第5章計(jì)算機(jī)安全與網(wǎng)絡(luò)安全5.1計(jì)算機(jī)安全5.2計(jì)算機(jī)病毒5.3網(wǎng)絡(luò)安全5.4應(yīng)用系統(tǒng)安全

5.1計(jì)

算

機(jī)

安

全

5.1.1計(jì)算機(jī)安全的定義國(guó)際標(biāo)準(zhǔn)化組織(ISO)將計(jì)算機(jī)安全定義為：“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露?！敝袊?guó)公安部計(jì)算機(jī)管理監(jiān)察司則將其定義為：“計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安全，即計(jì)算機(jī)信息系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害?！?/p>

計(jì)算機(jī)病毒作為一種潛藏于計(jì)算機(jī)軟件中的隱蔽程序，能夠像其他正常工作程序一樣執(zhí)行，但會(huì)破壞正常的程序和數(shù)據(jù)文件。如果是惡性病毒，則其破壞力足以導(dǎo)致整個(gè)計(jì)算機(jī)軟件系統(tǒng)全面崩潰，進(jìn)而造成數(shù)據(jù)徹底丟失。為有效防范病毒侵襲，關(guān)鍵在于強(qiáng)化安全管理措施，避免訪問潛在風(fēng)險(xiǎn)的數(shù)據(jù)源，同時(shí)運(yùn)用殺毒軟件并確保其得到及時(shí)的升級(jí)與更新。

非法訪問是指未經(jīng)授權(quán)的用戶通過盜用或偽造合法身份，非法進(jìn)入計(jì)算機(jī)系統(tǒng)，進(jìn)而擅自獲取、篡改、轉(zhuǎn)移或復(fù)制其中的數(shù)據(jù)。為應(yīng)對(duì)這一威脅，可采取以下防范措施：

一是構(gòu)建完善的軟件系統(tǒng)安全機(jī)制，如增設(shè)用戶身份驗(yàn)證、口令保護(hù)以及權(quán)限分配等，以阻止非法用戶以合法身份進(jìn)入系統(tǒng)；

二是對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，確保即使非法用戶成功入侵系統(tǒng)，也無法在無密鑰的情況下解讀數(shù)據(jù)；

三是在計(jì)算機(jī)內(nèi)設(shè)置操作日志，對(duì)重要數(shù)據(jù)的讀、寫、修改等操作進(jìn)行實(shí)時(shí)記錄與監(jiān)控。

計(jì)算機(jī)硬件損壞會(huì)導(dǎo)致計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)無法讀取。防止此類事故的發(fā)生可采取以下措施：

一是定期對(duì)有用數(shù)據(jù)進(jìn)行備份保存，以便在機(jī)器出現(xiàn)故障時(shí)能夠在修復(fù)后將數(shù)據(jù)恢復(fù)；

二是在計(jì)算機(jī)系統(tǒng)中使用RAID技術(shù)，將數(shù)據(jù)同時(shí)存在多個(gè)硬盤上以提高數(shù)據(jù)的可靠性和容錯(cuò)性，在安全性要求極高的特殊場(chǎng)合還可以使用雙主機(jī)架構(gòu)，以確保一臺(tái)主機(jī)出現(xiàn)故障時(shí)另一臺(tái)主機(jī)仍能繼續(xù)正常運(yùn)行。

5.1.2計(jì)算機(jī)硬件安全

計(jì)算機(jī)在使用過程中，對(duì)外部環(huán)境有一定的要求，即計(jì)算機(jī)周圍的環(huán)境應(yīng)保持清潔，維持適宜的溫度條件以及穩(wěn)定的電源電壓，以保證計(jì)算機(jī)硬件可靠地運(yùn)行。在計(jì)算機(jī)安全技術(shù)領(lǐng)域，加固技術(shù)是一項(xiàng)重要的技術(shù)手段，經(jīng)過加固處理的計(jì)算機(jī)具備良好的抗震、防水、防化學(xué)腐蝕等能力，可以在野外全天候環(huán)境下運(yùn)行。從系統(tǒng)安全性的角度來看，計(jì)算機(jī)的芯片和硬件設(shè)備也可能對(duì)系統(tǒng)安全構(gòu)成威脅。

硬件泄密問題甚至涉及電源設(shè)備。電源泄密的機(jī)制在于，計(jì)算機(jī)產(chǎn)生的電磁信號(hào)可以通過供電線路傳輸出去，攻擊者可以利用特殊設(shè)備從電源線上截獲這些信號(hào)并進(jìn)行還原。

計(jì)算機(jī)中的每個(gè)組件都是可編程控制芯片，一旦掌握了控制芯片的程序，就意味著掌握了計(jì)算機(jī)芯片的控制權(quán)。只要能控制，就存在安全隱患。因此，在使用計(jì)算機(jī)時(shí)，我們首先要重視并做好硬件的安全防護(hù)工作。

5.1.3計(jì)算機(jī)軟件安全

計(jì)算機(jī)軟件面臨的安全威脅主要包括非法復(fù)制、軟件跟蹤和軟件質(zhì)量缺陷。

1.非法復(fù)制

計(jì)算機(jī)軟件作為一種知識(shí)密集的商品化產(chǎn)品，在開發(fā)過程中需要花費(fèi)大量的人力、物力，為開發(fā)軟件而付出的成本往往是硬件價(jià)值的數(shù)倍甚至數(shù)百倍。然而，計(jì)算機(jī)軟件產(chǎn)品的易復(fù)制性對(duì)軟件產(chǎn)品的產(chǎn)權(quán)威脅日趨嚴(yán)重。對(duì)于盜版所帶來的稅收、就業(yè)、法律等諸多問題都引起了各國(guó)政府的高度關(guān)注，非法復(fù)制軟件已經(jīng)帶來了嚴(yán)重的社會(huì)問題。

2.軟件跟蹤

計(jì)算機(jī)軟件在開發(fā)出來以后，常有不法分子利用各種程序調(diào)試分析工具對(duì)程序進(jìn)行跟蹤和逐條運(yùn)行、竊取軟件源碼、取消防復(fù)制和加密功能，從而實(shí)現(xiàn)對(duì)軟件的動(dòng)態(tài)破譯。當(dāng)前軟件跟蹤技術(shù)主要是利用系統(tǒng)中提供的單步中斷和斷點(diǎn)中斷功能實(shí)現(xiàn)的，可分為動(dòng)態(tài)跟蹤和靜態(tài)分析兩種。動(dòng)態(tài)跟蹤是指利用調(diào)試工具強(qiáng)行把程序中斷到某處，使程序單步執(zhí)行，從而跟蹤分析；靜態(tài)分析是指利用反編譯工具將軟件反編譯成源代碼的形式進(jìn)行分析。

3.軟件質(zhì)量缺陷

由于多種因素，軟件開發(fā)商所提供的軟件不可避免地存在這樣或那樣的缺陷，即漏洞，這些漏洞嚴(yán)重威脅著軟件系統(tǒng)安全。全球頂尖軟件供應(yīng)商(如微軟公司)所提供的軟件也不例外。近年來，因軟件漏洞引起的安全事件頻發(fā)并呈上升趨勢(shì)。一些熱衷于挖掘軟件漏洞的“高手”往往能夠發(fā)現(xiàn)并利用這些漏洞進(jìn)行非法活動(dòng)，對(duì)用戶構(gòu)成極大威脅。

5.1.4計(jì)算機(jī)安全管理制度

為加強(qiáng)組織企事業(yè)單位的計(jì)算機(jī)安全管理，保障計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，發(fā)揮辦公自動(dòng)化的效益，保證工作正常實(shí)施，確保涉密信息安全，一般需要指定專人負(fù)責(zé)機(jī)房管理，并結(jié)合本單位實(shí)際情況，制定計(jì)算機(jī)安全管理制度，例如：

(1)計(jì)算機(jī)管理實(shí)行“誰使用誰負(fù)責(zé)”的原則。愛護(hù)機(jī)器，了解并熟悉機(jī)器性能，及時(shí)檢查并清潔計(jì)算機(jī)及相關(guān)外設(shè)。

(2)掌握工作軟件、辦公軟件的基本操作和網(wǎng)絡(luò)使用的一般知識(shí)。

(3)除非有特殊工作需求，否則各項(xiàng)工作須在內(nèi)部網(wǎng)絡(luò)環(huán)境中進(jìn)行。存儲(chǔ)在存儲(chǔ)介質(zhì)(U盤、光盤、硬盤、移動(dòng)硬盤)上的工作內(nèi)容的管理、銷毀都要符合保密要求，嚴(yán)防外泄。

(4)禁止在外網(wǎng)、互聯(lián)網(wǎng)或內(nèi)部網(wǎng)絡(luò)上處理涉密信息，涉密信息的處理只能在專用、隔離的計(jì)算機(jī)上進(jìn)行。

(5)涉及計(jì)算機(jī)用戶名、口令密碼、硬件加密的要嚴(yán)格保密，嚴(yán)禁外泄，密碼設(shè)置應(yīng)遵循復(fù)雜度要求。

(6)配備無線互聯(lián)功能的計(jì)算機(jī)不得接入內(nèi)部網(wǎng)絡(luò)，且不得處理涉密文件。

(7)非內(nèi)部管理的計(jì)算機(jī)設(shè)備不得接入內(nèi)部網(wǎng)絡(luò)。

(8)嚴(yán)格遵守國(guó)家頒布的有關(guān)互聯(lián)網(wǎng)使用的管理規(guī)定，嚴(yán)禁登錄非法網(wǎng)站；嚴(yán)禁在上班時(shí)間上網(wǎng)聊天、玩游戲、看電影、炒股等。

(9)堅(jiān)持“安全第一、預(yù)防為主”的方針，加強(qiáng)計(jì)算機(jī)安全教育，增強(qiáng)員工的安全意識(shí)和自覺性。計(jì)算機(jī)應(yīng)進(jìn)行經(jīng)常性的病毒檢查，計(jì)算機(jī)操作人員發(fā)現(xiàn)計(jì)算機(jī)感染病毒后，應(yīng)立即中斷運(yùn)行，并及時(shí)清除，確保計(jì)算機(jī)的安全。

(10)下班后及時(shí)關(guān)閉計(jì)算機(jī)并切斷電源。

5.2計(jì)

算

機(jī)

病

毒

5.2.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒(ComputerVirus)是編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。其生命周期涵蓋開發(fā)、傳染、潛伏、發(fā)作、發(fā)現(xiàn)、消化至消亡的各個(gè)階段。計(jì)算機(jī)病毒通常具有隱蔽性、破壞性、傳染性、寄生性、可執(zhí)行性、可觸發(fā)性等特征。

1.計(jì)算機(jī)病毒的特征

(1)隱蔽性。計(jì)算機(jī)病毒不易被發(fā)現(xiàn)，因其具有較強(qiáng)的隱蔽性，常以隱藏文件或程序代碼的方式存在，難以通過常規(guī)病毒掃描手段有效檢測(cè)和清除。病毒可能會(huì)偽裝成正常程序，甚至被設(shè)計(jì)成病毒修復(fù)程序，誘導(dǎo)用戶執(zhí)行，從而實(shí)現(xiàn)病毒代碼的植入和計(jì)算機(jī)系統(tǒng)的入侵。這種隱蔽性導(dǎo)致計(jì)算機(jī)安全防范處于被動(dòng)局面，構(gòu)成嚴(yán)重的安全威脅。

(2)破壞性。病毒一旦侵入計(jì)算機(jī)系統(tǒng)，就可能帶來極大的破壞性，包括數(shù)據(jù)信息的損毀和計(jì)算機(jī)系統(tǒng)的大面積癱瘓，給用戶造成重大損失。

(3)傳染性。計(jì)算機(jī)病毒具有顯著的傳染性，它能夠通過U盤、網(wǎng)絡(luò)等多種途徑傳播感染計(jì)算機(jī)系統(tǒng)。在入侵之后，病毒能夠進(jìn)一步擴(kuò)散，感染更多的計(jì)算機(jī)，導(dǎo)致大規(guī)模系統(tǒng)癱瘓等嚴(yán)重后果。

(4)寄生性。計(jì)算機(jī)病毒需要在宿主系統(tǒng)中寄生才能生存并發(fā)揮其破壞功能。病毒通常寄生在其他正常程序或數(shù)據(jù)中，通過特定媒介進(jìn)行傳播。在宿主計(jì)算機(jī)運(yùn)行過程中，一旦滿足特定條件，病毒即被激活，并隨著程序的啟動(dòng)對(duì)宿主計(jì)算機(jī)文件進(jìn)行不斷修改，發(fā)揮其破壞作用。

