電腦防禦能力由什麼控制

『壹』 如何對電腦進行安全防護

個人電腦安全防護策略 一、 殺（防）毒軟體不可少 病毒的發作給全球計算機系統造成巨大損失，令人們談「毒」色變。上網的人中，很少有誰沒被病毒侵害過。對於一般用戶而言，首先要做的就是為電腦安裝一套正版的殺毒軟體。 現在不少人對防病毒有個誤區，就是對待電腦病毒的關鍵是「殺」，其實對待電腦病毒應當是以「防」為主。目前絕大多數的殺毒軟體都在扮演「事後諸葛亮」的角色，即電腦被病毒感染後殺毒軟體才忙不迭地去發現、分析和治療。這種被動防禦的消極模式遠不能徹底解決計算機安全問題。殺毒軟體應立足於拒病毒於計算機門外。因此應當安裝殺毒軟體的實時監控程序，應該定期升級所安裝的殺毒軟體（如果安裝的是網路版，在安裝時可先將其設定為自動升級），給操作系統打相應補丁、升級引擎和病毒定義碼。由於新病毒的出現層出不窮，現在各殺毒軟體廠商的病毒庫更新十分頻繁，應當設置每天定時更新殺毒實時監控程序的病毒庫，以保證其能夠抵禦最新出現的病毒的攻擊。 每周要對電腦進行一次全面的殺毒、掃描工作，以便發現並清除隱藏在系統中的病毒。當用戶不慎感染上病毒時，應該立即將殺毒軟體升級到最新版本，然後對整個硬碟進行掃描操作，清除一切可以查殺的病毒。如果病毒無法清除，或者殺毒軟體不能做到對病毒體進行清晰的辨認，那麼應該將病毒提交給殺毒軟體公司，殺毒軟體公司一般會在短期內給予用戶滿意的答復。而面對網路攻擊之時，我們的第一反應應該是拔掉網路連接埠，或按下殺毒軟體上的斷開網路連接鈕。 二、個人防火牆不可替代 如果有條件，安裝個人防火牆（Fire Wall）以抵禦黑客的襲擊。所謂「防火牆」，是指一種將內部網和公眾訪問網（Internet）分開的方法，實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。防火牆安裝和投入使用後，並非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快發布補救（Patch） 產品，此時應盡快確認真偽（防止特洛伊木馬等病毒），並對防火牆進行更新。在理想情況下，一個好的防火牆應該能把各種安全問題在發生之前解決。就現實情況看，這還是個遙遠的夢想。目前各家殺毒軟體的廠商都會提供個人版防火牆軟體，防病毒軟體中都含有個人防火牆，所以可用同一張光碟運行個人防火牆安裝，重點提示防火牆在安裝後一定要根據需求進行詳細配置。合理設置防火牆後應能防範大部分的蠕蟲入侵。 三、分類設置密碼並使密碼設置盡可能復雜 在不同的場合使用不同的密碼。網上需要設置密碼的地方很多，如網上銀行、上網賬戶、E-Mail、聊天室以及一些網站的會員等。應盡可能使用不同的密碼，以免因一個密碼泄露導致所有資料外泄。對於重要的密碼（如網上銀行的密碼）一定要單獨設置，並且不要與其他密碼相同。 設置密碼時要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字元作為密碼，最好採用字元與數字混合的密碼。 不要貪圖方便在撥號連接的時候選擇「保存密碼」選項;如果您是使用Email客戶端軟體（Outlook Express、Foxmail、The bat等）來收發重要的電子郵箱，如ISP信箱中的電子郵件，在設置賬戶屬性時盡量不要使用「記憶密碼」的功能。因為雖然密碼在機器中是以加密方式存儲的，但是這樣的加密往往並不保險，一些初級的黑客即可輕易地破譯你的密碼。 定期地修改自己的上網密碼，至少一個月更改一次，這樣可以確保即使原密碼泄露，也能將損失減小到最少。 四、不下載來路不明的軟體及程序，不打開來歷不明的郵件及附件 不下載來路不明的軟體及程序。幾乎所有上網的人都在網上下載過共享軟體（尤其是可執行文件），在給你帶來方便和快樂的同時，也會悄悄地把一些你不歡迎的東西帶到你的機器中，比如病毒。因此應選擇信譽較好的下載網站下載軟體，將下載的軟體及程序集中放在非引導分區的某個目錄，在使用前最好用殺毒軟體查殺病毒。有條件的話，可以安裝一個實時監控病毒的軟體，隨時監控網上傳遞的信息。 不要打開來歷不明的電子郵件及其附件，以免遭受病毒郵件的侵害。在互聯網上有許多種病毒流行，有些病毒就是通過電子郵件來傳播的，這些病毒郵件通常都會以帶有噱頭的標題來吸引你打開其附件，如果您抵擋不住它的誘惑，而下載或運行了它的附件，就會受到感染，所以對於來歷不明的郵件應當將其拒之門外。 五、警惕「網路釣魚」 目前，網上一些黑客利用「網路釣魚」手法進行詐騙，如建立假冒網站或發送含有欺詐信息的電子郵件，盜取網上銀行、網上證券或其他電子商務用戶的賬戶密碼，從而竊取用戶資金的違法犯罪活動不斷增多。公安機關和銀行、證券等有關部門提醒網上銀行、網上證券和電子商務用戶對此提高警惕，防止上當受騙。 目前「網路釣魚」的主要手法有以下幾種方式： （1）發送電子郵件，以虛假信息引誘用戶中圈套。詐騙分子以垃圾郵件的形式大量發送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。 （2）建立假冒網上銀行、網上證券網站，騙取用戶賬號密碼實施盜竊。