DDoS是病毒还是攻击？对电脑影响大吗？需要怎么样处理？

纵观网络安全攻击的各种方式方法，其中DDoS类的攻击会给你的网络系统造成更大的危害。因此，了解DDoS，了解它的工作原理及防范措施，是一个计算机网络安全技术人员应必修的内容之一。

一、DDoS的概念

要想理解DDoS的概念，我们就必须先介绍一下DoS（拒绝服务），DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS攻击的原理如图1所示。

我们可以看出DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。 攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

二、DDoS攻击使用的常用工具

DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。下面我们来分析一下这些常用的黑客程序。

1、Trinoo

Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：

攻击者主机到主控端主机：27665/TCP

主控端主机到代理端主机：27444/UDP

代理端主机到主服务器主机：31335/UDP

2、TFN

TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。

3、TFN2K

TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。

4、Stacheldraht

Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。

三、DDoS的监测

现在网上采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失。

检测DDoS攻击的主要方法有以下几种：

1、根据异常情况分析

当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。

2、使用DDoS检测工具

当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。

四、DDoS攻击的防御策略

由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种： 1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。

4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。

5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。

6、当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端和代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

链安安全应急响应服务做什么的？有哪些服务内容？

1．第一层: 实体安全

实体安全是信息系统安全的基础。依据实体安全国家标准，将实施过程确定为以下检测和优化项目：机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制和防泄露、动力、电源/空调、灾难预防和恢复等，检测优化实施过程按照国家相关标准和公安部的实体安全标准。

2．第二层: 平台安全

平台安全泛指操作系统和通用基础服务安全，主要用于防范黑客攻击手段。目前市场上大多数安全产品均限于解决平台安全，CNNS以信息安全评估准则为依据，确定平台安全实施过程包括以下内容：操作系统漏洞检测和修复; Unix系统、视窗系统系统、网络协议、网络基础设施漏洞检测和修复; 路由器、交换机、防火墙、通用基础应用程式漏洞检测和修复; 数据库、Web/Ftp/Mail/DNS等其他各种系统守护进程、网络安全产品部署。平台安全实施需要用到市场上常见的网络安全产品，主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品、整体网络系统平台安全综合测试/模拟入侵和安全优化。

3．第三层: 数据安全

为防止数据丢失、崩溃和被非法访问，CNNS以用户需求和数据安全实际威胁为依据，为保障数据安全提供如下实施内容：介质和载体安全保护、数据访问控制、系统数据访问控制检查、标识和鉴别、数据完整性、数据可用性、数据监视和审计、数据存储和备份安全。

4．第四层: 通信安全

为防止系统之间通信的安全脆弱性威胁，CNNS以网络通信面临的实际威胁为依据，为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试和优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。

5．第五层: 应用安全

应用安全可保障相关业务在计算机网络系统上安全运行，他的脆弱性可能给信息化系统带来致命威胁。CNNS以业务运行实际面临的威胁为依据，为应用安全提供的评估措施有：业务软件的程式安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份和恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。

测试实施后，可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。

6． 第六层: 运行安全

运行安全可保障系统的稳定性，较长时间内将网络系统的安全控制在一定范围内。CNNS为运行安全提供的实施措施有：应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制和预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务，包含在网络安全系统工程的售后服务内。

7．第七层: 管理安全

管理安全对以上各个层次的安全性提供管理机制，以网络系统的特点、实际条件和管理需求为依据，利用各种安全管理机制，为用户综合控制风险、降低损失和消耗，促进安全生产效益。CNNS为管理安全设置的机制有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文件管理、数据管理、操作管理、运行管理、机房管理。

通过管理安全的实施，为以上各个方面建立安全策略，形成安全制度，并通过培训保障各项管理制度落到实处。

县区级税务 是否需要制定网络安全应急预案吗

一、总则

（一）基本原则

1、坚持预防为主

2、提高快速反应能力

3、加强安全监管

4、责任到人、制度保障

二、应急响应流程

（一）事件分析

（二）事件处理

事件处理主要包括以下内容：

1、分析是否存在针对该事件的特定系统预案，如果存在则启动特定系统应急预案，如果涉及多个特定系统预案，应同时启动所有涉及的特定系统预案。

2、分析是否存在针对该事件的专题预案，如果存在则启动专题预案，如果事件涉及多个专题预案，应同时启动所有涉及的专题预案。

3、如果没有针对该事件的应急预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行；

（三）结束响应

系统恢复运行后，对事件造成的损失、事件处理流程、应急预案进行评估，对响应流程、预案提出修改意见，撰写事件处理报告。并根据《税务系统重大信息安全事件报告制度》要求，确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报上级机关。

