畢業(yè)論文---企業(yè)網絡安全防護技術措施

1、<p><b>　　目 錄</b></p><p><b>　　第1章 緒論1</b></p><p>　　第2章 企業(yè)網絡安全概述3</p><p>　　2.1 網絡安全3</p><p>　　2.2 安全隱患3</p><p>　　2.2.1 完整性3

2、</p><p>　　2.2.2 機密性3</p><p>　　2.2.3 可用性4</p><p>　　2.3 安全分類4</p><p>　　2.4 網絡安全的目標4</p><p>　　2.4.1 消除盜竊4</p><p>　　2.4.2 確定身份4</p>&

3、lt;p>　　2.4.3 鑒別假冒5</p><p>　　2.4.4 保密5</p><p>　　第3章 企業(yè)數(shù)據(jù)安全6</p><p>　　3.1數(shù)據(jù)庫安全6</p><p>　　3.1.1 數(shù)據(jù)庫安全問題6</p><p>　　3.1.2 數(shù)據(jù)庫安全策略與配置6</p><p&

4、gt;　　3.1.3 數(shù)據(jù)庫的加密7</p><p>　　3.2 數(shù)據(jù)備份與恢復8</p><p>　　3.2.1 數(shù)據(jù)備份與恢復概述8</p><p>　　3.2.2 數(shù)據(jù)備份策略10</p><p>　　3.2.3 數(shù)據(jù)庫的備份11</p><p>　　第4章 網絡服務與應用系統(tǒng)的安全12</p&

5、gt;<p>　　4.1 Web服務器安全12</p><p>　　4.1.1 Web的安全概述12</p><p>　　4.1.2 Web站點的安全和漏洞12</p><p>　　4.1.3 Web安全預防措施13</p><p>　　4.2 域名系統(tǒng)的安全性14</p><p>　　4.2.

6、1 DNS的安全威脅14</p><p>　　4.2.2 名字欺騙技術15</p><p>　　4.2.3 增強DNS服務的安全性15</p><p>　　4.3 電子郵件的安全性16</p><p>　　4.3.1 E-mail的安全風險16</p><p>　　4.3.2 郵件服務器的安全與可靠性17&

7、lt;/p><p>　　4.3.3 郵件客戶端的安全17</p><p>　　第5章 網絡病毒防范19</p><p>　　5.1 計算機病毒概述19</p><p>　　5.1.1 計算機病毒的定義19</p><p>　　5.1.2 計算機病毒分類19</p><p>　　5.1.3

8、計算機病毒的特征19</p><p>　　5.1.4 計算機網絡病毒的危害性20</p><p>　　5.2 反病毒技術20</p><p>　　5.2.1 計算機病毒的防范20</p><p>　　5.2.2 計算機網絡病毒的防范措施22</p><p>　　第6章 防火墻及相關技術應用23</p&

9、gt;<p>　　6.1 防火墻概述23</p><p>　　6.1.1 防火墻的概念23</p><p>　　6.1.2 防火墻的目的和功能23</p><p>　　6.1.3 防火墻的局限性24</p><p>　　6.2 防火墻的分類25</p><p>　　6.3 防火墻的體系結構25

10、</p><p>　　6.3.1 雙穴主機體系結構25</p><p>　　6.3.2 屏蔽主機體系結構26</p><p>　　6.3.3 屏蔽子網體系結構26</p><p>　　6.4 防火墻的策略與維護27</p><p>　　6.4.1 設置防火墻的策略27</p><p>

11、　　6.4.2 防火墻的維護28</p><p>　　6.5 入侵檢測系統(tǒng)29</p><p>　　6.5.1 入侵檢測系統(tǒng)的功能及分類29</p><p>　　6.5.2 入侵檢測產品的選購原則30</p><p>　　6.6 虛擬專用網（VPN）30</p><p><b>　　結 論32&

12、lt;/b></p><p><b>　　致 謝33</b></p><p><b>　　參考文獻34</b></p><p><b>　　摘 要</b></p><p>　　隨著Internet上的個人和商業(yè)應用越來越普遍,基于網絡應用和服務的信息資源也

13、面臨著更多的安全風險。然而，在多數(shù)情況，網絡安全并沒有得到應有的重視。信息是一種必須保護的資產，由于缺少足夠的保護或者網絡安全措施而造成的損失對企業(yè)而言可能是致命的。為了能夠讓企業(yè)的網絡系統(tǒng)避免遭受來自各種不安全的攻擊和威脅，從而更加安全可靠地使用網絡，我們應該采取各種有效的安全防護措施。</p><p>　　針對目前企業(yè)網絡所面臨的安全問題，本文從如何保護企業(yè)的數(shù)據(jù)安全、網絡服務與應用系統(tǒng)安全以及如何預防網絡病

14、毒和在網絡中設置防火墻等幾個方面闡述了如何有效地保護企業(yè)網絡的安全。</p><p>　　文章通過對當今網絡面臨的安全問題的總結，并結合當前企業(yè)網絡的特點，制定出了有效的安全防護措施。針對企業(yè)網絡所出現(xiàn)的比較常見的安全問題，通過各種方法給予解決或給出可行方案。</p><p>　　在對各種網絡安全防護措施的敘述的同時，文章還通過各種圖形來近一步闡述各種原理，使抽象問題變得更加的簡潔明了。當

15、涉及到網絡連接等原理時，更能通過各種網絡拓撲圖，形象的給予描述，使復雜問題的變得簡單。通過本文的敘述，我們將會對企業(yè)網絡安全有一個更加清晰的認識。</p><p>　　關鍵字： 防火墻 數(shù)據(jù) 備份 </p><p><b>　　第1章 緒論</b></p><p>　　在信息化高速發(fā)展的今天,計算機網絡已經完全滲透到社會生活的各個方面。

16、隨著Internet上的個人和商業(yè)應用越來越普遍,基于網絡應用和服務的信息資源也面臨著更多的安全風險。然而，在多數(shù)情況，網絡安全并沒有得到應有的重視。信息是一種必須保護的資產，由于缺少足夠的保護或者網絡安全措施而造成的損失對企業(yè)而言可能是致命的。Internet的不可信也會限制企業(yè)的商業(yè)機會，特別是那些100%基于Web的組織。制定和頒布安全政策與安全措施并使得用戶和潛在的用戶感覺到足夠安全是必須的。</p><p&

17、gt;　　隨著Internet的發(fā)展和應用，許多企業(yè)已經認識到通過網絡建立企業(yè)內部的商務平臺、為企業(yè)雇員提供到自動銷售系統(tǒng)的移動連接、向客戶和消費者提供電子商務平臺等行為，都將為企業(yè)節(jié)約大量的銷售成本。通過入侵檢測、身份鑒定、授權和評估系統(tǒng)，增強了防火墻的功能。現(xiàn)在，許多企業(yè)很好地平衡了防止惡意攻擊與增加正當訪問渠道之間的矛盾。</p><p>　　在企業(yè)安全方面的投資可以保證企業(yè)的生產力和確?？蛻舻男湃?。一個可

