中小型企业网络安全规划与设计.docx

中小型企业网络安全规划与设计 中小型企业网络平安规划与设计 编制精选 企业管理 制度 审核批准生效日期地址：电话： 传真: 邮编:中小型网络平安规划与设计 摘要 ：中小企业在业务中对于信息技术和网络的依靠程度越来越高，必需引起对信息平安的重视。然而，由于企业将主要的精力集中在各种业务应用的开展上，再加之受限于资金、技术、人员以及平安意识等多方面因素，信息平安建设往往相对滞后。部分企业已经采纳了防火墙+防病毒的基本平安措施，但许多中小企业什么平安爱护措施都没有，不能不让人为此担忧。随着网络技术的快速发展，各种依托网络开展的攻击技术也得到了扩散。黑客攻击手段越来越丰富，各类破坏力较大的攻击工具、文摘在网上唾手可得；中小企业的平安现状经常使得他们成了黑客攻击破坏的首选 试验品。另外病毒的发展已经远远超过人们预期的想象，破坏性越来越严峻；加上企业内部信息平安管理制度的疏漏，为一些不法人员供应了大量的犯罪途径。中小企业快速建立完善的信息平安体制已经势在必行。关键字：中小型企业；网络；平安Small and medium-sized network security planning and designAbstract: the small and medium-sized enterprise in the business for the information technology and network more and more rely on the information security, must cause the attention. However, because the enterprise will mainly focus on the various business applications development, coupled with the limited funds, technology, personnel and security awareness and other factors, the information security construction and often relatively lag. Some enterprises have adopted the firewall and antivirus basic security measures, but many small and medium-sized enterprise what safety protection measures are not, let a person worrythe rapid development of network technology, a variety of relying on network attack technology is also spread. Hackers means more and more abundant, all kinds of destructive force larger attack tools, abstracts online with extreme ease; small and medium-sized enterprise security status often makes them into a hacker attack preferred test materials. Another virus development has far exceeded the expectations of imagination, damage is more and more serious; plus enterprise internal information security management system for omissions, some unscrupulous persons to provide a large number of pathways in crime. Small and medium-sized enterprises rapidly establish and improve the information security system has be imperative.Key words: Small and medium-sized enterprises; network security 目 目 录 录第 1 章绪论 . 错误! ! 未定义书签。第 2 章 网络环境现状 . 错误! ! 未定义书签。网络环境介绍 . 错误! ! 未定义书签。中小型网络状况分析 . 错误! ! 未定义书签。第 3 章 网络平安风险分析 . 错误! ! 未定义书签。概要风险分析 . 错误! ! 未定义书签。实际风险分析 . 错误! ! 未定义书签。平安缺口 . 错误! ! 未定义书签。网络平安评估 . 错误! ! 未定义书签。第 4 章 中小型企业网络平安的实现措施 . 错误! ! 未定义书签。计算机平安 . 错误! ! 未定义书签。访问限制策略. 错误! ! 未定义书签。 