不必要的網路共享可以提高防範病毒的能力

A. 如何提高網路安全防範意識

1、接入公共場所WiFi時，應向相關服務人員確認WiFi名稱和WiFi密碼或其他WiFi連接認證方式，防範使用可能引起混淆的WiFi名稱騙取信任，避免接入未知來源的免費WiFi；
2、盡量不要在公共場所的WiFi下進行網銀支付、購物、收發涉密郵件、文件、手機炒股等操作，並妥善保存自己非常重要的私密或者隱私信息；
3、當不需要上網時，請及時關閉手機、筆記本電腦或iPad等的WiFi功能；
4、不要將手機設置為自動連接WiFi網路；
5、電腦、手機等終端的瀏覽器經常升級到官方最新版本，另外，安全防護類軟體也要及時更新。

B. 如何防範網路病毒

1、不點擊不明的網址或郵件、不掃描來歷不明的二維碼。較多木馬是通過網址鏈接、二維碼或郵件傳播，當收到來歷不明的郵件時，也不要隨便打開，應盡快刪除。智能客戶端不要隨意掃描未經認證的二維碼。

2、不下載非官方提供的軟體。如需下載必須常備軟體，最好找一些知名的網站下載，而且不要下載和運行來歷不明的軟體。而且，在安裝軟體前最好用殺毒軟體查看有沒有病毒，再進行安裝。

3、及時給操作系統打官方補丁包進行漏洞修復，只開常用埠。一般木馬是通過漏洞在系統上打開埠留下後門，以便上傳木馬文件和執行代碼，在把漏洞修復上的同時，需要對埠進行檢查，把可疑的埠封關閉，確保無法病毒無法傳播。

(2)不必要的網路共享可以提高防範病毒的能力擴展閱讀：

從網路病毒功能區分。可以分為木馬病毒和蠕蟲病毒。木馬病毒是一種後門程序，它會潛伏在操作系統中，竊取用戶資料比如QQ、網上銀行密碼、賬號、游戲賬號密碼等。蠕蟲病毒相對來說要先進一點，它的傳播途徑很廣，可以利用操作系統和程序的漏洞主動發起攻擊，每種蠕蟲都有一個能夠掃描到計算機當中的漏洞的模塊。

一旦發現後立即傳播出去，由於蠕蟲的這一特點，它的危害性也更大，它可以在感染了一台計算機後通過網路感染這個網路內的所有計算機，被感染後，蠕蟲會發送大量數據包，所以被感染的網路速度就會變慢，也會因為CPU、內存佔用過高而產生或瀕臨死機狀態。

C. 有新型病毒-我的殺毒軟體營運商剛發我的和YY們分享下！

是U盤傳播的啊，小心使用就是了

D. 電腦中病毒了怎麼辦

使用殺毒軟體全盤殺毒，檢測系統漏洞，再打開下載防護，強制掃描所有下載的文件。

若無效，備份重要數據後重裝系統。

預防中毒：
1 及時更新微軟補丁，建議您定期檢查系統更新，確保將您的系統版本更新至最新。

2 關閉不必要的網路埠和網路共享
關閉Windows系統不必要開放的埠，如：445、135、137、138、139等，關閉網路共享功能。

關閉網路共享：打開控制面板——網路和共享中心——更改適配器設置——右鍵點擊正在使用的網卡，然後點擊屬性——取消勾選Microsoft網路文件和列印機共享——確定——重啟系統。

3 請勿點擊不明來源的鏈接
不要打開陌生文件，包括但不限於來自郵件、聊天軟體、網路下載的exe可執行文件或奇怪後綴的文件（有些狡猾的病毒偽裝成常見文件的圖標，比如PDF或Word，卻依然是exe後綴，比如 .pdf.exe）。
4 及時備份重要數據資料
如果還未感染的用戶，可以立即用U盤或者各類網盤工具將重要資料進行備份。平時，也建議大家定期備份重要數據，以確保信息安全。

