安全配置(精选12篇)
安全配置 篇1
引言:本文以笔者单位网络与信息安全建设为例, 从技术角度出发, 就如何使网络与信息安全建设跟上信息化建设的步伐, 分析笔者单位网络与信息安全建设总体现状、存在问题、解决方法及意义等方面对县局网络与信息安全建设进行思考。
随着信息化建设步伐越来越快, 网络与信息安全也越来越重要, 更是信息化建设永恒的话题。本文以笔者单位为例, 介绍单位网络与信息安全建设的基本情况与问题。
网络与信息安全建设总体现状
1.总体架构
笔者单位在2012年搬迁到新办公楼后, 经过几年的网络与信息安全建设, 网络与信息安全的总体架构已初步形成, 网络系统在2014年通过信息安全等级保护测评三级测评, 总体架构如图1所示。笔者单位的网络与信息安全系统由两台互备的H3C S10508三层核心交换机提供各区域间的连接。
2.横向接入区
主要为税务分局、行政服务中心、银行、国税、乡镇街道财政所等外联单位的接入, 以及各行政事业单位通过县电子政务网对县财政应用系统 (如非税征管、国库集中支付系统) 进行访问的业务接入。安全设备部署有2台双机模式运行的千兆防火墙, 专为外联接入提供安全防护功能。部署有2台双机模式运行千兆网闸, 主要为政务外网接入提供内外网安全边界隔离。
3.纵向接入区
纵向接入区为上联至省财政厅、省地税局的连接区域, 通过S6506R与AR4640、AR2831路由器经由该市市财税局至省地税局的地税广域网链路, 为当前《税友龙版》、视频会议、《办税服务厅管理系统》视频监控的承载线路, 该部分安全设备部署有2台双机模式运行千兆防火墙, 提供省财政厅、省地税局与县局的安全边界防护功能。
4.服务器区域
服务器区域部署了单位各种财政、地税业务的各类服务器, 建有VMware v Sphere 5.5虚拟化平台、Oracle数据库实时应用集群、PC服务器4余台与小型机两台, 通过一台服务器汇聚交换机经两台下一代防火墙连接到核心交换机。服务器区域部署有数据库审计、安全运维管理平台、日志审计系统及堡垒机等安全设备。
5.内部接入区
内部接入区为各楼层办公终端、视频监控接入的接入层区域, 各楼层通过楼层交换机经光纤链路上联至核心交换机, 内部接入终端目前部署有一套通软安全桌面准入系统。
网络与信息安全建设存在的问题
1.财政与地税业务边界未分离
省地税局在2015年3月制定的《浙江地税系统业务专网网络边界安全防护规范》中提出:地税与财政网络须独立部署, 实现地税与财政之间终端、链路、网络与安全设备、服务器及业务应用各层级之间的相互独立运作的技术要求。按照图1所示的网络与信息安全结构图, 当前为财政、地税网络混合部署, 无法满足规范里规定的有:楼层终端未分离, 财政地税的终端当前均使用了地税的IP地址, 并未按照规范要求进行分离;网络及安全设备未分离, 财政及地税采用了同一套网络安全设备进行接入;服务器及业务应用未分离, 采用了同一套网络进行接入;地税网络与财政网络的边界未分离。
2.安全意识有待提升
随着云计算、大数据、移动互联网等一系列新技术和新应用的兴起, 互联网安全形势正在发生前所未有的变化。而与此对应的却是全体干部职工相对薄弱的安全意识。而提升网络安全水平, 是在提升单位安全设备的同时, 更要依赖于干部职工安全意识的提升。部分干部职工对账号密码设置方式、自觉安装防病毒软件、为操作系统打补丁等一些基本的互联网安全仍不够重视, 存在随意下载安装激活不熟悉的应用程序、使用非主流的应用程序、对硬盘和U盘等存储设备很少病毒查杀、随意打开不明邮件附件、轻信免费无线连接等现象。
3.专业认证人员缺乏
在信息社会大背景下, 网络与信息安全建设亟需一批既懂网络、又懂信息安全的高级信息技术人才。由于工作人员网络与信息安全意识与应用技术水平参差不齐, 使网络与安全产品的选型、推广及应用产生了一定的难度, 影响了网络与信息安全建设的深入和发展。网络与信息安全建设即要求全体工作人员能应用相关杀毒软件, 又要求技术部门要有精通网络与信息安全的技术人员, 这就需要我局采取切实有效的途径加大网络与信息安全全员培训力度, 鼓励专业技术人员参加网络与信息安全专业化认证考试, 增强财税干部网络与信息安全意识, 提高信息安全实际应对能力, 提升我局网络与信息安全建设队伍综合素质。
4.网络布局受政策影响大
该单位对应到省级业务指导有省财政厅与省地税局两个业务单位, 省财政厅与省地税局对网络与信息安全建设都有相关建设指导文件, 如《浙江省数字财政建设领导小组办公室关于做好全省财政系统信息安全等级保护工作的通知》 (浙数财办[2014]11号) 、浙地税函《浙江省地方税务局关于加强地税业务专网网络边界安全防护工作的通知》 (﹝2015﹞78号) , 按照文件要求, 县局要对网络结构和安全设备的安全策略进行调整, 牵一发而动全身, 即使是小小的调整, 也要对整个的配置进行修改。
5.终端内外网未实现物理隔离
终端物理隔离是行政事业单位防止各类黑客攻击, 保护信息系统数据安全而采取的重要措施, 通过终端物理隔离可以杜绝内外网络信息交换。目前该县某局部分电脑使用隔离卡形式来实现终端内外网物理隔离, 但在使用过程中, 内外网切换时间长, 影响工作效率。
6.安全设备的设置不够细化
如图1, 单位有安全设备13台, 防火墙4台, 下一代防火墙2台, 网闸2台, 日志审计1台, 堡垒机、数据库审计、防毒墙与安全桌面各1台。安全设备设置尚不够细化, 如省财政与县局之间的防火墙, 目前设置为通过省财政厅能访问单位哪些服务器, 但安全设置未到端口级;如在银行与MQ前置机服务器之间的防火墙目前设置为银行只能访问MQ前置机服务器, 不能访问其他服务器, 但设置未细化到只能访问到MQ前置机服务器的相应端口。
网络与信息安全建设解决方法
针对以上问题, 可以从以下三大方面来解决网络与信息安全面临的相关问题。
1.加强硬件建设, 为网络与信息安全提供硬保障
为实现县局财政与地税业务边界分离, 提升网络性能, 强化信息安全, 可以依照省地税局安全防护规范中的各项技术要求, 对图1网络与信息安全架构进行改造, 在网络与信息安全结构方面实现财政、地税的分离部署, 包括核心区域分离、外联边界区域分离、业务系统分离、终端接入分离。业务边界分离后的整体架构如图2所示。
终端内外隔离可以便于网络安全管理, 避免终端外网使用过程中感染的病毒在内网络广泛传播。运用虚拟桌面形式来部署外网更有利于节约成本、日常维护与信息安全。通过小型KVM转换器就可实现内网计算机、虚拟桌面共用一套显示器、键盘和鼠标, 节约成本开销。虚拟桌面大部分维护工作都在服务器端完成, 可以极大地减少计算机维护人员维护工作量。虚拟桌面没有病毒感染的可能性, 具备完美的防病毒特性, 即使感染病毒也可直接删除虚拟机重新分配虚拟桌面, 避免病毒传播。
2.抓好软投入, 为网络与信息安全提供理论基础
提升全局干部职工网络与信息安全意识是网络与信息安全建设的第一步, 如跟局属各单位负责人签订网络与信息安全责任书, 提高各单位负责人的网络安全意识;各单位指定网络信息安全管理员, 使网络与信息安全工作有专人负责;采用多种形式对全局干部职工定期举行网络与信息安全相关内容培训, 广泛宣传网络信息安全知识, 提升网络与信息安全的应对能力。
加强网络与信息安全专业人才培养是确保网络稳定与信息安全的前提。我局网络与信息安全人才缺乏, 要鼓励计技术人员参加计算机技术与软件专业技术资格网络与信息安全方面的考试, 通过考试来加强平时的理论学习, 为实际工作打下扎实的理论基础。选派技术人员参加省市局每年举行的网络与信息安全培训, 提升行业内的网络与信息安全运维能力。
开展网络与信息安全检查, 可以查出薄弱环节, 做到防患于未然。根据相关的技术法规、标准与制度确定检查内容, 再运用信息安全检测工具开展深度安全检查, 确保检查取得实效。检查重点可以围绕信息安全管理、安全教育培训、技术防护、应急预案、安全问题整改等, 分析安全威胁与风险, 评估安全防护水平, 查找突出问题和薄弱环节, 确保信息安全落到实处。针对发现问题和隐患, 剖析原因、明确责任、限期整改, 确保实效。
3.细化改进, 为网络与信息安全提供细节支持
按照等级保护制度进行网络布局可以使网络与信息安全实施有据可依科学规范, 对以后省厅省局下发的关于网络与信息安全建设文件可以很好的开展工作, 而不需要大范围的调整网络结构, 使网络与信息安全建设有扩展性。新建网络与信息安全系统, 实施前, 要实施网络与信息安全风险评估, 按省厅省局的相关要求确定安全保护等级, 实施过程中, 进行信息安全测评, 使建设的网络达到相关安全保护等级, 网络投入运行后, 按照网络与信息安全相关制度, 定期进行信息安全检查与评估。只有在网络与信息安全实施的每个过程把关, 才能网络与信息安全布局合理可靠。确保网络稳定, 信息安全, 为各类系统可靠运行提供保障。