犯罪分子建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平台極為相似的網站，引誘用戶輸入賬號密碼等信息，進而通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡、證券交易卡盜竊資金;還有的利用跨站腳本，即利用合法網站伺服器程序上的漏洞，在站點的某些網頁中插入惡意Html代碼，屏蔽住一些可以用來辨別網站真假的重要信息，利用cookies竊取用戶信息。 （3）利用虛假的電子商務進行詐騙。此類犯罪活動往往是建立電子商務網站，或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息，犯罪分子在收到受害人的購物匯款後就銷聲匿跡。 （4）利用木馬和黑客技術等手段竊取用戶信息後實施盜竊活動。木馬製作者通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序，當感染木馬的用戶進行網上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，並發送給指定郵箱，用戶資金將受到嚴重威脅。 （5）利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼。不法分子利用部分用戶貪圖方便設置弱口令的漏洞，對銀行卡密碼進行破解。 實際上，不法分子在實施網路詐騙的犯罪活動過程中，經常採取以上幾種手法交織、配合進行，還有的通過手機簡訊、QQ、MSN進行各種各樣的「網路釣魚」不法活動。反網路釣魚組織APWG（Anti-Phishing Working Group）最新統計指出，約有70.8%的網路欺詐是針對金融機構而來。從國內前幾年的情況看大多Phishing只是被用來騙取QQ密碼與游戲點卡與裝備，但今年國內的眾多銀行已經多次被Phishing過了。可以下載一些工具來防範Phishing活動，如Netcraft Toolbar，該軟體是IE上的Toolbar，當用戶開啟IE里的網址時，就會檢查是否屬於被攔截的危險或嫌疑網站，若屬此范圍就會停止連接到該網站並顯示提示。 六、防範間諜軟體 最近公布的一份家用電腦調查結果顯示，大約80%的用戶對間諜軟體入侵他們的電腦毫無知曉。間諜軟體（Spyware）是一種能夠在用戶不知情的情況下偷偷進行安裝（安裝後很難找到其蹤影），並悄悄把截獲的信息發送給第三者的軟體。它的歷史不長，可到目前為止，間諜軟體數量已有幾萬種。間諜軟體的一個共同特點是，能夠附著在共享文件、可執行圖像以及各種免費軟體當中，並趁機潛入用戶的系統，而用戶對此毫不知情。間諜軟體的主要用途是跟蹤用戶的上網習慣，有些間諜軟體還可以記錄用戶的鍵盤操作，捕捉並傳送屏幕圖像。間諜程序總是與其他程序捆綁在一起，用戶很難發現它們是什麼時候被安裝的。一旦間諜軟體進入計算機系統，要想徹底清除它們就會十分困難，而且間諜軟體往往成為不法分子手中的危險工具。 從一般用戶能做到的方法來講，要避免間諜軟體的侵入，可以從下面三個途徑入手： （1）把瀏覽器調到較高的安全等級——Internet Explorer預設為提供基本的安全防護，但您可以自行調整其等級設定。將Internet Explorer的安全等級調到「高」或「中」可有助於防止下載。 （2）在計算機上安裝防止間諜軟體的應用程序，時常監察及清除電腦的間諜軟體，以阻止軟體對外進行未經許可的通訊。 （3）對將要在計算機上安裝的共享軟體進行甄別選擇，尤其是那些你並不熟悉的，可以登錄其官方網站了解詳情；在安裝共享軟體時，不要總是心不在焉地一路單擊「OK」按鈕，而應仔細閱讀各個步驟出現的協議條款，特別留意那些有關間諜軟體行為的語句。 七、只在必要時共享文件夾 不要以為你在內部網上共享的文件是安全的，其實你在共享文件的同時就會有軟體漏洞呈現在互聯網的不速之客面前，公眾可以自由地訪問您的那些文件，並很有可能被有惡意的人利用和攻擊。因此共享文件應該設置密碼，一旦不需要共享時立即關閉。 一般情況下不要設置文件夾共享，以免成為居心叵測的人進入你的計算機的跳板。 如果確實需要共享文件夾，一定要將文件夾設為只讀。通常共享設定「訪問類型」不要選擇「完全」選項，因為這一選項將導致只要能訪問這一共享文件夾的人員都可以將所有內容進行修改或者刪除。Windows98/ME的共享默認是「只讀」的，其他機器不能寫入;Windows2000的共享默認是「可寫」的，其他機器可以刪除和寫入文件，對用戶安全構成威脅。 不要將整個硬碟設定為共享。例如，某一個訪問者將系統文件刪除，會導致計算機系統全面崩潰，無法啟動。 八、不要隨意瀏覽黑客網站、色情網站 這點勿庸多說，不僅是道德層面，而且時下許多病毒、木馬和間諜軟體都來自於黑客網站和色情網站，如果你上了這些網站，而你的個人電腦恰巧又沒有縝密的防範措施，哈哈，那麼你十有八九會中招，接下來的事情可想而知。 九、定期備份重要數據 數據備份的重要性毋庸諱言，無論你的防範措施做得多麼嚴密，也無法完全防止「道高一尺，魔高一丈」的情況出現。如果遭到致命的攻擊，操作系統和應用軟體可以重裝，而重要的數據就只能靠你日常的備份了。所以，無論你採取了多麼嚴密的防範措施，也不要忘了隨時備份你的重要數據，做到有備無患！

