網絡經濟的持續(xù)發(fā)展�,電子商務觀念也得到大多數人的認同之際��,一向在網絡上從事竊取��、破壞資料的黑客也同樣變得異?;钴S。黑客的網絡搗亂行為每年可能會造成企業(yè)電子商務系統(tǒng)損失慘重�����。而隨著你的企業(yè)規(guī)模持續(xù)擴張,即便是一點微小�����、想象不到的安全上的疏忽都有可能將你辛苦建立的公司輕易的暴露于潛在的威脅當中���。
近些年來�,服務器遭受的風險也比以前更大了��。越來越多的病毒���,心懷不軌的黑客都將服務器作為了自己的目標。很明顯�,服務器的安全問題是不容忽視的。在這里談談企業(yè)維護服務器安全的方法��。
一�、將磁盤分區(qū)轉換成NTFS格式
當黑客開始對你的網絡發(fā)起攻擊的時候,他們首先會檢查是否存在一般的安全漏洞��,然后才會考慮難度更加高一點的突破安全系統(tǒng)的手段��。因此�����,比方說,當你服務器上的資料都存在于一個FAT 的磁盤分區(qū)的時候��,即使安裝上世界上所有的安全軟件也不會對你有多大幫助的��。
因為這個原因�����,你需要從基本做起�����。你需要將服務器上所有包含了敏感資料的磁盤分區(qū)都轉換成NTFS 格式的�����。同樣�,你還需要將所有的反病毒軟件及時更新。我建議你同時在服務器和桌面終端上運行反病毒軟件��。這些軟件還應該配置成每天自動下載最新的病毒數據庫文件�����。你還更應該知道,可以為Exchange Server 安裝反病毒軟件�����。這個軟件掃描所有流入的電子郵件��,尋找被感染了的附件�����,當它發(fā)現一個病毒時��,會自動將這個被感染的郵件在到達用戶以前隔離起來��。
另一個保護網絡的好方法是以用戶待在公司里的時間為基礎限定他們訪問網絡的時間���。最后,記住用戶在訪問整個網絡上的任何東西的時候都需要密碼�。必須強迫大家使用高強度的由大小寫字母,數字和特殊字符組成的密碼�。在WindowsNT Server 資源包里有一個很好的用于這個任務的工具。你還應該經常將一些過期密碼作廢并更新還要要求用戶的密碼不得少于8 個字符�。如果你已經做了這所有的工作但還是擔心密碼的安全,你可以試一試從互聯網下載一些黑客工具然后自己找出這些密碼到底有多安全��。
二、啟用Windows NT 的回叫功能式Windows NT 最酷的功能之一就是對服務器進行遠程訪問(RAS)的支持��。不幸的是���,一個RAS 服務器對一個企圖進入你的系統(tǒng)的黑客來說是一扇敞開的大門�����。黑客們所需要的一切只是一個電話號碼�����,有時還需要一點耐心��,然后就能通過RAS 進入一臺主機了�。但你可以采取一些方法來保證RAS 服務器的安全���。
你所要使用的技術將在很大程度上取決于你的遠程用戶如何使用RAS��。如果遠程用戶經常是從家里或是類似的不太變動的地方呼叫主機���,我建議你使用回叫功能,它允許遠程用戶登錄以后切斷連接。然后RAS 服務器撥通一個預先定義的電話號碼再次接通用戶���。因為這個號碼是預先設定了的�,黑客也就沒有機會設定服務器回叫的號碼了�����。
另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器�。
你可以將用戶通常訪問的資料放置在RAS 服務器的一個特殊的共享點上。你于是可以將遠程用戶的訪問限制在一臺服務器上�����,而不是整個網絡��。這樣��,即使黑客通過破壞手段來進入主機���,那么他們也會被隔離在單一的一臺機器上�,在這里�,他們造成的破壞被減少到了最小�����。
最后還有一個技巧就是在你的RAS 服務器上使用出人意料的協議。我們知道的每一個人都使用TCP/IP 協議作為RAS 協議�。考慮到TCP/IP 協議本身的性質和典型的用途�,這看起來像是一個合理的選擇。但是��,RAS 還支持IPX/SPX 和NetBEUI 協議�����。如果你使用NetBEUI作為你RAS 的協議�,你確實可以迷惑一些不加提防的黑客。
三��、構建安全的工作站
由于工作站正是通向服務器的一個埠�����,加強工作站的安全能夠提高整個網絡的安全性���。對于入門者��,我建議在所有的工作站上使用Windows 2000�����。Windows 2000 是一個非常安全的操作系統(tǒng)�。如果你并不想這樣做,那么至少使用WindowsNT�����。你可以鎖定工作站��,使得一些沒有安全訪問權的人想要獲得網絡配置信息變得困難或是不可能另一個技術是控制哪個人能夠訪問哪臺工作站��。例如�,有一個員工,你已經知道他是一個麻煩制造者��,因此你應該使用工作組用戶管
理程序還修改他的帳號以便他只能
