九大招数确保系统安全
一、计算机的设置
关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。
禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法是修改注册表:打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。
二、隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS( 拒绝服务 )攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
三、关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口。
四、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
五、杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。
六、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和 防火墙 都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。
七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
八、不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。
九、做好IE的安全设置
ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。谨慎些总没有错! 另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。
下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。
最后建议给自己的系统打上补丁, 微软那些补丁还是很有用的 .
1· 适应性原则
安全策略是在一定条件下采取的安全措施,必须是和网络的实际应用环境相结合的。通常,在一种情况下实施的安全策略到另一环境下就未必适合,因此安全策略的制定应充分考虑当前环境的实际需求。
2 ·动态性原则
安全策略是在一定时期采取的安全措施。由于网络动态性的特点,用户不断增加,网络规模不断扩大,网络技术本身的发展变化也很快,各种漏洞和隐患不断发现,而安全措施是防范性的、持续不断的,所以制定的安全措施必须能随着网络性能以及安全需求的变化二变化,应容易修改和升级。
3· 系统性原则
网络安全管理是一个系统化的工作,必须考虑到整个网络的方方面面。也就是在制定安全策略时,应全面考虑网络上各类用户、各种设备、软件、数据以及各种情况,有计划有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低。
4·需求、代价、风险平衡分析原则
对任何一个网络而言,绝对的安全是不可能达到的,也是不必要的。应从网络的实际需求出发,对网络面临的威胁及可能承担的风险进行定性和定量相结合的分析,在需求、代价和风险间寻求一个平衡点,在此基础上制定规范和措施,确定系统的安全策略。
5·一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络安全需求相一致,在网络系统设计及实施计划、网络验证、验收、运行等网络生命周期的各个阶段,都要制定相应的安全策略。
6·最小授权原则
从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则指的是网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险性大大降低。在没有明确的安全策略的网络环境中,网络安全管理员通过简单关闭不必要或者不了解的网络服务、删除主机信任关系、及时删除不必要的帐号等手段也可以将入侵危险降低一半以上。
“最小授权”原则虽然只是一个思想原则,但通过具体实现可以以最小的代价大大加强网络的安全水平,所以这里将“最小授权”原则独立列为网络安全策略的一个重要原则。
只有6点原则给你,多的想不到,满意打个分,有兴趣加入我的团。欢迎。
最佳答案
1. 建立企业网络安全策略的重要性
保障企业网络安全,必须建立良好的企业网络安全策略。见图1。
● 安全是网络整体系统的问题
安全不仅是单一PC的问题,也不仅是服务器或路由器的问题,而是整体网络系统的问题。所以网络安全要考虑整个网络系统,因此必须结合网络系统来制定合适的网络安全策略。
● 安全不能由单一的网络产品来保障
如前所述,网络安全涉及到的问题非常多,如防病毒、防入侵破坏、防信息盗窃、用户身份验证等,这些都不是由单一产品来完成,也不可能由单一产品来完成,因此网络安全也必须从整体策略来考虑。
● 安全需要实施监测与更新
网络安全防护体系必须是一个动态的防护体系,需要不断监测与更新,只有这样才能保障网络安全。
● 安全需要全体员工的参与
调查显示,有超过70%的安全问题来自企业的内部,如何对员工进行网络安全教育,如何让员工参与网络安全建设,是网络安全要解决的核心问题之一。
● 安全保障企业的核心业务
企业对信息系统的依赖性越来越强,电子商务公司没有网络是无法生存的,金融与电信等行业由于网络出问题所造成的损失是无法估量的。因此,安全是企业核心业务的保护神。
2. 如何建立企业网络安全策略
建立企业网络安全策略,应从4个方面予以考虑:安全检测评估、安全体系结构、安全管理措施和网络安全标准,见图2。由于安全是一个动态过程,这4个方面组成了一个循环系统。安全检测与评估随着安全标准的改变而进行,评估结果又会促进网络体系结构的完善,安全管理措施也会随着其他方面的变化而增强。由于技术的进步及对网络安全要求的提高,又会促使网络标准的改变。最后形成一种动态的螺旋上升的发展过程。
