《電子商務(wù)安全技術(shù)》 課件 模塊二 計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)

計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)模塊二學習單元1計算機系統(tǒng)安全學習單元2網(wǎng)絡(luò)安全學習單元3病毒防范技術(shù)學習單元4黑客防范技術(shù)學習單元5防火墻技術(shù)學習單元6數(shù)據(jù)備份技術(shù)學習單元7虛擬專用網(wǎng)絡(luò)技術(shù)學習單元一計算機系統(tǒng)安全學習單元1計算機系統(tǒng)安全1.計算機操作系統(tǒng)造成的安全問題操作系統(tǒng)是計算機各種硬件資源和軟件資源的大管家，操作系統(tǒng)的安全性保障不足是造成計算機系統(tǒng)安全問題的原因之一。一、計算機系統(tǒng)安全問題原因分析操作系統(tǒng)引發(fā)的安全問題主要表現(xiàn)在以下幾個方面：其一，操作系統(tǒng)漏洞，這種問題通常是由操作系統(tǒng)設(shè)計時的邏輯或者編碼缺陷和錯誤所引起的。以最常見的Windows系列操作系統(tǒng)為例，服務(wù)拒絕漏洞、熱鍵漏洞、賬號快速切換漏洞、UPNP（通用即插即用）服務(wù)漏洞等都是常見的操作系統(tǒng)漏洞。其二，操作系統(tǒng)組件的安全問題，如提供互聯(lián)網(wǎng)服務(wù)的IIS（互聯(lián)網(wǎng)信息服務(wù)）組件中的MSADC（樣本數(shù)據(jù)訪問腳本）可以使得惡意攻擊者執(zhí)行遠程指令。其三，操作系統(tǒng)安全設(shè)置的問題，如不同級別用戶的權(quán)限分配問題、管理員賬戶的弱口令問題等。由于操作系統(tǒng)管理著各種軟硬件資源，所以其引發(fā)的信息安全問題波及面相對比較廣泛。學習單元1計算機系統(tǒng)安全計算機系統(tǒng)的安全保障首先應加強操作系統(tǒng)的安全性。操作系統(tǒng)的安全保障手段主要有三個方面：第一，應定期對操作系統(tǒng)中的漏洞進行“打補丁”操作，通過“打補丁”操作能夠有效地減少由于操作系統(tǒng)漏洞引發(fā)的信息系統(tǒng)安全問題；第二，關(guān)閉操作系統(tǒng)中不常用的服務(wù)組件，加強操作系統(tǒng)的安全審計，如關(guān)閉不對外提供網(wǎng)絡(luò)服務(wù)的IIS組件，刪除WindowsMediaPlayer，避免常見的信息泄露和腳本執(zhí)行漏洞；第三，更新或者升級不被操作系統(tǒng)廠商所支持的操作系統(tǒng)，減少安全風險。學習單元1計算機系統(tǒng)安全2.應用軟件造成的安全問題應用軟件是計算機解決特定問題的專門性軟件，如常見的辦公軟件MSOffice和WPS、社交軟件QQ和微信、作圖軟件Photoshop等。應用軟件帶給用戶方便的同時，往往會由于軟件設(shè)計問題而引發(fā)一些安全問題，如MSOffice應用軟件出現(xiàn)的MS12-027漏洞。應用軟件所造成的安全問題相對于操作系統(tǒng)而言影響范圍較小，但同樣不容忽視。除此之外，一些來源不明的應用軟件或者破解軟件也會造成一定的安全問題，該類軟件捆綁木馬、病毒等惡意程序，容易使用戶信息的安全性受到威脅。學習單元1計算機系統(tǒng)安全應用軟件安全有效地拓展了計算機的功能，是計算機完成特定工作的必要軟件支撐。提升應用軟件的安全保障水平應從應用軟件選擇、更新維護及使用的合理性三個方面進行加強。首先，應用軟件應從正規(guī)的、可靠的、知名度較高的軟件供應商或組織獲取，堅決杜絕使用被破解、來源不明的應用軟件；其次，應用軟件的更新維護一方面能夠提高可用性，另一方面可對應用軟件中存在的安全漏洞進行修復，因此做好應用軟件的更新維護工作也是非常必要的；最后，應用軟件應合理使用。學習單元1計算機系統(tǒng)安全3.計算機硬件造成的安全問題計算機硬件是軟件系統(tǒng)得以運行的必要支撐，而硬件引發(fā)的安全問題主要表現(xiàn)在兩個方面：其一，計算機硬件物理環(huán)境的安全穩(wěn)定性問題，主要包括計算機電磁破壞、靜電干擾、供電設(shè)備不穩(wěn)定、物理設(shè)備被偷盜以及濕度溫度對于計算機硬件的損壞；其二，一些不安全硬件設(shè)備的使用，如在機關(guān)單位使用家用的路由器設(shè)備，隨意將可移動磁盤在有重要數(shù)據(jù)的主機上進行拔插等，都給一些不懷好意的人留下了可乘之機。學習單元1計算機系統(tǒng)安全計算機硬件安全保障主要表現(xiàn)為對計算機信息系統(tǒng)設(shè)備的防盜、防電磁破壞、防惡劣環(huán)境破壞等方面的保護。另外，為了防止突然停電對于重要數(shù)據(jù)丟失的影響，可以采用UPS（uninterruptiblepowersupply，不間斷電源）供電設(shè)備。隨著標準化機房建設(shè)的推進，未來計算機硬件安全保障較之傳統(tǒng)機房都會有較大的提升。學習單元1計算機系統(tǒng)安全4.計算機操作人員引起的安全問題計算機操作人員是操作計算機完成各類工作的主動行為者，計算機操作人員引起的安全問題主要有以下幾個方面：第一，缺乏基本的計算機操作技能；第二，缺乏信息系統(tǒng)安全操作意識，如關(guān)閉防火墻、隨意將主機暴露在公共網(wǎng)絡(luò)之上，操作完成郵件后不進行安全退出等；第三，不合理地使用計算機各類應用軟件，如在注冊用戶名/密碼時使用弱口令，將本地打印設(shè)備隨意在局域網(wǎng)內(nèi)共享，不加限制地共享本地文件等?？傊嬎銠C操作人員缺乏基本的安全操作技能和必要的安全意識也是導致信息安全問題的重要原因之一。學習單元1計算機系統(tǒng)安全學習單元1計算機系統(tǒng)安全操作系統(tǒng)是管理整個計算機硬件與軟件資源的程序，操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基石。根據(jù)運行的環(huán)境，操作系統(tǒng)可以分為桌面操作系統(tǒng)、手機操作系統(tǒng)、服務(wù)器操作系統(tǒng)、嵌入式操作系統(tǒng)等。二、操作系統(tǒng)的安全性1.操作系統(tǒng)安全內(nèi)容（1）系統(tǒng)安全不允許未經(jīng)核準的用戶進入系統(tǒng)，防止他人非法使用系統(tǒng)的資源，是系統(tǒng)安全管理的任務(wù)。主要采取的手段有注冊和登錄。（2）用戶安全操作系統(tǒng)中，用戶安全管理是指為用戶分配文件訪問權(quán)限。用戶對文件訪問權(quán)限是根據(jù)用戶分類、需求和文件屬性來分配的?？梢愿鶕?jù)具體情況對文件指定建立、刪除、打開、讀、寫、查詢、修改等訪問權(quán)限。學習單元1計算機系統(tǒng)安全（3）資源安全資源安全是通過系統(tǒng)管理員或授權(quán)的資源用戶對資源屬性的設(shè)置，來控制用戶對文件和打印設(shè)備的訪問等。（4）通信網(wǎng)絡(luò)安全網(wǎng)絡(luò)中信息有存儲、處理和傳輸三個主要操作，其中傳輸受到的安全威脅最大。通信網(wǎng)絡(luò)安全常用的方法有用戶身份驗證和對等實體鑒別、訪問控制、數(shù)據(jù)完整性鑒別、防抵賴、審計等。學習單元1計算機系統(tǒng)安全2.Windows操作系統(tǒng)安全配置Windows操作系統(tǒng)自身帶有比較成熟的安全功能和組件，如組策略編輯器gpedit.msc和syskey命令等，只要合理地配置它們，Windows操作系統(tǒng)會是一個比較安全的操作系統(tǒng)。學習單元1計算機系統(tǒng)安全（1）使用NTFS分區(qū)格式NTFS（newtechnologyfilesystem，新技術(shù)文件系統(tǒng)）比FAT（fileallocationtable，文件配置表）、FAT32（32位文件配置表）安全得多。NTFS具備高強度的訪問控制機制，保證用戶不能訪問未經(jīng)授權(quán)的文件和目錄，能夠有效地保護文件不被泄露與篡改。同時，NTFS還具有查找文件速度快、產(chǎn)生文件碎片少、節(jié)約磁盤空間等優(yōu)點。可以在采用了NTFS格式的磁盤分區(qū)上右擊，從彈出的菜單中選擇“屬性”命令，就會看到NTFS格式下的磁盤屬性中多了“配額”選項卡。用戶通過這個選項卡可以詳細地設(shè)置系統(tǒng)中每個用戶對該磁盤的訪問權(quán)限。學習單元1計算機系統(tǒng)安全（2）安裝順序先安裝操作系統(tǒng)，再安裝各種應用軟件，最后再安裝最新的操作系統(tǒng)補丁和應用軟件補丁。補丁的安裝應該在所有應用軟件安裝完成之后，因為補丁程序往往要替換或修改某些系統(tǒng)文件，如果先安裝補丁再安裝應用軟件，有可能導致補丁不能起到應有的作用。學習單元1計算機系統(tǒng)安全（3）及時更新補丁程序微軟公司的產(chǎn)品補丁分為兩類，服務(wù)包（servicepack，SP）和漏洞補丁（hotfix）。SP是集合一段時間內(nèi)發(fā)布的hotfix的所有補丁，也稱大補丁，一般命名為SP1、SP2等，間隔一段時間才發(fā)布一次。hotfix是小補丁，它位于當前SP和下一個SP之間，是為解決微軟公司網(wǎng)站上最新安全告示中的系統(tǒng)漏洞而發(fā)布的，一般命名為“MS年份﹣序號”，如MS15-044表示2015年第44個hotfix。WindowsUpdate是微軟提供的一種自動更新工具，通常提供驅(qū)動、軟件的升級和漏洞的修復。如果打開了“自動更新”功能，那么WindowsUpdate可在第一時間通知更新到計算機。在Windows10中還添加了一些選項和設(shè)置來控制Windows更新。學習單元1計算機系統(tǒng)安全（4）限制用戶數(shù)量系統(tǒng)的賬號越多，黑客得到合法用戶權(quán)限的可能性一般也就越大。