保护计算机网络安全措施.docVIP

保护计算机网络安全的措施 　　摘要：针对计算机网络入侵后的保护措施以及安全检查方法进行了分析，提出了掌握一定的网络入侵安全检查方法来减少由网络入侵带来的经济损失是十分有必要的。 　　关键词：网络入侵；保护措施 　　中图分类号：TP309.1 文献标识码：B 　　 　　1.引言。在网络技术日新月异的今天，基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动增长很快。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。 　　2．网络入侵的途径。计算机病毒入侵主要有源代码嵌入攻击型、代码取代攻击型、系统修改型和外壳附加型四种方式，而对网络入侵来讲主要分为主动入侵和被动入侵。 　　主动入侵主要是指用户主动去执行病毒以及木马程序，例如浏览网站中植入了恶意病毒及其木马程序的网页，这些木马程序（病毒）大多是利用操作系统的漏洞，当用户访问网页时，将会主动下载该类木马程序并执行；还有就是目前比较流行的优盘病毒，通过优盘来进行传播和执行，这种类型的攻击非常隐蔽，不易察觉，当用户连接互联网时，木马（病毒）的服务端可以对感染木马（病毒）的客户端进行控制。被动入侵主要是指由入侵者主动发动的攻击，例如扫描系统口令，利用系统存在的远程溢出漏洞进行溢出攻击，SQL注入攻击等。如果用户具有一定安全意识，被成功入侵的几率较低。 　　3．入侵后的保护措施。不管是个人普通电脑还是公司用电脑，保护好入侵现场是十分必要的，入侵现场作为经济损失评估和追踪入侵者的重要证据。发生网络入侵后，如果有安全事件应急方案，应当按照应急方案或者措施执行。 　　3.1报告上司、网警、公安部门或国家安全局。在计算机被入侵后，一般采用三种方式处理：一种就是彻底格式化硬盘，重新安装操作系统和软件；另外一种方法是安装一些木马查找软件，查杀木马和病毒后继续使用，最后一种就是利用原来系统中的Ghost备份进行恢复。正确的方法应该是评估计算机中资料的价值，根据其计算机的重要情况，一旦发现计算机被入侵后，应立刻将网络断开，并报告公司安全部门或网警或国家安全局等处理网络安全事件的部门，然后再做相应的处理。 　　3.2保留证据。在发生网络入侵后，一个很重要的步骤就是保留证据，面对入侵，最可能留下证据的就是硬盘，下面给出一些可供参考的保留证据步骤： 　　①使用软驱启动并克隆整个硬盘。在选择克隆硬盘时通过软盘启动并克隆是为了保证系统的时间不被更改。操作系统的一些文件会在启动计算机时进行时间的更新，为了保证时间的准确性，应该从软驱启动并通过软盘来克隆硬盘中的系统盘以及其它物理盘。②将被入侵硬盘存封，保留最直接证据。③还原操作系统使被攻击服务器或者个人电脑恢复正常。 ④修改在本机上使用的相关软件以及操作系统账号的登录密码。⑤如果是服务器，则需要通知网络用户更改相应的密码。 　　4．具体的安全检查方法 　　4.1检查计算机用户。在被入侵的计算机中，极有可能添加了新用户或者对用户进行了克隆。 　　4.2查看网络连接情况。使用netstat -an-netlog-1.txt命令将目前端口开放情况以及网络连接情况生成netlog-1文本文件，便于查看网络开放的端口和连接的IP地址等，可以用来追踪入侵者。 　　4.3查看远程终端服务。Windows2000/XP/2003默认的远程终端服务都是手动的。 　　4.4Web服务器的安全检查 　　①SQL Server 2000等数据库安全检查。目前对Web服务器进行SQL注入是一种主流攻击方式，SQL注入攻击最有可能留下痕迹的就是SQL Server 2000等数据库中的临时表，通过HDSI等软件进行SQL注入攻击，在数据库中会留下临时表。因此可以通过数据库的企业管理器或者查询处理器进行表的浏览，直接查看最新创建表的情况。 　　②Web日志文件检查。如果Web服务设置日志记录，则系统会在缺省的%SystemRoot%\system32\Logfiles目录下对用户访问等信息进行记录。日志文件能够记录入侵者所进行的操作以及入侵者的IP地址等。 　　4.5使用事件查看器查看安全日志等。事件查看器中有安全性、系统和应用程序三类日志文件，可以通过在运行eventvwr.msc调用事件查看器。安全性日志中包含了特权使用、用户、时间和计算机等信息，这些信息可以作为判断入侵者入侵时间以及采用什么方式进行登陆等信息。不过默认情况下，日志文件记录的选项较少，需要通过组策略进行设置。 　　4.6查看硬盘以及系统所在目录新近产生的文件。如果及时发现入侵，则可以通过以下一些方法来查看入侵者所上传或安装的木马程序文件。 　　①查