網路安全信息過濾系統

❶ 網路內容安全過濾系統的設計與實現

建立不良文字詞語復的資料庫和制不良網路IP庫,數據包攔截,網頁解析,網路防問攔截技術,資料庫快速查找等,伺服器上的過濾實現較難.總之你需要參考資料庫方面的書,網路驅動編程,網頁代碼解析,程序EXE,DLL的結構等

❷ 什麼是網路安全，為何要注重網路安全

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷.

網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。

網路安全的目的是保障用戶業務的順利進行，滿足用戶的業務需求是網路安全的首要任務，離開這一主題，奢談安全技術和產品無異於南轅北轍。

網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私， 訪問和破壞。

❸ 網路協議過濾 360安全衛士檢查出來的是什麼意思

網路是搭起信息系統的橋梁，網路的安全性是整個信息系統安全的主要環節，只有網路系統安全可靠，才能保證信息系統的安全可靠。網路系統也是非法入侵者主要攻擊的目標。開放分布或互連網路存在的不安全因素主要體現在： 一是協議的開放性。TCP/IP協議不提供安全保證，網路協議的開放性方便了網路互連，同時也為非法入侵者提供了方便。非法入侵者可以冒充合法用戶進行破壞，篡改信息，竊取報文內容。 二是網際網路主機上有不安全業務，如遠程訪問。許多數據信息是明文傳輸，明文傳輸既提供了方便，也為入侵者提供了竊取條件。入侵者可以利用網路分析工具實時竊取到網路上的各種信息，甚至可以獲得主機系統網路設備的超級用戶口令，從而輕易地進入系統。 三是網際網路連接基於主機上社團的彼此信任，只要侵入一個社團，其他就可能受到攻擊。具體地講，網路系統存在以下三個方面的滑洞，這是網路安全的最大隱患。 l·通信層漏洞。在TCP/IP、路由器、集線器等環節都有滑洞存在。在TCP/IP上發現了l00多種安全弱點或漏洞。如IP地址欺騙、TCP序號襲擊、ICMP襲擊、IP碎片襲擊和UDP欺騙等，MODEM也很容易被攻破。在幾乎所有的UNIX實現的協議族中，存在一個久為人知的漏洞，這個漏洞使得竊取TCP連接成為可能。當TCP連接正在建立時，伺服器用一個含有初始序列號的回答報文來確認用戶請求。這個序列號無特殊要求，只要是唯一的就可以了。客戶端收到回答後，再對其確認一次，連接便建立了。TCP協議規范要求每秒更換序列號25萬次。但大多數的UNIX的實現更換頻率遠小於此，而且下一個更換的數字往往是預知的。正是這種可預知伺服器初始序列號的能力使得攻擊可以完成，最安全的解決方法是用加密法產生初始序列號。 2·操作系統的漏洞。UNIX系統可執行文件目錄如/bin/who，可由所有的用戶進行讀訪問，這就違背了"最少特權"的原則。有些用戶可以從可執行文件中得到其版本號，從而知道了它會具有什麼樣的漏洞。如通過Telnet就可知道SENDMAIL版本號。還有一些弱點是由配置文件、訪問控制文件和預設初始化文件產生的。如用 來安裝SUN OS Version4的軟體，它創建了一個/Rhosts文件，這個文件允許網際網路上的任何人，從任何地方取得該主機的超級用戶特權。 在windows NT中，安全賬戶管理(SAM)資料庫可以被以下用戶所復制：Administrator賬戶，Administrator組中的所有成員，備份操作員，伺服器操作員，以及所有具有備份特權的人員。SAM資料庫的一個備份拷貝能夠被某些工具所利用來破解口令。NT在對用戶進行身份驗證時，只能達到加密RSA的水平。在這種情況下，甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM資料庫並能破解口令的工具有：PWDUMP 和NTCrack。實際上，pwmp的作者還有另一個軟體包，pwaudit,它可以跟蹤由pwmp獲取到任何東西的內容。 3·應用層漏洞。各種應用軟體、防火牆軟體、WebServer應用軟體、路由器軟體等都隱含了很多漏洞，使黑客容易進入。如，NT和WIndows95機上的所有瀏覽器，都有一個相似的弱點，對於一個HTML 頁上的超級鏈接，瀏覽器都首先假設該鏈接是指向本地機器上的一個文件。如果這台機器是一個SMB（指伺服器消息塊)伺服器，它將隨意發送用戶的名字和口令。這種對身份驗證的自動反應和發送對用戶來說，是完全透明的，用戶根本不知道什麼事情發生。 由於網路系統存在上述漏洞，網路經常遭到攻擊。攻擊者對網路信息系統攻擊方式和手段大體是:信息收集，對系統的安全弱點探測，然後實施攻擊。攻擊方法主要有: 1、嗅探攻擊(Sniffer）。包嗅探器既可以是軟體，也可以是硬體，它通過使網路介面處於廣播狀態，從而可以截獲網路上傳輸的內容。嗅探攻擊意味著很高 級別的危險，如果你的網路上被安裝了一個包嗅探器，就意味你的網路被侵入了。 2、lP地址欺騙。這是偽造他人的源IP地址，其實質就是讓一台機器來扮演另一台機器，以矇混過關。幾乎所有的電子欺騙都依賴於目標網路的信任關系，侵 襲者利用偽造的lP發送地址，製造一些虛假的數據分組來充當內部工作站發送的分組。如果所用的防火牆系統是信息包過濾器，僅在輸出埠過濾發送的分組，那麼這種地址欺騙式的襲擊是

