网络入侵检查分析---破解安全隐患问题回答

1.问：网络时代的到来使得安全问题成为一个迫切需要解决的问题；病毒、黑客以及各种各样漏洞的存在，使得安全任务在网络时代变得无比艰巨，交换机在企业网中占有重要的地位，通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代，作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此，交换机要有专业安全产品的性能，安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生，在交换机中集成安全认证、ACL（Access Control List，访问控制列表）、防火墙、入侵检测甚至防毒的功能，网络的安全真的需要“武装到牙齿”吗？买三层交换机做虚拟网络，就比普通网络更安全吗？？？

答：在进行安全评估以及风险分析中有这样一个成本/收益计算公式：

实行安全措施之前的ALE－实行安全措施之后的ALE－安全措施每年的费用＝安全措施对公司的价值。其中ALE是年损失期望值。ALE＝资产价值×暴露因子（EF）×年发生概率（ARO），ARO是代表在一年之中某个特定威胁发生的可能性的值，该值的范围是从0～1.0。因此安全投入应当跟保护的资产有关系，看看你这个网络有多少重要数据需要保护，如果这些数据损失了，会对公司当前业务以及公司长期运行带来多大的损失。通过这个来衡量需要武装的安全投入，比如美国国防部吧，那些地方的东西都不能被随意泄漏，因此应该就如提问的朋友说的是武装到牙齿。因此买什么东西要跟自己的安全需求有关，当然东西贵，技术含量高的安全产品，在用好的情况下，可以有效的防范安全入侵，降低企业风险。因此都安全而言，用好设备有好设备能够达到的安全，每一种措施都要自己的优缺点，具体使用和实施要根据实际情况。

2.问：针对网站服务器的安全措施主要有那些?

答：对于网站类服务器，个人觉得主要的安全措施有下面一些：

（1）尽量确保网站类服务器上运行的程序无SQL注入、跨站脚本漏洞，这个是安全的一个重要前提。

（2）做好服务器的安全设置，这些安全设置包括脚本运行权限、用户权限、配置文件设置、日志监控设置。

（3）安装有效的防火墙和杀毒软件。这两个工具会从一定程度上防范入侵。

（4）少用远程控制软件以及一些存在安全隐患的应用软件，例如vnc、pcanywhere、radmin等。在网站程序出现错误后，第一个突破服务器的就是寻找服务器上存在的远程控制软件等应用软件。

（5）进行定期安全检查，查看日志、查看进程、查看网络连接，查看异常，查看管理员用户，查看远程终端登陆情况等。

（6）使用一些监控软件查看服务器运行情况，例如使用URLSnooper（[url]http://www.antian365.com/bbs/viewthread.php?tid=573&extra=page%3D1[/url]）查看网站是否被人挂马。

（7）做好数据和操作系统的备份，有条件的用户可以将ghost文件下载到本地刻录，防止ghost文件泄漏用户帐号的配置信息，以及防止用户修改ghost文件。

3问：日常的服务器安检内容介绍一下？

答：根据个人经验，关于日常服务器的维护主要有下面一些：

（1）       查看事件查看器中的应用程序、安全性和系统日志，查看这些日志的前提条件是在系统正式运行前，进行了相应的设置。系统日志是否是从上一次检查日志时开始记录？日志有无异常登陆，软件运行异常等。

（2）       查看系统用户和组的情况，如果使用了远程终端，则需要使用一些软件查看用户是否被克隆，是否可以使用随意帐号和密码进行系统登陆。

（3）       查看系统有哪些是新修改的文件，可以在搜索中设定搜索时间范围。

（4）       查看系统正在运行的进程、服务、启动加载选项

（5）       查看网络连接情况，可以在业务系统非运行时间，关闭所有业务系统查看网络连接，大型网络中可以使用科来等网管软件进行监控。

（6）       如果有web服务对外提供，可以使用URLSnooper监控网站url情况，这个软件可以有效的监测网站是否被挂马，可以关注我的blog，我会单独写一篇关于网站挂马监测方面的文章。

