❶ 簡述計算機網路病毒的防範策略
對於計算機病毒的防範,主要有二點。
一是,安裝些安全殺毒的軟體,比如360衛士,騰訊管家等,經常更新下病毒庫,殺殺毒。
二是,個人的防範意識,破到可疑的內容不要去點擊。不要去看那些可疑的站點。下載軟體選擇正規的地方下。
網路安全的防範措施主要有哪些?計算機安全需要五個方面的綜合措施:修復系統漏洞、防病毒、防木馬、防惡意軟體、緊急故障恢復你到這里看看殺毒軟體評價、排名和比較: /就知道世界上還有這么多好東西看中了哪個也可以在這里下載都是免費的、正版的、自動升級的建議:NOD32查毒、AVG Anti-Spyware查木馬、360查惡意軟體(修復系統漏洞)、GHOST備份注意平時只開NOD32360和AVG Anti-Spyware偶爾一用
❸ 計算機網路安全問題及防範措施
對計算機信息構成不安全的因素很多, 其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素,垃圾郵件和間諜軟體也都在侵犯著我們的計算機網路。計算機網路不安全因素主要表現在以下幾個方面:
1、 計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項:
(1)網路的開放性,網路的技術是全開放的,使得網路所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網路協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
(2)網路的國際性,意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
(3)網路的自由性,大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由地上網,發布和獲取各類信息。
2、操作系統存在的安全問題
操作系統是作為一個支撐軟體,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。操作系統軟體自身的不安全性,系統開發設計的不周而留下的破綻,都給網路安全留下隱患。
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
(2)操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟體。
(3)操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上,特別是「打」在一個特權用戶上,黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
(4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或滑鼠,或者別的一些處理。一些監控病毒的監控軟體也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到5月1日,它就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如5月1日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
(5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序,可以提交程序給遠程的伺服器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
(6)操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段,程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用,或在發布軟體前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
(7)盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網路癱瘓掉。
3、資料庫存儲的內容存在的安全問題
資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面,包括我們上網看到的所有信息,資料庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問許可權進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對於資料庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取;資料庫的完整性是防止資料庫中存在不符合語義的數據。
4 、防火牆的脆弱性
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與網之間的界面上構造的保護屏障.它是一種硬體和軟體的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
但防火牆只能提供網路的安全性,不能保證網路的絕對安全,它也難以防範網路內部的攻擊和病毒的侵犯。並不要指望防火牆靠自身就能夠給予計算機安全。防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。這就是防火牆的局限性。
5、其他方面的因素
計算機系統硬體和通訊設施極易遭受到自然的影響,如:各種自然災害(如地震、泥石流、水災、風暴、物破壞等)對構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟體開發過程中留下的某些漏洞等,也對計算機網路構成嚴重威脅。此外不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
計算機網路安全的對策,可以從一下幾個方面進行防護:
1、 技術層面對策
對於技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
(1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(3)資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
(5)切斷途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網路可疑信息。
(6)提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
(7)研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3、安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
(2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
(3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
❹ 如何防範網路病毒
1、不點擊不明的網址或郵件、不掃描來歷不明的二維碼。較多木馬是通過網址鏈接、二維碼或郵件傳播,當收到來歷不明的郵件時,也不要隨便打開,應盡快刪除。智能客戶端不要隨意掃描未經認證的二維碼。
2、不下載非官方提供的軟體。如需下載必須常備軟體,最好找一些知名的網站下載,而且不要下載和運行來歷不明的軟體。而且,在安裝軟體前最好用殺毒軟體查看有沒有病毒,再進行安裝。
3、及時給操作系統打官方補丁包進行漏洞修復,只開常用埠。一般木馬是通過漏洞在系統上打開埠留下後門,以便上傳木馬文件和執行代碼,在把漏洞修復上的同時,需要對埠進行檢查,把可疑的埠封關閉,確保無法病毒無法傳播。
(4)怎麼防範計算機網路擴展閱讀:
從網路病毒功能區分。可以分為木馬病毒和蠕蟲病毒。木馬病毒是一種後門程序,它會潛伏在操作系統中,竊取用戶資料比如QQ、網上銀行密碼、賬號、游戲賬號密碼等。蠕蟲病毒相對來說要先進一點,它的傳播途徑很廣,可以利用操作系統和程序的漏洞主動發起攻擊,每種蠕蟲都有一個能夠掃描到計算機當中的漏洞的模塊。
一旦發現後立即傳播出去,由於蠕蟲的這一特點,它的危害性也更大,它可以在感染了一台計算機後通過網路感染這個網路內的所有計算機,被感染後,蠕蟲會發送大量數據包,所以被感染的網路速度就會變慢,也會因為CPU、內存佔用過高而產生或瀕臨死機狀態。
❺ 危害網路安全的因素有哪些如何防範
網路通信線路的安全問題主要有以下六個方面.
1.
