應(yīng)安裝漏水檢測(cè)系統(tǒng)�����,并有報(bào)警裝置�。
入網(wǎng)訪問(wèn)控制是網(wǎng)絡(luò)訪問(wèn)的第1層安全機(jī)制。它控制哪些用戶能夠登錄到服務(wù)器并獲準(zhǔn)使用網(wǎng)絡(luò)資源�����,控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和位置����。用戶的入網(wǎng)訪問(wèn)控制通常分為三步執(zhí)行:用戶名的識(shí)別與驗(yàn)證;用戶口令的識(shí)別與驗(yàn)證;用戶賬戶的默認(rèn)權(quán)限檢查���。三道控制關(guān)卡中只要任何一關(guān)未過(guò)���,該用戶便不能進(jìn)入網(wǎng)絡(luò)。
對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道關(guān)卡���。用戶登錄時(shí)首先輸入用戶名和口令��,服務(wù)器將驗(yàn)證所輸入的用戶名是否合法��。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在����?����?诹钭詈檬菙?shù)字�����、字母和其他字符的組合����,長(zhǎng)度應(yīng)不少于6個(gè)字符,必須經(jīng)過(guò)加密���?���?诹罴用艿姆椒ê芏?�,最常見(jiàn)的方法有基于單向函數(shù)的口令加密�、基于測(cè)試模式的口令加密、基于公鑰加密方案的口令加密��、基于平方剩余的口令加密��、基于多項(xiàng)式共享的口令加密���、基于數(shù)字簽名方案的口令加密等����。經(jīng)過(guò)各種方法加密的口令�����,即使是網(wǎng)絡(luò)管理員也不能夠得到。系統(tǒng)還可采用一次性用戶口令�����,或使用如智能卡等便攜式驗(yàn)證設(shè)施來(lái)驗(yàn)證用戶的身份���。
網(wǎng)絡(luò)管理員應(yīng)該可對(duì)用戶賬戶的使用���、用戶訪問(wèn)網(wǎng)絡(luò)的時(shí)間和方式進(jìn)行控制和限制。用戶名或用戶賬戶是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式�。用戶賬戶應(yīng)只有網(wǎng)絡(luò)管理員才能建立。用戶口令是用戶訪問(wèn)網(wǎng)絡(luò)所必須提交的準(zhǔn)入證���。用戶應(yīng)該可以修改自己的口令��,網(wǎng)絡(luò)管理員對(duì)口令的控制功能包括限制口令的最小長(zhǎng)度�����、強(qiáng)制用戶修改口令的時(shí)間間隔���、口令的惟一性����、口令過(guò)期失效后允許入網(wǎng)的寬限次數(shù)��。針對(duì)用戶登錄時(shí)多次輸入口令不正確的情況�����,系統(tǒng)應(yīng)按照非法用戶入侵對(duì)待并給出報(bào)警信息����,同時(shí)應(yīng)該能夠?qū)υ试S用戶輸入口令的次數(shù)給予限制�����。
用戶名和口令通過(guò)驗(yàn)證之后�,系統(tǒng)需要進(jìn)一步對(duì)用戶賬戶的默認(rèn)權(quán)限進(jìn)行檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的位置����、限制用戶登錄入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的主機(jī)數(shù)量���。當(dāng)交費(fèi)網(wǎng)絡(luò)的用戶登錄時(shí)�,如果系統(tǒng)發(fā)現(xiàn)“資費(fèi)”用盡���,還應(yīng)能對(duì)用戶的操作進(jìn)行限制�。
操作權(quán)限控制是針對(duì)可能出現(xiàn)的網(wǎng)絡(luò)非法操作而采取安全保護(hù)措施。用戶和用戶組被賦予一定的操作權(quán)限�����。網(wǎng)絡(luò)管理員能夠通過(guò)設(shè)置��,指定用戶和用戶組可以訪問(wèn)網(wǎng)絡(luò)中的哪些服務(wù)器和計(jì)算機(jī)��,可以在服務(wù)器或計(jì)算機(jī)上操控哪些程序�,訪問(wèn)哪些目錄、子目錄����、文件和其他資源。網(wǎng)絡(luò)管理員還應(yīng)該可以根據(jù)訪問(wèn)權(quán)限將用戶分為特殊用戶���、普通用戶和審計(jì)用戶���,可以設(shè)定用戶對(duì)可以訪問(wèn)的文件、目錄�、設(shè)備能夠執(zhí)行何種操作。特殊用戶是指包括網(wǎng)絡(luò)管理員的對(duì)網(wǎng)絡(luò)���、系統(tǒng)和應(yīng)用軟件服務(wù)有特權(quán)操作許可的用戶��;普通用戶是指那些由網(wǎng)絡(luò)管理員根據(jù)實(shí)際需要為其分配操作權(quán)限的用戶����;審計(jì)用戶負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)�����。系統(tǒng)通常將操作權(quán)限控制策略�,通過(guò)訪問(wèn)控制表來(lái)描述用戶對(duì)網(wǎng)絡(luò)資源的操作權(quán)限。
