来源:蜘蛛抓取(WebSpider)
时间:2014-09-30 12:06
标签:
qq加倍成长卡
您的位置: & 晴天铠甲动画片小游戏
评分:人气:1512评分:人气:934评分:人气:7713评分:人气:14911评分:人气:13176评分:人气:2848评分:人气:474评分:暂无评分人气:184评分:人气:197评分:人气:141782评分:人气:364008评分:人气:150449评分:人气:3847评分:人气:12610评分:人气:776评分:人气:926评分:人气:817评分:人气:144评分:人气:544评分:人气:168评分:人气:366评分:人气:520评分:人气:577评分:人气:25评分:人气:197评分:人气:81评分:人气:268评分:人气:3244评分:人气:117评分:人气:34962评分:人气:33607评分:人气:1250评分:人气:5367评分:人气:2055评分:人气:1329
1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.
晴天铠甲动画片小游戏到今年年底,杭州绕城高速内市区主要道路和重要景区将被无线网络完全覆盖,加上部分园区写字楼和小区公共区域,总面积约达728平方公里,这是总投资额为8.5亿元人民币的杭州WLAN无线城市项目一期将要达到的效果。该项目分三期建设, 2009年年底将基本实现大杭州1.66万平方公里全覆盖,点线面结合,达到宽带&无线城市&的目标。
用进废退的
随着Wi-Fi技术的不断成熟,以及建设和维护成本的日趋合理,无线宽带网络在商务、旅游、家庭、学校和医院等诸多领域都具有广阔的应用前景。越来越多的发达城市将无线网络看做城市基础设施之一,&无线城市&概念吸引了无数眼球。打造无线城市的提法近两年来此起彼伏,但很多都步入&重建设、轻应用&的误区。
杭州市地处沿海发达城市和长三角经济圈核心区,为了给市民、企业、学校、医院、国内外旅游者以及所有政府机关提供一个能随时随地沟通交流的互动平台,从而改进公共服务,实现&信息强市&,促进经济和社会发展,杭州市领导在响应国家&十一五&规划&三网融合&号召下,加快建设无线宽带城域网,前瞻性、创造性地进行了城市未来信息化建设的布局。
杭州无线城市在建设之初就充分考虑了无线网络的应用模式,例如日投入试运行的无线城管停车收费系统,就是全国首屈一指的。第二个应用是交警以及公安无线应用,包括无线监控、视频资料的回传、现场事故处理信息上传,以及无线定位功能。第三个应用是公众的交通应用,例如公交车、轨道交通: 大家如果在杭州旅行的话,会发现公交车上无线网的应用是非常普遍的,杭州的公交站台都有数字显示下一班要多长时间才能来。第四个应用包括政府部门的应用,例如园林、水利、教育等行业。&归根结底,无线城域网最重要的核心就是惠民。& Trapeze Networks北亚区执行总监金长程介绍说。
据了解,杭州无线宽带城域网一期工程建成后,只要在网络覆盖范围内,手提电脑、便携式电视机甚至是手机都可以无线上网。今后,政府、单位、小区通过无线上网,可以实现新闻浏览、在线信息查询、城市公共信息和应急信息发布、可视通信,无线语音通信等多种功能。同时,道路监控、交通管理、安全监控、环境数据采集、水文监测等公用服务项目,也将相继实现&无线化&。
优质的承载网络
多样化的无线应用需求对网络承载也提出了很高的要求。&杭州无线城市所采用的产品有着众多的性能亮点,例如 Ring Master将网管作为网络主要功能,通过定制无线覆盖地区、用户数目、所需带宽、在线话音用户数等,就可设计AP(无线接入点)位置、数目及配置,并生成安装工程指示图。这样不仅大大节省了人力,同时也确保了安装时间,避免了安装错误,为整个项目的进度和可靠性提供了保障。另外MX系列无线控制器的采用,能够在最大规模的单站点无线局域网上,实现无缝漫游、入侵防御和射频管理安全的无线网络部署,而无需中断当前网络的运行。&金长程如是说。
此次中标的是Trapeze Networks智能无线解决方案,整个项目超过一半的建设采用了Trapeze Networks的智能无线网络产品以及易和网络提供的集成解决方案,一期将部署近3000多个Trapeze Mobility Point(MP)系列无线接入点。该无线网络可支持无线宽带上网、无线VPN、无线网络租赁、定位、Wi-Fi 电视、个性化门户、视频传送、互动、即拍即传、预付费卡等业务,具有高可管理性、高扩容性和更快、更安全等特点,受到杭州市领导的普遍认可。据透露,下一阶段杭州无线城市的应用,将扩展到收费的公众应用、车载城市导航应用、Wi-Fi WIDTV数字互动平台增值业务的应用、手机Wi-Fi导航,以及保险公司快速道路理赔服务。
上网的人中,很少有谁没被病毒侵害过。但在大多数人将注意力放在对付病毒上时,业内权威人士新近指出,现在要想保证上网安全,必须对以下这三种威胁同时设防。第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;第二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁;第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。
&&& 三大新威胁
&&& Spyware(间谍软件):主要是用作偷取用户个人资料的恶意程序,如用户使用网上银行、网上购物等电子商务应用时,如果没有相关的防御措施与意识,那么用户的网银账号和密码就很容易被窃取。
&&& Adware(广告软件):是一种软件,一般表现为用户点击网站后就一连出现好多叠加着的网页,非常不好关。它通常都跟某些工具软件绑在一起,当你安装这些软件后,也就跟着进入你的电脑了。它不但占用系统资源,还常常连着一些色情网站。除强行向用户做广告外,更会刺探用户的个人隐私资料,例如姓名、邮箱、银行资料、电话、地址等,因此隐藏着不小的危害性,需要尽快清除。
&&& Phishing(网络钓鱼软件,又称电子黑饵):是fishing和phone的缩写。是指盗取他人个人资料、银行及财务账户资料的网络相关诱骗行为,可分为诱骗式及技术式两种。诱骗式是利用特制的电邮,引导收件人连接到特制的网页,这些网页通常会伪装成真正的银行或理财网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等;技术性的Phishing则是将程序安装到受害者的电脑中,直接盗取个人资料或使用木马程序、按键记录程序等。
&&& 只防病毒不安全
&&& 目前众多网民已不再是简单地上网浏览网页及收发电邮,随着网上银行、网上购物等电子商务应用的出现,来自网上的威胁不仅仅是传统的病毒了。
&&& 有报道称,中国目前已经成黑客首选的攻击目标,每天有3万台PC机处于随时可能被攻击的失控状态。业内人士指出,未来对电脑及电脑用户造成最大威胁的并不是我们惯常认为的电脑病毒(Virus),而是一些Spyware(间谍软件)、Adware(广告软件)、Phishing(网络钓鱼软件)、Trojan(木马程序)、Worms(蠕虫)。原因是大部分用户及商业机构对一般的电脑病毒已有一定的防范,譬如安装防毒程序等,再新的病毒也能在短时间内被解决,可是对于Spyware、Trojan及Worms绝大多数网民防范意识较为薄弱。虽然一般的电脑上也安装了防毒程序,但实际上单一的防毒程序并不能阻挡来自网上的侵袭。数码周刊在此向大家介绍如何架构一个缜密的&三防&电脑防御系统,以保证上网安全。
&&& 害人四大新趋势
&&& 总体来说,以前的黑客攻击和犯罪的目的性不很明确,他们大多出于好奇、出风头的目的。而现在多是有组织、有目的的经济犯罪。据我们分析,黑客的攻击大致有如下四大趋势:
&&& 1.盗取个人资料
