【文章內(nèi)容簡(jiǎn)介】 ows，能防止網(wǎng)內(nèi)用戶不打漏洞補(bǔ)丁的問(wèn)題，提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。（4）病毒防御系統(tǒng)統(tǒng)一為網(wǎng)內(nèi)中的所有主機(jī)和服務(wù)器安裝殺毒軟件。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對(duì)郵件進(jìn)行過(guò)濾。消除郵件中的安全隱患。同時(shí)制定一些制度，規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。（6）日志管理對(duì)日志進(jìn)行統(tǒng)一管理，安全管理員應(yīng)該定期進(jìn)行日志分析。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時(shí)修復(fù)漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機(jī)安全制定相應(yīng)的主機(jī)加固和管理方案。確保每個(gè)員工的主機(jī)都能安全地運(yùn)行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面知識(shí)的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。禁止員工使用自帶的便攜設(shè)備，如U盤，移動(dòng)硬盤，手機(jī)等，應(yīng)該使用統(tǒng)一的移動(dòng)設(shè)備，因?yàn)樽詭У谋銛y設(shè)備很有可能會(huì)把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時(shí)候，應(yīng)該按照文件的安全等級(jí)要求，進(jìn)行加密傳輸（9）劃分VLAN為各個(gè)部門劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運(yùn)行。并對(duì)員工的主機(jī)實(shí)行mac雙向綁定，從而預(yù)防ARP攻擊 應(yīng)用程序的安全的防護(hù)WEB應(yīng)用程序是整個(gè)網(wǎng)絡(luò)中的第一道防線，同時(shí)也是整個(gè)網(wǎng)絡(luò)中最容易被攻擊者攻擊的一個(gè)環(huán)節(jié)，從而導(dǎo)致了WEB應(yīng)用程序的安全變得很重要。所以我們?cè)诼酚善魃习惭b了防火墻，實(shí)現(xiàn)了對(duì)服務(wù)器的安全控制和監(jiān)測(cè)。WEB應(yīng)用程序的安全，需要注意以下幾點(diǎn)：（1）開發(fā)環(huán)節(jié)WEB應(yīng)用的開發(fā)環(huán)節(jié)直接影響WEB應(yīng)用的安全。所以在開發(fā)WEB應(yīng)用程序時(shí)，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問(wèn)題的產(chǎn)生。所以在應(yīng)用上線之前，要嚴(yán)格地進(jìn)行各種安全測(cè)試和加固。合理地選擇相對(duì)穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運(yùn)行程序制定安全的配置方案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運(yùn)行。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。制定一個(gè)統(tǒng)一的賬戶、密碼管理體系，對(duì)后臺(tái)的訪問(wèn)做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。并定期對(duì)WEB系統(tǒng)進(jìn)行漏洞掃描和弱點(diǎn)分析，同時(shí)，也要進(jìn)行人工的漏洞挖掘。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因?yàn)檫\(yùn)用軟件掃描有時(shí)有可能會(huì)出現(xiàn)誤差（3）流量監(jiān)測(cè)定期對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)，因?yàn)橥ㄟ^(guò)檢測(cè)出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運(yùn)行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。防止攻擊者對(duì)網(wǎng)絡(luò)實(shí)行流量攻擊 服務(wù)器安全的防護(hù)（1）賬戶、密碼管理對(duì)服務(wù)器的賬戶、密碼進(jìn)行嚴(yán)格管理，修改密碼策略，賬戶添加/刪除審批，用戶賬戶的權(quán)限管理/審批等。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。（2）配置安全策略歲服務(wù)器制定相應(yīng)的安全部署策略和安全加固策略，以及訪問(wèn)策略等，為服務(wù)器及時(shí)安裝漏洞補(bǔ)丁，并定期對(duì)安全策略、補(bǔ)丁等情況進(jìn)行檢查。（3）日志管理及漏洞檢查對(duì)服務(wù)器日志進(jìn)行統(tǒng)一管理，管理員需定期的歲服務(wù)器進(jìn)行日志分析。發(fā)現(xiàn)異常，應(yīng)及時(shí)的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。并定期對(duì)服務(wù)器進(jìn)行評(píng)估和審計(jì)。