18、靠的安全基礎能幫助企業(yè)建立與雇員、供應商、合伙人和客戶之間的信任關系，使他們相信企業(yè)的任何信息都能夠受到妥善的保護，任何的網上交易都是可以信賴的。</p><p>　　正是由于越來越多的企業(yè)組建了自己的局域網，并依靠現(xiàn)代網絡的快速便捷使自己的生產、經營、運作方式等發(fā)生了極大的改變。通過這種方式，企業(yè)降低了生產成本，增加了企業(yè)收入。正是出于企業(yè)對網絡的極度依賴，所以保證一個企業(yè)的網絡安全是非常重要的。在網絡安全方面

19、，企業(yè)采用的防護措施還有彌補操作系統(tǒng)的安全漏洞、以及當網絡已經癱瘓時進行災難恢復等。此外，虛擬專用網（VPN）技術將逐漸成為企業(yè)之間互聯(lián)的首選產品，因為它能夠降低成本、提高效率、增強安全性，在日后的應用中將會有廣闊的前景。</p><p>　　然而，為了能夠讓企業(yè)網絡變得更加的安全，我們不能只是靠各種安全防護產品，除此之外，我們必須通過各種安全策略，包括制定嚴格的安全制度、法律，組建安全團隊，對網絡安全動態(tài)實時關

20、注，開發(fā)出更完善的安全系統(tǒng)，只有這樣，才能保證企業(yè)網絡處于一個比較安全的位置。</p><p>　　安全風險不能完全消除或者防止，但是可通過有效的風險管理和評估，將風險最小化到可以接受的水平。至于什么才是可以接受的，這取決于個人或者企業(yè)的承受力。如果減少風險所帶來的收益超過了采取各種措施的費用，那么進行風險管理就是值得的。</p><p>　　正是由于企業(yè)網絡面臨的安全問題是各種各樣的，針

21、對目前企業(yè)網絡所面臨的安全問題，本文從如何保護企業(yè)的數(shù)據(jù)安全、網絡服務與應用系統(tǒng)安全以及如何預防網絡病毒和在網絡中設置防火墻等幾個方面闡述了如何有效地保護企業(yè)網絡的安全。</p><p>　　第2章 企業(yè)網絡安全概述</p><p><b>　　2.1 網絡安全</b></p><p>　　計算機網絡安全是指計算機及其網絡系統(tǒng)資源和信息資源不受

22、自然和人為有害因素的威脅和危害，即指計算機、網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網絡服務不中斷。計算機網絡安全是一門涉及計算機科學、網絡技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等多種學科的綜合性科學。</p><p>　　從廣義上來說，凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和

23、理論都是計算機網絡安全的研究領域。所以，廣義的計算機網絡安全還包括信息設備的物理安全性，諸如場地環(huán)境保護、防火措施、防水措施、放電保護、靜電保護、電源保護、空調設備、計算機輻射和計算機病毒等。</p><p>　　安全風險不能完全消除或者防止，但是可通過有效的風險管理和評估，將風險最小化到可以接受的水平。至于什么才是可以接受的，這取決于個人或者企業(yè)的承受力。如果減少風險所帶來的收益超過了采取各種措施的費用，那么進

24、行風險管理就是值得的。</p><p><b>　　2.2 安全隱患</b></p><p>　　網絡安全的目的是實現(xiàn)網絡信息的完整性、機密性和可用性。</p><p><b>　　2.2.1 完整性</b></p><p>　　完整性是指確保數(shù)據(jù)不允許被非授權人修改或者破壞的能力。完整性確保了發(fā)送

25、信息與接受信息是一致的，即使數(shù)據(jù)是非保密的，也必須保證數(shù)據(jù)的完整性，就像一個人允許其他人知道他的日常業(yè)務，但決不允許他人擅自修改其業(yè)務一樣。</p><p><b>　　2.2.2 機密性</b></p><p>　　機密性將保護數(shù)據(jù)不泄露給非授權的第三方。無論是客戶數(shù)據(jù)還是公司內部數(shù)據(jù)，企業(yè)都有責任保證數(shù)據(jù)的私密性。所有的客戶都有權要求保護他們的個人信息，一個企業(yè)也

26、必須尊重客戶的隱私權并與客戶之間保持一種信任的關系。</p><p>　　公司擁有的信息不僅是敏感的，而且也需要保密，只有被許可的部分才能被訪問，這些信息的傳遞也是以一種安全的方式進行并能阻止未授權的訪問。</p><p><b>　　2.2.3 可用性</b></p><p>　　可用性是指計算機系統(tǒng)的連續(xù)操作能力，其對立面是拒絕服務，這種攻

27、擊通過垃圾信息來淹沒網絡設備，減慢直到整個系統(tǒng)崩潰。應用程序需要不同級別的可用性，這取決于停機時間對業(yè)務的影響。例如，若一個應用程序是可用的，那么所有的組件，包括應用程序和數(shù)據(jù)庫服務器、存儲設備和端到端的網絡連接等，都必須是可提供持續(xù)服務的。</p><p>　　隨著更多企業(yè)和組織對基于網絡應用和Internet依賴性的增加，多媒體數(shù)據(jù)的集成也對各種應用的可用性提出了更高的要求。各種原因造成的系統(tǒng)停機，都可能導致

28、可用性的缺乏，降低客戶的信任度，甚至減少企業(yè)的收入。</p><p><b>　　2.3 安全分類</b></p><p>　　對于網絡安全隱患，主要有以下四方面的原因：</p><p>　　技術缺陷：每個網絡和計算機技術都存在內在的安全問題。</p><p>　　配置缺陷：暴露出的安全問題，甚至大多數(shù)是安全技術的配置錯

29、誤。</p><p>　　政策缺陷：缺乏安全策略或者不正確的執(zhí)行和管理，都可能使最好的安全和網絡技術失去作用。</p><p>　　人為錯誤：工作人員寫下自己的口令隨意放置，或者多人共享一個口令等，都是一些常見的問題。</p><p>　　2.4 網絡安全的目標</p><p>　　網絡安全最重要的一個目標是獲得那些任何不是被明確許可的操作被

30、禁止的情況。正在發(fā)展的一個安全策略目標是定義一個組織的計算機和網絡的使用期望值。</p><p>　　“安全”意味著防止系統(tǒng)內部和外部兩方面的攻擊。網絡安全包括安全的數(shù)據(jù)、應用和用戶。</p><p>　　2.4.1 消除盜竊</p><p>　　據(jù)統(tǒng)計美國的公司因為信息失竊而損失1000億美元的收益，這通常發(fā)生于報表和機密信息被當成垃圾丟棄。</p>

31、<p>　　2.4.2 確定身份</p><p>　　安全措施可能降低方便性，一般來說，簡單的口令是一個效率較低的身份鑒定形式，但是更強大的身份鑒定需要更多的成本開銷。</p><p>　　2.4.3 鑒別假冒</p><p>　　任何隱藏的假冒都是一個潛在的安全漏洞，為了防止假冒，一般來說，要有足夠的身份鑒定、授權和審核以及專家的確認或者否定，然后在提

32、出相應的建議。</p><p><b>　　2.4.4 保密</b></p><p>　　大多數(shù)安全是建立在保密基礎上的。許多安全專家發(fā)現(xiàn)漏洞都是一些很容易修補的眾所周知的缺陷，因此必須確保網絡安裝最新的版本的補丁。在以后的幾年當中，據(jù)估計90%的對計算機的攻擊將繼續(xù)利用那些已有的補丁程序或預防措施的安全缺陷。對數(shù)據(jù)進行分類并確定哪些數(shù)據(jù)需要保密是一件迫切的事，需要保

