畢業(yè)設(shè)計（論文）-企業(yè)網(wǎng)絡(luò)安全防護技術(shù)措施

1、目 錄第1章 緒論1第2章 企業(yè)網(wǎng)絡(luò)安全概述32.1 網(wǎng)絡(luò)安全32.2 安全隱患32.2.1 完整性32.2.2 機密性32.2.3 可用性42.3 安全分類42.4 網(wǎng)絡(luò)安全的目標(biāo)42.4.1 消除盜竊42.4.2 確定身份42.4.3 鑒別假冒52.4.4 保密5第3章 企業(yè)數(shù)據(jù)安全63.1數(shù)據(jù)庫安全63.1.1 數(shù)據(jù)庫安全問題63.1.2 數(shù)據(jù)庫安全策略與配置63.1.3 數(shù)據(jù)庫的加密73.2 數(shù)據(jù)備份與恢復(fù)83.2.1 數(shù)據(jù)備份與恢復(fù)概述83.2.2 數(shù)據(jù)備份策略103.2.3 數(shù)據(jù)庫的備份11第4章 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)的安全124.1 web服務(wù)器安全124.1.1 web的安全概述

2、124.1.2 web站點的安全和漏洞124.1.3 web安全預(yù)防措施134.2 域名系統(tǒng)的安全性144.2.1 dns的安全威脅144.2.2 名字欺騙技術(shù)154.2.3 增強dns服務(wù)的安全性154.3 電子郵件的安全性164.3.1 e-mail的安全風(fēng)險164.3.2 郵件服務(wù)器的安全與可靠性174.3.3 郵件客戶端的安全17第5章 網(wǎng)絡(luò)病毒防范195.1 計算機病毒概述195.1.1 計算機病毒的定義195.1.2 計算機病毒分類195.1.3 計算機病毒的特征195.1.4 計算機網(wǎng)絡(luò)病毒的危害性205.2 反病毒技術(shù)205.2.1 計算機病毒的防范205.2.2 計算機網(wǎng)絡(luò)病

3、毒的防范措施22第6章 防火墻及相關(guān)技術(shù)應(yīng)用236.1 防火墻概述236.1.1 防火墻的概念236.1.2 防火墻的目的和功能236.1.3 防火墻的局限性246.2 防火墻的分類256.3 防火墻的體系結(jié)構(gòu)256.3.1 雙穴主機體系結(jié)構(gòu)256.3.2 屏蔽主機體系結(jié)構(gòu)266.3.3 屏蔽子網(wǎng)體系結(jié)構(gòu)266.4 防火墻的策略與維護276.4.1 設(shè)置防火墻的策略276.4.2 防火墻的維護286.5 入侵檢測系統(tǒng)296.5.1 入侵檢測系統(tǒng)的功能及分類296.5.2 入侵檢測產(chǎn)品的選購原則306.6 虛擬專用網(wǎng)（vpn）30結(jié) 論32致 謝33參考文獻34摘 要隨著internet上的個人

4、和商業(yè)應(yīng)用越來越普遍,基于網(wǎng)絡(luò)應(yīng)用和服務(wù)的信息資源也面臨著更多的安全風(fēng)險。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有得到應(yīng)有的重視。信息是一種必須保護的資產(chǎn)，由于缺少足夠的保護或者網(wǎng)絡(luò)安全措施而造成的損失對企業(yè)而言可能是致命的。為了能夠讓企業(yè)的網(wǎng)絡(luò)系統(tǒng)避免遭受來自各種不安全的攻擊和威脅，從而更加安全可靠地使用網(wǎng)絡(luò)，我們應(yīng)該采取各種有效的安全防護措施。針對目前企業(yè)網(wǎng)絡(luò)所面臨的安全問題，本文從如何保護企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個方面闡述了如何有效地保護企業(yè)網(wǎng)絡(luò)的安全。文章通過對當(dāng)今網(wǎng)絡(luò)面臨的安全問題的總結(jié)，并結(jié)合當(dāng)前企業(yè)網(wǎng)絡(luò)的特點，制定出了有效的安全防

5、護措施。針對企業(yè)網(wǎng)絡(luò)所出現(xiàn)的比較常見的安全問題，通過各種方法給予解決或給出可行方案。在對各種網(wǎng)絡(luò)安全防護措施的敘述的同時，文章還通過各種圖形來近一步闡述各種原理，使抽象問題變得更加的簡潔明了。當(dāng)涉及到網(wǎng)絡(luò)連接等原理時，更能通過各種網(wǎng)絡(luò)拓撲圖，形象的給予描述，使復(fù)雜問題的變得簡單。通過本文的敘述，我們將會對企業(yè)網(wǎng)絡(luò)安全有一個更加清晰的認識。關(guān)鍵字： 防火墻 數(shù)據(jù) 備份 第1章 緒論在信息化高速發(fā)展的今天,計算機網(wǎng)絡(luò)已經(jīng)完全滲透到社會生活的各個方面。隨著internet上的個人和商業(yè)應(yīng)用越來越普遍,基于網(wǎng)絡(luò)應(yīng)用和服務(wù)的信息資源也面臨著更多的安全風(fēng)險。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有得到應(yīng)有的重視。

6、信息是一種必須保護的資產(chǎn)，由于缺少足夠的保護或者網(wǎng)絡(luò)安全措施而造成的損失對企業(yè)而言可能是致命的。internet的不可信也會限制企業(yè)的商業(yè)機會，特別是那些100%基于web的組織。制定和頒布安全政策與安全措施并使得用戶和潛在的用戶感覺到足夠安全是必須的。隨著internet的發(fā)展和應(yīng)用，許多企業(yè)已經(jīng)認識到通過網(wǎng)絡(luò)建立企業(yè)內(nèi)部的商務(wù)平臺、為企業(yè)雇員提供到自動銷售系統(tǒng)的移動連接、向客戶和消費者提供電子商務(wù)平臺等行為，都將為企業(yè)節(jié)約大量的銷售成本。通過入侵檢測、身份鑒定、授權(quán)和評估系統(tǒng)，增強了防火墻的功能。現(xiàn)在，許多企業(yè)很好地平衡了防止惡意攻擊與增加正當(dāng)訪問渠道之間的矛盾。在企業(yè)安全方面的投資可以保

7、證企業(yè)的生產(chǎn)力和確?？蛻舻男湃?。一個可靠的安全基礎(chǔ)能幫助企業(yè)建立與雇員、供應(yīng)商、合伙人和客戶之間的信任關(guān)系，使他們相信企業(yè)的任何信息都能夠受到妥善的保護，任何的網(wǎng)上交易都是可以信賴的。正是由于越來越多的企業(yè)組建了自己的局域網(wǎng)，并依靠現(xiàn)代網(wǎng)絡(luò)的快速便捷使自己的生產(chǎn)、經(jīng)營、運作方式等發(fā)生了極大的改變。通過這種方式，企業(yè)降低了生產(chǎn)成本，增加了企業(yè)收入。正是出于企業(yè)對網(wǎng)絡(luò)的極度依賴，所以保證一個企業(yè)的網(wǎng)絡(luò)安全是非常重要的。在網(wǎng)絡(luò)安全方面，企業(yè)采用的防護措施還有彌補操作系統(tǒng)的安全漏洞、以及當(dāng)網(wǎng)絡(luò)已經(jīng)癱瘓時進行災(zāi)難恢復(fù)等。此外，虛擬專用網(wǎng)（vpn）技術(shù)將逐漸成為企業(yè)之間互聯(lián)的首選產(chǎn)品，因為它能夠降低成本、

