㈠ 农业部计算机信息网络系统安全保密管理暂行规定
第一章 总则第一条 为了加强对我部计算机信息网络的管理,保障计算机网络安全运行和网上信息交流的健康发展,根据《中华人民共和国保守国家秘密法》和中央保密委员会有关精神,制定本规定。第二条 计算机网络系统的安全保密工作既要保障国家秘密的安全,又要促进信息处理技术的提高,有利于信息的共享与应用。加强计算机网络系统的安全保密工作,一靠组织管理,二靠技术进步。第三条 本规定适用于联入农业部计算机信息网络的部机关各司局、直属单位及各省有关部门。规定中所称的“农业部局域网络”,指通过光缆、同轴电缆、双绞线等手段联入网络的计算机系统;所称“农业部远程网络”,指以电话线路、公用数据线路与农业部计算机信息网络联网的计算机系统。第二章 涉密信息保密第四条 在农业部计算机信息网络上存储和传输的信息,应根据农业部、国家保密局有关“农业工作中国家秘密及其密级具体范围的规定”精神,分清保密和非密的性质。需要在网络上存储、传输的保密信息,应遵守有关的保密要求。信息提供部门负责按照相关保密规定,明确信息秘密等级、保密期限和提供范围;网络技术安全管理部门(部信息中心或自管网络的管理部门,下同)负责实施相应的安全措施。第五条 秘密级别以上的信息只限在专用的、采取了保密措施的微机(加装了干扰机或其他措施,下同)上编辑与传输。第六条 农业部计算机信息网络上不存储和传输绝密级信息以及有关单位认为不宜上网的信息。其他保密信息可在“农业部局域网络”上通过采取了保密措施的微机上阅看。保密信息如果需要在“农业部远程网络”上传递,必须在传递的双方同时加接保密机(或采取保密部门认可的其他措施),目前在没有配备保密设施的情况下,“农业部远程网络”不传输秘密以上级别的信息。第七条 网络上的数据库内容涉及保密的数据资料时,要在数据库设计时就提出保密要求和调用权限,由网络技术安全管理部门负责进行安全保密设计。如果委托其他单位设计,须由设计单位提供源码程序,经网络技术安全管理部门进行安全保密认证并进行保密设置后方可入网运行。第八条 在网络上编发信息的部门,要根据国家和农业部有关的保密文件,确定需要保密的信息内容、划分编发等级、明确信息提供范围。对于信源单位已提出保密要求的信息,信息编发部门要严格按照信源单位提出的保密要求和提供范围确定网上编发级别;对于未明确密级但内容涉密的信息,要根据有关的保密规定,确定编发级别;对有涉密嫌疑又来源不明的信息不予编发。第九条 信息使用、加工处理部门及网络管理部门,不得通过不正当的手段,超越权限查看、使用、复制保密信息,也不能擅自降低保密级别,把保密信息作为非保密信息传播。第十条 “农业部局域网络”与上级或其他部委联网时的安全保密措施,按信息提供单位的要求执行。第三章 网络安全管理第十一条 网络建设和运行,必需有技术上的安全和保密控制措施,拒绝未经授权的访问。第十二条 用户口令是进入网络的重要关卡,授权用户对自己的口令必须严格保密,不能转告非授权用户。计算机网络用户的口令和采取的安全措施,属于秘密级事项;有调阅机密内容权限的用户口令和网络系统级口令及安全措施属于机密事项。第十三条 为了保证网络安全,任何单位和个人不得在“农业部局域网络”上擅自联接各类网络设备。所有网络设备的增减与变动,其技术方案必须经部网络技术安全管理部门(部信息中心,下同)认可并由其派出的技术人员予以安装和维护,任何单位和个人不得私自改动和联接。第十四条 各单位联入“农业部局域网络”,需要安装主机、服务器等设备时,必须预先报部信息体系领导小组办公室(设在市场信息司,下同)核准,并由部网络技术安全管理部门进行安全和技术审核,分配网络地址和设置安全措施后,方可实施安装。第十五条 本部各单位在“农业部局域网络”覆盖范围外独立建设的计算机信息网络,应事前报部信息体系领导小组办公室批准,并接受部保密委员会组织的技术安全审查。第十六条 “农业部局域网络”所覆盖范围内的各司局、直属单位,如需要通过局域网与外单位进行信息(含数据)交换,应经由农业部计算机信息网络提供的统一网络信道进出。个别上级业务主管部门要求建立独立的网络信息通道时,应事先报部保密委员会和部信息体系领导小组办公室批准并经部网络技术安全管理部门进行内部技术安全审查。
㈡ 作为一个管理员你要怎么维护网络安全
这个问的太笼统了点。。
作为一个管理员。。什么管理员?
