網絡安全管理知識江蘇省農民培訓工程講義江蘇畜牧獸醫職業技術學院陳斌內容提要研究網絡安全社會意義研究網絡安全的必要性。主要介紹網絡安全研究的體系。計算機網絡安全的相關法規。介紹瑞星殺毒、防火墻軟件的安裝與使用。介紹農民培訓網的信息管理。一、研究網絡安全的社會意義目前研究網絡安全已經不只為了信息和數據的安全性。網絡安全已經滲透到國家的經濟、軍事等領域。網絡安全與政治目前政府上網已經大規模的發展起來，電子政務工程已經在全國啟動并在北京試點。政府網絡的安全直接代表了國家的形象。1999年到2001年，一些政府網站，遭受了四次大的黑客攻擊事件。第一次在99年1月份左右，美國黑客組織“美國地下軍團”聯合了波蘭的、英國的黑客組織以及世界上的黑客組織，有組織地對我們國家的政府網站進行了攻擊。第二次，99年7月份，當臺灣李登輝提出了兩國論的時候。第三次是在2000年5月8號，美國轟炸我國駐南聯盟大使館后。第四次是在2001年4月到5月，美機撞毀王偉戰機侵入我海南機場。網絡安全與經濟一個國家信息化程度越高，整個國民經濟和社會運行對信息資源和信息基礎設施的依賴程度也越高。我國計算機犯罪的增長速度超過了傳統的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統計了。利用計算機實施金融犯罪已經滲透到了我國金融行業的各項業務。近幾年已經破獲和掌握100多起，涉及的金額幾個億。2000年2月份黑客攻擊的浪潮，是互連網問世以來最為嚴重的黑客事件。99年4月26日，臺灣人編制的CIH病毒的大爆發，有統計說我國大陸受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經濟損失高達近12億元。1996年4月16日，美國金融時報報道，接入Internet的計算機，達到了平均每20秒鐘被黑客成功地入侵一次的新記錄。網絡安全與社會穩定互連網上散布一些虛假信息、有害信息對社會管理秩序造成的危害，要比現實社會中一個造謠要大的多。99年4月，河南商都熱線一個BBS，一張說交通銀行鄭州支行行長協巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，一天提了十多億。2001年2月8日正是春節，新浪網遭受攻擊，電子郵件服務器癱瘓了18個小時，造成了幾百萬的用戶無法正常的聯絡。網上不良信息腐蝕人們靈魂，色情資訊業日益猖獗。1997年5月去過色情網站瀏覽過的美國人，占了美國網民的28.2%。河南鄭州剛剛大專畢業的楊某和何某，在商丘信息港上建立了一個個人主頁，用五十多天的時間建立的主頁存了一萬多幅淫穢照片的網站、100多部小說和小電影。不到54天的時間，訪問他的人到了30萬。網絡安全與軍事在第二次世界大戰中，美國破譯了日本人的密碼，將山本的艦隊幾乎全殲，重創了日本海軍。目前的軍事戰爭更是信息化戰爭，下面是美國三位知名人士對目前網絡的描述。美國著名未來學家阿爾溫托爾勒說過“誰掌握了信息，控制了網絡，誰將擁有整個世界。美國前總統克林頓說過“今后的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家”。美國前陸軍參謀長沙利文上將說過“信息時代的出現，將從根本上改變戰爭的進行方式”。二、研究網絡安全的必要性網絡需要與外界聯系，受到許多方面的威脅物理威脅系統漏洞造成的威脅身份鑒別威脅線纜連接威脅有害程序等方面威脅。網絡安全威脅的來源

1.外部滲入（penetration） 未被授權使用計算機的人；

2.內部滲入者 被授權使用計算機，但不能訪問某些數據、程序或資源，它包括：

-冒名頂替:使用別人的用戶名和口令進行操作；

-隱蔽用戶:逃避審計和訪問控制的用戶；

3.濫用職權者:

被授權使用計算機和訪問系統資源，但濫用職權者。冒名頂替廢物搜尋身份識別錯誤不安全服務配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周編輯口令口令破解口令圈套竊聽偷竊網絡安全威脅線纜連接身份鑒別有害程序系統漏洞物理威脅網絡安全威脅的幾種類型物理威脅物理威脅包包括四個方方面：偷竊竊、廢物搜搜尋、間諜諜行為和身身份識別錯錯誤。1、偷竊網絡安全中中的偷竊包包括偷竊設設備、偷竊竊信息和偷偷竊服務等等內容。如如果他們想想偷的信息息在計算機機里，那他他們一方面面可以將整整臺計算機機偷走，另另一方面通通過監視器器讀取計算算機中的信信息。2、廢物搜尋尋就是在廢物物（如一些些打印出來來的材料或或廢棄的軟軟盤）中搜搜尋所需要要的信息。。在微機上上，廢物搜搜尋可能包包括從未抹抹掉有用東東西的軟盤盤或硬盤上上獲得有用用資料。3、間諜行為為是一種為了了省錢或獲獲取有價值值的機密、、采用不道道德的手段段獲取信息息。4、身份識別別錯誤非法建立文文件或記錄錄，企圖把把他們作為為有效的、、正式生產產的文件或或記錄，如如對具有身身份鑒別特特征物品如如護照、執執照、出生生證明或加加密的安全全卡進行偽偽造，屬于于身份識別別發生錯誤誤的范疇。。這種行為為對網絡數數據構成了了巨大的威威脅。系統漏洞威威脅系統漏洞造造成的威脅脅包括三個個方面：乘乘虛而入、、不安全服服務和配置置和初始化化錯誤。