安全策略

要在安装完毕后改变你的安全级别配置，使用 安全级别配置工具 。 在 shell 提示下键入 redhat-config-securitylevel 命令来启动 安全级别配置工具 。如果你不是根用户，它会提示你输入根口令后再继续。

总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。

SNMP服务起着代理的作用，它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据，并且在整个公司网络范围内管理基于Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。

数字图书馆通过海量存储服务器，依托网络环境进行数字化文献的检索和传输，服务器的安全防范措施必不可少。目前较流行的服务器操作系统Windows 2000 Advance Server 存在许多的漏洞和易被攻击的问题。而大多数攻击又是属于一般性攻击，基于网络安全人员对服务器的不正确配置，密码问题，和没有及时更新最新补丁。黑客们可以使用黑客程序自动扫描发现有这些漏洞的服务器并对它发动攻击。笔者认为认真执行上述的几点措施及日后及时打Windows 2000 补丁和定期更换密码（要有一定的长度和复杂性），那么数字化图书馆的网络安全率就可以达到85%左右。

　在组织的安全风险评估中，应该评估其中的每个元素。如果攻击者损害其中的任一元素，则风险级别增加，恶意软件可以绕过外部和内部网络防护边界感染网络上的主机。

由于园区模块中没有第3层服务，因此必须注意，由于内部网络的开放性，这种设计越来越注重应用和主机的安全性。因此，园区中的关键系统上也安装了HIDS，包括公司服务器与管理系统。

对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理。

对于防火墙的使用者，进行充分有效的培训也非常必要，因此用户可能增加业务种类，而需要不断的动态调整防火墙策略。同时，下载保存好防火墙的配置，修改防火墙的默认口令和保存好防火墙的口令，都应是网络管理员一个很好的习惯。同时，培训一些常见病毒，如ARP欺骗，冲击波等可能造成网络出现的故障现象和如何利用防火墙和其他工具定位的方法。对于防火墙日志系统的使用方法，通过培训网络使用者要清楚防火墙内所做的控制规则配置和每一条的含义，并可以根据新的需要动态调整防火墙的安全控制策略。

Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 ！

需要指出的是，当需要建立大批用户帐号时，那么Apache服务器利用用户文件数据库将会极大地降低效率。这种情况下，最好采用数据库格式的帐号文件，譬如 DBM数据库格式的文件。还可以根据需要利用db格式（mod_auth_db）的数据文件，或者直接利用数据库，如：mSQL（mod_auth_msql）或DBI兼容的数据库（mod_auth_dbi）。

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这里有个误区，我们只能说一台主机在一定的情况下一定的时间内是安全的，随着网络结构的变化、新的漏洞的发现、管理员和用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。

对中国CIO重点关注问题的调研发现，服务产品化被用户广泛接受，接受程度达到90%以上，但是，用户对服务产品化对于规范IT服务管理的价值并没有充分认识到，对其重要性认识不足。

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

最后想说的是即使大家经过层层防护，系统也未必就绝对安全了，但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口， 如果服务方面存在漏洞的话，水平高的hacker还是可以钻进去，所以最关键的一点我认为还是关注最新漏洞，发现就要及时修补。“攻就是防，防就是攻” ，这个观点我比较赞同，我说的意思并不是要去攻击别人的网站，而是要了解别人的攻击手法，更好的做好防护。比如不知道什么叫克隆管理员账号，也许你的机器已经被入侵并被克隆了账号，可能你还不知道呢?如果知道有这种手法，也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻，hacker也就无可奈何了。

计算机和我们的生活结合地越紧密，功能越多，入侵者能干的事也就越多。但数字 化生活是大势所趋，其理由不必赘述，人类不会因噎废食。网络安全在未来会越来越重 要，而且可以预见，个人用户的态度将左右企业对安全成本的考虑，个人用户同时也将 成为安全市场的重要消费者。

使用server.c中的mktemp(3)函数或者其它任何可以产生唯一文件名的方法。在/tmp/目录所在的分区使 用空间配额也能解决部分问题。

至于HTTP服务器软件，如果你从来没有用过Web服务器的话，考虑一下用thttpd来代替Apach。. thttpd 比较小，而且更容易来配置和管理，并且还可以教你一些好的管理习惯。如果你非常想运行公共名字服务器的话，试试djbdns。学习你想要用于公众访问的软件中的不同的配置功能，并学会如何用chroot来运行它们，这样可以大大的增加系统的安全性。

由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有效的网络安全防范体系就更为迫切。实际上，保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。

剩下的工作就是重新编译系统内核，禁用不需要的模块，可以使某些rootkits失效。 最后，检查WEB SERVER上运行着的程序的安全性，有没有缓冲区溢出等安全问题。

上面主要介绍的一些SQL Server的安全配置，经过以上的配置，可以让SQL Server本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护。