㈠ 農業部計算機信息網路系統安全保密管理暫行規定
第一章 總則第一條 為了加強對我部計算機信息網路的管理,保障計算機網路安全運行和網上信息交流的健康發展,根據《中華人民共和國保守國家秘密法》和中央保密委員會有關精神,制定本規定。第二條 計算機網路系統的安全保密工作既要保障國家秘密的安全,又要促進信息處理技術的提高,有利於信息的共享與應用。加強計算機網路系統的安全保密工作,一靠組織管理,二靠技術進步。第三條 本規定適用於聯入農業部計算機信息網路的部機關各司局、直屬單位及各省有關部門。規定中所稱的「農業部區域網絡」,指通過光纜、同軸電纜、雙絞線等手段聯入網路的計算機系統;所稱「農業部遠程網路」,指以電話線路、公用數據線路與農業部計算機信息網路聯網的計算機系統。第二章 涉密信息保密第四條 在農業部計算機信息網路上存儲和傳輸的信息,應根據農業部、國家保密局有關「農業工作中國家秘密及其密級具體范圍的規定」精神,分清保密和非密的性質。需要在網路上存儲、傳輸的保密信息,應遵守有關的保密要求。信息提供部門負責按照相關保密規定,明確信息秘密等級、保密期限和提供范圍;網路技術安全管理部門(部信息中心或自管網路的管理部門,下同)負責實施相應的安全措施。第五條 秘密級別以上的信息只限在專用的、採取了保密措施的微機(加裝了干擾機或其他措施,下同)上編輯與傳輸。第六條 農業部計算機信息網路上不存儲和傳輸絕密級信息以及有關單位認為不宜上網的信息。其他保密信息可在「農業部區域網絡」上通過採取了保密措施的微機上閱看。保密信息如果需要在「農業部遠程網路」上傳遞,必須在傳遞的雙方同時加接保密機(或採取保密部門認可的其他措施),目前在沒有配備保密設施的情況下,「農業部遠程網路」不傳輸秘密以上級別的信息。第七條 網路上的資料庫內容涉及保密的數據資料時,要在資料庫設計時就提出保密要求和調用許可權,由網路技術安全管理部門負責進行安全保密設計。如果委託其他單位設計,須由設計單位提供源碼程序,經網路技術安全管理部門進行安全保密認證並進行保密設置後方可入網運行。第八條 在網路上編發信息的部門,要根據國家和農業部有關的保密文件,確定需要保密的信息內容、劃分編發等級、明確信息提供范圍。對於信源單位已提出保密要求的信息,信息編發部門要嚴格按照信源單位提出的保密要求和提供范圍確定網上編發級別;對於未明確密級但內容涉密的信息,要根據有關的保密規定,確定編發級別;對有涉密嫌疑又來源不明的信息不予編發。第九條 信息使用、加工處理部門及網路管理部門,不得通過不正當的手段,超越許可權查看、使用、復制保密信息,也不能擅自降低保密級別,把保密信息作為非保密信息傳播。第十條 「農業部區域網絡」與上級或其他部委聯網時的安全保密措施,按信息提供單位的要求執行。第三章 網路安全管理第十一條 網路建設和運行,必需有技術上的安全和保密控制措施,拒絕未經授權的訪問。第十二條 用戶口令是進入網路的重要關卡,授權用戶對自己的口令必須嚴格保密,不能轉告非授權用戶。計算機網路用戶的口令和採取的安全措施,屬於秘密級事項;有調閱機密內容許可權的用戶口令和網路系統級口令及安全措施屬於機密事項。第十三條 為了保證網路安全,任何單位和個人不得在「農業部區域網絡」上擅自聯接各類網路設備。所有網路設備的增減與變動,其技術方案必須經部網路技術安全管理部門(部信息中心,下同)認可並由其派出的技術人員予以安裝和維護,任何單位和個人不得私自改動和聯接。第十四條 各單位聯入「農業部區域網絡」,需要安裝主機、伺服器等設備時,必須預先報部信息體系領導小組辦公室(設在市場信息司,下同)核准,並由部網路技術安全管理部門進行安全和技術審核,分配網路地址和設置安全措施後,方可實施安裝。第十五條 本部各單位在「農業部區域網絡」覆蓋范圍外獨立建設的計算機信息網路,應事前報部信息體系領導小組辦公室批准,並接受部保密委員會組織的技術安全審查。第十六條 「農業部區域網絡」所覆蓋范圍內的各司局、直屬單位,如需要通過區域網與外單位進行信息(含數據)交換,應經由農業部計算機信息網路提供的統一網路信道進出。個別上級業務主管部門要求建立獨立的網路信息通道時,應事先報部保密委員會和部信息體系領導小組辦公室批准並經部網路技術安全管理部門進行內部技術安全審查。
㈡ 作為一個管理員你要怎麼維護網路安全
這個問的太籠統了點。。
作為一個管理員。。什麼管理員?
