當網絡連接系統中有數以千計的弱點時，攻擊基本類型的名單卻很短。這種情況能夠幫助我們制定易于管理的保護系統安全計劃。攻擊能造成下面列表中糟糕的情況：數據丟失、機密泄漏、拒絕服務（Denial of Service， DoS）等。

數據丟失包括數據完整性損失和格式化磁盤驅動器以及文件刪除。機密泄漏包括令人尷尬或危及安全信息的曝光和機密被攔截。假冒采用讓你系統扮演“傀儡”的形式，攻擊其他用戶以及用你的信用卡在線購物。服務拒絕可能是簡單占用你的計算機，也可能包括使連接因特網的通路過載。

造成這些威脅的根本原因是其他人獲得了在你系統中運行軟件的能力。攻擊者達到這個目的方法是通過病毒或蠕蟲。蠕蟲與病毒的區別在于，他們在網絡中傳播時并不寄生在一個可運行主文件上。最通常的媒介物是電子郵件的附件和打開的共享文件。你可以通過關閉蠕蟲正在運行的計算機來停止一個純粹的蠕蟲病毒，但是最近的一些蠕蟲，如Code Red 和Nimda ，包括濾過性成分，它允許破壞性的代碼在經歷關機操作之后重新開始運行。在你系統中運行的蠕蟲能完成病毒所能完成的任何有害操作。

第三種危險的軟件是特洛伊木馬，它或者將自身偽裝成某種有用的東西 一個網絡登錄窗口，或者偽裝成某種有趣的東西 在線游戲或其他娛樂形式。但軟件實際上捕獲了你的密碼以便以后再進入，或者安裝了其它的允許攻擊者重新連接你計算機并獲得全部遠程控制權的軟件。一些病毒和蠕蟲在感染計算機時在計算機中安裝了特洛伊木馬。

應對惡意程序

最新反病毒軟件能夠防御經反病毒軟件供應商確認和處理過的病毒、蠕蟲和特洛伊木馬程序。如果反病毒開發人員在新的惡意軟件大范圍傳播之前就提供出解決方案，被感染的風險就會降到最小。但是，傳播得非常迅速的病毒或蠕蟲可能在你得到能夠防范最新威脅的更新的反病毒版本之前就已經到來了。在那種情況下，你的安全設置和你用戶最終的常識就成了最后的防線。

以前，微軟公司Outlook Express軟件默認設置允許可執行電子郵件附件在信件被打開后自動運行。極具破壞性的ILOVEYOU病毒或 VBS.LoveLetter病毒證明了這些默認設置的脆弱。早期版本的Microsoft Word默認設置可自動運行宏，這個漏洞在早期的宏病毒大范圍傳播后才被修補好。

瀏覽器的設置也能幫助減少感染病毒的風險?；谔峁┛蓤绦形募木W站和可執行文件是否有簽名和經過可靠的權威鑒定，Internet Explorer有一系列選項來處理不同的可執行文件。Windows XP、Windows 2000、MacOS X以及Linux提供管理選項，這些選項能夠防止安裝和執行不明的或被禁止的軟件。阻止一個熟悉的用戶能夠安裝任意的可執行代碼和擊敗任何的保護方法，對于早期版本的蘋果操作系統和非NT的Windows操作系統，可能不能用這種方法進行配置。

如果操作系統不能被鎖定和其它保護機制失敗，用戶常識就成了最后的防線。用戶和他們的室友以及家庭成員需要了解安裝未知來源的軟件、下載文件雙擊電子郵件附件、使保護軟件失效以及更改系統的配置到達不穩定狀態的危險性。企業應確保其家庭辦公和移動辦公用戶移植到具有緊密保護措施選項的操作系統中去。這是因為全部人員，包括老年人、小孩以及僅僅對計算機安全不感興趣的人，他們將永遠不能對如何保護自己有充分的了解。

病毒和蠕蟲是由他們“可愛”的發明者發布到網絡上的。他們被設計成靠自身傳播，不需要它們的創作者進一步活動的病毒工作。病毒通過英特網闖入對于安全來說是一種相當可怕的威脅。在這些攻擊中，攻擊者的目標是你的系統，而不僅僅是在你的電腦中發布一個有破壞性的軟件。這種區別就如同某些人把你的門把手弄的嘩嘩響或者使用螺釘切割機切割你的掛鎖，而某些人隨意地放置地雷或者并沒有特別目標地在彈簧墊子上狂歡。

入侵者可能尋找隨意IP目標的弱點，或者為了合適的目標可能掃描特定范圍的IP地址段。使用whois軟件來查找@Home公司的電纜調制解調器用戶或DSL用戶的地址是不用腦子的人。在這些黑客流行的網絡上，你的系統可能每天都被掃描和Ping很多次。雖然這些初始的探查不會造成傷害。
好在外部闖入只有運行不安全服務器程序他的目標才能夠成功。黑客們能夠嘗試他們所有的工具對抗你的系統，但是如果你沒有服務器程序等候應答進入的TCP或UDP請求，或者服務器程序（或者被成功的攻擊后留下的殘余物）既不傳送文件、密碼、配置設置或其他需要保護的數據，也不允許它本身被作為攻擊的通道， 就沒有什么好擔心的了。

