企業資訊安全防範的24妙招

隨著企業上網的迅猛發展，網路安全問題變得尤為重要，因為網路安全直接關係到企業的生存與發展，確保企業資訊保安、以便企業不受損失應該成為各級企業使用者的共識。那麼作為企業，又該採取何種措施來保證自己的資訊不受“攻擊”呢？本文就是作者總結出來的24種防範招數。

二十世紀九十年代末出現的Internet標誌著人類社會已經進入了資訊化時代,在這個時代，越來越多的人已經開始離不開Internet網路。由於internet的共享性和對外開外性，如何保證資訊保安就成為發展internet的重要課題。目前，我國整體的internet安全防護能力很弱，許多應用系統還處於不設防的狀態或系統安全維護得很不夠。隨著企業上網的迅猛發展，網路安全問題變得尤為重要，因為網路安全直接關係到企業的生存與發展，確保企業資訊保安、以便企業不受損失應該成為各級企業使用者的共識。那麼作為企業，又該採取何種措施來保證自己的資訊不受“攻擊”呢？

妙招1、提高網路安全防範意識。

現在許多企業沒有意識到網際網路的易受攻擊性，盲目相信國外的加密軟體，對於系統的訪問許可權和金鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱，其中的機密資料得不到應有的保護。據調查，目前國內90%的網站存在安全問題，其主要原因是企業管理者缺少或沒有安全意識。某些企業網路管理員甚至認為其公司規模較小，不會成為黑客的攻擊目標，如此態度，網路安全更是無從談起。

妙招2、不輕易執行不明真相的程式

如果你收到一封帶有附件的電子郵件，且附件是副檔名為ＥＸＥ一類的檔案，這時千萬不能貿然執行它，因為這個不明真相的程式，就有可能是一個系統破壞程式。攻擊者常把系統破壞程式換一個名字用電子郵件發給你，並帶有一些欺騙性主題，騙你說一些：“這是個好東東，你一定要試試”，“幫我測試一下程式”之類的話。你一定要警惕了！對待這些表面上很友好、跟善意的郵件附件，我們應該做的是立即刪除這些來歷不明的檔案。

妙招3、用防火牆將企業內部網（intranet）與網際網路（internet）之間進行隔離。

為自己的區域網或站點提供隔離保護，是目前普遍採用的一種安全有效的方法。防火牆是一個位於內部網路與Internet之間的計算機或網路裝置中的一個功能模組，是按照一定的安全策略建立起來的硬體和軟體的有機組成體，其目的是為內部網路或主機提供安全保護，控制誰可以從外部訪問內部受保護的物件，誰可以從內部網路訪問Internet，以及相互之間採取哪種方式進行訪問。所以為了保護自己的計算機系統資訊，不受外來資訊的破壞和威脅，我們可以在自己的計算機系統中安裝防火牆軟體。

由於網路攻擊不斷升級，對應的防火牆軟體也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程式，以便進行網路維護，同時經常掃描整個內部網路，以發現任何安全隱患並及時更改，才能做到有備無患。

妙招4、遮蔽小甜餅程式

小甜餅就是Cookie，它是Web伺服器傳送到電腦裡的資料檔案，它記錄了諸如使用者名稱、口令和關於使用者興趣取向的資訊。實際上，它使你訪問同一站點時感到方便，比如，不用重新輸入口令。但Cookies收集到的個人資訊可能會被一些喜歡搞“惡作劇”的人利用，它可能造成安全隱患，因此，我們可以在瀏覽器中做一些必要的設定，要求瀏覽器在接受Cookie之前提醒您，或者乾脆拒絕它們。通常來說，Cookie會在瀏覽器被關閉時自動從計算機中刪除，可是，有許多Cookie會一反常態，始終儲存在硬碟中收集使用者的相關資訊，其實這些Cookie就是被設計成能夠駐留在我們的計算機上的。隨著時間的推移，Cookie資訊可能越來越多，當然我們的心境也因此變得越來越不踏實。為了確保萬無一失，對待這些已有的Cookie資訊應該從硬碟中立即清除，並在瀏覽器中調整Cookie設定，讓瀏覽器拒絕接受Cookie資訊。

