計算機網路安全的現狀及對策

　　隨著計算機時代的來臨,計算機網路技術發展迅速,特別是網際網路應用越來越廣泛,資訊量也越來越多,每天都有大量網站受到攻擊,網路資訊的安全性已受到了人們廣泛的關注。下面是小編收集整理的，希望對大家有幫助~~

　　[摘 要]

　　21世紀全世界的計算機都將通過Internet聯到一起，網路安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一資訊社會、網路社會的時候，我國將建立起一套完整的網路安全體系，特別是從政策上和法律上建立起有中國自己特色的網路安全體系。

　　網路安全是國家發展所面臨的一個重要問題。對於這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見網路安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是資訊保安保障系統的一個重要組成部分，甚至應該看到它對我國未來電子化、資訊化的發展將起到非常重要的作用一一。

　　前兩章分別介紹了緒論和需求分析。第三章開始闡述了我國網路安全的現狀及網路安全問題產生的原因，並對我們網路安全現狀進行了系統的分析，同時舉出一個我國某企業網路設計的例項，對其網路安全問題進行分析並給予解決方案。第四章介紹了增強網路安全的方法及對解決我國網路安全問題提出幾點建議。第五章介紹了威脅網路安全的因素及防範技術，提出了病毒和黑客的相關的概念，並舉出例項說明了病毒和黑客攻擊帶來的嚴重後果一文章一出自

　　關鍵詞：網路安全現狀，防火牆，病毒，黑客

　　第1章 緒 論

　　網路安全問題已成為資訊時代人類共同面臨的挑戰，國內的網路安全問題也日益突出。具體表現為：計算機系統受病毒感染和破壞的情況相當嚴重;電腦黑客活動已形成重要威脅;資訊基礎設施面臨網路安全的挑戰;資訊系統在預測、反應、防範和恢復能力方面存在許多薄弱環節;網路政治顛覆活動頻繁

　　文中分析了制約提高我國網路安全防範能力的主要因素，就政府如何提高我國網路的安全性提出幾點建議：儘快制定具有戰略眼光的“國家網路安全計劃”;建立有效的國家資訊保安管理體系;加快出臺一系列相關法律法規，改變目前相關法律法規太籠統、缺乏操作性的現狀;在資訊科技及其關鍵產品的研發方面，提供具有超前意識的全域性性目標和相關產業政策;建立一個功能齊備、全域性協調的安全技術平臺，與資訊保安管理體系相互支撐和配合一論文。

　　眾所周知，作為全球使用範圍最大的資訊網，Internet自身協議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由於在早期網路協議設計上對安全問題的忽視，以及在使用和管理上的無政府狀態，逐漸使Internet自身的安全受到嚴重威脅，與它有關的安全事故屢有發生。對網路安全的威脅主要表現在：非授權訪問、冒充合法使用者、破壞資料完整性、干擾系統正常執行、利用網路傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。

　　網際網路使用者存在著多種多樣的安全漏洞，在安裝作業系統和應用軟體及網路的除錯中，如果沒有對相關安全漏洞進行掃描並加以修補，遇到黑客的惡意攻擊將會造成重大的損失。例如，創聯萬網託管的伺服器受到黑客攻擊，就是因為未能及時修復最新漏洞，給黑客可乘之機，出現幾十臺伺服器不能正常執行，並有部分客戶的資料丟失的重大事故，給客戶造成了重大的損失。因此，網際網路使用者應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網路安全和資訊保安的重視，形成立體防護，由被動修補變成主動的防範，把出現事故的概率降到最低。

　　以計算機網路為核心、以實現資源共享和協同工作為目標的各種資訊系統，已成為當今社會執行和技術基礎。尤其是電子商務環境下的資訊系統的建設和發展日趨複雜，系統安全任務更加艱鉅，如何保障系統安全已成為不可迴避的時代課題，更是電子商務發展和應用面臨的嚴峻挑戰。 資訊系統的安全問題十分複雜，從技術角度來劃分,資訊系統的安全包括兩個方面：網路安全和資訊保安，兩者既有區別，又有聯絡，都屬於電腦保安學或者安全系統工程的研究與應用領域。為了保障網路和資訊的安全，人們研究和開發出各種安全技術和產品，以期對各個環節提供安全保護，例如防火牆、安全路由器、身份認證系統、網路和系統安全性分析系統等。其中，如何有效地防範網路入侵Network Intrusion,將其可能造成的安全風險降到最低限度，成為近年來網路和資訊保安領域理論研究和技術開發與應用的熱點問題之一。在此背景下，各種基於