优化网络配置, 提升网络性能。笔者单位的网络性能的好坏很大程度上由核心交换机与楼层交换机的配置决定。优化网络配置, 使用2台H3C S7506E部署IRF虚拟化, 作为地税网络核心交换机, 经过核心交换机虚拟化, 只要通过对主交换机进行路由配置和维护, 其配置和维护的信息可以同时更新到另一台交换机上, 从而不需对两台交换机都进行维护, 减轻维护配置工作量, 提高工作效率, 提升网络性能。通过对核心财政与地税核心交换机、楼层交换机配置VLAN, 每个楼层财政与地税楼层交换机分别属于同一VLAN, 这样很好的防止了广播风暴, 并且提升了网络性能。
细化安全配置, 提升防范能力。笔者单位目前防火墙安全配置大部分都基于机器级, 如财政网络哪些机器可以访问地税网络中哪几台服务器, 银行端哪些机器可以访问财政端哪几台服务器, 虽然这种配置可以有效防止各种非法攻击, 但这种设置还不够细化, 还没有到服务器的端口级, 如可以把银行端哪些机器访问财政端哪几台服务器细化到银行端哪些机器可以访问财政端哪几台服务器的端口, 如只开发FTP端口、MQ端口等。提高监控设备通知功能, 在原只有网络机房故障通知功能的基础上, 升级监控设备功能, 使监控设备每天早上、晚上对机房的温度都进行通知, 使机房值班人员第一时间知道机房的温度情况。开启监控设备手机卡费用最低额度通知功能, 值班人员可第一时间对监控设备手机卡进行充值, 避免当故障发生时监控设备手机卡因无余额而无法通知的情况发生。安全配置细化后, 可进一步提升信息安全的防范能力。
安全配置 篇2
ABS防抱死
“ABS”中文译为“防锁死刹车系统”.它是一种具有防滑、防锁死等优点的汽车安全控制系统。ABS是常规刹车装置基础上的改进型技术,可分机械式和电子式两种。现代汽车上大量安装防抱死制动系统,ABS既有普通制动系统的制动功能,又能防止车轮锁死,使汽车在制动状态下仍能转向,保证汽车的制动方向稳定性,防止产生侧滑和跑偏。
制动力分配(EBD/CBC等)
在刹车的时候,车辆四个车轮的刹车卡钳均会动作,以将车辆停下。但由于路面状况会有变异,加上减速时车辆重心的转移,四个车轮与地面间的抓地力将有所不同。传统的刹车系统会平均将刹车总泵的力量分配至四个车轮。从上述可知,这样的分配并不符合刹车力的使用效益。EBD系统便被发明以将刹车力做出最佳的应用。
EBD的功能就是在汽车制动的瞬间,高速计算出四个轮胎由于附着不同而导致的摩擦力数值,然后调整制动装置,使其按照设定的程序在运动中高速调整,达到制动力与摩擦力(牵引力)的匹配,以保证车辆的平稳和安全。当紧急刹车车轮抱死的情况下,EBD在ABS动作之前就已经平衡了每一个轮的有效地面抓地力,可以防止出现甩尾和侧移,并缩短汽车制动距离。刹车辅助(EBA/BAS/BA等)
刹车辅助一般称为EBA或BAS,它的工作原理是传感器通过分辨驾驶员踩踏板的情况,识别并判断是否引入紧急刹车程序。由此该系统能立刻激发最大的刹车压力,以达到可能的最高的刹车效果,达到理想的制动效果以制止交通事故的发生。
ABS能缩短刹车距离,并能防止车辆在刹车时失控,从而减少了事故发生的可能性。但是在紧急制动的情况下驾驶员往往由于制动不够果断或踩踏力不足而无法快速触发ABS浪费了制动时间,从而达不到预期的效果。为此,汽车工程师们设计了刹车辅助,即让现有的ABS具有一定的智能,当踩刹车时动作快、力量大时,BAS就判断驾驶者在紧急刹车并让ABS工作,迅速增大制动力。刹车辅助分机械式和电子控制式两种。机械式刹车辅助实际上是在普通刹车加力器的基础上稍加修改而成,在刹车力量不大时,它起到加力器的作用,随着刹车力量的增加,加力器压力室的压力增大,启动ABS。电子控制式刹车辅助的刹车加力器上有一个传感器,向ABS控制器输送有关踏板行程和移动速度的信息,如果ABS控制器判断是紧急刹车,它就让加力器内螺线阀门开启,加大压力室内的气压,以提供足够的助力。
牵引力控制(ASR/TCS/TRC等)
牵引力控制系统Traction Control System,简称TCS,也称为ASR或TRC。它的作用是使汽车在各种行驶状况下都能获得最佳的牵引力。牵引力控制系统的控制装置是一台计算机,利用计算机检测4个车轮的速度和方向盘转向角,当汽车加速时,如果检测到驱动轮和非驱动轮转速差过大,计算机立即判断驱动力过大,发出指令信号减少发动机的供油量,降低驱动力,从而减小驱动轮的滑转率。计算机通过方向盘转角传感器掌握司机的转向意图,然后利用左右车轮速度传感器检测左右车轮速度差;从而判断汽车转向程度是否和司机的转向意图一样。如果检测出汽车转向不足(或过度转向),计算机立即判断驱动轮的驱动力过大,发出指令降低驱动力,以便实现司机的转向意图。
牵引力控制系统能防止车辆的雪地等湿滑路面上行驶时驱动轮的空转,使车辆能平稳地起步、加速。尤其在雪地或泥泞的路面,牵引力控制系统均能保证流畅的加速性能,防止车辆因驱动轮打滑而发生横移或甩尾。
车身稳定控制(ESC/ESP/DSC等)
汽车电子稳定控制系统是车辆新型的主动安全系统,是汽车防抱死制动系统(ABS)和牵引力控制系统(TCS)功能的进一步扩展,并在此基础上,增加了车辆转向行驶时横摆率传感器、测向加速度传感器和方向盘转角传感器,通过ECU 控制前后、左右车轮的驱动力和制动力,确保车辆行驶的侧向稳定性。
这套系统主要对车辆纵向和横向稳定性进行控制,保证车辆按照驾驶员的意识行驶。电子稳定控制系统的基础是ABS制动防抱死功能,该系统在汽车制动情况下轮胎即将抱死时,一秒内连续制动上百次,有点类似于机械式“点刹”。如此一来,在车辆全力制动时,轮胎依然可以保证滚动,滚动摩擦的效果比抱死后的滑动摩擦效果好,且可以控制车辆行驶方向。
安全配置 篇3
关键词:安全配置 网络操作系统 安装 安全管理 用户账号 策略 权限 安全审计
Windows Server 2003是微软研发的一款服务器版的操作系统,上面集成了多种网络服务,便于用户对网络资源进行合理的管理和调度。由于是基于窗口的操作系统,因此对于用户来说比较容易上手,其功能也比较容易学习。但对于网络操作系统来说,安全问题尤为关键,因此这里针对Windows Server 2003的安全配置,我们从以下几个方面入手来谈一谈。
第一方面是安全安装。Windows Server 2003的安全安装可以有多种途径,这里认为最简单的方法便是断网安装,这是针对初级管理员适应的方法。首先,找来安全的安装盘或者安装包,按照正确的方法安装,安装时划分好分区,选择安装目录,不安装多余服务;其次,安装好防火墙,并进行配置,给系统打补丁;最后,安装所需软件,使系统达到基本安全时再联网进行检测。对于网络操作系统的安全来说,要想达到所谓的安全,首先要保证的就是操作系统的安全,如果操作系统本身存在安全隐患,那么无论网络服务配置的多么合理,这个网络系统也只能是处于亚安全状态。因此大家在选择操作系统的时候可以把各种网络操作系统的安全性作为一个很重要的衡量指标来看待。
第二方面是用户的安全管理。用户的安全管理又分为很多方面:
其一是用户账号的安全。Windows安装时将创建两个帐号:Administrator和Guest。其他帐号自己建立,或者安装某组件时自动产生,用户帐号的安全管理使用了安全帐号管理机制——SAM,它是Windows系统账户管理的核心,负责SAM数据库的控制和维护,SAM是lsass.exe进程加载的。SAM数据库保存在%systemroot%system32\config\目录下的SAM文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者的关系紧密。SAM用来存储账户的信息,SAM文件中用户的登录名和口令要经过Hash加密。Hash加密有其脆弱性,因此熟悉SAM的结构可以帮助安全维护人员做好安全检测。SAM的内容可以使用regedt32.exe来查看。网络管理人员应熟悉系统的SAM设置,防止系统被不良企图者设置超级隐藏帐号。
其二是用户的密码安全。最好在设置系统口令时使用强密码原则,它的内容主要有:口令应该不少于8个字符;同时包含大小写字母、数字、和键盘上的特殊符号;不要包含完整的字典词汇;不要包含用户的姓名、生日或者敏感名称等。
其三是使用用户策略。操作系统本身有账户的安全策略。账户策略包含密码策略和账户锁定策略。配置步骤如下:“开始”→“运行”→“secpol.msc”→“本地安全策略”→“帐号策略” →“密码策略”。然后设置如下几项:强制密码历史;密码最短使用期限;密码最长使用期限。密码必须符合复杂性要求。
