安全策略

与日俱增的安全风险不仅拖垮了防火墙，也拖垮了防病毒系统。IDC安全产品服务部门的研究总监Charles Kolodgy表示：“基于特征码的传统恶意程序检测方法已不能满足要求。用户的行为在改变，威胁也在不断演变，然而恶意程序检测技术却没有跟上步伐。”

中国从2002诞生第一家专业从事加密软件的企业之后，数年来加密行业渐渐风生水起。进入2008年，市场上忽然如雨后春笋般冒出大大小小数十家上百家企业。制造企业作为加密软件的主要用户群体之一，对加密软件的需求是现实而迫切的。企业每天产生的大量设计图纸、专利产品，需要进行加密保护。然而，面对如此众多的加密软件及厂家，企业多了一些选择，却也有很多企业陷入“乱花渐欲迷人眼”之困。笔者多年从事加密软件的选型咨询，曾经为浙江正泰、京东方集团、比亚迪集团、深圳国人通信集团等大型集团公司实施了安全管理系统，在此本人略谈在制造企业加密软件选型的一些经验，与大家分享。

　本文讨论了网站常用的保护方法，详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点，并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的，但使用这些工具能帮助提高安全性，减少安全风险。

完成所有疑难解答（以安全模式）之后，请重复上述步骤，但在步骤 4 中，取消选中“/SAFEBOOT”，然后关闭所有程序并以正常模式重新启动计算机。

用户对信箱最关心的事情莫过于其容量的大小以及安全问题。Windows Server 2003的POP3邮件服务器可以通过启用磁盘配额，来限制一个账户的磁盘空间，以实现对应的邮箱大小的设置。同时还可以更改邮箱初始密码，这有效地保障了服务器及用户的利益。既防止了用户无限制地使用磁盘空间，又保护了用户邮件的安全。需要注意的是，根邮件目录必须创建在NTFS格式的硬盘分区中，否则系统将无法实现磁盘配额。

然后确信已选中“手动配置代理”单选按钮，在“SOCKS主机”右侧的文本框中输入本地主机，在对应的端口字段中输入8080即可。如果由于某种原因，用“SOCKS V5”不能工作，可以试着换为“SOCKS V4”。如此，你已经可以将OpenSSH用作一个安全的Web服务器。

如果发现“安全选项”的策略出现很多配置失误(如误设置“允许使用空白密码的账户可以远程登录计算机”的话，就可能会引起黑客入侵)，那么，请在“命令提示符”窗口中输入“Secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /areas SECURITYPOLICY /verbose”命令并回车后，当出现命令成功完成的提示时，就可以即时将“安全选项”的策略配置恢复到安全的配置状态了。

激活安全模板的命令是Secedit，命令语法为：secedit /configure /cfg /db /overwrite /log 。其中templatefilename是模板文本文件的名称（本例是D:windowssecurity emplatessimple.inf），databasefilename是安全数据库文件的名称。

我们设想有一个远程控制方案:一个公司要安置这样一个IISWeb服务器，它被放在300里以外。服务器是宽带网络、有空调装置、电力控制装置三者结合的个服务器中心。这个网络服务中心既稳固又价钱合理，但要求客户必须完全远程控制服务器，这种控制是随时的，而不必要经常跑到控制台对服务器进行操作。通常远程控制存在若干问题，最明显的是客户端机器和主机的通信要通过因特网传送。这样交换数据可能被黑客嗅探；还有一个问题就是远程控制本身漏洞 （例如它开放的端口）也会导致网络攻击。选择远程控制方案最终的目标就是要保证作为网关的你 （仅仅是你）能控制服务器而不会导致其他网络攻击。

安全与权限设置是IIS保证其站点安全的最重要的保护措施，它可用来控制怎样验证用户的身份以及他们的访问权限。在权安全与限设置过程中，管理员不但可以设置权限和站点安全的继承关系，而且还可以选择要应用的设置，包括验证方法、访问许可、IP地址限制等设置。

其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等，以及全面建立计算机网络各类文档，堵塞安全管理漏洞。

