當(dāng)網(wǎng)絡(luò)連接系統(tǒng)中有數(shù)以千計的弱點時，攻擊基本類型的名單卻很短。這種情況能夠幫助我們制定易于管理的保護系統(tǒng)安全計劃。攻擊能造成下面列表中糟糕的情況：數(shù)據(jù)丟失、機密泄漏、拒絕服務(wù)（Denial of Service， DoS）等。

數(shù)據(jù)丟失包括數(shù)據(jù)完整性損失和格式化磁盤驅(qū)動器以及文件刪除。機密泄漏包括令人尷尬或危及安全信息的曝光和機密被攔截。假冒采用讓你系統(tǒng)扮演“傀儡”的形式，攻擊其他用戶以及用你的信用卡在線購物。服務(wù)拒絕可能是簡單占用你的計算機，也可能包括使連接因特網(wǎng)的通路過載。

造成這些威脅的根本原因是其他人獲得了在你系統(tǒng)中運行軟件的能力。攻擊者達(dá)到這個目的方法是通過病毒或蠕蟲。蠕蟲與病毒的區(qū)別在于，他們在網(wǎng)絡(luò)中傳播時并不寄生在一個可運行主文件上。最通常的媒介物是電子郵件的附件和打開的共享文件。你可以通過關(guān)閉蠕蟲正在運行的計算機來停止一個純粹的蠕蟲病毒，但是最近的一些蠕蟲，如Code Red 和Nimda ，包括濾過性成分，它允許破壞性的代碼在經(jīng)歷關(guān)機操作之后重新開始運行。在你系統(tǒng)中運行的蠕蟲能完成病毒所能完成的任何有害操作。

第三種危險的軟件是特洛伊木馬，它或者將自身偽裝成某種有用的東西 一個網(wǎng)絡(luò)登錄窗口，或者偽裝成某種有趣的東西 在線游戲或其他娛樂形式。但軟件實際上捕獲了你的密碼以便以后再進入，或者安裝了其它的允許攻擊者重新連接你計算機并獲得全部遠(yuǎn)程控制權(quán)的軟件。一些病毒和蠕蟲在感染計算機時在計算機中安裝了特洛伊木馬。

應(yīng)對惡意程序

最新反病毒軟件能夠防御經(jīng)反病毒軟件供應(yīng)商確認(rèn)和處理過的病毒、蠕蟲和特洛伊木馬程序。如果反病毒開發(fā)人員在新的惡意軟件大范圍傳播之前就提供出解決方案，被感染的風(fēng)險就會降到最小。但是，傳播得非常迅速的病毒或蠕蟲可能在你得到能夠防范最新威脅的更新的反病毒版本之前就已經(jīng)到來了。在那種情況下，你的安全設(shè)置和你用戶最終的常識就成了最后的防線。

以前，微軟公司Outlook Express軟件默認(rèn)設(shè)置允許可執(zhí)行電子郵件附件在信件被打開后自動運行。極具破壞性的ILOVEYOU病毒或 VBS.LoveLetter病毒證明了這些默認(rèn)設(shè)置的脆弱。早期版本的Microsoft Word默認(rèn)設(shè)置可自動運行宏，這個漏洞在早期的宏病毒大范圍傳播后才被修補好。

瀏覽器的設(shè)置也能幫助減少感染病毒的風(fēng)險。基于提供可執(zhí)行文件的網(wǎng)站和可執(zhí)行文件是否有簽名和經(jīng)過可靠的權(quán)威鑒定，Internet Explorer有一系列選項來處理不同的可執(zhí)行文件。Windows XP、Windows 2000、MacOS X以及Linux提供管理選項，這些選項能夠防止安裝和執(zhí)行不明的或被禁止的軟件。阻止一個熟悉的用戶能夠安裝任意的可執(zhí)行代碼和擊敗任何的保護方法，對于早期版本的蘋果操作系統(tǒng)和非NT的Windows操作系統(tǒng)，可能不能用這種方法進行配置。

如果操作系統(tǒng)不能被鎖定和其它保護機制失敗，用戶常識就成了最后的防線。用戶和他們的室友以及家庭成員需要了解安裝未知來源的軟件、下載文件雙擊電子郵件附件、使保護軟件失效以及更改系統(tǒng)的配置到達(dá)不穩(wěn)定狀態(tài)的危險性。企業(yè)應(yīng)確保其家庭辦公和移動辦公用戶移植到具有緊密保護措施選項的操作系統(tǒng)中去。這是因為全部人員，包括老年人、小孩以及僅僅對計算機安全不感興趣的人，他們將永遠(yuǎn)不能對如何保護自己有充分的了解。

