系統管理員如何防範黑客攻擊

系統管理員如何防範黑客攻擊

我們從國外得到可靠的消息，日本黑客為對前一陣子日本諸多網站被中國黑客攻擊進行報復，正商議重點攻擊我國政府和新聞大站，如中央機構各部委站點，中央和地方有影響的報刊雜誌網站，具有全國性影響的站點（如www.netease.net，www.163.net，www.263.net，www.sina.com.cn等）和一些知名度很高的個人站點，而且將持續相當長一段時間，估計遭攻擊的站點之多，難以令人想象。日本黑客是殘酷的，如果他們攻擊網站得逞，不僅會纂改網頁的內容，而且完全可能會將被入侵網站的重要系統數據進行徹底的損壞。而原來具有高級別許可權的敏感資料，特別是那些連上互聯網的內部區域網，所面臨的現實威脅會更大。
針對目前這種局勢，我方管理員應首先作到以下幾點：
1.對重要數據和資料完全進行備份，並將備份所用的存儲設備單獨放置，而不是連在互聯網上，這是網站或系統遭到惡意攻擊后最好的解救方法。
2.特別重要的網站要做到24小時有網路管理員值班，並採取技術措施循環檢查系統日誌，以及動態IP的變化。
3.無人值守網站時，關閉一切連在互聯網上的供工作人員使用的電腦終端設備，因為絕大多數黑客攻擊時往往都是從這些防範薄弱的電腦終端侵入，從中找到網站或系統的弱點，進而取得管理員或用戶密碼，並奪取網站管理的超級許可權，藉此轉攻網站系統內的其他機器。
4.檢查所有用戶口令，特別是管理員的超級許可權口令，盡量作到使口令中同時含有數字，大小寫字母，符號等，因為口令的組合多，解碼將是相當困難的，而且口令長度不得小於8位；另外，還要經常去有關的安全站點下載系統補丁程序，儘可能地將系統的漏洞補上。