另外,重新命名Administrator帐号,创建一个陷阱用户(就是再设置一个Administrator用户,将其权限设置成最低,并给其配置一个超复杂密码,转移入侵者注意力。),禁用或删除不必要帐号。
第三方面是策略的安全管理,包括用户策略和组策略。上面已经提到了用户策略,这里主要说下组策略。组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。 因此如果需要给系统添加账户时,请使用组策略,而尽量不要给用户设置独立的权限,以免造成管理混乱,给系统带来安全隐患。
第四方面是IIS等网络服务的安全配置。原则上来说,不用的服务组件不要安装,安装了服务组件就会开启相应的服务端口,如果不熟悉的话,配置上面出现漏洞就会别人找到入侵的切入点。安装完某个服务后查看相应的帐号,并对系统服务的日志文件位置进行更改。
第五方面是安装防病毒软件。防病毒软件的功能众所周知,排除电脑中的病毒程序,帮助维护系统安全的软件。安装了防病毒软件可以简化管理员的管理工作,为系统维护工作带来了很大的便利。现在有很多防病毒软件,如卡巴、赛门铁克,小红伞、麦咖啡、诺顿,avast,360等都各有优点。
第六方面是給所有必要的文件共享设置适当的访问控制权限。文件共享是网络提供资源共享的一个很重要的方法设置和查看的方法都很简单。设置的时候只要在对应的文件夹上右键单击,选相应设置即可。查看的方法有很多,可以在“开始”→“程序”→“管理工具”→“计算机管理”中找到“共享文件夹”管理项目,展开左侧“共享文件夹”查看。当然,对于共享文件中不可忽视的是常见的特殊共享:driveletter$、ADMIN$、IPC$、PRINT$和磁盘隐藏共享。有些特殊共享不可删除但可以停用,因此有需要时可以停用,防止系统存在安全隐患。
最后是第七方面,安全审计。安全审计包括对安全事件查看并分析(日志分析)、审核策略、网络性能查看等,是维护系统安全的重要步骤。Windows Server 2003的日志包括应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等,大家应随时关注这些日志的内容、格式、位置以及大小有无变化,尤其注意失败、警告的事件。安全审核包括登录事件、账户管理、对象访问、策略更改、特权使用、系统事件、目录服务访问、账户登录事件是否成功。一般的入侵人员都是通过更改安全审计记录来消除入侵痕迹的,因此对于服务器管理员人员来说应随时关注安全审计信息。
交换机安全由配置把关 篇4
单位网管员在管理维护网络的时候, 总需要接触到交换机设备, 它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机, 是确保单位局域网运行安全和可靠的关键。
现在本文就从配置着手, 来增强交换机的安全运行性能, 从而让其发挥保护网络的作用。
配置密码保护
为了保护交换机后台系统用户界面的登录安全, 我们应为Console连接配置登录验证密码。例如, 要为思科交换机的Console端口配置密码保护时, 可以在后台系统依次执行“line con 0”、“password xxx”、“login”等命令即可。这种方法只能设置明文密码, 别人在后台系统执行“show run”命令, 可以查看到“password”的具体内容。为让密码保护更加安全, 大家可使用“servicepassword-encryption”命令, 对明文密码内容执行加密操作, 甚至可以使用“enable secret yyy”命令, 启用强加密的特权密码。
为改善配置效率, 不少网管员也会通过telnet命令对交换机进行远程配置。但是启用telnet登录功能会让一些恶意用户有机可乘, 引起网络不能稳定工作或发生安全事故。为此, 我们应加强用户界面的登录验证配置, 强制用户在telnet登录交换机时进行身份验证, 具体操作命令包括“line vty0 4”、“password xxx”、“login”等。
对于H3C系列交换机来说, 它们支持password、scheme等加密认证方式。先在交换机后台系统全局模式下, 通过“user-interface vty0”命令切换到vty0用户界面视图状态, 继续输入“authentication password”命令, 开启远程登录认证功能。
当成功启用了该功能后, 还需要使用“set authentication password simple xxx”命令来指定登录密码, 这里的“xxx”为具体的明文口令内容, 比方说输入“set authentication password simple 123456”命令, 就意味着将远程登录认证口令设置成“123456”。
倘若强制telnet用户同时进行用户名和口令验证时, 必须在用户界面视图模式状态下, 执行“authentication-mode scheme”命令, 来将远程用户名和口令认证功能启用起来, 这样日后从vty0用户界面登录配置交换机时, 系统就会强制用户输入具有合法权限的用户名和密码。
例如, 要强制远程telnet用户从vty0用户界面登录交换机, 一定要使用“123”账号、“456”口令时, 不妨在交换机后台系统全局模式状态下依次执行如下命令:
配置环路保护
不少单位网络都采用了冗余连接, 对物理线路进行备份。然而, 这种连接方式从物理连接角度来看, 已经在单位网络中构成了物理环路, 该环路虽然在stp协议的支撑下, 不会影响网络信号的正确传输, 但在长时间工作过程中, 单位网络会受到工作环境、人为操作、设备质量等因素影响, 或许会发生网络环路故障。
从实践工作来看, 这种环路故障很容易出现在交换机调整的位置。要是物理环路真的构成网络回路, 那么交换机端口很快会被大流量信号堵塞, 单位网络的运行自然就会受到严重影响。
为了保护交换机安全, 改善网络传输稳定性, 我们不妨配置启用交换机的环路保护功能, 让其智能识别特定端口下出现的网络回路现象, 同时自动停用出现网络回路的交换端口, 并且及时上报相关日志内容, 日后我们根据设备日志内容就能快速找到故障原因, 让单位网络迅速恢复到正常状态。
以H3C系列交换机为例, 在配置环路保护功能时, 只要在交换机后台系统的全局视图模式下, 输入“interface e0/26”之类的命令, 进入目标交换端口视图模式, 使用“display loopback-detection”命令, 就可查看指定交换端口在当前是否配置端口回路监测功能 (如图1所示) , 而且该命令还能查出该端口下有没有回路现象存在。
倘若看到网络回路监测功能还没有被开启时, 不妨输入“loopback-detection enable”命令, 来达到开启目的。日后要想临时关闭这项功能时, 可以再使用一次“undo loopback-detection enable”命令。在缺省状态下, 配置好的交换端口环路保护功能只会对当前端口下面的默认VLAN有效。
要想对当前端口下的所有VLAN都有效时, 必须要执行“loopback-detection per-vlan enable”命令, 让网络环路保护功能自动检查当前端口下的所有VLAN。
此外, 指定交换端口要是处于Access工作模式, 那么网络环路保护功能即使扫描到了当前端口下的网络回路, 也不会向交换机后台系统自动报告日志信息, 只是简单地关闭当前交换端口的工作状态, 避免网络回路影响到整个单位网络的正常运行。
友讯无线网络安全配置 篇5
一、对友讯无线路由器进行加密
友讯无线路由器和无线网卡路由器之间的数据包传输是基于无线信号,存在着被监听的可能性,加密配置就是经过配置,将友讯无线路由器和网卡之间传输的数据包进行加密,这样可以使通信过程更加安全,
二、禁用SSID广播
友讯无线路由器配置为不广播SSID ,就可以在一定程度上避免那些没有权限的无线网卡知道无线路由器的存在,当然也就谈不上连结了,将SSID手工输入自己电脑的无线网卡,告知网卡按照输入的SSID去连结友讯无线路由器就可以了,
三、MAC地址过滤
在友讯无线路由器上选择允许下列列表中计算机访问网络,从DHCP客户端选择自己的计算机名称,点击,此计算机MAC地址就自动添加到列表里了,而其他计算机就会被阻止接入到友讯无线路由器。
每一片网卡都有一个唯一的标识参数,就是网卡MAC地址,在友讯无线路由器上设置自己无线网卡的MAC地址才可以连结。
友讯无线网络安全配置完毕,是不是觉得很简单呢!
安全配置 篇6
摘要:随着社会经济的快速发展,对水资源的消耗量逐渐增加,尤其是农村饮水问题日益严峻,面临着水质差、水源短缺的现象,使人们正常生产生活受到影响。确保农村饮用水安全,是维护广大群众基本利益的需要,同时也是落实科学发展观的基本要求,所以必须提高农村饮水安全重视度,加强工程建设的质量安全,合理配置水资源的应用。本文主要针对农村饮水安全的工程建设问题进行研究,并详细分析水资源优化的相关内容,希望以此能促进农村饮水安全健康发展,推动社会经济效益建设。
关键词:农村饮水安全;工程建设;水源优化
近年来随着经济全球化的影响,环境破坏、资源枯竭的现象逐渐加剧,造成水资源浪费污染严重,尤其是农村饮水安全受到重大威胁,限制人们正常的生产生活,为此联合国颁布一系列措施,改善这一难题。经过长期的发展努力,饮水工程建设取得初步成效,但是随着人们生活质量的提高,对饮水安全提出越来越多的要求,如何采取有效措施解决饮水难题,成为广大专家学者研究的重点,为此,笔者也提出自己的一些观点,为我国饮水事业贡献一份力量。
一、饮水安全中工程建设的具体措施
(一)政府和人民的支持。农村饮水安全属于民生问题,需要上级政府和下层百姓共同努力,才能更好的改善饮水环境。由于饮水工程建设是一项投资巨大的项目,需要耗费大量资金,这就要求建筑单位设计出合理的资金筹集举措,可以按照国家补贴为主,农民缴费为辅的原则,共同承担饮水工程的建筑费用。政府结合城乡发展要求,增加财政收入,扶持引导施工建筑方向;人民在经济许可范围内,承担适当的劳动和资金帮助[1];此外积极吸引企业投资,建立健全多元化的成本筹集机制,确保饮水工程的顺利实施。
(二)科学规划工程方案。在具体的规划设计时,要充分结合当地的特点,具体问题具体分析,明确工程核心内容,综合考虑季节性缺水、基础设备简陋、水质差的问题,重点进行解决。并且详细调查当地河流信息,建设规模集中、城乡一体的饮水工程,实现饮水村村通的目标。在研究实际经济发展状况和自然环境基础上,确定工程项目的规模大小、建筑类型和供水方式,坚持“先易后难”、“因地制宜”的原则,最终作出正确决策,避免因失误造成不良影响,阻碍农村饮水安全项目的建设。
(三)施工的管理运行。在落实工程建筑前,要走访调查群众的意见观点,确保工程质量的前提下,最大限度的满足人民要求,并根据这些内容,制定详细的管理制度,将其彻底落实到施工步骤中,以此规范施工队伍行为。在确定工程方案设计时,按照农民承受水价的能力,选择成本费用低,管理操作方便的方案。在施工之前,明确水价标准、管理运行机制、所有权等问题,采用新型工艺材料,提高工程运转水平,发挥经济社会效益。在施工过程中,必须进行严格把关,选择专业技术高超的施工队伍,做好监督管理工作,购买正规的材料设备,等到竣工后,站好最后一班岗,做好工程验收工作。
(四)保证饮水质量安全。在饮水工程建设时,不但要保证充沛的水源,而且要提高水质的重视,只有做好水量、水质工作,才能更好的满足农民用水需求。要对水质进行彻底检测,确保碘、氟等污染物的数值在规定标准内[2],并且兼顾长远利益,保持水源的长效性和实用性。另外使用净化设备,对污染水源实行净化处理步骤,在水源附近设立工作室,定期对水质进行监测,确保饮用水质量达标。
二、农村水源优化配置的分析
对农村水源进行优化配置,首要任务是合理分配各区域水源情况,并掌控经济成本,解决地方饮水安全问题。水源优化配置的特点是,操作执行简单,目标准确单一,由此可得出“线形规划”模型最适合处理这一问题,在数学领域,线形规划的方程表达式如下:
其中方程式的系数要满足线形函数的要求,且价值系数符合单一性标准,该方程式的主要作用是计算不同地区不同人群所需的总供水量。但是在农村,会受到各种因素的限制,为了更好实现水源优化配置,在现实供水中,经常会发生多个水源地给同一地区人群供水的现象。通过分析表明,这种方法并不利于经济发展,但是面对特殊情况,要结合实际对供水地区进行重新划分,使水源达到优化配置的效果,具体措施表现在以下两方面。
(一)优化配置水资源,第一,对现有地表水实行详细调查记录,其中包括运行状况、基础设备、工程规模布局等,综合这些因素采取整治手段,对供水区进行合理划分,明确各村镇的管理使用范围。第二,严格控制水源周边区域的水质管理,杜绝有机肥、垃圾等有害物质的使用存放,以免水源遭受破坏。第三,建立健全饮水安全检测系统,卫生部门、水利部门等相互配合,共同完善监测体系。第四,供水单位实行权责统一制度,明确人员的任务和权利,保障信息畅通无阻[3],定期维护保养基础设备,及时更新技术方法,挖掘潜力增强供水性能。
(二)为确保水源达到国家标准,第一,必须坚持高标准、因地制宜、统一设计规划的原则,从施工人员、材料、设备等各个环节进行严格控制,在提高建筑工程质量的同时,加快施工进度。第二,引进高端技术人才,对施工技术进行指导控制,在保证工程质量的前提下,按时按量完成任务。第三,树立责任意识,将水源管理工作放在首要地位,严抓严打以保障农村饮水安全。第四,加强对管理体系的研究,以提供优质水源为目标,服务群众为宗旨,不断适应时代发展需要,建立符合市场体制的管理制度。第五,按照当地经济发展水平和水源情况,设置水价范围,以保障饮水安全工程发挥自身作用。
结语:
综上所述,水源是生命之本,是人类赖以生存发展的基石,是任何物品都无法替代的生活必需品。政府不断出台颁布法规政策,投入大量人力、物力、财力加强对饮水安全建设,所以要提高工程项目质量,对监测环节严格把关,确保符合国家标准后,再将水源输送到千家万户。本文通过对饮水安全工程建设的研究,以及水源优化配置分析,希望能为农村饮水安全提供一些积极意见,促进农村经济快速发展。
参考文献:
[1]孙晓山,吴义泉,谢元鉴.加快建设强化管理保障农民群众饮水安全——江西省赣州、吉安市农村饮水安全工程建设与管理调查[J].水利发展研究,2012,05:22-26.
[2]翟愛松.农村饮水工程建设与管理方法——以巴里坤哈萨克自治县农村饮水安全工程为例[J].黑龙江水利科技,2013,05:237-239.
安全配置 篇7
出于安全考虑, 各单位对接入Internet的PC终端往往有如下安全需求:一是PC终端应最大限度减少病毒、木马等恶意程序的感染和攻击。二是不允许普通用户随意在PC终端上安装程序, 也不允许随意在PC终端上运行绿色软件, 比如炒股软件。三是普通用户可随意在互联网上浏览网页, 查询信息。四是必要时可下载文件、数据, 但应由系统管理员完成。五是PC终端登陆界面仅显示一个普通用户, 以免非法用户猜测系统管理员密码。实现上述需求的方法具有多样性, 本文给出一种借助于Windows现有技术即可实现的安全配置方法。
二、解决思路
第一, 病毒、木马等恶意程序要在PC终端上运行, 必须先驻留到PC终端磁盘上。因此, 为防止恶意程序攻击, 可借助于NTFS文件系统配额管理功能, 为普通用户分配极低磁盘空间, 以至于恶意程序无法获取足够磁盘空间。
第二, 为防止普通用户随意安装程序, 运行程序。也可借助于NTFS文件系统配额管理功能, 为登陆用户分配极低配额实现。此时, 还需禁止USB, 防止用户将程序安装到USB移动设备上或在移动设备上运行绿色软件。
第三, 在用户浏览网页时, 浏览器往往会缓存部分网页, 可为普通用户分配较少配额予以满足。
第四, 必要时在系统管理员的允许下, 下载程序、数据。可借助于Runas技术, 由系统管理员以Administrator身份运行浏览器, 即可下载程序和数据。
第五, 通过修改注册表, 隐藏其他用户, 实现登陆界面仅显示一个普通用户需求。
三、配置过程
根据上述思路可知, 为满足上述安全需求, 需借助于Windows操作系统的配额管理、Runas技术, 并通过修改注册表完成。下面以Windows XP Professional为例, 详细介绍配置过程。
(一) 添加用户Super和Ordinary
首先建立用户Super和Ordinary, Super用于下载程序、数据, Ordinary用于浏览网页。两用户名可随意设定, 并非必须设置为Super和Ordinary。
操作过程如下:
1. 新建用户Super
开始→程序→控制面板→用户账户→创建一个新账户→“输入Super”→下一步→“选择账户类型:受限”→创建账户。
2. 新建用户Ordinary
过程如上, 只是账户名输入为Ordinary。
3. 修改登陆方式
开始→程序→控制面板→用户账户→更改用户登陆或注销方式→选中“使用欢迎屏幕”→应用选项。
(二) 获取NTFS文件系统
在命令行方式下, 使用Convert命令, 将所有驱动器转换为NTFS文件系统。过程如下:
1. 开始→运行→“键入cmd”。
2. 键入命令:Convert非系统盘符/FS:NTFS/X, 回车。
3. 重复执行上述命令, 直到所有非系统盘均转换为NTFS。
4. 键入命令:Convert系统盘符/FS:NTFS/X, 回车。
5. 系统将重新启动, 并在重启过程中将系统盘转换为NTFS文件系统。
(三) 配置配额
本步骤将为Super和Ordinary两用户配置其在每个磁盘的配额, 其他用户的配额配置参照进行即可。步骤如下:
1. 启动配额管理
点击磁盘图标→属性→配额→选中“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”, 其他使用默认值→应用→确定。
2. 设置配额项
(1) 为Super用户建立无限制配额。
点击磁盘图标→属性→配额→配额项→配额→新建配额项→查找范围选择本机机器名→名称中双击Super→确定→添加新配额项:选中“不限制磁盘使用”→确定。
(2) 为Ordinary用户设置低限制配额, 在此设置为1KB。
点击磁盘图标→属性→配额→配额项→配额→新建配额项→查找范围选择本机机器名→名称中双击Ordinary→确定→添加新配额项:选中“将磁盘空间限制为”:1KB, 将警告等级设置为1KB→确定→关闭。
(3) 在所有非系统盘上重复上述两步操作。
(4) 在系统盘上设置配额。
系统盘上设置配额与非系统盘上设置配额的过程相同, 区别在于系统盘需为Ordinary用户分配较高空间, 以便浏览器缓存页面。在我们的试验中, 在系统盘上为Ordinary用户分配的配额为2MB。
(四) 启动Runas服务
为了Ordinary用户能以Super用户身份启动浏览器, 需在后台启动Runas服务。启动过程如下:
开始→程序→控制面板→管理工具→服务→点击“Secondary Logon”→启动类型:自动→启动→确定。
(五) 隐藏其他用户
本步骤将隐藏除Ordinary以外的其他所有用户。操作如下:
开始→程序→运行→键入“regedit”→回车。
在注册表中定位[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonSpecialAccountsUserList]
添加dword项, 名称为需隐藏用户的用户名, 值设置为0;若用户已存在, 则直接将其修改为0。
重复执行上一步操作, 隐藏除Ordinary外的所有用户。
(六) 新建浏览器快捷方式
为使Ordinary用户能切换到Super或Administrator用户, 需建立浏览器快捷方式。
注意:在XP上试验表明, 直接右击桌面IE图标创建的快捷方式, 无法用于切换操作。
四、运行过程
在完成上述配置之后, PC终端即进入了正常运行模式。当需要在PC终端上安装程序、增加配额、新建用户等系统管理操作时, 则需进入系统管理模式。下面介绍PC终端在这两种模式下的操作运行过程。
(一) 正常运行模式
正常运行模式的基本步骤如下:
1. 系统管理员输入密码, 登陆系统, 开启PC终端。
2. 普通用户使用浏览器打开网页, 查询信息。
3. 若需下载, 系统管理员右击浏览器快捷方式→运行方式→选中“下列用户”→输入“Super或Adminstrator”用户名和密码→确定。打开浏览器后, 即可下载。下载完毕, 关闭新打开的浏览器窗口。
(二) 系统管理模式
系统管理模式最好以系统管理员身份登陆。因此, 需将Administrator显示出来, 为此, 需修改注册表。由于只有Administrator方可修改注册表, 需切换到Administrator执行regedit。具体过程如下:
1.开始→运行→cmd
2.运行命令runas/profile/user:OrdinaryAdministrator“cmd”
3.输入Administrator密码
4.运行regedit
5.修改注册表, 按三 (五) 方法定位到注册表项, 将Administrator对应的值修改为1
6.退出cmd
7.开始→注销→切换用户
8.登陆Administrator
9.进行系统管理
10.修改注册表, 按步骤5定位到注册表项, 将Adminstrator对应的值修改为0
个人计算机的安全配置 篇8
为了避免这种情况发生,我们需要从三方面入手进行个人电脑的配置,以保护个人信息的安全性。
1)对操作系统进行安全配置
2)安装杀毒软件
3)安装防火墙
杀毒软件和防火墙的安装虽然可以从一定程度上避免个人计算机遭受病毒和木马的侵害,但由于杀毒软件和防火墙软件的特性,仍然会有一些黑客绕过这些屏蔽攻击个人电脑,这就需要我们对操作系统进行安全配置以最大程度的保护自己电脑的安全性。下面将从这三方面详细阐述,个人电脑的安全配置。
1 系统的安全配置
1.1 共享的设置
1.1.1 删除默认共享
打开记事本,新建一个空白文件,输入如下内容:
将该文件另存为del.bat,并将该文件添加到启动项或设置计划任务。
1.1.2 禁止建立空连接
打开HKEY_Local_MachineSystemCurrentControlSetControlLSA修改restrictanonymous的DWORD值为1(如果没有自行新建)
1.1.3 禁止共享设置
1.2 帐户设置
1)创建管理员帐户和普通帐户,帐户名称请自行起一个(建议用中文名称)并按帐号策略设置密码。
2)删除所有不必要的账户,并将原来系统的administrator帐户级别降为最低,并设置安全性极高的账户密码。
1.3 本地安全设置
1)密码策略(开始=>运行=>secpol.msc=>确定)
打开管理工具→安全设置→账户策略→密码策略
1)密码必须符合复杂要求性,启用
2)密码最小值。我设置的是10,也就是你系统密码的最少位数
3)密码最长使用期限。我是默认设置42天
4)密码最短使用期限0天
5)强制密码历史记住0个密码
6)用可还原的加密来存储密码。禁用
如图1所示。
1.3.1 审核策略
找到安全设置=>本地策略=>审核策略=>双击策略名称=>进行配置=>确定
如图2所示。
1.3.2 找到本地安全设置=>本地策略=>安全选项
1)网络访问.不允许SAM帐户的匿名枚举启用
2)网络访问.可匿名的共享将后面的值删除
3)网络访问.可匿名的命名管道将后面的值删除
4)网络访问.可远程访问的注册表路径将后面的值删除
5)网络访问.可远程访问的注册表的子路径将后面的值删除
6)网络访问.限制匿名访问命名管道和共享
1.3.3 找到本地安全设置=>本地策略=>用户权利指派
1)从网络访问计算机.除Admin外全部删除,在添加一个自己的用户
2)从远程系统强制关机.全部删除
3)拒绝从网络访问这台计算机.全部删除
4)从网络访问此计算机.全部删除
5)通过终端允许登陆.删除Remote Desktop Users
1.4 服务设置(开始=>运行=>services.msc=>确定)
1)Remote Procedure Call(RPC)Locator
右键=>属性=>恢复=>设置失败后不操作
2)Remote Registry
右键=>属性=>常规=>修改启动类型为“已禁用”
3)Server
右键=>属性=>常规=>修改启动类型为“已禁用”
4)Telnet
右键=>属性=>常规=>修改启动类型为“已禁用”
5)关闭不用的端口
端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上你的电脑,为了保护你的系统,应该封闭这些端口,主要有:TCP 139、445、593、1025端口和UDP123、137、138、445、1900端口以及远程服务访问端口3389。
端口关闭的方法很多,这里不再详细介绍,放到后面防火墙的配置中进行介绍。
2 杀毒软件
在做了如上的配置之后,我们仍需要安装杀毒软件来保护系统。因为杀毒软件通常集成了监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,这些功能可以弥补我们在系统安全配置上的不足,以便及时发现病毒。
杀毒软件的实时监控方式因软件而异。有的杀毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较(验证前面的话),以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
2009年国外杀毒软件排名如表1所示。
大家可以根据自己的需要来选取安装,这里我比较喜欢德国的杀毒软件,例如:小红伞。安装方便而且杀毒能力比较强。
3 防火墙的安装和设置
在进行了系统安全配置和安装了杀毒软件之后,我们仍然需要防火墙的保护。因为现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件攻击。杀毒软件发展了十几年,依然是停留在被动杀毒的层面,而国外的调查表明,当今全球杀毒软件对80%的病毒无法起到识别作用,也就是说,杀毒软件之所以能杀毒,纯粹是根据病毒样本的代码特征来识别他是否是病毒。同样,杀毒软件对于木马、间谍软件的防范也是基于这种方式。但现在病毒、木马的更新很快,从全球范围内来看,能造成较大损失的病毒木马,大部分都是新出现的,或者是各类变种,由于这些病毒木马的特征并没有被杀毒软件掌握,因此杀毒软件对它们是既不能报警,也无法剿杀。所以我们还要使用防火墙来进行抵御。
