信息安全技術(shù)課程設(shè)計(jì)

1、韋9ChengduTechnologicalUniversity信息安全技術(shù)課程設(shè)計(jì)題目：高校系統(tǒng)安全設(shè)計(jì)專業(yè)：網(wǎng)絡(luò)工程姓名：魏奎.王凌云班級(jí)：1305021學(xué)號(hào)：2833指導(dǎo)老師：宋車梅老師XX高校是我省省屬重點(diǎn)大學(xué)。該校擁有已開通信息點(diǎn)1萬多個(gè)，上網(wǎng)電腦一萬多臺(tái)，校園網(wǎng)師生用戶群多達(dá)2萬余人。校園網(wǎng)已經(jīng)成為全校師生員工日常學(xué)習(xí)、工作中不可或缺的重要信息平臺(tái)。XX高校的網(wǎng)絡(luò)結(jié)構(gòu)分為核心、匯聚和接入3個(gè)層次，網(wǎng)絡(luò)類型分為教學(xué)子網(wǎng)、辦公子網(wǎng)、學(xué)生宿舍子網(wǎng)。接入方式包括撥號(hào)上網(wǎng)、寬帶接入、無線上聯(lián)等各種形式。校園網(wǎng)雙出口結(jié)構(gòu)，可以通過ChinaNet,也可以通過CERNET進(jìn)入互聯(lián)網(wǎng)。學(xué)校有16個(gè)

2、C的教育網(wǎng)IP地址和8個(gè)ChinaNet的IP地址。校園網(wǎng)資源建設(shè)成效顯著，現(xiàn)有資源服務(wù)包括大學(xué)門戶網(wǎng)站、新聞網(wǎng)站、各學(xué)院和職能部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務(wù)、電子校務(wù)、畢博輔助教學(xué)平臺(tái)、在線電視、VOD點(diǎn)播、音樂欣賞、公用FTP、文檔下載、軟件下載、知識(shí)園地、站點(diǎn)導(dǎo)航、在線幫助、系統(tǒng)補(bǔ)丁、網(wǎng)絡(luò)安全、個(gè)人主頁、計(jì)費(fèi)服務(wù)、VPN、DHCP、域名服務(wù)等。還有外語學(xué)習(xí)平臺(tái)，圖書館豐富的電子圖書資源，教務(wù)處的學(xué)分制教學(xué)信息服務(wù)網(wǎng)、科技處的科研管理平臺(tái)等。眾多的資源服務(wù)構(gòu)成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務(wù)。二、網(wǎng)絡(luò)安全需求分析將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系

3、統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。通過入侵檢測等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。通過對校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：1 .公開服務(wù)器的安全保護(hù)2

4、 .防止黑客從外部攻擊3 .入侵檢測與監(jiān)控4 .信息審計(jì)與記錄5 .病毒防護(hù)6 .數(shù)據(jù)安全保護(hù)7 .數(shù)據(jù)備份與恢復(fù)8 .網(wǎng)絡(luò)的安全管理針對校內(nèi)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：1 .大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；2 .保持網(wǎng)絡(luò)原有的能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；3 .易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；4 .盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；5 .安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期使用；6 .安全產(chǎn)品具有合法性，及經(jīng)過國家有

5、關(guān)管理部門的認(rèn)可或認(rèn)證；7 .分布實(shí)施。三、網(wǎng)絡(luò)體系架構(gòu)要建立一套全面的信息安全系統(tǒng)，就要從自身的應(yīng)用狀況分析，分析可能存在安全漏洞，從重要性、緊迫性出發(fā)，逐一提供建設(shè)參考。1 .區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對外接口（互聯(lián)網(wǎng)接口、上級(jí)門、下級(jí)單位、同級(jí)部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻實(shí)現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗(yàn)證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護(hù)檢測訪問者的訪問行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進(jìn)行加密，可以

6、通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。目前，大部分防火墻的功能差異并不太大，性能成為選擇防火墻的主要指標(biāo)，市場上的防火墻根據(jù)架構(gòu)的不同，可分為三大類：ASIC芯片、NP架構(gòu)、彳統(tǒng)的X86架構(gòu)，ASIC芯片級(jí)的防火墻把大部分處理通過芯片來完成，不再占用CPU資源，具有更好的處理性能。2 .建立多層次、全方面的防病毒系統(tǒng)1）根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng)2）根據(jù)病毒傳播的途徑，在網(wǎng)關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù)3）在內(nèi)部交換層，通過硬件的網(wǎng)絡(luò)防毒墻對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲、惡意攻擊