(5)可執(zhí)行性。計(jì)算機(jī)病毒與其他合法程序一樣，是一段可執(zhí)行代碼，但它不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序上，因此享有與合法程序相同的權(quán)限。

(6)可觸發(fā)性。病毒因特定事件或數(shù)值的出現(xiàn)而被激活，進(jìn)而實(shí)施對(duì)計(jì)算機(jī)系統(tǒng)中文件的感染或攻擊。

(7)攻擊的主動(dòng)性。病毒對(duì)計(jì)算機(jī)系統(tǒng)的攻擊是主動(dòng)的，無論系統(tǒng)采取多么嚴(yán)密的防護(hù)措施，都不可能徹底地排除病毒的攻擊，防護(hù)措施至多只能作為一種預(yù)防的手段而已。

(8)病毒的針對(duì)性。有些計(jì)算機(jī)病毒是針對(duì)特定的計(jì)算機(jī)和特定的操作系統(tǒng)進(jìn)行設(shè)計(jì)的，例如有針對(duì)IBMPC及其兼容機(jī)的，有針對(duì)Apple公司的Macintosh的，還有針對(duì)UNIX操作系統(tǒng)的，如小球病毒就是針對(duì)IBMPC及其兼容機(jī)上的DOS操作系統(tǒng)的。

2.計(jì)算機(jī)病毒的類型

計(jì)算機(jī)病毒依據(jù)其依附媒介的不同，可被劃分為三類：

一是通過計(jì)算機(jī)網(wǎng)絡(luò)感染可執(zhí)行文件的網(wǎng)絡(luò)病毒；

二是主攻計(jì)算機(jī)內(nèi)文件的文件病毒；

三是主攻感染磁盤驅(qū)動(dòng)扇區(qū)及硬盤系統(tǒng)引導(dǎo)扇區(qū)的引導(dǎo)型病毒。

(1)網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒依據(jù)其功能特性，可進(jìn)一步細(xì)分為木馬病毒和蠕蟲病毒。木馬病毒是一種后門程序，它會(huì)潛伏在操作系統(tǒng)中竊取用戶的敏感信息，比如QQ、網(wǎng)上銀行、游戲的賬號(hào)、密碼等。相比之下，蠕蟲病毒在傳播手段與危害性上更為復(fù)雜與嚴(yán)重。

(2)文件病毒。文件病毒主要通過感染計(jì)算機(jī)中的可執(zhí)行文件(.exe)和命令文件(.com)，修改計(jì)算機(jī)的源文件，使其轉(zhuǎn)變?yōu)閿y帶病毒的新文件。一旦計(jì)算機(jī)運(yùn)行這些被修改的文件就會(huì)被感染，從而實(shí)現(xiàn)病毒的傳播。

(3)引導(dǎo)型病毒。引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。這類病毒利用系統(tǒng)引導(dǎo)時(shí)不驗(yàn)證主引導(dǎo)區(qū)內(nèi)容正確性的缺陷，在系統(tǒng)引導(dǎo)的過程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運(yùn)行，伺機(jī)傳染和破壞。按照在硬盤上的寄生位置，引導(dǎo)型病毒又可進(jìn)一步細(xì)分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。主引導(dǎo)記錄病毒感染硬盤的主引導(dǎo)區(qū)，如大麻病毒、2708病毒、火炬病毒等；分區(qū)引導(dǎo)記錄病毒感染硬盤的活動(dòng)分區(qū)引導(dǎo)記錄，如小球病毒、Girl病毒等。

3.計(jì)算機(jī)病毒的傳播方式

計(jì)算機(jī)病毒具有特定的傳輸機(jī)制及多樣化的傳播渠道。其核心功能在于自我復(fù)制和傳播，這一特性使得計(jì)算機(jī)病毒易于在任何能夠進(jìn)行數(shù)據(jù)交換的環(huán)境中迅速擴(kuò)散。計(jì)算機(jī)病毒的傳播方式主要有以下三種：

(1)通過移動(dòng)存儲(chǔ)設(shè)備傳播：如U盤、CD、軟盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備因頻繁移動(dòng)與使用而易于成為計(jì)算機(jī)病毒的載體，它們?yōu)椴《咎峁┝藦V泛的傳播路徑，并因此受到計(jì)算機(jī)病毒的高度青睞。

(2)通過網(wǎng)絡(luò)傳播：此方式涉及多種網(wǎng)絡(luò)媒介，如網(wǎng)頁、電子郵件、即時(shí)通訊軟件(如QQ)、電子公告板(BBS)等，均可作為計(jì)算機(jī)病毒在網(wǎng)絡(luò)傳播的渠道。近年來，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)傳輸速度的提升，計(jì)算機(jī)病毒的傳播速度日益加快，波及范圍也在逐步擴(kuò)大。

(3)利用系統(tǒng)和應(yīng)用軟件漏洞傳播：近年來，眾多的計(jì)算機(jī)病毒開始利用操作系統(tǒng)和應(yīng)用軟件的安全漏洞進(jìn)行傳播，這一途徑已被視為計(jì)算機(jī)病毒傳播的主要方式之一。

5.2.2常見的計(jì)算機(jī)病毒

1.?CIH病毒

CIH病毒是一種具有高度破壞性的計(jì)算機(jī)惡意軟件，其目標(biāo)直指計(jì)算機(jī)系統(tǒng)的硬件層面。該病毒由臺(tái)灣大學(xué)生陳盈豪開發(fā)，最初通過國(guó)際知名的兩大盜版集團(tuán)販賣的盜版光盤在歐美等地區(qū)廣泛傳播，隨后借助互聯(lián)網(wǎng)的力量迅速傳播到全世界各個(gè)角落。

2.蠕蟲病毒

蠕蟲病毒是一種具備自我復(fù)制能力的惡意代碼，并且能夠通過網(wǎng)絡(luò)傳播，無須人為干預(yù)即可實(shí)現(xiàn)廣泛傳播的病毒。一旦蠕蟲病毒成功入侵并完全掌控一臺(tái)計(jì)算機(jī)，該機(jī)器隨即成為其宿主，蠕蟲病毒會(huì)利用此宿主掃描并試圖感染網(wǎng)絡(luò)中的其他計(jì)算機(jī)，這一過程將持續(xù)進(jìn)行，形成連鎖反應(yīng)。典型的蠕蟲病毒是“熊貓燒香”，它在2007年1月初于網(wǎng)絡(luò)上迅速蔓延。該病毒具備自動(dòng)傳播的功能，能夠自動(dòng)感染宿主計(jì)算機(jī)硬盤中的多種文件類型，如exe、com、pif、src、html、asp等。

3.勒索病毒

勒索病毒主要通過郵件、程序木馬以及網(wǎng)頁掛馬等手段進(jìn)行傳播。該類病毒利用多種復(fù)雜的加密算法對(duì)目標(biāo)文件進(jìn)行加密處理，被感染者一般無法解密，必須拿到解密的密鑰才能破解。2017年5月起，一款名為“WannaCry”的勒索病毒瘋狂地襲擊了全球100多個(gè)國(guó)家，英國(guó)有超過40家醫(yī)院的計(jì)算機(jī)受到大規(guī)模攻擊后淪陷，不得不使用紙筆進(jìn)行緊急預(yù)案。

4.震網(wǎng)病毒

震網(wǎng)病毒又名Stuxnet病毒，是一個(gè)席卷全球工業(yè)界的病毒，于2010年6月首次被檢測(cè)出來，此病毒是第一個(gè)針對(duì)現(xiàn)實(shí)世界中的基礎(chǔ)設(shè)施(如核電站、水壩、國(guó)家電網(wǎng))實(shí)施定向攻擊的“蠕蟲”病毒先例。作為世界上首個(gè)網(wǎng)絡(luò)“超級(jí)破壞性武器”，震網(wǎng)病毒已經(jīng)感染了全球超過45?000個(gè)網(wǎng)絡(luò)，其中伊朗遭到的攻擊最為嚴(yán)重，超過60%的個(gè)人計(jì)算機(jī)感染了這種病毒。

5.木馬病毒

《荷馬史詩》記載了這樣一個(gè)故事：希臘大軍圍住特洛伊城，但久攻不下。緊要關(guān)頭，智慧女神雅典娜幫希臘人做了一個(gè)大木馬。有一天，希臘大軍乘船揚(yáng)帆而去，海灘上留下一個(gè)巨型木馬。特洛伊人好奇地圍上去，一個(gè)被捉的希臘人告訴特洛伊國(guó)王：木馬是希臘人祭祀雅典娜的，毀了它會(huì)激怒天神，如果把木馬拖回城，會(huì)給特洛伊帶來福音。

木馬(Trojan)也稱木馬病毒，是指通過特定的程序(木馬程序)來控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是控制端，另一個(gè)是被控制端。木馬病毒與其他計(jì)算機(jī)病毒的區(qū)別是，它不會(huì)自我繁殖，也不會(huì)主動(dòng)去感染其他文件，和故事中的“木馬”一樣，它通過偽裝自身吸引用戶下載執(zhí)行，向施種木馬者提供打開被種木馬主機(jī)的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。

當(dāng)前最為流行的木馬就是“挖礦木馬”。2017年國(guó)內(nèi)網(wǎng)絡(luò)安全公司火絨安全發(fā)布預(yù)警：知名激活工具KMSpico中含有病毒，當(dāng)用戶從其網(wǎng)站上下載安裝到自己的計(jì)算機(jī)中時(shí)，就會(huì)被植入挖礦木馬“Trojan/Miner”。據(jù)安全研究人員分析，該挖礦木馬一旦入侵用戶的計(jì)算機(jī)設(shè)備，就會(huì)瘋狂地利用用戶計(jì)算機(jī)挖礦來計(jì)算生產(chǎn)門羅幣，讓這些用戶的設(shè)備成為黑客謀取利益的工具。

除此之外，常見的木馬病毒還有以下幾種：

(1)盜號(hào)木馬：此類木馬會(huì)隱匿在系統(tǒng)中，伺機(jī)盜取用戶各類賬號(hào)及密碼信息。

(2)下載者木馬：此類木馬通過下載其他病毒來間接對(duì)系統(tǒng)產(chǎn)生安全威脅。下載者木馬通常體積較小，并輔以誘惑性的名稱和圖標(biāo)誘騙用戶使用。由于體積較小，下載者木馬更易傳播，且傳播速度很快。

(3)釋放器木馬：此類木馬通過釋放其他病毒來間接對(duì)系統(tǒng)產(chǎn)生安全威脅。

(4)點(diǎn)擊器木馬：此類木馬會(huì)在后臺(tái)通過訪問特定網(wǎng)址來“刷流量”，使病毒作者獲利，并會(huì)占用被感染主機(jī)的網(wǎng)絡(luò)帶寬。

(5)代理木馬：此類木馬會(huì)在被感染主機(jī)上設(shè)置代理服務(wù)器，黑客可將被感染主機(jī)作為網(wǎng)絡(luò)攻擊的跳板，以被感染者的身份進(jìn)行黑客活動(dòng)，達(dá)到隱藏自己、躲避執(zhí)法者追蹤的目的。

5.2.3計(jì)算機(jī)病毒的危害與防范措施

1.計(jì)算機(jī)病毒的危害

大部分計(jì)算機(jī)病毒在激發(fā)的時(shí)候會(huì)直接破壞重要信息數(shù)據(jù)，如直接篡改CMOS設(shè)置、刪除重要文件、執(zhí)行磁盤格式化操作、改寫目錄區(qū)以及用“垃圾”數(shù)據(jù)來改寫文件等。由于計(jì)算機(jī)病毒是一段可執(zhí)行的計(jì)算機(jī)代碼，它們會(huì)大幅占用計(jì)算機(jī)的內(nèi)存空間，特別是某些大型的病毒還會(huì)在計(jì)算機(jī)內(nèi)部自我復(fù)制，導(dǎo)致計(jì)算機(jī)內(nèi)存可用空間大幅度減少。此外病毒運(yùn)行時(shí)還會(huì)搶占中斷、修改中斷地址，并在中斷過程中插入惡意代碼(即病毒的“私貨”)，進(jìn)而干擾系統(tǒng)的正常運(yùn)行。

2.計(jì)算機(jī)病毒的防范措施

計(jì)算機(jī)病毒持續(xù)不斷地監(jiān)視著計(jì)算機(jī)系統(tǒng)，隨時(shí)準(zhǔn)備發(fā)起攻擊，但計(jì)算機(jī)病毒也不是不可控制的，可以通過以下措施有效減輕其對(duì)計(jì)算機(jī)的破壞。