『貳』 瀵逛釜浜烘潵璇撮槻鑼冭＄畻鏈虹棶姣掑簲浠庝粈涔堢瓑鏂歸潰鏉ヨ繘琛

瀵逛釜浜烘潵璇撮槻鑼冭＄畻鏈虹棶姣掑簲浠庨勯槻銆佹嫻嬨佹竻闄ょ棶姣掔瓑鏂歸潰鏉ヨ繘琛屻

涓夈佹竻闄ょ棶姣掋

浜庢潵璺涓嶆槑鐨勫厜鐩樸佽蔣鐩樸乁鐩樼瓑浠嬭川錛屼嬌鐢ㄥ墠榪涜屾煡鏉錛涘逛簬浠庣綉緇滀笂涓嬭澆鐨勬枃浠朵篃瑕佸厛鏌ユ潃鐥呮瘨錛涜＄畻鏈洪渶瑕佸畨瑁呮潃姣掕蔣浠惰佸強鏃舵洿鏂扮棶姣掑簱銆

璁＄畻鏈轟腑姣掑悗錛屼細灝嗘湰鍦扮‖鐩樼殑鏁版嵁閫氳繃緗戠粶鍚戝栦紶閫掓垨鑰呯牬鍧忔湰鍦扮‖鐩樼殑鏁版嵁錛屽悓鏃朵篃浼氫笉鏂鍚戝栦紶鎾鐥呮瘨銆傚洜姝わ紝搴旈栧厛鏂寮緗戠粶榪炴帴錛屽叿浣撳彲浠ユ嫈鎺夌綉綰挎垨紱佺敤緗戠粶榪炴帴銆

瀵規暣涓璁＄畻鏈鴻繘琛屾壂鎻忥紝鏌ユ壘騫舵竻闄ょ棶姣掋傝嫢鍋氳繃緋葷粺澶囦喚錛屽彲浠ヨ繘琛岀郴緇熻繕鍘燂紝鐒跺悗鍗囩駭鏉姣掕蔣浠訛紝鍏ㄩ潰鎵鎻忔湰鍦板唴瀛樸佺‖鐩橈紝鏈鍚庤繘琛岀棶姣掓竻闄ゃ

