黑客如此猖獗,應(yīng)該采取什么樣的有效手段來防止黑客的入侵呢?俗話說:亡羊補牢,為時未晚。人類社會總是在邪惡勢力的不斷斗爭中向前發(fā)展的,魔高一尺,道高一丈,總有辦法有效地阻止黑客的入侵,保護好自己的計算機系統(tǒng)的。
企業(yè)要建立自己的計算機安全系統(tǒng),也應(yīng)根據(jù)自己單位的實際情況來選擇安全級別,選擇相應(yīng)的軟硬件設(shè)施和資金投入。對于已經(jīng)建立了企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶,根據(jù)其在Internet上開展業(yè)務(wù)量的多少,分三種情況詳細說明?! ?
一、未連接Internet
這類單位只需要建立初級的計算機網(wǎng)絡(luò)安全系統(tǒng),主要包括以下幾點:
1.選好系統(tǒng)管理員。這是最后的防線,如果系統(tǒng)管理員也成了黑客,那損失就不可避免了。
2.對系統(tǒng)管理員應(yīng)有制度上的制約,以消除安全隱患。比如限制管理員的操作權(quán)限,對管理員的行動進行監(jiān)控等。
3.對計算機操作人員必須明確具體的權(quán)限,每個人的密碼應(yīng)進行定期或不定期的修改,口令最好由數(shù)字和字母混合組成,并盡量用足規(guī)定的字符長度。
4.防止病毒入侵系統(tǒng)。嚴格限制外來盤片的使用,應(yīng)該備有經(jīng)國家計算機安全產(chǎn)品檢測中心檢測合格的殺病毒軟件,發(fā)現(xiàn)可疑情況及時查殺病毒。
5.加強機房管理,嚴格限制外來人員進入機房使用計算機。
二、偶爾使用Internet
這類單位的特點是:每天需要查閱幾個固定站點的信息,如報刊雜志,股票行情以及本行業(yè)的相關(guān)站點。這些單位除了應(yīng)該做到上述五點要求以外,還應(yīng)采取下列措施:
1.建立代理服務(wù)器,每天由專人負責(zé)定時接收這些固定站點的信息,接收完畢就立即與國際互聯(lián)網(wǎng)斷開。進行接收時,代理服務(wù)器最好脫離開企業(yè)內(nèi)部網(wǎng)。
2.在企業(yè)內(nèi)部網(wǎng)中,尤其是服務(wù)器上,應(yīng)盡量使用高版本的操作系統(tǒng)軟件如UNIX Open Server 5.0.4,Windows NT 4.0等。對操作系統(tǒng)的安全級別應(yīng)使用系統(tǒng)軟件所能提供的最高級。
三、大量使用Internet
這類企業(yè)的特點是:要在國際互聯(lián)網(wǎng)上實時地處理業(yè)務(wù),所以會遇到各種復(fù)雜情況。這類企業(yè)除了練好上述兩類企業(yè)的基本功以外,還應(yīng)該做到以下幾點(說明:以下的條目中,有些漏洞在高版本的操作系統(tǒng)中已經(jīng)消除。):
1.必須認真設(shè)置操作系統(tǒng):值得注意的是,操作系統(tǒng)的許多缺省值都已被黑客利用來作為入侵系統(tǒng)的突破口,所以,盡量不要使用系統(tǒng)缺省值。具體地說,主要注意以下幾點:
(1)改變Administrator賬戶的名字,為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。使黑客猜不到系統(tǒng)管理員和備份操作員的賬戶名。禁止所有具有Administrator和備份特權(quán)的賬戶瀏覽Web,以防黑客網(wǎng)上即時偵聽。不要設(shè)置缺省的Guest賬戶。
(2)確保%system%\reparir\sam.—在每次ERD更新后,對所有人不可讀。因為,Windows NT把用戶信息和加密口令保存于NT Registry中的SAM文件中,即安全賬戶管理(Security Accounts Management)數(shù)據(jù)庫。
?。?)限制遠程管理員訪問NT平臺。因為任何一個用戶都可以在命令行下,鍵入\\IPaddress\C$(或者\\IPaddress\D$,\\IPaddress\WINNT$)試圖連接任意一個NT平臺上管理系統(tǒng)的共享資源。
?。?)在域控制器上,修改Registry中Winlogon的設(shè)置為“OFF”。以免Windows NT在注冊對話框中顯示最近一次注冊的用戶名,給潛在的黑客提供信息。
(5)嚴格限制NT域中Windows NT工作站上的管理員特權(quán),決不用缺省值。因為任何人可能通過訪問內(nèi)存來獲取加密的口令,以獲得缺省管理員的訪問權(quán)。
(6)對于注冊表Registry,嚴格限制為只可進行本地注冊,不可遠程訪問。因為,Registry的缺省權(quán)限設(shè)置是對“所有人”“安全控制”(Full Control)和“創(chuàng)建”(Create)。這種設(shè)置可能引起Registry文件的刪除或者替換。
?。?)對關(guān)鍵目錄,應(yīng)改變其缺省權(quán)限為“讀”。缺省權(quán)限設(shè)置允許“所有人”對關(guān)鍵目錄具有“變更”級的訪問權(quán)。其中,“關(guān)鍵目錄”包括:每個NTFS卷的根目錄,System32目錄,以及Win32App目錄。
?。?)在賦予打印操作員權(quán)限時,要限制人數(shù)。因為打印操作員組中的任何一個成員對打印驅(qū)動程序具有系統(tǒng)級的訪問權(quán),這會被黑客利用來在打印驅(qū)動程序中插入惡意病毒。
?。?)合理配置FTP,確保服務(wù)器必須驗證所有FTP申請。因為FTP有一個設(shè)置選項,允許客戶直接進入一個賬戶,使無需授權(quán)而訪問用戶的文件和文件夾成為可能。
2.加強計算機系統(tǒng)的保安工作:
(1)關(guān)閉系統(tǒng)管理員的遠程能力,只允許他直接訪問控制臺。
?。?)未經(jīng)許可,不得重新安裝WindowsNT軟件。因為重新安裝整個的操作系統(tǒng),覆蓋原來的系統(tǒng),就可以獲得Administrator特權(quán)。
3.對金融等安全性特別重要的系統(tǒng)應(yīng)建立信息系統(tǒng)防火墻:
在防火墻上,應(yīng)截止從端口135到142的所有TCP和UDP連接,這樣有利于控制。最安全的方法是利用代理(Proxy)來限制或者完全拒絕網(wǎng)絡(luò)上基于SMB的連接。SMB是指服務(wù)消息塊(ServerMessageBlock)。SMB有很多尚未公開的“后門”,能不用授權(quán)就可以存取SAM和NT服務(wù)器上的其他文件。SMB協(xié)議允許遠程訪問共享目錄,Registry數(shù)據(jù)庫,以及其他一些系統(tǒng)服務(wù)。
