基于寬帶接入的局域網(wǎng)安全管理問題分析

Word第第頁基于寬帶接入的局域網(wǎng)安全管理問題分析網(wǎng)絡(luò)平安是一個非常冗雜的問題，它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統(tǒng)軟件層，網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)之間。如下表。

為何會產(chǎn)生網(wǎng)絡(luò)平安的問題？這與人有意或無意也有關(guān)系，以上表的劃分，平安問題產(chǎn)生于以下幾方面：

網(wǎng)內(nèi)硬件方面，即局域網(wǎng)的硬件方面。它主要包括網(wǎng)絡(luò)的電源供應(yīng)〔UPS不間斷電源〕和網(wǎng)絡(luò)的連接等。網(wǎng)絡(luò)的電源供應(yīng)的目的是保證網(wǎng)絡(luò)在有可能預(yù)見的突發(fā)性的非正常電源供應(yīng)狀況下，為網(wǎng)絡(luò)〔主指服務(wù)器、交換機等網(wǎng)絡(luò)的主干設(shè)備〕供應(yīng)一種短時的能量支持。網(wǎng)絡(luò)的連接又分為線路的連接和設(shè)備的接入，線路的連接雖然是在網(wǎng)絡(luò)的架設(shè)時所考慮的問題，但要必免因線路串?dāng)_而影響到線路的通信，以及布線的不合理造成的因線路過長而引發(fā)的信號衰減和線路因長期暴露意外遭到的外力的意外或有意的損害等；設(shè)備的接入是指網(wǎng)絡(luò)的功能部件〔如打印服務(wù)器、文件服務(wù)器和應(yīng)用服務(wù)器等〕在網(wǎng)絡(luò)中正常連接。

網(wǎng)間硬件方面很少被提及，主要是由于這種網(wǎng)絡(luò)，在工程實施時為保證數(shù)據(jù)的遠(yuǎn)距離傳輸，所使用的一般都是造價高但質(zhì)量好的連接設(shè)備，消失故障的概率較低。但收由于線路過長，一旦消失問題卻很難準(zhǔn)時發(fā)覺故障所在地，從而延緩了處理時間，像2023年初的中美海底光纜掛斷的類似大事還時有發(fā)生。

網(wǎng)內(nèi)軟件層，依據(jù)網(wǎng)絡(luò)實現(xiàn)的功能上的差異，不同用處的局域網(wǎng)〔辦公網(wǎng)、專用存儲網(wǎng)、校內(nèi)網(wǎng)以及運算處理網(wǎng)等〕的平安側(cè)重點也不盡相同。網(wǎng)間軟件層，就是局域網(wǎng)接入外網(wǎng)。也就是我們一般所商量的網(wǎng)絡(luò)平安，主要包括系統(tǒng)漏洞、數(shù)據(jù)遭更改或泄露、平安策略配置不當(dāng)、網(wǎng)絡(luò)攻擊、病毒入侵等。而能否反抗網(wǎng)絡(luò)攻擊，又幾乎成為衡量這個網(wǎng)絡(luò)平安與否的標(biāo)準(zhǔn)。

網(wǎng)絡(luò)攻擊

什么是攻擊，莫非僅僅發(fā)生在入侵行為完全完成且入侵者已侵入目標(biāo)網(wǎng)絡(luò)內(nèi)才算是攻擊？一切可能使得網(wǎng)絡(luò)受到破壞的行為都應(yīng)稱之為攻擊。就拿一個很常見的現(xiàn)象來說吧，許多在互聯(lián)網(wǎng)中具有固定IP的服務(wù)器，每天都要受到數(shù)以百計的端口掃描和試圖侵入，雖然不肯定會被攻克，但你總不能說它沒有受到攻擊。在正式攻擊之前，攻擊者一般都會先進行摸索性攻擊，目標(biāo)是獵取系統(tǒng)有用的信息，此時比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ipsniffer〔通過技術(shù)手段非法獵取ippacket，獲得系統(tǒng)的重要信息，來實現(xiàn)對系統(tǒng)的攻擊，后面還會具體講到〕，特洛依木馬程序等。假如在某一個集中的時期內(nèi)，有人在頻繁得對你所管理的網(wǎng)絡(luò)進行摸索攻擊，或有不明身份的用戶常常連入網(wǎng)絡(luò)，這時網(wǎng)絡(luò)管理員就要留意了，你該好好分析一下日志文件，并對系統(tǒng)好好檢查檢查了。

