第5章計算機安全與網(wǎng)絡(luò)安全5.1計算機安全5.2計算機病毒5.3網(wǎng)絡(luò)安全5.4應(yīng)用系統(tǒng)安全

5.1計

算

機

安

全

5.1.1計算機安全的定義國際標準化組織(ISO)將計算機安全定義為：“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露?！敝袊膊坑嬎銠C管理監(jiān)察司則將其定義為：“計算機安全是指計算機資產(chǎn)安全，即計算機信息系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害?！?/p>

計算機病毒作為一種潛藏于計算機軟件中的隱蔽程序，能夠像其他正常工作程序一樣執(zhí)行，但會破壞正常的程序和數(shù)據(jù)文件。如果是惡性病毒，則其破壞力足以導(dǎo)致整個計算機軟件系統(tǒng)全面崩潰，進而造成數(shù)據(jù)徹底丟失。為有效防范病毒侵襲，關(guān)鍵在于強化安全管理措施，避免訪問潛在風險的數(shù)據(jù)源，同時運用殺毒軟件并確保其得到及時的升級與更新。

非法訪問是指未經(jīng)授權(quán)的用戶通過盜用或偽造合法身份，非法進入計算機系統(tǒng)，進而擅自獲取、篡改、轉(zhuǎn)移或復(fù)制其中的數(shù)據(jù)。為應(yīng)對這一威脅，可采取以下防范措施：

一是構(gòu)建完善的軟件系統(tǒng)安全機制，如增設(shè)用戶身份驗證、口令保護以及權(quán)限分配等，以阻止非法用戶以合法身份進入系統(tǒng)；

二是對敏感數(shù)據(jù)進行加密處理，確保即使非法用戶成功入侵系統(tǒng)，也無法在無密鑰的情況下解讀數(shù)據(jù)；

三是在計算機內(nèi)設(shè)置操作日志，對重要數(shù)據(jù)的讀、寫、修改等操作進行實時記錄與監(jiān)控。

計算機硬件損壞會導(dǎo)致計算機存儲數(shù)據(jù)無法讀取。防止此類事故的發(fā)生可采取以下措施：

一是定期對有用數(shù)據(jù)進行備份保存，以便在機器出現(xiàn)故障時能夠在修復(fù)后將數(shù)據(jù)恢復(fù)；

二是在計算機系統(tǒng)中使用RAID技術(shù)，將數(shù)據(jù)同時存在多個硬盤上以提高數(shù)據(jù)的可靠性和容錯性，在安全性要求極高的特殊場合還可以使用雙主機架構(gòu)，以確保一臺主機出現(xiàn)故障時另一臺主機仍能繼續(xù)正常運行。

5.1.2計算機硬件安全

計算機在使用過程中，對外部環(huán)境有一定的要求，即計算機周圍的環(huán)境應(yīng)保持清潔，維持適宜的溫度條件以及穩(wěn)定的電源電壓，以保證計算機硬件可靠地運行。在計算機安全技術(shù)領(lǐng)域，加固技術(shù)是一項重要的技術(shù)手段，經(jīng)過加固處理的計算機具備良好的抗震、防水、防化學腐蝕等能力，可以在野外全天候環(huán)境下運行。從系統(tǒng)安全性的角度來看，計算機的芯片和硬件設(shè)備也可能對系統(tǒng)安全構(gòu)成威脅。

硬件泄密問題甚至涉及電源設(shè)備。電源泄密的機制在于，計算機產(chǎn)生的電磁信號可以通過供電線路傳輸出去，攻擊者可以利用特殊設(shè)備從電源線上截獲這些信號并進行還原。

計算機中的每個組件都是可編程控制芯片，一旦掌握了控制芯片的程序，就意味著掌握了計算機芯片的控制權(quán)。只要能控制，就存在安全隱患。因此，在使用計算機時，我們首先要重視并做好硬件的安全防護工作。

5.1.3計算機軟件安全

計算機軟件面臨的安全威脅主要包括非法復(fù)制、軟件跟蹤和軟件質(zhì)量缺陷。

1.非法復(fù)制

計算機軟件作為一種知識密集的商品化產(chǎn)品，在開發(fā)過程中需要花費大量的人力、物力，為開發(fā)軟件而付出的成本往往是硬件價值的數(shù)倍甚至數(shù)百倍。然而，計算機軟件產(chǎn)品的易復(fù)制性對軟件產(chǎn)品的產(chǎn)權(quán)威脅日趨嚴重。對于盜版所帶來的稅收、就業(yè)、法律等諸多問題都引起了各國政府的高度關(guān)注，非法復(fù)制軟件已經(jīng)帶來了嚴重的社會問題。

2.軟件跟蹤

計算機軟件在開發(fā)出來以后，常有不法分子利用各種程序調(diào)試分析工具對程序進行跟蹤和逐條運行、竊取軟件源碼、取消防復(fù)制和加密功能，從而實現(xiàn)對軟件的動態(tài)破譯。當前軟件跟蹤技術(shù)主要是利用系統(tǒng)中提供的單步中斷和斷點中斷功能實現(xiàn)的，可分為動態(tài)跟蹤和靜態(tài)分析兩種。動態(tài)跟蹤是指利用調(diào)試工具強行把程序中斷到某處，使程序單步執(zhí)行，從而跟蹤分析；靜態(tài)分析是指利用反編譯工具將軟件反編譯成源代碼的形式進行分析。

3.軟件質(zhì)量缺陷

由于多種因素，軟件開發(fā)商所提供的軟件不可避免地存在這樣或那樣的缺陷，即漏洞，這些漏洞嚴重威脅著軟件系統(tǒng)安全。全球頂尖軟件供應(yīng)商(如微軟公司)所提供的軟件也不例外。近年來，因軟件漏洞引起的安全事件頻發(fā)并呈上升趨勢。一些熱衷于挖掘軟件漏洞的“高手”往往能夠發(fā)現(xiàn)并利用這些漏洞進行非法活動，對用戶構(gòu)成極大威脅。

5.1.4計算機安全管理制度

為加強組織企事業(yè)單位的計算機安全管理，保障計算機系統(tǒng)的正常運行，發(fā)揮辦公自動化的效益，保證工作正常實施，確保涉密信息安全，一般需要指定專人負責機房管理，并結(jié)合本單位實際情況，制定計算機安全管理制度，例如：

(1)計算機管理實行“誰使用誰負責”的原則。愛護機器，了解并熟悉機器性能，及時檢查并清潔計算機及相關(guān)外設(shè)。

(2)掌握工作軟件、辦公軟件的基本操作和網(wǎng)絡(luò)使用的一般知識。

(3)除非有特殊工作需求，否則各項工作須在內(nèi)部網(wǎng)絡(luò)環(huán)境中進行。存儲在存儲介質(zhì)(U盤、光盤、硬盤、移動硬盤)上的工作內(nèi)容的管理、銷毀都要符合保密要求，嚴防外泄。

(4)禁止在外網(wǎng)、互聯(lián)網(wǎng)或內(nèi)部網(wǎng)絡(luò)上處理涉密信息，涉密信息的處理只能在專用、隔離的計算機上進行。

(5)涉及計算機用戶名、口令密碼、硬件加密的要嚴格保密，嚴禁外泄，密碼設(shè)置應(yīng)遵循復(fù)雜度要求。

(6)配備無線互聯(lián)功能的計算機不得接入內(nèi)部網(wǎng)絡(luò)，且不得處理涉密文件。

(7)非內(nèi)部管理的計算機設(shè)備不得接入內(nèi)部網(wǎng)絡(luò)。

(8)嚴格遵守國家頒布的有關(guān)互聯(lián)網(wǎng)使用的管理規(guī)定，嚴禁登錄非法網(wǎng)站；嚴禁在上班時間上網(wǎng)聊天、玩游戲、看電影、炒股等。

(9)堅持“安全第一、預(yù)防為主”的方針，加強計算機安全教育，增強員工的安全意識和自覺性。計算機應(yīng)進行經(jīng)常性的病毒檢查，計算機操作人員發(fā)現(xiàn)計算機感染病毒后，應(yīng)立即中斷運行，并及時清除，確保計算機的安全。

(10)下班后及時關(guān)閉計算機并切斷電源。

5.2計

算

機

病

毒

5.2.1計算機病毒概述計算機病毒(ComputerVirus)是編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。其生命周期涵蓋開發(fā)、傳染、潛伏、發(fā)作、發(fā)現(xiàn)、消化至消亡的各個階段。計算機病毒通常具有隱蔽性、破壞性、傳染性、寄生性、可執(zhí)行性、可觸發(fā)性等特征。

1.計算機病毒的特征

(1)隱蔽性。計算機病毒不易被發(fā)現(xiàn)，因其具有較強的隱蔽性，常以隱藏文件或程序代碼的方式存在，難以通過常規(guī)病毒掃描手段有效檢測和清除。病毒可能會偽裝成正常程序，甚至被設(shè)計成病毒修復(fù)程序，誘導(dǎo)用戶執(zhí)行，從而實現(xiàn)病毒代碼的植入和計算機系統(tǒng)的入侵。這種隱蔽性導(dǎo)致計算機安全防范處于被動局面，構(gòu)成嚴重的安全威脅。

(2)破壞性。病毒一旦侵入計算機系統(tǒng)，就可能帶來極大的破壞性，包括數(shù)據(jù)信息的損毀和計算機系統(tǒng)的大面積癱瘓，給用戶造成重大損失。

(3)傳染性。計算機病毒具有顯著的傳染性，它能夠通過U盤、網(wǎng)絡(luò)等多種途徑傳播感染計算機系統(tǒng)。在入侵之后，病毒能夠進一步擴散，感染更多的計算機，導(dǎo)致大規(guī)模系統(tǒng)癱瘓等嚴重后果。

(4)寄生性。計算機病毒需要在宿主系統(tǒng)中寄生才能生存并發(fā)揮其破壞功能。病毒通常寄生在其他正常程序或數(shù)據(jù)中，通過特定媒介進行傳播。在宿主計算機運行過程中，一旦滿足特定條件，病毒即被激活，并隨著程序的啟動對宿主計算機文件進行不斷修改，發(fā)揮其破壞作用。

(5)可執(zhí)行性。計算機病毒與其他合法程序一樣，是一段可執(zhí)行代碼，但它不是一個完整的程序，而是寄生在其他可執(zhí)行程序上，因此享有與合法程序相同的權(quán)限。

(6)可觸發(fā)性。病毒因特定事件或數(shù)值的出現(xiàn)而被激活，進而實施對計算機系統(tǒng)中文件的感染或攻擊。

(7)攻擊的主動性。病毒對計算機系統(tǒng)的攻擊是主動的，無論系統(tǒng)采取多么嚴密的防護措施，都不可能徹底地排除病毒的攻擊，防護措施至多只能作為一種預(yù)防的手段而已。

