【正文】 下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離； 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 20 二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。 抑制和防止電磁泄漏（即 TEMPEST 技術(shù)）是物理安全策略的一個(gè)主要問(wèn)題。沒(méi)有一西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 19 臺(tái)機(jī)器應(yīng)該信任網(wǎng)關(guān)； 2) 不要用 NFS 向網(wǎng)關(guān)傳輸或接收來(lái)自網(wǎng)關(guān)的任何文件系統(tǒng)； 3) 不要在網(wǎng)關(guān)上使用 NIS（網(wǎng)絡(luò)信 息服務(wù)）； 4) 制訂和執(zhí)行一個(gè)非網(wǎng)關(guān)機(jī)器上的安全性方針； 5) 關(guān)閉所有多余服務(wù)和刪除多余程序 6) 刪除網(wǎng)關(guān)的所有多余程序（遠(yuǎn)程登錄、 rlogin、 FTP 等等）； 7) 定期閱讀系統(tǒng)記錄。限制網(wǎng)關(guān)上的帳號(hào)數(shù)。如果用戶認(rèn)為信息比較適合共享，那麼將拷貝到另一個(gè)目錄中。這個(gè)預(yù)防措施防止它成為麻木不仁的窩臟點(diǎn)。 如果用戶想建立一個(gè)人們都可用留下文件的目錄，那麼可將它稱作輸入。然而，讓系統(tǒng)為用戶工作會(huì)更加容易。 最后，用戶需要在 ~ftp/dev/中建立 /dev/null 和 /dev/socksys 設(shè)備結(jié)點(diǎn)。因此，用戶需要做的一切是將 /usr/lib/ 和/usr/lib/~ftp/usr/lib 中。 用戶還需要編制某些可用的庫(kù)。在用戶希望匿名用戶訪問(wèn)的所有目錄上做這項(xiàng)工作。這個(gè)預(yù)防措施防止FTP 用戶修改用戶仔細(xì)構(gòu)思出的口令。這一步驟防止 FTP 用戶通過(guò)遠(yuǎn)程西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 18 登錄進(jìn)行注冊(cè)（用戶或許已經(jīng)禁止遠(yuǎn)程登錄，但是萬(wàn)一用戶沒(méi)有這樣做，確認(rèn)一下也不會(huì)有錯(cuò)）。因此，用戶要建立 FTP 用戶。因此， FTP 用戶可以訪問(wèn)，用戶的訪問(wèn)者也可以訪問(wèn)。最大的一個(gè)問(wèn)題可能是允許 FTP 用戶有機(jī)會(huì)寫入。因此， FTP 用戶可以訪問(wèn)，用戶的訪問(wèn)者也可以使用。最大的一個(gè)問(wèn)題可能是允許FTP 用戶有機(jī)會(huì)寫入。通過(guò)某些其它方法，發(fā)送者通知它們的同伙文件可以使用。這種交換如何進(jìn)行的呢？簡(jiǎn)單的很。它由用戶的 FTP 站點(diǎn)構(gòu)成，對(duì)于交換文件的人來(lái)說(shuō)，用戶的 FTP 站點(diǎn)成為“麻木不仁的窩臟點(diǎn)”。一個(gè)未經(jīng)審查的攻擊者可以抹去用戶的整個(gè) FTP 站點(diǎn)。它使站點(diǎn)的訪問(wèn)者（或潛在攻擊者）能夠獲得更多超出其預(yù)期的數(shù)據(jù)。值得一提的弱點(diǎn)涉及幾個(gè)方面。它們還有潛力泄露出乎用戶意料之外的秘密。 在 Inter 服務(wù)器上提供的一些服務(wù)有 FTP、 HTTP、遠(yuǎn)程登陸和 WAIS（廣域信西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 17 息服務(wù)）。只有在使用 su 時(shí)才允許進(jìn)入根帳號(hào)。不要讓不需要進(jìn)入網(wǎng)關(guān)的人都進(jìn)入網(wǎng)關(guān)。但是如果有人闖入隔離開的機(jī)器，那麼網(wǎng)絡(luò)的其余部分不會(huì)受到牽連。實(shí)現(xiàn)這個(gè)目標(biāo)的最安全的方法是將 Inter 服務(wù)器與網(wǎng)絡(luò)實(shí)際隔開。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證 確保網(wǎng)絡(luò)安全的措施 由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器）。 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制 網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。 網(wǎng)絡(luò) 監(jiān)測(cè)和鎖定控制 網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò) 的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、 執(zhí)行修改、顯示等。 屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。八種 訪問(wèn)權(quán)限的有西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 15 效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種： 系統(tǒng)管理員權(quán)限（ Supervisor）； 讀權(quán)限（ Read）； 寫權(quán)限（ Write）； 創(chuàng)建權(quán)限（ Create）； 刪除權(quán)限（ Erase）； 修改權(quán)限（ Modify）； 文件查找權(quán)限（ File Scan）； 存取控制權(quán)限（ Access Control）； 用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下二個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。 目錄級(jí)安全控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。我們可以根據(jù)訪問(wèn)權(quán)限將用戶分為以下幾類： ? 特殊用戶（即系統(tǒng)管理員）； ? 一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限； ? 審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。受托 者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。用戶和用戶組被賦予一定的權(quán)限。