為網路安全獻計獻策

A. 網路安全管理策略包括哪些內容

網路安全管理措施：

一、注重思想教育，著力提高網路安全保護的自覺性。

1、用思想教育啟迪；

2、用環境氛圍熏陶；

3、用各種活動深化。

二、建立完善機制，努力促進網路安全操作的規范性。

1、著眼全面規范，建立統攬指導機制；

2、著眼激發動力，健全責任追究機制；

3、著眼發展要求，建立研究創新機制。

三、緊扣任務特點，不斷增強網路安全管理的針對性。

1、加強網路信息安全檢查；

2、加強網路信息安全教育培訓；

3、加強網路信息日常維護管理。

B. 公民應如何為維護國家網路安全做貢獻

公民應該從自我學習、技術運用、社會監督三個方面來維護國家網路安全：

1. 自我學習，可以通過學習網站閱讀網路道德規范及網路文明公約，或者收看中央十二台法制頻道所播出的相關網路犯罪的節目，對日常上網行為進行反省。警惕周圍不安全的網路環境「擦亮慧眼，分清虛實世界」。
   

2. 技術運用，可以利用搜索引擎及部分相關資料，舉實例，如網頁木馬、惡意代碼、網路虛擬財產案、重要機構機密資料被竊等。刻苦鑽研網路技術，維護網路安全，增加各種網路知識，作為維護網路安全最好的武器。

3. 社會監督，多收看新聞，或者法制書籍的時候，可以看到許多網路犯罪的案例，比如：「破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑」等等案例。 了解這種行為會給社會生活，以及犯罪者本人帶來哪些危害。以前任為戒，不要犯下相似的錯誤，畢竟網路安全的維護，比僅僅需要政法，也需要每個公民出一份力。就算沒有維護的能力，起碼也不可以故意破壞，為他人為社會造成不必要的麻煩。
   
   

C. 網路安全的措施有哪幾點

計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。

1、保護網路安全。

網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。

2、保護應用安全。

保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。

雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。

3、保護系統安全。

保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。

(3)為網路安全獻計獻策擴展閱讀：

安全隱患

1、 Internet是一個開放的、無控制機構的網路，黑客（Hacker）經常會侵入網路中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓。

2、 Internet的數據傳輸是基於TCP/IP通信協議進行的，這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。

3、 Internet上的通信業務多數使用Unix操作系統來支持，Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。

4、在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協議中是憑著君子協定來維系的。

5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。

6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

D. 什麼是網路安全管理策略

在網路安全技術飛速發展的今天，只有將不同安全側重點的安全技術有效地融合起來，安全產品的性價比才能更高。目前，已有一些廠商在安全設備與安全策略管理、安全風險控制、集中安全審計等方面做了十分有效的工作。通過綜合分析，結合實際管理需求，我們認為以下幾項技術需要重點掌握：

協議聯通技術：目前國際上的網管軟體大多是基於SNMP設計的，一般只側重於設備管理，且編程復雜、結構單一，不利於大規模集成。如果用戶要管理各類網路設備、操作系統及安全產品，則要綜合使用諸如WBEM、UDDI和XML等協議與通信技術。因此應盡量提高各協議介面間的透明訪問程度，實現協議間的互聯互訪。

探頭集成技術：目前各安全子系統要對網路及用戶進行實時管理，大多採用用戶端安裝插件的技術，在多個子系統都需插件的情況下，可能產生沖突，且給用戶系統增加負擔，因此各廠商除提供必要的介面信息外，集成單位也應注意將各種信息技術進行融合，通過編程實現對各系統探頭的集成。

可視化管理技術：為了讓用戶更好地通過安全管理平台進行集中管理，用戶管理界面最好能夠提供直觀的網路拓樸圖，實時顯示整個網路的安全狀況，使用戶可以便捷地查看各安全產品組件的狀態、日誌以及信息處理結果，產生安全趨勢分析報表。因此可視化管理技術的研究與應用尤為重要。