(8)病毒的針對性。有些計算機病毒是針對特定的計算機和特定的操作系統(tǒng)進行設(shè)計的，例如有針對IBMPC及其兼容機的，有針對Apple公司的Macintosh的，還有針對UNIX操作系統(tǒng)的，如小球病毒就是針對IBMPC及其兼容機上的DOS操作系統(tǒng)的。

2.計算機病毒的類型

計算機病毒依據(jù)其依附媒介的不同，可被劃分為三類：

一是通過計算機網(wǎng)絡(luò)感染可執(zhí)行文件的網(wǎng)絡(luò)病毒；

二是主攻計算機內(nèi)文件的文件病毒；

三是主攻感染磁盤驅(qū)動扇區(qū)及硬盤系統(tǒng)引導(dǎo)扇區(qū)的引導(dǎo)型病毒。

(1)網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒依據(jù)其功能特性，可進一步細分為木馬病毒和蠕蟲病毒。木馬病毒是一種后門程序，它會潛伏在操作系統(tǒng)中竊取用戶的敏感信息，比如QQ、網(wǎng)上銀行、游戲的賬號、密碼等。相比之下，蠕蟲病毒在傳播手段與危害性上更為復(fù)雜與嚴重。

(2)文件病毒。文件病毒主要通過感染計算機中的可執(zhí)行文件(.exe)和命令文件(.com)，修改計算機的源文件，使其轉(zhuǎn)變?yōu)閿y帶病毒的新文件。一旦計算機運行這些被修改的文件就會被感染，從而實現(xiàn)病毒的傳播。

(3)引導(dǎo)型病毒。引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。這類病毒利用系統(tǒng)引導(dǎo)時不驗證主引導(dǎo)區(qū)內(nèi)容正確性的缺陷，在系統(tǒng)引導(dǎo)的過程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運行，伺機傳染和破壞。按照在硬盤上的寄生位置，引導(dǎo)型病毒又可進一步細分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。主引導(dǎo)記錄病毒感染硬盤的主引導(dǎo)區(qū)，如大麻病毒、2708病毒、火炬病毒等；分區(qū)引導(dǎo)記錄病毒感染硬盤的活動分區(qū)引導(dǎo)記錄，如小球病毒、Girl病毒等。

3.計算機病毒的傳播方式

計算機病毒具有特定的傳輸機制及多樣化的傳播渠道。其核心功能在于自我復(fù)制和傳播，這一特性使得計算機病毒易于在任何能夠進行數(shù)據(jù)交換的環(huán)境中迅速擴散。計算機病毒的傳播方式主要有以下三種：

(1)通過移動存儲設(shè)備傳播：如U盤、CD、軟盤、移動硬盤等存儲設(shè)備因頻繁移動與使用而易于成為計算機病毒的載體，它們?yōu)椴《咎峁┝藦V泛的傳播路徑，并因此受到計算機病毒的高度青睞。

(2)通過網(wǎng)絡(luò)傳播：此方式涉及多種網(wǎng)絡(luò)媒介，如網(wǎng)頁、電子郵件、即時通訊軟件(如QQ)、電子公告板(BBS)等，均可作為計算機病毒在網(wǎng)絡(luò)傳播的渠道。近年來，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)傳輸速度的提升，計算機病毒的傳播速度日益加快，波及范圍也在逐步擴大。

(3)利用系統(tǒng)和應(yīng)用軟件漏洞傳播：近年來，眾多的計算機病毒開始利用操作系統(tǒng)和應(yīng)用軟件的安全漏洞進行傳播，這一途徑已被視為計算機病毒傳播的主要方式之一。

5.2.2常見的計算機病毒

1.?CIH病毒

CIH病毒是一種具有高度破壞性的計算機惡意軟件，其目標直指計算機系統(tǒng)的硬件層面。該病毒由臺灣大學生陳盈豪開發(fā)，最初通過國際知名的兩大盜版集團販賣的盜版光盤在歐美等地區(qū)廣泛傳播，隨后借助互聯(lián)網(wǎng)的力量迅速傳播到全世界各個角落。

2.蠕蟲病毒

蠕蟲病毒是一種具備自我復(fù)制能力的惡意代碼，并且能夠通過網(wǎng)絡(luò)傳播，無須人為干預(yù)即可實現(xiàn)廣泛傳播的病毒。一旦蠕蟲病毒成功入侵并完全掌控一臺計算機，該機器隨即成為其宿主，蠕蟲病毒會利用此宿主掃描并試圖感染網(wǎng)絡(luò)中的其他計算機，這一過程將持續(xù)進行，形成連鎖反應(yīng)。典型的蠕蟲病毒是“熊貓燒香”，它在2007年1月初于網(wǎng)絡(luò)上迅速蔓延。該病毒具備自動傳播的功能，能夠自動感染宿主計算機硬盤中的多種文件類型，如exe、com、pif、src、html、asp等。

3.勒索病毒

勒索病毒主要通過郵件、程序木馬以及網(wǎng)頁掛馬等手段進行傳播。該類病毒利用多種復(fù)雜的加密算法對目標文件進行加密處理，被感染者一般無法解密，必須拿到解密的密鑰才能破解。2017年5月起，一款名為“WannaCry”的勒索病毒瘋狂地襲擊了全球100多個國家，英國有超過40家醫(yī)院的計算機受到大規(guī)模攻擊后淪陷，不得不使用紙筆進行緊急預(yù)案。

4.震網(wǎng)病毒

震網(wǎng)病毒又名Stuxnet病毒，是一個席卷全球工業(yè)界的病毒，于2010年6月首次被檢測出來，此病毒是第一個針對現(xiàn)實世界中的基礎(chǔ)設(shè)施(如核電站、水壩、國家電網(wǎng))實施定向攻擊的“蠕蟲”病毒先例。作為世界上首個網(wǎng)絡(luò)“超級破壞性武器”，震網(wǎng)病毒已經(jīng)感染了全球超過45?000個網(wǎng)絡(luò)，其中伊朗遭到的攻擊最為嚴重，超過60%的個人計算機感染了這種病毒。

5.木馬病毒

《荷馬史詩》記載了這樣一個故事：希臘大軍圍住特洛伊城，但久攻不下。緊要關(guān)頭，智慧女神雅典娜幫希臘人做了一個大木馬。有一天，希臘大軍乘船揚帆而去，海灘上留下一個巨型木馬。特洛伊人好奇地圍上去，一個被捉的希臘人告訴特洛伊國王：木馬是希臘人祭祀雅典娜的，毀了它會激怒天神，如果把木馬拖回城，會給特洛伊帶來福音。

木馬(Trojan)也稱木馬病毒，是指通過特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是控制端，另一個是被控制端。木馬病毒與其他計算機病毒的區(qū)別是，它不會自我繁殖，也不會主動去感染其他文件，和故事中的“木馬”一樣，它通過偽裝自身吸引用戶下載執(zhí)行，向施種木馬者提供打開被種木馬主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。

當前最為流行的木馬就是“挖礦木馬”。2017年國內(nèi)網(wǎng)絡(luò)安全公司火絨安全發(fā)布預(yù)警：知名激活工具KMSpico中含有病毒，當用戶從其網(wǎng)站上下載安裝到自己的計算機中時，就會被植入挖礦木馬“Trojan/Miner”。據(jù)安全研究人員分析，該挖礦木馬一旦入侵用戶的計算機設(shè)備，就會瘋狂地利用用戶計算機挖礦來計算生產(chǎn)門羅幣，讓這些用戶的設(shè)備成為黑客謀取利益的工具。

除此之外，常見的木馬病毒還有以下幾種：

(1)盜號木馬：此類木馬會隱匿在系統(tǒng)中，伺機盜取用戶各類賬號及密碼信息。

(2)下載者木馬：此類木馬通過下載其他病毒來間接對系統(tǒng)產(chǎn)生安全威脅。下載者木馬通常體積較小，并輔以誘惑性的名稱和圖標誘騙用戶使用。由于體積較小，下載者木馬更易傳播，且傳播速度很快。

(3)釋放器木馬：此類木馬通過釋放其他病毒來間接對系統(tǒng)產(chǎn)生安全威脅。

(4)點擊器木馬：此類木馬會在后臺通過訪問特定網(wǎng)址來“刷流量”，使病毒作者獲利，并會占用被感染主機的網(wǎng)絡(luò)帶寬。

(5)代理木馬：此類木馬會在被感染主機上設(shè)置代理服務(wù)器，黑客可將被感染主機作為網(wǎng)絡(luò)攻擊的跳板，以被感染者的身份進行黑客活動，達到隱藏自己、躲避執(zhí)法者追蹤的目的。

5.2.3計算機病毒的危害與防范措施

1.計算機病毒的危害

大部分計算機病毒在激發(fā)的時候會直接破壞重要信息數(shù)據(jù)，如直接篡改CMOS設(shè)置、刪除重要文件、執(zhí)行磁盤格式化操作、改寫目錄區(qū)以及用“垃圾”數(shù)據(jù)來改寫文件等。由于計算機病毒是一段可執(zhí)行的計算機代碼，它們會大幅占用計算機的內(nèi)存空間，特別是某些大型的病毒還會在計算機內(nèi)部自我復(fù)制，導(dǎo)致計算機內(nèi)存可用空間大幅度減少。此外病毒運行時還會搶占中斷、修改中斷地址，并在中斷過程中插入惡意代碼(即病毒的“私貨”)，進而干擾系統(tǒng)的正常運行。

2.計算機病毒的防范措施

計算機病毒持續(xù)不斷地監(jiān)視著計算機系統(tǒng)，隨時準備發(fā)起攻擊，但計算機病毒也不是不可控制的，可以通過以下措施有效減輕其對計算機的破壞。

(1)部署并更新防病毒軟件：安裝最新版本的殺毒軟件，每天升級殺毒軟件病毒庫，定時對計算機進行病毒查殺，上網(wǎng)時開啟殺毒軟件的全部監(jiān)控。培養(yǎng)良好的上網(wǎng)習慣，如對不明郵件及附件慎重打開，避免訪問可能帶有病毒的網(wǎng)站，使用較為復(fù)雜的密碼等。

(2)謹慎處理網(wǎng)絡(luò)下載與瀏覽：不要運行從網(wǎng)絡(luò)下載后未經(jīng)殺毒處理的軟件，不要隨意瀏覽或登錄陌生的網(wǎng)站，以增強自我保護能力?，F(xiàn)在有很多非法網(wǎng)站會被植入惡意代碼，一旦用戶訪問這些網(wǎng)站，用戶的計算機即會感染木馬病毒或被安裝上其他惡意軟件。

