畢業(yè)論文---企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)措施

1、<p><b>　　目 錄</b></p><p><b>　　第1章 緒論1</b></p><p>　　第2章 企業(yè)網(wǎng)絡(luò)安全概述3</p><p>　　2.1 網(wǎng)絡(luò)安全3</p><p>　　2.2 安全隱患3</p><p>　　2.2.1 完整性3

2、</p><p>　　2.2.2 機(jī)密性3</p><p>　　2.2.3 可用性4</p><p>　　2.3 安全分類4</p><p>　　2.4 網(wǎng)絡(luò)安全的目標(biāo)4</p><p>　　2.4.1 消除盜竊4</p><p>　　2.4.2 確定身份4</p>&

3、lt;p>　　2.4.3 鑒別假冒5</p><p>　　2.4.4 保密5</p><p>　　第3章 企業(yè)數(shù)據(jù)安全6</p><p>　　3.1數(shù)據(jù)庫安全6</p><p>　　3.1.1 數(shù)據(jù)庫安全問題6</p><p>　　3.1.2 數(shù)據(jù)庫安全策略與配置6</p><p&

4、gt;　　3.1.3 數(shù)據(jù)庫的加密7</p><p>　　3.2 數(shù)據(jù)備份與恢復(fù)8</p><p>　　3.2.1 數(shù)據(jù)備份與恢復(fù)概述8</p><p>　　3.2.2 數(shù)據(jù)備份策略10</p><p>　　3.2.3 數(shù)據(jù)庫的備份11</p><p>　　第4章 網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)的安全12</p&

5、gt;<p>　　4.1 Web服務(wù)器安全12</p><p>　　4.1.1 Web的安全概述12</p><p>　　4.1.2 Web站點(diǎn)的安全和漏洞12</p><p>　　4.1.3 Web安全預(yù)防措施13</p><p>　　4.2 域名系統(tǒng)的安全性14</p><p>　　4.2.

6、1 DNS的安全威脅14</p><p>　　4.2.2 名字欺騙技術(shù)15</p><p>　　4.2.3 增強(qiáng)DNS服務(wù)的安全性15</p><p>　　4.3 電子郵件的安全性16</p><p>　　4.3.1 E-mail的安全風(fēng)險(xiǎn)16</p><p>　　4.3.2 郵件服務(wù)器的安全與可靠性17&

7、lt;/p><p>　　4.3.3 郵件客戶端的安全17</p><p>　　第5章 網(wǎng)絡(luò)病毒防范19</p><p>　　5.1 計(jì)算機(jī)病毒概述19</p><p>　　5.1.1 計(jì)算機(jī)病毒的定義19</p><p>　　5.1.2 計(jì)算機(jī)病毒分類19</p><p>　　5.1.3

8、計(jì)算機(jī)病毒的特征19</p><p>　　5.1.4 計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害性20</p><p>　　5.2 反病毒技術(shù)20</p><p>　　5.2.1 計(jì)算機(jī)病毒的防范20</p><p>　　5.2.2 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范措施22</p><p>　　第6章 防火墻及相關(guān)技術(shù)應(yīng)用23</p&

9、gt;<p>　　6.1 防火墻概述23</p><p>　　6.1.1 防火墻的概念23</p><p>　　6.1.2 防火墻的目的和功能23</p><p>　　6.1.3 防火墻的局限性24</p><p>　　6.2 防火墻的分類25</p><p>　　6.3 防火墻的體系結(jié)構(gòu)25

10、</p><p>　　6.3.1 雙穴主機(jī)體系結(jié)構(gòu)25</p><p>　　6.3.2 屏蔽主機(jī)體系結(jié)構(gòu)26</p><p>　　6.3.3 屏蔽子網(wǎng)體系結(jié)構(gòu)26</p><p>　　6.4 防火墻的策略與維護(hù)27</p><p>　　6.4.1 設(shè)置防火墻的策略27</p><p>

11、　　6.4.2 防火墻的維護(hù)28</p><p>　　6.5 入侵檢測(cè)系統(tǒng)29</p><p>　　6.5.1 入侵檢測(cè)系統(tǒng)的功能及分類29</p><p>　　6.5.2 入侵檢測(cè)產(chǎn)品的選購原則30</p><p>　　6.6 虛擬專用網(wǎng)（VPN）30</p><p><b>　　結(jié) 論32&

12、lt;/b></p><p><b>　　致 謝33</b></p><p><b>　　參考文獻(xiàn)34</b></p><p><b>　　摘 要</b></p><p>　　隨著Internet上的個(gè)人和商業(yè)應(yīng)用越來越普遍,基于網(wǎng)絡(luò)應(yīng)用和服務(wù)的信息資源也

13、面臨著更多的安全風(fēng)險(xiǎn)。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有得到應(yīng)有的重視。信息是一種必須保護(hù)的資產(chǎn)，由于缺少足夠的保護(hù)或者網(wǎng)絡(luò)安全措施而造成的損失對(duì)企業(yè)而言可能是致命的。為了能夠讓企業(yè)的網(wǎng)絡(luò)系統(tǒng)避免遭受來自各種不安全的攻擊和威脅，從而更加安全可靠地使用網(wǎng)絡(luò)，我們應(yīng)該采取各種有效的安全防護(hù)措施。</p><p>　　針對(duì)目前企業(yè)網(wǎng)絡(luò)所面臨的安全問題，本文從如何保護(hù)企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病

14、毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個(gè)方面闡述了如何有效地保護(hù)企業(yè)網(wǎng)絡(luò)的安全。</p><p>　　文章通過對(duì)當(dāng)今網(wǎng)絡(luò)面臨的安全問題的總結(jié)，并結(jié)合當(dāng)前企業(yè)網(wǎng)絡(luò)的特點(diǎn)，制定出了有效的安全防護(hù)措施。針對(duì)企業(yè)網(wǎng)絡(luò)所出現(xiàn)的比較常見的安全問題，通過各種方法給予解決或給出可行方案。</p><p>　　在對(duì)各種網(wǎng)絡(luò)安全防護(hù)措施的敘述的同時(shí)，文章還通過各種圖形來近一步闡述各種原理，使抽象問題變得更加的簡(jiǎn)潔明了。當(dāng)

15、涉及到網(wǎng)絡(luò)連接等原理時(shí)，更能通過各種網(wǎng)絡(luò)拓?fù)鋱D，形象的給予描述，使復(fù)雜問題的變得簡(jiǎn)單。通過本文的敘述，我們將會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全有一個(gè)更加清晰的認(rèn)識(shí)。</p><p>　　關(guān)鍵字： 防火墻 數(shù)據(jù) 備份 </p><p><b>　　第1章 緒論</b></p><p>　　在信息化高速發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)完全滲透到社會(huì)生活的各個(gè)方面。

16、隨著Internet上的個(gè)人和商業(yè)應(yīng)用越來越普遍,基于網(wǎng)絡(luò)應(yīng)用和服務(wù)的信息資源也面臨著更多的安全風(fēng)險(xiǎn)。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有得到應(yīng)有的重視。信息是一種必須保護(hù)的資產(chǎn)，由于缺少足夠的保護(hù)或者網(wǎng)絡(luò)安全措施而造成的損失對(duì)企業(yè)而言可能是致命的。Internet的不可信也會(huì)限制企業(yè)的商業(yè)機(jī)會(huì)，特別是那些100%基于Web的組織。制定和頒布安全政策與安全措施并使得用戶和潛在的用戶感覺到足夠安全是必須的。</p><p&

17、gt;　　隨著Internet的發(fā)展和應(yīng)用，許多企業(yè)已經(jīng)認(rèn)識(shí)到通過網(wǎng)絡(luò)建立企業(yè)內(nèi)部的商務(wù)平臺(tái)、為企業(yè)雇員提供到自動(dòng)銷售系統(tǒng)的移動(dòng)連接、向客戶和消費(fèi)者提供電子商務(wù)平臺(tái)等行為，都將為企業(yè)節(jié)約大量的銷售成本。通過入侵檢測(cè)、身份鑒定、授權(quán)和評(píng)估系統(tǒng)，增強(qiáng)了防火墻的功能?，F(xiàn)在，許多企業(yè)很好地平衡了防止惡意攻擊與增加正當(dāng)訪問渠道之間的矛盾。</p><p>　　在企業(yè)安全方面的投資可以保證企業(yè)的生產(chǎn)力和確?？蛻舻男湃巍Ｒ粋€(gè)可

18、靠的安全基礎(chǔ)能幫助企業(yè)建立與雇員、供應(yīng)商、合伙人和客戶之間的信任關(guān)系，使他們相信企業(yè)的任何信息都能夠受到妥善的保護(hù)，任何的網(wǎng)上交易都是可以信賴的。</p><p>　　正是由于越來越多的企業(yè)組建了自己的局域網(wǎng)，并依靠現(xiàn)代網(wǎng)絡(luò)的快速便捷使自己的生產(chǎn)、經(jīng)營、運(yùn)作方式等發(fā)生了極大的改變。通過這種方式，企業(yè)降低了生產(chǎn)成本，增加了企業(yè)收入。正是出于企業(yè)對(duì)網(wǎng)絡(luò)的極度依賴，所以保證一個(gè)企業(yè)的網(wǎng)絡(luò)安全是非常重要的。在網(wǎng)絡(luò)安全方面