&&& 近年来利用Phishing攻击的犯罪增长非常快,主要出现在电子商务应用中。黑客假借银行之名给银行用户发电子邮件,提示银行系统升级要求用户重新注册,用户一旦轻信进行注册,银行账号即落入黑客掌中,与此伴随的将是你的银行存款不翼而飞。
&&& 2.&僵尸&入侵
&&& 从全球来看,僵尸即机器人(BOT)程序在中国的增长最快,而整个亚太区也居于全球前十名。BOT类似于木马程序,它执行的是预先没有设置好的程序,通过所有被程序控制的&僵尸&电脑一同对某一目标发起攻击。这种攻击的危险性最大,因为它不像病毒可以提前监控。
&&& 3.Adware、Spyware偷袭
&&& Symantec的技术中心曾在用户送修的笔记本电脑中发现,其已经被植入了多达近百种的Adware或Spyware软件。它们一般通过小的用户在下载Flash和小游戏时安装,由于它们不像病毒和蠕虫那么敏感,于是得以在不知不觉中入侵你的电脑。现在一些正规的软件厂商也在应用这些软件来搜集用户的资料。尽管目前这类软件不见得都有害,但它们搜集的毕竟是你的个人隐私信息。这也将成为未来防范的重点。
&&& 4.垃圾邮件改头换面
&&& 从当前来看,垃圾邮件的总量虽然呈下降态势,但其逃避技术却越来越强。这类邮件中携带着大量的病毒、Phishing、蠕虫、木马及额外的风险。
&&& 三防靠六招
&&& 人们常常认为,只要安装一些单纯的网络防御产品就等于构建了一个完备的电脑防御系统。殊不知,这些还不足以构建起一个完善的网络整体防御体系,还需要在网络安全管理标准的指导下,通过网络安全管理整体解决方案,结合各种不同的网络防御技术和产品,在整体上维护网络和信息系统的安全。
&&& 1.基本防(杀)毒软件不可少
&&& 对于一般用户而言,首先要做的就是为电脑安装一套杀毒软件。只要是正规厂商的正版杀毒软件,任选一套即可。安装的步骤很简单,只要将安装盘放入光驱,按照系统的自动安装界面的提示选择安装**杀毒软件&选择安装的语言版本&再一路NEXT即可。
&&& 2.个人防火墙设定是关键
&&& 在上述防病毒软件中都含有个人防火墙,所以可用同一张光盘运行个人防火墙安装,重点提示防火墙在安装后一定要根据需求进行详细配置。
&&& 各种防火墙的设置技巧有一定的共通之处,那就是在选择将目前上网中的&区域连线 &&&设定值&的&服务&中的大部分连接协议剔除,只保留基本的HTTP、HTTPS、SMTP、POP3项目能够通过防火墙,按下确定后你的电脑就能防范大部分的蠕虫入侵了。
&&& 3.斩断Phishing鱼钩
&&& 反网络钓鱼组织APWG(Anti-PhishingWorkingGroup)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动。
&&& 4.反间谍、广告软件必杀
&&& 要防范Spyware的话,除了需要在电脑上安装有如防毒程序的反间程序,时常监察及清除电脑的Spyware外。还要对将要在计算机上安装的共享软件进行甄别选择,尤其是那些你并不熟悉的,可以登录其官方网站了解详情。此外,在安装共享软件时,不要总是心不在焉地一路单击&OK&按钮,而应仔细阅读各个步骤出现的协议条款,特别留意那些有关Spyware行为的语句。
&&& 推荐软件:MircrosoftAntiSpyware是一款专门针对Spyware的程序,支持Windows2000/XP/2003。它是用于监测和移除系统中存在的Spyware和其他潜在的不受信任程序的软件。可以减少因为这些软件带来的非法弹出广告窗口、计算机运行速度减慢、对Internet选项设置的随意改动,以及窃取私人信息的情况。但该软件还在测试阶段,所以应谨慎使用。
&&& Adware和其他恶意程序相近,它们中简单的会出现在控制面板的添加或删除程序里,用户可直接把它们移除。不过大部分Adware为了掩人耳目都不会直接显示程序本体,要删除它们就需要利用一些针对性的软件。
&&& 5.自建网站黑名单
&&& 清除了广告程序后,并不代表已存在浏览器内的问题会自动被还原,还需要用户手动重新更改标题及首页。
&&& 6.训练软件认垃圾
&&& 相信拥有电子邮箱的用户都受到过不同程度的垃圾邮件(SPAM)骚扰,令人不胜其烦,特别是每每长假过后邮箱被塞爆之虞。为此,用户要做的就是安装一款电邮过滤程序,把SPAM过滤掉。
近几年来,针对公司的间谍活动越来越严重。因此部署某种加密系统以确保窥探者不能从其截获的消息中破译什么内容,或者不能因为电脑被窃取而丢失信息是非常有意义的。不管是客户的数据,雇员数据,知识产权还是财务信息,丢失任何上述内容都是极端有害的。&
&&& 丢失的或被窃取的数据可以损害一个企业的商誉或者金融地位。一家企业必须保持其包含敏感信息的数据安全性,并与企业的保密原则相一致,以确保其客户事务的安全以及其它关键信息的保密性。
&&& 加密系统
&&& 现在有几种电子邮件加密方法。端到端的加密是从源设备到接收设备的完全加密。这种方法通过禁止插入点而提供最高级的安全,因为在这些插入点上纯文本数据就可以被任何人读取。其缺点是这种模式实施和管理方面也是最为复杂的。这种复杂性主要来源于这样一个事实:加密软件必须要安装在端点上并进行维护,端点必须与客户端的电子邮件阅读软件相集成。
&&& 网关到端点的加密是一种简化的加密,它提供了从发送方网络内的网关系统到接受端点的完全加密。在这种方案中,消息以纯文本的形式从发送方的桌面发出,并在相对邻近于电子邮件服务器的网关上进行加密。这种模式取消了对任何加密软件的需要,或者取消了发送方的干预。
&&& 另外一种加密方法是网关到网关的加密。这种方法就像网关到端点的加密,不过它在收受方一端增加一个加密网关,从而也就无需桌面软件和管理成本。&
&&& 最后,还有一种网关到Web的加密,可以通过一个Web服务器提供对敏感数据的访问。数据通常是通过传输层加密来加以保护的,如使用加密套接字协议层(Secure Sockets Layer (SSL))。这就保证了与任何接收方的通信安全,而不管其架构或复杂水平。&
&&& 在这种方案中,一个标准的消息被发往接受端,并通知: 有一个安全消息正在网关处等待。接收方通过一个安全连接找到这个消息,这需要通过由out-of-band机制提供的机密信息进行身份验证。
&&& PGP加密&
&&& PGP提供了几种安全而简单的电子邮件加密方法。PGP Universal Server使得组织能够控制用户的部署和密钥的管理,增强策略,以及对一个或多个加密应用程序进行集中报告,并可以实现自动化。公司可以从一个简单的加密应用开始,然后在企业中逐步强化其应用,并将其扩展到客户和合伙人。随着新的系统的加入,这个应用不断扩充并与现有的架构能够轻易地集成。PGP Universal Server能够自动创建用户账户,管理用户密钥,对应用程序提供策略更新,软件安装的更新,并可以对其记录和监视。
&&& PGP Universal所管理的PGP Desktop Professional提供辅助作用,共同保障邮件系统、存储在磁盘上的数据和AIM通信的安全,还提供数字签名特性。&
&&& PGP的整个磁盘加密技术(PGP Whole Disk Encryption)用于完整的磁盘加密,保障全部的数据安全,包括不被重视的临时文件、交换文件以及其它包含敏感数据的文件。因此我们建议那些成长中的企业,或者需要更高的带宽和安全性的企业升级最好升级到PGP Universal Series,这是一个强健的可升级的电子邮件加密平台。
&&& 广泛选择&
&&& 在这里给大家提出一些关于电子邮件加密的建议:
&&& 电子邮件加密的难点是选择一个能够适应企业不断成长和变化的方案。电子邮件架构也会由于那些非电子邮件应用程序对加密服务的要求而得以推动。对于一个公司来说,不仅对电子邮件而且对包含敏感数据的文件采用最高级别的保护加密都是至关重要的。如果敏感数据暴露给那些未授权的人员,其结果将是高昂的破坏性的倒退。&
