如何应对安全威胁 谁在威胁计算机安全
2009-11-08   中国IT运维网

当网络连接系统中有数以千计的弱点时，攻击基本类型的名单却很短。这种情况能够帮助我们制定易于管理的保护系统安全计划。攻击能造成下面列表中糟糕的情况：数据丢失、机密泄漏、拒绝服务（Denial of Service， DoS）等。

数据丢失包括数据完整性损失和格式化磁盘驱动器以及文件删除。机密泄漏包括令人尴尬或危及安全信息的曝光和机密被拦截。假冒采用让你系统扮演“傀儡”的形式，攻击其他用户以及用你的信用卡在线购物。服务拒绝可能是简单占用你的计算机，也可能包括使连接因特网的通路过载。

造成这些威胁的根本原因是其他人获得了在你系统中运行软件的能力。攻击者达到这个目的方法是通过病毒或蠕虫。蠕虫与病毒的区别在于，他们在网络中传播时并不寄生在一个可运行主文件上。最通常的媒介物是电子邮件的附件和打开的共享文件。你可以通过关闭蠕虫正在运行的计算机来停止一个纯粹的蠕虫病毒，但是最近的一些蠕虫，如Code Red 和Nimda ，包括滤过性成分，它允许破坏性的代码在经历关机操作之后重新开始运行。在你系统中运行的蠕虫能完成病毒所能完成的任何有害操作。

第三种危险的软件是特洛伊木马，它或者将自身伪装成某种有用的东西 一个网络登录窗口，或者伪装成某种有趣的东西 在线游戏或其他娱乐形式。但软件实际上捕获了你的密码以便以后再进入，或者安装了其它的允许攻击者重新连接你计算机并获得全部远程控制权的软件。一些病毒和蠕虫在感染计算机时在计算机中安装了特洛伊木马。

应对恶意程序

最新反病毒软件能够防御经反病毒软件供应商确认和处理过的病毒、蠕虫和特洛伊木马程序。如果反病毒开发人员在新的恶意软件大范围传播之前就提供出解决方案，被感染的风险就会降到最小。但是，传播得非常迅速的病毒或蠕虫可能在你得到能够防范最新威胁的更新的反病毒版本之前就已经到来了。在那种情况下，你的安全设置和你用户最终的常识就成了最后的防线。

以前，微软公司Outlook Express软件默认设置允许可执行电子邮件附件在信件被打开后自动运行。极具破坏性的ILOVEYOU病毒或 VBS.LoveLetter病毒证明了这些默认设置的脆弱。早期版本的Microsoft Word默认设置可自动运行宏，这个漏洞在早期的宏病毒大范围传播后才被修补好。

浏览器的设置也能帮助减少感染病毒的风险。基于提供可执行文件的网站和可执行文件是否有签名和经过可靠的权威鉴定，Internet Explorer有一系列选项来处理不同的可执行文件。Windows XP、Windows 2000、MacOS X以及Linux提供管理选项，这些选项能够防止安装和执行不明的或被禁止的软件。阻止一个熟悉的用户能够安装任意的可执行代码和击败任何的保护方法，对于早期版本的苹果操作系统和非NT的Windows操作系统，可能不能用这种方法进行配置。

如果操作系统不能被锁定和其它保护机制失败，用户常识就成了最后的防线。用户和他们的室友以及家庭成员需要了解安装未知来源的软件、下载文件双击电子邮件附件、使保护软件失效以及更改系统的配置到达不稳定状态的危险性。企业应确保其家庭办公和移动办公用户移植到具有紧密保护措施选项的操作系统中去。这是因为全部人员，包括老年人、小孩以及仅仅对计算机安全不感兴趣的人，他们将永远不能对如何保护自己有充分的了解。

病毒和蠕虫是由他们“可爱”的发明者发布到网络上的。他们被设计成靠自身传播，不需要它们的创作者进一步活动的病毒工作。病毒通过英特网闯入对于安全来说是一种相当可怕的威胁。在这些攻击中，攻击者的目标是你的系统，而不仅仅是在你的电脑中发布一个有破坏性的软件。这种区别就如同某些人把你的门把手弄的哗哗响或者使用螺钉切割机切割你的挂锁，而某些人随意地放置地雷或者并没有特别目标地在弹簧垫子上狂欢。

入侵者可能寻找随意IP目标的弱点，或者为了合适的目标可能扫描特定范围的IP地址段。使用whois软件来查找@Home公司的电缆调制解调器用户或DSL用户的地址是不用脑子的人。在这些黑客流行的网络上，你的系统可能每天都被扫描和Ping很多次。虽然这些初始的探查不会造成伤害。
好在外部闯入只有运行不安全服务器程序他的目标才能够成功。黑客们能够尝试他们所有的工具对抗你的系统，但是如果你没有服务器程序等候应答进入的TCP或UDP请求，或者服务器程序（或者被成功的攻击后留下的残余物）既不传送文件、密码、配置设置或其他需要保护的数据，也不允许它本身被作为攻击的通道， 就没有什么好担心的了。

