第8章 網(wǎng)絡(luò)安全

第8章網(wǎng)絡(luò)安全8.1網(wǎng)絡(luò)安全概述8.2計算機病毒知識8.3防火墻8.4木馬防治8.5數(shù)據(jù)備份與災(zāi)難恢復(fù)8.1網(wǎng)絡(luò)安全概述

計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全。從狹義的保護角度來說，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源及信息資源不受自然和人為有害因素的威脅與危害。從廣義來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)理論，都是計算機網(wǎng)絡(luò)安全研究的領(lǐng)域。廣義的計算機網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全，如場地環(huán)境保護、防盜措施、防火措施、防雷擊措施、防水措施、防靜電措施、電源保護、空調(diào)設(shè)備、計算機及網(wǎng)絡(luò)設(shè)備的輻射和計算機病毒等。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜合性學(xué)科。1.計算機網(wǎng)絡(luò)安全的特征計算機網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征。（1）保密性保密性是指信息不泄漏給非授權(quán)的用戶、實體或?qū)ο?，或供其利用的特性。即防止信息泄漏給非授權(quán)個人或?qū)嶓w。（2）完整性完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進行改變，信息的存儲或傳輸過程中保持不被修改、不被破壞和丟失的特征。（3）可用性可用性是指可被授權(quán)實體訪問并按需求使用的特性。。（4）可控性可控性是指對信息的傳播及信息的內(nèi)容具有控制能力。

2.網(wǎng)絡(luò)安全的結(jié)構(gòu)層次網(wǎng)絡(luò)安全的結(jié)構(gòu)層次主要包括：物理安全、安全控制和安全服務(wù)。（1）物理安全物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。也就是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。物理安全是網(wǎng)絡(luò)信息安全的最基本保障，是整個安全系統(tǒng)不可缺少和忽視的組成部分。（2）安全控制安全控制是指在網(wǎng)絡(luò)信息系統(tǒng)中，對存儲和傳輸?shù)男畔⒉僮骷斑M程進行控制與管理，重點是在網(wǎng)絡(luò)信息處理層次上對信息進行初步的安全保護，安全控制可以分為以下三個層次。（3）安全服務(wù)安全服務(wù)是指在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實性進行保護及鑒別，滿足用戶的安全需求，防止并抵御各種安全威脅和攻擊手段。安全服務(wù)可以在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)及網(wǎng)絡(luò)信息系統(tǒng)的安全漏洞。安全服務(wù)的主要內(nèi)容包括安全機制、安全連接、安全協(xié)議和安全策略等。3.計算機網(wǎng)絡(luò)安全威脅的來源影響計算機網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是天災(zāi)，也可能是人為的。計算機網(wǎng)絡(luò)安全威脅的來源主要有三個。

（1）天災(zāi)天災(zāi)是指不可控制的自然災(zāi)害，如雷擊、地震等。天災(zāi)輕則造成正常的業(yè)務(wù)工作混亂，重則造成系統(tǒng)中斷和無法估量的損失。（2）人為因素人為因素可分為有意和無意兩種類型。人為的威脅往往是由于系統(tǒng)資源和管理中的薄弱環(huán)節(jié)被威脅源(入侵者或其入侵程序)利用而產(chǎn)生的。（3）系統(tǒng)本身原因①計算機硬件系統(tǒng)及網(wǎng)絡(luò)設(shè)備的故障由于設(shè)計、生產(chǎn)工藝、制造、設(shè)備運行環(huán)境等原因，計算機硬件系統(tǒng)及網(wǎng)絡(luò)設(shè)備會出現(xiàn)故障。如電路短路、斷路、接觸不良、器件老化和電壓的波動干擾等引起的網(wǎng)絡(luò)系統(tǒng)不穩(wěn)定。②軟件的漏洞軟件不可能百分之百的無缺陷和漏洞，軟件系統(tǒng)越龐大，出現(xiàn)漏洞和缺陷的可能性也越大。這些漏洞和缺陷就成了攻擊者的首選目標。③軟件的“后門”

軟件的“后門”是軟件公司的程序設(shè)計人員為了方便而在開發(fā)時預(yù)留設(shè)置的。這些“后門”一般不為外人所知，但是一旦“后門洞開”，其造成的后果將不堪設(shè)想.4.威脅的具體表現(xiàn)形式威脅具體表現(xiàn)為物理威脅、系統(tǒng)漏洞造成的威脅、鑒別威脅、線纜連接威脅、有害程序威脅和管理上的威脅等六種形式。

（1）物理威脅

①偷竊②惡劣的運行環(huán)境③廢物搜尋④間諜行為⑤身份識別錯誤（2）系統(tǒng)漏洞造成的威脅①乘虛而入②

不安全服務(wù)

③配置和初始化④口令破解⑤算法考慮不周全⑥編輯口令（3）線纜連接威脅

①竊聽②撥號進入③冒名頂替

（4）有害程序威脅

①計算機病毒②代碼炸彈③特洛伊木馬④更新或下載（5）管理上的威脅管理上的威脅主要來自單位的內(nèi)部，但對網(wǎng)絡(luò)安全的威脅非常大，這方面的威脅單靠計算機和網(wǎng)絡(luò)技術(shù)是無法解決的。①規(guī)章制度不健全②網(wǎng)絡(luò)管理員自身問題

8.2計算機病毒

8.2.1病毒的產(chǎn)生與分類計算機病毒有很多種定義，從廣義上講，凡是能引起計算機故障，破壞計算機中數(shù)據(jù)的程序統(tǒng)稱為計算機病毒?，F(xiàn)今國外流行的定義為：計算機病毒是一段附著在其他程序上的、可以實現(xiàn)自我繁殖的程序代碼。在國內(nèi)，《中華人民共和國計算機信息系統(tǒng)安全保護條例》的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用，并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。此定義具有法律性和權(quán)威性。

1.病毒的發(fā)展過程

1983年11月3日，弗雷德·科恩(Fred.Cohen)博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼(Len.Adleman)將它命名為計算機病毒(ComputerViruses)。計算機病毒在20世紀90年代開始大規(guī)模流行。

