摘 要 詳細(xì)分析了管理信息系統(tǒng)常見(jiàn)的系統(tǒng)安全問(wèn)題，針對(duì)性地提出解決方案和應(yīng)注意的事項(xiàng)。

關(guān)鍵詞 系統(tǒng) 安全 維護(hù)

概述

隨著公司及下屬各單位的局域網(wǎng)和互聯(lián)網(wǎng)絡(luò)的深入應(yīng)用，網(wǎng)絡(luò)不斷地?cái)U(kuò)展和日趨復(fù)雜，系統(tǒng)安全問(wèn)題愈來(lái)愈突出。安全問(wèn)題能導(dǎo)致信息系統(tǒng)的癱瘓、重要數(shù)據(jù)的丟失，使我們的業(yè)務(wù)停頓，管理陷入混亂，最終結(jié)果是給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失。因此信息系統(tǒng)的安全問(wèn)題，已經(jīng)與企業(yè)的生存能力息息相關(guān)，了解系統(tǒng)面臨的各種威脅，防范和消除這些威脅，實(shí)現(xiàn)真正的系統(tǒng)安全己經(jīng)成了信息技術(shù)發(fā)展中最重要的事情。本文針對(duì)公司本部 MIS 安全防范的管理經(jīng)驗(yàn)，談?wù)勅绾胃纳坪徒鉀Q系統(tǒng)的安全問(wèn)題，希望起到拋磚引玉的作用，引起同行對(duì)系統(tǒng)安全管理的重視。

1從基本做起

對(duì)于中小型網(wǎng)絡(luò)來(lái)說(shuō)系統(tǒng)管理員一般承擔(dān)安全管理員的角色。系統(tǒng)管理員采取的安全策略，最重要的是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。一般情況下，需要注意以下一些方面。

2.1系統(tǒng)管理員必須了解整個(gè)網(wǎng)絡(luò)中的重要公共數(shù)據(jù)（限制寫）和機(jī)密數(shù)據(jù)（限制讀）分別是哪些，它在哪兒，哪些人使用，屬于哪些人，丟失或泄密會(huì)造成怎樣的損失。這些重要數(shù)據(jù)應(yīng)集中放在中心機(jī)房的服務(wù)器上，置于有安全經(jīng)驗(yàn)的專人管理之下。同時(shí)定期對(duì)各類用戶進(jìn)行安全培訓(xùn)。

2.2服務(wù)器上所有的卷全部使用NTFS，使用最新的Service P k升級(jí)你的Nt和200操作系統(tǒng)。取消服務(wù)器上不用的服務(wù)和協(xié)議種類，網(wǎng)絡(luò)上的服務(wù)和協(xié)議越多安全性越差。

2.3不要將服務(wù)器的操作系統(tǒng)設(shè)置為自動(dòng)登錄，應(yīng)使用 NT Security對(duì)話框（Ctrl＋Alt＋Del）注冊(cè) 。修改默認(rèn)的“Administrator”用戶名，加上“強(qiáng)口令”（多于10個(gè)字符且必須包括數(shù)字和符號(hào)），最好再創(chuàng)建一個(gè)具有“強(qiáng)口令”的管理員特權(quán)的賬號(hào)，使網(wǎng)絡(luò)管理員賬號(hào)不易被攻破。平時(shí)管理員賬號(hào)僅用于系統(tǒng)管理，不要在任何客戶機(jī)上使用管理員賬號(hào)，對(duì)屬于Administrator組和備份組的成員用戶要特別慎重。

2.4限制可以登錄到有敏感數(shù)據(jù)的服務(wù)器的用戶數(shù)，這樣在出現(xiàn)問(wèn)題時(shí)可以縮小懷疑范圍。通過(guò)系統(tǒng)策略編輯器”可以進(jìn)一步控制一般用戶或組在windowsgx客戶機(jī)上的行為。限制Goest賬號(hào)的權(quán)限，最好不允許使用Guest賬號(hào)。不要在Everyone組增加任何權(quán)限，因?yàn)镚uest也屬于該組。

2.5一般不直接給用戶賦權(quán)，而通過(guò)用戶組分配用戶權(quán)限。新增用戶時(shí)分配一個(gè)口令，并控制用戶“首次登錄必須更改口令”，最好進(jìn)一步設(shè)置成口令的不低于6個(gè)字符，杜絕安全漏洞。至少對(duì)用戶“登錄和注銷”網(wǎng)絡(luò)、“重新啟動(dòng)、關(guān)機(jī)”、“安全規(guī)則更改”活動(dòng)進(jìn)行審計(jì)，但不要忘了過(guò)多的審計(jì)將影響系統(tǒng)性能。

