¿Cuáles son los sistemas de seguridad para los sistemas de información?
1.1 Fallos no intencionales
Por ejemplo, vulnerabilidades de seguridad causadas por una configuración de seguridad incorrecta del administrador, algunos puertos que no necesitan abrirse no tener contraseñas de cuentas de usuario instantáneas Si la configuración es demasiado simple, los usuarios filtrarán o dirán a otros su cuenta y contraseña, o en el peor de los casos, varias personas compartirán su cuenta y contraseña, lo que representará una amenaza para la seguridad de la red.
1.2 Ataques maliciosos
Esta es la mayor amenaza para la red de la que dependemos para sobrevivir. Este tipo de ataque se puede dividir en los dos tipos siguientes: uno es un ataque obvio que destruye selectivamente la validez e integridad de la información, destruye los sistemas de software y hardware de la red o crea tráfico de información para paralizar nuestro sistema de red; Los ataques encubiertos tienen como objetivo robar, interceptar, descifrar y obtener información confidencial sin afectar el trabajo diario de los usuarios y los sistemas. Ambos ataques causarán un gran daño a los sistemas de redes informáticas y provocarán la fuga de datos confidenciales o la parálisis del sistema.
1.3 Vulnerabilidad Backdoor
Las herramientas y el software de aplicación, como los sistemas operativos de red, no pueden estar 100 libres de errores, especialmente el sistema "Windows" que tanto amamos como odiamos. Estos errores y fallos son objetivos principales para virus y piratas informáticos. Las enormes pérdidas y las dolorosas lecciones causadas por innumerables virus (como los recientes errores adoptados por Blaster y Blaster en los sistemas Windows) son causadas por nuestros errores. La mayoría de los incidentes en los que los piratas informáticos se infiltran en la red se realizan explotando vulnerabilidades. Los desarrolladores de software configuran deliberadamente las "puertas traseras" para su propia conveniencia. En términos generales, no hay problema, pero una vez que el desarrollador no puede descubrir cómo usar la "puerta trasera" algún día, las consecuencias serán graves, incluso si lo hace. Mantiene su propia ubicación, pero una vez que se abre y se filtra la "puerta trasera", las consecuencias serán aún más desastrosas.
Cómo mejorar la seguridad de los sistemas de información de la red
2.1 Política de seguridad física
El propósito de la política de seguridad física es proteger los sistemas informáticos, servidores y equipos de red. , impresoras, etc. Seguridad física de entidades de hardware y enlaces de comunicación, como tomar medidas para prevenir desastres naturales, corrosión química, robo y vandalismo humano, robo y ataques de cables, etc. Debido a que muchos sistemas informáticos tienen fuertes fugas y radiación electromagnética, es necesario que garanticemos un buen entorno de trabajo de compatibilidad electromagnética para el sistema informático. Además, debería establecerse un sistema completo de gestión de la seguridad. El servidor debe colocarse en una sala de aislamiento monitoreada y los registros de monitorización deben conservarse durante más de 65.438 días. Además, los gabinetes, teclados y cajones del escritorio de la computadora deben estar cerrados con llave y las llaves deben colocarse en otro lugar seguro para evitar la entrada no autorizada a la sala de control de la computadora y diversos robos, hurtos y actividades de sabotaje.
2.2 Política de control de acceso
Varias políticas de seguridad que se pueden utilizar en la red deben cooperar y coordinarse entre sí para desempeñar un papel protector eficaz, y se puede decir que la política de control de acceso ser la forma más eficaz de garantizar la seguridad de la red. Una de las estrategias centrales importantes. Su objetivo principal es garantizar que no se acceda ilegalmente a la información de la red y que no se utilicen ilegalmente los recursos de la red. También es un medio importante para mantener la seguridad del sistema de red y proteger los recursos de la red. A continuación analizamos varias estrategias de control de acceso.
2.2.1 Control de acceso de inicio de sesión
El control de acceso de inicio de sesión proporciona la primera capa de control de acceso para el acceso a la red.
