摘 要 詳細分析了管理信息系統(tǒng)常見的系統(tǒng)安全問題，針對性地提出解決方案和應注意的事項。

關鍵詞 系統(tǒng) 安全 維護

概述

隨著公司及下屬各單位的局域網(wǎng)和互聯(lián)網(wǎng)絡的深入應用，網(wǎng)絡不斷地擴展和日趨復雜，系統(tǒng)安全問題愈來愈突出。安全問題能導致信息系統(tǒng)的癱瘓、重要數(shù)據(jù)的丟失，使我們的業(yè)務停頓，管理陷入混亂，最終結果是給企業(yè)造成嚴重的經(jīng)濟損失。因此信息系統(tǒng)的安全問題，已經(jīng)與企業(yè)的生存能力息息相關，了解系統(tǒng)面臨的各種威脅，防范和消除這些威脅，實現(xiàn)真正的系統(tǒng)安全己經(jīng)成了信息技術發(fā)展中最重要的事情。本文針對公司本部 MIS 安全防范的管理經(jīng)驗，談談如何改善和解決系統(tǒng)的安全問題，希望起到拋磚引玉的作用，引起同行對系統(tǒng)安全管理的重視。

1從基本做起

對于中小型網(wǎng)絡來說系統(tǒng)管理員一般承擔安全管理員的角色。系統(tǒng)管理員采取的安全策略，最重要的是保證服務器的安全和分配好各類用戶的權限。一般情況下，需要注意以下一些方面。

2.1系統(tǒng)管理員必須了解整個網(wǎng)絡中的重要公共數(shù)據(jù)（限制寫）和機密數(shù)據(jù)（限制讀）分別是哪些，它在哪兒，哪些人使用，屬于哪些人，丟失或泄密會造成怎樣的損失。這些重要數(shù)據(jù)應集中放在中心機房的服務器上，置于有安全經(jīng)驗的專人管理之下。同時定期對各類用戶進行安全培訓。

2.2服務器上所有的卷全部使用NTFS，使用最新的Service P k升級你的Nt和200操作系統(tǒng)。取消服務器上不用的服務和協(xié)議種類，網(wǎng)絡上的服務和協(xié)議越多安全性越差。

2.3不要將服務器的操作系統(tǒng)設置為自動登錄，應使用 NT Security對話框（Ctrl＋Alt＋Del）注冊 。修改默認的“Administrator”用戶名，加上“強口令”（多于10個字符且必須包括數(shù)字和符號），最好再創(chuàng)建一個具有“強口令”的管理員特權的賬號，使網(wǎng)絡管理員賬號不易被攻破。平時管理員賬號僅用于系統(tǒng)管理，不要在任何客戶機上使用管理員賬號，對屬于Administrator組和備份組的成員用戶要特別慎重。

2.4限制可以登錄到有敏感數(shù)據(jù)的服務器的用戶數(shù)，這樣在出現(xiàn)問題時可以縮小懷疑范圍。通過系統(tǒng)策略編輯器”可以進一步控制一般用戶或組在windowsgx客戶機上的行為。限制Goest賬號的權限，最好不允許使用Guest賬號。不要在Everyone組增加任何權限，因為Guest也屬于該組。

2.5一般不直接給用戶賦權，而通過用戶組分配用戶權限。新增用戶時分配一個口令，并控制用戶“首次登錄必須更改口令”，最好進一步設置成口令的不低于6個字符，杜絕安全漏洞。至少對用戶“登錄和注銷”網(wǎng)絡、“重新啟動、關機”、“安全規(guī)則更改”活動進行審計，但不要忘了過多的審計將影響系統(tǒng)性能。

2.6利用網(wǎng)管軟件管理好網(wǎng)絡設備，及時修改網(wǎng)絡設備默認的系統(tǒng)管理口令（大部分網(wǎng)絡設備都沒有設置系統(tǒng)管理的口令）有條件的單位可以配置功能較強的網(wǎng)管軟件，主要包含網(wǎng)絡構成管理、網(wǎng)絡故障管理、網(wǎng)絡性能管理、網(wǎng)絡安全管理等功能。

