【正文】 病毒程序相伴相隨的就是黑客程序了。在這些病毒防護(hù)軟件中基本上都同時(shí)帶有軟件防火墻系統(tǒng)、漏洞掃描工具和木馬查殺工具。這些漏洞一般都可通過安裝在應(yīng)用過程中開發(fā)商后面開發(fā)的安全補(bǔ)丁程序來修復(fù)。 除此之外，也有一些專門的漏洞掃描工具，如微軟自己提供的免費(fèi) MBSA（微軟基準(zhǔn)安全分析器 ）， Linux系統(tǒng)中的 Nessus等。 網(wǎng)絡(luò)用戶密碼盜用和權(quán)限濫用 這是一非常嚴(yán)重的安全問題，它同時(shí)可以在企業(yè)內(nèi)部和外部網(wǎng)絡(luò)中發(fā)生。 至于用戶權(quán)限的濫用那主要是因?yàn)榫W(wǎng)絡(luò)管理員沒有正確配置用戶權(quán)限。具體的郵件加密和數(shù)字簽名在本書的第八章詳細(xì)介紹。 防止這類外網(wǎng)入侵的主要安全措施就是架設(shè)防火墻。如存儲媒介中的數(shù)據(jù)讀不出來，存儲媒價(jià)丟失、損壞等。這些早期的嘗試大部分是試驗(yàn)性的，僅是相對簡單的自行復(fù)制，在執(zhí)行時(shí)顯示簡單的惡作劇而已。在已感染系統(tǒng)上創(chuàng)建的后門使得黑客們可以運(yùn)行他們所選擇的任何軟件，進(jìn)行任何惡意的攻擊行為。 病毒的產(chǎn)生 目前有這么多病毒，那究竟是如何產(chǎn)生的呢？究其根源不外乎以下幾個(gè)： ? 開玩笑，搞惡作劇 ? 測試自己的病毒程序開發(fā)能力 ?出于個(gè)人報(bào)復(fù) ? 用于版權(quán)保護(hù) 本節(jié)詳細(xì)內(nèi)容參見書本的 P11頁。但黑客程序與病毒程序又有著本質(zhì)的區(qū)別，有些黑客程序其實(shí)本身并不具有多大的危害性，它們自身一般并不破壞目標(biāo)主機(jī)系統(tǒng)和數(shù)據(jù)，只是被黑客們利用進(jìn)行了一些非法活動。從大的方面來劃分的話，歸納起來一般不外乎以下幾種： ? 網(wǎng)絡(luò)報(bào)文嗅探 嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口，截獲目的計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種技術(shù)。 下面是幾種典型的拒絕服務(wù)攻擊行為特征和防御方法： ? 死亡之 Ping（ Ping of death）攻擊 “死亡之 Ping”的攻擊原理就是來源于一般路由器對包的最大大小有限制（通常是在 64KB以內(nèi)），當(dāng)收到大小超過64KB的 ICMP包時(shí)就會出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致 TCP/IP堆棧崩潰，從而使接受方計(jì)算機(jī)宕機(jī)。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請求，因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個(gè)地址做出回答，最終結(jié)果可導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此 ICMP應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，這也就達(dá)到了黑客們追求的目的了。假消息攻擊類型中主要包括： DNS高速緩存污染和偽造電子郵件兩種。這個(gè)安全策略必須是從用戶接入終端、網(wǎng)絡(luò)設(shè)備到中心服務(wù)器提供等一系列端到端的安全解決方案，而不僅是表現(xiàn)上的病毒防護(hù)系統(tǒng)和防火墻的安裝。 1. 網(wǎng)絡(luò)安全隱患 企業(yè)網(wǎng)絡(luò)方面的安全隱患主要表現(xiàn)在以下方面： ? 網(wǎng)絡(luò)拓?fù)洳缓侠韼淼陌踩[患 ? 病毒和黑客安全隱患 ? 數(shù)據(jù)下載和數(shù)據(jù)存儲安全隱 ? 