摘 要 详细分析了管理信息系统常见的系统安全问题，针对性地提出解决方案和应注意的事项。

关键词 系统 安全 维护

概述

随着公司及下属各单位的局域网和互联网络的深入应用，网络不断地扩展和日趋复杂，系统安全问题愈来愈突出。安全问题能导致信息系统的瘫痪、重要数据的丢失，使我们的业务停顿，管理陷入混乱，最终结果是给企业造成严重的经济损失。因此信息系统的安全问题，已经与企业的生存能力息息相关，了解系统面临的各种威胁，防范和消除这些威胁，实现真正的系统安全己经成了信息技术发展中最重要的事情。本文针对公司本部 MIS 安全防范的管理经验，谈谈如何改善和解决系统的安全问题，希望起到抛砖引玉的作用，引起同行对系统安全管理的重视。

1从基本做起

对于中小型网络来说系统管理员一般承担安全管理员的角色。系统管理员采取的安全策略，最重要的是保证服务器的安全和分配好各类用户的权限。一般情况下，需要注意以下一些方面。

2.1系统管理员必须了解整个网络中的重要公共数据（限制写）和机密数据（限制读）分别是哪些，它在哪儿，哪些人使用，属于哪些人，丢失或泄密会造成怎样的损失。这些重要数据应集中放在中心机房的服务器上，置于有安全经验的专人管理之下。同时定期对各类用户进行安全培训。

2.2服务器上所有的卷全部使用NTFS，使用最新的Service P k升级你的Nt和200操作系统。取消服务器上不用的服务和协议种类，网络上的服务和协议越多安全性越差。

2.3不要将服务器的操作系统设置为自动登录，应使用 NT Security对话框（Ctrl＋Alt＋Del）注册 。修改默认的“Administrator”用户名，加上“强口令”（多于10个字符且必须包括数字和符号），最好再创建一个具有“强口令”的管理员特权的账号，使网络管理员账号不易被攻破。平时管理员账号仅用于系统管理，不要在任何客户机上使用管理员账号，对属于Administrator组和备份组的成员用户要特别慎重。

2.4限制可以登录到有敏感数据的服务器的用户数，这样在出现问题时可以缩小怀疑范围。通过系统策略编辑器”可以进一步控制一般用户或组在windowsgx客户机上的行为。限制Goest账号的权限，最好不允许使用Guest账号。不要在Everyone组增加任何权限，因为Guest也属于该组。

2.5一般不直接给用户赋权，而通过用户组分配用户权限。新增用户时分配一个口令，并控制用户“首次登录必须更改口令”，最好进一步设置成口令的不低于6个字符，杜绝安全漏洞。至少对用户“登录和注销”网络、“重新启动、关机”、“安全规则更改”活动进行审计，但不要忘了过多的审计将影响系统性能。

2.6利用网管软件管理好网络设备，及时修改网络设备默认的系统管理口令（大部分网络设备都没有设置系统管理的口令）有条件的单位可以配置功能较强的网管软件，主要包含网络构成管理、网络故障管理、网络性能管理、网络安全管理等功能。

2.6.1网络构成管理

自动发现网络节点

自动生成管理网络图

对象化管理

TP地址资源管理

2.6.2网络故障管理

设定监控方式

报告网络故障

故障自动通知

面板管理和定制

2.6.3网络性能管理

测定通信量

统计分析通信状况

系统性能监视预警

2.6.4网络安全管理

形成网络管理操作日志

判断IP的合法使用

管理权限控制

3、做好数据备份

管理信息系统的服务器担负着企业的关键应用，存储着企业最为重要的信息和数据，为领导和决策部门提供综合信息查询的服务，为网络环境下的大量客户机提供快速高效的信息查询、数据处理和INTERNET的各项服务。为保护关键应用数据的安全，在发生人为或自然灾难的情况下，保证数据不丢失，必须建立可靠的网络备份系统。

3.1完整的数据备份系统必须考虑以下几点

计算机网络数据备份的自动化，以减少系统管理员的工作量。

使数据备份工作制度化，科学化。

对介质管理的有效化，防止读写操作的错误。

对数据形成分门别类的介质存储，使数据的保存更细致、科学。

自动介质的清洗轮转，提高介质的安全性和使用寿命。

以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点。

维护人员可以容易地恢复损坏的整个文件系统和各类数据。

备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。

3.2备份管理软件的选择

建设一个成功的自动备份系统，来承担复杂的、多平台的、系统不断扩展的计算机网络的数据备份，备份管理软件的选择是一个相当重要的工作。企业级备份市场目前可分为两大块：专有系统市场（ES／9000，AS／400）和开放系统市场（UNIX，NT）。在开放系统市场上，目前技术和市场的领先者是美国的VERITAS 公司、Legato公司和CA公司。对于仅需备份NT平台的系统最好选择CA公司的ARCSERER。对于跨多平台多业务的系统，可以考虑选择 VERITAS或 Legato。