以下是相關資料摘錄，供參考：
一.網站被攻擊的幾種方式
想成功抵制住黑客的攻擊,我們必須從互聯網,報刊雜誌和有關的技術資料上了解關於黑客的一些詳細情況。一份基於網路安全的報告調查稱:在互聯網上大約有20%的單位曾被黑客侵入；約40%的單位沒有安裝防火牆（Firewall）；不少於30%的黑客入侵事件是在未能正確安裝防火牆的情況下發生的。一般來說，黑客入侵網站常用這樣的幾種方式：
●Data Diddling-------------未經授權刪除檔案，更改其資料（15.5%)
●Scanner-------------利用工具尋找暗門漏洞(15.8%)
●Sniffer--------------監聽加密之封包(11.2%)
●Denial of Service-------------使其系統癱瘓（16.2%)
●IP Spoofing---------------冒充系統內網路的IP地址(12.4%)
●Other------------其他(13.9%)
黑客為什麼這麼容易進入系統?為什麼那些安裝了防火牆的系統一樣會被黑客入侵呢?最主要的原因有:
●系統本身就存在有許多漏洞(暗門)
●以往黑客多是單槍匹馬,但現在由於互聯網的普及,使得黑客之間的聯絡更加方便,從而往往採取"結夥搶劫"的入侵方式.據說美國有一家稱作"大屠殺2600(Genocide 2600)"的黑客組織,現擁有150多萬成員.他們紮根在美國西北部和阿拉斯加地區,並開始向東海岸地區擴展.他們來自各行各業,年齡從14歲到52歲.
●Internet上有許多現成的黑客工具軟體,例如"Rootkit","Satan"等,這些程序成為黑客方便好用的工具;
●以錯誤的方式安裝防火牆.
二.防範黑客攻擊的措施
1.選用安全的口令
根據十幾個黑客軟體的工作原理,參照口令破譯的難易程度,以破解需要的時間為排序指標,這裡列出了常見的採用危險口令的方式:用戶名(帳號)作為口令;用戶名(帳號)的變換形式作為口令;使用生日作為口令;常用的英文單詞作為口令;5位或5位以下的字元作為口令.
因此,我們在設置口令時應該遵循以下原則:
●口令應該包括大小寫字母,有控制符更好;
●口令不要太常規;
●應保守口令秘密並經常改變口令.最糟糕的口令是具有明顯特徵的口令,不要循環使用舊的口令;
●至少每九十天把所有的口令改變一次,對於那些具有高安全特權的口令更應該經常地改變.
●應把所有的預設都從系統中去掉,如果伺服器是有某個服務公司建立的，要注意找出類似GUEST,MANAGER,SERVICE等的口令並立即改變這些口令;
●如果接收到兩個錯誤的口令就應斷開系統連接
●應及時取消調離或停止工作的僱員的帳號以及無用的帳號;
●在驗證過程中,口令不得以明文方式傳輸;
●口令不得以明文方式存放在系統中,確保口令以加密的形式寫在硬碟上並包含口令的文件是只讀的;
●用戶輸入的明口令,在內存逗留的時間儘可能縮短,用后及時銷毀;
●一次身份驗證只限於當次登錄(login),其壽命於會話長度相等;
●除用戶輸入口令準備登錄外,網路中的其他驗證過程對用戶是透明的.
我們之所以如此強調口令設置的重要性,是因為關於網站安全調查的結果表明;超過80%的安全侵犯都是由於人民選用了拙劣的口令而導致的.這樣,我們可以推斷，80%的入侵可以通過選擇好的口令來阻止.
2.實施存取控制
存取控制規定何種主體對何種具有何種操作權力.存取控制是內部網路安全理論的重要方面,它包括人員許可權,數據標識,許可權控制,控制類型,風險分析等內容.3.保證數據的完整性
完整性是在數據處理過程中,在原來數據和現行數據之間保持完全一致的證明手段.一般常用數字簽名和數據加密演算法來保證.
4.確保數據的安全
通過加密演算法對數據處理過程進行加密,並採用數字簽名及認證來確保數據的安全.
5.使用安全的伺服器系統
如今可以選擇的伺服器系統是很多的:UNIX,WindowsNT,Novell,Intranet等,但是關鍵伺服器最好使用UNIX系統.
6.謹慎開放缺乏安全保障的應用和埠
7.定期分析系統日誌
這類分析工具在UNIX中隨處可見.NT Server的用戶現在可以利用Intrusion Detection公司的Kane Secu-rity Analyst(KSA)來進行這項工作.欲了解更多的細節可查看地址為http;//www.intmsion.com的網站.
8.不斷完善伺服器系統的安全性能
很多伺服器系統都被發現有不少漏洞,服務商會不斷在網上發布系統的補丁.為了保證系統的安全性,應隨時關注這些信息,及時完善自己的系統.
9.排除人為因素
再完善的安全體制,沒有足夠的安全意識和技術人員經常維護,安全性將大打折扣.
10.進行動態站點監控
及時發現網路遭受攻擊情況並加以防範,避免對網路造成任何損失.
11.攻擊自己的站點
測試網路安全的最好方法是自己嘗試進攻自己的系統,並且不是做一次,而是定期地做,最好能在入侵者發現安全漏洞之前自己先發現.如果我們從Inernet上下載一個口令攻擊程序並利用它,這可能會更有利於我們的口令選擇.如果能在入侵者之前自己已經發現不好的或易猜測的口令,這是再好不過的了.12.請第三方評估機構或專家來完成網路安全的評估,這樣做的好處是能對自己所的環境有個更加清醒的認識,把未來可能的風險降到最小.
13.謹慎利用共享軟體
許多程序員為了測試和調試的方便,都在他們看起來無害的軟體中藏有後門,秘訣和陷阱,發布軟體時卻忘了去掉他們.對於共享軟體和免費軟體,一定要徹底地檢測他們.如果不這樣做，可能會損失慘重.
14.做好數據的備份工作
這是非常關鍵的一個步驟,有了完整的數據備份,我們在遭到攻擊或系統出現故障時才可能迅速恢復我們的系統.
15.主動防禦
我們也可以使用自己喜歡的搜索引擎來尋找口令攻擊軟體和黑客攻擊軟體,並在自己的網路上利用他們來尋找可能包含系統信息的文件.這樣我們也許能夠發現某些我們還未察覺到的安全風險.
相關軟體的站點推薦如下:
http://www-genome.wi.mit.edu/www/faqs/wwwsecurity-faq.txt
http://www.cerf.net/~paulp/cgi-security
http://theory.lcs.mit.edu/~revest/cryptsecurity.html
ftp://ftp.netcom.com/pub/qwerty
http://www.pay.uq.oz.au/~ftp/crypto
http://www.umr.edu/~cgiwrap
SSL文檔:http://home.netscape.com/info/SSL.html
附加文檔:http://home.mcom.com/newsref/ref/internet-security.html
庫下載:ftp://ftp.psy.uq.oz.au/pub/crypto/ssl
PGP簡介:http://web.mit.edu/network/pgpform.html
歐洲版本:ftp://ftp.infomatik.uni-hamburg.de/virus/crpt/pgp/tools
公共密鑰加密:http://word.std.com/~franl/crypto/crypto.html
RSA加密專利公司:http://www.rsa.com.faq
16.使用防火牆
防火牆正在成為控制對網路系統訪問的非常流行的方法.事實上,在Intrnet上的WEB網站中,超過三分之一的WEB網站都是由某種形式的防火牆加以保護,這是對黑客防範最嚴,安全性較強的一種方式,任何關鍵性的伺服器,都建議放在防火牆之後.任何對關鍵伺服器的訪問都必須通過代理伺服器,這雖然降低了伺服器的交互能力,但為了安全,這點犧牲是值得的.
但是,防火牆也存在以下局限性:
●防火牆不能防範不經由防火牆的攻擊.如果內部網用戶與Internet服務提供商建立直接的SLIP或PPP連接,則繞過防火牆系統所提供的安全保護.
●防火牆不能防範認為因素的攻擊.
●防火牆不能防止受病毒感染的軟體或文件的傳輸.
●防火牆不能防止數據驅動式的攻擊,當有些表面看來無害的數據郵寄或拷貝到內部網的主機上並執行時,可能會發生數據驅動式的攻擊.
對此,提出以下幾點建議:

⑴對敏感性頁面不允許緩存;
⑵不要打開未知者發來的郵件附件;
⑶不要使用微軟的安全系統;
⑷不要迷信防火牆.