計算機網絡中信息系統的基礎性防范

摘要：該文對計算機網絡信息系統中存在的安全性問題進行了深入細致的分析，以Win2000 SERVER 作為實列，對網絡技術進行了安裝調試，提出了網絡層、服務器相應的安全措施與對策。

關鍵詞：網絡；信息系統；安全防范；措施；對策

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044(2008)27-1905-02

Basic Precautions in the Computer Network Information System

HOU Tian-feng

(Tongren College， Guizhou Province，Tongren 554300， China)

Abstract: In this paper，the securityissues that exist in computer network information systemsare made an depth and detailed analysis ， To win2000 server as an example ，debugging the network technology ，andputting forwardthe corresponding security measures and countermeasures innetwork layer and the server.

Key words： network；information systems；safety precautions；security measures；countermeasures

1 引言

隨作信息化進程的深入，越來越多的安全性問題突出地顯現出來，就目前而言，信息系統的安全性問題主要體現在以下幾個方面：一、安全技術保障體系尚不完善。硬軟件投入比例不合理、單位花了大量的資金買信息安全設備，但是技術保障不成體系，完全達不到預想的目的；二、沒有完善的應急反應體系。一旦出現信息安全性問題，通常無法采取及時有效的措施；三、單位部門通常沒有信息安全的標準、相應制度建設滯后。

據中國公安部網站消息，中國信息網絡安全事件發生比例連續三年呈上升趨勢，2007年已經達到65.7%，較2006年上升11.7%、2008年程上升趨勢。調查結果表明，造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的49%，登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%。

據有關部門網絡安全管理情況調查表明，近年來，使用單位對信息網絡安全管理工作的重視程度普遍提高，80%的被調查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務企業提供專業化的安全服務。但是，單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題，也說明目前安全管理水平和社會化服務的程度還比較低。

信息安全的任務是多方面的，根據當前信息安全的現狀，制定信息安全防范的任務主要是：從安全技術上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案；正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網絡安全：保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全：保障存儲、傳輸、應用的機密性、完整性、抗否認性，可用性。其他安全：病毒防治、預防內部犯罪。

計算機網絡中信息系統的安全防范措施應該包括如下幾個方面的內容。

2 網絡層安全措施

2.1 防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境之中，尤其以接入Internet網絡為甚。

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全 。

防火墻是網絡安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。防火墻可以強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計：如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。防止內部信息的外泄：通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用，有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN 。通過VPN，將企事業單位在地域上分布在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

2.2 入侵檢測技術

IETF 將一個入侵檢測系統分為四個組件：事件產生器；事件分析器；響應單元和事件數據庫。事件產生器的目的是從整個計算環境中獲得事件，并向系統的其他部分提供此事件。事件分析器分析得到的數據，并產生分析結果。響應單元則是對分析結果做出反應的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

根據檢測對象的不同，入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源，當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上，用以監測系統上正在運行的進程是否合法。最近出現的一種ID：位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式，對所有本網段內的數據包并進行信息收集，并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。

對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上，入侵檢測分為兩類：一種基于標志，另一種基于異常情況。

3 服務器端安全措施

只有正確的安裝和設置操作系統，才能使其在安全方面發揮應有的作用。下面以WIN2000 SERVER 為例。

3.1 正確地分區和分配邏輯盤

微軟的IIS經常有泄漏源碼/溢出的漏洞，如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器，C盤40G，用來裝系統和重要的日志文件，D盤40G放IIS，E盤80G放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。

3.2 正確地選擇安裝順序

一般的人可能對安裝順序不太重視，認為只要安裝好了，怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的：

首先，何時接入網絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000 SERVER之前，一定不要把主機接入網絡。

其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如： IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

4 安全配置

4.1 端口

端口是計算機和外部網絡相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規定開哪些端口，不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

4.2 IIS

IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，所以在本系統的WWW服務器采取下面的設置：

首先，把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D： \\Inetpub。

其次，在IIS安裝時默認的scripts等虛擬目錄全部刪除，這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了，但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建，需要什么權限開什么。特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要給。

4.3 應用程序配置

在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP， ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射，然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。

5 結束語

經過了Win2000 Server的正確安裝與正確配置，操作系統的漏洞得到了很好的預防，同時增加了補丁，這樣子就大大增強了操作系統的安全性能。

雖然信息管理系統安全性措施目前已經比較成熟，但我們切不可馬虎大意，只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施，才能保證我們的網絡安全防御真正固若金湯。