摘 要 具体分析了治理信息系统常见的系统安全题目，针对性地提出解决方案和应留意的事项。

关键词 系统 安全 维护

概述

随着公司及下属各单位的局域网和互联网络的深进应用，网络不断地扩展和日趋复杂，系统安全题目愈来愈突出。安全题目能导致信息系统的瘫痪、重要数据的丢失，使我们的业务停顿，治理陷进混乱，终极结果是给企业造成严重的经济损失。因此信息系统的安全题目，已经与企业的生存能力息息相关，了解系统面临的各种威胁，防范和消除这些威胁，实现真正的系统安全己经成了信息技术发展中最重要的事情。本文针对公司本部 MIS 安全防范的治理经验，谈谈如何改善和解决系统的安全题目，希看起到抛砖引玉的作用，引起同行对系统安全治理的重视。

1从基本做起

对于中小型网络来说系统治理员一般承担安全治理员的角色。系统治理员采取的安全策略，最重要的是保证服务器的安全和分配好各类用户的权限。一般情况下，需要留意以下一些方面。

2.1系统治理员必须了解整个网络中的重要公共数据（限制写）和机密数据（限制读）分别是哪些，它在哪儿，哪些人使用，属于哪些人，丢失或泄密会造成怎样的损失。这些重要数据应集中放在中心机房的服务器上，置于有安全经验的专人治理之下。同时定期对各类用户进行安全培训。

2.2服务器上所有的卷全部使用NTFS，使用最新的Service P k升级你的Nt和200操纵系统。取消服务器上不用的服务和协议种类，网络上的服务和协议越多安全性越差。

2.3不要将服务器的操纵系统设置为自动登录，应使用 NT Security对话框（Ctrl＋Alt＋Del）注册 。修改默认的“Administrator”用户名，加上“强口令”（多于10个字符且必须包括数字和符号），最好再创建一个具有“强口令”的治理员特权的账号，使网络治理员账号不易被攻破。平时治理员账号仅用于系统治理，不要在任何客户机上使用治理员账号，对属于Administrator组和备份组的成员用户要特别慎重。

2.4限制可以登录到有敏感数据的服务器的用户数，这样在出现题目时可以缩小怀疑范围。通过系统策略编辑器”可以进一步控制一般用户或组在windowsgx客户机上的行为。限制Goest账号的权限，最好不答应使用Guest账号。不要在Everyone组增加任何权限，由于Guest也属于该组。

2.5一般不直接给用户赋权，而通过用户组分配用户权限。新增用户时分配一个口令，并控制用户“首次登录必须更改口令”，最好进一步设置成口令的不低于6个字符，杜尽安全漏洞。至少对用户“登录和注销”网络、“重新启动、关机”、“安全规则更改”活动进行审计，但不要忘了过多的审计将影响系统性能。

2.6利用网管软件治理好网络设备，及时修改网络设备默认的系统治理口令（大部分网络设备都没有设置系统治理的口令）有条件的单位可以配置功能较强的网管软件，主要包含网络构成治理、网络故障治理、网络性能治理、网络安全治理等功能。

2.6.1网络构成治理

自动发现网络节点

自动天生治理网络图

对象化治理

TP地址资源治理

2.6.2网络故障治理

设定监控方式

报告网络故障

故障自动通知

面板治理和定制

2.6.3网络性能治理

测定通讯量

统计分析通讯状况

系统性能监视预警

2.6.4网络安全治理

形成网络治理操纵日志

判定IP的正当使用

治理权限控制

3、做好数据备份

治理信息系统的服务器担负着企业的关键应用，存储着企业最为重要的信息和数据，为领导和决策部分提供综合信息查询的服务，为网络环境下的大量客户机提供快速高效的信息查询、数据处理和INTERNET的各项服务。为保护关键应用数据的安全，在发生人为或自然灾难的情况下，保证数据不丢失，必须建立可靠的网络备份系统。

3.1完整的数据备份系统必须考虑以下几点

计算机网络数据备份的自动化，以减少系统治理员的工作量。

使数据备份工作制度化，科学化。

对介质治理的有效化，防止读写操纵的错误。

对数据形成分门别类的介质存储，使数据的保存更细致、科学。

自动介质的清洗轮转，进步介质的安全性和使用寿命。

以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统治理员可以在任意一台工作站上治理、监控、配置备份系统，实现分布处理，集中治理的特点。

维护职员可以轻易地恢复损坏的整个文件系统和各类数据。

备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。

3.2备份治理软件的选择

建设一个成功的自动备份系统，来承担复杂的、多平台的、系统不断扩展的计算机网络的数据备份，备份治理软件的选择是一个相当重要的工作。企业级备份市场目前可分为两大块：专有系统市场（ES／9000，AS／400）和开放系统市场（UNIX，NT）。在开放系统市场上，目前技术和市场的领先者是美国的VERITAS 公司、Legato公司和CA公司。对于仅需备份NT平台的系统最好选择CA公司的ARCSERER。对于跨多平台多业务的系统，可以考虑选择 VERITAS或 Legato。