一台個人PC的管理員?
或者是一個區域網的管理員?
又或者是IDC管理員?
網路安全。。
你是想保護網路系統的硬體?軟體?或者是數據?
防止人為的或者偶然的原因被破壞或篡改??
又或者只是保證系統正常的運行?網路服務沒有中斷?
㈢ 計算機網路安全技術是學干什麼的
計算機網路安全專業要學計算機網路技術基礎、網站組建管理與維護、高級語言程序設計、系統安全技術、防火牆技術、資料庫安全技術、入侵檢測與防範技術、數據加密與PKI技術等。計算機網路安全包括物理安全和邏輯安全,每所學校由於專業方向的不同,具體的學習課程設置也不相同。
計算機網路安全專業畢業生可從事什麼工作?
一、網路工程師
網路工程師又分硬體和軟體網路工程師兩大類,硬體網路工程師主要負責計算機網路物理設備的維護和通信,軟體網路工程師則負責計算機系統的軟體、應用軟體的維護和應用。
二、網路管理員
網路管理員主要負責網路操作系統、資料庫、網路設備、網路管理、網路安全、應用開發等方面的工作,具有從事計算機網路運行、維護的能力。
三、運維工程師
運維工程師就是面對一台甚至幾十萬台伺服器,在做好管理工作的同時,能及時的發現伺服器的問題並進行伺服器修復、改進、優化等工作,要保障伺服器服務的高可用性和高穩定性。
四、IT專員
IT專員主要是負責一個單位或企業的自有信息系統的軟體開發、維護、日常管理等工作,能根據公司及客戶要求,完成系統或資料庫的開發、管理、培訓等工作。
五、網路安全項目經理
能對單位或企業的計算機網路安全項目進行質量、安全、進度、成本等方面的管理,調動協調項目組成員和客戶之間溝通,完成計劃任務。
㈣ 關於計算機網路系統安全性有哪些
你好,領學網為你解答:
計算機網路的安全性一:
數據安全性
攔截過濾
信息安全性傳輸
數據完整性
計算機網路的安全性二:
你首先要理解問題的主體,即什麼是計算機網路,其中包括哪些設備和設施?如:主機(PC、伺服器)、網路設備(路由交換)、傳輸方式(有線、無線)等等。了解他們如何實現安全性,在做具體的整合,就比較容易回答你的問題了。 目前國內有公安部推行的計算機信息安全等級保護管理辦法,你可以學習一下,能夠幫助你系統的理解網路安全。
計算機網路的安全性三:
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。 網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
希望幫到你
㈤ 計算機網路系統設備安全應採取哪些手段
隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網路安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將著重對計算機信息網路安全存在的問題提出相應的安全防範措施。 1、技術層面對策
在技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
1) 建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。 2) 網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。 3) 資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
4) 應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。 5) 切斷傳播途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網路可疑信息。
6) 提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
7) 研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。 2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。 3、物理安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這
個安全的環境是指機房及其設施,主要包括以下內容:
1) 計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。 2) 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3) 機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。 計算機網路安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網路安全解決方案是綜合各種計算機網路信息系統安全技術,將安全操作系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網路安全防護體系。我們必須做到管理和技術並重,安全技術必須結合安全措施,並加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標准。此外,由於計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
