1.问:网络时代的到来使得安全问题成为一个迫切需要解决的问题;病毒、黑客以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨,交换机在企业网中占有重要的地位,通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACLAccess Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”吗?买三层交换机做虚拟网络,就比普通网络更安全吗???
答:在进行安全评估以及风险分析中有这样一个成本/收益计算公式:
实行安全措施之前的ALE-实行安全措施之后的ALE-安全措施每年的费用=安全措施对公司的价值。其中ALE是年损失期望值。ALE=资产价值×暴露因子(EF)×年发生概率(ARO),ARO是代表在一年之中某个特定威胁发生的可能性的值,该值的范围是从01.0。因此安全投入应当跟保护的资产有关系,看看你这个网络有多少重要数据需要保护,如果这些数据损失了,会对公司当前业务以及公司长期运行带来多大的损失。通过这个来衡量需要武装的安全投入,比如美国国防部吧,那些地方的东西都不能被随意泄漏,因此应该就如提问的朋友说的是武装到牙齿。因此买什么东西要跟自己的安全需求有关,当然东西贵,技术含量高的安全产品,在用好的情况下,可以有效的防范安全入侵,降低企业风险。因此都安全而言,用好设备有好设备能够达到的安全,每一种措施都要自己的优缺点,具体使用和实施要根据实际情况。
2.问:针对网站服务器的安全措施主要有那些?
答:对于网站类服务器,个人觉得主要的安全措施有下面一些:
1)尽量确保网站类服务器上运行的程序无SQL注入、跨站脚本漏洞,这个是安全的一个重要前提。
2)做好服务器的安全设置,这些安全设置包括脚本运行权限、用户权限、配置文件设置、日志监控设置。
3)安装有效的防火墙和杀毒软件。这两个工具会从一定程度上防范入侵。
4)少用远程控制软件以及一些存在安全隐患的应用软件,例如vncpcanywhereradmin等。在网站程序出现错误后,第一个突破服务器的就是寻×××器上存在的远程控制软件等应用软件。
5)进行定期安全检查,查看日志、查看进程、查看网络连接,查看异常,查看管理员用户,查看远程终端登陆情况等。
6)使用一些监控软件查看服务器运行情况,例如使用URLSnooper[url]http://www.antian365.com/bbs/viewthread.php?tid=573&extra=page%3D1[/url])查看网站是否被人挂马。
7)做好数据和操作系统的备份,有条件的用户可以将ghost文件下载到本地刻录,防止ghost文件泄漏用户帐号的配置信息,以及防止用户修改ghost文件。
3问:日常的服务器安检内容介绍一下?
答:根据个人经验,关于日常服务器的维护主要有下面一些:
(1)       查看事件查看器中的应用程序、安全性和系统日志,查看这些日志的前提条件是在系统正式运行前,进行了相应的设置。系统日志是否是从上一次检查日志时开始记录?日志有无异常登陆,软件运行异常等。
(2)       查看系统用户和组的情况,如果使用了远程终端,则需要使用一些软件查看用户是否被克隆,是否可以使用随意帐号和密码进行系统登陆。
(3)       查看系统有哪些是新修改的文件,可以在搜索中设定搜索时间范围。
(4)       查看系统正在运行的进程、服务、启动加载选项
(5)       查看网络连接情况,可以在业务系统非运行时间,关闭所有业务系统查看网络连接,大型网络中可以使用科来等网管软件进行监控。
(6)       如果有web服务对外提供,可以使用URLSnooper监控网站url情况,这个软件可以有效的监测网站是否被挂马,可以关注我的blog,我会单独写一篇关于网站挂马监测方面的文章。
4.问:服务器监控的软件介绍一些?
服务器监控的软件有很多,主要看你是做什么用途,其实服务器监控跟网管有共同,也有不同之处,我用过的一些软件有AnyView(网络警)网络监控软件、NetFox服务器监控软件、科来网络分析系统 6.8BETA 网络运维管理专家BTNM 3.0。可以根据自己的用途来选择监控软件,可以在google和百度中搜索,找到后需要进行测试,建议测试在虚拟机中进行。确认软件无毒无捆绑软件后,在正式在服务器上进行安装使用,推荐使用正版软件。
5.问:服务器的日志分析介绍一下?