因此，應刪除所有測試用戶、共享用戶和普通部門賬號，對用戶組策略設(shè)置相應的權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。學習單元1計算機系統(tǒng)安全（5）創(chuàng)建兩個賬號黑客入侵的常用手段之一就是試圖獲得管理員（Administrator）賬號的密碼。每一臺計算機至少需要一個賬號擁有管理員權(quán)限，但不一定非用“Administrator”這個名稱?？蓜?chuàng)建兩個賬號，一個擁有一般權(quán)限的賬號處理日常事務(wù)，另一個擁有管理員權(quán)限的賬號只在需要的時候使用。要盡量減少管理員登錄的次數(shù)和時間，因為只要登錄系統(tǒng)，密碼就會存儲在Winlogon（系統(tǒng)核心進程）中，非法用戶入侵計算機時就可以得到用戶登錄的密碼。另外，最好創(chuàng)建一個擁有全部權(quán)限的賬號（如Guestone），然后停用管理員賬號，或把管理員賬號改名為普通用戶名（如Guestone）。學習單元1計算機系統(tǒng)安全（6）使用文件加密系統(tǒng)Windows強大的加密系統(tǒng)能夠給磁盤、文件夾（包括temp文件夾）和文件加上一層安全保護，這樣可以防止別人讀取用戶硬盤上的數(shù)據(jù)。例如，在Windows7中可以對整個硬盤分區(qū)，對U盤和移動硬盤進行加密，避免因存儲設(shè)備丟失而導致的數(shù)據(jù)泄露問題。需要注意的是，如果重裝了系統(tǒng)，加密的文件就不能打開了（這也是加密的作用所在）。而且，打不開的文件是沒有任何辦法可以恢復的。因為加密用的文件要用“證書”打開，重裝系統(tǒng)后，這些證書就沒有了。所以需要在系統(tǒng)還未重裝的時候，把這些證書備份出來。學習單元1計算機系統(tǒng)安全（7）目錄和文件權(quán)限為了控制服務(wù)器中用戶的權(quán)限，同時也為了預防以后可能遭受的攻擊，必須非常小心地設(shè)置目錄和文件的訪問權(quán)限。在默認的情況下，大多數(shù)的文件夾對所有用戶（everyone）是完全開放（fullcontrol）的，需要根據(jù)應用的需要重新設(shè)置目錄和文件權(quán)限。在進行權(quán)限控制時，要注意拒絕的權(quán)限應比允許的權(quán)限高，文件權(quán)限應比文件夾權(quán)限高，僅給用戶真正需要的權(quán)限。權(quán)限的最小化原則是安全的重要保障。學習單元1計算機系統(tǒng)安全（8）關(guān)閉默認共享操作系統(tǒng)安裝后，系統(tǒng)會創(chuàng)建一些默認的共享，如共享驅(qū)動器、共享文件和共享打印等，這意味著進入網(wǎng)絡(luò)的用戶都可以共享和獲得這些資源。因此，要根據(jù)應用需要，關(guān)閉不需要的共享服務(wù)。（9）禁用Guest賬號Guest賬號即所謂的來賓賬號，可以訪問計算機，雖然受到限制，但也為黑客入侵打開了方便之門。如果不需要用到Guest賬號，最好禁用它。學習單元1計算機系統(tǒng)安全（10）使用安全密碼在設(shè)置密碼時，很多人習慣使用特殊的日期、時間或數(shù)字，如自己或家人的出生日期、家庭電話或手機號碼、身份證號碼等。這樣的密碼便于記憶，但是最容易記憶的密碼也是最不安全的密碼。在選擇密碼時，最好同時使用字母（包括字母的大小寫）、數(shù)字、特殊符號，這種類型的密碼是比較安全的。在允許的情況下，密碼的位數(shù)盡可能長，至少要多于6位，Windows允許設(shè)置密碼的長度可達127位，并且要定期更換密碼。學習單元1計算機系統(tǒng)安全（11）隨時鎖定計算機如果在使用計算機過程中需要暫時離開，那么可以通過按Ctrl+Alt+Delete鍵或屏幕保護程序來達到鎖定屏幕的目的。（12）關(guān)閉不必要的端口Windows中每一項服務(wù)都對應相應的端口，如Web服務(wù)的端口是80，NetBIOS（網(wǎng)上基本輸入輸出系統(tǒng)）協(xié)議所使用的端口是139。Windows安裝后默認情況下都要開啟這些服務(wù)，而黑客大多是通過端口進行入侵的，關(guān)閉一些端口可以防止黑客的入侵。但關(guān)閉端口意味著減少功能，因此，一項服務(wù)到底有沒有用要根據(jù)需要確定。可查找相關(guān)資料，將暫時不用的端口關(guān)閉，這樣系統(tǒng)會更安全一些。學習單元1計算機系統(tǒng)安全3.鴻蒙系統(tǒng)及其安全性華為鴻蒙系統(tǒng)HarmonyOS是新一代的智能終端操作系統(tǒng)，是面向萬物互聯(lián)的全場景分布式操作系統(tǒng)，支持手機、平板、智能穿戴、智慧屏等多種終端設(shè)備運行。鴻蒙操作系統(tǒng)多項安全舉措中包含了模糊位置、聊天隱私保護、分享照片脫敏、敏感權(quán)限使用提醒、隱私空間、維修模式、AI信息保護、文件保密柜等。學習單元1計算機系統(tǒng)安全學習單元二網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)攻擊的類型網(wǎng)絡(luò)攻擊是指針對計算機信息系統(tǒng)、基礎(chǔ)設(shè)施、計算機網(wǎng)絡(luò)或個人計算機設(shè)備的任何類型的進攻動作。對于計算機和計算機網(wǎng)絡(luò)來說，破壞、修改、使軟件或服務(wù)失去功能，在沒有得到授權(quán)的情況下訪問或偷取任何一臺計算機的數(shù)據(jù)，都會被視為對計算機和計算機網(wǎng)絡(luò)的攻擊。從對信息的破壞性上看，攻擊可以分為主動攻擊和被動攻擊兩大類。一、網(wǎng)絡(luò)安全概述學習單元2網(wǎng)絡(luò)安全（1）主動攻擊主動攻擊會導致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生。這類攻擊可分為篡改、偽造消息數(shù)據(jù)和終端以及拒絕服務(wù)。1）篡改消息。篡改消息是指一個合法消息的某些部分被改變、刪除，消息被延遲或改變順序，通常用以產(chǎn)生一個未授權(quán)的效果。2）偽造。偽造指的是某個實體（人或系統(tǒng)）發(fā)出含有其他實體身份信息的數(shù)據(jù)信息，假扮成其他實體，從而以欺騙方式獲取一些合法用戶的權(quán)利和特權(quán)。3）拒絕服務(wù)。拒絕服務(wù)即常說的DoS（denialofservice）攻擊，會導致對通信設(shè)備的正常使用或管理被無條件地中斷。拒絕服務(wù)通常是對整個網(wǎng)絡(luò)實施破壞，以達到降低性能和阻止終端服務(wù)的目的。學習單元2網(wǎng)絡(luò)安全（2）被動攻擊被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，但在未經(jīng)用戶同意和認可的情況下獲得了信息或相關(guān)數(shù)據(jù)。被動攻擊通常包括流量分析、竊聽、破解弱加密的數(shù)據(jù)流等攻擊方式。1）流量分析。流量分析攻擊方式適用于一些特殊場合，例如敏感信息都是保密的，攻擊者雖然從截獲的消息中無法知道消息的真實內(nèi)容，但攻擊者還能通過觀察這些數(shù)據(jù)包的模式，分析確定通信雙方的位置、通信的次數(shù)及消息的長度，來獲知相關(guān)的敏感信息。學習單元2網(wǎng)絡(luò)安全2）竊聽。竊聽是最常用的手段。應用最廣泛的局域網(wǎng)上的數(shù)據(jù)傳送是基于廣播方式進行的，這就使一臺主機有可能收到本子網(wǎng)上傳送的所有信息。而計算機的網(wǎng)卡工作在雜收模式時，可以將網(wǎng)絡(luò)上傳送的所有信息傳送到上層，以供進一步分析。由于被動攻擊不會對被攻擊的信息做任何修改，留下痕跡很少，或者根本不留下痕跡，所以非常難以檢測。因此抗擊這類攻擊的重點在于預防，具體措施包括VPN、采用加密技術(shù)保護信息以及使用交換式網(wǎng)絡(luò)設(shè)備等。被動攻擊不易被發(fā)現(xiàn)，但卻常常是主動攻擊的前奏。學習單元2網(wǎng)絡(luò)安全2.常見的網(wǎng)絡(luò)攻擊方法（1）Web欺騙Web欺騙是指攻擊者建立一個可以使人信以為真的假冒Web站點（釣魚網(wǎng)站），這個“復制”的Web站點與原頁面幾乎完全一樣，并且攻擊者控制了這個“復制”的Web站點、被攻擊對象和真的Web站點之間的所有信息流動。Web攻擊的原理是打斷從被攻擊者主機到目標服務(wù)器的正常連接，并建立一條從被攻擊主機到攻擊主機再到目標服務(wù)器的連接，如圖2-2-1所示為假冒銀行服務(wù)器的Web欺騙示意圖。學習單元2網(wǎng)絡(luò)安全學習單元2網(wǎng)絡(luò)安全要想做好防范，首先，可以在上網(wǎng)瀏覽時關(guān)掉瀏覽器的JavaScript，使攻擊者不能隱藏攻擊的跡象，但這會減少瀏覽器的功能；其次，不從不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站（特別是鏈接到需要輸入個人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站）；最后，養(yǎng)成從地址欄中直接輸入網(wǎng)址來瀏覽網(wǎng)站的習慣。學習單元2網(wǎng)絡(luò)安全（2）拒絕服務(wù)攻擊任何對服務(wù)的干涉，使得其可用性降低或者失去可用性均稱為拒絕服務(wù)（denialofservice，DoS）。DoS攻擊是指攻擊者想辦法讓目標機器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實，對網(wǎng)絡(luò)帶寬進行的消耗性攻擊只是DoS攻擊的一小部分，只要能夠給目標造成麻煩，使某些服務(wù)被暫停甚至主機死機，都屬于DoS攻擊。DoS攻擊問題也一直得不到合理的解決，究其原因是網(wǎng)絡(luò)協(xié)議本身的安全缺陷，從而使得DoS攻擊也成為攻擊者的終極手法。