第一篇：畢業(yè)論文英文文獻(xiàn)翻譯--計(jì)算機(jī)網(wǎng)絡(luò)安全淺析

計(jì)算機(jī)網(wǎng)絡(luò)安全淺析

摘要：針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在的安全性和可靠性問(wèn)題，本文從網(wǎng)絡(luò)安全的重要性、理論基礎(chǔ)、具備功能以及解決措施等方面提出一些見解，并且進(jìn)行了詳細(xì)闡述，以使廣大用戶在計(jì)算機(jī)網(wǎng)絡(luò)方面增強(qiáng)安全防范意識(shí)。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) 虛擬專用網(wǎng)技術(shù) 加密技術(shù) 防火墻引言：

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性已成為不同使用層次的用戶共同關(guān)心的問(wèn)題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能夠更加可靠地運(yùn)行，不受外來(lái)入侵者干擾和破壞。所以解決好網(wǎng)絡(luò)的安全性和可靠性問(wèn)題，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。

一、網(wǎng)絡(luò)安全的重要性。

在信息化飛速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，但隨著網(wǎng)絡(luò)之間的信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。根據(jù)美國(guó) FBI（美國(guó)聯(lián)邦調(diào)查局）的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170 億美元。75的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問(wèn)題造成的。超過(guò) 50的安全威脅來(lái)自內(nèi)部。而僅有 59的損失可以定量估算。在中國(guó)，針對(duì)銀行、證券等金融領(lǐng)域的計(jì)算機(jī)系統(tǒng)的安全問(wèn)題所造成的經(jīng)濟(jì)損失金額已高達(dá)數(shù)億元，針對(duì)其他行業(yè)的網(wǎng)絡(luò)安全威脅也時(shí)有發(fā)生。由此可見，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

二、網(wǎng)絡(luò)安全的理論基礎(chǔ)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）曾建議計(jì)算機(jī)安全的定義為： “計(jì)算機(jī)系統(tǒng)要保護(hù)其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞?！睘榱藥椭?jì)算機(jī)用戶區(qū)分和解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，美國(guó)國(guó)防部公布了 “桔皮書”（orangebook，正式名稱為“可，對(duì)多用戶計(jì)算機(jī)系統(tǒng)安全級(jí)別的劃分進(jìn)行了規(guī)定。信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則”）桔皮書將計(jì)算機(jī)安全由低到高分為四類七級(jí)：D1、C1、C2、B1、B2、B3、A1。其中 D1級(jí)是不具備最低安全限度的等級(jí)，C1 和 C2 級(jí)是具備最低安全限度的等級(jí)，B1 和 B2 級(jí)是具有中等安全保護(hù)能力的等級(jí)，B3 和 A1 屬于最高安全等級(jí)。在網(wǎng)絡(luò)的具體設(shè)計(jì)過(guò)程中，應(yīng)根據(jù)網(wǎng)絡(luò)總體規(guī)劃中提出的各項(xiàng)技術(shù)規(guī)范、設(shè)備類型、性能要求以及經(jīng)費(fèi)等，綜合考慮來(lái)確定一個(gè)比較合理、性能較高的網(wǎng)絡(luò)安全級(jí)別，從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全性和可靠性。

三、網(wǎng)絡(luò)安全應(yīng)具備的功能。

為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：（1）訪問(wèn)控制：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。

（2）檢查安全漏洞：通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。

（3）攻擊監(jiān)控：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。

（4）加密通訊：主動(dòng)地加密通訊，可使攻擊者不能了解、修改敏感信息。（5）認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。（8）設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。

四、網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施 要想實(shí)現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題，提出一些防范措施。

物理安全可以分為兩個(gè)方面： 一是人為對(duì)網(wǎng)絡(luò)的損害； 二是網(wǎng)絡(luò)對(duì)使用者的危害。

最常見的是施工人員由于對(duì)地下電纜不了解，從而造成電纜的破壞，這種情況可通過(guò)立標(biāo)志牌加以防范； 未采用結(jié)構(gòu)化布線的網(wǎng)絡(luò)經(jīng)常會(huì)出現(xiàn)使用者對(duì)電纜的損壞，這就需要盡量采用結(jié)構(gòu)化布線來(lái)安裝網(wǎng)絡(luò)；人為或自然災(zāi)害的影響，需在規(guī)劃設(shè)計(jì)時(shí)加以考慮。訪問(wèn)控制安全，訪問(wèn)控制識(shí)別并驗(yàn)證用戶，將用戶限制在已授權(quán)的活動(dòng)和資源范圍之內(nèi)。

網(wǎng)絡(luò)的訪問(wèn)控制安全可以從以下幾個(gè)方面考慮。

（1）口令：網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶的登錄，在注冊(cè)過(guò)程中，系統(tǒng)會(huì)檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進(jìn)入系統(tǒng)。

（2）網(wǎng)絡(luò)資源屬主、屬性和訪問(wèn)權(quán)限：網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對(duì)資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰(shuí)讀、寫或執(zhí)行等。訪問(wèn)權(quán)限主要體現(xiàn)在用戶對(duì)網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問(wèn)權(quán)限可以有效地在應(yīng)用級(jí)控制網(wǎng)絡(luò)系統(tǒng)的安全性。

（3）網(wǎng)絡(luò)安全監(jiān)視：網(wǎng)絡(luò)監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動(dòng)態(tài)地監(jiān)視并及時(shí)處理各種事件。通過(guò)網(wǎng)絡(luò)監(jiān)視可以簡(jiǎn)單明了地找出并解決網(wǎng)絡(luò)上的安全問(wèn)題，如定位網(wǎng)絡(luò)故障點(diǎn)、捉住 IP 盜用者、控制網(wǎng)絡(luò)訪問(wèn)范圍等。

（4）審計(jì)和跟蹤：網(wǎng)絡(luò)的審計(jì)和跟蹤包括對(duì)網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對(duì)記錄進(jìn)行分析和統(tǒng)計(jì)，從而找出問(wèn)題所在。數(shù)據(jù)傳輸安全，傳輸安全要求保護(hù)網(wǎng)絡(luò)上被傳輸?shù)男畔?，以防止被?dòng)地和主動(dòng)地侵犯。

對(duì)數(shù)據(jù)傳輸安全可以采取如下措施：（1）加密與數(shù)字簽名：數(shù)字簽名是數(shù)據(jù)的接收者用來(lái)證實(shí)數(shù)據(jù)的發(fā)送者確實(shí)無(wú)誤的一種方法，它主要通過(guò)加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)。

（2）防火墻：防火墻（Firewall）是 Internet 上廣泛應(yīng)用的一種安全措施，它可以設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它能通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測(cè)網(wǎng)絡(luò)內(nèi)外信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

（3）UserName/Password 認(rèn)證：該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet（遠(yuǎn)程登錄）、rlogin（遠(yuǎn)程登錄）等，但此種認(rèn)證方式過(guò)程不加密，即 password容易被監(jiān)聽和解密。

（4）使用摘要算法的認(rèn)證：Radius（遠(yuǎn)程撥號(hào)認(rèn)證協(xié)議）、OSPF（開放路由協(xié)議）、SNMPSecurityProtocol 等均使用共享的 SecurityKey（密鑰），加上摘要算法（MD5）進(jìn)行認(rèn)證，但摘要算法是一個(gè)不可逆的過(guò)程，因此，在認(rèn)證過(guò)程中，由摘要信息不能計(jì)算出共享的 securitykey，所以敏感信息不能在網(wǎng)絡(luò)上傳輸。市場(chǎng)上主要采用的摘要算法主要有 MD5 和 SHA‐1。

（5）基于 PKI 的認(rèn)證：使用 PKI（公開密鑰體系）進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。

（6）虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)：VPN 技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

總結(jié)：綜上所述，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕?wèn)題，我們必須要做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問(wèn)的系統(tǒng)信息和資源，這一功能可通過(guò)在訪問(wèn)服務(wù)器上設(shè)置 NetScreen防火墻來(lái)實(shí)現(xiàn)。第二，應(yīng)加強(qiáng)對(duì)上網(wǎng)用戶的身份認(rèn)證，使用 RADIUS 等專用身份驗(yàn)證服務(wù)器。一方面，可以實(shí)現(xiàn)對(duì)上網(wǎng)用戶帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過(guò)程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用 PGP for Business Security 對(duì)數(shù)據(jù)加密。另一種方法是采用 NetScreen防火墻所提供的 VPN 技術(shù)。VPN 在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

Abstract: Security of Computer Network System

This paper discussed the secure and dependable problem about the computer networksystem.On some aspects: the importance of network security basic theory function and themethod of solving a problem etc.Good views for solving the problem are put forward.Itstrengthens people’s consciousness on network security.Key words:

Computer network Virtual private network Encryption techniques FirewallIntroduction Along with the computer network technology development the network securityand the reliability have become the question of common interest by all users.The people all hopedtheir own network system can move reliably not external intruder disturbance and destruction.Therefore solves the network security and the reliable problem carefully is a guarantee thenetwork normal operation’s premise and safeguard.First the importance of the network security.With the informationization developing fasttoday the computer network obtained the widespread application but along with the networkinformation transmission capacity growing faster some organizations and departments benefit thespeedup with the service operation in the network while the data has also suffered to extentattack and destruction.The aggressor may intercept the information in the network steals theuser’s password the database information also may tamper with the database content the forgeuser’s status denies own signature.And what is more the aggressor may delete the databasecontent the destroy node releases computer virus and so on.This cause data security and ownbenefit have received the serious threat.According to American FBI US Federal Bureau of Investigation investigation the networksecurity creates the economic loss surpasses *** dollars every year.75 corporationreport finance loss is because the computer system security problem creates.More than 50 safethreat come from inside.But only 59 loss could be possible estimate.In China the economicloss amount in view of financial domain and the bank negotiable securities computer systemsecurity problems creates has reached as high as several hundred million Yuan also sometimesoccurs in view of other profession network security threat.Thus it can be seen regardless of is the mean attack or unconscious disoperation will all beable to bring the inestimable loss to the system.Therefore the computer network must have theenough strong security measure.Regardless of is in the local area network or in WAN thenetwork security measure should be Omni-directional in view of each kind of different threat andthe vulnerability so that it can guarantee the network information’s secrecy the integrity and theusability.Second network security rationale.International Standardization Organization ISO oncesuggested the computer security the definition was: “The computer system must protect itshardware the data not accidentally or reveals intentionally the change and the destruction.” Inorder to help the computer user discrimination and the solution computer network securityproblem the American Department of Defense announced “the orange peel book” orange bookofficial name is “credible computer system standard appraisal criterion” has carried on thestipulation to the multiuser computer system security rank division.The orange peel book from low to high divides into the computer security four kinds of sevenlevels: D1 C1 C2 B1 B2 B3 A1.Above allD1 level does not have the lowest safety marginrank C1 and the C2 level has the lowest safety margin rank B1 and the B2 level has the mediumsafekeeping of security ability rank B3 and A1 belongs to the highest security rating.In the network concrete design process it should act according to each technology standardthe equipment type the performance requirement as well as the funds which in the networkoverall plan proposed and so on the overall evaluation determines one quite reasonably theperformance high network security rank thus realization network security and reliability.Third the network security should have function.In order to adapt the informationtechnology development well the computer network application system must have followingfunction: 1 Access control: Through to the specific webpage the service establishment access control system in arrives the overwhelming majority attack impediment in front of the attack goal.2 Inspects the security loophole: Through to security loophole cyclical inspection even if attacks may get the attack goal also may cause the overwhelming majority attack to be invalid.3 Attack monitoring: Through to specific webpage service establishment attack monitoring system but real-time examines the overwhelming majority attack and adopts the response the motion for example separation network connection recording attack process pursuit attack source and so on.4 Encryption communication: Encrypts on own initiative the communication may enable the aggressor to understand the revision sensitive information.5 Authentication: The good authentication system may prevent the aggressor pretends the validated user.6 Backup and restoration: The good backup and restores the mechanism may causes the losses when the attack as soon as possible restores the data and the system service.7 Multi-layered defense: The aggressor after breaks through the first defense line delays or blocks it to reach the attack goal.8 Sets up the safe monitoring center: Provides the security system management the monitoring the protection and the emergency case service for the information system.Fourth the network system safety comprehensive solution measures.If want to realize thenetwork security function we should carry on the Omni-directional guarding to the networksystem and thus formulate the quite reasonable network security architecture.Below on thenetwork system security problem proposes some guard measure.Physics safe may divide into two aspects: One is the artificial harm to the network the otheris the network to the users.Most common thing is the constructor who did not understand to theburied cable clearly thus lead to the destruction of electric cable this kind of situation maythrough standing symbolized the sign guards against Has not used the structurized wiring thenetwork to be able to appear the user frequently to the electric cable damage this needs to use thestructurized wiring to install the network as far as possible Artificial or natural disaster influencewhen to consider the plan.The access control security the access control distinguishes and confirms the user limits theuser in the already activity and the resources scope which is authorized.The network accesscontrol safe may consider from following several aspects.1 password: The network security system most outer layer defense line is network users registering in the registration process the system would inspect the user to register the name and the password validity only then the legitimate user can enter the system.2 The network resources’ host the attribute and the visit jurisdiction: The network resources mainly include the resources which shared files the shared printer network users and so on that all the network users can use.The resources were the host to manifest the different user to the resources subordinate relations such as builder modifier and group member and so on.The resources attribute expressed itself deposit and withdrawal characteristics as can read by who write or the execution and so on.The visit jurisdiction mainly manifests in the user to the network resources available degree in using assigns the network resources to be the host the attribute and the visit jurisdiction may effectively in the application cascade control network system security.3 Network security surveillance: The network surveillance is generally called for “the network management” its function mainly is carries on the dynamic surveillance to the entire network movement and handles each kind of event promptly.May understand simply through the network surveillance discovers and solves in the network security problem such as the localization network fault point seizes the IP embezzler the control network visit scope and so on.4 Audit and track: Network audit and track which is including the network aspect resources use network breakdown and system keeping.It composed generally by two parts: One the recording event soon each kind of event entirely records in the document Two carries on the analysis and the statistics to.

