隨着企業上網的迅猛發展,網絡安全問題變得尤為重要,因為網絡安全直接關係到企業的生存與發展,確保企業信息安全、以便企業不受損失應該成為各級企業用户的共識。那麼作為企業,又該採取何種措施來保證自己的信息不受“攻擊”呢?本文就是作者總結出來的24種防範招數。
二十世紀九十年代末出現的Internet標誌着人類社會已經進入了信息化時代,在這個時代,越來越多的人已經開始離不開Internet網絡。由於internet的共享性和對外開外性,如何保證信息安全就成為發展internet的重要課題。目前,我國整體的internet安全防護能力很弱,許多應用系統還處於不設防的狀態或系統安全維護得很不夠。隨着企業上網的迅猛發展,網絡安全問題變得尤為重要,因為網絡安全直接關係到企業的生存與發展,確保企業信息安全、以便企業不受損失應該成為各級企業用户的共識。那麼作為企業,又該採取何種措施來保證自己的信息不受“攻擊”呢?
妙招1、提高網絡安全防範意識。
現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對於系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。
妙招2、不輕易運行不明真相的程序
如果你收到一封帶有附件的電子郵件,且附件是擴展名為EXE一類的文件,這時千萬不能貿然運行它,因為這個不明真相的程序,就有可能是一個系統破壞程序。攻擊者常把系統破壞程序換一個名字用電子郵件發給你,並帶有一些欺騙性主題,騙你説一些:“這是個好東東,你一定要試試”,“幫我測試一下程序”之類的話。你一定要警惕了!對待這些表面上很友好、跟善意的郵件附件,我們應該做的是立即刪除這些來歷不明的文件。
妙招3、用防火牆將企業內部網(intranet)與互聯網(internet)之間進行隔離。
為自己的局域網或站點提供隔離保護,是目前普遍採用的一種安全有效的方法。防火牆是一個位於內部網絡與Internet之間的計算機或網絡設備中的一個功能模塊,是按照一定的安全策略建立起來的硬件和軟件的有機組成體,其目的是為內部網絡或主機提供安全保護,控制誰可以從外部訪問內部受保護的對象,誰可以從內部網絡訪問Internet,以及相互之間採取哪種方式進行訪問。所以為了保護自己的計算機系統信息,不受外來信息的破壞和威脅,我們可以在自己的計算機系統中安裝防火牆軟件。
由於網絡攻擊不斷升級,對應的防火牆軟件也應該及時跟着升級,這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患並及時更改,才能做到有備無患。
妙招4、屏蔽小甜餅程序
小甜餅就是Cookie,它是Web服務器發送到電腦裏的數據文件,它記錄了諸如用户名、口令和關於用户興趣取向的信息。實際上,它使你訪問同一站點時感到方便,比如,不用重新輸入口令。但Cookies收集到的個人信息可能會被一些喜歡搞“惡作劇”的人利用,它可能造成安全隱患,因此,我們可以在瀏覽器中做一些必要的設置,要求瀏覽器在接受Cookie之前提醒您,或者乾脆拒絕它們。通常來説,Cookie會在瀏覽器被關閉時自動從計算機中刪除,可是,有許多Cookie會一反常態,始終存儲在硬盤中收集用户的相關信息,其實這些Cookie就是被設計成能夠駐留在我們的計算機上的。隨着時間的推移,Cookie信息可能越來越多,當然我們的心境也因此變得越來越不踏實。為了確保萬無一失,對待這些已有的Cookie信息應該從硬盤中立即清除,並在瀏覽器中調整Cookie設置,讓瀏覽器拒絕接受Cookie信息。
妙招5、屏蔽ActiveX控件
