1   1  /  1  页   跳转

【原创】再论网络安全防线

【原创】再论网络安全防线

两年前,笔者曾经网上发表过《架起网络安全防线》,引起了网上广泛的讨论。两年过去了,随着网络的发展,笔者想继续就如何构建这一到相对安全的防线这个问题,阐述一下自己的观点。
    计算机一旦连上了互联网,它就客观上处于不安全中。对于个人而言,让这些不安全尽可能少的降临到自己头上,或者尽可能的避免它的降临,因此构建一道相对安全的防线对于普通计算机用户来说是迫切需要的。

网络安全防线第一线:系统防线
1 为系统打上补丁
    系统漏洞的存在,任何防御措施的防御效果将会锐减,甚至会导致后续看起来坚固的防线完全不起作用。微软的系统漏洞的确不少,不少人并不知道应当做什么,也不知道为什么要这么做。
    微软每隔一段时间,就会为它的系统发布一系列的补丁程序。这些补丁程序的作用,是修复系统的漏洞,特别是重大的安全漏洞。客观上,任何一个软件,总会存在这样那样的漏洞。为系统打上补丁,可以更好的保护你的计算机。
2 禁用不必要的服务
    禁用不必要的服务可以为你的系统关上不必要的后门。2000和XP都是基于NT框架的。NT是微软推出的面向工作站、网络服务器和大型计算机的网络操作系统,现在已经用于PC操作系统。NT最初设计是面向工作站、网络服务器和大型计算机,因此相当注重安全性和网络交互性。正因为如此,其中提供的许多服务,对于个人用户来说,根本是没用的。关闭没必要的服务,就想为自己的家锁上从来不会使用的大门一样。除此之外,禁用不必要的服务,还可以让减轻Windows的负荷,何乐而不为?
    还等什么?打开控制面板管理工具里面的服务,配置你的系统服务。我个人禁用了以下服务,仅供参考:alerter(通知所选用户和计算机有关系统管理级警报)、clipbook(支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面)、computer browser( 维护网络上计算机的最新列表以及提供这个列表给请求的程序、dhcp client(通过注册和更改 ip 地址以及 dns 名称来管理网络配置)messenger(发送和接收系统管理员或者“警报器”服务传递的消息)、net logon(支持网络上计算机 pass-through 账户登录身份验证事件)、network dde(提供动态数据交换 (dde) 的网络传输和安全特性)、network dde dsdm(管理网络 dde 的共享动态数据交换)、runas service(在不同凭据下启用启动过程)、remote registry service(允许远程注册表操作)、server(提供 rpc 支持、文件、打印以及命名管道共享)、task scheduler(允许程序在指定时间运行)、tcp/ip netbios(helper service 允许对“tcp/ip 上 netbios (netbt)”服务以及 netbios 名称解析的持)、telnet(允许远程用户登录到系统并且使用命令行运行控制台程序)
    对于不需要提供文件和打印共享的机子,可以将绑定在TCP/IP协议的NETBIOS给关闭。方法如下:用鼠标右击“本地连接”,选择“属性”。在“TCP/IP协议”中,选择属性里面的高级。进入“高级TCP/IP设置”,选择“WINS”,选择“禁用TCP/IP上的NETBIOS”一项。

    网络一句经典的话,应当作为我们设置的准则:最小的权限+最少的服务=最大的安全。

网络安全防线第二线:反病毒软件和网络防火墙
    反病毒软件的任务是清除计算机内已有的病毒,预防未有的病毒的感染。由于技术的局限性和人预见性的局限性,及时更新反病毒软件成为保持反病毒软件战斗力的唯一途径。除此之外,时刻打开反病毒监控,也是相当重要的。有相当一部分人,认为反病毒软件只有在清除病毒的时候才有作用。笔者认为不然。“反病毒”的核心应当在于预防,而不在于清除。随着病毒的发展,隐蔽性、主动攻击性日趋明显。通过加壳等手段逃避反病毒软件查杀、主动破坏反病毒软件的病毒越来越多。这无疑,对染毒之后的杀毒工作增添了新的麻烦。反病毒监控的存在,有效的减少了病毒感染的几率。
    网络防火墙曾经被认为是防黑客的一道无效的防线。随着病毒的发展,网络型病毒、盗号木马、窃密型木马的兴起,为反病毒软件出了一个天大难题。如何从源头上防御,如何从多方面防御,成为了关键。网络防火墙提供了应用程序访问监控,通过访问网络的程序的监控,能够清楚的了解当前正在进行网络连接的程序,能够清楚的知道当前什么程序正试图和网络进行连接。应用程序访问监控的出现,有效的补上了反病毒技术的滞后性。除此之外,通过配置网络防火墙的ip规则,可以封上不必要的端口和禁止不必要的连接。


网络安全防线第三线:数据备份
    关于数据备份,笔者就不啰嗦了,利用还原精灵、Ghost等可以住你完成备分恢复的工作。但是,笔者提醒一句,数据备份只是实现网络安全的一种途径,只通过数据备份进行防御,是不科学的。

    笔者想强调一个问题。无论你使用什么方式进行防御,计算机总不可能达到绝对的安全。任何一种防御措施能做到的,只是降低不安全因素触发的几率。只有积极主动的防御才可能实现真正的安全。要做到积极主动,首先要武装起来的正是使用者。养成良好的操作习惯,培养良好的防范意识——笔者认为,这是使上述三道安全防线发挥作用的最有力的保证。
最后编辑2005-12-21 23:11:58
分享到:
gototop
 

引用:
【飓风小子的贴子】高手就是高手,文笔好(看起来有点不像原创,但偶又没见过,呵)。觉得你说“数据备份”说得N好,GHOST不是万能的,要是遇到CHI,可能GHOST也没法了。。。
“反病毒”的核心应当在于预防,而不在于清除。
↑这话经典。
微软还是一个比较安全的系统(排二,打听来的)]
另外,要说绝对安全。只有4个能够绝对安全,就是“不买电脑”


...........................