确保网络平安的措施. 错误! ! 未定义书签。 提高企业内部网平安性的几个步骤. 错误! ! 未定义书签。 网络平安 . 错误! ! 未定义书签。网络平安原则 . 错误! ! 未定义书签。第 5 章实现中小型企业网络平安的规划与设计 . 错误! ! 未定义书签。整体网络平安系统架构 . 错误! ! 未定义书签。整体平安防护体系 . 错误! ! 未定义书签。INTERNET 和信息发布服务 . 错误! ! 未定义书签。INTERNET 和内部网 . 错误! ! 未定义书签。结 论 . 错误! ! 未定义书签。致谢 . 错误! ! 未定义书签。参考文献 . 错误! ! 未定义书签。第 1 章绪论 国内中小企业信息化已经得到了快速的发展，而且发挥着越来越重要的作用，由于受资金、平安意识方面的限制，信息平安建设相对严峻滞后。目前，许多企业已经建立了防火墙+防病毒的平安体系，是否就能取得较好的平安效果呢事实表明，这样的平安措施还是不够的。蠕虫的爆发、网站遭到破坏、内部信息资外泄„„中小企业会遇到很多 成长中的苦恼比如：外部平安随着互联网的发展，网络平安事务层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的平安威逼。对于企业级用户，每当遭受这些威逼时，往往会造成数据破坏、系统异样、网络瘫痪、信息失窃，工作效率下降，干脆或间接的经济损失也很大。内部平安最新调查显示，在受调查的企业中 60%以上的员工利用网络处理私人事务。对网络的不正值运用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。内部网络之间、内外网络之间的连接平安随着企业的发展壮大及移动办公的普及，渐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享平安，既要保证信息的刚好共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接平安干脆影响企业的高效运作。本次论文将结合实际采纳最合理的方式来对中小企业网络进行规划与设计。第 2 章 网络环境现状 网络环境介绍 信息化已成为国际性发展趋势，作为国民经济信息化的基础，企业信息化建设受到国家和企业的广泛重视。企业信息化，企业网络的建设是基础，从计算机网络技术和应用发展的现状来看，Intranet是得到广泛认同的企业网络模式。Intranet 并不完全是原来局域网的概念，通过与 Internet 的联结，企业网络的范围可以是跨地区的，甚至跨国界的。现在，随着信息化技术的飞速发展 ，Internet 的发展已成燎原之势，随着 WWW上商业活动的激增，Intranet也应运而生。近几年，很多有远见的企业领导者都已感到企业信息化的重要性,接连建立起了自己的企业网和Intranet 并通过各种 WAN 线路与 Internet相连。很多有远见的企业都相识到依托先进的 IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。国际互联网 Internet在带来巨大的资源和信息访问的便利的同时，它也带来了巨大的潜在的危急，至今仍有许多企业仍旧没有感到企业网平安的重要性。在我国网络急剧发展还是近几年的事，而在国外企业网领域出现的平安事故已经是数不胜数。因此，我们应当在主动进行企业网建设的同时，就应借鉴国外企业网建设和管理的阅历，在网络平安上多考虑一些，将企业网中可能出现的危急和漏洞降到最低。使已经花了不少财力、人力和时间后，建立起来的网络真正达到预想的效果。影响计算机网络平安的因索许多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来丰要以下几个方面：1、病毒感染 从蠕虫病毒起先到 CIH、爱虫病毒，病毒始终是计算机系统平安最干脆的威逼。病毒依靠网络快速传播，它很简单地通过代理服务器以软件下载、邮件接收等方式进入网络，窃取网络信息，造成很人的损失。2、来自网络外部的攻击 这是指来自局域网外部的恶意攻击，例如：有选择地破坏网络信息的有效性和完整性；伪装为合法用户进入网络并占用大量资源；修改网络数据、窃取、破译机密信息、破坏软件执行；在中间站点拦截和读取绝密信息等。3、来自网络内部的攻击 在局域网内部，一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息，破坏信息内容，造成应用系统无法运行。4、系统的漏洞及后门 操作系统及网络软件不行能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知，就会借这个薄弱环节对整个网络系统进行攻击，大部分的黑客入侵网络事务就是由系统的漏洞 和后门所造成的。经营管理对计算机应用系统的依靠性增加，计算机应用系统对网络的依靠性增加。计算机网络规模不断扩大，网络结构日益困难。计算机网络和计算机应用系统的正常运行对网络平安提出了更高的要求。信息平安防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息平安防范体系模型显示平安防范是一个动态的过程，事前、事中和事后的技术手段应当完备，平安管理应贯穿平安防范活动的始终。