第5章計算機安全與網絡安全5.1計算機安全5.2計算機病毒5.3網絡安全5.4應用系統安全

5.1計

算

機

安

全

5.1.1計算機安全的定義國際標準化組織(ISO)將計算機安全定義為：“為數據處理系統和采取的技術和管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。”中國公安部計算機管理監察司則將其定義為：“計算機安全是指計算機資產安全，即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。”

計算機病毒作為一種潛藏于計算機軟件中的隱蔽程序，能夠像其他正常工作程序一樣執行，但會破壞正常的程序和數據文件。如果是惡性病毒，則其破壞力足以導致整個計算機軟件系統全面崩潰，進而造成數據徹底丟失。為有效防范病毒侵襲，關鍵在于強化安全管理措施，避免訪問潛在風險的數據源，同時運用殺毒軟件并確保其得到及時的升級與更新。

非法訪問是指未經授權的用戶通過盜用或偽造合法身份，非法進入計算機系統，進而擅自獲取、篡改、轉移或復制其中的數據。為應對這一威脅，可采取以下防范措施：

一是構建完善的軟件系統安全機制，如增設用戶身份驗證、口令保護以及權限分配等，以阻止非法用戶以合法身份進入系統；

二是對敏感數據進行加密處理，確保即使非法用戶成功入侵系統，也無法在無密鑰的情況下解讀數據；

三是在計算機內設置操作日志，對重要數據的讀、寫、修改等操作進行實時記錄與監控。

計算機硬件損壞會導致計算機存儲數據無法讀取。防止此類事故的發生可采取以下措施：

一是定期對有用數據進行備份保存，以便在機器出現故障時能夠在修復后將數據恢復；

二是在計算機系統中使用RAID技術，將數據同時存在多個硬盤上以提高數據的可靠性和容錯性，在安全性要求極高的特殊場合還可以使用雙主機架構，以確保一臺主機出現故障時另一臺主機仍能繼續正常運行。

5.1.2計算機硬件安全

計算機在使用過程中，對外部環境有一定的要求，即計算機周圍的環境應保持清潔，維持適宜的溫度條件以及穩定的電源電壓，以保證計算機硬件可靠地運行。在計算機安全技術領域，加固技術是一項重要的技術手段，經過加固處理的計算機具備良好的抗震、防水、防化學腐蝕等能力，可以在野外全天候環境下運行。從系統安全性的角度來看，計算機的芯片和硬件設備也可能對系統安全構成威脅。

硬件泄密問題甚至涉及電源設備。電源泄密的機制在于，計算機產生的電磁信號可以通過供電線路傳輸出去，攻擊者可以利用特殊設備從電源線上截獲這些信號并進行還原。

計算機中的每個組件都是可編程控制芯片，一旦掌握了控制芯片的程序，就意味著掌握了計算機芯片的控制權。只要能控制，就存在安全隱患。因此，在使用計算機時，我們首先要重視并做好硬件的安全防護工作。

5.1.3計算機軟件安全

計算機軟件面臨的安全威脅主要包括非法復制、軟件跟蹤和軟件質量缺陷。

1.非法復制

計算機軟件作為一種知識密集的商品化產品，在開發過程中需要花費大量的人力、物力，為開發軟件而付出的成本往往是硬件價值的數倍甚至數百倍。然而，計算機軟件產品的易復制性對軟件產品的產權威脅日趨嚴重。對于盜版所帶來的稅收、就業、法律等諸多問題都引起了各國政府的高度關注，非法復制軟件已經帶來了嚴重的社會問題。

2.軟件跟蹤

計算機軟件在開發出來以后，常有不法分子利用各種程序調試分析工具對程序進行跟蹤和逐條運行、竊取軟件源碼、取消防復制和加密功能，從而實現對軟件的動態破譯。當前軟件跟蹤技術主要是利用系統中提供的單步中斷和斷點中斷功能實現的，可分為動態跟蹤和靜態分析兩種。動態跟蹤是指利用調試工具強行把程序中斷到某處，使程序單步執行，從而跟蹤分析；靜態分析是指利用反編譯工具將軟件反編譯成源代碼的形式進行分析。

3.軟件質量缺陷

由于多種因素，軟件開發商所提供的軟件不可避免地存在這樣或那樣的缺陷，即漏洞，這些漏洞嚴重威脅著軟件系統安全。全球頂尖軟件供應商(如微軟公司)所提供的軟件也不例外。近年來，因軟件漏洞引起的安全事件頻發并呈上升趨勢。一些熱衷于挖掘軟件漏洞的“高手”往往能夠發現并利用這些漏洞進行非法活動，對用戶構成極大威脅。

5.1.4計算機安全管理制度

為加強組織企事業單位的計算機安全管理，保障計算機系統的正常運行，發揮辦公自動化的效益，保證工作正常實施，確保涉密信息安全，一般需要指定專人負責機房管理，并結合本單位實際情況，制定計算機安全管理制度，例如：

(1)計算機管理實行“誰使用誰負責”的原則。愛護機器，了解并熟悉機器性能，及時檢查并清潔計算機及相關外設。

(2)掌握工作軟件、辦公軟件的基本操作和網絡使用的一般知識。

(3)除非有特殊工作需求，否則各項工作須在內部網絡環境中進行。存儲在存儲介質(U盤、光盤、硬盤、移動硬盤)上的工作內容的管理、銷毀都要符合保密要求，嚴防外泄。

(4)禁止在外網、互聯網或內部網絡上處理涉密信息，涉密信息的處理只能在專用、隔離的計算機上進行。

(5)涉及計算機用戶名、口令密碼、硬件加密的要嚴格保密，嚴禁外泄，密碼設置應遵循復雜度要求。

(6)配備無線互聯功能的計算機不得接入內部網絡，且不得處理涉密文件。

(7)非內部管理的計算機設備不得接入內部網絡。

(8)嚴格遵守國家頒布的有關互聯網使用的管理規定，嚴禁登錄非法網站；嚴禁在上班時間上網聊天、玩游戲、看電影、炒股等。

(9)堅持“安全第一、預防為主”的方針，加強計算機安全教育，增強員工的安全意識和自覺性。計算機應進行經常性的病毒檢查，計算機操作人員發現計算機感染病毒后，應立即中斷運行，并及時清除，確保計算機的安全。

(10)下班后及時關閉計算機并切斷電源。

5.2計

算

機

病

毒

5.2.1計算機病毒概述計算機病毒(ComputerVirus)是編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。其生命周期涵蓋開發、傳染、潛伏、發作、發現、消化至消亡的各個階段。計算機病毒通常具有隱蔽性、破壞性、傳染性、寄生性、可執行性、可觸發性等特征。

1.計算機病毒的特征

(1)隱蔽性。計算機病毒不易被發現，因其具有較強的隱蔽性，常以隱藏文件或程序代碼的方式存在，難以通過常規病毒掃描手段有效檢測和清除。病毒可能會偽裝成正常程序，甚至被設計成病毒修復程序，誘導用戶執行，從而實現病毒代碼的植入和計算機系統的入侵。這種隱蔽性導致計算機安全防范處于被動局面，構成嚴重的安全威脅。

(2)破壞性。病毒一旦侵入計算機系統，就可能帶來極大的破壞性，包括數據信息的損毀和計算機系統的大面積癱瘓，給用戶造成重大損失。

(3)傳染性。計算機病毒具有顯著的傳染性，它能夠通過U盤、網絡等多種途徑傳播感染計算機系統。在入侵之后，病毒能夠進一步擴散，感染更多的計算機，導致大規模系統癱瘓等嚴重后果。

(4)寄生性。計算機病毒需要在宿主系統中寄生才能生存并發揮其破壞功能。病毒通常寄生在其他正常程序或數據中，通過特定媒介進行傳播。在宿主計算機運行過程中，一旦滿足特定條件，病毒即被激活，并隨著程序的啟動對宿主計算機文件進行不斷修改，發揮其破壞作用。

(5)可執行性。計算機病毒與其他合法程序一樣，是一段可執行代碼，但它不是一個完整的程序，而是寄生在其他可執行程序上，因此享有與合法程序相同的權限。

(6)可觸發性。病毒因特定事件或數值的出現而被激活，進而實施對計算機系統中文件的感染或攻擊。

(7)攻擊的主動性。病毒對計算機系統的攻擊是主動的，無論系統采取多么嚴密的防護措施，都不可能徹底地排除病毒的攻擊，防護措施至多只能作為一種預防的手段而已。

(8)病毒的針對性。有些計算機病毒是針對特定的計算機和特定的操作系統進行設計的，例如有針對IBMPC及其兼容機的，有針對Apple公司的Macintosh的，還有針對UNIX操作系統的，如小球病毒就是針對IBMPC及其兼容機上的DOS操作系統的。

