【文章內(nèi)容簡介】 算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。3．4 系統(tǒng)安全系統(tǒng)安全問題是指服務(wù)器或主機的操作系統(tǒng)本身的安全。如系統(tǒng)中用戶賬號和口令設(shè)置、文件和目錄存權(quán)限設(shè)置、系統(tǒng)安全管理設(shè)置，以及服務(wù)程序使用管理。在網(wǎng)絡(luò)服務(wù)中，網(wǎng)絡(luò)操作系統(tǒng)起著非常重要的組織作用，所以操作系統(tǒng)的安全關(guān)系到網(wǎng)絡(luò)的整體性能。系統(tǒng)安全是人們?yōu)榻鉀Q復(fù)雜系統(tǒng)的安全性問題而開發(fā)、研究出來的安全理論、方法體系。系統(tǒng)安全的基本原則就是在一個新系統(tǒng)的構(gòu)思階段就必須考慮其安全性的問題，制定并執(zhí)行安全工作規(guī)劃（系統(tǒng)安全活動）。并且把系統(tǒng)安全活動貫穿于生命整個系統(tǒng)生命周期，直到系統(tǒng)報廢為止。3．5 應(yīng)用安全應(yīng)用安全問題通常是指主機上所安裝的應(yīng)用軟件的安全問題以及使用人員的人為因素造成的安全問題。例如：有的Web服務(wù)器的HTTP就有安全漏洞，在使用自己編寫的的應(yīng)用程序時，可能因為程序員對系統(tǒng)安全漏洞認識不足，設(shè)計與開發(fā)中對安全問題重視不夠，造成的本身安全問題。另外，如網(wǎng)上的不可靠站點下載未經(jīng)嚴格驗證的應(yīng)用軟件會帶入一些木馬、病毒，甚至打開匿名郵件都可能被計算機病毒感染。使用人員不要進一些不良網(wǎng)站，不明網(wǎng)站，自己不要有意在電腦上、主機上安裝非法軟件，如盜號軟件、黑客攻擊軟件等。使用人員在使用時，要嚴格按照使用操作程序進行。局域網(wǎng)管理人員也要具有一定的網(wǎng)絡(luò)安全管理意識。建議在網(wǎng)絡(luò)中對業(yè)務(wù)匯聚分流路由器和城域內(nèi)網(wǎng)絡(luò)設(shè)備本身實現(xiàn)一定的安全考慮。對設(shè)備本身的安全保護建議作如下考慮：（1） 用戶口令的認證，本地認證或Radius,TACACS。（2） 用戶級別的劃分，將可進入到設(shè)備的管理用戶分為多個級別，對不同級別的用戶具有不同的訪問權(quán)限。（3） 設(shè)置Log記錄，對網(wǎng)絡(luò)設(shè)備的任何有效配置和改動均需要相應(yīng)的記錄。對于用戶口令安全方面的考慮，建議采用集中管理的方式，在電信網(wǎng)管中心配置訪問控制器，所有設(shè)備的用戶名、口令、權(quán)限控制都統(tǒng)一管理，避免因分散式管理帶來的安全漏洞和管理的復(fù)雜性。在用戶的資格認證方面，有四種常用的認證方式，分別是：（1） 固定用戶名/口令；（2） 時效用戶名/口令；（3） 一次性口令；（4） 令牌卡/軟令牌。4 局域網(wǎng)安全危險分析局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時局域網(wǎng)采用的技術(shù)比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。目前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學(xué)研究的大型研究所，還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機密存儲在計算機和網(wǎng)絡(luò)中，如何有效地保護這些機密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注！防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò)；另一套用于連接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時使內(nèi)外網(wǎng)物理斷開；另外采用防火墻、入侵檢測設(shè)備等。但是，各種計算機網(wǎng)絡(luò)、存儲數(shù)據(jù)遭受的攻擊和破壞，80%是內(nèi)部人員所為！ (Computer World，January 2002)。來自內(nèi)部的數(shù)據(jù)失竊和破壞，遠遠高于外部黑客的攻擊！事實上，來自內(nèi)部的攻擊更易奏效！4．1 內(nèi)部網(wǎng)絡(luò)更容易受到攻擊為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。(2)在對Internet嚴防死守和物理隔離的措施下，對網(wǎng)絡(luò)的破壞，大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因為目前針對內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計算機技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進行操作，利用內(nèi)網(wǎng)速度快的特性，對關(guān)鍵數(shù)據(jù)進行竊取或者破壞。(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。(8)涉密信息不僅僅限于服務(wù)器，同時也分布于各個工作計算機中，目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。4．2 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀目前很多企事業(yè)單位都加快了企業(yè)信息化的進程，在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國家有關(guān)規(guī)定實行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離；在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計算機集成制造(CIMS)或企業(yè)資源計劃(ERP)，逐步實現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問題解決鏈。在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業(yè)中普遍存在的焦點問題。4．3 網(wǎng)絡(luò)安全技術(shù)和策略內(nèi)部網(wǎng)絡(luò)的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復(fù)這三個大方向，那么安全技術(shù)和策略的實現(xiàn)也應(yīng)從這三個方面來考慮。積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面。內(nèi)部安全漏洞在于人，而不是技術(shù)。因此，應(yīng)重點由發(fā)現(xiàn)問題并填補漏洞迅速轉(zhuǎn)向查出誰是破壞者、采取彌補措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰，就無法解決問題。真正的安全策略的最佳工具應(yīng)包括實時審查目錄和服務(wù)器的功能，具體包括：不斷地自動監(jiān)視目錄，檢查用戶權(quán)限和用戶組帳戶有無變更；警惕地監(jiān)視服務(wù)器，檢查有無可疑的文件活動。無論未授權(quán)用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的安全管理工具會通知相應(yīng)管理員，并自動采取預(yù)定行動。在積極查詢的同時，也應(yīng)該采用必要的攻擊防范手段。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議，如HTTP、 Telnet，其中的用戶名和密碼的傳遞采用的是明文傳遞的方式，極易被竊聽和獲取。因此對于數(shù)據(jù)的安全保護，理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術(shù)，同時采用安全的密鑰分發(fā)技術(shù)，這樣既防止用戶對業(yè)務(wù)的否認和抵賴，同時又防止數(shù)據(jù)遭到竊聽后被破解，保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃浴９艉蠡謴?fù)首先是數(shù)據(jù)的安全存儲和備份，在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復(fù)；針對WWW服務(wù)器網(wǎng)頁安全問題，實施對 Web文件內(nèi)容的實時監(jiān)控，一旦發(fā)現(xiàn)被非法篡改，可及時報警并自動恢復(fù)，同時形成監(jiān)控和恢復(fù)日志，并提供友好的用戶界面以便用戶查看、使用，有效地保證了Web文件的完