中國互聯網絡信息中心調查發現，僅2010年上半年，就有59. 2%的網民在使用互聯網過程中遇到過病毒或木馬攻擊，30.9%的網民賬號或密碼被盔過?；ヂ摼W要從網絡娛樂走向網絡商務的深層次的應用與發展，網絡安全問題成為首要制約因素。

1.黑客與網絡攻擊目標

“黑客”是Hacker的音譯，原指專門研究、發現計算機和網站建設漏洞的計算機愛好者，對計算機和網絡的發展與完善曾經發揮過積極的作用?，F在，“黑客”一詞已被用來泛指那些專門利用計算機搞破壞或惡作劇的人。實際上，對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。

網絡攻擊或人侵是指利用系統安全漏洞、在沒有被授權的情況下非法進人他人系統(主機或網絡)的行為。進行網絡攻擊是一項復雜的、步驟性很強的工作。黑客發動網絡攻擊的整個過程一般可以分為三個階段:攻擊的準備階段、攻擊的實施階段和攻擊的善后處理階段，如圖6-30所示。
在攻擊的準備階段，黑客確定攻擊目標，了解目標的網絡結構，收集目標系統信息，分析、探測目標系統的安全漏洞或弱點。當黑客收集到目標系統足夠多的信息、探測到目標系統的安全弱點之后，將根據不同的網絡結構、不同的系統情況采取不同的手段發動攻擊。在成功侵人目標系統并獲得控制權之后，為了不被管理員發現進而長時間地保留和鞏固其對系統的控制權，黑客一般要清除系統日志等記錄并留下后門。然后，黑客竊取被侵人系統的信息或刪除系統中的資料，甚至可能利用該系統發起新的攻擊。

黑客們為了提高攻擊的成功率，一般只選擇特定的系統作為攻擊對象。這些系統一般具有安全漏洞，或者是維護措施不完善、缺乏良好的安全體系，包括路由器、數據庫、Web服務器、FTP服務器以及與協議相關的服務，如DNS等。黑客發動網絡攻擊的目的主要包括:竊聽、篡改、破壞或偽造網絡上傳輸的信息;破壞網絡性能，使網絡系統無法正常運行。

下面來看一個實例—互聯網上的攻擊引起了網絡安全恐懼。

2002年10月21日，黑客攻擊了互聯網的核心服務器。安全專家們一致認為這是一次精心準備的攻擊，對互聯網的命名系統非常關鍵的13臺根服務器充斥著大量的、黑客發出的消息，黑客們期望用流量徹底擊潰這些服務器。這次攻擊本質上是全球性的—因為這些根服務器分布在世界各地。

這些黑客不是針對一個特定的Web站點或者服務提供商，而是要攻擊互聯網本身。因為根服務器是運行域名和互聯網地址的全球性系統，它們負責將互聯網地址與用戶請求進行匹配。觀察家稱這次攻擊為有史以來最大的、最具目標性的攻擊。這次攻擊的目的是破壞全世界的互聯網，調查人員對此深信不疑.從這種意義上講，這次攻擊是不成功的。雖然13臺根服務器中9臺上的服務遭到了破壞，但是大多數互聯網用戶在持續一小時的攻擊期間，并沒有感覺到互聯網響應時間與正常情況有什么不同。攻擊者不能使互聯網停止運轉的事實，正是互聯網健壯性的證明。另外，很多網絡安全專家認為，像這種規模的分布式攻擊，如果持續時間再長一點，可能會造成災難性后果。如果這次攻擊繼續下去，互聯網服務可能會拒絕幾百萬用戶。

試圖擊潰服務器是很常見的事情。黑客們經常通過發送使服務器負載過多的無用信息，設法破壞公司、學校和政府用來維護Web站點的服務器。因此，政府和公司的安全專家晝夜不停地檢測和阻止黑客，盡力在造成破壞之前阻止他們。盡管有安全防護，但是有時攻擊非常激烈，甚至擊潰諸如amazon. com、 Yahoo!和eBay等著名的Web站點。
除了黑客的攻擊之外，計算機病毒也是威脅網絡和計算機安全的一個重要因素。

計算機病毒是一種能自我復制的程序，它會千擾計算機的正常運行或破壞計算機的有用數據。當計算機接人網絡后，計算機病毒的危害性就更大，必須嚴加防范。目前通行的做法是以防為主。為做好防范工作，應配備必需的防、殺毒系統。

