網(wǎng)絡(luò)經(jīng)濟(jì)的持續(xù)發(fā)展,電子商務(wù)觀念也得到大多數(shù)人的認(rèn)同之際,一向在網(wǎng)絡(luò)上從事竊取、破壞資料的黑客也同樣變得異常活躍。黑客的網(wǎng)絡(luò)搗亂行為每年可能會(huì)造成企業(yè)電子商務(wù)系統(tǒng)損失慘重。而隨著你的企業(yè)規(guī)模持續(xù)擴(kuò)張,即便是一點(diǎn)微小、想象不到的安全上的疏忽都有可能將你辛苦建立的公司輕易的暴露于潛在的威脅當(dāng)中。
近些年來(lái),服務(wù)器遭受的風(fēng)險(xiǎn)也比以前更大了。越來(lái)越多的病毒,心懷不軌的黑客都將服務(wù)器作為了自己的目標(biāo)。很明顯,服務(wù)器的安全問(wèn)題是不容忽視的。在這里談?wù)勂髽I(yè)維護(hù)服務(wù)器安全的方法。
一、將磁盤(pán)分區(qū)轉(zhuǎn)換成NTFS格式
當(dāng)黑客開(kāi)始對(duì)你的網(wǎng)絡(luò)發(fā)起攻擊的時(shí)候,他們首先會(huì)檢查是否存在一般的安全漏洞,然后才會(huì)考慮難度更加高一點(diǎn)的突破安全系統(tǒng)的手段。因此,比方說(shuō),當(dāng)你服務(wù)器上的資料都存在于一個(gè)FAT 的磁盤(pán)分區(qū)的時(shí)候,即使安裝上世界上所有的安全軟件也不會(huì)對(duì)你有多大幫助的。
因?yàn)檫@個(gè)原因,你需要從基本做起。你需要將服務(wù)器上所有包含了敏感資料的磁盤(pán)分區(qū)都轉(zhuǎn)換成NTFS 格式的。同樣,你還需要將所有的反病毒軟件及時(shí)更新。我建議你同時(shí)在服務(wù)器和桌面終端上運(yùn)行反病毒軟件。這些軟件還應(yīng)該配置成每天自動(dòng)下載最新的病毒數(shù)據(jù)庫(kù)文件。你還更應(yīng)該知道,可以為Exchange Server 安裝反病毒軟件。這個(gè)軟件掃描所有流入的電子郵件,尋找被感染了的附件,當(dāng)它發(fā)現(xiàn)一個(gè)病毒時(shí),會(huì)自動(dòng)將這個(gè)被感染的郵件在到達(dá)用戶(hù)以前隔離起來(lái)。
另一個(gè)保護(hù)網(wǎng)絡(luò)的好方法是以用戶(hù)待在公司里的時(shí)間為基礎(chǔ)限定他們?cè)L問(wèn)網(wǎng)絡(luò)的時(shí)間。最后,記住用戶(hù)在訪問(wèn)整個(gè)網(wǎng)絡(luò)上的任何東西的時(shí)候都需要密碼。必須強(qiáng)迫大家使用高強(qiáng)度的由大小寫(xiě)字母,數(shù)字和特殊字符組成的密碼。在WindowsNT Server 資源包里有一個(gè)很好的用于這個(gè)任務(wù)的工具。你還應(yīng)該經(jīng)常將一些過(guò)期密碼作廢并更新還要要求用戶(hù)的密碼不得少于8 個(gè)字符。如果你已經(jīng)做了這所有的工作但還是擔(dān)心密碼的安全,你可以試一試從互聯(lián)網(wǎng)下載一些黑客工具然后自己找出這些密碼到底有多安全。
二、啟用Windows NT 的回叫功能式Windows NT 最酷的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(wèn)(RAS)的支持。不幸的是,一個(gè)RAS 服務(wù)器對(duì)一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來(lái)說(shuō)是一扇敞開(kāi)的大門(mén)。黑客們所需要的一切只是一個(gè)電話(huà)號(hào)碼,有時(shí)還需要一點(diǎn)耐心,然后就能通過(guò)RAS 進(jìn)入一臺(tái)主機(jī)了。但你可以采取一些方法來(lái)保證RAS 服務(wù)器的安全。