3.3备份设备的选择

常用的存储介质类型有：磁盘、磁带、光盘和 M0 （磁光盘），其中，磁带和

光盘的费效比较高，在大容量的数据存储方面比较常用。

目前比较流行的磁带机技术主要有5种：

DC200／TRAVAN技术。这种技术主要为 PC 机提供入门级的数据保护，适合PC或低档的PC 服务器，在商用市场里，这种技术己逐步退出市场。

QICDC600技术。也就是数据流带机，最早由3M 公司开发，由于磁带体积较大，因此，带机只有5.25英寸格式。几个主要的研究、生产的厂商如 SEAGATE、TECMAR都己停止了对它的开发。只有Tandberg一家还在继续生产。

8MM技术于1987 年由Exabyt 公司最先推出，这种技术在相当高的价位上提供了相对较高的容量，由于其技术开放性较差，目前其市场占有率已越来越受到新技术产品的挑战。

DLT（DIGITAL LINER TAPE）技术。这种技术最早由DEC公司开发，由于其技术的稳定性，非常高的备份速度，以及极大的备份容量，目前在高端服务器市场的占有率正迅速提高。DLT 驱动器的容量从10GB（压缩20GB）到35GB（压缩70GB）不等，国外厂商近期己推出50GB（压缩100GB）的 DLT磁带机，数据传输速度相应从1.5MB／秒到6MB／秒。

4MM技术。即 DAT（DIGITAL AUDIO TYPE）技术，最早由惠普公司和索尼公司共同开发，这种技术以螺旋扫描记录为基础，将数据转化为数字后存储下来。4MM技术由于其良好的开放性已成为业界的标准。因此得到了广泛的应用。目前，拥有较大的市场占有率。

一般来说，DAT适合部门级网络的备份，DLT则适合大型主机和网络的高性能备份。

4、网络防病毒

随着网络用户数量不断增多，内外文件数据交换增大，数据交换渠道难以控制。在这种情况下，计算机病毒通过网络传播，甚至直接攻击服务器，对整个网络体系的安全构成了极大的威胁。因此，为杜绝病毒可能对网络系统构成的危害，网络防病毒工作必须渗透到服务器和客户端的各个角落，才能实现真正的安全防护。网络防病毒系统应该包括以下功能：

全方位的病毒防护。可以时刻监视系统当中的病毒活动、系统状况，时刻监视网络上硬盘、软盘、光盘、因特网、网络驱动器、电子邮件上的病毒传染，在对染毒文件进行复制、移动、打开、运行、下载等操作前作出报苦提示，用户通过选择处理方案，可以将病毒阻止在操作系统外部。

定时扫描功能。允许用户预定扫描作业，到达预定时间自动启动，扫描所指定的服务器或工作站。用户可以选择非工作时间设定预扫描作业，减轻系统工作压力。

集中网络管理功能。能够实现对系统中的工作站和服务器进行集中统一管理，可以对网络中的所有NT／Windows2000服务器和工作站进行任务分配、自动下载和分发、扫描设置等日常的安全维护工作。对病毒事件进行安全审计，向系统管理员提供证据，用来跟踪、追查各种可能的病毒事件。

网络报警功能。拥有网络报警系统，可以多种方式向网络管理员和用户进行病毒报警，提供网络广播、故障打印、邮件、寻呼机报警等多种报警方式.用户无论身在何处，均可以及时获得报警信息，及时进行处理。

网络自动更新、软件分发功能。拥有病毒升级文件的自动下载、更新和分发系统。通过管理员简单的配置，无需人工千预，在一台服务器上下载升级文件就可自动完成全域内所有计算机的升级工作。所有的下载、更新和分发工作全部由自动启动、控制，自动完成。

实时防护邮件系统功能。可以对notes或 exchange 邮件系统中的邮件及其附件提供实时的病毒防护，时时刻刻保护邮件系统。

5、安全漏洞扫描与实时监控

5.1安全漏洞扫描

根据网络构造，可以把网络安全问题具体定位在以下三个层次上：

层次一：通讯和服务

该层次的安全问题主要体现在网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机，无需口令通过 Rlogon以root身份登录到一台主机等，都是利用了TCP／IP协议本身的漏洞。

层次二：操作系统

这一层次的安全问题来自内部网采用的各种操作系统，如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁。

层次三：应用程序

该层次的安全威胁来自内部网的防火墙配置、内外web 站点的服务、网上交易、拨号服务、E-mail服务、传真服务及对数据库的保护。

根据安全问题及漏洞产生的位置采用先进的安全漏洞扫描产品（如ISS），对网络的通讯、服务层、操作系统层、应用层、数据库进行漏洞扫描，评估安全威胁和风险，在黑客攻击前找到漏洞并修补，增强网络的安全强度。在信息系统网络中，在各层次信息网络、各重要的服务器、数据库、各入口处分别设置INTERNE扫描器、WWW扫描器、防火墙扫描器、操作系统扫描器、数据库扫描器，对网络的各个层次和设备进行扫描，辅助系统管理员及时发现安