❹ 實時記錄內網用戶的上網行為,過濾不良信息的安全設備是什麼

防火牆。
所謂「防火牆」是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，隔離技術。越來越多地應用於專用網路與公用網路的互聯環境之中，尤其以接入Internet網路為最甚。
防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下，用戶才能夠進入計算機內，如果不同意就會被阻擋於外，防火牆技術的警報功能十分強大，在外部的用戶要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用戶的行為，並進行自我的判斷來決定是否允許外部的用戶進入到內部，只要是在網路環境內的用戶，這種防火牆都能夠進行有效的查詢，同時把查到信息朝用戶進行顯示，然後用戶需要按照自身需要對防火牆實施相應設置，對不允許的用戶行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看，並且還能夠對數據信息的上傳和下載速度進行掌握，便於用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火牆進行查看，還具有啟動與關閉程序的功能，而計算機系統的內部中具有的日誌功能，其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。
防火牆是在兩個網路通訊時執行的一種訪問控制尺度，能最大限度阻止網路中的黑客訪問你的網路。是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網路和信息安全的基礎設施。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網路的安全。

❺ 什麼是基於狀態檢測技術的防火牆智能過濾指的又是什麼為什麼把華堂網路安全防禦系統採用的過濾系統稱

基於狀態檢測技術的防火牆不僅僅對數據包進行檢測，還對控制通信的基本因素狀態信息（狀態信息包括通信信息、通信狀態、應用狀態和信息操作性）進行檢測。通過狀態檢測虛擬機維護一個動態的狀態表，記錄所有的連接通信信息、通信狀態，以完成對數據包的檢測和過濾。
智能過濾技術指的是一種動態的過濾技術，覆蓋了網路的各個層次，它可以根據用戶的特定的安全需求在指定的網路層次中進行過濾或實現動態過濾。例如：在網路層攔截數據包，如果是某些特定的網路應用，則交給特定的檢測進程作進一步的檢測。
華堂網路安全防禦系統是兩者的完美結合，除實現普通的過濾功能外，還能獲取傳輸層的狀態信息以及應用層的相關信息，系統根據這些信息進行分析計算，過濾器再根據這些信息以及用戶事先定義的安全策略最終實現安全過濾。
舉一個簡單的例子，SYN包的"洪水攻擊"，包過濾技術根本無法阻止，但狀態檢測技術卻可以輕松應付：當伺服器回送一個SYN+ACK包後，防火牆可判斷出伺服器處於等待應答狀態（等待一個ACK包以完成三次握手），這時防火牆預先發送一個ACK包給伺服器（讓伺服器轉到建立狀態）並啟動定時器，若規定時間內未收到客戶端的ACK包，就發送信號給伺服器復位，等待下次連接。

❻ 網路安全機制包括些什麼

網路安全機制包括接入管理、安全監視和安全恢復三個方面。

接入管理主要處理好身份管理和接入控制，以控制信息資源的使用；安全監視主要功能有安全報警設置以及檢查跟蹤；安全恢復主要是及時恢復因網路故障而丟失的信息。

接入或訪問控制是保證網路安全的重要手段，它通過一組機制控制不同級別的主體對目標資源的不同授權訪問，在對主體認證之後實施網路資源的安全管理使用。

網路安全的類型

（1）系統安全

運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

（2）網路信息安全

網路上系統信息的安全。包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

（3）信息傳播安全

網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上自由傳輸的信息失控。

（4）信息內容安全

網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

❼ 網路安全的研究范疇和涉及的主要側重點有哪些

網路安全的研究范疇
網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。

網路安全是網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱患。
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下幾個主要側重點：
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全。包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。
3、信息傳播安全
網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