E. 我們應該怎樣防範計算機病毒

一、加強網路安全意識

要充分意識到網路安全的重要性，掌握基本的網路知識，具備一定的網路安全技術。安裝殺毒軟體並按時升級，及時查殺病毒、木馬等存在惡意風險的軟體，使用移動存儲設備前先查殺病毒，不隨意下載與工作、學習、生活無關的軟體。

二、養成良好的計算機使用規范

要對計算機進行定期的病毒掃描和查殺；對來歷不明的軟體、郵件或附件等不要隨意打開，最好是立即刪除；不要訪問不了解的網站及有誘惑力名稱的網頁；在需要安裝相關軟體時，一定要從可靠的渠道進行下載；對於移動存儲設備，不要隨意共享，使用前要及時查殺病毒；在進行網頁上的廣告，不要隨意點擊；在傳送文件前後，都要對文件進行查殺病毒。總之，養成良好的安全使用規范，是避免和杜絕計算機病毒的最好方法。

三、掌握必要的反病毒技術

現在的反病毒技術主要有實時監視技術、自動解壓技術和全平台反病毒技術，成熟的反病毒技術已經可以對已知的病毒進行徹底防禦和殺除。

同時，對於一些特殊性質的病毒要有選擇性和針對性的處理，如多數的病毒都是文件型的，在利用殺毒軟體不能將文件清除干凈的情況下，可以選擇在網路連接斷開、DOS模式下進行病毒查殺，或者利用備份文件替換已感染病毒的文件。具備了基本的、必要的反病毒技術，及時地對計算機病毒進行處理，保護計算機的安全。

計算機病毒的六大特徵

1、繁殖性：計算機病毒可以像生物病毒一樣進行繁殖，當正常程序運行時，它也進行運行自身復制，是否具有繁殖、感染的特徵是判斷某段程序為計算機病毒的首要條件。

2、破壞性：計算機中毒後，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞。破壞引導扇區及BIOS，硬體環境破壞。

3、傳染性：計算機病毒傳染性是指計算機病毒通過修改別的程序將自身的復製品或其變體傳染到其它無毒的對象上，這些對象可以是一個程序也可以是系統中的某一個部件。

4、潛伏性：計算機病毒潛伏性是指計算機病毒可以依附於其它媒體寄生的能力，侵入後的病毒潛伏到條件成熟才發作， 會使電腦變慢。

5、隱蔽性：計算機病毒具有很強的隱蔽性，可以通過病毒軟體檢查出來少數，隱蔽性計算機病毒時隱時現、變化無常，這類病毒處理起來非常困難。

6、可觸發性：編制計算機病毒的人，一般都為病毒程序設定了一些觸發條件，例如，系統時鍾的某個時間或日期、系統運行了某些程序等。一旦條件滿足，計算機病毒就會「發作」，使系統遭到破壞。

F. 中毒的華碩筆記本如何能解決好

先殺毒

步驟：

1，點擊左下角的開始菜單，在彈出的菜單中選擇設置

2，彈出設置窗口

3，下拉設置窗口的滾動條，找到更新和安全圖標，點擊該圖標

8，開始快速掃描和查殺病毒。

如何防範病毒?
1、 安裝防病毒軟體，且開機後讓防病毒程序保持常駐
2、 僅開啟來自信任來源以及預期的電子郵件或實時通訊附件
3、 在開啟電子郵件附件之前，先以防病毒軟體進行掃描
4、 刪除所有來路不明的郵件，而不要開啟
5、不要點選不明人士所傳送的網頁鏈接
6、 如果好友清單上的人員傳送怪異訊息、檔案或網站鏈接，請勿點選且終止通訊
7、 先利用防病毒軟體掃描所有檔案，再傳輸至您的系統
8、 不傳輸來源不明的檔案
9、 使用防病毒軟體來攔截所有來路不明的離埠通訊
10、將安全修正程序保持在最新狀態