2.計算機病毒的類型

計算機病毒依據其依附媒介的不同，可被劃分為三類：

一是通過計算機網絡感染可執行文件的網絡病毒；

二是主攻計算機內文件的文件病毒；

三是主攻感染磁盤驅動扇區及硬盤系統引導扇區的引導型病毒。

(1)網絡病毒。網絡病毒依據其功能特性，可進一步細分為木馬病毒和蠕蟲病毒。木馬病毒是一種后門程序，它會潛伏在操作系統中竊取用戶的敏感信息，比如QQ、網上銀行、游戲的賬號、密碼等。相比之下，蠕蟲病毒在傳播手段與危害性上更為復雜與嚴重。

(2)文件病毒。文件病毒主要通過感染計算機中的可執行文件(.exe)和命令文件(.com)，修改計算機的源文件，使其轉變為攜帶病毒的新文件。一旦計算機運行這些被修改的文件就會被感染，從而實現病毒的傳播。

(3)引導型病毒。引導型病毒指寄生在磁盤引導區或主引導區的計算機病毒。這類病毒利用系統引導時不驗證主引導區內容正確性的缺陷，在系統引導的過程中侵入系統，駐留內存，監視系統運行，伺機傳染和破壞。按照在硬盤上的寄生位置，引導型病毒又可進一步細分為主引導記錄病毒和分區引導記錄病毒。主引導記錄病毒感染硬盤的主引導區，如大麻病毒、2708病毒、火炬病毒等；分區引導記錄病毒感染硬盤的活動分區引導記錄，如小球病毒、Girl病毒等。

3.計算機病毒的傳播方式

計算機病毒具有特定的傳輸機制及多樣化的傳播渠道。其核心功能在于自我復制和傳播，這一特性使得計算機病毒易于在任何能夠進行數據交換的環境中迅速擴散。計算機病毒的傳播方式主要有以下三種：

(1)通過移動存儲設備傳播：如U盤、CD、軟盤、移動硬盤等存儲設備因頻繁移動與使用而易于成為計算機病毒的載體，它們為病毒提供了廣泛的傳播路徑，并因此受到計算機病毒的高度青睞。

(2)通過網絡傳播：此方式涉及多種網絡媒介，如網頁、電子郵件、即時通訊軟件(如QQ)、電子公告板(BBS)等，均可作為計算機病毒在網絡傳播的渠道。近年來，隨著網絡技術的飛速發展和互聯網傳輸速度的提升，計算機病毒的傳播速度日益加快，波及范圍也在逐步擴大。

(3)利用系統和應用軟件漏洞傳播：近年來，眾多的計算機病毒開始利用操作系統和應用軟件的安全漏洞進行傳播，這一途徑已被視為計算機病毒傳播的主要方式之一。

5.2.2常見的計算機病毒

1.?CIH病毒

CIH病毒是一種具有高度破壞性的計算機惡意軟件，其目標直指計算機系統的硬件層面。該病毒由臺灣大學生陳盈豪開發，最初通過國際知名的兩大盜版集團販賣的盜版光盤在歐美等地區廣泛傳播，隨后借助互聯網的力量迅速傳播到全世界各個角落。

2.蠕蟲病毒

蠕蟲病毒是一種具備自我復制能力的惡意代碼，并且能夠通過網絡傳播，無須人為干預即可實現廣泛傳播的病毒。一旦蠕蟲病毒成功入侵并完全掌控一臺計算機，該機器隨即成為其宿主，蠕蟲病毒會利用此宿主掃描并試圖感染網絡中的其他計算機，這一過程將持續進行，形成連鎖反應。典型的蠕蟲病毒是“熊貓燒香”，它在2007年1月初于網絡上迅速蔓延。該病毒具備自動傳播的功能，能夠自動感染宿主計算機硬盤中的多種文件類型，如exe、com、pif、src、html、asp等。

3.勒索病毒

勒索病毒主要通過郵件、程序木馬以及網頁掛馬等手段進行傳播。該類病毒利用多種復雜的加密算法對目標文件進行加密處理，被感染者一般無法解密，必須拿到解密的密鑰才能破解。2017年5月起，一款名為“WannaCry”的勒索病毒瘋狂地襲擊了全球100多個國家，英國有超過40家醫院的計算機受到大規模攻擊后淪陷，不得不使用紙筆進行緊急預案。

4.震網病毒

震網病毒又名Stuxnet病毒，是一個席卷全球工業界的病毒，于2010年6月首次被檢測出來，此病毒是第一個針對現實世界中的基礎設施(如核電站、水壩、國家電網)實施定向攻擊的“蠕蟲”病毒先例。作為世界上首個網絡“超級破壞性武器”，震網病毒已經感染了全球超過45?000個網絡，其中伊朗遭到的攻擊最為嚴重，超過60%的個人計算機感染了這種病毒。

5.木馬病毒

《荷馬史詩》記載了這樣一個故事：希臘大軍圍住特洛伊城，但久攻不下。緊要關頭，智慧女神雅典娜幫希臘人做了一個大木馬。有一天，希臘大軍乘船揚帆而去，海灘上留下一個巨型木馬。特洛伊人好奇地圍上去，一個被捉的希臘人告訴特洛伊國王：木馬是希臘人祭祀雅典娜的，毀了它會激怒天神，如果把木馬拖回城，會給特洛伊帶來福音。

木馬(Trojan)也稱木馬病毒，是指通過特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執行程序：一個是控制端，另一個是被控制端。木馬病毒與其他計算機病毒的區別是，它不會自我繁殖，也不會主動去感染其他文件，和故事中的“木馬”一樣，它通過偽裝自身吸引用戶下載執行，向施種木馬者提供打開被種木馬主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。

當前最為流行的木馬就是“挖礦木馬”。2017年國內網絡安全公司火絨安全發布預警：知名激活工具KMSpico中含有病毒，當用戶從其網站上下載安裝到自己的計算機中時，就會被植入挖礦木馬“Trojan/Miner”。據安全研究人員分析，該挖礦木馬一旦入侵用戶的計算機設備，就會瘋狂地利用用戶計算機挖礦來計算生產門羅幣，讓這些用戶的設備成為黑客謀取利益的工具。

除此之外，常見的木馬病毒還有以下幾種：

(1)盜號木馬：此類木馬會隱匿在系統中，伺機盜取用戶各類賬號及密碼信息。

(2)下載者木馬：此類木馬通過下載其他病毒來間接對系統產生安全威脅。下載者木馬通常體積較小，并輔以誘惑性的名稱和圖標誘騙用戶使用。由于體積較小，下載者木馬更易傳播，且傳播速度很快。

(3)釋放器木馬：此類木馬通過釋放其他病毒來間接對系統產生安全威脅。

(4)點擊器木馬：此類木馬會在后臺通過訪問特定網址來“刷流量”，使病毒作者獲利，并會占用被感染主機的網絡帶寬。

(5)代理木馬：此類木馬會在被感染主機上設置代理服務器，黑客可將被感染主機作為網絡攻擊的跳板，以被感染者的身份進行黑客活動，達到隱藏自己、躲避執法者追蹤的目的。

5.2.3計算機病毒的危害與防范措施

1.計算機病毒的危害

大部分計算機病毒在激發的時候會直接破壞重要信息數據，如直接篡改CMOS設置、刪除重要文件、執行磁盤格式化操作、改寫目錄區以及用“垃圾”數據來改寫文件等。由于計算機病毒是一段可執行的計算機代碼，它們會大幅占用計算機的內存空間，特別是某些大型的病毒還會在計算機內部自我復制，導致計算機內存可用空間大幅度減少。此外病毒運行時還會搶占中斷、修改中斷地址，并在中斷過程中插入惡意代碼(即病毒的“私貨”)，進而干擾系統的正常運行。

2.計算機病毒的防范措施

計算機病毒持續不斷地監視著計算機系統，隨時準備發起攻擊，但計算機病毒也不是不可控制的，可以通過以下措施有效減輕其對計算機的破壞。

(1)部署并更新防病毒軟件：安裝最新版本的殺毒軟件，每天升級殺毒軟件病毒庫，定時對計算機進行病毒查殺，上網時開啟殺毒軟件的全部監控。培養良好的上網習慣，如對不明郵件及附件慎重打開，避免訪問可能帶有病毒的網站，使用較為復雜的密碼等。