19、，企業(yè)采用的防護(hù)措施還有彌補(bǔ)操作系統(tǒng)的安全漏洞、以及當(dāng)網(wǎng)絡(luò)已經(jīng)癱瘓時(shí)進(jìn)行災(zāi)難恢復(fù)等。此外，虛擬專用網(wǎng)（VPN）技術(shù)將逐漸成為企業(yè)之間互聯(lián)的首選產(chǎn)品，因?yàn)樗軌蚪档统杀?、提高效率、增?qiáng)安全性，在日后的應(yīng)用中將會(huì)有廣闊的前景。</p><p>　　然而，為了能夠讓企業(yè)網(wǎng)絡(luò)變得更加的安全，我們不能只是靠各種安全防護(hù)產(chǎn)品，除此之外，我們必須通過各種安全策略，包括制定嚴(yán)格的安全制度、法律，組建安全團(tuán)隊(duì)，對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)實(shí)時(shí)關(guān)

20、注，開發(fā)出更完善的安全系統(tǒng)，只有這樣，才能保證企業(yè)網(wǎng)絡(luò)處于一個(gè)比較安全的位置。</p><p>　　安全風(fēng)險(xiǎn)不能完全消除或者防止，但是可通過有效的風(fēng)險(xiǎn)管理和評(píng)估，將風(fēng)險(xiǎn)最小化到可以接受的水平。至于什么才是可以接受的，這取決于個(gè)人或者企業(yè)的承受力。如果減少風(fēng)險(xiǎn)所帶來的收益超過了采取各種措施的費(fèi)用，那么進(jìn)行風(fēng)險(xiǎn)管理就是值得的。</p><p>　　正是由于企業(yè)網(wǎng)絡(luò)面臨的安全問題是各種各樣的，針

21、對(duì)目前企業(yè)網(wǎng)絡(luò)所面臨的安全問題，本文從如何保護(hù)企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個(gè)方面闡述了如何有效地保護(hù)企業(yè)網(wǎng)絡(luò)的安全。</p><p>　　第2章 企業(yè)網(wǎng)絡(luò)安全概述</p><p><b>　　2.1 網(wǎng)絡(luò)安全</b></p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受

22、自然和人為有害因素的威脅和危害，即指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改和泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜合性科學(xué)。</p><p>　　從廣義上來說，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和

23、理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。所以，廣義的計(jì)算機(jī)網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，諸如場(chǎng)地環(huán)境保護(hù)、防火措施、防水措施、放電保護(hù)、靜電保護(hù)、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射和計(jì)算機(jī)病毒等。</p><p>　　安全風(fēng)險(xiǎn)不能完全消除或者防止，但是可通過有效的風(fēng)險(xiǎn)管理和評(píng)估，將風(fēng)險(xiǎn)最小化到可以接受的水平。至于什么才是可以接受的，這取決于個(gè)人或者企業(yè)的承受力。如果減少風(fēng)險(xiǎn)所帶來的收益超過了采取各種措施的費(fèi)用，那么進(jìn)

24、行風(fēng)險(xiǎn)管理就是值得的。</p><p><b>　　2.2 安全隱患</b></p><p>　　網(wǎng)絡(luò)安全的目的是實(shí)現(xiàn)網(wǎng)絡(luò)信息的完整性、機(jī)密性和可用性。</p><p><b>　　2.2.1 完整性</b></p><p>　　完整性是指確保數(shù)據(jù)不允許被非授權(quán)人修改或者破壞的能力。完整性確保了發(fā)送

25、信息與接受信息是一致的，即使數(shù)據(jù)是非保密的，也必須保證數(shù)據(jù)的完整性，就像一個(gè)人允許其他人知道他的日常業(yè)務(wù)，但決不允許他人擅自修改其業(yè)務(wù)一樣。</p><p><b>　　2.2.2 機(jī)密性</b></p><p>　　機(jī)密性將保護(hù)數(shù)據(jù)不泄露給非授權(quán)的第三方。無論是客戶數(shù)據(jù)還是公司內(nèi)部數(shù)據(jù)，企業(yè)都有責(zé)任保證數(shù)據(jù)的私密性。所有的客戶都有權(quán)要求保護(hù)他們的個(gè)人信息，一個(gè)企業(yè)也

26、必須尊重客戶的隱私權(quán)并與客戶之間保持一種信任的關(guān)系。</p><p>　　公司擁有的信息不僅是敏感的，而且也需要保密，只有被許可的部分才能被訪問，這些信息的傳遞也是以一種安全的方式進(jìn)行并能阻止未授權(quán)的訪問。</p><p><b>　　2.2.3 可用性</b></p><p>　　可用性是指計(jì)算機(jī)系統(tǒng)的連續(xù)操作能力，其對(duì)立面是拒絕服務(wù)，這種攻

27、擊通過垃圾信息來淹沒網(wǎng)絡(luò)設(shè)備，減慢直到整個(gè)系統(tǒng)崩潰。應(yīng)用程序需要不同級(jí)別的可用性，這取決于停機(jī)時(shí)間對(duì)業(yè)務(wù)的影響。例如，若一個(gè)應(yīng)用程序是可用的，那么所有的組件，包括應(yīng)用程序和數(shù)據(jù)庫服務(wù)器、存儲(chǔ)設(shè)備和端到端的網(wǎng)絡(luò)連接等，都必須是可提供持續(xù)服務(wù)的。</p><p>　　隨著更多企業(yè)和組織對(duì)基于網(wǎng)絡(luò)應(yīng)用和Internet依賴性的增加，多媒體數(shù)據(jù)的集成也對(duì)各種應(yīng)用的可用性提出了更高的要求。各種原因造成的系統(tǒng)停機(jī)，都可能導(dǎo)致

28、可用性的缺乏，降低客戶的信任度，甚至減少企業(yè)的收入。</p><p><b>　　2.3 安全分類</b></p><p>　　對(duì)于網(wǎng)絡(luò)安全隱患，主要有以下四方面的原因：</p><p>　　技術(shù)缺陷：每個(gè)網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)都存在內(nèi)在的安全問題。</p><p>　　配置缺陷：暴露出的安全問題，甚至大多數(shù)是安全技術(shù)的配置錯(cuò)

29、誤。</p><p>　　政策缺陷：缺乏安全策略或者不正確的執(zhí)行和管理，都可能使最好的安全和網(wǎng)絡(luò)技術(shù)失去作用。</p><p>　　人為錯(cuò)誤：工作人員寫下自己的口令隨意放置，或者多人共享一個(gè)口令等，都是一些常見的問題。</p><p>　　2.4 網(wǎng)絡(luò)安全的目標(biāo)</p><p>　　網(wǎng)絡(luò)安全最重要的一個(gè)目標(biāo)是獲得那些任何不是被明確許可的操作被

30、禁止的情況。正在發(fā)展的一個(gè)安全策略目標(biāo)是定義一個(gè)組織的計(jì)算機(jī)和網(wǎng)絡(luò)的使用期望值。</p><p>　　“安全”意味著防止系統(tǒng)內(nèi)部和外部?jī)煞矫娴墓?。網(wǎng)絡(luò)安全包括安全的數(shù)據(jù)、應(yīng)用和用戶。</p><p>　　2.4.1 消除盜竊</p><p>　　據(jù)統(tǒng)計(jì)美國的公司因?yàn)樾畔⑹Ц`而損失1000億美元的收益，這通常發(fā)生于報(bào)表和機(jī)密信息被當(dāng)成垃圾丟棄。</p>

31、<p>　　2.4.2 確定身份</p><p>　　安全措施可能降低方便性，一般來說，簡(jiǎn)單的口令是一個(gè)效率較低的身份鑒定形式，但是更強(qiáng)大的身份鑒定需要更多的成本開銷。</p><p>　　2.4.3 鑒別假冒</p><p>　　任何隱藏的假冒都是一個(gè)潛在的安全漏洞，為了防止假冒，一般來說，要有足夠的身份鑒定、授權(quán)和審核以及專家的確認(rèn)或者否定，然后在提

32、出相應(yīng)的建議。</p><p><b>　　2.4.4 保密</b></p><p>　　大多數(shù)安全是建立在保密基礎(chǔ)上的。許多安全專家發(fā)現(xiàn)漏洞都是一些很容易修補(bǔ)的眾所周知的缺陷，因此必須確保網(wǎng)絡(luò)安裝最新的版本的補(bǔ)丁。在以后的幾年當(dāng)中，據(jù)估計(jì)90%的對(duì)計(jì)算機(jī)的攻擊將繼續(xù)利用那些已有的補(bǔ)丁程序或預(yù)防措施的安全缺陷。對(duì)數(shù)據(jù)進(jìn)行分類并確定哪些數(shù)據(jù)需要保密是一件迫切的事，需要保