(1) 重视安全检测评估
从安全角度看,企业接入Internet网络前的检测与评估是保障网络安全的重要措施。但大多数企业没有这样做,就把企业接入了Internet。基于此情况,企业应从以下几个方面对网络安全进行检测与评估。
● 网络设备
重点检测与评估连接不同网段的设备和连接广域网(WAN)的设备,如Switch、网桥和路由器等。这些网络设备都有一些基本的安全功能,如密码设置、存取控制列表、VLAN等,首先应充分利用这些设备的功能。
● 网络操作系统
网络操作系统是网络信息系统的核心,其安全性占据十分重要的地位。根据美国的“可信计算机系统评估准则”,把计算机系统的安全性从高到低分为4个等级:A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等属于D级,即最不安全的。Windows NT/2000/XP、Unix、Netware等则属于C2级,一些专用的操作系统可能会达到B级。C2级操作系统已经有了许多安全特性,但必须对其进行合理的设置和管理,才能使其发挥作用。如在Windows NT下设置共享权限时,缺省设置是所有用户都是“Full Control”权限,必须对其进行更改。
● 数据库及应用软件
数据库在信息系统中的应用越来越广泛,其重要性也越来越强,银行用户账号信息、网站的登记用户信息、企业财务信息、企业库存及销售信息等都存在各种数据库中。数据库也具有许多安全特性,如用户的权限设置、数据表的安全性、备份特性等,利用好这些特性也是同网络安全系统很好配合的关键。
● E-mail系统
E-mail系统比数据库应用还要广泛,而网络中的绝大部分病毒是由E-mail带来的,因此,其检测与评估也变得十分重要。
● Web站点
许多Web Server软件(如IIS等)有许多安全漏洞,相应的产品供应商也在不断解决这些问题。通过检测与评估,进行合理的设置与安全补丁程序,可以把不安全危险尽量降低。
(2) 建立安全体系结构
● 物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。建立物理安全体系结构应从3个方面考虑:一是自然灾害(地震、火灾、洪水)、物理损坏(硬盘损坏、设备使用到期、外力损坏)和设备故障(停电断电、电磁干扰);二是电磁辐射、乘机而入、痕迹泄漏等;三是操作失误(格式硬盘、线路拆除)、意外疏漏等。
● 访问控制
访问控制首先要把用户和数据进行分类,然后根据需要把二者匹配起来,把数据的不同访问权限授予用户,只有被授权的用户才能访问相应的数据。
● 数据保密
数据保密是保护网络中各系统之间的交换数据,防止因数据被截获而造成泄密。数据保密应考虑以下几个方面:
连接保密:对某个连接上的所有用户数据提供保密。
选择字段保密:对协议数据单元的一部分选择字段进行保密。
信息流保密:对可能从观察信息流就能推导出的信息提供保密。
● 数据完整性
数据完整性保证接收方收到的信息与发送方发送的信息完全一致,它包括可恢复的完整性、无恢复的完整性、选择字段的完整性。目前主要通过数字签名技术来实现。
● 路由控制
在大型网络中,从源节点到目的节点可能有多条线路,有些线路可能是安全的,有些是不安全的。通过选择路由控制机制,可使信息发送者选择特殊路由,以保证数据的安全。
(3) 制定安全管理措施
网络安全管理既要保证网络用户和网络资源不被非法使用,又要保证网络管理系统本身不被未经授权的访问。制定合理的安全管理措施,是保证网络安全的重要策略之一。
● 网络设备的安全管理
主要包括网络设备的互联原则、配置更改原则等。
● 软件的安全管理
包括软件的使用原则、配置更改原则、权限设置原则等。
● 密钥的安全管理
密钥的管理主要包括密钥的生成、检验、分配、保存、更换、注入、销毁等。
● 管理网络的安全管理
管理网络是一个有关网络维护、运营和管理信息的综合管理系统。它集高度自动化信息的搜集、传输、处理和存储于一体,主要功能是性能管理、配置管理、故障管理、计费管理等。
● 安全的行政管理
安全的行政管理的重点是安全组织的设立、安全人事管理、安全责任与监督等。如在安全组织结构中,应该有一个全面负责的人,负责整个网络信息系统的安全与保密。
(4) 强化网络安全标准
网络安全标准是一种多学科、综合性、规范性很强的标准,其目的在于保证网络信息系统的安全运行,保证用户和设备操作人员的人身安全。一个完整、统一、先进的安全标准体系是十分重要的。通过遵循合适的标准,可以使企业的网络安全有一个较高的起点和较好的规范性,对于网络间的安全互操作也起到关键作用。国内外已制定了许多安全方面的标准,具体分为以下4类:
● 基础类标准
主要包括安全词汇、安全体系结构、安全框架、信息安全技术评价准则等。
● 物理类标准
包括设备电磁泄漏规范、保密设备的安全保密规范等。
● 网络类标准
包括网络安全协议、网络安全机制、防火墙规范等。
● 应用类标准
包括硬件平台安全规范、软件应用平台规范、应用业务安全规范、安全工具开发规范、签证机构安全规范等。
3. 网络安全系统设计原则
虽然任何人都不可能设计出绝对安全和保密的网络信息系统,但是,如果在设计之初就遵从一些合理的原则,那么相应的网络系统的安全和保密就会更加有保障。如果设计时考虑不全面,消极地将安全和保密措施寄托在事后“打补丁”的思路是非常危险的。从工程技术角度,应遵循的原则如图3所示。
● 木桶原则:对信息均衡、全面地进行保护。
● 整体性原则:进行安全防护、监测和应急恢复。
● 实用性原则:不影响系统的正常运行和合法用户的操作。
● 等级性原则:区分安全层次和安全级别。
● 动态化原则:安全需要不断更新。
● 设计为本原则:安全设计与网络设计同步进行。