通常，在正式攻擊之前，攻擊者先進行摸索性攻擊，目標(biāo)是獵取系統(tǒng)有用的信息，此時比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ipsniffer〔通過技術(shù)手段非法獵取ippacket，獲得系統(tǒng)的重要信息，來實現(xiàn)對系統(tǒng)的攻擊，后面還會具體講到〕，特洛依木馬程序等。這時的被攻擊狀態(tài)中的網(wǎng)絡(luò)常常會表現(xiàn)出一些信號，特征，例如：

2.1收集信息攻擊：

常常使用的工具包括：NSS,Strobe，Netscan，SATAN〔SecurityAadministrator'sToolforAuditingNetwork),Jakal,IdentTCPscan,FTPScan等以及各種sniffer.廣義上說，特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時是其它攻擊手段的前奏。對于簡潔的端口掃描，敏銳的平安管理員往往可以從異樣的日志記錄中發(fā)覺攻擊者的企圖。但是對于隱秘的sniffer和trojan程序來說，檢測就是件更高級和困難的任務(wù)了。

2.1.1sniffer

它們可以截獲口令等特別隱秘的或?qū)Ｓ玫男畔?，甚至還可以用來攻擊相鄰的網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)中sniffer的存在，會帶來很大的威逼。這里不包括平安管理員安裝用來監(jiān)視入侵者的sniffer，它們原來是設(shè)計用來診斷網(wǎng)絡(luò)的連接狀況的.它可以是帶有很強debug功能的一般的網(wǎng)絡(luò)分析器，也可以是軟件和硬件的聯(lián)合形式。如今已有工作于各種平臺上的sniffer，例如

·Gobbler(MS-DOS)

·ETHLOAD(MS-DOS)

·Netman(Unix)

·Esniff.c(SunOS)

·Sunsniff(SunOS)

·Linux-sniffer.c(Linux)

·NitWit.c(SunOS)

·etc.

檢測sniffer的存在是個特別困難的任務(wù)，由于sniffer本身完全只是被動地接收數(shù)據(jù)，而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到，其中有一些是以源碼形式發(fā)布的(帶有.c擴展名的)。

一般來講，真正需要保密的只是一些關(guān)鍵數(shù)據(jù)，例如用戶名和口令等。使用ip包一級的加密技術(shù)，可以使sniffer即使得到數(shù)據(jù)包，也很難得到真正的數(shù)據(jù)本身。這樣的工具包括secureshell〔ssh〕，以及F-SSH，尤其是后者針對一般利用tcp/ip進行通信的公共傳輸供應(yīng)了特別強有力的，多級別的加密算法。ssh有免費版本和商業(yè)版本，可以工作在unix上，也可以工作在windows3.1,windows95,和windowsnt.

另外,采納網(wǎng)絡(luò)分段技術(shù),削減信任關(guān)系等手段可以將sniffer的危害掌握在較小范圍以內(nèi),也為發(fā)覺sniffer的仆人供應(yīng)了便利.

2.1.2Trojan

這是一種技術(shù)性攻擊方式.RFC1244中給出了trojan程序的經(jīng)典定義：特洛依木馬程序是這樣一種程序，它供應(yīng)了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不盼望的事，諸如在你不了解的狀況下拷貝文件或竊取你的密碼,或直接將重要資料轉(zhuǎn)送出去，或破壞系統(tǒng)等等.特洛依程序帶來一種很高級別的危急，由于它們很難被發(fā)覺，在很多狀況下，特洛依程序是在二進制代碼中發(fā)覺的，它們大多數(shù)無法直接閱讀，并且特洛依程序可以作用在許很多多系統(tǒng)上,它的散播和病毒的散播特別相像。從internet上下載的軟件,尤其是免費軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是非?？梢傻?所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任,自覺作到不輕易安裝使用來路不清晰的軟件.

