2006年08月27日

IT治理在CIO中的认知度与其越来越高的曝光度不成比例。

IT治理?没听过。”当一位省级移动公司网络负责人侃侃而谈IT管理之后,在回答“是否听说过IT 治理”时,却给出了这样的回答。这家

移动公司正在提升IT 管理水平,以准备接受塞班斯法案的相关审计。没想到管理着300余名IT 员工的网络部负责人尽管参与了IT内控工作,却对“IT治理”闻所未闻。这与一些业内人的预想相去甚远。

孙强:IT治理与IT管理是一枚硬币的两

为了验证IT 治理在国内是否真的“雷声大雨点小”,《I T 经理世界》在ceocio.com.cn网站上做了一次小型调查。调查结果再次验证了这位移动公司IT 负责人对“IT 治理”的陌生并不是个别现象。在这次调查中,41%的人根本不知道IT 治理,比较了解IT 治理的受访者不足20%;有60%的人不知道IT 治理和IT 管理之间的区别;仅有1%的调查者参与过IT 治理的实践。看来,“IT治理”在被IT厂商、咨询机构频频提及的时候,它在CIO及企业管理者中的认知度远没有兜售理念的人以为得那么高。

管理?治理?

在这次调查中,有22% 的人混淆了IT 治理与IT 管理的概念,觉得它们其实是一回事;仅有不足半数的人认为两者之间存在差别。其实,能准确区分IT 治理和IT 管理之间区别的CIO 并不多。除了对两个概念不甚了了外,不同的CIO对这两个概念的内涵与外延也有着自己的理解和解释。

中国中化集团公司是世界500 强企业,它的石油、化肥、化工等业务实现了全球化运作。在中化集团信息技术部总经理彭劲松看来,IT 治理决定了企业如何进行决策,属于战略层面;IT管理则是制定和执行这些决策的战术。

去年,在他完成的一个IT 治理实践中,中化集团通过运用IT治理的理念进行决策,用项目管理的方法组织实施,运用IT审计指南进行了项目验收,用ITIL指导方法制定了随后的管理流程,使得企业最终完成了预定的系统灾难恢复管理。现在,中化集团如果遇到灾难,其IT系统最多在两天之内就能恢复运行。此外,他们还实现了对网络、系统监控的管理,达到了企业系统综合管理及系统资源优化管理的目的,确保了IT 对全球业务的连续服务。

屈玉阁是中国网通(集团)公司河北省分公司企业信息化部高级工程师,他按照IT 治理的方法,组织撰写了39.6 万字的“中国网通信息化建设管理控制体系”。他对于IT治理和IT管理之间的区别有着更为直白的理解——“IT治理是从外部到内部的控制,如塞班斯法案就是要企业按照其要求,没有商量余地。而IT管理则带有很强的妥协性,IT部门与企业高层、业务部门间可以做很多妥协。”

其实,IT治理对组织的意义要大于IT管理,这并不是因为它管的是“决策”,而是因为IT 治理聚焦的是保持IT 与业务目标一致、推动业务发展、促使收益最大化。一份来自国外的调查报告显示,IT治理出色的企业可以获得比竞争对手高出40%的IT投资回报;IT治理处于平均水平的企业在采用相同业务战略的情况下,能够比IT治理效率低下的企业多获得20%的利润。

“IT 管理的着力点是信息及信息系统的运营,是一种确定IT目标及实现目标的行动;而IT治理是最高管理层利用它来监督IT 战略执行的过程、机制和框架,以确保其处于正确的轨道之上。两者是一枚硬币的两面。” ITGov 中国IT 治理研究中心主任孙强认为。在他看来,IT治理规定了整个组织IT运作的基本框架,IT管理则是在这个既定的框架下“驾驭”组织奔向目标。缺乏良好IT治理模式的组织,即使有“很好”的IT管理体系,也像一座地基不牢固的大厦;同样,没有畅通的IT管理体系,单纯的治理模式也只能是一个美好的空中楼阁。现在,不少CIO 将IT 治理和IT 管理混为一谈,甚至对IT管理的内涵也不甚了了,这同国内组织仍处于大规模信息化建设阶段有关。当一个组织处于应用系统建设阶段时,CIO很容易将所有注意力和IT资源集中在“项目”上,因此IT管理被简单地看成眼下尚不急需的一项长期工作。其实,即使是战术层面的IT 治理对IT 建设也非常重要。在越来越被广泛采用的IT管理框架——ITIL (Information TechnologyInfrastructure Library, IT 基础架构库)中,IT管理包含了IT战略规划、安全管理、成本管理、突发事件管理、配置管理、变更管理等众多内容,这些管理是否到位都直接影响着IT 投资效果。

火候未到?