1、乘虛而入入例如，用戶戶A停止了與某某個系統的的通信，但但由于某種種原因仍使使該系統上上的一個端端口處于激激活狀態，，這時，用用戶B通過這個端端口開始與與這個系統統通信，這這樣就不必必通過任何何申請使用用端口的安安全檢查了了。2、不安全服服務有時操作系系統的一些些服務程序序可以繞過過機器的安安全系統，，互聯網蠕蠕蟲就利用用了UNIX系統中三個個可繞過的的機制。3、配置和初初始化錯誤誤如果不得不不關掉一臺臺服務器以以維修它的的某個子系系統，幾天天后當重啟啟動服務器器時，可能能會招致用用戶的抱怨怨，說他們們的文件丟丟失了或被被篡改了，，這就有可可能是在系系統重新初初始化時，，安全系統統沒有正確確的初始化化，從而留留下了安全全漏洞讓人人利用，類類似的問題題在木馬程程序修改了了系統的安安全配置文文件時也會會發生。身份鑒別威威脅身份鑒別造造成威脅包包括四個面面：口令圈圈套、口令令破解、算算法考慮不不周和編輯輯口令。1、口令圈套套口令圈套是是網絡安全全的一種詭詭計，與冒冒名頂替有有關。常用用的口令圈圈套通過一一個編譯代代碼模塊實實現，它運運行起來和和登錄屏幕幕一模一樣樣，被插入入到正常有有登錄過程程之前，最最終用戶看看到的只是是先后兩個個登錄屏幕幕，第一次次登錄失敗敗了，所以以用戶被要要求再輸入入用戶名和和口令。實實際上，第第一次登錄錄并沒有失失敗，它將將登錄數據據，如用戶戶名和口令令寫入到這這個數據文文件中，留留待使用。。2、口令破解解破解口令就就像是猜測測自行車密密碼鎖的數數字組合一一樣，在該該領域中已已形成許多多能提高成成功率的技技巧。3、算法考慮慮不周口令輸入過過程必須在在滿足一定定條件下才才能正常地地工作，這這個過程通通過某些算算法實現。。在一些攻攻擊入侵案案例中，入入侵者采用用超長的字字符串破壞壞了口令算算法，成功功地進入了了系統。4、編輯口令令編輯口令需需要依靠操操作系統漏漏洞，如果果公司內部部的人建立立了一個虛虛設的賬戶戶或修改了了一個隱含含賬戶的口口令，這樣樣，任何知知道那個賬賬戶的用戶戶名和口令令的人便可可以訪問該該機器了。。線纜連接威威脅線纜連接造造成的威脅脅包括三個個方面：竊竊聽、撥號號進入和冒冒名頂替。。1、竊聽對通信過程程進行竊聽聽可達到收收集信息的的目的，這這種電子竊竊聽不一定定需要竊聽聽設備一定定安裝在電電纜上，可可以通過檢檢測從連線線上發射出出來的電磁磁輻射就能能拾取所要要的信號，，為了使機機構內部的的通信有一一定的保密密性，可以以使用加密密手段來防防止信息被被解密。2、撥號進入入擁有一個調調制解調器器和一個電電話號碼，，每個人都都可以試圖圖通過遠程程撥號訪問問網絡，尤尤其是擁有有所期望攻攻擊的網絡絡的用戶賬賬戶時，就就會對網絡絡造成很大大的威脅。。3、冒名頂替替通過使用別別人的密碼碼和賬號時時，獲得對對網絡及其其數據、程程序的使用用能力。這這種辦法實實現起來并并不容易，，而且一般般需要有機機構內部的的、了解網網絡和操作作過程的人人參與。有害害程程序序威威脅脅有害害程程序序造造成成的的威威脅脅包包括括三三個個方方面面：：病病毒毒、、代代碼碼炸炸彈彈和和特特洛洛伊伊木木馬馬。。1、病病毒毒病毒毒是是一一種種把把自自己己的的拷拷貝貝附附著著于于機機器器中中的的另另一一程程序序上上的的一一段段代代碼碼。。通通過過這這種種方方式式病病毒毒可可以以進進行行自自我我復復制制，，并并隨隨著著它它所所附附著著的的程程序序在在機機器器之之間間傳傳播播。。2、代代碼碼炸炸彈彈代碼碼炸炸彈彈是是一一種種具具有有殺殺傷傷力力的的代代碼碼，，其其原原理理是是一一旦旦到到達達設設定定的的日日期期或或鐘鐘點點，，或或在在機機器器中中發發生生了了某某種種操操作作，，代代碼碼炸炸彈彈就就被被觸觸發發并并開開始始產產生生破破壞壞性性操操作作。。代代碼碼炸炸彈彈不不必必像像病病毒毒那那樣樣四四處處傳傳播播，，程程序序員員將將代代碼碼炸炸彈彈寫寫入入軟軟件件中中，，使使其其產產生生了了一一個個不不能能輕輕易易地地找找到到的的安安全全漏漏洞洞，，一一旦旦該該代代碼碼炸炸彈彈被被觸觸發發后后，，這這個個程程序序員員便便會會被被請請回回來來修修正正這這個個錯錯誤誤，，并并賺賺一一筆筆錢錢，，這這種種高高技技術術的的敲敲詐詐的的受受害害者者甚甚至至不不知知道道他他們們被被敲敲詐詐了了，，即即便便他他們們有有疑疑心心也也無無法法證證實實自自己己的的猜猜測測。。3、特特洛洛伊伊木木馬馬特洛洛伊伊木木馬馬程程序序一一旦旦被被安安裝裝到到機機器器上上，，便便可可按按編編制制者者的的意意圖圖行行事事。。特特洛洛伊伊木木馬馬能能夠夠摧摧毀毀數數據據，，有有時時偽偽裝裝成成系系統統上上已已有有的的程程序序，，有有時時創創建建新新的的用用戶戶名名和和口口令令。。三、、網網絡絡安安全全的的攻攻防防研研究究體體系系網絡絡安安全全（（NetworkSecurity）是一一門門涉涉及及計計算算機機科科學學、、網網絡絡技技術術、、通通信信技技術術、、密密碼碼技技術術、、信信息息安安全全技技術術、、應應用用數數學學、、數數論論、、信信息息論論等等多多種種學學科科的的綜綜合合性性科科學學。。網絡絡安安全全的的攻攻防防體體系系攻擊擊技技術術如果果不不知知道道如如何何攻攻擊擊，，再再好好的的防防守守也也是是經經不不住住考考驗驗的的，，攻攻擊擊技技術術主主要要包包括括五五個個方方面面：：1、網網絡絡監監聽聽：：自自己己不不主主動動去去攻攻擊擊別別人人，，在在計計算算機機上上設設置置一一個個程程序序去去監監聽聽目目標標計計算算機機與與其其他他計計算算機機通通信信的的數數據據。。