【正文】 另外，策略的書寫者應(yīng)當(dāng)了解哪些安全技術(shù)能被用來(lái)進(jìn)行信息安全培訓(xùn)。正如其它的企業(yè)程序一樣，如果一個(gè)安全程序成功了，管理層可以對(duì)其進(jìn)行推廣，前提是要有個(gè)人案例證明其有效性。 威脅總是存在，安全提示最好也總是存在。” 把安全知識(shí)作為員工財(cái)政報(bào)告和年度評(píng)價(jià)的標(biāo)準(zhǔn)內(nèi)容。 發(fā)送 提示。 張貼當(dāng)月的安全員工照片。除了使用所有傳統(tǒng)的頻道之外，還要加上許多能夠想到的非傳統(tǒng)方式，就像傳統(tǒng)的廣告一 樣，幽默、靈活地提供幫助。為了不讓員工忘 記如何防范社會(huì)工程學(xué)攻擊，持續(xù)的培訓(xùn)程序非常重要。 你的公司可能會(huì)考慮提供一張證書作為獎(jiǎng)勵(lì)證明員工完成了安全培訓(xùn)。 同樣，如果公司計(jì)劃使用滲透測(cè)試來(lái)確定針對(duì)社會(huì)工程學(xué)攻擊的安全措施是否有效，應(yīng)當(dāng)警告員工注意這次練習(xí)，讓員工們知道有時(shí)候他們會(huì)接到使用了攻擊技術(shù)的電話或其它通訊，作為測(cè)試的一部分。 在遇到未佩戴證件的人時(shí)，有詢問質(zhì)疑的責(zé)任。攻擊者為了達(dá)到他（或她）的目標(biāo)，會(huì)非常頻繁地使用不同的技術(shù)和通信方式，因此，一個(gè)成熟的培訓(xùn)程序應(yīng)當(dāng)包括以下內(nèi)容的一部分或全部： 涉及到計(jì)算機(jī)和語(yǔ)音信箱密 碼的安全策略。 關(guān)鍵安全策略與它們的含義匯總。 質(zhì)疑提出可疑請(qǐng)求的人的重要性，不管他聲稱自己是何職位。 社會(huì)工程師實(shí)現(xiàn)他們目標(biāo)的方法。只要員工簡(jiǎn)單地進(jìn)行以下兩個(gè)步驟，就可以防范幾乎所有的這些攻擊： 核實(shí)請(qǐng)求者的身份：進(jìn)行請(qǐng)求的這個(gè)人是他所聲稱的那個(gè)人嗎？ 核實(shí)請(qǐng)求者是否已授權(quán)：這個(gè)人需要知道這些嗎？他有沒有被授權(quán)進(jìn)行這種請(qǐng)求？ 注釋： 因?yàn)榘踩R(shí)與培訓(xùn)是不完美的，所以最好在創(chuàng)建防御體系時(shí)深入地使用安全技術(shù)。 在企業(yè)內(nèi)部更換了工作崗位，涉及到訪問敏感信息或計(jì)算機(jī)系統(tǒng)的員工同樣需要完成他們新工作的安全培訓(xùn)程序。威脅的種類與攻擊的方法都在不停地變換，所以課程的內(nèi)容應(yīng)當(dāng)不斷更新，此外，人們的知識(shí)和戒心會(huì)隨著時(shí)間的推移而減少，所以培訓(xùn)必須每隔一段時(shí)間重復(fù)一次，才能不斷地加強(qiáng)員工的安全意識(shí)。 這些課程的重點(diǎn)應(yīng)當(dāng)是讓員工認(rèn)識(shí)到自己和公司都有可能 遭受攻擊，除非所有員工都有很好的安全習(xí)慣。 信息安全知識(shí)與培訓(xùn)的目標(biāo)應(yīng)當(dāng)包括一次迷人的交互式體驗(yàn)，可以通過角色扮演演示社會(huì)工程學(xué)攻擊，評(píng)價(jià)最近媒體對(duì)那些不幸的公司的攻擊報(bào)導(dǎo)，討論這些公司怎樣 才能避免損失，或者播放既生動(dòng)又有教育性的安全視頻，有幾家安全公司銷售這些視頻和相關(guān)的資料。 因?yàn)楣镜纳虡I(yè)安全警衛(wèi)通常并不精通電腦，并且，他們 接觸公司電腦的幾率很小，所以在設(shè)計(jì)培訓(xùn)程序時(shí)通常不會(huì)考慮他們。 員工們必須認(rèn)識(shí)到來(lái)自社會(huì)工程學(xué)的威脅是真實(shí)的，敏感企業(yè)信息的損失會(huì)危及到公司和他們自己的個(gè)人信息。 安全培訓(xùn)必須要有一個(gè)深入的、較大的目標(biāo)，而不是簡(jiǎn)單地制定規(guī)則。 目標(biāo) 發(fā)展信息安全知識(shí)與培訓(xùn)程序的基本原則是讓所有員工意識(shí)到他們的公司在任何時(shí)候都有可能遭受攻擊。 