关于日志分析的可以去我的blog查看有关日志方面的文章,日志分析主要有应用程序、安全性、系统以及iisftp等日志。
6.问:如何在事件查看器中,查看服务器是否有异常登录。
答:事件查看器的安全性中会记录用户登陆时间,审核情况等,如下所示:
登录成功:
     用户名: Administrator
     域:      CC-1
     登录 ID:      (0x0,0x12F1A)
     登录类型:     2
     登录进程:     User32 
     身份验证数据包:    Negotiate
     工作站名: CC-1
     登录 GUID:    -
     调用方用户名: CC-1$
     调用方域: WORKGROUP
     调用方登录 ID:     (0x0,0x3E7)
     调用方进程 ID: 436
     传递服务: -
     源网络地址:   127.0.0.1
     源端口:  0
在查看事件详细情况中会显示具体的登陆时间,如果你的服务器上晚上2点钟还有人登陆并在上面工作,想想发生了什么?
8问:能不能对内网中的服务器,如代理服务器,DC等,增强其安全性,防黑方面的措施具体的介绍一下!能不能提供一些企业信息安全建设的案例,让我们了解一下企业中信息安全具体应该采取哪些方面的措施!能不能对网站的入侵方式及防范措施作一下介绍!
答:关于安全方面防范和措施,可以参考前面的一些,在第一问题中,我想指出一点的是,在这些计算机中,需要谨慎运行不明软件,不明软件是指哪些来历不明的软件,未经过严格的安全测试,我遇到的很多案例中,很多公司服务器被人攻击和控制往往就是运行了从网上下载的软件,网络提供便利的同时,也增加了风险,一些不怀好意的人往往会在程序中增加一些后门等其它东西,安装这些软件的后果就不言而喻了。对于内网服务器可以从以下几个方面来加强安全:
1)服务器要严格权限管理,内鬼难防。如果对外提供服务,在有员工离职时,需要进行帐号清理和安全的排查。
2)谨慎运行软件。
3)及时更新系统漏洞和应用程序补丁,安装正版杀毒软件和防火墙,并及时更新病毒库。
4)如果用条件可以安装一些网络监控和管理软件,定期进行安全监测和流量分析。
9问:请教专家,现在的网络入侵主要有哪些方式?主要的防护措施有些什么?
答:我认为目前网络入侵主要有两种一种是被动攻击,一种是主动攻击。主动攻击主要包括口令扫描(数据库口令、ftp口令、某些具体服务口令、系统口令)、SQL注入攻击、跨站攻击、系统以及应用程序远程溢出攻击。被动攻击主要有钓鱼攻击和邮件攻击等。
主要防护措施可以参考前面的一些提问,在此需要补充几点:
10Day攻击危害较大,因此要养成第一时间更新系统和应用软件的漏洞。很多入侵者攻击都是有目的的,在攻陷服务器后,往往会采取挂马等方式来盗取用户的游戏等个人帐号,以牟取商业利益。
2)不打开来历不明的邮件和运行来历不明的程序,陷阱往往是美丽和充满诱惑的,要安全就要抵制和防范这些东西。
10问:关于安全方面我们能做些什么呢,要怎么做才能尽可能的安全?
答:安全都是相对的,没有绝对的网络安全,只有绝对的网络不安全。在网络上有很多加强安全的方法和措施,我今天介绍和回答的只是一部分,或者是我所遇到和解决,还有很多我未遇到和解决的,可以就我介绍和回答的方面对自己的网络安全进行一个对比和排查,看看存在一些什么问题,要既要动脑又要动手!安全知识和经验都是一个长期积累和学习的过程,安全重在实践,重在理念,只要你有了安全的理念,并有不断的完善安全的实践,相信您的网络会越来越安全。