(1)部署并更新防病毒軟件：安裝最新版本的殺毒軟件，每天升級(jí)殺毒軟件病毒庫，定時(shí)對(duì)計(jì)算機(jī)進(jìn)行病毒查殺，上網(wǎng)時(shí)開啟殺毒軟件的全部監(jiān)控。培養(yǎng)良好的上網(wǎng)習(xí)慣，如對(duì)不明郵件及附件慎重打開，避免訪問可能帶有病毒的網(wǎng)站，使用較為復(fù)雜的密碼等。

(2)謹(jǐn)慎處理網(wǎng)絡(luò)下載與瀏覽：不要運(yùn)行從網(wǎng)絡(luò)下載后未經(jīng)殺毒處理的軟件，不要隨意瀏覽或登錄陌生的網(wǎng)站，以增強(qiáng)自我保護(hù)能力?，F(xiàn)在有很多非法網(wǎng)站會(huì)被植入惡意代碼，一旦用戶訪問這些網(wǎng)站，用戶的計(jì)算機(jī)即會(huì)感染木馬病毒或被安裝上其他惡意軟件。

(3)提升信息安全意識(shí)：在使用移動(dòng)存儲(chǔ)設(shè)備時(shí)，盡量減少共享，因?yàn)橐苿?dòng)存儲(chǔ)設(shè)備既是計(jì)算機(jī)病毒進(jìn)行傳播的主要途徑，也是計(jì)算機(jī)病毒攻擊的主要目標(biāo)。在對(duì)信息安全要求比較高的場(chǎng)所，應(yīng)將計(jì)算機(jī)的USB接口封閉，在條件允許的情況下應(yīng)做到專機(jī)專用。

(4)更新系統(tǒng)與應(yīng)用軟件：及時(shí)為操作系統(tǒng)打全系統(tǒng)補(bǔ)丁，同時(shí)將應(yīng)用軟件升級(jí)到最新版本，如播放器軟件、通信工具等，避免病毒以網(wǎng)頁木馬或應(yīng)用漏洞進(jìn)行入侵。一旦發(fā)現(xiàn)計(jì)算機(jī)受到病毒侵害，應(yīng)立即將其隔離。在使用計(jì)算機(jī)的過程中，若發(fā)現(xiàn)計(jì)算機(jī)上存在病毒或者計(jì)算機(jī)異常，應(yīng)該及時(shí)中斷網(wǎng)絡(luò)連接。當(dāng)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)一直中斷或者網(wǎng)絡(luò)異常時(shí)，應(yīng)立即切斷網(wǎng)絡(luò)，以免病毒在網(wǎng)絡(luò)中進(jìn)一步傳播。

5.3網(wǎng)

絡(luò)

安

全

5.3.1常見的網(wǎng)絡(luò)攻擊方式近年來，網(wǎng)絡(luò)攻擊事件頻發(fā)，互聯(lián)網(wǎng)上的木馬、蠕蟲、勒索軟件層出不窮，對(duì)網(wǎng)絡(luò)安全乃至國(guó)家安全構(gòu)成了嚴(yán)重的威脅。2022年4月20日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布報(bào)告指出，現(xiàn)有國(guó)際互聯(lián)網(wǎng)骨干網(wǎng)和世界各地的關(guān)鍵信息基礎(chǔ)設(shè)施當(dāng)中，只要包含美國(guó)公司提供的軟硬件，就極有可能被內(nèi)嵌各類的“后門程序”，從而成為美國(guó)政府網(wǎng)絡(luò)攻擊的目標(biāo)。一般來說，常見的網(wǎng)絡(luò)攻擊方式有以下16種。

1.端口掃描

端口掃描的目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表。端口掃描程序逐個(gè)嘗試與TCP/UDP端口連接，然后根據(jù)端口與服務(wù)的對(duì)應(yīng)關(guān)系，結(jié)合服務(wù)器端的反應(yīng)推斷目標(biāo)系統(tǒng)上是否運(yùn)行了某項(xiàng)服務(wù)，攻擊者通過這些服務(wù)可獲得關(guān)于目標(biāo)系統(tǒng)的進(jìn)一步的知識(shí)或通往目標(biāo)系統(tǒng)的途徑。

2.口令破解

口令機(jī)制作為資源訪問控制的首要防線，其重要性不言而喻。網(wǎng)絡(luò)攻擊者常常將破解用戶的弱口令作為突破口，以獲取系統(tǒng)的訪問權(quán)限。

3.緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊能夠使攻擊者有機(jī)會(huì)奪取目標(biāo)主機(jī)的部分乃至全部控制權(quán)。根據(jù)統(tǒng)計(jì)數(shù)據(jù)，此類攻擊在遠(yuǎn)程網(wǎng)絡(luò)攻擊中占據(jù)了絕大多數(shù)的比例。緩沖區(qū)溢出之所以成為遠(yuǎn)程攻擊的主要手段，原因在于其漏洞為攻擊者提供了操控程序執(zhí)行流程的機(jī)會(huì)。攻擊者通過精心構(gòu)造的攻擊代碼，將其注入含有緩沖區(qū)溢出漏洞的程序中，進(jìn)而篡改該程序的正常執(zhí)行流程，最終獲取被攻擊主機(jī)的控制權(quán)。

4.惡意代碼攻擊

惡意代碼攻擊是網(wǎng)絡(luò)攻擊常見的攻擊手段，其常見類型涵蓋計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門程序、邏輯炸彈以及僵尸網(wǎng)絡(luò)等。這些惡意代碼類型各自具備獨(dú)特的傳播機(jī)制、潛伏策略和攻擊方式，構(gòu)成了網(wǎng)絡(luò)防御領(lǐng)域需持續(xù)關(guān)注的重大挑戰(zhàn)。

5.拒絕服務(wù)攻擊

拒絕服務(wù)攻擊(DenialofService，DoS)是指攻擊者利用系統(tǒng)或網(wǎng)絡(luò)存在的缺陷，執(zhí)行惡意操作，致使合法系統(tǒng)用戶無法及時(shí)獲得應(yīng)有的服務(wù)或系統(tǒng)資源(如網(wǎng)絡(luò)帶寬)，從而導(dǎo)致計(jì)算機(jī)或網(wǎng)絡(luò)無法正常運(yùn)行，并可能影響依賴計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)的單位不能正常運(yùn)轉(zhuǎn)。DoS攻擊的本質(zhì)特征是延長(zhǎng)服務(wù)等待時(shí)間，當(dāng)服務(wù)等待時(shí)間超過用戶的忍耐閾值時(shí)，用戶將放棄服務(wù)請(qǐng)求。DoS攻擊通過延遲或阻礙合法用戶享用系統(tǒng)服務(wù)，對(duì)關(guān)鍵性和實(shí)時(shí)性服務(wù)的影響尤為顯著。DoS攻擊與其他攻擊相比具有以下特點(diǎn)：

(1)難確認(rèn)性：DoS攻擊難以檢測(cè)，用戶在服務(wù)未得到及時(shí)響應(yīng)時(shí)，通常不會(huì)認(rèn)為受到攻擊，而可能將其歸因于系統(tǒng)故障導(dǎo)致的一時(shí)性服務(wù)失效。

(2)隱蔽性：DoS攻擊中，正常的服務(wù)請(qǐng)求可能被隱藏在攻擊流量中，使得攻擊行為不易被發(fā)現(xiàn)。

(3)資源有限性：鑒于計(jì)算機(jī)資源的有限性，DoS攻擊的實(shí)現(xiàn)相對(duì)容易，攻擊者可以利用有限的資源對(duì)目標(biāo)實(shí)施有效的攻擊。

(4)軟件復(fù)雜性：由于軟件本身的復(fù)雜性，其設(shè)計(jì)與實(shí)現(xiàn)過程中難以完全避免缺陷，因此攻擊者可能利用這些缺陷進(jìn)行DoS攻擊，如淚滴攻擊等。

6.分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊(DistributedDenialofService，DDoS)是指攻擊者通過植入后門程序從遠(yuǎn)程遙控發(fā)動(dòng)攻擊。攻擊者利用多個(gè)已被入侵的跳板主機(jī)(也稱為“肉雞”或“僵尸計(jì)算機(jī)”)作為控制點(diǎn)，進(jìn)而操控多個(gè)代理攻擊主機(jī)。通過這種方法，攻擊者能夠同時(shí)對(duì)已控制的代理攻擊主機(jī)發(fā)出干擾指令，并針對(duì)受害主機(jī)實(shí)施大規(guī)模的攻擊。DDoS攻擊通過消耗或占用目標(biāo)計(jì)算機(jī)的大量網(wǎng)絡(luò)或系統(tǒng)資源，使得目標(biāo)計(jì)算機(jī)無法處理合法的服務(wù)請(qǐng)求，從而導(dǎo)致正常用戶無法訪問。最為常見的DDos攻擊類型主要有：

(1)?SYNFloodAttack(SYN洪水攻擊)：基于TCP協(xié)議三次握手機(jī)制的一種DDoS攻擊方式。攻擊者向目標(biāo)系統(tǒng)發(fā)送大量半開連接請(qǐng)求(SYN數(shù)據(jù)包)，但不完成后續(xù)的握手過程(不發(fā)送ACK響應(yīng))。這導(dǎo)致目標(biāo)系統(tǒng)的半開連接表迅速填滿，從而無法處理新的合法連接請(qǐng)求，造成服務(wù)拒絕。

(2)?UDPFloodAttack(UDP洪水攻擊)：基于UDP協(xié)議無連接特性的一種DDoS攻擊。攻擊者向目標(biāo)系統(tǒng)發(fā)送大量UDP數(shù)據(jù)包，由于UDP協(xié)議不建立連接，目標(biāo)系統(tǒng)需對(duì)每個(gè)數(shù)據(jù)包進(jìn)行處理，但攻擊者可偽造源IP地址，使目標(biāo)系統(tǒng)難以追蹤攻擊源。此攻擊消耗目標(biāo)系統(tǒng)資源，導(dǎo)致服務(wù)性能下降或完全不可用。

(3)?ICMPFloodAttack(ICMP洪水攻擊)：基于ICMP協(xié)議的一種DDoS攻擊。攻擊者向目標(biāo)系統(tǒng)發(fā)送大量ICMPEcho請(qǐng)求(Ping數(shù)據(jù)包)，目標(biāo)系統(tǒng)需對(duì)每個(gè)請(qǐng)求進(jìn)行響應(yīng)。由于ICMP協(xié)議無流量控制機(jī)制，攻擊者可發(fā)送大量請(qǐng)求占用目標(biāo)系統(tǒng)的帶寬和處理能力，導(dǎo)致目標(biāo)系統(tǒng)無法響應(yīng)合法用戶請(qǐng)求。

(4)?HTTP(S)FloodAttack(HTTP/HTTPS洪水攻擊)：針對(duì)Web應(yīng)用層的一種DDoS攻擊。攻擊者模擬合法用戶的HTTP(S)請(qǐng)求，向目標(biāo)Web服務(wù)器發(fā)送大量并發(fā)請(qǐng)求，占用服務(wù)器的資源、帶寬和處理能力。常見的HTTP(S)攻擊方式包括HTTPGET/POST洪水攻擊、HTTPPOST慢速攻擊(Slowloris)、HTTP低速攻擊(SlowPOST)等。

(5)?DNSAmplificationAttack(DNS放大攻擊)：基于DNS協(xié)議特性的一種DDoS攻擊。攻擊者利用開放的DNS服務(wù)器，向目標(biāo)發(fā)送偽造的DNS查詢請(qǐng)求，并偽造源IP地址為攻擊目標(biāo)。由于DNS查詢響應(yīng)通常比請(qǐng)求大得多，故此攻擊可放大攻擊流量，對(duì)目標(biāo)系統(tǒng)造成更大壓力。

7.垃圾郵件攻擊

垃圾郵件攻擊是指攻擊者未經(jīng)授權(quán)，利用郵件系統(tǒng)向目標(biāo)用戶發(fā)送大量未經(jīng)請(qǐng)求或無關(guān)緊要的電子郵件的行為。這些郵件通常包含廣告、欺詐信息、惡意軟件等內(nèi)容，旨在干擾目標(biāo)用戶的正常使用，甚至可能通過專門的郵件炸彈(mailbomb)程序，短時(shí)間內(nèi)發(fā)送大量郵件，以耗盡目標(biāo)用戶郵箱的磁盤空間，導(dǎo)致用戶無法正常接收和發(fā)送郵件。

8.網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚攻擊是一種借助偽裝成為可信實(shí)體(如知名銀行、在線零售商及信用卡公司等享有信譽(yù)的品牌)提供虛假在線服務(wù)，運(yùn)用欺詐策略以非法采集敏感個(gè)人信息(如口令、信用卡詳盡信息等)的攻擊方式。