(3)提升信息安全意識：在使用移動存儲設(shè)備時，盡量減少共享，因為移動存儲設(shè)備既是計算機病毒進行傳播的主要途徑，也是計算機病毒攻擊的主要目標。在對信息安全要求比較高的場所，應(yīng)將計算機的USB接口封閉，在條件允許的情況下應(yīng)做到專機專用。

(4)更新系統(tǒng)與應(yīng)用軟件：及時為操作系統(tǒng)打全系統(tǒng)補丁，同時將應(yīng)用軟件升級到最新版本，如播放器軟件、通信工具等，避免病毒以網(wǎng)頁木馬或應(yīng)用漏洞進行入侵。一旦發(fā)現(xiàn)計算機受到病毒侵害，應(yīng)立即將其隔離。在使用計算機的過程中，若發(fā)現(xiàn)計算機上存在病毒或者計算機異常，應(yīng)該及時中斷網(wǎng)絡(luò)連接。當發(fā)現(xiàn)計算機網(wǎng)絡(luò)一直中斷或者網(wǎng)絡(luò)異常時，應(yīng)立即切斷網(wǎng)絡(luò)，以免病毒在網(wǎng)絡(luò)中進一步傳播。

5.3網(wǎng)

絡(luò)

安

全

5.3.1常見的網(wǎng)絡(luò)攻擊方式近年來，網(wǎng)絡(luò)攻擊事件頻發(fā)，互聯(lián)網(wǎng)上的木馬、蠕蟲、勒索軟件層出不窮，對網(wǎng)絡(luò)安全乃至國家安全構(gòu)成了嚴重的威脅。2022年4月20日，國家計算機病毒應(yīng)急處理中心發(fā)布報告指出，現(xiàn)有國際互聯(lián)網(wǎng)骨干網(wǎng)和世界各地的關(guān)鍵信息基礎(chǔ)設(shè)施當中，只要包含美國公司提供的軟硬件，就極有可能被內(nèi)嵌各類的“后門程序”，從而成為美國政府網(wǎng)絡(luò)攻擊的目標。一般來說，常見的網(wǎng)絡(luò)攻擊方式有以下16種。

1.端口掃描

端口掃描的目的是找出目標系統(tǒng)上提供的服務(wù)列表。端口掃描程序逐個嘗試與TCP/UDP端口連接，然后根據(jù)端口與服務(wù)的對應(yīng)關(guān)系，結(jié)合服務(wù)器端的反應(yīng)推斷目標系統(tǒng)上是否運行了某項服務(wù)，攻擊者通過這些服務(wù)可獲得關(guān)于目標系統(tǒng)的進一步的知識或通往目標系統(tǒng)的途徑。

2.口令破解

口令機制作為資源訪問控制的首要防線，其重要性不言而喻。網(wǎng)絡(luò)攻擊者常常將破解用戶的弱口令作為突破口，以獲取系統(tǒng)的訪問權(quán)限。

3.緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊能夠使攻擊者有機會奪取目標主機的部分乃至全部控制權(quán)。根據(jù)統(tǒng)計數(shù)據(jù)，此類攻擊在遠程網(wǎng)絡(luò)攻擊中占據(jù)了絕大多數(shù)的比例。緩沖區(qū)溢出之所以成為遠程攻擊的主要手段，原因在于其漏洞為攻擊者提供了操控程序執(zhí)行流程的機會。攻擊者通過精心構(gòu)造的攻擊代碼，將其注入含有緩沖區(qū)溢出漏洞的程序中，進而篡改該程序的正常執(zhí)行流程，最終獲取被攻擊主機的控制權(quán)。

4.惡意代碼攻擊

惡意代碼攻擊是網(wǎng)絡(luò)攻擊常見的攻擊手段，其常見類型涵蓋計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門程序、邏輯炸彈以及僵尸網(wǎng)絡(luò)等。這些惡意代碼類型各自具備獨特的傳播機制、潛伏策略和攻擊方式，構(gòu)成了網(wǎng)絡(luò)防御領(lǐng)域需持續(xù)關(guān)注的重大挑戰(zhàn)。

5.拒絕服務(wù)攻擊

拒絕服務(wù)攻擊(DenialofService，DoS)是指攻擊者利用系統(tǒng)或網(wǎng)絡(luò)存在的缺陷，執(zhí)行惡意操作，致使合法系統(tǒng)用戶無法及時獲得應(yīng)有的服務(wù)或系統(tǒng)資源(如網(wǎng)絡(luò)帶寬)，從而導(dǎo)致計算機或網(wǎng)絡(luò)無法正常運行，并可能影響依賴計算機或網(wǎng)絡(luò)服務(wù)的單位不能正常運轉(zhuǎn)。DoS攻擊的本質(zhì)特征是延長服務(wù)等待時間，當服務(wù)等待時間超過用戶的忍耐閾值時，用戶將放棄服務(wù)請求。DoS攻擊通過延遲或阻礙合法用戶享用系統(tǒng)服務(wù)，對關(guān)鍵性和實時性服務(wù)的影響尤為顯著。DoS攻擊與其他攻擊相比具有以下特點：

(1)難確認性：DoS攻擊難以檢測，用戶在服務(wù)未得到及時響應(yīng)時，通常不會認為受到攻擊，而可能將其歸因于系統(tǒng)故障導(dǎo)致的一時性服務(wù)失效。

(2)隱蔽性：DoS攻擊中，正常的服務(wù)請求可能被隱藏在攻擊流量中，使得攻擊行為不易被發(fā)現(xiàn)。

(3)資源有限性：鑒于計算機資源的有限性，DoS攻擊的實現(xiàn)相對容易，攻擊者可以利用有限的資源對目標實施有效的攻擊。

(4)軟件復(fù)雜性：由于軟件本身的復(fù)雜性，其設(shè)計與實現(xiàn)過程中難以完全避免缺陷，因此攻擊者可能利用這些缺陷進行DoS攻擊，如淚滴攻擊等。

6.分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊(DistributedDenialofService，DDoS)是指攻擊者通過植入后門程序從遠程遙控發(fā)動攻擊。攻擊者利用多個已被入侵的跳板主機(也稱為“肉雞”或“僵尸計算機”)作為控制點，進而操控多個代理攻擊主機。通過這種方法，攻擊者能夠同時對已控制的代理攻擊主機發(fā)出干擾指令，并針對受害主機實施大規(guī)模的攻擊。DDoS攻擊通過消耗或占用目標計算機的大量網(wǎng)絡(luò)或系統(tǒng)資源，使得目標計算機無法處理合法的服務(wù)請求，從而導(dǎo)致正常用戶無法訪問。最為常見的DDos攻擊類型主要有：

(1)?SYNFloodAttack(SYN洪水攻擊)：基于TCP協(xié)議三次握手機制的一種DDoS攻擊方式。攻擊者向目標系統(tǒng)發(fā)送大量半開連接請求(SYN數(shù)據(jù)包)，但不完成后續(xù)的握手過程(不發(fā)送ACK響應(yīng))。這導(dǎo)致目標系統(tǒng)的半開連接表迅速填滿，從而無法處理新的合法連接請求，造成服務(wù)拒絕。

(2)?UDPFloodAttack(UDP洪水攻擊)：基于UDP協(xié)議無連接特性的一種DDoS攻擊。攻擊者向目標系統(tǒng)發(fā)送大量UDP數(shù)據(jù)包，由于UDP協(xié)議不建立連接，目標系統(tǒng)需對每個數(shù)據(jù)包進行處理，但攻擊者可偽造源IP地址，使目標系統(tǒng)難以追蹤攻擊源。此攻擊消耗目標系統(tǒng)資源，導(dǎo)致服務(wù)性能下降或完全不可用。

(3)?ICMPFloodAttack(ICMP洪水攻擊)：基于ICMP協(xié)議的一種DDoS攻擊。攻擊者向目標系統(tǒng)發(fā)送大量ICMPEcho請求(Ping數(shù)據(jù)包)，目標系統(tǒng)需對每個請求進行響應(yīng)。由于ICMP協(xié)議無流量控制機制，攻擊者可發(fā)送大量請求占用目標系統(tǒng)的帶寬和處理能力，導(dǎo)致目標系統(tǒng)無法響應(yīng)合法用戶請求。

(4)?HTTP(S)FloodAttack(HTTP/HTTPS洪水攻擊)：針對Web應(yīng)用層的一種DDoS攻擊。攻擊者模擬合法用戶的HTTP(S)請求，向目標Web服務(wù)器發(fā)送大量并發(fā)請求，占用服務(wù)器的資源、帶寬和處理能力。常見的HTTP(S)攻擊方式包括HTTPGET/POST洪水攻擊、HTTPPOST慢速攻擊(Slowloris)、HTTP低速攻擊(SlowPOST)等。

(5)?DNSAmplificationAttack(DNS放大攻擊)：基于DNS協(xié)議特性的一種DDoS攻擊。攻擊者利用開放的DNS服務(wù)器，向目標發(fā)送偽造的DNS查詢請求，并偽造源IP地址為攻擊目標。由于DNS查詢響應(yīng)通常比請求大得多，故此攻擊可放大攻擊流量，對目標系統(tǒng)造成更大壓力。

7.垃圾郵件攻擊

垃圾郵件攻擊是指攻擊者未經(jīng)授權(quán)，利用郵件系統(tǒng)向目標用戶發(fā)送大量未經(jīng)請求或無關(guān)緊要的電子郵件的行為。這些郵件通常包含廣告、欺詐信息、惡意軟件等內(nèi)容，旨在干擾目標用戶的正常使用，甚至可能通過專門的郵件炸彈(mailbomb)程序，短時間內(nèi)發(fā)送大量郵件，以耗盡目標用戶郵箱的磁盤空間，導(dǎo)致用戶無法正常接收和發(fā)送郵件。

8.網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚攻擊是一種借助偽裝成為可信實體(如知名銀行、在線零售商及信用卡公司等享有信譽的品牌)提供虛假在線服務(wù)，運用欺詐策略以非法采集敏感個人信息(如口令、信用卡詳盡信息等)的攻擊方式。

9.網(wǎng)絡(luò)竊聽攻擊

網(wǎng)絡(luò)竊聽是指利用網(wǎng)絡(luò)通信技術(shù)的漏洞或缺陷，使得攻擊者有能力截獲并獲取非自身目標的其他人的網(wǎng)絡(luò)通信數(shù)據(jù)和信息。其中，常見的網(wǎng)絡(luò)竊聽技術(shù)主要包括網(wǎng)絡(luò)嗅探與中間人攻擊等類型。

10.?SQL注入攻擊

SQL注入攻擊是一種代碼注入技術(shù)，它利用應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的驗證不足或處理不當?shù)穆┒?，將惡意的SQL代碼片段注入到應(yīng)用程序原本執(zhí)行的SQL查詢語句中。這種攻擊允許攻擊者繞過應(yīng)用程序的安全控制，直接對后端數(shù)據(jù)庫進行操作，可能導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)庫損壞以及未授權(quán)訪問等嚴重后果。