7、行為的防護(hù)，保護(hù)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定與暢通。3 .加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個(gè)網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來自外部和內(nèi)部的攻擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。重點(diǎn)加強(qiáng)核心系統(tǒng)的安全防護(hù)；對操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁；為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并對交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。同時(shí)，把安裝重要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行雙機(jī)熱備所有數(shù)據(jù)通過磁盤陣列或磁帶機(jī)進(jìn)行存儲(chǔ)、備份。對于網(wǎng)立系統(tǒng)，可以通過主頁防篡改系統(tǒng)、防DOS攻擊系統(tǒng)加強(qiáng)對網(wǎng)站的防護(hù)。4 .加強(qiáng)數(shù)據(jù)備份數(shù)據(jù)資源是一個(gè)單位的最為重要資源，

8、一但數(shù)據(jù)丟失所造成的損失是無法彌補(bǔ)的.因此必須加對數(shù)據(jù)的保存和備份?，F(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過磁盤陣列來完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。一般情況，可以通過磁帶機(jī)對磁盤陣列的數(shù)據(jù)進(jìn)行再次備份；也可以通過另一臺(tái)磁盤陣列進(jìn)行數(shù)據(jù)的相互備份。通過專用的備份軟件實(shí)現(xiàn)對數(shù)據(jù)庫、文件資源、應(yīng)用系統(tǒng)及整個(gè)的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份，并提供相應(yīng)用恢復(fù)方案。5 .加強(qiáng)應(yīng)用系統(tǒng)的安全防護(hù)對于擁有獨(dú)立郵件系統(tǒng)的網(wǎng)絡(luò)需要加強(qiáng)垃圾郵件的過濾。對于應(yīng)用系統(tǒng)必須加強(qiáng)用戶身份認(rèn)證，通過身份認(rèn)證控制用戶的使用權(quán)限。身份認(rèn)證可以通過應(yīng)用系統(tǒng)中的用戶管理系統(tǒng)實(shí)現(xiàn)，也可以通過專業(yè)的身份認(rèn)證系統(tǒng)，考慮到終端用戶對帳號(hào)、密碼

9、的管理能力較差，建議可采用第三方生物識(shí)別設(shè)備實(shí)現(xiàn)終端用戶的帳號(hào)、密碼的管理。6 .加強(qiáng)網(wǎng)絡(luò)管理信息系統(tǒng)的安全只靠以上的安全設(shè)備是不能解決問題的，三分技術(shù)七分管理，必須加強(qiáng)對信息系統(tǒng)設(shè)備的管理以及用戶應(yīng)用的管理?？梢酝ㄟ^網(wǎng)絡(luò)管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運(yùn)行狀況一目了然。網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具備和實(shí)現(xiàn)：1）獲取全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，在網(wǎng)絡(luò)線路、基礎(chǔ)聯(lián)接層面了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況。2）監(jiān)控路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，監(jiān)測控制網(wǎng)絡(luò)流量，及時(shí)提供報(bào)警，并能方便的對網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)配置和管理。3）監(jiān)控服務(wù)器、主機(jī)、磁盤陣列的運(yùn)行狀況、網(wǎng)絡(luò)流量、資源占用等，及時(shí)提供報(bào)警，并能方便的

10、對主機(jī)設(shè)備進(jìn)行配置和管理。4）監(jiān)控應(yīng)用系統(tǒng)的運(yùn)行狀況，對用戶進(jìn)行訪問控制、記錄訪問及操作日志。5）管理網(wǎng)絡(luò)中的所有終端設(shè)資源，方便進(jìn)行遠(yuǎn)程的管理和操作控制。6）監(jiān)測及控制終端用戶對電腦軟硬件資源的使用、應(yīng)用程序的使用、上網(wǎng)行為等操作行為。7）實(shí)現(xiàn)系統(tǒng)補(bǔ)丁管理、補(bǔ)丁分發(fā)，對操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)的補(bǔ)丁更新。8）限制不安全的設(shè)備的接入。以上為網(wǎng)絡(luò)管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時(shí)，作為重要的參考依據(jù)。7 .漏洞掃描、安全評(píng)估僅管如上所述，我們己經(jīng)采取了眾多的安全措施，但是，我們的信息系統(tǒng)是一個(gè)不斷建設(shè)完善的系統(tǒng)，在系統(tǒng)的不斷建設(shè)過程，仍然會(huì)出現(xiàn)一些新的安全漏洞，安全系統(tǒng)的是否部