『叄』 電腦怎麼防止被入侵，防止被控制

黑客對伺服器進行掃描是輕而易舉的，一旦找到了伺服器存在的問

題，那麼後果將是嚴重的。這就是說作為網路管理員應該採取必要

的手段防止黑客對伺服器進行掃描

如何才能讓自己的伺服器免遭黑客掃描？

一、防範黑客心得體會：

1、屏蔽可以IP地址：這種方式見效最快，一旦網路管理員發現了可

疑的IP地址申請，可以通過防火牆屏蔽相對應的IP地址，這樣黑客

就無法在連接到伺服器上了。但是這種方法有很多缺點，例如很多

黑客都使用的動態IP，也就是說他們的IP地址會變化，一個地址被

屏蔽，只要更換其他IP仍然可以進攻伺服器，而且高級黑客有可能

會偽造IP地址，屏蔽的也許是正常用戶的地址。

2、過濾信息包：通過編寫防火牆規則，可以讓系統知道什麼樣的信

息包可以進入、什麼樣的應該放棄，如此一來，當黑客發送有攻擊

性信息包的時候，在經過防火牆時，信息就會被丟棄掉，從而防止

了黑客的進攻。但是這種做法仍然有它不足的地方，例如黑客可以

改變攻擊性代碼的形態，讓防火牆分辨不出信息包的真假；或者黑

客乾脆無休止的、大量的發送信息包，知道伺服器不堪重負而造成

系統崩潰。

3、修改系統協議：對於漏洞掃描，系統管理員可以修改伺服器的相

應協議，例如漏洞掃描是根據對文件的申請返回值對文件存在進行

判斷的，這個數值如果是200則表示文件存在於伺服器上，如果是

404則表明伺服器沒有找到相應的文件，但是管理員如果修改了返回

數值、或者屏蔽404數值，那麼漏洞掃描器就毫無用處了。

4、經常升級系統版本：任何一個版本的系統發布之後，在短時間內

都不會受到攻擊，一旦其中的問題暴露出來，黑客就會蜂擁而致。

因此管理員在維護系統的時候，可以經常瀏覽著名的安全站點，找

到系統的新版本或者補丁程序進行安裝，這樣就可以保證系統中的

漏洞在沒有被黑客發現之前，就已經修補上了，從而保證了伺服器

的安全。

5、及時備份重要數據：亡羊補牢，如果數據備份及時，即便系統遭

到黑客進攻，也可以在短時間內修復，挽回不必要的經濟損失。想

國外很多商務網站，都會在每天晚上對系統數據進行備份，在第二

天清晨，無論系統是否收到攻擊，都會重新恢復數據，保證每天系

統中的資料庫都不會出現損壞。數據的備份最好放在其他電腦或者

驅動器上，這樣黑客進入伺服器之後，破壞的數據只是一部分，因

為無法找到數據的備份，對於伺服器的損失也不會太嚴重。然而一

旦受到黑客攻擊，管理員不要只設法恢復損壞的數據，還要及時分

析黑客的來源和攻擊方法，盡快修補被黑客利用的漏洞，然後檢查

系統中是否被黑客安裝了木馬、蠕蟲或者被黑客開放了某些管理員

賬號，盡量將黑客留下的各種蛛絲馬跡和後門分析清除、清除干凈

，防止黑客的下一次攻擊。

6、使用加密機制傳輸數據：對於個人信用卡、密碼等重要數據，在

客戶端與伺服器之間的傳送，應該仙經過加密處理在進行發送，這

樣做的目的是防止黑客監聽、截獲。對於現在網路上流行的各種加

密機制，都已經出現了不同的破解方法，因此在加密的選擇上應該

尋找破解困難的，例如DES加密方法，這是一套沒有逆向破解的加密

演算法，因此黑客的到了這種加密處理後的文件時，只能採取暴力破

解法。個人用戶只要選擇了一個優秀的密碼，那麼黑客的破解工作

將會在無休止的嘗試後終止。

二、防火牆使用說明：

1．什麼是防火牆？防火牆的英文叫做firewall，它能夠在網路與電

腦之間建立一道監控屏障，保護在防火牆內部的系統不受網路黑客

的攻擊。邏輯上講，防火牆既是信息分離器、限制器，也是信息分

析器，它可以有效地對區域網和Internet之間的任何活動進行監控

，從而保證區域網內部的安全。網路上最著名的軟體防火牆是

LockDown2000，這套軟體需要經過注冊才能獲得完整版本，它的功

能強大，小到保護個人上網用戶、大到維護商務網站的運作，它都

能出色的做出驚人的表現。但因為軟體的注冊需要一定費用，所以

對個人用戶來說還是選擇一款免費的防火牆更現實。天網防火牆在

這里就更加適合個人用戶的需要了，天網防火牆個人版是一套給個

人電腦使用的網路安全程序，它能夠抵擋網路入侵和攻擊，防止信

息泄露。

2、天網防火牆的基本功能：天網防火牆個人版把網路分為本地網和

互聯網，可以針對來自不同網路的信息，來設置不同的安全方案，

以下所述的問題都是針對互聯網而言的，故所有的設置都是在互聯

網安全級別中完成的。 怎樣防止信息泄露？ 如果把文件共享向互

聯網開放，而且又不設定密碼，那麼別人就可以輕松的通過互聯網