(2)謹慎處理網絡下載與瀏覽：不要運行從網絡下載后未經殺毒處理的軟件，不要隨意瀏覽或登錄陌生的網站，以增強自我保護能力。現在有很多非法網站會被植入惡意代碼，一旦用戶訪問這些網站，用戶的計算機即會感染木馬病毒或被安裝上其他惡意軟件。

(3)提升信息安全意識：在使用移動存儲設備時，盡量減少共享，因為移動存儲設備既是計算機病毒進行傳播的主要途徑，也是計算機病毒攻擊的主要目標。在對信息安全要求比較高的場所，應將計算機的USB接口封閉，在條件允許的情況下應做到專機專用。

(4)更新系統與應用軟件：及時為操作系統打全系統補丁，同時將應用軟件升級到最新版本，如播放器軟件、通信工具等，避免病毒以網頁木馬或應用漏洞進行入侵。一旦發現計算機受到病毒侵害，應立即將其隔離。在使用計算機的過程中，若發現計算機上存在病毒或者計算機異常，應該及時中斷網絡連接。當發現計算機網絡一直中斷或者網絡異常時，應立即切斷網絡，以免病毒在網絡中進一步傳播。

5.3網

絡

安

全

5.3.1常見的網絡攻擊方式近年來，網絡攻擊事件頻發，互聯網上的木馬、蠕蟲、勒索軟件層出不窮，對網絡安全乃至國家安全構成了嚴重的威脅。2022年4月20日，國家計算機病毒應急處理中心發布報告指出，現有國際互聯網骨干網和世界各地的關鍵信息基礎設施當中，只要包含美國公司提供的軟硬件，就極有可能被內嵌各類的“后門程序”，從而成為美國政府網絡攻擊的目標。一般來說，常見的網絡攻擊方式有以下16種。

1.端口掃描

端口掃描的目的是找出目標系統上提供的服務列表。端口掃描程序逐個嘗試與TCP/UDP端口連接，然后根據端口與服務的對應關系，結合服務器端的反應推斷目標系統上是否運行了某項服務，攻擊者通過這些服務可獲得關于目標系統的進一步的知識或通往目標系統的途徑。

2.口令破解

口令機制作為資源訪問控制的首要防線，其重要性不言而喻。網絡攻擊者常常將破解用戶的弱口令作為突破口，以獲取系統的訪問權限。

3.緩沖區溢出攻擊

緩沖區溢出攻擊能夠使攻擊者有機會奪取目標主機的部分乃至全部控制權。根據統計數據，此類攻擊在遠程網絡攻擊中占據了絕大多數的比例。緩沖區溢出之所以成為遠程攻擊的主要手段，原因在于其漏洞為攻擊者提供了操控程序執行流程的機會。攻擊者通過精心構造的攻擊代碼，將其注入含有緩沖區溢出漏洞的程序中，進而篡改該程序的正常執行流程，最終獲取被攻擊主機的控制權。

4.惡意代碼攻擊

惡意代碼攻擊是網絡攻擊常見的攻擊手段，其常見類型涵蓋計算機病毒、網絡蠕蟲、特洛伊木馬、后門程序、邏輯炸彈以及僵尸網絡等。這些惡意代碼類型各自具備獨特的傳播機制、潛伏策略和攻擊方式，構成了網絡防御領域需持續關注的重大挑戰。

5.拒絕服務攻擊

拒絕服務攻擊(DenialofService，DoS)是指攻擊者利用系統或網絡存在的缺陷，執行惡意操作，致使合法系統用戶無法及時獲得應有的服務或系統資源(如網絡帶寬)，從而導致計算機或網絡無法正常運行，并可能影響依賴計算機或網絡服務的單位不能正常運轉。DoS攻擊的本質特征是延長服務等待時間，當服務等待時間超過用戶的忍耐閾值時，用戶將放棄服務請求。DoS攻擊通過延遲或阻礙合法用戶享用系統服務，對關鍵性和實時性服務的影響尤為顯著。DoS攻擊與其他攻擊相比具有以下特點：

(1)難確認性：DoS攻擊難以檢測，用戶在服務未得到及時響應時，通常不會認為受到攻擊，而可能將其歸因于系統故障導致的一時性服務失效。

(2)隱蔽性：DoS攻擊中，正常的服務請求可能被隱藏在攻擊流量中，使得攻擊行為不易被發現。

(3)資源有限性：鑒于計算機資源的有限性，DoS攻擊的實現相對容易，攻擊者可以利用有限的資源對目標實施有效的攻擊。

(4)軟件復雜性：由于軟件本身的復雜性，其設計與實現過程中難以完全避免缺陷，因此攻擊者可能利用這些缺陷進行DoS攻擊，如淚滴攻擊等。

6.分布式拒絕服務攻擊

分布式拒絕服務攻擊(DistributedDenialofService，DDoS)是指攻擊者通過植入后門程序從遠程遙控發動攻擊。攻擊者利用多個已被入侵的跳板主機(也稱為“肉雞”或“僵尸計算機”)作為控制點，進而操控多個代理攻擊主機。通過這種方法，攻擊者能夠同時對已控制的代理攻擊主機發出干擾指令，并針對受害主機實施大規模的攻擊。DDoS攻擊通過消耗或占用目標計算機的大量網絡或系統資源，使得目標計算機無法處理合法的服務請求，從而導致正常用戶無法訪問。最為常見的DDos攻擊類型主要有：

(1)?SYNFloodAttack(SYN洪水攻擊)：基于TCP協議三次握手機制的一種DDoS攻擊方式。攻擊者向目標系統發送大量半開連接請求(SYN數據包)，但不完成后續的握手過程(不發送ACK響應)。這導致目標系統的半開連接表迅速填滿，從而無法處理新的合法連接請求，造成服務拒絕。

(2)?UDPFloodAttack(UDP洪水攻擊)：基于UDP協議無連接特性的一種DDoS攻擊。攻擊者向目標系統發送大量UDP數據包，由于UDP協議不建立連接，目標系統需對每個數據包進行處理，但攻擊者可偽造源IP地址，使目標系統難以追蹤攻擊源。此攻擊消耗目標系統資源，導致服務性能下降或完全不可用。

(3)?ICMPFloodAttack(ICMP洪水攻擊)：基于ICMP協議的一種DDoS攻擊。攻擊者向目標系統發送大量ICMPEcho請求(Ping數據包)，目標系統需對每個請求進行響應。由于ICMP協議無流量控制機制，攻擊者可發送大量請求占用目標系統的帶寬和處理能力，導致目標系統無法響應合法用戶請求。

(4)?HTTP(S)FloodAttack(HTTP/HTTPS洪水攻擊)：針對Web應用層的一種DDoS攻擊。攻擊者模擬合法用戶的HTTP(S)請求，向目標Web服務器發送大量并發請求，占用服務器的資源、帶寬和處理能力。常見的HTTP(S)攻擊方式包括HTTPGET/POST洪水攻擊、HTTPPOST慢速攻擊(Slowloris)、HTTP低速攻擊(SlowPOST)等。

(5)?DNSAmplificationAttack(DNS放大攻擊)：基于DNS協議特性的一種DDoS攻擊。攻擊者利用開放的DNS服務器，向目標發送偽造的DNS查詢請求，并偽造源IP地址為攻擊目標。由于DNS查詢響應通常比請求大得多，故此攻擊可放大攻擊流量，對目標系統造成更大壓力。

7.垃圾郵件攻擊

垃圾郵件攻擊是指攻擊者未經授權，利用郵件系統向目標用戶發送大量未經請求或無關緊要的電子郵件的行為。這些郵件通常包含廣告、欺詐信息、惡意軟件等內容，旨在干擾目標用戶的正常使用，甚至可能通過專門的郵件炸彈(mailbomb)程序，短時間內發送大量郵件，以耗盡目標用戶郵箱的磁盤空間，導致用戶無法正常接收和發送郵件。

8.網絡釣魚攻擊

網絡釣魚攻擊是一種借助偽裝成為可信實體(如知名銀行、在線零售商及信用卡公司等享有信譽的品牌)提供虛假在線服務，運用欺詐策略以非法采集敏感個人信息(如口令、信用卡詳盡信息等)的攻擊方式。

9.網絡竊聽攻擊

網絡竊聽是指利用網絡通信技術的漏洞或缺陷，使得攻擊者有能力截獲并獲取非自身目標的其他人的網絡通信數據和信息。其中，常見的網絡竊聽技術主要包括網絡嗅探與中間人攻擊等類型。