首先,我不是高手。其次,文章是原创的。

哲学是万事万物的科学,哲学告诉我们,只有合理改造主观环境才可能更加合理的改造客观环境。
微软的系统已经和安全了,几十亿行代码,能走起来已经是个奇迹了。微软的漏洞只是公开,只是被关注而已,其实根本不多
gototop
 

飓风小子的贴子

感觉到熟悉的原因是因为我两年前曾经发过这样的文章http://forum.ikaka.com/topic.asp?board=3&artid=569609
网上搜索结果http://www.baidu.com/s?wd=%BC%DC%C6%F0%CD%F8%C2%E7%B0%B2%C8%AB%B7%C0%CF%DF&cl=3

*************************
许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。

网络安全第一线:禁用没用的服务
Windows提供了许许多多的服务,其实有许多我们是根本也用不上的。或许你还不知道,有些服务正为居心叵测的人开启后门。
Telnet就是一个非常典型的例子!让我们先看看在Windows2000的服务中是怎么解释的:“允许远程用户登录到系统并且使用命令行运行控制台程序。”你说,这样的服务,你需要吗?我个人建议禁止该服务。
还有一个值得一提的就是NetBIOS。对于他的功能,本文就不做过多地介绍了。从前,我从没有注意到该服务,直到我在学习网络监听和隐藏时才发现该项服务存在极大的安全隐患!因此,我个人建议禁止该服务。
Windows还有许多服务,在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务(Windows 9x的用户,可以用新版的优化大师禁用服务)。禁用不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度,何乐而不为呢?

网络安全第二线:打补丁
Microsofe公司时不时就会在网上免费提供一些补丁,有时间可以去打打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。
本人不赞成将所有补丁都打上。因为,这样无形中就增加了Windows的负担。特别是用户根本不用的服务的相关补丁,根本没有打的必要!因此,我建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。

网络安全第三线:反病毒监控
我有深刻的体会:我的反病毒监控一个月至少能在我上网时截获3个或更多的病毒。可见,网上病毒实在太多了。一不小心,就会被感染。
我认为最好还是选择国产反病毒软件。有的人喜欢追求国际权威,当然我不是否认国际权威反病毒软件的防毒能力。但是,不知道大家有没有听过“远水不能救近火”这句话呢?当然,国际权威对付国际上流行的病毒是绝对没问题的,但是对付本国土生土长的病毒呢?恐怕就不一定行了。况且,国际权威往往还会存在这样的两个问题:第一,全世界的黑客都以攻破国际权威反病毒软件的防线为荣;第二,国际权威防病毒软件会不会为未来战争留下后门呢?
反病毒软件不是拿来听的,也不是拿来看的!用反病毒软件的根本目的是防病毒!所以,上述所讲的内容请大家三思。
另外,安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。

网络安全第四线:网络防火墙
对于怎样选择网络防火墙方面,我个人认为除了上面讲的选择国产品牌外,我还补充一点:选择功能强大而不起眼的产品。
为什么要这样呢?主要原因还是为了安全。正所谓树大好招风,那些被所有人都认可产品固然功能强大,但是却树敌太多。每一位听说过它的黑客都想攻破它。你说,这样的安全性还能高吗?
因此,我建议选择功能强大而不起眼的产品。
或许,你会问,为什么我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品呢?
其实,原因很简单,制作好的反病毒软件技术要比制作好的网络防火墙要难得多!大家可以想想,现在让人放心的反病毒软件所有品牌都是经过千锤百炼出来的。国际上有Norton、PC-cillin等,国内有瑞星、杀毒王,他们这品牌创立的多久?经历了多少风风雨雨?反病毒技术不是说一朝一夕就能成熟的,因此我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品。

网络安全第五线:数据备份
数据备份我就不想多说了,不过我建议用Ghost进行备份。有条件的朋友可以将备份刻录到光盘中。这样就可以在必要时毫不费力的恢复自己的数据。
gototop
 

多回了一贴
gototop
 

引用:
【猎鹰渔民的贴子】给管理员设置强口令-这个得补充进去~
...........................

强大的口令是以安全必要的条件,但却不是充分的条件。再强大的口令,也经不住无意识的开放后门的考验
gototop
 

引用:
【影子110的贴子】不错,,,
又一个关于网络安全的经典帖~~(记得tom2000版主好像也会常常提到网络安全)

另,不知道楼主对于那些IE上被后加的那些形形色色的插件有什么看法呢!~(大部分基本上都是我们在浏览网页时被不知不觉的加上的,,,(有的甚至还很流氓~~装上容易,卸下难~)

...........................

安全和效率是相对的,存在一定的对立,但却统一。我认为在没有强制安装流氓软件之前,修改IE相关设置是很必要的。至少来说,我浏览许多网站,都不会被强制安装插件(但会弹出窗口,询问是否安装)。目前有一些网友提供一些插件屏蔽工具,也可以起一定作用

我觉得,流氓软件还算“文明”的。你至少会知道流氓来了。有些木马利用IE漏洞传播,这才是最可怕的。在根本不察觉的情况下,已经被监视或者盗取信息了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT