网络经济的持续发展,电子商务观念也得到大多数人的认同之际,一向在网络上从事窃取、破坏资料的黑客也同样变得异常活跃。黑客的网络捣乱行为每年可能会造成企业电子商务系统损失惨重。而随着你的企业规模持续扩张,即便是一点微小、想象不到的安全上的疏忽都有可能将你辛苦建立的公司轻易的暴露于潜在的威胁当中。
近些年来,服务器遭受的风险也比以前更大了。越来越多的病毒,心怀不轨的黑客都将服务器作为了自己的目标。很明显,服务器的安全问题是不容忽视的。在这里谈谈企业维护服务器安全的方法。
一、将磁盘分区转换成NTFS格式
当黑客开始对你的网络发起攻击的时候,他们首先会检查是否存在一般的安全漏洞,然后才会考虑难度更加高一点的突破安全系统的手段。因此,比方说,当你服务器上的资料都存在于一个FAT 的磁盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的。
因为这个原因,你需要从基本做起。你需要将服务器上所有包含了敏感资料的磁盘分区都转换成NTFS 格式的。同样,你还需要将所有的反病毒软件及时更新。我建议你同时在服务器和桌面终端上运行反病毒软件。这些软件还应该配置成每天自动下载最新的病毒数据库文件。你还更应该知道,可以为Exchange Server 安装反病毒软件。这个软件扫描所有流入的电子邮件,寻找被感染了的附件,当它发现一个病毒时,会自动将这个被感染的邮件在到达用户以前隔离起来。
另一个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间。最后,记住用户在访问整个网络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母,数字和特殊字符组成的密码。在WindowsNT Server 资源包里有一个很好的用于这个任务的工具。你还应该经常将一些过期密码作废并更新还要要求用户的密码不得少于8 个字符。如果你已经做了这所有的工作但还是担心密码的安全,你可以试一试从互联网下载一些黑客工具然后自己找出这些密码到底有多安全。
二、启用Windows NT 的回叫功能式Windows NT 最酷的功能之一就是对服务器进行远程访问(RAS)的支持。不幸的是,一个RAS 服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门。黑客们所需要的一切只是一个电话号码,有时还需要一点耐心,然后就能通过RAS 进入一台主机了。但你可以采取一些方法来保证RAS 服务器的安全。
你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS。如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机,我建议你使用回叫功能,它允许远程用户登录以后切断连接。然后RAS 服务器拨通一个预先定义的电话号码再次接通用户。因为这个号码是预先设定了的,黑客也就没有机会设定服务器回叫的号码了。
另一个可选的办法是限定所有的远程用户都访问单一的服务器。
你可以将用户通常访问的资料放置在RAS 服务器的一个特殊的共享点上。你于是可以将远程用户的访问限制在一台服务器上,而不是整个网络。这样,即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上,在这里,他们造成的破坏被减少到了最小。
最后还有一个技巧就是在你的RAS 服务器上使用出人意料的协议。我们知道的每一个人都使用TCP/IP 协议作为RAS 协议。考虑到TCP/IP 协议本身的性质和典型的用途,这看起来像是一个合理的选择。但是,RAS 还支持IPX/SPX 和NetBEUI 协议。如果你使用NetBEUI作为你RAS 的协议,你确实可以迷惑一些不加提防的黑客。
三、构建安全的工作站
由于工作站正是通向服务器的一个埠,加强工作站的安全能够提高整个网络的安全性。对于入门者,我建议在所有的工作站上使用Windows 2000。Windows 2000 是一个非常安全的操作系统。如果你并不想这样做,那么至少使用WindowsNT。你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能另一个技术是控制哪个人能够访问哪台工作站。例如,有一个员工,你已经知道他是一个麻烦制造者,因此你应该使用工作组用户管
