1、摘要隨著Internet上的個(gè)人和商業(yè)應(yīng)用越來(lái)越普遍,基于網(wǎng)絡(luò)應(yīng)用和服務(wù)的信息資源也面臨著更多的安全風(fēng)險(xiǎn)。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有得到應(yīng)有的重視。信息是一種必須保護(hù)的資產(chǎn)，由于缺少足夠的保護(hù)或者網(wǎng)絡(luò)安全措施而造成的損失對(duì)企業(yè)而言可能是致命的。為了能夠讓企業(yè)的網(wǎng)絡(luò)系統(tǒng)避免遭受來(lái)自各種不安全的攻擊和威脅，從而更加安全可靠地使用網(wǎng)絡(luò)，我們應(yīng)該采取各種有效的安全防護(hù)措施。針對(duì)目前企業(yè)網(wǎng)絡(luò)所面臨的安全問題，本文從如何保護(hù)企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個(gè)方面闡述了如何有效地保護(hù)企業(yè)網(wǎng)絡(luò)的安全。并在最后以某企業(yè)為例做了企業(yè)網(wǎng)絡(luò)安全的規(guī)劃。關(guān)鍵字：

2、防火墻 數(shù)據(jù) 備份AbstractWith the Internet personal and business applications based on network is more and more common applications and services, the information resource is also facing more safety risk. However, in most cases, the network security and didnt get the attention it deserves. Information is a m

3、ust protect assets, due to lack of sufficient protection or network security measures for the loss caused by enterprise character may be fatal. In order to be able to let enterprise network systems to avoid suffering from various unsafe attacks and threats, and thereby more safe and reliable to use

4、network, we should take all kinds of effective safety protective measures. In view of the present enterprise network security problems facing the paper, how to protect the enterprise data security, network service and application system security and how to prevent network viruses and in the network

5、Settings firewall aspects elaborated how to effectively protect the enterprise network security. And in the last taking a enterprise as an example enterprise network security planning. Key words: firewall data backup 目錄第一章 緒論1第二章 企業(yè)網(wǎng)絡(luò)安全概述32.1 網(wǎng)絡(luò)安全32.2 安全分類32.3 網(wǎng)絡(luò)安全的目標(biāo)4消除盜竊4 確定身份4 鑒別假冒4 保密4第三章 企業(yè)數(shù)據(jù)安全

6、53.1數(shù)據(jù)庫(kù)安全5 數(shù)據(jù)庫(kù)安全問題5 數(shù)據(jù)庫(kù)安全策略與配置5 數(shù)據(jù)庫(kù)的加密73.2 數(shù)據(jù)備份與恢復(fù)7 數(shù)據(jù)備份與恢復(fù)概述7 數(shù)據(jù)備份策略9第四章 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)的安全114.1 Web服務(wù)器安全11的安全概述11 Web站點(diǎn)的安全和漏洞11 Web安全預(yù)防措施124.2 域名系統(tǒng)的安全性13 DNS的安全威脅13 名字欺騙技術(shù)14 增強(qiáng)DNS服務(wù)的安全性144.3 電子郵件的安全性14 E-mail的安全風(fēng)險(xiǎn)15 郵件服務(wù)器的安全與可靠性15 郵件客戶端的安全16第五章 網(wǎng)絡(luò)病毒防范175.1 計(jì)算機(jī)病毒概述17 計(jì)算機(jī)病毒的定義17 計(jì)算機(jī)病毒的特征17 計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害性175.

7、2 反病毒技術(shù)18 計(jì)算機(jī)病毒的防范18 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范措施19第六章 防火墻及相關(guān)技術(shù)應(yīng)用216.1 防火墻概述21 防火墻的概念21防火墻的功能22 防火墻的局限性226.2 防火墻的分類236.3 防火墻的策略236.4 入侵檢測(cè)系統(tǒng)24入侵檢測(cè)系統(tǒng)的功能24入侵檢測(cè)產(chǎn)品的選購(gòu)原則256.5 虛擬專用網(wǎng)（VPN）25第七章 某家具公司網(wǎng)絡(luò)安全規(guī)劃27致 謝33參考文獻(xiàn)35第一章 緒論在信息化高速發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)完全滲透到社會(huì)生活的各個(gè)方面。隨著Internet上的個(gè)人和商業(yè)應(yīng)用越來(lái)越普遍,基于網(wǎng)絡(luò)應(yīng)用和服務(wù)的信息資源也面臨著更多的安全風(fēng)險(xiǎn)。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有

8、得到應(yīng)有的重視。信息是一種必須保護(hù)的資產(chǎn)，由于缺少足夠的保護(hù)或者網(wǎng)絡(luò)安全措施而造成的損失對(duì)企業(yè)而言可能是致命的。Internet的不可信也會(huì)限制企業(yè)的商業(yè)機(jī)會(huì)，特別是那些100%基于Web的組織。制定和頒布安全政策與安全措施并使得用戶和潛在的用戶感覺到足夠安全是必須的。在企業(yè)安全方面的投資可以保證企業(yè)的生產(chǎn)力和確?？蛻舻男湃巍Ｒ粋€(gè)可靠的安全基礎(chǔ)能幫助企業(yè)建立與雇員、供應(yīng)商、合伙人和客戶之間的信任關(guān)系，使他們相信企業(yè)的任何信息都能夠受到妥善的保護(hù)，任何的網(wǎng)上交易都是可以信賴的。正是由于越來(lái)越多的企業(yè)組建了自己的局域網(wǎng)，并依靠現(xiàn)代網(wǎng)絡(luò)的快速便捷使自己的生產(chǎn)、經(jīng)營(yíng)、運(yùn)作方式等發(fā)生了極大的改變。通過這

9、種方式，企業(yè)降低了生產(chǎn)成本，增加了企業(yè)收入。正是出于企業(yè)對(duì)網(wǎng)絡(luò)的極度依賴，所以保證一個(gè)企業(yè)的網(wǎng)絡(luò)安全是非常重要的。在網(wǎng)絡(luò)安全方面，企業(yè)采用的防護(hù)措施還有彌補(bǔ)操作系統(tǒng)的安全漏洞、以及當(dāng)網(wǎng)絡(luò)已經(jīng)癱瘓時(shí)進(jìn)行災(zāi)難恢復(fù)等。此外，虛擬專用網(wǎng)（VPN）技術(shù)將逐漸成為企業(yè)之間互聯(lián)的首選產(chǎn)品，因?yàn)樗軌蚪档统杀?、提高效率、增?qiáng)安全性，在日后的應(yīng)用中將會(huì)有廣闊的前景。然而，為了能夠讓企業(yè)網(wǎng)絡(luò)變得更加的安全，我們不能只是靠各種安全防護(hù)產(chǎn)品，除此之外，我們必須通過各種安全策略，包括制定嚴(yán)格的安全制度、法律，組建安全團(tuán)隊(duì)，對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)實(shí)時(shí)關(guān)注，開發(fā)出更完善的安全系統(tǒng)，只有這樣，才能保證企業(yè)網(wǎng)絡(luò)處于一個(gè)比較安全的位置。

10、由于企業(yè)網(wǎng)絡(luò)面臨的安全問題是各種各樣的，針對(duì)目前企業(yè)網(wǎng)絡(luò)所面臨的安全問題，本文從如何保護(hù)企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個(gè)方面闡述了如何有效地保護(hù)企業(yè)網(wǎng)絡(luò)的安全。 第二章 企業(yè)網(wǎng)絡(luò)安全概述2.1 網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜

11、合性科學(xué)。從廣義上來(lái)說，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。所以，廣義的計(jì)算機(jī)網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，諸如場(chǎng)地環(huán)境保護(hù)、防火措施、防水措施、放電保護(hù)、靜電保護(hù)、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射和計(jì)算機(jī)病毒等。安全風(fēng)險(xiǎn)不能完全消除或者防止，但是可通過有效的風(fēng)險(xiǎn)管理和評(píng)估，將風(fēng)險(xiǎn)最小化到可以接受的水平。至于什么才是可以接受的，這取決于個(gè)人或者企業(yè)的承受力。如果減少風(fēng)險(xiǎn)所帶來(lái)的收益超過了采取各種措施的費(fèi)用，那么進(jìn)行風(fēng)險(xiǎn)管理就是值得的。2.2 安全分類對(duì)于網(wǎng)絡(luò)安全隱患，主要有以下四方面的原因：1)技術(shù)缺陷：每個(gè)網(wǎng)絡(luò)和

12、計(jì)算機(jī)技術(shù)都存在內(nèi)在的安全問題。2)配置缺陷：暴露出的安全問題，甚至大多數(shù)是安全技術(shù)的配置錯(cuò)誤。3)政策缺陷：缺乏安全策略或者不正確的執(zhí)行和管理，都可能使最好的安全和網(wǎng)絡(luò)技術(shù)失去作用。4)人為錯(cuò)誤：工作人員寫下自己的口令隨意放置，或者多人共享一個(gè)口令等，都是一些常見的問題。2.3 網(wǎng)絡(luò)安全的目標(biāo)網(wǎng)絡(luò)安全最重要的一個(gè)目標(biāo)是獲得那些任何不是被明確許可的操作被禁止的情況。正在發(fā)展的一個(gè)安全策略目標(biāo)是定義一個(gè)組織的計(jì)算機(jī)和網(wǎng)絡(luò)的使用期望值。“安全”意味著防止系統(tǒng)內(nèi)部和外部?jī)煞矫娴墓?。網(wǎng)絡(luò)安全包括安全的數(shù)據(jù)、應(yīng)用和用戶。 消除盜竊據(jù)統(tǒng)計(jì)美國(guó)的公司因?yàn)樾畔⑹Ц`而損失1000億美元的收益，這通常發(fā)生于報(bào)表

13、和機(jī)密信息被當(dāng)成垃圾丟棄。 確定身份安全措施可能降低方便性，一般來(lái)說，簡(jiǎn)單的口令是一個(gè)效率較低的身份鑒定形式，但是更強(qiáng)大的身份鑒定需要更多的成本開銷。 鑒別假冒任何隱藏的假冒都是一個(gè)潛在的安全漏洞，為了防止假冒，一般來(lái)說，要有足夠的身份鑒定、授權(quán)和審核以及專家的確認(rèn)或者否定，然后在提出相應(yīng)的建議。 保密大多數(shù)安全是建立在保密基礎(chǔ)上的。許多安全專家發(fā)現(xiàn)漏洞都是一些很容易修補(bǔ)的眾所周知的缺陷，因此必須確保網(wǎng)絡(luò)安裝最新的版本的補(bǔ)丁。在以后的幾年當(dāng)中，據(jù)估計(jì)90%的對(duì)計(jì)算機(jī)的攻擊將繼續(xù)利用那些已有的補(bǔ)丁程序或預(yù)防措施的安全缺陷。對(duì)數(shù)據(jù)進(jìn)行分類并確定哪些數(shù)據(jù)需要保密是一件迫切的事，需要保密的包括口令、信

14、用卡號(hào)、銀行賬戶等。為了確保秘密數(shù)據(jù)的安全性，必須對(duì)系統(tǒng)進(jìn)行分層并確保安裝最新的補(bǔ)丁程序。 第三章 企業(yè)數(shù)據(jù)安全3.1數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)重要信息的場(chǎng)所，并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫(kù)安全問題，在數(shù)據(jù)庫(kù)技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫(kù)技術(shù)的發(fā)展而不斷深化。因而，如何保證和加強(qiáng)其安全性和保密性，已成為目前迫切需要解決的熱門課題。 數(shù)據(jù)庫(kù)安全問題計(jì)算機(jī)安全性的三個(gè)方面是安全性、保密性和可用性，都與數(shù)據(jù)庫(kù)管理系統(tǒng)有關(guān)系。 數(shù)據(jù)庫(kù)安全策略與配置數(shù)據(jù)庫(kù)的安全策略包括系統(tǒng)的策略、數(shù)據(jù)安全的策略、用戶安全的策略等。1、系統(tǒng)安全的策略1)數(shù)據(jù)庫(kù)用戶的管理每個(gè)數(shù)據(jù)庫(kù)系統(tǒng)都有一個(gè)或幾個(gè)管理員，負(fù)

15、責(zé)維護(hù)所有的安全策略方面的問題，這類管理員稱為安全管理員。如果數(shù)據(jù)庫(kù)系統(tǒng)很小，數(shù)據(jù)庫(kù)管理員也就擔(dān)當(dāng)起安全管理員的責(zé)任。但是，如果數(shù)據(jù)庫(kù)系統(tǒng)很大，通常就要指定一個(gè)人或一群人專門擔(dān)當(dāng)安全管理員的責(zé)任。2)用戶的鑒別數(shù)據(jù)庫(kù)用戶可以通過操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、或數(shù)據(jù)庫(kù)進(jìn)行身份確認(rèn)，來(lái)鑒別（核實(shí)合法用戶）。3)操作系統(tǒng)的安全如果可以的話，對(duì)于任何數(shù)據(jù)庫(kù)應(yīng)用的操作系統(tǒng)來(lái)說，還應(yīng)該考慮數(shù)據(jù)庫(kù)管理員必須具有操作系統(tǒng)權(quán)限，以便創(chuàng)建和刪除文件。一般數(shù)據(jù)庫(kù)用戶不應(yīng)該具有操作系統(tǒng)權(quán)限。如果操作系統(tǒng)會(huì)識(shí)別用戶的數(shù)據(jù)庫(kù)角色，那么，安全管理員就必須有操作系統(tǒng)權(quán)限，以便修改操作系統(tǒng)賬戶的安全域。2、數(shù)據(jù)安全的策略安全包括在對(duì)象層

16、上控制訪問和使用數(shù)據(jù)庫(kù)的機(jī)制。數(shù)據(jù)庫(kù)安全策略應(yīng)確定，能訪問特殊的模式對(duì)象、允許每個(gè)用戶在對(duì)象上所做的特殊的動(dòng)作類型。例如，訪問數(shù)據(jù)庫(kù)表時(shí)，一些用戶只能執(zhí)行SELECT和INSERT語(yǔ)句，而不能執(zhí)行DELETE語(yǔ)句。3、用戶安全的策略1)普通用戶的權(quán)限管理安全管理員應(yīng)該考慮涉及所有類型用戶的權(quán)限管理問題。例如，在一個(gè)有許多用戶名的數(shù)據(jù)庫(kù)中，使用角色來(lái)管理用戶可用的權(quán)限是非常有益的。否則，如果數(shù)據(jù)庫(kù)中只有少數(shù)用戶名，就將權(quán)限明確地賦予用戶，避免使用角色，這樣反而更容易。2)密碼的安全如果用戶是通過數(shù)據(jù)庫(kù)進(jìn)行用戶身份的確認(rèn)，那么建議使用密碼加密的方法與數(shù)據(jù)庫(kù)進(jìn)行連接。3)終端用戶的安全安全管理員必須