中小型网络状况分析中小企业由于规模大小、行业差异、工作方式及管理方式的不同有着不同的网络拓扑机构。网络状况有以下几种。集中型: 中小企业网络一般只在总部设立完善的网络布局。实行专线接入、ADSL接入或多条线路接入等网络接入方式，一般网络中的终端总数在几十到几百台不等。网络中有的划分了子网，并部署了与核心业务相关的服务器，如数据库、邮件服务器、文档资料库、甚至 ERP服务器等。 分散型: 实行多分支机构办公及移动办公方式，各分支机构均有网络部署，数量不多。大的分支实行专线接入，一般分支实行 ADSL接入方式。主要是通过 VPN访问公司主机设备及资料库，通过邮件或内部网进行业务沟通沟通。 综合型: 集中型与分散型的综合。综合型企业网络简图第 3章 网络平安风险分析 概要风险分析 1.物理平安分析 网络的物理平安是整个网络系统平安的前提。在网络工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必需优先考虑爱护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的平安；必需建设防雷系统，防雷系统不仅考虑建筑物防雷，还必需考虑计算机及其他弱电耐压设备的防雷。总体来说物理平安的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、平安意识等，因此要尽量避开网络的物理平安风险。2.网络结构的平安风险分析网络拓扑结构设计也干脆影响到网络系统的平安性。企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严峻的平安威逼，入侵者每天都在试图闯入网络节点。假如在外部和内部网络进行通信时，网络系统中办公系统及员工主机上都有涉密信息，假如内部网络的一台电脑平安受损(被攻击或者被病毒感染)，内部网络的机器平安就会受到威逼，同时也影响在同一网络上的很多其他系统。透过网络传播，还会影响到连上 Internet/Intrant 的其他的网络；影响所及，还可能涉及法律、金融等平安敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL 等）和外网及内部其它业务网络进行必要的隔离，避开网络结构信息外泄；同时还要对外网的服务恳求加以过滤，只允许正常通信的数据包到达相应主机，其它的恳求服务在到达主机之前就应当遭到拒绝。3.操作系统的平安风险分析所谓系统的平安是指整个网络操作系统和网络硬件平台是否牢靠且值得信任。目前唯恐没有肯定平安的操作系统可以选择，无论是 Microsfot 的 Windows NT或者其它任何商用 UNIX 操作系统，其开发厂商必定有其后门。因此，我们可以得出如下结论：没有完全平安的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择平安性尽可能高的操作系统。因此不但要选用完可能牢靠的操作系统和硬件平台，并对操作系统进行平安配置。而且，必需加强登录过程的认证（特殊是在到达服务器主机之前的认证），确保用户的合法性；其次应当严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。4.应用的平安风险分析应用系统的平安跟详细的应用有关，它涉及面广。应用系统的平安是动态的、不断改变的。应用的平安性也涉及到信息的平安性，它包括许多方面。应用的平安性也是动态的。这就须要我们对不同的应用，检测平安漏洞，实行相应的平安措施，降低应用的平安风险。主要有文件服务器的平安风险、数据库服务器的平安风险、病毒侵害的平安风险、数据信息的平安风险等应用的平安涉及方面许多，以目前 Internet 上应用最为广泛的 E-mail 系统来说，其解决方案有 sendmail、Netscape Messaging Server、 、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其平安手段涉及 LDAP、DES、RSA 等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的平安性上，主要考虑尽可能建立平安的系统平台，而且通过专业的平安工具不断发觉漏洞，修补漏洞，提高系统的平安性。应用的平安性涉及到信息、数据的平安性。 信息的平安性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到许多机密信息，假如一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严峻的。因此，对用户运用计算机必需进行身份认证，对于重要信息的通讯必需授权，传输必需加密。采纳多层次的访问限制与权限限制手段，实现对数据的平安爱护；采纳加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性。5.管理的平安分析管理是网络中平安最最重要的部分。责权不明，平安管理制度不健全及缺乏可操作性等都可能引起管理平安的风险。