33、密的包括口令、信用卡號(hào)、銀行賬戶等。為了確保秘密數(shù)據(jù)的安全性，必須對(duì)系統(tǒng)進(jìn)行分層并確保安裝最新的補(bǔ)丁程序。</p><p>　　第3章 企業(yè)數(shù)據(jù)安全</p><p><b>　　3.1數(shù)據(jù)庫安全</b></p><p>　　數(shù)據(jù)庫系統(tǒng)是存儲(chǔ)重要信息的場(chǎng)所，并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)

34、庫技術(shù)的發(fā)展而不斷深化。因而，如何保證和加強(qiáng)其安全性和保密性，已成為目前迫切需要解決的熱門課題。</p><p>　　3.1.1 數(shù)據(jù)庫安全問題</p><p>　　計(jì)算機(jī)安全性的三個(gè)方面是安全性、保密性和可用性，都與數(shù)據(jù)庫管理系統(tǒng)有關(guān)系。數(shù)據(jù)庫系統(tǒng)安全問題可歸納為以下三個(gè)方面：</p><p>　　1.保障數(shù)據(jù)庫系統(tǒng)的保密性。</p><p&g

35、t;　　2.保障數(shù)據(jù)庫系統(tǒng)的完整性。</p><p>　　3.數(shù)據(jù)庫系統(tǒng)的可用性。</p><p>　　3.1.2 數(shù)據(jù)庫安全策略與配置</p><p>　　數(shù)據(jù)庫的安全策略包括系統(tǒng)的策略、數(shù)據(jù)安全的策略、用戶安全的策略等。</p><p><b>　　系統(tǒng)安全的策略</b></p><p>&l

36、t;b>　　數(shù)據(jù)庫用戶的管理</b></p><p>　　每個(gè)數(shù)據(jù)庫系統(tǒng)都有一個(gè)或幾個(gè)管理員，負(fù)責(zé)維護(hù)所有的安全策略方面的問題，這類管理員稱為安全管理員。如果數(shù)據(jù)庫系統(tǒng)很小，數(shù)據(jù)庫管理員也就擔(dān)當(dāng)起安全管理員的責(zé)任。但是，如果數(shù)據(jù)庫系統(tǒng)很大，通常就要指定一個(gè)人或一群人專門擔(dān)當(dāng)安全管理員的責(zé)任。</p><p><b>　　用戶的鑒別</b></p

37、><p>　　數(shù)據(jù)庫用戶可以通過操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、或數(shù)據(jù)庫進(jìn)行身份確認(rèn)，來鑒別（核實(shí)合法用戶）。</p><p><b>　　操作系統(tǒng)的安全</b></p><p>　　如果可以的話，對(duì)于任何數(shù)據(jù)庫應(yīng)用的操作系統(tǒng)來說，還應(yīng)該考慮數(shù)據(jù)庫管理員必須具有操作系統(tǒng)權(quán)限，以便創(chuàng)建和刪除文件。一般數(shù)據(jù)庫用戶不應(yīng)該具有操作系統(tǒng)權(quán)限。如果操作系統(tǒng)會(huì)識(shí)別用戶的數(shù)據(jù)

38、庫角色，那么，安全管理員就必須有操作系統(tǒng)權(quán)限，以便修改操作系統(tǒng)賬戶的安全域。</p><p><b>　　數(shù)據(jù)安全的策略</b></p><p>　　安全包括在對(duì)象層上控制訪問和使用數(shù)據(jù)庫的機(jī)制。數(shù)據(jù)庫安全策略應(yīng)確定，能訪問特殊的模式對(duì)象、允許每個(gè)用戶在對(duì)象上所做的特殊的動(dòng)作類型。例如，訪問數(shù)據(jù)庫表時(shí)，一些用戶只能執(zhí)行SELECT和INSERT語句，而不能執(zhí)行DELE

39、TE語句。</p><p><b>　　用戶安全的策略</b></p><p><b>　　普通用戶的權(quán)限管理</b></p><p>　　安全管理員應(yīng)該考慮涉及所有類型用戶的權(quán)限管理問題。例如，在一個(gè)有許多用戶名的數(shù)據(jù)庫中，使用角色來管理用戶可用的權(quán)限是非常有益的。否則，如果數(shù)據(jù)庫中只有少數(shù)用戶名，就將權(quán)限明確地賦予用戶

40、，避免使用角色，這樣反而更容易。</p><p><b>　　密碼的安全</b></p><p>　　如果用戶是通過數(shù)據(jù)庫進(jìn)行用戶身份的確認(rèn)，那么建議使用密碼加密的方法與數(shù)據(jù)庫進(jìn)行連接。</p><p><b>　　終端用戶的安全</b></p><p>　　安全管理員必須定義終端用戶的安全策略。如

41、果一個(gè)數(shù)據(jù)庫有很多用戶，安全管理員可以決定將那些用戶的組分類成用戶組，然后為這些組創(chuàng)建用戶角色。安全管理員可以給每個(gè)用戶角色賦予必要的權(quán)限或應(yīng)用角色，再將用戶角色賦予給這些用戶。對(duì)于例外情況，安全管理員還必須確定，必須將什么權(quán)限明確地授予那個(gè)用戶。</p><p><b>　　管理員的安全</b></p><p>　　安全管理員應(yīng)該有一個(gè)處理數(shù)據(jù)庫管理員的安全的策略。

42、例如，當(dāng)數(shù)據(jù)庫很大，且有幾種類型的數(shù)據(jù)庫管理員時(shí)，安全管理員就應(yīng)該將相關(guān)的管理權(quán)限劃分成幾個(gè)管理角色。然后將這些管理角色授予適當(dāng)?shù)墓芾韱T用戶。相反，當(dāng)數(shù)據(jù)庫很小而且只有幾個(gè)管理員時(shí)，創(chuàng)建一個(gè)管理角色并把這個(gè)管理角色授予所有管理員，可能就更方便些。</p><p>　　3.1.3 數(shù)據(jù)庫的加密</p><p><b>　　1、數(shù)據(jù)庫加密概述</b></p>

43、<p>　　大型數(shù)據(jù)庫管理系統(tǒng)的運(yùn)行平臺(tái)一般是Windows NT/2000和UNIX，這些操作系統(tǒng)的安全級(jí)別通常為C1、C2級(jí)。它們具有用戶注冊(cè)、識(shí)別用戶、任意存取控制、審計(jì)等安全功能。雖然數(shù)據(jù)庫管理系統(tǒng)在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施，例如基于權(quán)限的控制等，但操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)對(duì)數(shù)據(jù)庫文件本身仍然缺乏有效的保護(hù)措施，有經(jīng)驗(yàn)的網(wǎng)上黑客會(huì)繞道而行，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件的內(nèi)容。這種隱患被稱為通向數(shù)

44、據(jù)庫管理系統(tǒng)的隱秘通道，它所帶來的危害一般數(shù)據(jù)庫用戶難以覺察。分析和堵塞隱秘通道被認(rèn)為是B2級(jí)的安全技術(shù)措施。對(duì)數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密處理，是堵塞這一隱秘通道的有效手段。</p><p><b>　　2、加密算法</b></p><p>　　加密算法是數(shù)據(jù)加密的核心。算法必須適應(yīng)數(shù)據(jù)庫系統(tǒng)的特點(diǎn)，加密解密速度要快。著名的背包算法就是一種適合數(shù)據(jù)庫加密的算法。算法的

45、思路是假定某人擁有大量的物品，重量各不相同。此人通過秘密地選擇一部分物品并將它們放到背包中來加密消息。背包中的物品總重量是公開的，所有可能的物品也是公開的，但背包中的物品卻是保密的。附加一定的限制條件，給出重量，而要列出可能的物品，在計(jì)算上是不可實(shí)現(xiàn)的。</p><p>　　3.2 數(shù)據(jù)備份與恢復(fù)</p><p>　　隨著各單位局域網(wǎng)和互連網(wǎng)絡(luò)的深入應(yīng)用,系統(tǒng)內(nèi)的服務(wù)器擔(dān)負(fù)著企業(yè)的關(guān)鍵應(yīng)用

46、,存儲(chǔ)著重要的信息和數(shù)據(jù),為網(wǎng)絡(luò)環(huán)境下的大量客戶機(jī)提供快速高效的信息查詢、數(shù)據(jù)處理和Internet等的各項(xiàng)服務(wù)，一旦數(shù)據(jù)丟失，將會(huì)造成無法彌補(bǔ)的損失。為了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)中的核心數(shù)據(jù)必須能安全的保存和迅速的恢復(fù)，因此，對(duì)于企業(yè)來說，可靠的數(shù)據(jù)備份和恢復(fù)措施是非常必要的。</p><p>　　3.2.1 數(shù)據(jù)備份與恢復(fù)概述</p><p>　　1、數(shù)據(jù)備份和恢復(fù)的基本概念&l