8、提高效率、增強安全性，在日后的應(yīng)用中將會有廣闊的前景。然而，為了能夠讓企業(yè)網(wǎng)絡(luò)變得更加的安全，我們不能只是靠各種安全防護產(chǎn)品，除此之外，我們必須通過各種安全策略，包括制定嚴格的安全制度、法律，組建安全團隊，對網(wǎng)絡(luò)安全動態(tài)實時關(guān)注，開發(fā)出更完善的安全系統(tǒng)，只有這樣，才能保證企業(yè)網(wǎng)絡(luò)處于一個比較安全的位置。安全風(fēng)險不能完全消除或者防止，但是可通過有效的風(fēng)險管理和評估，將風(fēng)險最小化到可以接受的水平。至于什么才是可以接受的，這取決于個人或者企業(yè)的承受力。如果減少風(fēng)險所帶來的收益超過了采取各種措施的費用，那么進行風(fēng)險管理就是值得的。正是由于企業(yè)網(wǎng)絡(luò)面臨的安全問題是各種各樣的，針對目前企業(yè)網(wǎng)絡(luò)所面臨的安全

9、問題，本文從如何保護企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個方面闡述了如何有效地保護企業(yè)網(wǎng)絡(luò)的安全。第2章 企業(yè)網(wǎng)絡(luò)安全概述2.1 網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。計算機網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜合性科學(xué)。從廣義上來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可

10、用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。所以，廣義的計算機網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，諸如場地環(huán)境保護、防火措施、防水措施、放電保護、靜電保護、電源保護、空調(diào)設(shè)備、計算機輻射和計算機病毒等。安全風(fēng)險不能完全消除或者防止，但是可通過有效的風(fēng)險管理和評估，將風(fēng)險最小化到可以接受的水平。至于什么才是可以接受的，這取決于個人或者企業(yè)的承受力。如果減少風(fēng)險所帶來的收益超過了采取各種措施的費用，那么進行風(fēng)險管理就是值得的。2.2 安全隱患網(wǎng)絡(luò)安全的目的是實現(xiàn)網(wǎng)絡(luò)信息的完整性、機密性和可用性。2.2.1 完整性完整性是指確保數(shù)據(jù)不允許被非授權(quán)人修改或者破壞的能力。完整性確保

11、了發(fā)送信息與接受信息是一致的，即使數(shù)據(jù)是非保密的，也必須保證數(shù)據(jù)的完整性，就像一個人允許其他人知道他的日常業(yè)務(wù)，但決不允許他人擅自修改其業(yè)務(wù)一樣。2.2.2 機密性機密性將保護數(shù)據(jù)不泄露給非授權(quán)的第三方。無論是客戶數(shù)據(jù)還是公司內(nèi)部數(shù)據(jù)，企業(yè)都有責(zé)任保證數(shù)據(jù)的私密性。所有的客戶都有權(quán)要求保護他們的個人信息，一個企業(yè)也必須尊重客戶的隱私權(quán)并與客戶之間保持一種信任的關(guān)系。公司擁有的信息不僅是敏感的，而且也需要保密，只有被許可的部分才能被訪問，這些信息的傳遞也是以一種安全的方式進行并能阻止未授權(quán)的訪問。2.2.3 可用性可用性是指計算機系統(tǒng)的連續(xù)操作能力，其對立面是拒絕服務(wù)，這種攻擊通過垃圾信息來淹沒

12、網(wǎng)絡(luò)設(shè)備，減慢直到整個系統(tǒng)崩潰。應(yīng)用程序需要不同級別的可用性，這取決于停機時間對業(yè)務(wù)的影響。例如，若一個應(yīng)用程序是可用的，那么所有的組件，包括應(yīng)用程序和數(shù)據(jù)庫服務(wù)器、存儲設(shè)備和端到端的網(wǎng)絡(luò)連接等，都必須是可提供持續(xù)服務(wù)的。隨著更多企業(yè)和組織對基于網(wǎng)絡(luò)應(yīng)用和internet依賴性的增加，多媒體數(shù)據(jù)的集成也對各種應(yīng)用的可用性提出了更高的要求。各種原因造成的系統(tǒng)停機，都可能導(dǎo)致可用性的缺乏，降低客戶的信任度，甚至減少企業(yè)的收入。2.3 安全分類對于網(wǎng)絡(luò)安全隱患，主要有以下四方面的原因：1) 技術(shù)缺陷：每個網(wǎng)絡(luò)和計算機技術(shù)都存在內(nèi)在的安全問題。2) 配置缺陷：暴露出的安全問題，甚至大多數(shù)是安全技術(shù)的配

13、置錯誤。3) 政策缺陷：缺乏安全策略或者不正確的執(zhí)行和管理，都可能使最好的安全和網(wǎng)絡(luò)技術(shù)失去作用。4) 人為錯誤：工作人員寫下自己的口令隨意放置，或者多人共享一個口令等，都是一些常見的問題。2.4 網(wǎng)絡(luò)安全的目標(biāo)網(wǎng)絡(luò)安全最重要的一個目標(biāo)是獲得那些任何不是被明確許可的操作被禁止的情況。正在發(fā)展的一個安全策略目標(biāo)是定義一個組織的計算機和網(wǎng)絡(luò)的使用期望值。“安全”意味著防止系統(tǒng)內(nèi)部和外部兩方面的攻擊。網(wǎng)絡(luò)安全包括安全的數(shù)據(jù)、應(yīng)用和用戶。2.4.1 消除盜竊據(jù)統(tǒng)計美國的公司因為信息失竊而損失1000億美元的收益，這通常發(fā)生于報表和機密信息被當(dāng)成垃圾丟棄。2.4.2 確定身份安全措施可能降低方便性，一般

14、來說，簡單的口令是一個效率較低的身份鑒定形式，但是更強大的身份鑒定需要更多的成本開銷。2.4.3 鑒別假冒任何隱藏的假冒都是一個潛在的安全漏洞，為了防止假冒，一般來說，要有足夠的身份鑒定、授權(quán)和審核以及專家的確認或者否定，然后在提出相應(yīng)的建議。2.4.4 保密大多數(shù)安全是建立在保密基礎(chǔ)上的。許多安全專家發(fā)現(xiàn)漏洞都是一些很容易修補的眾所周知的缺陷，因此必須確保網(wǎng)絡(luò)安裝最新的版本的補丁。在以后的幾年當(dāng)中，據(jù)估計90%的對計算機的攻擊將繼續(xù)利用那些已有的補丁程序或預(yù)防措施的安全缺陷。對數(shù)據(jù)進行分類并確定哪些數(shù)據(jù)需要保密是一件迫切的事，需要保密的包括口令、信用卡號、銀行賬戶等。為了確保秘密數(shù)據(jù)的安全性

15、，必須對系統(tǒng)進行分層并確保安裝最新的補丁程序。第3章 企業(yè)數(shù)據(jù)安全3.1數(shù)據(jù)庫安全數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所，并擔(dān)負著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。因而，如何保證和加強其安全性和保密性，已成為目前迫切需要解決的熱門課題。3.1.1 數(shù)據(jù)庫安全問題計算機安全性的三個方面是安全性、保密性和可用性，都與數(shù)據(jù)庫管理系統(tǒng)有關(guān)系。數(shù)據(jù)庫系統(tǒng)安全問題可歸納為以下三個方面：1.保障數(shù)據(jù)庫系統(tǒng)的保密性。2.保障數(shù)據(jù)庫系統(tǒng)的完整性。3.數(shù)據(jù)庫系統(tǒng)的可用性。3.1.2 數(shù)據(jù)庫安全策略與配置數(shù)據(jù)庫的安全策略包括系統(tǒng)的策略、數(shù)據(jù)安全的策略、