9.網(wǎng)絡(luò)竊聽攻擊

網(wǎng)絡(luò)竊聽是指利用網(wǎng)絡(luò)通信技術(shù)的漏洞或缺陷，使得攻擊者有能力截獲并獲取非自身目標(biāo)的其他人的網(wǎng)絡(luò)通信數(shù)據(jù)和信息。其中，常見的網(wǎng)絡(luò)竊聽技術(shù)主要包括網(wǎng)絡(luò)嗅探與中間人攻擊等類型。

10.?SQL注入攻擊

SQL注入攻擊是一種代碼注入技術(shù)，它利用應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的驗(yàn)證不足或處理不當(dāng)?shù)穆┒?，將惡意的SQL代碼片段注入到應(yīng)用程序原本執(zhí)行的SQL查詢語句中。這種攻擊允許攻擊者繞過應(yīng)用程序的安全控制，直接對(duì)后端數(shù)據(jù)庫進(jìn)行操作，可能導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)庫損壞以及未授權(quán)訪問等嚴(yán)重后果。

11.社交工程攻擊

社交工程攻擊是指網(wǎng)絡(luò)攻擊者運(yùn)用一系列精心策劃的社交手段和策略，以非法獲取目標(biāo)對(duì)象所需敏感信息的行為。在這個(gè)過程中，攻擊者可能會(huì)采取多種偽裝手法，如偽造系統(tǒng)管理員或其他可信身份，通過電子郵件等通信渠道向特定用戶發(fā)送欺騙性信息，誘使其泄露密碼口令等敏感數(shù)據(jù)(這種手法通常被稱為“釣魚”)。

12.電子監(jiān)聽攻擊

電子監(jiān)聽攻擊是指網(wǎng)絡(luò)攻擊者運(yùn)用高靈敏度的電子設(shè)備，在遠(yuǎn)距離上對(duì)電磁波的傳輸過程進(jìn)行監(jiān)視與截獲的行為。這種攻擊方式利用了電磁波輻射的原理，使得攻擊者能夠通過無線電接收裝置，在不被察覺的情況下捕獲到計(jì)算機(jī)操作者輸入的字符信息或屏幕顯示的具體內(nèi)容，進(jìn)而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的非法窺探與信息竊取。

13.會(huì)話劫持攻擊

會(huì)話劫持是指攻擊者在用戶初始授權(quán)并建立連接之后，通過非法手段接管該會(huì)話，從而獲取合法用戶的特權(quán)權(quán)限和控制權(quán)的行為。在此類攻擊中，一旦合法用戶登錄到某臺(tái)主機(jī)或系統(tǒng)，并在完成工作后未主動(dòng)切斷連接，攻擊者便有機(jī)會(huì)利用系統(tǒng)未檢測(cè)到連接已斷開的漏洞，乘虛而入接管會(huì)話。由于主機(jī)或系統(tǒng)并未意識(shí)到合法用戶的連接已經(jīng)失效，攻擊者便能夠無縫銜接地利用合法用戶的所有權(quán)限執(zhí)行操作。

14.漏洞掃描攻擊

漏洞掃描是一種采用自動(dòng)化技術(shù)手段，對(duì)遠(yuǎn)程或本地計(jì)算機(jī)系統(tǒng)進(jìn)行深入分析，以識(shí)別并報(bào)告潛在安全弱點(diǎn)與漏洞的過程。該過程依賴于專業(yè)的漏洞掃描器，這些掃描器內(nèi)置了豐富的漏洞庫與檢測(cè)邏輯，能夠系統(tǒng)性地探測(cè)目標(biāo)系統(tǒng)的安全邊界。在網(wǎng)絡(luò)攻擊者的視角下，漏洞掃描成為一種重要的情報(bào)收集手段，用于搜集潛在目標(biāo)系統(tǒng)的漏洞信息，為后續(xù)的攻擊行動(dòng)提供有價(jià)值的線索與準(zhǔn)備。而在安全人員的防御工作中，漏洞掃描則成為不可或缺的安全評(píng)估工具，用于及時(shí)發(fā)現(xiàn)并修復(fù)系統(tǒng)存在的安全缺陷。

15.代理攻擊

代理攻擊是指網(wǎng)絡(luò)攻擊者利用免費(fèi)代理服務(wù)器作為中介，向目標(biāo)系統(tǒng)發(fā)起攻擊的一種策略。在此攻擊模式中，代理服務(wù)器充當(dāng)了“攻擊跳板”的角色，使得攻擊行為的發(fā)起者能夠隱匿其真實(shí)身份和IP地址。即便目標(biāo)系統(tǒng)的網(wǎng)絡(luò)管理員檢測(cè)到攻擊行為，也難以直接追蹤到攻擊者的實(shí)際來源。

16.數(shù)據(jù)加密攻擊

數(shù)據(jù)加密攻擊是指網(wǎng)絡(luò)攻擊者運(yùn)用數(shù)據(jù)加密技術(shù)以規(guī)避網(wǎng)絡(luò)安全管理人員的追蹤行為。此加密機(jī)制為網(wǎng)絡(luò)攻擊者的數(shù)據(jù)提供了有效的防護(hù)屏障，即使網(wǎng)絡(luò)安全管理人員截獲了這些加密的數(shù)據(jù)，若無對(duì)應(yīng)的密鑰也無法解讀其內(nèi)容，從而實(shí)現(xiàn)了攻擊者的自我保護(hù)的目的。攻擊者的安全準(zhǔn)則是，任何與攻擊活動(dòng)相關(guān)聯(lián)的信息內(nèi)容均須進(jìn)行加密處理或即時(shí)銷毀，以確保其行動(dòng)軌跡不被追蹤與暴露。

5.3.2網(wǎng)絡(luò)安全防范

從國(guó)際安全態(tài)勢(shì)視角分析，各國(guó)由于經(jīng)濟(jì)利益等多元因素持續(xù)產(chǎn)生摩擦與沖突。作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間，已成為國(guó)際競(jìng)爭(zhēng)與對(duì)抗的前沿陣地，保密與竊密的較量日益激烈且錯(cuò)綜復(fù)雜。部分勢(shì)力運(yùn)用“僵尸網(wǎng)絡(luò)”“后門程序”等手段，對(duì)政府網(wǎng)站及關(guān)鍵信息系統(tǒng)實(shí)施遠(yuǎn)程滲透攻擊；有的通過遠(yuǎn)程植入木馬病毒，或利用計(jì)算機(jī)系統(tǒng)漏洞執(zhí)行端口掃描與數(shù)據(jù)包嗅探，大肆竊取國(guó)家秘密與內(nèi)部敏感信息；有的將已被植入木馬的計(jì)算機(jī)作為中繼跳板，采用蛙跳式攻擊策略，進(jìn)一步滲透并竊取網(wǎng)絡(luò)內(nèi)部其他節(jié)點(diǎn)的信息。

1.技術(shù)手段

1)防火墻技術(shù)

所謂防火墻(Firewall)，是指一種集成了軟件和硬件設(shè)備的系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的邊界上構(gòu)建起一道保護(hù)屏障。防火墻作為獲取安全的一種形象說法，實(shí)質(zhì)上是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間建立了一個(gè)安全網(wǎng)關(guān)，以保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵和攻擊。防火墻的組成主要包括服務(wù)模塊、訪問控制規(guī)則、驗(yàn)證工具、包過濾機(jī)制以及應(yīng)用網(wǎng)關(guān)五個(gè)核心部分。它是一個(gè)部署在計(jì)算機(jī)系統(tǒng)與它所連接的網(wǎng)絡(luò)之間的安全設(shè)備，無論是流入還是流出的數(shù)據(jù)包，都必須經(jīng)過防火墻的檢查和過濾。

從邏輯層面分析，防火墻發(fā)揮著分隔、限制和分析的關(guān)鍵作用。在實(shí)際應(yīng)用中，防火墻是加強(qiáng)內(nèi)部網(wǎng)絡(luò)(Intranet)安全防御的一組系統(tǒng)，這組系統(tǒng)由路由器、服務(wù)器等硬件設(shè)備以及相應(yīng)的安全軟件共同構(gòu)成。所有來自Internet的傳輸信息或由內(nèi)部網(wǎng)絡(luò)發(fā)出的信息，都必須經(jīng)過防火墻的檢查和過濾。因此，防火墻在保護(hù)電子郵件、文件傳輸、遠(yuǎn)程登錄以及在特定系統(tǒng)間進(jìn)行信息交換等方面的安全中起著至關(guān)重要的作用。防火墻是網(wǎng)絡(luò)安全策略的重要組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。如今，防火墻已成為各企業(yè)網(wǎng)絡(luò)中實(shí)施安全保護(hù)的核心組件。

防火墻還可以被視為一個(gè)阻塞點(diǎn)。所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接都必須經(jīng)過這個(gè)阻塞點(diǎn)進(jìn)行檢查和過濾，只有經(jīng)過授權(quán)的通信才能通過防火墻的阻塞點(diǎn)。這樣，防火墻在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立了一種有條件的隔離，從而有效防止非法入侵和非法使用系統(tǒng)資源。同時(shí)，防火墻還能執(zhí)行安全管制措施，記錄所有可疑事件，其基本安全準(zhǔn)則有以下兩點(diǎn)：

(1)默認(rèn)拒絕原則：一切未被明確允許的行為都是禁止的?；谶@一原則，防火墻應(yīng)默認(rèn)封鎖所有信息流，然后逐步開放希望提供的服務(wù)。這種方法能夠創(chuàng)建一個(gè)非常安全的環(huán)境，因?yàn)橹挥薪?jīng)過仔細(xì)篩選的服務(wù)才被允許使用。其弊端在于可能會(huì)犧牲用戶使用的方便性，限制用戶所能使用的服務(wù)范圍。

(2)默認(rèn)允許原則：一切未被明確禁止的行為就是允許的?；谶@一原則，防火墻會(huì)轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法為用戶提供了更靈活的應(yīng)用環(huán)境，但也可能增加安全管理的復(fù)雜性。特別是在網(wǎng)絡(luò)服務(wù)日益增多的情況下，網(wǎng)絡(luò)管理人員可能難以提供可靠的安全防護(hù)。

2)入侵檢測(cè)技術(shù)

入侵檢測(cè)是一種針對(duì)入侵行為的監(jiān)測(cè)機(jī)制，它通過采集并分析網(wǎng)絡(luò)行為安全日志、審計(jì)記錄以及其他網(wǎng)絡(luò)上可獲取的信息和計(jì)算機(jī)系統(tǒng)中關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)，來檢查網(wǎng)絡(luò)或系統(tǒng)是否存在違反安全策略的行為或遭受攻擊的跡象。作為一種積極主動(dòng)的安全防護(hù)手段，入侵檢測(cè)為內(nèi)部攻擊、外部攻擊及誤操作提供了實(shí)時(shí)的防護(hù)屏障。它在網(wǎng)絡(luò)系統(tǒng)受損前攔截并響應(yīng)入侵行為，因此被視為防火墻之后的第二道安全防線，能夠在不影響網(wǎng)絡(luò)性能的前提下對(duì)網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)測(cè)。

入侵檢測(cè)通過執(zhí)行以下核心任務(wù)實(shí)現(xiàn)安全監(jiān)測(cè)：對(duì)用戶及系統(tǒng)活動(dòng)進(jìn)行全面監(jiān)視與分析；對(duì)系統(tǒng)架構(gòu)及弱點(diǎn)進(jìn)行審計(jì)；識(shí)別并報(bào)警反映已知攻擊模式的活動(dòng)；對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)與分析；對(duì)關(guān)鍵系統(tǒng)及數(shù)據(jù)文件進(jìn)行完整性評(píng)估；對(duì)操作系統(tǒng)進(jìn)行審計(jì)以及跟蹤管理，識(shí)別用戶違反安全策略的行為。入侵檢測(cè)作為防火墻的有效補(bǔ)充，增強(qiáng)了系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊的防御能力，擴(kuò)展了系統(tǒng)管理員的安全管理范疇，提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

入侵檢測(cè)的首要步驟是信息獲取，這涉及系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為信息的采集。此過程需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的多個(gè)關(guān)鍵節(jié)點(diǎn)(包括不同網(wǎng)段和不同主機(jī))上收集這些信息，并比對(duì)它們的一致性，以發(fā)現(xiàn)任何差異并定位入侵點(diǎn)。

