如何有效防範網路安全問題（網路安全防範措施五種）

2023-07-26 12:10:29

計算機網路安全有哪些基本注意事項?

個人網路資訊保安防護四招來幫忙

作為普通使用者，要想建設網路安全事件帶來的侵害，要做到以下幾點，第一：提高網路安全意識，時刻把握頭腦中的一根弦。第二：電腦訪問網頁使用安全瀏覽器，智慧手機最好安裝相關安全軟體。第三：不同賬戶不要用同樣的密碼，尤其是弱密碼。第四：勇於維權，發生利益受損之後，通過多種方式維權。

個人防護是最後一道防禦關口，也是防禦網路安全問題侵害最主要的關口之一。很多時候，網路安全問題還在於我們的廣大網民疏於防範，給了不法分子可乘之機。

利用資料流特徵來檢測攻擊的思路

掃描時,攻擊者首先需要自己構造用來掃描的IP資料包,通過傳送正常的和不正常的資料包達到計算機埠,再等待埠對其響應,通過響應的結果作為鑑別。我們要做的是讓IDS系統能夠比較準確地檢測到系統遭受了網路掃描。考慮下面幾種思路：

1.特徵匹配。找到掃描攻擊時資料包中含有的資料特徵，可以通過分析網路資訊包中是否含有埠掃描特徵的資料，來檢測埠掃描的存在。如UDP埠掃描嘗試：content:“sUDP”等等。

2.統計分析。預先定義一個時間段，在這個時間段內如發現了超過某一預定值的連線次數，認為是埠掃描。

3.系統分析。若攻擊者對同一主機使用緩慢的分散式掃描方法，間隔時間足夠讓入侵檢測系統忽略，不按順序掃描整個網段，將探測步驟分散在幾個會話中，不導致系統或網路出現明顯異常，不導致日誌系統快速增加記錄，那麼這種掃描將是比較隱祕的。這樣的話，通過上面的簡單的統計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱祕的，若能對收集到的長期資料進行系統分析，可以檢測出緩慢和分散式的掃描。

4.利用系統安全漏洞進行攻擊的例子

假設區域網內計算機安裝的作業系統，存在Administrator賬戶為空密碼的典型安全漏洞。這是很多計算機都存在的安全漏洞，黑客往往就利用系統的漏洞入侵系統，對系統進行破壞。下面就是使用虛擬機器模擬區域網內的某臺計算機，本機計算機作為入侵的黑客，並使遠端計算機反覆重新啟動的過程。

(1)在本地計算機編輯批處理檔案cmy.bat檔案，開啟記事本，寫入命令如下的命令：shutdown–r–t10。該命令表示計算機在10秒後重新啟動。將文字檔案另存為cmy.bat檔案。

(2)使用netuse命令與遠端計算機建立連線。建立連線前，對虛擬機器需要做如下設定：開始——執行，輸入gpedit.msc開啟組策略，找到“Windows設定——安全設定——本地策略——安全選項”，將本地帳戶的共享和安全模式設定為“經典—本地使用者以自己的身份驗證”，再將使用空白密碼的本地帳戶只允許進行控制檯登入設定為“已禁用”“”/user:”administrator”命令，使用者帳戶是Administrator，密碼為空。

(3)開啟登錄檔編輯器，連線到遠端計算機的登錄檔。使用regedit命令開啟登錄檔編輯器，滑鼠單擊“檔案”選單項，選擇“連線網路登錄檔”如圖所示：

(4）開啟遠端計算機的登錄檔後，有兩個主鍵，找到登錄檔中的開機啟動項所在的位置：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run，修改登錄檔的開機啟動項。在登錄檔空白處滑鼠右鍵，新建字串值，名字為startconfig，數值資料為cmy.bat檔案在遠端計算機的路徑：C:/WINDOWS/cmy.bat，啟動項修改完成後遠端計算機每次重啟時就會執行cmy.bat檔案。如圖所示：

(5)使用shutdown命令使遠端計算機重啟，命令為：shutdown–r–t20–

(6)使用命令清除入侵痕跡：netuse*/del/y，此命令表示斷開所有已建立的連線，並清除入侵痕跡。

5.計算機網路安全的防範的幾點措施

(1)網路病毒的防範

計算機病毒種類繁多，新的變種不斷出現，而且在開放的網路環境中，其傳播速度更快，機會更多。對於使用者而言，需要採用全方位的防病毒產品及多層次的安全工具，儘量保障網路中計算機的安全。電子郵件傳輸、檔案下載等過程都有可能攜帶病毒，使用者務必要針對網路中病毒所有可能傳播的方式、途徑進行防範，設定相應的病毒防殺軟體，進行全面的防病毒系統配置，並保證防病毒軟體及病毒庫的不斷更新，保障計算機系統及網路的安全，防止病毒的攻擊。