1988年11月2日晚，美國康爾大學(xué)研究生羅特·莫里斯(R.T.Morris)利用計算機系統(tǒng)存在的弱點，將計算機蠕蟲病毒投放到網(wǎng)絡(luò)中，使該病毒程序迅速擴展。至第二天凌晨，病毒從美國東海岸傳到西海岸，造成了大批計算機癱瘓，遭受攻擊的包括五個計算機中心和12個地區(qū)結(jié)點，連接著政府、大學(xué)、研究所和擁有政府合同的250

000臺計算機，直接經(jīng)濟損失達9600萬美元。這是自計算機出現(xiàn)以來最嚴重的一次計算機病毒侵襲事件，給全世界帶來巨大的震動，引起世界各國的廣泛關(guān)注。

隨著計算機技術(shù)的發(fā)展，有越來越多的病毒出現(xiàn)。1995年在北美地區(qū)流行著一種“宏”病毒，它不感染.exe和.com文件，只感染文檔文件。與傳統(tǒng)病毒相比，宏病毒編寫更為簡單。1996年12月，宏病毒正式在我國出現(xiàn)，病毒名是“TaiwanNo.1”。它是在文件型和引導(dǎo)型病毒的基礎(chǔ)上發(fā)展出來的，它不僅可由磁盤傳播，還可由Internet上E-mail和下載文件傳播，傳播速度快，可以在多平臺上交叉感染，危害極大。據(jù)專家估計，宏病毒的感染率高達40%以上，即每發(fā)現(xiàn)100個病毒就有40個是宏病毒。

在國內(nèi)，最初讓人關(guān)注的病毒是1982年出現(xiàn)的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。由于當(dāng)時網(wǎng)絡(luò)沒有普及，因此沒有造成病毒的廣泛流行。1998年6月出現(xiàn)了CIH病毒，CIH病毒是目前破壞性最大的病毒之一。其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH。它感染W(wǎng)indows95/98下的PE(PortableExecutableFormat)可執(zhí)行文件，但是不感染DOS文件。它是世界上首例也是目前惟一能攻擊計算機硬件的病毒，它可攻擊計算機的主板，并可造成網(wǎng)絡(luò)的癱瘓。CIH病毒產(chǎn)于臺灣，是臺灣大學(xué)生陳盈豪編寫的。目前發(fā)現(xiàn)至少有五個版本，發(fā)作時間一般是每月26日。

V1.0版本是最初的CIH版本，不具有破壞性，感染W(wǎng)indows可執(zhí)行文件。V1.1版本能自動判斷運行系統(tǒng)，如果是WindowsNT，則自動隱蔽，被感染的文件長度并不增加。V1.2版本增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼，成為惡性病毒。它會感染ZIP自解壓文件，導(dǎo)致ZIP壓縮包在解壓時出現(xiàn)錯誤信息，發(fā)作時間是每年4月26日。其中V1.3版為6月26日發(fā)作，不感染W(wǎng)INZIP類的自解壓程序。V1.4版本修改了發(fā)作日期及病毒的版權(quán)信息，為每月的26日發(fā)作。由于該病毒一般隱藏在盜版光盤、軟件以及游戲程序中，并能通過Internet迅速傳播到世界各地，因此破壞性極大。病毒發(fā)作時，通過復(fù)制的代碼不斷覆蓋硬盤系統(tǒng)區(qū)，損壞BIOS和主引導(dǎo)區(qū)數(shù)據(jù)，看起來硬盤燈在閃爍，但再次啟動時，計算機屏幕便一片漆黑，此時用戶硬盤上的分區(qū)表已被破壞，數(shù)據(jù)很難再恢復(fù)，它對于網(wǎng)絡(luò)系統(tǒng)的損失更嚴重。遭到襲擊的不僅有國家機關(guān)、企事業(yè)單位、金融系統(tǒng)，還有公安機關(guān)、軍事部門，全球因此損失了上百億美元。最近，“紅辣椒”、“惡郵差”、“沖擊波”、Win32.Cydog等一系列病毒的出現(xiàn)，給計算機用戶造成了很大的損失?，F(xiàn)在，由于網(wǎng)絡(luò)的普及，計算機成為開放網(wǎng)絡(luò)的一個結(jié)點，使得病毒可以長驅(qū)直入。計算機病毒非但沒有得到抑制，數(shù)量反而與日俱增，所造成的危害也越來越大，甚至?xí)斐删W(wǎng)絡(luò)的一時癱瘓。

2.病毒的分類目前出現(xiàn)的計算機病毒種類繁多，同時，一種病毒也可能發(fā)生多種變形。根據(jù)計算機病毒的特征和表現(xiàn)的不同，計算機病毒有多種分類方法。（1）按傳染方式分類傳染是計算機病毒的一個主要特征。計算機病毒按其傳染方式可分為三種類型，分別是引導(dǎo)型、文件型和混合型病毒。

（2）按寄生方式分類寄生是計算機病毒賴以存在的方式。計算機病毒按其寄生方式可分為四種類型，分別是代替型、鏈接型、轉(zhuǎn)儲型和源碼病毒。（3）按危害程度分類嚴格地說，只要是計算機病毒，就會對系統(tǒng)造成一定的危害性，只是不同的計算機病毒造成的危害程度不同。計算機病毒按其危害程度可分為三種類型，分別為良性病毒、惡性病毒和中性病毒。

所以對于蠕蟲型計算機病毒的危害程度，不能一概而論，只能用“中性病毒”這個概念來對其加以界定。（4）按攻擊對象劃分①攻擊DOS的病毒②攻擊Windows的病毒③攻擊網(wǎng)絡(luò)的病毒8.2.2計算機病毒的特征計算機病毒是一種特殊的程序，所以它除了具有與其他正常程序一樣的特性外，還具有與眾不同的基本特征。通過對計算機病毒的研究，可以總結(jié)出它的幾個特征。1.傳染性計算機病毒的傳染性是指病毒具有把自身復(fù)制到其他程序中的特性。傳染性是病毒的基本屬性，是判斷一個可疑程序是否是病毒的主要依據(jù)。病毒一旦入侵系統(tǒng)，它就會尋找符合傳染條件的程序或存儲介質(zhì)，確定目標后將自身代碼插入其中，達到自我繁殖的目的。2.潛伏性計算機病毒的潛伏性是指病毒具有依附其他媒體而寄生的能力，也稱隱蔽性。病毒程序為了達到不斷傳播并破壞系統(tǒng)的目的，一般不會在傳染某一程序后立即發(fā)作，否則就暴露了自身。因此，它通常附著在正常程序或磁盤較隱蔽的地方，也有個別的病毒以隱含文件的方式出現(xiàn)。