一台个人PC的管理员?
或者是一个局域网的管理员?
又或者是IDC管理员?
网络安全。。
你是想保护网络系统的硬件?软件?或者是数据?
防止人为的或者偶然的原因被破坏或篡改??
又或者只是保证系统正常的运行?网络服务没有中断?
㈢ 计算机网络安全技术是学干什么的
计算机网络安全专业要学计算机网络技术基础、网站组建管理与维护、高级语言程序设计、系统安全技术、防火墙技术、数据库安全技术、入侵检测与防范技术、数据加密与PKI技术等。计算机网络安全包括物理安全和逻辑安全,每所学校由于专业方向的不同,具体的学习课程设置也不相同。
计算机网络安全专业毕业生可从事什么工作?
一、网络工程师
网络工程师又分硬件和软件网络工程师两大类,硬件网络工程师主要负责计算机网络物理设备的维护和通信,软件网络工程师则负责计算机系统的软件、应用软件的维护和应用。
二、网络管理员
网络管理员主要负责网络操作系统、数据库、网络设备、网络管理、网络安全、应用开发等方面的工作,具有从事计算机网络运行、维护的能力。
三、运维工程师
运维工程师就是面对一台甚至几十万台服务器,在做好管理工作的同时,能及时的发现服务器的问题并进行服务器修复、改进、优化等工作,要保障服务器服务的高可用性和高稳定性。
四、IT专员
IT专员主要是负责一个单位或企业的自有信息系统的软件开发、维护、日常管理等工作,能根据公司及客户要求,完成系统或数据库的开发、管理、培训等工作。
五、网络安全项目经理
能对单位或企业的计算机网络安全项目进行质量、安全、进度、成本等方面的管理,调动协调项目组成员和客户之间沟通,完成计划任务。
㈣ 关于计算机网络系统安全性有哪些
你好,领学网为你解答:
计算机网络的安全性一:
数据安全性
拦截过滤
信息安全性传输
数据完整性
计算机网络的安全性二:
你首先要理解问题的主体,即什么是计算机网络,其中包括哪些设备和设施?如:主机(PC、服务器)、网络设备(路由交换)、传输方式(有线、无线)等等。了解他们如何实现安全性,在做具体的整合,就比较容易回答你的问题了。 目前国内有公安部推行的计算机信息安全等级保护管理办法,你可以学习一下,能够帮助你系统的理解网络安全。
计算机网络的安全性三:
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
希望帮到你
㈤ 计算机网络系统设备安全应采取哪些手段
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。 1、技术层面对策
在技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。 2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4) 应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。 5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7) 研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。 2、管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。 3、物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这
个安全的环境是指机房及其设施,主要包括以下内容:
1) 计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。 2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。 计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
㈥ 如果你是一名事业单位的网络安全管理员,你将主要从哪几个方面好好工作
基础设施管理
(1)确保网络通信传输畅通;
(2)掌握主干设备的配置情况及配置参数变更情况,备份各个设备的配置文件;
(3)对运行关键业务网络的主干设备配备相应的备份设备,并配置为热后备设备;
(4)负责网络布线配线架的管理,确保配线的合理有序;
(5)掌握用户端设备接入网络的情况,以便发现问题时可迅速定位;
(6)采取技术措施,对网络内经常出现的用户需要变更位置和部门的情况进行管理;
(7)掌握与外部网络的连接配置,监督网络通信状况,发现问题后与有关机构及时联系;
(8)实时监控整个局域网的运转和网络通信流量情况;
(9)制定、发布网络基础设施使用管理办法并监督执行情况。
1、操作系统管理