學習單元2網(wǎng)絡(luò)安全攻擊者進行DoS攻擊時，實際上讓服務(wù)器實現(xiàn)兩種效果：一種是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；另一種是使用IP欺騙，迫使服務(wù)器把非法用戶的連接復位，影響合法用戶的連接。學習單元2網(wǎng)絡(luò)安全（3）分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)（distributeddenialofservice，DDoS）攻擊是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器，并利用這些機器對受害者同時實施攻擊。DDoS攻擊是一種基于DoS攻擊的特殊形式的DoS攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般采用一對一方式，利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。與DoS攻擊由單臺主機發(fā)起相比，DDoS攻擊是借助數(shù)百甚至數(shù)千臺被入侵后安裝了攻擊進程的主機同時發(fā)起的集團行為。學習單元2網(wǎng)絡(luò)安全黑客往往會利用僵尸網(wǎng)絡(luò)（botnet）來發(fā)動DDoS攻擊。僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機感染僵尸程序病毒，從而在控制者和被感染主機之間形成的一個可一對多控制的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)命令和控制模型允許攻擊者接管這些設(shè)備的操作以遠程控制它們。僵尸網(wǎng)絡(luò)極具威脅隱患，也是目前國際上十分關(guān)注的問題。然而，發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機”，這些主機的用戶往往并不知情。學習單元2網(wǎng)絡(luò)安全（4）特洛伊木馬特洛伊木馬（trojanhorse）是指寄宿在計算機里的一種非授權(quán)的遠程控制程序，這個名稱來源于公元前12世紀希臘和特洛伊之間的一場戰(zhàn)爭。特洛伊木馬程序能夠在計算機管理員未發(fā)覺的情況下開放系統(tǒng)權(quán)限、泄露用戶信息甚至竊取整個計算機管理使用權(quán)限，這使得它成為黑客們最常用的工具之一。特洛伊木馬本質(zhì)上就是一種客戶/服務(wù)器模式的網(wǎng)絡(luò)程序，其工作原理是一臺主機提供服務(wù)器作為服務(wù)器端，另一臺主機接受服務(wù)作為客戶端。服務(wù)器端的程序通常會開啟一個預設(shè)的連接端口進行監(jiān)聽，當客戶端向服務(wù)器端的這一連接端口提出連接請求時，服務(wù)器端上的相應程序就會自動執(zhí)行，來回復客戶端的請求，并提供其請求的服務(wù)。學習單元2網(wǎng)絡(luò)安全特洛伊木馬具有隱蔽性和自動運行等特性。特洛伊木馬的隱蔽性是其最重要的特征。如果一種特洛伊木馬不能很好地隱藏在目標計算機或網(wǎng)絡(luò)中，就會被用戶或安全軟件發(fā)現(xiàn)和查殺，也就無法生存下去了。另外，特洛伊木馬必須是自動啟動和運行的程序，因此其采取的方法可能是嵌入啟動配置文件或者注冊表中。學習單元2網(wǎng)絡(luò)安全（5）口令攻擊口令攻擊也稱口令破解，攻擊者常常把破譯用戶的口令密碼作為攻擊的開始，只要攻擊者能獲得用戶的口令，他就能獲得機器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問用戶能訪問的任何資源?？诹罟羰呛诳腿肭志W(wǎng)絡(luò)最喜歡采用的方法。黑客通過獲取系統(tǒng)管理員或其他特殊用戶的口令，獲得系統(tǒng)的管理權(quán)，竊取系統(tǒng)信息、磁盤中的文件甚至對系統(tǒng)進行破壞。學習單元2網(wǎng)絡(luò)安全常見的口令攻擊的類型包括字典攻擊、強行攻擊、工具攻擊和社會工程學攻擊等。1）字典攻擊。因為多數(shù)人使用普通字典中的單詞作為口令，發(fā)起字典攻擊通常是較好的開端。字典攻擊使用一個包含大多數(shù)單詞的文件，用這些單詞猜測用戶口令。使用一部有一萬個單詞的字典一般能猜測出系統(tǒng)中70％的口令。在多數(shù)系統(tǒng)中，和嘗試所有的組合相比，字典攻擊能在很短的時間內(nèi)完成。2）強行攻擊。許多人認為如果使用足夠長的口令，或者使用足夠完善的加密模式，就能有一個攻不破的口令。事實上沒有攻不破的口令，這只是個時間問題。如果有速度足夠快的計算機能嘗試字母、數(shù)字、特殊字符所有的組合，最終將能破解所有的口令，這種類型的攻擊方式叫作強行攻擊。學習單元2網(wǎng)絡(luò)安全3）工具攻擊。攻擊者會使用專用的口令攻擊工具軟件或具有特殊功能的軟件，進行口令破解攻擊。4）社會工程學攻擊。此類型的攻擊有三種方式。第一，攻擊者根據(jù)賬戶擁有者的身份信息和習慣，進行口令的猜測，如名字縮寫、生日、寵物名、部門名等。在詳細了解用戶的社會背景之后，攻擊者可以列舉幾百種可能的口令，并在很短的時間內(nèi)完成猜測攻擊。第二，攻擊者通過人際交往這一非技術(shù)手段，以欺騙、套取的方式來獲得口令。第三，攻擊者通過管理員疏忽或無意泄露獲得口令。避免此類攻擊的對策是增強用戶的安全意識。學習單元2網(wǎng)絡(luò)安全（6）網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽也稱網(wǎng)絡(luò)嗅探（sniffer），它借助網(wǎng)絡(luò)底層的工作原理，能夠?qū)⒕W(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來。網(wǎng)絡(luò)監(jiān)聽是一種常用的被動式網(wǎng)絡(luò)攻擊方法，攻擊者能夠輕易獲得用其他方法很難獲得的信息，如用戶賬號、口令密碼、敏感數(shù)據(jù)、IP地址、路由器信息、TCP套接字號等。網(wǎng)絡(luò)監(jiān)聽通常在網(wǎng)絡(luò)接口處截獲計算機之間通信的數(shù)據(jù)流，是進行網(wǎng)絡(luò)攻擊最簡單、最有效的方法。在普通模式下，只有本地地址的數(shù)據(jù)包或者廣播（多播等）才會被網(wǎng)卡提交給系統(tǒng)核心，否則這些數(shù)據(jù)包會被網(wǎng)卡直接拋棄。而在混雜模式下，所有經(jīng)過的數(shù)據(jù)包都被傳遞給系統(tǒng)核心，然后被網(wǎng)絡(luò)監(jiān)聽等程序利用。學習單元2網(wǎng)絡(luò)安全網(wǎng)絡(luò)掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進行安全相關(guān)的檢測，以找出目標系統(tǒng)所開放的端口信息、服務(wù)類型以及安全隱患和可能被黑客利用的漏洞。二、網(wǎng)絡(luò)掃描學習單元2網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)安全漏洞從技術(shù)上說，網(wǎng)絡(luò)容易受到攻擊主要是由于網(wǎng)絡(luò)軟件不完善和網(wǎng)絡(luò)協(xié)議本身存在安全缺陷。例如，人們使用最多、最著名的TCP/IP協(xié)議就存在大量的安全漏洞。這是因為在設(shè)計TCP/IP協(xié)議時，設(shè)計人員只考慮到如何實現(xiàn)信息通信，而沒有考慮到有人會破壞信息通信的安全。舉例說明TCP/IP協(xié)議的幾個安全漏洞。（1）由于TCP/IP協(xié)議的數(shù)據(jù)流采用明文傳輸，所以信息很容易被在線竊聽、篡改和偽造。特別是在使用FTP和Telnet（遠程終端協(xié)議）命令時，如果用戶的賬號、口令是明文傳輸?shù)?，那么攻擊者就可以使用sniffer、snoop、網(wǎng)絡(luò)分析儀等軟件截取用戶賬號和口令。學習單元2網(wǎng)絡(luò)安全（2）TCP/IP協(xié)議用IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標識，但是節(jié)點的IP地址又是不固定的，因此攻擊者可以直接修改節(jié)點的IP地址，冒充某個可信節(jié)點的IP地址進行攻擊，實現(xiàn)源地址欺騙（sourceaddressspoofing）或IP欺騙（IPspoofing）。所以，IP地址不能作為一種可信的認證方法。（3）TCP/IP協(xié)議只能根據(jù)IP地址進行鑒別，而不能對節(jié)點上的用戶進行有效的身份認證，因此服務(wù)器無法鑒別登錄用戶的身份有效性。目前TCP/IP協(xié)議主要依靠服務(wù)器提供的用戶控制機制，如用戶名、口令等進行身份認證。通過網(wǎng)絡(luò)掃描，有助于網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)漏洞和缺陷，進行網(wǎng)絡(luò)安全性評估。學習單元2網(wǎng)絡(luò)安全2.網(wǎng)絡(luò)掃描的基本原理網(wǎng)絡(luò)掃描是一種系統(tǒng)檢測、有效防御的工具，它的基本原理是通過網(wǎng)絡(luò)向目標系統(tǒng)發(fā)送一些特征信息，然后根據(jù)反饋情況，獲得有關(guān)信息。網(wǎng)絡(luò)掃描通常采用兩種策略：一種是被動式策略，另一種是主動式策略。所謂被動式策略，就是基于主機之上，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他與安全規(guī)則相抵觸的對象進行檢查；而主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本程序模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。