訪問(wèn)控制策略應(yīng)該允許網(wǎng)絡(luò)管理員控制用戶對(duì)目錄�、文件、設(shè)備的操作����。目錄安全允許用戶在目錄一級(jí)的操作對(duì)目錄中的所有文件和子目錄都有效。用戶還可進(jìn)一步自行設(shè)置對(duì)目錄下的子控制目錄和文件的權(quán)限���。對(duì)目錄和文件的常規(guī)操作有:讀取(Read)�����、寫(xiě)入(Write)��、創(chuàng)建(Create)���、刪除(Delete)����、修改(Modify)等�����。網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶設(shè)置適當(dāng)?shù)牟僮鳈?quán)限����,操作權(quán)限的有效組合可以讓用戶有效地完成工作,同時(shí)又能有效地控制用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)��。
訪問(wèn)控制策略還應(yīng)該允許網(wǎng)絡(luò)管理員在系統(tǒng)一級(jí)對(duì)文件����、目錄等指定訪問(wèn)屬性。屬性安全控制策略允許將設(shè)定的訪問(wèn)屬性與網(wǎng)絡(luò)服務(wù)器的文件���、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)��。屬性安全策略在操作權(quán)限安全策略的基礎(chǔ)上�����,提供更進(jìn)一步的網(wǎng)絡(luò)安全保障����。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性���,用戶對(duì)網(wǎng)絡(luò)資源的操作權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表�����,屬性安全控制級(jí)別高于用戶操作權(quán)限設(shè)置級(jí)別�。屬性設(shè)置經(jīng)??刂频臋?quán)限包括:向文件或目錄寫(xiě)入、文件復(fù)制���、目錄或文件刪除����、查看目錄或文件����、執(zhí)行文件����、隱含文件�����、共享文件或目錄等���。允許網(wǎng)絡(luò)管理員在系統(tǒng)一級(jí)控制文件或目錄等的訪問(wèn)屬性�,可以保護(hù)網(wǎng)絡(luò)系統(tǒng)中重要的目錄和文件��,維持系統(tǒng)對(duì)普通用戶的控制權(quán)��,防止用戶對(duì)目錄和文件的誤刪除等操作���。
網(wǎng)絡(luò)系統(tǒng)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作��。用戶通過(guò)控制臺(tái)可以加載和卸載系統(tǒng)模塊�����,可以安裝和刪除軟件�����。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)����,以防止非法用戶修改系統(tǒng)、刪除重要信息或破壞數(shù)據(jù)�。系統(tǒng)應(yīng)該提供服務(wù)器登錄限制、非法訪問(wèn)者檢測(cè)等功能��。
網(wǎng)絡(luò)管理員應(yīng)能夠?qū)W(wǎng)絡(luò)實(shí)施監(jiān)控�。網(wǎng)絡(luò)服務(wù)器應(yīng)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的情況進(jìn)行記錄����。對(duì)于非法的網(wǎng)絡(luò)訪問(wèn),服務(wù)器應(yīng)以圖形�、文字或聲音等形式報(bào)警,引起網(wǎng)絡(luò)管理員的注意����。對(duì)于不法分子試圖進(jìn)入網(wǎng)絡(luò)的活動(dòng),網(wǎng)絡(luò)服務(wù)器應(yīng)能夠自動(dòng)記錄這種活動(dòng)的次數(shù)��,當(dāng)次數(shù)達(dá)到設(shè)定數(shù)值�����,該用戶賬戶將被自動(dòng)鎖定。