G. 如何提高共享文件的安全，可以從哪些方面入手

在企業的網路中，最常用的功能莫過於「共享文件」了。財務部門需要當月員工的考勤信息，人事部門可能不會親自拿過去，而是在網路上共享；生產部門的生產報表也不會用書面的資料分發，而是放在網路的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多。
可見，共享文件的功能，提高了企業辦公的效率，使企業區域網應用中的一個不可缺的功能。但是，由於共享文件夾管理不當，往往也給企業帶來了一些安全上的風險。如某些共享文件莫名其妙的被刪除或者修改；有些對於企業來說數據保密的內容在網路上被共享，所有員工都可以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。
一、實時查看誰在訪問我的共享文件
第二步：依次選擇「系統工具」、共享文件夾、打開文件，此時，在窗口中就會顯示本機上的一些共享資源，被哪些電腦在訪問。同時，在這個窗口中還會顯示一些有用的信息，如其打開了哪一個共享文件；是什麼時候開始訪問的；已經閑置了多少時間。也就是所，只要其打開了某個共享文件夾，即使其沒有打開共享文件，也會在這里顯示。
另外，我們有時候可能出於某些目的，如員工可能認為不能讓這個人訪問這個文件。此時，我們就可以直接右鍵點擊這個會話，然後從快捷菜單中選擇關閉會話，我們就可以阻止這個用戶訪問這個共享文件，而不會影響其他用戶的正常訪問。
二、設置共享文件夾時，最好把文件與文件夾設置為只讀
在大部分時候，用戶都只需要查看或者復制這個共享文件即可，而往往不會在共享文件夾上進行直接修改。但是，有些員工為了貪圖方便，就直接以可讀寫的方式共享某個文件夾以及文件。這是非常危險的。
一方面，這些不受限制的共享文件家與共享文件成為了病毒傳播的載體。筆者在工作中發現，有些用戶在共享文件的時候，沒有許可權限制。一段時間後，再去看這個共享文件，發現有些共享文件或者共享文件夾中有病毒或者木馬的蹤影。原來由於這個共享文件夾有寫的許可權，所以，其他用戶如何打開這個文件，恰巧這台電腦中有病毒或者木馬的話，就會傳染給這個共享文件夾。從而讓其他訪問這個共享文件夾的電腦也中招。可見，沒有保護措施的共享文件夾以及裡面的共享文件，已經成為了病毒傳播的一個很好的載體。
另一方面，當數據非法更改時，很難發現是誰在惡作劇。雖然可以通過相關的日誌信息可以查詢到有哪些人訪問過這個共享文件，以及是否進行了更改的動作。但是，光憑這些信息的話，是不能夠知道這個用戶對這個共享文件夾作了哪些更改。有時候，我們打開一個共享文件，會不小心的按了一個空格鍵或者一個字元鍵，不小心的把某個字覆蓋了，等等。這些情況在實際工作中經常會遇到。有時候，即使找到了責任人，他也不知道到底修改了哪些內容。所以，當把共享文件設置為可寫的話，則很難防止員工有意或者無意的更改。
第三，若以可寫的方式共享文件的話，可能無法保證數據的統一。如人事部門以可讀寫的方式共享了一個考勤文件。此時，若財務部門修改了這個文件，而人事部門並不知道。因為財務人員可能忘記告訴了人事部門，此時，就會導致兩個部門之間的數據不一致，從而可能會造成一些不必要的麻煩。而且，由於沒有相關的證據，到時候誰對誰錯，大家都說不清楚。