&&& 据调查,大约有84%的高成本安全事件的发生是由于内部人员将机密信息在没有适当加密的情况下发送到了公司的外部。&
&&& 不同的公司有不同的需要,因此应在决定实施一项安全方案之前评估其自身的风险。此外,为了与其不断变化的规章制度相适应,一家企业经常审计其安全程序、过程、技术是极其重要的。
继今年5月份重磅推出虚拟化解决方案后,戴尔日前又宣布推出一揽子包括新款产品、管理工具及基础设施咨询服务在内的全新虚拟化2.0解决方案。 这些新的虚拟化解决方案,将主要经由戴尔的渠道合作伙伴,向大型数据中心、中小企业等客户群销售。
强调标准与开放&
&如今,客户面临的问题不再是是否要虚拟化,而是如何找到正确的时间,以及选择合适的合作伙伴来提供虚拟化平台与服务,使虚拟化的部署更成功。&戴尔公司大中华区企业级解决方案市场总监Milind Yedkar说,&我们的竞争对手不断将虚拟化推向更复杂的发展方向,以此带动他们的专有硬件、锁定式管理及服务的销售。而戴尔的虚拟化战略的重点是为客户提供基于业界标准的解决方案,可帮助客户简化IT运营,不会对他们未来的发展带来任何约束。&
戴尔全新的刀片服务器和EqualLogic存储产品是戴尔虚拟化2.0解决方案重要的组成部分。PowerEdge M905可以提供终极的四路刀片式服务器虚拟化性能,它是在VMmark测试中最早支持11个内核和66个虚拟机的首批服务器之一。PowerEdge M805在两路刀片服务器中提供了与其他IT厂商如HP或IBM的四路刀片服务器相同数量的内存插槽。同时,由于增加了对更多如Citrix XenServer, VMware以及微软 Hyper-V虚拟化程序的支持,PowerEdge服务器可为虚拟化环境提供最佳的平台。戴尔全新EqualLogic& PS5500E存储则将该产品线的可扩展性提升到576 TB,加强了EqualLogic产品线在虚拟服务器环境中高端虚拟化SAN领先的形象。
除此之外,戴尔还宣布与Novell的子公司PlateSpin推出一款OEM解决方案,其中包括PlateSpin PowerConvert 软件,可通过减少数据在网络传递时的服务器工作负载,来帮助企业优化数据中心。未来,戴尔还将销售并支持PlateSpin更多的解决方案,从而为客户提供统一的套件。
戴尔此次公布了与微软新型虚拟化技术的整合。戴尔可在工厂提供带有Hyper-V的Windows Server 2008 的预装服务。同时,随PowerEdge服务器一同提供的还有微软新款的系统中心虚拟机管理器(SCVMM)2008。这款软件可提供在多厂商环境中对Hyper-V及其他虚拟化程序的统一管理。Milind Yedkar称,戴尔与微软简化系统管理的方式可以帮助客户提高效率,最大化地利用资源,并减少总体拥有成本。
在虚拟化环境中保护和管理数据是一个极大的挑战。戴尔力图通过与合作伙伴紧密协作,将先进的存储技术集成起来帮助客户简化工作流程。与EqualLogic存储阵列相配合的自动快照管理器/VMware版本,可为VMware基础设施3环境提供自动化的、整合的和可扩展的保护功能。它与VMware虚拟中心直接整合,并与VMware归档系统建档架构一起使用,可帮助客户简化数据保护问题,尤其是虚拟化的环境下的数据保护。
而Citrix XenServer直连存储适配器可以与EqualLogic存储阵列实现&开箱即用&的集成。将EqualLogic 先进的存储性能与XenCenter集成,可帮助IT经理建立快照、克隆和单个客户图像,并通过XenServer管理接口来直接控制他们的存储阵列。
&Citrix XenServer戴尔快捷版和Citrix XenServer戴尔企业版本,可通过嵌入式USB钥匙或已有硬驱实现工厂集成。同时,它还具有增强的对刀片、微软Windows Server 2008和微软Vista的支持,这些特征都为客户开始实施虚拟化战略铺设了一条更简化的道路。&Milind Yedkar表示。
公司近日在官方网站发布了新款的,型号为G71,华硕为其打出了&世界上首款心游戏笔记本&的称号。
G71笔记本的设计以游戏为中心,在保证游戏体验的同时,在音频和显示性能方面表现突出。在便携性上也有很大提升。
作为一款专业级别的游戏笔记本,G71采用了高性能的配置,17英寸高亮显示屏具备8毫秒的响应时间,采用了512MB显存 NVIDIA GeForce 9700M GT GDDR3,配置可达到4GB,采用双,最高可达到1TB,用户可充分体验多媒体娱乐和游戏的冲击。
Direct Console 2.0是一个多合一的游戏控制界面,允许用户根据游戏使用模式的不同选择三种不同的速度,Direct Messenger控制界面则可进行即时通讯,例如MSN、邮件提示等。游戏热键允许用户一键进入,配置到可编程的发光系统可在游戏过程中发亮和闪烁,通过Direct Console 2.0界面便可进行配置。
G71笔记本具备Altec Lansing扬声器,搭配低音喇叭,采用了200万。通过即插即用的Eee Stick游戏解决方案可容纳给用户把手势动作转换成相应动作在屏幕上显示,可以更有效地体验游戏。华硕G71笔记本
G71笔记本采用了17英寸WXGA+/WUXGA显示屏,配置英特尔QX9300四核心处理器,当然用户也可选择2 T9600、T9400、P8600、P8400等心处理器,采用PM45芯片组,最高支持4GB DDR2-1066内存,采用GeForce 9700M GT 512MB GDDR3显卡,配置WiMAX/Wi-Fi Link 5100和蓝牙。采用蓝光或DVD刻录
症& 状:启动刚进入系统界面时,点什么都打不开,要等一分钟左右才能打开。
&&& 解决办法:
&&& 一、首先,请升级杀毒软件的病毒库,全面杀毒,以排除病毒原因。
&&& 二、开始&运行,输入msconfig&确定。在打开的系统系统配置程序里,将一些不重要的服务以及启动程序关闭,重启电脑。
&&& 三、进入&我的电脑&&&工具&&文件夹选项&&查看&&取消&自动搜索网络文件夹和打印机&的勾选。
&&& 四、在Windows XP启动进入桌面后系统会暂时停滞一段时间,这时启动任何程序都会没有反应,这是因为Windows XP的DHCP Client服务正在为网卡分配IP地址,系统会暂时停滞一段时间。解决这个问题,只要在&桌面&网上邻居&右键&属性&网络连接&里,用鼠标右键单击&本地连接&图标,然后选择属性,在弹出的属性窗口的&常规&选项卡的列表里选择&Internet协议(TCP/IP)&一项,然后单击&属性&按钮。在弹出的属性窗口中,选择&使用下面的IP地址&选项,并在&IP地址&和&子网掩码&中分别输入&192.168.0.1&和&255.255.255.0&,(具体的IP地址根据你的实际情况而定)最后单击OK退出设置窗口。
&&& 开始&设置&网络连接&右击&本地连接&&属性&双击&Internet 协议 (TCP/IP)&&如果IP地址为空的话,点&使用下面的IP地址&指定IP地址和子网掩码。如可以将IP地址设为192.168.0.X(X为1-255之间任一值),子网掩码可设为255.255.255.0&确定&确定。
&&& 五、清除预取目录,进入C:\WINDOWS\Prefetch文件夹,将扩展名为pf的文件全部删除,重启即可。
最近,神舟经销商老杨常常能够接到消费者的电话:&神舟专卖,1999元的上网本,还有货没,我要订一台&&&国庆节前刚刚上市的神舟上网本,在刚刚过去的黄金周被消费者抢购一空。神舟Q120C领衔的神舟上网本,1999元的超低价刷新国内笔记本电脑的低价,也被消费者充分认可。
神舟优雅上网本共有6款,基于英特尔凌动处理器,屏幕尺寸有8.9寸和10.2寸两种,价格最低仅1999元,最高也不过2799元,价格比主流的手机还要便宜!
