一篇关于网络安全方面对中小企业非常有用的文章.docVIP

一篇关于网络安全方面对中小企业非常有用的文章 编者按：网络是脆弱的，对一般用户来说，他们对于网络安全还仅仅是停留在安装一个杀毒软件的层面上，还有的人天真的以为这样就万事大吉，连病毒库都不去更新。这样怎么能抵挡住黑客非法入侵和病毒的肆虐，其实只要你 　　1、安装操作系统或应用程序时不要使用默认值 　　几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能，虽然厂商的设计是为了方便用户，但是在绝大多数用户不知情的情况下，系统却同时间却安装了许多不必要功能。相比之下，这种所谓采默认值安装的操作系统或应用程序，往往是造成安全漏洞的祸首。主要原因是因为用户通常不会去注意那些从来不用的功能，而且有许许多多的用户，包含IT的管理人员，根本就不知道自己在使用中的操作系统或应用程序上到底安装了哪些东西。一旦这些不明的功能出现漏洞，而偏偏用户又一无所知，且未实时加以修补的话，那往往会成为黑客入侵的最佳通道。　　就操作系统来说，采用预设的安装通常都会连带安装超出用户所需的功能与网络服务，碰巧黑客最喜欢通过这些网络服务与通讯端口来进行入侵的动作。因此，若你所安装或开放的功能、网络服务与通讯端口越少，黑客就越不得其门而入。同样地，以默认值安装的应用程序，通常内含不必要的范例程序或是Scripts。一些常见的网站服务器漏洞即是因这些范例程序或是Scripts所造成，黑客可以利用这些不为用户所知的范例程序或Scripts所造成的漏洞来进行入侵、或取得该系统上的信息。绝大多数被安装在应用程序上的范例程序或是Scripts不仅未经过严谨的安全控制与设计，也未落实错误检查的工作，相反地，却成了黑客进行buffer overflow缓冲区溢位攻击的最佳通道。　　如果你曾经使用厂商提供的快速安装程序来安装操作系统与应用程序，而且尚未删除不必要的网络服务并安装所有的修补程序的话，你的系统极有可能漏洞一箩筐，且相当容易导致黑客入侵。即便你设定过相关的功能，你的操作系统或应用程序仍有可能有漏洞，所以你可以使用端口号扫描工具(port scanner)或是漏洞扫描工具(vulnerability scanner)来作一确认。切记删除或关闭操作系统或是应用程序上不必要的功能、网络服务与通讯端口。虽然在企业里要落实这些安全管理工作有时相当费时费力，但是企业可以事先订定标准的操作系统与应用程序的安装规范来说明一般用户或IT管理人员可以安装那些功能或服务，以有效解决此一问题。 　　2、使用先进的用户帐号/密码设定与组合 　　帐号与密号的使用通常是许多系统预设的第一，同时也是唯一的防护措施。因此，黑客如果能取得用户的帐号与密码，那即可控制被入侵的系统。事实上，有许多的用户的密码要不是很容易被猜中，就是使用系统预设的密码，更甚者，还有些人根本就不设密码。用户应该要切记把握避免使用不当的密码、系统预设密码、或是使用空白密码的原则。　　先进的密码系统包含两部分，一部分是「加密（encode）」，另一部分是「解密（decode）」。当一个密码设定完成后，会被以「明码」或是「暗码」的形式记录起来，以供认证之用，我们假设程序把密码存在「password.txt」档案中，而我们的密码假设为「ken」。　　当档案经过加密后，下次打开这个档案就会被要求读入一个密码，如果是「明码」，那我们例子中的「password.txt」中就会被纪录密码是「ken」，可是这很不安全，用写字板就可以轻松破解这个密码。　　「暗码」就比较先进了，他会被重新编码再储存，而且重新编码的方式很多，可能是一种很特殊的排列组合，这完全看设计者如何发挥。例如设定把他转成16进位码当作编码，所以这个密码「ken」经过处理就变成「68」、「74」、「77」，然后存在「password.txt」里的就成了「687477」，想解开「暗码」通常要花较多功夫。最新的编码技术就更厉害了，像 UNIX、Windows 系列中也常用到这些新技术，就是所谓的不可逆算法。刚刚「暗码」中的「687477」，如果你知道规则，那是可以轻而易举反推回去的，马上就可以得到「ken」这三个字。为了解决这个问题，人们采用了不可逆的算法，就是让你无法返推回去。　　密码的安全性是相对的，只要是密码就会有被破解的情况，只不过是被时间的多少问题。那怎么设定密码，才能达到最好的效果？在此我提供下列几项检查方法供大家参考： 　　（1）?定时稽核系统上使用中与未使用中的帐号并予以记录，尤其对与Internet相连接的Router、Switch、Firewall、Server等主机上的密码应逐一检查。　　（2）?制定企业信息系统用户帐号管理政策，详细规范增加用户帐号、以及删除不再继续使用的帐号时之应注意事项。　　（3）?定时确认系统上是否出现