这里我们简单介绍天网防火墙的配置。我们先看看天网防火墙的主界面,如图3所示。
一般我们使用默认设置就可以了。但也可以新加ip规则来开放或关闭某些端口。例如我们要关闭445这个端口,可以按如下步骤设置:
1)单击新增按钮,增加一条ip规则。如图4所示。
2)在新弹出的新增规则中做如图5所示的设置。
3)设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP规则的建立,并立即发挥作用。
其他规则的设置可以以此类推。
4 结论
上面仅从三个方面对个人电脑的安全配置。当然,要想彻底的完全的屏蔽掉黑客的攻击或病毒的感染是不可能的。我们只能尽自己最大的努力保护好自己的个人电脑及电脑内资料的安全性,将攻击的可能性降到最低。
摘要:随着网络技术的发展,网络业务的普及,个人计算机的安全已经越来越引起人们的注意。那么如何保证个人电脑内部的资料不被损坏、泄露和篡改呢?该文从系统安全配置、杀毒软件的选取得防火墙的配置三个方面逐一阐述。
宿舍网络交换机安全配置研究 篇9
随着互联网上大量的傻瓜化的黑客攻击工具的泛滥,网络面临着各攻击行为的挑战。学生的好奇心导致对宿舍网络提出了新的要求。而网络各层次都会受到各种各样的威胁,网络中的各个设备必工作于协议栈的某个层次。应用层的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生,包括WEB服务、电子邮件系统、FTP等,此外还包括病毒对系统的威胁;传输层安全关注的是面向连接和非面向连接的攻击;网络层安全关注的是IP地址扫描/欺骗/盗用;数据链路层安全关注的是MAC地址扫描/欺骗/攻击、ARP欺骗/攻击、STP攻击、DHCP攻击;物理层安全关注的是线路的安全、物理设备的安全、机房的安全等。
2 宿舍网络设计
宿舍网络系统采用了三层架构:宿舍网核心层,宿舍网汇聚层和接入层。其中宿舍网汇聚层又包含宿舍区域汇聚和宿舍楼栋汇聚。网络拓扑如图1。
为了能够更好地实现网络安全方面的控制,防范内网的病毒泛滥、病毒攻击和黑客攻击,造成网络的堵塞和瘫痪,及重要部门数据被破坏和窃听,宿舍设备采用了内嵌丰富安全机制的交换机,以防护各种攻击和病毒的泛滥,同时具有身份确认、防止IP冲突、帐号盗用、控制上网的时间、限制一些应用程序使用、灵活计费等功能。
宿舍网核心层到宿舍区域汇聚采用的是静态路由的设计;宿舍区域汇聚到宿舍楼栋汇聚同样采用静态路由的设计;宿舍楼栋汇聚到接入层采用了Trunk方式连接。各级分工明确,逻辑性强,安全设计灵活简便。
3 宿舍网络安全接入技术
传统基于CA的认证方式可以解决电子身份的问题,而人员的身份证等可以解决现实身份的问题。但是,由于缺乏有效的现实身份到电子身份映射问题,也就是无法唯一确认网络使用者的身份,内部安全问题一直是网络安全的最大隐患。
宿舍网络采用的是基于802.1X协议的认证计费系统SAM,可以根据用户名、用户密码、IP、MAC、接入交换机IP、接入交换机端口等信息的灵活绑定来确认接入用户身份的唯一性。真正做到接入的安全。
虚拟局域网(VLAN)技术是为了解决桥接的局域网中存在的广播风暴,以及网络系统的可扩展性、灵活性和易管理性方面的问题,第二层交换机基本上都支持VLAN划分。在局域网设计中,我们可以根据不同楼层划分VLAN。VLAN技术的采用为宿舍网络系统带来了以下的优点:
1)控制广播
VLAN之间是相互隔离的,所有的广播和多点广播都被限制在一个VLAN的范围内,即一个VLAN产生的广播信息不会被传播到其它的VLAN中,有效地防止了局域网上广播风暴的产生,提供了带宽的利用率。
2)提高安全性
由于VLAN之间是相互隔离的,因此可将高安全性要求的主机服务器可划分到一个VLAN中,而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成,而三层交换机上具有访问控制(Access-List)以及防火墙等安全控制功能,因此VLAN之间的访问可以通过三层交换机进行控制。
3)提高性能
通过VLAN的划分,可将需访问同一服务器/服务器组的用户放到同一个VLAN中,这样该VLAN内部的服务器只由本VLAN内的成员访问,其它VLAN的用户不会影响服务器的性能。
4)便于管理
由于VLAN的划分是逻辑上的,因此用户不再受到物理位置的限制,任意位置的用户可以属于任意一个VLAN,VLAN内的成员可以任意地增加,修改和删除,使得网络管理更加简便易行。
4 交换机安全配置设计
交换机是宿舍网络中的主要设备,特别是核心、汇聚交换机承主要负责数据的交换,在突发异常数据或遭受攻击时,很容易使设备负载过重或出现宕机现象。为了保障网良好的运行,减轻设备的负载,各个厂商在设备上都开发了一些安全防范技术,这些配置和安全技术在我校宿舍网络中均有效实施。
4.1 防止MAC攻击的实现和配置
交换机内部的MAC地址表空间是有限的,MAC攻击会很快占满交换机内部MAC地址表,使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个Hub,用户的信息传输也没有安全保障了,利用MAC地址洪泛攻击来截获客户信息。MAC攻击原理如图2。
利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC,或802.1x端口下端口自动动态绑定MAC/IP,来限定交换机某个端口上可以学习的源MAC数量或源MAC地址,当该端口学习的MAC数量超过限定数量或者和绑定的MAC地址不一样时,交换机将产生违例动作。
配置案例:将MAC地址与端口进行绑定:
4.2 防止IP扫描攻击的实现和配置
众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用网络带宽,导致正常的网络通讯无法进行。锐捷三层交换机提供了防扫描的功能,用以防止黑客扫描和类似“冲击波病毒”的攻击,并能减少三层交换机的CPU负担。
配置案例:在三层交换机接口下,启用防扫描功能,隔离时间1200秒,对某个不存在的IP不断的发IP报文进行攻击的阀值设置为30,对一批IP网段进行扫描攻击的阀值为10。
4.3 防止STP攻击的实现和配置
STP攻击是发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息。
配置案例:在接入层交换机直连终端的端口上,在ACCESS PORT上起用PORTFAST功能,同时起用BPDU GUARD、BPDU FILTER功能,可以禁止网络中直接接用户的端口收到BPDU报文。从而防范用户发送非法BPDU报文。
Switch(config-if-range)#spanning-tree portfast//端口直接forwarding,这样可免去端口等待forwarding的过程(如果不配置Por Fast的端口,就要等待30秒forwarding)
4.4 唯一合法性探测的实现和配置
根据一个IP地址,检测是否有多个用户(以MAC地址来区别,多个用户即指多个MAC址)在使用它,如果有多个用户在使用同一个IP,那么将通过TRAP方式警告用户,并以log日志形式在带外及终端上显示。
配置案例:通过命令no detect user-conflict,来关闭唯一合法性探测。
以下设置步骤探测ip范围段为10.1.1.1-10.1.1.255,并设置探测的间隔时间为2分钟:
4.5 防止广播风暴的实现和配置
端口接收到过量的广播、未知名多播或未知名单播包时,一个数据包的风暴就产生,这会导致网络变慢和报文传输超时几率大大增加。
配置案例:设置步骤打开端口广播风暴控制功能:
5 总结
交换机是宿舍网络中的主要网络设备,做好交换机的安全配置是构建安全稳定的宿舍网络的必要条件。结合本人在苏州市职业大学宿舍网管中心的实际工作情况,从网络的规划设计,自上而下的对宿舍网络交换机设备实施安全技术的配置,能及时记录、告警告知网络管理员,从而保障宿舍网络以及整个校园网络的稳定、安全、可靠的运行。本文主要是针对目前比较流行的病毒、黑客攻击等做相应的安全配置,未涉及网络具体应用的QoS服务保障,在今后的研究中将有所体现。
参考文献
[1]吕伟春.校园网络安全的攻防技术研究[J].苏州市职业大学学报,2007,18(4):62-64.
[2]吕伟春,胡洪新.构建安全稳定的高校宿舍网络[J].苏州市职业大学学报,2009,20(3):50-53.
[3]陈京海.浅谈华为核心交换机的安全配置[J].池州学院学报,2008,22(3):57-60.