2.6利用網(wǎng)管軟件管理好網(wǎng)絡(luò)設(shè)備，及時(shí)修改網(wǎng)絡(luò)設(shè)備默認(rèn)的系統(tǒng)管理口令（大部分網(wǎng)絡(luò)設(shè)備都沒(méi)有設(shè)置系統(tǒng)管理的口令）有條件的單位可以配置功能較強(qiáng)的網(wǎng)管軟件，主要包含網(wǎng)絡(luò)構(gòu)成管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理等功能。

2.6.1網(wǎng)絡(luò)構(gòu)成管理

自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)

自動(dòng)生成管理網(wǎng)絡(luò)圖

對(duì)象化管理

TP地址資源管理

2.6.2網(wǎng)絡(luò)故障管理

設(shè)定監(jiān)控方式

報(bào)告網(wǎng)絡(luò)故障

故障自動(dòng)通知

面板管理和定制

2.6.3網(wǎng)絡(luò)性能管理

測(cè)定通信量

統(tǒng)計(jì)分析通信狀況

系統(tǒng)性能監(jiān)視預(yù)警

2.6.4網(wǎng)絡(luò)安全管理

形成網(wǎng)絡(luò)管理操作日志

判斷IP的合法使用

管理權(quán)限控制

3、做好數(shù)據(jù)備份

管理信息系統(tǒng)的服務(wù)器擔(dān)負(fù)著企業(yè)的關(guān)鍵應(yīng)用，存儲(chǔ)著企業(yè)最為重要的信息和數(shù)據(jù)，為領(lǐng)導(dǎo)和決策部門提供綜合信息查詢的服務(wù)，為網(wǎng)絡(luò)環(huán)境下的大量客戶機(jī)提供快速高效的信息查詢、數(shù)據(jù)處理和INTERNET的各項(xiàng)服務(wù)。為保護(hù)關(guān)鍵應(yīng)用數(shù)據(jù)的安全，在發(fā)生人為或自然災(zāi)難的情況下，保證數(shù)據(jù)不丟失，必須建立可靠的網(wǎng)絡(luò)備份系統(tǒng)。

3.1完整的數(shù)據(jù)備份系統(tǒng)必須考慮以下幾點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量。

使數(shù)據(jù)備份工作制度化，科學(xué)化。

對(duì)介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤。

對(duì)數(shù)據(jù)形成分門別類的介質(zhì)存儲(chǔ)，使數(shù)據(jù)的保存更細(xì)致、科學(xué)。

自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命。

以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)。

維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。

備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對(duì)備份性能的影響，備份服務(wù)器的平臺(tái)選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴(kuò)展性等因素。

3.2備份管理軟件的選擇

建設(shè)一個(gè)成功的自動(dòng)備份系統(tǒng)，來(lái)承擔(dān)復(fù)雜的、多平臺(tái)的、系統(tǒng)不斷擴(kuò)展的計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)備份，備份管理軟件的選擇是一個(gè)相當(dāng)重要的工作。企業(yè)級(jí)備份市場(chǎng)目前可分為兩大塊：專有系統(tǒng)市場(chǎng)（ES／9000，AS／400）和開(kāi)放系統(tǒng)市場(chǎng)（UNIX，NT）。在開(kāi)放系統(tǒng)市場(chǎng)上，目前技術(shù)和市場(chǎng)的領(lǐng)先者是美國(guó)的VERITAS 公司、Legato公司和CA公司。對(duì)于僅需備份NT平臺(tái)的系統(tǒng)最好選擇CA公司的ARCSERER。對(duì)于跨多平臺(tái)多業(yè)務(wù)的系統(tǒng)，可以考慮選擇 VERITAS或 Legato。

3.3備份設(shè)備的選擇

常用的存儲(chǔ)介質(zhì)類型有：磁盤、磁帶、光盤和 M0 （磁光盤），其中，磁帶和

光盤的費(fèi)效比較高，在大容量的數(shù)據(jù)存儲(chǔ)方面比較常用。

目前比較流行的磁帶機(jī)技術(shù)主要有5種：

DC200／TRAVAN技術(shù)。這種技術(shù)主要為 PC 機(jī)提供入門級(jí)的數(shù)據(jù)保護(hù)，適合PC或低檔的PC 服務(wù)器，在商用市場(chǎng)里，這種技術(shù)己逐步退出市場(chǎng)。