但是家庭用户有很好的理由运行服务器程序，并且一个程序是不是服务器程序并不总是很明显。明显的服务器类型是端对端文件共享。一个单独的家庭PC或者在一个家庭网络中的几台PC能够被配置为通过因特网共享文件。如果你对于敏感的文件使用了文件共享但却没有用一个强大的密码保护它们，那么，不用任何种类的黑客技术就能够对你的文件进行阅读、复制或者删除。

一些对Windows系统安全过于谨慎的人建议使文件共享失效。其实，即使文件共享被打开，也有四个单独的保护层。首先，如果文件共享没有和TCP/IP协议绑定，那么在因特网上没有人可以看见你的目录或者能够辨别正在进行文件共享。如果你仅仅需要在本地网络上共享文件，NetBEUI或IPX/ SPX就可以很好地完成这个工作并且消除了潜在的公开文件共享的诱惑。其次，你必须主动地指出将要共享的驱动器、目录或者文件。没有明确标注为共享的条目将不会被其他的客户看见，虽然可以通过从最基础的级别选择来达到完全共享，但这是失策的方法。第三，设定一个ID的范围将会使不知道这个范围的入侵者无法看见共享资源。最后，共享资源能够（和应该）设置密码。

在微软网络上进行文件和打印机共享会将Windows 9x系统转变为一个文件服务器。假设安装了更新程序并使用强大的密码选项，即使运行这个服务器程序也是相当安全的。与个人版本的Windows操作系统一起提供的唯一的、明确的服务器程序是个人网络服务器（Personal Web Server）。显然这个程序和因特网信息服务器（InternetInformation Server， IIS）、NT/2000网络服务器一样有足够的密码，一些威胁IIS的行为对于个人网络服务器也需要进行相应的修补。

最危险的伪装服务器程序是远程控制应用程序。PCANYWHERE、CARBON CCOPY、TIMBUKTU和LAPLINK是一些比较有名的商业远程控制程序包。BACK ORIFICE、SUBSEVEN和NETBUS是比较有名的秘密远程控制程序。典型的特洛伊木马程序会安装秘密程序，因为它们给远程入侵者完全的系统控制权控制权。商业产品能用密码进行保护，而且这些系统的能力非常强大，因为他们有很强的动机生成强大的密码。

聊天和即时通讯（IM）程序在家庭计算机上执行服务器程序。因特网上即时通讯的先驱者——Internet Relay Chat （IRC）是许多破坏性行为的发源地。它既作为小学生们的写作工具，又作为有丰富经验的入侵者观察邻居的观察孔。Napster和它的分散性的产物本质上是受到或多或少操作领域限制的文件服务器。Gnutella的派生产品能够被配置为几乎象Windows文件和打印共享那样随意地共享文件。虽然我不知道在这些领域中影响用户行为的细节，但我猜想密不透风的安全性对于这些不是特别明显的服务器程序的开发者来说，很少有高优先级。

虽然在OSI的mindset无线通路点不被作为一个服务器计算，毕竟这场战争对公司的数据造成了巨大的威胁，就如同安装SubSeven软件的黑客一样。雇员安装802.11网络能够避免在他们的护壁板中钻洞，但是他们可能会使网络和存取的公司数据被任何注意寻找这些的人看见。

闯入对策

防范入侵者的首要对策是拥有一个修补得非常好的操作系统。在操作系统厂商发布他们的补丁之前，某一种类的攻击的确有用是很罕见的。下一个预防性的步骤是要了解关于任何运行在你计算机上的明确或隐藏的服务器程序的配置选项含义，并且用精心选择的密码将它们配置得尽可能安全。
对于希望在多台PC机上共享因特网入口的宽带用户来说，提高安全性级别的方法是安装网络地址转换（Network Address Translation， NAT）路由器。通过对外部世界只显示一个IP地址并对那个地址进行映射，并且在路由器内部给一个不能路由的地址配置一个特殊的端口，这样对于基于因特网的攻击者来说，他就无法看见内部的机器。这些 NAT 路由器经常带有过滤能力甚至拥有状态监测的防火墙来提供附加级别的保护，当然它们的安装过程很复杂。

那些整合了一些侵入探测功能的个人防火墙，对于没有使用NAT路由器连接进因特网的个人计算机来说是非常理想的。他们也能被安装在本地网络的每一台PC上、定位在通向外部的路由器上、运行在路由器和连接客户PC机的网络集线器或交换机之间的专用计算机上。一些这种类型的软件将会探测来自秘密远程控制程序的出境通信，为预防性努力提供有价值的备份。最后，企业能够接触到的最重要的、敏感的数据是远程雇员可能会在他们的住处安装防火墙。

注意到某些被普遍引用的安全威胁——宽带连接和始终在线——实际上根本没有威胁。如果你适当地配置并且修补操作系统和文件共享应用；对病毒、蠕虫和它们可能安装的欺诈性软件保持警惕；用一个NAT路由器或者一个防火墙隔离你的网络系统，那么你连接网络的时间长短和你的连接速度对你的安全不会有影响。