Al configurar cuentas, puede controlar qué usuarios pueden iniciar sesión en el servidor, obtener información de la red y utilizar recursos. Al configurar las propiedades de la cuenta, puede establecer requisitos de contraseña, controlar cuándo los usuarios pueden iniciar sesión en un dominio específico y controlar qué usuarios de estaciones de trabajo; puede iniciar sesión en un dominio específico y establecer la fecha de vencimiento para las cuentas de usuario.
Nota: Cuando el período de inicio de sesión de un usuario expira, los enlaces a los recursos de red en el dominio no finalizan. Sin embargo, los usuarios ya no pueden crear nuevos enlaces a otras computadoras del dominio.
El proceso de inicio de sesión del usuario consiste en: primero, la identificación y verificación del nombre de usuario y contraseña, y luego la verificación de las restricciones de inicio de sesión de la cuenta de usuario. Mientras uno de los dos procesos no tenga éxito, no podrás iniciar sesión.
Porque los nombres de usuario y las contraseñas son la primera línea de defensa para autenticar a los usuarios de la red. Por lo tanto, como trabajador de seguridad de la red, puedes tomar una serie de medidas para evitar el acceso ilegal.
A. Configuración básica
El tiempo, el método y los permisos de las cuentas de usuario normales deben ser limitados. Sólo los administradores del sistema pueden crear cuentas de usuario. Se deben considerar las siguientes condiciones en las contraseñas de usuario: complejidad de la contraseña, longitud mínima de la contraseña, período de validez de la contraseña, etc. Debería poder controlar los sitios desde los cuales los usuarios inician sesión en la red, limitar el tiempo que los usuarios pueden acceder a la red y limitar la cantidad de estaciones de trabajo desde las cuales los usuarios pueden acceder a la red. Todos los derechos de acceso de los usuarios deben ser auditados. Si ingresa la contraseña incorrecta varias veces, se debe considerar una intrusión ilegal, se debe dar un mensaje de alarma y la cuenta se debe detener de inmediato.
B. Considere y maneje cuidadosamente las cuentas integradas del sistema.
Se recomienda tomar las siguientes medidas: 1. Desactivar las cuentas de invitados. No entiendo por qué Microsoft no permite la eliminación de la cuenta de Invitado, pero también podemos hacer algo: deshabilitar la cuenta de Invitado en los usuarios y grupos administrados por la computadora, y no permitir que la cuenta de Invitado inicie sesión en el sistema. en cualquier momento. Si le preocupa, puede establecer una contraseña larga y compleja para la cuenta de invitado. Aquí hay un método para que los colegas que tienen un conocimiento profundo de Windows 2 eliminen la cuenta de Invitado: La información de la cuenta del sistema Windows 2 se almacena en el registro HKEY_LOCAL_MACHINE\SAM, pero ni siquiera nuestro administrador del sistema puede abrir esta clave primaria, principalmente Por razones de seguridad, la cuenta "Sistema" tiene este derecho. Los lectores inteligentes sabrán qué hacer. Por cierto, simplemente inicie el registro con permisos de "sistema". El método específico es agregar una tarea programada con el comando "at" para iniciar el programa Regedit.exe, luego verificar las claves de registro y borrar la cuenta de Invitado. Primero, mire la hora: 3, ejecute el comando en el cuadro de diálogo de ejecución o cmd: en: 31 /Interactive regedit.exe. De esta manera, la identidad que inicia regedit.exe es "sistema" y el propósito de /interactive es permitir que el programa en ejecución se ejecute en una interfaz interactiva. Un minuto más tarde, se ejecuta el programa regedit.exe, vaya a la siguiente ubicación: HKEY_Local_Machine\Sam\Domain\Account\User y elimine las dos claves siguientes: una es 1F5 y la otra es Invitado en Nombres. Una vez completado, utilizamos el siguiente comando para confirmar que la cuenta de Invitado efectivamente se eliminó como "usuario de red invitado". dos. Los administradores del sistema deben tener dos cuentas, una con derechos de administrador para la gestión del sistema y la otra con derechos generales para las operaciones diarias. De esta manera, sólo podrá iniciar sesión como administrador cuando realice el mantenimiento del sistema o instale software, lo que resulta beneficioso para garantizar la seguridad. tres. Cambie el nombre de la cuenta de administrador. Microsoft no permite eliminar o deshabilitar cuentas de administrador, por lo que Microsoft brinda una gran ayuda a Hacker, pero también podemos cambiarle el nombre, como cambiarlo a nombres comunes como todos. No cambie el nombre a Admin, Admins, etc. Cambiar tu nombre significa cambiarlo en vano.