3.破壞性計算機病毒的破壞性是指病毒破壞文件或數(shù)據(jù)，甚至損壞主板，干擾系統(tǒng)的正常運行。任何病毒只要入侵系統(tǒng)就會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。輕者只是影響系統(tǒng)的工作效率，占用系統(tǒng)資源，造成系統(tǒng)運行不穩(wěn)定。重者則可以破壞或刪除系統(tǒng)的重要數(shù)據(jù)和文件，或者加密文件、格式化磁盤，甚至攻擊計算機硬件，導(dǎo)致整個系統(tǒng)癱瘓。

4.可觸發(fā)性計算機病毒的可觸發(fā)性是指病毒因某個事件或某個數(shù)值的出現(xiàn)，誘發(fā)病毒發(fā)作。為了不讓用戶發(fā)現(xiàn)，病毒必須隱藏起來，少做動作。但如果完全不動，又失去了作用。因此，病毒為了又隱蔽自己，又保持殺傷力，就必須設(shè)置合理的觸發(fā)條件。5.針對性計算機病毒的針對性是指病毒的運行需要特定的軟、硬件環(huán)境，只能在特定的操作系統(tǒng)和硬件平臺上運行，并不能傳染所有的計算機系統(tǒng)或所有的計算機程序。6.衍生性計算機病毒可以演變，在演變過程中形成多種形態(tài)，即計算機病毒具有衍生性。計算機病毒是一段特殊的程序或代碼，只要了解病毒程序的人就可以將程序隨意改動，只要原程序有所變化，也許只是將發(fā)作日期，或者是攻擊對象發(fā)生簡單變化，表現(xiàn)出不同的癥狀，便衍生出另一種不同于原版病毒的新病毒，這種衍生出的病毒被稱為病毒的變種。由于病毒的變種，對于病毒的檢測來說，病毒變得更加不可預(yù)測，加大了反病毒的難度。

8.2.3計算機網(wǎng)絡(luò)病毒1.計算機網(wǎng)絡(luò)病毒的特點隨著計算機技術(shù)及網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)病毒呈現(xiàn)出一些新的特點。(1)入侵計算機網(wǎng)絡(luò)的病毒形式多樣。既有單用戶微型機上常見的某些計算機病毒，如感染磁盤系統(tǒng)區(qū)的引導(dǎo)型病毒和感染可執(zhí)行文件的文件型病毒，也有專門攻擊計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒，如特洛伊木馬病毒及蠕蟲病毒。

(2)不需要寄主。傳統(tǒng)型病毒的一個特點就是一定有一個“寄主”程序，病毒就隱藏在這些程序里。最常見的就是一些可執(zhí)行文件，像擴展名為.exe及.com的文件，以及.doc文件為“寄主”的宏病毒?，F(xiàn)在，在網(wǎng)絡(luò)上不需要寄主的病毒也出現(xiàn)了。例如Java和ActiveX的執(zhí)行方式，是把程序代碼寫在網(wǎng)頁上。當(dāng)與這個網(wǎng)站連接時，瀏覽器就把這些程序代碼讀下來。這樣，使用者就會在神不知鬼不覺的狀態(tài)下，執(zhí)行了一些來路不明的程序。

(3)電子郵件成為新的載體。隨著因特網(wǎng)技術(shù)的發(fā)展，電子郵件已經(jīng)成為廣大用戶進行信息交流的重要工具。但是，計算機病毒也得到了迅速的發(fā)展，電子郵件作為媒介使計算機病毒傳播得尤為迅速，引起各界廣泛關(guān)注。(4)利用操作系統(tǒng)安全漏洞主動攻擊。目前一些網(wǎng)絡(luò)病毒能夠通過網(wǎng)絡(luò)掃描操作系統(tǒng)漏洞，一旦發(fā)現(xiàn)漏洞后自主傳播其病毒，甚至能在幾個小時就傳遍全球。2計算機網(wǎng)絡(luò)病毒的傳播方式計算機應(yīng)用的普及使信息交換日益頻繁，信息共享也成為一種發(fā)展趨勢，所以病毒入侵計算機系統(tǒng)的途徑也成倍增長。通常把病毒入侵途徑劃分為兩大類：傳統(tǒng)方式和Internet方式，如圖8.1所示。

圖8.1病毒傳播方式

（1）傳統(tǒng)方式病毒通過軟盤、硬盤、CD

-ROM及局域網(wǎng)絡(luò)感染可以歸為病毒入侵的傳統(tǒng)方式。在計算機進行文件交換、執(zhí)行程序或啟動過程中，病毒可能入侵計算機。因此，計算機上所有接受信息的方式都使病毒入侵成為可能。（2）Internet方式Internet正在逐步成為病毒入侵的主要途徑。病毒可以通過Internet上的電子郵件、網(wǎng)頁和文件下載入侵聯(lián)網(wǎng)計算機，此外還有利用操作系統(tǒng)的漏洞主動入侵聯(lián)網(wǎng)計算機系統(tǒng)的病毒。如果在互聯(lián)網(wǎng)中網(wǎng)頁只是單純用HTML寫成的話，那么要傳播病毒的機會可以說是非常小的。