但是家庭用戶有很好的理由運行服務器程序，并且一個程序是不是服務器程序并不總是很明顯。明顯的服務器類型是端對端文件共享。一個單獨的家庭PC或者在一個家庭網絡中的幾臺PC能夠被配置為通過因特網共享文件。如果你對于敏感的文件使用了文件共享但卻沒有用一個強大的密碼保護它們，那么，不用任何種類的黑客技術就能夠對你的文件進行閱讀、復制或者刪除。

一些對Windows系統安全過于謹慎的人建議使文件共享失效。其實，即使文件共享被打開，也有四個單獨的保護層。首先，如果文件共享沒有和TCP/IP協議綁定，那么在因特網上沒有人可以看見你的目錄或者能夠辨別正在進行文件共享。如果你僅僅需要在本地網絡上共享文件，NetBEUI或IPX/ SPX就可以很好地完成這個工作并且消除了潛在的公開文件共享的誘惑。其次，你必須主動地指出將要共享的驅動器、目錄或者文件。沒有明確標注為共享的條目將不會被其他的客戶看見，雖然可以通過從最基礎的級別選擇來達到完全共享，但這是失策的方法。第三，設定一個ID的范圍將會使不知道這個范圍的入侵者無法看見共享資源。最后，共享資源能夠（和應該）設置密碼。

在微軟網絡上進行文件和打印機共享會將Windows 9x系統轉變為一個文件服務器。假設安裝了更新程序并使用強大的密碼選項，即使運行這個服務器程序也是相當安全的。與個人版本的Windows操作系統一起提供的唯一的、明確的服務器程序是個人網絡服務器（Personal Web Server）。顯然這個程序和因特網信息服務器（InternetInformation Server， IIS）、NT/2000網絡服務器一樣有足夠的密碼，一些威脅IIS的行為對于個人網絡服務器也需要進行相應的修補。

最危險的偽裝服務器程序是遠程控制應用程序。PCANYWHERE、CARBON CCOPY、TIMBUKTU和LAPLINK是一些比較有名的商業遠程控制程序包。BACK ORIFICE、SUBSEVEN和NETBUS是比較有名的秘密遠程控制程序。典型的特洛伊木馬程序會安裝秘密程序，因為它們給遠程入侵者完全的系統控制權控制權。商業產品能用密碼進行保護，而且這些系統的能力非常強大，因為他們有很強的動機生成強大的密碼。

聊天和即時通訊（IM）程序在家庭計算機上執行服務器程序。因特網上即時通訊的先驅者——Internet Relay Chat （IRC）是許多破壞性行為的發源地。它既作為小學生們的寫作工具，又作為有豐富經驗的入侵者觀察鄰居的觀察孔。Napster和它的分散性的產物本質上是受到或多或少操作領域限制的文件服務器。Gnutella的派生產品能夠被配置為幾乎象Windows文件和打印共享那樣隨意地共享文件。雖然我不知道在這些領域中影響用戶行為的細節，但我猜想密不透風的安全性對于這些不是特別明顯的服務器程序的開發者來說，很少有高優先級。

雖然在OSI的mindset無線通路點不被作為一個服務器計算，畢竟這場戰爭對公司的數據造成了巨大的威脅，就如同安裝SubSeven軟件的黑客一樣。雇員安裝802.11網絡能夠避免在他們的護壁板中鉆洞，但是他們可能會使網絡和存取的公司數據被任何注意尋找這些的人看見。

闖入對策

防范入侵者的首要對策是擁有一個修補得非常好的操作系統。在操作系統廠商發布他們的補丁之前，某一種類的攻擊的確有用是很罕見的。下一個預防性的步驟是要了解關于任何運行在你計算機上的明確或隱藏的服務器程序的配置選項含義，并且用精心選擇的密碼將它們配置得盡可能安全。
對于希望在多臺PC機上共享因特網入口的寬帶用戶來說，提高安全性級別的方法是安裝網絡地址轉換（Network Address Translation， NAT）路由器。通過對外部世界只顯示一個IP地址并對那個地址進行映射，并且在路由器內部給一個不能路由的地址配置一個特殊的端口，這樣對于基于因特網的攻擊者來說，他就無法看見內部的機器。這些 NAT 路由器經常帶有過濾能力甚至擁有狀態監測的防火墻來提供附加級別的保護，當然它們的安裝過程很復雜。

那些整合了一些侵入探測功能的個人防火墻，對于沒有使用NAT路由器連接進因特網的個人計算機來說是非常理想的。他們也能被安裝在本地網絡的每一臺PC上、定位在通向外部的路由器上、運行在路由器和連接客戶PC機的網絡集線器或交換機之間的專用計算機上。一些這種類型的軟件將會探測來自秘密遠程控制程序的出境通信，為預防性努力提供有價值的備份。最后，企業能夠接觸到的最重要的、敏感的數據是遠程雇員可能會在他們的住處安裝防火墻。

注意到某些被普遍引用的安全威脅——寬帶連接和始終在線——實際上根本沒有威脅。如果你適當地配置并且修補操作系統和文件共享應用；對病毒、蠕蟲和它們可能安裝的欺詐性軟件保持警惕；用一個NAT路由器或者一個防火墻隔離你的網絡系統，那么你連接網絡的時間長短和你的連接速度對你的安全不會有影響。