非线性新闻节目制作网网络安全问题的探讨２０００

采用数据库设置不同用户的权限

    这种方法与第一种方法的共同点是都在硬盘阵列上建立不同的文件夹来存放用户的素材、节目和其他的信息，不同点是这种方法并不是利用NTFS文件系统所提供的权限划分不同用户权限，每个非管理员用户对文件都拥有相同的访问权限。它是在服务器上建立一个数据库表单，上面纪录了所有用户的所有信息,包括人员的所有信息及节目素材的信息，并对每个用户的权限纪录在表中。当用户在工作站上进入编辑软件时，编辑工作站会从服务器上的数据库中读取该用户的权限，并根据该用户的权限设定用户界面，是的不同权限的用户可以进行不同的工作。仍然以第一种方法所假定的简单人员关系为例说明：

在服务器上数据库表格中权限的表单内容应该如下：

    工作站在获取了这些用户权限信息之后，会在工作界面上对用户可使用的功能进行限定，比如用户甲想删除用户乙的素材时，系统会禁止执行这项操作并提示用户甲。

     这样划分用户权限，最大的优点是可以灵活的改变用户的权限范围，而且不需要对文件系统进行大量的修改及设置。例如我们想令记者甲拥有编辑的权限，或是令记者甲可以删除记者乙的节目素材，我们只需要改变数据库表单中的相应项即可，我们甚至可以通过改变数据库使得用户甲拥有管理员的权限。

    这种方法的优点其实也是它最大的缺点，因为它是通过编辑软件来对用户权限进行限定，如果我们绕过编辑软件，利用网路的物理通路直接访问服务器和硬盘阵列，我们就可以对任何用户的所有信息进行更改和破坏，这样的话等于没有任何安全可言。解决的途经是将这种方法和Windows NT提供的安全策略结合起来，使用户在工作站上不能够看到任何网络内容，限制其通过网上邻居或资源管理器看到服务器或其他工作站上的内容。具体实现的方法是使用Windows NT Server 4.0 提供的域用户管理管理器建立不同的登录用户，并利用系统策略编辑器设置不同登录用户的权限，对其进行管理。

    以上两种方法各有利弊，而且只能说具有一定的安全程度，从长远看比较好的模式是将两种方法合而为一，即将数据库设定用户权限与NTFS文件系统所提供的安全策略结合起来，由数据库管理NTFS文件系统所提供的权限划分，达到管理灵活和系统安全的平衡点。

    即使这样，网络安全还是有漏洞可钻的,如果一个类似于黑客的用户想要对网络进行恶意的破坏，他可以利用NT 网络固有的各种漏洞对系统进行攻击。他可以使用的最简单快捷的方法，就是对管理员口令进行盗用，口令被盗意味着在网络上的一切信息保护将全部丧失。Windows NT口令的安全性比UNIX要脆弱得多，这是由其采用的数据库存储和加密机制所直接导致的。NT4.0将用户信息和加密口令保存在注册表中的SAM(安全帐户管理)文件中。口令的加密名义上分两层进行，实际上只有一层，因此缺乏基本的口令复杂性，形同虚设。使用PW Dump或NT Crack之类的解密工具，即可对SAM数据库解码并破解口令。为加强NT口令的安全性，首先需要安装Service Pack 3(SP3)以上的补丁。SP3以上的补丁对NT口令保护都有所加强，从实际应用上来看，SP5的可靠性和稳定性更好。其次要经常改变管理员帐户的名字，防止黑客攻击缺省命名的帐户，并使用更安全的口令。安全的口令应该大小写字母混合（注意只有一个大写字母时，不要放在开头或结尾），8位以上字符，将数字无序地加在字母中，系统用户的口令包含～!@＃＄等符号。另外还应设置跟踪管理员帐户，几次登录失败后即锁定帐户等保护手段。

    恶意的用户还可以通过在工作站上添加低劣的伪造的驱动程序来是系统工作失常，他能够利用一些设备驱动程序监控用户输入的能力，窃取其它用户的工作，甚至侵入服务器系统。他还可以利用一些黑客工具如NTFSDOS.EXE绕过NTFS文件系统的保护。NTFSDOS.EXE 是DOS/Windows上的网络文件系统重定向工具，它具有识别和安装NTFS驱动器，并且进行透明存取的能力。这个简单易用的工具通过从DOS软盘引导，它可以绕过所有NT上的安全审计机制，对基于Intel的系统上本地NTFS格式化的硬盘进行存取操作，甚至包括压缩硬盘，而不需要任何身份验证，它只需要在物理上能够访问目标机器。如果一个恶意的用户使用这种工具侵入网络，后果可想而知。可怕的是类似这样的黑客工具很多，而且很容易找到。

    以上只是黑客攻击网络众多方法中的几个简单方法，黑客还可以利用网络的各种协议来进行攻击，例如对TCP/IP协议的各种攻击手段对黑客来说已经是基本课程，而攻击带有WEB服务器的网络更是黑客们的拿手好戏。网络安全的攻击与反攻击手段层出不穷，虽然现在有各种各样的防火墙系统（我们会在网络连接部分介绍），但是没有一个网络开发商敢保证自己的网络是绝对安全的。