防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施��,是用來(lái)阻止網(wǎng)絡(luò)黑客進(jìn)入企業(yè)內(nèi)部網(wǎng)的屏障�����。防火墻分為專(zhuān)門(mén)設(shè)備構(gòu)成的硬件防火墻和運(yùn)行在服務(wù)器或計(jì)算機(jī)上的軟件防火墻��。無(wú)論哪一種�,防火墻通常都安置在網(wǎng)絡(luò)邊界上,通過(guò)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)��,以阻檔來(lái)自外部網(wǎng)絡(luò)的入侵��。
域間安全策略用于控制域間流量的轉(zhuǎn)發(fā)(此時(shí)稱(chēng)為轉(zhuǎn)發(fā)策略)��,適用于接口加入不同安全區(qū)域的場(chǎng)景����。域間安全策略按IP地址、時(shí)間段和服務(wù)(端口或協(xié)議類(lèi)型)�����、用戶等多種方式匹配流量,并對(duì)符合條件的流量進(jìn)行包過(guò)濾控制(permit/deny)或高級(jí)的UTM應(yīng)用層檢測(cè)��。域間安全策略也用于控制外界與設(shè)備本身的互訪(此時(shí)稱(chēng)為本地策略)�����,按IP地址�、時(shí)間段和服務(wù)(端口或協(xié)議類(lèi)型)等多種方式匹配流量,并對(duì)符合條件的流量進(jìn)行包過(guò)濾控制(permit/deny)����,允許或拒絕與設(shè)備本身的互訪。
缺省情況下域內(nèi)數(shù)據(jù)流動(dòng)不受限制�,如果需要進(jìn)行安全檢查可以應(yīng)用域內(nèi)安全策略。與域間安全策略一樣可以按IP地址����、時(shí)間段和服務(wù)(端口或協(xié)議類(lèi)型)�、用戶等多種方式匹配流量,然后對(duì)流量進(jìn)行安全檢查����。例如:市場(chǎng)部和財(cái)務(wù)部都屬于內(nèi)網(wǎng)所在的安全區(qū)域Trust,可以正?;ピL。但是財(cái)務(wù)部是企業(yè)重要數(shù)據(jù)所在的部門(mén),需要防止內(nèi)部員工對(duì)服務(wù)器���、PC等的惡意攻擊�����。所以在域內(nèi)應(yīng)用安全策略進(jìn)行IPS檢測(cè)����,阻斷惡意員工的非法訪問(wèn)���。
當(dāng)接口未加入安全區(qū)域的情況下�,通過(guò)接口包過(guò)濾控制接口接收和發(fā)送的IP報(bào)文����,可以按IP地址、時(shí)間段和服務(wù)(端口或協(xié)議類(lèi)型)等多種方式匹配流量并執(zhí)行相應(yīng)動(dòng)作(permit/deny)�����?����;贛AC地址的包過(guò)濾用來(lái)控制接口可以接收哪些以太網(wǎng)幀,可以按MAC地址����、幀的協(xié)議類(lèi)型和幀的優(yōu)先級(jí)匹配流量并執(zhí)行相應(yīng)動(dòng)作(permit/deny)。硬件包過(guò)濾是在特定的二層硬件接口卡上實(shí)現(xiàn)的��,用來(lái)控制接口卡上的接口可以接收哪些流量����。硬件包過(guò)濾直接通過(guò)硬件實(shí)現(xiàn),所以過(guò)濾速度更快���。
信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)����、文件���、口令和控制信息����,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)���。網(wǎng)絡(luò)加密常用的方法有鏈路加密�、端點(diǎn)加密和節(jié)點(diǎn)加密三種�����。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全;端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù);節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)��。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式����。
信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施,它以很小的代價(jià)提供很大的安全保護(hù)�����。在多數(shù)情況下��,信息加密是保證信息機(jī)密性的唯一方法��。據(jù)不完全統(tǒng)計(jì)����,到目前為止,已經(jīng)公開(kāi)發(fā)表的各種加密算法多達(dá)數(shù)百種����。如果按照收發(fā)雙方密鑰是否相同來(lái)分類(lèi)�,可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法�����。