理程序还修改他的帐号以便他只能
从他自己的计算机(并且是在你指定的时间内) 登录。这样他就不太如何做好服务器安全维护可能从他自己的计算机上攻击网络,因为他知道别人可以将他追查出来。
另一个技术是将工作站的功能限定为一个哑终端,它的意思是没有任何资料和应用程序驻留在独立的工作站上。当你将计算机作为哑终端使用的时候,服务器被配置成运行Windows NT 终端服务程序,而且所有的应用程序物理上都运行在服务器上。所有送到工作站的东西都不过是更新的屏幕显示而已。
这意味着工作站上只有一个最小化的Windows 版本和一份微软终端服务程序的客户端。使用这种方法也许是最安全的网络设计方案。使用一个「聪明的」哑终端就是说程序和资料驻留在服务器上但却在工作站
上运行。所有安装在工作站上的是一份Windows 拷贝以及一些指向驻留在服务器上的应用程序的图标。
当你点击一个图标运行程序时,这个程序将使用本地的资源来运行,而不是消耗服务器的资源。这比你运行一个完全的哑终端程序对服务器造成的压力要小得多。
四、下载安装最新的安全漏洞补救程序
微软有一个程序员团队来检查安全漏洞并修补它们。有时,这些补救程序被捆绑进一个大的套装软件并作为服务包( service pack)发布。通常有两种不同的补救程序版本:一个任何人都可以使用的40 位的版本和一个只能在美国和加拿大使用的128 位的版本。总的说来128 位的版本使用128 位的加密算法,比40 位的版本要安全得多。有时一个服务包的发布也许要等上好几个月-很明显的,当一个大的安全漏洞被发现的时候,只要有可能修补它,你就想再等下去。好在你并不需要等待。微软定期将重要的补救程序程序发布在它的FTP 站点上。
这些热点补救程序程序是自上一次服务包发布以后被公布的安全修补程序。我建议你经常查看热点补救程序。记住你一定要按逻辑顺序使用这些补救程序。如果你以错误的顺序使用它们,结果可能导致一些文件的版本错误,Windows 也可能停止工作。
五、建立严格的用户权限如果你使用Windows 2000Server,你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这样,人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号。这样,不满的员工就不会有机会来搅乱公司的系统了。同时,使用特殊用户权限,你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。
六、安装入侵侦测及报警系统随着网络经济的持续发展,电子商务观念也得到大多数人的认同之际,随之也带来了如何保护企业、客户交易资料不被窃取等相关问题。
一般对于信息窃取可以分为两种:一种是所谓偷取智能财产;而另一种则是所谓产业谍报活动。而程序设计师更是可以凭借编写程序的便利,在开发应用软件时预留暗门,在使用这套软件的企业在未察觉的状态之下,其就能不知不觉将公司重要信息全部窃取。因此简单的说,一个企业如果缺乏适当的警觉性是绝对会替公司带来巨大的经济及信息资源上的损失。
应对方法是安装非法入侵的侦测系统,它可以补足目前防火墙的功能,使两者达到监控网络、执行立即的拦截动作以及分析过滤封包和内容的动作,当窃取者入侵时便可以立刻有效终止。
入侵侦测以及报警系统提供了企业防御保护的另一道防线,这些相关防护措施的应用可以完全做到在面临攻击、或者是信息遭滥用时立即做出多样性适当的报警,这其中包括有警告系统管理人员、立即侦测记录下攻击的行为以利作为未来起诉告发之证据,或者说就只是简单的终止黑客的网络联机。总而言之,运用的完善安全支持决策可以帮助企业管理由于扩展企业组织时科技所带来产生的大量数据资料。
七、定期检查服务器的防火墙
最后一个方法是要定期仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的黑客隔离开来。
你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP 地址。你总是至少要让一个IP 地