33、密的包括口令、信用卡號、銀行賬戶等。為了確保秘密數(shù)據(jù)的安全性，必須對系統(tǒng)進行分層并確保安裝最新的補丁程序。</p><p>　　第3章 企業(yè)數(shù)據(jù)安全</p><p><b>　　3.1數(shù)據(jù)庫安全</b></p><p>　　數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所，并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫安全問題，在數(shù)據(jù)庫技術誕生之后就一直存在，并隨著數(shù)據(jù)

34、庫技術的發(fā)展而不斷深化。因而，如何保證和加強其安全性和保密性，已成為目前迫切需要解決的熱門課題。</p><p>　　3.1.1 數(shù)據(jù)庫安全問題</p><p>　　計算機安全性的三個方面是安全性、保密性和可用性，都與數(shù)據(jù)庫管理系統(tǒng)有關系。數(shù)據(jù)庫系統(tǒng)安全問題可歸納為以下三個方面：</p><p>　　1.保障數(shù)據(jù)庫系統(tǒng)的保密性。</p><p&g

35、t;　　2.保障數(shù)據(jù)庫系統(tǒng)的完整性。</p><p>　　3.數(shù)據(jù)庫系統(tǒng)的可用性。</p><p>　　3.1.2 數(shù)據(jù)庫安全策略與配置</p><p>　　數(shù)據(jù)庫的安全策略包括系統(tǒng)的策略、數(shù)據(jù)安全的策略、用戶安全的策略等。</p><p><b>　　系統(tǒng)安全的策略</b></p><p>&l

36、t;b>　　數(shù)據(jù)庫用戶的管理</b></p><p>　　每個數(shù)據(jù)庫系統(tǒng)都有一個或幾個管理員，負責維護所有的安全策略方面的問題，這類管理員稱為安全管理員。如果數(shù)據(jù)庫系統(tǒng)很小，數(shù)據(jù)庫管理員也就擔當起安全管理員的責任。但是，如果數(shù)據(jù)庫系統(tǒng)很大，通常就要指定一個人或一群人專門擔當安全管理員的責任。</p><p><b>　　用戶的鑒別</b></p

37、><p>　　數(shù)據(jù)庫用戶可以通過操作系統(tǒng)、網絡服務、或數(shù)據(jù)庫進行身份確認，來鑒別（核實合法用戶）。</p><p><b>　　操作系統(tǒng)的安全</b></p><p>　　如果可以的話，對于任何數(shù)據(jù)庫應用的操作系統(tǒng)來說，還應該考慮數(shù)據(jù)庫管理員必須具有操作系統(tǒng)權限，以便創(chuàng)建和刪除文件。一般數(shù)據(jù)庫用戶不應該具有操作系統(tǒng)權限。如果操作系統(tǒng)會識別用戶的數(shù)據(jù)

38、庫角色，那么，安全管理員就必須有操作系統(tǒng)權限，以便修改操作系統(tǒng)賬戶的安全域。</p><p><b>　　數(shù)據(jù)安全的策略</b></p><p>　　安全包括在對象層上控制訪問和使用數(shù)據(jù)庫的機制。數(shù)據(jù)庫安全策略應確定，能訪問特殊的模式對象、允許每個用戶在對象上所做的特殊的動作類型。例如，訪問數(shù)據(jù)庫表時，一些用戶只能執(zhí)行SELECT和INSERT語句，而不能執(zhí)行DELE

39、TE語句。</p><p><b>　　用戶安全的策略</b></p><p><b>　　普通用戶的權限管理</b></p><p>　　安全管理員應該考慮涉及所有類型用戶的權限管理問題。例如，在一個有許多用戶名的數(shù)據(jù)庫中，使用角色來管理用戶可用的權限是非常有益的。否則，如果數(shù)據(jù)庫中只有少數(shù)用戶名，就將權限明確地賦予用戶

40、，避免使用角色，這樣反而更容易。</p><p><b>　　密碼的安全</b></p><p>　　如果用戶是通過數(shù)據(jù)庫進行用戶身份的確認，那么建議使用密碼加密的方法與數(shù)據(jù)庫進行連接。</p><p><b>　　終端用戶的安全</b></p><p>　　安全管理員必須定義終端用戶的安全策略。如

41、果一個數(shù)據(jù)庫有很多用戶，安全管理員可以決定將那些用戶的組分類成用戶組，然后為這些組創(chuàng)建用戶角色。安全管理員可以給每個用戶角色賦予必要的權限或應用角色，再將用戶角色賦予給這些用戶。對于例外情況，安全管理員還必須確定，必須將什么權限明確地授予那個用戶。</p><p><b>　　管理員的安全</b></p><p>　　安全管理員應該有一個處理數(shù)據(jù)庫管理員的安全的策略。

42、例如，當數(shù)據(jù)庫很大，且有幾種類型的數(shù)據(jù)庫管理員時，安全管理員就應該將相關的管理權限劃分成幾個管理角色。然后將這些管理角色授予適當?shù)墓芾韱T用戶。相反，當數(shù)據(jù)庫很小而且只有幾個管理員時，創(chuàng)建一個管理角色并把這個管理角色授予所有管理員，可能就更方便些。</p><p>　　3.1.3 數(shù)據(jù)庫的加密</p><p><b>　　1、數(shù)據(jù)庫加密概述</b></p>

43、<p>　　大型數(shù)據(jù)庫管理系統(tǒng)的運行平臺一般是Windows NT/2000和UNIX，這些操作系統(tǒng)的安全級別通常為C1、C2級。它們具有用戶注冊、識別用戶、任意存取控制、審計等安全功能。雖然數(shù)據(jù)庫管理系統(tǒng)在操作系統(tǒng)的基礎上增加了不少安全措施，例如基于權限的控制等，但操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件本身仍然缺乏有效的保護措施，有經驗的網上黑客會繞道而行，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件的內容。這種隱患被稱為通向數(shù)

44、據(jù)庫管理系統(tǒng)的隱秘通道，它所帶來的危害一般數(shù)據(jù)庫用戶難以覺察。分析和堵塞隱秘通道被認為是B2級的安全技術措施。對數(shù)據(jù)庫中的敏感數(shù)據(jù)進行加密處理，是堵塞這一隱秘通道的有效手段。</p><p><b>　　2、加密算法</b></p><p>　　加密算法是數(shù)據(jù)加密的核心。算法必須適應數(shù)據(jù)庫系統(tǒng)的特點，加密解密速度要快。著名的背包算法就是一種適合數(shù)據(jù)庫加密的算法。算法的

45、思路是假定某人擁有大量的物品，重量各不相同。此人通過秘密地選擇一部分物品并將它們放到背包中來加密消息。背包中的物品總重量是公開的，所有可能的物品也是公開的，但背包中的物品卻是保密的。附加一定的限制條件，給出重量，而要列出可能的物品，在計算上是不可實現(xiàn)的。</p><p>　　3.2 數(shù)據(jù)備份與恢復</p><p>　　隨著各單位局域網和互連網絡的深入應用,系統(tǒng)內的服務器擔負著企業(yè)的關鍵應用