C. Configurar una cuenta fraudulenta
Este es un método de autoconocimiento muy útil: cree una cuenta fraudulenta con privilegios mínimos llamada Administrador. La configuración de la contraseña es bastante compleja, muy larga y contiene caracteres especiales, lo que dificulta que los piratas informáticos puedan descifrarlas.
Quizás descubrimos su intento de intrusión antes de que lograra descifrarlo. Por decir lo menos, incluso si lograra descifrarlo, todavía estaría decepcionado y estaría ocupado durante mucho tiempo.
D. Limitar el número de usuarios
Porque cuantos más usuarios haya, más fallas habrá en la configuración de permisos de usuario y contraseñas, y más oportunidades e infracciones habrá. para piratas informáticos. La eliminación de cuentas temporales, cuentas de prueba, cuentas de acceso ***, cuentas ordinarias, cuentas de antiguos empleados y otras cuentas que ya no se utilizan puede reducir eficazmente los defectos del sistema.
E. Evitar que el sistema muestre el último nombre de usuario que inició sesión.
Los sistemas operativos Win9X y superiores tienen la función de memorizar la información de inicio de sesión del usuario anterior. En el próximo reinicio, se le pedirá que ingrese el nombre de inicio de sesión del último usuario en la columna Nombre de usuario. Esta información puede ser utilizada por personas con motivos ocultos, provocando peligros ocultos para el sistema y los usuarios. Podemos ocultar el nombre de inicio de sesión del último usuario modificando el registro. El método de modificación es el siguiente: Abra el registro y expanda a la siguiente rama:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\current version\Winlogon
Nuevos caracteres debajo de esta rama La cadena se llama: DontDisplayLastUserName y el valor de la cadena se establece en: "1". Cuando la computadora se reinicie, no se mostrará el último nombre de usuario que inició sesión.
F. Prohibir establecer conexiones vacías
Por defecto, cualquier usuario que se conecte al servidor a través de una conexión nula puede enumerar cuentas y adivinar contraseñas. Podemos desactivar las conexiones vacías modificando el registro. El método es el siguiente: abra el registro, expanda a la siguiente rama: HKEY_Local_Machine\System\Current Control Set\Control\LSA y luego cambie el valor de restrictanonymous en esta rama a "1".
G. Iniciar sesión mediante tarjeta inteligente
Se utiliza un autenticador portátil para verificar la identidad del usuario. Un ejemplo es el método de autenticación con tarjeta inteligente, ampliamente utilizado. Iniciar sesión en la red mediante tarjetas inteligentes proporciona un método de autenticación sólido porque utiliza autenticación basada en cifrado y prueba de propiedad al autenticar a los usuarios que ingresan al dominio.
Por ejemplo, si alguien con segundas intenciones obtiene la contraseña del usuario, puede utilizarla para hacerse pasar por el usuario y hacer lo que quiera en Internet. En realidad, muchas personas eligen contraseñas que son bastante fáciles de recordar (como nombre, fecha de nacimiento, número de teléfono, número de cuenta bancaria, número de identificación, etc.), lo que hará que la contraseña sea inherentemente frágil y vulnerable a ataques.
En el caso de las tarjetas inteligentes, quienes con segundas intenciones sólo pueden hacerse pasar por el usuario obteniendo su tarjeta inteligente y su número de identificación personal (PIN). Esta combinación reduce la probabilidad de un ataque porque se necesita información adicional para hacerse pasar por el usuario. Otro beneficio es que la tarjeta inteligente se bloqueará después de ingresar el PIN incorrecto varias veces seguidas, lo que hace muy difícil atacar la tarjeta inteligente con un diccionario.
2.2.2 Gestión de derechos de recursos
Los recursos incluyen software y hardware del sistema, así como información almacenada en el disco. Podemos utilizar la rica administración de permisos proporcionada por Microsoft en Windows 2 para controlar el acceso de los usuarios a los recursos del sistema para lograr el propósito de la administración de seguridad.