妙招5、遮蔽ActiveX控制元件

由於ActiveX控制元件可以被嵌入到HTML頁面中，並下載到瀏覽器端加以執行，因此會給瀏覽器端造成一定程度的安全威脅。目前已有證據表明，在客戶端的瀏覽器中，如IE中插入某些ActiveX控制元件，也將直接對伺服器端造成意想不到的安全威脅。同時，一些其他技術，如內嵌於IE的VBScript語言，用這種語言生成的客戶端可執行的程式模組，也同Java小程式一樣，有可能給客戶端帶來安全效能上的漏洞。此外，還有一些新技術，如ASP(ActiveserverPages)技術，由於使用者可以為ASP的輸出隨意增加客戶指令碼、ActiveX控制元件和動態HTML，因此在ASP指令碼中同樣也都存在著一定的安全隱患。所以，使用者如果要保證自己在因特網上的資訊絕對安全，可以遮蔽掉這些可能對電腦保安構成威脅的ActiveX控制元件。

妙招6、在不同的地方用不同的口令

對於經常上網的使用者，可能會發現在網上需要設定密碼的情況有很多。有很多使用者圖方便記憶，不論在什麼地方，都使用同一個口令，殊不知他們已不知不覺地留下了一個安全隱患。因為攻擊者一般在破獲到使用者的一個密碼後，會用這個密碼去嘗試使用者每一個需要甬道口令的地方！想想看，別人用一個口令慢慢地盜用你的帳號上網；再去偷看與冒發你的Email；也許還會用你的身份去聊天室損害你的形象……，想想看那後果該有多嚴重呀！所以筆者強烈建議各位使用者，每個不同的地方用不同的密碼，一定不能相同，同時要把各個對應的密碼記下來，以備日後查用。另外一點就是我們在設定密碼時，不應該使用字典中可以查到的單詞，也不要使用個人的生日，最好是字母、符號和數字混用，多用特殊字元，諸如%、&、#、和$,並且在允許的範圍內，越長越好，以保證你的密碼不易被人猜中。

妙招7、定期清除快取、歷史記錄以及臨時資料夾中的內容

我們在上網瀏覽資訊時，瀏覽器會把我們在上網過程中瀏覽的資訊儲存在瀏覽器的相關設定中，這樣下次再訪問同樣資訊時可以很快地達到目的地，從而提高了我們的瀏覽效率。但是瀏覽器的快取、歷史記錄以及臨時資料夾中的內容保留了我們太多的上網的記錄，這些記錄一旦被那些無聊的人得到，他們就有可能從這些記錄中尋找到有關個人資訊的蛛絲馬跡。為了確保個人資訊資料的絕對安全，我們應該定期清理快取、歷史記錄以及臨時資料夾中的內容。

妙招8、不隨意透露任何個人資訊

在網上瀏覽資訊時，經常會發現需要使用者註冊自己個人資訊資料的表單。這些站點通過程式設計達到一種不填寫表單就不能獲取自己需要的資訊的目的。面對這種強迫使用者註冊個人資訊的情況，我們最好的辦法是不要輕易把自己真實的資訊提交給他們，特別是不要向任何人透露你的密碼。還有，在使用ICQ、OICQ等網路軟體以及註冊免費Email資訊的時候，我們都需要填寫一些個人資料。某些資料是必須填寫的，自然無法略過。但是對於可填可不填但又涉及自己隱私的資料，還是能免就免，您有權利保持沉默，否則您所說的一切，有可能在網路上被黑客利用。

妙招9、突遇莫名其妙的故障時要及時檢查系統資訊

上網過程中，突然覺得計算機工作不對勁時，彷彿感覺有人在遙遠的地方遙控你。這時，你必須及時停止手中的工作，立即按Ctrl+Alt+Del複合鍵來檢視一下系統是否運行了什麼其他的程式，一旦發現有莫名其妙的程式在執行，你馬上停止它，以免對整個計算機系統有更大的威脅。但是並不是所有的程式執行時出現在程式列表中，有些程式例如BackOrifice（一種黑客的後門程式）並不顯示在Ctrl+Alt+Del複合鍵的程序列表中，所以如果你的計算機中執行的是ＷＩＮ９８或者ＷＩＮ２０００作業系統，最好執行“附件”/“系統工具”/“系統資訊”，然後雙擊“軟體環境”，選擇“正在執行任務”，在任務列表中尋找自己不熟悉的或者自己並沒有執行的程式，一旦找到程式後應立即終止它，以防後患。