為了解決這些問題，筆者建議企業用戶，在共享文件夾的時候，最好把文件夾的許可權設置為只讀。若這個共享文件夾有時候其他用戶需要往這個文件夾中存文件，不能設置為只讀。那我們也可以把共享文件夾中的文件設置為只讀。如此的話，由於文件夾為只讀的，則病毒、木馬也就不能夠感染這些文件夾，從而避免成為散播病毒的污染源；而且，也可以防止用戶未經授權的更改，從而導致數據的不統一等等。
三、建立文件共享伺服器，統一管理共享文件的訪問許可權
另外，若把企業的共享文件分散在各個用戶終端管理的話，有一個問題，就是用戶對於共享操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個統一的文件共享安全策略。如分散在用戶主機的共享文件，員工一般不會定期對其進行備份，以防止因為意外損害而進行及時恢復；一般也不會設置具體的訪問許可權，如只允許一些特定的員工訪問等等。因為這些操作的話，一方面可能需要一些專業知識，另一方面，設置企業也比較繁瑣。所以，即使我們出了相關的制度，但是，員工一般很難遵守。
所以，筆者建議，在一些有條件的企業，部署一個文件共享伺服器，來統一管理共享文件。採取這種策略的話，有如下好處。
一是可以定時的對共享文件進行備份，從而減少因為意外修改或者刪除而導致的損失。若能夠把共享文件夾都放在文件伺服器上，則我們就可以定時的對文件伺服器上的文件進行備份。如此的話，即使因為許可權設置不合理，導致文件被意外修改或者刪除；有時會，員工自己也會在不經意中刪除不該刪的文件，遇到這種情況的時候，則我們可以通過文件恢復作業，把原有的文件恢復過來，從而減少這些不必要的損失。
二是可以統一制定文件訪問許可權策略。在共享文件伺服器上，我們可以根據各個員工的需求，在文件服務中預先設置一些文件夾，並設置好具體的許可權。如此的話，放到共享文件伺服器中的文件就自動繼承了文件伺服器文件夾的訪問許可權，從而實現統一管理文件訪問許可權的目的。如對於一些全公司都可以訪問的行政通知類文件，我們可以為此設立一個通知類文件夾，這個文件夾只有行政人員具有讀寫許可權，而其他職工都只有隻讀許可權。如此的話，其他員工就不能夠對這些通知進行更改或者刪除。所以，對共享文件夾進行統一的管理，可以省去用戶每次設置許可權的麻煩，從而提高共享文件的安全性。
三是可以統一進行防毒管理。對於共享文件來說，我們除了要關心其數據是否為泄露或者非法訪問外，另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業網路安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業網路中為非作歹。而我們若能夠在企業中統一部署文件伺服器，則我們就可以利用下班的空閑時間，對文件伺服器上的共享文件統一進行殺毒，以保證共享文件伺服器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。
綜上所述，共享文件夾以及共享文件的安全性問題，是企業網路安全管理中的一個比較薄弱的環節，但是，又是一個十分重要的環節。筆者相信，做好這件工作，必定可以提高企業網路的利用價值，減少網路安全事故。