學習單元2網(wǎng)絡(luò)安全一個網(wǎng)絡(luò)掃描器至少應該具備以下三項功能：（1）發(fā)現(xiàn)一個主機和網(wǎng)絡(luò)。（2）發(fā)現(xiàn)主機后，掃描它正在運行的操作系統(tǒng)和各項服務(wù)。（3）測試這些服務(wù)中是否存在漏洞。對于網(wǎng)絡(luò)管理員來說，掃描器是一種網(wǎng)絡(luò)安全性評估軟件。掃描技術(shù)、防火墻與監(jiān)控系統(tǒng)互相配合，能夠給系統(tǒng)和網(wǎng)絡(luò)安全提供強有力的安全保障，有效地防范黑客入侵。同時，掃描器又是一把雙刃劍，黑客也會利用它入侵系統(tǒng)。雖然掃描器不是一個直接攻擊網(wǎng)絡(luò)漏洞的程序，但它可以作為重要的信息收集工具。學習單元2網(wǎng)絡(luò)安全3.常用的網(wǎng)絡(luò)掃描工具好的網(wǎng)絡(luò)掃描工具是網(wǎng)絡(luò)管理員手中的重要武器，也是黑客手中的利器。這里介紹三款掃描器，它們均為開源或者免費的掃描器，也是迄今為止較常用的掃描器。（1）Nmap（網(wǎng)絡(luò)映射器）Nmap是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具。它可以在大多數(shù)版本的Unix操作系統(tǒng)中運行，并且已經(jīng)被移植到了Windows操作系統(tǒng)中。它主要在命令行方式下使用，可以快速掃描大型網(wǎng)絡(luò)，也可以掃描單個主機。學習單元2網(wǎng)絡(luò)安全（2）Nessus（分布式掃描器）Nessus是一款用來自動檢測和發(fā)現(xiàn)已知安全問題的掃描工具，運行于Solaris、Linux等操作系統(tǒng)，源代碼開放并且可自主修改后再發(fā)布，可擴展性強。當一個新的漏洞被公布后，Nessus可以很快獲取其新的插件，對網(wǎng)絡(luò)進行安全性檢查。（3）X-ScanX-Scan是國內(nèi)著名的掃描器，完全免費。它是不需要安裝的綠色軟件，其界面支持中文和英文兩種語言，使用方式有圖形界面和命令行兩種，支持Windows操作系統(tǒng)。該掃描器支持多線程并發(fā)掃描，能夠及時生成掃描報告。學習單元2網(wǎng)絡(luò)安全學習單元三病毒防范技術(shù)1.木馬木馬也稱特洛伊木馬，通常是指偽裝成合法軟件的非感染型病毒，黑客通常靠植入木馬入侵計算機系統(tǒng)，但木馬不進行自我復制。木馬一般有單獨的文件，會與黑客使用的機器進行通信，試圖竊取系統(tǒng)的用戶名和密碼、用戶的注冊信息和賬號信息，或接收指令對用戶機器進行全面控制。一、電子商務(wù)中常見的病毒學習單元3病毒防范技術(shù)2.網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時具有一些獨有的特征，如不利用文件寄生（有的只存在于內(nèi)存中）、快速的自我復制能力、易于通過網(wǎng)絡(luò)感染，以及和其他黑客技術(shù)相結(jié)合等。在產(chǎn)生的破壞性上，網(wǎng)絡(luò)蠕蟲也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得網(wǎng)絡(luò)蠕蟲可以在短時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。學習單元3病毒防范技術(shù)3.網(wǎng)頁病毒網(wǎng)頁病毒僅僅通過瀏覽網(wǎng)頁就可以入侵，普通用戶無從識別且難以防范。病毒制造者將其寫入網(wǎng)頁源文件，用戶瀏覽上述網(wǎng)頁時，病毒體和腳本文件與正常的網(wǎng)頁內(nèi)容一起進入計算機的臨時文件夾，在顯示網(wǎng)頁內(nèi)容的同時網(wǎng)頁病毒開始運行，要么直接運行惡意代碼，要么直接執(zhí)行病毒程序，要么將偽裝的文件還原為“.exe”文件格式后再執(zhí)行，完成病毒入駐、修改注冊表、嵌入系統(tǒng)進程、修改硬盤分區(qū)屬性等操作，對計算機及系統(tǒng)造成破壞。學習單元3病毒防范技術(shù)4.流氓軟件流氓軟件一般是合法的公司為了達到擴大和鞏固知名度、搶占用戶群等目的而開發(fā)的。流氓軟件通過捆綁在其他軟件中，在用戶未察覺的情況下安裝到用戶的計算機上，一般表現(xiàn)為用戶單擊網(wǎng)站后就一連出現(xiàn)很多疊加的網(wǎng)頁，通常無法正常關(guān)閉。流氓軟件不但占用系統(tǒng)資源，還會強行向用戶推送廣告，更會非法獲取用戶的個人隱私資料。學習單元3病毒防范技術(shù)5.網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚是指竊取他人個人資料、銀行及財務(wù)賬戶資料的網(wǎng)絡(luò)誘騙行為。網(wǎng)絡(luò)釣魚誘騙用戶連接到特制的網(wǎng)頁，這些網(wǎng)頁通常會偽裝成銀行或理財網(wǎng)站，讓用戶信以為真，并輸入信用卡或銀行卡號碼、賬戶名稱及密碼等；或是將程序安裝到受害者的計算機中，使用木馬程序、按鍵記錄程序等直接盜取個人資料。學習單元3病毒防范技術(shù)1.破壞性任何病毒侵入計算機后，都會或大或小地對計算機的正常使用造成一定的影響，輕者降低計算機的性能，占用系統(tǒng)資源；重者破壞數(shù)據(jù)，導致系統(tǒng)崩潰，造成不可挽回的損失。有些計算機病毒在發(fā)作時只是顯示一些圖片、播放一段音樂或開個玩笑，這類病毒只是干擾了人們的生活和工作，不會對系統(tǒng)造成破壞，通常稱為良性病毒。而有些病毒則含有明確的破壞目的，如破壞數(shù)據(jù)、刪除文件、格式化磁盤等，這類病毒就是惡性病毒。二、計算機病毒的特征學習單元3病毒防范技術(shù)2.隱蔽性病毒程序一般都設(shè)計得非常小巧，當它被附帶在文件中、隱藏在磁盤上或在傳播過程中時，不易被人覺察，有些更是以隱藏文件的形式出現(xiàn)，不經(jīng)過仔細查看，一般用戶很難發(fā)現(xiàn)。3.傳染性病毒能通過復制自身來感染正常文件，以達到破壞計算機正常運行的目的。但是它的傳染是有條件的，也就是說，病毒程序必須被執(zhí)行之后才具有傳染性，才能感染其他文件。病毒一旦進入計算機系統(tǒng)，就會尋找機會感染其他文件。學習單元3病毒防范技術(shù)4.潛伏性病毒進入計算機系統(tǒng)后往往不會立即發(fā)作，而是有一個“冬眠”期，并隱藏在系統(tǒng)中進行傳播，在滿足特定條件時才會被激活。5.可觸發(fā)性病毒如果沒有被激活，就像其他沒有被執(zhí)行的程序一樣，沒有殺傷力。但是一旦遇到某個特定時機或條件，它就會被觸發(fā)，具有傳染性和破壞力，對系統(tǒng)產(chǎn)生破壞作用。這些特定的觸發(fā)條件一般都是病毒制造者事先設(shè)定的，它可能是某個具體的時間、日期、文件類型或某些特定的數(shù)據(jù)等。學習單元3病毒防范技術(shù)1.計算機病毒的傳播途徑（1）存儲設(shè)備存儲設(shè)備包括軟盤、硬盤、移動硬盤、光盤、磁帶等。硬盤是數(shù)據(jù)的主要存儲介質(zhì)，因此也是計算機病毒感染的主要目標。硬盤傳播計算機病毒的途徑包括硬盤向其他移動存儲設(shè)備復制帶毒文件，帶毒情況下格式化其他移動存儲設(shè)備，通過其他移動存儲設(shè)備將病毒從一臺計算機傳播到另一臺計算機中，向光盤上刻錄帶毒文件，硬盤之間的數(shù)據(jù)復制以及將帶毒文件發(fā)送至其他地方等。三、計算機病毒的傳播途徑和發(fā)作表現(xiàn)學習單元3病毒防范技術(shù)（2）網(wǎng)絡(luò)網(wǎng)絡(luò)覆蓋面廣、速度快，為病毒的快速傳播創(chuàng)造了條件。目前，大多數(shù)新式病毒都是通過網(wǎng)絡(luò)進行傳播的，破壞性很大。通過網(wǎng)絡(luò)感染計算機病毒的途徑主要有電子郵件、即時通信軟件、文件共享、FTP文件下載等。學習單元3病毒防范技術(shù)2.計算機病毒的發(fā)作表現(xiàn)了解計算機病毒的發(fā)作表現(xiàn)有助于人們及時發(fā)現(xiàn)病毒，減少病毒造成的損失。計算機病毒發(fā)作時的表現(xiàn)千差萬別，下面介紹幾種計算機病毒發(fā)作的主要表現(xiàn)，見表2-3-1。學習單元3病毒防范技術(shù)1.防毒防毒是指根據(jù)系統(tǒng)特性，采取相應的系統(tǒng)安全措施預防病毒侵入計算機。2.查毒查毒是指對于確定的環(huán)境，準確地發(fā)現(xiàn)計算機系統(tǒng)是否感染病毒，并準確查找出病毒的來源，給出統(tǒng)計報告。3.殺毒殺毒是指從感染對象中清除病毒，恢復被病毒感染的原始信息。四、計算機病毒的防范學習單元3病毒防范技術(shù)計算機病毒常用的防范方法包括：定期備份，不使用盜版或來歷不明的軟件；安裝正版殺毒軟件，及時升級殺毒軟件的病毒庫，設(shè)置實時監(jiān)視功能；養(yǎng)成經(jīng)常利用殺毒軟件檢查硬盤和U盤的良好習慣；不在互聯(lián)網(wǎng)上隨意下載軟件；對于陌生人發(fā)來的電子郵件，不輕易打開其附件；設(shè)置安全級別高的用戶密碼；隨時注意計算機的各種異常現(xiàn)象，一旦發(fā)現(xiàn)，應立即用殺毒軟件仔細檢查，及時將可疑文件提交專業(yè)反病毒公司進行確認。學習單元3病毒防范技術(shù)1.手機病毒概述智能手機中有嵌入式操作系統(tǒng)和大量的應用軟件，一般用Java、C++等語言編寫。智能手機實際上就是一臺微型計算機，因此，智能手機也會像計算機一樣受到病毒和木馬攻擊。手機病毒是一種用Java等語言編寫的具有破壞性的程序，可以導致手機不能正常使用，造成通信網(wǎng)絡(luò)癱瘓等。手機木馬會竊取用戶的個人隱私，刪除、修改用戶的信息、資料，甚至導致用戶存款被竊。五、手機病毒及其防范學習單元3病毒防范技術(shù)手機病毒和木馬都具有隱蔽性和傳染性。在病毒和木馬沒有發(fā)作之前，一般用戶很難發(fā)現(xiàn)手機中存在病毒和木馬程序。