三、安全事件应急处置

（一）蠕虫病毒感染

（二）黑客攻击

（三）网络通信中断

（四）电力中断

（五）机房漏水

（六）系统故障

（七）主机故障

四、演练及维护

为保证应急行动的能力，应每年至少组织一次应急行动演练，以提高处理应急事件的能力，检验物资器材的完好情况。

应急响应演练按如下步骤进行：

1）确定应急响应演练的目标和应急响应演练的范围；

2）制定应急响应演练的方案；

3）调配应急响应演练所需的各项资源，并协调应急响应演练过程中涉及的部门和单位；

4）组织并监督应急响应相关人员进行应急演练；

5）总结经验，根据演练结果对应急预案进行更新，并对本单位的应急工作进行整改。

在应急响应演练结束之后，应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题提出修改建议。组织人员对修改意见进行评估，修改后的预案应经评估通过后，经批准后发布实施。

在上级机关预案或相关的法律标准修改后，本预案应进行调整与其保持一致。

五、保障措施

（一）人员保障

（二）设备保障

（三）技术资料保障

（四）后勤保障

网站攻击如何处理

大家众所周知，随着互联网的高速发展，然而国内的服务器已经无法满足客户的需求。面临着灰色产品的蓬勃发展。为了逃避国内的一些打击。选择海外机房才是日后的王道！

如何选购合适的抗攻击服务器，这是很多站长都比较迷茫的一个问题，下面为您详细解说一下具体的选购方法：

1.机房总硬防多少，单台提供多大防护是衡量抗攻击效果的一个重要因素.

机房总硬防的大小，决定着机房防御能力的强弱，在租用海外服务器的时候。首先ping一下，如果能ping通 80%的服务器抗攻击能力不行。这个只是一些经验，不代表ping不同就防护高！最后在通过DDOS压力测试。测试一下。真金不怕火炼。测试是很有必要的！

2.如果超过防护能力，机房的处理办法是什么，这个是最重要的因素.

国内客户，动辄几十G流量攻击。这样的攻击，不论在哪个机房，都会受到影响的。所以，在攻击超过防火墙的防御能力之后，我们就需要了解机房的处理方式了。一般的美国机房，遇到这种情况，都是封IP，或者直接拔线关机，更甚者直接没收服务器。所以；在租用服务器的时候，一定要选择被攻击不关机不拔线，这样的话，即使超过防御能力，也会在攻击停止的第一时间恢复正常。当然，如何去知道机房不拔线。前面说到的测试就可以来证明！

3.机器的价格很重要，不能一味求低，理性看待服务器价格.

硬件防火墙造价非常昂贵，而且，在运行防护的时候，都是要消耗大量的带宽和流量资源，所以，一般防御能力较强的服务器，价格方面都会比没有硬防的服务器要高一些。这也就是一分价钱一分货的道理。

最好选择租用一些集群抗DDOS防御体系的机房。

举个例子，10G攻击，如果单独攻击一台服务器的话，那么这台服务器死掉的可能性在90%以上，但是如果它攻击的是10台服务器呢?平均一下每台承受1G，这样一来死掉的可能性就不是那么大了，进一步说，如果是20台服务器呢？一台服务器只有一个点，多台服务器集群，就能实现多点构成的一个防御网面，这样一来，防御能力就能大大提升，攻击所带来的影响也会大大降低。

中国银行的网银出现被盗的问题，这应该如何解决或应该注意什么

般来说，人们担心的网上银行安全问题主要是：

1. 银行交易系统被非法入侵。

2. 信息通过网络传输时被窃取或篡改。

3. 交易双方的身份识别；账户被他人盗用。

从银行的角度来看，开展网上银行业务将承担比客户更多的风险。因此，我国已开通“网上银行”业务的招商银行、建设银行、中国银行等，都建立了一套严密的安全体系，包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等，以保证“网上银行”的安全运行。

银行交易系统的安全性

“网上银行”系统是银行业务服务的延伸，客户可以通过互联网方便地使用商业银行核心业务服务，完成各种非现金交易。但另一方面，互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。

为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施：

1. 设立防火墙，隔离相关网络。

一般采用多重防火墙方案。其作用为：

（1） 分隔互联网与交易服务器，防止互联网用户的非法入侵。

（2） 用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。

2. 高安全级的Web应用服务器

服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

3. 24小时实时安全监控

例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。

身份识别和CA认证�

网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。

在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。

网络通讯的安全性

由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。

SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。目前，建设银行等已经采用有效密钥长度128位的高强度加密。