神舟优雅上网本
&优雅Q120C
&优雅Q120S
&优雅Q120B
&优雅Q130B
&优雅Q130R/W
神舟1999元超便携笔记本的型号为优雅Q120C,采用了英特尔专为超便携型移动计算设备所设计的凌动处理器ATOM N270,这款处理器的功耗仅为0.6W-2.5W之间,运行频率却高达1.6GHz,在延长电池续航的同时还保障了整机效能的需求。同时移动式英特尔945GSE芯片组,集成Intel GMA 950显卡,支持DirectX和OpenGL。
仅售1999元的优雅Q120C屏幕采用8.9英寸超轻薄低功耗的LED背光液晶显示屏,的标准分辨率。256MB DDR2内存,60GB SATA硬盘,内置3个USB2.0接口、四合一读卡器以及VGA接口等,满足普通用户上网、办公、看视频等日常应用需求。
优雅Q120C的外型采用动感流线型设计,机身轻薄,手感相当舒适,尺寸只相当于B5尺寸的记事本,重量只有主流14寸宽屏笔记本的一半。标配3芯锂电池可保证2.5小时的使用时间,若选配6芯电池,还可以带来额外5小时以上的续航时间,能够充分满足各类用户的不同需求。
其他5款神舟优雅Q系列超便携笔记本均采用和优雅Q120C相同模具,同时也均采用了英特尔凌动处理器N270和英特尔945GSE芯片组,因此具有大致相同的性能特点:其中优雅Q120S和优雅Q120B的屏幕尺寸是和1999元优雅Q120C相同的8.9英寸,但内存、硬盘的容量均有所提升,优雅Q120B还内置了802.11B/G规格的无线网卡,价格分别是2199元和2399元;优雅Q130B、Q130W和Q130R分别为黑色、白色和粉色,采用了尺寸更大的10.2寸LED背光液晶屏,并拥有1GB内存、802.11B/G无线网卡以及130万像素摄像头等高端配置,硬盘容量也达到了80GB甚至160GB,而价格则分别提升到了2699元和2799元。
目前,神舟1999元超值款领衔的上网本在各地基本被抢购一空,预计10月10日左右将有第二批货源补充。
微软将用户帐户界面(UAC)作为其中最显著的一个新增安全特性。而微软所采用的UAC则是已经在Linux以及基于Unix的Mac OS X中使用了很久的安全模型,它要求用户操作一些例如安装软件时的任务需要具备管理员权限,而在其它的时候,也赋予用户较低的权限。
&&& 那么为什么要使用它呢?这都是为了让用户能够远离黑客的侵扰。如果一个攻击者利用未修复的 bug对浏览器采取了攻击行为,他就会盗用到用户的权限。因为用户能够安装软件,因此黑客们也能够做到。那么结果会怎样呢?黑客们就会&拥有&你的计算机,并在其之上植入一些木马或是蠕虫,还有一些隐蔽的间谍软件。
&&& 许多Windows用户一直都是以管理员身份来运行Windows,因为微软过去从没有让管理员与非管理员之间有过多的区别。而实际上,如果你的权限较低,工作起来会更加困难。
&&& 面对与日俱增而又诡秘多变的攻击,看看下面介绍的两种方法,可以让你的Windows XP,甚至是更早期版本的Windows,都能得到一个像UAC那样的保护。
&&& 方法一:使用权限受限的用户
&&& 一眼看这个方法也许你会觉得在Windows中设置一个非管理员权限的帐户简直容易得让人觉得可笑,而这时你可能会想知道,vista和它的UAC究竟会出现什么大惊小怪的事情。
&&& 是的,你可以很容易地通过几次点击,在控制面板的用户帐户里设置一个低权限的帐户。在此,在你点击&创建一个新帐户&并赋予这个帐户一个名称时,请在创建之前将它设定为&受限&。
&&& 当这个操作完成后&&就犹如在XP中的受限帐户工作时一样,当你在全新安装Windows XP后或是使用一台新计算机时,如果你使用受限帐户的系统工作一段时间,你就会发现你之前的做法简直是一个梦魇的开端。
&&& 你将不能访问你之前存储在&我的文档&中的文档,因为这个文件夹现在已经被锁定在管理员帐户之下。一些你之前安装的程序也会神秘地消失。此时,整个操作系统就像是一个需要花费很长时间进行重新定制的版本。例如firefox,它的插件将会消失, Word也会恢复到它的标准配置。你必须花费数个小时重新创建这些当你以管理员身份运行XP时的设置。
&&& 更别提还会有一些应用程序你将完全无法安装,除非你正处在管理员帐户下。或者说它们能够安装,但在没有管理员权限的情况下它将拒绝运行。你要避免出现这种情况只能够用右键单击这个安装文件,并选择以管理员身份运行,并输入密码,但这并不是一定有效的方式。
&&& 方法二:使用&运行方式&
&&& Windows XP中有一个名叫&运行方式&的命令,它能够让你暂时地借用其它的帐户来运行应用程序。通常它都被用在一个受限帐户要暂时使用管理员权限的时候,例如,在安装一个程序的时候。
&&& 你可以将这些东西都看作是vista中的UAC所提供的保护功能。
&&& 它的理念是用在当你运行最容易受到攻击的应用程序上&&浏览器以及电子邮件,你作为一个受限的用户时,即使有最坏的情况发生,恶意软件攻击了你的应用程序,它也不能够将它的恶行发挥到极致。
&&& 要让这个方法生效,你就可以在其它程序作为管理员身份运行时,将你的浏览器和电子邮件客户端以受限用户的身份运行。这样就能够减少很多在安装或打开程序时引发的问题,也能够让你保持当前对应用程序的设置,还有日期文件路径等等。
&&& 例如,右键点击桌面上的IE快捷方式,在Windows Explorer或是快速启动栏的菜单中选择&Run as&。接着在下面的用户中输入或选择一个受限用户帐户,并输入密码后点击&确定&。
&&& 你可以将这个过程自动化,这样你就不需要每次都点击右键进行操作。右键点击快捷方式后选择 &属性&,点击&快捷方式&选项卡,接着点击&高级&按钮。钩选中&以其他用户身份运行&并点击&确定&。
&&& 从今以后,当你从这个快捷方式打开程序时,首先你会看到的就是一个帐户对话框,再次你可以选择以管理员身份运行或是其他帐户的身份运行,在此,我们所说的是需要选择受限帐户。&
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
&&& 病毒进程隐藏三法
&&& 当我们确认系统中存在病毒,但是通过&任务管理器&查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
&&& 1.以假乱真
&&& 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
&&& 2.偷梁换柱
&&& 如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了&任务管理器&无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于&C:WINDOWSsystem32&目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到&C:WINDOWS&中,并改名为svchost.exe,运行后,我们在&任务管理器&中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
&&& 3.借尸还魂
&&& 除了上文中的两种方法外,病毒还有一招终极大法&&借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
&&& 系统进程解惑
&&& 上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的&以假乱真&和&偷梁换柱&了。
&&& svchost.exe
&&& 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开&控制面板&&&管理工具&&服务,双击其中&ClipBook&服务,在其属性面板中可以发现对应的可执行文件路径为&C:WINDOWSsystem32clipsrv.exe&。再双击&Alerter&服务,可以发现其可执行文件路径为&C:WINDOWSsystem32svchost.exe -k LocalService&,而&Server&服务的可执行文件路径为&C:WINDOWSsystem32svchost.exe -k netsvcs&。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
&&& 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在&C:WINDOWSsystem32&目录外,那么就可以判定是病毒了。
&&& explorer.exe
&&& 常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的&资源管理器&。如果在&任务管理器&中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击&任务管理器&&&文件&&&新建任务&,输入&explorer.exe&后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
&&& explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为&C:Windows&目录,除此之外则为病毒。
&&& iexplore.exe
&&& 常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为&ie&,就是IE浏览器的意思。
&&& iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
&&& rundll32.exe