在常規(guī)密碼中��,收信方和發(fā)信方使用相同的密鑰��,即加密密鑰和解密密鑰是相同或等價(jià)的����。比較著名的常規(guī)密碼算法有:美國(guó)的DES及其各種變形,比如Triple DES��、GDES�、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91�����、Skipjack��、RC4�����、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等�����。在眾多的常規(guī)密碼中影響最大的是DES密碼���。
常規(guī)密碼的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度�,且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊��,但其密鑰必須通過(guò)安全的途徑傳送�。因此,其密鑰管理成為系統(tǒng)安全的重要因素���。
在公鑰密碼中���,收信方和發(fā)信方使用的密鑰互不相同,而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰�。比較著名的公鑰密碼算法有:RSA、背包密碼���、McEliece密碼���、Diffe-Hellman�、Rabin�、Ong-Fiat-Shamir、零知識(shí)證明的算法���、橢園曲線����、EIGamal算法等等�。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊��。
公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開(kāi)放性要求����,且密鑰管理問(wèn)題也較為簡(jiǎn)單,尤其可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證���。但其算法復(fù)雜��。加密數(shù)據(jù)的速率較低�����。盡管如此����,隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展�����,公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制�����。
當(dāng)然在實(shí)際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用����,比如:利用DES或者IDEA來(lái)加密信息,而采用RSA來(lái)傳遞會(huì)話密鑰�。如果按照每次加密所處理的比特來(lái)分類(lèi),可以將加密算法分為序列密碼和分組密碼����。前者每次只加密一個(gè)比特而后者則先將信息序列分組,每次處理一個(gè)組���。
密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一�。一個(gè)加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線竊聽(tīng)和入網(wǎng)�,而且也是對(duì)付惡意軟件的有效方法之一。
應(yīng)制定相應(yīng)的機(jī)房管理制度�����,規(guī)范機(jī)房與各種設(shè)備的使用和管理�����,保障機(jī)房安全及設(shè)備的正常運(yùn)行�����,至少包括日常管理��、出入管理����、設(shè)備管理、巡檢(環(huán)境�����、設(shè)備狀態(tài)�����、指示燈等進(jìn)行檢查并記錄)等。重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)�,控制、鑒別和記錄進(jìn)入的人員����。對(duì)機(jī)房?jī)?nèi)的各種介質(zhì)應(yīng)進(jìn)行分類(lèi)標(biāo)識(shí)�,重要介質(zhì)存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。
加強(qiáng)網(wǎng)絡(luò)的安全管理�����,制定有關(guān)規(guī)章制度�����,對(duì)于確保系統(tǒng)的安全�、可靠地運(yùn)行,將起到十分有效的作用�����。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級(jí)和安全管理范圍���;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和訪問(wèn)主機(jī)的管理制度�����;制訂網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等�����。
網(wǎng)站題目:免費(fèi)服務(wù)器安全策略 服務(wù)器安全策略怎么做
文章URL:
http://weahome.cn/article/ddcpcdd.html
重慶分公司
重慶分公司