電磁泄露
絡埠,傳輸線路和計算機都有可能因屏蔽不嚴或未屏蔽而造成電磁泄露.目前,大多數機房屏蔽和防輻射設施都不健全,通信線路也同樣容易出現信息泄露.
2.
搭線竊聽
隨著信息傳遞量的不斷增加,傳遞數據的密級也在不斷提高,犯罪分子為了獲取大量情報,可能監聽通信線路,非法接收信息.
3.
非法終端
有可能在現有終端上並接一個終端,或合法用戶從網上斷開時,非法用戶乘機接入,並操縱該計算機通信介面使信息傳到非法終端.
4.
非法入侵
非法分子通過技術滲透或利用電話線侵入網路,非法使用,破壞或獲取數據和系統資源.目前的網路系統大都採用口令驗證機制來防止非法訪問,一旦口令被竊,就無安全可言.
5.
注入非法信息
通過電話線有預謀地注入非法信息,截獲所傳信息,再刪除原有信息或注入非法信息後再發出,使接收者收到錯誤信息.
6.
線路干擾
當公共轉接載波設備陳舊和通信線路質量低劣時,會產生線路干擾.如數據機會隨著傳輸速率的上升,迅速增加錯誤.
對於網路通信線路的安全問題通常採用數據加密,用戶認證和室外使用光纜傳輸介質等措施來解決.近年來,計算機網路系統由於電磁輻射使信息被截獲而失密的案例很多,這種截獲,其距離可達幾百甚至千米,給計算機系統信息的保密工作帶來了極大的危害.為了防止計算機網路系統中信息在空間上擴散,通常在物理上採取對主機房和重要部門進行屏蔽處理的防護措施,以減少擴散出去的空間信號.終端分散的重要部門採取主動式的干擾設備(如干擾機)來干擾擴散出去的空間信號,以破壞信息的竊取.
❻ 如何防範計算機網路安全
防範間諜軟體之危害的對策
1、公開安裝的間諜軟體
對於那些公開安裝的間諜軟體,你無需費多大工夫去研究他,因為你可以輕而易舉的將之卸載,除此之外,你還可以知道他們的大至功能所在。換句話說,對於這些公開安裝的間諜軟體,你有很多措施保護你的隱私不受侵犯。例如,從不在辦公室計算機里檢查私有的電子郵件。公開安裝的間諜軟體一般都是合法的,他們有特定的使用人群和用途。
公司和學院:他們也許使用間諜軟體監測他們雇員的計算機和網路使用。
父母:他們也許使用間諜軟體監測家庭電腦和網路使用。防止他們的孩子受到有害信息的毒害。許多父母希望間諜軟體可能幫助他們。
政府:他們也許為公開安全或信息戰爭而使用間諜軟體監測網路。
2、秘密侵入的間諜軟體
真正的危險來自那些秘密侵入到你計算機里的間諜軟體,因為你不知道他究竟想做什麼。所有間諜軟體的安裝都利用了兩種弱點。一種是PC機的應用軟體,另一種是你自己。
由於現代計算機軟體是極端復雜的,現有的很多應用軟體和操作系統都存在各種各樣的漏洞。間諜軟體可以利用這些漏洞侵入到你的計算機。理論上你不可能防止這種侵入,當你沖浪網頁,一張小圖片可能給你帶來可怕的間諜軟體。除給你的操作系統打上必要的補丁,盡可能不去不安全或不熟悉的站點是減少這種侵入的有效方法。
很顯然,這種利用應用軟體漏洞的侵入方式需要較高的技術水平。而絕大多數間諜軟體的侵入是採用簡單的欺詐方式。例如,他們免費給你提供一個可以清除間諜軟體的軟體,而他們真正的目的是將你計算機里原有的間諜軟體去除,用他們的取而代之。
如果你習慣在網上下載免費軟體,你的計算機里可能有一大堆間諜軟體。
所以我們有兩種方法對付這些秘密侵入的間諜軟體:盡量不去不熟悉或不安全的站點,盡量不從網上下載免費軟體。
這種秘密的侵入也有他特定的用戶群和用途。
❼ 軍人如何防範網路安全問題
隨著智能手機和互聯網有序進入軍營,網路安全問題偶有發生。由於網路具有虛擬、開放等特徵,發生在網路上的違紀違法等安全問題容易擴散發酵,造成難以挽回的不良影響。必須破除網路安全問題難以防範的慣性思維,積極應對、主動作為,從引導官兵思想行為入手,針對不同類型問題的特點精準施策。
防範無知型網路安全問題,重在提高用網能力。無知型網路安全問題主要包括意外泄密、侵犯隱私、轉發不實言論等,本質是行為人缺乏用網知識和網路行為是否合法合規的判斷能力。要引導官兵加強網路知識和技術學習,適時組織網路安全講座,宣傳安全用網知識,提高用網技能。把網路法規學習納入部隊教育訓練之中,明確上網也需要學法、知法、守法、用法,把依法用網的理念內化為品德修養、外化為行為准則、固化為生活習慣,有效預防因無知而「踩紅線」「越雷池」。
防範過失型網路安全問題,重在強化責任意識。過失型網路安全問題,是指行為人缺乏應有的謹慎,導致過失性的泄露機密、丟失數據、密碼外泄等。這類安全問題,疏忽大意是表象,有章不循是誘因,責任心缺失是根源。「海恩法則」告訴我們,禍患常積於忽微。必須認清規章制度都是用無數慘痛教訓換來的,破除滿不在乎的僥幸心理,切實增強責任意識,無論是工作中還是生活中都把遵紀守法、落實規定當日子過。嚴格落實上網用網規章制度,壓實監督責任,突出薄弱部位和重點環節監管,用法規制度為網路安全保底。
防範惡意型網路安全問題,重在加強警示打擊力度。惡意型網路安全問題,是行為人主動實施違法的行為,包括網上的電信詐騙、敲詐勒索、非法入侵、販賣情報等,存在主觀上的故意性。必須以嚴打形成震懾,「觸線」即打、絕不姑息,確保打擊力度形成聲勢,讓惡意者不敢為。注重發揮法律的警示作用,組織觀看警示教育片,把發生問題的嚴重後果講清楚、講到位,真正做到知敬畏、存戒懼、守法度,構建震懾常在、遏制不止的用網環境,形成良好的網路生態。
