中国经济信息网账号

2024-04-18

中国经济信息网账号（精选8篇）

篇1：中国经济信息网账号

1.简介：什么是PStore？ PStore的全称为：Protected Storage，

详谈PStore及账号信息

，

在系统服务中我们可以看到它(9x没有)。它的作用就是为应用程序的安全保存做一个接口。在它里面记录了一些隐密的信息，比方说： 1. Outlook 密码 2. 删除的Outlook帐号密码 3. IE 密码保存站点密

篇2：中国经济信息网账号

信息强制推送——被动接受信息，尤其是用户不感兴趣的信息，最容易引其客户的反感。智游乐微店宝作为微信第三营销平台，在信息推送过程中一直十分注意把握尺度。独乐乐不如众乐乐，微店宝君就将信息推送技巧与大家分享吧。

相信大家都能体会这样的感觉：本来不喜欢做某件事，却被旁人强迫去做，心里必然十分反感。要是对方很强大，自己只能忍气吞声，如果对方很弱，那我们肯定会选择拒绝。如果公众账号只从自己的角度考虑，而采取强制推送信息的方式来来对待用户的话，那么结果只有一种——被删。

信息没有价值——用户不可能关注太多公众账号，如果你推送的信息毫无价值，结果只会被用户踢出关注圈。

在信息泛滥的今天，如果信息没有一点价值含量，公众账号就算设置在庞大的内容，也很容易被湮没在信息洪流之中。

因此，如果只讲究虚张声势，而不注重内涵品质的话，公众账号只会收到一种结果——被无视！

篇3：中国经济信息网账号

1 原有宽带帐号认证绑定方式存在的不足

宽带业务作为济南联通的主营业务之一,其向公众客户提供的宽带接入方式主要是通过PPPOE拨号,对宽带帐号与VLAN进行绑定认证来实现客户的合法使用。从宽带城域网的结构来说,可以分为三层网络和二层网络,如图1所示。

三层网络作为城域网的核心网络,由核心、汇聚、接入等三个层次的设备构成,包括路由器、交换机、BAS等设备,承担着整个城域网的核心路由转发功能;二层网络负责接入ADSL和FTTX+LAN宽带用户,由ADSL DSLAM或楼宇交换机等边缘设备组成。

图1中,宽带用户以ADSL或LAN PPPOE拨号的方式,经二层网络VLAN透传后,在BAS设备进行PPPOE终结,获取访问互联网的权限。其中,BAS设备的覆盖范围较大,一般可以涉及几万宽带用户的区域,仅通过传统的单VLAN方式接入用户存在VLAN数量的限制。802.1Q协议规定VLAN ID只有12bit,其取值范围为0-4095,如果为每个用户分配一个不同的VLAN,则最多仅能分配4096个宽带用户。因此在部署宽带业务时,会出现在一定的区域内多个用户共享一个相同VLAN ID的问题。而在这样的区域内,只要帐号与密码是匹配的,就可以在多个设备接入端口上使用。这种宽带帐号与单VLAN绑定的认证方式,存在只要非法用户知道别人的帐号密码,就可以在一定区域内盗用合法用户的帐号进行使用的弊端,导致宽带帐号盗用、私接等问题的出现。同时,这种绑定方式管理粗放,极易导致运营商查修人员对用户所接入设备端口资料的疏忽,影响了97系统中用户与设备端口资料的不一致和不准确性。这些问题在一定程度上影响了网络的安全性和合法用户的权益,给宽带网络的运营带来很大隐患,亟需解决。

2 QINQ网络优化改造和面临的困境

为解决单VLAN数量限制带来的上述问题,济南联通实施了精品宽带QINQ改造工程。通过QINQ技术的实际应用,可以对VLAN进行嵌套使用,将原有单VLAN的网络结构优化成双VLAN结构,大大扩展VLAN的资源数量,使得为每个用户可以分配一个不同的VLAN。这样,通过将宽带帐号与QINQ VLAN绑定,可以实现对每个用户的唯一标识,从而解决宽带帐号共用、盗用、私接等问题。

对于新建宽带小区,可以在设备初期部署时按照QINQ的方式进行全新的网络配置,但在改造已有宽带小区网络时,存在难题。由于已有宽带小区的设备端口属于一个VLAN,用户的宽带帐号在任意设备端口上使用,再加上非法用户的帐号盗用、私接现象,已经无法辨别宽带用户真实的合法设备端口,直接影响了已有宽带小区的QINQ改造。如何能够正确标识用户所在的接入设备端口,成为QINQ改造工程中的一大难题。

