【正文】 出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。這些威脅可以宏觀地分為自然威脅和人為威脅。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體。 （如偵聽微機(jī)操作過 程）。 人為威脅 — 黑客攻擊與計(jì)算機(jī)病毒 人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種： ? 網(wǎng)絡(luò)缺陷 Intemet 由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。 7 ? 黑客攻擊 自 1998 年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。像 Nimda 和 CodeRed 的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。軟件的漏洞和后門：隨著 CPU 的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強(qiáng)大如微軟所開發(fā)的 Windows 也存在。 ? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為 對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計(jì)、 IDS 等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。等行為極大地降低了員工的工作效率。 ? 信息泄漏 惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴(kuò)散，危及社會、國家、體和個人利益。在眾多人為威脅中來自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重，計(jì)算機(jī)病毒是利用 程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。 ? 數(shù)據(jù)庫存儲的內(nèi)容存在的安全問題 數(shù)據(jù)庫管理系統(tǒng) 大量的信息存儲在各種各樣的 數(shù)據(jù)庫 里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。對于數(shù)據(jù)庫的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完 整性。 8 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因 ① 網(wǎng)絡(luò)安全天生脆弱 計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的，換句話說，安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來的致命弱點(diǎn)。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。 ③ 網(wǎng)絡(luò)殺手集團(tuán)化 目前，網(wǎng)絡(luò)殺手除了一般的黑客外，還有一批具有高精尖技術(shù)的“專業(yè)殺手”，更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”，其規(guī)?；?、專業(yè)性和破壞程度都使其他黑客望塵莫及。目前，美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素 ①網(wǎng)絡(luò)資源的共享性 資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會。 ②網(wǎng)絡(luò)的開放性 網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會成為網(wǎng)絡(luò)的安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等，以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。在汽車中，利用防火墻把乘客和 引擎 隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時還能讓 司機(jī) 繼續(xù)控制引擎。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制 尺度 ，它能允許 你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的 黑客 來訪問你的網(wǎng)絡(luò)。 防火墻（ FireWall）成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全 技術(shù) 性措施。作為 Inter網(wǎng)的 安全性保護(hù)軟件， FireWall 已經(jīng)得到廣泛的應(yīng)用。 企業(yè)信息系統(tǒng) 對于來自 Inter 的訪問，采取有選擇的接 收方式。如果在某一臺 IP 主機(jī)上有需要禁止的信息或危險的用戶，則可以通過設(shè)置使用 FireWall 過濾掉從該主機(jī)發(fā)出的包。這對于 路由器 來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。 為了讓大家更好地使用防火墻，我們從反面列舉 4 個有代表性的失敗案例。 該企業(yè)網(wǎng)絡(luò)環(huán)境如圖 所示： 11 圖 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過路由器和 ISP 連接。在沒有加入防火墻之前，各個 VLAN 中的 PC 機(jī)能夠通過交換機(jī)和路由器不受限制地訪問 Inter。這樣，防火墻就把整個網(wǎng)絡(luò)分為 3個區(qū)域 : 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。 問題分析：我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門外的目的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許 多 PC 機(jī)通過電話線和 Inter 相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些 PC 機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。比如說，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號上網(wǎng) 。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開 使用的 TCP/UDP 端口，使得企業(yè)員工可以在 工余時間使用 聊天軟件。當(dāng)系統(tǒng)管理員利用 IDS 發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào) 12 整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡(luò)帶來不良影響。 解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或 IDS 等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后 確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是 IDS 產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。 例 3：未經(jīng)常維護(hù)升級防火墻 問題描述：某政府機(jī)構(gòu)購置防火墻后已安全運(yùn)行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡(luò)一直保持 暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。 問題分析：安全與入侵永遠(yuǎn)是一對矛盾。作為安全管理員來說，應(yīng)當(dāng)時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補(bǔ)丁。 從以上三個案例我們可以得出一些結(jié)論：防火墻只是保證安全的一種技術(shù)手段，要想真正實(shí)現(xiàn)安全，安全策略是核心問題。而保護(hù)網(wǎng)絡(luò)安全是動態(tài)的過程，防火墻需要積極地維護(hù)和升級。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù)，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。數(shù)據(jù)加密實(shí)質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和 置換的變換算法，這種變換是對稱密鑰算法”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。典型的公鑰加密算法 ~nRSA 是目前使用比較廣泛的加密算法 入侵檢測技術(shù) 入侵檢測系統(tǒng) (IntrusionDetectionSystem， IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系 統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。 入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面： 1) 分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作； 2) 檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞； 3) 識別反映已知進(jìn)攻的活動模式并向相關(guān)人上報警； 4) 對異常行為模式的統(tǒng)計(jì)分析； 5) 能夠?qū)崟r地對檢測到的入侵行為進(jìn)行反應(yīng)； 6) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 7) 可以發(fā)現(xiàn)新的攻擊模式； 入侵檢測 方法 方法有很多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。 入侵檢測技術(shù)同樣 存在問題 , 導(dǎo)致誤報率和漏報率 題 , 即期間的信息交換 ,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊 3. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測 , 并且其本身構(gòu)建易受攻擊 4. 入侵檢測系統(tǒng)體系結(jié)構(gòu)問題 防病毒技術(shù) 計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止 計(jì)算機(jī)病毒對系統(tǒng)的傳染和 14 破壞。也就是說，計(jì)算機(jī)病毒的預(yù)防是采用對病毒的規(guī)則進(jìn)行分類處理，而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。 預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。以及可能造成危害的寫命令，并且判斷 磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進(jìn)行寫操作，是否正在進(jìn)行寫操作，磁盤是否處于寫保護(hù)等，來確定病毒是否將要發(fā)作。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。實(shí)際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。具體來說，計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對磁盤的操作，尤其是寫操作。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護(hù)，監(jiān)視在計(jì)算機(jī)和驅(qū)動器之間產(chǎn)生的信號。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對 已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。 二 、檢測病毒技術(shù) 計(jì)算機(jī)病毒的檢測技術(shù)是指通過一定的技術(shù)手段判定出特定計(jì)算機(jī)病毒的一種技術(shù)。另一種是不針對具體病毒程序的自身校驗(yàn)技術(shù)。 三 、清除病毒技術(shù) 計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果，是計(jì)算機(jī)病毒傳染程序的一種逆過程。這類軟件技術(shù)發(fā)展往往是被動的，帶有滯后性。目前市場上流行的 Intel 公司的 PC_CILLIN、 CentralPoint 公司的 CPAV，及我國的 LANCl