当网络出现攻击行为或网络受到其它一些平安威逼时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法供应黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必需对站点的访问活动进行多层次的记录，刚好发觉非法入侵行为。建立全新网络平安机制，必需深刻理解网络并能供应干脆的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的平安运行，使其成为一个具有良好的平安性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的平安隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的平安建设是网络平安建设过程中重要的一环。管理方面的平安隐患包括：内部管理人员或员工图便利省事，不设置用户口令，或者设置的口令过短和过于简洁，导致很简单破解。责任不清，运用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的平安风险。实际风险分析 现今的网络平安存在的威逼主要表现在以下几个方面。 1.非授权访问。指对网络设备及信息资源进行非正常运用或越权运用等。2.冒充合法用户。主要指利用各种假冒或欺瞒的手段非法获得合法用户的运用权限,以达到占用合法用户资源的目的。 3.破坏数据的完整性。指运用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常运用。 4.干扰系统正常运行。指变更系统的正常运行方法,减慢系统的响应时间等手段。 5.病毒与恶意攻击。指通过网络传播病毒或恶意 Java、XActive 等。6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获得非法信息。平安缺口 平安策略常常会与用户便利性相冲突,从而产生相反的压力,使平安措施与平安策略相脱节。这种状况称为平安缺口。为什么会存在平安缺口呢有下面四个因素: 1、网络设备种类繁多当前运用的有各种各样的网络设备,从 Windows NT 和 UNIX 服务器到防火墙、路由器和 Web 服务器,每种设备均有其独特的平安状况和保密功能; 2、访问方式的多样化一般来说,您的网络环境存在多种进出方式,很多过程拔号登录点以及新的 Internet访问方式可能会使平安策略的设立困难化; 3、网络的不断改变网络不是静态的,始终都处于发展改变中。启用新的硬件设备和操作系统,实施新的应用程序和 Web 服务器时,平安配置也有不尽相同; 4、用户保安专业学问的缺乏很多组织所拥有的对网络进行有效爱护的保安专业学问非常有限,这事实上是造成平安缺口最为主要的一点。网络平安评估 为堵死平安策略和平安措施之间的缺口,必需从以下三方面对网络平安状况进行评估: 1、从企业外部进行评估:考察企业计算机基础设施中的防火墙; 2、从企业内部进行评估:考察内部网络系统中的计算机; 3、从应用系统进行评估:考察每台硬件设备上运行的操作系统。第 4章 中小型企业网络平安的实现措施 计算机平安 访问限制策略 访问限制是网络平安防范和爱护的主要策略，它的主要任务是保证网络资源不被非法运用和特别访问。它也是维护网络系统平安、爱护网络资源的重要手段。各种平安策略必需相互协作才能真正起到爱护作用，但访问限制可以说是保证网络平安最重要的核心策略之一。下面我们分述各种访问限制策略。1、入网访问限制 入网访问限制为网络访问供应了第一层访问限制。它限制哪些用户能够登录到服务器并获得网络资源，限制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问限制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。假如验证合法，才接着验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的平安性，用户口令不能显示在显示屏上，口令长度应不少于 6 个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必需经过加密，加密的方法许多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采纳一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。 网络管理员应当可以限制和限制一般用户的帐号运用、访问网络的时间、方式。用户名或用户帐号是全部计算机系统中最基本的平安形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必需提交的证件、用户可以修改自己的口令，但系统管理员应当可以限制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能限制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问资费用完时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对全部用户的访问进行审计。