网管员需注意的十点安全技巧

定义用户完成相关任务的恰当权限

  拥有管理员权限的用户也就拥有执行破坏系统的活动能力,例如:

  ·偶然对系统做出改变,结果降低了网络安全的总体水平。

  ·受骗上当运行了恶意软件,后者会利用用户的管理权限达其不可告人的目的。

  ·使得登录停息泄漏,造成第三方可以登录并执行破坏活动。

  为了增强安全性,一定要保证你的用户拥有其需要完成任务的恰当权限,并将拥有管理员用户名和口令的用户数量限制到最少的程度。

  仅从可信任的站点下载文件

  许多文件可从互联网上的多个位置下载,不过并非所有的位置都是等同的。有一些站点要比其它的站点更加安全。你需要保证你的用户只能从可信的站点下载,这些站点通常还是其它方面主要的源站点,而不仅仅是文件共享的普通站点。如笔者喜欢的天空软件站等。还要考虑哪些人需要从web站点下载文件和应用程序:要考虑限制这种许可,只能将许可给那些要求下载文件的可信任用户,并要保障这些经过选择的用户受到相关的培训,使其知道如何安全地下载文件。

  履行网络共享的审核

  大量的恶意代码可以通过网络传播。这通常是由于网络中有很少的或根本就缺乏网络共享的安全措施。你需要清除不必要的共享并保障其它共享的安全,要阻止网络共享被恶意代码利用作为其传播的工具。

  控制网络连接

  在计算机连接到一个网络时,它们在特定的会话期间要采用此网络的安全设置。如果这个网络是外部的或不受到管理员控制的网络,其安全设置有可能是不充分的并且会将计算机置于风险之中。您需要限制用户连接到未认证的域或者网络,在多数情况下,多数用户只需要连接到公司的主要网络。

  改变网络的默认IP地址范围

  计算机网络经常使用标准的IP范围,例如10.1.x.x 或者 192.168.x.x。这种标准化意味着这样一种事实:那些配置来雾里查找这个范围的计算机可能意外地连接到不受你控制的网络上。通过改变默认的IP地址范围,计算机就不太可能找到一个类似的范围。你还可以增加防火墙规则,如添加一种防范措施,只允许经过授权的用户可以连接。

  经常审核网络的开放端口并阻止未用的端口

  端口就像一座房子中的窗口。如果你长期开放着一些端口却不对其进行审核,也就增加了让黑客或未授权的用户进入系统的权利。如果端口开放着,它们就可被特洛伊木马和蠕虫利用来与未授权的第三方(多是恶意的)通信。因此,你一定要保障所有的端口都定期审核,还要保证所有未用的端口都要加以阻止。

  定期审核网络的进入点

  你的网络可能在不断地在改变大小和增加进入点,因此定期地检查进入组织内网络的所有途径。一定要当心所有的进入点。你应当考虑如何最充分地保障所有途径的安全,阻止非法的文件和应用程序进入,阻止未检测的或敏感的信息泄漏出去。

  考虑将企业关键的业务系统放置到不同的网络上

  在企业的关键系统受到影响时,它们可以极大地延误业务进程。为了保护业务的进程,可以考虑将其放置到与日常活动所用的网络不同的网络上。

  在部署之前在一个虚拟的网络上测试新的软件

  虽然多数软件的开发人员尽量多地测试其软件,不过其软件不太可能拥有你的网络的根本特性和配置。为了保证一次新的安装或更新不会引起任何问题,你最好在一个虚拟网络系统进行测试,并在部署到真实的网络之前检查其效率。

  禁用不用的USB端口

  许多设备在连接到一个USB端口时,会被自动地检测并装载为一个驱动器。USB端口还可以允许设备自动运行连接到其上的所有软件。多数用户并不清楚即使最安全的和多数受信任的设备都有可能将恶意软件引入到网络中。为防止危险的事件发生,禁用所有不用的端口是比较安全的措施。

(0)

相关推荐

  • 网管员需注意的十点安全技巧

    定义用户完成相关任务的恰当权限 拥有管理员权限的用户也就拥有执行破坏系统的活动能力,例如: ·偶然对系统做出改变,结果降低了网络安全的总体水平. ·受骗上当运行了恶意软件,后者会利用用户的管理权限达其不可告人的目的. ·使得登录停息泄漏,造成第三方可以登录并执行破坏活动. 为了增强安全性,一定要保证你的用户拥有其需要完成任务的恰当权限,并将拥有管理员用户名和口令的用户数量限制到最少的程度. 仅从可信任的站点下载文件 许多文件可从互联网上的多个位置下载,不过并非所有的位置都是等同的.有一些站点要比

  • 每个程序员需掌握的20个代码命名小贴士

    代码中到处都需要命名.作为程序员,我们得给类命名,给变量命名,给函数命名,给参数命名,给命名空间命名,等等等等.下面有20条小贴士能帮助你提高你的命名能力. 1.使用能够表达意图的名字 名字得能告诉我们它要做什么,为什么存在,以及是如何工作的.选择能够表达意图的名字,将更有利于我们理解代码. int d; // elapsed time in days int elapsedTimeInDays; int daysSinceCreation; int daysSinceModification;