3.計算機網(wǎng)絡(luò)病毒的危害性

計算機網(wǎng)絡(luò)病毒的危害大致會表現(xiàn)在如下幾個方面：(1)破壞磁盤文件分配表(FAT表)，使磁盤上的信息丟失，這時使用DIR命令查看文件，會發(fā)現(xiàn)文件還在，但文件名與文件的主體已失去聯(lián)系，文件已無法使用了。(2)刪除軟盤或硬盤上的可執(zhí)行文件或數(shù)據(jù)文件，使文件丟失。(3)修改或破壞文件中的數(shù)據(jù)，這時文件的格式是正常的，但內(nèi)容已發(fā)生了變化。

(4)產(chǎn)生垃圾文件，占據(jù)磁盤及內(nèi)存空間，使磁盤空間逐漸減少或者使一些大程序運行不暢。(5)破壞硬盤的主引導(dǎo)扇區(qū)，使計算機無法啟動。(6)對整個磁盤或磁盤的特定扇區(qū)進行格式化，使磁盤中的全部或部分信息丟失，受損的數(shù)據(jù)難以恢復(fù)。(7)對CMOS進行寫入操作，破壞CMOS中的數(shù)據(jù)，使計算機無法工作。(8)非法使用及破壞網(wǎng)絡(luò)中的資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。

(9)占用CPU運行時間，使主機運行效率降低。(10)破壞外設(shè)的正常工作。如屏幕不能正常顯示，干擾用戶的操作；破壞鍵盤輸入程序，封鎖鍵盤、換字和震鈴等，使用戶的正常輸入出現(xiàn)錯誤；干擾打印機，使之出現(xiàn)間歇性打印或假報警。(11)破壞系統(tǒng)設(shè)置或?qū)ο到y(tǒng)信息加密，使用戶系統(tǒng)工作紊亂。

8.2.4計算機病毒檢測方法當(dāng)一臺計算機染上病毒之后，會有一些異常情況，可以從異常情況入手，逐步排除。例如，磁盤空間急劇減少，出現(xiàn)大量壞簇，或者磁盤上的文件或程序無故丟失，也有的會出現(xiàn)文件的長度和日期忽然改變，系統(tǒng)執(zhí)行速度下降或出現(xiàn)一些奇怪的信息或無故死機，或更為嚴重的是硬盤已經(jīng)被格式化了等等。如果計算機出現(xiàn)了上述種種癥狀，就要考慮是不是計算機被病毒感染了。檢測計算機上是否被病毒感染，通常可以分兩種方法：手工檢測和自動檢測。手工檢測是指通過一些工具軟件，如D、Pctools.exe、N和Sysinfo.exe等進行病毒的檢測。其基本過程是利用這些工具軟件，對易遭病毒攻擊和修改的內(nèi)存及磁盤的相關(guān)部分進行檢測，通過與正常情況下的狀態(tài)進行對比來判斷是否被病毒感染。自動檢測是指通過一些診斷軟件和殺毒軟件，來判斷一個系統(tǒng)或磁盤是否有毒，如使用瑞星、金山毒霸等。該方法可以方便地檢測大量病毒，且操作簡單，一般用戶都可以進行。但是，自動檢測工具只能識別已知的病毒，而且它的發(fā)展總是滯后于病毒的發(fā)展，所以自動檢測工具總是對某些病毒不能識別。對病毒進行檢測可以采用手工方法和自動方法相結(jié)合的方式。一般歸納起來常用以下六種技術(shù)來檢測病毒。

1.病毒碼掃描法病毒碼掃描法是將新發(fā)現(xiàn)的病毒加以分析后，根據(jù)其特征，編成病毒碼，加入資料庫中的方法。病毒碼掃描軟件由兩部分組成：一部分是病毒碼庫，另一部分是利用該代碼庫進行掃描的掃描程序。病毒掃描程序能識別的計算機病毒的數(shù)目完全取決于病毒代碼庫內(nèi)所含病毒的種類有多少。顯而易見，病毒代碼庫中病毒種類越多，掃描程序能識別的病毒就越多。

2.對比法對比法是將原始備份的正常無毒對象與被檢測的可疑對象進行比較，如果相比較后發(fā)現(xiàn)內(nèi)容不一致，就可以認為有病毒存在。該方法思想比較簡單，實現(xiàn)起來較為容易。對比法可以針對文件的長度或內(nèi)容進行比較，但是只比較文件的長度和內(nèi)容有時候會出現(xiàn)誤報，有時候一些操作會引起文件長度和內(nèi)容的合法變化。也有一些病毒在感染文件時并不能引起文件長度的改變。為了降低誤報率，又提出了加總對比法。這種方法根據(jù)每個程序的文件名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭到更改，以判斷是否中毒。對比法也可以從內(nèi)存空間的占用情況、中斷向量的使用情況等方面進行對比。通過對內(nèi)存的檢測，觀察其空間變化。計算機病毒在傳染或執(zhí)行時，必然要占用一定的內(nèi)存空間，并駐留在內(nèi)存中，等待時機再進行傳染或攻擊。所以可以將內(nèi)存占用情況與正常系統(tǒng)內(nèi)存的占用空間進行比較，可以判定是否有病毒駐留其間。

3.行為監(jiān)測法行為監(jiān)測法是一種監(jiān)測電腦行為的常駐式掃描技術(shù)。通過對病毒的深入分析和總結(jié)，發(fā)現(xiàn)病毒的一些共同行為。比如計算機病毒常常攻擊硬盤的主引導(dǎo)扇區(qū)、分區(qū)表以及文件分配表和文件目錄區(qū)。也有一些病毒常常在FAT表上標注壞簇來隱藏自己，還有一種常用的方法就是修改中斷向量，病毒常攻擊的中斷有磁盤輸入/輸出中斷(13H)、絕對讀中斷(25H)、絕對寫中斷(26H)以及時鐘中斷(08H)等。這些行為具有特殊性，一般不會在正常程序中出現(xiàn)，或者很少出現(xiàn)。行為監(jiān)測法就是將所有病毒產(chǎn)生的行為歸納起來，生成病毒特征系統(tǒng)。一旦發(fā)現(xiàn)執(zhí)行中的程序有可疑之處，系統(tǒng)就會根據(jù)病毒特征系統(tǒng)進行判斷，并具有告警提示作用。這種技術(shù)的優(yōu)點是執(zhí)行速度快、手續(xù)簡便，且可以偵測到各式病毒，包括未知病毒；其缺點就是行為監(jiān)測法實現(xiàn)起來比較難，且不容易考慮周全。隨著病毒編制水平的提高，對病毒特征庫的維護工作量也越來越大了，不過在這千變?nèi)f化的病毒世界中，行為監(jiān)測技術(shù)的不斷完善是反病毒技術(shù)研究的一個方向。4.軟件模擬法軟件模擬實驗技術(shù)專門用來對付多態(tài)性的病毒。有些病毒在每次傳染時，都以不同的隨機數(shù)加密于每個中毒的文件中，使每個中毒文件的表現(xiàn)都有所差異，病毒代碼也同時發(fā)生變化。因為沒有固定的病毒碼，傳統(tǒng)病毒碼對比的方式根本就無法找到這種病毒。軟件模擬實驗技術(shù)則是在其設(shè)計的虛擬機器(VirtualMachine)上模擬CPU的執(zhí)行過程，讓CPU假執(zhí)行病毒的變體引擎解碼程序，安全并確實地將多態(tài)性病毒解開，使其顯露原本的面目。