❽ 現在的網路環境存在怎樣的安全問題

一、網路安全概述
以Internet為代表的全球性信息化浪潮日益深刻，信息網路技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，典型的如黨政部門信息系統、金融業務系統、企業商務系統等。伴隨網路的普及，安全日益成為影響網路效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求，這主要表現在：開放性的網路，導致網路的技術是全開放的，任何一個人、團體都可能獲得，因而網路所面臨的破壞和攻擊可能是多方面的，例如：可能來自物理傳輸線路的攻擊，也可以對網路通信協議和實現實施攻擊；可以是對軟體實施攻擊，也可以對硬體實施攻擊。國際性的一個網路還意味著網路的攻擊不僅僅來自本地網路的用戶，它可以來自Internet上的任何一台機器，也就是說，網路安全所面臨的是一個國際化的挑戰。自由意味著網路最初對用戶的使用並沒有提供任何的技術約束，用戶可以自由地訪問網路，自由地使用和發布各種類型的信息。用戶只對自己的行為負責，而沒有任何的法律限制。
盡管開放的、自由的、國際化的Internet的發展給政府機構、企事業單位帶來了革命性的改革和開放，使得他們能夠利用Internet提高辦事效率和市場反應能力，以便更具競爭力。通過Internet，他們可以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰和新危險。如何保護企業的機密信息不受黑客和工業間諜的入侵，已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
1. 什麼是安全
安全包括五個要素：機密性、完整性、可用性、可控性與可審查性。
· 機密性：確保信息不暴露給未授權的實體或進程。
· 完整性：只有被允許的人才能修改數據，並能夠判別出數據是否已被篡改。
· 可用性：得到授權的實體在需要時可訪問數據，即攻擊者不能佔用所有的資源而阻礙授權者的工作。
· 可控性：可以控制授權范圍內的信息流向及行為方式。
· 可審查性：對出現的網路安全問題提供調查的依據和手段。
2. 安全威脅
一般認為，目前網路存在的威脅主要表現在：
· 利用網路傳播病毒：通過網路傳播計算機病毒，其破壞性大大高於單機系統，而且用戶很難防範。
· 非授權訪問：沒有預先經過同意，就使用網路或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網路設備及資源進行非正常使用，或擅自擴大許可權，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
· 信息泄漏或丟失：指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如「黑客」們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。
· 破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益於攻擊者的響應；惡意添加，修改數據，以干擾用戶的正常使用。
· 拒絕服務攻擊：它不斷對網路服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
3. 安全服務、機制與技術
· 安全服務：包括服務控制服務、數據機密性服務、數據完整性服務、對象認證服務、防抵賴服務 。
· 安全機制：包括訪問控制機制、加密機制、認證交換機制、數字簽名機制、防業務流分析機制、路由控制機制 。
· 安全技術：包括防火牆技術、加密技術、鑒別技術、數字簽名技術、審計監控技術、病毒防治技術 。
在安全的開放環境中，用戶可以使用各種安全應用。安全應用由一些安全服務來實現；而安全服務又是由各種安全機制或安全技術實現的。應當指出，同一安全機制有時也可以用於實現不同的安全服務。
4. 安全工作目的
安全工作的目的就是為了在安全法律、法規、政策的支持與指導下，通過採用合適的安全技術與安全管理措施，完成以下任務：
· 使用訪問控制機制，阻止非授權用戶進入網路，即「進不來」，從而保證網路系統的可用性。
· 使用授權機制，實現對用戶的許可權控制，即不該拿走的「拿不走」，同時結合內容審計機制，實現對網路資源及信息的可控性。
· 使用加密機制，確保信息不暴露給未授權的實體或進程，即「看不懂」，從而實現信息的保密性。
· 使用數據完整性鑒別機制，保證只有得到允許的人才能修改數據，而其它人「改不了」，從而確保信息的完整性。
· 使用審計、監控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者「走不脫」，並進一步對網路出現的安全問題提供調查依據和手段，實現信息安全的可審查性。
二、網路安全問題分析
網路面臨的威脅大體可分為對網路中數據信息的危害和對網路設備的危害，我們這里主要研究的是前者。具體來說，危害網路安全的主要威脅有：非授權訪問，即對網路設備及信息資源進行非正常使用或越權使用等；冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權，以達到佔用合法用戶資源的目的；破壞數據的完整性，即使用非法手段，刪除、修改、重發某些重要信息，以干擾用戶的正常使用；干擾系統正常運行。指改變系統的正常運行方法，減慢系統的響應時間等手段；病毒與惡意攻擊，即通過網路傳播病毒或惡意Java、XActive等。
除此之外，Internet非法內容也形成了對網路的另一大威脅。有關部門統計顯示，有30%-40%的Internet訪問是與工作無關的，甚至有的是去訪問色情、暴力、反動等站點。在這樣的情況下，Internet資源被嚴重浪費。尤其對教育網來說，面對形形色色、良莠不分的網路資源，如不具有識別和過濾作用，不但會造成大量非法內容或郵件出入，佔用大量流量資源，造成流量堵塞、上網速度慢等問題，而且某些不良網站含有暴力、色情、反動消息等內容，將極大地危害青少年的身心健康。
三、網路安全策略
通過對網路的全面了解，按照安全策略的要求及風險分析的結果，整個網路措施應按系統體系建立，具體的安全控制系統由以下幾個方面組成: 物理安全、網路安全、信息安全。