QICDC600技術(shù)。也就是數(shù)據(jù)流帶機(jī)，最早由3M 公司開(kāi)發(fā)，由于磁帶體積較大，因此，帶機(jī)只有5.25英寸格式。幾個(gè)主要的研究、生產(chǎn)的廠商如 SEAGATE、TECMAR都己停止了對(duì)它的開(kāi)發(fā)。只有Tandberg一家還在繼續(xù)生產(chǎn)。

8MM技術(shù)于1987 年由Exabyt 公司最先推出，這種技術(shù)在相當(dāng)高的價(jià)位上提供了相對(duì)較高的容量，由于其技術(shù)開(kāi)放性較差，目前其市場(chǎng)占有率已越來(lái)越受到新技術(shù)產(chǎn)品的挑戰(zhàn)。

DLT（DIGITAL LINER TAPE）技術(shù)。這種技術(shù)最早由DEC公司開(kāi)發(fā)，由于其技術(shù)的穩(wěn)定性，非常高的備份速度，以及極大的備份容量，目前在高端服務(wù)器市場(chǎng)的占有率正迅速提高。DLT 驅(qū)動(dòng)器的容量從10GB（壓縮20GB）到35GB（壓縮70GB）不等，國(guó)外廠商近期己推出50GB（壓縮100GB）的 DLT磁帶機(jī)，數(shù)據(jù)傳輸速度相應(yīng)從1.5MB／秒到6MB／秒。

4MM技術(shù)。即 DAT（DIGITAL AUDIO TYPE）技術(shù)，最早由惠普公司和索尼公司共同開(kāi)發(fā)，這種技術(shù)以螺旋掃描記錄為基礎(chǔ)，將數(shù)據(jù)轉(zhuǎn)化為數(shù)字后存儲(chǔ)下來(lái)。4MM技術(shù)由于其良好的開(kāi)放性已成為業(yè)界的標(biāo)準(zhǔn)。因此得到了廣泛的應(yīng)用。目前，擁有較大的市場(chǎng)占有率。

一般來(lái)說(shuō)，DAT適合部門級(jí)網(wǎng)絡(luò)的備份，DLT則適合大型主機(jī)和網(wǎng)絡(luò)的高性能備份。

4、網(wǎng)絡(luò)防病毒

隨著網(wǎng)絡(luò)用戶數(shù)量不斷增多，內(nèi)外文件數(shù)據(jù)交換增大，數(shù)據(jù)交換渠道難以控制。在這種情況下，計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)傳播，甚至直接攻擊服務(wù)器，對(duì)整個(gè)網(wǎng)絡(luò)體系的安全構(gòu)成了極大的威脅。因此，為杜絕病毒可能對(duì)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的危害，網(wǎng)絡(luò)防病毒工作必須滲透到服務(wù)器和客戶端的各個(gè)角落，才能實(shí)現(xiàn)真正的安全防護(hù)。網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)該包括以下功能：

全方位的病毒防護(hù)?？梢詴r(shí)刻監(jiān)視系統(tǒng)當(dāng)中的病毒活動(dòng)、系統(tǒng)狀況，時(shí)刻監(jiān)視網(wǎng)絡(luò)上硬盤、軟盤、光盤、因特網(wǎng)、網(wǎng)絡(luò)驅(qū)動(dòng)器、電子郵件上的病毒傳染，在對(duì)染毒文件進(jìn)行復(fù)制、移動(dòng)、打開(kāi)、運(yùn)行、下載等操作前作出報(bào)苦提示，用戶通過(guò)選擇處理方案，可以將病毒阻止在操作系統(tǒng)外部。

定時(shí)掃描功能。允許用戶預(yù)定掃描作業(yè)，到達(dá)預(yù)定時(shí)間自動(dòng)啟動(dòng)，掃描所指定的服務(wù)器或工作站。用戶可以選擇非工作時(shí)間設(shè)定預(yù)掃描作業(yè)，減輕系統(tǒng)工作壓力。