17、定義終端用戶的安全策略。如果一個(gè)數(shù)據(jù)庫(kù)有很多用戶，安全管理員可以決定將那些用戶的組分類成用戶組，然后為這些組創(chuàng)建用戶角色。安全管理員可以給每個(gè)用戶角色賦予必要的權(quán)限或應(yīng)用角色，再將用戶角色賦予給這些用戶。對(duì)于例外情況，安全管理員還必須確定，必須將什么權(quán)限明確地授予那個(gè)用戶。4)管理員的安全安全管理員應(yīng)該有一個(gè)處理數(shù)據(jù)庫(kù)管理員的安全的策略。例如，當(dāng)數(shù)據(jù)庫(kù)很大，且有幾種類型的數(shù)據(jù)庫(kù)管理員時(shí)，安全管理員就應(yīng)該將相關(guān)的管理權(quán)限劃分成幾個(gè)管理角色。然后將這些管理角色授予適當(dāng)?shù)墓芾韱T用戶。相反，當(dāng)數(shù)據(jù)庫(kù)很小而且只有幾個(gè)管理員時(shí)，創(chuàng)建一個(gè)管理角色并把這個(gè)管理角色授予所有管理員，可能就更方便些。 數(shù)據(jù)庫(kù)的加密

18、1、數(shù)據(jù)庫(kù)加密概述大型數(shù)據(jù)庫(kù)管理系統(tǒng)的運(yùn)行平臺(tái)一般是Windows NT/2000和UNIX，這些操作系統(tǒng)的安全級(jí)別通常為C1、C2級(jí)。它們具有用戶注冊(cè)、識(shí)別用戶、任意存取控制、審計(jì)等安全功能。雖然數(shù)據(jù)庫(kù)管理系統(tǒng)在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施，例如基于權(quán)限的控制等，但操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)庫(kù)文件本身仍然缺乏有效的保護(hù)措施，有經(jīng)驗(yàn)的網(wǎng)上黑客會(huì)繞道而行，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫(kù)文件的內(nèi)容。這種隱患被稱為通向數(shù)據(jù)庫(kù)管理系統(tǒng)的隱秘通道，它所帶來(lái)的危害一般數(shù)據(jù)庫(kù)用戶難以覺察。分析和堵塞隱秘通道被認(rèn)為是B2級(jí)的安全技術(shù)措施。對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行加密處理，是堵塞這一隱秘通道的有

19、效手段。2、加密算法加密算法是數(shù)據(jù)加密的核心。算法必須適應(yīng)數(shù)據(jù)庫(kù)系統(tǒng)的特點(diǎn)，加密解密速度要快。著名的背包算法就是一種適合數(shù)據(jù)庫(kù)加密的算法。算法的思路是假定某人擁有大量的物品，重量各不相同。此人通過秘密地選擇一部分物品并將它們放到背包中來(lái)加密消息。背包中的物品總重量是公開的，所有可能的物品也是公開的，但背包中的物品卻是保密的。附加一定的限制條件，給出重量，而要列出可能的物品，在計(jì)算上是不可實(shí)現(xiàn)的。3.2 數(shù)據(jù)備份與恢復(fù)隨著各單位局域網(wǎng)和互連網(wǎng)絡(luò)的深入應(yīng)用,系統(tǒng)內(nèi)的服務(wù)器擔(dān)負(fù)著企業(yè)的關(guān)鍵應(yīng)用,存儲(chǔ)著重要的信息和數(shù)據(jù),為網(wǎng)絡(luò)環(huán)境下的大量客戶機(jī)提供快速高效的信息查詢、數(shù)據(jù)處理和Internet等的各項(xiàng)

20、服務(wù)，一旦數(shù)據(jù)丟失，將會(huì)造成無(wú)法彌補(bǔ)的損失。為了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)中的核心數(shù)據(jù)必須能安全的保存和迅速的恢復(fù)，因此，對(duì)于企業(yè)來(lái)說，可靠的數(shù)據(jù)備份和恢復(fù)措施是非常必要的。 數(shù)據(jù)備份與恢復(fù)概述1、數(shù)據(jù)備份和恢復(fù)的基本概念數(shù)據(jù)備份和恢復(fù)是指將計(jì)算機(jī)硬盤上的原始數(shù)據(jù)復(fù)制到其他存儲(chǔ)媒體上，如磁帶、光盤等，在出現(xiàn)數(shù)據(jù)丟失或系統(tǒng)災(zāi)難時(shí)將復(fù)制在其他存儲(chǔ)媒體上的數(shù)據(jù)恢復(fù)到硬盤上，從而保護(hù)計(jì)算機(jī)的系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)，備份不僅僅是文件的復(fù)制，還應(yīng)該包括文件的權(quán)限、屬性等信息。2、數(shù)據(jù)備份的原則不同的應(yīng)用環(huán)境要求不同的解決方案來(lái)適應(yīng)，一般來(lái)說，要求滿足以下原則。1)穩(wěn)定性。備份產(chǎn)品的主要

21、作用是為了系統(tǒng)提供一個(gè)數(shù)據(jù)保護(hù)方法，于是該產(chǎn)品本身的穩(wěn)定性就變成了最重要的一個(gè)方面，一定要與操作系統(tǒng)百分之百的兼容。2)全面性。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，可能包括了各種操作平臺(tái)，如Netware、Windows NT、UNIX等。選用的備份軟件，要支持各種操作系統(tǒng)、數(shù)據(jù)庫(kù)和典型應(yīng)用。3)安全性。計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)病毒傳播的通道，給數(shù)據(jù)安全帶來(lái)極大威脅。如果在備份的時(shí)候，把計(jì)算機(jī)病毒也完整的備份下來(lái)，將會(huì)是一種惡性循環(huán)。因此，要求在備份的過程中有查毒、防毒、殺毒、的功能，確保無(wú)毒備份，同時(shí)還要保證備份介質(zhì)不丟失和備份數(shù)據(jù)的完整性。4)容錯(cuò)性。確認(rèn)備份數(shù)據(jù)的可靠性，也是一個(gè)至關(guān)重要的方面。如果引入RAI

22、D技術(shù)，對(duì)磁帶進(jìn)行鏡像，就可以更好的保證數(shù)據(jù)安全可靠，給用戶再加一把保險(xiǎn)鎖。3、常用數(shù)據(jù)備份的方法1)磁帶備份2)硬盤備份3)網(wǎng)絡(luò)備份4、數(shù)據(jù)備份的注意事項(xiàng)1)制定備份策略。根據(jù)企業(yè)對(duì)數(shù)據(jù)安全的實(shí)際需要來(lái)制定適合的備份方案和策略。2)將備份介質(zhì)存儲(chǔ)在異地。備份后的介質(zhì)一定要保存在異地或防火、防水、防磁的保險(xiǎn)箱內(nèi)。3)定期清潔備份設(shè)備。使用合格的備份介質(zhì)。對(duì)備份介質(zhì)的讀寫操作會(huì)造成一定的磨損，當(dāng)出現(xiàn)損壞或老化時(shí)要及時(shí)更換，制定備份介質(zhì)輪換策略。4)選用有報(bào)警功能的備份設(shè)備。用戶可以檢測(cè)備份設(shè)備的狀態(tài)是否正常。5)每?jī)扇齻€(gè)星期檢查備份介質(zhì)，并從中恢復(fù)一些文件，從而得知備份文件是否處在可恢復(fù)的狀態(tài)。