  • 网管员如何管理实时通信软件

    根据Gartner Group 最近的一份研究报告指出,至2002年底全美大约有70%的企业使用实时通信(IM, Instant Message),如 ICQ.AOL Instant Messenger.MSN Messenger.Yahoo Messenger等等,作为重要但非正式的企业内部沟通工具,IDC 更预测至2005年,全球实时通信的用户将高达二亿三千万人. Email与 IM 安全管理的差异 对于层出不穷的计算机黑客攻击事件,实时通信俨然成为信息安全人员的隐忧之一,然而实时通信在企业

  • 短距离小型网间网实验平台的搭建

    目前,随着网络产品更新步伐的加快,有相当一部分企事业单位都有淘汰和冗余的网络设备,如果将它们都报废或扔掉是件很可惜的事.这时,网管员们可以利用它们搭建小型的网间网实验平台,利用业余时间可以进行各种网间网操作的实践,则是个不错的主意.另外,现在有很多培训班,也需要搭建网间网实验平台,供学习网络的学员练习使用.下面的步骤就可以以最快的步骤搭建一个这样的实验平台. 所需设备: 1.配置用管理工作站PC机1台(带网卡),Cisco Catalyst 1900交换机1台,Cisco 2500路由器2台:

  • 揪出交换机端口背后“凶手”导致网速太慢

    朋友,你有没有碰到这样的情况:你的网络慢慢地停顿了下来,然而所有的交换机端口都在持续不断地发送数据.你肯定有这样一种感觉:网络中的计算机工作异常,甚至可能遭受到了攻击.你该怎么办呢? 笔者认为第一步需要你打开网络协议分析仪,并捕获从核心路由器发出的数据.从协议分析仪中,你可以看到一个IP地址的数据包正以无法估量的通信量充斥于你的网络.从它的数据包中,你可以得到其MAC地址.你现在需要做得是如何找到这台计算机的位置. 要知道,这台计算机一定连接到机房中交换机的某个端口上.如果我们能够指出某个MAC

  • 通过集线器连接的对等网

    1.关于集线器 南山(1)定义:集线器(HUB)是对网络进行集中管理的最小单元,像树的主干一样,它是各分枝的汇集点,对接收到的信号进行再生放大,以扩大网络的传输距离. 南山(2)分类:一般常见的集线器有8口.16口及24口三种. 2.连接双绞线 南山(1)将RJ45头(水晶头)有卡子的一头朝地,平平的那面朝上:头朝外,开口对着你自己,则8个孔从左到右编号依次为:1.2.3.4.5.6.7.8. 南山(2)对于普通的10兆(10M)网络,把双绞线的一头外皮剥开,在四股中任意取两股出来,则共有四根线

  • Java 程序员掌握 Spring Boot非常有必要

    Spring Boot从天而降 Spring Boot是企业级开发的整体整合解决方案,在现在企业项目开发中使用非常普遍,Spring Boot 2.0 的推出又激起了一阵学习 Spring Boot 热潮,给企业开发带来了巨大的变革,可以说现在是Java程序员到了必须学习SpringBoot的时候. Spring已经足够好了? Spring框架真的太好了,任何一个java开发用过之后都会像上瘾一样,爱不释手.会在遇到新问题的时候,或者找到某一个方法的时候,都会去看一下spring是不是已经有同类

  • Raid教程 全程图解手把手教你做RAID

    说到磁盘阵列(RAID,Redundant Array of Independent Disks),现在几乎成了网管员所必须掌握的一门技术之一,特别是中小型企业,因为磁盘阵列应用非常广泛,它是当前数据备份的主要方案之一.然而,许多网管员只是在各种媒体上看到相关的理论知识介绍,却并没有看到一些实际的磁盘阵列配置方法,所以仍只是一知半解,到自己真正配置时,却无从下手.本文要以一个具体的磁盘阵列配置方法为例向大家介绍磁盘阵列的一些基本配置方法,给出一些关键界面,使各位对磁盘阵列的配置有一个理性认识.当

  • 新手学习Linux系统的11点建议

    随着Linux应用的扩展许多朋友开始接触Linux,根据学习Windwos的经验往往有一些茫然的感觉:不知从何处开始学起.这里介绍学习Linux的一些建议. 一.从基础开始:常常有些朋友在Linux论坛问一些问题,不过,其中大多数的问题都是很基础的.例如:为什么我使用一个命令的时候,系统告诉我找不到该目录,我要如何限制使用者的权限等问题,这些问题其实都不是很难的,只要了解了 Linux 的基础之后,应该就可以很轻易的解决掉这方面的问题.而有些朋友们常常一接触Linux 就是希望构架网站,根本没有

  • Windows XP中轻松获取未使用的IP地址的批处理文件

    在我们解决Windows 操作系统的DHCP故障时,有时要找出某个地址范围内有哪些地址没有被使用.只需建立一个批处理文件,要求它只返回那些未用的IP地址,然后再将命令的结果输入到一个文本文件中. 作为网管员,在我们解决Windows 操作系统的DHCP故障时,有时要找出某个地址范围内有哪些地址没有被使用.本人以前介绍过一种方法:打开命令提示窗口,在For-in-Do循环中调用ping命令.例如,为了找出在地址范围192.168.1.1 到 192.168.1.100有哪些地址没有被使用,可以使用

随机推荐