(1)在网络操作系统配置完成并投入正常运行后,为了确保网络操作系统工作正常,网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件,实时监督系统的运转情况,及时发现故障征兆并进行处理。
(2)在网络运行过程中,网络管理员应随时掌握网络系统配置情况及配置参数变更情况,对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求,动态调整系统配置参数,优化系统性能。
(3)网络管理员应为关键的网络操作系统服务器建立热备份系统,做好防灾准备。
2、应用系统管理
(1) 确保各种网络应用服务运行的不间断性和工作性能的良好性,出现故障时应将故障造成的损失和影响控制在最小范围内。
(2) 对于要求不可中断的关键型网络应用系统,除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外,必要时在硬件手段上还要建立和配置系统的热备份。
(3) 对于用户访问频率高、系统负荷的网络应用服务,必要时网络管理员还应该采取分担的技术措施。
3、用户服务管理
(1) 用户的开户与撤销;
(2) 用户组的设置与管理;
(3) 用户可用服务与资源的的权限管理和配额管理;
(4) 用户计费管理;
(5) 包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务。
4、安全保密管理
(1) 安全与保密是一个问题的两个方面,安全主要指防止外部对网络的攻击和入侵,保密主要指防止网络内部信息的泄漏。
(2) 对于普通级别的网络,网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击,可以加配入侵检测系统对关键服务提供安全保护。
(3) 对于安全保密级别要求高的网络,网络管理员除了应该采取上述措施外,还应该配备网络安全漏洞扫描系统,并对关键的网络服务器采取容灾的技术手段。
(4) 更严格的涉密计算机网络,还要求在物理上与外部公共计算机网络绝对隔离,对安置涉密网络计算机和网络主干设备的房间要采取安全措施,管理和控制人员的进出,对涉密网络用户的工作情况要进行全面的管理和监控。
5、信息储备管理
(1) 采取一切可能的技术手段和管理措施,保护网络中的信息安全。
(2) 对于实时工作级别要求不高的系统和数据,最低限度网络管理员也应该进行定期手工操作备份。
(3) 对于关键业务服务系统和实时性要求高的数据和信息,网络管理员应该建立存储备份系统,进行集中式的备份管理。
(4) 最后将备份数据随时保存在安全地点更是非常重要。
6、机房管理
(1) 掌握机房数据通信电缆布线情况,在增减设备时确保布线合理,管理维护方便;
(2) 掌管机房设备供电线路安排,在增减设备时注意负载的合理配置;
(3) 管理网络机房的温度、湿度和通风状况,提供适合的工作环境;
(4) 确保网络机房内各种设备的正常运转;
(5) 确保网络机房符合防火安全要求,火警监测系统工作正常,灭火措施有效;
(6) 采取措施,在外部供电意外中断和恢复时,实现在无人值守情况下保证网络设备安全运行;
(7) 保持机房整洁有序,按时记录网络机房运行日志,制定网络机房管理制度并监督执行。
7、其它
(1) 配合其它部门进行部门局域网络的建设,提出规划、标准。
(2) 配合保卫部门,对网络不良行为进行取证。
(3) 做到网络中心服务反馈工作,及时通报网络运行信息。
(6)计算机网络管理员系统安全扩展阅读
首先,计算机网络管理员是一个“先存在而后有定义”的职业。
计算机网络管理员(简称网管员)是一个蓬勃发展的新兴职业,在短短的几年内,已成为绝大多数企业中必设的工作岗位,也成为众多年轻人向往的职业。
而网管员同时也是一个“先存在而后进行定义”的职业,网管员职业标准的滞后以及传统教育的缺失,使得社会普遍对这个职业存在着很多疑惑,不管是求职者,还是用人单位都存在着如下的疑问:
什么是合格的计算机网络管理员?一个计算机网络管理员需要从事什么样的具体工作?作为网络管理员必备的技能是什么?如何培养合格的计算机网络管理员?而对“网管员”从业人员来讲,如何获得相关知识和技能呢?
其次,网管员要建立终身学习的理念。
终身学习是对传统教育的观念、体系、结构、组织的终结者。其价值理念源自当代社会知识爆炸和信息急剧增长的现状,已成为现代一种新的生活方式。传统知识教育中并没有针对网管员职业设置的专业,另外,注重理论的讲授无法满足强调动手能力的工作要求。
从业人员只能通过在工作中不断地学习和探索来满足岗位的需求;而另一方面,IT技术无疑是这个时代发展最为迅猛的技术之一,其普及与应用的速度也是无与伦比。这就要求“网管员”必须建立终身学习的理念,通过参加培训、自学、交流等种种渠道学习和掌握最新、最实用的技术,构建和完善自身的技术体系。
最后,什么是合格的计算机网络管理员?一个计算机网络管理员需要掌握哪些技能呢?