　　審計分析和監測預警技術的入侵技術和系統應運而生。因此，作為整個網路安全體系中的一個重要組成部分，有必要針對網路的安全問題，對資訊系統面臨的網路入侵的安全技術和系統的工作原理、方法和應用，以期待與其它有效的安全技術和方法的結合，從而完善網路的安全保障體系。

　　第2章 需求分析

　　隨著網路技術的發展，特別是20世紀90年代以來國際網際網路的發展，網路安全問題越來越受到人們的重視，網路安全成為計算機網路方面的研究熱點。

　　網路安全對人們的工作和生活有著廣泛的影響。近幾年，隨著電子商務的迅速發展，電子通訊、電子銀行、線上交易已經成為人們日常生活重要的組成部分，這就要求網路提供相應的安全措施，以保障廣大使用者的權益。網路安全的漏洞也為網路黑客們提供了廣闊的生存空間。他們所開展的各種各樣的攻擊，會直接或間接地影響到網路的正常工作和人們的生活。同時“電子戰”、“資訊戰”已成為國與國之間、商家與商家之間的一種重要的攻擊手段。這種攻擊與 反攻擊、入侵與反入侵的不斷鬥爭的環境促使網路安全技術得到全面迅速的發展。

　　第3章 我國網路安全現狀

　　3.1 網路安全問題的產生

　　可以從不同角度對網路安全做出不同的解釋。一般意義上，網路安全是指資訊保安和控制安全兩部分。國際標準化組織把資訊保安定義為“資訊的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。

　　網際網路與生俱有的開放性、互動性和分散性特徵使人類所憧憬的資訊共享、開放、靈活和快速等需求得到滿足。網路環境為資訊共享、資訊交流、資訊服務創造了理想空間，網路技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由於網際網路的上述特性，產生了許多安全問題：

　　1.資訊洩漏、資訊汙染、資訊不易受控。例如，資源未授權侵用、未授權資訊流出現、系統拒絕資訊流和系統否認等，這些都是資訊保安的技術難點。 2.在網路環境中，一些組織或個人出於某種特殊目的，進行資訊洩密、資訊破壞、資訊侵權和意識形態的資訊滲透，甚至通過網路進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。 3.網路運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由於人們利益、目標、價值的分歧，使資訊資源的保護和管理出現脫節和真空，從而使資訊保安問題變得廣泛而複雜。 4.隨著社會重要基礎設施的高度資訊化，社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓，包括國防通訊設施、動力控制網、金融系統和政府網站等。

　　3.2 我國網路建設中存在的主要問題分析

　　1 全國性的管理協調和相應支援缺乏

　　我國的網路建設總體上處於一種分散管理的狀態一一。

　　網路安全問題與計算機病毒不同，系統安全管理是否得當決定了系統的安全指數。而安全管理是一個動態過程，涉及的方面也遠多於反病毒措施，可以說以前的反計算機病毒工作只是一個技術問題，而現在的網路安全則是一個系統工程。全域性管理的缺乏，使得我國的網路安全水平極端的不平衡，網路安全管理人員只能依靠自己的力量開展工作，無所依靠，從而大量商業、政府網站的安全水平低下，網路入侵事故頻發。

　　2 我國網路安全問題日益突出

　　目前，我國網路安全問題日益突出的主要標誌是：

　　1 計算機系統遭受病毒感染和破壞的情況相當嚴重。據國家計算機病毒應急處理中心副主任張健介紹，從國家計算機病毒應急處理中心日常監測結果看來，計算機病毒呈現出異常活躍的態勢。據2001年調查，我國約73%的計算機使用者曾感染病毒，2003年上半年升至83%。其中，感染3次以上的使用者高達59%，而且病毒的破壞性較大，被病毒破壞全部資料的佔14%，破壞部分資料的佔57%。

　　2 電腦黑客活動已形成重要威脅。網路資訊系統具有致命的脆弱性、易受攻擊性和開放性，從國內情況來看，目前我國95%與網際網路相聯的網路管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