妙招10、對機密資訊實施加密保護

對機密資訊進行加密儲存和傳輸是傳統而有效的方法，這種方法對保護機密資訊的安全特別有效，能夠防止搭線竊聽和黑客入侵，在目前基於Web服務的一些網路安全協議中得到了廣泛的應用。在Web服務中的傳輸加密一般在應用層實現。WWW伺服器在傳送機密資訊時，首先根據接收方的IP地址或其他標識，選取金鑰對，資訊進行加密運算；瀏覽器在接收到加密資料後，根據IP包中資訊的源地址或其他標識對加密資料進行解密運算，從而得到所需的資料。在目前流行的WWW伺服器和瀏覽器中，如微軟公司的IIS伺服器和瀏覽器IE，都可以對資訊進行加解密運算，同時也留有介面，使用者可以對這些加解密演算法進行過載，構造自己的加解模組。

妙招11、拒絕某些可能有威脅的站點對自己的訪問

我們在上網瀏覽資訊時，應該做一個有心人，應經常通過一些報刊雜誌來蒐集一些黑客站點或其他一些具有破壞站點的相關資訊，並時時注意哪些站點會惡意竊取別人的個人資訊。在瞭解了這類網站的基本資訊的情況下，如果想防止自己的站點不受上述那些站點的破壞，我們可以通過一些相關設定來拒絕這些站點對你的資訊的訪問，從而能使瀏覽器能夠自動拒絕這些網站發出的某些對自己有安全威脅的指令。

妙招12、對重要的郵件進行加密

由於越來越多的人通過電子郵件進行重要的商務活動和傳送機密資訊，而且隨著網際網路的飛速發展，這類應用會更加頻繁。因此保證郵件的真實性（即不被他人偽造）和不被其他人擷取和偷閱也變得日趨重要。所以，對於包含敏感資訊的郵件，最好利用數字標識對你寫的郵件進行數字簽名後再發送。所謂數字標識是指由獨立的授權機構發放的證明你在Internet上身份的證件，是你在因特網上的身份證。這些發證的商業機構將發放給你這個身份證並不斷效驗其有效性。你首先向這些公司申請數字標識，然後就可以利用這個數字標識對你寫的郵件進行數字簽名。如果你獲得了別人的數字標識那麼你還可以跟他傳送加密郵件。你通過對傳送的郵件進行數字簽名可以把你的數字標識傳送給他人，這時他們收到的實際上是公用金鑰，以後他們就可以通過這個公用金鑰對發給你的郵件進行加密，你再使用私人金鑰對加密郵件進行解密和閱讀。

妙招13、為客戶/伺服器通訊雙方提供身份認證，建立安全通道

目前已經出現了建立在現有網路協議基礎上的一些網路安全協議，如SSL和PCT。這兩種協議主要是用於保護機密資訊，同時也用於防止其他非法使用者侵入自己的主機，給自己帶來安全威脅。

SSL協議是美國Netscape公司最早提出的一種包括伺服器的認證、簽名、加密技術的私有通訊，可提供對伺服器的認證，根據伺服器的選項，還可提供對客戶端的認證。SSL協議可執行在任何一種可靠的傳輸協議之上，如TCP，但它並不依賴於TCP，並能夠執行在HTTP、FTP、TELNET等應用協議之下，為其提供安全的通訊。SSL協議使用X.509V3認證標準，RSA、diffieHellman和FortezzaKEA演算法作為其公鑰演算法，使用RC4128、RC128、DES、3層DWS或IDEA作為其資料加密演算法。PCT提供了比SSL更加豐富的認證方案、加密演算法，並在某些協議細節上作了改進。