依据企业的业务性质与规模不同,对网管员的工作要求也有较大的差异。IT信息系统规模大的企业,分工较细,网管员可能只需要负责计算机机房的网络运行和维护。
而一些小型企业,只设一个网管员,他(她)可能不但要负责IT系统运行维护中的设备管理,还要负责网络管理和系统管理,还有的企业需要网管员进行一些简单的网站建设和网页制作等工作。
总之,对网管员的要求基本就是大而全,不需要精通,但什么都得懂一些。所以,总结下来,一个合格的网络管理员最好在网络操作系统、网络数据库、网络设备、网络管理、网络安全、应用开发等六个方面具备扎实的理论知识和应用技能,才能在工作中做到得心应手,游刃有余。
㈦ 有关于网络信息系统安全的四个问题
1.网络系统的不安全因素
计算机网络系统的不安全因素按威胁的对象可以分为三种:一是对网络硬件的威胁,这主要指那些恶意破坏网络设施的行为,如偷窃、无意或恶意毁损等等;二是对网络软件的威胁,如病毒、木马入侵,流量攻击等等;三是对网络上传输或存储的数据进行的攻击,比如修改数据,解密数据,删除破坏数据等等。这些威胁有很多很多,可能是无意的,也可能是有意的,可能是系统本来就存在的,也可能是我们安装、配置不当造成的,有些威胁甚至会同时破坏我们的软硬件和存储的宝贵数据。如CIH病毒在破坏数据和软件的同时还会破坏系统BIOS,使整个系统瘫痪。针对威胁的来源主要有以下几方面:
1.1无意过失
如管理员安全配置不当造成的安全漏洞,有些不需要开放的端口没有即时用户帐户密码设置过于简单,用户将自己的帐号密码轻意泄漏或转告他人,或几人共享帐号密码等,都会对网络安全带来威胁。
1.2恶意攻击
这是我们赖以生存的网络所面临的最大威胁。此类攻击又可以分为以下两种:一种是显在攻击,它有选择地破坏信息的有效性和完整性,破坏网络的软硬件系统,或制造信息流量使我们的网络系统瘫痪;另一类是隐藏攻击,它是在不影响用户和系统日常工作的前提下,采取窃取、截获、破译和方式获得机密信息。这两种攻击均可对计算机网络系统造成极大的危害,并导致机密数据的外泄或系统瘫痪。
1.3漏洞后门
网络操作系统和其他工具、应用软件不可能是百分之百的无缺陷和无漏洞的,尤其是我们既爱又恨的“Windows”系统,这些漏洞和缺陷就是病毒和黑客进行攻击的首选通道,无数次出现过的病毒(如近期的冲击波和震荡波就是采用了Windows系统的漏洞)造成的重大损失和惨痛教训,就是由我们的漏洞所造成的。黑客浸入网络的事件,大部分也是利用漏洞进行的。“后门”是软件开发人员为了自己的方便,在软件开发时故意为自己设置的,这在一般情况下没有什么问题,但是一旦该开发人员有一天想不通要利用利用该“后门”,那么后果就严重了,就算他自己安分守己,但一旦“后门”洞开和泄露,其造成的后果将更不堪设想。
如何提高网络信息系统安全性
2.1 物理安全策略
物理安全策略的目的是保护计算机系统、服务器、网络设备、打印机等硬件实体和通信链路的物理安全,如采取措施防止自然灾害、化学品腐蚀、人为盗窃和破坏、搭线窃取和攻击等等;由于很多计算机系统都有较强的电磁泄漏和辐射,确保计算机系统有一个良好的电磁兼容工作环境就是我们需要考虑的;另外建立完备的安全管理制度,服务器应该放在安装了监视器的隔离房间内,并且要保留1天以上的监视记录,另外机箱、键盘、电脑桌抽屉要上锁,钥匙要放在另外的安全位置,防止未经授权而进入计算机控制室,防止各种偷窃、窃取和破坏活动的发生。
2.2 访问控制策略
网络中所能采用的各种安全策略必须相互配合、相互协调才能起到有效的保护作用,但访问控制策略可以说是保证网络安全最重要的核心策略之一。它的主要目的是保证网络信息不被非法访问和保证网络资源不被非法使用。它也是维护网络系统安全、保护网络资源的重要手段。下面我们分述各种访问控制策略。
2.2.1 登陆访问控制
登陆访问控制为网络访问提供了第一层访问控制。通过设置帐号,可以控制哪些用户能够登录到服务器并获取网络信息和使用资源;通过设置帐号属性,可以设置密码需求条件,控制用户在哪些时段能够登陆到指定域,控制用户从哪台工作站登陆到指定域,设置用户帐号的失效日期。
注:当用户的登录时段失效时,到域中网络资源的链接不会被终止。然而,该用户不能再创建到域中其他计算机的新链接。
用户的登陆过程为:首先是用户名和密码的识别与验证、然后是用户帐号的登陆限制的检查。两个过程只要有一个不成功就不能登陆。
由于用户名和密码是对网络用户的进行验证的第一道防线。所以作为网络安全工作人员在些就可以采取一系列的措施防止非法访问。
