1、網(wǎng)絡(luò)安全措施

    1．1入侵檢測(cè)。

    IETF將入侵檢測(cè)分為四個(gè)組件：事件數(shù)據(jù)庫(kù)(Event Data Bases)，事件產(chǎn)生器(Event Generators)，響應(yīng)單元(Response Units)和事件分析器(Event Analyzers)。事件產(chǎn)生器的作用是從整個(gè)系統(tǒng)環(huán)境中獲得事件，并向的其他組件提供此事件。事件分析器分析獲得的數(shù)據(jù)，并生成分析結(jié)果。響應(yīng)單元是對(duì)分析結(jié)果做出處理的功能單元，它可以進(jìn)行切斷連接、改變屬性等強(qiáng)烈操作，也可能只是簡(jiǎn)單報(bào)警。事件數(shù)據(jù)庫(kù)是存儲(chǔ)中間數(shù)據(jù)和最終數(shù)據(jù)的地方，它可能是復(fù)雜的數(shù)據(jù)倉(cāng)庫(kù)，也可能是簡(jiǎn)單的文本文件。

    根據(jù)檢測(cè)對(duì)象不同，入侵檢測(cè)可以分為網(wǎng)絡(luò)型和主機(jī)型。網(wǎng)絡(luò)型的數(shù)據(jù)源來(lái)自于網(wǎng)絡(luò)數(shù)據(jù)包。往往將一臺(tái)機(jī)器的網(wǎng)卡設(shè)為混雜模式(Promise Mode)，對(duì)本網(wǎng)段內(nèi)的所有數(shù)據(jù)包進(jìn)行信息收集和判斷。一般來(lái)說(shuō)，網(wǎng)絡(luò)型入侵檢測(cè)肩負(fù)著保護(hù)全網(wǎng)段的任務(wù)。主機(jī)型入侵檢測(cè)是以應(yīng)用程序日志、系統(tǒng)日志等作為數(shù)據(jù)源，也可以通過(guò)其他方式(如監(jiān)控系統(tǒng)調(diào)用)從主機(jī)收集信息并進(jìn)行分析。主機(jī)型入侵檢測(cè)主要保護(hù)的是本機(jī)系統(tǒng)，這種系統(tǒng)經(jīng)常運(yùn)行于被監(jiān)測(cè)系統(tǒng)之上，用來(lái)監(jiān)測(cè)系統(tǒng)內(nèi)正在運(yùn)行進(jìn)程的合法性。

    入侵檢測(cè)系統(tǒng)的核心功能是對(duì)事件進(jìn)行分析，并從中發(fā)現(xiàn)不符合安全策略的行為。從技術(shù)上，入侵檢測(cè)分為兩類(lèi)：一種是基于標(biāo)志(C Signature—Based)，另一種是基于異常情況(Abnormally-Based)。

    1．2防火墻。

    防火墻是建立在信息安全技術(shù)和通信網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的安全技術(shù)，越來(lái)越多地被應(yīng)用丁公用網(wǎng)絡(luò)和專(zhuān)用網(wǎng)絡(luò)的環(huán)境之中，尤其廣泛應(yīng)用在Intemet網(wǎng)絡(luò)接入方面。

    防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列安全部件的組合，它是不同網(wǎng)絡(luò)之間信息傳輸?shù)奈ǔ鋈肟�，可以根�?jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的數(shù)據(jù)流，且本身具有很強(qiáng)的抗攻擊性，它是企業(yè)實(shí)現(xiàn)信息和網(wǎng)絡(luò)安的基礎(chǔ)設(shè)施。在邏輯上，防火墻即是限制器、分離器，也是分析器，它有效地監(jiān)控了內(nèi)網(wǎng)和公網(wǎng)之間的任何數(shù)據(jù)活動(dòng)，為內(nèi)部網(wǎng)絡(luò)安全提供了有效保證。

    作為網(wǎng)絡(luò)安全的屏障，防火墻能夠極大地提高內(nèi)部網(wǎng)絡(luò)安全性，通過(guò)過(guò)濾不安全的數(shù)據(jù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心篩選的應(yīng)用數(shù)據(jù)才能通過(guò)防火墻，網(wǎng)絡(luò)環(huán)境才變得加更安全。

2、服務(wù)器安全措施

    在企業(yè)的機(jī)房管理中，只有正確安裝雨I配置操作系統(tǒng)，才能提高其在安全方面發(fā)揮的作用。下面以Windows 2003 SERVER的具體設(shè)置為例。

    2．1止確地劃分分區(qū)和邏輯盤(pán)。

    微軟的IIS服務(wù)經(jīng)常被發(fā)現(xiàn)有溢出／泄漏源碼的漏洞，如果把IIS和操作系統(tǒng)放在同一個(gè)驅(qū)動(dòng)器就存在系統(tǒng)文件泄漏，甚至被入侵者遠(yuǎn)程獲取管理員權(quán)限的風(fēng)險(xiǎn)。以1200硬盤(pán)為例，正確的操作系統(tǒng)配置是建立三個(gè)邏輯分區(qū)，C盤(pán)30G，用來(lái)安裝操作系統(tǒng)和重要日志文件；D盤(pán)40G，安裝IIS服務(wù)：E盤(pán)50G安裝FTP。這樣，無(wú)論FTP或IIS出了安全問(wèn)題都不會(huì)直接影響到操作系統(tǒng)目錄和文件。因?yàn)�，F(xiàn)TP和IIS往往為外網(wǎng)提供服務(wù)，比較容遭受攻擊，而把FTP和IIS分開(kāi)主要就是為了防止入侵者通過(guò)FTP上傳程序并在IIS中運(yùn)行。