3 宽带帐号定位系统的实施

行业内有一些技术可以实现宽带用户端口的标识,像VBASE技术、VMAC技术、PPPOE+等方式。这些技术基本上都是遵循一个原则:由网络设备对用户的PPPOE会话增加相应的线路标识代码,从而获取用户所在的设备端口。但是这些技术本身存在多厂商设备之间的互通性问题,且部署这些技术则需要对城域网进行大量的新设备投资,并不是最好的解决方式。

济南联通经过多次测试,自主研发了一套宽带帐号定位系统。该系统是借鉴网络管理人员手工提取端口信息的方法,通过程序实现自动化处理,将PERL EXPECT的自动化处理模块与设备操作命令关联,自动提取宽带用户的在线信息,最终确定用户所在的合法设备端口。该系统的部署不需要对现有网络设备进行新的投资。

3.1 系统结构

宽带帐号定位系统分为硬件平台、软件系统、业务支撑等三个层面,如图2所示。

宽带帐号定位系统采用SUN 服务器作为底层硬件平台,Solaris Unix作为软件系统支撑环境,PERL软件和EXPECT模块提供自动化提取信息的功能。业务支撑层包括BAS模块、汇聚交换机模块、接入交换机模块、小区DSLAM模块等部分,通过这些模块,系统可以针对各种型号网络设备,分别自动化TELNET,以非交互式的方式替代交互式的人工命令操作,自动执行相关设备操作命令。

3.2 实现机制

宽带帐号定位系统是利用程序代替传统的手工逐个查找的过程,实现自动提取信息。系统采用PERL语言编写,主要采用EXPECT模块的自动登陆功能和PERL的文件处理功能,实现对不同层次设备的自动远程登录,执行相应设备的操作命令,最终将每一层设备上获取的信息进行关联处理,最终得到用户帐号与接入层设备端口的对应资料。系统中所采用的EXPECT模块,是一种能够按照PERL脚本内容里面设定的方式与交互式程序进行“会话”的程序,可以用非交互的方式实现交互式的功能。其中,EXPECT模块中的两个重要的交互式命令分别是expect与send。expect命令表示等待进程返回的字符串,send命令表示向进程发送字符串。使用方法示意如下:

表示PERL发送实际的密码

通过expect和send的结合,可以用程序代替人工来实现自动化的TELNET设备执行命令操作。

3.3 业务流程

宽带帐号定位系统的业务流程如图3所示。

流程分解说明:

① 宽带帐号系统采用标准TELNET协议,自动远程登陆宽带接入服务器BRAS, 执行操作命令,获取在线宽带帐号名称;

② BAS将在线帐号名称与对应的MAC地址信息反馈到防火墙;

③ 防火墙将获得的帐号与MAC地址信息送给宽带帐号定位系统,此时系统记录用户帐号与MAC地址的对应关系;

④ 系统自动TELNET到城域网汇聚层交换机上,根据第3步获得的用户MAC,执行操作命令,确定用户是由哪台接入层交换机接入;

⑤ 确定接入层交换机后,系统自动TELNET到接入层交换机上,执行操作命令, 确定用户是由哪个端口接入,并记录该端口的下联设备的IP地址;

⑥ 根据接入设备IP地址信息库,确定是接入设备哪种型号的DSLAM;

⑦ 根据DSLAM型号,执行相应脚本程序,确定用户MAC地址对应的设备端口,并将该端口信息返回;

⑧ 宽带帐号定位系统经过对记录的信息进行递归比较,最终得出宽带帐号与接入设备端口的对应关系;

⑨ 宽带定位系统将获得的宽带帐号与设备用户端口对应关系,同步导入到97系统,从而完善97系统中的宽带帐号与接入设备端口资料。

4 宽带帐号定位系统对济南联通宽带信息化的贡献

自宽带帐号定位系统上线以来,先后向97号线系统导入宽带用户资料10万线,完善了97系统中用户无设备端口、用户端口资料不准确等问题,推动了精品宽带QINQ改造的实施,有效解决了宽带帐号共用、盗用、私接等问题。同时,该系统所采用的自动化处理机制,在城域网维护的宽带业务数据配置、批量命令执行、设备配置文件自动备份等领域,得到较好的应用,大大节省了人工劳动量,提高了宽带网络的管理效率。

5 结束语

本文阐述了在济南联通宽带城域网信息化过程中,网络维护部门为解决QINQ改造工程遇到的难题,通过宽带帐号定位系统的研发部署,有效支撑了宽带精品网络改造的工程实施。通过该系统的实施,建立起一个清晰有序的客户数据配置系统,有助于厘清管理脉络,通畅维护思路,提高了济南联通宽带信息化的水平,对通信行业电信运营商的城域网维护建设有较好的借鉴意义。

参考文献

[1]Perl语言入门.东南大学出版社,2009年.