23、 數(shù)據(jù)備份策略備份策略指確定需備份的內(nèi)容、備份時(shí)間及備份方式。各個(gè)單位要根據(jù)自己的實(shí)際情況來(lái)制定不同的備份策略。企業(yè)可以選取的備份策略有以下三種。1、完全備份對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行完全備份。例如，星期一用一盤磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行備份，星期二用另一盤磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行備份，依次類推。這種備份策略的好處是當(dāng)發(fā)生數(shù)據(jù)丟失的災(zāi)難時(shí)，只要用一盤磁帶（災(zāi)難發(fā)生前一天的備份磁帶），就可以恢復(fù)丟失的數(shù)據(jù)。然而它亦有不足之處。首先，由于每天都對(duì)整個(gè)系統(tǒng)進(jìn)行備份，造成備份的數(shù)據(jù)大量重復(fù)，這些重復(fù)的數(shù)據(jù)占用了大量的磁帶空間，這對(duì)用戶來(lái)說就意味著增加成本。其次，由于需要備份的數(shù)據(jù)量較大，因此備份所需的時(shí)間也就較長(zhǎng)。對(duì)于那些

24、業(yè)務(wù)繁忙、備份時(shí)間有限的單位來(lái)說，選擇這種備份策略是不明智的。2、增量備份增量備份是進(jìn)行一次完全備份，然后在接下來(lái)只對(duì)當(dāng)天新的或被修改過的數(shù)據(jù)進(jìn)行備份。這種備份策略的優(yōu)點(diǎn)是節(jié)省了磁帶空間，縮短了備份時(shí)間。但它的缺點(diǎn)在于：當(dāng)災(zāi)難發(fā)生時(shí)，數(shù)據(jù)的恢復(fù)比較麻煩。3、差分備份差分備份是管理員先進(jìn)行一次系統(tǒng)完全備份，然后在接下來(lái)的幾天里，管理員再將當(dāng)天所有與完全備份后發(fā)生改變的數(shù)據(jù)（新的或修改過的）備份到磁帶上。差分備份策略在避免了以上兩中策略的缺陷的同時(shí)，又具有了它們的所有優(yōu)點(diǎn)。首先，它無(wú)需每天都對(duì)系統(tǒng)做完全備份，因此備份所需時(shí)間短，并節(jié)省了磁帶空間；其次，它的災(zāi)難恢復(fù)也很方便。系統(tǒng)管理員只需兩盤磁帶，

25、即完全備份磁帶與災(zāi)難發(fā)生前一天的磁帶，就可以將系統(tǒng)恢復(fù)。第四章 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)的安全4.1 Web服務(wù)器安全在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用服務(wù)中，Web技術(shù)被廣泛的使用，給人們的生活、工作和學(xué)習(xí)帶來(lái)了很大的方便，同時(shí)在這個(gè)虛幻的網(wǎng)絡(luò)世界里，經(jīng)常出現(xiàn)一些Web站點(diǎn)被攻擊、被篡改、信息泄露等，這就使得能否保證使用者的安全和隱私成為Web應(yīng)用中的一個(gè)主要問題。Web的安全性是Web應(yīng)用中必須考慮的重要問題。Web（World Wide Web）又稱萬(wàn)維網(wǎng)，其基本結(jié)構(gòu)是采用開放試的客戶機(jī)/服務(wù)器(Client/Server)結(jié)構(gòu)，其基本工作原理如圖4-1所示。圖 4-1客戶機(jī)/服務(wù)器工作模式 Web的安全概述通

26、常的網(wǎng)絡(luò)安全總是設(shè)置各種各樣的限制,使得不明身份的人無(wú)法獲得非授權(quán)的服務(wù)，但是Web服務(wù)器恰恰相反，它希望接受盡可能多的客戶，對(duì)客戶幾乎沒有限制和要求，這樣，相當(dāng)于其他網(wǎng)絡(luò)服務(wù)器，Web是最容易受到攻擊的。Web安全風(fēng)險(xiǎn)一般可分為三類，即對(duì)Web服務(wù)器及其相連LAN的威脅、對(duì)服務(wù)器和客戶機(jī)之間的通信信道的威脅。從Web服務(wù)器角度來(lái)將，服務(wù)器風(fēng)險(xiǎn)比Web瀏覽器用戶更大，服務(wù)器受攻擊要比客戶機(jī)受攻擊危險(xiǎn)的多。 Web站點(diǎn)的安全和漏洞1、Web站點(diǎn)主要安全問題1)未經(jīng)授權(quán)的存取動(dòng)作。2)竊取系統(tǒng)的信息。該類問題指的是攻擊者非法訪問、獲取目標(biāo)機(jī)器（Web服務(wù)器或者瀏覽器）上的敏感信息；或者中途截取We

27、b服務(wù)器和瀏覽器之間傳輸?shù)拿舾行畔ⅲ换蛘哂捎谂渲?、軟件等的原因無(wú)意泄露的敏感信息，如賬號(hào)、密碼和客戶資料等。這種行為給用戶造成非常大的損失。3)破壞系統(tǒng)。該類問題指的是入侵者進(jìn)入系統(tǒng)后，破壞系統(tǒng)的重要數(shù)據(jù)、系統(tǒng)運(yùn)行的重要文件，從而導(dǎo)致Web站點(diǎn)系統(tǒng)無(wú)法正常運(yùn)行。4)拒絕服務(wù)。該類問題指的是攻擊者的直接目的不在于侵入計(jì)算機(jī)，而是在短時(shí)間內(nèi)向目標(biāo)發(fā)送大量的正常的請(qǐng)求數(shù)據(jù)包并使得目標(biāo)機(jī)器維持相應(yīng)的連接，或者發(fā)送需要目標(biāo)機(jī)器解析的大量無(wú)用的數(shù)據(jù)包。使得目標(biāo)機(jī)器資源耗盡或是應(yīng)接不暇，根本無(wú)法響應(yīng)正常的服務(wù)。這種威脅不容易抵御。5)非法使用。該類問題指的是入侵者利用系統(tǒng)從事非法用途，如存放、發(fā)布非法信息。

28、6)病毒破壞。該類問題指的是由于不小心執(zhí)行病毒程序、系統(tǒng)存在安全漏洞被網(wǎng)絡(luò)病毒攻擊等，從而導(dǎo)致系統(tǒng)數(shù)據(jù)被破壞、被竊取、甚至系統(tǒng)崩潰。2、Web站點(diǎn)典型安全漏洞1)操作系統(tǒng)類安全漏洞。2)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。3)應(yīng)用系統(tǒng)的安全漏洞。該類問題指的是計(jì)算機(jī)網(wǎng)絡(luò)中使用的TCP/IP協(xié)議以及WWW Server、mail Server、FTP Server 等存在的安全漏洞。4)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)漏洞。5)其他安全漏洞。 Web安全預(yù)防措施1）增強(qiáng)服務(wù)器操作系統(tǒng)的安全，密切關(guān)注并及時(shí)安裝系統(tǒng)及軟件的最新補(bǔ)丁。2）建立良好的賬號(hào)管理制度，限制在Web服務(wù)器開賬戶。使用足夠安全的口令，在口令長(zhǎng)度及定期更改方面