46、,存儲著重要的信息和數(shù)據(jù),為網絡環(huán)境下的大量客戶機提供快速高效的信息查詢、數(shù)據(jù)處理和Internet等的各項服務，一旦數(shù)據(jù)丟失，將會造成無法彌補的損失。為了計算機網絡系統(tǒng)出現(xiàn)故障時，網絡中的核心數(shù)據(jù)必須能安全的保存和迅速的恢復，因此，對于企業(yè)來說，可靠的數(shù)據(jù)備份和恢復措施是非常必要的。</p><p>　　3.2.1 數(shù)據(jù)備份與恢復概述</p><p>　　1、數(shù)據(jù)備份和恢復的基本概念&l

47、t;/p><p>　　數(shù)據(jù)備份和恢復是指將計算機硬盤上的原始數(shù)據(jù)復制到其他存儲媒體上，如磁帶、光盤等，在出現(xiàn)數(shù)據(jù)丟失或系統(tǒng)災難時將復制在其他存儲媒體上的數(shù)據(jù)恢復到硬盤上，從而保護計算機的系統(tǒng)數(shù)據(jù)和應用數(shù)據(jù)。對于計算機網絡數(shù)據(jù)，備份不僅僅是文件的復制，還應該包括文件的權限、屬性等信息。</p><p><b>　　數(shù)據(jù)備份的原則</b></p><p&g

48、t;　　對數(shù)據(jù)進行備份是為了保證數(shù)據(jù)的安全性，消除系統(tǒng)使用者和操作者的后顧之憂。不同的應用環(huán)境要求不同的解決方案來適應，一般來說，要求滿足以下原則。</p><p>　　穩(wěn)定性。備份產品的主要作用是為了系統(tǒng)提供一個數(shù)據(jù)保護方法，于是該產品本身的穩(wěn)定性就變成了最重要的一個方面，一定要與操作系統(tǒng)百分之百的兼容。</p><p>　　全面性。在計算機網絡環(huán)境中，可能包括了各種操作平臺，如Netw

49、are、Windows NT、UNIX等。選用的備份軟件，要支持各種操作系統(tǒng)、數(shù)據(jù)庫和典型應用。</p><p>　　安全性。計算機網絡是計算機病毒傳播的通道，給數(shù)據(jù)安全帶來極大威脅。如果在備份的時候，把計算機病毒也完整的備份下來，將會是一種惡性循環(huán)。因此，要求在備份的過程中有查毒、防毒、殺毒、的功能，確保無毒備份，同時還要保證備份介質不丟失和備份數(shù)據(jù)的完整性。</p><p>　　容錯性

50、。確認備份數(shù)據(jù)的可靠性，也是一個至關重要的方面。如果引入RAID技術，對磁帶進行鏡像，就可以更好的保證數(shù)據(jù)安全可靠，給用戶再加一把保險鎖。</p><p><b>　　常用數(shù)據(jù)備份的方法</b></p><p><b>　　磁帶備份</b></p><p>　　在所有備份介質中，磁帶備份是可靠、成本低、傳輸率高、易于使用和

51、管理的數(shù)據(jù)備份介質。</p><p><b>　　硬盤備份</b></p><p>　　在計算機中安裝多塊硬盤，將數(shù)據(jù)備份在不同的硬盤上，通常采用磁盤陣列（RAID）的方法。在硬盤備份中也有采用移動硬盤進行手動備份的。硬盤備份的速度快、實時性高，一塊硬盤出現(xiàn)故障時不影響系統(tǒng)的運行。但使用硬盤備份時，由于硬盤無法從系統(tǒng)中分離，一旦發(fā)生自然災害將引起重大的數(shù)據(jù)損失。<

52、;/p><p><b>　　網絡備份</b></p><p>　　隨著網絡技術的發(fā)展，該技術也應用到數(shù)據(jù)的存儲和備份中。采用網絡備份可以實現(xiàn)備份的集中管理、異地備份等。通過制定相應的備份策略，備份工作可以自動進行，不需要太多的人干預，減少了日常的管理負擔，并可避免人為的疏忽或錯誤，提高了數(shù)據(jù)備份的可靠性。特別是通過網絡進行的異地備份可以有效的預防自然災害對數(shù)據(jù)的破壞。&l

53、t;/p><p><b>　　數(shù)據(jù)備份的注意事項</b></p><p>　　制定備份策略。根據(jù)企業(yè)對數(shù)據(jù)安全的實際需要來制定適合的備份方案和策略。</p><p>　　將備份介質存儲在異地。備份后的介質一定要保存在異地或防火、防水、防磁的保險箱內。</p><p>　　定期清潔備份設備。由于頻繁進行備份操作，清潔備份設備是

54、保證備份質量的關鍵。</p><p>　　使用合格的備份介質。對備份介質的讀寫操作會造成一定的磨損，當出現(xiàn)損壞或老化時要及時更換，制定備份介質輪換策略。</p><p>　　選用有報警功能的備份設備。用戶可以檢測備份設備的狀態(tài)是否正常。</p><p>　　每兩三個星期檢查備份介質，并從中恢復一些文件，從而得知備份文件是否處在可恢復的狀態(tài)。</p>&

55、lt;p>　　3.2.2 數(shù)據(jù)備份策略</p><p>　　備份策略指確定需備份的內容、備份時間及備份方式。各個單位要根據(jù)自己的實際情況來制定不同的備份策略。企業(yè)可以選取的備份策略有以下三種。</p><p><b>　　完全備份</b></p><p>　　對系統(tǒng)中的數(shù)據(jù)進行完全備份。例如，星期一用一盤磁帶對整個系統(tǒng)進行備份，星期二用另

56、一盤磁帶對整個系統(tǒng)進行備份，依次類推。這種備份策略的好處是當發(fā)生數(shù)據(jù)丟失的災難時，只要用一盤磁帶（災難發(fā)生前一天的備份磁帶），就可以恢復丟失的數(shù)據(jù)。然而它亦有不足之處。首先，由于每天都對整個系統(tǒng)進行備份，造成備份的數(shù)據(jù)大量重復，這些重復的數(shù)據(jù)占用了大量的磁帶空間，這對用戶來說就意味著增加成本。其次，由于需要備份的數(shù)據(jù)量較大，因此備份所需的時間也就較長。對于那些業(yè)務繁忙、備份時間有限的單位來說，選擇這種備份策略是不明智的。</p&g

57、t;<p><b>　　增量備份</b></p><p>　　增量備份是進行一次完全備份，然后在接下來只對當天新的或被修改過的數(shù)據(jù)進行備份。這種備份策略的優(yōu)點是節(jié)省了磁帶空間，縮短了備份時間。但它的缺點在于：當災難發(fā)生時，數(shù)據(jù)的恢復比較麻煩。</p><p><b>　　差分備份</b></p><p>　　

58、差分備份是管理員先進行一次系統(tǒng)完全備份，然后在接下來的幾天里，管理員再將當天所有與完全備份后發(fā)生改變的數(shù)據(jù)（新的或修改過的）備份到磁帶上。差分備份策略在避免了以上兩中策略的缺陷的同時，又具有了它們的所有優(yōu)點。首先，它無需每天都對系統(tǒng)做完全備份，因此備份所需時間短，并節(jié)省了磁帶空間；其次，它的災難恢復也很方便。系統(tǒng)管理員只需兩盤磁帶，即完全備份磁帶與災難發(fā)生前一天的磁帶，就可以將系統(tǒng)恢復。</p><p>　　在實