利用模擬實驗法可以及時地發(fā)現(xiàn)新病毒，監(jiān)測病毒的運行，待病毒自身的密碼破譯后，提取特征串或特征字作為此病毒的病毒碼，從而掌握新病毒的類型和大致結(jié)構(gòu)，為制定相應(yīng)的反病毒措施提供條件，以后再發(fā)現(xiàn)這種病毒，就可以用病毒碼掃描法識別這種病毒。5.實時I/O掃描實時I/O掃描的目的在于即時地對計算機上的輸入/輸出數(shù)據(jù)做病毒碼對比的工作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來，即將病毒防御于門外。6.網(wǎng)絡(luò)監(jiān)測法網(wǎng)絡(luò)監(jiān)測法是一種檢查、發(fā)現(xiàn)網(wǎng)絡(luò)病毒的方法。根據(jù)網(wǎng)絡(luò)病毒主要通過網(wǎng)絡(luò)傳播的特點，感染網(wǎng)絡(luò)病毒的計算機一般會發(fā)送大量的數(shù)據(jù)包，產(chǎn)生突發(fā)的網(wǎng)絡(luò)流量，有的還開放固定的TCP/IP端口。用戶可以通過流量監(jiān)視、端口掃描和網(wǎng)絡(luò)監(jiān)聽來發(fā)現(xiàn)病毒，這種方法對查找局域網(wǎng)內(nèi)感染網(wǎng)絡(luò)病毒的計算機比較有效。一般在檢測病毒的時候，通常是幾種方法相結(jié)合，以達到更好的查毒的目的。

8.2.5計算機病毒的防范

病毒的繁衍方式、傳播方式不斷地變化，反病毒技術(shù)也應(yīng)該在與病毒對抗的同時不斷推陳出新，現(xiàn)在防治感染病毒主要有兩種手段：一是用戶遵守和加強安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢，把防病毒納入到網(wǎng)絡(luò)安全體系之中，形成一套完整的安全機制，使病毒無法逾越計算機安全保護的屏障，病毒便無法廣泛傳播。實踐證明，通過這些防護措施和手段，可以有效地降低計算機系統(tǒng)被病毒感染的幾率，保障系統(tǒng)的安全穩(wěn)定運行。

對病毒的預(yù)防在病毒防治工作中起到主導(dǎo)作用。病毒預(yù)防是一個主動的過程，不是針對某一種病毒，而是針對病毒可能入侵的系統(tǒng)薄弱環(huán)節(jié)加以保護和監(jiān)控。而病毒治療屬于一個被動的過程。只有在發(fā)現(xiàn)一種病毒進行研究以后，才可以找到相應(yīng)的治療方法，這也是殺毒軟件總是落后于病毒軟件的原因，所以，病毒的防治重點應(yīng)放在預(yù)防上，防治病毒要從以下幾個方面著手。1.在思想和制度方面（1）加強立法、健全管理制度（2）加強教育和宣傳、打擊盜版2.在技術(shù)措施方面除管理方面的措施外，防止計算機病毒的感染和蔓延還應(yīng)采取有效的技術(shù)措施。應(yīng)采用縱深防御的方法，采用多種阻塞渠道和多種安全機制對病毒進行隔離，這是保護計算機系統(tǒng)免遭病毒危害的有效方法。內(nèi)部控制和外部控制相結(jié)合，設(shè)置相應(yīng)的安全策略。常用的方法有系統(tǒng)安全、軟件過濾、文件加密、生產(chǎn)過程控制、后備恢復(fù)和安裝防病毒軟件等措施。

（1）系統(tǒng)安全（2）軟件過濾（3）軟件加密（4）備份恢復(fù)（5）建立嚴密的病毒監(jiān)視體系（6）在內(nèi)部網(wǎng)絡(luò)出口進行訪問控制8.2.6殺毒軟件——瑞星2005（略）8.3防火墻8.3.1什么是防火墻1.防火墻的概念防火墻的本義原是指房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。然而，多數(shù)防火墻里都有一個重要的門，允許人們進入或離開房屋，因此，防火墻在提供增強安全性的同時允許必要的訪問。計算機網(wǎng)絡(luò)安全領(lǐng)域中的防火墻(Firewall)指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合，作為不同網(wǎng)絡(luò)安全域之間通信流的惟一通道，并根據(jù)用戶的有關(guān)安全策略控制(允許、拒絕、監(jiān)視、記錄)進出不同網(wǎng)絡(luò)安全域的訪問。原理示意如圖8.10所示。

圖8.10防火墻系統(tǒng)模型

在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網(wǎng)絡(luò))與安全區(qū)域(即通常講的內(nèi)部網(wǎng)絡(luò))的連接，同時不妨礙本地網(wǎng)絡(luò)用戶對風(fēng)險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信，僅讓安全、核準了的信息進入，抵制對本地網(wǎng)絡(luò)安全構(gòu)成威脅的數(shù)據(jù)。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò)，迫使用戶強化自己的網(wǎng)絡(luò)安全政策，簡化網(wǎng)絡(luò)的安全管理。