❽ 計算機網路信息安全如何防護
1、制定信息技術管理制度。
2、網路出口安裝防火牆並做安全配置。
3、伺服器,工作站安裝系統後做好安全配置,不要使用網路下載的ghost系統,最好是使用正版軟體,並安裝殺毒軟體。
4、組織員工培訓,學習信息技術管理制度,並學習安全使用計算機。
5、網路內劃分各級許可權,比如哪些用戶給admin許可權,哪些用戶給user許可權。
6、最好使用一個網路管理軟體,免費的有PB,還有其他收費軟體,可以記錄文件拷貝,訪問,修改,插拔U盤的時間,收發郵件的內容……我就不替收費軟體做廣告了。
❾ 保護計算機安全的措施有哪些
保護計算機安全的措施有:
(1)安裝殺毒軟體
對於一般用戶而言,首先要做的就是為電腦安裝一套殺毒軟體,並定期升級所安裝的殺毒軟體,打開殺毒軟體的實時監控程序。
(2)安裝防火牆
在內部網與外部網之間,設置防火牆(包括分組過濾與應用代理)實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。
(3)分類設置密碼並使密碼設置盡可能復雜
有很多有效的保護數據的安全措施,但是用密碼保護系統和數據的安全是最經常採用也是最初採用的方法之一。
選擇「唯一」的密碼並周期性地改變密碼。有些用戶認為使用生日或者孩子和寵物的名字作為密碼是一個好主意,但是這些信息太容易發現了。事實上,使用一個不常見但是又容易記得的口令才是真正需要考慮的。另外,適當的交叉使用大小寫字母也是增加黑客破解難度的好辦法。
(4)不下載不明軟體及程序
應選擇信譽較好的下載網站下載軟體,將下載的軟體及程序集中放在非引導分區的某個目錄,在使用前最好用殺毒軟體查殺病毒。
(9)怎麼防範計算機網路擴展閱讀
計算機安全屬性包括哪些方面:
1、主機和終端數據安全性
很多人都知道,想要構成一個計算機網路,應該是有若乾颱主機和終端機通過電纜連接起來的,然後通過網路軟體的使用和管理,才能夠真正的使用,其中會有很多的數據和一些重要的信息會被存留在主機裡面或者是終端機之內。
不管是內存還是外存,怎麼樣能夠讓非法用戶不能夠進行訪問才是最重要的一點,所以,在這個方面,計算機安全屬性包括有設置的口令很難被人才出來,對於磁卡和密鑰進行設置識別,設置指紋和聲音的識別,還有關於用戶特徵系統進行識別。
2、通信途中的數據安全性
隨著計算機的使用,通信的范圍也是在不斷的加大的,對於一些網路的管轄已經遠遠的超出了范圍,所以,在傳輸過程中,一些數據容易受到攻擊,關於這一點,可以進行亮點防禦。
一種是將通信數據進行加密,讓出了合法的接信人以外的任何人都看不懂其中的內容,還有一點就是在網路上面採用分組交換,然後通過分組進行變更傳送路由從而防止數據信息被偷盜。還有一點是將通信線路設置在一些外人很難接近的地方進行保護,並且採用不容易被截取的辦法。
❿ 如何防範計算機網路攻擊
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。
但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。
現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
----------------------------------------------------------------------------
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機 ;
(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上;
(3)允許任何地址的E-mail(25口)進入主機 ;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。
當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。
規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。
如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。
這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。
這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
----------------------------------------------------------------------------
(四)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網。