2、網網絡絡掃掃描描：：利利用用程程序序去去掃掃描描目目標標計計算算機機開開放放的的端端口口等等，，目目的的是是發發現現漏漏洞洞，，為為入入侵侵該該計計算算機機做做準準備備。。3、網網絡絡入入侵侵：：當當探探測測發發現現對對方方存存在在漏漏洞洞以以后后，，入入侵侵到到目目標標計計算算機機獲獲取取信信息息。。4、網網絡絡后后門門：：成成功功入入侵侵目目標標計計算算機機后后，，為為了了對對““戰戰利利品品””的的長長期期控控制制，，在在目目標標計計算算機機中中種種植植木木馬馬等等后后門門。。5、網網絡絡隱隱身身：：入入侵侵完完畢畢退退出出目目標標計計算算機機后后，，將將自自己己入入侵侵的的痕痕跡跡清清除除，，從從而而防防止止被被對對方方管管理理員員發發現現。。防御御技技術術防御御技技術術包包括括四四大大方方面面：：1、操操作作系系統統的的安安全全配配置置：：操操作作系系統統的的安安全全是是整整個個網網絡絡安安全全的的關關鍵鍵。。2、加加密密技技術術：：為為了了防防止止被被監監聽聽和和盜盜取取數數據據，，將將所所有有的的數數據據進進行行加加密密。。3、防防火火墻墻技技術術：：利利用用防防火火墻墻，，對對傳傳輸輸的的數數據據進進行行限限制制，，從從而而防防止止被被入入侵侵。。4、入入侵侵檢檢測測：：如如果果網網絡絡防防線線最最終終被被攻攻破破了了，，需需要要及及時時發發出出被被入入侵侵的的警警報報。。網絡安全的層層次體系從層次體系上上，可以將網網絡安全分成成四個層次上上的安全：1、物理安全；；2、邏輯安全；；3、操作系統安安全；4、聯網安全。。物理安全物理安全主要要包括五個方方面：1、防盜；2、防火；3、防靜電；4、防雷擊；5、防電磁泄漏漏。1、防盜：像其其他的物體一一樣，計算機機也是偷竊者者的目標，例例如盜走軟盤盤、主板等。。計算機偷竊竊行為所造成成的損失可能能遠遠超過計計算機本身的的價值，因此此必須采取嚴嚴格的防范措措施，以確保保計算機設備備不會丟失。。物理安全2、防火：計算算機機房發生生火災一般是是由于電氣原原因、人為事事故或外部火火災蔓延引起起的。電氣設設備和線路因因為短路、過過載、接觸不不良、絕緣層層破壞或靜電電等原因引起起電打火而導導致火災。人為事故是指指由于操作人人員不慎，吸吸煙、亂扔煙煙頭等，使存存在易燃物質質（如紙片、、磁帶、膠片片等）的機房房起火，當然然也不排除人人為故意放火火。外部火災災蔓延是因外外部房間或其其他建筑物起起火而蔓延到到機房而引起起火災。物理安全3、防靜電：靜電是由物體體間的相互摩摩擦、接觸而而產生的，計計算機顯示器器也會產生很很強的靜電。。靜電產生后，，由于未能釋釋放而保留在在物體內，會會有很高的電電位（能量不不大），從而而產生靜電放放電火花，造造成火災。還可能使大規規模集成電器器損壞，這種種損壞可能是是不知不覺造造成的。物理安全利用引雷機理理的傳統避雷雷針防雷，不不但增加雷擊擊概率，而且且產生感應雷雷，而感應雷雷是電子信息息設備被損壞壞的主要殺手手，也是易燃燃易爆品被引引燃起爆的主主要原因。雷擊防范的主主要措施是，，根據電氣、、微電子設備備的不同功能能及不同受保保護程序和所所屬保護層確確定防護要點點作分類保護護；根據雷電和操操作瞬間過電電壓危害的可可能通道從電電源線到數據據通信線路都都應做多層保保護。物理安全5、防電磁泄漏漏電子計算機和和其他電子設設備一樣，工工作時要產生生電磁發射。。電磁發射包括括輻射發射和和傳導發射。。這兩種電磁發發射可被高靈靈敏度的接收收設備接收并并進行分析、、還原，造成成計算機的信信息泄露。屏蔽是防電磁磁泄漏的有效效措施，屏蔽蔽主要有電屏屏蔽、磁屏蔽蔽和電磁屏蔽蔽三種類型。。邏輯安全計算機的邏輯輯安全需要用用口令、文件件許可等方法法來實現。可以限制登錄錄的次數或對對試探操作加加上時間限制制；可以用軟軟件來保護存存儲在計算機機文件中的信信息；限制存取的另另一種方式是是通過硬件完完成，在接收收到存取要求求后，先詢問問并校核口令令，然后訪問問列于目錄中中的授權用戶戶標志號。此外，有一些些安全軟件包包也可以跟蹤蹤可疑的、未未授權的存取取企圖，例如如，多次登錄錄或請求別人人的文件。操作系統安全全操作系統是計計算機中最基基本、最重要要的軟件。同一計算機可可以安裝幾種種不同的操作作系統。如果計算機系系統可提供給給許多人使用用，操作系統統必須能區分分用戶，以便便于防止相互互干擾。一些安全性較較高、功能較較強的操作系系統可以為計計算機的每一一位用戶分配配賬戶。通常，一個用用戶一個賬戶戶。操作系統統不允許一個個用戶修改由由另一個賬戶戶產生的數據據。聯網安全聯網的安全性性通過兩方面面的安全服務務來達到：1、訪問控制服服務：用來保保護計算機和和聯網資源不不被非授權使使用。2、通信安全服服務：用來認認證數據機要要性與完整性性，以及各通通信的可信賴賴性。四、網絡安全全制度建設目前網絡安全全方面的法規規已經寫入中中華人民共和和國憲法。于1982年8月23日寫入中華人人民共和國商商標法于1984年3月12日寫入中華人人民共和國專專利法于1988年9月５日寫入中中華人民共和和國保守國家家秘密法于1993年9月2日寫入中華人人民共和國反反不正當競爭爭法。我國立法情況況國際立法情況況美國和日本是是計算機網絡絡安全比較完完善的國家，，一些發展中中國家和第三三世界國家的的計算機網絡絡安全方面的的法規還不夠夠完善。