11.社交工程攻擊

社交工程攻擊是指網(wǎng)絡(luò)攻擊者運用一系列精心策劃的社交手段和策略，以非法獲取目標對象所需敏感信息的行為。在這個過程中，攻擊者可能會采取多種偽裝手法，如偽造系統(tǒng)管理員或其他可信身份，通過電子郵件等通信渠道向特定用戶發(fā)送欺騙性信息，誘使其泄露密碼口令等敏感數(shù)據(jù)(這種手法通常被稱為“釣魚”)。

12.電子監(jiān)聽攻擊

電子監(jiān)聽攻擊是指網(wǎng)絡(luò)攻擊者運用高靈敏度的電子設(shè)備，在遠距離上對電磁波的傳輸過程進行監(jiān)視與截獲的行為。這種攻擊方式利用了電磁波輻射的原理，使得攻擊者能夠通過無線電接收裝置，在不被察覺的情況下捕獲到計算機操作者輸入的字符信息或屏幕顯示的具體內(nèi)容，進而實現(xiàn)對目標系統(tǒng)的非法窺探與信息竊取。

13.會話劫持攻擊

會話劫持是指攻擊者在用戶初始授權(quán)并建立連接之后，通過非法手段接管該會話，從而獲取合法用戶的特權(quán)權(quán)限和控制權(quán)的行為。在此類攻擊中，一旦合法用戶登錄到某臺主機或系統(tǒng)，并在完成工作后未主動切斷連接，攻擊者便有機會利用系統(tǒng)未檢測到連接已斷開的漏洞，乘虛而入接管會話。由于主機或系統(tǒng)并未意識到合法用戶的連接已經(jīng)失效，攻擊者便能夠無縫銜接地利用合法用戶的所有權(quán)限執(zhí)行操作。

14.漏洞掃描攻擊

漏洞掃描是一種采用自動化技術(shù)手段，對遠程或本地計算機系統(tǒng)進行深入分析，以識別并報告潛在安全弱點與漏洞的過程。該過程依賴于專業(yè)的漏洞掃描器，這些掃描器內(nèi)置了豐富的漏洞庫與檢測邏輯，能夠系統(tǒng)性地探測目標系統(tǒng)的安全邊界。在網(wǎng)絡(luò)攻擊者的視角下，漏洞掃描成為一種重要的情報收集手段，用于搜集潛在目標系統(tǒng)的漏洞信息，為后續(xù)的攻擊行動提供有價值的線索與準備。而在安全人員的防御工作中，漏洞掃描則成為不可或缺的安全評估工具，用于及時發(fā)現(xiàn)并修復(fù)系統(tǒng)存在的安全缺陷。

15.代理攻擊

代理攻擊是指網(wǎng)絡(luò)攻擊者利用免費代理服務(wù)器作為中介，向目標系統(tǒng)發(fā)起攻擊的一種策略。在此攻擊模式中，代理服務(wù)器充當了“攻擊跳板”的角色，使得攻擊行為的發(fā)起者能夠隱匿其真實身份和IP地址。即便目標系統(tǒng)的網(wǎng)絡(luò)管理員檢測到攻擊行為，也難以直接追蹤到攻擊者的實際來源。

16.數(shù)據(jù)加密攻擊

數(shù)據(jù)加密攻擊是指網(wǎng)絡(luò)攻擊者運用數(shù)據(jù)加密技術(shù)以規(guī)避網(wǎng)絡(luò)安全管理人員的追蹤行為。此加密機制為網(wǎng)絡(luò)攻擊者的數(shù)據(jù)提供了有效的防護屏障，即使網(wǎng)絡(luò)安全管理人員截獲了這些加密的數(shù)據(jù)，若無對應(yīng)的密鑰也無法解讀其內(nèi)容，從而實現(xiàn)了攻擊者的自我保護的目的。攻擊者的安全準則是，任何與攻擊活動相關(guān)聯(lián)的信息內(nèi)容均須進行加密處理或即時銷毀，以確保其行動軌跡不被追蹤與暴露。

5.3.2網(wǎng)絡(luò)安全防范

從國際安全態(tài)勢視角分析，各國由于經(jīng)濟利益等多元因素持續(xù)產(chǎn)生摩擦與沖突。作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間，已成為國際競爭與對抗的前沿陣地，保密與竊密的較量日益激烈且錯綜復(fù)雜。部分勢力運用“僵尸網(wǎng)絡(luò)”“后門程序”等手段，對政府網(wǎng)站及關(guān)鍵信息系統(tǒng)實施遠程滲透攻擊；有的通過遠程植入木馬病毒，或利用計算機系統(tǒng)漏洞執(zhí)行端口掃描與數(shù)據(jù)包嗅探，大肆竊取國家秘密與內(nèi)部敏感信息；有的將已被植入木馬的計算機作為中繼跳板，采用蛙跳式攻擊策略，進一步滲透并竊取網(wǎng)絡(luò)內(nèi)部其他節(jié)點的信息。

1.技術(shù)手段

1)防火墻技術(shù)

所謂防火墻(Firewall)，是指一種集成了軟件和硬件設(shè)備的系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的邊界上構(gòu)建起一道保護屏障。防火墻作為獲取安全的一種形象說法，實質(zhì)上是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立了一個安全網(wǎng)關(guān)，以保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵和攻擊。防火墻的組成主要包括服務(wù)模塊、訪問控制規(guī)則、驗證工具、包過濾機制以及應(yīng)用網(wǎng)關(guān)五個核心部分。它是一個部署在計算機系統(tǒng)與它所連接的網(wǎng)絡(luò)之間的安全設(shè)備，無論是流入還是流出的數(shù)據(jù)包，都必須經(jīng)過防火墻的檢查和過濾。

從邏輯層面分析，防火墻發(fā)揮著分隔、限制和分析的關(guān)鍵作用。在實際應(yīng)用中，防火墻是加強內(nèi)部網(wǎng)絡(luò)(Intranet)安全防御的一組系統(tǒng)，這組系統(tǒng)由路由器、服務(wù)器等硬件設(shè)備以及相應(yīng)的安全軟件共同構(gòu)成。所有來自Internet的傳輸信息或由內(nèi)部網(wǎng)絡(luò)發(fā)出的信息，都必須經(jīng)過防火墻的檢查和過濾。因此，防火墻在保護電子郵件、文件傳輸、遠程登錄以及在特定系統(tǒng)間進行信息交換等方面的安全中起著至關(guān)重要的作用。防火墻是網(wǎng)絡(luò)安全策略的重要組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為，實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。如今，防火墻已成為各企業(yè)網(wǎng)絡(luò)中實施安全保護的核心組件。

防火墻還可以被視為一個阻塞點。所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接都必須經(jīng)過這個阻塞點進行檢查和過濾，只有經(jīng)過授權(quán)的通信才能通過防火墻的阻塞點。這樣，防火墻在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立了一種有條件的隔離，從而有效防止非法入侵和非法使用系統(tǒng)資源。同時，防火墻還能執(zhí)行安全管制措施，記錄所有可疑事件，其基本安全準則有以下兩點：

(1)默認拒絕原則：一切未被明確允許的行為都是禁止的?；谶@一原則，防火墻應(yīng)默認封鎖所有信息流，然后逐步開放希望提供的服務(wù)。這種方法能夠創(chuàng)建一個非常安全的環(huán)境，因為只有經(jīng)過仔細篩選的服務(wù)才被允許使用。其弊端在于可能會犧牲用戶使用的方便性，限制用戶所能使用的服務(wù)范圍。

(2)默認允許原則：一切未被明確禁止的行為就是允許的。基于這一原則，防火墻會轉(zhuǎn)發(fā)所有信息流，然后逐項屏蔽可能有害的服務(wù)。這種方法為用戶提供了更靈活的應(yīng)用環(huán)境，但也可能增加安全管理的復(fù)雜性。特別是在網(wǎng)絡(luò)服務(wù)日益增多的情況下，網(wǎng)絡(luò)管理人員可能難以提供可靠的安全防護。

2)入侵檢測技術(shù)

入侵檢測是一種針對入侵行為的監(jiān)測機制，它通過采集并分析網(wǎng)絡(luò)行為安全日志、審計記錄以及其他網(wǎng)絡(luò)上可獲取的信息和計算機系統(tǒng)中關(guān)鍵節(jié)點的數(shù)據(jù)，來檢查網(wǎng)絡(luò)或系統(tǒng)是否存在違反安全策略的行為或遭受攻擊的跡象。作為一種積極主動的安全防護手段，入侵檢測為內(nèi)部攻擊、外部攻擊及誤操作提供了實時的防護屏障。它在網(wǎng)絡(luò)系統(tǒng)受損前攔截并響應(yīng)入侵行為，因此被視為防火墻之后的第二道安全防線，能夠在不影響網(wǎng)絡(luò)性能的前提下對網(wǎng)絡(luò)進行持續(xù)監(jiān)測。

入侵檢測通過執(zhí)行以下核心任務(wù)實現(xiàn)安全監(jiān)測：對用戶及系統(tǒng)活動進行全面監(jiān)視與分析；對系統(tǒng)架構(gòu)及弱點進行審計；識別并報警反映已知攻擊模式的活動；對異常行為模式進行統(tǒng)計與分析；對關(guān)鍵系統(tǒng)及數(shù)據(jù)文件進行完整性評估；對操作系統(tǒng)進行審計以及跟蹤管理，識別用戶違反安全策略的行為。入侵檢測作為防火墻的有效補充，增強了系統(tǒng)對網(wǎng)絡(luò)攻擊的防御能力，擴展了系統(tǒng)管理員的安全管理范疇，提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

入侵檢測的首要步驟是信息獲取，這涉及系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的狀態(tài)和行為信息的采集。此過程需要在計算機網(wǎng)絡(luò)系統(tǒng)的多個關(guān)鍵節(jié)點(包括不同網(wǎng)段和不同主機)上收集這些信息，并比對它們的一致性，以發(fā)現(xiàn)任何差異并定位入侵點。

入侵檢測所利用的信息一般來自以下四個方面：

(1)系統(tǒng)和網(wǎng)絡(luò)日志審計。系統(tǒng)和網(wǎng)絡(luò)日志作為黑客活動的重要痕跡載體，是檢測入侵活動的必要基礎(chǔ)。這些日志記錄了系統(tǒng)與網(wǎng)絡(luò)上的異?；蚍穷A(yù)期活動跡象，能夠指示潛在的入侵嘗試或已發(fā)生的入侵事件。