“我们虽然在2003 年就开始进行IT管理,并于2004 年引入了ITIL,开始进行SOX 内控项目,但我仍然觉得我们还没有到达IT治理的层次。” 中海油集团信息技术中心主任王若讯说。有不少CIO与王若讯持同样的看法。在神州数码信息管理部总经理郑小维看来,中国信息化的发展程度还没有到达IT 治理的层面。她认为,企业首先要先完成应用系统的搭建,然后再进行规范的IT 管理,最后才能水到渠成地进入IT 治理这个层次。

如今,神州数码已经过了大规模的IT 系统建设阶段,IT 管理工作成为郑小维3年多来的工作重点。虽然她已经取得了COBIT(IT治理的一个开放性标准,由美国IT治理研究院开发与推广)认证,但她并没有在企业内部依照COBIT的方法论,逐条逐项、大张旗鼓地做IT治理。她觉得,神州数码的IT管理工作还未完成。按照她的计划,神州数码准备今年通过ISO20000(国际标准组织ISO 关于IT 服务管理领域的国际标准)认证。不过,她在IT管理中已经融入了不少IT治理的实践方法,如建立高层及业务部门多方参与的虚拟IT 团队、制定规范IT 运作机制的IT 管理大纲等。

目前,大多数明确表示正在进行IT治理的企业,都将其与公司治理密切联系,目的是为了让投资者信任企业。比如为了应对美国的塞班斯法案,在美国上市的企业就必须保证所披露信息的真实与准确,保证信息处理与传递的效率。法规遵从成为许多企业展开IT 治理的最主要动力。我国电信、金融、化工等大型企业几乎不约而同地于2004 年后开始进行IT 内控、IT 治理,与塞班斯法案的要求直接相关。“中国网通(集团)公司的部分资产已经在美国和香港上市,投资者不但需要上市公司有良好的业绩,还需要上市公司有严格的内部控制管理规范。因此我们必须按照企业发展战略的总体要求,对信息化建设过程进行统一规划、统一管理,以满足企业提高核心竞争力的要求。”屈玉阁道出了他们进行IT治理的直接缘由。

尽管不少企业进行IT 治理是为了应对塞班斯法案,但不少正在从事IT 治理的CIO 并不认为符合塞班斯的内控要求就算取得了IT治理的胜利,“有针对性的治理工作仅是IT 治理很小的一部分”。

COBIT 被认为是实施IT 治理的最佳实务。据说塞班斯法案对IT部分的审计就依据了COBIT 的标准。它包括规划与组织、采集与实施、交付与支持、监控等4个域、34 个流程、318 个控制目标。河北网通按照COBIT、ITIL 等IT 治理与管理方法,用了半年多时间才撰写出IT治理规划。如果按照COBIT 的34 个流程一一实践IT 治理,至少需要2~3 年。因此准确理解IT治理内涵的CIO一致认为,良好的IT治理不可能一夕之间完成,时间和持续优化是其必不可少的要素。这些要素决定了IT治理必然是一个漫长和动态的过程,是组织与所有利益相关者的互动过程,包括在制定长远IT 发展战略等决策上的互动。另外,组织所处内外部环境的动态性也决定了IT治理的动态性。IT治理本身的难度和我国信息化发展阶段决定了它曲高和寡的现状,也是其“外热内冷”、陷入混沌状态的主要原因。

ITGov 中国IT 治理研究中心是一个在IT 治理领域推动中国与国际同步发展的资源平台。其创始人孙强带领研究人员从2002 年开始进行COBIT 的认证培训,至今共帮助中国近百名学员获得COBIT 认证。但仔细观察这些学员的组成不难发现,CIO或IT 经理不足1/3,大部分学员来自正在从事IT治理和IT管理咨询及服务的厂商、咨询机构。不过,4年来的推动还是让孙强看到了进步。“2002年,我们向别人介绍IT治理时,基本上大家都不能理解也听不懂。”现在,主动找他们做IT 治理咨询和指导的组织逐渐多了起来,“但如何构建完善的IT治理没有模式可以照搬,本质上要以组织的战略和文化为出发点”。