10.?SQL注入攻擊

SQL注入攻擊是一種代碼注入技術，它利用應用程序對用戶輸入數據的驗證不足或處理不當的漏洞，將惡意的SQL代碼片段注入到應用程序原本執行的SQL查詢語句中。這種攻擊允許攻擊者繞過應用程序的安全控制，直接對后端數據庫進行操作，可能導致數據泄露、數據篡改、數據庫損壞以及未授權訪問等嚴重后果。

11.社交工程攻擊

社交工程攻擊是指網絡攻擊者運用一系列精心策劃的社交手段和策略，以非法獲取目標對象所需敏感信息的行為。在這個過程中，攻擊者可能會采取多種偽裝手法，如偽造系統管理員或其他可信身份，通過電子郵件等通信渠道向特定用戶發送欺騙性信息，誘使其泄露密碼口令等敏感數據(這種手法通常被稱為“釣魚”)。

12.電子監聽攻擊

電子監聽攻擊是指網絡攻擊者運用高靈敏度的電子設備，在遠距離上對電磁波的傳輸過程進行監視與截獲的行為。這種攻擊方式利用了電磁波輻射的原理，使得攻擊者能夠通過無線電接收裝置，在不被察覺的情況下捕獲到計算機操作者輸入的字符信息或屏幕顯示的具體內容，進而實現對目標系統的非法窺探與信息竊取。

13.會話劫持攻擊

會話劫持是指攻擊者在用戶初始授權并建立連接之后，通過非法手段接管該會話，從而獲取合法用戶的特權權限和控制權的行為。在此類攻擊中，一旦合法用戶登錄到某臺主機或系統，并在完成工作后未主動切斷連接，攻擊者便有機會利用系統未檢測到連接已斷開的漏洞，乘虛而入接管會話。由于主機或系統并未意識到合法用戶的連接已經失效，攻擊者便能夠無縫銜接地利用合法用戶的所有權限執行操作。

14.漏洞掃描攻擊

漏洞掃描是一種采用自動化技術手段，對遠程或本地計算機系統進行深入分析，以識別并報告潛在安全弱點與漏洞的過程。該過程依賴于專業的漏洞掃描器，這些掃描器內置了豐富的漏洞庫與檢測邏輯，能夠系統性地探測目標系統的安全邊界。在網絡攻擊者的視角下，漏洞掃描成為一種重要的情報收集手段，用于搜集潛在目標系統的漏洞信息，為后續的攻擊行動提供有價值的線索與準備。而在安全人員的防御工作中，漏洞掃描則成為不可或缺的安全評估工具，用于及時發現并修復系統存在的安全缺陷。

15.代理攻擊

代理攻擊是指網絡攻擊者利用免費代理服務器作為中介，向目標系統發起攻擊的一種策略。在此攻擊模式中，代理服務器充當了“攻擊跳板”的角色，使得攻擊行為的發起者能夠隱匿其真實身份和IP地址。即便目標系統的網絡管理員檢測到攻擊行為，也難以直接追蹤到攻擊者的實際來源。

16.數據加密攻擊

數據加密攻擊是指網絡攻擊者運用數據加密技術以規避網絡安全管理人員的追蹤行為。此加密機制為網絡攻擊者的數據提供了有效的防護屏障，即使網絡安全管理人員截獲了這些加密的數據，若無對應的密鑰也無法解讀其內容，從而實現了攻擊者的自我保護的目的。攻擊者的安全準則是，任何與攻擊活動相關聯的信息內容均須進行加密處理或即時銷毀，以確保其行動軌跡不被追蹤與暴露。

5.3.2網絡安全防范

從國際安全態勢視角分析，各國由于經濟利益等多元因素持續產生摩擦與沖突。作為國家關鍵信息基礎設施的網絡空間，已成為國際競爭與對抗的前沿陣地，保密與竊密的較量日益激烈且錯綜復雜。部分勢力運用“僵尸網絡”“后門程序”等手段，對政府網站及關鍵信息系統實施遠程滲透攻擊；有的通過遠程植入木馬病毒，或利用計算機系統漏洞執行端口掃描與數據包嗅探，大肆竊取國家秘密與內部敏感信息；有的將已被植入木馬的計算機作為中繼跳板，采用蛙跳式攻擊策略，進一步滲透并竊取網絡內部其他節點的信息。

1.技術手段

1)防火墻技術

所謂防火墻(Firewall)，是指一種集成了軟件和硬件設備的系統，它在內部網絡與外部網絡之間、專用網絡與公共網絡之間的邊界上構建起一道保護屏障。防火墻作為獲取安全的一種形象說法，實質上是在外部網絡與內部網絡之間建立了一個安全網關，以保護內部網絡免受非法用戶的入侵和攻擊。防火墻的組成主要包括服務模塊、訪問控制規則、驗證工具、包過濾機制以及應用網關五個核心部分。它是一個部署在計算機系統與它所連接的網絡之間的安全設備，無論是流入還是流出的數據包，都必須經過防火墻的檢查和過濾。

從邏輯層面分析，防火墻發揮著分隔、限制和分析的關鍵作用。在實際應用中，防火墻是加強內部網絡(Intranet)安全防御的一組系統，這組系統由路由器、服務器等硬件設備以及相應的安全軟件共同構成。所有來自Internet的傳輸信息或由內部網絡發出的信息，都必須經過防火墻的檢查和過濾。因此，防火墻在保護電子郵件、文件傳輸、遠程登錄以及在特定系統間進行信息交換等方面的安全中起著至關重要的作用。防火墻是網絡安全策略的重要組成部分，它通過控制和監測網絡之間的信息交換和訪問行為，實現對網絡安全的有效管理。如今，防火墻已成為各企業網絡中實施安全保護的核心組件。

防火墻還可以被視為一個阻塞點。所有內部網絡與外部網絡之間的連接都必須經過這個阻塞點進行檢查和過濾，只有經過授權的通信才能通過防火墻的阻塞點。這樣，防火墻在內部網絡與外部網絡之間建立了一種有條件的隔離，從而有效防止非法入侵和非法使用系統資源。同時，防火墻還能執行安全管制措施，記錄所有可疑事件，其基本安全準則有以下兩點：

(1)默認拒絕原則：一切未被明確允許的行為都是禁止的。基于這一原則，防火墻應默認封鎖所有信息流，然后逐步開放希望提供的服務。這種方法能夠創建一個非常安全的環境，因為只有經過仔細篩選的服務才被允許使用。其弊端在于可能會犧牲用戶使用的方便性，限制用戶所能使用的服務范圍。

(2)默認允許原則：一切未被明確禁止的行為就是允許的。基于這一原則，防火墻會轉發所有信息流，然后逐項屏蔽可能有害的服務。這種方法為用戶提供了更靈活的應用環境，但也可能增加安全管理的復雜性。特別是在網絡服務日益增多的情況下，網絡管理人員可能難以提供可靠的安全防護。

2)入侵檢測技術

入侵檢測是一種針對入侵行為的監測機制，它通過采集并分析網絡行為安全日志、審計記錄以及其他網絡上可獲取的信息和計算機系統中關鍵節點的數據，來檢查網絡或系統是否存在違反安全策略的行為或遭受攻擊的跡象。作為一種積極主動的安全防護手段，入侵檢測為內部攻擊、外部攻擊及誤操作提供了實時的防護屏障。它在網絡系統受損前攔截并響應入侵行為，因此被視為防火墻之后的第二道安全防線，能夠在不影響網絡性能的前提下對網絡進行持續監測。

入侵檢測通過執行以下核心任務實現安全監測：對用戶及系統活動進行全面監視與分析；對系統架構及弱點進行審計；識別并報警反映已知攻擊模式的活動；對異常行為模式進行統計與分析；對關鍵系統及數據文件進行完整性評估；對操作系統進行審計以及跟蹤管理，識別用戶違反安全策略的行為。入侵檢測作為防火墻的有效補充，增強了系統對網絡攻擊的防御能力，擴展了系統管理員的安全管理范疇，提升了信息安全基礎結構的完整性。

入侵檢測的首要步驟是信息獲取，這涉及系統、網絡、數據以及用戶活動的狀態和行為信息的采集。此過程需要在計算機網絡系統的多個關鍵節點(包括不同網段和不同主機)上收集這些信息，并比對它們的一致性，以發現任何差異并定位入侵點。