2.6.1網(wǎng)絡構成管理

自動發(fā)現(xiàn)網(wǎng)絡節(jié)點

自動生成管理網(wǎng)絡圖

對象化管理

TP地址資源管理

2.6.2網(wǎng)絡故障管理

設定監(jiān)控方式

報告網(wǎng)絡故障

故障自動通知

面板管理和定制

2.6.3網(wǎng)絡性能管理

測定通信量

統(tǒng)計分析通信狀況

系統(tǒng)性能監(jiān)視預警

2.6.4網(wǎng)絡安全管理

形成網(wǎng)絡管理操作日志

判斷IP的合法使用

管理權限控制

3、做好數(shù)據(jù)備份

管理信息系統(tǒng)的服務器擔負著企業(yè)的關鍵應用，存儲著企業(yè)最為重要的信息和數(shù)據(jù)，為領導和決策部門提供綜合信息查詢的服務，為網(wǎng)絡環(huán)境下的大量客戶機提供快速高效的信息查詢、數(shù)據(jù)處理和INTERNET的各項服務。為保護關鍵應用數(shù)據(jù)的安全，在發(fā)生人為或自然災難的情況下，保證數(shù)據(jù)不丟失，必須建立可靠的網(wǎng)絡備份系統(tǒng)。

3.1完整的數(shù)據(jù)備份系統(tǒng)必須考慮以下幾點

計算機網(wǎng)絡數(shù)據(jù)備份的自動化，以減少系統(tǒng)管理員的工作量。

使數(shù)據(jù)備份工作制度化，科學化。

對介質(zhì)管理的有效化，防止讀寫操作的錯誤。

對數(shù)據(jù)形成分門別類的介質(zhì)存儲，使數(shù)據(jù)的保存更細致、科學。

自動介質(zhì)的清洗輪轉，提高介質(zhì)的安全性和使用壽命。

以備份服務器形成備份中心，對各種平臺的應用系統(tǒng)及其他信息數(shù)據(jù)進行集中的備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理，集中管理的特點。

維護人員可以容易地恢復損壞的整個文件系統(tǒng)和各類數(shù)據(jù)。

備份系統(tǒng)還應考慮網(wǎng)絡帶寬對備份性能的影響，備份服務器的平臺選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴展性等因素。

3.2備份管理軟件的選擇

建設一個成功的自動備份系統(tǒng)，來承擔復雜的、多平臺的、系統(tǒng)不斷擴展的計算機網(wǎng)絡的數(shù)據(jù)備份，備份管理軟件的選擇是一個相當重要的工作。企業(yè)級備份市場目前可分為兩大塊：專有系統(tǒng)市場（ES／9000，AS／400）和開放系統(tǒng)市場（UNIX，NT）。在開放系統(tǒng)市場上，目前技術和市場的領先者是美國的VERITAS 公司、Legato公司和CA公司。對于僅需備份NT平臺的系統(tǒng)最好選擇CA公司的ARCSERER。對于跨多平臺多業(yè)務的系統(tǒng)，可以考慮選擇 VERITAS或 Legato。

3.3備份設備的選擇

常用的存儲介質(zhì)類型有：磁盤、磁帶、光盤和 M0 （磁光盤），其中，磁帶和

光盤的費效比較高，在大容量的數(shù)據(jù)存儲方面比較常用。

目前比較流行的磁帶機技術主要有5種：

DC200／TRAVAN技術。這種技術主要為 PC 機提供入門級的數(shù)據(jù)保護，適合PC或低檔的PC 服務器，在商用市場里，這種技術己逐步退出市場。

QICDC600技術。也就是數(shù)據(jù)流帶機，最早由3M 公司開發(fā)，由于磁帶體積較大，因此，帶機只有5.25英寸格式。幾個主要的研究、生產(chǎn)的廠商如 SEAGATE、TECMAR都己停止了對它的開發(fā)。只有Tandberg一家還在繼續(xù)生產(chǎn)。

8MM技術于1987 年由Exabyt 公司最先推出，這種技術在相當高的價位上提供了相對較高的容量，由于其技術開放性較差，目前其市場占有率已越來越受到新技術產(chǎn)品的挑戰(zhàn)。

DLT（DIGITAL LINER TAPE）技術。這種技術最早由DEC公司開發(fā)，由于其技術的穩(wěn)定性，非常高的備份速度，以及極大的備份容量，目前在高端服務器市場的占有率正迅速提高。DLT 驅動器的容量從10GB（壓縮20GB）到35GB（壓縮70GB）不等，國外廠商近期己推出50GB（壓縮100GB）的 DLT磁帶機，數(shù)據(jù)傳輸速度相應從1.5MB／秒到6MB／秒。

4MM技術。即 DAT（DIGITAL AUDIO TYPE）技術，最早由惠普公司和索尼公司共同開發(fā)，這種技術以螺旋掃描記錄為基礎，將數(shù)據(jù)轉化為數(shù)字后存儲下來。4MM技術由于其良好的開放性已成為業(yè)界的標準。因此得到了廣泛的應用。目前，擁有較大的市場占有率。

