毫无疑问，网络犯罪分子正继续利用自有和租用的僵尸网络来满互联网发布包含虚假和仿制商品信息的非法广告，但它作为核心摇钱树的地位正呈现出下降的趋势。现在，电子邮件已经成为网络的软肋所在，从恶作剧类搞笑行为的乐园变成骗子横行收件人财产受到极大威胁的不法之地。

　　日益方便的恶意网站建立方式

　　网络犯罪分子可以利用大量发送电子邮件的方式来盗窃受害人的资金。在网络犯罪分子的眼中，既然使用和依赖电子邮件账户的人员数量是如此之多，怎么还会有比它更值得的关注目标？

　　通常情况下，所谓的电子邮件类攻击包括了网络钓鱼、鱼叉式网络钓鱼、木马、恶意附件和隐藏脚本等形式。因此，对于安全专家来说，需要努力掌握处于不断发展中的新攻击技术，才能予以有效防范。这种“猫捉老鼠”的方式推动恶意软件开发者为了实现预定目的而不断推出更好的工具，并且导致了一些非常复杂的代码出现。

　　刚开始的时间，为了引诱受害者访问恶意网站，网络犯罪分子需要首先人工建立好网站并在被关闭前吸引到足够多的用户访问。作为一种替代方法，网络犯罪分子也可能通过发送伪装成被接收方感兴趣事物的特洛伊木马病毒。通常情况下，攻击者的工作包括了编写恶意代码，发送电子邮件，维持破坏网站的运行等部分。尽管木马模式依然属于可行选择，但是感谢外包服务的普及，攻击者必须具备基础技能和相应资源的客观限制已经不存在了。现在，只要拥有必要的资金和意愿，任何人都可以组织起一个正式的网络犯罪团体来，并在短短几天内做好所有的准备工作。

　　急剧增长的恶意软件变种

　　我们已经见识过数以百万计利用电子邮件进行传播的恶意软件变种了，其中最典型的就是1999年出现的“梅莉莎”。大家猜得不错，梅莉莎代表了开发者与一位同名女性之间的风流韵事。尽管看起来象是一份微软Word文件，但本质上梅莉莎确属于一种蠕虫病毒。它的传播速度是如此之快，以至于大量网站不得不选择直接关闭以防止系统崩溃。直到目前为止，它造成的效果依然属于有史以来规模最大的网络攻击。

　　千禧年的时间，另一种叫做爱情虫的变种恶意软件威胁又出现了。爱情虫采用的攻击方式与梅莉莎类似，就是说服收件人打开伪装成一封情书的恶意附件。接下来就是在2001年，红色代码给整个网络业带来了极大破坏，所有清理费用加起来的总额估计高达数十亿美元。而且，我们也不应该忘记怪物病毒。它属于利用电子邮件进行传播的病毒，可以通过微软Outlook窃取受害者的信用卡号码和密码，甚至让微软都没有意识到会发生了这样的情况并给出解决方案。

　　一晃就是数年的时间过去了，利用电子邮件传播的病毒依然呈现出数量急剧上升的趋势。冲击波蠕虫、震荡波、蠕虫王纷纷现身，再加上更具破坏性和高度灵活性的暴风蠕虫也不甘示弱，这一切让人们认识到在病毒背后存在着开发团队和僵尸网络的支持。暴风蠕虫的代码是如此高效，以至于尽管从2007年开始就被当作主要威胁但却一直流行到2010年。此后不久，暴风蠕虫就被甚至更灵活的Waledac、Pushdo和BredoLab所取代。某些专家甚至怀疑风暴蠕虫的开发者也就是Waledac的作者。

　　各具特色的恶意软件工具包

　　十年前，人们所担忧的不过是垃圾邮件发送者成功地发送出一大批垃圾电子邮件。但今天，攻击者的目标变得更加专注而明确，这就是钱。

　　在利用电子邮件传播的恶意软件中，宙斯木马就是一个非常流行并且极为危险的典型。在最近几年里，它一直非常流行;甚至在原始开发者都已经将源代码交给了另一款恶意软件工具包谍眼的作者后，还是不断出现各种变种。造成这种情况的原因是什么呢?答案就是，“工具包”使用起来很方便并且可以在地下论坛上方便找到。