16、用戶安全的策略等。1、 系統(tǒng)安全的策略1) 數(shù)據(jù)庫用戶的管理每個數(shù)據(jù)庫系統(tǒng)都有一個或幾個管理員，負責(zé)維護所有的安全策略方面的問題，這類管理員稱為安全管理員。如果數(shù)據(jù)庫系統(tǒng)很小，數(shù)據(jù)庫管理員也就擔(dān)當(dāng)起安全管理員的責(zé)任。但是，如果數(shù)據(jù)庫系統(tǒng)很大，通常就要指定一個人或一群人專門擔(dān)當(dāng)安全管理員的責(zé)任。2) 用戶的鑒別數(shù)據(jù)庫用戶可以通過操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、或數(shù)據(jù)庫進行身份確認，來鑒別（核實合法用戶）。3) 操作系統(tǒng)的安全如果可以的話，對于任何數(shù)據(jù)庫應(yīng)用的操作系統(tǒng)來說，還應(yīng)該考慮數(shù)據(jù)庫管理員必須具有操作系統(tǒng)權(quán)限，以便創(chuàng)建和刪除文件。一般數(shù)據(jù)庫用戶不應(yīng)該具有操作系統(tǒng)權(quán)限。如果操作系統(tǒng)會識別用戶的數(shù)據(jù)庫角色，

17、那么，安全管理員就必須有操作系統(tǒng)權(quán)限，以便修改操作系統(tǒng)賬戶的安全域。2、 數(shù)據(jù)安全的策略安全包括在對象層上控制訪問和使用數(shù)據(jù)庫的機制。數(shù)據(jù)庫安全策略應(yīng)確定，能訪問特殊的模式對象、允許每個用戶在對象上所做的特殊的動作類型。例如，訪問數(shù)據(jù)庫表時，一些用戶只能執(zhí)行select和insert語句，而不能執(zhí)行delete語句。3、 用戶安全的策略1) 普通用戶的權(quán)限管理安全管理員應(yīng)該考慮涉及所有類型用戶的權(quán)限管理問題。例如，在一個有許多用戶名的數(shù)據(jù)庫中，使用角色來管理用戶可用的權(quán)限是非常有益的。否則，如果數(shù)據(jù)庫中只有少數(shù)用戶名，就將權(quán)限明確地賦予用戶，避免使用角色，這樣反而更容易。2) 密碼的安全如果用

18、戶是通過數(shù)據(jù)庫進行用戶身份的確認，那么建議使用密碼加密的方法與數(shù)據(jù)庫進行連接。3) 終端用戶的安全安全管理員必須定義終端用戶的安全策略。如果一個數(shù)據(jù)庫有很多用戶，安全管理員可以決定將那些用戶的組分類成用戶組，然后為這些組創(chuàng)建用戶角色。安全管理員可以給每個用戶角色賦予必要的權(quán)限或應(yīng)用角色，再將用戶角色賦予給這些用戶。對于例外情況，安全管理員還必須確定，必須將什么權(quán)限明確地授予那個用戶。4) 管理員的安全安全管理員應(yīng)該有一個處理數(shù)據(jù)庫管理員的安全的策略。例如，當(dāng)數(shù)據(jù)庫很大，且有幾種類型的數(shù)據(jù)庫管理員時，安全管理員就應(yīng)該將相關(guān)的管理權(quán)限劃分成幾個管理角色。然后將這些管理角色授予適當(dāng)?shù)墓芾韱T用戶。相反

19、，當(dāng)數(shù)據(jù)庫很小而且只有幾個管理員時，創(chuàng)建一個管理角色并把這個管理角色授予所有管理員，可能就更方便些。3.1.3 數(shù)據(jù)庫的加密1、數(shù)據(jù)庫加密概述大型數(shù)據(jù)庫管理系統(tǒng)的運行平臺一般是windows nt/2000和unix，這些操作系統(tǒng)的安全級別通常為c1、c2級。它們具有用戶注冊、識別用戶、任意存取控制、審計等安全功能。雖然數(shù)據(jù)庫管理系統(tǒng)在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施，例如基于權(quán)限的控制等，但操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件本身仍然缺乏有效的保護措施，有經(jīng)驗的網(wǎng)上黑客會繞道而行，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件的內(nèi)容。這種隱患被稱為通向數(shù)據(jù)庫管理系統(tǒng)的隱秘通道，它所帶來的危害一般

20、數(shù)據(jù)庫用戶難以覺察。分析和堵塞隱秘通道被認為是b2級的安全技術(shù)措施。對數(shù)據(jù)庫中的敏感數(shù)據(jù)進行加密處理，是堵塞這一隱秘通道的有效手段。2、加密算法加密算法是數(shù)據(jù)加密的核心。算法必須適應(yīng)數(shù)據(jù)庫系統(tǒng)的特點，加密解密速度要快。著名的背包算法就是一種適合數(shù)據(jù)庫加密的算法。算法的思路是假定某人擁有大量的物品，重量各不相同。此人通過秘密地選擇一部分物品并將它們放到背包中來加密消息。背包中的物品總重量是公開的，所有可能的物品也是公開的，但背包中的物品卻是保密的。附加一定的限制條件，給出重量，而要列出可能的物品，在計算上是不可實現(xiàn)的。3.2 數(shù)據(jù)備份與恢復(fù)隨著各單位局域網(wǎng)和互連網(wǎng)絡(luò)的深入應(yīng)用,系統(tǒng)內(nèi)的服務(wù)器擔(dān)負

21、著企業(yè)的關(guān)鍵應(yīng)用,存儲著重要的信息和數(shù)據(jù),為網(wǎng)絡(luò)環(huán)境下的大量客戶機提供快速高效的信息查詢、數(shù)據(jù)處理和internet等的各項服務(wù)，一旦數(shù)據(jù)丟失，將會造成無法彌補的損失。為了計算機網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時，網(wǎng)絡(luò)中的核心數(shù)據(jù)必須能安全的保存和迅速的恢復(fù)，因此，對于企業(yè)來說，可靠的數(shù)據(jù)備份和恢復(fù)措施是非常必要的。3.2.1 數(shù)據(jù)備份與恢復(fù)概述1、數(shù)據(jù)備份和恢復(fù)的基本概念數(shù)據(jù)備份和恢復(fù)是指將計算機硬盤上的原始數(shù)據(jù)復(fù)制到其他存儲媒體上，如磁帶、光盤等，在出現(xiàn)數(shù)據(jù)丟失或系統(tǒng)災(zāi)難時將復(fù)制在其他存儲媒體上的數(shù)據(jù)恢復(fù)到硬盤上，從而保護計算機的系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)。對于計算機網(wǎng)絡(luò)數(shù)據(jù)，備份不僅僅是文件的復(fù)制，還應(yīng)該包括文