防火墻本身必須具有很強的抗攻擊能力，以確保其自身的安全性。簡單的防火墻可以只用路由器實現(xiàn)，復(fù)雜的可以用主機、專用硬件設(shè)備及軟件甚至一個子網(wǎng)來實現(xiàn)。通常意義上講的硬防火墻為硬件防火墻，它是通過專用硬件和專用軟件的結(jié)合來達到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現(xiàn)。軟件防火墻是通過軟件的方式來達到，價格便宜，但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。防火墻安裝和投入使用后，要想充分發(fā)揮它的安全防護作用，必須對它進行跟蹤和動態(tài)維護，要與商家保持密切的聯(lián)系，時刻注視商家的動態(tài)，商家一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，會盡快發(fā)布補救產(chǎn)品，并對防火墻進行更新。

2.防火墻的基本功能防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)具有以下五大基本功能。(1)過濾進、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。(2)管理進、出內(nèi)部網(wǎng)絡(luò)的訪問行為。(3)封堵某些禁止的業(yè)務(wù)。

(4)記錄通過防火墻的信息內(nèi)容和活動。(5)對網(wǎng)絡(luò)攻擊進行檢測和報警。除此以外，有的防火墻還根據(jù)需求包括其他的功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)、雙重DNS、虛擬專用網(wǎng)絡(luò)(VPN)、掃毒功能、負載均衡和計費等功能。3.防火墻的局限性

通常防火墻可以保護處于它身后的內(nèi)部網(wǎng)絡(luò)不受外界的侵襲和干擾，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過程中暴露出以下的不足和弱點。(1)防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。傳統(tǒng)的防火墻在工作時，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。

(2)防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。網(wǎng)絡(luò)攻擊中有相當(dāng)一部分攻擊來自網(wǎng)絡(luò)內(nèi)部，對于那些對企業(yè)心懷不滿或假意臥底的員工來說，防火墻形同虛設(shè)。防火墻可以設(shè)計為既防外也防內(nèi)，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。(3)由于防火墻性能上的限制，因此它通常不具備實時監(jiān)控入侵的能力。(4)防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作主張。

(5)防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。(6)防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對該服務(wù)器的漏洞進行攻擊，防火墻不能防止。(7)防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。(8)防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能為力的。(9)防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，目前還沒有廠商保證防火墻不會存在安全漏洞。8.3.2防火墻的類型1.按組成結(jié)構(gòu)分類目前普遍應(yīng)用的防火墻按組成結(jié)構(gòu)可分為以下三種。（1）軟件防火墻網(wǎng)絡(luò)版的軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的操作系統(tǒng)的支持，一般來說這臺計算機就是整個內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其他的軟件產(chǎn)品一樣，需要先在計算機上安裝并做好配置才可以使用。

（2）硬件防火墻這里說的硬件防火墻針對芯片級防火墻來說是所謂的硬件防火墻。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，它們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有UNIX、Linux和FreeBSD系統(tǒng)。

（3）芯片級防火墻基于專門的硬件平臺，核心部分就是ASIC芯片，所有的功能都集成做在芯片上。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。

2.按采用的技術(shù)分類常見防火墻按采用的技術(shù)分類主要有包過濾防火墻、代理防火墻和狀態(tài)監(jiān)視防火墻，每種防火墻都有各自的優(yōu)缺點。（1）包過濾防火墻包過濾是第一代防火墻技術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，它工作在OSI模型的網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的IP源地址、IP目標地址、封裝協(xié)議(TCP、UDP、ICMP等)、TCP/UDP源端口和目標端口等。包過濾操作通常在選擇路由的同時對數(shù)據(jù)包進行過濾(通常是對從互聯(lián)網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進行過濾)。包過濾這個操作可以在路由器上進行，也可以在網(wǎng)橋，甚至在一個單獨的主機上進行。

（2）代理防火墻代理防火墻是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。而且，還可記錄所有應(yīng)用程序的訪問情況，記錄和控制所有進出流量的能力是代理防火墻的主要優(yōu)點之一，代理防火墻一般是運行代理服務(wù)器的主機。

（3）狀態(tài)監(jiān)視防火墻狀態(tài)監(jiān)視防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。

8.4木馬防治8.4.1木馬基礎(chǔ)知識1.木馬的由來木馬即“特洛伊木馬”（Trojanhorse），這個名稱來源于古希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城，久久無法攻下。于是有人獻計制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，大部隊假裝撤退而將木馬擯棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，藏匿于木馬中的將士打開密門，順繩而下，開啟城門及四處縱火，城外伏兵涌入，部隊里應(yīng)外合，最終占領(lǐng)特洛伊城。后世稱這只大木馬為“特洛伊木馬”。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。

完整的木馬程序一般由兩個部份組成：一個是服務(wù)端程序，一個是控制端程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)端程序，若你的電腦被安裝了服務(wù)端程序，則擁有控制端程序的電腦就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的賬號、密碼就無安全可言了。木馬程序不能算是一種病毒，但越來越多的新版的殺毒軟件，也可以查、殺木馬，所以也有不少人稱木馬程序為黑客病毒。2.木馬特征與危害木馬的基本特征如下。(1)具有隱蔽性隱蔽性是其首要的特征，木馬與其他所有的病毒相似，它必需隱藏在計算機的系統(tǒng)之中，它會想盡一切辦法不讓用戶發(fā)現(xiàn)它。

（2）具有自動運行性木馬程序是一個當(dāng)系統(tǒng)啟動時即自動運行的程序，所以它必需潛入在啟動配置文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。（3）具有欺騙性木馬程序要達到其長期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防被發(fā)現(xiàn)。

（4）具備自動恢復(fù)功能現(xiàn)在，很多木馬程序中的功能模塊已不再是由單一的文件組成的，而是具有多重備份，可以相互恢復(fù)。（5）能自動打開特別的端口木馬程序潛入用戶計算機的目的不是為了破壞系統(tǒng)，主要是為了獲取系統(tǒng)中有用的信息。（6）功能的特殊性通常，木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索Cache中的口令、設(shè)置口令、掃描目標機器的IP地址、進行鍵盤記錄、遠程注冊表的操作以及鎖定鼠標等功能。（7）黑客程序組織化