入侵檢測(cè)所利用的信息一般來自以下四個(gè)方面：

(1)系統(tǒng)和網(wǎng)絡(luò)日志審計(jì)。系統(tǒng)和網(wǎng)絡(luò)日志作為黑客活動(dòng)的重要痕跡載體，是檢測(cè)入侵活動(dòng)的必要基礎(chǔ)。這些日志記錄了系統(tǒng)與網(wǎng)絡(luò)上的異?；蚍穷A(yù)期活動(dòng)跡象，能夠指示潛在的入侵嘗試或已發(fā)生的入侵事件。

(2)文件系統(tǒng)完整性檢查。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含大量軟件和數(shù)據(jù)文件，尤其是包含敏感信息和私有數(shù)據(jù)的文件，常成為黑客攻擊的目標(biāo)。

(3)程序行為分析。網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行涉及操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序及特定應(yīng)用(如數(shù)據(jù)庫服務(wù)器)。每個(gè)在系統(tǒng)上運(yùn)行的程序通過一個(gè)或多個(gè)進(jìn)程實(shí)現(xiàn)，這些進(jìn)程在具有不同權(quán)限的環(huán)境中執(zhí)行，控制其可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件。進(jìn)程的行為通過其運(yùn)行時(shí)執(zhí)行的操作來體現(xiàn)，這些操作包括計(jì)算、文件傳輸、設(shè)備交互、與其他進(jìn)程的通信以及與網(wǎng)絡(luò)間其他進(jìn)程的通信。

(4)物理安全監(jiān)控。物理形式的入侵檢測(cè)包括兩個(gè)方面：一是監(jiān)測(cè)未授權(quán)網(wǎng)絡(luò)硬件的連接；二是監(jiān)控對(duì)未授權(quán)物理資源的訪問。黑客可能會(huì)嘗試突破網(wǎng)絡(luò)的物理防御，一旦他們能夠在物理上訪問內(nèi)部網(wǎng)絡(luò)，就能安裝自己的設(shè)備和軟件。因此，監(jiān)測(cè)并識(shí)別網(wǎng)絡(luò)上的不安全(未授權(quán))設(shè)備成為關(guān)鍵，以防止黑客利用這些設(shè)備訪問網(wǎng)絡(luò)。

對(duì)上述四類收集的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為信息，通常采用模式匹配技術(shù)、統(tǒng)計(jì)分析技術(shù)和完整性分析技術(shù)這三種技術(shù)手段進(jìn)行分析。其中前兩種技術(shù)手段主要用于實(shí)時(shí)入侵檢測(cè)，完整性分析主要用于事后分析。

(1)模式匹配技術(shù)。模式匹配就是將收集到的信息與預(yù)定義的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比對(duì)，從而發(fā)現(xiàn)違背安全策略的行為。該過程可簡(jiǎn)化為基本的字符串匹配，用于查找特定條目或指令；亦可復(fù)雜化為利用數(shù)學(xué)表達(dá)式來描述安全狀態(tài)的變化。一般來講，一種進(jìn)攻模式可以用一個(gè)過程(如執(zhí)行一條指令)或一個(gè)輸出(如獲得權(quán)限)來表示。模式匹配技術(shù)的優(yōu)勢(shì)在于僅需收集相關(guān)數(shù)據(jù)集合，顯著降低了系統(tǒng)開銷，且技術(shù)成熟度較高，檢測(cè)準(zhǔn)確率和效率與病毒防火墻方法相當(dāng)。然而，該技術(shù)需不斷更新以應(yīng)對(duì)新型攻擊手段，且無法檢測(cè)到未知的攻擊方式。

(2)統(tǒng)計(jì)分析技術(shù)。該技術(shù)首先為系統(tǒng)對(duì)象(如用戶、文件、目錄、設(shè)備等)建立統(tǒng)計(jì)特征，包括正常使用時(shí)的訪問次數(shù)、操作失敗次數(shù)、響應(yīng)時(shí)間等測(cè)量屬性。通過比較這些屬性的平均值與系統(tǒng)或網(wǎng)絡(luò)行為，任何偏離正常范圍的觀測(cè)值均被視為潛在入侵。例如，若某賬戶通常在晚八點(diǎn)至早六點(diǎn)不活躍，卻在凌晨?jī)牲c(diǎn)嘗試登錄，則可能被統(tǒng)計(jì)分析方法標(biāo)記為異常。其優(yōu)點(diǎn)在于能夠檢測(cè)未知和復(fù)雜的入侵，但缺點(diǎn)是誤報(bào)率和漏報(bào)率較高，且難以適應(yīng)用戶正常行為的突發(fā)性變化。其具體方法包括基于專家系統(tǒng)、模型推理和神經(jīng)網(wǎng)絡(luò)的分析等。

(3)完整性分析技術(shù)。完整性分析主要關(guān)注文件或?qū)ο笫欠癖桓?，通常涉及文件和目錄的?nèi)容及屬性檢查，對(duì)于識(shí)別被篡改或特洛伊化的應(yīng)用程序特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制——消息摘要函數(shù)(如MD5)，能識(shí)別微小的變化。其優(yōu)勢(shì)在于無論模式匹配或統(tǒng)計(jì)分析技術(shù)是否成功檢測(cè)到入侵，只要攻擊導(dǎo)致了文件或其他對(duì)象的任何更改，它都能發(fā)現(xiàn)。但是，該方法通常以批處理方式運(yùn)行，不適用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法仍是網(wǎng)絡(luò)安全的重要組成部分。例如，可以設(shè)定在每天特定時(shí)間啟動(dòng)完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面掃描。

3)訪問控制技術(shù)

訪問控制是指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段，通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全防范和資源保護(hù)的關(guān)鍵策略之一，也是主體依據(jù)某些控制策略或權(quán)限對(duì)本身或其資源進(jìn)行的不同級(jí)別的授權(quán)訪問。訪問控制的主要功能包括：一方面保證合法用戶訪問授權(quán)保護(hù)的網(wǎng)絡(luò)資源；另一方面防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源或防止合法用戶對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。

訪問控制模式主要有三類：強(qiáng)制訪問控制(MandatoryAccessControl，MAC)和自主訪問控制(DiscretionaryAccessControl，DAC)以及基于角色的訪問控制(Role-BasedAccessControl,RBAC)。MAC是由系統(tǒng)強(qiáng)制實(shí)施的，要求主體嚴(yán)格遵守既定的訪問控制策略。而DAC則是基于主體身份及其所屬組別對(duì)訪問權(quán)限進(jìn)行限定的一種方法，其特點(diǎn)在于訪問權(quán)限的自主性。基于自主訪問控制和強(qiáng)制訪問控制這兩種模式的改進(jìn)，產(chǎn)生了基于角色的訪問控制。

(1)強(qiáng)制訪問控制：在此模式下，由授權(quán)機(jī)構(gòu)為主體和客體分別定義固定的訪問屬性，且這些訪問權(quán)限不能由用戶修改。主體的權(quán)限反映了信任的程度，客體的權(quán)限則與其包含信息的敏感度一致。擁有相應(yīng)權(quán)限的用戶可訪問相應(yīng)級(jí)別的數(shù)據(jù)。強(qiáng)制訪問控制具有層次性，通過預(yù)先定義主體的可信任級(jí)別及客體(信息)的敏感程度(安全級(jí)別)，如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無密級(jí)等，結(jié)合主體和客體的級(jí)別標(biāo)記來決定訪問模式。此機(jī)制利用“上讀/下寫”原則來保證數(shù)據(jù)完整性，通過“下讀/上寫”原則來保證數(shù)據(jù)的保密性，實(shí)現(xiàn)信息的單向流通。強(qiáng)制訪問控制適用于多層次安全級(jí)別的軍事應(yīng)用，但實(shí)施復(fù)雜且管理煩瑣。

(2)自主訪問控制：在此模式下，由客體自主地確定各個(gè)主體對(duì)客體的直接訪問權(quán)限，通過訪問矩陣來描述。然而自主訪問控制僅能控制主體對(duì)客體的直接訪問，而不能控制間接訪問。另外，其訪問矩陣通常比較大，難以直接以矩陣形式實(shí)現(xiàn)，通常采用以下兩種方法：

①

訪問控制表(AccessControlList，ACL)：以客體為索引，每個(gè)客體對(duì)應(yīng)一個(gè)ACL，定義每個(gè)主體對(duì)其實(shí)施的操作。

②

容量表(CapabilityList，CL)：以主體為索引，每個(gè)主體對(duì)應(yīng)一個(gè)CL，定義對(duì)每個(gè)客體的訪問權(quán)限。

(3)基于角色的訪問控制：作為強(qiáng)制訪問控制和自主訪問控制的改進(jìn)版，基于角色的訪問控制根據(jù)用戶在系統(tǒng)中的角色分配訪問權(quán)限，角色可被定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。這需要兩種授權(quán)：

①

為每個(gè)客體的ACL定義每個(gè)角色允許的訪問模式；

②

為每個(gè)用戶授權(quán)特定角色。

4)防病毒技術(shù)

從反病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來講，防病毒技術(shù)可以直觀地分為計(jì)算機(jī)病毒預(yù)防技術(shù)、計(jì)算機(jī)病毒檢測(cè)技術(shù)及計(jì)算機(jī)病毒清除技術(shù)。

(1)計(jì)算機(jī)病毒預(yù)防技術(shù)。作為一種動(dòng)態(tài)判定及行為規(guī)則判定技術(shù)，計(jì)算機(jī)病毒預(yù)防依托特定的技術(shù)手段，旨在阻止計(jì)算機(jī)病毒對(duì)系統(tǒng)構(gòu)成的傳染與破壞。該技術(shù)通過對(duì)病毒規(guī)則進(jìn)行分類，并在程序運(yùn)行過程中識(shí)別并攔截符合這些規(guī)則的行為，從而有效防御病毒。具體來說，它涉及阻止病毒進(jìn)入系統(tǒng)內(nèi)存、阻斷病毒對(duì)磁盤的操作(尤其是寫操作)等策略。這一技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)、可執(zhí)行程序加密、讀寫控制以及系統(tǒng)監(jiān)控技術(shù)等多個(gè)方面。

(2)計(jì)算機(jī)病毒檢測(cè)技術(shù)。計(jì)算機(jī)病毒檢測(cè)技術(shù)主要包括兩大類型：一是基于特征分類的檢測(cè)技術(shù)，該技術(shù)根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征、程序段內(nèi)容、病毒特征及傳播方式、文件長(zhǎng)度的變化等信息建立檢測(cè)機(jī)制；二是非特定病毒的自身檢驗(yàn)技術(shù)，即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算，并保存其結(jié)果，以后定期或不定期地對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，可能感染了病毒。

(3)計(jì)算機(jī)病毒清除技術(shù)。作為病毒檢測(cè)技術(shù)發(fā)展的邏輯延伸，計(jì)算機(jī)病毒清除技術(shù)是病毒傳播過程的逆向操作。目前清除病毒大都是在某種病毒出現(xiàn)后，通過對(duì)其進(jìn)行分析研究而研發(fā)出具有相應(yīng)殺毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動(dòng)的，帶有滯后性，因此殺毒軟件有其局限性，對(duì)有些變種病毒的清除無能為力。

5)安全掃描技術(shù)

安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)協(xié)同運(yùn)作，互相配合，能夠增強(qiáng)網(wǎng)絡(luò)環(huán)境的安全性。安全掃描工具依據(jù)其應(yīng)用場(chǎng)景，通?？煞譃榛诜?wù)器和基于網(wǎng)絡(luò)的掃描器。

(1)基于服務(wù)器的掃描器：其設(shè)計(jì)與實(shí)現(xiàn)緊密貼合特定的服務(wù)器操作系統(tǒng)架構(gòu)，專注于對(duì)服務(wù)器相關(guān)的各類安全弱點(diǎn)進(jìn)行深度掃描。它主要掃描服務(wù)器相關(guān)的安全漏洞，如口令、文件、目錄和文件權(quán)限共享文件系統(tǒng)、敏感服務(wù)軟件、系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法及建議，以助力用戶及時(shí)修補(bǔ)安全漏洞。

(2)基于網(wǎng)絡(luò)的掃描器：其主要聚焦于對(duì)預(yù)設(shè)網(wǎng)絡(luò)域內(nèi)的各類網(wǎng)絡(luò)設(shè)備，如服務(wù)器、路由器、網(wǎng)橋、變換機(jī)、訪問服務(wù)器、防火墻等進(jìn)行全面的安全漏洞掃描。此外，該類掃描器還具備模擬攻擊測(cè)試的能力，能夠模擬各類潛在的攻擊行為，以評(píng)估目標(biāo)系統(tǒng)的實(shí)際防御效能。為確保掃描活動(dòng)的合法性與安全性，基于網(wǎng)絡(luò)的掃描器通常會(huì)預(yù)設(shè)使用范圍限制，如通過指定IP地址范圍或限制路由器跳數(shù)等方式，來實(shí)現(xiàn)對(duì)掃描范圍的精確控制。