&&& 常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在&命令提示符&中输入&rundll32.exe user32.dll,LockWorkStation&,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为&C:Windowssystem32&,在别的目录则可以判定是病毒。
&&& spoolsv.exe
&&& 常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务&Print Spooler&所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
&&& 限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
&&& 1.仔细检查进程的文件名;
&&& 2.检查其路径。
&&& 通过这两点,一般的病毒进程肯定会露出马脚。
&&& 找个管理进程的好帮手
&&& 系统内置的&任务管理器&功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
&&& 运行Procexp后,进程会被分为两大块,&System Idle Process&下属的进程属于系统进程,explorer.exe&下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于&System Idle Process&,如果你在&explorer.exe&中发现了svchost.exe,那么不用说,肯定是病毒冒充的。
对于Windows操作系统的安全模式,经常使用电脑的朋友肯定不会感到陌生,安全模式是Windows用于 修复操作系统错误的专用模式,是一种不加载任何驱动的最小系统环境,用安全模式启动电脑,可以方便用户排除问题,修复错误,这也是方便大家对用户解释安全模式意义。
&&& 进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放) ,在出现的启动选项菜单中,选择&Safe Mode&,即可以安全模式启动计算机。那么安全模式到底有哪些用途呢?下面就让我们具体来看一下。
&&& 1、修复系统故障
&&& 如果Windows运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着重新启动计算机并切换到安全模式启动,之后再重新启动计算机,系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障,此方法非常有效,因为Windows在安全模式下启动时可以自动修复注册表问题,在安全模式下启动Windows成功后,一般就可以在正常模式(Normal)下启动了。
&&& 2、恢复系统设置
&&& 如果用户是在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,也需要进入安全模式下解决,如果是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超 出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来,还有把带有密码的屏幕保护程 序放在&启动&菜单中,忘记密码后,导致无法正常操作该计算机,也可以进入安全模式更改。
&&& 3、删除顽固文件
&&& 我们在Windows下删除一些文件或者清除回收站内容时,系统有时候会提示&某某某文件正在被使用,无法删除&的字样,有意思的是,通常这些文件并没有正在被使用,那么是不是让这些文件永远霸占我们的硬盘呢?请不要着急,重新启动计算机,并在启动时按下F8键进入安全模式,试着删除那些顽固文件并清空回收站看一看,没了!原来Windows已经放弃了对这些文件的保护,可以把它们删除了。
&&& 4、彻底清除病毒
&&& 现在病毒一天比一天多,杀毒软件也跟着天天更新。但是,在Windows正常模式下有时候并不能干净彻底地清除病毒,因为它们极有可能会交叉感染,而一些杀毒程序又无法在DOS下运行,这时候我们当然也可以把系统启动至安全模式,使 Windows只加载最基本的驱动程序,这样杀起病毒来就更彻底、更干净了。
&&& 5、磁盘碎片整理
&&& 在碎片整理的过程中,是不能运行其它程序的,因为每当其它程序进行磁盘读写操作时,碎片整理程序就会自动重新开始,而一般在正常启动Windows时,系统会加载一些自动启动的程序,有时这些程序又不易手动关闭,常常会对碎片整理程序造成干扰,这种情况下,我们就应该重新启动计算机,进入安全模式,安全模式是不会启动任何自动启动程序的,可以保证磁盘碎片整理的顺利进行。
微软将用户帐户界面(UAC)作为其中最显著的一个新增安全特性。而微软所采用的UAC则是已经在Linux以及基于Unix的Mac OS X中使用了很久的安全模型,它要求用户操作一些例如安装软件时的任务需要具备管理员权限,而在其它的时候,也赋予用户较低的权限。
&&& 那么为什么要使用它呢?这都是为了让用户能够远离黑客的侵扰。如果一个攻击者利用未修复的 bug对浏览器采取了攻击行为,他就会盗用到用户的权限。因为用户能够安装软件,因此黑客们也能够做到。那么结果会怎样呢?黑客们就会&拥有&你的计算机,并在其之上植入一些木马或是蠕虫,还有一些隐蔽的间谍软件。
&&& 许多Windows用户一直都是以管理员身份来运行Windows,因为微软过去从没有让管理员与非管理员之间有过多的区别。而实际上,如果你的权限较低,工作起来会更加困难。
&&& 面对与日俱增而又诡秘多变的攻击,看看下面介绍的两种方法,可以让你的Windows XP,甚至是更早期版本的Windows,都能得到一个像UAC那样的保护。
&&& 方法一:使用权限受限的用户
&&& 一眼看这个方法也许你会觉得在Windows中设置一个非管理员权限的帐户简直容易得让人觉得可笑,而这时你可能会想知道,vista和它的UAC究竟会出现什么大惊小怪的事情。
&&& 是的,你可以很容易地通过几次点击,在控制面板的用户帐户里设置一个低权限的帐户。在此,在你点击&创建一个新帐户&并赋予这个帐户一个名称时,请在创建之前将它设定为&受限&。
&&& 当这个操作完成后&&就犹如在XP中的受限帐户工作时一样,当你在全新安装Windows XP后或是使用一台新计算机时,如果你使用受限帐户的系统工作一段时间,你就会发现你之前的做法简直是一个梦魇的开端。
&&& 你将不能访问你之前存储在&我的文档&中的文档,因为这个文件夹现在已经被锁定在管理员帐户之下。一些你之前安装的程序也会神秘地消失。此时,整个操作系统就像是一个需要花费很长时间进行重新定制的版本。例如firefox,它的插件将会消失, Word也会恢复到它的标准配置。你必须花费数个小时重新创建这些当你以管理员身份运行XP时的设置。
&&& 更别提还会有一些应用程序你将完全无法安装,除非你正处在管理员帐户下。或者说它们能够安装,但在没有管理员权限的情况下它将拒绝运行。你要避免出现这种情况只能够用右键单击这个安装文件,并选择以管理员身份运行,并输入密码,但这并不是一定有效的方式。
&&& 方法二:使用&运行方式&
&&& Windows XP中有一个名叫&运行方式&的命令,它能够让你暂时地借用其它的帐户来运行应用程序。通常它都被用在一个受限帐户要暂时使用管理员权限的时候,例如,在安装一个程序的时候。
&&& 你可以将这些东西都看作是vista中的UAC所提供的保护功能。
&&& 它的理念是用在当你运行最容易受到攻击的应用程序上&&浏览器以及电子邮件,你作为一个受限的用户时,即使有最坏的情况发生,恶意软件攻击了你的应用程序,它也不能够将它的恶行发挥到极致。
&&& 要让这个方法生效,你就可以在其它程序作为管理员身份运行时,将你的浏览器和电子邮件客户端以受限用户的身份运行。这样就能够减少很多在安装或打开程序时引发的问题,也能够让你保持当前对应用程序的设置,还有日期文件路径等等。
&&& 例如,右键点击桌面上的IE快捷方式,在Windows Explorer或是快速启动栏的菜单中选择&Run as&。接着在下面的用户中输入或选择一个受限用户帐户,并输入密码后点击&确定&。
&&& 你可以将这个过程自动化,这样你就不需要每次都点击右键进行操作。右键点击快捷方式后选择 &属性&,点击&快捷方式&选项卡,接着点击&高级&按钮。钩选中&以其他用户身份运行&并点击&确定&。
&&& 从今以后,当你从这个快捷方式打开程序时,首先你会看到的就是一个帐户对话框,再次你可以选择以管理员身份运行或是其他帐户的身份运行,在此,我们所说的是需要选择受限帐户。&
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。&控制面板&的&管理工具&中的&服务&中来配置。
&&& 1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下TCP/IP 服务:Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。
&&& 2、关闭80口,关掉WWW服务。在&服务&中显示名称为&World Wide Web Publishing Service&,通过 Internet信息服务的管理单元提供Web连接和管理。
&&& 3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
&&& 4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。