a. 基本的设置
应该限制普通用户的帐号使用时间、方式和权限。只有系统管理员才能建立用户帐号。用户密码方面应该考虑以下情况:密码的复杂情况、最小密码长度、密码的有效期等。应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。应对所有用户的访问进行审计,如果多次输入口令不正确,则应该认为是非法入侵,应给出报警信息,并立即停用该帐户。
b. 认真考虑和处理系统内置帐号
建议采取以下措施:i.停用Guest帐号,搞不懂Microsoft为何不允许删除Guest帐号,但不删除我们也有办法:在计算机管理的用户和组里面,把Guest帐号禁用,任何时候都不允许Guest帐号登陆系统。如果还不放心,可以给Guest帐号设置一个长而复杂的密码。这里为对Windows 2有深入了解的同行提供一个删除Guest帐号的方法:Windows 2系统的帐号信息,是存放在注册表HKEY_LOCAL_MACHINE\SAM里的,但即使我们的系统管理员也无法打开看到这个主键,这主要也是基于安全的原因,但是“System”帐号却有这个权限,聪明的读者应该知道怎么办了吧,对了,以“SYSTEM”权限启动注册表就可以了,具体方法为:以“AT”命令来添加一个计划任务来启动Regedit.exe程序,然后检查注册表项,把帐号Guest清除掉。首先,看一下时间 :3,在“运行”对话框中或“cmd”中运行命令:at :31 /interactive regedit.exe。这样启动regedit.exe的身份就是“SYSTEM”了,/interactive的目的是让运行的程序以交互式界面的方式运行。一分钟后regedit.exe程序运行了,依次来到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,将以下两个相关键全部删掉:一个是1F5,一个是Names下面的Guest。完成后我们可是用以下命令证实Guest帐号确实被删掉了“net user guest”。ii.系统管理员要拥有两个帐号,一个帐号是具有管理员权限,用于系统管理,另一个帐号只有一般权限,用于日常操作。这样只有在维护系统或安装软件时才用管理员身份登陆,有利于保障安全。iii.将administrator帐号改名。Microsoft不允许将administrator帐号删除和停用,这样Microsoft就给Hacker们提供了特别大的帮助,但我们也可将之改名,如改为everyones等看视普通的名字。千万不要改为Admin、Admins等改了等于白改的名字。
c. 设置欺骗帐号
这是一个自我感觉非常有用的方法:创建一个名为Administrator的权限最低的欺骗帐号,密码设置相当复杂,既长又含特殊字符,让Hacker们使劲破解,也许他破解还没有成功我们就已经发现了他的入侵企图,退一步,即使他破解成功了最后还是会大失所望的发现白忙半天。
d. 限制用户数量
因为用户数量越多,用户权限、密码等设置的缺陷就会越多,Hacker们的机会和突破口也就越多,删除临时帐号、测试帐号、共享帐号、普通帐号、已离职员工帐号和不再使用的其他帐号能有效地降低系统缺陷。
e. 禁止系统显示上次登陆的用户名
Win9X以上的操作系统对以前用户登陆的信息具有记忆功能,下次重启时,会在用户名栏中提示上次用户的登陆名,这个信息可能被别有用心的人利用,给系统和用户造成隐患,我们可以通过修改注册表来隐藏上次用户的登陆名。修改方法如下:打开注册表,展开到以下分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在此分支下新建字符串命名为:DontDisplayLastUserName,并把该字符串值设为:“1”,完成后重新启动计算机就不会显示上次登录用户的名字了。
f. 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器后,可能进行枚举帐号,猜测密码,我们可以通过修改注册表来禁止空连接。方法如下:打开注册表,展开到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然后将该分支下的restrictanonymous的值改为“1”即可。
g. 通过智能卡登录
采用便携式验证器来验证用户的身份。如广泛采用的智能卡验证方式。通过智能卡登录到网络提供了很强的身份验证方式,因为,在验证进入域的用户时,这种方式使用了基于加密的身份验证和所有权证据。