入侵檢測所利用的信息一般來自以下四個方面：

(1)系統和網絡日志審計。系統和網絡日志作為黑客活動的重要痕跡載體，是檢測入侵活動的必要基礎。這些日志記錄了系統與網絡上的異常或非預期活動跡象，能夠指示潛在的入侵嘗試或已發生的入侵事件。

(2)文件系統完整性檢查。網絡環境中的文件系統包含大量軟件和數據文件，尤其是包含敏感信息和私有數據的文件，常成為黑客攻擊的目標。

(3)程序行為分析。網絡系統上的程序執行涉及操作系統、網絡服務、用戶啟動的程序及特定應用(如數據庫服務器)。每個在系統上運行的程序通過一個或多個進程實現，這些進程在具有不同權限的環境中執行，控制其可訪問的系統資源、程序和數據文件。進程的行為通過其運行時執行的操作來體現，這些操作包括計算、文件傳輸、設備交互、與其他進程的通信以及與網絡間其他進程的通信。

(4)物理安全監控。物理形式的入侵檢測包括兩個方面：一是監測未授權網絡硬件的連接；二是監控對未授權物理資源的訪問。黑客可能會嘗試突破網絡的物理防御，一旦他們能夠在物理上訪問內部網絡，就能安裝自己的設備和軟件。因此，監測并識別網絡上的不安全(未授權)設備成為關鍵，以防止黑客利用這些設備訪問網絡。

對上述四類收集的有關系統、網絡、數據及用戶活動的狀態和行為信息，通常采用模式匹配技術、統計分析技術和完整性分析技術這三種技術手段進行分析。其中前兩種技術手段主要用于實時入侵檢測，完整性分析主要用于事后分析。

(1)模式匹配技術。模式匹配就是將收集到的信息與預定義的網絡入侵和系統誤用模式數據庫進行比對，從而發現違背安全策略的行為。該過程可簡化為基本的字符串匹配，用于查找特定條目或指令；亦可復雜化為利用數學表達式來描述安全狀態的變化。一般來講，一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。模式匹配技術的優勢在于僅需收集相關數據集合，顯著降低了系統開銷，且技術成熟度較高，檢測準確率和效率與病毒防火墻方法相當。然而，該技術需不斷更新以應對新型攻擊手段，且無法檢測到未知的攻擊方式。

(2)統計分析技術。該技術首先為系統對象(如用戶、文件、目錄、設備等)建立統計特征，包括正常使用時的訪問次數、操作失敗次數、響應時間等測量屬性。通過比較這些屬性的平均值與系統或網絡行為，任何偏離正常范圍的觀測值均被視為潛在入侵。例如，若某賬戶通常在晚八點至早六點不活躍，卻在凌晨兩點嘗試登錄，則可能被統計分析方法標記為異常。其優點在于能夠檢測未知和復雜的入侵，但缺點是誤報率和漏報率較高，且難以適應用戶正常行為的突發性變化。其具體方法包括基于專家系統、模型推理和神經網絡的分析等。

(3)完整性分析技術。完整性分析主要關注文件或對象是否被更改，通常涉及文件和目錄的內容及屬性檢查，對于識別被篡改或特洛伊化的應用程序特別有效。完整性分析利用強有力的加密機制——消息摘要函數(如MD5)，能識別微小的變化。其優勢在于無論模式匹配或統計分析技術是否成功檢測到入侵，只要攻擊導致了文件或其他對象的任何更改，它都能發現。但是，該方法通常以批處理方式運行，不適用于實時響應。盡管如此，完整性檢測方法仍是網絡安全的重要組成部分。例如，可以設定在每天特定時間啟動完整性分析模塊，對網絡系統進行全面掃描。

3)訪問控制技術

訪問控制是指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段，通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎，是網絡安全防范和資源保護的關鍵策略之一，也是主體依據某些控制策略或權限對本身或其資源進行的不同級別的授權訪問。訪問控制的主要功能包括：一方面保證合法用戶訪問授權保護的網絡資源；另一方面防止非法的主體進入受保護的網絡資源或防止合法用戶對受保護的網絡資源進行非授權的訪問。

訪問控制模式主要有三類：強制訪問控制(MandatoryAccessControl，MAC)和自主訪問控制(DiscretionaryAccessControl，DAC)以及基于角色的訪問控制(Role-BasedAccessControl,RBAC)。MAC是由系統強制實施的，要求主體嚴格遵守既定的訪問控制策略。而DAC則是基于主體身份及其所屬組別對訪問權限進行限定的一種方法，其特點在于訪問權限的自主性。基于自主訪問控制和強制訪問控制這兩種模式的改進，產生了基于角色的訪問控制。

(1)強制訪問控制：在此模式下，由授權機構為主體和客體分別定義固定的訪問屬性，且這些訪問權限不能由用戶修改。主體的權限反映了信任的程度，客體的權限則與其包含信息的敏感度一致。擁有相應權限的用戶可訪問相應級別的數據。強制訪問控制具有層次性，通過預先定義主體的可信任級別及客體(信息)的敏感程度(安全級別)，如絕密級、機密級、秘密級、無密級等，結合主體和客體的級別標記來決定訪問模式。此機制利用“上讀/下寫”原則來保證數據完整性，通過“下讀/上寫”原則來保證數據的保密性，實現信息的單向流通。強制訪問控制適用于多層次安全級別的軍事應用，但實施復雜且管理煩瑣。

(2)自主訪問控制：在此模式下，由客體自主地確定各個主體對客體的直接訪問權限，通過訪問矩陣來描述。然而自主訪問控制僅能控制主體對客體的直接訪問，而不能控制間接訪問。另外，其訪問矩陣通常比較大，難以直接以矩陣形式實現，通常采用以下兩種方法：

①

訪問控制表(AccessControlList，ACL)：以客體為索引，每個客體對應一個ACL，定義每個主體對其實施的操作。

②

容量表(CapabilityList，CL)：以主體為索引，每個主體對應一個CL，定義對每個客體的訪問權限。

(3)基于角色的訪問控制：作為強制訪問控制和自主訪問控制的改進版，基于角色的訪問控制根據用戶在系統中的角色分配訪問權限，角色可被定義為與一個特定活動相關聯的一組動作和責任。這需要兩種授權：

①

為每個客體的ACL定義每個角色允許的訪問模式；

②

為每個用戶授權特定角色。

4)防病毒技術

從反病毒產品對計算機病毒的作用來講，防病毒技術可以直觀地分為計算機病毒預防技術、計算機病毒檢測技術及計算機病毒清除技術。

(1)計算機病毒預防技術。作為一種動態判定及行為規則判定技術，計算機病毒預防依托特定的技術手段，旨在阻止計算機病毒對系統構成的傳染與破壞。該技術通過對病毒規則進行分類，并在程序運行過程中識別并攔截符合這些規則的行為，從而有效防御病毒。具體來說，它涉及阻止病毒進入系統內存、阻斷病毒對磁盤的操作(尤其是寫操作)等策略。這一技術包括磁盤引導區保護、可執行程序加密、讀寫控制以及系統監控技術等多個方面。

(2)計算機病毒檢測技術。計算機病毒檢測技術主要包括兩大類型：一是基于特征分類的檢測技術，該技術根據計算機病毒的關鍵字、特征、程序段內容、病毒特征及傳播方式、文件長度的變化等信息建立檢測機制；二是非特定病毒的自身檢驗技術，即對某個文件或數據段進行檢驗和計算，并保存其結果，以后定期或不定期地對該文件或數據段進行檢驗，若出現差異，即表示該文件或數據段的完整性已遭到破壞，可能感染了病毒。

(3)計算機病毒清除技術。作為病毒檢測技術發展的邏輯延伸，計算機病毒清除技術是病毒傳播過程的逆向操作。目前清除病毒大都是在某種病毒出現后，通過對其進行分析研究而研發出具有相應殺毒功能的軟件。這類軟件技術發展往往是被動的，帶有滯后性，因此殺毒軟件有其局限性，對有些變種病毒的清除無能為力。

5)安全掃描技術

安全掃描技術與防火墻、安全監控系統協同運作，互相配合，能夠增強網絡環境的安全性。安全掃描工具依據其應用場景，通常可分為基于服務器和基于網絡的掃描器。

(1)基于服務器的掃描器：其設計與實現緊密貼合特定的服務器操作系統架構，專注于對服務器相關的各類安全弱點進行深度掃描。它主要掃描服務器相關的安全漏洞，如口令、文件、目錄和文件權限共享文件系統、敏感服務軟件、系統漏洞等，并給出相應的解決辦法及建議，以助力用戶及時修補安全漏洞。