网络服务器安全配置最佳实践 篇10
关键词:网络服务器,配置,安全
Windows Server 2003是目前成熟的网络服务器系统, 提供了强大的网络服务功能, 而且极易上手, 网络管理者不需要太多的培训即可配置和管理。不过, 要配置一个安全的网络服务器难度是比较高的, 需要有经验的网络管理者手动配置很长时间。笔者为网络管理员, 结合近几年的网络安全管理实施过程, 总结出一些经验来提高网络服务器的安全性。
一、安装Windows Server 2003时应注意的问题
1. 确保操作系统的来源合法性。不要使用非正常渠道得到的系统安装盘。防止在安装操作系统的同时就被安装了木马或者间谍软件。
2. 保证硬件设备的可靠性。尽量使系统运行在RAID5方式的磁盘阵列中, 确保服务器环境的稳定。
3. 将操作系统安装在一个干净的系统中。在软件安装之前, 确定磁盘所有的数据都已经删除干净, 磁盘完好无损。
4. 在操作系统安装完成但没有正式运行前, 保证系统在安装过程中不与任何公共的系统相连。如果必须要有网络安装, 要确保服务器在一个独立可信的网段中, 建议拔掉网线安装操作系统。
5. 尽量安装操作系统的英文版本。因为微软总是最先发布英文版本的补丁, 中文版本的补丁相对滞后一段时间。
6. 使用NTFS分区作为唯一的系统文件分区标准。NTFS是真正的日志性文件系统, 使用日志和检查点信息, 即使在系统崩溃或者电源故障时也能保证文件系统的一致性。
7. 安装TCP/IP协议, 不要安装其他任何协议。
8. 在选择安装程序的时候不要安装任何额外的程序和服务。
9. 服务器最好不加入到域, 要安装成独立服务器模式。
10. 为系统管理员设置一个足够强壮的密码, 长度最好在20位以上。
二、安装防病毒系统
防病毒软件设置时应注意的问题:
1. 确认防病毒软件来源的合法性、完整性及可升级性。
2. 在没有接入网络环境前安装防病毒软件, 同时安装最新防病毒软件的病毒库。
3. 运行防病毒程序的病毒实时监测系统, 同时配置防病毒软件的自动更新、扫描、受感染文件的处理方式等操作。
4. 对刚安装完成的操作系统进行一次完整的病毒扫描。
5. 经常查看防病毒系统产生的日志文件。
三、配置应用程序
在服务器上安装正常使用的应用程序 (包括更新的IE浏览器版本) , 同时安装配置网络服务的程序 (如微软的IIS服务、FTP服务、SQL Server数据库服务等) 。
注意事项:
1. 不要安装任何多余的程序。服务器仅提供网络服务, 不是个人电脑, 不需要安装其他程序。
2. 安装服务和应用程序, 尽量选择最新的安装版本, 这通常可以保证没有近期发布的程序漏洞。不需要的应用程序服务尽量不要安装, 或者配置成禁止使用的模式。
3. 不要在服务器上运行系统提供的应用程序访问网络, 服务器的漏洞有时会被恶意利用。
4. 为安全起见, 建议将系统附件中除写字板、记事本以外的所有应用程序删除。
5. 不要在服务器上安装任何开发工具、软件调试器、扇区读写编辑器等可对系统底层进行操作的应用软件, 可执行程序越少越好。
四、账户管理注意事项
配置服务器系统时, 应当注意对系统账户的管理。
1. 重新命名管理员账号。这是为了防止对“Administrator”账号的密码猜测行为。
2. 禁用或者删除“Guest”账号。Windows 2003操作系统默认此账号禁止使用, 必须检查此账号是否处于启用状态。
3. 检查系统中存在的账号的状况。审核不必要的账号和组, 审核账号隶属的组权限和用户权限并定期记录;对于长时间不使用的账号应该查明原因;对于因为员工离职等原因废弃的账号要立即删除。
4. 建议使用非管理员账号来管理系统, 只有在必须使用管理员权限的时候才采用管理员账号。
5. 建议新用户赋予User或者Guest组权限, 不要赋予“PowerUsers”组权限, 对于任何特定的操作在建立一个特定组的同时赋予其权限来执行。
五、启用日志审核
审核是Windows 2003中本地安全策略的一部分, 它是一个维护系统安全性的工具, 允许跟踪用户的活动和Windows NT2000系统的活动。
根据监控审核结果, 管理员可以将计算机资源的非法使用消除或减到最小。
微软操作系统的日志审核默认是关闭的, 必须手动开启。
六、禁止远程注册表访问
Windows Server 2003在默认安装的时候启用了允许远程访问注册表。如果开启此功能, 服务的启动、ACL权限的修改、用户名的建立等信息, 都可以在注册表中完成, 严禁使用远程注册表访问功能。
七、设定访问控制的文件权限
在使用NTFS文件系统的基础上定制分区和文件访问条件, 加强Windows Server 2003在默认状态下的访问权限, 构建一个更加安全的系统。
1. 取消默认安装时“Everyone”组拥有的对所有磁盘的完全控制权限。
安全配置 篇11
关键词:网络技术;服务器;文件管理;权限
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 16-0035-02
一、引言
Windows Server 2003是微软的服务器操作系统。最初叫作“Windows .NET Server”,后改成“Windows .NET Server 2003”,最终被改成“Windows Server 2003”。相对于Windows 2000做了很多改进,如:改进的Active Directory(活动目录)(如可以从schema中删除类);改进的Group Policy(组策略)操作和管理;改进的磁盘管理,如可以从Shadow Copy(卷影复制)中备份文件。特别是在改进的脚本和命令行工具,对微软来说是一次革新。
二、FAT文件系统的管理
运行Windows Server 2003的计算机的磁盘分区可以使用三种类型的文件系统:FAT、FAT32和NTFS。下面将对FAT及NTFS这两类文件系统进行比较,以使用户了解NTFS的诸多优点和特性。FAT (File Allocation Table)指的是文件分配表,包括FAT和FAT32两种。FAT是一种适合小卷集、对系统安全性要求不高、需要双重引导的用户应选择使用的文件系统。
(一)FAT文件系统简介。FAT16是用户早期使用的DOS、Windows 95使用的文件系统,现在常用的Windows 98/2003/XP等系统均支持FAT16文件系统。它最大可以管理2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。FAT32是FAT16的增强版,随着大容量硬盘的出现,从Windows 98开始流行,它可以支持大到2TB (2048GB)的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。FAT文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统,它的主要特点是向后兼容,最大的优点就是它适用于所有的Windows操作系统。另外,FAT文件系统在容量较小的卷上使用比较好,因为FAT启动只使用非常少的开销。FAT在容量低于512MB的卷上工作时最好,当卷容量超过1.024GB时,效率就显得很低。而对于400MB~500MB以下的卷,FAT文件系统相对于NTFS文件系统来说是一个比较好的选择,这是因为,NTFS文件系统需要引入额外磁盘的空间开销。所以对于使用一般操作系统的用户来说,FAT是一种合适的文件管理系统。不过对于使用Windows Server 2003的用户来说,FAT文件系统则不能满足用户的要求。
(二)FAT文件系统的优缺点。FAT文件系统的优点主要是所占容量与计算机的开销很少,支持各种操作系统,在多种操作系统之间可移植。这种可移植性使FAT文件系统可以方便地用于传送数据,但同时也带来较大的安全性隐患。从机器上拆下FAT格式的硬盘,几乎可以把它装到任何其他计算机上,不需要任何专用软件即可直接读出。
三、NTFS文件系统的管理
NTFS(New Technology File System,新技术文件系统)是Windows Server 2003推荐使用的高性能文件系统,它支持许多新的文件安全、存储和容错功能,而这些功能也正是FAT文件系统所缺少的。Windows 2003 Sever的NTFS文件系统提供了FAT文件系统所没有的安全性、可靠性和兼容性。其设计目标就是在大容量的硬盘上能够很快地执行读、写和搜索等标准的文件操作,甚至包括像文件系统恢复这样的高级操作。NTFS文件系统包括了文件服务器和高端个人计算机所需的安全特性。它还支持对于关键数据、十分重要的数据访问控制和私有权限。除了可以赋予计算机中的共享文件夹特定权限外,NTFS文件和文件夹无论共享与否都可以赋予权限,NTFS是惟一允许为单个文件指定权限的文件系统。但是,当用户从NTFS卷移动或复制文件到FAT卷时,NTFS文件系统权限和其他特有属性将会丢失。NTFS文件系统设计简单却功能强大。从本质上来讲,卷中的一切都是文件,文件中的一切都是属性,从数据属性到安全属性,再到文件名属性。NTFS卷中的每个扇区都分配给了某个文件,甚至文件系统的超数据也是文件的一部分。
(一)NTFS文件系统的优点。NTFS文件系统是Windows Server 2003所推荐的文件系统。它具有FAT文件系统的所有基本功能,并且提供如FAT文件系统所没有的优点。更为安全的文件保障,提供文件加密,能够大大提高信息的安全性。
(二)NTFS的安全特性。NTFS实现了很多安全功能,包括基于用户和组账号的许可权、审计、拥有权、可靠的文件清除和上一次访问的时间标记等安全特性。许可权。NTFS能记住哪些用户或组可以访问哪些文件或记录,并为不同的用户提供不同的访问等级。审计。Windows Server 2003可将与NTFS安全有关的事件记录到安全记录中,日后可利用“事件查看器”进行查看。系统管理员可以设置哪些方面要进行审计及详尽到何种程度。拥有权。NTFS还能记住文件的所属关系,创建文件或目录的用户自动成为该文件的拥有者,并拥有对它的全部权限。管理员或个别具有相应许可的人,可以接受文件或目录的拥有权。可靠的文件清除。NTFS会回收未分配的磁盘扇区中的数据,对这种扇区的访问将返回0值。这样可以防止利用对磁盘的低层次访问去恢复文件已经被删除的扇区。
四、管理文件与文件夹的访问许可权
Windows Server 2003以用户和组账户为基础来实现文件系统的许可权。每个文件、文件夹都有一个称作访问控制清单(Access Control List)的许可清单,该清单列举出哪些用户或组对该资源有哪种类型的访问权限。访问控制清单中的各项称为访问控制项。在FAT中,文件和文件夹的属性不够丰富,因此不能实现在文件或文件夹基础上的安全防护。文件访问许可权只能用于NTFS卷。
三、检查网站挂马
安全配置 篇12