手機的數(shù)據(jù)傳輸功能也為手機病毒和木馬提供了傳播途徑。手機病毒和木馬與計算機病毒和木馬沒有本質(zhì)的區(qū)別，只是在病毒的表現(xiàn)和設(shè)計方法上有所差異。同樣，在現(xiàn)實生活中也常會將手機病毒和木馬統(tǒng)稱為手機病毒。就手機操作系統(tǒng)來說，由于安卓操作系統(tǒng)的開放性，安卓操作系統(tǒng)容易成為惡意軟件和病毒攻擊的對象；而蘋果公司的iOS操作系統(tǒng)采取了封閉性策略，被病毒攻擊的現(xiàn)象相對較少。學習單元3病毒防范技術(shù)2.手機病毒的種類手機病毒有不同的分類方法，根據(jù)病毒的危害性大致可分為以下八類。（1）惡意扣費通過無提示或模糊提示等方式，消耗手機流量或手機話費，發(fā)送短信等，直接造成用戶經(jīng)濟損失。（2）惡意傳播通過短信、微信、藍牙、Wi-Fi等方式，利用手機進行大范圍的病毒傳播。（3）遠程控制遠程控制手機端口，隱蔽式聯(lián)網(wǎng)下載軟件，上傳用戶隱私資料等。學習單元3病毒防范技術(shù)（4）破壞數(shù)據(jù)自動刪除用戶數(shù)據(jù)，或有針對性地破壞某些軟件的功能，影響其正常使用。（5）誘騙欺詐利用瀏覽器進行釣魚欺詐或者冒充正常商家發(fā)送服務(wù)信息，甚至盜用正版軟件名稱誘導用戶安裝。（6）系統(tǒng)破壞破壞手機常用軟件功能或者操作系統(tǒng)，影響用戶的正常使用。學習單元3病毒防范技術(shù)（7）隱私竊取竊取用戶個人信息、終端設(shè)備信息等，如QQ號碼、通信錄、手機序列號等隱私資料。（8）流氓軟件推送大量廣告信息、捆綁安裝惡意軟件、常駐系統(tǒng)后臺、卸載困難、妨礙同類軟件正常使用等。學習單元3病毒防范技術(shù)3.手機病毒的防范可以通過以下八種方式防范手機病毒。（1）使用正版手機購買手機時要通過正規(guī)渠道，使用正版手機，正版手機的安全認證更加嚴格。山寨手機和翻新手機容易被不法分子利用，內(nèi)置手機病毒，并且很難查殺和清除。（2）關(guān)閉藍牙開啟藍牙不但費電，還會導致網(wǎng)絡(luò)蠕蟲傳播進來，有很大的安全隱患。因此，在必要的時候再開啟藍牙，不要接受陌生的藍牙連接請求。學習單元3病毒防范技術(shù)（3）不要隨意連接公共Wi-Fi由于Wi-Fi連接的安全性差，很容易被盜取信息、植入病毒，所以連接Wi-Fi前一定要確認其是否安全、可靠。（4）不要隨意下載軟件盡量從官方網(wǎng)站下載應用軟件。官方網(wǎng)站對軟件安全性的檢查比較嚴格，這樣可以大大減少由于安裝軟件造成的手機中毒現(xiàn)象。不要下載任何來歷不明的軟件或盜版軟件。惡意軟件一般通過不安全的軟件市場、云盤、短信鏈接、論壇等渠道傳播。在安裝軟件前，用戶要仔細閱讀軟件啟用的隱私權(quán)限，遇有危險的隱私權(quán)限獲取行為要停止安裝。學習單元3病毒防范技術(shù)（5）定期更新操作系統(tǒng)例如，一旦發(fā)現(xiàn)系統(tǒng)存在被黑客利用的漏洞，安卓系統(tǒng)一般會在最短的時間內(nèi)發(fā)布補丁或升級版本，用戶需要及時進行更新。因此，定期更新操作系統(tǒng)、修復漏洞對于保護手機安全是十分必要的。（6）備份個人資料為了防止病毒破壞數(shù)據(jù)，導致數(shù)據(jù)丟失，要做好手機的數(shù)據(jù)備份工作。可以把手機上的數(shù)據(jù)備份到計算機中。學習單元3病毒防范技術(shù)（7）不要隨意打開陌生鏈接不要輕易地打開短信、微信、郵件中的陌生網(wǎng)站鏈接。在掃描二維碼前，要注意二維碼的來源，這樣可以有效地防止手機感染病毒。（8）清除手機病毒安裝合適的手機殺毒軟件。殺毒軟件可以實時監(jiān)測手機，及時發(fā)現(xiàn)病毒，大部分簡單的手機病毒都可以通過殺毒軟件查殺。如果殺毒效果不理想，可以將手機恢復到出廠設(shè)置，然后通過最近一次的備份數(shù)據(jù)進行數(shù)據(jù)恢復。學習單元3病毒防范技術(shù)學習單元四黑客防范技術(shù)1.信息收集黑客首先收集想要攻擊的目標，主要收集的信息包括名字、郵件地址、電話號碼、傳真號、IP地址范圍、DNS服務(wù)器、郵件服務(wù)器等，然后鎖定目標。2.系統(tǒng)安全弱點的探測在收集到攻擊目標的一系列網(wǎng)絡(luò)信息之后，黑客會探測該系統(tǒng)，利用工具對端口和漏洞進行掃描，以尋求該系統(tǒng)的安全漏洞或安全弱點。一、黑客的攻擊手段和方法學習單元4黑客防范技術(shù)3.網(wǎng)絡(luò)攻擊（1）口令攻擊口令攻擊有三種方法：一是缺省的登錄頁面攻擊法，在被攻擊主機上啟動一個可執(zhí)行的程序，該程序顯示一個偽造的登錄頁面。當用戶在這個偽裝的頁面上鍵入登錄信息（用戶名、密碼等）后，程序?qū)⒂脩糨斎氲男畔魉偷胶诳偷闹鳈C，然后關(guān)閉頁面，給出“系統(tǒng)故障”提示信息，要求用戶重新登錄，此后，才會出現(xiàn)真正的登錄頁面。二是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段所有用戶的賬號和口令，對局域網(wǎng)安全威脅巨大。三是在知道用戶的賬號后，利用一些專門軟件強行破解用戶口令，對于安全系數(shù)極低的口令，只需很短的時間便可破解。學習單元4黑客防范技術(shù)（2）漏洞攻擊漏洞攻擊是指黑客利用計算機操作系統(tǒng)自身存在的缺陷，通過他們編制的專門軟件，對計算機系統(tǒng)進行破壞和入侵。（3）電子郵件攻擊電子郵件攻擊是黑客常用的攻擊手段之一，指的是用偽造的IP地址和電子郵件地址向同一郵箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的惡意郵件。由于郵件信箱的容量是有限的，當龐大的垃圾郵件到達信箱的時候，就會擠滿信箱的存儲空間，迫使信箱把正常的郵件刪除掉。同時，因為它占用了大量的網(wǎng)絡(luò)資源，使用戶不能正常收發(fā)郵件，所以還可能會給電子郵件服務(wù)器操作系統(tǒng)帶來損害，甚至使其癱瘓。學習單元4黑客防范技術(shù)（4）緩沖區(qū)溢出攻擊緩沖區(qū)是一個臨時的區(qū)域，程序要先放入緩沖區(qū)才能運行。緩沖區(qū)溢出攻擊是通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，轉(zhuǎn)而執(zhí)行黑客指定的代碼，以達到攻擊的目的。（5）DDoS攻擊DDoS攻擊通過向目標服務(wù)器發(fā)送大量的數(shù)據(jù)包，造成攻擊目標服務(wù)資源耗盡，無法再為其他正常的連接請求提供服務(wù)。現(xiàn)在很多常見的網(wǎng)絡(luò)蠕蟲都可以對服務(wù)器發(fā)起DDoS攻擊。學習單元4黑客防范技術(shù)（6）欺騙攻擊1）IP欺騙攻擊。即黑客改變自己的IP地址，偽裝成他人計算機的IP地址來獲得信息或者得到特權(quán)。2）郵件欺騙攻擊。黑客向某位用戶發(fā)送了一封電子郵件，并且修改郵件抬頭信息，使得郵件地址看上去和這個系統(tǒng)管理員的郵件地址完全相同，信中他冒稱自己是系統(tǒng)管理員，謊稱由于系統(tǒng)服務(wù)器故障導致部分用戶數(shù)據(jù)丟失，要求該用戶將其個人信息馬上用電子郵件回復給他，這就是一個典型的電子郵件欺騙攻擊案例。學習單元4黑客防范技術(shù)3）網(wǎng)頁欺騙攻擊。黑客將某個站點的網(wǎng)頁都復制下來，然后修改其鏈接，使得用戶訪問這些鏈接時會先經(jīng)過黑客控制的主機，然后黑客會想方設(shè)法讓用戶訪問這個修改后的網(wǎng)頁，而黑客則監(jiān)控用戶的整個訪問請求過程，竊取用戶的賬號和密碼等信息，甚至假冒用戶給服務(wù)器發(fā)送數(shù)據(jù)。（7）木馬攻擊木馬攻擊是黑客常用的手段，他們向用戶計算機內(nèi)植入木馬，從而非法控制用戶的計算機，竊取口令、瀏覽驅(qū)動器、修改文件、登錄注冊表等。學習單元4黑客防范技術(shù)1.入侵檢測技術(shù)概述網(wǎng)絡(luò)入侵是指任何企圖危及網(wǎng)絡(luò)資源完整性、機密性和可用性的活動。入侵檢測（intrusiondetection）是指對入侵行為的發(fā)現(xiàn)、報警和響應，它收集計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，并對收集到的信息進行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。入侵檢測的目標是識別系統(tǒng)內(nèi)部人員和外部入侵者非法使用、濫用計算機系統(tǒng)的行為。入侵檢測技術(shù)是一種典型的動態(tài)防護技術(shù)。二、入侵檢測技術(shù)學習單元4黑客防范技術(shù)2.入侵檢測的一般流程一般可將IDS粗略地分為三大模塊：入侵數(shù)據(jù)提取模塊、入侵數(shù)據(jù)分析模塊和入侵事件響應模塊。一個通用的IDS結(jié)構(gòu)如圖2-4-1所示。從圖2-4-1中可以看出，入侵檢測的一般流程包括數(shù)據(jù)提取、數(shù)據(jù)分析和事件響應。學習單元4黑客防范技術(shù)（1）入侵數(shù)據(jù)提取數(shù)據(jù)提取模塊主要是為系統(tǒng)提供數(shù)據(jù)，數(shù)據(jù)的來源可以是主機上的日志信息、變動信息，也可以是網(wǎng)絡(luò)上的數(shù)據(jù)流，甚至是流量變化等。提取的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測的正確性很大程度上依賴于收集信息的可靠性和準確性。學習單元4黑客防范技術(shù)入侵數(shù)據(jù)提取可來自以下四個方面。1）系統(tǒng)和網(wǎng)絡(luò)日志。充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。2）目錄和文件中的改變。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件是攻擊者修改或破壞的目標。