你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶(hù)如何使用RAS。如果遠(yuǎn)程用戶(hù)經(jīng)常是從家里或是類(lèi)似的不太變動(dòng)的地方呼叫主機(jī),我建議你使用回叫功能,它允許遠(yuǎn)程用戶(hù)登錄以后切斷連接。然后RAS 服務(wù)器撥通一個(gè)預(yù)先定義的電話(huà)號(hào)碼再次接通用戶(hù)。因?yàn)檫@個(gè)號(hào)碼是預(yù)先設(shè)定了的,黑客也就沒(méi)有機(jī)會(huì)設(shè)定服務(wù)器回叫的號(hào)碼了。
另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶(hù)都訪問(wèn)單一的服務(wù)器。
你可以將用戶(hù)通常訪問(wèn)的資料放置在RAS 服務(wù)器的一個(gè)特殊的共享點(diǎn)上。你于是可以將遠(yuǎn)程用戶(hù)的訪問(wèn)限制在一臺(tái)服務(wù)器上,而不是整個(gè)網(wǎng)絡(luò)。這樣,即使黑客通過(guò)破壞手段來(lái)進(jìn)入主機(jī),那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上,在這里,他們?cè)斐傻钠茐谋粶p少到了最小。
最后還有一個(gè)技巧就是在你的RAS 服務(wù)器上使用出人意料的協(xié)議。我們知道的每一個(gè)人都使用TCP/IP 協(xié)議作為RAS 協(xié)議。考慮到TCP/IP 協(xié)議本身的性質(zhì)和典型的用途,這看起來(lái)像是一個(gè)合理的選擇。但是,RAS 還支持IPX/SPX 和NetBEUI 協(xié)議。如果你使用NetBEUI作為你RAS 的協(xié)議,你確實(shí)可以迷惑一些不加提防的黑客。
三、構(gòu)建安全的工作站
由于工作站正是通向服務(wù)器的一個(gè)埠,加強(qiáng)工作站的安全能夠提高整個(gè)網(wǎng)絡(luò)的安全性。對(duì)于入門(mén)者,我建議在所有的工作站上使用Windows 2000。Windows 2000 是一個(gè)非常安全的操作系統(tǒng)。如果你并不想這樣做,那么至少使用WindowsNT。你可以鎖定工作站,使得一些沒(méi)有安全訪問(wèn)權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能另一個(gè)技術(shù)是控制哪個(gè)人能夠訪問(wèn)哪臺(tái)工作站。例如,有一個(gè)員工,你已經(jīng)知道他是一個(gè)麻煩制造者,因此你應(yīng)該使用工作組用戶(hù)管
理程序還修改他的帳號(hào)以便他只能
從他自己的計(jì)算機(jī)(并且是在你指定的時(shí)間內(nèi)) 登錄。這樣他就不太如何做好服務(wù)器安全維護(hù)可能從他自己的計(jì)算機(jī)上攻擊網(wǎng)絡(luò),因?yàn)樗绖e人可以將他追查出來(lái)。
另一個(gè)技術(shù)是將工作站的功能限定為一個(gè)啞終端,它的意思是沒(méi)有任何資料和應(yīng)用程序駐留在獨(dú)立的工作站上。當(dāng)你將計(jì)算機(jī)作為啞終端使用的時(shí)候,服務(wù)器被配置成運(yùn)行Windows NT 終端服務(wù)程序,而且所有的應(yīng)用程序物理上都運(yùn)行在服務(wù)器上。所有送到工作站的東西都不過(guò)是更新的屏幕顯示而已。
這意味著工作站上只有一個(gè)最小化的Windows 版本和一份微軟終端服務(wù)程序的客戶(hù)端。使用這種方法也許是最安全的網(wǎng)絡(luò)設(shè)計(jì)方案。使用一個(gè)「聰明的」啞終端就是說(shuō)程序和資料駐留在服務(wù)器上但卻在工作站
上運(yùn)行。所有安裝在工作站上的是一份Windows 拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo)。