病毒和蠕蟲是由他們“可愛”的發(fā)明者發(fā)布到網(wǎng)絡(luò)上的。他們被設(shè)計成靠自身傳播，不需要它們的創(chuàng)作者進一步活動的病毒工作。病毒通過英特網(wǎng)闖入對于安全來說是一種相當(dāng)可怕的威脅。在這些攻擊中，攻擊者的目標(biāo)是你的系統(tǒng)，而不僅僅是在你的電腦中發(fā)布一個有破壞性的軟件。這種區(qū)別就如同某些人把你的門把手弄的嘩嘩響或者使用螺釘切割機切割你的掛鎖，而某些人隨意地放置地雷或者并沒有特別目標(biāo)地在彈簧墊子上狂歡。

入侵者可能尋找隨意IP目標(biāo)的弱點，或者為了合適的目標(biāo)可能掃描特定范圍的IP地址段。使用whois軟件來查找@Home公司的電纜調(diào)制解調(diào)器用戶或DSL用戶的地址是不用腦子的人。在這些黑客流行的網(wǎng)絡(luò)上，你的系統(tǒng)可能每天都被掃描和Ping很多次。雖然這些初始的探查不會造成傷害。
好在外部闖入只有運行不安全服務(wù)器程序他的目標(biāo)才能夠成功。黑客們能夠嘗試他們所有的工具對抗你的系統(tǒng)，但是如果你沒有服務(wù)器程序等候應(yīng)答進入的TCP或UDP請求，或者服務(wù)器程序（或者被成功的攻擊后留下的殘余物）既不傳送文件、密碼、配置設(shè)置或其他需要保護的數(shù)據(jù)，也不允許它本身被作為攻擊的通道， 就沒有什么好擔(dān)心的了。

但是家庭用戶有很好的理由運行服務(wù)器程序，并且一個程序是不是服務(wù)器程序并不總是很明顯。明顯的服務(wù)器類型是端對端文件共享。一個單獨的家庭PC或者在一個家庭網(wǎng)絡(luò)中的幾臺PC能夠被配置為通過因特網(wǎng)共享文件。如果你對于敏感的文件使用了文件共享但卻沒有用一個強大的密碼保護它們，那么，不用任何種類的黑客技術(shù)就能夠?qū)δ愕奈募M行閱讀、復(fù)制或者刪除。

一些對Windows系統(tǒng)安全過于謹(jǐn)慎的人建議使文件共享失效。其實，即使文件共享被打開，也有四個單獨的保護層。首先，如果文件共享沒有和TCP/IP協(xié)議綁定，那么在因特網(wǎng)上沒有人可以看見你的目錄或者能夠辨別正在進行文件共享。如果你僅僅需要在本地網(wǎng)絡(luò)上共享文件，NetBEUI或IPX/ SPX就可以很好地完成這個工作并且消除了潛在的公開文件共享的誘惑。其次，你必須主動地指出將要共享的驅(qū)動器、目錄或者文件。沒有明確標(biāo)注為共享的條目將不會被其他的客戶看見，雖然可以通過從最基礎(chǔ)的級別選擇來達(dá)到完全共享，但這是失策的方法。第三，設(shè)定一個ID的范圍將會使不知道這個范圍的入侵者無法看見共享資源。最后，共享資源能夠（和應(yīng)該）設(shè)置密碼。

在微軟網(wǎng)絡(luò)上進行文件和打印機共享會將Windows 9x系統(tǒng)轉(zhuǎn)變?yōu)橐粋€文件服務(wù)器。假設(shè)安裝了更新程序并使用強大的密碼選項，即使運行這個服務(wù)器程序也是相當(dāng)安全的。與個人版本的Windows操作系統(tǒng)一起提供的唯一的、明確的服務(wù)器程序是個人網(wǎng)絡(luò)服務(wù)器（Personal Web Server）。顯然這個程序和因特網(wǎng)信息服務(wù)器（InternetInformation Server， IIS）、NT/2000網(wǎng)絡(luò)服務(wù)器一樣有足夠的密碼，一些威脅IIS的行為對于個人網(wǎng)絡(luò)服務(wù)器也需要進行相應(yīng)的修補。