第二篇：畢業(yè)論文 英文文獻(xiàn)翻譯

_______ 學(xué) 院

畢業(yè)論文文獻(xiàn)資料翻譯

原文名稱: “Goldilocks” Liberalization: The Uneven Path Toward Interest Rate Reform in China

課題名稱:利率市場(chǎng)化對(duì)我國(guó)商業(yè)銀行的影響分析

學(xué)生姓名:號(hào):

指導(dǎo)老師:

所在系部:專業(yè)名稱:

年月

譯文

“金發(fā)”自由化：中國(guó)利率市場(chǎng)化改革的不平之路

Shih and Victor

中國(guó)政府的自由化

2003年，中國(guó)從亞洲金融危機(jī)進(jìn)入到一段時(shí)間的持續(xù)增長(zhǎng)后，利率市場(chǎng)化改革似乎終于在掌握之內(nèi)。就如以前一樣，中國(guó)人民銀行的熱衷者發(fā)布幾篇報(bào)告以支持利率市場(chǎng)化，而四大銀行的代表也提供放慢改革（成2002年）的理由。此外,中國(guó)在2003終于擺脫通貨緊縮的威脅并恢復(fù)相對(duì)高速的增長(zhǎng)，只有在2004年有中等程度的通脹（圖3）。一些驚喜，在2004年10月29日，對(duì)貸款利率的上限被解除，允許銀行以他們想要的高利息收費(fèi)（人民日?qǐng)?bào)2005）。此外，銀行也可以給予儲(chǔ)戶低于存款基準(zhǔn)利率的利率。類似總督戴顯龍的幾年前的時(shí)間表，中國(guó)人民銀行發(fā)布了一份報(bào)告，奠定了完全利率市場(chǎng)化的具體計(jì)劃。

盡管推行這種市場(chǎng)化，但金融體系的基本邏輯任然保持了一樣。在存款方面，存款利率上下限的去除主要是象征性的，因?yàn)殂y行沒(méi)有理由去不必要地降低利率，使其低于他們的競(jìng)爭(zhēng)對(duì)手所提供的利率。因此，很少數(shù)的銀行利用市場(chǎng)化的優(yōu)勢(shì)來(lái)給出低于存款基準(zhǔn)利率的利率（2006年綠色）。關(guān)于貸款利率市場(chǎng)化，央行的理由是，它將使銀行“根據(jù)客戶不同風(fēng)險(xiǎn)的狀況給予不同的貸款和利率”（2005年中國(guó)人民銀行貨幣政策研究小組）。雖然這聽起來(lái)像一個(gè)顯著的效率增益，但這是發(fā)出了現(xiàn)實(shí)的信號(hào)，即銀行繼續(xù)提供廉價(jià)融資，給予有更低的官僚風(fēng)險(xiǎn)狀況的國(guó)家資助項(xiàng)目和國(guó)有企業(yè)。在此期間，通過(guò)存款利率上限和貸款利率的下限，銀行之間的“毀滅性競(jìng)爭(zhēng)”仍然受到嚴(yán)格的限制。因此，銀行仍然不能通過(guò)提供更高的存款利率互相競(jìng)爭(zhēng)。同樣，銀行無(wú)法通過(guò)提供給借款者更低的利率來(lái)相互競(jìng)爭(zhēng)，因?yàn)殂y行能提供的最低利率為基準(zhǔn)利率的90％。中國(guó)人民銀行的一份報(bào)告顯示，整個(gè)國(guó)有銀行全部貸款的27％，被設(shè)臵于法定最低利率，這表明銀行將會(huì)通過(guò)給出法定最低利率來(lái)競(jìng)爭(zhēng)（中國(guó)人民銀行貨幣政策的研究團(tuán)隊(duì) 2005）。為了給中國(guó)人民銀行信貸，促使城市商業(yè)銀行和農(nóng)村信用社貸款利率的市場(chǎng)化，通過(guò)提供更多高利率的貸款給在私營(yíng)部門的高風(fēng)險(xiǎn)的的借款人，提供融資給原先被凍結(jié)的正規(guī)銀行系統(tǒng)分部（中國(guó)人民銀行貨幣政策的研究團(tuán)隊(duì) 2005）。

進(jìn)入2008-2009年的經(jīng)濟(jì)衰退，對(duì)利率的再次控制促進(jìn)了大規(guī)模的反周期投資驅(qū)動(dòng)器。如圖2所示，中國(guó)人民銀行在全球經(jīng)濟(jì)低迷時(shí)繼續(xù)保證銀行業(yè)穩(wěn)健的利率傳導(dǎo)。移

除貸款利率的上限，銀行通過(guò)貸款賺更多的錢。因此，當(dāng)中央要求銀行于2008年11月為4萬(wàn)億人民幣經(jīng)濟(jì)刺激方案提供融資，銀行以極大的熱情回應(yīng)。導(dǎo)致2009年中國(guó)的貸款向上急速膨脹，比上年增長(zhǎng)了驚人的30％。中國(guó)人民銀行在2009年原本設(shè)臵信貸配額是5萬(wàn)億人民幣向上一點(diǎn)點(diǎn)。到今年年底，銀行已經(jīng)做出了歷史上最大量的新增貸款，總額近10萬(wàn)億人民幣（潘克赫斯特,鄭,和王 2009）。銀行持有的存款利率低于基準(zhǔn)利率而貸款利率高于基準(zhǔn)利率，實(shí)際上可收獲可觀的利潤(rùn)，即使在經(jīng)濟(jì)衰退期間（漢2009）。因此，貸款利率上界的自由化得益于所有有關(guān)的政治人物。高層的技術(shù)專家保留為最大的反周期投資驅(qū)動(dòng)湊集資金的能力，這在中國(guó)的歷史上是相對(duì)容易的。銀行仍然防止“毀滅性競(jìng)爭(zhēng)”，并繼續(xù)享有穩(wěn)健的貸款利率傳導(dǎo)。由于銀行為經(jīng)濟(jì)刺激計(jì)劃提供資金的意愿，財(cái)政部不需要發(fā)行很多的債務(wù)，從而限制財(cái)政赤字的規(guī)模。雖然一些大型國(guó)有企業(yè)由于釋放出的貸款利率可能付出更高的借貸成本，銀行急于提供大量的融資額給他們，使他們向其他實(shí)體轉(zhuǎn)貸資金而賺取利潤(rùn)。隨著世界逐步擺脫經(jīng)濟(jì)危機(jī)，由于前兩年的快速信貸擴(kuò)張，通貨膨脹的壓力在中國(guó)建立的非常迅速。2011年初，通貨膨脹調(diào)轉(zhuǎn)進(jìn)入危險(xiǎn)的境況。然而中國(guó)領(lǐng)導(dǎo)人在危機(jī)模式下，利率進(jìn)一步自由化的任何談話被擱臵。另一位金發(fā)的時(shí)刻必須在下一輪利率自由化之前提出，使其可以被理解。

結(jié)論

雖然中國(guó)并沒(méi)有回應(yīng)外部強(qiáng)加給我們的政策改革壓力，但是它已經(jīng)開始自身的重大經(jīng)濟(jì)改革。在城市里，許多規(guī)模較小的國(guó)有企業(yè)被私有化或關(guān)閉了，而私營(yíng)部門被允許自由成長(zhǎng)（諾頓1996）。大多數(shù)商品和服務(wù)價(jià)格已經(jīng)被放開（韋德曼2003）。盡管中國(guó)經(jīng)濟(jì)發(fā)生了翻天覆地的變化，但是國(guó)家將繼續(xù)以控制社會(huì)的宏觀的經(jīng)濟(jì)杠桿，允許它通過(guò)重要的途徑影響經(jīng)濟(jì)效果。中央級(jí)的技術(shù)專家可以通過(guò)控制資金的流動(dòng)和投資方向，確保通脹不上升至無(wú)法控制的地步，而增長(zhǎng)依然強(qiáng)勁。同時(shí)，這些手段也允許他們購(gòu)買被其他政治局成員保護(hù)的利益支持，包括當(dāng)?shù)毓賳T和國(guó)有企業(yè)管理人員，特別是在經(jīng)濟(jì)停滯的時(shí)候。為了保持這些手段的有效性，他們需要儲(chǔ)戶在中國(guó)的國(guó)家金融體系的抵押品。如果私人銀行出現(xiàn)為存款人提供更高的利率，國(guó)有銀行必須匹配上更高的利率，從而增加了成本，為大規(guī)模的經(jīng)濟(jì)刺激計(jì)劃提供資金。盡管強(qiáng)大的激勵(lì)促使頂級(jí)技術(shù)專家保持現(xiàn)狀，但是利率市場(chǎng)化改革在中國(guó)已經(jīng)取得了一些進(jìn)展。即使在20世紀(jì)80年代，非正式的銀行也提供著很高的存款利率。進(jìn)入20世紀(jì)90年代，央行行長(zhǎng)感受到西方關(guān)于貨幣政策以及中國(guó)人民銀行政治性角色的擔(dān)憂，開始認(rèn)真的推行利率市場(chǎng)化。他們?cè)谕ㄘ浥蛎浀停?jīng)濟(jì)增長(zhǎng)強(qiáng)勁的時(shí)候推進(jìn)自由化改革。