　　3 資訊基礎設施面臨網路安全的挑戰。面對資訊保安的嚴峻形勢，我國的網路安全系統在預測、反應、防範和恢復能力方面存在許多薄弱環節。據英國《簡氏戰略報告》和其它網路組織對各國資訊防護能力的評估，我國被列入防護能力最低的國家之一，不僅大大低於美國、俄羅斯和以色列等資訊保安強國，而且排在印度、韓國之後。近年來，國內與網路有關的各類違法行為以每年30%的速度遞增。據某市資訊保安管理部門統計，2003年第1季度內，該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次資訊系統癱瘓。該市某公司的映象網站在10月份1個月內，就遭到從外部100多個IP地址發起的惡意攻擊。

　　4 網路政治顛覆活動頻繁。近年來，國內外反動勢力利用網際網路組黨結社，進行鍼對我國黨和政府的非法組織和串聯活動，猖獗頻繁，屢禁不止一文章一出自

　　3.3 制約提高我國網路安全防範能力的因素

　　當前，制約我國提高網路安全防禦能力的主要因素有以下幾方面。

　　1.缺乏自主的計算機網路和軟體核心技術

　　我國資訊化建設過程中缺乏自主技術支撐。電腦保安存在三大黑洞：CPU晶片、作業系統和資料庫、閘道器軟體大多依賴進口。資訊保安專家、中國科學院高能物理研究所研究員許榕生曾一針見血地點出我國資訊系統的要害：“我們的網路發展很快，但安全狀況如何?現在有很多人投很多錢去建網路，實際上並不清楚它只有一半根基，建的是沒有防範的網。有的網路顧問公司建了很多網，市場布好，但建的是裸網，沒有保護，就像房產公司蓋了很多樓，門窗都不加鎖就交付給業主去住。”我國計算機網路所使用的網管裝置和軟體基本上是舶來品，這些因素使我國計算機網路的安全效能大大降低，被認為是易窺視和易打擊的“玻璃網”。由於缺乏自主技術，我國的網路處於被竊聽、干擾、監視和欺詐等多種資訊保安威脅中，網路安全處於極脆弱的狀態。

　　2.安全意識淡薄是網路安全的瓶頸

　　目前，在網路安全問題上還存在不少認知盲區和制約因素。網路是新生事物，許多人一接觸就忙著用於學習、工作和娛樂等，對網路資訊的安全性無暇顧及，安全意識相當淡薄，對網路資訊不安全的事實認識不足。與此同時，網路經營者和機構使用者注重的是網路效應，對安全領域的投入和管理遠遠不能滿足安全防範的要求。總體上看，網路資訊保安處於被動的封堵漏洞狀態，從上到下普遍存在僥倖心理，沒有形成主動防範、積極應對的全民意識，更無法從根本上提高網路監測、防護、響應、恢復和抗擊能力。近年來，國家和各級職能部門在

　　資訊保安方面已做了大量努力，但就範圍、影響和效果來講，迄今所採取的資訊保安保護措施和有關計劃還不能從根本上解決目前的被動局面，整個資訊安全系統在迅速反應、快速行動和預警防範等主要方面，缺少方向感、敏感度和應對能力。

　　3.執行管理機制的缺陷和不足制約了安全防範的力度

　　執行管理是過程管理，是實現全網安全和動態安全的關鍵。有關資訊保安的政策、計劃和管理手段等最終都會在執行管理機制上體現出來。就目前的執行管理機制來看，有以下幾方面的缺陷和不足。

　　1 網路安全管理方面人才匱乏：由於網際網路通訊成本極低，分散式客戶伺服器和不同種類配置不斷出新和發展。按理，由於技術應用的擴充套件，技術的管理也應同步擴充套件，但從事系統管理的人員卻往往並不具備安全管理所需的技能、資源和利益導向。

　　資訊保安技術管理方面的人才無論是數量還是水平，都無法適應資訊保安形勢的需要。

　　2 安全措施不到位：網際網路越來越具有綜合性和動態性特點，這同時也是網際網路不安全因素的原因所在。然而，網路使用者對此缺乏認識，未進入安全就緒狀態就急於操作，結果導致敏感資料暴露，使系統遭受風險。配置不當或過時的作業系統、郵件程式和內部網路都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發現和及時查堵安全漏洞。當廠商釋出補丁或升級軟體來解決安全問題時，許多使用者的系統不進行同步升級，原因是管理者未充分意識到網路不安全的風險所在，未引起重視。