事件關聯技術：由於從單獨的安全事件中很難發覺其它的攻擊行為，必須綜合多種安全設備的事件信息進行分析，才能得到准確的判斷。所以，事件關聯技術的研究和實現，可以大大提高安全管理平台綜合處理與智能處理的能力，提高管理平台分析及審計能力，更好地幫助網管人員進行網路安全的集中管控，發揮網路安全管理平台的重要作用。

事件過濾技術：一個安全事件有可能同時觸動多個安全單元，同時產生多個安全事件報警信息，造成同一事件信息「泛濫」，反而使關鍵的信息被淹沒。因此，事件過濾技術也是安全管理平台需要解決的一個重要問題。

快速響應技術：發生網路安全事件後，單靠人工處理可能會貽誤戰機，所以必須要開發快速響應技術，從而能使系統自動響應安全事件。如實現報警、阻塞、阻斷、引入陷阱，以及取證和反擊等。

E. 如何防範網路安全50字左右

1、禁用不必要的埠和協議，埠是與外部網路相連接的，它的正確配置與否直接影響到計算機的安全。例如伺服器，只安裝TCP／P協議，把其它不需要安裝的協議刪除。

2、不需耍文件和列印機共享的電腦，可以取消共享功能。及時更新微軟的系統補丁，這樣可以及時堵住系統漏洞，避免上網時給黑客乘虛而人。

3、數據加密技術，數據加密是將一個信息（明文）經過加密及加密函數轉換，轉換為沒有意義的另一個信息（密文）。解密的過程是接收方將密文還原為明文。信息安全最有效的手段是加密的密碼技術。解決信息安全的核心技術就是密碼技術。數據加密技術有加密演算法、密鑰長度、數字簽名和數字證書幾種。

4、防火牆技術，防火牆的含義是一個或一組系統，用於加強兩個不同之間網路的訪問控制，是兩個不同網路之間的網關。防火牆一般安裝在公網與內網之間，它是不同網路之間信息的唯一出人口，可制定相關的安全策略控制（如允許、拒絕、靜默等），具有較強的防攻擊能力。防火牆是提供信息安全服務，實現網路信息安全的基礎設施。防火牆主要分為軟體和硬體防火牆兩大類．

5、身份認證技術，一般包括身份認證和身份識別兩方面，它是確認通信雙方身份真實性的重要步驟。一般有一次性H令、數字簽名、數字認證、PAP認證、集中式安全伺服器等技術。

F. 當前網路安全的情況怎樣有什麼樣的對策

網路時代

不同的人往往從不同的角度將某個時期冠之以「XX時代」，用來強調某些事物或某些
人對社會的重要影響。這里所說的網路是指以計算機和其他電信設備為用戶終端，以現代
綜合電信網為傳輸鏈路，以交換設備和處理設備為結點，以多種多樣的信息為載荷的集合
。這種網路對當代社會的經濟、政治、文化、軍事和人們的生活等方面均產生了重大的影
響，所以越來越多的人認為我們的社會已經進入「網路時代」。

可從以下數據和事例中看出網路對社會產生的重大影響：

全球的Internet用戶已達5億多戶，中國則達4500多萬戶，而在Internet網之外還有相
當數量的專用網用戶。

全球已發現的計算機病毒超過4．5萬種，每年造成的經濟損失超過1．6萬億美元。

中國青年報2002年9月2日有兩篇關於網路的報道。一篇是說張小姐8月24日在雲南麗江
乘坐的旅遊車翻入山谷，張小姐第三腰椎壓縮性骨折，如不及時救治可能終身殘疾，其遠
在深圳的朋友上網求援，獲得民航的包機專運，使病人26日就轉至廣州中山附二醫院，27
日及時進行了手術，網路使她贏得了搶救的時間；另一篇是說7月23日11：15至12：30首都
國際機場因為網路故障而「癱瘓」使60個航班和6000多名旅客的飛行被延誤，還提到7月5
日深圳證券交易所因為網路故障而關停數小時的嚴重事故。

在網路時代，網路給社會帶來了前所未有的機遇和挑戰。網路的正常運行為社會帶來
了巨大的進步和財富，而網路的不安全性也會造成意想不到的災難和損失。網路正在加速
擴大覆蓋范圍、加速滲透到各個領域、加速改變傳統規則，我們只有努力提高網路的安全
性，趨利避害，才能與網路時代同步前進。