雖然方便政策制定者制定政治目標(biāo)，但是中國(guó)的利率管制將繼續(xù)使中國(guó)的儲(chǔ)戶以及一些國(guó)外的制造商肩負(fù)重但。只要銀行爭(zhēng)奪存款被禁止，數(shù)以百萬(wàn)的儲(chǔ)戶將繼續(xù)被人為壓低存款利率，來(lái)補(bǔ)貼國(guó)有銀行的盈利能力。國(guó)家以較低的成本調(diào)動(dòng)大量資金的能力，也有對(duì)世界的負(fù)面影響。大部分剩余的國(guó)有企業(yè)主要集中在重工業(yè)和大宗商品部門。因此，就如中國(guó)政府智囊團(tuán)指出的那樣，通過(guò)寬松的信貸政策，使他們得以保留，而在全球經(jīng)濟(jì)衰退的時(shí)候，或者在某些情況下，他們甚至擴(kuò)大自己的能力（國(guó)際金融研究中心2009年）。這加劇了全球的產(chǎn)能過(guò)剩，并導(dǎo)致中國(guó)某些行業(yè)的商品，特別是鋼材，在世界市場(chǎng)上引起傾銷。因此，政府的持續(xù)努力以操縱利率，這種行為的一個(gè)重要受害者是中國(guó)國(guó)有企業(yè)的全球競(jìng)爭(zhēng)者。

第三篇：9.畢業(yè)論文英文文獻(xiàn)翻譯

Audit Office Size, Audit Quality, and AuditPricing Jong-Hag Choi, Chansog(Francis)Kim, Jeong-Bon Kim, and YoonseokZang SUMMARY: Using a large sample of U.S.audit client firms over the period 2000–2005,this paper investigates whether and how the size of a local practice office within anaudit firmhereafter, office size is a significant, engagement-specific factor determiningaudit quality and audit fees over and beyond audit firm size at the national level andauditor industry leadership at the city or office level.For our empirical tests, audit qualityis measured by unsigned abnormal accruals, and the office size is measured in twodifferent ways: one based on the number of audit clients in each office and the otherbased on a total of audit fees earned by each office.Our results show that the officesize has significantly positive relations with both audit quality and audit fees, even aftercontrolling for national-level audit firm size and office-level industry expertise.Thesepositive relations support the view that large local offices provide higher-quality auditscompared with small local offices, and that such quality differences are priced in themarket for audit services.Keywords:audit office;office size;audit quality;audit pricing.Data Availability:Data are publicly available from sources identified in the paper.The way we think about an accounting firm changes dramatically when we shift the unit of analysisaway from the firm as a whole, to the analysis of specific city-based offices within a firm.In termsof DeAngelo’s1981b argument, a Big 4 accounting firm is not so big when we shift to theofficelevel of analysis.For example, while Enron represented less than 2 percent of Arthur Ander-sen’s national revenues from publicly listed clients, it was more than 35 percent of such revenues in the Houston office.INTRODUCTION

As alluded to in the above quote, the size of a city-based audit engagement office could bea more crucial determinant of audit quality and thus audit feesthan the size of anational-level audit firm because the city-based office is a semi-autonomous unit withinan audit firm with its own client base.It is an office-based engagement partner or audit team, notnational headquarters, who actually administers and implements individual audit engagement con-tracts, including the delivery of audit services and the issuance of an audit opinion.In this regard,Wallman(1996)and Francis(2004)argue that the assessment of auditor independence needs tofocus more on the individual office level rather than the entire firm level because most of the auditdecisions with respect to a particular client are made within each individual office.The anecdotalevidence on the collapse of Enron, which was audited by the Houston office of Arthur Andersen,is a good example that demonstrates the importance of office-level audit quality.However, much of extant audit research has focused its attention on two national-level audit firm characteristics asfundamental determinants of audit quality, namely: audit firm size(e.g., Simunic and Stein 1987;Becker et al.1998;Francis and Krishnan 1999;Kim et al.2003;Choi and Doogar 2005), andauditor industry leadership(e.g., DeFond et al.2000;Balsam et al.2003;Krishnan 2005).These studies find, in general, that large audit firms with international brand names(i.e., Big4 auditors)or industry expertise provide higher-quality audit services than small audit firms which lack such brand names or industry expertise.Implicit in this line of research is the assumptionthat audit quality is homogeneous across offices of various sizes located in different cities withinthe same audit firm.As a result, we have little evidence on cross-office differences in audit quality,and in particular, whether and how the size of a local engagement office has an impact on auditquality and/or audit pricing.A natural question

to

ask

is:

Is

the

office

size

an additionalengagement-specific factor determining audit quality and thus audit pricing over and beyond auditfirm size and industry leadership? We aim to provide direct evidence on this unexplored question.Several recent studies provide indirect evidence suggesting that audit quality may differacross different engagement offices within an audit firm.For example, in the first U.S.study thatuses each engagement office as the unit of analysis, Reynolds and Francis(2000, 375)find thatwhen client size is measured at the office level using office-specific clienteles, “Big 5 auditorsreport

more

conservatively

for

larger clients.”Further,Ferguson et al.(2003)and Francis et al.(2005)find that city-specific, office-level industry leadership, when combined with the national-level leadership, generates the highest audit fee premiums and thus, by inference, higher auditquality in the Australian and U.S.audit markets, respectively, while national-level industry lead-ership alone has no effect.Subsequently, Francis et al.(2006)document that client earningsquality proxied by abnormal accruals is higher when auditors are city-level industry leaders alone,or they are both city-level and national-level industry leaders.Put differently, their results indicatethat national-level industry leadership alone has no significant impact on audit quality.Morerecently, Choi et al.(2007)show that the geographical proximity of the city-based engagementoffice to clients’ headquarters is positively associated with the accrual quality of clients, suggest-ing that the geographical location of the auditor’s office is an important engagement-specificdeterminant of audit quality.The above findings, taken together, suggest that city-based, office-level characteristics may play an important role in determining audit quality and thus audit pricing.It should be pointed out, however, that none of these studies has paid attention to the question ofwhether the size of a local engagement office is systematically associated with audit quality andfees paid to auditors.To bridge this gap in our knowledge, we investigate a hitherto under-researched question ofwhether, and how, the size of a local engagement office hereafter, office sizeis associated withaudit quality and audit pricing.We first hypothesize that office size is systematically associatedwith audit quality even after controlling for audit firm size at the national level and auditorindustry expertise at the office level.As will be further elaborated in the next section, one would observe a positive association if the audits by large offices are of higher quality than the audits bysmall offices.Second, we also examine the association between the office size and audit fees.Previous research shows that audit quality is priced in the market(Choi et al.2008;Craswell et al.1995;Ferguson et al.2003;Francis et al.2005).To the extent that the office size is positivelyassociated with audit quality, one can predict that the larger is the office size, the higher is theaudit quality, and thus the greater is the audit fee.Therefore, a positive association between theoffice size and audit fees could be viewed as evidence corroborating the positive associationbetween the office size and audit quality.In testing our hypotheses, we assert that biased earnings reporting can be used to drawinferences about audit quality, and we use the magnitude of abnormal accruals as a proxy for auditquality.To measure abnormal accruals, we rely on two alternative models developed by Ball andShivakumar(2006)and Kothari et al.(2005).In addition, we estimate the size of a local engage-ment office using the Audit Analytics database, which provides the identity of audit engagementoffices for all SEC registrant clients.We measure office size in two different ways: one based onthe number of audit clients in each office, and the other based on a total of audit fees earned byeach office.Briefly, our results reveal that in the U.S.audit market, both audit quality and audit fees arepositively associated with office size after controlling for audit firm size at the national levelproxied by a Big 4 dummy variable , industry leadership at the local office level proxied by anindustry specialist dummy variable), and other relevant factors.These results are robust to abattery of sensitivity checks we perform.Our study contributes to the existing literature in several ways.First, our paper is one of fewstudies which document that audit quality is not homogeneous across local offices within an auditfirm.To our knowledge, our paper is one of the first studies that provide direct evidence that thesize of an

audit

engagement

office

is

an

important engagement-specific determinant of auditquality in the U.S.The results of our study suggest that future research on audit quality differentiation needs to pay more attention to office-level auditor behavior as the unit of analysis and tothe size of a local engagement office.Second, this paper is the first to consider office size as acritical factor in audit pricing.Given that no previous research has examined whether audit feesare influenced by the size of a local office, our evidence helps us better understand the nature ofauditor-client relationships in the context of audit pricing.Finally, the findings in this study provide both regulators and practitioners with useful insightsinto what determines audit quality and thus audit fees.Our results suggest that regulators wouldhave a better assessment of audit quality if they shift the level of quality comparison to smallversus large auditors at the office level, and away from Big 4 versus non-Big 4 auditors at thenational level.Economic theory on quality premiums claims that producing goods and services ofa uniform quality for various markets and consumers over time is crucial for maintaining qualitypremiums(e.g., Klein and Leffler 1981;Kreps and Wilson 1982;Shapiro 1983).Similarly, ourevidence suggests that large, Big 4 auditors should take care to maintain a similar level of auditquality across offices of different sizes because a systematically poor-quality audit service per-formed by a local office could potentially cause damage to the reputation for the entire audit firm.HYPOTHESIS DEVELOPMENT Office Size and Audit Quality A growing body of audit research emphasizes the importance of analyzing the behavior ofauditors in city-based, local engagement offices.However, none of these studies has paid atten-tion to the size of a local office in the context of audit quality.Why does the office size matter inaudit quality over and beyond two well-known audit firm characteristics, i.e., audit firm size orbrand name(Big 4 versus non-Big 4)and industry expertise? In DeAngelo’s(1981b)framework, an auditor’s incentive to compromise audit quality withrespect to a particular client depends on the economic importance of the client relative to theauditor’s client portfolio.Her analysis indicates that large auditors are likely to provide higher-quality audit services to a particular client than small auditors because an auditor’s economicdependence on that client is negligible for large auditors, and large auditors have more to lose(i.e.,bear higher reputation loss)in case of audit failures, compared with small auditors.DeAngelo’s(1981b)theory can also be applied to the analysis of audit quality differentiationbetween large versus small offices, because a local engagement office can be viewed as a semi-autonomous unit in terms of its audit decisions, client base, revenue sources, and other factors(Francis 2004;Francis et al.2006;Wallman 1996).Large local offices are less likely to depend ona particular client than small local offices because the former have deeper office-level clientelesand thus are less economically dependent on a particular client.In other words, large offices areless likely to acquiesce to client pressure for substandard reporting than small offices.Further, local offices, whether small or large, may not bear the full amount of reputationlosses associated with an audit failure because a substantial portion of the reputation losses arelikely borne by the national-level audit firm itself.While the reputation losses in the event of auditfailures are likely to be greater for large audit firms(DeAngelo1981b), the losses are not necessarily greater for large local offices than for small local offices, because these costs are morefirm-wide in nature rather than office-specific.This means that local offices may be more concerned with the economic importance of a particular client than a potential litigation risk fromaudit failures, in particular, when the offices are small in size.The above arguments lead us topredict that large local offices with relatively deep local clienteles are less likely to compromise audit quality with respect to a particular client, and thus that they are likely to provide higher-quality audit services, ceteris paribus, compared with small local offices with relatively thin localclienteles.In such a case, one would observe a positive association between office size and auditquality.We call this prediction the economic dependence perspective.SUMMARY AND CONCLUDING REMARKS While previous auditing research has examined whether and how audit fees and audit qualityare influenced by audit firm size at the national level and auditor industry leadership at both thenational level and the city level, this line of research has paid little attention to the effect of thesize of a local engagement office within an audit firm(i.e., office size)in the context of auditquality and audit pricing.Unlike previous research, the focus of this paper is on whether the officesize is an additional, engagement-specific factor determining audit quality and audit pricing overand beyond national-level audit firm size and office-level industry leadership.Our results can besummarized as follows.First, we find that the office size is positively associated with audit quality proxied by un-signed abnormal accruals.Our finding is consistent with what we call the economic dependenceperspective: large(small)local offices with deep office-level clienteles are less(more)likely to depend on a particular client, and thus are better(less)able to resist client pressure on substandardor biased reporting.Second, we find that large local offices are able to charge higher audit fees totheir clients than small ones, which is consistent with the view that large offices provide higher-quality audits than small offices, and this quality differential is priced as a fee premium in themarket for audit services.However, the above finding is at odds with the view that large officeshave a cost advantage in producing audit services of similar quality and thus are able to chargelower billing rates compared with small offices.Taken together, our results highlight that officesize is one of the most important engagement-specific determinants of audit quality and auditpricing.Last, while we use two alternative, advanced accrual models to alleviate a concern overthe limitations inherent in the Jones(1991)model estimates of abnormal accruals, our measures ofaudit quality, namely unsigned abnormal accruals, may suffer from nontrivial measurement errors.We therefore cannot completely rule out the possibility that the estimated coefficients on our testvariables are biased.However, given that a contemporaneous study of Francis and Yu(2009)documents the same positive association between audit quality and audit office size using twoadditional proxies for audit quality, i.e., auditors’ tendency to issue going-concern opinion andclient firms’ likelihood to meet earnings benchmarks, we believe that our results are unlikelydriven by possible measurement errors.Overall, our results suggest that both regulators and audit firms should pay more attention tothe behavior of small offices because they are more likely to be economically dependent on aparticular client, and thus to compromise audit quality.In particular, Big 4 audit firms may need toimplement strategies for providing a more homogenous level of audit services across offices ofdifferent sizes because a poor-quality audit by a small office could significantly damage thereputation of the entire firm.In today’s global business environment, the issue of maintaining“uniform quality” should be an even more important concern to reputable auditors because theirbusiness becomes increasingly internationalized in terms of locations and client profiles.Forexample, it may be more difficult for Big 4 audit firms to maintain uniform quality of service atthe office level across different jurisdictions around the world.Further, local offices in differentjurisdictions(e.g., European Union and China)have their own client bases and are likely to bemore autonomous in making audit-related decisions than those within the U.S.It is thereforepossible that the size of a local practicing office plays a more significant role in determining thequality of audit services in other non-U.S.jurisdictions than in the U.S.Given the scarcity ofinternational evidence regarding the effect of audit office size on audit quality and audit pricing,we recommend further research on the issue using international samples from different jurisdic-tions.審計(jì)辦事處規(guī)模，審計(jì)質(zhì)量與審計(jì)定價(jià)