11、署到位，我們的信息系統(tǒng)是否仍然存在安全隱患，作為信息系統(tǒng)的管理人員仍然需要進(jìn)行定期的安全檢查。漏洞掃描系統(tǒng)就是檢查信息系統(tǒng)是否存在安全隱患的最佳工具，我們可以通過專用的漏洞掃描系統(tǒng)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)終端進(jìn)行全面的檢測，通過模擬黑客的進(jìn)攻方法，對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險(xiǎn)評(píng)估報(bào)告，并提供相應(yīng)的整改措施。找出網(wǎng)絡(luò)中存在的漏洞，防患于未然。8 .安全管理及培訓(xùn)1）制定并實(shí)施信息安全制度2）加強(qiáng)網(wǎng)絡(luò)安全意識(shí)的教育和培養(yǎng)3）加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)4）定期進(jìn)行終端安全產(chǎn)品的應(yīng)用操作指導(dǎo)四、網(wǎng)絡(luò)安全體系架構(gòu)1.2 .操作系統(tǒng)安全配置與測試應(yīng)用服務(wù)器（WWW）安全配置操作

12、系統(tǒng)采用server03,并在其上配置IIS、WWW、DHCP、DNS等?？梢酝ㄟ^IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號(hào)燈多種方法來提高WWW服務(wù)器的安全性。通過局域網(wǎng)網(wǎng)內(nèi)不同主機(jī)對服務(wù)器的訪問來測試配置情況。3 .防病毒體系設(shè)計(jì)防病毒系統(tǒng)不僅是檢測和清除病毒，還應(yīng)加強(qiáng)對病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無毒，首先

13、要保證每一個(gè)局域網(wǎng)的安全無毒。也就是說，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的病毒防護(hù)體系。4 .防火墻設(shè)計(jì)、配置與測試網(wǎng)絡(luò)建成后，為保證整個(gè)網(wǎng)絡(luò)正常地運(yùn)行、防止計(jì)算機(jī)病毒對網(wǎng)絡(luò)的侵害、防止黑客”入侵就變得尤其重要。主要表現(xiàn)在以下幾方面：身份認(rèn)證、訪問授權(quán)、數(shù)據(jù)保密、數(shù)據(jù)完整、審計(jì)記錄、防病毒入侵。網(wǎng)絡(luò)安全是有層次的，在不同層次，安全的著重點(diǎn)也不同，大致歸納起來可將網(wǎng)絡(luò)安全劃分成兩個(gè)層次：網(wǎng)絡(luò)層安全和應(yīng)用

14、層安全。因此，此次設(shè)計(jì)選用CiscosecurePIX防火墻。CiscoSecurePIX防火墻是Cisco防火墻家族中的專用防火墻設(shè)施，是防火墻市場中的領(lǐng)先產(chǎn)品，CiscoSecurePIX防火墻可提供強(qiáng)大的安全，且不影響網(wǎng)絡(luò)性能。它可提供全面的防火墻保護(hù)，對外部世界完全隱藏了內(nèi)部網(wǎng)體系結(jié)構(gòu)。通過CiscoSecurePIX防火墻可以建立使用IPSec標(biāo)準(zhǔn)的虛擬專網(wǎng)VPN連接。CiscoSecurePIX防火墻加強(qiáng)了內(nèi)部網(wǎng)、外部網(wǎng)鏈路和Internet之間的安全訪問。五、安全產(chǎn)品選型1 .產(chǎn)品選型該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機(jī)RG-S5750S系列，24端口10/100/1000M自適

15、應(yīng)端口（支持PoE遠(yuǎn)程供電），12個(gè)復(fù)用的SFP接口，2個(gè)擴(kuò)展槽。支持4K個(gè)802.1QVLAN、支持SuperVLAN、支持ProtocolVLAN、支持PrivateVLAN、支持VoiceVLAN（*）、支持基于MAC地址的VLAN（*）、支持QinQ、支持STP、RSTP、MSTP。防火墻采用深信服M5400VPN防火墻。2個(gè)LAN口，4個(gè)WAN口，2個(gè)串口。IPSecVPN隧道數(shù)：5200條/并發(fā)SSL用戶數(shù)：800/每秒新建用戶數(shù)：80/每秒新建會(huì)話數(shù)：500/最大并發(fā)會(huì)話數(shù)目：600,000。接入層采用H3cS1048交換機(jī)，提供48個(gè)符合IEEE802.3u標(biāo)準(zhǔn)的10/100M