關於網路安全的主要觀點

網路安全的目標

保障網路的物理安全，對網路施以物理保護，防止遭到破壞。

保障網路的邏輯安全，即使用邏輯隔離以保證信息的機密性(confidentiality)、完整
性(integrity)、可用性(availability)、可控制性(controllability)、真實性(authent
icity)和不可抵賴性(non-repudiation)。機密性保證信息不會被未經授權的人所解讀；完
整性保證信息不會被增、刪、篡改和破壞；可用性保證信息確實為授權使用者正常運行；
可控性保證對網路和信息可實施安全監控；真實性保證接收到的信息確實是發信方發的而
不是假冒的；不可抵賴性保證發信方無法否認他發給收信方的信息，並可通過數字取證、
證據保全，使公證方和仲裁方方便介入，用法律管理網路。

保障網路的管理安全，首先是要選用可信任的人，其次是管理部門和管理人員要有足
夠的安全常識，制訂相應的法律、規章、制度，加強行政管理，預防為主。

安全不是絕對的

安全是一個與風險密切相關的概念，只有在一定風險程度范圍內的安全，而沒有絕對
的安全。

網路共享和網路威脅是一對公生體，網路開放、共享的程度越高，網路面臨的威脅就
越高。或者說，網路的可用性越高，網路的安全性就越低。網路存在安全漏洞是難免的，
網路的被攻擊是不可避免的，只是要把被攻破的幾率盡可能降低而已。

網路信息戰已現端倪

網路信息戰是指在網路里為爭奪制信息權而進行的軍事爭斗，目的是癱瘓敵方的指揮
自動化系統。

網路信息戰的作戰形式包括指揮控制戰、電子戰、情報戰、心理戰、黑客戰等。

1991年海灣戰爭中，美軍第一次將計算機病毒用於實戰並獲得了勝利，網路信息戰開
始應用於戰爭；此後，在南斯拉夫的科索沃戰爭、俄羅斯的車臣戰爭，2001年以中美戰機
相撞事件為導火索出現的中美黑客大戰，2001年發生在美國的「9．11」恐怖襲擊中，都有
網路信息戰的影子。

許多軍事專家已在潛心研究網路信息戰的方方面面，甚至將網路信息攻擊看作是現代
戰爭的殺手鐧。可以設想，在不久的將來，軍隊編制中出現網路戰分隊甚至網軍都是完全
可能的。

密碼技術是網路信息安全最核心最基本的技術

密碼的主要作用是將信息的密級屬性改變成公開屬性，使那些帶密級的信息可以在公
共網路中存放、傳輸和交換。

密碼技術可用於信息加密、信息認證、數字簽名、授權控制、加密隧道和密鑰管理等
方面，使截獲信息的人無法憑借現階段可獲得的計算資源進行破譯。

秘密全部寓於密鑰之中，這是編密者的基本信條，截獲者可以截取密文，但只要拿不
到密鑰，就應無法破譯。

編密有嚴格的程序和數學演算法，而破譯則要靠豐富的經驗、廣泛的聯想和恰當的技巧
了。世界上沒有不可破譯的密碼，而往往要受物力、財力、時間、條件的制約，「兩軍相
逢」只有智者勝了。

簡單的加密只能麻痹自己，方便敵人，還不如不加密。

網路安全不能一勞永逸

網路安全和網路威脅是一對矛盾，此消彼長，並在動態中發展，在斗爭中前進。

網路安全措施不是萬能的，但是沒有網路安全措施是萬萬不能的。

網路安全的重點在於提高網路的頑存性，允許某些非法入侵，允許部分組件受損、允
許某些部件的不可靠，但網路仍能在結構上合理配置資源和資源重組，仍可完成主要任務
。

網路安全要在定期的測評中運用最新技術成果不斷改進，不能一勞永逸。

網路安全的投資

網路安全產業包括安全設備和安全服務兩部分。安全設備包括防火牆、殺毒軟體、密
碼機、訪問控制、安全認證、加密隧道的構築等；安全服務包括安全咨詢、安全風險評估
、項目實施、整體解決方案、安全培訓、售後技術支援、產品更新換代等。