Jong-Hag Choi, Chansog(Francis)Kim, Jeong-Bon Kim, and YoonseokZang 摘要：此論文使用2000-2005年間對(duì)美國(guó)審計(jì)事務(wù)所大量取樣的所得數(shù)據(jù)，以此調(diào)查審計(jì)事務(wù)所中當(dāng)?shù)剞k事處規(guī)模大小對(duì)審計(jì)質(zhì)量和審計(jì)價(jià)格。實(shí)證檢驗(yàn)中，審計(jì)質(zhì)量是由異常應(yīng)計(jì)來(lái)衡量的，辦事處規(guī)模則有兩種衡量方法：一個(gè)是基于每個(gè)辦事處的審計(jì)客戶數(shù)量，另一個(gè)是基于每個(gè)辦事處掙得的審計(jì)費(fèi)用總額。調(diào)查結(jié)果顯示，辦事處規(guī)模大小對(duì)審計(jì)質(zhì)量與審計(jì)費(fèi)用都有著明顯的正相關(guān)關(guān)系，即使控制了國(guó)家級(jí)審計(jì)公司的規(guī)模以及辦公水平行業(yè)，結(jié)果也是如此。這正相關(guān)關(guān)系印證了規(guī)模大的本土辦事處相對(duì)規(guī)模小的辦事處來(lái)說(shuō)，能過(guò)提供更高質(zhì)量的審計(jì)。質(zhì)量上的差異在審計(jì)市場(chǎng)中有價(jià)碼的差別。關(guān)鍵字：審計(jì)事務(wù)所，辦事處規(guī)模，審計(jì)質(zhì)量，審計(jì)定價(jià) 數(shù)據(jù)可用性：數(shù)據(jù)皆為公開可用，論文中有指明數(shù)據(jù)來(lái)源。

當(dāng)我們把對(duì)事務(wù)所整體的分析轉(zhuǎn)變?yōu)閷?duì)特定的城市中的辦事處的分析時(shí)，我們對(duì)審計(jì)事務(wù)所的看法同時(shí)也有了劇烈的變化。根據(jù)迪安哥羅在1981年的論證，當(dāng)分析辦事處規(guī)模時(shí)，四大會(huì)計(jì)師事務(wù)時(shí)也就沒(méi)有那么大了。舉例來(lái)說(shuō)，如果安然公司代表安達(dá)信會(huì)計(jì)事務(wù)所上市客戶小于2%的收入，那他代表的就是休斯敦辦事處大于35%的利潤(rùn)。

簡(jiǎn)介

正如前文所說(shuō)，相對(duì)于國(guó)家級(jí)辦事處來(lái)說(shuō)，市級(jí)審計(jì)辦事處的規(guī)模對(duì)審計(jì)質(zhì)量有著更為重要的決定作用。因?yàn)槭屑?jí)辦事處是半自治的單位，在審計(jì)公司中有他專屬的客戶群。真正管理和執(zhí)行審計(jì)委托合同（包括審計(jì)服務(wù)的交付和審核意見的發(fā)表）的并不是全國(guó)總部，而是辦事處合作伙伴。就這點(diǎn)而言，威廉與弗蘭西斯提出觀點(diǎn)，審計(jì)獨(dú)立性的評(píng)估需要更多地關(guān)注辦事處的程度而不是整體公司的程度。因?yàn)樘囟蛻舻拇蠖鄶?shù)的審計(jì)決定都是由單獨(dú)的辦事處制定的。由安達(dá)信會(huì)計(jì)師事務(wù)所休斯敦辦事處所審計(jì)的安然集團(tuán)的倒閉便是一個(gè)很好的例子，證明辦事處級(jí)別的審計(jì)質(zhì)量的重要性之高。然而，現(xiàn)在許多審計(jì)研究都把焦點(diǎn)集中于國(guó)家級(jí)審計(jì)公司的特點(diǎn)，認(rèn)為兩個(gè)審計(jì)質(zhì)量基本的決定性因素是審計(jì)公司規(guī)模和審計(jì)行業(yè)領(lǐng)導(dǎo)。

研究發(fā)現(xiàn)，一般而言，擁有國(guó)際知名商標(biāo)的大審計(jì)公司（比如四大）或是有行業(yè)專長(zhǎng)的公司比非有名及缺乏行業(yè)專長(zhǎng)的小公司擁有更高質(zhì)量的審計(jì)服務(wù)。這個(gè)研究隱含的假設(shè)是同一公司在不同城市的不同規(guī)模的辦事處的審計(jì)質(zhì)量是平均的。因此，我們幾乎沒(méi)有收集到不同辦事處的審計(jì)質(zhì)量的差別，特別是本土辦事處的規(guī)模是否影響到審計(jì)質(zhì)量或是審計(jì)定價(jià)。所以有一個(gè)問(wèn)題：辦事處規(guī)模是不是決定審計(jì)質(zhì)量的另一個(gè)因素因此審計(jì)定價(jià)比審計(jì)公司規(guī)模和行業(yè)領(lǐng)先地位的高。我們只在為這個(gè)還沒(méi)解決的問(wèn)題提供直接的證據(jù)。最近有幾項(xiàng)研究都提供直接證據(jù)證明同一公司的不同辦事處的審計(jì)質(zhì)量有所不同。例如，最初美國(guó)的雷諾和弗朗西斯使用單獨(dú)的辦事處作為研究的單位，他們發(fā)現(xiàn)當(dāng)用具體辦事處的客戶來(lái)衡量客戶規(guī)模時(shí)，“五大審計(jì)師對(duì)大客戶更為謹(jǐn)慎?！贝送?，弗格森和弗朗西斯等發(fā)現(xiàn)，在澳大利亞和美國(guó)審計(jì)市場(chǎng)中，當(dāng)市級(jí)行業(yè)領(lǐng)先水平與國(guó)家級(jí)領(lǐng)先水平聯(lián)合時(shí)，審計(jì)收費(fèi)是最高的。而單獨(dú)國(guó)家級(jí)行業(yè)領(lǐng)先水平則沒(méi)有這樣的效果。隨后，弗朗西斯等證實(shí)如果審計(jì)師是市級(jí)行業(yè)領(lǐng)導(dǎo)者或同時(shí)為國(guó)家級(jí)與市級(jí)領(lǐng)導(dǎo)水平時(shí)，非正常應(yīng)計(jì)所代理的客戶收益相對(duì)較高。換句話說(shuō)，研究結(jié)果表明單獨(dú)的國(guó)家級(jí)領(lǐng)先水平對(duì)審計(jì)質(zhì)量沒(méi)有特別顯著的影響。最近，崔等人指出辦事處與總部的地理集中程度和客戶的應(yīng)計(jì)質(zhì)量成正相關(guān)，說(shuō)明審計(jì)辦事處的地理位置對(duì)審計(jì)質(zhì)量是有決定性影響的。整合以上的發(fā)現(xiàn)，說(shuō)明本地辦事處規(guī)模對(duì)審計(jì)質(zhì)量以及審計(jì)定價(jià)的決定起很重要的作用。這里需要指出的是，盡管如此，卻沒(méi)有研究者關(guān)注過(guò)本地辦事處的規(guī)模是否與審計(jì)質(zhì)量以及審計(jì)收費(fèi)有系統(tǒng)性聯(lián)系這個(gè)問(wèn)題。

為了填補(bǔ)這一知識(shí)空缺，我們決定調(diào)查這個(gè)迄今還未被研究過(guò)的問(wèn)題，即辦事處規(guī)模是否與審計(jì)質(zhì)量和定價(jià)有關(guān)系以及如何聯(lián)系。首先我們假設(shè)辦事處規(guī)模與審計(jì)質(zhì)量有系統(tǒng)性關(guān)聯(lián)，即使控制了國(guó)家標(biāo)準(zhǔn)的審計(jì)公司規(guī)模和行業(yè)專長(zhǎng)這兩個(gè)變量。如果大公司的審計(jì)質(zhì)量比小公司高，則說(shuō)明是正相關(guān)關(guān)聯(lián)，這我們?cè)谙挛臅?huì)做進(jìn)一步闡述。接著，我們還檢驗(yàn)了辦事處規(guī)模與審計(jì)定價(jià)之間的關(guān)系。之前有研究指出審計(jì)質(zhì)量在市場(chǎng)上被標(biāo)價(jià)。辦事處規(guī)模與審計(jì)質(zhì)量正相關(guān)，以此來(lái)看，我們可以推測(cè)，辦事處規(guī)模越大，審計(jì)質(zhì)量越高，因此審計(jì)費(fèi)用也會(huì)越多。所以，我們可以由辦事處規(guī)模和審計(jì)定價(jià)的正相關(guān)關(guān)系推出辦事處規(guī)模和審計(jì)質(zhì)量的正相關(guān)關(guān)系。

