1、網(wǎng)絡(luò)安全措施
1.1入侵檢測。
IETF將入侵檢測分為四個組件:事件數(shù)據(jù)庫(Event Data Bases),事件產(chǎn)生器(Event Generators),響應(yīng)單元(Response Units)和事件分析器(Event Analyzers)。事件產(chǎn)生器的作用是從整個系統(tǒng)環(huán)境中獲得事件,并向的其他組件提供此事件。事件分析器分析獲得的數(shù)據(jù),并生成分析結(jié)果。響應(yīng)單元是對分析結(jié)果做出處理的功能單元,它可以進(jìn)行切斷連接、改變屬性等強(qiáng)烈操作,也可能只是簡單報(bào)警。事件數(shù)據(jù)庫是存儲中間數(shù)據(jù)和最終數(shù)據(jù)的地方,它可能是復(fù)雜的數(shù)據(jù)倉庫,也可能是簡單的文本文件。
根據(jù)檢測對象不同,入侵檢測可以分為網(wǎng)絡(luò)型和主機(jī)型。網(wǎng)絡(luò)型的數(shù)據(jù)源來自于網(wǎng)絡(luò)數(shù)據(jù)包。往往將一臺機(jī)器的網(wǎng)卡設(shè)為混雜模式(Promise Mode),對本網(wǎng)段內(nèi)的所有數(shù)據(jù)包進(jìn)行信息收集和判斷。一般來說,網(wǎng)絡(luò)型入侵檢測肩負(fù)著保護(hù)全網(wǎng)段的任務(wù)。主機(jī)型入侵檢測是以應(yīng)用程序日志、系統(tǒng)日志等作為數(shù)據(jù)源,也可以通過其他方式(如監(jiān)控系統(tǒng)調(diào)用)從主機(jī)收集信息并進(jìn)行分析。主機(jī)型入侵檢測主要保護(hù)的是本機(jī)系統(tǒng),這種系統(tǒng)經(jīng)常運(yùn)行于被監(jiān)測系統(tǒng)之上,用來監(jiān)測系統(tǒng)內(nèi)正在運(yùn)行進(jìn)程的合法性。
入侵檢測系統(tǒng)的核心功能是對事件進(jìn)行分析,并從中發(fā)現(xiàn)不符合安全策略的行為。從技術(shù)上,入侵檢測分為兩類:一種是基于標(biāo)志(C Signature—Based),另一種是基于異常情況(Abnormally-Based)。
1.2防火墻。
防火墻是建立在信息安全技術(shù)和通信網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的安全技術(shù),越來越多地被應(yīng)用丁公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的環(huán)境之中,尤其廣泛應(yīng)用在Intemet網(wǎng)絡(luò)接入方面。
防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列安全部件的組合,它是不同網(wǎng)絡(luò)之間信息傳輸?shù)奈ǔ鋈肟,可以根?jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的數(shù)據(jù)流,且本身具有很強(qiáng)的抗攻擊性,它是企業(yè)實(shí)現(xiàn)信息和網(wǎng)絡(luò)安的基礎(chǔ)設(shè)施。在邏輯上,防火墻即是限制器、分離器,也是分析器,它有效地監(jiān)控了內(nèi)網(wǎng)和公網(wǎng)之間的任何數(shù)據(jù)活動,為內(nèi)部網(wǎng)絡(luò)安全提供了有效保證。
作為網(wǎng)絡(luò)安全的屏障,防火墻能夠極大地提高內(nèi)部網(wǎng)絡(luò)安全性,通過過濾不安全的數(shù)據(jù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心篩選的應(yīng)用數(shù)據(jù)才能通過防火墻,網(wǎng)絡(luò)環(huán)境才變得加更安全。
2、服務(wù)器安全措施
在企業(yè)的機(jī)房管理中,只有正確安裝雨I配置操作系統(tǒng),才能提高其在安全方面發(fā)揮的作用。下面以Windows 2003 SERVER的具體設(shè)置為例。
2.1止確地劃分分區(qū)和邏輯盤。