國際上網路安全產業的投資大約占網路產業的10%—15%，其中安全設備和安全服務的
投資比例接近於1：1，而且隨著時間的推移安全服務的投資比例還會增大。專家們預計不
久的將來就會出現「網上110」、「網上警察」和「網上急救隊」了。

做網路安全的理性用戶

理性用戶應該遵紀守法，貫徹執行相關的網路安全技術標准、規范；聽取專家咨詢建
議，制訂與網路發展協調的安全方案；精挑細選，掌握產品的真實性能指標；關注最新技
術，動態調整安全方案，備好安全應急措施。

網路安全的基本對策

建立網路安全的體系結構

網路安全的體系結構是一個理論基礎，可以使網路安全建設綱舉目張、有條不紊、全
面周到、相對完善。

國外的一些政府部門、研究機構和公司已經就網路安全體系結構提出了一些模型，趙
戰先生在其基礎上提出了適合中國國情的模型，即WPDRRC(預警、保護、檢測、反應、恢復
和反擊)。預警是指預測網路可能受到的攻擊，評估面臨的風險，為安全決策提供依據；保
護是指依據不同等級的安全要求，採用不同的保護等級；檢測是指動態、實時地查明網路
所受到的威脅性質和程度；反應是指對於危及安全的事件及時做出相應的處理，把危害減
至最低限度；恢復是指採用容錯、冗餘、替換、修復和一致性保證等技術使網路迅速恢復
正常工作；反擊是指具有犯罪取證能力和打擊手段。

專網與互聯網的隔離

2002年8月5日國家信息化辦公室發文要求、「電子政務網路由政務內網和政外網構成
，兩網之間有機隔離，政務外網與互聯網之間邏輯隔離。」其他部門和單位也有與此類似
的要求。

物理隔離，就是兩個網路之間不存在數據流，也不存在可以共享的存儲和信道。物理
隔離的實施方案有：支持雙主機、單終端的終端切換方案；雙硬碟、雙網卡的物理隔離方
案；具有雙網隔離功能的隔離網卡方案；外部網使用單獨硬碟，內部網使用伺服器端統一
存儲的隔離方案；後來又出現了雙主板、單CPU、通過硬體體系結構實現隔離的方案。用戶
可以靈活設計自己的物理隔離方案，但它仍然無法抵禦來自內部的無意疏忽和有意攻擊。

邏輯隔離，就是兩個網路之間只允許合法的數據交流，而不允許非法的數據流進入專
網。邏輯隔離可使用防火牆、網閘等來實現，例如校園網與互聯網通過防火牆來互聯，防
火牆可將互聯網上的色情、恐怖、邪教宣傳等信息拒之於校園網之外。但是防火牆是防外
不防內的，防火牆的標簽區分能力仍有大量的盲點，防火牆自身往往也存在漏洞使攻擊者
有隙而入，防火牆的過濾規則如果定義不恰當也會有「漏網之魚」，防火牆若不能適應新
的安全威脅即時升級和更新也將有名無實。

另外需要指出的是，為了安全關閉網路是因噎廢食；為了安全而與外部網物理隔絕，
會使內部網變成「信息孤島」，大大降低使用效能；採用相對完善的安全方案，使內部網
與外部網(包括互聯網)安全互聯，使專網用戶也能共享互聯網的豐富資源，這才是網路的
「大禹治水」之道，網路的發展是硬道理

防火牆技術

防火牆是一種按某種規則對專網和互聯網，或對互聯網的一部分和其餘部分之間的信
息交換進行有條件的控制(包括隔離)，從而阻斷不希望發生的網路間通信的系統。

防火牆可以用硬體、也可以用軟體、或用硬軟體共同來實現。防火牆按應用場合可分
為企業防火牆和個人防火牆，按技術原理可分為包過濾型和應用網關型，按工作模式可分
為網橋模式和路由模式。