[2]济南联通宽带城域网优化改造方案.济南联通2010年.

[3]http://search.cpan.org/～rgiersig/Expect-1.21/Expect.pod perl expect模块说明手册.

篇4：如何修改网络账号信息

之前我用手机号码注册了许多网站，绑定了网银、支付宝、邮箱等等多种服务。现在我需要更换手机号码，难道之前绑定的那些服务，也需要一个一个换吗？有没有更加快捷安全的方法？（题号：20151401）

解题思路

题主的意思可能是想询问，能不能通过类似于批量修改的方法，一次性对注册服务中的手机号码进行修改。非常遗憾地说，是不可能有这种批量修改的方法的。因为要想批量修改的话，首先需要不同的网站服务上都提供一个接口，以便第三方服务对自己的数据进行查询。其次还需要有一个统一的查询平台才行，而这个平台需要拥有非常可靠的安全保证。现如今，这两个基本条件都不具备。

另外在现实情况下，不同的网站服务采用的修改方式和途径也是不一样的。比如网络银行虽然提供的一种虚拟服务，但是它是依托于实实在在的银行网点的。所以要想修改网络银行服务绑定的手机号码，根据规定就必须要本人持银行卡和身份证，到开卡银行柜台更改注册的手机号码才可以。而对于支付宝、电子邮箱等这类网站服务，也需要登录到相关的官方网站，在服务页面里面找到相关项目进行修改。

其实本题挑战的宗旨，无非就是想让相关账户信息的修改方便一些，下面提供一些方法，虽然不能直接解决题主的问题，但至少能让相关的操作更简捷。

解题方法

轻重有别针对性修改账户

如果用户觉得一个个进行修改非常麻烦的话，可以根据这项服务的重要程度，来选择是否进行捆绑手机号码的修改。比如支付宝捆绑的手机号码，主要用于接收验证码，从而进行二次身份的验证，所以这类服务的修改就是必需的。而对于像电子邮箱这类服务，平时主要用于了解是否有新的邮件，这时用户只需要安装一个对应的邮箱应用，一旦有新的邮件信息，手机上也会即时看到通知的。当然，各项服务的重要性，是由个人自己来判断确定的，这里仅为举例。

支付宝的手机号修改

这里我就以支付宝为例，来看看如何进行手机号码的修改。首先登录支付宝的官方网页，点击右上角的“账户管理”命令，在弹出的菜单里面点击“账户设置”命令（图1）。在弹出的页面中可以看到“手机”项，点击后面的“修改”链接，就可以进入到支付宝的手机号码的相关页面（图2）。支付宝为用户提供了在保留旧手机号码，以及没有保留手机号码两种情况下，进行手机号码修改的途径。比如要保留有旧手机号码，那么直接接收到验证码以后就可以修改。如果没有保留手机号码的话，则需要通过支付密码、银行卡、身份证等多种方式进行验证并修改。

快速搜索注册过哪些账号

除了手机号码以外，如果电子邮箱对自己很重要，那也需要进行修改。比如在图1中的页面中点击“邮箱”后面的“修改”链接，这样就可以对支付宝的注册邮箱进行修改。

篇5：中国经济信息网账号

第一条为规范互联网用户公众账号信息服务，维护国家安全和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，制定本规定。

第二条在中华人民共和国境内提供、使用互联网用户公众账号从事信息发布服务，应当遵守本规定。

本规定所称互联网用户公众账号信息服务，是指通过互联网站、应用程序等网络平台以注册用户公众账号形式，向社会公众发布文字、图片、音视频等信息的服务。

本规定所称互联网用户公众账号信息服务提供者，是指提供互联网用户公众账号注册使用服务的网络平台。本规定所称互联网用户公众账号信息服务使用者，是指注册使用或运营互联网用户公众账号提供信息发布服务的机构或个人。

第三条国家互联网信息办公室负责全国互联网用户公众账号信息服务的监督管理执法工作，地方互联网信息办公室依据职责负责本行政区域内的互联网用户公众账号信息服务的监督管理执法工作。

第四条互联网用户公众账号信息服务提供者和使用者，应当坚持正确导向，弘扬社会主义核心价值观，培育积极健康的网络文化，维护良好网络生态。

鼓励各级党政机关、企事业单位和人民团体注册使用互联网用户公众账号发布政务信息或公共服务信息，服务经济社会发展，满足公众信息需求。

互联网用户公众账号信息服务提供者应当配合党政机关、企事业单位和人民团体提升政务信息发布和公共服务水平，提供必要的技术支撑和信息安全保障。

第五条互联网用户公众账号信息服务提供者应当落实信息内容安全管理主体责任，配备与服务规模相适应的专业人员和技术能力，设立总编辑等信息内容安全负责人岗位，建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