进入Windows 2000安全模式和win98 的基本差不多，一是自动进入。即当系统在引导过程中检测到某些问题时，系统就会自动引导至“安全模式”状态；二是手工启动。用户可以手工强行使用安全模式，方法是在启动计算机过程中按F8键，之后屏幕上会显示一个菜单，可在菜单中选择“安全模式”。

　能否尽可能地消除“电源干扰”是确保信息网络能否获得100%的高可利用率的关键所在。 “电源干扰”不仅来源于普通的市电电网，它还来源于“设计不完善”的UPS电源本身及用户的互联网设备本身。这是因为配置在IDC和MDC机房内的服务器、磁盘陈列机、交换机等均内置有“开关电源”。这种“整流滤波型”非线性负载会向UPS供电系统反射3次-23次低次谐波“干扰”，其可能带来的恶果之一是:降低语音通话质量。实践证明:过大和过频地出现“电源干扰”，轻者会导致互联网的传输速率下降，网络服务器的数据“丢包率”增大，modem的上网“掉线率”增大等隐形故障出现，从而导致互联网设备被迫进入“降额”使用状态，严重时还会导致网络瘫痪。

BAI购买了多台FortiGate系统，包括FortiGate-60用于客户分支办公室，FortiGate-300系统用于中型的企业客户，以及FortiWiFi-60用于灵活的无线访问。所有FortiGate设备具有防病毒、防火墙、IPSec、VPN、和入侵检测/防御的ICSA认证证书，加上内容过滤和流量管理功能，价位较低，而且它不是按功能或按设备来收取使用费。 另外，BAI还使用FortiManager平台在网络中和在客户端管理和维护所有FortiGate系统。BAI用Fortinet的FortiProtect来更新服务，以保持每台FortiGate和FortiWiFi设备更新至最新的防护攻击特征库。

　在上述两个工具的帮助下，我们就可以对采用IIS组建的网站服务器增强安全性设置了。不过世上没有不透风的墙，这两款软件也只是在某些方面适当增强服务器的安全，我们还要时刻关注各种新出现的漏洞，并对其进行针对性的设置，这样才能真正确保服务器的安全。

　进入控制面板，双击“用户帐户”项，在打开的窗口中单击要为之创建密码重设盘的帐户名称，进入如图4所示的界面，点击左侧“相关任务”下的“阻止一个已遗忘的密码”，这样就会“忘记密码向导”欢迎窗口，直接点击“下一步”提示我们在软驱里插入一张空白格式化的软盘，继续点击“下一步”向导会要求我们输入当前帐户的密码（如图5）输入之后点击“下一步”开始创建密码重设盘。

在默认设置下，Windows 2000 Server在交互式登录窗口上会显示上次登录的帐户名（如图2），为了防止用户猜测或破解这一帐户，我们可以让Windows 2000 Server的交互式登录窗口不显示上次登录的帐户名。

强劲的路由引擎使强大的UTM 安全特性更加完备，从而使SSG 500 系列既可以部署为传统的分支办事处路由器，也可以部署为防火墙和路由设备组合，以降低前期购置成本和运营成本。

假如某位员工要出一趟远门，长期离开公司，出于安全预防的考虑，您需要更改账户配置，但是您最好是不要直接删除该账户。这是因为以后重新建立该账户时，该员工的账户的权限就都不是以前的配置了，而且该员工也无法使用新账户来访问他自己的加密文档。假如您认为某个账户将来更有可能开启，您最好是关闭该账户而不是整个删除该账户，具体操作如下(在Windows XP的H o m e 版中该功能无法使用)： 按Windows-R 组合键，键入“lusrmgr.msc”，然后按回车。点击“用户”文档夹，然后双击您要关闭的账户，打开“关闭该账户”项目，最后点击“确定”。假如您之后要重新开启该账户，只要在这里再次关闭该项目即可。

　Windows Server 2003通过提供安全配置向导(Security Configuration Wizard，简称SCW)之类的新安全工具增强了安全基础结构，有助于确保服务器基于角色来设置安全性，建议进行配置。