H. 網路安全知識競賽判斷題附答案

網路安全知識競賽判斷題附答案 篇1

判斷題：

1、漏洞是指任何可以造成破壞系統或信息的弱點。（對）

2、安全審計就是日誌的記錄。（錯）

3、格式化過後的計算機，原來的數據就找不回來了。（錯）

4、密碼保管不善屬於操作失誤的安全隱患。（錯）

5、計算機病毒是計算機系統中自動產生的。（錯）

6、對於一個計算機網路來說，依靠防火牆即可以達到對網路內部和外部的安全防護。（錯）

7、網路安全應具有以下四個方面的特徵：保密性、完整性、可用性、可查性。（錯）

8、最小特權、縱深防禦是網路安全原則之一。（對）

9、安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息加密策略和網路安全管理策略。（對）

10、用戶的密碼一般應設置為16位以上。（對）

11、開放性是UNIX系統的一大特點。（對）

12、防止主機丟失屬於系統管理員的安全管理范疇。（錯）

13、我們通常使用SMTP協議用來接收E—MAIL。（錯）

14、在堡壘主機上建立內部DNS伺服器以供外界訪問，可以增強DNS伺服器的安全性。（錯）

15、為了防禦網路監聽，最常用的方法是採用物理傳輸。（錯）

16、使用最新版本的網頁瀏覽器軟體可以防禦黑客攻擊。（對）

17、通過使用SOCKS5代理伺服器可以隱藏QQ的真實IP。（對）

18、一但中了IE窗口炸彈馬上按下主機面板上的Reset鍵，重起計算機。（錯）

19、禁止使用活動腳本可以防範IE執行本地任意程序。（對）

20、只要是類型為TXT的文件都沒有危險。（錯）

21、不要打開附件為SHS格式的文件。（對）

22、發現木馬，首先要在計算機的後台關掉其程序的運行。（對）

23、限制網路用戶訪問和調用cmd的許可權可以防範Unicode漏洞。（對）

24、解決共享文件夾的安全隱患應該卸載Microsoft網路的文件和列印機共享。（對）

25、不要將密碼寫到紙上。（對）

26、屏幕保護的密碼是需要分大小寫的。（對）

27、計算機病毒的傳播媒介來分類，可分為單機病毒和網路病毒。（對）

28、木馬不是病毒。（對）

29。復合型防火牆防火牆是內部網與外部網的隔離點，起著監視和隔絕應用層通信流的作用，同時也常結合過濾器的功能。（對）

30、非法訪問一旦突破數據包過濾型防火牆，即可對主機上的軟體和配置漏洞進行攻擊。（錯）

31、ATM技術領先於TCP/IP技術，即將取代IP技術，實現語音、視頻、數據傳輸網路的三網合一。（錯）

32、Internet設計之初，考慮了核戰爭的威脅，因此充分考慮到了網路安全問。（錯）

33、我的計算機在網路防火牆之內，所以其他用戶不可能對我計算機造成威脅。（錯）

34、Internet沒有一個集中的管理權威。（對）

35、統計表明，網路安全威脅主要來自內部網路，而不是Internet。（對）

36、只要設置了足夠強壯的口令，黑客不可能侵入到計算機中。（錯）

37、路由器在轉發IP分組時，一般不檢查IP分組的源地址，因此可以偽造IP分組的源地址進行攻擊，使得網路管理員無法追蹤。（對）

38、發起大規模的DDoS攻擊通常要控制大量的中間網路或系統。（對）

39、路由協議如果沒有認證功能，就可以偽造路由信息，導致路由表混亂，從而使網路癱瘓。（對）

40、目前入侵檢測系統可以及時的阻止黑客的`攻擊。（錯）

41、TCSEC是美國的計算機安全評估機構和安全標准制定機構。（對）

42、蠕蟲、特洛伊木馬和病毒其實是一回事。（錯）

43、只要選擇一種最安全的操作系統，整個系統就可以保障安全。（錯）

44、在計算機系統安全中，人的作用相對於軟體，硬體和網路而言，不是很重要。（錯）

45、在設計系統安全策略時要首先評估可能受到的安全威脅。（對）

46、安裝系統後應當根據廠商或安全咨詢機構的建議對系統進行必要的安全配置。（對）

47、系統安全的責任在於IT技術人員，最終用戶不需要了解安全問題。（錯）

48。網路的發展促進了人們的交流，同時帶來了相應的安全問題。（錯）

49。具有政治目的的黑客只對政府的網路與信息資源造成危害。（錯）