(2)文件系統(tǒng)完整性檢查。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含大量軟件和數(shù)據(jù)文件，尤其是包含敏感信息和私有數(shù)據(jù)的文件，常成為黑客攻擊的目標。

(3)程序行為分析。網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行涉及操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序及特定應(yīng)用(如數(shù)據(jù)庫服務(wù)器)。每個在系統(tǒng)上運行的程序通過一個或多個進程實現(xiàn)，這些進程在具有不同權(quán)限的環(huán)境中執(zhí)行，控制其可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件。進程的行為通過其運行時執(zhí)行的操作來體現(xiàn)，這些操作包括計算、文件傳輸、設(shè)備交互、與其他進程的通信以及與網(wǎng)絡(luò)間其他進程的通信。

(4)物理安全監(jiān)控。物理形式的入侵檢測包括兩個方面：一是監(jiān)測未授權(quán)網(wǎng)絡(luò)硬件的連接；二是監(jiān)控對未授權(quán)物理資源的訪問。黑客可能會嘗試突破網(wǎng)絡(luò)的物理防御，一旦他們能夠在物理上訪問內(nèi)部網(wǎng)絡(luò)，就能安裝自己的設(shè)備和軟件。因此，監(jiān)測并識別網(wǎng)絡(luò)上的不安全(未授權(quán))設(shè)備成為關(guān)鍵，以防止黑客利用這些設(shè)備訪問網(wǎng)絡(luò)。

對上述四類收集的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為信息，通常采用模式匹配技術(shù)、統(tǒng)計分析技術(shù)和完整性分析技術(shù)這三種技術(shù)手段進行分析。其中前兩種技術(shù)手段主要用于實時入侵檢測，完整性分析主要用于事后分析。

(1)模式匹配技術(shù)。模式匹配就是將收集到的信息與預(yù)定義的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比對，從而發(fā)現(xiàn)違背安全策略的行為。該過程可簡化為基本的字符串匹配，用于查找特定條目或指令；亦可復(fù)雜化為利用數(shù)學表達式來描述安全狀態(tài)的變化。一般來講，一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權(quán)限)來表示。模式匹配技術(shù)的優(yōu)勢在于僅需收集相關(guān)數(shù)據(jù)集合，顯著降低了系統(tǒng)開銷，且技術(shù)成熟度較高，檢測準確率和效率與病毒防火墻方法相當。然而，該技術(shù)需不斷更新以應(yīng)對新型攻擊手段，且無法檢測到未知的攻擊方式。

(2)統(tǒng)計分析技術(shù)。該技術(shù)首先為系統(tǒng)對象(如用戶、文件、目錄、設(shè)備等)建立統(tǒng)計特征，包括正常使用時的訪問次數(shù)、操作失敗次數(shù)、響應(yīng)時間等測量屬性。通過比較這些屬性的平均值與系統(tǒng)或網(wǎng)絡(luò)行為，任何偏離正常范圍的觀測值均被視為潛在入侵。例如，若某賬戶通常在晚八點至早六點不活躍，卻在凌晨兩點嘗試登錄，則可能被統(tǒng)計分析方法標記為異常。其優(yōu)點在于能夠檢測未知和復(fù)雜的入侵，但缺點是誤報率和漏報率較高，且難以適應(yīng)用戶正常行為的突發(fā)性變化。其具體方法包括基于專家系統(tǒng)、模型推理和神經(jīng)網(wǎng)絡(luò)的分析等。

(3)完整性分析技術(shù)。完整性分析主要關(guān)注文件或?qū)ο笫欠癖桓模ǔＩ婕拔募湍夸浀膬?nèi)容及屬性檢查，對于識別被篡改或特洛伊化的應(yīng)用程序特別有效。完整性分析利用強有力的加密機制——消息摘要函數(shù)(如MD5)，能識別微小的變化。其優(yōu)勢在于無論模式匹配或統(tǒng)計分析技術(shù)是否成功檢測到入侵，只要攻擊導(dǎo)致了文件或其他對象的任何更改，它都能發(fā)現(xiàn)。但是，該方法通常以批處理方式運行，不適用于實時響應(yīng)。盡管如此，完整性檢測方法仍是網(wǎng)絡(luò)安全的重要組成部分。例如，可以設(shè)定在每天特定時間啟動完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面掃描。

3)訪問控制技術(shù)

訪問控制是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段，通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全防范和資源保護的關(guān)鍵策略之一，也是主體依據(jù)某些控制策略或權(quán)限對本身或其資源進行的不同級別的授權(quán)訪問。訪問控制的主要功能包括：一方面保證合法用戶訪問授權(quán)保護的網(wǎng)絡(luò)資源；另一方面防止非法的主體進入受保護的網(wǎng)絡(luò)資源或防止合法用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。

訪問控制模式主要有三類：強制訪問控制(MandatoryAccessControl，MAC)和自主訪問控制(DiscretionaryAccessControl，DAC)以及基于角色的訪問控制(Role-BasedAccessControl,RBAC)。MAC是由系統(tǒng)強制實施的，要求主體嚴格遵守既定的訪問控制策略。而DAC則是基于主體身份及其所屬組別對訪問權(quán)限進行限定的一種方法，其特點在于訪問權(quán)限的自主性?；谧灾髟L問控制和強制訪問控制這兩種模式的改進，產(chǎn)生了基于角色的訪問控制。

(1)強制訪問控制：在此模式下，由授權(quán)機構(gòu)為主體和客體分別定義固定的訪問屬性，且這些訪問權(quán)限不能由用戶修改。主體的權(quán)限反映了信任的程度，客體的權(quán)限則與其包含信息的敏感度一致。擁有相應(yīng)權(quán)限的用戶可訪問相應(yīng)級別的數(shù)據(jù)。強制訪問控制具有層次性，通過預(yù)先定義主體的可信任級別及客體(信息)的敏感程度(安全級別)，如絕密級、機密級、秘密級、無密級等，結(jié)合主體和客體的級別標記來決定訪問模式。此機制利用“上讀/下寫”原則來保證數(shù)據(jù)完整性，通過“下讀/上寫”原則來保證數(shù)據(jù)的保密性，實現(xiàn)信息的單向流通。強制訪問控制適用于多層次安全級別的軍事應(yīng)用，但實施復(fù)雜且管理煩瑣。

(2)自主訪問控制：在此模式下，由客體自主地確定各個主體對客體的直接訪問權(quán)限，通過訪問矩陣來描述。然而自主訪問控制僅能控制主體對客體的直接訪問，而不能控制間接訪問。另外，其訪問矩陣通常比較大，難以直接以矩陣形式實現(xiàn)，通常采用以下兩種方法：

①

訪問控制表(AccessControlList，ACL)：以客體為索引，每個客體對應(yīng)一個ACL，定義每個主體對其實施的操作。

②

容量表(CapabilityList，CL)：以主體為索引，每個主體對應(yīng)一個CL，定義對每個客體的訪問權(quán)限。

(3)基于角色的訪問控制：作為強制訪問控制和自主訪問控制的改進版，基于角色的訪問控制根據(jù)用戶在系統(tǒng)中的角色分配訪問權(quán)限，角色可被定義為與一個特定活動相關(guān)聯(lián)的一組動作和責任。這需要兩種授權(quán)：

①

為每個客體的ACL定義每個角色允許的訪問模式；

②

為每個用戶授權(quán)特定角色。

4)防病毒技術(shù)

從反病毒產(chǎn)品對計算機病毒的作用來講，防病毒技術(shù)可以直觀地分為計算機病毒預(yù)防技術(shù)、計算機病毒檢測技術(shù)及計算機病毒清除技術(shù)。

(1)計算機病毒預(yù)防技術(shù)。作為一種動態(tài)判定及行為規(guī)則判定技術(shù)，計算機病毒預(yù)防依托特定的技術(shù)手段，旨在阻止計算機病毒對系統(tǒng)構(gòu)成的傳染與破壞。該技術(shù)通過對病毒規(guī)則進行分類，并在程序運行過程中識別并攔截符合這些規(guī)則的行為，從而有效防御病毒。具體來說，它涉及阻止病毒進入系統(tǒng)內(nèi)存、阻斷病毒對磁盤的操作(尤其是寫操作)等策略。這一技術(shù)包括磁盤引導(dǎo)區(qū)保護、可執(zhí)行程序加密、讀寫控制以及系統(tǒng)監(jiān)控技術(shù)等多個方面。

(2)計算機病毒檢測技術(shù)。計算機病毒檢測技術(shù)主要包括兩大類型：一是基于特征分類的檢測技術(shù)，該技術(shù)根據(jù)計算機病毒的關(guān)鍵字、特征、程序段內(nèi)容、病毒特征及傳播方式、文件長度的變化等信息建立檢測機制；二是非特定病毒的自身檢驗技術(shù)，即對某個文件或數(shù)據(jù)段進行檢驗和計算，并保存其結(jié)果，以后定期或不定期地對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，可能感染了病毒。

(3)計算機病毒清除技術(shù)。作為病毒檢測技術(shù)發(fā)展的邏輯延伸，計算機病毒清除技術(shù)是病毒傳播過程的逆向操作。目前清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研發(fā)出具有相應(yīng)殺毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的，帶有滯后性，因此殺毒軟件有其局限性，對有些變種病毒的清除無能為力。

5)安全掃描技術(shù)

安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)協(xié)同運作，互相配合，能夠增強網(wǎng)絡(luò)環(huán)境的安全性。安全掃描工具依據(jù)其應(yīng)用場景，通?？煞譃榛诜?wù)器和基于網(wǎng)絡(luò)的掃描器。

(1)基于服務(wù)器的掃描器：其設(shè)計與實現(xiàn)緊密貼合特定的服務(wù)器操作系統(tǒng)架構(gòu)，專注于對服務(wù)器相關(guān)的各類安全弱點進行深度掃描。它主要掃描服務(wù)器相關(guān)的安全漏洞，如口令、文件、目錄和文件權(quán)限共享文件系統(tǒng)、敏感服務(wù)軟件、系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法及建議，以助力用戶及時修補安全漏洞。

(2)基于網(wǎng)絡(luò)的掃描器：其主要聚焦于對預(yù)設(shè)網(wǎng)絡(luò)域內(nèi)的各類網(wǎng)絡(luò)設(shè)備，如服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等進行全面的安全漏洞掃描。此外，該類掃描器還具備模擬攻擊測試的能力，能夠模擬各類潛在的攻擊行為，以評估目標系統(tǒng)的實際防御效能。為確保掃描活動的合法性與安全性，基于網(wǎng)絡(luò)的掃描器通常會預(yù)設(shè)使用范圍限制，如通過指定IP地址范圍或限制路由器跳數(shù)等方式，來實現(xiàn)對掃描范圍的精確控制。

6)零信任網(wǎng)絡(luò)