3.常用的清除木馬工具人們一般只談“毒”色變，因為病毒一般會帶來直接的破壞，比如刪除數(shù)據(jù)、格式化硬盤等。對木馬卻重視不夠，其實它們比病毒的危害更大，有些像“慢性”的毒藥，當(dāng)你發(fā)現(xiàn)自己的賬號或密碼丟失時，已經(jīng)為時已晚，實際上可以通過防火墻來防范木馬，通過殺毒軟件來清除木馬。常見的木馬清除工具有以下幾種。(1)綠鷹PC萬能精靈該軟件是一款集系統(tǒng)優(yōu)化、病毒清理、黑客防御、QQ娛樂于一體的綜合軟件。(2)木馬殺星（TrojanRemover）TrojanRemover是一個專門用來清除特洛伊木馬和自動修復(fù)系統(tǒng)文件的工具，能夠檢查系統(tǒng)登錄文件、掃描Win.ini、System.ini和系統(tǒng)登錄文件，且掃描完成后會在目錄下產(chǎn)生Log信息文件，并自動清除特洛伊木馬和修復(fù)系統(tǒng)文件。(3)木馬克星（Iparmor）木馬克星Iparmor可以偵測和刪除已知和未知的特洛依木馬。該軟件擁有大量的病毒庫，并可以每日升級。一旦啟動電腦，該軟件就掃描內(nèi)存，尋找類似特洛依木馬的內(nèi)存片，支持重啟之后清除。還可以查看所有活動的進程，掃描活動端口，設(shè)置啟動列表等。木馬克星是一款適合網(wǎng)絡(luò)用戶的安全軟件。

8.5數(shù)據(jù)備份與災(zāi)難恢復(fù)8.5.1數(shù)據(jù)備份與恢復(fù)概述

在計算機網(wǎng)絡(luò)中，最珍貴的財產(chǎn)并不是計算機軟件和硬件，而是計算機內(nèi)的寶貴數(shù)據(jù)。建立網(wǎng)絡(luò)最根本的用途是要更加方便地傳遞與使用數(shù)據(jù)，但人為錯誤、硬盤損壞、電腦病毒、斷電或是天災(zāi)、人禍等等都有可能造成數(shù)據(jù)的丟失。目前幾乎在每一個大型網(wǎng)絡(luò)都有數(shù)據(jù)的備份和恢復(fù)的措施，而這些措施確實在不少災(zāi)難性的數(shù)據(jù)丟失事件中發(fā)揮了重要的作用。1.數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)備份和恢復(fù)是指將計算機硬盤上的原始數(shù)據(jù)復(fù)制到其他存儲媒體上，如磁帶、光盤等，在出現(xiàn)數(shù)據(jù)丟失或系統(tǒng)災(zāi)難時，將復(fù)制在其他存儲媒體上的數(shù)據(jù)恢復(fù)到硬盤上，從而保護計算機的系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)。對于計算機網(wǎng)絡(luò)數(shù)據(jù)，備份不僅僅是文件的復(fù)制，還應(yīng)包括文件的權(quán)限、屬性等信息。數(shù)據(jù)壓縮是通過減少數(shù)據(jù)的冗余度來減少數(shù)據(jù)在存儲介質(zhì)上占用的存儲空間，而數(shù)據(jù)的備份則是通過增加數(shù)據(jù)的冗余度來達到保護數(shù)據(jù)安全的目的。在計算機常用數(shù)據(jù)備份工作中，既為了保護數(shù)據(jù)的安全又為了節(jié)省備份介質(zhì)，大多數(shù)都將數(shù)據(jù)壓縮和數(shù)據(jù)備份結(jié)合使用，在操作上一般分兩種，一種是先通過壓縮軟件進行壓縮，然后再進行數(shù)據(jù)備份，另一種是在備份的同時進行壓縮。

2.威脅數(shù)據(jù)安全的因素

曾有一位計算機專家說過，系統(tǒng)災(zāi)難的發(fā)生不是是否會，而是遲早的問題。造成系統(tǒng)數(shù)據(jù)丟失的原因很多，有些還往往被人們忽視，正確分析威脅數(shù)據(jù)安全的因素，能使系統(tǒng)的安全防護更有針對性。威脅數(shù)據(jù)安全，導(dǎo)致系統(tǒng)失效的因素主要有以下八個方面。

(1)系統(tǒng)物理故障

系統(tǒng)物理故障主要是系統(tǒng)設(shè)備的運行損耗、存儲介質(zhì)失效、運行環(huán)境(溫度、濕度、灰塵等)對計算機設(shè)備的影響、電源供給系統(tǒng)故障、人為的破壞等。

(2)系統(tǒng)軟件設(shè)計的缺陷操作系統(tǒng)環(huán)境和應(yīng)用軟件種類繁多，結(jié)構(gòu)復(fù)雜，軟件設(shè)計上的缺陷也會造成系統(tǒng)無法正常工作。另外，版本的升級、程序的補丁等都會對數(shù)據(jù)安全造成影響。(3)使用人員操作失誤

由于操作不慎，使用者可能會誤刪除系統(tǒng)的重要文件，或者修改了影響系統(tǒng)運行的參數(shù)，以及沒有按照規(guī)定要求、操作不當(dāng)導(dǎo)致系統(tǒng)失靈。(4)計算機病毒近年來，由于計算機病毒感染而破壞計算機系統(tǒng)，造成重大經(jīng)濟損失的事件屢屢發(fā)生，計算機病毒具有自我復(fù)制能力，品種繁多，感染性強，特別是在網(wǎng)絡(luò)環(huán)境下，傳播擴散速度更快，令人防不勝防。(5)網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊者可能篡改或刪除計算機網(wǎng)絡(luò)中的數(shù)據(jù)，網(wǎng)絡(luò)攻擊也成為數(shù)據(jù)安全的一個重大隱患。(6)電源質(zhì)量一個瞬間過載的電功率可能會損害計算機硬件，也會造成計算機網(wǎng)絡(luò)中數(shù)據(jù)的錯誤甚至丟失。(7)磁干擾生活、工作中常見的磁場可以破壞磁碟中的文件。(8)自然災(zāi)害地震、嚴重的洪澇、火災(zāi)等自然災(zāi)害都會給數(shù)據(jù)安全帶來毀滅性的打擊。