50、病毒攻擊是危害最大、影響最廣、發展最快的攻擊技術。（錯）

51、黑色星期四"是因有人通過BELL實驗室與Internet連接的有漏洞的機器上放置了一個蠕蟲程序而引起網路災難得名的。（錯）

52、郵件的附件如果是帶有exe、com、pif、pl、src和vbs為後綴的文件，應確定其安全後再打開。（對）

53、在信息戰中中立國的體現要比非信息戰簡單。（錯）

54、信息戰的軍事目標是指一個國家軍隊的網路系統、信息系統、數據資源。（錯）

55、計算機信息系統的安全威脅同時來自內、外兩個方面。（對）

56、小球病毒屬於引導型病毒。（對）

57、公安部公共信息網路安全監察部門主管全國的計算機病毒防治管理工作。（對）

58、計算機病毒防治產品實行銷售許可證制度。（對）

59、計算機病毒防治產品分為三級，其中三級品為最高級。（錯）

60，刪除不必要的網路共享可以提高防範病毒的能力。（對）

61、外單位人員如可以隨意接入奇瑞公司內網。（錯）

62、計算機犯罪是行為人以計算機為工具或以計算機資產為犯罪對象實施的，依照我國刑法應受處罰的，具有社會危害性的行為。（對）

63、計算機數據恢復在實際生活當中可以百分百恢復。（錯）

64、違反國家法律、法規的行為，危及計算機信息系統安全的事件，稱為計算機案件。（對）

65、網路安全工程實施的關鍵是質量，而質量的關鍵是服務的長期保障能力。（對）

66、網路安全服務的開展與網路安全防範是一對矛盾。（對）

67、網路安全邊界防範的不完備性僅指防外不防內。（錯）

網路安全知識競賽判斷題附答案 篇2

1、信息安全屬性中的可審查性也稱為不可否認性。（y）

2、當網路中發生了ARP欺騙攻擊時，可以利用SinfferPro軟體來清除。（n）

3、物理安全即物理隔離。（y）

4、物理安全是絕對安全的一項網路安全技術。（n）

5、使用IP切換軟體的「一機一網」方案屬於一種准物理隔離方式。（n）

6、木馬有時稱為木馬病毒，但卻不具有計算機病毒的主要特性。（n）

7、只要是計算機病毒，在任何時候都具有破壞性。（y）

8、包過濾防火牆一般工作在OSI參考模型的網路層與傳輸層，主要對IP分組和TCP/UDP埠進行檢測和過濾操作。（y）

9、要實現DDos攻擊，攻擊者必須能夠控制大量的計算機為其服務。（n）

10、單鑰加密系統可分為序列密碼和分組密碼兩種類型。（y）

11、序列密碼屬於對稱加密方式。（y）

12、IDS是IntrusionDetectionSystem的縮寫，即入侵檢測系統，主要用於檢測Hacker或Cracker通過網路進行的入侵行為。其作用與部署位置與IPS完全相同（n）

13、網路地址轉換是一種在IP封包通過路由器或防火牆時重寫源IP地址或/和目的IP地址的技術。（y）

14、在中國使用的第2代移動通信系統主要有GSM和CDMA。(y)

15、IPS是IDS的替代產品。（y）

16、在安全威脅中，竊取和竊聽是同一種威脅行為的不同說法。（n）

17、第三代移動通信技術（3rd-generation，3G），是指支持高速數據傳輸的蜂窩移動通訊技術。3G服務能夠同時傳送聲音及數據信息，速率一般在幾百kbps以上。目前3G存在四種標准：CDMA2000，WCDMA，TD-SCDMA，WiMAX。(n)

18、物理安全是整個信息安全的基礎。（y）

19、物理安全是絕對安全的一項網路安全技術。（n）

20、使用物理隔離卡的物理隔離方案是絕對安全的。（n）

21、間諜軟體具有計算機病毒的所有特性。（n）

22、計算機病毒不影響計算機的運行速度和運算結果。（n）

23、防火牆的最簡單的形式是代理防火牆。一個代理防火牆通常是一台有能力過濾數據包某些內容的路由器。（y）

24、要實現ARP攻擊，攻擊者必須能夠控制大量的計算機為其服務。（n）

25、雙鑰加密系統可分為序列密碼和分組密碼兩種類型。（n）

26、對稱加密，或專用密鑰（也稱做常規加密）由通信雙方共享一個秘密密鑰。發送方在進行數學運算時使用密鑰將明文加密成密文。接受方使用相同的鑰將密文還原成明文。（y）