(2)資料加密技術

資料加密技術代價小而作用明顯，是網際網路資訊傳輸過程中經常使用的安全技術，是最基本也是最核心的資訊保安技術。加密技術以密碼學為基礎，通過使用各種加密演算法將要傳輸的資料轉化成為密文，再進行傳輸，到達接收方再禾J用解密演算法進行解密，將密文轉化為明文來讀取。在此過程中只有合法使用者才擁有金鑰，才能解密，這樣在傳輸過程中即使有非授權人員獲取資料，也確保他人識別不了資訊的真實內容，從而保證資訊在傳輸過程中的安全。根據加密金鑰和解密金鑰型別的相同與否，可將密碼技術分為對稱加密(常規金鑰密碼體制)和非對稱加密兩種(公開金鑰密碼體制)。兩種方法各有優缺，在使用過程中常常將兩種方法結合，揚長避短，既提高加密效率又簡化對金鑰的管理。

(3)防火牆技術

防火牆技術是目前使用最為廣泛的一種保護計算機網路安全的技術性措施，介於內部網路和外部網路之間，用來保護內部網路不受到來自外部網際網路的侵害。防火牆安全控制策略是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和資料進入網路，同時將你“不同意”的人和資料拒之門外，最大限度的保護內網安全。它禁止一切未被允許的訪問服務，同時允許一切未被禁止的訪問服務。防火牆由硬體和軟體兩部分共同組成，根據其防護原理的不同可分為包過濾防火牆、應用級防火牆和電路級防火牆。

(4)入侵檢測技術

入侵檢測技術，即實時檢測技術，主要是為保證電腦保安而對系統中的入侵行為進行實時檢測的技術。它通過檢測網路上的資料流，進而檢視有無違反安全策略的行為。如果入侵檢測系統識別出有任何異常的行為，則根據使用者預先的設定做出響應，如防火牆根據其安全控制策略採取措施，將存在威脅的資料包過濾掉，阻止入侵者進一步攻擊計算機。利用此技術可以實現對計算機系統的實時監控，及時發現異常行為、危險因素，但是它往往需要和防火牆系統結合起來使用，以限制這些行為，保障計算機系統的安全。

6.身份認證技術

身份認證技術主要是通過對通訊雙方進行身份的鑑別，以確保通訊的雙方是合法授權使用者，有權利進行資訊的讀取、修改、共享等操作，識別出非授權使用者的虛假身份。身份認證技術要求使用者先向系統出示自己的身份證明，然後通過標識鑑別使用者的身份，判斷是否是合法授權使用者，從而阻止假冒者或非授權使用者的訪問。

7. 殺（防）毒軟體不可少

病毒的發作給全球計算機系統造成巨大損失，令人們談“毒”色變。上網的人中，很少有誰沒被病毒侵害過。對於一般使用者而言，首先要做的就是為電腦安裝一套正版的防毒軟體，現在不少人對防病毒有個誤區，就是對待電腦病毒的關鍵是“殺”，其實對待電腦病毒應當是以“防”為主。目前絕大多數的防毒軟體都在扮演“事後諸葛亮”的角色，即電腦被病毒感染後防毒軟體才忙不迭地去發現、分析和治療。這種被動防禦的消極模式遠不能徹底解決電腦保安問題。防毒軟體應立足於拒病毒於計算機門外。因此應當安裝防毒軟體的實時監控程式，應該定期升級所安裝的防毒軟體（如果安裝的是網路版，在安裝時可先將其設定為自動升級），給作業系統打相應補丁、升級引擎和病毒定義碼。由於新病毒的出現層出不窮，現在各防毒軟體廠商的病毒庫更新十分頻繁，應當設定每天定時更新防毒實時監控程式的病毒庫，以保證其能夠抵禦最新出現的病毒的攻擊。

每週要對電腦進行一次全面的防毒、掃描工作，以便發現並清除隱藏在系統中的病毒。當使用者不慎感染上病毒時，應該立即將防毒軟體升級到最新版本，然後對整個硬碟進行掃描操作，清除一切可以查殺的病毒。如果病毒無法清除，或者防毒軟體不能做到對病毒體進行清晰的辨認，那麼應該將病毒提交給防毒軟體公司，防毒軟體公司一般會在短期內給予使用者滿意的答覆。而面對網路攻擊之時，我們的第一反應應該是拔掉網路連線埠，或按下防毒軟體上的斷開網路連線鈕。

