主機防護

從理論上講 ,一旦主機連線到網路上，它就面臨著來自網路的安全威脅，這些威脅主要有：非授權訪問、信息泄漏或丟失、破壞數據完整性、拒絕服務攻擊和後門程式等。

主機防護的需求是顯而易見的。計算機和網路運轉的核心是數據，如果沒有數據，那么也就無所謂安全。數據的歸屬則是主機，當然這其中包括普通的個人電腦，伺服器以及一些大型的磁碟陣列。目前的病毒及攻擊威脅都是以獲取或者破壞數據為目的，主機是抗擊這些威脅的最後一道防線，不管是網路攻擊也好，傳統的外設傳播的攻擊也好，只要在主機上構築一道強大的防線就能達到以一抵十的效果。

目前的網路環境很複雜，安全問題眾多，病毒、木馬、蠕蟲已經成為我們耳熟能詳的名詞，從作業系統廠商到網路設備廠商在到專門的安全廠商無疑都將安全放在非常重要的位置。市場對安全的需求重大。這裡我們將通過網路攻擊，信息泄密以及系統本身的脆弱點三個方面來分析和論述主機安全的重要性以及主機防護系統的必要性。

在這個世界上，人類不斷研究和發展新的信息安全機制和工程實踐，為戰勝計算機網路安全威脅付出了艱巨的努力。似乎如果計算機攻擊手法不再翻新，關於信息安全的戰爭將很快結束。雖然，大多數地下組織研究的攻擊手法都是驚人的相似，無非就是蠕蟲、後門、rootkits、DoS和sniffer等。但這些手段都體現了它們驚人的威力。這幾類攻擊手段的新變種，與之前出現的相比，更加智慧型化，攻擊目標直指網際網路基礎協定和作業系統層次。從程式的控制程式到核心級，黑客的攻擊手法不斷升級翻新，向用戶的信息安全防範能力不斷發起挑戰。

在長期與信息安全專家的較量中，黑客對開發隱蔽的計算機網路攻擊技術更加得心應手。工具本身是不會危及系統安全的一壞事都是人幹的。信息安全專業人員也使用和入侵者同樣使用的掃描和監聽工具，對系統安全做例行公事般地審計。在惡意用戶使用前，那些能非法控制程式的新的滲透測試工具，也被安全人員用來測試系統的漏洞。但是，還有很多的工具有它完全黑暗的一面，比如，蠕蟲程式不斷發展和傳播，它只用來幹壞事反入侵檢測工具和很多專門用來破壞系統的安全性。

列舉一下目前的網路攻擊手段，包括服務拒絕攻擊、利用型攻擊、信息收集型攻擊、假訊息攻擊等。服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行為。利用型攻擊是一類試圖直接對你的機器進行控制的攻擊。信息收集型攻擊並不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括掃描技術、體系結構刺探、利用信息服務。假訊息攻擊用於攻擊目標配置不正確的訊息，主要包括高速快取污染、偽造電子郵件。

當我們在享受網路帶來的便利時，也經常會遇到一些網路安全方面的問題，像家庭地址、信用卡密碼、電子郵件地址等私人信息的泄露，輕則引來無數垃圾郵件，重則帶來財產損失。也許你的競爭對手此刻正在努力破解你的賬號……

計算機網路給人們提供的各種服務，最終體現在網路中所存儲的數據上。這些數據一方面為使用者提供各種信息，一方面也支撐著整個網路和系統的正常運轉。從安全的角度來說，存在專門針對網路和系統中的數據進行的竊取、篡改、假冒、抵賴等破壞行為，對網路和用戶自身都帶來巨大威脅。

數據竊取指的是數據在計算機或者其他設備中進行存儲、處理、傳送等過程中，被別人非法竊取的行為。數據竊取導致的損失可能是多方面的，例如個人隱私泄漏、金融損失、國家機密泄漏等。數據竊取的手段比較多，包括網路竊聽，黑客入侵，軟體傳送，電磁輻射等。