任何安全識(shí)別程序的首要目標(biāo)都是影響人們改變他們的行為和態(tài)度，鼓勵(lì)員工參與到企業(yè)信息資產(chǎn)的保護(hù)中來(lái)。 權(quán)威 愛好 報(bào)答 守信 社會(huì)認(rèn)可 短缺 創(chuàng)建培訓(xùn)程序 發(fā)行一本安全策略手冊(cè)或者讓員工關(guān)注企業(yè)內(nèi)網(wǎng)上的安全策略資料，這些都不會(huì)單獨(dú)減少你面對(duì)的威脅。 安全培訓(xùn)也意味著讓企業(yè)的所有員工了解公司的安全策略與程序，策略是指導(dǎo)員工行為保護(hù)企業(yè)信息系統(tǒng)與敏感信息所必須的規(guī)則。 只有一種方法能讓你的產(chǎn)品計(jì)劃安全，那就是接受過安全培訓(xùn)的負(fù)責(zé)任的員工。 2．確定網(wǎng)絡(luò)安全目標(biāo) 對(duì)于網(wǎng)絡(luò)的建設(shè)者和運(yùn)行者來(lái)說，實(shí)現(xiàn)網(wǎng)絡(luò)安全的第一要?jiǎng)?wù)是必須明確本網(wǎng)絡(luò)的業(yè)務(wù)定位、所提供的服務(wù)類型和提供服務(wù)的對(duì)象。 4． Ipconfig命令的使用 Ipconfig 實(shí)用程序和它的等價(jià)圖形用戶界面 ——Windows 95/98 中的winipcfg，可用于顯示當(dāng)前的 TCP/IP 配置的設(shè)置值。通常用 ping測(cè)試本地計(jì)算機(jī)不能和網(wǎng)絡(luò)主機(jī)之間通信的問題。常用的工業(yè)測(cè)試儀包括萬(wàn)用表、電力質(zhì)量分析儀、萬(wàn)用表溫度計(jì)、功率諧波分析儀等設(shè)備。 1. 線纜測(cè)試儀 網(wǎng)絡(luò)線纜測(cè)試儀主要用于測(cè)試網(wǎng)絡(luò)物理線路的連通性、線路故障的類型、線路故障的發(fā)生地點(diǎn)、線路的物理參數(shù)和質(zhì)量等。 以上幾種方法，在實(shí)際運(yùn)用中，有時(shí)是交替使用的，目的是為了迅速準(zhǔn)確地找出故障點(diǎn) 網(wǎng)絡(luò)維護(hù)的一般步驟： （ 1）識(shí)別故障現(xiàn)象，對(duì)故障現(xiàn)象進(jìn)行描述。 排除法 在采用排除法時(shí)一般需要遵守以下原則： （ 1）在對(duì)設(shè)備更改配置之前，應(yīng)該對(duì)原來(lái)的配置做好記錄，以確保可以將設(shè)備恢復(fù)到原始狀態(tài) 。 硬件替換法 在采用硬件替換法的時(shí)候，需要遵守以下原則： （ 1）故障定位所涉及的設(shè)備數(shù)量不能太多。如何在網(wǎng)絡(luò)出現(xiàn)故障時(shí)及時(shí)對(duì)出現(xiàn)故障的網(wǎng)絡(luò)進(jìn)行維護(hù)，以最快的速度恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行，所以，掌握一套行之有效的網(wǎng)絡(luò)維護(hù)理論、方法和技術(shù)是至關(guān)重要的。 目前 VPN 主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是： （ 1）隧道技術(shù)（ Tunneling）、 （ 2）加解密技術(shù)（ Encryption amp。 而基于主機(jī)的 IDS 無(wú)法看到負(fù)載，因此也無(wú)法識(shí)別嵌入式的負(fù)載攻擊。 以上兩種實(shí)現(xiàn)方式的集成化是 IDS 的發(fā)展趨勢(shì)。 （ 2）近實(shí)時(shí)的檢測(cè)和應(yīng)答。 基 于主機(jī)的 IDS 一般監(jiān)視 Windows NT 上的系統(tǒng)、事件、安全日志以及 UNIX 環(huán)境中的 syslog 文件。從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低。一旦檢測(cè)到攻擊， IDS 應(yīng)答模塊通過通知、報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊做出反應(yīng)。