47、t;/p><p>　　數(shù)據(jù)備份和恢復(fù)是指將計(jì)算機(jī)硬盤上的原始數(shù)據(jù)復(fù)制到其他存儲(chǔ)媒體上，如磁帶、光盤等，在出現(xiàn)數(shù)據(jù)丟失或系統(tǒng)災(zāi)難時(shí)將復(fù)制在其他存儲(chǔ)媒體上的數(shù)據(jù)恢復(fù)到硬盤上，從而保護(hù)計(jì)算機(jī)的系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)，備份不僅僅是文件的復(fù)制，還應(yīng)該包括文件的權(quán)限、屬性等信息。</p><p><b>　　數(shù)據(jù)備份的原則</b></p><p&g

48、t;　　對(duì)數(shù)據(jù)進(jìn)行備份是為了保證數(shù)據(jù)的安全性，消除系統(tǒng)使用者和操作者的后顧之憂。不同的應(yīng)用環(huán)境要求不同的解決方案來適應(yīng)，一般來說，要求滿足以下原則。</p><p>　　穩(wěn)定性。備份產(chǎn)品的主要作用是為了系統(tǒng)提供一個(gè)數(shù)據(jù)保護(hù)方法，于是該產(chǎn)品本身的穩(wěn)定性就變成了最重要的一個(gè)方面，一定要與操作系統(tǒng)百分之百的兼容。</p><p>　　全面性。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，可能包括了各種操作平臺(tái)，如Netw

49、are、Windows NT、UNIX等。選用的備份軟件，要支持各種操作系統(tǒng)、數(shù)據(jù)庫和典型應(yīng)用。</p><p>　　安全性。計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)病毒傳播的通道，給數(shù)據(jù)安全帶來極大威脅。如果在備份的時(shí)候，把計(jì)算機(jī)病毒也完整的備份下來，將會(huì)是一種惡性循環(huán)。因此，要求在備份的過程中有查毒、防毒、殺毒、的功能，確保無毒備份，同時(shí)還要保證備份介質(zhì)不丟失和備份數(shù)據(jù)的完整性。</p><p>　　容錯(cuò)性

50、。確認(rèn)備份數(shù)據(jù)的可靠性，也是一個(gè)至關(guān)重要的方面。如果引入RAID技術(shù)，對(duì)磁帶進(jìn)行鏡像，就可以更好的保證數(shù)據(jù)安全可靠，給用戶再加一把保險(xiǎn)鎖。</p><p><b>　　常用數(shù)據(jù)備份的方法</b></p><p><b>　　磁帶備份</b></p><p>　　在所有備份介質(zhì)中，磁帶備份是可靠、成本低、傳輸率高、易于使用和

51、管理的數(shù)據(jù)備份介質(zhì)。</p><p><b>　　硬盤備份</b></p><p>　　在計(jì)算機(jī)中安裝多塊硬盤，將數(shù)據(jù)備份在不同的硬盤上，通常采用磁盤陣列（RAID）的方法。在硬盤備份中也有采用移動(dòng)硬盤進(jìn)行手動(dòng)備份的。硬盤備份的速度快、實(shí)時(shí)性高，一塊硬盤出現(xiàn)故障時(shí)不影響系統(tǒng)的運(yùn)行。但使用硬盤備份時(shí)，由于硬盤無法從系統(tǒng)中分離，一旦發(fā)生自然災(zāi)害將引起重大的數(shù)據(jù)損失。<

52、;/p><p><b>　　網(wǎng)絡(luò)備份</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，該技術(shù)也應(yīng)用到數(shù)據(jù)的存儲(chǔ)和備份中。采用網(wǎng)絡(luò)備份可以實(shí)現(xiàn)備份的集中管理、異地備份等。通過制定相應(yīng)的備份策略，備份工作可以自動(dòng)進(jìn)行，不需要太多的人干預(yù)，減少了日常的管理負(fù)擔(dān)，并可避免人為的疏忽或錯(cuò)誤，提高了數(shù)據(jù)備份的可靠性。特別是通過網(wǎng)絡(luò)進(jìn)行的異地備份可以有效的預(yù)防自然災(zāi)害對(duì)數(shù)據(jù)的破壞。&l

53、t;/p><p><b>　　數(shù)據(jù)備份的注意事項(xiàng)</b></p><p>　　制定備份策略。根據(jù)企業(yè)對(duì)數(shù)據(jù)安全的實(shí)際需要來制定適合的備份方案和策略。</p><p>　　將備份介質(zhì)存儲(chǔ)在異地。備份后的介質(zhì)一定要保存在異地或防火、防水、防磁的保險(xiǎn)箱內(nèi)。</p><p>　　定期清潔備份設(shè)備。由于頻繁進(jìn)行備份操作，清潔備份設(shè)備是

54、保證備份質(zhì)量的關(guān)鍵。</p><p>　　使用合格的備份介質(zhì)。對(duì)備份介質(zhì)的讀寫操作會(huì)造成一定的磨損，當(dāng)出現(xiàn)損壞或老化時(shí)要及時(shí)更換，制定備份介質(zhì)輪換策略。</p><p>　　選用有報(bào)警功能的備份設(shè)備。用戶可以檢測(cè)備份設(shè)備的狀態(tài)是否正常。</p><p>　　每?jī)扇齻€(gè)星期檢查備份介質(zhì)，并從中恢復(fù)一些文件，從而得知備份文件是否處在可恢復(fù)的狀態(tài)。</p>&

55、lt;p>　　3.2.2 數(shù)據(jù)備份策略</p><p>　　備份策略指確定需備份的內(nèi)容、備份時(shí)間及備份方式。各個(gè)單位要根據(jù)自己的實(shí)際情況來制定不同的備份策略。企業(yè)可以選取的備份策略有以下三種。</p><p><b>　　完全備份</b></p><p>　　對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行完全備份。例如，星期一用一盤磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行備份，星期二用另

56、一盤磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行備份，依次類推。這種備份策略的好處是當(dāng)發(fā)生數(shù)據(jù)丟失的災(zāi)難時(shí)，只要用一盤磁帶（災(zāi)難發(fā)生前一天的備份磁帶），就可以恢復(fù)丟失的數(shù)據(jù)。然而它亦有不足之處。首先，由于每天都對(duì)整個(gè)系統(tǒng)進(jìn)行備份，造成備份的數(shù)據(jù)大量重復(fù)，這些重復(fù)的數(shù)據(jù)占用了大量的磁帶空間，這對(duì)用戶來說就意味著增加成本。其次，由于需要備份的數(shù)據(jù)量較大，因此備份所需的時(shí)間也就較長。對(duì)于那些業(yè)務(wù)繁忙、備份時(shí)間有限的單位來說，選擇這種備份策略是不明智的。</p&g

57、t;<p><b>　　增量備份</b></p><p>　　增量備份是進(jìn)行一次完全備份，然后在接下來只對(duì)當(dāng)天新的或被修改過的數(shù)據(jù)進(jìn)行備份。這種備份策略的優(yōu)點(diǎn)是節(jié)省了磁帶空間，縮短了備份時(shí)間。但它的缺點(diǎn)在于：當(dāng)災(zāi)難發(fā)生時(shí)，數(shù)據(jù)的恢復(fù)比較麻煩。</p><p><b>　　差分備份</b></p><p>　　

58、差分備份是管理員先進(jìn)行一次系統(tǒng)完全備份，然后在接下來的幾天里，管理員再將當(dāng)天所有與完全備份后發(fā)生改變的數(shù)據(jù)（新的或修改過的）備份到磁帶上。差分備份策略在避免了以上兩中策略的缺陷的同時(shí)，又具有了它們的所有優(yōu)點(diǎn)。首先，它無需每天都對(duì)系統(tǒng)做完全備份，因此備份所需時(shí)間短，并節(jié)省了磁帶空間；其次，它的災(zāi)難恢復(fù)也很方便。系統(tǒng)管理員只需兩盤磁帶，即完全備份磁帶與災(zāi)難發(fā)生前一天的磁帶，就可以將系統(tǒng)恢復(fù)。</p><p>　　在實(shí)

59、際應(yīng)用中，備份策略通常是以下三種的結(jié)合。例如在每周一至周六每天進(jìn)行一次增量備份或差分備份，每周日進(jìn)行全備份，每月底進(jìn)行一次全備份，每年底進(jìn)行一次全備份。</p><p>　　3.2.3 數(shù)據(jù)庫的備份</p><p><b>　　數(shù)據(jù)庫備份技術(shù)概述</b></p><p>　　當(dāng)企業(yè)用戶使用一個(gè)數(shù)據(jù)庫時(shí)，總希望數(shù)據(jù)庫的內(nèi)容是可靠的、正確的，但由于