互联网用户公众账号信息服务提供者应当制定和公开管理规则和平台公约，与使用者签订服务协议，明确双方权利义务。

第六条互联网用户公众账号信息服务提供者应当按照“后台实名、前台自愿”的原则，对使用者进行基于组织机构代码、身份证件号码、移动电话号码等真实身份信息认证。使用者不提供真实身份信息的，不得为其提供信息发布服务。

互联网用户公众账号信息服务提供者应当建立互联网用户公众账号信息服务使用者信用等级管理体系，根据信用等级提供相应服务。

第七条互联网用户公众账号信息服务提供者应当对使用者的账号信息、服务资质、服务范围等信息进行审核，分类加注标识，并向所在地省、自治区、直辖市互联网信息办公室分类备案。

互联网用户公众账号信息服务提供者应当根据用户公众账号的注册主体、发布内容、账号订阅数、文章阅读量等建立数据库，对互联网用户公众账号实行分级分类管理，制定具体管理制度并向国家或省、自治区、直辖市互联网信息办公室备案。

互联网用户公众账号信息服务提供者应当对同一主体在同一平台注册公众账号的数量合理设定上限；对同一主体在同一平台注册多个账号，或以集团、公司、联盟等形式运营多个账号的使用者，应要求其提供注册主体、业务范围、账号清单等基本信息，并向所在地省、自治区、直辖市互联网信息办公室备案。

第八条依法取得互联网新闻信息采编发布资质的互联网新闻信息服务提供者，可以通过开设的用户公众账号采编发布新闻信息。

第九条互联网用户公众账号信息服务提供者应当采取必要措施保护使用者个人信息安全，不得泄露、篡改、毁损，不得非法出售或者非法向他人提供。

互联网用户公众账号信息服务提供者在使用者终止使用服务后，应当为其提供注销账号的服务。

第十条互联网用户公众账号信息服务使用者应当履行信息发布和运营安全管理责任，遵守新闻信息管理、知识产权保护、网络安全保护等法律法规和国家有关规定，维护网络传播秩序。

第十一条互联网用户公众账号信息服务使用者不得通过公众账号发布法律法规和国家有关规定禁止的信息内容。

互联网用户公众账号信息服务提供者应加强对本平台公众账号的监测管理，发现有发布、传播违法信息的，应当立即采取消除等处置措施，防止传播扩散，保存有关记录，并向有关主管部门报告。

第十二条互联网用户公众账号信息服务提供者开发上线公众账号留言、跟帖、评论等互动功能，应当按有关规定进行安全评估。

互联网用户公众账号信息服务提供者应当按照分级分类管理原则，对使用者开设的用户公众账号的留言、跟帖、评论等进行监督管理，并向使用者提供管理权限，为其对互动环节实施管理提供支持。

互联网用户公众账号信息服务使用者应当对用户公众账号留言、跟帖、评论等互动环节进行实时管理。对管理不力、出现法律法规和国家有关规定禁止的信息内容的，互联网用户公众账号信息服务提供者应当依据用户协议限制或取消其留言、跟帖、评论等互动功能。

第十三条互联网用户公众账号信息服务提供者应当对违反法律法规、服务协议和平台公约的互联网用户公众账号，依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施，保存有关记录，并向有关主管部门报告。

互联网用户公众账号信息服务提供者应当建立黑名单管理制度，对违法违约情节严重的公众账号及注册主体纳入黑名单，视情采取关闭账号、禁止重新注册等措施，保存有关记录，并向有关主管部门报告。

第十四条鼓励互联网行业组织指导推动互联网用户公众账号信息服务提供者、使用者制定行业公约，加强行业自律，履行社会责任。

鼓励互联网行业组织建立多方参与的权威专业调解机制，协调解决行业纠纷。

第十五条互联网用户公众账号信息服务提供者和使用者应当接受社会公众、行业组织监督。

互联网用户公众账号信息服务提供者应当设置便捷举报入口，健全投诉举报渠道，完善恶意举报甄别、举报受理反馈等机制，及时公正处理投诉举报。国家和地方互联网信息办公室依据职责，对举报受理落实情况进行监督检查。

第十六条互联网用户公众账号信息服务提供者和使用者应当配合有关主管部门依法进行的监督检查，并提供必要的技术支持和协助。

互联网用户公众账号信息服务提供者应当记录互联网用户公众账号信息服务使用者发布内容和日志信息，并按规定留存不少于六个月。

第十七条互联网用户公众账号信息服务提供者和使用者违反本规定的，由有关部门依照相关法律法规处理。

篇6：中国经济信息网账号

注册离岸公司后，很多内地企业家会选择开立离岸账户，很多人会选择在香港渣打银行、汇丰银行、花旗银行等地开立离岸账户，也有人选择在内地银行开户。那么如何正确使用离岸账户?正确使用离岸账户与否，决定离岸公司能否合法运作。注意事项如下：