妙招14、儘量少在聊天室裡或使用ＯＩＣＱ聊天

在聊天室裡或者用ＯＩＣＱ與一些朋友輕鬆討論問題，開開玩笑，真是舒坦！然而在你輕鬆快樂之餘，惡意破壞者們利用網上聊天的一些漏洞，從中獲取你的個人資訊，比如你所在機器的ＩＰ地址，你的姓名等等。然後他們利用這些個人資訊對你進行一些惡意的攻擊，例如在聊天室裡，他們常常可以發給大家一個足以讓使用者計算機宕機的HTML語句。因為這些HTML語句是不會在聊天室顯示出來的，所以你遭攻擊可能還不知道！防治的辦法是在你的瀏覽器中預先關閉你的JAVA指令碼。另外在網上有一種工具只要你在網上，輸入你的QICQ號，就可以知道你的IP地址，解決辦法只有你上網後，把OICQ狀態設定為隱藏狀態，這樣破壞者才不知道你在網上！

妙招15、企業的網管人員不應該在網上隨意透露自己企業的任何安全資訊。

網管人員在網上經常需要與別人進行交流溝通，不過他們應該注意在真正瞭解網上朋友之前，將交流限制在郵件、網上聊天或公共交流區。不要輕信任何人，如他們的姓名、性別、職業、住址和其他資訊。統計表明多數網上聊天參加者很少使用真實身份,小心確認向陌生人透露何種個人資訊和透露多少。不要隨意在站點的來客登記簿上登入，這可能會導致收到垃圾郵件。

妙招16、內部網路系統的密碼要定期修改。

由於許多黑客利用窮舉法來破解密碼，像john這一類的密碼破解程式可從因特網上免費下載，只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地執行，就可以獲得需要的帳號及密碼，因此，經常修改密碼對付這種盜用就顯得十分奏效。當然，設定密碼也有很深的學問，只有隨意性強、有足夠的長度並及時更新的密碼才能算是比較安全的密碼。以下四個原則可提高密碼的抗破解能力。

①不要選擇常用字做密碼。

②用單詞和符號混合組成密碼。

③使用9個以上的字元做密碼，使你的密碼儘可能地長，對Windows系統來說，密碼最少要由9個字元組成才算安全。

④密碼組成中最好混合使用大小寫字母，一般情況下密碼只由英文字母組成，密碼中可使用26或52個字母。若對一個8個字母組成的密碼進行破解，密碼中字母有無大小寫之分將使破解時間產生256倍的差別。

妙招17、儘量不要使用共享硬碟功能

使用了遠端撥號接入區域網功能的Windows98使用者要慎用硬碟共享和檔案共享功能，共享就意味著允許別人下載檔案。儘量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會。儘量不要啟動系統資源共享功能。因為共享就意味著允許別人下載檔案。當硬碟或資料夾圖示下有一隻手託著時，表明啟動了共享功能，選中該圖示，選擇“檔案”選單下的“共享”，再選“不共享”，這隻手就消失了。

妙招18、要經常使用防毒軟體來維護區域網系統不受病毒攻擊

現在國內的防毒軟體如kv300、kill98、瑞星等，可以不定期地在離線的情況下進行檢查和清除。另外，有的防毒軟體還提供網路實時監控功能，這一功能可以在黑客從遠端執行使用者機器上的檔案時，提供報警或讓執行失敗，使黑客向用戶機器上載可執行檔案後無法正確執行，從而避免了進一步的損失。

妙招19、防止黑客的非法侵入

將網路的tcp起時限制在15分鐘以內，減少黑客入侵的機會。並擴大連線表，增加黑客填寫整個連線表的難度。另外，同其它企業進行聯合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門彙報，並共同查詢入侵來源，鎖定黑客ip地址。

妙招20、請別人安裝或除錯後應立即修改密碼

這是一個很容易忽略的細節，許多使用者第一次不懂得如何撥號上網，就請別人來教，這樣常常把使用者名稱和密碼告訴此人，這個人記住以後就可以回去盜用服務了。所以，使用者最好自己學會如何撥號後再去申請上網賬號，或者首先向ISP問清如何修改自己的密碼，在別人教會自己如何撥號後，立刻將密碼改掉，避免被人盜用。

如果企業的區域網系統是請他人除錯安裝的，企業的網管人員應該注意在網路除錯好以後應及時對整個網路系統加裝安全保護系統，或者重新修改除錯人員以前設定的密碼。所以，企業使用者最好自己學會如何除錯和管理自己的區域網系統，不要經常請別人來協助管理。