60、數(shù)據(jù)庫在傳輸、存儲(chǔ)和交換的過程中出現(xiàn)計(jì)算機(jī)系統(tǒng)的故障（包括機(jī)器故障、介質(zhì)故障、誤操作等），同時(shí)，計(jì)算機(jī)系統(tǒng)也會(huì)發(fā)生意料不到的事故，數(shù)據(jù)庫也可能遭到破壞，這時(shí)如何盡快恢復(fù)數(shù)據(jù)就成為當(dāng)務(wù)之急。如果平時(shí)對(duì)數(shù)據(jù)庫做了備份，那么此時(shí)恢復(fù)數(shù)據(jù)就顯得很容易。如果沒有事先采取數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)措施，數(shù)據(jù)就會(huì)丟失，將造成慘重的損失。數(shù)據(jù)的備份與恢復(fù)作為信息安全的重要內(nèi)容不可忽視。因此，數(shù)據(jù)的備份與恢復(fù)也是數(shù)據(jù)庫系統(tǒng)的一個(gè)安全功能。</p>

61、<p><b>　　數(shù)據(jù)庫的備份</b></p><p>　　大多數(shù)操作系統(tǒng)都帶有備份工具，例如，在Windows 2000中，通過在桌面上單擊[開始]/[程序]/[附件]/[備份工具]/[備份]選項(xiàng)，單擊[備份向?qū)按扭，啟動(dòng)系統(tǒng)的備份向?qū)?。其它操作系統(tǒng)亦可以通過系統(tǒng)備份工具對(duì)數(shù)據(jù)庫進(jìn)行備份，也可以利用專用的備份工具。</p><p>　　第4章 網(wǎng)絡(luò)服務(wù)

62、與應(yīng)用系統(tǒng)的安全</p><p>　　4.1 Web服務(wù)器安全</p><p>　　在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用服務(wù)中，Web技術(shù)被廣泛的使用，給人們的生活、工作和學(xué)習(xí)帶來了很大的方便，同時(shí)在這個(gè)虛幻的網(wǎng)絡(luò)世界里，經(jīng)常出現(xiàn)一些Web站點(diǎn)被攻擊、被篡改、信息泄露等，這就使得能否保證使用者的安全和隱私成為Web應(yīng)用中的一個(gè)主要問題。Web的安全性是Web應(yīng)用中必須考慮的重要問題。</p>&

63、lt;p>　　Web（World Wide Web）又稱萬維網(wǎng)，其基本結(jié)構(gòu)是采用開放試的客戶機(jī)/服務(wù)器(Client/Server)結(jié)構(gòu)，其基本工作原理如圖4-1所示。</p><p>　　圖 4-1客戶機(jī)/服務(wù)器工作模式</p><p>　　4.1.1 Web的安全概述</p><p>　　通常的網(wǎng)絡(luò)安全總是設(shè)置各種各樣的限制,使得不明身份的人無法獲得非授權(quán)

64、的服務(wù)，但是Web服務(wù)器恰恰相反，它希望接受盡可能多的客戶，對(duì)客戶幾乎沒有限制和要求，這樣，相當(dāng)于其他網(wǎng)絡(luò)服務(wù)器，Web是最容易受到攻擊的。Web安全風(fēng)險(xiǎn)一般可分為三類，即對(duì)Web服務(wù)器及其相連LAN的威脅、對(duì)服務(wù)器和客戶機(jī)之間的通信信道的威脅。從Web服務(wù)器角度來將，服務(wù)器風(fēng)險(xiǎn)比Web瀏覽器用戶更大，服務(wù)器受攻擊要比客戶機(jī)受攻擊危險(xiǎn)的多。</p><p>　　4.1.2 Web站點(diǎn)的安全和漏洞</p>

65、;<p>　　1、Web站點(diǎn)主要安全問題</p><p>　　未經(jīng)授權(quán)的存取動(dòng)作。該類問題指的是用戶未經(jīng)授權(quán)就使用系統(tǒng)資源，即使未對(duì)系統(tǒng)造成破壞，也侵犯了隱私。</p><p>　　竊取系統(tǒng)的信息。該類問題指的是攻擊者非法訪問、獲取目標(biāo)機(jī)器（Web服務(wù)器或者瀏覽器）上的敏感信息；或者中途截取Web服務(wù)器和瀏覽器之間傳輸?shù)拿舾行畔?；或者由于配置、軟件等的原因無意泄露的敏感信息，

66、如賬號(hào)、密碼和客戶資料等。這種行為給用戶造成非常大的損失。</p><p>　　破壞系統(tǒng)。該類問題指的是入侵者進(jìn)入系統(tǒng)后，破壞系統(tǒng)的重要數(shù)據(jù)、系統(tǒng)運(yùn)行的重要文件，從而導(dǎo)致Web站點(diǎn)系統(tǒng)無法正常運(yùn)行。</p><p>　　拒絕服務(wù)。該類問題指的是攻擊者的直接目的不在于侵入計(jì)算機(jī)，而是在短時(shí)間內(nèi)向目標(biāo)發(fā)送大量的正常的請(qǐng)求數(shù)據(jù)包并使得目標(biāo)機(jī)器維持相應(yīng)的連接，或者發(fā)送需要目標(biāo)機(jī)器解析的大量無用的數(shù)

67、據(jù)包。使得目標(biāo)機(jī)器資源耗盡或是應(yīng)接不暇，根本無法響應(yīng)正常的服務(wù)。這種威脅不容易抵御。</p><p>　　非法使用。該類問題指的是入侵者利用系統(tǒng)從事非法用途，如存放、發(fā)布非法信息。</p><p>　　病毒破壞。該類問題指的是由于不小心執(zhí)行病毒程序、系統(tǒng)存在安全漏洞被網(wǎng)絡(luò)病毒攻擊等，從而導(dǎo)致系統(tǒng)數(shù)據(jù)被破壞、被竊取、甚至系統(tǒng)崩潰。</p><p>　　2、Web站點(diǎn)典

68、型安全漏洞</p><p>　　操作系統(tǒng)類安全漏洞。該類問題指的是非法文件訪問、遠(yuǎn)程獲得管理員權(quán)限、系統(tǒng)后門等漏洞。</p><p>　　網(wǎng)絡(luò)系統(tǒng)的安全漏洞。該類問題指的是網(wǎng)絡(luò)結(jié)構(gòu)不合理，如Web服務(wù)器被監(jiān)聽、路由器出現(xiàn)錯(cuò)誤的配置、交換機(jī)有后門口令或允許未授權(quán)用戶繞過認(rèn)證系統(tǒng)、防火墻防外不防內(nèi)以及防火墻設(shè)置不當(dāng)。</p><p>　　應(yīng)用系統(tǒng)的安全漏洞。該類問題指的

69、是計(jì)算機(jī)網(wǎng)絡(luò)中使用的TCP/IP協(xié)議以及WWW Server、mail Server、FTP Server 等存在的安全漏洞。</p><p>　　網(wǎng)絡(luò)安全防護(hù)系統(tǒng)漏洞。該類問題指的是網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，缺少信息系統(tǒng)安全管理的規(guī)范，缺少安全測(cè)試、檢查、監(jiān)控，缺少信息發(fā)布的審核和管理，缺少對(duì)網(wǎng)絡(luò)安全事件的響應(yīng)，網(wǎng)管人員的技術(shù)水平不高。</p><p>　　其他安全漏洞。該類問題指的是薄弱的認(rèn)證

70、環(huán)節(jié)，復(fù)雜的設(shè)置和控制、易被監(jiān)視和欺騙等漏洞。 不能對(duì)電子郵件、下載文件和瀏覽的惡意網(wǎng)站進(jìn)行有效控制。</p><p>　　4.1.3 Web安全預(yù)防措施</p><p>　　增強(qiáng)服務(wù)器操作系統(tǒng)的安全，密切關(guān)注并及時(shí)安裝系統(tǒng)及軟件的最新補(bǔ)丁。</p><p>　　建立良好的賬號(hào)管理制度，限制在Web服務(wù)器開賬戶。使用足夠安全的口令，在口令長度及定期更改方面做出要求，

71、防止被盜用，并正確設(shè)置用戶訪問權(quán)限。</p><p>　　對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，使用如SSL等安全協(xié)議，避免使用Telnet、FTP等程序，因?yàn)檫@些程序是以明文形式傳輸密碼的，容易被監(jiān)聽。并嚴(yán)格控制遠(yuǎn)程管理員身份的使用，僅在絕對(duì)需要時(shí)，才允許使用具有高授權(quán)的操作。</p><p>　　使用入侵檢測(cè)系統(tǒng)，監(jiān)視系統(tǒng)、事件、安全記錄和系統(tǒng)日志，以及網(wǎng)絡(luò)中的數(shù)據(jù)包，定期查看服務(wù)器中的日志logs

