网络版

　ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系

组件的定制：win2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的（米特尼科说过，他可以进入任何一台默认安装的服务器，我虽然不敢这么说，不过如果你的主机是WIN2000 SERVER的默认安装，我可以告诉你，你死定了）你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限

asp服务器安全权限配置清单

当然，几乎每个网络管理员都对“开放中继”的概念、它有什么坏处以及典型的解决方案等非常熟悉，这些解决方案有诸如对某些IP地址的限制性中继服务或者需要认证等实现方式。但是许多网络管理 员也许没有没有意识到现在的垃圾邮件发送者已经变得更加老谋深算了。 　　作为一个测试演练，我上周和这周设立了几个邮件服务器，既使用了微软的Exch

　邮件不包含附件。真正的Microsoft安全公告邮件绝对不会包含补丁程序作为附件。另外，我们也会在我们的网站上为顾客提供完整的安全公告原文，文章中会有下载补丁程序的链接。大部分Microsoft 软件的补丁程序也都可以在Microsoft? Windows? Update，Microsoft Office Update，或者其它的Microsoft下载中心找到。 　　邮件是经过数字签名的。

　　这些部件可以安装在墙上或者机架上，可以通过工作站集中监控，监控方式既可以基于互联网通过Web界面，也可以使用PDA进行无线传输。这些设备带有专门的监控管理软件，由于支持SNMP，也可以嵌入到其他网络管理软件中，作为另外一个节点被监控。一般来说，环境传感器可以根据需要串接起来。

当然笔者是不会满足于这么简单的界面，我们按下“专业界面”按钮，进入更多的功能选项中去。在这个界面可以看到木马查杀方面，我可供选择的地方多了不少，而且还可以按照简洁目标、磁盘目标、文件夹目标等查杀条件进行木马的清除。软件还额外提供了敏感区域、内存、光驱等的扫描，可惜没有比较流行的U盘和MP3扫描选项，只能从文件夹里进行选择。

4. 使用一个低特权用户作为 SQL 服务器服务的查询操作账户，不要用 LocalSystem 或sa。 这个帐户应该有最小的权利 ( 注意作为一个服务运行的权利是必须的)和应该包含( 但不停止）在妥协的情况下对服务器的攻击。 注意当使用企业管理器做以上设置时 , 文件，注册表和使用者权利上的 ACLs同时被处理。

以木马病毒为例，在刚刚过去的三月份，趋势科技就监测到了2，997个木马，占所有病毒总数的39％。其中，新增的木马数目高达2，292，占新增病毒总数的47％。令人担忧的是，很多木马会居心叵测地窃取用户的帐号、密码等信息，木马数目的急剧飙升增加了网络交易的风险。如TROJ_BANKER等木马病毒会通过键盘检测、网络钓鱼等方法窃取用户网络银行帐号

　　 杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？ 　　一、被激活的非系统文件内的病毒 　　 杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。 　　

　　传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。但这种设计的最大问题是，恶意攻击的发起不仅仅来自于外网，内网环境同样存在着很多安全隐患，而对于这种问题，边界式防火墙处理起来是比较困难的，所以现在越来越多的防火墙产品也开始体现出一种分布

使用EFS可以防止他人在未经授权的情况下对物理存储的敏感数据进行访问，以确保文档安全。对拥有该文件私钥（用户亲自加密了文件，或用户是注册的故障恢复代理）的用户，加密是透明的（不必在使用前解密），可以打开该文件并将它像常规文档一样处理。但试图访问已加密文件或文件夹的入侵者将被禁止这些操作，如果他试图打开、复制、移动或重新命

在过去，包括微软在内的厂商打包一系列的样本脚本，文件处理和给管理员提供的必要的便于是用的小型的文件系统许可在网络服务器默认安装程序中。然而，这样一来增加了被攻击的可能性，而且也是多种对IIS进行攻击的基础。因此，IIS6.0比其以前的版本都要安全。其中最为显著的改变是IIS6.0不是作为windows server 2003的缺省安装。

利用EFS可以对数据进行一定程度的保护，但是，EFS仅负责本地计算机存储数据的安全保护，当数据在网络上传输时，数据不会被加密。这时候怎么办？Windows 2000的IP安全特性解决了这个问题。 　　IP安全性(Internet Protocol Security)是Windows 2000中新提供的一种安全技术，它是一种基于点到点的安全模型，可以实现更高层次的局域网数据安全

不管是mysql，还是mssql，在外部网络中，都受到相当大的威胁。相比而言，mssql受到的威胁甚至要更大些，最近2年来，mssql暴露出了多个远程溢出漏洞。如果配置的比较好的话，我认为，mysql要比mssql安全一些，因为随时会爆发的新溢出漏洞是防不胜防的，而且能够执行系统命令的sql注入攻击也非常可怕。好了，限于篇幅，这篇文章到此结束。

为了防止这些恶意攻击，一款好用的防火墙自然必不可少，比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具，它便是“Outpost Firewall”。它除了能够预防来自Cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 Internet潜在的危险外，还可以利用

　　防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：(1)风险分析；(2)需求分析；(3)确立安全政策；(4)选择准确的防护手段，并使之与安全政策保持一致。然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足

路由器滤掉被屏蔽的的IP地址和服务。例如，我们首先屏蔽所有的IP地址，然后有选择的放行一些地址进入我们的网络。一般来说，总是首先屏蔽所有的再放行。对于首先放行所有的，再屏蔽一些地址是不可取的，除非你提供一个公共服务，如http。 路由器也可以过滤一些服务协议。例如，假设我们有一台web服务器，我们只想提供web服务，只需允许http协议

这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络

　　要想把病毒控制在某个范围之内，先得找出感染病毒的机器的IP地址。如果局域网规模不大，而且采用手工方式分配IP地址(静态IP地址)，网管能够很快找到被感染机器的IP地址。 　　对于规模较大，采用DHCP服务器动态分配IP地址的办公室局域网来说，由于IP地址是可变的，想快速找出被感染机器的IP地址是不太容易的。果冻打算利用ISA 2004提供