&&& 5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
&&& 6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
&&& 7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。 关闭139口听方法是在&网络和拨号连接&中&本地连接&中选取&Internet协议(TCP/IP)&属性,进入&高级TCP/IP设置&&WINS设置&里面有一项&禁用TCP/IP的NETBIOS&,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为&禁用&,以免下次重启服务也重新启动,端口也开放了。
WLAN是Wireless LAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。
&&& 威胁无线局域网的因素
&&& 首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
&&& 其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
&&& 因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
&&& IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示:&谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。&因此WLAN的安全措施还是任重而道远。
&&& 无线局域网的安全措施
&&& 1、采用无线加密协议防止未授权用户
&&& 保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
&&& 但是目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,Windows XP本身就提供了这种支持,您可以选中WEP选项&自动为我提供这个密钥&。同时,应该使用IPSec,VPN,SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。
&&& 2、改变服务集标识符并且禁止SSID广播
&&& SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用&101&。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。
&&& 3、静态IP与MAC地址绑定
&&& 无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,&不法&分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。&不法&分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:
&&& 首先,在无线路由器或AP的设置中关闭&DHCP服务器&。然后激活&固定DHCP&功能,把各电脑的&名称&(即Windows系统属陆里的&计算机描述&),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点&执行&就可以了。
&&& 4、VPN技术在无线网络中的应用
&&& 对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
&&& 对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
&&& 5、无线入侵检测系统
&&& 无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。
&&& 6、采用身份验证和授权
&&& 当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于&口令一响应&身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
&&& 7、其他安全措施
&&& 除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
&&& 无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
路由器是局域网连接外部网络的重要桥梁,是网络系统中不可或缺的重要部件,也是网络安全的前沿关口。但是路由器的维护却很少被大家所重视。试想,如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。我们下面就给大家介绍一些路由器加强路由器安全的措施和方法,让我们的网络更安全。
&&& 1.为路由器间的协议交换增加认证功能,提高网络安全性
&&& 路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP 等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。
&&& 2.路由器的物理安全防范
&&& 路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施&密码修复流程&,进而登录路由器,就可以完全控制路由器。
&&& 3.保护路由器口令
&&& 在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。
&&& 4.阻止察看路由器诊断信息
&&& 关闭命令如下:
&&& 以下是引用片段:no service tcp-small-servers no service udp-small-servers
&&& 5.阻止查看到路由器当前的用户列表
&&& 关闭命令为:
&&& 以下是引用片段:no service finger
&&& 6.关闭CDP服务
&&& 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
&&& 7.阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃
&&& &IP source-route&是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。关闭命令如下:
&&& 以下是引用片段:no ip source-route
&&& 8. 关闭路由器广播包的转发
&&& Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用&no ip directed-broadcast&关闭路由器广播包。
&&& 9.管理HTTP服务
&&& HTTP服务提供Web管理接口。&no ip http server&可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表&ip http access-class&命令,严格过滤允许的IP地址,同时用&ip http authentication &命令设定授权限制。
&&& 10.抵御spoofing(欺骗)类攻击
&&& 使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。在路由器端口配置:
&&& 以下是引用片段:ip access-group list in number
&&& 访问控制列表如下:
&&& 以下是引用片段:
&&& access-list number deny icmp any any redirect
&&& access-list number deny ip 127.0.0.0 0.255.255.255 any
&&& access-list number deny ip 224.0.0.0 31.255.255.255 any
&&& access-list number deny ip host 0.0.0.0 any
&&& 注:上述四行命令将过滤BOOTP/DHCP应用中的部分数据包,在类似环境中使用时要有充分的认识。
&&& 11.防止包嗅探
&&& 黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
&&& 12.校验数据流路径的合法性
&&& 使用RPF (reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。注意:首先要支持CEF(Cisco Express Forwarding)快速转发。
&&& 13.防止SYN攻击
&&& 目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式:路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。) 首先,配置访问列表,以备开启需要保护的IP地址: 以下是引用片段:
&&& access list [1-199] [deny permit] tcp any destination destination-wildcard 然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
&&& 14.使用安全的SNMP管理方案