零信任網(wǎng)絡(luò)亦稱零信任架構(gòu)模型，是約翰·金德維格于2010年提出的。該模型代表了一種先進的安全理念，其核心原則是摒棄對內(nèi)部或外部任何實體自動信任的做法，要求在授權(quán)之前對所有試圖訪問系統(tǒng)的實體進行嚴格的身份驗證。在零信任網(wǎng)絡(luò)中，不存在默認可信的設(shè)備接口，所有用戶流量均被視為不可信。

7)密碼技術(shù)

密碼技術(shù)是保障網(wǎng)絡(luò)空間數(shù)據(jù)安全的核心技術(shù)，也是網(wǎng)絡(luò)保密的基石。該技術(shù)不僅具備對涉密信息進行加密的能力，還涵蓋了身份認證、驗證機制、數(shù)字簽名以及系統(tǒng)安全等多方面功能。密碼技術(shù)的運用可以保證數(shù)據(jù)信息的機密性，能有效防止數(shù)據(jù)遭竊或篡改，從而維護網(wǎng)絡(luò)空間的整體安全。密碼技術(shù)主要分為以下幾類：

(1)對稱加密技術(shù)：亦稱單鑰密碼體系。在此體系中，信息的發(fā)送方與接收方共享一個密鑰，即對稱密鑰或會話密鑰，該密鑰既用于加密過程，也用于解密過程。典型的對稱加密算法包括DES、3DES、IDEA、RC4、RC5及AES等。

(2)非對稱加密技術(shù)：需使用一對密鑰，即加密密鑰與解密密鑰。這對密鑰相互依存，其中任一密鑰加密的信息僅能被另一密鑰解密。根據(jù)密鑰性質(zhì)，其中一個密鑰公開，稱為公鑰；另一個密鑰私密保存，稱為私鑰。公鑰常用于數(shù)據(jù)加密或簽名驗證，而私鑰則用于數(shù)據(jù)解密或生成數(shù)字簽名。常用的非對稱加密算法有Diffie-Hellman、RSA、ELGamal、DSA及DSS等。

(3)?Hash函數(shù)：又稱散列函數(shù)或雜湊函數(shù)，是一種從明文到密文的不可逆映射機制。它通過單向運算將任意長度的信息轉(zhuǎn)換為固定長度的Hash值(散列值或哈希摘要)，該值具有不可預(yù)測性、不可逆性及唯一性。對于需保密的數(shù)據(jù)，可利用Hash函數(shù)生成唯一性的散列值指紋，從而有效防止數(shù)據(jù)篡改。常見的Hash算法包括MD2、MD4、MD5、SHA系列及HAVAL等。

(4)?TLS技術(shù)：TLS即傳輸層安全(TransportLayerSecurity)協(xié)議，為互聯(lián)網(wǎng)通信提供安全性與數(shù)據(jù)完整性保障，確保通信應(yīng)用程序間的隱私及數(shù)據(jù)完整性。TLS廣泛應(yīng)用于瀏覽器、郵箱、即時通訊、互聯(lián)網(wǎng)電話及網(wǎng)絡(luò)傳真等方面。TLS由記錄協(xié)議與握手協(xié)議組成，前者基于傳輸控制協(xié)議(TCP)，利用AES或RC4等算法對傳輸數(shù)據(jù)進行加密，每次傳輸使用不同密鑰，確保傳輸私密性；后者位于記錄協(xié)議之上，負責服務(wù)器與客戶端間的相互認證、加密算法及密鑰協(xié)商，具有節(jié)點認證、防止中間人竊聽及篡改協(xié)商信息的能力。

(5)?VPN技術(shù)：VPN即虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)，是一種在不可信公共網(wǎng)絡(luò)上實現(xiàn)不同地理位置專用網(wǎng)絡(luò)安全通信的技術(shù)。VPN的核心在于利用加密隧道協(xié)議構(gòu)建隧道，封裝上層數(shù)據(jù)進行傳輸，從而利用公共網(wǎng)絡(luò)架構(gòu)傳遞內(nèi)部通信信息。VPN通過加密隧道保證信息保密性、身份驗證阻止身份偽造及完整性檢驗應(yīng)對信息篡改，提供三重保護。目前，VPN使用的隧道協(xié)議包括PPTP、L2TP、IPSec及SSL等，分別工作于OSI模型的不同層次，滿足企業(yè)內(nèi)部通信的安全需求。

2.管理手段

網(wǎng)絡(luò)安全保密問題實質(zhì)上是一個多維度、深層次的綜合性管理問題，其復(fù)雜性和重要性要求我們必須構(gòu)建一套全面而嚴謹?shù)陌踩芾硪?guī)范體系。

1)構(gòu)建人員安全管理機制

人員安全管理是網(wǎng)絡(luò)安全管理的基礎(chǔ)，旨在確保所有涉及網(wǎng)絡(luò)操作的人員均具備相應(yīng)的安全意識和能力。具體而言，需建立健全以下制度：

(1)安全審查制度：對所有接觸敏感信息或關(guān)鍵系統(tǒng)的人員進行嚴格的背景調(diào)查和安全審查，確保其無不良記錄，并符合既定的安全標準。

(2)崗位安全考核制度：將安全職責納入員工績效考核體系，定期評估員工在遵守安全政策、執(zhí)行安全操作等方面的表現(xiàn)，以激勵員工提升安全意識。

(3)安全培訓制度：定期組織安全培訓，涵蓋最新的安全威脅、防御策略、法律法規(guī)等內(nèi)容，確保員工知識更新，技能提升。

2)強化系統(tǒng)運行環(huán)境安全管理

系統(tǒng)運行環(huán)境的安全性直接關(guān)系到網(wǎng)絡(luò)服務(wù)的穩(wěn)定性和數(shù)據(jù)的完整性。因此，需建立以下管理制度：

(1)機房環(huán)境管理制度：確保機房的物理安全，包括門禁管理、溫濕度控制、消防系統(tǒng)等，以防范物理入侵和自然災(zāi)害。

(2)自然災(zāi)害防護機制：制定針對地震、洪水、火災(zāi)等自然災(zāi)害的應(yīng)急預(yù)案，確保在災(zāi)害發(fā)生時能夠迅速響應(yīng)，保護設(shè)備和數(shù)據(jù)安全。

(3)電磁波與磁場防護策略：對關(guān)鍵設(shè)備采取電磁屏蔽措施，防止外部電磁波干擾，確保系統(tǒng)穩(wěn)定運行。

3)完善應(yīng)用系統(tǒng)運營安全管理

應(yīng)用系統(tǒng)作為網(wǎng)絡(luò)服務(wù)的核心，其安全性至關(guān)重要。需建立以下管理制度：

(1)操作安全管理：制定詳細的操作規(guī)程，確保所有操作均符合安全標準，減少人為誤操作帶來的風險。

(2)操作權(quán)限管理：實施基于角色的訪問控制，根據(jù)員工的職責和需要分配最小必要權(quán)限，防止權(quán)限濫用。

(3)操作規(guī)范管理：建立操作日志審計機制，記錄所有重要操作，以便追蹤和審計，及時發(fā)現(xiàn)并糾正異常行為。

(4)應(yīng)用軟件維護安全管理：定期更新應(yīng)用軟件，修復(fù)已知漏洞，同時實施嚴格的軟件安裝和配置變更管理，確保軟件環(huán)境的穩(wěn)定和安全。

綜上所述，建立健全的網(wǎng)絡(luò)安全管理規(guī)范體系需要從人員、環(huán)境、應(yīng)用等多個維度出發(fā)，形成一套全面、系統(tǒng)的安全管理體系，以有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。

3.宣傳教育

網(wǎng)絡(luò)的安全防范是一項綜合性的任務(wù)，它不僅依賴于先進的技術(shù)手段和管理策略，還需要在法律、道德以及個人意識層面進行全面提升。

1)強化法治宣傳教育與法律意識構(gòu)建

在網(wǎng)絡(luò)安全的防護體系中，法治宣傳教育扮演著至關(guān)重要的角色。它旨在通過廣泛而深入的普法活動，提升全社會的網(wǎng)絡(luò)安全法律意識與安全素養(yǎng)。

(1)法治宣傳教育的深化：利用多元化渠道，如社交媒體、在線教育平臺、公共講座等，廣泛傳播網(wǎng)絡(luò)安全管理相關(guān)的法律法規(guī)，如網(wǎng)絡(luò)安全法、個人信息保護法等，確保公眾對網(wǎng)絡(luò)安全法律框架有清晰的認識。

(2)法律意識與責任感的提升：通過案例分析、法律解讀等形式，讓公眾了解網(wǎng)絡(luò)安全違法的嚴重后果，從而增強其自覺遵守網(wǎng)絡(luò)安全法律法規(guī)的自覺性和責任感。

(3)安全意識文化的培育：將網(wǎng)絡(luò)安全教育納入國民教育體系，從小培養(yǎng)學生的網(wǎng)絡(luò)安全意識，形成全社會共同關(guān)注、共同維護網(wǎng)絡(luò)安全的良好氛圍。

2)提升網(wǎng)絡(luò)安全管理者的風險意識與技術(shù)能力

網(wǎng)絡(luò)安全管理者作為網(wǎng)絡(luò)防護的第一道防線，其風險意識和技術(shù)能力的強弱直接影響到網(wǎng)絡(luò)安全防護的效果。

(1)風險意識的增強：通過專業(yè)培訓、案例分享等方式，使網(wǎng)絡(luò)安全管理者深刻認識到網(wǎng)絡(luò)安全風險的嚴峻性和復(fù)雜性，從而在思想上時刻保持警惕，做到防患于未然。

(2)技術(shù)能力的提升：組織定期的網(wǎng)絡(luò)安全技術(shù)培訓，涵蓋最新的網(wǎng)絡(luò)攻擊手段、防御策略、應(yīng)急響應(yīng)等方面，確保網(wǎng)絡(luò)安全管理者能夠熟練掌握并運用各種網(wǎng)絡(luò)安全技術(shù)和工具，提升網(wǎng)絡(luò)防護的實戰(zhàn)能力。

(3)安全策略的持續(xù)優(yōu)化：鼓勵網(wǎng)絡(luò)安全管理者根據(jù)最新的威脅情報和技術(shù)發(fā)展趨勢，不斷評估和優(yōu)化現(xiàn)有的網(wǎng)絡(luò)安全策略，確保安全防護體系的時效性和有效性。

綜上所述，網(wǎng)絡(luò)的安全防范需要法律、道德、個人意識與技術(shù)手段等多方面的協(xié)同努力。通過強化法治宣傳教育、提升網(wǎng)絡(luò)安全管理者的風險意識與技術(shù)能力，可以構(gòu)建一個更加安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

