阿江阿沁
浅谈计算机网络中信息系统的安全防范 摘要:随着信息产业的高速发展,我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒 的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。 关键词:网络层安全;服务器端安全;安全配置 1网络层安全措施 1防火墙技术 防火墙技术是建立在现代通信网络技术和信 息安全技术基础上的应用性安全技术,越来越多地 应用于专用网络与公用网络的互联环境之中,尤其 以接入Internet网络为甚。 防火墙是指设置在不同网络(如可信任的企业 内部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。它是不同网络或网络安全域之间 信息的唯一出入口,能根据企业的安全政策控制 (允许、拒绝、监测)出入网络的信息流,且本身具有 较强的抗攻击能力。它是提供信息安全服务,实现 网络和信息安全的基础设施。在逻辑上,防火墙是 一个分离器,一个限制器,也是一个分析器,有效地 监控了内部网和Internet之间的任何活动,保证了 内部网络的安全。 防火墙是网络安全的屏障:一个防火墙(作为 阻塞点、控制点)能极大地提高一个内部网络的安 全性,并通过过滤不安全的服务而降低风险。由于 只有经过精心选择的应用协议才能通过防火墙,所 以网络环境变得更安全。防火墙可以强化网络安全 策略:通过以防火墙为中心的安全方案配置,能将 所有安全软件(如口令、加密、身份认证、审计等)配 置在防火墙上。对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能 记录下这些访问并做出日志记录,同时也能提供网 络使用情况的统计数据。防止内部信息的外泄:通 过利用防火墙对内部网络的划分,可实现内部网重 点网段的隔离,从而限制了局部重点或敏感网络安 全问题对全局网络造成的影响。除了安全作用,有 的防火墙还支持具有Internet服务特性的企业内 部网络技术体系VPN。通过VPN,将企事业单位在 地域上分布在全世界各地的LAN或专用子网,有 机地联成一个整体。不仅省去了专用通信线路,而 且为信息共享提供了技术保障。 2入侵检测技术 IETF将一个入侵检测系统分为四个组件:事 件产生器(Event Generators);事件分析器(Event An- alyzers);响应单元(Response Units)和事件数据库 (Event Data Bases)。事件产生器的目的是从整个计 算环境中获得事件,并向系统的其他部分提供此事 件。事件分析器分析得到的数据,并产生分析结果。 响应单元则是对分析结果做出反应的功能单元,它 可以做出切断连接、改变文件属性等强烈反应,也 可以只是简单的报警。事件数据库是存放各种中间 和最终数据的地方的统称,它可以是复杂的数据 库,也可以是简单的文本文件。 根据检测对象的不同,入侵检测系统可分为主 机型和网络型。基于主机的监测。主机型入侵检测 系统就是以系统日志、应用程序日志等作为数据 源,当然也可以通过其他手段(如监督系统调用)从 所在的主机收集信息进行分析。主机型入侵检测系 统保护的一般是所在的系统。这种系统经常运行在 被监测的系统之上,用以监测系统上正在运行的进 程是否合法。最近出现的一种ID(Intrusion Detec- tion):位于操作系统的内核之中并监测系统的最底 层行为。所有这些系统最近已经可以被用于多种平 台。网络型入侵检测。它的数据源是网络上的数据 包。往往将一台机子的网卡设于混杂模式(Promise Mode),对所有本网段内的数据包并进行信息收集, 并进行判断。一般网络型入侵检测系统担负着保护 整个网段的任务。 对各种事件进行分析,从中发现违反安全策略 的行为是入侵检测系统的核心功能。从技术上,入 侵检测分为两类:一种基于标志(C Signature-Based ),另一种基于异常情况(Abnormally-Based)。 