微軟的IIS服務(wù)經(jīng)常被發(fā)現(xiàn)有溢出/泄漏源碼的漏洞,如果把IIS和操作系統(tǒng)放在同一個驅(qū)動器就存在系統(tǒng)文件泄漏,甚至被入侵者遠(yuǎn)程獲取管理員權(quán)限的風(fēng)險(xiǎn)。以1200硬盤為例,正確的操作系統(tǒng)配置是建立三個邏輯分區(qū),C盤30G,用來安裝操作系統(tǒng)和重要日志文件;D盤40G,安裝IIS服務(wù):E盤50G安裝FTP。這樣,無論FTP或IIS出了安全問題都不會直接影響到操作系統(tǒng)目錄和文件。因?yàn)椋現(xiàn)TP和IIS往往為外網(wǎng)提供服務(wù),比較容遭受攻擊,而把FTP和IIS分開主要就是為了防止入侵者通過FTP上傳程序并在IIS中運(yùn)行。
2.2正確地選擇系統(tǒng)安裝順序。
系統(tǒng)管理員要充分重視操作系統(tǒng)安裝順序,不給網(wǎng)絡(luò)黑客留下了可乘之機(jī)。Windows2003在安裝過程中有一些順序是一定要注意的。
首先,正確選擇接入網(wǎng)絡(luò)的時機(jī)。Windows2003在安裝時有一個系統(tǒng)漏洞,在安裝人員輸入Administrator密碼后,系統(tǒng)就自動建立了ADMIN$共享,但是并沒有使用剛剛錄入的密碼來保護(hù)它,而這種情況將一直持續(xù)到系統(tǒng)再次啟動后。在此期間,網(wǎng)絡(luò)上的任何人都可以通過ADMIN$進(jìn)入服務(wù)器。同時,在安裝過程完成的同時,操作系統(tǒng)中的各種服務(wù)就會自動運(yùn)行,而此時的服務(wù)器在沒有任何防護(hù)下完全暴露在網(wǎng)絡(luò)中,非常容易被入侵。因此,在安裝并完全配置好Windows2003 SERVER之前,一定不要把系統(tǒng)接入網(wǎng)絡(luò)。
其次,注意升級補(bǔ)丁的安裝順序。升級補(bǔ)丁應(yīng)該在操作系統(tǒng)所有應(yīng)用程序都安裝完成之后再進(jìn)行安裝,因?yàn)檠a(bǔ)丁程序往往要修改/替換某些系統(tǒng)文件,如果先安裝升級補(bǔ)丁再安裝應(yīng)用程序可能會導(dǎo)致文件被覆蓋,使補(bǔ)丁不能起到應(yīng)有的作用。
3、操作系統(tǒng)安全配置
以下同樣以Windows2003 SERVER的具體設(shè)置為例。
3.1端口配置。
端口是連接計(jì)算機(jī)和外部網(wǎng)絡(luò)的邏輯接口,從系統(tǒng)安全的角度來看,僅打開需要使用的端口會更加安全。配置方法是:在網(wǎng)絡(luò)連接中啟用操作系統(tǒng)自帶的防火墻,并在“例外”選項(xiàng)卡中,添加需要啟用的端口。不過,Windows2003防火墻的端口策略只能設(shè)置打開的端口,不能指定關(guān)閉的端口,這樣對于需要特殊設(shè)置的用戶就比較麻煩,可以使用一些專用的防火墻來實(shí)現(xiàn)。
3.2 IIS配置。
IIS服務(wù)是微軟服務(wù)器組件中漏洞最多的一個,平均兩三個月就會被發(fā)現(xiàn)一個漏洞,所以IIS服務(wù)的配置是我們關(guān)注的重點(diǎn),建議采取以下設(shè)置:首先,把操作系統(tǒng)默認(rèn)安裝在C盤的Metpub目錄徹底刪除掉,在D盤中新建一個lnetpub目錄,設(shè)置IIs的主目錄指向D:\I.netpub。其次,將IIs服務(wù)安裝時默認(rèn)建立的scripts等虛擬目錄一律刪除,這些目錄都容易成為入侵者的目標(biāo)。最后,對于權(quán)限要進(jìn)行正向設(shè)置,即目錄的權(quán)限可以在需要時再建,特別注意執(zhí)行程序的權(quán)限和寫權(quán)限,除非有絕對的必要,否則千萬不要賦予。
3.3應(yīng)用程序的配置。
系統(tǒng)管理員需要在IIS服務(wù)中刪除必要程序以外的任何無用映射,僅保留ASP和其它確定需要使用的文件類型。刪除無用映射的具體方法為:在IIS服務(wù)管理器中,選擇主機(jī)屬性,在www服務(wù)編輯的主目錄配置中找到應(yīng)用程序映射,然后就可以根據(jù)需要選擇刪除這些映射,并讓虛擬站點(diǎn)繼承所設(shè)定的屬性。
正確安裝與配置Windows2003 Server,可以使操作系統(tǒng)漏洞得到很好的預(yù)防。同時,增加升級補(bǔ)丁和應(yīng)用服務(wù)安全配置,使操作系統(tǒng)的安全性得到了很好的提升。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)信息系統(tǒng)安全防范措施初探
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083955496.html