常見的網路防禦手段的常用方法

⑴ 計算機安全知識：常用的防禦攻擊措施

一、計算機網路攻擊的常見手法

互聯網發展至今，除了它表面的繁榮外，也出現了一些不良現象，其中黑客攻擊是最令廣大網民頭痛的事情，它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範 措施 。

(一)利用網路系統漏洞進行攻擊

許多網路系統都存在著這樣那樣的漏洞，這些漏洞有可能是系統本身所有的，如WindowsNT、UNIX等都有數量不等的漏洞，也有可能是由於 網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。

對於系統本身的漏洞，可以安裝軟體補丁;另外網管也需要仔細工作，盡量避免因疏忽而使他人有機可乘。

(二)通過電子郵件進行攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃 圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對於正常的工作反映緩慢，甚至癱瘓， 這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。

對於遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟體來解決，其中常見的有SpamEater、Spamkiller等，Outlook等收信軟體同樣也 能達到此目的。

(三)解密攻擊

在互聯網上，使用密碼是最常見並且最重要的安全保護 方法 ，用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人，只要有密碼，系統就會認為你是經過授權的正常用戶，因此，取得密碼也是黑客進行攻擊的一重要手法。取得密碼也還有好幾種方法，一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到伺服器端，而黑客就能在兩端之間進行數據監聽。但一般系統在傳送密碼時都進行了加密處理，即黑客所得到的數據中不會存在明文的密碼，這給黑客進行解除又提了一道難題。這種手法一般運用於區域網，一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼，但這項工作十分地費時，不過如果用戶的密碼設置得比較簡單，如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。

為了防止受到這種攻擊的危害，用戶在進行密碼設置時一定要將其設置得復雜，也可使用多層密碼，或者變換思路使用中文密碼，並且不要以自己的生日和電話甚至用戶名作為密碼，因為一些密碼解除軟體可以讓解除者輸入與被解除用戶相關的信息，如生日等，然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼，這樣使其被解除的可能性又下降了不少。

(四)後門軟體攻擊

後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。這些後門軟體分為伺服器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好伺服器端程序的電腦，這些伺服器端程序都比較小，一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時，後門軟體的伺服器端就安裝完成了，而且大部分後門軟體的重生能力比較強，給用戶進行清除造成一定的麻煩。

當在網上下載數據時，一定要在其運行之前進行病毒掃描，並使用一定的反編譯軟體，查看來源數據是否有其他可疑的應用程序，從而杜絕這些後門軟體。

(五)拒絕服務攻擊

互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包，幾乎佔取該伺服器所有的網路寬頻，從而使其無法對正常的服務請求進行處理，而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件，而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。

對於個人上網用戶而言，也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作，所以大家在上網時一定要安裝好防火牆軟體，同時也可以安裝一些可以隱藏IP地址的程序，怎樣能大大降低受到攻擊的可能性。

二、計算機網路安全的防火牆技術

計算機網路安全是指利用網路管理控制和技術措施，保證在一個網路環境里，信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的，就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。

(一)防火牆的含義

所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。

⑵ 為了防禦網路監聽最常用的方法是

信息加密。

信息加密技術是利用數學或物理手段，對電子信息在傳輸過程中和存儲體內進行保護，以防止泄漏的技術。為防止破密，加密軟體還常採用硬體加密和加密軟盤。一些軟體商品常帶有一種小的硬卡，這就是硬體加密措施。在軟盤上用激光穿孔，使軟體的存儲區有不為人所知的局部存壞，就可以防止非法復制。

(2)常見的網路防禦手段的常用方法擴展閱讀

網路防禦主要是用於防範網路攻擊，為了應對不斷更新的網路攻擊手段，防禦技術也在從被動防護向主動防禦發展。常見的具體網路防禦技術有信息加密、訪問控制、防火牆、入侵防禦、惡意代碼防範、網路安全審計等。

網路安全的核心建立在密碼學理論和技術基礎之上，密碼技術包括密碼演算法設計、密碼分析、安全協議、身份認證、數字簽名和密鑰管理等。網路安全的機密性、完整性、可用性、可控性，都可以利用密碼技術得到解決。

⑶ 如何防範網路病毒

1、不點擊不明的網址或郵件、不掃描來歷不明的二維碼。較多木馬是通過網址鏈接、二維碼或郵件傳播，當收到來歷不明的郵件時，也不要隨便打開，應盡快刪除。智能客戶端不要隨意掃描未經認證的二維碼。

