【文章內(nèi)容簡介】 Server服務(wù)，只需輸入一個路徑，就可以看到Web目錄下的所有文件清單；又如很多程序只要接受到一些異?；蛘叱L的數(shù)據(jù)和參數(shù)，就會導致緩沖區(qū)溢出；結(jié)構(gòu)漏洞比如在某個重要網(wǎng)段由于交換機、集線器設(shè)置不合理，造成黑客可以監(jiān)聽網(wǎng)絡(luò)通信流的數(shù)據(jù)；又如防火墻等安全產(chǎn)品部署不合理，有關(guān)安全機制不能發(fā)揮作用，麻痹技術(shù)管理人員而釀成黑客入侵事故；信任漏洞比如本系統(tǒng)過分信任某個外來合作伙伴的機器，一旦這臺合作伙伴的機器被黑客入侵，則本系統(tǒng)的安全受嚴重威脅。　網(wǎng)絡(luò)軟件的漏洞和“后門無論多么優(yōu)秀的網(wǎng)絡(luò)軟件，都可能存在這樣那樣的缺陷和漏洞，而那些水平較高的黑客就將這些漏洞和缺陷作為網(wǎng)絡(luò)攻擊的首選目標。在曾經(jīng)出現(xiàn)過的黑客攻擊事件中，大部分都是因為軟件安全措施不完善所招致的苦果。一般，軟件的“后門”都是軟件公司的設(shè)計和編程人員為了為方便設(shè)計而設(shè)置的，很少為外人所知。不過，一旦“后門”公開或被發(fā)現(xiàn)，其后果將不堪設(shè)想 “后門”的解釋后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強的安全設(shè)置。 后門包括從簡單到奇特，有很多的類型。簡單的后門可能只是建立一個新的賬號，或者接管一個很少使用的賬號；復雜的后門（包括木馬）可能會繞過系統(tǒng)的安全認證而對系統(tǒng)有安全存取權(quán)。例如一個login程序，你當輸入特定的密碼時，你就能以管理員的權(quán)限來存取系統(tǒng)。 后門能相互關(guān)聯(lián)，而且這個技術(shù)被許多黑客所使用。例如，黑客可能使用密碼破解一個或多個賬號密碼，黑客可能會建立一個或多個賬號。一個黑客可以存取這個系統(tǒng)，黑客可能使用一些技術(shù)或利用系統(tǒng)的某個漏洞來提升權(quán)限。黑客可能使用一些技術(shù)或利用系統(tǒng)的某個漏洞庭湖來提升權(quán)限。黑客可能會對系統(tǒng)的配置文件進行小部分的修改，以降低系統(tǒng)的防衛(wèi)性能。也可能會安裝一個木馬程序，使系統(tǒng)打開一個安全漏洞，以利于黑客完全掌握系統(tǒng)。 以上是在網(wǎng)絡(luò)上常見的對“后門”的解釋，其實我們可以用很簡單的一句話來概括它：后門就是留在計算機系統(tǒng)中，供某位特殊使用都通過某種特殊方式控制計算機系統(tǒng)的途徑！　后門的分類后門可以按照很多方式來分類，標準不同自然分類就不同，為了便于大家理解，我們從技術(shù)方面來考慮后門程序的分類方法：1網(wǎng)頁后門 此類后門程序一般都是服務(wù)器上正常的web服務(wù)來構(gòu)造自己的連接方式，比如現(xiàn)在非常流行的、cgi腳本后門等。2線程插入后門 利用系統(tǒng)自身的某個服務(wù)或者線程，將后門程序插入到其中，是現(xiàn)在最流行的一個后門技術(shù)。3擴展后門 所謂的“擴展”，是指在功能上有大的提升，比普通的單一功能的后門有很強的使用性，這種后門本身就相當于一個小的安全工具包，能實現(xiàn)非常多的常駐見安全功能。4 c/s后門 和傳統(tǒng)的木馬程序類似的控制方法，采用“客記端/服務(wù)端”的控制方式，通過某種特定的訪問方式來啟動后門進而控制服務(wù)器。[3]４　網(wǎng)絡(luò)安全防范技術(shù)和措施　物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征?！≡L問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問控制策略。1 入網(wǎng)訪問控制 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。 網(wǎng)絡(luò)管理員應該可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。用戶帳號應只有系統(tǒng)管理員才能建立。用戶口令應是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網(wǎng)絡(luò)應能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應能對用戶的帳號加以限制，用戶此時應無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。2網(wǎng)絡(luò)的權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。 網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當于一個過濾