16、自適應(yīng)以太網(wǎng)接口，所有端口均支持全線速無阻塞交換以及端口自動(dòng)翻轉(zhuǎn)功能，外形采用19英寸標(biāo)準(zhǔn)機(jī)架設(shè)計(jì)。符合IEEE802.3、IEEE802.3u和IEEE802.3x標(biāo)準(zhǔn)；提供48個(gè)10/100M自適應(yīng)以太網(wǎng)端口；每個(gè)端口都支持Auto-MDI/MDIX功能；每個(gè)端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。2 .網(wǎng)絡(luò)拓?fù)鋱D六、安全策略制定1 .操作系統(tǒng)安全配置與應(yīng)用服務(wù)器（WWW）安全配置操作系統(tǒng)采用server03,并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：然后建立網(wǎng)站文件夾目錄：性能與目錄安全性配置：2.防病毒體系設(shè)計(jì)防病毒系統(tǒng)不僅是檢測和清除病毒

17、，還應(yīng)加強(qiáng)對病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無毒，首先要保證每一個(gè)局域網(wǎng)的安全無毒。也就是說，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的

18、病毒防護(hù)體系。1）構(gòu)建控管中心集中管理架構(gòu)2）構(gòu)建全方位、多層次的防毒體系3）構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)4）構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)5）構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系6）病毒防護(hù)能力7）系統(tǒng)服務(wù)8）資源占用率9）系統(tǒng)兼容性10）病毒庫組件升級(jí)11）軟件商的企業(yè)實(shí)力七、產(chǎn)品配置1.操作系統(tǒng)的安全配置和測試1）物理安全設(shè)備的無人監(jiān)控，加鎖，防潮2）停止Guest帳號(hào)3）限制用戶數(shù)量對于WindowsNT/2000主機(jī)，如果系統(tǒng)帳戶超過10個(gè)4）多個(gè)管理員帳號(hào)創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來處理電子郵件以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候使用5）管理員帳

19、號(hào)改名6）陷阱帳號(hào)創(chuàng)建一個(gè)名為Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種,并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼7）更改默認(rèn)權(quán)限共享文件的權(quán)限從Everyone”組改成授權(quán)用戶8）安全密碼要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。9）屏幕保護(hù)密碼10）NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。11）防毒軟件設(shè)置了放毒軟件，黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級(jí)病毒庫。12）備份盤的安全不能把資料備份在同一臺(tái)服務(wù)器上，這樣的話還不如不要備份2.服務(wù)器系

20、統(tǒng)的漏洞掃描和測試1）機(jī)器有些用戶沒有密碼，有些用戶有些簡單的密碼2）不是所有的硬盤都是用的NTFS文件系統(tǒng)3）設(shè)置匿名登錄的最大數(shù)量和權(quán)限4）沒有設(shè)置自動(dòng)更新5）沒有設(shè)置用戶登錄密碼的過期時(shí)間6） LLS的鎖定工具沒在機(jī)器上運(yùn)行7） 一些LLS的實(shí)例應(yīng)用程序安裝在機(jī)器上了8）父路徑在一些網(wǎng)站或虛擬目錄被啟用9） MSADC,SCrits虛擬目錄在一個(gè)或更多的網(wǎng)站下面10） Internetexplorer對用戶沒有安全的設(shè)置3 .惡意代碼的防范系統(tǒng)設(shè)計(jì)1）裝一款技術(shù)比較先進(jìn)和成熟的查毒軟件，并自動(dòng)升級(jí)，系統(tǒng)要打最新的補(bǔ)丁。2）系統(tǒng)是人開發(fā)的，任何系統(tǒng)都存在漏洞，所以要做好數(shù)據(jù)的備份，這里我們

21、選擇差分備份，一旦機(jī)器中了病毒和木馬，可以在很短的時(shí)間內(nèi)回復(fù)。3）在交換機(jī)上配置ACLDeny一些惡意代碼常用的端口:Ipaccess-listexten100access-list100denytcpanyanyeq135access-list100denytcpanyanyeq136access-list100denytcpanyanyeq139access-list100denytcpanyanyeq445access-list100denytcpanyanyeq4444access-list100denyudpanyanyeq135access-list100denyudpanyanyeq136access-list100denyudpanyanyeq445access-list100denyudpanyanyeq4444access-list100denyudpanyanyeqnetbios-ssaccess-list100denyudpanyanyeqnetbios-nsaccess-list100denyudpanyanyeqnetbios-dgmaccess-list100permitipanyanyinterf0/124ipaccess-group100in4 .防火墻的配置NAT,dhcp