假如多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。2、网络的权限限制 网络的权限限制是针对网络非法操作所提出的一种平安爱护措施。用户和用户组被给予肯定的权限。网络限制用户和用户组可以访问哪些书目、子书目、文件和其他资源。可以指定用户对这些文件、书目、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派限制用户和用户组如何运用网络服务器的书目、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子书目从父书目那里继承哪些权限。我们可以依据访问权限将用户分为以下几类：特别用户（即系统管理员）；一般用户，系统管理员依据他们的实际须要为他们安排操作权限；审计用户，负责网络的平安限制与资源运用状况的审计。用户对网络资源的访问权限可以用一个访问限制表来描述。3、书目级平安限制 网络应允许限制用户对书目、文件、设备的访问。用户在书目一级指定的权限对全部文件和子书目有效，用户还可进一步指定对书目下的子书目和文件的权限。对书目和文件的访问权限一般有八种：系统管理员权限（Supervisor）； 读权限（Read）、； 写权限（Write）； 创建权限（Create）； 删除权限（Erase）； 修改权限（Modify）； 文件查找权限（File Scan）； 存取限制权限（Access Control）； 用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限限制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地限制用户对服务器资源的访问，从而加强了网络和服务器的平安性。4、属性平安限制 当用文件、书目和网络设备时，网络系统管理员应给文件、书目等指定访问属性。属性平安限制可以将给定的属性与网络服务器的文件、书目和网络设备联系起来。属性平安在权限平安的基础上供应更进一步的平安性。网络上的资源都应预先标出一组平安属性。用户对网络资源的访问权限对应一张访问限制表，用以表明用户对网络资源的访问实力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能限制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除书目或文件、查看书目和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以爱护重要的书目和文件，防止用户对书目和文件的误删除、执行修改、显示等。5、网络服务器平安限制 网络允许在服务器限制台上执行一系列操作。用户运用限制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的平安限制包括可以设置口令锁定服务器限制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。6、网络监测和锁定限制 网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的留意。假如不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，假如非法访问的次数达到设定数值，那么该帐户将被自动锁定。7、网络端口和节点的平安限制 网络中服务器的端口往往运用自动回呼设备、静默调制解调器加以爱护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端实行限制，用户必需携带证明身份的验证器（如智能卡、磁卡、平安密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证确保网络平安的措施 由于网络平安的目的是保障用户的重要信息的平安，因此限制干脆接触非常重要。假如用户的网络连入Internet，那麽最好尽可能地把与 Internet 连接的机器与网络的其余部分隔离开来。实现这个目标的最平安的方法是将 Internet 服务器与网络实际隔开。当然，这种解决方案增加了机器管理的难度。但是假如有人闯入隔离开的机器，那麽网络的其余部分不会受到牵连。 最重要的是限制访问。不要让不须要进入网关的人都进入网关。在机器上用户仅须要一个用户帐号，严格限制它的口令。只有在运用 su时才允许进入根帐号。这个方法保留一份运用根帐号者的记录。 在 Internet 服务器上供应的一些服务有 FTP、HTTP、远程登陆和 WAIS（广域信息服务）。但是，FTP和 HTTP是运用最普遍的服务。它们还有潜力泄露出乎用户意料之外的隐私。 与任何其它 Internet 服务一样，FTP 始终是（而且仍是）易于被滥用的。值得一提的弱点涉及几个方面。第一个危急是配置不当。它使站点的访问者（或潜在攻击者）能够获得更多超出其预期的数据。 他们一旦进入，下一个危急是可能破坏信息。一个未经审查的攻击者可以抹去用户的整个 FTP站点。 最终一个危急不必长篇累牍，这是因为它不会造成破坏，而且是低水平的。它由用户的 FTP 站点构成，对于交换文件的人来说，用户的 FTP 站点成为麻木不仁的窝脏点。