电脑防御能力由什么控制

‘壹’ 如何对电脑进行安全防护

个人电脑安全防护策略 一、 杀（防）毒软件不可少 病毒的发作给全球计算机系统造成巨大损失，令人们谈“毒”色变。上网的人中，很少有谁没被病毒侵害过。对于一般用户而言，首先要做的就是为电脑安装一套正版的杀毒软件。 现在不少人对防病毒有个误区，就是对待电脑病毒的关键是“杀”，其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色，即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序，应该定期升级所安装的杀毒软件（如果安装的是网络版，在安装时可先将其设定为自动升级），给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷，现在各杀毒软件厂商的病毒库更新十分频繁，应当设置每天定时更新杀毒实时监控程序的病毒库，以保证其能够抵御最新出现的病毒的攻击。 每周要对电脑进行一次全面的杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时，应该立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作，清除一切可以查杀的病毒。如果病毒无法清除，或者杀毒软件不能做到对病毒体进行清晰的辨认，那么应该将病毒提交给杀毒软件公司，杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时，我们的第一反应应该是拔掉网络连接端口，或按下杀毒软件上的断开网络连接钮。 二、个人防火墙不可替代 如果有条件，安装个人防火墙（Fire Wall）以抵御黑客的袭击。所谓“防火墙”，是指一种将内部网和公众访问网（Internet）分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救（Patch） 产品，此时应尽快确认真伪（防止特洛伊木马等病毒），并对防火墙进行更新。在理想情况下，一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看，这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件，防病毒软件中都含有个人防火墙，所以可用同一张光盘运行个人防火墙安装，重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。 三、分类设置密码并使密码设置尽可能复杂 在不同的场合使用不同的密码。网上需要设置密码的地方很多，如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄。对于重要的密码（如网上银行的密码）一定要单独设置，并且不要与其他密码相同。 设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符与数字混合的密码。 不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件（Outlook Express、Foxmail、The bat等）来收发重要的电子邮箱，如ISP信箱中的电子邮件，在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的，但是这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码。 定期地修改自己的上网密码，至少一个月更改一次，这样可以确保即使原密码泄露，也能将损失减小到最少。 四、不下载来路不明的软件及程序，不打开来历不明的邮件及附件 不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件（尤其是可执行文件），在给你带来方便和快乐的同时，也会悄悄地把一些你不欢迎的东西带到你的机器中，比如病毒。因此应选择信誉较好的下载网站下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软件查杀病毒。有条件的话，可以安装一个实时监控病毒的软件，随时监控网上传递的信息。 不要打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的，这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果您抵挡不住它的诱惑，而下载或运行了它的附件，就会受到感染，所以对于来历不明的邮件应当将其拒之门外。 五、警惕“网络钓鱼” 目前，网上一些黑客利用“网络钓鱼”手法进行诈骗，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕，防止上当受骗。 目前“网络钓鱼”的主要手法有以下几种方式： （1）发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。 （2）建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。 （3）利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。 （4）利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。 （5）利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。 实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。反网络钓鱼组织APWG（Anti-Phishing Working Group）最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动，如Netcraft Toolbar，该软件是IE上的Toolbar，当用户开启IE里的网址时，就会检查是否属于被拦截的危险或嫌疑网站，若属此范围就会停止连接到该网站并显示提示。 六、防范间谍软件 最近公布的一份家用电脑调查结果显示，大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件（Spyware）是一种能够在用户不知情的情况下偷偷进行安装（安装后很难找到其踪影），并悄悄把截获的信息发送给第三者的软件。它的历史不长，可到目前为止，间谍软件数量已有几万种。间谍软件的一个共同特点是，能够附着在共享文件、可执行图像以及各种免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯，有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起，用户很难发现它们是什么时候被安装的。一旦间谍软件进入计算机系统，要想彻底清除它们就会十分困难，而且间谍软件往往成为不法分子手中的危险工具。 从一般用户能做到的方法来讲，要避免间谍软件的侵入，可以从下面三个途径入手： （1）把浏览器调到较高的安全等级——Internet Explorer预设为提供基本的安全防护，但您可以自行调整其等级设定。将Internet Explorer的安全等级调到“高”或“中”可有助于防止下载。 （2）在计算机上安装防止间谍软件的应用程序，时常监察及清除电脑的间谍软件，以阻止软件对外进行未经许可的通讯。 （3）对将要在计算机上安装的共享软件进行甄别选择，尤其是那些你并不熟悉的，可以登录其官方网站了解详情；在安装共享软件时，不要总是心不在焉地一路单击“OK”按钮，而应仔细阅读各个步骤出现的协议条款，特别留意那些有关间谍软件行为的语句。 七、只在必要时共享文件夹 不要以为你在内部网上共享的文件是安全的，其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前，公众可以自由地访问您的那些文件，并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码，一旦不需要共享时立即关闭。 一般情况下不要设置文件夹共享，以免成为居心叵测的人进入你的计算机的跳板。 如果确实需要共享文件夹，一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全”选项，因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的，其他机器不能写入;Windows2000的共享默认是“可写”的，其他机器可以删除和写入文件，对用户安全构成威胁。 不要将整个硬盘设定为共享。例如，某一个访问者将系统文件删除，会导致计算机系统全面崩溃，无法启动。 八、不要随意浏览黑客网站、色情网站 这点勿庸多说，不仅是道德层面，而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站，如果你上了这些网站，而你的个人电脑恰巧又没有缜密的防范措施，哈哈，那么你十有八九会中招，接下来的事情可想而知。 九、定期备份重要数据 数据备份的重要性毋庸讳言，无论你的防范措施做得多么严密，也无法完全防止“道高一尺，魔高一丈”的情况出现。如果遭到致命的攻击，操作系统和应用软件可以重装，而重要的数据就只能靠你日常的备份了。所以，无论你采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患！