不只是在国内,在全球其他地区,IT治理也是阳春白雪。普华永道的2006 年全球IT 治理报告显示,只有10%的IT 人员正在使用COBIT,这一数字并不算高。Forrest 研究机构报告表明,90%的美国企业已经或多或少建立了 IT 管理和治理架构,但是做的好的并不多。不过,这些数字对IT 厂商和咨询机构而言,却意味着巨大的市场机会。IDC 预测,今后4年内,IT 管理和治理市场每年会增长15%。这也是COBIT、ITIL、SLA(Service-LevelAgreement 服务等级协议)等名词被IT厂商和咨询公司频频提起的原因。

 
 
2006年08月21日

Adam Moskowitz is an independent systems and network architect in the Boston area. He spends his professional life surrounded by server racks, switches and routers, making sure that state-of-the-

It’s not management software. It’s not even electronic. No, it’s a small, hand-held notebook.

"What I tell people is that if you don’t see me write it down, assume I never heard it," Moskowitz said. "E-mail works too, but I sometimes even copy e-mail into my notebook. There’s something about the act of writing something on paper by hand that helps you retain the information."

Life can be hectic for systems and network administrators, so it makes sense that having the information at one’s fingertips can be helpful. Moskowitz constantly checks his notebook during the workday, and he flips back through it at the end of the week to make sure nothing has slipped his notice.

"One place for everything — that’s important," he said.

Scottie Swenson, president and systems manager of Seattle-based Web-hosting company Hero Networks LLC, only differed in that he preferred a notebook with a solid binding to a ringed one.

"I document everything," he said. "You can’t fix something unless you understand what that something is. A lot of times, I’ll be going back through my notes and the answer to my problem leaps off the page and says, ‘Hey stupid, I’ve been here all along.’"

Swenson, who also lectures for the Systems Administrators Guild, preaches the time management principles made popular by Alan Lankein, author of "How to Get Control of Your Time and Your Life."

The basic idea is to write down everything you have to do and break it into three groups — absolute necessities, things you think are generally important and things that might be good to do if you had the time for them. Order them in A, B and C columns, then prioritize the columns and get cracking on the top of column A.

You usually end up ignoring the C items, Swenson admitted. "What you’re aiming for is the most effective use of your time."

Chris Mann, a systems administrator for Stonebridge Bank in West Chester, Pa., suggested actually scheduling documentation time each day.

"If you don’t plan it, you’ll just end up doing it when you thought you’d be headed home," he said.

He and Moskowitz both recommend working skewed hours in order to get some quiet time on the job. Mann prefers to work a bit later; Moskowitz comes in early.

Everyone stressed the importance of being thorough. "Test like crazy and have others check your work before you push it out to a live server," Mann said.

Take extra time to fully understand your company’s systems and how they’re configured, Moskowitz suggested. Avoid taking shortcuts when you put those systems together, because "it’s less pressure when things go wrong," he said.

Dave Hilton, a systems administrator for Foster City, Calif.-based Entelos Inc., a virtual testing company for the pharmaceutical and medical industry, takes good planning a step further by planning for repairs before even deploying a system.

"Every time I get a box from a manufacturer, I fieldstrip it and put it back together," he said. "I’ve found connectors and cables not properly pressed together, screws not screwed, loose metal. I even take an emery board and electrical tape and dull any sharp corners in case I’ve got to go back inside the box. The things that are most likely to go wrong are mechanical."

Some other time management suggestions include:

  • Label everything, including both ends of your wires, indicating where they go.
  • Plan what you’re doing the next day before you go home.
  • Force yourself to stop working at a certain point in the day, otherwise you may never see your home.
  • Put up a sign that says you’re only to be bothered if it’s an absolute emergency when you need some quiet time to work, or sometimes relax.
  • Ground everything, even things you don’t think need grounding.
  • Check your server room every day for loose items, flopped-out cables and anything that could prove a hazard in the future.
  • Know what you don’t need, some projects sound great, but can take you away from more pressing matters.
  • Know what you’re good at and what you’re not good at. Try to have someone else do the things you’re not good at.
  • Keep the serial numbers of your equipment and the phone numbers of your vendors next to the phone you will call them on in case of an emergency.
  • Ask a lot of questions, because what users say they want and what they actually want are often two different things.
  • Clear your e-mail inbox before you leave every day.
  • Keep a decent stockpile of necessities like cables on hand so you always have them in a time of need.

art systems run smoothly. It’s a complicated job. Can you guess what Moskowitz picks as the most important tool for his job?