&&& SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令: snmp-server community xxxxx RW xx是访问控制列表号SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
&&& 综& 述
&&& 路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的网络打造成为一个安全稳定的信息交流平台。
第一:请设置复杂密码
&&& 既然是密码,那安全就是第一位的,如果我们知道自己的密码是黑客随时能够破解的&弱智&密码,那设置它还有什么意义呢?
&&& 具体来看,密码口令的位数应在8~12位、应使用字母和数字结合的方式、避免使用有规律的字母或数字组合、避免使用开头或结尾的字母数字。
&&& 第二:确保容易记忆
&&& 一般来说,大小写切换容易导致混乱,过分没有规则的密码容易遗忘。通常情况下,&大写或小写字母+数字&的组合足够了,同时采用拼音也能更加容易记忆。
&&& 第三:关注应用环境
&&& 不要以为设计的密码口令组合够复杂就100%安全了,它所应用于的系统或软件环境也是一个不可忽视的因素。由于早期开发技术和理念的局限,某些使用密码口令的系统或软件本身就存在着设计安全缺陷,致使在其特定应用环境下操作密码极易被破解。因而在这种情况即便用户设计的密码组合再复杂也无济于事,所以建议用户在实际应用中使用两套密码口令组合,分别用于弱口令和强口令系统或软件的不同应用环境,以备万全。
目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。
&&& 一、背景
&&& 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
&&& 防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
&&& 二、目的
&&& 路由器的根本目的是:保持网络和数据的&通&。
&&& 防火墙根本的的目的是:保证任何非允许的数据包&不通&。
&&& 三、核心技术
&&& 路由器核心的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
&&& 内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下:
&&& 1、IP地址欺骗(使连接非正常复位)
&&& 2、TCP欺骗(会话重放和劫持)
&&& 存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
&&& 3.安全策略
&&& 路由器的默认配置对安全性的考虑不够周全,需要做高级高级配置才能达到一些防范攻击的作用,而且企业级路由器基本都是基于命令模式进行配置,其针对安全性的规则的部分比较复杂,配置出错的概率较高。
&&& 有些防火墙的默认配置既可以防止各种攻击,达到既用既安全,更人性化的防火墙都是使用图形界面进行配置的,配置简单、出错率低。
&&& 4.对性能的影响
&&& &路由器的设计初衷是用来转发数据包的,而不是专门设计作为全特性防火墙的,所以在数据转发时运算量非常大。如果再进行包过滤,对路由器的CPU和内存或产生很大的影响,这就是为什么路由器开启防火墙后,数据转发率降低的原因。而且路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
&&& 防火墙则不用作数据转发的工作,只要判断该包是否符合要求,是则通过,否则不通过,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
&&& 由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
&&& 5.防攻击能力
&&& 即使像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
&&& 结论就是:
&&& &具有防火墙特性的路由器成本 & 防火墙 + 路由器
&&& &具有防火墙特性的路由器功能 & 防火墙 + 路由器
&&& &具有防火墙特性的路由器可扩展性 & 防火墙 + 路由器
&&& 综上所述,用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。
&&& 即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
纵观全球计算机病毒发展历程,我们发现病毒的发展速度依旧在不断增长,特别是网络普及到每个家庭之后,更是越演越烈。然而普通用户对病毒却一无所知,往往感染了病毒还不知道。而且当今社会的价值观对病毒的发展方向起着决定性的作用。例如早先的病毒都是以炫耀技术为目的(比如CIH病毒),来满足个人的虚荣心。后来发展成恶意破坏型,修改或删除用户的数据。如今则以经济利益为目的,盗窃和贩卖用户资料。所以,数据的安全性成为当今首先要解决的问题。
&&& 有用户说了&我安装一个杀毒软件就不用担心了&,其实不然。杀毒软件起到一个防范和清理的作用,而且他的所有功能要基于其病毒库,如果一个新病毒没被收录到病毒库中,杀毒软件就起不到应有的功效了。所以,预防计算机感染病毒不仅仅是杀毒软件要做的事情,用户也需要提高防毒意识,来减小感染几率。现在就跟大家探讨一下防病毒的几个关键因素。
&&& 一. 安装杀毒软件:如今人们都意识到了杀毒软件的重要性,新配的电脑一般商家都会给装杀毒软件。杀毒软件的效率取决于杀毒引擎和病毒库,引擎的效率对杀毒效率的影响非常大,优秀的引擎可以为杀毒过程奠定良好的基础,再配合最新的病毒库,才能达到良好的杀毒效果。用户应选择那些口碑良好的产品,并及时更新病毒库,定期进行全面扫描,才能有效的预防和清理病毒程序。
&&& 二. 光盘介质:由于软盘很少有人使用了,我们就不在此特别讨论。关于光盘,最简单的办法就是打开之前用杀毒软件扫描一下,确保里面不含有病毒文件。而且尽量不要使用自动播放选项,防止光盘已进入光驱,病毒就自动加载。
&&& 三. 下载常识:目前最容易传播病毒的方式就是网络下载。许多用户下载完文件之后习惯性的直接执行,如果杀毒软件没有报警,就以为这个文件安全,这样的行为非常危险,但又最容易被利用。下载文件最关键的两点是下载源和文件大小,在下载时尽量在比较著名的网站和可靠的网站下载,或者你经常去的比较安全的站点。有人喜欢在BBS上下载,当然不是所有BBS都不安全,但是病毒往往都是在BBS上出现了。病毒发布者用诱人的标语吸引用户下载,用户认为是标题中提到的软件,但实际上却是病毒。
&&& 如此就涉及到了第二个因素&&文件大小,通常病毒源文件的体积是非常小的,如果你下载文件和你预计的大小相差很多,那你就要提高警惕了。例如一个软件标称大小为13M,而你下载的文件只有100K,那么它很有可能就是病毒。
&&& 四. 电子邮件:这是个老话题了,原则就是不要随意打开陌生人的邮件,特别是附件。曾经有一个技术实现了打开邮件即中病毒的现象,但是目前很少有人使用,效率不如网络下载高,大多数都是在附件中加入病毒源。
&&& 五. 使用基于客户端的防火墙或硬件过滤措施:可以增强计算机对黑客和恶意代码的攻击的免疫力,不过不太适用于家庭用户。也可在一些安全网站中,可对自己的计算机做病毒扫描,察看它是否存在安全漏洞与病毒,并及时安装系统或软件的漏洞补丁。
&&& 六. 欺骗性广告:欺骗性广告的原理就是利用广告吸引用户点击,点击后没有任何现象,但是这时已经在后台自动下载并执行病毒或木马文件,用户却毫不知情。但是这样的广告一般不会出现在大型或非常著名的网站上,否则对信誉影响很大。一般都只出现在比较小的私人网站上,他们都是靠这些病毒和木马来赚钱,但这样的网站也很快就会倒闭。所以用户不要轻易的点击广告,除非你能确定广告不带有病毒。
&&& 七. 网页病毒:和六比较类似,就是打开网页自动下载病毒。很多人见过开一个网页后就不停的开网页,一直开到死机为止。原理一样,不过改成了下载病毒和木马。防范原则就是不登录不熟悉的网站,特别是别人发来的网址.com后面还跟了一串的字符那种。
&&& 八. 其它形式的文档:比如说办公软件换用.wps或.pdf文档以防止宏病毒。当然,这不是彻底避开病毒的万全之策,但不失为一个避免病毒缠绕的好方法。现在的杀毒软件一般都有Office软件防毒功能,一定要把它开启。
&&& 总之,用户的上网行为也同样影响感染病毒的几率,所以用户不能光靠杀毒软件来完成所有的防范工作。规范个人上网行为也是防病毒工作中的重要部分。反正为了自己电脑的安全,大家还是不要闲麻烦,提高自己的意识就能免去在中毒之后较劲脑汁想招的麻烦了。
传统的网络安全技术侧重于系统入侵检测,反病毒软件或防火墙。内部安全如何?在网络安全构造中,交换机和路由器是非常重要的,在七层网络中每一层都必须是安全的。
&&& 很多交换机和路由器都有丰富的安全功能,要了解有些什么,如何工作,如何部署,一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的,出厂时就处于安全设置的状态,特别操作的 设置在用户要求时才会被激活,所有其他选项都是关闭的,以减少危险,网管员也无需了解哪些选项应该关闭。
&&& 在初始登录时会被强制要求更改密码,也有密码的期限选项及登录尝试的次数限制,而且以加密方式存储。限期的帐号(维护帐号或后门)是不会存在的。
&&& 交换机及路由器在掉电,热启动、冷启动,升级IOS、硬件或一个模块失败的情况下都必须是安全的,而且在这些事件发生后应该不会危及安全并恢复运作,因为日志的原因,网络设备应该通过网络时间协议保持安全精确的时间。通过SNMP协议连接管理的名称也应该被改变。