歐洲共同體是是一個在歐洲洲范圍內具有有較強影響力力的政府間組組織。為在共同體內內正常地進行行信息市場運運做，該組織織在諸多問題題上建立了一一系列法律，，具體包括：競爭（反托拉拉斯）法；產產品責任、商商標和廣告規規定；知識產產權保護；保保護軟件、數數據和多媒體體產品及在線線版權；數據據保護；跨境境電子貿易；；稅收；司法法問題等。這這些法律若與與其成員國原原有國家法律律相矛盾，則則必須以共同同體的法律為為準。我國評價標準準在我國國根據據《計算機機信息息系統統安全全保護護等級級劃分分準則則》，1999年10月經過過國家家質量量技術術監督督局批批準發發布準準則將將計算算機安安全保保護劃劃分為為以下下五個個級別別第一級級為用用戶自自主保保護級級：它它的安安全保保護機機制使使用戶戶具備備自主主安全全保護護的能能力，，保護護用戶戶的信信息免免受非非法的的讀寫寫破壞壞。第二級級為系系統審審計保保護級級：除除具備備第一一級所所有的的安全全保護護功能能外，，要求求創建建和維維護訪訪問的的審計計跟蹤蹤記錄錄，使使所有有的用用戶對對自己己的行行為的的合法法性負負責。。第三級級為安安全標標記保保護級級：除除繼承承前一一個級級別的的安全全功能能外，，還要要求以以訪問問對象象標記記的安安全級級別限限制訪訪問者者的訪訪問權權限，，實現現對訪訪問對對象的的強制制保護護。第四級級為結結構化化保護護級：：在繼繼承前前面安安全級級別安安全功功能的的基礎礎上，，將安安全保保護機機制劃劃分為為關鍵鍵部分分和非非關鍵鍵部分分，對對關鍵鍵部分分直接接控制制訪問問者對對訪問問對象象的存存取，，從而而加強強系統統的抗抗滲透透能力力第五級級為訪訪問驗驗證保保護級級：這這一個個級別別特別別增設設了訪訪問驗驗證功功能，，負責責仲裁裁訪問問者對對訪問問對象象的所所有訪訪問活活動。。國際評評價標標準根據美美國國國防部部開發發的計計算機機安全全標準準——可信任任計算算機標標準評評價準準則（（TrustedComputerStandardsEvaluationCriteria：TCSEC），也也就是是網絡絡安全全橙皮皮書，，一些些計算算機安安全級級別被被用來來評價價一個個計算算機系系統的的安全全性。。自從1985年橙皮皮書成成為美美國國國防部部的標標準以以來，，就一一直沒沒有改改變過過，多多年以以來一一直是是評估估多用用戶主主機和和小型型操作作系統統的主主要方方法。。其他子子系統統（如如數據據庫和和網絡絡）也也一直直用橙橙皮書書來解解釋評評估。。橙皮皮書把把安全全的級級別從從低到到高分分成4個類別別：D類、C類、B類和A類，每每類又又分幾幾個級級別，，安全級級別類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗滲透能力B3安全區域存取監控、高抗滲透能力AA驗證設計形式化的最高級描述和驗證安全級級別D級是最最低的的安全全級別別，擁擁有這這個級級別的的操作作系統統就像像一個個門戶戶大開開的房房子，，任何何人都都可以以自由由進出出，是是完全全不可可信任任的。。對于硬硬件來來說，，是沒沒有任任何保保護措措施的的，操操作系系統容容易受受到損損害，，沒有有系統統訪問問限制制和數數據訪訪問限限制，，任何何人不不需任任何賬賬戶都都可以以進入入系統統，不不受任任何限限制可可以訪訪問他他人的的數據據文件件。屬于這這個級級別的的操作作系統統有：：DOS和Windows98等。安全級級別C1是C類的一一個安安全子子級。。C1又稱選選擇性性安全全保護護（DiscretionarySecurityProtection）系統統，它它描述述了一一個典典型的的用在在Unix系統上上安全全級別別這種級級別的的系統統對硬硬件又又有某某種程程度的的保護護，如如用戶戶擁有有注冊冊賬號號和口口令，，系統統通過過賬號號和口口令來來識別別用戶戶是否否合法法，并并決定定用戶戶對程程序和和信息息擁有有什么么樣的的訪問問權，，但硬硬件受受到損損害的的可能能性仍仍然存存在。。用戶擁擁有的的訪問問權是是指對對文件件和目目標的的訪問問權。。文件件的擁擁有者者和超超級用用戶可可以改改變文文件的的訪問問屬性性，從從而對對不同同的用用戶授授予不不通的的訪問問權限限。安全級級別使用附附加身身份驗驗證就就可以以讓一一個C2級系統統用戶戶在不不是超超級用用戶的的情況況下有有權執執行系系統管管理任任務。。授權權分級級使系系統管管理員員能夠夠給用用戶分分組，，授予予他們們訪問問某些些程序序的權權限或或訪問問特定定的目目錄。。能夠達達到C2級別的的常見見操作作系統統有：：（1）、Unix系統（2）、Novell3.X或者更高高版本（3）、WindowsNT、Windows2000和Windows2003安全級別別B級中有三三個級別別，B1級即標志志安全保保護（LabeledSecurityProtection），是支支持多級級安全（（例如：：秘密和和絕密））的第一一個級別別，這個個級別說說明處于于強制性性訪問控控制之下下的對象象，系統統不允許許文件的的擁有者者改變其其許可權權限。安全級別別存在保保密、絕絕密級別別，這種種安全級級別的計計算機系系統一般般在政府府機構中中，比如如國防部部和國家家安全局局的計算算機系統統。