2006年08月12日
 摘 要 首先简要阐述目前计算机网络中存在的安全问题,接着分析黑客网络攻击的过程,并在此基础上提出具体的预防黒客攻击措施。结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS 或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

  关键词  黒客 TCP/IP 协议 网络安全 网络攻击

  目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身

  由此可见,针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠,则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备,从而确保网络运行的安全和可靠。

  一、黑客攻击网络的一般过程

  1、信息的收集

  信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:

  (1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

  (2)SNMP协议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。

  (3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

  (4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

  (5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

  2、系统安全弱点的探测

  在收集到一些准备要攻击目标的信息后,黑客们会探测目标网络上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式如下:

  (1)自编程序 对某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序,那么黒客就可以自己编写一段程序进入到该系统进行破坏。

  (2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

  (3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

  (4)利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描,寻找安全方面的漏洞。

  3、建立模拟环境,进行模拟攻击

  根据前面两小点所得的信息,建立一个类似攻击对象的模拟环境,然后对此模拟目标进行一系列的攻击。在此期间,通过检查被攻击方的日志,观察检测工具对攻击的反应,可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态,以此来制定一个较为周密的攻击策略。

  4、具体实施网络攻击

  入侵者根据前几步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在进行模拟攻击的实践后,将等待时机,以备实施真正的网络攻击。

  二、协议欺骗攻击及其防范措施

  1、源IP地址欺骗攻击

  许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

  假设同一网段内有两台主机A和B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的 ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。

  要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:

  (1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。

  (2)使用加密方法 在包发送到 网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。

  (3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗

  2、源路由欺骗攻击

  在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:

  主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为 aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

  为了防范源路由欺骗攻击,一般采用下面两种措施:

  · 对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。

  · 在路由器上关闭源路由。用命令no ip source-route。

  三、拒绝服务攻击及预防措施

  在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。

  SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程,而SYN Flood在它的实现过程中只有三次握手的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。

  为了防止拒绝服务攻击,我们可以采取以下的预防措施:

  (1) 建议在该网段的路由器上做些配置的调整,这些调整包括限制Syn半开数据包的流量和个数。

  (2)要防止SYN数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。

  (3)建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。

  (4)对于信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽方面的限制,控制其在一定的范围内。

  总之,要彻底杜绝拒绝服务攻击,最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者可不是一件容易的事情,一旦其停止了攻击行为,很难将其发现。惟一可行的方法是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。

  四、其他网络攻击行为的防范措施

  协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法,但随着网络技术的飞速发展,攻击行为千变万化,新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。

  1、针对网络嗅探的防范措施

  网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上,以太网就是这样一个共享信道的网络,其数据报头包含目的主机的硬件地址,只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。

  对于网络嗅探攻击,我们可以采取以下措施进行防范:

  (1)网络分段 一个网络段包括一组共享低层设备和线路的机器,如交换机,动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。

  (2)加密 一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。

  (3)一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的Challenge和字符串都只使用一次。

  (4)禁用杂错节点 安装不支持杂错的网卡,通常可以防止IBM兼容机进行嗅探。

  2、缓冲区溢出攻击及其防范措施

  缓冲区溢出攻击是属于系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。当然,随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序具有root权限的话,攻击者就可以对系统进行任意操作了。

  缓冲区溢出对网络系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:

  (1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。

  (2)堆栈的保护 这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么他就能成功地跳过堆栈保护的检测。

  (3)数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作,通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法:Compaq C编译器、Jones & Kelly C数组边界检查、Purify存储器存取检查等。

  未来的竞争是信息竞争,而网络信息是竞争的重要组成部分。其实质是人与人的对抗,它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”,同时应该熟知针对各种攻击手段的预防措施,只有这样才能尽最大可能保证网络的安全。

但是这些貌似合理的理论与实践策略却也不尽正确,它们不仅不能给网络带来丝毫益处,甚至还会蕴含巨大的危机与隐患。

  经过多年的发展,当前网络安全已成为一个相对成熟的领域,积累了大量理论与实践经验的网络管理人员也相继探索出了各自独到的安全理论与实践策略。

  而实际上,这其中许多貌似合理的实践策略却是完全错误的。下面,就从中选出当前盛行于网络安全领域的十大信条逐一进行剖析,看看其中究竟有多少以讹传讹之处。

  信条一:在公司网络与Internet间部署了防火墙后,客户端PC无需另行安装个人防火墙。在公司IT管理部门,有此想法者大有人在。但实际上,这种想法十分错误。部署于公司网络与外部网络之间的防火墙只能防范来自外部的威胁,对诸如心怀不满的员工发动的恶意攻击、或者员工经由便携机自家中等途径带入网络内的病毒及恶意程序等来自内部的威胁却无能为力。