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問(wèn)“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的帳號(hào)加以限制，用戶此時(shí)應(yīng)無(wú)法進(jìn)入網(wǎng)絡(luò)訪問(wèn)網(wǎng)絡(luò)資源。 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶帳號(hào)的缺省限制檢查。用戶帳號(hào)應(yīng)只有系統(tǒng)管理員才能建立。 網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號(hào)使用、訪問(wèn)網(wǎng)絡(luò)的時(shí)間、方式。經(jīng)過(guò)上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。下面我們分述各種訪問(wèn) 控制策略。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 從應(yīng)用系統(tǒng)進(jìn)行評(píng)估 :考察每臺(tái)硬件設(shè)備上運(yùn)行的操作系統(tǒng)。 網(wǎng)絡(luò)安全評(píng)估 為堵死安全策略和安全措施之間的缺口 ,必須從以下三方面對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估 : 從企業(yè)外部進(jìn)行評(píng)估 :考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻 。啟用新的硬件設(shè)備和操作系統(tǒng) ,實(shí)施新的應(yīng)用程序和 Web 服務(wù)器時(shí) ,安全配置也有不盡相同 。 訪問(wèn)方式的多樣化 —— 一般來(lái)說(shuō) ,您的 網(wǎng)絡(luò)環(huán)境存在多種進(jìn)出方式 ,許多過(guò)程拔號(hào)登錄點(diǎn)以及新的 Inter 訪問(wèn)方式可能會(huì)使安全策略的設(shè)立復(fù)雜化 。這種情況稱為安全缺口。指利用通信介質(zhì)的電磁泄漏或搭線竊聽(tīng)等手段獲取非法信息。 指通過(guò)網(wǎng)絡(luò)傳播病毒或惡意 Java、 XActive 等。指改變系統(tǒng)的正常運(yùn)行方法 ,減慢系統(tǒng)的響應(yīng)時(shí)間等手段。指使用非法手段 ,刪除、修改、重發(fā)某些重要信息 ,以干擾用戶的正常使用。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限 ,以達(dá)到占用合法用戶資源的目的。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。 實(shí)際風(fēng)險(xiǎn)分析 現(xiàn)今的網(wǎng)絡(luò)安全存在的威脅主要表現(xiàn)在以下幾個(gè)方面。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單，導(dǎo)致很容易破解。一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 10 可行的做法是制定健全的管理 制度和嚴(yán)格管理相結(jié)合。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。采用多層次的訪問(wèn)控制與權(quán)限控制手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性 。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)服務(wù)器的安全風(fēng)險(xiǎn)、病毒侵害的 安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等 應(yīng)用的安全涉及方面很多，以目前 Inter上應(yīng)用最為廣泛的 Email系統(tǒng)來(lái)說(shuō)，西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 9 其解決方案有 sendmail、 Netscape Messaging Server、 、Lotus Notes、 Exchange Server、 SUN CIMS 等不下二十多種。 應(yīng)用的安全性也是動(dòng)態(tài)的。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。目前恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是 Microsfot 的 Windows NT 或者其它任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其后門。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開服務(wù)器（ WEB、 DNS、 EMAIL 等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù) 請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有涉密信息，假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)電腦安全受損 (被攻擊或者被病毒感染 )，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連?？傮w來(lái)說(shuō)物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。在網(wǎng)絡(luò)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 6 綜合型 : 集中型與分散型的綜合。大的分支采取專線接入，一般分支采取 ADSL 接入方式。網(wǎng)絡(luò)中有的劃分了子網(wǎng)，并部署了與核心業(yè)務(wù)相關(guān)的 服務(wù)器 ，如數(shù)據(jù)庫(kù)、郵件服務(wù)器、文檔資料庫(kù)、甚至 ERP 服務(wù)器等。 集中型 : 中小企業(yè)網(wǎng)絡(luò)一般只在總部設(shè)立完善的網(wǎng)絡(luò)布局。 中小 型網(wǎng)絡(luò)情況 分析 中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及管理方式的不同有著不同的網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。一旦這個(gè)疏漏被不法分子所知，就 會(huì)借這個(gè)薄弱環(huán)節(jié)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。 系統(tǒng)的漏洞及“后門” 操作