72、文件，分析一切可疑事件，對(duì)危險(xiǎn)和惡意訪問進(jìn)行阻斷、報(bào)警等響應(yīng)，并進(jìn)行必要的修補(bǔ)和控制。</p><p>　　限制可訪問用戶的IP或域名。在Web服務(wù)器上可以根據(jù)IP地址或域名來限制用戶對(duì)資源的訪問，可以限制哪些IP或域名可以訪問，哪些IP或域名不可以訪問。</p><p>　　使用防火墻，對(duì)數(shù)據(jù)包進(jìn)行過濾，禁止某些地址對(duì)服務(wù)器的某些服務(wù)的訪問，并在外部網(wǎng)絡(luò)和Web服務(wù)器中建立雙層防護(hù)。利用

73、防火墻，將服務(wù)器中與Web服務(wù)器無關(guān)的服務(wù)及端口阻隔，進(jìn)一步增強(qiáng)開放的服務(wù)的安全性。</p><p>　　使用漏洞掃描和安全評(píng)估軟件，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行全面的掃描、分析和評(píng)估，從用戶賬戶約束、口令系統(tǒng)、訪問控制、系統(tǒng)監(jiān)測(cè)、數(shù)據(jù)完整和數(shù)據(jù)加密等多方面進(jìn)行安全分析和審計(jì)。建立和提高用戶的安全策略，及時(shí)發(fā)現(xiàn)并彌補(bǔ)安全漏洞。</p><p>　　4.2 域名系統(tǒng)的安全性</p><

74、p>　　域名系統(tǒng)(Domain Name System-DNS)是一個(gè)分布式數(shù)據(jù)庫.它把主機(jī)名翻譯成IP地址,把IP地址翻譯成主機(jī)名。對(duì)于DNS服務(wù)器而言可用性是最為重要的。在現(xiàn)實(shí)生活中經(jīng)常定義攻擊者入侵系統(tǒng)獲取數(shù)據(jù)為一個(gè)安全問題，但是對(duì)DNS服務(wù)器來說，遭到了拒絕服務(wù)攻擊則是一件更重要的問題。失去DNS服務(wù)器的話，任何在Internet網(wǎng)絡(luò)上的人將不能夠再使用域名找到所要訪問的服務(wù)器。更嚴(yán)重的是，沒有DNS服務(wù)，所有的郵件發(fā)送都

75、將失敗，而內(nèi)部網(wǎng)絡(luò)將由于解析域名的失敗而失去和外部網(wǎng)絡(luò)的聯(lián)系。</p><p>　　4.2.1 DNS的安全威脅</p><p><b>　　拒絕服務(wù)攻擊</b></p><p>　　網(wǎng)絡(luò)攻擊者攻擊DNS服務(wù)器、路由器和防火墻，是DNS服務(wù)器無法回應(yīng)正常的DNS查詢的請(qǐng)求。</p><p>　　設(shè)置不當(dāng)?shù)腄NS將泄露過

76、多的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</p><p>　　如果DNS服務(wù)器設(shè)置為允許對(duì)任何人都進(jìn)行區(qū)域傳輸?shù)脑挘敲凑麄€(gè)網(wǎng)絡(luò)架構(gòu)中的主機(jī)名、主機(jī)IP列表、路由器名、路由器IP列表甚至包括機(jī)器所在的位置等信息很容易被竊取，通過分析這些信息可以很清楚地得到網(wǎng)站內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。</p><p>　　利用被控制的DNS服務(wù)器入侵整個(gè)網(wǎng)絡(luò)</p><p>　　當(dāng)一個(gè)入侵者控制了DNS服務(wù)器后

77、，他就可以隨意篡改DNS的記錄信息，甚至使用這些被篡改的記錄信息來達(dá)到進(jìn)一步入侵整個(gè)網(wǎng)絡(luò)的目的。比如，將現(xiàn)有的DNS記錄中的主機(jī)信息修改成被攻擊者自己控制的主機(jī)，這樣所有達(dá)到原來目的地的數(shù)據(jù)包將被重定位到入侵者手中，DNS帶來的威脅會(huì)涉及到整個(gè)網(wǎng)絡(luò)系統(tǒng)破壞了整個(gè)網(wǎng)絡(luò)的安全完整性。</p><p>　　4.2.2 名字欺騙技術(shù)</p><p>　　當(dāng)允許用戶執(zhí)行遠(yuǎn)程系統(tǒng)命令時(shí)，系統(tǒng)管理員往往

78、在某些主機(jī)之間建立相互信任的關(guān)系，當(dāng)主機(jī)間的信任是借助名字并通過DNS來認(rèn)證時(shí)，就會(huì)導(dǎo)致名字欺騙的出現(xiàn)。例如，當(dāng)一個(gè)主機(jī)B要向主機(jī)A發(fā)送信息時(shí)，中途被主機(jī)C篡改了主機(jī)B的地址等信息，而此時(shí)主機(jī)C擔(dān)當(dāng)了主機(jī)B的較色，從而主機(jī)C就和主機(jī)A建立了信任關(guān)系，此時(shí)主機(jī)C就假冒主機(jī)B欺騙了主機(jī)A。</p><p>　　4.2.3 增強(qiáng)DNS服務(wù)的安全性</p><p>　　設(shè)置分布在不同網(wǎng)絡(luò)中的DNS

79、服務(wù)器</p><p>　　將DNS服務(wù)器分布在不同的網(wǎng)絡(luò)中，以防御拒絕服務(wù)的攻擊。如果多臺(tái)DNS服務(wù)器放在同一網(wǎng)段，處在同一個(gè)路由器（或防火墻）后面，一旦DNS服務(wù)器前的路由器（或防火墻）成了攻擊目標(biāo)，大量的數(shù)據(jù)包將涌向這個(gè)路由器（或防火墻），堵塞了這個(gè)路由器（或防火墻），而正常的DNS解析請(qǐng)求無法到達(dá)路由器（或防火墻）后的DNS服務(wù)器上。從而干擾了正常的DNS通信，導(dǎo)致應(yīng)用服務(wù)器無法給外界提供服務(wù)，網(wǎng)站發(fā)生癱

80、瘓。</p><p>　　2.防衛(wèi)名字欺騙技術(shù)</p><p>　　對(duì)于名字欺騙技術(shù)的防衛(wèi)方法有:</p><p>　　把名字?jǐn)?shù)據(jù)庫中的信息的生存期改為比較長的時(shí)間，如一個(gè)星期或一個(gè)月,這樣名字信息保存在緩沖區(qū)的時(shí)間較長,即使更改數(shù)據(jù)庫內(nèi)容也不會(huì)馬上生效,攻擊者不可能等這么長的時(shí)間。但生存期過長對(duì)數(shù)據(jù)庫的更改也不利。</p><p>　　在

81、設(shè)置信任關(guān)系時(shí)不使用機(jī)器名字，而使用機(jī)器的IP地址，這樣可以使系統(tǒng)避免名字欺騙，但可能遭受IP地址欺騙。</p><p>　　為保證安全的服務(wù)，要認(rèn)證用戶而不是認(rèn)證主機(jī)名和IP地址。</p><p>　　4.3 電子郵件的安全性</p><p>　　電子郵件（E-mail）作為Internet上使用最多、最重要的服務(wù)之一，同時(shí)也是安全漏洞最多的服務(wù)之一，它已成為目前

82、網(wǎng)絡(luò)上傳遞病毒和黑客程序主要的途徑之一。E-mail系統(tǒng)之所以是一種最脆弱的服務(wù)，是因?yàn)樗梢越邮軄碜訧nternet上任何主機(jī)的任何數(shù)據(jù)。</p><p>　　4.3.1 E-mail的安全風(fēng)險(xiǎn)</p><p>　　1.E-mail的漏洞</p><p>　　E-mail服務(wù)器向全球開放，原則上可以接收任何人發(fā)來的郵件，很容易受到攻擊。郵件的信息可能攜帶會(huì)損害服務(wù)

83、器或客戶機(jī)的指令。郵件客戶端軟件和Web提供的閱讀器很容易受到這類侵?jǐn)_。與標(biāo)準(zhǔn)的基于文本的Internet郵件不同，郵件客戶端軟件和網(wǎng)頁瀏覽器可以執(zhí)行腳本。例如，在一條信息中加進(jìn)了一個(gè)小的腳本，并發(fā)給用戶。這個(gè)腳本在信息中作為一個(gè)小圖標(biāo)，用戶點(diǎn)擊這個(gè)圖像，就會(huì)打開一個(gè)小程序，甚至?xí)卩]件打開時(shí)自動(dòng)運(yùn)行。如果攜帶了惡意的代碼，病毒或程序，會(huì)影響本地計(jì)算機(jī)的安全，甚至?xí)詣?dòng)轉(zhuǎn)發(fā)給郵件地址薄中的其他用戶，造成更大范圍的攻擊。</p>

84、;<p>　　2.利用E-mail欺騙</p><p>　　E-mail欺騙行為表現(xiàn)形式可能各異，但原理相同，通常是欺騙用戶進(jìn)行一個(gè)毀壞性的操作或暴露敏感信息（比如密碼）。欺騙性E-mail會(huì)制造安全漏洞。當(dāng)用戶收到的電子郵件中涉及敏感信息時(shí)，用戶要適當(dāng)分析，認(rèn)真核對(duì)郵件的發(fā)送者，郵件信息表頭中的信息等。比如，收到的E-mail宣稱來自系統(tǒng)管理員，要求用戶將他們的口令改為特定的字串、要求用戶提供口令