8.個人防火牆不可替代

如果有條件，安裝個人防火牆（Fire wall）以抵禦黑客的襲擊。所謂“防火牆”，是指一種將內部網和公眾訪問網(internet)分開的方法，實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和資料進入你的網路，同時將你“不同意”的人和資料拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要資訊。防火牆安裝和投入使用後，並非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯絡，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快釋出補救(patch) 產品，此時應儘快確認真偽（防止特洛伊木馬等病毒），並對防火牆進行更新。在理想情況下，一個好的防火牆應該能把各種安全問題在發生之前解決。就現實情況看，這還是個遙遠的夢想。目前各家防毒軟體的廠商都會提供個人版防火牆軟體，防病毒軟體中都含有個人防火牆，所以可用同一張光碟執行個人防火牆安裝，重點提示防火牆在安裝後一定要根據需求進行詳細配置。合理設定防火牆後應能防範大部分的蠕蟲入侵。

9.分類設定密碼並使密碼設定儘可能複雜

在不同的場合使用不同的密碼。網上需要設定密碼的地方很多，如網上銀行、上網賬戶、E-mail、聊天室以及一些網站的會員等。應儘可能使用不同的密碼，以免因一個密碼洩露導致所有資料外洩。對於重要的密碼（如網上銀行的密碼）一定要單獨設定，並且不要與其他密碼相同。設定密碼時要儘量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易洩露的字元作為密碼，最好採用字元與數字混合的密碼。不要貪圖方便在撥號連線的時候選擇“儲存密碼”選項；如果您是使用email客戶端軟體（outlook express、foxmail、the bat等）來收發重要的電子郵箱，如ISP信箱中的電子郵件，在設定賬戶屬性時儘量不要使用“記憶密碼”的功能。因為雖然密碼在機器中是以加密方式儲存的，但是這樣的加密往往並不保險，一些初級的黑客即可輕易地破譯你的密碼，而且現在網上就有許多黑客軟體可供下載，例如caption-it!軟體，利用它可以輕而易舉地得到你儲存的密碼。定期地修改自己的上網密碼，至少一個月更改一次，這樣可以確保即使原密碼洩露，也能將損失減小到最少。

10.不下載來路不明的軟體及程式，不開啟來歷不明的郵件及附件

不下載來路不明的軟體及程式。幾乎所有上網的人都在網上下載過共享軟體（尤其是可執行檔案），在給你帶來方便和快樂的同時，也會悄悄地把一些你不歡迎的東西帶到你的機器中，比如病毒。因此應選擇信譽較好的下載網站下載軟體，將下載的軟體及程式集中放在非引導分割槽的某個目錄，在使用前最好用防毒軟體查殺病毒。有條件的話，可以安裝一個實時監控病毒的軟體，隨時監控網上傳遞的資訊。不要開啟來歷不明的電子郵件及其附件，以免遭受病毒郵件的侵害。在網際網路上有許多種病毒流行，有些病毒就是通過電子郵件來傳播的（如梅麗莎、愛蟲等），這些病毒郵件通常都會以帶有噱頭的標題來吸引你開啟其附件，如果您抵擋不住它的誘惑，而下載或執行了它的附件，那麼接下來···所以對於來歷不明的郵件應當將其拒之門外。

11.警惕“網路釣魚”

目前，網上一些黑客利用“網路釣魚”手法進行詐騙，如建立假冒網站或傳送含有欺詐資訊的電子郵件，盜取網上銀行、網上證券或其他電子商務使用者的賬戶密碼，從而竊取使用者資金的違法犯罪活動不斷增多。公安機關和銀行、證券等有關部門提醒網上銀行、網上證券和電子商務使用者對此提高警惕，防止上當受騙。

目前“網路釣魚”的主要手法有以下幾種方式：

（1）傳送電子郵件，以虛假資訊引誘使用者中圈套。詐騙分子以垃圾郵件的形式大量傳送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內容引誘使用者在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登入某網頁提交使用者名稱、密碼、身份證號、信用卡號等資訊，繼而盜竊使用者資金。

（2）建立假冒網上銀行、網上證券網站，騙取使用者賬號密碼實施盜竊。犯罪分子建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平臺極為相似的網站，引誘使用者輸入賬號密碼等資訊，進而通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡、證券交易卡盜竊資金；還有的利用跨站指令碼，即利用合法網站伺服器程式上的漏洞，在站點的某些網頁中插入惡意html程式碼，遮蔽住一些可以用來辨別網站真假的重要資訊，利用cookies竊取使用者資訊。

（3）利用虛假的電子商務進行詐騙。此類犯罪活動往往是建立電子商務網站，或是在比較知名、大型的電子商務網站上釋出虛假的商品銷售資訊，犯罪分子在收到受害人的購物匯款後就銷聲匿跡。

（4）利用木馬和黑客技術等手段竊取使用者資訊後實施盜竊活動。木馬製作者通過傳送郵件或在網站中隱藏木馬等方式大肆傳播木馬程式，當感染木馬的使用者進行網上交易時，木馬程式即以鍵盤記錄的方式獲取使用者賬號和密碼，併傳送給指定郵箱，使用者資金將受到嚴重威脅。