集中網(wǎng)絡(luò)管理功能。能夠?qū)崿F(xiàn)對(duì)系統(tǒng)中的工作站和服務(wù)器進(jìn)行集中統(tǒng)一管理，可以對(duì)網(wǎng)絡(luò)中的所有NT／Windows2000服務(wù)器和工作站進(jìn)行任務(wù)分配、自動(dòng)下載和分發(fā)、掃描設(shè)置等日常的安全維護(hù)工作。對(duì)病毒事件進(jìn)行安全審計(jì)，向系統(tǒng)管理員提供證據(jù)，用來(lái)跟蹤、追查各種可能的病毒事件。

網(wǎng)絡(luò)報(bào)警功能。擁有網(wǎng)絡(luò)報(bào)警系統(tǒng)，可以多種方式向網(wǎng)絡(luò)管理員和用戶進(jìn)行病毒報(bào)警，提供網(wǎng)絡(luò)廣播、故障打印、郵件、尋呼機(jī)報(bào)警等多種報(bào)警方式.用戶無(wú)論身在何處，均可以及時(shí)獲得報(bào)警信息，及時(shí)進(jìn)行處理。

網(wǎng)絡(luò)自動(dòng)更新、軟件分發(fā)功能。擁有病毒升級(jí)文件的自動(dòng)下載、更新和分發(fā)系統(tǒng)。通過(guò)管理員簡(jiǎn)單的配置，無(wú)需人工千預(yù)，在一臺(tái)服務(wù)器上下載升級(jí)文件就可自動(dòng)完成全域內(nèi)所有計(jì)算機(jī)的升級(jí)工作。所有的下載、更新和分發(fā)工作全部由自動(dòng)啟動(dòng)、控制，自動(dòng)完成。

實(shí)時(shí)防護(hù)郵件系統(tǒng)功能?？梢詫?duì)notes或 exchange 郵件系統(tǒng)中的郵件及其附件提供實(shí)時(shí)的病毒防護(hù)，時(shí)時(shí)刻刻保護(hù)郵件系統(tǒng)。

5、安全漏洞掃描與實(shí)時(shí)監(jiān)控

5.1安全漏洞掃描

根據(jù)網(wǎng)絡(luò)構(gòu)造，可以把網(wǎng)絡(luò)安全問(wèn)題具體定位在以下三個(gè)層次上：

層次一：通訊和服務(wù)

該層次的安全問(wèn)題主要體現(xiàn)在網(wǎng)絡(luò)協(xié)議本身存在的一些漏洞。如Ping炸彈可使一臺(tái)主機(jī)宕機(jī)，無(wú)需口令通過(guò) Rlogon以root身份登錄到一臺(tái)主機(jī)等，都是利用了TCP／IP協(xié)議本身的漏洞。

層次二：操作系統(tǒng)

這一層次的安全問(wèn)題來(lái)自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運(yùn)行各種UNIX的操作系統(tǒng)。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來(lái)的威脅。

層次三：應(yīng)用程序

該層次的安全威脅來(lái)自內(nèi)部網(wǎng)的防火墻配置、內(nèi)外web 站點(diǎn)的服務(wù)、網(wǎng)上交易、撥號(hào)服務(wù)、E-mail服務(wù)、傳真服務(wù)及對(duì)數(shù)據(jù)庫(kù)的保護(hù)。

根據(jù)安全問(wèn)題及漏洞產(chǎn)生的位置采用先進(jìn)的安全漏洞掃描產(chǎn)品（如ISS），對(duì)網(wǎng)絡(luò)的通訊、服務(wù)層、操作系統(tǒng)層、應(yīng)用層、數(shù)據(jù)庫(kù)進(jìn)行漏洞掃描，評(píng)估安全威脅和風(fēng)險(xiǎn)，在黑客攻擊前找到漏洞并修補(bǔ)，增強(qiáng)網(wǎng)絡(luò)的安全強(qiáng)度。在信息系統(tǒng)網(wǎng)絡(luò)中，在各層次信息網(wǎng)絡(luò)、各重要的服務(wù)器、數(shù)據(jù)庫(kù)、各入口處分別設(shè)置INTERNE掃描器、WWW掃描器、防火墻掃描器、操作系統(tǒng)掃描器、數(shù)據(jù)庫(kù)掃描器，對(duì)網(wǎng)絡(luò)的各個(gè)層次和設(shè)備進(jìn)行掃描，輔助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)安