A. Utilice grupos para administrar el acceso a los recursos.
Un grupo es una colección de cuentas de usuario. Usar grupos en lugar de usuarios individuales para administrar el acceso a los recursos puede simplificar la administración de los recursos de la red. Los grupos se pueden usar para otorgar permisos a varios usuarios a la vez. Después de establecer ciertos permisos para un grupo, si queremos otorgar los mismos permisos a otros grupos o usuarios en el futuro, solo necesitamos agregar el usuario o grupo al grupo. grupo.
Por ejemplo, los miembros del departamento de ventas pueden acceder a la información de costos del producto, pero no pueden acceder a la información salarial de los empleados de la empresa, mientras que los empleados del departamento de personal pueden acceder a la información salarial de los empleados. pero no puede. Cuando un empleado del departamento de ventas es transferido al departamento de recursos humanos, si nuestro control de permisos se basa en cada usuario, la configuración de permisos será bastante problemática y propensa a errores. Si nos gestionamos por grupo, es bastante sencillo.
Solo necesitamos eliminar al usuario del grupo Ventas y agregarlo al grupo Recursos Humanos.
B. Utilice NTFS para administrar datos
El sistema de archivos NTFS nos proporciona ricas funciones de administración de permisos. Usando el sistema de archivos NTFS, podemos definir permisos de lectura, escritura, listar contenido de carpetas, lectura y ejecución, modificación, control total, etc. para cada archivo o carpeta para cada usuario o grupo, e incluso definir algunos permisos especiales. NTFS sólo funciona en particiones de disco NTFS, no en particiones FAT o FAT32. Las características de seguridad de NTFS son efectivas independientemente de si un usuario accede a un archivo o carpeta y si el archivo o carpeta está en una computadora o en una red. NTFS utiliza listas de control de acceso (ACL) para registrar todos los usuarios, cuentas, grupos y computadoras a los que se les concede acceso a un archivo o carpeta, incluidos los derechos de acceso que se les conceden. Nota: Para utilizar la asignación de permisos de control NTFS de forma correcta y hábil, debe tener un conocimiento profundo de las características de los permisos NTFS, la herencia, las características de los permisos "denegados" y los resultados de copiar y mover archivos y carpetas. Un administrador de sistemas de red debe considerar sistemáticamente la situación laboral del usuario, combinar de manera efectiva varios permisos y luego otorgárselos al usuario. La combinación eficaz de varios permisos permite a los usuarios completar su trabajo cómodamente y, al mismo tiempo, puede controlar eficazmente el acceso de los usuarios a los recursos del servidor, fortaleciendo así la seguridad de la red y el servidor.
2.2.3 Control de seguridad del servidor de red
El servidor de red es el corazón de nuestra red, y proteger la seguridad del servidor de red es nuestra máxima prioridad en el trabajo de seguridad. Sin seguridad del servidor, no hay seguridad de la red. Para poder proteger eficazmente la seguridad del servidor debemos partir de los siguientes aspectos.
A. Gestión estricta de permisos del servidor
Debido al importante estado del servidor, debemos analizar y evaluar cuidadosamente el contenido del trabajo y la naturaleza de los usuarios que necesitan trabajar en el servidor. y Otorgar la autoridad adecuada en función de las características de su trabajo. Estos permisos deben garantizar que el usuario pueda completar el trabajo sin problemas, pero no debemos darle más permisos (incluso si creemos completamente que no lo destruirá, también debemos considerar su mal funcionamiento), eliminar algunos usuarios y grupos no utilizados e innecesarios. (Tales como traslado o despido de empleados). También es necesario que los trabajadores de seguridad de la red restrinjan o prohíban la administración remota y limiten los derechos de acceso remoto según la situación.
