網頁設計打造安全的信息網絡－lixiangni

無標題文件

網頁設計打造安全的信息網絡

發佈者:SEO香港優化專家 - Web Design

網站設計 本文是一篇安全嚮導，以幫助管理員和安全專家更健康的配置windows平台。

　　防火牆和它們充當的角色

　　防火牆是被連接到互聯網任一個網絡的整體部分。如果沒有安裝防火牆，許多攻擊可能在管理員不知道的情況下發生。許多這樣的攻擊可能是很致命的，會直接導致計算機宕機，如果沒有防火牆，可用路由器過濾掉易被入侵者利用來攻擊網絡的不需要的協議和端口。最多被使用的是TCP/IP協議。低端的TCP端口135，139，和445 ，以及UDP端口135，137，和445應該被阻攔，還有其他所有未使用的端口。你可以認為防火牆是修築在您的網絡附近的物理牆壁。每次您打開端口，就在牆壁打了一個孔來安裝窗口。一些窗口向外，另外一些向內。入侵者能利用窗口但只能看到網絡裡面有什麼。您安裝窗口(端口)越多，您的牆壁將變得更加透明。

　　Service packs

　　Service packs是為了修補已發售的產品的一些錯誤以及產品的一些新的應用的一個補丁合集。沒有這些補丁包，一些windows的應用將無法實現。安全補丁也被發佈用於修補有弱點並且程序員未注意的區域。當漏洞被發現後也許要幾天甚至幾星期才會有一個有效的補丁發佈。這期間，您的機器將可能被掃瞄並且漏洞被人利用。應當讓你在網絡上的機器隨時關注windows的升級中心並隨時升級補丁程序，這樣你的機器將會安全些。如果您不想為您的機器打補丁，一旦中招，你將花費許多的時間來修復當機的後果，損失將無法計算。

　　帳戶考慮

　　如果您使用Windows NT 或以上的版本，確保你的管理員的帳號是安全的。給管理員帳戶改名，然後再創造其它帳戶將之命名為管理員。並且給原來的那個管理員帳戶最低的權限，這樣入侵者將花費更多的時間才能猜解得到可以存取的管理員帳戶。

　　反病毒

　　病毒發展迅速，並且許多新病毒每週被發佈。如果您的機器有互聯網連接或有傳輸介質與其他的計算機連接，抗病毒就是必需的。定期升級抗病毒軟件，這樣中毒的風險將大大減少。使用有安全證書的軟件，掃瞄你接收的電子郵件，以及使用的光盤等傳輸介質。將網絡瀏覽器的安全級別設置為高。不要用服務器或其他重要機器來上網瀏覽網頁。使用安裝了補丁並且安裝了殺毒軟件的測試系統來下載必要的軟件這樣可以保證軟件系統的安全。不要下載形式未知的數據包。從文件共享服務器下載軟件不僅危險，並且可能減弱整個網絡的性能。一些病毒在執行後被傳播到整個網絡，根據病毒的危害性將有可能導致網絡癱瘓，造成財政損失。

　　病毒軟件設置需要被設置為最高安全性。保證任一種惡意病毒活動的形式都被禁止。可以設置修復被病毒傳染的文件，但如果文件不可修復而又不是系統必須的，就沒有保留的必要了。木馬類型的病毒可輕易地打開你的您的網絡，既使您的防火牆將所有的端口關閉。當機器感染特洛伊木馬，它可以讓你的網絡後門大開。在您的郵件服務器禁止所有潛在地惡意文件類型。如VBS 、EXE ，COM 等。如果這些文件為企業目的必須使用，可由信任的用戶執行。如果用戶需要發送包含.exe的郵件，建議他們給文件改名，並以不同的方式發送。設置您的抗病毒掃瞄包含選擇的方式確保病毒無法通行。

　　撥號接入或遠程網絡連接

　　限制撥號用戶的接入和限制用戶從遠程登入的功能。並且記錄用戶活動。使用VPN訪問網絡是一種可信任的安全方法。比正常PPP 連接，VPN 連接的數據相是較不易受攔截。在高安全環境下設定遠程連接要求證件檢驗。在客戶端證明上使用強的密碼認證方法。遠程存取依然是最微弱的鏈接，如果不正確地實施，在許多情況下將會被入侵者尋找利用。

　　從公司網絡劃分出獨立的網段給撥號用戶是一個不錯的方法。這種解答可能有許多功能特點。如果您的網絡用戶需要撥號回到被預先決定的數字是一個好方式，這樣可以保證後面設置連接確實連接到用戶的家裡。另一考慮是, 用戶不能在本地機器存放密碼，他訪問網絡的密碼不應該被保存，應該在每次連接時鍵入。

　　上述圖代表通過一條安全VPN 路線遠程網接入連接互聯網和一個撥號的計算機。注意防火牆是根據被設置在防火牆的允許規則將這些用戶作為外在網絡用戶和被創造的虛擬網絡接入。

　　入侵檢測

　　入侵檢測是強化windows網絡的一重要部份，有許多的入侵檢測軟件，也有很多安全組織可以幫你的忙。如 www.windowsecurity.com

　　安全的密碼- 怎樣才算一個好密碼?