85、或其他敏感信息，并威脅如果用戶不照次辦理，將關(guān)閉用戶的賬戶。用戶應(yīng)了解，一般網(wǎng)絡(luò)管理人員都不會(huì)用E-mail發(fā)出這樣的要求。</p><p>　　3.E-mail轟炸</p><p>　　E-mail轟炸可被描述為不停接到大量同一內(nèi)容的E-mail。一條信息被傳給成千上萬的不斷擴(kuò)大的用戶。更糟的是，如果一個(gè)人回復(fù)了該E-mail，那么表頭里所有的用戶都會(huì)收到這封回信。E-mail轟炸主要的

86、風(fēng)險(xiǎn)來自E-mail服務(wù)器。如果服務(wù)器接到很多的E-mail，可能會(huì)造成服務(wù)器脫網(wǎng)，系統(tǒng)崩潰，甚至造成網(wǎng)絡(luò)擁塞。</p><p>　　如果系統(tǒng)突然變得遲鈍，或人們開始抱怨E-mail速度大幅減慢，或不能收、發(fā)E-mail，這時(shí)E-mail服務(wù)器可能正忙于處理極大數(shù)量的信息。如果感到站點(diǎn)正受侵襲，應(yīng)找出轟炸的來源，然后設(shè)置防火墻或路由器進(jìn)行過濾。</p><p>　　4.3.2 郵件服務(wù)器的

87、安全與可靠性</p><p>　　建立一個(gè)安全的電子郵件系統(tǒng)，采用合適的安全標(biāo)準(zhǔn)非常重要。但僅僅依靠安全標(biāo)準(zhǔn)是不夠的，郵件服務(wù)器本身必須是安全、可靠、久經(jīng)實(shí)戰(zhàn)考驗(yàn)的。</p><p>　　對(duì)于網(wǎng)絡(luò)入侵的防范，在服務(wù)器端要考慮郵件信息的過濾、病毒的檢測(cè)等措施，控制不良郵件和帶病毒的郵件的入侵。對(duì)于服務(wù)破壞的防范，則可以分成一下幾個(gè)方面。</p><p>　　防止來自外

88、部網(wǎng)絡(luò)的攻擊，包括拒絕來自指定地址和域名的郵件服務(wù)器連接請(qǐng)求，拒絕收信人數(shù)量大于預(yù)定上限的郵件，限制單個(gè)IP地址的連接數(shù)量，暫時(shí)擱置可疑的信息等。采用這些措施可以有效地拒絕垃圾郵件，保證網(wǎng)絡(luò)和郵件的暢通。同時(shí)使用網(wǎng)絡(luò)防火墻對(duì)進(jìn)入郵件服務(wù)器E-mail的地址和風(fēng)險(xiǎn)的關(guān)鍵字進(jìn)行控制、過濾以屏蔽不良的E-mail。</p><p>　　防止來自內(nèi)部網(wǎng)絡(luò)的攻擊，包括拒絕來自指定用戶、IP地址和域名的郵件服務(wù)請(qǐng)求，強(qiáng)制實(shí)施

89、SMTP認(rèn)證，實(shí)現(xiàn)SSL POP 和SSL SMTP以確認(rèn)用戶身份等。</p><p>　　在郵件服務(wù)器上使用防病毒軟件，監(jiān)控收、發(fā)的郵件中是否有病毒，并自動(dòng)采取清除病毒的措施。</p><p>　　及時(shí)更新郵件服務(wù)器軟件和系統(tǒng)補(bǔ)丁，發(fā)現(xiàn)安全漏洞要及時(shí)修補(bǔ)，不能存在僥幸心里。</p><p>　　4.3.3 郵件客戶端的安全</p><p>

90、　　E-mail是目前網(wǎng)絡(luò)上傳播病毒與黑客程序的主要途徑之一。唯有加強(qiáng)危機(jī)意識(shí)和網(wǎng)絡(luò)安全知識(shí)，才能更好地保障用戶計(jì)算機(jī)網(wǎng)絡(luò)安全。郵件客戶端的安全防范主要有一下幾點(diǎn)。</p><p>　　不輕易打開來歷不明的電子郵件。特別是來歷不明又包含附件的郵件，即使附件看來好像是.jpg(圖形文件)文件，也不要輕易打開它，因?yàn)閃indows允許用戶在文件命名時(shí)使用多個(gè)后綴，而許多電子郵件程序只顯示第一個(gè)后綴。比如，看到的郵件附

91、件名稱是WOW.JPG,而它的全名實(shí)際是WOW.JPG.VBS，打開這個(gè)附件意味著運(yùn)行一個(gè)惡意的VBScript病毒。</p><p>　　警惕欺騙性的電子郵件。針對(duì)值得懷疑的E-mail要采取措施證實(shí)是否確有其事。對(duì)于重要的郵件要通過數(shù)字簽名來證明用戶郵件的身份，使用數(shù)字簽名可使收件人相信郵件是由發(fā)送方的機(jī)器發(fā)送的，并且未被偽造或篡改。</p><p>　　及時(shí)更新郵件客戶端軟件并及時(shí)打

92、補(bǔ)丁。</p><p>　　使用并時(shí)常升級(jí)防毒軟件，定期對(duì)計(jì)算機(jī)進(jìn)行病毒檢查。最好選用有郵件防火墻的防病毒軟件。</p><p>　　對(duì)保密性要求較高的郵件使用數(shù)字標(biāo)識(shí)對(duì)郵件進(jìn)行加密。這樣使得郵件只有預(yù)定的接收著才能接收閱讀，但用戶必須獲得對(duì)方的數(shù)字標(biāo)識(shí)。</p><p>　　第5章 網(wǎng)絡(luò)病毒防范</p><p>　　5.1 計(jì)算機(jī)病毒概述&

93、lt;/p><p>　　計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，給人們的生活帶來了極大的方便，然而計(jì)算機(jī)在給我們帶來便捷的同時(shí)，也給我們帶來了不利的因素，那就是計(jì)算機(jī)病毒?，F(xiàn)如今，計(jì)算機(jī)病毒對(duì)整個(gè)系統(tǒng)以及網(wǎng)絡(luò)的危害是匪夷所思的。因此，對(duì)于任何使用計(jì)算機(jī)的個(gè)人和單位，都必須學(xué)會(huì)如何來防范計(jì)算機(jī)病毒。</p><p>　　5.1.1 計(jì)算機(jī)病毒的定義</p><p>　　“計(jì)算機(jī)病毒

94、”有很多種定義，從廣義上講，凡是能引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)中數(shù)據(jù)的程統(tǒng)稱為計(jì)算機(jī)病毒。現(xiàn)在比較準(zhǔn)確的定義是：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。</p><p>　　5.1.2 計(jì)算機(jī)病毒分類</p><p>　　計(jì)算機(jī)病毒按其傳染方式分為三種類型：引導(dǎo)型、文件型、混合型。</p>

95、<p>　　引導(dǎo)型病毒是指?jìng)魅居?jì)算機(jī)系統(tǒng)磁盤引導(dǎo)程序的計(jì)算機(jī)病毒。</p><p>　　文件型病毒是指?jìng)魅究蓤?zhí)行文件的計(jì)算機(jī)病毒。</p><p>　　混合型病毒是指?jìng)魅究蓤?zhí)行文件又傳染引導(dǎo)程序的計(jì)算機(jī)病毒。它兼有文件型和引導(dǎo)型病毒的特點(diǎn)。</p><p>　　5.1.3 計(jì)算機(jī)病毒的特征</p><p>　　計(jì)算機(jī)病毒是一種特

96、殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。</p><p><b>　　傳染性</b></p><p>　　計(jì)算機(jī)病毒的傳染性是指病毒具有把自身復(fù)制到其他程序中的特性。</p><p><b>　　潛伏性</b></p><p>　　計(jì)算機(jī)病毒的潛伏性是指病毒具有

97、依附其他媒體而寄生的能力。</p><p><b>　　破壞性</b></p><p>　　計(jì)算機(jī)病毒的破壞性是指病毒破壞文件或數(shù)據(jù)，甚至損壞主板。</p><p><b>　　可觸發(fā)性</b></p><p>　　計(jì)算機(jī)病毒的可觸發(fā)性是指病毒因某個(gè)事件或某個(gè)數(shù)值的出現(xiàn)，誘發(fā)病毒發(fā)作。</p&

98、gt;<p>　　5.1.4 計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害性</p><p>　　破壞磁盤文件分配表，使磁盤上的信息丟失。</p><p>　　刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件，使文件丟失。</p><p>　　修改或破壞文件中的數(shù)據(jù)，這時(shí)文件的格式是正常的，但內(nèi)容已經(jīng)發(fā)生改變。</p><p>　　產(chǎn)生垃圾文件，占據(jù)磁盤及內(nèi)存空