2.2denialofservice：

這是一類個人或多個人利用internet協(xié)議組的某些方面阻礙甚至關(guān)閉其它用戶對系統(tǒng)和信息的合法訪問的攻擊.其特點是以潮水般的連接申請使系統(tǒng)在目不暇接的狀態(tài)中崩潰。對于大型網(wǎng)絡(luò)而言,此類攻擊只是有限的影響,但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù),遭到重創(chuàng).

這是最不簡單捕獲的一種攻擊，由于不留任何痕跡，平安管理人員不易確定攻擊來源。由于這種攻擊可以使整個系統(tǒng)癱瘓，并且簡單實施，所以特別危急。但是從防守的角度來講，這種攻擊的防守也比較簡單.攻擊者通過此類攻擊不會破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限,只是搗亂和令人心煩而已.例如使網(wǎng)絡(luò)中某個用戶的郵箱超出容限而不能正常使用等.

典型的攻擊包括如E-mail炸彈,郵件列表連接,

2.2.1Email炸彈

它是一種簡潔有效的侵?jǐn)_工具.它反復(fù)傳給目標(biāo)接收者相同的信息,用這些垃圾擁塞目標(biāo)的個人郵箱.可以使用的工具特別多,例如bomb02.zip(mailbomber),運行在windows平臺上,使用特別簡潔.unix平臺上發(fā)起emailbomb攻擊更為簡潔,只需簡潔幾行shell程序即可讓目標(biāo)郵箱內(nèi)布滿垃圾.

它的防備也比較簡潔.一般郵件收發(fā)程序都供應(yīng)過濾功能,發(fā)覺此類攻擊后,將源目標(biāo)地址放入拒絕接收列表中即可.

2.2.2郵件列表連接

它產(chǎn)生的效果同郵件炸彈基本相同.將目標(biāo)地址同時注冊到幾十個(甚至成百上千)個郵件列表中,由于一般每個郵件列表每天會產(chǎn)生很多郵件,可以想象總體效果是什么樣子.可以手工完成攻擊,也可以通過建立郵件列表數(shù)據(jù)庫而自動生成.對于郵件列表連接,尚沒有快速的解決方法.受害者需要把包含注銷"unsubscribe"信息的郵件發(fā)往每個列表.

很多程序能夠同時完成兩種攻擊,包括Upyours(Windows),KaBoom(Windows),Avalanche(Windows),Unabomber(Windows),eXtremeMail(Windows),Homicide(Windows),Bombtrack(Macintosh),FlameThrower(Macintosh),etc.

2.2.3其它

還有一些針對其它服務(wù)的攻擊,例如Syn-Flooder,PingofDeath(發(fā)送異樣的很大的進行ping操作的packet來攻擊windowsnt),DNSkiller(運行在linux平臺上,攻擊windowsnt平臺上的dns服務(wù)器)等。

在路由的層次上,對數(shù)據(jù)流進行過濾,通過合適的配置會削減患病此類攻擊的可能性.CiscoSystems就供應(yīng)了路由級的解決方案.

2.3spoofingattack(電子哄騙)：

針對http，ftp，dns等協(xié)議的攻擊，可以竊取一般用戶甚至超級用戶的權(quán)限，任意修改信息內(nèi)容，造成巨大危害。所謂ip哄騙，就是偽造他人的源ip地址。其實質(zhì)上就是讓一臺機器來扮演另一臺機器，借以到達蒙混過關(guān)的目的。下面一些服務(wù)相對來說簡單招致此類攻擊：

·任何使用sunrpc調(diào)用的配置；rpc指sun公司的遠(yuǎn)程過程調(diào)用標(biāo)準(zhǔn)，是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。

·任何利用ip地址認(rèn)證的網(wǎng)絡(luò)服務(wù)

·mit的xwindow系統(tǒng)

·各種r服務(wù):在unix環(huán)境中，r服務(wù)包括rlogin和rsh，其中r表示遠(yuǎn)程。人們設(shè)計這兩個應(yīng)用程序的初衷是向用戶供應(yīng)遠(yuǎn)程訪問internet網(wǎng)絡(luò)上主機的服務(wù)。r服務(wù)極易受到ip哄騙的攻擊