　　通过将工具打包出售，恶意软件开发者可从企图从事网络犯罪行为但又缺乏足够能力的人群中赚取钞票。大部分工具包的价格都处于普通人可以负担的程度。尽管最早在黑市上曾经到过几千美元的高价，但很快就下降到几百美元的样子。其它开发者则采取了类似宙斯和谍眼的模式，利用增值服务来获得利润;通过向购买者提供访问支持页面，亲自回答功能方面出现疑问的形式来赢得用户。更严重的情况就是，某些开发者声称可以提供连最新防病毒解决方案也无法识别的版本，从而实现提高电子邮件类攻击成功率的目标。

　　通常情况下，工具包的使用者都属于入门级用户。攻击者只要输入相关信息，它就可以自动生成通用的邮件内容，然后只要确认窃取信息返回的目的地就可以了。接下来，攻击者要做的就是点击“确认”，工具包就可以自动完成从尽一切可能从寻找网站中存在的漏洞到输入恶意代码盗窃个人信息在内的所有工作。

　　对于一起典型的宙斯/谍眼攻击来说，往往会开始于一名潜在受害者接受到一封伪造的电子邮件，涉及内容通常是假发票或者银行关于账户安全问题的“官方”通知。举例来说，邮件附件中将包含伪装成为假发票的文件，或者是一条显示“修复”账户问题的链接。一旦收件人打开恶意链接或者附件，系统中就会被打开一个后门。恶意软件将会寻找系统中正在运行的防病毒解决方案，并试图在后台模式里偷偷地关闭。更强大的版本甚至会寻找系统已有的恶意软件，并予以禁用，以防止抢占系统资源。谍眼就是第一个采取这种模式的病毒。使用者只要选择一个简单的标记复选框，利用“清除宙斯”功能就可以有效地确认禁止并清除所在机器上的宙斯木马。

　　一旦完成了上述准备工作，恶意软件就可以用打开的后门下载木马。来自命令和控制服务器的恶意软件就可以进入到系统中。通常情况下，宙斯和谍眼会安装键盘记录器，并在受害者访问银行账户之类的机密网站时记录所有按键信息。通常情况下，利用该方式获得的用户名和密码等机密信息会被发送到预定的外部受控制服务器上存放。尽管按照开发者的愿望，恶意软件控制器应该可以清除其它竞争者，将“后门”永久保持下去，但是现实情况并非总是如此。

　　现在，就可以对收集到的信息进行打包处理，并到黑市论坛上转售。人们可以购买“完整版本”，或者成千上万条按照个人姓名、出生日期、账户号码、信用卡号码、社会安全号码、日志项和密码等常用信息分类的数据包来进行在线购物或者利用钱骡在帐号中洗钱。被当作钱骡的用户并不一定会了解真正的交易，他们仅仅是相信所谓“在家工作”类广告可以带来好处。对于他们来说，即便是声称不懂法也不能降低自身在犯罪中的从犯地位。

　　提高警惕性是保证安全的关键

　　尽管垃圾电子邮件的总量出现降低可能属于事实，但这并不意味着电子邮件涉及的危险性会有所下降。为了应对安全性改善和提高带来的问题，网络犯罪分子也正变得越来越有创意，导致电子信息中的危险系数也开始上升。这就是我们为什么应该加强针对网络威胁的宣传和教育。毕竟，骄傲自满的人往往就会成为下一名受害者。

　　云计算不是一天两天就能打造的，与传统解决方案的最大不同在于其牵扯面太广。也因此哪怕是最资深的业内人士提起云计算以及相关概念、优势都需要破费一番口舌。以至于当我们看到“1小时教你云计算”这样的演讲时，也会很好奇的去听听别人是如何总结的。那么，在庞杂的云计算海洋里，服务器生态与以往相比有哪些新的博弈呢？笔者认为目前单从服务器产品来看，以下两个方面是逼迫厂商们变招的主要因素。

　　1、 开放架构VS封闭环境

　　开放架构服务器平台和封闭式的平台本质区别不在于软件开源与否。我们这里主要说的是底层基础架构的开放与封闭。与传统意义上RISC小型机的封闭环境不同，云计算中的封闭环境更多的是指解决方案的专一，数据中心内各部分的相对封闭。而开放架构则相反，时下x86架构服务器如日中天，其带来的开放的生态环境也广被认可。那么，对云计算而言，究竟是开放式架构好还是封闭式架构更有优势呢？