為了檢驗(yàn)之前的假設(shè)，我們用有偏向性的收益報(bào)告來(lái)作關(guān)于審計(jì)質(zhì)量的推論，另外我們用非正常應(yīng)計(jì)的級(jí)數(shù)來(lái)代表審計(jì)質(zhì)量。衡量非正常應(yīng)計(jì)時(shí)，我們使用由保爾和庫(kù)瑪和科薩里等人開發(fā)的兩個(gè)備擇模型。此外，我們用審計(jì)分析數(shù)據(jù)庫(kù)來(lái)估量本地辦事處的規(guī)模，此數(shù)據(jù)庫(kù)為美國(guó)證券交易委員會(huì)注冊(cè)的客戶提供審計(jì)辦事處的身份認(rèn)證。

衡量辦事處規(guī)模大小的方法有多種，一種是基于每個(gè)辦事處的審計(jì)客戶數(shù)量，另一種是基于每個(gè)辦事處所掙得的審計(jì)費(fèi)用。

簡(jiǎn)單來(lái)說(shuō)，研究結(jié)果指出在美國(guó)的審計(jì)市場(chǎng)，（控制審計(jì)公司規(guī)模為國(guó)家標(biāo)準(zhǔn)，行業(yè)領(lǐng)先水準(zhǔn)為國(guó)家標(biāo)準(zhǔn)以及其他相關(guān)因素）審計(jì)質(zhì)量和審計(jì)費(fèi)用都與辦事處規(guī)模呈正相關(guān)。這樣的結(jié)果與我們所做的一連串靈敏度測(cè)試一致。

我們的研究完善了現(xiàn)存的文獻(xiàn)，體現(xiàn)在幾方面。第一，該論文論證了同一審計(jì)公司的不同辦事處的審計(jì)質(zhì)量并不是相同的。就我們所知，在美國(guó)，我們的論文是最先有直接證據(jù)證明審計(jì)辦事處的規(guī)模是決定審計(jì)質(zhì)量的重要因素。研究結(jié)果指出，今后有關(guān)審計(jì)質(zhì)量差異的研究應(yīng)多關(guān)注辦事處審計(jì)師行為以及本地辦事處的規(guī)模。其次，本文最先提出辦事處規(guī)模是影響審計(jì)定價(jià)的關(guān)鍵因素。先前從未有研究驗(yàn)證審計(jì)費(fèi)用是否被本地辦事處規(guī)模所影響，我們的證據(jù)可以讓人們更好地了解在審計(jì)定價(jià)下審計(jì)師與客戶的關(guān)系。

最后，該研究結(jié)果為調(diào)查者和從業(yè)者提供了實(shí)用的關(guān)于審計(jì)質(zhì)量和審計(jì)定價(jià)的見解。我們的研究結(jié)果建議調(diào)查者如果把質(zhì)量等級(jí)比較改為大小公司審計(jì)員之分的比較，則該有一個(gè)更好的對(duì)于審計(jì)質(zhì)量的評(píng)估。質(zhì)量溢價(jià)的經(jīng)濟(jì)理論要求為不同的市場(chǎng)提供統(tǒng)一質(zhì)量的產(chǎn)品和服務(wù)，消費(fèi)者始終是維持質(zhì)量溢價(jià)的關(guān)鍵。同樣的，我們的證據(jù)顯示，四大會(huì)計(jì)師行應(yīng)該在不同規(guī)模的辦事處維持相近水準(zhǔn)的審計(jì)質(zhì)量，因?yàn)橐粋€(gè)當(dāng)?shù)剞k事處所犯的系統(tǒng)性低質(zhì)量的服務(wù)錯(cuò)誤能導(dǎo)致整個(gè)審計(jì)公司的名譽(yù)損失。

假說(shuō)發(fā)展

越來(lái)越多的審計(jì)調(diào)查強(qiáng)調(diào)在本地公司或當(dāng)?shù)剞k事處工作的審計(jì)師的分析行為的重要性。但是，卻沒(méi)有一份調(diào)查是關(guān)注當(dāng)?shù)剞k事處規(guī)模大小背景下的審計(jì)質(zhì)量。為什么公司規(guī)模對(duì)審計(jì)質(zhì)量的影響超過(guò)另外兩種著名審計(jì)公司的特征，也就是審計(jì)公司的品牌（四大和非四大）和工業(yè)的專門技能。

在迪安哥拉的體系中，一個(gè)審計(jì)師的動(dòng)機(jī)對(duì)于審計(jì)質(zhì)量的妥協(xié)是關(guān)于個(gè)別客戶的經(jīng)濟(jì)意義決定并且和審計(jì)師的客戶的投資組合有關(guān)。他的分析指出高級(jí)審計(jì)師比低級(jí)審計(jì)師更傾向于提供更高質(zhì)量的審計(jì)服務(wù)給個(gè)別客戶。因?yàn)閷?duì)于審計(jì)師來(lái)說(shuō)，他的經(jīng)濟(jì)觀受客戶的影響是可以忽略不計(jì)的，還有相比于低級(jí)審計(jì)師來(lái)說(shuō)，高級(jí)審計(jì)師有更多可以去輸（比方說(shuō)，承受更高榮譽(yù)的損失）以防審計(jì)失誤。迪安哥拉的理論還可以應(yīng)用于造成大公司和小公司之間的審計(jì)質(zhì)量的不同。因?yàn)楫?dāng)?shù)氐膶徲?jì)公司根據(jù)它的審計(jì)決定，客戶群，收入來(lái)源還有其它事實(shí)可以看做是一個(gè)半自治的聯(lián)盟。大的審計(jì)公司相對(duì)于小的審計(jì)公司來(lái)說(shuō)更沒(méi)可能依靠某些個(gè)別的客戶因?yàn)榍罢哂懈鼮閺V泛的客戶源，因此在經(jīng)濟(jì)上依賴個(gè)別客戶的可能性更小。換言之，大公司更不可能像小公司一樣在個(gè)別客戶的施壓下默認(rèn)一些不符合標(biāo)準(zhǔn)的報(bào)告。

更進(jìn)一步的說(shuō)，本地審計(jì)公司，不管是大的還是小的，都不想因?yàn)閷徲?jì)失誤而承受全部名譽(yù)的損失因?yàn)閷?duì)于國(guó)家級(jí)別的公司來(lái)說(shuō)它們只是更可能只是損失了一部分的名譽(yù)。萬(wàn)一因?yàn)閷徲?jì)失誤發(fā)生榮譽(yù)損失，對(duì)于大公司來(lái)說(shuō)更容易承受，這樣的損失對(duì)大公司來(lái)說(shuō)更好承擔(dān)一些。因?yàn)檫@些代價(jià)對(duì)于特定的某些公司和一些大公司來(lái)說(shuō)是不一樣的。特別來(lái)說(shuō)，這就意味著當(dāng)?shù)毓镜囊?guī)模比較小的時(shí)候會(huì)更多的考慮個(gè)別客戶的經(jīng)濟(jì)的重要性而不是潛在可能造成官司的審計(jì)失誤。上面的討論可以讓我們預(yù)測(cè)，在其它條件相同時(shí)，相對(duì)于客源小的公司，有一定的大范圍的客戶的大審計(jì)公司是更不可能對(duì)某些個(gè)別的客戶在審計(jì)質(zhì)量上由于尊重而妥協(xié)。因此他們更可能提供高水準(zhǔn)的審計(jì)服務(wù)。在這種情況下，客戶會(huì)對(duì)公司規(guī)模大小和審計(jì)質(zhì)量產(chǎn)生樂(lè)觀的聯(lián)系。我們把這稱之為經(jīng)濟(jì)信賴觀點(diǎn)。

總結(jié)與評(píng)注

前面所述調(diào)研主要研究國(guó)家級(jí)審計(jì)辦事處規(guī)模和市級(jí)或國(guó)家級(jí)的審計(jì)行業(yè)趨勢(shì)是否對(duì)審計(jì)費(fèi)用和審計(jì)質(zhì)量造成影響，以及如何影響。此處聲明，在審計(jì)質(zhì)量和審計(jì)費(fèi)用一定的情況下，此研究不考慮審計(jì)公司內(nèi)部審計(jì)部門的影響。此論文主要探究辦事處規(guī)模是否是除國(guó)家級(jí)審計(jì)公司規(guī)模和公司級(jí)審計(jì)行業(yè)標(biāo)準(zhǔn)外，影響審計(jì)質(zhì)量和審計(jì)費(fèi)用的一個(gè)額外的、有條件的因素。

首先，我們發(fā)現(xiàn)辦事處的規(guī)模大小是與審計(jì)質(zhì)量正相關(guān),表現(xiàn)為無(wú)符號(hào)的異常收益。這個(gè)結(jié)果于我們所說(shuō)的經(jīng)濟(jì)意義相一致；擁有忠實(shí)的公司級(jí)客戶群的高級(jí)（或低級(jí)）辦事處很少依賴于個(gè)別幾個(gè)客戶，因此，這些辦事處就很少因?yàn)榭蛻羰憾摷偕蠄?bào)。其次，我們發(fā)現(xiàn)當(dāng)?shù)氐母呒?jí)辦事處收費(fèi)比小型的辦事處要高。這也是和我們發(fā)現(xiàn)的高級(jí)辦事處的審計(jì)質(zhì)量普遍要高于小型辦事處的結(jié)論，同時(shí)這種高質(zhì)量的服務(wù)在市場(chǎng)上是作為審計(jì)溢價(jià)計(jì)算的。但是，以上結(jié)論卻于另一種理論相矛盾。該理論認(rèn)為大型辦事處的優(yōu)勢(shì)在于提供與小型辦事處相似的服務(wù)卻有更高的收費(fèi)，因而計(jì)費(fèi)費(fèi)率也較低?？偠灾覀兊慕Y(jié)論強(qiáng)調(diào)辦事處規(guī)模是影響審計(jì)質(zhì)量和審計(jì)費(fèi)用的其中一個(gè)重要因素。最后一點(diǎn)，當(dāng)我們使用這兩種可互換的先進(jìn)模型來(lái)減少在瓊斯模型中對(duì)不正常收益的估計(jì)缺陷時(shí)，我們可能犯了一些很重要的計(jì)算錯(cuò)誤。因此，我們無(wú)法排除在測(cè)試中所估算出的系數(shù)有偏差的可能性。但是，在根據(jù)Francis 和Yu的論述：審計(jì)質(zhì)量和審計(jì)辦事處規(guī)模成正相關(guān)，也就是說(shuō)，審計(jì)師將越來(lái)越關(guān)注這兩者的關(guān)系同時(shí)客戶公司也將從中獲取不少好處。我們自信這個(gè)結(jié)論沒(méi)有任何破綻。