妙招21、刪除字尾為的檔案

在Windows目錄下往往有一些以“”為字尾名的密碼檔案，“”是password的音譯縮寫。比如：在最初的Windows95作業系統中密碼的儲存即存在安全漏洞，從而使黑客可以利用相應的程式輕鬆獲取儲存在pwl檔案裡的密碼。這一漏洞在Windows98中已經被修復。因此，你需要為你的電腦安裝Windows98以上版本的作業系統。pwl檔案還常常記錄其它地方要用到的密碼，比如開啟Exchange電子信箱的密碼、玩Mud遊戲的密碼等，要經常刪除這些pwl檔案避免將密碼留在硬碟上。

妙招22、禁止安裝擊鍵記錄程式

很多人知道這個程式，這個在DOS下常用的外部命令能通過恢復以前輸入的命令來加快輸入命令的速度，在Windows下也有了許多類似的程式，如keylog，它不但能記錄使用者的擊鍵動作甚至能以快照的形式記錄到螢幕上發生的一切。還有些程式能將擊鍵字母記錄到根目錄下的某一特定檔案中，而這一檔案可以用文字編輯器來檢視。密碼就是這樣被洩露出去的，偷盜者只要在根目錄下看看就可以了，根本無需任何專業知識！

妙招23、對付特洛伊木馬

特洛伊木馬程式常被定義為當執行一個任務時卻實際上執行著另一個任務的程式，用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程式一點也不為過。典型的一個例子是：偽造一個登入介面，當用戶在這個介面上輸入使用者名稱和密碼時，程式將它們轉移到一個隱蔽的檔案中，然後提示錯誤要求使用者再輸入一遍，程式這時再呼叫真正的登入介面讓使用者登入，於是在使用者幾乎毫無察覺的情況下就得到了記錄有使用者名稱和密碼的檔案。現在網際網路上有許多所謂的特洛伊木馬程式，嚴格地說它們屬於客戶機／伺服器（C／S）程式，因為它們往往帶有一個用於駐留在使用者機器上的伺服器程式，以及一個用於訪問使用者機器的客戶端程式，就好像NT的Server和Workstation的關係一樣。

在對付特洛伊木馬程式方面，有以下幾種辦法：

①多讀。許多人出於研究目的下載了一些特洛伊木馬程式的軟體包，在沒有弄清軟體包中幾個程式的具體功能前，就匆匆地執行其中的程式，這樣往往就錯誤地執行了伺服器端程式而使使用者的計算機成為了特洛伊木馬的犧牲品。

②對TCP/IP埠熟悉的使用者，可以在“MS－DOS方式”下鍵入“netstat－a”來觀察與你機器相連的當前所有通訊程序，當有具體的IP正使用不常見的埠（一般大於1024）與你通訊時，這一埠很可能就是特洛伊木馬的通訊埠。當發現上述可疑跡象後，你所能做的就是：立即中斷網路系統，然後對硬碟有無特洛伊木馬進行認真的檢查。

③普通使用者應當經常觀察位於c：、c：windows、c：windowssystem這三個目錄下的檔案，檢視是否發現特洛伊木馬，如果有光有檔名沒有圖示的可執行程式，你應該立即把它們刪除，然後再用防毒軟體進行認真的清理。

妙招24、不要使用“MyDocuments”資料夾存放Word、Excel檔案

Word、Excel預設的檔案存放路徑是根目錄下的“MyDocuments”資料夾，在特洛伊木馬把使用者硬碟變成共享硬碟後，入侵者從這個目錄中的檔名一眼就能看出這個使用者是幹什麼的，這個目錄幾乎就是使用者的特徵標識，所以為安全起見應把工作路徑改成別的目錄，並且層次越深越好，比如：c：abcdefghijkl。可以肯定地說，在網際網路上，沒有什麼措施是絕對安全的，黑客入侵的一個重要法則是：入侵者不只用一種方法入侵，這就意味著只有堵塞一切漏洞才能防止入侵，這顯然是不可能的。具有諷刺意味的是，許多安全措施本身卻帶來了新的安全隱患，就好像藥品常帶有副作用一樣。