對目錄和文件中的修改、創(chuàng)建和刪除，特別是那些正常情況下限制訪問的操作，很可能就是一種入侵的信號。攻擊者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)限的系統(tǒng)上的文件，同時為了隱藏他們的活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。學習單元4黑客防范技術(shù)3）程序執(zhí)行中的不期望行為。每個在系統(tǒng)上執(zhí)行的程序都需要由一個到多個進程來實現(xiàn)。每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個進程出現(xiàn)了不期望的行為可能表明攻擊者正在入侵系統(tǒng)。攻擊者可能會分解程序或服務(wù)的運行，從而導致它們運行失敗，或者以非用戶或管理員意圖的方式操作。4）物理形式的入侵信息。物理形式的入侵信息包括對網(wǎng)絡(luò)硬件的未授權(quán)連接和對物理資源的未授權(quán)訪問。入侵者會想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)絡(luò)，就能安裝他們自己的設(shè)備和軟件，然后利用這些資源訪問網(wǎng)絡(luò)。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行處理，如過濾、數(shù)據(jù)格式的標準化、特征提取等，然后將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。學習單元4黑客防范技術(shù)（2）入侵數(shù)據(jù)分析數(shù)據(jù)分析模塊的主要作用在于對數(shù)據(jù)進行深入分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給事件響應模塊。分析的方式多種多樣，可以是對某種行為的計數(shù)（如一定時間內(nèi)登錄失敗的次數(shù)或某種特殊類型報文的出現(xiàn)次數(shù)），也可以是一個復雜的專家系統(tǒng)。數(shù)據(jù)分析常用的技術(shù)手段有模式匹配、統(tǒng)計分析和完整性分析等。學習單元4黑客防范技術(shù)（3）入侵事件響應事件響應模塊的作用在于報警與反應，它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警，由系統(tǒng)管理員采取相應措施來阻止非法入侵，甚至可以給非法入侵者以打擊。入侵事件響應方式分為主動響應和被動響應。被動響應系統(tǒng)只會發(fā)出報警通知，將發(fā)生的不正常情況報告給管理員，本身并不試圖降低入侵所造成的破壞，更不會主動地對攻擊者采取反擊行動。主動響應系統(tǒng)可以分為對被攻擊系統(tǒng)實施保護的系統(tǒng)和對攻擊系統(tǒng)實施反擊的系統(tǒng)。對被攻擊系統(tǒng)實施保護是通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，來阻止或減輕攻擊影響，如斷開網(wǎng)絡(luò)連接、增加安全日志、殺死可疑進程等。對攻擊系統(tǒng)實施反擊是對攻擊者的攻擊行為進行網(wǎng)絡(luò)取證，按非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪或非法控制計算機信息系統(tǒng)罪進行立案懲處。學習單元4黑客防范技術(shù)3.IDSIDS就是自動對入侵行為的發(fā)現(xiàn)、報警和響應的軟件或硬件產(chǎn)品。（1）SnortSnort是一款免費的、開放源代碼的、基于網(wǎng)絡(luò)的IDS，具有很好的擴展性和可移植性。它具有以下特點：1）Snort是一個跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測軟件。它支持的操作系統(tǒng)廣泛，如Linux、Windows、OpenBSD、Solaris、SunOS等。所謂輕量級，是指系統(tǒng)管理員可以輕易地將Snort安裝到網(wǎng)絡(luò)中，可以在很短的時間內(nèi)完成配置，可以很方便地將其集成到網(wǎng)絡(luò)安全的整體方案中，使其成為網(wǎng)絡(luò)安全體系的有機組成部分。學習單元4黑客防范技術(shù)2）Snort采用基于規(guī)則的網(wǎng)絡(luò)信息搜索機制，對數(shù)據(jù)包進行內(nèi)容的模式匹配，從中發(fā)現(xiàn)入侵和探測行為。3）Snort具有實時數(shù)據(jù)流量分析和監(jiān)測IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內(nèi)容進行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。它還可以用來截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，并記錄數(shù)據(jù)包日志。4）Snort的報警機制很豐富，如syslog、用戶指定的文件、一個Unix套接字，以及使用Samba協(xié)議向Windows客戶程序發(fā)出WinPopup消息。5）Snort的日志格式既可以是二進制格式，也可以解碼成ASCII字符形式，便于用戶檢查。使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫，其支持的數(shù)據(jù)庫包括PostgreSQL、MySQL、UnixODBC數(shù)據(jù)庫和Oracle等。學習單元4黑客防范技術(shù)6）Snort使用一種簡單的規(guī)則描述語言，能夠很快地對新的網(wǎng)絡(luò)攻擊做出反應；發(fā)現(xiàn)新的攻擊后，可以很快根據(jù)Bugtraq郵件列表找出特征碼，寫出檢測規(guī)則。其規(guī)則語言簡單，容易學習使用。因此，Snort具有很好的擴展性。7）Snort支持插件，可以使用具有特定功能的報告、檢測子系統(tǒng)插件對其功能進行擴展。Snort當前支持的插件包括數(shù)據(jù)庫日志輸出插件、碎數(shù)據(jù)包檢測插件、端口掃描檢測插件、HTTPURInormalization插件、XML插件等。學習單元4黑客防范技術(shù)（2）天融信入侵檢測系統(tǒng)天融信入侵檢測系統(tǒng)（以下簡稱TopSentry產(chǎn)品）是一款旁路監(jiān)聽網(wǎng)絡(luò)流量，精準發(fā)現(xiàn)并詳細審計網(wǎng)絡(luò)中漏洞攻擊、DDoS攻擊、病毒傳播等風險隱患的網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品。同時，TopSentry產(chǎn)品具有上網(wǎng)行為監(jiān)控功能，發(fā)現(xiàn)客戶風險網(wǎng)絡(luò)訪問、資源濫用行為，輔助管理員對網(wǎng)絡(luò)使用進行規(guī)范管理，并可結(jié)合與防火墻聯(lián)動阻斷功能，進一步實現(xiàn)對攻擊的有效攔截，全面監(jiān)控、保護客戶網(wǎng)絡(luò)安全。學習單元4黑客防范技術(shù)TopSentry產(chǎn)品的特點如下：1）全面檢測。TopSentry產(chǎn)品能夠準確檢測發(fā)現(xiàn)網(wǎng)絡(luò)中包括的溢出攻擊、RPC攻擊、CGI（公共網(wǎng)關(guān)接口）漏洞攻擊、DoS攻擊、木馬、網(wǎng)絡(luò)蠕蟲、系統(tǒng)漏洞等在內(nèi)的十一類網(wǎng)絡(luò)攻擊行為；同時，可結(jié)合上網(wǎng)行為管理等模塊，擴展網(wǎng)絡(luò)安全監(jiān)控范圍，實現(xiàn)對全網(wǎng)威脅的立體化監(jiān)控。2）深度分析。TopSentry產(chǎn)品采用基于目標主機的流計算引擎，結(jié)合協(xié)議分析、模式匹配、統(tǒng)計閾值和流量異常監(jiān)視等綜合技術(shù)手段來深入分析判斷網(wǎng)絡(luò)入侵行為，并具有多種抗逃逸算法，可精準、深度發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊威脅，保障高檢測率。學習單元4黑客防范技術(shù)3）高效計算。TopSentry產(chǎn)品采用天融信多核處理硬件平臺，基于SmartAMP并行處理架構(gòu)，通過處理器動態(tài)負載均衡技術(shù)，實現(xiàn)最大化利用運算空間，并結(jié)合SecDFA核心加速算法，實現(xiàn)了對網(wǎng)絡(luò)數(shù)據(jù)流的高性能實時檢測。4）詳盡審計。TopSentry產(chǎn)品能夠詳細審計攻擊事件五元組、攻擊內(nèi)容、攻擊特征碼及攻擊報文等信息，為攻擊溯源提供有效的依據(jù)；同時，具有分析報表功能，可對大量的攻擊事件進行進一步分析，讓管理員對網(wǎng)絡(luò)中復雜的攻擊狀態(tài)一目了然。學習單元4黑客防范技術(shù)學習單元五防火墻技術(shù)防火墻是保障網(wǎng)絡(luò)安全的一個系統(tǒng)或一組系統(tǒng)，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)絡(luò)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻可以被看成是阻斷來自外部對內(nèi)部網(wǎng)絡(luò)的威脅和入侵，提供扼守內(nèi)部網(wǎng)絡(luò)安全和審計的關(guān)卡，如圖2-5-1所示。學習單元5防火墻技術(shù)學習單元5防火墻技術(shù)1.防火墻的特性（1）所有的通信都經(jīng)過防火墻所有的內(nèi)外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。