㈥ 如果你是一名事業單位的網路安全管理員,你將主要從哪幾個方面好好工作
基礎設施管理
(1)確保網路通信傳輸暢通;
(2)掌握主幹設備的配置情況及配置參數變更情況,備份各個設備的配置文件;
(3)對運行關鍵業務網路的主幹設備配備相應的備份設備,並配置為熱後備設備;
(4)負責網路布線配線架的管理,確保配線的合理有序;
(5)掌握用戶端設備接入網路的情況,以便發現問題時可迅速定位;
(6)採取技術措施,對網路內經常出現的用戶需要變更位置和部門的情況進行管理;
(7)掌握與外部網路的連接配置,監督網路通信狀況,發現問題後與有關機構及時聯系;
(8)實時監控整個區域網的運轉和網路通信流量情況;
(9)制定、發布網路基礎設施使用管理辦法並監督執行情況。
1、操作系統管理
(1)在網路操作系統配置完成並投入正常運行後,為了確保網路操作系統工作正常,網路管理員首先應該能夠熟練的利用系統提供的各種管理工具軟體,實時監督系統的運轉情況,及時發現故障徵兆並進行處理。
(2)在網路運行過程中,網路管理員應隨時掌握網路系統配置情況及配置參數變更情況,對配置參數進行備份。網路管理員還應該做到隨著系統環境的變化、業務發展需要和用戶需求,動態調整系統配置參數,優化系統性能。
(3)網路管理員應為關鍵的網路操作系統伺服器建立熱備份系統,做好防災准備。
2、應用系統管理
(1) 確保各種網路應用服務運行的不間斷性和工作性能的良好性,出現故障時應將故障造成的損失和影響控制在最小范圍內。
(2) 對於要求不可中斷的關鍵型網路應用系統,除了在軟體手段上要掌握、備份系統參數和定期備份系統業務數據外,必要時在硬體手段上還要建立和配置系統的熱備份。
(3) 對於用戶訪問頻率高、系統負荷的網路應用服務,必要時網路管理員還應該採取分擔的技術措施。
3、用戶服務管理
(1) 用戶的開戶與撤銷;
(2) 用戶組的設置與管理;
(3) 用戶可用服務與資源的的許可權管理和配額管理;
(4) 用戶計費管理;
(5) 包括用戶桌面聯網計算機的技術支持服務和用戶技術培訓服務的用戶端支持服務。
4、安全保密管理
(1) 安全與保密是一個問題的兩個方面,安全主要指防止外部對網路的攻擊和入侵,保密主要指防止網路內部信息的泄漏。
(2) 對於普通級別的網路,網路管理員的任務主要是配置管理好系統防火牆。為了能夠及時發現和阻止網路黑客的攻擊,可以加配入侵檢測系統對關鍵服務提供安全保護。
(3) 對於安全保密級別要求高的網路,網路管理員除了應該採取上述措施外,還應該配備網路安全漏洞掃描系統,並對關鍵的網路伺服器採取容災的技術手段。
(4) 更嚴格的涉密計算機網路,還要求在物理上與外部公共計算機網路絕對隔離,對安置涉密網路計算機和網路主幹設備的房間要採取安全措施,管理和控制人員的進出,對涉密網路用戶的工作情況要進行全面的管理和監控。
5、信息儲備管理
(1) 採取一切可能的技術手段和管理措施,保護網路中的信息安全。
(2) 對於實時工作級別要求不高的系統和數據,最低限度網路管理員也應該進行定期手工操作備份。
(3) 對於關鍵業務服務系統和實時性要求高的數據和信息,網路管理員應該建立存儲備份系統,進行集中式的備份管理。
(4) 最後將備份數據隨時保存在安全地點更是非常重要。
6、機房管理
(1) 掌握機房數據通信電纜布線情況,在增減設備時確保布線合理,管理維護方便;
(2) 掌管機房設備供電線路安排,在增減設備時注意負載的合理配置;
(3) 管理網路機房的溫度、濕度和通風狀況,提供適合的工作環境;
(4) 確保網路機房內各種設備的正常運轉;
(5) 確保網路機房符合防火安全要求,火警監測系統工作正常,滅火措施有效;
(6) 採取措施,在外部供電意外中斷和恢復時,實現在無人值守情況下保證網路設備安全運行;
(7) 保持機房整潔有序,按時記錄網路機房運行日誌,制定網路機房管理制度並監督執行。
7、其它
(1) 配合其它部門進行部門區域網絡的建設,提出規劃、標准。
(2) 配合保衛部門,對網路不良行為進行取證。
(3) 做到網路中心服務反饋工作,及時通報網路運行信息。
(6)計算機網路管理員系統安全擴展閱讀
首先,計算機網路管理員是一個「先存在而後有定義」的職業。
計算機網路管理員(簡稱網管員)是一個蓬勃發展的新興職業,在短短的幾年內,已成為絕大多數企業中必設的工作崗位,也成為眾多年輕人嚮往的職業。
而網管員同時也是一個「先存在而後進行定義」的職業,網管員職業標準的滯後以及傳統教育的缺失,使得社會普遍對這個職業存在著很多疑惑,不管是求職者,還是用人單位都存在著如下的疑問:
什麼是合格的計算機網路管理員?一個計算機網路管理員需要從事什麼樣的具體工作?作為網路管理員必備的技能是什麼?如何培養合格的計算機網路管理員?而對「網管員」從業人員來講,如何獲得相關知識和技能呢?