(2)基于網絡的掃描器：其主要聚焦于對預設網絡域內的各類網絡設備，如服務器、路由器、網橋、變換機、訪問服務器、防火墻等進行全面的安全漏洞掃描。此外，該類掃描器還具備模擬攻擊測試的能力，能夠模擬各類潛在的攻擊行為，以評估目標系統的實際防御效能。為確保掃描活動的合法性與安全性，基于網絡的掃描器通常會預設使用范圍限制，如通過指定IP地址范圍或限制路由器跳數等方式，來實現對掃描范圍的精確控制。

6)零信任網絡

零信任網絡亦稱零信任架構模型，是約翰·金德維格于2010年提出的。該模型代表了一種先進的安全理念，其核心原則是摒棄對內部或外部任何實體自動信任的做法，要求在授權之前對所有試圖訪問系統的實體進行嚴格的身份驗證。在零信任網絡中，不存在默認可信的設備接口，所有用戶流量均被視為不可信。

7)密碼技術

密碼技術是保障網絡空間數據安全的核心技術，也是網絡保密的基石。該技術不僅具備對涉密信息進行加密的能力，還涵蓋了身份認證、驗證機制、數字簽名以及系統安全等多方面功能。密碼技術的運用可以保證數據信息的機密性，能有效防止數據遭竊或篡改，從而維護網絡空間的整體安全。密碼技術主要分為以下幾類：

(1)對稱加密技術：亦稱單鑰密碼體系。在此體系中，信息的發送方與接收方共享一個密鑰，即對稱密鑰或會話密鑰，該密鑰既用于加密過程，也用于解密過程。典型的對稱加密算法包括DES、3DES、IDEA、RC4、RC5及AES等。

(2)非對稱加密技術：需使用一對密鑰，即加密密鑰與解密密鑰。這對密鑰相互依存，其中任一密鑰加密的信息僅能被另一密鑰解密。根據密鑰性質，其中一個密鑰公開，稱為公鑰；另一個密鑰私密保存，稱為私鑰。公鑰常用于數據加密或簽名驗證，而私鑰則用于數據解密或生成數字簽名。常用的非對稱加密算法有Diffie-Hellman、RSA、ELGamal、DSA及DSS等。

(3)?Hash函數：又稱散列函數或雜湊函數，是一種從明文到密文的不可逆映射機制。它通過單向運算將任意長度的信息轉換為固定長度的Hash值(散列值或哈希摘要)，該值具有不可預測性、不可逆性及唯一性。對于需保密的數據，可利用Hash函數生成唯一性的散列值指紋，從而有效防止數據篡改。常見的Hash算法包括MD2、MD4、MD5、SHA系列及HAVAL等。

(4)?TLS技術：TLS即傳輸層安全(TransportLayerSecurity)協議，為互聯網通信提供安全性與數據完整性保障，確保通信應用程序間的隱私及數據完整性。TLS廣泛應用于瀏覽器、郵箱、即時通訊、互聯網電話及網絡傳真等方面。TLS由記錄協議與握手協議組成，前者基于傳輸控制協議(TCP)，利用AES或RC4等算法對傳輸數據進行加密，每次傳輸使用不同密鑰，確保傳輸私密性；后者位于記錄協議之上，負責服務器與客戶端間的相互認證、加密算法及密鑰協商，具有節點認證、防止中間人竊聽及篡改協商信息的能力。

(5)?VPN技術：VPN即虛擬專用網絡(VirtualPrivateNetwork)，是一種在不可信公共網絡上實現不同地理位置專用網絡安全通信的技術。VPN的核心在于利用加密隧道協議構建隧道，封裝上層數據進行傳輸，從而利用公共網絡架構傳遞內部通信信息。VPN通過加密隧道保證信息保密性、身份驗證阻止身份偽造及完整性檢驗應對信息篡改，提供三重保護。目前，VPN使用的隧道協議包括PPTP、L2TP、IPSec及SSL等，分別工作于OSI模型的不同層次，滿足企業內部通信的安全需求。

2.管理手段

網絡安全保密問題實質上是一個多維度、深層次的綜合性管理問題，其復雜性和重要性要求我們必須構建一套全面而嚴謹的安全管理規范體系。

1)構建人員安全管理機制

人員安全管理是網絡安全管理的基礎，旨在確保所有涉及網絡操作的人員均具備相應的安全意識和能力。具體而言，需建立健全以下制度：

(1)安全審查制度：對所有接觸敏感信息或關鍵系統的人員進行嚴格的背景調查和安全審查，確保其無不良記錄，并符合既定的安全標準。

(2)崗位安全考核制度：將安全職責納入員工績效考核體系，定期評估員工在遵守安全政策、執行安全操作等方面的表現，以激勵員工提升安全意識。

(3)安全培訓制度：定期組織安全培訓，涵蓋最新的安全威脅、防御策略、法律法規等內容，確保員工知識更新，技能提升。

2)強化系統運行環境安全管理

系統運行環境的安全性直接關系到網絡服務的穩定性和數據的完整性。因此，需建立以下管理制度：

(1)機房環境管理制度：確保機房的物理安全，包括門禁管理、溫濕度控制、消防系統等，以防范物理入侵和自然災害。

(2)自然災害防護機制：制定針對地震、洪水、火災等自然災害的應急預案，確保在災害發生時能夠迅速響應，保護設備和數據安全。

(3)電磁波與磁場防護策略：對關鍵設備采取電磁屏蔽措施，防止外部電磁波干擾，確保系統穩定運行。

3)完善應用系統運營安全管理

應用系統作為網絡服務的核心，其安全性至關重要。需建立以下管理制度：

(1)操作安全管理：制定詳細的操作規程，確保所有操作均符合安全標準，減少人為誤操作帶來的風險。

(2)操作權限管理：實施基于角色的訪問控制，根據員工的職責和需要分配最小必要權限，防止權限濫用。

(3)操作規范管理：建立操作日志審計機制，記錄所有重要操作，以便追蹤和審計，及時發現并糾正異常行為。

(4)應用軟件維護安全管理：定期更新應用軟件，修復已知漏洞，同時實施嚴格的軟件安裝和配置變更管理，確保軟件環境的穩定和安全。

綜上所述，建立健全的網絡安全管理規范體系需要從人員、環境、應用等多個維度出發，形成一套全面、系統的安全管理體系，以有效應對日益復雜的網絡安全挑戰。

3.宣傳教育

網絡的安全防范是一項綜合性的任務，它不僅依賴于先進的技術手段和管理策略，還需要在法律、道德以及個人意識層面進行全面提升。

1)強化法治宣傳教育與法律意識構建

在網絡安全的防護體系中，法治宣傳教育扮演著至關重要的角色。它旨在通過廣泛而深入的普法活動，提升全社會的網絡安全法律意識與安全素養。

(1)法治宣傳教育的深化：利用多元化渠道，如社交媒體、在線教育平臺、公共講座等，廣泛傳播網絡安全管理相關的法律法規，如網絡安全法、個人信息保護法等，確保公眾對網絡安全法律框架有清晰的認識。

(2)法律意識與責任感的提升：通過案例分析、法律解讀等形式，讓公眾了解網絡安全違法的嚴重后果，從而增強其自覺遵守網絡安全法律法規的自覺性和責任感。

(3)安全意識文化的培育：將網絡安全教育納入國民教育體系，從小培養學生的網絡安全意識，形成全社會共同關注、共同維護網絡安全的良好氛圍。

2)提升網絡安全管理者的風險意識與技術能力

網絡安全管理者作為網絡防護的第一道防線，其風險意識和技術能力的強弱直接影響到網絡安全防護的效果。

(1)風險意識的增強：通過專業培訓、案例分享等方式，使網絡安全管理者深刻認識到網絡安全風險的嚴峻性和復雜性，從而在思想上時刻保持警惕，做到防患于未然。

(2)技術能力的提升：組織定期的網絡安全技術培訓，涵蓋最新的網絡攻擊手段、防御策略、應急響應等方面，確保網絡安全管理者能夠熟練掌握并運用各種網絡安全技術和工具，提升網絡防護的實戰能力。

(3)安全策略的持續優化：鼓勵網絡安全管理者根據最新的威脅情報和技術發展趨勢，不斷評估和優化現有的網絡安全策略，確保安全防護體系的時效性和有效性。

綜上所述，網絡的安全防范需要法律、道德、個人意識與技術手段等多方面的協同努力。通過強化法治宣傳教育、提升網絡安全管理者的風險意識與技術能力，可以構建一個更加安全、穩定的網絡環境。