5.3.3網(wǎng)絡(luò)安全事件應(yīng)急處置方法

1.計算機病毒事件

1)判定方法

(1)硬盤容量分析：某些病毒通過自我復(fù)制機制占用大量硬盤空間，因此，監(jiān)測硬盤容量變化可作為初步判斷病毒感染的依據(jù)。

(2)進程監(jiān)控：利用任務(wù)管理器等工具，檢查系統(tǒng)中是否存在異常或未知進程，這些進程可能是病毒運行的表現(xiàn)。

(3)注冊表審查：病毒通常會修改注冊表鍵值，以篡改系統(tǒng)默認設(shè)置，如主頁、搜索引擎等，通過對注冊表的細致檢查，可以發(fā)現(xiàn)這些異常更改。

(4)內(nèi)存占用分析：病毒運行可能占用大量系統(tǒng)內(nèi)存資源，導(dǎo)致系統(tǒng)性能下降，通過對內(nèi)存占用情況進行的監(jiān)測，可以識別潛在的病毒活動。

(5)啟動項檢查：病毒可能修改磁盤引導(dǎo)信息或啟動項配置，阻止系統(tǒng)正常啟動，對啟動項進行全面檢查有助于發(fā)現(xiàn)此類問題。

(6)系統(tǒng)日志審計：系統(tǒng)日志記錄了系統(tǒng)中硬件、軟件問題及安全事件的詳細信息，通過分析系統(tǒng)日志，可以追蹤病毒活動的軌跡。

(7)文件鏈接驗證：病毒可能修改文件鏈接，導(dǎo)致文件無法訪問，檢查文件鏈接的完整性是識別病毒感染的另一途徑。

2)處理流程

(1)網(wǎng)絡(luò)隔離：一旦發(fā)現(xiàn)病毒，立即斷開受感染系統(tǒng)的網(wǎng)絡(luò)連接，防止病毒擴散。

(2)數(shù)據(jù)備份：迅速備份重要文檔、郵件等數(shù)據(jù)，以防病毒破壞或加密導(dǎo)致數(shù)據(jù)丟失。

(3)初步殺毒：在受感染的系統(tǒng)環(huán)境下運行殺毒軟件，進行初步掃描和清除，但需注意，此步驟可能受限于病毒的活動性。

(4)深度殺毒：使用干凈的系統(tǒng)啟動盤啟動系統(tǒng)，并在該環(huán)境下進行徹底的病毒掃描和清除，以避免帶毒環(huán)境對殺毒效果的干擾。

(5)系統(tǒng)恢復(fù)：若殺毒無效，可考慮使用Ghost備份或分區(qū)表、引導(dǎo)區(qū)備份進行系統(tǒng)恢復(fù)，以恢復(fù)到病毒感染前的狀態(tài)。

(6)密碼更新：處理完病毒后，及時更改所有與網(wǎng)絡(luò)相關(guān)的密碼，增強口令強度，防止病毒通過已泄露的憑據(jù)再次入侵。

2.蠕蟲事件

1)判定方法

(1)郵件審查：攻擊者常利用郵件附件作為蠕蟲傳播的媒介，因此需對郵件及其附件進行細致審查。

(2)服務(wù)器檢查：針對網(wǎng)站服務(wù)器進行深度檢查，以防蠕蟲藏匿于服務(wù)器內(nèi)部并篡改網(wǎng)頁文件，進而感染訪問該網(wǎng)站的計算機。

(3)文件掃描：利用殺毒軟件或手動方式檢查文件，以發(fā)現(xiàn)可能隱藏的蠕蟲。

(4)數(shù)據(jù)完整性驗證：檢查關(guān)鍵數(shù)據(jù)文件是否丟失或受損，蠕蟲攻擊可能導(dǎo)致數(shù)據(jù)丟失或損壞。

(5)漏洞評估：對系統(tǒng)進行緩沖區(qū)溢出漏洞評估，因為緩沖區(qū)溢出是蠕蟲攻擊的常見手段。

(6)檢測技術(shù)運用：采用先進的檢測技術(shù)，如特征碼匹配、行為分析、蜜罐等，以識別蠕蟲的存在。

2)處理流程

(1)網(wǎng)絡(luò)共享禁用：立即取消所有不必要的網(wǎng)絡(luò)共享，以減少蠕蟲的傳播途徑。

(2)郵件清理：刪除所有來自未知來源或包含可疑附件的郵件。

(3)系統(tǒng)漏洞修補：及時修補所有已知的系統(tǒng)漏洞，以防止蠕蟲利用這些漏洞進行攻擊。

(4)防火墻配置：配置防火墻以禁止除服務(wù)端口外的其他端口通信，切斷蠕蟲的傳輸和通信通道。

(5)入侵檢測與定位：利用入侵檢測系統(tǒng)(IDS)找到蠕蟲所在位置，并立即進行刪除。

(6)程序關(guān)閉與刪除：刪除或關(guān)閉蠕蟲所依賴的程序，以切斷其傳播載體。

(7)服務(wù)器恢復(fù)：如果服務(wù)器受到蠕蟲感染，應(yīng)立即啟用備份服務(wù)器，并對受感染的服務(wù)器進行格式化處理，再將數(shù)據(jù)從備份服務(wù)器恢復(fù)回來。

3.木馬事件

1)判定方法

(1)端口掃描：感染木馬病毒后，計算機的一個或多個網(wǎng)絡(luò)端口可能被非法打開，供黑客遠程訪問。

(2)賬戶審計：惡意攻擊者常通過克隆賬戶來控制目標計算機，具體手法包括激活系統(tǒng)中的默認賬戶，并利用工具將其權(quán)限提升至管理員級別。

(3)引導(dǎo)區(qū)檢查：木馬病毒可能隱藏在系統(tǒng)引導(dǎo)區(qū)，隨系統(tǒng)啟動而自動執(zhí)行，或更改文件名以逃避檢測。

(4)代理服務(wù)檢測：部分木馬會啟用HTTP、SOCKET等代理服務(wù)功能，以進行數(shù)據(jù)傳輸或遠程控制。

(5)網(wǎng)絡(luò)流量分析：下載型木馬會秘密下載其他病毒程序或廣告軟件，用戶可通過關(guān)閉不必要的網(wǎng)絡(luò)應(yīng)用，觀察網(wǎng)絡(luò)流量異常來發(fā)現(xiàn)木馬。

(6)系統(tǒng)配置審查：注冊表、配置文件、驅(qū)動程序等是木馬常用的隱蔽藏身之處，需進行仔細檢查。

2)處理流程

(1)禁用未知服務(wù)：檢查并關(guān)閉可能由木馬病毒開啟的未知服務(wù)，阻止其運行。

(2)賬戶鎖定與刪除：檢測到非法賬戶后，立即鎖定并刪除，防止其進一步控制計算機。

(3)安全防護產(chǎn)品部署：使用殺毒軟件清除木馬病毒，同時啟用防火墻攔截惡意數(shù)據(jù)包。

(4)注冊表清理：刪除與木馬病毒相關(guān)的注冊表項，消除其留下的痕跡。

(5)啟動項管理：刪除木馬病毒的啟動文件，防止其隨系統(tǒng)啟動而自動運行。

(6)系統(tǒng)升級與漏洞修補：及時更新系統(tǒng)補丁，修復(fù)已知的安全漏洞，提高系統(tǒng)防御能力。

(7)系統(tǒng)重裝：若上述措施均無法徹底清除木馬病毒，則考慮重裝操作系統(tǒng)以恢復(fù)系統(tǒng)安全。

4.僵尸網(wǎng)絡(luò)事件

1)判定方法

(1)網(wǎng)絡(luò)流量與帶寬監(jiān)測：僵尸網(wǎng)絡(luò)常發(fā)動DoS/DDoS攻擊，通過控制僵尸主機在短時間內(nèi)向目標主機發(fā)送大量連接請求，從而耗盡帶寬資源和目標主機資源，導(dǎo)致目標主機無法響應(yīng)合法用戶的請求。

(2)郵件發(fā)送行為分析：僵尸網(wǎng)絡(luò)的另一種常見行為是大量發(fā)送垃圾郵件，因此，監(jiān)測計算機是否存在異常郵件發(fā)送行為是判斷其是否成為僵尸網(wǎng)絡(luò)的關(guān)鍵。

(3)?DNS查詢監(jiān)控：僵尸網(wǎng)絡(luò)在發(fā)動攻擊時會產(chǎn)生大量異常的DNS查詢請求，對這些請求進行監(jiān)控有助于發(fā)現(xiàn)潛在的僵尸網(wǎng)絡(luò)活動。

(4)端口監(jiān)控：僵尸網(wǎng)絡(luò)會操縱僵尸主機開啟大量端口以進行通信和控制，因此，監(jiān)控端口的開啟情況也是判斷僵尸網(wǎng)絡(luò)存在與否的重要手段。

2)處理流程

(1)掃描與隔離Web站點：利用Web過濾服務(wù)對Web站點進行掃描，發(fā)現(xiàn)異常行為或已知惡意活動后，立即將這些站點隔離，以防止其繼續(xù)傳播惡意代碼。

(2)更換瀏覽器：由于僵尸網(wǎng)絡(luò)往往針對特定瀏覽器進行攻擊，因此，在檢測到僵尸網(wǎng)絡(luò)后，更換瀏覽器可以降低受害風險。

(3)禁用腳本：僵尸網(wǎng)絡(luò)常利用腳本進行攻擊，因此，在緊急情況下，可以采取禁用腳本的措施來快速遏制僵尸網(wǎng)絡(luò)的擴散。

(4)部署防御系統(tǒng)：采用入侵檢測和入侵防御系統(tǒng)(IDS/IPS)對網(wǎng)絡(luò)進行實時監(jiān)控，發(fā)現(xiàn)具有僵尸網(wǎng)絡(luò)特征的活動后立即進行阻止。

(5)使用補救工具：對于已經(jīng)感染僵尸網(wǎng)絡(luò)的計算機，使用專業(yè)的補救工具進行清理，以消除隱藏的rootkit等惡意軟件感染。

(6)隔離網(wǎng)絡(luò)：在確認計算機感染僵尸網(wǎng)絡(luò)后，應(yīng)立即斷開其網(wǎng)絡(luò)連接，以防止未感染的計算機受到進一步感染。

5.網(wǎng)頁內(nèi)嵌惡意代碼

1)判定方法

(1)審查腳本程序：檢查JavaScript、Applet、ActiveX等腳本程序是否被篡改，以識別對IE瀏覽器、頁面文件、默認主頁、標題欄按鈕、非法鏈接及彈出頁面的惡意修改。