6)零信任網(wǎng)絡(luò)

零信任網(wǎng)絡(luò)亦稱零信任架構(gòu)模型，是約翰·金德維格于2010年提出的。該模型代表了一種先進(jìn)的安全理念，其核心原則是摒棄對(duì)內(nèi)部或外部任何實(shí)體自動(dòng)信任的做法，要求在授權(quán)之前對(duì)所有試圖訪問系統(tǒng)的實(shí)體進(jìn)行嚴(yán)格的身份驗(yàn)證。在零信任網(wǎng)絡(luò)中，不存在默認(rèn)可信的設(shè)備接口，所有用戶流量均被視為不可信。

7)密碼技術(shù)

密碼技術(shù)是保障網(wǎng)絡(luò)空間數(shù)據(jù)安全的核心技術(shù)，也是網(wǎng)絡(luò)保密的基石。該技術(shù)不僅具備對(duì)涉密信息進(jìn)行加密的能力，還涵蓋了身份認(rèn)證、驗(yàn)證機(jī)制、數(shù)字簽名以及系統(tǒng)安全等多方面功能。密碼技術(shù)的運(yùn)用可以保證數(shù)據(jù)信息的機(jī)密性，能有效防止數(shù)據(jù)遭竊或篡改，從而維護(hù)網(wǎng)絡(luò)空間的整體安全。密碼技術(shù)主要分為以下幾類：

(1)對(duì)稱加密技術(shù)：亦稱單鑰密碼體系。在此體系中，信息的發(fā)送方與接收方共享一個(gè)密鑰，即對(duì)稱密鑰或會(huì)話密鑰，該密鑰既用于加密過程，也用于解密過程。典型的對(duì)稱加密算法包括DES、3DES、IDEA、RC4、RC5及AES等。

(2)非對(duì)稱加密技術(shù)：需使用一對(duì)密鑰，即加密密鑰與解密密鑰。這對(duì)密鑰相互依存，其中任一密鑰加密的信息僅能被另一密鑰解密。根據(jù)密鑰性質(zhì)，其中一個(gè)密鑰公開，稱為公鑰；另一個(gè)密鑰私密保存，稱為私鑰。公鑰常用于數(shù)據(jù)加密或簽名驗(yàn)證，而私鑰則用于數(shù)據(jù)解密或生成數(shù)字簽名。常用的非對(duì)稱加密算法有Diffie-Hellman、RSA、ELGamal、DSA及DSS等。

(3)?Hash函數(shù)：又稱散列函數(shù)或雜湊函數(shù)，是一種從明文到密文的不可逆映射機(jī)制。它通過單向運(yùn)算將任意長(zhǎng)度的信息轉(zhuǎn)換為固定長(zhǎng)度的Hash值(散列值或哈希摘要)，該值具有不可預(yù)測(cè)性、不可逆性及唯一性。對(duì)于需保密的數(shù)據(jù)，可利用Hash函數(shù)生成唯一性的散列值指紋，從而有效防止數(shù)據(jù)篡改。常見的Hash算法包括MD2、MD4、MD5、SHA系列及HAVAL等。

(4)?TLS技術(shù)：TLS即傳輸層安全(TransportLayerSecurity)協(xié)議，為互聯(lián)網(wǎng)通信提供安全性與數(shù)據(jù)完整性保障，確保通信應(yīng)用程序間的隱私及數(shù)據(jù)完整性。TLS廣泛應(yīng)用于瀏覽器、郵箱、即時(shí)通訊、互聯(lián)網(wǎng)電話及網(wǎng)絡(luò)傳真等方面。TLS由記錄協(xié)議與握手協(xié)議組成，前者基于傳輸控制協(xié)議(TCP)，利用AES或RC4等算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密，每次傳輸使用不同密鑰，確保傳輸私密性；后者位于記錄協(xié)議之上，負(fù)責(zé)服務(wù)器與客戶端間的相互認(rèn)證、加密算法及密鑰協(xié)商，具有節(jié)點(diǎn)認(rèn)證、防止中間人竊聽及篡改協(xié)商信息的能力。

(5)?VPN技術(shù)：VPN即虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)，是一種在不可信公共網(wǎng)絡(luò)上實(shí)現(xiàn)不同地理位置專用網(wǎng)絡(luò)安全通信的技術(shù)。VPN的核心在于利用加密隧道協(xié)議構(gòu)建隧道，封裝上層數(shù)據(jù)進(jìn)行傳輸，從而利用公共網(wǎng)絡(luò)架構(gòu)傳遞內(nèi)部通信信息。VPN通過加密隧道保證信息保密性、身份驗(yàn)證阻止身份偽造及完整性檢驗(yàn)應(yīng)對(duì)信息篡改，提供三重保護(hù)。目前，VPN使用的隧道協(xié)議包括PPTP、L2TP、IPSec及SSL等，分別工作于OSI模型的不同層次，滿足企業(yè)內(nèi)部通信的安全需求。

2.管理手段

網(wǎng)絡(luò)安全保密問題實(shí)質(zhì)上是一個(gè)多維度、深層次的綜合性管理問題，其復(fù)雜性和重要性要求我們必須構(gòu)建一套全面而嚴(yán)謹(jǐn)?shù)陌踩芾硪?guī)范體系。

1)構(gòu)建人員安全管理機(jī)制

人員安全管理是網(wǎng)絡(luò)安全管理的基礎(chǔ)，旨在確保所有涉及網(wǎng)絡(luò)操作的人員均具備相應(yīng)的安全意識(shí)和能力。具體而言，需建立健全以下制度：

(1)安全審查制度：對(duì)所有接觸敏感信息或關(guān)鍵系統(tǒng)的人員進(jìn)行嚴(yán)格的背景調(diào)查和安全審查，確保其無不良記錄，并符合既定的安全標(biāo)準(zhǔn)。

(2)崗位安全考核制度：將安全職責(zé)納入員工績(jī)效考核體系，定期評(píng)估員工在遵守安全政策、執(zhí)行安全操作等方面的表現(xiàn)，以激勵(lì)員工提升安全意識(shí)。

(3)安全培訓(xùn)制度：定期組織安全培訓(xùn)，涵蓋最新的安全威脅、防御策略、法律法規(guī)等內(nèi)容，確保員工知識(shí)更新，技能提升。

2)強(qiáng)化系統(tǒng)運(yùn)行環(huán)境安全管理

系統(tǒng)運(yùn)行環(huán)境的安全性直接關(guān)系到網(wǎng)絡(luò)服務(wù)的穩(wěn)定性和數(shù)據(jù)的完整性。因此，需建立以下管理制度：

(1)機(jī)房環(huán)境管理制度：確保機(jī)房的物理安全，包括門禁管理、溫濕度控制、消防系統(tǒng)等，以防范物理入侵和自然災(zāi)害。

(2)自然災(zāi)害防護(hù)機(jī)制：制定針對(duì)地震、洪水、火災(zāi)等自然災(zāi)害的應(yīng)急預(yù)案，確保在災(zāi)害發(fā)生時(shí)能夠迅速響應(yīng)，保護(hù)設(shè)備和數(shù)據(jù)安全。

(3)電磁波與磁場(chǎng)防護(hù)策略：對(duì)關(guān)鍵設(shè)備采取電磁屏蔽措施，防止外部電磁波干擾，確保系統(tǒng)穩(wěn)定運(yùn)行。

3)完善應(yīng)用系統(tǒng)運(yùn)營(yíng)安全管理

應(yīng)用系統(tǒng)作為網(wǎng)絡(luò)服務(wù)的核心，其安全性至關(guān)重要。需建立以下管理制度：

(1)操作安全管理：制定詳細(xì)的操作規(guī)程，確保所有操作均符合安全標(biāo)準(zhǔn)，減少人為誤操作帶來的風(fēng)險(xiǎn)。

(2)操作權(quán)限管理：實(shí)施基于角色的訪問控制，根據(jù)員工的職責(zé)和需要分配最小必要權(quán)限，防止權(quán)限濫用。

(3)操作規(guī)范管理：建立操作日志審計(jì)機(jī)制，記錄所有重要操作，以便追蹤和審計(jì)，及時(shí)發(fā)現(xiàn)并糾正異常行為。

(4)應(yīng)用軟件維護(hù)安全管理：定期更新應(yīng)用軟件，修復(fù)已知漏洞，同時(shí)實(shí)施嚴(yán)格的軟件安裝和配置變更管理，確保軟件環(huán)境的穩(wěn)定和安全。

綜上所述，建立健全的網(wǎng)絡(luò)安全管理規(guī)范體系需要從人員、環(huán)境、應(yīng)用等多個(gè)維度出發(fā)，形成一套全面、系統(tǒng)的安全管理體系，以有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。

3.宣傳教育

網(wǎng)絡(luò)的安全防范是一項(xiàng)綜合性的任務(wù)，它不僅依賴于先進(jìn)的技術(shù)手段和管理策略，還需要在法律、道德以及個(gè)人意識(shí)層面進(jìn)行全面提升。

1)強(qiáng)化法治宣傳教育與法律意識(shí)構(gòu)建

在網(wǎng)絡(luò)安全的防護(hù)體系中，法治宣傳教育扮演著至關(guān)重要的角色。它旨在通過廣泛而深入的普法活動(dòng)，提升全社會(huì)的網(wǎng)絡(luò)安全法律意識(shí)與安全素養(yǎng)。

(1)法治宣傳教育的深化：利用多元化渠道，如社交媒體、在線教育平臺(tái)、公共講座等，廣泛傳播網(wǎng)絡(luò)安全管理相關(guān)的法律法規(guī)，如網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法等，確保公眾對(duì)網(wǎng)絡(luò)安全法律框架有清晰的認(rèn)識(shí)。

(2)法律意識(shí)與責(zé)任感的提升：通過案例分析、法律解讀等形式，讓公眾了解網(wǎng)絡(luò)安全違法的嚴(yán)重后果，從而增強(qiáng)其自覺遵守網(wǎng)絡(luò)安全法律法規(guī)的自覺性和責(zé)任感。

(3)安全意識(shí)文化的培育：將網(wǎng)絡(luò)安全教育納入國(guó)民教育體系，從小培養(yǎng)學(xué)生的網(wǎng)絡(luò)安全意識(shí)，形成全社會(huì)共同關(guān)注、共同維護(hù)網(wǎng)絡(luò)安全的良好氛圍。

2)提升網(wǎng)絡(luò)安全管理者的風(fēng)險(xiǎn)意識(shí)與技術(shù)能力

網(wǎng)絡(luò)安全管理者作為網(wǎng)絡(luò)防護(hù)的第一道防線，其風(fēng)險(xiǎn)意識(shí)和技術(shù)能力的強(qiáng)弱直接影響到網(wǎng)絡(luò)安全防護(hù)的效果。

(1)風(fēng)險(xiǎn)意識(shí)的增強(qiáng)：通過專業(yè)培訓(xùn)、案例分享等方式，使網(wǎng)絡(luò)安全管理者深刻認(rèn)識(shí)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的嚴(yán)峻性和復(fù)雜性，從而在思想上時(shí)刻保持警惕，做到防患于未然。

(2)技術(shù)能力的提升：組織定期的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，涵蓋最新的網(wǎng)絡(luò)攻擊手段、防御策略、應(yīng)急響應(yīng)等方面，確保網(wǎng)絡(luò)安全管理者能夠熟練掌握并運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)和工具，提升網(wǎng)絡(luò)防護(hù)的實(shí)戰(zhàn)能力。

(3)安全策略的持續(xù)優(yōu)化：鼓勵(lì)網(wǎng)絡(luò)安全管理者根據(jù)最新的威脅情報(bào)和技術(shù)發(fā)展趨勢(shì)，不斷評(píng)估和優(yōu)化現(xiàn)有的網(wǎng)絡(luò)安全策略，確保安全防護(hù)體系的時(shí)效性和有效性。

綜上所述，網(wǎng)絡(luò)的安全防范需要法律、道德、個(gè)人意識(shí)與技術(shù)手段等多方面的協(xié)同努力。通過強(qiáng)化法治宣傳教育、提升網(wǎng)絡(luò)安全管理者的風(fēng)險(xiǎn)意識(shí)與技術(shù)能力，可以構(gòu)建一個(gè)更加安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