其次,網管員要建立終身學習的理念。
終身學習是對傳統教育的觀念、體系、結構、組織的終結者。其價值理念源自當代社會知識爆炸和信息急劇增長的現狀,已成為現代一種新的生活方式。傳統知識教育中並沒有針對網管員職業設置的專業,另外,注重理論的講授無法滿足強調動手能力的工作要求。
從業人員只能通過在工作中不斷地學習和探索來滿足崗位的需求;而另一方面,IT技術無疑是這個時代發展最為迅猛的技術之一,其普及與應用的速度也是無與倫比。這就要求「網管員」必須建立終身學習的理念,通過參加培訓、自學、交流等種種渠道學習和掌握最新、最實用的技術,構建和完善自身的技術體系。
最後,什麼是合格的計算機網路管理員?一個計算機網路管理員需要掌握哪些技能呢?
依據企業的業務性質與規模不同,對網管員的工作要求也有較大的差異。IT信息系統規模大的企業,分工較細,網管員可能只需要負責計算機機房的網路運行和維護。
而一些小型企業,只設一個網管員,他(她)可能不但要負責IT系統運行維護中的設備管理,還要負責網路管理和系統管理,還有的企業需要網管員進行一些簡單的網站建設和網頁製作等工作。
總之,對網管員的要求基本就是大而全,不需要精通,但什麼都得懂一些。所以,總結下來,一個合格的網路管理員最好在網路操作系統、網路資料庫、網路設備、網路管理、網路安全、應用開發等六個方面具備扎實的理論知識和應用技能,才能在工作中做到得心應手,游刃有餘。
㈦ 有關於網路信息系統安全的四個問題
1.網路系統的不安全因素
計算機網路系統的不安全因素按威脅的對象可以分為三種:一是對網路硬體的威脅,這主要指那些惡意破壞網路設施的行為,如偷竊、無意或惡意毀損等等;二是對網路軟體的威脅,如病毒、木馬入侵,流量攻擊等等;三是對網路上傳輸或存儲的數據進行的攻擊,比如修改數據,解密數據,刪除破壞數據等等。這些威脅有很多很多,可能是無意的,也可能是有意的,可能是系統本來就存在的,也可能是我們安裝、配置不當造成的,有些威脅甚至會同時破壞我們的軟硬體和存儲的寶貴數據。如CIH病毒在破壞數據和軟體的同時還會破壞系統BIOS,使整個系統癱瘓。針對威脅的來源主要有以下幾方面:
1.1無意過失
如管理員安全配置不當造成的安全漏洞,有些不需要開放的埠沒有即時用戶帳戶密碼設置過於簡單,用戶將自己的帳號密碼輕意泄漏或轉告他人,或幾人共享帳號密碼等,都會對網路安全帶來威脅。
1.2惡意攻擊
這是我們賴以生存的網路所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊,它有選擇地破壞信息的有效性和完整性,破壞網路的軟硬體系統,或製造信息流量使我們的網路系統癱瘓;另一類是隱藏攻擊,它是在不影響用戶和系統日常工作的前提下,採取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網路系統造成極大的危害,並導致機密數據的外泄或系統癱瘓。
1.3漏洞後門
網路操作系統和其他工具、應用軟體不可能是百分之百的無缺陷和無漏洞的,尤其是我們既愛又恨的「Windows」系統,這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道,無數次出現過的病毒(如近期的沖擊波和震盪波就是採用了Windows系統的漏洞)造成的重大損失和慘痛教訓,就是由我們的漏洞所造成的。黑客浸入網路的事件,大部分也是利用漏洞進行的。「後門」是軟體開發人員為了自己的方便,在軟體開發時故意為自己設置的,這在一般情況下沒有什麼問題,但是一旦該開發人員有一天想不通要利用利用該「後門」,那麼後果就嚴重了,就算他自己安分守己,但一旦「後門」洞開和泄露,其造成的後果將更不堪設想。
如何提高網路信息系統安全性
2.1 物理安全策略
物理安全策略的目的是保護計算機系統、伺服器、網路設備、列印機等硬體實體和通信鏈路的物理安全,如採取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由於很多計算機系統都有較強的電磁泄漏和輻射,確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度,伺服器應該放在安裝了監視器的隔離房間內,並且要保留1天以上的監視記錄,另外機箱、鍵盤、電腦桌抽屜要上鎖,鑰匙要放在另外的安全位置,防止未經授權而進入計算機控制室,防止各種偷竊、竊取和破壞活動的發生。
2.2 訪問控制策略
網路中所能採用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用,但訪問控制策略可以說是保證網路安全最重要的核心策略之一。它的主要目的是保證網路信息不被非法訪問和保證網路資源不被非法使用。它也是維護網路系統安全、保護網路資源的重要手段。下面我們分述各種訪問控制策略。