址对外界可见。这个IP 地址被使用来进行所有的互联网通讯。如果你还有DNS 注册的Web 服务器或是电子邮件服务器,它们的IP 地址也许也要通过防火墙对外界可见。但是,工作站和其他服务器的IP 地址必须被隐藏起来。
你还可以查看埠列表验证你已经关闭了所有你并不常用的端口地址。例如,TCP/IP 端口80 用于HTTP 通讯,因此你可能并不想堵掉这个埠。但是,你也许永远都不会用埠81 因此它应该被关掉。你可以在互联网上找到每个埠使用用途的列表。
总结
电子商务提供了一个比以往更为便利的网络交易环境给所有的网络使用者,在使用大量的Web 站台、提供了珍贵的公司信息、关键任务的商业应用程序与消费者私有的信息,服务器的安全问题日渐成为一个大问题,你不希望紧要的资料被病毒或是黑客破坏或是被一个可能用这些资料来对付你的人窃取。
为了能够在这个竞争激烈又处处布满危机的环境中获得成功,企业组织必须在使用者存取其资源的同时也必须保护其针对的资产,并确保其消费者私有信息的安全。
企业经营管理人员应该选择能够解决上述问题,并针对各种的电子商务作业环境提供端点对端点的安全基础架构的解决方案。另外,在选购这类产品时也应该考虑其整合性与支持性,除了能够提供这类入侵监测与防治的产品外,也应该能让防火墙与计算机病毒防治的软件整合在一起,并可以定期提供病毒码与入侵攻击模式数据库的更新,在面对互联网络科技日新月异之际,也能提供完整的企业与电子商务系统的信息安全防护。
DNS 是整个互联网的基础,无论是个人还是大小互联网公司,都可能因为DNS 被恶意篡改而蒙受损失。恶意DNS 的影响太大,除了对安全造成巨大隐患还会降低用户访问网络资源的速度,因而连一向忍耐力超强的电信运营商都无法容忍伸向DNS 的黑手,第一次因此而大范围启用了BGP 牵引。
BGP 牵引的实质为电信运营商广播出长掩码高优先级路由,表现为直接夺取黑客的公网IP 地址,无论黑客的设备躲在全球任何角落都奏效(对付固定IP 做恶的能力,如果将安全厂商的软件比作常规武器,电信运营商的BGP 牵引就如同核武),但BGP 牵引这招的威力过大、搞不好容易产生后遗症,因而仅能在自身的网络范围内谨慎使用。
黑客利用大部分人不修改家用宽带路由器默认用户名密码这一疏忽,引诱人们去浏览其控制的WEB 网页从而修改了几百万个家用宽带路由器的DNS,靠DHCP 协议从家用宽带路由器自动获取DNS 的PC 及通过WiFi 上网的手机,长期使用黑客的DNS,没有任何网络安全可言,如下图所示:
114DNS 为电信运营商搭建了专门的BGP-DNS 系统,该BGP-DNS 系统可直接向电信骨干路由器注入32 位掩码的高优先级BGP 路由,电信运营商核心路由器接受该BGP 路由并在自身的网络内进行受限广播。例如某恶意DNS的IP 地址为某国IP_A,BGP-DNS广播出IP_A 的32 位掩码BGP 路由之后,原本流向恶意DNS 的流量被将会被BGP-DNS“吸过去”,在阿里、百度、腾讯等公司的授权下,BGP-DNS 系统将访问量较大的网页主机名如www. taobao. com、www.tmall . com、www.baidu. com、user.qzone.qq.com 解析成特别的IP
地址,阿里、百度、腾讯各自为此架设了专门的警示WEB 服务器。
DNS 被恶意篡改过的用户,例如DNS 被篡改为IP_A 的用户去访问www. taobao. com 时,无法再看
到淘宝的正常网页、却看到了淘宝的警示网页如下图,用户可按警示页面的引导修复其家用宽带路由器的DNS。目前,DNS 被恶意篡改
过的大部分中国电信用户,只有修复其路由器的DNS 并重启PC 之后,才能去淘宝购物,迫使用户提升网络安全,同时也改善用户访问
网络资源的速度(因恶意DNS 对CDN 也很不友好)。
为避免DNS 再次被黑客篡改,一定要修改家用宽带路由器的默认用户名和密码,否则就算现在修复了,DNS 还是很可能再次被黑客篡改。
建议DNS 还没有被篡改的人,抓紧时间去修改家用宽带路由器的默认用户名和密码。从目前电信运营商的BGP-DNS 流量来看,晚高峰黑客曾承载高达每秒10 万次的DNS 请求,这个量太大了,希望大家谨慎。