这些文件无所不包，可以是盗版软件，也可以是色情画。这种交换如何进行的呢简洁的很。发送者发觉了一个他们有权写入和拷入可疑文件的 FTP站点。通过某些其它方法，发送者通知它们的同伙文件可以运用。全部这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许 FTP 用户有机会写入。当用户通过 FTP 访问一个系统时，这一般是 FTP 用户所做的事。因此，FTP用户可以访问，用户的访问者也可以运用。全部这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许 FTP用户有机会写入。当用户通过 FTP 访问一个系统时，这一般是 FTP 用户所做的事。因此，FTP 用户可以访问，用户的访问者也可以访问。 一般说来，FTP 用户不是用户的系统中已经有的。因此，用户要建立 FTP 用户。无论如何要保证将外壳设置为真正外壳以外的东西。这一步骤防止 FTP 用户通过远程登录进行注册（用户或许已经禁止远程登录，但是万一用户没有这样做，确认一下也不会有错）。 将全部文件和书目的主子放在根书目下，不要放在 ftp下。这个预防措施防止 FTP用户修改用户细致构思出的口令。然后，将口令规定为 755（读和执行，但不能写，除了主子之外）。在用户希望匿名用户访问的全部书目上做这项工作。尽管这个规定允许他们读书目，但它也防止他们把什麽东西放到书目中来。 用户还须要编制某些可用的库。然而，由于用户已经在以前建立了必要的书目，因此这一步仅执行一部分。因此，用户须要做的一切是将/usr/lib/和/usr/lib/1 拷贝到ftp/usr/lib 中。接着将ftp/usr/lib 上的口令改为 555，并建立主接收器。最终，用户须要在ftp/dev/中建立/dev/null 和/dev/socksys 设备结点。用户可以用 mknod 手工建立它们。然而，让系统为用户工作会更加简单。SCO文档说用 cpio,但是 copy（非 cp）很管用。假如用户想建立一个人们都可用留下文件的书目，那麽可将它称作输入。允许其他人写入这个书目，但不能读。这个预防措施防止它成为麻木不仁的窝脏点。人们可以在这里放入他们想放的任何东西，但是他们不能将它们取出。假如用户认为信息比较适合共享，那麽将拷贝到另一个书目中。提高企业内部网平安性的几个步骤 1) 限制对网关的访问。限制网关上的帐号数。不要允许关不信任任何机器。没有一台机器应当信任网关； 2) 不要用 NFS 向网关传输或接收来自网关的任何文件系统； 3) 不要在网关上运用 NIS（网络信息服务）； 4) 制订和执行一个非网关机器上的平安性方针； 5) 关闭全部多余服务和删除多余程序 6) 删除网关的全部多余程序（远程登录、rlogin、FTP等等）； 7) 定期阅读系统记录。 网络平安 1.物理平安策略 物理平安策略的目的是爱护计算机系统、网络服务器、打印机等硬件实体和信链路免受自然灾难、人为破坏和搭线攻击；验证用户的身份和运用权限、防用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的平安管理制度，防止非法进入计算机限制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏（即 TEMPEST 技术）是物理平安策略的一个主要问题。目前主要防护措施有两类：一类是对传导放射的防护，主要实行对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采纳各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离； 二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。2.网络结构的平安网络结构布局的合理与否，也影响着网络的平安性对银行系统业务网，办公网，与外单位互联的接口网络之间必需按各自的应用范围，平安保密程度进行合理分布，以免局部平安性较低的网络系统造成的威逼，传播到整个网络系统，所以必需从两个方面入手，一是加强|力问限制：在内部局网内可以通过交换机划分 VLAN功能来实现；或是通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问限制：也可以配备应用层的访问限制软件系统，针对局域网详细的应用进行更细致的访问限制。二是作好平安检测工作：在局域网络的共享网络设备上配备入侵检测系统，实时分析进出网络数据流，对网络违规事务跟踪，实时报警，阻断连接并做日志。3.操作系统的平安对操作系统必需进行平安配置，打上最新的补丁，还要利用相应的扫描软件对其进行平安性扫描评估，检测其存在的平安漏洞，分析系统的平安性，提出补救措施，管理人员应用时必需加强身份认证机制及认证强度尽量采纳平安性较高的网络操作系统并进行必要的平安配置，关闭一些起不常用却存在平安隐患的应用，对一些关键文件运用权限进行严格限制，加强口令字的运用，刚好给系统打补丁，系统内部的相互调用不对外公开。4.应用的平安要确保计算机网络应用的平安，主要从以下几个方面作好平安防范工作：一要配备防病毒系统，防止病毒入