當(dāng)你點(diǎn)擊一個(gè)圖標(biāo)運(yùn)行程序時(shí),這個(gè)程序?qū)⑹褂帽镜氐馁Y源來(lái)運(yùn)行,而不是消耗服務(wù)器的資源。這比你運(yùn)行一個(gè)完全的啞終端程序?qū)Ψ?wù)器造成的壓力要小得多。
四、下載安裝最新的安全漏洞補(bǔ)救程序
微軟有一個(gè)程序員團(tuán)隊(duì)來(lái)檢查安全漏洞并修補(bǔ)它們。有時(shí),這些補(bǔ)救程序被捆綁進(jìn)一個(gè)大的套裝軟件并作為服務(wù)包( service pack)發(fā)布。通常有兩種不同的補(bǔ)救程序版本:一個(gè)任何人都可以使用的40 位的版本和一個(gè)只能在美國(guó)和加拿大使用的128 位的版本??偟恼f(shuō)來(lái)128 位的版本使用128 位的加密算法,比40 位的版本要安全得多。有時(shí)一個(gè)服務(wù)包的發(fā)布也許要等上好幾個(gè)月-很明顯的,當(dāng)一個(gè)大的安全漏洞被發(fā)現(xiàn)的時(shí)候,只要有可能修補(bǔ)它,你就想再等下去。好在你并不需要等待。微軟定期將重要的補(bǔ)救程序程序發(fā)布在它的FTP 站點(diǎn)上。
這些熱點(diǎn)補(bǔ)救程序程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補(bǔ)程序。我建議你經(jīng)常查看熱點(diǎn)補(bǔ)救程序。記住你一定要按邏輯順序使用這些補(bǔ)救程序。如果你以錯(cuò)誤的順序使用它們,結(jié)果可能導(dǎo)致一些文件的版本錯(cuò)誤,Windows 也可能停止工作。
五、建立嚴(yán)格的用戶(hù)權(quán)限如果你使用Windows 2000Server,你就有可能指定用戶(hù)特殊的使用權(quán)限來(lái)使用你的服務(wù)器而不需要交出管理員的控制權(quán)。一個(gè)好的用法就是授權(quán)人力資源部來(lái)刪除和禁用一個(gè)帳號(hào)。這樣,人力資源部就可以在一個(gè)行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶(hù)帳號(hào)。這樣,不滿(mǎn)的員工就不會(huì)有機(jī)會(huì)來(lái)攪亂公司的系統(tǒng)了。同時(shí),使用特殊用戶(hù)權(quán)限,你就可以授予這種刪除和禁用帳號(hào)權(quán)限并限制創(chuàng)建用戶(hù)或是更改許可等這些活動(dòng)的權(quán)限了。
六、安裝入侵偵測(cè)及報(bào)警系統(tǒng)隨著網(wǎng)絡(luò)經(jīng)濟(jì)的持續(xù)發(fā)展,電子商務(wù)觀念也得到大多數(shù)人的認(rèn)同之際,隨之也帶來(lái)了如何保護(hù)企業(yè)、客戶(hù)交易資料不被竊取等相關(guān)問(wèn)題。
一般對(duì)于信息竊取可以分為兩種:一種是所謂偷取智能財(cái)產(chǎn);而另一種則是所謂產(chǎn)業(yè)諜報(bào)活動(dòng)。而程序設(shè)計(jì)師更是可以憑借編寫(xiě)程序的便利,在開(kāi)發(fā)應(yīng)用軟件時(shí)預(yù)留暗門(mén),在使用這套軟件的企業(yè)在未察覺(jué)的狀態(tài)之下,其就能不知不覺(jué)將公司重要信息全部竊取。因此簡(jiǎn)單的說(shuō),一個(gè)企業(yè)如果缺乏適當(dāng)?shù)木X(jué)性是絕對(duì)會(huì)替公司帶來(lái)巨大的經(jīng)濟(jì)及信息資源上的損失。
應(yīng)對(duì)方法是安裝非法入侵的偵測(cè)系統(tǒng),它可以補(bǔ)足目前防火墻的功能,使兩者達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即的攔截動(dòng)作以及分析過(guò)濾封包和內(nèi)容的動(dòng)作,當(dāng)竊取者入侵時(shí)便可以立刻有效終止。