防火牆可以為專網加強訪問控制、提供信息過濾、應用層的專用代理、日誌分析統計
報告、對用戶進行「鑰匙口令+防火牆一次性口令」的雙因於認證等功能。

防火牆的介入不應過多影響網路的效能，正常工作時應能阻擋或捕捉到非法闖入者，
特別是一旦防火牆被攻破時應能重新啟動並恢復到正常工作狀態，把對網路的破壞降至最
低限度。

訪問控制技術

訪問控制是一種確定進入網路的合法用戶對哪些網路資源(如內存、I／0、CPU、數據
庫等)享有何種授權並可進行何種訪問(如讀、寫、運行等)的機制。

訪問控制可分為身份訪問控制、內容訪問控制、規則訪問控制、環境訪問控制、數據
標簽等類型。

訪問控制的常用技術有通行字、許可權標記、安全標記、訪問控製表和矩陣、訪問持續
時間限制等。

訪問控制必須遵從最小特權原則，即用戶在其合法的訪問授權之外而無其他的訪問特
權，以保證有效防止網路因超許可權訪問而造成的損失。

值得指出的是，訪問控制的強度並不是很高的，也不會是絕對安全的，例如通行字一
般都很短且帶有一些人所共知的特徵，被猜中或攻破的可能性是較大的。

防病毒技術

計算機病毒是一種攻擊性程序，它可以修改其他程序或將自身的拷貝插入其他程序中
來感染計算機網路，病毒通常都具有破壞性作用，並通過網上信息交流而迅速傳播，進一
步破壞網上信息的完善性。

計算機病毒的特點是具有非授權的可執行性、隱蔽性好、感染性強、潛伏得深、破壞
性廣泛、有條件地觸發而發作、新病毒層出不窮等。

計算機病毒的危害多種多樣。病毒程序會消耗資源使網路速度變慢；病毒會干擾、改
變用戶終端的圖像或聲音，使用戶無法正常工作：有些病毒還會破壞文件、存儲器、軟體
和硬體，使部分網路癱瘓；有些病毒會在硬碟上設置遠程共享區，形成後門，為黑客大開
方便之門。

防病毒技術包括四個方面：病毒的檢測(查毒)，並可自動報警和攔截；病毒的清除(殺
毒)，清除力求干凈徹底、不傷害網路；網路的修復，依據相關線索搶救丟失的數據，使網
絡恢復正常工作；病毒的預防(免疫)，通常利用軟體補丁不斷彌補網路漏洞，以亡羊補牢
，同時要對殺毒軟體及時升級換代，保持其足夠的「殺傷力」。

網路病毒千奇百怪，分類方法繁多。按病毒的演算法分類則有伴隨性病毒(最早出現的一
種病毒)，「蠕蟲」型病毒(如1998年的莫里斯病毒)、寄生型病毒(新發現的病毒基本上都
是此類)，如幽靈病毒、裝甲病毒、行騙病毒、慢效病毒、輕微破壞病毒、噬菌體病毒、反
反病毒以及綜合性病毒等；而廣大網民容易理解的還是按應用場合分類為互聯網病毒、電
子郵件病毒、宏病毒、Windows病毒、DOS病毒、黑客程序以及其它應用性病毒。道高一尺
，魔高一丈，病毒功防戰中只能是「勇敢+智慧+堅韌」的一方取勝了。

入侵檢測技術

入侵檢測被認為是繼防火牆、信息加密之後的新一代網路安全技術。入侵檢測是在指
定的網段上(例如在防火牆內)及早發現具有入侵特徵的網路連接，並予以即時地報警、切
斷連接或其它處置。

入侵檢測與防火牆所監視的入侵特徵不同。防火牆監視的是數據流的結構性特徵，如
源地址、目的地址和埠號等，這些特徵一定會表示在數據流的特定位置上；而入侵檢測
監視的是體現在數據內容中的攻擊特徵，如數據流中出現大量連續的Nop填充碼，往往是利
用緩；中區溢出漏洞的攻擊程序所制，它們使數據流的內容發生了改變。但是還有一些入
侵不會導致數據流出現攻擊特徵字元串，而是體現為一種異常的群體行為模式，必須靠分
布式入侵檢測系統才能綜合分析而發現。