幾乎全部的電子哄騙都倚賴于目標(biāo)網(wǎng)絡(luò)的信任關(guān)系〔計算機之間的相互信任，在unix系統(tǒng)中，可以通過設(shè)置rhosts和host.equiv來設(shè)置〕。入侵者可以使用掃描程序來推斷遠(yuǎn)程機器之間的信任關(guān)系。這種技術(shù)哄騙勝利的案例較少，要求入侵者具備特別的工具和技術(shù)〔，并且如今看來對非unix系統(tǒng)不起作用〕。另外spoofing的形式還有dnsspoofing等。

解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機信任關(guān)系，尤其是不同網(wǎng)絡(luò)之間主機的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系，可以設(shè)置路由器使之過濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包，來抵擋ip哄騙。下面一些公司的產(chǎn)品供應(yīng)了這種功能

·CiscoSystem

·公司的平安軟件包可以測試網(wǎng)絡(luò)在ip哄騙上的漏洞。

·etc.

國際黑客已經(jīng)進入有組織有打算地進行網(wǎng)絡(luò)攻擊階段，美國政府有意容忍黑客組織的活動，目的是使黑客的攻擊置于肯定的掌握之下，并且通過這一渠道獲得防范攻擊的實戰(zhàn)閱歷。國際黑客組織已經(jīng)進展出不少躲避檢測的技巧.使得攻擊與平安檢測防備的任務(wù)更加艱難.

3入侵層次分析：

3.1敏感層的劃分

使用敏感層的概念來劃分標(biāo)志攻擊技術(shù)所引起的危急程度.

1郵件炸彈攻擊〔emailbomb〕〔layer1〕

2簡潔服務(wù)拒絕攻擊〔denialofservice〕〔layer1+〕

3本地用戶獲得非授權(quán)讀訪問〔layer2〕

4本地用戶獲得他們非授權(quán)的文件寫權(quán)限〔layer3〕

5遠(yuǎn)程用戶獲得非授權(quán)的帳號〔layer3+〕

6遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限〔layer4〕

7遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限〔layer5〕

8遠(yuǎn)程用戶擁有了根〔root〕權(quán)限〔黑客已攻克系統(tǒng)〕〔layer6〕

以上層次劃分在全部的網(wǎng)絡(luò)中幾乎都一樣，基本上可以作為網(wǎng)絡(luò)平安工作的考核指標(biāo)。

"本地用戶"〔localuser〕是一種相對概念。它是指任何能自由登錄到網(wǎng)絡(luò)上的任何一臺主機上，并且在網(wǎng)絡(luò)上的某臺主機上擁有一個帳戶，在硬盤上擁有一個名目的任何一個用戶。在肯定意義上，對內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計，對信息系統(tǒng)的攻擊主要來自內(nèi)部，占85％。由于他們對網(wǎng)絡(luò)有更清晰的了解，有更多的時間和機會來測試網(wǎng)絡(luò)平安漏洞，并且簡單躲避系統(tǒng)日志的監(jiān)視。

3.2不同的對策

依據(jù)患病的攻擊的不同層次，應(yīng)實行不同的對策.

第一層：

處于第一層的攻擊基本上應(yīng)互不相干,第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊〔同時將被攻擊目標(biāo)登錄到數(shù)千或更多的郵件列表中，這樣，目標(biāo)有可能被巨大數(shù)量的郵件列表寄出的郵件吞沒〕。應(yīng)付此類攻擊的最好的方法是對源地址進行分析，把攻擊者使用的主機(網(wǎng)絡(luò))信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網(wǎng)絡(luò)中全部的主機都不能對自己的網(wǎng)絡(luò)進行訪問外,沒有其它有效的方法可以防止這種攻擊的消失.