3.3备份设备的选择

常用的存储介质类型有：磁盘、磁带、光盘和 M0 （磁光盘），其中，磁带和

光盘的费效比较高，在大容量的数据存储方面比较常用。

目前比较流行的磁带机技术主要有5种：

DC200／TRAVAN技术。这种技术主要为 PC 机提供进门级的数据保护，适合PC或低档的PC 服务器，在商用市场里，这种技术己逐步退出市场。

QICDC600技术。也就是数据流带机，最早由3M 公司开发，由于磁带体积较大，因此，带机只有5.25英寸格式。几个主要的研究、生产的厂商如 SEAGATE、TECMAR都己停止了对它的开发。只有Tandberg一家还在继续生产。

8MM技术于1987 年由Exabyt 公司最先推出，这种技术在相当高的价位上提供了相对较高的容量，由于其技术开放性较差，目前其市场占有率已越来越受到新技术产品的挑战。

DLT（DIGITAL LINER TAPE）技术。这种技术最早由DEC公司开发，由于其技术的稳定性，非常高的备份速度，以及极大的备份容量，目前在高端服务器市场的占有率正迅速进步。DLT 驱动器的容量从10GB（压缩20GB）到35GB（压缩70GB）不等，国外厂商近期己推出50GB（压缩100GB）的 DLT磁带机，数据传输速度相应从1.5MB／秒到6MB／秒。

4MM技术。即 DAT（DIGITAL AUDIO TYPE）技术，最早由惠普公司和索尼公司共同开发，这种技术以螺旋扫描记录为基础，将数据转化为数字后存储下来。4MM技术由于其良好的开放性已成为业界的标准。因此得到了广泛的应用。目前，拥有较大的市场占有率。

一般来说，DAT适合部分级网络的备份，DLT则适合大型主机和网络的高性能备份。

4、网络防病毒

随着网络用户数目不断增多，内外文件数据交换增大，数据交换渠道难以控制。在这种情况下，计算机病毒通过网络传播，甚至直接攻击服务器，对整个网络体系的安全构成了极大的威胁。因此，为杜尽病毒可能对网络系统构成的危害，网络防病毒工作必须渗透到服务器和客户真个各个角落，才能实现真正的安全防护。网络防病毒系统应该包括以下功能：

全方位的病毒防护。可以时刻监视系统当中的病毒活动、系统状况，时刻监视网络上硬盘、软盘、光盘、因特网、网络驱动器、电子邮件上的病毒传染，在对染毒文件进行复制、移动、打开、运行、下载等操纵前作出报苦提示，用户通过选择处理方案，可以将病毒阻止在操纵系统外部。

定时扫描功能。答应用户预定扫描作业，到达预定时间自动启动，扫描所指定的服务器或工作站。用户可以选择非工作时间设定预扫描作业，减轻系统工作压力。

集中网络治理功能。能够实现对系统中的工作站和服务器进行集中同一治理，可以对网络中的所有NT／Windows2000服务器和工作站进行任务分配、自动下载和分发、扫描设置等日常的安全维护工作。对病毒事件进行安全审计，向系统治理员提供证据，用来跟踪、追查各种可能的病毒事件。

网络报警功能。拥有网络报警系统，可以多种方式向网络治理员和用户进行病毒报警，提供网络广播、故障打印、邮件、寻呼机报警等多种报警方式.用户无论身在何处，均可以及时获得报警信息，及时进行处理。

网络自动更新、软件分发功能。拥有病毒升级文件的自动下载、更新和分发系统。通过治理员简单的配置，无需人工千预，在一台服务器上下载升级文件就可自动完玉成域内所有计算机的升级工作。所有的下载、更新和分发工作全部由自动启动、控制，自动完成。

实时防护邮件系统功能。可以对notes或 exchange 邮件系统中的邮件及其附件提供实时的病毒防护，时时刻刻保护邮件系统。

5、安全漏洞扫描与实时监控

5.1安全漏洞扫描

根据网络构造，可以把网络安全题目具体定位在以下三个层次上：

层次一：通讯和服务

该层次的安全题目主要体现在网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机，无需口令通过 Rlogon以root身份登录到一台主机等，都是利用了TCP／IP协议本身的漏洞。

层次二：操纵系统

这一层次的安全题目来自内部网采用的各种操纵系统，如运行各种UNIX的操纵系统。包括操纵系统本身的配置不安全和可能驻留在操纵系统内部的黑客程序等带来的威胁。

层次三：应用程序

该层次的安全威胁来自内部网的防火墙配置、内外web 站点的服务、网上交易、拨号服务、E-mail服务、传真服务及对数据库的保护。

根据安全题目及漏洞产生的位置采用先进的安全漏洞扫描产品（如ISS），对网络的通讯、服务层、操纵系统层、应用层、数据库进行漏洞扫描，评估安全威胁和风险，在黑客攻击前找到漏洞并修补，增强网络的安全强度。在信息系统网络中，在各层次信息网络、各重要的服务器、数据库、各进口处分别设置INTERNE扫描器、WWW扫描器、防火墙扫描器、操纵系统扫描器、数据库扫描器，对网络的各个层次和设备进行扫描，辅助系统治理员及时发现安