【正文】 取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計、安全問題跟蹤、計算機(jī)病毒防治、數(shù)據(jù)加密等。 （4）網(wǎng)絡(luò)上信息內(nèi)容的安全：即我們討論的狹義的“信息安全”；側(cè)重于保護(hù)信息的機(jī)密性、真實(shí)性和完整性。 計算機(jī)網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全具有三個基本的屬性：機(jī)密性、完整性、可用性。（2）完整性：是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運(yùn)行狀態(tài)之下。主要防范措施是訪問控制機(jī)制。 計算機(jī)網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對某些潛 在的安全威脅而設(shè)計的，可以根據(jù)實(shí)際情況單獨(dú)或組合使用。 網(wǎng)絡(luò)安全技術(shù)機(jī)制 網(wǎng)絡(luò)安全技術(shù)機(jī)制包含以下內(nèi)容： （1）加密和隱藏。 （2）認(rèn)證和授權(quán)。 （3）審計和定位。 （4）完整性保證。 （5）權(quán)限和存取控制：針對網(wǎng)絡(luò)系統(tǒng)需要定義的各種不同用戶，根據(jù)正確的認(rèn)證， 賦予其適當(dāng)?shù)牟僮鳈?quán)力，限制其越級操作。 網(wǎng)絡(luò)安全管理機(jī)制 網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個管理問題，要解決網(wǎng)絡(luò)信息安全問題， 必須制定正確的目標(biāo)策略，設(shè)計可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管 理措施和依據(jù)相關(guān)法律制度。具體來說包括：（1）非授權(quán)訪問；即對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。（3）破壞數(shù)據(jù)的完整性；即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。（5）病毒與惡意的攻擊；即通過網(wǎng)絡(luò)傳播病毒或進(jìn)行惡意攻擊。本章在對windows操作系統(tǒng)的安全構(gòu)架進(jìn)行簡單的介紹的基礎(chǔ)上，重點(diǎn)講述了操作系統(tǒng)日常維護(hù)中重要的內(nèi)容——windows系統(tǒng)安全組件。若想獲得上層用戶軟件運(yùn)行的高可靠性和信息的完整性、保密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。操作系統(tǒng)安全的五類服務(wù)包括：身份認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性。 windows系統(tǒng)安全組件 對于windows系統(tǒng)來講，系統(tǒng)的安全性主要體現(xiàn)在系統(tǒng)的組件的功能上。（1）訪問控制的判斷允許對象所有者可以控制誰被允許改對象以及訪問的方式。（3）強(qiáng)制登錄要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源（4）審核在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。 Windows的訪問控制過程 當(dāng)一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個SID，并與其他賬號信息一起存入SAM數(shù)據(jù)庫。服務(wù)器還要記錄用戶賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息。此后用戶每新建一個進(jìn)程，都將訪問令牌復(fù)制作為該進(jìn)程的訪問令牌。 Windows安全存在缺陷（1）受入侵主機(jī)的錯誤信息的配置安全缺陷的主要原因就是受入侵主機(jī)的錯誤信息配置，大多數(shù)操作系統(tǒng)都處于一種安裝軟件不可靠性的狀態(tài)，往往都是源于用戶知識的不足而引起。第三章 個人計算機(jī)安全配置及防范本章從多方面描述了個人計算機(jī)安全配置及防范，主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞（1）使用正版可靠安裝盤，來防止病毒的侵入。（3）系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤上，最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應(yīng)用程序分區(qū)。對于一個剛安裝完的系統(tǒng)，如果沒有設(shè)置我們都是以administration這個超級管理員用戶登錄的，此用戶對計算機(jī)有完全的操作權(quán)限，因此如果我們以此用戶登錄個人計算機(jī)如果中了木馬病毒等，對計算機(jī)和個人信息安全會造成嚴(yán)重的損害，因此我們要設(shè)置一個常用用戶賬號并對其加密，超級管理員也要加密，并且密碼設(shè)置的盡量復(fù)雜?？