例如,如果一些别有用心的人得到了用户的密码,就可以用该密码在网络上冒称用户的身份做一些他自己想做的事情。而现实中有很多人都选择相当容易记忆的密码(如姓名、生日、电话号码、银行帐号、身份证号码等),这会使密码先天脆弱,很容易受到攻击。
在使用智能卡的情况下,那些别有用心的人只有在获得用户的智能卡和个人识别码 (PIN) 前提下才能假扮用户。由于需要其它的信息才能假扮用户,因而这种组合可以减少攻击的可能性。另一个好处是连续几次输入错误的 PIN 后,智能卡将被锁定,因而使得采用词典攻击智能卡非常困难。
2.2.2 资源的权限管理
资源包括系统的软硬件以及磁盘上存储的信息等。我们可以利用Microsoft 在Windows 2中给我们提供的丰富的权限管理来控制用户对系统资源的访问,从而起到安全管理的目的。
a. 利用组管理对资源的访问
组是用户帐号的集合,利用组而不用单个的用户管理对资源的访问可以简化对网络资源的管理。利用组可以一次对多个用户授予权限,而且在我们对一个组设置一定权限后,以后要将相同的权限授予别的组或用户时只要将该用户或组添加进该组即可。
如销售部的成员可以访问产品的成本信息,不能访问公司员工的工资信息,而人事部的员工可以访问员工的工资信息却不能访问产品成本信息,当一个销售部的员工调到人事部后,如果我们的权限控制是以每个用户为单位进行控制,则权限设置相当麻烦而且容易出错,如果我们用组进行管理则相当简单,我们只需将该用户从销售组中删除再将之添加进人事组即可。
b. 利用NTFS管理数据
NTFS文件系统为我们提供了丰富的权限管理功能,利用了NTFS文件系统就可以在每个文件或文件夹上对每个用户或组定义诸如读、写、列出文件夹内容、读和执行、修改、全面控制等权限,甚至还可以定义一些特殊权限。NTFS只适用于NTFS磁盘分区,不能用于FAT或FAT32分区。不管用户是访问文件还是文件夹,也不管这些文件或文件夹是在计算机上还是在网络上,NTFS的安全功能都有效。NTFS用访问控制列表(ACL)来记录被授予访问该文件或文件夹的所有用户、帐号、组、计算机,还包括他们被授予的访问权限。注意:要正确和熟练地使用NTFS控制权限的分配必须深入了解NTFS权限的特点、继承性、“拒绝”权限的特性以及文件和文件夹在复制和移动后的结果。一个网络系统管理员应当系统地考虑用户的工作情况并将各种权限进行有效的组合,然后授予用户。各种权限的有效组合可以让用户方便地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
2.2.3 网络服务器安全控制
网络服务器是我们网络的心脏,保护网络服务器的安全是我们安全工作的首要任务,没有服务器的安全就没有网络的安全。为了有效地保护服务器的安全,我们必须从以下几个方面开展工作。
a. 严格服务器权限管理
由于服务器的重要地位,我们必须认真分析和评估需要在服务器上工作的用户的工作内容和工作性质,根据其工作特点授予适当的权限,这些权限要保证该用户能够顺利地完成工作,但也决不要多给他一点权限(即使充分相信他不会破坏也要考虑他的误操作),同时删除一些不用的和没有必要存在的用户和组(如员工调动部门或辞退等)。根据情况限制或禁止远程管理,限制远程访问权限等也是网络安全工作者必需考虑的工作。
b. 严格执行备份操作
作为一个网络管理员,由于磁盘驱动器失灵、电源故障、病毒感染、黑客攻击、误操作、自然灾害等原因造成数据丢失是最为常见的事情。为了保证系统能够从灾难中以最快的速度恢复工作,最大化地降低停机时间,最大程度地挽救数据,备份是一个最为简单和可靠的方法。Windows 2 集成了一个功能强大的图形化备份实用程序。它专门为防止由于硬件或存储媒体发生故障而造成数据丢失而设计的。它提供了五个备份类型:普通、副本、差异、增量和每日,我们根据备份所耗时间和空间可以灵活安排这五种备份类型来达到我们的目的。
警告:对于从Windows 2 NTFS卷中备份的数据,必须将之还原到一个Windows 2 NTFS卷中,这样可以避免数据丢失,同时能够保留访问权限、加密文件系统(Encrypting File System)设置信息、磁盘限额信息等。如果将之还原到了FAT文件系统中,将丢失所有加密数据,同时文件不可读。
c. 严格起用备用服务器