29、做出要求，防止被盜用，并正確設(shè)置用戶訪問權(quán)限。3）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，使用如SSL等安全協(xié)議，避免使用Telnet、FTP等程序，因?yàn)檫@些程序是以明文形式傳輸密碼的，容易被監(jiān)聽。并嚴(yán)格控制遠(yuǎn)程管理員身份的使用，僅在絕對(duì)需要時(shí)，才允許使用具有高授權(quán)的操作。4）使用入侵檢測(cè)系統(tǒng)，監(jiān)視系統(tǒng)、事件、安全記錄和系統(tǒng)日志，以及網(wǎng)絡(luò)中的數(shù)據(jù)包，定期查看服務(wù)器中的日志logs文件，分析一切可疑事件，對(duì)危險(xiǎn)和惡意訪問進(jìn)行阻斷、報(bào)警等響應(yīng)，并進(jìn)行必要的修補(bǔ)和控制。5）限制可訪問用戶的IP或域名。在Web服務(wù)器上可以根據(jù)IP地址或域名來(lái)限制用戶對(duì)資源的訪問，可以限制哪些IP或域名可以訪問，哪些IP或域名不可以訪

30、問。6）使用防火墻，對(duì)數(shù)據(jù)包進(jìn)行過濾，禁止某些地址對(duì)服務(wù)器的某些服務(wù)的訪問，并在外部網(wǎng)絡(luò)和Web服務(wù)器中建立雙層防護(hù)。利用防火墻，將服務(wù)器中與Web服務(wù)器無(wú)關(guān)的服務(wù)及端口阻隔，進(jìn)一步增強(qiáng)開放的服務(wù)的安全性。7）使用漏洞掃描和安全評(píng)估軟件，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行全面的掃描、分析和評(píng)估，從用戶賬戶約束、口令系統(tǒng)、訪問控制、系統(tǒng)監(jiān)測(cè)、數(shù)據(jù)完整和數(shù)據(jù)加密等多方面進(jìn)行安全分析和審計(jì)。建立和提高用戶的安全策略，及時(shí)發(fā)現(xiàn)并彌補(bǔ)安全漏洞。4.2 域名系統(tǒng)的安全性域名系統(tǒng)(Domain Name System-DNS)是一個(gè)分布式數(shù)據(jù)庫(kù).它把主機(jī)名翻譯成IP地址,把IP地址翻譯成主機(jī)名。對(duì)于DNS服務(wù)器而言可用性是最為

31、重要的。在現(xiàn)實(shí)生活中經(jīng)常定義攻擊者入侵系統(tǒng)獲取數(shù)據(jù)為一個(gè)安全問題，但是對(duì)DNS服務(wù)器來(lái)說，遭到了拒絕服務(wù)攻擊則是一件更重要的問題。失去DNS服務(wù)器的話，任何在Internet網(wǎng)絡(luò)上的人將不能夠再使用域名找到所要訪問的服務(wù)器。更嚴(yán)重的是，沒有DNS服務(wù)，所有的郵件發(fā)送都將失敗，而內(nèi)部網(wǎng)絡(luò)將由于解析域名的失敗而失去和外部網(wǎng)絡(luò)的聯(lián)系。 DNS的安全威脅1、拒絕服務(wù)攻擊網(wǎng)絡(luò)攻擊者攻擊DNS服務(wù)器、路由器和防火墻，是DNS服務(wù)器無(wú)法回應(yīng)正常的DNS查詢的請(qǐng)求。2、設(shè)置不當(dāng)?shù)腄NS將泄露過多的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3、利用被控制的DNS服務(wù)器入侵整個(gè)網(wǎng)絡(luò)當(dāng)一個(gè)入侵者控制了DNS服務(wù)器后，他就可以隨意篡改DNS的記錄

32、信息，甚至使用這些被篡改的記錄信息來(lái)達(dá)到進(jìn)一步入侵整個(gè)網(wǎng)絡(luò)的目的。 名字欺騙技術(shù)當(dāng)允許用戶執(zhí)行遠(yuǎn)程系統(tǒng)命令時(shí)，系統(tǒng)管理員往往在某些主機(jī)之間建立相互信任的關(guān)系，當(dāng)主機(jī)間的信任是借助名字并通過DNS來(lái)認(rèn)證時(shí)，就會(huì)導(dǎo)致名字欺騙的出現(xiàn)。 增強(qiáng)DNS服務(wù)的安全性1.設(shè)置分布在不同網(wǎng)絡(luò)中的DNS服務(wù)器將DNS服務(wù)器分布在不同的網(wǎng)絡(luò)中，以防御拒絕服務(wù)的攻擊。如果多臺(tái)DNS服務(wù)器放在同一網(wǎng)段，處在同一個(gè)路由器（或防火墻）后面，一旦DNS服務(wù)器前的路由器（或防火墻）成了攻擊目標(biāo)，大量的數(shù)據(jù)包將涌向這個(gè)路由器（或防火墻），堵塞了這個(gè)路由器（或防火墻），而正常的DNS解析請(qǐng)求無(wú)法到達(dá)路由器（或防火墻）后的DNS服務(wù)

33、器上。從而干擾了正常的DNS通信，導(dǎo)致應(yīng)用服務(wù)器無(wú)法給外界提供服務(wù)，網(wǎng)站發(fā)生癱瘓。2.防衛(wèi)名字欺騙技術(shù)對(duì)于名字欺騙技術(shù)的防衛(wèi)方法有:把名字?jǐn)?shù)據(jù)庫(kù)中的信息的生存期改為比較長(zhǎng)的時(shí)間，如一個(gè)星期或一個(gè)月,這樣名字信息保存在緩沖區(qū)的時(shí)間較長(zhǎng),即使更改數(shù)據(jù)庫(kù)內(nèi)容也不會(huì)馬上生效,攻擊者不可能等這么長(zhǎng)的時(shí)間。但生存期過長(zhǎng)對(duì)數(shù)據(jù)庫(kù)的更改也不利。在設(shè)置信任關(guān)系時(shí)不使用機(jī)器名字，而使用機(jī)器的IP地址，這樣可以使系統(tǒng)避免名字欺騙，但可能遭受IP地址欺騙。為保證安全的服務(wù)，要認(rèn)證用戶而不是認(rèn)證主機(jī)名和IP地址。4.3 電子郵件的安全性電子郵件（E-mail）作為Internet上使用最多、最重要的服務(wù)之一，同時(shí)也是安

34、全漏洞最多的服務(wù)之一，它已成為目前網(wǎng)絡(luò)上傳遞病毒和黑客程序主要的途徑之一。E-mail系統(tǒng)之所以是一種最脆弱的服務(wù)，是因?yàn)樗梢越邮軄?lái)自Internet上任何主機(jī)的任何數(shù)據(jù)。 E-mail的安全風(fēng)險(xiǎn)1.E-mail的漏洞E-mail服務(wù)器向全球開放，原則上可以接收任何人發(fā)來(lái)的郵件，很容易受到攻擊。郵件的信息可能攜帶會(huì)損害服務(wù)器或客戶機(jī)的指令。2.利用E-mail欺騙E-mail欺騙行為表現(xiàn)形式可能各異，但原理相同，通常是欺騙用戶進(jìn)行一個(gè)毀壞性的操作或暴露敏感信息（比如密碼）。欺騙性E-mail會(huì)制造安全漏洞。當(dāng)用戶收到的電子郵件中涉及敏感信息時(shí)，用戶要適當(dāng)分析，認(rèn)真核對(duì)郵件的發(fā)送者，郵件信息表