5.3.3網絡安全事件應急處置方法

1.計算機病毒事件

1)判定方法

(1)硬盤容量分析：某些病毒通過自我復制機制占用大量硬盤空間，因此，監測硬盤容量變化可作為初步判斷病毒感染的依據。

(2)進程監控：利用任務管理器等工具，檢查系統中是否存在異常或未知進程，這些進程可能是病毒運行的表現。

(3)注冊表審查：病毒通常會修改注冊表鍵值，以篡改系統默認設置，如主頁、搜索引擎等，通過對注冊表的細致檢查，可以發現這些異常更改。

(4)內存占用分析：病毒運行可能占用大量系統內存資源，導致系統性能下降，通過對內存占用情況進行的監測，可以識別潛在的病毒活動。

(5)啟動項檢查：病毒可能修改磁盤引導信息或啟動項配置，阻止系統正常啟動，對啟動項進行全面檢查有助于發現此類問題。

(6)系統日志審計：系統日志記錄了系統中硬件、軟件問題及安全事件的詳細信息，通過分析系統日志，可以追蹤病毒活動的軌跡。

(7)文件鏈接驗證：病毒可能修改文件鏈接，導致文件無法訪問，檢查文件鏈接的完整性是識別病毒感染的另一途徑。

2)處理流程

(1)網絡隔離：一旦發現病毒，立即斷開受感染系統的網絡連接，防止病毒擴散。

(2)數據備份：迅速備份重要文檔、郵件等數據，以防病毒破壞或加密導致數據丟失。

(3)初步殺毒：在受感染的系統環境下運行殺毒軟件，進行初步掃描和清除，但需注意，此步驟可能受限于病毒的活動性。

(4)深度殺毒：使用干凈的系統啟動盤啟動系統，并在該環境下進行徹底的病毒掃描和清除，以避免帶毒環境對殺毒效果的干擾。

(5)系統恢復：若殺毒無效，可考慮使用Ghost備份或分區表、引導區備份進行系統恢復，以恢復到病毒感染前的狀態。

(6)密碼更新：處理完病毒后，及時更改所有與網絡相關的密碼，增強口令強度，防止病毒通過已泄露的憑據再次入侵。

2.蠕蟲事件

1)判定方法

(1)郵件審查：攻擊者常利用郵件附件作為蠕蟲傳播的媒介，因此需對郵件及其附件進行細致審查。

(2)服務器檢查：針對網站服務器進行深度檢查，以防蠕蟲藏匿于服務器內部并篡改網頁文件，進而感染訪問該網站的計算機。

(3)文件掃描：利用殺毒軟件或手動方式檢查文件，以發現可能隱藏的蠕蟲。

(4)數據完整性驗證：檢查關鍵數據文件是否丟失或受損，蠕蟲攻擊可能導致數據丟失或損壞。

(5)漏洞評估：對系統進行緩沖區溢出漏洞評估，因為緩沖區溢出是蠕蟲攻擊的常見手段。

(6)檢測技術運用：采用先進的檢測技術，如特征碼匹配、行為分析、蜜罐等，以識別蠕蟲的存在。

2)處理流程

(1)網絡共享禁用：立即取消所有不必要的網絡共享，以減少蠕蟲的傳播途徑。

(2)郵件清理：刪除所有來自未知來源或包含可疑附件的郵件。

(3)系統漏洞修補：及時修補所有已知的系統漏洞，以防止蠕蟲利用這些漏洞進行攻擊。

(4)防火墻配置：配置防火墻以禁止除服務端口外的其他端口通信，切斷蠕蟲的傳輸和通信通道。

(5)入侵檢測與定位：利用入侵檢測系統(IDS)找到蠕蟲所在位置，并立即進行刪除。

(6)程序關閉與刪除：刪除或關閉蠕蟲所依賴的程序，以切斷其傳播載體。

(7)服務器恢復：如果服務器受到蠕蟲感染，應立即啟用備份服務器，并對受感染的服務器進行格式化處理，再將數據從備份服務器恢復回來。

3.木馬事件

1)判定方法

(1)端口掃描：感染木馬病毒后，計算機的一個或多個網絡端口可能被非法打開，供黑客遠程訪問。

(2)賬戶審計：惡意攻擊者常通過克隆賬戶來控制目標計算機，具體手法包括激活系統中的默認賬戶，并利用工具將其權限提升至管理員級別。

(3)引導區檢查：木馬病毒可能隱藏在系統引導區，隨系統啟動而自動執行，或更改文件名以逃避檢測。

(4)代理服務檢測：部分木馬會啟用HTTP、SOCKET等代理服務功能，以進行數據傳輸或遠程控制。

(5)網絡流量分析：下載型木馬會秘密下載其他病毒程序或廣告軟件，用戶可通過關閉不必要的網絡應用，觀察網絡流量異常來發現木馬。

(6)系統配置審查：注冊表、配置文件、驅動程序等是木馬常用的隱蔽藏身之處，需進行仔細檢查。

2)處理流程

(1)禁用未知服務：檢查并關閉可能由木馬病毒開啟的未知服務，阻止其運行。

(2)賬戶鎖定與刪除：檢測到非法賬戶后，立即鎖定并刪除，防止其進一步控制計算機。

(3)安全防護產品部署：使用殺毒軟件清除木馬病毒，同時啟用防火墻攔截惡意數據包。

(4)注冊表清理：刪除與木馬病毒相關的注冊表項，消除其留下的痕跡。

(5)啟動項管理：刪除木馬病毒的啟動文件，防止其隨系統啟動而自動運行。

(6)系統升級與漏洞修補：及時更新系統補丁，修復已知的安全漏洞，提高系統防御能力。

(7)系統重裝：若上述措施均無法徹底清除木馬病毒，則考慮重裝操作系統以恢復系統安全。

4.僵尸網絡事件

1)判定方法

(1)網絡流量與帶寬監測：僵尸網絡常發動DoS/DDoS攻擊，通過控制僵尸主機在短時間內向目標主機發送大量連接請求，從而耗盡帶寬資源和目標主機資源，導致目標主機無法響應合法用戶的請求。

(2)郵件發送行為分析：僵尸網絡的另一種常見行為是大量發送垃圾郵件，因此，監測計算機是否存在異常郵件發送行為是判斷其是否成為僵尸網絡的關鍵。

(3)?DNS查詢監控：僵尸網絡在發動攻擊時會產生大量異常的DNS查詢請求，對這些請求進行監控有助于發現潛在的僵尸網絡活動。

(4)端口監控：僵尸網絡會操縱僵尸主機開啟大量端口以進行通信和控制，因此，監控端口的開啟情況也是判斷僵尸網絡存在與否的重要手段。

2)處理流程

(1)掃描與隔離Web站點：利用Web過濾服務對Web站點進行掃描，發現異常行為或已知惡意活動后，立即將這些站點隔離，以防止其繼續傳播惡意代碼。

(2)更換瀏覽器：由于僵尸網絡往往針對特定瀏覽器進行攻擊，因此，在檢測到僵尸網絡后，更換瀏覽器可以降低受害風險。

(3)禁用腳本：僵尸網絡常利用腳本進行攻擊，因此，在緊急情況下，可以采取禁用腳本的措施來快速遏制僵尸網絡的擴散。

(4)部署防御系統：采用入侵檢測和入侵防御系統(IDS/IPS)對網絡進行實時監控，發現具有僵尸網絡特征的活動后立即進行阻止。

(5)使用補救工具：對于已經感染僵尸網絡的計算機，使用專業的補救工具進行清理，以消除隱藏的rootkit等惡意軟件感染。

(6)隔離網絡：在確認計算機感染僵尸網絡后，應立即斷開其網絡連接，以防止未感染的計算機受到進一步感染。

5.網頁內嵌惡意代碼

1)判定方法

(1)審查腳本程序：檢查JavaScript、Applet、ActiveX等腳本程序是否被篡改，以識別對IE瀏覽器、頁面文件、默認主頁、標題欄按鈕、非法鏈接及彈出頁面的惡意修改。