对于一些非常重要的服务器,如域控制器、桥头服务器、DHCP服务器、DNS服务器、WINS服务器等担负网络重要功能的服务器,也包括那些一旦瘫痪就要严重影响公司业务的应用程序服务器,我们应该不惜成本建立备份机制,这样即使某个服务器发生故障,对我们的工作也不会造成太大的影响。我们也可以利用Windows 2 Advance Server的集群功能使用两个或两个以上的服务器,这样不但可以起到备用的作用,同时也能很好地提高服务性能。
d. 使用RAID实现容错功能
使用RAID有软件和硬件的方法,究竟采用哪种要考虑以下一些因素:
硬件容错功能比软件容错功能速度快。
硬件容错功能比软件容错功能成本高。
硬件容错功能可能被厂商限制只能使用单一厂商的设备。
硬件容错功能可以实现硬盘热交换技术,因此可以在不关机的情况下更换失败的硬盘。
硬件容错功能可以采用高速缓存技术改善性能。
Microsoft Windows 2 Server支持三种类型的软件RAID,在此作一些简单描述:
u RAID (条带卷)
RAID 也被称为磁盘条带技术,它主要用于提高性能,不属于安全范畴,在此略过,有兴趣的朋友可以参阅相关资料。
u RAID 1(镜像卷)
RAID 1 也被称为磁盘镜像技术,它是利用Windows 2 Server的容错驱动程序(Ftdisk.sys)来实现,采用这种方法,数据被同时写入两个磁盘中,如果一个磁盘失败了,系统将自动用来自另一个磁盘中的数据继续运行。采用这种方案,磁盘利用率仅有5%。
可以利用镜像卷保护系统磁盘分区或引导磁盘分区,它具有良好的读写性能,比RAID 5 卷使用的内存少。
可以采用磁盘双工技术更进一步增强镜像卷的安全性,它不需要附加软件支持和配置。(磁盘双工技术:如果用一个磁盘控制器控制两个物理磁盘,那么当磁盘控制器发生故障,则两个磁盘均不能访问,而磁盘双工技术是用两个磁盘控制器控制两个物理磁盘,当这两个磁盘组成镜像卷时更增强了安全性:即使一个磁盘控制器损坏,系统也能工作。)
镜像卷可以包含任何分区,包括引导磁盘分区或系统磁盘分区,然而,镜像卷中的两个磁盘必须都是Windows 2 的动态磁盘。
u RAID 5(带有奇偶校验的条带卷)
在Windows 2 Server中,对于容错卷,RAID 5是目前运用最广的一种方法,它至少需要三个驱动器,最多可以多达32个驱动器。Windows 2 通过在RAID-5卷中的各个磁盘分区中添加奇偶校检翻译片来实现容错功能。如果单个磁盘失败了,系统可以利用奇偶信息和剩余磁盘中的数据来重建丢失的数据。
注:RAID-5卷不能保护系统磁盘和引导磁盘分区。
e. 严格监控系统启动的服务
很多木马或病毒程序都要在系统中创建一个后台服务或进程,我们应该经常检查系统,一旦发现一些陌生的进程或服务,就要特别注意是否有木马、病毒或间谍等危险软件运行。作为网络管理员,经常检查系统进程和启动选项是应该养成的一个经常习惯。这里有一个对初级网络管理员的建议:在操作系统和应用程序安装完成后利用工具软件(如Windows优化大师等软件)导出一个系统服务和进程列表,以后经常用现有的服务和进程列表与以前导出的列表进行比较,一旦发现陌生进程或服务就要特别小心了。
2.2.4 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
服务器允许在服务器控制台上执行一些如装载和卸载管理模块的操作,也可以进行安装和删除软件等操作。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要服务组件或破坏数据;可以设定服务器登录时间和时长、非法访问者检测和关闭的时间间隔。
2.2.5 防火墙控制
防火墙的概念来源于古时候的城堡防卫系统,古代战争中为了保护一座城市的安全,通常是在城市周围挖出一条护城河,每一个进出城堡的人都要通过一个吊桥,吊桥上有守卫把守检查。在设计现代网络的时候,设计者借鉴了这一思想,设计出了现在我要介绍的网络防火墙技术。
防火墙的基本功能是根据一定的安全规定,检查、过滤网络之间传送的报文分组,以确定它们的合法性。它通过在网络边界上建立起相应的通信监控系统来隔离内外网络,以阻止外部网络的侵入。我们一般是通过一个叫做分组过滤路由器的设备来实现这个功能的,这个路由器也叫做筛选路由器。作为防火墙的路由器与普通路由器在工作机理上有较大的不同。普通路由器工作在网络层,可以根据网络层分组的IP地址决定分组的路由;而分组过滤路由器要对IP地址、TCP或UDP分组头进行检查与过滤。通过分组过滤路由器检查过的报文还要进一步接受应用网关的检查。因此,从协议层次模型的角度看,防火墙应覆盖网络层、传输层与应用层。