(2)監(jiān)控磁盤容量：觀察磁盤容量變化，以檢測惡意頁面可能下載的大量文件，包括潛在的格式化磁盤的惡意代碼。

(3)分析網(wǎng)絡(luò)流量：分析網(wǎng)絡(luò)流量，識別惡意頁面非法下載內(nèi)容導(dǎo)致的流量異常。

(4)審查注冊表：檢查注冊表是否被惡意代碼修改，包括主頁、默認搜索引擎等關(guān)鍵設(shè)置。

(5)應(yīng)用檢測技術(shù)：采用基于特征碼、啟發(fā)式、行為式的檢測技術(shù)，以識別頁面中的惡意代碼。

2)處理流程

(1)升級瀏覽器與修補漏洞：升級瀏覽器版本，修補已知漏洞。

(2)部署網(wǎng)絡(luò)防火墻：安裝并配置網(wǎng)絡(luò)防火墻，阻止與惡意網(wǎng)頁的連接。

(3)清理注冊表：刪除惡意代碼在注冊表中留下的特殊ID及非法鏈接主鍵，恢復(fù)默認設(shè)置。

(4)刪除腳本依賴程序：找到并刪除網(wǎng)頁腳本所依賴的程序。

(5)修復(fù)手工代碼：通過網(wǎng)頁代碼審查與手動修復(fù)，清除惡意代碼。

(6)服務(wù)管理：查看并關(guān)閉可能被木馬病毒開啟的服務(wù)，以阻止其運行。

6.拒絕服務(wù)攻擊事件

1)判定方法

(1)監(jiān)控CPU負載：檢查CPU負載，識別攻擊者發(fā)送的大量連接請求導(dǎo)致的CPU滿負荷運轉(zhuǎn)。

(2)檢查內(nèi)存：觀察內(nèi)存資源使用情況，識別惡意程序?qū)е碌膬?nèi)存耗盡。

(3)測試網(wǎng)絡(luò)連接性：檢測服務(wù)器是否被攻擊者偽裝成合法用戶IP欺騙，導(dǎo)致與合法用戶的連接斷開。

(4)監(jiān)控網(wǎng)絡(luò)帶寬：分析網(wǎng)絡(luò)帶寬的使用情況，識別攻擊者利用簡單帶寬傳輸大量數(shù)據(jù)導(dǎo)致的帶寬耗盡。

2)處理流程

(1)阻斷攻擊流量：從網(wǎng)絡(luò)流量中識別并阻斷攻擊流量。

(2)部署防護工具：在網(wǎng)絡(luò)邊界部署防護工具，阻斷內(nèi)外不同類型的拒絕服務(wù)攻擊。

(3)修補漏洞：針對語義類型的拒絕服務(wù)攻擊，通過修補系統(tǒng)漏洞來解決。

7.后門攻擊事件

1)判定方法

(1)啟動項檢查：審查系統(tǒng)啟動項，識別可疑的啟動服務(wù)和路徑。

(2)端口監(jiān)聽：使用DOS命令監(jiān)聽本地開放端口，檢測反向連接的后門。

(3)文件MD5值比對：對照系統(tǒng)文件的MD5值，識別被修改的系統(tǒng)文件。

2)處理流程

(1)管理端口：關(guān)閉本機不用的端口或限制指定端口訪問。

(2)關(guān)閉服務(wù)：關(guān)閉不必要的服務(wù)，減少潛在攻擊面。

(3)監(jiān)控進程：注意系統(tǒng)運行狀況，終止不明進程。

(4)安裝安全工具：使用安全工具，安裝并配置防火墻。

8.漏洞攻擊事件

1)判定方法

(1)應(yīng)用漏洞檢測工具：使用常見的防護軟件(如金山毒霸、瑞星防火墻、360安全衛(wèi)士等)進行漏洞掃描檢測。

(2)模擬攻擊測試：對目標主機系統(tǒng)進行常見漏洞攻擊測試(如弱口令測試)，驗證漏洞存在性。

(3)開放端口監(jiān)控：攻擊者可能掃描端口信息以查找漏洞，因此需監(jiān)控開放端口。

2)處理流程

(1)修復(fù)系統(tǒng)漏洞：修復(fù)已知系統(tǒng)漏洞，更新軟件補丁。

(2)升級系統(tǒng)：升級操作系統(tǒng)、中間件、數(shù)據(jù)庫等軟件版本，以減少漏洞。

(3)啟用防火墻：啟用防火墻，及時攔截利用協(xié)議漏洞的遠程惡意請求。

(4)關(guān)閉漏洞服務(wù)：關(guān)閉存在漏洞的服務(wù)，以減少攻擊面。

(5)修改配置信息：修改配置信息，設(shè)置安全選項，提高系統(tǒng)安全性。

(6)加強訪問控制：加強訪問控制策略，限制不必要的訪問權(quán)限。

(7)開放端口管理：關(guān)閉或屏蔽不必要的開放端口。

9.信息篡改事件

1)判定方法

(1)人工對比分析：通過人工手段對比被檢測信息與原始樣本內(nèi)容，若存在差異，則判定為內(nèi)容被篡改。

(2)數(shù)據(jù)簽名驗證：針對已簽名的數(shù)據(jù)，通過驗證其簽名完整性，判斷數(shù)據(jù)是否遭受篡改。

(3)文件修改時間審計：檢查數(shù)據(jù)文件的修改時間記錄，若用戶在相關(guān)時間段內(nèi)未進行合法修改，則可能表明發(fā)生了數(shù)據(jù)篡改事件。

2)處理流程

(1)停用篡改數(shù)據(jù)：立即停止使用被篡改數(shù)據(jù)的應(yīng)用，并啟用相應(yīng)的備份數(shù)據(jù)。

(2)恢復(fù)數(shù)據(jù)：使用數(shù)據(jù)恢復(fù)工具對被篡改的數(shù)據(jù)進行恢復(fù)。

(3)恢復(fù)設(shè)置：對于網(wǎng)頁等內(nèi)容的篡改，可通過修改注冊表恢復(fù)默認設(shè)置，如主頁等。

(4)找回與加固賬號：通過身份驗證找回被篡改的賬號，并加強賬號的口令復(fù)雜度與安全性。

(5)更新密鑰與加密：及時更新密鑰，重新對數(shù)據(jù)進行簽名，并采用更復(fù)雜的加密技術(shù)進行保護。

10.網(wǎng)絡(luò)掃描竊聽事件

1)判定方法

(1)?IP請求分析：當連續(xù)相同源地址的IP請求連接記錄超過預(yù)設(shè)閾值時，視為潛在的網(wǎng)絡(luò)掃描行為。通過對可疑IP地址的特定時間段內(nèi)所有連接記錄進行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)掃描活動。

(2)端口連接監(jiān)控：入侵者通過掃描目標主機的開放端口來尋找漏洞，因此頻繁與主機端口建立連接是掃描行為的重要特征。通過監(jiān)控端口連接數(shù)量，可檢測網(wǎng)絡(luò)掃描行為。

(3)帶寬占用檢查：目標主機被大量帶寬占用，表明該主機很有可能正在被監(jiān)聽。

2)處理流程

(1)關(guān)閉閑置端口：關(guān)閉閑置及存在潛在危險的端口。

(2)屏蔽端口：當檢測到端口掃描行為時，立即屏蔽該端口。

(3)部署防火墻：使用防火墻進行網(wǎng)絡(luò)訪問控制，防止未經(jīng)授權(quán)的掃描與竊聽行為。

11.網(wǎng)絡(luò)釣魚事件

1)判定方法

(1)網(wǎng)站備案查詢：無法查詢到備案信息的網(wǎng)站可能是釣魚網(wǎng)站。

(2)郵件內(nèi)容分析：

①

郵件內(nèi)容審查：釣魚郵件通常要求受害者提供個人信息。

②

釣魚網(wǎng)站內(nèi)容比對：釣魚網(wǎng)站會模仿被仿冒對象的內(nèi)容，涉及虛假抽獎、中獎等活動。

③

其他內(nèi)容檢查：釣魚網(wǎng)站在域名、商號、標識等方面與被仿冒對象高度相似，以增加誤導(dǎo)性。

(3)安全證書驗證：正規(guī)大型網(wǎng)站通常擁有非自簽名的可信安全證書，且網(wǎng)址以“https”開頭。

2)處理流程

(1)關(guān)閉瀏覽器：立即關(guān)閉訪問釣魚網(wǎng)站的瀏覽器。

(2)查殺木馬：使用安全軟件清理并查殺木馬病毒。

(3)修改賬號密碼：修改可能泄露的賬號密碼。

(4)舉報釣魚網(wǎng)站：向相關(guān)部門舉報釣魚網(wǎng)站。

(5)報警處理：情節(jié)嚴重時，立即向公安機關(guān)報案。

12.干擾事件

1)判定方法

(1)?Wi-Fi性能測試：通過測試上傳速度、下載速度以及ping測試，評估Wi-Fi速度和信號強度。使用無線信號分析器進一步測試Wi-Fi信號強度，以區(qū)分正常的網(wǎng)絡(luò)擁塞與干擾攻擊。

(2)載波偵聽時間分析：獲取并分析載波偵聽時間的分布特性，當出現(xiàn)干擾攻擊時，該特性會發(fā)生變化。

(3)網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控：使用嗅探工具(如kismet、wireshark)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包，檢測驗證洪水攻擊、關(guān)聯(lián)洪水攻擊、射頻干擾攻擊等常見的干擾攻擊。

2)處理流程

(1)干擾識別：對附近的Wi-Fi設(shè)備進行分析，識別干擾源及分析干擾產(chǎn)生的原因。

(2)信道切換：切換到另外的安全信道，盡量選擇頻段不相鄰的正交信道；

(3)空間退避：若切換信道后干擾仍存在，則移動至干擾區(qū)域外，保持網(wǎng)絡(luò)連通性。

13.假冒事件

1)判定方法

(1)分析IP地址：攻擊者在假冒他人發(fā)布信息時，可能會泄露其IP地址。若該IP地址來源不明或與預(yù)期不符，則可視為身份假冒的線索。

(2)審查通信記錄：通過檢查相關(guān)當事人與疑似假冒者的通信記錄(如QQ聊天記錄、郵件等)，分析是否存在詐騙行為。

(3)向被冒用者核實：對可疑信息保持警惕，并及時向被冒用者求證，以確認信息的真實性。

2)處理流程

(1)緊急通知：通過安全渠道及時通知所有認識的人，防止假冒者實施進一步詐騙。

(2)賬戶更新與強化驗證：更新個人賬戶信息，加強身份驗證措施，防止攻擊者繼續(xù)冒用身份。

(3)個人信用查詢與配合調(diào)查：查詢個人身份證是否有違法記錄或不良信用記錄，如有，則積極配合相關(guān)部門追查冒用者并追究責任。

(4)公共部門管理加強：呼吁公共部門加強個人信息管理，嚴防個人信息倒賣等事件發(fā)生，并依法追究涉嫌信息買賣的責任人。

(5)?IP