黑客攻击防护技术小结

1.选用安全的口令

根据十几个黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标,这里列出了常见的危险口令：用户名（账号）作为口令；用户名（账号）的变换形式作为口令；使用生日作为口令；常用的英文单词作为口令；5位或5位以下的字符作为口令。因此,我们在设置口令时应遵循以下原则：

（1）口令应该包括大写字母、小写字母及数字,有控制符更好；

（2）口令不要太常见；

（3）口令至少应有八位长度；

（4）应保守口令秘密并经常改变口令。最糟糕的口令是具有明显特征的口令,不要循环使用旧的口令；

（5）至少每九十天把所有的口令改变一次,对于那些具有高安全特权的口令更应经常地改变；

（6）应把所有的缺省口令都从系统中去掉,如果服务器是由某个服务公司建立的,要注意找出类似GUEST、MANAGER、SERVICE等的口令并立即改变这些口令；

（7）如果接收到两个错误的口令就应断开系统连接；

（8）应及时取消调离或停止工作的雇员的账号以及无用的账号；

（9）在验证过程中,口令不得以明文方式传输；

（10）口令不得以明文方式存放于系统中,确保口令以加密的形式写在硬盘上并且包含口令的文件是只读的；

（11）用户输入的明口令,在内存逗留的时间尽可能缩短,用后及时销毁；

（12）一次身份验证只限于当次登录（login）,其寿命与会话长度相等；

（13）除用户输入口令准备登录外,网络中的其他验证过程对用户是透明的。

2.实施存取控制

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是内部网安全理论的重要方面,它包括人员权限、数据标识、权限控制、控制类型、风险分析等内容。

3.保证数据的完整性

完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段。一般常用数字签名和数据谪压算法来保证。

4.确保数据的安全

通过加密算法对数据进行加密,并采用数字签名及认证来确保数据的安全。

5.使用安全的服务器系统

如今可以选择的服务器系统是很多的：UNIX、WindowsNT、Novell、Intranet等,但是关键服务器最好使用UNIX系统。

6.谨慎开放缺乏安全保障的应用和端口

对一些应用和端口的开放要有一定的保障和检测措施,特别是缺乏安全保障的应用和端口。

7.定期分析系统日志

这类分析工具在UNIX中随处可见。NTServer的用户现在可以利用Intrusion Detection公司的KaneSecurity Analyst（KSA）来进行这项工作。欲了解其更多的细节可查看地址为http：//www.intmsion.com的Web网点。^[2]

8.不断完善服务器系统的安全性能

很多服务器系统都被发现有不少漏洞,服务商会不断在网上发布系统的补丁。为了保证系统的安全性,应随时关注这些信息,及时完善自己的系统。(www.xing528.com)

9.排除人为因素

再完善的安全体制,没有足够重视和足够安全意识及技术的人员经常维护,安全性将大打折扣。

10.进行动态站点监控

及时发现网络遭受攻击情况并加以防范,避免对网络造成任何损失。

11.攻击自己的站点

测试网络安全的最好方法是自己尝试进攻自己的系统,并且不是做一次,而是定期地做,最好能在入侵者发现安全漏洞之前自己先发现。如果我们从Internet上下载一个口令攻击程序并利用它,可能会更有利于我们的口令选择。如果能在入侵者之前发现不好的或易猜测的口令,这是再好不过的了。

12.请第三方评估机构或专家来完成网络安全的评估

这样做的好处是能对自己所处的环境有更加清醒的认识,把未来可能的风险降到最小。

13.谨慎利用共享软件

许多程序员为了测试和调试的方便,都在他们看起来无害的软件中藏有后门、秘诀及陷阱,发布软件时却忘了去掉它们。对于共享软件和流氓软件,一定要彻底地检测它们。如果不这样做,可能会损失惨重。

14.做好数据的备份工作

这是非常关键的一个步骤,有了完整的数据备份,才是我们在遭到攻击或系统出现故障时能迅速恢复我们的系统。

15.使用防火墙

防火墙正在成为控制网络系统访问的非常流行的方法。事实上,在Internet上的Web网点中,超过三分之一的Web网点都是由某种形式的防火墙加以保护的,这是对黑客防范最严、安全性较强的一种方式,任何关键性的服务器都建议放在防火墙之后,任何对关键服务器的访问都必须通过代理服务器,这虽然降低了服务器的交互能力,但为了安全,这点牺牲是值得的。

但是,防火墙也存在以下局限性。

（1）防火墙不能防范不经由防火墙的攻击。如果内部网用户与Internet服务提供商建立直接的SLIP或PPP连接,则绕过了防火墙系统所提供的安全保护；

（2）防火墙不能防范人为因素的攻击；

（3）防火墙不能防止受病毒感染的软件或文件的传输；

（4）防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。

对此,提出以下几点建议：

（1）对敏感性页面不允许缓存；

（2）不要打开未知者发来的邮件附件；

（3）不要迷信防火墙。

16.主动防御

我们也可以使用自己喜欢的搜索引擎来寻找口令攻击软件和黑客攻击软件,并且在自己的网络上利用它们来寻找可能包含系统信息的文件。这样我们也许就能够发现某些我们还未觉察到的安全风险。

【注释】

[1]程秉辉,John hawke.黑客任务实战（攻略篇和服务攻防篇）[M].北京：北京希望电子出版社,2002：234.

[2]戚文静,刘学.网络安全原理与应用[M].2版.北京：中国水利水电出版社,2013：340.