35、頭中的信息等。3.E-mail轟炸E-mail轟炸可被描述為不停接到大量同一內(nèi)容的E-mail。一條信息被傳給成千上萬(wàn)的不斷擴(kuò)大的用戶。更糟的是，如果一個(gè)人回復(fù)了該E-mail，那么表頭里所有的用戶都會(huì)收到這封回信。E-mail轟炸主要的風(fēng)險(xiǎn)來(lái)自E-mail服務(wù)器。如果服務(wù)器接到很多的E-mail，可能會(huì)造成服務(wù)器脫網(wǎng)，系統(tǒng)崩潰，甚至造成網(wǎng)絡(luò)擁塞。如果感到站點(diǎn)正受侵襲，應(yīng)找出轟炸的來(lái)源，然后設(shè)置防火墻或路由器進(jìn)行過濾。 郵件服務(wù)器的安全與可靠性1)建立一個(gè)安全的電子郵件系統(tǒng)，采用合適的安全標(biāo)準(zhǔn)非常重要。但僅僅依靠安全標(biāo)準(zhǔn)是不夠的，郵件服務(wù)器本身必須是安全、可靠、久經(jīng)實(shí)戰(zhàn)考驗(yàn)的。2)對(duì)于網(wǎng)絡(luò)入侵

36、的防范，在服務(wù)器端要考慮郵件信息的過濾、病毒的檢測(cè)等措施，控制不良郵件和帶病毒的郵件的入侵。對(duì)于服務(wù)破壞的防范，則可以分成一下幾個(gè)方面。3)防止來(lái)自外部網(wǎng)絡(luò)的攻擊，包括拒絕來(lái)自指定地址和域名的郵件服務(wù)器連接請(qǐng)求，拒絕收信人數(shù)量大于預(yù)定上限的郵件，限制單個(gè)IP地址的連接數(shù)量，暫時(shí)擱置可疑的信息等。采用這些措施可以有效地拒絕垃圾郵件，保證網(wǎng)絡(luò)和郵件的暢通。同時(shí)使用網(wǎng)絡(luò)防火墻對(duì)進(jìn)入郵件服務(wù)器E-mail的地址和風(fēng)險(xiǎn)的關(guān)鍵字進(jìn)行控制、過濾以屏蔽不良的E-mail。4)防止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊，包括拒絕來(lái)自指定用戶、IP地址和域名的郵件服務(wù)請(qǐng)求，強(qiáng)制實(shí)施SMTP認(rèn)證，實(shí)現(xiàn)SSL POP 和SSL SMTP

37、以確認(rèn)用戶身份等。5)在郵件服務(wù)器上使用防病毒軟件，監(jiān)控收、發(fā)的郵件中是否有病毒，并自動(dòng)采取清除病毒的措施。6)及時(shí)更新郵件服務(wù)器軟件和系統(tǒng)補(bǔ)丁，發(fā)現(xiàn)安全漏洞要及時(shí)修補(bǔ)，不能存在僥幸心里。 郵件客戶端的安全E-mail是目前網(wǎng)絡(luò)上傳播病毒與黑客程序的主要途徑之一。唯有加強(qiáng)危機(jī)意識(shí)和網(wǎng)絡(luò)安全知識(shí)，才能更好地保障用戶計(jì)算機(jī)網(wǎng)絡(luò)安全。郵件客戶端的安全防范主要有一下幾點(diǎn)。1)不輕易打開來(lái)歷不明的電子郵件。特別是來(lái)歷不明又包含附件的郵件，即使附件看來(lái)好像是.jpg(圖形文件)文件，也不要輕易打開它，因?yàn)閃indows允許用戶在文件命名時(shí)使用多個(gè)后綴，而許多電子郵件程序只顯示第一個(gè)后綴。2)警惕欺騙性的電

38、子郵件。針對(duì)值得懷疑的E-mail要采取措施證實(shí)是否確有其事。3)及時(shí)更新郵件客戶端軟件并及時(shí)打補(bǔ)丁。4)使用并時(shí)常升級(jí)防毒軟件，定期對(duì)計(jì)算機(jī)進(jìn)行病毒檢查。最好選用有郵件防火墻的防病毒軟件。5)對(duì)保密性要求較高的郵件使用數(shù)字標(biāo)識(shí)對(duì)郵件進(jìn)行加密。這樣使得郵件只有預(yù)定的接收著才能接收閱讀，但用戶必須獲得對(duì)方的數(shù)字標(biāo)識(shí)。第五章 網(wǎng)絡(luò)病毒防范5.1 計(jì)算機(jī)病毒概述計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，給人們的生活帶來(lái)了極大的方便，然而計(jì)算機(jī)在給我們帶來(lái)便捷的同時(shí)，也給我們帶來(lái)了不利的因素，那就是計(jì)算機(jī)病毒?，F(xiàn)如今，計(jì)算機(jī)病毒對(duì)整個(gè)系統(tǒng)以及網(wǎng)絡(luò)的危害是匪夷所思的。因此，對(duì)于任何使用計(jì)算機(jī)的個(gè)人和單位，都必須學(xué)會(huì)

39、如何來(lái)防范計(jì)算機(jī)病毒。 計(jì)算機(jī)病毒的定義“計(jì)算機(jī)病毒”有很多種定義，從廣義上講，凡是能引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)中數(shù)據(jù)的程統(tǒng)稱為計(jì)算機(jī)病毒?，F(xiàn)在比較準(zhǔn)確的定義是：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。 計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒是一種特殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。1.傳染性2.潛伏性3.破壞性4.可觸發(fā)性5.1.3 計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害性1)破壞磁盤文件分配表，使磁盤上的信息丟失。2)刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件，使文件丟失。3)修改或破壞文

40、件中的數(shù)據(jù)，這時(shí)文件的格式是正常的，但內(nèi)容已經(jīng)發(fā)生改變。4)產(chǎn)生垃圾文件，占據(jù)磁盤及內(nèi)存空間，使磁盤空間逐漸減少。5)破壞硬盤的主引導(dǎo)扇區(qū)，使計(jì)算機(jī)無(wú)法啟動(dòng)。6)對(duì)整個(gè)磁盤或磁盤的特定扇區(qū)進(jìn)行格式化，使磁盤中的全部或部分信息丟失使受損的數(shù)據(jù)難以恢復(fù)。7)非法使用及破壞網(wǎng)絡(luò)中的資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。8)占用CPU運(yùn)行時(shí)間，使主機(jī)運(yùn)行效率降低。5.2 反病毒技術(shù)由于病毒經(jīng)常給我們的計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重的損壞，有時(shí)甚至是致命的打擊。所以，我們就必須使用各種方法來(lái)防范計(jì)算機(jī)病毒，既而，反病毒技術(shù)也得到了迅速的發(fā)展。 計(jì)算機(jī)病毒的防范防治感染病毒主要有兩種手段：一是用

41、戶遵守和加強(qiáng)安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢(shì)，把防病毒納入到網(wǎng)絡(luò)安全體系中。形成一套完整的安全機(jī)制，使病毒無(wú)法逾越計(jì)算機(jī)安全保護(hù)的屏障，病毒便無(wú)法廣泛傳播。1.在思想和制度方面1)加強(qiáng)立法，健全管理制度。2)加強(qiáng)教育和宣傳，打擊盜版。2.在技術(shù)措施方面1)系統(tǒng)安全對(duì)病毒的預(yù)防依賴于計(jì)算機(jī)系統(tǒng)本身的安全，而系統(tǒng)的安全又首先依賴于操作系統(tǒng)的安全。開發(fā)并完善高安全的操作系統(tǒng)并向之遷移，例如，從DOS平臺(tái)移至安全性較高的UNIX或Windows 2000平臺(tái)，并且跟隨版本和操作系統(tǒng)補(bǔ)丁的升級(jí)而全面升級(jí)，是有效防止病毒的