2服务器端安全措施 只有正确的安装和设置操作系统,才能使其在 安全方面发挥应有的作用。下面以WIN2000 SERVER为例。 1正确地分区和分配逻辑盘。 微软的IIS经常有泄漏源码/溢出的漏洞,如果 把系统和IIS放在同一个驱动器会导致系统文件的 泄漏甚至入侵者远程获取ADMIN。本系统的配置 是建立三个逻辑驱动器,C盘20G,用来装系统和 重要的日志文件,D盘20G放IIS,E盘20G放 FTP,这样无论IIS或FTP出了安全漏洞都不会直 接影响到系统目录和系统文件。因为,IIS和FTP是 对外服务的,比较容易出问题。而把IIS和FTP分 开主要是为了防止入侵者上传程序并从IIS中运 行。 2正确地选择安装顺序。 一般的人可能对安装顺序不太重视,认为只要 安装好了,怎么装都可以的。很多时候正是因为管 理员思想上的松懈才给不法分子以可乘之机。 Win2000在安装中有几个顺序是一定要注意的: 首先,何时接入网络:Win2000在安装时有一 个漏洞,在你输入Administrator密码后,系统就建 立了ADMIN$的共享,但是并没有用你刚刚输入的 密码来保护它这种情况一直持续到你再次启动后, 在此期间,任何人都可以通过ADMIN$进入你的机 器;同时,只要安装一完成,各种服务就会自动运 行,而这时的服务器是满身漏洞,非常容易进入的, 因此,在完全安装并配置好Win2000 SERVER之 前,一定不要把主机接入网络。 其次,补丁的安装:补丁的安装应该在所有应 用程序安装完之后,因为补丁程序往往要替换/修 改某些系统文件,如果先安装补丁再安装应用程序 有可能导致补丁不能起到应有的效果,例如:IIS的 HotFix就要求每次更改IIS的配置都需要安装,尽 管很麻烦,却很必要。 3安全配置 1端口::端口是计算机和外部网络相连的逻 辑接口,从安全的角度来看,仅打开你需要使用的 端口会比较安全,配置的方法是在网卡属性--TCP/ IP--高级--选项--TCP/IP筛选中启用TCP/IP筛 选,不过对于Win2000的端口过滤来说,有一个不 好的特性:只能规定开哪些端口,不能规定关闭哪 些端口;这样对于需要开大量端口的用户就比较麻 烦。 2 IIS:IIS是微软的组件中漏洞最多的一个, 平均两三个月就要出一个漏洞,而微软的IIS默认 安装又实在不敢恭维,所以IIS的配置是我们的重 点,所以在本系统的WWW服务器采取下面的设 置:首先,把操作系统在C盘默认安装的Inetpub 目录彻底删掉,在D盘建一个Inetpub在IIS管理 器中将主目录指向D:/Inetpub。其次,在IIS安装 时默认的scripts等虚拟目录一概删除,这些都容易 成为攻击的目标。我们虽然已经把Inetpub从系统 盘挪出来了,但这样作也是完全必要的。如果需要 什么权限的目录可以在需要的时候再建,需要什么 权限开什么。特别注意写权限和执行程序的权限, 没有绝对的必要千万不要给。 3应用程序配置:在IIS管理器中删除必须之 外的任何无用映射,必须指出的是ASP,ASP和其 它确实需要用到的文件类型。我们不需要IIS提供 的应用程序的映射,删除所有的映射,具体操作:在 IIS管理器中右击主机一属性一WWW服务编辑一 主目录配置一应用程序映射,然后就一个个删除这 些映射。点击"确定"退出时要让虚拟站点继承刚才 所设定的属性。 经过了Win2000 Server的正确安装与正确配 置,操作系统的漏洞得到了很好的预防,同时增加 了补丁,这样子就大大增强了操作系统的安全性 能。 虽然信息管理系统安全性措施目前已经比较 成熟,但我们切不可马虎大意,只有不断学习新的 网络安全知识、采取日新月异的网络安全措施,才 能保证我们的网络安全防御真正金汤。 参考文献 [1]丁霞军基于ASP的管理信息系统开发及其安全 性研究(学位论文)安徽:安徽理工大学2005 [2]杨兵网络系统安全技术研究及其在宝钢设备采 购管理系统中的应用:(学位论文)辽宁:东北大学, 2002 [3]刘广良建设银行计算机网络信息系统安全管理 策略研究:( 