此類型的攻擊只會帶來相對小的危害。使人頭疼的是雖然這類攻擊的危害性不大，但是發(fā)生的頻率卻可能很高，由于僅具備有限的閱歷和專業(yè)學(xué)問就能進行此類型的攻擊。

其次層和第三層：

這兩層的攻擊的嚴(yán)峻程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對于isp來說，最平安的方法是將全部的shell帳戶都集中到某一臺〔或幾臺〕主機上，只有它們才能接受登錄，這樣可以使得管理日志，掌握訪問，協(xié)議配置和相關(guān)的平安措施實施變得更加簡潔。另外，還應(yīng)當(dāng)把存貯用戶編寫的cgi程序的機器和系統(tǒng)中的其它機器相隔離。

招致攻擊的緣由有可能是部安排置錯誤或者是在軟件內(nèi)固有的漏洞.對于前者，管理員應(yīng)當(dāng)留意常常使用平安工具查找一般的配置錯誤，例如satan。后者的`解決需要平安管理員花費大量的時間去跟蹤了解最新的軟件平安漏洞報告，下載補丁或聯(lián)系供貨商。事實上，討論平安是一個永不終結(jié)的學(xué)習(xí)過程。平安管理員可以訂閱一些平安郵件列表，并學(xué)會使用一些腳本程序〔如perl，等〕自動搜尋處理郵件，找到自己需要的最新信息。

發(fā)覺發(fā)起攻擊的用戶后，應(yīng)當(dāng)馬上停止其訪問權(quán)限，凍結(jié)其帳號。

第四層:

該層攻擊涉及到遠(yuǎn)程用戶如何獵取訪問內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng)，cgi程序的漏洞和溢出問題。

第五層和第六層:

只有利用那些不該消失卻消失的漏洞，才可能消失這種致命的攻擊。

消失第三,四,五層的攻擊說明網(wǎng)絡(luò)已經(jīng)處于擔(dān)心全狀態(tài)之中，平安管理員應(yīng)當(dāng)馬上實行有效措施,愛護重要數(shù)據(jù),進行日志記錄和匯報,同時爭取能夠定位攻擊發(fā)起地點：

·將患病攻擊的網(wǎng)段分別出來，將此攻擊范圍限制在小的范圍內(nèi)

·記錄當(dāng)前時間,備份系統(tǒng)日志,檢查記錄損失范圍和程度

·分析是否需要中斷網(wǎng)絡(luò)連接

·讓攻擊行為連續(xù)進行

·假如可能，對系統(tǒng)做0級備份

·將入侵的具體狀況逐級向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報；假如系統(tǒng)受到嚴(yán)峻破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，馬上調(diào)用備件恢復(fù)系統(tǒng)

·對此攻擊行為進行大量的日志工作

·(在另一個網(wǎng)段上〕竭盡全力地推斷查找攻擊源

總之，不到萬不得已的狀況下,不行使系統(tǒng)退出服務(wù).查找入侵者的最重要的工作就是做日志記錄和定位入侵者，而找出入侵者并通過法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。

4關(guān)于口令平安性

通過口令進行身份認(rèn)證是目前實現(xiàn)計算機平安的主要手段之一，一個用戶的口令被非法用戶獲悉，則該非法用戶即獲得了該用戶的全部權(quán)限，這樣，尤其是高權(quán)限用戶的口令泄露以后，主機和網(wǎng)絡(luò)也就隨即失去了平安性。黑客攻擊目標(biāo)時也經(jīng)常把破譯一般用戶的口令作為攻擊的開頭。然后就采納字典窮舉法進行攻擊。它的原理是這樣的：網(wǎng)絡(luò)上的用戶常采納一個英語單詞或自己的姓名、生日作為口令。通過一些程序，自動地從電腦字典中取出一個單詞，作為用戶的口令輸入給遠(yuǎn)端的主機，申請進入系統(tǒng)。若口令錯誤，就按序取出下一個單詞，進行下一個嘗試。并始終循環(huán)下去，直到找到正確的口令，或字典的單詞試完為止。由于這個破譯過程由計算機程序來自動完成，幾個小時就可以把字典的全部單詞都試一遍。這樣的測試簡單在主機日志上留下明顯攻擊特征，因此，更多的時候攻擊者會利用其它手段去獲得主機系統(tǒng)上的/etc/passwd文件甚至/etc/shadow文件，然后在本地對其進行字典攻擊或暴力破解。攻擊者并不需要全部人的口令，他們得到幾個用戶口令就能獵取系統(tǒng)的掌握權(quán)，所以即使一般用戶取口令過于簡潔可能會對系統(tǒng)平安造成很大的威逼。系統(tǒng)管理員以及其它全部用戶對口令選取的應(yīng)實行負(fù)責(zé)的看法，消退僥幸和偷懶思想。