2.安全措施

為了保證網絡和信息的安全，必須采取必要的安全措施和安全技術。

(1)病毒防護軟件

雖然計算機病毒的出現還不到30年，但是已知的計算機病毒已有幾百萬種，并且還在不斷地增加。一些病毒具有特殊名稱，如紅色代碼、梅麗莎、圣誕病毒、熊貓燒香等。為了保護系統不受病毒感染，應當購買病毒防護軟件，通過軟件掃描計算機內存和磁盤以檢測出病毒程序。兩種主要的病毒檢測方法是掃描和攔截。

掃描程序對內存進行搜索以檢測病毒.大多數程序檢測到病毒時會警告用戶，然后根據用戶指示破壞病毒并盡量修復數據。檢測程序在后臺工作，監督處理計算機的各項活動并在病毒試圖感染系統時通知用戶。

(2)數字簽名

數字簽名依靠一種數學編碼方案，用來驗證消息發送者或者文檔簽名人的身份。在電子商務中，完善的數字簽名具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真偽的功能。

國際和國內商業電子簽名法(Electronic Signatures in Global and National Commerce Act)，通常稱為電子簽名法案(E-Signature Bill)，于2000年生效，它規定數字簽名與在紙上用墨水寫的傳統簽名具有同樣的法律效力。該法律沒有規定具體的數字簽名技術，因此IT廠商和服務提供商正在研究各種方法來驗證一個人的合法身份，包括使用個人智能卡、PDA加密設備和生物檢測驗證法。該法律只適用于美國的電子事務，它鼓勵公司制定使用電子簽名的規程，以加快日常商業活動，減少郵寄和處理紙質合同以及其他商務和法律文件的成本。

(3)加密

如果所關心的問題是保護數據不被攔截和非法使用，最有效的安全措施是對數據進行加密。加密技術運用一種數學算法將數據轉變為一種稱為密文的加密形式，密鑰是其中的重要元素。密鑰的復雜度是確定密文安全程度的一個因素。

廣泛使用的三種加密方法是公鑰基礎設施、PGP和虛擬專用網。

• 公鑰基礎設施((PKI)使用相同的算法創建兩個密鑰:公鑰和私鑰。認證機構頒發和管理用消息加密的安全證書和公鑰。私鑰只提供給請求者，并不與任何人分享。相反，公鑰放在一個各方都能搜索的目錄中.因此，希望傳輸加密消息的發送者搜索數字證書目錄以找到接收者的公鑰，并用該公鑰對信息進行加密。接收者收到加密的消息時，用私鑰進行解密。
• PGP(Pretty Good Privacy)是一款基于RSA公鑰加密體系的郵件加密軟件?？梢杂盟鼘︵]件加密以防止非授權者閱讀，它還能對郵件加上數字簽名從而使收信人可以確認郵件的發送者，并能確信郵件沒有被篡改。它可以提供一種安全的通信方式，而事先并不需要任何保密的渠道用來傳遞密匙。
• 虛擬專用網(VPN)是一種使用公共電信基礎設施提供遠程的個人或客戶計算機與企業網絡間安全通信的方法。VPN通過共享的公共基礎設施起作用，但卻通過安全規程和隧道協議保持隱私。這些協議通過一個隧道發送數據，在發送端對數據進行加密，在接收端對它進行解密，并且只有經過正確加密的數據才能進人這個隧道。

(4)防火墻

防火墻(Firewall)被認為是經由數據通信通道(無論是有線的還是無線的)進行訪問的必不可少的周邊防御體系。防火墻通常是位于網絡的網關服務器上的一個專用軟件，旨在保護專用網絡的用戶。如果防火墻確定其他網絡上的用戶發來的消息可能包含有害的程序或數據，則阻止這些消息進人。一些重要的信息系統，如涉及國家和國防機密的系統，通常還要設置硬件防火墻。

(5)代理服務器

代理服務器通常用來確?；ヂ摼W應用的安全性。代理服務器充當用戶計算機和互聯網間的媒介，將一個內部網絡與外部網絡分開。它通常與防火墻一起使用，并且往往包含一塊高速緩沖存儲器，用來存儲以前下載的Web頁。