總的來(lái)說(shuō)，我們的結(jié)論是：鑒于個(gè)別客戶對(duì)小型審計(jì)辦事處來(lái)說(shuō)，經(jīng)濟(jì)意義更大，通常這類公司會(huì)更加注重審計(jì)質(zhì)量。因此，審計(jì)監(jiān)察部門和審計(jì)公司應(yīng)該多加關(guān)注小型辦事處的相關(guān)做法，從而提高自身的審計(jì)質(zhì)量。特別是四大會(huì)計(jì)師事務(wù)所在處理相似的審計(jì)服務(wù)時(shí)，更應(yīng)該實(shí)施跨規(guī)模的措施，因?yàn)槿魏我粋€(gè)審計(jì)部門的審計(jì)失誤都將使公司名聲掃地。在全球化的今天，各大跨國(guó)公司遍布全球各地，擁有國(guó)際化的客戶，保障“始終如一的高質(zhì)服務(wù)”是所有跨國(guó)公司的高級(jí)審計(jì)師越來(lái)越關(guān)注的問(wèn)題。例如，由于各會(huì)計(jì)事務(wù)所所在國(guó)家或地區(qū)的不同，所需遵循的司法體系也有很大不同，如何在這樣的環(huán)境中“保持始終如一的高質(zhì)服務(wù)”對(duì)四大會(huì)計(jì)師事務(wù)所來(lái)說(shuō)無(wú)疑是一種挑戰(zhàn)。再者，處于不同司法體系下的事務(wù)所又擁有不同的客戶群，這些事務(wù)所在制定審計(jì)方法方面需要比在美國(guó)當(dāng)?shù)氐姆止居懈蟮淖灾鳈?quán)。因此，當(dāng)?shù)厥聞?wù)所對(duì)審計(jì)質(zhì)量的影響可能要比在美國(guó)相同規(guī)模的事務(wù)所大。鑒于，國(guó)際上很少有人論證審計(jì)辦事處規(guī)模對(duì)審計(jì)質(zhì)量和審計(jì)費(fèi)用的影響，我們希望大家能從這個(gè)角度共同來(lái)探究不同體系下的國(guó)際案例。

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

課題名稱：計(jì)算機(jī)網(wǎng)絡(luò)安全 姓名：呂金亮 班級(jí)：1031網(wǎng)絡(luò) 專業(yè)：計(jì)算機(jī)應(yīng)用 指導(dǎo)教師： 完成日期：

摘要:

21世紀(jì)的一些重要特征就是數(shù)字化，網(wǎng)絡(luò)化和信息化，它是一個(gè)以網(wǎng)絡(luò)為核心的信息時(shí)代。隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會(huì)發(fā)展的重要組成部分。它涉及到政府、經(jīng)濟(jì)、文化、軍事等諸多領(lǐng)域。由于計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)信息容易受到來(lái)自黑客竊取、計(jì)算機(jī)系統(tǒng)容易受惡意軟件攻擊，因此，網(wǎng)絡(luò)信息資源的安全及管理維護(hù)成為當(dāng)今信息話時(shí)代的一個(gè)重要話題。

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化,闡述了我國(guó)發(fā)展民族信息安全體系的重要性及建立有中國(guó)特色的網(wǎng)絡(luò)安全體系的必要性,以及網(wǎng)絡(luò)面臨的安全性威脅（黑客入侵）及管理維護(hù)（防火墻安全技術(shù)）。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì)，包括對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對(duì)網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時(shí)就信息交換加密技術(shù)的分類及RSA算法做了簡(jiǎn)要的分析，論述了其安全體系的構(gòu)成。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò) 防火墻 數(shù)據(jù)加密

目錄

首頁(yè)........................................................................1 目錄........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 網(wǎng)絡(luò)安全技術(shù)的研究目的 意義和背景....................................4 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義.................................................5 第二章 網(wǎng)絡(luò)安全初步分析 2.1 網(wǎng)絡(luò)安全的必要性.....................................................6 2.2 網(wǎng)絡(luò)的安全管理.......................................................6 2.2.1安全管理原則.................................................6 2.2.2安全管理的實(shí)現(xiàn).................................................7 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品

2.3.1 防火墻技術(shù)....................................................7 2.3.2 數(shù)據(jù)加密技術(shù)..................................................7 2.3.3 認(rèn)證技術(shù)......................................................7 2.3.4 計(jì)算機(jī)病毒的防范..............................................7 2.4 常見的網(wǎng)絡(luò)攻擊及防范對(duì)策...............................................8 2.4.1 特洛伊木馬....................................................8 2.4.4 淹沒(méi)攻擊......................................................8 第三章 網(wǎng)絡(luò)攻擊分析及特點(diǎn)........................................................9 第四章 網(wǎng)絡(luò)安全面臨的威脅 3.1自然災(zāi)害 3.2網(wǎng)絡(luò)軟件漏洞 3.3黑客的威脅和攻擊 3.4計(jì)算機(jī)病毒

3.5垃圾郵件和間諜軟件 3.6計(jì)算機(jī)犯罪

第4章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略

4.1 防火墻技術(shù)

4.1.1 防火墻的主要功能 4.1.2 防火墻的主要優(yōu)點(diǎn) 4.1.3 防火墻的主要缺陷 4.1.4 防火墻的分類 4.1.5 防火墻的部署 4.2 數(shù)據(jù)加密技術(shù) 4.3 系統(tǒng)容災(zāi)技術(shù) 4.4 入侵檢測(cè)技術(shù)

4.4.1 入侵檢測(cè)系統(tǒng)的分類 4.4.2 目前入侵檢測(cè)系統(tǒng)的缺陷

4.4.3 防火墻與入侵檢測(cè)系統(tǒng)的相互聯(lián)動(dòng) 4.4.4 結(jié)語(yǔ) 4.5 漏洞掃描技術(shù)

4.6 物理安全

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇......................................................12 4.2 加密技術(shù)................................................................12 4.2.1 對(duì)稱加密技術(shù).....................................................12 4.2.2 非對(duì)稱加密/公開密鑰加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注冊(cè)與認(rèn)證管理...........................................................13 4.3.1 認(rèn)證機(jī)構(gòu)...........................................................13 4.3.2 注冊(cè)機(jī)構(gòu)..........................................................13 4.3.3 密鑰備份和恢復(fù)....................................................13 第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向................................................14 5.1.1 包過(guò)濾型..........................................................14 5.1.2 代理型............................................................14

結(jié)束語(yǔ).....................................................................15 參 考 文 獻(xiàn)

第一章 引言

1.1 概述

我們知道, 21世紀(jì)的一些重要特征就是數(shù)字化,網(wǎng)絡(luò)化和信息化,它是一個(gè)以網(wǎng)絡(luò)為核心的信息時(shí)代。要實(shí)現(xiàn)信息化就必須依靠完善的網(wǎng)絡(luò)，因?yàn)榫W(wǎng)絡(luò)可以非常迅速的傳遞信息。因此網(wǎng)絡(luò)現(xiàn)在已成為信息社會(huì)的命脈和發(fā)展知識(shí)經(jīng)濟(jì)的基礎(chǔ)。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問(wèn)題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)的用戶來(lái)自社會(huì)各個(gè)階層與部門時(shí)，大量在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)就需要保護(hù)。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)特色的網(wǎng)絡(luò)安全體系。

一個(gè)國(guó)家的安全體系實(shí)際上包括國(guó)家的法律和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建信息信息防衛(wèi)系統(tǒng)時(shí),應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品,我國(guó)要想真正解決網(wǎng)絡(luò)安全問(wèn)題,最終的辦法就是通過(guò)發(fā)展名族的安全產(chǎn)業(yè),帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾個(gè)特點(diǎn)：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷的變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷的向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題，對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)數(shù)字化、網(wǎng)絡(luò)化、信息化的發(fā)展將起到非常重要的作用。

1.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景

目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會(huì)帶來(lái)巨大的損失。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。

隨著計(jì)算機(jī)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)；給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸銘感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全性和保密性尤為重要。因此，上述的網(wǎng)絡(luò)必須要有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú)用、甚至?xí)C(jī)國(guó)家安全的網(wǎng)絡(luò)。無(wú)論是在局域網(wǎng)中還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性，故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位的針對(duì)各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及技術(shù)措施。

認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程，是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺(jué)執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用現(xiàn)金的技術(shù)和產(chǎn)品，構(gòu)造全防衛(wèi)的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。

1.3 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者的不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害，軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件極其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

第二章 網(wǎng)絡(luò)安全初步分析

2.1 網(wǎng)絡(luò)安全的必要性

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征。人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，適應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的，各國(guó)都在建設(shè)自己的信息高速公路。我國(guó)近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國(guó)防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長(zhǎng)的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。

2.2 網(wǎng)絡(luò)的安全管理

面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)安全的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題。

2.2.1安全管理原則

網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個(gè)原則： ① 多人負(fù)責(zé)原則

每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動(dòng)有：訪問(wèn)控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護(hù)，系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改，重要數(shù)據(jù)的刪除和銷毀等。

② 任期有限原則

一般來(lái)講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期的循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。③ 職責(zé)分離原則

除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開：計(jì)算機(jī)操作與計(jì)算機(jī)編程、機(jī)密資料的接收與傳送、安全管理與系統(tǒng)管理、應(yīng)用程序和系統(tǒng)程序的編制、訪問(wèn)證件的管理與其他工作、計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。

2.2.2 安全管理的實(shí)現(xiàn)

信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是:

①

根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)。

②

根據(jù)確定的安全等級(jí)，確定安全管理范圍。

③

制定相應(yīng)的機(jī)房出入管理制度，對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別系統(tǒng)，采用此卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別，登記管理。

2.3 采用先進(jìn)的技術(shù)和產(chǎn)品

要保證計(jì)算機(jī)網(wǎng)絡(luò)安全的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。

2.3.1 防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。它可以監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來(lái)源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過(guò)濾、代理服務(wù)器等幾大類型。

2.3.2 數(shù)據(jù)加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

2.3.3 認(rèn)證技術(shù)

認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段，它對(duì)于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過(guò)程，即認(rèn)證建立信息的發(fā)送者或接受者的身份。認(rèn)證的主要目的有兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號(hào)源識(shí)別；第二，驗(yàn)證信息的完整性，保證信息在傳送過(guò)程中未被篡改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。

2.3.4 計(jì)算機(jī)病毒的防范

首先要加強(qiáng)工作人員防病毒的意識(shí)，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件：

① 較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有4萬(wàn)多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。

② 完善的升級(jí)服務(wù)。與其他軟件相比，防病毒軟件更需要不斷的更新升級(jí)，以查殺層出不窮的計(jì)算機(jī)病毒。

2.4 常見的網(wǎng)絡(luò)攻擊和防范對(duì)策

2.4.1 特洛伊木馬

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡聊抉R中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的過(guò)程中，從而使它們受到感染。此類攻擊對(duì)計(jì)算機(jī)的危害極大，通過(guò)特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。

防止在正常程序中隱藏特洛伊木馬的主要是人們?cè)谏晌募r(shí)，對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。2.4.2 郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲(chǔ)空間消耗殆盡，從而阻止用戶對(duì)正常郵件的接收，妨礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。

防止郵件炸彈的方法主要有通過(guò)配置路由器，有選擇地接收電子郵件，對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)消息，也可以使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。

2.4.3 過(guò)載攻擊

過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無(wú)法滿足其他用戶的請(qǐng)求。過(guò)載攻擊中被攻擊者用的最多的一種方法是進(jìn)程攻擊，它是通過(guò)大量地進(jìn)行人為的增大CPU的工作量，耗費(fèi)CPU的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。

防止過(guò)載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。然而，不幸的是這兩種方法都存在著一定的負(fù)面效應(yīng)。通過(guò)對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來(lái)發(fā)現(xiàn)這種攻擊，通過(guò)主機(jī)列表和網(wǎng)絡(luò)地址列表來(lái)的所在，也可以登錄防火墻或路由器來(lái)發(fā)現(xiàn)攻擊究竟是來(lái)自于網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部。另外，還可以讓系統(tǒng)自動(dòng)檢查是否過(guò)載或者重新啟動(dòng)系統(tǒng)。2.4.4 淹沒(méi)攻擊