入侵檢測的難點在於：檢測耗費時間加響應耗費時間之和必須小於攻擊耗費時間，這
個時間隨著計算機速度的提高往往在μs級甚至於ns級；攻擊特徵成千上萬，既有已知的還
有未知的，入侵檢測的演算法也要隨之而改進：網路寬頻越來越大，網上數據流量已是天量
海量，檢測如此巨大的數據流真如「大海撈針」；入侵檢測要對非法入侵發現得及時、抓
住特徵、防止銷毀證據並做出反擊，是一場不折不扣的高科技戰爭。

虛擬安全專網(VPN)

VPN是指業務提供商利用公眾網(如互聯網)將多個用戶子網連接成一個專用網，VPN是
一個邏輯網路而非物理網路，它既擁有公眾網的豐富資源而又擁有專用網的安全性和靈活
性。

目前的公眾網都是基於IP網間協議的，為了解決IP數據流的安全問題，IETF(網際網路工
程工作組)制訂了一個Ipsec(IP安全標准)。Ipsec採用兩種安全機制：一個是AH(IP鑒別頭
)，它對IP數據進行強密碼校驗，進而提供數據完整性鑒別和源鑒別；另一個是ESP(IP數據
封裝安全凈荷)，它通過加密IP數據來提供數據完整性和保密性，ESP又分為隧道加密方式
(即對整個IP數據全加密)和IP數據凈荷加密方式兩類。

Ipsec是一種端到端的安全機制，Ipsec工作於互聯網協議的第三層即網間協議層，因
此位於第四層的TCP協議(即傳送控制協議)不用任何改變即可工作在Ipsec之上。

其它網路安全對策

除了上述幾條外，網路安全方面還應採用以下一些對策：

適當強度的密碼演算法，密碼始終是網路安全的基石，也是一切安全對策的核心；

採用安全性好的操作系統；

採用電磁防護措施，一方面要防止有用信息的電磁漏瀉發射，另一方面要採用抗電磁
干擾傳輸方式；

採用防雷電的保護措施；

採用適當的物理防護措施；

加強行政管理、完善規章制度、嚴格人員選任、法律介入網路等。

結束語

網路是我們馳騁的廣闊天地，而網路出口和IP地址為我們劃定了網路疆土。網路天地
里既充滿了各種各樣的有用資源，也暗藏著許多「殺機」，正在進行著一場沒有硝煙的戰
爭。「保存自己、消滅敵人」是我們的基本原則，為了實現網路安全，我們必須不斷學習
，與網路的發展同步前進；聽取和尊重專家的建議，慎重安全決策；綜合運用多種安全對
策，確保適度的網路安全；動態改進安全對策；努力占據安全的制高點。

G. 如何做好網路安全防護

一、做好基礎性的防護工作，伺服器安裝干凈的操作系統，不需要的服務一律不裝，多一項就多一種被入侵的可能性，打齊所有補丁，微軟的操作系統當然推薦 WIN2K3，性能和安全性比WIN2K都有所增強，選擇一款優秀的殺毒軟體，至少能對付大多數木馬和病毒的，安裝好殺毒軟體，設置好時間段自動上網升級，設置好帳號和許可權，設置的用戶盡可能的少，對用戶的許可權盡可能的小，密碼設置要足夠強壯。對於 MSSQL，也要設置分配好許可權，按照最小原則分配。最好禁用xp_cmdshell。有的網路有硬體防火牆，當然好，但僅僅依靠硬體防火牆，並不能阻擋 hacker的攻擊，利用反向連接型的木馬和其他的辦法還是可以突破硬體防火牆的阻擋。WIN2K3系統自帶的防火牆功能還不夠強大，建議打開，但還需要安裝一款優秀的軟體防火牆保護系統，我一般習慣用ZA，論壇有很多教程了。對於對互聯網提供服務的伺服器，軟體防火牆的安全級別設置為最高，然後僅僅開放提供服務的埠，其他一律關閉，對於伺服器上所有要訪問網路的程序，現在防火牆都會給予提示是否允許訪問，根據情況對於系統升級，殺毒軟體自動升級等有必要訪問外網的程序加到防火牆允許訪問列表。那麼那些反向連接型的木馬就會被防火牆阻止，這樣至少系統多了一些安全性的保障，給hacker入侵就多一些阻礙。網路上有很多基礎型的防護資料，大家可以查查相關伺服器安全配置方面的資料。