入侵檢測發展到現在已經從IDS更多地擔當起的責任。原因很簡單，只IDS具備檢測能力，如果可以的話,，戶要的是防止入侵的效果，而不想了解具體的入侵事件，對於普通的主機用戶來說這種需求更加明顯。所以在的基礎上還提供了主動的保護能力。監控連線埠掃描行為是大多數防火牆的主要功能之一，如果發現長時間的來自相似IP位址的連線埠掃描行為，就可能預示著有蠕蟲的攻擊。對於這一點，可以通過動態地阻斷和打開被長時間掃描的連線埠這種手段進行一定程度上的保護。作業系統提供的通用即插即服務功能可以幫助計算機發現和使用基於網路的硬體設備，它在提供了方便的硬體套用之外也帶來一些安全隱患。該服務主要具有兩個重要弱點，一個是緩衝區溢出錯誤隱患，另一個是UpnP服務無法對其自身搜尋最新設備使用信息的操作步驟加以充分限制。這些弱點致使黑客能夠取得被感染系統的完全控制並在此基礎上阻止主機提供有效的服務，或者使主機成為發動DoS攻擊的工具。

一個完善的主機安全系統需要從三方面來提供保護，分別是系統安全、檔案安全和網路安全。這樣劃分的意義是顯而易見的。網路安全保護主機的門戶，儘量避免惡意數據包進出主機網卡，系統安全保護作業系統，避免系統被破壞，檔案安全保護主機上的數據，避免數據被竊取或者銷毀。從這三個方面來保護主機就可以提供一個全面的保護環境。

按照網路安全技術與實際套用結合的緊密程度，可以把網路信息安全技術分為以下幾類通信安全、主機系統伺服器安全和各種套用的安全等。通信安全主要是防止數據在被傳輸過程中不被修改、竊取或偽造。這一部分的功能可以通過對數據實行各種加密技術來實現。相對來說主機安全就顯得更加重要伺服器上往往存放一單位或部門的關鍵信息。目前而言，對主機的安全保護主要依賴於防火牆、闖入發現系統和作業系統本身固有的安全特性。但是防火牆的最大缺點就是它的防外不防內的特點，而伺服器經常是對外提供服務，這樣實際上防火牆並不能從根本上解決主機安全問題。IDS是一種被動的防禦措施它並不能阻止任何非法行為。作業系統雖然提供了一些安全措施，但是其功能非常有限，並且經常存在各種漏洞，這隻有經驗豐富的系統管理員才能保證作業系統的安全。根據這種需要，可以結合防火牆技術、IDS技術、防病毒軟體建立一套適合實際需要的主機安全系統，就非常科學。實現系統安全需要兩方面的技術，一個是對註冊表的監控，另一個是對檔案的監控。

對於一台主機來說保護主機系統的正常運行固然很重要，然後保護的最終目的其實還是存放在主機上的數據，所以除了考慮系統安全之外，檔案安全也是不容忽視的一個重要環節。對於作業系統的重要檔案己經在前面的系統保護部分作了分析和列舉，僅僅是系統保護當然是不夠的，還要設計專門的檔案保護功能才能解決這個問題。

實現檔案安全需要檔案操作控制模組的支持，檔案操作控制模組是檔案保護模組和系統防護模組的支撐模組。檔案操作控制模組通過對系統所有檔案、目錄相關操作的截獲，並與檔案保護模組和系統防護模組傳送過來的規則進行比較，實現基於檔案或目錄名稱、操作類型等的匹配。對需要禁止的行為立即中斷其在作業系統中的進一步處理，實現對被保護目錄的隱藏、鎖定，和防範針對主機的惡意檔案操作的行為。

在主機的網路接口上所做的保護措施傳統的有防火牆和入侵檢測系統，功能相對比較固定，可擴展之處不多。主機防火牆系統主要提供訪問控制功能，各功能分別從不同的網路協定層次對主機系統網路資源進行保護，在此訪問控制功能包含四個主要方面：基於IP的主機網路訪問控制，基於應用程式路徑和名稱的主機應用程式網路訪問控制，基於URL的WEB廣告和ActiveX控制項、Java控制項、Cookie、Java script、VB script訪問控制，瀏覽痕跡清除，以及基於關鍵字的WEB瀏覽、郵件正文訪問和各種惡意代碼訪問等的控制。這四項功能無疑都需要一些網路包處理技術的支持。