&&& 抵挡DoS攻击
&&& 从可用性出发,交换机和路由器需要能抵挡拒绝服务式Dos攻击,并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应,屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中,同时他们也能识别并对蠕虫攻击做出反应。
&&& 交换机及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代码漏洞,在漏洞被发现报告后,厂商可以开发、创建、测试、发布升级包或补丁。
&&& 基于角色的管理给予管理员最低程序的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。
&&& 控制管理权限的最好办法是在授权进入前分权限,可以通过认证和帐户服务器,例如远程接入服务,终端服务,或LDAP服务。
&&& 远程连接的加密
&&& 很多情况下,管理员需要远程管理交换机及路由器,通常只能从公共网络上访问。为了保证管理传输的安全,需要加密协议,SSH是所有远程命令行设置和文件传输的标准协,基于WEB的则用SSL或TLS协议,LDAP通常是通讯的协议,而SSL/TLS则加密此通讯。
&&& SNMP用来发现、监控、配置网络设备,可以保证授权的通信。
&&& 建立登录控制可以减轻受攻击的可能性,设定尝试登录的次数,在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。
&&& 交换机及路由器的配置文件的安全也是不容忽视的,通常配置文件保存在安全的位置,在混乱的情况下,可以取出备份文件,安装并激活系统,恢复到已知状态。有些交换机结合了入侵检测的功能,一些通过端口映射支持,允许管理员选择监控端口。
&&& &虚拟网络的角色
&&& 虚拟的本地网络VLAN是第二层上的有限广播域,由一组计算机设备组成,通常位一多个LAN上,可能跨越一个或多个LAN交换机,而与它们的物理位置无关,设备之间好像在同一个网络间通信一样,允许管理员将网络分为多个可管理运行良好的小块,移动、更改设备、用户及权限的任务简化。
&&& VLAN可在各种形式上形成,如交换口,MAC地址,IP地址,协议类型,DHCP,802.1Q标志或用户自定义。这些可以单独或组合部署。
&&& VLAN认证技术在用户通过认证过程后授权给用户进入一个或多个VLAN,该授权不是给予设备。
&&& 防火墙可以控制网络之间的访问,最广泛应用的是嵌在传统路由器和多层交换机上的,也称作ACLs,防火墙的不同主要在于他们扫描包的深度,是端到端的直接通讯还是通过代理,是否有session。
&&& 在网络之间的访问控制中,路由过滤措施可以基于源/目标交换槽或端口,源/目标VLAN,源/目标IP,或TCP/UDP端口,ICMP类型,或 MAC地址。对于某些交换机和路由器,动态ACL标准可以用户通过认证过程后被创建,就像是认证的VLAN,不过是在第三层上。当未知的源地址要求连入已知的内部目标时是有用的。
&&& 现在的网络要求设计成各层次都是安全的,通过部署交换机和路由器的安全设置,企业可以传统的安全技术创建强壮、各层都安全的系统。
以下是一些关于Windows Vista服务安全强化策略:&
&&& &一.&SCM负责管理服务
&&& 服务是一些由服务控制管理员(SCM)所管理的程序,它建立了一个包含所有已安装服务的数据库,同时管理每一个服务的状态。各种服务通常在windows启动时就会自动启动持续执行,这让攻击者容易攻击。
&&& 二、.越高的权限等于越高的安全风险
&&& 在上一版的windows操作系统中,大部分的服务都在拥有最高权限的本地系统账号下执行。这代表如果这个服务被入侵,攻击者就可以对系统造成严重破坏,因为他们几乎可以操作计算机里的所有数据。
&&& 三.&Vista与Longhorn&Server使用最小权限来执行服务
&&& 为降低被攻击的风险,任何服务不需要用到的权限都被清除。在Vista与Longhorn里面,过去许多使用本地系统管理权限执行的服务,现在使用比较低的权限的账号,如NetworkService或LocalService等帐号来运行,所有服务都尽可能使用最低权限的来运行。
&&& 四.&Vista使用&隔离&技术来保护服务
&&& 隔离技术里面包含了一种叫&0会话隔离&的技术,这可以防止使用者的应用程序在第0会话执行(这是windows启动时建立的第一个会话)。只有系统服务以及其它与使用者进程无关的应用程序可以在这个会话执行。这可以防止系统服务被其它应用程序影响。
&&& 五.&Vista为每个系统服务产生一个安全标识(Security&Identifier,SID)&
&&& 为每个服务提供一个安全标识可以让服务彼此区分,让操作系统可以为服务应用windows访问控制模式。所谓windows访问控制模式,就是使用限制用户与用户组账号的访问方式,来对每一个不同的服务限制不同的访问权限。
&&& 六.在Vista中,可以把访问控制表(ACLs)应用到服务
&&& ACL是一组访问控制项(ACEs)。网络上的资源都包含ACL的安全描述。ACL规定哪个帐号或设备可以访问这个资源。
&&& 七.&Vista网络防火墙能为服务制定安全策略
&&& 这个策略与服务的SID关联,让你控制服务访问网络的方式,防止它使用不允许的方式来使用网络,如发送数据到外网等等。Vista防火墙包含在服务安全强化策略中。
&&& 八.限制服务的功能,防止服务修改注册表、访问系统文件
&&& 如果一个系统服务需要上述的功能才能正常运行,它也可以设定成只能访问注册表或系统文件的特定区域。同时也可以限制服务不能执行系统设置的更改或其它可能导致攻击的功能。
&&& 九.每个服务都事先分配一个服务安全强化策略脚本
&&& 这个脚本里面规定了服务可以与不可以执行的事项。SCM基于这个脚本的描述,只提供可以的权限给这些服务。这些操作都是在后台完成,不需要额外的设置。
&&& 十.服务强化机制并不是保护系统服务不受攻击
&&& 服务安全强化的功能是由windows防火墙与其它的保护机制提供的。而服务安全强化策略的设计目的则是降低服务被入侵时造成的危害。它可以为Vista多层安全保护机制的内层提供更多保护。
毋庸置疑,终端用户需要做到的安全方面不一而足。几乎每一家公司都有大量的安全文件和策略,基本而言,都是要告诉雇员在下载时要当心,要注意防止钓鱼欺诈和口令泄露等。不过,长篇累读的教程效果未必很好。有时,向员工提供几条简短的安全提示或许能达到更好的效益。在此我们仅列示几个易被忽视的方面。
&&& 确保口令安全
&&& 最受欢迎的口令是那种最容易记忆的东西。不幸的是,这些口令是最不安全的。一般情况下,口令应当至少有八个字符,而且要包含一些特殊字符并对口令经常改变,这种改变不应当是简单的调整。例如,如果目前的口令是&mypassword&,修改之后,不应当是&OKmypassword1&等类似的字符。
&&& 对有些用户来说,由于担心忘记口令,它们可能需要记下来,否则就容易出问题。用户应当与IT管理人员讨论是否可以实施一个可以安全地存储口令的程序,而且只需要一个密码就可以解开加密的文件。
&&& 保持公司信息的私密性
&&& 数据是公司运营的宝贵财产,而发布私有信息有可能是一种主要的安全损害。许多用户不仅不知道有哪些行为可为企业造成风险,如不清楚所发出的电子邮件或扔下的纸条会损害企业安全。
&&& 有时,公司的数据有可能被当作电子邮件附件发送出去。例如,一位销售代表有可能将新的合同保险单发给一个客户,却未认识到这种消息保存着敏感数据。公司雇员应当仔细检查发往公司外部的数据,看是否包含私密信息。
&&& 要知道敏感信息并不仅仅是数字格式存在,而且还出现于打印文档中。企业的每个部门应当设立一个碎纸机,为破坏一些敏感信息提供保障。
&&& 知道什么人可以信任
&&& 最阴险的安全攻击形式要算是社会工程学(Social Engineering)了。它可以利用人际关系的某些技巧和方法,通过交谈、假冒等手段,从合法用户套取用户系统资料或管理权限,也可以诱使合法用户打开一些伪造的钓鱼邮件或网站,从而骗取其资料或钱财等。例如,某个外部的个人可以打电话冒称是一个IT部门的业务代表,也可伪装为一个雇员粉墨登场。
&&& 而且一些新的社会工程技术也不断出现,这就要求终端用户在收到电话或陌生人的来访时,需要保持高度的警惕。
&&& 关注个人设备的安全风险
&&& 随着智能电话、MP3播放器等微型设备的普及,许多雇员可能会将这些个人设备带到工作中。企业应当告诉或要求员工,不要将其插入到计算机中,更不能将公司的资料复制到这些设备中。
&&& 个人设备可能构成一种风险,而在丢失机密数据之前,许多用户并没有认识到这一点。使用这种设备将违背公司关于数据传输的安全策略。一个普通用户可能会将iPod当作一个音乐播放器,而对于一个IT人员来说,这是一种能够不当地拷贝公司信息的可移动存储设备。
&&& 拥有整体安全观
&&& 有一些用户并不理解下载应用程序的后果,有的用户不理解公司为什么禁止从拥有免费Wi-Fi的位置连接网络。这自然说明企业安全文化的建设不够深入,以至于用户缺乏整体的安全观念。要让其知道,使用一些自动化的工具确实有帮助作用,但对于用户来说知道某些策略背后的原因也很重要。
&&& 为了让员工获得更为广泛的安全知识,一些公司已经设置了安全方面的在线教程。公司还应当鼓励用户向IT专业人员请教安全问题的最佳方法,如怎样进行口令控制和保障新设备的安全等。终端用户理解某条策略的原因将有助于确保其不违反规定和损害数据。
&&& 我们可以这样表达所讨论的几个方面,即:安全第一我做起,口令安全很关键。信任他人需谨慎,公司秘密不外传。个人设备有风险,拥有整体安全观。