二、修補所有已知的漏洞，未知的就沒法修補了，所以要養成良好的習慣，就是要經常去關注。了解自己的系統，知彼知己，百戰百勝。所有補丁是否打齊，比如 mssql,server-U，論壇程序是否還有漏洞，每一個漏洞幾乎都是致命的，系統開了哪些服務，開了哪些埠，目前開的這些服務中有沒有漏洞可以被黑客應用，經常性的了解當前黑客攻擊的手法和可以被利用的漏洞，檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞，很多網站都是因為這個伺服器被入侵，如果我們作為網站或者伺服器的管理者，我們就應該經常去關注這些技術，自己經常可以用一些安全性掃描工具檢測檢測，比如X- scan，snamp, nbsi，PHP注入檢測工具等，或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞，這得針對自己的系統開的服務去檢測，發現漏洞及時修補。網路管理人員不可能對每一方面都很精通，可以請精通的人員幫助檢測，當然對於公司來說，如果系統非常重要，應該請專業的安全機構來檢測，畢竟他們比較專業。

三、伺服器的遠程管理，相信很多人都喜歡用server自帶的遠程終端，我也喜歡，簡潔速度快。但對於外網開放的伺服器來說，就要謹慎了，要想到自己能用，那麼這個埠就對外開放了，黑客也可以用，所以也要做一些防護了。一就是用證書策略來限制訪問者，給 TS配置安全證書，客戶端訪問需要安全證書。二就是限制能夠訪問伺服器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389埠改一下。當然也可以用其他的遠程管理軟體，pcanywhere也不錯。

四、另外一個容易忽視的環節是網路容易被薄弱的環節所攻破，伺服器配置安全了，但網路存在其他不安全的機器，還是容易被攻破，「千里之堤，潰於蟻穴 」。利用被控制的網路中的一台機器做跳板，可以對整個網路進行滲透攻擊，所以安全的配置網路中的機器也很必要。說到跳板攻擊，水平稍高一點的hacker 攻擊一般都會隱藏其真實IP，所以說如果被入侵了，再去追查的話是很難成功的。Hacker利用控制的肉雞，肉雞一般都是有漏洞被完全控制的計算機，安裝了一些代理程序或者黑客軟體，比如DDOS攻擊軟體，跳板程序等，這些肉雞就成為黑客的跳板，從而隱藏了真實IP。

五、最後想說的是即使大家經過層層防護，系統也未必就絕對安全了，但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80埠，如果服務方面存在漏洞的話，水平高的hacker還是可以鑽進去，所以最關鍵的一點我認為還是關注最新漏洞，發現就要及時修補。「攻就是防，防就是攻」 ，這個觀點我比較贊同，我說的意思並不是要去攻擊別人的網站，而是要了解別人的攻擊手法，更好的做好防護。比如不知道什麼叫克隆管理員賬號，也許你的機器已經被入侵並被克隆了賬號，可能你還不知道呢?如果知道有這種手法，也許就會更注意這方面。自己的網站如果真的做得無漏洞可鑽，hacker也就無可奈何了。

H. 對當前網路安全的認識和對策

最近幾年裡，網路攻擊技術和攻擊工具有了新的發展趨勢，使藉助Internet運行業務的機構面臨著前所未有的風險，本文將對網路攻擊的新動向進行分析，使讀者能夠認識、評估，並減小這些風險。

趨勢一：自動化程度和攻擊速度提高

攻擊工具的自動化水平不斷提高。自動攻擊一般涉及四個階段，在每個階段都出現了新變化。

掃描可能的受害者。自1997年起，廣泛的掃描變得司空見慣。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。