入侵偵測(cè)以及報(bào)警系統(tǒng)提供了企業(yè)防御保護(hù)的另一道防線,這些相關(guān)防護(hù)措施的應(yīng)用可以完全做到在面臨攻擊、或者是信息遭濫用時(shí)立即做出多樣性適當(dāng)?shù)膱?bào)警,這其中包括有警告系統(tǒng)管理人員、立即偵測(cè)記錄下攻擊的行為以利作為未來(lái)起訴告發(fā)之證據(jù),或者說(shuō)就只是簡(jiǎn)單的終止黑客的網(wǎng)絡(luò)聯(lián)機(jī)。總而言之,運(yùn)用的完善安全支持決策可以幫助企業(yè)管理由于擴(kuò)展企業(yè)組織時(shí)科技所帶來(lái)產(chǎn)生的大量數(shù)據(jù)資料。
七、定期檢查服務(wù)器的防火墻
最后一個(gè)方法是要定期仔細(xì)檢查你防火墻的設(shè)置。你的防火墻是網(wǎng)絡(luò)的一個(gè)重要部分因?yàn)樗鼘⒛愎?/span>司的計(jì)算機(jī)同互聯(lián)網(wǎng)上那些可能對(duì)它們?cè)斐蓳p壞的黑客隔離開(kāi)來(lái)。
你首先要做的事情是確保防火墻不會(huì)向外界開(kāi)放超過(guò)必要的任何IP 地址。你總是至少要讓一個(gè)IP 地
址對(duì)外界可見(jiàn)。這個(gè)IP 地址被使用來(lái)進(jìn)行所有的互聯(lián)網(wǎng)通訊。如果你還有DNS 注冊(cè)的Web 服務(wù)器或是電子郵件服務(wù)器,它們的IP 地址也許也要通過(guò)防火墻對(duì)外界可見(jiàn)。但是,工作站和其他服務(wù)器的IP 地址必須被隱藏起來(lái)。
你還可以查看埠列表驗(yàn)證你已經(jīng)關(guān)閉了所有你并不常用的端口地址。例如,TCP/IP 端口80 用于HTTP 通訊,因此你可能并不想堵掉這個(gè)埠。但是,你也許永遠(yuǎn)都不會(huì)用埠81 因此它應(yīng)該被關(guān)掉。你可以在互聯(lián)網(wǎng)上找到每個(gè)埠使用用途的列表。
總結(jié)
電子商務(wù)提供了一個(gè)比以往更為便利的網(wǎng)絡(luò)交易環(huán)境給所有的網(wǎng)絡(luò)使用者,在使用大量的Web 站臺(tái)、提供了珍貴的公司信息、關(guān)鍵任務(wù)的商業(yè)應(yīng)用程序與消費(fèi)者私有的信息,服務(wù)器的安全問(wèn)題日漸成為一個(gè)大問(wèn)題,你不希望緊要的資料被病毒或是黑客破壞或是被一個(gè)可能用這些資料來(lái)對(duì)付你的人竊取。
為了能夠在這個(gè)競(jìng)爭(zhēng)激烈又處處布滿(mǎn)危機(jī)的環(huán)境中獲得成功,企業(yè)組織必須在使用者存取其資源的同時(shí)也必須保護(hù)其針對(duì)的資產(chǎn),并確保其消費(fèi)者私有信息的安全。
企業(yè)經(jīng)營(yíng)管理人員應(yīng)該選擇能夠解決上述問(wèn)題,并針對(duì)各種的電子商務(wù)作業(yè)環(huán)境提供端點(diǎn)對(duì)端點(diǎn)的安全基礎(chǔ)架構(gòu)的解決方案。另外,在選購(gòu)這類(lèi)產(chǎn)品時(shí)也應(yīng)該考慮其整合性與支持性,除了能夠提供這類(lèi)入侵監(jiān)測(cè)與防治的產(chǎn)品外,也應(yīng)該能讓防火墻與計(jì)算機(jī)病毒防治的軟件整合在一起,并可以定期提供病毒碼與入侵攻擊模式數(shù)據(jù)庫(kù)的更新,在面對(duì)互聯(lián)網(wǎng)絡(luò)科技日新月異之際,也能提供完整的企業(yè)與電子商務(wù)系統(tǒng)的信息安全防護(hù)。