    2．2正確地選擇系統(tǒng)安裝順序。

    系統(tǒng)管理員要充分重視操作系統(tǒng)安裝順序，不給網(wǎng)絡(luò)黑客留下了可乘之機(jī)。Windows2003在安裝過(guò)程中有一些順序是一定要注意的。

    首先，正確選擇接入網(wǎng)絡(luò)的時(shí)機(jī)。Windows2003在安裝時(shí)有一個(gè)系統(tǒng)漏洞，在安裝人員輸入Administrator密碼后，系統(tǒng)就自動(dòng)建立了ADMIN$共享，但是并沒(méi)有使用剛剛錄入的密碼來(lái)保護(hù)它，而這種情況將一直持續(xù)到系統(tǒng)再次啟動(dòng)后。在此期間，網(wǎng)絡(luò)上的任何人都可以通過(guò)ADMIN$進(jìn)入服務(wù)器。同時(shí)，在安裝過(guò)程完成的同時(shí)，操作系統(tǒng)中的各種服務(wù)就會(huì)自動(dòng)運(yùn)行，而此時(shí)的服務(wù)器在沒(méi)有任何防護(hù)下完全暴露在網(wǎng)絡(luò)中，非常容易被入侵。因此，在安裝并完全配置好Windows2003 SERVER之前，一定不要把系統(tǒng)接入網(wǎng)絡(luò)。

    其次，注意升級(jí)補(bǔ)丁的安裝順序。升級(jí)補(bǔ)丁應(yīng)該在操作系統(tǒng)所有應(yīng)用程序都安裝完成之后再進(jìn)行安裝，因?yàn)檠a(bǔ)丁程序往往要修改／替換某些系統(tǒng)文件，如果先安裝升級(jí)補(bǔ)丁再安裝應(yīng)用程序可能會(huì)導(dǎo)致文件被覆蓋，使補(bǔ)丁不能起到應(yīng)有的作用。

3、操作系統(tǒng)安全配置

    以下同樣以Windows2003 SERVER的具體設(shè)置為例。

    3．1端口配置。

    端口是連接計(jì)算機(jī)和外部網(wǎng)絡(luò)的邏輯接口，從系統(tǒng)安全的角度來(lái)看，僅打開(kāi)需要使用的端口會(huì)更加安全。配置方法是：在網(wǎng)絡(luò)連接中啟用操作系統(tǒng)自帶的防火墻，并在“例外”選項(xiàng)卡中，添加需要啟用的端口。不過(guò)，Windows2003防火墻的端口策略只能設(shè)置打開(kāi)的端口，不能指定關(guān)閉的端口，這樣對(duì)于需要特殊設(shè)置的用戶(hù)就比較麻煩，可以使用一些專(zhuān)用的防火墻來(lái)實(shí)現(xiàn)。

    3．2 IIS配置。

    IIS服務(wù)是微軟服務(wù)器組件中漏洞最多的一個(gè)，平均兩三個(gè)月就會(huì)被發(fā)現(xiàn)一個(gè)漏洞，所以IIS服務(wù)的配置是我們關(guān)注的重點(diǎn)，建議采取以下設(shè)置：首先，把操作系統(tǒng)默認(rèn)安裝在C盤(pán)的Metpub目錄徹底刪除掉，在D盤(pán)中新建一個(gè)lnetpub目錄，設(shè)置IIs的主目錄指向D：＼I．netpub。其次，將IIs服務(wù)安裝時(shí)默認(rèn)建立的scripts等虛擬目錄一律刪除，這些目錄都容易成為入侵者的目標(biāo)。最后，對(duì)于權(quán)限要進(jìn)行正向設(shè)置，即目錄的權(quán)限可以在需要時(shí)再建，特別注意執(zhí)行程序的權(quán)限和寫(xiě)權(quán)限，除非有絕對(duì)的必要，否則千萬(wàn)不要賦予。

    3．3應(yīng)用程序的配置。

    系統(tǒng)管理員需要在IIS服務(wù)中刪除必要程序以外的任何無(wú)用映射，僅保留ASP和其它確定需要使用的文件類(lèi)型。刪除無(wú)用映射的具體方法為：在IIS服務(wù)管理器中，選擇主機(jī)屬性，在www服務(wù)編輯的主目錄配置中找到應(yīng)用程序映射，然后就可以根據(jù)需要選擇刪除這些映射，并讓虛擬站點(diǎn)繼承所設(shè)定的屬性。

    正確安裝與配置Windows2003 Server，可以使操作系統(tǒng)漏洞得到很好的預(yù)防。同時(shí)，增加升級(jí)補(bǔ)丁和應(yīng)用服務(wù)安全配置，使操作系統(tǒng)的安全性得到了很好的提升。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：企業(yè)信息系統(tǒng)安全防范措施初探

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083955496.html