I. 如何提升網路信息安全保障能力

健全的網路與信息安全保障措施 隨著企業網路的普及和網路開放性，共享性，互連程度的擴大，網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全，還要保護數據安全。網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化，其結果是信息資源的共享和互動，任何人都可以在網上發布信息和獲取信息。這樣，網路信息安全問題就成為危害網路發展的核心問題，與外界的網際網路連接使信息受侵害的問題尤其嚴重。 目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息，也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情，網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷，採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統，進行信息破壞或佔用系統資源，使得用戶無法使用自己的機器。一般大型企業的網路都擁有Internet連接，同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換，而其中大約80%信息是電子郵件，郵件中又有一半以上的郵件是垃圾郵件，這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源，就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下，因此造成信息泄漏；甚至存在內部人員編寫程序通過網路進行傳播，或者利用黑客程序入侵他人主機的現象。因此，網路安全不僅要防範外部網，同時更防範內部網。網路安全措施 由此可見，有眾多的網路安全風險需要考慮，因此，企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括：身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層，IP作為網路層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全，所以能實現非常細致的安全控制。對於用戶來說，便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務，使得數據在通過公共網路傳輸時，不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的，而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association，安全聯盟)，當兩端的SA中的設置匹配時，兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段，是網路通信時執行的一種訪問控制尺度，其主要目標就是通過控制進、出一個網路的許可權，在內部和外部兩個網路之間建立一個安全控制點，對進、出內部網路的服務和訪問進行控制和審計，防止外部網路用戶以非法手段通過外部網路進入內部網路，訪問、干擾和破壞內部網路資源。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間的任何活動，保證了內部網路的安全。 防火牆有軟、硬體之分，實現防火牆功能的軟體，稱為軟體防火牆。軟體防火牆運行於特定的計算機上，它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統，稱為硬體防火牆。它們也是基於PC架構，運行一些經過裁剪和簡化的操作系統，承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品，並與防火牆聯動，以監視區域網外部繞過或透過防火牆的攻擊，並及時觸發聯動的防火牆及時關閉該連接；同時監視主伺服器網段的異常行為，以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線，也是最重要的一道防線。用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為，同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴於它。一旦身份認證系統被攻破，那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統，因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠；能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表，它是應用在路由器介面的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加，所以可以把ACL當作一種網路控制的有力工具，用來過濾流入和?鞽雎酚善鶻涌詰氖蒞?在應用系統中，訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據，根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常，如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等，很容易使網路設備癱瘓。這些網路攻擊，都是利用系統服務的漏洞或利用網路資源的有限性，在短時間內發動大規模網路攻擊，消耗特定資源，造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集，是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括：輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集，在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。基於以上的流量檢測技術，目前有很多流量監控管理軟體，此類軟體是判斷異常流量流向的有效工具，通過流量大小變化的監控，可以幫助網管人員發現異常流量，特別是大流量異常流量的流向，從而進一步查找異常流量的源、目的地址。處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接，也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言，存在不安全隱患，將是黑客攻擊得手的關鍵因素。就目前的網路系統來說，在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。安全掃描是增強系統安全性的重要措施之一，它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序，按功能可分為：操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統，是指通過網路遠程檢測目標網路和主機系統漏洞的程序，它對網路系統和設備進行安全漏洞檢測和分析，從而發現可能被入侵者非法利用的漏洞。定期對網路系統進行漏洞掃描，可以主動發現安全問題並在第一時間完成有效防護，讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點，能夠實現全方位多級防護。考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構建網路防病毒系統時，應利用全方位的企業防毒產品，實施集中控制、以防為主、防殺結合的策略。具體而言，就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體，通過全方位、多層次的防毒系統配置，使網路沒有薄弱環節成為病毒入侵的缺口。實例分析 大慶石化區域網是企業網路，覆蓋大慶石化機關、各生產廠和其他的二級單位，網路上運行著各種信息管理系統，保存著大量的重要數據。為了保證網路的安全，針對計算機網路本身可能存在的安全問題，在網路安全管理上我們採取了以下技術措施： 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網，即用戶在網路物理線路連通的情況下，需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS)，RADIUS伺服器作用戶認證系統，每個用戶都以實名注冊，這樣我們就可以管理用戶的網上行為，實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機，在交換機上我們配置了訪問控制列表，根據信息流的源和目的 IP 地址或網段，使用允許或拒絕列表，更准確地控制流量方向，並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中，我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用，如醫療保險和財務等，劃分獨立的虛擬子網，並使其與區域網隔離，限制其他VLAN成員的訪問，確保了信息的保密安全。 4.在網路出口設置防火牆在區域網的出口，我們設置了防火牆設備，並對防火牆制定安全策略，對一些不安全的埠和協議進行限制，使所有的伺服器、工作站及網路設備都在防火牆的保護之下，同時配置一台日誌伺服器記錄、保存防火牆日誌，詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能，系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端；可以啟動和調度掃描，以及設置實時防護，從而建立並實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網大慶石化區域網的網路環境比較復雜，含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備，為了能夠有效地網路，我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議，可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖，能夠准確和直觀地反映網路的實際連接情況，包括設備間的冗餘連接、備份連接、均衡負載連接等，對拓撲結構進行層次化管理。通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠，有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理，使網管人員能夠對故障預警，以便及時採取措施，保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。為了滿足企業用戶遠程辦公需求，同時為了滿足網路安全的要求，我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器，遠端子公司採用Cisco的2621路由器，動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能在區域網的各應用中我們都啟用了審計功能，對用戶的操作進行審核和記錄，保證了系統的安全。