诹钤介L， 要猜出或試出它所有的可能組合就越難。（3）最好不要單純使用自己的名字、生日、電話號碼和簡單英語單詞， 因?yàn)檫@些都是容易被別人猜到的信息。 系統(tǒng)的安全配置 系統(tǒng)安全設(shè)置 (1)用戶管理 刪除所有不需要的賬號，禁用所有暫時不用的賬號。重命名系統(tǒng)默認(rèn)的管理員“Administrator”，然后再創(chuàng)建一個名為“Administrator”的用戶，并分配給這個新用戶一個復(fù)雜無比的口令，最后不讓它屬于任何組。NTFS格式是服務(wù)器必須的，使用FAT32文件系統(tǒng)沒有安全性可言。 增強(qiáng)操作系統(tǒng)的安全，除了啟用強(qiáng)壯的密碼外，操作系統(tǒng)本身有賬戶的安全策略。在密碼策略中，設(shè)置增加密碼復(fù)雜度，提高暴力破解的難度，曾強(qiáng)安全性。如圖31所示。Windows Server 2003 SP1中“強(qiáng)制密碼歷史”設(shè)置的默認(rèn)值最多為24個密碼。（2）密碼最短使用期限“密碼最短使用期限”設(shè)置的值范圍介于0~999天；0允許更改密碼。（3）密碼最長使用期限。設(shè)置配置為0，意味著密碼永不過期。定期的更改密碼有助于防止密碼遭破壞。如果啟用該策略，如圖43所示。不得明顯包含用戶賬戶名或用戶全名的一部分。包含來自以下4個類別中的3個字符：英文大、小寫字母，10個基本數(shù)字（0~9）。圖33 密碼復(fù)雜性策略審核介紹審核跟蹤計算機(jī)上用戶和操作系統(tǒng)的活動。審核策略定義了Windows 2003會記錄的安全事件的類型。打開安全審核為了審核與安全性有關(guān)的事件，Windows 的安全審計功能在默認(rèn)安裝時是關(guān)閉的。你可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪問等。設(shè)置“本地安全策略”中“本地策略”的“審核策略”，建議如圖34所示配置： 圖34 審核策略設(shè)置審核策略 使用組策略下的本地策略，為個人計算機(jī)配置安全設(shè)置，創(chuàng)建一個組策略對象為個人計算機(jī)配置安全設(shè)置。它包含五個方面的信息：PC全班硬件設(shè)置、軟件設(shè)置、當(dāng)前配置、動態(tài)狀態(tài)和用戶特定設(shè)置等內(nèi)容。Windows注冊表包括的項(xiàng)目有：每個用戶的配置文件、計算機(jī)上安裝的程序和每個程序可以創(chuàng)建的文檔類型、文件夾和程序圖標(biāo)的屬性設(shè)置、系統(tǒng)中的硬件、正在使用的端口等。單擊“開始”菜單中的“運(yùn)行”命令，在打開的對話框中輸入“regedit”，回車后即可打開注冊表編輯器，如圖36所示；在注冊表編輯器中可以修改、新建或刪除注冊表項(xiàng)，也可以導(dǎo)入和導(dǎo)出注冊表項(xiàng)。它記錄了用戶安裝在機(jī)器上的軟件和每個程序的相互關(guān)聯(lián)關(guān)系；它包含了計算機(jī)的硬件配置，包括自動配置的即插即用的設(shè)備和已有的各種設(shè)備。注冊表的日常維護(hù)注冊表被破壞后系統(tǒng)會有出現(xiàn)無法啟動，無法關(guān)機(jī)；無法運(yùn)行合法的應(yīng)用程序。（2）硬件被更換或被損壞。注冊表的備份與恢復(fù)（1）使用regedit備份/恢復(fù)注冊表注冊表的備份運(yùn)行“regedit”，打開“注冊表編輯器”窗口。如圖37所示，選擇注冊表備份文件的保存路徑、名稱以及保存全部還是只保存注冊表的某個分支。圖37導(dǎo)出注冊表文件注冊表的恢復(fù)打開“注冊表編輯器”后，運(yùn)行“注冊表”→“導(dǎo)出注冊表文件”，彈出的“引入注冊表文件”對話框。（2）利用注冊表編輯器恢復(fù)用引導(dǎo)盤啟動計算機(jī)，進(jìn)入Windows目錄，在該目錄下鍵入“regedit/C*.reg”，其中*reg為備份的注冊表文件名，然后重新啟動計算機(jī)使新的注冊表生效。（1）23端口。Telnet服務(wù)給我們的最直接的感受就是它可以使得我們忘掉電腦與電腦之間的距離。Telnet協(xié)議的初衷是用來幫助我們對于計算機(jī)實(shí)現(xiàn)遠(yuǎn)程管理與維護(hù)，以提高我們的工作效率。若不懷好意的人利用Telnet服務(wù)登陸到23端口，就可以任意在對方電腦上上傳與下載數(shù)據(jù)，包括上傳木馬與病毒等等。這個端口主要用來運(yùn)行FTP服務(wù)。并能夠利用這個端口遠(yuǎn)程登陸并運(yùn)行遠(yuǎn)程命令，這也就是說，可以在遠(yuǎn)程上傳木馬等工具并在遠(yuǎn)程控制其運(yùn)行。一般情況下，沒有必要開啟21號端口。通過135端口入侵實(shí)際上就是在利用操作系統(tǒng)的RPC漏洞。通過RPC可以保證在一臺計算機(jī)上運(yùn)行的程序可以順利地執(zhí)行遠(yuǎn)程計算機(jī)上的代碼。得到這個文件后，再利用一定的工具便可以知道該電腦上可用的計