5.3.3網(wǎng)絡(luò)安全事件應(yīng)急處置方法

1.計(jì)算機(jī)病毒事件

1)判定方法

(1)硬盤容量分析：某些病毒通過自我復(fù)制機(jī)制占用大量硬盤空間，因此，監(jiān)測(cè)硬盤容量變化可作為初步判斷病毒感染的依據(jù)。

(2)進(jìn)程監(jiān)控：利用任務(wù)管理器等工具，檢查系統(tǒng)中是否存在異?；蛭粗M(jìn)程，這些進(jìn)程可能是病毒運(yùn)行的表現(xiàn)。

(3)注冊(cè)表審查：病毒通常會(huì)修改注冊(cè)表鍵值，以篡改系統(tǒng)默認(rèn)設(shè)置，如主頁、搜索引擎等，通過對(duì)注冊(cè)表的細(xì)致檢查，可以發(fā)現(xiàn)這些異常更改。

(4)內(nèi)存占用分析：病毒運(yùn)行可能占用大量系統(tǒng)內(nèi)存資源，導(dǎo)致系統(tǒng)性能下降，通過對(duì)內(nèi)存占用情況進(jìn)行的監(jiān)測(cè)，可以識(shí)別潛在的病毒活動(dòng)。

(5)啟動(dòng)項(xiàng)檢查：病毒可能修改磁盤引導(dǎo)信息或啟動(dòng)項(xiàng)配置，阻止系統(tǒng)正常啟動(dòng)，對(duì)啟動(dòng)項(xiàng)進(jìn)行全面檢查有助于發(fā)現(xiàn)此類問題。

(6)系統(tǒng)日志審計(jì)：系統(tǒng)日志記錄了系統(tǒng)中硬件、軟件問題及安全事件的詳細(xì)信息，通過分析系統(tǒng)日志，可以追蹤病毒活動(dòng)的軌跡。

(7)文件鏈接驗(yàn)證：病毒可能修改文件鏈接，導(dǎo)致文件無法訪問，檢查文件鏈接的完整性是識(shí)別病毒感染的另一途徑。

2)處理流程

(1)網(wǎng)絡(luò)隔離：一旦發(fā)現(xiàn)病毒，立即斷開受感染系統(tǒng)的網(wǎng)絡(luò)連接，防止病毒擴(kuò)散。

(2)數(shù)據(jù)備份：迅速備份重要文檔、郵件等數(shù)據(jù)，以防病毒破壞或加密導(dǎo)致數(shù)據(jù)丟失。

(3)初步殺毒：在受感染的系統(tǒng)環(huán)境下運(yùn)行殺毒軟件，進(jìn)行初步掃描和清除，但需注意，此步驟可能受限于病毒的活動(dòng)性。

(4)深度殺毒：使用干凈的系統(tǒng)啟動(dòng)盤啟動(dòng)系統(tǒng)，并在該環(huán)境下進(jìn)行徹底的病毒掃描和清除，以避免帶毒環(huán)境對(duì)殺毒效果的干擾。

(5)系統(tǒng)恢復(fù)：若殺毒無效，可考慮使用Ghost備份或分區(qū)表、引導(dǎo)區(qū)備份進(jìn)行系統(tǒng)恢復(fù)，以恢復(fù)到病毒感染前的狀態(tài)。

(6)密碼更新：處理完病毒后，及時(shí)更改所有與網(wǎng)絡(luò)相關(guān)的密碼，增強(qiáng)口令強(qiáng)度，防止病毒通過已泄露的憑據(jù)再次入侵。

2.蠕蟲事件

1)判定方法

(1)郵件審查：攻擊者常利用郵件附件作為蠕蟲傳播的媒介，因此需對(duì)郵件及其附件進(jìn)行細(xì)致審查。

(2)服務(wù)器檢查：針對(duì)網(wǎng)站服務(wù)器進(jìn)行深度檢查，以防蠕蟲藏匿于服務(wù)器內(nèi)部并篡改網(wǎng)頁文件，進(jìn)而感染訪問該網(wǎng)站的計(jì)算機(jī)。

(3)文件掃描：利用殺毒軟件或手動(dòng)方式檢查文件，以發(fā)現(xiàn)可能隱藏的蠕蟲。

(4)數(shù)據(jù)完整性驗(yàn)證：檢查關(guān)鍵數(shù)據(jù)文件是否丟失或受損，蠕蟲攻擊可能導(dǎo)致數(shù)據(jù)丟失或損壞。

(5)漏洞評(píng)估：對(duì)系統(tǒng)進(jìn)行緩沖區(qū)溢出漏洞評(píng)估，因?yàn)榫彌_區(qū)溢出是蠕蟲攻擊的常見手段。

(6)檢測(cè)技術(shù)運(yùn)用：采用先進(jìn)的檢測(cè)技術(shù)，如特征碼匹配、行為分析、蜜罐等，以識(shí)別蠕蟲的存在。

2)處理流程

(1)網(wǎng)絡(luò)共享禁用：立即取消所有不必要的網(wǎng)絡(luò)共享，以減少蠕蟲的傳播途徑。

(2)郵件清理：刪除所有來自未知來源或包含可疑附件的郵件。

(3)系統(tǒng)漏洞修補(bǔ)：及時(shí)修補(bǔ)所有已知的系統(tǒng)漏洞，以防止蠕蟲利用這些漏洞進(jìn)行攻擊。

(4)防火墻配置：配置防火墻以禁止除服務(wù)端口外的其他端口通信，切斷蠕蟲的傳輸和通信通道。

(5)入侵檢測(cè)與定位：利用入侵檢測(cè)系統(tǒng)(IDS)找到蠕蟲所在位置，并立即進(jìn)行刪除。

(6)程序關(guān)閉與刪除：刪除或關(guān)閉蠕蟲所依賴的程序，以切斷其傳播載體。

(7)服務(wù)器恢復(fù)：如果服務(wù)器受到蠕蟲感染，應(yīng)立即啟用備份服務(wù)器，并對(duì)受感染的服務(wù)器進(jìn)行格式化處理，再將數(shù)據(jù)從備份服務(wù)器恢復(fù)回來。

3.木馬事件

1)判定方法

(1)端口掃描：感染木馬病毒后，計(jì)算機(jī)的一個(gè)或多個(gè)網(wǎng)絡(luò)端口可能被非法打開，供黑客遠(yuǎn)程訪問。

(2)賬戶審計(jì)：惡意攻擊者常通過克隆賬戶來控制目標(biāo)計(jì)算機(jī)，具體手法包括激活系統(tǒng)中的默認(rèn)賬戶，并利用工具將其權(quán)限提升至管理員級(jí)別。

(3)引導(dǎo)區(qū)檢查：木馬病毒可能隱藏在系統(tǒng)引導(dǎo)區(qū)，隨系統(tǒng)啟動(dòng)而自動(dòng)執(zhí)行，或更改文件名以逃避檢測(cè)。

(4)代理服務(wù)檢測(cè)：部分木馬會(huì)啟用HTTP、SOCKET等代理服務(wù)功能，以進(jìn)行數(shù)據(jù)傳輸或遠(yuǎn)程控制。

(5)網(wǎng)絡(luò)流量分析：下載型木馬會(huì)秘密下載其他病毒程序或廣告軟件，用戶可通過關(guān)閉不必要的網(wǎng)絡(luò)應(yīng)用，觀察網(wǎng)絡(luò)流量異常來發(fā)現(xiàn)木馬。

(6)系統(tǒng)配置審查：注冊(cè)表、配置文件、驅(qū)動(dòng)程序等是木馬常用的隱蔽藏身之處，需進(jìn)行仔細(xì)檢查。

2)處理流程

(1)禁用未知服務(wù)：檢查并關(guān)閉可能由木馬病毒開啟的未知服務(wù)，阻止其運(yùn)行。

(2)賬戶鎖定與刪除：檢測(cè)到非法賬戶后，立即鎖定并刪除，防止其進(jìn)一步控制計(jì)算機(jī)。

(3)安全防護(hù)產(chǎn)品部署：使用殺毒軟件清除木馬病毒，同時(shí)啟用防火墻攔截惡意數(shù)據(jù)包。

(4)注冊(cè)表清理：刪除與木馬病毒相關(guān)的注冊(cè)表項(xiàng)，消除其留下的痕跡。

(5)啟動(dòng)項(xiàng)管理：刪除木馬病毒的啟動(dòng)文件，防止其隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行。

(6)系統(tǒng)升級(jí)與漏洞修補(bǔ)：及時(shí)更新系統(tǒng)補(bǔ)丁，修復(fù)已知的安全漏洞，提高系統(tǒng)防御能力。

(7)系統(tǒng)重裝：若上述措施均無法徹底清除木馬病毒，則考慮重裝操作系統(tǒng)以恢復(fù)系統(tǒng)安全。

4.僵尸網(wǎng)絡(luò)事件

1)判定方法

(1)網(wǎng)絡(luò)流量與帶寬監(jiān)測(cè)：僵尸網(wǎng)絡(luò)常發(fā)動(dòng)DoS/DDoS攻擊，通過控制僵尸主機(jī)在短時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量連接請(qǐng)求，從而耗盡帶寬資源和目標(biāo)主機(jī)資源，導(dǎo)致目標(biāo)主機(jī)無法響應(yīng)合法用戶的請(qǐng)求。

(2)郵件發(fā)送行為分析：僵尸網(wǎng)絡(luò)的另一種常見行為是大量發(fā)送垃圾郵件，因此，監(jiān)測(cè)計(jì)算機(jī)是否存在異常郵件發(fā)送行為是判斷其是否成為僵尸網(wǎng)絡(luò)的關(guān)鍵。

(3)?DNS查詢監(jiān)控：僵尸網(wǎng)絡(luò)在發(fā)動(dòng)攻擊時(shí)會(huì)產(chǎn)生大量異常的DNS查詢請(qǐng)求，對(duì)這些請(qǐng)求進(jìn)行監(jiān)控有助于發(fā)現(xiàn)潛在的僵尸網(wǎng)絡(luò)活動(dòng)。

(4)端口監(jiān)控：僵尸網(wǎng)絡(luò)會(huì)操縱僵尸主機(jī)開啟大量端口以進(jìn)行通信和控制，因此，監(jiān)控端口的開啟情況也是判斷僵尸網(wǎng)絡(luò)存在與否的重要手段。

2)處理流程

(1)掃描與隔離Web站點(diǎn)：利用Web過濾服務(wù)對(duì)Web站點(diǎn)進(jìn)行掃描，發(fā)現(xiàn)異常行為或已知惡意活動(dòng)后，立即將這些站點(diǎn)隔離，以防止其繼續(xù)傳播惡意代碼。

(2)更換瀏覽器：由于僵尸網(wǎng)絡(luò)往往針對(duì)特定瀏覽器進(jìn)行攻擊，因此，在檢測(cè)到僵尸網(wǎng)絡(luò)后，更換瀏覽器可以降低受害風(fēng)險(xiǎn)。

(3)禁用腳本：僵尸網(wǎng)絡(luò)常利用腳本進(jìn)行攻擊，因此，在緊急情況下，可以采取禁用腳本的措施來快速遏制僵尸網(wǎng)絡(luò)的擴(kuò)散。

(4)部署防御系統(tǒng)：采用入侵檢測(cè)和入侵防御系統(tǒng)(IDS/IPS)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)具有僵尸網(wǎng)絡(luò)特征的活動(dòng)后立即進(jìn)行阻止。

(5)使用補(bǔ)救工具：對(duì)于已經(jīng)感染僵尸網(wǎng)絡(luò)的計(jì)算機(jī)，使用專業(yè)的補(bǔ)救工具進(jìn)行清理，以消除隱藏的rootkit等惡意軟件感染。

(6)隔離網(wǎng)絡(luò)：在確認(rèn)計(jì)算機(jī)感染僵尸網(wǎng)絡(luò)后，應(yīng)立即斷開其網(wǎng)絡(luò)連接，以防止未感染的計(jì)算機(jī)受到進(jìn)一步感染。

5.網(wǎng)頁內(nèi)嵌惡意代碼

1)判定方法

(1)審查腳本程序：檢查JavaScript、Applet、ActiveX等腳本程序是否被篡改，以識(shí)別對(duì)IE瀏覽器、頁面文件、默認(rèn)主頁、標(biāo)題欄按鈕、非法鏈接及彈出頁面的惡意修改。