做出相應(yīng)的加固，加固必須要嚴(yán)格按照服務(wù)器安全配置方案，加固方案，管理方案進(jìn)行。 漏洞的防護(hù)（1）內(nèi)部主機(jī)的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實(shí)現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個(gè)成員之間的文件的傳輸，使用起來(lái)很方便，所以很多時(shí)候企業(yè)都會(huì)采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時(shí)候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。所以在沒(méi)有必要“文件和打印共享”的情況下，可以這個(gè)功能關(guān)閉。 禁止建立空連接 將內(nèi)網(wǎng)的所有計(jì)算機(jī)上禁止建立空連接。默認(rèn)的情況下，所有的用戶都可以通過(guò)空連接連上服務(wù)器，所以這樣就會(huì)對(duì)我們的服務(wù)器帶來(lái)很大的安全隱患，導(dǎo)致服務(wù)器上的信息泄露。 隱藏IP地址 使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏，在內(nèi)網(wǎng)中的主機(jī)上和遠(yuǎn)程服務(wù)器之間架設(shè)一個(gè)“中轉(zhuǎn)站”，當(dāng)內(nèi)網(wǎng)中的主機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機(jī)的請(qǐng)求，然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。使用代理服務(wù)器后，攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。因?yàn)镮P和計(jì)算機(jī)的關(guān)系就好比身份證上的身份證號(hào)和人的關(guān)系，當(dāng)一個(gè)攻擊則通過(guò)掃描工具確定了一臺(tái)主機(jī)的IP地址后，相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo)，并通過(guò)IP向目標(biāo)主機(jī)發(fā)動(dòng)各種進(jìn)攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。關(guān)閉不必要的端口 攻擊者在入侵時(shí)常常會(huì)對(duì)目標(biāo)主機(jī)的端口進(jìn)行掃描，安裝了端口監(jiān)視程序，當(dāng)監(jiān)視程序檢測(cè)到有人掃描是就會(huì)有警告提示。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。 更換管理員賬戶為Adminstrator賬戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后重命名Adminstrator賬戶，再創(chuàng)建一個(gè)沒(méi)有管理員權(quán)限的Adminstrator賬戶漆面入侵者，以此來(lái)防止攻擊者知道管理員賬戶，從而在一定的程度上保證計(jì)算機(jī)安全。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計(jì)算機(jī)安全。 社會(huì)工程學(xué)通過(guò)培訓(xùn)，使內(nèi)網(wǎng)的工作人員對(duì)社工有個(gè)比較全面的認(rèn)識(shí)，學(xué)會(huì)理智地分辨他們身邊存在或可能存在的“社工行為”以及“社工因素”，避免內(nèi)網(wǎng)被社工。社會(huì)工程學(xué)，在普遍的網(wǎng)絡(luò)攻擊和的APT攻擊中、扮演著非常重要的角色。社會(huì)工程學(xué)的攻擊主要是從“人”開始的。我們?cè)诰W(wǎng)絡(luò)防御中，人也是防御中的一個(gè)重要環(huán)節(jié)。0day漏洞很可怕，可是在網(wǎng)絡(luò)攻擊中的社會(huì)工程學(xué)同樣很可怕，社會(huì)工程學(xué)是一個(gè)很廣泛的攻擊手段，跟技術(shù)性的防范不同，它包含很多的不確定因素，所以要想防范社會(huì)工程學(xué)攻擊還是很有難度的。（1）防范來(lái)內(nèi)網(wǎng)的主動(dòng)/被動(dòng)的社會(huì)工程學(xué)攻擊“主動(dòng)的社會(huì)工程學(xué)攻擊”指來(lái)內(nèi)網(wǎng)中不安分人員的攻擊。而“被動(dòng)社會(huì)工程學(xué)攻擊”是指內(nèi)網(wǎng)中的人員因?yàn)樾畔⑿孤兜纫蛩?，被外網(wǎng)的攻擊者所利用而引發(fā)的攻擊。絕大部分社工攻擊是通過(guò)電子郵件或即時(shí)消息進(jìn)行的。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意U R L的訪問(wèn)。（2）防范郵件中的社會(huì)工程學(xué)攻擊許多攻擊者會(huì)采用“郵件”作為主要的攻擊手段，攻擊者通過(guò)篡改DNS服務(wù)器上的解析記錄，將對(duì)正常U RL的訪問(wèn)引導(dǎo)到掛有木馬的網(wǎng)頁(yè)上。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無(wú)法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。所以，對(duì)這方面，應(yīng)該要特別注意。