2.2.1 登陸訪問控制
登陸訪問控制為網路訪問提供了第一層訪問控制。通過設置帳號,可以控制哪些用戶能夠登錄到伺服器並獲取網路信息和使用資源;通過設置帳號屬性,可以設置密碼需求條件,控制用戶在哪些時段能夠登陸到指定域,控制用戶從哪台工作站登陸到指定域,設置用戶帳號的失效日期。
注:當用戶的登錄時段失效時,到域中網路資源的鏈接不會被終止。然而,該用戶不能再創建到域中其他計算機的新鏈接。
用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然後是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。
由於用戶名和密碼是對網路用戶的進行驗證的第一道防線。所以作為網路安全工作人員在些就可以採取一系列的措施防止非法訪問。
a. 基本的設置
應該限制普通用戶的帳號使用時間、方式和許可權。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計,如果多次輸入口令不正確,則應該認為是非法入侵,應給出報警信息,並立即停用該帳戶。
b. 認真考慮和處理系統內置帳號
建議採取以下措施:i.停用Guest帳號,搞不懂Microsoft為何不允許刪除Guest帳號,但不刪除我們也有辦法:在計算機管理的用戶和組裡面,把Guest帳號禁用,任何時候都不允許Guest帳號登陸系統。如果還不放心,可以給Guest帳號設置一個長而復雜的密碼。這里為對Windows 2有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2系統的帳號信息,是存放在注冊表HKEY_LOCAL_MACHINE\SAM里的,但即使我們的系統管理員也無法打開看到這個主鍵,這主要也是基於安全的原因,但是「System」帳號卻有這個許可權,聰明的讀者應該知道怎麼辦了吧,對了,以「SYSTEM」許可權啟動注冊表就可以了,具體方法為:以「AT」命令來添加一個計劃任務來啟動Regedit.exe程序,然後檢查注冊表項,把帳號Guest清除掉。首先,看一下時間 :3,在「運行」對話框中或「cmd」中運行命令:at :31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是「SYSTEM」了,/interactive的目的是讓運行的程序以互動式界面的方式運行。一分鍾後regedit.exe程序運行了,依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,將以下兩個相關鍵全部刪掉:一個是1F5,一個是Names下面的Guest。完成後我們可是用以下命令證實Guest帳號確實被刪掉了「net user guest」。ii.系統管理員要擁有兩個帳號,一個帳號是具有管理員許可權,用於系統管理,另一個帳號只有一般許可權,用於日常操作。這樣只有在維護系統或安裝軟體時才用管理員身份登陸,有利於保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用,這樣Microsoft就給Hacker們提供了特別大的幫助,但我們也可將之改名,如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等於白改的名字。
c. 設置欺騙帳號
這是一個自我感覺非常有用的方法:創建一個名為Administrator的許可權最低的欺騙帳號,密碼設置相當復雜,既長又含特殊字元,讓Hacker們使勁破解,也許他破解還沒有成功我們就已經發現了他的入侵企圖,退一步,即使他破解成功了最後還是會大失所望的發現白忙半天。
d. 限制用戶數量
因為用戶數量越多,用戶許可權、密碼等設置的缺陷就會越多,Hacker們的機會和突破口也就越多,刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。
e. 禁止系統顯示上次登陸的用戶名
Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能,下次重啟時,會在用戶名欄中提示上次用戶的登陸名,這個信息可能被別有用心的人利用,給系統和用戶造成隱患,我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表,展開到以下分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在此分支下新建字元串命名為:DontDisplayLastUserName,並把該字元串值設為:「1」,完成後重新啟動計算機就不會顯示上次登錄用戶的名字了。
f. 禁止建立空連接