保持口令平安的一些要點如下:

·口令長度不要小于6位，并應(yīng)同時包含字母和數(shù)字，以及標(biāo)點符號和掌握字符

·口令中不要使用常用單詞〔避開字典攻擊〕，英文簡稱，個人信息〔如生日,名字,反向拼寫的登錄名,房間中可見的東西〕，年份，以及機器中的指令等

·不要將口令寫下來。

·不要將口令存于電腦文件中。

·不要讓別人知道。

·不要在不同系統(tǒng)上，特殊是不同級別的用戶上使用同一口令。

·為防止眼明手快的人竊取口令,在輸入口令時應(yīng)確認(rèn)無人在身邊。

·定期轉(zhuǎn)變口令,至少6個月要轉(zhuǎn)變一次。

·系統(tǒng)安裝對口令文件進行隱蔽的程序或設(shè)置?！瞖.g.ShadowSuiteforlinux〕

·系統(tǒng)配置對用戶口令設(shè)置狀況進行檢測的程序，并強制用戶定期轉(zhuǎn)變口令。任何一個用戶口令的脆弱，都會影響整個系統(tǒng)的平安性。(e.g.passwd+,Crack,etc)

最終這點是非常重要的,永久不要對自己的口令過于自信,或許就在無意當(dāng)中泄露了口令。定期地轉(zhuǎn)變口令,會使自己患病黑客攻擊的風(fēng)險降到了肯定限度之內(nèi)。一旦發(fā)覺自己的口令不能進入計算機系統(tǒng),應(yīng)馬上向系統(tǒng)管理員報告,由管理員來檢查緣由。

系統(tǒng)管理員也應(yīng)定期運行這些破譯口令的工具,來嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說明這些用戶的密碼取得過于簡潔或有規(guī)律可循,應(yīng)盡快地通知他們,準(zhǔn)時更正密碼,以防止黑客的入侵。

5網(wǎng)絡(luò)平安管理員的素養(yǎng)要求

·深化地了解過至少兩個操作系統(tǒng)，其中之一無可置疑地是unix。嫻熟配置主機的平安選項和設(shè)置，準(zhǔn)時了解已見報道的平安漏洞，并能夠準(zhǔn)時下載相應(yīng)補丁安裝。在特別緊急狀況下，可以開發(fā)適合的平安工具或補丁，提高系統(tǒng)的平安性。

·對tcp/ip協(xié)議族有透徹的了解，這是任何一個合格的平安管理員的必備的素養(yǎng)。并且這種學(xué)問要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)學(xué)問上，必需能夠依據(jù)偵測到的網(wǎng)絡(luò)信息數(shù)據(jù)進行精確的分析，到達平安預(yù)警，有效制止攻擊和發(fā)覺攻擊者等防備目的。

·嫻熟使用c，c++，perl等語言進行編程。這是基本要求，由于很多基本的平安工具是用這些語言的某一種編寫的。平安管理員至少能正確地解釋，編譯和執(zhí)行這些程序。更高的要求是能夠把不特地為某個特定平臺開發(fā)的工具移植到自己的平臺上。同時他們還能夠開發(fā)出可擴展自己系統(tǒng)網(wǎng)絡(luò)平安性的工具來，如對satan和safesuite的擴展和升級〔它們允許用戶開發(fā)的工具附加到自己上〕

·常常地保持與internet社會的有效接觸。不僅要了解自己的機器和局域網(wǎng)，還必需了解熟識internet。閱歷是不行替代的。

·嫻熟使用英語讀寫，與internet網(wǎng)上的各個平安論壇建立常常的聯(lián)系。

·平常留意收集網(wǎng)絡(luò)的各種信息,包括硬件應(yīng)識別其構(gòu)造,制造商,工作模式,以及每臺工作站,路由器,集線器,網(wǎng)卡的型號等;軟件網(wǎng)絡(luò)軟件的全部類型以及它們的版本號;協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議;網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量,網(wǎng)段的劃分,網(wǎng)絡(luò)的擴展;以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前始終實施中的平安策略的概述,曾患病過的平安攻擊的歷史記錄等。

還有一點也很重要，那就是不要過于信任你的供應(yīng)商，肯定要有自己