摘 要 詳細分析了管理信息系統常見的系統安全問題，針對性地提出解決方案和應注意的事項。

關鍵詞 系統 安全 維護

概述

隨著公司及下屬各單位的局域網和互聯網絡的深入應用，網絡不斷地擴展和日趨復雜，系統安全問題愈來愈突出。安全問題能導致信息系統的癱瘓、重要數據的丟失，使我們的業務停頓，管理陷入混亂，最終結果是給企業造成嚴重的經濟損失。因此信息系統的安全問題，已經與企業的生存能力息息相關，了解系統面臨的各種威脅，防范和消除這些威脅，實現真正的系統安全己經成了信息技術發展中最重要的事情。本文針對公司本部 MIS 安全防范的管理經驗，談談如何改善和解決系統的安全問題，希望起到拋磚引玉的作用，引起同行對系統安全管理的重視。

1從基本做起

對于中小型網絡來說系統管理員一般承擔安全管理員的角色。系統管理員采取的安全策略，最重要的是保證服務器的安全和分配好各類用戶的權限。一般情況下，需要注意以下一些方面。

2.1系統管理員必須了解整個網絡中的重要公共數據（限制寫）和機密數據（限制讀）分別是哪些，它在哪兒，哪些人使用，屬于哪些人，丟失或泄密會造成怎樣的損失。這些重要數據應集中放在中心機房的服務器上，置于有安全經驗的專人管理之下。同時定期對各類用戶進行安全培訓。

2.2服務器上所有的卷全部使用NTFS，使用最新的Service P k升級你的Nt和200操作系統。取消服務器上不用的服務和協議種類，網絡上的服務和協議越多安全性越差。

2.3不要將服務器的操作系統設置為自動登錄，應使用 NT Security對話框（Ctrl＋Alt＋Del）注冊 。修改默認的“Administrator”用戶名，加上“強口令”（多于10個字符且必須包括數字和符號），最好再創建一個具有“強口令”的管理員特權的賬號，使網絡管理員賬號不易被攻破。平時管理員賬號僅用于系統管理，不要在任何客戶機上使用管理員賬號，對屬于Administrator組和備份組的成員用戶要特別慎重。

2.4限制可以登錄到有敏感數據的服務器的用戶數，這樣在出現問題時可以縮小懷疑范圍。通過系統策略編輯器”可以進一步控制一般用戶或組在windowsgx客戶機上的行為。限制Goest賬號的權限，最好不允許使用Guest賬號。不要在Everyone組增加任何權限，因為Guest也屬于該組。

2.5一般不直接給用戶賦權，而通過用戶組分配用戶權限。新增用戶時分配一個口令，并控制用戶“首次登錄必須更改口令”，最好進一步設置成口令的不低于6個字符，杜絕安全漏洞。至少對用戶“登錄和注銷”網絡、“重新啟動、關機”、“安全規則更改”活動進行審計，但不要忘了過多的審計將影響系統性能。

2.6利用網管軟件管理好網絡設備，及時修改網絡設備默認的系統管理口令（大部分網絡設備都沒有設置系統管理的口令）有條件的單位可以配置功能較強的網管軟件，主要包含網絡構成管理、網絡故障管理、網絡性能管理、網絡安全管理等功能。

2.6.1網絡構成管理

自動發現網絡節點

自動生成管理網絡圖

對象化管理

TP地址資源管理

2.6.2網絡故障管理

設定監控方式

報告網絡故障

故障自動通知

面板管理和定制

2.6.3網絡性能管理

測定通信量

統計分析通信狀況

系統性能監視預警

2.6.4網絡安全管理

形成網絡管理操作日志

判斷IP的合法使用

管理權限控制

3、做好數據備份

管理信息系統的服務器擔負著企業的關鍵應用，存儲著企業最為重要的信息和數據，為領導和決策部門提供綜合信息查詢的服務，為網絡環境下的大量客戶機提供快速高效的信息查詢、數據處理和INTERNET的各項服務。為保護關鍵應用數據的安全，在發生人為或自然災難的情況下，保證數據不丟失，必須建立可靠的網絡備份系統。

3.1完整的數據備份系統必須考慮以下幾點

計算機網絡數據備份的自動化，以減少系統管理員的工作量。

使數據備份工作制度化，科學化。

對介質管理的有效化，防止讀寫操作的錯誤。

對數據形成分門別類的介質存儲，使數據的保存更細致、科學。

自動介質的清洗輪轉，提高介質的安全性和使用壽命。

以備份服務器形成備份中心，對各種平臺的應用系統及其他信息數據進行集中的備份，系統管理員可以在任意一臺工作站上管理、監控、配置備份系統，實現分布處理，集中管理的特點。

維護人員可以容易地恢復損壞的整個文件系統和各類數據。

備份系統還應考慮網絡帶寬對備份性能的影響，備份服務器的平臺選擇及安全性，備份系統容量的適度冗余，備份系統良好的擴展性等因素。

3.2備份管理軟件的選擇

建設一個成功的自動備份系統，來承擔復雜的、多平臺的、系統不斷擴展的計算機網絡的數據備份，備份管理軟件的選擇是一個相當重要的工作。企業級備份市場目前可分為兩大塊：專有系統市場（ES／9000，AS／400）和開放系統市場（UNIX，NT）。在開放系統市場上，目前技術和市場的領先者是美國的VERITAS 公司、Legato公司和CA公司。對于僅需備份NT平臺的系統最好選擇CA公司的ARCSERER。對于跨多平臺多業務的系統，可以考慮選擇 VERITAS或 Legato。