1. 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：
環境安全：對系統所在環境的安全保護，如區域保護和災難保護；
設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；
媒體安全：包括媒體數據的安全及媒體本身的安全。
顯然，為保證信息網路系統的物理安全，除在網路規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米，這給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。
2. 網路安全
網路安全，包括:系統（主機、伺服器）安全、反病毒、系統安全檢測、審計分析網路運行安全、備份與恢復、區域網與子網安全、訪問控制（防火牆）、網路安全檢測、入侵檢測。
3. 信息安全
主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面，具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、資料庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。
面對網路安全的脆弱性，除了在網路設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網路的安全管理，組織管理和人員錄用等方面有許多的不安全因素，而這又是計算機網路安全所必須考慮的基本問題，所以應引起網路管理員的重視。
四、防治計算機病毒
計算機病毒在網路中泛濫已久，一旦入侵到本地網路，在本地區域網中會快速繁殖，導致區域網計算機的相互感染，下面介紹一下有關區域網病毒的入侵原理及防範方法。
1. 區域網病毒入侵原理及現象
一般來說，計算機網路的基本構成包括網路伺服器和網路節點站（包括有盤工作站、無盤工作站和遠程工作站）。計算機病毒一般首先通過各種途徑進入到有盤工作站，也就進入網路，然後開始在網上的傳播。具體地說，其傳播方式有以下幾種。
1）病毒直接從工作站拷貝到伺服器中或通過郵件在網內傳播；
2）病毒先傳染工作站，在工作站內存駐留，等運行網路盤內程序時再傳染給伺服器；
3）病毒先傳染工作站，在工作站內存駐留，在病毒運行時直接通過映像路徑傳染到伺服器中
4）如果遠程工作站被病毒侵入，病毒也可以通過數據交換進入網路伺服器中一旦病毒進入文件伺服器，就可通過它迅速傳染到整個網路的每一個計算機上。
在網路環境下，網路病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外，還具有一些新的特點。
1）感染速度快
在單機環境下，病毒只能通過介質從一台計算機帶到另一台，而在網路中則可以通過網路通訊機制進行迅速擴散。根據測定，在網路正常工作情況下，只要有一台工作站有病毒，就可在十幾分鍾內將網上的數百台計算機全部感染。
2）擴散面廣
由於病毒在網路中擴散非常快，擴散范圍很大，不但能迅速傳染區域網內所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。
3）傳播的形式復雜多樣
計算機病毒在網路上一般是通過「工作站」到「伺服器」到「工作站」的途徑進行傳播的，但現在病毒技術進步了不少，傳播的形式復雜多樣。
4）難於徹底清除
單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬碟等措施能將病毒徹底清除。而網路中只要有一台工作站未能清除干凈，就可使整個網路重新被病毒感染，甚至剛剛完成殺毒工作的一台工作站，就有可能被網上另一台帶毒工作站所感染。因此，僅對工作站進行殺毒，並不能解決病毒對網路的危害。
5）破壞性大
網路病毒將直接影響網路的工作，輕則降低速度，影響工作效率，重則使網路崩潰，破壞伺服器信息，使網路服務癱瘓。
2. 區域網病毒防範方法
查殺病毒的基本步驟：
1）首先要斷開網路，使受感染的機器隔離；
2）使用殺毒軟體進行查殺，可以使用金山或瑞星的專殺工具，徹底清除病毒；
3）安裝IE 相應最新補丁或升級IE 版本，如果是伺服器還要安裝IIS補丁；
4）把系統中出現的一些非法共享（如C、D 等），應該將其共享屬性去掉；對於伺服器，查看一下Administrators 組中是否加進了「guest」用戶，要把guest 用戶從Administrators 組中刪除。
隨著各公司機構內部網不斷建立和擴充，用戶通過區域網與網際網路連接，內部有Web伺服器和FTP伺服器，一旦網路病毒在內部區域網傳播，即便將每台電腦的網線都拔下，也很難徹底查殺干凈，另外管理員的工作量也變得很大。實際上目前已經有很多解決這種問題的產品和方案，網路版殺毒軟體是其中比較好的一個選擇。網路版殺毒軟體和單機版殺毒軟體最大的區別在於，網路版是針對區域網內部電腦的管理而設置了控制操作平台，供網管統一管理使用，而單機版殺毒軟體是不具備管理功能的。並且，隨著信息化進程的不斷推進，網路環境日益復雜，面對日益復雜的網路環境，以及一些黑客程序和木馬程序的攻擊，單機版無法保證整個網路安全。如果把單機版殺毒軟體當作網路版殺毒軟體使用，用戶將不能隨時了解每台機器的狀況。若區域網中的一台機器感染了病毒，將會在很短的時間內傳播開，而通過網路版殺毒軟體，網路管理員就可以通過一台伺服器管理整個區域網的機器，由中心端來對客戶端進行統一管理，對客戶端自動分發最新病毒碼，即便客戶端不能訪問外網，也可以保持最新的病毒碼定義。
五、過濾不良網路信息
網路一項重要的功能就是讓用戶通過路由器或代理伺服器（網關）瀏覽Internet，面對形形色色、良莠不分的網路資源，如不具有識別和過濾作用，不但會造成大量非法內容或郵件出入，佔用大量流量資源，造成流量堵塞、上網速度慢等問題，而且某些網站的娛樂、游戲、甚至暴力、色情、 反動消息等不良內容，將極大地危害青少年學生的身心健康。
許多企業和學校都在努力嘗試解決不良信息的瀏覽問題，由於多數不良信息來源於互聯網，解決方法主要是針對互聯網進行限制，主要可以分為三類：斷開物理連接、地址庫過濾和防火牆過濾。