22、件的權(quán)限、屬性等信息。2、 數(shù)據(jù)備份的原則對數(shù)據(jù)進行備份是為了保證數(shù)據(jù)的安全性，消除系統(tǒng)使用者和操作者的后顧之憂。不同的應(yīng)用環(huán)境要求不同的解決方案來適應(yīng)，一般來說，要求滿足以下原則。1) 穩(wěn)定性。備份產(chǎn)品的主要作用是為了系統(tǒng)提供一個數(shù)據(jù)保護方法，于是該產(chǎn)品本身的穩(wěn)定性就變成了最重要的一個方面，一定要與操作系統(tǒng)百分之百的兼容。2) 全面性。在計算機網(wǎng)絡(luò)環(huán)境中，可能包括了各種操作平臺，如netware、windows nt、unix等。選用的備份軟件，要支持各種操作系統(tǒng)、數(shù)據(jù)庫和典型應(yīng)用。3) 安全性。計算機網(wǎng)絡(luò)是計算機病毒傳播的通道，給數(shù)據(jù)安全帶來極大威脅。如果在備份的時候，把計算機病毒也完整的

23、備份下來，將會是一種惡性循環(huán)。因此，要求在備份的過程中有查毒、防毒、殺毒、的功能，確保無毒備份，同時還要保證備份介質(zhì)不丟失和備份數(shù)據(jù)的完整性。4) 容錯性。確認備份數(shù)據(jù)的可靠性，也是一個至關(guān)重要的方面。如果引入raid技術(shù)，對磁帶進行鏡像，就可以更好的保證數(shù)據(jù)安全可靠，給用戶再加一把保險鎖。3、 常用數(shù)據(jù)備份的方法1) 磁帶備份在所有備份介質(zhì)中，磁帶備份是可靠、成本低、傳輸率高、易于使用和管理的數(shù)據(jù)備份介質(zhì)。2) 硬盤備份在計算機中安裝多塊硬盤，將數(shù)據(jù)備份在不同的硬盤上，通常采用磁盤陣列（raid）的方法。在硬盤備份中也有采用移動硬盤進行手動備份的。硬盤備份的速度快、實時性高，一塊硬盤出現(xiàn)故障

24、時不影響系統(tǒng)的運行。但使用硬盤備份時，由于硬盤無法從系統(tǒng)中分離，一旦發(fā)生自然災(zāi)害將引起重大的數(shù)據(jù)損失。3) 網(wǎng)絡(luò)備份隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，該技術(shù)也應(yīng)用到數(shù)據(jù)的存儲和備份中。采用網(wǎng)絡(luò)備份可以實現(xiàn)備份的集中管理、異地備份等。通過制定相應(yīng)的備份策略，備份工作可以自動進行，不需要太多的人干預(yù)，減少了日常的管理負擔(dān)，并可避免人為的疏忽或錯誤，提高了數(shù)據(jù)備份的可靠性。特別是通過網(wǎng)絡(luò)進行的異地備份可以有效的預(yù)防自然災(zāi)害對數(shù)據(jù)的破壞。4、 數(shù)據(jù)備份的注意事項1) 制定備份策略。根據(jù)企業(yè)對數(shù)據(jù)安全的實際需要來制定適合的備份方案和策略。2) 將備份介質(zhì)存儲在異地。備份后的介質(zhì)一定要保存在異地或防火、防水、防磁的保險

25、箱內(nèi)。3) 定期清潔備份設(shè)備。由于頻繁進行備份操作，清潔備份設(shè)備是保證備份質(zhì)量的關(guān)鍵。4) 使用合格的備份介質(zhì)。對備份介質(zhì)的讀寫操作會造成一定的磨損，當(dāng)出現(xiàn)損壞或老化時要及時更換，制定備份介質(zhì)輪換策略。5) 選用有報警功能的備份設(shè)備。用戶可以檢測備份設(shè)備的狀態(tài)是否正常。6) 每兩三個星期檢查備份介質(zhì)，并從中恢復(fù)一些文件，從而得知備份文件是否處在可恢復(fù)的狀態(tài)。3.2.2 數(shù)據(jù)備份策略備份策略指確定需備份的內(nèi)容、備份時間及備份方式。各個單位要根據(jù)自己的實際情況來制定不同的備份策略。企業(yè)可以選取的備份策略有以下三種。1、 完全備份對系統(tǒng)中的數(shù)據(jù)進行完全備份。例如，星期一用一盤磁帶對整個系統(tǒng)進行備份，

26、星期二用另一盤磁帶對整個系統(tǒng)進行備份，依次類推。這種備份策略的好處是當(dāng)發(fā)生數(shù)據(jù)丟失的災(zāi)難時，只要用一盤磁帶（災(zāi)難發(fā)生前一天的備份磁帶），就可以恢復(fù)丟失的數(shù)據(jù)。然而它亦有不足之處。首先，由于每天都對整個系統(tǒng)進行備份，造成備份的數(shù)據(jù)大量重復(fù)，這些重復(fù)的數(shù)據(jù)占用了大量的磁帶空間，這對用戶來說就意味著增加成本。其次，由于需要備份的數(shù)據(jù)量較大，因此備份所需的時間也就較長。對于那些業(yè)務(wù)繁忙、備份時間有限的單位來說，選擇這種備份策略是不明智的。2、 增量備份增量備份是進行一次完全備份，然后在接下來只對當(dāng)天新的或被修改過的數(shù)據(jù)進行備份。這種備份策略的優(yōu)點是節(jié)省了磁帶空間，縮短了備份時間。但它的缺點在于：當(dāng)災(zāi)難

27、發(fā)生時，數(shù)據(jù)的恢復(fù)比較麻煩。3、 差分備份差分備份是管理員先進行一次系統(tǒng)完全備份，然后在接下來的幾天里，管理員再將當(dāng)天所有與完全備份后發(fā)生改變的數(shù)據(jù)（新的或修改過的）備份到磁帶上。差分備份策略在避免了以上兩中策略的缺陷的同時，又具有了它們的所有優(yōu)點。首先，它無需每天都對系統(tǒng)做完全備份，因此備份所需時間短，并節(jié)省了磁帶空間；其次，它的災(zāi)難恢復(fù)也很方便。系統(tǒng)管理員只需兩盤磁帶，即完全備份磁帶與災(zāi)難發(fā)生前一天的磁帶，就可以將系統(tǒng)恢復(fù)。在實際應(yīng)用中，備份策略通常是以下三種的結(jié)合。例如在每周一至周六每天進行一次增量備份或差分備份，每周日進行全備份，每月底進行一次全備份，每年底進行一次全備份。3.2.3

28、數(shù)據(jù)庫的備份1、 數(shù)據(jù)庫備份技術(shù)概述當(dāng)企業(yè)用戶使用一個數(shù)據(jù)庫時，總希望數(shù)據(jù)庫的內(nèi)容是可靠的、正確的，但由于數(shù)據(jù)庫在傳輸、存儲和交換的過程中出現(xiàn)計算機系統(tǒng)的故障（包括機器故障、介質(zhì)故障、誤操作等），同時，計算機系統(tǒng)也會發(fā)生意料不到的事故，數(shù)據(jù)庫也可能遭到破壞，這時如何盡快恢復(fù)數(shù)據(jù)就成為當(dāng)務(wù)之急。如果平時對數(shù)據(jù)庫做了備份，那么此時恢復(fù)數(shù)據(jù)就顯得很容易。如果沒有事先采取數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)措施，數(shù)據(jù)就會丟失，將造成慘重的損失。數(shù)據(jù)的備份與恢復(fù)作為信息安全的重要內(nèi)容不可忽視。因此，數(shù)據(jù)的備份與恢復(fù)也是數(shù)據(jù)庫系統(tǒng)的一個安全功能。2、 數(shù)據(jù)庫的備份大多數(shù)操作系統(tǒng)都帶有備份工具，例如，在windows 200

