安全策略

面背景启动器可以启动应用程序，也可以链接到某个特定的文件、文件夹、FTP 站点或 URI 位置。要在桌面背景上添加启动器，请执行以下步骤：右击桌面背景，然后选择“创建启动器”。在“创建启动器”对话框中键入要求的信息。为该启动器输入的命令就是在使用桌面背景对象时执行的命令。 通过任何菜单当您在任何菜单中右击启动器时，即可打开启动器的弹出菜单。您可以使用该弹出菜单向面板添加该启动器。也可以将菜单、启动器和面板应用程序从菜单拖动到面板中。通过文件管理器每个启动器都对应一个 .desktop 文件。

对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。

　　本文讨论了网站常用的保护方法，详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点，并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的，但使用这些工具能帮助提高安全性，减少安全风险。

即使软件编写不出现bug，程序执行时也按照正确的步骤进行，但初始设计存在缺陷仍会导致入侵者的攻击。TCP/IP协议现在已经广为应用、大行其道了，但是它却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此，存在许多不足造成安全漏洞在所难免，例如smurf攻击、ICMP Unreachable数据包断开、IP地址欺骗以及SYN湮没。然而，最大的问题在于IP协议是非常容易“轻信”的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。幸好，大救星Ipsec协议已经开发出来以克服这个不足。

即使软件编写不出现bug，程序执行时也按照正确的步骤进行，但初始设计存在缺陷仍会导致入侵者的攻击。TCP/IP协议现在已经广为应用、大行其道了，但是它却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此，存在许多不足造成安全漏洞在所难免，例如smurf攻击、ICMP Unreachable数据包断开、IP地址欺骗以及SYN湮没。然而，最大的问题在于IP协议是非常容易“轻信”的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。幸好，大救星Ipsec协议已经开发出来以克服这个不足。

其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等，以及全面建立计算机网络各类文档，堵塞安全管理漏洞。

随着数据价值不断提升，以及存储网络化不断发展，数据遭受的安全威胁日益增多，若无存储安全防范措施，一旦攻击者成功渗透到数据存储系统中，其负面影响将是无法估计的。如果不从系统和控制的角度审视和设计安全解决方案，方案本身可能造成新的安全隐患。这要求企业在特定存储系统结构下，从存储系统的角度考虑存储安全性，综合考虑存储机制和安全策略是存储安全的一个研究方向。

　只有针对UNIX网络系统存在的漏洞采取相应的安全保护措施，才能遏制金融计算机犯罪率。但在客观上要完全消除UNIX网络系统的安全隐患非常困难，一是因为UNIX系统本身是一种非常复杂的系统，二是因为UNIX系统数年来在各领域的广泛使用，使得它成为被研究得最透彻的系统之一。通常入侵者发动的攻击形式是极其复杂的，保护UNIX系统安全的关键是针对入侵者可能发动的攻击制定出一系列切实可行的安全防范策略，使各种攻击在多样化的安全防范措施面前不能轻易得逞。在对IP级安全实施加固之后(如设立安全IP包、过滤防火墙等)，还必须对传输层和应用层的安全进行加固，同时要在金融系统内部建立一整套网络系统安全管理规章和防范措施，经常进行监督检查，使安全管理规章和防范措施落到实处。要使每一位员工都有防范金融计算机犯罪的概念，了解其作案的手法及产生的危害，提高全员主动防范意识，这样才能真正有效地预防金融计算机案件的发生。

通过分析第六行，可以看出2004年5月19日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp，这位用户的浏览器为compatible\;+MSIE+5.0\;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

对于以上攻击的防御原则只有一个，不要忽视网络打印机，要把它当做一个标准网络设备或者网络服务器进行安全配置和保护，同时，网络打印机的快速故障恢复也是管理员需要考虑的。

进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的。作为系统管理员，了解服务器上运行的每个进程是职责之一(否则不要说安全，连系统优化都没有办法做)。做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，dll也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

配置的数据有可能泄漏并有可能进入到他人之手。为防止这样的事件发生，千万不要将路由器的配置信息存储到可移动媒体上。要将其存储在一个网络驱动器的安全文件夹中，此文件夹的安全性用恰当的访问权限来保障。

很多时候，校园网络安全管理人员都会发出这个感慨：发现病毒和攻击其实并不难，难的是面对层出不穷的大量病毒和攻击时，如何去快速响应处理。要实现网络安全，单单依靠网络中心的力量肯定是不够的，要动员各部门院系的力量，激发学生的兴趣和创造力，建立专门的网络安全队伍，通过培训等各方面途径来提高所有网络用户的网络安全意识。只有网络安全意识深入人心，才有可能创造出一个长期的良好的校园网安全环境.

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

对于用户的权限也是要非常重视的，因为有些总坛主看到稍有实力的人或上比较能灌的人就给他加权限，甚至给熟人、朋友、情人加权限，这是规模小的论坛通病，是非常不可取的，通过我小规模的调查，只有15％的安全意识进高的，给那85％的人加权限，这些人又不妥善保管自己的密码，给论坛的安全又带来一点威胁，所以加别人权限时一定要看看这个人的安全意识怎么样，而且还要严格控制权限，使他不能做职责以外的事。

做为新 Windows 组件出现的 IE 安全插件 -- Internet Explorer Enhanced Security，默认把 IE 安全设置为最高。这样将在访问站点弹出询问框并对浏览网页及文件下载做出阻止的行为。其实不一定需要这个组件：首先禁止询问框的出现，在弹出的对话框中复选“以后不要显示这个信息”。然后，可以在 IE 工具选项中自定义设置 IE 的安全级别。在安全选项卡上拉动滚动条把 Internet 区域安全设置为“中”。当然，也可以在控制面板→添加程序→添加或删除 Windows 组件中卸载“IE　安全设置”。

那个终端默认是以启动的，关闭不了，其他的只用启动8个服务就可以了。以上是我在自己电脑上反复试验，最终的设置结果，不影响一般使用，是最节省系统资源的设置了，

类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。

　对于普通用户来说系统安装是最简单的问题了，看似没有说的必要。但是往往问题都是出在我们忽略的小事情上。比如系统，补丁，驱动等的安装顺序上。我的建议是系统→SP补丁(当然目前的XPSP2已经没有必要)→Microsoft .NET Framework，IE, Windows Media Player更新包→安全更新→驱动的顺序进行安装。当然并不是说你不安这个顺序安装有什么问题，但是这样作做少会降低很多不必要的隐患。

类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。