59、際應用中，備份策略通常是以下三種的結合。例如在每周一至周六每天進行一次增量備份或差分備份，每周日進行全備份，每月底進行一次全備份，每年底進行一次全備份。</p><p>　　3.2.3 數(shù)據(jù)庫的備份</p><p><b>　　數(shù)據(jù)庫備份技術概述</b></p><p>　　當企業(yè)用戶使用一個數(shù)據(jù)庫時，總希望數(shù)據(jù)庫的內容是可靠的、正確的，但由于

60、數(shù)據(jù)庫在傳輸、存儲和交換的過程中出現(xiàn)計算機系統(tǒng)的故障（包括機器故障、介質故障、誤操作等），同時，計算機系統(tǒng)也會發(fā)生意料不到的事故，數(shù)據(jù)庫也可能遭到破壞，這時如何盡快恢復數(shù)據(jù)就成為當務之急。如果平時對數(shù)據(jù)庫做了備份，那么此時恢復數(shù)據(jù)就顯得很容易。如果沒有事先采取數(shù)據(jù)備份和數(shù)據(jù)恢復措施，數(shù)據(jù)就會丟失，將造成慘重的損失。數(shù)據(jù)的備份與恢復作為信息安全的重要內容不可忽視。因此，數(shù)據(jù)的備份與恢復也是數(shù)據(jù)庫系統(tǒng)的一個安全功能。</p>

61、<p><b>　　數(shù)據(jù)庫的備份</b></p><p>　　大多數(shù)操作系統(tǒng)都帶有備份工具，例如，在Windows 2000中，通過在桌面上單擊[開始]/[程序]/[附件]/[備份工具]/[備份]選項，單擊[備份向導]按扭，啟動系統(tǒng)的備份向導。其它操作系統(tǒng)亦可以通過系統(tǒng)備份工具對數(shù)據(jù)庫進行備份，也可以利用專用的備份工具。</p><p>　　第4章 網絡服務

62、與應用系統(tǒng)的安全</p><p>　　4.1 Web服務器安全</p><p>　　在計算機網絡應用服務中，Web技術被廣泛的使用，給人們的生活、工作和學習帶來了很大的方便，同時在這個虛幻的網絡世界里，經常出現(xiàn)一些Web站點被攻擊、被篡改、信息泄露等，這就使得能否保證使用者的安全和隱私成為Web應用中的一個主要問題。Web的安全性是Web應用中必須考慮的重要問題。</p>&

63、lt;p>　　Web（World Wide Web）又稱萬維網，其基本結構是采用開放試的客戶機/服務器(Client/Server)結構，其基本工作原理如圖4-1所示。</p><p>　　圖 4-1客戶機/服務器工作模式</p><p>　　4.1.1 Web的安全概述</p><p>　　通常的網絡安全總是設置各種各樣的限制,使得不明身份的人無法獲得非授權

64、的服務，但是Web服務器恰恰相反，它希望接受盡可能多的客戶，對客戶幾乎沒有限制和要求，這樣，相當于其他網絡服務器，Web是最容易受到攻擊的。Web安全風險一般可分為三類，即對Web服務器及其相連LAN的威脅、對服務器和客戶機之間的通信信道的威脅。從Web服務器角度來將，服務器風險比Web瀏覽器用戶更大，服務器受攻擊要比客戶機受攻擊危險的多。</p><p>　　4.1.2 Web站點的安全和漏洞</p>

65、;<p>　　1、Web站點主要安全問題</p><p>　　未經授權的存取動作。該類問題指的是用戶未經授權就使用系統(tǒng)資源，即使未對系統(tǒng)造成破壞，也侵犯了隱私。</p><p>　　竊取系統(tǒng)的信息。該類問題指的是攻擊者非法訪問、獲取目標機器（Web服務器或者瀏覽器）上的敏感信息；或者中途截取Web服務器和瀏覽器之間傳輸?shù)拿舾行畔?；或者由于配置、軟件等的原因無意泄露的敏感信息，

66、如賬號、密碼和客戶資料等。這種行為給用戶造成非常大的損失。</p><p>　　破壞系統(tǒng)。該類問題指的是入侵者進入系統(tǒng)后，破壞系統(tǒng)的重要數(shù)據(jù)、系統(tǒng)運行的重要文件，從而導致Web站點系統(tǒng)無法正常運行。</p><p>　　拒絕服務。該類問題指的是攻擊者的直接目的不在于侵入計算機，而是在短時間內向目標發(fā)送大量的正常的請求數(shù)據(jù)包并使得目標機器維持相應的連接，或者發(fā)送需要目標機器解析的大量無用的數(shù)

67、據(jù)包。使得目標機器資源耗盡或是應接不暇，根本無法響應正常的服務。這種威脅不容易抵御。</p><p>　　非法使用。該類問題指的是入侵者利用系統(tǒng)從事非法用途，如存放、發(fā)布非法信息。</p><p>　　病毒破壞。該類問題指的是由于不小心執(zhí)行病毒程序、系統(tǒng)存在安全漏洞被網絡病毒攻擊等，從而導致系統(tǒng)數(shù)據(jù)被破壞、被竊取、甚至系統(tǒng)崩潰。</p><p>　　2、Web站點典

68、型安全漏洞</p><p>　　操作系統(tǒng)類安全漏洞。該類問題指的是非法文件訪問、遠程獲得管理員權限、系統(tǒng)后門等漏洞。</p><p>　　網絡系統(tǒng)的安全漏洞。該類問題指的是網絡結構不合理，如Web服務器被監(jiān)聽、路由器出現(xiàn)錯誤的配置、交換機有后門口令或允許未授權用戶繞過認證系統(tǒng)、防火墻防外不防內以及防火墻設置不當。</p><p>　　應用系統(tǒng)的安全漏洞。該類問題指的

69、是計算機網絡中使用的TCP/IP協(xié)議以及WWW Server、mail Server、FTP Server 等存在的安全漏洞。</p><p>　　網絡安全防護系統(tǒng)漏洞。該類問題指的是網絡安全意識不強，缺少信息系統(tǒng)安全管理的規(guī)范，缺少安全測試、檢查、監(jiān)控，缺少信息發(fā)布的審核和管理，缺少對網絡安全事件的響應，網管人員的技術水平不高。</p><p>　　其他安全漏洞。該類問題指的是薄弱的認證

70、環(huán)節(jié)，復雜的設置和控制、易被監(jiān)視和欺騙等漏洞。 不能對電子郵件、下載文件和瀏覽的惡意網站進行有效控制。</p><p>　　4.1.3 Web安全預防措施</p><p>　　增強服務器操作系統(tǒng)的安全，密切關注并及時安裝系統(tǒng)及軟件的最新補丁。</p><p>　　建立良好的賬號管理制度，限制在Web服務器開賬戶。使用足夠安全的口令，在口令長度及定期更改方面做出要求，

71、防止被盜用，并正確設置用戶訪問權限。</p><p>　　對服務器進行遠程管理時，使用如SSL等安全協(xié)議，避免使用Telnet、FTP等程序，因為這些程序是以明文形式傳輸密碼的，容易被監(jiān)聽。并嚴格控制遠程管理員身份的使用，僅在絕對需要時，才允許使用具有高授權的操作。</p><p>　　使用入侵檢測系統(tǒng)，監(jiān)視系統(tǒng)、事件、安全記錄和系統(tǒng)日志，以及網絡中的數(shù)據(jù)包，定期查看服務器中的日志logs