29、0中，通過在桌面上單擊開始/程序/附件/備份工具/備份選項，單擊備份向?qū)О磁?，啟動系統(tǒng)的備份向?qū)?。其它操作系統(tǒng)亦可以通過系統(tǒng)備份工具對數(shù)據(jù)庫進行備份，也可以利用專用的備份工具。第4章 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)的安全4.1 web服務(wù)器安全在計算機網(wǎng)絡(luò)應(yīng)用服務(wù)中，web技術(shù)被廣泛的使用，給人們的生活、工作和學(xué)習(xí)帶來了很大的方便，同時在這個虛幻的網(wǎng)絡(luò)世界里，經(jīng)常出現(xiàn)一些web站點被攻擊、被篡改、信息泄露等，這就使得能否保證使用者的安全和隱私成為web應(yīng)用中的一個主要問題。web的安全性是web應(yīng)用中必須考慮的重要問題。web（world wide web）又稱萬維網(wǎng)，其基本結(jié)構(gòu)是采用開放試的客戶機/服務(wù)

30、器(client/server)結(jié)構(gòu)，其基本工作原理如圖4-1所示。 圖 4-1客戶機/服務(wù)器工作模式4.1.1 web的安全概述通常的網(wǎng)絡(luò)安全總是設(shè)置各種各樣的限制,使得不明身份的人無法獲得非授權(quán)的服務(wù)，但是web服務(wù)器恰恰相反，它希望接受盡可能多的客戶，對客戶幾乎沒有限制和要求，這樣，相當(dāng)于其他網(wǎng)絡(luò)服務(wù)器，web是最容易受到攻擊的。web安全風(fēng)險一般可分為三類，即對web服務(wù)器及其相連lan的威脅、對服務(wù)器和客戶機之間的通信信道的威脅。從web服務(wù)器角度來將，服務(wù)器風(fēng)險比web瀏覽器用戶更大，服務(wù)器受攻擊要比客戶機受攻擊危險的多。4.1.2 web站點的安全和漏洞1、web站點主要安全問題

31、1) 未經(jīng)授權(quán)的存取動作。該類問題指的是用戶未經(jīng)授權(quán)就使用系統(tǒng)資源，即使未對系統(tǒng)造成破壞，也侵犯了隱私。2) 竊取系統(tǒng)的信息。該類問題指的是攻擊者非法訪問、獲取目標(biāo)機器（web服務(wù)器或者瀏覽器）上的敏感信息；或者中途截取web服務(wù)器和瀏覽器之間傳輸?shù)拿舾行畔ⅲ换蛘哂捎谂渲?、軟件等的原因無意泄露的敏感信息，如賬號、密碼和客戶資料等。這種行為給用戶造成非常大的損失。3) 破壞系統(tǒng)。該類問題指的是入侵者進入系統(tǒng)后，破壞系統(tǒng)的重要數(shù)據(jù)、系統(tǒng)運行的重要文件，從而導(dǎo)致web站點系統(tǒng)無法正常運行。4) 拒絕服務(wù)。該類問題指的是攻擊者的直接目的不在于侵入計算機，而是在短時間內(nèi)向目標(biāo)發(fā)送大量的正常的請求數(shù)據(jù)包并

32、使得目標(biāo)機器維持相應(yīng)的連接，或者發(fā)送需要目標(biāo)機器解析的大量無用的數(shù)據(jù)包。使得目標(biāo)機器資源耗盡或是應(yīng)接不暇，根本無法響應(yīng)正常的服務(wù)。這種威脅不容易抵御。5) 非法使用。該類問題指的是入侵者利用系統(tǒng)從事非法用途，如存放、發(fā)布非法信息。6) 病毒破壞。該類問題指的是由于不小心執(zhí)行病毒程序、系統(tǒng)存在安全漏洞被網(wǎng)絡(luò)病毒攻擊等，從而導(dǎo)致系統(tǒng)數(shù)據(jù)被破壞、被竊取、甚至系統(tǒng)崩潰。2、web站點典型安全漏洞1) 操作系統(tǒng)類安全漏洞。該類問題指的是非法文件訪問、遠程獲得管理員權(quán)限、系統(tǒng)后門等漏洞。2) 網(wǎng)絡(luò)系統(tǒng)的安全漏洞。該類問題指的是網(wǎng)絡(luò)結(jié)構(gòu)不合理，如web服務(wù)器被監(jiān)聽、路由器出現(xiàn)錯誤的配置、交換機有后門口令或允

33、許未授權(quán)用戶繞過認證系統(tǒng)、防火墻防外不防內(nèi)以及防火墻設(shè)置不當(dāng)。3) 應(yīng)用系統(tǒng)的安全漏洞。該類問題指的是計算機網(wǎng)絡(luò)中使用的tcp/ip協(xié)議以及www server、mail server、ftp server 等存在的安全漏洞。4) 網(wǎng)絡(luò)安全防護系統(tǒng)漏洞。該類問題指的是網(wǎng)絡(luò)安全意識不強，缺少信息系統(tǒng)安全管理的規(guī)范，缺少安全測試、檢查、監(jiān)控，缺少信息發(fā)布的審核和管理，缺少對網(wǎng)絡(luò)安全事件的響應(yīng)，網(wǎng)管人員的技術(shù)水平不高。5) 其他安全漏洞。該類問題指的是薄弱的認證環(huán)節(jié)，復(fù)雜的設(shè)置和控制、易被監(jiān)視和欺騙等漏洞。 不能對電子郵件、下載文件和瀏覽的惡意網(wǎng)站進行有效控制。4.1.3 web安全預(yù)防措施1） 增

34、強服務(wù)器操作系統(tǒng)的安全，密切關(guān)注并及時安裝系統(tǒng)及軟件的最新補丁。2） 建立良好的賬號管理制度，限制在web服務(wù)器開賬戶。使用足夠安全的口令，在口令長度及定期更改方面做出要求，防止被盜用，并正確設(shè)置用戶訪問權(quán)限。3） 對服務(wù)器進行遠程管理時，使用如ssl等安全協(xié)議，避免使用telnet、ftp等程序，因為這些程序是以明文形式傳輸密碼的，容易被監(jiān)聽。并嚴格控制遠程管理員身份的使用，僅在絕對需要時，才允許使用具有高授權(quán)的操作。4） 使用入侵檢測系統(tǒng)，監(jiān)視系統(tǒng)、事件、安全記錄和系統(tǒng)日志，以及網(wǎng)絡(luò)中的數(shù)據(jù)包，定期查看服務(wù)器中的日志logs文件，分析一切可疑事件，對危險和惡意訪問進行阻斷、報警等響應(yīng)，并進

35、行必要的修補和控制。5） 限制可訪問用戶的ip或域名。在web服務(wù)器上可以根據(jù)ip地址或域名來限制用戶對資源的訪問，可以限制哪些ip或域名可以訪問，哪些ip或域名不可以訪問。6） 使用防火墻，對數(shù)據(jù)包進行過濾，禁止某些地址對服務(wù)器的某些服務(wù)的訪問，并在外部網(wǎng)絡(luò)和web服務(wù)器中建立雙層防護。利用防火墻，將服務(wù)器中與web服務(wù)器無關(guān)的服務(wù)及端口阻隔，進一步增強開放的服務(wù)的安全性。7） 使用漏洞掃描和安全評估軟件，對整個網(wǎng)絡(luò)進行全面的掃描、分析和評估，從用戶賬戶約束、口令系統(tǒng)、訪問控制、系統(tǒng)監(jiān)測、數(shù)據(jù)完整和數(shù)據(jù)加密等多方面進行安全分析和審計。建立和提高用戶的安全策略，及時發(fā)現(xiàn)并彌補安全漏洞。4.2