正常情況下，TCP連接建立要經(jīng)過(guò)3次握手的過(guò)程，即客戶機(jī)向客戶機(jī)發(fā)送SYN請(qǐng)求信號(hào)；目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號(hào)并斷開連接。TCP的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào)，當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后，它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時(shí)的主機(jī)IP不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷的向被攻擊的主機(jī)發(fā)送SYN請(qǐng)求，被攻擊主機(jī)就一直處于等待狀態(tài)，從而無(wú)法響應(yīng)其他用戶請(qǐng)求。

對(duì)付淹沒(méi)攻擊的最好方法就是實(shí)時(shí)監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。

第三章 網(wǎng)絡(luò)攻擊分析及特點(diǎn)

攻擊是指非授權(quán)行為。攻擊的范圍從簡(jiǎn)單的使服務(wù)器無(wú)法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來(lái)于擁護(hù)采取的安全措施。

在此先分析下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊：Does是Denial of Service的簡(jiǎn)稱，即拒絕服務(wù)，造成Does的攻擊行為被稱為Does攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見的Does攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊是指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。而分布式拒絕服務(wù)（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊賬號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。而且現(xiàn)在沒(méi)有有限的方法來(lái)避免這樣的攻擊。

因?yàn)榇斯艋赥CP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？

1.確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。

2.確保管理員對(duì)所有主機(jī)進(jìn)行檢查，而不僅針對(duì)關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在 運(yùn)行什么？ 誰(shuí)在使用主機(jī)？ 哪些人可以訪問(wèn)主機(jī)？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。

3.確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫(kù)中刪除未使用的服務(wù)如FTP或NFS.等守護(hù)程序存在一些已知的漏洞，黑客通過(guò)根攻擊就能獲得訪問(wèn)特權(quán)系統(tǒng)的權(quán)限，并能訪問(wèn)其他系統(tǒng)—甚至是受防火墻保護(hù)的系統(tǒng)。

4.確保運(yùn)行在 Unix上的所有服務(wù)都有TCP封裝程序，限制對(duì)主機(jī)的訪問(wèn)權(quán)。5.禁止內(nèi)部網(wǎng)通過(guò)Modem連接至PSTN 系統(tǒng)。否則，黑客能通過(guò)電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問(wèn)極為機(jī)密的數(shù)據(jù)。

6.禁止使用網(wǎng)絡(luò)訪問(wèn)程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問(wèn)程序如SSH取代。SSH不會(huì)在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問(wèn)網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix上應(yīng)該將.rhost 和 hosts.equiv 文件刪除,因?yàn)椴挥貌驴诹?這些文件就會(huì)提供登錄訪問(wèn)!7.限制在防火墻外與網(wǎng)絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無(wú)異將陷入癱瘓。

8.確保手頭上有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

9.在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)時(shí)間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

10.檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時(shí)間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機(jī)安全收到了威脅。

計(jì)算機(jī)網(wǎng)絡(luò)的攻擊特

1．損失巨大

由于攻擊和入侵的對(duì)象是網(wǎng)絡(luò)上的計(jì)算機(jī),因此攻擊一旦成功,就會(huì)使網(wǎng)絡(luò)中的計(jì)算機(jī)處于癱瘓狀態(tài),從而給計(jì)算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。如美國(guó)每年因計(jì)算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元。平均每起計(jì)算機(jī)犯罪案件所成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。

2．威脅社會(huì)和國(guó)家安全

一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府部門和軍事部門的計(jì)算機(jī)作為攻擊目標(biāo),從而對(duì)社會(huì)和國(guó)家安全造成威脅。

3．手段多樣與手法隱蔽

計(jì)算機(jī)攻擊的手段可以說(shuō)五花八門:網(wǎng)絡(luò)攻擊者既可以通過(guò)監(jiān)視網(wǎng)上數(shù)據(jù)來(lái)獲取別人的保密信息,又可以通過(guò)截取別人的帳號(hào)和口令進(jìn)入別人的計(jì)算機(jī)系統(tǒng),還可以通過(guò)一些特殊的方法繞過(guò)人們精心設(shè)計(jì)的防火墻,等等。這些過(guò)程都可以在很短的時(shí)間內(nèi)通過(guò)計(jì)算機(jī)完成,因而犯罪不留痕跡,隱蔽性很強(qiáng)。

4．以軟件攻擊為主

幾乎所有的網(wǎng)絡(luò)入侵都是通過(guò)對(duì)軟件的截取和攻擊進(jìn)而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的。因此,計(jì)算機(jī)犯罪具有隱蔽性,這要求人們對(duì)計(jì)算機(jī)的各種軟件(包括計(jì)算機(jī)通信過(guò)程中的信息流)進(jìn)行嚴(yán)格的保護(hù)。

第3章 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅

3.1自然災(zāi)害

計(jì)算機(jī)信息系統(tǒng)僅僅是一個(gè)智能的機(jī)器,易受自然災(zāi)害及環(huán)境(溫度、濕度、振動(dòng)、沖擊、污染)的影響。目前,我們不少計(jì)算機(jī)房并沒(méi)有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時(shí)有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。

3.2網(wǎng)絡(luò)軟件漏洞

網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo),曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。另?軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設(shè)想。

3.3黑客的威脅和攻擊

這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、www的欺騙技術(shù)和尋找系統(tǒng)漏洞等。

3.4計(jì)算機(jī)病毒

20世紀(jì)90年代,出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”,其蔓延范圍廣,增長(zhǎng)速度驚人,損失難以估計(jì)。它像灰色的幽靈將自己附在其他程序上,在這些程序運(yùn)行時(shí)進(jìn)入到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機(jī)或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計(jì)算機(jī)主板等部件的損壞。

3.6計(jì)算機(jī)犯罪

計(jì)算機(jī)犯罪,通常是利用竊取口令等手段非法侵入計(jì)算機(jī)信息系統(tǒng),傳播有害信息,惡意破壞計(jì)算機(jī)系統(tǒng),實(shí)施貪污、盜竊、詐騙和金融犯罪等活動(dòng)。在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動(dòng),這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問(wèn)或修改在網(wǎng)中流動(dòng)的敏感信息,闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng),進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長(zhǎng)。使得針對(duì)計(jì)算機(jī)信息。

4.1 防火墻技術(shù)

網(wǎng)絡(luò)安全所說(shuō)的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來(lái)自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過(guò)防火墻。

4.1.1 防火墻的主要功能 防火墻的主要功能包括：

1、防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。

2、防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。

3、防火墻可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而可以防止來(lái)自不明入侵者的所有通信，過(guò)濾掉不安全的服務(wù)和控制非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。

4、防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對(duì)Internet上特殊站點(diǎn)的訪問(wèn)。

5、防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)

4.1.2 防火墻的主要優(yōu)點(diǎn)

防火墻的主要優(yōu)點(diǎn)包括:

1、可作為網(wǎng)絡(luò)安全策略的焦點(diǎn)

防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來(lái)，將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡(jiǎn)化了網(wǎng)絡(luò)管理。

2、可以有效記錄網(wǎng)絡(luò)活動(dòng)

由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩?huì)穿過(guò)防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用和預(yù)警功能。

3、為解決IP地址危機(jī)提供了可行方案 由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無(wú)法獲得足夠的注冊(cè)IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

4、防火墻能夠強(qiáng)化安全策略

因?yàn)榫W(wǎng)絡(luò)上每天都有上百萬(wàn)人在收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò).5、防火墻能有效地記錄網(wǎng)絡(luò)上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息.作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄.6、防火墻限制暴露用戶點(diǎn)

防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段，這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過(guò)整個(gè)網(wǎng)絡(luò)進(jìn)行傳播.7、防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門外.4.1.3 防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

1、防火墻對(duì)繞過(guò)它的攻擊行為無(wú)能為力。

2、防火墻無(wú)法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對(duì)于病毒只能安裝反病毒軟件。

3、防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。

4、不能防范惡意的知情者

防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去.如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的.內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻.對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等.5、不能防范不通過(guò)它的連接

防火墻能夠有效地防止通過(guò)它的傳輸信息，然而它卻不能防止不通過(guò)它而傳輸?shù)男畔?例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵.6、不能防備全部的威脅

防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，就可以防備新的威脅，但沒(méi)有一扇防火墻能自動(dòng)防御所有新的威脅.7、防火墻不能防范病毒

防火墻一般不能消除網(wǎng)絡(luò)上的病毒.4.1.4 防火墻的分類 防火墻的實(shí)現(xiàn)從層次上大體可分為三類：包過(guò)濾防火墻，代理防火墻和復(fù)合型防火墻。

1、包過(guò)濾防火墻

包過(guò)濾防火墻是在IP層實(shí)現(xiàn)，它可以只用路由器來(lái)實(shí)現(xiàn)。包過(guò)濾防火墻根據(jù)報(bào)文的源IP地址，目的IP地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來(lái)判斷是否允許有報(bào)文通過(guò)。

2、代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過(guò)濾防火墻可以按照IP地址來(lái)禁止未授權(quán)者的訪問(wèn)。但它不適合單位用來(lái)控制內(nèi)部人員訪問(wèn)外部網(wǎng)絡(luò)，對(duì)于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。

3、復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過(guò)濾和代理服務(wù)結(jié)合在一起使用，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢(shì)互補(bǔ)。

4.1.5 防火墻的部署

防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過(guò)防火墻的時(shí)候，防火墻才能對(duì)此實(shí)行檢查，防護(hù)功能。

1、防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來(lái)阻止來(lái)自外部網(wǎng)絡(luò)的入侵。

2、如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻。

3、通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間應(yīng)該設(shè)置防火墻。

4、主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上。

5、遠(yuǎn)程撥號(hào)服務(wù)器與骨干交換機(jī)或路由器之間。

總之，在網(wǎng)絡(luò)拓?fù)渖希阑饓?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級(jí)區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無(wú)論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。

4.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無(wú)法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

4.3 系統(tǒng)容災(zāi)技術(shù)

一個(gè)完整的網(wǎng)絡(luò)安全體系，只有防范和檢測(cè)措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬(wàn)無(wú)一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會(huì)對(duì)信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯(cuò)的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過(guò)IP容災(zāi)技術(shù)來(lái)保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個(gè)存儲(chǔ)器，在兩者之間建立復(fù)制關(guān)系，一個(gè)放在本地，另一個(gè)放在異地。本地存儲(chǔ)器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲(chǔ)器實(shí)時(shí)復(fù)制本地備份存儲(chǔ)器的關(guān)鍵數(shù)據(jù)。二者通過(guò)IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫(kù)容災(zāi)功能。

4.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對(duì)這些信息進(jìn)行分析和判斷。通過(guò)檢測(cè)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測(cè)系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來(lái)的破壞和影響降至最低。同時(shí)，入侵檢測(cè)系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識(shí)別異常行為和攻擊行為（通過(guò)異常檢測(cè)和模式匹配等技術(shù)）、對(duì)攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。

典型的IDS系統(tǒng)模型包括4個(gè)功能部件：

1、事件產(chǎn)生器，提供事件記錄流的信息源。

2、事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

3、響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。

4、事件數(shù)據(jù)庫(kù)，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

4.4.1 入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)來(lái)源不同，可分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方式是將某臺(tái)主機(jī)的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測(cè)模塊。一般來(lái)說(shuō)，網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。