　　3 缺乏綜合性的解決方案：面對複雜的不斷變化的網際網路世界，大多數使用者缺乏綜合性的安全管理解決方案，稍有安全意識的使用者越來越依賴“銀彈”方案如防火牆和加密技術，但這些使用者也就此產生了虛假的安全感，漸漸喪失警惕。實際上，一次性使用一種方案並不能保證系統一勞永逸和高枕無憂，網路安全問題遠遠不是防毒軟體和防火牆能夠解決的，也不是大量標準安全產品簡單碓砌就能解決的。近年來，國外的一些網際網路安全產品廠商及時應變，由防病毒軟體供應商轉變為企業安全解決方案的提供者，他們相繼在我國推出多種全面的企業安全解決方案，包括風險評估和漏洞檢測、入侵檢測、防火牆和虛擬專用網、防病毒和內容過濾解決方案，以及企業管理解決方案等一整套綜合性安全管理解決方案。

　　例如:

　　現有企業的網路系統做一個安全性分析，下面是典型的企業網路結構拓撲圖圖3.1：

　　圖3.1 企業網路結構拓撲圖

　　一般企業網路的應用系統，主要有WEB、E-mail、OA、MIS、財務系統、人事系統等一論文。而且隨著企業的發展，網路體系結構也會變得越來越複雜，應用系統也會越來越多。從整個網路系統的管理上來看，既有內部使用者，也有外部使用者，因此，整個企業的網路系統存在兩個方面的安全問題：

　　1.Internet的安全性目前網際網路應用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網路安全建設已經迫在眉捷。

　　2.Intranet的安全性企業內部的網路安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞資料完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防範技術手段、缺乏有效的手段來評估網路系統和作業系統的安全性、缺乏自動化的集中資料備份及災難恢復措施等。

　　針對上述兩個方面的資訊保安問題，可以總結出兩個方面的安全性需求：

　　1.基本安全需求：保護企業網路中裝置的正常執行，維護主要業務系統的安全，是企業網路的基本安全需求。針對企業網路的執行環境，主要包括：網路正常執行、網路管理、網路部署、資料庫及其它伺服器資料不被竊取、保護使用者帳號口令等個人資料不被洩露、對使用者帳號和口令進行集中管理、對授權的個人限制訪問功能、分配個人操作等級、進行使用者身份認證、伺服器、PC機和Internet/Intranet閘道器的防病毒保證、提供靈活高效且安全的內外通訊服務、保證撥號使用者的上網安全等。

　　2.關鍵業務系統安全需求：關鍵業務系統是企業網路應用的核心。關鍵業務系統應該具有最高的網路安全措施，其安全需求主要包括：訪問控制，確保業務系統不被非法訪問;資料安全，保證資料庫軟硬系統的整體安全性和可靠性，保證資料不被來自網路內部其他子系統子網段的破壞;入侵檢測，對於試圖破壞關鍵業務系統的惡意行為能夠及時發現、記錄和跟蹤，提供非法攻擊的犯罪證據;系統伺服器、客戶機以及電子郵件系統的綜合防病毒措施等。

　　網路安全整體解決方案的提出圖3.2

　　圖3.2網路安全整體解決方案

　　從上面可以看出，只要在閘道器處安裝防火牆產品，在網路內部安裝入侵檢測系統，然後在整個網路中安裝網路版防毒軟體，就能徹底解決企業網路的資訊保安問題。

　　4.缺乏制度化的防範機制

　　不少單位沒有從管理制度上建立相應的安全防範機制，在整個執行過程中，缺乏行之有效的安全檢查和應對保護制度

　　不完善的制度滋長了網路管理者和內部人士自身的違法行為。許多網路犯罪行為尤其是非法操作都是因為內部聯網電腦和系統管理制度疏於管理而得逞的。同時，政策法規難以適應網路發展的需要，資訊立法還存在相當多的空白。個人隱私保護法、資料庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及電腦保安監管法等資訊空間正常運作所需的配套法規尚不健全。由於網路作案手段新、時間短、不留痕跡等特點，給偵破和審理網上犯罪案件帶來極大困難。