36、域名系統(tǒng)的安全性域名系統(tǒng)(domain name system-dns)是一個分布式數(shù)據(jù)庫.它把主機名翻譯成ip地址,把ip地址翻譯成主機名。對于dns服務(wù)器而言可用性是最為重要的。在現(xiàn)實生活中經(jīng)常定義攻擊者入侵系統(tǒng)獲取數(shù)據(jù)為一個安全問題，但是對dns服務(wù)器來說，遭到了拒絕服務(wù)攻擊則是一件更重要的問題。失去dns服務(wù)器的話，任何在internet網(wǎng)絡(luò)上的人將不能夠再使用域名找到所要訪問的服務(wù)器。更嚴重的是，沒有dns服務(wù)，所有的郵件發(fā)送都將失敗，而內(nèi)部網(wǎng)絡(luò)將由于解析域名的失敗而失去和外部網(wǎng)絡(luò)的聯(lián)系。4.2.1 dns的安全威脅1、 拒絕服務(wù)攻擊網(wǎng)絡(luò)攻擊者攻擊dns服務(wù)器、路由器和防火墻，是dn

37、s服務(wù)器無法回應(yīng)正常的dns查詢的請求。2、 設(shè)置不當(dāng)?shù)膁ns將泄露過多的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如果dns服務(wù)器設(shè)置為允許對任何人都進行區(qū)域傳輸?shù)脑挘敲凑麄€網(wǎng)絡(luò)架構(gòu)中的主機名、主機ip列表、路由器名、路由器ip列表甚至包括機器所在的位置等信息很容易被竊取，通過分析這些信息可以很清楚地得到網(wǎng)站內(nèi)部的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。3、 利用被控制的dns服務(wù)器入侵整個網(wǎng)絡(luò)當(dāng)一個入侵者控制了dns服務(wù)器后，他就可以隨意篡改dns的記錄信息，甚至使用這些被篡改的記錄信息來達到進一步入侵整個網(wǎng)絡(luò)的目的。比如，將現(xiàn)有的dns記錄中的主機信息修改成被攻擊者自己控制的主機，這樣所有達到原來目的地的數(shù)據(jù)包將被重定位到入侵者手中，dns

38、帶來的威脅會涉及到整個網(wǎng)絡(luò)系統(tǒng)破壞了整個網(wǎng)絡(luò)的安全完整性。4.2.2 名字欺騙技術(shù)當(dāng)允許用戶執(zhí)行遠程系統(tǒng)命令時，系統(tǒng)管理員往往在某些主機之間建立相互信任的關(guān)系，當(dāng)主機間的信任是借助名字并通過dns來認證時，就會導(dǎo)致名字欺騙的出現(xiàn)。例如，當(dāng)一個主機b要向主機a發(fā)送信息時，中途被主機c篡改了主機b的地址等信息，而此時主機c擔(dān)當(dāng)了主機b的較色，從而主機c就和主機a建立了信任關(guān)系，此時主機c就假冒主機b欺騙了主機a。4.2.3 增強dns服務(wù)的安全性1. 設(shè)置分布在不同網(wǎng)絡(luò)中的dns服務(wù)器將dns服務(wù)器分布在不同的網(wǎng)絡(luò)中，以防御拒絕服務(wù)的攻擊。如果多臺dns服務(wù)器放在同一網(wǎng)段，處在同一個路由器（或防火

39、墻）后面，一旦dns服務(wù)器前的路由器（或防火墻）成了攻擊目標(biāo)，大量的數(shù)據(jù)包將涌向這個路由器（或防火墻），堵塞了這個路由器（或防火墻），而正常的dns解析請求無法到達路由器（或防火墻）后的dns服務(wù)器上。從而干擾了正常的dns通信，導(dǎo)致應(yīng)用服務(wù)器無法給外界提供服務(wù)，網(wǎng)站發(fā)生癱瘓。2.防衛(wèi)名字欺騙技術(shù)對于名字欺騙技術(shù)的防衛(wèi)方法有:把名字數(shù)據(jù)庫中的信息的生存期改為比較長的時間，如一個星期或一個月,這樣名字信息保存在緩沖區(qū)的時間較長,即使更改數(shù)據(jù)庫內(nèi)容也不會馬上生效,攻擊者不可能等這么長的時間。但生存期過長對數(shù)據(jù)庫的更改也不利。在設(shè)置信任關(guān)系時不使用機器名字，而使用機器的ip地址，這樣可以使系統(tǒng)避免名

40、字欺騙，但可能遭受ip地址欺騙。為保證安全的服務(wù)，要認證用戶而不是認證主機名和ip地址。4.3 電子郵件的安全性電子郵件（e-mail）作為internet上使用最多、最重要的服務(wù)之一，同時也是安全漏洞最多的服務(wù)之一，它已成為目前網(wǎng)絡(luò)上傳遞病毒和黑客程序主要的途徑之一。e-mail系統(tǒng)之所以是一種最脆弱的服務(wù)，是因為它可以接受來自internet上任何主機的任何數(shù)據(jù)。4.3.1 e-mail的安全風(fēng)險1.e-mail的漏洞e-mail服務(wù)器向全球開放，原則上可以接收任何人發(fā)來的郵件，很容易受到攻擊。郵件的信息可能攜帶會損害服務(wù)器或客戶機的指令。郵件客戶端軟件和web提供的閱讀器很容易受到這類侵

41、擾。與標(biāo)準的基于文本的internet郵件不同，郵件客戶端軟件和網(wǎng)頁瀏覽器可以執(zhí)行腳本。例如，在一條信息中加進了一個小的腳本，并發(fā)給用戶。這個腳本在信息中作為一個小圖標(biāo)，用戶點擊這個圖像，就會打開一個小程序，甚至?xí)卩]件打開時自動運行。如果攜帶了惡意的代碼，病毒或程序，會影響本地計算機的安全，甚至?xí)詣愚D(zhuǎn)發(fā)給郵件地址薄中的其他用戶，造成更大范圍的攻擊。2.利用e-mail欺騙e-mail欺騙行為表現(xiàn)形式可能各異，但原理相同，通常是欺騙用戶進行一個毀壞性的操作或暴露敏感信息（比如密碼）。欺騙性e-mail會制造安全漏洞。當(dāng)用戶收到的電子郵件中涉及敏感信息時，用戶要適當(dāng)分析，認真核對郵件的發(fā)送者，

42、郵件信息表頭中的信息等。比如，收到的e-mail宣稱來自系統(tǒng)管理員，要求用戶將他們的口令改為特定的字串、要求用戶提供口令或其他敏感信息，并威脅如果用戶不照次辦理，將關(guān)閉用戶的賬戶。用戶應(yīng)了解，一般網(wǎng)絡(luò)管理人員都不會用e-mail發(fā)出這樣的要求。3.e-mail轟炸e-mail轟炸可被描述為不停接到大量同一內(nèi)容的e-mail。一條信息被傳給成千上萬的不斷擴大的用戶。更糟的是，如果一個人回復(fù)了該e-mail，那么表頭里所有的用戶都會收到這封回信。e-mail轟炸主要的風(fēng)險來自e-mail服務(wù)器。如果服務(wù)器接到很多的e-mail，可能會造成服務(wù)器脫網(wǎng)，系統(tǒng)崩潰，甚至造成網(wǎng)絡(luò)擁塞。如果系統(tǒng)突然變得遲鈍