‘贰’ 瀵逛釜浜烘潵璇撮槻锣冭＄畻链虹梾姣掑簲浠庝粈涔堢瓑鏂归溃𨱒ヨ繘琛

瀵逛釜浜烘潵璇撮槻锣冭＄畻链虹梾姣掑簲浠庨勯槻銆佹娴嬨佹竻闄ょ梾姣掔瓑鏂归溃𨱒ヨ繘琛屻

涓夈佹竻闄ょ梾姣掋

浜庢潵璺涓嶆槑镄勫厜鐩樸佽蒋鐩樸乁鐩樼瓑浠嬭川锛屼娇鐢ㄥ墠杩涜屾煡𨱒锛涘逛簬浠庣绣缁滀笂涓嬭浇镄勬枃浠朵篃瑕佸厛镆ユ潃䦅呮瘨锛涜＄畻链洪渶瑕佸畨瑁呮潃姣掕蒋浠惰佸强镞舵洿鏂扮梾姣掑簱銆

璁＄畻链轰腑姣掑悗锛屼细灏嗘湰鍦扮‖鐩樼殑鏁版嵁阃氲繃缃戠粶钖戝栦紶阃掓垨钥呯牬鍧忔湰鍦扮‖鐩樼殑鏁版嵁锛屽悓镞朵篃浼氢笉鏂钖戝栦紶鎾䦅呮瘨銆傚洜姝わ纴搴旈栧厛鏂寮缃戠粶杩炴帴锛屽叿浣揿彲浠ユ嫈鎺夌绣绾挎垨绂佺敤缃戠粶杩炴帴銆

瀵规暣涓璁＄畻链鸿繘琛屾壂鎻忥纴镆ユ垒骞舵竻闄ょ梾姣掋傝嫢锅氲繃绯荤粺澶囦唤锛屽彲浠ヨ繘琛岀郴缁熻缮铡燂纴铹跺悗鍗囩骇𨱒姣掕蒋浠讹纴鍏ㄩ溃镓鎻忔湰鍦板唴瀛樸佺‖鐩桡纴链钖庤繘琛岀梾姣掓竻闄ゃ