2、不下載非官方提供的軟體。如需下載必須常備軟體，最好找一些知名的網站下載，而且不要下載和運行來歷不明的軟體。而且，在安裝軟體前最好用殺毒軟體查看有沒有病毒，再進行安裝。

3、及時給操作系統打官方補丁包進行漏洞修復，只開常用埠。一般木馬是通過漏洞在系統上打開埠留下後門，以便上傳木馬文件和執行代碼，在把漏洞修復上的同時，需要對埠進行檢查，把可疑的埠封關閉，確保無法病毒無法傳播。

(3)常見的網路防禦手段的常用方法擴展閱讀：

從網路病毒功能區分。可以分為木馬病毒和蠕蟲病毒。木馬病毒是一種後門程序，它會潛伏在操作系統中，竊取用戶資料比如QQ、網上銀行密碼、賬號、游戲賬號密碼等。蠕蟲病毒相對來說要先進一點，它的傳播途徑很廣，可以利用操作系統和程序的漏洞主動發起攻擊，每種蠕蟲都有一個能夠掃描到計算機當中的漏洞的模塊。

一旦發現後立即傳播出去，由於蠕蟲的這一特點，它的危害性也更大，它可以在感染了一台計算機後通過網路感染這個網路內的所有計算機，被感染後，蠕蟲會發送大量數據包，所以被感染的網路速度就會變慢，也會因為CPU、內存佔用過高而產生或瀕臨死機狀態。

⑷ 常見的網路攻擊方法和防禦技術

網路攻擊類型

偵查攻擊：

搜集網路存在的弱點，以進一步攻擊網路。分為掃描攻擊和網路監聽。

掃描攻擊：埠掃描，主機掃描，漏洞掃描。

網路監聽：主要指只通過軟體將使用者計算機網卡的模式置為混雜模式，從而查看通過此網路的重要明文信息。

埠掃描：

根據 TCP 協議規范，當一台計算機收到一個TCP 連接建立請求報文（TCP SYN） 的時候，做這樣的處理：

1、如果請求的TCP埠是開放的，則回應一個TCP ACK 報文， 並建立TCP連接控制結構（TCB）；

2、如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、如果該報文的目標埠開放，則把該UDP 報文送上層協議（UDP ） 處理， 不回應任何報文（上層協議根據處理結果而回應的報文例外）；

2、如果該報文的目標埠沒有開放，則向發起者回應一個ICMP 不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TC 或UDP埠是開放的。

過程如下：

1、發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；

2、如果收到了針對這個TCP 報文的RST 報文，或針對這個UDP 報文 的 ICMP 不可達報文，則說明這個埠沒有開放；

3、相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP 埠沒有開放） 。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

主機掃描即利用ICMP原理搜索網路上存活的主機。

網路踩點（Footprinting）

攻擊者事先匯集目標的信息，通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網路拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

掃描攻擊

掃描攻擊包括地址掃描和埠掃描等，通常採用ping命令和各種埠掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些埠，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎。

協議指紋

黑客對目標主機發出探測包，由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別（也就是說各個廠家在編寫自己的TCP/IP 協議棧時，通常對特定的RFC指南做出不同的解釋），因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統。

常常被利用的一些協議棧指紋包括：TTL值、TCP窗口大小、DF 標志、TOS、IP碎片處理、 ICMP處理、TCP選項處理等。

信息流監視

這是一個在共享型區域網環境中最常採用的方法。

由於在共享介質的網路上數據包會經過每個網路節點， 網卡在一般情況下只會接受發往本機地址或本機所在廣播（或多播）地址的數據包，但如果將網卡設置為混雜模式（Promiscuous），網卡就會接受所有經過的數據包。

基於這樣的原理，黑客使用一個叫sniffer的嗅探器裝置，可以是軟體，也可以是硬體）就可以對網路的信息流進行監視，從而獲得他們感興趣的內容，例如口令以及其他秘密的信息。

訪問攻擊

密碼攻擊：密碼暴力猜測，特洛伊木馬程序，數據包嗅探等方式。中間人攻擊：截獲數據，竊聽數據內容，引入新的信息到會話，會話劫持（session hijacking）利用TCP協議本身的不足，在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