斷開物理連接的做法很直接，就是在內網里使用虛擬互聯網軟體單獨設置一個區域給用戶用來上網，但是實際上這個區域和互聯網是斷開的，用戶使用瀏覽器瀏覽網頁的時候實際上是在瀏覽本地伺服器。用戶雖然可以用瀏覽器瀏覽網頁，但是可以瀏覽的資源有限，而且網頁內容也完全取決於本地伺服器的更新速度。這樣做雖然可以起到一定的作用，但同時也忽視了互聯網最大的特點──實時性，而且可瀏覽的范圍太小。而且因為要經常從互聯網下載網頁，網路管理員的工作量增加，大大降低了網路的使用效率。
地址庫過濾則是在區域網連接互聯網介面的網關處設置一個軟體的「關卡」，這個「關卡」會檢查每個HTTP 請求，把每個請求和一個記錄著被禁止訪問的網站地址庫進行比較。這樣的處理方式會大大降低瀏覽互聯網的速度，而且地址庫的更新也是問題。每天在互聯網上出現的新網站有成千上萬，不可能被及時的一一檢查。
防火牆過濾也是在區域網連接互聯網介面的網關處設置軟、硬體設施，這類過濾形式可以設置對關鍵詞比如說「性」等的禁止，當軟體發現含有關鍵詞的訪問請求時，會自動切斷訪問，但對於打包的郵件無能為力；而且，這種過濾往往矯枉過正，比如說軟體發現「正確性」一詞中含有「性」，也不分青紅皂白一律關閉；由於牽涉到在入口處對內容進行檢查，Internet的瀏覽速度在人數多時奇慢無比；另外從資金角度來看，由於目前適合中小規模區域網使用的低價位防火牆大多依賴於LINUX 操作系統，學校或企業需要另行購買一台防火牆伺服器，加大了資金投入。
七、拒絕惡意網頁和垃圾郵件
1. 拒絕惡意網頁
Internet 網上除了前面說過的不良信息外，還有危害更大的網路陷阱，其中以一些惡意網頁為代表，這些網頁通過惡意代碼纂改注冊表中的源代碼，達到更改用戶主頁的目的，輕則造成用戶IE 瀏覽器被鎖定、主頁無法改回、彈出眾多窗口耗盡資源等嚴重危害，重則通過瀏覽網頁讓電腦在不知不覺中被植入木馬，傳播病毒，或盜取用戶重要個人信息，其危害可見一斑。
實際上惡意網頁一般都是利用IE的文本漏洞通過編輯的腳本程序修改注冊表,以達到篡改用戶瀏覽器設置的目的。我們常見到的比如IE標題欄顯示「歡迎訪問⋯⋯網站」、默認主頁被更改為陌生網址、每次打開IE都自動登錄到此網站、右鍵菜單被添加莫名其妙的廣告、用戶無法更改IE設置等現象都屬此類問題，解決方法有兩種：第一種方法是使用注冊表編輯器，手動把被篡改的注冊表信息改回初始值。第二種方法是使用專門的解鎖工具，如著名的「超級兔子」或「3721 網路工具」等可以很簡單地解除被修改的IE 瀏覽器。
另外有的惡意網頁是利用IE 的腳本漏洞，用含有有害代碼的ActiveX網頁文件，讓用戶自動運行木馬程序，因此建議在訪問一些陌生網站時在IE 設置中將ActiveX 插件和控制項、Java 腳本等禁止。由於IE 是使用頻率最高的網路瀏覽器，因此針對其本身漏洞的攻擊也非常多，要保持及時給IE 升級或打補丁，這樣才能盡量堵塞漏洞，提高IE 的安全性。
2. 拒絕垃圾郵件
除了猖獗的網路病毒外，垃圾郵件的危害也早已受到了人們的普遍關注，實際上現在網路病毒中有約80%是通過郵件傳播的，更不用說一些色情、反動、迷信郵件的危害了。有效地防範垃圾郵件已經成為所有網路用戶的共同目標，在學校教育中防範垃圾郵件也是衡量校園網路安全的重要標准之一。
首先要做好預防工作，保護自己的郵箱不會成為垃圾郵件的攻擊目標，經查閱有關資料，有關專家提出了以下建議：
1) 給信箱起個相對復雜的名稱。如果用戶名過於簡單或者過於常見，則很容易被當作攻擊目標。因為過於簡單的名字，垃圾郵件的發送者很可能通過簡單排列組合，搜索到用戶的郵件地址，從而發送垃圾郵件。因此在申請郵箱時，不妨起個保護性強一點的用戶名，比如英文和數字的組合，盡量長一點，可以少受垃圾郵件騷擾。
2) 避免泄露郵件地址。不要隨意地在瀏覽BBS(Bulletin Board Service,公告牌服務)時，公開自己的郵件地址，目前有一些別有用心的人往往在BBS 上散布一些具有誘惑性的消息，誘使其他用戶提供電子郵件地址進行收集。
3) 不要輕易回應垃圾郵件。因為一旦回復，就等於告訴垃圾郵件發送者該地址是有效的，這樣會招來更多的垃圾郵件。
4) 最實用的是使用郵件客戶端程序的郵件管理、過濾功能。
5）最後還可以利用一些專門的防垃圾郵件軟體指定條件檢測郵件接收伺服器，自動刪除垃圾郵件。
對於一些惡意的病毒郵件，就不僅是干擾人們正常生活這么簡單了，郵件病毒其實和普通的電腦病毒一樣，只不過由於它們的傳播途徑主要是通過電子郵件，所以才被稱為郵件病毒。它們一般是通過在郵件中附件夾帶的方法進行擴散的，運行了該附件中的病毒程序，才能夠使電腦染毒。知道了這一點，我們就不難採取相應的措施進行防範了。
當遇到帶有附件的郵件時，如果附件為可執行文件(*.exe、*.com)或word文檔時，不要急於打開，可以用兩種方法來檢測是否帶有病毒。一種方法是，利用殺毒軟體的郵件病毒監視功能來過濾掉郵件中可能存在的病毒；另一種方法是，把附件先存放在硬碟上，然後利用殺毒軟體查毒。所以在郵件接收過程中用一款可靠的防毒軟體對郵件進行掃描過濾是非常有效的手段，我們通過設置殺毒軟體中的郵件監視功能，在接收郵件過程中對郵件進行處理，可以有效防止郵件病毒的侵入。
八、結語
網路安全的主要問題是網路安全和信息安全，具體可分為預防病毒、訪問控制、身份驗證和加密技術、系統安全漏洞等問題。
對網路內的網路病毒，處理方法是選擇優秀的殺毒軟體；對網路不良信息的處理方法應該以使用網路信息過濾系統為主；在面對網路上的各種惡意網頁和垃圾郵件時應通過設置郵件系統安全選項，提高安全意識並結合殺毒軟體提供保護。
要想建設一個合格的網路，一方面要考慮網路內部的安全性，一方面要關注本網路和外部信息網路互聯時的安全性。網路的安全問題是一個較為復雜的系統工程，從嚴格的意義上來講，沒有絕對安全的網路系統，提高網路的安全系數是要以降低網路效率和增加投入為代價的。隨著計算機技術的飛速發展，網路的安全有待於在實踐中進一步研究和探索。在目前的情況下，我們應當全面考慮綜合運用防毒軟體、防火牆、加密技術等多項措施，互相配合，加強管理，從中尋找到確保網路安全與網路效率的平衡點，綜合提高網路的安全性，從而建立起一套真正適合民眾使用的安全體系。