  信条二:除个人防火墙外,企业网络内部署一个大型硬件防火墙就可以高枕无忧。这种想法是错误的。一个明显的例子就是公司普通网段与带有公司敏感数据的网段之间就需要部署防火墙,以确保公司敏感数据流量的安全。

  信条三:设置复杂的用户密码,并定期频繁更换。这是被许多网络管理人员奉为至臬的一条安全准则。诚然,象“aX-1r6&d+n7S9tU!”这种包含16个随机字符的密码的确很难被人猜到,但实际上,这类密码泄露比例远比密码被猜中的比例高。因此,更可行的策略是选择易于记忆、并且他人较难推测出来的字符组合。

  信条四:在已安装有反病毒软件的情况下,没有必要另行在电子邮件服务器上安装木马检测或反病毒产品。不能认为反病毒软件就能将所有安全威胁一网打尽。对于新出现的病毒,反病毒软件无法识别的现象时有发生。而且,反病毒软件多数情况下并不能对木马等间谍软件进行有效检测,当然也就不能提供足够的防护。

  信条五:垃圾邮件虽令人讨厌,但并不会带来实质性安全威胁。这种认识是片面的。垃圾邮件能否带来安全威胁,取决于垃圾邮件本身。实际上,不少垃圾邮件本身就带有病毒、木马或恶意程序,而且会占用大量服务器资源与网络带宽,甚至最终导致网络瘫痪。

  信条六:无线网络采用数据加密技术就可以确保安全。毫无疑问,这一技术能对数据安全起到一定程度的保护作用。但要确保无线网络安全,仅仅依靠WPA等更先进的数据加密技术远远不够,还需要关闭接入点SSID广播功能、以及无线用户身份认证技术等措施双管齐下。

  信条七:人体特征识别技术可以提高公司网络安全系数。就理论角度而言,这是正确的。但由于技术与成本等方面因素的限制,目前人体特征识别设备本身并不完全可靠,误识别现象经常存在,这不仅给系统安全带来了隐患,还可能将合法用户拒之门外。

  信条八:对工作站与便携机上的硬盘进行整体加密就可以防止数据被非法访问。这种认识也有其偏颇之处。多数硬盘整体加密软件只能在关机时对硬盘上的数据加以保护。系统启动后,这类软件会自动将加密数据进行解密。因此,更理想的解决之道是在进行硬盘整体加密的同时,设置用户身份认证。

  信条九:转向Linux可以增强系统与网络安全。虽然目前针对Linux的病毒与恶意程序相对较少,但实际上,在美国系统网络安全协会和美国联邦调查局共同发布的二十大安全漏洞中,Linux安全漏洞占据的比例并不比Windows低。就这个意义上而言,Linux并非是一种更为安全的操作系统。

  信条十:培训投资是网络安全最重要的投资。这个观点非常正确。对网络管理人员与用户进行经常性、系统性的培训,使其及时了解各种网络安全知识,才能使公司网络内的各种安全产品物尽其用,真正发挥效用,有效防范各类安全威胁。

  一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an 这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。

  检测网络连接

  如果你怀疑自己的计算机上被别人安装了

  禁用不明服务

  很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。

  轻松检查账户

  很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。

  首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”来删掉这个用户吧!

  答: 这个问题也算是一个经典的问题。不断的有人问,不断的有人回答,可我还是总能看到有人在问这个问题。

  总结了一下,之前的回答大多是用文字的,可能不够直观。在这里我用图片再回答一次这个问题,希望之后问这个问题的人会少一些。

  确定操作系统为Windows XP,至于SP1还是SP2没有关系,并且已经打开了guest用户。

  1、进入控制面版。

  2、双击“管理工具”项

  

 

  3、进入“管理工具”项,双击“本地安全策略”

 

  4、进入“本地安全策略”

  在左边的“本地策略”中选“用户权利指派”

  双击右边的“从网络访问此计算机”

  5、双击后弹出“从网络访问此计算机 属性”

  点下方的“添加用户或组”按扭

  6、接着弹出“选择用户或组”,点下方的“高级”按钮。

  点右方的“立即查找”之后,下方出现本地计算机所有的用户和组,选中“guest”用户,确定。

  

  7、之后一路“确定”即可。