B. Implementar estrictamente operaciones de respaldo
Como administrador de red, pérdida de datos debido a fallas en la unidad de disco, fallas de energía, infección de virus, ataques de piratas informáticos, mal funcionamiento, desastres naturales, etc. cosa más común. Para garantizar que el sistema pueda recuperarse de desastres lo más rápido posible, minimizar el tiempo de inactividad y guardar los datos al máximo, la copia de seguridad es el método más simple y confiable. Windows 2 integra una potente herramienta gráfica de copia de seguridad. Está diseñado específicamente para evitar la pérdida de datos causada por fallas de hardware o medios de almacenamiento. Ofrece cinco tipos de copias de seguridad: normal, replicada, diferencial, incremental y diaria. Podemos organizar de manera flexible estos cinco tipos de copias de seguridad según el tiempo y el espacio consumidos por la copia de seguridad para lograr nuestros objetivos.
Advertencia: Para los datos respaldados desde un volumen NTFS de Windows 2, se deben restaurar en un volumen NTFS de Windows 2 para evitar la pérdida de datos y al mismo tiempo conservar los permisos de acceso, la información de configuración del sistema de archivos cifrado, la información de cuota de disco, etc. . Si lo restaura a un sistema de archivos FAT, todos los datos cifrados se perderán y el archivo será ilegible.
C. Inicie estrictamente el servidor de respaldo.
Para algunos servidores muy importantes, como controladores de dominio, servidores cabeza de puente, servidores DHCP, servidores DNS, servidores WINS, etc. , incluidos aquellos servidores de aplicaciones que afectarán gravemente el negocio de la empresa una vez que caigan, debemos establecer un mecanismo de respaldo a cualquier costo, de modo que incluso si un servidor falla, no tendrá un gran impacto en nuestro trabajo. También podemos usar la función de clúster de Windows 2 Advance Server para usar dos o más servidores, que no solo pueden desempeñar una función de respaldo, sino también mejorar el rendimiento del servicio.
D. Utilice RAID para lograr tolerancia a fallos
Existen dos métodos para utilizar RAID, software y hardware. Cuál utilizar debe considerar los siguientes factores:
Tolerancia a fallos de hardware Más rápida que la tolerancia a fallos de software.
La tolerancia a fallos de hardware es más cara que la tolerancia a fallos de software.
El fabricante puede restringir la tolerancia a fallos del hardware y solo se pueden utilizar equipos de un único fabricante.
La función de tolerancia a fallas de hardware puede implementar tecnología de intercambio en caliente del disco duro, de modo que un disco duro defectuoso se pueda reemplazar sin apagarlo.
La tolerancia a fallos del hardware puede utilizar tecnología de almacenamiento en caché para mejorar el rendimiento.
Microsoft Windows 2 Server admite tres tipos de RAID de software, que se presentan brevemente a continuación:
U RAID (volumen seccionado)
RAID también se denomina banda de disco La tecnología de bandas se utiliza principalmente para mejorar el rendimiento y no pertenece a la categoría de seguridad. Sáltelo aquí, los amigos interesados pueden consultar información relevante.
U RAID 1 (volumen espejo)
RAID 1, también conocida como tecnología de duplicación de disco, se implementa utilizando el controlador tolerante a fallas (Ftdisk.sys) de Windows 2 Server. De esta manera, los datos se escriben en ambos discos al mismo tiempo. Si un disco falla, el sistema continuará funcionando automáticamente utilizando los datos del otro disco. Con esta solución, la utilización del disco es solo del 5.
Los volúmenes espejo se pueden utilizar para proteger las particiones del disco del sistema o las particiones del disco de arranque. Tienen un buen rendimiento de lectura y escritura y ocupan menos memoria que los volúmenes RAID 5.
La tecnología de disco dúplex se puede utilizar para mejorar aún más la seguridad de los volúmenes reflejados sin requerir soporte ni configuración de software adicional. (Tecnología de disco dúplex: si un controlador de disco controla dos discos físicos, cuando el controlador de disco falla, ambos discos serán inaccesibles. La tecnología de disco dúplex utiliza dos controladores de disco para controlar dos discos físicos. Seguridad mejorada cuando dos discos forman un volumen reflejado: incluso si un controlador de disco está dañado, el sistema aún puede funcionar)
Los volúmenes reflejados pueden contener cualquier partición, incluida una partición del disco de arranque o una partición del disco del sistema. Sin embargo, ambos discos en el volumen reflejado deben ser discos dinámicos de Windows 2.