安全級別別B2級，又叫叫結構保保護級別別（StructuredProtection），它要要求計算算機系統統中所有有的對象象都要加加上標簽簽，而且且給設備備（磁盤盤、磁帶帶和終端端）分配配單個或或者多個個安全級級別。B3級，又叫叫做安全全域級別別（SecurityDomain），使用用安裝硬硬件的方方式來加加強域的的安全，，例如，，內存管管理硬件件用于保保護安全全域免遭遭無授權權訪問或或更改其其他安全全域的對對象。該該級別也也要求用用戶通過過一條可可信任途途徑連接接到系統統上。安全級別別A級，又稱稱驗證設設計級別別（VerifiedDesign），是當當前橙皮皮書的最最高級別別，它包包含了一一個嚴格格的設計計、控制制和驗證證過程。。該級別別包含了了較低級級別的所所有的安安全特性性設計必須須從數學學角度上上進行驗驗證，而而且必須須進行秘秘密通道道和可信信任分布布分析。。可信任任分布（（TrustedDistribution）的含義義是：硬硬件和軟軟件在物物理傳輸輸過程中中已經受受到保護護，以防防止破壞壞安全系系統。橙皮書也也存在不不足。TCSEC是針對孤孤立計算算機系統統，特別別是小型型機和主主機系統統。假設設有一定定的物理理保障，，該標準準適合政政府和軍軍隊，不不適合企企業，這這個模型型是靜態態的。五、WINDOWS操作系統統安全WindowsNT（NewTechnology）是微軟軟公司第第一個真真正意義義上的網網絡操作作系統，，發展經經過NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多多版本，，并逐步步占據了了廣大的的中小網網絡操作作系統的的市場。。WindowsNT眾多版本本的操作作系統使使用了與與Windows9X完全一致致的用戶戶界面和和完全相相同的操操作方法法，使用用戶使用用起來比比較方便便。與Windows9X相比，WindowsNT的網絡功功能更加加強大并并且安全全。安全配置置方案初初級篇安全配置置方案初初級篇主主要介紹紹常規的的操作系系統安全全配置，，包括十十二條基基本配置置原則：：物理安全全、停止止Guest帳號、限限制用戶戶數量創建多個個管理員員帳號、、管理員員帳號改改名陷阱帳號號、更改改默認權權限、設設置安全全密碼屏幕保護護密碼、、使用NTFS分區運行防毒毒軟件和和確保備備份盤安安全。1、物理理安全服務器應應該安放放在安裝裝了監視視器的隔隔離房間間內，并并且監視視器要保保留15天以上上的攝像像記錄。。另外，機機箱，鍵鍵盤，電電腦桌抽抽屜要上上鎖，以以確保旁旁人即使使進入房房間也無無法使用用電腦，，鑰匙要要放在安安全的地地方。2、停止止Guest帳帳號在計算機機管理的的用戶里里面把Guest帳號停用用，任何何時候都都不允許許Guest帳號登陸陸系統。。為了保險險起見，，最好給給Guest加一個復復雜的密密碼，可可以打開開記事本本，在里里面輸入入一串包包含特殊殊字符,數字，字字母的長長字符串串。用它作為為Guest帳號的密密碼。并并且修改改Guest帳號的屬屬性，設設置拒絕絕遠程訪訪問，如如圖7-1所示。3限制制用戶數數量去掉所有有的測試試帳戶、、共享帳帳號和普普通部門門帳號等等等。用用戶組策策略設置置相應權權限，并并且經常常檢查系系統的帳帳戶，刪刪除已經經不使用用的帳戶戶。帳戶很多多是黑客客們入侵侵系統的的突破口口，系統統的帳戶戶越多，，黑客們們得到合合法用戶戶的權限限可能性性一般也也就越大大。對于WindowsNT/2000主機，如如果系統統帳戶超超過10個，一般般能找出出一兩個個弱口令令帳戶，，所以帳帳戶數量量不要大大于10個。4多個個管理員員帳號雖然這點點看上去去和上面面有些矛矛盾，但但事實上上是服從從上面規規則的。。創建一一個一般般用戶權權限帳號號用來處處理電子子郵件以以及處理理一些日日常事物物，另一一個擁有有Administrator權限的帳帳戶只在在需要的的時候使使用。因為只要要登錄系系統以后后，密碼碼就存儲儲再WinLogon進程中，，當有其其他用戶戶入侵計計算機的的時候就就可以得得到登錄錄用戶的的密碼，，盡量減減少Administrator登錄的次次數和時時間。5管理理員帳號號改名Windows2000中的Administrator帳號是不不能被停停用的，，這意味味著別人人可以一一遍又一一邊的嘗嘗試這個個帳戶的的密碼。。把Administrator帳戶改名名可以有有效的防防止這一一點。不要使用用Admin之類的名名字，改改了等于于沒改，，盡量把把它偽裝裝成普通通用戶，，比如改改成：guestone。具體操操作的時時候只要要選中帳帳戶名改改名就可可以了，，如圖7-2所示。6陷阱阱帳號所謂的陷陷阱帳號號是創建建一個名名為“Administrator”的本地帳帳戶，把把它的權權限設置置成最低低，什么么事也干干不了的的那種，，并且加加上一個個超過10位的超級復復雜密碼。。這樣可以讓讓那些企圖圖入侵者忙忙上一段時時間了，并并且可以借借此發現它它們的入侵侵企圖?？煽梢詫⒃撚糜脩綦`屬的的組修改成成Guests組，如圖7-3所示。7更改默默認權限共享文件的的權限從““Everyone””組改成“授授權用戶””?！癊veryone””在Windows2000中意味著任任何有權進進入你的網網絡的用戶戶都能夠獲獲得這些共共享資料。。任何時候不不要把共享享文件的用用戶設置成成“Everyone””組。