從他自己的計算機(并且是在你指定的時間內) 登錄�。這樣他就不太如何做好服務器安全維護可能從他自己的計算機上攻擊網絡,因為他知道別人可以將他追查出來�����。
另一個技術是將工作站的功能限定為一個啞終端���,它的意思是沒有任何資料和應用程序駐留在獨立的工作站上�����。當你將計算機作為啞終端使用的時候�,服務器被配置成運行Windows NT 終端服務程序���,而且所有的應用程序物理上都運行在服務器上�。所有送到工作站的東西都不過是更新的屏幕顯示而已�����。
這意味著工作站上只有一個最小化的Windows 版本和一份微軟終端服務程序的客戶端��。使用這種方法也許是最安全的網絡設計方案�。使用一個「聰明的」啞終端就是說程序和資料駐留在服務器上但卻在工作站
上運行。所有安裝在工作站上的是一份Windows 拷貝以及一些指向駐留在服務器上的應用程序的圖標��。
當你點擊一個圖標運行程序時�����,這個程序將使用本地的資源來運行���,而不是消耗服務器的資源���。這比你運行一個完全的啞終端程序對服務器造成的壓力要小得多�。
四��、下載安裝最新的安全漏洞補救程序
微軟有一個程序員團隊來檢查安全漏洞并修補它們��。有時���,這些補救程序被捆綁進一個大的套裝軟件并作為服務包( service pack)發(fā)布�����。通常有兩種不同的補救程序版本:一個任何人都可以使用的40 位的版本和一個只能在美國和加拿大使用的128 位的版本�����??偟恼f來128 位的版本使用128 位的加密算法��,比40 位的版本要安全得多�。有時一個服務包的發(fā)布也許要等上好幾個月-很明顯的,當一個大的安全漏洞被發(fā)現的時候��,只要有可能修補它���,你就想再等下去���。好在你并不需要等待��。微軟定期將重要的補救程序程序發(fā)布在它的FTP 站點上。
這些熱點補救程序程序是自上一次服務包發(fā)布以后被公布的安全修補程序�。我建議你經常查看熱點補救程序。記住你一定要按邏輯順序使用這些補救程序�����。如果你以錯誤的順序使用它們��,結果可能導致一些文件的版本錯誤���,Windows 也可能停止工作���。
五、建立嚴格的用戶權限如果你使用Windows 2000Server��,你就有可能指定用戶特殊的使用權限來使用你的服務器而不需要交出管理員的控制權�����。一個好的用法就是授權人力資源部來刪除和禁用一個帳號。這樣�����,人力資源部就可以在一個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號�。這樣,不滿的員工就不會有機會來攪亂公司的系統(tǒng)了�。同時,使用特殊用戶權限�����,你就可以授予這種刪除和禁用帳號權限并限制創(chuàng)建用戶或是更改許可等這些活動的權限了�。
六、安裝入侵偵測及報警系統(tǒng)隨著網絡經濟的持續(xù)發(fā)展��,電子商務觀念也得到大多數人的認同之際�����,隨之也帶來了如何保護企業(yè)�、客戶交易資料不被竊取等相關問題。
一般對于信息竊取可以分為兩種:一種是所謂偷取智能財產�;而另一種則是所謂產業(yè)諜報活動。而程序設計師更是可以憑借編寫程序的便利,在開發(fā)應用軟件時預留暗門�,在使用這套軟件的企業(yè)在未察覺的狀態(tài)之下,其就能不知不覺將公司重要信息全部竊取�。因此簡單的說,一個企業(yè)如果缺乏適當的警覺性是絕對會替公司帶來巨大的經濟及信息資源上的損失��。
應對方法是安裝非法入侵的偵測系統(tǒng)��,它可以補足目前防火墻的功能��,使兩者達到監(jiān)控網絡���、執(zhí)行立即的攔截動作以及分析過濾封包和內容的動作,當竊取者入侵時便可以立刻有效終止�����。
入侵偵測以及報警系統(tǒng)提供了企業(yè)防御保護的另一道防線���,這些相關防護措施的應用可以完全做到在面臨攻擊�����、或者是信息遭濫用時立即做出多樣性適當的報警�,這其中包括有警告系統(tǒng)管理人員、立即偵測記錄下攻擊的行為以利作為未來起訴告發(fā)之證據��,或者說就只是簡單的終止黑客的網絡聯機��?��?偠?/span>言之�,運用的完善安全支持決策可以幫助企業(yè)管理由于擴展企業(yè)組織時科技所帶來產生的大量數據資料�����。
七�����、定期檢查服務器的防火墻
最后一個方法是要定期仔細檢查你防火墻的設置���。你的防火墻是網絡的一個重要部分因為它將你公司的計算機同互聯網上那些可能對它們造成損壞的黑客隔離開來�����。
你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP 地址�����。你總是至少要讓一個IP 地