43、，或人們開始抱怨e-mail速度大幅減慢，或不能收、發(fā)e-mail，這時e-mail服務(wù)器可能正忙于處理極大數(shù)量的信息。如果感到站點正受侵襲，應(yīng)找出轟炸的來源，然后設(shè)置防火墻或路由器進行過濾。4.3.2 郵件服務(wù)器的安全與可靠性1) 建立一個安全的電子郵件系統(tǒng)，采用合適的安全標(biāo)準非常重要。但僅僅依靠安全標(biāo)準是不夠的，郵件服務(wù)器本身必須是安全、可靠、久經(jīng)實戰(zhàn)考驗的。2) 對于網(wǎng)絡(luò)入侵的防范，在服務(wù)器端要考慮郵件信息的過濾、病毒的檢測等措施，控制不良郵件和帶病毒的郵件的入侵。對于服務(wù)破壞的防范，則可以分成一下幾個方面。3) 防止來自外部網(wǎng)絡(luò)的攻擊，包括拒絕來自指定地址和域名的郵件服務(wù)器連接請求，拒

44、絕收信人數(shù)量大于預(yù)定上限的郵件，限制單個ip地址的連接數(shù)量，暫時擱置可疑的信息等。采用這些措施可以有效地拒絕垃圾郵件，保證網(wǎng)絡(luò)和郵件的暢通。同時使用網(wǎng)絡(luò)防火墻對進入郵件服務(wù)器e-mail的地址和風(fēng)險的關(guān)鍵字進行控制、過濾以屏蔽不良的e-mail。4) 防止來自內(nèi)部網(wǎng)絡(luò)的攻擊，包括拒絕來自指定用戶、ip地址和域名的郵件服務(wù)請求，強制實施smtp認證，實現(xiàn)ssl pop 和ssl smtp以確認用戶身份等。5) 在郵件服務(wù)器上使用防病毒軟件，監(jiān)控收、發(fā)的郵件中是否有病毒，并自動采取清除病毒的措施。6) 及時更新郵件服務(wù)器軟件和系統(tǒng)補丁，發(fā)現(xiàn)安全漏洞要及時修補，不能存在僥幸心里。4.3.3 郵件客戶

45、端的安全e-mail是目前網(wǎng)絡(luò)上傳播病毒與黑客程序的主要途徑之一。唯有加強危機意識和網(wǎng)絡(luò)安全知識，才能更好地保障用戶計算機網(wǎng)絡(luò)安全。郵件客戶端的安全防范主要有一下幾點。1) 不輕易打開來歷不明的電子郵件。特別是來歷不明又包含附件的郵件，即使附件看來好像是.jpg(圖形文件)文件，也不要輕易打開它，因為windows允許用戶在文件命名時使用多個后綴，而許多電子郵件程序只顯示第一個后綴。比如，看到的郵件附件名稱是wow.jpg,而它的全名實際是wow.jpg.vbs，打開這個附件意味著運行一個惡意的vbscript病毒。2) 警惕欺騙性的電子郵件。針對值得懷疑的e-mail要采取措施證實是否確有其

46、事。對于重要的郵件要通過數(shù)字簽名來證明用戶郵件的身份，使用數(shù)字簽名可使收件人相信郵件是由發(fā)送方的機器發(fā)送的，并且未被偽造或篡改。3) 及時更新郵件客戶端軟件并及時打補丁。4) 使用并時常升級防毒軟件，定期對計算機進行病毒檢查。最好選用有郵件防火墻的防病毒軟件。5) 對保密性要求較高的郵件使用數(shù)字標(biāo)識對郵件進行加密。這樣使得郵件只有預(yù)定的接收著才能接收閱讀，但用戶必須獲得對方的數(shù)字標(biāo)識。第5章 網(wǎng)絡(luò)病毒防范5.1 計算機病毒概述計算機以及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，給人們的生活帶來了極大的方便，然而計算機在給我們帶來便捷的同時，也給我們帶來了不利的因素，那就是計算機病毒?，F(xiàn)如今，計算機病毒對整個系統(tǒng)以及

47、網(wǎng)絡(luò)的危害是匪夷所思的。因此，對于任何使用計算機的個人和單位，都必須學(xué)會如何來防范計算機病毒。5.1.1 計算機病毒的定義“計算機病毒”有很多種定義，從廣義上講，凡是能引起計算機故障，破壞計算機中數(shù)據(jù)的程統(tǒng)稱為計算機病毒。現(xiàn)在比較準確的定義是：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用，并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。5.1.2 計算機病毒分類計算機病毒按其傳染方式分為三種類型：引導(dǎo)型、文件型、混合型。1) 引導(dǎo)型病毒是指傳染計算機系統(tǒng)磁盤引導(dǎo)程序的計算機病毒。2) 文件型病毒是指傳染可執(zhí)行文件的計算機病毒。3) 混合型病毒是指傳染可執(zhí)行

48、文件又傳染引導(dǎo)程序的計算機病毒。它兼有文件型和引導(dǎo)型病毒的特點。5.1.3 計算機病毒的特征計算機病毒是一種特殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。1. 傳染性計算機病毒的傳染性是指病毒具有把自身復(fù)制到其他程序中的特性。2. 潛伏性計算機病毒的潛伏性是指病毒具有依附其他媒體而寄生的能力。3. 破壞性計算機病毒的破壞性是指病毒破壞文件或數(shù)據(jù)，甚至損壞主板。4. 可觸發(fā)性計算機病毒的可觸發(fā)性是指病毒因某個事件或某個數(shù)值的出現(xiàn)，誘發(fā)病毒發(fā)作。5.1.4 計算機網(wǎng)絡(luò)病毒的危害性1) 破壞磁盤文件分配表，使磁盤上的信息丟失。2) 刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)

49、文件，使文件丟失。3) 修改或破壞文件中的數(shù)據(jù)，這時文件的格式是正常的，但內(nèi)容已經(jīng)發(fā)生改變。4) 產(chǎn)生垃圾文件，占據(jù)磁盤及內(nèi)存空間，使磁盤空間逐漸減少。5) 破壞硬盤的主引導(dǎo)扇區(qū)，使計算機無法啟動。6) 對整個磁盤或磁盤的特定扇區(qū)進行格式化，使磁盤中的全部或部分信息丟失使受損的數(shù)據(jù)難以恢復(fù)。7) 非法使用及破壞網(wǎng)絡(luò)中的資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。8) 占用cpu運行時間，使主機運行效率降低。5.2 反病毒技術(shù)由于病毒經(jīng)常給我們的計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)造成嚴重的損壞，有時甚至是致命的打擊。所以，我們就必須使用各種方法來防范計算機病毒，既而，反病毒技術(shù)也得到了迅速的發(fā)展。5.2

50、.1 計算機病毒的防范防治感染病毒主要有兩種手段：一是用戶遵守和加強安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢，把防病毒納入到網(wǎng)絡(luò)安全體系中。形成一套完整的安全機制，使病毒無法逾越計算機安全保護的屏障，病毒便無法廣泛傳播。1. 在思想和制度方面1) 加強立法，健全管理制度。2) 加強教育和宣傳，打擊盜版。2. 在技術(shù)措施方面除管理方面的措施外，防止計算機病毒的感染和蔓延還應(yīng)采取有效的技術(shù)措施。應(yīng)采用縱深防御的方法，采用多種阻塞渠道和多種安全機制對病毒進行隔離，這是保護計算機系統(tǒng)免遭病毒危害的有效方法。1) 系統(tǒng)安全對病毒