客户的安全意识�

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识普遍较弱：不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。因此一些银行规定：客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付，以此保障客户的资金安全。

另一种情况是，客户在公用的计算机上使用网上银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础，从一开始就受到各家银行的极大重视，都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的，越安全就意味着申请手续越烦琐，使用操作越复杂，影响了方便性，使客户使用起来感到困难。因此，必须在安全性和方便性上进行权衡。到目前为止，国内网上银行交易额已达数千亿元，银行方还未出现过安全问题，只有个别客户由于保密意识不强而造成资金损失。

总 结

据有关资料显示，现在美国有1500多万户家庭使用“网上银行”服务，“网上银行”业务量占银行总业务量的10%，到2005年，这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%，就此点讲我国网上银行业务的发展前景极为广阔，我们有理由相信，随着国民金融意识的增强，国家规范网上行为的法律法规的出台，将会有更好的网上银行使用环境，能为客户提供“3A服务”（任何时间、任何地点、任何方式）的“网上银行”一定会赢得用户的青睐。

自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时，约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003

年，东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说，到2004年底，我国网络银行个人客户已达到1758万户，企业用户已达60万户，网络银行交易量达到了49万亿元。

但是，正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时，因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑，不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识？问题是出在银行，还是在消费者自身缺乏防范意识？安全问题确实已成为网络银行发展过程中的一个聚焦。

形形色色的网银安全问题

网络银行，又称网上银行或在线银行，是指银行以自己的计算机系统为主体，以单位和个人的计算机为入网操作终端，借助互联网技术，通过网络向客户提供银行服务的虚拟银行柜台。简单地说，网络银行就是互联网上的虚拟银行柜台，它把传统银行的业务“搬到”网上，在网络上实现银行的业务操作。

在西方发达国家，网络银行业务一般分为三类，即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务，前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等；后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。

网络银行的特点是客户只要拥有帐号和密码，便能在世界各地通过互联网，进入网络银行处理交易。与传统银行业务相比，网络银行的优势体现在，不仅能够大大降低银行的经营成本，还有利于扩大客户群，交叉销售产品，吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源，节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点，打破了传统业务受地域和时间的限制，能在任何时候、任何地方为客户提供金融服务；并且在整合各类交叉销售产品信息的基础上，实现金融创新，为客户提供更具个性化的服务。

网络银行发展的模式有两种，一是完全依赖于互联网的无形的电子银行，也叫“虚拟银行”；另一种是在现有的传统银行的基础上，利用互联网开展传统的银行业务交易服务。因此，事实上，我国还没有出现真正意义上的网络银行，也就是“虚拟银行”，国内现在的网络银行基本都属于第二种模式。

对于银行来讲，历来是“信用第一”。网络银行既然是互联网的产物，互联网所带来的一切安全隐患，自然会波及网络银行，影响其信用。因此，网络银行的安全问题不仅是客户最担心的事情，也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外，利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。

假冒银行网站具有很强的隐蔽性，其域名通常和真实银行的域名相差一个字母或数字，主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接，收到此类邮件的用户一旦点击这个链接，紧接着页面会提示用户继续输入自己的帐户信息；如果用户填写了此类信息，这些信息将最终落入诈骗者手中。而网上交易陷阱则是，一些不知名的购物网站通常会打出超低价商品等信息，待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题，各家银行的反映如何？它们都采取了哪些相应的措施？

银行篇：该出手时就出手

8月份，国内14家商业银行与中国金融认证中心（CFCA）联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动，为广大消费者提供了一次了解网上银行和信息安全知识的机会。

在这14家银行中，中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段，工行建立了一整套严密的网上银行技术与制度体系，确保了网上银行安全的运行。

中国工商银行电子银行部副处长尚阳向记者介绍说，利用网上银行进行欺诈行为，骗取客户资金，目前主要有四种类型：一是不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级等名义诱骗不知情的用户点击进入假网站，并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天，以网友的身份低价兜售网络游戏装备、数字卡等商品，诱骗用户登录犯罪嫌疑人提供的假网站地址，输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯，有可能通过这些程序、邮件等将木马病毒置入客户的计算机内，一旦客户利用这种“中毒”的计算机登录网上银行，客户的账号和密码就有可能被不法分子窃取。