默認情況下,任何用戶通過空連接連上伺服器後,可能進行枚舉帳號,猜測密碼,我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表,展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然後將該分支下的restrictanonymous的值改為「1」即可。
g. 通過智能卡登錄
採用攜帶型驗證器來驗證用戶的身份。如廣泛採用的智能卡驗證方式。通過智能卡登錄到網路提供了很強的身份驗證方式,因為,在驗證進入域的用戶時,這種方式使用了基於加密的身份驗證和所有權證據。
例如,如果一些別有用心的人得到了用戶的密碼,就可以用該密碼在網路上冒稱用戶的身份做一些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等),這會使密碼先天脆弱,很容易受到攻擊。
在使用智能卡的情況下,那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由於需要其它的信息才能假扮用戶,因而這種組合可以減少攻擊的可能性。另一個好處是連續幾次輸入錯誤的 PIN 後,智能卡將被鎖定,因而使得採用詞典攻擊智能卡非常困難。
2.2.2 資源的許可權管理
資源包括系統的軟硬體以及磁碟上存儲的信息等。我們可以利用Microsoft 在Windows 2中給我們提供的豐富的許可權管理來控制用戶對系統資源的訪問,從而起到安全管理的目的。
a. 利用組管理對資源的訪問
組是用戶帳號的集合,利用組而不用單個的用戶管理對資源的訪問可以簡化對網路資源的管理。利用組可以一次對多個用戶授予許可權,而且在我們對一個組設置一定許可權後,以後要將相同的許可權授予別的組或用戶時只要將該用戶或組添加進該組即可。
如銷售部的成員可以訪問產品的成本信息,不能訪問公司員工的工資信息,而人事部的員工可以訪問員工的工資信息卻不能訪問產品成本信息,當一個銷售部的員工調到人事部後,如果我們的許可權控制是以每個用戶為單位進行控制,則許可權設置相當麻煩而且容易出錯,如果我們用組進行管理則相當簡單,我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。
b. 利用NTFS管理數據
NTFS文件系統為我們提供了豐富的許可權管理功能,利用了NTFS文件系統就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內容、讀和執行、修改、全面控制等許可權,甚至還可以定義一些特殊許可權。NTFS只適用於NTFS磁碟分區,不能用於FAT或FAT32分區。不管用戶是訪問文件還是文件夾,也不管這些文件或文件夾是在計算機上還是在網路上,NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機,還包括他們被授予的訪問許可權。注意:要正確和熟練地使用NTFS控制許可權的分配必須深入了解NTFS許可權的特點、繼承性、「拒絕」許可權的特性以及文件和文件夾在復制和移動後的結果。一個網路系統管理員應當系統地考慮用戶的工作情況並將各種許可權進行有效的組合,然後授予用戶。各種許可權的有效組合可以讓用戶方便地完成工作,同時又能有效地控制用戶對伺服器資源的訪問,從而加強了網路和伺服器的安全性。
2.2.3 網路伺服器安全控制
網路伺服器是我們網路的心臟,保護網路伺服器的安全是我們安全工作的首要任務,沒有伺服器的安全就沒有網路的安全。為了有效地保護伺服器的安全,我們必須從以下幾個方面開展工作。
a. 嚴格伺服器許可權管理
由於伺服器的重要地位,我們必須認真分析和評估需要在伺服器上工作的用戶的工作內容和工作性質,根據其工作特點授予適當的許可權,這些許可權要保證該用戶能夠順利地完成工作,但也決不要多給他一點許可權(即使充分相信他不會破壞也要考慮他的誤操作),同時刪除一些不用的和沒有必要存在的用戶和組(如員工調動部門或辭退等)。根據情況限制或禁止遠程管理,限制遠程訪問許可權等也是網路安全工作者必需考慮的工作。
b. 嚴格執行備份操作
作為一個網路管理員,由於磁碟驅動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最為常見的事情。為了保證系統能夠從災難中以最快的速度恢復工作,最大化地降低停機時間,最大程度地挽救數據,備份是一個最為簡單和可靠的方法。Windows 2 集成了一個功能強大的圖形化備份實用程序。它專門為防止由於硬體或存儲媒體發生故障而造成數據丟失而設計的。它提供了五個備份類型:普通、副本、差異、增量和每日,我們根據備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。
