网络是脆弱的,对一般用户来说,他们对于网络安全还仅仅是停留在安装一个杀毒软件的层面上,还有的人天真的以为这样就万事大吉,连病毒库都不去更新。这样怎么能抵挡住黑客非法入侵和病毒的肆虐....
1、安装操作系统或应用程序时不要使用默认值
几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能,虽然厂商的设计是为了方便用户,但是在绝大多数用户不知情的情况下,系统却同时间却安装了许多不必要功能。相比之下,这种所谓采默认值安装的操作系统或应用程序,往往是造成安全漏洞的祸首。主要原因是因为用户通常不会去注意那些从来不用的功能,而且有许许多多的用户,包含IT的管理人员,根本就不知道自己在使用中的操作系统或应用程序上到底安装了哪些东西。一旦这些不明的功能出现漏洞,而偏偏用户又一无所知,且未实时加以修补的话,那往往会成为黑客入侵的最佳通道。
就操作系统来说,采用预设的安装通常都会连带安装超出用户所需的功能与网络服务,碰巧黑客最喜欢通过这些网络服务与通讯端口来进行入侵的动作。因此,若你所安装或开放的功能、网络服务与通讯端口越少,黑客就越不得其门而入。同样地,以默认值安装的应用程序,通常内含不必要的范例程序或是Scripts。一些常见的网站服务器漏洞即是因这些范例程序或是Scripts所造成,黑客可以利用这些不为用户所知的范例程序或Scripts所造成的漏洞来进行入侵、或取得该系统上的信息。绝大多数被安装在应用程序上的范例程序或是Scripts不仅未经过严谨的安全控制与设计,也未落实错误检查的工作,相反地,却成了黑客进行bufferoverflow缓冲区溢位攻击的最佳通道。
如果你曾经使用厂商提供的快速安装程序来安装操作系统与应用程序,而且尚未删除不必要的网络服务并安装所有的修补程序的话,你的系统极有可能漏洞一箩筐,且相当容易导致黑客入侵。即便你设定过相关的功能,你的操作系统或应用程序仍有可能有漏洞,所以你可以使用端口号扫描工具(portscanner)或是漏洞扫描工具(vulnerabilityscanner)来作一确认。切记删除或关闭操作系统或是应用程序上不必要的功能、网络服务与通讯端口。虽然在企业里要落实这些安全管理工作有时相当费时费力,但是企业可以事先订定标准的操作系统与应用程序的安装规范来说明一般用户或IT管理人员可以安装那些功能或服务,以有效解决此一问题。
2、使用先进的用户帐号/密码设定与组合
帐号与密号的使用通常是许多系统预设的第一,同时也是唯一的防护措施。因此,黑客如果能取得用户的帐号与密码,那即可控制被入侵的系统。事实上,有许多的用户的密码要不是很容易被猜中,就是使用系统预设的密码,更甚者,还有些人根本就不设密码。用户应该要切记把握避免使用不当的密码、系统预设密码、或是使用空白密码的原则。
先进的密码系统包含两部分,一部分是「加密(encode)」,另一部分是「解密(decode)」。当一个密码设定完成后,会被以「明码」或是「暗码」的形式记录起来,以供认证之用,我们假设程序把密码存在「password.txt」档案中,而我们的密码假设为「ken」。
当档案经过加密后,下次打开这个档案就会被要求读入一个密码,如果是「明码」,那我们例子中的「password.txt」中就会被纪录密码是「ken」,可是这很不安全,用写字板就可以轻松破解这个密码。
「暗码」就比较先进了,他会被重新编码再储存,而且重新编码的方式很多,可能是一种很特殊的排列组合,这完全看设计者如何发挥。例如设定把他转成16进位码当作编码,所以这个密码「ken」经过处理就变成「68」、「74」、「77」,然后存在「password.txt」里的就成了「687477」,想解开「暗码」通常要花较多功夫。最新的编码技术就更厉害了,像UNIX、Windows系列中也常用到这些新技术,就是所谓的不可逆算法。刚刚「暗码」中的「687477」,如果你知道规则,那是可以轻而易举反推回去的,马上就可以得到「ken」这三个字。为了解决这个问题,人们采用了不可逆的算法,就是让你无法返推回去。
密码的安全性是相对的,只要是密码就会有被破解的情况,只不过是被时间的多少问题。那怎么设定密码,才能达到最好的效果?在此我提供下列几项检查方法供大家参考:
(1)定时稽核系统上使用中与未使用中的帐号并予以记录,尤其对与Internet相连接的Router、Switch、Firewall、Server等主机上的密码应逐一检查。
(2)制定企业信息系统用户帐号管理政策,详细规范增加用户帐号、以及删除不再继续使用的帐号时之应注意事项。
(3)定时确认系统上是否出现未经授权的新帐号,并且删除不再使用的帐号。
(4)使用密码破解工具来检查用户的密码设定是否安全。在执行此一工作时,你应当取得主管的同意与授权。
(5)离职员工或是委外厂商使用之帐号、以及不再使用的帐号应适时予以删除。
有效解决帐号/密码安全问题的第一步就是禁止使用空白密码,任何被发现使用空白密码的帐号应该立即设定密码或是删除该帐号,并按照企业安全政策来管理用户帐号/密码。有关帐号管理方面,应该把握下列原则:
(1)帐号与密码不可以相同。
(2)避免使用字典上的词汇做为密码。
(3)不要拿自己的名字、生日、电话号码来作为密码。
(4)不可以使用空白密码。
(5)密码之组成至少需6个字符以上。
(6)密码之组成应包含英文大小写字母、符号、数字。
(7)按使用目的与特性,密码至少每45-90天更换一次。
(8)不可以将密码抄写在纸张上或置于公众场所,如贴在计算机屏幕前。
(9)避免使用公共场所的计算机处理重要资料,如网吧、图书馆、学校计算机中心等,以免密码被窃听或不慎留下记录遭利用。