拒絕服務攻擊

偽裝大量合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務響應。

要避免系統遭受DoS 攻擊，從前兩點來看，網路管理員要積極謹慎地維護整個系統，確保無安全隱患和漏洞；

而針對第四點第五點的惡意攻擊方式則需要安裝防火牆等安 全設備過濾DoS攻擊，同時強烈建議網路管理員定期查看安全設備的日誌，及時發現對系統存在安全威脅的行為。

常見拒絕服務攻擊行為特徵與防禦方法

拒絕服務攻擊是最常見的一類網路攻擊類型。

在這一攻擊原理下，它又派生了許多種不同的攻擊方式。

正確了解這些不同的拒絕攻擊方式，就可以為正確、系統地為自己所在企業部署完善的安全防護系統。

入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為。

要有效的進行反攻擊，首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。


下面我們針對幾種典型的拒絕服務攻擊原理進行簡要分析，並提出相應的對策。

死亡之Ping（ Ping of death）攻擊

由於在早期的階段，路由器對包的最大大小是有限制的，許多操作系統TCP/IP棧規定ICMP包的大小限制在64KB 以內。

在對ICMP數據包的標題頭進行讀取之後，是根據該標題頭里包含的信息來為有效載荷生成緩沖區。

當大小超過64KB的ICMP包，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，從而使接受方計算機宕機。

這就是這種「死亡之Ping」攻擊的原理所在。

根據這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標發送超過64KB的數據包，就可使目標計算機的TCP/IP堆棧崩潰，致使接受方宕機。

防禦方法：

現在所有的標准TCP/IP協議都已具有對付超過64KB大小數據包的處理能力，並且大多數防火牆能夠通過對數據包中的信息和時間間隔分析，自動過濾這些攻擊。

Windows 98 、Windows NT 4.0（SP3之後）、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統都已具有抵抗一般「Ping of death 」拒絕服務攻擊的能力。

此外，對防火牆進行配置，阻斷ICMP 以及任何未知協議數據包，都可以防止此類攻擊發生。

淚滴（ teardrop）攻擊

對於一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。

比如，一個6000 位元組的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成三個IP包。

在IP 報頭中有一個偏移欄位和一個拆分標志（MF）。

如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個 IP包中的位置。

例如，對一個6000位元組的IP包進行拆分（MTU為2000），則三個片斷中偏移欄位的值依次為：0，2000，4000。

這樣接收端在全部接收完IP數據包後，就可以根據這些信息重新組裝沒正確的值，這樣接收端在收後這些分拆的數據包後就不能按數據包中的偏移欄位值正確重合這些拆分的數據包，但接收端會不斷償試，這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。

淚滴攻擊利用修改在TCP/IP 堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。

IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重疊偏移的偽造分段時將崩潰，不過新的操作系統已基本上能自己抵禦這種攻擊了。

防禦方法：

盡可能採用最新的操作系統，或者在防火牆上設置分段重組功能，由防火牆先接收到同一原包中的所有拆分數據包，然後完成重組工作，而不是直接轉發。

因為防火牆上可以設置當出現重疊欄位時所採取的規則。

TCP SYN 洪水（TCP SYN Flood）攻擊

TCP/IP棧只能等待有限數量ACK（應答）消息，因為每台計算機用於創建TCP/IP連接的內存緩沖區都是非常有限的。

如果這一緩沖區充滿了等待響應的初始信息，則該計算機就會對接下來的連接停止響應，直到緩沖區里的連接超時。

TCP SYN 洪水攻擊正是利用了這一系統漏洞來實施攻擊的。

攻擊者利用偽造的IP地址向目標發出多個連接（SYN）請求。

目標系統在接收到請求後發送確認信息，並等待回答。

由於黑客們發送請示的IP地址是偽造的，所以確認信息也不會到達任何計算機，當然也就不會有任何計算機為此確認信息作出應答了。

而在沒有接收到應答之前，目標計算機系統是不會主動放棄的，繼續會在緩沖區中保持相應連接信息，一直等待。

當達到一定數量的等待連接後，緩區部內存資源耗盡，從而開始拒絕接收任何其他連接請求，當然也包括本來屬於正常應用的請求，這就是黑客們的最終目的。

防禦方法：

在防火牆上過濾來自同一主機的後續連接。

不過「SYN洪水攻擊」還是非常令人擔憂的，由於此類攻擊並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

防火牆的具體抵禦TCP SYN 洪水攻擊的方法在防火牆的使用手冊中有詳細介紹。

Land 攻擊

這類攻擊中的數據包源地址和目標地址是相同的，當操作系統接收到這類數據包時，不知道該如何處理，或者循環發送和接收該數據包，以此來消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。

防禦方法：

這類攻擊的檢測方法相對來說比較容易，因為它可以直接從判斷網路數據包的源地址和目標地址是否相同得出是否屬於攻擊行為。

反攻擊的方法當然是適當地配置防火牆設備或包過濾路由器的包過濾規則。

並對這種攻擊進行審計，記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址，從而可以有效地分析並跟蹤攻擊者的來源。