用戶身份認(rèn)證安全隱 ? 防火墻的局限性隱 ? 服務(wù)器操作系統(tǒng)本身的安全漏洞隱 ? IT管理漏洞、文件共享和用戶權(quán)限安全隱患 物理安全是指網(wǎng)絡(luò)設(shè)備或工作場所使用不當(dāng)可能帶來的安全隱患。然后對照當(dāng)前企業(yè)網(wǎng)絡(luò)安全需求對原有安全策略進(jìn)行評估。 好的安全策略文檔在設(shè)計(jì)時(shí)應(yīng)該把設(shè)計(jì)目的、相關(guān)文檔的引用、企業(yè)背景、問題覆蓋范圍及應(yīng)用的對象、職責(zé)劃分、實(shí)施時(shí)間表、策略陳述等方面包含進(jìn)去。 。 ? 保證網(wǎng)絡(luò)運(yùn)行的性能，對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性。這些信息可以用來劃分?jǐn)?shù)據(jù)類型、存儲位置，并且可以滿足需求。 ? 機(jī)房安全 主要表現(xiàn)在機(jī)房的管理上。它必須從整個(gè)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全角度考慮，而不是像我們平常所認(rèn)為僅是外部網(wǎng)絡(luò)的病毒入侵和黑客攻擊。 黑客攻擊的十大最新發(fā)展趨勢 當(dāng)前黑客攻擊技術(shù)呈以下幾十個(gè)方面的發(fā)展趨： ? 攻擊工具功能不斷增強(qiáng)，攻擊過程實(shí)現(xiàn)自動化 ? 攻擊工具越來越智能化 ? 攻擊門檻越來越低 ? 受攻擊面更廣 ? 變種病毒數(shù)量不斷翻番，防不勝防 ? 漏洞發(fā)現(xiàn)得更快 ? 防火墻也開始變得 “ 無奈 ” ? 國產(chǎn)木馬、后門程序成為主流 ? “ 網(wǎng)絡(luò)釣魚 ” 形式的詐騙活動增多 ? 黑客攻擊 “ 合法化 ” 、 “ 組織化 ” 本節(jié)詳細(xì)內(nèi)容參見書本的 P24~P26頁。同時(shí) Fraggle攻擊使用了特定的端口，攻擊原理與 Smurf攻擊基本類似。 ?淚滴（ Teardrop）攻擊 實(shí)施淚滴攻擊的黑客們在截取 IP數(shù)據(jù)包后，把偏移字段設(shè)置成不正確的值，這樣接收端在收后這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重合這些拆分的數(shù)據(jù)包，但接收端會不斷償試，這樣就可能致使目標(biāo)計(jì)算機(jī)操作系統(tǒng)因資源耗盡而崩潰。 ? 密碼攻擊 密碼攻擊通過多種不同方法實(shí)現(xiàn)，包括蠻力攻擊（ brute force attack），特洛伊木馬程序， IP欺騙和報(bào)文嗅探。同時(shí)，黑客程序一般不具有自我復(fù)制功能，而這一功能卻是病毒的基本特點(diǎn)。 病毒的分類 目前來說，病毒的種類非常多，總的來說可以按以下幾個(gè)標(biāo)準(zhǔn)來進(jìn)行劃分。 病毒編寫者還開始設(shè)計(jì)病毒攻擊的結(jié)構(gòu)并使用社會工程，來開發(fā)具有可信外觀的電子郵件。然而， 1986年出現(xiàn)的其他首批病毒還包括 Virdem（第一個(gè)文件病毒）和 PCWrite（第一個(gè)特洛伊木馬病毒）。具體將在本書的第十章介紹，但要了解數(shù)據(jù)存儲與備份的詳細(xì)知識和應(yīng)用方案請參見本系列 《 網(wǎng)管員必讀 ——服務(wù)器與數(shù)據(jù)存儲 》 一書。另外，防火墻不僅可以在內(nèi)、外部網(wǎng)絡(luò)之間架設(shè)，還可在內(nèi)部網(wǎng)絡(luò)的關(guān)鍵部門與其他部門之間架設(shè)，用于保護(hù)關(guān)鍵部門。如果企業(yè)規(guī)模比較大，關(guān)鍵部門人員和重要數(shù)據(jù)也較多，這時(shí)就可考慮物理網(wǎng)絡(luò)隔離措施。當(dāng)這些用戶中有用戶因某種好奇心，或者出于一種對公司，或某員工不