　　多数观点倾向于开放式架构好，综合来看不外乎三点原因：1、开放式架构的解决方案更加自由，用户可以根据自身需求选择供应商；2、开放式架构的兼容性更好，不论是对过去系统的兼容还是未来的扩展不会受到制约；3、开放式架构平台的性价比更高，支持更广泛。

　　但是与之相反，x86开放式架构来构建云计算环境也有几个劣势：1、供应商众多容易导致后期服务成本的增加；2、在可靠性和高可用方面，尽管有英特尔等厂商推动提升其RAS能力，但仍然被质疑；3、x86集群环境网络与存储I/O成新瓶颈。

　　同理，封闭环境的好处也就在于：1、有统一的解决方案和厂商对整体环境的调优；2、相对更加可靠和安全；3、数据中心的支持与各部分之间均做过完善的设计。而不足之处就是：1、方案来自于单一厂商，用户容易被厂商锁定；2、打包方案价格过高；3、兼容性不好，应用受限制。

　　所以，不论厂商们如何唇枪舌剑的说自身的优势，从自身的角度或说可靠性更高，或说可扩展性更好，或说性价比优势。所有理由都是从开放式环境与封闭式环境各自的先天性优劣出发。而作为媒体人来看，封闭式架构对厂商的好处就是可以绑定用户，缺点是方案复杂度较大，企业需要有扎实的功底来服务于客户。对用户的好处是可以享受一站式服务，缺点是价格高，难以对外兼容。开放式架构的好处在于灵活度大，各供应商只需要做好自身那部分产品。对于用户来说，开放式架构的好处在于可选择性大，性价比高，缺点是难以获得一站式服务，可靠性存疑。

　　因此，云计算的开放架构与封闭架构之争，实际上是用户自身需求所决定的：想要一站式服务和可靠性保障，就别在意价格选择封闭环境；想要更好的灵活性和性价比，就选开放式环境，别在意可靠性和百里挑一的操心劲儿。

　　不过，从业界的趋势来看，随着x86环境逐渐从传统RISC生态中借鉴来诸如RAS可靠性和统一解决方案等手段，开放式架构的呼声也越来越高，相信未来各云计算中心还是会以x86环境居多，毕竟这是一个蓬勃发展的生态。而封闭式环境也有自身存在的价值，对于“不差钱”的企业来说，其稳定的服务和统一方案的支持才是吸引点。

　　2、 云计算为服务器设计带来新命题

　　云计算最重要的就是引入了虚拟资源池概念，从而打破了物理服务器的隔阂，让计算性能可以无限的扩张或是分配。这也进一步影响了各家厂商在做服务器时的设计理念——举个简单的例子，如果你想要一个更强的服务器计算平台，你可能不需要去构架一个32路的系统，而是用8个四路服务器通过虚拟化的方式形成一个统一的虚拟机，其效果与32路系统一样。

　　这不但简化了服务器厂商的设计和研发成本，也使得用户可以灵活的获得想要的计算资源和计算模式。然而云计算带来的这种便利性也带来了另外的挑战：1、通讯瓶颈；2、设备功耗。

　　8个四路系统是可以通过虚拟化变成一台机器做运算，然而节点间的通讯延时是远远大于单一32路服务器内部的通讯延迟的。如何解决云计算环境中的I/O瓶颈成为各云计算解决方案所瞄准的关键要点之一。厂商们的努力主要有以下几个方面：1、硬件虚拟化支持：通过对CPU加入硬件虚拟化指令的支持，可以有效的解决虚拟机内存的I/O问题，而芯片组、网卡也都相继拥有自身的硬件虚拟化技术，从而使得节点间的虚拟化通讯问题得到缓解；2、采用更快速的网络，如英特尔极力倡导的万兆以太网，Mellanox为代表的Infiniband专有网络等。

　　另一方面是设备功耗，同理可知一台32路的服务器设备功耗必然小鱼8台四路服务器，那么这部分成本不单单是服务器耗电的成本，还有数据中心里的机架空间成本，散热成本等等。