有些攻擊者可能會(huì)冒充某些正規(guī)網(wǎng)站的名義，然后編個(gè)冠冕堂皇的理由寄一封信給內(nèi)部人員，并要求輸入用戶名稱與密碼，當(dāng)內(nèi)部成員輸入后，如果按下“確定”，那時(shí)用戶名和密碼就會(huì)返回到攻擊者的郵箱。所以內(nèi)網(wǎng)人員不要隨便回陌生人的郵件。 針對(duì)SQL注入的防護(hù)（1）應(yīng)用程序設(shè)計(jì)該SQL語(yǔ)句ELECT*FROMUsersWHEREUsername=39。username39。ANDPassword=39。password’可能會(huì)帶來(lái)SQL注入攻擊，因?yàn)楫?dāng)我們?cè)谟脩裘兔艽a地址欄中輸入username=139。or39。139。=39。1和password=139。or39。139。=39。1，SQL語(yǔ)句就變成了：SELECT*FROMUsersWHEREUsername=39。139。OR39。139。=39。139。ANDPassword=39。139。OR39。139。=39。139。，該語(yǔ)句恒為真，所以就會(huì)登陸后臺(tái)界面，這樣就會(huì)構(gòu)成SQL注入攻擊，所以我們應(yīng)該對(duì)SQL注入的字符串進(jìn)行有效的過(guò)濾[]。攻擊語(yǔ)句正則表示說(shuō)明。and(select count(*) from account)0。?and\(select\s+count\(\*\)\s+from\s)+[^ )]+\)\s*=?\s*\d+猜測(cè)數(shù)據(jù)庫(kù)表名Admin’:drop table accounts ([^’]*’\s*)?。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。almun。||+\s*=\s*|[。alnum。]]+\s*()?構(gòu)造永遠(yuǎn)為真的條件語(yǔ)句： 防御流程圖當(dāng)發(fā)現(xiàn)SQL攻擊時(shí)，則攔截請(qǐng)求并產(chǎn)生警告信息作為應(yīng)答；如果未發(fā)現(xiàn)攻擊，則提交至系統(tǒng)模塊。： 匹配流圖當(dāng)攔截到Http請(qǐng)求后首先對(duì)請(qǐng)求內(nèi)容進(jìn)行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語(yǔ)句。然后檢測(cè)請(qǐng)求數(shù)據(jù)中是否含有SQL注入攻擊常用的關(guān)鍵字以及分隔符，如and、or、1=’、等，如果不含有，則可以排除注入攻擊的可能。如果含有則提示登錄信息錯(cuò)誤，并將輸入的數(shù)據(jù)提交至詳細(xì)的規(guī)則檢測(cè)，又返回來(lái)處理正常請(qǐng)求，并盡可能快地將正常請(qǐng)求提交至系統(tǒng)模塊處理，避免正常客戶對(duì)網(wǎng)站訪問(wèn)的延遲影響。對(duì)于包含注入關(guān)鍵字的Web請(qǐng)求，可以遍歷規(guī)則庫(kù)對(duì)請(qǐng)求內(nèi)容進(jìn)行詳細(xì)的正則匹配。如果匹配成功，則攔截請(qǐng)求、向客戶端發(fā)送警告。如果匹配失敗，則將請(qǐng)求字符串記錄入可疑攻擊代碼庫(kù)，提交網(wǎng)站管理員分析。如果發(fā)現(xiàn)同一源IP地址短時(shí)間內(nèi)多次攻擊，過(guò)濾模塊就會(huì)將該IP地址加入黑名單，禁止其在一定時(shí)間內(nèi)訪問(wèn)，從而防止攻擊者采用窮舉法,最終攻破系統(tǒng)。（2）驗(yàn)證所有的輸入信息將用戶名和密碼輸入框中輸入的信息進(jìn)行一個(gè)驗(yàn)證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺(tái)，則必須滿足通過(guò)驗(yàn)證的條件后，才來(lái)也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。如果可以接受字母，那就要檢查是不是存在不可接受的字符。確保你的應(yīng)用程序要檢查以下字符：分號(hào)，等號(hào)，破折號(hào)，括號(hào)以及SQL關(guān)鍵字。使用正則表達(dá)式來(lái)進(jìn)行復(fù)雜的模式匹配，限制用戶輸入的字符的長(zhǎng)度[21]。所以驗(yàn)證用戶輸入的信息是一個(gè)防止SQL注射攻擊的好方法，從而避免入侵者利用WEB的開放性對(duì)應(yīng)用程序進(jìn)行SQL注射攻擊。（3）用戶權(quán)限在應(yīng)用程序中使用的連接數(shù)據(jù)庫(kù)的賬戶應(yīng)該是擁有必要的特權(quán)，這樣可以有效地保護(hù)整個(gè)系統(tǒng)盡可能少地受到入侵者的危害通過(guò)限制用戶權(quán)限，隔離了不同賬戶可執(zhí)行的操作。不同的用戶賬戶擁有不同的權(quán)限，執(zhí)行查詢插入更新刪除等操作的用戶可以是不同的用戶，這樣可以防止原本用于執(zhí)行查詢操作的地方卻被用于執(zhí)行插入、更新或刪除等操作[8]。 防護(hù)方案后的拓?fù)鋱D： 加了防護(hù)方案的拓?fù)鋱D在路由出口架設(shè)大流量吞吐量的防火墻，可以有效地防御外部攻擊者對(duì)外部路由進(jìn)行DDoS攻擊，做訪問(wèn)控制策略，保證內(nèi)網(wǎng)的安全控制，在二層交換機(jī)上部署上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，日志審計(jì)管理系統(tǒng)，運(yùn)行與維護(hù)安全審計(jì)系統(tǒng)。為服務(wù)器部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。以保證數(shù)據(jù)和機(jī)密文件的安全。在