‘叁’ 电脑怎么防止被入侵，防止被控制

黑客对服务器进行扫描是轻而易举的，一旦找到了服务器存在的问

题，那么后果将是严重的。这就是说作为网络管理员应该采取必要

的手段防止黑客对服务器进行扫描

如何才能让自己的服务器免遭黑客扫描？

一、防范黑客心得体会：

1、屏蔽可以IP地址：这种方式见效最快，一旦网络管理员发现了可

疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客

就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多

黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被

屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能

会伪造IP地址，屏蔽的也许是正常用户的地址。

2、过滤信息包：通过编写防火墙规则，可以让系统知道什么样的信

息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击

性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止

了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以

改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑

客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成

系统崩溃。

3、修改系统协议：对于漏洞扫描，系统管理员可以修改服务器的相

应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行

判断的，这个数值如果是200则表示文件存在于服务器上，如果是

404则表明服务器没有找到相应的文件，但是管理员如果修改了返回

数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

4、经常升级系统版本：任何一个版本的系统发布之后，在短时间内

都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。

因此管理员在维护系统的时候，可以经常浏览着名的安全站点，找

到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的

漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器

的安全。

5、及时备份重要数据：亡羊补牢，如果数据备份及时，即便系统遭

到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想

国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二

天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系

统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者

驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因

为无法找到数据的备份，对于服务器的损失也不会太严重。然而一

旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分

析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查

系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员

账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净

，防止黑客的下一次攻击。

6、使用加密机制传输数据：对于个人信用卡、密码等重要数据，在

客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这

样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加

密机制，都已经出现了不同的破解方法，因此在加密的选择上应该

寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密

算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破

解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作

将会在无休止的尝试后终止。

二、防火墙使用说明：

1．什么是防火墙？防火墙的英文叫做firewall，它能够在网络与电

脑之间建立一道监控屏障，保护在防火墙内部的系统不受网络黑客

的攻击。逻辑上讲，防火墙既是信息分离器、限制器，也是信息分

析器，它可以有效地对局域网和Internet之间的任何活动进行监控

，从而保证局域网内部的安全。网络上最着名的软件防火墙是

LockDown2000，这套软件需要经过注册才能获得完整版本，它的功

能强大，小到保护个人上网用户、大到维护商务网站的运作，它都

能出色的做出惊人的表现。但因为软件的注册需要一定费用，所以

对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在

这里就更加适合个人用户的需要了，天网防火墙个人版是一套给个

人电脑使用的网络安全程序，它能够抵挡网络入侵和攻击，防止信

息泄露。

2、天网防火墙的基本功能：天网防火墙个人版把网络分为本地网和

互联网，可以针对来自不同网络的信息，来设置不同的安全方案，

以下所述的问题都是针对互联网而言的，故所有的设置都是在互联

网安全级别中完成的。 怎样防止信息泄露？ 如果把文件共享向互

联网开放，而且又不设定密码，那么别人就可以轻松的通过互联网

看到您机器中的文件，如果您还允许共享可写，那别人甚至可以删

除文件。 你可以在个人防火墙的互联网安全级别设置中，将

NETBIOS 关闭，这样别人就不能通过INTERNET访问你的共享资源了

（这种设置不会影响你在局域网中的资源共享）。当拨号用户上网

获得了分配到的IP地址之后，可以通过天网防火墙将ICMP关闭，这

样黑客用PING的方法就无法确定使用者的的系统是否处于上网状态

，无法直接通过IP地址获得使用者系统的信息了。需要指出的是：

防火墙拦截的信息并不完全是攻击信息，它记录的只是系统在安全

设置中所拒绝接收的数据包。在某些情况下，系统可能会收到一些

正常但又被拦截的数据包，例如某些路由器会定时发出一些IGMP包

等；或有些主机会定时PING出数据到本地系统确认连接仍在维持着

，这个时候如果利用防火墙将ICMP和IGMP屏蔽了，就会在安全记录

中见到这些被拦截的数据包，因此这些拦截下来的数据包并不一定

是黑客对系统进行攻击造成的。

3、使用防火墙的益处：使用防火墙可以保护脆弱的服务，通过过滤

不安全的服务，Firewall可以极大地提高网络安全和减少子网中主

机的风险。例如，Firewall可以禁止NIS、NFS服务通过，同时可以

拒绝源路由和ICMP重定向封包。另外防火墙可以控制对系统的访问

权限，例如某些企业允许从外部访问企业内部的某些系统，而禁止

访问另外的系统，通过防火墙对这些允许共享的系统进行设置，还

可以设定内部的系统只访问外部特定的Mail Server和Web Server，

保护企业内部信息的安全。

4、防火墙的种类：防火墙总体上分为包过滤、应用级网关和代理服

务器等三种类型：

（1）数据包过滤 数据包过滤(Packet Filtering)技术是在网络层

对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为

访问控制表(Access Control Table)。通过检查数据流中每个数据

包的源地址、目的地址、所用的端口号、协议状态等因素，或它们

的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单

，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装

在路由器上。路由器是内部网络与Internet连接必不可少的设备，

因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即

可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目

的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒

。

（2）应用级网关 应用级网关(Application Level Gateways)是在

网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服

务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行

必要的分析、登记和统计，形成报告。实际中的应用网关通常安装

在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的

特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一

旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外

部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这

有利于实施非法访问和攻击。

（3）代理服务 代理服务(Proxy Service)也称链路级网关或TCP通

道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应

用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而

引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分

为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代

理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理

服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代

理服务也对过往的数据包进行分析、注册登记，形成报告，同时当

发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。