99、間，使磁盤空間逐漸減少。</p><p>　　破壞硬盤的主引導(dǎo)扇區(qū)，使計(jì)算機(jī)無法啟動(dòng)。</p><p>　　對(duì)整個(gè)磁盤或磁盤的特定扇區(qū)進(jìn)行格式化，使磁盤中的全部或部分信息丟失使受損的數(shù)據(jù)難以恢復(fù)。</p><p>　　非法使用及破壞網(wǎng)絡(luò)中的資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。</p><p>　　占用CPU運(yùn)行時(shí)間，使主機(jī)運(yùn)行效

100、率降低。</p><p><b>　　5.2 反病毒技術(shù)</b></p><p>　　由于病毒經(jīng)常給我們的計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重的損壞，有時(shí)甚至是致命的打擊。所以，我們就必須使用各種方法來防范計(jì)算機(jī)病毒，既而，反病毒技術(shù)也得到了迅速的發(fā)展。</p><p>　　5.2.1 計(jì)算機(jī)病毒的防范</p><p>　　防治

101、感染病毒主要有兩種手段：一是用戶遵守和加強(qiáng)安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢(shì)，把防病毒納入到網(wǎng)絡(luò)安全體系中。形成一套完整的安全機(jī)制，使病毒無法逾越計(jì)算機(jī)安全保護(hù)的屏障，病毒便無法廣泛傳播。</p><p><b>　　在思想和制度方面</b></p><p>　　加強(qiáng)立法，健全管理制度。

102、</p><p>　　加強(qiáng)教育和宣傳，打擊盜版。</p><p><b>　　在技術(shù)措施方面</b></p><p>　　除管理方面的措施外，防止計(jì)算機(jī)病毒的感染和蔓延還應(yīng)采取有效的技術(shù)措施。應(yīng)采用縱深防御的方法，采用多種阻塞渠道和多種安全機(jī)制對(duì)病毒進(jìn)行隔離，這是保護(hù)計(jì)算機(jī)系統(tǒng)免遭病毒危害的有效方法。</p><p>&

103、lt;b>　　系統(tǒng)安全</b></p><p>　　對(duì)病毒的預(yù)防依賴于計(jì)算機(jī)系統(tǒng)本身的安全，而系統(tǒng)的安全又首先依賴于操作系統(tǒng)的安全。開發(fā)并完善高安全的操作系統(tǒng)并向之遷移，例如，從DOS平臺(tái)移至安全性較高的UNIX或Windows 2000平臺(tái)，并且跟隨版本和操作系統(tǒng)補(bǔ)丁的升級(jí)而全面升級(jí)，是有效防止病毒的入侵和蔓延的一種根本手段。</p><p><b>　　軟件

104、過濾</b></p><p>　　軟件過濾的目的是識(shí)別某一類特殊的病毒，防止它們進(jìn)入系統(tǒng)和不斷復(fù)制。對(duì)于進(jìn)入系統(tǒng)內(nèi)的病毒，一般采用專家系統(tǒng)對(duì)系統(tǒng)參數(shù)進(jìn)行分析，以識(shí)別系統(tǒng)的不正常處和未經(jīng)授權(quán)的改變。</p><p><b>　　軟件加密</b></p><p>　　軟件加密是對(duì)付病毒的有效技術(shù)措施，由于開銷較大，目前只用于特別重要的系

105、統(tǒng)。軟件加密就是將系統(tǒng)中可執(zhí)行文件加密。若施放病毒者不能在可執(zhí)行文件加密前得到該文件，或不能破譯加密算法，則該文件不可能被感染。即使病毒在可執(zhí)行文件加密前傳染了該文件，該文件解碼后，病毒也不能向其他可執(zhí)行文件傳播，從而杜絕了病毒的復(fù)制。</p><p><b>　　備份恢復(fù)</b></p><p>　　定期或不定期地進(jìn)行磁盤文件備份，確保每一個(gè)細(xì)節(jié)的準(zhǔn)確、可靠，在萬一

106、系統(tǒng)崩潰時(shí)最大限度地恢復(fù)系統(tǒng)。對(duì)付病毒破壞最有效的辦法就是制作備份。將程序和數(shù)據(jù)分別備份在不同的磁盤上，當(dāng)系統(tǒng)遭遇病毒攻擊時(shí)，可通過與后備副本比較或重新裝入一個(gè)備份的、干凈的源程序來解決。</p><p>　　建立嚴(yán)密的病毒監(jiān)視體系</p><p>　　后臺(tái)實(shí)時(shí)掃描病毒的應(yīng)用程序也可有效地預(yù)防病毒的侵襲。它能對(duì)E-mail的附加部分、下載的Internet文件、以及正在打開的文件進(jìn)行實(shí)時(shí)掃

107、描檢測(cè)，確認(rèn)無異常后再繼續(xù)向下執(zhí)行，若有異常，則提問并停止執(zhí)行。及時(shí)對(duì)反病毒軟件進(jìn)行升級(jí)，能有效地防止病毒的入侵和擴(kuò)散。對(duì)于聯(lián)網(wǎng)的計(jì)算機(jī)最好使用網(wǎng)絡(luò)版的反病毒軟件，這樣便于集中管理、軟件升級(jí)和病毒監(jiān)控。</p><p>　　在內(nèi)部網(wǎng)絡(luò)出口進(jìn)行訪問控制</p><p>　　網(wǎng)絡(luò)病毒一般都使用某些特定的端口收發(fā)數(shù)據(jù)包以進(jìn)行網(wǎng)絡(luò)傳播，在網(wǎng)絡(luò)出口的防火墻或路由器上禁止這端口訪問內(nèi)網(wǎng)絡(luò)，可以有效地防

108、止內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)感染網(wǎng)絡(luò)病毒。</p><p>　　5.2.2 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范措施</p><p>　　只有建立一個(gè)有層次的、立體的防病毒體系，才能有效制止病毒在網(wǎng)路內(nèi)部的蔓延。</p><p>　　在計(jì)算機(jī)網(wǎng)路中，要保證系統(tǒng)管理員有最高的訪問權(quán)限，避免過多地出現(xiàn)超級(jí)用戶。超級(jí)用戶登錄后將擁有服務(wù)器目錄下的全部訪問權(quán)限，一旦帶入病毒，將產(chǎn)生更為嚴(yán)重的后果。為

109、工作站上用戶賬號(hào)設(shè)置復(fù)雜的密碼。目前，一些網(wǎng)絡(luò)病毒自帶破解密碼的字典，對(duì)于密碼設(shè)置過于簡(jiǎn)單的計(jì)算機(jī)可以很容易的侵入。因此，必須設(shè)置復(fù)雜的密碼，才能有效地防止病毒入侵。</p><p>　　對(duì)非共享軟件，將其執(zhí)行文件（如*.com、*.Exe等）定期備份，當(dāng)計(jì)算機(jī)異常出現(xiàn)問題時(shí)，將文件恢復(fù)到本地硬盤上進(jìn)行重寫操作。</p><p>　　建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度，

110、定期做文件備份和病毒檢測(cè)。即使有了殺毒軟件，也不可掉以輕心，因?yàn)闆]有一個(gè)殺毒軟件可以完全殺掉所有病毒，所以仍要記住定期備份，一旦真的遭到病毒的破壞，只要將受損的數(shù)據(jù)恢復(fù)即可。</p><p>　　目前預(yù)防病毒最好的辦法就是在計(jì)算機(jī)中安裝具有實(shí)時(shí)監(jiān)控功能的防病毒軟件，并及時(shí)升級(jí)。</p><p>　　第6章 防火墻及相關(guān)技術(shù)應(yīng)用</p><p><b>　　

111、6.1 防火墻概述</b></p><p>　　防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的安全性計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),被廣泛應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)互聯(lián)環(huán)境之中。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關(guān)注。通常的購買網(wǎng)絡(luò)安全設(shè)備時(shí)，總是把防火墻放在首位。目前出現(xiàn)的很多網(wǎng)絡(luò)安全問題都證明大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)的。防火墻技術(shù)在保

112、護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中起著非常重要的作用，已經(jīng)成為世界上用的最多的網(wǎng)絡(luò)安全產(chǎn)品之一。但是客觀地講，防火墻并不能完全解決網(wǎng)絡(luò)安全問題，而只是網(wǎng)絡(luò)安全政策中的一個(gè)組成部分。</p><p>　　6.1.1 防火墻的概念</p><p>　　防火墻的本義原是指房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。然而，多數(shù)防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開房屋。因此，防火墻

113、在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中的防火墻指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合，作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，并根據(jù)用戶的有關(guān)安全策略控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出不同網(wǎng)絡(luò)安全域的訪問，如圖6-1所示。</p><p>　　圖6-1防火墻系統(tǒng)模型</p><p>　　6.1.2防火墻的