　　因此从服务器自身的设计来看，目前有两种趋势：1、服务器厂商普遍推出针对云计算的服务器，或是双路、四路机架产品，或是更高密度的刀片产品等。但是大家都会发现这类面向虚拟化或是云计算的产品，普遍都有较好的网络配置以解决通讯瓶颈，另一方面也会较为在意功耗（提升计算密度也是为了节约功耗）。

　　可以看到从戴尔到惠普推出的微型服务器到超微的四子星等，厂商都在探索更新的服务器设计思路。前者从低功耗的角度出发，用更多的低性能凌动乃至ARM处理器来“集众核心之力”，以更低的功耗，更好的计算密度为轻量级应用或是作为云计算的节点而设计。超微的四子星则是另一种尽量多的在机架内提升计算密度的设计思路。

　　也有厂商反其道而行之，不在服务器的设计上多动脑筋，而是从规模上和应用上入手，推出系统级解决方案。如思科的UCS统一计算方案，对于电信运营商这样拥有大量交换设备和计算设备的企业来说很有吸引力。而Oracle推出的Exadata、ExaLogic、ExaLytics则分别面向数据库计算、云计算和即时分析的业务，可谓有针对，有重点，有想法。这些系统级方案的单一节点并没有显著的特色，然而整合在一起之后，有了厂商的优化和技术支持，作为云计算中的某一业务节点融入数据中心不失为一种有效的解决方案。

　　从之前开放式和封闭的角度来看，系统级解决方案也许是大环境里的小封闭，是微缩化的整体解决方案。而综合来看，服务器领域面对云计算的大潮还算较为稳定，其最大的转变在于厂商们不再以技术寡头自居，推出的产品也不再是引领业务方向， 反过来是针对客户的需求和应用来定制方案和设计产品。这也许是云计算模式为厂商和用户角色转变带来的最大好处。

　　经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

　　本文介绍了保护网络安全的9个步骤。这些步骤能够保证你拥有一道保护网络的砖墙，而不是一个敞开的大门。

　　1.修改默认的口令

　　据国外调查显示，80%的网络安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。SecurityStats.com网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。

　　2.关闭IP直接广播（IPDirectedBroadcast）

　　服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务性攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMPecho”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

　　参考路由器信息文件，了解如何关闭IP直接广播。例如，“Central(config)#noipsource-route”这个指令将关闭思科路由器的IP直接广播地址。

　　3.如果可能，关闭路由器的HTTP设置

　　正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

　　虽然这种未加密的口令对于从远程位置设置路由器也许是非常方便的，但是，能够做到的事情其他人也照样可以做到。特别是如果仍在使用默认的口令！如果必须远程管理路由器，一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。

　　4.封锁ICMPping请求

　　ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力，就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”（scriptkiddies）。

　　请注意，这样做实际上并不能保护网络不受攻击，但是，这将不太可能成为一个攻击目标。

　　5.关闭IP源路由

　　IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

　　6.确定你的数据包过滤的需求

　　封锁端口有两项理由。其中之一根据对网络安全水平的要求对于网络是合适的。

　　对于高度网络安全来说，特别是在存储或者保持秘密数据的时候，通常要求经过允许才可以过滤。在这种规定中，除了网路功能需要的之外，所有的端口和IP地址都必要要封锁。例如，用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。

　　大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时候，可以封锁网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如，封锁139端口和445（TCP和UDP）端口将使黑客更难对网络实施穷举攻击。封锁31337端口将使BackOrifice木马程序更难攻击网络。

　　这项工作应该在网络规划阶段确定，这时候网络安全水平的要求应该符合网络用户的需求。查看这些端口的列表，了解这些端口正常的用途。

　　7.建立准许进入和外出的地址过滤政策

　　在边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从网络内部访问互联网的IP地址都应该有一个分配给局域网的地址。例如，192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是，216.239.55.99这个地址很可能是欺骗性的，并且是一场攻击的一部分。

　　相反，来自互联网外部的通信的源地址应该不是内部网络的一部分。

　　因此，应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

　　最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类（classE）地址段240.0.0.0-254.255.255.255。

　　8.保持路由器的物理安全

　　从网络嗅探的角度看，路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包，而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式，它们就能够接收和看到所有的广播，包括口令、POP3通信和Web通信。

　　然后，重要的是确保物理访问你的网络设备是安全的，以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

　　9.花时间审阅安全记录

　　审阅路由器记录是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的网络安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。