　　第4章 增強網路安全的對策

　　4.1增強網路安全的方法

　　4.1.1 防火牆技術

　　使用專線接入的企業中，伺服器放在公司內部，而內部網與外部網之間的屏障——防火牆卻沒有安裝，基本的安全防範措施都沒有，而託管在IDC服務商的伺服器可能也沒有選擇服務商提供的安全增值服務，沒有把資訊保安沒有放到一個重要的位置，特別是企業的內部網與外部網相連情況，應該重點考慮使用防火牆技術，加強網路安全和資訊保安，從而保護內部網路避免受非法使用者的侵入。

　　4.1.2 資料加密技術

　　與防火牆配合使用的安全技術還有資料加密技術來提高資訊系統及資料的安全性和保密性, 防止祕密資料被外部破解所採用的主要技術手段之一。從技術上分別在軟體和硬體兩方面採取措施,推動著資料加密技術和物理防範技術的不斷髮展。按作用不同, 資料加密技術主要分為資料傳輸、資料儲存、資料完整性的鑑別以及金鑰管理技術等四種。

　　4.1.3 加強網際網路安全管理

　　網路安全和資料保護等防範措施都有一定的限度,並不是越安全就越可靠。在看一個內部網是否安全時不僅要考察其手段,而更重要的是對該網路所採取的各種措施,其中不光是物理防範,還有人員的素質等其它“軟”因素,進行綜合評估,從而得出是否安全的結論。因此，對“網管”人員和其它相關人員的管理非常的重要，而不僅是簡單的硬體和軟體方面的資金投入和安全措施的制定。

　　4.2 對解決我國網路安全問

　　題的幾點建議

　　1.在國家層面上儘快提出一個具有戰略眼光的“國家網路安全計劃”。充分研究和分析國家在資訊領域的利益和所面臨的內外部威脅，結合我國國情制定的計劃能全面加強和指導國家政治、軍事、經濟、文化以及社會生活各個領域的網路安全防範體系，並投入足夠的資金加強關鍵基礎設施的資訊保安保護。

　　2.建立有效的國家資訊保安管理體系。改變原來職能不匹配、重疊、交叉和相互衝突等不合理狀況，提高政府的管理職能和效率。

　　3.加快出臺相關法律法規。改變目前一些相關法律法規太籠統、缺乏操作性的現狀，對各種資訊主體的權利、義務和法律責任，做出明晰的法律界定。

　　4.在資訊科技尤其是資訊保安關鍵產品的研發方面，提供全域性性的具有超前意識的發展目標和相關產業政策，保障資訊科技產業和資訊保安產品市場有序發展。

　　5.加強我國資訊保安基礎設施建設，建立一個功能齊備、全域性協調的安全技術平臺包括應急響應、技術防範和公共金鑰基礎設施PKI等系統，與資訊保安管理體系相互支撐和配合。

　　第5章 威脅網路安全的因素及防範

　　5.1 黑客入侵與防範

　　黑客Hacker一詞起源於美國麻省理工學院，黑客的原意是指熱衷於計算機程式的人。當時有些學生組織對當侷限制某個計算機網路系統使用的措施極為不滿，他們就尋找方法侵入該系統，並以“黑客”自居一一。黑客們認為網路中的任何資訊都應當是自由的和公開的，任何人都可以平等的共享和獲取網路資源。目前世界各國對黑客的定義有所不同，但其普遍含義是指計算機網路系統的非法入侵者。

　　5.1.1 IP欺騙攻擊與防範

　　IP欺騙IP Spoofing是指入侵者偽造生成具有源地址的IP包，冒充被信任主機，與被攻擊系統進行信任連線，從而獲得某種利益。

　　IP欺騙的原理：IP欺騙攻擊是基於TCP/IP協議本身的缺陷只關心資料是否傳送和是否接收到，而對於是何種資料及資料內容無法檢查。攻擊通常採用手段為SYN同步序列號湮沒和TCP劫取。其中SYN湮沒是向被信任主機發送大量SYN資料，使系統不能正常的通訊，從而使其進入一種啞狀態。這時，攻擊者就冒充該系統劫取其與目標系統的TCP連線，利用彼此間的信任關係，達到攻擊的目的。