主機(jī)型入侵檢測(cè)系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過(guò)其它手段（如檢測(cè)系統(tǒng)調(diào)用）從所有的主機(jī)上收集信息進(jìn)行分析。

入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)的方法不同可分為兩大類：異常和誤用。

異常入侵檢測(cè)根據(jù)用戶的異常行為或?qū)Y源的異常存放來(lái)判斷是否發(fā)生了入侵事件。

4.4.2 目前入侵檢測(cè)系統(tǒng)的缺陷

入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前的IDS還存在很多問(wèn)題，有待于我們進(jìn)一步完善。

1、高誤報(bào)率

誤報(bào)率主要存在于兩個(gè)方面：一方面是指正常請(qǐng)求誤認(rèn)為入侵行為；另一方面是指對(duì)IDS用戶不關(guān)心事件的報(bào)警。導(dǎo)致IDS產(chǎn)品高誤報(bào)率的原因是IDS檢測(cè)精度過(guò)低和用戶對(duì)誤報(bào)概念的不確定。

2、缺乏主動(dòng)防御功能

入侵檢測(cè)技術(shù)作為一種被動(dòng)且功能有限的安全防御技術(shù)，缺乏主動(dòng)防御功能。因此，需要在一代IDS產(chǎn)品中加入主動(dòng)防御功能，才能變被動(dòng)為主動(dòng)。

4.4.3 防火墻與入侵檢測(cè)系統(tǒng)的相互聯(lián)動(dòng)

防火墻是一個(gè)跨接多個(gè)物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對(duì)所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無(wú)通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過(guò)（可轉(zhuǎn)發(fā)至任何端口）、各以報(bào)頭檢查修改、各層報(bào)文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計(jì)、訪問(wèn)日志、協(xié)議轉(zhuǎn)換等。當(dāng)我們實(shí)現(xiàn)防火墻與入侵檢測(cè)系統(tǒng)的相互聯(lián)動(dòng)后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對(duì)采集報(bào)文的分析，而這正是IDS最眩目的亮點(diǎn)。IDS可以有足夠的時(shí)間和資源做些有效的防御工作，如入侵活動(dòng)報(bào)警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實(shí)時(shí)監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識(shí)描述庫(kù)可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問(wèn)行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補(bǔ)關(guān)系。這樣的組合較以前單一的動(dòng)態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動(dòng)可以很好地發(fā)揮兩者的優(yōu)點(diǎn)，淡化各自的缺陷，使防御系統(tǒng)成為一個(gè)更加堅(jiān)固的圍墻。在未來(lái)的網(wǎng)絡(luò)安全領(lǐng)域中，動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動(dòng)將有很大的發(fā)展市場(chǎng)和空間。4.4.4 結(jié)語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)很大的系統(tǒng)工程，除了防火墻和入侵檢測(cè)系統(tǒng)之外，還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除計(jì)算機(jī)病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫(kù)來(lái)進(jìn)行對(duì)比式查殺。加密技術(shù)主要是隱藏信息、防止對(duì)信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來(lái)保護(hù)信息，除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過(guò)適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來(lái)保證網(wǎng)絡(luò)的信息通信安全。

4.5 漏洞掃描技術(shù)

漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。掃描程序可以在很短的時(shí)間內(nèi)查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個(gè)掃描中，掃描后以統(tǒng)計(jì)的格式輸出，便于參考和分析。

4.6 物理安全

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施:

1、產(chǎn)品保障方面:主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。

2、運(yùn)行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過(guò)程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3、防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。

4、保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。

計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)綜合性和復(fù)雜性的問(wèn)題。面對(duì)網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個(gè)社會(huì)越來(lái)越快的信息化進(jìn)程，各種新技術(shù)將會(huì)不斷出現(xiàn)和應(yīng)用。??? 網(wǎng)絡(luò)安全孕育著無(wú)限的機(jī)遇和挑戰(zhàn)，作為一個(gè)熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來(lái)網(wǎng)絡(luò)安全技術(shù)將會(huì)取得更加長(zhǎng)足的發(fā)展。

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇

4.1.1防火墻的定義

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸。但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客入侵等方向發(fā)展。

4.1.2 防火墻的選擇

總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元，則該部門所配備防火墻的總成本也不應(yīng)該超過(guò)10萬(wàn)元。當(dāng)然，對(duì)于關(guān)鍵部門來(lái)說(shuō)，其所造成的負(fù)面影響和連帶損失也不應(yīng)該考慮在內(nèi)。如果僅作粗略估算，非關(guān)鍵部門的防火墻購(gòu)置成本不應(yīng)該超過(guò)網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下兩條：

（1）防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。

通常，防火墻的安全性問(wèn)題來(lái)自兩個(gè)方面：其一是防火墻本身的設(shè)計(jì)是否合理，其二是使用不當(dāng)。一般來(lái)說(shuō)，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對(duì)防火墻十分不熟悉，就有可能在配置過(guò)程中遺留大量的安全漏洞。

（2）可擴(kuò)充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒(méi)有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升，此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒(méi)有可擴(kuò)充性，或擴(kuò)充成本極高，這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購(gòu)基本系統(tǒng)，而隨著要求的提供，用戶仍然有進(jìn)一步增加選擇的余地。這樣不僅能夠保護(hù)用戶的投資，對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō)，也擴(kuò)大產(chǎn)品的覆蓋面。

4.2 加密技術(shù)

信息交換加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密.4.2.1 對(duì)稱加密技術(shù)

在對(duì)稱加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰,也就是說(shuō)一把鑰匙開一把鎖.這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個(gè)獨(dú)立的56位密鑰對(duì)信息進(jìn)行3次加密，從而使有效密鑰長(zhǎng)度達(dá)到112位。

4.2.2 非對(duì)稱加密技術(shù)

在非對(duì)稱加密體系中，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）。這對(duì)密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過(guò)非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

4.2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無(wú)法找到一個(gè)有效的算法來(lái)分散兩大素?cái)?shù)之積。RSA算法的描述如下：

公開密鑰： n=pq(p、q 分別為兩個(gè)互異的大素?cái)?shù)，p、q 必須保密)e與(p-1)(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n)，其中 m 為明文，c為密文。

解密：m=cd(mod n)利用目前已經(jīng)掌握的只是和理論，分解2048bit的大整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來(lái)，它是足夠安全的。

4.3 注冊(cè)與認(rèn)證管理

4.3.1 認(rèn)證機(jī)構(gòu)

CA（Certification Authorty）就是這樣一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頻發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且還與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。

4.3.2 注冊(cè)機(jī)構(gòu)

RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA發(fā)給證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記，也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

4.3.3 密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

4.3.4 證書管理與撤銷系統(tǒng)

證書是用來(lái)證明證書持有者身份的電子介質(zhì)，它是用來(lái)綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的。但是，有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤銷，證書撤銷的理由是各種各樣的。可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書撤銷系統(tǒng)實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤銷證書或采用在線查詢機(jī)制，隨時(shí)查詢被撤銷的證書。

第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向

我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同，將它分為4個(gè)基本類型：包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測(cè)型。

5.2 包過(guò)濾型

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)含一些特定信息，防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，一單發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則。

包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。

5.3 代理型

代理型的安全性能要高過(guò)包過(guò)濾型，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過(guò)濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

結(jié)束語(yǔ)

互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來(lái)的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問(wèn)題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠。在英特網(wǎng)為我們提供了大量的機(jī)會(huì)和便利的同時(shí)，也在安全性方面給我們帶來(lái)了巨大的挑戰(zhàn)，我們不能因?yàn)楹ε绿魬?zhàn)而拒絕它，否則就會(huì)得不償失，信心安全是當(dāng)今社會(huì)乃至整個(gè)國(guó)家發(fā)展所面臨的一個(gè)只管重要的問(wèn)題。對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要的組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展講起到非常重要的作用。網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，我們應(yīng)該結(jié)合現(xiàn)在網(wǎng)絡(luò)發(fā)展的特點(diǎn)，制定妥善的網(wǎng)絡(luò)安全策略，將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點(diǎn)，讓它為我們的工作和現(xiàn)代化建設(shè)做出更好的服務(wù)。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò) 電子工業(yè)出版社

[2]湯小丹、梁紅兵.計(jì)算機(jī)操作系統(tǒng) 西安電子科技大學(xué)出版社 [3] 李偉.網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程 清華大學(xué)出版社 [4] Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò) 清華大學(xué)出版社

[1]李軍義.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京：北方交通大學(xué)出版社，2006.7． [2]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國(guó)水利水電出版社,2005.[3]嘉寧.網(wǎng)絡(luò)防火墻技術(shù)淺析[J].通信工程.2004(3).[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2006.9.[5][美] Merike Kaeo 著.網(wǎng)絡(luò)安全性設(shè)計(jì)[M].北京：人民郵電出版社，2005.9.[6]黃怡強(qiáng),等.淺談軟件開發(fā)需求分析階段的主要任務(wù)[M].中山大學(xué)學(xué)報(bào)論叢，2002(01).[7]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社.2001.[8]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.[9]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社.

第五篇：計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文（范文）

網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全

摘要:計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，直接關(guān)系到一個(gè)國(guó)家的政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗，平均每18秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，強(qiáng)化防范措施，是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國(guó)發(fā)展民族信息安全體系的重要性及建立有中國(guó)特色的網(wǎng)絡(luò)安全體系的必要性，以及網(wǎng)絡(luò)的安全管理。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì)，包括對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對(duì)網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時(shí)就信息交換加密技術(shù)的分類及RSA算法作了簡(jiǎn)要的分析，論述了其安全體系的構(gòu)成。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動(dòng)向。

關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，RSA算法

Abstract

Zhu Yi

(The Computer Department Of Liuan Normal University,Wuhu Liuan 241000)

Abstract:The computer network security problem, directly relates to domain the and so on a national politics, military, economy security and the stability.At present the hacker is rampant, in the average every 18seconds worlds has a time of hacker attack to occur.Therefore, enhances to the network security important understanding, enhancement guard consciousness, the strengthened guard measure, is guaranteed the information industries continues the important guarantee and the prerequisite which stably develops.In the article first elaborated the radical change which the information network security connotation occurs, elaborated our country develops the nationality information security system importance and the establishment has the Chinese characteristic the network security system necessity, as well as network safety control.Further elaborated the

network topology safe design, including to network topology analysis and to network security brief analysis.Then specifically narrated the network firewall security technology classification and it’s the main technical characteristic, the firewall deployment principle, and the position which deployed from the firewall in detail elaborated the firewall choice standard.Meanwhile has made the brief analysis on the exchange of information encryption technology classification and the RSA algorithm, elaborated its security system constitution.Finally analyzes the network security technology the research present situation and the trend.概述

21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無(wú)處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。

一個(gè)國(guó)家的信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國(guó)要想真正解決網(wǎng)絡(luò)安全問(wèn)題，最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展將起到非常重要的作用。目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多

方面的。這種威脅將不斷給社會(huì)帶來(lái)了巨大的損失。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)

絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)；給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú)用、甚至?xí)＜皣?guó)家安全的網(wǎng)絡(luò)。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。

認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程，是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺(jué)執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。

計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

參考文獻(xiàn)：

[1]雷震甲.網(wǎng)絡(luò)工程師文獻(xiàn) 北京 清華大學(xué)出版社

[2] 黎連業(yè)、張維、向東明.路由器及其應(yīng)用技術(shù) 北京 清華大學(xué)出版社

網(wǎng) 絡(luò) 安 全 論

文

姓名：?jiǎn)螡摄?學(xué)號(hào)：1228122033