這種檢測(cè)方式的核心在 于如何定義所謂的 “ 正常 ” 情況。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，而且知識(shí)庫(kù)必須不斷更新。許多情況下，可以與防火墻聯(lián)動(dòng)，可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。 （ 1）防火墻自身是否安全 （ 2）系統(tǒng)是否穩(wěn)定 （ 3）是否高效 （ 4）是否可靠 （ 5）功能是否靈活 （ 6）配置是否方便 （ 7）管理是否簡(jiǎn)便 （ 8）是否可以抵抗拒絕服 務(wù)攻擊 （ 9）是否可以針對(duì)用戶身份進(jìn)行過濾 （ 10）是否具有可擴(kuò)展、可升級(jí)性 部署 IDS IDS的概念 ? 對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視 ? 發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果 ? 保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ? 是防火墻的合理補(bǔ)充 ? 第二道安全閘門 入侵檢測(cè)系統(tǒng)： Intrusion Detection System, 簡(jiǎn)稱 IDS。而軟件防火墻一般是基于某個(gè)操作系統(tǒng)平臺(tái)開發(fā)的，直接在計(jì)算機(jī)上進(jìn) 行軟件的安裝和配置。 防火墻的選購(gòu) 目前國(guó)內(nèi)外防火墻產(chǎn)品品種繁多、特點(diǎn)各異，有硬件的防火墻，也有軟件防火墻。 目前業(yè)界很多優(yōu)秀的防火墻 產(chǎn)品采用了狀態(tài)檢測(cè)型的體系結(jié)構(gòu)，比如 Check Point 的 Firewall1， Cisco的 PIX防火墻， NetScreen防火墻等等。因而提供了更完整的對(duì)傳輸層的控制能力。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略要求。 單純簡(jiǎn)單包過濾的產(chǎn)品由于其保護(hù)的不完善，在 1999年以前國(guó)外的網(wǎng)絡(luò)防火墻市場(chǎng)上就已經(jīng)不存在了。 防火墻的主要功能 1．防火墻是網(wǎng)絡(luò)安全的屏障 2．防火墻能控制對(duì)特殊站點(diǎn)的訪問 3．對(duì)網(wǎng)絡(luò)存取訪問進(jìn)行 記錄和統(tǒng)計(jì) 路由器 Inter 防火墻 交換機(jī) 用戶 內(nèi)部網(wǎng) 外部網(wǎng) 網(wǎng)絡(luò)管理平臺(tái) 內(nèi)網(wǎng)服務(wù)器群 外網(wǎng)服務(wù)器群 4．防止內(nèi)部網(wǎng)絡(luò)信息的外泄 5．地址轉(zhuǎn)換 (NAT) 防火墻技術(shù) 目前在實(shí)際應(yīng)用中所使用的防火墻產(chǎn)品有很多 ,但從其采用的技術(shù)來(lái)看主要包括兩類 :包過濾技術(shù)和應(yīng)用代理技術(shù) ,實(shí)際的防火墻產(chǎn)品往往由這兩種技術(shù)的演變擴(kuò)充或復(fù)合而形成的。 1． 通過獲取口令，進(jìn)行口令入侵 2．放置特洛伊木馬程序進(jìn)行攻擊 3．拒絕服務(wù)攻擊 4．電子郵件攻擊 5．采取欺騙技術(shù)進(jìn)行攻擊 6．尋找系統(tǒng)漏洞，入侵系統(tǒng) 7．利用緩沖區(qū)溢出攻擊系統(tǒng) 網(wǎng)絡(luò)安全解決方案 路由器安全管理 針對(duì)路由器攻擊類型 ? 直接侵入到系統(tǒng)內(nèi)部 ? 