4.问：服务器监控的软件介绍一些？

服务器监控的软件有很多，主要看你是做什么用途，其实服务器监控跟网管有共同，也有不同之处，我用过的一些软件有AnyView(网络警)网络监控软件、NetFox服务器监控软件、科来网络分析系统 6.8、BETA 网络运维管理专家BTNM 3.0。可以根据自己的用途来选择监控软件，可以在google和百度中搜索，找到后需要进行测试，建议测试在虚拟机中进行。确认软件无毒无捆绑软件后，在正式在服务器上进行安装使用，推荐使用正版软件。

5.问：服务器的日志分析介绍一下？

关于日志分析的可以去我的blog查看有关日志方面的文章，日志分析主要有应用程序、安全性、系统以及iis、ftp等日志。

6.问：如何在事件查看器中，查看服务器是否有异常登录。

答：事件查看器的安全性中会记录用户登陆时间，审核情况等，如下所示：

登录成功:

     用户名: Administrator

     域:      CC-1

     登录 ID:      (0x0,0x12F1A)

     登录类型:     2

     登录进程:     User32 

     身份验证数据包:    Negotiate

     工作站名: CC-1

     登录 GUID:    -

     调用方用户名: CC-1$

     调用方域: WORKGROUP

     调用方登录 ID:     (0x0,0x3E7)

     调用方进程 ID: 436

     传递服务: -

     源网络地址:   127.0.0.1

     源端口:  0

在查看事件详细情况中会显示具体的登陆时间，如果你的服务器上晚上2点钟还有人登陆并在上面工作，想想发生了什么？

8问：能不能对内网中的服务器，如代理服务器，DC等，增强其安全性，防黑方面的措施具体的介绍一下！能不能提供一些企业信息安全建设的案例，让我们了解一下企业中信息安全具体应该采取哪些方面的措施！能不能对网站的入侵方式及防范措施作一下介绍！

答：关于安全方面防范和措施，可以参考前面的一些，在第一问题中，我想指出一点的是，在这些计算机中，需要谨慎运行不明软件，不明软件是指哪些来历不明的软件，未经过严格的安全测试，我遇到的很多案例中，很多公司服务器被人攻击和控制往往就是运行了从网上下载的软件，网络提供便利的同时，也增加了风险，一些不怀好意的人往往会在程序中增加一些后门等其它东西，安装这些软件的后果就不言而喻了。对于内网服务器可以从以下几个方面来加强安全：

（1）服务器要严格权限管理，内鬼难防。如果对外提供服务，在有员工离职时，需要进行帐号清理和安全的排查。

（2）谨慎运行软件。

（3）及时更新系统漏洞和应用程序补丁，安装正版杀毒软件和防火墙，并及时更新病毒库。

（4）如果用条件可以安装一些网络监控和管理软件，定期进行安全监测和流量分析。

9问：请教专家,现在的网络入侵主要有哪些方式?主要的防护措施有些什么?

答：我认为目前网络入侵主要有两种一种是被动攻击，一种是主动攻击。主动攻击主要包括口令扫描（数据库口令、ftp口令、某些具体服务口令、系统口令）、SQL注入攻击、跨站攻击、系统以及应用程序远程溢出攻击。被动攻击主要有钓鱼攻击和邮件攻击等。

主要防护措施可以参考前面的一些提问，在此需要补充几点：

（1）0Day攻击危害较大，因此要养成第一时间更新系统和应用软件的漏洞。很多入侵者攻击都是有目的的，在攻陷服务器后，往往会采取挂马等方式来盗取用户的游戏等个人帐号，以牟取商业利益。

（2）不打开来历不明的邮件和运行来历不明的程序，陷阱往往是美丽和充满诱惑的，要安全就要抵制和防范这些东西。

10问：关于安全方面我们能做些什么呢,要怎么做才能尽可能的安全？

答：安全都是相对的，没有绝对的网络安全，只有绝对的网络不安全。在网络上有很多加强安全的方法和措施，我今天介绍和回答的只是一部分，或者是我所遇到和解决，还有很多我未遇到和解决的，可以就我介绍和回答的方面对自己的网络安全进行一个对比和排查，看看存在一些什么问题，要既要动脑又要动手！安全知识和经验都是一个长期积累和学习的过程，安全重在实践，重在理念，只要你有了安全的理念，并有不断的完善安全的实践，相信您的网络会越来越安全。

 本文转自 simeon2005 51CTO博客，原文链接:http://blog.51cto.com/simeon/99216