(2)監控磁盤容量：觀察磁盤容量變化，以檢測惡意頁面可能下載的大量文件，包括潛在的格式化磁盤的惡意代碼。

(3)分析網絡流量：分析網絡流量，識別惡意頁面非法下載內容導致的流量異常。

(4)審查注冊表：檢查注冊表是否被惡意代碼修改，包括主頁、默認搜索引擎等關鍵設置。

(5)應用檢測技術：采用基于特征碼、啟發式、行為式的檢測技術，以識別頁面中的惡意代碼。

2)處理流程

(1)升級瀏覽器與修補漏洞：升級瀏覽器版本，修補已知漏洞。

(2)部署網絡防火墻：安裝并配置網絡防火墻，阻止與惡意網頁的連接。

(3)清理注冊表：刪除惡意代碼在注冊表中留下的特殊ID及非法鏈接主鍵，恢復默認設置。

(4)刪除腳本依賴程序：找到并刪除網頁腳本所依賴的程序。

(5)修復手工代碼：通過網頁代碼審查與手動修復，清除惡意代碼。

(6)服務管理：查看并關閉可能被木馬病毒開啟的服務，以阻止其運行。

6.拒絕服務攻擊事件

1)判定方法

(1)監控CPU負載：檢查CPU負載，識別攻擊者發送的大量連接請求導致的CPU滿負荷運轉。

(2)檢查內存：觀察內存資源使用情況，識別惡意程序導致的內存耗盡。

(3)測試網絡連接性：檢測服務器是否被攻擊者偽裝成合法用戶IP欺騙，導致與合法用戶的連接斷開。

(4)監控網絡帶寬：分析網絡帶寬的使用情況，識別攻擊者利用簡單帶寬傳輸大量數據導致的帶寬耗盡。

2)處理流程

(1)阻斷攻擊流量：從網絡流量中識別并阻斷攻擊流量。

(2)部署防護工具：在網絡邊界部署防護工具，阻斷內外不同類型的拒絕服務攻擊。

(3)修補漏洞：針對語義類型的拒絕服務攻擊，通過修補系統漏洞來解決。

7.后門攻擊事件

1)判定方法

(1)啟動項檢查：審查系統啟動項，識別可疑的啟動服務和路徑。

(2)端口監聽：使用DOS命令監聽本地開放端口，檢測反向連接的后門。

(3)文件MD5值比對：對照系統文件的MD5值，識別被修改的系統文件。

2)處理流程

(1)管理端口：關閉本機不用的端口或限制指定端口訪問。

(2)關閉服務：關閉不必要的服務，減少潛在攻擊面。

(3)監控進程：注意系統運行狀況，終止不明進程。

(4)安裝安全工具：使用安全工具，安裝并配置防火墻。

8.漏洞攻擊事件

1)判定方法

(1)應用漏洞檢測工具：使用常見的防護軟件(如金山毒霸、瑞星防火墻、360安全衛士等)進行漏洞掃描檢測。

(2)模擬攻擊測試：對目標主機系統進行常見漏洞攻擊測試(如弱口令測試)，驗證漏洞存在性。

(3)開放端口監控：攻擊者可能掃描端口信息以查找漏洞，因此需監控開放端口。

2)處理流程

(1)修復系統漏洞：修復已知系統漏洞，更新軟件補丁。

(2)升級系統：升級操作系統、中間件、數據庫等軟件版本，以減少漏洞。

(3)啟用防火墻：啟用防火墻，及時攔截利用協議漏洞的遠程惡意請求。

(4)關閉漏洞服務：關閉存在漏洞的服務，以減少攻擊面。

(5)修改配置信息：修改配置信息，設置安全選項，提高系統安全性。

(6)加強訪問控制：加強訪問控制策略，限制不必要的訪問權限。

(7)開放端口管理：關閉或屏蔽不必要的開放端口。

9.信息篡改事件

1)判定方法

(1)人工對比分析：通過人工手段對比被檢測信息與原始樣本內容，若存在差異，則判定為內容被篡改。

(2)數據簽名驗證：針對已簽名的數據，通過驗證其簽名完整性，判斷數據是否遭受篡改。

(3)文件修改時間審計：檢查數據文件的修改時間記錄，若用戶在相關時間段內未進行合法修改，則可能表明發生了數據篡改事件。

2)處理流程

(1)停用篡改數據：立即停止使用被篡改數據的應用，并啟用相應的備份數據。

(2)恢復數據：使用數據恢復工具對被篡改的數據進行恢復。

(3)恢復設置：對于網頁等內容的篡改，可通過修改注冊表恢復默認設置，如主頁等。

(4)找回與加固賬號：通過身份驗證找回被篡改的賬號，并加強賬號的口令復雜度與安全性。

(5)更新密鑰與加密：及時更新密鑰，重新對數據進行簽名，并采用更復雜的加密技術進行保護。

10.網絡掃描竊聽事件

1)判定方法

(1)?IP請求分析：當連續相同源地址的IP請求連接記錄超過預設閾值時，視為潛在的網絡掃描行為。通過對可疑IP地址的特定時間段內所有連接記錄進行分析，以發現網絡掃描活動。

(2)端口連接監控：入侵者通過掃描目標主機的開放端口來尋找漏洞，因此頻繁與主機端口建立連接是掃描行為的重要特征。通過監控端口連接數量，可檢測網絡掃描行為。

(3)帶寬占用檢查：目標主機被大量帶寬占用，表明該主機很有可能正在被監聽。

2)處理流程

(1)關閉閑置端口：關閉閑置及存在潛在危險的端口。

(2)屏蔽端口：當檢測到端口掃描行為時，立即屏蔽該端口。

(3)部署防火墻：使用防火墻進行網絡訪問控制，防止未經授權的掃描與竊聽行為。

11.網絡釣魚事件

1)判定方法

(1)網站備案查詢：無法查詢到備案信息的網站可能是釣魚網站。

(2)郵件內容分析：

①

郵件內容審查：釣魚郵件通常要求受害者提供個人信息。

②

釣魚網站內容比對：釣魚網站會模仿被仿冒對象的內容，涉及虛假抽獎、中獎等活動。

③

其他內容檢查：釣魚網站在域名、商號、標識等方面與被仿冒對象高度相似，以增加誤導性。

(3)安全證書驗證：正規大型網站通常擁有非自簽名的可信安全證書，且網址以“https”開頭。

2)處理流程

(1)關閉瀏覽器：立即關閉訪問釣魚網站的瀏覽器。

(2)查殺木馬：使用安全軟件清理并查殺木馬病毒。

(3)修改賬號密碼：修改可能泄露的賬號密碼。

(4)舉報釣魚網站：向相關部門舉報釣魚網站。

(5)報警處理：情節嚴重時，立即向公安機關報案。

12.干擾事件

1)判定方法

(1)?Wi-Fi性能測試：通過測試上傳速度、下載速度以及ping測試，評估Wi-Fi速度和信號強度。使用無線信號分析器進一步測試Wi-Fi信號強度，以區分正常的網絡擁塞與干擾攻擊。

(2)載波偵聽時間分析：獲取并分析載波偵聽時間的分布特性，當出現干擾攻擊時，該特性會發生變化。

(3)網絡數據包監控：使用嗅探工具(如kismet、wireshark)監控網絡數據包，檢測驗證洪水攻擊、關聯洪水攻擊、射頻干擾攻擊等常見的干擾攻擊。

2)處理流程

(1)干擾識別：對附近的Wi-Fi設備進行分析，識別干擾源及分析干擾產生的原因。

(2)信道切換：切換到另外的安全信道，盡量選擇頻段不相鄰的正交信道；

(3)空間退避：若切換信道后干擾仍存在，則移動至干擾區域外，保持網絡連通性。

13.假冒事件

1)判定方法

(1)分析IP地址：攻擊者在假冒他人發布信息時，可能會泄露其IP地址。若該IP地址來源不明或與預期不符，則可視為身份假冒的線索。

(2)審查通信記錄：通過檢查相關當事人與疑似假冒者的通信記錄(如QQ聊天記錄、郵件等)，分析是否存在詐騙行為。

(3)向被冒用者核實：對可疑信息保持警惕，并及時向被冒用者求證，以確認信息的真實性。

2)處理流程

(1)緊急通知：通過安全渠道及時通知所有認識的人，防止假冒者實施進一步詐騙。

(2)賬戶更新與強化驗證：更新個人賬戶信息，加強身份驗證措施，防止攻擊者繼續冒用身份。

(3)個人信用查詢與配合調查：查詢個人身份證是否有違法記錄或不良信用記錄，如有，則積極配合相關部門追查冒用者并追究責任。

(4)公共部門管理加強：呼吁公共部門加強個人信息管理，嚴防個人信息倒賣等事件發生，并依法追究涉嫌信息買賣的責任人。

(5)?IP