包括打打印共享，，默認的屬屬性就是““Everyone””組的，一定定不要忘了了改。設置置某文件夾夾共享默認認設置如圖圖7-4所示。8安全密碼碼好的密碼對對于一個網網絡是非常常重要的，，但是也是是最容易被被忽略的。。一些網絡管管理員創建建帳號的時時候往往用用公司名，，計算機名名，或者一一些別的一一猜就到的的字符做用用戶名，然然后又把這這些帳戶的的密碼設置置得比較簡簡單，比如如：“welcome”、“iloveyou””、“letmein”或者和用戶戶名相同的的密碼等。。這樣的帳帳戶應該要要求用戶首首此登陸的的時候更改改成復雜的的密碼，還還要注意經經常更改密密碼。這里給好密密碼下了個個定義：安安全期內無無法破解出出來的密碼碼就是好密密碼，也就就是說，如如果得到了了密碼文檔檔，必須花花43天或者更長長的時間才才能破解出出來，密碼碼策略是42天必須改密密碼。9屏幕保護護密碼設置屏幕保保護密碼是是防止內部部人員破壞壞服務器的的一個屏障障。注意不不要使用OpenGL和一些復雜雜的屏幕保保護程序，，浪費系統統資源，黑黑屏就可以以了。還有一點，，所有系統統用戶所使使用的機器器也最好加加上屏幕保保護密碼。。將屏幕保護護的選項““密碼保護護”選中就就可以了，，并將等待待時間設置置為最短時時間“1秒”，如圖圖7-5所示。10NTFS分區區把服務器的的所有分區區都改成NTFS格格式。NTFS文件件系統要比比FAT、、FAT32的文件件系統安全全得多。11防毒軟軟件Windows2000/NT服務器一般般都沒有安安裝防毒軟軟件的，一一些好的殺殺毒軟件不不僅能殺掉掉一些著名名的病毒，，還能查殺殺大量木馬馬和后門程程序。設置了放毒毒軟件，““黑客”們們使用的那那些有名的的木馬就毫毫無用武之之地了，并并且要經常常升級病毒毒庫。12備份盤盤的安全一旦系統資資料被黑客客破壞，備備份盤將是是恢復資料料的唯一途途徑。備份份完資料后后，把備份份盤防在安安全的地方方。不能把資料料備份在同同一臺服務務器上，這這樣的話還還不如不要要備份。安全配置方方案中級篇篇安全配置方方案中級篇篇主要介紹紹操作系統統的安全策策略配置，，包括十條條基本配置置原則：操作系統安安全策略、、關閉不必必要的服務務關閉不必要要的端口、、開啟審核核策略開啟密碼策策略、開啟啟帳戶策略略、備份敏敏感文件不顯示上次次登陸名、、禁止建立立空連接和和下載最新新的補丁1操作系系統安全策策略利用Windows2000的安全配置置工具來配配置安全策策略，微軟軟提供了一一套的基于于管理控制制臺的安全全配置和分分析工具，，可以配置置服務器的的安全策略略。在管理工具具中可以找找到“本地地安全策略略”，主界界面如圖7-6所示?？梢耘渲盟乃念惏踩卟呗裕簬魬舨呗?、本本地策略、、公鑰策略略和IP安全策略。。在默認的的情況下，，這些策略略都是沒有有開啟的。。2關閉不不必要的服服務Windows2000的TerminalServices（終端服務務）和IIS（Internet信息服務））等都可能能給系統帶帶來安全漏漏洞。為了能夠在在遠程方便便的管理服服務器，很很多機器的的終端服務務都是開著著的，如果果開了，要要確認已經經正確的配配置了終端端服務。有些惡意的的程序也能能以服務方方式悄悄的的運行服務務器上的終終端服務。。要留意服服務器上開開啟的所有有服務并每每天檢查。。Windows2000作為服務器器可禁用的的服務及其其相關說明明如表7-1所示。Windows2000可禁禁用的服務務服務名說明ComputerBrowser維護網絡上計算機的最新列表以及提供這個列表Taskscheduler允許程序在指定時間運行RoutingandRemoteAccess在局域網以及廣域網環境中為企業提供路由服務Removablestorage管理可移動媒體、驅動程序和庫RemoteRegistryService允許遠程注冊表操作PrintSpooler將文件加載到內存中以便以后打印。要用打印機的用戶不能禁用這項服務IPSECPolicyAgent管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序DistributedLinkTrackingClient當文件在網絡域的NTFS卷中移動時發送通知Com+EventSystem提供事件的自動發布到訂閱COM組件3關閉不不必要的端端口關閉端口意意味著減少少功能，如如果服務器器安裝在防防火墻的后后面，被入入侵的機會會就會少一一些，但是是不可以認認為高枕無無憂了。用端口掃描描器掃描系系統所開放放的端口，，在Winnt\system32\drivers\etc\services文件中有知知名端口和和服務的對對照表可供供參考。該該文件用記記事本打開開如圖7-7所示。設置本機開開放的端口口和服務，，在IP地址設置窗窗口中點擊擊按鈕“高高級”，如如圖7-8所示。在出現的對對話框中選選擇選項卡卡“選項””，選中““TCP/IP篩選”，點點擊按鈕““屬性”，，如圖7-9所示。設置端口界界面如圖7-10所示。一臺Web服務器只允允許TCP的80端口通過就就可以了。。TCP/IP篩選器是Windows自帶的防火火墻，功能能比較強大大，可以替替代防火墻墻的部分功功能。4開啟審審核策略安全審核是是Windows2000最基本的入入侵檢測方方法。