（2）防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量防火墻實際并不是一堵實心墻，而是帶有“門”的墻，這個“門”就是用來留給那些允許進行的通信，在“門”中安裝了過濾機制，就是防火墻的“安全策略”。（3）防火墻能經(jīng)受得住對其本身的攻擊防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這就要求防火墻自身要具有非常強的抗入侵能力。一、防火墻的特性和作用2.防火墻的作用（1）商務(wù)信息的安全保護屏障防火墻能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全信息和保密信息而降低風險。（2）集中商務(wù)人員認證服務(wù)在電子商務(wù)環(huán)境下，對參與商務(wù)活動的個人、公司、客戶或供應商，首先要確定對方是合法的、可信的，也就是身份認證?？梢詫⑺袑ι矸菡J證系統(tǒng)的相關(guān)內(nèi)容配置在防火墻上，在訪問網(wǎng)絡(luò)時，身份認證系統(tǒng)可以不必放在內(nèi)部網(wǎng)絡(luò)的各個主機上，只集中在防火墻上即可。學習單元5防火墻技術(shù)（3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計所有的訪問者都經(jīng)過防火墻，防火墻可以記錄這些訪問并提供日志文件，同時能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻會進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。收集一個網(wǎng)絡(luò)的使用情況和誤用情況，可以清楚防火墻能否抵擋攻擊者的探測和攻擊，以及防火墻的控制是否充分；同時，通過統(tǒng)計數(shù)據(jù)和信息對網(wǎng)絡(luò)需求和威脅進行分析，完善網(wǎng)絡(luò)管理策略。（4）防止內(nèi)部信息外泄商業(yè)機密是網(wǎng)絡(luò)必須關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全線索而引起外部攻擊者的興趣，甚至因此暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。學習單元5防火墻技術(shù)學習單元5防火墻技術(shù)1.防火墻的類型（1）按軟硬件形式分類1）硬件防火墻將防火墻系統(tǒng)固化到芯片中，而且通常置于路由器或交換機中，變成提供多種服務(wù)的外部設(shè)備，如圖2-5-2所示。二、防火墻的類型與采用的主要技術(shù)2）軟件防火墻被設(shè)計為在當前硬件配置下工作。一旦計算機安裝了軟件防火墻，用戶就可以通過它進行安全配置，使得對防火墻的管理變得更加容易。軟件防火墻的優(yōu)點是安全性高、管理方便、擴展性好、安全配置靈活、價格便宜，甚至有一些軟件防火墻對家庭用戶是免費的。軟件防火墻最大的缺點就是消耗計算機資源，速度慢，只適用于小型網(wǎng)絡(luò)。學習單元5防火墻技術(shù)（2）按部署位置分類按部署位置分類，防火墻可以分為邊界防火墻、個人防火墻和分布式防火墻。1）邊界防火墻是最為傳統(tǒng)的防火墻，它位于內(nèi)、外部網(wǎng)絡(luò)的邊界，對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護內(nèi)部網(wǎng)絡(luò)的安全，價格較貴，性能較好。2）個人防火墻安裝于單臺主機中，防護的是單臺主機，通常為軟件防火墻，價格最便宜，性能也最差。3）分布式防火墻也稱混合式防火墻，它是一整套防火墻系統(tǒng)，由若干軟件和硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部主機之間，既對內(nèi)、外網(wǎng)絡(luò)之間的通信進行過濾，又對內(nèi)部網(wǎng)絡(luò)各主機之間的通信進行過濾，如圖2-5-3所示。分布式防火墻的性能最好，價格也最貴。學習單元5防火墻技術(shù)學習單元5防火墻技術(shù)（3）按網(wǎng)絡(luò)參考模型分類1）網(wǎng)絡(luò)層防火墻作用于網(wǎng)絡(luò)層，如圖2-5-4所示，一般根據(jù)源、目的地址做出決策。學習單元5防火墻技術(shù)2）應用層防火墻也稱代理防火墻，它作用于網(wǎng)絡(luò)應用層，如圖2-5-5所示，一般是運行代理服務(wù)器的主機。它針對特定的應用層協(xié)議，代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能，控制對應用軟件的訪問。學習單元5防火墻技術(shù)2.防火墻采用的主要技術(shù)（1）包過濾技術(shù)包過濾技術(shù)主要工作在網(wǎng)絡(luò)模型的網(wǎng)絡(luò)層，利用訪問控制列表（ACL）對數(shù)據(jù)包進行過濾，過濾依據(jù)是TCP/IP數(shù)據(jù)包中的源地址和目的地址、所用端口號、協(xié)議狀態(tài)。包過濾技術(shù)的優(yōu)點是邏輯簡單、價格低廉，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好。它的缺點有兩個：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址及IP地址的端口都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。學習單元5防火墻技術(shù)（2）代理服務(wù)技術(shù)代理防火墻（proxy）一般采用代理服務(wù)器作為防火墻，是一種較新的防火墻技術(shù)，它分為應用層網(wǎng)關(guān)和鏈路層網(wǎng)關(guān)。代理服務(wù)器是指代表客戶處理連接請求的程序。當代理服務(wù)器接收到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的代理應用軟件來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后根據(jù)服務(wù)器應答做進一步處理后，將答復交給發(fā)出請求的最終客戶。代理服務(wù)技術(shù)在安全方面比包過濾技術(shù)要強，但這種安全性是有代價的，會給開發(fā)者、管理者和最終用戶帶來不便，因為每個應用都需要建立自己的代碼，這會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響。學習單元5防火墻技術(shù)（3）狀態(tài)檢測技術(shù)基于狀態(tài)檢測技術(shù)的防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。檢測引擎在不影響網(wǎng)絡(luò)正常運行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施檢測，它將抽取的狀態(tài)信息動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。檢測引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)某個連接的參數(shù)有意外變化，則立即將其終止。（4）NAT技術(shù)NAT技術(shù)是一個互聯(lián)網(wǎng)工程任務(wù)組（IETF）的標準，允許一個整體機構(gòu)以一個公用IP地址連接到互聯(lián)網(wǎng)上。顧名思義，它是一種把內(nèi)部私有IP地址轉(zhuǎn)換成公共網(wǎng)絡(luò)IP地址的技術(shù)。學習單元5防火墻技術(shù)學習單元5防火墻技術(shù)1.企業(yè)防火墻的選購目前市場上的企業(yè)用防火墻產(chǎn)品很多，如華為、H3C、天融信、深信服、啟明星辰等都提供了防火墻產(chǎn)品。企業(yè)在選購防火墻之前，要了解所選購的防火墻的性能和防火墻自身的安全性，以及防火墻管理的難易程度，在滿足實用性和安全性的基礎(chǔ)上，還要考慮經(jīng)濟性。下面列出一些選購防火墻時的注意事項。三、防火墻的選購（1）可靠性注意廠商推薦的防火墻是否有國家權(quán)威測評認證機構(gòu)的認證，了解廠商的防火墻在市場上的占有率。部門的認證和銷售許可也是相當重要的，這些認證包括公安部、工業(yè)和信息化部的銷售許可以及國家測評中心的認證等。只有具有國家行業(yè)準入資格的產(chǎn)品才是值得信賴的。（2）防火墻的體系結(jié)構(gòu)根據(jù)企業(yè)安全要求，選擇防火墻的體系結(jié)構(gòu)。學習單元5防火墻技術(shù)（3）技術(shù)指標辨別防火墻性能的優(yōu)劣，可以參考國際標準RFC2544（RFC2544協(xié)議是RFC組織提出的用于評測防火墻、入侵檢測、交換機等網(wǎng)絡(luò)互聯(lián)設(shè)備的國際標準），主要技術(shù)指標包括網(wǎng)絡(luò)吞吐量、丟包率、時延和最大并發(fā)連接數(shù)等。吞吐量是防火墻的重要指標之一，它是防火墻在不丟包條件下每秒轉(zhuǎn)發(fā)包的極限值。丟包率是防火墻在不同負荷下丟棄的包占收到的包的比例。時延是在防火墻的吞吐量范圍內(nèi)，從收到包到轉(zhuǎn)發(fā)包的時間間隔。最大并發(fā)連接數(shù)是指防火墻能夠同時處理點對點連接的最大數(shù)目，它直接影響防火墻所能支持的最大信息點數(shù)。學習單元5防火墻技術(shù)（4）安裝和配置防火墻的安裝和配置要盡量簡單和方便。如果防火墻的安裝和配置比較麻煩，就會給用戶帶來不便，增加工作的難度。一般能工作于混合方式的防火墻更具便捷性。（5）擴展性好的防火墻的功能應該能夠適應網(wǎng)絡(luò)規(guī)模和安全策略的變化。