Smurf 攻擊

這是一種由有趣的卡通人物而得名的拒絕服務攻擊。

Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。

攻擊者偽造一個合法的IP地址，然後由網路上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。

由於這些數據包表面上看是來自已知地址的合法請求，因此網路中的所有系統向這個地址做出回答，最終結果可導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，這也就達到了黑客們追求的目的了。

這種Smurf攻擊比起前面介紹的「Ping of Death 」洪水的流量高出一至兩個數量級，更容易攻擊成功。

還有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再採用偽裝的IP地址），最終導致第三方雪崩。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性，並在防火牆上設置規則，丟棄掉ICMP協議類型數據包。

Fraggle 攻擊

Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改，使用的是UDP協議應答消息，而不再是ICMP協議了（因為黑客們清楚 UDP 協議更加不易被用戶全部禁止）。

同時Fraggle攻擊使用了特定的埠（通常為7號埠，但也有許多使用其他埠實施 Fraggle 攻擊的），攻擊與Smurf 攻擊基本類似，不再贅述。

防禦方法：

關閉外部路由器或防火牆的廣播地址特性。在防火牆上過濾掉UDP報文，或者屏蔽掉一些常被黑客們用來進Fraggle攻擊的埠。

電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台計算機不斷地向同一地址發送大量電子郵件來達到攻擊目的，此類攻擊能夠耗盡郵件接受者網路的帶寬資源。

防禦方法：

對郵件地址進行過濾規則配置，自動刪除來自同一主機的過量或重復的消息。

虛擬終端（VTY）耗盡攻擊

這是一種針對網路設備的攻擊，比如路由器，交換機等。

這些網路設備為了便於遠程管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面個數是有限制的。比如，5個或10個等。

這樣，如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接。

這些設備的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為TELNET連接資源被佔用而失敗。

ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO 後，會回應一個ICMP ECHO Reply 報文。

而這個過程是需要CPU 處理的，有的情況下還可能消耗掉大量的資源。

比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO 報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

WinNuke 攻擊

NetBIOS 作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享， 進程間通信（ IPC），以及不同操作系統之間的數據交換。

一般情況下，NetBIOS 是運行在 LLC2 鏈路協議之上的，是一種基於組播的網路訪問介面。

為了在TCP/IP協議棧上實現NetBIOS ，RFC規定了一系列交互標准，以及幾個常用的 TCP/UDP 埠：

139：NetBIOS 會話服務的TCP 埠；

137：NetBIOS 名字服務的UDP 埠；

136：NetBIOS 數據報服務的UDP 埠。

WINDOWS操作系統的早期版本（WIN95/98/NT ）的網路服務（文件共享等）都是建立在NetBIOS之上的。

因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003 等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke 攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文。

但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

分片 IP 報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP 分片報文組裝起來。

目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文。

這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。

如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時）。

如果攻擊者發送了大量的分片報文，就會消耗掉目標計 算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

T
分段攻擊。利用了重裝配錯誤，通過將各個分段重疊來使目標系統崩潰或掛起。

歡迎關注的我的頭條號，私信交流，學習更多的網路技術！

⑸ 保護網路安全的常用技術手段有哪些

為了保護網路安全，常用的技術手段主要有以下幾個方面：

1、用備份技術來提高數據恢復時的完整性。備份工作可以手工完成，也可以自動完成。現有的操作系統一般都帶有比較初級的備份系統，如果對備份要求高，應購買專用的系統備份產品。由於備份本身含有不宜公開的信息，備份介質也是偷竊者的目標，因此，計算機系統允許用戶的某些特別文件不進行系統備份，而做涉密介質備份。

2、防病毒。定期檢查網路系統是否被感染了計算機病毒，對引導軟盤或下載軟體和文檔應加以安全控制，對外來軟盤在使用前應進行病毒診斷。同時要注意不斷更新病毒診斷軟體版本，及時掌握、發現正在流行的計算機病毒動向，並採取相應的有效措施。

3、補丁程序。及時安裝各種安全補丁程序，不要給入侵者以可乘之機。

4、提高物理環境安全。保證計算機機房內計算機設備不被盜、不被破壞，如採用高強度電纜在計算機機箱穿過等技術措施。

5、在區域網中安裝防火牆系統。防火牆系統包括軟體和硬體設施，平時需要加以監察和維護。

6、在區域網中安裝網路安全審計系統。在要求較高的網路系統中，網路安全審計系統是與防火牆系統結合在一起作為對系統安全設置的防範措施。

7、加密。加密的方法很多可視要求而定，如：通訊兩端設置硬體加密機、對數據進行加密預處理等。