1、明确开户银行所在国和地区的相关规定;

2、确保手指和划拨符合真实业务需求;

3、尽量不要使用美资银行或美元结算以避免划拨受阻或延迟;

4、避免即到即转;

5、避免大量提现或存现;

6、避免向自然人户口资金转移。

7、避免向自然人户口结汇;

8、保留投资和贸易过程中资金往来的相关凭证;

9、随时向银行人士咨询正确使用账户的问题。

中国公民如何在香港渣打银行开账号

很多注册成立了香港公司的内地客户会选择在香港渣打银行开立离岸账户。在香港渣打银行开账号：要带港澳通行证和身份证，还要带一份近三个月内有国内住址的证明文件，比如印有开户人名字和地址的那种电话单，水电煤气费用单等。

另外，一定要问清楚网上银行操作的方法，密码等，因为一般这个是有限期的，回内地后不尽快登录就过期了，过期后一定要回港才能要新密码。还有，要问清楚每个月你开的这个户是不是要扣管理费等等。

还有很多人开渣打银行账户是用来炒股，如果炒股的话，渣打银行的手续费要贵一点的，这个可以对比其他银行。如果存钱多，银行人员会动员你在银行里买他们代办的保险公司的保险，这个不要轻易决定，觉得好，直接去保险公司买就好了，因为银行的后期服务是比较差的。例如理赔服务等等。

香港渣打银行与国内渣打银行开户情况：

银行开户相同点：

银行开户资料：董事的身份证明文件(护照或来往港澳通行证)正本/商业登记证正本/注册证书正本/公司章程正本一本(英文版)/公司印章/会议记录正本/会计师签署的开户文件

董事亲临银行签名：无论香港本地账号或是国内离岸账号，银行为了保障股东利益，都要求所有董事亲临银行签名，所以，在注册时，瑞丰国际会计师机构专业人员会提醒客户必须注意有关所担任公司董事及股东是否能够亲临银行签名。

银行不同点：

国内离岸账号受汇管限制不能存入现金;离岸账号开出的支票只限制同城使用。

香港渣打银行开户重要提示：

(1)带有效护照，不接受身份证和通行证;

(2)营业地址和秘书地址不能相同，需要提供两个不同地址;

(3)公司户口存入款港币五万元(HKD50,000.00)，私人户口港币一万元(HKD10,000.00);

(4)网上银行只可以查账，不能汇款;

(5)户口要用满一年后，才可申请信用证户口;

(6)要交公司架构图，股东持有股份申请表;

(7)BVI要扣查册费HKD800，一个月后户口才可动作;

篇7：终端账号安全不容忽视

伴随着信息化技术的日益发展, 网络已成为很多单位赖以生存的重要资源, 不过, 越来越多的网络安全风险却成为单位面临的重大难题。尽管有不少安全风险来自外网环境, 但有资料表明, 在所有安全事件中, 由终端账号引起的内网安全事件, 所占比例正逐步上升。很显然, 为了保障单位内网安全, 我们需要高度重视终端系统的账号使用安全。现在, 本文就从终端系统着手, 总结几则安全使用账号的技巧!

监控账号创建安全

要是终端系统接入到局域网或Internet网络中时, 那么网络中一些恶意程序可能会通过网络连接, 在终端系统中偷偷创建非法用户账号, 日后它们就会利用该非法账号控制或监控终端系统的运行状态了。为了保护终端计算机系统的运行安全, 我们可以加大监控力度, 自动监控用户账号的创建状态, 日后如果有陌生用户账号私下创建时, 管理员可以在第一时间发现。

以Windows 7系统为例, 在监控账号创建安全时, 依次单击“开始”、“运行”命令, 展开系统运行对话框, 输入“secpol.msc”命令, 开启系统安全策略编辑器运行状态。将鼠标定位于左侧列表中的“本地策略”分支上, 再选中指定下的“审核策略”、“审核账户管理”选项, 通过双击鼠标方式打开选项设置框, 选中“成功”、“失败”选项, 单击“确定”按钮保存设置操作。

接着用鼠标右键单击Windows系统桌面上的“计算机”图标, 选择快捷菜单中的“管理”命令, 展开计算机管理窗口, 依次展开“系统工具”、“本地用户和组”、“用户”选项, 同时用鼠标右击“用户”选项, 并执行快捷菜单中的“新建用户”命令, 打开新建用户对话框, 在其中任意创建一个用户帐号。