最危險的偽裝服務(wù)器程序是遠(yuǎn)程控制應(yīng)用程序。PCANYWHERE、CARBON CCOPY、TIMBUKTU和LAPLINK是一些比較有名的商業(yè)遠(yuǎn)程控制程序包。BACK ORIFICE、SUBSEVEN和NETBUS是比較有名的秘密遠(yuǎn)程控制程序。典型的特洛伊木馬程序會安裝秘密程序，因為它們給遠(yuǎn)程入侵者完全的系統(tǒng)控制權(quán)控制權(quán)。商業(yè)產(chǎn)品能用密碼進行保護，而且這些系統(tǒng)的能力非常強大，因為他們有很強的動機生成強大的密碼。

聊天和即時通訊（IM）程序在家庭計算機上執(zhí)行服務(wù)器程序。因特網(wǎng)上即時通訊的先驅(qū)者——Internet Relay Chat （IRC）是許多破壞性行為的發(fā)源地。它既作為小學(xué)生們的寫作工具，又作為有豐富經(jīng)驗的入侵者觀察鄰居的觀察孔。Napster和它的分散性的產(chǎn)物本質(zhì)上是受到或多或少操作領(lǐng)域限制的文件服務(wù)器。Gnutella的派生產(chǎn)品能夠被配置為幾乎象Windows文件和打印共享那樣隨意地共享文件。雖然我不知道在這些領(lǐng)域中影響用戶行為的細(xì)節(jié)，但我猜想密不透風(fēng)的安全性對于這些不是特別明顯的服務(wù)器程序的開發(fā)者來說，很少有高優(yōu)先級。

雖然在OSI的mindset無線通路點不被作為一個服務(wù)器計算，畢竟這場戰(zhàn)爭對公司的數(shù)據(jù)造成了巨大的威脅，就如同安裝SubSeven軟件的黑客一樣。雇員安裝802.11網(wǎng)絡(luò)能夠避免在他們的護壁板中鉆洞，但是他們可能會使網(wǎng)絡(luò)和存取的公司數(shù)據(jù)被任何注意尋找這些的人看見。

闖入對策

防范入侵者的首要對策是擁有一個修補得非常好的操作系統(tǒng)。在操作系統(tǒng)廠商發(fā)布他們的補丁之前，某一種類的攻擊的確有用是很罕見的。下一個預(yù)防性的步驟是要了解關(guān)于任何運行在你計算機上的明確或隱藏的服務(wù)器程序的配置選項含義，并且用精心選擇的密碼將它們配置得盡可能安全。
對于希望在多臺PC機上共享因特網(wǎng)入口的寬帶用戶來說，提高安全性級別的方法是安裝網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation， NAT）路由器。通過對外部世界只顯示一個IP地址并對那個地址進行映射，并且在路由器內(nèi)部給一個不能路由的地址配置一個特殊的端口，這樣對于基于因特網(wǎng)的攻擊者來說，他就無法看見內(nèi)部的機器。這些 NAT 路由器經(jīng)常帶有過濾能力甚至擁有狀態(tài)監(jiān)測的防火墻來提供附加級別的保護，當(dāng)然它們的安裝過程很復(fù)雜。

那些整合了一些侵入探測功能的個人防火墻，對于沒有使用NAT路由器連接進因特網(wǎng)的個人計算機來說是非常理想的。他們也能被安裝在本地網(wǎng)絡(luò)的每一臺PC上、定位在通向外部的路由器上、運行在路由器和連接客戶PC機的網(wǎng)絡(luò)集線器或交換機之間的專用計算機上。一些這種類型的軟件將會探測來自秘密遠(yuǎn)程控制程序的出境通信，為預(yù)防性努力提供有價值的備份。最后，企業(yè)能夠接觸到的最重要的、敏感的數(shù)據(jù)是遠(yuǎn)程雇員可能會在他們的住處安裝防火墻。

注意到某些被普遍引用的安全威脅——寬帶連接和始終在線——實際上根本沒有威脅。如果你適當(dāng)?shù)嘏渲貌⑶倚扪a操作系統(tǒng)和文件共享應(yīng)用；對病毒、蠕蟲和它們可能安裝的欺詐性軟件保持警惕；用一個NAT路由器或者一個防火墻隔離你的網(wǎng)絡(luò)系統(tǒng)，那么你連接網(wǎng)絡(luò)的時間長短和你的連接速度對你的安全不會有影響。