損害脆弱的系統。以前，安全漏洞只在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。目前，攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。

攻擊工具的協調管理。隨著分布式攻擊工具的出現，攻擊者可以管理和協調分布在許多Internet系統上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發動拒絕服務攻擊，掃描潛在的受害者，危害存在安全隱患的系統。

趨勢二：攻擊工具越來越復雜

攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測。攻擊工具具有三個特點：反偵破，攻擊者採用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多；動態行為，早期的攻擊工具是以單一確定的順序執行攻擊步驟，今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為；攻擊工具的成熟性，與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協議)等協議，從入侵者那裡向受攻擊的計算機發送數據或命令，使得人們將攻擊特性與正常、合法的網路傳輸流區別開變得越來越困難。

趨勢三：發現安全漏洞越來越快

新發現的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

趨勢四：越來越高的防火牆滲透率

防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，IPP(Internet列印協議)和WebDAV(基於Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火牆。

趨勢五：越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。由於攻擊技術的進步，一個攻擊者可以比較容易地利用分布式系統，對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續增加。

趨勢六：對基礎設施將形成越來越大的威脅

基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。

拒絕服務攻擊利用多個系統攻擊一個或多個受害系統，使受攻擊系統拒絕向其合法用戶提供服務。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜數據機、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。由於Internet是由有限而可消耗的資源組成，並且Internet的安全性是高度相互依賴的，因此拒絕服務攻擊十分有效。

蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用戶做某種事才能繼續繁殖的病毒不同，蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞，會使大量的系統在幾個小時內受到攻擊。一些蠕蟲病毒包括內置的拒絕服務攻擊載荷或Web站點損毀載荷，另一些蠕蟲病毒則具有動態配置功能。但是，這些蠕蟲病毒的最大影響力是，由於它們傳播時生成海量的掃描傳輸流，它們的傳播實際上在Internet上生成了拒絕攻擊，造成大量間接的破壞(這樣的例子包括：DSL路由器癱瘓；並非掃描本身造成的而是掃描引發的基礎網路管理(ARP)傳輸流激增造成的電纜調制解制器ISP網路全面超載)。

DNS是一種將名字翻譯為數字IP地址的分布式分級全球目錄。這種目錄結構最上面的兩層對於Internet運行至關重要。在頂層中有13個「根」名伺服器。下一層為頂級域名(TLD)伺服器，這些伺服器負責管理「.com」、「.net」等域名以及國家代碼頂級域名。DNS面臨的威脅包括：緩存區中毒，如果使DNS緩存偽造信息的話，攻擊者可以改變發向合法站點的傳輸流方向，使它傳送到攻擊者控制的站點上；破壞數據，攻擊者攻擊脆弱的DNS伺服器，獲得修改提供給用戶的數據的能力；拒絕服務，對某些TLD域名伺服器的大規模拒絕服務攻擊會造成Internet速度普遍下降或停止運行；域劫持，通過利用客戶升級自己的域注冊信息所使用的不安全機制，攻擊者可以接管域注冊過程來控制合法的域。

路由器是一種指揮Internet上傳輸流方向的專用計算機。路由器面臨的威脅有：將路由器作為攻擊平台，入侵者利用不安全的路由器作為生成對其他站點的掃描或偵察的平台；拒絕服務，盡管路由器在設計上可以傳送大量的傳輸流，但是它常常不能處理傳送給它的同樣數量的傳輸流，入侵者利用這種特性攻擊連接到網路上的路由器，而不是直接攻擊網路上的系統；利用路由器之間的信賴關系，路由器若要完成任務，就必須知道向哪裡發送接收到的傳輸流，路由器通過共享它們之間的路由信息來做到這點，而這要求路由器信賴其收到的來自其他路由器的信息，因此攻擊者可以比較容易地修改、刪除全球Internet路由表或將路由輸入到全球Internet路由表中，將發送到一個網路的傳輸流改向傳送到另一個網路，從而造成對兩個網路的拒絕服務攻擊。盡管路由器保護技術早已可供廣泛使用，但是許多用戶沒有利用路由器提供的加密和認證特性來保護自己的安全。