❾ 有關於網路信息系統安全的四個問題

1.網路系統的不安全因素

計算機網路系統的不安全因素按威脅的對象可以分為三種:一是對網路硬體的威脅，這主要指那些惡意破壞網路設施的行為，如偷竊、無意或惡意毀損等等;二是對網路軟體的威脅，如病毒、木馬入侵，流量攻擊等等;三是對網路上傳輸或存儲的數據進行的攻擊，比如修改數據，解密數據，刪除破壞數據等等。這些威脅有很多很多，可能是無意的，也可能是有意的，可能是系統本來就存在的，也可能是我們安裝、配置不當造成的，有些威脅甚至會同時破壞我們的軟硬體和存儲的寶貴數據。如CIH病毒在破壞數據和軟體的同時還會破壞系統BIOS，使整個系統癱瘓。針對威脅的來源主要有以下幾方面:

1.1無意過失

如管理員安全配置不當造成的安全漏洞，有些不需要開放的埠沒有即時用戶帳戶密碼設置過於簡單，用戶將自己的帳號密碼輕意泄漏或轉告他人，或幾人共享帳號密碼等，都會對網路安全帶來威脅。

1.2惡意攻擊

這是我們賴以生存的網路所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊，它有選擇地破壞信息的有效性和完整性，破壞網路的軟硬體系統，或製造信息流量使我們的網路系統癱瘓;另一類是隱藏攻擊，它是在不影響用戶和系統日常工作的前提下，採取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網路系統造成極大的危害，並導致機密數據的外泄或系統癱瘓。

1.3漏洞後門

網路操作系統和其他工具、應用軟體不可能是百分之百的無缺陷和無漏洞的，尤其是我們既愛又恨的「Windows」系統，這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道，無數次出現過的病毒(如近期的沖擊波和震盪波就是採用了Windows系統的漏洞)造成的重大損失和慘痛教訓，就是由我們的漏洞所造成的。黑客浸入網路的事件，大部分也是利用漏洞進行的。「後門」是軟體開發人員為了自己的方便，在軟體開發時故意為自己設置的，這在一般情況下沒有什麼問題，但是一旦該開發人員有一天想不通要利用利用該「後門」，那麼後果就嚴重了，就算他自己安分守己，但一旦「後門」洞開和泄露，其造成的後果將更不堪設想。

如何提高網路信息系統安全性

2.1 物理安全策略

物理安全策略的目的是保護計算機系統、伺服器、網路設備、列印機等硬體實體和通信鏈路的物理安全，如採取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由於很多計算機系統都有較強的電磁泄漏和輻射，確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度，伺服器應該放在安裝了監視器的隔離房間內，並且要保留1天以上的監視記錄，另外機箱、鍵盤、電腦桌抽屜要上鎖，鑰匙要放在另外的安全位置，防止未經授權而進入計算機控制室，防止各種偷竊、竊取和破壞活動的發生。

2.2 訪問控制策略

網路中所能採用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用，但訪問控制策略可以說是保證網路安全最重要的核心策略之一。它的主要目的是保證網路信息不被非法訪問和保證網路資源不被非法使用。它也是維護網路系統安全、保護網路資源的重要手段。下面我們分述各種訪問控制策略。

2.2.1 登陸訪問控制

登陸訪問控制為網路訪問提供了第一層訪問控制。通過設置帳號，可以控制哪些用戶能夠登錄到伺服器並獲取網路信息和使用資源;通過設置帳號屬性，可以設置密碼需求條件，控制用戶在哪些時段能夠登陸到指定域，控制用戶從哪台工作站登陸到指定域，設置用戶帳號的失效日期。

注:當用戶的登錄時段失效時，到域中網路資源的鏈接不會被終止。然而，該用戶不能再創建到域中其他計算機的新鏈接。

用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然後是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。

由於用戶名和密碼是對網路用戶的進行驗證的第一道防線。所以作為網路安全工作人員在些就可以採取一系列的措施防止非法訪問。

a. 基本的設置

應該限制普通用戶的帳號使用時間、方式和許可權。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計，如果多次輸入口令不正確，則應該認為是非法入侵，應給出報警信息，並立即停用該帳戶。

b. 認真考慮和處理系統內置帳號

建議採取以下措施:i.停用Guest帳號，搞不懂Microsoft為何不允許刪除Guest帳號，但不刪除我們也有辦法:在計算機管理的用戶和組裡面，把Guest帳號禁用，任何時候都不允許Guest帳號登陸系統。如果還不放心，可以給Guest帳號設置一個長而復雜的密碼。這里為對Windows 2有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2系統的帳號信息，是存放在注冊表HKEY_LOCAL_MACHINE\SAM里的，但即使我們的系統管理員也無法打開看到這個主鍵，這主要也是基於安全的原因，但是「System」帳號卻有這個許可權，聰明的讀者應該知道怎麼辦了吧，對了，以「SYSTEM」許可權啟動注冊表就可以了，具體方法為:以「AT」命令來添加一個計劃任務來啟動Regedit.exe程序，然後檢查注冊表項，把帳號Guest清除掉。首先，看一下時間 :3,在「運行」對話框中或「cmd」中運行命令:at :31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是「SYSTEM」了，/interactive的目的是讓運行的程序以互動式界面的方式運行。一分鍾後regedit.exe程序運行了，依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users，將以下兩個相關鍵全部刪掉:一個是1F5，一個是Names下面的Guest。完成後我們可是用以下命令證實Guest帳號確實被刪掉了「net user guest」。ii.系統管理員要擁有兩個帳號，一個帳號是具有管理員許可權，用於系統管理，另一個帳號只有一般許可權，用於日常操作。這樣只有在維護系統或安裝軟體時才用管理員身份登陸，有利於保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用，這樣Microsoft就給Hacker們提供了特別大的幫助，但我們也可將之改名，如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等於白改的名字。