　　IP欺騙的防範方法：

　　1.拋棄基於IP大致的信任策略。

　　2.進行包過濾一文章一出自

　　3.使用加密方法。

　　4.使用隨機化的初始序列號。

　　5.通過對包的監控來檢查IP欺騙。

　　5.1.2 埠掃描與防範

　　埠掃描是指攻擊者向目標系統的各埠傳送連線請求，根據目標系統各埠返回的資訊SYN/ACK確認資訊或RST錯誤資訊能判斷出哪些埠是開啟的，哪些埠是關閉的，進而攻擊目標系統。

　　埠掃描的方法有很多種，可以手工掃描，也可以用埠掃描軟體進行掃描。

　　工作原理：向目標系統各埠傳送連線請求，若埠是開啟的，就會返回SYN/ACK確認資訊;若埠是關閉的，則返回RST錯誤資訊。

　　埠掃描的防範方法：

　　1.只留下經常使用的埠，關閉其他埠。

　　2.利用防埠掃描的工具如：SATAN軟體、ISS軟體。

　　3.安裝個人防火牆，並及時升級。

　　5.1.3 緩衝區溢位與防範

　　緩衝區是計算機記憶體中的一個連續的空間，用來存放程式中用到的資料。

　　緩衝區溢位就是指向空間有限的緩衝區中放入過多的資料，超出緩衝區的儲存範圍，造成緩衝區溢位。

　　危害：

　　1.緩衝區溢位會覆蓋掉記憶體中的其他空間，造成程式執行出錯，嚴重時引起宕機。

　　2.攻擊者故意造成緩衝區溢位，奪取系統控制權，控制計算機。

　　緩衝區溢位的原理：通過向緩衝區中放入過多資料改變子函式的返回地址，攻擊者會在指定的返回地址處編寫系統控制權的程式碼，一旦執行，攻擊者就會取得系統控制權，控制計算機。

　　緩衝區溢位的防範方法：

　　1.修補系統。

　　2.安裝補丁程式一論文。

　　3.及時升級系統。

　　5.1.4 拒絕服務攻擊

　　拒絕服務攻擊是指一個使用者佔據了系統大量的共享資源，使系統沒有剩餘的資源供其他使用者使用，對其他合法使用者拒絕服務。這種攻擊包括兩類，一種是破壞資源如:刪除檔案，另一種是消耗資源如:佔滿機器記憶體

　　1常見的拒絕服務攻擊例項：

　　1 SYN湮沒。

　　2 smurf拒絕服務攻擊。

　　3 廣播風暴。

　　2防範拒絕服務攻擊的方法：

　　1 控制使用者佔據系統記憶體，控制使用者佔用CPU的時間。

　　2 優化路由器，優化網路結構。

　　3 使用升級的最新軟體。

　　4 安裝個人防火牆，關閉不必要的服務。

　　5.1.5 網路監聽與防範

　　網路監聽是指入侵者進入目標系統後，使用網路監聽工具來竊取資訊。它屬於二級攻擊手段。

　　網路監聽的防範：

　　1對資料加密。

　　2使用安全網路拓撲結構將網路劃分成小的子網，用交換機比較安全。

　　5.1.6 黑客攻擊例項

　　2003年8月5日，微軟公司網站在西雅圖時間週五下午1:21分遭到黑客攻擊，導致其停止運作近2小時。 2004年10月28日，索尼中文網站遭到入侵，頁面被塗改。

　　2004年12月17日，網通國際遭到黑客攻擊，致使近千使用者的伺服器受到影響，許多使用者趕往亦莊的網通國際資料中心搬走自己的伺服器。

　　5.2 計算機病毒

　　簡單地說，計算機病毒就是人為編寫的、具有特定功能的程式。具有可執行性、傳染性、破壞性、潛伏性、可觸發性、攻擊的主動性、針對性、隱蔽性等特性。

　　5.2.1 常見的計算機病毒分類

　　1.系統引導型病毒

　　這類病毒隱藏在硬碟或軟盤的引導區，當計算機從感染了引導區病毒的硬碟或軟盤啟動，或當計算機從受感染的軟盤中讀取資料時，引導區病毒就開始發作。一旦它們將自己拷貝到機器的記憶體中，馬上就會感染其他磁碟的引導區,或通過網路傳播到其他計算機上。早期出現的大麻病毒、小球病毒就屬此類。