由於ActiveX控件可以被嵌入到HTML頁面中,並下載到瀏覽器端加以執行,因此會給瀏覽器端造成一定程度的安全威脅。目前已有證據表明,在客户端的瀏覽器中,如IE中插入某些ActiveX控件,也將直接對服務器端造成意想不到的安全威脅。同時,一些其他技術,如內嵌於IE的VBScript語言,用這種語言生成的客户端可執行的程序模塊,也同Java小程序一樣,有可能給客户端帶來安全性能上的漏洞。此外,還有一些新技術,如ASP(ActiveserverPages)技術,由於用户可以為ASP的輸出隨意增加客户腳本、ActiveX控件和動態HTML,因此在ASP腳本中同樣也都存在着一定的安全隱患。所以,用户如果要保證自己在因特網上的信息絕對安全,可以屏蔽掉這些可能對計算機安全構成威脅的ActiveX控件。
妙招6、在不同的地方用不同的口令
對於經常上網的用户,可能會發現在網上需要設置密碼的情況有很多。有很多用户圖方便記憶,不論在什麼地方,都使用同一個口令,殊不知他們已不知不覺地留下了一個安全隱患。因為攻擊者一般在破獲到用户的一個密碼後,會用這個密碼去嘗試用户每一個需要甬道口令的地方!想想看,別人用一個口令慢慢地盜用你的帳號上網;再去偷看與冒發你的Email;也許還會用你的身份去聊天室損害你的形象……,想想看那後果該有多嚴重呀!所以筆者強烈建議各位用户,每個不同的地方用不同的密碼,一定不能相同,同時要把各個對應的密碼記下來,以備日後查用。另外一點就是我們在設定密碼時,不應該使用字典中可以查到的單詞,也不要使用個人的生日,最好是字母、符號和數字混用,多用特殊字符,諸如%、&、#、和$,並且在允許的範圍內,越長越好,以保證你的密碼不易被人猜中。
妙招7、定期清除緩存、歷史記錄以及臨時文件夾中的內容
我們在上網瀏覽信息時,瀏覽器會把我們在上網過程中瀏覽的信息保存在瀏覽器的相關設置中,這樣下次再訪問同樣信息時可以很快地達到目的地,從而提高了我們的瀏覽效率。但是瀏覽器的緩存、歷史記錄以及臨時文件夾中的內容保留了我們太多的上網的記錄,這些記錄一旦被那些無聊的人得到,他們就有可能從這些記錄中尋找到有關個人信息的蛛絲馬跡。為了確保個人信息資料的絕對安全,我們應該定期清理緩存、歷史記錄以及臨時文件夾中的內容。
妙招8、不隨意透露任何個人信息
在網上瀏覽信息時,經常會發現需要用户註冊自己個人信息資料的表單。這些站點通過程序設計達到一種不填寫表單就不能獲取自己需要的信息的目的。面對這種強迫用户註冊個人信息的情況,我們最好的辦法是不要輕易把自己真實的信息提交給他們,特別是不要向任何人透露你的密碼。還有,在使用ICQ、OICQ等網絡軟件以及註冊免費Email信息的時候,我們都需要填寫一些個人資料。某些資料是必須填寫的,自然無法略過。但是對於可填可不填但又涉及自己隱私的資料,還是能免就免,您有權利保持沉默,否則您所説的一切,有可能在網絡上被黑客利用。
妙招9、突遇莫名其妙的故障時要及時檢查系統信息
上網過程中,突然覺得計算機工作不對勁時,彷彿感覺有人在遙遠的地方遙控你。這時,你必須及時停止手中的工作,立即按Ctrl+Alt+Del複合鍵來查看一下系統是否運行了什麼其他的程序,一旦發現有莫名其妙的程序在運行,你馬上停止它,以免對整個計算機系統有更大的威脅。但是並不是所有的程序運行時出現在程序列表中,有些程序例如BackOrifice(一種黑客的後門程序)並不顯示在Ctrl+Alt+Del複合鍵的進程列表中,所以如果你的計算機中運行的是WIN98或者WIN2000操作系統,最好運行“附件”/“系統工具”/“系統信息”,然後雙擊“軟件環境”,選擇“正在運行任務”,在任務列表中尋找自己不熟悉的或者自己並沒有運行的程序,一旦找到程序後應立即終止它,以防後患。
妙招10、對機密信息實施加密保護
對機密信息進行加密存儲和傳輸是傳統而有效的方法,這種方法對保護機密信息的安全特別有效,能夠防止搭線竊聽和黑客入侵,在目前基於Web服務的一些網絡安全協議中得到了廣泛的應用。在Web服務中的傳輸加密一般在應用層實現。WWW服務器在發送機密信息時,首先根據接收方的IP地址或其他標識,選取密鑰對,信息進行加密運算;瀏覽器在接收到加密數據後,根據IP包中信息的源地址或其他標識對加密數據進行解密運算,從而得到所需的數據。在目前流行的WWW服務器和瀏覽器中,如微軟公司的IIS服務器和瀏覽器IE,都可以對信息進行加解密運算,同時也留有接口,用户可以對這些加解密算法進行重載,構造自己的加解模塊。
妙招11、拒絕某些可能有威脅的站點對自己的訪問
我們在上網瀏覽信息時,應該做一個有心人,應經常通過一些報刊雜誌來蒐集一些黑客站點或其他一些具有破壞站點的相關信息,並時時注意哪些站點會惡意竊取別人的個人信息。在瞭解了這類網站的基本信息的情況下,如果想防止自己的站點不受上述那些站點的破壞,我們可以通過一些相關設置來拒絕這些站點對你的信息的訪問,從而能使瀏覽器能夠自動拒絕這些網站發出的某些對自己有安全威脅的指令。
妙招12、對重要的郵件進行加密
由於越來越多的人通過電子郵件進行重要的商務活動和發送機密信息,而且隨着互聯網的飛速發展,這類應用會更加頻繁。因此保證郵件的真實性(即不被他人偽造)和不被其他人截取和偷閲也變得日趨重要。所以,對於包含敏感信息的郵件,最好利用數字標識對你寫的郵件進行數字簽名後再發送。所謂數字標識是指由獨立的授權機構發放的證明你在Internet上身份的證件,是你在因特網上的身份證。這些發證的商業機構將發放給你這個身份證並不斷效驗其有效性。你首先向這些公司申請數字標識,然後就可以利用這個數字標識對你寫的郵件進行數字簽名。如果你獲得了別人的數字標識那麼你還可以跟他發送加密郵件。你通過對發送的郵件進行數字簽名可以把你的數字標識發送給他人,這時他們收到的實際上是公用密鑰,以後他們就可以通過這個公用密鑰對發給你的郵件進行加密,你再使用私人密鑰對加密郵件進行解密和閲讀。
妙招13、為客户/服務器通信雙方提供身份認證,建立安全信道
目前已經出現了建立在現有網絡協議基礎上的一些網絡安全協議,如SSL和PCT。這兩種協議主要是用於保護機密信息,同時也用於防止其他非法用户侵入自己的主機,給自己帶來安全威脅。
SSL協議是美國Netscape公司最早提出的一種包括服務器的認證、簽名、加密技術的私有通信,可提供對服務器的認證,根據服務器的選項,還可提供對客户端的認證。SSL協議可運行在任何一種可靠的傳輸協議之上,如TCP,但它並不依賴於TCP,並能夠運行在HTTP、FTP、TELNET等應用協議之下,為其提供安全的通信。SSL協議使用X.509V3認證標準,RSA、diffieHellman和FortezzaKEA算法作為其公鑰算法,使用RC4128、RC128、DES、3層DWS或IDEA作為其數據加密算法。PCT提供了比SSL更加豐富的認證方案、加密算法,並在某些協議細節上作了改進。
妙招14、儘量少在聊天室裏或使用OICQ聊天
在聊天室裏或者用OICQ與一些朋友輕鬆討論問題,開開玩笑,真是舒坦!然而在你輕鬆快樂之餘,惡意破壞者們利用網上聊天的一些漏洞,從中獲取你的個人信息,比如你所在機器的IP地址,你的姓名等等。然後他們利用這些個人信息對你進行一些惡意的攻擊,例如在聊天室裏,他們常常可以發給大家一個足以讓用户計算機死機的HTML語句。因為這些HTML語句是不會在聊天室顯示出來的,所以你遭攻擊可能還不知道!防治的辦法是在你的瀏覽器中預先關閉你的JAVA腳本。另外在網上有一種工具只要你在網上,輸入你的QICQ號,就可以知道你的IP地址,解決辦法只有你上網後,把OICQ狀態設置為隱藏狀態,這樣破壞者才不知道你在網上!
妙招15、企業的網管人員不應該在網上隨意透露自己企業的任何安全信息。
網管人員在網上經常需要與別人進行交流溝通,不過他們應該注意在真正瞭解網上朋友之前,將交流限制在郵件、網上聊天或公共交流區。不要輕信任何人,如他們的姓名、性別、職業、住址和其他信息。統計表明多數網上聊天參加者很少使用真實身份,小心確認向陌生人透露何種個人信息和透露多少。不要隨意在站點的來客登記簿上登錄,這可能會導致收到垃圾郵件。
妙招16、內部網絡系統的密碼要定期修改。
由於許多黑客利用窮舉法來破解密碼,像john這一類的密碼破解程序可從因特網上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的帳號及密碼,因此,經常修改密碼對付這種盜用就顯得十分奏效。當然,設定密碼也有很深的學問,只有隨意性強、有足夠的長度並及時更新的密碼才能算是比較安全的密碼。以下四個原則可提高密碼的抗破解能力。
①不要選擇常用字做密碼。
②用單詞和符號混合組成密碼。
③使用9個以上的字符做密碼,使你的密碼儘可能地長,對Windows系統來説,密碼最少要由9個字符組成才算安全。
④密碼組成中最好混合使用大小寫字母,一般情況下密碼只由英文字母組成,密碼中可使用26或52個字母。若對一個8個字母組成的密碼進行破解,密碼中字母有無大小寫之分將使破解時間產生256倍的差別。
妙招17、儘量不要使用共享硬盤功能
使用了遠程撥號接入局域網功能的Windows98用户要慎用硬盤共享和文件共享功能,共享就意味着允許別人下載文件。儘量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。儘量不要啟動系統資源共享功能。因為共享就意味着允許別人下載文件。當硬盤或文件夾圖標下有一隻手託着時,表明啟動了共享功能,選中該圖標,選擇“文件”選單下的“共享”,再選“不共享”,這隻手就消失了。
妙招18、要經常使用殺毒軟件來維護局域網系統不受病毒攻擊
現在國內的殺毒軟件如kv300、kill98、瑞星等,可以不定期地在脱機的情況下進行檢查和清除。另外,有的殺毒軟件還提供網絡實時監控功能,這一功能可以在黑客從遠端執行用户機器上的文件時,提供報警或讓執行失敗,使黑客向用户機器上載可執行文件後無法正確執行,從而避免了進一步的損失。
妙招19、防止黑客的非法侵入
將網絡的tcp起時限制在15分鐘以內,減少黑客入侵的機會。並擴大連接表,增加黑客填寫整個連接表的難度。另外,同其它企業進行聯合,共同抵制黑客的入侵,一旦被入侵要及時向有關部門彙報,並共同查找入侵來源,鎖定黑客ip地址。
妙招20、請別人安裝或調試後應立即修改密碼
這是一個很容易忽略的細節,許多用户第一次不懂得如何撥號上網,就請別人來教,這樣常常把用户名和密碼告訴此人,這個人記住以後就可以回去盜用服務了。所以,用户最好自己學會如何撥號後再去申請上網賬號,或者首先向ISP問清如何修改自己的密碼,在別人教會自己如何撥號後,立刻將密碼改掉,避免被人盜用。
如果企業的局域網系統是請他人調試安裝的,企業的網管人員應該注意在網絡調試好以後應及時對整個網絡系統加裝安全保護系統,或者重新修改調試人員以前設定的密碼。所以,企業用户最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。
妙招21、刪除後綴為的文件