　　·大於8個字符
　　·包含元素從至少三到四個字符集
　　·大寫體字符
　　·小寫字母
　　·數字
　　·非alpha數字字符
　　·不包含某些帳戶、用戶名或其部分，或任何共同的詞的部份
　　·使用ALT 字符。 ALT 字符是那些您鍵入由持續Alt鍵(FN+ALT筆記本) 並且鍵入三或四數字數字在數字小鍵盤。多數密碼探測器不能測試大多數ALT 字符。
　　·不要允許密碼緩存的存貯。

　　通過密碼過濾器強制執行這些策略，必要時使用組政策管理器。

　　安裝的服務

　　服務作為註冊的進程運行在多數windows機器上。這些服務是入侵者試圖發現弱點的目標。關閉無用的服務可減少被入侵者利用的機會。還可以減少硬件資源的消耗。

　　文件系統

　　應該選擇可以給文件以最高安全性的文件系統。。NTFS是一個強的安全文件系統。讓管理員和用戶按照各自被分配的允許控制對文件的訪問。這種控制不僅保護用戶免受潛在的入侵者入侵，而且可以防止病毒在計算機上的安裝運行。這是一個好想法用NTFS格式化所有分區，這樣在機器被竊取或被誤置的情況下，也能保障數據安全。數據不不會像在Fat 分區那樣脆弱，不過現在有幾個公司開發了能讀NTFS文件系統的文件的軟件，在許可的條件下還是可以讀取的。

　　BIOS

　　不要將你的BIOS處於開放狀態，。應當給BIOS設置一個密碼。如果用戶想要改變啟動的驅動器她首先必須進入BIOS將首要啟動項設為CD-ROM 。設置BIOS密碼可以增加系統的安全性。如果BIOS被鎖定，使用者就無法進行啟動項更改，從而使其不得門而入。請注意某些早期的BIOS設置有萬能密碼，所以應當選用沒有萬能密碼的設備。

　　啟動驅動器

　　在BIOS將啟動設為C Only 像CD-ROM和軟驅給入侵者提供的一條大道。入侵者也許需要安裝或裝載第三方應用軟件以繞開操作系統的限制。

　　在獨立網段安裝IIS

　　IIS被發現許多漏洞，因為它非常方便並且被廣泛應用。但是由於蠕蟲的流行使得網絡中的計算機並不安全，我們極力推薦將運行IIS的系統安裝在被隔離的網段，並注意安裝最新的服務補丁包。微軟發行了IIS的鎖定工具可用於用鎖定IIS已知的漏洞，請在微軟的升級中心下載這個工具。 IIS 服務器需要由用戶在互聯網連接，這使服務器特別易受影響。通過ISA 服務器發佈IIS 服務也許幫助緩和所有已知的弱點，將幫助在增加安全額外層數到您的IIS 窗口服務器。同樣，SQL 服務器也要從網絡被連接，也可以通過ISA 服務器發佈。更多信息參觀 www.ISAsever.org .

　　劃分網段

　　網絡的物理分割總是百利無害的。如果您的硬件允許，建議你實施這個方案。對網絡劃分VLAN 並且設置訪問許可列表讓特定的計算機只能訪問許可範圍內的網段。分割您的網絡是一個好想法，如果您想測試從一個不可信來源的軟件，這些軟件也許包含會在網絡傳播的病毒。如 Opaserv 病毒。

　　VPN遠程存取。網絡的分割可能並且增加網絡的安全性，例如你可以設定所有用戶能訪問服務器但用戶不能互相訪問。這減少了用戶數據被非法讀取的可能性。如果機器感染會對LAN 掃瞄並傳播的病毒，病毒將不能傳播，因為它會發現自己被其它計算機隔離。

被分段的網段

　　部門劃分

　　各部門之間並行連接的網絡可能存在一定的危險性。各個部門應該被視為局域網的一段，而不應該視為整體，各個部門在網絡上應該被劃分開，相互之間不能直接訪問，除了機器象mail 服務器和目錄服務器之類的公共服務器，部門間發送的路由包應當被限制，以確保企業網絡的暢通。如果您看適合這也許是一個好想法，將各個部門放在防火牆之後並且之讓合乎規則的通信能通過防火牆。它將保持雙方的安全。並阻止從不允許的突破口進入的企圖。

　　備份

　　在任一組織，災害補救戰略應該是事務連續性的一部分，並且備份將是這個戰略的一部分。所有數據都應該被備份並可以迅速的被恢復。備份非常重要，並且應當採用非在線的方式存儲。在線存儲的方式無法恢復物理損壞的站點。非在線存儲需要特定的安全條件。

　　總結

　　現在有很多工具可以幫助你檢察你的網絡的安全性，它們可以幫助你監視網絡事件以維護網絡的性能，並檢察出系統的漏洞以便修補，從而防止被攻擊。在這篇文章裡涵蓋了大部分的網絡和windows平台，建議你執行以上的規則。
網頁寄存