警告:對於從Windows 2 NTFS卷中備份的數據,必須將之還原到一個Windows 2 NTFS卷中,這樣可以避免數據丟失,同時能夠保留訪問許可權、加密文件系統(Encrypting File System)設置信息、磁碟限額信息等。如果將之還原到了FAT文件系統中,將丟失所有加密數據,同時文件不可讀。
c. 嚴格起用備用伺服器
對於一些非常重要的伺服器,如域控制器、橋頭伺服器、DHCP伺服器、DNS伺服器、WINS伺服器等擔負網路重要功能的伺服器,也包括那些一旦癱瘓就要嚴重影響公司業務的應用程序伺服器,我們應該不惜成本建立備份機制,這樣即使某個伺服器發生故障,對我們的工作也不會造成太大的影響。我們也可以利用Windows 2 Advance Server的集群功能使用兩個或兩個以上的伺服器,這樣不但可以起到備用的作用,同時也能很好地提高服務性能。
d. 使用RAID實現容錯功能
使用RAID有軟體和硬體的方法,究竟採用哪種要考慮以下一些因素:
硬體容錯功能比軟體容錯功能速度快。
硬體容錯功能比軟體容錯功能成本高。
硬體容錯功能可能被廠商限制只能使用單一廠商的設備。
硬體容錯功能可以實現硬碟熱交換技術,因此可以在不關機的情況下更換失敗的硬碟。
硬體容錯功能可以採用高速緩存技術改善性能。
Microsoft Windows 2 Server支持三種類型的軟體RAID,在此作一些簡單描述:
u RAID (條帶卷)
RAID 也被稱為磁碟條帶技術,它主要用於提高性能,不屬於安全范疇,在此略過,有興趣的朋友可以參閱相關資料。
u RAID 1(鏡像卷)
RAID 1 也被稱為磁碟鏡像技術,它是利用Windows 2 Server的容錯驅動程序(Ftdisk.sys)來實現,採用這種方法,數據被同時寫入兩個磁碟中,如果一個磁碟失敗了,系統將自動用來自另一個磁碟中的數據繼續運行。採用這種方案,磁碟利用率僅有5%。
可以利用鏡像卷保護系統磁碟分區或引導磁碟分區,它具有良好的讀寫性能,比RAID 5 卷使用的內存少。
可以採用磁碟雙工技術更進一步增強鏡像卷的安全性,它不需要附加軟體支持和配置。(磁碟雙工技術:如果用一個磁碟控制器控制兩個物理磁碟,那麼當磁碟控制器發生故障,則兩個磁碟均不能訪問,而磁碟雙工技術是用兩個磁碟控制器控制兩個物理磁碟,當這兩個磁碟組成鏡像卷時更增強了安全性:即使一個磁碟控制器損壞,系統也能工作。)
鏡像卷可以包含任何分區,包括引導磁碟分區或系統磁碟分區,然而,鏡像卷中的兩個磁碟必須都是Windows 2 的動態磁碟。
u RAID 5(帶有奇偶校驗的條帶卷)
在Windows 2 Server中,對於容錯卷,RAID 5是目前運用最廣的一種方法,它至少需要三個驅動器,最多可以多達32個驅動器。Windows 2 通過在RAID-5卷中的各個磁碟分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁碟失敗了,系統可以利用奇偶信息和剩餘磁碟中的數據來重建丟失的數據。
注:RAID-5卷不能保護系統磁碟和引導磁碟分區。
e. 嚴格監控系統啟動的服務
很多木馬或病毒程序都要在系統中創建一個後台服務或進程,我們應該經常檢查系統,一旦發現一些陌生的進程或服務,就要特別注意是否有木馬、病毒或間諜等危險軟體運行。作為網路管理員,經常檢查系統進程和啟動選項是應該養成的一個經常習慣。這里有一個對初級網路管理員的建議:在操作系統和應用程序安裝完成後利用工具軟體(如Windows優化大師等軟體)導出一個系統服務和進程列表,以後經常用現有的服務和進程列表與以前導出的列表進行比較,一旦發現陌生進程或服務就要特別小心了。
2.2.4 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
伺服器允許在伺服器控制台上執行一些如裝載和卸載管理模塊的操作,也可以進行安裝和刪除軟體等操作。網路伺服器的安全控制包括設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定伺服器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。
2.2.5 防火牆控制
防火牆的概念來源於古時候的城堡防衛系統,古代戰爭中為了保護一座城市的安全,通常是在城市周圍挖出一條護城河,每一個進出城堡的人都要通過一個吊橋,吊橋上有守衛把守檢查。在設計現代網路的時候,設計者借鑒了這一思想,設計出了現在我要介紹的網路防火牆技術。