3.數(shù)據(jù)備份的原則對數(shù)據(jù)進行備份是為了保證數(shù)據(jù)的安全性，消除系統(tǒng)使用者和操作者的后顧之憂。不同的應(yīng)用環(huán)境要求不同的解決方案來適應(yīng)，一般來說，要滿足以下原則。

(1)穩(wěn)定性備份產(chǎn)品的主要作用是為系統(tǒng)提供一個數(shù)據(jù)保護的方法，于是該產(chǎn)品本身的穩(wěn)定性就變成了最重要的一個方面，一定要與操作系統(tǒng)百分之百的兼容。(2)全面性在計算機網(wǎng)絡(luò)環(huán)境中，可能包括了各種操作平臺，如NetWare、WindowsNT、UNIX等，并安裝了各種應(yīng)用系統(tǒng)，如數(shù)據(jù)庫、群件系統(tǒng)等。選用的備份軟件，要支持各種操作系統(tǒng)、數(shù)據(jù)庫和典型應(yīng)用。

(3)自動化數(shù)據(jù)備份是一個經(jīng)常進行的持續(xù)的工作，在數(shù)據(jù)備份時會使網(wǎng)絡(luò)系統(tǒng)的性能下降，因此備份常常在下班后系統(tǒng)負荷輕時進行。

(4)高性能隨著業(yè)務(wù)的不斷發(fā)展，數(shù)據(jù)越來越多，更新越來越快，數(shù)據(jù)備份的間隔越來越短，備份需要的時間越來越長。這要求在設(shè)計備份時，盡量考慮到提高數(shù)據(jù)備份的速度。

(5)安全性計算機網(wǎng)絡(luò)是計算機病毒傳播的高速通道，給數(shù)據(jù)安全帶來了極大威脅。如果在備份的時候，把計算機病毒也完整地備份下來，將會是一種惡性循環(huán)。因此，要求在備份的過程中有查毒、防毒、殺毒的功能，確保無毒備份，同時還要保證備份介質(zhì)不丟失和備份數(shù)據(jù)的完整性。 (6)操作簡單數(shù)據(jù)備份應(yīng)用于不同領(lǐng)域，進行數(shù)據(jù)備份的操作人員也處于不同的層次。這就需要一個直觀的、操作簡單的圖形化用戶界面，縮短操作人員的學(xué)習(xí)時間，減輕操作人員的工作壓力，使備份工作得以輕松地設(shè)置和完成。(7)實時性有些關(guān)鍵性的任務(wù)是要保證24小時不停機運行，在備份的時候，有一些文件可能仍然處于打開或更新的狀態(tài)。那么在進行備份的時候，要采取措施，實時地查看文件大小、進行事務(wù)跟蹤，以保證正確地備份系統(tǒng)中的所有文件，重要的系統(tǒng)要求在文件更新后及時進行備份。(8)容錯性確認備份數(shù)據(jù)的可靠性，也是一個至關(guān)重要的方面。如果引入RAID技術(shù)，對磁帶進行鏡像，就可以更好的保證數(shù)據(jù)安全可靠，給用戶再加一把保險鎖。

4.數(shù)據(jù)備份的方法與策略（1）數(shù)據(jù)備份的方法目前可供選擇的備份介質(zhì)很多，用戶根據(jù)備份的成本、數(shù)據(jù)量、備份的目的、方便性等因素進行綜合考慮，以確定備份介質(zhì)。根據(jù)采用的備份介質(zhì)不同分為以下六種備份方法。①磁帶備份②硬盤備份③MO可擦寫光盤機④大容量軟盤⑤CDR/W⑥網(wǎng)絡(luò)備份（２）數(shù)據(jù)備份策略備份策略指確定需備份的內(nèi)容、備份時間及備份方式。各個單位要根據(jù)自己的實際情況來制定不同的備份策略。目前被采用最多的備份策略主要有以下三種。①完全備份②增量備份③差分備份（３）網(wǎng)絡(luò)備份方法

通過網(wǎng)絡(luò)進行的異地備份可以有效的預(yù)防自然災(zāi)害對數(shù)據(jù)的破壞。網(wǎng)絡(luò)備份通常有以下三種方法。①專用的服務(wù)器備份。將備份設(shè)備直連到該服務(wù)器上，而在網(wǎng)絡(luò)中的其他需要備份的服務(wù)器上安裝相應(yīng)的備份客戶端軟件，將它們的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)絺浞莘?wù)器上進行備份。②共享存儲設(shè)備的備份。使用NAS(NetworkAttachedStorage，網(wǎng)絡(luò)附加存儲)、SAN(StorageAreaNetwork，存儲區(qū)域網(wǎng))等可共享的存儲設(shè)備，使多臺服務(wù)器共享這些存儲設(shè)備，將數(shù)據(jù)通過高速的共享存儲設(shè)備直接備份到磁帶庫上，不但具備集中管理的優(yōu)點，還避免了對局域網(wǎng)上業(yè)務(wù)系統(tǒng)的影響，但需要購買設(shè)備，成本較高。

③雙機“熱”備份系統(tǒng)。雙機備份方式主要提供“在線”數(shù)據(jù)保護，存儲成本高。無法避免人為錯誤、硬盤損壞、病毒攻擊等，操作系統(tǒng)的崩潰會使數(shù)據(jù)難以得到有效保護，因此在使用雙機“熱”備份的系統(tǒng)中也要使用存儲備份(如磁帶備份)。通過網(wǎng)絡(luò)進行的雙機“熱”備份可以實現(xiàn)異地的實時數(shù)據(jù)備份，保證在遇到自然災(zāi)害時數(shù)據(jù)的安全。

5.數(shù)據(jù)備份的注意事項備