選購的防火墻具有隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN，直至一個獨立的應用網(wǎng)關(guān)，才能讓用戶真正被保護起來。目前的防火墻一般標配三個網(wǎng)絡(luò)接口，分別用于連接外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和SSN（安全服務(wù)器網(wǎng)絡(luò)）。用戶在購買防火墻時，必須清楚其是否可以增加網(wǎng)絡(luò)接口，因為有些防火墻無法擴展。學習單元5防火墻技術(shù)（6）可升級性由于網(wǎng)絡(luò)技術(shù)的發(fā)展和攻擊手段的變化，防火墻必須不斷地升級，才能有效抵御黑客的攻擊。（7）兼容性防火墻的加入應該以不影響單位已有的業(yè)務(wù)軟件使用為前提，不應與已有的業(yè)務(wù)軟件提供的服務(wù)產(chǎn)生沖突。學習單元5防火墻技術(shù)（8）高效性如果因為用戶使用防火墻導致網(wǎng)絡(luò)性能大幅度下降，這就意味著安全代價高。一般來說，防火墻加載上百條規(guī)則時，網(wǎng)絡(luò)性能下降不應超過5%。（9）界面友好防火墻使用界面要友好，有易于編程的IP過濾語言，本身支持安全策略，可以加入新的服務(wù)，可以安裝先進的認證方法等。學習單元5防火墻技術(shù)2.個人防火墻的選配個人防火墻就是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生威脅的通信，就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要信息的安全保護。企業(yè)級防火墻雖然功能強大，但價格高昂、配置困難、維修復雜，需要具有一定安全知識的專業(yè)人員來配置和管理。對于家庭或個人用戶來說，往往更適合進行個人防火墻的選配。Windows操作系統(tǒng)的防火墻就屬于個人防火墻，它集成在Windows各個版本的操作系統(tǒng)中，在安裝系統(tǒng)時會自動安裝。與第三方的個人防火墻相比，由于Windows操作系統(tǒng)的防火墻工作在系統(tǒng)的底層，所以與Windows操作系統(tǒng)的結(jié)合比較好，效率較高。學習單元5防火墻技術(shù)學習單元5防火墻技術(shù)防火墻作為電子商務(wù)安全的基礎(chǔ)設(shè)施，對電子商務(wù)及網(wǎng)絡(luò)經(jīng)濟的發(fā)展起促進作用。但是防火墻并不能完全保障電子商務(wù)的安全，其局限性如下：1.不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。2.不能真正防止人為因素的攻擊，如口令泄露、用戶錯誤操作等。3.不能有效防范受病毒感染的軟件或文件的傳輸，不可能查找到所有的病毒。4.不能防止數(shù)據(jù)驅(qū)動式的攻擊，即通過將某些表面看來無害的數(shù)據(jù)郵寄或復制到內(nèi)部的主機中，然后再在內(nèi)部主機中運行而造成的攻擊。四、防火墻的局限性學習單元六數(shù)據(jù)備份技術(shù)1.計算機軟硬件故障計算機軟硬件故障是發(fā)生最頻繁的一類故障，原因可能是病毒感染、硬件損壞、操作時斷電等。計算機軟硬件故障一般表現(xiàn)為無法識別操作系統(tǒng)，無法正常啟動，讀取數(shù)據(jù)時出現(xiàn)錯誤，文件丟失、無法打開、亂碼，報告無分區(qū)、無法進行格式化，硬盤不識別，通電后無任何聲音等。一、造成數(shù)據(jù)災難的原因?qū)W習單元6數(shù)據(jù)備份技術(shù)2.人為操作失誤對管理較松、人員業(yè)務(wù)不熟的企業(yè)，人為操作失誤也會經(jīng)常發(fā)生，通常表現(xiàn)為人員的誤刪除等操作。3.自然災害從事電子商務(wù)的地點發(fā)生各種自然災害，從而引起計算機、服務(wù)器及系統(tǒng)的數(shù)據(jù)被損毀。學習單元6數(shù)據(jù)備份技術(shù)1.系統(tǒng)數(shù)據(jù)備份（1）系統(tǒng)還原卡系統(tǒng)還原卡主要有硬盤還原卡、硬盤保鏢等。硬盤還原卡也稱硬盤保護卡，在學校機房、電子閱覽室、計算機培訓中心、網(wǎng)吧等場合使用較多。它可以在硬盤非物理性損壞的情況下，如系統(tǒng)受到病毒感染、誤刪除、故意毀壞硬盤數(shù)據(jù)等破壞時，讓硬盤系統(tǒng)數(shù)據(jù)恢復到預先設(shè)置的狀態(tài)。二、數(shù)據(jù)備份的類型學習單元6數(shù)據(jù)備份技術(shù)（2）硬盤克隆硬盤克?。╠iskcloning），也稱硬盤復制，是指通過計算機軟件或硬件，把硬盤內(nèi)容完整地復制（克?。┑搅硪慌_硬盤的過程。一般來說，若通過軟件來復制，就會把整個硬盤的內(nèi)容寫進一個硬盤備份檔里，以待下次恢復時再從備份檔里把內(nèi)容恢復過來。學習單元6數(shù)據(jù)備份技術(shù)SymantecGhost也支持大多數(shù)存儲介質(zhì)和常用接口，如支持對等LPT接口、對等USB接口、對等TCP/IP接口、SCSI接口、便攜式設(shè)備、光盤刻錄機等。SymantecGhost可以將數(shù)據(jù)以鏡像文件.iso的格式備份起來，還可以將一個硬盤中的數(shù)據(jù)完全相同地復制到另一個硬盤中，如圖2-6-1所示。學習單元6數(shù)據(jù)備份技術(shù)學習單元6數(shù)據(jù)備份技術(shù)2.用戶數(shù)據(jù)備份用戶數(shù)據(jù)備份時針對具體應用軟件和用戶產(chǎn)生的數(shù)據(jù)進行備份，如電子商務(wù)企業(yè)的客戶交易信息等。用戶數(shù)據(jù)備份的重要性要高于系統(tǒng)數(shù)據(jù)備份，因為系統(tǒng)數(shù)據(jù)丟失一般是可以恢復的，如操作系統(tǒng)損壞后可以通過光盤重新安裝，而用戶數(shù)據(jù)丟失一般是很難彌補的，例如用戶有時會遭遇到正在編輯的Word文檔還未保存卻意外退出或死機所造成的損失。學習單元6數(shù)據(jù)備份技術(shù)用戶數(shù)據(jù)備份的同時要進行有效的用戶數(shù)據(jù)備份管理，如備份的可計劃性、操作的自動化程度、歷史記錄的保存及日志記錄等。用戶數(shù)據(jù)有不同的備份方案，見表2-6-1。學習單元6數(shù)據(jù)備份技術(shù)1.U盤U盤（見圖2-6-2）是比較常用的移動存儲設(shè)備，同樣也是一種不錯的備份設(shè)備。它體積小、價格便宜、重量輕、讀寫速度快、無須外接電源、可熱插拔、攜帶方便等，還可在臺式電腦、筆記本電腦之間跨平臺使用，同時適用于不同的數(shù)碼設(shè)備與計算機間傳輸、存儲各類數(shù)據(jù)文件，另外在保存數(shù)據(jù)的安全性上也表現(xiàn)得非常出色，并且有些U盤本身還帶有加密功能。三、常見的數(shù)據(jù)備份設(shè)備學習單元6數(shù)據(jù)備份技術(shù)學習單元6數(shù)據(jù)備份技術(shù)2.移動硬盤移動硬盤（見圖2-6-3）主要指采用USB或IEEE1394接口，可以隨時插拔，小巧且便攜的硬盤存儲器，它以較高的速度與系統(tǒng)進行數(shù)據(jù)傳輸。學習單元6數(shù)據(jù)備份技術(shù)3.云盤云盤是基于互聯(lián)網(wǎng)的存儲工具，它通過互聯(lián)網(wǎng)為企業(yè)和個人提供信息的存儲、讀取、下載等服務(wù)，具有安全穩(wěn)定、海量存儲等特點。常用的云盤服務(wù)商有百度云盤、阿里云、微云等。4.硬盤硬盤分為固態(tài)硬盤（SSD）和機械硬盤（HDD）兩種主要類型。固態(tài)硬盤采用閃存顆粒來存儲，如圖2-6-4所示；機械硬盤采用磁性碟片來存儲，如圖2-6-5所示。學習單元6數(shù)據(jù)備份技術(shù)學習單元6數(shù)據(jù)備份技術(shù)1.數(shù)據(jù)恢復概述（1）計算機病毒感染、人為破壞或人為誤操作造成當前的系統(tǒng)數(shù)據(jù)或用戶數(shù)據(jù)丟失或損壞，但存儲數(shù)據(jù)的物理介質(zhì)沒有遭到破壞，原始的備份數(shù)據(jù)也保存良好。（2）當前數(shù)據(jù)和原始的備份數(shù)據(jù)都遭到破壞，甚至存儲數(shù)據(jù)的物理介質(zhì)也出現(xiàn)邏輯或物理上的故障。四、數(shù)據(jù)恢復學習單元6數(shù)據(jù)備份技術(shù)2.硬盤數(shù)據(jù)恢復當從硬盤中刪除文件時，操作系統(tǒng)僅在該文件對應的目錄結(jié)構(gòu)信息中標以刪除標識，而這個被刪除文件本身的數(shù)據(jù)及其在目錄結(jié)構(gòu)中的其他信息并沒有從硬盤上清除，即使硬盤被格式化或重分區(qū)，仍會保留大部分的數(shù)據(jù)信息，除非有新的數(shù)據(jù)將其覆蓋。因此，恢復數(shù)據(jù)、文件的前提就是硬盤中還保留有文件的信息和數(shù)據(jù)塊。學習單元6數(shù)據(jù)備份技術(shù)學習單元七虛擬專用網(wǎng)絡(luò)技術(shù)1.VPN的工作原理VPN可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，其實現(xiàn)的關(guān)鍵在于網(wǎng)絡(luò)隧道技術(shù)，如圖2-7-1所示。一、VPN的工作原理及安全性學習單元7虛擬專用網(wǎng)絡(luò)技術(shù)學習單元7虛擬專用網(wǎng)絡(luò)技術(shù)VPN中的安全連接是由網(wǎng)絡(luò)隧道技術(shù)形成的，它使用的隧道協(xié)議主要有點對點隧道協(xié)議（pointtopointtunnelingprotocol，PPTP）、第二層轉(zhuǎn)發(fā)協(xié)議（layer2forwardin