72、文件，分析一切可疑事件，對危險和惡意訪問進行阻斷、報警等響應，并進行必要的修補和控制。</p><p>　　限制可訪問用戶的IP或域名。在Web服務器上可以根據(jù)IP地址或域名來限制用戶對資源的訪問，可以限制哪些IP或域名可以訪問，哪些IP或域名不可以訪問。</p><p>　　使用防火墻，對數(shù)據(jù)包進行過濾，禁止某些地址對服務器的某些服務的訪問，并在外部網絡和Web服務器中建立雙層防護。利用

73、防火墻，將服務器中與Web服務器無關的服務及端口阻隔，進一步增強開放的服務的安全性。</p><p>　　使用漏洞掃描和安全評估軟件，對整個網絡進行全面的掃描、分析和評估，從用戶賬戶約束、口令系統(tǒng)、訪問控制、系統(tǒng)監(jiān)測、數(shù)據(jù)完整和數(shù)據(jù)加密等多方面進行安全分析和審計。建立和提高用戶的安全策略，及時發(fā)現(xiàn)并彌補安全漏洞。</p><p>　　4.2 域名系統(tǒng)的安全性</p><

74、p>　　域名系統(tǒng)(Domain Name System-DNS)是一個分布式數(shù)據(jù)庫.它把主機名翻譯成IP地址,把IP地址翻譯成主機名。對于DNS服務器而言可用性是最為重要的。在現(xiàn)實生活中經常定義攻擊者入侵系統(tǒng)獲取數(shù)據(jù)為一個安全問題，但是對DNS服務器來說，遭到了拒絕服務攻擊則是一件更重要的問題。失去DNS服務器的話，任何在Internet網絡上的人將不能夠再使用域名找到所要訪問的服務器。更嚴重的是，沒有DNS服務，所有的郵件發(fā)送都

75、將失敗，而內部網絡將由于解析域名的失敗而失去和外部網絡的聯(lián)系。</p><p>　　4.2.1 DNS的安全威脅</p><p><b>　　拒絕服務攻擊</b></p><p>　　網絡攻擊者攻擊DNS服務器、路由器和防火墻，是DNS服務器無法回應正常的DNS查詢的請求。</p><p>　　設置不當?shù)腄NS將泄露過

76、多的網絡拓撲結構</p><p>　　如果DNS服務器設置為允許對任何人都進行區(qū)域傳輸?shù)脑?，那么整個網絡架構中的主機名、主機IP列表、路由器名、路由器IP列表甚至包括機器所在的位置等信息很容易被竊取，通過分析這些信息可以很清楚地得到網站內部的網絡拓撲結構。</p><p>　　利用被控制的DNS服務器入侵整個網絡</p><p>　　當一個入侵者控制了DNS服務器后

77、，他就可以隨意篡改DNS的記錄信息，甚至使用這些被篡改的記錄信息來達到進一步入侵整個網絡的目的。比如，將現(xiàn)有的DNS記錄中的主機信息修改成被攻擊者自己控制的主機，這樣所有達到原來目的地的數(shù)據(jù)包將被重定位到入侵者手中，DNS帶來的威脅會涉及到整個網絡系統(tǒng)破壞了整個網絡的安全完整性。</p><p>　　4.2.2 名字欺騙技術</p><p>　　當允許用戶執(zhí)行遠程系統(tǒng)命令時，系統(tǒng)管理員往往

78、在某些主機之間建立相互信任的關系，當主機間的信任是借助名字并通過DNS來認證時，就會導致名字欺騙的出現(xiàn)。例如，當一個主機B要向主機A發(fā)送信息時，中途被主機C篡改了主機B的地址等信息，而此時主機C擔當了主機B的較色，從而主機C就和主機A建立了信任關系，此時主機C就假冒主機B欺騙了主機A。</p><p>　　4.2.3 增強DNS服務的安全性</p><p>　　設置分布在不同網絡中的DNS

79、服務器</p><p>　　將DNS服務器分布在不同的網絡中，以防御拒絕服務的攻擊。如果多臺DNS服務器放在同一網段，處在同一個路由器（或防火墻）后面，一旦DNS服務器前的路由器（或防火墻）成了攻擊目標，大量的數(shù)據(jù)包將涌向這個路由器（或防火墻），堵塞了這個路由器（或防火墻），而正常的DNS解析請求無法到達路由器（或防火墻）后的DNS服務器上。從而干擾了正常的DNS通信，導致應用服務器無法給外界提供服務，網站發(fā)生癱

80、瘓。</p><p>　　2.防衛(wèi)名字欺騙技術</p><p>　　對于名字欺騙技術的防衛(wèi)方法有:</p><p>　　把名字數(shù)據(jù)庫中的信息的生存期改為比較長的時間，如一個星期或一個月,這樣名字信息保存在緩沖區(qū)的時間較長,即使更改數(shù)據(jù)庫內容也不會馬上生效,攻擊者不可能等這么長的時間。但生存期過長對數(shù)據(jù)庫的更改也不利。</p><p>　　在

81、設置信任關系時不使用機器名字，而使用機器的IP地址，這樣可以使系統(tǒng)避免名字欺騙，但可能遭受IP地址欺騙。</p><p>　　為保證安全的服務，要認證用戶而不是認證主機名和IP地址。</p><p>　　4.3 電子郵件的安全性</p><p>　　電子郵件（E-mail）作為Internet上使用最多、最重要的服務之一，同時也是安全漏洞最多的服務之一，它已成為目前

82、網絡上傳遞病毒和黑客程序主要的途徑之一。E-mail系統(tǒng)之所以是一種最脆弱的服務，是因為它可以接受來自Internet上任何主機的任何數(shù)據(jù)。</p><p>　　4.3.1 E-mail的安全風險</p><p>　　1.E-mail的漏洞</p><p>　　E-mail服務器向全球開放，原則上可以接收任何人發(fā)來的郵件，很容易受到攻擊。郵件的信息可能攜帶會損害服務

83、器或客戶機的指令。郵件客戶端軟件和Web提供的閱讀器很容易受到這類侵擾。與標準的基于文本的Internet郵件不同，郵件客戶端軟件和網頁瀏覽器可以執(zhí)行腳本。例如，在一條信息中加進了一個小的腳本，并發(fā)給用戶。這個腳本在信息中作為一個小圖標，用戶點擊這個圖像，就會打開一個小程序，甚至會在郵件打開時自動運行。如果攜帶了惡意的代碼，病毒或程序，會影響本地計算機的安全，甚至會自動轉發(fā)給郵件地址薄中的其他用戶，造成更大范圍的攻擊。</p>

84、;<p>　　2.利用E-mail欺騙</p><p>　　E-mail欺騙行為表現(xiàn)形式可能各異，但原理相同，通常是欺騙用戶進行一個毀壞性的操作或暴露敏感信息（比如密碼）。欺騙性E-mail會制造安全漏洞。當用戶收到的電子郵件中涉及敏感信息時，用戶要適當分析，認真核對郵件的發(fā)送者，郵件信息表頭中的信息等。比如，收到的E-mail宣稱來自系統(tǒng)管理員，要求用戶將他們的口令改為特定的字串、要求用戶提供口令