遠(yuǎn)程攻擊使路由器崩潰 或是運(yùn)行效率顯著下降 路由器支持的配置方式 ? TELNET ? TFTP ? FTP ? HTTP ? SNMP ? Console ? Aux 面臨的威脅 ? Tel信息為明文 ? HTTP 存在漏洞 ? Console口 ? SNMP 協(xié)議缺省設(shè)置 設(shè)置遠(yuǎn)程登錄控制 Router(config) line vty 0 4 Router(configline) login Router(configline) password be Router(configline) exectimeout 10 設(shè)置控制臺(tái)與 AUX登錄 控制 Router(config) line console 0 Router(configline) transport input none Router(configline) password be Router(config) line aux 0 Router(configline) transport input none Router(configline) no exec 應(yīng)用強(qiáng)密碼策略 Router(config)service passwordencryption Router(config)enable secret be 關(guān)閉基于 Web 的配置 Router(config)no ip server 利用 ACL 禁止 Ping相關(guān)接口 Router(config) accesslist 101 deny icmp any echo Router(config) accesslist 101 permit any any Router(configif) ip access group 101 out 關(guān)閉 CDP Router(config) no cdp run Router(configif) no cdp enable 禁止不必要的服務(wù) Router(config) no ip domainlookup Router(config) no ip bootp server Router(config) no snmpserver Router(config) no snmpserver munity public RO Router(config) no snmpserver munity admin RW 查看配置信息 Router(config) show configuration Router(config) show runningconfig 交換機(jī)安全管理 ? 及時(shí)下載新 IOS ? 使用管理訪問控制系統(tǒng) ? 禁用未使用的端口 ? 關(guān)閉危險(xiǎn)服務(wù) ? 利用 VLAN 加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全 操作系統(tǒng)安全加固 ? 主機(jī)物理安全 ? 帳戶安全 ? 文件系統(tǒng)的安全 ? 停止多余的服務(wù) ? 系統(tǒng)異常檢測(cè) ? Windows 日志維護(hù) Windows安全 1. 關(guān)閉不必要的服務(wù) ? Remote Registry Service ? Messenger 2. 關(guān)閉不必要的端口 ? tel ? Netbios ? FTP ? Web 3. 打開審計(jì)策略 4. 重要文件安全存放 5. 登錄時(shí)不顯示上次登錄名 6. 禁止建立空連接 7. 關(guān)閉默認(rèn)共享 使用 MBSA 查看系統(tǒng)漏洞 Linux 安全 Linux 面臨的威脅 ? DoS 攻擊 ? 本地用戶獲取非授權(quán)的文件的讀寫權(quán)限 ? 遠(yuǎn)程用戶獲得特權(quán)文件的讀寫權(quán)限 ? 遠(yuǎn)程用戶獲得 root 權(quán)限 Linux 安全設(shè)置 使用 GRUB 口令 ? 編輯 /boot/grub/，加入以下語(yǔ)句 password 12345 刪除所有的特殊帳戶 包括 lp， shutdown， halt， news， uucp， operator， games， gopher 等 [rootredhat root] userdel lp [rootredhat root] groupdel lp 修改默認(rèn) root 密碼長(zhǎng)度 ? 默認(rèn) root 密碼長(zhǎng)度是 5位，建議修改為 8位 ? 編輯 /etc/，修改 PASS_MIN_LEN 5 為 PASS_MIN_LEN 8 打開密碼 shadow 支持功能 ? 利用 md5 算法加密 ? 為 shadow 文件添加不可更改屬性 [rootredhat roo