(2)監(jiān)控磁盤容量：觀察磁盤容量變化，以檢測(cè)惡意頁面可能下載的大量文件，包括潛在的格式化磁盤的惡意代碼。

(3)分析網(wǎng)絡(luò)流量：分析網(wǎng)絡(luò)流量，識(shí)別惡意頁面非法下載內(nèi)容導(dǎo)致的流量異常。

(4)審查注冊(cè)表：檢查注冊(cè)表是否被惡意代碼修改，包括主頁、默認(rèn)搜索引擎等關(guān)鍵設(shè)置。

(5)應(yīng)用檢測(cè)技術(shù)：采用基于特征碼、啟發(fā)式、行為式的檢測(cè)技術(shù)，以識(shí)別頁面中的惡意代碼。

2)處理流程

(1)升級(jí)瀏覽器與修補(bǔ)漏洞：升級(jí)瀏覽器版本，修補(bǔ)已知漏洞。

(2)部署網(wǎng)絡(luò)防火墻：安裝并配置網(wǎng)絡(luò)防火墻，阻止與惡意網(wǎng)頁的連接。

(3)清理注冊(cè)表：刪除惡意代碼在注冊(cè)表中留下的特殊ID及非法鏈接主鍵，恢復(fù)默認(rèn)設(shè)置。

(4)刪除腳本依賴程序：找到并刪除網(wǎng)頁腳本所依賴的程序。

(5)修復(fù)手工代碼：通過網(wǎng)頁代碼審查與手動(dòng)修復(fù)，清除惡意代碼。

(6)服務(wù)管理：查看并關(guān)閉可能被木馬病毒開啟的服務(wù)，以阻止其運(yùn)行。

6.拒絕服務(wù)攻擊事件

1)判定方法

(1)監(jiān)控CPU負(fù)載：檢查CPU負(fù)載，識(shí)別攻擊者發(fā)送的大量連接請(qǐng)求導(dǎo)致的CPU滿負(fù)荷運(yùn)轉(zhuǎn)。

(2)檢查內(nèi)存：觀察內(nèi)存資源使用情況，識(shí)別惡意程序?qū)е碌膬?nèi)存耗盡。

(3)測(cè)試網(wǎng)絡(luò)連接性：檢測(cè)服務(wù)器是否被攻擊者偽裝成合法用戶IP欺騙，導(dǎo)致與合法用戶的連接斷開。

(4)監(jiān)控網(wǎng)絡(luò)帶寬：分析網(wǎng)絡(luò)帶寬的使用情況，識(shí)別攻擊者利用簡(jiǎn)單帶寬傳輸大量數(shù)據(jù)導(dǎo)致的帶寬耗盡。

2)處理流程

(1)阻斷攻擊流量：從網(wǎng)絡(luò)流量中識(shí)別并阻斷攻擊流量。

(2)部署防護(hù)工具：在網(wǎng)絡(luò)邊界部署防護(hù)工具，阻斷內(nèi)外不同類型的拒絕服務(wù)攻擊。

(3)修補(bǔ)漏洞：針對(duì)語義類型的拒絕服務(wù)攻擊，通過修補(bǔ)系統(tǒng)漏洞來解決。

7.后門攻擊事件

1)判定方法

(1)啟動(dòng)項(xiàng)檢查：審查系統(tǒng)啟動(dòng)項(xiàng)，識(shí)別可疑的啟動(dòng)服務(wù)和路徑。

(2)端口監(jiān)聽：使用DOS命令監(jiān)聽本地開放端口，檢測(cè)反向連接的后門。

(3)文件MD5值比對(duì)：對(duì)照系統(tǒng)文件的MD5值，識(shí)別被修改的系統(tǒng)文件。

2)處理流程

(1)管理端口：關(guān)閉本機(jī)不用的端口或限制指定端口訪問。

(2)關(guān)閉服務(wù)：關(guān)閉不必要的服務(wù)，減少潛在攻擊面。

(3)監(jiān)控進(jìn)程：注意系統(tǒng)運(yùn)行狀況，終止不明進(jìn)程。

(4)安裝安全工具：使用安全工具，安裝并配置防火墻。

8.漏洞攻擊事件

1)判定方法

(1)應(yīng)用漏洞檢測(cè)工具：使用常見的防護(hù)軟件(如金山毒霸、瑞星防火墻、360安全衛(wèi)士等)進(jìn)行漏洞掃描檢測(cè)。

(2)模擬攻擊測(cè)試：對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行常見漏洞攻擊測(cè)試(如弱口令測(cè)試)，驗(yàn)證漏洞存在性。

(3)開放端口監(jiān)控：攻擊者可能掃描端口信息以查找漏洞，因此需監(jiān)控開放端口。

2)處理流程

(1)修復(fù)系統(tǒng)漏洞：修復(fù)已知系統(tǒng)漏洞，更新軟件補(bǔ)丁。

(2)升級(jí)系統(tǒng)：升級(jí)操作系統(tǒng)、中間件、數(shù)據(jù)庫等軟件版本，以減少漏洞。

(3)啟用防火墻：?jiǎn)⒂梅阑饓?，及時(shí)攔截利用協(xié)議漏洞的遠(yuǎn)程惡意請(qǐng)求。

(4)關(guān)閉漏洞服務(wù)：關(guān)閉存在漏洞的服務(wù)，以減少攻擊面。

(5)修改配置信息：修改配置信息，設(shè)置安全選項(xiàng)，提高系統(tǒng)安全性。

(6)加強(qiáng)訪問控制：加強(qiáng)訪問控制策略，限制不必要的訪問權(quán)限。

(7)開放端口管理：關(guān)閉或屏蔽不必要的開放端口。

9.信息篡改事件

1)判定方法

(1)人工對(duì)比分析：通過人工手段對(duì)比被檢測(cè)信息與原始樣本內(nèi)容，若存在差異，則判定為內(nèi)容被篡改。

(2)數(shù)據(jù)簽名驗(yàn)證：針對(duì)已簽名的數(shù)據(jù)，通過驗(yàn)證其簽名完整性，判斷數(shù)據(jù)是否遭受篡改。

(3)文件修改時(shí)間審計(jì)：檢查數(shù)據(jù)文件的修改時(shí)間記錄，若用戶在相關(guān)時(shí)間段內(nèi)未進(jìn)行合法修改，則可能表明發(fā)生了數(shù)據(jù)篡改事件。

2)處理流程

(1)停用篡改數(shù)據(jù)：立即停止使用被篡改數(shù)據(jù)的應(yīng)用，并啟用相應(yīng)的備份數(shù)據(jù)。

(2)恢復(fù)數(shù)據(jù)：使用數(shù)據(jù)恢復(fù)工具對(duì)被篡改的數(shù)據(jù)進(jìn)行恢復(fù)。

(3)恢復(fù)設(shè)置：對(duì)于網(wǎng)頁等內(nèi)容的篡改，可通過修改注冊(cè)表恢復(fù)默認(rèn)設(shè)置，如主頁等。

(4)找回與加固賬號(hào)：通過身份驗(yàn)證找回被篡改的賬號(hào)，并加強(qiáng)賬號(hào)的口令復(fù)雜度與安全性。

(5)更新密鑰與加密：及時(shí)更新密鑰，重新對(duì)數(shù)據(jù)進(jìn)行簽名，并采用更復(fù)雜的加密技術(shù)進(jìn)行保護(hù)。

10.網(wǎng)絡(luò)掃描竊聽事件

1)判定方法

(1)?IP請(qǐng)求分析：當(dāng)連續(xù)相同源地址的IP請(qǐng)求連接記錄超過預(yù)設(shè)閾值時(shí)，視為潛在的網(wǎng)絡(luò)掃描行為。通過對(duì)可疑IP地址的特定時(shí)間段內(nèi)所有連接記錄進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)掃描活動(dòng)。

(2)端口連接監(jiān)控：入侵者通過掃描目標(biāo)主機(jī)的開放端口來尋找漏洞，因此頻繁與主機(jī)端口建立連接是掃描行為的重要特征。通過監(jiān)控端口連接數(shù)量，可檢測(cè)網(wǎng)絡(luò)掃描行為。

(3)帶寬占用檢查：目標(biāo)主機(jī)被大量帶寬占用，表明該主機(jī)很有可能正在被監(jiān)聽。

2)處理流程

(1)關(guān)閉閑置端口：關(guān)閉閑置及存在潛在危險(xiǎn)的端口。

(2)屏蔽端口：當(dāng)檢測(cè)到端口掃描行為時(shí)，立即屏蔽該端口。

(3)部署防火墻：使用防火墻進(jìn)行網(wǎng)絡(luò)訪問控制，防止未經(jīng)授權(quán)的掃描與竊聽行為。

11.網(wǎng)絡(luò)釣魚事件

1)判定方法

(1)網(wǎng)站備案查詢：無法查詢到備案信息的網(wǎng)站可能是釣魚網(wǎng)站。

(2)郵件內(nèi)容分析：

①

郵件內(nèi)容審查：釣魚郵件通常要求受害者提供個(gè)人信息。

②

釣魚網(wǎng)站內(nèi)容比對(duì)：釣魚網(wǎng)站會(huì)模仿被仿冒對(duì)象的內(nèi)容，涉及虛假抽獎(jiǎng)、中獎(jiǎng)等活動(dòng)。

③

其他內(nèi)容檢查：釣魚網(wǎng)站在域名、商號(hào)、標(biāo)識(shí)等方面與被仿冒對(duì)象高度相似，以增加誤導(dǎo)性。

(3)安全證書驗(yàn)證：正規(guī)大型網(wǎng)站通常擁有非自簽名的可信安全證書，且網(wǎng)址以“https”開頭。

2)處理流程

(1)關(guān)閉瀏覽器：立即關(guān)閉訪問釣魚網(wǎng)站的瀏覽器。

(2)查殺木馬：使用安全軟件清理并查殺木馬病毒。

(3)修改賬號(hào)密碼：修改可能泄露的賬號(hào)密碼。

(4)舉報(bào)釣魚網(wǎng)站：向相關(guān)部門舉報(bào)釣魚網(wǎng)站。

(5)報(bào)警處理：情節(jié)嚴(yán)重時(shí)，立即向公安機(jī)關(guān)報(bào)案。

12.干擾事件

1)判定方法

(1)?Wi-Fi性能測(cè)試：通過測(cè)試上傳速度、下載速度以及ping測(cè)試，評(píng)估Wi-Fi速度和信號(hào)強(qiáng)度。使用無線信號(hào)分析器進(jìn)一步測(cè)試Wi-Fi信號(hào)強(qiáng)度，以區(qū)分正常的網(wǎng)絡(luò)擁塞與干擾攻擊。

(2)載波偵聽時(shí)間分析：獲取并分析載波偵聽時(shí)間的分布特性，當(dāng)出現(xiàn)干擾攻擊時(shí)，該特性會(huì)發(fā)生變化。

(3)網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控：使用嗅探工具(如kismet、wireshark)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包，檢測(cè)驗(yàn)證洪水攻擊、關(guān)聯(lián)洪水攻擊、射頻干擾攻擊等常見的干擾攻擊。

2)處理流程

(1)干擾識(shí)別：對(duì)附近的Wi-Fi設(shè)備進(jìn)行分析，識(shí)別干擾源及分析干擾產(chǎn)生的原因。

(2)信道切換：切換到另外的安全信道，盡量選擇頻段不相鄰的正交信道；

(3)空間退避：若切換信道后干擾仍存在，則移動(dòng)至干擾區(qū)域外，保持網(wǎng)絡(luò)連通性。

13.假冒事件

1)判定方法

(1)分析IP地址：攻擊者在假冒他人發(fā)布信息時(shí)，可能會(huì)泄露其IP地址。若該IP地址來源不明或與預(yù)期不符，則可視為身份假冒的線索。

(2)審查通信記錄：通過檢查相關(guān)當(dāng)事人與疑似假冒者的通信記錄(如QQ聊天記錄、郵件等)，分析是否存在詐騙行為。

(3)向被冒用者核實(shí)：對(duì)可疑信息保持警惕，并及時(shí)向被冒用者求證，以確認(rèn)信息的真實(shí)性。

2)處理流程

(1)緊急通知：通過安全渠道及時(shí)通知所有認(rèn)識(shí)的人，防止假冒者實(shí)施進(jìn)一步詐騙。

(2)賬戶更新與強(qiáng)化驗(yàn)證：更新個(gè)人賬戶信息，加強(qiáng)身份驗(yàn)證措施，防止攻擊者繼續(xù)冒用身份。

(3)個(gè)人信用查詢與配合調(diào)查：查詢個(gè)人身份證是否有違法記錄或不良信用記錄，如有，則積極配合相關(guān)部門追查冒用者并追究責(zé)任。

(4)公共部門管理加強(qiáng)：呼吁公共部門加強(qiáng)個(gè)人信息管理，嚴(yán)防個(gè)人信息倒賣等事件發(fā)生，并依法追究涉嫌信息買賣的責(zé)任人。

(5)?IP