　　2.檔案型病毒 檔案型病毒是指能夠寄生於檔案的病毒，檔案包括.COM、.EXE可執行檔案以 及.DOC等文件，當執行檔案的時候病毒會首先執行。早期的1575/1591病毒，以及最近的Win32.Xorala勞拉病毒都屬於檔案型病毒。如果集中系統引導型病毒和檔案型病毒共有的特點，那可以稱之為複合型病毒。

　　&nbs

　　p;3.巨集病毒 這是一種特殊的檔案型病毒，由於巨集功能的強大，一些軟體開發商在產品研發中引入巨集語言，並允許這些產品在生成載有巨集的資料檔案之後出現一一。巨集病毒就是主要利用Microsoft word 提供的巨集功能來將病毒駐進到帶有巨集的.DOC文件中，病毒的傳輸速度很快，對系統和檔案可以造成破壞。

　　5.2.2 計算機病毒的主要傳播途徑

　　1.通過儲存裝置來傳播，包括軟盤、硬碟、優盤、光碟等。2.通過計算機網路進行傳播，如收發電子郵件、訪問網頁、下載檔案或軟體等。

　　5.2.3 計算機感染病毒的主要症狀

　　1.程式載入時間比平常久，即執行速度慢。

　　2.系統記憶體容量忽然大量減少。

　　3.磁碟可利用的空間突然減少。

　　4.無緣無故丟失資料和程式，有些檔案的內容被加上一些奇怪的資料。

　　5.檔名稱、副檔名、日期、屬性被更改過。

　　5.2.4 病毒攻擊例項

　　2000年5月至今，“愛蟲病毒”已經令眾多使用者電腦被感染，且影響持續時間長，造成損失超過100億美元以上。 2003年1月“蠕蟲王”病毒使得網路大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元一文章一出自

　　2003年7月，令全世界聞風喪膽、令所有企業深惡痛絕的“衝擊波”病毒發作，使得大量網路癱瘓，造成了數十億美金的損失。

　　5.2.5計算機病毒防範策略

　　1. 把好關。光碟、軟盤之前必須使用防毒工具進行病毒的掃描，看是否有病毒。

　　2. 日常維護少不了。

　　3. 不要隨便登入不明網站。

　　第6章 防火牆技術

　　6.1 防火牆的概述

　　防火牆是一個或一組系統，它在網路之間執行訪問控制策略。實現防火牆的實際方式各不相同，但是在原則上，防火牆可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。

　　“防火牆”是一種形象的說法,其實它是一種由計算機硬體和軟體的組合,使網際網路與內部網之間建立起一個安全閘道器scurity gateway,從而保護內部網免受非法使用者的侵入。所謂防火牆就是一個能把網際網路與內部網隔開的屏障。

　　6.2 防火牆的作用和特性

　　6.2.1 防火牆的作用

　　1.防火牆能強化安全策略防火牆是阻塞點。

　　2.防火牆能有效的記錄Internet上的活動。如作日誌記錄、有報警功能。

　　3.防火牆能限制暴露使用者點，隱藏內部資訊。

　　4.防火牆是一個安全策略的檢查站。

　　6.2.2 防火牆的特性

　　1.所有內部對外部的通訊都必須通過防火牆，反之亦然。

　　2.只有按安全策略所定義的授權，通訊才允許通過。

　　3.防火牆不能防範不通過它的連線一論文。

　　4.防火牆不能防禦所有的威脅。

　　6.3 實現防火牆的主要技術

　　6.3.1 資料包過濾技術

　　資料包過濾Packet Filtering技術是在網路層對資料包進行選擇，選擇的依據是系統內設定的過濾邏輯，被稱為訪問控制表Access Control Table。通過檢查資料流中每個資料包的源地址、目的地址、所用的埠號、協議狀態等因素，或它們的組合來確定是否允許該資料包通過。資料包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用，網路效能和透明性好，在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全

　　它通常安裝在路由器上。路由器是內部網路與Internet連線必不可少的裝置，因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。 資料包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊;二是資料包的源地址、目的地址以及IP的埠號都在資料包的頭部，很有可能被竊聽或假冒。

　　包過濾技術是一種完全基於網路層的安全技術,只能根據資料包的來源、目標和埠等網路資訊進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程式以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。