c. 設置欺騙帳號

這是一個自我感覺非常有用的方法:創建一個名為Administrator的許可權最低的欺騙帳號，密碼設置相當復雜，既長又含特殊字元，讓Hacker們使勁破解，也許他破解還沒有成功我們就已經發現了他的入侵企圖，退一步，即使他破解成功了最後還是會大失所望的發現白忙半天。

d. 限制用戶數量

因為用戶數量越多，用戶許可權、密碼等設置的缺陷就會越多，Hacker們的機會和突破口也就越多，刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。

e. 禁止系統顯示上次登陸的用戶名

Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能，下次重啟時，會在用戶名欄中提示上次用戶的登陸名，這個信息可能被別有用心的人利用，給系統和用戶造成隱患，我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表，展開到以下分支:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

在此分支下新建字元串命名為:DontDisplayLastUserName，並把該字元串值設為:「1」，完成後重新啟動計算機就不會顯示上次登錄用戶的名字了。

f. 禁止建立空連接

默認情況下，任何用戶通過空連接連上伺服器後，可能進行枚舉帳號，猜測密碼，我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表，展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，然後將該分支下的restrictanonymous的值改為「1」即可。

g. 通過智能卡登錄

採用攜帶型驗證器來驗證用戶的身份。如廣泛採用的智能卡驗證方式。通過智能卡登錄到網路提供了很強的身份驗證方式，因為，在驗證進入域的用戶時，這種方式使用了基於加密的身份驗證和所有權證據。

例如，如果一些別有用心的人得到了用戶的密碼，就可以用該密碼在網路上冒稱用戶的身份做一些他自己想做的事情。而現實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等)，這會使密碼先天脆弱，很容易受到攻擊。

在使用智能卡的情況下，那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由於需要其它的信息才能假扮用戶，因而這種組合可以減少攻擊的可能性。另一個好處是連續幾次輸入錯誤的 PIN 後，智能卡將被鎖定，因而使得採用詞典攻擊智能卡非常困難。

2.2.2 資源的許可權管理

資源包括系統的軟硬體以及磁碟上存儲的信息等。我們可以利用Microsoft 在Windows 2中給我們提供的豐富的許可權管理來控制用戶對系統資源的訪問，從而起到安全管理的目的。

a. 利用組管理對資源的訪問

組是用戶帳號的集合，利用組而不用單個的用戶管理對資源的訪問可以簡化對網路資源的管理。利用組可以一次對多個用戶授予許可權，而且在我們對一個組設置一定許可權後，以後要將相同的許可權授予別的組或用戶時只要將該用戶或組添加進該組即可。

如銷售部的成員可以訪問產品的成本信息，不能訪問公司員工的工資信息，而人事部的員工可以訪問員工的工資信息卻不能訪問產品成本信息，當一個銷售部的員工調到人事部後，如果我們的許可權控制是以每個用戶為單位進行控制，則許可權設置相當麻煩而且容易出錯，如果我們用組進行管理則相當簡單，我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。

b. 利用NTFS管理數據

NTFS文件系統為我們提供了豐富的許可權管理功能，利用了NTFS文件系統就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內容、讀和執行、修改、全面控制等許可權，甚至還可以定義一些特殊許可權。NTFS只適用於NTFS磁碟分區，不能用於FAT或FAT32分區。不管用戶是訪問文件還是文件夾，也不管這些文件或文件夾是在計算機上還是在網路上，NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機，還包括他們被授予的訪問許可權。注意:要正確和熟練地使用NTFS控制許可權的分配必須深入了解NTFS許可權的特點、繼承性、「拒絕」許可權的特性以及文件和文件夾在復制和移動後的結果。一個網路系統管理員應當系統地考慮用戶的工作情況並將各種許可權進行有效的組合，然後授予用戶。各種許可權的有效組合可以讓用戶方便地完成工作，同時又能有效地控制用戶對伺服器資源的訪問，從而加強了網路和伺服器的安全性。

2.2.3 網路伺服器安全控制

網路伺服器是我們網路的心臟，保護網路伺服器的安全是我們安全工作的首要任務，沒有伺服器的安全就沒有網路的安全。為了有效地保護伺服器的安全，我們必須從以下幾個方面開展工作。

a. 嚴格伺服器許可權管理

由於伺服器的重要地位，我們必須認真分析和評估需要在伺服器上工作的用戶的工作內容和工作性質，根據其工作特點授予適當的許可權，這些許可權要保證該用戶能夠順利地完成工作，但也決不要多給他一點許可權(即使充分相信他不會破壞也要考慮他的誤操作)，同時刪除一些不用的和沒有必要存在的用戶和組(如員工調動部門或辭退等)。根據情況限制或禁止遠程管理，限制遠程訪問許可權等也是網路安全工作者必需考慮的工作。

b. 嚴格執行備份操作

作為一個網路管理員，由於磁碟驅動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數據丟失是最為常見的事情。為了保證系統能夠從災難中以最快的速度恢復工作，最大化地降低停機時間，最大程度地挽救數據，備份是一個最為簡單和可靠的方法。Windows 2 集成了一個功能強大的圖形化備份實用程序。它專門為防止由於硬體或存儲媒體發生故障而造成數據丟失而設計的。它提供了五個備份類型:普通、副本、差異、增量和每日，我們根據備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。