在各种数据库中, SQL Server是使用比例最好的数据库, 因为它继承于Windows平台, 具有友好的操作性。但这不能代表SQL Server是具有高安全性的数据库管理系统。虽然随着SQL Server版本不断更新, 其安全性不断的改进和完善, 但一些问题不是管理平台能够解决的, 如:数据库管理员增加新用户名和密码设置等等。下面就以SQL Server 2000和SQL Server 2005来进行说明。
一、数据库补丁的及时更新
数据库暴露出的漏洞是黑客不会放过的攻击对象, 所以每次漏洞暴露, 官方就会及时发布补丁, 而我们就应及时安装补丁。现在SQL Server 2000最新版本的补丁SP4, SQL Server 2005最新版本补丁SP1。
二、数据库用户管理
SQL Server数据库管理提供了Windows身份验证和SQL Server身份验证两种模式, 而程序和数据库的链接一般是通过SQL Server用户的, 所以用户名和密码的安全是数据库安全的第一步。
2.1 sa用户名
sa用户名是数据库默认的超级管理员用户。黑客软件首先会对这个用户名进行暴力破解。
SQL Server 2005可以对sa用户进行禁用:右键点击sa用户选择“属性”→“状态”中“是否允许链接到数据库引擎”选择“拒绝”和“登录”选择“禁用”, 这样完成对sa的禁用。
SQL Server 2000中需要给它一个强健的密码, 建议在记事本上乱打包含字母、数字和字符的字符串, 自己也没有必要记住, 可以用Window身份验证或其他的用户进入管理。
2.2用户建立
DBA需要一个具有sa权限的用户名进行数据库建立、用户建立和权限分配等等, 如sa用户名已经禁用, 程序则需要一个用户名和密码来读取、插入和修改数据等等。而在建立新用户名则需要遵循以下原则
A:DBA建立一个复杂的用户名和密码
B:不要用admin、user、users、guest等等比较常用的名字, 这些都是黑客软件进行猜测的用户名
C:用户名和密码不要一致, 密码一定要复杂。
2.3用户名密码
SQL Server 2005中用户名密码增加了“强制实施密码策略”、“强制密码过期”和“用户下次登录密码时必须更改密码”三个策略。“强制实施密码策略”是集成Windows密码策略, 可以增加密码的强健度, “强制密码过期”可以强制用户经常更改密码, 可避免密码泄露。“用户下次登录密码时必须更改密码”对程序用户不太适用, 这个可以不用选择。
2.4用户权限
一个数据库可能有很多的用户来进行数据库的操作, 给这些用户名赋予对应的权限是非常重要的。除DBA具有数据库管理权限, 其他用户应遵循以下原则
A:数据库设计人员赋予对应数据库、以及该数据库的表、视图、存储过程和函数的建立、修改的权限。
B:数据库备份人员赋予数据库备份权限。
C:一般的用户只赋予对表和视图的select权限, 如有必要可以增加对表insert、update和delete的权限。
D:对一般的存储过程赋予exec的权限。
这样的权限控制, 可以防止黑客获得用户后对数据库的篡改, 甚至获得整个服务器的控制权限, 和一些SQL注入的表结构的修改等等。
三、数据库端口的修改
数据库的默认端口是1433, 黑客软件首先会扫描服务器是否打开1433端口, 然后进行暴力的破解。即使猜不对数据库的用户名和密码, 但也会消耗大量的服务器资源。一定要对其修改, 方法如下:
SQL Server 2000中:打开“服务器网络实用工具”→“启用的协议”中选中“TCP/IP”点击“属性”, 在打开的窗口中, 把“1433”改成“8808”等, 点击“确定”。
SQL Server 2005中:打开“SQL Server配置管理器”→“SQL Server 2005网络配置”→“MSSQLServer的协议”右击“TCP/IP”→“属性”→“IP地址”, 在“TCP/IP”端口输入“8808”等, 点击确定。
端口修改完, 对数据库进行重启, 端口修改生效。
四、删除危险函数
SQL Server为了方便操作Excel、Access、远程服务器等数据库, 增加了OPENDATASOURCE和OPENROWSET等等函数, 而正是这些函数增加了数据库的危险性。黑客可以利用该函数进行数据库挂马, 从而获得数据库, 以及服务器的控制权限。
如:OPENDATASOURCE的用法:SELECT*FROM OPEN-DATASOURCE ('SQLOLEDB', 'Data Source=ServerName;User ID=MyUID;Password=MyPass') .Northwind.dbo.Categories。黑客完全可以用此语句获得注入数据库的库名、表名、列名、字段值的所有信息。
SQL Server 2005中进行了限制:打开“SQL Server 2005 Surface Area Configuration”→“Surface Area Configuration for Features”→“Ad Hoc Romote Queries”中的“Enable OPENROWSET and OPENDATASOURCE support”不选择
五、删除不安全的扩展存储过程
众所周知xp_cmdshell是一个非常危险的扩展存储过程, 它可以执行dos命令, 其实危险的不只是这个, 还有Xp_regaddmulti-string、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring等, 这些都是删除的对象。
删除方法:EXEC sp_dropextendedproc'xp_cmdshell'来删除对应的存储过程, 在SQL Server 2005中也可以打开“SQL Server 2005Surface Area Configuration”→“Surface Area Configuration for Features”→“xp_cmdshell”中的“enable xp_cmdshell”不选择。更彻底的办法是删除xp_cmdshell所在的DLL文件'xplog70.dll', 这并不影响数据库的运行。
六、SQL防注入
SQL注入已不是一个新的概念, 在ASP时代非常流行, 现在随着数据库管理系统和开发环境的更新, 已经做了防范, 但我们不能因此而放松警惕, 特别是开发人员一定要抛弃ASP时代的开发习惯。
我们看看SQL的注入方法, 我们以用户登录为例:Web页面的属性设置代码为
<form id="WebForm"method="post"runat="server">
<asp:TextBox id="txtName"runat="server"></asp:TextBox>
<asp:TextBox id="txtPassword"runat="server"></asp:TextBox>
</form>
而后台读取数据的SQL语句组合为“select*from Users where[Name]=’”+txtName.Text+”’and Password=’”+txtPassword Text+”’”, 当我们在用户名和密码分别输入“users”、“password”则会形成的SQL语句为“select*from Users where[Name]=’users’and Password=’password’”, 这是一个正常的SQL语句, 如果在密码输入框输入“password’;select*from Users———”这样就会形成“select*from Users where[Name]=’users’and Password=’password’;select*from Users———‘”这样就可以获得所有的用户数据, 当然这里也可以写delete语句、或create语句甚至执行xp_cmdshell危险存储过程。
所以, 我们需要对输入字符串中的特殊字符进行处理, 影响SQL Server的特殊字符为“’”、“;”、“--”、“/*”、“*/”等等, “’”、“;”、“--”、“/*”、“*/”字符如果没有特殊需要, 可以替换成空字符, 或者中文字符。“’”一定要做处理为“’’”。
我们在看看经过处理后的SQL的语句为“select*from Users where[Name]=’users’and Password=’password’’select*from Users‘”, 这样就是安全的SQL语句。
现在SQL Server的存储过程的参数已经做了安全处理, 建议所有的数据都利用存储过程进行操作。
七、防数据库挂木马
木马是令管理员最头疼的问题, SQL防注入可以屏蔽一些注入性的挂马, 但挂马还有其他的挂马方式, 如加入js、图片、css和flash文件等等, JS中可以直接调用木马文件, 图片和CSS可以通过重新指向来加载木马文件, Flash文件可以通过ASS脚本调用木马文件, 而这些都是作为正常数据存入数据库, 它的确威胁着客户的安全。所以可以尽量屏蔽JS和CSS文件, 图片和Flash尽可能加载本地文件, 如没有必要, 在输入的数据中尽可能屏蔽所有连接和文件的加载。
八、数据库文件存储
在建立数据库时, 数据库文件一定不能和系统放到一个盘。如果系统崩溃, 数据库也就面临着危险。如果是两块硬盘或以上, 数据库要放到另一块硬盘或数据库文件和日志文件进行分盘存储, 这样既可保证数据库文件的安全, 又可以相应增加数据库的读取速度。
九、数据库备份
为了避免不可预料情况下的数据库损坏、被恶意的修改和数据的丢失等等, 我们一定要对数据库进行备份, 来应对这些情况。首先完全备份是必不可少的, 该备份方式也是最安全最常使用的方式, 缺点:备份耗时长;占用大量的磁盘空间。所以我们要和日志备份相结合, 定期进行完全备份, 每天进行日志备份 (日志备份是在完全备份的基础上, 如果没有完全备份, 无法进行日志备份, 并且如果完全备份丢失, 日志备份是无法还原数据库) 。可以还原数据库到备份前的任意时刻。注意数据备份一定不能只放到一个硬盘上, 要多个硬盘的备份, 避免硬盘损坏要能及时的恢复, 尽管该几率很小。
以上为在实践中总结出的SQL Server一些安全配置技巧, 这些是对防黑客攻击而做出的一些措施。而数据库的安全不单单要防范黑客的攻击, 还有数据独立性、数据安全性、数据完整性、并发控制等等, 这些都是开发人员不可忽视的部分。
参考文献
[1]于雷.谈谈SQL SERVER服务数据库管理和维护的问题.科技咨询.2006, (35)
【安全配置】推荐阅读:
安全配置工具11-09
化疗药物配置安全体会06-30
路由器的安全配置07-04
路由器安全配置策略08-08
个人计算机安全配置论文05-31
无线护盾的无线网络安全防护配置10-19
浅谈水产品安全应急监测车的功能配置及改装09-30
教育配置07-17
农机配置10-17