在Windows目錄下往往有一些以“”為後綴名的密碼文件,“”是password的音譯縮寫。比如:在最初的Windows95操作系統中密碼的保存即存在安全漏洞,從而使黑客可以利用相應的程序輕鬆獲取保存在pwl文件裏的密碼。這一漏洞在Windows98中已經被修復。因此,你需要為你的電腦安裝Windows98以上版本的操作系統。pwl文件還常常記錄其它地方要用到的密碼,比如開啟Exchange電子信箱的密碼、玩Mud遊戲的密碼等,要經常刪除這些pwl文件避免將密碼留在硬盤上。
妙招22、禁止安裝擊鍵記錄程序
很多人知道這個程序,這個在DOS下常用的外部命令能通過恢復以前輸入的命令來加快輸入命令的速度,在Windows下也有了許多類似的程序,如keylog,它不但能記錄用户的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中,而這一文件可以用文本編輯器來查看。密碼就是這樣被泄露出去的,偷盜者只要在根目錄下看看就可以了,根本無需任何專業知識!
妙招23、對付特洛伊木馬
特洛伊木馬程序常被定義為當執行一個任務時卻實際上執行着另一個任務的程序,用“瞞天過海”或“披着羊皮的狼”之類的詞來形容這類程序一點也不為過。典型的一個例子是:偽造一個登錄界面,當用户在這個界面上輸入用户名和密碼時,程序將它們轉移到一個隱蔽的文件中,然後提示錯誤要求用户再輸入一遍,程序這時再調用真正的登錄界面讓用户登錄,於是在用户幾乎毫無察覺的情況下就得到了記錄有用户名和密碼的文件。現在互聯網上有許多所謂的特洛伊木馬程序,嚴格地説它們屬於客户機/服務器(C/S)程序,因為它們往往帶有一個用於駐留在用户機器上的服務器程序,以及一個用於訪問用户機器的客户端程序,就好像NT的Server和Workstation的關係一樣。
在對付特洛伊木馬程序方面,有以下幾種辦法:
①多讀。許多人出於研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執行其中的程序,這樣往往就錯誤地執行了服務器端程序而使用户的計算機成為了特洛伊木馬的犧牲品。
②對TCP/IP端口熟悉的用户,可以在“MS-DOS方式”下鍵入“netstat-a”來觀察與你機器相連的當前所有通信進程,當有具體的IP正使用不常見的端口(一般大於1024)與你通信時,這一端口很可能就是特洛伊木馬的通信端口。當發現上述可疑跡象後,你所能做的就是:立即中斷網絡系統,然後對硬盤有無特洛伊木馬進行認真的檢查。
③普通用户應當經常觀察位於c:、c:windows、c:windowssystem這三個目錄下的文件,查看是否發現特洛伊木馬,如果有光有文件名沒有圖標的可執行程序,你應該立即把它們刪除,然後再用殺毒軟件進行認真的清理。
妙招24、不要使用“MyDocuments”文件夾存放Word、Excel文件
Word、Excel默認的文件存放路徑是根目錄下的“MyDocuments”文件夾,在特洛伊木馬把用户硬盤變成共享硬盤後,入侵者從這個目錄中的文件名一眼就能看出這個用户是幹什麼的,這個目錄幾乎就是用户的特徵標識,所以為安全起見應把工作路徑改成別的目錄,並且層次越深越好,比如:c:abcdefghijkl。可以肯定地説,在互聯網上,沒有什麼措施是絕對安全的,黑客入侵的一個重要法則是:入侵者不只用一種方法入侵,這就意味着只有堵塞一切漏洞才能防止入侵,這顯然是不可能的。具有諷刺意味的是,許多安全措施本身卻帶來了新的安全隱患,就好像藥品常帶有副作用一樣。