3.3備份設備的選擇

常用的存儲介質類型有：磁盤、磁帶、光盤和 M0 （磁光盤），其中，磁帶和

光盤的費效比較高，在大容量的數據存儲方面比較常用。

目前比較流行的磁帶機技術主要有5種：

DC200／TRAVAN技術。這種技術主要為 PC 機提供入門級的數據保護，適合PC或低檔的PC 服務器，在商用市場里，這種技術己逐步退出市場。

QICDC600技術。也就是數據流帶機，最早由3M 公司開發，由于磁帶體積較大，因此，帶機只有5.25英寸格式。幾個主要的研究、生產的廠商如 SEAGATE、TECMAR都己停止了對它的開發。只有Tandberg一家還在繼續生產。

8MM技術于1987 年由Exabyt 公司最先推出，這種技術在相當高的價位上提供了相對較高的容量，由于其技術開放性較差，目前其市場占有率已越來越受到新技術產品的挑戰。

DLT（DIGITAL LINER TAPE）技術。這種技術最早由DEC公司開發，由于其技術的穩定性，非常高的備份速度，以及極大的備份容量，目前在高端服務器市場的占有率正迅速提高。DLT 驅動器的容量從10GB（壓縮20GB）到35GB（壓縮70GB）不等，國外廠商近期己推出50GB（壓縮100GB）的 DLT磁帶機，數據傳輸速度相應從1.5MB／秒到6MB／秒。

4MM技術。即 DAT（DIGITAL AUDIO TYPE）技術，最早由惠普公司和索尼公司共同開發，這種技術以螺旋掃描記錄為基礎，將數據轉化為數字后存儲下來。4MM技術由于其良好的開放性已成為業界的標準。因此得到了廣泛的應用。目前，擁有較大的市場占有率。

一般來說，DAT適合部門級網絡的備份，DLT則適合大型主機和網絡的高性能備份。

4、網絡防病毒

隨著網絡用戶數量不斷增多，內外文件數據交換增大，數據交換渠道難以控制。在這種情況下，計算機病毒通過網絡傳播，甚至直接攻擊服務器，對整個網絡體系的安全構成了極大的威脅。因此，為杜絕病毒可能對網絡系統構成的危害，網絡防病毒工作必須滲透到服務器和客戶端的各個角落，才能實現真正的安全防護。網絡防病毒系統應該包括以下功能：

全方位的病毒防護。可以時刻監視系統當中的病毒活動、系統狀況，時刻監視網絡上硬盤、軟盤、光盤、因特網、網絡驅動器、電子郵件上的病毒傳染，在對染毒文件進行復制、移動、打開、運行、下載等操作前作出報苦提示，用戶通過選擇處理方案，可以將病毒阻止在操作系統外部。

定時掃描功能。允許用戶預定掃描作業，到達預定時間自動啟動，掃描所指定的服務器或工作站。用戶可以選擇非工作時間設定預掃描作業，減輕系統工作壓力。

集中網絡管理功能。能夠實現對系統中的工作站和服務器進行集中統一管理，可以對網絡中的所有NT／Windows2000服務器和工作站進行任務分配、自動下載和分發、掃描設置等日常的安全維護工作。對病毒事件進行安全審計，向系統管理員提供證據，用來跟蹤、追查各種可能的病毒事件。

網絡報警功能。擁有網絡報警系統，可以多種方式向網絡管理員和用戶進行病毒報警，提供網絡廣播、故障打印、郵件、尋呼機報警等多種報警方式.用戶無論身在何處，均可以及時獲得報警信息，及時進行處理。

網絡自動更新、軟件分發功能。擁有病毒升級文件的自動下載、更新和分發系統。通過管理員簡單的配置，無需人工千預，在一臺服務器上下載升級文件就可自動完成全域內所有計算機的升級工作。所有的下載、更新和分發工作全部由自動啟動、控制，自動完成。

實時防護郵件系統功能。可以對notes或 exchange 郵件系統中的郵件及其附件提供實時的病毒防護，時時刻刻保護郵件系統。

5、安全漏洞掃描與實時監控

5.1安全漏洞掃描

根據網絡構造，可以把網絡安全問題具體定位在以下三個層次上：

層次一：通訊和服務

該層次的安全問題主要體現在網絡協議本身存在的一些漏洞。如Ping炸彈可使一臺主機宕機，無需口令通過 Rlogon以root身份登錄到一臺主機等，都是利用了TCP／IP協議本身的漏洞。

層次二：操作系統

這一層次的安全問題來自內部網采用的各種操作系統，如運行各種UNIX的操作系統。包括操作系統本身的配置不安全和可能駐留在操作系統內部的黑客程序等帶來的威脅。

層次三：應用程序

該層次的安全威脅來自內部網的防火墻配置、內外web 站點的服務、網上交易、撥號服務、E-mail服務、傳真服務及對數據庫的保護。

根據安全問題及漏洞產生的位置采用先進的安全漏洞掃描產品（如ISS），對網絡的通訊、服務層、操作系統層、應用層、數據庫進行漏洞掃描，評估安全威脅和風險，在黑客攻擊前找到漏洞并修補，增強網絡的安全強度。在信息系統網絡中，在各層次信息網絡、各重要的服務器、數據庫、各入口處分別設置INTERNE掃描器、WWW掃描器、防火墻掃描器、操作系統掃描器、數據庫掃描器，對網絡的各個層次和設備進行掃描，輔助系統管理員及時發現安