之后进入Windows系统的控制面板窗口, 逐一展开“管理工具”、“事件查看器”, 切换到Win7系统事件查看器窗口, 逐一跳转到该窗口左侧显示区域中的“Windows日志”、“安全”分支上, 随后在“安全”分支下找到先前任意生成的用户帐号。用鼠标右键单击这个用户账号, 单击快捷菜单中的“将任务附加到此事件”命令, 这个时候系统屏幕上会展开附加任务向导设置对话框, 依照向导提示, 逐一定义好报警方式、报警内容, 再按“完成”按钮即可。日后, 即使网络中的恶意程序悄悄在终端计算机系统中创建了非法用户账号, 系统屏幕上会立即出现警报信息, 根据具体的提示内容, 就能识别出当前时刻是否有非法用户账号创建了。强制账号密码安全

大家知道, 现在很多终端系统由于默认存在许多安全漏洞, 它遭遇病毒、木马攻击的可能性十分大, 而病毒木马又会通过网络登录方式进行传播、扩散, 所以限制终端系统随意通过网络进行登录或共享, 是保护终端系统安全的重要途径之一。

要做到这一点, 首先要强制用户账号必须使用复杂密码。只要依次单击“开始”、“运行”命令, 弹出系统运行对话框, 输入“gpedit.msc”命令, 开启系统组策略编辑器运行状态。逐一跳转到编辑器左侧区域中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“账户策略”、“密码策略”节点上, 双击指定节点下的“密码长度最小值”选项, 展开密码长度最小值设置对话框, 输入“8”或更大的数值, 单击“确定”按钮后, 用户账号密码最小位数将不能低于8个字符。

接着要让账号密码不断变化, 以防别人轻易猜中。将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“账户策略”、“密码策略”节点上, 双击指定节点下的“密码最长使用期限”组策略选项, 打开组策略属性框, 输入定期变换密码内容的间隔时间, 例如输入“30”, 单击“确定”按钮后退出设置对话框。这样, 终端计算机系统日后会每隔30天就提示用户更改密码内容。

第三强制使用账号锁定功能。如果账号密码设置得不够复杂时, 非法用户很可能会通过暴力破解方式, “猜”出登录密码而进行恶意操作, 这样就会存在相当大的安全风险。那如何来防止非法用户猜解或者爆破远程连接密码呢?很简单!可以强制启用账号锁定功能。在系统组策略编辑窗口左侧区域, 将鼠标定位到“本地计算机策略”、“计算机设置”、“Windows设置”、“安全设置”、“账户策略”、“账户锁定策略”节点上, 双击指定节点下的“账户锁定阈值”组策略, 在其后对话框中设置好触发用户账号被锁定的登录尝试失败次数, 该数值范围在0到999之间, 默认为“0”, 也就是说, 系统默认不限制登录次数。管理员可以依照工作实际, 输入账户锁定次数, 日后输入错误密码次数超过规定后, 对应用户账号就会被强行锁定起来。

保障账号盗用安全

在进行远程网络连接的时候, 恶意用户有时会通过Windows系统缺省的Administrator账号和Guest账号, 对重要终端系统进行登录测试, 要是登录测试成功, 将会继续通过不同形式来非法提权, 以窃取重要终端系统的所有操作权限。为了保障账号盗用安全, 建议大家将缺省的用户账号名称调整为其他名称, 以防止它们被非法用户轻松盗用。

例如, 要调整“Administrator”账号的用户账号名称时, 可以逐一单击“开始”、“运行”命令, 展开系统运行文本框, 在其中执行“secpol.msc”命令, 进入系统安全组策略控制台窗口。在左侧显示窗格中, 逐一跳转到“安全设置”、“本地策略”、“安全选项”节点上, 找到指定节点下的“帐户:重命名系统管理员帐户”选项, 同时用鼠标双击之, 弹出组策略选项设置框, 在这里输入其他复杂一些的账号名, 比方说输入“5aiwojia”, 再单击“确定”按钮保存设置即可。

除了“Administrator”账号会被盗用外, “Guest”账号也容易被盗用, 因为该账号尽管操作权限不高, 但它多数时候处于启用状态, 被非法利用的机率很高, 例如, 恶意用户可以将该账号添加到管理员组, 来进行以后的提权攻击, 所以通过修改该账号名称就能预防类似攻击。在进行改名操作时, 先进入终端系统安全组策略控制台窗口, 将鼠标定位到“安全设置”、“本地策略”、“安全选项”分支上, 双击指定分支下的“帐户:重命名来宾帐户”选项, 在其后界面中设置好新的名称, 确认后保存设置即可。