J. 如何防範網路病毒入侵

1.普通病毒的防範方法 拓展視頻

查殺計算機及手機病毒不如搞好預防，防患於未然。如果能夠採取全面的防護措施，則會降低被感染的可能，預防為主是避免大規模感染病毒的有效措施之一。

首先用戶要在思想上有防病毒的警惕性，依靠使用防病毒技術和管理措施，部分病毒就無法攻破計算機安全保護屏障，不能廣泛傳播。個人用戶要及時升級操作系統以及防病毒產品，因為病毒以每日4-6個的速度產生，防病毒產品必須適應病毒的發展，不斷升級，才能識別和殺滅新病毒，為系統提供較為的安全環境。

每一位計算機使用者都要遵守病毒防治的法律和制度，做到不製造病毒，不傳播病毒。養成良好的上機習慣，如定期備份系統數據文件；外部存儲設備連接前先殺毒再使用；不訪問違法或不明網站，不下載傳播不良文件，不連接未知的WiFi，不隨意掃描二維碼等。

2. 木馬病毒的防範

木馬的清除可以通過手動清除和殺毒軟體清除兩種方式。在檢測清除木馬的同時，還要注意對木馬的預防，做到防範於未然。

（1）不點擊不明的網址或郵件、不掃描來歷不明的二維碼。較多木馬是通過網址鏈接、二維碼或郵件傳播，當收到來歷不明的郵件時，也不要隨便打開，應盡快刪除。智能客戶端不要隨意掃描未經認證的二維碼。

（2）不下載非官方提供的軟體。如需下載必須常備軟體，最好找一些知名的網站下載，而且不要下載和運行來歷不明的軟體。而且，在安裝軟體前最好用殺毒軟體查看有沒有病毒，再進行安裝。

（3）及時給操作系統打官方補丁包進行漏洞修復，只開常用埠。一般木馬是通過漏洞在系統上打開埠留下後門，以便上傳木馬文件和執行代碼，在把漏洞修復上的同時，需要對埠進行檢查，把可疑的埠封關閉，確保無法病毒無法傳播。

（4）使用實時監控程序。在網上瀏覽時，最好運行反木馬實時監控查殺病毒程序和個人防火牆，並定時對系統進行病毒檢查。還要經常升級系統和更新病毒庫，注意關注關於網路安全的相關新聞公告等，提前做好預案防範木馬有效措施。