DNS 是整個(gè)互聯(lián)網(wǎng)的基礎(chǔ),無(wú)論是個(gè)人還是大小互聯(lián)網(wǎng)公司,都可能因?yàn)镈NS 被惡意篡改而蒙受損失。惡意DNS 的影響太大,除了對(duì)安全造成巨大隱患還會(huì)降低用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源的速度,因而連一向忍耐力超強(qiáng)的電信運(yùn)營(yíng)商都無(wú)法容忍伸向DNS 的黑手,第一次因此而大范圍啟用了BGP 牽引。
BGP 牽引的實(shí)質(zhì)為電信運(yùn)營(yíng)商廣播出長(zhǎng)掩碼高優(yōu)先級(jí)路由,表現(xiàn)為直接奪取黑客的公網(wǎng)IP 地址,無(wú)論黑客的設(shè)備躲在全球任何角落都奏效(對(duì)付固定IP 做惡的能力,如果將安全廠商的軟件比作常規(guī)武器,電信運(yùn)營(yíng)商的BGP 牽引就如同核武),但BGP 牽引這招的威力過(guò)大、搞不好容易產(chǎn)生后遺癥,因而僅能在自身的網(wǎng)絡(luò)范圍內(nèi)謹(jǐn)慎使用。
黑客利用大部分人不修改家用寬帶路由器默認(rèn)用戶(hù)名密碼這一疏忽,引誘人們?nèi)g覽其控制的WEB 網(wǎng)頁(yè)從而修改了幾百萬(wàn)個(gè)家用寬帶路由器的DNS,靠DHCP 協(xié)議從家用寬帶路由器自動(dòng)獲取DNS 的PC 及通過(guò)WiFi 上網(wǎng)的手機(jī),長(zhǎng)期使用黑客的DNS,沒(méi)有任何網(wǎng)絡(luò)安全可言,如下圖所示:
114DNS 為電信運(yùn)營(yíng)商搭建了專(zhuān)門(mén)的BGP-DNS 系統(tǒng),該BGP-DNS 系統(tǒng)可直接向電信骨干路由器注入32 位掩碼的高優(yōu)先級(jí)BGP 路由,電信運(yùn)營(yíng)商核心路由器接受該BGP 路由并在自身的網(wǎng)絡(luò)內(nèi)進(jìn)行受限廣播。例如某惡意DNS的IP 地址為某國(guó)IP_A,BGP-DNS廣播出IP_A 的32 位掩碼BGP 路由之后,原本流向惡意DNS 的流量被將會(huì)被BGP-DNS“吸過(guò)去”,在阿里、百度、騰訊等公司的授權(quán)下,BGP-DNS 系統(tǒng)將訪問(wèn)量較大的網(wǎng)頁(yè)主機(jī)名如www. taobao. com、www.tmall . com、www.baidu. com、user.qzone.qq.com 解析成特別的IP
地址,阿里、百度、騰訊各自為此架設(shè)了專(zhuān)門(mén)的警示W(wǎng)EB 服務(wù)器。
DNS 被惡意篡改過(guò)的用戶(hù),例如DNS 被篡改為IP_A 的用戶(hù)去訪問(wèn)www. taobao. com 時(shí),無(wú)法再看
到淘寶的正常網(wǎng)頁(yè)、卻看到了淘寶的警示網(wǎng)頁(yè)如下圖,用戶(hù)可按警示頁(yè)面的引導(dǎo)修復(fù)其家用寬帶路由器的DNS。目前,DNS 被惡意篡改
過(guò)的大部分中國(guó)電信用戶(hù),只有修復(fù)其路由器的DNS 并重啟PC 之后,才能去淘寶購(gòu)物,迫使用戶(hù)提升網(wǎng)絡(luò)安全,同時(shí)也改善用戶(hù)訪問(wèn)
網(wǎng)絡(luò)資源的速度(因惡意DNS 對(duì)CDN 也很不友好)。
為避免DNS 再次被黑客篡改,一定要修改家用寬帶路由器的默認(rèn)用戶(hù)名和密碼,否則就算現(xiàn)在修復(fù)了,DNS 還是很可能再次被黑客篡改。
建議DNS 還沒(méi)有被篡改的人,抓緊時(shí)間去修改家用寬帶路由器的默認(rèn)用戶(hù)名和密碼。從目前電信運(yùn)營(yíng)商的BGP-DNS 流量來(lái)看,晚高峰黑客曾承載高達(dá)每秒10 萬(wàn)次的DNS 請(qǐng)求,這個(gè)量太大了,希望大家謹(jǐn)慎。