當有有人嘗試對對系統進行行某種方式式（如嘗試試用戶密碼碼，改變帳帳戶策略和和未經許可可的文件訪訪問等等））入侵的時時候，都會會被安全審審核記錄下下來。很多的管理理員在系統統被入侵了了幾個月都都不知道，，直到系統統遭到破壞壞。表7-2的這些審核核是必須開開啟的，其其他的可以以根據需要要增加。策略設置審核系統登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改成功，失敗審核特權使用成功，失敗審核系統事件成功，失敗審核策略默默認設置審核策略在在默認的情情況下都是是沒有開啟啟的，如圖圖7-11所示。雙擊審核列列表的某一一項，出現現設置對話話框，將復復選框“成成功”和““失敗”都都選中，如如圖7-12所示。5開啟密密碼策略密碼對系統統安全非常常重要。本本地安全設設置中的密密碼策略在在默認的情情況下都沒沒有開啟。。需要開啟啟的密碼策策略如表7-3所示策略設置密碼復雜性要求啟用密碼長度最小值6位密碼最長存留期15天強制密碼歷史5個設置選項如如圖7-13所示。。6開啟帳帳戶策略開啟帳戶策策略可以有有效的防止止字典式攻攻擊，設置置如表7-4所示。策略設置復位帳戶鎖定計數器30分鐘帳戶鎖定時間30分鐘帳戶鎖定閾值5次設置帳戶策策略設置的結果果如圖7-14所示示。7備份敏敏感文件把敏感文件件存放在另另外的文件件服務器中中，雖然服服務器的硬硬盤容量都都很大，但但是還是應應該考慮把把一些重要要的用戶數數據（文件件，數據表表和項目文文件等）存存放在另外外一個安全全的服務器器中，并且且經常備份份它們8不顯示示上次登錄錄名默認情況下下，終端服服務接入服服務器時，，登陸對話話框中會顯顯示上次登登陸的帳戶戶名，本地地的登陸對對話框也是是一樣。黑黑客們可以以得到系統統的一些用用戶名，進進而做密碼碼猜測。修改注冊表表禁止顯示示上次登錄錄名，在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改改成1，如圖7-15所示。9禁止建建立空連接接默認情況下下，任何用用戶通過空空連接連上上服務器，，進而可以以枚舉出帳帳號，猜測測密碼。可以通過修修改注冊表表來禁止建建立空連接接。在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改改成“1”即可。如圖圖7-16所示。10下載載最新的補補丁很多網絡管管理員沒有有訪問安全全站點的習習慣，以至至于一些漏漏洞都出了了很久了，，還放著服服務器的漏漏洞不補給給人家當靶靶子用。誰也不敢保保證數百萬萬行以上代代碼的Windows2000不出一點安安全漏洞。。經常訪問微微軟和一些些安全站點點，下載最最新的ServicePack和漏洞補丁丁，是保障障服務器長長久安全的的唯一方法法。安全配置方方案高級篇篇高級篇介紹紹操作系統統安全信息息通信配置置，包括十十四條配置置原則：關閉DirectDraw、關閉默認認共享禁用DumpFile、文件加密密系統加密Temp文件夾、鎖鎖住注冊表表、關機時時清除文件件禁止軟盤光光盤啟動、、使用智能能卡、使用用IPSec禁止判斷主主機類型、、抵抗DDOS禁止Guest訪問日志和和數據恢復復軟件1關閉DirectDrawC2級安全標準準對視頻卡卡和內存有有要求。關關閉DirectDraw可能對一些些需要用到到DirectX的程序有影影響（比如如游戲），，但是對于于絕大多數數的商業站站點都是沒沒有影響的的。在HKEY_LOCAL_MACHINE主鍵下修改改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將將鍵鍵值值改改為為““0””即可可，，如如圖圖7-17所示示。。2關關閉閉默默認認共共享享Windows2000安裝裝以以后后，，系系統統會會創創建建一一些些隱隱藏藏的的共共享享，，可可以以在在DOS提示示符符下下輸輸入入命命令令NetShare查看看，，如如圖圖7-18所示示。。停止止默默認認共共享享禁止止這這些些共共享享，，打打開開管管理理工工具具>計算算機機管管理理>共享享文文件件夾夾>共享享，，在在相相應應的的共共享享文文件件夾夾上上按按右右鍵鍵，，點點停停止止共共享享即即可可，，如如圖圖7-19所示示。。3禁禁用用Dump文文件件在系系統統崩崩潰潰和和藍藍屏屏的的時時候候，，Dump文件件是是一一份份很很有有用用資資料料，，可可以以幫幫助助查查找找問問題題。。然然而而，，也也能能夠夠給給黑黑客客提提供供一一些些敏敏感感信信息息，，比比如如一一些些應應用用程程序序的的密密碼碼等等需要要禁禁止止它它，，打打開開控控制制面面板板>系統統屬屬性性>高級級>啟動動和和故故障障恢恢復復，，把把寫寫入入調調試試信信息息改改成成無無，，如如圖圖7-20所示示。。4文文件件加加密密系系統統Windows2000強大大的的加加密密系系統統能能夠夠給給磁磁盤盤，，文文件件夾夾，，文文件件加加上上一一層層安安全全保保護護。。這這樣樣可可以以防防止止別別人人把把你你的的硬硬盤盤掛掛到到別別的的機機器器上上以以讀讀出出里里面面的的數數據據。。微軟軟公公司司為為了了彌彌補補WindowsNT4.0的不不足足，，在在Windows2000中，，提提供供了了一一種種基基于于新新一一代代NTFS：NTFSV5（第第5版本本））的的加加密密文文件件系系統統（（EncryptedFileSystem，簡簡稱稱EFS）。。