（5）利用使用者弱口令等漏洞破解、猜測使用者賬號和密碼。不法分子利用部分使用者貪圖方便設定弱口令的漏洞，對銀行卡密碼進行破解。

實際上，不法分子在實施網路詐騙的犯罪活動過程中，經常採取以上幾種手法交織、配合進行，還有的通過手機簡訊、qq、msn進行各種各樣的“網路釣魚”不法活動。反網路釣魚組織apwg(anti-phishing working group)最新統計指出，約有70.8%的網路欺詐是針對金融機構而來。從國內前幾年的情況看大多phishing只是被用來騙取qq密碼與遊戲點卡與裝備，但今年國內的眾多銀行已經多次被phishing過了。可以下載一些工具來防範phishing活動，如netcraft toolbar，該軟體是ie上的toolbar，當使用者開啟ie裡的網址時，就會檢查是否屬於被攔截的危險或嫌疑網站，若屬此範圍就會停止連線到該網站並顯示提示。

12.防範間諜軟體（spyware）

最近公佈的一份家用電腦調查結果顯示，大約80%的使用者對間諜軟體入侵他們的電腦毫無知曉。間諜軟體（spyware）是一種能夠在使用者不知情的情況下偷偷進行安裝（安裝後很難找到其蹤影），並悄悄把截獲的資訊傳送給第三者的軟體。它的歷史不長，可到目前為止，間諜軟體數量已有幾萬種。間諜軟體的一個共同特點是，能夠附著在共享檔案、可執行影象以及各種免費軟體當中，並趁機潛入使用者的系統，而使用者對此毫不知情。間諜軟體的主要用途是跟蹤使用者的上網習慣，有些間諜軟體還可以記錄使用者的鍵盤操作，捕捉並傳送螢幕影象。間諜程式總是與其他程式捆綁在一起，使用者很難發現它們是什麼時候被安裝的。一旦間諜軟體進入計算機系統，要想徹底清除它們就會十分困難，而且間諜軟體往往成為不法分子手中的危險工具。

從一般使用者能做到的方法來講，要避免間諜軟體的侵入，可以從下面三個途徑入手：

（1）把瀏覽器調到較高的安全等級—— internet explorer預設為提供基本的安全防護，但您可以自行調整其等級設定。將internet explorer的安全等級調到“高”或“中”可有助於防止下載。

（2）在計算機上安裝防止間諜軟體的應用程式（如mircrosoft anti spyware是一款專門針對spyware的程式，支援windows2000／xp／2003，它是用於監測和移除系統中存在的spyware和其他潛在的不受信任程式的軟體），時常監察及清除電腦的間諜軟體，以阻止軟體對外進行未經許可的通訊。

（3）對將要在計算機上安裝的共享軟體進行甄別選擇，尤其是那些你並不熟悉的，可以登入其官方網站了解詳情；在安裝共享軟體時，不要總是心不在焉地一路單擊“ok”按鈕，而應仔細閱讀各個步驟出現的協議條款，特別留意那些有關間諜軟體行為的語句。

13.只在必要時共享資料夾

不要以為你在內部網上共享的檔案是安全的，其實你在共享檔案的同時就會有軟體漏洞呈現在網際網路的不速之客面前，公眾可以自由地訪問您的那些檔案，並很有可能被有惡意的人利用和攻擊。因此共享檔案應該設定密碼，一旦不需要共享時立即關閉。一般情況下不要設定資料夾共享，以免成為居心叵測的人進入你的計算機的跳板。如果確實需要共享資料夾，一定要將資料夾設為只讀。通常共享設定“訪問型別”不要選擇“完全”選項，因為這一選項將導致只要能訪問這一共享資料夾的人員都可以將所有內容進行修改或者刪除。windows98/me的共享預設是“只讀”的，其他機器不能寫入；windows2000的共享預設是“可寫”的，其他機器可以刪除和寫入檔案，對使用者安全構成威脅。不要將整個硬碟設定為共享。例如，某一個訪問者將系統檔案刪除，會導致計算機系統全面崩潰，無法啟動。

14.不要隨意瀏覽黑客網站、色情網站

這點勿庸多說，不僅是道德層面，而且時下許多病毒、木馬和間諜軟體都來自於黑客網站和色情網站，如果你上了這些網站，而你的個人電腦恰巧又沒有縝密的防範措施，哈哈，那麼你十有八九會中招，接下來的事情可想而知。

15.定期備份重要資料

資料備份的重要性毋庸諱言，無論你的防範措施做得多麼嚴密，也無法完全防止“道高一尺，魔高一丈”的情況出現。如果遭到致命的攻擊，作業系統和應用軟體可以重灌，而重要的資料就只能靠你日常的備份了。所以，無論你採取了多麼嚴密的防範措施，也不要忘了隨時備份你的重要資料，做到有備無患！