85、或其他敏感信息，并威脅如果用戶不照次辦理，將關閉用戶的賬戶。用戶應了解，一般網絡管理人員都不會用E-mail發(fā)出這樣的要求。</p><p>　　3.E-mail轟炸</p><p>　　E-mail轟炸可被描述為不停接到大量同一內容的E-mail。一條信息被傳給成千上萬的不斷擴大的用戶。更糟的是，如果一個人回復了該E-mail，那么表頭里所有的用戶都會收到這封回信。E-mail轟炸主要的

86、風險來自E-mail服務器。如果服務器接到很多的E-mail，可能會造成服務器脫網，系統(tǒng)崩潰，甚至造成網絡擁塞。</p><p>　　如果系統(tǒng)突然變得遲鈍，或人們開始抱怨E-mail速度大幅減慢，或不能收、發(fā)E-mail，這時E-mail服務器可能正忙于處理極大數(shù)量的信息。如果感到站點正受侵襲，應找出轟炸的來源，然后設置防火墻或路由器進行過濾。</p><p>　　4.3.2 郵件服務器的

87、安全與可靠性</p><p>　　建立一個安全的電子郵件系統(tǒng)，采用合適的安全標準非常重要。但僅僅依靠安全標準是不夠的，郵件服務器本身必須是安全、可靠、久經實戰(zhàn)考驗的。</p><p>　　對于網絡入侵的防范，在服務器端要考慮郵件信息的過濾、病毒的檢測等措施，控制不良郵件和帶病毒的郵件的入侵。對于服務破壞的防范，則可以分成一下幾個方面。</p><p>　　防止來自外

88、部網絡的攻擊，包括拒絕來自指定地址和域名的郵件服務器連接請求，拒絕收信人數(shù)量大于預定上限的郵件，限制單個IP地址的連接數(shù)量，暫時擱置可疑的信息等。采用這些措施可以有效地拒絕垃圾郵件，保證網絡和郵件的暢通。同時使用網絡防火墻對進入郵件服務器E-mail的地址和風險的關鍵字進行控制、過濾以屏蔽不良的E-mail。</p><p>　　防止來自內部網絡的攻擊，包括拒絕來自指定用戶、IP地址和域名的郵件服務請求，強制實施

89、SMTP認證，實現(xiàn)SSL POP 和SSL SMTP以確認用戶身份等。</p><p>　　在郵件服務器上使用防病毒軟件，監(jiān)控收、發(fā)的郵件中是否有病毒，并自動采取清除病毒的措施。</p><p>　　及時更新郵件服務器軟件和系統(tǒng)補丁，發(fā)現(xiàn)安全漏洞要及時修補，不能存在僥幸心里。</p><p>　　4.3.3 郵件客戶端的安全</p><p>

90、　　E-mail是目前網絡上傳播病毒與黑客程序的主要途徑之一。唯有加強危機意識和網絡安全知識，才能更好地保障用戶計算機網絡安全。郵件客戶端的安全防范主要有一下幾點。</p><p>　　不輕易打開來歷不明的電子郵件。特別是來歷不明又包含附件的郵件，即使附件看來好像是.jpg(圖形文件)文件，也不要輕易打開它，因為Windows允許用戶在文件命名時使用多個后綴，而許多電子郵件程序只顯示第一個后綴。比如，看到的郵件附

91、件名稱是WOW.JPG,而它的全名實際是WOW.JPG.VBS，打開這個附件意味著運行一個惡意的VBScript病毒。</p><p>　　警惕欺騙性的電子郵件。針對值得懷疑的E-mail要采取措施證實是否確有其事。對于重要的郵件要通過數(shù)字簽名來證明用戶郵件的身份，使用數(shù)字簽名可使收件人相信郵件是由發(fā)送方的機器發(fā)送的，并且未被偽造或篡改。</p><p>　　及時更新郵件客戶端軟件并及時打

92、補丁。</p><p>　　使用并時常升級防毒軟件，定期對計算機進行病毒檢查。最好選用有郵件防火墻的防病毒軟件。</p><p>　　對保密性要求較高的郵件使用數(shù)字標識對郵件進行加密。這樣使得郵件只有預定的接收著才能接收閱讀，但用戶必須獲得對方的數(shù)字標識。</p><p>　　第5章 網絡病毒防范</p><p>　　5.1 計算機病毒概述&

93、lt;/p><p>　　計算機以及網絡技術的迅速發(fā)展，給人們的生活帶來了極大的方便，然而計算機在給我們帶來便捷的同時，也給我們帶來了不利的因素，那就是計算機病毒?，F(xiàn)如今，計算機病毒對整個系統(tǒng)以及網絡的危害是匪夷所思的。因此，對于任何使用計算機的個人和單位，都必須學會如何來防范計算機病毒。</p><p>　　5.1.1 計算機病毒的定義</p><p>　　“計算機病毒

94、”有很多種定義，從廣義上講，凡是能引起計算機故障，破壞計算機中數(shù)據(jù)的程統(tǒng)稱為計算機病毒?，F(xiàn)在比較準確的定義是：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用，并且能夠自我復制的一組計算機指令或者程序代碼”。</p><p>　　5.1.2 計算機病毒分類</p><p>　　計算機病毒按其傳染方式分為三種類型：引導型、文件型、混合型。</p>

95、<p>　　引導型病毒是指傳染計算機系統(tǒng)磁盤引導程序的計算機病毒。</p><p>　　文件型病毒是指傳染可執(zhí)行文件的計算機病毒。</p><p>　　混合型病毒是指傳染可執(zhí)行文件又傳染引導程序的計算機病毒。它兼有文件型和引導型病毒的特點。</p><p>　　5.1.3 計算機病毒的特征</p><p>　　計算機病毒是一種特

96、殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。</p><p><b>　　傳染性</b></p><p>　　計算機病毒的傳染性是指病毒具有把自身復制到其他程序中的特性。</p><p><b>　　潛伏性</b></p><p>　　計算機病毒的潛伏性是指病毒具有

97、依附其他媒體而寄生的能力。</p><p><b>　　破壞性</b></p><p>　　計算機病毒的破壞性是指病毒破壞文件或數(shù)據(jù)，甚至損壞主板。</p><p><b>　　可觸發(fā)性</b></p><p>　　計算機病毒的可觸發(fā)性是指病毒因某個事件或某個數(shù)值的出現(xiàn)，誘發(fā)病毒發(fā)作。</p&

98、gt;<p>　　5.1.4 計算機網絡病毒的危害性</p><p>　　破壞磁盤文件分配表，使磁盤上的信息丟失。</p><p>　　刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件，使文件丟失。</p><p>　　修改或破壞文件中的數(shù)據(jù)，這時文件的格式是正常的，但內容已經發(fā)生改變。</p><p>　　產生垃圾文件，占據(jù)磁盤及內存空

99、間，使磁盤空間逐漸減少。</p><p>　　破壞硬盤的主引導扇區(qū)，使計算機無法啟動。</p><p>　　對整個磁盤或磁盤的特定扇區(qū)進行格式化，使磁盤中的全部或部分信息丟失使受損的數(shù)據(jù)難以恢復。</p><p>　　非法使用及破壞網絡中的資源，破壞電子郵件，發(fā)送垃圾信息，占用網絡帶寬等。</p><p>　　占用CPU運行時間，使主機運行效