U RAID 5 (volúmenes seccionados con paridad)
En Windows 2 Server, RAID 5 es el método más utilizado para volúmenes tolerantes a fallos y requiere al menos tres unidades, hasta 32 unidades. Windows 2 implementa tolerancia a fallas agregando segmentos de traducción de paridad a cada partición de disco en un volumen RAID-5. Si falla un solo disco, el sistema puede utilizar información de paridad y datos de los discos restantes para reconstruir los datos perdidos.
Nota: Los volúmenes RAID-5 no pueden proteger los discos del sistema ni las particiones del disco de arranque.
E. Supervisar estrictamente los servicios iniciados por el sistema.
Muchos troyanos o programas de virus tienen que crear un servicio o proceso en segundo plano en el sistema. Deberíamos revisar el sistema con frecuencia. Una vez que encontramos algunos procesos o servicios extraños, debemos prestar especial atención a si hay software peligroso, como troyanos, virus o espías ejecutándose. Como administrador de red, es un hábito habitual comprobar con frecuencia los procesos del sistema y las opciones de inicio. Aquí hay una sugerencia para los administradores de red junior: después de instalar el sistema operativo y las aplicaciones, use una herramienta de software (como Windows Optimizer) para exportar una lista de servicios y procesos del sistema. En el futuro, a menudo compare las listas de servicios y procesos existentes con las anteriores. Listas exportadas previamente para comparar. Tenga especial cuidado si nota un proceso o servicio extraño.
2.2.4 Monitoreo de red y control de bloqueo
Los administradores de red deben monitorear la red y el servidor debe registrar el acceso de los usuarios a los recursos de la red. En caso de acceso ilegal a la red, el servidor debe emitir una alarma en forma de gráfico, texto o sonido para atraer la atención del administrador de la red. Si un delincuente intenta acceder a la red, el servidor de la red debería registrar automáticamente el número de intentos de acceder a la red. Si el número de accesos ilegales alcanza el valor establecido, la cuenta se bloqueará automáticamente.
Permite que el servidor realice operaciones como cargar y descargar módulos de gestión e instalar y eliminar software en la consola del servidor. El control de seguridad del servidor de red incluye la configuración de una contraseña para bloquear la consola del servidor y evitar que usuarios ilegales modifiquen, eliminen componentes importantes del servicio o destruyan datos; puede configurar la hora y la duración del inicio de sesión en el servidor, así como el intervalo de tiempo para visitantes ilegales; detección y apagado.
Control de cortafuegos
El concepto de cortafuegos se originó en el antiguo sistema de defensa del castillo. Para proteger la seguridad de una ciudad en las guerras antiguas, generalmente se cavaba un foso alrededor de la ciudad. Todos los que entraban y salían del castillo tenían que pasar por un puente levadizo, que estaba custodiado por guardias. Al diseñar redes modernas, los diseñadores se basaron en esta idea y diseñaron la tecnología de firewall de red que presentaré a continuación.
La función básica de un firewall es inspeccionar y filtrar los paquetes de datos transmitidos entre redes según determinadas normas de seguridad para determinar su legalidad. Aísla las redes internas y externas mediante el establecimiento de sistemas de monitoreo de comunicación correspondientes en el límite de la red para evitar intrusiones en la red externa. Por lo general, implementamos esta función a través de un dispositivo llamado enrutador de filtrado de paquetes, que también se denomina enrutador de protección. Como firewall, el mecanismo de funcionamiento de un enrutador es muy diferente al de un enrutador normal. Los enrutadores comunes funcionan en la capa de red y pueden determinar el enrutamiento de los paquetes de datos en función de la dirección IP de los paquetes de datos de la capa de red. Los enrutadores de filtrado de paquetes deben verificar y filtrar las direcciones IP y los encabezados de los paquetes de datos TCP o UDP. Los paquetes inspeccionados por el enrutador de filtrado de paquetes serán inspeccionados adicionalmente por la puerta de enlace de la aplicación. Por lo tanto, desde la perspectiva del modelo de capa de protocolo, el firewall debe cubrir la capa de red, la capa de transporte y la capa de aplicación.
Mira el resto: hay demasiados 'no puedo copiar'
Además, el grupo IDC tiene muchos productos online con precios baratos y buena reputación.