42、入侵和蔓延的一種根本手段。2)軟件過濾軟件過濾的目的是識(shí)別某一類特殊的病毒，防止它們進(jìn)入系統(tǒng)和不斷復(fù)制。對(duì)于進(jìn)入系統(tǒng)內(nèi)的病毒，一般采用專家系統(tǒng)對(duì)系統(tǒng)參數(shù)進(jìn)行分析，以識(shí)別系統(tǒng)的不正常處和未經(jīng)授權(quán)的改變。3)軟件加密軟件加密是對(duì)付病毒的有效技術(shù)措施，由于開銷較大，目前只用于特別重要的系統(tǒng)。軟件加密就是將系統(tǒng)中可執(zhí)行文件加密。若施放病毒者不能在可執(zhí)行文件加密前得到該文件，或不能破譯加密算法，則該文件不可能被感染。即使病毒在可執(zhí)行文件加密前傳染了該文件，該文件解碼后，病毒也不能向其他可執(zhí)行文件傳播，從而杜絕了病毒的復(fù)制。4)備份恢復(fù)定期或不定期地進(jìn)行磁盤文件備份，確保每一個(gè)細(xì)節(jié)的準(zhǔn)確、可靠，在萬(wàn)一系統(tǒng)

43、崩潰時(shí)最大限度地恢復(fù)系統(tǒng)。對(duì)付病毒破壞最有效的辦法就是制作備份。將程序和數(shù)據(jù)分別備份在不同的磁盤上，當(dāng)系統(tǒng)遭遇病毒攻擊時(shí)，可通過與后備副本比較或重新裝入一個(gè)備份的、干凈的源程序來(lái)解決。5)建立嚴(yán)密的病毒監(jiān)視體系后臺(tái)實(shí)時(shí)掃描病毒的應(yīng)用程序也可有效地預(yù)防病毒的侵襲。它能對(duì)E-mail的附加部分、下載的Internet文件、以及正在打開的文件進(jìn)行實(shí)時(shí)掃描檢測(cè)，確認(rèn)無(wú)異常后再繼續(xù)向下執(zhí)行，若有異常，則提問并停止執(zhí)行。及時(shí)對(duì)反病毒軟件進(jìn)行升級(jí)，能有效地防止病毒的入侵和擴(kuò)散。對(duì)于聯(lián)網(wǎng)的計(jì)算機(jī)最好使用網(wǎng)絡(luò)版的反病毒軟件，這樣便于集中管理、軟件升級(jí)和病毒監(jiān)控。6)在內(nèi)部網(wǎng)絡(luò)出口進(jìn)行訪問控制網(wǎng)絡(luò)病毒一般都使用某

44、些特定的端口收發(fā)數(shù)據(jù)包以進(jìn)行網(wǎng)絡(luò)傳播，在網(wǎng)絡(luò)出口的防火墻或路由器上禁止這端口訪問內(nèi)網(wǎng)絡(luò)，可以有效地防止內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)感染網(wǎng)絡(luò)病毒。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范措施只有建立一個(gè)有層次的、立體的防病毒體系，才能有效制止病毒在網(wǎng)路內(nèi)部的蔓延。1)在計(jì)算機(jī)網(wǎng)路中，要保證系統(tǒng)管理員有最高的訪問權(quán)限，避免過多地出現(xiàn)超級(jí)用戶。超級(jí)用戶登錄后將擁有服務(wù)器目錄下的全部訪問權(quán)限，一旦帶入病毒，將產(chǎn)生更為嚴(yán)重的后果。為工作站上用戶賬號(hào)設(shè)置復(fù)雜的密碼。2)對(duì)非共享軟件，將其執(zhí)行文件（如* 、*.Exe等）定期備份，當(dāng)計(jì)算機(jī)異常出現(xiàn)問題時(shí)，將文件恢復(fù)到本地硬盤上進(jìn)行重寫操作。3)建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程

45、和規(guī)章制度，定期做文件備份和病毒檢測(cè)。4)目前預(yù)防病毒最好的辦法就是在計(jì)算機(jī)中安裝具有實(shí)時(shí)監(jiān)控功能的防病毒軟件，并及時(shí)升級(jí)。第六章 防火墻及相關(guān)技術(shù)應(yīng)用6.1 防火墻概述防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的安全性計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),被廣泛應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)互聯(lián)環(huán)境之中。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，受到越來(lái)越多用戶的關(guān)注。通常的購(gòu)買網(wǎng)絡(luò)安全設(shè)備時(shí)，總是把防火墻放在首位。目前出現(xiàn)的很多網(wǎng)絡(luò)安全問題都證明大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)的。防火墻技術(shù)在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中起著非常重要的作用，已經(jīng)成為世界上用的最多的網(wǎng)絡(luò)安全

46、產(chǎn)品之一。但是客觀地講，防火墻并不能完全解決網(wǎng)絡(luò)安全問題，而只是網(wǎng)絡(luò)安全政策中的一個(gè)組成部分。 防火墻的概念防火墻的本義原是指房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。然而，多數(shù)防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開房屋。因此，防火墻在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中的防火墻指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合，作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，并根據(jù)用戶的有關(guān)安全策略控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出不同網(wǎng)絡(luò)安全域的訪問，如圖6-1所示。Internet 內(nèi)部網(wǎng)防火墻路由器 圖6-1防火墻系統(tǒng)模型防火墻的功能防

47、火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，通過控制和檢測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)重要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)具有以下五大基本功能。1)過濾進(jìn)、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。2)管理進(jìn)、出內(nèi)部網(wǎng)絡(luò)的訪問行為。3)封堵某些禁止的業(yè)務(wù)。4)記錄通過防火墻的信息內(nèi)容和活動(dòng)。5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。除此之外，有的防火墻還根據(jù)需求包括其他的功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、雙重DNS、虛擬專用網(wǎng)（VPN）、掃毒功能、負(fù)載均衡和記費(fèi)等功能。 防火墻的局限性通常，人們認(rèn)為防火墻可以保護(hù)處于它身后的內(nèi)部網(wǎng)絡(luò)不受外界的侵襲和干擾，但隨

48、著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過程中暴露出以下不足和弱點(diǎn)。1)防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無(wú)法檢查。2)防火墻不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。3)由于防火墻性能上的限制，因此它通常不具備時(shí)實(shí)監(jiān)控入侵的能力。4)防火墻不能防止受病毒感染的文件的傳輸。5)防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進(jìn)行的攻擊。6)防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻是無(wú)能為力的。7)防火墻不能防止本身的安全漏洞和威脅。防火墻保護(hù)別人有時(shí)卻無(wú)法保護(hù)自己，目前還沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。因此對(duì)防火墻也必須提

