网络服务与信息安全-合肥凯利字节网络科技有限公司

Website Home

一、严密设置加强帐户安全1、帐户改名Administrator和guest是Server2003默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录服务器?

对此，我们可以通过为其改名进行防范；

administrator改名：“开始→运行”，在其中输入Secpol.msc回车打开本地安全组策略，在左侧窗格中依次展开“安全设置→本地策略→安全选项”，在右侧找到并双击打开“帐户：重命名系统管理员帐户”，然后在其中输入新的名称比如gslw即可。

guest改名：作为服务器一般是不开启guest帐户的，但是它往往被入侵者利用？

比如启用guest后将其加入到管理员组实施后期的控制!

我们通过改名可防止类似的攻击，改名方法和administrator一样，在上面的组策略项下找到“帐户：重命名来宾帐户”，然后在其中输入新的名称即可。

2、密码策略密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。

对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的；

下面是具体的配置方法：执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口？

打开“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置;

然后双击相应的项打开“属性”后进行配置;

需要说明的是，“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认，不要去修改！

3、帐户锁定当服务器帐户密码不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。

那如何来防止黑客猜解或者爆破服务器密码呢？

其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。

此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定;

其设置方法如下：在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下！

双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数？

该值在0到999之间，默认为0表示登录次数不受限制。

大家可以根据自己的安全策略进行设置，比如设置为5。

1,禁止CDP(CiscoDiscoveryProtocol)。

如：Router(Config)#nocdprunRouter(Config-if)#nocdpenable2,禁止其他的TCP、UDPSmall服务;

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3,禁止Finger服务！

Router(Config)#noipfingerRouter(Config)#noservicefinger4,建议禁止HTTP服务。

Router(Config)#noiphttpserver如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码;

采用访问列表进行控制？

如：Router(Config)#usernameBluShinprivilege10G00dPa55w0rdRouter(Config)#iphttpauthlocalRouter(Config)#noaccess-list10Router(Config)#access-list10permit192.168.0.1Router(Config)#access-list10denyanyRouter(Config)#iphttpaccess-class10Router(Config)#iphttpserverRouter(Config)#exit5,禁止BOOTp服务！

Router(Config)#noipbootpserver禁止从网络启动和自动从网络下载初始配置文件。

Router(Config)#nobootnetworkRouter(Config)#noservicconfig6,禁止IPSourceRouting。

Router(Config)#noipsource-route7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的；

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8,明确的禁止IPDirectedBroadcast？

Router(Config)#noipdirected-broadcast9,禁止IPClassless?

Router(Config)#noipclassless10,禁止ICMP协议的IPUnreachables,Redirects,MaskReplIEs!

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply11,建议禁止SNMP协议服务;

在禁止时必须删除一些SNMP服务的默认配置！

或者需要访问列表来过滤！

如：Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRWRouter(Config)#noaccess-list70Router(Config)#access-list70denyanyRouter(Config)#snmp-servercommunityMoreHardPublicRo70Router(Config)#nosnmp-serverenabletrapsRouter(Config)#nosnmp-serversystem-shutdownRouter(Config)#nosnmp-servertrap-anthRouter(Config)#nosnmp-serverRouter(Config)#end12,如果没必要则禁止WINS和DNS服务!

Router(Config)#noipdomain-lookup如果需要则需要配置：Router(Config)#hostnameRouterRouter(Config)#ipname-server202.102.134.9613,明确禁止不使用的端口？

Router(Config)#interfaceeth0/3Router(Config)#shutdown网络服务网格信息服务，又称为监视与发现服务，在Globus中负责提供信息服务建立农业推广信息网络服务系统的方法：（1）纵向系统（同部门上下级联系）从中央到地方逐级建立信息枢纽，上下相通，建立档案室、资料室、微机室、声像服务室等，形成纵向传播系统，即形成垂直传播系统（国家、部、省、市、县、乡、村);

主要包括如下5个层次：①国家信息中心。

②农业部、中国农业科学院信息中心？

③省、直辖市、自治区农业信息中心;

④县、地（市）级农业信息中心。

⑤乡镇农技服务站。

(2)横向系统（不同部门之间联系）横向信息交流和联系，主要包括如下5个方面①科学技术管理部门，这是农业技术信息的重要源泉；

②农业科研部门;

③农业院校！

④其他部门或机构，包括先进典型生产单位、协会及研究会等地方社会团体、各支农相关部门等。

⑤公共信息部门，包括各级各类图书馆、文化馆、宣传部门、信息机构等?

上述两个系统纵横交错，形成信息网络。

应该指出：在信息服务体系网络建设中，应突出强调县级信息网络建设，以最大限度地为农户服务。

关于上述犯罪的刑罚，根据《刑法》第二百八十六条之一第一款的规定，网络服务提供者不履行安全管理义务，构成犯罪的，处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

第二百八十六条之一第二款对单位不履行网络安全管理义务的处刑作了规定!

实践中，网络服务提供者多数为互联网企业，现行法律、行政法规对互联网企业的安全管理义务都有明确具体的规定，只有互联网企业切实履行法律行政法规赋予的安全管理义务，网络安全才能够真正落到实处，根据该款规定，单位犯本罪的，实行双罚制，即对不履行网络安全管理义务的单位判处罚金，并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定，处以三年以下有期徒刑、拘役或者管制，并处或者单处罚金?

不会影响飞行安全.《刑法》第二百八十六条之一第三款是对有前两款行为，同时构成其他犯罪的，如何定罪处罚的规定!

第二百八十六条之一专门规定了网络服务提供者拒不履行安全管理义务的犯罪及其处罚。

实践中，网络服务提供者拒不履行安全管理义务的行为，根据其具体情况还可能构成刑法规定的其他犯罪，如《刑法》第一百二十条之三规定的宣扬恐怖主义、极端主义的犯罪,第三百六十四条规定的传播淫秽物品罪，第三百九十八条规定的故意或者过失泄露国家秘密罪，第三百零七条规定的帮助毁灭、伪造证据罪，第三百一十一条规定的拒绝提供间谍犯罪、恐怖主义、极端主义犯罪证据罪等。

根据第二百八十六条之一第三款的规定，对网络服务提供者不履行网络安全管理义务，构成其他犯罪的，依照处罚较重的规定定罪处罚，即从一重罪定罪处罚。