严控账号权限安全

一些非法用户常常会通过系统漏洞, 偷偷与特定终端系统建立远程连接, 再借助一些技术措施窃取系统管理员权限, 打开远程桌面窗口, 对特定系统进行非法操作。为了避免这种不安全现象, 可以严格限制用户账号的远程桌面使用权限, 仅允许特定的管理员账号才能进行远程桌面连接, 其他用户账号无权享受远程桌面权限。因为远程桌面窗口打开操作与“explorer.exe”程序访问权限有关, 如果只将该程序的读取权限授权特定用户账号, 就能实现上述控制目的。

在进行该操作时, 先进入系统资源管理器窗口, 选中“C:Windows”目录下的“explorer.exe”程序, 打开它的右键菜单, 点选“属性”命令, 选择属性对话框中的“安全”选项卡, 删除对应选项页面中的所有用户账号。按下“添加”按钮, 切换到账号选择对话框, 导入可信用户账号, 将其“运行”、“读取”权限修改为“允许”, 单击“确定”按钮退出设置对话框。上面的设置操作, 仅对没有运行的“explorer.exe”程序有效, 如果该程序已经被调入内存时, 那必须通过微软自行开发的“Process Explorer”工具来设置。打开该工具主操作界面, 点选其中的“explorer.exe”程序, 从该程序右键菜单中选择“Properties”命令, 之后进入“Security”面板, 单击“Permissions”按钮, 在这里就能将“explorer.exe”程序访问权限, 授予合法、可信用户账号了。这样, 日后只有合法可信用户账号才能够拥有远程桌面权限, 其他账号即使已创建好远程桌面连接, 也不能打开桌面窗口进行非法攻击。

为了防止一些终端账号从低版本系统中, 随意远程登录重要主机系统, 建议为它们赋予带网络验证的远程桌面权限, 这能避免低版本系统中的病毒感染给高版本系统。例如, 在Win7系统中进行该操作时, 可以右击Windows系统桌面上的“计算机”图标, 点选右键菜单中的“属性”命令, 进入系统属性对话框, 单击“远程设置”按钮, 展开远程设置界面, 勾选“只允许运行带网络级身份验证的远程桌面的计算机连接”选项, 单击“确定”按钮保存设置即可。

此外, 要是允许空白密码用户账号随意登录终端系统, 也容易给非法用户带来入侵机会。为了保护终端系统安全, 建议在重要终端系统中, 仅能授予空白密码用户账号控制台登录权限, 不能授予其他操作权限:依次单击“开始”、“运行”命令, 在弹出的系统运行对话框中, 输入“gpedit.msc”命令, 开启系统组策略编辑器运行状态。将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”分支上, 找到指定分支下的“账户:使用空白密码的本地账号只允许进行控制台登录”选项, 通过双击鼠标方式, 切换到如图1所示的选项设置对话框。勾选“已启用”选项, 单击“确定”按钮退出设置对话框即可。

管理隐藏账号安全

一些黑客、木马擅长使用的攻击方法, 就是悄悄在终端系统创建隐藏账号, 并通过它进行各种非法操作, 该方法有很强的隐蔽性, 可以躲避杀毒软件之类的专业工具来查杀。为此, 我们必须加强对系统隐藏账号的管理, 确保隐藏账号的使用安全!

普通的隐藏账号, 往往会在账号名后面添加“$”后缀, 来达到账号隐藏目的, 黑客、木马创建好隐藏账号后, 可能会悄悄将其提升为系统管理员权限, 保证能通过该账号进行各种非法操作。如果想删除陌生隐藏账号, 可以依次单击“开始”、“运行”命令, 弹出系统运行对话框, 输入“cmd”命令, 在DOS命令行窗口的命令提示符下, 执行“net localgroup administrators”命令, 将所有具有系统管理员权限的隐藏账号统统显示出来。比方说, 在如图2所示的结果界面中, 我们找到一个用户名为“aaaa$”的隐藏账号, 要将其从系统中删除时, 可以在DOS命令行窗口下输入“net user aaaa$/delete”命令即可。

要是对DOS命令不太熟悉, 也可以进入计算机管理窗口, 依次跳转到“本地用户和组”、“用户”节点上, 在指定节点下就可以很清楚地发现包含“$”后缀的隐藏账号。这个时候, 用鼠标右击特定隐藏账号, 点选右键菜单中的“删除”命令, 就能快速将选中的隐藏账号删除掉了。当然, 也有一些隐藏账号比较特别, 既无法从DOS命令行窗口中发现它的“身影”, 也无法从计算机管理窗口中发现它的“身影”, 只能从日志文件中找到它们的痕迹。这些特别的隐藏账号, 不能对它们直接执行删除操作, 只能在DOS工作窗口中输入“net user aaaa$9876”之类的命令, 调整它们的账号密码, 让其无法继续生效。