一般來說，DAT適合部門級網(wǎng)絡的備份，DLT則適合大型主機和網(wǎng)絡的高性能備份。

4、網(wǎng)絡防病毒

隨著網(wǎng)絡用戶數(shù)量不斷增多，內(nèi)外文件數(shù)據(jù)交換增大，數(shù)據(jù)交換渠道難以控制。在這種情況下，計算機病毒通過網(wǎng)絡傳播，甚至直接攻擊服務器，對整個網(wǎng)絡體系的安全構成了極大的威脅。因此，為杜絕病毒可能對網(wǎng)絡系統(tǒng)構成的危害，網(wǎng)絡防病毒工作必須滲透到服務器和客戶端的各個角落，才能實現(xiàn)真正的安全防護。網(wǎng)絡防病毒系統(tǒng)應該包括以下功能：

全方位的病毒防護。可以時刻監(jiān)視系統(tǒng)當中的病毒活動、系統(tǒng)狀況，時刻監(jiān)視網(wǎng)絡上硬盤、軟盤、光盤、因特網(wǎng)、網(wǎng)絡驅動器、電子郵件上的病毒傳染，在對染毒文件進行復制、移動、打開、運行、下載等操作前作出報苦提示，用戶通過選擇處理方案，可以將病毒阻止在操作系統(tǒng)外部。

定時掃描功能。允許用戶預定掃描作業(yè)，到達預定時間自動啟動，掃描所指定的服務器或工作站。用戶可以選擇非工作時間設定預掃描作業(yè)，減輕系統(tǒng)工作壓力。

集中網(wǎng)絡管理功能。能夠實現(xiàn)對系統(tǒng)中的工作站和服務器進行集中統(tǒng)一管理，可以對網(wǎng)絡中的所有NT／Windows2000服務器和工作站進行任務分配、自動下載和分發(fā)、掃描設置等日常的安全維護工作。對病毒事件進行安全審計，向系統(tǒng)管理員提供證據(jù)，用來跟蹤、追查各種可能的病毒事件。

網(wǎng)絡報警功能。擁有網(wǎng)絡報警系統(tǒng)，可以多種方式向網(wǎng)絡管理員和用戶進行病毒報警，提供網(wǎng)絡廣播、故障打印、郵件、尋呼機報警等多種報警方式.用戶無論身在何處，均可以及時獲得報警信息，及時進行處理。

網(wǎng)絡自動更新、軟件分發(fā)功能。擁有病毒升級文件的自動下載、更新和分發(fā)系統(tǒng)。通過管理員簡單的配置，無需人工千預，在一臺服務器上下載升級文件就可自動完成全域內(nèi)所有計算機的升級工作。所有的下載、更新和分發(fā)工作全部由自動啟動、控制，自動完成。

實時防護郵件系統(tǒng)功能?？梢詫otes或 exchange 郵件系統(tǒng)中的郵件及其附件提供實時的病毒防護，時時刻刻保護郵件系統(tǒng)。

5、安全漏洞掃描與實時監(jiān)控

5.1安全漏洞掃描

根據(jù)網(wǎng)絡構造，可以把網(wǎng)絡安全問題具體定位在以下三個層次上：

層次一：通訊和服務

該層次的安全問題主要體現(xiàn)在網(wǎng)絡協(xié)議本身存在的一些漏洞。如Ping炸彈可使一臺主機宕機，無需口令通過 Rlogon以root身份登錄到一臺主機等，都是利用了TCP／IP協(xié)議本身的漏洞。

層次二：操作系統(tǒng)

這一層次的安全問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運行各種UNIX的操作系統(tǒng)。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來的威脅。

層次三：應用程序

該層次的安全威脅來自內(nèi)部網(wǎng)的防火墻配置、內(nèi)外web 站點的服務、網(wǎng)上交易、撥號服務、E-mail服務、傳真服務及對數(shù)據(jù)庫的保護。

根據(jù)安全問題及漏洞產(chǎn)生的位置采用先進的安全漏洞掃描產(chǎn)品（如ISS），對網(wǎng)絡的通訊、服務層、操作系統(tǒng)層、應用層、數(shù)據(jù)庫進行漏洞掃描，評估安全威脅和風險，在黑客攻擊前找到漏洞并修補，增強網(wǎng)絡的安全強度。在信息系統(tǒng)網(wǎng)絡中，在各層次信息網(wǎng)絡、各重要的服務器、數(shù)據(jù)庫、各入口處分別設置INTERNE掃描器、WWW掃描器、防火墻掃描器、操作系統(tǒng)掃描器、數(shù)據(jù)庫掃描器，對網(wǎng)絡的各個層次和設備進行掃描，輔助系統(tǒng)管理員及時發(fā)現(xiàn)安