文档管理网络侦察防御

　　文档管理侦察是Web行网络攻击的第一步，也是网络Web进行网络安全防御的第一步。网络管理员需要了解网络侦察知识，从而知道系统可能正在被侦察，为系统可能遭受的攻击作更多的准备，并进行脆弱性分析，了解哪些信息正在被泄露并掌握系统的弱点。
　　针对不同的侦察手段，需要使用不同的方法进行防御。
　　1.防御搜索引擎侦察
　　保护己方的web站点，避免其沦为搜索引擎和基于web侦察的受害者，有以下两方面的工作要做。
　　一方面，对己方Welb站点内容建立严格的信息披露策略。根据策略确定哪些敏感的数据和信息不应该在Web站点上出现，如敏感的客户数据、实际使用的产品信息和具体配置等。另外，还要对员工进行培训，要求员工不要在新闻组和BBS等公共渠道上发布如系统配置、商业计划等敏感信息，制定具体的措施并严格执行。
　　另一方面，要求搜索引擎移除不期望公开的Web页面索引。如果发现百度对某个不希望公开的页面进行了索引，可使用一些数据标记通知百度不要进行索引或快照。
　　2. 防御Whois查询
　　很多人都认为，既然Whois数据库的注册信息对于攻击者这样有用，那么不公开这些信息或者在注册的时候填写错误的信息岂不是会让Web站点更加安全。这种想法是错误的。女口果把互联网比作一个社区，那么Whois数据库就是这个社区的花名册。当某些网络安全事故发生时，详细准确的Whois注册信息可以帮助相关人员更加方便地联系到网站管理员进行安全维护，而这些事故对于这些站点来说往往是致命的。
　　因为要保证Whois信息可以被其他合法管理员获取，所以完全防御攻击者查询注册信息是不可能的。那么防御攻击者Whois查询的方法就是保证注册记录中没有额外的可供攻击者使用的信息，如管理员的账户名。另外，注册信息多被攻击者利用来进行社会工程学攻击，所以还要对员工进行培训，使他们避免掉进社会工程学攻击的圈套。
　　3．防御DNS侦察
　　可以从以下几个方面来防御文档管理DNS侦察。
　　1)减少通过文档管理DNS泄露额外的信息，例如，域名不应该泄露计算机的操作系统、用途等信息。
　　2)限制文档管理DNS区域传送，可以使用“allow - transfer"或“xfemets"命令来指定允许发起区域传送的具体IP地址和网络；使用防火墙配置过滤规则允许少量已知的辅助DNS服务器进行区域传送。
　　3)使用文档管理DNS分离技术，即在几台不同的DNS服务器上分散存储DNS信息，使外部和内部用户使用不同的DNS服务。
　　4． 防御社会工程学攻击和垃圾搜索
　　防御社会工程学的有效方法是培养员工的安全意识。在安全教育时加强社会工程学方面的教育。对于计算机配置、口令或其他敏感信息的电话询问，在没有确认身份的情况下，不管对方多么着急、诚恳和友善，都不要透露相关信息。技术支持部门遇到修改权限、重置密码等请求，需要进行二次身份认证，如检查家庭住址、聘用日期等。安全教育中特别要强调来电显示的伪造技术，不能仅通过来电显示来判断身份。
　　防御垃圾搜寻的最好方法是广泛地配备和合理地使用碎纸机、光盘粉碎机等设备。对于带有敏感信息的废弃纸张、报纸、CD7DVD（特别是可刻录的CD/DVD）、计算机硬盘、u盘等，都需要进行粉碎或焚烧处理。对于安全性要求高的机构（如政府安全部门和军事单位），还需要建立专门的保密部门对办公废弃物进行统一处理。