防火牆的基本功能是根據一定的安全規定,檢查、過濾網路之間傳送的報文分組,以確定它們的合法性。它通過在網路邊界上建立起相應的通信監控系統來隔離內外網路,以阻止外部網路的侵入。我們一般是通過一個叫做分組過濾路由器的設備來實現這個功能的,這個路由器也叫做篩選路由器。作為防火牆的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網路層,可以根據網路層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網關的檢查。因此,從協議層次模型的角度看,防火牆應覆蓋網路層、傳輸層與應用層。
其他的你去:http://www.haolw.net/HaoLw/JvJueWeiXie-AnQuanYingYongWindowsXiTong/ 上面都有太多了`我復制不下來``
㈧ 淮南市計算機信息系統安全管理辦法
第一條為加強計算機信息系統安全管理,保護計算機信息系統安全,根據(中華人民共和國計算機信息系統安全保護條例)、(安徽省計算機信息系統安全保護辦法)等有關法規、規章,結合本市實際,制定本辦法。第二條本市行政區域內計算機信息系統的安全管理,適用本辦法。第三條公安機關負責本市計算機信息系統安全管理工作。其他有關部門應當根據各自的職責,做好計算機信息系統安全管理工作。第四條擁有、使用計算機信息系統的單位應當遵守下列規定:
(一)將擁有、使用的計算機信息系統的具體情況報公安機關備案;
(二)計算機機房和信息系統應符合國家和省的有關規定;
(三)建立健全出入機房、上機人員、計算機運行、口令和特權、日誌、密鑰、重要數據和程序、備份、外存介質、網路、應急計劃等管理制度;
(四)有經考試合格,並取得(計算機信息系統安全管理員證)的專職或兼職安全員;
(五)根據公安機關劃定的安全保護等級,採取相應的安全保護措施。第五條利用計算機信息系統從事經營推動,以及從事計算機知識培訓的單位和個人,應當到公安機關辦理備案手續。
計算機知識培訓和上網培訓的教程中,應有計算機信息系統安全保護的內容。第六條從事網吧經營活動的單位和個人,應當到公安機關辦理安全審批手續,公安機關應當按照規定的條件、程序、時限進行審批。第七條網吧向未成年人開放的時間限於國家法定節假日每日8時至21時,並不得允許無保護人陪伴的14周歲以下的未成年人進入其營地場所。禁止在距離中、小學校門兩側200米內開辦網吧。第八條從事計算機安全專用產品經營活動的單位和個人,持產品樣品、銷售許可證、技術文件、鑒定文件、使用說明書等有關資料,到公安機關辦理登記手續後,方可從事經營活動。第九條對計算機病毒和危害社會公共安全的其他有害數據的防治實行統一管理。未經公安機關同意,任何單位和個人不得研究、收集、保存計算機病毒,不得發布計算機病毒消息。
任何單位和個人發現計算機病毒或其他有害數據時,應當在24小時內報告公安機關。第十條嚴禁用計算機信息系統竊取國家機密,進行反動、愚昧迷信、暴力、色情宣傳,實施詐騙、盜竊、貪污、賭博活動,以及盜竊、破壞計算機設備等違法犯罪活動。
發現利用計算機信息系統進行違法犯罪活動的,應當在24小時內向公安機關報告,並保護現場和有關證據、資料。第十一條未經計算機信息系統使用單位允許,不得從事下列活動:
(一)進入計算機信息系統或者使用計算機信息系統資源;
(二)對計算機信息系統功能進行刪除、修改或者增加;
(三)對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加。第十二條公安機關應當加強計算機信息系統安全管理,發現計算機信息系統安全隱患時,應當通知其整改,並採取安全保護措施。第十三條違反本辦法規定的,由公安機關或者其他有關部門依照有關法律、法規、規章的規定予以處罰;構成犯罪的,依法追究刑事責任。第十四條本辦法具體運用中的問題,由市公安機關負責解釋。第十五條本辦法自2002年3月1日起施行。
㈨ 作為區域網的網路安全管理員,應該從哪些方面來確保整個區域網的安全和可靠
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個 較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定 的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施, 實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。
㈩ 作為一個網路管理員,應該如何保證你所管理系統的安全
系統安全就是MR 放出的漏洞要及時補!網路安全也是重中之重 一個網路里 存在交換機 路由器 交換機又有管理IP 要確保IP不讓他人得到 包括其中的的EXEC模式下的密碼和Telent密碼不要讓他人知道內網維護 防火牆 殺毒軟體都必不可少的 所以作為一個網路管理員 你要看清系統的安全其實是在有網路的基礎上的 如果沒有網路有和談系統安全呢 給你個PC 機沒有網路 我還真不信他能被攻擊中毒 除非人為的 所以重點就在網路問題上!