EFS實現現的的是是一一種種基基于于公公共共密密鑰鑰的的數數據據加加密密方方式式，，利利用用了了Windows2000中的的CryptoAPI結構構。。5加加密密Temp文文件件夾夾一些些應應用用程程序序在在安安裝裝和和升升級級的的時時候候，，會會把把一一些些東東西西拷拷貝貝到到Temp文件件夾夾，，但但是是當當程程序序升升級級完完畢畢或或關關閉閉的的時時候候，，并并不不會會自自己己清清除除Temp文件夾的的內容。。所以，給給Temp文件夾加加密可以以給你的的文件多多一層保保護。6鎖住住注冊表表在Windows2000中，只有有Administrators和BackupOperators才有從網網絡上訪訪問注冊冊表的權權限。當當帳號的的密碼泄泄漏以后后，黑客客也可以以在遠程程訪問注注冊表，，當服務務器放到到網絡上上的時候候，一般般需要鎖鎖定注冊冊表。修修改Hkey_current_user下的子鍵鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為為0，類型為為DWORD，如圖7-21所示。7關機機時清除除文件頁面文件件也就是是調度文文件，是是Windows2000用來存儲儲沒有裝裝入內存存的程序序和數據據文件部部分的隱隱藏文件件。一些第三三方的程程序可以以把一些些沒有的的加密的的密碼存存在內存存中，頁頁面文件件中可能能含有另另外一些些敏感的的資料。。要在關關機的時時候清楚楚頁面文文件，可可以編輯輯注冊表表修改改主鍵HKEY_LOCAL_MACHINE下的子鍵鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設置置成1，如圖7-22所示。8禁止止軟盤光光盤啟動動一些第三三方的工工具能通通過引導導系統來來繞過原原有的安安全機制制。比如如一些管管理員工工具，從從軟盤上上或者光光盤上引引導系統統以后，，就可以以修改硬硬盤上操操作系統統的管理理員密碼碼。如果服務務器對安安全要求求非常高高，可以以考慮使使用可移移動軟盤盤和光驅驅，把機機箱鎖起起來仍然然不失為為一個好好方法。。9使用用智能卡卡對于密碼碼，總是是使安全全管理員員進退兩兩難，容容易受到到一些工工具的攻攻擊，如如果密碼碼太復雜雜，用戶戶把為了了記住密密碼，會會把密碼碼到處亂亂寫。如果條條件允允許，，用智智能卡卡來代代替復復雜的的密碼碼是一一個很很好的的解決決方法法。10使使用用IPSec正如其其名字字的含含義，，IPSec提供IP數據包包的安安全性性。IPSec提供身身份驗驗證、、完整整性和和可選選擇的的機密密性。。發送送方計計算機機在傳傳輸之之前加加密數數據，，而接接收方方計算算機在在收到到數據據之后后解密密數據據。利用IPSec可以使使得系系統的的安全全性能能大大大增強強。11禁禁止止判斷斷主機機類型型黑客利利用TTL（Time-To-Live，活動動時間間）值值可以以鑒別別操作作系統統的類類型，，通過過Ping指令能能判斷斷目標標主機機類型型。Ping的用處處是檢檢測目目標主主機是是否連連通。。許多入入侵者者首先先會Ping一下主主機，，因為為攻擊擊某一一臺計計算機機需要要根據據對方方的操操作系系統，，是Windows還是Unix。如過過TTL值為128就可以以認為為你的的系統統為Windows2000，如圖圖7-23所示。。從圖中中可以以看出出，TTL值為128，說明明改主主機的的操作作系統統是Windows2000操作系系統。。表7-6給出了了一些些常見見操作作系統統的對對照值值。操作系統類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，，入侵侵者就就無法法入侵侵電腦腦了。。比如如將操操作系系統的的TTL值改為為111，修改改主鍵鍵HKEY_LOCAL_MACHINE的子鍵鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一一個雙雙字節節項，，如圖圖7-24所示。。在鍵的的名稱稱中輸輸入““defaultTTL””，然后后雙擊擊改鍵鍵名，，選擇擇單選選框““十進進制””，在在文本本框中中輸入入111，如圖圖7-25所示。。設置完完畢重新啟啟動計計算機機，再用用Ping指令，，發現現TTL的值已已經被被改成成111了，如如圖7-26所示。。12抵抵抗抗DDOS添加注注冊表表的一一些鍵鍵值，，可以以有效效的抵抵抗DDOS的攻擊擊。在在鍵值值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加加響應應的鍵鍵及其其說明明如表表7-7所示。。增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協議"EnableDeadGWDetect"=dword:00000000禁止死網關監測技術"IPEnableRouter"=dword:00000001支持路由功能13禁禁止止Guest訪訪問日日志在默認認安裝裝的WindowsNT和Windows2000中，Guest帳號和和匿名名用戶戶可以以查看看系統統的事事件日日志，，可能能導致致許多多重要要信息息的泄泄漏，，修改改注冊冊表來來禁止止Guest訪問事事件日日志。。禁止Guest