49、出某種安全保護(hù)。由于防火墻的局限性，因此僅在內(nèi)部網(wǎng)絡(luò)入口設(shè)置防火墻系統(tǒng)不能有效地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。而入侵檢測(cè)系統(tǒng)（IDS）可以彌補(bǔ)防火墻的不足，它為網(wǎng)絡(luò)提供時(shí)實(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段。IDS系統(tǒng)作為必要附加手段，已經(jīng)為大多數(shù)企業(yè)的安全構(gòu)架所接受。6.2 防火墻的分類防火墻有很多種分類方法：依據(jù)實(shí)現(xiàn)的方法不同，可分為軟件防火墻、硬件防火墻和專用防火墻；根據(jù)采用的技術(shù)不同，可分為包過濾防火墻和代理服務(wù)防火墻；按照應(yīng)用對(duì)象的不同，可分為企業(yè)級(jí)防火墻與個(gè)人防火墻。6.3 防火墻的策略防火墻要實(shí)現(xiàn)其應(yīng)有的功能，關(guān)鍵在于正確的配置，許多有防火墻的站點(diǎn)被篡改，往往不是防火墻本身的

50、缺陷造成的，而是由于防火墻管理員配置不正確造成的。而要配置好一個(gè)防火墻，關(guān)鍵不在于對(duì)防火墻本身如何使用，而在于制定好安全策略。1.網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級(jí)策略中定義的服務(wù)。2.服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。3.防火墻設(shè)計(jì)策略防火墻設(shè)計(jì)策略基于特定的Firewall，定義完

51、成服務(wù)訪問策略的規(guī)則。通常有兩種基本設(shè)計(jì)策略，即禁止任何服務(wù)除非被明確允許和允許任何服務(wù)除非被明確禁止。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，通常采用第二種類型的設(shè)計(jì)策略。而多數(shù)防火墻都是在兩者之間采取折衷。4.增強(qiáng)的認(rèn)證許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機(jī)制。即使用戶使用復(fù)雜的難于猜測(cè)和破譯的口令，攻擊者仍然可以在Internet上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡、認(rèn)證令牌、生理特征（指紋）以及基于軟件（RSA）等技術(shù)，用以克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)，它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和

52、密鑰。目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰。6.4 入侵檢測(cè)系統(tǒng)隨著網(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜，網(wǎng)絡(luò)攻擊工具與手段的越來(lái)越多樣化，單純的網(wǎng)絡(luò)防火墻、防病毒技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)安全的需要。更好的防御措施是通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的信息進(jìn)行收集并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。對(duì)網(wǎng)絡(luò)系統(tǒng)中的信息進(jìn)行收集和分析的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)系統(tǒng)的功能入侵檢測(cè)系統(tǒng)已成為抵御網(wǎng)絡(luò)攻擊的一種有效方式。入侵檢測(cè)主要用來(lái)監(jiān)視和分析用戶及系統(tǒng)的活動(dòng)，實(shí)時(shí)收集網(wǎng)絡(luò)中的有關(guān)信息和數(shù)據(jù)，與預(yù)先定義的攻擊特征進(jìn)行比較，對(duì)其進(jìn)行分析及發(fā)現(xiàn)隱藏在其中的攻

53、擊行為，從而實(shí)現(xiàn)實(shí)時(shí)地檢測(cè)攻擊行為，并獲取攻擊證據(jù)、報(bào)警和制止攻擊者的行為等。入侵檢測(cè)系統(tǒng)可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，可以提供對(duì)內(nèi)部攻擊、外部攻擊的實(shí)時(shí)保護(hù)，是一種主動(dòng)的網(wǎng)絡(luò)訪問監(jiān)控手段。1.入侵檢測(cè)系統(tǒng)的主要功能1)監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)。2)檢查系統(tǒng)配置和漏洞。3)評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。4)識(shí)別已知的攻擊行為。5)統(tǒng)計(jì)分析異常行為。6)操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。7)在線升級(jí)功能。入侵檢測(cè)產(chǎn)品的選購(gòu)原則目前，入侵監(jiān)測(cè)產(chǎn)品很多，在選購(gòu)過程中要注意一下基本原則。1)能監(jiān)測(cè)的攻擊數(shù)量是多少，是否支持升級(jí)，升級(jí)是否方便及時(shí)。2)最大可處理流量是

54、多少，是否能滿足網(wǎng)絡(luò)的需要，注意不要產(chǎn)生網(wǎng)絡(luò)瓶頸。3)產(chǎn)品應(yīng)該不易被攻擊者躲避。4)多數(shù)產(chǎn)品存在誤報(bào)和漏報(bào)，要注意產(chǎn)品的誤報(bào)和漏報(bào)率。5)入侵監(jiān)測(cè)系統(tǒng)本身的安全非常重要，必須有自我保護(hù)機(jī)制，防止成為攻擊目標(biāo)。6)系統(tǒng)易于管理和維護(hù)。由于用戶的實(shí)際情況不同，因此用戶需根據(jù)自己的安全需要綜合考慮。6.5 虛擬專用網(wǎng)（VPN）VPN 即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN隧道實(shí)際上是指兩個(gè)路由器之間如何進(jìn)行數(shù)據(jù)加密的協(xié)議，一旦兩個(gè)路由器協(xié)商建立一個(gè)安全的加密連接，從源主機(jī)來(lái)的數(shù)據(jù)包就會(huì)按協(xié)議進(jìn)行加密，然后發(fā)送給對(duì)

55、等路由器。對(duì)等路由器解密數(shù)據(jù)并轉(zhuǎn)發(fā)給自己局域網(wǎng)上的相應(yīng)主機(jī)。這個(gè)連接之所以被看成是一個(gè)隧道，是因?yàn)閮蓚€(gè)局域網(wǎng)的主機(jī)并未察覺它們的數(shù)據(jù)被加密了。VPN隧道原理圖如圖6-5所示。圖6-5 VPN隧道原理示意圖通常，VPN 是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 VPN 可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)，它極大地降低了用戶的費(fèi)用，而且

56、提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。第七章 某家具公司網(wǎng)絡(luò)安全規(guī)劃項(xiàng)目背景：X公司是一家家具設(shè)計(jì)，制造，銷售為一體的中型企業(yè)。公司有分公司一家，分公司有約30臺(tái)計(jì)算機(jī)，現(xiàn)需對(duì)企業(yè)網(wǎng)絡(luò)的安全進(jìn)行規(guī)劃。項(xiàng)目要求：1將防火墻布置在網(wǎng)絡(luò)邊緣，隔離來(lái)自外網(wǎng)的風(fēng)險(xiǎn)。2實(shí)現(xiàn)生產(chǎn)部、財(cái)務(wù)、人士等部門的隔離，將風(fēng)險(xiǎn)因素隔離在網(wǎng)絡(luò)局部。3監(jiān)管員工風(fēng)險(xiǎn)網(wǎng)絡(luò)行為。4操作系統(tǒng)安全。5重要信息安全備份。6與分公司遠(yuǎn)程接入。項(xiàng)目規(guī)劃：1網(wǎng)關(guān)安全網(wǎng)絡(luò)防火墻對(duì)于本公司來(lái)說，我的方案是將硬件防火墻Cisco5540部署在局域網(wǎng)邊緣，在硬件防火強(qiáng)之后部署forefront TMG服務(wù)器，可以實(shí)現(xiàn)如下功能：a.網(wǎng)絡(luò)防火墻：TMG服務(wù)器提供靈活的防火墻配置，我們可以限定特殊用戶訪問Internet，比如上班時(shí)間禁止員工瀏覽視頻網(wǎng)站，禁止員工訪問有風(fēng)險(xiǎn)的網(wǎng)站等。b. WEB訪問緩存：TMG服務(wù)器可以作為WEB訪問的代理服務(wù)器。c.還可以實(shí)現(xiàn)安全VPN接入功能。2全網(wǎng)安全防護(hù)IPS（入侵防御系統(tǒng)）