篇8：信息系统特权账号管控与审计建设

关键词：信息系统；特权账号；管控与审计；密码管理

中图分类号：TP315 文献标识码：A 文章编号：1674-7712 （2014） 04-0000-01

一、背景

近几年来，国内、国际很多标准和规范要求组织建设审计系统，并保证审计信息的安全性、完整性及唯一性。如国家等级保护技术要求中明确规定，第二级及以上信息系统必须记录并保存各种访问日志；国际安全管理标准及最佳实践ISO27001：2005及美国SOX法案，都要求建立严格、完整的企业内控体系；而从IT内控（或IT治理）的框架和技术要求来看，安全审计也是内控体系中必不可少的环节。

上述标准和规范要求中可以看出，组织必须要建立完备、有效和可靠的安全审计系统，辅助实现其IT内控和风险管理的业务目标。相关标准、政策的陆续出台，推动了“特权账号”管控与审计系统的快速发展。

为领先市场、把握先机，集团启动了“云计算关键技术研究及产业化”项目，旨在推动和加快“云计算”在集团的落地。项目共包含基础架构研究、SaaS架构研究、云计算安全建设等9个子项，本审计系统建设隶属于云计算安全建设子项，成为该子项的一个重要组成部分。

二、目标

作为云计算信息安全建设子项的一个重要组成部分，特权账号管控与审计系统建成后，为云计算中心所有管理员/运维人员账号（涵盖各应用系统、主机系统、网络安全等系统）提供统一账号、统一认证、统一授权及统一审计管理服务，为整体信息安全建设提供有力的支撑。

三、现状分析

目前，云计算中心各管理员/运维人员通过纸质或电子表格记录等方式自行保管系统账号及口令信息，每人维护多个系统，账号及口令管理“分散”。随着运维系统数量不断增多，这种“分散”的管理方式，存在如下诸多问题：

（1）针对系统的访问授权由系统管理员自行负责，一般都难于审计和约束；加之账号密码更新周期长，使得对系统的访问授权变得更难于管理；

（2）系统管理员负责对他所管理的系统的访问进行授权，但是，通常管理员没有足够精力对系统的访问进行严格审计；

（3）系统密码的设置、存储、更改由系统管理员负责，很难确保密码的安全存储，同时很难做到释放密码后适时更改。

四、建设方案概述

为解决上述问题，设计在云计算中心部署特权账号管控与审计系统，该系统由审计中心和应用托管中心两部分组成。审计中心负责“统一账户、统一认证、统一授权”管理，实现所有操作账号集中管理，同时把操作人员与被管资产账号关联，实现“统一授权”功能。而在应用发布中心，安装常用的第三方管理客户端，如mputty、Toad4DB2等客户端软件，以实现针对C/S客户端应用的审计需求。

本方案设计在云中心部署两套特权账号管控与审计平台，平台采用冗余架构设计，用于对云计算中心各类主机、网络、安全等设备提供统一入口，实现授权管理和操作审计功能。

五、角色和权限规划

特权账号管控与审计系统包含一个超级管理员，它具有最高的管理权限。通过该账号创建系统密码管理员、审计员及组管理员。组管理员包括网络组、主机组、安全组管理员等，各组管理员自行管理本组内密码管理员、审计员及运维人员，根据具体应用需求授予运维人员不同权限。

（一）应用发布设计

特权账号管控与审计系统中第三方应用由应用发布中心（AppBox）统一管理，通过设置发布中心相应配置文件，来提供所需的第三方应用，如RDP、IE、Toad等。

（二）信息存储策略

特权账号管控与审计系统的审计信息保存在系统自身硬盘中，审计信息保存时间为半年。根据信息存储容量需要，可配置大容量外接网络存储，以满足审计信息量不断增加的需求。

（三）主要功能实现

统一账号管理：为各租户操作人员配置账号，每个租户相关账号设置一个用户组，每个用户组创建一个组管理员账户，便于管理本组内账户操作。

统一认证管理：支持本地认证、Radius认证、LDAP及证书认证方式，鉴别信息以加密方式存储在本地数据库中，后期可结合数字证书以满足“双因素”认证要求。

统一授权管理：访问控制策略由“允许账号、目标主机、目标账号、目标应用”四个层面组成，通过建立各管理账号与目标主机的关联关系，来实现细粒度的访问控制。

统一审计管理：平台审计内容包含字符类、图形类、数据库等，通过历史记录查询、指令查看、过程回放等功能，对所有账号的操作行为做统一管理和审计。