ISP安全.docVIP

ISP安全 计算机上任何活动的 Internet 连接都有可能让计算机成为恶意活动的攻击目标。计算机病毒、蠕虫或间谍软件等恶意软件可以附在电子邮件中或从网站下载。造成服务提供商网络大规模故障问题的起源往往来自 ISP 客户那边未加保护的台式系统。 如果 ISP 托管着 Web 或电子商务网站，可能会将含有财务数据或银行帐户信息的机密文件存储在其服务器上。因此 ISP 必须以安全的方式维护客户数据。 在帮助保护使用其服务的家庭和企业用户方面，ISP 扮演着重要的角色。ISP 的安全服务还保护着位于服务提供商所在地的服务器。服务提供商经常需要帮助客户保护其本地网络和工作站，以降低安全风险。 在客户和 ISP 两端，都可以采取许多措施来保护操作系统和系统中存储的数据，以及计算机系统之间传输的数据。如果 ISP 为客户提供 Web 托管或电子邮件服务，则必须保护信息免遭恶意攻击。这是一项较为复杂的任务，因为 ISP 通常使用一台服务器或服务器群集来维护属于多个客户的数据。 为避免成为攻击的目标，许多 ISP 为客户提供管理型桌面安全服务。现场支持技术人员的一项重要工作便是在客户端计算机上采取最佳安全做法。ISP 支持技术人员可以提供的部分安全服务包括： 帮助客户端设置安全的设备密码 通过补丁管理和软件升级保护应用程序 删除可能形成漏洞的多余应用程序和服务 确保应用程序和服务仅供必要的用户使用 配置桌面防火墙和病毒检查软件 对软件和服务执行安全扫描，确定技术人员必须保护的安全漏洞 最佳安全做法 如果 ISP 为客户提供 Web 托管或电子邮件服务，则必须保护信息免遭恶意攻击。这是一项较为复杂的任务，因为 ISP 通常使用一台服务器或服务器群集来维护属于多个客户的数据。 常用的数据安全功能和规程包括： 加密服务器硬盘中存储的数据 设置权限，限制对文件和文件夹的访问 根据用户帐户或用户组成员资格允许或拒绝访问 如果允许访问，则根据用户帐户或用户组成员资格分配不同的权限级别 在分配访问文件和文件夹的权限时，最佳安全做法是遵循最小权限的原则。也就是说，只允许用户访问工作所必需的一些资源，并为他们设定适当的权限级别（例如只读或写入），用户不需要的其它权限则不予分配。 身份认证、授权和记帐 (AAA) 是网络管理员为提高对攻击者入侵网络的防范能力而采取的三步式措施。 身份认证 要求用户提供用户名和密码以验明其身份。身份认证数据库通常存储在 RADIUS 或 TACACS 服务器上。 授权 为用户分配使用特定资源和执行特定任务的权限。 记帐 记录使用的应用程序及其使用时间。 例如，身份认证确认名为 student 的用户可以登录。授权服务指定用户 student 可以通过 Telnet 访问主机服务器 XYZ。记帐服务则会如下记录：用户 student 在特定日期通过 Telnet 对主机 serverXYZ 执行了 15 分钟的访问。 AAA 可用于不同类型的网络连接，它需要一个数据库来记录用户证书、权限和帐户统计数据。本地身份认证是 AAA 最简单的形式，它在网关路由器上保留本地数据库。如果某组织有大量用户要使用 AAA 进行身份认证，则必须在单独的服务器上保留一个数据库。 数据加密 ISP 还必须注意保护其服务器发送和接收的数据。默认情况下，通过网络发送的数据未经保护，是明文传输的。非授权的个人可以在传输未经保护的数据时加以拦截，这样便可以避开为数据设置的所有文件系统安全措施。对此安全问题，可以采取多种方法加以防范。 数字加密是对客户端与服务器之间所有传输的数据进行加密的一个过程。许多数据传输协议都提供了使用数字加密的安全版本。在两台计算机之间交换机密信息时，最佳做法是使用安全版本的协议。 例如：如果用户必须提交用户名和密码才能登录电子商务网站，就需要使用安全协议。这样可以保护用户名和密码信息不会被他人截取。再如，在用户必须提交信用卡或银行帐户信息时，必须使用安全协议。 使用 Internet 和查看供人们公开访问的网站时，则不需要保护传输的数据。在这种情况下，使用安全协议反而会延长响应时间，从而增加计算开销。 有许多网络协议可供应用程序使用。有些协议具有安全版本，有些则没有。 Web 服务器 Web 服务器默认使用 HTTP 协议。此协议并非安全协议。切换到 HTTPS 即可安全地交换数据。 电子邮件服务器 电子邮件服务器使用多种不同的协议，包括 SMTP、POP3、IMAP 等。当用户登录到电子邮件服务器时，POP3 和 IMAP 要求提供用户名和密码进行身份认证。默认情况下，提交的信息未加保护就发送，很容易被他人捕获。POP3 使用“安全套接字层”(SSL) 来提供保护。SMTP 和 IMAP 可以使用 SSL 或 TLS（传输层安全）作