址對外界可見�����。這個IP 地址被使用來進行所有的互聯網通訊�。如果你還有DNS 注冊的Web 服務器或是電子郵件服務器,它們的IP 地址也許也要通過防火墻對外界可見��。但是,工作站和其他服務器的IP 地址必須被隱藏起來��。
你還可以查看埠列表驗證你已經關閉了所有你并不常用的端口地址��。例如��,TCP/IP 端口80 用于HTTP 通訊,因此你可能并不想堵掉這個埠。但是��,你也許永遠都不會用埠81 因此它應該被關掉�����。你可以在互聯網上找到每個埠使用用途的列表��。
總結
電子商務提供了一個比以往更為便利的網絡交易環(huán)境給所有的網絡使用者�����,在使用大量的Web 站臺��、提供了珍貴的公司信息�、關鍵任務的商業(yè)應用程序與消費者私有的信息�,服務器的安全問題日漸成為一個大問題,你不希望緊要的資料被病毒或是黑客破壞或是被一個可能用這些資料來對付你的人竊取。
為了能夠在這個競爭激烈又處處布滿危機的環(huán)境中獲得成功�����,企業(yè)組織必須在使用者存取其資源的同時也必須保護其針對的資產��,并確保其消費者私有信息的安全���。
企業(yè)經營管理人員應該選擇能夠解決上述問題���,并針對各種的電子商務作業(yè)環(huán)境提供端點對端點的安全基礎架構的解決方案���。另外���,在選購這類產品時也應該考慮其整合性與支持性�����,除了能夠提供這類入侵監(jiān)測與防治的產品外�����,也應該能讓防火墻與計算機病毒防治的軟件整合在一起��,并可以定期提供病毒碼與入侵攻擊模式數據庫的更新�,在面對互聯網絡科技日新月異之際�����,也能提供完整的企業(yè)與電子商務系統(tǒng)的信息安全防護��。
DNS 是整個互聯網的基礎���,無論是個人還是大小互聯網公司,都可能因為DNS 被惡意篡改而蒙受損失��。惡意DNS 的影響太大,除了對安全造成巨大隱患還會降低用戶訪問網絡資源的速度,因而連一向忍耐力超強的電信運營商都無法容忍伸向DNS 的黑手,第一次因此而大范圍啟用了BGP 牽引�����。
BGP 牽引的實質為電信運營商廣播出長掩碼高優(yōu)先級路由,表現為直接奪取黑客的公網IP 地址�����,無論黑客的設備躲在全球任何角落都奏效(對付固定IP 做惡的能力�,如果將安全廠商的軟件比作常規(guī)武器�,電信運營商的BGP 牽引就如同核武)�����,但BGP 牽引這招的威力過大��、搞不好容易產生后遺癥���,因而僅能在自身的網絡范圍內謹慎使用�。
黑客利用大部分人不修改家用寬帶路由器默認用戶名密碼這一疏忽���,引誘人們去瀏覽其控制的WEB 網頁從而修改了幾百萬個家用寬帶路由器的DNS,靠DHCP 協議從家用寬帶路由器自動獲取DNS 的PC 及通過WiFi 上網的手機�����,長期使用黑客的DNS,沒有任何網絡安全可言���,如下圖所示:
114DNS 為電信運營商搭建了專門的BGP-DNS 系統(tǒng)�����,該BGP-DNS 系統(tǒng)可直接向電信骨干路由器注入32 位掩碼的高優(yōu)先級BGP 路由�,電信運營商核心路由器接受該BGP 路由并在自身的網絡內進行受限廣播�。例如某惡意DNS的IP 地址為某國IP_A���,BGP-DNS廣播出IP_A 的32 位掩碼BGP 路由之后��,原本流向惡意DNS 的流量被將會被BGP-DNS“吸過去”�,在阿里��、百度�、騰訊等公司的授權下���,BGP-DNS 系統(tǒng)將訪問量較大的網頁主機名如www. taobao. com�����、www.tmall . com�、www.baidu. com��、user.qzone.qq.com 解析成特別的IP
地址�,阿里�����、百度、騰訊各自為此架設了專門的警示WEB 服務器�����。
DNS 被惡意篡改過的用戶�,例如DNS 被篡改為IP_A 的用戶去訪問www. taobao. com 時���,無法再看
到淘寶的正常網頁���、卻看到了淘寶的警示網頁如下圖��,用戶可按警示頁面的引導修復其家用寬帶路由器的DNS。目前�����,DNS 被惡意篡改
過的大部分中國電信用戶�����,只有修復其路由器的DNS 并重啟PC 之后��,才能去淘寶購物,迫使用戶提升網絡安全,同時也改善用戶訪問
網絡資源的速度(因惡意DNS 對CDN 也很不友好)��。
為避免DNS 再次被黑客篡改�,一定要修改家用寬帶路由器的默認用戶名和密碼,否則就算現在修復了�,DNS 還是很可能再次被黑客篡改。
建議DNS 還沒有被篡改的人�,抓緊時間去修改家用寬帶路由器的默認用戶名和密碼�����。從目前電信運營商的BGP-DNS 流量來看�,晚高峰黑客曾承載高達每秒10 萬次的DNS 請求,這個量太大了�,希望大家謹慎���。