看到您機器中的文件，如果您還允許共享可寫，那別人甚至可以刪

除文件。 你可以在個人防火牆的互聯網安全級別設置中，將

NETBIOS 關閉，這樣別人就不能通過INTERNET訪問你的共享資源了

（這種設置不會影響你在區域網中的資源共享）。當撥號用戶上網

獲得了分配到的IP地址之後，可以通過天網防火牆將ICMP關閉，這

樣黑客用PING的方法就無法確定使用者的的系統是否處於上網狀態

，無法直接通過IP地址獲得使用者系統的信息了。需要指出的是：

防火牆攔截的信息並不完全是攻擊信息，它記錄的只是系統在安全

設置中所拒絕接收的數據包。在某些情況下，系統可能會收到一些

正常但又被攔截的數據包，例如某些路由器會定時發出一些IGMP包

等；或有些主機會定時PING出數據到本地系統確認連接仍在維持著

，這個時候如果利用防火牆將ICMP和IGMP屏蔽了，就會在安全記錄

中見到這些被攔截的數據包，因此這些攔截下來的數據包並不一定

是黑客對系統進行攻擊造成的。

3、使用防火牆的益處：使用防火牆可以保護脆弱的服務，通過過濾

不安全的服務，Firewall可以極大地提高網路安全和減少子網中主

機的風險。例如，Firewall可以禁止NIS、NFS服務通過，同時可以

拒絕源路由和ICMP重定向封包。另外防火牆可以控制對系統的訪問

許可權，例如某些企業允許從外部訪問企業內部的某些系統，而禁止

訪問另外的系統，通過防火牆對這些允許共享的系統進行設置，還

可以設定內部的系統只訪問外部特定的Mail Server和Web Server，

保護企業內部信息的安全。

4、防火牆的種類：防火牆總體上分為包過濾、應用級網關和代理服

務器等三種類型：

（1）數據包過濾 數據包過濾(Packet Filtering)技術是在網路層

對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為

訪問控製表(Access Control Table)。通過檢查數據流中每個數據

包的源地址、目的地址、所用的埠號、協議狀態等因素，或它們

的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單

，價格便宜，易於安裝和使用，網路性能和透明性好，它通常安裝

在路由器上。路由器是內部網路與Internet連接必不可少的設備，

因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即

可對主機上的軟體和配置漏洞進行攻擊；二是數據包的源地址、目

的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒

。

（2）應用級網關 應用級網關(Application Level Gateways)是在

網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服

務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行

必要的分析、登記和統計，形成報告。實際中的應用網關通常安裝

在專用工作站系統上。 數據包過濾和應用網關防火牆有一個共同的

特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。一

旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系，防火牆外

部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這

有利於實施非法訪問和攻擊。

（3）代理服務 代理服務(Proxy Service)也稱鏈路級網關或TCP通

道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸於應

用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而

引入的防火牆技術，其特點是將所有跨越防火牆的網路通信鏈路分

為兩段。防火牆內外計算機系統間應用層的" 鏈接"，由兩個終止代

理伺服器上的" 鏈接"來實現，外部計算機的網路鏈路只能到達代理

伺服器，從而起到了隔離防火牆內外計算機系統的作用。此外，代

理服務也對過往的數據包進行分析、注冊登記，形成報告，同時當

發現被攻擊跡象時會向網路管理員發出警報，並保留攻擊痕跡。