例如，人们在网吧等公共电脑上网时，网吧电脑内有可能预先埋伏木马程序，账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理，通过试探等方式可能猜测出密码。所以，为了保证信息和资金的安全，我们不仅需要具备辨识网络诈骗的能力，更需要养成良好的网上银行使用习惯。当然，如果用户申请了客户证书，就可以有效防范目前常见的各种网络犯罪，确保用户资金安全无忧。

工商银行网上银行系统的安全保障是多层的，包括网上银行技术安全和业务安全，二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上，网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠，交易安全确保客户通过网上银行进行交易的资金安全。其中，网络安全涉及系统安全、网络运行安全等。

系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析；网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性，采取了一系列措施，包括：在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络（应用服务器）之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品，设置不同的安全策略，使黑客即使攻破第一道防火墙，也无法轻易攻破第二道防火墙而进入内部网络，等等。

在确保网络安全的同时，工行网上银行还采取了一系列确保网上交易安全的措施，包括采用中国金融认证中心（CFCA）提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同，工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行，首先要验证客户的账号（或自己设立的登录ID）和登录密码，对外支付还必须验证支付密码。

此外，通过增加密码难度（必须是6—30位数字与字母的组合）、设置虚拟“e”卡（专门用于网上购物）和每日支付最高限额等一系列方式，最大限度地保证客户安全使用网上银行。对于申请了证书的客户，工行USBKey客户证书是一个外形类似U盘的智能芯片，是网上银行的“身份证”和“安全钥匙”，也是目前安全级别最高的一种安全措施。客户申请了这个证书后，网上所有涉及资金对外转移的操作，都必须通过这个客户证书才能完成，而此证书，仅客户自己保管和使用。换句话说，账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施，只要其中一样没有丢失或泄露，或即使丢失，只要密码和证书没有被同一个人获得，就不存在资金安全问题。

除了技术安全外，工行在业务安全层面上，制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统，都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度，逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时，还需要上一级柜员的实时审核，防止单人作案。

那么，用户应该如何安全使用网上银行？尚阳副处长说，对于有了客户证书的客户来说，只要密码和证书没有被同一个人获得，就能确保客户资金的安全。而没有申请客户证书的客户，只要保管好自己的账号和密码以及支付密码，就是非常安全的。总而言之，有几点需要提醒人们：1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所（如网吧、公共图书馆等）使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书，就可以有效防范诸如假网站、“木马”病毒等网络诈骗；换句话说，即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息，但有了证书，照样可以安心使用网上银行。

网络安全处理过程？

网络安全应急响应是十分重要的，在网络安全事件层出不穷、事件危害损失巨大的时代，应对短时间内冒出的网络安全事件，根据应急响应组织事先对各自可能情况的准备演练，在网络安全事件发生后，尽可能快速、高效的跟踪、处置与防范，确保网络信息安全。就目前的网络安全应急监测体系来说，其应急处理工作可分为以下几个流程：

1、准备工作

此阶段以预防为主，在事件真正发生前为应急响应做好准备。主要包括以下几项内容：制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势的合理防御措施；制定预警与报警的方式流程，建立一组尽可能高效的事件处理程序；建立备份的体系和流程，按照相关网络安全政策配置安全设备和软件；建立一个支持事件响应活动的基础设施，获得处理问题必备的资源和人员，进行相关的安全培训，可以进行应急响应事件处理的预演方案。

2、事件监测

识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵，需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数据和类型，通知什么人。主要包括以下几种处理方法：

布局入侵检测设备、全局预警系统，确定网络异常情况；

预估事件的范围和影响的严重程度，来决定启动相应的应急响应的方案；

事件的风险危害有多大，涉及到多少网络，影响了多少主机，情况危急程度；

确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源；

攻击者利用的漏洞传播的范围有多大，通过汇总，确定是否发生了全网的大规模入侵事件；

3、抑制处置

在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源并彻底根除；然后就该着手系统恢复，把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据；

确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务；

通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中断；

清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

4、应急场景

网络攻击事件：

安全扫描攻击：黑客利用扫描器对目标进行漏洞探测，并在发现漏洞后进一步利用漏洞进行攻击；

暴力破解攻击：对目标系统账号密码进行暴力破解，获取后台管理员权限；

系统漏洞攻击：利用操作系统、应用系统中存在漏洞进行攻击；

WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击；

拒绝服务攻击：通过大流量DDOS或者CC攻击目标，使目标服务器无法提供正常服务；

信息破坏事件：

系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等等；

数据库内容篡改：业务数据遭到恶意篡改，引起业务异常和损失；

网站内容篡改事件：网站页面内容被黑客恶意篡改；

信息数据泄露事件：服务器数据、会员账号遭到窃取并泄露.