51、的預(yù)防依賴于計算機系統(tǒng)本身的安全，而系統(tǒng)的安全又首先依賴于操作系統(tǒng)的安全。開發(fā)并完善高安全的操作系統(tǒng)并向之遷移，例如，從dos平臺移至安全性較高的unix或windows 2000平臺，并且跟隨版本和操作系統(tǒng)補丁的升級而全面升級，是有效防止病毒的入侵和蔓延的一種根本手段。2) 軟件過濾軟件過濾的目的是識別某一類特殊的病毒，防止它們進入系統(tǒng)和不斷復(fù)制。對于進入系統(tǒng)內(nèi)的病毒，一般采用專家系統(tǒng)對系統(tǒng)參數(shù)進行分析，以識別系統(tǒng)的不正常處和未經(jīng)授權(quán)的改變。3) 軟件加密軟件加密是對付病毒的有效技術(shù)措施，由于開銷較大，目前只用于特別重要的系統(tǒng)。軟件加密就是將系統(tǒng)中可執(zhí)行文件加密。若施放病毒者不能在可執(zhí)行文件

52、加密前得到該文件，或不能破譯加密算法，則該文件不可能被感染。即使病毒在可執(zhí)行文件加密前傳染了該文件，該文件解碼后，病毒也不能向其他可執(zhí)行文件傳播，從而杜絕了病毒的復(fù)制。4) 備份恢復(fù)定期或不定期地進行磁盤文件備份，確保每一個細節(jié)的準確、可靠，在萬一系統(tǒng)崩潰時最大限度地恢復(fù)系統(tǒng)。對付病毒破壞最有效的辦法就是制作備份。將程序和數(shù)據(jù)分別備份在不同的磁盤上，當(dāng)系統(tǒng)遭遇病毒攻擊時，可通過與后備副本比較或重新裝入一個備份的、干凈的源程序來解決。5) 建立嚴密的病毒監(jiān)視體系后臺實時掃描病毒的應(yīng)用程序也可有效地預(yù)防病毒的侵襲。它能對e-mail的附加部分、下載的internet文件、以及正在打開的文件進行實時

53、掃描檢測，確認無異常后再繼續(xù)向下執(zhí)行，若有異常，則提問并停止執(zhí)行。及時對反病毒軟件進行升級，能有效地防止病毒的入侵和擴散。對于聯(lián)網(wǎng)的計算機最好使用網(wǎng)絡(luò)版的反病毒軟件，這樣便于集中管理、軟件升級和病毒監(jiān)控。6) 在內(nèi)部網(wǎng)絡(luò)出口進行訪問控制網(wǎng)絡(luò)病毒一般都使用某些特定的端口收發(fā)數(shù)據(jù)包以進行網(wǎng)絡(luò)傳播，在網(wǎng)絡(luò)出口的防火墻或路由器上禁止這端口訪問內(nèi)網(wǎng)絡(luò)，可以有效地防止內(nèi)部網(wǎng)絡(luò)中計算機感染網(wǎng)絡(luò)病毒。5.2.2 計算機網(wǎng)絡(luò)病毒的防范措施只有建立一個有層次的、立體的防病毒體系，才能有效制止病毒在網(wǎng)路內(nèi)部的蔓延。1) 在計算機網(wǎng)路中，要保證系統(tǒng)管理員有最高的訪問權(quán)限，避免過多地出現(xiàn)超級用戶。超級用戶登錄后將擁有服

54、務(wù)器目錄下的全部訪問權(quán)限，一旦帶入病毒，將產(chǎn)生更為嚴重的后果。為工作站上用戶賬號設(shè)置復(fù)雜的密碼。目前，一些網(wǎng)絡(luò)病毒自帶破解密碼的字典，對于密碼設(shè)置過于簡單的計算機可以很容易的侵入。因此，必須設(shè)置復(fù)雜的密碼，才能有效地防止病毒入侵。2) 對非共享軟件，將其執(zhí)行文件（如*.com、*.exe等）定期備份，當(dāng)計算機異常出現(xiàn)問題時，將文件恢復(fù)到本地硬盤上進行重寫操作。3) 建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴格操作規(guī)程和規(guī)章制度，定期做文件備份和病毒檢測。即使有了殺毒軟件，也不可掉以輕心，因為沒有一個殺毒軟件可以完全殺掉所有病毒，所以仍要記住定期備份，一旦真的遭到病毒的破壞，只要將受損的數(shù)據(jù)恢復(fù)即可。4

55、) 目前預(yù)防病毒最好的辦法就是在計算機中安裝具有實時監(jiān)控功能的防病毒軟件，并及時升級。第6章 防火墻及相關(guān)技術(shù)應(yīng)用6.1 防火墻概述防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的安全性計算機網(wǎng)絡(luò)安全技術(shù),被廣泛應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)互聯(lián)環(huán)境之中。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關(guān)注。通常的購買網(wǎng)絡(luò)安全設(shè)備時，總是把防火墻放在首位。目前出現(xiàn)的很多網(wǎng)絡(luò)安全問題都證明大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)的。防火墻技術(shù)在保護計算機網(wǎng)絡(luò)安全領(lǐng)域中起著非常重要的作用，已經(jīng)成為世界上用的最多的網(wǎng)絡(luò)安全產(chǎn)品之一。但是客觀地講，防火墻并不能完

56、全解決網(wǎng)絡(luò)安全問題，而只是網(wǎng)絡(luò)安全政策中的一個組成部分。6.1.1 防火墻的概念防火墻的本義原是指房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。然而，多數(shù)防火墻里都有一個重要的門，允許人們進入或離開房屋。因此，防火墻在提供增強安全性的同時允許必要的訪問。internet 內(nèi)部網(wǎng)防火墻路由器計算機網(wǎng)絡(luò)安全領(lǐng)域中的防火墻指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合，作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，并根據(jù)用戶的有關(guān)安全策略控制（允許、拒絕、監(jiān)視、記錄）進出不同網(wǎng)絡(luò)安全域的訪問，如圖6-1所示。 圖6-1防火墻系統(tǒng)模型6.1.2防火墻的目的和功能1.應(yīng)用防火墻

57、的目的為了提高計算機網(wǎng)絡(luò)的安全性，防火墻已經(jīng)被普遍應(yīng)用在計算機網(wǎng)絡(luò)中。應(yīng)用防火墻可以達到以下目的。1) 所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)的信息必須經(jīng)過防火墻。2) 確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。3) 防止入侵者接近防御設(shè)施，限制進入受保護網(wǎng)絡(luò)，保護內(nèi)部網(wǎng)絡(luò)的安全。4) 只有按本地的安全策略被授權(quán)的信息才允許通過。5) 防火墻本身具有防止被穿透的能力，防火墻本身不受各種攻擊的影響。6) 為監(jiān)視網(wǎng)絡(luò)安全提供方便。防火墻已成為控制網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法，事實上在internet上的很多網(wǎng)站都是由某種形式的防火墻加以保護的，采用防火墻的保護措施可以有效地提高網(wǎng)絡(luò)的安全性，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。2.防火墻基本功能防火墻是網(wǎng)絡(luò)安全策略的有機組成部分，通過控制和檢測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)重要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)具有以