100、率降低。</p><p><b>　　5.2 反病毒技術</b></p><p>　　由于病毒經常給我們的計算機系統(tǒng)及網絡系統(tǒng)造成嚴重的損壞，有時甚至是致命的打擊。所以，我們就必須使用各種方法來防范計算機病毒，既而，反病毒技術也得到了迅速的發(fā)展。</p><p>　　5.2.1 計算機病毒的防范</p><p>　　防治

101、感染病毒主要有兩種手段：一是用戶遵守和加強安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎上，使用硬件和軟件防病毒工具，利用網絡的優(yōu)勢，把防病毒納入到網絡安全體系中。形成一套完整的安全機制，使病毒無法逾越計算機安全保護的屏障，病毒便無法廣泛傳播。</p><p><b>　　在思想和制度方面</b></p><p>　　加強立法，健全管理制度。

102、</p><p>　　加強教育和宣傳，打擊盜版。</p><p><b>　　在技術措施方面</b></p><p>　　除管理方面的措施外，防止計算機病毒的感染和蔓延還應采取有效的技術措施。應采用縱深防御的方法，采用多種阻塞渠道和多種安全機制對病毒進行隔離，這是保護計算機系統(tǒng)免遭病毒危害的有效方法。</p><p>&

103、lt;b>　　系統(tǒng)安全</b></p><p>　　對病毒的預防依賴于計算機系統(tǒng)本身的安全，而系統(tǒng)的安全又首先依賴于操作系統(tǒng)的安全。開發(fā)并完善高安全的操作系統(tǒng)并向之遷移，例如，從DOS平臺移至安全性較高的UNIX或Windows 2000平臺，并且跟隨版本和操作系統(tǒng)補丁的升級而全面升級，是有效防止病毒的入侵和蔓延的一種根本手段。</p><p><b>　　軟件

104、過濾</b></p><p>　　軟件過濾的目的是識別某一類特殊的病毒，防止它們進入系統(tǒng)和不斷復制。對于進入系統(tǒng)內的病毒，一般采用專家系統(tǒng)對系統(tǒng)參數(shù)進行分析，以識別系統(tǒng)的不正常處和未經授權的改變。</p><p><b>　　軟件加密</b></p><p>　　軟件加密是對付病毒的有效技術措施，由于開銷較大，目前只用于特別重要的系

105、統(tǒng)。軟件加密就是將系統(tǒng)中可執(zhí)行文件加密。若施放病毒者不能在可執(zhí)行文件加密前得到該文件，或不能破譯加密算法，則該文件不可能被感染。即使病毒在可執(zhí)行文件加密前傳染了該文件，該文件解碼后，病毒也不能向其他可執(zhí)行文件傳播，從而杜絕了病毒的復制。</p><p><b>　　備份恢復</b></p><p>　　定期或不定期地進行磁盤文件備份，確保每一個細節(jié)的準確、可靠，在萬一

106、系統(tǒng)崩潰時最大限度地恢復系統(tǒng)。對付病毒破壞最有效的辦法就是制作備份。將程序和數(shù)據(jù)分別備份在不同的磁盤上，當系統(tǒng)遭遇病毒攻擊時，可通過與后備副本比較或重新裝入一個備份的、干凈的源程序來解決。</p><p>　　建立嚴密的病毒監(jiān)視體系</p><p>　　后臺實時掃描病毒的應用程序也可有效地預防病毒的侵襲。它能對E-mail的附加部分、下載的Internet文件、以及正在打開的文件進行實時掃

107、描檢測，確認無異常后再繼續(xù)向下執(zhí)行，若有異常，則提問并停止執(zhí)行。及時對反病毒軟件進行升級，能有效地防止病毒的入侵和擴散。對于聯(lián)網的計算機最好使用網絡版的反病毒軟件，這樣便于集中管理、軟件升級和病毒監(jiān)控。</p><p>　　在內部網絡出口進行訪問控制</p><p>　　網絡病毒一般都使用某些特定的端口收發(fā)數(shù)據(jù)包以進行網絡傳播，在網絡出口的防火墻或路由器上禁止這端口訪問內網絡，可以有效地防

108、止內部網絡中計算機感染網絡病毒。</p><p>　　5.2.2 計算機網絡病毒的防范措施</p><p>　　只有建立一個有層次的、立體的防病毒體系，才能有效制止病毒在網路內部的蔓延。</p><p>　　在計算機網路中，要保證系統(tǒng)管理員有最高的訪問權限，避免過多地出現(xiàn)超級用戶。超級用戶登錄后將擁有服務器目錄下的全部訪問權限，一旦帶入病毒，將產生更為嚴重的后果。為

109、工作站上用戶賬號設置復雜的密碼。目前，一些網絡病毒自帶破解密碼的字典，對于密碼設置過于簡單的計算機可以很容易的侵入。因此，必須設置復雜的密碼，才能有效地防止病毒入侵。</p><p>　　對非共享軟件，將其執(zhí)行文件（如*.com、*.Exe等）定期備份，當計算機異常出現(xiàn)問題時，將文件恢復到本地硬盤上進行重寫操作。</p><p>　　建立健全的網絡系統(tǒng)安全管理制度，嚴格操作規(guī)程和規(guī)章制度，

110、定期做文件備份和病毒檢測。即使有了殺毒軟件，也不可掉以輕心，因為沒有一個殺毒軟件可以完全殺掉所有病毒，所以仍要記住定期備份，一旦真的遭到病毒的破壞，只要將受損的數(shù)據(jù)恢復即可。</p><p>　　目前預防病毒最好的辦法就是在計算機中安裝具有實時監(jiān)控功能的防病毒軟件，并及時升級。</p><p>　　第6章 防火墻及相關技術應用</p><p><b>　　

111、6.1 防火墻概述</b></p><p>　　防火墻技術是建立在現(xiàn)代通信網絡技術和信息安全技術基礎之上的安全性計算機網絡安全技術,被廣泛應用于專用網絡與公用網絡互聯(lián)環(huán)境之中。在構建安全網絡環(huán)境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關注。通常的購買網絡安全設備時，總是把防火墻放在首位。目前出現(xiàn)的很多網絡安全問題都證明大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)的。防火墻技術在保

112、護計算機網絡安全領域中起著非常重要的作用，已經成為世界上用的最多的網絡安全產品之一。但是客觀地講，防火墻并不能完全解決網絡安全問題，而只是網絡安全政策中的一個組成部分。</p><p>　　6.1.1 防火墻的概念</p><p>　　防火墻的本義原是指房屋之間修建的那道墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。然而，多數(shù)防火墻里都有一個重要的門，允許人們進入或離開房屋。因此，防火墻

113、在提供增強安全性的同時允許必要的訪問。</p><p>　　計算機網絡安全領域中的防火墻指位于不同網絡安全域之間的軟件和硬件設備的一系列部件的組合，作為不同網絡安全域之間通信流的唯一通道，并根據(jù)用戶的有關安全策略控制（允許、拒絕、監(jiān)視、記錄）進出不同網絡安全域的訪問，如圖6-1所示。</p><p>　　圖6-1防火墻系統(tǒng)模型</p><p>　　6.1.2防火墻的