【正文】 區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類 處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。 一 、計算機病毒的預(yù)防技術(shù) 計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。目前一些 入侵檢測系統(tǒng) 在應(yīng)用層入侵檢測中已有實現(xiàn) 、分析用戶及系統(tǒng)活動； ； ； ； ； ，并識別用戶違反安全策略的行為。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系 統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。 IDS 被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵 【 6】 。私鑰是保密的，用于解密其接收的公鑰加密過 13 的信息 【 5】 。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息， DES 是對稱加密算法中最具代表性的算法。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù) 與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。保護網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保 證網(wǎng)絡(luò)安全。 解決辦法：及時維護防火墻，當本機構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。防火墻軟件作為一種安 全工具，必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。而且由于該機構(gòu)處于政府專網(wǎng)內(nèi)，與 Inter 物理隔離，防火墻無法實現(xiàn)在線升級。這樣，當 IDS 發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。 問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如 IDS 的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。 例 2：未考慮與其他安全產(chǎn)品的配合使用 問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和 IDS（入侵檢測系統(tǒng)）產(chǎn)品。 同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。 解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。如果被保護網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。 問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導(dǎo)致公司員工無法使用 聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。加入防火墻后，給防火墻分配一個 VLAN 4 中的空閑 IP 地址，并把網(wǎng)關(guān)指向路由器；將 VLAN 5 接入到防火墻的一個網(wǎng)口上。內(nèi)部網(wǎng)劃分為 5 個 VLAN， VLAN VLAN 2 和 VLAN 3 分配給不同的部門使用，不同的 VLAN 之間根據(jù)部門級別設(shè)置訪問權(quán)限； VLAN 4 分配給交換機出口地址和路由器使用； VLAN 5 分配給公共服務(wù)器使用。 例 1：未制定完整的企業(yè)安全策略 網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚了負責(zé)防火墻安裝實施的信息部。 FireWall 一般安裝在路由器 上以保護一個子網(wǎng)，也可以安裝在一臺 主機 上，保護這臺主機不受侵犯。如果一個企業(yè)只是使用Inter 的 電子郵件 和 WWW 服務(wù)器向外部提供信息，那么就可以在 FireWall 上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。它可以允許或禁止一類具體的 IP 地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具體的應(yīng)用。通常企業(yè)為了維護內(nèi)部的信息系統(tǒng)安全，在 企業(yè)網(wǎng) 和 Inter 間設(shè)立 FireWall軟件 。它是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置 屏障 ，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問 Inter， Inter 上的人也無法和 公司 內(nèi)部的人進行通信。在電腦術(shù)語中，當然就不是這個意思了，我們可 以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng) (如 Inter)分開的方法，它實際上是一種 隔離技術(shù) 。 防火墻技術(shù) 防火墻 防火墻是 汽車 中一個部件的名稱。 10 第二章 計算機網(wǎng)絡(luò)安全防范策略 計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的 組件都無法確保網(wǎng)絡(luò)信息的安全性。 ⑤惡意攻擊 就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。 ④網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷 網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和 各種網(wǎng)絡(luò)設(shè)備的選擇等。 ③網(wǎng)絡(luò)操作系統(tǒng)的漏洞 網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅 9 負責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。隨著互聯(lián) 網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。另外，為達到預(yù)定目的，對出售給潛在敵手的計算機芯片進行暗中修改，在 CPU 中設(shè)置“芯片陷阱”，可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。可以說，由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當前網(wǎng)絡(luò)安全的 最大隱患。可以說世界上任何一個計算機網(wǎng)絡(luò)都不是絕 對安全的 ② 黑客攻擊后果嚴重 近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網(wǎng)絡(luò)中斷，軍事指揮系統(tǒng)失靈，電力供水系統(tǒng)癱瘓，銀行金融系統(tǒng)混亂??危及國家的政治、軍事、經(jīng)濟的安全與穩(wěn)定，在世界各國造成了難以估量的損失。在網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存?。粩?shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。例如：授權(quán)用戶超出了訪問權(quán)限進行數(shù)據(jù)的更改活動；非法用戶繞過安全內(nèi)核，竊取信息。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。 ? 操作系統(tǒng)存在的安全問題 操作系統(tǒng) 是作為一個支撐軟件，使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境。更有基于競爭需要，利用技術(shù)手段對目標機信息資源進行竊取。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負面影響。 ? 網(wǎng)絡(luò)資源濫用 網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡(luò)資源的濫用。各種各樣的安全漏洞和“后門”，這是網(wǎng)絡(luò)安全的主要威脅之一。 ? 管理的欠缺及資源濫用 很多上了互 聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認識，管理上存在很多漏洞，特別是國內(nèi)的企業(yè)，只是提供了接入 Inter 的通道，對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問題的根本原因。 ? 各種病毒 病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。 Inter 最 初的設(shè)計考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機制。這些攻擊手段都是通過尋找系統(tǒng)的弱點 【 2】 ，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。 （如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統(tǒng)掉電、死機等系統(tǒng)崩潰） 。威脅分別有： （如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。 自然威脅 自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。 網(wǎng)絡(luò)信息安全的主要威脅 網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時問的變化而變化。 從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。 6 第一章 網(wǎng)絡(luò)安全概述 計算機網(wǎng)絡(luò)安全的含義 計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。 為確保信息的安全與網(wǎng)絡(luò)暢通，研究計算機網(wǎng)絡(luò)的安全與防護措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網(wǎng)絡(luò)安全問題離自己尚遠，這一點從大約有 40%以上的 用戶特別是企業(yè)級用戶沒有安裝防火墻 (Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當引起我們的注意和重視。 The puter work technology, especially in the rapid development of the Inter is being more and more widely applied in brought an unprecedented huge amounts of information, w