警告:對於從Windows 2 NTFS卷中備份的數據，必須將之還原到一個Windows 2 NTFS卷中，這樣可以避免數據丟失，同時能夠保留訪問許可權、加密文件系統(Encrypting File System)設置信息、磁碟限額信息等。如果將之還原到了FAT文件系統中，將丟失所有加密數據，同時文件不可讀。

c. 嚴格起用備用伺服器

對於一些非常重要的伺服器，如域控制器、橋頭伺服器、DHCP伺服器、DNS伺服器、WINS伺服器等擔負網路重要功能的伺服器，也包括那些一旦癱瘓就要嚴重影響公司業務的應用程序伺服器，我們應該不惜成本建立備份機制，這樣即使某個伺服器發生故障，對我們的工作也不會造成太大的影響。我們也可以利用Windows 2 Advance Server的集群功能使用兩個或兩個以上的伺服器，這樣不但可以起到備用的作用，同時也能很好地提高服務性能。

d. 使用RAID實現容錯功能

使用RAID有軟體和硬體的方法，究竟採用哪種要考慮以下一些因素:

硬體容錯功能比軟體容錯功能速度快。

硬體容錯功能比軟體容錯功能成本高。

硬體容錯功能可能被廠商限制只能使用單一廠商的設備。

硬體容錯功能可以實現硬碟熱交換技術，因此可以在不關機的情況下更換失敗的硬碟。

硬體容錯功能可以採用高速緩存技術改善性能。

Microsoft Windows 2 Server支持三種類型的軟體RAID，在此作一些簡單描述:

u RAID (條帶卷)

RAID 也被稱為磁碟條帶技術，它主要用於提高性能，不屬於安全范疇，在此略過，有興趣的朋友可以參閱相關資料。

u RAID 1(鏡像卷)

RAID 1 也被稱為磁碟鏡像技術，它是利用Windows 2 Server的容錯驅動程序(Ftdisk.sys)來實現，採用這種方法，數據被同時寫入兩個磁碟中，如果一個磁碟失敗了，系統將自動用來自另一個磁碟中的數據繼續運行。採用這種方案，磁碟利用率僅有5%。

可以利用鏡像卷保護系統磁碟分區或引導磁碟分區，它具有良好的讀寫性能，比RAID 5 卷使用的內存少。

可以採用磁碟雙工技術更進一步增強鏡像卷的安全性，它不需要附加軟體支持和配置。(磁碟雙工技術:如果用一個磁碟控制器控制兩個物理磁碟，那麼當磁碟控制器發生故障，則兩個磁碟均不能訪問，而磁碟雙工技術是用兩個磁碟控制器控制兩個物理磁碟，當這兩個磁碟組成鏡像卷時更增強了安全性:即使一個磁碟控制器損壞，系統也能工作。)

鏡像卷可以包含任何分區，包括引導磁碟分區或系統磁碟分區，然而，鏡像卷中的兩個磁碟必須都是Windows 2 的動態磁碟。

u RAID 5(帶有奇偶校驗的條帶卷)

在Windows 2 Server中，對於容錯卷，RAID 5是目前運用最廣的一種方法，它至少需要三個驅動器，最多可以多達32個驅動器。Windows 2 通過在RAID-5卷中的各個磁碟分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁碟失敗了，系統可以利用奇偶信息和剩餘磁碟中的數據來重建丟失的數據。

注:RAID-5卷不能保護系統磁碟和引導磁碟分區。
e. 嚴格監控系統啟動的服務

很多木馬或病毒程序都要在系統中創建一個後台服務或進程，我們應該經常檢查系統，一旦發現一些陌生的進程或服務，就要特別注意是否有木馬、病毒或間諜等危險軟體運行。作為網路管理員，經常檢查系統進程和啟動選項是應該養成的一個經常習慣。這里有一個對初級網路管理員的建議:在操作系統和應用程序安裝完成後利用工具軟體(如Windows優化大師等軟體)導出一個系統服務和進程列表，以後經常用現有的服務和進程列表與以前導出的列表進行比較，一旦發現陌生進程或服務就要特別小心了。

2.2.4 網路監測和鎖定控制

網路管理員應對網路實施監控，伺服器應記錄用戶對網路資源的訪問，對非法的網路訪問，伺服器應以圖形、文字或聲音等形式報警，以引起網路管理員的注意。如果不法之徒試圖進入網路，網路伺服器應會自動記錄企圖嘗試進入網路的次數，如果非法訪問的次數達到設定數值，那麼該帳戶將被自動鎖定。

伺服器允許在伺服器控制台上執行一些如裝載和卸載管理模塊的操作，也可以進行安裝和刪除軟體等操作。網路伺服器的安全控制包括設置口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定伺服器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。

2.2.5 防火牆控制

防火牆的概念來源於古時候的城堡防衛系統，古代戰爭中為了保護一座城市的安全，通常是在城市周圍挖出一條護城河，每一個進出城堡的人都要通過一個吊橋，吊橋上有守衛把守檢查。在設計現代網路的時候，設計者借鑒了這一思想，設計出了現在我要介紹的網路防火牆技術。

防火牆的基本功能是根據一定的安全規定，檢查、過濾網路之間傳送的報文分組，以確定它們的合法性。它通過在網路邊界上建立起相應的通信監控系統來隔離內外網路，以阻止外部網路的侵入。我們一般是通過一個叫做分組過濾路由器的設備來實現這個功能的，這個路由器也叫做篩選路由器。作為防火牆的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網路層，可以根據網路層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網關的檢查。因此，從協議層次模型的角度看，防火牆應覆蓋網路層、傳輸層與應用層。

其他的你去:http://www.haolw.net/HaoLw/JvJueWeiXie-AnQuanYingYongWindowsXiTong/ 上面都有太多了`我復制不下來``