其他的你去:http://www.haolw.net/HaoLw/JvJueWeiXie-AnQuanYingYongWindowsXiTong/ 上面都有太多了`我复制不下来``
㈧ 淮南市计算机信息系统安全管理办法
第一条为加强计算机信息系统安全管理,保护计算机信息系统安全,根据(中华人民共和国计算机信息系统安全保护条例)、(安徽省计算机信息系统安全保护办法)等有关法规、规章,结合本市实际,制定本办法。第二条本市行政区域内计算机信息系统的安全管理,适用本办法。第三条公安机关负责本市计算机信息系统安全管理工作。其他有关部门应当根据各自的职责,做好计算机信息系统安全管理工作。第四条拥有、使用计算机信息系统的单位应当遵守下列规定:
(一)将拥有、使用的计算机信息系统的具体情况报公安机关备案;
(二)计算机机房和信息系统应符合国家和省的有关规定;
(三)建立健全出入机房、上机人员、计算机运行、口令和特权、日志、密钥、重要数据和程序、备份、外存介质、网络、应急计划等管理制度;
(四)有经考试合格,并取得(计算机信息系统安全管理员证)的专职或兼职安全员;
(五)根据公安机关划定的安全保护等级,采取相应的安全保护措施。第五条利用计算机信息系统从事经营推动,以及从事计算机知识培训的单位和个人,应当到公安机关办理备案手续。
计算机知识培训和上网培训的教程中,应有计算机信息系统安全保护的内容。第六条从事网吧经营活动的单位和个人,应当到公安机关办理安全审批手续,公安机关应当按照规定的条件、程序、时限进行审批。第七条网吧向未成年人开放的时间限于国家法定节假日每日8时至21时,并不得允许无保护人陪伴的14周岁以下的未成年人进入其营地场所。禁止在距离中、小学校门两侧200米内开办网吧。第八条从事计算机安全专用产品经营活动的单位和个人,持产品样品、销售许可证、技术文件、鉴定文件、使用说明书等有关资料,到公安机关办理登记手续后,方可从事经营活动。第九条对计算机病毒和危害社会公共安全的其他有害数据的防治实行统一管理。未经公安机关同意,任何单位和个人不得研究、收集、保存计算机病毒,不得发布计算机病毒消息。
任何单位和个人发现计算机病毒或其他有害数据时,应当在24小时内报告公安机关。第十条严禁用计算机信息系统窃取国家机密,进行反动、愚昧迷信、暴力、色情宣传,实施诈骗、盗窃、贪污、赌博活动,以及盗窃、破坏计算机设备等违法犯罪活动。
发现利用计算机信息系统进行违法犯罪活动的,应当在24小时内向公安机关报告,并保护现场和有关证据、资料。第十一条未经计算机信息系统使用单位允许,不得从事下列活动:
(一)进入计算机信息系统或者使用计算机信息系统资源;
(二)对计算机信息系统功能进行删除、修改或者增加;
(三)对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。第十二条公安机关应当加强计算机信息系统安全管理,发现计算机信息系统安全隐患时,应当通知其整改,并采取安全保护措施。第十三条违反本办法规定的,由公安机关或者其他有关部门依照有关法律、法规、规章的规定予以处罚;构成犯罪的,依法追究刑事责任。第十四条本办法具体运用中的问题,由市公安机关负责解释。第十五条本办法自2002年3月1日起施行。
㈨ 作为局域网的网络安全管理员,应该从哪些方面来确保整个局域网的安全和可靠
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个 较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定 的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施, 实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
㈩ 作为一个网络管理员,应该如何保证你所管理系统的安全
系统安全就是MR 放出的漏洞要及时补!网络安全也是重中之重 一个网络里 存在交换机 路由器 交换机又有管理IP 要确保IP不让他人得到 包括其中的的EXEC模式下的密码和Telent密码不要让他人知道内网维护 防火墙 杀毒软件都必不可少的 所以作为一个网络管理员 你要看清系统的安全其实是在有网络的基础上的 如果没有网络有和谈系统安全呢 给你个PC 机没有网络 我还真不信他能被攻击中毒 除非人为的 所以重点就在网络问题上!