网络安全规章制度(3)

用户注册时，服务器首先验证所输入的用户名是否合法，如果验证合法，才继续验证用户输入的口令，否则，用户将被拒于网络之外。用户名的管理应注意以下几个方面：

隐藏上一次注册用户名

更改或删除默认管理员用户名

更改或删除系统默认帐号

及时删除作费帐号

清晰合理地规划和命名用户帐号及组帐号

根据组织结构设计帐户结构

不采用易于猜测的用户名

用户帐号只有系统管理员才能建立

2.2、口令管理

用户的口令是对系统安全的最大安全威胁，对网络用户的口令进行验证是防止非法访问的第一道防线。用户不像系统管理员对系统安全要求那样严格，他们

对系统的要求是简单易用。而简单和安全是互相矛盾的两个因素，简单就不安全，安全就不简单。简单的密码是暴露自己隐私最危险的途径，是对自己邮件服务器上的他人利益的不负责任，是对系统安全最严重的威胁，为保证口令的安全性，首先应当明确目前的机器上有没有绝对安全的口令，口令的安全一味靠密码的长度是不可以的。安全的口令真的可以让机器算几千年，不安全的口令只需要一次就能猜出。

不安全的口令有如下几种情况：

（1）使用用户名（账号）作为口令。尽管这种方法在便于记忆上有着相当的优势，可是在安全上几乎是不堪一击。几乎所有以破解口令为手段的黑客软件，都首先会将用户名作为口令的突破口，而破解这种口令几乎不需要时间。在一个用户数超过一千的电脑网络中，一般可以找到10至20个这样的用户。

（2）使用用户名（账号）的变换形式作为口令。将用户名颠倒或者加前后缀作为口令，既容易记忆又可以防止许多黑客软件。不错，对于这种方法的确是有相当一部分黑客软件无用武之地，不过那只是一些初级的软件。比如说著名的黑客软件John，如果你的用户名是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如fool123、fool1、loof、loof123、lofo等作为口令，只要是你想得到的变换方法，John也会想得到，它破解这种口令，几乎也不需要时间。

（3）使用自己或者亲友的生日作为口令。这种口令有着很大的欺骗性，因为这样往往可以得到一个6位或者8位的口令，但实际上可能的表达方式只有100×12×31=37200种，即使再考虑到年月日三者共有六种排列顺序，一共也只有37200×6=223200种。

（4）使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。如果你选用的单词是十分偏僻的，那么黑客软件就可能无能为力了。不过黑客多有一个很大的字典库，一般包含10万～20万的英文单词以及相应的组合，如果你不是研究英语的专家，那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。如果是那样的话，以20万单词的字典库计算，再考虑到一些DES(数据加密算法)的加密运算，每秒1800个的搜索速度也不过只需要110秒。

（5）使用5位或5位以下的字符作为口令。从理论上来说，一个系统包括大小写、控制符等可以作为口令的一共有95个，5位就是7737809375种可能性，使用P200破解虽说要多花些时间，最多也只需53个小时，可见5位的口令是很不可靠的，而6位口令也不过将破解的时间延长到一周左右。

不安全的口令很容易导致口令被盗，口令被盗将导致用户在这台机器上的一切信息将全部丧失，并且危及他人信息安全，计算机只认口令不认人。最常见的是电子邮件被非法截获，上网时被盗用。而且黑客可以利用一般用户用不到的功能给主机带来更大的破坏。例如利用主机和Internet连接高带宽的特点出国下载大型软件，然后在从国内主机下载；利用系统管理员给用户开的shell和unix系统的本身技术漏洞获得超级用户的权利；进入其他用户目录拷贝用户信息。 获得主机口令的途径有两个：

利用技术漏洞。如缓冲区溢出，Sendmail漏洞，Sun的ftpd漏洞，Ultrix的fingerd，AIX的rlogin等等。?

利用管理漏洞。如root身份运行httpd，建立shadow的备份但是忘记更改其属性，用电子邮件寄送密码等等。?

安全的口令应有以下特点：

用户口令不能未经加密显示在显示屏上

设置最小口令长度

强制修改口令的时间间隔

口令字符最好是数字、字母和其他字符的混合

用户口令必须经过加密

口令的唯一性

限制登录失败次数

制定口令更改策略

确保口令文件经过加密

确保口令文件不会被盗取

对于系统管理员的口令即使是8位带～!@＃＄％^＆＊的也不代表是很安全的，安全的口令应当是每月更换的带～!@＃％^...的口令。而且如果一个管理员管理多台机器，请不要将每台机器的密码设成一样的，防止黑客攻破一台机器后就可攻击所有机器。

对于用户的口令，目前的情况下系统管理员还不能依靠用户自觉保证口令的安全，管理员应当经常运用口令破解工具对自己机器上的用户口令进行检查，发现如在不安全之列的口令应当立即通知用户修改口令。邮件服务器不应该给用户进shell的权利，新加用户时直接将其shell指向/bin/passwd。对能进shell的用户更要小心保护其口令，一个能进shell的用户等于半个超级用户。保护好/etc/passwd和/etc/shadow当然是首要的事情。

不应该将口令以明码的形式放在任何地方，系统管理员口令不应该很多人都知道。

另外，还应从技术上保密，最好不要让root远程登录，少用Telnet或安装SSL加密Telnet信息。另外保护用户名也是很重要的事情。登录一台机器需要知道两个部分——用户名和口令。如果要攻击的机器用户名都需要猜测，可以说攻破这台机器是不可能的。

2.3、授权管理

帐户的权限控制是针对网络非法操作所进行的一种安全保护措施。在用户登录网络时，用户名和口令验证有效之后，再经进一步履行用户帐号的缺省限制检查，用户被赋予一定的权限，具备了合法访问网络的资格。

我们可以根据访问权限将用户分为以下几类：

特殊用户（即系统管理员）；

一般用户，系统管理员根据他们的实际需要为他们分配操作权限；

审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

授权管理控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。同时对所有用户的访问进行审计和安全报警，具体策略如下： …… 此处隐藏：965字，全部文档内容请下载后查看。喜欢就下载吧 ……